CN108604988B - 一种证书通知方法及装置 - Google Patents
一种证书通知方法及装置 Download PDFInfo
- Publication number
- CN108604988B CN108604988B CN201680080798.2A CN201680080798A CN108604988B CN 108604988 B CN108604988 B CN 108604988B CN 201680080798 A CN201680080798 A CN 201680080798A CN 108604988 B CN108604988 B CN 108604988B
- Authority
- CN
- China
- Prior art keywords
- terminal
- certificate
- public key
- area
- key maintenance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种证书通知方法及装置,涉及通信技术领域,用以减少用于安全性保障的证书和签名所占用的传输开销,该方法为:第一终端的证书上报至服务器并从服务器获取公钥维护信息;第一终端接收第二终端发送的通信信息,通信信息包括第二终端的证书对应的证书识别信息和第二终端为通信消息生成的签名;第一终端根据第二终端的证书对应的证书识别信息和公钥维护信息确定第二终端的证书对应的公钥;第一终端根据第二终端的证书对应的公钥,验证第二终端为通信消息生成的签名。因此,终端在与其他终端进行通信发送的通信消息中不再需要携带终端的证书,极大地节省了传输开销。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种证书通知方法及装置。
背景技术
近年来,汽车网络越来越受到人们的关注,通过车车通信或者车与路边单元之间的通信提高道路交通的安全性、可靠性和交通通行效率。因此,智能交通***旨在实现车与车、车与人之间、车与路之间的持续通信以交换当前车辆或周围环境状态,减少交通事故、提高交通出行的安全性、帮助缓解交通拥堵、降低能耗、减少污染排放、保护环境、提高运输效率并带动相关产业。
在典型的车联网***中,采用车车之间的传输,通过车辆之间周期性地交互位置、速度、转向等数据,实现车辆对周围车辆的感知,并利用这些信息实现辅助司机安全驾驶的功能。典型的车联网***容易部署、低成本、技术成熟,但是其本身也有其缺点:当***内车辆数目很多时,邻近车辆可能选择同一资源传输数据,因此容易发生资源碰撞,***性能较差,服务质量(Quality of Service,QoS)不能得到保证,传输距离也比较有限,此外,该***中需要部署大量路测单元(Road Side Unit,RSU),成本过高。
另外,车辆到车辆(vehicle to vehicle,V2V)通信的安全依赖于公钥基础设施(Public key infrastructure,PKI)证书体系,车车之间传递的V2V消息都要携带证书和签名,带来很大的传输开销。
参阅图1所示,V2V消息的格式如下,其中需要携带证书(Certificate)和签名(Signature)。
参阅图2所示,3GPP的LTE技术具有高速率,低延迟,大覆盖范围,以及支持高速移动终端等优点,可以用于V2V通信,利用中央调度器,例如演进型基站(evolved node B,eNB)实现对车辆进行数据传输所需传输资源的动态调度,提升了***性能。
但是,在这种车联网***中,依旧采用现在欧洲和美国的ITS安全方案来实现车车之间、车与其他设备之间的通信安全(即基于非对称密钥的证书),要求在每条基于LTE的车和其它通信设备之间(Vehicle-to-Everything,LTE-V2X)消息中携带证书和签名。例如,车辆1与车辆2进行通信,车辆1发送第一消息至车辆2,此时,第一消息中需要携带车辆1的证书和车辆1为第一消息生成的签名,该签名是根据车辆1的私钥生成的。车辆2收到第一消息后,根据车辆1的证书导出车辆1的公钥,然后利用车辆1的公钥验证该签名。验证通过后,车辆2解析第一消息中携带的其他内容。
具体的,每条LTE-V2X消息中,证书和签名所占用的传输开销占据LTE-V2X消息本身传输开销的很大比例,因此用于安全性保障的证书和签名所占用的传输开销较大。即使采用现有的优化技术周期性地携带证书来降低传输开销,但是对于LTE-V2X消息来说,安全开销依旧显得过大,不能满足LTE-V2X通信的容量要求。为了保证车辆安全,车车通信的消息需要满足较高的发送频率(比如,10Hz),并需要满足一个eNB覆盖一定数量车辆的容量需求,但车车通信的消息能够使用的空口资源有限(比如,I0M),这使得现有的技术方案无法满足上述车联网需求。
发明内容
本发明实施例提供一种证书通知方法及装置,用以减少用于安全性保障的证书和签名所占用的传输开销,尽量满足基于LTE技术实现的车联网***对车辆通信的容量要求。
本发明实施例提供的具体技术方案如下:
第一方面,一种证书通知方法,包括:第一终端将所述第一终端的证书上报至服务器并从所述服务器获取公钥维护信息,所述公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息;所述第一终端接收第二终端发送的通信信息,所述通信信息包括所述第二终端的证书对应的证书识别信息和所述第二终端为所述通信消息生成的签名,所述第二终端为所述通信消息生成的签名为所述第二终端采用所述第二终端的证书对应的私钥对所述通信消息进行签名计算后生成的;所述第一终端根据所述第二终端的证书对应的证书识别信息和所述公钥维护信息确定所述第二终端的证书对应的公钥;所述第一终端根据所述第二终端的证书对应的公钥,验证所述第二终端为所述通信消息生成的签名。
因此,采用本发明实施例提供的方法,终端通过提前获取公钥维护信息,使得在与其他终端进行通信时,不再需要携带该终端的证书,极大地节省了传输开销。
可选地,所述证书识别信息为以下至少一种信息的组合:证书颁发者名称和证书序列号、或者证书名称,或者证书唯一标识。
因此,本发明实施例中证书识别信息可以为多种消息的灵活组合。
可选地,第一终端将所述第一终端的证书上报至服务器,包括:所述第一终端获取到自身的地理位置信息时,将所述地理位置信息和所述第一终端的证书上报至服务器;或者,所述第一终端检测到新的小区全局标识符ECGI时,将所述新的ECGI和所述第一终端的证书上报至服务器;或者,所述第一终端检测到新的跟踪区域码TAC时,将所述新的TAC和所述第一终端的证书上报至服务器。
因此,终端上报证书的触发条件可以有多种可能,保证了公钥维护信息能够及时得到更新。
可选地,第一终端将所述第一终端的证书上报至服务器,包括:所述第一终端获取区域配置信息,所述区域配置信息是指以至少一个基站为单位,或以至少一个TA为单位,或者根据地理区域进行区域划分的划分结果,每个区域对应一个区域标识;所述第一终端根据所述区域配置信息确定自身所处区域发生变化时,将所述第一终端的证书和所述第一终端所属区域的区域标识发送至服务器。
因此,终端判断自身所处区域发生变化时,可以及时触发上报证书,保证了公钥维护信息能够及时得到更新。
可选地,所述第一终端根据所述区域配置信息确定自身所处区域发生变化,包括:所述第一终端获取到自身的地理位置信息时,根据所述地理位置信息和所述区域配置信息确定自身所属区域发生变化;或者,所述第一终端检测到新的ECGI时,根据所述新的ECGI和所述区域配置信息确定自身所属区域发生变化;或者,所述第一终端检测到新的TAC时,根据所述新的跟踪区域码TAC和所述区域配置信息确定自身所属区域发生变化。
因此,终端可以从多种纬度判断自身所处区域发生变化。
可选地,第一终端将所述第一终端的证书上报至服务器,包括:所述第一终端确定证书更新后需要使用的证书,将所述更新后需要使用的证书上报至所述服务器。
可选地,第一终端从所述服务器获取公钥维护信息,包括:所述第一终端接收所述服务器发送的所述公钥维护信息,或者,所述第一终端接收所述服务器发送的所述第一终端所属区域的区域标识对应的公钥维护消息和所述第一终端所属区域的区域标识。
因此,终端可以通过多种方式获得多种形式的公钥维护信息。
可选地,第一终端从所述服务器获取公钥维护信息,包括:所述第一终端接收所述服务器广播的所述公钥维护消息;或者,所述第一终端接收所述服务器广播的所述第一终端所属区域的区域标识对应的公钥维护消息和所述第一终端所属区域的区域标识。
因此,终端可以通过多种方式获得多种形式的公钥维护信息。
可选地,在第一终端获取公钥维护信息之后,包括:所述第一终端接收公钥维护更新消息,所述公钥维护更新消息用于更新所述第一终端当前存储的公钥维护信息;所述第一终端根据所述公钥维护更新消息更新所述当前存储的公钥维护信息。
因此,终端能够及时更新自身存储的公钥维护信息,保证与其他终端之间的通信畅通。
可选地,所述公钥维护更新消息携带以下至少一种信息的组合:最新公钥维护信息、或者至少一个区域标识和相应区域标识对应的最新公钥维护消息、或者在预设时长内所述公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息以及新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息,或者在预设时长内每个区域标识对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息和相应的区域标识。
因此,公钥维护更新信息可以采用多种方式灵活组合,广播至各个终端。
第二方面,一种证书通知方法,包括:服务器接收至少一个终端分别上报的相应终端的证书;所述服务器根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,所述公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息;所述服务器将所述公钥维护信息通知给所述至少一个终端。
因此,采用本发明实施例提供的方法,服务器获取各个终端的证书,并根据上报的证书更新公钥维护信息并通知给各个终端,使各个终端均能够获取公钥维护信息,保证各个终端间的通信且有效节省了终端间通信的传输开销。
可选地,所述证书识别信息为以下至少一种信息的组合:证书颁发者名称和证书序列号、或者证书名称,或者证书唯一标识。
可选地,所述服务器根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,包括:所述服务器确定第一终端所属区域发生变化时,根据所述第一终端的证书对应的公钥与所述第一终端的证书对应的证书识别信息更新所述第一终端所属区域的区域标识对应的公钥维护信息,或者,更新所述第一终端所属区域的区域标识对应的公钥维护信息以及至少一个所述第一终端所属区域的相邻区域的区域标识分别对应的公钥维护信息,所述第一终端为所述至少一个终端中的任意一个终端。
因此,服务器不仅更新了终端所处区域对应的公钥维护信息,还能够针对该区域的各个邻区分别对应的公钥维护信息进行更新,有效保证了各个终端的区域边缘的通信畅通。
可选地,所述服务器确定所述第一终端所属区域发生变化,包括:所述服务器接收所述第一终端上报的所述第一终端所属区域的区域标识;或者,所述服务器获取区域配置信息,根据所述第一终端上报的地理位置信息和所述区域配置信息确定所述第一终端所属区域发生变化;或者,所述服务器获取区域配置信息,根据所述第一终端上报的ECGI和所述区域配置信息确定所述第一终端所属区域发生变化;或者,所述服务器获取区域配置信息,根据所述第一终端上报的TAC和所述区域配置信息确定所述第一终端所属区域发生变化;其中,所述区域配置信息是指以至少一个基站为单位,或以至少一个TA为单位,或根据地理区域进行区域划分的划分结果,每个区域对应一个区域标识。
因此,服务器能够根据终端上报的各种信息,判断终端所处区域是否发生变化。
可选地,所述服务器根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,包括:所述服务器确定待分析公钥维护信息集合中包含的第一公钥维护信息超时未针对第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息进行更新,则所述服务器将所述第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息从所述第一公钥维护信息中删除;其中,所述待分析公钥维护信息集合中包含至少一个保存第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息的公钥维护信息,所述第一公钥维护信息为所述待分析公钥维护信息集合中的任一一条公钥维护信息,所述第二终端为所述至少一个终端中的任意一个终端。
因此,服务器能够将公钥维护信息中的非必要保存的信息的进行删除,节省了传输公钥维护信息的传输开销,保证公钥维护信息的有效性。
可选地,所述服务器根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,包括:所述服务器确定第三终端从第一区域移动至第二区域时,确定所述第一区域和所述第二区域分别对应的第一邻区集合和第二邻区集合,所述第一邻区集合包含至少一个所述第一区域的相邻区域的区域标识,所述第二邻区集合包含至少一个所述第二区域的相邻区域的区域标识;所述服务器确定所述第一邻区集合与所述第二邻区集合的交集,以及待清理集合,所述待清理集合包含所述第一邻区中非所述交集中包含的区域标识;所述服务器从所述待清理集合中每个区域标识对应的公钥维护信息中,删除所述第三终端的证书对应的公钥与所述第三终端的证书对应的证书识别信息,其中,所述第二终端为所述至少一个终端中的任意一个终端。
因此,服务器能够将公钥维护信息中的非必要保存的信息的进行删除,节省了传输公钥维护信息的传输开销,保证公钥维护信息的有效性。
可选地,所述服务器将所述公钥维护信息通知给所述至少一个终端,包括:所述服务器发送所述公钥维护信息至所述至少一个终端中的每个终端。或者,所述服务器将所述至少一个终端中的每个终端所属区域的区域标识对应的公钥维护信息和相应终端所属区域的区域标识发送至相应的终端。
因此,服务器可以通过多种方式将多种形式的公钥维护信息通知至各个终端。
可选地,所述服务器将所述公钥维护信息通知给所述至少一个终端,包括:所述服务器广播所述公钥维护消息。或者,所述服务器广播至少一个区域标识和相应区域标识对应的公钥维护消息。
因此,服务器可以通过多种方式将多种形式的公钥维护信息通知至各个终端。
可选地,在所述服务器将所述公钥维护信息通知给所述至少一个终端之后,还包括:所述服务器确定并广播公钥维护更新消息,所述公钥维护更新消息用于更新所述至少一个终端中每个终端当前存储的公钥维护信息;
可选地,所述公钥维护更新消息携带以下至少一种信息的组合:最新公钥维护信息、或者至少一个区域标识和相应区域标识对应的最新公钥维护消息、或者在预设时长内所述公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息以及新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息,或者在预设时长内每个区域标识对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息和相应的区域标识。
第三方面、一种证书通知装置,包括:上报单元,用于将所述第一终端的证书上报至服务器;获取单元,用于从所述服务器获取公钥维护信息,所述公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息;接收单元,用于接收第二终端发送的通信信息,所述通信信息包括所述第二终端的证书对应的证书识别信息和所述第二终端为所述通信消息生成的签名,所述第二终端为所述通信消息生成的签名为所述第二终端采用所述第二终端的证书对应的私钥对所述通信消息进行签名计算后生成的;分析单元,用于根据所述第二终端的证书对应的证书识别信息和所述公钥维护信息确定所述第二终端的证书对应的公钥;验证单元,用于根据所述第二终端的证书对应的公钥,验证所述第二终端为所述通信消息生成的签名。
可选地,所述证书识别信息为以下至少一种信息的组合:证书颁发者名称和证书序列号、或者证书名称,或者证书唯一标识。
可选地,将所述第一终端的证书上报至服务器时,所述上报单元,具体用于:所述第一终端获取到自身的地理位置信息时,将所述地理位置信息和所述第一终端的证书上报至服务器;或者,所述第一终端检测到新的小区全局标识符ECGI时,将所述新的ECGI和所述第一终端的证书上报至服务器;或者,所述第一终端检测到新的跟踪区域码TAC时,将所述新的TAC和所述第一终端的证书上报至服务器。
可选地,将所述第一终端的证书上报至服务器时,所述上报单元,具体用于:获取区域配置信息,所述区域配置信息是指以至少一个基站为单位,或以至少一个TA为单位,或者根据地理区域进行区域划分的划分结果,每个区域对应一个区域标识;根据所述区域配置信息确定自身所处区域发生变化时,将所述第一终端的证书和所述第一终端所属区域的区域标识发送至服务器。
可选地,根据所述区域配置信息确定自身所处区域发生变化时,所述上报单元,还用于:获取到自身的地理位置信息时,根据所述地理位置信息和所述区域配置信息确定自身所属区域发生变化;或者,检测到新的ECGI时,根据所述新的ECGI和所述区域配置信息确定自身所属区域发生变化;或者,检测到新的TAC时,根据所述新的跟踪区域码TAC和所述区域配置信息确定自身所属区域发生变化。
可选地,将所述第一终端的证书上报至服务器,所述上报单元,用于:确定证书更新后需要使用的证书,将所述更新后需要使用的证书上报至所述服务器。
可选地,从所述服务器获取公钥维护信息,所述获取单元,用于:接收所述服务器发送的所述公钥维护信息,或者,接收所述服务器发送的所述第一终端所属区域的区域标识对应的公钥维护消息和所述第一终端所属区域的区域标识。
可选地,从所述服务器获取公钥维护信息,所述获取单元,用于:接收所述服务器广播的所述公钥维护消息;或者,接收所述服务器广播的所述第一终端所属区域的区域标识对应的公钥维护消息和所述第一终端所属区域的区域标识。
可选地,在获取公钥维护信息之后,所述接收单元,还用于所述第一终端接收公钥维护更新消息,所述公钥维护更新消息用于更新所述第一终端当前存储的公钥维护信息;所述装置还包括:更新单元,根据所述公钥维护更新消息更新所述当前存储的公钥维护信息。
可选地,所述公钥维护更新消息携带以下至少一种信息的组合:最新公钥维护信息、或者至少一个区域标识和相应区域标识对应的最新公钥维护消息、或者在预设时长内所述公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息以及新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息,或者在预设时长内每个区域标识对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息和相应的区域标识。
第四方面、一种证书通知装置,包括:接收单元,用于接收至少一个终端分别上报的相应终端的证书;维护单元,用于根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,所述公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息;发送单元,用于将所述公钥维护信息通知给所述至少一个终端。
可选地,所述证书识别信息为以下至少一种信息的组合:证书颁发者名称和证书序列号、或者证书名称,或者证书唯一标识。
可选地,根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息时,所述维护单元,具体用于包括:确定第一终端所属区域发生变化时,根据所述第一终端的证书对应的公钥与所述第一终端的证书对应的证书识别信息更新所述第一终端所属区域的区域标识对应的公钥维护信息,或者,更新所述第一终端所属区域的区域标识对应的公钥维护信息以及至少一个所述第一终端所属区域的相邻区域的区域标识分别对应的公钥维护信息,所述第一终端为所述至少一个终端中的任意一个终端。
可选地,确定所述第一终端所属区域发生变化时,所述维护单元,还用于:接收所述第一终端上报的所述第一终端所属区域的区域标识;或者,获取区域配置信息,根据所述第一终端上报的地理位置信息和所述区域配置信息确定所述第一终端所属区域发生变化;或者,获取区域配置信息,根据所述第一终端上报的ECGI和所述区域配置信息确定所述第一终端所属区域发生变化;或者,获取区域配置信息,根据所述第一终端上报的TAC和所述区域配置信息确定所述第一终端所属区域发生变化;其中,所述区域配置信息是指以至少一个基站为单位,或以至少一个TA为单位,或根据地理区域进行区域划分的划分结果,每个区域对应一个区域标识。
可选地,根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,所述维护单元,还用于:确定待分析公钥维护信息集合中包含的第一公钥维护信息超时未针对第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息进行更新,则所述服务器将所述第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息从所述第一公钥维护信息中删除;其中,所述待分析公钥维护信息集合中包含至少一个保存第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息的公钥维护信息,所述第一公钥维护信息为所述待分析公钥维护信息集合中的任一一条公钥维护信息,所述第二终端为所述至少一个终端中的任意一个终端。
可选地,根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,所述维护单元,还用于:确定第三终端从第一区域移动至第二区域时,确定所述第一区域和所述第二区域分别对应的第一邻区集合和第二邻区集合,所述第一邻区集合包含至少一个所述第一区域的相邻区域的区域标识,所述第二邻区集合包含至少一个所述第二区域的相邻区域的区域标识;确定所述第一邻区集合与所述第二邻区集合的交集,以及待清理集合,所述待清理集合包含所述第一邻区中非所述交集中包含的区域标识;从所述待清理集合中每个区域标识对应的公钥维护信息中,删除所述第三终端的证书对应的公钥与所述第三终端的证书对应的证书识别信息,其中,所述第二终端为所述至少一个终端中的任意一个终端。
可选地,将所述公钥维护信息通知给所述至少一个终端时,所述发送单元,具体用于:发送所述公钥维护信息至所述至少一个终端中的每个终端。或者,将所述至少一个终端中的每个终端所属区域的区域标识对应的公钥维护信息和相应终端所属区域的区域标识发送至相应的终端。
可选地,将所述公钥维护信息通知给所述至少一个终端时,所述发送单元,具体用于:广播所述公钥维护消息。或者,广播至少一个区域标识和相应区域标识对应的公钥维护消息。
可选地,在将所述公钥维护信息通知给所述至少一个终端之后,所述发送单元还用于:确定并广播公钥维护更新消息,所述公钥维护更新消息用于更新所述至少一个终端中每个终端当前存储的公钥维护信息;
可选地,所述公钥维护更新消息携带以下至少一种信息的组合:最新公钥维护信息、或者至少一个区域标识和相应区域标识对应的最新公钥维护消息、或者在预设时长内所述公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息以及新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息,或者在预设时长内每个区域标识对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息和相应的区域标识。
第五方面,本发明实施例提供一种终端,包括收发器、处理器和存储器,收发器、处理器以及存储器之间通过总线连接,其中:收发器,用于将第一终端的证书上报至服务器并从服务器获取公钥维护信息,以及接收第二终端发送的通信信息,通信信息包括第二终端的证书对应的证书识别信息和第二终端为通信消息生成的签名,第二终端为通信消息生成的签名为第二终端采用第二终端的证书对应的私钥对通信消息进行签名计算后生成的。存储器,用于存储处理器执行的程序代码。处理器,用于通过存储器中的程序代码,执行以下操作:根据第二终端的证书对应的证书识别信息和公钥维护信息确定第二终端的证书对应的公钥,以及根据第二终端的证书对应的公钥,验证第二终端为通信消息生成的签名。
第六方面,本发明实施例提供一种服务器,包括收发器、处理器和存储器,收发器、处理器以及存储器之间通过总线连接,其中:收发器,用于接收至少一个终端分别上报的相应终端的证书,以及将公钥维护信息通知给至少一个终端。存储器,用于存储处理器执行的程序代码。处理器,用于通过存储器中的程序代码,执行以下操作:根据至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息。
本发明实施例中第一终端的证书上报至服务器并从服务器获取公钥维护信息,使得第一终端在与其他终端进行通信之前及时获取公钥维护信息;第一终端接收第二终端发送的通信信息,通信信息包括第二终端的证书对应的证书识别信息和第二终端为通信消息生成的签名,此时通信消息中不再需要携带第一终端的证书,极大地节省了传输开销;第一终端根据第二终端的证书对应的证书识别信息和公钥维护信息确定第二终端的证书对应的公钥;第一终端根据第二终端的证书对应的公钥,验证第二终端为通信消息生成的签名。服务器接收至少一个终端分别上报的相应终端的证书;服务器根据至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息;服务器将公钥维护信息通知给至少一个终端,使各个终端均能够获取公钥维护信息,保证各个终端间的通信且有效节省了终端间通信的传输开销。
附图说明
图1为本发明背景技术中V2V消息的格式示意图;
图2为本发明实施例中基于LTE的车和其它通信设备的车联网结构示意图;
图3为本发明实施例中LTE-V2X通信***的结构示意图;
图4为本发明实施例中终端侧证书通知方法的概述流程图;
图5为本发明实施例中终端所处区域划分的结构示意图;
图6为本发明实施例中服务器侧证书通知方法的概述流程图;
图7为本发明实施例中终端所处区域发生变化的示意图;
图8为本发明实施例中证书通知方法的具体流程图之一;
图9为本发明实施例中证书通知方法的具体流程图之二;
图10为本发明实施例中终端侧对应的证书通知装置结构示意图;
图11为本发明实施例中服务器侧对应的证书通知装置结构示意图;
图12为本发明实施例中一种终端的结构示意图;
图13为本发明实施例中一种服务器的结构示意图。
具体实施方式
本发明实施例提供一种证书通知方法及装置,用以减少用于安全性保障的证书和签名所占用的传输开销,尽量满足基于LTE技术实现的车联网***对车辆通信的容量要求。
其中,方法、装置是基于同一发明构思的,由于方法、装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
本发明实施例的主要应用场景为参阅图3所示的LTE-V2X通信***。该***中包括证书的权威机构(CA),eNB,以及各种车辆和其他通信设备(例如车辆1、车辆2、车辆3),服务器,例如移动边缘计算实体(Mobile edge computing,MEC)或路侧单元(Road Side Unit,RSU)或密钥管理服务(KeyManagementService,KMS)或LTE-V2X Server,其中,服务器可以不在运营商域内。
具体的,CA为服务器、车辆1、车辆2、车辆3分别颁发证书。
参阅图4所示,本发明实施例提供一种证书通知方法,包括:
步骤400:第一终端将第一终端的证书上报至服务器并从服务器获取公钥维护信息,公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息。
可选地,证书识别信息为以下至少一种信息的组合:证书颁发者名称和证书序列号、或者证书名称,或者证书唯一标识。
一般地,证书识别信息为证书颁发者名称和证书序列号,利用证书颁发者名称和证书序列号来唯一标识一张证书。
步骤410:第一终端接收第二终端发送的通信信息,通信信息包括第二终端的证书对应的证书识别信息和第二终端为通信消息生成的签名,第二终端为通信消息生成的签名为第二终端采用第二终端的证书对应的私钥对通信消息进行签名计算后生成的。
因此,第一终端只需携带第一终端为所要发送的信息生成的签名和第一终端的证书对应的证书识别信息,而无需再携带第一终端的证书,极大地减少了传输开销。
和专用短程通信技术(Dedicated Short Range Communications,DSRC)证书方案比,本发明实施例提供的方案省去了PC5口LTE-V2X消息中需要携带证书的安全开销,大概117Bytes左右(而LTE-V2X消息典型值为50~100Bytes),因此可以明显减少PC5口上消息的安全开销,提高了LTE-V2X的***容量。
步骤420:第一终端根据第二终端的证书对应的证书识别信息和公钥维护信息确定第二终端的证书对应的公钥;
步骤430:第一终端根据第二终端的证书对应的公钥,验证第二终端为通信消息生成的签名。
在执行步骤400时,第一终端将第一终端的证书上报至服务器,与第一终端从服务器获取公钥维护信息,两个过程没有先后顺序。
第一终端将第一终端的证书上报至服务器,可以采用但不限于以下几种方式:
第一种方式:第一终端获取到自身的地理位置信息时,将地理位置信息和第一终端的证书上报至服务器。
例如,第一终端通过自身全球定位***(Global Positioning System,GPS)等获取自身的地理位置信息。
服务器获取区域配置信息,根据第一终端上报的地理位置信息和区域配置信息确定第一终端所属区域发生变化时,根据第一终端的证书对应的公钥与第一终端的证书对应的证书识别信息更新公钥维护信息。
这里的区域配置信息是指以至少一个基站为单位,或以至少一个跟踪区(Tracking Area,TA)为单位,或根据地理区域进行区域划分的划分结果,每个区域对应一个区域标识。该区域配置信息可以由服务器事先进行配置,并可将该区域配置信息下发至服务区所辖区域内的各个终端。
第二种方式:第一终端检测到新的小区ECGI时,将新的ECGI和第一终端的证书上报至服务器。
其中,小区全局标识符(E-UTRAN cell global identifier,ECGI)用于全局标识一个小区,ECGI就是由PLMN Identifier和E-UTRAN Cell Identifier组成。
服务器获取区域配置信息,根据第一终端上报的ECGI和区域配置信息确定第一终端所属区域发生变化时,根据第一终端的证书对应的公钥与第一终端的证书对应的证书识别信息更新公钥维护信息。
第三种方式:第一终端检测到新的跟踪区域码(Tracking Area Code,TAC)时,将新的TAC和第一终端的证书上报至服务器。
服务器获取区域配置信息,根据第一终端上报的TAC和区域配置信息确定第一终端所属区域发生变化时,根据第一终端的证书对应的公钥与第一终端的证书对应的证书识别信息更新公钥维护信息。
此外,还可以由第一终端根据区域配置信息,事先判断自身所属区域是否发生变化。
可选地,对应上述三种方式,第一终端确定自身所属区域发生变化,也可以有三种方式:
(1)第一终端获取到自身的地理位置信息时,根据地理位置信息和区域配置信息确定自身所属区域发生变化。
(2)第一终端检测到新的ECGI时,根据新的ECGI和区域配置信息确定自身所属区域发生变化。
(3)第一终端检测到新的TAC时,根据新的TAC和区域配置信息确定自身所属区域发生变化。
第四种方式,针对上述三种确定第一终端所属区域发生变化的方式或者其他可能的实现方式,第一终端确定自身所属区域发生变化时,将第一终端的证书和第一终端所属区域的区域标识发送至服务器。
可选地,服务器根据第一终端的证书对应的公钥与第一终端的证书对应的证书识别信息更新第一终端所属区域的区域标识对应的公钥维护信息,或者,更新第一终端所属区域的区域标识对应的公钥维护信息以及至少一个第一终端所属区域的相邻区域的区域标识分别对应的公钥维护信息。
例如,参阅图5所示,图中所示的各个长方形为事先划分的区域,每个长方形代表一个区域,假设第一终端当前所属区域为5,则根据第一终端的证书对应的公钥与第一终端的证书对应的证书识别信息更新区域5对应的公钥维护信息,或者,区域1~区域9分别对应的公钥维护信息。此时,区域1~区域9(除区域5)为区域5的邻区。
第五种方式,第一终端确定证书更新后需要使用的证书,将更新后需要使用的证书上报至服务器。
例如,第一终端可能每10分钟更新一次证书。
服务器根据第一终端的证书对应的公钥与第一终端的证书对应的证书识别信息更新公钥维护信息。
此外,针对上述五种第一终端将第一终端的证书上报至服务器的方式,在第一终端上报第一终端的证书时还需携带第一终端为这次上报的消息生成的签名。
服务器收到该消息后,验证证书的合法性并且根据第一终端的证书中包含的公钥验证该签名,验证通过后,根据第一终端的证书导出第一终端的公钥和证书识别信息,用于更新公钥维护信息。
在执行步骤400时,第一终端从服务器获取公钥维护信息,可以采用但不限于几种方式:
第一种方式:第一终端接收服务器发送的公钥维护信息,
这里的公钥维护信息是服务器直接发送给终端的,该公钥维护信息可以包括服务器所辖范围内的每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息。
第二种方式:第一终端接收服务器发送的第一终端所属区域的区域标识对应的公钥维护消息和第一终端所属区域的区域标识。
这里的公钥维护信息是服务器直接发送给终端的,该公钥维护信息可以包括第一终端所属区域内的每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息。
第三种方式:第一终端接收服务器广播的公钥维护消息。
例如,服务器可以通过eNB在每次做多媒体广播多播业务(Multimedia BroadcastMulticast Service,MBMS)广播时广播公钥维护消息,该公钥维护消息可以为服务器所辖范围内的每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息。
第四种方式:第一终端接收服务器广播的第一终端所属区域的区域标识对应的公钥维护消息和第一终端所属区域的区域标识。
即服务器可以每次广播至少一个区域标识和相应区域标识对应的公钥维护消息。
针对上述四种第一终端获取公钥维护信息的方式,可以发生在第一终端上报第一终端的证书之前或之后,也可以是上述四种方式中至少一种方式的组合。此外,在第一终端收到的包含公钥维护信息和/或第一终端所属区域的区域标识对应的公钥维护消息和第一终端所属区域的区域标识的消息中,还需携带服务器的证书和服务器为本次通知消息(单播方式或多播方式)生成的签名。
第一终端收到该通知消息后,验证服务器的证书的合法性并且根据服务器的证书中包含的公钥验证该签名,验证通过后,存储该通知消息中携带的公钥维护信息和/或第一终端所属区域的区域标识对应的公钥维护消息和第一终端所属区域的区域标识。
进一步地,在第一终端获取公钥维护信息之后,需要对当前存储的公钥维护信息进行更新。第一终端接收公钥维护更新消息,公钥维护更新消息用于更新第一终端当前存储的公钥维护信息,第一终端根据公钥维护更新消息更新当前存储的公钥维护信息。
具体的,公钥维护更新消息携带以下至少一种信息的组合:最新公钥维护信息、或者至少一个区域标识和相应区域标识对应的最新公钥维护消息、或者在预设时长内公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息以及新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息,或者在预设时长内每个区域标识对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息和相应的区域标识。
例如,在终端1获得公钥维护信息后,终端2和终端3将分别对应的证书上报至服务器,服务器广播最新的公钥维护信息,最新的公钥维护信息中新增了终端2的证书对应的公钥与终端2的证书对应的证书识别信息,以及终端3的证书对应的公钥与终端3的证书对应的证书识别信息,终端1收到该广播消息后,采用最新的公钥维护信息替换当前存储的公钥维护信息;
或者,服务器只将终端2的证书对应的公钥与终端2的证书对应的证书识别信息,以及终端3的证书对应的公钥与终端3的证书对应的证书识别信息携带在广播消息中进行广播,终端1收到后,利用广播消息对当前存储的公钥维护信息进行更新。
参阅图6所示,本发明实施例提供一种证书通知方法,包括:
步骤600:服务器接收至少一个终端分别上报的相应终端的证书。
步骤610:服务器根据至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息。
步骤620:服务器将公钥维护信息通知给至少一个终端。
其中,步骤600和步骤620分别与上述第一终端将第一终端的证书上报至服务器和第一终端从服务器获取公钥维护信息相对应,此处不再赘述。
在执行步骤610时,除了将新上报的终端的证书对应的公钥和相应终端的证书对应的证书识别信息新增至公钥维护信息,以及证书的定时更新时采用终端的最新证书对应的公钥和相应终端的最新证书对应的证书识别信息替换在公钥维护信息中相应终端原来保存的信息,还需对公钥维护信息中的不必要保存的信息进行删除,这里可以采用但不限于以下两种方式:
第一种方式:服务器确定待分析公钥维护信息集合中包含的第一公钥维护信息超时未针对第二终端的证书对应的公钥与第二终端的证书对应的证书识别信息进行更新,则服务器将第二终端的证书对应的公钥与第二终端的证书对应的证书识别信息从第一公钥维护信息中删除。
其中,待分析公钥维护信息集合中包含至少一个保存第二终端的证书对应的公钥与第二终端的证书对应的证书识别信息的公钥维护信息,第一公钥维护信息为待分析公钥维护信息集合中的任一一条公钥维护信息,第二终端为至少一个终端中的任意一个终端。
参阅图7所示,当终端1在区域5中时,区域1~区域9分别对应的公钥维护信息均包含终端1的证书对应的公钥与终端1的证书对应的证书识别信息。终端1对应的待分析公钥维护信息集合包括区域1~区域9分别对应的公钥维护信息,并针对其中每个区域对应的公钥维护信息设置定时器。终端1从区域5移动至区域7时,区域4、区域5、区域7、区域8分别对应的公钥维护信息的定时器清零并重新计时,因为,区域4、区域5、区域8为区域7的邻区。而区域1、区域2、区域3、区域6、区域9的定时器则继续计时,当定时器超时时,终端1的证书对应的公钥与终端1的证书对应的证书识别信息依旧没有进行更新,因此将终端1的证书对应的公钥与终端1的证书对应的证书识别信息从区域1、区域2、区域3、区域6、区域9分别对应的公钥维护信息中删除。
第二种方式:服务器确定第三终端从第一区域移动至第二区域时,确定第一区域和第二区域分别对应的第一区域集合和第二区域集合,第一邻区集合包含至少一个第一区域的相邻区域的区域标识和第一区域的区域标识,第二区域集合包含至少一个第二区域的相邻区域的区域标识和第二区域的区域标识;
服务器确定第一区域集合与第二区域集合的交集,以及待清理集合,待清理集合包含第一区域中非交集中包含的区域标识;
服务器从待清理集合中每个区域标识对应的公钥维护信息中,删除第三终端的证书对应的公钥与第三终端的证书对应的证书识别信息,其中,第二终端为至少一个终端中的任意一个终端。
参阅图7所示,当终端1从区域5移动至区域7时,确定区域5对应的区域集合(区域1、区域2、区域3、区域4、区域5、区域6、区域7、区域8、区域9),以及区域7对应的邻区集合(区域4、区域5、区域7、区域8、区域10、区域11、区域12、区域13、区域14),进一步地根据区域5对应的区域集合和区域7对应的区域集合,确定两者的交集为区域4、区域5、区域7、区域8,区域5对应的区域集合中非该交集中包含的区域为待清理集合(区域1、区域2、区域3、区域6、区域9),因此将终端1的证书对应的公钥与终端1的证书对应的证书识别信息从区域1、区域2、区域3、区域6、区域9分别对应的公钥维护信息中删除。
参阅图8所示,本发明实施例提供一种证书通知方法,其具体流程为:
S801:车辆1检测到自身的地理位置信息,确定自身所属区域发生变化。
例如,车辆1从区域2移动至区域1。
在车辆1检测到自身的地理位置信息,确定自身所属区域发生变化之前,还需执行以下操作:
CA已经为车辆1、车辆2和LTE-V2X Server或KMS分别颁发证书。
车辆1与PDN网关(PDN GateWay,PGW)之间已经成功建立公用数据网(Public DataNetwork,PDN)连接。
LTE-V2X Server或KMS对V2X区域进行划分,得到每个区域对应的区域标识,以及每个区域对应的区域标识与广播和多播业务中心(broadcast and multicast servicecenter,BM-SC)管理的各个基站的基站标识的对应关系,作为区域配置信息。
S802:车辆1上报证书通知消息,该证书通知消息中携带车辆1所属区域1的区域标识,车辆1的证书以及车辆1为该证书通知消息生成的签名。
S803:LTE-V2X Server或KMS验证车辆1的证书的合法性,并根据车辆1的证书中包含的公钥验证车辆1为该证书通知消息生成的签名,验证通过后将终端1的证书对应的公钥与终端1的证书对应的证书识别信息存入区域1对应的公钥维护信息中。
S804:LTE-V2X Server或KMS发送证书通知确认消息至车辆1,该证书通知确认消息中携带LTE-V2X Server或KMS的证书、LTE-V2X Server或KMS为该证书通知确认消息生成的签名、区域1的区域标识以及区域1对应的公钥维护信息。
S805:车辆1验证LTE-V2X Server或KMS的证书的合法性,并根据LTE-V2X Server或KMS的证书中的公钥验证LTE-V2X Server或KMS为该证书通知确认消息生成的签名,验证通过后保存区域1的区域标识以及区域1对应的公钥维护信息。
S806:LTE-V2X Server或KMS将公钥通知消息发送给BM-SC,该公钥通知消息中携带LTE-V2X Server或KMS的证书、LTE-V2X Server或KMS为该公钥通知消息生成的签名、区域1的区域标识以及区域1对应的公钥维护信息。
S807:BM-SC广播该公钥通知消息。
S808:车辆1(车辆2)接收该公钥通知消息,验证LTE-V2X Server或KMS的证书的合法性,并根据LTE-V2X Server或KMS的证书中的公钥验证LTE-V2X Server或KMS为该公钥通知消息生成的签名,验证通过后更新区域1对应的公钥维护信息。
S809:车辆2向车辆1发送的通信信息,通信信息包括车辆2的证书对应的证书识别信息和车辆2为通信消息生成的签名。
S810:车辆1根据车辆2的证书对应的证书识别信息和区域1对应的公钥维护信息确定车辆2的证书对应的公钥。车辆1根据车辆2的证书对应的公钥,验证车辆2为通信消息生成的签名。
上述实施例中,车辆1可以通过两种方式获得公钥维护信息,即S804~S805(由LTE-V2X Server或KMS发送证书通知确认消息给车辆1)和S806~S808(由LTE-V2X Server或KMS通过BM-SC广播公钥通知消息),因此,S804~S805为可选的实施方式。
参阅图9所示,本发明实施例提供一种证书通知方法,其具体流程为:
S901~S905与图8中的S801~S805相同。在本实施例中,S904~S905为必须执行的步骤。
S906:LTE-V2X Server或KMS将公钥通知消息发送给BM-SC,该公钥通知消息中携带LTE-V2X Server或KMS的证书、LTE-V2X Server或KMS为该公钥通知消息生成的签名、区域1的区域标识以及在预设时长内区域1对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息。
S907:BM-SC广播该公钥通知消息。
S908:车辆1(车辆2)接收该公钥通知消息,验证LTE-V2X Server或KMS的证书的合法性,并根据LTE-V2X Server或KMS的证书中的公钥验证LTE-V2X Server或KMS为该公钥通知消息生成的签名,验证通过后更新区域1对应的公钥维护信息。
参阅图10所示,本发明实施例提供一种证书通知装置1000,包括:
上报单元1010,用于将第一终端的证书上报至服务器;
获取单元1020,用于从服务器获取公钥维护信息,公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息;
接收单元1030,用于接收第二终端发送的通信信息,通信信息包括第二终端的证书对应的证书识别信息和第二终端为通信消息生成的签名,第二终端为通信消息生成的签名为第二终端采用第二终端的证书对应的私钥对通信消息进行签名计算后生成的;
分析单元1040,用于根据第二终端的证书对应的证书识别信息和公钥维护信息确定第二终端的证书对应的公钥;
验证单元1050,用于根据第二终端的证书对应的公钥,验证第二终端为通信消息生成的签名。
可选地,证书识别信息为以下至少一种信息的组合:证书颁发者名称和证书序列号、或者证书名称,或者证书唯一标识。
可选地,将第一终端的证书上报至服务器时,上报单元1010,具体用于:
第一终端获取到自身的地理位置信息时,将地理位置信息和第一终端的证书上报至服务器;
或者,第一终端检测到新的小区全局标识符ECGI时,将新的ECGI和第一终端的证书上报至服务器;
或者,第一终端检测到新的跟踪区域码TAC时,将新的TAC和第一终端的证书上报至服务器。
可选地,将第一终端的证书上报至服务器时,上报单元1010,具体用于:
获取区域配置信息,区域配置信息是指以至少一个基站为单位,或以至少一个TA为单位,或者根据地理区域进行区域划分的划分结果,每个区域对应一个区域标识;
根据区域配置信息确定自身所处区域发生变化时,将第一终端的证书和第一终端所属区域的区域标识发送至服务器。
可选地,根据区域配置信息确定自身所处区域发生变化时,上报单元1010,还用于:
获取到自身的地理位置信息时,根据地理位置信息和区域配置信息确定自身所属区域发生变化;
或者,检测到新的ECGI时,根据新的ECGI和区域配置信息确定自身所属区域发生变化;
或者,检测到新的TAC时,根据新的跟踪区域码TAC和区域配置信息确定自身所属区域发生变化。
可选地,将第一终端的证书上报至服务器,上报单元1010,用于:
确定证书更新后需要使用的证书,将更新后需要使用的证书上报至服务器。
可选地,从服务器获取公钥维护信息,获取单元1020,用于:
接收服务器发送的公钥维护信息,
或者,接收服务器发送的第一终端所属区域的区域标识对应的公钥维护消息和第一终端所属区域的区域标识。
可选地,从服务器获取公钥维护信息,获取单元1020,用于:
接收服务器广播的公钥维护消息。
或者,接收服务器广播的第一终端所属区域的区域标识对应的公钥维护消息和第一终端所属区域的区域标识。
可选地,在获取公钥维护信息之后,接收单元1030,还用于第一终端接收公钥维护更新消息,公钥维护更新消息用于更新第一终端当前存储的公钥维护信息;
装置还包括:
更新单元1060,根据公钥维护更新消息更新当前存储的公钥维护信息。
可选地,公钥维护更新消息携带以下至少一种信息的组合:最新公钥维护信息、或者至少一个区域标识和相应区域标识对应的最新公钥维护消息、或者在预设时长内公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息以及新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息,或者在预设时长内每个区域标识对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息和相应的区域标识。
参阅图11所示,本发明实施例提供一种证书通知装置1100,包括:
接收单元1110,用于接收至少一个终端分别上报的相应终端的证书;
维护单元1120,用于根据至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息;
发送单元1130,用于将公钥维护信息通知给至少一个终端。
可选地,证书识别信息为以下至少一种信息的组合:证书颁发者名称和证书序列号、或者证书名称,或者证书唯一标识。
可选地,根据至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息时,维护单元1120,具体用于包括:
确定第一终端所属区域发生变化时,根据第一终端的证书对应的公钥与第一终端的证书对应的证书识别信息更新第一终端所属区域的区域标识对应的公钥维护信息,或者,更新第一终端所属区域的区域标识对应的公钥维护信息以及至少一个第一终端所属区域的相邻区域的区域标识分别对应的公钥维护信息,第一终端为至少一个终端中的任意一个终端。
可选地,确定第一终端所属区域发生变化时,维护单元1120,还用于:
接收第一终端上报的第一终端所属区域的区域标识;
或者,获取区域配置信息,根据第一终端上报的地理位置信息和区域配置信息确定第一终端所属区域发生变化;
或者,获取区域配置信息,根据第一终端上报的ECGI和区域配置信息确定第一终端所属区域发生变化;
或者,获取区域配置信息,根据第一终端上报的TAC和区域配置信息确定第一终端所属区域发生变化;
其中,区域配置信息是指以至少一个基站为单位,或以至少一个TA为单位,或根据地理区域进行区域划分的划分结果,每个区域对应一个区域标识。
可选地,根据至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,维护单元1120,还用于:
确定待分析公钥维护信息集合中包含的第一公钥维护信息超时未针对第二终端的证书对应的公钥与第二终端的证书对应的证书识别信息进行更新,则服务器将第二终端的证书对应的公钥与第二终端的证书对应的证书识别信息从第一公钥维护信息中删除;
其中,待分析公钥维护信息集合中包含至少一个保存第二终端的证书对应的公钥与第二终端的证书对应的证书识别信息的公钥维护信息,第一公钥维护信息为待分析公钥维护信息集合中的任一一条公钥维护信息,第二终端为至少一个终端中的任意一个终端。
可选地,根据至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,维护单元1120,还用于:
确定第三终端从第一区域移动至第二区域时,确定第一区域和第二区域分别对应的第一邻区集合和第二邻区集合,第一邻区集合包含至少一个第一区域的相邻区域的区域标识,第二邻区集合包含至少一个第二区域的相邻区域的区域标识;
确定第一邻区集合与第二邻区集合的交集,以及待清理集合,待清理集合包含第一邻区中非交集中包含的区域标识;
从待清理集合中每个区域标识对应的公钥维护信息中,删除第三终端的证书对应的公钥与第三终端的证书对应的证书识别信息,其中,第二终端为至少一个终端中的任意一个终端。
可选地,将公钥维护信息通知给至少一个终端时,发送单元1130,具体用于:
发送公钥维护信息至至少一个终端中的每个终端。或者,将至少一个终端中的每个终端所属区域的区域标识对应的公钥维护信息和相应终端所属区域的区域标识发送至相应的终端。
可选地,将公钥维护信息通知给至少一个终端时,发送单元1130,具体用于:
广播公钥维护消息。
或者,广播至少一个区域标识和相应区域标识对应的公钥维护消息。
可选地,在将公钥维护信息通知给至少一个终端之后,发送单元1130还用于:
确定并广播公钥维护更新消息,公钥维护更新消息用于更新至少一个终端中每个终端当前存储的公钥维护信息;
可选地,公钥维护更新消息携带以下至少一种信息的组合:最新公钥维护信息、或者至少一个区域标识和相应区域标识对应的最新公钥维护消息、或者在预设时长内公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息以及新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息,或者在预设时长内每个区域标识对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息和相应的区域标识。
需要说明的是,本发明实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
参阅图12所示,本发明实施例提供一种终端1200,包括收发器1201、处理器1202和存储器1203,收发器1201、处理器1202以及存储器1203之间通过总线1204连接,其中:
收发器1201,用于将第一终端的证书上报至服务器并从服务器获取公钥维护信息,以及接收第二终端发送的通信信息,通信信息包括第二终端的证书对应的证书识别信息和第二终端为通信消息生成的签名,第二终端为通信消息生成的签名为第二终端采用第二终端的证书对应的私钥对通信消息进行签名计算后生成的。
存储器1203,用于存储处理器1202执行的程序代码。
处理器1202,用于通过存储器1203中的程序代码,执行以下操作:根据第二终端的证书对应的证书识别信息和公钥维护信息确定第二终端的证书对应的公钥,以及根据第二终端的证书对应的公钥,验证第二终端为通信消息生成的签名。
参阅图13所示,本发明实施例提供一种服务器1300,包括收发器1301、处理器1302和存储器1303,收发器1301、处理器1302以及存储器1303之间通过总线1304连接,其中:
收发器1301,用于接收至少一个终端分别上报的相应终端的证书,以及将公钥维护信息通知给至少一个终端。
存储器1303,用于存储处理器1302执行的程序代码。
处理器1302,用于通过存储器1303中的程序代码,执行以下操作:根据至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息。
本发明实施例中总线1204和总线1304分别在图12和图13中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线1204和总线1304可以分为地址总线、数据总线、控制总线等。为便于表示,图12和图13中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
其中,图10中的上报单元、获取单元1020和接收单元1030,可以由终端1200中的收发器1201实现,图10中的分析单元1040和验证单元1050可以由终端中的处理器1202实现。图11中的接收单元1110和发送单元1130,可以由服务器1300中的收发器1301实现,图11中的维护单元1120,可以由处理器1302实现。
本发明实施例中存储器1203和存储器1303,用于存储处理器1202和处理器1302执行的程序代码,可以是易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器1203和存储器1303也可以是非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD)、或者存储器1203和存储器1303是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1203和存储器1303可以是上述存储器的组合。
本发明实施例中处理器1202和处理器1302,可以是一个中央处理单元(英文:central processing unit,简称CPU)。
本发明实施例中第一终端的证书上报至服务器并从服务器获取公钥维护信息,使得第一终端在与其他终端进行通信之前及时获取公钥维护信息;第一终端接收第二终端发送的通信信息,通信信息包括第二终端的证书对应的证书识别信息和第二终端为通信消息生成的签名,此时通信消息中不再需要携带第一终端的证书,极大地节省了传输开销;第一终端根据第二终端的证书对应的证书识别信息和公钥维护信息确定第二终端的证书对应的公钥;第一终端根据第二终端的证书对应的公钥,验证第二终端为通信消息生成的签名。服务器接收至少一个终端分别上报的相应终端的证书;服务器根据至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息;服务器将公钥维护信息通知给至少一个终端,使各个终端均能够获取公钥维护信息,保证各个终端间的通信且有效节省了终端间通信的传输开销。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程
和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (32)
1.一种证书通知方法,其特征在于,包括:
第一终端将所述第一终端的证书上报至服务器并从所述服务器获取公钥维护信息,所述公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息;
所述第一终端接收第二终端发送的通信信息,所述通信信息包括所述第二终端的证书对应的证书识别信息和所述第二终端为所述通信消息生成的签名,所述第二终端为所述通信消息生成的签名为所述第二终端采用所述第二终端的证书对应的私钥对所述通信消息进行签名计算后生成的;
所述第一终端根据所述第二终端的证书对应的证书识别信息和所述公钥维护信息确定所述第二终端的证书对应的公钥;
所述第一终端根据所述第二终端的证书对应的公钥,验证所述第二终端为所述通信消息生成的签名;
其中,第一终端将所述第一终端的证书上报至服务器,包括:所述第一终端获取区域配置信息,所述区域配置信息是指以至少一个基站为单位,或以至少一个跟踪区域TA为单位,或者根据地理区域进行区域划分的划分结果,每个区域对应一个区域标识;所述第一终端根据所述区域配置信息确定自身所处区域发生变化时,将所述第一终端的证书和所述第一终端所属区域的区域标识发送至服务器。
2.如权利要求1所述的方法,其特征在于,所述证书识别信息为以下至少一种信息的组合:证书颁发者名称和证书序列号、或者证书名称,或者证书唯一标识。
3.如权利要求1所述的方法,其特征在于,所述第一终端根据所述区域配置信息确定自身所处区域发生变化,包括:
所述第一终端获取到自身的地理位置信息时,根据所述地理位置信息和所述区域配置信息确定自身所属区域发生变化;
或者,所述第一终端检测到新的ECGI时,根据所述新的ECGI和所述区域配置信息确定自身所属区域发生变化;
或者,所述第一终端检测到新的TAC时,根据所述新的跟踪区域码TAC和所述区域配置信息确定自身所属区域发生变化。
4.如权利要求1或2所述的方法,其特征在于,第一终端将所述第一终端的证书上报至服务器,包括:
所述第一终端确定证书更新后需要使用的证书,将所述更新后需要使用的证书上报至所述服务器。
5.如权利要求1或2所述的方法,其特征在于,第一终端从所述服务器获取公钥维护信息,包括:
所述第一终端接收所述服务器发送的所述公钥维护信息,
或者,所述第一终端接收所述服务器发送的所述第一终端所属区域的区域标识对应的公钥维护消息和所述第一终端所属区域的区域标识。
6.如权利要求1或2所述的方法,其特征在于,第一终端从所述服务器获取公钥维护信息,包括:
所述第一终端接收所述服务器广播的所述公钥维护消息;
或者,所述第一终端接收所述服务器广播的所述第一终端所属区域的区域标识对应的公钥维护消息和所述第一终端所属区域的区域标识。
7.如权利要求1或2所述的方法,其特征在于,在第一终端获取公钥维护信息之后,包括:
所述第一终端接收公钥维护更新消息,所述公钥维护更新消息用于更新所述第一终端当前存储的公钥维护信息;
所述第一终端根据所述公钥维护更新消息更新所述当前存储的公钥维护信息。
8.如权利要求7所述的方法,其特征在于,所述公钥维护更新消息携带以下至少一种信息的组合:最新公钥维护信息、或者至少一个区域标识和相应区域标识对应的最新公钥维护消息、或者在预设时长内所述公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息以及新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息,或者在预设时长内每个区域标识对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息和相应的区域标识。
9.一种证书通知方法,其特征在于,包括:
服务器接收至少一个终端分别上报的相应终端的证书;
所述服务器根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,所述公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息;
所述服务器将所述公钥维护信息通知给所述至少一个终端;
所述服务器根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,包括:所述服务器确定第一终端所属区域发生变化时,根据所述第一终端的证书对应的公钥与所述第一终端的证书对应的证书识别信息更新所述第一终端所属区域的区域标识对应的公钥维护信息,或者,更新所述第一终端所属区域的区域标识对应的公钥维护信息以及至少一个所述第一终端所属区域的相邻区域的区域标识分别对应的公钥维护信息,所述第一终端为所述至少一个终端中的任意一个终端;
所述服务器确定所述第一终端所属区域发生变化,包括:所述服务器接收所述第一终端上报的所述第一终端所属区域的区域标识;其中,所述第一终端所属区域的区域标识为所述第一终端根据区域配置信息确定自身所处区域发生变化时确定的,所述区域配置信息是指以至少一个基站为单位,或以至少一个TA为单位,或根据地理区域进行区域划分的划分结果,每个区域对应一个区域标识。
10.如权利要求9所述的方法,其特征在于,所述证书识别信息为以下至少一种信息的组合:证书颁发者名称和证书序列号、或者证书名称,或者证书唯一标识。
11.如权利要求9或10所述的方法,其特征在于,所述服务器根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,包括:
所述服务器确定待分析公钥维护信息集合中包含的第一公钥维护信息超时未针对第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息进行更新,则所述服务器将所述第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息从所述第一公钥维护信息中删除;
其中,所述待分析公钥维护信息集合中包含至少一个保存第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息的公钥维护信息,所述第一公钥维护信息为所述待分析公钥维护信息集合中的任一一条公钥维护信息,所述第二终端为所述至少一个终端中的任意一个终端。
12.如权利要求9或10所述的方法,其特征在于,所述服务器根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,包括:
所述服务器确定第三终端从第一区域移动至第二区域时,确定所述第一区域和所述第二区域分别对应的第一邻区集合和第二邻区集合,所述第一邻区集合包含至少一个所述第一区域的相邻区域的区域标识,所述第二邻区集合包含至少一个所述第二区域的相邻区域的区域标识;
所述服务器确定所述第一邻区集合与所述第二邻区集合的交集,以及待清理集合,所述待清理集合包含所述第一邻区中非所述交集中包含的区域标识;
所述服务器从所述待清理集合中每个区域标识对应的公钥维护信息中,删除所述第三终端的证书对应的公钥与所述第三终端的证书对应的证书识别信息,其中,所述第三终端为所述至少一个终端中的任意一个终端。
13.如权利要求9或10所述的方法,其特征在于,所述服务器将所述公钥维护信息通知给所述至少一个终端,包括:
所述服务器发送所述公钥维护信息至所述至少一个终端中的每个终端;或者,所述服务器将所述至少一个终端中的每个终端所属区域的区域标识对应的公钥维护信息和相应终端所属区域的区域标识发送至相应的终端。
14.如权利要求9或10所述的方法,其特征在于,所述服务器将所述公钥维护信息通知给所述至少一个终端,包括:
所述服务器广播所述公钥维护消息;
或者,所述服务器广播至少一个区域标识和相应区域标识对应的公钥维护消息。
15.如权利要求9或10所述的方法,其特征在于,在所述服务器将所述公钥维护信息通知给所述至少一个终端之后,还包括:
所述服务器确定并广播公钥维护更新消息,所述公钥维护更新消息用于更新所述至少一个终端中每个终端当前存储的公钥维护信息。
16.如权利要求15所述的方法,其特征在于,所述公钥维护更新消息携带以下至少一种信息的组合:最新公钥维护信息、或者至少一个区域标识和相应区域标识对应的最新公钥维护消息、或者在预设时长内所述公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息以及新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息,或者在预设时长内每个区域标识对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息和相应的区域标识。
17.一种证书通知装置,其特征在于,包括:
上报单元,用于将第一终端的证书上报至服务器;
获取单元,用于从所述服务器获取公钥维护信息,所述公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息;
接收单元,用于接收第二终端发送的通信信息,所述通信信息包括所述第二终端的证书对应的证书识别信息和所述第二终端为所述通信消息生成的签名,所述第二终端为所述通信消息生成的签名为所述第二终端采用所述第二终端的证书对应的私钥对所述通信消息进行签名计算后生成的;
分析单元,用于根据所述第二终端的证书对应的证书识别信息和所述公钥维护信息确定所述第二终端的证书对应的公钥;
验证单元,用于根据所述第二终端的证书对应的公钥,验证所述第二终端为所述通信消息生成的签名;
将所述第一终端的证书上报至服务器时,所述上报单元,具体用于:获取区域配置信息,所述区域配置信息是指以至少一个基站为单位,或以至少一个TA为单位,或者根据地理区域进行区域划分的划分结果,每个区域对应一个区域标识;根据所述区域配置信息确定自身所处区域发生变化时,将所述第一终端的证书和所述第一终端所属区域的区域标识发送至服务器。
18.如权利要求17所述的装置,其特征在于,所述证书识别信息为以下至少一种信息的组合:证书颁发者名称和证书序列号、或者证书名称,或者证书唯一标识。
19.如权利要求17所述的装置,其特征在于,根据所述区域配置信息确定自身所处区域发生变化时,所述上报单元,还用于:
获取到自身的地理位置信息时,根据所述地理位置信息和所述区域配置信息确定自身所属区域发生变化;
或者,检测到新的ECGI时,根据所述新的ECGI和所述区域配置信息确定自身所属区域发生变化;
或者,检测到新的TAC时,根据所述新的跟踪区域码TAC和所述区域配置信息确定自身所属区域发生变化。
20.如权利要求17或18所述的装置,其特征在于,将所述第一终端的证书上报至服务器,所述上报单元,用于:
确定证书更新后需要使用的证书,将所述更新后需要使用的证书上报至所述服务器。
21.如权利要求17或18所述的装置,其特征在于,从所述服务器获取公钥维护信息,所述获取单元,用于:
接收所述服务器发送的所述公钥维护信息,
或者,接收所述服务器发送的所述第一终端所属区域的区域标识对应的公钥维护消息和所述第一终端所属区域的区域标识。
22.如权利要求17或18所述的装置,其特征在于,从所述服务器获取公钥维护信息,所述获取单元,用于:
接收所述服务器广播的所述公钥维护消息;
或者,接收所述服务器广播的所述第一终端所属区域的区域标识对应的公钥维护消息和所述第一终端所属区域的区域标识。
23.如权利要求17或18所述的装置,其特征在于,在获取公钥维护信息之后,所述接收单元,还用于所述第一终端接收公钥维护更新消息,所述公钥维护更新消息用于更新所述第一终端当前存储的公钥维护信息;
所述装置还包括:
更新单元,根据所述公钥维护更新消息更新所述当前存储的公钥维护信息。
24.如权利要求23所述的装置,其特征在于,所述公钥维护更新消息携带以下至少一种信息的组合:最新公钥维护信息、或者至少一个区域标识和相应区域标识对应的最新公钥维护消息、或者在预设时长内所述公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息以及新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息,或者在预设时长内每个区域标识对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息和相应的区域标识。
25.一种证书通知装置,其特征在于,包括:
接收单元,用于接收至少一个终端分别上报的相应终端的证书;
维护单元,用于根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,所述公钥维护信息包含预设区域范围内每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息;
发送单元,用于将所述公钥维护信息通知给所述至少一个终端;
根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息时,所述维护单元,具体用于包括:确定第一终端所属区域发生变化时,根据所述第一终端的证书对应的公钥与所述第一终端的证书对应的证书识别信息更新所述第一终端所属区域的区域标识对应的公钥维护信息,或者,更新所述第一终端所属区域的区域标识对应的公钥维护信息以及至少一个所述第一终端所属区域的相邻区域的区域标识分别对应的公钥维护信息,所述第一终端为所述至少一个终端中的任意一个终端;
确定所述第一终端所属区域发生变化时,所述维护单元,还用于:接收所述第一终端上报的所述第一终端所属区域的区域标识;其中,所述第一终端所属区域的区域标识为所述第一终端根据区域配置信息确定自身所处区域发生变化时确定的,所述区域配置信息是指以至少一个基站为单位,或以至少一个TA为单位,或根据地理区域进行区域划分的划分结果,每个区域对应一个区域标识。
26.如权利要求25所述的装置,其特征在于,所述证书识别信息为以下至少一种信息的组合:证书颁发者名称和证书序列号、或者证书名称,或者证书唯一标识。
27.如权利要求25或26所述的装置,其特征在于,根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,所述维护单元,还用于:
确定待分析公钥维护信息集合中包含的第一公钥维护信息超时未针对第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息进行更新,则将所述第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息从所述第一公钥维护信息中删除;
其中,所述待分析公钥维护信息集合中包含至少一个保存第二终端的证书对应的公钥与所述第二终端的证书对应的证书识别信息的公钥维护信息,所述第一公钥维护信息为所述待分析公钥维护信息集合中的任一一条公钥维护信息,所述第二终端为所述至少一个终端中的任意一个终端。
28.如权利要求25或26所述的装置,其特征在于,根据所述至少一个终端中每个终端的证书对应的公钥与相应终端的证书对应的证书识别信息更新公钥维护信息,所述维护单元,还用于:
确定第三终端从第一区域移动至第二区域时,确定所述第一区域和所述第二区域分别对应的第一邻区集合和第二邻区集合,所述第一邻区集合包含至少一个所述第一区域的相邻区域的区域标识,所述第二邻区集合包含至少一个所述第二区域的相邻区域的区域标识;
确定所述第一邻区集合与所述第二邻区集合的交集,以及待清理集合,所述待清理集合包含所述第一邻区中非所述交集中包含的区域标识;
从所述待清理集合中每个区域标识对应的公钥维护信息中,删除所述第三终端的证书对应的公钥与所述第三终端的证书对应的证书识别信息,其中,所述第三终端为所述至少一个终端中的任意一个终端。
29.如权利要求25或26所述的装置,其特征在于,将所述公钥维护信息通知给所述至少一个终端时,所述发送单元,具体用于:
发送所述公钥维护信息至所述至少一个终端中的每个终端;或者,将所述至少一个终端中的每个终端所属区域的区域标识对应的公钥维护信息和相应终端所属区域的区域标识发送至相应的终端。
30.如权利要求25或26所述的装置,其特征在于,将所述公钥维护信息通知给所述至少一个终端时,所述发送单元,具体用于:
广播所述公钥维护消息;
或者,广播至少一个区域标识和相应区域标识对应的公钥维护消息。
31.如权利要求25或26所述的装置,其特征在于,在将所述公钥维护信息通知给所述至少一个终端之后,所述发送单元还用于:
确定并广播公钥维护更新消息,所述公钥维护更新消息用于更新所述至少一个终端中每个终端当前存储的公钥维护信息。
32.如权利要求31所述的装置,其特征在于,所述公钥维护更新消息携带以下至少一种信息的组合:最新公钥维护信息、或者至少一个区域标识和相应区域标识对应的最新公钥维护消息、或者在预设时长内所述公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息以及新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息,或者在预设时长内每个区域标识对应的公钥维护信息中发生公钥更新的终端的证书对应的公钥与相应终端的证书对应的证书识别信息、新增的终端的证书对应的公钥与相应终端的证书对应的证书识别信息和相应的区域标识。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2016/080928 WO2017190279A1 (zh) | 2016-05-03 | 2016-05-03 | 一种证书通知方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108604988A CN108604988A (zh) | 2018-09-28 |
CN108604988B true CN108604988B (zh) | 2021-01-05 |
Family
ID=60202635
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680080798.2A Active CN108604988B (zh) | 2016-05-03 | 2016-05-03 | 一种证书通知方法及装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10833874B2 (zh) |
EP (1) | EP3442159B1 (zh) |
CN (1) | CN108604988B (zh) |
WO (1) | WO2017190279A1 (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017201663A1 (de) * | 2017-02-02 | 2018-08-02 | Robert Bosch Gmbh | Verfahren zur Lokalisierung eines höher automatisierten, z.B. hochautomatisierten Fahrzeugs (HAF) in einer digitalen Lokalisierungskarte |
JP7066366B2 (ja) * | 2017-10-17 | 2022-05-13 | キヤノン株式会社 | システム、及びその方法 |
US10979897B2 (en) | 2018-01-23 | 2021-04-13 | Saferide Technologies Ltd. | Ranking identity and security posture for automotive devices |
US11095751B2 (en) * | 2018-07-25 | 2021-08-17 | Cisco Technology, Inc. | In-network content caching exploiting variation in mobility-prediction accuracy |
US11284261B2 (en) * | 2019-04-25 | 2022-03-22 | Qualcomm Incorporated | System information security container |
CN110418309B (zh) * | 2019-07-30 | 2022-06-28 | 深圳成谷科技有限公司 | 一种车路协同证书发放的方法、装置、设备及车载单元 |
DE102019130351B4 (de) * | 2019-11-11 | 2022-05-05 | Bayerische Motoren Werke Aktiengesellschaft | Kommunikationsmodul, Fortbewegungsmittel und Verfahren zum Betreiben eines Kommunikationsmoduls |
CN113256902B (zh) * | 2020-02-27 | 2024-07-12 | 深圳怡化电脑股份有限公司 | 敏感信息的安全输入方法、设备、***及存储介质 |
CN112995158B (zh) * | 2021-02-09 | 2022-11-08 | 中国建设银行股份有限公司 | 通信方法、终端、服务器及通信*** |
CN117333978A (zh) * | 2021-05-12 | 2024-01-02 | 支付宝(杭州)信息技术有限公司 | 通行处理方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1980474A (zh) * | 2005-10-13 | 2007-06-13 | 三菱电机株式会社 | 用于确定是否必须移动终端的切换过程的方法 |
CN104469763A (zh) * | 2013-09-13 | 2015-03-25 | 电信科学技术研究院 | 一种鉴权信息传输方法及装置 |
CN105427643A (zh) * | 2015-11-24 | 2016-03-23 | 西安电子科技大学 | 基于车联网的辅助云交通安全方法 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4594962B2 (ja) * | 2007-06-04 | 2010-12-08 | 株式会社日立製作所 | 検証サーバ、プログラム及び検証方法 |
CN101378582B (zh) * | 2007-08-29 | 2012-04-11 | ***通信集团公司 | 用户识别模块、鉴权中心、鉴权方法及*** |
US8090949B2 (en) * | 2008-03-13 | 2012-01-03 | GM Global Technology Operations LLC | Certificate assignment strategies for efficient operation of the PKI-based security architecture in a vehicular network |
US8230215B2 (en) * | 2008-04-11 | 2012-07-24 | Toyota Motor Engineering & Manufacturing North America, Inc. | Method for allocating multiple authentication certificates to vehicles in a vehicle-to-vehicle communication network |
CN101616006A (zh) * | 2009-07-31 | 2009-12-30 | 中兴通讯股份有限公司 | 证书管理方法、装置及*** |
US8522013B2 (en) * | 2009-08-31 | 2013-08-27 | Telcordia Technologies, Inc. | System and methods to perform public key infrastructure (PKI) operations in vehicle networks using one-way communications infrastructure |
US8397063B2 (en) * | 2009-10-07 | 2013-03-12 | Telcordia Technologies, Inc. | Method for a public-key infrastructure for vehicular networks with limited number of infrastructure servers |
CN101860824B (zh) * | 2010-05-06 | 2013-06-12 | 上海海基业高科技有限公司 | 一种基于短消息的数字签名认证***及数字签名的方法 |
CN102299797A (zh) | 2010-06-23 | 2011-12-28 | 财团法人工业技术研究院 | 认证方法、密钥分配方法及认证与密钥分配方法 |
CN102801616B (zh) * | 2012-08-02 | 2015-04-15 | 华为技术有限公司 | 报文发送和接收的方法、装置和*** |
WO2014108993A1 (ja) * | 2013-01-08 | 2014-07-17 | 三菱電機株式会社 | 認証処理装置、認証処理システム、認証処理方法および認証処理プログラム |
US9769658B2 (en) * | 2013-06-23 | 2017-09-19 | Shlomi Dolev | Certificating vehicle public key with vehicle attributes |
DE102014212443A1 (de) * | 2014-06-27 | 2015-12-31 | Robert Bosch Gmbh | Verringerung des Speicherbedarfs für kryptographische Schlüssel |
CN104301113B (zh) * | 2014-10-17 | 2017-07-14 | 飞天诚信科技股份有限公司 | 一种基于多证书多用途的数字签名方法和*** |
CA3080676C (en) * | 2016-01-28 | 2022-04-05 | Etas Embedded Systems Canada Inc. | System and method for certificate selection in vehicle-to-vehicle applications to enhance privacy |
-
2016
- 2016-05-03 WO PCT/CN2016/080928 patent/WO2017190279A1/zh active Application Filing
- 2016-05-03 CN CN201680080798.2A patent/CN108604988B/zh active Active
- 2016-05-03 EP EP16900801.8A patent/EP3442159B1/en active Active
-
2018
- 2018-11-02 US US16/178,955 patent/US10833874B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1980474A (zh) * | 2005-10-13 | 2007-06-13 | 三菱电机株式会社 | 用于确定是否必须移动终端的切换过程的方法 |
CN104469763A (zh) * | 2013-09-13 | 2015-03-25 | 电信科学技术研究院 | 一种鉴权信息传输方法及装置 |
CN105427643A (zh) * | 2015-11-24 | 2016-03-23 | 西安电子科技大学 | 基于车联网的辅助云交通安全方法 |
Also Published As
Publication number | Publication date |
---|---|
EP3442159A4 (en) | 2019-02-20 |
EP3442159B1 (en) | 2021-02-03 |
EP3442159A1 (en) | 2019-02-13 |
US10833874B2 (en) | 2020-11-10 |
WO2017190279A1 (zh) | 2017-11-09 |
CN108604988A (zh) | 2018-09-28 |
US20190081802A1 (en) | 2019-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108604988B (zh) | 一种证书通知方法及装置 | |
US10681765B2 (en) | Controlling vehicle-to-vehicle communication using a distribution scheme | |
US10687175B2 (en) | Method for transmitting and receiving V2X message in wireless communication system, and an apparatus for same | |
US20230216695A1 (en) | Method and system for reduced v2x receiver processing load using network based application layer message processing | |
CN111819880B (zh) | 无线通信的方法和装置 | |
CN108702786B (zh) | 一种通信方法、装置和*** | |
EP3316658B1 (en) | Method and device for selecting leading vehicle in automotive fleet | |
CN105430621B (zh) | 用于车辆通信的数据传输方法及装置、基站和网络侧设备 | |
WO2016197622A1 (zh) | 车联网架构及其中的业务实现方法和装置 | |
EP3119113B1 (en) | Security message transmission method and device | |
CN107564306B (zh) | 交通信息处理及相关设备 | |
US11178516B2 (en) | Intra-group communication method and device, and resource configuration method, device and system | |
WO2015184962A1 (zh) | 一种道路安全消息的发送方法及装置 | |
US9867018B2 (en) | Localized network service | |
EP3726866A1 (en) | Method and apparatus for selecting communication mode, and vehicle | |
WO2016206458A1 (zh) | 车联网中告警信息的处理方法及装置 | |
US20220198926A1 (en) | Method and System for Wireless Road Side Units | |
CN106341813B (zh) | 一种信息发送接收方法及装置 | |
WO2020259525A1 (zh) | 一种通信方法及装置 | |
US20200327806A1 (en) | Connected vehicle platform assisted v2x communications | |
CN112118542B (zh) | 多播处理方法、装置及通信设备 | |
WO2020147916A1 (en) | Vehicle-to-vehicle and vehicle-to-network communication | |
US20200336908A1 (en) | V2x communication device and secured communication method therefor | |
CN107730884B (zh) | 交通应用实例处理方法及交通控制单元 | |
CN110913364A (zh) | 一种协同认证的方法、v2x平台及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |