CN114374516A - 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备 - Google Patents

证书吊销列表分发方法、设备及存储介质、服务器、车联网设备 Download PDF

Info

Publication number
CN114374516A
CN114374516A CN202111458608.5A CN202111458608A CN114374516A CN 114374516 A CN114374516 A CN 114374516A CN 202111458608 A CN202111458608 A CN 202111458608A CN 114374516 A CN114374516 A CN 114374516A
Authority
CN
China
Prior art keywords
sub
authentication
list
revocation
global
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111458608.5A
Other languages
English (en)
Other versions
CN114374516B (zh
Inventor
王新华
李广超
刘晨光
王浩溟
王本海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING CERTIFICATE AUTHORITY
Original Assignee
BEIJING CERTIFICATE AUTHORITY
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING CERTIFICATE AUTHORITY filed Critical BEIJING CERTIFICATE AUTHORITY
Priority to CN202111458608.5A priority Critical patent/CN114374516B/zh
Publication of CN114374516A publication Critical patent/CN114374516A/zh
Application granted granted Critical
Publication of CN114374516B publication Critical patent/CN114374516B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请提供一种证书吊销列表分发方法、设备及存储介质、服务器、车联网设备,其中,一种证书吊销列表分发方法包括:所述车联网设备所属的子认证域的服务器发送针对第一全域吊销列表的获取请求;接收所述子认证域的服务器针对所述获取请求发送的所述第一全域吊销列表,所述第一全域吊销列表包括若干个子认证域的下载地址,和文件名称列表;基于所述若干个子认证域的吊销证书的文件名称列表和下载地址,从所述若干子认证域中选择一个子认证域作为第一下载节点,并从所述第一下载节点下所述若干个子认证域的吊销证书。本申请能够提高证书吊销列表分发的效率,降低证书吊销列表分发的网络资源消耗。

Description

证书吊销列表分发方法、设备及存储介质、服务器、车联网 设备
技术领域
本申请涉及计算机领域,具体而言,涉及一种证书吊销列表分发方法、设备及存储介质、服务器、车联网设备。
背景技术
V2X(Vehicle to Everything)车联网是借助新一代信息通信技术将车辆与其他车辆,路侧设施以及其他道路使用者相连接进行通信的新型网络。通过V2X可以实现车辆基本安全信息、路侧设施信息、交通事故信息等信息的动态交互,从而提高交通效率、节省资源、减少污染、降低事故发生率,改善交通管理。
V2X车联网为我们带来智慧交通便利的同时,也产生了诸多新的网络安全问题。恶意攻击者可以假冒合法车辆身份,发送伪造的信息,影响***和业务的正常运行,危害周边车辆及行人的道路交通安全;利用PC5/V5无线接口的开放性,可以伪造、篡改或重放车联网终端与路侧设施之间以及车联网终端之间传输的信息,导致服务中断或业务数据错误,影响车联网业务的正常运行,严重危害周边车辆及行人的道路交通安全;可以获取经 PC5/V5接口广播的车辆标识、位置等信息,进而造成用户身份、位置等隐私信息泄露,严重时车辆可能被非法跟踪,直接威胁用户的人身安全。
针对上述技术问题,基于公钥基础设施PKI(Public Key Infrastucture) 的电子认证技术可实现V2X车联网安全保障,但是这种方案中的证书吊销列表(CertificateRevocation List,CRL)分发方法会给每个认证域带来巨大的网络资源开销,尤其是当频繁连续的下载新的CRL,将会对每个认证域CA的网络资源方面造成很大的性能下降。
发明内容
本申请实施例的目的在于一种证书吊销列表分发方法、设备及存储介质、服务器、车联网设备,用于在提高证书吊销列表分发的效率,降低证书吊销列表分发的网络资源消耗。
为此本申请第一方面提供一种证书吊销列表分发方法,所述方法应用于车联网设备中,所述方法包括:
向所述车联网设备所属的子认证域的服务器发送针对第一全域吊销列表的获取请求;
接收所述子认证域的服务器针对所述获取请求发送的所述第一全域吊销列表,所述第一全域吊销列表包括若干个子认证域的下载地址,和所述若干个子认证域的吊销证书的文件名称列表;
基于所述若干个子认证域的吊销证书的文件名称列表和所述若干个子认证域的下载地址,从所述若干子认证域中选择一个子认证域作为第一下载节点,并从所述第一下载节点下所述若干个子认证域的吊销证书,其中,所述第一下载节点表预先生成了自身的吊销证书,以及基于所述全域吊销列预先下载了其他子认证域的吊销证书。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
在本申请实施例中,作为一种可选的实施方式,在所述从所述若干子认证域中选择一个子认证域作为下载节点并从所述第一下载节点下所述若干个子认证域的吊销证书之后,所述方法还包括:
获取所述第一下载节点的下载速度;
当所述第一下载节点的下载速度小于预设阈值时,从所述若干子认证域中选择一个子认证域作为第二下载节点;
基于所述吊销证书的当前已下载数据,从所述第二下载节点所述吊销证书的剩余数据。
本可选的实施方式能够实现断点续传下载机制。
本申请第二方面公开一种证书吊销列表分发方法,所述方法应用子认证域中的服务器,所述方法包括:
接收所述子认证域内的车联网设备发送的针对第一全域吊销列表的获取请求;
向所述车联网设备发送所述第一全域吊销列表,所述第一全域吊销列表包括若干个子认证域的下载地址,和所述若干个子认证域的吊销证书的文件名称列表,以使得所述车联网设备基于所述若干个子认证域的吊销证书的文件名称列表和所述若干个子认证域的下载地址,从所述若干子认证域中选择一个子认证域作为第一下载节点,并从所述第一下载节点下所述若干个子认证域的吊销证书,其中,所述第一下载节点表预先生成了自身的吊销证书,以及基于所述全域吊销列预先下载了其他子认证域的吊销证书。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
在本申请第二方面中,作为一种可选的实施方式,在所述接收所述子认证域内的车联网设备发送的针对第一全域吊销列表的获取请求之前,所述方法还包括:
接收全局认证域的服务器发送的所述第二全域吊销列表的下载地址;
根据所述第二全域吊销列表的下载地址下载所述第二全域吊销列表;
根据所述第二全域吊销列表从所述若干个子认证的服务器下载每个所述子认证域的吊销证书;
当所有所述子认证域的吊销证书下载完成时,基于所述第二全域吊销列表更新所述第二全域吊销列表,并得到所述第一全域吊销列表。
本可选地实施方式基于第二全域吊销列表能够更新第二全域吊销列表,并得到第一全域吊销列表。
在本申请第二方面中,作为一种可选的实施方式,在所述接收全局认证域的服务器发送的所述第二全域吊销列表的下载地址之前,所述方法还包括:
将域内的吊销证书列表发送至所述全局认证域的服务器,以使得所述全局认证域的服务器根据所述若干个子认证域的吊销证书列表构造所述第二全域吊销列表。
本可选的实施方法,通过将域内的吊销证书列表发送至所述全局认证域的服务器,能够使得所述全局认证域的服务器根据所述若干个子认证域的吊销证书列表构造所述第二全域吊销列表。
在本申请第二方面中,作为一种可选的实施方式,在所述将域内的吊销证书列表发送至所述全局认证域的服务器之前,所述方法还包括:
将所述域内的吊销证书分割为若干数据块;
确定每个所述数据块的文件名称;
确定每个所述数据块的下载地址;
基于每个所述数据块的文件名称和每个所述数据块的下载地址,构造所述域内的吊销证书列表。
本可选的实施方式通过将吊销证书分割为若干数据块,能够避免第二全域吊销证书本身数据量过大,并实现多认证域之间实现负载均衡,从而解决当一个CRL太大,所导致的V2X设备下载CRL缓慢、中断重下载的问题,从而提升网络资源利用效率。
在本申请第二方面中,作为一种可选的实施方式,在所述所述基于每个所述数据块的文件名称和每个所述数据块的下载地址,构造所述域内的吊销证书列表之后,所述方法还包括:
获取域内的私钥;
根据所述域内的私钥对所述域内的吊销证书列表进行数字签名,并得到第一签名值;
将所述第一签名值写入所述域内的吊销证书列表中。
本可选的实施方式通过将域内的吊销证书列表进行数字签名,能够保证域内的吊销证书列表的来源的合法性和内容的完整性。
在本申请第二方面中,作为一种可选的实施方式,所述确定每个所述数据块的文件名称,包括:
基于哈希函数计算每个所述数据块的哈希值;
将所述数据块的哈希值确定为所述数据块的文件名称。
在本可选的实施方式中,由于哈希函数具有单向性和抗碰撞性特点,因此将数据块的哈希值确定为数据块的文件名称能够保证数据块的完整性,防止被攻击者篡改。
本申请第三方面公开一种证书吊销列表分发方法,所述方法应用全局认证域中的服务器,所述方法包括:
接收若干个子认证域发送的域内的吊销证书列表;
根据所述若干个子认证域的所述域内的吊销证书列表构造第二全域吊销列表;
基于预设的周期向所述干个子认证域发布所述第二全域吊销列表的下载地址。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
在本申请第三方面中,作为一种可选的实施方式,在所述根据所述若干个子认证域的所述域内的吊销证书列表构造第二全域吊销列表之后,所述方法还包括:
确定全局认证域的私钥;
根据所述全局认证域的私钥对所述第二全域吊销列表进行数字签名,并得到第二签名值;
基于所述第二签名值更新所述第二全域吊销列表的签名值。
本实施方式通过第二全域吊销列表进行数字签名,能够保证第二全域吊销列表的来源的合法性和内容的完整性。
在本申请第三方面中,作为一种可选的实施方式,在所述根据所述若干个子认证域的所述域内的吊销证书列表构造第二全域吊销列表之后,所述方法还包括:
检测在所述预设的周期内,所述子认证域是否更新所述域内的吊销证书列表,若是则根据所述域内的吊销证书列的更新结果更新所述第二全域吊销列表;
当所述第二全域吊销列表更新完成时,向所述干个子认证域发布更新后的所述第二全域吊销列表的下载地址。
本可选的实施方式能够实现当预设的周期内何一个认证域发布了新的 CRL后,GCRLA也能够及时不定期发布更新后的第二全域吊销列表。
本申请第四方面公开一种车联网设备,所述车联网设备包括:
第一发送模块,用于向所述车联网设备所属的子认证域的服务器发送针对第一全域吊销列表的获取请求;
第一接收模块,用于接收所述子认证域的服务器针对所述获取请求发送的所述第一全域吊销列表,所述第一全域吊销列表包括若干个子认证域的下载地址,和所述若干个子认证域的吊销证书的文件名称列表;
下载模块,用于基于所述若干个子认证域的吊销证书的文件名称列表和所述若干个子认证域的下载地址,从所述若干子认证域中选择一个子认证域作为第一下载节点,并从所述第一下载节点下所述若干个子认证域的吊销证书,其中,所述第一下载节点表预先生成了自身的吊销证书,以及基于所述全域吊销列预先下载了其他子认证域的吊销证书。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
本申请第五方面公开一种服务器,所述服务器包括:
第二接收模块,用于接收所述子认证域内的车联网设备发送的针对第一全域吊销列表的获取请求;
第二发送模块,用于向所述车联网设备发送所述第一全域吊销列表,所述第一全域吊销列表包括若干个子认证域的下载地址,和所述若干个子认证域的吊销证书的文件名称列表,以使得所述车联网设备基于所述若干个子认证域的吊销证书的文件名称列表和所述若干个子认证域的下载地址,从所述若干子认证域中选择一个子认证域作为第一下载节点,并从所述第一下载节点下所述若干个子认证域的吊销证书,其中,所述第一下载节点表预先生成了自身的吊销证书,以及基于所述全域吊销列预先下载了其他子认证域的吊销证书。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
本申请第六方面公开另一种服务器,所述服务器包括:
第三接收模块,用于接收若干个子认证域发送的域内的吊销证书列表;
构造模块,用于根据所述若干个子认证域的所述域内的吊销证书列表构造第二全域吊销列表;
发布模块,用于基于预设的周期向所述干个子认证域发布所述第二全域吊销列表的下载地址。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
本申请第七方面公开一种证书吊销列表分发设备,所述证书吊销列表分发设备包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本申请的证书吊销列表分发方法。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
本申请第八方面公开一种存储介质,所述存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本申请的证书吊销列表分发方法。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种证书吊销列表分发***的架构示意图;
图2是本申请公开的一种应用于图1所示证书吊销列表分发***的跨认证域CRL分发方法流程示意图;
图3是本申请实施例提供的一种2X车联网***的车联网通信安全实体关系参考模型的结构示意图;
图4是本申请实施例一公开的一种证书吊销列表分发方法的流程示意图;
图5是本申请实施例二公开的一种证书吊销列表分发方法的流程示意图;
图6是本申请实施例三公开的一种证书吊销列表分发方法的流程示意图;
图7是本申请实施例四公开的一种车联网设备的功能模块示意图;
图8是本申请实施例五公开的一种服务器的功能模块示意图;
图9是本申请实施例六公开的一种服务器的功能模块示意图;
图10是本申请实施例公开的一种证书吊销列表分发设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
在详细介绍本申请实施例之前,本申请对一种证书吊销列表分发***进行详细说明。请参阅图1,图1是本申请实施例公开的一种证书吊销列表分发***的架构示意图。如图1所示,证书吊销列表分发***包括全域CRL 列表发布管理机构GCRLA(即全局认证域)、由认证域D1、认证域D2.、认证域Dn.成的若干子认证域、V2X设备(即车联网设备),其中,吊销列表分发***包括全域CRL列表发布管理机构GCRLA包括认证域管理模块和全域CRL信息列表发布模块,具体地,认证域管理模块负责每个认证域的注册、管理、下发全域CRL信息列表的下载地址至各认证域和接收各认证域上传的CRL信息列表下载地址。全域CRL信息列表发布模块负责为各认证域提供全域CRL信息列表T的下载。
另一方面,请参阅图2,图2是本申请公开的一种应用于图1所示证书吊销列表分发***的跨认证域CRL分发方法流程示意图。如图2所示,在证书吊销列表分发***中,认证域D1根据全域CRL信息列表能够下载认证域D2的数据块,认证域D2根据全域CRL信息列表也能够下载认证域D1的数据块,依次类推每个认证域能够下载其他认证域的数据块,这样一来,由于每个认证域都保存了自身和其他认证域的数据块,这样一来,当一个认证域下的V2X设备需要下载所有认证域的吊销证书时,从若干个认证域中选择一个认证域就能够从该选择的认证域下载所有认证域的吊销证书,而不需要访问所有的认证域,以下载每个认证域的数据块,进而降低了网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
在本申请中,证书吊销列表分发系应用在V2X车联网***中,其中, V2X车联网***基于公钥基础设施PKI(Public Key Infrastucture)的电子认证技术实现了车辆网的安全保障。具体地,请参阅图3,图3是本申请实施例提供的一种2X车联网***的车联网通信安全实体关系参考模型的结构示意图。如图3所示,车联网通信安全实体关系参考模型包括了认证管理机构、服务提供商、路侧设备、若干车载设备。本申请证书吊销列表分发系应用在车联网通信安全实体关系参考模型,能够在避免利用PC5/V5无线接口的开放性,伪造、篡改或重放车联网终端与路侧设施之间以及车联网终端之间传输的信息,导致服务中断或业务数据错误,影响车联网业务的正常运行,严重危害周边车辆及行人的道路交通安全,以及通过获取经 PC5/V5接口广播的车辆标识、位置等信息,进而造成用户身份、位置等隐私信息泄露,车辆被非法跟踪,威胁用户的人身安全这类问题的同时,能够提高吊销证书的分发效率和降低网络资源的消耗。
具体地,在车联网通信安全实体关系参考模型中,车载设备(On Board Unit,OBU):安装在车辆上,为负责V2X通信的实体,是V2X设备的一种,在本申请中,为了便于描述,将V2X设备称为车联网设备。进一步地,在车载设备数据发送时,OBU使用CA签发给它的数字证书对其播发的信息进行数字签名和/或使用数据接收方证书对数据进行加密;数据接收时,OBU 使用发送方的公钥对消息进行验证和/或使用本地私钥对加密消息进行解密。
具体地,在车联网通信安全实体关系参考模型中,路侧设备(Road Side Unit,RSU):安装在路侧交通控制设备和交通信息发布设备中,为负责V2X 通信的实体,是V2X设备的一种。路侧设备数据发送时,RSU使用CA签发给它的数字证书对其播发的信息进行数字签名和/或使用数据接收方证书对数据进行加密;数据接收时,RSU使用发送方的公钥对消息进行验证和/ 或使用本地私钥对加密消息进行解密。
具体地,在车联网通信安全实体关系参考模型中,服务提供商(V2X ServiceProvider,VSP):负责道路交通的管理机构和在车联网***里提供某种商业服务的服务机构。数据发送时,VSP使用CA签发给它的数字证书对其播发的信息进行数字签名和/或使用数据接收方证书对数据进行加密;数据接收时,VSP使用发送方的公钥对消息进行验证和/或使用本地私钥对加密消息进行解密。VSP需要通过具有转发能力的路侧设备进行安全消息的发送和接收。
具体地,在车联网通信安全实体关系参考模型中,证书管理机构 (CertificateAuthority,CA):负责向车联网设备(OBU,RSU,VSP) 签发各种V2X数字证书,例如注册CA、假名CA、应用CA、证书吊销机构 (Certificate Revocation Authority,CRA)等。
具体地,在车联网通信安全实体关系参考模型中,证书吊销是PKI中的一个关键性操作。目前分发V2X证书吊销信息使用由CA签发的证书吊销列表(Certificate RevocationList,CRL)。在验证证书有效性时必须检查它是否已经作废,即检查该证书是否在CRL中。CRL数据文件是包含被吊销数字证书有关信息的列表。V2X证书包括注册证书、假名证书、应用证书、身份证书。V2X证书的吊销,主要基于异常行为机制实现。当CA收到针对某V2X设备的异常行为上报信息后,根据CA的异常行为决策策略,判断该V2X证书是否需要吊销。当判断该V2X证书需要吊销时,由CA负责该设备假名、应用、身份证书CRL的签发。
在车联网***中,可能会有多个独立的PKI***为车联网设备提供证书服务,每个PKI的服务范围称为一个认证域。认证域是指由一个PKI***全部证书构成的可信域。每个认证域的CA会签发该认证域内的CRL。跨认证域认证是指位于一个认证域中的车联网设备能够认证由其他认证域签发给该域车联网设备的证书。跨认证域认证时,车载V2X设备需要下载每个认证域的CRL,在验证某认证域中证书有效性时必须检查他是否已经作废,即检查该证书是否在CRL中。
在本申请中,具体地,CRL是PKI***中的一个结构化数据文件,该文件包含了证书颁发机构(CA)已经吊销的证书的序列号及其吊销日期。 CRL文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,最长时间一般为1天。由各个证书颁发机构根据证书服务策略在设置其证书颁发***时设置。
实施例一
请参阅图4,图4是本申请实施例公开的一种证书吊销列表分发方法的流程示意图。如图4所示,本申请实施例的方法包括以下步骤:
101、向车联网设备所属的子认证域的服务器发送针对第一全域吊销列表的获取请求;
102、接收子认证域的服务器针对获取请求发送的第一全域吊销列表,第一全域吊销列表包括若干个子认证域的下载地址,和若干个子认证域的吊销证书的文件名称列表;
103、基于若干个子认证域的吊销证书的文件名称列表和若干个子认证域的下载地址,从若干子认证域中选择一个子认证域作为第一下载节点,并从第一下载节点下若干个子认证域的吊销证书,其中,第一下载节点表预先生成了自身的吊销证书,以及基于全域吊销列预先下载了其他子认证域的吊销证书。
在本申请实施例中,子认证域是指相对全局认证域而言,全局认证域中管理的下级认证域,其中,全局认证域指的是图1中所示的全域CRL列表发布管理机构(GlobalCertificate Revocation List Authority,GCRLA),而子认证域指的是图1所示的认证域D1、或认证域D2、或认证域Dn
在本申请实施例中,第一全域吊销列表的数据结构可以{版本号,签发者,序列号,本次签发时间,下次签发时间,各认证域下载地址列表,hi列表,签名值},其中,版本号表示的全域吊销列表版本情况,例如第一时间发布的全域吊销列表的版本为V1,在第二时间发布的全域吊销列表的版本为V2,全域吊销列表版本的版本号可用于记录全域吊销列表的更新迭代过程。进一步地,hi列表为吊销证书的文件名称列表,其包括每个子认证域的吊销证书的文件名称。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
在本申请实施例中,作为一种可选的实施方式,在步骤:从若干子认证域中选择一个子认证域作为下载节点并从第一下载节点下若干个子认证域的吊销证书之后,本申请实施例的方法还包括以下步骤:
获取第一下载节点的下载速度;
当第一下载节点的下载速度小于预设阈值时,从若干子认证域中选择一个子认证域作为第二下载节点;
基于吊销证书的当前已下载数据,从第二下载节点吊销证书的剩余数据。
本可选的实施方式能够实现断点续传下载机制。
实施例二
请参阅图5,图5是本申请实施例公开的一种证书吊销列表分发方法的流程示意图,其中,该方法应用子认证域中的服务器。如图5所示,本申请实施例的方法包括以下步骤:
201、接收子认证域内的车联网设备发送的针对第一全域吊销列表的获取请求;
202、向车联网设备发送第一全域吊销列表,第一全域吊销列表包括若干个子认证域的下载地址,和若干个子认证域的吊销证书的文件名称列表,以使得车联网设备基于若干个子认证域的吊销证书的文件名称列表和若干个子认证域的下载地址,从若干子认证域中选择一个子认证域作为第一下载节点,并从第一下载节点下若干个子认证域的吊销证书,其中,第一下载节点表预先生成了自身的吊销证书,以及基于全域吊销列预先下载了其他子认证域的吊销证书。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
在本申请实施例中,作为一种可选的实施方式,在步骤201:接收子认证域内的车联网设备发送的针对第一全域吊销列表的获取请求之前,本申请实施例的方法还包括以下步骤:
接收全局认证域的服务器发送的第二全域吊销列表的下载地址;
根据第二全域吊销列表的下载地址下载第二全域吊销列表;
根据第二全域吊销列表从若干个子认证的服务器下载每个子认证域的吊销证书;
当所有子认证域的吊销证书下载完成时,基于第二全域吊销列表更新第二全域吊销列表,并得到第一全域吊销列表。
在本可选的实施方式中,第二全域吊销列表的数据结构为{版本号,签发者,序列号,签发时间,下次签发时间,(Di标识,di下载地址,hi列表),签名值},其中,Di表示每个子认证域,其下标表示子认证域的编号,di表示子认证域的数据块,di中的下标表示数据块的编号。
本可选地实施方式基于第二全域吊销列表能够更新第二全域吊销列表,并得到第一全域吊销列表。
在本申请实施例中,作为一种可选的实施方式,在步骤201接收全局认证域的服务器发送的第二全域吊销列表的下载地址之前,本申请实施例的方法还包括以下步骤:
将域内的吊销证书列表发送至全局认证域的服务器,以使得全局认证域的服务器根据若干个子认证域的吊销证书列表构造第二全域吊销列表。
示例性地,假设子认证域的吊销证书列表用ti表示,则全局认证域的服务器接收列表ti(i=1..n)。进一步地,ti的数据结构为{版本号,签发者,序列号,签发时间,下次签发时间,di下载地址,hi列表,签名值}。
在本申请实施例中,作为一种可选的实施方式,在步骤:将域内的吊销证书列表发送至全局认证域的服务器之前,本申请实施例的方法还包括以下步骤:
将域内的吊销证书分割为若干数据块;
确定每个数据块的文件名称;
确定每个数据块的下载地址;
基于每个数据块的文件名称和每个数据块的下载地址,构造域内的吊销证书列表。
在本申请实施例中,作为一个示例,将域内的吊销证书分割为若干数据块,是指根据域内的吊销证书的数据量将域内的吊销证书分割为若干个数据块,例如,假设,域内的吊销证书的数据量为5M,则可将这5M的域内的吊销证书分割为5个数据块,其中,每个数据块的数据量为1M。本可选的实施方式通过将吊销证书分割为若干数据块,能够避免第二全域吊销证书本身数据量过大,并实现多认证域之间实现负载均衡,从而解决当一个 CRL太大,所导致的V2X设备下载CRL缓慢、中断重下载的问题,从而提升网络资源利用效率。
在本申请实施例中,作为一种可选的实施方式,在步骤基于每个数据块的文件名称和每个数据块的下载地址,构造域内的吊销证书列表之后,本申请实施例的方法还包括以下步骤:
获取域内的私钥;
根据域内的私钥对域内的吊销证书列表进行数字签名,并得到第一签名值;
将第一签名值写入域内的吊销证书列表中。
本可选的实施方式通过将域内的吊销证书列表进行数字签名,能够保证域内的吊销证书列表的来源的合法性和内容的完整性。
在本申请实施例中,作为一种可选的实施方式,确定每个数据块的文件名称,包括:
基于哈希函数计算每个数据块的哈希值;
将数据块的哈希值确定为数据块的文件名称。
进一步地,在本申请实施例中,哈希函数可以是SM3函数、SHA256函数中一种,或者是其他类型的哈希函数,对比本申请实施例不作限定。
在本可选的实施方式中,由于哈希函数具有单向性和抗碰撞性特点,因此将数据块的哈希值确定为数据块的文件名称能够保证数据块的完整性,防止被攻击者篡改。
实施例三
请参阅图6,图6是本申请实施例公开的一种证书吊销列表分发方法的流程示意图,其中,该方法应用于全局认证域中的服务器。如图6所示,本申请实施例的方法包括以下步骤:
301、接收若干个子认证域发送的域内的吊销证书列表;
302、根据若干个子认证域的域内的吊销证书列表构造第二全域吊销列表;
303、基于预设的周期向干个子认证域发布第二全域吊销列表的下载地址。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
在本申请实施例中,作为一种可选的实施方式,在步骤302:根据若干个子认证域的域内的吊销证书列表构造第二全域吊销列表之后,本申请实施例的方法还包括:
确定全局认证域的私钥;
根据全局认证域的私钥对第二全域吊销列表进行数字签名,并得到第二签名值;
基于第二签名值更新第二全域吊销列表的签名值。
本实施方式通过第二全域吊销列表进行数字签名,能够保证第二全域吊销列表的来源的合法性和内容的完整性。
在本申请实施例中,作为一种可选的实施方式,在步骤:根据若干个子认证域的域内的吊销证书列表构造第二全域吊销列表之后,本申请实施例的方法还包括以下步骤:
检测在预设的周期内,子认证域是否更新域内的吊销证书列表,若是则根据域内的吊销证书列的更新结果更新第二全域吊销列表;
当第二全域吊销列表更新完成时,向干个子认证域发布更新后的第二全域吊销列表的下载地址。
本可选的实施方式能够实现当预设的周期内何一个认证域发布了新的 CRL后,GCRLA也能够及时不定期发布更新后的第二全域吊销列表。
实施例四
请参阅图7,图7是本申请实施例公开的一种车联网设备的功能模块示意图。如图7所示,本申请实施例的包括:
第一发送模块401,用于向车联网设备所属的子认证域的服务器发送针对第一全域吊销列表的获取请求;
第一接收模块402,用于接收子认证域的服务器针对获取请求发送的第一全域吊销列表,第一全域吊销列表包括若干个子认证域的下载地址,和若干个子认证域的吊销证书的文件名称列表;
下载模块403,用于基于若干个子认证域的吊销证书的文件名称列表和若干个子认证域的下载地址,从若干子认证域中选择一个子认证域作为第一下载节点,并从第一下载节点下若干个子认证域的吊销证书,其中,第一下载节点表预先生成了自身的吊销证书,以及基于全域吊销列预先下载了其他子认证域的吊销证书。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
需要说明的是,关于本申请实施例的其他说明请参阅本申请实施例一,本申请实施例在此不作赘述。
实施例五
请参阅图8,图8是本申请实施例公开的一种服务器的功能模块示意图。如图8所示,本申请实施例的服务器包括:
第二接收模块501,用于接收子认证域内的车联网设备发送的针对第一全域吊销列表的获取请求;
第二发送模块502,用于向车联网设备发送第一全域吊销列表,第一全域吊销列表包括若干个子认证域的下载地址,和若干个子认证域的吊销证书的文件名称列表,以使得车联网设备基于若干个子认证域的吊销证书的文件名称列表和若干个子认证域的下载地址,从若干子认证域中选择一个子认证域作为第一下载节点,并从第一下载节点下若干个子认证域的吊销证书,其中,第一下载节点表预先生成了自身的吊销证书,以及基于全域吊销列预先下载了其他子认证域的吊销证书。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
需要说明的是,关于本申请实施例的其他说明请参阅本申请实施例二,本申请实施例在此不作赘述。
实施例六
请参阅图9,图9是本申请实施例公开的一种服务器的功能模块示意图。如图9所示,本申请实施例的服务器包括:
第三接收模块601,用于接收若干个子认证域发送的域内的吊销证书列表;
构造模块602,用于根据若干个子认证域的域内的吊销证书列表构造第二全域吊销列表;
发布模块603,用于基于预设的周期向干个子认证域发布第二全域吊销列表的下载地址。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
需要说明的是,关于本申请实施例的其他说明请参阅本申请实施例三,本申请实施例在此不作赘述。
实施例七
请参阅图10,图10是本申请实施例公开的一种证书吊销列表分发设备的结构示意图。如图10所示,证书吊销列表分发设备包括:
存储有可执行程序代码的存储器701;
与存储器耦合的处理器702;
处理器702调用存储器701中存储的可执行程序代码,执行如本申请实施例一、二、三公开的证书吊销列表分发方法。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
实施例八
本申请实施例公开一种存储介质,存储介质存储有计算机指令,计算机指令被调用时,用于执行如本申请实施例一、二、三公开的证书吊销列表分发方法。
在本申请实施例中,由于每个子认证域的服务器都存储有自身的吊销证书和其他认证域的吊销证书,因此在车联网设备为了确保其他车联网设备是否安全可信而需要吊销证书时,当前车联网设备只需要在若干子认证域中选择一个认证域作为下载节点即可下载全局认证域内的吊销证书列表,这样一来,当前车联网设备设备就不需要访问所有的认证域获取每个认证域的吊销证书列表,进而可降低网络资源的消耗。例如,假设认证域有m1个,每个认证域下有m2个V2X设备,按照现有技术,为了确保每个V2X设备都能够识别全局中的其他V2X设备的可信度或安全性,则每个V2X设备均需要访问所有的认证域,即网络资源消耗量为m1*m2,然而相比而言,本申请的证书吊销列表分发***中的m2个V2X设备均只需要访问一个认证域,即网络资源消耗量为(1/m1)*m2,这样一来就明显降低了网络消耗量。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器 (Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (16)

1.一种证书吊销列表分发方法,其特征在于,所述方法应用于车联网设备中,所述方法包括:
向所述车联网设备所属的子认证域的服务器发送针对第一全域吊销列表的获取请求;
接收所述子认证域的服务器针对所述获取请求发送的所述第一全域吊销列表,所述第一全域吊销列表包括若干个子认证域的下载地址,和所述若干个子认证域的吊销证书的文件名称列表;
基于所述若干个子认证域的吊销证书的文件名称列表和所述若干个子认证域的下载地址,从所述若干子认证域中选择一个子认证域作为第一下载节点,并从所述第一下载节点下所述若干个子认证域的吊销证书,其中,所述第一下载节点表预先生成了自身的吊销证书,以及基于所述全域吊销列预先下载了其他子认证域的吊销证书。
2.如权利要求1所述的方法,其特征在于,在所述从所述若干子认证域中选择一个子认证域作为下载节点并从所述第一下载节点下所述若干个子认证域的吊销证书之后,所述方法还包括:
获取所述第一下载节点的下载速度;
当所述第一下载节点的下载速度小于预设阈值时,从所述若干子认证域中选择一个子认证域作为第二下载节点;
基于所述吊销证书的当前已下载数据,从所述第二下载节点所述吊销证书的剩余数据。
3.一种证书吊销列表分发方法,其特征在于,所述方法应用子认证域中的服务器,所述方法包括:
接收所述子认证域内的车联网设备发送的针对第一全域吊销列表的获取请求;
向所述车联网设备发送所述第一全域吊销列表,所述第一全域吊销列表包括若干个子认证域的下载地址,和所述若干个子认证域的吊销证书的文件名称列表,以使得所述车联网设备基于所述若干个子认证域的吊销证书的文件名称列表和所述若干个子认证域的下载地址,从所述若干子认证域中选择一个子认证域作为第一下载节点,并从所述第一下载节点下所述若干个子认证域的吊销证书,其中,所述第一下载节点表预先生成了自身的吊销证书,以及基于所述全域吊销列预先下载了其他子认证域的吊销证书。
4.如权利要求3所述的方法,其特征在于,在所述接收所述子认证域内的车联网设备发送的针对第一全域吊销列表的获取请求之前,所述方法还包括:
接收全局认证域的服务器发送的所述第二全域吊销列表的下载地址;
根据所述第二全域吊销列表的下载地址下载所述第二全域吊销列表;
根据所述第二全域吊销列表从所述若干个子认证的服务器下载每个所述子认证域的吊销证书;
当所有所述子认证域的吊销证书下载完成时,基于所述第二全域吊销列表更新所述第二全域吊销列表,并得到所述第一全域吊销列表。
5.如权利要求4所述的方法,其特征在于,在所述接收全局认证域的服务器发送的所述第二全域吊销列表的下载地址之前,所述方法还包括:
将域内的吊销证书列表发送至所述全局认证域的服务器,以使得所述全局认证域的服务器根据所述若干个子认证域的吊销证书列表构造所述第二全域吊销列表。
6.如权利要求5所述的方法,其特征在于,在所述将域内的吊销证书列表发送至所述全局认证域的服务器之前,所述方法还包括:
将所述域内的吊销证书分割为若干数据块;
确定每个所述数据块的文件名称;
确定每个所述数据块的下载地址;
基于每个所述数据块的文件名称和每个所述数据块的下载地址,构造所述域内的吊销证书列表。
7.如权利要求6所述的方法,其特征在于,在所述所述基于每个所述数据块的文件名称和每个所述数据块的下载地址,构造所述域内的吊销证书列表之后,所述方法还包括:
获取域内的私钥;
根据所述域内的私钥对所述域内的吊销证书列表进行数字签名,并得到第一签名值;
将所述第一签名值写入所述域内的吊销证书列表中。
8.如权利要求6所述的方法,其特征在于,所述确定每个所述数据块的文件名称,包括:
基于哈希函数计算每个所述数据块的哈希值;
将所述数据块的哈希值确定为所述数据块的文件名称。
9.一种证书吊销列表分发方法,其特征在于,所述方法应用全局认证域中的服务器,所述方法包括:
接收若干个子认证域发送的域内的吊销证书列表;
根据所述若干个子认证域的所述域内的吊销证书列表构造第二全域吊销列表;
基于预设的周期向所述干个子认证域发布所述第二全域吊销列表的下载地址。
10.如权利要求9所述的方法,其特征在于,在所述根据所述若干个子认证域的所述域内的吊销证书列表构造第二全域吊销列表之后,所述方法还包括:
确定全局认证域的私钥;
根据所述全局认证域的私钥对所述第二全域吊销列表进行数字签名,并得到第二签名值;
基于所述第二签名值更新所述第二全域吊销列表的签名值。
11.如权利要求9所述的方法,其特征在于,在所述根据所述若干个子认证域的所述域内的吊销证书列表构造第二全域吊销列表之后,所述方法还包括:
检测在所述预设的周期内,所述子认证域是否更新所述域内的吊销证书列表,若是则根据所述域内的吊销证书列的更新结果更新所述第二全域吊销列表;
当所述第二全域吊销列表更新完成时,向所述干个子认证域发布更新后的所述第二全域吊销列表的下载地址。
12.一种车联网设备,其特征在于,所述车联网设备包括:
第一发送模块,用于向所述车联网设备所属的子认证域的服务器发送针对第一全域吊销列表的获取请求;
第一接收模块,用于接收所述子认证域的服务器针对所述获取请求发送的所述第一全域吊销列表,所述第一全域吊销列表包括若干个子认证域的下载地址,和所述若干个子认证域的吊销证书的文件名称列表;
下载模块,用于基于所述若干个子认证域的吊销证书的文件名称列表和所述若干个子认证域的下载地址,从所述若干子认证域中选择一个子认证域作为第一下载节点,并从所述第一下载节点下所述若干个子认证域的吊销证书,其中,所述第一下载节点表预先生成了自身的吊销证书,以及基于所述全域吊销列预先下载了其他子认证域的吊销证书。
13.一种服务器,其特征在于,所述服务器包括:
第二接收模块,用于接收所述子认证域内的车联网设备发送的针对第一全域吊销列表的获取请求;
第二发送模块,用于向所述车联网设备发送所述第一全域吊销列表,所述第一全域吊销列表包括若干个子认证域的下载地址,和所述若干个子认证域的吊销证书的文件名称列表,以使得所述车联网设备基于所述若干个子认证域的吊销证书的文件名称列表和所述若干个子认证域的下载地址,从所述若干子认证域中选择一个子认证域作为第一下载节点,并从所述第一下载节点下所述若干个子认证域的吊销证书,其中,所述第一下载节点表预先生成了自身的吊销证书,以及基于所述全域吊销列预先下载了其他子认证域的吊销证书。
14.一种服务器,其特征在于,所述服务器包括:
第三接收模块,用于接收若干个子认证域发送的域内的吊销证书列表;
构造模块,用于根据所述若干个子认证域的所述域内的吊销证书列表构造第二全域吊销列表;
发布模块,用于基于预设的周期向所述干个子认证域发布所述第二全域吊销列表的下载地址。
15.一种证书吊销列表分发设备,其特征在于,所述证书吊销列表分发设备包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-11任一项所述的证书吊销列表分发方法。
16.一种存储介质,其特征在于,所述存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1-11任一项所述的证书吊销列表分发方法。
CN202111458608.5A 2021-12-02 2021-12-02 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备 Active CN114374516B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111458608.5A CN114374516B (zh) 2021-12-02 2021-12-02 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111458608.5A CN114374516B (zh) 2021-12-02 2021-12-02 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备

Publications (2)

Publication Number Publication Date
CN114374516A true CN114374516A (zh) 2022-04-19
CN114374516B CN114374516B (zh) 2022-10-21

Family

ID=81140220

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111458608.5A Active CN114374516B (zh) 2021-12-02 2021-12-02 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备

Country Status (1)

Country Link
CN (1) CN114374516B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115802350A (zh) * 2023-02-07 2023-03-14 中汽智联技术有限公司 证书撤销状态验证***、方法和存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090235071A1 (en) * 2008-03-13 2009-09-17 Gm Global Technology Operations, Inc. Certificate assignment strategies for efficient operation of the pki-based security architecture in a vehicular network
US20170277884A1 (en) * 2016-03-23 2017-09-28 Industrial Technology Research Institute Security certificate management method for a vehicular network node and vehicular network node applying the same
WO2020035137A1 (en) * 2018-08-14 2020-02-20 Huawei Technologies Co., Ltd. Lightweight certificate status checking system for large number of certificates
US20200106624A1 (en) * 2018-09-28 2020-04-02 Blackberry Limited Method and system for intelligent transportation system certificate revocation list reduction
CN113395160A (zh) * 2020-03-11 2021-09-14 大唐移动通信设备有限公司 证书管理方法、装置、颁发实体、管理实体及车联网设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090235071A1 (en) * 2008-03-13 2009-09-17 Gm Global Technology Operations, Inc. Certificate assignment strategies for efficient operation of the pki-based security architecture in a vehicular network
US20170277884A1 (en) * 2016-03-23 2017-09-28 Industrial Technology Research Institute Security certificate management method for a vehicular network node and vehicular network node applying the same
WO2020035137A1 (en) * 2018-08-14 2020-02-20 Huawei Technologies Co., Ltd. Lightweight certificate status checking system for large number of certificates
US20200106624A1 (en) * 2018-09-28 2020-04-02 Blackberry Limited Method and system for intelligent transportation system certificate revocation list reduction
CN113395160A (zh) * 2020-03-11 2021-09-14 大唐移动通信设备有限公司 证书管理方法、装置、颁发实体、管理实体及车联网设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115802350A (zh) * 2023-02-07 2023-03-14 中汽智联技术有限公司 证书撤销状态验证***、方法和存储介质

Also Published As

Publication number Publication date
CN114374516B (zh) 2022-10-21

Similar Documents

Publication Publication Date Title
AU2017277572B2 (en) Method, server, and communication device for updating identity-based cryptographic private keys of compromised communication devices
US7516326B2 (en) Authentication system and method
CN112651037B (zh) 区块链***的链外数据访问方法和***
JP2013532394A (ja) 複数のクライアントを有する電子ネットワークにおける遠隔保守のためのシステム及び方法
JP2010504670A (ja) 公開鍵証明書状態の取得および確認方法
GB2394388A (en) Methods and systems for flexible delegation
CN101340278A (zh) 许可证管理***和方法
Khodaei et al. Scaling pseudonymous authentication for large mobile systems
US20230291578A1 (en) Method and system for establishing trust for a cybersecurity posture of a v2x entity
CN112311779B (zh) 应用于区块链***的数据访问控制方法及装置
US11979509B2 (en) Method and system for handling dynamic cybersecurity posture of a V2X entity
Förster et al. Rewire–revocation without resolution: A privacy-friendly revocation mechanism for vehicular ad-hoc networks
CN112600707A (zh) 物联网设备认证方法、装置、电子设备及存储介质
CN114374516B (zh) 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备
CN113824566B (zh) 证书认证方法、码号下载方法、装置、服务器及存储介质
CN113395160B (zh) 证书管理方法、装置、颁发实体、管理实体及车联网设备
CN113938857B (zh) 一种面向车联网车辆隐私保护的车辆假名管理机制
Angelogianni et al. Comparative evaluation of pki and daa-based architectures for v2x communication security
CN115801281A (zh) 授权方法、电子设备、计算机可读存储介质
CN113434824B (zh) 一种软件服务授权管理方法、装置、设备及存储介质
CN115438353A (zh) 一种用户数据管理方法以及相关设备
Foo et al. Security issues for future intelligent transport systems
Chen et al. C-V2X Security Technology
CN116846561B (zh) 一种基于v2x通信的数字证书管理方法及***
CN107483462A (zh) 一种外发u盘的操作权限管理***及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant