确定证书状态的方法技术

为满足车联网通信中实时性和安全性的需求，本申请提出一种能够使消息接收端快速确认证书状态的方法。通过在证书的约定字段中包含证书的分类信息，并在证书吊销列表的约定字段中包含被吊销证书的分类信息，接收端能够根据发送端证书中携带的分类信息，在证书吊销列表海量的记录中快速缩小搜索或匹配的范围，以提高确定证书状态的速度和效率。

How to determine certificate status

【技术实现步骤摘要】
确定证书状态的方法
本申请涉及通信领域，尤其涉及车联网领域设备间通信时，确定证书的状态的方法、装置和系统。
技术介绍
V2X(VehicletoEverything)车联网指的是车辆之间，或者车辆与行人或骑行者之间以及车辆与基础设施之间的通信系统。车联网通信具有消息量大且消息收发频率高的特点，如车载通信单元(on-boardunit,OBU)或路侧通信单元(roadsideunit,RSU)周期性(如10赫兹)发送描述车辆运行状态(速度、朝向、方位)的协作感知消息(cooperativeawarenessmessage,CAM),或当发生特殊事件时，发送描述事件类型的分散环境通知信息(DecentralizedEnvironmentalNotificationMessage,DENM)。出于安全性考虑，通信系统中通常使用证书进行数据源认证，如发送端在发送的消息中携带证书，接收端对消息中携带的证书进行验证，其中包括验证证书是否已被吊销。在传统互联网通信领域使用OCSP方案，即客户端使用在线证书状态协议(OnlineCertificateStatusProtocol,OCSP)到OCSP服务器实时查询证书是否被吊销。在车联网通信中，同样需要使用证书进行数据源认证，但传统的OCSP方案并不适用于车联网通信的场景。以CAM消息为例，车辆每秒广播10条CAM消息，理论上以车辆为中心半径1千米内的全部车辆都会受到广播的CAM消息，如果采用OCSP方案，每辆接收到CAM消息的车辆都需要对每条CAM消息中的证书进行实时查询，不仅会对OCSP服务器的性能和网络带宽造成巨大负担，而且车辆与OCSP服务器间的通信，会额外增加车联网通信的时延。因此，为满足车联网通信中实时性和安全性的需求，亟需一种效率更高的判断证书是否被吊销的方法。
技术实现思路
为满足车联网通信中实时性和安全性的需求，本申请提出一种能够使消息接收端快速确认证书状态的方法。本申请中所述的证书状态指证书是否被吊销。本申请实施例提出一种基于证书吊销列表的方案，该方案中提出证书的分类信息和证书的特征信息两个概念。证书的分类信息指为证书颁发服务器在颁发证书时为证书分配的一个类别信息，用于对证书进行分类。证书的特征信息指可以唯一识别一个证书的信息，证书的特征信息可以是证书颁发服务器在颁发证书时为证书分配的一个n个字节的随机数，还可以是对该证书进行哈希计算后截取的n个字节的数值。本申请实施例提出在证书的约定字段中包含证书的分类信息，并在证书吊销列表的约定字段中包含被吊销证书的分类信息。另外，当证书的特征信息为证书颁发服务器在颁发证书时为证书分配的一个n个字节的随机数时，一种可能的实现方式中，证书的特征信息可以包含在证书的某一约定字段。证书吊销列表中除了记录被吊销证书的分类信息，还需要在某一约定字段包含被吊销证书的特征信息。证书吊销列表由证书吊销服务器生成并维护。车联网中的通信单元，如接收端和发送端，从证书吊销服务器获取证书吊销列表。接收端在接收到消息后，根据保存的证书吊销列表，对消息发送端证书进行验证，确定证书的状态。通过在证书的约定字段中包含证书的分类信息，并在证书吊销列表的约定字段中包含被吊销证书的分类信息，接收端能够根据发送端证书中携带的分类信息，在证书吊销列表海量的记录中快速缩小搜索或匹配的范围，以提高证书验证的速度和效率。具体的，接收端在证书吊销列表中，确定与发送端证书具有相同分类信息的被吊销证书的记录集合，并进而在该集合中确定与发送端证书具有相同特征信息的被吊销证书的记录，如果存在匹配的记录，则发送端证书已被吊销，如果不存在匹配的记录，则发送端证书未被吊销。另外，本申请实施例还提出一种基于证书吊销指纹库的方案。证书吊销服务器将被吊销证书的指纹信息录入证书吊销指纹库。车联网中的通信单元，如接收端和发送端，从证书吊销服务器获取证书吊销指纹库。接收端在接收到消息后，提取消息发送端证书的指纹信息，根据保存的证书吊销指纹库，对消息发送端证书进行验证，确定证书的状态。为提高通信效率，本申请实施例提出证书吊销服务器维护一个证书吊销指纹位置库，以保存一段时间内证书吊销指纹库中记录的变化情况，车联网通信单元获取证书吊销指纹位置库，就可以刷新保存的证书吊销指纹库。为了提高证书吊销指纹库方案的准确性，本申请实施例还提出发送端自验证书是否被吊销的方案，确保消息中携带的证书为证书吊销指纹库中无匹配记录的证书，以防止接收端误判。为配合本申请权利要求部分所述的方法，接收端也需要进行相应的改进，以支持本申请实施例中所述的确定证书状态的方法。证书吊销列表方案中，发送端向接收端发送的消息中包括发送端的证书，由于发送端的证书中包括分类信息，接收端可以根据发送端证书的分类信息，与证书吊销列表中被吊销证书的分类信息进行匹配，并根据匹配结果确定所述发送端的证书的状态。证书吊销指纹库方案中，发送端根据保存的证书吊销指纹库，在发送端的证书中确定一个证书吊销指纹库中没有匹配记录的证书，并在发送的消息中使用该选定的证书。一种可能的实现方式中，发送端计算获得发送端任一证书的指纹信息，如果发送端判断证书吊销指纹库中不存在与该证书的指纹信息匹配的指纹信息，则在发送的消息中使用该证书。另一种可能的实现方式中，发送端计算获得发送端任一证书的指纹信息，如果发送端判断证书吊销指纹库中存在与该证书的指纹信息匹配的指纹信息，则选择与该证书不同的第二证书，并继续计算第二证书的指纹信息，并判断证书吊销指纹库中是否存在与第二证书的指纹信息匹配的指纹信息。本申请实施例中所述的方法涉及接收端、发送端、证书吊销服务器和车联网服务器等装置。因此，本申请实施例还提供实现如上证书验证方法的装置和服务器。另外，本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述证书验证方法。最后，本申请提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述证书验证方法。附图说明图1所示为本申请实施例提供的一种车联网系统架构图；图2所示为本申请实施例提供的一种车联网通信方法流程图；图3所示为本申请实施例提供的一种将证书进行分级分类的结构示意图；图4所示为本申请实施例提供的一种吊销证书的方法流程图；图5所示为本申请实施例提供的一种从证书吊销服务器获取被吊销证书信息的方法流程图；图6所示为一种证书吊销指纹库的数据结构示意图；图7所示为本申请实施例提供的一种自验证书的车联网通信方法流程图；图8所示为本申请实施例提供的一种确认证书状态的方法流程图；图9所示为本申请实施例中所述装置采用的装置结构示意图。具体实施方式为满足车联网通信中实时性和安全性的需求，本申请实施例提出一种相比现有技术，效率更高的判断证书是否被吊销的方法。需要说明的是，本申请实施例中所述的证书，指通信领域中使用的数字证书。本文档来自技高网...

【技术保护点】
1.一种确定证书状态的方法，其特征在于，/n接收端接收发送端发送的消息，所述消息中包括所述发送端证书，所述发送端证书中包含分类信息；/n所述接收端根据所述分类信息，在保存的证书吊销列表中确定吊销标识的集合，所述吊销标识用于在所述证书吊销列表中标识被吊销证书，所述吊销标识包含被吊销证书的分类信息，所述集合中的吊销标识包含的分类信息与所述发送方证书的分类信息相同；/n所述接收端提取所述发送端证书的特征信息，与所述集合中吊销标识对应的被吊销证书的特征信息进行匹配，并根据匹配结果确定所述发送端证书的状态。/n

【技术特征摘要】
1.一种确定证书状态的方法，其特征在于，
接收端接收发送端发送的消息，所述消息中包括所述发送端证书，所述发送端证书中包含分类信息；
所述接收端根据所述分类信息，在保存的证书吊销列表中确定吊销标识的集合，所述吊销标识用于在所述证书吊销列表中标识被吊销证书，所述吊销标识包含被吊销证书的分类信息，所述集合中的吊销标识包含的分类信息与所述发送方证书的分类信息相同；
所述接收端提取所述发送端证书的特征信息，与所述集合中吊销标识对应的被吊销证书的特征信息进行匹配，并根据匹配结果确定所述发送端证书的状态。


2.根据权利要求1所述的方法，其特征在于，所述吊销标识包含的特征信息为所述吊销标识对应的被吊销证书的第一约定字段包含的N个字节的随机数，N为大于0的正整数；
所述接收端提取所述发送端证书的特征信息，具体包括：
所述接收端从所述发送端证书的第一约定字段截取N个字节的随机数作为所述发送端证书的特征信息。


3.根据权利要求1所述的方法，其特征在于，所述吊销标识包含的特征信息为对所述吊销标识对应的被吊销证书进行哈希运算后得到的M个字节的哈希值，M为大于0的正整数；
所述接收端提取所述发送端证书的特征信息，具体包括：
所述接收端对所述发送端证书进行所述哈希运算后，得到的M个字节的哈希值作为所述发送端证书的特征信息。


4.根据权利要求1-3任一所述的方法，其特征在于，所述发送端证书的分类信息包含在所述发送端证书的第二约定字段中。


5.根据权利要求4所述的方法，其特征在于，所述第二约定字段为所述发送端证书的证书标识字段，或所述证书的区域字段，或所述证书的证书吊销系列字段。


6.根据权利要求1-5任一所述的方法，其特征在于，所述分类信息包含第一级分类信息和第二级分类信息。


7.根据权利要求6所述的方法，其特征在于，
所述接收端根据所述分类信息，在保存的证书吊销列表中确定吊销标识的集合，具体包括：
所述接收端根据所述发送端证书的第一级分类信息，在所述证书吊销列表中确定第一吊销标识的集合，所述第一吊销标识的集合中的吊销标识包含的的第一级分类信息与所述发送端证书的第一级分类信息相同；
所述接收端根据所述发送端证书的第二级分类信息，在所述第一吊销标识的集合中确定第二吊销标识的集合，所述第二吊销标识的集合中的吊销标识包含的的第二级分类信息与所述发送端证书的第二级分类信息相同。


8.根据权利要求1-7任一所述的方法，其特征在于，所述接收端根据所述分类信息，在保存的证书吊销列表中确定吊销标识的集合之前，所述方法还包括，所述接收端从证书吊销服务器获取证书吊销列表。


9.根据权利要求8所述的方法，其特征在于，所述接收端从证书吊销服务器获取证书吊销列表具体包括，
所述接收端从证书吊销服务器获取全量证书吊销列表；
所述接收端从证书吊销服务器获取差分证书吊销列表，所述差分证书吊销列表包括一个新增证书吊销列表和一个删除证书吊销列表，所述新增证书吊销列表中包括相比所述全量证书吊销列表，增加的吊销标识，所述删除证书吊销列表中包括相比所述完整的证书吊销列表，删除的吊销标识；
所述接收端根据所述差分证书吊销列表，刷新保存的所述全量证书吊销列表。


10.根据权利要求1-9任一所述的方法，其特征在于，所述接收端根据匹配结果确定所述发送端证书的状态，具体包括，
所述接收端在通过匹配，确定所述集合中吊销标识对应的被吊销证书的特征信息中，存在与所述发送端证书的特征信息相同的特征信息，则所述接收端确定所述发送端证书已被吊销。


11.根据权利要求1-9任一所述的方法，其特征在于，所述接收端根据匹配结果确定所述发送端证书的状态，具体包括，
所述接收端通过匹配，确定所述集合中吊销标识对应的被吊销证书的特征信息中，不存在与所述发送端证书的特征信息相同的特征信息，则所述接收端确定所述发送端证书未被吊销。


12.根据权利要求1-11任一所述的方法，其特征在于，所述接收端或发送端为车载通信单元或路侧通信单元。


13.一种确定证书状态的方法，其特征在于，
接收端接收发送端发送的消息，所述消息中包括所述发送端证书；
所述接收端确定证书吊销指纹库中存在与所述发送端证书的指纹信息匹配的被吊销证书的指纹信息，所述发送端证书的指纹信息为所述接收端根据所述发送端证书计算获得；
所述接收端向证书吊销服务器发送所述发送端证书，请求所述证书吊销服务器验证所述发送端证书的状态；
所述接收端接收所述证书吊销服务器的验证结果，并根据所述验证结果确定所述发送端证书的状态。


14.根据权利要求13所述的方法，其特征在于，所述证书吊销指纹库为初始化为0的长度为N的二进制数组，所述指纹信息为长度为N的二进制数组中取值为1的比特位信息，N为大于0的正整数。


15.根据权利要求13或14所述的方法，其特征在于，所述接收端对所述发送端证书进行哈希运算，对哈希运算后的取值截取其中M个字节，M为大于0的正整数，对所述M个字节的数值进行哈希运算并对N取模，获得所述发送端证书的指纹信息。


16.根据权利要求13-15任一所述的方法，其特征在于，所述接收端接收发送端发送的消息之前，所述方法还包括，所述接收端从证书吊销服务器或第三车联网通信单元获取所述证书吊销指纹库。


17.根据权利要求16所述的方法，其特征在于，所述接收端从证书吊销服务器或第三车联网通信单元获取所述证书吊销指纹库，具体包括，
所述接收端从证书吊销服务器或第三车联网通信单元获取全量证书吊销指纹库，所述全量证书吊销指纹库中包括所有被吊销证书的指纹信息；
所述接收端从证书吊销服务器或第三车联网通信单元获取差分证书吊销指纹位置库，所述差分证书吊销指纹位置库记录所述全量证书吊销指纹库发生变化的比特位信息；
所述接收端根据所述差量证书吊销指纹库，将所述全量证书吊销指纹库中发生变化的比特位对应的取值进行取反运算。


18.根据权利要求13-17任一所述的方法，其特征在于，所述接收端确定所述发送端证书被吊销的情况下，所述方法还包括，所述接收端丢弃所述发送端发送的消息。


19.根据权利要求13-18任一所述的方法，其特征在于，所述接收端或发送端或第三车联网通信单元为车载通信单元或路侧通信单元。


20...

【专利技术属性】
技术研发人员：李飞，朱锦涛，何承东，白涛，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44