一种车辆ECU数字证书申请方法及系统技术方案

本发明专利技术公开了一种车辆ECU数字证书申请方法，包括：基于触发设备发送的证书申请触发指令，查询本地的安全模块中是否存在ECU终端的有效数字证书；若安全模块中不存在有效数字证书，则基于证书申请触发指令和ECU终端内置信息生成证书申请信息，调用安全模块生成加密的证书申请报文；将加密的证书申请报文发送到前置服务器，以使前置服务器触发PKI服务器生成有效数字证书；在接收到前置服务器发送的有效数字证书后，调用安全模块对有效数字证书进行验签得到验签结果，基于验签结果确定是否成功申请ECU终端的有效数字证书。上述技术方案，减小了车辆ECU数字证书申请泄露或被篡改的风险，保证了数字证书申请的可靠性与安全性，提升了数字证书申请的效率。升了数字证书申请的效率。升了数字证书申请的效率。

【技术实现步骤摘要】
一种车辆ECU数字证书申请方法及系统


[0001]本专利技术涉及车辆
，尤其涉及一种车辆ECU数字证书申请方法及系统。

技术介绍

[0002]随着时代的发展，智能化、车联网化成为必然的趋势。近几年，车联网安全事件频发，安全威胁逐步升级，各种针对性的网络攻击，从感知层的各路传感器信号被攻破，到利用处于中间通信层和计算层的车载网络和车载设备漏洞攻击，实现远程控制车辆，近来针对用户数据和隐私信息窃取也日益增多，车联网的安全问题随着技术的进步越发引起关注。
[0003]将现有的数字证书技术应用于车联网中极大的提升了车联网系统的安全性。目前，传统的下证方式多是由汽车厂商采用专用的证书申请设备，如由工作人员通过PC机登录PKI系统进行申请获取对应ECU的数字证书，再通过专用的拷贝设备将数字证书灌装至对应的ECU中。然而，这种证书获取方式，较为繁琐，且在证书拷贝过程中，容易出现证书泄露或篡改的风险，安全系数不高。

技术实现思路

[0004]本专利技术提供了一种车辆ECU数字证书申请方法及系统，以减小证书拷贝过程中证书泄露或篡改的风险，提高车辆ECU数字证书申请的安全性和可靠性。
[0005]根据本专利技术的第一方面，提供了一种车辆ECU数字证书申请方法，应用于ECU终端，该方法包括：
[0006]基于触发设备发送的证书申请触发指令，查询本地的安全模块中是否存在ECU终端的有效数字证书；所述证书申请触发指令携带所述触发设备的私钥签名；
[0007]若所述安全模块中不存在所述有效数字证书，则基于所述证书申请触发指令和ECU终端内置信息生成证书申请信息，调用所述安全模块基于所述证书申请信息和所述证书申请触发指令生成加密的证书申请报文；
[0008]将所述加密的证书申请报文发送到前置服务器，以使所述前置服务器基于解密后的证书申请报文触发PKI服务器生成有效数字证书；所述有效数字证书携带所述PKI服务器的私钥签名；
[0009]在接收到所述前置服务器发送的有效数字证书后，调用所述安全模块对所述有效数字证书进行验签得到验签结果，基于所述验签结果确定是否成功申请ECU终端的有效数字证书。
[0010]根据本专利技术的第二方面，提供了一种车辆ECU数字证书申请方法，应用于前置服务器，该方法包括：
[0011]接收ECU终端发送的加密的证书申请报文；
[0012]采用共享密钥对所述加密的证书申请报文进行解密得到证书申请信息和证书申请触发指令；所述共享密钥基于所述ECU终端的安全模块与所述前置服务器进行身份认证
和协商获得，所述证书申请触发指令携带触发设备的私钥签名；
[0013]对所述证书申请触发指令进行验签；若验签成功，则基于所述证书申请触发指令向PKI服务器请求生成所述ECU终端的有效数字证书；
[0014]将所述PKI服务器返回的有效数字证书发送至所述ECU终端。
[0015]根据本专利技术的第三方面，提供了一种车辆ECU数字证书申请系统，包括：触发设备、ECU终端、前置服务器和PKI服务器；
[0016]所述触发设备，用于向所述ECU终端设备发送证书申请触发指令
[0017]所述ECU终端设备，用于基于触发设备发送的证书申请触发指令，查询本地的安全模块中是否存在ECU终端的有效数字证书；所述证书申请触发指令携带所述触发设备的私钥签名；若所述安全模块中不存在所述有效数字证书，则基于所述证书申请触发指令和ECU终端内置信息生成证书申请信息，调用所述安全模块基于所述证书申请信息和所述证书申请触发指令生成加密的证书申请报文；将所述加密的证书申请报文发送到前置服务器；
[0018]所述前置服务器，用于接收ECU终端发送的加密的证书申请报文；采用共享密钥对所述加密的证书申请报文进行解密得到证书申请信息和证书申请触发指令；对所述证书申请触发指令进行验签，若验签成功，则基于所述证书申请触发指令向PKI服务器请求生成所述ECU终端的有效数字证书；将所述PKI服务器返回的有效数字证书发送至所述ECU终端；
[0019]所述ECU终端，还用于在接收到所述前置服务器发送的有效数字证书后，调用所述安全模块对所述有效数字证书进行验签得到验签结果，基于所述验签结果确定是否成功申请ECU终端的有效数字证书。
[0020]本专利技术实施例提供的一种车辆ECU数字证书申请方法及系统，通过基于触发设备发送的证书申请触发指令，查询本地的安全模块中是否存在ECU终端的有效数字证书；所述证书申请触发指令携带所述触发设备的私钥签名；若所述安全模块中不存在所述有效数字证书，则基于所述证书申请触发指令和ECU终端内置信息生成证书申请信息，调用所述安全模块基于所述证书申请信息和所述证书申请触发指令生成加密的证书申请报文；将所述加密的证书申请报文发送到前置服务器，以使所述前置服务器基于解密后的证书申请报文触发PKI服务器生成有效数字证书；所述有效数字证书携带所述PKI服务器的私钥签名；在接收到所述前置服务器发送的有效数字证书后，调用所述安全模块对所述有效数字证书进行验签得到验签结果，基于所述验签结果确定是否成功申请ECU终端的有效数字证书。采用上述技术方案，与数字证书灌装相比，简化了车辆ECU数字证书申请的流程，提高了证书申请的效率；通过生成加密的证书申请报文，有效保证了数字证书申请链路的安全性与可靠性；对数字证书进行验签并确定验签结果，实现对触发设备身份合法性的验证，避免非法触发证书申请，提升了证书申请的安全性。本方案减小了车辆ECU数字证书申请泄露或被篡改的风险，保证了数字证书申请的可靠性与安全性，提升了数字证书申请的效率。
[0021]应当理解，本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征，也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0022]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于
本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0023]图1是根据本专利技术实施例一提供的一种车辆ECU数字证书申请方法的流程图；
[0024]图2是根据本专利技术实施例二提供的一种车辆ECU数字证书申请方法的流程图；
[0025]图3是根据本专利技术实施例三提供的一种车辆ECU数字证书申请系统的结构示意图；
[0026]图4是一种车辆ECU数字证书申请信令交互图。
具体实施方式
[0027]为了使本
的人员更好地理解本专利技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分的实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。
[0028]需本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种车辆ECU数字证书申请方法，其特征在于，应用于ECU终端，所述方法包括：基于触发设备发送的证书申请触发指令，查询本地的安全模块中是否存在ECU终端的有效数字证书；所述证书申请触发指令携带所述触发设备的私钥签名；若所述安全模块中不存在所述有效数字证书，则基于所述证书申请触发指令和ECU终端内置信息生成证书申请信息，调用所述安全模块基于所述证书申请信息和所述证书申请触发指令生成加密的证书申请报文；将所述加密的证书申请报文发送到前置服务器，以使所述前置服务器基于解密后的证书申请报文触发PKI服务器生成有效数字证书；所述有效数字证书携带所述PKI服务器的私钥签名；在接收到所述前置服务器发送的有效数字证书后，调用所述安全模块对所述有效数字证书进行验签得到验签结果，基于所述验签结果确定是否成功申请ECU终端的有效数字证书。2.根据权利要求1所述的方法，其特征在于，所述安全模块中不存在所述有效数字证书，包括：所述安全模块中不存在所述ECU终端的数字证书；或者，所述安全模块存在的所述ECU终端的数字证书超出有效期。3.根据权利要求1所述的方法，其特征在于，所述基于所述证书申请触发指令和ECU终端内置信息生成证书申请信息，包括：获取ECU终端内置信息，所述ECU终端内置信息包括：ECU终端标识号和车辆识别号码；基于所述证书申请触发指令确定所述触发设备的身份信息和所请求的证书标识；根据所述ECU终端标识号、所述车辆识别号码、所述触发设备的身份信息和所述证书标识生成证书申请信息。4.根据权利要求1或3所述的方法，其特征在于，所述调用所述安全模块基于所述证书申请信息和所述证书申请触发指令生成加密的证书申请报文包括：通过SDK接口调用本地的安全模块；通过所述安全模块基于网络协议对所述证书申请信息和所述证书申请触发指令进行封装得到证书申请报文，并采用共享密钥对所述证书申请报文进行加密生成加密的证书申请报文；其中，所述共享密钥基于所述安全模块与所述前置服务器进行身份认证和协商获得。5.根据权利要求1所述的方法，其特征在于，调用所述安全模块对所述有效数字证书进行验签包括：通过SDK接口调用本地的安全模块；通过所述安全模块基于内置的PKI服务器的公钥对所述有效数字证书携带的所述PKI服务器的私钥签名进行验签；通过所述安全模块对验签成功的有效数字证书进行存储，并将所述有效数字证书的标识反馈给所述ECU终端。6.根据权利要求1所述的方法，其特征在于，在基于所述验签结果确定是否成功申请ECU终端的有效数字证书之后，还包括：若基于所述验签结果确定成功申请ECU终端的有效数字证书，则将所述ECU终端标识
号、所述车辆识别号码和所述有效数字证书的标识上传到云平台，以使所述云平台进行存储和管理。7.一种车辆ECU数字证书申请方法，其特征在于，应用于前置服务器，所述方法包括：接收ECU终端发送的加密的证书申请...

【专利技术属性】
技术研发人员：高铭霞，李木犀，吴淼，刘毅，陈明，邵馨蕊，胡闯，边泽宇，杨雪珠，
申请(专利权)人：中国第一汽车股份有限公司，
类型：发明
国别省市：