本申請提出一種申請數字證書的方法。車聯網終端向車聯網服務器提供能夠證明車聯網終端身份的安全憑證，并請求車聯網服務器為其申請證書。該安全憑證可以是預置在車聯網終端中的令牌，也可以是車輛的數字簽名。車聯網服務器根據安全憑證對車聯網終端的身份進行驗證，驗證通過后，選擇合適的證書服務器為車聯網終端申請證書。該方案對車聯網終端而言，降低了車聯網終端申請證書的復雜度，對證書服務器而言，減小了證書服務器面向海量車聯網終端的情況下被攻擊的安全風險。

技術領域

本申請涉及通信領域，尤其涉及一種車聯網領域申請數字證書的方法、裝置和系統。

背景技術

車聯網(Vehicle to Everything,V2X)中的PC5接口用于車輛之間，車輛與行人或騎行者之間，以及車輛與基礎設施之間等車聯網終端間進行廣播通信。為提升PC5接口上傳輸的廣播消息的安全性，降低安全威脅和風險(如廣播消息被篡改的風險)，車聯網終端向證書服務器申請短期證書，在發送的消息中攜帶該短期證書，并使用與短期證書對應的私鑰對消息進行數字簽名，以對消息提供完整性保護。

按照歐洲C-ITS證書管理系統(C-ITS Credential Management System,CCMS)和美國安全證書管理系統(Security Credential Management System,SCMS)相關標準的要求，車聯網終端每周需要切換使用10-100張短期證書，以防止第三方追蹤，實現隱私保護。另外，在實際應用中，往往會部署多個用于簽發證書的證書服務器，如在不同的地域、行政區劃部署不同的證書服務器，或部署不同的證書服務器用于簽發不同權限級別的證書。因此，車聯網終端需要和根據不同地域、授權級別等維度部署的證書服務器對接，以申請短期證書。復雜的證書服務器的部署，增加了車聯網終端獲取證書的復雜性，多個證書服務器信息的存儲也會對車聯網終端的性能造成一定的影響。

發明內容

本申請提出一種申請數字證書的方案構思，該方案構思下，車聯網服務器作為車聯網終端的代理，代替車聯網終端向一個或多個證書服務器申請假名證書。該方案對車聯網終端而言，降低了車聯網終端申請證書的復雜度，對證書服務器而言，減小了證書服務器面向海量車聯網終端的情況下被攻擊的安全風險。

基于如上方案構思，本申請提出一種申請數字證書的方法。車聯網終端向車聯網服務器提供能夠證明車聯網終端身份的安全憑證，并請求車聯網服務器為其申請證書。該安全憑證可以是預置在車聯網終端中的令牌，也可以是車輛的數字簽名。令牌可以是生產車聯網終端的企業服務器預置在車聯網終端中的信息，其中包含了車聯網終端的標識。車聯網服務器根據安全憑證對車聯網終端的身份進行驗證，驗證通過后，選擇合適的證書服務器為車聯網終端申請證書。車聯網服務器選擇證書服務器的方法可以有多種，可以根據車聯網終端的權限，合法區域信息和位置信息中的一種或多種，選擇相應的證書服務器申請證書。車聯網服務器選擇證書所依據的車聯網終端的權限和合法區域信息，可以從車聯網終端提供的安全憑證中提取，也可以是預置在車聯網服務器中的信息，如果安全憑證中包含這些信息，以安全憑證中包含的信息為準。

在如上方法的基礎之上，本申請還進一步提出能夠提供傳輸層安全和應用層安全的方案。車聯網終端上預置車聯網服務器的證書，車聯網服務器上預置車聯網終端的預配置證書。此外，車聯網服務器、企業服務器和證書服務器互相預置對方的證書。基于這些證書，一方面，車輛和車聯網服務器間，車聯網服務器和假名證書服務器間，車企服務器和車聯網服務器間可以互相認證對方的身份，建立傳輸層的安全連接，如基于安全傳輸層協議(Transport Layer Security，TLS)建立的安全傳輸通道，以保證傳輸層安全；另一方面，在如上方法流程中，發送方在發送的消息中攜帶根據自己的證書生成的數字簽名，接收方可以根據證書中的公鑰，可以驗證對方的數字簽名，實現傳輸內容的完整性保護，并驗證發送方的身份，保證應用層安全。

本申請所提出的申請數字證書的方法，該方法涉及車聯網終端(或內置在車聯網終端中的車聯網通信裝置)，車聯網服務器和證書服務器，還可能涉及生產車聯網終端的企業服務器。因此，本申請還提供實現如上方法的裝置和服務器。