行加密處理后得到的�����;
[010引第一消息數(shù)字簽名���,其中�,所述第一消息數(shù)字簽名為所述OMJ使用與所述OMJ的公 鑰證書中用于驗證數(shù)字簽名的公鑰對應的私鑰,對包含所述第一公鑰加密密文和所述第一 對稱加密密文的信息進行數(shù)字簽名處理后得到的�;
[0109] 其中,所述OMJ對稱加密密鑰為所述OMJ生成的用于數(shù)據(jù)加密的密鑰�。
[0110] 在實施中,所述處理器具體執(zhí)行:
[0111] 對所述密鑰請求消息進行驗證����;W及在對所述密鑰請求消息的驗證通過后,生成 包含所述消息組密鑰的相關信息的密鑰應答消息����。
[0112] 較佳地,所述處理器對所述密鑰請求消息進行驗證�����,包括:
[0113] 使用與所述KDN的公鑰證書中用于數(shù)據(jù)加密的公鑰對應的私鑰���,對所述密鑰請求 消息中的第一公鑰加密密文進行解密��,W獲取所述OBU對稱加密密鑰���;使用所述OBU對稱加 密密鑰,對所述密鑰請求消息中的第一對稱加密密文進行解密�����,W獲取KDN隨機數(shù)、OBU隨 機數(shù)和所述OBU的公鑰證書�����;在判斷出所述第一對稱加密密文中攜帶的KDN隨機數(shù)與通過 收發(fā)機103向所述OBU已發(fā)送的KDN隨機數(shù)相同��、所述OBU的公鑰證書在有效期內且為合 法證書��、W及根據(jù)所述OBU的公鑰證書中用于驗證數(shù)字簽名的公鑰確定出所述第一消息數(shù) 字簽名有效后�,確定所述密鑰請求消息的驗證通過�。
[0114] 基于上述任一實施例,所述密鑰應答消息中包括:
[0115] 第二公鑰加密密文�����,所述第二公鑰加密密文為所述處理器使用所述密鑰請求消息 中攜帶的所述OBU的公鑰證書中用于數(shù)據(jù)加密的公鑰����,對KDN對稱加密密鑰進行加密處理 后得到的;
[0116] 第二對稱加密密文�,所述第二對稱加密密文為所述處理器使用所述KDN對稱加密 密鑰,對所述密鑰請求消息中攜帶的所述OBU生成的OBU隨機數(shù)和對稱加密算法中使用的 消息組密鑰的相關信息進行加密處理后得到的����;
[0117] 第二消息數(shù)字簽名�,所述第二消息數(shù)字簽名為所述處理器使用與所述KDN的公鑰 證書中用于驗證數(shù)字簽名的公鑰對應的私鑰�,對包含所述第二公鑰加密密文和所述第二對 稱加密密文的信息進行數(shù)字簽名處理后得到的;
[0118] 其中����,所述KDN對稱加密密鑰為所述處理器生成的用于數(shù)據(jù)加密的密鑰。
[0119] 基于上述任一實施例��,處理器通過所述收發(fā)機接收到所述OMJ發(fā)送的密鑰請求消 息之前�����,還用于:
[0120] 通過所述收發(fā)機接收所述OMJ發(fā)送的證書請求消息����,所述證書請求消息用于獲取 所述KDN的公鑰證書;生成KDN隨機數(shù)����,W及生成包含自身的公鑰證書和所述KDN隨機數(shù)的 證書應答消息;W及通過所述收發(fā)機將所述證書應答消息發(fā)送給所述0BU����。
[0121] 本發(fā)明實施例提供的一種車載設備0BU��,包括:
[0122] 第一單元�,用于自身所屬的0腳與所在小區(qū)所屬的密鑰分發(fā)節(jié)點KDN建立通信連 接后����,向所述KDN發(fā)送密鑰請求消息,所述密鑰請求消息用于請求KDN發(fā)布對稱加密算法中 使用的消息組密鑰的相關信息�����;
[0123] 第二單元����,用于接收所述KDN返回的針對所述密鑰請求消息的密鑰應答消息��,并 從所述密鑰應答消息中獲取所述消息組密鑰的相關信息����;
[0124] 第H單元,用于向所述KDN返回針對所述密鑰應答消息的確認應答消息����,并釋放 與所述KDN建立的通信連接。
[0125] 較佳地�����,所述消息組密鑰的相關信息包括;密鑰管理中必KMC為至少一個KDN生成 的消息組密鑰記錄����;
[0126] 其中,所述消息組密鑰記錄包括:所述消息組密鑰����、和使用所述消息組密鑰的加解 密算法。
[0127] 較佳地����,所述密鑰請求消息中包括:
[0128] 第一公鑰加密密文,其中����,所述第一公鑰加密密文為所述第一單元使用所述KDN 的公鑰證書中用于數(shù)據(jù)加密的公鑰,對OMJ對稱加密密鑰進行加密處理后得到的����;
[0129] 第一對稱加密密文,其中���,所述第一對稱加密密文為所述第一單元使用所述OBU 對稱加密密鑰��,對所述KDN生成的KDN隨機數(shù)��、所述第一單元生成的0腳隨機數(shù)和所述OBU 的公鑰證書進行加密處理后得到的�;
[0130] 第一消息數(shù)字簽名,其中��,所述第一消息數(shù)字簽名為所述第一單元使用與所述OBU 的公鑰證書中用于驗證數(shù)字簽名的公鑰對應的私鑰���,對包含所述第一公鑰加密密文和所述 第一對稱加密密文的信息進行數(shù)字簽名處理后得到的����;
[0131] 其中�����,所述OMJ對稱加密密鑰為所述第一單元生成的用于數(shù)據(jù)加密的密鑰���。
[0132] 較佳地,所述密鑰應答消息中包括:
[0133] 第二公鑰加密密文���,其中��,所述第二公鑰加密密文為所述KDN使用所述密鑰請求 消息中攜帶的所述OBU的公鑰證書中用于數(shù)據(jù)加密的公鑰�,對KDN對稱加密密鑰進行加密 處理后得到的;
[0134] 第二對稱加密密文�,其中,所述第二對稱加密密文為所述KDN使用所述KDN對稱加 密密鑰��,對所述密鑰請求消息中攜帶的所述OBU生成的OBU隨機數(shù)和對稱加密算法中使用 的消息組密鑰的相關信息進行加密處理后得到的�;
[0135] 第二消息數(shù)字簽名,其中���,所述第二消息數(shù)字簽名為所述邸N使用與所述邸N的公 鑰證書中用于驗證數(shù)字簽名的公鑰對應的私鑰����,對包含所述第二公鑰加密密文和所述第二 對稱加密密文的信息進行數(shù)字簽名處理后得到的�;
[0136] 其中,所述KDN對稱加密密鑰為所述KDN生成的用于數(shù)據(jù)加密的密鑰���。
[0137] 較佳地��,所述第二單元接收到所述邸N發(fā)送的密鑰應答消息后�,還用于:
[0138] 對所述密鑰應答消息進行驗證���;W及對所述密鑰應答消息的驗證通過后����,生成針 對所述密鑰應答消息的確認應答消息。
[0139] 較佳地���,所述第二單元對所述密鑰應答消息進行驗證���,包括:
[0140] 使用所述KDN的公鑰證書中用于驗證數(shù)字簽名的公鑰對所述密鑰應答消息中的 第二消息數(shù)字簽名進行驗證;若驗證通過���,使用與所述OBU的公鑰證書中用于數(shù)據(jù)加密的 公鑰對應的私鑰��,對所述密鑰應答消息中的第二公鑰加密密文進行解密�����,W獲取所述KDN 對稱加密密鑰�����;使用所述KDN對稱加密密鑰,對所述密鑰應答消息中的第二對稱加密密文 進行解密�����,W獲取OBU隨機數(shù)和所述消息組密鑰的相關信息�����;在判斷出所述第二對稱加密 密文中攜帶的0腳隨機數(shù)與所述第一單元向所述KDN已發(fā)送的0腳隨機數(shù)相同后,使用KMC 的公鑰證書中用于驗證數(shù)字簽名的公鑰對所述消息組密鑰的相關信息中包含的消息組密 鑰記錄進行驗證�,并在驗證通過后,確定所述密鑰應答消息的驗證通過��,并保存所述消息組 密鑰的相關信息中包含的消息組密鑰記錄�。
[0141] 基于上述任一實施例,所述第一單元向所述KDN發(fā)送密鑰請求消息之前���,還用于:
[0142] 向所述KDN發(fā)送證書請求消息�,所述證書請求消息用于獲取所述KDN的公鑰證書��; W及接收所述KDN返回的證書應答消息��,其中�,所述證書應答消息中包括所述KDN生成KDN 隨機數(shù)和所述KDN的公鑰證書。
[0143] 本發(fā)明實施例提供的另一種0BU��,包括:
[0144] 處理器����,用于讀取存儲器中的程序,執(zhí)行下列過程:
[0145] 自身所屬的0腳與所在小區(qū)所屬的KDN建立通信連接后,通過收發(fā)機向所述KDN 發(fā)送密鑰請求消息�,所述密鑰請求消息用于請求KDN發(fā)布對稱加密算法中使用的消息組密 鑰的相關信息;通過收發(fā)機接收所述KDN返回的針對所述密鑰請求消息的密鑰應答消息����, 并從所述密鑰應答消息中獲取所述消息組密鑰的相關信息;通過收發(fā)機向所述KDN返回針 對所述密鑰應答消息的確認應答消息�����,并釋放與所述KDN建立的通信連接�;
[0146] 收發(fā)機,用于在處理器的控制下接收和發(fā)送數(shù)據(jù)����。
[0147] 較佳地,所述消息組密鑰的相關信息包括�����;密鑰管理中必KMC為至少一個KDN生成 的消息組密鑰記錄���;
[0148] 其中,所述消息組密鑰記錄包括:所述消息組密鑰�、和使用所述消息組密鑰的加解 密算法。
[0149] 較佳地,所述密鑰請求消息中包括:
[0150] 第一公鑰加密密文����,其中,所述第一公鑰加密密文為所述處理器使用所述KDN的 公鑰證書中用于數(shù)據(jù)加密的公鑰��,對OMJ對稱加密密鑰進行加密處理后得到的��;
[0151] 第一對稱加密密文��,其中�,所述第一對稱加密密文為所述處理器使用所述OMJ對 稱加密密鑰,對所述KDN生成的KDN隨機數(shù)�����、所述處理器生成的0腳隨機數(shù)和所述0腳的公 鑰證書進行加密處理后得到的�;
[0152] 第一消息數(shù)字簽名,其中�����,所述第一消息數(shù)字簽名為所述處理器使用與所述OBU 的公鑰證書中用于驗證數(shù)字簽名的公鑰對應的私鑰���,對包含所述第一公鑰加密密文和所述 第一對稱加密密文的信息進行數(shù)字簽名處理后得到的���;
[0153] 其中�,所述OMJ對稱加密密鑰為所述處理器生成的用于數(shù)據(jù)加密的密鑰�。
[0154] 較佳地,所述密鑰應答消息中包括:
[0155] 第二公鑰加密密文��,其中����,所述第二公鑰加密密文為所述KDN使用所述密鑰請求 消息中攜帶的所述OBU的公鑰證書中用于數(shù)據(jù)加密的公鑰,對KDN對稱加密密鑰進行加密 處理后得到的�����;
[0156] 第二對稱加密密文�����,其中��,所述第二對稱加密密文為所述KDN使用所述KDN對稱加 密密鑰����,對所述密鑰請求消息中攜帶的所述OBU生成的OBU隨機數(shù)和對稱加密算法中使用 的消息組密鑰的相關信息進行加密處理后得到的;
[0157] 第二消息數(shù)字簽名����,其中,所述第二消息數(shù)字簽名為所述邸N使用與所述邸N的公 鑰證書中用于驗證數(shù)字簽名的公鑰對應的私鑰�����,對包含所述第二公鑰加密密文和所述第二 對稱加密密文的信息進行數(shù)字簽名處理后得到的�;
[0158] 其中,所述KDN對稱加密密鑰為所述KDN生成的用于數(shù)據(jù)加密的密鑰�����。
[0159] 較佳地�,所述處理器通過所述收發(fā)機接收到所述KDN發(fā)送的密鑰應答消息之后, 還用于:
[0160] 對所述密鑰應答消息進行驗證�����;W及對所述密鑰應答消息的驗證通過后�����,生成針 對所述密鑰應答消息的確認應答消息���。
[0161] 較佳地�����,所述處理器對所述密鑰應答消息進行驗證����,包括:
[0162] 使用所述KDN的公鑰證書中用于驗證數(shù)字簽名的公鑰對所述密鑰應答消息中的 第二消息數(shù)字簽名進行驗證;若驗證通過�,使用與所述OBU的公鑰證書中用于數(shù)據(jù)加密的 公鑰對應的私鑰,對所述密鑰應答消息中的第二公鑰加密密文進行解密�,W獲取所述KDN 對稱加密密鑰;使用所述KDN對稱加密密鑰�,對所述密鑰應答消息中的第二對稱加密密文 進行解密,W獲取OBU隨機數(shù)和所述消息組密鑰的相關信息���;在判斷出所述第二對稱加密 密文中攜帶的OBU隨機數(shù)與通過所述收發(fā)機向所述KDN已發(fā)送的OBU隨機數(shù)相同后�,使用 KMC的公鑰證書中用于驗證數(shù)字簽名的公鑰對所述消息組密鑰的相關信息中包含的消息組 密鑰記錄進行驗證���,并在驗證通過后���,確定所述密鑰應答消息的驗證通過,并保存所述消息 組密鑰的相關信息中包含的消息組密鑰記錄���。
[0163] 基于上述任一實施例��,所述處理器通過所述收發(fā)機向所述KDN發(fā)送密鑰請求消息 之前����,還用于:
[0164] 通過收發(fā)機向所述KDN發(fā)送證書請求消息,所述證書請求消息用于獲取所述KDN 的公鑰證書�;W及通過收發(fā)機接收所述KDN返回的證書應答消息���,其中�,所述證書應答消息 中包括所述KDN生成KDN隨機數(shù)和所述KDN的公鑰證書��。
[0165] 本發(fā)明實施例提供的一種通信系統(tǒng)�,該系統(tǒng)包括:
[0166] 密鑰管理中必KMC,用于為各密鑰分發(fā)節(jié)點KDN生成的消息組密鑰記錄����,并將所生 成的消息組密鑰記錄下發(fā)給各KDN ;
[0167] 車載設備0BU,用于與所在小區(qū)所屬的KDN建立通信連接后����,向所述KDN發(fā)送密鑰 請求消息,所述密鑰請求消息用于請求KDN發(fā)布對稱加密算法中使用的消息組密鑰的相關 信息�;接收所述KDN返回的針對所述密鑰請求消息的密鑰應答消息,并從所述密鑰應答消 息中獲取所述消息組密鑰的相關信息���;W及向所述KDN返回針對所述密鑰應答消息的確認 應答消息�,并釋放與所述KDN建立的通信連接;
[0168] 邸N���,用于與0腳建立通信連接后����,接收所述0腳發(fā)送的密鑰請求消息���;生成包含所 述消息組密鑰的相關信息的密鑰應答消息�,并將所述密鑰應答消息發(fā)送給所述OBU ; W及 接收到所述OBU針對所述密鑰應答消息的確認應答消息后�,釋放與所述OBU建立的通信連 接。
[0169] 本發(fā)明實施例提供的方法����、設備和系統(tǒng)中,OBU與KDN之間建立通信連接后��,通過 與該KDN之間的交互�����,獲取對稱加密算法所使用的消息組密鑰�����,從而實現(xiàn)了基于對稱加密 算法消息安全播發(fā)技術方案中使用的密鑰的發(fā)布。由于OBU能夠從KDN處獲取到消息組密 鑰��,OBU可W采用對稱加密算法對所播發(fā)的消息進行數(shù)據(jù)安全保護處理��,提高了車聯(lián)網系統(tǒng) 的安全性��。
【附圖說明】
[0170] 圖1為本發(fā)明實施例提供的車聯(lián)網系統(tǒng)的網絡架構示意圖���;
[0171] 圖2為本發(fā)明實施例提供的一種密鑰信息的發(fā)送方法的示意圖;
[0172] 圖3為本發(fā)明實施例提供的KDN生成密鑰應答消息的過程的示意圖�����;
[0173] 圖4為本發(fā)明實施例提供的一種密鑰信息的接收方法的示意圖�;
[0174] 圖5為本發(fā)明實施例提供的OBU生成密鑰請求消息的過程的示意圖;
[0175] 圖6為本發(fā)明實施例提供的實施例一的流程示意圖���;
[0176] 圖7為本發(fā)明實施例提供的一種通信系統(tǒng)的示意圖�����;
[0177] 圖8為本發(fā)明實施例提供的一種KDN的示意圖���;
[017引圖9為本發(fā)明實施例提供的一種OBU的示意圖��;
[0179] 圖10為本發(fā)明實施例提供的另一種KDN的示意圖��;
[0180] 圖11為本發(fā)明實施例提供的另一種OBU的示意圖��。
【具體實施方式】
[0181] 本發(fā)明實施例中�����,0腳進入某一區(qū)域時���,先與該區(qū)域所屬的邸N建立通信連接,再 通過與該KDN之間的交互����,獲取對稱加密算法所使用的消息組密鑰,在獲取到消息組密鑰 后��,釋放與該KDN的通信連接�,W使該OBU能夠使用獲取到的消息組密鑰,采用對稱加密算 法對所播發(fā)的消息進行數(shù)據(jù)安全保護處理��,提高了車聯(lián)網系統(tǒng)的安全性。
[0182] 首先���,對本發(fā)明實施例中涉及到的各設備進行說明�����,本發(fā)明實施例設涉及的網絡 架構如圖1所示�����,具體如下:
[0183] 一��、密鑰管理中必化ey Management Center, KMC)
[0184] KMC負責生成消息播發(fā)所需的消息組密鑰�����、設定消息組密鑰的使用策略(例如,使 用所述消息組密鑰的加解密算法�、使用所述消息組密鑰的有效時間信息、使用所述消息組 密鑰的有效地理區(qū)域信息等)�����、W及向密鑰分發(fā)節(jié)點化巧Distribution Node, KDN)分配 消息組密鑰���。
[0185] 其中���,本發(fā)明實施例將車聯(lián)網系統(tǒng)中基于對稱加密算法消息安全播發(fā)技術方案中 使用的密鑰稱為消息組密鑰(簡稱:組密鑰)�;本發(fā)明實施例中將消息組密鑰及其使用策略 保存在消息組密鑰記錄(Message Group Key Record, MGKR);在本專利中消息組密鑰及其 使用策略保存在消息組密鑰記錄(簡稱:組密鑰記錄)中�����。
[0186] 本發(fā)明實施例中�,消息組密鑰的使用策略規(guī)定了密鑰的使用有效期和密鑰所適用 的地理區(qū)域等。在車聯(lián)網系統(tǒng)中����,可W設立有多個相互獨立的KMC, -個KMC可管理多個 KDN,但一個KDN只能屬于某個特定的KMC���。
[0187] 二�����、密鑰分發(fā)節(jié)點化巧Distribution Node,邸腳
[018引 KDN負責按照設定的消息組密鑰的播發(fā)策略�����,向其所覆蓋區(qū)域內的0腳安全地傳 送消息組密鑰����。消息組密鑰的播發(fā)策略由KMC制定,該策略中規(guī)定了應W何種方式向區(qū)域 內的OBU傳送消息組密鑰����,W達到提高系統(tǒng)整體效率的目的,例如可預先向區(qū)域內的OBU播 發(fā)相鄰區(qū)域的消息組密鑰���。
[0189] 在KDN擁有相鄰小區(qū)的消息組密鑰的情況下��,可根據(jù)KMC所制定的密鑰分發(fā)策略 向OBU傳送相鄰小區(qū)的組密鑰�。
[0190] H���、車載設備(OBU)
[0191] OMJ負責生成和廣播用于交通安全的安全行駛消息�����,具體包括;車輛當前的位置���、 當前的行駛狀態(tài)和當前的時間等信息����。本發(fā)明實施例中,OBU負責與密鑰分發(fā)節(jié)點化ey Distribution Node,邸腳進行通信�����,并安全地從邸N獲得在該區(qū)域中播發(fā)消息所需的消息 組密鑰�。
[0192] 較佳地,OBU在進入新小區(qū)之前����,可與該OBU當前所在小區(qū)對應的邸N建立通信, W便獲得相鄰的小區(qū)的消息組密鑰���,從而減小進入新小區(qū)時����,無消息組密鑰可用的情況���。
[0193] 下面結合說明書附圖對本發(fā)明實施例作進一步詳細描述��。應當理解����,此處所描述 的實施例僅用于說明和解釋本發(fā)明����,并不用于限定本發(fā)明�����。
[0194] 如圖2所示�����,本發(fā)明實施例提供的一種密鑰信息的發(fā)送方法�,該方法包括:
[0195] 步驟21���、KDN與OBU建立通信連接后��,接收OBU發(fā)送的密鑰請求消息�,該密鑰請求 消息用于請求KDN發(fā)布對稱加密算法中使用的消息組密鑰的相關信息��。
[0196] 本步驟中�����,0腳在進入某一小區(qū)之后����,會與該小區(qū)所屬的KDN建立通信連接,W從 KDN處獲取對稱加密算法中使用的消息組密鑰的相關信息���,W使該OBU能夠使用獲取到的 消息組密鑰��,采用對稱加密算法����,對在該小區(qū)內播發(fā)的消息進行數(shù)據(jù)安全保護處理�����。
[0197] 步驟22����、KDN生成包含消息組密鑰的相關信息的密鑰應答消息,并將該密鑰應答 消息發(fā)送給OBU���。
[019引步驟23��、KDN接收到OBU針對密鑰應答消息的確認應答消息后��,釋放與OBU建立的 通信連接�����。
[019引本發(fā)明實施例中����,邸N與OBU建立通信連接后,接收OBU發(fā)送的密鑰請求消息腳N 生成包含消息組密鑰的相關信息的密鑰應答消息�����,并將該密鑰應答消息發(fā)送給OBU ; W及 KDN接收到0腳針對密鑰應答消息的確認應答消息后���,釋放與OBU建立的通信連接�����,從而實 現(xiàn)了基于對稱加密算法消息安全播發(fā)技術方案中使用的密鑰的發(fā)布���。
[0200] 本發(fā)明實施例中,消息組密鑰的相關信息包括�����;KMC為至少一個邸N生成的消息組 密鑰記錄��;其中,每條消息組密鑰記錄包括:消息組密鑰���、和使用該消息組密鑰的加解密算 法。
[0201] 較佳地����,每條消息組密鑰記錄還包括W下信息中的至少一種:
[0202] 消息組密鑰對應的KDN的標識信息、該消息組密鑰的標識信息�、使用該消息組密 鑰的有效時間信息、使用該消息組密鑰的有效地理區(qū)域信息��、W及KMC對該條消息組密鑰 記錄進行簽名處理后得到的數(shù)字簽名信息����。
[0203] 其中,OBU或邸N可W使用KMC的公鑰證書中用于驗證數(shù)字簽名的公鑰對消息組 密鑰記錄中的數(shù)字簽名信息進行驗證����,W驗證該條消息組密鑰記錄的真實性。
[0204] 需要說明的是���,KMC所生成的每個消息組密鑰對應一條消息組密鑰記錄��,該消息組 密鑰記錄中記錄著與該消息組密鑰相關的各種信息�����。
[0205] 本發(fā)明實施例中�����,消息組密鑰的相關信息中的消息組密鑰記錄包括:
[0206] KMC為該邸N生成的消息組密鑰記錄���;或者
[0207] KMC為該邸N生成的消息組密鑰記錄��、W及KMC為該邸N相鄰的邸N生成的消息組 密鑰記錄�����。
[020引在實施中�����,步驟21中KDN接收到的0腳發(fā)送的密鑰請求消息中包括:
[0209] 第一公鑰加密密文���,其中,該第一公鑰加密密文為0腳使用KDN的公鑰證書中用于 數(shù)據(jù)加密的公鑰��,對OBU對稱加密密鑰進行加密處理后得到的��;
[0210] 第一對稱加密密文,其中�����,該第一對稱加密密文為OBU使用OBU對稱加密密鑰��,對 KDN生成的KDN隨機數(shù)���、OBU生成的0腳隨機數(shù)和所述0腳的公鑰證書進行加密處理后得到 的;
[0211] 第一消息數(shù)字簽名���,其中�,該第一消息數(shù)字簽名為OMJ使用與該OMJ的公鑰證書中 用于驗證數(shù)字簽名的公鑰對應的私鑰���,對包含第