[发明专利]确定证书状态的方法

说明书

为满足车联网通信中实时性和安全性的需求，本申请提出一种能够使消息接收端快速确认证书状态的方法。通过在证书的约定字段中包含证书的分类信息，并在证书吊销列表的约定字段中包含被吊销证书的分类信息，接收端能够根据发送端证书中携带的分类信息，在证书吊销列表海量的记录中快速缩小搜索或匹配的范围，以提高确定证书状态的速度和效率。

技术领域

本申请涉及通信领域，尤其涉及车联网领域设备间通信时，确定证书的状态的方法、装置和系统。

背景技术

V2X(Vehicle to Everything)车联网指的是车辆之间，或者车辆与行人或骑行者之间以及车辆与基础设施之间的通信系统。车联网通信具有消息量大且消息收发频率高的特点，如车载通信单元(on-board unit,OBU)或路侧通信单元(road side unit,RSU)周期性(如10赫兹)发送描述车辆运行状态(速度、朝向、方位)的协作感知消息(cooperativeawareness message,CAM),或当发生特殊事件时，发送描述事件类型的分散环境通知信息(Decentralized Environmental Notification Message,DENM)。

出于安全性考虑，通信系统中通常使用证书进行数据源认证，如发送端在发送的消息中携带证书，接收端对消息中携带的证书进行验证，其中包括验证证书是否已被吊销。在传统互联网通信领域使用OCSP方案，即客户端使用在线证书状态协议(OnlineCertificate Status Protocol,OCSP)到OCSP服务器实时查询证书是否被吊销。

在车联网通信中，同样需要使用证书进行数据源认证，但传统的OCSP方案并不适用于车联网通信的场景。以CAM消息为例，车辆每秒广播10条CAM消息，理论上以车辆为中心半径1千米内的全部车辆都会受到广播的CAM消息，如果采用OCSP方案，每辆接收到CAM消息的车辆都需要对每条CAM消息中的证书进行实时查询，不仅会对OCSP服务器的性能和网络带宽造成巨大负担，而且车辆与OCSP服务器间的通信，会额外增加车联网通信的时延。

因此，为满足车联网通信中实时性和安全性的需求，亟需一种效率更高的判断证书是否被吊销的方法。

发明内容

为满足车联网通信中实时性和安全性的需求，本申请提出一种能够使消息接收端快速确认证书状态的方法。本申请中所述的证书状态指证书是否被吊销。

本申请实施例提出一种基于证书吊销列表的方案，该方案中提出证书的分类信息和证书的特征信息两个概念。证书的分类信息指为证书颁发服务器在颁发证书时为证书分配的一个类别信息，用于对证书进行分类。证书的特征信息指可以唯一识别一个证书的信息，证书的特征信息可以是证书颁发服务器在颁发证书时为证书分配的一个n个字节的随机数，还可以是对该证书进行哈希计算后截取的n个字节的数值。

本申请实施例提出在证书的约定字段中包含证书的分类信息，并在证书吊销列表的约定字段中包含被吊销证书的分类信息。另外，当证书的特征信息为证书颁发服务器在颁发证书时为证书分配的一个n个字节的随机数时，一种可能的实现方式中，证书的特征信息可以包含在证书的某一约定字段。证书吊销列表中除了记录被吊销证书的分类信息，还需要在某一约定字段包含被吊销证书的特征信息。

证书吊销列表由证书吊销服务器生成并维护。车联网中的通信单元，如接收端和发送端，从证书吊销服务器获取证书吊销列表。接收端在接收到消息后，根据保存的证书吊销列表，对消息发送端证书进行验证，确定证书的状态。通过在证书的约定字段中包含证书的分类信息，并在证书吊销列表的约定字段中包含被吊销证书的分类信息，接收端能够根据发送端证书中携带的分类信息，在证书吊销列表海量的记录中快速缩小搜索或匹配的范围，以提高证书验证的速度和效率。具体的，接收端在证书吊销列表中，确定与发送端证书具有相同分类信息的被吊销证书的记录集合，并进而在该集合中确定与发送端证书具有相同特征信息的被吊销证书的记录，如果存在匹配的记录，则发送端证书已被吊销，如果不存在匹配的记录，则发送端证书未被吊销。