一种密钥信息的发送和接收方法、设备及系统的制作方法
【技术领域】
[0001] 本发明涉及通信技术领域,特别涉及一种密钥信息的发送和接收方法、设备及系 统。
【背景技术】
[0002] 车联网技术的主要应用目的是为了减少交通事故的发生。在车联网系统中,车载 设备的n-Board化it, 0BU)用于监控车辆的位置及行驶信息并向周围车辆广播送些信息, 同时该车辆还将接收其他车辆发送的信息。OBU将分析本车及其他车辆的行驶信息,并将可 能的交通威胁及时通知给驾驶员。
[0003] 出于安全考虑,在车联网系统中所播发的消息都要经过数字签名。车辆用于签发 其所发送的消息的证书称为消息证书,车辆所拥有的权利保存在消息证书中。车联网消息 证书将随签发的消息一起发送给接收者,W便消息接收者能够验证收到的消息。消息证书 含有用于验证消息签名的公钥和发送者的权利描述。消息接收者收到消息后,首先验证该 消息证书的有效性,然后利用收到的证书验证该消息的有效性。接收者还可W通过分析消 息证书中的权利描述确定该车辆是否是具有特殊通行权的车辆,若是,则接收者可W通过 显示屏或语音等向驾驶者提供相应信息,W便车辆驾驶者能够决定是否采取避让措施。
[0004] 目前所采用的安全方案都是基于非对称加密算法的公钥证书技术,即应用上述数 字签名技术来保证信息的完整性,认证性,不可否认性,并采用匿名证书技术来保护用户的 隐私。然而,非对称加密算法的缺点是加解密速度慢,为了达到所需的操作速度实现成本 高。所W人们也在考虑使用基于对称加密算法的安全方案。为实现在车联网主动安全系统 中使用基于对称加密算法的安全机制,亟需解决的问题是:将车联网系统中基于对称加密 算法消息安全播发技术方案中使用的密钥下发给0BU。但是,对于车联网系统中基于对称加 密算法消息安全播发技术方案中使用的密钥的发布,目前还没有明确的技术方案。
【发明内容】
[0005] 本发明实施例提供了一种密钥信息的发送和接收方法、设备,实现了基于对称加 密算法消息安全播发技术方案中使用的密钥的发布。
[0006] 本发明实施例提供的一种密钥信息的发送方法,该方法包括:
[0007] 密钥分发节点邸N与车载设备0脚建立通信连接后,接收所述0脚发送的密钥请 求消息,所述密钥请求消息用于请求所述KDN发布对称加密算法中使用的消息组密钥的相 关信息;
[000引所述KDN生成包含所述消息组密钥的相关信息的密钥应答消息,并将所述密钥应 答消息发送给所述OBU ;
[0009] 所述KDN接收到所述OBU针对所述密钥应答消息的确认应答消息后,释放与所述 OBU建立的通信连接。
[0010] 较佳地,所述消息组密钥的相关信息包括;密钥管理中必KMC为至少一个邸N生成 的消息组密钥记录;
[0011] 其中,所述消息组密钥记录包括:所述消息组密钥、和使用所述消息组密钥的加解 密算法。
[0012] 进一步,所述消息组密钥记录还包括W下信息中的至少一种:
[0013] 所述KDN的标识信息、所述消息组密钥的标识信息、使用所述消息组密钥的有效 时间信息、使用所述消息组密钥的有效地理区域信息、W及密钥管理中必KMC对所述消息 组密钥记录进行签名处理后得到的数字签名信息。
[0014] 较佳地,所述消息组密钥的相关信息中的消息组密钥记录包括:
[001引所述KMC为所述邸N生成的消息组密钥记录;或者
[0016] 所述KMC为所述邸N生成的消息组密钥记录、W及所述KMC为所述邸N相邻的邸N 生成的消息组密钥记录。
[0017] 较佳地,所述密钥请求消息中包括:
[0018] 第一公钥加密密文,其中,所述第一公钥加密密文为所述OBU使用所述KDN的公钥 证书中用于数据加密的公钥,对OMJ对称加密密钥进行加密处理后得到的;
[0019] 第一对称加密密文,其中,所述第一对称加密密文为所述OBU使用所述OBU对称加 密密钥,对所述KDN生成的KDN随机数、所述OBU生成的0脚随机数和所述0脚的公钥证书 进行加密处理后得到的;
[0020] 第一消息数字签名,其中,所述第一消息数字签名为所述OBU使用与所述OBU的公 钥证书中用于验证数字签名的公钥对应的私钥,对包含所述第一公钥加密密文和所述第一 对称加密密文的信息进行数字签名处理后得到的;
[0021] 其中,所述OBU对称加密密钥为所述OBU生成的用于数据加密的密钥。
[0022] 进一步,所述密钥请求消息中还包括;用于表示所述密钥请求消息类型的第一类 型信息、和/或用于表示使用所述OBU对称加密密钥的加/解密算法的第一对称加密算法;
[0023] 其中,所述第一消息数字签名为所述OMJ使用与所述OBU的公钥证书中用于验证 数字签名的公钥对应的私钥,对包含所述第一类型信息和所述第一对称加密算法中的至少 一个信息、所述第一公钥加密密文、W及所述第一对称加密密文的信息进行数字签名处理 后得到的。
[0024] 在实施中,所述KDN接收到0脚发送的密钥请求消息之后,所述KDN生成包含所述 消息组密钥的相关信息的密钥应答消息之前,该方法还包括;所述KDN对所述密钥请求消 息进行验证;
[00巧]所述KDN生成包含所述消息组密钥的相关信息的密钥应答消息,包括;在所述KDN 对所述密钥请求消息的验证通过后,所述KDN生成包含所述消息组密钥的相关信息的密钥 应答消息。
[0026] 较佳地,所述KDN对所述密钥请求消息进行验证,包括:
[0027] 所述KDN使用与所述KDN的公钥证书中用于数据加密的公钥对应的私钥,对所述 密钥请求消息中的第一公钥加密密文进行解密,W获取所述OBU对称加密密钥;
[0028] 所述KDN使用所述OBU对称加密密钥,对所述密钥请求消息中的第一对称加密密 文进行解密,W获取KDN随机数、0脚随机数和所述0脚的公钥证书;
[0029] 所述KDN在判断出所述第一对称加密密文中携带的KDN随机数与所述KDN向所述 OBU已发送的KDN随机数相同、所述OBU的公钥证书在有效期内且为合法证书、W及根据所 述OBU的公钥证书中用于验证数字签名的公钥确定出所述第一消息数字签名有效后,确定 所述密钥请求消息的验证通过。
[0030] 基于上述任一实施例,所述密钥应答消息中包括:
[0031] 第二公钥加密密文,其中,所述第二公钥加密密文为所述KDN使用所述密钥请求 消息中携带的所述OBU的公钥证书中用于数据加密的公钥,对KDN对称加密密钥进行加密 处理后得到的;
[0032] 第二对称加密密文,其中,所述第二对称加密密文为所述KDN使用所述KDN对称加 密密钥,对所述密钥请求消息中携带的所述OBU生成的OBU随机数和对称加密算法中使用 的消息组密钥的相关信息进行加密处理后得到的;
[0033] 第二消息数字签名,其中,所述第二消息数字签名为所述KDN使用与所述KDN的公 钥证书中用于验证数字签名的公钥对应的私钥,对包含所述第二公钥加密密文和所述第二 对称加密密文的信息进行数字签名处理后得到的;
[0034] 其中,所述KDN对称加密密钥为所述KDN生成的用于数据加密的密钥。
[0035] 进一步,所述密钥应答消息中还包括;用于表示所述密钥应答消息类型的第二类 型信息、和/或用于表示使用所述KDN对称加密密钥的加/解密算法的第二对称加密算法;
[0036] 其中,所述第二消息数字签名为所述KDN使用与所述KDN的公钥证书中用于验证 数字签名的公钥对应的私钥,对包含所述第二类型信息和所述第二对称加密算法中的至少 一个信息、所述第二公钥加密密文、W及所述第二对称加密密文的信息进行数字签名处理 后得到的。
[0037] 基于上述任一实施例,所述KDN接收到所述0脚发送的密钥请求消息之前,该方法 还包括:
[0038] 所述KDN接收所述0脚发送的证书请求消息,所述证书请求消息用于获取所述KDN 的公钥证书;
[0039] 所述邸N生成邸N随机数,W及生成包含自身的公钥证书和所述邸N随机数的证 书应答消息;W及
[0040] 所述KDN将所述证书应答消息发送给所述0BU。
[0041] 本发明实施例提供的一种密钥信息的接收方法,该方法包括:
[0042] 车载设备0脚与所在小区所属的密钥分发节点KDN建立通信连接后,向所述KDN 发送密钥请求消息,所述密钥请求消息用于请求KDN发布对称加密算法中使用的消息组密 钥的相关信息;
[0043] 所述OBU接收所述KDN返回的针对所述密钥请求消息的密钥应答消息,并从所述 密钥应答消息中获取所述消息组密钥的相关信息;
[0044] 所述OBU向所述KDN返回针对所述密钥应答消息的确认应答消息,并释放与所述 邸N建立的通信连接。
[0045] 较佳地,所述消息组密钥的相关信息包括;密钥管理中必KMC为至少一个KDN生成 的消息组密钥记录;
[0046] 其中,所述消息组密钥记录包括:所述消息组密钥、和使用所述消息组密钥的加解 密算法。
[0047] 进一步,所述消息组密钥记录还包括W下信息中的至少一种:
[0048] 所述KDN的标识信息、所述消息组密钥的标识信息、使用所述消息组密钥的有效 时间信息、使用所述消息组密钥的有效地理区域信息、W及密钥管理中必KMC对所述消息 组密钥记录进行签名处理后得到的数字签名信息。
[0049] 较佳地,所述消息组密钥的相关信息中的消息组密钥记录包括:
[0050] 所述KMC为所述邸N生成的消息组密钥记录;或者
[0051] 所述KMC为所述邸N生成的消息组密钥记录、W及所述KMC为所述邸N相邻的邸N 生成的消息组密钥记录。
[0052] 较佳地,所述密钥请求消息中包括:
[0053] 第一公钥加密密文,其中,所述第一公钥加密密文为所述OBU使用所述KDN的公钥 证书中用于数据加密的公钥,对OMJ对称加密密钥进行加密处理后得到的;
[0054] 第一对称加密密文,其中,所述第一对称加密密文为所述OBU使用所述OBU对称加 密密钥,对所述KDN生成的KDN随机数、所述OBU生成的0脚随机数和所述0脚的公钥证书 进行加密处理后得到的;
[00巧]第一消息数字签名,其中,所述第一消息数字签名为所述OBU使用与所述OBU的公 钥证书中用于验证数字签名的公钥对应的私钥,对包含所述第一公钥加密密文和所述第一 对称加密密文的信息进行数字签名处理后得到的;
[0056] 其中,所述0脚对称加密密钥为所述0脚生成的用于数据加密的密钥。
[0057] 进一步,所述密钥请求消息中还包括;用于表示所述密钥请求消息类型的第一类 型信息、和/或用于表示使用所述OBU对称加密密钥的加/解密算法的第一对称加密算法;
[0058] 其中,所述第一消息数字签名为所述OMJ使用与所述OBU的公钥证书中用于验证 数字签名的公钥对应的私钥,对包含所述第一类型信息和所述第一对称加密算法中的至少 一个信息、所述第一公钥加密密文、W及所述第一对称加密密文的信息进行数字签名处理 后得到的。
[0059] 较佳地,所述密钥应答消息中包括:
[0060] 第二公钥加密密文,其中,所述第二公钥加密密文为所述KDN使用所述密钥请求 消息中携带的所述OBU的公钥证书中用于数据加密的公钥,对KDN对称加密密钥进行加密 处理后得到的;
[0061] 第二对称加密密文,其中,所述第二对称加密密文为所述KDN使用所述KDN对称加 密密钥,对所述密钥请求消息中携带的所述OBU生成的OBU随机数和对称加密算法中使用 的消息组密钥的相关信息进行加密处理后得到的;
[0062] 第二消息数字签名,其中,所述第二消息数字签名为所述邸N使用与所述邸N的公 钥证书中用于验证数字签名的公钥对应的私钥,对包含所述第二公钥加密密文和所述第二 对称加密密文的信息进行数字签名处理后得到的;
[0063] 其中,所述KDN对称加密密钥为所述KDN生成的用于数据加密的密钥。
[0064] 进一步,所述密钥应答消息中还包括;用于表示所述密钥应答消息类型的第二类 型信息、和/或用于表示使用所述KDN对称加密密钥的加/解密算法的第二对称加密算法;
[0065] 其中,所述第二消息数字签名为所述OMJ使用与所述OBU的公钥证书中用于验证 数字签名的公钥对应的私钥,对包含所述第二类型信息和所述第二对称加密算法中的至少 一个信息、所述第二公钥加密密文、W及所述第二对称加密密文的信息进行数字签名处理 后得到的。
[0066] 在实施中,所述OBU接收到所述KDN发送的密钥应答消息之后,所述OBU向所述 KDN返回所述确认应答消息之前,该方法还包括:
[0067] 所述OBU对所述密钥应答消息进行验证;
[0068] 在所述OMJ对所述密钥应答消息的验证通过后,所述OMJ生成针对所述密钥应答 消息的确认应答消息。
[0069] 较佳地,所述OBU对所述密钥应答消息进行验证,包括:
[0070] 所述0脚使用所述KDN的公钥证书中用于验证数字签名的公钥对所述密钥应答消 息中的第二消息数字签名进行验证;
[0071] 若验证通过,所述OMJ使用与所述OBU的公钥证书中用于数据加密的公钥对应的 私钥,对所述密钥应答消息中的第二公钥加密密文进行解密,W获取所述KDN对称加密密 钥;
[0072] 所述OBU使用所述KDN对称加密密钥,对所述密钥应答消息中的第二对称加密密 文进行解密,W获取OBU随机数和所述消息组密钥的相关信息;
[0073] 所述OBU在判断出所述第二对称加密密文中携带的OBU随机数与所述OBU向所述 KDN已发送的OBU随机数相同后,使用KMC的公钥证书中用于验证数字签名的公钥对所述消 息组密钥的相关信息中包含的消息组密钥记录进行验证,并在验证通过后,确定所述密钥 应答消息的验证通过,并保存所述消息组密钥的相关信息中包含的消息组密钥记录。
[0074] 基于上述任一实施例,所述0脚与所述KDN建立通信连接之后,所述OBU向所述 KDN发送密钥请求消息之前,该方法还包括:
[00巧]所述OBU向所述KDN发送证书请求消息,所述证书请求消息用于获取所述KDN的 公钥证书;
[0076] 所述0脚接收所述KDN返回的证书应答消息,其中,所述证书应答消息中包括所述 邸N生成邸N随机数和所述邸N的公钥证书。
[0077] 本发明实施例提供的一种密钥分发节点邸N,包括:
[0078] 第一模块,用于在所属的KDN与车载设备0脚建立通信连接后,接收所述0脚发送 的密钥请求消息,所述密钥请求消息用于请求所述KDN发布对称加密算法中使用的消息组 密钥的相关信息;
[0079] 第二模块,用于生成包含所述消息组密钥的相关信息的密钥应答消息,并将所述 密钥应答消息发送给所述OBU ;
[0080] 第H模块,用于接收到所述OBU针对所述密钥应答消息的确认应答消息后,释放 与所述OMJ建立的通信连接。
[0081] 较佳地,所述消息组密钥的相关信息包括;密钥管理中必KMC为至少一个邸N生成 的消息组密钥记录;
[0082] 其中,所述消息组密钥记录包括:所述消息组密钥、和使用所述消息组密钥的加解 密算法。
[0083] 较佳地,所述密钥请求消息中包括:
[0084] 第一公钥加密密文,其中,所述第一公钥加密密文为所述OBU使用所述KDN的公钥 证书中用于数据加密的公钥,对OMJ对称加密密钥进行加密处理后得到的;
[0085] 第一对称加密密文,其中,所述第一对称加密密文为所述OBU使用所述OBU对称加 密密钥,对所述KDN生成的KDN随机数、所述OBU生成的0脚随机数和所述0脚的公钥证书 进行加密处理后得到的;
[0086] 第一消息数字签名,其中,所述第一消息数字签名为所述OBU使用与所述OBU的公 钥证书中用于验证数字签名的公钥对应的私钥,对包含所述第一公钥加密密文和所述第一 对称加密密文的信息进行数字签名处理后得到的;
[0087] 其中,所述0脚对称加密密钥为所述0脚生成的用于数据加密的密钥。
[0088] 在实施中,所述第二模块具体用于:
[0089] 对所述密钥请求消息进行验证;W及在对所述密钥请求消息的验证通过后,生成 包含所述消息组密钥的相关信息的密钥应答消息。
[0090] 较佳地,所述第二模块对所述密钥请求消息进行验证,包括:
[0091] 使用与所述KDN的公钥证书中用于数据加密的公钥对应的私钥,对所述密钥请求 消息中的第一公钥加密密文进行解密,W获取所述OBU对称加密密钥;使用所述OBU对称加 密密钥,对所述密钥请求消息中的第一对称加密密文进行解密,W获取KDN随机数、OBU随 机数和所述OBU的公钥证书;在判断出所述第一对称加密密文中携带的KDN随机数与所述 第一模块向所述OBU已发送的KDN随机数相同、所述0脚的公钥证书在有效期内且为合法 证书、W及根据所述OBU的公钥证书中用于验证数字签名的公钥确定出所述第一消息数字 签名有效后,确定所述密钥请求消息的验证通过。
[0092] 基于上述任一实施例,所述密钥应答消息中包括:
[0093] 第二公钥加密密文,所述第二公钥加密密文为所述第二模块使用所述密钥请求消 息中携带的所述OBU的公钥证书中用于数据加密的公钥,对KDN对称加密密钥进行加密处 理后得到的;
[0094] 第二对称加密密文,所述第二对称加密密文为所述第二模块使用所述KDN对称加 密密钥,对所述密钥请求消息中携带的所述OBU生成的OBU随机数和对称加密算法中使用 的消息组密钥的相关信息进行加密处理后得到的;
[0095] 第二消息数字签名,所述第二消息数字签名为所述第二模块使用与所述KDN的公 钥证书中用于验证数字签名的公钥对应的私钥,对包含所述第二公钥加密密文和所述第二 对称加密密文的信息进行数字签名处理后得到的;
[0096] 其中,所述KDN对称加密密钥为所述第二模块生成的用于数据加密的密钥。
[0097] 基于上述任一实施例,所述第一模块接收到所述OBU发送的密钥请求消息之前, 还用于:
[0098] 接收所述0脚发送的证书请求消息,所述证书请求消息用于获取所述KDN的公钥 证书;生成KDN随机数,W及生成包含自身的公钥证书和所述KDN随机数的证书应答消息; W及将所述证书应答消息发送给所述0BU。
[0099] 本发明实施例提供的另一种邸N,包括:
[0100] 处理器,用于读取存储器中的程序,执行下列过程:
[0101] 在所属的KDN与OBU建立通信连接后,通过收发机接收所述OBU发送的密钥请求 消息,所述密钥请求消息用于请求所述KDN发布对称加密算法中使用的消息组密钥的相关 信息;生成包含所述消息组密钥的相关信息的密钥应答消息,并通过收发机将所述密钥应 答消息发送给所述OBU ;通过收发机接收到所述OBU针对所述密钥应答消息的确认应答消 息后,释放与所述OMJ建立的通信连接;
[0102] 收发机,用于在处理器的控制下接收和发送数据。
[010引较佳地,所述消息组密钥的相关信息包括;密钥管理中必KMC为至少一个邸N生成 的消息组密钥记录;
[0104] 其中,所述消息组密钥记录包括:所述消息组密钥、和使用所述消息组密钥的加解 密算法。
[0105] 较佳地,所述密钥请求消息中包括:
[0106] 第一公钥加密密文,其中,所述第一公钥加密密文为所述0脚使用所述KDN的公钥 证书中用于数据加密的公钥,对OMJ对称加密密钥进行加密处理后得到的;
[0107] 第一对称加密密文,其中,所述第一对称加密密文为所述OMJ使用所述OMJ对称加 密密钥,对所述KDN生成的KDN随机数、所述OBU生成的0脚随机数和所述0脚的公钥证书 进