证书发放方法和装置与流程

1.本申请实施例涉及通信技术，尤其涉及一种证书发放方法和装置。


背景技术：

2.车联网(vehicle to everything，v2x)是未来智能交通运输的关键技术，通过部署全球定位系统(global positioning system，gps)、射频识别(radio frequency identification，rfid)、摄像头图像处理等装置，车联网设备完成自身环境以及状态信息的采集，通过互联网技术，使得车辆与车辆、车辆与基站、基站与基站等v2x设备之间能够进行无线通信，以获得车辆信息、路况信息、行人信息等一系列交通信息，从而提供驾驶安全性、减少拥堵、提高交通效率、以及提供车载娱乐服务等。
3.目前，车联网通信系统是通过证书来保护v2x设备间的通信安全，证书包括管理类证书和通信类证书，其中，管理证书包括授权证书和注册证书两种。具体地，授权证书是v2x设备生产厂商向授权证书颁发机构(certificate authority，ca)申请的证书，以获得v2x设备生产权限，v2x设备中存储的注册证书是v2x设备生产厂商在生产的v2x设备出厂前，通过授权证书为v2x设备申请的证书，该注册证书将保存于v2x设备中用于申请其他证书。
4.目前，v2x设备的注册证书是v2x设备生产厂商通过离线的方式申请的，注册证书发放方式灵活性较低。


技术实现要素：

5.本申请提供一种证书发放方法和装置，用于提高注册证书发放的灵活性。
6.第一方面，本申请实施例提供一种证书发放方法，包括：终端设备先向第一网络设备发送第一消息，第一消息用于请求第一网络设备发放注册证书，其中，第一消息包括公钥以及第一信息，第一信息用于确定终端设备的设备信息；然后，终端设备接收第一网络设备发送的第二消息，第二消息包括注册证书，注册证书根据终端设备的设备信息以及公钥生成。终端设备与第一网络设备通过交互，实现在线发放注册证书，无需在终端设备生产过程中预先配置注册证书，不仅能够提高证书发放方式的灵活性，还能够减少终端设备的生产步骤。
7.在第一方面的第一实施例中，终端设备根据第一共享密钥对第二消息进行解密，获得注册证书，其中，所述第二消息是根据第一共享密钥加密后得到的消息，第一共享密钥为终端设备与第一网络设备之间共享的密钥。
8.根据第一方面或第一方面的第一实施例，在第一方面的第二实施例中，终端设备向第一网络设备发送第一消息之前，还包括：终端设备生成公私钥对。
9.根据第一方面或第一方面的第一实施例或第一方面的第二实施例，在第一方面的第三实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、车辆识别号码(vehicle identification number，vin)、设备号。
10.根据第一方面或第一方面的第二实施例或第一方面的第三实施例，在第一方面的
第四实施例中，终端设备向第一网络设备发送第一消息，包括：若所述终端设备与所述第一网络设备之间共享的密钥在对应的有效期内，所述终端设备向所述第一网络设备发送所述第一消息。
11.根据第一方面或第一方面的第二实施例或第一方面的第三实施例，在第一方面的第五实施例中，所述方法还包括：
12.若终端设备与第一网络设备之间共享的密钥不在对应的有效期内，或者，终端设备与第一网络设备之间不存在共享的密钥，则终端设备与第一网络设备协商获得所述第一共享密钥。
13.根据第一方面的第五实施例，在第一方面的第六实施例中，终端设备与第一网络设备协商获得所述第一共享密钥，包括：
14.终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥，其中，所述第二共享密钥为所述终端设备与锚点网元之间共享的密钥。
15.根据第一方面的第六实施例，在第一方面的第七实施例中，所述方法还包括：
16.终端设备接收第一网络设备发送的第三消息，所述第三消息包括所述第一共享密钥对应的有效期。
17.根据第一方面的第六实施例或第一方面的第七实施例，在第一方面的第八实施例中，终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥之前，还包括：
18.终端设备向第一网络设备发送第四消息，所述第四消息用于请求所述第一网络设备认证所述终端设备，所述第四消息包括所述第一信息，所述第一信息用于确定第二共享密钥。
19.根据第一方面的第六实施例或第一方面的第七实施例或第一方面的第八实施例，在第一方面的第九实施例中，终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥之后，还包括：终端设备接收所述第一网络设备发送的第五消息，所述第五消息用于指示所述终端设备所述第一共享密钥协商成功。
20.根据第一方面的第六实施例，在第一方面的第十实施例中，终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥，包括：
21.若所述终端设备与所述锚点网元之间共享的密钥在对应的有效期，终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及所述随机数，生成所述第一共享密钥。
22.本申请实施例中，若终端设备与第一网络设备之间共享的密钥在对应的有效期内，则终端设备可以根据第二共享密钥、终端设备的标识、第一网络设备的标识以及所述随机数，生成所述第一共享密钥，之后终端设备可以根据第一共享密钥对第二消息进行解密，获取第二消息中的注册证书，提高了注册证书的安全性。
23.第二方面，本申请实施例提供一种证书发放方法，包括：第一网络设备接收终端设备发送的第一消息，其中，第一消息包括公钥以及第一信息，第一信息用于确定终端设备的设备信息；然后，第一网络设备根据第一信息获得终端设备的设备信息，并根据终端设备的设备信息以及公钥生成注册证书；之后，第一网络设备向终端设备发送第二消息，第二消息
包括注册证书。终端设备与第一网络设备通过交互，实现在线发放注册证书，无需在终端设备生产过程中预先配置注册证书，不仅能够提高证书发放方式的灵活性，还能够减少终端设备的生产步骤。
24.在第二方面的第一实施例中，第一网络设备向终端设备发送第二消息，包括：第一网络设备根据第一共享密钥对第二消息进行加密处理，得到加密后的第二消息，其中，第一共享密钥为终端设备与第一网络设备之间共享的密钥；然后，第一网络设备向终端设备发送加密后的第二消息。
25.根据第二方面或第二方面的第一实施例，在第二方面的第二实施例中，第一网络设备根据第一信息获得终端设备的设备信息，包括：第一网络设备向锚点网元发送所述第一信息，请求所述锚点网元发送与所述第一信息对应的所述终端设备的设备信息；所述第一网络设备接收所述锚点网元发送的所述终端设备的设备信息。
26.根据第二方面或第二方面的第一实施例，在第二方面的第三实施例中，第一网络设备根据第一信息获得终端设备的设备信息包括：第一网络设备向锚点网元发送第一信息；然后，第一网络设备接收锚点网元发送的终端设备的永久性标识；接着，第一网络设备根据终端设备的永久性标识确定终端设备的设备信息。
27.根据第二方面或第二方面的第一实施例至第三实施例中任一实施例，在第二方面的第四实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、车辆识别号码vin、设备号。
28.根据第二方面的第一实施例至第四实施例中任一实施例，在第二方面的第五实施例中，第一网络设备根据第一共享密钥对所述注册证书进行加密处理，得到所述加密后的第二消息，包括：
29.若所述终端设备与所述第一网络设备之间共享的密钥在对应的有效期内，所述第一网络设备根据所述第一共享密钥对所述注册证书进行加密处理，得到所述加密后的第二消息。
30.根据第二方面或第二方面的第一实施例至第四实施例中任一实施例，在第二方面的第六实施例中，第一网络设备根据第一共享密钥对所述第二消息进行加密处理之前，还包括：
31.若终端设备与第一网络设备之间共享的密钥不在对应的有效期内，或者，终端设备与第一网络设备之间不存在共享的密钥，则第一网络设备与终端设备协商获得所述第一共享密钥。
32.根据第二方面的第六实施例，在第二方面的第七实施例中，第一网络设备与终端设备协商获得所述第一共享密钥，包括：
33.第一网络设备先向锚点网元发送第六消息，第六消息包括第一信息以及第一网络设备的标识；然后，第一网络设备接收锚点网元发送的第七消息，第七消息包括第一共享密钥。
34.根据第二方面的第七实施例，在第二方面的第八实施例中，第一网络设备向终端设备发送第五消息，第五消息用于指示终端设备第一共享密钥协商成功。
35.根据第二方面的第七实施例或第二方面的第八实施例，在第二方面的第九实施例中，所述方法还包括：第一网络设备向终端设备发送第三消息，所述第三消息包括所述第一
共享密钥对应的有效期。
36.本申请实施例中，若终端设备与第一网络设备之间共享的密钥不在对应的有效期内，则第一网络设备从锚点网元处获得第一共享密钥，之后第一网络设备可以根据第一共享密钥对第二消息进行加密处理，得到加密后的第二消息，并将加密后的第二消息发送至终端设备，提高了注册证书的安全性。
37.第三方面，本申请实施例提供一种证书发放方法包括：锚点网元接收第一网络设备发送的第一信息，第一信息用于确定终端设备的设备信息；锚点网元根据第一信息确定终端设备的设备信息；接着，锚点网元向第一网络设备发送终端设备的设备信息，所述终端设备的设备信息以及公钥用于生成终端设备的注册证书；或者，锚点网元根据第一信息确定终端设备的永久性标识，之后锚点网元向第一网络设备发送终端设备的永久性标识，所述终端设备的永久性标识用于确定所述终端设备的设备信息。
38.本申请实施例中，锚点网元通过向第一网络设备发送终端设备的设备信息，第一网络设备根据终端设备的设备信息以及公钥生成注册证书，或者锚点网元向第一网络设备发送终端设备的永久性标识，第一网络设备可以根据终端设备的永久性标识确定终端设备的设备信息，并根据终端设备的设备信息以及公钥生成注册证书，之后第一网络设备可以通过在线的方式向终端设备发放注册证书，无需在终端设备生产过程中预先配置注册证书，不仅能够提高证书发放方式的灵活性，还能够减少终端设备的生产步骤。
39.在第三方面的第一实施例中，锚点网元根据第一信息确定终端设备的设备信息包括：锚点网元先根据第一信息确定终端设备的永久性标识；然后，锚点网元根据终端设备的永久性标识确定终端设备的设备信息。
40.根据第三方面或第三方面的第一实施例，在第三方面的第二实施例中，所述方法还包括：锚点网元接收所述第一网络设备发送的第六消息，其中，所述第六消息包括所述第一信息以及所述第一网络设备的标识，所述第一信息用于确定第二共享密钥，其中，所述第二共享密钥为所述终端设备与所述锚点网元之间共享的密钥；所述锚点网元根据第一信息确定第二共享密钥，并根据所述第二共享密钥、所述终端设备的标识以及所述第一网络设备的标识，生成所述第一共享密钥；所述锚点网元向所述第一网络设备发送第七消息，所述第七消息包括所述第一共享密钥。
41.根据第三方面或第三方面的第一实施例或第三方面的第二实施例，在第三方面的第三实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、车辆识别号码vin、设备号。
42.根据第三方面的第二实施例，在第三方面的第四实施例中，所述方法还包括：
43.锚点网元先确定第一共享密钥对应的有效期；然后，锚点网元向第一网络设备发送第一共享密钥对应的有效期。
44.根据第三方面的第二实施例或者第三方面的第四实施例，在第三方面的第五实施例中，锚点网元根据第一信息确定第二共享密钥，包括：
45.若终端设备与锚点网元之间共享的密钥在对应的有效期内，则锚点网元根据所述第一信息确定所述第二共享密钥。
46.本申请实施例中，若终端设备与第一网络设备之间共享的密钥不在对应的有效期内或者终端设备与第一网络设备之间共享的密钥不存在时，锚点网元根据第二共享密钥、
终端设备的标识以及第一网络设备的标识，生成第一共享密钥，之后，锚点网元将第一共享密钥发送至第一网络设备，第一网络设备可以根据第一共享密钥对第二消息进行加密处理，并将加密后的第二消息发送至终端设备，从而提高注册证书的安全性。
47.第四方面，本申请实施例还提供一种证书发放装置，包括：
48.收发模块，用于向第一网络设备发送第一消息，第一消息用于请求第一网络设备发放注册证书，其中，第一消息包括公钥以及第一信息，第一信息用于确定终端设备的设备信息；
49.所述收发模块，还用于接收第一网络设备发送的第二消息，其中，所述第二消息包括所述注册证书，所述注册证书根据所述终端设备的设备信息以及所述公钥生成。
50.终端设备与第一网络设备通过交互，实现在线发放注册证书，无需在终端设备生产过程中预先配置注册证书，不仅能够提高证书发放方式的灵活性，还能够减少终端设备的生产步骤。
51.在第四方面的第一实施例中，所述装置还包括：处理模块；
52.所述处理模块，用于根据第一共享密钥对第二消息进行解密，获得注册证书；其中，所述第二消息是根据第一共享密钥加密后得到的消息，所述第一共享密钥为所述终端设备与所述第一网络设备之间共享的密钥。
53.根据第四方面或第四方面的第一实施例，在第四方面的第二实施例中，所述处理模块，还用于生成公私钥对。根据第四方面或第四方面的第一实施例或第四方面的第二实施例，在第四方面的第三实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、车辆识别号码vin、设备号。
54.根据第四方面或第四方面的第二实施例或第四方面的第三实施例，在第四方面的第四实施例中，处理模块，还用于确定终端设备与第一网络设备之间共享的密钥是否在对应的有效期内，若终端设备与第一网络设备之间共享的密钥在对应的有效期内，所述收发模块向所述第一网络设备发送所述第一消息。
55.根据第四方面或第四方面的第二实施例或第四方面的第三实施例，在第四方面的第五实施例中，所述方法还包括：
56.若所述处理模块确定终端设备与第一网络设备之间共享的密钥不在对应的有效期内，或者，终端设备与第一网络设备之间不存在共享的密钥，则所述处理模块还用于与第一网络设备协商获得所述第一共享密钥。
57.根据第四方面的第五实施例，在第四方面的第六实施例中，所述处理模块具体用于根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥，其中，所述第二共享密钥为所述终端设备与锚点网元之间共享的密钥。
58.根据第四方面的第六实施例，第四方面的第七实施例中，所述处理模块根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥之前，所述收发模块还用于接收第一网络设备发送的第三消息，所述第三消息包括所述第一共享密钥对应的有效期。
59.根据第四方面的第六实施例或第四方面的第七实施例，在第四方面的第八实施例中，所述收发模块还用于向第一网络设备发送第四消息，所述第四消息用于请求所述第一网络设备认证所述终端设备，所述第四消息包括所述第一信息，所述第一信息用于确定第
二共享密钥。
60.根据第四方面的第六实施例或第四方面的第七实施例或第四方面的第八实施例，在第四方面的第九实施例中，所述处理模块根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥之后，所述收发模块还用于接收第一网络设备发送的第五消息，所述第五消息用于指示所述终端设备所述第一共享密钥协商成功。
61.根据第四方面的第六实施例，在第四方面的第十实施例中，所述处理模块具体用于确定终端设备与锚点网元之间共享的密钥是否在对应的有效期内，若确定终端设备与锚点网元之间共享的密钥在对应的有效期内，则所述处理模块根据第二共享密钥、终端设备的标识、第一网络设备的标识以及所述随机数，生成所述第一共享密钥。
62.本申请实施例中，若处理模块确定终端设备与第一网络设备之间共享的密钥在对应的有效期内，则终端设备可以根据第二共享密钥、终端设备的标识、第一网络设备的标识以及所述随机数，生成所述第一共享密钥，之后终端设备可以根据第一共享密钥对第二消息进行解密，获取第二消息中的注册证书，提高了注册证书的安全性。
63.第五方面，本申请实施例提供一种证书发放装置，包括：
64.收发模块，用于接收终端设备发送的第一消息，其中，第一消息包括公钥以及第一信息，第一信息用于确定终端设备的设备信息；
65.所述收发模块，还用于根据所述第一信息获得所述终端设备的设备信息；
66.处理模块，用于根据所述设备的设备信息以及所述公钥生成所述注册证书；
67.所述收发模块，还用于向终端设备发送第二消息，所述第二消息包括所述注册证书。
68.在第五方面的第一实施例中，所述处理模块，还用于根据第一共享密钥对所述第二消息进行加密处理，得到加密后的第二消息，所述第一共享密钥为所述终端设备与所述第一网络设备之间共享的密钥；
69.相应地，所述收发模块用于向所述终端设备发送加密后的第二消息。
70.根据第五方面或第五方面的第一实施例，在第五方面的第二实施例中，所述收发模块具体用于向锚点网元发送所述第一信息，请求所述锚点网元发送与所述第一信息对应的所述终端设备的设备信息；
71.所述收发模块还用于接收所述锚点网元发送的所述终端设备的设备信息。
72.根据第五方面或第五方面的第一实施例，在第五方面的第三实施例中，所述收发模块具体用于向锚点网元发送所述第一信息；
73.所述收发模块还用于接收所述锚点网元发送的所述终端设备的永久性标识；
74.所述处理模块用于根据终端设备的永久性标识确定终端设备的设备信息。
75.根据第五方面或第五方面的第一实施例至第三实施例中任一实施例，在第五方面的第四实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、车辆识别号码vin、设备号。
76.根据第五方面的第一实施例至第四实施例中任一实施例，在第五方面的第五实施例中，所述处理模块具体用于若确定所述终端设备与第一网络设备之间共享的密钥在对应的有效期内，则根据所述第一共享密钥对所述注册证书进行加密处理，得到所述加密后的第二消息。
77.根据第五方面或第五方面的第一实施例至第四实施例中任一实施例，在第五方面的第六实施例中，若所述处理模块确定终端设备与第一网络设备之间共享的密钥不在对应的有效期内，或者，终端设备与第一网络设备之间不存在共享的密钥，则所述收发模块还用于与第一网络设备协商获得所述第一共享密钥。
78.根据第五方面的第六实施例，在第五方面的第七实施例中，所述收发模块具体用于向锚点网元发送第六消息，第六消息包括第一信息以及第一网络设备的标识；
79.所述收发模块还用于接收锚点网元发送的第七消息，第七消息包括第一共享密钥。
80.根据第五方面的第七实施例，在第五方面的第八实施例中，所述收发模块还用于向终端设备发送第五消息，第五消息与用于指示终端设备第一共享密钥协商成功。
81.根据第五方面的第七实施例或第五方面的第八实施例，在第五方面的第九实施例中，所述收发模块还用于向终端设备发送第三消息，所述第三消息包括所述第一共享密钥对应的有效期。
82.本申请实施例中，若终端设备与第一网络设备之间共享的密钥不在对应的有效期内，则第一网络设备从锚点网元处获得第一共享密钥，之后第一网络设备可以根据第一共享密钥对第二消息进行加密处理，得到加密后的第二消息，并将加密后的第二消息发送至终端设备，提高了注册证书的安全性。
83.第六方面，本申请实施例提供一种证书发放装置，包括：
84.收发模块，用于接收第一网络设备发送的第一信息，第一信息用于确定终端设备的设备信息；
85.处理模块，用于根据第一信息确定终端设备的设备信息；
86.所述收发模块，还用于向第一网络设备发送终端设备的设备信息，所述终端设备的设备信息以及公钥用于生成终端设备的注册证书；
87.所述处理模块，还用于根据第一信息确定终端设备的永久性标识；
88.所述收发模块，还用于向所述第一网络设备发送所述终端设备的永久性标识，所述终端设备的永久性标识用于确定所述终端设备的设备信息。
89.本申请实施例中，锚点网元通过向第一网络设备发送终端设备的设备信息，第一网络设备根据终端设备的设备信息以及公钥生成注册证书，或者锚点网元向第一网络设备发送终端设备的永久性标识，第一网络设备可以根据终端设备的永久性标识确定终端设备的设备信息，并根据终端设备的设备信息以及公钥生成注册证书，之后第一网络设备可以通过在线的方式向终端设备发放注册证书，无需在终端设备生产过程中预先配置注册证书，不仅能够提高证书发放方式的灵活性，还能够减少终端设备的生产步骤。
90.在第六方面的第一实施例中，处理模块，具体用于根据第一信息确定终端设备的永久性标识；
91.所述处理模块，还用于根据终端设备的永久性标识确定终端设备的设备信息。
92.根据第六方面或第六方面的第一实施例，在第六方面的第二实施例中，所述收发模块还用于接收所述第一网络设备发送的第六消息，其中，所述第六消息包括所述第一信息以及所述第一网络设备的标识，所述第一信息用于确定第二共享密钥，其中，所述第二共享密钥为所述终端设备与所述锚点网元之间共享的密钥；
93.所述处理模块，还用于根据第一信息确定第二共享密钥，并根据所述第二共享密钥、所述终端设备的标识以及所述第一网络设备的标识，生成所述第一共享密钥；
94.所述收发模块，还用于向第一网络设备发送第七消息，所述第七消息包括所述第一共享密钥。
95.根据第六方面或第六方面的第一实施例或第六方面的第二实施例，在第六方面的第三实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、车辆识别号码vin、设备号。
96.根据第六方面的第二实施例，在第六方面的第四实施例中，所述处理模块，还用于确定第一共享密钥对应的有效期；
97.所述收发模块，还用于向第一网络设备发送第一共享密钥对应的有效期。
98.根据第六方面的第二实施例或者第六方面的第四实施例，在第六方面的第五实施例中，所述处理模块，具体用于确定终端设备与锚点网元之间共享的密钥在对应的有效期内时，根据第一信息确定第二共享密钥。
99.本申请实施例中，若终端设备与第一网络设备之间共享的密钥不在对应的有效期内或者终端设备与第一网络设备之间共享的密钥不存在时，锚点网元根据第二共享密钥、终端设备的标识以及第一网络设备的标识，生成第一共享密钥，之后，锚点网元将第一共享密钥发送至第一网络设备，第一网络设备可以根据第一共享密钥对第二消息进行加密处理，并将加密后的第二消息发送至终端设备，从而提高注册证书的安全性。
100.第七方面，本申请实施例还提供一种证书发放装置，包括：
101.收发器，用于向第一网络设备发送第一消息，第一消息用于请求第一网络设备发放注册证书，其中，第一消息包括公钥以及第一信息，第一信息用于确定终端设备的设备信息；
102.所述收发器，还用于接收第一网络设备发送的第二消息，其中，所述第二消息包括所述注册证书，所述注册证书根据所述终端设备的设备信息以及所述公钥生成。
103.终端设备与第一网络设备通过交互，实现在线发放注册证书，无需在终端设备生产过程中预先配置注册证书，不仅能够提高证书发放方式的灵活性，还能够减少终端设备的生产步骤。
104.在第七方面的第一实施例中，所述装置还包括：处理器；
105.所述处理器，用于根据第一共享密钥对第二消息进行解密，获得注册证书；其中，所述第二消息是根据第一共享密钥加密后得到的消息，所述第一共享密钥为所述终端设备与所述第一网络设备之间共享的密钥。
106.根据第七方面或第七方面的第一实施例，在第七方面的第二实施例中，所述处理器，还用于生成公私钥对。根据第七方面或第七方面的第一实施例或第七方面的第二实施例，在第七方面的第三实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、车辆识别号码vin、设备号。
107.根据第七方面或第七方面的第二实施例或第七方面的第三实施例，在第七方面的第四实施例中，处理器还用于确定终端设备与第一网络设备之间共享的密钥是否在对应的有效期内，若终端设备与第一网络设备之间共享的密钥在对应的有效期内，所述收发器向所述第一网络设备发送所述第一消息。
108.根据第七方面或第七方面的第二实施例或第七方面的第三实施例，在第七方面的第五实施例中，所述方法还包括：
109.若所述处理器确定终端设备与第一网络设备之间共享的密钥不在对应的有效期内，或者，终端设备与第一网络设备之间不存在共享的密钥，则所述处理器还用于与第一网络设备协商获得所述第一共享密钥。
110.根据第七方面的第五实施例，在第七方面的第六实施例中，所述处理器具体用于根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥，其中，所述第二共享密钥为所述终端设备与锚点网元之间共享的密钥。
111.根据第七方面的第六实施例，第七方面的第七实施例中，所述处理器根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥之前，所述收发器还用于接收第一网络设备发送的第三消息，所述第三消息包括所述第一共享密钥对应的有效期。
112.根据第七方面的第六实施例或第七方面的第七实施例，在第七方面的第八实施例中，所述收发器还用于向第一网络设备发送第四消息，所述第四消息用于请求所述第一网络设备认证所述终端设备，所述第四消息包括所述第一信息，所述第一信息用于确定第二共享密钥。
113.根据第七方面的第六实施例或第七方面的第七实施例或第七方面的第八实施例，在第七方面的第九实施例中，所述处理器根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥之后，所述收发器还用于接收第一网络设备发送的第五消息，所述第五消息用于指示所述终端设备所述第一共享密钥协商成功。
114.根据第七方面的第六实施例，在第七方面的第十实施例中，所述处理器具体用于确定终端设备与锚点网元之间共享的密钥是否在对应的有效期内，若确定终端设备与锚点网元之间共享的密钥在对应的有效期内，则所述处理器根据第二共享密钥、终端设备的标识、第一网络设备的标识以及所述随机数，生成所述第一共享密钥。
115.需要说明的是，在一些实施例中，终端设备还包括：存储器，存储器用于存储程序代码。当所述程序代码执行时，所述终端设备用于实现第一方面任一实施例的方法。
116.本申请实施例中，若处理模块确定终端设备与第一网络设备之间共享的密钥在对应的有效期内，则终端设备可以根据第二共享密钥、终端设备的标识、第一网络设备的标识以及所述随机数，生成所述第一共享密钥，之后终端设备可以根据第一共享密钥对第二消息进行解密，获取第二消息中的注册证书，提高了注册证书的安全性。
117.第八方面，本申请实施例提供一种证书发放装置，包括：
118.收发器，用于接收终端设备发送的第一消息，其中，第一消息包括公钥以及第一信息，第一信息用于确定终端设备的设备信息；
119.所述收发器，还用于根据所述第一信息获得所述终端设备的设备信息；
120.处理器，用于根据所述设备的设备信息以及所述公钥生成所述注册证书；
121.所述收发器，还用于向终端设备发送第二消息，所述第二消息包括所述注册证书。
122.在第八方面的第一实施例中，所述处理器，还用于根据第一共享密钥对所述第二消息进行加密处理，得到加密后的第二消息，所述第一共享密钥为所述终端设备与所述第一网络设备之间共享的密钥；
123.相应地，所述收发器用于向所述终端设备发送加密后的第二消息。
124.根据第八方面或第八方面的第一实施例，在第八方面的第二实施例中，所述收发器具体用于向锚点网元发送所述第一信息，请求所述锚点网元发送与所述第一信息对应的所述终端设备的设备信息；
125.所述收发器还用于接收所述锚点网元发送的所述终端设备的设备信息。
126.根据第八方面或第八方面的第一实施例，在第八方面的第三实施例中，所述收发器具体用于向锚点网元发送所述第一信息；
127.所述收发器还用于接收所述锚点网元发送的所述终端设备的永久性标识；
128.所述处理器用于根据终端设备的永久性标识确定终端设备的设备信息。
129.根据第八方面或第八方面的第一实施例至第三实施例中任一实施例，在第八方面的第四实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、车辆识别号码vin、设备号。
130.根据第八方面的第一实施例至第四实施例中任一实施例，在第八方面的第五实施例中，所述处理器具体用于若确定所述终端设备与第一网络设备之间共享的密钥在对应的有效期内，则根据所述第一共享密钥对所述注册证书进行加密处理，得到所述加密后的第二消息。
131.根据第八方面或第八方面的第一实施例至第四实施例中任一实施例，在第八方面的第六实施例中，若所述处理器确定终端设备与第一网络设备之间共享的密钥不在对应的有效期内，或者，终端设备与第一网络设备之间不存在共享的密钥，则所述收发器还用于与第一网络设备协商获得所述第一共享密钥。
132.根据第八方面的第六实施例，在第八方面的第七实施例中，所述收发器具体用于向锚点网元发送第六消息，第六消息包括第一信息以及第一网络设备的标识；
133.所述收发器还用于接收锚点网元发送的第七消息，第七消息包括第一共享密钥。
134.根据第八方面的第七实施例，在第八方面的第八实施例中，所述收发器还用于向终端设备发送第五消息，第五消息与用于指示终端设备第一共享密钥协商成功。
135.根据第八方面的第七实施例或第八方面的第八实施例，在第八方面的第九实施例中，所述收发器还用于向终端设备发送第三消息，所述第三消息包括所述第一共享密钥对应的有效期。
136.本申请实施例中，若终端设备与第一网络设备之间共享的密钥不在对应的有效期内，则第一网络设备从锚点网元处获得第一共享密钥，之后第一网络设备可以根据第一共享密钥对第二消息进行加密处理，得到加密后的第二消息，并将加密后的第二消息发送至终端设备，提高了注册证书的安全性。
137.第九方面，本申请实施例提供一种证书发放装置，包括：
138.收发器，用于接收第一网络设备发送的第一信息，第一信息用于确定终端设备的设备信息；
139.处理器，用于根据第一信息确定终端设备的设备信息；
140.所述收发器，还用于向第一网络设备发送终端设备的设备信息，所述终端设备的设备信息以及公钥用于生成终端设备的注册证书；
141.所述处理器，还用于根据第一信息确定终端设备的永久性标识；
142.所述收发器，还用于向所述第一网络设备发送所述终端设备的永久性标识，所述终端设备的永久性标识用于确定所述终端设备的设备信息。
143.本申请实施例中，锚点网元通过向第一网络设备发送终端设备的设备信息，第一网络设备根据终端设备的设备信息以及公钥生成注册证书，或者锚点网元向第一网络设备发送终端设备的永久性标识，第一网络设备可以根据终端设备的永久性标识确定终端设备的设备信息，并根据终端设备的设备信息以及公钥生成注册证书，之后第一网络设备可以通过在线的方式向终端设备发放注册证书，无需在终端设备生产过程中预先配置注册证书，不仅能够提高证书发放方式的灵活性，还能够减少终端设备的生产步骤。
144.在第九方面的第一实施例中，处理器具体用于根据第一信息确定终端设备的永久性标识；
145.所述处理器，还用于根据终端设备的永久性标识确定终端设备的设备信息。
146.根据第九方面或第九方面的第一实施例，在第九方面的第二实施例中，所述收发器还用于接收所述第一网络设备发送的第六消息，其中，所述第六消息包括所述第一信息以及所述第一网络设备的标识，所述第一信息用于确定第二共享密钥，其中，所述第二共享密钥为所述终端设备与所述锚点网元之间共享的密钥；
147.所述处理器，还用于根据第一信息确定第二共享密钥，并根据所述第二共享密钥、所述终端设备的标识以及所述第一网络设备的标识，生成所述第一共享密钥；
148.所述收发器，还用于向第一网络设备发送第七消息，所述第七消息包括所述第一共享密钥。
149.根据第九方面或第九方面的第一实施例或第九方面的第二实施例，在第九方面的第三实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、车辆识别号码vin、设备号。
150.根据第九方面的第二实施例，在第九方面的第四实施例中，所述处理器，还用于确定第一共享密钥对应的有效期；
151.所述收发器，还用于向第一网络设备发送第一共享密钥对应的有效期。
152.根据第九方面的第二实施例或者第九方面的第四实施例，在第九方面的第五实施例中，所述处理器，具体用于确定终端设备与锚点网元之间共享的密钥在对应的有效期内时，根据第一信息确定第二共享密钥。
153.需要说明的是，在一些实施例中，锚点网元还包括：存储器，存储器用于存储程序代码。当所述程序代码执行时，所述锚点网元用于实现第三方面任一实施例的方法。
154.本申请实施例中，若终端设备与第一网络设备之间共享的密钥不在对应的有效期内或者终端设备与第一网络设备之间共享的密钥不存在时，锚点网元根据第二共享密钥、终端设备的标识以及第一网络设备的标识，生成第一共享密钥，之后，锚点网元将第一共享密钥发送至第一网络设备，第一网络设备可以根据第一共享密钥对第二消息进行加密处理，并将加密后的第二消息发送至终端设备，从而提高注册证书的安全性。
155.第十方面，本申请实施例提供一种证书发放装置，包括：接口和处理器，接口和处理器耦合。
156.处理器用于执行如第一方面本申请任一实施例或者第二方面本申请任一实施例或者第三方面本申请任一实施例的证书发放方法。
157.第十一方面，本申请实施例提供一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序包含至少一段代码，至少一段代码可由计算机执行，以控制计算机执行如第一方面本申请任一实施例或者第二方面本申请任一实施例或者第三方面本申请任一实施例的证书发放方法。
158.其中，程序可以全部或者部分存储在与处理器封装在一起的存储介质上，也可以部分或者全部存储在不与处理器封装在一起的存储器上。
159.第十二方面，本申请实施例提供一种处理器，处理器包括：
160.至少一个电路，用于向第一网络设备发送第一消息，所述第一消息用于请求所述第一网络设备发放注册证书，所述第一消息包括公钥以及第一信息，其中，所述第一信息用于确定所述终端设备的设备信息；
161.至少一个电路，用于接收所述第一网络设备发送的第二消息，其中，所述第二消息包括所述注册证书，所述注册证书根据所述终端设备的设备信息以及所述公钥生成。
162.其中，上述处理器可以为芯片。
163.第十三方面，本申请实施例提供一种处理器，处理器包括：
164.至少一个电路，用于接收终端设备发送的第一消息，所述第一消息用于请求所述第一网络设备发放注册证书，所述第一消息包括公钥以及第一信息，其中，所述第一信息用于确定所述终端设备的设备信息；
165.至少一个电路，用于根据第一信息获得所述终端设备的设备信息，并根据所述终端设备的设备信息以及所述公钥生成所述注册证书；
166.至少一个电路，用于向终端设备发送第二消息，所述第二消息包括所述注册证书。
167.其中，上述处理器可以为芯片。
168.第十四方面，本申请实施例提供一种处理器，处理器包括：
169.至少一个电路，用于接收第一网络设备发送的第一信息，所述第一信息用于确定所述终端设备的设备信息；
170.至少一个电路，用于根据所述第一信息，确定所述终端设备的设备信息；
171.至少一个电路，用于向第一网络设备发送所述终端设备的设备信息，所述终端设备的设备信息以及公钥用于生成所述终端设备的注册证书；
172.至少一个电路，用于根据所述第一信息，确定所述终端设备的永久性标识；
173.至少一个电路，用于向第一网路设备发送终端设备的永久性标识，所述终端设备的永久性标识用于确定所述终端设备的设备信息。
174.其中，上述处理器可以为芯片。
175.第十五方面，本申请实施例还提供一种通信系统，包括：如上所述的终端设备、如上所述的第一网络设备和如上所述的锚点网元。
附图说明
176.图1为现有的gba架构的示意图；
177.图2为本申请一实施例提供的无线接入网设备的协议栈示意图；
178.图3为本申请一实施例提供的证书发放方法流程图；
179.图4为本申请另一实施例提供的证书发放方法流程图；
180.图5为本申请另一实施例提供的证书发放方法流程图；
181.图6为本申请另一实施例提供的证书发放方法流程图；
182.图7为本申请另一实施例提供的证书发放方法流程图；
183.图8为本申请一实施例提供的证书发放装置的结构示意图；
184.图9为本申请另一实施例提供的证书发放装置的结构示意图；
185.图10为本申请另一实施例提供的证书发放装置的结构示意图；
186.图11为本申请另一实施例提供的证书发放装置的结构示意图；
187.图12为本申请一实施例提供的终端设备的结构示意图；
188.图13为本申请一实施例提供的通信系统的结构图。
具体实施方式
189.图1为现有gba架构示意图。如图1所示，该通用引导架构(gba架构)包括：引导服务功能(bootstrapping server function，bsf)、用户设备(user equipment，ue)、网络应用功能(network application function，naf)和签约位置功能(subscriber locator function，slf)。其中，bsf作为中间枢纽，通过ub接口与ue交互，执行ue与bsf之间的认证；通过zh 接口可以从归属用户服务器(home subscriber server，hss)获得ue认证相关的参数，hss 存储有ue与认证相关的参数；通过zn接口与naf交互；通过dz接口与slf交互，在多个hss场景下，bsf可从slf处得到ue对应的hss名称。另外，ue通过ua接口与naf 交互。由于每个应用都对应有一个naf，因此，bsf和ue可能与多个naf进行交互。
190.如上所述，已定义的gba aka认证标准中，参与方包括ue、bsf和hss，基于ue与 hss之间共享的根密钥，实现ue与bsf之间ks的密钥协商；通过执行引导(bootstrapping) 过程，在bsf与ue之间建立一个共享的密钥。具体地，ue与bsf是基于超文本传输协议 http完成gba aka认证的，其具体步骤如下：ue发送ue id至bsf；bsf发送ue id至归属用户服务器(home subscriber server，hss)；hss根据ue id，确定ue id对应的根密钥，并且计算得到认证向量(authentication vector，av)，av＝(rand，autn，ck，ik，xres)，并发送av至bsf，其中，rand表示随机数，autn表示认证令牌(authentication token)， ck表示加密密钥(cipher key)，ik表示完整性保护密钥(integrity key)，xres表示期望的用户响应(expected user response)；bsf发送av中rand和autn至ue；ue验证autn，并计算得到ck、ik和res，res表示用户响应(user response)；ue发送res至bsf；bsf对比 xres和res，验证res是否正确；若验证成功，bsf计算ks＝ck||ik；bsf发送引导标识符(bootstrapping transaction identifier，b-tid)和key lifetime至ue，其中，bsf基于rand 和bsf server name生成b-tid，即base64encode(rand)@bsf_servers_domain_name， base64encode(rand)代表对rand进行base64编码转换，key lifetime表示ks的有效期； ue计算得到ks＝ck||ik。另外，图2示出ue与bsf之间一种可能的协议栈格式，从该协议栈也可看出现有的gba aka认证是基于http的。
191.图3为本申请一实施例提供的证书发放方法流程图。如图3所示，该方法包括如下步骤：
192.s301、终端设备向第一网络设备发送第一消息，其中，所述第一消息包括公钥以及第一信息。相应地，第一网络设备接收终端设备发送的第一消息。
193.s302、第一网络设备根据第一信息确定终端设备的设备信息。
194.s303、第一网络设备根据终端设备的设备信息以及公钥生成注册证书。
195.本申请实施例中，根据终端设备的设备信息以及终端设备发送的公钥生成的注册证书保存于终端设备中，该注册证书为终端设备用于申请其他证书的基础证书，示例性地，其他证书可以包括通信证书。
196.s304、第一网络设备向终端设备发送第二消息。相应地，终端设备接收第一网络设备发送的第二消息。
197.示例性地，本申请实施例中的终端设备可以为v2x设备，例如为车辆、路侧单元rsu 等，可以理解的是终端设备也可以称为用户设备，第一网络设备可以为gba架构中的naf， naf又可以称为应用服务器、外部应用服务器等其他命名，本申请实施例对此不作限制。
198.可选地，第一信息可以为b-tid，b-tid能够用于确定终端设备的设备信息。可选地， b-tid又可以称为交易id、识别id、第一id、gba会话id等其他命名，本申请实施例对此不作限制。例如，若终端设备为车辆时，第一网络设备根据b-tid能够确定车辆的车牌、型号、车辆识别码等车辆的设备信息。
199.终端设备的设备信息包括终端设备的永久标识信息，例如，终端设备的设备信息可以包括以下一项或多项：车牌、电子车牌、车辆识别号码vin、设备号等。若终端设备为车辆，设备号可以为不停车电子收费系统(electronic toll collection，etc)设备号、则终端设备的设备信息可以包括：车辆识别码、车牌、电子车牌、etc设备号等。若终端设备为路侧单元，设备号可以为rsu设备号，则终端设备的设备信息可以包括rsu设备号。
200.本申请实施例中，若终端设备需要获取注册证书，终端设备先向第一网络设备发送用于请求第一网络设备发放注册证书的第一消息，其中，第一消息包括公钥以及第一信息，第一信息可以为终端设备的临时标识信息，第一信息能够用于确定终端设备的设备信息。然后，第一网络设备根据第一信息确定终端设备的设备信息。接着，第一网络设备根据终端设备的设备信息以及终端设备发送的公钥生成该终端设备的注册证书，并向终端设备发送第二消息，其中，第二消息包括注册证书。
201.本申请实施例中，终端设备通过向第一网络设备发送用于请求第一网络设备发放注册证书的第一消息，第一网络设备根据接收到的第一消息获得注册证书，并将注册证书通过在线的方式发放给终端设备。本申请实施例中的方法能够实现在线发放注册证书，无需在终端设备生产过程中预先配置注册证书，通过本申请实施例中的方法不仅能够减少生产设备的步骤，也能够提高证书发放方式的灵活性。
202.可选地，在一些实施例中，第一网络设备在执行s304之后，还可以执行步骤s3041-s3043：
203.s3041、第一网络设备根据第一共享密钥对第二消息进行加密，得到加密后的第二消息。
204.其中，根据第一共享密钥对第二消息进行加密的具体实现方式，本申请实施例不作限制。
205.s3042、第一网络设备将加密后的第二消息发送至终端设备。相应地，终端设备接收第一网络设备发送的加密后的第二消息。
206.s3043、终端设备根据第一共享密钥对第二消息进行解密，获得注册证书。
207.本申请实施例中，第一网络设备在获得注册证书后，先根据注册证书生成第二消息，之后，第一网络设备可以采用s304中的方式，直接将第二消息发送至终端设备，或者，第一网络设备也可采用s3041-s3043中的方式，通过第一共享密钥对第二消息进行加密，获得加密后的第二消息，并将加密后的第二消息发送至终端设备，终端设备根据第一共享密钥对加密后的第二消息进行解密，获得其中的注册证书。其中，第一共享密钥为终端设备与第一网络设备之间共享的密钥。
208.具体地，若终端设备与第一网络设备之间共享的密钥在对应的有效期内，则第一网络设备根据第一共享密钥对第二消息进行加密，得到加密后的第二消息，若终端设备与第一网络设备之间共享的密钥不在对应的有效期内，或者终端设备与第一网络设备之间不存在第一共享密钥，则第一网络设备与终端设备协商获得第一网络设备与终端设备之间共享的密钥，即协商获得第一共享密钥，之后，第一网络设备根据协商获得的第一共享密钥对第二消息进行加密，得到加密后的第二消息，再将加密后的第二消息发送至终端设备。
209.例如，第一网络设备为gba架构中的naf，第一共享密钥k
af
为终端设备与naf之间共享的密钥，且k
af
在对应的有效期内，那么，naf根据终端设备的设备信息以及终端设备发送的公钥生成注册证书，并根据注册证书生成第二消息，然后，naf根据k
af
对第二消息进行加密，得到加密后的第二消息，并将加密后的第二消息发送至终端设备，终端设备根据 k
af
对接收到的加密后的第二消息进行解密，获得注册证书。
210.本申请实施例中，第一网络设备向终端设备发放注册证书时，通过第一共享密钥对第二消息进行加密，并将加密后的第二消息发送至终端设备，能够保证第二消息中注册证书的安全性。
211.图4为本申请另一实施例提供的证书发放方法流程图。如图4所示，该方法包括如下步骤：
212.s401、终端设备向第一网络设备发送第一消息，其中，所述第一消息包括公钥以及第一信息。相应地，第一网络设备接收终端设备发送的第一消息。
213.本申请实施例中，s401与图3所示实施例中s301类似，可参照图3所示实施例中关于 s301的描述内容，此处不展开赘述。
214.在图3所示实施例的基础上，s302可通过s402-s405中的方式实现：
215.s402、第一网络设备将第一信息发送至锚点网元。相应地，锚点网元接收第一网络设备发送的第一信息。
216.s403、锚点网元根据第一信息确定终端设备的永久性标识。
217.s404、锚点网元向第一网络设备发送终端设备的永久性标识。相应地，第一网络设备接收锚点网元发送的终端设备的永久性标识。
218.s405、第一网络设备根据终端设备的永久性标识确定终端设备的设备信息。
219.本申请实施例中，第一信息具体用于确定终端设备的永久性标识(subscription permanent identifier，supi)，终端设备的supi与终端设备的设备信息之间具有对应关系，因此，可根据终端设备的supi以及终端设备的supi与终端设备的设备信息之间的对应关系确定终端设备的设备信息。
220.示例性地，第一网络设备可以为gba架构中的naf，锚点网元可以为gba架构中的 bsf，第一信息为b-tid，bsf可以根据b-tid确定终端设备的永久性标识，接着，bsf将终端设
备的supi发送至naf，之后naf备根据终端设备的supi以及终端设备的supi与终端设备的设备信息之间的对应关系确定终端设备的设备信息。
221.s406、第一网络设备根据终端设备的设备信息以及公钥生成注册证书。
222.s407、第一网络设备向终端设备发送第二消息。相应地，终端设备接收第一网络设备发送的第二消息。
223.本申请实施例中，s406-s407与图3所示实施例中s303-s304类似，可参照图3所示实施例中关于s303-s304的描述内容，此处不展开赘述。
224.s4061、第一网络设备根据第一共享密钥对第二消息进行加密，得到加密后的第二消息。
225.s4062、第一网络设备将加密后的第二消息发送至终端设备。相应地，终端设备接收第一网络设备发送的加密后的第二消息。
226.s4063、终端设备根据第一共享密钥对第二消息进行解密，获得注册证书。
227.在一些实施例中，s406之后也可执行s4071-s4073，其中，本申请实施例中s4071-s4073 与图3所示实施例中s3041-s3043类似，可参照图3所示实施例中关于s3041-s3043的描述内容，此处不展开赘述。
228.本申请实施例中，若终端设备需要获取注册证书，终端设备通过向第一网络设备发送用于请求第一网络设备发放注册证书的第一消息，第一网络设备将第一消息中的第一信息转发至锚点网元，锚点网元根据第一信息确定终端设备的supi，锚点网元将终端设备的supi发送至第一网络设备，第一网络设备根据终端设备的supi以及终端设备的supi与终端设备的设备信息之间的对应关系确定终端设备的设备信息，接着第一网络设备根据终端设备的设备信息以及终端设备发送的公钥生成注册证书，并将注册证书通过在线的方式发放给终端设备。本申请实施例中的方法能够实现在线发放注册证书，无需在终端设备生产过程中预先配置注册证书，通过本申请实施例中的方法不仅能够减少生产设备的步骤，也能够提高证书发放方式的灵活性。
229.另外，若终端设备与第一网络设备之间共享的密钥在对应的有效期内，则第一网络设备根据第一共享密钥对第二消息进行加密，得到加密后的第二消息，若终端设备与第一网络设备之间共享的密钥不在对应的有效期内，或者终端设备与第一网络设备之间不存在第一共享密钥，则第一网络设备与终端设备协商获得第一共享密钥，之后，第一网络设备根据协商获得的第一共享密钥对第二消息进行加密，得到加密后的第二消息，再将加密后的第二消息发送至终端设备。
230.本申请实施例中，通过第一共享密钥对第二消息进行加密，并将加密后的第二消息发送至终端设备，能够保证第二消息中注册证书的安全性。
231.图5为本申请另一实施例提供的证书发放方法流程图。如图5所示，该方法包括以下步骤：
232.s501、终端设备向第一网络设备发送第一消息，其中，所述第一消息包括公钥以及第一信息。相应地，第一网络设备接收终端设备发送的第一消息。
233.本申请实施例中，s501与图3所示实施例中s301类似，可参照图3所示实施例中关于 s301的描述内容，此处不展开赘述。
234.在图3所示实施例的基础上，s302可通过s502-s505中的方式实现：
235.s502、第一网络设备将第一信息发送至锚点网元。相应地，锚点网元接收第一网络设备发送的第一信息。
236.s503、锚点网元根据第一信息确定终端设备的永久性标识。
237.s504、锚点网元根据终端设备的永久性标识确定终端设备的设备信息。
238.s505、锚点网元向第一网络设备发送终端设备的设备信息。相应地，第一网络设备接收锚点网元发送的终端设备的设备信息。
239.本申请实施例中，第一信息可以用于确定终端设备的supi，终端设备的supi与终端设备的设备信息之间具有对应关系，因此，锚点网元先根据第一信息确定终端设备的supi，接着锚点网元根据终端设备的supi，以及终端设备的supi与终端设备的设备信息之间的对应关系确定终端设备的设备信息，并将确定的终端设备的设备信息发送至第一网络设备。
240.示例性地，第一网络设备可以为gba架构中的naf，锚点网元可以为gba架构中的 bsf，第一信息为b-tid，bsf先根据b-tid确定终端设备的supi，接着bsf根据终端设备的supi以及终端设备的supi与终端设备的设备信息之间的对应关系确定终端设备的设备信息，之后，bsf将终端设备的设备信息发送至naf。
241.s506、第一网络设备根据终端设备的设备信息以及公钥生成注册证书。
242.s507、第一网络设备向终端设备发送第二消息。相应地，终端设备接收第一网络设备发送的第二消息。
243.s5071、第一网络设备根据第一共享密钥对第二消息进行加密，得到加密后的第二消息。
244.s5072、第一网络设备将加密后的第二消息发送至终端设备。相应地，终端设备接收第一网络设备发送的加密后的第二消息。
245.s5073、终端设备根据第一共享密钥对第二消息进行解密，获得注册证书。
246.在一些实施例中，s506之后也可执行s5071-s5073，其中，本申请实施例中s5071-s5073 与图3所示实施例中s3041-s3043类似，可参照图3所示实施例中关于s3041-s3043的描述内容，此处不展开赘述。
247.本申请实施例中，若终端设备需要获取注册证书，终端设备通过向第一网络设备发送用于请求第一网络设备发放注册证书的第一消息，第一网络设备将第一消息中的第一信息转发至锚点网元，锚点网元根据第一信息确定终端设备的supi，接着根据终端设备的永久性标识确定终端设备的设备信息，之后锚点网元将终端设备的设备信息发送至第一网络设备，第一网络设备根据终端设备的设备信息以及终端设备发送的公钥生成注册证书，并将注册证书通过在线的方式发放给终端设备。本申请实施例中的方法能够实现在线发放注册证书，无需在终端设备生产过程中预先配置注册证书，通过本申请实施例中的方法不仅能够减少生产设备的步骤，也能够提高证书发放方式的灵活性。
248.另外，若终端设备与第一网络设备之间共享的密钥在对应的有效期内，则第一网络设备根据第一共享密钥对第二消息进行加密，得到加密后的第二消息，若终端设备与第一网络设备之间共享的密钥不在对应的有效期内，或者终端设备与第一网络设备之间不存在第一共享密钥，则第一网络设备与终端设备协商获得第一共享密钥，之后，第一网络设备根据协商获得的第一共享密钥对第二消息进行加密，得到加密后的第二消息，再将加密后
的第二消息发送至终端设备。
249.本申请实施例中，通过第一共享密钥对第二消息进行加密，并将加密后的第二消息发送至终端设备，能够保证第二消息中注册证书的安全性。
250.图6为本申请另一实施例提供的证书发放方法流程图。如图6所示，该方法包括以下步骤：
251.若终端设备与第一网络设备确定使用第一共享密钥对注册证书进行加密传输时，可由终端设备或第一网络设备判断第一共享密钥是否在对应的有效期内，或者终端设备与第一网络设备之间是否存在第一共享密钥。本申请实施例中，以终端设备判断第一共享密钥是否在对应的有效期内，或者终端设备与第一网络设备之间是否存在第一共享密钥为例进行详细说明。
252.s601、终端设备确定第一共享密钥是否在对应的有效期内，或者确定终端设备与第一网络设备之间是否存在第一共享密钥。
253.s602、终端设备向第一网络设备发送第四消息。相应地，第一网络设备接收终端设备发送的第四消息。第一网络设备接收到第四消息后执行s604。
254.若终端设备确定第一共享密钥不在对应的有效期内，或者终端设备确定终端设备与第一网络设备之间不存在第一共享密钥，则终端设备向第一网络设备发送第四信息，其中，第四消息用于请求第一网络设备认证该终端设备，第四消息包括第一信息，第一网络设备根据第一信息可以确定第二共享密钥。本申请实施例中，第一网络设备认证该终端设备的目的在于协商获得第一共享密钥。
255.例如，第一网络设备为gba架构中的naf，锚点网元为gba架构中的bsf，第一信息为b-tid，那么，若终端设备确定k
af
不在对应的有效期内，或者终端设备确定终端设备与 naf之间不存在k
af
，则终端设备向naf发送第四信息，第四信息包括b-tid，naf接收 b-tid，并根据b-tid确定ks。
256.s603、终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数生成第一共享密钥。
257.其中，第二共享密钥为终端设备与锚点网元之间共享的密钥。例如，锚点网元为bsf，则第二共享密钥为终端设备与bsf之间共享的密钥，即ks。
258.终端设备的标识可以为永久性标识或临时标识，包括但不限于以下任意一项：用户密封标识(subscription concealed identifier,suci)，国际移动用户识别码(international mobile subscriber identity,imsi)，ip多媒体私有标识(ip multimedia private identity,impi)，临时ip多媒体私有id(temporary ip multimedia private identity,tmpi)，全球唯一临时标识(globally unique temporary identifier,guti)，临时移动台标识符(temporary mobile station identity,tmsi)， ip多媒体公共标识(ip multimedia public identity,impu)，应用标识(app id)，网络标识(网络 id)，服务标识(service id)，nai等可以唯一标识终端设备的身份标识。
259.第一网络设备的标识可以为永久性标识或临时标识，包括但不限于以下任意一项： suci，imsi，impi，tmpi，guti，tmsi，impu，app id，网络id，service id，nai 等可以唯一标识第一网络设备的身份标识。
260.随机数是终端设备与锚点网元协商获得第二共享密钥过程中，锚点网元发送给终
端设备的参数。
261.具体地，若第二共享密钥在对应的有效期内，则终端设备可以根据第二共享密钥、终端设备的标识，第一网络设备的标识以及随机数生成第一共享密钥。可选地，本申请实施例中对于终端设备根据第二共享密钥、终端设备的标识，第一网络设备的标识以及随机数生成第一共享密钥的方式不作限制。
262.例如，若第二共享密钥为终端设备与bsf之间共享的密钥ks，随机数rand为终端设备与bsf协商获得ks过程中bsf发送给终端设备的参数，则终端设备可以通过下述方式生成k
af
：k
af
＝kdf(ks，“gba-me”，rand，impi，naf_id)，其中，kdf为密钥推导函数 (key derivation function)，impi为终端设备的标识，第一网络设备为naf，naf_id为naf 的标识，naf_id＝fqdn of the naf||ua security protocol identifier。
263.需要说明的是，若终端设备判断第一共享密钥不在对应的有效期内或者终端设备与第一网络设备之间不存在第一共享密钥，则s602与s603的执行顺序不分先后。
264.s604、第一网络设备向锚点网元发送第六消息。相应地，锚点网元接收第一网络设备发送的第六消息。其中，第六消息包括第一信息以及第一网络设备的标识。
265.s605、锚点网元根据第一信息以及第一网络设备的标识，生成第一共享密钥。
266.具体地，锚点网元根据第一信息确定第二共享密钥、终端设备的标识以及随机数，并根据第二共享密钥、终端设备的标识、随机数以及第一网络设备的标识生成第一共享密钥。其中，锚点网元生成第一共享密钥的方式与终端设备生成第一共享密钥的方式相同。
267.例如，锚点网元为bsf，第一网络设备为naf，第一信息为b-tid，第一网络设备的标识为naf_id，bsf接收到naf发送的b-tid以及naf_id，bsf根据b-tid确定ks、impi 以及rand，之后bsf根据k
af
＝kdf(ks，“gba-me”，rand，impi，naf_id)生成k
af
。
268.需要说明的是，若锚点网元根据第一信息确定第二共享密钥不在对应的有效期内，则锚点网元与终端设备可根据现有的gba aka认证流程协商获得第二共享密钥，详细可参照图 1所示实施例中的详细描述。
269.s606、锚点网元向第一网络设备发送第七消息。相应地，第一网络设备接收锚点网元发送的第七消息。其中，第七消息包括第一共享密钥。
270.s607、第一网络设备向终端设备发送的第五消息。相应地，终端设备接收第一网络设备发送的第五消息。其中，第五消息用于指示终端设备第一共享密钥协商成功。
271.可选地，在一些实施例中，s604之后还包括：
272.s605
′
、锚点网元确定第一共享密钥对应的有效期。
273.s606
′
、锚点网元向第一网络设备发送第一共享密钥对应的有效期。相应地，第一网络设备接收锚点网元发送的第一共享密钥对应的有效期。
274.可选地，本申请实施例中可以通过同一条信令来执行s606以及s606
′
，也可以通过不同的信令来执行s606以及s606
′
。
275.s607
′
、第一网络设备向终端设备发送第三消息。相应地，终端设备接收第一网络设备发送的第三消息。
276.其中，第三消息包括第一共享密钥对应的有效期(key lifetime)。终端设备接收到第一网络设备发送的第三消息，根据第三消息确定第一共享密钥对应的有效期。终端设备可在下一次执行本申请实施例的方法时，根据第一共享密钥对应的有效期判断第一共享
密钥是否失效。
277.可选地，本申请实施例中可以通过同一条信令来执行s607以及s607
′
，也可以通过不同的信令来执行s607以及s607
′
。
278.s608、终端设备向第一网络设备发送第一消息，其中，所述第一消息包括公钥以及第一信息。相应地，第一网络设备接收终端设备发送的第一消息。
279.可选地，在一些实施例中，s601-s607也可以在s608之后，s611之前执行。
280.s609、第一网络设备根据第一信息确定终端设备的设备信息。
281.s610、第一网络设备根据终端设备的设备信息以及公钥获得注册证书。
282.s611、第一网络设备根据第一共享密钥对第二消息进行加密，得到加密后的第二消息。
283.s612、第一网络设备将加密后的第二消息发送至终端设备。相应地，终端设备接收第一网络设备发送的加密后的第二消息。
284.s613、终端设备根据第一共享密钥对第二消息进行解密，获得注册证书。
285.本申请实施例中，若终端设备与第一网络设备确定要使用基于gba来获取注册证书时，且终端设备与第一网络设备之间共享的密钥不在对应的有效期或者终端设备与第一网络设备之间不存在第一共享密钥时，终端设备与第一网络设备执行gba aka流程，获得第一共享密钥，通过该第一共享密钥对第一网络设备生成的注册证书进行加密，得到加密后的第二消息，并将加密后的第二消息发送至终端设备，终端设备根据第一共享密钥对加密后的第二消息进行解密，获得注册证书。本申请实施例的方法能够实现在线发放注册证书，无需在终端设备生产过程中预先配置注册证书，通过本申请实施例中的方法不仅能够减少生产设备的步骤，也能够提高证书发放方式的灵活性。
286.另外，本申请实施例中，通过第一共享密钥对第二消息进行加密，并将加密后的第二消息发送至终端设备，能够保证第二消息中注册证书的安全性。
287.图7为本申请另一实施例提供的证书发放方法流程图。如图7所示，该方法包括以下步骤：
288.若终端设备与第一网络设备确定使用第一共享密钥对注册证书进行加密传输时，可由终端设备或第一网络设备判断第一共享密钥是否在对应的有效期内，或者终端设备与第一网络设备之间是否存在第一共享密钥。本申请实施例中，以第一网络设备判断第一共享密钥是否在对应的有效期内，或者终端设备与第一网络设备之间是否存在第一共享密钥为例进行详细说明。
289.s701、终端设备向第一网络设备发送第一消息，其中，所述第一消息包括公钥以及第一信息。相应地，第一网络设备接收终端设备发送的第一消息。
290.s702、第一网络设备根据第一信息确定终端设备的设备信息。
291.s703、第一网络设备根据终端设备的设备信息以及公钥获得注册证书。
292.s704、第一网络设备根据第一信息确定第一共享密钥是否在对应的有效期内，或者终端设备与第一网络设备之间是否存在第一共享密钥。
293.若第一网络设备根据第一信息确定第一共享密钥不在对应的有效期内，或者终端设备与第一网络设备之间不存在第一共享密钥，则第一网络设备与终端设备可以通过s705-s710中的方式协商获得第一共享密钥。若第一网络设备根据第一信息确定第一共享
密钥在对应的有效期内，则执行s711。
294.需要说明的是，s704与s702的执行顺序不分先后。
295.s705、第一网络设备向终端设备发送通知消息。相应地，终端设备接收第一网络设备发送的通知消息。该通知消息用于通知终端设备协商获得第一共享密钥。
296.s706、终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数生成第一共享密钥。
297.具体地，终端接收第一网络设备发送的通知消息，确定终端设备与第一网络设备需要协商获得第一共享密钥，则终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数生成第一共享密钥。其中，终端设备的标识、第一网络设备的标识以及随机数可参照上述实施例中的描述内容，此处不再赘述。
298.示例性地，第一网络设备为naf，第一信息为b-tid，第一网络设备的标识为naf_id，终端设备的标识为impi，终端设备可以根据k
af
＝kdf(ks，“gba-me”，rand，impi，naf_id) 生成k
af
。
299.s707、第一网络设备向锚点网元发送第六消息。相应地，锚点网元接收第一网络设备发送的第六消息。
300.其中，第六消息用于请求锚点网元生成第一共享密钥，第六消息包括第一信息以及第一网络设备的标识。
301.其中，s705与s707的执行顺序不分先后。
302.s708、锚点网元根据第一信息以及第一网络设备的标识，生成第一共享密钥。
303.其中，锚点网元根据第二共享密钥生成第一共享密钥的方式与终端设备根据第二共享密钥生成第一共享密钥的方式相同。
304.具体地，锚点网元根据第一信息确定第二共享密钥、终端设备的标识以及随机数，并根据第二共享密钥、终端设备的标识、随机数以及第一网络设备的标识生成第一共享密钥。其中，锚点网元生成第一共享密钥的方式与终端设备生成第一共享密钥的方式相同。
305.例如，锚点网元为bsf，第一网络设备为naf，第一信息为b-tid，第一网络设备的标识为naf_id，bsf接收到naf发送的b-tid以及naf_id，bsf根据b-tid确定ks、impi 以及rand，之后bsf根据k
af
＝kdf(ks，“gba-me”，rand，impi，naf_id)生成k
af
。
306.需要说明的是，若锚点网元根据第一信息确定第二共享密钥不在对应的有效期内，则锚点网元与终端设备可根据现有的gba aka认证流程协商获得第二共享密钥，详细可参照图 1所示实施例中的详细描述。
307.s709、锚点网元向第一网络设备发送第七消息。相应地，第一网络设备接收锚点网元发送的第七消息。其中，第七消息包括第一共享密钥。
308.s710、第一网络设备向终端设备发送第五消息。相应地，终端设备接收第一网络设备发送的第五消息。
309.其中，第五消息用于指示终端设备第一共享密钥协商成功。终端设备接收第一网络设备发送的第五信息，根据第五消息确定第一共享密钥协商成功。
310.可选地，在一些实施例中，s707之后还包括：
311.s708
′
、锚点网元确定第一共享密钥对应的有效期。
312.s709
′
、锚点网元向第一网络设备发送第一共享密钥对应的有效期。相应地，第一
网络设备接收锚点网元发送的第一共享密钥对应的有效期。
313.可选地，本申请实施例中可以通过同一条信令来执行s708以及s708
′
，也可以通过不同的信令来执行s708以及s708
′
。
314.s710
′
、第一网络设备向终端设备发送第三消息。相应地，终端设备接收第一网络设备发送的第三消息。
315.其中，第三消息包括第一共享密钥对应的有效期(key lifetime)。终端设备接收到第一网络设备发送的第三消息，根据第三消息确定第一共享密钥对应的有效期。终端设备可在下一次执行本申请实施例的方法时，根据第一共享密钥对应的有效期判断第一共享密钥是否失效。
316.可选地，本申请实施例中可以通过同一条信令来执行s710以及s710
′
，也可以通过不同的信令来执行s710以及s710
′
。
317.s711、第一网络设备根据第一共享密钥对第二消息进行加密，获得加密后的第二消息。
318.本申请实施例中，第一网络设备根据第一共享密钥对第二消息进行加密的具体实现方式不作限制。
319.s712、第一网络设备向终端设备发送加密后的第二消息。
320.s713、终端设备根据第一共享密钥对第二消息进行解密，获得注册证书。
321.本申请实施例中，若终端设备与第一网络设备确定要使用基于gba来获取注册证书时，且终端设备与第一网络设备之间共享的密钥不在对应的有效期或者终端设备与第一网络设备之间不存在第一共享密钥时，终端设备与第一网络设备执行gba aka流程，获得第一共享密钥，通过该第一共享密钥对第一网络设备生成的注册证书进行加密，得到加密后的第二消息，并将加密后的第二消息发送至终端设备，终端设备根据第一共享密钥对加密后的第二消息进行解密，获得注册证书。本申请实施例的方法能够实现在线发放注册证书，无需在终端设备生产过程中预先配置注册证书，通过本申请实施例中的方法不仅能够减少生产设备的步骤，也能够提高证书发放方式的灵活性。
322.另外，本申请实施例中，通过第一共享密钥对第二消息进行加密，并将加密后的第二消息发送至终端设备，能够保证第二消息中注册证书的安全性。
323.图8为本申请一实施例提供的证书发放装置的结构示意图。该证书发放装置可以是终端设备，也可以是终端设备的部件(例如，集成电路，芯片等等)，或者可以是其他通信模块，用于实现对应方法实施例中对应于终端设备的操作，如图8所示，本实施例的证书发放装置，可以包括：收发模块801。
324.收发模块801，用于向第一网络设备发送第一消息，第一消息用于请求第一网络设备发放注册证书，其中，第一消息包括公钥以及第一信息，第一信息用于确定终端设备的设备信息；
325.所述收发模块801，还用于接收第一网络设备发送的第二消息，其中，所述第二消息包括所述注册证书，所述注册证书根据所述终端设备的设备信息以及所述公钥生成。
326.在一些实施例中，证书发放装置还包括：处理模块802。
327.处理模块802，用于根据第一共享密钥对第二消息进行解密，获得注册证书；其中，所述第二消息是根据第一共享密钥加密后得到的消息，所述第一共享密钥为所述终端设备
与所述第一网络设备之间共享的密钥。
328.在一些实施例中，处理模块802，还用于生成公私钥对。
329.在一些实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、不停车电子收费系统etc设备号、车辆识别号码vin、设备号。
330.在一些实施例中，处理模块802，还用于确定终端设备与第一网络设备之间共享的密钥是否在对应的有效期内，若终端设备与第一网络设备之间共享的密钥在对应的有效期内，所述收发模块801向所述第一网络设备发送所述第一消息。
331.在一些实施例中，若处理模块802确定终端设备与第一网络设备之间共享的密钥不在对应的有效期内，或者，终端设备与第一网络设备之间不存在共享的密钥，则所述处理模块802 还用于与第一网络设备协商获得所述第一共享密钥。
332.在一些实施例中，处理模块802，具体用于根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥，其中，所述第二共享密钥为所述终端设备与锚点网元之间共享的密钥。
333.在一些实施例中，处理模块802根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥之前，收发模块801，还用于接收第一网络设备发送的第三消息，所述第三消息包括所述第一共享密钥对应的有效期。
334.在一些实施例中，收发模块801，还用于向第一网络设备发送第四消息，所述第四消息用于请求所述第一网络设备认证所述终端设备，所述第四消息包括所述第一信息，所述第一信息用于确定第二共享密钥。
335.在一些实施例中，处理模块802根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数，生成所述第一共享密钥之后，收发模块801还用于接收第一网络设备发送的第五消息，所述第五消息用于指示所述终端设备所述第一共享密钥协商成功。
336.在一些实施例中，处理模块802具体用于确定终端设备与锚点网元之间共享的密钥是否在对应的有效期内，若确定终端设备与锚点网元之间共享的密钥在对应的有效期内，则所述处理模块802根据第二共享密钥、终端设备的标识、第一网络设备的标识以及所述随机数，生成所述第一共享密钥。
337.本实施例以上所述的证书发放装置，可以用于执行上述各对应方法实施例中终端设备执行的技术方案，其实现原理和技术效果类似，其中各个模块的功能可以参考方法实施例中相应的描述，此处不再赘述。图9为本申请另一实施例提供的证书发放装置的结构示意图。该证书发放装置可以是第一网络设备，也可以是第一网络设备的部件(例如，集成电路，芯片等等)，或者可以是其他通信模块，用于实现对应方法实施例中对应于第一网络设备的操作，如图9所示，本实施例的证书发放装置，可以包括：收发模块901和处理模块902。
338.收发模块901，用于接收终端设备发送的第一消息，其中，第一消息包括公钥以及第一信息，第一信息用于确定终端设备的设备信息；
339.收发模块901，还用于根据第一信息获得终端设备的设备信息；
340.处理模块902，用于根据所述终端设备的设备信息以及所述公钥生成所述注册证书；
341.收发模块901，还用于向终端设备发送第二消息，所述第二消息包括所述注册证书。
342.在一些实施例中，处理模块902，还用于根据第一共享密钥对所述第二消息进行加密处理，得到加密后的第二消息，所述第一共享密钥为所述终端设备与所述第一网络设备之间共享的密钥；
343.相应地，收发模块901用于向所述终端设备发送加密后的第二消息。
344.在一些实施例中，收发模块901具体用于向锚点网元发送所述第一信息，请求所述锚点网元发送与所述第一信息对应的所述终端设备的设备信息；
345.收发模块901还用于接收所述锚点网元发送的所述终端设备的设备信息处理模块902。
346.在一些实施例中，收发模块901，具体用于向锚点网元发送所述第一信息；
347.收发模块901，还用于接收所述锚点网元发送的所述终端设备的永久性标识；
348.处理模块902，用于根据终端设备的永久性标识确定终端设备的设备信息处理模块902。
349.在一些实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、不停车电子收费系统etc设备号、车辆识别号码vin、设备号。
350.在一些实施例中，处理模块902具体用于若确定所述终端设备与第一网络设备之间共享的密钥在对应的有效期内，则根据所述第一共享密钥对所述注册证书进行加密处理，得到所述加密后的第二消息。
351.在一些实施例中，若处理模块902确定终端设备与第一网络设备之间共享的密钥不在对应的有效期内，或者，终端设备与第一网络设备之间不存在共享的密钥，则收发模块901还用于与第一网络设备协商获得所述第一共享密钥。
352.在一些实施例中，收发模块901，具体用于向锚点网元发送第六消息，第六消息包括第一信息以及第一网络设备的标识；
353.收发模块901，还用于接收锚点网元发送的第七消息，第七消息包括第一共享密钥。
354.在一些实施例中，收发模块901还用于向终端设备发送第五消息，第五消息与用于指示终端设备第一共享密钥协商成功。
355.在一些实施例中，收发模块901还用于向终端设备发送第三消息，所述第三消息包括所述第一共享密钥对应的有效期。
356.本实施例以上所述的证书发放装置，可以用于执行上述各对应方法实施例中第一网络设备执行的技术方案，其实现原理和技术效果类似，其中各个模块的功能可以参考方法实施例中相应的描述，此处不再赘述。
357.图10为本申请另一实施例提供的证书发放装置的结构示意图，该证书发放装置可以是锚点网元，也可以是锚点网元的部件(例如，集成电路，芯片等等)，或者可以是其他证书发放装置，用于实现各对应方法实施例中对应于锚点网元的操作，如图10所示，本实施例的证书发放装置，可以包括：收发模块1001和处理模块1002。
358.收发模块1001，用于接收第一网络设备发送的第一信息，第一信息用于确定终端设备的设备信息；
359.处理模块1002，用于根据第一信息确定终端设备的设备信息；
360.所述收发模块1001，还用于向第一网络设备发送终端设备的设备信息，所述终端
设备的设备信息以及公钥用于生成终端设备的注册证书；
361.所述处理模块1002，还用于根据第一信息确定终端设备的永久性标识；
362.所述收发模块1001，还用于向所述第一网络设备发送所述终端设备的永久性标识，所述终端设备的永久性标识用于确定所述终端设备的设备信息。
363.在一些实施例中，处理模块1002具体用于根据第一信息确定终端设备的永久性标识；
364.所述处理模块1002，还用于根据终端设备的永久性标识确定终端设备的设备信息。
365.在一些实施例中，收发模块1001还用于接收所述第一网络设备发送的第六消息，其中，所述第六消息包括所述第一信息以及所述第一网络设备的标识，所述第一信息用于确定第二共享密钥，其中，所述第二共享密钥为所述终端设备与所述锚点网元之间共享的密钥；
366.处理模块1002，还用于根据第一信息确定第二共享密钥，并根据所述第二共享密钥、所述终端设备的标识以及所述第一网络设备的标识，生成所述第一共享密钥；
367.收发模块1001，还用于向第一网络设备发送第七消息，所述第七消息包括所述第一共享密钥。
368.在一些实施例中，终端设备的设备信息包括以下一项或多项：车牌、电子车牌、不停车电子收费系统etc设备号、车辆识别号码vin、设备号。
369.在一些实施例中，处理模块1002，还用于确定第一共享密钥对应的有效期；
370.所述收发模块1001，还用于向第一网络设备发送第一共享密钥对应的有效期。
371.在一些实施例中，处理模块1002，具体用于确定终端设备与锚点网元之间共享的密钥在对应的有效期内时，根据第一信息确定第二共享密钥。
372.图11为本申请另一实施例提供的证书发放装置的结构示意图。如图11所示，本实施例所示的证书发放装置可以是前述方法实施例提到的终端设备(或者可用于终端设备的部件) 或者第一网络设备(或者可用于第一网络设备的部件)或者锚点网元(或者可用于锚点网元的部件)。证书发放装置可以用于实现上述方法实施例中描述的对应于终端设备或者第一网络设备或者锚点网元的方法，具体参见上述方法实施例中的说明。
373.所述证书发放装置1100可以包括一个或多个处理器1100，所述处理器1100也可以称为处理单元，可以实现一定的控制或者处理功能。所述处理器1100可以是通用处理器或者专用处理器等。例如可以是基带处理器、或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对通信装置进行控制，执行软件程序，处理软件程序的数据。
374.在一种可选的设计中，处理器1101也可以存有指令1103或者数据(例如中间数据)。其中，所述指令1103可以被所述处理器运行，使得所述证书发放装置1100执行上述方法实施例中描述的对应于终端设备或者第一网络设备或者锚点网元的方法。
375.在又一种可能的设计中，证书发放装置1100可以包括电路，所述电路可以实现前述方法实施例中发送或接收或者通信的功能。
376.可选的，所述证书发放装置1100中可以包括一个或多个存储器1102，其上可以存有指令1104，所述指令可在所述处理器上被运行，使得所述证书发放装置1100执行上述方
junction transistor，bjt)、双极 cmos(bicmos)、硅锗(sige)、砷化镓(gaas)等。
389.虽然在以上的实施例描述中，证书发放装置1100以终端设备或者第一网络设备为例来描述，但本申请中描述的通信装置的范围并不限于上述终端设备或第一网络设备，而且通信装置的结构可以不受图11的限制。证书发放装置1100可以是独立的设备或者可以是较大设备的一部分。例如所述设备可以是：
390.(1)独立的集成电路ic，或芯片，或，芯片系统或子系统；
391.(2)具有一个或多个ic的集合，可选的，该ic集合也可以包括用于存储数据和/或指令的存储部件；
392.(3)asic，例如调制解调器(msm)；
393.(4)可嵌入在其他设备内的模块；
394.(5)接收机、无线设备、移动单元，网络设备等等；
395.(6)其他等等。
396.图12为本申请一实施例提供的一种终端设备的结构示意图。该终端设备可适用于本申请上述各实施例中所述的终端设备。为了便于说明，图12仅示出了终端设备的主要部件。如图 12所示，终端设备1200包括处理器、存储器、控制电路、天线以及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对整个终端设备进行控制，执行软件程序，处理软件程序的数据。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。
397.当终端设备开机后，处理器可以读取存储单元中的软件程序，解释并执行软件程序的指令，处理软件程序的数据。当需要通过无线发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。
398.本领域技术人员可以理解，为了便于说明，图12仅示出了一个存储器和处理器。在实际的终端中，可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等，本申请实施例对此不做限制。
399.作为一种可选的实现方式，处理器可以包括基带处理器和中央处理器，基带处理器主要用于对通信协议以及通信数据进行处理，中央处理器主要用于对整个终端进行控制，执行软件程序，处理软件程序的数据。图12中的处理器集成了基带处理器和中央处理器的功能，本领域技术人员可以理解，基带处理器和中央处理器也可以是各自独立的处理器，通过总线等技术互联。本领域技术人员可以理解，终端设备可以包括多个基带处理器以适应不同的网络制式，终端设备可以包括多个中央处理器以增强其处理能力，终端设备的各个部件可以通过各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中，也可以以软件程序的形式存储在存储单元中，由处理器执行软件程序以实现基带处理功能。
400.在一个例子中，可以将具有收发功能的天线和控制电路视为终端设备1200的收发模块 1201，将具有处理功能的处理器视为终端设备1200的处理模块1202。如图12所示，终端设备1200包括收发模块1201和处理模块1202。收发模块也可以称为收发器、收发机、收发装置等。可选的，可以将收发模块1201中用于实现接收功能的器件视为接收模块，将收发模块 1201中用于实现发送功能的器件视为发送模块，即收发模块1201包括接收模块和发送模块示例性的，接收模块也可以称为接收机、接收器、接收电路等，发送模块可以称为发射机、发射器或者发射电路等。
401.图13为本申请一实施例提供的一种通信系统的结构示意图。如图13所示，本实施例所述的通信系统1300可以包括：终端设备1301、第一网络设备1302和锚点网元1303。终端设备1301可以为一个或多个。其中，终端设备1301可以采用图8或图11或图12所示装置实施例的结构，其对应地，可以执行上述任一方法实施例有关终端设备的技术方案，其实现原理和技术效果类似，此处不再赘述。第一网络设备1302可采用图9或图11所示装置实施例的结构，其对应地，可以执行上述任一方法实施例有关第一网络设备的技术方案，其实现原理和技术效果类似，此处不再赘述。锚点网元可采用图10或图11所示装置实施例的结构，其对应地，可以执行上述任一方法实施例有关锚点网元的技术方案。
402.需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。在本申请的实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。
403.所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
404.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl)) 或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘
solid state disk (ssd))等。