一种证书申请方法及装置与流程

1.本发明涉及通信技术领域，尤其涉及一种证书申请方法及装置。


背景技术：

2.在车联网安全通信领域，车辆分属于不同的车联网通信系统。当车辆需要跨国行驶时，车辆需要跨系统进入其他国家的车联网系统。另外，即使在同一个国家内，也可能有属于不同车联网通信系统的车辆因某种原因需要进入其他车联网通信系统的场景存在。此时需要考虑到车辆的跨系统进入，但是现有技术并未涉及到。


技术实现要素：

3.本发明实施例提供一种证书申请方法及装置，以实现车联网设备的跨系统进入过程。
4.本发明实施例提供一种证书申请方法，应用于车联网设备，包括：
5.当车联网设备申请从第一车联网系统进入第二车联网系统时，接收所述第二车联网系统所发送的入域授权令牌；
6.基于所述入域授权令牌，获取所述第二车联网系统的注册证书。
7.本发明实施例提供一种证书申请方法，应用于第一车联网系统，包括：
8.当车联网设备申请从第一车联网系统进入第二车联网系统时，接收车联网设备发送的出域申请消息；
9.基于所述出域申请消息，向所述车联网设备发送出域授权令牌，其中所述出域授权令牌中包含有所述车联网设备的设备签名证书，以使所述车联网设备向所述第二车联网系统发送入域申请消息并获取入域授权令牌，所述入域申请消息中包含有所述出域授权令牌，且所述入域申请消息通过所述设备签名证书所对应的私钥进行数字签名。
10.本发明实施例提供一种证书申请方法，应用于第二车联网系统，包括：
11.当车联网设备申请从第一车联网系统进入第二车联网系统时，向所述车联网设备发送入域授权令牌，以使所述车联网设备基于所述入域授权令牌获取所述第二车联网系统的注册证书。
12.本发明实施例提供一种证书申请装置，应用于车联网设备，包括：
13.接收模块，用于当车联网设备申请从第一车联网系统进入第二车联网系统时，接收所述第二车联网系统所发送的入域授权令牌；
14.获取模块，用于基于所述入域授权令牌，获取所述第二车联网系统的注册证书。
15.本发明实施例提供一种证书申请装置，应用于第一车联网系统，包括：
16.接收模块，用于当车联网设备申请从第一车联网系统进入第二车联网系统时，接收车联网设备发送的出域申请消息；
17.发送模块，用于基于所述出域申请消息，向所述车联网设备发送出域授权令牌，其中所述出域授权令牌中包含有所述车联网设备的设备签名证书，以使所述车联网设备向所
述第二车联网系统发送入域申请消息并获取入域授权令牌，所述入域申请消息中包含有所述出域授权令牌，且所述入域申请消息通过所述设备签名证书所对应的私钥进行数字签名。
18.本发明实施例提供一种证书申请装置，应用于第二车联网系统，包括：
19.发送模块，用于当车联网设备申请从第一车联网系统进入第二车联网系统时，向所述车联网设备发送入域授权令牌，以使所述车联网设备基于所述入域授权令牌获取所述第二车联网系统的注册证书。
20.本发明实施例提供一种车联网设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的证书申请方法的步骤。
21.本发明实施例提供一种第一车联网系统，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的证书申请方法的步骤。
22.本发明实施例提供一种第二车联网系统，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的证书申请方法的步骤。
23.本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现所述的证书申请方法的步骤。
24.本发明实施例提供的证书申请方法及装置，车联网设备在需要从第一车联网系统进入第二车联网系统时通过接收第二车联网系统所发送的入域授权令牌，并通过该入域授权令牌获取第二车联网系统的注册证书，实现了位于第一车联网系统中的车联网设备能够获取第二车联网系统的入域授权令牌和注册证书，从而实现了跨系统的安全通信证书的申请过程，从而能够实现从第一车联网系统至第二车联网系统的跨系统进入。
附图说明
25.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
26.图1为本发明实施例中应用于车联网设备的证书申请方法的步骤流程图；
27.图2为本发明实施例中应用于第一车联网系统的证书申请方法的步骤流程图；
28.图3为本发明实施例中应用于第二车联网系统的证书申请方法的步骤流程图；
29.图4为本发明实施例中具体实施例的参考架构图；
30.图5为本发明实施例中应用于车联网设备的证书申请装置的模块框图；
31.图6为本发明实施例中应用于第一车联网系统的证书申请装置的模块框图；
32.图7为本发明实施例中应用于第二车联网系统的证书申请装置的模块框图；
33.图8为本发明实施例中车联网设备的结构示意图；
34.图9为本发明实施例中第一车联网系统的结构示意图；
35.图10为本发明实施例中第二车联网系统的结构示意图。
具体实施方式
36.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
37.为了便于清楚描述本发明实施例的技术方案，在本发明的各实施例中，若采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分，本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定。
38.在车联网领域，车联网安全通信是基于公钥基础设施(public key infrastructure，pki)实现的，且车联网pki的基本构成也都相同。
39.其中，车联网系统中证书申请实体包括：车载单元(on board unit，obu)和路侧单元(road side unit，rsu)，其中obu为安装在车辆上的通信设备，负责车辆车对外界的信息交换(vehicle to everything，v2x)消息的发送和接收；rsu安装在在路侧设备上的通信设备，负责路侧设备v2x消息的发送和接收。
40.此外，车联网pki系统中证书颁发实体包括根证书颁发机构(root certificate authority，root ca)、注册ca(enrollment ca，eca)和应用ca(application ca，aca)，根ca是车联网安全pki体系的安全锚点，用于向下级子ca颁发子ca证书；注册ca在obu和rsu系统的安全初始化(security bootstrap)阶段，向这些实体颁发注册证书，obu和rsu使用注册证书申请应用证书；应用ca向obu和rsu颁发其用于对播发的v2x消息进行签名的证书。对应的证书种类包括根证书、注册证书和应用证书，其中根证书是根ca的自签证书。根证书是一个pki系统证书链的根节点，又称pki系统的信任锚点(trust anchor)；注册证书由注册ca颁发给obu和rsu，注册证书与设备唯一对应，设备使用注册证书从各授权机构获取其他与车联网安全通信相关的应用证书；应用证书是颁发给obu和rsu的用于对其播发的消息进行数字签名的证书，例如obu对其播发的车辆行驶状态信息进行数字签名，rsu对其播发的交通信号灯状态信息进行数字签名。
41.此外，现有的应用证书颁发过程通常为，obu/rsu向注册ca申请注册证书，注册ca审核后向obu/rsu颁发注册证书；obu/rsu利用注册证书向负责某车联网应用领域的应用ca申请具体用于对v2x消息进行数字签名的应用证书，应用ca审核后向obu/rsu颁发应用证书；obu/rsu利用应用证书对其播发的v2x消息进行数字签名，并将签名消息连同签名证书一同播发出去；接收v2x签名消息的obu/rsu首先利用预先存储的应用ca证书对消息中的签名证书进行验证，然后利用通过验证的签名证书验证签名消息的有效性。
42.上述过程虽然能够实现车联网通信，但是并未涉及到跨系统通信，即车联网设备从一个车联网系统进入到另一个车联网系统，在此本发明实施例对如何跨系统通信进行说明。
43.如图1所示，为本发明实施例中应用于车联网设备的证书申请方法，该方法包括如下步骤：
44.步骤101：当车联网设备申请从第一车联网系统进入第二车联网系统时，接收第二车联网系统所发送的入域授权令牌。
45.具体的，车联网设备可以指参与车联网通信的实体，例如安装在车辆上的时隙车
辆通信能力的obu或安装在路侧交通设备上的实现设备通信能力的rsu。
46.此外，第一车联网系统和第二车联网系统为两个不同的车联网系统，且可以将第一车联网系统当做源域，将第二车联网系统当做目的域，即针对第二车联网系统而言，入域指从第一车联网系统进入第二车联网系统，针对第一车联网系统而言，出域指从第一车联网系统进入第二车联网系统。当然，针对同一车联网系统中的车联网设备能够使用能够互认的安全通信证书进行车联网安全通信。
47.在本步骤中车联网设备初始位于第一车联网系统，此时若车联网设备需要从第一车联网系统进入第二车联网系统，则可以接收第二车联网系统所发送的入域授权令牌。
48.在此需要说明的是，第二车联网系统中可以包括不同的功能实体，以实现对不同功能的划分，例如第二车联网系统中可以包括跨域申请授权实体，该实体用于在一个车联网系统内负责向出域的车联网设备颁发出域授权令牌或者向入域的车联网设备颁发入域授权令牌；即在本步骤中车联网设备可以接收第二车联网系统中的跨域申请授权实体所发送的入域授权令牌。
49.另外，入域授权令牌指车联网系统颁发的允许车联网设备申请本系统中安全通信证书的令牌。当然，该入域授权令牌可以由跨域申请授权实体颁发，且可以使用其私钥对授权信息进行数字签名，以提供令牌数据的完整性、认证性和不可否认性。
50.步骤102：基于入域授权令牌，获取第二车联网系统的注册证书。
51.在本步骤中，具体的，车联网设备在接收到入域授权令牌之后，可以获取第二车联网系统的注册证书，从而使得能够基于该注册证书进入第二车联网系统，实现了跨系统的安全通信证书的申请过程，从而能够实现从第一车联网系统至第二车联网系统的跨系统进入。
52.这样，本实施例中的车联网设备在需要从第一车联网系统进入第二车联网系统时接收第二车联网系统所发送的入域授权令牌，并通过该入域授权令牌获取第二车联网系统的注册证书，实现了位于第一车联网系统中的车联网设备能够获取第二车联网系统的入域授权令牌和注册证书，从而实现了跨系统的安全通信证书的申请过程，从而能够实现从第一车联网系统至第二车联网系统的跨系统进入。
53.此外，进一步地，在本实施例中车联网设备在接收第二车联网系统所发送的入域授权令牌之前，还可以向第一车联网系统发送出域申请消息，并接收第一车联网系统基于出域申请消息所发送的出域授权令牌，其中出域授权令牌中包含有车联网设备的设备签名证书，然后向第二车联网系统发送入域申请消息，其中入域申请消息中包含有出域授权令牌，且入域申请消息通过设备签名证书所对应的私钥进行数字签名。
54.具体的，车联网设备在需要进入第二车联网系统时，可以先向第一车联网系统发送出域申请消息，当然此时可以向第一车联网系统中的跨域申请授权实体发送出域申请消息，然后第一车联网系统中的跨域申请授权实体可以基于该出域申请消息向车联网设备发送出域授权令牌，从而使得车联网设备能够通过该出域授权令牌向第二车联网系统发送入域申请消息，且获取第二车联网系统基于该入域申请消息所发送的入域授权令牌。
55.在此需要说明的是，出域授权令牌指第一车联网系统中的跨域授权实体向本系统中的车联网设备颁发的允许其申请其他车联网系统中安全通信证书的令牌。当然，第一车联网系统中的跨域授权实体可以使用其私钥对授权信息进行数字签名，以提供令牌数据的
完整性、认证性和不可否认性。
56.此外，每个车联网系统中还可以维护一可信证书列表，该可信证书列表中存储有其他车联网系统的签名证书(公钥证书)。即其他车联网系统中的跨域申请授权实体可以使用与签名证书对应的私钥来对其颁发的入域授权令牌或出域授权令牌进行数字签名，此时对应的车联网系统中的跨域申请授权实体则可以使用存储在可信证书列表中的证书验证来自于其他车联网系统的入域授权令牌或出域授权令牌。即本实施例中的入域授权令牌和出域授权令牌均为安全令牌。
57.具体的，出域授权令牌中包含有车联网设备的设备签名证书(即设备签名公钥证书)，且入域申请消息通过设备签名证书所对应的私钥进行数字签名。此时当第二车联网系统接收到该入域申请消息时，可以先获取该入域申请消息中的出域授权令牌，并从预先存储的可信证书列表中获取第一车联网系统的签名公钥证书，即可以获取第一车联网系统中跨域申请授权实体的签名公钥证书，从而通过该第一车联网系统的签名公钥证书验证该出域授权令牌是否有效；此时当验证出域授权令牌有效时，则可以提取出域授权令牌中的车联网设备的设备签名证书，然后使用该设备签名证书对入域申请消息的数字签名进行验证，此时若入域申请消息的数字签名有效，则可以继续提取出域授权令牌中所包含的其他信息。这样使得能够确定每条入域申请消息所对应的车联网设备，且实现了跨系统申请过程中的安全性和有效性。
58.还需要说明的是，出域授权令牌中还包含有车联网设备的设备信息和/或注册证书申请消息。
59.即该出域授权令牌中还可以包括车联网设备的设备信息，例如obu相关信息、车辆相关信息等；另外，该出域授权令牌中还可以包括注册证书申请消息，即此时可以将申请入域授权令牌的过程与申请注册证书的过程合并，当日该注册证书申请消息可以为申请注册证书而生成的密钥对中的公钥。
60.另外，进一步地，在本实施例中，车联网设备在向第一车联网系统发送出域申请消息之前，还可以向第二车联网系统发送标识申请消息，然后接收第二车联网系统基于标识申请消息所发送的跨域申请标识，其中跨域申请标识与本次进入申请相对应；其中，出域申请消息和出域授权令牌中均包含有跨域申请标识。
61.具体的，第二车联网系统中还可以包括跨域申请标识生成实体，负责生成车联网设备申请跨系统车联网通信证书过程唯一对应的跨域申请标识。
62.此外，跨域申请标识为唯一标识车联网设备申请车联网通信系统通信安全证书过程的标识。具体的，该跨域申请标识的生成可采用与密码协议相关的方式生成，也可以是与密码协议无关的方式生成，在此不进行具体限定。与密码协议相关的方式是指跨域申请标识是经将车联网设备的设备信息和/或申请过程相关的信息经密码运算后生成。
63.具体的，当车联网设备先向第二车联网系统申请跨域申请标识时，此时车联网设备向第一车联网系统发送的出域申请消息以及第一车联网系统颁发的出域授权令牌中均包含有跨域申请标识，即第一车联网系统可以将第二车联网系统生成的跨域申请标识与其生成的出域授权令牌进行绑定。
64.在上述实施例的基础上，出域授权令牌中还可以包含有车联网设备的设备信息和/或注册证书申请消息。
65.另外，在本实施例中，车联网设备在接收第二车联网系统所发送的入域授权令牌时，可以接收第二车联网系统基于入域申请消息所发送的入域响应消息，其中，入域响应消息中包含有入域授权令牌，且入域授权令牌中包含有设备签名证书和与本次进入申请所对应的跨域申请标识。
66.当然，入域授权令牌中还包含车联网设备的设备信息和/或车联网设备在第二车联网系统中的设备标识。
67.此外，入域响应消息中还包含有第二车联网系统中注册ca的地址信息和/或第二车联网系统中应用ca的地址信息。这使得物联网设备能够基于地址信息发送注册证书申请消息以及应用证书申请消息。
68.另外，在本实施例中，车联网设备在基于入域授权令牌获取第二车联网系统的注册证书时，可以向第二车联网系统发送注册证书申请消息，其中注册证书申请消息中包含有入域授权令牌，且注册证书申请消息通过设备签名证书所对应的私钥进行数字签名，然后接收第二车联网系统基于注册证书申请消息所发送的注册证书。
69.具体的，第二车联网系统中还可以包括注册ca，即车联网设备可以向第二车联网系统中的注册ca发送注册证书申请消息，以便申请第二车联网系统的注册证书。此时，第二车联网系统中的注册ca在接收到注册证书申请消息时，可以获取注册证书申请消息中的入域授权令牌，并获取入域授权令牌中的设备签名证书，然后采用该设备签名证书对注册证书申请消息的数字签名进行验证，并在验证通过后向车联网设备颁发注册证书，从而保证了证书申请过程中的安全性。
70.当然，车联网设备在基于入域授权令牌获取第二车联网系统的注册证书之后，还可以向第二车联网系统发送应用证书申请消息，其中应用证书申请消息中包含有注册证书，然后接收第二车联网系统基于应用证书申请消息所发送的应用证书。
71.当然在此需要说明的是，该应用证书申请消息同样可以采用设备签名证书所对应的私钥进行数字签名，过程同注册证书申请过程，在此不再进行具体说明。
72.即车联网设备在得到第二车联网系统的注册证书之后，可以利用该第二车联网系统的注册证书向第二车联网系统的应用ca申请在第二车联网系统实现车联网安全通信的应用证书，从而实现车联网设备的跨系统安全通信。
73.这样，本实施例中的车联网设备通过接收第二车联网系统所发送的入域授权令牌，并通过该入域授权令牌获取第二车联网系统的注册证书，实现了位于第一车联网系统中的车联网设备能够获取第二车联网系统的入域授权令牌和注册证书，从而实现了跨系统的安全通信证书的申请过程，从而能够实现从第一车联网系统至第二车联网系统的跨系统进入。
74.如图2所示，为本发明实施例中应用于第一车联网系统的证书申请方法的步骤流程图，该方法包括如下步骤：
75.步骤201：当车联网设备申请从第一车联网系统进入第二车联网系统时，接收车联网设备发送的出域申请消息。
76.具体的，当车联网设备需要进行跨系统通信时，可以先向第一车联网系统发送出域申请消息，此时第一车联网系统接入该出域申请消息。
77.在此需要说明的是，关于第一车联网系统、第二车联网系统及出域申请消息的具
体内容可以参见上述车联网设备侧的相关内容，在此不再进行具体限定。
78.步骤202：基于出域申请消息，向车联网设备发送出域授权令牌。
79.具体的，第一车联网系统在获取到出域申请消息时，可以向车联网设备发送出域授权令牌。
80.其中，出域授权令牌中包含有车联网设备的设备签名证书，以使车联网设备向第二车联网系统发送入域申请消息并获取入域授权令牌，入域申请消息中包含有出域授权令牌，且入域申请消息通过设备签名证书所对应的私钥进行数字签名。
81.在此需要说明的是，上述内容的相关介绍可以参见上述车联网设备侧的相关内容，在此不再进行具体限定。
82.此外，需要说明的是，出域申请消息和出域授权令牌中均包含有跨域申请标识；其中，跨域申请标识为车联网设备向第二车联网系统申请得到，且跨域申请标识与本次进入申请相对应。
83.当然，还需要补充的是，出域授权令牌中还包含有车联网设备的设备信息和/或注册证书申请消息。
84.在此需要说明的是，上述各项信息的具体内容可以参见车联网设备侧方法实施例的具体相关内容，在此不再进行具体介绍。
85.这样，本实施例中的第一车联网系统通过接收车联网设备发送的出域申请消息，并基于该出域申请消息向车联网设备发送出域授权令牌，使得车联网设备能够基于该出域授权令牌获取第二车联网系统的入域授权令牌，从而实现了跨系统的安全通信证书的申请过程，从而能够实现从第一车联网系统至第二车联网系统的跨系统进入。
86.此外，如图3所示，为本发明实施例中应用于第二车联网系统的证书申请方法的步骤流程图，该方法包括如下步骤：
87.步骤301：当车联网设备申请从第一车联网系统进入第二车联网系统时，向车联网设备发送入域授权令牌。
88.具体的，当车联网设备需要进行跨域通信时，第二车联网系统可以向车联网设备发送入域授权令牌，从而使得车联网设备能够基于入域授权令牌获取第二车联网系统的注册证书。
89.具体的，第二车联网系统向车联网设备发送入域授权令牌时，可以接收车联网设备所发送的入域申请消息，其中入域申请消息中包含有出域授权令牌，出域授权令牌由车联网设备向第一车联网系统申请得到，且出域授权令牌中包含有车联网设备的设备签名证书，入域申请消息通过设备签名证书所对应的私钥进行数字签名；然后基于入域申请消息，向车联网设备发送入域响应消息，其中，入域响应消息中包含有入域授权令牌，且入域授权令牌中包含有设备签名证书和与本次进入申请所对应的跨域申请标识。
90.在此需要说明的是，该实施例中的相关内容可以参见车联网设备侧实施例的相关内容，在此不再进行具体赘述。
91.此外，进一步地，第二车联网系统在基于入域申请消息，向车联网设备发送入域响应消息之前，还可以获取入域申请消息中的出域授权令牌，并获取出域授权令牌中的设备签名证书；当通过设备签名证书验证得到入域申请消息的数字签名为有效签名时，确定入域申请消息为有效消息。
92.即第二车联网系统在向车联网设备颁发入域授权令牌之前，需要验证入域申请消息的有效性，即需要确定申请入域授权令牌的车联网设备的身份信息，此时第二车联网系统可以先从入域申请消息中获取出域授权令牌，并基于预先存储的可信证书列表中第一车联网系统的签名公钥证书验证该出域授权令牌是否有效；当验证得到出域授权令牌有效时则可以获取出域授权令牌中的设备签名证书，从而能够通过该设备签名证书对入域申请消息的数字签名的有效性进行验证；此时，若验证得到入域申请消息的数字签名为有效签名，则可以确定入域申请消息为有效消息，即可以确定车联网设备的身份信息，此时则可以进一步颁发入域授权令牌。
93.此外，在本实施例中，第二车联网系统在接收车联网设备所发送的入域申请消息之前，还可以接收车联网设备所发送的标识申请消息，并基于标识申请消息，向车联网设备发送跨域申请标识，其中跨域申请标识与本次进入申请相对应。相应地，出域授权令牌中还包含有跨域申请标识。
94.当然，具体的，出域授权令牌中还包含有车联网设备的设备信息和/或注册证书申请消息。
95.此外，具体的，入域授权令牌中还包含有车联网设备的设备信息和/或车联网设备在所述第二车联网系统中的设备标识。入域响应消息中还包含有第二车联网系统中注册证书颁发机构ca的地址信息；第二车联网系统中应用ca的地址信息。
96.在此需要说明的是，关于上述信息的具体介绍可以参见车联网设备侧实施例的相关内容，在此不再进行具体介绍。
97.此外，具体的，第二车联网系统在向车联网设备发送入域授权令牌之后，可以接收车联网设备所发送的注册证书申请消息，其中注册证书申请消息中包含有入域授权令牌，且注册证书申请消息通过设备签名证书所对应的私钥进行数字签名；然后获取注册证书申请消息中的入域授权令牌，并获取入域授权令牌中的设备签名证书，并当通过设备签名证书验证得到注册证书申请消息的数字签名为有效签名时，确定注册证书申请消息为有效消息，并向车联网设备发送注册证书。
98.当然，第二车联网系统向车联网设备发送注册证书之后，还可以接收车联网设备所发送的应用证书申请消息，其中应用证书申请消息中包含有注册证书；然后基于应用证书申请消息，向车联网设备发送应用证书。
99.在此需要说明的是，上述过程的具体内容可以参见车联网设备侧实施例的相关内容，在此不再进行赘述。
100.这样，本实施例中的第二车联网系统通过向车联网设备发送入域授权令牌，实现了跨系统的安全通信证书的申请过程，从而能够实现从第一车联网系统至第二车联网系统的跨系统进入。
101.下面通过完整的证书申请流程对上述实施例进行具体说明。
102.参见图4所示的框架图，在车联网设备跨系统申请安全通信证书的过程中，假设第一车联网系统中的车联网设备申请第二车联网系统中的安全通信证书，则其中一种申请过程可以包括如下步骤：
103.1，车联网设备向第二车联网系统中的跨域申请标识生成实体申请跨域申请标识。当然依据第二车联网系统的要求，用于申请跨域申请标识的标识申请消息中还可以包含有
与证书申请相关的一些信息，例如车联网设备所在国别、车牌号、进入时间和离开时间等。
104.此外，跨域申请标识生成实体向车联网设备分配一个与本次申请唯一对应的跨域申请标识，同时还可将该跨域申请标识提供给本系统中的跨域申请授权实体。跨域申请标识的生成可以是基于密码学的方法生成，也可以是不基于密码学的方法生成，在此不做限定。
105.2，车联网设备向第一车联网系统中的跨域申请授权实体申请出域授权令牌。该出域申请消息中可包含由第二车联网系统中的跨域申请授权实体分配的跨域申请标识。当然依据第一车联网系统的要求，该出域申请消息中可能需提供一些相关信息，例如欲进入的国别、车牌号、车辆类型、车辆用途、进入时间和离开时间等。
106.3，第一车联网系统中的跨域申请授权实体检查出域申请消息，若允许，则为该车联网设备生成一个出域授权令牌。该出域授权令牌可包含如下信息：由第二车联网系统中的跨域申请标识生成实体分配的跨域申请标识；车联网设备的设备签名证书，车联网设备将使用与该证书对应的私钥对入域申请消息进行数字签名；车联网设备的设备信息，例如obu相关的信息和车辆相关的信息等；其他信息，例如令牌颁发者标识、令牌有效期、签名证书信息、进入时间和离开时间等。
107.4，车联网设备向第二车联网系统中的跨域申请授权实体申请入域授权令牌，即发送入域申请消息。该入域申请消息使用与出域授权令牌中包含的设备签名证书相对应的私钥进行数字签名。该入域申请消息中包含有出域授权令牌。
108.5，第二车联网系统中的跨域申请授权实体验证该入域申请消息，具体操作包括：获取入域申请消息中的出域授权令牌，从预先存储的可信证书列表中获取第一车联网系统的跨域申请授权实体的签名公钥证书，然后使用该公钥证书验证出域授权令牌是否有效；若出域授权令牌有效，则提取出域授权令牌中的签名公钥证书，然后使用该证书验证入域申请消息的数字签名是否有效；若数字签名有效，则提取令牌中携带的设备和车辆参数，并利用“域映射策略”将第一车联网系统的参数映射至第二车联网系统，例如车辆类型、车辆用途，日期和时间格式等。
109.6，第二车联网系统的跨域申请授权实体为车联网设备生成一个入域授权令牌，其中包含有：跨域申请标识；物联网设备的设备签名证书；第二车联网系统为物联网设备新分配的一个在本系统中使用的设备标识；已经映射至本系统的物联网设备的设备信息；其他信息，例如令牌颁发者标识、令牌有效期、签名证书信息、进入时间和离开时间等；第二车联网系统通过入域响应消息发送该入域授权令牌，且入域响应消息还可包含有本系统中注册ca和/或应用ca的地址和所使用的协议等信息。
110.7，物联网设备依据第二车联网系统规定的协议向第二车联网系统中的注册ca申请注册证书，注册证书申请消息使用与入域授权令牌中包含的设备签名证书相对应的设备签名私钥签名。该注册证书申请消息中可包含入域授权令牌以及物联网设备为申请注册证书而生成的密钥对中的公钥。
111.8，第二车联网系统中的注册ca验证注册证书申请消息，具体操作包括：注册ca获取注册证书申请消息中的入域授权令牌，利用第二车联网系统中的跨域申请授权实体的公钥证书验证入域授权令牌是否有效，若令牌有效，则提取令牌中的物联网设备的设备签名证书，然后使用该设备签名证书验证注册证书申请消息的数字签名是否有效；若数字签名
有效，则提取入域授权令牌中的各种设备参数和车辆参数，以及令牌中提供的公钥等信息为车联网设备颁发注册证书。
112.9，车联网设备利用收到的注册证书，依据第二车联网系统规定的协议向第二车联网系统中的应用ca申请相应的应用证书。应用ca验证该应用证书申请消息，然后依据本系统规则向物联网设备颁发相应应用证书。
113.10，物联网设备利用应用证书实现在第二车联网系统的车联网安全通信。
114.至此，完成整个证书申请过程。
115.此外，另一申请过程还可以为，物联网设备向第一车联网系统的跨域授权实体申请出域授权令牌，后者向物联网设备颁发出域授权令牌，令牌中包含有设备签名证书；然后，物联网设备将备出域授权令牌提供给第二车联网系统的跨域授权实体，后者首先生成跨域申请标识，然后向物联网设备颁发入域授权令牌，颁发的令牌中包含有跨域申请标识和设备签名证书；再然后，物联网设备利用入域授权令牌申请第二车联网系统的注册证书和应用证书。
116.此外，另一申请过程还可以为，申请入域授权令牌的过程与申请注册证书的过程合并，即出域授权令牌中还可以包含注册证书申请消息。
117.此外，如图5所示，为本发明实施例中应用于车联网设备的证书申请装置的模块框图，该装置包括：
118.接收模块501，用于当车联网设备申请从第一车联网系统进入第二车联网系统时，接收所述第二车联网系统所发送的入域授权令牌；
119.获取模块502，用于基于所述入域授权令牌，获取所述第二车联网系统的注册证书。
120.可选地，装置还包括：
121.第一发送模块，用于向所述第一车联网系统发送出域申请消息；
122.第一接收单元，用于接收所述第一车联网系统基于所述出域申请消息所发送的出域授权令牌，其中所述出域授权令牌中包含有所述车联网设备的设备签名证书；
123.第二发送模块，用于向所述第二车联网系统发送入域申请消息，其中所述入域申请消息中包含有所述出域授权令牌，且所述入域申请消息通过所述设备签名证书所对应的私钥进行数字签名。
124.在此需要说明的是，该装置能够实现车联网设备方法实施例侧的所有方法步骤，并能够达到相同的技术效果，在此不再进行赘述。
125.如图6所示，为本发明实施例中应用于第一车联网系统的证书申请装置的模块框图，该装置包括：
126.接收模块601，用于当车联网设备申请从第一车联网系统进入第二车联网系统时，接收车联网设备发送的出域申请消息；
127.发送模块602，用于基于所述出域申请消息，向所述车联网设备发送出域授权令牌，其中所述出域授权令牌中包含有所述车联网设备的设备签名证书，以使所述车联网设备向所述第二车联网系统发送入域申请消息并获取入域授权令牌，所述入域申请消息中包含有所述出域授权令牌，且所述入域申请消息通过所述设备签名证书所对应的私钥进行数字签名。
sdram，ddrsdram)、增强型同步动态随机存取存储器(enhanced sdram，esdram)、同步连接动态随机存取存储器(synchlink dram，sldram)和直接内存总线随机存取存储器(direct rambus ram，drram)。本发明各实施例所描述的系统和方法的存储器802旨在包括但不限于这些和任意其它适合类型的存储器。
136.处理器801负责管理总线系统和通常的处理，存储器802可以存储处理器801在执行操作时所使用的计算机程序或指令，具体地，处理器801可以用于：当车联网设备申请从第一车联网系统进入第二车联网系统时，接收所述第二车联网系统所发送的入域授权令牌；基于所述入域授权令牌，获取所述第二车联网系统的注册证书。
137.上述本发明实施例揭示的方法可以应用于处理器801中，或者由处理器801实现。处理器801可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器801中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器801可以是通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器802，处理器801读取存储器802中的信息，结合其硬件完成上述方法的步骤。
138.可以理解的是，本发明描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(application specific integrated circuits，asic)、数字信号处理器(digital signal processing，dsp)、数字信号处理设备(dsp device，dspd)、可编程逻辑设备(programmable logic device，pld)、现场可编程门阵列(field-programmable gate array，fpga)、通用处理器、控制器、微控制器、微处理器、用于执行本技术所述功能的其它电子单元或其组合中。
139.对于软件实现，可通过执行本发明实施例中所述功能的模块(例如过程、函数等)来实现所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
140.可选地，作为另一个实施例，所述接收所述第二车联网系统所发送的入域授权令牌之前，处理器801还用于：向所述第一车联网系统发送出域申请消息；接收所述第一车联网系统基于所述出域申请消息所发送的出域授权令牌，其中所述出域授权令牌中包含有所述车联网设备的设备签名证书；向所述第二车联网系统发送入域申请消息，其中所述入域申请消息中包含有所述出域授权令牌，且所述入域申请消息通过所述设备签名证书所对应的私钥进行数字签名。
141.可选地，作为另一个实施例，所述向所述第一车联网系统发送出域申请消息之前，处理器801还用于：向所述第二车联网系统发送标识申请消息；接收所述第二车联网系统基于所述标识申请消息所发送的跨域申请标识，其中所述跨域申请标识与本次进入申请相对应；其中，所述出域申请消息和所述出域授权令牌中均包含有所述跨域申请标识。
sdram，ddrsdram)、增强型同步动态随机存取存储器(enhanced sdram，esdram)、同步连接动态随机存取存储器(synchlink dram，sldram)和直接内存总线随机存取存储器(direct rambus ram，drram)。本发明各实施例所描述的系统和方法的存储器902旨在包括但不限于这些和任意其它适合类型的存储器。
150.处理器901负责管理总线系统和通常的处理，存储器902可以存储处理器901在执行操作时所使用的计算机程序或指令，具体地，处理器901可以用于：当车联网设备申请从第一车联网系统进入第二车联网系统时，接收车联网设备发送的出域申请消息；基于所述出域申请消息，向所述车联网设备发送出域授权令牌，其中所述出域授权令牌中包含有所述车联网设备的设备签名证书，以使所述车联网设备向所述第二车联网系统发送入域申请消息并获取入域授权令牌，所述入域申请消息中包含有所述出域授权令牌，且所述入域申请消息通过所述设备签名证书所对应的私钥进行数字签名。
151.可选地，作为另一个实施例，所述出域申请消息和所述出域授权令牌中均包含有跨域申请标识；其中，所述跨域申请标识为所述车联网设备向所述第二车联网系统申请得到，且所述跨域申请标识与本次进入申请相对应。
152.可选地，作为另一个实施例，所述出域授权令牌中还包含有所述车联网设备的设备信息和/或注册证书申请消息。
153.本发明实施例提供的第一车联网系统能够实现前述实施例中第一车联网系统实现的各个过程，为避免重复，此处不再赘述。
154.图10为本发明一实施例提供的第二车联网系统的结构示意图，如图10所示，该第二车联网系统1000可以包括至少一个处理器1001、存储器1002、至少一个其他的用户接口1003，以及收发机1004。第二车联网系统1000中的各个组件通过总线系统1005耦合在一起。可理解，总线系统1005用于实现这些组件之间的连接通信。总线系统1005除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图10中将各种总线都标为总线系统1005，总线系统可以包括任意数量的互联的总线和桥，具体由处理器1001代表的一个或多个处理器和存储器1002代表的存储器的各种电路链接在一起。总线系统还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本发明实施例不再对其进行进一步描述。总线接口提供接口。收发机1004可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备，用户接口1003还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
155.可以理解，本发明实施例中的存储器1002可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，rom)、可编程只读存储器(programmable rom，prom)、可擦除可编程只读存储器(erasable prom，eprom)、电可擦除可编程只读存储器(electrically eprom，eeprom)或闪存。易失性存储器可以是随机存取存储器(random access memory，ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(static ram，sram)、动态随机存取存储器(dynamic ram，dram)、同步动态随机存取存储器(synchronous dram，sdram)、双倍数据速率同步动态随机存取存储器(double data rate sdram，ddrsdram)、增强型同步动态随机存取存储器(enhanced sdram，esdram)、同步
连接动态随机存取存储器(synchlink dram，sldram)和直接内存总线随机存取存储器(direct rambus ram，drram)。本发明各实施例所描述的系统和方法的存储器1002旨在包括但不限于这些和任意其它适合类型的存储器。
156.处理器1001负责管理总线系统和通常的处理，存储器1002可以存储处理器1001在执行操作时所使用的计算机程序或指令，具体地，处理器1001可以用于：当车联网设备申请从第一车联网系统进入第二车联网系统时，向所述车联网设备发送入域授权令牌，以使所述车联网设备基于所述入域授权令牌获取所述第二车联网系统的注册证书。
157.可选地，作为另一个实施例，处理器1001还用于：接收所述车联网设备所发送的入域申请消息，其中所述入域申请消息中包含有出域授权令牌，所述出域授权令牌由所述车联网设备向所述第一车联网系统申请得到，且所述出域授权令牌中包含有所述车联网设备的设备签名证书，所述入域申请消息通过所述设备签名证书所对应的私钥进行数字签名；基于所述入域申请消息，向所述车联网设备发送入域响应消息，其中，所述入域响应消息中包含有入域授权令牌，且所述入域授权令牌中包含有所述设备签名证书和与本次进入申请所对应的跨域申请标识。
158.可选地，作为另一个实施例，所述接收所述车联网设备所发送的入域申请消息之前，处理器1001还用于：接收所述车联网设备所发送的标识申请消息；基于所述标识申请消息，向所述车联网设备发送跨域申请标识，其中所述跨域申请标识与本次进入申请相对应；相应地，所述出域授权令牌中还包含有所述跨域申请标识。
159.可选地，作为另一个实施例，所述出域授权令牌中还包含有所述车联网设备的设备信息和/或注册证书申请消息。
160.可选地，作为另一个实施例，所述入域授权令牌中还包含有所述车联网设备的设备信息和/或所述车联网设备在所述第二车联网系统中的设备标识；所述入域响应消息中还包含有所述第二车联网系统中注册证书颁发机构ca的地址信息和/或所述第二车联网系统中应用ca的地址信息。
161.可选地，作为另一个实施例，所述基于所述入域申请消息，向所述车联网设备发送入域响应消息之前，处理器1001还用于：获取所述入域申请消息中的出域授权令牌，并获取所述出域授权令牌中的设备签名证书；当通过所述设备签名证书验证得到所述入域申请消息的数字签名为有效签名时，确定所述入域申请消息为有效消息。
162.可选地，作为另一个实施例，所述向所述车联网设备发送入域授权令牌之后，处理器1001还用于：接收所述车联网设备所发送的注册证书申请消息，其中所述注册证书申请消息中包含有所述入域授权令牌，且所述注册证书申请消息通过所述设备签名证书所对应的私钥进行数字签名；获取所述注册证书申请消息中的所述入域授权令牌，并获取所述入域授权令牌中的设备签名证书；当通过所述设备签名证书验证得到所述注册证书申请消息的数字签名为有效签名时，确定所述注册证书申请消息为有效消息，并向所述车联网设备发送注册证书。
163.可选地，作为另一个实施例，所述向所述车联网设备发送注册证书之后，处理器1001还用于：接收所述车联网设备所发送的应用证书申请消息，其中所述应用证书申请消息中包含有所述注册证书；基于所述应用证书申请消息，向所述车联网设备发送应用证书。
164.本发明实施例提供的第二车联网系统能够实现前述实施例中第二车联网系统实
现的各个过程，为避免重复，此处不再赘述。
165.上述主要从电子设备的角度对本发明实施例提供的方案进行了介绍。可以理解的是，本发明实施例提供的电子设备为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本发明中所公开的实施例描述的各示例的单元及算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。
166.某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
167.本发明实施例可以根据上述方法示例对电子设备等进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。
168.需要说明的是，本发明实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
169.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
170.在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接。
171.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
172.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元可以采用软件功能单元的形式实现。
173.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器执行本发明各个实施例所述方法的全部或部分步骤。所述计算机存储介质是非短暂性(英文：nontransitory)介质，包括：快闪存储器、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
174.另一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各实施例提供的方法步骤，并能够达到相同的技术效果，在此不再进行赘述。
175.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。