基于安全传输层协议的通信方法、装置、设备及存储介质与流程

1.本技术属于通信技术领域，尤其涉及一种基于安全传输层协议的通信方法、装置、设备及存储介质。


背景技术：

2.随着汽车智能化程度的不断提高，越来越多的新技术新产品应用到汽车中，汽车产业的变化为出行带来便利的同时，汽车的信息安全问题也越来越被重视。
3.蜂窝车联网(c-v2x，cellular-vehicle to x)通信安全主要分为四个方向：车与云安全通信、车与车安全通信、车与路安全通信以及车与设备安全通信。其中，车与云安全通信将基于数字证书标准x.509的密码数字证书进行车与云的安全传输层协议(transport layer security，tls)安全连接。而车与车、车与路、车与设备安全通信将基于v2x短证书进行数据的签名、加密。因此，根据业务分工的不同，为满足车云通信业务需求，需建立x.509安全证书管理系统，为满足v2x的安全业务需求，需建立v2x安全证书管理系统。
4.由于x.509安全证书管理系统和v2x安全证书管理系统是两个独立的系统，而x.509证书的字节比v2x短证书多，若将x.509证书用在v2x安全通信中，会占用较大资源，造成成本高；x.509证书的时效性v2x短证书，不能实现车联网的高时效性要求。


技术实现要素：

5.本技术实施例提供一种基于安全传输层协议的通信方法、装置、设备及存储介质，能够解决现有技术中将x.509证书用在v2x安全通信中，会占用较大资源，造成成本高，以及x.509证书的时效性v2x短证书，不能实现车联网的高时效性要求的问题。
6.第一方面，本技术实施例提供一种基于安全传输层协议的通信方法，该方法应用于客户端，包括：
7.向服务端发送安全传输层tls协议的连接请求，所述请求包括握手消息，所述握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，所述客户端证书包括v2x短证书，所述服务端证书包括v2x短证书和x.509证书中的至少一种；
8.接收所述服务端基于所述请求发送的响应消息，所述响应消息包括v2x短证书和x.509证书中的至少一种服务端证书、签名信息和第一证书申请信息，所述签名信息为所述服务端使用服务端证书对应的私钥对所述握手消息进行签名得到；
9.基于所述响应消息，利用所述服务端证书对应的公钥对所述签名信息进行验证；
10.在验证通过的情况下，基于所述响应消息中的所述第一证书申请信息，向所述服务端发送v2x短证书，以用于在所述服务端对所述v2x短证书的验证通过的情况下，完成所述tls的通信连接。
11.在一种实施方式中，所述响应消息包括所述服务端生成的临时公钥；所述方法还包括：
12.基于所述临时公钥生成共享密钥，所述共享密钥用于加密向所述服务端传输的消
息。
13.在一种实施方式中，在所述向服务端发送安全传输层tls协议的连接请求之前，所述方法还包括：
14.向预设的授权机构发送第二证书申请信息，所述第二证书申请信息中包括证书类型和验证请求，所述验证请求包括公钥，以用于所述授权机构基于所述公钥验证第二证书申请信息；
15.接收所述授权机构在验证通过的情况下发送的所述证书类型对应的x.509证书。
16.在一种实施方式中，在所述向服务端发送安全传输层tls协议的连接请求之前，所述方法还包括：
17.向预设的v2x安全证书管理系统发送应用证书申请请求，所述应用证书申请请求包括身份证书私钥签名，以用于所述v2x安全证书管理系统基于所述身份证书公钥校验应用证书申请请求，在校验通过后生成应用证书申请响应信息；
18.基于所述v2x安全证书管理系统发送的所述应用证书申请响应消息，向所述v2x安全证书管理系统发送应用证书下载申请；
19.接收所述v2x安全证书管理系统发送的应用证书下载申请响应消息，所述应用证书下载申请响应消息包括所述v2x安全证书管理系统基于所述应用证书下载申请下载的应用证书。
20.第二方面，本技术实施例提供一种基于安全传输层协议的通信方法，该方法应用于服务端，包括：
21.接收客户端发送的安全传输层tls协议的连接请求，所述请求包括握手消息，所述握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，所述客户端证书包括v2x短证书，所述服务端证书包括v2x短证书和x.509证书中的至少一种；
22.基于所述请求向所述客户端发送响应消息，所述响应消息包括v2x短证书和x.509证书中的至少一种服务端证书、签名信息以及第一证书申请信息，所述签名信息为所述服务端使用服务端证书对应的私钥对所述握手消息进行签名得到，以用于所述客户端基于所述响应消息，利用所述服务端证书对应的公钥对所述签名信息进行验证，并在验证通过的情况下，基于所述响应消息中的所述第一证书申请信息，向所述服务端发送v2x短证书；
23.对所述客户端发送的所述v2x短证书进行验证，并在验证通过的情况下，完成所述tls的通信连接。
24.在一种实施方式中，所述握手消息包括预共享密钥的信息；所述方法还包括：
25.根据所述预共享密钥和所述临时公钥生成共享密钥，所述共享密钥用于加密向所述客户端传输的消息。
26.第三方面，本技术实施例提供一种基于安全传输层协议的通信装置，所述装置应用于客户端，包括：
27.发送模块，用于向服务端发送安全传输层tls协议的连接请求，所述请求包括握手消息，所述握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，所述客户端证书包括v2x短证书，所述服务端证书包括v2x短证书和x.509证书中的至少一种；
28.接收模块，用于接收所述服务端基于所述请求发送的响应消息，所述响应消息包括v2x短证书和x.509证书中的至少一种服务端证书、签名信息和第一证书申请信息，所述
签名信息为所述服务端使用服务端证书对应的私钥对所述握手消息进行签名得到；
29.验证模块，用于基于所述响应消息，利用所述服务端证书对应的公钥对所述签名信息进行验证；
30.所述发送模块，还用于在验证通过的情况下，基于所述响应消息中的所述第一证书申请信息，向所述服务端发送v2x短证书，以用于在所述服务端对所述v2x短证书的验证通过的情况下，完成所述tls的通信连接。
31.在一种实施方式中，所述响应消息包括所述服务端生成的临时公钥；该基于安全传输层协议的通信装置还包括生成模块；
32.生成模块，用于基于所述临时公钥生成共享密钥，所述共享密钥用于加密向所述服务端传输的消息。
33.在一种实施方式中，所述发送模块，还用于在所述向服务端发送安全传输层tls协议的连接请求之前，向预设的授权机构发送第二证书申请信息，所述第二证书申请信息中包括证书类型和验证请求，所述验证请求包括公钥，以用于所述授权机构基于所述公钥验证第二证书申请信息；
34.所述接收模块，还用于接收所述授权机构在验证通过的情况下发送的所述证书类型对应的x.509证书。
35.在一种实施方式中，所述发送模块，还用于在所述向服务端发送安全传输层tls协议的连接请求之前，向预设的v2x安全证书管理系统发送应用证书申请请求，所述应用证书申请请求包括身份证书私钥签名，以用于所述v2x安全证书管理系统基于所述身份证书公钥校验应用证书申请请求，在校验通过后生成应用证书申请响应信息；
36.所述发送模块，还用于基于所述v2x安全证书管理系统发送的所述应用证书申请响应消息，向所述v2x安全证书管理系统发送应用证书下载申请；
37.所述接收模块，还用于接收所述v2x安全证书管理系统发送的应用证书下载申请响应消息，所述应用证书下载申请响应消息包括所述v2x安全证书管理系统基于所述应用证书下载申请下载的应用证书。
38.第四方面，本技术实施例提供一种基于安全传输层协议的通信装置，所述装置应用于服务端，包括：
39.接收模块，用于接收客户端发送的安全传输层tls协议的连接请求，所述请求包括握手消息，所述握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，所述客户端证书包括v2x短证书，所述服务端证书包括v2x短证书和x.509证书中的至少一种；
40.发送模块，用于基于所述请求向所述客户端发送响应消息，所述响应消息包括v2x短证书和x.509证书中的至少一种服务端证书、签名信息以及第一证书申请信息，所述签名信息为所述服务端使用服务端证书对应的私钥对所述握手消息进行签名得到，以用于所述客户端基于所述响应消息，利用所述服务端证书对应的公钥对所述签名信息进行验证，并在验证通过的情况下，基于所述响应消息中的所述第一证书申请信息，向所述服务端发送v2x短证书；
41.验证模块，用于对所述客户端发送的所述v2x短证书进行验证，并在验证通过的情况下，完成所述tls的通信连接。
42.在一种实施方式中，所述握手消息包括预共享密钥的信息；该基于安全传输层协
议的通信装置还包括生成模块；
43.生成模块，用于根据所述预共享密钥和所述临时公钥生成共享密钥，所述共享密钥用于加密向所述客户端传输的消息。
44.第五方面，本技术实施例提供了一种电子设备，该电子设备包括：处理器以及存储有计算机程序指令的存储器；
45.处理器执行计算机程序指令时实现如第一方面的任一项实施例中所述的基于安全传输层协议的通信方法。
46.第六方面，本技术实施例提供了一种计算机存储介质，计算机存储介质上存储有计算机程序指令，计算机程序指令被处理器执行时实现如第一方面的任一项实施例中所述的基于安全传输层协议的通信方法。
47.本技术实施例的基于安全传输层协议的通信方法、装置、设备及计算机存储介质，通过客户端向服务端发送安全传输层tls协议的连接请求，其中，请求包括握手消息，握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，客户端证书包括v2x短证书，服务端证书包括v2x短证书和x.509证书中的至少一种，这样，客户端通过v2x短证书进行身份认证，服务端可以选择v2x短证书或x.509证书的证书类型进行身份认证。接着，客户端接收服务端基于请求发送的响应消息，响应消息包括v2x短证书和x.509证书中的至少一种服务端证书、服务端使用服务端证书对应的私钥对握手消息进行签名的信息、第一证书申请信息。进而客户端利用服务端证书对应的公钥对签名信息进行验证，并在验证通过的情况下，基于第一证书申请信息向服务端发送v2x短证书，以用于在服务端对v2x短证书的验证通过的情况下，完成tls的通信连接。这样，客户端可以直接用v2x短证书进行tls连接，通过v2x短证书可以实现服务端及客户端的双向tls身份认证，无需建立x.509安全证书管理系统，降低了成本，且由于v2x短证书自身的证书特性，在tls连接中将实现更快速的连接，可以适应高时效性的场景要求。
附图说明
48.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
49.图1是本技术一个实施例提供的基于安全传输层协议的通信方法的流程示意图之一；
50.图2是本技术一个实施例提供的基于安全传输层协议的通信方法的流程示意图之二；
51.图3是本技术一个实施例提供的x.509证书申请的流程示意图；
52.图4是本技术一个实施例提供的ac应用证书申请的流程示意图；
53.图5是本技术一个实施例提供的基于安全传输层协议的通信装置的结构示意图之一；
54.图6是本技术一个实施例提供的基于安全传输层协议的通信装置的结构示意图之二；
55.图7是本技术一个实施例提供的电子设备的结构示意图。
具体实施方式
56.下面将详细描述本技术的各个方面的特征和示例性实施例，为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及具体实施例，对本技术进行进一步详细描述。应理解，此处所描述的具体实施例仅意在解释本技术，而不是限定本技术。对于本领域技术人员来说，本技术可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本技术的示例来提供对本技术更好的理解。
57.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
58.如背景技术所述，现有技术中tls协议是基于x.509证书的校验来确定客户端和服务端身份的。在车联网应用场景中，主机厂和示范区根据业务分工的不同，为满足车云通信业务需求需要建立x.509安全证书管理系统，为满足v2x的安全业务需求需要建立v2x安全证书管理系统。而x.509安全证书管理系统和v2x安全证书管理系统是两个独立的系统，从技术上考虑，x.509证书比v2x短证书大100字节左右，若将x.509证书用在v2x安全通信中，将占用较大资源，造成人力及成本浪费，不能实现车联网的高时效性要求。当在智能交通系统的应用场景中，为了实现在远程控制、空中下载技术(over-the-air technology，ota)等功能的高效使用，需在tls安全连接时具备高效传输及高可靠性，而x.509证书在tls连接中无法实现更快速的连接。
59.为了解决上述问题，本技术实施例提供了一种基于安全传输层协议的通信方法、装置、设备及计算机存储介质，该基于安全传输层协议的通信方法可以通过客户端向服务端发送安全传输层tls协议的连接请求，其中，请求包括握手消息，握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，客户端证书包括v2x短证书，服务端证书包括v2x短证书和x.509证书中的至少一种，这样，客户端通过v2x短证书进行身份认证，服务端可以选择v2x短证书或x.509证书的证书类型进行身份认证。接着，客户端接收服务端基于请求发送的响应消息，响应消息包括v2x短证书和x.509证书中的至少一种服务端证书、服务端使用服务端证书对应的私钥对握手消息进行签名的信息、第一证书申请信息。进而客户端利用服务端证书对应的公钥对签名信息进行验证，并在验证通过的情况下，基于第一证书申请信息向服务端发送v2x短证书，以用于在服务端对v2x短证书的验证通过的情况下，完成tls的通信连接。这样，客户端可以直接用v2x短证书进行tls连接，通过v2x短证书可以实现服务端及客户端的双向tls身份认证，无需建立x.509安全证书管理系统，降低了成本，且由于v2x短证书自身的证书特性，在tls连接中将实现更快速的连接，可以适应高时效性的场景要求。
60.本技术实施例可以应用于客户端和服务端都用v2x短证书的场景，也可以应用于客户端为短证书，服务端为x.509证书的场景，下面首先对本技术实施例所提供的基于安全传输层协议的通信方法进行介绍。
61.图1示出了本技术一个实施例提供的基于安全传输层协议的通信方法的流程示意图。
62.如图1所示，该基于安全传输层协议的通信方法具体可以包括如下步骤：
63.s110，客户端向服务端发送安全传输层tls协议的连接请求，请求可以包括握手消息，握手消息可以包括客户端证书的类型扩展名和服务端证书的类型扩展名，客户端证书包括v2x短证书，服务端证书包括v2x短证书和x.509证书中的至少一种。
64.客户端向服务端发送安全传输层协议(transport layer security，tls)的连接请求，其中，安全传输层协议用于在两个通信应用程序之间提供保密性和数据完整性，客户端可以是车辆终端，服务端例如可以是云端。连接请求可以包括握手消息“client hello”，该握手消息“client hello”可以包括客户端证书的类型“client_certificate_type”扩展名和服务端证书的类型“server_certificate_type”扩展名，其中，“client_certificate_type”为v2x短证书，“server_certificate_type”可以支持v2x短证书及x.509证书中至少一种类型，服务端可以从server_certificate_type中选择第一个(最优的)证书类型。
65.s120，服务端使用服务端证书对应的私钥对握手消息进行签名，得到签名信息。
66.服务端使用服务端证书对应的私钥对握手消息“client hello”进行签名，其中，服务端证书可以是服务端选择的v2x短证书或x.509证书。
67.s130，服务端基于请求向客户端发送响应消息，响应消息可以包括v2x短证书和x.509证书中的至少一种服务端证书、签名信息以及第一证书申请信息。
68.服务端回复响应消息“server hello”至客户端，响应消息可以包括服务端选择的服务端证书、签名信息以及第一证书申请信息“certificate request”，其中，第一证书申请信息用于申请客户端证书。
69.s140，客户端基于响应消息，利用服务端证书对应的公钥对签名信息进行验证。
70.客户端接收到响应消息后，利用服务端证书对应的公钥对签名信息进行验证，校验服务端证书有效性，校验的具体过程可以是：服务端生成服务端证书对应的公钥和私钥，且下载服务端证书及证书链，并存储到指定位置，生成证书配置文件。tls1.3程序在校验证书有效性时，从证书配置文件的目录中读取调用证书文件，进而tls1.3程序基于服务端证书对应的公钥和私钥、服务端证书及证书链校验证书文件。
71.s150，客户端在验证通过的情况下，基于响应消息中的第一证书申请信息，向服务端发送v2x短证书。
72.客户端在验证服务端证书有效的情况下，基于响应消息中的第一证书申请信息“certificate request”，向服务端发送第一证书申请信息的响应消息“certificate response”，“certificate response”中可以包括v2x短证书，即客户端证书。
73.s160，服务端对客户端发送的v2x短证书进行验证，在验证通过的情况下，完成tls的通信连接。
74.服务端验证客户端发送的v2x短证书的具体方式与上述校验服务端证书有效性的方式一致，若验证通过，则完成tls的通信连接。
75.本技术实施例中，通过客户端向服务端发送安全传输层tls协议的连接请求，其中，请求中的握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，客户端证书包括v2x短证书，服务端证书包括v2x短证书和x.509证书中的至少一种，这样，客户端
share消息发送给客户端。
86.示例性地，握手消息“client hello”还可以包括客户端支持的协议版本、会话id、密码套件、以及压缩算法等参数，以用于服务端分别在客户端支持的协议版本、密码套件、以及压缩算法等参数中选择一个参数生成临时公钥，进而发送至客户端，客户端基于临时公钥生成共享密钥。
87.本技术实施例中，通过客户端接收响应消息，响应消息中包括服务端生成的临时公钥，客户端基于该临时公钥生成共享密钥，共享密钥用于加密向服务端传输的消息，可以保证消息安全，提高了信息传输的安全性。
88.在一些实施例中，在向服务端发送安全传输层tls协议的连接请求之前，该基于安全传输层协议的通信方法还可以包括：
89.向预设的授权机构发送第二证书申请信息，第二证书申请信息中包括证书类型和验证请求，验证请求包括公钥，以用于授权机构基于公钥验证第二证书申请信息；
90.接收授权机构在验证通过的情况下发送的证书类型对应的x.509证书。
91.客户端向预设的授权机构发送第二证书申请信息，其中，预设的授权机构可以是证书颁发机构(certificate authority，ca)。第二证书申请信息可以是证书申请请求，第二证书申请信息可以包括申请的证书类型和验证请求，还可以包括证件类型、证件号码等信息，其中，验证请求可以包括p10请求，ca机构接收该第二证书申请信息后，可以基于p10请求中的公钥对第二证书申请信息进行校验。预设的授权机构在验证通过的情况下向客户端发送证书类型对应的x.509证书。
92.作为一个示例，如图3所示，客户端生成证书申请请求并发送到x.509安全证书管理系统中的ca机构，证书申请请求文件中包含证书类型、证件类型、证件号码及p10请求。ca机构证书接收该证书申请请求，基于p10请求校验证书申请请求的有效性，在验证有效性通过后，ca机构返回证书文件至客户端，证书文件中包含x.509证书及根证书文件。
93.本技术实施例中，通过向预设的授权机构发送第二证书申请信息，第二证书申请信息中包括证书类型和验证请求，验证请求包括公钥，以用于授权机构基于公钥验证第二证书申请信息，接着，接收授权机构在验证通过的情况下发送的证书类型对应的x.509证书，可以保证申请x.509证书的安全性。
94.在一些实施例中，在向服务端发送安全传输层tls协议的连接请求之前，该基于安全传输层协议的通信方法还可以包括：
95.向预设的v2x安全证书管理系统发送应用证书申请请求，应用证书申请请求包括身份证书私钥签名，以用于v2x安全证书管理系统基于身份证书公钥校验应用证书申请请求，在校验通过后生成应用证书申请响应信息；
96.基于v2x安全证书管理系统发送的应用证书申请响应消息，向v2x安全证书管理系统发送应用证书下载申请；
97.接收v2x安全证书管理系统发送的应用证书下载申请响应消息，应用证书下载申请响应消息包括v2x安全证书管理系统基于应用证书下载申请下载的应用证书。
98.v2x短证书为ac应用证书，应用证书申请请求可以是用于申请评量中心(assessment center，ac)认证的应用证书的请求，可以包括身份证书私钥签名。v2x安全证书管理系统接收到应用证书申请请求后，基于身份证书公钥校验应用证书申请请求的合法
性，并在校验通过后生成应用证书申请响应信息，这里的校验应用证书申请请求可以基于证书链验证。客户端接收到应用证书申请响应信息后向v2x安全证书管理系统发送应用证书下载申请，申请下载应用证书。应用证书申请响应信息还可以包括应用证书的下载时间信息。另外，可以使用终端的假名证书代替应用证书进行tls安全连接。
99.作为一个示例，如图4所示，客户端生成应用证书申请请求并用身份证书私钥签名，将应用证书申请请求发送到v2x安全证书管理系统。v2x安全证书管理系统校验应用证书申请请求的合法性，校验通过后将生成应用证书申请响应，并将应用证书申请响应返回到客户端，应用证书申请响应中包含所申请证书的下载时间信息。接着，客户端接收到应用证书申请响应后生成应用证书下载请求，并用身份证书签名，进而将应用证书下载请求发送到v2x安全证书管理系统。v2x安全证书管理系统将应用证书下载响应信息(应用证书的压缩包文件)返回到客户端。此外，服务端申请ac应用证书的方式与客户端申请ac应用证书的方式一致。
100.本技术实施例中，通过向预设的v2x安全证书管理系统发送应用证书申请请求，应用证书申请请求包括身份证书私钥签名，以用于v2x安全证书管理系统基于身份证书公钥校验应用证书申请请求，在校验通过后生成应用证书申请响应信息，并基于v2x安全证书管理系统发送的应用证书申请响应消息，向v2x安全证书管理系统发送应用证书下载申请。接着，接收v2x安全证书管理系统发送的应用证书下载申请响应消息，应用证书下载申请响应消息包括v2x安全证书管理系统基于应用证书下载申请下载的应用证书，这样，可以保证申请应用证书v2x短证书的安全性。
101.基于此，本技术另一个实施例提供了基于安全传输层协议的通信方法，应用于服务端，具体可以包括如下步骤：
102.接收客户端发送的安全传输层tls协议的连接请求，请求包括握手消息，握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，客户端证书包括v2x短证书，服务端证书包括v2x短证书和x.509证书中的至少一种；
103.基于请求向客户端发送响应消息，响应消息包括v2x短证书和x.509证书中的至少一种服务端证书、签名信息以及第一证书申请信息，签名信息为服务端使用服务端证书对应的私钥对握手消息进行签名得到，以用于客户端基于响应消息，利用服务端证书对应的公钥对签名信息进行验证，并在验证通过的情况下，基于响应消息中的第一证书申请信息，向服务端发送v2x短证书；
104.对客户端发送的v2x短证书进行验证，并在验证通过的情况下，完成tls的通信连接。
105.本技术实施例中，通过服务端接收客户端发送的安全传输层tls协议的连接请求，请求包括握手消息，握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，客户端证书包括v2x短证书，服务端证书包括v2x短证书和x.509证书中的至少一种，这样，服务端可以选择v2x短证书或x.509证书的证书类型进行身份认证。接着，服务端基于请求向客户端发送响应消息，响应消息包括v2x短证书和x.509证书中的至少一种服务端证书、签名信息以及第一证书申请信息，签名信息为服务端使用服务端证书对应的私钥对握手消息进行签名得到，以用于客户端基于响应消息，利用服务端证书对应的公钥对签名信息进行验证，并在验证通过的情况下，基于响应消息中的第一证书申请信息，向服务端发送v2x
短证书。进而对客户端发送的v2x短证书进行验证，并在验证通过的情况下，完成tls的通信连接。这样，客户端可以直接用v2x短证书进行tls连接，通过v2x短证书可以实现服务端及客户端的双向tls身份认证，无需建立x.509安全证书管理系统，降低了成本，且由于v2x短证书自身的证书特性，在tls连接中将实现更快速的连接，可以适应高时效性的场景要求。
106.在一些实施例中，握手消息可以包括预共享密钥的信息；该基于安全传输层协议的通信方法还可以包括：
107.根据预共享密钥和临时公钥生成共享密钥。
108.握手消息“client hello”可以包括扩展消息(密钥共享、预共享密钥、预共享密钥模式)，服务端基于扩展消息中的预共享密钥和临时公钥生成共享密钥，该共享密钥用于加密向客户端传输的消息。
109.作为一个示例，服务端接收的客户端发送的握手消息可以包括客户端支持的协议版本、会话id、密码套件、压缩算法以及预共享密钥的信息，服务端分别选择客户端支持的协议版本、密码套件、压缩算法的参数中的一个参数，并基于选择的参数生成临时公钥，并基于临时公钥和预共享密钥计算出用于加密超文本传输协议(hyper text transfer protocol，http)消息的共享密钥，用来加密向客户端传输的消息。
110.本技术实施例中，通过根据临时公钥和握手消息中的预共享密钥生成共享密钥，这样，客户端与服务端可以双方使用生成的共享密钥对消息加密传输，保证消息传输的安全性。
111.图5是根据一示例性实施例示出的一种基于安全传输层协议的通信装置500的结构示意图，该基于安全传输层协议的通信装置500应用于客户端。
112.如图5所示，该基于安全传输层协议的通信装置500可以包括：
113.发送模块501，用于向服务端发送安全传输层tls协议的连接请求，请求包括握手消息，握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，客户端证书包括v2x短证书，服务端证书包括v2x短证书和x.509证书中的至少一种；
114.接收模块502，用于接收服务端基于请求发送的响应消息，响应消息包括v2x短证书和x.509证书中的至少一种服务端证书、签名信息和第一证书申请信息，签名信息为服务端使用服务端证书对应的私钥对握手消息进行签名得到；
115.验证模块503，用于基于响应消息，利用服务端证书对应的公钥对签名信息进行验证；
116.发送模块501，还用于在验证通过的情况下，基于响应消息中的第一证书申请信息，向服务端发送v2x短证书，以用于在服务端对v2x短证书的验证通过的情况下，完成tls的通信连接。
117.在一种实施方式中，响应消息可以包括服务端生成的临时公钥；该基于安全传输层协议的通信装置500还可以包括生成模块；
118.生成模块，用于基于临时公钥生成共享密钥，共享密钥用于加密向服务端传输的消息。
119.在一种实施方式中，发送模块501，还用于在向服务端发送安全传输层tls协议的连接请求之前，向预设的授权机构发送第二证书申请信息，第二证书申请信息中包括证书类型和验证请求，验证请求包括公钥，以用于授权机构基于公钥验证第二证书申请信息；
120.接收模块502，还用于接收授权机构在验证通过的情况下发送的证书类型对应的x.509证书。
121.在一种实施方式中，发送模块501，还用于在向服务端发送安全传输层tls协议的连接请求之前，向预设的v2x安全证书管理系统发送应用证书申请请求，应用证书申请请求包括身份证书私钥签名，以用于v2x安全证书管理系统基于身份证书公钥校验应用证书申请请求，在校验通过后生成应用证书申请响应信息；
122.发送模块501，还用于基于v2x安全证书管理系统发送的应用证书申请响应消息，向v2x安全证书管理系统发送应用证书下载申请；
123.接收模块502，还用于接收v2x安全证书管理系统发送的应用证书下载申请响应消息，应用证书下载申请响应消息包括v2x安全证书管理系统基于应用证书下载申请下载的应用证书。
124.图6是根据一示例性实施例示出的一种基于安全传输层协议的通信装置600的结构示意图，该基于安全传输层协议的通信装置500应用于服务端。
125.如图6所示，该基于安全传输层协议的通信装置600可以包括：
126.接收模块601，用于接收客户端发送的安全传输层tls协议的连接请求，请求包括握手消息，握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，客户端证书包括v2x短证书，服务端证书包括v2x短证书和x.509证书中的至少一种；
127.发送模块602，用于基于请求向客户端发送响应消息，响应消息包括v2x短证书和x.509证书中的至少一种服务端证书、签名信息以及第一证书申请信息，签名信息为服务端使用服务端证书对应的私钥对握手消息进行签名得到，以用于客户端基于响应消息，利用服务端证书对应的公钥对签名信息进行验证，并在验证通过的情况下，基于响应消息中的第一证书申请信息，向服务端发送v2x短证书；
128.验证模块603，还用于对客户端发送的v2x短证书进行验证，并在验证通过的情况下，完成tls的通信连接。
129.在一种实施方式中，握手消息可以包括预共享密钥的信息；该基于安全传输层协议的通信装置600还可以包括生成模块；
130.生成模块，用于根据预共享密钥和临时公钥生成共享密钥，共享密钥用于加密向客户端传输的消息。
131.由此，通过客户端向服务端发送安全传输层tls协议的连接请求，其中，请求中的握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名，客户端证书包括v2x短证书，服务端证书包括v2x短证书和x.509证书中的至少一种，这样，客户端通过v2x短证书进行身份认证，服务端可以选择v2x短证书或x.509证书的证书类型进行身份认证。接着，客户端接收服务端基于请求发送的响应消息，响应消息包括v2x短证书和x.509证书中的至少一种服务端证书、服务端使用服务端证书对应的私钥对握手消息进行签名的信息、第一证书申请信息。进而客户端利用服务端证书对应的公钥对签名信息进行验证，并在验证通过的情况下，基于第一证书申请信息向服务端发送v2x短证书，以用于在服务端对v2x短证书的验证通过的情况下，完成tls的通信连接。这样，客户端可以直接用v2x短证书进行tls连接，通过v2x短证书可以实现服务端及客户端的双向tls身份认证，无需建立x.509安全证书管理系统，降低了成本，且由于v2x短证书自身的证书特性，在tls连接中将实现更快速的
连接，可以适应高时效性的场景要求。
132.图7示出了本技术实施例提供的电子的硬件结构示意图。
133.在电子设备可以包括处理器701以及存储有计算机程序指令的存储器702。
134.具体地，上述处理器701可以包括中央处理器(cpu)，或者特定集成电路(application specific integrated circuit，asic)，或者可以被配置成实施本技术实施例的一个或多个集成电路。
135.存储器702可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器702可包括硬盘驱动器(hard disk drive，hdd)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(universal serial bus，usb)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器702可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器702可在综合网关容灾设备的内部或外部。在特定实施例中，存储器702是非易失性固态存储器。
136.存储器可包括只读存储器(rom)，随机存取存储器(ram)，磁盘存储介质设备，光存储介质设备，闪存设备，电气、光学或其他物理/有形的存储器存储设备。因此，通常，存储器包括一个或多个编码有包括计算机可执行指令的软件的有形(非暂态)计算机可读存储介质(例如，存储器设备)，并且当该软件被执行(例如，由一个或多个处理器)时，其可操作来执行参考根据本公开的一方面的方法所描述的操作。
137.处理器701通过读取并执行存储器702中存储的计算机程序指令，以实现上述实施例中的任意一种基于安全传输层协议的通信方法。
138.在一个示例中，电子设备还可包括通信接口703和总线710。其中，如图7所示，处理器701、存储器702、通信接口703通过总线710连接并完成相互间的通信。
139.通信接口703，主要用于实现本技术实施例中各模块、装置、单元和/或设备之间的通信。
140.总线710包括硬件、软件或两者，将基于安全传输层协议的通信设备的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(agp)或其他图形总线、增强工业标准架构(eisa)总线、前端总线(fsb)、超传输(ht)互连、工业标准架构(isa)总线、无限带宽互连、低引脚数(lpc)总线、存储器总线、微信道架构(mca)总线、外围组件互连(pci)总线、pci-express(pci-x)总线、串行高级技术附件(sata)总线、视频电子标准协会局部(vlb)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线710可包括一个或多个总线。尽管本技术实施例描述和示出了特定的总线，但本技术考虑任何合适的总线或互连。
141.该电子设备可以基于向服务端发送安全传输层tls协议的连接请求，请求包括握手消息，握手消息包括客户端证书的类型扩展名和服务端证书的类型扩展名执行本技术实施例中的基于安全传输层协议的通信方法，从而实现结合图1描述的基于安全传输层协议的通信方法。
142.另外，结合上述实施例中的基于安全传输层协议的通信方法，本技术实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种基于安全传输层协议的通信方法。
143.需要明确的是，本技术并不局限于上文所描述并在图中示出的特定配置和处理。
为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本技术的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本技术的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。
144.以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(asic)、适当的固件、插件、功能卡等等。当以软件方式实现时，本技术的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、rom、闪存、可擦除rom(erom)、软盘、cd-rom、光盘、硬盘、光纤介质、射频(rf)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
145.还需要说明的是，本技术中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本技术不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。
146.上面参考根据本公开的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各方面。应当理解，流程图和/或框图中的每个方框以及流程图和/或框图中各方框的组合可以由计算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算机、或其它可编程数据处理装置的处理器，以产生一种机器，使得经由计算机或其它可编程数据处理装置的处理器执行的这些指令使能对流程图和/或框图的一个或多个方框中指定的功能/动作的实现。这种处理器可以是但不限于是通用处理器、专用处理器、特殊应用处理器或者现场可编程逻辑电路。还可理解，框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合，也可以由执行指定的功能或动作的专用硬件来实现，或可由专用硬件和计算机指令的组合来实现。
147.以上所述，仅为本技术的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本技术的保护范围之内。