本申请要求在 2013年 2月 6 日提交中国专利局、 申请号为 201310048259.9、 发明 名称为"一种消息证书的申请方法、 设备及系统"的中国专利申请的优先权， 其全部内容通 过引用结合在本申请中。 技术领域

本发明涉及无线通信领域， 特别涉及一种消息证书的申请方法、 设备及系统。

背景技术

美国及欧洲对智能交通领域中的车联网技术都 已进行了多年的研究。 车联网技术主要 的应用目的是减少交通事故的发生。在车联网 系统中，车辆上的车载设备（ On-Board Unit, 0BU )监控车辆的位置及行驶信息， 并向周围车辆广播这些信息， 同时该车辆上的 0BU 还接收其他车辆的 0BU发送的信息；该车辆上的 0BU将分析本车辆及其他车辆的行驶信 息， 并将可能的交通威胁及时通知给驾驶员。

在道路上行驶的车辆按其功能可以分为多种， 例如， 消防车、 救护车、 警车、 校车、 公交车辆和普通私家车等。 这些车辆在道路上的通行优先级一般是不同， 例如， 消防车或 救护车的通行优先级要高于普通私家车。 然而， 这些拥有较高通行优先权的车辆只能在执 行公务时， 才能使用其优先通行的权利。 为避免权利滥用， 一种可行的技术方案是： 尽可 能精确地控制各个车辆对特殊通行优先权的使 用， 即只在车辆需要行使其优先通行权利的 时间段内为其提供所需的权利。

在车联网系统中， 车辆用于签发其所播放消息的证书称为消息证 书。 车辆所拥有的各 项权利通常保存在消息证书中， 例如， IEEE 1609.2中定义的车联网专用证书。 消息证书一 般随签发的消息一起发送给接收者（如 OBU ), 以便消息接收者能够验证收到的消息。 消 息证书包含用于验证消息签名的公钥和发送者 的权利描述。 接收者收到消息后首先验证消 息证书的有效性， 然后利用收到的消息证书验证消息的有效性。 接收者还可以通过分析消 息证书中的权利描述， 确定该发送消息的车辆是否是具有优先通行权 利的车辆， 若是， 则 接收方可以通过显示屏向驾驶者提供相应信息 ， 以便驾驶者釆取相应的避让措施。

在车联网系统中， 所有车辆都拥有普通消息证书， 该普通消息证书所描述的通行优先 权最低。 除了普通消息证书， 那些拥有较高通行优先权的特种车辆还拥有描 述其较高通行 优先权的特种消息证书。 在这种情况下， 该特种车辆所拥有的权利是其所有消息证书所 描 述的权利的总和。 为限制特种车辆对其特殊通行权的滥用， 可以通过精确颁发特种消息证 书的有效时间来到达控制其对特殊权利的使用 。 例如， 对于公共交通车辆来说， 规定其只 能在工作日上下班高峰时段使用其高优先权的 消息证书。 若要精确控制公交车辆对其高通 行优先权的使用， 就需要在每个工作日为公交车颁发两张分别描 述其在两个时间段内高通 行优先权的特种消息证书。 特种消息证书按其生命周期可分为长寿命周期 证书和短寿命消 息证书， 短寿命消息证书又称为临时消息证书。 临时消息证书通常颁发给公交车辆、 校车 等只在某些时段需要较高通行优先权的车辆。

车联网技术目前还处于研究和相关标准的制定 阶段， 许多议题尚未得到关注。 至目前 为止， 相关的技术标准均未涉及到如何申请临时消息 证书的技术方案， 也未发现有相关的 研究工作讨论此议题。 发明内容

本发明实施例提供了一种消息证书的申请方法 、 设备及系统。 用于解决现有技术中未 有涉及到如何申请临时消息证书的技术方案的 问题。

第一方面， 本发明实施例提供了一种消息证书的申请方法 ， 包括：

CMC在确定需要为自身管理的车辆申请消息证书 后， 向所述车辆的车载设备 OBU发 送指示信息， 所述指示信息用于指示所述 OBU生成相应的消息证书申请请求；

所述 CMC在接收到所述 OBU发送的反馈信息后，将所述反馈信息中携带 的所述 OBU 生成的消息证书申请请求发送给认证中心 CA;

所述 CMC接收所述 CA发送的消息证书， 并存储所述消息证书， 所述消息证书是所 述 CA根据所述 OBU的消息证书申请请求生成的。

本发明实施例的 CMC在确定需要为自身管理的车辆申请消息证书 时， 向车辆的 OBU 发送指示信息， 以指示 OBU生成相应的消息证书申请请求； 在接收到 OBU发送的反馈信 息后， 将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息 证书， 并存储该消息证书， 从而实现了消息证书的申请及管理过程。

结合第一方面， 在第一种可能的实现方式中， 所述指示信息中携带待申请消息证书的 有效期信息以及如下信息中的至少一个信息：

消息类型标识， 用于标识所述指示信息的消息类型；

密钥对标识， 用于标识指示所述 OBU生成的密钥对；

所述待申请消息证书的权利描述； 所述 OBU对应的 OBU认证证书标识； 以及

所述 CMC对应的 CMC认证证书。

结合第一方面， 在第二种可能的实现方式中， 所述反馈信息还携带如下信息中的至少 一个信息：

消息类型标识， 用于标识所述反馈信息的消息类型；

密钥对标识， 用于标识所述 OBU生成的密钥对； 以及

所述 CMC对应的 CMC认证证书标识。

结合第一方面， 在第三种可能的实现方式中， 所述消息证书申请请求中携带待申请消 息证书的有效期信息以及如下信息中的至少一 个信息：

所述 OBU生成的公钥；

所述待申请消息证书的权利描述； 以及

所述 OBU对应的 OBU认证证书。

结合第一方面或第一方面的上述任意一种可能 的实现方式， 在第四种可能的实现方式 中， 所述 CMC向所述 OBU发送指示信息， 具体包括：

所述 CMC釆用自身的 CMC认证证书对所述指示信息进行数据签名处理 ，并将处理后 的指示信息发送给所述 OBU。

结合第一方面， 在第五种可能的实现方式中， 所述 CMC将所述反馈信息中携带的所 述 OBU生成的消息证书申请请求发送给 CA, 具体包括：

所述 CMC对所述反馈信息进行验证 , 并在验证通过后 , 将所述反馈信息中携带的消 息证书申请请求发送给所述 CA。

结合第一方面的第五种可能的实现方式， 在第六种可能的实现方式中， 所述 CMC按 照以下步骤对所述反馈信息进行验证：

所述 CMC根据所述反馈信息中携带的 CMC认证证书标识，确定自身为所述反馈信息 的接收方；

所述 CMC根据自身保存的根证书，确定所述消息证书 申请请求中携带的 OBU认证证 书有效；

所述 CMC根据所述消息证书申请请求中携带的 OBU认证证书，验证所述反馈信息有 效。

结合第一方面的第六种可能的实现方式， 在第七种可能的实现方式中， 所述 CMC对 所述反馈信息进行验证， 还包括：

所述 CMC根据所述反馈信息中携带的密钥对标识，确 定本地保存的与所述 OBU的待 申请消息证书相关的信息；

所述 CMC确定所述反馈信息中携带待申请消息证书的 有效期信息以及待申请消息证 书的权利描述， 与本地保存的所述 OBU相应的待申请消息证书的有效期信息以及待 申请 消息证书的权利描述一致。

结合第一方面， 在第八种可能的实现方式中， 所述 CMC在接收到所述 CA发送的消 息证书之后， 还包括：

所述 CMC将所述消息证书发送给所述 OBU。

结合第一方面的第八种可能的实现方式， 在第九种可能的实现方式中， 所述 CMC向 所述 OBU发送所述指示信息， 具体包括：

所述 CMC通过路测设备 RSU将所述指示信息发送给所述 OBU; 或者， 所述 CMC通 过第四代移动通信 4G、第三代移动通信 3G、通用分组无线服务 GPRS或无线局域网 WLAN, 将所述指示信息发送给所述 OBU;

所述 CMC将所述消息证书发送给所述 OBU, 具体包括：

所述 CMC通过所述 RSU将所述消息证书发送给所述 OBU; 或者， 所述 CMC通过 4G、 3G、 GPRS或 WLAN, 将所述消息证书发送给所述 OBU;

其中， 所述 RSU分别与所述 CMC及所述 OBU建立连接。 第二方面、 本发明实施例提供的另一种申请消息证书的方 法， 包括：

OBU根据接收到的来自 CMC发送的指示信息， 生成相应的消息证书申请请求； 所述 OBU向所述 CMC发送反馈信息，所述反馈信息中携带有所述 消息证书申请请求。 本发明实施例的 CMC在确定需要为自身管理的车辆申请消息证书 时， 向车辆的 OBU 发送指示信息， 以指示 OBU生成相应的消息证书申请请求； 在接收到 OBU发送的反馈信 息后， 将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息 证书， 并存储该消息证书， 从而实现了消息证书的申请及管理过程。

结合第二方面，在第一种可能的实现方式中， 所述 OBU在接收到 CMC发送的指示信 息后， 且所述 OBU生成相应的消息证书申请请求之前， 还包括：

所述 OBU根据所述指示信息， 生成所述待申请消息证书对应的密钥对， 所述密钥对 包含公钥及私钥。

结合第二方面的第一种可能的实现方式， 在第二种可能的实现方式中， 所述 OBU根 据所述指示信息， 生成所述待申请消息证书对应的密钥对， 具体包括：

所述 OBU对接收到的指示信息进行验证， 并在验证通过后， 根据所述指示信息生成 所述待申请消息证书对应的密钥对。

结合第二方面的第二种可能的实现方式， 在第三种可能的实现方式中， 所述 OBU按 照以下步骤对接收到的指示信息进行验证：

所述 OBU根据所述指示信息携带的 OBU认证证书标识，确定自身为所述指示信息的 接收方；

所述 OBU根据自身保存的根证书， 确定所述指示信息中携带的 CMC认证证书有效； 所述 OBU根据所述指示信息中携带的 CMC认证证书， 验证所述指示信息有效。 结合第二方面或第二方面的上述任意一种可能 的实现方式， 在第四种可能的实现方式 中， 所述指示信息中携带待申请消息证书的有效期 信息以及如下信息中的至少一个信息： 类型标识， 用于标识所述指示信息的类型；

密钥对标识， 用于标识指示所述 OBU生成的密钥对；

所述待申请消息证书的权利描述；

所述 OBU对应的 OBU认证证书标识； 以及

所述 CMC对应的 CMC认证证书。

结合第二方面或第二方面的上述任意一种可能 的实现方式， 在第五种可能的实现方式 中， 所述反馈信息还携带如下信息中的至少一个信 息：

类型标识， 用于标识所述反馈信息的类型；

密钥对标识， 用于标识所述 OBU生成的密钥对； 以及

所述 CMC对应的 CMC认证证书标识。

结合第二方面或第二方面的上述任意一种可能 的实现方式， 在第六种可能的实现方式 中， 所述消息证书申请请求中携带待申请消息证书 的有效期信息以及如下信息中的至少一 个信息：

所述 OBU生成的公钥；

所述待申请消息证书的权利描述； 以及

所述 OBU对应的 OBU认证证书。

结合第二方面或第二方面的上述任意一种可能 的实现方式， 在第七种可能的实现方式 中， 所述 OBU生成相应的消息证书申请请求， 具体包括：

所述 OBU釆用自身的 OBU认证证书对自身生成的消息证书申请请求进 行数字签名处 理， 并将处理后的消息证书申请请求携带在所述反 馈信息中；

所述 OBU向所述 CMC发送反馈信息， 具体包括：

所述 OBU釆用自身的 OBU认证证书对生成的反馈信息进行数字签名处 理，并将处理 后的反馈信息发送给所述 CMC。

结合第二方面， 在第八种可能的实现方式中， 所述 OBU向所述 OBU发送所述反馈信 息， 具体包括：

所述 OBU通过所述 RSU将所述反馈信息发送给所述 CMC; 或者，

所述 OBU通过 4G、 3G、 GPRS或 WL AN, 将所述反馈信息发送给所述 CMC;

其中， 所述 RSU分别与所述 CMC及所述 OBU建立连接。

结合第二方面， 在第九种可能的实现方式中， 所述方法还包括：

所述 OBU接收所述 CMC发送的消息证书， 并存储所述消息证书， 所述消息证书是所 述 CA根据所述消息证书申请请求生成的。 第三方面、 本发明实施例提供的一种证书管理中心 CMC, 包括：

第一处理模块， 用于在确定需要为自身管理的车辆申请消息证 书后， 向所述车辆的车 载设备 OBU发送指示信息，所述指示信息用于指示所述 OBU生成相应的消息证书申请请 求；

第二处理模块， 用于在接收到所述 OBU发送的反馈信息后， 将所述反馈信息中携带 的所述 OBU生成的消息证书申请请求发送给认证中心 CA;

第三处理模块， 用于接收所述 CA发送的消息证书， 并存储所述消息证书， 所述消息 证书是所述 CA根据所述 OBU的消息证书申请请求生成的。

本发明实施例的 CMC在确定需要为自身管理的车辆申请消息证书 时， 向车辆的 OBU 发送指示信息， 以指示 OBU生成相应的消息证书申请请求； 在接收到 OBU发送的反馈信 息后， 将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息 证书， 并存储该消息证书， 从而实现了消息证书的申请及管理过程。

结合第三方面， 在第一种可能的实现方式中， 所述第一处理模块还用于：

釆用自身的 CMC认证证书对所述指示信息进行数据签名处理 ， 并将处理后的指示信 息发送给所述 OBU。

结合第三方面， 在第二种可能的实现方式中， 所述第二处理模块具体用于： 对所述反馈信息进行验证， 并在验证通过后， 将所述反馈信息中携带的消息证书申请 请求发送给所述 CA。

结合第三方面， 在第三种可能的实现方式中， 所述第二处理模块按照以下步骤对所述 反馈信息进行验证：

根据所述反馈信息中携带的 CMC认证证书标识，确定自身为所述反馈信息的 接收方； 根据自身保存的根证书， 确定所述消息证书申请请求中携带的 OBU认证证书有效； 以及 根据所述消息证书申请请求中携带的 OBU认证证书， 验证所述反馈信息有效。

结合第三方面的第三种可能的实现方式， 在第四种可能的实现方式中， 所述第二处理 模块还用于：

根据所述反馈信息中携带的密钥对标识， 确定本地保存的与所述 OBU的待申请消息 证书相关的信息； 以及

确定所述反馈信息中携带待申请消息证书的有 效期信息以及待申请消息证书的权利 描述， 与本地保存的所述 OBU相应的待申请消息证书的有效期信息以及待 申请消息证书 的权利描述一致。

结合第三方面， 在第五种可能的实现方式中， 所述第三处理模块还用于：

将所述消息证书发送给所述 OBU。

结合第五方面， 在第六种可能的实现方式中， 所述第一处理模块具体用于： 通过 RSU 将所述指示信息发送给所述 OBU; 或者， 通过 4G、 3G、 GPRS或 WLAN, 将所述指示信 息发送给所述 OBU;

所述第三处理模块具体用于： 通过所述 RSU将所述消息证书发送给所述 OBU; 或者， 通过 4G、 3G、 GPRS或 WLAN, 将所述消息证书发送给所述 OBU;

其中， 所述 RSU分别与所述 CMC及所述 OBU建立连接。 第四方面、 本发明实施例提供的一种车载设备 OBU , 包括：

申请请求生成模块， 用于根据接收到的来自 CMC发送的指示信息， 生成相应的消息 证书申请请求；

发送模块， 用于向所述 CMC发送反馈信息， 所述反馈信息中携带有所述消息证书申 请请求。

本发明实施例的 CMC在确定需要为自身管理的车辆申请消息证书 时， 向车辆的 OBU 发送指示信息， 以指示 OBU生成相应的消息证书申请请求； 在接收到 OBU发送的反馈信 息后， 将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息 证书， 并存储该消息证书， 从而实现了消息证书的申请及管理过程。

结合第四方面， 在第一种可能的实现方式中， 所述申请请求生成模块具体用于： 根据所述指示信息， 生成所述待申请消息证书对应的密钥对， 所述密钥对包含公钥及 私钥。

结合第四方面的第一种可能的实现方式， 在第二种可能的实现方式中， 所述申请请求 生成模块具体用于：

对接收到的指示信息进行验证， 并在验证通过后 , 根据所述指示信息生成所述待申请 消息证书对应的密钥对。

结合第四方面的第二种可能的实现方式， 在第三种可能的实现方式中， 所述申请请求 生成模块按照以下步骤对接收到的指示信息进 行验证：

根据所述指示信息携带的 OBU认证证书标识， 确定自身为所述指示信息的接收方； 根据自身保存的根证书， 确定所述指示信息中携带的 CMC认证证书有效； 以及根据所述 指示信息中携带的 CMC认证证书， 验证所述指示信息有效。

结合第四方面的上述任意一种可能的实现方式 ， 在第四种可能的实现方式中， 特征在 于，

所述申请请求生成模块还用于： 釆用自身的 OBU认证证书对生成的消息证书申请请 求进行数字签名处理， 并将处理后的消息证书申请请求携带在所述反 馈信息中；

所述发送模块还用于： 釆用自身的 OBU认证证书对生成的反馈信息进行数字签名处 理， 并将处理后的反馈信息发送给所述 CMC。

结合第四方面， 在第五种可能的实现方式中， 所述发送模块具体用于：

通过所述 RSU将所述反馈信息发送给所述 CMC; 或者，

通过 4G、 3G、 GPRS或 WLAN, 将所述反馈信息发送给所述 CMC;

其中， 所述 RSU分别与所述 CMC及所述 OBU建立连接。

结合第四方面， 在第六种可能的实现方式中， 该 OBU还包括：

存储模块， 用于接收所述 CMC发送的消息证书， 并存储所述消息证书， 所述消息证 书是所述 CA根据所述消息证书申请请求生成的。 第五方面、 本发明实施例提供的一种证书管理中心 CMC, 包括：

处理器， 用于在确定需要为自身管理的车辆申请消息证 书后， 向所述车辆的车载设备 OBU发送指示信息， 所述指示信息用于指示所述 OBU生成相应的消息证书申请请求， 在 接收到所述 OBU发送的反馈信息后，将所述反馈信息中携带 的所述 OBU生成的消息证书 申请请求发送给认证中心 CA, 以及接收所述 CA发送的消息证书， 并存储所述消息证书， 所述消息证书是所述 CA根据所述 OBU的消息证书申请请求生成的。

本发明实施例的 CMC在确定需要为自身管理的车辆申请消息证书 时， 向车辆的 OBU 发送指示信息， 以指示 OBU生成相应的消息证书申请请求； 在接收到 OBU发送的反馈信 息后， 将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息 证书， 并存储该消息证书， 从而实现了消息证书的申请及管理过程。

结合第五方面， 在第一种可能的实现方式中， 所述处理器还用于：

釆用自身的 CMC认证证书对所述指示信息进行数据签名处理 ， 并将处理后的指示信 息发送给所述 OBU。

结合第五方面， 在第二种可能的实现方式中， 所述处理器具体用于：

对所述反馈信息进行验证， 并在验证通过后， 将所述反馈信息中携带的消息证书申请 请求发送给所述 CA。

结合第五方面， 在第三种可能的实现方式中， 所述处理器按照以下步骤对所述反馈信 息进行验证：

根据所述反馈信息中携带的 CMC认证证书标识，确定自身为所述反馈信息的 接收方； 根据自身保存的根证书， 确定所述消息证书申请请求中携带的 OBU认证证书有效； 以及 根据所述消息证书申请请求中携带的 OBU认证证书， 验证所述反馈信息有效。

结合第五方面的第三种可能的实现方式， 在第四种可能的实现方式中， 所述处理器还 用于：

据所述反馈信息中携带的密钥对标识， 确定本地保存的与所述 OBU的待申请消息 证书相关的信息； 以及

确定所述反馈信息中携带待申请消息证书的有 效期信息以及待申请消息证书的权利 描述， 与本地保存的所述 OBU相应的待申请消息证书的有效期信息以及待 申请消息证书 的权利描述一致。

结合第五方面， 在第五种可能的实现方式中， 所述处理器还用于：

将所述消息证书发送给所述 OBU。

结合第五方面， 在第六种可能的实现方式中， 所述处理器具体用于： 通过 RSU将所述 指示信息发送给所述 OBU; 或者， 通过 4G、 3G、 GPRS或 WLAN, 将所述指示信息发送 给所述 OBU;

所述处理器具体用于： 通过所述 RSU将所述消息证书发送给所述 OBU; 或者， 通过

4G、 3G、 GPRS或 WLAN, 将所述消息证书发送给所述 OBU;

其中， 所述 RSU分别与所述 CMC及所述 OBU建立连接。 第六方面、 本发明实施例提供的一种车载设备 OBU , 包括：

处理器， 用于根据接收到的来自 CMC发送的指示信息， 生成相应的消息证书申请请 发送端口， 用于向所述 CMC发送反馈信息， 所述反馈信息中携带有所述消息证书申 请请求。

本发明实施例的 CMC在确定需要为自身管理的车辆申请消息证书 时， 向车辆的 OBU 发送指示信息， 以指示 OBU生成相应的消息证书申请请求； 在接收到 OBU发送的反馈信 息后， 将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息 证书， 并存储该消息证书， 从而实现了消息证书的申请及管理过程。

结合第六方面， 在第一种可能的实现方式中， 所述处理器具体用于：

根据所述指示信息， 生成所述待申请消息证书对应的密钥对， 所述密钥对包含公钥及 私钥。

结合第六方面的第一种可能的实现方式， 在第二种可能的实现方式中， 所述处理器具 体用于：

对接收到的指示信息进行验证， 并在验证通过后 , 根据所述指示信息生成所述待申请 消息证书对应的密钥对。

结合第六方面的第二种可能的实现方式， 在第三种可能的实现方式中， 所述处理器按 照以下步骤对接收到的指示信息进行验证：

根据所述指示信息携带的 OBU认证证书标识， 确定自身为所述指示信息的接收方； 根据自身保存的根证书， 确定所述指示信息中携带的 CMC认证证书有效； 以及根据所述 指示信息中携带的 CMC认证证书， 验证所述指示信息有效。

结合第六方面的上述任意一种可能的实现方式 ， 在第四种可能的实现方式中， 特征在 于，

所述处理器还用于： 釆用自身的 OBU认证证书对生成的消息证书申请请求进行数 字 签名处理， 并将处理后的消息证书申请请求携带在所述反 馈信息中；

所述发送端口还用于： 釆用自身的 OBU认证证书对生成的反馈信息进行数字签名处 理， 并将处理后的反馈信息发送给所述 CMC。

结合第六方面， 在第五种可能的实现方式中， 所述发送端口具体用于：

通过所述 RSU将所述反馈信息发送给所述 CMC; 或者，

通过 4G、 3G、 GPRS或 WLAN, 将所述反馈信息发送给所述 CMC;

其中， 所述 RSU分别与所述 CMC及所述 OBU建立连接。

结合第六方面， 在第六种可能的实现方式中， 该 OBU还包括：

存储器， 用于接收所述 CMC发送的消息证书， 并存储所述消息证书， 所述消息证书 是所述 CA根据所述消息证书申请请求生成的。 第七方面、 本发明实施例提供的一种消息证书的申请系统 ， 包括：

CMC , 用于在确定需要为自身管理的车辆申请消息证 书后， 向所述车辆的车载设备 OBU发送指示信息， 所述指示信息用于指示所述 OBU生成相应的消息证书申请请求； 在 接收到所述 OBU发送的反馈信息后，将所述反馈信息中携带 的所述 OBU生成的消息证书 申请请求发送给认证中心 CA; 以及接收所述 CA发送的消息证书， 并存储所述消息证书；

OBU , 用于根据接收到的来自所述 CMC发送的指示信息， 生成相应的消息证书申请 请求； 以及向所述 CMC发送反馈信息， 所述反馈信息中携带有所述消息证书申请请求 ；

CA, 用于根据接收到的来自所述 CMC发送的消息证书申请请求， 为生成所述 OBU 对应的消息证书， 并将生成的消息证书发送给所述 CMC。

本发明实施例的 CMC在确定需要为自身管理的车辆申请消息证书 时， 向车辆的 OBU 发送指示信息， 以指示 OBU生成相应的消息证书申请请求； 在接收到 OBU发送的反馈信 息后， 将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息 证书， 并存储该消息证书， 从而实现了消息证书的申请及管理过程。 附图说明

图 1为本发明实施例提供的消息证书的申请系统� �结构示意图；

图 2为本发明实施例提供的证书管理中心的结构� �意图；

图 3为本发明实施例提供的车载设备的结构示意� �；

图 4为本发明实施例提供的消息证书的申请方法� �程示意图；

图 5为本发明实施例提供的另一消息证书的申请� �法流程示意图；

图 6为本发明实施例提供的申请系统的网络架构� �意图；

图 7为本发明实施例提供的申请系统的各设备之� �的交互示意图。

图 8为本发明实施例提供的证书管理中心的实体� �构示意图；

图 9为本发明实施例提供的车载设备的实体结构� �意图。 具体实施方式

为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本发明实施例中的 附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例是本 发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其 他实施例， 都属于本发明保护的范围。 本发明实施例 CMC在确定需要为自身管理的车辆申请消息证书 时，向车辆的 OBU发 送指示信息， 以指示 OBU生成相应的消息证书申请请求； 在接收到 OBU发送的反馈信息 后， 将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息证 书， 并存储该消息证书， 从而实现了消息证书的申请及管理过程。

首先， 对本发明实施例中涉及的各设备进行说明， 具体如下：

认证中心 （Certificate Authority, CA )为各种证书 （如认证证书、 消息证书等）颁发 机构， 主要负责车联网消息证书的颁发；

证书管理中心（ Certificate Management Center, CMC ) 负责消息证书的申请以及将 CA签发的消息证书分发给相应的车载设备（On-B oard Unit, OBU );具体过程包括： CMC 首先要求 OBU按照设定的有效期生成相应的消息证书申请 请求，然后代替 OBU向 CA申 请消息证书， 最后根据需要将 CA颁发的消息证书写入相应的 0BU; —个车联网系统可以 有多个 CMC,而一个 CMC可以管理至少一个 0BU或路侧设备（ Road Side Unit, RSU ), 具体数量可根据实际应用的需求灵活设置。 例如， 在一个城市可以只设置一个证书管理中 心统一管理整个城市所有公共汽车临时证书的 申请和分发， 也可以为每一个公共汽车管理 站分别设置一个证书管理中心以方便对车辆的 各种消息证书的管理；

RSU为 0BU与 CMC之间的数据通信提供通道，并可暂存 0BU与 CMC之间传输的 数据； 一个 CMC可以与多个 RSU相连接， 通信时， CMC与 RSU之间的连接为端到端 连接； 一个 RSU可以与多个 0BU相连接， 通信时， RSU与 0BU之间的连接为端到端连 接；

0BU根据 CMC的要求生成密钥对（包括公钥及私钥）和消 息证书申请请求， 并将生 成的消息证书申请请求发送给 CMC , 然后接收来自 CMC的消息证书， 之后即可利用收到 的消息证书签发需要播发的消息；

当然， CMC也可以通过无线网络（如 3G、 4G、 GPRS或 WLAN等）直接与 OBU 建立端到端的安全通信连接， 在该情况下， 消息证书的颁发可以不通过 RSU的转发。

另外， 本发明实施中涉及的 0BU认证证书， 每个 0BU可利用自身对应的 0BU认证 证书向 CA申请消息证书， 该 0BU对应的 0BU认证证书中还规定了该 0BU所能拥有的 最大权利；

CMC认证证书， 每个 CMC可利用自身对应的 CMC认证证书签发与 0BU通信时的 各种消息；

0BU消息证书，每个 0BU可利用自身对应的 0BU消息证书签需要播发的各种消息， 该 0BU对应的 0BU消息证书所拥有的权利是该 0BU对应的 0BU认证证书所拥有的权 利的子集；

根证书， OBU与 CMC可利用该根证书验证从对方收到的证书。

需要说明的是， 本发明实施例中， 不对消息证书的格式进行限定， 消息证书既可以釆 用 IEEE 1609.2中定义的证书格式，也可以釆用能够实现 消息证书的功能的其他证书格式。

下面结合说明书附图对本发明实施例作进一步 详细描述。

参见图 1所示， 本发明实施例消息证书的申请系统， 包括：

CMC10, 用于在确定需要为自身管理的车辆申请消息证 书时， 向该车辆的 OBU20发 送指示信息，该指示信息用于指示 OBU20生成相应的消息证书申请请求；在接收到 OBU20 发送的反馈信息后， 将该反馈信息中携带的该 OBU20 生成的消息证书申请请求发送给 CA30; 以及接收 CA30发送的消息证书， 并存储该消息证书， 该消息证书是 CA30根据 OBU20的消息证书申请请求生成的；

OBU20, 用于根据接收到的来自 CMC10发送的指示信息， 生成相应的消息证书申请 请求； 以及向 CMC 10发送反馈信息， 该反馈信息中携带有消息证书申请请求；

CA30, 用于根据接收到的来自 CMC10发送的消息证书申请请求， 为生成 OBU20对 应的消息证书， 并将生成的消息证书发送给 CMC10。

本发明实施例优选适用于车联网系统中临时消 息证书的申请， 但本发明实施例消息证 书的申请过程也适用于其他证书的申请。

进一步， 参见图 2所示， 本发明实施例提供的 CMC, 包括：

第一处理模块 101 , 用于在确定需要为自身管理的车辆申请消息证 书后， 向该车辆的 OBU发送指示信息， 其中， 指示信息用于指示该 OBU生成相应的消息证书申请请求； 第二处理模块 102, 用于在接收到 OBU发送的反馈信息后， 将该反馈信息中携带的 OBU生成的消息证书申请请求发送给 CA;

第三处理模块 103 , 用于接收 CA发送的消息证书， 并存储该消息证书， 其中， 该消 息证书是 CA根据该 OBU的消息证书申请请求生成的。

本发明实施例中， 第一处理模块 101 向 OBU发送的指示信息中携带待申请消息证书 的有效期信息以及如下信息中的至少一个信息 ：

消息类型 （Message Type, MT )标识， 用于标识该指示信息的消息类型； 密钥对标识（ Key Identity, KID ), 用于标识该 CMC指示 OBU生成的密钥对； 待申请消息证书的权利描述（ Privilege Constraint , PC );

该 OBU对应的 OBU认证证书标识（ OBU Certificate Identity, OCID );

以及该 CMC对应的 CMC认证证书 （ CMC Certificate, CC )。 其中， 待颁布的消息证书的有效期信息包括： 该有效期的起始时刻（如 T1 )及该有效 期的终止时刻 （如 T2 )。

优选的， 该指示信息中携带待申请消息证书的有效期信 息以及上述所有信息， 但该指 示信息携带的内容不限于上述信息。

本发明实施例中， 第二处理模块 102接收到的来自 OBU的反馈信息除携带自身生成 的消息证书申请请求外， 还携带如下信息中的至少一个信息：

消息类型标识， 用于标识该反馈信息的消息类型；

密钥对标识 KID, 用于标识该 OBU生成的密钥对； 以及

该 CMC对应的 CMC认证证书标识。

优选的， 该反馈信息中携带消息证书申请请求以及上述 所有信息， 但该反馈信息携带 的信息不限于上述信息。

本发明实施例中， 反馈信息中携带消息证书申请请求携带待申请 消息证书的有效期信 息以及如下信息中的至少一个信息：

该 OBU生成的公钥 （ Public Key, PK );

待申请消息证书的权利描述； 以及

该 OBU对应的 OBU认证证书。

优选的， 该消息证书申请请求携带待申请消息证书的有 效期信息以及上述所有信息， 但该消息证书申请请求携带的信息不限于上述 信息。

进一步， 第一处理模块 101还用于： 釆用自身的 CMC认证证书对自身生成的指示信 息进行数据签名处理， 并将处理后的指示信息发送给 OBU。

本发明实施例中， 第一处理模块 101 居以下步骤生成指示信息：

第一处理模块 101生成经其 CMC认证证书签名的指示信息， 该指示信息的主要内容 为 [MT, KID, T1 , T2, PC, OCID, CC] , 其中， MT为消息类型标识， KID为需要该 OBU 生成的密钥对的标识， T1 为该待申请消息证书的有效期的起始时刻， T2为该有效期终止 时刻， PC为其他可能的权利限制描述， OCID为 OBU认证证书标识， CC为 CMC认证 证书；然后，该第一处理模块 101将与指示信息相关的某些信息写入本地存储 的信息表中， 该信息表的结构如表 1所示； 最后， 该第一处理模块 101将该指示信息发送给 OBU。

表 1 CMC中存储与指示信息相关的信息表

进一步， 第一处理模块 101按下列方式中的一种将指示信息发送给 0BU: 方式 A1、 通过 RSU将指示信息发送给 OBU;

具体的： 该第一处理模块 101 与 RSU建立端到端的通信连接， 并将指示信息发送给 RSU; 该 RSU接收并緩存该指示信息； 该 RUS与 OBU建立端到端的通信连接， 并将该 指示信息发送给该 OBU。

方式 A2、 通过第三代合作伙伴计划 （ 3rd Generation Partnership Project, 3G )、 第 四代合作伙伴计划（4th Generation Partnership Project, 4G )、通用分组无线服务（ General Packet Radio Service, GPRS )或无线局域接入网 ( Wireless Local Access Network, WLAN ), 将指示信息发送给 OBU;

具体的： 该第一处理模块 101与 OBU建立端到端的通信连接， 并将该指示信息直接 发送给该 0BU。

进一步， 第二处理模块 102具体用于：

对接收到的反馈信息进行验证， 并在验证通过后 , 将该反馈信息中携带的消息证书申 请请求发送给 CA。

具体的， 第二处理模块 102按照以下步骤对接收到的反馈信息进行验证 ：

根据该反馈信息中携带的 CMC认证证书标识， 确定自身为该反馈信息的接收方； 根 据自身保存的根证书， 确定该消息证书申请请求中携带的 0BU认证证书有效； 以及根据 该消息证书申请请求中携带的 0 B U认证证书， 验证该反馈信息有效。

进一步， 若第二处理模块 102确定自身不是该反馈信息的接收方、 或者该消息证书申 请请求中携带的 0BU认证证书无效、 或者该反馈信息无效， 则该第二处理模块 102终止 处理。

进一步， 第二处理模块 102还用于： 根据该反馈信息中携带的密钥对标识， 确定本地 保存的与该 0BU 的待申请消息证书相关的信息； 以及确定该反馈信息中携带待申请消息 证书的有效期信息以及待申请消息证书的权利 描述， 与本地保存的该 0BU相应的待申请 消息证书的有效期信息以及待申请消息证书的 权利描述一致。

进一步，若第二处理模块 102确定该反馈信息中携带待申请消息证书的有 效期信息以 及待申请消息证书的权利描述， 与本地保存的 0BU相应的待申请消息证书的有效期信息 以及待申请消息证书的权利描述不一致， 则该第二处理模块 102终止处理。

本发明实施例中， CA在接收到 CMC发送的消息证书申请请求后， 首先验证该消息证 书申请请求， 并在验证通过后 , 该 CA根据该 0BU对应的 0BU认证证书中的权利描述、 该消息证书申请请求中携带的待申请消息证书 的有效期信息以及待申请消息证书的权利 描述， 为该 0BU签发相应的消息证书， 并将签发的消息证书发送给 CMC。 进一步， 第三处理模块 103还用于：

在接收到 CA发送的消息证书之后， 将该消息证书发送给 0BU。

具体的， 该第三处理模块 103在接收到 CA发送的消息证书之后， 直接将该消息证书 发送给相应的 OBU; 或者根据实际需要， 在该消息证书的有效期到达之前发送给相应的 OBU。

进一步， 第三处理模块 103按下列方式中的一种将消息证书发送给 OBU:

方式 B1、 通过 RSU将该消息证书发送给 OBU;

具体的： 该第三处理模块 103与 RSU建立端到端的通信连接， 并将该消息证书发送 给 RSU; 该 RSU接收并緩存该消息证书； 该 RUS与 OBU建立端到端的通信连接， 并将 该消息证书发送给该 0 B U。

方式 B2、 通过 4G、 3G、 GPRS或 WLAN , 将该消息证书发送给 OBU;

具体的： 该第三处理模块 103与 OBU建立端到端的通信连接， 并将该消息证书直接 发送给该 OBU。

基于上述实施例， 参见图 3所示， 本发明实施例提供的 OBU , 包括：

申请请求生成模块 201 , 用于根据接收到的来自 CMC发送的指示信息， 生成相应的 消息证书申请请求；

发送模块 202, 用于向 CMC发送反馈信息， 该反馈信息中携带有消息证书申请请求。 进一步， 该 OBU还包括：

存储模块 203, 用于接收 CMC发送的消息证书， 并存储该消息证书。

进一步， 申请请求生成模块 201具体用于：

在接收到 CMC发送的指示信息后， 根据该指示信息， 生成该待申请消息证书对应的 密钥对， 该密钥对包含公钥 （PK )及私钥 （SK ), 并使用该指示信息中携带的密钥对标识 来标识生成的密钥对（PK, SK )。

优选的， 申请请求生成模块 201具体用于：

对接收到的指示信息进行验证， 并在验证通过后， 根据该指示信息生成包含公钥及私 钥的密钥对。

具体的， 申请请求生成模块 201按照以下步骤对该指示信息进行验证：

根据该指示信息携带的 OBU认证证书标识， 确定自身为该指示信息的接收方； 根据 自身保存的根证书， 确定该指示信息中携带的 CMC认证证书有效； 以及根据该指示信息 中携带的 CMC认证证书， 验证该指示信息有效。

进一步， 若该申请请求生成模块 201确定自身不是该指示信息的接收方、 或者确定该 指示信息中携带的 CMC认证证书无效、 或者验证该指示信息无效， 则该申请请求生成模 块 201结束处理。

进一步， 该申请请求生成模块 201在生成密钥对后， 将与该密钥对相关的信息存储于 本地信息表中， 该信息表如表 2所示：

表 2 OBU中存储与密钥对相关的信息表

进一步， 该申请请求生成模块 201还用于： 釆用自身的 OBU认证证书对生成的消息 证书申请请求进行数字签名处理， 并将处理后的消息证书申请请求携带在反馈信 息中。

优选的， 该消息证书申请请求的主要内容为 [PK, T1 , T2, PC, OC], 其中， PK为 待申请消息证书对应的公钥， T1 为待申请消息证书的有效期的起始时刻， T2为该有效期 的终止时刻， PC为其他可能的权利限制描述， OC为 OBU认证证书。

进一步， 发送模块 202还用于： 釆用自身的 OBU认证证书对生成的反馈信息进行数 字签名处理， 并将处理后的反馈信息发送给 CMC。

优选的， 该反馈信息的主要内容为 [MT, KID, CCID, CR], 其中， MT为该反馈信息 的消息类型， KID为密钥对标识， CCID为 CMC认证证书标识， CR为消息证书申请请求。

进一步， 发送模块 202按照下列方式中的一种将反馈信息发送给 CMC:

方式 C1、 通过 RSU将该反馈信息发送给 CMC;

具体的：该发送模块 202与 RSU建立端到端的通信连接，并将反馈信息发送 给 RSU; 该 RSU接收并緩存该反馈信息； 该 RUS与 CMC建立端到端的通信连接， 并将该反馈信 息发送给该 CMC。

方式 C2、 通过 4G、 3G、 GPRS或 WLAN , 将该反馈信息发送给 CMC;

具体的： 该发送模块 202与 CMC建立端到端的通信连接， 并将该反馈信息直接发送 给该 CMC。

基于上述实施例， 参见图 4所示， 本发明实施例还提供了一种消息证书的申请方 法， 包括以下步骤：

步骤 41、 CMC在确定需要为自身管理的车辆申请消息证书 后， 向该车辆的 OBU发 送指示信息， 该指示信息用于指示该 OBU生成相应的消息证书申请请求；

步骤 42、 CMC在接收到 OBU发送的反馈信息后， 将该反馈信息中携带的该 OBU生 成的消息证书申请请求发送给 CA;

步骤 43、 CMC接收 CA发送的消息证书， 并存储该消息证书， 该消息证书是 CA根 据该 OBU的消息证书申请请求生成的。

本发明实施例中， 指示信息中携带待申请消息证书的有效期信息 以及如下信息中的至 少一个信息：

消息类型标识， 用于标识该指示信息的消息类型；

密钥对标识， 用于标识指示该 OBU生成的密钥对；

待申请消息证书的权利描述；

该 0 B U对应的 0 B U认证证书标识； 以及

该 CMC对应的 CMC认证证书。

本发明实施例中， 反馈信息还携带如下信息中的至少一个信息：

消息类型标识， 用于标识该反馈信息的消息类型；

密钥对标识， 用于标识该 OBU生成的密钥对； 以及

该 CMC对应的 CMC认证证书标识。

本发明实施例中， 消息证书申请请求中携带待申请消息证书的有 效期信息以及如下信 息中的至少一个信息：

该 OBU生成的公钥；

待申请消息证书的权利描述； 以及

该 OBU对应的 OBU认证证书。

进一步， 步骤 41 中， CMC向 OBU发送指示信息， 具体包括：

CMC釆用自身的 CMC认证证书对该指示信息进行数据签名处理， 并将处理后的指示 信息发送给 OBU。

进一步， 步骤 41 中， CMC向 OBU发送指示信息， 具体包括：

CMC通过 RSU将该指示信息发送给 OBU ,其中，该 RSU分别与该 CMC及该 OBU 建立连接； 或者， CMC通过 4G、 3G、 GPRS或 WLAN , 将该指示信息发送给 OBU。

进一步， 步骤 42中， CMC将接收到的反馈信息中携带的该 OBU生成的消息证书申 请请求发送给 CA, 具体包括：

CMC 对该反馈信息进行验证 , 并在验证通过后， 将该反馈信息中携带的消息证书申 请请求发送给 CA。

具体的， 该 CMC按照以下步骤对反馈信息进行验证：

CMC根据该反馈信息中携带的 CMC认证证书标识，确定自身为该反馈信息的接 收方； CMC根据自身保存的根证书，确定该消息证书申 请请求中携带的 OBU认证证书有效； 以及 CMC根据该消息证书申请请求中携带的 OBU认证证书， 验证该反馈信息有效。 进一步， 步骤 42中， CMC对反馈信息进行验证之后， 还包括：

CMC根据该反馈信息中携带的密钥对标识，确定 本地保存的与该 OBU的待申请消息 证书相关的信息； 以及

CMC 确定该反馈信息中携带待申请消息证书的有效 期信息以及待申请消息证书的权 利描述， 与本地保存的该 OBU相应的待申请消息证书的有效期信息以及待 申请消息证书 的权利描述一致。

进一步， 步骤 43中， CMC在接收到 CA发送的消息证书之后， 还包括：

CMC将接收到的消息证书发送给 OBU。

具体的， 该 CMC在接收到 CA发送的消息证书之后， 直接将该消息证书发送给相应 的 OBU; 或者根据实际需要， 在该消息证书的有效期到达之前发送给相应的 OBU。

进一步， 步骤 43中， CMC将消息证书发送给 OBU , 具体包括：

CMC通过 RSU将该消息证书发送给 OBU ,其中，该 RSU分别与该 CMC及该 OBU 建立连接； 或者， CMC通过 4G、 3G、 GPRS或 WLAN , 将该消息证书发送给 OBU。

基于上述实施例， 参见图 5所示， 本发明实施例还提供了一种申请消息证书的方 法， 包括以下步骤：

步骤 51、 OBU根据接收到的来自 CMC发送的指示信息， 生成相应的消息证书申请 请求；

步骤 52、 0 B U向 C M C发送反馈信息， 该反馈信息中携带有消息证书申请请求。 进一步， 该方法还包括：

步骤 53、 OBU接收 CMC发送的消息证书， 并存储该消息证书。

本发明实施例中， 指示信息中携带待申请消息证书的有效期信息 以及如下信息中的至 少一个信息：

消息类型标识， 用于标识该指示信息的消息类型；

密钥对标识， 用于标识指示该 OBU生成的密钥对；

待申请消息证书的权利描述；

该 0 B U对应的 0 B U认证证书标识； 以及

该 CMC对应的 CMC认证证书。

进一步， 步骤 51 中， OBU在接收到 CMC发送的指示信息后， 且在 OBU生成相应的 消息证书申请请求之前， 还包括：

OBU根据接收到的指示信息，生成待申请消息证 书对应的密钥对，该密钥对包含公钥 及私钥。

进一步， 步骤 51 中， 0BU根据指示信息， 生成待申请消息证书对应的密钥对， 具体 包括： OBU对接收到的指示信息进行验证， 并在验证通过后， 根据该指示信息生成待申请 消息证书对应的密钥对。

具体的， OBU按照以下步骤对该指示信息进行验证：

OBU根据该指示信息携带的 OBU认证证书标识， 确定自身为该指示信息的接收方； OBU根据自身保存的根证书， 确定该指示信息中携带的 CMC认证证书有效； 以及 OBU根据该指示信息中携带的 CMC认证证书， 验证该指示信息有效。

进一步， 步骤 51 中， OBU生成相应的消息证书申请请求， 具体包括：

OBU釆用自身的 OBU认证证书对自身生成的消息证书申请请求进 行数字签名处理， 并将处理后的消息证书申请请求携带在反馈信 息中。

本发明实施例中， 消息证书申请请求中携带待申请消息证书的有 效期信息以及如下信 息中的至少一个信息：

该 OBU生成的公钥；

待申请消息证书的权利描述； 以及

该 OBU对应的 OBU认证证书。

进一步， 步骤 52中， OBU向 CMC发送反馈信息， 具体包括：

OBU釆用自身的 OBU认证证书对生成的反馈信息进行数字签名处 理， 并将处理后的 反馈信息发送给 CMC。

本发明实施例中， 反馈信息还携带如下信息中的至少一个信息：

消息类型标识， 用于标识该反馈信息的消息类型；

密钥对标识， 用于标识该 OBU生成的密钥对； 以及

该 CMC对应的 CMC认证证书标识。

进一步， 步骤 52中， OBU向 OBU发送反馈信息， 具体包括：

OBU通过 RSU将该反馈信息发送给 CMC,其中，该 RSU分别与该 CMC及该 OBU 建立连接； 或者，

OBU通过 4G、 3G、 GPRS或 WLAN , 将该反馈信息发送给 CMC。

下面从 OBU、 CMC与 CA之间的交互过程来说明本发明实施例申请消� ��证书的过程， 本发明实施例的消息证书申请系统参见图 6所示， 该系统中各设备之间的交互参见图 7所 示， 包括：

步骤 71、 CMC发起消息证书申请流程， 以请求 OBU生成可用于向 CA申请消息证书 的消息证书申请；

步骤 72、 CMC将生成的消息发送给 OBU;

步骤 73、 OBU验证收到的消息并生成消息证书申请；

步骤 74、 OBU将生成的消息证书申请发送给 CMC;

步骤 75、 CMC验证收到的消息， 并将消息证书申请发送给 CA;

步骤 76、 CA验证收到的消息证书申请， 并在验证正确的情况下， 根据 OBU认证证 书中的权利描述、 消息证书申请中的有效期信息和其他可能的权 利限制描述为 OBU签发 消息证书；

步骤 77、 CA将颁发的消息证书发送给 CMC;

步骤 78、 CMC将颁发的消息证书发送给 OBU;

步骤 79、 OBU存储收到的消息证书， 然后利用该消息证书签发将要播发的消息。 下面结合一个具体实施例， 对本发明的消息证书的申请过程进行说明。

实施例 1、 本实施例以向公交车辆颁发有效期从 2012-12-20 07:00:00至 2012-12-20 09:59:59的临时消息证书为例进行说明：

第 1步： CMC要求 OBU生成可用于向 CA申请消息证书的消息证书申请； 具体过程为：

CMC生成经其 CMC认证证书签名的要求 OBU生成消息证书申请的消息， 该消息的 主要内容如下：

[01 , KEY100001 , 2012-12-20 07:00:00, 2012-12-20 09:59:59, XYZ... ,OBU000001 , CMC_CERT];

其中， 01为消息类型标识， KEY000001为新生成密钥对的标识， 2012-12-20 07:00:00 为消息证书有效期起始时刻， 2012-12-20 09:59:59 为消息证书有效期终止时刻， XYZ... 为其他可能的权利限制描述，OBU000001为 OBU认证证书的 ID, CMC_CERT代表 CMC 认证证书；

CMC将与上述消息相关的某些信息写入本地消息 信息表中， 如表 3所示：

表 3 CMC的本地消息信息表 第 2步： CMC将生成的消息发送给 OBU;

第 3步： 0 B U验证收到的消息并生成消息证书申请；

具体过程为： OBU 接收 RSU 发送来的消息； OBU 首先通过消息中的 OCID=OBU000001 确定该消息是发送给自身， 然后该 OBU利用本地保存的才 证书 -验证 CMC_CERT证书的有效性， 并利用 CMC_CERT验证接收到的消息的有效性， 若验证通 过则继续进行下一步， 否则终止当前过程； OBU 生成密钥对 （ ABCDE1234... , MNOPQ5678... )，其中 "ABCDE1234... "为公钥， "MNOPQ5678... "为私钥，并用 KID= "KEY000001 " 标识该密钥对， 然后将相关信息存储在本地信息表中， 如表 4所示：

表 4 OBU的本地信息表

OBU生成经其认证证书签名的消息证书申请， 该消息证书申请的主要内容为：

[ABCDE1234... , 2012-12-20 07:00:00, 2012-12-20 09:59:59, XYZ... , OBU-CERT]; 其中， ABCDE1234...为申请消息证书中的公钥, 2012-12-20 07:00:00为申请消息证书的有 效期的起始时刻， 2012-12-20 09:59:59为申请消息证书有效期的终止时刻， OBU-CERT代 表 OBU认证证书； OBU生成经其认证证书签名的将要发送给 CMC的消息， 消息的主要 内容: ¾。下：

[02, KEY000001 , CMC000001 , CERT-REQ];

其中， 02为消息类型， KEY000001为密钥对的标识， CMC000001为 CMC认证证书 标识， CERT-REQ为消息证书申请。

第 4步： OBU将生成的消息证书申请发送给 CMC；

第 5步： CMC验证收到的消息， 并将消息证书申请发送给 C A;

具体过程为：

CMC接收来自 RSU的消息； CMC首先通过消息中的 CCID=CMC000001确定该消息 是发送给自身，然后 CMC利用根证书验证 OBU-CERT的有效性，并进一步利用 OBU-CERT 验证消息的有效性， 若验证通过则继续进行下一步， 否则终止当前过程； CMC根据消息中 的 KID=KEY000001在本地消息信息表（如表 3所示） 中查找到相关信息， 然后将消息证 书申请中的证书有效期以及其他权利限制描述 与存储在本地表中的证书有效期及其他权 利限制描述相比较， 并确定相同， 从而继续进行下一步； CMC将 "消息证书申请"发送给

CA。

第 6步： CA验证收到的消息证书申请， 并在验证正确的情况下颁发该消息证书； 第 7步： CA将颁发的消息证书发送给 CMC;

第 8步： CMC将颁发的消息证书发送给 OBU;

第 9步： OBU存储收到的消息证书， 该 OBU即可利用该消息证书签发将要播发的消 息。

上述方法处理流程可以用软件程序实现， 该软件程序可以存储在存储介盾中， 当存储 的软件程序被调用时， 执行上述方法步骤。

基于上述实施例， 参阅图 8所示， 本发明实施例中， CMC包括处理器 801 :

处理器 801 , 用于在确定需要为自身管理的车辆申请消息证 书后， 向车辆的车载设备 OBU发送指示信息，指示信息用于指示 OBU生成相应的消息证书申请请求，在接收到 OBU 发送的反馈信息后， 将反馈信息中携带的 OBU生成的消息证书申请请求发送给认证中心 CA, 以及接收 CA发送的消息证书， 并存储消息证书， 消息证书是 CA根据 OBU的消息 证书申请请求生成的。

处理器 801还用于：

釆用自身的 CMC认证证书对指示信息进行数据签名处理， 并将处理后的指示信息发 送给 OBU。

结合第五方面， 在第二种可能的实现方式中， 处理器具体用于：

对反馈信息进行验证， 并在验证通过后， 将反馈信息中携带的消息证书申请请求发送 给 CA。

处理器 801按照以下步骤对反馈信息进行验证：

根据反馈信息中携带的 CMC认证证书标识， 确定自身为反馈信息的接收方； 根据自 身保存的根证书， 确定消息证书申请请求中携带的 OBU认证证书有效； 以及根据消息证 书申请请求中携带的 OBU认证证书， 验证反馈信息有效。

结合第五方面的第三种可能的实现方式，在第 四种可能的实现方式中，处理器还用于： 根据反馈信息中携带的密钥对标识， 确定本地保存的与 OBU的待申请消息证书相关 的信息； 以及

确定反馈信息中携带待申请消息证书的有效期 信息以及待申请消息证书的权利描述， 与本地保存的 OBU相应的待申请消息证书的有效期信息以及待 申请消息证书的权利描述 一致。 处理器 801还用于：

将消息证书发送给 OBUo

处理器具体 801用于： 通过 RSU将指示信息发送给 OBU; 或者，通过 4G、 3G、 GPRS 或 WLAN, 将指示信息发送给 OBU;

处理器 801具体用于： 通过 RSU将消息证书发送给 OBU; 或者，通过 4G、 3G、 GPRS 或 WLAN , 将消息证书发送给 OBU;

其中， RSU分别与 CMC及 OBU建立连接。

基于上述实施例， 参阅图 9所示， 本发明实施例中， OBU包括处理器 901和发送端 口 902 , 包括：

处理器 901 , 用于根据接收到的来自 CMC发送的指示信息， 生成相应的消息证书申 请请求；

发送端口 902 , 用于向 CMC发送反馈信息， 反馈信息中携带有消息证书申请请求。 处理器 901具体用于：

根据指示信息， 生成待申请消息证书对应的密钥对， 密钥对包含公钥及私钥。

处理器 901具体用于：

对接收到的指示信息进行验证， 并在验证通过后 , 根据指示信息生成待申请消息证书 对应的密钥对。

处理器 901按照以下步骤对接收到的指示信息进行验证 ：

根据指示信息携带的 OBU认证证书标识， 确定自身为指示信息的接收方； 根据自身 保存的根证书， 确定指示信息中携带的 CMC认证证书有效； 以及根据指示信息中携带的 CMC认证证书， 验证指示信息有效。

处理器 901还用于： 釆用自身的 OBU认证证书对生成的消息证书申请请求进行数 字 签名处理， 并将处理后的消息证书申请请求携带在反馈信 息中；

发送端口 902还用于： 釆用自身的 OBU认证证书对生成的反馈信息进行数字签名处 理， 并将处理后的反馈信息发送给 CMC。

发送端口 902具体用于：

通过 RSU将反馈信息发送给 CMC; 或者，

通过 4G、 3G、 GPRS或 WLAN, 将反馈信息发送给 CMC;

其中， RSU分别与 CMC及 OBU建立连接。

该 OBU还包括：

存储器 903 , 用于接收 CMC发送的消息证书， 并存储消息证书， 消息证书是 CA根据 消息证书申请请求生成的。

本领域内的技术人员应明白， 本发明的实施例可提供为方法、 系统、 或计算机程序产 品。 因此， 本发明可釆用完全硬件实施例、 完全软件实施例、 或结合软件和硬件方面的实 施例的形式。 而且， 本发明可釆用在一个或多个其中包含有计算机 可用程序代码的计算机 可用存储介盾 （包括但不限于磁盘存储器、 CD-ROM、 光学存储器等）上实施的计算机程 序产品的形式。

本发明是参照根据本发明实施例的方法、 设备（系统）、 和计算机程序产品的流程图 和 /或方框图来描述的。 应理解可由计算机程序指令实现流程图和 /或方框图中的每一流 程和 /或方框、 以及流程图和 /或方框图中的流程和 /或方框的结合。 可提供这些计算机 程序指令到通用计算机、 专用计算机、 嵌入式处理机或其他可编程数据处理设备的处 理器 以产生一个机器， 使得通过计算机或其他可编程数据处理设备的 处理器执行的指令产生用 于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能� � 装置。

这些计算机程序指令也可存储在能引导计算机 或其他可编程数据处理设备以特定方 式工作的计算机可读存储器中， 使得存储在该计算机可读存储器中的指令产生 包括指令装 置的制造品， 该指令装置实现在流程图一个流程或多个流程 和 /或方框图一个方框或多个 方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他 可编程数据处理设备上， 使得在计算机 或其他可编程设备上执行一系列操作步骤以产 生计算机实现的处理， 从而在计算机或其他 可编程设备上执行的指令提供用于实现在流程 图一个流程或多个流程和 /或方框图一个 方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例， 但本领域内的技术人员一旦得知了基本创造性 概 念， 则可对这些实施例作出另外的变更和修改。 所以， 所附权利要求意欲解释为包括优选 实施例以及落入本发明范围的所有变更和修改 。

显然， 本领域的技术人员可以对本发明实施例进行各 种改动和变型而不脱离本发明实 施例的精神和范围。 这样， 倘若本发明实施例的这些修改和变型属于本发 明权利要求及其 等同技术的范围之内， 则本发明也意图包含这些改动和变型在内。