[发明专利]业务证书获取方法、装置和电子设备

说明书

本发明提供了一种业务证书获取方法、装置和电子设备，涉及车联网的技术领域，本发明提供的业务证书获取方法，在PKI系统与客户端之间部署PKI前置代理服务器，任何情况下，PKI前置代理服务器和客户端均能通过预设服务端证书、预设CA私钥、预设安全代理专用CA证书以及预先协商的预置共享密钥的生成算法实现双向的身份认证。PKI前置代理服务器的部署以及客户端业务证书获取流程的设计，能够有效地降低PKI系统受到恶意攻击的风险，保障了PKI系统的安全。

技术领域

本发明涉及车联网的技术领域，尤其是涉及一种业务证书获取方法、装置和电子设备。

背景技术

当前的社会环境下，车辆终端的数量庞大，PKI(Public Key Infrastructure，公钥基础设施)系统通过人工审核的方式来处理车辆使用者向其提出的证书获取请求几乎无法完成。因此，目前主要是预置统一的证书或临时证书供车辆终端初始连接，再将PKI系统开放权限到TSP(Telematics Service Provider，远程服务供应商)等业务服务器，由业务服务器从业务角度校验车辆真实性，最后以代理的方式从PKI系统申请证书。

业务服务器只能通过预设业务逻辑来对客户端进行校验，来防止非法的证书获取操作。但是，简单的业务逻辑很容易被攻击者破解，攻击者通过假冒客户端(车辆终端)获取到合法的客户端证书，从而攻击业务服务器，或者直接对PKI系统发起攻击。由于PKI系统并没有校验客户端的机制，所以现有的证书获取方法无法保证PKI系统的安全。

发明内容

本发明的目的在于提供一种业务证书获取方法、装置和电子设备，以降低了PKI系统受到恶意攻击的风险，保障了PKI系统的安全。

第一方面，本发明提供一种业务证书获取方法，应用于客户端，所述方法包括：将第一随机数和所述客户端的唯一ID发送至PKI前置代理服务器；其中，所述PKI前置代理服务器部署于所述客户端与PKI系统之间；接收所述PKI前置代理服务器返回的预设服务端证书、第一加密结果和第二随机数；其中，所述第一加密结果为所述PKI前置代理服务器确定所述唯一ID合法的情况下，利用预设CA私钥对所述第一随机数进行加密后得到的结果；基于预设安全代理专用CA证书和所述第一随机数对所述预设服务端证书和所述第一加密结果进行校验，得到第一校验结果；在确定所述第一校验结果为通过的情况下，利用第一预置共享密钥对所述第二随机数进行加密，得到第二加密结果，并将所述第二加密结果发送至所述PKI前置代理服务器；接收所述PKI前置代理服务器反馈的通讯密钥，并利用所述通讯密钥通过所述PKI前置代理服务器向所述PKI系统获取业务证书；其中，所述通讯密钥是所述PKI前置代理服务器对所述第二加密结果校验通过的情况下生成的密钥。

在可选的实施方式中，所述基于预设安全代理专用CA证书和所述第一随机数对所述预设服务端证书和所述第一加密结果进行校验，得到第一校验结果，包括：判断所述预设服务端证书是否为所述预设安全代理专用CA证书签发的证书；若是，则利用所述预设服务端证书所包含的预设CA公钥对所述第一加密结果进行解密，得到第一解密结果；判断所述第一解密结果是否与所述第一随机数相同；若所述第一解密结果与所述第一随机数相同，则确定所述第一校验结果为通过；若所述第一解密结果与所述第一随机数不同，则确定所述第一校验结果为不通过。

在可选的实施方式中，在利用第一预置共享密钥对所述第二随机数进行加密之前，所述方法还包括：利用第一预设根密钥对所述客户端的唯一ID进行处理，得到所述第一预置共享密钥。

在可选的实施方式中，所述客户端的唯一ID包括以下至少一种：VIN，IMEI，ICCID，SN。