7] 在实施中,第二对称加密密文中的消息组密钥的相关信息中的消息组密钥记录包 括:
[042引 KMC为该邸N生成的消息组密钥记录;或者
[0429] KMC为该邸N生成的消息组密钥记录、W及KMC为该邸N相邻的邸N生成的消息组 密钥记录。
[0430] 基于上述任一实施例,第二单元220接收到所述KDN发送的密钥应答消息之后,还 用于:
[0431] 对所述密钥应答消息进行验证;W及对所述密钥应答消息的验证通过后,生成针 对所述密钥应答消息的确认应答消息。
[0432] 在实施中,第二单元220对所述密钥应答消息进行验证,包括:
[0433] 使用所述KDN的公钥证书中用于验证数字签名的公钥对所述密钥应答消息中的 第二消息数字签名进行验证;若验证通过,使用与所述OBU的公钥证书中用于数据加密的 公钥对应的私钥,对所述密钥应答消息中的第二公钥加密密文进行解密,W获取所述KDN 对称加密密钥;使用所述KDN对称加密密钥,对所述密钥应答消息中的第二对称加密密文 进行解密,W获取OBU随机数和所述消息组密钥的相关信息;在判断出所述第二对称加密 密文中携带的0脚随机数与第一单元210向所述KDN已发送的0脚随机数相同后,使用KMC 的公钥证书中用于验证数字签名的公钥对所述消息组密钥的相关信息中包含的消息组密 钥记录进行验证,并在验证通过后,确定所述密钥应答消息的验证通过,并保存所述消息组 密钥的相关信息中包含的消息组密钥记录。
[0434] 基于上述任一实施例,第一单元210向所述邸N发送密钥请求消息之前,还用于:
[0435] 向所述KDN发送证书请求消息,所述证书请求消息用于获取所述KDN的公钥证书; W及接收所述KDN返回的证书应答消息,其中,所述证书应答消息中包括所述KDN生成KDN 随机数和所述KDN的公钥证书。
[0436] 在实施中,第一单元210 W明文形式向邸N发送证书请求消息。
[0437] 需要说明的是,KDN的公钥证书中用于数据加密的公钥和KDN的公钥证书中用于 验证数字签名的公钥可W是同一个公钥,也可W是不同的公钥。
[0438] 下面结合一个具体实例,对本发明实施例提供的KDN的硬件结构进行说明。如图 10所示,该邸N包括:
[0439] 处理器101,用于读取存储器102中的程序,执行下列过程:
[0440] 在所属的KDN与OBU建立通信连接后,通过收发机103接收所述OBU发送的密钥 请求消息,所述密钥请求消息用于请求所述KDN发布对称加密算法中使用的消息组密钥的 相关信息;生成包含所述消息组密钥的相关信息的密钥应答消息,并通过收发机103将所 述密钥应答消息发送给所述OBU ;通过收发机103接收到所述OBU针对所述密钥应答消息 的确认应答消息后,释放与所述OMJ建立的通信连接。
[0441] 收发机103,用于在处理器101的控制下接收和发送数据。
[0442] 其中,在图10中,总线架构可W包括任意数量的互联的总线和桥,具体由处理器 101代表的一个或多个处理器和存储器102代表的存储器的各种电路链接在一起。总线架 构还可W将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,送 些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机 103可W是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信 的单元。处理器101负责管理总线架构和通常的处理,存储器102可W存储处理器101在 执行操作时所使用的数据。
[0443] 本发明实施例中,消息组密钥的相关信息包括;KMC为至少一个KDN生成的消息组 密钥记录;其中,每条消息组密钥记录包括:消息组密钥、和使用该消息组密钥的加解密算 法。
[0444] 较佳地,每条消息组密钥记录还包括W下信息中的至少一种:
[0445] 消息组密钥对应的KDN的标识信息、该消息组密钥的标识信息、使用该消息组密 钥的有效时间信息、使用该消息组密钥的有效地理区域信息、W及KMC对该条消息组密钥 记录进行签名处理后得到的数字签名信息。
[0446] 其中,OBU或邸N可W使用KMC的公钥证书中用于验证数字签名的公钥对消息组 密钥记录中的数字签名信息进行验证,W验证该条消息组密钥记录的真实性。
[0447] 需要说明的是,KMC所生成的每个消息组密钥对应一条消息组密钥记录,该消息组 密钥记录中记录着与该消息组密钥相关的各种信息。
[0448] 本发明实施例中,消息组密钥的相关信息中的消息组密钥记录包括:
[044引 KMC为该邸N生成的消息组密钥记录;或者
[0450] KMC为该邸N生成的消息组密钥记录、W及KMC为该邸N相邻的邸N生成的消息组 密钥记录。
[0451] 本发明实施例中,所述密钥请求消息中包括:
[0452] 第一公钥加密密文,其中,所述第一公钥加密密文为所述OBU使用所述KDN的公钥 证书中用于数据加密的公钥,对OMJ对称加密密钥进行加密处理后得到的;
[0453] 第一对称加密密文,其中,所述第一对称加密密文为所述OBU使用所述OBU对称加 密密钥,对所述KDN生成的KDN随机数、所述OBU生成的0脚随机数和所述0脚的公钥证书 进行加密处理后得到的;
[0454] 第一消息数字签名,其中,所述第一消息数字签名为所述OBU使用与所述OBU的公 钥证书中用于验证数字签名的公钥对应的私钥,对包含所述第一公钥加密密文和所述第一 对称加密密文的信息进行数字签名处理后得到的;
[0455] 其中,所述OBU对称加密密钥为所述OBU生成的用于数据加密的密钥。
[0456] 较佳地,上述密钥请求消息中还包括;用于表示该密钥请求消息类型的第一类型 信息、和/或用于表示使用OBU对称加密密钥的加/解密算法的第一对称加密算法;
[0457] 其中,第一消息数字签名为OMJ使用与该OBU的公钥证书中用于验证数字签名的 公钥对应的私钥,对包含第一类型信息和第一对称加密算法中的至少一个信息、第一公钥 加密密文、W及第一对称加密密文的信息进行数字签名处理后得到的。
[0458] 基于上述任一实施例,处理器101具体执行:
[0459] 对所述密钥请求消息进行验证;W及在对所述密钥请求消息的验证通过后,生成 包含所述消息组密钥的相关信息的密钥应答消息。
[0460] 在实施中,处理器101对所述密钥请求消息进行验证,包括:
[0461] 使用与所述KDN的公钥证书中用于数据加密的公钥对应的私钥,对所述密钥请求 消息中的第一公钥加密密文进行解密,W获取所述OBU对称加密密钥;使用所述OBU对称加 密密钥,对所述密钥请求消息中的第一对称加密密文进行解密,W获取KDN随机数、OBU随 机数和所述OBU的公钥证书;在判断出所述第一对称加密密文中携带的KDN随机数与通过 收发机103向所述OBU已发送的KDN随机数相同、所述OBU的公钥证书在有效期内且为合 法证书、W及根据所述OBU的公钥证书中用于验证数字签名的公钥确定出所述第一消息数 字签名有效后,确定所述密钥请求消息的验证通过。
[0462] 基于上述任一实施例,所述密钥应答消息中包括:
[0463] 第二公钥加密密文,所述第二公钥加密密文为处理器101使用所述密钥请求消息 中携带的所述OBU的公钥证书中用于数据加密的公钥,对KDN对称加密密钥进行加密处理 后得到的;
[0464] 第二对称加密密文,所述第二对称加密密文为处理器101使用所述KDN对称加密 密钥,对所述密钥请求消息中携带的所述OBU生成的OBU随机数和对称加密算法中使用的 消息组密钥的相关信息进行加密处理后得到的;
[0465] 第二消息数字签名,所述第二消息数字签名为处理器101使用与所述邸N的公钥 证书中用于验证数字签名的公钥对应的私钥,对包含所述第二公钥加密密文和所述第二对 称加密密文的信息进行数字签名处理后得到的;
[0466] 其中,所述KDN对称加密密钥为处理器101生成的用于数据加密的密钥。
[0467] 在实施中,第二对称加密密文中的消息组密钥的相关信息中的消息组密钥记录包 括:
[046引 KMC为该邸N生成的消息组密钥记录;或者
[0469] KMC为该邸N生成的消息组密钥记录、W及KMC为该邸N相邻的邸N生成的消息组 密钥记录。
[0470] 较佳地,密钥应答消息中还包括;用于表示该密钥应答消息类型的第二类型信息、 和/或用于表示使用KDN对称加密密钥的加/解密算法的第二对称加密算法;
[0471] 相应的,第二消息数字签名为处理器101使用与该邸N的公钥证书中用于验证数 字签名的公钥对应的私钥,对包含第二类型信息和第二对称加密算法中的至少一个信息、 第二公钥加密密文、W及第二对称加密密文的信息进行数字签名处理后得到的。
[0472] 基于上述任一实施例,处理器101通过收发机103接收到所述OMJ发送的密钥请 求消息之前,还用于:
[0473] 通过收发机103接收所述OMJ发送的证书请求消息,所述证书请求消息用于获取 所述KDN的公钥证书;生成KDN随机数,W及生成包含自身的公钥证书和所述KDN随机数的 证书应答消息;W及通过收发机103将所述证书应答消息发送给所述0BU。
[0474] 在实施中,收发机103 W明文形式将所生成的证书应答消息发送给OBU。
[0475] 下面结合一个具体实例,对本发明实施例提供的OBU的硬件结构进行说明。如图 11所示,该OBU包括:
[0476] 处理器111,用于读取存储器112中的程序,执行下列过程:
[0477] 自身所属的0脚与所在小区所属的KDN建立通信连接后,通过收发机113向所述 KDN发送密钥请求消息,所述密钥请求消息用于请求KDN发布对称加密算法中使用的消息 组密钥的相关信息;通过收发机113接收所述KDN返回的针对所述密钥请求消息的密钥应 答消息,并从所述密钥应答消息中获取所述消息组密钥的相关信息;通过收发机113向所 述KDN返回针对所述密钥应答消息的确认应答消息,并释放与所述KDN建立的通信连接。
[0478] 收发机113,用于在处理器111的控制下接收和发送数据。
[0479] 其中,在图11中,总线架构可W包括任意数量的互联的总线和桥,具体由处理器 111代表的一个或多个处理器和存储器112代表的存储器的各种电路链接在一起。总线架 构还可W将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,送 些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机 113可W是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信 的单元。处理器111负责管理总线架构和通常的处理,存储器112可W存储处理器111在 执行操作时所使用的数据。
[0480] 本发明实施例中,消息组密钥的相关信息包括;KMC为至少一个KDN生成的消息组 密钥记录;其中,每条消息组密钥记录包括:消息组密钥、和使用该消息组密钥的加解密算 法。
[0481] 较佳地,每条消息组密钥记录还包括W下信息中的至少一种:
[0482] 消息组密钥对应的KDN的标识信息、该消息组密钥的标识信息、使用该消息组密 钥的有效时间信息、使用该消息组密钥的有效地理区域信息、W及KMC对该条消息组密钥 记录进行签名处理后得到的数字签名信息。
[0483] 其中,OBU或邸N可W使用KMC的公钥证书中用于验证数字签名的公钥对消息组 密钥记录中的数字签名信息进行验证,W验证该条消息组密钥记录的真实性。
[0484] 需要说明的是,KMC所生成的每个消息组密钥对应一条消息组密钥记录,该消息组 密钥记录中记录着与该消息组密钥相关的各种信息。
[0485] 本发明实施例中,消息组密钥的相关信息中的消息组密钥记录包括:
[048引 KMC为该邸N生成的消息组密钥记录;或者
[0487] KMC为该邸N生成的消息组密钥记录、W及KMC为该邸N相邻的邸N生成的消息组 密钥记录。
[0488] 本发明实施例中,所述密钥请求消息中包括:
[0489] 第一公钥加密密文,其中,所述第一公钥加密密文为处理器111使用所述KDN的公 钥证书中用于数据加密的公钥,对OMJ对称加密密钥进行加密处理后得到的;
[0490] 第一对称加密密文,其中,所述第一对称加密密文为处理器111使用所述OMJ对称 加密密钥,对所述KDN生成的KDN随机数、所述第二单元生成的0脚随机数和所述0脚的公 钥证书进行加密处理后得到的;
[0491] 第一消息数字签名,其中,所述第一消息数字签名为处理器111使用与所述OMJ的 公钥证书中用于验证数字签名的公钥对应的私钥,对包含所述第一公钥加密密文和所述第 一对称加密密文的信息进行数字签名处理后得到的;
[0492] 其中,所述OMJ对称加密密钥为处理器111生成的用于数据加密的密钥。
[0493] 较佳地,上述密钥请求消息中还包括;用于表示该密钥请求消息类型的第一类型 信息、和/或用于表示使用OBU对称加密密钥的加/解密算法的第一对称加密算法;
[0494] 其中,第一消息数字签名为处理器111使用与该OBU的公钥证书中用于验证数字 签名的公钥对应的私钥,对包含第一类型信息和第一对称加密算法中的至少一个信息、第 一公钥加密密文、W及第一对称加密密文的信息进行数字签名处理后得到的。
[0495] 本发明实施例中,所述密钥应答消息中包括:
[0496] 第二公钥加密密文,其中,所述第二公钥加密密文为所述KDN使用所述密钥请求 消息中携带的所述OBU的公钥证书中用于数据加密的公钥,对KDN对称加密密钥进行加密 处理后得到的;
[0497] 第二对称加密密文,其中,所述第二对称加密密文为所述KDN使用所述KDN对称加 密密钥,对所述密钥请求消息中携带的所述OBU生成的OBU随机数和对称加密算法中使用 的消息组密钥的相关信息进行加密处理后得到的;
[0498] 第二消息数字签名,其中,所述第二消息数字签名为所述邸N使用与所述邸N的公 钥证书中用于验证数字签名的公钥对应的私钥,对包含所述第二公钥加密密文和所述第二 对称加密密文的信息进行数字签名处理后得到的;
[0499] 其中,所述KDN对称加密密钥为所述KDN生成的用于数据加密的密钥。
[0500] 较佳地,密钥应答消息中还包括;用于表示该密钥应答消息类型的第二类型信息、 和/或用于表示使用KDN对称加密密钥的加/解密算法的第二对称加密算法;
[0501] 相应的,第二消息数字签名为KDN使用与该KDN的公钥证书中用于验证数字签名 的公钥对应的私钥,对包含第二类型信息和第二对称加密算法中的至少一个信息、第二公 钥加密密文、W及第二对称加密密文的信息进行数字签名处理后得到的。
[0502] 在实施中,第二对称加密密文中的消息组密钥的相关信息中的消息组密钥记录包 括:
[050引 KMC为该邸N生成的消息组密钥记录;或者
[0504] KMC为该邸N生成的消息组密钥记录、W及KMC为该邸N相邻的邸N生成的消息组 密钥记录。
[0505] 基于上述任一实施例,处理器111通过收发机113接收到所述邸N发送的密钥应 答消息之后,还用于:
[0506] 对所述密钥应答消息进行验证;W及对所述密钥应答消息的验证通过后,生成针 对所述密钥应答消息的确认应答消息。
[0507] 在实施中,处理器111对所述密钥应答消息进行验证,包括:
[050引使用所述KDN的公钥证书中用于验证数字签名的公钥对所述密钥应答消息中的 第二消息数字签名进行验证;若验证通过,使用与所述OMJ的公钥证书中用于数据加密的 公钥对应的私钥,对所述密钥应答消息中的第二公钥加密密文进行解密,W获取所述KDN 对称加密密钥;使用所述KDN对称加密密钥,对所述密钥应答消息中的第二对称加密密文 进行解密,W获取OBU随机数和所述消息组密钥的相关信息;在判断出所述第二对称加密 密文中携带的O脚随机数与通过收发机113向所述KDN已发送的OBU随机数相同后,使用 KMC的公钥证书中用于验证数字签名的公钥对所述消息组密钥的相关信息中包含的消息组 密钥记录进行验证,并在验证通过后,确定所述密钥应答消息的验证通过,并保存所述消息 组密钥的相关信息中包含的消息组密钥记录。
[0509] 基于上述任一实施例,处理器111通过所述收发机113向所述邸N发送密钥请求 消息之前,还用于:
[0510] 通过收发机113向所述KDN发送证书请求消息,所述证书请求消息用于获取所述 KDN的公钥证书;W及通过收发机113接收所述KDN返回的证书应答消息,其中,所述证书 应答消息中包括所述KDN生成KDN随机数和所述KDN的公钥证书。
[0511] 在实施中,收发机113 W明文形式向邸N发送证书请求消息。
[0512] 本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序 产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实 施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机 可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产 品的形式。
[0513] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程 图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一 流程和/或方框、W及流程图和/或方框图中的流程和/或方框的结合。可提供送些计算 机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理 器W产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生 用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能 的装置。
[0514] 送些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备W特 定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指 令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或 多个方框中指定的功能。
[0515] 送些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计 算机或其他可编程设备上执行一系列操作步骤W产生计算机实现的处理,从而在计算机或 其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图 一个方框或多个方框中指定的功能的步骤。
[0516] 尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造 性概念,则可对送些实施例作出另外的变更和修改。所W,所附权利要求意欲解释为包括优 选实施例W及落入本发明范围的所有变更和修改。
[0517] 显然,本领域的技术人员可W对本发明进行各种改动和变型而不脱离本发明的精 神和范围。送样,倘若本发明的送些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含送些改动和变型在内。
【主权项】
1. 一种密钥信息的发送方法,其特征在于,该方法包括: 密钥分发节点KDN与车载设备OBU建立通信连接后,接收所述OBU发送的密钥请求消 息,所述密钥请求消息用于请求所述KDN发布对称加密算法中使用的消息组密钥的相关信 息; 所述KDN生成包含所述消息组密钥的相关信息的密钥应答消息,并将所述密钥应答消 息发送给所述OBU ; 所述KDN接收到所述OBU针对所述密钥应答消息的确认应答消息后,释放与所述OBU 建立的通信连接。2. 如权利要求1所述的方法,其特征在于,所述消息组密钥的相关信息包括:密钥管理 中心KMC为至少一个KDN生成的消息组密钥记录; 其中,所述消息组密钥记录包括:所述消息组密钥、和使用所述消息组密钥的加解密算 法。3. 如权利要求2所述的方法,其