(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221041676 0.5 (22)申请日 2022.04.20 (71)申请人 一汽奔腾轿车有限公司 地址 130000 吉林省长 春市高新 开发区蔚 山路4888号 (72)发明人 王奕尧　李文强　马良　王晓光　 孙久龙　付子豪　刘岩曦　徐强　 张旭亮　 (74)专利代理 机构 长春吉大专利代理有限责任 公司 22201 专利代理师 郭佳宁 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 67/06(2022.01) (54)发明名称 一种基于数字证书的车云通信身份认证方 法 (57)摘要 本发明属于车云通信方法技术领域， 具体涉 及一种基于数字证书的车云通信身份认证方法； 该方法数据信息在车端的车载远程通信终端、 车 载信息娱乐系统和空中下载技术 以及云端的汽 车远程服务提供商之间传输， 数字证书负责对数 据加密和签名， 公钥基础设施负责数字证书的生 成、 分发和认证； 车端和云端在数据信息通信的 过程中， 要经过一个身份认证网关， 根据通信方 的数字证书验证通信方的身份， 身份认 证成功后 才能进行数据的传输过程； 本发 明方法对车云通 信增加了身份认 证过程， 可以提高远程通信的安 全性； 将公钥封装在数字证书中， 并采用公钥基 础设施， 增 加了公钥的明文传输的安全性。 权利要求书2页 说明书7页 附图2页 CN 115085927 A 2022.09.20 CN 115085927 A 1.一种基于数字证书的车云通信身份认证方法， 其特 征在于包括如下内容： 步骤1.临时通信证书的获取： 公钥基础设施将一个随机生成的PIN码和临时通信证书 发给云端汽车远程服务供应商， 云端汽 车远程服务供应商对PIN码进 行对称加密， 密钥使用 PackageKey， 然后将加密后的PIN码、 根证书链和临时通信 证书预置在车端， 将PackageKey 预置在车端的证书管理 组件中； 在准备进行正 式通信证书申请前， 车端利用Pack ageKey对PIN码进行解密， 并用解密后 的PIN码解开并得到临时通信证书； 步骤2.用临时通信证书申请正式通信证书： 步骤2.1车端利用临时通信证书中的公钥、 CN和签名打包成为设备证书， 利用这个临时 的设备证书与云端的身份认证网关 建立双向的TLS通信； 步骤2.2车端对CN进行摘要计算， 并利用临时通信证书中的私钥 对摘要进行签名处理， 得到签名CN； 步骤2.3车端与云端身份认证网关建立双向TLS连接后， 将车辆VIN、 车端设备标识码、 证书CN和签名CN 通过私有协议发送给云端 身份认证网关， 并等待回应； 收到肯定回应后， 车端将包含公钥的证书请求信息、 安全芯片生成的随机数和对随机 数的加密结果发送给云端 身份认证网关； 云端身份认证网关将这些数据信息通过单向TLS通信转发给云端汽车远程服务提供 商， 云端汽车远程服务供应商收到证书请求信息后， 调用公钥基础设施的SDK对请求信息进 行验证， 验证成功后通过SDK将 证书请求信息发给公钥基础设施， 公钥基础设施生 成正式通 信证书后通过 数据传输链路发回给 车端； 步骤3： 正式通信链路建立： 步骤3.1车端收到正式通信证书后立刻断开之前通过临时通信证书建立的双向的TLS 连接， 并利用正式通信证书与云端身份认证网关建立新的双向TLS通信， 并用正式通信证书 的私钥对正式通信证书的CN摘要值进行签名； 步骤3.2车端进行正式的数据传输和信息发送之前， 还要将车辆VIN、 设备唯一标识码、 正式通信证书的CN和对CN的签名通过私有协议发送给云端身份认证网关， 得到肯定回应 后， 正式进行后续数据传输和信息发送。 2.根据权利要求1所述的一种基于数字证书的车云通信身份认证方法， 其特征在于所 述步骤2.3中车端与云端身份认证网关建立双向TLS连接后， 将车辆VIN、 车端设备标识码、 证书CN和签名CN通过私有协 议发送给云端身份认证网关， 并等待回应； 若收到否定回应， 则 断开当前 连接返回步骤1。 3.根据权利要求1所述的一种基于数字证书的车云通信身份认证方法， 其特征在于所 述步骤3.2中若得到的不是肯定回应， 而是否 定回应时， 返回步骤1。 4.根据权利要求1所述的一种基于数字证书的车云通信身份认证方法， 其特征在于所 述步骤1中临时通信证书模板如下表所示：权　利　要　求　书 1/2 页 2 CN 115085927 A 25.根据权利要求1所述的一种基于数字证书的车云通信身份认证方法， 其特征在于所 述步骤2中生成的正式通信证书模板如下表所示： 权　利　要　求　书 2/2 页 3 CN 115085927 A 3