基于车路协同的通信证书管理技术规范

基于车路协同的通信证书管理技术规范

范围与目的

本规范规定了使用注册证书获得通信证书（身份证书和应用证书）的技术要求，适用于车载单元（OBU）和路边站（RSU）申请通信证书的场景。规范详细描述了申请通信证书和证书撤销列表（CRL）的流程，以及通信证书申请主体与颁发主体（注册证书机构ECA、应用证书机构ACA）间的接口定义。

技术架构

• PKI架构：支持统一根PKI架构和非统一根PKI架构。
  • 统一根PKI架构：所有证书机构（ECA、ACA等）均由统一根证书机构（RCA）下发的证书颁发，简化证书验证。
  • 非统一根PKI架构：多个独立PKI系统通过“可信证书列表（CTL）”实现互信，由证书可信关系管理机构（CTRA）颁发CTL，动态管理可信根CA证书。
• 证书类型：
  • 注册证书：由ECA颁发，用于OBU/RSU申请通信证书。
  • 通信证书：包括OBU使用的身份证书和RSU使用的应用证书。
  • 根证书：由RCA颁发，信任链的起始结点。

流程定义

• 申请通信证书：
  1. OBU/RSU生成密钥对，创建证书请求消息并签名。
  2. 将请求连同注册证书发送至ARA。
  3. ARA验证注册证书有效性，解密/验证请求，返回响应。
  4. 若需AAA授权，ARA请求AAA，获得授权令牌后向ACA发送证书生成请求。
  5. ACA生成通信证书，返回至ARA，ARA打包并存储供下载。
  6. OBU/RSU请求下载证书，ARA响应并传输证书。
• 更新证书：流程同申请证书。
• 申请CRL：
  1. CRA定期更新CRL并签名，下发至ARA。
  2. OBU/RSU请求下载CRL，ARA响应。
  3. OBU/RSU验证CRL并更新本地存储。

接口定义

• 申请证书接口：
  • 请求类型：HTTP POST/HTTPS POST，包含版本、时间、公钥等参数。
  • 响应类型：HTTP POST/HTTPS POST，包含版本、时间、证书下载时间等参数。
• 证书下载接口：
  • 请求类型：HTTP GET/HTTPS GET。
  • 响应类型：包含通信证书等参数。
• CRL申请接口：
  • 请求类型：HTTP GET/HTTPS GET。
  • 响应类型：包含证书吊销列表等参数。

互信机制

• 互信架构：通过可信根证书列表（TRCL）和可信域CA证书列表（TDCL）实现跨域认证。
  • TRCL：由TRCLA颁发，包含可信PKI系统的根证书和TDCL下载地址，需数字签名保护。
  • TDCL：由PKI系统颁发，包含其他PKI系统验证本系统证书所需的CA证书链，需数字签名保护。
• 互信管理过程：
  • 分布式模式：TRCLA提供签名证书和下载地址，各PKI系统发布TDCL，OBU/RSU自行下载并验证。
  • 集中式模式：TRCLA生成TRCL并提供给各PKI系统，各PKI系统写入TRCL和TDCL下载地址，OBU/RSU下载并验证。
• 互信认证过程：
  1. OBU/RSU接收签名消息，获取签名证书和颁发者标识。
  2. 比较颁发者标识与本地/可信CA证书，验证证书并检查CRL。
  3. 使用验证后的签名证书验证消息签名。

异常行为检测上报流程

• 异常行为定义：节点发送虚假或错误信息影响网络业务的行为。
• 检测流程：
  1. 本地检测：OBU/RSU根据接收消息和本地算法判断异常。
  2. 上报：将异常行为上报至MA进行进一步检测。
  3. 全局检测：MA汇总报告，决策是否为异常行为。
  4. 证书吊销：对确认的异常行为节点吊销证书。
• 接口定义：仅定义终端设备与MA之间的通信交互接口，不涉及具体检测实现和系统实体映射。