基于车路协同的通信证书管理技术规范
范围与目的
本规范规定了使用注册证书获得通信证书(身份证书和应用证书)的技术要求,适用于车载单元(OBU)和路边站(RSU)申请通信证书的场景。规范详细描述了申请通信证书和证书撤销列表(CRL)的流程,以及通信证书申请主体与颁发主体(注册证书机构ECA、应用证书机构ACA)间的接口定义。
技术架构
- PKI架构:支持统一根PKI架构和非统一根PKI架构。
- 统一根PKI架构:所有证书机构(ECA、ACA等)均由统一根证书机构(RCA)下发的证书颁发,简化证书验证。
- 非统一根PKI架构:多个独立PKI系统通过“可信证书列表(CTL)”实现互信,由证书可信关系管理机构(CTRA)颁发CTL,动态管理可信根CA证书。
- 证书类型:
- 注册证书:由ECA颁发,用于OBU/RSU申请通信证书。
- 通信证书:包括OBU使用的身份证书和RSU使用的应用证书。
- 根证书:由RCA颁发,信任链的起始结点。
流程定义
- 申请通信证书:
- OBU/RSU生成密钥对,创建证书请求消息并签名。
- 将请求连同注册证书发送至ARA。
- ARA验证注册证书有效性,解密/验证请求,返回响应。
- 若需AAA授权,ARA请求AAA,获得授权令牌后向ACA发送证书生成请求。
- ACA生成通信证书,返回至ARA,ARA打包并存储供下载。
- OBU/RSU请求下载证书,ARA响应并传输证书。
- 更新证书:流程同申请证书。
- 申请CRL:
- CRA定期更新CRL并签名,下发至ARA。
- OBU/RSU请求下载CRL,ARA响应。
- OBU/RSU验证CRL并更新本地存储。
接口定义
- 申请证书接口:
- 请求类型:HTTP POST/HTTPS POST,包含版本、时间、公钥等参数。
- 响应类型:HTTP POST/HTTPS POST,包含版本、时间、证书下载时间等参数。
- 证书下载接口:
- 请求类型:HTTP GET/HTTPS GET。
- 响应类型:包含通信证书等参数。
- CRL申请接口:
- 请求类型:HTTP GET/HTTPS GET。
- 响应类型:包含证书吊销列表等参数。
互信机制
- 互信架构:通过可信根证书列表(TRCL)和可信域CA证书列表(TDCL)实现跨域认证。
- TRCL:由TRCLA颁发,包含可信PKI系统的根证书和TDCL下载地址,需数字签名保护。
- TDCL:由PKI系统颁发,包含其他PKI系统验证本系统证书所需的CA证书链,需数字签名保护。
- 互信管理过程:
- 分布式模式:TRCLA提供签名证书和下载地址,各PKI系统发布TDCL,OBU/RSU自行下载并验证。
- 集中式模式:TRCLA生成TRCL并提供给各PKI系统,各PKI系统写入TRCL和TDCL下载地址,OBU/RSU下载并验证。
- 互信认证过程:
- OBU/RSU接收签名消息,获取签名证书和颁发者标识。
- 比较颁发者标识与本地/可信CA证书,验证证书并检查CRL。
- 使用验证后的签名证书验证消息签名。
异常行为检测上报流程
- 异常行为定义:节点发送虚假或错误信息影响网络业务的行为。
- 检测流程:
- 本地检测:OBU/RSU根据接收消息和本地算法判断异常。
- 上报:将异常行为上报至MA进行进一步检测。
- 全局检测:MA汇总报告,决策是否为异常行为。
- 证书吊销:对确认的异常行为节点吊销证书。
- 接口定义:仅定义终端设备与MA之间的通信交互接口,不涉及具体检测实现和系统实体映射。
