(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210689120.1 (22)申请日 2022.06.16 (71)申请人 东软睿驰汽车技 术(沈阳)有限公司 地址 110172 辽宁省沈阳市沈抚新区金枫 街75-1号 (72)发明人 鹿弋炜　曹斌　李冰　 (74)专利代理 机构 北京超成律师事务所 1 1646 专利代理师 王晓菲 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 业务证书获取方法、 装置和电子设备 (57)摘要 本发明提供了一种业务证书获取方法、 装置 和电子设备， 涉及车联网的技术领域， 本发明提 供的业务证书获取方法， 在PKI系统与客户端之 间部署PKI前置代理服务器， 任何情况下， PKI前 置代理服务器和客户端均能通过预设服务端证 书、 预设CA私钥、 预设安全代理专用CA证书以及 预先协商的预置共享密钥的生成算法实现双向 的身份认证。 PKI前置代理服务器的部署以及客 户端业务证书获取流程的设计， 能够有效地降低 PKI系统受到恶意攻击的风险， 保障了PKI系统的 安全。 权利要求书2页 说明书11页 附图4页 CN 114978751 A 2022.08.30 CN 114978751 A 1.一种业 务证书获取 方法， 其特 征在于， 应用于客户端， 所述方法包括： 将第一随机数和所述客户端的唯一ID发送至PKI前置代理服务器； 其中， 所述PKI前置 代理服务器部署于所述 客户端与PKI系统之间； 接收所述PKI前置代 理服务器返回的预设服务端证书、 第 一加密结果和第二随机数； 其 中， 所述第一加密结果为所述PKI前置代理服务器确定所述唯一ID合法的情况下， 利用预设 CA私钥对所述第一随机数进行加密后得到的结果； 基于预设安全代理专用CA证书和所述第一随机数对所述预设服务端证书和所述第一 加密结果进行 校验， 得到第一校验结果； 在确定所述第 一校验结果为通过的情况下， 利用第 一预置共享密钥对所述第 二随机数 进行加密， 得到第二加密结果， 并将所述第二加密结果发送至所述PKI前置代理服 务器； 接收所述PKI前置代理服务器反馈的通讯密钥， 并利用所述通讯密钥通过所述PKI前置 代理服务器向所述PKI系统获取业务证书； 其中， 所述通讯密钥 是所述PKI前置代理服务器 对所述第二加密结果校验通过的情况 下生成的密钥。 2.根据权利要求1所述的方法， 其特征在于， 所述基于预设安全代 理专用CA证书和所述 第一随机数对所述预设服务端证书和所述第一加密结果进行校验， 得到第一校验结果， 包 括： 判断所述预设服 务端证书是否为所述预设安全代理专用CA证书签发的证书； 若是， 则利用所述预设服务端证书所包含的预设CA公钥对所述第一加密结果进行解 密， 得到第一 解密结果； 判断所述第一 解密结果是否与所述第一随机数相同； 若所述第一 解密结果与所述第一随机数相同， 则确定所述第一校验结果 为通过； 若所述第一 解密结果与所述第一随机数不同， 则确定所述第一校验结果 为不通过。 3.根据权利要求1所述的方法， 其特征在于， 在利用第 一预置共享密钥对所述第 二随机 数进行加密之前， 所述方法还 包括： 利用第一预设根密钥对所述 客户端的唯一 ID进行处 理， 得到所述第一预置共享密钥。 4.根据权利要求3所述的方法， 其特征在于， 所述客户端的唯一ID包括以下至少一种： VIN， IMEI， ICCID， SN。 5.一种业 务证书获取 方法， 其特 征在于， 应用于PKI前置代理服 务器， 所述方法包括： 接收客户端发送的第一随机数和所述客户端的唯一ID； 其中， 所述PKI前置代理服务器 部署于所述 客户端与PKI系统之间； 在确定所述唯一ID合法的情况下， 利用预设CA私钥对所述第一随机数进行加密， 得到 第一加密结果； 将预设服 务端证书、 所述第一加密结果和第二随机数发送至所述 客户端； 接收所述客户端反馈的第二加密结果； 其中， 所述第二加密结果为所述客户端对所述 预设服务端证书和所述第一加密结果校验通过的情况下， 利用第一预置共享密钥对所述第 二随机数进行加密后得到的结果； 对所述第二加密结果进行校验， 得到第二校验结果， 并在确定所述第二校验结果为通 过的情况下， 发送通讯密钥至所述客户端， 以使 所述客户端利用所述通讯密钥通过所述PKI 前置代理服 务器向所述PKI系统获取业 务证书。权　利　要　求　书 1/2 页 2 CN 114978751 A 26.根据权利要求5所述的方法， 其特征在于， 在对所述第二加密结果进行校验之前， 所 述方法还 包括： 利用第二预设根密钥对所述 客户端的唯一 ID进行处 理， 得到第二预置共享密钥。 7.根据权利要求6所述的方法， 其特征在于， 所述对所述第二加密结果进行校验， 得到 第二校验结果， 包括： 利用所述第二预置共享密钥对所述第二加密结果进行解密， 得到第二 解密结果； 判断所述第二 解密结果是否与所述第二随机数相同； 若所述第二 解密结果与所述第二随机数相同， 则确定所述第二校验结果 为通过； 若所述第二 解密结果与所述第二随机数不同， 则确定所述第二校验结果 为不通过。 8.一种业 务证书获取装置， 其特 征在于， 应用于客户端， 所述装置包括： 第一发送模块， 用于将第一随机数和所述客户端的唯一ID发送至PKI前置代理服务器； 其中， 所述PKI前置代理服 务器部署于所述 客户端与PKI系统之间； 第一接收模块， 用于接收所述PKI前置代 理服务器返回的预设服务端证书、 第一加密结 果和第二随机数； 其中， 所述第一加密结果为所述PKI前置代理服务器确定所述唯一ID合法 的情况下， 利用预设CA私钥对所述第一随机数进行加密后得到的结果； 校验模块， 用于基于预设安全代 理专用CA证书和所述第 一随机数对所述预设服务端证 书和所述第一加密结果进行 校验， 得到第一校验结果； 加密发送模块， 用于在确定所述第一校验结果为通过的情况下， 利用第一预置共享密 钥对所述第二随机数进 行加密， 得到第二加密结果， 并将所述第二加密结果 发送至所述PKI 前置代理服 务器； 接收获取模块， 用于接收所述PKI前置代 理服务器反馈的通讯密钥， 并利用所述通讯密 钥通过所述PKI前置代理服务器向所述PKI系统获取业务证书； 其中， 所述通讯密钥 是所述 PKI前置代理服 务器对所述第二加密结果校验通过的情况 下生成的密钥。 9.一种业 务证书获取装置， 其特 征在于， 应用于PKI前置代理服 务器， 所述装置包括： 第二接收模块， 用于接收客户端发送的第一随机数和所述客户端的唯一ID； 其中， 所述 PKI前置代理服 务器部署于所述 客户端与PKI系统之间； 加密模块， 用于在确定所述唯一ID合法的情况下， 利用预设CA私钥对所述第一随机数 进行加密， 得到第一加密结果； 第二发送模块， 用于将预设服务端证书、 所述第一加密结果和第二随机数发送至所述 客户端； 第三接收模块， 用于接收所述客户端反馈的第 二加密结果； 其中， 所述第 二加密结果为 所述客户端对所述预设服务端证书和所述第一加密结果校验通过的情况下， 利用第一预置 共享密钥对所述第二随机数进行加密后得到的结果； 校验发送模块， 用于对所述第 二加密结果进行校验， 得到第 二校验结果， 并在确定所述 第二校验结果为通过 的情况下， 发送通讯密钥至所述客户端， 以使所述客户端利用所述通 讯密钥通过 所述PKI前置代理服 务器向所述PKI系统获取业 务证书。 10.一种电子设备， 包括存储器、 处理器， 所述存储器上存储有可在所述处理器上运行 的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现上述权利要求1至7中 任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114978751 A 3