车联网安全 -- 数字证书到底证明了什么?

车联网安全--TLS握手过程详解里面,我们了解到握手时,Server会向Client发送Server Certificate,用于证明自己的身份合法,为什么会有这一步呢?

我们回顾一下数字签名的过程:

Bob将使用自己的公钥对"Hello Alice"的Hash值进行加密,那么相应就只能由Bob的公钥进行解密,并比对签名;

但如果在某种极端情况下(这是前提),Alice收到的Bob PublicKey被黑客篡改了,那么Bob与Alice的通信就会变成黑客与Alice的通信,并且Alice还难以察觉。

那么Bob为了证明 Bob PublicKey就是自己的,就需要通过数字证书来证明。

还是以身份证为例,身份证可以用于证实我就是我,前提条件就是该证是由国家权威机构进行颁发;那么同样道理,数字证书在网络世界被当作身份证,前提也是有第三方权威机构进行颁发,这个机构就叫做Certificate Authority(CA)机构。

CA机构一般是获得工信部《电子认证服务许可证》的机构,作为独立第三方权威机构提供电子认证服务,包括数字证书申请、签发、更新、撤销、查询及签名验签等服务。

那么如何申请数字证书呢?

根据中国电子银行网《六问六答,什么是数字证书?》讲到,**可以通过线下或线上两种方式申请数字证书。**携带个人有效身份证件(例如身份证、护照等),前往CA机构或者CA机构授权的注册机构现场办理数字证书。根据实际业务情况填写相关资料,并出示身份证件,便可申请数字证书。另外,CA机构为顺应业务办理线上化、数字化、便捷化的需求,也提供数字证书线上申请方式。

这里提到的注册机构就是Registration Authority,数字证书注册审批机构,主要受理证书申请请求、验证申请人身份,从而影响CA机构对于证书的签发。

为啥又要单独分RA呢?个人理解,还是为了功能解耦,比如说公司里某某合同验收付款最后签字的是老板,但验收过程可能还是下级去执行,不然老板要累蒙。

那Bob向RA提出证书申请需要哪些信息呢?实际身份、申请目的、证书用途。RA会对收到Bob的申请后就开启身份真实性验证,如果验证成功,就会同时告诉Bob和CA:Bob的身份没有问题,可以给他颁发证书了。

然后Bob就拿着这个批准去向CA申请证书签发,签发的信息包括:Bob的真实信息(例如他的公钥、用户名)、证书属性(版本号、有效期、序列号等等);与此同时,CA还会为Bob单独生成一个密钥对,然后用CA私钥对上述证书进行签名,得到证书的数字签名,最后连同证书一同发给Bob。

如下图:

我们在浏览器随便找个证书看看,基本信息如下图:

这里面包含了发证机构上图红框、使用者的公钥、证书有效期、签名所使用Hash算法等等。

那么Bob把证书发给Alice后,Alice首先要使用CA为Bob生成的公钥(不是证书里的公钥)对证书进行验签,验签成功,她才认为证书里的公钥确实是Bob的,那么他们就可以继续这个公钥进行下一步的密钥协商。

那么有朋友会说,如果黑客模拟CA机构在Bob和Alice握手时传递了一个假的证书,这不就出问题了吗?

确实有这个可能,但一般来说,CA的公钥一般是以根证书的形式预装的,例如上图中Root Certificate 2010,在浏览器中就是受信任的根证书颁发机构,如下:

在汽车领域里, 一般也由产线系统向V2X-CA机构申请证书,最后写入到OTP或者HSM独占NVM中,这个步骤要求在绝对可信环境,所以根证书也很难被做手脚。

最后,讲到这里就不能不提PKI(公钥基础设施)技术,它应该是目前主流的车联网信息安全解决方案,旨在保护V2X的安全通信,这里面涉及到的细节还没有完全搞明白,搞懂了再跟大家聊聊。

有兴趣的可以看看华为车联网C-V2X安全证书服务方案。

相关推荐
币之互联万物11 小时前
AQUA爱克泳池设备入驻济南校园,以品质筑牢游泳教育安全防线
安全
Linux运维老纪13 小时前
运维之 Centos7 防火墙(CentOS 7 Firewall for Operations and Maintenance)
linux·安全·centos·云计算·运维开发·火绒
360安全应急响应中心14 小时前
基于 RAG 提升大模型安全运营效率
安全·aigc
EasyNVR14 小时前
国标GB28181视频监控平台EasyCVR保驾护航休闲娱乐“九小场所”安全运营
网络·安全
Ai野生菌14 小时前
工具介绍 | SafeLLMDeploy教程来了 保护本地LLM安全部署
网络·人工智能·安全·大模型·llm
DevSecOps选型指南14 小时前
浅谈软件成分分析 (SCA) 在企业开发安全建设中的落地思路
安全·开源治理·软件成分分析·sca·软件供应链安全工具
cjchsh15 小时前
春秋云境(CVE-2023-23752)
安全
【云轩】15 小时前
《混沌钟的RISC-V指令集重构》
网络·安全
EasyGBS16 小时前
视频设备轨迹回放平台EasyCVR打造视频智能融合新平台,驱动智慧机场迈向数字新时代
网络·人工智能·安全·音视频