1、概述
本文主要讲述ISO15118-20:2022标准所有证书结构的关联关系,目的是为后续基于ISO15118-20车桩通讯及PNC充电等提供基础支撑。
本文所有的证书关系图全部来源于ISO15118-20:2022标准规范,在后续的讲解过程会将图的摘取出处给提供出来,便于后期文章和标准对应起来解读。
2、证书结构Certificate structure关系
2.1 源自 V2G 根 CA 证书的强制性证书结构Mandatory certificate structure originating from V2G root CA certificate
注:下图来源ISO15118-20:2022的章节7.3.2.1的图5
说明:下图为SECC 证书的签发过程
这段描述似乎来自于某个关于证书颁发体系的文档,特别是与车辆到电网(Vehicle-to-Grid,简称V2G)相关的安全架构。这里提到的是证书结构的不同配置选项,以及它们如何从V2G根CA(V2G root CA)证书派生。下面是对这些选项的解释:
a. 可选证书:如果子CA1(sub-CA1)不存在,那么子CA2(sub-CA2)将直接由V2G根CA签发。这意味着在证书链中,子CA2可以直接从根CA获得证书,而不需要通过子CA1。
b. 直接认证:使用子CA1是可选的。这表明在证书颁发体系中,子CA1的角色不是必需的。即使没有子CA1,证书颁发过程仍然可以正常进行。
c. 可选直接认证:如果子CA1存在,那么它将负责签发子CA2的证书。这种情况下,子CA1充当中间CA的角色,为子CA2颁发证书,从而在证书链中形成了一个额外的层级。
图5(Figure 5)可能是文档中的一个图表,展示了从V2G根CA证书派生的强制性证书结构。这个结构可能包含了上述的可选和直接认证的路径。
在实际的V2G安全架构中,这样的证书结构设计允许灵活地管理和扩展证书颁发体系。例如,如果需要增加额外的安全层级或管理更多的子CA,可以通过引入子CA1来实现。如果不需要这样的层级,或者在某些情况下为了简化流程,可以直接由根CA签发子CA2的证书。这种设计提供了灵活性,同时确保了整个系统的安全性。
CPS Leaf Certificate:
CPS(Certificate Provisioning System)是一个系统,用于管理SSL/TLS证书的整个生命周期,包括请求新证书、修改现有证书、自动续订证书以及删除证书。
叶证书(leaf certificate)是证书链中的最低层证书,通常直接安装在服务器或客户端上。它由上级CA(证书颁发机构)签发,并且通常包含证书持有者的信息和公钥。在SSL/TLS握手过程中,叶证书用于建立安全连接。
Provisioning Service:
配置服务(provisioning service)是一个用于自动配置和管理设备的过程或系统。在物联网(IoT)领域,这通常涉及到在设备首次连接到网络时自动注册和配置设备。
在数字证书的上下文中,配置服务可能涉及到自动生成、分发和安装叶证书到设备上,确保设备能够安全地与服务器或其他设备通信。
在在线证书状态协议(OCSP)中,签名OCSP响应(signing OCSP response)是一个关键的安全步骤,它确保了响应的真实性和完整性。当证书颁发机构(CA)的OCSP响应服务器生成一个OCSP响应时,这个响应通常会包含证书的状态信息,比如证书是否被吊销。为了验证这个响应确实来自可信的CA,并且没有在传输过程中被篡改,响应会被CA的私钥签名。
签名OCSP响应的过程通常涉及以下几个步骤:
-
生成OCSP请求:客户端(如Web浏览器)生成一个OCSP请求,该请求包含要检查状态的证书的相关信息,如证书序列号和颁发者名称。
-
发送请求:客户端将OCSP请求发送到CA的OCSP响应服务器。
-
生成响应:CA的OCSP响应服务器检查请求中的证书状态,并生成一个包含证书状态的OCSP响应。这个响应可能包含一个“此响应”(thisUpdate)时间戳,指示响应的生成时间。
-
签名响应:CA使用其私钥对OCSP响应进行签名。这个签名通常包括要被签名的数据(toBeSigned)和签名信息(SignatureInfo),后者包含了签名算法和签名本身。
-
发送签名响应:签名后的OCSP响应被发送回客户端。
-
验证响应:客户端使用CA的公钥(通常在CA的根证书中)来验证OCSP响应的签名。如果签名验证成功,这表明响应确实来自CA,并且自生成以来未被篡改。
</
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
