目录
一、29服务支持安全概念
二、基于APCE的认证(KPI)
三、基于ACR认证
一、29服务支持安全概念
1、APCE:采用非对称加密的基于PKI证书交换程序的认证
2、ACR:采用对称或非对称加密的基于挑战确认流程的认证
子功能介绍:
1、authenticationTask——身份验证服务用于身份验证、去身份验证和显示证书传输
2、deAuthenticate——主动结束认证状态
3、verifyCertificateUnidirectional ——启动带向身份验证过程,仅针对服务器对客户端的身份验证
4、verifyCertificateBidirectional ——启动带向身份验证过程,仅针对服务器对客户端的身份验证和客户端对服务器的认证
5、proofOfOwnership ——用于将所有权证明数据传输给客户端
6、transmitCertificate ——独立地或在先前的认证之后传输证书
二、基于APCE的认证(KPI)
单向认证:
1、client发送证书至server,证书中包含client的公钥
2、server收到证书后确认证书的有效性(使用PKI提供的证书有效性检查功能),验证client是否合法,若不合法则停止认证流程,返回否定响应,合法则继续认证流程
3、server发送针对证书的challenge消息,请求client对所发证书的所有权证明(proof of ownership),消息中包含认证所需随机数
4、client接收到challenge后使用私钥对接收到的随机数进行计算得到签名,放入响应消息中发给server
5、server使用client的公钥解密并验证应答消息中的签名信息,与challenge消息比较,向client回复认证结果
双向认证:
1、双向认证请求:证书(含客户端公钥) + challenge1(对ECU的challenge)
2、ECU验证证书有效性后 创建对客户端的challenge2 通过challenge1和私钥计算出所有权证明 公钥 服务器证书
响应为:challenge2 + 服务器证书和证书所有权证明 + 服务器公钥
3、客户端验证根据所得临时公钥验证服务器证书和其证书所有权证明是否有效 有效之后根据challenge2和客户端私钥计算客户端证书所有权证明
请求为 :客户端证书所有权证明
4、服务器验证客户端证书所有权证明,返回响应
三、基于ACR认证
ACR认证流程与APCE相似,且相对更简单,其中计算所有权证明的方法如下:
1、对于非对称加密来说与APCE流程类似,需要建立包含challenge数据,令牌授权,认证,以及可选的附加信息等令牌内容,并使用私钥计算得到令牌内容签名,生成的认证令牌包含令牌内容及签名。接收方使用公钥解密并使用相同方法计算令牌内容,验证计算结果是否一致,从而完成对认证结果的判断。令牌的生成推荐基于ISO/IEC 9798-2 或 ISO/IEC 9798-4 (mutual, three pass authentication),或与之相当的认证令牌。
2、对于对称加密来说,需要基于先前共享的对称密钥来计算签名信息,对方也根据相同的密钥进行解密,计算及比对完成验证。令牌的生成推荐基于ISO/IEC 9798-2 或 ISO/IEC 9798-4 (mutual, three pass authentication),或与之相当的认证令牌。
使用ACR方式时,前一次认证中激活的诊断访问权限可以由新的ACR认证流程代替
