证书链与数据
证书信任链是指:使用者密钥标识符与颁发证书的授权密钥标识符一一对应。
SE root CA 证书(A):SE制造商的证书,受OEM CA信任,负责对嵌入在手机中的SE的SE root证书进行签名。
SE root 证书(B):每一片SE芯片上的证书,由SE ROOT CA签名。本证书可以对InstanceCA证书进行校验(验签),如果校验通过,DeviceOEM CA会在车主配对过程中,颁发证书E(Instance CA Certificate (Signed by Device OEM) per Vehicle OEM)给车辆端
InstanceCA证书(C)(一签):存放于手机端。由applet产生,由SE root签名,一个车厂一个。设备厂商服务器用B证书的公钥校验C证书,通过后就会使用自己的私钥对C证书进行签名生成一个新证书E颁发给车辆端。
Device OEM CA(D)证书:device厂商CA证书
InstanceCA证书(E)(二签):存放于车辆端,由SE root和Devcie OEM CA.SK签名
Device OEM CA证书(F)(一签):由Vehicle OEM CA对D进行签名,配对时发送给车辆端
digital key(G):车主配对过程中,车辆需要将创建数字秘钥,比如车辆标识符等所需数据单元提供给手机端。
digital key证书(H):由InstanceCA签名,在配对过程中发送给车辆端,自此EFH组成一个完整证书链
VehicleOEM CA证书(J):vehicle厂商自签名证书,需要事先提供给手机端。每辆车的验证起点都是J。经过多级验签,最后才会得到一个合法数字密钥的公钥,任何一个失败,车辆端都不会提取公钥去使用。
Vehicle public key 证书(K):K是用J的私钥对车辆端的永久公私秘钥签名得到的,保证公钥来自J。然后在车主配对时发送给手机端。由于J在手机内预置,所以手机进行验签。在接受L之前,需验证永久公钥来源合法性
DigitalKey创建数据(L):?
VehicleOEM CA证书(M)(一签):由device OEM CA签名,与前面的F证书类似,都是手机厂与车厂互签,对应的也就由车辆端发给手机端。之后就手机端就可以用D验签。
------------------------------------------------------------------------------------------------------------
Instance CA Attestation per Vehicle OEM:证书【N】就是数字密钥小程序产生一个实例公私密钥对(注意一个车厂对应一个,并不是每一辆车都有一个不同的),然后进行自签名就得到自签名证书【N】,证书【N】是证书链模型2中使用到的,而目前都是按照证书链模型1来执行的。
总结:
手机端特有的证书有:车辆公钥证书(车厂CA签名),车辆CA证书(手机厂签名),InstanceCA证书(se root签名)
车辆端特有的证书有:digital key证书(InstanceCA签名),Device OEM CA证书(车厂签名),InstanceCA证书(se root签名和手机厂CA签名)
其他证书:手机厂CA,车厂CA,SE厂CA,se芯片证书
标签:证书,CA,CCC3.0,签名,OEM,手机,SE From: https://www.cnblogs.com/MiraculousB/p/16636124.html