(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210996520.7 (22)申请日 2022.08.19 (71)申请人 东风汽车集团股份有限公司 地址 430056 湖北省武汉市武汉经济技 术 开发区东 风大道特1号 (72)发明人 孙伟　吴戈　王闯　李闯　王敬伟　 (74)专利代理 机构 武汉开元知识产权代理有限 公司 42104 专利代理师 俞鸿　邱霖 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种基于微服务的原子化车辆信息安全服 务系统和方法 (57)摘要 本发明公开了一种基于微服务的原子化车 辆信息安全服务系统和方法， 包括证书密钥管理 对接层、 密码学核心服务层、 业务处理层； 本发明 采用微服务的架构体系， 构建一个介于密码学基 础设施和车联网业务场景的安全服务平台， 面向 车联网不同业务场景提供密码学基础服务； 本发 明统一了不同业务的证书、 密码等安全服务的入 口， 降低对密码学厂商的技术依赖， 同时避免将 基础设施的API接口向车辆开发供应链无差别开 放； 通过解耦实现不同密码学设施的接入， 实现 了密码学服务的模块化、 高可用， 同时当业务出 现高并发时可以快速进行能力扩展； 降低了整车 开发中信息安全基础服务集 成开发的成本， 缩短 信息安全产品集成开发周期。 权利要求书2页 说明书5页 附图1页 CN 115514525 A 2022.12.23 CN 115514525 A 1.一种基于微服务的原子化车辆信息安全服务系统， 其特征在于， 包括证书密钥管理 对接层、 密码学核心服 务层、 业务处理层； 所述证书密钥管理对接层用于对接各个安全厂商提供的密码学基础 设施， 根据 各个安 全厂商提供的密码学基础设施的API接口， 形成密码学基础服 务的SDK包； 所述密码学核心服务层通过对接证书密钥管理对接层提供的密码学基础服务SDK包， 将各个不同的密码学基础设施所提供的接口封装为统一的接口； 所述业务处理层用于针对不同的业务所需要的密码学服务， 通过组合调用密码学核心 服务层封装的接口， 提供每个业务所需要的模块化SDK包， 所述模块化SDK包为各个不同的 业务提供对应的信息安全服 务。 2.如权利要求1所述的基于微服务的原子化车辆信 息安全服务系统， 其特征在于， 所述 证书密钥管理对接层包括PKI 服务对接模块和KMS服 务对接模块； 所述PKI服务对接模块用于对接厂商提供的PKI基础设施， 形成密码学基础服务的SDK 包； 所述KMS服务对接模块用于对接厂商提供的KMS基础设施， 形成密码学基础服务的SDK 包。 3.如权利要求1或2所述的基于微服务的原子化车辆信息安全服务系统， 其特征在于， 所述密码学核心服 务层中， 所述统一的接口为符合KMIP标准的接口。 4.如权利要求1所述的基于微服务的原子化车辆信 息安全服务系统， 其特征在于， 还包 括日志模块和访问控制模块； 所述日志模块用于在业务调用业务处理层提供的信息安全服务时， 增加日志记录， 用 于对业务所调用的接口名称、 调用时间、 请求数据、 响应数据进行记录； 所述访问控制模块用于基于双向认证机制为接入的业务发放安全证书， 通过证书对接 入的业务进行合法性认证。 5.如权利要求4所述的基于微服务的原子化车辆信 息安全服务系统， 其特征在于， 所述 业务处理层包括数字钥匙业务处理模块， 用于对数字钥匙服务提供数学钥匙和签名， 具体 步骤如下： 步骤1、 数字钥匙的业 务云平台申请派生数字钥匙及签名服 务； 步骤2、 访问控制模块对收到的申请进行HTTPS双向认证， 认证通过后将 收到的申请转 发给业务处理层对应的数字钥匙业 务处理模块； 步骤3、 数字钥匙业务处理模块调用密码学核心服务层提供的密钥派生和签名服务， 密 码学核心 服务层调用KMS提供的服务进 行密钥派生并完成签名后 将派生的数字钥匙和签名 返回给密码学核心服 务层； 步骤5、 数字钥匙业务处理模块从密码学核心服务层接收到数字钥匙和签名后， 向数字 钥匙的业 务云平台返回带签名的数字钥匙； 步骤6、 数字钥匙的业务云平台将数字钥匙和签名分发给申请数字钥匙的数字钥匙 app。 6.如权利要求5所述的基于微服务的原子化车辆信 息安全服务系统， 其特征在于， 所述 步骤5中包括： 数字钥匙业务处理模块对整个密钥申请和派生的过程生成审计日志， 所述审计日志包权　利　要　求　书 1/2 页 2 CN 115514525 A 2括本次所调用的接口名称、 调用时间、 请求数据、 响应数据进行记录 。 7.一种如权利要求1所述系统的基于微服务的原子化车辆信息安全服务方法， 其特征 在于， 包括如下步骤： 步骤1、 证书密钥管理对接层通过HTTPS的方式调用密码学基础设施提供的API接口， 形 成对应的密码学基础服 务的SDK包； 步骤2、 密码学核心服务层对证书密钥管理对接层形成的每个密码学基础服务的SDK 包， 按照KMIP的标准进行封装， 得到符合KMIP标准接口的SDK包； 所述符合KMIP标准接口的 SDK包以微 服务的形式被调用； 步骤3、 业务处理层按照每个业务的实际需求， 调用密码学核心服务层发布 的微服务， 提供每个业务所需要的信息安全服 务。 8.如权利要求7所述系统 的基于微服务的原子化车辆信 息安全服务方法， 其特征在于， 所述步骤1中， 对应的密码学基础服务的SDK包包括适用于PKI基础设施的SDK包和适用于 KMS基础设施的S DK包。 9.如权利要求7所述系统 的基于微服务的原子化车辆信 息安全服务方法， 其特征在于， 所述步骤3中还 包括： 在每个业务调用业务处理层提供的信息安全服务时， 记录每个业务所调用的接口名 称、 调用时间、 请求数据、 响应数据的记录 。 10.如权利要求7所述系统的基于微服务的原子化车辆信息安全服务方法， 其特征在 于， 所述步骤3中还 包括： 在每个业务调用业务处理层提供的信息安全服务时， 基于https双向认证机制为接入 的业务发放安全证书， 通过证书对接入的业 务进行合法性认证。权　利　要　求　书 2/2 页 3 CN 115514525 A 3