CCC3.0证书链

证书链与数据

证书信任链是指：A用私钥给B签名，B用私钥给C签名。那么在C在验签时，需要用B的公钥验证C证书上B的数字签名，还要用C的公钥验证B证书上A的数字签名。这样就构成了信任链（证书链）。

 

SE root CA 证书（A）：SE制造商的证书，受OEM CA信任，负责对嵌入在手机中的SE的SE root证书进行签名。

SE root 证书（B）：每一片SE芯片上的证书，由SE ROOT CA签名。本证书可以对InstanceCA证书进行校验（验签），如果校验通过，DeviceOEM CA会在车主配对过程中，颁发证书E（Instance CA Certificate (Signed by Device OEM) per Vehicle OEM）给车辆端

InstanceCA证书（C）（一签）：存放于手机端。由applet产生，由SE root签名，一个车厂一个。设备厂商服务器用B证书的公钥校验C证书，通过后就会使用自己的私钥对C证书进行签名生成一个新证书E颁发给车辆端。

Device OEM CA（D）证书：device厂商CA证书

InstanceCA证书（E）（二签）：存放于车辆端，由SE root和Devcie OEM CA.SK签名

Device OEM CA证书（F）（一签）：由Vehicle OEM CA对D进行签名，配对时发送给车辆端

digital key（G）：车主配对过程中，车辆需要将创建数字秘钥，比如车辆标识符等所需数据单元提供给手机端。

digital key证书（H）：由InstanceCA签名，在配对过程中发送给车辆端，自此EFH组成一个完整证书链

VehicleOEM CA证书（J）：vehicle厂商自签名证书，需要事先提供给手机端。每辆车的验证起点都是J。经过多级验签，最后才会得到一个合法数字密钥的公钥，任何一个失败，车辆端都不会提取公钥去使用。

Vehicle public key 证书（K）：K是用J的私钥对车辆端的永久公私秘钥签名得到的，保证公钥来自J。然后在车主配对时发送给手机端。由于J在手机内预置，所以手机进行验签。在接受L之前，需验证永久公钥来源合法性

DigitalKey创建数据（L）：？

VehicleOEM CA证书（M）（一签）：由device OEM CA签名，与前面的F证书类似，都是手机厂与车厂互签，对应的也就由车辆端发给手机端。之后就手机端就可以用D验签。

------------------------------------------------------------------------------------------------------------

 Instance CA Attestation per Vehicle OEM：证书【N】就是数字密钥小程序产生一个实例公私密钥对(注意一个车厂对应一个，并不是每一辆车都有一个不同的)，然后进行自签名就得到自签名证书【N】，证书【N】是证书链模型2中使用到的，而目前都是按照证书链模型1来执行的。