本发明专利技术公开了一种数字钥匙颁发、验证方法及系统。其中,数字钥匙颁发方法先由数字钥匙签发机构向主用户设备颁发主钥匙证书,随后可以用主钥匙证书,对目标设备使用人的临时数字车钥匙,即副钥匙证书签发请求中的特定信息进行数字签名等操作,获得主钥匙证书的专有标识,并由数字钥匙签发机构把主钥匙证书的专有标识包含在副钥匙证书中。在目标设备对副钥匙证书进行验证时,提取副钥匙证书中的主钥匙证书专有标识,通过签名验证等方法,验证专有标识的有效性,从而验证副钥匙证书的有效性。本发明专利技术能够简化数字钥匙管理的复杂度,降低数字钥匙的运营维护成本,还可以安全合规、便捷可靠地离线使用副钥匙证书。靠地离线使用副钥匙证书。靠地离线使用副钥匙证书。
【技术实现步骤摘要】
一种数字钥匙颁发、验证方法及系统
[0001]本专利技术属于使用无线通信的物理锁登入技术,尤其涉及一种数字钥匙颁发、验证方法及系统。
技术介绍
[0002]数字车钥匙(或称“汽车数字钥匙”)作为智能网联车的重要革新功能之一,将车钥匙功能集成在移动终端设备中,基于SE、TEE等安全技术,通过近场通信、蓝牙、蜂窝通信、超宽带等通信技术,采用对称密钥和非对称密钥技术对车辆使用者进行身份认证,以完成车辆的开门、启动等功能。借助数字车钥匙,车辆使用者可以使用智能手机、遥控钥匙和其他移动设备与车辆安全地通信、存储、验证和共享数字钥匙。其中,PKI数字证书技术大大增强了数字车钥匙解决方案的安全性。
[0003]如图1所示,当车辆所有者(机动车所有人,即车主)是个人时,他可以通过“车主移动终端设备”上的“车辆APP”与“数字车钥匙APP”的交互,再通过“车企数字车钥匙平台”获取数字车钥匙,从而控制车辆;车主也可以通过“车辆APP”与“数字车钥匙APP”的交互,再通过“车企数字车钥匙平台”,向司机或其他服务人员分享其数字车钥匙,后者通过车主分享的数字车钥匙来获得车辆的控制权。
[0004]同理,当车辆所有者是单位(单位用户、或者运输企业)时,车辆运营人员可以通过其车辆运营管理平台对接“车企数字车钥匙平台”,向司机或其他服务人员分享其数字车钥匙,从而进行车辆租赁、车队管理、车辆救援、车辆检修等经营活动。
[0005]使用传统PKI数字证书认证机制实现的数字车钥匙体系,需要采取一些复杂的手段来同时保证数字车钥匙在使用上的便利性和安全性。同时,传统方法还存在以下缺点:
[0006]当转移车辆所有权时,系统需要保证完全清除原车主分享的数字车钥匙的授权信息,以防止发生非经新车主授权的车辆控制事件;
[0007]代表车辆使用权转移而分享出去的数字车钥匙,并未携带可验证的车主的授权信息,需要借助于跨企业实体的车企数字车钥匙平台、用户单位或运输单位的车辆运营管理平台中的数据链,来形成可靠的电子授权证据链;
[0008]为了保证使用数字车钥匙的安全有效性,车辆往往需要在线验证司机或其他服务人员持有的移动终端设备上的数字车钥匙的真实有效性。当车辆处于地下停车场、野外等特殊环境下,缺乏联网条件或联网条件恶劣,就难以在线验证数字车钥匙的有效性。
技术实现思路
[0009]针对上述技术问题,本专利技术是目的是提供一种数字钥匙颁发、验证方法及系统,解决车辆或其他设备在缺乏联网条件或联网条件等恶劣的情况下离线使用副钥匙的问题,简化保证临时让渡目标设备使用权的不可否认性的过程。
[0010]为达到上述目的,本专利技术采用的技术方案为:一种数字钥匙颁发、验证方法,实现用主用户设备的数字钥匙作为主钥匙,创建一个或多个临时数字钥匙,也即副钥匙。
[0011]本专利技术的第一方面,提供一种数字钥匙颁发方法,包括以下步骤:
[0012]终端系统的数字钥匙签发机构向主用户设备颁发主钥匙证书。
[0013]当主用户设备收到副钥匙签发申请,将包括主用户数字签名、主钥匙证书的信息提交至终端系统的数字钥匙平台。
[0014]数字钥匙平台根据副钥匙签发申请、主用户数字签名及主钥匙证书等信息,构造副钥匙证书签发申请信息,向数字钥匙签发机构申请签发副钥匙证书。
[0015]数字钥匙签发机构在数字钥匙签发机构校验副钥匙证书签发申请信息,向终端系统的链证书管理系统请求制作包括主用户数字签名信息的链证书。
[0016]数字钥匙签发机构确认链证书管理系统返回的链证书的形式是否合规,对形式合规的链证书进行签名,再返回给数字钥匙平台成为副钥匙证书。
[0017]副用户设备获取副钥匙证书,即可使用。
[0018]进一步的,主用户设备向副用户设备传递钥匙申请入口链接。钥匙申请入口链接中包括主用户设备的主钥匙关联信息。
[0019]通过钥匙申请入口将包括提供给副用户设备的申报信息的副钥匙签发申请提交给终端系统的数字钥匙平台。
[0020]数字钥匙平台将副钥匙签发申请转发至主用户设备。
[0021]主用户设备获取副钥匙签发申请中的申报信息,将包括主用户数字签名、主钥匙证书等的信息提交至数字钥匙平台。
[0022]进一步的,提供给副用户设备的申报信息包括个人必要信息,授权信息,授权信息的有效期信息、地理范围信息;个人必要信息包括唯一标识申报信息提供的主体的数据;授权信息为副用户设备对目标设备的交互权限。
[0023]进一步的,主用户数字签名具体为:主用户设备获取副钥匙签发申请中的申报信息,使用主钥匙证书对副钥匙证书的公钥及授权信息、授权信息的有效期信息、地理范围信息进行数字签名。
[0024]进一步的,链证书管理系统制作链证书具体包括如下步骤:
[0025]链证书管理系统构造待验签数据,待验签数据包括:副钥匙证书的公钥及授权信息、授权信息的有效期信息、地理范围信息;
[0026]再根据待验签数据验证主用户数字签名的有效性;如果主用户数字签名有效,链证书管理系统填充链证书的扩展项,然后返回给数字钥匙签发机构;填充的扩展项包括:副钥匙签发申请的授权信息、授权信息的有效期信息、地理范围信息、主用户数字签名、主钥匙证书。
[0027]本专利技术的另一方面,提供一种数字钥匙验证方法,包括以下步骤:
[0028]副用户设备向目标设备发起钥匙认证请求,提交副钥匙证书及认证签名信息;
[0029]认证签名信息为用副钥匙证书的签名密钥对特定数据进行签名的签名值;
[0030]目标设备验证副钥匙证书、认证签名信息;当验证通过,目标设备向副用户设备开放交互权限。
[0031]进一步的,目标设备验证副钥匙证书具体包括:
[0032]当副钥匙证书满足以下条件,目标设备向副用户设备开放控制权限:
[0033]副钥匙证书的证书链、有效期等真实有效;
[0034]副钥匙证书扩展项中的主钥匙证书的证书链、有效期等真实有效;
[0035]副钥匙证书扩展项中的主用户数字签名真实有效;
[0036]当前的时间、目标设备的地理范围信息满足副钥匙证书扩展项中的授权信息、授权信息的有效期信息、地理范围信息。
[0037]进一步的,为了防止重放攻击,认证签名信息每次签名的特定数据都是随机的。认证签名信息不是副钥匙证书上的任何签名,而是用副钥匙证书的签名密钥在身份认证的会话过程中对特定数据进行签名,由目标设备进行验签,以便验证副钥匙证书的持有人确实拥有签名密钥(只有副钥匙证书的持有人才有签名密钥)。
[0038]因为副钥匙证书既有副用户的信息和数字证书签发机构的签名信息,也有主用户数字签名,已经完全可以直接验证副钥匙证书的真实有效性、及车辆控制信息授予或禁用的有效性。因此,上述方法实现了目标设备直接根据副钥匙证书的内容进行验证。这也正是本专利技术要解决的一个主要问题:车辆在离线状态下,可靠地验证一个新签发的副钥匙的有效性,以及本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数字钥匙颁发方法,其特征在于,包括以下步骤:终端系统的数字钥匙签发机构向主用户设备颁发主钥匙证书;当主用户设备收到副钥匙签发申请,将包括主用户数字签名、主钥匙证书的信息提交至终端系统的数字钥匙平台;数字钥匙平台根据副钥匙签发申请、主用户数字签名及主钥匙证书信息,构造副钥匙证书签发申请信息,向数字钥匙签发机构申请签发副钥匙证书;数字钥匙签发机构校验副钥匙证书签发申请信息,向终端系统的链证书管理系统请求制作包括主用户数字签名信息的链证书;数字钥匙签发机构校验链证书管理系统返回的链证书的形式是否合规,对形式合规的链证书签发副钥匙数字证书,返回给数字钥匙平台;副用户设备获取副钥匙证书。2.根据权利要求1所述的数字钥匙颁发方法,其特征在于,副钥匙签发申请包括:主用户设备向副用户设备传递钥匙申请入口链接;钥匙申请入口链接中包括主用户设备的主钥匙关联信息;通过钥匙申请入口将包括提供给副用户设备的申报信息的副钥匙签发申请提交给终端系统的数字钥匙平台;数字钥匙平台将副钥匙签发申请转发至主用户设备;主用户设备获取副钥匙签发申请中的申报信息,将包括主用户数字签名、主钥匙证书的信息提交至终端系统的数字钥匙平台。3.根据权利要求1或2所述的数字钥匙颁发方法,其特征在于:提供给副用户设备的申报信息包括个人必要信息,授权信息,授权信息的有效期信息、地理范围信息;个人必要信息包括唯一标识申报信息提供的主体的数据;授权信息为副用户设备对目标设备的交互权限。4.根据权利要求3所述的数字钥匙颁发方法,其特征在于:主用户数字签名具体为:主用户设备获取副钥匙签发申请中的申报信息,使用主钥匙证书对副钥匙证书的公钥及授权信息、授权信息的有效期信息、地理范围信息进行数字签名。5.根据权利要求4所述的数字钥匙颁发方法,其特征在于,链证书管理系统制作链证书具体包括如下步骤:链证书管理系统构造待验签数据,待验签数据包括:副钥匙证书的公钥及授权信息、授权信息的有效期信息、地理范围信息;根据待验签数据验证主用户数字签名的有效性;如果主用户数字签名有效,链证书管理系统填充链证书的扩展项...
【专利技术属性】
技术研发人员:范正刚,庄昱垚,李昊春,詹嘉俐,
申请(专利权)人:江苏先安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。