一种基于数字证书的数字钥匙细粒度权限控制方法及系统技术方案

本发明专利技术公开一种基于数字证书的数字钥匙细粒度权限控制方法，把设备端的控制权限进行细分，为每一项细分的设备控制权限定义码位，并映射到字节位中，形成设备端控制权限编码映射表；在数字钥匙绑定的数字证书中新增以下扩展项：设备端控制权限码位表，表明向数字钥匙显式授予的设备端控制权限；设备端控制权限的生效时间；设备端控制权限的失效时间。当验证控制权限时，首先检查数字证书本身的合法有效性，再检查当前时间是否介于设备端控制权限的生效时间和失效时间区间之内，再解码设备端控制权限码位表，以确认数字钥匙是否可以使用特定的设备端控制权限。本发明专利技术还公开一种基于数字证书的数字钥匙细粒度权限控制系统。字证书的数字钥匙细粒度权限控制系统。字证书的数字钥匙细粒度权限控制系统。

【技术实现步骤摘要】
一种基于数字证书的数字钥匙细粒度权限控制方法及系统


[0001]本专利技术属于车辆控制
，尤其涉及一种基于数字证书离线验证数字车钥匙细粒度权限的方法。

技术介绍

[0002]数字车钥匙(或称“汽车数字钥匙”)作为智能网联车的一项重要功能，将车钥匙功能集成在移动终端设备中，基于SE、TEE等安全技术，通过近场通信、蓝牙、蜂窝通信、超宽带等通信技术，采用对称密钥和非对称密钥技术对车辆使用者进行身份认证，以完成车辆的开门、启动、行驶记录等功能。基于数字证书的数字车钥匙，可以兼顾数字车钥匙的安全性和便利性。
[0003]随着车辆智能化的发展，以及车辆使用场景的不断拓展，当车辆所有人(机动车所有人，即车主)向车辆使用人(如驾驶员、货运员等)授权数字车钥匙时，可能希望能够限制车辆使用人对车辆的使用权限范围。比如，为了追溯车辆使用人可能发生的对车辆的恶意破坏行为，车主希望能保持舱内录音、录像设备持续工作，禁止车辆使用人关闭舱内录音录像设备，以正常记录车辆的使用过程。又比如，当使用车辆作为物品暂存处进行无接触物品交接时，车主希望物品交接人仅可以在一个较短的时间内开启和关闭后备箱门，而不可以开启其他车门、或发动车辆、或关闭后舱录音录像设备等。
[0004]为了达到这种细粒度地控制数字车钥匙对车辆的使用权限范围的目的，车辆是可以借助于云端的车企平台来实时验证该数字车钥匙的权限范围信息。但当车辆位于地下停车场、隧道、偏远地区等网络信号缺失或者联网条件恶劣的场所时，就难以有效验证数字车钥匙的权限范围。
专利技术内容
[0005]针对上述技术问题，本专利技术公开一种基于数字证书的数字钥匙细粒度权限控制方法及系统，使得设备端可以在离线状态下，向设备使用人开放指定的控制权限，并禁用其他特定的控制权限。
[0006]为达到上述目的，本专利技术采用的技术方案为：一种基于数字证书的数字钥匙细粒度权限控制方法，在数字证书中嵌入细粒度的钥匙权限控制信息，这意味着数字签名背书，可当做毫无争议的法律证据。
[0007]把设备端的控制权限进行细分，为每一项细分的设备控制权限定义码位，并映射到字节位中，形成设备端控制权限编码映射表，作为可显式授予的车辆控制权限列表取值设定参考。
[0008]在数字钥匙的数字证书体系中，增加权限编码和解码机制，在数字钥匙绑定的数字证书中新增以下扩展项，分别表示数字证书授予的权限及其有效期：
[0009]1)设备端控制权限码位表，表明向数字钥匙显式授予的设备端控制权限；
[0010]2)设备端控制权限的生效时间；
[0011]3)设备端控制权限的失效时间；
[0012]当验证控制权限时，首先检查数字证书本身的合法有效性，再检查当前时间是否介于设备端控制权限的生效时间和失效时间区间之内，再解码设备端控制权限码位表，以确认数字钥匙是否可以使用特定的设备端控制权限。
[0013]进一步的，设备端控制权限编码映射表中未定义的设备端控制权限，或者数字钥匙数字证书中绑定的设备端控制权限码位表中未授予的设备端控制权限，设备端按缺省授权状态处理。
[0014]进一步的，设备端控制权限码位表，其编码顺序位从高位开始递增计数，或从低位开始递增计数。
[0015]本专利技术还公开一种基于数字证书的数字钥匙细粒度权限控制系统，服务端和设备端部署设备端控制权限编码映射表，设备端控制权限编码映射表为：把设备端的控制权限进行细分，为每一项细分的设备控制权限定义码位，并映射到字节位中；
[0016]服务端部署数字钥匙平台、设备控制权限编码器、数字证书认证系统，用以向使用终端颁发带有设备端控制权限码位表的数字证书；设备控制权限编码器依据设备端控制权限编码映射表，生成设备端控制权限码位表；数字证书认证系统生成包括设备端控制权限码位表的数字证书；数字钥匙平台将数字证书下发给使用终端；
[0017]设备端部署依照设备端控制权限编码映射表解码设备端控制权限码位表的设备控制权限解码器、能够校验数字证书的有效性的数字钥匙认证系统、确定使用终端是否可以执行特定的控制权限的数字钥匙鉴权系统；
[0018]使用终端颁发能够存储服务端发送的数字证书，并与设备端进行通信。
[0019]本专利技术的另一方面公开一种基于数字证书的数字钥匙细粒度权限的颁发方法：
[0020]把设备的控制权限进行细分，为每一项细分的设备端控制权限定义码位，并映射到字节位中，生成设备端控制权限编码映射表；
[0021]数字钥匙平台接收设备控制权限的授权消息，由设备控制权限编码器依据设备端控制权限编码映射表对设备控制权限的授权消息进行编码，生成设备端控制权限码位表，返回给数字钥匙平台；
[0022]通过数字证书认证系统生成包括设备端控制权限码位表的数字证书，数字钥匙平台将数字证书下发给使用终端。
[0023]进一步的，生成包括设备端控制权限码位表的数字证书的方法为：
[0024]在数字钥匙绑定的数字证书中新增以下扩展项：
[0025]1)设备端控制权限码位表，表明向数字钥匙显式授予的设备端控制权限；
[0026]2)设备端控制权限的生效时间；
[0027]3)设备端控制权限的失效时间；
[0028]设备端控制权限码位表中，码位取值为1的，表示设备端控制权限编码映射表中对应码位的设备控制权限被授予；而码位取值为0的，表示被禁用。
[0029]本专利技术的再一方面公开一种基于数字证书的数字钥匙细粒度权限的验证方法：
[0030]使用终端发送带有设备端控制权限码位表的数字证书给设备端，请求执行特定控制权限；
[0031]设备端提取数字证书中的设备端控制权限码位表，设备控制权限解码器依照设备
端控制权限编码映射表解码设备端控制权限码位表，数字钥匙鉴权系统判断若使用终端有权执行的特定控制权限，则设备端响应特定控制操作结果。
[0032]进一步的，设备端接收到数字证书后，首先数字钥匙认证系统检查数字证书本身的合法有效性，再检查当前时间是否介于设备端控制权限的生效时间和失效时间区间之内，再由设备控制权限解码器解码设备端控制权限码位表，映射为对应的设备控制权限表，数字钥匙鉴权系统判断设备控制权限表里是否有使用终端申请执行的特定控制权限。
[0033]进一步的，设备端控制权限编码映射表中未定义的设备端控制权限，或者数字钥匙数字证书中绑定的设备端控制权限码位表中未授予的设备端控制权限，设备端按缺省授权状态处理。
[0034]本专利技术具有以下有益效果：本专利技术的技术方案实现设备端在离线情形下，在验证数字钥匙绑定的数字证书本身的合法有效性的基础上，验证该数字证书扩展项中定义的设备端控制权限码位表信息和有效期，从而授予数字钥匙持有人相应的设备控制权限。
附图说明
[0035]图1为本专利技术实施例的基于数字证书的数字钥匙细粒度权限控制方法的车辆控制权限编码映射表。
[0036]图2为本专利技术实施例的基于数字证书本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于数字证书的数字钥匙细粒度权限控制方法，其特征在于：把设备端的控制权限进行细分，为每一项细分的设备控制权限定义码位，并映射到字节位中，形成设备端控制权限编码映射表；在数字钥匙绑定的数字证书中新增以下扩展项：设备端控制权限码位表，表明向数字钥匙显式授予的设备端控制权限；设备端控制权限的生效时间；设备端控制权限的失效时间；当验证数字钥匙的控制权限时，首先检查其绑定的数字证书本身的合法有效性，再检查当前时间是否介于设备端控制权限的生效时间和失效时间区间之内，再解码设备端控制权限码位表，以确认数字钥匙是否可以使用特定的设备端控制权限。2.根据权利要求1所述的基于数字证书的数字钥匙细粒度权限控制方法，其特征在于：设备端控制权限编码映射表中未定义的设备端控制权限，或者数字钥匙数字证书中绑定的设备端控制权限码位表中未授予的设备端控制权限，设备端按缺省授权状态处理。3.根据权利要求1所述的基于数字证书的数字钥匙细粒度权限控制方法，其特征在于：设备端控制权限码位表，其编码顺序位从高位开始递增计数，或从低位开始递增计数。4.一种基于数字证书的数字钥匙细粒度权限控制系统，其特征在于：服务端和设备端部署设备端控制权限编码映射表，设备端控制权限编码映射表为：把设备端的控制权限进行细分，为每一项细分的设备控制权限定义码位，并映射到字节位中；服务端部署数字钥匙平台、设备控制权限编码器、数字证书认证系统，用以向使用终端颁发带有设备端控制权限码位表的数字证书；设备控制权限编码器依据设备端控制权限编码映射表，生成设备端控制权限码位表；数字证书认证系统生成包括设备端控制权限码位表的数字证书；数字钥匙平台将数字证书下发给使用终端；设备端部署依照设备端控制权限编码映射表、解码设备端控制权限码位表的设备控制权限解码器、能够校验数字证书的有效性的数字钥匙认证系统、确定使用终端是否可以执行特定的控制权限的数字钥匙鉴权系统；使用终端颁发能够存储服务端发送的数字证书，并与设备端进行通信。5.一种基于数字证书的数字钥匙细粒度权限的颁发方法，其特征在于：把设备的控制...

【专利技术属性】
技术研发人员：范正刚，庄昱垚，李昊春，詹嘉俐，
申请(专利权)人：江苏先安科技有限公司，
类型：发明
国别省市：