CN108141444A - 经改善的认证方法和认证装置 - Google Patents
经改善的认证方法和认证装置 Download PDFInfo
- Publication number
- CN108141444A CN108141444A CN201680057040.7A CN201680057040A CN108141444A CN 108141444 A CN108141444 A CN 108141444A CN 201680057040 A CN201680057040 A CN 201680057040A CN 108141444 A CN108141444 A CN 108141444A
- Authority
- CN
- China
- Prior art keywords
- token
- encryption
- access
- data
- data field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种用于创建令牌的方法,所述令牌用于授权用户(102)的终端(103)访问包括存储器的资源,所述存储器中存储有私有密钥,所述方法包括以下步骤:创建第一数据字段,所述第一数据字段包括与加密信息相关联的至少一个识别码,创建第二数据字段,所述第二数据字段包括访问令牌,所述访问令牌包括用于描述授予给用户(102)的终端(103)的对于所述资源的权限的数据;用公共密钥给用于描述访问权限的数据加密,所述公共密钥与存储在所述资源的存储器中的私有密钥相关联,用加密密钥给所述访问令牌加密,所述加密密钥基于加密信息的至少一部分,所述加密信息与包含在保存令牌的第一数据字段中的识别码相关联。
Description
技术领域
本发明涉及在在不同信息系统之间交换数据的范围中的对权限的认证和管理,所述不同信息系统例如为车辆中的电子盒、移动设备(智能手机、平板、手提电脑等)以及非车载系统(按英语也称为cloud)。
背景技术
从现有技术中已知在经预先认证之后访问信息资源的技术。还已知使用(物理或数字)令牌进行向资源的认证。
例如,从文件US2004230831已知一种基于安全令牌的认证系统。该系统能够授权属于第一组织的终端访问属于第二组织的服务提供器服务器。所述第一组织和所述第二组织形成一个联合。属于所述第一组织的终端的用户只被识别一次并且所述用户被授权访问所述第二组织的资源。所述授权通过受信任机构所发放的令牌传送,然后由所述两个组织交换。
通常,为了安全原因,认证令牌由有效期限制时间。在所述令牌过期之后,必须向所述受信任机构(也称为认证服务器)更新该认证令牌。更新请求需要布置有(例如Internet(因特网)或3G类型的)连接以与所述认证服务器通信。
然而,存在用户期望访问服务提供器服务器而未布置有Internet并因此不可与所述认证服务器通信的情形。
当所述服务提供器是仅可经由Internet连接访问的信息服务器时,不会出现这种问题。在该情况下,期望访问所述资源的用户必须布置有对Internet的访问,并因此可通过该对Internet的访问来恢复安全令牌。
本发明企图克服的问题涉及如下情况:(i)所述服务提供器是可经由(例如蓝牙或NFC类型的)无线联接或有线联接访问的经连接对象(例如机动车辆的计算机通信盒),以及(ii)用户能够访问对象(例如位于车辆外部的具有智能手机的用户)而不需访问Internet连接(也就是说,不存在与发放安全令牌的受信任机构通信的方式)。例如,假定用户期望在处在未被通信网络覆盖的地点时借助于智能手机控制门窗的解锁以访问车辆的乘客舱。
在附图的该情况下,完全不设置用于以安全的方式访问资源。
发明内容
因此,本发明旨在通过提供一种经改善的认证方法和认证装置来克服上述问题,所述方法和所述装置能够安全地访问信息资源而不需要与认证服务器的永久通信。
更确切地,本发明为此提供了一种用于授权用户(102)的终端(103)访问包括存储器的资源(104)的方法,所述存储器中存储有私有密钥,所述方法包括以下步骤:
-由认证装置(101)生成(206)保存令牌,
-向所述终端(103)发送(207)所述保存令牌,
其特征在于,所述步骤(206)包括以下步骤:
-创建(206.1)第一数据字段,所述第一数据字段包括与加密信息相关联的至少一个识别码,所述加密信息的至少一部分用于用作加密密钥;
-创建(206.2)第二数据字段,所述第二数据字段包括访问令牌,所述访问令牌包括用于描述授予给用户(102)的终端(103)的对于所述资源(104)的权限的数据;
-用公共密钥给用于描述访问权限的数据加密(206.3),所述公共密钥与存储在所述资源(104)的存储器中的私有密钥相关联,
-用加密密钥给所述访问令牌加密(206.4),所述加密密钥基于加密信息的至少一部分,所述加密信息与包含在所述保存令牌的第一数据字段中的识别码相关联。
为了克服对所述认证服务器的访问的问题,本发明提供了对访问令牌的安全保存系统的创建。所述访问令牌被保存在保存令牌中。所述访问令牌借助于加密数据来加密。
给所述令牌加密能够授予所述令牌更长的有效时长(例如超过一天),而不危害所述系统的安全。因此,在用户期望访问资源的情况下,即使用户没有与认证服务器通信的通信手段,该系统也会给包含在所述保存令牌中的访问令牌解密。
所述访问令牌即时就可用于面向所述资源。
当仅用户能够提供给所述访问令牌解密所需的数据时,所述系统的安全得到保持。
有利地,所述访问令牌包括有效日期,所述有效日期指示授予给用户的权限的过期日期,生成保存令牌的生成步骤还包括向所述保存令牌添加过期日期,所述保存令牌的过期日期与所述访问令牌的过期日期相同。
有利地,给所述访问令牌加密的加密步骤实施对称加密方法。
有利地,所述加密信息至少包括:对问题的答复、指纹或声纹。
有利地,给所述访问令牌加密的加密步骤实施非对称加密方法。
有利地,所述加密信息包括密码术密钥对的至少一个公共密钥,所述密码术密钥对的私有密钥存储在由用户持有的对象的存储器中。
有利地,根据本发明的令牌还包括用所述认证装置的私有密钥给所述访问令牌和所述保存令牌签名的签名步骤。
本发明还涉及一种用于授权用户的终端访问包括存储器的资源的授权令牌,所述存储器中存储有私有密钥,其特征在于,所述授权令牌包括:
-第一数据字段,所述第一数据字段包括与加密信息相关联的至少一个识别码,所述加密信息的至少一部分用于用作加密密钥;
-第二数据字段,所述第二数据字段包括访问令牌,所述访问令牌包括用于描述授予给用户的终端的对于所述资源的权限的数据,用于描述访问权限的数据使用公共密钥,所述公共密钥与存储在所述资源的存储器中的私有密钥相关联,
其特征在于,所述访问令牌用加密密钥加密,所述加密密钥基于加密信息的至少一部分,所述加密信息与包含在保存令牌的第一数据字段中的识别码相关联。
本发明还涉及一种用于授权用户的终端访问包括存储器的资源的装置,所述存储器中存储有私有密钥,所述装置包括用于生成保存令牌的生成部件以及用于向所述终端发送所述保存令牌的发送部件,其特征在于,用于生成保存令牌的生成部件包括:
-用于创建第一数据字段的创建部件,所述第一数据字段包括与加密信息相关联的至少一个识别码,所述加密信息的至少一部分用于用作加密密钥;
-用于创建第二数据字段的创建部件,所述第二数据字段包括访问令牌,所述访问令牌包括用于描述授予给用户的终端的对于所述资源的权限的数据;
-用于用公共密钥给用于描述访问权限的数据加密的加密部件,所述公共密钥与存储在所述资源的存储器中的私有密钥相关联,
-用于用加密密钥给访问令牌加密的加密部件,所述加密密钥基于加密信息的至少一部分,所述加密信息与包含在所述保存令牌的第一数据字段中的识别码相关联。
附图说明
通过阅读下文的详细说明和附图,本发明的其它特征和优点将更加清楚,在所述附图上:
-图1示出了包括根据本发明的认证装置的系统的示意图;
-图2示出了展示根据本发明的方法的步骤的简图,
-图3示出了展示根据本发明的方法的子步骤的简图;
-图4示出了根据现有技术的令牌的结构示例;
-图5示出了根据本发明的令牌的结构示例。
具体实施方式
附图不仅可用于补充本发明,必要时还可有助于限定本发明。
参考图1,根据本发明的认证系统至少包括终端103、服务提供器104和认证机构101。终端103对服务提供器104的数据或服务的访问需要由认证机构101发放的认证和授权。
在下文中,作为非限制性示例,认为终端103是智能手机(按英语也称为smartphone)。但本发明并不限于该示例。事实上,终端103可为手提电脑、触摸式平板或任何其它经连接(即能够经由无线连接交换数据)的对象。该移动设备例如属于车辆驾驶员或属于其中一个车辆乘客。
服务提供器104(或SP,英语表示为“Service Provider”)是信息资源。SP 104控制对能够实施活动的数据或命令的访问。SP 104保护数据访问和应用访问。SP拒绝任何未经预先认证的访问。有利地,SP使未经认证的用户重新导向身份提供器。对服务的访问因此受到限制。用户需在能够访问数据或开启执行命令之前被识别。在本文件的下文中,SP 104也称为资源104或盒104。
认证和授权借助于授权令牌(按英语也称为token又或“identity credentials”)来传递。
用于传输授权的令牌根据非对称加密机制(也称为公共密钥加密)来加密。在这种系统中,使用密钥对:用于加密的公共密钥以及用于解密的私有密钥。当资源将令牌发送到其它信息资源时,只需借助于目的地的公共密钥给要发送的令牌加密。所述目的地能够借助于该目的地的(仅该目的地知晓的)私有密钥给消息解密。
所述令牌集成有授权,所述授权能够提供对容置在SP 104上的服务上的功能或数据的访问。
通过向参考目录或向清单查询来由SP验证授权,所述清单能够做出的授权可在令牌方面公共但向不同系统不提供相同服务。
SP 104包括安全存储空间,所述安全存储空间能够存储用于给授权令牌解密的私有密钥。所述安全存储空间例如是TPM(即Trusted Platform Module(可信平台模块))芯片,该TPM芯片是能够安全地存储密钥(例如加密密钥)的硬件密码组件。
在下文中,作为非限制性示例,认为SP 104是机动车辆的电子盒。电子盒是车辆的车载构件,该车载构件是借助于不同方式(线缆、无线协议(wifi、蓝牙、3G等))的车辆数据的向外边界。
但是本发明不限于该示例。事实上,SP可为信息管理系统、或用于操控数控机器的系统、又或更通常地任何经连接(即能够经由有线或无线连接交换数据)且包括(能够存储私有密钥的)安全存储空间的对象。
认证机构101(身份提供器或IdP(即Identity Provider))负责认证用户以及获取与用户身份相关联的附加信息。Idp 101使用户102能够在终端103(个人计算机或Smartphone)上被认证并接收令牌,所述令牌使用户能够向SP 104辨认。
因此,Idp 101能够授权用户102的终端103访问资源104。
为此,Idp 101包括用于生成保存令牌的生成部件以及用于向终端103发送所述保存令牌的发送部件。
具体地,用于生成保存令牌的生成部件包括:
-用于创建第一数据字段的创建部件,所述第一数据字段包括与加密信息相关联的至少一个识别码,所述加密信息的至少一部分用于用作加密密钥;
-用于创建第二数据字段的创建部件,所述第二数据字段包括访问令牌,所述访问令牌包括用于描述授予给用户102的终端103的对于所述资源104的权限的数据;
-用于用公共密钥给用于描述访问权限的数据加密的加密部件,所述公共密钥与存储在所述资源104的存储器中的私有密钥相关联,
-用于用加密密钥给访问令牌加密的加密部件,所述加密密钥基于加密信息的至少一部分,所述加密信息与包含在所述保存令牌的第一数据字段中的识别码相关联。
有利地,Idp 101还包括用于给所述授权令牌电子签名的签名部件。所述电子签名能够保证令牌的完整性并且由此对发起者认证。电子签名系统使用密钥对。用于给令牌签名的私有密钥和公共密钥能够读取经签名的令牌。
这种系统通常包括公共密钥基础设施(或PKI,即“Public KeyInfrastructure”),所述公共密钥基础设施为能够生成、向各种必要组件(SP、IdP等)分发和公开证书的信息资源。IdP 101和SP 104每个都布置有各自的证书。
注意到,证书(或电子证书)是一组数据,所述一组数据包括至少一个公共密钥、至少一个标识信息(例如:名称,通常存储在称为CN(即“Common Name”)的数据字段中)、以及用于签名的至少一个私有密钥。
所述系统还包括Internet接口106,用户可借助于所述Internet接口向Idp 101认证。
在图1的系统中,按照如下方式生成和使用所述令牌。响应于(预先地向认证机构101认证的)用户请求,由Idp 101产生令牌。所述令牌由用户的终端103传送,以最终由车载盒104验证和使用,以授权所述用户以及在终端103上执行的应用访问所述盒104的某些功能(例如所述车辆的门窗的解锁)。
参考图4,授权令牌例如通过以下方式(JSON类型的结构)构造。
所述授权令牌包括:
-第一数据(access_token(获取的令牌)),所述第一数据包含用车载盒104的公共密钥(例如用例如RSA类型的非对称加密算法)加密的用户权限。因此,只有目的地盒104可给所述令牌的内容解密。
-第二数据(token_type(令牌类型)),所述第二数据的值设定为“bearer(持有者)”,以指示所述令牌涉及标准访问令牌(与保存令牌相反)。
-第三数据(expires_in(过期时间)),所述第三数据与所述令牌的有效结束日期对应。
-第四数据(refresh_token(令牌刷新)),所述第四数据与由认证机构101生成的随机串对应,所述随机串能够随后请求新的令牌而无需来自所述用户的新的认证,
-第五数据(token_signature(令牌签名)),所述第五数据与HMAC类型的签名对应(这涉及令牌的压缩()(或“hash(哈希)”),所述压缩通过哈希算法(例如SHA-1)生成并且用认证机构101的私有密钥(例如RSA非对称加密算法)加密)。所述签名确保发行者的可靠性以及所述消息的完整性(未篡改)。
本发明还涉及一种保存令牌,所述保存令牌可安全地(加密地)存储在终端上。以该方式,这种令牌的有效时长可延长,同时保持了高等级的安全。
除了用所述盒104的公共密钥给授权(access_token)加密之外,所述保存令牌的数据借助于来自于一个或多个经预先输入的用户数据的密钥来加密。
参考图5,保存令牌例如通过以下方式(JSON类型的结构)构造。所述保存令牌包括:
-第一数据(token_type),所述第一数据指示一种类型的令牌(此处为“长”或“conservation(保存)”令牌),以及与加密信息相关联的至少一个识别码(例如问题识别码,所述问题识别码的个人答复形成密钥,所述密钥用于给包含在保存令牌的第三数据(access_token)中的令牌解密,
-第二数据(expires_in),所述第二数据与所述保存令牌的有效结束日期对应,
-第三数据(access_token),所述第三数据包含授权令牌的数据结构,例如上文限定的那样,但借助于来自于与在所述第一数据中指示的识别码对应的加密信息的密钥来加密。仅该部分在由终端103解密时发送到所述盒104。
本发明还涉及一种用于授权用户102的终端103访问资源104的方法。
参考图2,所述方法包括以下步骤:
-由用户102将连接信息(例如识别码和密码或任何其它认证方法)录入201到终端103中;
-请求202使终端103与Idp 101连接;
-由Idp 101验证203所述连接信息,当所述连接信息正确时,切换到下一个步骤204,否则拒绝所述连接;
-建立204与终端103的一系列连接;
-由终端103向Idp 101请求205保存令牌;
-由Idp 101生成206所述保存令牌;
-由Idp 101向终端103发送207所述保存令牌。
当用户期望在终端103上布置保存令牌时,该方法可由用户102通过预防或通过考虑到需访问资源104但不可与Idp 101通信的情况来发起。
由Idp 101创建保存令牌的创建步骤206包括以下子步骤:
-创建206.1第一数据字段,所述第一数据字段包括与加密信息相关联的至少一个识别码,所述加密信息的至少一部分用于用作加密密钥。所述第一数据字段例如涉及问题识别码。
-创建206.2第二数据字段,所述第二数据字段包括访问令牌,所述访问令牌包括用于描述授予给用户102的终端103的对于所述资源104的权限的数据。
-用公共密钥给用于描述访问权限的数据加密206.3,所述公共密钥与存储在所述资源104的存储器中的私有密钥相关联。以该方式,经加密数据仅可由资源104读取。
-用加密密钥给所述访问令牌加密206.4,所述加密密钥基于加密信息的至少一部分,所述加密信息与包含在所述保存令牌的第一数据字段中的识别码相关联。经加密访问令牌用于由用户102的终端103解密。
根据本发明的特征,所述访问令牌和所述保存令牌每个都包括有效日期。有利地,所述访问令牌和所述保存令牌的有效日期是相同的。这由此使得能够知晓所述访问令牌的有效日期而不必给所述访问令牌解密(即仅通过查询所述保存令牌的有效日期)。
根据第一实施例,给所述访问令牌加密206.4的加密步骤实施对称加密方法。也就是说,用于给数据加密的密钥与用于给数据解密的密钥相同。在该情况下,所述加密信息至少包括:对问题的答复、指纹或声纹。
有利地,所述加密信息包括多个对由用户预先答复的问题的答复。
根据第二实施例,给所述访问令牌加密206.4的加密步骤实施非对称加密方法。在该情况下,所述加密信息包括密码术密钥对的至少一个公共密钥,所述密码术密钥对的私有密钥存储在由用户持有的对象的存储器中,所述对象例如为安全的USB存储器。
对访问令牌的加密的使用使得能够考虑将该令牌存储在终端103上持续大于一天的时长,而不损害资源的安全。事实上,即使攻击者窃取了终端103,只要该访问令牌维持被加密在所述保存令牌中,所述攻击者也不能够使用访问令牌访问资源。
为了所述令牌被使用并发送到所述盒,所述令牌需借助于已用于加密的密钥来解密。该密钥通过从用户获取所选择的用于给所述令牌加密的加密数据(例如用户对问题的答复)来重建。
当所述加密数据被正确录入时,终端103给所述令牌解密,然后将所述令牌传输到所述盒104。
当接收到所述令牌时,盒104首先验证Idp 101的签名。为此,所述盒借助于与由Idp 101使用的哈希算法(例如SHA-1)相同的哈希算法来计算所述令牌的压缩。所述盒还借助于Idp 101的公共密钥且通过使用相同的算法(例如RSA)给所述签名解密,并获得由Idp101计算出的压缩。当两种压缩相同时,所述签名被验证。否则,所述令牌被拒绝。
然后所述访问令牌的包含用户权限的数据(access_token)借助于所述盒104的私有密钥来解密。
然后所述盒准备好授权符合访问令牌中规定的权限的访问。
Claims (9)
1.一种用于创建令牌的方法,所述令牌用于授权用户(102)的终端(103)访问包括存储器的资源(104),所述存储器中存储有私有密钥,所述方法包括以下步骤:
-由认证装置(101)生成(206)保存令牌,
-向所述终端(103)发送(207)所生成的保存令牌,
其特征在于,生成保存令牌的生成步骤(206)包括以下步骤:
-创建(206.1)第一数据字段,所述第一数据字段包括与加密信息相关联的至少一个识别码,所述加密信息的至少一部分用于用作加密密钥;
-创建(206.2)第二数据字段,所述第二数据字段包括访问令牌,所述访问令牌包括用于描述授予给用户(102)的终端(103)的对于所述资源(104)的权限的数据;
-用公共密钥给用于描述访问权限的数据加密(206.3),所述公共密钥与存储在所述资源(104)的存储器中的私有密钥相关联,
-用加密密钥给所述访问令牌加密(206.4),所述加密密钥基于加密信息的至少一部分,所述加密信息与包含在所述保存令牌的第一数据字段中的识别码相关联。
2.根据权利要求1所述的用于创建令牌的方法,其特征在于,所述访问令牌包括有效日期,所述有效日期指示授予给用户的权限的过期日期,生成(206)保存令牌的生成步骤还包括向所述保存令牌添加过期日期,所述保存令牌的过期日期与所述访问令牌的过期日期相同。
3.根据上述权利要求中任一项所述的用于创建令牌的方法,其特征在于,给所述访问令牌加密(206.4)的加密步骤实施对称加密方法。
4.根据权利要求3所述的用于创建令牌的方法,其特征在于,所述加密信息至少包括:对问题的答复、指纹或声纹。
5.根据权利要求1或2所述的用于创建令牌的方法,其特征在于,给所述访问令牌加密(206.4)的加密步骤实施非对称加密方法。
6.根据权利要求5所述的用于创建令牌的方法,其特征在于,所述加密信息包括密码术密钥对的至少一个公共密钥,所述密码术密钥对的私有密钥存储在由用户持有的对象的存储器中。
7.根据上述权利要求中任一项所述的用于创建令牌的方法,其特征在于,所述方法还包括用所述认证装置(101)的私有密钥给所述访问令牌和所述保存令牌签名的签名步骤。
8.一种用于授权用户(102)的终端(103)访问包括存储器的资源(104)的授权令牌,所述存储器中存储有私有密钥,其特征在于,所述授权令牌包括:
-第一数据字段,所述第一数据字段包括与加密信息相关联的至少一个识别码,所述加密信息的至少一部分用于用作加密密钥;
-第二数据字段,所述第二数据字段包括访问令牌,所述访问令牌包括用于描述授予给用户(102)的终端(103)的对于所述资源(104)的权限的数据,用于描述访问权限的数据使用公共密钥,所述公共密钥与存储在所述资源(104)的存储器中的私有密钥相关联,
其特征在于,所述访问令牌用加密密钥加密,所述加密密钥基于加密信息的至少一部分,所述加密信息与包含在保存令牌的第一数据字段中的识别码相关联。
9.一种用于创建令牌的装置(101),所述令牌用于授权用户(102)的终端(103)访问包括存储器的资源(104),所述存储器中存储有私有密钥,所述装置包括用于生成保存令牌的生成部件以及用于向所述终端(103)发送所述保存令牌的发送部件,其特征在于,用于生成保存令牌的生成部件包括:
-用于创建第一数据字段的创建部件,所述第一数据字段包括与加密信息相关联的至少一个识别码,所述加密信息的至少一部分用于用作加密密钥;
-用于创建第二数据字段的创建部件,所述第二数据字段包括访问令牌,所述访问令牌包括用于描述授予给用户(102)的终端(103)的对于所述资源(104)的权限的数据;
-用于用公共密钥给用于描述访问权限的数据加密的加密部件,所述公共密钥与存储在所述资源(104)的存储器中的私有密钥相关联,
-用于用加密密钥给访问令牌加密的加密部件,所述加密密钥基于加密信息的至少一部分,所述加密信息与包含在所述保存令牌的第一数据字段中的识别码相关联。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1559165A FR3041798B1 (fr) | 2015-09-29 | 2015-09-29 | Procede et dispositif d'authentification ameliores |
| FR1559165 | 2015-09-29 | ||
| PCT/FR2016/052418 WO2017055716A1 (fr) | 2015-09-29 | 2016-09-23 | Procede et dispositif d'authentification ameliores |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108141444A true CN108141444A (zh) | 2018-06-08 |
| CN108141444B CN108141444B (zh) | 2020-12-25 |
Family
ID=55178113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680057040.7A Expired - Fee Related CN108141444B (zh) | 2015-09-29 | 2016-09-23 | 经改善的认证方法和认证装置 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP3357212A1 (zh) |
| CN (1) | CN108141444B (zh) |
| FR (1) | FR3041798B1 (zh) |
| WO (1) | WO2017055716A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149328A (zh) * | 2019-05-22 | 2019-08-20 | 平安科技(深圳)有限公司 | 接口鉴权方法、装置、设备及计算机可读存储介质 |
| CN110753345A (zh) * | 2019-10-08 | 2020-02-04 | 武汉光庭信息技术股份有限公司 | 一种TBox通信方法及TBox装置 |
| WO2022147763A1 (zh) * | 2021-01-08 | 2022-07-14 | Oppo广东移动通信有限公司 | 访问令牌处理方法、设备和云端 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3064960B1 (fr) * | 2017-04-05 | 2021-12-03 | Renault Sas | Procede et systeme de deverrouillage a distance d un vehicule automobile |
| FR3082089B1 (fr) * | 2018-05-31 | 2021-12-10 | Renault Sas | Procede et systeme de deverrouillage a distance d'un vehicule automobile |
| EP3720165A1 (en) * | 2019-03-30 | 2020-10-07 | Illotros GmbH | Method for proving at least one of identity and entitlement |
| CN112260838B (zh) * | 2020-10-15 | 2022-02-22 | 四川长虹电器股份有限公司 | 一种基于jwt的自动续签认证方法 |
| US20230336543A1 (en) * | 2020-11-23 | 2023-10-19 | Volvo Truck Corporation | Offline authentication and authorization for networked devices |
| CN114157470B (zh) * | 2021-11-29 | 2024-01-19 | 惠州Tcl移动通信有限公司 | 一种令牌管理方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1961523A (zh) * | 2004-02-23 | 2007-05-09 | 弗里塞恩公司 | 令牌提供 |
| EP2151795A1 (en) * | 2008-08-08 | 2010-02-10 | France Telecom | Secure electronic coupon delivery to mobile device |
| CN103326862A (zh) * | 2013-06-20 | 2013-09-25 | 天地融科技股份有限公司 | 电子签名方法及系统 |
| EP2743868A1 (en) * | 2012-12-14 | 2014-06-18 | Seven Principles AG | Virtual vehicle key |
| WO2015092261A1 (fr) * | 2013-12-19 | 2015-06-25 | Orange | Système et procédé pour fournir un service a l'utilisateur d'un terminal mobile |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1168185A3 (en) * | 2000-05-08 | 2004-01-02 | Nokia Corporation | Method for protecting a memory card, and a memory card |
-
2015
- 2015-09-29 FR FR1559165A patent/FR3041798B1/fr active Active
-
2016
- 2016-09-23 EP EP16784231.9A patent/EP3357212A1/fr not_active Ceased
- 2016-09-23 CN CN201680057040.7A patent/CN108141444B/zh not_active Expired - Fee Related
- 2016-09-23 WO PCT/FR2016/052418 patent/WO2017055716A1/fr unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1961523A (zh) * | 2004-02-23 | 2007-05-09 | 弗里塞恩公司 | 令牌提供 |
| EP2151795A1 (en) * | 2008-08-08 | 2010-02-10 | France Telecom | Secure electronic coupon delivery to mobile device |
| EP2743868A1 (en) * | 2012-12-14 | 2014-06-18 | Seven Principles AG | Virtual vehicle key |
| CN103326862A (zh) * | 2013-06-20 | 2013-09-25 | 天地融科技股份有限公司 | 电子签名方法及系统 |
| WO2015092261A1 (fr) * | 2013-12-19 | 2015-06-25 | Orange | Système et procédé pour fournir un service a l'utilisateur d'un terminal mobile |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149328A (zh) * | 2019-05-22 | 2019-08-20 | 平安科技(深圳)有限公司 | 接口鉴权方法、装置、设备及计算机可读存储介质 |
| CN110149328B (zh) * | 2019-05-22 | 2023-01-31 | 平安科技(深圳)有限公司 | 接口鉴权方法、装置、设备及计算机可读存储介质 |
| CN110753345A (zh) * | 2019-10-08 | 2020-02-04 | 武汉光庭信息技术股份有限公司 | 一种TBox通信方法及TBox装置 |
| CN110753345B (zh) * | 2019-10-08 | 2022-11-25 | 武汉光庭信息技术股份有限公司 | 一种TBox通信方法及TBox装置 |
| WO2022147763A1 (zh) * | 2021-01-08 | 2022-07-14 | Oppo广东移动通信有限公司 | 访问令牌处理方法、设备和云端 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017055716A1 (fr) | 2017-04-06 |
| FR3041798B1 (fr) | 2017-10-27 |
| CN108141444B (zh) | 2020-12-25 |
| EP3357212A1 (fr) | 2018-08-08 |
| FR3041798A1 (fr) | 2017-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11888594B2 (en) | System access using a mobile device | |
| CN108141444A (zh) | 经改善的认证方法和认证装置 | |
| US8887246B2 (en) | Privacy preserving authorisation in pervasive environments | |
| USH2270H1 (en) | Open protocol for authentication and key establishment with privacy | |
| EP2204008B1 (en) | Credential provisioning | |
| AU2011305477B2 (en) | Shared secret establishment and distribution | |
| US10693645B2 (en) | Security management system for performing a secure transmission of data from a token to a service provider server by means of an identity provider server | |
| CN105282179A (zh) | 一种基于cpk的家庭物联网安全控制的方法 | |
| CN106664294A (zh) | 借助于令牌的认证方法和系统 | |
| CN103684798A (zh) | 一种用于分布式用户服务间认证系统 | |
| CN111065081A (zh) | 一种基于蓝牙的信息交互方法及其装置 | |
| KR102521936B1 (ko) | 보안이 강화된 차키 공유 방법 | |
| JP2021050556A (ja) | 認証システム | |
| CN115801232A (zh) | 一种私钥保护方法、装置、设备及存储介质 | |
| JP6188744B2 (ja) | 管理システム、車両及び管理方法 | |
| CN111200807B (zh) | 一种基于蓝牙的信息交互方法及其装置 | |
| CN116318637A (zh) | 设备安全入网通信的方法和系统 | |
| KR101657936B1 (ko) | Id 기반 암호화 방식을 이용한 키관리 및 사용자 인증방법 | |
| Kasper et al. | Rights management with NFC smartphones and electronic ID cards: A proof of concept for modern car sharing | |
| US11974123B2 (en) | Encrypted communication between an appliance and a device on a motor vehicle | |
| Yoon et al. | Security enhancement scheme for mobile device using H/W cryptographic module | |
| EP2693788A1 (en) | A method for communicating data and corresponding system | |
| Klimm et al. | A Secure Keyflashing Framework for Access Systems in Highly Mobile Devices. | |
| CN116432220A (zh) | 数控系统主机访问控制方法、装置、设备及存储介质 | |
| Bachl | The end of the password era: towards password-less authentication based on enhanced FIDO |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20201225 |