CN111801928A - 用于基于策略的资产的管理的方法和装置 - Google Patents
用于基于策略的资产的管理的方法和装置 Download PDFInfo
- Publication number
- CN111801928A CN111801928A CN201980017948.9A CN201980017948A CN111801928A CN 111801928 A CN111801928 A CN 111801928A CN 201980017948 A CN201980017948 A CN 201980017948A CN 111801928 A CN111801928 A CN 111801928A
- Authority
- CN
- China
- Prior art keywords
- asset
- policy
- owner
- user
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
Abstract
一种用于管理资产的共享使用的方法和系统。资产设备和所有者设备完成初始设置程序以向资产注册所有者。然后,从所有者设备或被授权创建策略的另一设备向一个或多个用户设备发送一个或多个安全策略。策略表达使用资产的用户条件和限制。随后,用户设备向资产设备发射安全策略。一旦策略已经从用户设备转移到资产设备,与用户设备相关联的用户就可以请求资产的使用,并且如果策略允许所请求的使用,则用户将被授予所请求的使用。
Description
背景技术
本发明涉及基于策略来管理和控制对资产的访问。最近的“共享经济”的概念已经导致许多资产在有时以其他方式不相关的不同实体之间共享。例如,已知共享汽车、房屋和公寓、自行车和办公室空间。共享的其他示例包括向递送人员或需要特定访问的其他人授予对邮箱、车辆或房屋的临时访问。当然,已知通过对物理钥匙进行复制来授予对资产的物理访问。商业共享示例包括AirBnB™(住宿)、ZipCar™和Greenwheels™(汽车)、LiquidOffice™(办公室空间)Vélib(自行车)和Amazon Key™(对你的家庭的包裹递送访问)。此外,租赁车辆是车辆的长期共享(例如若干年)。在一些情况下,商业行业正在试验非常短期的车辆租赁(例如以月为基础)。在另一示例中,我们可以把在公共交通(例如公共汽车、火车)上的乘客看做另一共享示例。给予乘客在合适条件(例如费用被支付)下对火车的临时访问。在又一示例中,OEM可以基于装备运行的时间量而不是在基于时间的基础上向操作者租赁装备(例如卡车、农业装备、采矿装备、引擎)。
在一些实例中,近场通信(NFC)标记或其他令牌被用于授予对资产的访问。访问管理的常规系统需要显著的基础设施并且相对于授予个性化的访问条件/约束是不灵活的。例如,在物理钥匙访问的情况下,不可能使对于用户的访问条件个性化,例如限于特定时间窗口。类似的问题出现在授予对计算设备或其他资源的访问中。
为了使问题复杂化,共享资产经常被部署到“敌对环境”(诸如潜在罪犯具有对最关键的硬件部件的完全访问、过度的分析时间以及由巨大的机会驱动的动机的情况)中。例如,对办公室空间或家庭的访问提供了对其中的计算设备和其他贵重物品的物理访问。攻击者可以具有多个目标,包括窃取资产本身、篡改/修改控制资产的策略、以及反向工程策略管理。
存在用于在不同实体之间共享对资产的访问的各种类型的已知数字解决方案。完全连接的解决方案(其中资产和共享实体需要连接到远程服务器)是不合意的,主要是因为在一些情况下资产到服务器的连接性是不可用的。例如,在车辆共享布置中,车辆可能停放在没有连接性的地下停车结构中。
部分连接的解决方案(其中资产不需要任何类型的网络连接,但是共享实体确实要求这样的连接)也具有限制。这样的系统的一个主要缺点是它们难以调节到不同的提供商和制造商。提供商和制造商通常托管他们自己的云服务并且期望对其部署进行完全控制。这意味着密钥共享提供商必须与专有基础设施集成,从而使其非常难以调节到多个提供商和制造商。而且,这样的解决方案通常要求实体具有相同的共享应用,这在一些使用情况下是约束性的。例如,如果车辆所有者想要向临时用户(诸如代客泊车者)授予对他们的车辆的访问,则临时用户必须在有限时间内在他们的个人设备上安装应用。当例如代客泊车者需要下载多个app以能够访问若干不同品牌的车辆时,该问题是复合的。
仅依赖于共享实体与资产之间的范围内无线通信(诸如蓝牙或NFC)的离线解决方案依赖于所有用户共享对资产的相同的加密密钥的事实。除了是安全风险之外,这些解决方案使得非常难以对资产的不同类型的用户创建自定义约束。
附图说明
当结合附图阅读时,将更好地理解前述发明内容以及本发明的以下详细描述。出于说明本发明的目的,在附图中示出了各种说明性实施例。然而,应当理解,本发明不限于所示出的精确布置和手段。
在附图中:
图1是系统工作流的概览示意图;
图2是实施例的初始资产设置操作的数据流图;
图3是实施例的策略转移操作的数据流图;
图4是实施例的资产访问操作的数据流图;
图5是实施例的第三方资产访问操作的数据流图;
图6是实施例的车辆共享使用情况下的初始设置操作的数据流图;
图7是实施例的车辆共享使用情况下的策略转移操作的数据流图;
图8是实施例的车辆共享使用情况下的资产访问操作的数据流图。
具体实施方式
仅为了方便起见而不是限制,在以下描述中使用了某些术语。除非在本文中具体阐述,否则术语“一个”、“一”和“所述”不限于一个元件,而是应该被理解为意指“至少一个”。术语包括上面提到的词语、其派生词和类似含义的词语。
本发明提供了一种用于在资产共享环境中创建、管理、应用和实施策略的系统和方法。本发明提供了一种新颖的策略管理数据模型、分布式计算机通信架构和工作流,其导致应用于共享环境的计算机系统的有利操作。本发明可应用于许多使用情况,包括
·车辆出租:允许通过移动app访问车辆。乘坐者能够在线地预订车辆,而不需要去当地办公室或拥有物理钥匙。该服务还可以包括按程收费类型的模型,其中你仅支付车辆的里程和使用。
·个人车辆共享:汽车所有者可以对他的家属、代客泊车者或朋友授予对车辆的访问。
·允许递送到资产:在车辆的情况下,这可以是夜间行李箱递送。在房屋的情况下,这可以是到邮箱的递送。访问被授予给诸如DHL/Amazon等的第三方的成员。
·汽车即服务(CaaS):自动车的乘坐共享
·卡车的车队管理
·公共汽车操作者的管理
·建筑物访问:人们可以基于他们的策略得到对建筑物的不同楼层、门、区段的访问。策略还可以实施一天中的时间和一周中的一天的访问约束。
·智能家庭解决方案:人们可以得到对用于递送的邮件/投件箱的访问、仅前门的访问、对房屋的一天中的时间/一周中的一天的访问、在离开时对朋友和家人授予访问。
·房屋出租和B&B:你可以对使用财产的其他人授予访问。这可用于小木屋、村舍、B&B、清洁服务等。
在本文描述的实施例中,策略替代数字/物理访问钥匙并且不同于用于保护到资产的通信的加密密钥。为了最小化攻击的风险,向资产受保护发送一次策略,并由资产针对每次使用实施策略。策略所有者是授权实体并且可以为次要用户生成新的策略。针对次要用户生成的策略可以在数量和范围上由授权实体约束。例如,次要用户可以被约束于速度限制并且没有对行李箱的访问。授予的策略还可以包括授权策略。例如,车辆所有者可以使他/她的青少年能够为朋友生成新的策略可以对青少年可以授权的内容施加较严格的约束。
授权策略所有者生成新的策略使访问管理分散,这转而很大程度上降低了操作成本。例如,代替使设施管理者对所有工作人员授予NFC标记访问,操作管理者可以对他们的直接报告工作人员授予访问。实施例支持所有连接性的模式,诸如:资产和用户都不连接,用户被连接但资产不连接,用户和资产两者都被连接。换言之,策略授权和生成机制可以独立于实体之间的通信。不需要存在主授权经纪人。
实施例利用公共密钥密码术来在与实体相关联的设备和与资产相关联的设备之间建立安全通信信道。在离线模式中,实施例可以依赖于通信中涉及的实体的物理接近来认证公共密钥。在在线模式中,证书管理机构可以验证公共密钥和身份证书。在所有模式中,可通过例如通过安全机制获取实体或对应设备的指纹并将其用于通信协议中来将策略绑定到共享实体的唯一指纹。
安全机制可使用已知白盒密码术技术和伪装技术来使得非授权实体难以访问指纹或用于保护交易的加密密钥。适用于本发明的加密算法包括AES、HMAC、ECDH,并且可以使用白盒技术来实现,以确保算法在敌对环境中的鲁棒性。伪装技术将保护解决方案免于未经授权的篡改和反向工程。利用诸如完整性检验、防调试、运算和变量的数学变换等技术以及其他技术来实现该目标。白盒密码术和伪装技术是众所周知的,如由例如以下内容所教导的:Michael J. Wiener,“Applying Software Protection to White-BoxCryptography”,第5届程序保护和反向工程讨论会(PPREW-5)会刊,2015年12月, DOI=http://doi.acm.org/10.1145/2843859.2846054;Yuan Xiang Gu,Harold Johnson,Clifford Liem,Andrew Wajs和Michael J. Wiener,2016年,White-box cryptography:practical protection on hostile hosts,在第6届关于软件安全、保护和反向工程的讨论会(SSPREW'16)的会刊中,ACM,纽约(NY),USA,文章4,第8页,DOI: https://doi.org/10.1145/3015135.3015139;Stanley Chow,Phil Eisen,Harold Johnson和Paul C. VanOorschot,“White-box cryptography and an AES implementation”,在第9届关于密码术中的选定区域的讨论会的会刊中(SAC 2002,第250-270页,Springer-Verlag,2002年);以及C. Liem,Y. Gu和H. Johnson的“A Compiler-based Infrastructure for Software-Protection”,在第三届关于编程语言和安全分析的ACM SIG- PLAN讨论会的会刊中,PLAS'08,第33-44页,2008年,ACM. ISBN 978-1-59593-936-4。
公共密钥密码术可以用于通过使用诸如白盒ECDH(椭圆曲线Diffie-Hellman)的已知技术在实体之间建立共享秘密。美国公开专利申请20150333906A1教导了在由白盒攻击者的软件执行期间抵抗加密敏感参数的提取的Diffie-Hellman密钥协商的实现方式。实施例在公共密钥和共享秘密的导出中利用变换的随机数。
ECDH是使用椭圆曲线密码术的Diffie-Hellman协议的变型,并且是允许双方(其各自具有椭圆曲线公共-私有密钥对)在不安全信道上建立共享秘密的匿名密钥协商协议。此共享秘密可直接用作密钥,或可用于导出另一密钥或密钥集。密钥或导出的密钥然后可用于使用对称密钥密码对后续通信进行加密。注意,在实施例的安全转移协议中,消息可以被加密和签名。这两个操作都需要从共享秘密导出的密钥。另外,不同的密钥可用于不同的消息传送方向。例如,如果A想要与B交谈,则A用密钥K_A进行加密,并且B使用相同的密钥来解密。但是B使用K_B来加密,并且A必须使用该密钥来解密。在这种情况下,当在通信中涉及2个实体时,需要4个密钥。
在密钥建立之后的安全通信被加密地加密和签名。“共享秘密”,即仅对于在安全通信中涉及的各方已知的一条数据,被用于使用由随机数(诸如随机数字(nonce))播种的密钥导出函数(KDF)来导出适当的会话密钥。可以为每个会话生成会话密钥以确保最大安全性。在该实施例中,共享秘密可以是上面提到的ECDH操作之外的。然而,共享秘密可以是例如口令、口令句、大数字或随机选择的字节的阵列。
加密/解密和签名/检验密钥可以基于通信的方向而不同。因此,在双向通信中,可以使用两个加密/解密签名/检验密钥集,每方向一个。可以使用诸如AES和HMAC的已知对称密钥算法来执行加密/解密/签名和检验。随机数字,即仅可使用仅一次的任意数字,可以用于防止重放攻击。
该实施例具有四个主要功能:
·初始设置:资产的所有者向资产呈现其自身,从而注册“所有者策略”
·策略共享:所有者可以为其他用户生成策略,包括为用户设置约束,包括他们可以生成什么作为策略。
·访问资产:包括所有者的共享用户通过向资产认证他/她自己来访问资产。
·第三方访问:某人或某物将在不具有所需的共享应用的情况下获得对资产的有限访问。
该实施例利用分布式联网计算设备以新颖的方式收集和处理数据,从而导致计算机系统的改进的操作。各种参与方可以具有诸如通过互联网、移动数据系统、蓝牙、蓝牙低功耗(BLE)或近场通信(NFC)在联网环境中连接的相关联的计算设备。如从上下文中显而易见的,当提及各方(诸如资产“所有者”)时,本文的讨论可以指代一方和/或与该方相关联的计算设备。下面讨论分布式计算设备之间的通信的若干示例,以说明实施例的主要功能。在附图中,虚线表示可选的通信信道和/或消息。例如,在离线模式中,云部分不是必需的,但是可以是有帮助的。箭头表示与由箭头连接的实体相关联的计算设备之间的消息或其他通信。
图1图示了用于管理对资产的访问的系统的实施例的高级工作流。资产设备10和所有者设备20完成初始设置过程以向资产注册所有者。所有者设备20然后可以向一个或多个用户设备30发送一个或多个安全策略。策略表达使用资产的用户条件和限制。策略可以包括要被绑定到仅一个用户或用户集合的用户指纹。这将确保策略不以非预期的方式在实体之间转移。随后,用户设备30可将安全策略发射到资产设备10。一旦策略已从用户设备30转移到资产设备10,与用户设备30相关联的用户可请求使用资产,并且如果策略允许所请求的使用,则该用户将被授予所请求的使用。在用资产进行认证之后,用户设备30还可以为其他用户生成策略。
图2图示了在资产和所有者之间完成的初始设置功能的数据流和处理。在201处,资产(其是计算设备和/或具有与其相关联的计算设备)以及所有者执行通信握手,来以已知的方式建立用于通信的规则,诸如协议等。例如,握手可以建立诸如BLE、Wi-Fi和NFC的通信信道。此时不需要交换共享秘密。
在202处,在所有者与资产的设备之间交换公共密钥。在使用证书管理机构的情况下,可以用身份证书对公共密钥进行签名。以其他方式,该实施例可以依赖于用于公共密钥检验的物理接近。例如,通信协议距离限制,例如蓝牙或NFC或GPS位置确定可以用于指示接近。在202之后,两个实体可以使用诸如ECDH之类的已知算法来导出共享秘密。可以例如通过使用密钥以及共享秘密对通信进行加密地加密和签名来保护202之后的任何通信。例如,在实体之间共享作为ECDH操作的结果的共享秘密。然而,可使用任何类型的共享秘密,诸如指纹(例如设备参数)、恢复PIN码等。在203处,可以通过安全信道传送敏感信息。该信息可以包括:设备指纹(稍后用于认证)、PIN码(用于在紧急情况下获得访问)等。由于已经建立了安全信道,因此也可以交换共享秘密。可选地,可以在204处建立与基于云的系统的安全连接,并且可以将系统的信息更新为205。
图2的201是由与资产相关联的计算设备存储的数据结构的示意图。该数据结构包括用户ID、用户指纹、访问策略属性和共享秘密。图2的220是由与所有者相关联的计算设备存储的数据结构的示意图。该数据结构包括资产ID、资产指纹、访问策略属性和共享秘密。图2的230是由云系统存储的可选数据结构的示意图。该数据结构包括所有者ID、资产ID、资产指纹、所有者指纹和策略。
访问策略属性描述访问策略,诸如许可、时间限制、地理限制、身份要求等。可以使用任何机制来表达该策略。例如,可以使用诸如可扩展权限标记语言(XrML)之类的语法。可替代地,标志或比特的集合可用于指示表达访问策略的策略属性。资产的所有者或其代理可以为其他用户生成策略。策略可以包括用户的条件、许可和约束。许可和约束可以包括约束和许可,在该约束和许可下,用户可以为其他用户生成策略。这些策略可以以树状结构彼此相关联。
图3图示了策略共享功能的数据流和处理。该功能可以被分成按顺序发生的两个阶段:1)策略所有者向新用户转移策略(301-304);以及2)用户将所转移的策略中继到资产(305-307)。在301处,用户和策略所有者执行通信握手,并且在302处,这些相同的设备建立安全通信(包括,例如交换公共密钥、导出/交换秘密等)。此时,在与两个实体、所有者和用户相关联的计算设备之间存在安全信道。在303处,用户向策略所有者传递其被加密和签名的指纹。在304处,策略所有者生成绑定到新用户的指纹的访问策略。策略所有者可以对打算供资产用于检验和解密的策略进行加密和签名。受保护的策略被传递到新的用户,然后在稍后的时间中继到资产(见下面的306)。注意,“策略所有者”不一定是与资产所有者相同的实体。如上所述,策略允许实体生成新的策略。因此,一旦实体(直接地或通过另一用户间接地从资产所有者)接收到策略,则实体能够基于在他/她自己的策略中陈述的约束来生成策略。在这种情况下,生成策略的用户可以是策略所有者。此外,资产所有者可以以各种方式将策略生成/所有权委托给代理。资产的所有权可以使用该过程通过生成作为当前所有者的所有者策略来转移。资产改变所有权、所有者策略参数,并且移除由先前(以前是当前)所有者生成的所有策略。
在305处,用户和资产进行握手,并且在306处,用户将加密和签名的策略从所有者转移到资产。资产然后可以检验签名并解密该策略。资产还检索新用户的指纹连同其约束,并检索新用户与由策略所有者设置的资产之间的共享秘密。在这一点之后,用户可以像系统的任何其他用户那样访问资产。在连接的资产的情况下,通知可被发送回策略所有者,该通知指示新用户已被配置在资产上。
310图示了在此时由资产存储的数据结构,包括用户ID、用户指纹和共享秘密。320图示了此时由用户设备存储的数据结构,包括资产ID、资产指纹和共享秘密。330图示了此时由系统存储的数据结构,包括用户ID、用户指纹和策略。虽然上面讨论的两个阶段应该按顺序发生,但是它们之间可以存在任何时间量。例如,第二阶段可以在第一阶段之后立即发生,或在第一阶段之后几天、几个月或甚至几年之后发生。
注意,在该示例中,用户与资产之间的共享秘密由策略所有者确定。为方便起见,策略所有者与用户之间的共享秘密也可用作用户与资产之间的共享秘密。而且,在离线模式中,实现方式可以完全忽略云的存在。在在线模式中,云充当中间中继。注意,在云系统上不存储共享秘密。
图4图示了用于访问资产的系统用户(“共享实体”)的操作的功能和数据流。在401处,共享实体和资产执行可以在不安全通信信道上的通信握手。在402处,共享实体和资产使用预先建立的共享秘密来创建安全信道。在通过某种类型的一些质询响应机制进行检验之后,在403处,共享实体对所请求的动作进行加密和签名并且向资产发送该结果。在检验签名的有效性并查阅分配给共享实体的策略之后,在404处,如果策略允许则该资产执行所请求的动作,或者如果策略不允许则资产拒绝所请求的动作。可选地,资产可以向策略所有者发送关于所执行的动作或对请求的拒绝的通知。作为示例,用于在线模式的使用情况可以是远程地启动车辆引擎,或者为客人或递送人员解锁房门。上面的过程可用于访问以及还用于撤销策略。策略所有者可以向资产发送请求以移除/改变属于先前由策略所有者授权的实体的策略。通过移除策略,也可以移除由移除的实体生成的所有策略。
上面的功能是关于共享实体(即参与共享系统的用户)来描述的。然而,共享系统之外的各方(本文称为“第三方”)也可以使用该系统来访问资源。共享实体都可以访问相同的移动应用。这不是约束,因为其对资产的预期使用是长期的。然而,对于在短时间内授予对资产的访问或甚至一次性访问的情况,第三方可能不可能或不方便获取移动应用。
可以使用NFC卡或其他令牌来给予第三方对资产的访问。在这种情况下,可以将资产置于仅提供非常约束和时间有限的访问的特殊模式中。第三方在拥有接近资产的NFC卡或其他令牌时将具有有限的访问。当共享实体之一或所有者通过标识它们自己而开始利用资产时,资产可以恢复到其正常模式。注意,在实施例中对NFC或移动设备的使用仅仅是为了向资产认证用户。在认证之后,资产检索与用户相关联的策略。在代客泊车者或任何其他临时用户的情况下,仍将存在约束对资产的访问的策略。在实施例中,使用作为认证手段的移动设备的NFC/拥有来检索该策略。
另一第三方替代方案在图5中图示。例如,在第三方(诸如包裹递送人员)请求对资产的访问的情况下,可以使用该替代方案。在500处,策略所有者向第三方后端作出对服务的请求(例如,商家网站上的行李箱请求)。在501中,由第三方后端向访问管理后端通知某个用户的请求。在502中,后端向用户发送确认/策略请求。用户检验该请求并生成用于授予对资产的访问的策略。在503中,策略通过用户和资产之间的共享秘密被加密和签名,以及被发送到访问管理后端。受保护策略在504处被发送到第三方后端,然后在505处被发送到第三方用户。就像策略共享一样,在506-508中,临时用户接近资产、将接收到的受保护策略中继到资产。资产检验签名和策略的有效性,并基于所接收的策略授予访问。策略的保留在策略本身中限定,并且由资产来实施。在这种情况和下一个情况之间可能混淆的事物是场景中策略所有者的存在。在当前情况下,策略所有者存在于场景(代客泊车者在停汽车,但是合法驾驶员或策略所有者仍存在)上。在下一场景中,策略所有者不存在,因此我们需要用于认证第三方的不同机制。在下一场景中,第三方还具有打算用于实体来执行他/她的职责但不同于由长期实体所使用的app的app。
上面描述的实施例是通用的。下面描述针对较具体的使用情况、离线车辆访问和密钥共享的实施例。在该实施例中,可以存在可信实体(诸如特许经销商代表),其通过将车辆置于特定状态来初始化密钥设置。此外,车辆的所有者或其代理在其计算设备(诸如移动电话)上具有密钥共享app。
如在图6中示出的,在601处,车辆显示供所有者扫描的可视指示符(例如,车辆的主体上的QR码)。在602处,在所有者与车辆之间建立通信信道。该视觉指示符可以包括加密质询(例如,随机数字)、车辆的公共密钥和诸如BLE唯一服务ID的某些通信配置。所有者设备通过使用诸如ECDH的加密算法来计算该会话的共享秘密。从共享秘密导出会话密钥。然后,所有者设备对其指纹和接收到的随机数字的函数进行加密,并且对加密的消息进行加密地签名。在603处,所有者设备向车辆设备发送其公共密钥、其公共密钥以及随机数字的散列和受保护的指纹。
然后,车辆计算相同的共享秘密和适当的会话密钥、检验消息签名、解密消息并检验随机数字。如果以上所有检查都通过,则车辆将所有者的指纹连同其默认无约束策略一起存储。注意,不需要将任何东西传送回所有者,因为所有者已经知道其在该协议中的角色,因此设备可以在604处断开。因此,两个实体(车辆和所有者)都能够建立一些共享秘密和加密密钥,并且策略已经被分配给所有者并被绑定到所有者设备指纹。
密钥共享功能可以被划分成两个顺序阶段:(1)所有者向新用户转移策略,以及(2):新用户将所转移的策略中继到车辆。如在图7中图示的,为了将策略从策略所有者转移到用户,用户通过QR码将他们的公共密钥传递给所有者。然后,在701处,策略所有者根据其私有密钥和所接收的公共密钥生成共享秘密。策略所有者为新用户准备信息包,包含所有者公共密钥及其与随机随机数字的散列、通过由用户的公共密钥加密的随机数字以及与车辆通信所需的配置。在702处向用户发送信息包。用户解密随机数、使用其私有密钥和接收到的所有者的公共密钥来生成共享秘密,并且,在703处,向所有者发送其指纹的加密函数连同接收到的随机数字以及以上加密消息的加密签名版本。
所有者然后检验签名、解密指纹并且根据期望的约束生成绑定到指纹的策略。所有者使用所有者和车辆之间的共享秘密来加密策略连同所有者和用户之间的共享秘密。所有者使用从相同的共享秘密导出的适当密钥对加密消息进行加密签名。所有者与用户之间的共享秘密可用作用户与车辆之间的共享秘密。在704处,所有者向新用户发送以上加密和签名的消息,并且在705处断开。
在706处,用户使用来自所有者的所接收的配置与车辆通信。在707处,用户将在以上从所有者获得的加密和签名的策略转移到车辆,并且车辆检验签名并解密策略。车辆设备还检索新用户的指纹连同其约束,并检索新用户与所有者之间的共享秘密。该共享秘密也将在新用户和车辆之间首次使用。此时,新用户可以通过像任何其他用户一样向车辆做出动作请求而继续,并且车辆设备基于策略允许或拒绝动作。所请求的动作的示例可以是:打开的门/行李箱/手套箱、启动引擎或甚至撤销策略(其仅被授予所有者)。
图8图示了用户请求功能。在该示例中,与用户相关联的设备是用户的智能移动电话。在801处,车辆设备通过在802处向用户发送随机数字来启动协议。用户在803处对期望的动作连同其指纹和所接收的随机数字进行加密,对加密签名,并将其发送到车辆。车辆设备检验签名,检验随机数字和用户的指纹,查阅策略数据库来检验用户是否被允许做出动作请求。如果所有检查都通过,则车辆在804处执行由用户请求的动作,然后在805处断开。
如上所述,策略可以以各种方式表达。不管表达的方式如何,策略可以作为数据结构存储在非暂时性计算机可读介质上,并且可以包括以下字段:
·用户偏好:这将包括直接在资产上设置或从用户的(一个或多个)设备同步的用户设置。例如,在车辆的情况下,用户偏好可以包括HVAC、镜子和座椅设置、优选无线电台以及从电话同步的个人信用卡、播放列表等。
·约束:这将包括关于对资产的访问的任何限制。例如,在车辆的情况下,这些约束可能是:一天中的时间/一周中的一天的限期、速度和范围限制、诸如门、行李箱、手套箱、地围栏等之类的物理访问约束。
·有效性:将包括用于创建策略的时间和策略将到期的时间的时间戳。它还可以指示策略是否意在仅被使用一次
·管理:这将包括关于策略创建的所有约束;用户是否被允许创建策略,如果是,则对所创建的策略的约束是什么
·认证:用户是否需要两个因素认证(坚韧ID、NFC卡等)、(一个或多个)设备指纹等。
·历史:这将包括授权策略(亲代)和所有授权策略(子代)
术语表
资产:要被共享的物理或概念介质。示例包括建筑物、IoT设备(用于物理示例)或计算机程序(用于概念实例)。
共享实体:想要具有对同一资产的共享访问但具有不同访问级别的物理(例如,个人)或概念(例如,计算机程序)实体
策略:授予/限制对资产的访问的规则和/或条件的集合。策略可以由实体生成,并且可以由资产来实施。策略还可以包括关于生成和撤销后续策略的规则。
策略所有者:这是生成策略的实体。他/她可以是资产的所有者或仅是直接或间接从资产所有者接收他的访问的共享实体。
策略管理:这是指创建、编辑和撤销策略。策略所有者可以撤销他们已经创建的即时策略以及通过他们的策略针对无限数量的级别创建的所有策略。例如,如果车辆所有者授予他的青少年策略创建,并且青少年为他的朋友生成策略,则可以由青少年(策略所有者)以及所有者(因为他拥有对青少年的策略)撤销朋友的策略。
本文中所描述的方法已经示出为以特定顺序执行的各个步骤。然而,技术人员将理解,这些步骤可以以不同的顺序进行组合或执行以实现期望的结果。实施例和示例可以使用多种不同的信息处理设备、架构和加密算法来实现。特别地,虽然本文的公开提供了示例性计算系统和方法,但是这些仅仅是为了在讨论本发明的各种方面时提供有用的参考而呈现,其可以在诸如个人计算机、膝上型电脑、个人数字助理、移动电话和/或专用计算设备的任何合适的数据处理设备上执行。
实施例可以由存储在非暂时性介质上的计算机程序来实现。所存储的计算机程序可以具有一个或多个程序指令或程序代码,其在由一个或多个计算机处理器执行时执行所公开的功能。如本文所使用的术语“程序”可以是被设计用于在计算机系统上执行的指令的序列,并且可以包括子例程、函数、过程、模块、对象方法、对象实现方式、可执行应用、小应用程序、小服务程序、源代码、对象代码、字节代码、共享库、动态链接库和/或设计用于在计算机系统上执行的其他指令的序列。存储介质可以是磁盘(诸如硬盘驱动器或软盘)、光盘(诸如CD-ROM、DVD-ROM或蓝光光盘)、或存储器(诸如ROM、RAM、EEPROM、EPROM、闪速存储器或便携式/可移除存储器设备)等。
出于描述的目的,各方已被描述为“所有者”、“用户”等。然而,这些标签不需要任何特定的合法关系。例如,资产的“所有者”不需要是合法所有者,而是可以是作为合法所有者的代理或以其他方式具有向用户授予策略的权限的一方。此外,如上所述,已经一起讨论了实体和与实体相关联的计算设备。当然,如由实体所实现的公开的计算任务是与该实体相关联的实现的(一个或多个)计算设备。
本领域的技术人员将理解,可在不脱离上述实施例的广泛发明概念的情况下对上述实施例进行改变。因此,应当理解,本发明不限于所公开的特别实施例,而是旨在覆盖由所附权利要求限定的本发明的精神和范围内的修改。
Claims (18)
1.一种由一个或多个计算设备实现的用于管理资产的使用的方法,所述方法包括:
完成与资产相关联的资产设备和与所述资产的所有者相关联的所有者设备之间的注册过程;
将与所述用户相关联的安全策略从策略所有者设备发射到与用户相关联的用户设备,其中所述安全策略表达用于使用所述资产的条件和限制,并且与用于保护到所述资产的所述通信的加密密钥不同;
将所述安全策略从用户设备发射到所述资产设备;
由所述用户设备请求所述资产的指定使用;以及
仅当所述策略允许所述请求的使用时才授予所述请求。
2.根据权利要求1所述的方法,其中所述安全策略被绑定到所述用户设备的指纹,并且还包括对所述策略进行加密和签名的所述策略所有者设备。
3.根据权利要求2所述的方法,其中所述策略所有者设备由所述资产的所述所有者控制。
4.根据权利要求2所述的方法,其中所述策略所有者设备由除了已经被给予创建策略的权限的所述资产的所述所有者之外的一方控制。
5.根据权利要求2所述的方法,其中所述资产设备存储包括用户ID、用户指纹、访问策略属性和与所述所有者设备的共享秘密的数据结构,并且其中所述所有者设备存储包括资产ID、资产指纹、访问策略属性和所述共享秘密的数据结构。
6.根据权利要求2所述的方法,其中所述用户设备存储包括资产ID和资产指纹以及与所述策略所有者的共享秘密的数据结构。
7.根据权利要求2所述的方法,其中所述资产的所述使用包括对所述资产的内部的物理访问。
8.根据权利要求2所述的方法,其中所述资产是计算资源,并且所述使用包括对所述计算资源的访问。
9.根据权利要求1所述的方法,其中所述注册过程包括:
在所述所有者设备和所述资产设备之间交换公共密钥,所述公共密钥由由证书管理机构用身份证书签名签名;
导出共享秘密;以及
通过使用所述公共密钥和所述共享秘密对通信进行加密和签名来保护所述所有者设备和所述资产设备之间的所述通信。
10.一种用于管理资产的使用的装置,所述装置包括:
至少一个计算机处理器;
至少一个存储器设备,其耦合到所述至少一个计算机处理器且在其上存储指令,所述指令在由所述至少一个处理器执行时使得所述至少一个处理器:
在与资产相关联的资产设备和与所述资产的所有者相关联的所有者设备之间完成注册过程;
将与所述用户相关联的安全策略从策略所有者设备发射到与用户相关联的用户设备,其中所述安全策略表达用于使用所述资产的条件和限制,并且与用于保护到所述资产的所述通信的加密密钥不同;
将所述安全策略从用户设备发射到所述资产设备;
由所述用户设备请求所述资产的指定使用;以及
仅当所述策略允许所述请求的使用时才授予所述请求。
11.根据权利要求10所述的装置,其中所述安全策略被绑定到所述用户设备的指纹,并且还包括对所述策略进行加密和签名的所述策略所有者设备。
12.根据权利要求10所述的装置,其中所述策略所有者设备由所述资产的所述所有者控制。
13.根据权利要求10所述的装置,其中所述策略所有者设备由除了已被给予创建策略的权限的所述资产的所有者之外的一方控制。
14.根据权利要求10所述的装置,其中所述资产设备存储包括用户ID、用户指纹、访问策略属性和与所述所有者设备的共享秘密的数据结构,并且其中所述所有者设备存储包括资产ID、资产指纹、访问策略属性和所述共享秘密的数据结构。
15.根据权利要求10所述的装置,其中所述用户设备存储包括资产ID和资产指纹以及与所述策略所有者的共享秘密的数据结构。
16.根据权利要求10所述的装置,其中所述资产的所述使用包括对所述资产的内部的物理访问。
17.根据权利要求10所述的装置,其中所述资产是计算资源,并且所述使用包括对所述计算资源的访问。
18.根据权利要求10所述的装置,其中所述注册过程包括:
在所述所有者设备和所述资产设备之间交换公共密钥,所述公共密钥由由证书管理机构用身份证书签名签名;
导出共享秘密;以及
通过使用所述公共密钥和所述共享秘密对通信进行加密和签名来保护所述所有者设备和所述资产设备之间的所述通信。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862606146P | 2018-01-08 | 2018-01-08 | |
US62/606146 | 2018-01-08 | ||
US16/022,020 US11316898B2 (en) | 2018-01-08 | 2018-06-28 | Method and apparatus for policy-based management of assets |
US16/022020 | 2018-06-28 | ||
PCT/IB2019/000036 WO2019135162A1 (en) | 2018-01-08 | 2019-01-08 | Method and apparatus for policy-based management of assets |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111801928A true CN111801928A (zh) | 2020-10-20 |
Family
ID=67140212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980017948.9A Pending CN111801928A (zh) | 2018-01-08 | 2019-01-08 | 用于基于策略的资产的管理的方法和装置 |
Country Status (4)
Country | Link |
---|---|
US (2) | US11316898B2 (zh) |
EP (1) | EP3738291A1 (zh) |
CN (1) | CN111801928A (zh) |
WO (1) | WO2019135162A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019120493A1 (en) * | 2017-12-19 | 2019-06-27 | HELLA GmbH & Co. KGaA | Method and system for decentralized digital authentication |
US11675503B1 (en) * | 2018-05-21 | 2023-06-13 | Pure Storage, Inc. | Role-based data access |
US11954220B2 (en) | 2018-05-21 | 2024-04-09 | Pure Storage, Inc. | Data protection for container storage |
US20220138747A1 (en) * | 2020-10-30 | 2022-05-05 | Yomangjin company | Round trip resource sharing method with time slot locking |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030233549A1 (en) * | 2002-06-17 | 2003-12-18 | Fujitsu Limited | File exchange apparatus, personal information entry/introduction server, transmission controlling method, and program therefor |
JP2013037568A (ja) * | 2011-08-09 | 2013-02-21 | Aisin Seiki Co Ltd | 車両の共同利用における操作権限付与システム、車載制御装置及びそのプログラム |
CN102984252A (zh) * | 2012-11-26 | 2013-03-20 | 中国科学院信息工程研究所 | 一种基于动态跨域安全令牌的云资源访问控制方法 |
US20130325521A1 (en) * | 2012-05-29 | 2013-12-05 | Akhtar Jameel | Shared vehicle rental system including vehicle availability determination |
US20140208108A1 (en) * | 2012-02-13 | 2014-07-24 | Alephcloud Systems, Inc. | Mediator utilizing electronic content to enforce policies to a resource |
US20150210287A1 (en) * | 2011-04-22 | 2015-07-30 | Angel A. Penilla | Vehicles and vehicle systems for providing access to vehicle controls, functions, environment and applications to guests/passengers via mobile devices |
CN106575454A (zh) * | 2014-06-11 | 2017-04-19 | 威尔蒂姆Ip公司 | 基于生物特征信息帮助用户访问车辆的系统和方法 |
US20170186251A1 (en) * | 2015-12-28 | 2017-06-29 | Hyundai Motor Company | Car management system and method |
CN107415891A (zh) * | 2017-07-13 | 2017-12-01 | 大局科技信息技术(深圳)有限公司 | 车辆授权使用系统、方法、车载终端及管理平台 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9270700B2 (en) * | 2008-12-12 | 2016-02-23 | Microsoft Technology Licensing, Llc | Security protocols for mobile operator networks |
WO2013116916A1 (en) | 2012-02-09 | 2013-08-15 | Irdeto Canada Corporation | System and method for generating and protecting cryptographic keys |
CA2952108A1 (en) * | 2014-06-13 | 2015-12-17 | Uber Technologies, Inc. | Enforcing policies based on information received from external systems |
KR102598613B1 (ko) * | 2016-07-21 | 2023-11-07 | 삼성전자주식회사 | 개인 인증 및 차량 인증 기반으로 차량 정보를 제공하는 시스템 및 방법 |
-
2018
- 2018-06-28 US US16/022,020 patent/US11316898B2/en active Active
-
2019
- 2019-01-08 WO PCT/IB2019/000036 patent/WO2019135162A1/en unknown
- 2019-01-08 EP EP19704439.9A patent/EP3738291A1/en active Pending
- 2019-01-08 CN CN201980017948.9A patent/CN111801928A/zh active Pending
-
2022
- 2022-02-08 US US17/667,360 patent/US11722529B2/en active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030233549A1 (en) * | 2002-06-17 | 2003-12-18 | Fujitsu Limited | File exchange apparatus, personal information entry/introduction server, transmission controlling method, and program therefor |
US20150210287A1 (en) * | 2011-04-22 | 2015-07-30 | Angel A. Penilla | Vehicles and vehicle systems for providing access to vehicle controls, functions, environment and applications to guests/passengers via mobile devices |
JP2013037568A (ja) * | 2011-08-09 | 2013-02-21 | Aisin Seiki Co Ltd | 車両の共同利用における操作権限付与システム、車載制御装置及びそのプログラム |
US20140208108A1 (en) * | 2012-02-13 | 2014-07-24 | Alephcloud Systems, Inc. | Mediator utilizing electronic content to enforce policies to a resource |
US20130325521A1 (en) * | 2012-05-29 | 2013-12-05 | Akhtar Jameel | Shared vehicle rental system including vehicle availability determination |
CN102984252A (zh) * | 2012-11-26 | 2013-03-20 | 中国科学院信息工程研究所 | 一种基于动态跨域安全令牌的云资源访问控制方法 |
CN106575454A (zh) * | 2014-06-11 | 2017-04-19 | 威尔蒂姆Ip公司 | 基于生物特征信息帮助用户访问车辆的系统和方法 |
US20170186251A1 (en) * | 2015-12-28 | 2017-06-29 | Hyundai Motor Company | Car management system and method |
CN107415891A (zh) * | 2017-07-13 | 2017-12-01 | 大局科技信息技术(深圳)有限公司 | 车辆授权使用系统、方法、车载终端及管理平台 |
Also Published As
Publication number | Publication date |
---|---|
US20220166802A1 (en) | 2022-05-26 |
US20190215342A1 (en) | 2019-07-11 |
US11316898B2 (en) | 2022-04-26 |
US11722529B2 (en) | 2023-08-08 |
EP3738291A1 (en) | 2020-11-18 |
WO2019135162A1 (en) | 2019-07-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110637328B (zh) | 一种基于便携式设备的车辆访问方法 | |
US10437977B2 (en) | System and method for digital key sharing for access control | |
CN111512658B (zh) | 用于分散式数字认证的方法和系统 | |
US11151260B2 (en) | Providing and checking the validity of a virtual document | |
CN1714529B (zh) | 具有便利和安全设备注册的基于域的数字权利管理系统 | |
US11722529B2 (en) | Method and apparatus for policy-based management of assets | |
CN113691560B (zh) | 数据传送方法、控制数据使用的方法以及密码设备 | |
Förster et al. | PUCA: A pseudonym scheme with user-controlled anonymity for vehicular ad-hoc networks (VANET) | |
Förster et al. | PUCA: A pseudonym scheme with strong privacy guarantees for vehicular ad-hoc networks | |
CN111200496B (zh) | 一种基于车辆的数字钥匙实现方法 | |
CN112671798A (zh) | 一种车联网中的服务请求方法、装置和系统 | |
JP5992535B2 (ja) | 無線idプロビジョニングを実行するための装置及び方法 | |
CN110182171A (zh) | 基于区块链技术的数字车钥匙系统与车辆 | |
EP1843274B1 (en) | Digital rights management system | |
Plappert et al. | Secure role and rights management for automotive access and feature activation | |
WO2018207174A1 (en) | Method and system for sharing a network enabled entity | |
Timpner et al. | Secure smartphone-based registration and key deployment for vehicle-to-cloud communications | |
Patil et al. | SecSmartLock: An architecture and protocol for designing secure smart locks | |
Khalid et al. | New and Simple Offline Authentication Approach using Time-based One-time Password with Biometric for Car Sharing Vehicles | |
EP4024932A1 (en) | Method and device for providing an authorization to access an interactive good | |
US20220021547A1 (en) | Digital method for controlling access to an object, a resource or service by a user | |
Kou et al. | An efficient Authentication Scheme Using Token Distribution for Cloud-based Smart Home | |
Frei et al. | Lightweight Offline Access Control for Smart Cars |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |