CN112491559A - 一种身份验证方法及装置 - Google Patents
一种身份验证方法及装置 Download PDFInfo
- Publication number
- CN112491559A CN112491559A CN202011412671.0A CN202011412671A CN112491559A CN 112491559 A CN112491559 A CN 112491559A CN 202011412671 A CN202011412671 A CN 202011412671A CN 112491559 A CN112491559 A CN 112491559A
- Authority
- CN
- China
- Prior art keywords
- internet
- vehicles
- key pair
- authentication
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012795 verification Methods 0.000 title claims abstract description 30
- 230000006855 networking Effects 0.000 claims description 67
- 238000004891 communication Methods 0.000 abstract description 38
- 238000005516 engineering process Methods 0.000 abstract description 15
- 238000007726 management method Methods 0.000 description 52
- 239000003795 chemical substances by application Substances 0.000 description 21
- 230000006870 function Effects 0.000 description 21
- 238000004590 computer program Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 206010048669 Terminal state Diseases 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 206010039203 Road traffic accident Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供一种身份验证方法及装置,涉及通信技术领域,解决了现有的数字证书技术的类型众多,业务复杂,认证效率较低的技术问题。身份验证方法应用于车联网设备,包括:车联网设备首先根据车联网设备的标识生成第一密钥对,然后向身份验证服务器发送标识和第一密钥对,接着接收身份验证服务器发送的与第一密钥对对应的第二密钥对,并根据第一密钥对和第二密钥对生成目标密钥对;目标密钥对用于对车联网设备进行身份验证。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种身份验证方法及装置。
背景技术
伴随着车联网技术的发展,其面对的安全问题也日益突出。在车联网系统中,若有不法人员伪造车辆或者车主身份,修改车辆行驶指令等重要数据,则可能造成严重的交通事故。
目前,通过数字证书技术对车联网系统中的重要数据进行加密,是保证车联网系统安全问题的主要技术手段。但是,数字证书技术的类型众多,业务复杂,认证效率较低。
发明内容
本申请提供一种身份验证方法及装置,解决了现有的数字证书技术的类型众多,业务复杂,认证效率较低的技术问题。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供一种身份验证方法,应用于车联网设备,包括:车联网设备首先根据车联网设备的标识生成第一密钥对,然后向身份验证服务器发送标识和第一密钥对,接着接收身份验证服务器发送的与第一密钥对对应的第二密钥对,并根据第一密钥对和第二密钥对生成目标密钥对;目标密钥对用于对车联网设备进行身份验证。
可以看出,车联网设备在进行身份验证时,可以通过车联网设备的标识生成第一密钥对,并接收验证服务器根据车联网设备的标识生成的第二密钥对,生成用于对车联网设备进行身份验证的目标密钥对,解决了现有的数字证书技术的类型众多,业务复杂,认证效率较低的技术问题,提高了身份验证的效率。
第二方面,提供一种身份验证装置,应用于车联网设备,包括:生成单元、发送单元和接收单元;生成单元,用于根据车联网设备的标识生成第一密钥对;发送单元,用于向身份验证服务器发送标识和生成单元生成的第一密钥对;接收单元,用于接收身份验证服务器发送的与第一密钥对对应的第二密钥对;生成单元,还用于根据生成单元生成的第一密钥对和接收单元接收的第二密钥对生成目标密钥对;目标密钥对用于对车联网设备进行身份验证。
第三方面,提供一种身份验证装置,包括存储器和处理器。存储器用于存储计算机执行指令,处理器与存储器通过总线连接。当身份验证装置运行时,处理器执行存储器存储的计算机执行指令,以使身份验证装置执行第一方面所述的身份验证方法。
该身份验证装置可以是网络设备,也可以是网络设备中的一部分装置,例如网络设备中的芯片系统。该芯片系统用于支持网络设备实现第一方面及其任意一种可能的实现方式中所涉及的功能,例如,接收、确定、分流上述身份验证方法中所涉及的数据和/或信息。该芯片系统包括芯片,也可以包括其他分立器件或电路结构。
第四方面,提供一种计算机可读存储介质,计算机可读存储介质包括计算机执行指令,当计算机执行指令在计算机上运行时,使得该计算机执行第一方面所述的身份验证方法。
第五方面,提供一种计算机程序产品,该计算机程序产品包括计算机指令,当计算机指令在计算机上运行时,使得计算机执行如上述第一方面及其各种可能的实现方式所述的身份验证方法。
需要说明的是,上述计算机指令可以全部或者部分存储在第一计算机可读存储介质上。其中,第一计算机可读存储介质可以与身份验证装置的处理器封装在一起的,也可以与身份验证装置的处理器单独封装,本申请对此不作限定。
本发明中第二方面、第三方面、第四方面以及第五方面的描述,可以参考第一方面的详细描述;并且,第二方面、第三方面、第四方面以及第五方面的描述的有益效果,可以参考第一方面的有益效果分析,此处不再赘述。
在本申请中,上述身份验证装置的名字对设备或功能模块本身不构成限定,在实际实现中,这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本发明类似,属于本发明权利要求及其等同技术的范围之内。
本发明的这些方面或其他方面在以下的描述中会更加简明易懂。
附图说明
图1a为本申请实施例提供的一种通信系统的结构示意图;
图1b为本申请实施例提供的又一种通信系统的结构示意图;
图2为本申请实施例提供的一种身份验证装置的硬件结构示意图;
图3为本申请实施例提供的又一种身份验证装置的硬件结构示意图;
图4为本申请实施例提供的一种身份验证方法的流程示意图;
图5为本申请实施例提供的又一种身份验证方法的流程示意图;
图6为本申请实施例提供的又一种身份验证方法的流程示意图;
图7为本申请实施例提供的又一种身份验证方法的流程示意图;
图8为本申请实施例提供的又一种身份验证方法的流程示意图;
图9为本申请实施例提供的又一种身份验证方法的流程示意图;
图10为本申请实施例提供的又一种身份验证方法的流程示意图;
图11为本申请实施例提供的又一种身份验证方法的流程示意图;
图12为本申请实施例提供的一种身份验证装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
为了便于清楚描述本申请实施例的技术方案,在本申请实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
如背景技术所描述,通过数字证书技术对车联网系统中的重要数据进行加密,是保证车联网系统安全问题的主要技术手段。但是,数字证书技术的类型众多,业务复杂,认证效率较低。
针对上述问题,本申请实施例提供了一种身份验证方法,包括:车联网设备在进行身份验证时,可以通过车联网设备的标识生成第一密钥对,并接收验证服务器根据车联网设备的标识生成的第二密钥对,生成用于对车联网设备进行身份验证的目标密钥对,解决了现有的数字证书技术的类型众多,业务复杂,认证效率较低的技术问题,提高了身份验证的效率。
本申请实施例提供的身份验证方法适用于通信系统10a。图1a示出了该通信系统10a的一种结构。如图1a所示,该通信系统10a包括:车联网设备11和身份验证服务器12。其中,车联网设备11与身份验证服务器12之间通信连接。
本申请实施例中的车联网设备11可以是车载终端、移动终端,也可以是车联网系统中的服务器(例如V2X平台服务器)。
本申请实施例中的身份验证服务器12包括:车联网密码管理平台服务器、车联网安全认证平台服务器、车联网安全管控平台服务器中的至少一项。
本申请实施例提供的身份验证方法还适用于通信系统10b。图1b示出了该通信系统10b的一种结构。如图1b所示,该通信系统10b包括:安全SE车联网客户端、基站、核心网设备、安全认证接入网关、车联网V2X平台、车联网密码管理平台、车联网安全管控平台以及车联网安全认证平台。其中,安全SE车联网客户端通过基站与核心网设备通信连接。核心网设备与安全认证接入网关通信连接。安全认证接入网关分别与车联网V2X平台和车联网安全管控平台连接。车联网安全管控平台分别与核心网设备、车联网安全认证平台和车联网密码管理平台连接。
具体的,安全SE车联网客户端主要实现:基于终端的USIM卡ICCID号与终端的硬件序列号作为联合标识,采用新型轻量无证书标识密码技术,在USIM的安全环境内生成部分临时密钥,并与车联网密钥管理平台返回来的另一部分密钥进行合成,生成最终的终端私钥并存储在SE内;另外提供对终端的密码服务功能——签名验签以及加密解密的服务;对于终端的状态运行信息进行动态采集,上报给车联网安全管控平台。
安全认证接入网关主要实现:基于TLS协议的无证书密码认证技术提供对终端身份的安全认证能力以及对于数据包的加密解密能力,确保数据传输的安全性、完整性、可用性、以及终端身份的不可抵赖性等安全能力保证;对于数据包的发送源进行身份验签,成功验签的终端数据包方能接入云端车联网V2X平台;同时接收安全管控平台的处置命令,实现对终端或应用平台的入口出口安全控制,及时阻断、隔离。
车联网密码管理平台主要实现:基于国密自主无证书标识密码技术为基础,以终端的ICCID号和终端的硬件序列号作为密管系统的唯一标识,进行密钥的全生命周期管理、包括密钥生成、密钥发布以及密钥撤销、密钥恢复、密钥备份等功能。
车联网安全管控平台主要实现两个大的功能:首先,与车载终端内的安全SE车联网客户端进行联动,完成对于终端的信息的实时监控,以及实现对于终端的动态管理,日志管理,以及终端密钥下发和终端状态GIS界面展示的功能;另外作为该发明的核心控制平台,它还负责对于密钥状态的管理、签名验证、以及终端状态的实时预警、终端应用策略管理以及安全审计等功能;再次,此平台依据业务特点可以确定终端的安全行为基线类型(黑名单、白名单、威胁情报、病毒库等,DDOS攻击),依据安全行为基线,制定相应的安全策略。负责完成对终端的业务鉴权、标识密钥下发,以决定授予或拒绝该终端对某些确定资源的访问。根据动态安全评估结果,给安全认证网关下发处置命令,实现对终端或应用平台的安全阻断、隔离。
车联网安全认证平台主要实现:提供密码服务能力的接口与车联网安全管控平台进行集成,赋能车联网安全管控平台的加密解密、签名验签等密码运算能力;为车联网V2X应用平台提供部分密钥生成和管理的功能。
图1a中的车联网设备11和身份验证服务器12的基本硬件结构类似,都包括图2所示身份验证装置所包括的元件。下面以图2所示的身份验证装置为例,介绍图1中的车联网设备11和身份验证服务器12的硬件结构。
图2示出了本申请实施例提供的身份验证装置的一种硬件结构示意图。如图2所示,该身份验证装置包括处理器21,存储器22、通信接口23、总线24。处理器21,存储器22以及通信接口23之间可以通过总线24连接。
处理器21是身份验证装置的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器21可以是一个通用中央处理单元(central processing unit,CPU),也可以是其他通用处理器等。其中,通用处理器可以是微处理器或者是任何常规的处理器等。
作为一种实施例,处理器21可以包括一个或多个CPU,例如图2中所示的CPU 0和CPU 1。
存储器22可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
一种可能的实现方式中,存储器22可以独立于处理器21存在,存储器22可以通过总线24与处理器21相连接,用于存储指令或者程序代码。处理器21调用并执行存储器22中存储的指令或程序代码时,能够实现本发明实施例提供的身份验证方法。
另一种可能的实现方式中,存储器22也可以和处理器21集成在一起。
通信接口23,用于与其他设备通过通信网络连接。所述通信网络可以是以太网,无线接入网,无线局域网(wireless local area networks,WLAN)等。通信接口23可以包括用于接收数据的接收单元,以及用于发送数据的发送单元。
总线24,可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component Interconnect,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图2中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
需要指出的是,图2示出的结构并不构成对该身份验证装置的限定。除图2所示部件之外,该身份验证装置可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
图3示出了本申请实施例中身份验证装置的另一种硬件结构。如图3所示,身份验证装置可以包括处理器31以及通信接口32。处理器31与通信接口32耦合。
处理器31的功能可以参考上述处理器21的描述。此外,处理器31还具备存储功能,可以参考上述存储器22的功能。
通信接口32用于为处理器31提供数据。该通信接口32可以是身份验证装置的内部接口,也可以是身份验证装置对外的接口(相当于通信接口23)。
需要指出的是,图2(或图3)中示出的结构并不构成对身份验证装置的限定,除图2(或图3)所示部件之外,该身份验证装置可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合上述图1示出的通信系统和上述图2(或图3)示出的身份验证装置,对本申请实施例提供的身份验证方法进行详细介绍。
图4为本申请实施例提供的一种身份验证方法的流程示意图。如图4所示,本申请实施例提供的身份验证方法应用于车联网设备,包括:S401-S404。
S401、根据车联网设备的标识生成第一密钥对。
车联网设备在进行身份验证时,首先基于国密SM2算法和车联网设备的唯一标识,在安全芯片内生成第一密钥对。
S402、向身份验证服务器发送标识和第一密钥对。
在生成第一密钥对后,车联网设备通过芯片侧IF SEC接口送达模组,经过IF SKF,IF6接口,到达模组管控套件,模组管控套件通过网络向身份验证服务器发送标识和第一密钥对。
S403、接收身份验证服务器发送的与第一密钥对对应的第二密钥对。
服务器在接收第一密钥对后,生成与第一密钥对对应的第二密钥对,并通过公钥进行加密,并向车联网设备发送第二密钥对。
S404、根据第一密钥对和第二密钥对生成目标密钥对。
其中,目标密钥对用于对车联网设备进行身份验证。
示例性的,如图5所示,当车联网设备为车载终端TBOX管控agent时,车载终端上配置有安全eSIM/通信模组;身份验证服务器包括:车联网安全管控平台和车联网密码管理平台时,本申请实施例提供的身份验证方法包括:S501-S511。
S501、车载终端TBOX管控agent向安全eSIM/通信模组请求生成密钥。
S502、安全eSIM/通信模组生成部分临时公私钥对到车载终端TBOX管控agent。
S503、车载终端TBOX管控agent转发部分公私钥对到车联网安全管控平台。
S504、车联网安全管控平台进行终端身份验证。
S505、车联网安全管控平台到车联网密码管理平台申请密钥。
S506、车联网密码管理平台生成另一部分密钥对并返回至车联网安全管控平台。
S507、车联网安全管控平台转发密钥信息到车载终端TBOX管控agent。
S508、车载终端TBOX管控agent将密钥信息传给安全eSIM/通信模组。
S509、安全eSIM/通信模组计算合成完整的用户密钥信息进行保存。
S510、安全eSIM/通信模组通知车载终端TBOX管控agent写入成功。
S511、车载终端TBOX管控agent通知车联网安全管控平台密钥发布成功。
示例性的,如图6所示,当车联网设备为手持终端时,手持终端上配置有安全云卡中心;身份验证服务器包括:车联网安全管控平台和车联网密码管理平台时,本申请实施例提供的身份验证方法包括:S601-S611。
S601、手持终端向云卡中心请求生成密钥。
S602、云卡中心生成部分临时公私钥对。
S603、手持终端向车联网安全管控平台发送部分公私钥对。
S604、车联网安全管控平台进行用户验证。
S605、车联网安全管控平台向车联网密码管理平台转发申请密钥请求。
S606、车联网密码管理平台生成部分密钥信息并返回。
S607、车联网安全管控平台转发车联网密码管理平台的部分密钥信息到手持终端。
S608、手持终端将部分密钥信息写入本地,并转发到云卡中心。
S609、云卡中心计算生成云端密钥信息并存储。
S610、云卡中心通知手持终端云端密钥写入成功。
S611、手持终端通知车联网安全管控平台密钥发布成功。
示例性的,如图7所示,当车联网设备为车联网V2X平台,身份验证服务器包括:车联网安全认证平台、车联网安全管控平台和车联网密码管理平台时,本申请实施例提供的身份验证方法包括:S701-S709。
S701、车联网V2X平台向车联网安全管控平台发送平台版本序列号作为唯一标识。
S702、车联网安全管控平台进行车联网V2X平台的注册登记。
S703、车联网安全管控平台向车联网安全认证平台申请密钥。
S704、车联网安全认证平台生成部分临时公私钥对。
S705、车联网安全认证平台向车联网密码管理平台申请密钥。
S706、车联网密码管理平台生成部分公私钥对。
S707、车联网密码管理平台将生成的部分公私钥信息返回给车联网安全认证平台。
S708、车联网安全认证平台合成完整的公私钥对,并保存在安全环境中。
S709、车联网安全认证平台通知车联网安全管控平台密钥生成成功。
可选的,如图8所示,车联网设备包括:车联网终端和车联网服务器;在车联网设备身份验证成功后,还包括:S801-S803。
S801、车联网终端向身份验证服务器发送接入请求。
其中,接入请求用于请求接入车联网服务器。
S802、车联网终端接收身份验证服务器发送的接入凭证。
S803、车联网终端根据接入凭证接入车联网服务器。
示例性的,如图9所示,当车联网终端为车载终端TBOX管控agent时,车载终端上配置有安全eSIM/通信模组和车载应用;身份验证服务器包括:车联网安全管控平台和车联网安全认证平台时,本申请实施例提供的身份验证方法包括:S901-S913。
S901、车载应用请求接入车载终端TBOX管控agent。
S902、车载终端TBOX管控agent向车联网安全管控平台进行Client hello请求。
S903、车联网管控平台与车联网安全认证平台之间生成服务器端相应数据。
S904、车联网安全管控平台向车载终端TBOX管控agent进行Server hello响应。
S905、车载终端TBOX管控agent向安全eSIM/通信模组请求认证并生成客户凭证。
S906、车载终端TBOX管控agent向车联网安全管控平台发送认证凭证。
S907、车联网安全管控平台调用车联网安全认证平台进行验签并记录token。
S908、车联网安全管控平台返回验签结果给车载终端TBOX管控agent。
S909、车载终端TBOX管控agent向车载应用返回允许接入的指令。
S910、车载应用携带token接入车联网V2X平台。
S911、车联网V2X平台向车联网安全管控平台进行token验签。
S912、车联网安全管控平台向车联网V2X平台返回验签结果。
S913、车联网V2X平台通知车载应用接入成功。
可选的,如图10所示,在车联网设备身份验证成功后,还包括:S1001-S1002。
S1001、向身份验证服务器发送业务请求。
S1002、接收身份验证服务器发送的业务数据。
示例性的,如图11所示,当车联网终端为车载终端TBOX管控agent时,车载终端上配置有安全eSIM/通信模组和车载应用;身份验证服务器包括:车联网安全管控平台和车联网安全认证平台时,本申请实施例提供的身份验证方法包括:S1101-S1111。
S1101、车联网V2X平台构造业务指令信息。
S1102、车联网V2X平台向车联网安全管控平台请求指令签名。
S1103、车联网安全管控平台调用车联网安全认证平台的签名接口进行指令签名。
S1104、车联网安全认证平台返回签名结果信息。
S1105、车联网安全管控平台转发指令签名信息到车联网V2X平台。
S1106、车联网V2X平台向车载应用进行指令下发。
S1107、车载应用向车载终端TBOX管控agent请求指令验证。
S1108、车载终端TBOX管控agent向安全eSIM/通信模组发送指令验签请求。
S1109、eSIM/通信模组进行指令验签并向车载终端TBOX管控agent返回验签结果。
S1110、车载终端TBOX管控agent向车载应用返回验签结果。
S1111、车载应用执行指令,并通知车联网V2X平台指令执行结果。
本申请提供一种身份验证方法,应用于车联网设备,包括:车联网设备首先根据车联网设备的标识生成第一密钥对,然后向身份验证服务器发送标识和第一密钥对,接着接收身份验证服务器发送的与第一密钥对对应的第二密钥对,并根据第一密钥对和第二密钥对生成目标密钥对;目标密钥对用于对车联网设备进行身份验证。
可以看出,车联网设备在进行身份验证时,可以通过车联网设备的标识生成第一密钥对,并接收验证服务器根据车联网设备的标识生成的第二密钥对,生成用于对车联网设备进行身份验证的目标密钥对,解决了现有的数字证书技术的类型众多,业务复杂,认证效率较低的技术问题,提高了身份验证的效率。
上述主要从方法的角度对本申请实施例提供的方案进行了介绍。为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本申请实施例可以根据上述方法示例对身份验证装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。可选的,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
如图12所示,为本申请实施例提供的一种身份验证装置120的结构示意图。该身份验证装置120用于解决现有的数字证书技术的类型众多,业务复杂,认证效率较低的技术问题。该身份验证装置包括:生成单元1201、发送单元1202和接收单元1203。
生成单元1201,用于根据车联网设备的标识生成第一密钥对。
发送单元1202,用于向身份验证服务器发送标识和生成单元1201生成的第一密钥对。
接收单元1203,用于接收身份验证服务器发送的与第一密钥对对应的第二密钥对。
生成单元1201,还用于根据生成单元1201生成的第一密钥对和接收单元1203接收的第二密钥对生成目标密钥对。目标密钥对用于对车联网设备进行身份验证。
可选的,车联网设备包括:车联网终端和车联网服务器。当身份验证装置应用于车联网终端时,在车联网设备身份验证成功后,发送单元1202,还用于向身份验证服务器发送接入请求。接入请求用于请求接入车联网服务器。
接收单元1203,还用于接收身份验证服务器发送的接入凭证。
可选的,身份验证装置还包括:接入单元1204。
接入单元1204,用于根据接入凭证接入车联网服务器。
可选的,发送单元1202,还用于向身份验证服务器发送业务请求。
接收单元1203,还用于接收身份验证服务器发送的业务数据。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质包括计算机执行指令。当计算机执行指令在计算机上运行时,使得计算机执行如上述实施例提供的身份验证方法中,身份验证装置执行的各个步骤。
本申请实施例还提供一种计算机程序产品,该计算机程序产品可直接加载到存储器中,并含有软件代码,该计算机程序产品经由计算机载入并执行后能够实现上述实施例提供的身份验证方法中,身份验证装置执行的各个步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机执行指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digitalsubscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取的存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种身份验证方法,其特征在于,应用于车联网设备,包括:
根据所述车联网设备的标识生成第一密钥对;
向身份验证服务器发送所述标识和所述第一密钥对;
接收所述身份验证服务器发送的与所述第一密钥对对应的第二密钥对;
根据所述第一密钥对和所述第二密钥对生成目标密钥对;所述目标密钥对用于对所述车联网设备进行身份验证。
2.根据权利要求1所述的身份验证方法,其特征在于,所述车联网设备包括:车联网终端和车联网服务器;在所述车联网设备身份验证成功后,所述身份验证方法还包括:
所述车联网终端向所述身份验证服务器发送接入请求;所述接入请求用于请求接入所述车联网服务器;
所述车联网终端接收所述身份验证服务器发送的接入凭证;
所述车联网终端根据所述接入凭证接入所述车联网服务器。
3.根据权利要求1所述的身份验证方法,其特征在于,在所述车联网设备身份验证成功后,还包括:
向所述身份验证服务器发送业务请求;
接收所述身份验证服务器发送的业务数据。
4.一种身份验证装置,其特征在于,应用于车联网设备,包括:生成单元、发送单元和接收单元;
所述生成单元,用于根据所述车联网设备的标识生成第一密钥对;
所述发送单元,用于向身份验证服务器发送所述标识和所述生成单元生成的所述第一密钥对;
所述接收单元,用于接收所述身份验证服务器发送的与所述第一密钥对对应的第二密钥对;
所述生成单元,还用于根据所述生成单元生成的所述第一密钥对和所述接收单元接收的所述第二密钥对生成目标密钥对;所述目标密钥对用于对所述车联网设备进行身份验证。
5.根据权利要求4所述的身份验证装置,其特征在于,所述车联网设备包括:车联网终端和车联网服务器;当所述身份验证装置应用于所述车联网终端时,在所述车联网设备身份验证成功后,所述发送单元,还用于向所述身份验证服务器发送接入请求;所述接入请求用于请求接入所述车联网服务器;
所述接收单元,还用于接收所述身份验证服务器发送的接入凭证;
所述身份验证装置还包括:接入单元;
所述接入单元,用于根据所述接入凭证接入所述车联网服务器。
6.根据权利要求4所述的身份验证装置,其特征在于,
所述发送单元,还用于向所述身份验证服务器发送业务请求;
所述接收单元,还用于接收所述身份验证服务器发送的业务数据。
7.一种身份验证装置,其特征在于,包括存储器和处理器;所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过总线连接;
当所述身份验证装置运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述身份验证装置执行如权利要求1-3任一项所述的身份验证方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机执行指令,当所述计算机执行指令在计算机上运行时,使得所述计算机执行如权利要求1-3任一项所述的身份验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011412671.0A CN112491559B (zh) | 2020-12-03 | 2020-12-03 | 一种身份验证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011412671.0A CN112491559B (zh) | 2020-12-03 | 2020-12-03 | 一种身份验证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112491559A true CN112491559A (zh) | 2021-03-12 |
| CN112491559B CN112491559B (zh) | 2022-11-22 |
Family
ID=74939532
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011412671.0A Active CN112491559B (zh) | 2020-12-03 | 2020-12-03 | 一种身份验证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112491559B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113852632A (zh) * | 2021-09-24 | 2021-12-28 | 北京明朝万达科技股份有限公司 | 基于sm9算法的车辆身份认证方法、系统、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789046A (zh) * | 2017-02-24 | 2017-05-31 | 江苏信源久安信息科技有限公司 | 一种自生成密钥对的实现方法 |
| CN109495454A (zh) * | 2018-10-26 | 2019-03-19 | 北京车和家信息技术有限公司 | 认证方法、装置、云端服务器及车辆 |
| US20190116179A1 (en) * | 2015-10-14 | 2019-04-18 | Alibaba Group Holding Limited | System, method and apparatus for device authentication |
| CN110138772A (zh) * | 2019-05-13 | 2019-08-16 | 上海英恒电子有限公司 | 一种通信方法、装置、系统、设备和存储介质 |
| CN112019647A (zh) * | 2018-02-12 | 2020-12-01 | 华为技术有限公司 | 一种获得设备标识的方法及装置 |
-
2020
- 2020-12-03 CN CN202011412671.0A patent/CN112491559B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190116179A1 (en) * | 2015-10-14 | 2019-04-18 | Alibaba Group Holding Limited | System, method and apparatus for device authentication |
| CN106789046A (zh) * | 2017-02-24 | 2017-05-31 | 江苏信源久安信息科技有限公司 | 一种自生成密钥对的实现方法 |
| CN112019647A (zh) * | 2018-02-12 | 2020-12-01 | 华为技术有限公司 | 一种获得设备标识的方法及装置 |
| CN109495454A (zh) * | 2018-10-26 | 2019-03-19 | 北京车和家信息技术有限公司 | 认证方法、装置、云端服务器及车辆 |
| CN110138772A (zh) * | 2019-05-13 | 2019-08-16 | 上海英恒电子有限公司 | 一种通信方法、装置、系统、设备和存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113852632A (zh) * | 2021-09-24 | 2021-12-28 | 北京明朝万达科技股份有限公司 | 基于sm9算法的车辆身份认证方法、系统、装置及存储介质 |
| CN113852632B (zh) * | 2021-09-24 | 2023-10-20 | 北京明朝万达科技股份有限公司 | 基于sm9算法的车辆身份认证方法、系统、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112491559B (zh) | 2022-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109327314A (zh) | 业务数据的访问方法、装置、电子设备和系统 | |
| CN109379369A (zh) | 单点登录方法、装置、服务器及存储介质 | |
| CN110177124B (zh) | 基于区块链的身份认证方法及相关设备 | |
| CN105450406A (zh) | 数据处理的方法和装置 | |
| CN109218263A (zh) | 一种控制方法及装置 | |
| WO2012040324A2 (en) | Shared secret establishment and distribution | |
| CN112131021A (zh) | 一种访问请求处理方法及装置 | |
| CN113726774B (zh) | 客户端登录认证方法、系统和计算机设备 | |
| CN112311543B (zh) | Gba的密钥生成方法、终端和naf网元 | |
| WO2019056971A1 (zh) | 一种鉴权方法及设备 | |
| JP2010072976A (ja) | センタ装置,端末装置,および,認証システム | |
| CN112235301B (zh) | 访问权限的验证方法、装置和电子设备 | |
| CN107040501B (zh) | 基于平台即服务的认证方法和装置 | |
| CN112491559B (zh) | 一种身份验证方法及装置 | |
| CN114095277A (zh) | 配电网安全通信方法、安全接入设备及可读存储介质 | |
| CN112751803B (zh) | 管理对象的方法、设备、计算机可读存储介质 | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN104135458A (zh) | 移动设备与安全载体之间通信连接的建立 | |
| CN111355583A (zh) | 一种业务提供系统、方法、装置、电子设备及存储介质 | |
| CN112995140B (zh) | 安全管理系统及方法 | |
| WO2021083012A1 (zh) | 一种保护认证流程中参数的方法及装置 | |
| CN115150098A (zh) | 一种基于挑战应答机制的身份认证方法及相关设备 | |
| CN111541642B (zh) | 基于动态秘钥的蓝牙加密通信方法和装置 | |
| CN114897177A (zh) | 数据建模方法、装置、电子设备及存储介质 | |
| CN114024682A (zh) | 跨域单点登录方法、服务设备及认证设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |