CN114584318B - 一种证书和密钥的访问控制方法、电子设备和存储介质 - Google Patents
一种证书和密钥的访问控制方法、电子设备和存储介质 Download PDFInfo
- Publication number
- CN114584318B CN114584318B CN202210216863.7A CN202210216863A CN114584318B CN 114584318 B CN114584318 B CN 114584318B CN 202210216863 A CN202210216863 A CN 202210216863A CN 114584318 B CN114584318 B CN 114584318B
- Authority
- CN
- China
- Prior art keywords
- certificate
- key
- access
- attribute
- visitor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000012795 verification Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 7
- 230000006854 communication Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种证书和密钥的访问控制方法、电子设备和机器可读存储介质。该方法包括:接收访问者对欲访问的证书和密钥的访问请求;获取欲访问的证书和密钥的属性信息,并在车辆系统预置的证书密钥属性配置文件中查找是否存在与证书和密钥的属性信息相匹配的属性;若存在,则根据访问请求的类型和访问者的身份对证书和密钥进行访问;若不存在,则根据原本设定的与证书和密钥对应的访问逻辑对证书和密钥进行访问。本发明使得密钥和证书的访问权限控制更灵活,可适配更多应用场景。
Description
技术领域
本发明涉及车辆系统安全技术领域,特别是一种证书和密钥的访问控制方法、电子设备和机器可读存储介质。
背景技术
当前,车辆系统安全已经受到业内的高度重视,国家信息化工业相关部门也出台了一系列针对车辆系统相关安全的合规政策,比如隐私安全、网络安全和数据安全基本要求以及车内系统通信安全要求等。
在车辆系统安全领域,无论是隐私安全、网络安全、数据安全、还是通信安全,都离不开证书和密钥对数据进行保护,这也是迄今为止仍然实用的保护性措施。传统的加密、解密技术难以保证以上数据和通信过程的安全,因为密钥和证书材料本身就容易受到任意破坏,比如证书或者密钥被篡改或删除,从而造成数据不可恢复、隐私等机密数据被泄露、互通过程被恶意模拟等问题。因此,怎么控制证书和密钥材料的访问权限也变得极其重要。然而,现有技术中证书和密钥材料的访问权限的控制单一、扩展性弱,适用的应用场景也比较受限。
发明内容
鉴于上述问题,提出了一种克服上述问题或者至少部分地解决上述问题的证书和密钥的访问控制方法、电子设备和机器可读存储介质。
本发明的一个目的在于提供一种密钥和证书的访问权限控制更灵活,可适配更多应用场景的证书和密钥的访问控制方法。
本发明的一个进一步的目的在于在防止证书和密钥被恶意破坏的同时实现证书和密钥的共享。
本发明的另一个进一步的目的在于有效保证证书密钥属性配置文件的可信性和安全性。
特别地,根据本发明实施例的一方面,提供了一种证书和密钥的访问控制方法,包括:
接收访问者对欲访问的证书和密钥的访问请求;
获取所述证书和密钥的属性信息,并在车辆系统预置的证书密钥属性配置文件中查找是否存在与所述证书和密钥的属性信息相匹配的属性;
若存在,则根据所述访问请求的类型和所述访问者的身份对所述证书和密钥进行访问;
若不存在,则根据原本设定的与所述证书和密钥对应的访问逻辑对所述证书和密钥进行访问。
可选地,所述根据所述访问请求的类型和所述访问者的身份对所述证书和密钥进行访问的步骤包括:
判断所述访问请求的类型是否为更新类型;
若所述访问请求的类型不是更新类型,则消除所述证书和密钥的访问者限制条件,使得不管所述访问者的身份均允许对所述证书和密钥的访问;
若所述访问请求的类型是更新类型,则判断所述访问者的身份标识是否与预设的所述证书和密钥的访问者的身份标识一致;
若一致,则消除所述证书和密钥的访问者限制条件,以允许对所述证书和密钥的访问;
若不一致,则拒绝对所述证书和密钥的访问。
可选地,所述证书和密钥是通过所述访问者调用密钥和证书存储服务的接口进行访问的;
所述消除所述证书和密钥的访问者限制条件的步骤包括:
删除所述密钥和证书存储服务中设置的唯一访问标识。
可选地,所述访问者的身份标识包括程序名或包名。
可选地,所述证书密钥属性配置文件是预先通过设备认证公钥证书进行了加密的;
在车辆系统预置的证书密钥属性配置文件中查找是否存在与所述证书和密钥的属性信息相匹配的属性之前,所述方法还包括:
使用所述车辆系统的设备认证私钥对所述证书密钥属性配置文件进行解密。
可选地,在接收访问者对欲访问的证书和密钥的访问请求之前,所述方法还包括:
接收云端下发的已加密的所述证书密钥属性配置文件并将所述证书密钥属性配置文件预置在所述车辆系统中。
可选地,在接收云端下发的已加密的所述证书密钥属性配置文件之前,所述方法还包括:
获取所述车辆系统的所述设备认证公钥证书,并将所述设备认证公钥证书上传至所述云端,以便所述云端在对所述设备认证公钥证书进行校验且校验通过后,使用所述设备认证公钥证书对预先制定好的所述证书密钥属性配置文件进行加密,并向所述车辆系统下发已加密的所述证书密钥属性配置文件。
可选地,所述证书密钥属性配置文件中包含证书属性和密钥属性;
所述证书属性包括下列至少之一:证书别名信息、证书主题项信息、证书扩展性信息;
所述密钥属性包括密钥加密算法和/或密钥别名信息。
根据本发明实施例的另一方面,还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并在所述处理器上运行的机器可执行程序,并且所述处理器执行所述机器可执行程序时实现前述任一的证书和密钥的访问控制方法。
根据本发明实施例的再一方面,还提供了一种机器可读存储介质,其上存储有机器可执行程序,所述机器可执行程序被处理器执行时实现前述任一的证书和密钥的访问控制方法。
本发明提供的证书和密钥的访问控制方法中,在接收到访问请求后,先将欲访问的证书和密钥的属性信息与预置的证书密钥属性配置文件中的属性(下文简称为参照属性)进行对比,若两者匹配,则进一步根据访问请求的类型和访问者的身份对证书和密钥进行访问,若两者不匹配,则根据原本设定的与该证书和密钥对应的访问逻辑(不妨称为正常访问逻辑)对该证书和密钥进行访问。如此,使得密钥和证书的访问权限控制更灵活,可适配更多应用场景。
进一步地,本发明的证书和密钥的访问控制方法中,在访问请求的类型为更新类型时,进一步判断当前访问者的身份,如果与预设的身份一致,则去掉证书和密钥的原本访问逻辑的受限条件(即访问者限制条件),允许当前访问者访问证书和密钥,从而放开读(阅览)权限,如果不一致,则直接拒绝访问。在访问请求的类型不为更新类型时,直接去掉证书和密钥的原本访问逻辑的受限条件,达到共享的目的。如此,能够按照访问请求的类型和访问者的不同身份设定不同的访问密钥和证书的权限,防止证书和密钥不被恶意破坏,也能达到证书和密钥被共享的意图,更具灵活性、适配性、安全性和共赢。
进一步地,本发明的证书和密钥的访问控制方法中,属性对比所用的证书密钥属性配置文件是由云端进行加密下发到车辆系统中,加密使用的证书来源于车辆系统唯一的设备认证公钥证书,能够有效保证证书密钥属性配置文件的可信性和安全性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一实施例的证书和密钥的访问控制方法的流程示意图;
图2示出了根据本发明一实施例的根据访问请求的类型和访问者的身份对证书和密钥进行访问步骤的流程示意图;
图3示出了根据本发明又一实施例的证书和密钥的访问控制方法的流程示意图;
图4示出了根据本发明一实施例的结合了车辆系统和云端的证书和密钥的访问控制方法的流程示意图;
图5示出了根据本发明一实施例的电子设备的示意性结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
当前,国家信息化工业相关部门已经出台了一系列针对车辆系统安全的相关政策要求,比如隐私安全、网络安全和数据安全基本要求以及车内系统通信安全要求等。车内系统通信安全涉及到安全存储、安全认证、分域隔离、访问控制等方面。现有技术中单一的、扩展性弱的证书和密钥材料的访问权限无法满足上述安全要求。
为解决或至少部分解决上述技术问题,本发明实施例提出一种证书和密钥的访问控制方法。该证书和密钥的访问控制方法可应用于车辆系统,比如车机系统。更具体地,该访问控制方法可由车辆系统中的密钥和证书存储服务执行。
图1示出了根据本发明一实施例的证书和密钥的访问控制方法的流程示意图。参见图1,该方法至少可以包括以下步骤S102至步骤S108。
步骤S102,接收访问者对欲访问的证书和密钥的访问请求。
步骤S104,获取欲访问的证书和密钥的属性信息,并在车辆系统预置的证书密钥属性配置文件中查找是否存在与该证书和密钥的属性信息相匹配的属性。若是,即证书密钥属性配置文件中存在与该证书和密钥的属性信息相匹配的属性,则执行步骤S106。若否,即证书密钥属性配置文件中不存在与该证书和密钥的属性信息相匹配的属性,则执行步骤S108。
步骤S106,根据访问请求的类型和访问者的身份对证书和密钥进行访问。
步骤S108,根据原本设定的与证书和密钥对应的访问逻辑对证书和密钥进行访问。
本发明实施例提供的证书和密钥的访问控制方法中,在接收到访问请求后,先将欲访问的证书和密钥的属性信息与预置的证书密钥属性配置文件中的属性(下文简称为参照属性)进行对比,若两者匹配,则进一步根据访问请求的类型和访问者的身份对证书和密钥进行访问,若两者不匹配,则根据原本设定的与该证书和密钥对应的访问逻辑(不妨称为正常访问逻辑)对该证书和密钥进行访问。如此,使得密钥和证书的访问权限控制更灵活,可适配更多应用场景。
本文中提及的访问者一般可指车辆系统中的应用端程序。
具体地,上文步骤S102中,车辆系统的应用端程序可通过调用密钥和证书存储服务的标准接口以触发对欲访问的证书和密钥的访问请求,从而开始访问该证书和密钥。
具体地,上文步骤S104中,密钥和证书存储服务接收到访问请求后,可通过该标准接口获取到欲访问的证书和密钥的属性信息,其获取方法应为本领域技术人员所习知,本文不另赘述。之后,密钥和证书存储服务获取预先设置在车辆系统中的密钥证书属性配置文件,以便将欲访问的证书和密钥的属性信息与证书密钥属性配置文件进行查找匹配。
上文步骤S106中,在欲访问的证书和密钥的属性信息与预置的证书密钥属性配置文件中的属性(下文简称为参照属性)相匹配的情况下,进一步根据访问请求的类型和访问者的身份对证书和密钥进行访问。
在实际运行中,访问请求的类型可根据所调用的接口的访问类型确定。
在一些可选的实施例中,参见图2所示,步骤S106可进一步包括以下步骤S1061至S1065。
步骤S1061,判断访问请求的类型是否为更新类型。若访问请求的类型不是更新类型,则执行步骤S1062。若访问请求的类型是更新类型,则执行步骤S1063。
此处提及的更新类型可包括删除、修改等操作类型。
步骤S1062,消除证书和密钥的访问者限制条件,使得不管访问者的身份均允许对证书和密钥的访问。
步骤S1063,判断访问者的身份标识是否与预设的证书和密钥的访问者的身份标识一致。若一致,则执行步骤S1064。若不一致,则执行步骤S1065。
步骤S1064,消除证书和密钥的访问者限制条件,以允许对证书和密钥的访问。
步骤S1065,拒绝对证书和密钥的访问。
本实施例中,在访问请求的类型为更新类型时,进一步判断当前访问者的身份,如果与预设的身份一致,则去掉证书和密钥的原本访问逻辑的受限条件(即访问者限制条件),允许当前访问者访问证书和密钥,从而放开读(阅览)权限,如果不一致,则直接拒绝访问。在访问请求的类型不为更新类型时,直接去掉证书和密钥的原本访问逻辑的受限条件,达到共享的目的。如此,能够按照访问请求的类型和访问者的不同身份设定不同的访问密钥和证书的权限,防止证书和密钥不被恶意破坏,也能达到证书和密钥被共享的意图,更具灵活性、适配性、安全性和共赢。
在一些进一步的实施例中,证书和密钥可以是访问者通过调用密钥和证书存储服务的接口进行访问的。相应地,在步骤S1062和步骤S1064中,消除证书和密钥的访问者限制条件可以具体实施为:由密钥和证书存储服务删除其自身中设置的唯一访问标识。由此,在访问请求的类型(或者接口访问类型)不是更新类型的情况下,以及访问请求的类型(或者接口访问类型)是更新类型且访问者的身份标识与预设的证书和密钥的访问者身份标识一致的情况下,均允许作为访问者的应用端程序访问该套证书和密钥,而不管该证书和密钥可能是由别的应用程序创建的。这样就实现了允许多个应用程序访问同一套证书和密钥,放开了读权限,实现了共享。
具体地,前述唯一访问标识例如可以是应用程序的UID等,本发明对此不作限制。
在步骤S1063中,预设的证书和密钥的访问者的身份标识可以设置在密钥和证书存储服务中。具体地,访问者的身份标识例如可以是应用程序的程序名或包名等,本发明对此不做限制。
上文步骤S108中,在欲访问的证书和密钥的属性信息与参照属性不匹配的情况下,根据原本设定的与证书和密钥对应的访问逻辑对证书和密钥进行访问。此处提及的原本设定的访问逻辑可以是指密钥和证书存储服务的正常访问逻辑,即原有的不经与证书密钥属性配置文件进行查找匹配步骤时的访问逻辑。例如,对于欲访问的证书和密钥,密钥和证书存储服务的原本的正常访问逻辑可能是拒绝访问的。
在一些实施例中,该证书密钥属性配置文件可以是预先通过设备认证公钥证书进行了加密的。相应地,参见图3所示,在步骤S104中在证书密钥属性配置文件中查找是否存在与欲访问的证书和密钥的属性信息相匹配的属性之前,本发明的证书和密钥的访问控制方法还可以包括:
步骤S103,使用车辆系统的设备认证私钥对预置的证书密钥属性配置文件进行解密,以得到解密后的证书密钥属性配置文件用于属性的对比匹配。
具体地,可以由密钥和证书存储服务使用车辆系统中唯一的设备认证私钥对证书密钥属性配置文件进行解密。当然,在解密后,还可以对已解密的证书密钥属性配置文件进行解析以提取其中包含的属性。之后,在步骤S104中将获取到的欲访问的证书和密钥的属性信息与已解密的证书密钥属性配置文件中的属性进行对比匹配。
在一些进一步的实施例中,参见图3所示,在执行步骤S102之前,本发明的证书和密钥的访问控制方法还可以包括:
步骤S101,接收云端下发的已加密的证书密钥属性配置文件并将证书密钥属性配置文件预置在车辆系统中。此处提及的已加密的证书密钥属性配置文件是通过前述的设备认证公钥证书进行加密的。
本实施例中属性对比所用的证书密钥属性配置文件是由云端进行加密下发到车辆系统中,加密使用的证书来源于车辆系统唯一的设备认证公钥证书,能够有效保证证书密钥属性配置文件的可信性和安全性。
在一些实施例中,继续参见图3所示,在执行步骤S101接收云端下发的已加密的证书密钥属性配置文件之前,本发明的证书和密钥的访问控制方法还可以包括以下步骤:
步骤S100,获取车辆系统的设备认证公钥证书,并将设备认证公钥证书上传至云端。
具体地,可以通过车辆系统指定的应用程序获取车辆系统唯一的设备认证公钥证书,这可以保证设备认证公钥证书和密钥(即私钥)只能被车辆系统的唯一指定的应用程序和密钥和证书存储服务读取,并且保证设备认证公钥证书和密钥只能产线导入,车辆系统上线后无法进行更改,进一步提高安全性。之后,指定的应用程序将设备认证公钥证书通过安全网络通道上传到指定的云端。
云端在接收到设备认证公钥证书后,先对车辆系统上传的设备认证公钥证书进行校验,在校验通过后,使用设备认证公钥证书对预先制定好的证书密钥属性配置文件进行加密,并向车辆系统下发已加密的证书密钥属性配置文件。具体地,云端使用预先设置在云端的设备认证公钥证书对应的证书链对设备认证公钥证书进行合法性和有效性校验,通过安全网络通道将已加密的证书密钥属性配置文件下发到车辆系统(或设备)中进行安全地存储。
证书密钥属性配置文件是事先制定好的,其中包含证书属性和密钥属性。证书属性例如可以包括但不限于证书别名信息、证书主题项信息、证书扩展性信息等。证书扩展性信息例如可以为证书ANS.1信息。这些信息可以由应用程序通过标准的接口获取到。密钥属性例如可以包括但不限于密钥加密算法和/或密钥别名信息等。
上文介绍了本发明的证书和密钥的访问控制方法的各个环节的多种实现方式,下面将通过一些具体实施例,并结合云端和车辆系统详细介绍本发明的证书和密钥的访问控制方法的实现过程。
图4示出了根据本发明一实施例的结合了车辆系统和云端的证书和密钥的访问控制方法的流程示意图。参见图4,该方法可以包括以下步骤S402至步骤S430。
步骤S402,车辆系统获取设备认证公钥证书,并将设备认证公钥证书上传至云端。
具体地,通过车辆系统(或设备)唯一指定的应用程序获取设备认证公钥证书。
步骤S404,云端对设备认证公钥证书进行校验。
具体地,云端使用预先设置在云端的设备认证公钥证书对应的证书链对设备认证公钥证书进行合法性和有效性校验。
步骤S406,判断校验是否通过。若是,则执行步骤S408,否则,本次配置文件申请流程结束,返回至步骤S402以继续进行下一次申请。
步骤S408,云端使用设备认证公钥证书对预先制定好的证书密钥属性配置文件进行加密。
步骤S410,云端向车辆系统下发已加密的证书密钥属性配置文件。
步骤S412,车辆系统存储接收的证书密钥属性配置文件。
步骤S414,车辆系统(具体为密钥和证书存储服务)接收访问者对欲访问的证书和密钥的访问请求,并获取欲访问的证书和密钥的属性信息。
步骤S416,车辆系统使用设备认证私钥对证书密钥属性配置文件进行解密。
步骤S418,车辆系统解析已解密的证书密钥属性配置文件。
步骤S420,车辆系统查找证书密钥属性配置文件中是否存在与欲访问的证书和密钥的属性信息相匹配的属性。若存在,则执行步骤S424,若不存在,则执行步骤S422。
步骤S422,根据原本设定的与证书和密钥对应的访问逻辑对该证书和密钥进行访问。
步骤S424,判断访问请求的类型是否为更新类型。若访问请求的类型不是更新类型,则执行步骤S426。若访问请求的类型是更新类型,则执行步骤S428。
步骤S426,消除证书和密钥的访问者限制条件,以允许对证书和密钥的访问。
步骤S428,判断访问者的身份标识是否与预设的证书和密钥的访问者的身份标识一致。若一致,则执行步骤S426。若不一致,则执行步骤S430。
步骤S430,拒绝对证书和密钥的访问。
本实施例中,步骤S402至步骤S412可认为是配置文件的申请流程,步骤S414至步骤S430可认为是证书和密钥的访问流程。
本实施例中,对欲访问的证书和密钥材料的属性进行对比,对比的参照属性来源于预先放置在车辆系统的证书密钥属性配置文件(其解密后使用),如果对比发现证书密钥属性配置文件中存在欲访问的证书和密钥材料的属性,则需要进一步判断访问请求的类型(如是否是删除等更新操作,避免恶意被破坏),如果是更新类型,需要进一步判断当前访问者的身份,如果与密钥和证书存储服务设定的身份一致,则去掉密钥和证书存储服务的原本逻辑的受限条件(如只允许密钥和证书的创建者自身访问),允许调用者(即当前访问者)也能访问该密钥或者证书,放开读(阅览)权限,如果不一致,则直接拒绝访问;如果不是更新类型,则直接去掉密钥和证书存储服务的原本逻辑的受限条件,达到共享的目的。这样能够按照不同的访问请求的类型和访问者的不同身份设定不同的访问密钥和证书的权限,防止密钥和证书材料不被恶意破坏,也能达到被共享的意图,更具灵活性、适配性、安全性和共赢。
基于同一发明构思,本发明实施例还提供了一种电子设备200。参见图5所示,该电子设备200包括存储器201、处理器202及存储在存储器201上并在处理器202上运行的机器可执行程序203,并且处理器202执行机器可执行程序203时实现前述任意实施例或实施例组合的证书和密钥的访问控制方法。
基于同一发明构思,本发明实施例还提供了一种机器可读存储介质,其上存储有机器可执行程序。该机器可执行程序被处理器执行时实现前述任意实施例或实施例组合的证书和密钥的访问控制方法。
所属领域的技术人员可以清楚地了解到,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,为简洁起见,在此不另赘述。
另外,在本发明各个实施例中的各功能单元可以物理上相互独立,也可以两个或两个以上功能单元集成在一起,还可以全部功能单元都集成在一个处理单元中。上述集成的功能单元既可以采用硬件的形式实现,也可以采用软件或者固件的形式实现。
本领域普通技术人员可以理解:所述集成的功能单元如果以软件的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,其包括若干指令,用以使得一台计算设备(例如个人计算机,服务器,或者网络设备等)在运行所述指令时执行本发明各实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM)、随机存取存储器(RAM),磁碟或者光盘等各种可以存储程序代码的介质。
或者,实现前述方法实施例的全部或部分步骤可以通过程序指令相关的硬件(诸如个人计算机,服务器,或者网络设备等的计算设备)来完成,所述程序指令可以存储于一计算机可读取存储介质中,当所述程序指令被计算设备的处理器执行时,所述计算设备执行本发明各实施例所述方法的全部或部分步骤。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:在本发明的精神和原则之内,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案脱离本发明的保护范围。
Claims (6)
1.一种证书和密钥的访问控制方法,包括:
接收访问者对欲访问的证书和密钥的访问请求;
获取所述证书和密钥的属性信息,并在车辆系统预置的证书密钥属性配置文件中查找是否存在与所述证书和密钥的属性信息相匹配的属性;
若存在,则根据所述访问请求的类型和所述访问者的身份对所述证书和密钥进行访问;
若不存在,则根据原本设定的与所述证书和密钥对应的访问逻辑对所述证书和密钥进行访问,其中,
所述根据所述访问请求的类型和所述访问者的身份对所述证书和密钥进行访问的步骤包括:
判断所述访问请求的类型是否为更新类型;
若所述访问请求的类型不是更新类型,则消除所述证书和密钥的访问者限制条件,使得不管所述访问者的身份均允许对所述证书和密钥的访问;
若所述访问请求的类型是更新类型,则判断所述访问者的身份标识是否与预设的所述证书和密钥的访问者的身份标识一致;
若一致,则消除所述证书和密钥的访问者限制条件,以允许对所述证书和密钥的访问;
若不一致,则拒绝对所述证书和密钥的访问;
其中,所述证书密钥属性配置文件是预先通过设备认证公钥证书进行了加密的;
在车辆系统预置的证书密钥属性配置文件中查找是否存在与所述证书和密钥的属性信息相匹配的属性之前,所述方法还包括:
使用所述车辆系统的设备认证私钥对所述证书密钥属性配置文件进行解密;并且
在接收访问者对欲访问的证书和密钥的访问请求之前,所述方法还包括:
接收云端下发的已加密的所述证书密钥属性配置文件并将所述证书密钥属性配置文件预置在所述车辆系统中;其中,
在接收云端下发的已加密的所述证书密钥属性配置文件之前,所述方法还包括:
获取所述车辆系统的所述设备认证公钥证书,并将所述设备认证公钥证书上传至所述云端,以便所述云端在对所述设备认证公钥证书进行校验且校验通过后,使用所述设备认证公钥证书对预先制定好的所述证书密钥属性配置文件进行加密,并向所述车辆系统下发已加密的所述证书密钥属性配置文件。
2.根据权利要求1所述的证书和密钥的访问控制方法,其中,所述证书和密钥是通过所述访问者调用密钥和证书存储服务的接口进行访问的;
所述消除所述证书和密钥的访问者限制条件的步骤包括:
删除所述密钥和证书存储服务中设置的唯一访问标识。
3.根据权利要求1所述的证书和密钥的访问控制方法,其中,所述访问者的身份标识包括程序名或包名。
4.根据权利要求1-3中任一项所述的证书和密钥的访问控制方法,其中,所述证书密钥属性配置文件中包含证书属性和密钥属性;
所述证书属性包括下列至少之一:证书别名信息、证书主题项信息、证书扩展性信息;
所述密钥属性包括密钥加密算法和/或密钥别名信息。
5.一种电子设备,包括存储器、处理器及存储在所述存储器上并在所述处理器上运行的机器可执行程序,并且所述处理器执行所述机器可执行程序时实现根据权利要求1-4中任一项所述的证书和密钥的访问控制方法。
6.一种机器可读存储介质,其上存储有机器可执行程序,所述机器可执行程序被处理器执行时实现根据权利要求1-4中任一项所述的证书和密钥的访问控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210216863.7A CN114584318B (zh) | 2022-03-07 | 2022-03-07 | 一种证书和密钥的访问控制方法、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210216863.7A CN114584318B (zh) | 2022-03-07 | 2022-03-07 | 一种证书和密钥的访问控制方法、电子设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114584318A CN114584318A (zh) | 2022-06-03 |
CN114584318B true CN114584318B (zh) | 2023-08-11 |
Family
ID=81778108
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210216863.7A Active CN114584318B (zh) | 2022-03-07 | 2022-03-07 | 一种证书和密钥的访问控制方法、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114584318B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115189923A (zh) * | 2022-06-20 | 2022-10-14 | 零束科技有限公司 | 一种访问控制方法、装置及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006056667A1 (fr) * | 2004-11-23 | 2006-06-01 | France Telecom | Certificat de cle publique pour le transport d'information confidentielle |
CN102438013A (zh) * | 2010-11-18 | 2012-05-02 | 微软公司 | 基于硬件的证书分发 |
KR20120041904A (ko) * | 2010-10-22 | 2012-05-03 | 동국대학교 경주캠퍼스 산학협력단 | 클라우드 환경에서 프록시 기반 의료 데이터 접근 권한 관리 방법 및 장치 |
CN103368926A (zh) * | 2012-04-10 | 2013-10-23 | 北京四维图新科技股份有限公司 | 一种防止文件篡改的方法和防止文件篡改的装置 |
CN103902666A (zh) * | 2014-03-11 | 2014-07-02 | 国家电网公司 | 一种基于ogg数据库复制的配置文件采集监控方法 |
WO2018165835A1 (zh) * | 2017-03-14 | 2018-09-20 | 深圳大学 | 云密文访问控制方法及系统 |
WO2019080281A1 (zh) * | 2017-10-25 | 2019-05-02 | 西安邮电大学 | 一种电子医疗云中的健康档案访问控制系统及方法 |
CN109818757A (zh) * | 2019-03-18 | 2019-05-28 | 广东工业大学 | 云存储数据访问控制方法、属性证书颁发方法及系统 |
JP6803598B1 (ja) * | 2020-08-04 | 2020-12-23 | Eaglys株式会社 | データ共有システム、データ共有方法、およびデータ共有プログラム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10127378B2 (en) * | 2014-10-01 | 2018-11-13 | Kalman Csaba Toth | Systems and methods for registering and acquiring E-credentials using proof-of-existence and digital seals |
-
2022
- 2022-03-07 CN CN202210216863.7A patent/CN114584318B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006056667A1 (fr) * | 2004-11-23 | 2006-06-01 | France Telecom | Certificat de cle publique pour le transport d'information confidentielle |
KR20120041904A (ko) * | 2010-10-22 | 2012-05-03 | 동국대학교 경주캠퍼스 산학협력단 | 클라우드 환경에서 프록시 기반 의료 데이터 접근 권한 관리 방법 및 장치 |
CN102438013A (zh) * | 2010-11-18 | 2012-05-02 | 微软公司 | 基于硬件的证书分发 |
CN103368926A (zh) * | 2012-04-10 | 2013-10-23 | 北京四维图新科技股份有限公司 | 一种防止文件篡改的方法和防止文件篡改的装置 |
CN103902666A (zh) * | 2014-03-11 | 2014-07-02 | 国家电网公司 | 一种基于ogg数据库复制的配置文件采集监控方法 |
WO2018165835A1 (zh) * | 2017-03-14 | 2018-09-20 | 深圳大学 | 云密文访问控制方法及系统 |
WO2019080281A1 (zh) * | 2017-10-25 | 2019-05-02 | 西安邮电大学 | 一种电子医疗云中的健康档案访问控制系统及方法 |
CN109818757A (zh) * | 2019-03-18 | 2019-05-28 | 广东工业大学 | 云存储数据访问控制方法、属性证书颁发方法及系统 |
JP6803598B1 (ja) * | 2020-08-04 | 2020-12-23 | Eaglys株式会社 | データ共有システム、データ共有方法、およびデータ共有プログラム |
Non-Patent Citations (1)
Title |
---|
熊高远.车联网信任管理机制的研究与实现.《中国优秀硕士学位论文全文数据库 信息科技辑》.2022,全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN114584318A (zh) | 2022-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11888989B2 (en) | Methods and systems for key generation | |
US8364984B2 (en) | Portable secure data files | |
US7320076B2 (en) | Method and apparatus for a transaction-based secure storage file system | |
US7802112B2 (en) | Information processing apparatus with security module | |
US8856530B2 (en) | Data storage incorporating cryptographically enhanced data protection | |
FI115257B (fi) | Menetelmä informaation käsittelemiseksi elektroniikkalaitteessa, järjestelmä, elektroniikkalaite ja suoritinlohko | |
CN103731395B (zh) | 文件的处理方法及系统 | |
US20100005318A1 (en) | Process for securing data in a storage unit | |
US20100095118A1 (en) | Cryptographic key management system facilitating secure access of data portions to corresponding groups of users | |
US8806661B2 (en) | Method and device for distributing electronic documents | |
US7634816B2 (en) | Revocation information management | |
GB2520056A (en) | Digital data retention management | |
KR20130056343A (ko) | 워터마크 추출 효율의 개선들 | |
EP4195583A1 (en) | Data encryption method and apparatus, data decryption method and apparatus, terminal, and storage medium | |
KR20050119133A (ko) | 허가 증명서들내의 사용자 신분 프라이버시 | |
US20080098214A1 (en) | Encryption/decryption method, method for safe data transfer across a network, computer program products and computer readable media | |
CN115277168B (zh) | 一种访问服务器的方法以及装置、系统 | |
US7234060B1 (en) | Generation and use of digital signatures | |
CN114584318B (zh) | 一种证书和密钥的访问控制方法、电子设备和存储介质 | |
CN117579338A (zh) | 一种流媒体文件的处理方法及相关设备 | |
CN110287725B (zh) | 一种设备及其权限控制方法、计算机可读存储介质 | |
KR20100106110A (ko) | 시큐어 부트 데이터(Secure Boot Data) 통합 관리 시스템, 시큐어 부트 데이터 통합 관리를 위한 메타데이터 생성 및 검증 방법, 이를 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는기록매체. | |
US8755521B2 (en) | Security method and system for media playback devices | |
TWI807041B (zh) | 訊息處理裝置、訊息處理方法、訊息處理程式、以及訊息處理系統 | |
US20130014286A1 (en) | Method and system for making edrm-protected data objects available |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |