CN114780942A - 一种身份认证方法、装置及存储介质 - Google Patents
一种身份认证方法、装置及存储介质 Download PDFInfo
- Publication number
- CN114780942A CN114780942A CN202111481133.1A CN202111481133A CN114780942A CN 114780942 A CN114780942 A CN 114780942A CN 202111481133 A CN202111481133 A CN 202111481133A CN 114780942 A CN114780942 A CN 114780942A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- application
- information
- token message
- mounted device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Abstract
本申请是关于一种身份认证方法、装置及存储介质,该方法应用于具有第一密钥管理服务和第一通信管理接口的第一车载设备,包括:在检测到安装于第一车载设备上的应用发起访问请求的情况下,第一密钥管理服务获取应用的应用信息和第一车载设备的设备信息;其中,访问请求用于请求访问第二车载设备的服务,第一车载设备和第二车载设备工作于同一操作系统下的各个域;第一密钥管理服务根据应用信息和设备信息,生成令牌消息;通过第一通信管理接口将令牌消息发送至第二车载设备的第二通信管理接口,以使第二车载设备根据令牌消息对安装于第一车载设备上的应用进行身份验证。由于令牌消息是根据应用信息和设备信息共同生成的,在多域环境下具有唯一性。
Description
技术领域
本申请涉及车辆技术领域,尤其涉及一种身份认证方法、装置及存储介质。
背景技术
在现有技术中,跨设备访问应用服务的场景多是在物联网(Internet of Things,IoT)领域,以及云服务器端。而在IoT领域中,由于嵌入式设备的功能单一,仅仅通过对设备进行授权就可以实现设备身份验证的需求;对于云服务器端场景而言,各个不同的设备中会有不同的服务,这些服务的注册信息都会统一的存储在鉴权服务器中,因此关于不同服务以及应用的身份信息的验证都是在鉴权服务器中进行的。
在软件定义车辆的背景下,车辆正在朝向车辆电动化、智能化、网联化发展,车辆内部的设备也会越来越多,因此对于车辆内部多域的操作系统中,其内部存在多种多样的应用程序,因此针对于嵌入式设备的身份认证方式并不能完全满足车辆内部相关应用的身份认证需求;并且,在车辆内部多域的环境中,并不存在单独的鉴权服务器,因此针对于云服务器端的身份认证方式也不适用。
发明内容
为克服相关技术中存在的问题,本申请提供一种身份认证方法、装置及存储介质。
根据本申请实施例的第一方面,提供一种身份认证方法,应用于具有第一密钥管理服务和第一通信管理接口的第一车载设备,包括:
在检测到安装于所述第一车载设备上的应用发起访问请求的情况下,所述第一密钥管理服务获取所述应用的应用信息和所述第一车载设备的设备信息;其中,所述访问请求用于请求访问第二车载设备的服务,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息;
通过第一通信管理接口将所述令牌消息发送至第二车载设备的第二通信管理接口,以使所述第二车载设备根据所述令牌消息对安装于所述第一车载设备上的应用进行身份验证。
在一些实施例中,所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息,包括:
所述第一密钥管理服务建立所述应用信息和所述设备信息之间的绑定关系;
所述第一密钥管理服务基于所述应用信息、所述设备信息以及所述绑定关系,生成所述令牌消息。
在一些实施例中,所述方法还包括:
所述第一密钥管理服务对所述令牌消息进行数字签名处理,得到对应于所述令牌消息的签名值;其中,所述签名值用于验证所述令牌消息中的应用信息和/或设备信息是否出现异常;
通过所述第一通信管理接口将所述令牌消息发送至第二车载设备的第二通信管理接口,包括:
通过所述第一通信管理接口将携带有所述签名值的令牌消息发送至所述第二通信管理接口。
在一些实施例中,所述第一密钥管理服务对所述令牌消息进行数字签名处理,得到对应于所述令牌消息的签名值,包括:
所述第一密钥管理服务利用摘要算法对所述令牌消息进行处理,得到第一摘要值;
所述第一密钥管理服务利用所述第一车载设备的私钥对所述第一摘要值进行加密,将所述加密后的第一摘要值确定为所述签名值。
在一些实施例中,所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息,包括:
在所述第一通信管理接口检测到所述访问请求的情况下,向所述第一密钥管理服务发送令牌获取请求;
所述第一密钥管理服务在接收到所述令牌获取请求的情况下,根据所述应用信息和所述设备信息,生成所述令牌消息。
在一些实施例中,所述方法还包括:
通过所述第一通信管理接口接收身份验证结果;
在所述身份验证结果表征所述第二车载设备对所述应用的身份验证成功的情况下,通过所述第一通信管理接口将所述访问请求发送至所述第二车载设备的第二通信管理接口。
在一些实施例中,所述第一车载设备和所述第二车载设备位于同一智能驾舱;
所述第一通信管理接口和所述第二通信管理接口由同一通讯框架提供。
根据本申请实施例的第二方面,提供一种身份认证方法,应用于具有第二密钥管理服务和第二通信管理接口的第二车载设备,所述方法包括:
通过所述第二通信管理接口从第一车载设备的第一通信管理接口获取令牌消息,并将所述令牌消息转发至所述第二密钥管理服务;其中,所述令牌消息包括:安装于第一车载设备上的应用的应用信息和所述第一车载设备的设备信息;
所述第二密钥管理服务从所述令牌消息中解析出应用信息和设备信息;
所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,得到身份验证结果;其中,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
通过所述第二通信管理接口将所述身份验证结果发送至所述第一车载设备。
在一些实施例中,所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,得到身份验证结果,包括:
所述第二密钥管理服务确定应用列表中是否存在所述应用信息,以及与所述应用信息绑定的设备信息;其中,所述应用列表预存有:所述操作系统中各个域的车载设备的设备信息以及各个所述车载设备上所安装应用的应用信息;
在所述应用列表中存在所述应用信息以及与所述应用信息绑定的设备信息的情况下,得到对所述应用的身份验证成功的身份验证结果。
在一些实施例中,所述令牌消息携带有签名值,所述方法还包括:
所述第二密钥管理服务基于所述签名值确定所述令牌消息中的应用信息和/或设备信息是否出现异常;
所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,包括:
在确定所述令牌消息中的应用信息和设备信息均正常的情况下,所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证。
在一些实施例中,所述方法还包括:
在确定所述令牌消息中的应用信息和/或设备信息出现异常的情况下,所述第二密钥管理服务拒绝对安装于所述第一车载设备上的应用进行身份验证。
在一些实施例中,所述签名值包括:加密后的第一摘要值,所述基于所述签名值确定所述令牌消息中的应用信息和/或设备信息是否出现异常,包括:
利用所述第一车载设备的公钥对所述加密后的第一摘要值进行解密,得到所述第一摘要值;
所述第二密钥管理服务根据摘要算法对所述令牌消息中的应用信息和/或设备信息进行处理,得到第二摘要值;
将所述第一摘要值和所述第二摘要值进行对比;
在比对结果表征所述第一摘要值和所述第二摘要值相匹配的情况下,确定所述令牌消息中的应用信息和设备信息均正常。
在一些实施例中,所述方法还包括:
在所述身份验证结果表征所述应用的身份验证成功的情况下,通过所述第二通信管理接口接收所述应用的访问请求。
在一些实施例中,所述第二车载设备具有应用服务,所述方法还包括:
在所述访问请求针对于所述第二车载设备的应用服务的情况下,通过所述第二通信管理接口将所述访问请求发送至所述应用服务;
所述应用服务根据所述访问请求,对所述应用提供相应的服务。
在一些实施例中,所述方法还包括:
在所述身份验证结果表征所述应用的身份验证失败且接收到所述应用的访问请求的情况下,拒绝执行所述应用的访问请求。
根据本申请实施例的第三方面,提供一种身份认证装置,应用于具有第一密钥管理服务和第一通信管理接口的第一车载设备,包括:
获取模块,配置为在检测到安装于所述第一车载设备上的应用发起访问请求的情况下,通过所述第一密钥管理服务获取所述应用的应用信息和所述第一车载设备的设备信息;其中,所述访问请求用于请求访问第二车载设备的服务,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
生成模块,配置为通过所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息;
第一发送模块,配置为通过第一通信管理接口将所述令牌消息发送至第二车载设备的第二通信管理接口,以使所述第二车载设备根据所述令牌消息对安装于所述第一车载设备上的应用进行身份验证。
根据本申请实施例的第四方面,提供一种身份认证装置,应用于具有第二密钥管理服务和第二通信管理接口的第二车载设备,包括:
转发模块,配置为通过所述第二通信管理接口从第一车载设备的第一通信管理接口获取令牌消息,并将所述令牌消息转发至所述第二密钥管理服务;其中,所述令牌消息包括:安装于第一车载设备上的应用的应用信息和所述第一车载设备的设备信息;
解析模块,配置为通过所述第二密钥管理服务从所述令牌消息中解析出应用信息和设备信息;
验证模块,配置为通过所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,得到身份验证结果;其中,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
第二发送模块,配置为通过所述第二通信管理接口将所述身份验证结果发送至所述第一车载设备。
根据本申请实施例的第五方面,提供一种身份认证装置,包括:
处理器;
配置为存储处理器可执行指令的存储器;
其中,所述处理器配置为:执行时实现上述第一方面和第二方面中任一种身份认证方法中的步骤。
根据本申请实施例的第六方面,提供一种非临时性计算机可读存储介质,当所述存储介质中的指令由身份认证装置的处理器执行时,使得所述装置能够执行上述第一方面和第二方面中任一种身份认证方法中的步骤。
本申请的实施例提供的技术方案可以包括以下有益效果:
本申请中,由于应用信息对于发起访问请求的应用具有唯一性,设备信息对于车载设备具有唯一性,通过根据应用信息和设备信息共同生成令牌消息,并基于该令牌消息标识应用的身份,一方面,能够保证各个应用的身份在车辆内部多域环境下的唯一性;另一方面,车载设备可以对该应用进行双重身份认证,能够减少认证失误的可能性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是根据一示例性实施例示出的一种身份认证的方法的流程图一。
图2是根据一示例性实施例示出的一种身份认证方法的流程示意图二。
图3是根据一示例性实施例示出的密钥存储示意图。
图4是根据一示例性实施例示出的一种身份认证方法的流程示意图三。
图5是根据一示例性实施例示出的一种身份认证方法的流程示意图四。
图6是根据一示例性实施例示出的一种身份认证装置框图一。
图7是根据一示例性实施例示出的一种身份认证装置框图二。
图8是根据一示例性实施例示出的一种用于身份认证装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
图1是根据一示例性实施例示出的一种身份认证的方法的流程图一,如图1所示,该身份认证方法应用于具有第一密钥管理服务和第一通信管理接口的第一车载设备,包括以下步骤:
在步骤101中,在检测到安装于所述第一车载设备上的应用发起访问请求的情况下,所述第一密钥管理服务获取所述应用的应用信息和所述第一车载设备的设备信息;其中,所述访问请求用于请求访问第二车载设备的服务,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
在步骤102中,所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息;
在步骤103中,通过第一通信管理接口将所述令牌消息发送至第二车载设备的第二通信管理接口,以使所述第二车载设备根据所述令牌消息对安装于所述第一车载设备上的应用进行身份验证。
需要说明的是,车载设备可以是安装于智能驾舱中的能够实现设定功能的设备。例如,车载设备可以是安装于智能驾舱中的车载娱乐设备,该车载娱乐设备可以提供多种的娱乐应用,例如,可以包括:视频应用、音乐应用,还可以包括:游戏应用。该车载设备还可以是安装于智能驾舱中的中控显示设备,该中控显示设备能够提供显示服务,例如,可以用来获取车辆的运行车速,并将车辆的运行车速显示在显示屏上,还可以用来获取车载娱乐设备中的视频应用发送的播放请求,基于播放请求将视频显示在显示屏上;其中,中控显示设备可以包括:副驾驶显示设备,还可以包括:后座显示设备,这样可以实现多屏播放、同步播放的功能。
在一些实施例中,同一操作系统可以具有多个域,这里的域可以理解为以该操作系统为基础架构,基于不同车载设备的功能集成的子系统,各个子系统的进程的调用是以该操作系统为基础的,从而使得该操作系统能够统一调度资源,提高效率,这样,可以使车辆更加标准化和模块化。以各个域分别以功能进行命名为例,可以包括:安全仪表域、生态娱乐域、实时车控域等,在实现的过程中,各个车载设备可以分别工作于同一操作系统下的各个域。例如,车载娱乐设备既可以工作于生态娱乐域,还可以工作于仪表安全仪表域;其中,操作系统可以包括:AliOS操作系统、Android操作系统等。
本申请实施例中,第一车载设备和第二车载设备可以是工作于同一操作系统下的不同域。例如,第一车载设备可以是工作于AliOS操作系统下的安全仪表域,第二车载设备可以是工作于AliOS操作系统下的生态娱乐域等。
在另一些实施例中,第一车载设备和第二车载设备还可以是工作于同一操作系统下的同一个域。例如,第一车载设备和第二车载设备可以是工作于AliOS操作系统下的生态娱乐域;再例如,第一车载设备和第二车载设备可以是工作于AliOS操作系统下的安全仪表域。
本申请实施例中,在检测到安装于第一车载设备上的应用发起访问请求的情况下,第一密钥管理服务可以获取该应用的应用信息和第一车载设备的设备信息;其中,访问请求用于请求访问车载设备上的服务,例如,可以用于请求访问第二车载设备上的应用服务。当然,该访问请求也可以用于访问第一车载设备上的服务。
在一些实施例中,第一密钥管理服务是第一车载设备中的密钥管理应用程序,不仅可以生成应用的令牌消息,还可以用来对应用的身份进行验证。
在一些实施例中,当第一车载设备和第二车载设备工作于同一操作系统下的各个域时,第一车载设备上的应用的应用信息可能与第二车载设备上的应用的应用信息重复,如果仅使用应用的应用信息表征应用的身份的话,会无法保证应用在多域环境下的唯一性;其中,应用信息可以用于对应用的身份进行标识。以应用信息是应用标识为例,第一车载设备上有一个应用标识为60001的应用,第二车载设备上也有可能存在一个应用标识为60001的应用,在识别的过程中可能将第一车载设备上的应用误识别成第二车载设备上的应用,以此造成混淆。
在一些实施例中,当应用安装于第一车载设备上时,第一车载设备可以从应用的安装包中获取应用的签名信息,根据应用的签名信息,对应用分配相应的应用标识;其中,应用的签名信息可以表征开发者的身份,应用标识可以作为应用在第一车载设备中的唯一标识。例如,应用的应用标识可以包括:60002。
在一些实施例中,可以对车辆内部中的各个车载设备设置设备信息。以设备信息是设备标识为例,车载设备的设备标识具有唯一性,即每一车载设备对应一个设备标识。在本申请实施例中,第一车载设备的设备标识可以在第一车载设备出厂的时候进行设置。例如,第一车载设备的设备标识可以包括:10,还可以包括:Number One。
在一些实施例中,在应用发起访问请求时,可以通过访问请求携带应用信息。在实现的过程中,第一车载设备可以通过第一通信管理接口检测访问请求。其中,通信管理接口是实现信息交互的接口,可以用来接收和发送信息。
以第一密钥管理服务通过第一通信管理接口检测访问请求为例。在通过访问请求携带应用信息的情况下,第一通信管理接口可直接将携带有应用信息的访问请求转发至第一密钥管理服务,第一密钥管理服务可以从访问请求中解析出应用的应用信息。
在另一些实施例中,应用也可以直接将访问请求发送至第一密钥管理服务。在访问请求携带有应用信息的时候,第一密钥管理服务可以直接从访问请求中解析出应用信息。相较于通过第一通信管理接口将访问请求转发至第一密钥管理服务的方式,应用直接将访问请求发送至第一密钥管理服务的方式更易执行,也更简单。
在另一些实施例中,当应用发起访问请求时,可以开启第一进程;其中,第一进程携带有应用的应用信息;第一密钥管理服务通过第一通信管理接口检测到访问请求的情况下,可以开启第二进程,这样,第一密钥管理服务可以通过第二进程从第一进程中解析出应用的应用信息,以此实现跨进程通信。
在一些实施例中,第一密钥管理服务可以向第一车载设备发送获取设备信息的请求指令,当第一车载设备接收到该请求指令时,可以向第一密钥管理服务开放设备内存,以使第一密钥管理服务可以从设备内存中获取第一车载设备的设备信息。
在另一些实施例中,由于第一密钥管理服务是第一车载设备内置的应用程序,因此当第一车载设备出厂时,可以将第一车载设备的设备信息预存至第一密钥管理服务中,以使第一密钥管理服务可以直接获取第一车载设备的设备信息。
本申请中,由于应用信息对于发起访问请求的应用具有唯一性,设备信息对于车载设备具有唯一性,通过根据应用信息和设备信息共同生成令牌消息,并基于该令牌消息标识应用的身份,一方面,能够保证各个应用的身份在车辆内部多域环境下的唯一性;另一方面,车载设备可以对该应用进行双重身份认证,能够减少认证失误的可能性。
图2是根据一示例性实施例示出的一种身份认证方法的流程示意图二。如图2所示,该方法主要包括以下步骤:
在步骤201中,在第一车载设备的第一通信管理接口检测到访问请求的情况下,向第一密钥管理服务发送令牌获取请求。
在步骤202中,第一车载设备的第一密钥管理服务在接收到令牌获取请求的情况下,获取应用的应用信息和第一车载设备的设备信息。
在步骤203中,第一车载设备的第一密钥管理服务根据应用的应用信息和第一车载设备的设备信息,生成令牌消息。
在步骤204中,第一车载设备的第一密钥管理服务将令牌消息发送至第一车载设备的第一通信管理接口。
在一些实施例中,可以将令牌消息保存至第一密钥管理服务中,以免后续重复获取应用的应用信息和第一车载设备的设备信息所造成的资源浪费;其中,令牌消息可以保证应用的身份在多域环境下的唯一性。
本申请实施例中,第一车载设备和第二车载设备可以通过通信管理接口实现信息的交互。例如,当第一密钥管理服务根据应用信息和设备信息生成令牌消息时,可以通过第一通信管理接口将令牌消息发送至第二车载设备的第二通信管理接口,以使第二车载设备可以根据应用的令牌消息对安装于第一车载设备上的应用进行身份验证。
在一些实施例中,所述第一通信管理接口和所述第二通信管理接口由同一通讯框架提供。
在一些实施例中,第一通信管理接口是第一车载设备上的通信管理接口,第二通信管理接口是第二车载设备上的通信管理接口。第一通信管理接口和第二通信管理接口不仅可以实现同一车载设备上的应用程序之间的通信,还可以实现不同车载设备之间的通信。
在一些实施例中,通讯框架可以包括:Fusion框架,第一通信管理接口和第二通信管理接口可以是Fusion框架提供的通信管理接口,以此能够实现第一车载设备和第二车载设备之间的通信。
在一些实施例中,每个车载设备均可以设置一个通信管理接口;当然,每个车载设备也可以共用一个通信管理接口,也就是说,第一通信管理接口和第二通信管理接口可以同时实现各个车载设备进行通信的跨设备通信管理接口。
在另一些实施例中,第一通信管理接口和第二通信管理接口还可以包括:应用程序编程(Application Programming Interface,API)接口,能够实现应用程序之间的通信。
本申请中,由于应用信息对于发起访问请求的应用具有唯一性,设备信息对于车载设备具有唯一性,通过根据应用信息和设备信息共同生成令牌消息,并基于该令牌消息标识应用的身份,一方面,能够保证各个应用的身份在车辆内部多域环境下的唯一性;另一方面,车载设备可以对该应用进行双重身份认证,能够减少认证失误的可能性。
在一些实施例中,所述第一车载设备和所述第二车载设备可以位于同一智能驾舱。
需要说明的是,智能驾舱是智能车辆的一个组成部分,可以包括:液晶仪表设备、智能管理设备等。
以第一车载设备和第二车载设备均设置于同一车辆的情况为例,如,第一车载设备是安装于智能驾舱中的中控显示设备,第二车载设备是安装于智能驾舱中的车载娱乐设备,在实现的过程中,中控显示设备可以访问车载娱乐设备,从而可以在中控显示设备上播放视频、播放音乐,在播放音乐的时候还可以在中控显示设备上显示歌词。
再例如,第一车载设备是安装于智能驾舱中的液晶仪表设备,第二车载设备是安装于智能驾舱中的中控显示设备,在实现过程中,中控显示设备可以访问液晶仪表设备,从而可以使中控显示设备获取液晶仪表设备中车辆的运行参数,并将车辆的运行参数显示在中控显示设备上。
本申请实施例中,属于同一智能驾舱的车载设备,即使工作于不同的域,也能够实现信息通信,且能够实现各个车载设备上的应用的身份认证。
在一些实施例中,智能驾舱中有多个车载设备,这里的第一车载设备和第二车载设备是智能驾舱中的任意两个车载设备。
在一些实施例中,所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息,包括:
所述第一密钥管理服务建立所述应用信息和所述设备信息之间的绑定关系;
所述第一密钥管理服务基于所述应用信息、所述设备信息以及所述绑定关系,生成所述令牌消息。
在一些实施例中,第一密钥管理服务可以根据应用信息生成第一键值对,以及根据设备信息生成第二键值对,并将第一键值对和第二键值对进行排列,以此生成令牌消息(token)。以应用信息是60002和设备信息是10为例,第一键值对可以表示为:(UID:60002),第二键值对可以表示为:(ID:10),将第一键值对和第二键值对进行排列,令牌消息可以表示为:{UID:60002,ID:10}。
在另一些实施例中,第一密钥管理服务可以根据应用信息生成第一字符串,以及根据设备信息生成第二字符串,并利用第一字符串和第二字符串生成文本消息,将文本消息确定为令牌消息。例如,String mDeviceId=Number One、uint32_t mUid=60001;其中,String和Uint32_t均是编中的数据类型,mDeviceId用于表示第一车载设备的设备信息;mUid用于表示应用的应用信息。
以安装于第一车载设备上的视频应用为例,第一密钥服务可以获取视频应用的应用信息和第一车载设备的设备信息,从而可以生成视频应用的token,token中的内容可以包括:{UID:60002,ID:10};其中,UID:60002表示为视频应用的应用标识为60002,ID,10表示为第一车载设备的设备标识为10。
在一些实施例中,通过将应用的应用信息和第一车载设备的设备信息进行绑定,建立应用的双重身份信息,并基于双重身份信息生成令牌消息,以此可以保证应用在多域场景下的唯一性,从而可以根据应用的令牌消息,实现跨设备对应用身份信息进行管理。
在一些实施例中,所述方法还包括:
所述第一密钥管理服务对所述令牌消息进行数字签名处理,得到对应于所述令牌消息的签名值;其中,所述签名值用于验证所述令牌消息中的应用信息和/或设备信息是否出现异常;
通过所述第一通信管理接口将所述令牌消息发送至第二车载设备的第二通信管理接口,包括:
通过所述第一通信管理接口将携带有所述签名值的令牌消息发送至所述第二通信管理接口。
需要说明的是,数字签名是发送端(第一车载设备)产生的一段签名值,该签名值无法被他人伪造,这段签名值同时也是对发送端发送信息真实性的一个有效证明;在使用了加密领域的技术来实现该数字签名的情况下,数字签名可以用于鉴别信息的异常情况,如,可以鉴别信息是否完整性。
在一些实施例中,第一密钥管理服务可以利用数字签名算法对令牌消息进行处理,在处理的过程中,可以生成一对令牌消息的密钥,分别是公有密钥和私有密钥,可以利用私有密钥对令牌消息进行签名,得到签名值;并通过第一通信管理接口将携带有签名值的令牌消息和公有密钥发送至第二通信管理接口,以使第二车载设备可以根据公有密钥对携带有签名值的令牌消息进行验证,从而可以鉴别令牌消息的异常情况。
在一些实施例中,数字签名算法可以包括:非对称加密算法,还可以包括:群签名算法、盲签名算法;其中,非对称加密算法可以包括:RSA算法,基于迪菲-赫尔曼密钥交换的非对称加密算法(ElGamal加密算法),椭圆曲线密码学(Elliptic Curve Cryptography,ECC)算法等。可以根据实际需要选择数字签名算法,在此不作具体限定。
在另一些实施例中,还可以利用对称加密算法对令牌消息进行处理,从而得到对应于令牌消息的签名值;其中,使用对称加密算法对令牌消息处理的过程中,可以生成一个令牌消息的密钥。对称加密算法是一种单密钥加密算法,即,使用同一个密钥对信息进行加密和解密,对称加密算法可以包括:数据加密标准(Data Encryption Standard,DES)算法、三重数据加密算法(Triple Data Encryption Algorithm,TDEA)等。
在一些实施例中,还可以在第一密钥管理服务中预设映射表,该映射表可以用于存储:应用的应用信息以及与应用信息对应的携带有签名值的令牌消息。在第一密钥管理服务得到携带有签名值的令牌消息之后,可以建立携带有签名值的令牌消息和应用的应用信息之间的映射关系,根据携带有签名值的令牌消息、应用的应用信息和该映射关系,更新映射表,这样,当应用再次发起访问请求时,第一密钥管理服务可以基于应用的应用信息在映射表中进行搜索,以此搜索到对应的携带有签名值的令牌消息,从而可以避免重复生成携带有签名值的令牌消息所带来的资源浪费。
在一些实施例中,利用数字签名算法对令牌消息进行处理,可以保证应用的双重身份信息的完整性,防止恶意人员对应用的双重身份信息进行篡改。
在一些实施例中,所述第一密钥管理服务对所述令牌消息进行数字签名处理,得到对应于所述令牌消息的签名值,包括:
所述第一密钥管理服务利用摘要算法对所述令牌消息进行处理,得到第一摘要值;
所述第一密钥管理服务利用所述第一车载设备的私钥对所述第一摘要值进行加密,将所述加密后的第一摘要值确定为所述签名值。
在一些实施例中,在操作系统发布的时候,会预先将车载设备的密钥存储在相关车载设备的密钥管理服务中;其中,车载设备的密钥包括:车载设备的私钥,车载设备的公钥。
图3是根据一示例性实施例示出的密钥存储示意图。如图3所示,第一密钥管理服务301预存有:第一车载设备的私钥,第一车载设备的证书,第二车载设备的证书;第二密钥管理服务302预存有:第二车载设备的私钥,第一车载设备的证书,第二车载设备的证书。其中,第一车载设备的证书包括:第一车载设备的公钥,第二车载设备的证书包括:第二车载设备的公钥。
在一些实施例中,可以利用公钥基础设施(Public Key Infrastructure,PKI)体系根据车载设备的公钥生成车载设备的证书;其中,PKI体系是可以提供公钥加密和数字签名服务的系统或平台,其主要功能是绑定证书持有者(第一车载设备、第二车载设备)的身份和相关的密钥对,提供方便的证书申请、证书作废、证书获取、证书状态查询的途径。例如,PKI体系可以基于第一车载设备的公钥生成第一车载设备的证书。
在一些实施例中,可以利用摘要算法对令牌消息进行计算,得到一个预设长度的输出摘要(第一摘要值),摘要算法可以用来判别令牌消息的异常情况,其运算结果具有不可逆性,其中,预设长度可以是固定值。其中,摘要算法可以包括:消息摘要(MessageDigest,MD)算法、安全散列算法(Secure Hash Algorithm,SHA)、消息认证码(MessageAuthentication Code)算法,可以根据实际需要选择摘要算法对令牌消息进行处理,在此不作具体限定。
在一些实施例中,第一密钥管理服务可以从令牌消息中解析出应用的应用信息和第一车载设备的设备信息,并利用摘要算法分别对应用信息和设备信息进行处理,得到第一摘要值,这种情况下,摘要算法可以预先设置在操作系统中。
在另一实施例中,第一密钥管理服务还可以利用摘要算法直接对令牌消息进行处理,得到第一摘要值。例如,第一密钥管理服务利用MD算法对令牌消息进行处理,得到第一摘要值,并利用第一车载设备的私钥对第一摘要值进行加密,得到加密后的第一摘要值,将加密后的第一摘要值确定为签名值,将携带有签名值的令牌消息发送至第二车载设备,以使第二车载设备验证令牌消息中的应用信息和/或设备信息是否出现异常。
在一些实施例中,通过摘要算法和第一车载设备的私钥对令牌消息进行处理,可以确保令牌消息的完整性和安全性,也可以根据签名值确定信息的来源,以此确保信息来源的安全性。
在一些实施例中,所述方法还包括:
通过所述第一通信管理接口接收身份验证结果;
在所述身份验证结果表征所述第二车载设备对所述应用的身份验证成功的情况下,通过所述第一通信管理接口将所述访问请求发送至所述第二车载设备的第二通信管理接口。
在一些实施例中,可以通过第一通信管理接口接收第二车载设备发送的身份验证结果,在身份验证结果表征为对安装于第一车载设备上的应用的身份验证成功的情况下,第一通信管理接口再将应用的访问请求发送至第二车载设备的第二管理通信管理接口,这样,可以使第二车载设备为安装于第一车载设备上的应用提供相应的服务。
在一些实施例中,在应用的身份验证成功的情况下,再将应用的访问请求发送至第二车载设备的第二通信管理接口,能够减少应用的身份验证失败所带来的资源浪费。
图4是根据一示例性实施例示出的一种身份认证方法的流程示意图三,本申请实施例提供的身份认证方法,应用于具有第二密钥管理服务和第二通信管理接口的第二车载设备,所述方法包括:
在步骤401中,通过所述第二通信管理接口从第一车载设备的第一通信管理接口获取令牌消息,并将所述令牌消息转发至所述第二密钥管理服务;其中,所述令牌消息包括:安装于第一车载设备上的应用的应用信息和所述第一车载设备的设备信息;
在步骤402中,所述第二密钥管理服务从所述令牌消息中解析出应用信息和设备信息;
在步骤403中,所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,得到身份验证结果;其中,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
在步骤404中,通过所述第二通信管理接口将所述身份验证结果发送至所述第一车载设备。
本申请实施例中,第一车载设备和第二车载设备可以通过通信管理接口实现信息的交互。例如,第一密钥管理服务可以通过第一通信管理接口将令牌消息发送至第二通信管理接口,这样,第二通信管理接口可以将令牌消息发送至第二密钥管理服务,以使第二密钥管理服务对应用进行身份验证,并可以通过将第二通信管理接口将身份验证结果发送至第一车载设备;其中,第一通信管理接口和第二通信管理接口可以是Fusion框架提供的通信管理接口,以使第一车载设备上的应用可以根据通信管理接口访问第二车载设备上的应用。
在另一些实施例中,第一通信管理接口和第二通信管理接口还可以包括:API接口,能够实现应用程序之间的通信。
在本申请实施例中,第二密钥管理服务通过第二通信管理接口接收令牌消息,并从令牌消息中解析出应用信息和设备信息,从而可以使第二密钥管理服务根据应用信息和设备信息对安装于第一车载设备上的应用进行身份验证;其中,令牌消息包括:安装于第一车载设备上的应用的应用信息和第一车载设备的设备信息。
在一些实施例中,第二密钥管理服务是第二车载设备中的密钥管理应用程序。第二密钥管理服务不仅可以对第二车载设备上的应用进行身份认证,还可以对第一车载设备上的应用进行身份认证,从而实现跨设备对应用的身份进行管理。
在一些实施例中,第二密钥管理服务可以遍历令牌消息,从而从令牌消息中获取应用的应用信息和第一车载设备的设备信息。
在另一些实施例中,第二密钥管理服务还可以直接从令牌消息中分别获取应用的应用标识和第一车载设备的设备标识,从而可以从令牌消息中解析出应用信息和设备信息。
这里,在从令牌消息中解析出应用信息和设备信息之后,可以根据解析出的应用信息和设备信息对该应用信息所对应的应用进行身份验证,例如,可以确定第二车载设备中是否预存有该应用信息和设备信息,如果确定第二车载设备中预存有该应用信息和设备信息,则确定对该应用信息所对应的应用的身份验证成功,该应用就可以对第二车载设备上的服务进行访问,反之,如果第二车载设备中没有预存该应用信息和设备信息,则确定对该应用信息所对应的应用的身份验证失败,该应用不能访问第二车载设备上的服务。其中,同一个令牌消息中所包括的应用信息和设备信息存在对应关系。在一些实施例中,认证失败的原因可能是:该应用的来源不清楚、该应用的应用信息未登记等。
在一些实施例中,当第二密钥管理服务得到身份验证结果时,可以通过第二通信管理接口将身份验证结果发送至第一车载设备的第一通信管理接口,以使第一车载设备根据身份验证结果确定是否向第二通信管理接口发送应用的访问请求,当身份验证结果表征第二车载设备对应用的身份验证成功时,可以通过第一通信管理接口将应用的访问请求发送至第二通信管理接口,当身份验证结果表征第二车载设备对应用的身份验证失败时,第一通信管理接口可以拒绝将应用的访问请求发送至第二车载设备的第二通信管理接口。
在一些实施例中,第二密钥管理服务通过第二通信管理接口接收应用的令牌消息,并根据应用的令牌消息对应用的进行双重身份验证,以此可以确认应用的身份信息,保障应用访问的安全性,并实现跨设备通信过程中应用身份信息的传输和认证过程。
在一些实施例中,所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,得到身份验证结果,包括:
所述第二密钥管理服务确定应用列表中是否存在所述应用信息,以及与所述应用信息绑定的设备信息;其中,所述应用列表预存有:所述操作系统中各个域的车载设备的设备信息以及各个所述车载设备上所安装应用的应用信息;
在所述应用列表中存在所述应用信息以及与所述应用信息绑定的设备信息的情况下,得到对所述应用的身份验证成功的身份验证结果。
在一些实施例中,各个车载设备预存有:应用列表,该应用列表预存有:本申请车辆中所有车载设备的设备信息以及各个车载设备上所安装应用的应用信息;其中,第一车载设备和第二车载设备是本申请车辆中所有车载设备中的任意两个车载设备。
在一些实施例中,在车载设备上安装了新的应用的情况下,可以将该应用的应用信息和与应用信息绑定的设备信息添加至应用列表,从而实现对应用列表的更新。例如,当在第二车载设备上安装了游戏应用时,可以将游戏应用的应用信息和与游戏应用的应用信息绑定的设备信息添加至应用列表。
在一些实施例中,第二密钥管理服务可以根据应用信息和设备信息,在应用列表中进行搜索,如若该应用列表中存在该应用信息和设备信息,且该应用信息和设备信息具有绑定关系,则表明该对该应用信息所对应的应用的身份验证成功。
在一些实施例中,如果在应用列表中检测到应用信息,但未检测到设备信息;或者在应用列表中检测到设备信息,但未检测到应用信息;或者检测到该设备信息和应用信息,但该设备信息和应用信息不具有绑定关系,则表明对应用的身份验证失败。
在一些实施例中,第一密钥管理服务根据应用列表确定是否存在应用信息,以及与应用信息绑定的设备信息,以此实现对安装于第一车载设备上的应用的双重身份认证,从而可以有效地保障用户的隐私安全。
在一些实施例中,所述令牌消息携带有签名值,所述方法还包括:
所述第二密钥管理服务基于所述签名值确定所述令牌消息中的应用信息和/或设备信息是否出现异常;
所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,包括:
在确定所述令牌消息中的应用信息和设备信息均正常的情况下,所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证。
在一些实施例中,当签名值是利用数字签名算法生成时,第二密钥管理服务可以根据接收的令牌消息的公有密钥对签名值进行解密,得到解密后的令牌消息,从解密后的令牌消息中解析出解密后的应用信息和解密后的设备信息,在解密后的应用信息和令牌消息中的应用信息相匹配且解密后的设备信息和令牌消息中的设备信息相匹配的情况下,第二密钥管理服务可以基于令牌消息中的应用信息和设备信息对安装于第一车载设备上的应用进行身份验证。
在另一些实施例中,当签名值是利用对称加密算法生成时,第二密钥管理服务可以根据接收的令牌信息的密钥对签名值进行解密,得到解密后的令牌消息,从解密后的令牌消息中获取解密后的应用信息和解密后的设备信息,在解密后的应用信息和令牌消息中的应用信息相匹配且解密后的设备信息和令牌消息中的设备信息相匹配的情况下,第二密钥管理服务可以基于令牌消息中的应用信息和设备信息对安装于第一车载设备上的应用进行身份验证。
在一些实施例中,在令牌消息中的应用信息和设备信息均正常的情况下,第二密钥管理服务再对安装于第一车载设备上的应用进行身份验证,不仅可以确保令牌消息的完整性,还可以保证应用身份的安全性。
在一些实施例中,所述方法还包括:
在确定所述令牌消息中的应用信息和/或设备信息出现异常的情况下,所述第二密钥管理服务拒绝对安装于所述第一车载设备上的应用进行身份验证。
在一些实施例中,当签名值是利用数字签名算法生成时,第二密钥管理服务可以根据接收的令牌消息的公有密钥对签名值进行解密,得到解密后的令牌消息,从解密后的令牌消息中获取解密后的应用信息和解密后的设备信息,在解密后的应用信息和令牌消息中的应用信息不匹配和/或解密后的设备信息和令牌消息中的设备信息不匹配的情况下,第二密钥管理服务可以拒绝对安装于第一车载设备上的应用进行身份验证。
在另一些实施例中,当签名值是利用对称加密算法生成时,第二密钥管理服务可以根据接收的令牌消息的密钥对签名值进行解密,得到解密后的令牌消息,从解密后的令牌消息中获取解密后的应用信息和解密后的设备信息,在解密后的应用信息和令牌消息中的应用信息不匹配和/或解密后的设备信息和令牌消息中的设备信息不匹配的情况下,第二密钥管理服务可以拒绝对安装于第一车载设备上的应用进行身份验证。
在另一些实施例中,如果第二密钥管理服务从令牌消息中解析出了应用信息,但未解析出设备信息,或者第二密钥管理服务从令牌消息中解析出了设备信息,但未解析出应用信息,则表明令牌消息中的应用信息或者设备信息出现异常的情况。
在一些实施例中,在确定令牌消息中的应用信息和/或设备信息出现异常的情况下,第二密钥管理服务拒绝对安装于第一车载设备上的应用进行身份验证,从而保护用户的隐私安全。
在一些实施例中,所述签名值包括:加密后的第一摘要值,所述基于所述签名值确定所述令牌消息中的应用信息和/或设备信息是否出现异常,包括:
利用所述第一车载设备的公钥对所述加密后的第一摘要值进行解密,得到所述第一摘要值;
所述第二密钥管理服务根据摘要算法对所述令牌消息中的应用信息和/或设备信息进行处理,得到第二摘要值;
将所述第一摘要值和所述第二摘要值进行对比;
在比对结果表征所述第一摘要值和所述第二摘要值相匹配的情况下,确定所述令牌消息中的应用信息和设备信息均正常。
在一些实施例中,第二密钥管理服务可以从令牌消息中解析出应用信息和设备信息,并利用摘要算法分别对应用信息和设备信息进行处理,得到第二摘要值。
在另一实施例中,第二密钥管理服务还可以利用摘要算法直接对令牌消息进行处理,得到第二摘要值。
在本申请实施例中,第二密钥管理服务可以从令牌消息中解析出签名值,其中,签名值包括:加密后的第一摘要值,并利用第一车载设备的公钥对加密后的第一摘要值进行解密,以此得到第二摘要值,通过将第一摘要值和第二摘要值进行对比,确定令牌消息中的应用信息和/或设备信息是否出现异常,当第一摘要值和第二摘要值相匹配的情况下,表明令牌消息中的应用信息和设备信息均正常;当第一摘要值和第二摘要值不匹配的情况下,表明令牌消息中的应用信息和/或设备信息出现异常。
在一些实施例中,第二密钥管理服务通过第一车载设备的公钥和摘要算法对签名值进行处理,以此可以确认令牌消息的完整性以及准确性。
在一些实施例中,所述方法还包括:
在所述身份验证结果表征所述应用的身份验证成功的情况下,通过所述第二通信管理接口接收所述应用的访问请求。
在一些实施例中,在身份验证结果表征应用的身份验证成功的情况下,通过第二通信管理接口接收第一通信管理接口发送的访问请求,从而能够减少应用的身份验证失败所带来的资源浪费。
在一些实施例中,在身份验证结果表征应用的身份验证成功的情况下,接收应用的访问请求,以此实现跨设备对应用的身份进行管理和认证。
在一些实施例中,所述第二车载设备具有应用服务,所述方法还包括:
在所述访问请求针对于所述第二车载设备的应用服务的情况下,通过所述第二通信管理接口将所述访问请求发送至所述应用服务;
所述应用服务根据所述访问请求,对所述应用提供相应的服务。
在一些实施例中,应用服务可以包括:权限管理服务,还可以包括:摄像服务、播放服务;应用服务可以有多种,在此不作具体限定。
在本申请实施例中,当访问请求是针对于第二车载设备的权限管理服务时,可以通过第二通信管理接口将访问请求发送至权限管理服务,以使权限管理服务可以根据访问请求,获取安装于第一车载设备上的应用所需的权限,从而可以使第二车载设备的权限管理服务对安装于第一车载设备上的应用进行授权。
在一些实施例中,在身份验证成功的情况下,将应用的访问请求发送至应用服务,可以保证访问应用服务的应用的安全性,保障应用服务的隐私安全。
在一些实施例中,所述方法还包括:
在所述身份验证结果表征所述应用的身份验证失败且接收到所述应用的访问请求的情况下,拒绝执行所述应用的访问请求。
在一些实施例中,当身份验证结果表征应用的身份验证失败且第二通信管理接口接收到应用的访问请求时,第二通信管理接口可以拒绝将应用的访问请求发送至第二车载设备的应用服务,以此保证用户的隐私安全。
图5是根据一示例性实施例示出的一种身份认证方法的流程示意图四。如图5所示,该方法主要包括以下步骤:
在步骤501中,第一车载设备的第一通信管理接口检测到访问请求的情况下,向第一车载设备的第一密钥管理服务发送令牌获取请求。
在步骤502中,第一车载设备的第一密钥管理服务在接收到令牌获取请求的情况下,获取应用的应用信息和第一车载设备的设备信息。
在步骤503中,第一车载设备的第一密钥管理服务根据应用的应用信息和第一车载设备的设备信息,生成令牌消息。
在步骤504中,第一车载设备的第一密钥管理服务将令牌消息发送至第一车载设备的第一通信管理接口。
在步骤505中,第一车载设备的第一通信管理接口将令牌消息发送至第二车载设备的第二通信管理接口。
在步骤506中,第二车载设备的第二通信管理接口将令牌消息发送至第二车载设备的第二密钥管理服务。
在步骤507中,第二车载设备的第二密钥管理服务从令牌消息中解析出应用信息和设备信息。
在步骤508中,第二车载设备的第二密钥管理服务基于应用信息和设备信息,对安装于第一车载设备上的应用进行身份认证。
在步骤509中,第二车载设备的第二密钥管理服务将身份验证结果发送至第二车载设备的第二通信管理接口。
在步骤510中,第二车载设备的第二通信管理接口将身份验证结果发送至第一车载设备的第一通信管理接口。
在步骤511中,在身份验证结果表征第二车载设备对应用的身份验证成功的情况下,第一车载设备的第一通信管理接口将访问请求发送至第二车载设备的第二通信管理接口。
在步骤512中,在访问请求针对于第二车载设备的应用服务的情况下,第二车载设备的第二通信管理接口将访问请求发送至第二车载设备的应用服务。
在一些实施例中,第一密钥管理服务还可以对令牌消息进行数字签名处理,得到对应于令牌消息的签名值,并通过第一通信管理接口将携带有签名值的令牌消息发送至第二通信管理接口,以使第二车载设备根据签名值验证令牌消息中的应用信息和/或设备信息是否出现异常。
在一些实施例中,如果第二密钥管理服务基于签名值确定令牌消息中的应用信息和设备信息均正常的情况下,第二密钥管理服务基于应用信息和设备信息对安装于第一车载设备上的应用进行身份验证。在另一些实施例中,在确定令牌消息中的应用信息和/或设备信息出现异常的情况下,第二密钥管理服务可以拒绝对安装于第一车载设备上的应用进行身份验证。
图6是根据一示例性实施例示出的一种身份认证装置框图一。如图6所示,该身份认证装置600主要包括:
获取模块601,配置为在检测到安装于所述第一车载设备上的应用发起访问请求的情况下,通过所述第一密钥管理服务获取所述应用的应用信息和所述第一车载设备的设备信息;其中,所述访问请求用于请求访问第二车载设备的服务,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
生成模块602,配置为通过所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息;
第一发送模块603,配置为通过第一通信管理接口将所述令牌消息发送至第二车载设备的第二通信管理接口,以使所述第二车载设备根据所述令牌消息对安装于所述第一车载设备上的应用进行身份验证。
在一些实施例中,所述生成模块602,配置为:
通过所述第一密钥管理服务建立所述应用信息和所述设备信息之间的绑定关系;
通过所述第一密钥管理服务基于所述应用信息、所述设备信息以及所述绑定关系,生成所述令牌消息。
在一些实施例中,所述装置600还包括:
签名模块,配置为通过所述第一密钥管理服务对所述令牌消息进行数字签名处理,得到对应于所述令牌消息的签名值;其中,所述签名值用于验证所述令牌消息中的应用信息和/或设备信息是否出现异常;
所述第一发送模块603,配置为:
通过所述第一通信管理接口将携带有所述签名值的令牌消息发送至所述第二通信管理接口。
在一些实施例中,所述签名模块,配置为:
通过所述第一密钥管理服务利用摘要算法对所述令牌消息进行处理,得到第一摘要值;
通过所述第一密钥管理服务利用所述第一车载设备的私钥对所述第一摘要值进行加密,将所述加密后的第一摘要值确定为所述签名值。
在一些实施例中,所述生成模块602,配置为:
在所述第一通信管理接口检测到所述访问请求的情况下,向所述第一密钥管理服务发送令牌获取请求;
所述第一密钥管理服务在接收到所述令牌获取请求的情况下,根据所述应用信息和所述设备信息,生成所述令牌消息。
在一些实施例中,所述装置600还包括:
接收模块,配置为通过所述第一通信管理接口接收身份验证结果;
第三发送模块,配置为在所述身份验证结果表征所述第二车载设备对所述应用的身份验证成功的情况下,通过所述第一通信管理接口将所述访问请求发送至所述第二车载设备的第二通信管理接口。
在一些实施例中,所述第一车载设备和所述第二车载设备位于同一智能驾舱;
所述第一通信管理接口和所述第二通信管理接口由同一通讯框架提供。
图7是根据一示例性实施例示出的一种身份认证装置框图二。如图7所示,该身份认证装置700主要包括:
转发模块701,配置为通过所述第二通信管理接口从第一车载设备的第一通信管理接口获取令牌消息,并将所述令牌消息转发至所述第二密钥管理服务;其中,所述令牌消息包括:安装于第一车载设备上的应用的应用信息和所述第一车载设备的设备信息;
解析模块702,配置为通过所述第二密钥管理服务从所述令牌消息中解析出应用信息和设备信息;
验证模块703,配置为通过所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,得到身份验证结果;其中,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
第二发送模块704,配置为通过所述第二通信管理接口将所述身份验证结果发送至所述第一车载设备。
在一些实施例中,所述验证模块700,配置为:
通过所述第二密钥管理服务确定应用列表中是否存在所述应用信息,以及与所述应用信息绑定的设备信息;其中,所述应用列表预存有:所述操作系统中各个域的车载设备的设备信息以及各个所述车载设备上所安装应用的应用信息;
在所述应用列表中存在所述应用信息以及与所述应用信息绑定的设备信息的情况下,得到对所述应用的身份验证成功的身份验证结果。
在一些实施例中,所述令牌消息携带有签名值,所述装置700还包括:
确定模块,配置为通过所述第二密钥管理服务基于所述签名值确定所述令牌消息中的应用信息和/或设备信息是否出现异常;
所述验证模块703,配置为:
在确定所述令牌消息中的应用信息和设备信息均正常的情况下,通过所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证。
在一些实施例中,所述装置700还包括:
第一拒绝模块,配置为在确定所述令牌消息中的应用信息和/或设备信息出现异常的情况下,通过所述第二密钥管理服务拒绝对安装于所述第一车载设备上的应用进行身份验证。
在一些实施例中,所述签名值包括:加密后的第一摘要值,所述确定模块,配置为:
利用所述第一车载设备的公钥对所述加密后的第一摘要值进行解密,得到所述第一摘要值;
通过所述第二密钥管理服务根据摘要算法对所述令牌消息中的应用信息和/或设备信息进行处理,得到第二摘要值;
将所述第一摘要值和所述第二摘要值进行对比;
在比对结果表征所述第一摘要值和所述第二摘要值相匹配的情况下,确定所述令牌消息中的应用信息和设备信息均正常。
在一些实施例中,所述第二车载设备具有应用服务,所述装置700还包括:
第四发送模块,配置为在所述访问请求针对于所述第二车载设备的应用服务的情况下,通过所述第二通信管理接口将所述访问请求发送至所述应用服务;
提供模块,配置为通过所述应用服务根据所述访问请求,对所述应用提供相应的服务。
在一些实施例中,所述装置700还包括:
第二拒绝模块,配置为在所述身份验证结果表征所述应用的身份验证失败且接收到所述应用的访问请求的情况下,拒绝执行所述应用的访问请求。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图8是根据一示例性实施例示出的一种用于身份认证装置的框图。例如,装置800可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图8,装置800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)接口812,传感器组件814,以及通信组件816。
处理组件802通常控制装置800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在装置800的操作。这些数据的示例包括用于在装置800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为装置800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为装置800生成、管理和分配电力相关联的组件。
多媒体组件808包括在所述装置800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当装置800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当装置800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为装置800提供各个方面的状态评估。例如,传感器组件814可以检测到装置800的打开/关闭状态,组件的相对定位,例如所述组件为装置800的显示器和小键盘,传感器组件814还可以检测装置800或装置800一个组件的位置改变,用户与装置800接触的存在或不存在,装置800方位或加速/减速和装置800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于装置800和其他设备之间有线或无线方式的通信。装置800可以接入基于通信标准的无线网络,如WiFi、4G或5G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器804,上述指令可由装置800的处理器820执行以完成上述方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
一种非临时性计算机可读存储介质,当所述存储介质中的指令由身份认证装置的处理器执行时,在该身份认证装置包括应用于具有第一密钥管理服务和第一通信管理接口的第一车载设备的情况下,使得第一车载设备能够执行一种身份认证方法,所述方法包括:
在检测到安装于所述第一车载设备上的应用发起访问请求的情况下,所述第一密钥管理服务获取所述应用的应用信息和所述第一车载设备的设备信息;其中,所述访问请求用于请求访问第二车载设备的服务,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息;
通过第一通信管理接口将所述令牌消息发送至第二车载设备的第二通信管理接口,以使所述第二车载设备根据所述令牌消息对安装于所述第一车载设备上的应用进行身份验证。
在该身份认证装置包括应用于具有第二密钥管理服务和第二通信管理接口的第二车载设备的情况下,使得第二车载设备能够执行一种身份认证方法,所述方法包括:
通过所述第二通信管理接口从第一车载设备的第一通信管理接口获取令牌消息,并将所述令牌消息转发至所述第二密钥管理服务;其中,所述令牌消息包括:安装于第一车载设备上的应用的应用信息和所述第一车载设备的设备信息;
所述第二密钥管理服务从所述令牌消息中解析出应用信息和设备信息;
所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,得到身份验证结果;其中,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
通过所述第二通信管理接口将所述身份验证结果发送至所述第一车载设备。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围由下面的权利要求指出。应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (19)
1.一种身份认证的方法,其特征在于,应用于具有第一密钥管理服务和第一通信管理接口的第一车载设备,包括:
在检测到安装于所述第一车载设备上的应用发起访问请求的情况下,所述第一密钥管理服务获取所述应用的应用信息和所述第一车载设备的设备信息;其中,所述访问请求用于请求访问第二车载设备的服务,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息;
通过第一通信管理接口将所述令牌消息发送至第二车载设备的第二通信管理接口,以使所述第二车载设备根据所述令牌消息对安装于所述第一车载设备上的应用进行身份验证。
2.根据权利要求1所述的方法,其特征在于,所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息,包括:
所述第一密钥管理服务建立所述应用信息和所述设备信息之间的绑定关系;
所述第一密钥管理服务基于所述应用信息、所述设备信息以及所述绑定关系,生成所述令牌消息。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一密钥管理服务对所述令牌消息进行数字签名处理,得到对应于所述令牌消息的签名值;其中,所述签名值用于验证所述令牌消息中的应用信息和/或设备信息是否出现异常;
通过所述第一通信管理接口将所述令牌消息发送至第二车载设备的第二通信管理接口,包括:
通过所述第一通信管理接口将携带有所述签名值的令牌消息发送至所述第二通信管理接口。
4.根据权利要求3所述的方法,其特征在于,所述第一密钥管理服务对所述令牌消息进行数字签名处理,得到对应于所述令牌消息的签名值,包括:
所述第一密钥管理服务利用摘要算法对所述令牌消息进行处理,得到第一摘要值;
所述第一密钥管理服务利用所述第一车载设备的私钥对所述第一摘要值进行加密,将所述加密后的第一摘要值确定为所述签名值。
5.根据权利要求1所述的方法,其特征在于,所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息,包括:
在所述第一通信管理接口检测到所述访问请求的情况下,向所述第一密钥管理服务发送令牌获取请求;
所述第一密钥管理服务在接收到所述令牌获取请求的情况下,根据所述应用信息和所述设备信息,生成所述令牌消息。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通过所述第一通信管理接口接收身份验证结果;
在所述身份验证结果表征所述第二车载设备对所述应用的身份验证成功的情况下,通过所述第一通信管理接口将所述访问请求发送至所述第二车载设备的第二通信管理接口。
7.根据权利要求1所述的方法,其特征在于,
所述第一车载设备和所述第二车载设备位于同一智能驾舱;
所述第一通信管理接口和所述第二通信管理接口由同一通讯框架提供。
8.一种身份认证的方法,其特征在于,应用于具有第二密钥管理服务和第二通信管理接口的第二车载设备,所述方法包括:
通过所述第二通信管理接口从第一车载设备的第一通信管理接口获取令牌消息,并将所述令牌消息转发至所述第二密钥管理服务;其中,所述令牌消息包括:安装于第一车载设备上的应用的应用信息和所述第一车载设备的设备信息;
所述第二密钥管理服务从所述令牌消息中解析出应用信息和设备信息;
所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,得到身份验证结果;其中,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
通过所述第二通信管理接口将所述身份验证结果发送至所述第一车载设备。
9.根据权利要求8所述的方法,其特征在于,所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,得到身份验证结果,包括:
所述第二密钥管理服务确定应用列表中是否存在所述应用信息,以及与所述应用信息绑定的设备信息;其中,所述应用列表预存有:所述操作系统中各个域的车载设备的设备信息以及各个所述车载设备上所安装应用的应用信息;
在所述应用列表中存在所述应用信息以及与所述应用信息绑定的设备信息的情况下,得到对所述应用的身份验证成功的身份验证结果。
10.根据权利要求8所述的方法,其特征在于,所述令牌消息携带有签名值,所述方法还包括:
所述第二密钥管理服务基于所述签名值确定所述令牌消息中的应用信息和/或设备信息是否出现异常;
所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,包括:
在确定所述令牌消息中的应用信息和设备信息均正常的情况下,所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
在确定所述令牌消息中的应用信息和/或设备信息出现异常的情况下,所述第二密钥管理服务拒绝对安装于所述第一车载设备上的应用进行身份验证。
12.根据权利要求10所述的方法,其特征在于,所述签名值包括:加密后的第一摘要值,所述基于所述签名值确定所述令牌消息中的应用信息和/或设备信息是否出现异常,包括:
利用所述第一车载设备的公钥对所述加密后的第一摘要值进行解密,得到所述第一摘要值;
所述第二密钥管理服务根据摘要算法对所述令牌消息中的应用信息和/或设备信息进行处理,得到第二摘要值;
将所述第一摘要值和所述第二摘要值进行对比;
在比对结果表征所述第一摘要值和所述第二摘要值相匹配的情况下,确定所述令牌消息中的应用信息和设备信息均正常。
13.根据权利要求8所述的方法,其特征在于,所述方法还包括:
在所述身份验证结果表征所述应用的身份验证成功的情况下,通过所述第二通信管理接口接收所述应用的访问请求。
14.根据权利要求13所述的方法,其特征在于,所述第二车载设备具有应用服务,所述方法还包括:
在所述访问请求针对于所述第二车载设备的应用服务的情况下,通过所述第二通信管理接口将所述访问请求发送至所述应用服务;
所述应用服务根据所述访问请求,对所述应用提供相应的服务。
15.根据权利要求8所述的方法,其特征在于,所述方法还包括:
在所述身份验证结果表征所述应用的身份验证失败且接收到所述应用的访问请求的情况下,拒绝执行所述应用的访问请求。
16.一种身份认证装置,其特征在于,应用于具有第一密钥管理服务和第一通信管理接口的第一车载设备,包括:
获取模块,配置为在检测到安装于所述第一车载设备上的应用发起访问请求的情况下,通过所述第一密钥管理服务获取所述应用的应用信息和所述第一车载设备的设备信息;其中,所述访问请求用于请求访问第二车载设备的服务,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
生成模块,配置为通过所述第一密钥管理服务根据所述应用信息和所述设备信息,生成令牌消息;
第一发送模块,配置为通过第一通信管理接口将所述令牌消息发送至第二车载设备的第二通信管理接口,以使所述第二车载设备根据所述令牌消息对安装于所述第一车载设备上的应用进行身份验证。
17.一种身份认证装置,其特征在于,应用于具有第二密钥管理服务和第二通信管理接口的第二车载设备,包括:
转发模块,配置为通过所述第二通信管理接口从第一车载设备的第一通信管理接口获取令牌消息,并将所述令牌消息转发至所述第二密钥管理服务;其中,所述令牌消息包括:安装于第一车载设备上的应用的应用信息和所述第一车载设备的设备信息;
解析模块,配置为通过所述第二密钥管理服务从所述令牌消息中解析出应用信息和设备信息;
验证模块,配置为通过所述第二密钥管理服务基于所述应用信息和所述设备信息对安装于所述第一车载设备上的应用进行身份验证,得到身份验证结果;其中,所述第一车载设备和所述第二车载设备工作于同一操作系统下的各个域;
第二发送模块,配置为通过所述第二通信管理接口将所述身份验证结果发送至所述第一车载设备。
18.一种身份认证装置,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:执行时实现上述权利要求1至15中任一种身份认证方法中的步骤。
19.一种非临时性计算机可读存储介质,当所述存储介质中的指令由身份认证装置的处理器执行时,使得所述装置能够执行上述权利要求1至15中任一种身份认证方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111481133.1A CN114780942A (zh) | 2021-12-06 | 2021-12-06 | 一种身份认证方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111481133.1A CN114780942A (zh) | 2021-12-06 | 2021-12-06 | 一种身份认证方法、装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114780942A true CN114780942A (zh) | 2022-07-22 |
Family
ID=82422638
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111481133.1A Pending CN114780942A (zh) | 2021-12-06 | 2021-12-06 | 一种身份认证方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114780942A (zh) |
-
2021
- 2021-12-06 CN CN202111481133.1A patent/CN114780942A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3657370B1 (en) | Methods and devices for authenticating smart card | |
EP3602991B1 (en) | Mechanism for achieving mutual identity verification via one-way application-device channels | |
US10652742B2 (en) | Hybrid authentication of vehicle devices and/or mobile user devices | |
CN110637328A (zh) | 一种基于便携式设备的车辆访问方法 | |
CN113242224B (zh) | 授权方法及装置、电子设备和存储介质 | |
CN105408910A (zh) | 用于利用无线通信令牌在操作系统被引导之前对由用户对操作系统的访问进行验证的系统和方法 | |
JP2018517367A (ja) | サービスプロバイダ証明書管理 | |
CN109639644B (zh) | 授权验证方法、装置、存储介质和电子设备 | |
CN109379403B (zh) | 物联网设备的控制方法、装置、服务器和终端设备 | |
US8806583B2 (en) | Remote video source authentication protocol | |
CN108696361B (zh) | 智能卡的配置方法、生成方法及装置 | |
CN114221764A (zh) | 基于区块链的公钥更新方法、装置和设备 | |
Theuermann et al. | Mobile-only solution for server-based qualified electronic signatures | |
CN112512048B (zh) | 移动网络接入系统、方法、存储介质及电子设备 | |
CN112784243A (zh) | 授权管理方法及装置、电子设备和存储介质 | |
US10791098B2 (en) | Method for providing an authenticated connection between at least two communication partners | |
CN114780942A (zh) | 一种身份认证方法、装置及存储介质 | |
CN108924136B (zh) | 授权认证方法、装置及存储介质 | |
CN113676478A (zh) | 一种数据处理方法及相关设备 | |
CN108668267B (zh) | 智能卡的生成方法及装置 | |
CN108712384B (zh) | 终端认证方法、装置、终端及服务器 | |
CN107659408B (zh) | 用于在至少两个通信伙伴之间提供经认证的连接的方法 | |
CN113328971A (zh) | 访问资源认证方法、装置及电子设备 | |
KR101868227B1 (ko) | 차량용 모듈의 정품 인증 방법 및 장치 | |
WO2024066263A1 (zh) | 数据接力方法、装置、系统、存储介质、设备及车辆 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |