CN116033363A - 电子钥匙处理方法及装置、电子设备及存储介质 - Google Patents
电子钥匙处理方法及装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116033363A CN116033363A CN202111249885.5A CN202111249885A CN116033363A CN 116033363 A CN116033363 A CN 116033363A CN 202111249885 A CN202111249885 A CN 202111249885A CN 116033363 A CN116033363 A CN 116033363A
- Authority
- CN
- China
- Prior art keywords
- key
- channel
- bluetooth
- electronic
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 24
- 238000004891 communication Methods 0.000 claims abstract description 181
- 238000000034 method Methods 0.000 claims description 37
- 230000003213 activating effect Effects 0.000 claims description 28
- 238000012795 verification Methods 0.000 claims description 28
- 238000013475 authorization Methods 0.000 claims description 26
- 238000012545 processing Methods 0.000 claims description 16
- 230000004913 activation Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 238000013467 fragmentation Methods 0.000 description 4
- 238000006062 fragmentation reaction Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000003491 array Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本公开是关于一种电子钥匙处理方法及装置、电子设备及存储介质。应用于第一设备中的电子钥匙处理方法可包括:发送用于创建电子密钥的蓝牙广播信号,其中,蓝牙广播信号携带有服务标识;基于蓝牙广播信号与第二设备建立第一通道,第二设备为:授权控制第一设备的且预先存储服务标识的设备;第一通道,用于第一设备和第二设备的蓝牙加密通信;基于第一通道接收第二设备的通信能力信息,并基于第一通道进行基于证书链协商电子钥匙;在通信能力信息指示第二设备仅支预设通信方式中的蓝牙通信时,基于第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,第二通道,用于基于电子钥匙的身份验证后的蓝牙加密通信。
Description
技术领域
本公开涉及电子技术领域,尤其涉及一种电子钥匙处理方法及装置、电子设备及存储介质。
背景技术
随着电子技术的发展,车辆上配置有车载设备等。车载设备可以对车辆进行控制。随着通信技术的发展,车载设备可以与用户随着携带的电子设备进行指令交互,通过指令交互取代车钥匙,实现电子钥匙的功能。但是这种电子钥匙的功能,对安全性要求很高。
有鉴于此,在一些相关技术中,使用通信距离有限的近场通信(Near FieldCommunication,NFC)进行通信。或者,基于超宽带(Ultra Wide Band,UWB)的通信。
但是上述方法,在通信过程中一方面容易在车载设备和控制设备之间引入大量的入口,且造成信息碎片化的问题。
此外,若采用NFC技术,则控制终端和车载终端需要具有NFC芯片和嵌入式安全元件(embedded Safety Element,eSE)。因此不具有NFC芯片和eSE的终端设备不支持这种基于NFC通信的电子钥匙功能。
发明内容
本公开提供一种电子钥匙处理方法及装置、电子设备及存储介质。
本公开实施例第一方面提供一种电子钥匙处理方法,应用于第一设备中,包括:
发送用于创建电子密钥的蓝牙广播信号,其中,所述蓝牙广播信号携带有服务标识;
基于所述蓝牙广播信号与第二设备建立第一通道;其中,所述第二设备为:授权控制所述第一设备的且预先存储所述服务标识的设备;所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
基于所述第一通道接收所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
在所述通信能力信息指示所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
基于上述方案,所述基于所述蓝牙广播信号与第二设备建立第一通道,包括:
基于服务器分发的密码及密钥参数,生成第一会话密钥;
将所述密钥参数发送给所述第二设备,其中,所述密钥参数,用于供所述第二设备生成第二会话密钥;
向所述第二设备使用所述第一会话密钥加密的第一数据;其中,所述第一数据,用于在所述第二设备基于所述第二会话密钥解密成功时,确定从所述第一设备到所述第二设备的所述第一通道创建成功;
接收所述第二设备使用所述第二会话密钥加密的第二数据;
在使用所述第一会话密钥解密所述第二数据成功时,确定从所述第二设备到所述第一设备的所述第一通道创建成功。
基于上述方案,所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
基于上述方案,所述基于所述第一通道进行基于证书链协商电子钥匙,包括:
生成所述第一密钥对,其中,所述第一密钥对包括:第一公钥;
基于所述第一通道,将所述第一公钥及所述第一证书链发送给所述第二设备;其中,所述第一公钥,用于在所述第二设备对所述第一设备进行身份验证存储在所述第二设备中;
接收所述第二设备的第二公钥及所述第二证书链;其中,所述第二公钥为所述第二设备生成的第二密钥对中的公钥;
在基于所述第二证书链对所述第二设备的身份验证通过后,存储所述第二公钥。
基于上述方案,所述方法还包括:
基于所述带外OOB信息,创建所述第二通道;
基于所述第二通道,激活所述电子钥匙并向所述第二设备发送配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
基于上述方案,所述基于所述第二通道,激活所述电子钥匙并向所述第二设备发送配置信息,包括:
生成第三密钥对;
通过所述第二通道,将所述第三密钥对的第三公钥及第三数据发送给所述第二设备;其中,所述第三数据为:使用所述第一私钥加密的数据,用于在被所述第二设备使用第一公钥解密后激活所述第一密钥对;
通过所述第二通道,接收所述第二设备发送的第四公钥及第四数据,其中,所述第四数据为:使用所述第二密钥对的第二私钥加密的数据;当使用第二公钥成功解密所述第四数据时,激活所述第二密钥对。
基于上述方案,所述向所述第二设备发送配置信息,包括:
在所述第二密钥对被激活后,基于所述第三密钥对的第三私钥与所述第四公钥生成第三会话密钥;
利用所述第三会话密钥加密所述配置信息;
通过所述第二通道向所述第二设备发送加密后的所述配置信息,其中,所述第三公钥和所述第四密钥对的第四私钥生成的第四会话密钥,所述第四会话密钥,用于解密传输到所述第二设备的配置信息。
本公开实施例第二方面提供一种电子钥匙处理方法,应用于第二设备中,包括:
扫描创建电子密钥的蓝牙广播信号;
当所述蓝牙广播信号携带的服务标识为所述第二设备存储的服务标识时,与所述第一设备建立第一通道;其中,所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
基于所述第一通道向所述第一设备发送所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
在所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
基于上述方案,所述基于所述蓝牙广播信号与第二设备建立第一通道,包括:
接收所述第二设备发送的密钥参数;
基于服务器分发的密码及密钥参数,生成第二会话密钥;
接收所述第一设备使用所述第一会话密钥加密的第一数据;
当使用所述第二会话密钥解密所述第一数据,确定从所述第一设备到所述第二设备的所述第一通道创建成功;
向所述第一设备发送使用所述第二会话密钥加密的第二数据;其中,所述第二数据,用于被所述第一设备基于所述第一会话密钥解密成功后,确定从所述第二设备到所述第一设备的所述第一通道创建成功。
基于上述方案,所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
基于上述方案,所述基于所述第一通道进行基于证书链协商电子钥匙,包括:
生成所述第二密钥对,其中,所述第二密钥对包括:第二公钥和第二私钥;
基于所述第一通道,接收所述第一公钥及所述第一证书链;
当所述第一证书链验证成功过后,存储所述第一公钥;
向所述第一设备发送所述第二公钥和所述第二设备的第二证书链;所述第二公钥,用于供所述第一设备基于所述第二证书链验证通过之后存储所述第二公钥。
基于上述方案,所述方法还包括:
基于所述带外OOB信息,创建所述第二通道;
基于所述第二通道,激活所述电子钥匙并接收所述第一设备发送的配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
基于上述方案,所述基于所述第二通道,激活所述电子钥匙,包括:
生成第四密钥对;
将所述第四密钥对的第四公钥及第四数据发送给所述第一设备,其中,所述第四数据为采用第二私钥加密的数据;
通过所述第二通道,接收所述第一设备发送的第三数据及第三公钥;
当使用所述第一公钥成功解密所述第三数据时,激活所述第一密钥对。
基于上述方案,所述方法还包括:
在所述第一密钥对被激活后,基于所述第四密钥对的第四私钥与所述第三公钥生成第四会话密钥;
利用所述第四会话密钥解密所述配置信息;
存储解密后的所述配置信息。
基于上述方案,解密后的所述配置信息存储在所述第二设备的信任执行环境TEE中
基于上述方案,所述第二密钥对的第二私钥存储在所述第二设备的TEE中。
本公开实施例第三方面提供一种电子钥匙处理装置,应用于第一设备中,所述装置包括:
发送模块,用于发送用于创建电子密钥的蓝牙广播信号,其中,所述蓝牙广播信号携带有服务标识;
第一建立模块,用于基于所述蓝牙广播信号与第二设备建立第一通道;其中,所述第二设备为:授权控制所述第一设备的且预先存储所述服务标识的设备;所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
第一钥匙模块,用于基于所述第一通道接收所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
第一协商模块,用于在所述通信能力信息指示所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
基于上述方案,所述第一建立模块,具体用于于服务器分发的密码及密钥参数,生成第一会话密钥;
将所述密钥参数发送给所述第二设备,其中,所述密钥参数,用于供所述第二设备生成第二会话密钥;向所述第二设备使用所述第一会话密钥加密的第一数据;其中,所述第一数据,用于在所述第二设备基于所述第二会话密钥解密成功时,确定从所述第一设备到所述第二设备的所述第一通道创建成功;接收所述第二设备使用所述第二会话密钥加密的第二数据;在使用所述第一会话密钥解密所述第二数据成功时,确定从所述第二设备到所述第一设备的所述第一通道创建成功。
基于上述方案,所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
基于上述方案,所述第一钥匙模块,具体用于生成所述第一密钥对,其中,所述第一密钥对包括:第一公钥;基于所述第一通道,将所述第一公钥及所述第一证书链发送给所述第二设备;其中,所述第一公钥,用于在所述第二设备对所述第一设备进行身份验证存储在所述第二设备中;接收所述第二设备的第二公钥及所述第二证书链;其中,所述第二公钥为所述第二设备生成的第二密钥对中的公钥;在基于所述第二证书链对所述第二设备的身份验证通过后,存储所述第二公钥。
基于上述方案,所述装置还包括:
第一创建模块,用于基于所述带外OOB信息,创建所述第二通道;
第一激活模块,用于基于所述第二通道,激活所述电子钥匙并向所述第二设备发送配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
基于上述方案,所述第一激活模块,具体用于生成第三密钥对;通过所述第二通道,将所述第三密钥对的第三公钥及第三数据发送给所述第二设备;其中,所述第三数据为:使用所述第一私钥加密的数据,用于在被所述第二设备使用第一公钥解密后激活所述第一密钥对;通过所述第二通道,接收所述第二设备发送的第四公钥及第四数据,其中,所述第四数据为:使用所述第二密钥对的第二私钥加密的数据;当使用第二公钥成功解密所述第四数据时,激活所述第二密钥对。
基于上述方案,所述第一激活模块,具体用于在所述第二密钥对被激活后,基于所述第三密钥对的第三私钥与所述第四公钥生成第三会话密钥;利用所述第三会话钥加密所述配置信息;通过所述第二通道向所述第二设备发送加密后的所述配置信息,其中,所述第三公钥和所述第四密钥对的第四私钥生成的第四会话密钥,所述第四会话密钥,用于解密传输到所述第二设备的配置信息。
本公开实施例第四方面提供一种电子钥匙处理装置,应用于第二设备中,包括:
扫描模块,用于扫描创建电子密钥的蓝牙广播信号;
第二建立模块,用于当所述蓝牙广播信号携带的服务标识为所述第二设备存储的服务标识时,与所述第一设备建立第一通道;其中,所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
第二钥匙模块,用于基于所述第一通道向所述第一设备发送所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
第二协商模块,用于在所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
基于上述方案,所述第二建立模块,具体用于接收所述第二设备发送的密钥参数;基于服务器分发的密码及密钥参数,生成第二会话密钥;接收所述第一设备使用所述第一会话密钥加密的第一数据;当使用所述第二会话密钥解密所述第一数据,确定从所述第一设备到所述第二设备的所述第一通道创建成功;向所述第一设备发送使用所述第二会话密钥加密的第二数据;其中,所述第二数据,用于被所述第一设备基于所述第一会话密钥解密成功后,确定从所述第二设备到所述第一设备的所述第一通道创建成功。
基于上述方案,所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
基于上述方案,所述第二钥匙模块,具体用于生成所述第二密钥对,其中,所述第二密钥对包括:第二公钥和第二私钥;基于所述第一通道,接收所述第一公钥及所述第一证书链;当所述第一证书链验证成功过后,存储所述第一公钥;向所述第一设备发送所述第二公钥和所述第二设备的第二证书链;所述第二公钥,用于供所述第一设备基于所述第二证书链验证通过之后存储所述第二公钥。
基于上述方案,所述装置还包括:
第二创建模块,用于基于所述带外OOB信息,创建所述第二通道;
第二激活模块,用于基于所述第二通道,激活所述电子钥匙并接收所述第一设备发送的配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
基于上述方案,所述第二激活模块,具体用于生成第四密钥对;将所述第四密钥对的第四公钥及第四数据发送给所述第一设备,其中,所述第四数据为采用第二私钥加密的数据;通过所述第二通道,接收所述第一设备发送的第三数据及第三公钥;当使用所述第一公钥成功解密所述第三数据时,激活所述第一密钥对。
基于上述方案,所述装置还包括:
生成模块,用于在所述第一密钥对被激活后,基于所述第四密钥对的第四私钥与所述第三公钥生成第四会话密钥;
解密模块,用于利用所述第四会话密钥解密所述配置信息;
存储模块,用于存储解密后的所述配置信息。
基于上述方案,解密后的所述配置信息存储在所述第二设备的信任执行环境TEE中
基于上述方案,所述第二密钥对的第二私钥存储在所述第二设备的TEE中。
根据本公开实施例的第五方面提供一种电子设备,包括:
用于存储处理器可执行指令的存储器;
处理器,与所述存储器连接;
其中,所述处理器被配置为执行前述第一方面和/或第二方面提供的电子钥匙处理方法。
根据本公开实施例的第六方面,提供一种非临时性计算机可读存储介质,当所述存储介质中的指令由计算机的处理器执行时,使得计算机能够执行前述的第一方面和/或第二方面提供的电子钥匙处理方法。
本公开的实施例提供的技术方案可以包括以下有益效果:
本公开实施例提供的电子钥匙的协商和使用,都可以发生在仅支持蓝牙通信的第二设备之间,且若第二电子设备仅仅支持备选通信方式中的蓝牙通信,会基于第一通道预先协商带外OOB信息,从而在后续基于电子密钥进行身份验证时的蓝牙加密通信时,可以快速建立蓝牙加密通道。一方面,如此不必然要求第二设备具备NFC和eSE也可以使用电子密钥的功能;与此同时,基于蓝牙通信的电子密钥,减少了第一设备和第二设备之间的入口数量,并降低了第一设备和第二设备之间数据的碎片化。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是根据一示例性实施例示出的电子密钥处理方法的流程示意图;
图2是根据一示例性实施例示出的密钥协商方法的流程示意图;
图3是根据一示例性实施例示出的电子密钥处理方法的流程示意图;
图4是根据一示例性实施例示出的通信系统的结构示意图;
图5根据一示例性实施例示出的第一设备的结构示意图;
图6是根据一示例性实施例示出的第二设备的结构示意图;
图7是根据一示例性实施例示出的电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置的例子。
如图1所示,本公开实施例提供一种电子钥匙处理方法,应用于第一设备中,包括:
S110:发送用于创建电子密钥的蓝牙广播信号,其中,所述蓝牙广播信号携带有服务标识;
S120:基于所述蓝牙广播信号与第二设备建立第一通道;其中,所述第二设备为:授权控制所述第一设备的且预先存储所述服务标识的设备;所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
S130:基于所述第一通道接收所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
S140:在所述通信能力信息指示所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
此处的第一设备可为车载设备等受控设备。若第一设备是车载设备则该设备安装在车辆上,可以对车辆进行控制。若该受控设备还可为智能家居设备或智能办公设备等。
第一设备为受控设备,可以在蓝牙广播信道上广播服务标识。
该服务标识可为唯一标识第一设备的电子钥匙的设备标识。该服务标识可为预先置入第一设备中的标识。该服务标识可为预先置入有权限控制第一设备的第二设备中的标识。例如,该服务标识可为电子钥匙的蓝牙组织分配的标识。
该服务标识可为一个全球统一标识(Universally Unique Identifier,UUID)。
若第二设备在第一设备的蓝牙通信范围内,则第二设备可以在蓝牙广播信道上接收到该服务标识。若服务标识为第一设备预先存储的服务标识匹配,则第二设备会与第一设备建立蓝牙连接。该蓝牙连接不同于蓝牙广播信道,是第一设备和第二设备之间的点对点的连接。
所述第一通道可为蓝牙加密通道或者蓝牙加密连接,即第一设备和第二设备在该蓝牙连接上通信时会使用密钥进行,从而确保通信安全。
在建立第一通道之后,接收第二设备的通信能力信息。通信能力信息,指示所述第二设备支持的基于电子密钥的备选通信方式中那种通信方式。
本公开实施例提供的电子钥匙的处理方法,是遵守CCC规范的通信。
所述通信能力信息由所述CCC规范关于电子钥匙通信的通信能力字段承载。第二设备的通信能力信息,可以由该通信能力字段携带。示例性地,在通信能力字段中包含指示所述第二设备仅支持预设通信能力中蓝牙通信的比特值。
所述备选通信方式包括:NFC、UWB以及蓝牙等多种近距离通信方式中的一种或多种。
若第二设备仅支持备选通信方式中的蓝牙通信方式时,则第一设备和第二设备之间会基于第一通道协商带外OOB信息。
该OOB信息包括:第一设备和第二设备之间建立第二通道的蓝牙配对所需的配对信息(例如,配对密码)等。
如此,本公开实施例提供的电子钥匙的协商和使用,可以发生在仅支持蓝牙通信的第二设备之间,且若第二电子设备仅仅支持备选通信方式中的蓝牙通信,会基于第一通道预先协商带外OOB信息,从而在后续基于电子密钥进行身份验证时的蓝牙加密通信时,可以快速建立蓝牙加密通道。一方面,如此不必然要求第二设备具备NFC和eSE也可以使用电子密钥的功能;与此同时,基于蓝牙通信的电子密钥,减少了第一设备和第二设备之间的入口数量,并降低了第一设备和第二设备之间数据的碎片化。
在一个实施例中,所述基于所述蓝牙广播信号与第二设备建立第一通道,包括:
基于服务器分发的密码及密钥参数,生成第一会话密钥;
将所述密钥参数发送给所述第二设备,其中,所述密钥参数,用于供所述第二设备生成第二会话密钥;
向所述第二设备使用所述第一会话密钥加密的第一数据;其中,所述第一数据,用于在所述第二设备基于所述第二会话密钥解密成功时,确定从所述第一设备到所述第二设备的所述第一通道创建成功;
接收所述第二设备使用所述第二会话密钥加密的第二数据;
在使用所述第一会话密钥解密所述第二数据成功时,确定从所述第二设备到所述第一设备的所述第一通道创建成功。
所述服务器分发的密码可为:所述第一设备的所属用户或者持有用户,在服务器提供的UI输入的密码。所述服务器确定所述密码之后,会分别分发给第一设备和授权控制第一设备的第二设备。如此,第一设备可以基于该密码和密钥参数,以第一设备和第二设备共同知晓的密钥生成算法,生成第一会话密钥。
所述密钥参数可为所述第一设备随机生成的,或者,按照一定的参数生成算法生成的。
所述第一设备会基于当前建立的公开(即不加密)的蓝牙连接将所述密钥参数分发给第二设备。
如此,第二设备可以基于自身从服务器接收的密码和密钥参数生成第二会话密钥。且第二会话密钥是第二设备按照与第一设备共同知晓的密钥生成算法生成的。
若第二设备是授权控制第一设备的设备,则第二设备生成的第二会话密钥和第一设备生成的第一会话密钥是相同。
为了验证第一会话密钥和第二会话密钥是相同的,则第一设备会以第一会话密钥加密一段数据,得到第一数据,将第一数据通过当前公开的蓝牙连接发送给第二设备,若第二设备以第二会话密钥解密成功,则从第一设备到第二设备的第一通道建立成功。与此同时,第二设备会以第二会话密钥加密一段数据并发送给第一设备,若第一设备解密成功,则说明从第二设备到第一设备之间的第二通道建立成功。
在一些实施例中,用于生成第一数据和第二数据的明文数据可为预先配置在第一设备或第二设备中的多段数据中的一段,因此,在利用各自生成的会话密钥解密之后,可以与预先配置的数据段进行匹配,如匹配成功则至少一个方向的第二通道建立成功。当然此处仅仅是举例,具体实现不局限于此。
所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
第一设备和第二设备都采用非对称加密算法分别生成第一密钥对和第二密钥对。
在本公开实施例中,第一密钥对和第二密钥对均包括公钥和私钥。私钥都仅仅存储在生成对应密钥对的设备中,而公钥是可以传输给其他设备使用的。
所述第一密钥对和第二密钥对中的公钥可以在后续取代第一设备的第一证书链以及第二设备的第二证书链进行身份验证。
基于证书链的身份验证是基于根密钥的溯源验证,具有信息量大及验证计算量大的问题。在本公开实施例中,基于证书链生成两个密钥对,在使用密钥对中的公钥交互之后,通过匹配验证,可以大大节省身份验证的计算量,且缩短了身份验证的延时。
此处的第一密钥对和第二密钥对都是正式密钥对,并非一次性的临时密钥对。
如图2所示,所述S130可包括:
S131:生成所述第一密钥对,其中,所述第一密钥对包括:第一公钥;
S132:基于所述第一通道,将所述第一公钥及所述第一证书链发送给所述第二设备;其中,所述第一公钥,用于在所述第二设备对所述第一设备进行身份验证存储在所述第二设备中;
S133:接收所述第二设备的第二公钥及所述第二证书链;其中,所述第二公钥为所述第二设备生成的第二密钥对中的公钥;
S134:在基于所述第二证书链对所述第二设备的身份验证通过后,存储所述第二公钥。
所述第一密钥对还包括与第一公钥对应的第一私钥。所述第一公钥携带在第一数据证书中发送给第二设备。
所述第一设备的第一证书链,可供第二设备对第一设备进行身份验证,第一公钥被接收之后暂时存储,在第二设备基于第一证书链对第一设备完成身份验证之后,确定第一设备是合法设备,会正式存储第一公钥。例如,将第一公钥存储在第二设备的TEE中等。
由于第一通道是加密蓝牙通道,所以第一公钥和第一证书链都是加密蓝牙传输至第二设备的。
同样地,第二设备也会将自身生成的第二密钥对中的第二公钥和第二设备的证书链(即第二证书链)加密后蓝牙传输至第一设备。
第一设备将基于第二证书链对第二设备进行身份验证,确定第二设备是否为合法设备。若第二设备为合法设备,则第一设备会存储第二设备提供的第二公钥。
同样地,所述第二密钥对中的第二公钥也是以数字证书的形式发送给第一设备的。如此,第二设备会接收到第二证书,该第二证书中至少包含所述第二公钥。
第二设备的第二私钥会存储在第二设备的安全硬件中,例如,第二设备的TEE中,从而确保电子钥匙的安全性。
在一个实施例中,所述方法还包括:
基于所述带外OOB信息,创建所述第二通道;
基于所述第二通道,激活所述电子钥匙并向所述第二设备发送配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
该配置信息可以包括:权限信息和/或指令信息。所述权限信息,用于指示所述授权操作。
例如,所述权限信息,可以指示所述第二设备具有哪些控制权限,第二设备将在其被授权的控制权限范围内控制第一设备。以第一设备为车载设备举例说明,所述控制操作可包括以下至少之一:
控制车门开启或者关闭的权限;
控制车辆发动启动或停止的权限;
控制车辆的后备箱开启或关闭的权限;
控制车窗上升或下降的权限;
控制车载设备的提供车载服务的权限。
在一些实施例中,所述配置信息还可用于限定所述第二设备向所述第二设备发送控制指令的格式信息等。
总之,所述配置信息,用于供所述第二设备控制所述第一设备提供所需信息。
在一些实施例中,所述基于所述第二通道,激活所述电子钥匙并向所述第二设备发送配置信息,包括:
生成第三密钥对;
通过所述第二通道,将所述第三密钥对的第三公钥及第三数据发送给所述第二设备;其中,所述第三数据为:使用所述第一私钥加密的数据,用于在被所述第二设备使用第一公钥解密后激活所述第一密钥对;
通过所述第二通道,接收所述第二设备发送的第四公钥及第四数据,其中,所述第四数据为:使用所述第二密钥对的第二私钥加密的数据;
当使用第二公钥成功解密所述第四数据时,激活所述第二密钥对。
在本公开实施例中,所述第三密钥对和第四密钥对可为临时密钥对。所述第三密钥对和第一密钥对可采用相同的密钥生成算法生成。第四密钥对和第二密钥对可以由第二设备采用相同的密钥生成算法生成。
第三密钥对和第四密钥对,都可用于第一设备和第二设备之间的一次会话或者一次第二通道的建立,在第一设备和第二设备之间完成一次会话或者一次第二通道的建立和释放之后,本次生成的第三密钥对和第四密钥对就失效。下次会话或者下次第二通道的建立,可以重新生成新的第三密钥对和第四密钥对。
在本公开实施例中,第一设备生成第三密钥对,同样地,第三密钥对包括一个公钥和一个与公钥对应的私钥。
将第三密钥对的第三公钥和使用第一私钥加密的第一数据发送给第二设备,第二通道为蓝牙加密密通道,因此,第三公钥和第三数数据加密后传输至第二设备。由于第三数据是使用第一私钥加密的,如此第二设备就可使用通过第一通道接收到第一公钥进行解密,若解密成功,则说明第一设备的身份验证成功,且实现了第一密钥对的激活。
第二设备接收到之后,解密接收到的信息,若在解密信息中发现了自身生成的第二公钥,则可认为第一设备的身份验证通过,接收并存储第三公钥。
同时第一设备会通过第二通道接收到第二设备提供的第四公钥和第四数据。接收到第思数据之后,会采用之前接收第二公钥解密,若解密成功就相当于确定了发送数据的设备为第二设备,实现了对第二设备的身份验证,且激活了第二密钥对。
第一设备产生第一密钥对和第二设备产生第二密钥对之后,在第一通道释放之后的首次使用即可理解为第一密钥对和第二密钥对的激活过程。
所述向所述第二设备发送配置信息,包括:
在所述第二密钥对被激活后,基于所述第三密钥对的第三私钥与所述第四公钥生成第三会话密钥;
利用所述第三会话密钥加密所述配置信息;
通过所述第二通道向所述第二设备发送加密后的所述配置信息,其中,所述第三公钥和所述第四密钥对的第四私钥生成的第四会话密钥,所述第四会话密钥,用于解密传输到所述第二设备的配置信息。
本公开实施例中,配置信息是在第一密钥对和第二密钥对被激活之后(即电子密钥)被激活后,由第一设备通过第二通道发送给第二设备的。
具体地,第二通道也是加密蓝牙通道,即基于第一设备将第三私钥和第四私钥生成第三会话密钥,第三会话密钥可以用于任意基于第二通道的加密蓝牙传输。
同样地,第二设备的第四私钥和第三公钥会生成一个第四会话密钥,用于进行基于第二通道的加密蓝牙传输。
在一些实施例中,第二通道每次建立时,第二设备和第四设备都会重新生成第三密钥对和第四密钥对。然后基于重新生成的第三密钥对和第四密钥对,重新生成新的第三会话密钥和第四会话密钥,进而实现第一设备和第二设备之间的蓝牙通信。
每次第二通道建立时,都会基于电子钥匙进行第一设备和第二设备的相互身份认证。
如图3所示,本公开实施例提供一种电子钥匙处理方法,应用于第二设备中,包括:
S210:扫描创建电子密钥的蓝牙广播信号;
S220:当所述蓝牙广播信号携带的服务标识为所述第二设备存储的服务标识时,与所述第一设备建立第一通道;其中,所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
S230:基于所述第一通道向所述第一设备发送所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
S240:在所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
第二设备可为控制第一设备的设备。所述第二设备便于用户携带的电子设备,例如,用户的手机、平板电脑、智能手环、智能手表或者手持遥控器等。此处的第二设备可为便携式设备。
第二设备可如图4所示,可为包括蓝牙模块和TEE的电子设备。蓝牙模块可用于蓝牙通信,建立蓝牙通道。
DK小程序为电子钥匙的小程序,该小程序运行在TEE上。
第二设备的媒体框架内运行有BLE服务。在数字钥匙框架(Digital KeyFramework)运行有本地APP和原始设备厂商(Original Equipment Manufacture,OEM)APP。
第二设备在执行电子钥匙处理方法时,密钥对的生成、数据的校验等所有的操作都在TEE上执行以确保安全性。例如,S210至S240都由TEE执行或者触发执行。
第二设备会在蓝牙广播信道上扫描蓝牙广播信号,并在蓝牙广播信号携带的服务标识的是第二设备预先存储电子钥匙的服务标识。
若在蓝牙广播信号上发现了第二设备预先配置的表征第二设备有控制第一设备权限的服务标识时,与第一设备建立第一通道。该第一通道为蓝牙加密通道。
在完成第一通道建立之后,在该第一通道上向第一设备发送自身的通信能力信息,以便第一设备知晓第二设备支持电子钥匙的备选通信方式中哪些通信方式。
在第二设备仅仅支持电子钥匙的备选通信方式中(预设通信方式)中的蓝牙通信时,在第一设备和第二设备之间协商出电子钥匙之后,会进一步交互OOB信息。通过OOB信息的交互,后续第二设备与第一设备之间可以快速的基于OOB信息建立第二通道。该第二通道同样为基于蓝牙连接的蓝牙加密通道。
本公开实施例提供的电子钥匙处理方法,可应用于不包含NFC芯片或者UWB芯片的电子设备中。第二电子设备只需要支持蓝牙通信,就可以实现对第一设备的电子钥匙功能。
示例性地,第二设备和第一设备可为在服务器中建立有绑定关系,这种绑定关系授权第二设备控制第一设备执行部分或全部操作。若第二设备和第一设备建立有绑定关系,则该服务标识会被服务器分别分发至第一设备或者第二设备。或者,第一设备和第二设备会基于UI接收到用户输入,基于用户输入存储服务标识。
在一个实施例中,所述基于所述蓝牙广播信号与第二设备建立第一通道,包括:
接收所述第二设备发送的密钥参数;
基于服务器分发的密码及密钥参数,生成第二会话密钥;
接收所述第一设备使用所述第一会话密钥加密的第一数据;
当使用所述第二会话密钥解密所述第一数据,确定从所述第一设备到所述第二设备的所述第一通道创建成功;
向所述第一设备发送使用所述第二会话密钥加密的第二数据;其中,所述第二数据,用于被所述第一设备基于所述第一会话密钥解密成功后,确定从所述第二设备到所述第一设备的所述第一通道创建成功。
该密钥参数可为输入到密钥生成算法中的任意参数。该密钥参数可为:第一设备随机生成的数值,也可以是第一设备基于自身的电子钥匙的生成次数确定的。
第二设备会基于当前公开的蓝牙连接接收到第一设备发送的密钥参数。
将密钥参数和服务器分发的密码,生成第二会话密钥。此处的服务器分发的密码,可以是服务器直接下发到第二设备的,也可以是第二设备基于UI的输入操作接收的。
该第二会话密钥,可用于加密在对应于第一通道的蓝牙连接上传输任意信息和/或数据。
为了确保第一会话密钥和第二会话密钥的一致性,第一设备会会使用自身基于密码和密钥参数生成的第一会话密码加密的第一数据发送给第二设备,第二设备使用第二会话密钥解密第一数据,若解密成功,则从第一设备到第二设备的第一通道建立完成。
同时第二设备也会以第二会话密钥加密一个数据得到第二数据,并将加密后的第二数据发送给第一设备,若第一设备以其自身生成的第一会话密钥解密成功,则说明从第二设备到第一设备的第一通道创建成功。
所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
第一密钥对和第二密钥对都可为采用非对称加密算法生成的密钥。
示例性地,所述第一密钥对和第二密钥对都可以采用椭圆曲线加密(ECC)算法生成的密钥对。
第一密钥对和第二密钥对作为电子钥匙,则后续第一密钥对和第二密钥对将分别替代第一证书链和第二证书链,对第一设备和第二设备之间的身份进行快速验证。
所述基于所述第一通道进行基于证书链协商电子钥匙,包括:
生成所述第二密钥对,其中,所述第二密钥对包括:第二公钥和第二私钥;
基于所述第一通道,接收所述第一公钥及所述第一证书链;
当所述第一证书链验证成功过后,存储所述第一公钥;
向所述第一设备发送所述第二公钥和所述第二设备的第二证书链;所述第二公钥,用于供所述第一设备基于所述第二证书链验证通过之后存储所述第二公钥。
基于第一证书链对第一设备进行身份验证,在验证成功之后说明第一设备是合法设备,则第二设备存储第一公钥。若所述第一公钥就携带在第一证书中,则存储第一证书。
与此同时,若第二设备已经完成了第二密钥对的生成,可以将第二公钥携带在第二证书和第二设备的第二证书链一起发送给第一设备。
第二证书链可以用于第一设备对第二设备的首次身份验证。
在第二证书链通过验证之后,第二公钥会被存储在第一设备中,第二公钥将会被用于第一设备对第二设备的再次身份验证,以节省第一设备和第二设备之间的身份验证的计算开销和时间开销。
在一些实施例中,所述方法还包括:
基于所述带外OOB信息,创建所述第二通道;
基于所述第二通道,激活所述电子钥匙并接收所述第一设备发送的配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
预先协商了OOB信息,如此后续在建立加密蓝牙通信时,直接基于OOB信息创建第二通道。
在创建完第二通道之后,将进入到激活电子钥匙并接收第一设备的配置信息的步骤。
此处的激活电子钥匙至少包括:首次使用第一密钥对和第二密钥对进行第一设备和第二设备的身份验证。
在激活电子密钥之后,第二设备会基于第二通道接收到第一设备发送的配置信息。
后续第二设备可以基于配置信息及再次创建的第二通道向第一设备发送控制指令,从而控制第一设备执行授权操作。
第二设备接收到配置信息之后,将配置信息写入第二设备存储区域。为了提升配置信息的安全性,需要将配置信息写入到TEE。
在一些实施例中,所述基于所述第二通道,激活所述电子钥匙,包括:
生成第四密钥对;
将所述第四密钥对的第四公钥及第四数据发送给所述第一设备,其中,所述第四数据为采用第二私钥加密的数据;
通过所述第二通道,接收所述第一设备发送的第三数据及第三公钥;
当使用所述第一公钥成功解密所述第三数据时,激活所述第一密钥对。
进一步地,第二设备会生成第四密钥对,第四密钥对可为临时密钥对,并通过第二通道将第四密钥对中的第四公钥及通过第一通道接收第一公钥发送第一设备。第一公钥用于第一设备对第二设备进行身份验证,第四公钥是对于基于第二通道的加密蓝牙通信。
在本公开实施例中,第二设备也会接收到第一设备发送的第三密钥对的第三公钥和第三公钥。若第三数据是第一设备采用第一私钥加密的,则第二设备可以使用预先接收到的第一公钥进行解密,若解密成功,则说明发送第三数据的是第一设备,完成对第一设备的身份验证,并激活第一密钥对。
与此同时,为了便于第一设备对第二设备进行身份验证,第二设备会将当前生成的第四密钥对中的第四公钥及使用第二私钥加密的第四数据发送给第一设备。第一设备接收到使用第二公钥解密第四公钥和第四数据,若解密成功,则实现了第一设备对第二设备的身份认证,确定激活了第二密钥对。
在一些实施例中,所述方法还包括:
在所述第一密钥对被激活后,基于所述第四密钥对的第四私钥与所述第三公钥生成第四会话密钥;
利用所述第四会话密钥解密所述配置信息;
存储解密后的所述配置信息。
在第一密钥对被激活后,基于第四私钥和第三公钥生成第四会话密钥,利用第四会话密钥解密配置信息,并将解密成功的配置信息存储起来。
在一些实施例中,解密后的所述配置信息存储在所述第二设备的信任执行环境TEE中;和/或,所述第二密钥对的第二私钥存储在所述第二设备的TEE中。
将解密的配置信息和/或第二私钥都存储在第二设备的TEE中,可以实现配置信息和第二私钥的硬件级安全性的提升。
电子钥匙又可以称之为数字钥匙,可以应用于各种场景。示例性地,若将电子钥匙的功能应用于车辆上,则该电子钥匙可以作为车的车钥匙,从而称之为数字车钥匙。
基于CCC标准的数字车钥匙,解决了行业碎片化和终端用户多入口的问题。然而CCC规范对终端要求较高,NFC和eSE是标准中的必须的条件。使得大量的存量设备无法使用该规范。
本实施例涉及的第一设备和第二设备的设备架构与CCC规范要求的一致,只是作为扩展以TEE作为安全元素(Secure Element,SE)的补充,以满足没有NFC和eSE的手机等设备对其他设备的电子钥匙的功能。同时增加必要的字段来兼容CCC规范。图5所示为手机作为第二设备与车之间的按照CCC规范要求形成的系统结构示意图。
下表针对仅支持蓝牙通信的电子钥匙功能的CCC规范的扩充。
CCC规范的7F49字段是标明设备通信能力的字段,可以用于携带第二设备的通信能力信息。在下表中7F49字段的内容为5F52表明设备仅支持电子钥匙的备选通信方式中的蓝牙通信方式。在下表中7F49的字段下增加新的字段来表明设备仅支持电子钥匙的备选通信方式中的蓝牙通信方式。该新增字段示例性的为7F52。
上表格中M表示必选字段;C表示满足特定条件的必选字段;O表示可选字段。
上表格中任意一个元素都可以单独使用或者组合使用。
在CCC规范中,7F49字段由车载设备发送给手机,即7F49字段可由第一设备发送给第二设备。
在本公开实施例中,7F49字段增加5F52已表明第一设备只支持蓝牙。此字段为可选。只有当车载设备支持蓝牙才需添加5F52。
当手机(即第二设备)收到7F49字段后,手机需要按手机的能力填写7F49字段,若手机仅支持蓝牙,则需添加5F52字段,而后发送给车载设。若车载设备检测到5F52字段,应忽略5F50字段。同时,7F52下面的字段如D0,D1。手机端无需填写D4等字段,若填写了D4等字段,车载设备应忽略D4等字段。
所有与安全相关的方面,如密钥对生成,证书的验签,数据的加解密、签名、验签均在TEE中完成。
私钥不离开TEE。
与服务器的通信的是基于证书的非对称加密。
手机端的证书由服务器签名后由工厂预置进手机,或通过空中升级(Over theAir,OTA)升级植入手机。
作为第二设备的手机端和服务器通信时,服务器和手机要验证对方公钥合法,并基于此公钥由DCC算法生成对称密钥从而建立安全通道进行安全通信。
TEE中的电子钥匙(Digital Key,DK)小程序(applet)完全兼容CCC中的安全元件(Secure Element,SE)中的DK applet。
电子钥匙创建可包括:
步骤1:车端服务器下发创建车钥匙的密码给车主,并在车端发送蓝牙广播,开始创建车钥匙流程;
步骤2:手机端扫描车端广播,检查有约定的服务全球唯一标识(seriveuniversally unique identifier,serive UUID)之后,与车建立蓝牙连接;
步骤3:利用步骤1中,车服务器下发的密码,手机与车协商出强安全的会话密钥,建立安全通道。
步骤4:车端和手机端交换通信能力信息。
步骤5:车端生成非对称密钥对(V.PK/V.SK),在安全通道中车把公钥证书,以及证书链发送给手机。V.PK为前述第一密钥对中的公钥;V.SK为前述第一密钥对中的私钥。此处的公钥证书为携带有V.PK的数字证书。发送给手机的证书链为车的证书链,可以用于验证车端的身份合法性。V.PK是vehicle public key的缩写。V.SK是vehicle private key的缩写。
步骤6:手机在安全通道中收到车端公钥证书和证书链后,验证证书的合法性,并提取公钥(V.PK)写入TEE。
步骤7:手机在TEE中生成手机端的非对称密钥对(D.PK/D.SK),并保证私钥永不离开TEE环境。把公钥证书及证书链发送给车端。D.PK/D.SK即为前述第二密钥对;D.PK为第二密钥对中的公钥;D.SK为前述第二密钥对中的私钥。D.PK是device public key的缩写。D.SK是device private key的缩写。
步骤8:车端收到手机的公钥证书及证书链后,验证证书的合法性。并将手机端公钥D.PK安全存入车中。本公开实施例中的车指代的车机设备。
步骤9:手机和车分别生成带外(Out-of-Band,OOB)信息,并在步骤3建立的安全通道中交互OOB信息,完成蓝牙OOB配对。
步骤10:车端生成临时密钥对(eV.PK/eV.SK),并将eV.PK发送至手机,手机生成临时密钥对(eD.PK/eD.SK),并将eD.PK发送至车端。eV.PK/eV.SK即为前述的第三密钥对,是一种临时密钥对。eD.PK/eD.SK即为前述的第四密钥对,也是一种临时密钥对。eV.SK是ephemeral vehicle public key的缩写。eV.PK是ephemeral vehicle public key的缩写。eD.PK是ephemeral device public key的缩写。eD.PK是ephemeral device private key的缩写。步骤11:车端用步骤5中的私钥(V.SK)对一段数据签名发送给手机。手机用步骤6中收到的公钥V.PK验证签名并验证车端身份。
步骤12:手机端用步骤7中的私钥(D.SK)对一段数据签名,发送给车,车用步骤#8中的公钥(D.PK)对签名验证,并验证手机身份。
步骤13:手机利用eV.PK和eD.SK,与车端用eD.PK和eV.SK来生成会话密钥,建立安全通道,并在安全通道中将车端配置有关的信息写入到手机TEE中,以及传送指令信息。
步骤14:电子钥匙创建并激活完成。
如图5所示,本公开实施例提供一种电子钥匙处理装置,应用于第一设备中,所述装置包括:
发送模块110,用于发送用于创建电子密钥的蓝牙广播信号,其中,所述蓝牙广播信号携带有服务标识;
第一建立模块120,用于基于所述蓝牙广播信号与第二设备建立第一通道;其中,所述第二设备为:授权控制所述第一设备的且预先存储所述服务标识的设备;所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
第一钥匙模块130,用于基于所述第一通道接收所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
第一协商模块140,用于在所述通信能力信息指示所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证备选通信方式。
在一些实施例中,所述发送模块110、第一建立模块120、第一钥匙模块130及第一协商模块140均可为程序模块;所述程序模块被处理器执行之后,能够执行上述模块的功能。
在还有一些实施例中,所述发送模块110、第一建立模块120、第一钥匙模块130及第一协商模块140均可为软硬结合模块;所述软硬结合模块包括但不限于各种可编程阵列;所述可编程阵列包括但不限于:现场可编程阵列和/或复杂可编程阵列。
在另外一些实施例中,所述发送模块110、第一建立模块120、第一钥匙模块130及第一协商模块140均可为纯硬件模块;所述纯硬件模块包括但不限于:专用集成电路。
在一些实施例中,所述第一建立模块120,具体用于于服务器分发的密码及密钥参数,生成第一会话密钥;将所述密钥参数发送给所述第二设备,其中,所述密钥参数,用于供所述第二设备生成第二会话密钥;向所述第二设备使用所述第一会话密钥加密的第一数据;其中,所述第一数据,用于在所述第二设备基于所述第二会话密钥解密成功时,确定从所述第一设备到所述第二设备的所述第一通道创建成功;接收所述第二设备使用所述第二会话密钥加密的第二数据;在使用所述第一会话密钥解密所述第二数据成功时,确定从所述第二设备到所述第一设备的所述第一通道创建成功。
在一些实施例中,所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
在一些实施例中,所述第一钥匙模块130,具体用于生成所述第一密钥对,其中,所述第一密钥对包括:第一公钥;基于所述第一通道,将所述第一公钥及所述第一证书链发送给所述第二设备;其中,所述第一公钥,用于在所述第二设备对所述第一设备进行身份验证存储在所述第二设备中;接收所述第二设备的第二公钥及所述第二证书链;其中,所述第二公钥为所述第二设备生成的第二密钥对中的公钥;在基于所述第二证书链对所述第二设备的身份验证通过后,存储所述第二公钥。
在一些实施例中,所述装置还包括:
第一创建模块,用于基于所述带外OOB信息,创建所述第二通道;
第一激活模块,用于基于所述第二通道,激活所述电子钥匙并向所述第二设备发送配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
在一些实施例中,所述第一激活模块,具体用于生成第三密钥对;通过所述第二通道,将所述第三密钥对的第三公钥及第三数据发送给所述第二设备;其中,所述第三数据为:使用所述第一私钥加密的数据,用于在被所述第二设备使用第一公钥解密后激活所述第一密钥对;通过所述第二通道,接收所述第二设备发送的第四公钥及第四数据,其中,所述第四数据为:使用所述第二密钥对的第二私钥加密的数据;当使用第二公钥成功解密所述第四数据时,激活所述第二密钥对。
在一些实施例中,所述第一激活模块,具体用于在所述第二密钥对被激活后,基于所述第三密钥对的第三私钥与所述第四公钥生成第三会话密钥;利用所述第三会话钥加密所述配置信息;通过所述第二通道向所述第二设备发送加密后的所述配置信息,其中,所述第三公钥和所述第四密钥对的第四私钥生成的第四会话密钥,所述第四会话密钥,用于解密传输到所述第二设备的配置信息。
如图6所示,本公开实施例提供一种电子钥匙处理装置,应用于第二设备中,包括:
扫描模块210,用于扫描创建电子密钥的蓝牙广播信号;
第二建立模块220,用于当所述蓝牙广播信号携带的服务标识为所述第二设备存储的服务标识时,与所述第一设备建立第一通道;其中,所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
第二钥匙模块230,用于基于所述第一通道向所述第一设备发送所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
第二协商模块240,用于在所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
在一些实施例中,所述扫描模块210、第二建立模块220、第二钥匙模块230及第二协商模块240均可为程序模块;所述程序模块被处理器执行之后,能够实现上述各个模块的功能。
在另一些实施例中,所述扫描模块210、第二建立模块220、第二钥匙模块230及第二协商模块240均可为软硬结合模块;所述软硬结合模块包括但不限于:各种可编程阵列;所述可编程阵列包括但不限于:现场可编程阵列和/或复杂可编程阵列。
在还有一些实施例中,所述扫描模块210、第二建立模块220、第二钥匙模块230及第二协商模块240均可为纯硬件模块;所述纯硬件模块包括但不限于:专用集成电路。
在一些实施例中,所述第二建立模块220,具体用于接收所述第二设备发送的密钥参数;基于服务器分发的密码及密钥参数,生成第二会话密钥;接收所述第一设备使用所述第一会话密钥加密的第一数据;当使用所述第二会话密钥解密所述第一数据,确定从所述第一设备到所述第二设备的所述第一通道创建成功;向所述第一设备发送使用所述第二会话密钥加密的第二数据;其中,所述第二数据,用于被所述第一设备基于所述第一会话密钥解密成功后,确定从所述第二设备到所述第一设备的所述第一通道创建成功。
在一些实施例中,所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
在一些实施例中,所述第二钥匙模块230,具体用于生成所述第二密钥对,其中,所述第二密钥对包括:第二公钥和第二私钥;基于所述第一通道,接收所述第一公钥及所述第一证书链;当所述第一证书链验证成功过后,存储所述第一公钥;向所述第一设备发送所述第二公钥和所述第二设备的第二证书链;所述第二公钥,用于供所述第一设备基于所述第二证书链验证通过之后存储所述第二公钥。
在一些实施例中,所述装置还包括:
第二创建模块,用于基于所述带外OOB信息,创建所述第二通道;
第二激活模块,用于基于所述第二通道,激活所述电子钥匙并接收所述第一设备发送的配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
在一些实施例中,所述第二激活模块,具体用于生成第四密钥对;将所述第四密钥对的第四公钥及第四数据发送给所述第一设备,其中,所述第四数据为采用第二私钥加密的数据;通过所述第二通道,接收所述第一设备发送的第三数据及第三公钥;当使用所述第一公钥成功解密所述第三数据时,激活所述第一密钥对。
在一些实施例中,所述装置还包括:
生成模块,用于在所述第一密钥对被激活后,基于所述第四密钥对的第四私钥与所述第三公钥生成第四会话密钥;
解密模块,用于利用所述第四会话密钥解密所述配置信息;
存储模块,用于存储解密后的所述配置信息。
在一些实施例中,解密后的所述配置信息存储在所述第二设备的信任执行环境TEE中。
在一些实施例中,所述第二密钥对的第二私钥存储在所述第二设备的TEE中。
本公开实施例提供一种电子设备,包括:
用于存储处理器可执行指令的存储器;
处理器,与存储器连接;
其中,处理器被配置为执行前述任意技术方案提供的多媒体数据处理方法。
处理器可包括各种类型的存储介质,该存储介质为非临时性计算机存储介质,在通信设备掉电之后能够继续记忆存储其上的信息。
处理器可以通过总线等与存储器连接,用于读取存储器上存储的可执行程序,例如,能够执行如图1和/或图5任意一个所示无线充电方法的至少其中之一。
该电子设备可包含前述供电设备。图7是根据一示例性实施例示出的一种电子设备800的框图。例如,电子设备800可以包含在移动电话、移动电脑等终端设备或者服务器等设备内。
参照图7,电子设备800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,多媒体数据组件810,输入/输出(I/O)的接口812,传感器组件814,以及通信组件816。
处理组件802通常控制电子设备800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在电子设备800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为电子设备800的各种组件提供电力。电力组件806可以包括电源管理系统,一个或多个电源,及其他与为电子设备800生成、管理和分配电力相关联的组件。
多媒体组件808包括在电子设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作状态,如拍摄状态或视频状态时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
多媒体数据组件810被配置为输出和/或输入多媒体数据信号。例如,多媒体数据组件810包括一个麦克风(MIC),当电子设备800处于操作状态,如呼叫状态、记录状态和语音识别状态时,麦克风被配置为接收外部多媒体数据信号。所接收的多媒体数据信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,多媒体数据组件810还包括一个扬声器,用于输出多媒体数据信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为电子设备800提供各个方面的状态评估。例如,传感器组件814可以检测到设备800的打开/关闭状态,组件的相对定位,例如组件为电子设备800的显示器和小键盘,传感器组件814还可以检测电子设备800或电子设备800一个组件的位置改变,用户与电子设备800接触的存在或不存在,电子设备800方位或加速/减速和电子设备800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于电子设备800和其他设备之间有线或无线方式的通信。电子设备800可以接入基于通信标准的无线网络,如Wi-Fi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器804,上述指令可由装置800的处理器820执行以完成上述方法。例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本公开实施例提供一种计算机存储介质,该计算存储介质可为非临时性计算机可读存储介质,当存储介质中的指令由第一设备或的第二设备的处理器执行时,使得供电设备能够执行前述任意实施例提供应用于供电设备中的电子钥匙处理方法,能够执行如图1至图3任意一个所示方法的至少其中之一。所述计算机存储介质中存储的指令被执行之后,应用于第一设备执行后能够实现电子钥匙处理方法,该方法可包括:
发送用于创建电子密钥的蓝牙广播信号,其中,所述蓝牙广播信号携带有服务标识;
基于所述蓝牙广播信号与第二设备建立第一通道;其中,所述第二设备为:授权控制所述第一设备的且预先存储所述服务标识的设备;所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
基于所述第一通道接收所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
在所述通信能力信息指示所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
可以理解地,所述基于所述蓝牙广播信号与第二设备建立第一通道,包括:
基于服务器分发的密码及密钥参数,生成第一会话密钥;
将所述密钥参数发送给所述第二设备,其中,所述密钥参数,用于供所述第二设备生成第二会话密钥;
向所述第二设备使用所述第一会话密钥加密的第一数据;其中,所述第一数据,用于在所述第二设备基于所述第二会话密钥解密成功时,确定从所述第一设备到所述第二设备的所述第一通道创建成功;
接收所述第二设备使用所述第二会话密钥加密的第二数据;
在使用所述第一会话密钥解密所述第二数据成功时,确定从所述第二设备到所述第一设备的所述第一通道创建成功。
可以理解地,所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
可以理解地,所述基于所述第一通道进行基于证书链协商电子钥匙,包括:
生成所述第一密钥对,其中,所述第一密钥对包括:第一公钥;
基于所述第一通道,将所述第一公钥及所述第一证书链发送给所述第二设备;其中,所述第一公钥,用于在所述第二设备对所述第一设备进行身份验证存储在所述第二设备中;
接收所述第二设备的第二公钥及所述第二证书链;其中,所述第二公钥为所述第二设备生成的第二密钥对中的公钥;
在基于所述第二证书链对所述第二设备的身份验证通过后,存储所述第二公钥。
可以理解地,所述方法还包括:
基于所述带外OOB信息,创建所述第二通道;
基于所述第二通道,激活所述电子钥匙并向所述第二设备发送配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
可以理解地,所述基于所述第二通道,激活所述电子钥匙并向所述第二设备发送配置信息,包括:
生成第三密钥对;
通过所述第二通道,将所述第三密钥对的第三公钥及第三数据发送给所述第二设备;其中,所述第三数据为:使用所述第一私钥加密的数据,用于在被所述第二设备使用第一公钥解密后激活所述第一密钥对;
通过所述第二通道,接收所述第二设备发送的第四公钥及第四数据,其中,所述第四数据为:使用所述第二密钥对的第二私钥加密的数据;当使用第二公钥成功解密所述第四数据时,激活所述第二密钥对。
可以理解地,所述向所述第二设备发送配置信息,包括:
在所述第二密钥对被激活后,基于所述第三密钥对的第三私钥与所述第四公钥生成第三会话密钥;
利用所述第三会话密钥加密所述配置信息;
通过所述第二通道向所述第二设备发送加密后的所述配置信息,其中,所述第三公钥和所述第四密钥对的第四私钥生成的第四会话密钥,所述第四会话密钥,用于解密传输到所述第二设备的配置信息。
所述计算机存储介质中存储的指令被执行之后,应用于第二设备执行后,能够实现如下电子钥匙处理方法,该方法可包括:
扫描创建电子密钥的蓝牙广播信号;
当所述蓝牙广播信号携带的服务标识为所述第二设备存储的服务标识时,与所述第一设备建立第一通道;其中,所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
基于所述第一通道向所述第一设备发送所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
在所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
可以理解地,所述基于所述蓝牙广播信号与第二设备建立第一通道,包括:
接收所述第二设备发送的密钥参数;
基于服务器分发的密码及密钥参数,生成第二会话密钥;
接收所述第一设备使用所述第一会话密钥加密的第一数据;
当使用所述第二会话密钥解密所述第一数据,确定从所述第一设备到所述第二设备的所述第一通道创建成功;
向所述第一设备发送使用所述第二会话密钥加密的第二数据;其中,所述第二数据,用于被所述第一设备基于所述第一会话密钥解密成功后,确定从所述第二设备到所述第一设备的所述第一通道创建成功。
可以理解地,所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
可以理解地,所述基于所述第一通道进行基于证书链协商电子钥匙,包括:
生成所述第二密钥对,其中,所述第二密钥对包括:第二公钥和第二私钥;
基于所述第一通道,接收所述第一公钥及所述第一证书链;
当所述第一证书链验证成功过后,存储所述第一公钥;
向所述第一设备发送所述第二公钥和所述第二设备的第二证书链;所述第二公钥,用于供所述第一设备基于所述第二证书链验证通过之后存储所述第二公钥。
可以理解地,所述方法还包括:
基于所述带外OOB信息,创建所述第二通道;
基于所述第二通道,激活所述电子钥匙并接收所述第一设备发送的配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
可以理解地,所述基于所述第二通道,激活所述电子钥匙,包括:
生成第四密钥对;
将所述第四密钥对的第四公钥及第四数据发送给所述第一设备,其中,所述第四数据为采用第二私钥加密的数据;
通过所述第二通道,接收所述第一设备发送的第三数据及第三公钥;
当使用所述第一公钥成功解密所述第三数据时,激活所述第一密钥对。
可以理解地,所述方法还包括:
在所述第一密钥对被激活后,基于所述第四密钥对的第四私钥与所述第三公钥生成第四会话密钥;
利用所述第四会话密钥解密所述配置信息;
存储解密后的所述配置信息。
可以理解地,解密后的所述配置信息存储在所述第二设备的信任执行环境TEE中
可以理解地,所述第二密钥对的第二私钥存储在所述第二设备的TEE中。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (20)
1.一种电子钥匙处理方法,其特征在于,应用于第一设备,包括:
发送用于创建电子密钥的蓝牙广播信号,其中,所述蓝牙广播信号携带有服务标识;
基于所述蓝牙广播信号与第二设备建立第一通道;其中,所述第二设备为:授权控制所述第一设备的且预先存储所述服务标识的设备;所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
基于所述第一通道接收所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
在所述通信能力信息指示所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
2.根据权利要求1所述的方法,其特征在于,所述基于所述蓝牙广播信号与第二设备建立第一通道,包括:
基于服务器分发的密码及密钥参数,生成第一会话密钥;
将所述密钥参数发送给所述第二设备,其中,所述密钥参数,用于供所述第二设备生成第二会话密钥;
向所述第二设备使用所述第一会话密钥加密的第一数据;其中,所述第一数据,用于在所述第二设备基于所述第二会话密钥解密成功时,确定从所述第一设备到所述第二设备的所述第一通道创建成功;
接收所述第二设备使用所述第二会话密钥加密的第二数据;
在使用所述第一会话密钥解密所述第二数据成功时,确定从所述第二设备到所述第一设备的所述第一通道创建成功。
3.根据权利要求1或2所述的方法,其特征在于,所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
4.根据权利要求3所述的方法,其特征在于,所述基于所述第一通道进行基于证书链协商电子钥匙,包括:
生成所述第一密钥对,其中,所述第一密钥对包括:第一公钥;
基于所述第一通道,将所述第一公钥及所述第一证书链发送给所述第二设备;其中,所述第一公钥,用于在所述第二设备对所述第一设备进行身份验证存储在所述第二设备中;
接收所述第二设备的第二公钥及所述第二证书链;其中,所述第二公钥为所述第二设备生成的第二密钥对中的公钥;
在基于所述第二证书链对所述第二设备的身份验证通过后,存储所述第二公钥。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
基于所述带外OOB信息,创建所述第二通道;
基于所述第二通道,激活所述电子钥匙并向所述第二设备发送配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
6.根据权利要求5所述的方法,其特征在于,所述基于所述第二通道,激活所述电子钥匙并向所述第二设备发送配置信息,包括:
生成第三密钥对;
通过所述第二通道,将所述第三密钥对的第三公钥及第三数据发送给所述第二设备;其中,所述第三数据为:使用所述第一私钥加密的数据,用于在被所述第二设备使用第一公钥解密后激活所述第一密钥对;
通过所述第二通道,接收所述第二设备发送的第四公钥及第四数据,其中,所述第四数据为:使用所述第二密钥对的第二私钥加密的数据;
当使用第二公钥成功解密所述第四数据时,激活所述第二密钥对。
7.一种电子钥匙处理方法,其特征在于,应用于第二设备中,包括:
扫描创建电子密钥的蓝牙广播信号;
当所述蓝牙广播信号携带的服务标识为所述第二设备存储的服务标识时,与所述第一设备建立第一通道;其中,所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
基于所述第一通道向所述第一设备发送所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
在所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
8.根据权利要求7所述的方法,其特征在于,所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
9.根据权利要求8所述的方法,其特征在于,所述基于所述第一通道进行基于证书链协商电子钥匙,包括:
生成所述第二密钥对,其中,所述第二密钥对包括:第二公钥和第二私钥;
基于所述第一通道,接收所述第一公钥及所述第一证书链;
当所述第一证书链验证成功过后,存储所述第一公钥;
向所述第一设备发送所述第二公钥和所述第二设备的第二证书链;所述第二公钥,用于供所述第一设备基于所述第二证书链验证通过之后存储所述第二公钥。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
基于所述带外OOB信息,创建所述第二通道;
基于所述第二通道,激活所述电子钥匙并接收所述第一设备发送的配置信息,其中,所述配置信息,用于所述第二设备控制所述第一设备执行授权操作;所述授权操作为:所述第一设备授权所述第二设备控制所述第一设备执行的操作。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
在所述第一密钥对被激活后,基于所述第四密钥对的第四私钥与所述第三公钥生成第四会话密钥;
利用所述第四会话密钥解密所述配置信息;
存储解密后的所述配置信息。
12.根据权利要求11所述的方法,其特征在于,解密后的所述配置信息存储在所述第二设备的信任执行环境TEE中。
13.根据权利要求8所述的方法,其特征在于,所述第二密钥对的第二私钥存储在所述第二设备的TEE中。
14.一种电子钥匙处理装置,其特征在于,应用于第一设备中,所述装置包括:
发送模块,用于发送用于创建电子密钥的蓝牙广播信号,其中,所述蓝牙广播信号携带有服务标识;
第一建立模块,用于基于所述蓝牙广播信号与第二设备建立第一通道;其中,所述第二设备为:授权控制所述第一设备的且预先存储所述服务标识的设备;所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
第一钥匙模块,用于基于所述第一通道接收所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
第一协商模块,用于在所述通信能力信息指示所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
15.一种电子钥匙处理装置,其特征在于,应用于第二设备中,包括:
扫描模块,用于扫描创建电子密钥的蓝牙广播信号;
第二建立模块,用于当所述蓝牙广播信号携带的服务标识为所述第二设备存储的服务标识时,与所述第一设备建立第一通道;其中,所述第一通道,用于所述第一设备和所述第二设备的蓝牙加密通信;
第二钥匙模块,用于基于所述第一通道向所述第一设备发送所述第二设备的通信能力信息,并基于所述第一通道进行基于证书链协商电子钥匙;
第二协商模块,用于在所述第二设备仅支预设通信方式中的蓝牙通信时,基于所述第一通道协商带外OOB信息;其中,所述OOB信息,用于建立第二通道,其中,所述第二通道,用于基于所述电子钥匙的身份验证后的蓝牙加密通信;所述预设通信方式为:基于所述电子密钥身份验证的备选通信方式。
16.根据权利要求15所述的装置,其特征在于,所述电子钥匙包括:所述第一设备生成的第一密钥对和所述第二设备生成的第二密钥对。
17.根据权利要求16所述的装置,其特征在于,所述第二钥匙模块,用于生成所述第二密钥对,其中,所述第二密钥对包括:第二公钥和第二私钥;基于所述第一通道,接收所述第一公钥及所述第一证书链;当所述第一证书链验证成功过后,存储所述第一公钥;向所述第一设备发送所述第二公钥和所述第二设备的第二证书链;所述第二公钥,用于供所述第一设备基于所述第二证书链验证通过之后存储所述第二公钥。
18.根据权利要求17所述的装置,其特征在于,所述第二密钥对的第二私钥存储在所述第二设备的TEE中。
19.一种电子设备,其特征在于,包括:
用于存储处理器可执行指令的存储器;
处理器,与所述存储器连接;
其中,所述处理器被配置为执行如权利要求1至6或者7至13中任一项提供的电子钥匙处理方法。
20.一种非临时性计算机可读存储介质,当所述存储介质中的指令由计算机的处理器执行时,使得计算机能够执行如权利要求1至6或者7至13中任一项提供的电子钥匙处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111249885.5A CN116033363A (zh) | 2021-10-26 | 2021-10-26 | 电子钥匙处理方法及装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111249885.5A CN116033363A (zh) | 2021-10-26 | 2021-10-26 | 电子钥匙处理方法及装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116033363A true CN116033363A (zh) | 2023-04-28 |
Family
ID=86069291
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111249885.5A Pending CN116033363A (zh) | 2021-10-26 | 2021-10-26 | 电子钥匙处理方法及装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116033363A (zh) |
-
2021
- 2021-10-26 CN CN202111249885.5A patent/CN116033363A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110177354B (zh) | 一种车辆的无线控制方法及系统 | |
| CN109493488B (zh) | 智能卡认证方法、智能锁、智能卡、系统及装置 | |
| JP6374010B2 (ja) | 情報交信方法、装置および電子機器 | |
| CN104869612B (zh) | 接入网络的方法及装置 | |
| KR101855602B1 (ko) | 기기 제어 방법 및 장치, 프로그램 및 저장매체 | |
| CN113055867A (zh) | 终端辅助配网的方法和装置、电子设备 | |
| CN106888206B (zh) | 密钥交换方法、装置及系统 | |
| CN110912880A (zh) | 配网方法及装置、电子设备及存储介质 | |
| CN104955031A (zh) | 信息传输方法及装置 | |
| CN113242224B (zh) | 授权方法及装置、电子设备和存储介质 | |
| CN104852911A (zh) | 安全验证方法、装置及系统 | |
| CN112202770B (zh) | 设备联网方法及装置、设备、存储介质 | |
| CN112115464B (zh) | 解锁处理方法、装置、电子设备及存储介质 | |
| CN112291100A (zh) | 配网方法、配网装置及存储介质 | |
| CN108696361B (zh) | 智能卡的配置方法、生成方法及装置 | |
| CN117879814A (zh) | 车钥匙分享方法、装置及存储介质 | |
| CN112383532B (zh) | 设备联网方法及装置、电子设备、存储介质 | |
| CN114386008A (zh) | 信息处理方法及装置、设备、存储介质 | |
| CN114139134A (zh) | 终端设备的程序升级方法、装置和设备 | |
| CN116033363A (zh) | 电子钥匙处理方法及装置、电子设备及存储介质 | |
| CN108924136B (zh) | 授权认证方法、装置及存储介质 | |
| CN112214753A (zh) | 一种认证方法及装置、电子设备、存储介质 | |
| EP4443290A1 (en) | Electronic controller flash method, electronic controller, and management server | |
| WO2023245356A1 (zh) | 电子设备的充电方法、充电装置、电子设备及存储介质 | |
| US20240317179A1 (en) | Terminal device and method processing of data for terminal device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |