CN116566704A - 安全访问控制方法、系统、车控设备、车辆及介质 - Google Patents

安全访问控制方法、系统、车控设备、车辆及介质 Download PDF

Info

Publication number
CN116566704A
CN116566704A CN202310594557.1A CN202310594557A CN116566704A CN 116566704 A CN116566704 A CN 116566704A CN 202310594557 A CN202310594557 A CN 202310594557A CN 116566704 A CN116566704 A CN 116566704A
Authority
CN
China
Prior art keywords
identity
client
access control
soa
management module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310594557.1A
Other languages
English (en)
Inventor
王静
李�诚
邬桅桅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zebred Network Technology Co Ltd
Original Assignee
Zebred Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zebred Network Technology Co Ltd filed Critical Zebred Network Technology Co Ltd
Priority to CN202310594557.1A priority Critical patent/CN116566704A/zh
Publication of CN116566704A publication Critical patent/CN116566704A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

本申请提供一种安全访问控制方法、系统、车控设备、车辆及介质,涉及汽车通信技术领域。该方法应用于车辆上的第一设备,第一设备包括:第一SOA中间件、服务端和第一身份与访问管理模块,方法包括:服务端通过第一SOA中间件和第二SOA中间件的通信,接收客户端发送的SOA请求,从SOA请求中提取出客户端的通信身份标识,并向第一身份与访问管理模块发送携带客户端的通信身份标识的权限查询请求;第一身份与访问管理模块获取与客户端的通信身份标识对应的访问控制身份标识,根据访问控制身份标识,从预设权限库中查找权限查询结果,并返回给服务端;服务端根据权限查询结果向客户端返回与SOA请求相对应的响应消息。上述方式降低了实施的复杂度。

Description

安全访问控制方法、系统、车控设备、车辆及介质
技术领域
本申请涉及操作系统技术领域,尤其涉及一种安全访问控制方法、系统、车控设备、车辆及介质。
背景技术
伴随着智能汽车电子电气架构从分布式向域集中式、中央计算平台式的逐步演进,智能汽车内部各设备间的通信越来越多地采用车载以太网及面向服务架构(Service-oriented architecture,SOA)的通信方式,从而可以更好地满足自动驾驶等应用对通信速率等的更高要求。但是,该架构中的SOA中间件本身并未提供访问控制等安全机制,所以接入车载以太网的设备及其上运行的应用均可在未授权的情况下访问该架构提供的SOA服务接口。而这种不加管控的服务访问,轻则容易导致敏感信息泄露,重则给驾乘人员、零部件厂商或原始设备制造商OEM造成人身及财产损失。
为在该架构的基础上提供安全访问控制策略,现有的方案一般采用加解密技术的方案,该方案要求通信的服务端service与客户端client均需要有一对公私钥与证书,并且service启动时为不同的client分别生成一个对称密钥,用于对通信内容进行加密。该方案在通信前先通过握手过程,完成双方的身份认证与对称密钥的分发,之后在通信过程中使用对称密钥加密通信内容,并通过消息验证码保证消息的完整性。
但是,上述方案在握手过程需要传输双方的证书,由于证书本身较大,因此上述方案极大地占用车内网带宽;如果证书超过1500字节,那么上述方案还需要分片传输,性能及传输消耗更加严重,进而导致实施成本大,且复杂度高。
发明内容
本申请提供了一种安全访问控制方法、系统、车控设备、车辆及介质,用以解决现有技术在实现安全访问控制时存在的实施成本大,且复杂度高的技术问题。
根据本申请的第一方面,提供了一种安全访问控制方法,应用于车辆上的第一设备,所述第一设备包括互相通信的第一SOA中间件、服务端和第一身份与访问管理模块,所述方法包括:
所述服务端通过所述第一SOA中间件和第二SOA中间件的通信,接收客户端发送的SOA请求,从所述SOA请求中提取出客户端的通信身份标识,并向所述第一身份与访问管理模块发送携带所述客户端的通信身份标识的权限查询请求;其中,所述SOA请求用于请求所述服务端为客户端提供目标服务;所述第二SOA中间件和所述客户端均位于目标设备上;
所述第一身份与访问管理模块响应于所述权限查询请求,获取与所述客户端的通信身份标识对应的访问控制身份标识,根据所述访问控制身份标识,从预设权限库中查找所述客户端是否具备目标服务的访问权限的权限查询结果,并将所述权限查询结果返回给所述服务端;其中,所述访问控制身份标识用于唯一标识一个所述客户端的属性集;
所述服务端根据所述权限查询结果向所述客户端返回与所述SOA请求相对应的响应消息。
可选地,所述属性集包括多个键值对,每个所述键值对均包括属性键和属性值,多个所述属性键包括设备身份属性和应用身份属性;
其中,所述设备身份属性包括以下至少之一:设备标识ID、设备证书、设备IP地址、设备MAC地址;
所述应用身份属性包括以下至少之一:应用包名、应用用户标识UID、应用签名。
可选地,多个所述属性键还包括环境属性;其中,所述环境属性包括以下至少之一:地理位置、时间、车速。
可选地,所述第一身份与访问管理模块响应于所述权限查询请求,获取与所述客户端的通信身份标识对应的访问控制身份标识,包括:
所述第一身份与访问管理模块响应于所述权限查询请求,在本地缓存中查找与所述客户端的通信身份标识对应的访问控制身份标识;
所述第一身份与访问管理模块在查找到所述访问控制身份标识时,从本地缓存中获取所述访问控制身份标识。
可选地,所述第一身份与访问管理模块响应于所述权限查询请求,获取与所述客户端的通信身份标识对应的访问控制身份标识,还包括:
所述第一身份与访问管理模块在未查找到所述访问控制身份标识时,向所有第二设备上的第二身份与访问管理模块广播消息;其中,所述第二设备是用于消费服务的设备,包括目标设备和非目标设备;所述目标设备是存储所述客户端的通信身份标识与所述访问控制身份标识之间的映射关系;
所述第一身份与访问管理模块接收所述目标设备上的第二身份与访问管理模块发送的与所述客户端的通信身份标识对应的访问控制身份标识。
根据本申请的第二方面,提供了另一种安全访问控制方法,应用于车辆上的目标设备,所述目标设备包括互相通信的客户端、第二SOA中间件和第二身份与访问管理模块,所述方法包括:
所述第二SOA中间件响应于客户端发送的SOA请求,从所述SOA请求中提取出客户端的通信身份标识和目标服务标识,并判断所述第二身份与访问管理模块是否注册过所述客户端的访问控制身份标识;
所述第二SOA中间件在判断结果为所述第二身份与访问管理模块已注册过所述客户端的访问控制身份标识时,根据所述目标服务标识,识别车辆上的用于提供所述目标服务的服务端所在的第一设备,并将所述SOA请求通过所述第一设备上的第一SOA中间件转发至所述服务端,以供所述服务端根据所述客户端的通信身份标识,查找访问控制身份标识,并根据通过所述访问控制身份标识获取到的权限查询结果向所述客户端返回与所述SOA请求相对应的响应消息;其中,所述访问控制身份标识用于唯一标识一个所述客户端的属性集。
可选地,所述方法还包括:
所述第二SOA中间件在判断结果为所述第二身份与访问管理模块未注册过所述客户端的访问控制身份标识时,向所述第二身份与访问管理模块发送携带所述客户端的通信身份标识的注册请求;
所述第二身份与访问管理模块响应于所述注册请求,注册所述客户端的访问控制身份标识,并保存所述客户端的通信身份标识与所述访问控制身份标识之间的映射关系。
可选地,所述方法还包括:
响应于所述第一设备上的第一身份与访问管理模块广播的消息,向所述第一身份与访问管理模块发送所述客户端的访问控制身份标识。
根据本申请的第三方面,提供了一种安全访问控制系统,包括由第一SOA中间件、服务端和第一身份与访问管理模块构成的第一设备和由第二SOA中间件、客户端和第二身份与访问管理模块构成的目标设备;其中,所述第一设备用于实现如第一方面任一项所述的方法,所述目标设备用于实现如第二方面任一项所述的方法。
根据本申请的第四方面,提供了一种车控设备,包括存储器和处理器;其中,
所述存储器,用于存储计算机程序;
所述处理器,用于读取所述存储器存储的计算机程序,并根据所述存储器中的计算机程序执行上述第一方面任一项所述的方法,和/或,执行上述第二方面任一项所述的方法。
根据本申请的第五方面,提供了一种车辆,包括如第三方面所述的安全访问控制系统或如第四方面所述的车控设备。
根据本申请的第六方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上第一方面所述的方法,和/或,实现如上第二方面所述的方法。
根据本申请的第七方面,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现第一方面所述的方法,和/或,实现第二方面所述的方法。
本申请提供的一种安全访问控制方法,应用于车辆上的第一设备,第一设备包括互相通信的第一SOA中间件、服务端和第一身份与访问管理模块,方法包括:服务端通过第一SOA中间件和第二SOA中间件的通信,接收客户端发送的SOA请求,从SOA请求中提取出客户端的通信身份标识,并向第一身份与访问管理模块发送携带客户端的通信身份标识的权限查询请求;其中,SOA请求用于请求服务端为客户端提供目标服务;第二SOA中间件和客户端均位于目标设备上;第一身份与访问管理模块响应于权限查询请求,获取与客户端的通信身份标识对应的访问控制身份标识,根据访问控制身份标识,从预设权限库中查找客户端是否具备目标服务的访问权限的权限查询结果,并将权限查询结果返回给服务端;其中,访问控制身份标识用于唯一标识一个客户端的属性集;服务端根据权限查询结果向客户端返回与SOA请求相对应的响应消息。
本申请通过将客户端的通信身份标识转换成基于属性集的访问控制身份标识,并根据访问控制身份标识确定权限查询结果的方式,能够实现细粒度的安全访问控制。与现有技术采用加解密技术的方案相比,本申请在实现安全访问控制的基础上,无需管理维护大量的证书和密钥,降低了实施成本和复杂度。
应当理解,本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征,也不用于限制本申请的范围。本申请的其它特征将通过以下的说明书而变得容易理解。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为车载以太网及面向服务架构的结构示意图;
图2为现有技术提供的握手过程的示意图;
图3为本申请实施例提供的一种安全访问控制系统的结构示意图;
图4为本申请实施例提供的一种安全访问控制方法的流程示意图;
图5为本申请实施例提供的另一种安全访问控制方法的流程示意图;
图6为本申请实施例提供的又一种安全访问控制方法的流程示意图;
图7为本申请实施例提供的一种车控设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。
车载以太网及面向服务架构如图1所示,图1中的SOME/IP通信中间件(Scalableservice-Oriented Middleware over IP,基于IP的面向服务的可扩展中间件)作为主要的车载以太网SOA通信协议被广泛应用于大量汽车产品中。但是,该SOA通信协议本身并未提供访问控制等安全机制,所以接入车载以太网的设备及其上运行的应用均可在未授权的情况下访问该架构提供的SOA服务接口。而这种不加管控的服务访问,轻则容易导致敏感信息泄露,重则给驾乘人员、零部件厂商或原始设备制造商OEM造成人身及财产损失。
为了能够在该架构的基础上实现安全访问控制策略,现有的方案一般采用加解密技术的方案,如图2所示,该方案要求通信的服务端和客户端均需要有一对公私钥与证书,并且服务端启动时为不同的客户端生成一个对称密钥,用于对通信内容进行加密。该方案在通信前先通过如图2所示的握手过程,完成双方的身份认证与对称密钥的分发,之后在通信过程中使用对称密钥加密通信内容,并通过消息验证码保证消息的完整性。
但是,上述方案存在以下主要的技术问题:
(1)上述方案在握手过程需要传输双方的证书,由于证书本身较大,因此上述方案极大地占用车内网带宽;如果证书超过1500字节,那么上述方案还需要分片传输,性能及传输消耗更加严重,进而导致实施成本大,且复杂度高。
(2)订阅同一服务的所有客户端分别使用不同的对称密钥,不适用于多播形式的消息。即服务端要发送同一消息给多个客户端时,必须利用不同的对称密钥分别加密,这导致加密次数及加解密总的性能损耗随着接收者数量的增长而递增。
为避免出现上述主要的技术问题(1),现有技术可以提前将证书预置到通信的对端ECU设备(Electronic Control Unit,电子控制单元)上,然后握手时仅传输证书的hash,虽然降低了传输带宽占用,但是对各个ECU设备的存储消耗较大,存储成本增加,在设备存储容量固定的情况下可用性低,无法有效实施。
为避免出现上述主要的技术问题(2),现有技术订阅同一服务的所有client都使用相同的对称密钥,所有service都采用同一个对称密钥,这又极大降低了安全性,然而当客户端订阅多个不同的服务时,该方案需要为该客户端维护多个对称密钥,增加了密钥分发及密钥维护的复杂度及成本。
为了解决上述技术问题,本申请的整体发明构思为如何提供一种应用于汽车通信领域,用于有效降低实施成本和复杂度的方法。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
实施例1:
图3为本申请实施例提供的一种安全访问控制系统的结构示意图。如图3所示,包括由第一SOA中间件101、服务端102和第一身份与访问管理模块103构成的第一设备100和由第二SOA中间件201、客户端202和第二身份与访问管理模块203构成的目标设备200;其中,第一设备100用于实现实施例2中的方法,目标设备用于实现实施例3中的方法。
本申请实施例在车辆采用车载以太网及面向服务架构SOA的基础上,能够实现车辆的安全访问控制系统的设计。该架构SOA是一个组件模型,它将应用程序的不同功能单元(或称为服务)进行拆分,并通过这些服务之间定义良好的接口和SOA通信协议联系起来。上述接口采用中立的方式进行定义,它是独立于实现服务的硬件平台、操作系统和编程语言。SOA通信协议使构建在各种各样的设备中的服务可以以一种统一和通用的方式进行交互。
上述SOA通信协议包括但不限于:SOME/IP协议、数据分发服务(DataDistribution Service,DDS)协议等。其中,SOME/IP协议采用C/S(Client/Server)的通信架构,其中Server是服务提供者(即服务端),Client是服务消费者(即客户端)。在SOME/IP协议中,根据服务接口类型,使用远程服务调用(Remote Procedure Call,RPC)机制,通过数据序列化和反序化(Serialization/Deserialization)使得数据得以在网络中传输。通过可用服务发现(Service Discovery,SD)机制来实现服务的动态配置。
而DDS协议是一种以数据为中心的分布式通信协议,DDS采用的通信方式是多对多的单向数据交互,通信模型为分布式结构,没有中心节点,同一个数据空间任何两个节点之间都能直接通信。
由于SOA通信协议能够使构建在各种各样的设备中的服务以一种统一和通用的方式进行交互,因此本实施例选择采用SOA通信协议进行安全访问控制。
第一SOA中间件101和第二SOA中间件201是位于不同设备上的SOME/IP通信中间件。由于SOME/IP通信中间件能够作为SOA通信协议,因此,在该安全访问控制系统中,第一SOA中间件101和第二SOA中间件201能够结合第一身份与访问管理模块103和第二身份与访问管理模块203,实现不同设备间的安全访问控制。
在本申请实施例中,车载以太网及面向服务架构内的各设备均要部署对应的身份与访问管理(Identity and Access Management,IAM)模块。身份与访问管理模块负责本设备各应用的访问控制身份标识(Access Control Identity,acid)管理及访问控制策略管理等工作,具体描述见下述实施例2,此处不再赘述。
本申请实施例中的第二身份与访问管理模块203用于维护客户端202的通信身份标识(Communication Identity,comid)与访问控制身份标识acid之间的映射关系。
第一身份与访问管理模块103与第二身份与访问管理模块203之间可以互相通信,以在服务端的本地缓存中查找不到与客户端202的通信身份标识对应的访问控制身份标识时,从第二身份与访问管理模块203中获取该访问控制身份标识。
本申请实施例中的第一SOA中间件101与第二SOA中间件201互相通信,其中,第二SOA中间件201用于转发客户端202发送的SOA请求至第一SOA中间件101,第二SOA中间件201用于将SOA请求转发至服务端102,用于实现车载以太网SOA通信。
本实施例中的第一设备100用于将客户端202的通信身份标识转换成基于属性集的访问控制身份标识,与现有技术相比,本实施例可以实现应用级的、极细粒度的服务访问控制,进而可避免未经授权的服务访问,提升SOA通信的安全性,并且无需管理大量的证书和密钥,降低了实施成本和复杂度。
实施例2:
图4为本申请实施例提供的一种安全访问控制方法的流程示意图。如图4所示,该安全访问控制方法应用于车辆上的第一设备,第一设备如图3所示,包括互相通信的第一SOA中间件101、服务端102和第一身份与访问管理模块103,该安全访问控制方法包括以下步骤:
S10、服务端通过第一SOA中间件和第二SOA中间件的通信,接收客户端发送的SOA请求,从SOA请求中提取出客户端的通信身份标识,并向第一身份与访问管理模块发送携带客户端的通信身份标识的权限查询请求;其中,SOA请求用于请求服务端为客户端提供目标服务;第二SOA中间件和客户端均位于目标设备上。
在本申请实施例中,SOA请求或称为SOA消息,本质是客户端要向服务器说明的一些信息,包括但不限于:客户端的通信身份标识、目标服务标识等。
在本申请实施例中,通信身份标识是指SOA通信协议本身存在的用于判别通信实体身份的标识。该通信身份标识不可以直接应用于访问控制,原因包括:1)通信身份标识一般在运行时动态生成,因而无法在访问策略中使用,除非强制固定写死每个应用的通信身份标识;2)通信身份标识有生命周期,如DDS的guid,在应用进程退出并重启后guid改变,因此无法持久化存储;3)通信身份标识脱离通信上下文后失去意义,尤其无法被人读取,在权限管理界面中无法使用、无法展示;4)通信身份标识与权限管控粒度并非完美对应,粒度粗细不一致等。
S30、第一身份与访问管理模块响应于权限查询请求,获取与客户端的通信身份标识对应的访问控制身份标识,根据访问控制身份标识,从预设权限库中查找客户端是否具备目标服务的访问权限的权限查询结果,并将权限查询结果返回给服务端;其中,访问控制身份标识用于唯一标识一个客户端的属性集。
在本申请实施例中,属性集或称为身份属性集,用于从不同粒度来标识身份。表1给出了通信身份标识和访问控制身份标识,其中,通信身份标识比如表1中DDS协议的guid、SOME/IP协议的client_id等,访问控制身份标识对应的属性集包括多个键值对,每个键值对均包括属性键和属性值,其中,属性键如表1中的“identify_attribute_1”、“identify_attribute_2”、“identify_attribute_3”、“identify_attribute_4”等,属性值如表1中的“value1”、“value2”、“value3”、“value4”等。
表1通信身份标识和访问控制身份标识的对比结果
在本申请实施例中,访问控制身份标识具备如下特点:1)通过该标识能唯一确定单个访问实体,也可以确定具备相同特征的一类访问实体;2)该标识能够在静态配置的访问控制策略/访问控制规则中使用,并且能够在权限管理界面中展示;3)访问控制身份标识不与特定的通信身份标识强相关,具有普适性,从而可支撑不同的SOA通信协议。
在本申请实施例中,基于属性集的访问控制身份标识,即由不同的属性键值对的集合来标识不同实体身份,其中属性键的范围是不限定的、可动态扩展,支持身份属性的任意增删。
进一步的,本申请实施例对上述访问控制策略/访问控制规则的具体设计进行展开描述。具体的,上述访问控制策略/访问控制规则,或称为权限策略,是被访问者到访问者的映射关系的列表,用于存放在预设权限库中。其中,被访问者是被访问的SOA服务(即上述目标服务),访问者是发送SOA消息的客户端及应用的访问控制身份标识,并且访问控制策略的控制粒度与通信身份标识的属性集的设置粒度一致。
在访问控制策略中,针对同一服务,可以对不同客户端生成不同的匹配条件。也就是说,本实施例可以对不同客户端,设置不同的访问控制身份标识的粒度。
例如,针对服务service_1,客户端ecu1需要满足以下匹配条件1,才有权限访问服务service_1,上述匹配条件1为:device_ip为192.168.1.1,并且客户端ecu1是利用应用app1访问的服务service_1,因此客户端ecu1的控制身份标识comid需要为{{device_id,ecu1},{device_ip,192.168.1.1},{app_name,app1}}。针对服务service_1,客户端ecu2需要满足以下匹配条件2,才有权限访问服务service_1,上述匹配条件2为:利用任一应用访问服务service_1均可以匹配成功,因此客户端ecu2的访问控制身份标识comid需要为{device_id,ecu2}。因此针对同一服务service_1,客户端ecu1的访问控制身份标识的粒度为应用级粒度,比客户端ecu2的粒度要细。
针对服务service_2,客户端ecu2需要满足以下匹配条件3,才有权限访问服务service_2,上述匹配条件3为:利用任一应用访问服务service_2均可以匹配成功,因此客户端ecu2的访问控制身份标识comid需要为{device_id,ecu2}。在上述访问控制策略的示例中,device_id(即下述设备标识ID)、device_ip(即设备IP地址)均为可选字段,对应访问者的设备身份属性,而app_name也为可选字段,对应访问者的应用身份属性。满足匹配条件的访问者,有权限访问对应的服务;若访问者未满足匹配条件,则无权限访问对应的服务。
S50、服务端根据权限查询结果向客户端返回与SOA请求相对应的响应消息。
在本申请实施例中,权限查询结果为客户端具备目标服务的访问权限时,返回与SOA请求相对应的响应消息,以向客户端提供目标服务,权限查询结果为客户端不具备目标服务的访问权限时,返回与SOA请求相对应的响应消息,以拒绝SOA请求。
本申请实施例基于属性集设计的访问控制策略,是支持粒度可控的访问规则配置,从而可以实现对具备某类属性的一类访问实体、或者具备特定属性的单一访问实体的权限设置,在降低实施难度的基础上,提高适配性。
一种可能的实现方式中,属性集包括多个键值对,每个键值对均包括属性键和属性值,多个属性键包括设备身份属性和应用身份属性。
其中,设备身份属性包括但不限于:设备标识ID、设备证书、设备IP地址、设备MAC地址等。
应用身份属性包括但不限于:应用包名、应用用户标识UID、应用签名等。
本申请实施例通过两级的身份属性配置,能够实现不同粒度的访问控制策略的设置,进而提高该方法在实际应用中的适配性。
一种可能的实现方式中,多个属性键还包括环境属性;其中,环境属性包括以下至少之一:地理位置、时间、车速。
示例性的,一个访问控制身份标识为5个键值对构成的集合:{{device_id,ecu1},{device_ip,192.168.1.1},{app_name,app1},{location,121°38′E,25°2′N},{time,2023-03-01}}。
在本申请实施例中,访问控制身份标识的身份属性集主要包括设备身份属性与应用身份属性两级,并可以通过environment字段动态扩展支持环境属性等,从而可以实现不同环境条件下的不同授权目标,如基于地理位置、访问时间等的权限授予或撤销。
一种可能的实现方式中,步骤S30、第一身份与访问管理模块响应于权限查询请求,获取与客户端的通信身份标识对应的访问控制身份标识,包括以下步骤:
S301、第一身份与访问管理模块响应于权限查询请求,在本地缓存中查找与客户端的通信身份标识对应的访问控制身份标识。
S302、第一身份与访问管理模块在查找到访问控制身份标识时,从本地缓存中获取访问控制身份标识。
通过执行步骤S301~步骤S302,本申请实施例能够在本地缓存中存在访问控制身份标识的情况下,直接获取到访问控制身份标识,进而根据访问控制身份标识匹配权限策略,提高安全访问控制。
一种可能的实现方式中,在步骤S301之后,步骤S30还包括以下步骤:
步骤S303、第一身份与访问管理模块在未查找到访问控制身份标识时,向所有第二设备上的第二身份与访问管理模块广播消息;其中,第二设备是用于消费服务的设备,包括目标设备和非目标设备;目标设备是存储客户端的通信身份标识与访问控制身份标识之间的映射关系。
步骤S304、第一身份与访问管理模块接收目标设备上的第二身份与访问管理模块发送的与客户端的通信身份标识对应的访问控制身份标识。
通过执行步骤S301~步骤S304,本申请实施例能够在不同场景下采用不同的获取方式获取到访问控制身份标识,进而提高安全访问控制。
实施例3:
图5为本申请实施例提供的另一种安全访问控制方法的流程示意图。如图5所示,该安全访问控制方法应用于车辆上的目标设备,目标设备如图3所示,包括互相通信的客户端、第二SOA中间件和第二身份与访问管理模块,该安全访问控制方法包括以下步骤:
步骤S200、第二SOA中间件响应于客户端发送的SOA请求,从SOA请求中提取出客户端的通信身份标识和目标服务标识,并判断第二身份与访问管理模块是否注册过客户端的访问控制身份标识。
在本申请实施例中,客户端的访问控制身份标识可以是发送SOA消息的客户端的访问控制身份标识,还可以是发送SOA消息的客户端及目标应用的访问控制身份标识。
步骤S300、第二SOA中间件在判断结果为第二身份与访问管理模块已注册过客户端的访问控制身份标识时,根据目标服务标识,识别车辆上的用于提供目标服务的服务端所在的第一设备,并将SOA请求通过第一设备上的第一SOA中间件转发至服务端,以供服务端根据客户端的通信身份标识,查找访问控制身份标识,并根据通过访问控制身份标识获取到的权限查询结果向客户端返回与SOA请求相对应的响应消息;其中,访问控制身份标识用于唯一标识一个客户端的属性集。
本申请实施例通过将客户端的通信身份标识转换成基于属性集的访问控制身份标识,并根据访问控制身份标识确定权限查询结果的方式,能够实现细粒度的安全访问控制。与现有技术采用加解密技术的方案相比,本申请实施例在实现安全访问控制的基础上,无需管理维护大量的证书和密钥,降低了实施成本和复杂度。
一种可能的实现方式中,该安全访问控制方法还包括以下步骤:
S400、第二SOA中间件在判断结果为第二身份与访问管理模块未注册过客户端的访问控制身份标识时,向第二身份与访问管理模块发送携带客户端的通信身份标识的注册请求。
该步骤S400对客户端而言是透明的,应用无感知,因此能够保证用户具有较好的体验。
S500、第二身份与访问管理模块响应于注册请求,注册客户端的访问控制身份标识,并保存客户端的通信身份标识与访问控制身份标识之间的映射关系。
在本申请实施例中,上述注册请求或称为身份注册请求,其目的是为客户端生成访问控制身份标识。
由于本申请实施例提供的方案是基于通信身份标识到访问控制身份标识的转换,并根据访问控制身份标识实现权限检查的方案,因此该方案能够利用一套访问控制框架支持多种SOA通信协议,且无需对协议进行过多修改,仅需嵌入少量的身份注册逻辑即可,不影响协议的互操作性,降低了实施难度。
一种可能的实现方式中,该安全访问控制方法还包括以下步骤:
S600、响应于第一设备上的第一身份与访问管理模块广播的消息,向第一身份与访问管理模块发送客户端的访问控制身份标识。
通过执行步骤S600,本申请实施例能够在本地缓存中不存在访问控制身份标识的情况下,从目标设备中获取到访问控制身份标识,进而根据访问控制身份标识匹配权限策略,提高安全访问控制。
实施例4:
图6为本申请实施例提供的又一种安全访问控制方法的流程示意图。结合图3可知,客户端202位于目标设备200上,服务端102位于第一设备100上。本实施例以位于不同设备上的客户端202和服务端102进行SOA通信,服务端102需要检查作为来访者的客户端202是否具有目标服务的访问权限为例,进行详细说明。具体的,如图6所示,该安全访问控制方法包括以下步骤S601~步骤S616,其中:
步骤S601、客户端向第二SOA中间件发送SOA请求。
步骤S602、第二SOA中间件向第二身份与访问管理模块发送携带客户端的通信身份标识的注册请求。
具体的,第二SOA中间件从SOA请求中提取出客户端的通信身份标识和目标服务标识,并判断第二身份与访问管理模块是否注册过客户端的访问控制身份标识,在判断结果为第二身份与访问管理模块未注册过客户端的访问控制身份标识时,向第二身份与访问管理模块发送携带客户端的通信身份标识的注册请求。
步骤S603、第二身份与访问管理模块注册客户端的访问控制身份标识。第二身份与访问管理模块在注册完成后,还用于保存客户端的通信身份标识与访问控制身份标识之间的映射关系。
步骤S604、第二SOA中间件转发SOA请求至第一SOA中间件。
步骤S605、第一SOA中间件转发SOA请求至服务端。
在本申请实施例中,通过步骤S601可知,位于目标设备上的客户端,通过第二SOA中间件的转发功能,向位于第一设备上的服务端发送SOA请求。通过步骤S4~步骤S5可知,本实施例通过第二SOA中间件与第一SOA中间件之间的通信,能够使服务端接收到该SOA请求。
步骤S606、服务端从SOA请求中提取出客户端的通信身份标识。
步骤S607、服务端向第一身份与访问管理模块发送携带客户端的通信身份标识的权限查询请求。
本申请实施例可以通过调用权限检查接口checkPermission的方式向第一身份与访问管理模块发送携带客户端的通信身份标识的权限查询请求。
步骤S608、第一身份与访问管理模块在本地缓存中查找与客户端的通信身份标识对应的访问控制身份标识。若查找到,则执行步骤S609;若未查找到,则表明该客户端是首次访问第一设备中的目标服务,进而执行步骤S610~步骤S613。
步骤S609、第一身份与访问管理模块从本地缓存中获取访问控制身份标识,根据访问控制身份标识从预设权限库中查找客户端是否具备目标服务的访问权限的权限查询结果。执行完步骤S609之后,执行步骤S614。
在本申请实施例中,预设权限库或称为权限规则库/权限策略库。本实施例在步骤S609中根据访问控制身份标识进行匹配与决策。
步骤S610、第一身份与访问管理模块向车内网中所有第二设备上的第二身份与访问管理模块广播消息;其中,第二设备是用于消费服务的设备,包括目标设备。
在本申请实施例中,第二设备还包括非目标设备,目标设备是存储客户端的通信身份标识与访问控制身份标识之间的映射关系。广播消息的目的是:请求查询通信身份标识对应的访问控制身份标识。
可选地,为提高各设备上的身份与访问管理模块之间的通信的安全性,本申请实施例可以通过传输层TLS/DTLS来实现通信。
步骤S611、目标设备上的第二身份与访问管理模块向第一身份与访问管理模块发送与客户端的通信身份标识对应的访问控制身份标识。
步骤S612、第一身份与访问管理模块缓存客户端的通信身份标识与访问控制身份标识之间的映射关系。
步骤S613、第一身份与访问管理模块根据缓存的映射关系中的访问控制身份标识从预设权限库中查找客户端是否具备目标服务的访问权限的权限查询结果。
步骤S614、第一身份与访问管理模块返回权限查询结果至服务端。
步骤S615、服务端根据权限查询结果响应或拒绝SOA请求。
步骤S616、服务端返回正常响应结果或者返回无权限错误至客户端。
在步骤S616中,服务端返回的信息可以依次经第一SOA中间件、第二SOA中间件传输到客户端。
通过执行步骤S601~步骤616,本申请实施例可以将客户端的通信身份标识转换成基于属性集的访问控制身份标识,并根据访问控制身份标识确定权限查询结果的方式,能够实现细粒度的安全访问控制。与现有技术采用加解密技术的方案相比,本申请实施例在实现安全访问控制的基础上,无需管理维护大量的证书和密钥,降低了实施成本和复杂度。根据本申请的实施例,本申请还提供了一种车控设备、一种车辆、一种计算机可读存储介质和一种计算机程序产品。
图7为本申请实施例提供的一种车控设备的结构示意图。该车控设备包括接收器70、发送器71、至少一个处理器72和存储器73,由上述部件构成的该车控设备可以用来实施本申请上述几个具体的实施例,此处不再赘述。
本申请实施例还提供一种车辆,包括安全访问控制系统或车控设备。
本实施例提供的安全访问控制系统,可用于执行上述任意方法实施例提供的安全访问控制方法,其实现原理和技术效果类似,此处不做赘述。因此该车辆可以达到上述技术效果。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当处理器执行计算机执行指令时,实现上述实施例中方法中的各个步骤。
本申请实施例还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述实施例中方法中的各个步骤。
需要说明的是,本申请所涉及的用户信息和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
也就是说,本申请的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。
本申请以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本申请的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或电子设备上执行。
在本申请的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。计算机可读存储介质可以是机器可读信号介质或机器可读储存介质。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。计算机可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据电子设备)、或者包括中间件部件的计算系统(例如,应用电子设备)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本申请公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。

Claims (13)

1.一种安全访问控制方法,其特征在于,应用于车辆上的第一设备,所述第一设备包括互相通信的第一SOA中间件、服务端和第一身份与访问管理模块,所述方法包括:
所述服务端通过所述第一SOA中间件和第二SOA中间件的通信,接收客户端发送的SOA请求,从所述SOA请求中提取出客户端的通信身份标识,并向所述第一身份与访问管理模块发送携带所述客户端的通信身份标识的权限查询请求;其中,所述SOA请求用于请求所述服务端为客户端提供目标服务;所述第二SOA中间件和所述客户端均位于目标设备上;
所述第一身份与访问管理模块响应于所述权限查询请求,获取与所述客户端的通信身份标识对应的访问控制身份标识,根据所述访问控制身份标识,从预设权限库中查找所述客户端是否具备目标服务的访问权限的权限查询结果,并将所述权限查询结果返回给所述服务端;其中,所述访问控制身份标识用于唯一标识一个所述客户端的属性集;
所述服务端根据所述权限查询结果向所述客户端返回与所述SOA请求相对应的响应消息。
2.根据权利要求1所述的方法,其特征在于,所述属性集包括多个键值对,每个所述键值对均包括属性键和属性值,多个所述属性键包括设备身份属性和应用身份属性;
其中,所述设备身份属性包括以下至少之一:设备标识ID、设备证书、设备IP地址、设备MAC地址;
所述应用身份属性包括以下至少之一:应用包名、应用用户标识UID、应用签名。
3.根据权利要求2所述的方法,其特征在于,多个所述属性键还包括环境属性;其中,所述环境属性包括以下至少之一:地理位置、时间、车速。
4.根据权利要求1所述的方法,其特征在于,所述第一身份与访问管理模块响应于所述权限查询请求,获取与所述客户端的通信身份标识对应的访问控制身份标识,包括:
所述第一身份与访问管理模块响应于所述权限查询请求,在本地缓存中查找与所述客户端的通信身份标识对应的访问控制身份标识;
所述第一身份与访问管理模块在查找到所述访问控制身份标识时,从本地缓存中获取所述访问控制身份标识。
5.根据权利要求4所述的方法,其特征在于,所述第一身份与访问管理模块响应于所述权限查询请求,获取与所述客户端的通信身份标识对应的访问控制身份标识,还包括:
所述第一身份与访问管理模块在未查找到所述访问控制身份标识时,向所有第二设备上的第二身份与访问管理模块广播消息;其中,所述第二设备是用于消费服务的设备,包括目标设备和非目标设备;所述目标设备是存储所述客户端的通信身份标识与所述访问控制身份标识之间的映射关系;
所述第一身份与访问管理模块接收所述目标设备上的第二身份与访问管理模块发送的与所述客户端的通信身份标识对应的访问控制身份标识。
6.一种安全访问控制方法,其特征在于,应用于车辆上的目标设备,所述目标设备包括互相通信的客户端、第二SOA中间件和第二身份与访问管理模块,所述方法包括:
所述第二SOA中间件响应于客户端发送的SOA请求,从所述SOA请求中提取出客户端的通信身份标识和目标服务标识,并判断所述第二身份与访问管理模块是否注册过所述客户端的访问控制身份标识;
所述第二SOA中间件在判断结果为所述第二身份与访问管理模块已注册过所述客户端的访问控制身份标识时,根据所述目标服务标识,识别车辆上的用于提供所述目标服务的服务端所在的第一设备,并将所述SOA请求通过所述第一设备上的第一SOA中间件转发至所述服务端,以供所述服务端根据所述客户端的通信身份标识,查找访问控制身份标识,并根据通过所述访问控制身份标识获取到的权限查询结果向所述客户端返回与所述SOA请求相对应的响应消息;其中,所述访问控制身份标识用于唯一标识一个所述客户端的属性集。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述第二SOA中间件在判断结果为所述第二身份与访问管理模块未注册过所述客户端的访问控制身份标识时,向所述第二身份与访问管理模块发送携带所述客户端的通信身份标识的注册请求;
所述第二身份与访问管理模块响应于所述注册请求,注册所述客户端的访问控制身份标识,并保存所述客户端的通信身份标识与所述访问控制身份标识之间的映射关系。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
响应于所述第一设备上的第一身份与访问管理模块广播的消息,向所述第一身份与访问管理模块发送所述客户端的访问控制身份标识。
9.一种安全访问控制系统,其特征在于,包括由第一SOA中间件、服务端和第一身份与访问管理模块构成的第一设备和由第二SOA中间件、客户端和第二身份与访问管理模块构成的目标设备;其中,所述第一设备用于实现如权利要求1至5任一项所述的方法,所述目标设备用于实现如权利要求6至8任一项所述的方法。
10.一种车控设备,其特征在于,包括存储器和处理器;其中,
所述存储器,用于存储计算机程序;
所述处理器,用于读取所述存储器存储的计算机程序,并根据所述存储器中的计算机程序执行上述权利要求1至5任一项所述的方法,和/或,执行上述权利要求6至8任一项所述的方法。
11.一种车辆,其特征在于,包括如权利要求9所述的安全访问控制系统或如权利要求10所述的车控设备。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至5任一项所述的方法,和/或,实现如权利要求6至8任一项所述的方法。
13.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时,实现上述权利要求1至5任一项所述的方法,和/或,实现上述权利要求6至8任一项所述的方法。
CN202310594557.1A 2023-05-24 2023-05-24 安全访问控制方法、系统、车控设备、车辆及介质 Pending CN116566704A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310594557.1A CN116566704A (zh) 2023-05-24 2023-05-24 安全访问控制方法、系统、车控设备、车辆及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310594557.1A CN116566704A (zh) 2023-05-24 2023-05-24 安全访问控制方法、系统、车控设备、车辆及介质

Publications (1)

Publication Number Publication Date
CN116566704A true CN116566704A (zh) 2023-08-08

Family

ID=87489667

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310594557.1A Pending CN116566704A (zh) 2023-05-24 2023-05-24 安全访问控制方法、系统、车控设备、车辆及介质

Country Status (1)

Country Link
CN (1) CN116566704A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118133266A (zh) * 2024-05-10 2024-06-04 中移(杭州)信息技术有限公司 基于函数级别的权限管控方法、装置、设备、介质和产品

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118133266A (zh) * 2024-05-10 2024-06-04 中移(杭州)信息技术有限公司 基于函数级别的权限管控方法、装置、设备、介质和产品

Similar Documents

Publication Publication Date Title
US20200304508A1 (en) Method and device for providing authentication in network-based media processing (nbmp) system
US11546173B2 (en) Methods, application server, IoT device and media for implementing IoT services
CN108632216B (zh) 网络功能授权方法、装置、可读存储介质及实体设备
CN116057924B (zh) 用于提供网络功能发现服务增强的方法、系统和计算机可读介质
US10637794B2 (en) Resource subscription method, resource subscription apparatus, and resource subscription system
US20210119875A1 (en) Communication method and apparatus
US8015243B2 (en) Authenticating a requestor without providing a key
US20170111476A1 (en) Dynamic Application Programming Interface Builder
WO2021018460A1 (en) Registering and requesting services in a service based architecture
CN116566704A (zh) 安全访问控制方法、系统、车控设备、车辆及介质
CN112887260A (zh) 授权方法及装置
US20090158047A1 (en) High performance secure caching in the mid-tier
CN115102772A (zh) 基于汽车soa的安全访问控制方法
CN112261112B (zh) 一种信息共享方法、装置及系统、电子设备及存储介质
Hariri et al. Siuv: a smart car identity management and usage control system based on verifiable credentials
US20160381149A1 (en) Automatic discovery and onboarding of electronic devices
CN115146320A (zh) 一种证书查询方法及装置
More et al. Offline-verifiable Data from Distributed Ledger-based Registries
CN113271320B (zh) 一种终端认证方法、装置、系统、介质及设备
CN115987988B (zh) 基于中继链的属性代理重加密方法、模型及存储介质
CN112968863B (zh) 一种基于r树的分布式授权管理方法、设备及存储介质
CN112910852B (zh) 一种基于r树的分布式授权方法、设备及存储介质
CN116033425A (zh) 网络功能的访问控制方法、装置及存储介质
CN116033426A (zh) 网络功能的访问控制方法、装置及存储介质
CN114610505A (zh) 一种进程间通信访问管控方法及智能车载设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination