CN117676579B - 一种基于芯片构建汽车安全身份认证方法 - Google Patents
一种基于芯片构建汽车安全身份认证方法 Download PDFInfo
- Publication number
- CN117676579B CN117676579B CN202311705546.2A CN202311705546A CN117676579B CN 117676579 B CN117676579 B CN 117676579B CN 202311705546 A CN202311705546 A CN 202311705546A CN 117676579 B CN117676579 B CN 117676579B
- Authority
- CN
- China
- Prior art keywords
- key
- user
- vehicle
- cloud
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000010276 construction Methods 0.000 title description 3
- 238000012217 deletion Methods 0.000 claims abstract description 4
- 230000037430 deletion Effects 0.000 claims abstract description 4
- 238000004891 communication Methods 0.000 claims description 8
- 239000000284 extract Substances 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 3
- 230000003993 interaction Effects 0.000 claims description 2
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Lock And Its Accessories (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于芯片构建汽车安全身份认证方法,属于汽车安全身份认证技术领域,包括以下步骤:一、车机预埋以汽车的唯一ID作为CN字段的数字证书,作为车的身份标识;二、车机的用户登录;三、钥匙生成:四、钥匙的使用、分享和删除。通过上述方式,本发明采用证书CN为车机相关唯一ID,与车辆绑定,与用户绑定,可作为用户的唯一标识;利用证书的唯一性,可衍生出数字钥匙等身份标签,并使用非对称手段,确保身份唯一可信任特性。本发明采用安全网关能有效防止只能单向认证的客户端被恶意网站钓鱼,防止客户端证书被窃取后,欺骗服务端,采用安全网关保管理密钥,可以进一步提高内网的数据安全。
Description
技术领域
本发明涉及汽车安全身份认证技术领域,具体涉及一种基于芯片构建汽车安全身份认证方法。
背景技术
随着新能源智能汽车的兴起与日益发展,座仓体验越来越智能化,车载系统中搭载的功能与应用也越来越丰富。
然而无论是基于车辆安全的考量,还是用户隐私等方面的合规要求,对用户的数据安全、权限管理要求也越来越严格。不少车载系统和客户端,采用的是单身认证的tls通信,依旧存在客户端被钓鱼,或者客户端被破解欺骗服务端等风险。
基于此,本发明设计了一种基于芯片构建汽车安全身份认证方法以解决上述问题。
发明内容
针对现有技术所存在的上述缺点,本发明提供了一种基于芯片构建汽车安全身份认证方法。
为实现以上目的,本发明通过以下技术方案予以实现:
一种基于芯片构建汽车安全身份认证方法,包括以下步骤:
一、车机预埋以汽车的唯一ID作为CN字段的数字证书,作为车的身份标识;
二、车机的用户登录,包括以下步骤:
步骤1-1,用户通过移动端在车机的用户中心扫码登录;车机的用户中心将多个参数通过调用keystore的对称密钥进行加密,并向云端的用户中心发起https请求登录认证;
步骤1-2,Gateway云端网关提取证书中的CN字段,并添加到HTTP header中,再将请求转发给云端的用户中心;
步骤1-3,云端的用户中心向安全网关请求解密;
步骤1-4,安全网关查询、获取对应密钥,安全网关查询、获取对应密钥;
步骤1-5,安全网关对加密数据进行解密得到明文;
步骤1-6,安全网关返回明文给云端的用户中心;
步骤1-7,云端的用户中心获取到明文信息后,验证用户身份,并得到相关权限信息;
步骤1-8,验证通过后,云端的用户中心将数据,请求安全网关加密;
步骤1-9,安全网关将请求加密的数据加密后,再返回给云端的用户中心;
步骤1-10,云端的用户中心返回登录成功的相关消息给车机;
步骤1-11,车机收到登录信息后,调用keystore的对称密钥,解密加密的相关用户数据;
步骤1-12,车机的用户中心显示已经登录状态,登录流程结束;
三、钥匙生成:
步骤2-1,token在钥匙创建或token需要补充时生成,移动端APP向云端的数字钥匙平台申请钥匙token;
步骤2-2,Gateway云端网关提取证书中的CN字段,并添加到HTTP header中,再将请求转发给数字钥匙平台;
步骤2-3,数字钥匙平台验证用户态;
步骤2-4,数字钥匙平台向PKI请求生成一批新的token;
步骤2-5,PKI根据CN、钥匙ID选取私钥生成序列参数;
步骤2-6,PKI生成新一批的加密token并签名;
步骤2-7,PKI返回新批次的钥匙token给数字钥匙平台;
步骤2-8,数字钥匙平台返回新批次的token给移动端APP;
步骤2-9,移动端APP将token加密保存;
四、钥匙的使用、分享和删除。
更进一步的,车机的用户登录后,车机与云端的相关交互方法为:操作相关业务功能时,除了需要token等数据,车机通过调用keystore中的对称密钥对数据进行加解密,云端的业务平台通过安全网关对数据进行解加密。
更进一步的,用户态包括身份和权限。
更进一步的,近场通信采用蓝牙或WIFI。
更进一步的,钥匙使用步骤为:
步骤3-1,用户在移动端APP进入车控界面,并点击车控指令;车控指令通过近场通信将token携带车控指令的加密报文,发送至车机;
步骤3-2,车机对token和指令进行解密和验签;
步骤3-3,验证通过则记录序列;
步骤3-4,执行车控指令。
更进一步的,移动端采用手机。
更进一步的,钥匙删除步骤为:
步骤4-1,用户通过移动端向数字钥匙平台请求删除钥匙;
步骤4-2,数字钥匙平台收到请求并在验证用户身份后,将该钥匙重置成未激活状态;
步骤4-3,数字钥匙平台向移动端APP返回删除结果。
更进一步的,证书、密钥在工厂环境下预置在车机的系统的安全存储区域中。
有益效果
本发明采用证书CN为车机相关唯一ID,与车辆绑定,与用户绑定,可作为用户的唯一标识;利用证书的唯一性,可衍生出数字钥匙等身份标签,并使用非对称手段,确保身份唯一可信任特性;
本发明采用安全网关能有效防止只能单向认证的客户端被恶意网站钓鱼,防止客户端证书被窃取后,欺骗服务端,采用安全网关保管理密钥,可以进一步提高内网的数据安全,同时用户中心和其它业务可以和密钥管理解耦,实现加解密调用透明化。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种基于芯片构建汽车安全身份认证系统框图。
图2为本发明的一种基于芯片构建汽车安全身份认证方法流程图一。
图3为本发明的一种基于芯片构建汽车安全身份认证方法流程图二。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合实施例对本发明作进一步的描述。
在一些实施例中,请参阅说明书附图1-3,一种基于芯片构建汽车安全身份认证方法,包括以下步骤:
一、车机预埋以车某唯一ID作为CN字段的数字证书,作为车的身份标识;
二、车机与云端的身份认证,包括:
2.1车机的用户登录:
证书、密钥通过 PKI/KMS在工厂环境下预置在车机的系统的安全存储区域中;
步骤1-1,用户通过移动端在车机的用户中心扫码登录;车机的用户中心将VIN车架号、车机ID、车机类型(deviceType)、UID(用户身份证明)等重要参数通过调用keystore(密钥库)的对称密钥进行加密,并向云端的用户中心发起https请求登录认证;
其中,车机的用户中心与云端的用户中心通过tls(安全传输层协议)建立通信;
步骤1-2,Gateway云端网关提取证书中的CN字段,并添加到HTTP header中,再将请求转发给云端的用户中心;
步骤1-3,云端的用户中心向安全网关请求解密;
步骤1-4,安全网关通过车机ID、车机类型(deviceType)等参数查询、获取对应密钥,安全网关查询、获取对应密钥;
步骤1-5,安全网关调用KMS对加密数据进行解密得到明文;
步骤1-6,安全网关返回明文给云端的用户中心;
步骤1-7,云端的用户中心获取到CN字段、VIN车架号、UID(用户身份证明)等明文信息后,验证用户身份,并得到相关权限信息;
步骤1-8,验证通过后,云端的用户中心将token(令牌)等数据,请求安全网关加密;
步骤1-9,安全网关将请求加密的数据加密后,再返回给云端的用户中心;
步骤1-10,云端的用户中心返回登录成功的相关消息给车机,包含加密的token等登录成功的相关消息;
步骤1-11,车机收到登录信息后,调用keystore的对称密钥,解密加密的相关用户数据;
步骤1-12,车机的用户中心显示已经登录状态,登录流程结束。
2.2车机的用户登录后,车机与云端的相关交互:
操作相关业务功能时,除了需要token等数据,车机同样通过调用keystore中的对称密钥对数据进行加解密,云端的业务平台同样需要通过安全网关对数据进行解加密,解加密流程参考上述步骤1-4~1-9;
三、车在短距离通信中的身份认证,包括:
3.1钥匙生成:
其中,证书、密钥在工厂环境下预置在车机的系统的安全存储区域中;
步骤2-1,token在钥匙创建或token需要补充时生成,移动端APP向云端的数字钥匙平台申请钥匙token;
步骤2-2,Gateway云端网关提取证书中的CN字段,并添加到HTTP header中,再将请求转发给数字钥匙平台;
步骤2-3,数字钥匙平台通过CN、UID、VIN和token等验证用户态(身份与权限);
步骤2-4,数字钥匙平台通过钥匙ID、初始序列、请求数量等参数向PKI请求生成一定数量新的token;
步骤2-5,PKI根据CN、钥匙ID选取私钥生成序列参数;
步骤2-6,PKI生成新一批的加密token并签名;
步骤2-7,PKI返回新批次的钥匙token给数字钥匙平台;
步骤2-8,数字钥匙平台返回新批次的token给移动端APP;
步骤2-9,移动端APP将token再次加密持久保存;
3.2钥匙使用:
步骤3-1,用户在移动端APP进入车控界面,并点击锁车、解锁等车控指令;车控指令通过蓝牙或WIFI等近场通信,将token携带车控指令的加密报文,发送至车机;
步骤3-2,车机调用tz/tee/hsm等芯片/硬件安全能力,对token和指令进行解密和验签;
步骤3-3,验证通过则记录序列(防重放);
步骤3-4,执行车控指令;
移动端可以采用手机等;
每条token为一次性,有唯一性,不可重放,所以需要批量下发(如每次500条),以保证无网状态也能使用蓝牙或WIFI等短距离钥匙。
3.3钥匙分享:
一台车机有若干证书,用于验证数据钥匙平台签发的token,一个证书对应一把钥匙,可实现有限的钥匙分享功能。
3.4钥匙删除:
步骤4-1,用户通过移动端向数字钥匙平台请求删除钥匙;
步骤4-2,数字钥匙平台收到请求并在验证用户身份后,将该钥匙重置成未激活状态;
步骤4-3,数字钥匙平台向移动端APP返回删除结果。
在用户删除钥匙或取消钥匙分享时,均可向数字钥匙平台请求删除钥匙。数字钥匙平台收到请求并在验证用户身份后,将该钥匙重置成未激活状态。
本发明采用证书CN为车机相关唯一ID,与车辆绑定,与用户绑定,可作为用户的唯一标识;利用证书的唯一性,可衍生出数字钥匙等身份标签,并使用非对称手段,确保身份唯一可信任特性;
本发明采用安全网关能有效防止只能单向认证的客户端被恶意网站钓鱼,防止客户端证书被窃取后,欺骗服务端,采用安全网关保管理密钥,可以进一步提高内网的数据安全,同时用户中心和其它业务可以和密钥管理解耦,实现加解密调用透明化。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种基于芯片构建汽车安全身份认证方法,其特征在于,包括以下步骤:
一、车机预埋以汽车的唯一ID作为CN字段的数字证书,作为车的身份标识;
二、车机的用户登录,包括以下步骤:
步骤1-1,用户通过移动端在车机的用户中心扫码登录;车机的用户中心将多个参数通过调用keystore的对称密钥进行加密,并向云端的用户中心发起https请求登录认证;
步骤1-2,Gateway云端网关提取证书中的CN字段,并添加到HTTP header中,再将请求转发给云端的用户中心;
步骤1-3,云端的用户中心向安全网关请求解密;
步骤1-4,安全网关查询、获取对应密钥;
步骤1-5,安全网关对加密数据进行解密得到明文;
步骤1-6,安全网关返回明文给云端的用户中心;
步骤1-7,云端的用户中心获取到明文信息后,验证用户身份,并得到相关权限信息;
步骤1-8,验证通过后,云端的用户中心将数据,请求安全网关加密;
步骤1-9,安全网关将请求加密的数据加密后,再返回给云端的用户中心;
步骤1-10,云端的用户中心返回登录成功的相关消息给车机;
步骤1-11,车机收到登录信息后,调用keystore的对称密钥,解密加密的相关用户数据;
步骤1-12,车机的用户中心显示已经登录状态,登录流程结束;
三、钥匙生成:
步骤2-1,token在钥匙创建或token需要补充时生成,移动端APP向云端的数字钥匙平台申请钥匙token;
步骤2-2,Gateway云端网关提取证书中的CN字段,并添加到HTTP header中,再将请求转发给数字钥匙平台;
步骤2-3,数字钥匙平台验证用户态;
步骤2-4,数字钥匙平台向PKI请求生成一批新的token;
步骤2-5,PKI根据CN、钥匙ID选取私钥生成序列参数;
步骤2-6,PKI生成新一批的加密token并签名;
步骤2-7,PKI返回新批次的钥匙token给数字钥匙平台;
步骤2-8,数字钥匙平台返回新批次的token给移动端APP;
步骤2-9,移动端APP将token加密保存;
四、钥匙的使用、分享和删除。
2.根据权利要求1所述的基于芯片构建汽车安全身份认证方法,其特征在于,车机的用户登录后,车机与云端的相关交互方法为:操作相关业务功能时,除了需要token,车机通过调用keystore中的对称密钥对数据进行加解密,云端的业务平台通过安全网关对数据进行解加密。
3.根据权利要求2所述的基于芯片构建汽车安全身份认证方法,其特征在于,用户态包括身份和权限。
4.根据权利要求3所述的基于芯片构建汽车安全身份认证方法,其特征在于,近场通信采用蓝牙或WIFI。
5.根据权利要求4所述的基于芯片构建汽车安全身份认证方法,其特征在于,钥匙使用步骤为:
步骤3-1,用户在移动端APP进入车控界面,并点击车控指令;车控指令通过近场通信将token携带车控指令的加密报文,发送至车机;
步骤3-2,车机对token和指令进行解密和验签;
步骤3-3,验证通过则记录序列;
步骤3-4,执行车控指令。
6.根据权利要求5所述的基于芯片构建汽车安全身份认证方法,其特征在于,移动端采用手机。
7.根据权利要求6所述的基于芯片构建汽车安全身份认证方法,其特征在于,钥匙删除步骤为:
步骤4-1,用户通过移动端向数字钥匙平台请求删除钥匙;
步骤4-2,数字钥匙平台收到请求并在验证用户身份后,将该钥匙重置成未激活状态;
步骤4-3,数字钥匙平台向移动端APP返回删除结果。
8.根据权利要求7所述的基于芯片构建汽车安全身份认证方法,其特征在于,证书、密钥在工厂环境下预置在车机的系统的安全存储区域中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311705546.2A CN117676579B (zh) | 2023-12-13 | 2023-12-13 | 一种基于芯片构建汽车安全身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311705546.2A CN117676579B (zh) | 2023-12-13 | 2023-12-13 | 一种基于芯片构建汽车安全身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117676579A CN117676579A (zh) | 2024-03-08 |
CN117676579B true CN117676579B (zh) | 2024-05-28 |
Family
ID=90078649
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311705546.2A Active CN117676579B (zh) | 2023-12-13 | 2023-12-13 | 一种基于芯片构建汽车安全身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117676579B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105005719A (zh) * | 2003-06-11 | 2015-10-28 | 安全第一公司 | 安全数据解析器方法和系统 |
CN114465719A (zh) * | 2017-01-05 | 2022-05-10 | 伽德诺克斯信息技术有限公司 | 被配置成基于面向服务的体系结构实施集中式服务ecu的专门编程的计算系统及其方法 |
CN115085927A (zh) * | 2022-04-20 | 2022-09-20 | 一汽奔腾轿车有限公司 | 一种基于数字证书的车云通信身份认证方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020144109A1 (en) * | 2001-03-29 | 2002-10-03 | International Business Machines Corporation | Method and system for facilitating public key credentials acquisition |
-
2023
- 2023-12-13 CN CN202311705546.2A patent/CN117676579B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105005719A (zh) * | 2003-06-11 | 2015-10-28 | 安全第一公司 | 安全数据解析器方法和系统 |
CN114465719A (zh) * | 2017-01-05 | 2022-05-10 | 伽德诺克斯信息技术有限公司 | 被配置成基于面向服务的体系结构实施集中式服务ecu的专门编程的计算系统及其方法 |
CN115085927A (zh) * | 2022-04-20 | 2022-09-20 | 一汽奔腾轿车有限公司 | 一种基于数字证书的车云通信身份认证方法 |
Non-Patent Citations (1)
Title |
---|
网联汽车FOTA系统信息安全研究与测试;俞峥炜;中国优秀硕士学位论文全文数据库;20230615;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN117676579A (zh) | 2024-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10243742B2 (en) | Method and system for accessing a device by a user | |
US9847882B2 (en) | Multiple factor authentication in an identity certificate service | |
CN110380852B (zh) | 双向认证方法及通信系统 | |
WO2019109727A1 (zh) | 身份验证方法及装置 | |
KR102134302B1 (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
EP2351316B1 (en) | Method and system for token-based authentication | |
US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
CN112187724B (zh) | 访问控制方法、装置、网关、客户端和安全令牌服务 | |
EP2767029B1 (en) | Secure communication | |
EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
CN110225050B (zh) | Jwt令牌的管理方法 | |
CN103248479A (zh) | 云存储安全系统、数据保护以及共享方法 | |
CN109495445A (zh) | 基于物联网的身份认证方法、装置、终端、服务器及介质 | |
CN107733636B (zh) | 认证方法以及认证系统 | |
CN102572817A (zh) | 实现移动通信保密的方法和智能存储卡 | |
JP2023544529A (ja) | 認証方法およびシステム | |
CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
CN110519304A (zh) | 基于tee的https双向认证方法 | |
CN113163375B (zh) | 一种基于NB-IoT通信模组的空中发证方法和系统 | |
CN117676579B (zh) | 一种基于芯片构建汽车安全身份认证方法 | |
JP2015111440A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
CN115835194B (zh) | 一种nb-iot物联网终端安全接入系统及接入方法 | |
US20240121083A1 (en) | Secure restoration of private key | |
CN113676468B (zh) | 一种基于消息验证技术的三方增强认证系统设计方法 | |
CN115967584B (zh) | 一种基于pki与cpk混合认证的零信任网关实现方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |