WO2018040639A1 - 虚拟钥匙的授权方法、系统、移动终端及服务器 - Google Patents

Abstract

本发明提供了一种虚拟钥匙的授权方法、系统、移动终端及服务器，方法包括：第一移动终端接收第二移动终端发送的授权请求；将授权请求发送给服务器，以在服务器认证通过后，接收来自服务器发送的回调地址和授权码；通过第一移动终端的第一应用程序将回调地址发送给第二移动终端，以便第二移动终端通过第二移动终端中的第一应用程确认后，通过回调地址反馈给第一移动终端的第一应用程序；第一应用程序将授权码发送给第二移动终端，以便第二移动终端根据授权码访问车辆。本发明减少了获取授权码的交互流程，提高了效率，同时保证了传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

Description

虚拟钥匙的授权方法、系统、移动终端及服务器

相关申请的交叉引用

本申请要求长城汽车股份有限公司于2016年08月31日提交的、发明名称为“虚拟钥匙的授权方法、系统、移动终端及服务器”的、中国专利申请号“201610792870.6”的优先权。

技术领域

本发明涉及信息安全技术领域，特别涉及一种虚拟钥匙的授权方法、系统、移动终端及服务器。

背景技术

随着电子产品技术的快速发展，对生活中的便捷和安全要求越来越高。作为在生活中必不可少的安全锁系统，例如应用在汽车、家居等领域的电子锁系统，其设计已越来越贴近用户的期望需求。而普通钥匙的借用，需要将实物(包括机械钥匙、电子钥匙、非接触磁卡等)交给借用人，造成了时间和空间上的不方便。如今智能电子钥匙的出现为广大用户提供了新的钥匙分享平台，用户之间可以通过某些通讯方式，在电子设备上将钥匙授权给他人，解决了普通钥匙分享时间和空间上的局限性。

根据用户的需求，各种智能电子钥匙被设计出来，移动设备例如手机，将手机和钥匙结合。由于手机作为便捷性移动设备的一种，在日常生活中应用广泛，以手机作为一种钥匙的使用和授权的平台已经成为一种趋势。

目前，相关技术提出了一种车辆操作权限授予系统，具备：服务器，其从第1便携型电子设备接收对作为车辆的电子钥匙来使用的第1便携型电子设备进行识别的识别信息，且对识别信息的正当性进行确认，且将动作许可信号发送至车辆，该动作许可信号对与来自于第1便携型电子设备的要求相应的车辆操作进行许可；钥匙登录部，将服务器所提供的密钥登录在第1便携型电子设备中；以及访问权授予部，其通过使用登录在第1便携型电子设备中的密钥将访问服务器的访问权授予给第2便携型电子设备，并且使第2便携型电子设备作为具有车辆操作权限的电子钥匙来动作。该方法的缺点在于，存在一个钥匙密码同时存在的安全性，如果被授权者在开车的过程中，授权者仍有权限控制汽车，会给被授权者带来危险，被授权者往往作为临时使用者，在使用钥匙的过程中安全体验并不好。

相关技术还公开了一种车辆的授权方法、系统和终端，方法包括：被授权移动终端通 过蓝牙钥匙应用程序生成借车请求信息，并将借车请求信息发送至授权移动终端；授权移动终端接收借车请求信息；授权移动终端导入借车请求信息并设置车辆的借用时间，并且将标识信息、借用时间以及车辆蓝牙钥匙的账号和密码进行加密以生成授权信息；授权移动终端将授权信息发送至被授权移动终端；被授权移动终端接收授权信息，并导入授权信息，及获取自身的标识信息，且当自身的标识信息与授权信息中的标识信息一致时，在借用时间内控制车辆。该方法的缺点在于，虽然有提示在授权中控制使用的时间，但并没有对使用次数或其他权限做出说明，更没有对授权中如何实现类似限制做出方案。

发明内容

本发明旨在提出一种虚拟钥匙的授权方法，该方法减少了获取授权码的交互流程，提高了效率，同时保证了传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

为达到上述目的，本发明的技术方案是这样实现的：

一种虚拟钥匙的授权方法，包括以下步骤：第一移动终端接收第二移动终端发送的授权请求；将所述授权请求发送给服务器，以在所述服务器认证通过后，接收来自所述服务器发送的回调地址和授权码；通过第一移动终端的第一应用程序将所述回调地址发送给所述第二移动终端，以便所述第二移动终端通过第二移动终端中的第一应用程确认后，通过所述回调地址反馈给所述第一移动终端的第一应用程序；所述第一应用程序将所述授权码发送给所述第二移动终端，以便所述第二移动终端根据所述授权码访问车辆。

进一步地，所述第一移动终端与所述服务器之间的通信，以及所述第一移动终端与所述第二移动终端之间的通信采用隧道加密。

进一步地，所述第一应用程序为APP、SMS或者IE。

进一步地，所述第一移动终端将所述授权请求发送给服务器时，还用于将第一移动终端身份信息发送给所述服务器，以便所述服务器对所述第一移动终端进行认证。

相对于现有技术，本发明所述的虚拟钥匙的授权方法具有以下优势：

本发明的虚拟钥匙的授权方法，第一移动终端接收第二移动终端的授权请求，并发送给服务器，并在服务器人证通过后，接收回调地址和授权码，并将回调地址发送给第二移动终端，以便第二移动终端在确认后，通过回调地址反馈给第一移动终端，然后第一移动终端将授权码发送给第二移动终端，完成授权过程。因此，该方法减少了获取授权码的交互流程，提高了效率，同时在传输过程中采用隧道加密技术(TLS)保证传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

本发明的第二个目的在于提出一种虚拟钥匙的授权系统，该系统减少了获取授权码的 交互流程，提高了效率，同时保证了传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

为达到上述目的，本发明的技术方案是这样实现的：

一种虚拟钥匙的授权系统，包括：第一移动终端、第二移动终端和服务器，其中，所述第一移动终端接收第二移动终端发送的授权请求，并将所述授权请求发送给服务器，以在所述服务器认证通过后，接收来自所述服务器发送的回调地址和授权码，以及通过所述第一移动终端中的第一应用程序将所述回调地址发送给所述第二移动终端，以便所述第二移动终端通过第二移动终端中的第一应用程序确认后，通过所述回调地址反馈给所述第一移动终端的第一应用程序，所述第一应用程序将所述授权码发送给所述第二移动终端，以便所述第二移动终端根据所述授权码访问车辆。

进一步地，所述第一移动终端与所述服务器之间的通信，以及所述第一移动终端与所述第二移动终端之间的通信采用隧道加密。

进一步地，所述第一应用程序为APP、SMS或者IE。

进一步地，所述第一移动终端将所述授权请求发送给服务器时，还用于将第一移动终端身份信息发送给所述服务器，以便所述服务器对所述第一移动终端进行认证。

所述的虚拟钥匙的授权系统与上述的虚拟钥匙的授权方法相对于现有技术所具有的优势相同，在此不再赘述。

本发明的第三个目的在于提出一种移动终端，该移动终端减少了获取授权码的交互流程，提高了效率，同时保证了传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

为达到上述目的，本发明的技术方案是这样实现的：

一种移动终端，所述移动终端为本发明上述实施例所述的虚拟钥匙的授权系统中的第一移动终端。

所述的移动终端与上述的虚拟钥匙的授权系统相对于现有技术所具有的优势相同，在此不再赘述。

本发明的第四个目的在于提出一种移动终端，该移动终端减少了获取授权码的交互流程，提高了效率，同时保证了传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

为达到上述目的，本发明的技术方案是这样实现的：

一种移动终端，所述移动终端为本发明上述实施例所述的虚拟钥匙的授权系统中的第二移动终端。

所述的移动终端与上述的虚拟钥匙的授权系统相对于现有技术所具有的优势相同，在 此不再赘述。

本发明的第五个目的在于提出一种服务器，该服务器减少了获取授权码的交互流程，提高了效率，同时保证了传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

为达到上述目的，本发明的技术方案是这样实现的：

一种服务器，所述服务器为本发明上述实施例所述的虚拟钥匙的授权系统中的服务器。

所述的服务器与上述的虚拟钥匙的授权系统相对于现有技术所具有的优势相同，在此不再赘述。

本发明的第六个目的在于提出一种设备，该设备减少了获取授权码的交互流程，提高了效率，同时保证了传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

为达到上述目的，本发明的技术方案是这样实现的：

一种设备，包括：一个或者多个处理器；存储器；一个或者多个程序，所述一个或者多个程序存储在所述存储器中，当被所述一个或者多个处理器执行时，执行本发明上述实施例的虚拟钥匙的授权方法。

所述的设备与上述的虚拟钥匙的授权方法相对于现有技术所具有的优势相同，在此不再赘述。

本发明的第七个目的在于提出一种非易失性计算机存储介质，该非易失性计算机存储介质减少了获取授权码的交互流程，提高了效率，同时保证了传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

为达到上述目的，本发明的技术方案是这样实现的：

一种非易失性计算机存储介质，所述计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被一个设备执行时，使得所述设备执行本发明上述实施例所述的虚拟钥匙的授权方法。

所述的非易失性计算机存储介质与上述的虚拟钥匙的授权方法相对于现有技术所具有的优势相同，在此不再赘述。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例的虚拟钥匙的授权方法的流程图；

图2为本发明一个实施例的虚拟钥匙的授权方法的原理框图；

图3为本发明一个实施例的虚拟钥匙分享授权示意图；

图4为本发明一个实施例的钥匙分享授权过程中各模块关系示意图；

图5为本发明一个实施例的虚拟钥匙的授权方法的授权机制示意图；以及

图6为本发明实施例的虚拟钥匙的授权系统的结构框图。

附图标记说明：

100-虚拟钥匙的授权系统、110-第一移动终端、120-第二移动终端、130-服务器。

具体实施方式

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面将参考附图并结合实施例来详细说明本发明。

图1是根据本发明一个实施例的虚拟钥匙的授权方法的流程图。图2是根据本发明一个实施例的虚拟钥匙的授权方法的原理框图。

如图1所示，并结合图2，本发明实施例的虚拟钥匙的授权方法包括以下步骤：

步骤S1：第一移动终端接收第二移动终端发送的授权请求。具体地，第一移动终端即为图2中所示的智能手机1，第二移动终端即为图2中所示的智能手机2，服务器即为图2中的云端服务器。

步骤S2：将授权请求发送给服务器，以在服务器认证通过后，接收来自服务器发送的回调地址和授权码。

进一步地，在本发明的一个实施例中，第一移动终端将授权请求发送给服务器时，还用于将第一移动终端身份信息发送给服务器，以便服务器对第一移动终端进行认证。

步骤S3：通过第一移动终端的第一应用程序将回调地址发送给第二移动终端，以便第二移动终端通过第二移动终端中的第一应用程确认后，通过回调地址反馈给第一移动终端的第一应用程序。

其中，第一应用程序例如为APP、SMS或者IE。

步骤S4：第一应用程序将授权码发送给第二移动终端，以便第二移动终端根据授权码访问车辆。

在本发明的一个实施例中，例如，第一移动终端与服务器之间的通信，以及第一移动终端与第二移动终端之间的通信采用隧道加密。

为了便于更好地理解本发明，以下结合附图，以具体示例对本发明实施例的方法进行更为详细具体地说明。

结合图2所示，本发明实施例的方法的原理主要概述为：租用者(智能手机2的所有 者)向车主(智能手机1的所有者)发送授权请求，在接收到车主的授权凭证后，租车者将车主的智能手机1传输的授权凭证传输到云端服务器，从服务器接收到钥匙访问验证码，将该验证码保存到被授权者(租车者)的智能手机2，被授权者携带保存到被授权智能手机2上的受保护资源，与PEPS集成蓝牙模块汽车进行匹配，完成钥匙的认证通讯过程，具体的授权过程例如图3所示，具体如下：

租用者向车主发起授权请求，从车主的移动设备1(即智能手机1或第一移动终端)获取授权凭证。这个授权凭证是用来表示车主同意对该租车者进行授权。租车者获得车主的授权凭证后，再将授权凭证及租车者移动设备凭证发送到云端服务器，进行请求授权码获得最终访问凭证。云端服务器对租用者移动设备2(即智能手机2或第二移动终端)进行认证，并验证授权凭证的有效性，如果通过验证后，云端服务器将返回访问凭证授权码给移动设备2。租车者使用访问凭证授权码代表车主向汽车PEPS进行数据请求。PEPS验证通过授权码后将受保护的资源返回给租用者移动设备2，图4列出了钥匙授权过程中各相关模块之间的关系，具体如下：

(1)租用者移动设备2通过中间系统需向车主移动设备1请求访问授权码。

(2)车主移动设备1根据用户授权及对租用者信息认证通过后，向租用者移动设备2返回访问授权码。

(3)租用者移动设备2使用访问授权码调用开放平台数据接口访问受保护的用户资源，访问被云端服务器捕捉。

(4)云端服务器获取访问授权码，向车主请求授权码的相关用户类型、权限信息。

(5)车主移动设备1返回认证信息。

(6)云端服务器对请求中授权码所包含的权限信息与资源核准需要的权限信息进行校验。

(7)对于通过权限充分的请求通过云端服务器向汽车PEPS进行进一步的数据请求。

(8)汽车PEPS返回受保护的资源数据。

基于上述提到的授权流程及各模块之间的关系，本发明的实施例采用了隐式的授权机制模式，即租车者通过移动设备2向车主移动设备1发送请求授权，车主通过设备上的APP、IE等应用进行账号密码的输入并对租用者的请求选择授权后，云端服务器并不是返回临时令牌给第三方应用，而是直接将授权码以URI片段的形式返回给移动设备2客户端，详细的授权机制例如图5所示，具体如下：

1)租车者的移动设备2通过自定义的APP等引导至云端服务器的授权数据交换节点开启授权流程。移动设备2自定义APP向云端服务器请求时，会带上客户端id、客户端设备id、请求权限范围、状态码以及用于云端服务器进行回调的回调地址。

2)车主移动设备1在云端服务端输入用户凭证后，云端服务器对车主身份进行认证，然后由车主决定是否对移动设备2客户端的请求进行授权。

3)假设车主通过了授权，云端服务器根据车主的授权模式启动相应的处理流程，之后以URI片段的形式将授权码附在利用步骤1传入的回调地址后面。

4)车主的自定义APP需保留授权码在本地，同时向租用者自定义APP发送回调地址的存储资源的请求。

5)租用者自定义APP解析带有能够获取步骤3中返回的有授权码信息的完整回调地址的脚本。

6)车主自定义APP在本地运行脚本获取到授权码，将获取的授权码返回移动设备2。

综上，根据本发明实施例的虚拟钥匙的授权方法，第一移动终端接收第二移动终端的授权请求，并发送给服务器，并在服务器人证通过后，接收回调地址和授权码，并将回调地址发送给第二移动终端，以便第二移动终端在确认后，通过回调地址反馈给第一移动终端，然后第一移动终端将授权码发送给第二移动终端，完成授权过程。因此，该方法减少了获取授权码的交互流程，提高了效率，同时在传输过程中采用隧道加密技术(TLS)保证传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

进一步地，如图6所示，本发明的实施例公开了一种虚拟钥匙的授权系统100，包括：第一移动终端110、第二移动终端120和服务器130。

第一移动终端110接收第二移动终端120发送的授权请求，并将授权请求发送给服务器130，以在服务器130认证通过后，接收来自服务器130发送的回调地址和授权码，以及通过第一移动终端110中的第一应用程序将回调地址发送给第二移动终端120，以便第二移动终端120通过第二移动终端120中的第一应用程序确认后，通过回调地址反馈给第一移动终端110的第一应用程序，第一应用程序将授权码发送给第二移动终端120，以便第二移动终端120根据授权码访问车辆。其中，第一应用程序例如为APP、SMS或者IE。

在本发明的一个实施例中，第一移动终端110与服务器130之间的通信，以及第一移动终端110与第二移动终端120之间的通信采用隧道加密。

在本发明的一个实施例中，第一移动终端110将授权请求发送给服务器130时，还用于将第一移动终端110身份信息发送给服务器130，以便服务器130对第一移动终端110进行认证。

综上，根据本发明实施例的虚拟钥匙的授权系统，第一移动终端接收第二移动终端的授权请求，并发送给服务器，并在服务器人证通过后，接收回调地址和授权码，并将回调地址发送给第二移动终端，以便第二移动终端在确认后，通过回调地址反馈给第一移动终端，然后第一移动终端将授权码发送给第二移动终端，完成授权过程。因此，该系统减减 少了获取授权码的交互流程，提高了效率，同时在传输过程中采用隧道加密技术(TLS)保证传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

需要说明的是，本发明实施例的虚拟钥匙的授权系统的具体实现方式与本发明实施例的虚拟钥匙的授权方法的具体实现方式类似，具体请参见方法部分的描述，为了减少冗余，此处不做赘述。

进一步地，本发明的实施例公开了一种移动终端，该移动终端例如为本发明上述实施例所描述的虚拟钥匙的授权系统中的第一移动终端。因此，关于该移动终端的具体详细描述参见本发明上述对第一移动终端部分的描述。

因此，根据本发明实施例的移动终端，减少了获取授权码的交互流程，提高了效率，同时保证了传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

进一步地，本发明的实施例公开了一种移动终端，该移动终端例如为本发明上述实施例所描述的虚拟钥匙的授权系统中的第二移动终端。因此，关于该移动终端的具体详细描述参见本发明上述对第二移动终端部分的描述。

因此，根据本发明实施例的移动终端，减少了获取授权码的交互流程，提高了效率，同时保证了传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

进一步地，本发明的实施例公开了一种服务器，该服务器例如为本发明上述实施例所描述的虚拟钥匙的授权系统中的服务器。因此，关于该服务器的具体详细描述参见本发明上述对服务器部分的描述。

因此，根据本发明实施例的服务器，减少了获取授权码的交互流程，提高了效率，同时保证了传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

进一步地，本发明的实施例公开了一种设备，该设备包括：一个或者多个处理器；存储器；一个或者多个程序，一个或者多个程序存储在存储器中，当被一个或者多个处理器执行时，执行本发明上述实施例所描述的虚拟钥匙的授权方法。该设备减少了获取授权码的交互流程，提高了效率，同时在传输过程中采用隧道加密技术(TLS)保证传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

进一步地，本发明的实施例公开了一种非易失性计算机存储介质，该计算机存储介质存储有一个或者多个程序，当一个或者多个程序被一个设备执行时，使得设备执行本发明上述实施例所描述的虚拟钥匙的授权方法。该非易失性计算机存储介质减少了获取授权码 的交互流程，提高了效率，同时在传输过程中采用隧道加密技术(TLS)保证传输过程的安全性，能够给钥匙授权的双方提供了更好的操作体验、便利性和安全保障。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (13)

1. 一种虚拟钥匙的授权方法，其特征在于，包括以下步骤：

   第一移动终端接收第二移动终端发送的授权请求；

   将所述授权请求发送给服务器，以在所述服务器认证通过后，接收来自所述服务器发送的回调地址和授权码；

   通过第一移动终端的第一应用程序将所述回调地址发送给所述第二移动终端，以便所述第二移动终端通过第二移动终端中的第一应用程确认后，通过所述回调地址反馈给所述第一移动终端的第一应用程序；

   所述第一应用程序将所述授权码发送给所述第二移动终端，以便所述第二移动终端根据所述授权码访问车辆。
2. 根据权利要求1所述的虚拟钥匙的授权方法，其特征在于，所述第一移动终端与所述服务器之间的通信，以及所述第一移动终端与所述第二移动终端之间的通信采用隧道加密。
3. 根据权利要求1所述的虚拟钥匙的授权方法，其特征在于，所述第一应用程序为APP、SMS或者IE。
4. 根据权利要求1所述的虚拟钥匙的授权方法，其特征在于，所述第一移动终端将所述授权请求发送给服务器时，还用于将第一移动终端身份信息发送给所述服务器，以便所述服务器对所述第一移动终端进行认证。
5. 一种虚拟钥匙的授权系统，其特征在于，包括：第一移动终端、第二移动终端和服务器，其中，

   所述第一移动终端接收第二移动终端发送的授权请求，并将所述授权请求发送给服务器，以在所述服务器认证通过后，接收来自所述服务器发送的回调地址和授权码，以及通过所述第一移动终端中的第一应用程序将所述回调地址发送给所述第二移动终端，以便所述第二移动终端通过第二移动终端中的第一应用程序确认后，通过所述回调地址反馈给所述第一移动终端的第一应用程序，所述第一应用程序将所述授权码发送给所述第二移动终端，以便所述第二移动终端根据所述授权码访问车辆。
6. 根据权利要求5所述的虚拟钥匙的授权系统，其特征在于，所述第一移动终端与所述服务器之间的通信，以及所述第一移动终端与所述第二移动终端之间的通信采用隧道加密。
7. 根据权利要求5所述的虚拟钥匙的授权系统，其特征在于，所述第一应用程序为APP、SMS或者IE。
8. 根据权利要求5所述的虚拟钥匙的授权系统，其特征在于，所述第一移动终端将所述授权请求发送给服务器时，还用于将第一移动终端身份信息发送给所述服务器，以便所述服务器对所述第一移动终端进行认证。
9. 一种移动终端，其特征在于，所述移动终端为根据权利要求5-8任一项所述的虚拟钥匙的授权系统中第一移动终端。
10. 一种移动终端，其特征在于，所述移动终端为根据权利要求5-8任一项所述的虚拟钥匙的授权系统中第二移动终端。
11. 一种服务器，其特征在于，所述服务器为根据权利要求5-8任一项所述的虚拟钥匙的授权系统中服务器。
12. 一种设备，其特征在于，包括：

    一个或者多个处理器；

    存储器；

    一个或者多个程序，所述一个或者多个程序存储在所述存储器中，当被所述一个或者多个处理器执行时，执行如权利要求1-4任一项所述的虚拟钥匙的授权方法。
13. 一种非易失性计算机存储介质，其特征在于，所述计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被一个设备执行时，使得所述设备执行如权利要求1-4任一项所述的虚拟钥匙的授权方法。

Images