数字钥匙的身份认证方法、终端设备及介质转让专利
申请号 : CN201910324313.5
文献号 : CN111835689B
文献日 : 2021-06-15
发明人 : 王思善
申请人 : 华为技术有限公司
摘要 :
权利要求 :
1.一种数字钥匙的身份认证方法,其特征在于,包括:第一终端向第二终端发送业务指令;
所述第一终端接收所述第二终端发送的业务响应消息;
所述第一终端采用第一密钥对所述业务响应消息验证通过后,得到用户身份认证信息,其中,所述第一密钥为所述第二终端与所述第一终端预先约定的密钥;所述用户身份认证信息存储于第二终端的安全单元中,所述用户身份认证信息包括用户身份认证结果,所述用户身份认证结果由所述第二终端的身份认证系统在所述第二终端进入预设运行状态之前生成,所述预设运行状态是指所述第二终端的身份认证系统无法生成身份认证结果的状态;
所述第一终端验证所述用户身份认证信息。
2.根据权利要求1所述的方法,其特征在于,所述第一终端验证所述用户身份认证信息的步骤,包括:
如果所述用户身份认证结果与预设的认证结果匹配,则所述第一终端对所述业务指令对应的业务操作授权。
3.根据权利要求1所述的方法,其特征在于,所述第一终端验证所述用户身份认证信息的步骤,包括:
如果所述用户身份认证结果与预设的认证结果匹配,并且在所述第二终端处于所述预设运行状态时对业务操作授权的累计次数处于预设的次数阈值之内,则所述第一终端对所述业务指令对应的业务操作授权;或者,如果所述用户身份认证结果与预设的认证结果匹配,并且在所述第二终端处于所述预设运行状态时对业务操作授权的频度处于预设的频度阈值之内,则所述第一终端对所述业务指令对应的业务操作授权。
4.根据权利要求1所述的方法,其特征在于,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用于指示所述身份认证结果生成的时间;
所述第一终端验证所述用户身份认证信息的步骤,包括:如果所述用户身份认证结果与预设的认证结果匹配,并且当前时间距离所述第一时间戳的间隔时长处于预设的时长阈值之内,则所述第一终端对所述业务指令对应的业务操作授权。
5.根据权利要求4所述的方法,其特征在于,还包括:如果所述第二终端在所述第一时间戳指示的时间之后从所述预设运行状态切换至非预设运行状态,则所述第一终端冻结所述数字钥匙,或者指示所述第二终端冻结所述数字钥匙,或者指示用户重新进行身份认证。
6.根据权利要求1所述的方法,其特征在于,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用于指示所述身份认证结果生成的时间;
所述第一终端验证所述用户身份认证信息的步骤,包括:如果所述用户身份认证结果与预设的认证结果匹配,并且,所述第二终端在所述第一时间戳指示的时间之后没有从所述预设运行状态切换至非预设运行状态,则所述第一终端对所述业务指令对应的业务操作授权。
7.根据权利要求1所述的方法,其特征在于,所述业务指令包含第一指令和第二指令,所述业务操作包括与所述第一指令对应的第一操作,以及与所述第二指令对应的第二操作,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用于指示所述身份认证结果生成的时间;
所述第一终端验证所述用户身份认证信息的步骤,包括:如果所述用户身份认证结果与预设的认证结果匹配,则所述第一终端对所述第一指令对应的第一操作授权;
在对所述第一操作授权之后,如果在所述第二终端处于所述预设运行状态时对业务操作授权的累计次数处于预设的次数阈值之内,或者,在所述第二终端处于所述预设运行状态时对业务操作授权的频度处于预设的频度阈值之内,或者,当前时间距离所述第一时间戳的间隔时长处于预设时长阈值之内,或者,所述第二终端在所述第一时间戳指示的时间之后没有从所述预设运行状态切换至非预设运行状态,则所述第一终端对所述第二指令对应的第二操作授权。
8.根据权利要求1所述的方法,其特征在于,所述业务指令包含第一指令和第二指令,所述业务操作包括与所述第一指令对应的第一操作,以及与所述第二指令对应的第二操作,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用于指示所述身份认证结果生成的时间;
所述第一终端验证所述用户身份认证信息的步骤,包括:如果所述用户身份认证结果与预设的认证结果匹配,则所述第一终端对所述第一指令对应的第一操作授权;
如果当前时间距离所述第一时间戳的间隔时长处于预设的时长阈值之外,则所述第一终端判断所述第二终端在所述第一时间戳指示的时间之后是否从所述预设运行状态切换至非预设运行状态;
如果没有切换至所述非预设运行状态,则所述第一终端对所述第二指令对应的第二操作授权。
9.根据权利要求1所述的方法,其特征在于,所述业务指令包含第一指令和第二指令,所述业务操作包括与所述第一指令对应的第一操作,以及与所述第二指令对应的第二操作,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用于指示所述身份认证结果生成的时间;
所述第一终端验证所述用户身份认证信息的步骤,包括:如果所述用户身份认证结果与预设的认证结果匹配,并且当前时间距离所述第一时间戳的间隔时长处于预设的时长阈值之内,则所述第一终端对所述第一指令对应的第一操作授权;
在对所述第一操作授权之后,如果所述第二终端在所述第一时间戳指示的时间之后没有从所述预设运行状态切换至非预设运行状态,则所述第一终端对所述第二指令对应的第二操作授权。
10.根据权利要求6‑9任一项所述的方法,其特征在于,所述第一终端验证所述用户身份认证信息的步骤,还包括:
如果所述第二终端在所述第一时间戳指示的时间之后从所述预设运行状态切换至所述非预设运行状态,则所述第一终端冻结所述数字钥匙,或者,指示所述第二终端冻结所述数字钥匙,或者,指示用户重新进行身份认证。
11.根据权利要求10所述的方法,其特征在于,确定所述第二终端在所述第一时间戳指示的时间之后是否从所述预设运行状态切换至所述非预设运行状态,包括:接收服务器发送的第二时间戳,所述第二时间戳用于指示所述第二终端从所述预设运行状态切换至所述非预设运行状态的时间中,距离所述第二终端发送所述业务响应消息的时间最近的时间;
如果所述第二时间戳早于所述第一时间戳,则所述第一终端确定所述第二终端在所述第一时间戳指示的时间之后没有从所述预设运行状态切换至所述非预设运行状态;
如果所述第二时间戳晚于所述第一时间戳,则所述第一终端确定所述第二终端在所述第一时间戳指示的时间之后从所述预设运行状态切换至所述非预设运行状态。
12.根据权利要求10所述的方法,其特征在于,确定所述第二终端在所述第一时间戳指示的时间之后是否从所述预设运行状态切换至非预设运行状态,包括:所述第一终端向服务器发送所述第一时间戳;
所述第一终端获取所述服务器发送的联机验证结果,所述联机验证结果由所述服务器根据所述第二终端在所述第一时间戳指示的时间之后是否从所述预设运行状态切换至所述非预设运行状态而确定;
如果所述联机验证结果为成功,则所述第一终端确定所述第二终端在所述第一时间戳指示的时间之后没有从所述预设运行状态切换至所述非预设运行状态;
如果所述联机验证结果为失败,则所述第一终端确定所述第二终端在所述第一时间戳指示的时间之后从所述预设运行状态切换至所述非预设运行状态。
13.根据权利要求1所述的方法,其特征在于,所述业务指令包含第一指令和第二指令,所述业务操作包括与所述第一指令对应的第一操作,以及与所述第二指令对应的第二操作;
所述第一终端验证所述用户身份认证信息的步骤,包括:如果所述用户身份认证结果与预设的认证结果不匹配,则所述第一终端对所述第一指令对应的第一操作授权;
如果所述用户身份认证结果与预设的认证结果不匹配,则所述第一终端拒绝对所述第二指令对应的第二操作授权;
所述方法还包括:
第一终端向第二终端发送新的业务指令,所述新的业务指令包括第二指令。
14.根据权利要求1所述的方法,其特征在于,所述业务响应消息中还包括第二验证数据,所述第二验证数据由所述用户身份认证信息经过第二密钥处理生成;
所述第一终端验证所述用户身份认证信息的步骤,包括:如果利用第二密钥和所述第二验证数据,验证所述用户身份认证信息为有效,并且,所述用户身份认证信息符合预设的安全策略,则所述第一终端对所述业务指令对应的业务操作授权;其中,所述第二密钥为所述第二终端与所述第一终端预先约定的密钥,所述第二密钥与所述第一密钥不相同。
15.一种数字钥匙的身份认证方法,其特征在于,包括:第二终端接收来自第一终端的业务指令;
所述第二终端在预设运行状态下,响应于所述业务指令,将采用第一密钥处理过的业务响应消息发送给所述第一终端;其中,所述业务响应消息中包括用户身份认证信息,所述用户身份认证信息存储于第二终端的安全单元中,所述用户身份认证信息包括用户身份认证结果,所述用户身份认证结果由所述第二终端的身份认证系统在所述第二终端进入所述预设运行状态之前生成,所述预设运行状态是指所述第二终端的身份认证系统无法生成身份认证结果的状态,所述第一密钥为所述第二终端与所述第一终端预先约定的密钥。
16.根据权利要求15所述的方法,其特征在于,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用于指示所述用户身份认证结果生成的时间。
17.根据权利要求15或16所述的方法,其特征在于,所述业务响应消息中还包括第二验证数据,所述第二验证数据由所述用户身份认证信息经过第二密钥处理生成,所述第二密钥为所述第二终端与所述第一终端预先约定的密钥,所述第二密钥与所述第一密钥不相同。
18.根据权利要求17所述的方法,其特征在于,在所述第二终端接收来自所述第一终端的业务指令的步骤之前,还包括:
所述第二终端在进入所述预设运行状态之前,如果存在配置有强制身份认证的数字钥匙,则生成用户身份认证结果;其中,配置有强制身份认证的数字钥匙要求所述第二终端在进入所述预设运行状态之前进行用户身份认证;
所述第二终端将用户身份认证信息存储到所述第二终端的安全单元中,所述用户身份认证信息包括所述用户身份认证结果。
19.一种终端设备,其特征在于,包括:第一收发器,用于向第二终端发送业务指令;以及,接收所述第二终端发送的业务响应消息;
处理器,用于采用第一密钥对所述业务响应消息验证通过后,得到用户身份认证信息;
以及,验证所述用户身份认证信息;其中,所述第一密钥为所述第二终端与所述终端设备预先约定的密钥;所述用户身份认证信息存储于第二终端的安全单元中,所述用户身份认证信息包括用户身份认证结果,所述用户身份认证结果由所述第二终端的身份认证系统在所述第二终端进入预设运行状态之前生成,所述预设运行状态是指所述第二终端的身份认证系统无法生成身份认证结果的状态。
20.根据权利要求19所述的终端设备,其特征在于,所述处理器还用于在所述用户身份认证结果与预设的认证结果匹配的情况下,对所述业务指令对应的业务操作授权;或者,所述处理器还用于在所述用户身份认证结果与预设的认证结果匹配,并且在所述第二终端处于所述预设运行状态时对业务操作授权的累计次数处于预设的次数阈值之内的情况下,对所述业务指令对应的业务操作授权;或者,所述处理器还用于在所述用户身份认证结果与预设的认证结果匹配,并且在所述第二终端处于所述预设运行状态时对业务操作授权的频度处于预设的频度阈值之内的情况下,对所述业务指令对应的业务操作授权;或者,所述处理器还用于在所述用户身份认证结果与预设的认证结果匹配,并且当前时间距离第一时间戳的间隔时长处于预设的时长阈值之内的情况下,对所述业务指令对应的业务操作授权;所述第一时间戳用于指示所述用户身份认证结果生成的时间,或者,所述处理器还用于在所述用户身份认证结果与预设的认证结果匹配,并且,所述第二终端在所述第一时间戳指示的时间之后没有从所述预设运行状态切换至非预设运行状态的情况下,则对所述业务指令对应的业务操作授权。
21.一种终端设备,其特征在于,包括:第二收发器,用于接收来自第一终端的业务指令;以及,在预设运行状态下,响应于所述业务指令,将采用第一密钥处理过的业务响应消息发送给所述第一终端;其中,所述业务响应消息中包括用户身份认证信息,所述用户身份认证信息包括用户身份认证结果,所述第一密钥为所述终端设备与所述第一终端预先约定的密钥;
安全单元,用于存储所述用户身份认证信息以及所述第一密钥;
用户身份认证系统,用于在所述终端设备进入所述预设运行状态之前生成用户身份认证结果,其中,所述预设运行状态是指所述终端设备的身份认证系统无法生成身份认证结果的状态。
22.根据权利要求21所述的终端设备,其特征在于,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用于指示所述用户身份认证结果生成的时间。
23.一种计算机可读存储介质,其特征在于,包括指令,当所述指令在计算机上运行时,使得所述计算机执行权利要求1至14中任一项所述的方法。
24.一种计算机可读存储介质,其特征在于,包括指令,当所述指令在计算机上运行时,使得所述计算机执行权利要求15至18中任一项所述的方法。
说明书 :
数字钥匙的身份认证方法、终端设备及介质
技术领域
背景技术
可以通过终端设备来进行开锁、锁止以及启动车辆等业务操作。
证单元810中保存有认证密钥。在手机中存在安全单元(Secure Element,SE)910和通信单
元920。安全单元910是具备防物理攻击、防篡改能力的硬件单元。安全单元910具备独立的
处理器,能够为在其中运行的数字钥匙小程序(Digital Key Applet,DK Applet)911提供
安全的运行环境,并且能够保证存储在其中的资产(例如认证密钥)的安全性和机密性。在
开锁时,手机中的数字钥匙小程序911响应于汽车发送的业务指令,并通过通信单元920发
送包括密文的业务响应消息给汽车中的通信单元820,其中,业务响应消息中的密文使用认
证密钥生成。汽车中的通信单元820接收到包含密文的业务响应消息之后,由认证单元810
利用认证密钥对密文进行验证。电子控制单元830根据验证结果来判断是否授权开锁。通过
这样的方式,就可以实现利用数字钥匙进行开锁的操作。
也可以单独利用NFC模块和安全单元来完成与汽车的信息交互。也就是说,即便在终端设备
处于关机的情况下,也可以用终端设备来完成开锁、锁止、启动车辆等业务操作。
可以设置使用数字钥匙始终需要进行身份认证,防止数字钥匙被冒用。此时,在用户使用数
字钥匙执行开锁、启动车辆等业务操作时,用户在终端设备上进行一次身份认证才能够使
用该数字钥匙。又例如,车辆在开锁、启动之前,也可以主动发起请求,要求用户在终端设备
上进行一次身份认证。但是,终端设备中的身份认证系统都在一个可信执行环境(Trusted
Execution Environment,TEE)中执行。运行在终端设备上的应用,只能通过系统服务接口
发起身份认证并获得身份认证结果。也就是说,身份认证系统必须在终端设备的主芯片处
于工作状态下才能运行。
时不进行身份认证。这就使得攻击者能够在获取合法用户的终端设备后,通过关机来强行
绕过合法用户设置的身份认证限制,即数字钥匙存在安全漏洞。
发明内容
认证信息存储于第二终端的安全单元中,所述用户身份认证信息包括用户身份认证结果,
所述用户身份认证结果由所述第二终端的身份认证系统在所述第二终端进入预设运行状
态之前生成,所述预设运行状态是指所述第二终端的身份认证系统无法生成身份认证结果
的状态;
状态之前保存在第二终端的安全单元中的用户身份认证信息,来对用户的身份进行验证。
因此,采用本实现方式,即便第二终端处于关机或者低电量模式下,也可以验证使用第二终
端中的数字钥匙的用户是否为第二终端的合法用户,从而提高了数字钥匙使用的安全性。
设的认证结果来验证,从而决定是否对业务操作授权,进而提高了数字钥匙使用的安全性,
也降低了第一终端被非法用户使用的风险。
对所述业务指令对应的业务操作授权;或者,
述业务指令对应的业务操作授权。
匙使用的安全性。其中,通过对在预设运行状态下使用数字钥匙的情况进行一定的限制,可
以减少恶意使用处于预设运行状态下的、缺少实时保护的第二终端上的数字钥匙的风险。
操作授权。
态下使用数字钥匙的时间点与第一时间戳的间隔时长进行一定的限制,可以减少处于预设
运行状态下的、缺少实时保护的第二终端上的数字钥匙的使用风险。
数字钥匙,或者指示用户重新进行身份认证。
认证信息,从而确定本次业务中第二终端是否存在异常行为。如果存在异常行为,则可以采
取一定的保护措施,例如冻结数字要是,或者指示用户重新进行身份认证。因此,通过在前
述单次或者双重验证的基础上,增加该验证可以进一步降低数字钥匙的使用风险。
终端对所述业务指令对应的业务操作授权。
指示的时间之后是否从预设运行状态切换至非预设运行状态,可以判断本次提供的身份认
证信息是否是最新的用户身份认证信息,从而确定本次业务中第二终端是否存在异常行
为。因此,通过增加该验证可以进一步降低数字钥匙的使用风险。
对应的第二操作,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用于指示所
述身份认证结果生成的时间;
行状态时对业务操作授权的频度处于预设的频度阈值之内,或者,当前时间距离所述第一
时间戳的间隔时长处于预设时长阈值之内,或者,所述第二终端在所述第一时间戳指示的
时间之后没有从所述预设运行状态切换至非预设运行状态,则所述第一终端对所述第二指
令对应的第二操作授权。
间戳,采用不同的验证条件来对不同的业务指令做验证,从而进一步提高数字钥匙使用的
安全性。
对应的第二操作,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用于指示所
述身份认证结果生成的时间;
切换至非预设运行状态;
提高数字钥匙使用的安全性。
对应的第二操作,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用于指示所
述身份认证结果生成的时间;
操作授权;
的第二操作授权。
提高数字钥匙使用的安全性。
所述数字钥匙,或者,指示用户重新进行身份认证。
认证信息,从而确定本次业务中第二终端是否存在异常行为。如果存在异常行为,则可以采
取一定的保护措施,例如冻结数字要是,或者指示用户重新进行身份认证。因此,通过在前
述验证的基础上,增加该验证可以进一步降低数字钥匙的使用风险。
态切换至所述非预设运行状态,包括:
息的时间最近的时间;
状态切换至非预设运行状态,包括:
至所述非预设运行状态而确定;
令对应的第二操作;
高用户体验,都可以对一部分风险相对较低的业务操作授权,对另一部分风险相对较高的
业务操作拒绝授权。然后再发起新的业务指令,针对是否对尚未获得授权的业务操作进行
授权进行验证。
业务操作授权;其中,所述第二密钥为所述第二终端与所述第一终端预先约定的密钥,所述
第二密钥与所述第一密钥不相同。
用户身份认证信息在传输过程中没有被篡改,即确保用户身份认证信息的完整性;另一方
面,可以保证用户身份认证信息的发送来源合法,即确保第二终端上的密钥的合法持有者。
所述用户身份认证信息存储于第二终端的安全单元中,所述用户身份认证信息包括用户身
份认证结果,所述用户身份认证结果由所述第二终端的身份认证系统在所述第二终端进入
所述预设运行状态之前生成,所述预设运行状态是指所述第二终端的身份认证系统无法生
成身份认证结果的状态,所述第一密钥为所述第二终端与所述第一终端预先约定的密钥。
行状态(例如关机或者低电量模式)时,用户使用第二终端中的数字钥匙,第二终端就可以
将安全单元中的用户身份认证信息发送给第一终端,使第一终端可以利用这些信息来进行
验证。因此,采用本实现方式可以确保是第二终端的合法用户在使用第二终端中的数字钥
匙,提高了在第二终端处于预设运行状态下使用数字钥匙的安全性。
行验证,从而可以进一步提高数字钥匙使用的安全性。
息经过所述第二密钥处理生成,所述第二密钥为所述第二终端与所述第一终端预先约定的
密钥,所述第二密钥与所述第一密钥不相同。
面,可以保证用户身份认证信息在传输过程中没有被篡改,即确保用户身份认证信息的完
整性;另一方面,可以保证用户身份认证信息的发送来源是合法的,即确保第二终端上的密
钥的合法持有者。
端在进入所述预设运行状态之前进行用户身份认证;
单元中。这样,即便第二终端处于预设运行状态(例如关机或者低电量模式)时需要使用该
数字钥匙,第二终端也可以将安全单元中的用户身份认证信息发送给第一终端,进而使第
一终端可以利用这些信息来进行验证,提高了在第二终端处于预设运行状态下使用数字钥
匙的安全性。
设备预先约定的密钥;所述用户身份认证信息存储于第二终端的安全单元中,所述用户身
份认证信息包括用户身份认证结果,所述用户身份认证结果由所述第二终端的身份认证系
统在所述第二终端进入预设运行状态之前生成,所述预设运行状态是指所述第二终端的身
份认证系统无法生成身份认证结果的状态。
对业务操作授权的累计次数处于预设的次数阈值之内的情况下,对所述业务指令对应的业
务操作授权;或者,所述处理器还用于在所述用户身份认证结果与预设的认证结果匹配,并
且在所述第二终端处于所述预设运行状态时对业务操作授权的频度处于预设的频度阈值
之内的情况下,对所述业务指令对应的业务操作授权。
处于预设的时长阈值之内的情况下,对所述业务指令对应的业务操作授权。
预设运行状态切换至非预设运行状态的情况下,冻结所述数字钥匙,或者指示所述第二终
端冻结所述数字钥匙,或者指示用户重新进行身份认证。
时间之后没有从所述预设运行状态切换至非预设运行状态的情况下,则对所述业务指令对
应的业务操作授权;其中,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用于
指示所述身份认证结果生成的时间。
权;以及,在对所述第一操作授权之后,在所述第二终端处于所述预设运行状态时对业务操
作授权的累计次数处于预设的次数阈值之内的情况下,对所述第二指令对应的第二操作授
权;或者,在所述第二终端处于所述预设运行状态时对业务操作授权的频度处于预设的频
度阈值之内的情况下,对所述第二指令对应的第二操作授权;或者,在当前时间距离所述第
一时间戳的间隔时长处于预设时长阈值之内的情况下,对所述第二指令对应的第二操作授
权;或者,所述第二终端在所述第一时间戳指示的时间之后没有从所述预设运行状态切换
至非预设运行状态的情况下,对所述第二指令对应的第二操作授权。其中,所述业务指令包
含第一指令和第二指令,所述业务操作包括与所述第一指令对应的第一操作,以及与所述
第二指令对应的第二操作,所述用户身份认证信息还包括第一时间戳,所述第一时间戳用
于指示所述身份认证结果生成的时间。
权;在当前时间距离所述第一时间戳的间隔时长处于预设的时长阈值之外的情况下,判断
所述第二终端在所述第一时间戳指示的时间之后是否从所述预设运行状态切换至非预设
运行状态;以及,在所述第二终端没有切换至所述非预设运行状态的情况下,对所述第二指
令对应的第二操作授权。其中,所述业务指令包含第一指令和第二指令,所述业务操作包括
与所述第一指令对应的第一操作,以及与所述第二指令对应的第二操作,所述用户身份认
证信息还包括第一时间戳,所述第一时间戳用于指示所述身份认证结果生成的时间。
处于预设的时长阈值之内的情况下,对所述第一指令对应的第一操作授权;以及,在对所述
第一操作授权之后,处于所述第二终端在所述第一时间戳指示的时间之后没有从所述预设
运行状态切换至非预设运行状态的情况下,对所述第二指令对应的第二操作授权。其中,所
述业务指令包含第一指令和第二指令,所述业务操作包括与所述第一指令对应的第一操
作,以及与所述第二指令对应的第二操作,所述用户身份认证信息还包括第一时间戳,所述
第一时间戳用于指示所述身份认证结果生成的时间。
至所述非预设运行状态时,所述处理器还用于冻结所述数字钥匙,或者,指示所述第二终端
冻结所述数字钥匙,或者,指示用户重新进行身份认证。
端发送所述业务响应消息的时间最近的时间;
行状态;以及,在所述第二时间戳晚于所述第一时间戳的情况下,确定所述第二终端在所述
第一时间戳指示的时间之后从所述预设运行状态切换至所述非预设运行状态。
指示的时间之后是否从所述预设运行状态切换至所述非预设运行状态而确定;
及,在所述联机验证结果为失败的情况下,确定所述第二终端在所述第一时间戳指示的时
间之后从所述预设运行状态切换至所述非预设运行状态。
授权,以及,拒绝对所述第二指令对应的第二操作授权;其中,所述业务指令包含第一指令
和第二指令,所述业务操作包括与所述第一指令对应的第一操作,以及与所述第二指令对
应的第二操作;
认证信息符合预设的安全策略的情况下,对所述业务指令对应的业务操作授权;其中,所述
业务响应消息中还包括第二验证数据,所述第二验证数据由所述用户身份认证信息经过第
二密钥处理生成,所述第二密钥为所述第二终端与所述第一终端预先约定的密钥,所述第
二密钥与所述第一密钥不相同。
业务响应消息中包括用户身份认证信息,所述用户身份认证信息包括用户身份认证结果,
所述第一密钥为所述第二终端与所述第一终端预先约定的密钥;
证结果的状态。
息经过所述第二密钥处理生成,所述第二密钥为所述终端设备与所述第一终端预先约定的
密钥,所述第二密钥与所述第一密钥不相同。
强制身份认证的数字钥匙时,用户身份认证系统还用于生成用户身份认证结果;其中,配置
有强制身份认证的数字钥匙要求所述第二终端在进入所述预设运行状态之前进行用户身
份认证;
附图说明
具体实施方式
示出)能够独立供电,因此,无论主芯片处于哪一种状态,安全单元210均可以上电工作。数
字钥匙小程序211可以在安全单元210中运行,以实现数字钥匙的功能。第二终端可以包括
移动电话(cellphone),智能手机(smartphone),计算机(computer),平板电脑(tablet
computer),个人数码助理(personal digital assistant,PDA),移动互联网设备(mobile
Internet device,MID),可穿戴设备等。
(Ultra Wide Band,UWB)技术等,也可以采用短距离无线通信技术,例如近场通信(Near
Field Communication,NFC)等。此外,通信单元可以同时采用前述的多种通信技术,以便应
对多样的应用场景。在本申请的实施例中,第一终端和第二终端的通信单元能够独立于主
芯片上电工作,在主芯片不上电时通过内部/外部供电来单独工作,例如NFC模块等。前述的
外部供电是指从电磁场中获取能量来给通信模块供电的供电方式。前述的内部供电是指第
二终端电源没完全消耗光,保留有少量电量,用于给通信模块供电的供电方式。需要说明的
是,对于采用蓝牙、UWB等技术的通信单元而言,如果其能够独立于主芯片而单独上电工作,
采用这些技术的通信模块也可以单独或者与其他通信模块一起,被应用在本申请的第一终
端中。
性。当处理单元110验证某一数字钥匙为合法时,就向第一终端中的执行单元(图中未示出)
发出信号,使执行单元去执行预设的或者用户指定的操作。
又例如,在数字钥匙用于支付的场景中,上述的第二终端可以是手机、平板电脑、智能穿戴
设备等,第一终端可以是销售终端(point of sale,POS)、交通刷卡机等。还例如,在数字钥
匙作为门钥匙的应用场景中,上述的第二终端可以是手机、平板电脑、智能穿戴设备等,第
一终端可以是门禁系统。
使用数字钥匙时进行身份认证的需求。
式)之前,首先利用第二终端中的身份认证系统对用户进行身份认证,将得到的用户身份认
证信息存储到第二终端的安全单元中。然后,当要使用第二终端中的数字钥匙时,再将存储
在安全单元中的用户身份认证信息发送给第一终端,第一终端就可以根据用户身份认证信
息来确定用户是否为第二终端的合法持有者。这样,即便第二终端处于预设运行状态(例如
关机或者低电量模式),用户使用第二终端中的数字钥匙时也可以在原本数字钥匙的基础
上,增加对用户身份的验证,从而确保使用第二终端中的数字钥匙的用户是第二终端的合
法用户,提高了数字钥匙使用的安全性。另外,这也避免了第二终端的非法用户通过关机或
者使第二终端进入低电量模式的方法,来绕过身份认证的步骤,给第二终端的合法用户造
成损失。
第二终端所执行的步骤。
时,第二终端进入到低电量模式,此时,第二终端中仅少量的组件正常工作,大部分组件,例
如身份认证系统、显示屏等,都进入不工作的状态。而非预设运行状态可以是指除预设运行
状态以外的状态,例如第二终端处于正常电量模式。
提供了数字钥匙的管理功能。通过数字钥匙服务的管理界面,用户可以查看数字钥匙小程
序中所保存的一把或者多把数字钥匙,并对这些数字钥匙进行强制身份认证配置。如果用
户对某一把数字钥匙配置了强制身份认证,那么每一次使用该把数字钥匙时都要求用户进
行一次身份认证。
时,第二终端进入关机流程,执行关机流程中预设的操作,比如显示确认关机的对话框、向
各个应用程序发出提示存储数据的广播等。又例如,当第二终端从正常电量模式切换直接
切换至低电量模式时,第二终端进入低电量处理流程,执行低电量处理流程中预设的操作,
比如声音提示、对话框提示、显示屏亮度调整、关闭或暂停后台正在运行的程序等。数字钥
匙服务能够在用户配置了至少一个强制身份认证的数字钥匙时,在状态切换流程中增加一
次身份认证操作。即,当第二终端进入从非预设运行状态切换到预设运行状态的状态切换
流程时,启动第二终端中的身份认证系统,对用户进行身份认证,生成用户身份认证结果。
可选地,前述的身份认证流程可以由数字钥匙服务来触发。
纹、人脸、虹膜、骨传导,以及基于行为的认证等。这其中可以包括主动的身份认证手段,例
如PIN码、指纹、人脸、虹膜等,这些都需要用户根据第二终端的用户界面的引导来执行。此
外,也可以包括被动(即用户无感知)的身份认证手段,例如基于行为的身份认证、基于可穿
戴设备进行的身份认证等。其中,基于可穿戴设备进行的身份认证可以是可穿戴在场检测、
可穿戴骨传导身份认证、可穿戴脉搏身份认证等。这些被动的身份认证手段可以通过第二
终端本身具有的组件(例如传感器等)来实现,可以通过能与第二终端进行交互的第三终端
(例如可穿戴设备等)来实现,本申请对此不作限定。在实际应用中采用哪一种或者几种身
份认证手段,这主要依赖于第二终端身份认证系统所具有或所支持的身份认证能力。身份
认证系统采集到用户输入的密码、生物特征或者其他认证数据,然后与预先存储的密码、生
物特征或者其他认证数据进行比较,从而可以生成用户身份认证结果。
下使用进行授权。同时,用户界面还可以显示引导信息,以引导用户完成身份认证。例如,图
4为数字钥匙作为车钥匙的应用场景的一个例子中,进行身份认证时的用户界面示意图。在
图4的用户界面中,中间区域中的提示文字用于告知用户,本次身份认证是用于对数字钥匙
A在关机状态下的使用进行授权。下方区域中的图像和文字,用于指示用户可以采用指纹或
者人脸来进行身份认证,或者取消授权。
例子中,用户取消授权时的一个用户界面示意图。在图5的用户界面中,上方区域中的提示
文字用于告知用户取消授权的后果,即无法在关机状态下使用数字车钥匙。下方区域中的
文字,用于指示用户进行确认操作,或者重新授权。
钥匙作为车钥匙的应用场景的一个例子中,用户取消授权时的另一个用户界面示意图。在
图6的用户界面中,上方区域中的提示文字用于告知用户已经取消授权,以及告知用户如果
希望在关机状态下使用车钥匙所能够采取的其他操作。下方区域中的文字和图像,用于指
示用户重新进行数字车钥匙的强制身份认证的配置。
全单元,例如嵌入式安全单元(embedded SE,eSE)、集成到手机主芯片(System on Chip,
SoC)之中的inSE安全模块,通用集成电路卡安全单元(Universal Integrated Circuit
Cards Secure Element,UICC SE)等。
证用户身份认证信息具有可验证、不可抵赖的特性。这样,第一终端在接收到用户身份认证
信息之后,就可以利用预先约定的第二密钥对该用户身份认证信息进行验证,从而确保用
户身份认证信息在传输过程中没有被篡改,以及用户身份认证信息的发送来源是合法的。
最后,将第二验证数据和用户身份认证结果一起作为用户身份认证信息,共同存储到安全
单元中。此时的用户身份认证信息,有时也被称为身份认证证明(Attestation)。
Authentication Code,HMAC)等。在用第二密钥处理用户身份认证结果时,可以直接用第二
密钥处理用户身份认证结果,得到第二验证数据,也可以将用户身份认证结果先压缩成消
息摘要,然后用第二密钥处理消息摘要,得到第二验证数据。
安全单元中。
也可以采用数字钥匙服务获取到用户身份认证结果的时间点作为第一时间戳,还可以采用
其他近似的时间点作为第一时间戳。这些时间点处于第二终端进入到预设运行状态之前的
一个很短的时间段内,也可以理解为处于从切换流程开始,至将用户身份认证信息存储到
安全单元中这一较短的时间段内。因此,无论以哪一个时间点作为第一时间戳,都可以指示
出用户身份认证结果生成的时间。第一时间戳可以是数字钥匙服务从外部获取,比如由身
份认证系统生成,也可以由数字钥匙服务自己生成,本申请对此不作限定。在一个实现方式
中,数字钥匙服务可以从手机可信执行环境TEE中的身份认证系统或可信时间服务获取第
一时间戳,也可以从一个可信时间服务器获取第一时间戳,从而确保第一时间戳来源的可
信度。此外该第一时间戳可能携带防篡改属性(如数字签名),本申请对此不作限定。
理,生成第二验证数据,用于保证用户身份认证信息具有可验证、不可抵赖的特性。最后,将
第二验证数据、用户身份认证结果和第一时间戳一起作为用户身份认证信息,共同存储到
安全单元中。此时的用户身份认证信息,也可以被称为身份认证证明。
认证结果写入数字钥匙小程序中。例如,数字钥匙小程序可以在以传统的标签‑长度‑值
(Type‑Lenght‑Value,TLV)格式编码时,在标签(Tag)中指示身份认证结果,值可以以“1”表
示用户身份认证结果为通过,以“2”表示用户身份认证结果为未通过,以“3”表示用户身份
认证结果为未完成。这样的信息,在本申请中称之为第一信息,即第一信息是数字钥匙小程
序将用户身份认证结果对外展现的一种表示形式。因此,前述的用户身份认证信息包括用
户身份认证结果,也可以认为是用户身份认证信息包括第一信息,其中,第一信息用于指示
身份认证结果是通过还是未通过,或者指示身份认证系统在第二终端进入预设运行状态之
前未完成身份认证。
是否即将要进入预设运行状态。也就是说,该指示字段用于指示第二终端在响应第一终端
的业务指令时,是否处于预设运行状态。比如,在对外展现时,可以以“1”表示第二终端在发
送业务响应消息给第一终端时处于预设运行状态,以“0”来表示第二终端在响应第一终端
的业务指令时处于其他运行状态,例如非预设运行状态。这样的信息,在本申请中称之为第
二信息。因此,用户身份认证信息除了包括第一信息以外,还可以包括第二信息,其中,第二
信息用于指示第二终端在发送业务响应消息给第一终端时是否处于预设运行状态。
个特定的指示字段来表示时,可以将第一信息所指示的三种状态,以及第二信息能够指示
的两种状态组合,从而以特定的指示字段的六个不同的取值,来分别表示六种情况。还例
如,当写入到安全单元中的用户身份认证信息还包括第一时间戳、第二验证数据等时,数字
钥匙服务可以对某一特定指示字段进行设置,以表示数据存在。然后,将第一时间戳、第二
验证数据等存储到预设存储地址,从而使除了第一信息、第二信息以外的其他信息也能够
被存储到安全单元中。
态、第一时间戳、验证信息等保存在数字钥匙小程序中,并在使用数字钥匙时传递给第一终
端。这样,第一终端就可以通过这些信息知晓第二终端的情况,进而根据预设的安全策略来
进行风险控制。具体如何进行风险控制,将在后续第一终端所执行的步骤中详细说明。
方法的应用场景的另一个示意图。在第二终端的安全单元210中存在一个代理小程序212,
该代理小程序212能够统一为安全单元210内的所有小程序(包括数字钥匙小程序211以及
其他可能存在的小程序)提供用户身份认证信息。因此,数字钥匙服务230可以将前述的任
一种用户身份认证信息传送给该代理小程序212保存。其中,用户身份认证信息中的用户身
份认证结果由身份认证系统240生成。当第二终端中的数字钥匙小程序211在与第一终端进
行交互时,如果需要提供用户身份认证信息,则数字钥匙小程序211通过标准接口向代理小
程序212获取存储其中的用户身份认证信息。
征等情况。在这种情况下,只要将最后一次身份认证的结果存储到安全单元中即可。例如,
第二终端从正常电量模式切换到关机状态时,触发身份认证系统对用户进行身份认证。首
先在第二终端的显示屏上显示如图4所示的用户界面,引导用户输入指纹。用户在捺印区域
捺印,录入指纹。由于用户的手指上有水,第一次捺印时身份认证系统采集到的指纹图像与
第二终端中预存的指纹图像的相似度低于预设阈值,故而身份认证系统判断第一次录入的
指纹图像不匹配,即身份认证不通过。此时,第二终端并不将“不通过”这一结果存储到安全
单元中,而是提示用户身份认证不通过,要求用户重新录入指纹图像。用户擦拭掉手指上的
水之后重新捺印。如果录入的指纹图像与预存的指纹图像的相似度高于预设阈值,此时身
份认证通过,则第二终端将最近一次得到的“通过”这一结果存储到安全单元中。如果用户
反复录入指纹图像的次数超过预设的次数,结果均为不通过,则第二终端再将最近一次得
到的“不通过”这一结果存储到安全单元中。
二终端正式进入到预设运行状态。
或者低电量模式下,单独供电的通信模块不会受到第二终端的主芯片的运行状态的影响,
仍然可以与第一终端进行信息交互。
信息添加到业务响应消息中,并采用第一密钥进行处理。其中,第一密钥为第二终端与第一
终端预先约定的密钥,并且,第一密钥与前述的用于生成第二验证数据的第二密钥不相同。
第二终端中的第一密钥可以存储在安全单元中的数字钥匙小程序中。然后,第二终端将处
理过的业务响应消息发送给第一终端。
身份认证结果和第一时间戳,还可以包括用户身份认证结果、第一时间戳和第二验证数据。
关于用户身份认证信息、用户身份认证结果、第一时间戳、第二验证数据,可以参考前述阶
段一中的相关描述,此处不再赘述。此外,业务响应消息中还可以包括其他信息,例如前述
的第二信息、协议信息、交易/业务标识信息、第一终端的标识信息、第一终端/第二终端生
成的随机信息值等,本申请对此不作限定。
息中的用户身份认证信息和其他信息进行处理,所生成的验证数据。当业务响应消息中包
括第一验证数据时,就可以认为该业务响应消息为采用第一密钥处理过的业务响应消息。
与第二验证数据类似地,在用第一密钥处理用户身份认证信息,或者用户身份认证信息和
其他信息时,可以直接用第一密钥处理这些信息,得到第一验证数据,也可以将这些信息先
压缩成消息摘要,然后用第一密钥处理消息摘要,得到第一验证数据。
令的不同,业务响应消息中所包含的信息也可以不一样。
时,是否需要用户身份认证信息。如果需要用户身份认证信息,则将安全单元中的用户身份
认证信息添加到业务响应消息中;如果不需要,则无需将用户身份认证信息提供给第一终
端。
如果第一终端采用第一密钥成功验证业务响应消息,则说明第二终端成功证明其持有了一
把第一终端认可的数字钥匙,也就是说,第二终端中的数字钥匙是合法的。此时,第一终端
可以对业务响应消息中包含的用户身份认证信息进行进一步验证。
其他信息进行处理,计算得到第一校验数据。然后将第一校验数据与第一验证数据比对,如
果二者相同,则验证通过;如果二者不同,则验证失败。
消息包括第二验证数据时,第一终端需要利用与第二终端预先约定的第二密钥,来验证用
户身份认证信息是否有效,保证用户身份认证信息是由第二终端的数字钥匙服务或身份认
证系统生成的。此外,第一终端还需要判断用户身份认证信息中的内容是否符合预设的安
全策略。只有这两个条件满足,才能够对业务指令对应的业务操作授权。
程。第一终端利用第二密钥对用户身份认证信息,即用户身份认证结果和第一时间戳进行
处理,计算得到一个第二校验数据。然后将第二校验数据与第二验证数据比对,如果二者相
同,则确定用户身份认证信息有效;如果二者不同,则确定用户身份认证信息无效。通过这
样的方法,一方面,可以保证用户身份认证信息在传输过程中没有被篡改,即确保用户身份
认证信息的完整性;另一方面,可以保证用户身份认证信息的发送来源是合法的,即确保第
二终端上的密钥的合法持有者,从而保证用户身份认证信息具有可验证、不可抵赖的特性。
第一密钥验证失败,说明第二终端没有持有一把第一终端认可的数字钥匙,此时可以不必
再使用用户身份认证信息来执行后续的步骤,直接拒绝对业务操作授权。而如果采用第一
密钥验证成功,则说明第二终端中的数字钥匙是合法的。此时,再利用业务响应消息中的用
户身份认证信息来执行后续的步骤,增加对用户身份的验证,从而提高了数字钥匙的安全
性。
息,则可以不必再使用用户身份认证信息来执行后续的步骤。在一种实现方式中,此时可以
直接根据第一密钥的验证结果来判断是否对该业务指令对应的业务操作授权。
将用户身份认证信息与安全策略中的规则做比对,根据用户身份认证信息是否满足安全策
略中的规则,来判断是否可以对业务指令对应的业务操作授权。
能力,来预设安全策略。
身份认证结果由第二终端的身份认证系统在第二终端进入预设运行状态之前生成。
行状态。在一种实现方式中,第二信息用于指示第二终端在发送业务响应消息时是否处于
预设运行状态。那么,如果用户身份认证信息中包括第二信息,第一终端就可以通过第二信
息来确定在第二终端发送业务响应消息时所处的状态。当第二终端处于预设运行状态时,
第二终端的身份认证系统无法正常使用。此时获取到用户身份认证结果是第二终端进入预
设运行状态之前生成并存储的,并不是实时生成的,这表明当前用户使用数字密钥时的风
险较大。在这种情况下,第一终端就可以根据预设的安全策略,根据用户身份认证信息来进
行风险控制,判断是否对业务操作授权,从而降低风险。
身份认证。在一种实现方式中,第一信息用于指示身份认证结果为“通过”、“不通过”或者
“未完成”。安全策略中包括第一规则,在第一规则中预设认证结果为“通过”。如果业务响应
消息中的身份认证结果也为“通过”,则其与预设的认证结果匹配;如果业务响应消息中的
身份认证结果也为“不通过”或者“未完成”,则其与预设的认证结果不匹配。
对此不作限定。当多个不同的指令各自独立发送给第二终端时,第二终端可以分别响应,分
别发送对应的业务响应消息给第一终端,也可以响应一次,发送一个业务响应消息给第一
终端。需要说明的是,在第一终端分别发送多个不同的指令给第二终端,第二终端又分别响
应的情况下,第二终端可以先响应先发送的指令,再接收后发送的指令,也可以先接收后发
送的指令,再逐个响应接收到的多个指令。即,本申请对于第二终端接收多个指令和响应多
个指令的步骤之间的先后顺序不作限定。当多个不同的指令一起发送给第二终端时,第二
终端可以响应一次,发送一个业务响应消息给第一终端,也可以分别响应,本申请对此也不
作限定。
的业务指令,可以包括一个或者多个业务操作的请求。第一终端当前发送给第二终端的业
务指令场景包含哪一种或者几种业务操作的请求,第一终端就针对这些业务操作来判断是
否对其授权。
业务指令,以及对应的业务操作。当位于车门关联的通信模块发送业务指令时,对应的业务
操作可以是解锁单侧或全部车门。当位于车辆后备箱关联的通信模块发送业务指令时,对
应的业务操作可以是解锁后备箱。当位于车辆内部的启动模块关联的通信模块发送业务指
令时,对应的业务操作可以是启动发动机。这样,当车辆接收到手机发送来的业务响应消息
时,就可以根据业务指令的不同,利用不同的安全策略来判断是否对相应的业务操作授权。
与预设的认证结果匹配。子规则b:如果业务响应消息中的身份认证结果为“不通过”或者
“未完成”,则其与预设的认证结果不匹配。
一终端拒绝对业务指令对应的业务操作授权。
验证手机发送过来的业务响应消息成功之后,如果用户身份认证信息中的用户身份认证结
果为“通过”,符合子规则a,那么对“开锁”或“启动发动机”这个业务操作授权。
的授权累计次数。在第二规则中预设一个次数阈值,要求授权累计次数处于次数阈值之内。
对业务指令对应的业务操作授权。如果不符合其中任一项规则,则第一终端拒绝对业务指
令对应的业务操作授权。
手机发送过来的业务响应消息成功之后,如果用户身份认证信息中的用户身份认证结果为
“通过”,则其符合子规则a。如果以往在手机处于关机或者低电量模式下使用数字钥匙,车
辆已经授权过4次,本次为第5次,则不符合第二规则。因此,车辆拒绝对“启动发动机”这个
业务操作授权。
数阈值之内。
数字钥匙的风险。
往在第二终端处于预设运行状态时对业务操作授权的次数,以及每一次授权对应的时间。
在第三规则中预设一个频度阈值,预设一个时间段,要求授权的频度(即在一个时间段内授
权的次数)处于频度阈值之内。
业务指令对应的业务操作授权。如果不符合其中任一项规则,则第一终端拒绝对业务指令
对应的业务操作授权。
月。在车辆验证手机发送过来的业务响应消息成功之后,如果用户身份认证信息中的用户
身份认证结果为“通过”,则其符合子规则a。如果以往一个月内在手机处于关机或者低电量
模式下使用数字钥匙,车辆已经授权过5次,本次为第6次,则符合第三规则。因此,车辆对
“启动发动机”这个业务操作授权。
数字钥匙的风险。
用于指示身份认证结果在第二终端中生成的时间。在第四规则中预设一个时长阈值,要求
当前时间距离第一时间戳的间隔时长处于预设的时长阈值之内。
业务指令对应的业务操作授权。如果不符合其中任一项规则,则第一终端拒绝对业务指令
对应的业务操作授权。
到用户身份认证信息的时间等。由于这些时间点的距离较近,无论采用哪一个时间点作为
当前时间,均能够指示出用户使用数字钥匙的时间点与生成用户身份认证结果的时间点之
间的间隔时长,因此本申请对于当前时间具体采用哪一个时间点不作限定。
辆验证手机发送过来的业务响应消息成功之后,如果用户身份认证信息中的用户身份认证
结果为“通过”,则其符合子规则a。如果第一时间戳为3月5号20:00,当前时间是3月6号12:
00,二者的间隔时长为16小时,小于时长阈值24小时,符合第四规则。因此,车辆对“启动发
动机”这个业务操作授权。
要求第二时间戳早于第一时间戳,也就是说,要求在第一时间戳指示的时间之后第二终端
没有从预设运行状态重新切换至非预设运行状态。其中,用户身份认证信息中还包括第一
时间戳,第一时间戳用于指示身份认证结果在第二终端中生成的时间。第二时间戳用于指
示第二终端最近一次从预设运行状态切换至非预设运行状态的时间。即,第二时间戳用于
指示第二终端从预设运行状态切换至非预设运行状态的时间中,距离第二终端发送业务响
应消息的时间最近的时间。
份认证结果在第二终端中生成的时间,此时第二终端即将要进入预设运行状态,第三时间
戳用于指示第二终端最近一次从非预设运行状态切换至预设运行状态的时间。也就是说,
在本实现方式中,第五规则要求第三时间戳与第一时间戳很接近,而不能是第三时间戳远
远晚于第一时间戳。
新的身份认证信息,本次提供的身份认证信息无法代表最新的用户认证状态。无论是哪一
种情况,都证明本次业务中第二终端做出了异常行为,即提供了在正常情况下不应提供的
信息,说明当前数字钥匙的使用可能存在一定的安全风险。例如,第二终端在重放已经过时
的身份认证信息以企图对当前业务操作进行授权。而如果第二终端在关机的时间点之后没
有重新开机过,则说明在对身份认证信息重放滥用的风险较低。因此,可以将第五规则与前
述的第一规则结合起来,从而进一步降低数字钥匙使用时的安全风险。
端在第一时间戳指示的时间之后是否从预设运行状态切换至非预设运行状态。
断第二终端在第一时间戳指示的时间之后是否从预设运行状态切换至非预设运行状态,得
到联机验证结果。服务器再将联机验证结果发送给第一终端。如果联机验证结果为成功,则
第一终端可以确定第二终端在第一时间戳指示的时间之后没有从预设运行状态切换至非
预设运行状态;如果联机验证结果为失败,则第一终端可以确定第二终端在所述第一时间
戳指示的时间之后从预设运行状态切换至非预设运行状态。
其与手机账号服务器通信连接,而手机账号服务器与手机通信连接。在这种情况下,手机间
接与车辆厂商的服务器连接。由于手机一开机就会自动连接到手机账号服务器上,故而车
辆厂商的服务器可以通过手机账号服务器,来获取手机的开机时间。
业务指令对应的业务操作授权。如果不符合其中任一项规则,则第一终端拒绝对业务指令
对应的业务操作授权。此外,如果第一时间戳不符合第五规则,第一终端还可以冻结数字钥
匙,或者,指示第二终端冻结数字钥匙,或者,指示用户重新进行身份认证,从而提高数字钥
匙的使用安全性。
则符合子规则a。车辆获取第二时间戳,判断第一时间戳和第二时间戳是否符合第五规则。
假设第一时间戳为3月5号20:00,第二时间戳为3月5号10:00(最近一次开机时间)。第二时
间戳早于第一时间戳,这说明手机在3月5号20:00关机之后,没有重新开机,符合第五规则。
因此,车辆对以及“启动发动机”这一业务操作授权。
作授权之后,还可以判断第二终端在第一时间戳指示的时间之后是否从预设运行状态重新
进入到非预设运行状态。如果重新进入非预设运行状态,不符合第五规则,说明第二终端虽
然提供了符合要求的用户身份验证结果,但是第一终端后续根据第五规则判断出该用户身
份认证结果不是最新的,因此当前存在一定的安全风险。此时,第一终端可以冻结数字钥
匙,或者,指示第二终端冻结数字钥匙,或者,指示用户重新进行身份认证。通过增加关于第
五规则的判断,从而进一步降低数字钥匙的风险,提高使用安全性。
明。在一个使用流程中,汽车的开门操作使用安全策略1,启动发动机使用安全策略2‑5中的
任一项。当使用NFC作为通信技术时,用户首先将手机靠近汽车把手的NFC读卡器。汽车NFC
读卡器发送一个业务指令,在接收到手机发送的业务响应后基于安全策略1的条件进行判
断,如果验证通过就解锁车门中的门锁。随后,用户进入汽车,将手机放入车内的读卡区域
内。汽车发送另一个业务指令,在接收到手机发送的业务响应后基于安全策略2‑5中的任一
项进行验证,如果验证通过就允许用户启动发动机。
述安全策略2中的相同,第三规则与前述安全策略3中的相同,第四规则与前述安全策略4中
的相同,此处不再赘述。
操作包括与第一指令对应的第一操作,以及与第二指令对应的第二操作。为了提高用户体
验,在不同的应用场景中,可以根据不同操作的风险的不同,将其与不同的规则对应起来。
当用户身份认证信息满足安全策略中的不同规则时,第一终端对不同的业务操作进行授
权。
规则中的子规则a,则第一终端对第一操作授权;如果不符合,则第一终端拒绝对第一操作
授权。在对第一操作授权之后,如果授权累计次数符合第二规则,则第一终端对第二操作授
权;如果不符合,则第一终端拒绝对第二操作授权。
果用户身份认证结果符合第一规则中的子规则a,则第一终端对第一操作授权;如果不符
合,则第一终端拒绝对第一操作授权。在对第一操作授权之后,如果授权的频度符合第三规
则,则第一终端对第二操作授权;如果不符合,则第一终端拒绝对第二操作授权。
则。如果用户身份认证结果符合第一规则中的子规则a,则第一终端对第一操作授权;如果
不符合,则第一终端拒绝对第一操作授权。在对第一操作授权之后,如果第一时间戳符合第
四规则,则第一终端对第二操作授权;如果不符合,则第一终端拒绝对第二操作授权。
为第一操作“开锁”,第二指令对应的业务操作为第二操作“启动发动机”。安全策略采用前
述安全策略8。其中,第四规则中设定间隔时长为24小时。
首先判断用户身份认证结果是否符合第一规则中的子规则a。假设用户身份认证信息中的
用户身份认证结果为“通过”,符合子规则a,因此车辆对“开锁”这一业务操作授权。此时车
锁打开,使用户可以先行进入车内。再判断第一时间戳是否符合第四规则。假设第一时间戳
为3月5号20:00,当前时间是3月6号12:00,二者的间隔时长为16小时,小于时长阈值24小
时,符合第四规则。因此,车辆对“启动发动机”这一业务操作授权。此时车辆发动机启动,用
户可以驾驶车辆。
令。在这种情况下,首先,用户靠近汽车时,利用手机与位于车门关联的通信模块交互。汽车
给手机发送关于开锁的业务指令,即第一指令。手机在接收到第一指令之后,发送一个业务
响应消息给车辆,其中包含了户身份认证结果。在车辆验证手机发送过来的业务响应消息
成功之后,判断用户身份认证结果是否符合第一规则中的子规则a。假设用户身份认证信息
中的用户身份认证结果为“通过”,符合子规则a,因此车辆对“开锁”这一业务操作授权。此
时车锁打开,使用户可以先行进入车内。在利用定位技术(如UWB定位)检测到用户进入汽车
后,汽车给手机发送关于启动发动机的业务指令,即第二指令。手机在接收到第二指令之
后,发送另一个业务响应消息给车辆,其中包含了户身份认证结果和第一时间戳。在车辆验
证手机发送过来的业务响应消息成功,并判断用户身份认证结果符合第一规则中的子规则
a之后,再判断第一时间戳是否符合第四规则。假设如前所述第一时间戳符合第四规则,那
么车辆对“启动发动机”这一业务操作授权。此时车辆发动机启动,用户可以驾驶车辆。
的判断过程也可能重复一次或者多次。
略中的不同规则时,第一终端对不同的业务操作进行授权。
则中的子规则a,则第一终端对第一操作授权;如果不符合,则第一终端拒绝对第一操作授
权。在对第一操作授权之后,如果第一时间戳符合第五规则,则第一终端对第二操作授权;
如果不符合,则第一终端拒绝对第二操作授权。此外,如果第一时间戳不符合第五规则,第
一终端还可以冻结数字钥匙,或者,指示第二终端冻结数字钥匙,或者,指示用户重新进行
身份认证,从而提高数字钥匙的使用安全性。
指令对应的业务操作为第二操作“启动发动机”。安全策略采用前述安全策略9。
符合子规则a,因此车辆对“开锁”这一业务操作授权。此时车锁打开,使用户可以先行进入
车内。然后,再获取第二时间戳,判断第一时间戳和第二时间戳是否符合第五规则。假设第
一时间戳为3月5号20:00,第二时间戳为3月5号10:00,第二时间戳早于第一时间戳,说明手
机在3月5号20:00关机之后,没有重新开机,符合第五规则。因此,车辆对以及“启动发动机”
这一业务操作授权。此时车辆发动机启动,用户可以驾驶车辆。
处不再赘述。
略中的不同规则时,第一终端对不同的业务操作进行授权。
第一规则中的子规则a,则第一终端对第一操作授权;如果不符合,则第一终端拒绝对第一
操作授权。在第一终端对第一操作授权之后,如果第一时间戳符合第四规则,则第一终端对
第二操作授权;如果不符合,则判断第一时间戳是否符合第五规则。如果第一时间戳符合第
五规则,则第一终端对第二操作授权;如果不符合,则第一终端拒绝对第二操作授权。
字钥匙的使用安全性。如果第一终端拒绝对第一操作授权,则第一终端可以无需判断第一
时间戳是否符合第五规则,直接拒绝对第二操作授权。
指令对应的业务操作为第二操作“启动发动机”。安全策略采用前述安全策略10。
符合子规则a。因此车辆对“开锁”这一业务操作授权。此时车锁打开,使用户可以先行进入
车内。然后,判断第一时间戳是否符合第四规则。假设第一时间戳为3月5号20:00,当前时间
是3月7号12:00,二者的间隔时长为40小时,大于时长阈值24小时,不符合第四规则。那么,
再获取第二时间戳,判断第一时间戳和第二时间戳是否符合第五规则。假设第二时间戳为3
月5号10:00,第二时间戳早于第一时间戳,说明手机在3月5号20:00关机之后,没有重新开
机,符合第五规则。此时,车辆对“启动发动机”这一业务操作授权。此时车辆发动机启动,用
户可以驾驶车辆。
此处不再赘述。
略中的不同规则时,第一终端对不同的业务操作进行授权。
第一规则中的子规则a,并且,第一时间戳是否符合第四规则,则第一终端对第一操作授权;
如果二者中任一项不符合,则第一终端拒绝对第一操作授权。在第一终端对第一操作授权
之后,如果第一时间戳符合第五规则,则第一终端对第二操作授权;如果不符合,则第一终
端拒绝对第二操作授权。
字钥匙的使用安全性。如果第一终端拒绝对第一操作授权,则第一终端可以无需判断第一
时间戳是否符合第五规则,直接拒绝对第二操作授权。
指令对应的业务操作为第二操作“启动发动机”。安全策略采用前述安全策略11。
证信息中的用户身份认证结果为“通过”,符合子规则a。假设第一时间戳为3月5号20:00,当
前时间是3月6号12:00,二者的间隔时长为16小时,小于时长阈值24小时,符合第四规则。因
此车辆对“开锁”这一业务操作授权。此时车锁打开,使用户可以先行进入车内。然后,获取
第二时间戳,判断第一时间戳和第二时间戳是否符合第五规则。假设第二时间戳为3月5号
10:00,第二时间戳早于第一时间戳,说明手机在3月5号20:00关机之后,没有重新开机,符
合第五规则。因此,车辆对“启动发动机”这一业务操作授权。此时车辆发动机启动,用户可
以驾驶车辆。
令。在接收到新的一轮数字钥匙的业务响应消息后,再来判断是否对另外一些业务操作授
权。
的相同,第二规则与前述安全策略2中的相同,第三规则与前述安全策略3中的相同,第四规
则与前述安全策略4中的相同,第五规则与前述安全策略5中的相同,此处不再赘述。
略中的不同规则时,第一终端对不同的业务操作进行授权。
应的第一操作授权,并且,第一终端也可以直接拒绝对所述第二指令对应的第二操作授权,
无需再对判断是否符合其他规则。
为第一操作“开锁”,第二指令对应的业务操作为第二操作“启动发动机”。安全策略采用前
述安全策略12。
成”,符合子规则b,因此车辆对“开锁”这一业务操作授权,并拒绝对“启动发动机”这一业务
操作授权。实际上,此处是否对“开锁”这一业务操作授权,不依赖于用户身份认证结果。无
论用户身份认证结果是“通过”、“不通过”还是“未完成”,均可以对“开锁”这一业务操作授
权。但在用户身份认证结果为“不通过”或者“未完成”时,可以直接拒绝对“启动发动机”这
一业务操作授权,无需再考虑“启动发动机”这一业务操作原本对应的安全策略。然后,车辆
向手机发送一个新的业务指令,新的业务指令中不再包括关于“开锁”的指令,即第一指令,
仅包括关于“启动发动机”指令,即第二指令。由于车锁已经打开,用户可以先行进入车内,
为手机充电。待用户重新开启手机进入到正常电量模式,此时用户就可以在开机状态下实
时完成用户身份认证。车辆向手机发送一次新的业务指令,在得到满足授权第二操作预设
安全策略的业务响应消息后,车辆对“启动发动机”这一业务操作授权之后,车辆发动机启
动,用户可以驾驶车辆。
合,或者将这五种规则与其他规则一起组合,形成其他的安全策略。甚至,只要几种安全策
略之间不冲突,还可以将几种安全策略进行组合。
指令。是否对其中某一个业务指令对应的业务操作授权,可以由一个或多个规则来决定。
息中也可以包括前述的用户身份认证结果、第一时间戳等内容。此时的用户身份认证结果,
可以是第二终端实时对用户进行身份认证而生成的,也可以是此前存储在安全单元中的。
第一终端在接收到业务响应消息之后,可以采用第一密钥对业务响应消息进行验证,并采
用前述可能的安全策略,例如安全策略1、安全策略4等,进一步进行风险判断,从而提高数
字钥匙的使用安全性。
一个用户身份认证信息。为了避免以往的旧的用户身份认证信息对后续写入到安全单元中
的最新的用户身份认证信息造成干扰,故而可以在下一次第二终端从预设运行状态切换至
非预设运行状态时,对存储在安全单元中的这些用户身份认证信息做失效处理。或者,在下
一次第二终端从非预设运行状态切换至预设运行状态的过程中,在将最新的用户身份认证
信息存储到安全单元之前,将存储在安全单元中的这些旧的用户身份认证信息做失效处
理。
前存储在安全单元中的用户身份认证信息标记为失效。通过做失效处理,可以确保每一次
第二终端从非预设运行状态切换至预设运行状态之后,安全单元中都均保存有一个最新的
有效的用户身份认证信息。
身份认证信息已失效。
端设备的一种实现方式的结构示意图。该终端设备300包括:第一收发器320以及一个或多
个处理器310。
模块等。
端设备300预先约定的密钥;所述用户身份认证信息存储于第二终端的安全单元中,所述用
户身份认证信息包括用户身份认证结果,所述用户身份认证结果由所述第二终端的身份认
证系统在所述第二终端进入预设运行状态之前生成,所述预设运行状态是指所述第二终端
的身份认证系统无法生成身份认证结果的状态。
(network processor,NP)或者CPU和NP的组合。所述处理器还可以进一步包括硬件芯片。上
述硬件芯片可以是专用集成电路(application‑specific integrated circuit,ASIC),可
编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻
辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field‑
programmable gate array,FPGA),通用阵列逻辑(generic array logic,简称GAL)或其任
意组合。
理器310执行时,使得所述终端设备300实现第一个实施例中第一终端所执行的任一种方法
的部分或者全部步骤。存储器可以包括易失性存储器(volatile memory),例如随机存取内
存(random access memory,RAM);还可以包括非易失性存储器(non‑volatile memory),例
如快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid‑state
drive,SSD);存储器还可以包括上述种类的存储器的组合。
现方式的结构示意图。该终端设备400包括:安全单元410、第二收发器420以及身份认证系
统440。
述业务响应消息中包括用户身份认证信息,所述用户身份认证信息包括用户身份认证结
果,所述第一密钥为所述终端设备400与所述第一终端预先约定的密钥。在实际应用时,第
二收发器420可以是NFC通信模块,也可以是蓝牙模块、UWB模块等。第二收发器420能够单独
上电,无论终端设备的主芯片处于正常电量模式下,还是处于关机或者低电量模式下,第二
收发器420均能够单独上电工作。
Chip,SoC)之中的inSE安全模块,通用集成电路卡安全单元(Universal Integrated
Circuit Cards Secure Element,UICC SE)等。安全单元410中存储有数字钥匙小程序411,
前述的第一密钥存储在数字钥匙小程序411中。
身份认证结果的状态。需要说明的是,在终端设备400处于正常电量模式时,用户身份认证
系统440也可以采集用户的密码或者生物特征等,来对用户进行身份认证。
备400提供数字钥匙的管理功能。通过数字钥匙服务430提供的管理界面,用户可以查看数
字钥匙小程序411中所保存的一把或者多把数字钥匙,并对这些数字钥匙进行强制身份认
证配置。数字钥匙服务430能够在用户配置了至少一个强制身份认证的数字钥匙(例如第一
密钥)时,在终端设备400的状态切换流程中增加一次身份认证操作。数字钥匙服务430可以
触发终端设备400中的身份认证流程,利用身份认证系统440来生成用户身份认证结果。可
选地,数字钥匙服务430还可以生成用户界面,以告知用户本次执行的身份认证的用途。可
选地,数字钥匙服务430可以获取用户身份认证结果和第一时间戳,然后将用户身份认证结
果和第一时间戳一起作为用户身份认证信息,共同存储到安全单元410中。
法。
或者执行第一个实施例中第二终端所执行的任一种方法的步骤。
产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或
部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计
算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者
从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可
以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线
(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中
心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含
一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性
介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid
state disk,SSD))等。
果,此处不再赘述。
领域技术人员可以理解,“第一”、“第二”等字样并不对数量和执行次序构成限定,并且“第
一”、“第二”等字样也并不限定一定不同。
较简单,相关之处参见方法实施例中的说明即可。以上所述的本发明实施方式并不构成对
本发明保护范围的限定。