申请/专利权人：上海银基信息安全技术股份有限公司

申请日：2018-12-26

公开（公告）日：2021-04-27

公开（公告）号：CN109361718B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101);H04L9/32(20060101);H04L29/08(20060101)

优先权：

专利状态码：有效-授权

法律状态：2021.04.27#授权;2019.03.15#实质审查的生效;2019.02.19#公开

摘要：本发明实施例公开了一种身份认证方法、装置和介质，该方法应用于由服务器、终端和车辆所组成的系统的车辆，包括：接收终端发送的数字钥匙，所述数字钥匙包括车端信息和终端身份信息；计算所述车端信息和终端身份信息的哈希值；如果所述哈希值在白名单中，则输出允许控制信息。解决了现有技术的身份认证方法的安全性较为薄弱的问题，达到了有效地保护用户信息的技术效果。

主权项：1.一种身份认证方法，应用于由服务器、终端和车辆所组成的系统的车辆，其特征在于，包括：接收终端发送的数字钥匙，所述数字钥匙包括车端信息和终端身份信息；计算所述车端信息和终端身份信息的哈希值；如果所述哈希值在白名单中，则向所述终端输出允许控制信息；所述数字钥匙为主数字钥匙，在接收终端发送的数字钥匙之前，还包括：接收终端发送的认证请求信息，并根据所述认证请求信息向终端发送车端信息，所述认证请求信息包括终端身份信息；接收终端发送的签名值，其中，签名值由服务器对终端发送的所述车端信息和终端身份信息进行签名所生成的签名值；对所述签名值进行验证，以及在验证通过时向终端发送数字钥匙，并将所述车端信息和终端身份信息的哈希值添加至白名单，其中，验证通过的前提为：所述签名值至少包含服务器的签名值。

全文数据：身份认证方法、装置和介质技术领域本发明实施例涉及车辆控制领域，尤其涉及一种身份认证方法、装置和介质。背景技术随着科技的高速发展汽车共享、无人驾驶等技术给我们的生活带来了很大的方便。但是汽车共享、无人驾驶等技术都基于车联网，智能化带给我们便捷的同时，也面临智能汽车所带来的系统安全问题。车联网以“两端一云”为主体，路基设施为补充，包括智能网联汽车、移动智能终端、车联网服务平台等对象，涉及车-云通信、车-车通信、车-人通信、车-路通信、车内通信五个通信场景，多功能汽车钥匙流行，信号中继及算法破解威胁较大。车联网服务云平台面临传统的云平台安全问题，弱身份认证使得车联网管理平台暴露给攻击者，面临网络攻击。传输和存储环节存在数据被窃风险，数据过度采集和越界使用成为隐私保护主要问题，数据跨境流动问题成为威胁国家安全潜在隐患。基于此，目前需要解决现有技术的身份认证方法的安全性较为薄弱的问题，以有效地保护用户信息。发明内容本发明实施例提供了一种身份认证方法、装置和介质，解决了现有技术的身份认证方法的安全性较为薄弱的问题，以有效地保护用户信息。第一方面，本发明实施例提供了一种身份认证方法，应用于由服务器、终端和车辆所组成的系统的车辆，包括：接收数字钥匙，所述数字钥匙包括车端信息和终端身份信息；计算所述车端信息和终端身份信息的哈希值；如果所述哈希值在白名单中，则向所述终端输出允许控制信息。第二方面，本发明实施例还提供了一种身份认证装置，设置于由服务器、终端和车辆所组成的系统的车辆，其特征在于，包括：车端接收模块，用于接收数字钥匙，所述数字钥匙包括车端信息和终端身份信息；车端计算模块，用于计算所述车端信息和终端身份信息的哈希值；车端输出模块，用于如果所述哈希值在白名单中，则向所述终端输出允许控制信息。第三方面，本发明实施例还提供了一种身份认证方法，应用于由服务器、终端和车辆所组成的车机系统的终端，包括：向车端发送数字钥匙，所述数字钥匙包括车端信息和终端身份信息；接收车端返回的允许控制信息，所述允许控制信息由终端在所述车端信息和终端身份信息对应的哈希值在白名单内时生成。第四方面，本发明实施例还提供了一种身份认证装置，设置于由服务器、终端和车辆所组成的系统的终端，包括：终端发送模块，用于向车端发送数字钥匙，所述数字钥匙包括车端信息和终端身份信息；终端接收模块，用于接收车端返回的允许控制信息，所述允许控制信息由终端在所述车端信息和终端身份信息对应的哈希值在白名单内时生成。第五方面，本发明实施例还提供了一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行如第三方面所述的身份认证方法。本发明实施例提供的身份认证方法的技术方案，应用于由服务器、终端和车辆所组成的系统的车辆，包括接收数字钥匙，数字钥匙包括车端信息和终端身份信息；计算车端信息和终端身份信息的哈希值；如果哈希值在白名单中，则输出允许控制信息。在车端设置白名单，如果终端的数字钥匙在白名单中，则通过终端的身份认证，终端在通过身份验证后，即可根据接收到的允许控制信息对车辆进行控制，便于用户离线状态下进行身份认证，具有较高的安全性，防止用户信息泄露。附图说明为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图做一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本发明实施例一提供的身份认证方法的流程图；图2是本发明实施例一提供的主数字钥匙获取示意图；图3是本发明实施例二提供的身份认证装置的结构图；图4是本发明实施例三提供的身份认证方法的流程图；图5是本发明实施例五提供的身份认证装置的结构框图。具体实施方式为使本发明的目的、技术方案和优点更加清楚，以下将参照本发明实施例中的附图，通过实施方式清楚、完整地描述本发明的技术方案，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。实施例一图1是本发明实施例一提供的身份认证方法的流程图。本实施例的技术方案适用于车端对终端身份进行验证的情况。该方法可以由本发明实施例提供的身份认证装置来执行，该装置可以采用软件和或硬件的方式实现，并配置在处理器中应用。该方法具体包括如下步骤：S101、接收终端发送的数字钥匙，数字钥匙包括车端信息和终端身份信息。终端想要通过数字钥匙控制车辆，通常需要先将数字钥匙发送至车辆，以便车辆对其进行验证。本实施例的数字钥匙包括车端信息和终端身份信息，其中车端信息包括车端身份信息和车端生成的随机数。进一步的，数字钥匙还优选包括权限信息，用于限定用户能够使用的车辆功能。比如禁止使用空调，禁止使用车载导航仪等。其中，数字钥匙可以是主数字钥匙或是分享数字钥匙。通常情况下，车主持有主数字钥匙。如果他人要使用车辆，车主可以基于主数字钥匙生成分享数字钥匙，然后将分享数字钥匙分享给其他使用者，以使其能够使用车辆。可以理解的是，如果数字钥匙为主数字钥匙，那么用户或车主在使用主数字钥匙前需要先获取主数字钥匙。如图2所示，主数字钥匙获取时车端执行的操作包括：车端接收终端发送的认证请求信息，并根据认证请求信息向终端发送车端信息，认证请求信息包括终端身份信息；车端接收终端发送的签名值，其中，签名值由服务器对终端发送的车端信息和终端身份信息进行签名所生成的签名值；对签名值进行验证，以及在验证通过时向终端发送数字钥匙，并将车端信息和终端身份信息的哈希值添加至白名单，其中，验证通过的前提为签名值至少包含服务器的签名值。其中，车端优选采用非对称算对签名值进行验证，且验证通过的前提优选为签名值包含服务器的签名值、终端身份信息和车端信息。可以理解的是，如果数字钥匙为分享数字钥匙，终端和车端均需要先获取分享数字钥匙的信息。分享数字钥匙获取时车端的操作包括：车端获取终端向目标终端发送分享数字钥匙时反馈的分享信息，分享数字钥匙由终端根据主数字钥匙生成；根据分享信息生成分享数字钥匙对应的哈希值，并将该分享数字钥匙的哈希值添加至白名单。其中，分享信息、分享数字钥匙均包含与主数字钥匙相同的终端身份信息、车端信息和服务器的签名值。可以理解的是，图2中的白名单中包含主数字钥匙和分享数字钥匙，通常情况下，可以通过钥匙标识对二者进行区分，便于车主对数字钥匙进行管理；或者每辆车仅设置一把主数字钥匙，且该主数字钥匙的哈希值排在第一位。其中，分享信息还包括优先等级和权限信息，二者均由用户在根据主数字钥匙生成分享数字钥匙时，添加至分享数字钥匙中。对于优先等级，用户在根据分享信息生成分享数字钥匙对应的哈希值后，根据分享信息中的优先权等级，将哈希值添加至白名单中优先权等级对应的位置。用户可以设置优先等级顺序，比如标号越小的哈希值对应的数字钥匙的优先等级越高，标号越大哈希值对应的数字钥匙的优先等级越低。可以理解的是，分享信息中的优先等级和权限信息用于使车端获取其对应的数字钥匙的权限信息和优先等级。S102、计算车端信息和终端身份信息的哈希值。车辆接收到数字钥匙后，对数字钥匙中的车端信息和终端身份信息进行哈希值运算以得到二者的哈希值。优选地，车辆对数字钥匙中的车辆身份信息，车辆生成的随机数和终端身份信息进行哈希运算以得到哈希值。通过哈希运算对车端信息和终端身份信息进行加密，有利于提高用户信息的安全性。S103、如果哈希值在白名单中，则向终端输出允许控制信息。得到哈希值后，将哈希值与白名单内的哈希值进行比对，如果得到的哈希值在白名单内，则通过哈希值所对应数字钥匙的验证，则向数字钥匙的来源终端发送允许控制信息。可以理解的是，如果数字钥匙为包含有权限信息的分享数字钥匙，那么允许控制信息也包含权限信息，此时该数字钥匙的来源终端仅能在权限信息所限定的权限范围内使用车辆。进一步的，如果车端同时接收到多个数字钥匙，需要先判断每个数字钥匙的优先等级，具体可体现在白名单中哈希值的顺序编号，数字钥匙的优先等级确定后，向优先等级最高的数字钥匙的来源终端发送允许控制信息，向其他数字钥匙的来源终端发送禁止控制信息。为了提高白名单的安全性，本实施例的白名单数据在非易失性存储器中分散保存。S104、如果哈希值不在白名单中，则向终端输出禁止控制信息。可以理解的是，如果得到的哈希值不在白名单内，则哈希值所对应的数字钥匙不能通过身份验证，则向数字钥匙的来源终端发送禁止控制信息，即不允许该数字钥匙对当前车辆进行控制。不在白名单内的数字钥匙，通常为非法钥匙或未注册钥匙，因此不能允许他们对车辆进行控制。这样既能保证车辆使用安全，又能缩短身份认证时间。本发明实施例提供的身份认证方法的技术方案，应用于由服务器、终端和车辆所组成的系统的车辆，包括接收数字钥匙，数字钥匙包括车端信息和终端身份信息；计算车端信息和终端身份信息的哈希值；如果哈希值在白名单中，则输出允许控制信息。在车端设置白名单，如果终端的数字钥匙在白名单中，则通过终端的身份认证，终端在通过身份验证后，即可根据接收到的允许控制信息对车辆进行控制，便于用户离线状态下进行身份认证，具有较高的安全性，防止用户信息泄露。实施例二图3是本发明实施例二提供的身份认证装置的结构框图。该装置用于执行上述任意实施例所提供的身份认证方法，该装置可选为软件或硬件实现。该装置包括：车端接收模块11，用于接收数字钥匙，所述数字钥匙包括车端信息和终端身份信息；车端计算模块12，用于计算所述车端信息和终端身份信息的哈希值；车端输出模块13，用于如果所述哈希值在白名单中，则输出允许控制信息。其中，车端信息包括车端身份信息和随机数，数字钥匙为主数字钥匙或者分享数字钥匙。车端计算模块还用于：如果哈希值不在所述白名单中，则输出禁止控制信息。该装置还包括车端数字钥匙生成模块，用于接收终端发送的认证请求信息，并根据认证请求信息向终端发送车端信息，认证请求信息包括终端身份信息；以及接收终端发送的签名值，其中，签名值由服务器对终端发送的车端信息和终端身份信息进行签名所生成的签名值；以及对签名值进行验证，以及在验证通过时向终端发送数字钥匙，并将车端信息和终端身份信息的哈希值添加至白名单，其中，验证通过的前提为：签名值至少包含服务器的签名值。该装置还包括车端分享钥匙模块，该车端分享钥匙模块包括车端反馈信息接收单元和车端添加单元，车端反馈信息接收单元用于获取终端向目标终端发送分享数字钥匙时反馈的分享信息，分享数字钥匙由终端根据主数字钥匙生成；车端添加单元用于根据分享信息生成分享数字钥匙对应的哈希值，并将该分享数字钥匙的哈希值添加至白名单。其中，分享信息包括优先等级，相应的，车端添加单元具体用于根据分享信息生成分享数字钥匙对应的哈希值，并将分享数字钥匙的哈希值添加至优先等级对应的白名单位置。相应的，车端输出模块具体用于：如果哈希值在所述白名单中，则判断当前时刻接收到的哈希值在白名单内的数字钥匙的数量；如果数量为1，则输出允许控制信息；如果数量至少为两个，则向哈希值优先级最高的数字钥匙的来源终端输出允许控制信息。本发明实施例提供的身份认证装置的技术方案，应用于由服务器、终端和车辆所组成的系统的车辆，通过车端接收模块接收数字钥匙，数字钥匙包括车端信息和终端身份信息；通过车端计算模块计算车端信息和终端身份信息的哈希值；基于车端输出模块，如果哈希值在白名单中，则输出允许控制信息。在车端设置白名单，如果终端的数字钥匙在白名单中，则通过终端的身份认证，终端在通过身份验证后，即可根据接收到的允许控制信息对车辆进行控制，便于用户离线状态下进行身份认证，具有较高的安全性，防止用户信息泄露。本发明实施例所提供的身份认证装置可执行本发明任意实施例所提供的身份认证方法，具备执行方法相应的功能模块和有益效果。实施例三图4是本发明实施例三提供的身份认证方法的流程图。本实施例的技术方案适用于车端对终端身份进行验证的情况，应用于由服务器、终端和车辆所组成的车机系统的终端。该方法可以由本发明实施例提供的身份认证装置来执行，该装置可以采用软件和或硬件的方式实现，并配置在处理器中应用。该方法具体包括如下步骤：S201、向车端发送数字钥匙，数字钥匙包括车端信息和终端身份信息。终端想要通过数字钥匙控制车辆，通常需要先将数字钥匙发送至车辆，以便车辆对其进行验证。本实施例的数字钥匙包括车端信息和终端身份信息，其中车端信息包括车端身份信息和车端生成的随机数。进一步的，数字钥匙还优选包括权限信息，用于限定用户能够使用的车辆功能。比如禁止使用空调，禁止使用车载导航仪等。其中，数字钥匙可以是主数字钥匙或是分享数字钥匙。通常情况下，车主持有主数字钥匙。如果他人要使用车辆，车主可以基于主数字钥匙生成分享数字钥匙，然后将分享数字钥匙分享给车辆的使用者，以使其能够使用车辆。可以理解的是，如果数字钥匙为主数字钥匙，那么用户或车主在使用主数字钥匙前需要先获取主数字钥匙。如图2所示，主数字钥匙获取时终端执行的操作包括：向车端发送的认证请求信息，认证请求信息包括终端身份信息；接收车端根据认证请求信息发送的车端信息；将终端身份信息和车端信息发送至服务器，并接收服务器返回的签名值；将签名值发送至车端，以由车端对签名值进行验证，以及在验证通过时返回数字钥匙，以及将车端信息和终端身份信息的哈希值添加至白名单，其中，验证通过的前提为签名值至少包含服务器的签名值，优选包括服务器的签名值、终端身份信息和车端信息。可以理解的是，如果数字钥匙分享数字钥匙，终端和车端均需要先获取分享数字钥匙的信息。分享数字钥匙获取时终端执行的操作包括：主数字钥匙所在终端在向目标终端发送分享数字钥匙时向车端发送分享信息，以使车端将分享数字钥匙对应的哈希值添加至白名单，其中分享数字钥匙由主数字钥匙所在终端根据主数字钥匙生成，分享数字钥匙对应的哈希值由车端根据分享信息生成。其中，分享信息、分享数字钥匙均包含与主数字钥匙相同的终端身份信息、车端信息和服务器的签名值。其中，分享信息还包括优先等级和权限信息，二者均由用户在根据主数字钥匙生成分享数字钥匙时，添加至分享数字钥匙中。对于优先等级，用户在根据分享信息生成分享数字钥匙对应的哈希值后，根据分享信息中的优先权等级，将哈希值添加至白名单中优先权等级对应的位置。可以理解的是，分享信息中的优先等级和权限信息用于使车端获取其对应的数字钥匙的权限信息和优先等级。S202、接收车端返回的允许控制信息，允许控制信息由终端在车端信息和终端身份信息对应的哈希值在白名单内时生成。车辆接收到数字钥匙后，对数字钥匙中的车端信息和终端身份信息进行哈希值运算以得到二者的哈希值。优选地，车辆对数字钥匙中的车辆身份信息，车辆生成的随机数和终端身份信息进行哈希运算以得到哈希值。将哈希值与白名单内的哈希值进行比对，如果得到的哈希值在白名单内，则通过哈希值所对应数字钥匙的验证，则向数字钥匙的来源终端发送允许控制信息。可以理解的是，如果数字钥匙为包含有权限信息的分享数字钥匙，那么允许控制信息也包含权限信息，此时该数字钥匙的来源终端仅能在权限信息所限定的权限范围内使用车辆。可以理解的是，终端还有可能接受到禁止控制信息，此种情况可能因为车端没有通过终端的身份验证，即终端发送的数字钥匙对应的哈希值不在白名单中；也可能因为车端接收到了其他的数字钥匙，且其优先等级高于当前终端的数字钥匙的优先等级。本发明实施例提供的身份认证方法的技术方案，应用于由服务器、终端和车辆所组成的系统的终端，包括向车端发送数字钥匙，数字钥匙包括车端信息和终端身份信息；接收车端返回的允许控制信息，允许控制信息由终端在车端信息和终端身份信息对应的哈希值在白名单内时生成。在车端设置白名单，如果终端的数字钥匙在白名单中，则通过终端的身份认证，终端在通过身份验证后，即可根据接收到的允许控制信息对车辆进行控制，便于用户离线状态下进行身份认证，具有较高的安全性，防止用户信息泄露。实施例四本发明实施例提供了一种身份认证方法，在前述实施例的基础上优化了白名单的管理。如果用户发现数字钥匙被泄露，或被攻击，可以向服务器发送受攻击信息，服务器接收到受攻击信息后，即删除受攻击信息中的终端身份信对应的数字钥匙，防止不法分子继续使用数字钥匙。服务器删除数字钥匙的同时向终端发送注销数字钥匙的注销信息，以及通过终端向车端发送注销数字钥匙的注销信息，车端根据该注销信息撤销该数字钥匙。如果发送攻击信息的终端持有的是主数字钥匙，车端将删除白名单中该主数字钥匙对应的哈希值，以及基于该主数字钥匙生成的分享数字钥匙的哈希值；如果发送攻击信息的终端持有的是分享数字钥匙，车端将删除白名单中该分享数字钥匙对应的哈希值。服务删除终端对应的数字钥匙后，终端可以再根据前述实施例所述的方法获取主数字钥匙。可以理解的是，新获取的主数字钥匙的车端信息中的随机数不同，服务器对终端身份信息、车端信息的签名值也不同。另外，如果车主想要撤销某个分享数字钥匙，可以直接像车端发送撤销请求，车端基于该撤销请求删除白名单中该分享数字钥匙对应的哈希值。为了提高数字钥匙管理的便利性，车主可以在分享数字钥匙时，在权限信息中添加有效时间，那么添加了有效时间的数字钥匙仅在有效时间内有效，一旦超过有效时间便自动失效，也就是说，一旦超过有效时间，车端会自动将其哈希值从白名单中删除，或将其移至其他位置。由于白名单内保存的是数字钥匙的哈希值，因此具有较高的安全性，还可以在保证用户信息安全的前提下，减少用户身份认证的流程和时间；而且白名单内的哈希值的添加与撤销除均比较简单，方便用户使用。实施例五图5是本发明实施例五提供的身份认证装置的结构框图。该装置用于执行上述任意实施例所提供的身份认证方法，该装置可选为软件或硬件实现。该装置包括：终端发送模块21，用于向车端发送数字钥匙，数字钥匙包括车端信息和终端身份信息；终端接收模块22，用于接收车端返回的允许控制信息，允许控制信息由终端在车端信息和终端身份信息对应的哈希值在白名单内时生成。其中，终端接收模块还用于接收车端返回的禁止控制信息，所述禁止控制信息由终端在所述车端信息和终端身份信息的哈希值不在白名单内时生成。其中，车端信息包括车端身份信息和随机数。数字钥匙为主数字钥匙或者分享数字钥匙。该装置还包括终端数字钥匙获取模块，用于向车端发送的认证请求信息，所述认证请求信息包括终端身份信息；接收车端根据所述认证请求信息发送的车端信息；将所述终端身份信息和所述车端信息发送至服务器，并接收所述服务器返回的签名值；将所述签名值发送至车端，以由所述车端对所述签名值进行验证，以及在验证通过时返回数字钥匙，以及将所述车端信息和终端身份信息的哈希值添加至白名单，其中，验证通过的前提为：所述签名值至少包含服务器的签名值。该装置还包括设置于主数字钥匙所在终端的终端数字钥匙分享模块，用于在向目标终端发送分享数字钥匙时向车端发送分享信息，以使车端将分享数字钥匙对应的哈希值添加至白名单，其中分享数字钥匙由主数字钥匙所在终端根据主数字钥匙生成，分享数字钥匙对应的哈希值由车端根据所述分享信息生成。优选地，终端数字钥匙分享模块根据主数字钥匙和用户输入或选择的优先等级生成分享数字钥匙；并将分享数字钥匙发送至目标终端，并同时向车端发送分享信息。该装置还包括上报模块，用于向服务器发送受攻击信息，以使服务器删除受攻击信息中的终端身份信息对应的主数字钥匙。本发明实施例提供的身份认证装置的技术方案，应用于由服务器、终端和车辆所组成的系统的终端，通过终端发送模块向车端发送数字钥匙，数字钥匙包括车端信息和终端身份信息；通过终端接收模块接收车端返回的允许控制信息，允许控制信息由终端在车端信息和终端身份信息对应的哈希值在白名单内时生成。在车端设置白名单，如果终端的数字钥匙在白名单中，则通过终端的身份认证，终端在通过身份验证后，即可根据接收到的允许控制信息对车辆进行控制，便于用户离线状态下进行身份认证，具有较高的安全性，防止用户信息泄露。本发明实施例所提供的身份认证装置可执行本发明任意实施例所提供的身份认证方法，具备执行方法相应的功能模块和有益效果。实施例六本发明实施例六还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行一种身份认证方法，该方法包括：向车端发送数字钥匙，所述数字钥匙包括车端信息和终端身份信息；接收车端返回的允许控制信息，所述允许控制信息由终端在所述车端信息和终端身份信息对应的哈希值在白名单内时生成。当然，本发明实施例所提供的一种包含计算机可执行指令的存储介质，其计算机可执行指令不限于如上所述的方法操作，还可以执行本发明任意实施例所提供的身份认证方法中的相关操作。该计算机存储介质可以为任何有形媒介，例如软盘、CD-ROM、DVD、硬盘驱动器、甚至网络介质等。本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于以计算机可读存储介质中，存储介质可以包括：ROM、RAM、磁盘或光盘等。应当理解，虽然以上描述了本发明实施方式的一种实现形式可以是计算机程序产品，但是本发明的实施方式的方法或装置可以被依软件、硬件、或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的方法和设备可以使用计算机可执行指令和或包含在处理器控制代码中来实现，例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器固件的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的方法和装置可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。应当理解，尽管在上文的详细描述中提及了装置的若干模块或单元，但是这种划分仅仅是示例性而非强制性的。实际上，根据本发明的示例性实施方式，上文描述的两个或更多模块单元的特征和功能可以在一个模块单元中实现，反之，上文描述的一个模块单元的特征和功能可以进一步划分为由多个模块单元来实现。此外，上文描述的某些模块单元在某些应用场景下可被省略。应当理解，为了不模糊本发明的实施方式，说明书仅对一些关键、未必必要的技术和特征进行了描述，而可能未对一些本领域技术人员能够实现的特征做出说明。以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换等，均应包含在本发明的保护范围之内。虽然本发明披露如上，但本发明并非限定于此。任何本领域技术人员，在不脱离本发明的精神和范围内，均可作各种更动与修改，因此本发明的保护范围应当以权利要求所限定的范围为准。

权利要求：1.一种身份认证方法，应用于由服务器、终端和车辆所组成的系统的车辆，其特征在于，包括：接收终端发送的数字钥匙，所述数字钥匙包括车端信息和终端身份信息；计算所述车端信息和终端身份信息的哈希值；如果所述哈希值在白名单中，则向所述终端输出允许控制信息。2.根据权利要求1所述的方法，其特征在于，所述计算所述车端信息和终端身份信息的哈希值之后，还包括：如果所述哈希值不在所述白名单中，则输出禁止控制信息。3.根据权利要求1所述的方法，其特征在于，所述车端信息包括车端身份信息和随机数。4.根据权利要求1所述的方法，其特征在于，所述数字钥匙为主数字钥匙或者分享数字钥匙。5.根据权利要求4所述的方法，其特征在于，如果所述数字钥匙为主数字钥匙，接收终端发送的数字钥匙之前还包括生成数字钥匙，包括：接收终端发送的认证请求信息，并根据所述认证请求信息向终端发送车端信息，所述认证请求信息包括终端身份信息；接收终端发送的签名值，其中，签名值由服务器对终端发送的所述车端信息和终端身份信息进行签名所生成的签名值；对所述签名值进行验证，以及在验证通过时向终端发送数字钥匙，并将所述车端信息和终端身份信息的哈希值添加至白名单，其中，验证通过的前提为：所述签名值至少包含服务器的签名值。6.根据权利要求4所述的方法，其特征在于，所述数字钥匙为分享数字钥匙，在接收终端发送的数字钥匙之前还包括：获取终端向目标终端发送分享数字钥匙时反馈的分享信息，所述分享数字钥匙由所述终端根据主数字钥匙生成；根据所述分享信息生成分享数字钥匙对应的哈希值，并将该分享数字钥匙的哈希值添加至白名单。7.根据权利要求6所述的方法，其特征在于，所述分享信息包括优先等级，相应的，所述根据所述分享信息生成分享数字钥匙对应的哈希值，并将该分享数字钥匙的哈希值添加至白名单，包括：根据所述分享信息生成分享数字钥匙对应的哈希值，并将所述分享数字钥匙的哈希值添加至所述优先等级对应的白名单位置。8.根据权利要求7所述的方法，其特征在于，所述如果所述哈希值在白名单中，则向所述终端输出允许控制信息，包括：如果所述哈希值在所述白名单中，则判断当前时刻接收到的哈希值在白名单内的数字钥匙的数量；如果数量为1，则输出允许控制信息；如果数量至少为两个，则向哈希值优先级最高的数字钥匙的来源终端输出允许控制信息。9.一种身份认证装置，设置于由服务器、终端和车辆所组成的系统的车辆，其特征在于，包括：车端接收模块，用于接收数字钥匙，所述数字钥匙包括车端信息和终端身份信息；车端计算模块，用于计算所述车端信息和终端身份信息的哈希值；车端输出模块，用于如果所述哈希值在白名单中，则向所述终端输出允许控制信息。10.一种身份认证方法，应用于由服务器、终端和车辆所组成的车机系统的终端，其特征在于，包括：向车端发送数字钥匙，所述数字钥匙包括车端信息和终端身份信息；接收车端返回的允许控制信息，所述允许控制信息由终端在所述车端信息和终端身份信息对应的哈希值在白名单内时生成。11.根据权利要求10所述的方法，其特征在于，在向车端发送数字钥匙，所述数字钥匙包括车端信息和终端身份信息之后，还包括：接收车端返回的禁止控制信息，所述禁止控制信息由终端在所述车端信息和终端身份信息的哈希值不在白名单内时生成。12.根据权利要求10所述的方法，其特征在于，所述车端信息包括车端身份信息和随机数。13.根据权利要求10所述的方法，其特征在于，所述数字钥匙为主数字钥匙或者分享数字钥匙。14.根据权利要求13所述的方法，其特征在于，所述数字钥匙为主数字钥匙，所述向车端发送数字钥匙之前，还包括获取数字钥匙，具体包括：向车端发送的认证请求信息，所述认证请求信息包括终端身份信息；接收车端根据所述认证请求信息发送的车端信息；将所述终端身份信息和所述车端信息发送至服务器，并接收所述服务器返回的签名值；将所述签名值发送至车端，以由所述车端对所述签名值进行验证，以及在验证通过时返回数字钥匙，以及将所述车端信息和终端身份信息的哈希值添加至白名单，其中，验证通过的前提为：所述签名值至少包含服务器的签名值。15.根据权利要求13所述的方法，其特征在于，所述向车端发送数字钥匙之前还包括：主数字钥匙所在终端在向目标终端发送分享数字钥匙时向车端发送分享信息，以使所述车端将分享数字钥匙对应的哈希值添加至白名单，其中所述分享数字钥匙由所述主数字钥匙所在终端根据主数字钥匙生成，所述分享数字钥匙对应的哈希值由车端根据所述分享信息生成。16.根据权利要求15所述的方法，其特征在于，所述主数字钥匙所在终端在向目标终端发送分享数字钥匙时向车端发送分享信息，包括：主数字钥匙所在终端根据主数字钥匙和用户输入或选择的优先等级生成分享数字钥匙；将所述分享数字钥匙发送至目标终端，并同时向车端发送分享信息。17.根据权利要求14所述的方法，其特征在于，所述将所述签名值发送至车端，以由所述车端对所述签名值进行验证，以及在验证通过时返回数字钥匙之后，还包括：向服务器发送受攻击信息，以使所述服务器删除所述受攻击信息中的终端身份信息对应的主数字钥匙。18.一种身份认证装置，设置于由服务器、终端和车辆所组成的系统的终端，其特征在于，包括：终端发送模块，用于向车端发送数字钥匙，所述数字钥匙包括车端信息和终端身份信息；终端接收模块，用于接收车端返回的允许控制信息，所述允许控制信息由终端在所述车端信息和终端身份信息对应的哈希值在白名单内时生成。19.一种包含计算机可执行指令的存储介质，其特征在于，所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求10-17中任一所述的身份认证方法。

百度查询： 上海银基信息安全技术股份有限公司 身份认证方法、装置和介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD