CN112514323B - 用于处理数字密钥的电子设备及其操作方法 - Google Patents
用于处理数字密钥的电子设备及其操作方法 Download PDFInfo
- Publication number
- CN112514323B CN112514323B CN201980050224.4A CN201980050224A CN112514323B CN 112514323 B CN112514323 B CN 112514323B CN 201980050224 A CN201980050224 A CN 201980050224A CN 112514323 B CN112514323 B CN 112514323B
- Authority
- CN
- China
- Prior art keywords
- digital key
- secure element
- request
- digital
- electronic device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000012545 processing Methods 0.000 title claims abstract description 57
- 230000008569 process Effects 0.000 claims abstract description 38
- 238000004891 communication Methods 0.000 abstract description 32
- 238000012795 verification Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Lock And Its Accessories (AREA)
Abstract
本公开涉及用于处理数字密钥的电子设备及其操作方法。根据一个实施例,用于处理数字密钥的电子设备可以包括:通信单元,该通信单元与外部设备通信;安全元件(SE),该安全元件存储数字密钥并执行与数字密钥相关联的处理;存储器,该存储器存储用于处理数字密钥的程序和数据;以及处理器,该处理器通过执行存储在存储器中的程序以:使用数字密钥框架从目标设备或用户应用接收处理数字密钥的请求,向安全元件的数字密钥应用发送处理数字密钥的请求和存储在数字密钥框架中的认证信息,以及基于处理数字密钥的请求、从数字密钥框架接收的认证信息和存储在安全元件中的认证信息,通过使用在安全元件中执行的数字密钥应用来执行处理数字密钥。
Description
技术领域
本公开涉及用于处理数字密钥的电子设备及其操作方法。
背景技术
随着诸如智能电话和平板电脑的个性化电子设备的广泛使用,已经开发了使用数字密钥来执行安全、认证等的技术。作为数字密钥技术,已经开发了使用诸如近场通信(NFC)的无线通信技术将数字密钥集成到移动设备(例如,智能电话)中的技术。即,数字化的虚拟钥匙(即数字密钥)可以被插入到移动设备中,并且移动设备的用户可以使用该数字密钥,使得物理钥匙可以被数字密钥代替以打开或关闭、控制和进入门。
因此,数字密钥的使用将极大地提高用户的便利性和工业效果,但是已经出现安全问题。即,数字密钥基本上需要与电子设备集成,因此很可能被恶意使用,例如对电子设备的黑客攻击。因此,需要一种用于在电子设备中安全地存储数字密钥并访问该数字密钥的技术。
数字密钥的安全级别由电子设备的处理区域决定。通用电子设备的处理区域的安全性不能被保证。因此,通用电子设备的处理区域的安全级别不足以处理数字密钥,例如生成、管理、删除和使用数字密钥。因此,有必要在安全级别高的区域中处理数字密钥。
发明内容
技术问题
本公开提供了一种用于处理数字密钥的电子设备及其操作方法。
问题的解决方案
根据本公开的一个方面,一种用于处理数字密钥的电子设备包括:通信器,所述通信器被配置为与外部设备通信;安全元件(SE),所述安全元件被配置为存储数字密钥并执行与数字密钥相关的处理;存储器,所述存储器存储用于处理数字密钥的程序和数据;以及处理器,所述处理器被配置为执行存储在所述存储器中的所述程序以:通过使用数字密钥框架从目标设备或用户应用接收处理数字密钥的请求,向所述安全元件的数字密钥应用发送处理数字密钥的请求和存储在所述数字密钥框架中的认证信息,以及基于处理数字密钥的请求、从所述数字密钥框架接收的所述认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的数字密钥应用来处理数字密钥。
根据本公开的另一方面,一种用于处理数字密钥的电子设备的操作方法包括:通过使用数字密钥框架从目标设备或用户应用接收处理数字密钥的请求;向安全元件的数字密钥应用发送处理数字密钥的请求和存储在所述数字密钥框架中的认证信息;以及基于处理数字密钥的请求、从所述数字密钥框架接收的所述认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的数字密钥应用来处理数字密钥。
本发明的有益效果
本公开的实施例提供了一种用于处理数字密钥的电子设备及其操作方法。
附图说明
图1是用于描述应用数字密钥的环境的示图。
图2是描述使用数字密钥实现服务的系统的示图。
图3是示出根据本公开的实施例的用于处理数字密钥的安全元件的配置的示图。
图4是示出根据本公开实施例的用于处理数字密钥的电子设备的配置的示图。
图5是示出根据本公开的实施例的包括安全元件的电子设备的系统架构的示图。
图6和图7是示出根据本公开的实施例的电子设备生成数字密钥的操作方法的示图。
图8是示出根据本公开实施例的用于管理数字密钥的电子设备的操作方法的示图。
图9是根据本公开实施例的电子设备的操作方法的流程图。
最佳模式
根据本公开的一个方面,一种用于处理数字密钥的电子设备包括:通信器,所述通信器被配置为与外部设备通信;安全元件(SE),所述安全元件被配置为存储数字密钥并执行与数字密钥相关的处理;存储器,所述存储器存储用于处理数字密钥的程序和数据;以及处理器,所述处理器被配置为执行存储在所述存储器中的所述程序以:通过使用数字密钥框架从目标设备或用户应用接收处理数字密钥的请求,向所述安全元件的数字密钥应用发送处理数字密钥的请求和存储在所述数字密钥框架中的认证信息,以及基于处理数字密钥的请求、从所述数字密钥框架接收的所述认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的数字密钥应用来处理数字密钥。
在本公开的实施例中,数字密钥的处理可以包括创建数字密钥、删除数字密钥或管理数字密钥中的至少一个操作。
在本公开的实施例中,所述处理器还可以被配置为:通过使用所述数字密钥框架从所述目标设备接收生成数字密钥的请求,所述请求包括包含用于生成数字密钥的配置信息和用于防止重复使用命令的质询信息的数据包、所述数据包的签名信息以及所述目标设备的证书信息;向所述安全元件的数字密钥应用发送所述认证信息和生成数字密钥的请求,所述认证信息被存储在所述数字密钥框架中以验证所述数据包、所述数据包的签名信息和所述目标设备的证书信息;基于从所述数字密钥框架接收的所述认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的数字密钥应用来验证所述数据包、所述数据包的签名信息和所述目标设备的证书信息;以及通过使用所述数据包中包括的生成数字密钥的所述配置信息,来生成数字密钥。
在本公开的实施例中,数字密钥可以被存储在安全元件中。
在本公开的实施例中,所述处理器可以进一步被配置为:通过使用所述数字密钥框架从所述目标设备接收管理存储在所述安全元件中的所述数字密钥的请求;检查发送管理所述数字密钥的请求的服务提供商是否为授权的服务提供商;向所述安全元件的数字密钥应用发送存储在所述数字密钥框架中以验证管理所述数字密钥的请求的认证信息和管理所述数字密钥的请求;基于从所述数字密钥框架接收的认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的所述数字密钥应用来验证管理所述数字密钥的请求;以及管理所述数字密钥。
在本公开的实施例中,所述处理器可以将处理数字密钥的结果发送给服务提供商服务器。
根据本公开的另一方面,一种用于处理数字密钥的电子设备的操作方法包括:通过使用数字密钥框架从目标设备或用户应用接收处理数字密钥的请求;向安全元件的数字密钥应用发送处理数字密钥的请求和存储在所述数字密钥框架中的认证信息;以及基于处理数字密钥的请求、从所述数字密钥框架接收的所述认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的数字密钥应用来处理数字密钥。
在本公开的实施例中,数字密钥的处理可以包括创建数字密钥、删除数字密钥或管理数字密钥中的至少一个操作。
在本公开的实施例中,通过使用数字密钥框架从目标设备接收处理数字密钥的请求可以包括通过使用所述数字密钥框架从所述目标设备接收生成数字密钥的请求,所述生成数字密钥的请求包括:数据包,所述数据包包括用于生成数字密钥的配置信息和用于防止重复使用命令的质询信息;所述数据包的签名信息;以及所述目标设备的证书信息。
在本公开的实施例中,向所述安全元件的数字密钥应用发送处理数字密钥的请求和存储在所述数字密钥框架中的认证信息可以包括:向所述安全元件的数字密钥应用发送所述认证信息和生成数字密钥的请求,所述认证信息被存储在所述数字密钥框架中以验证所述数据包、所述数据包的签名信息和所述目标设备的证书信息,并且通过使用在所述安全元件中执行的数字密钥应用来处理数字密钥数据可以包括:基于从所述数字密钥框架接收的所述认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的数字密钥应用来验证所述数据包、所述数据包的签名信息和所述目标设备的证书信息;以及通过使用所述数据包中包括的生成数字密钥的所述配置信息,来生成数字密钥。
在本公开的实施例中,数字密钥可以被存储在安全元件中。
在本公开的实施例中,通过使用所述数字密钥框架从所述目标设备接收处理数字密钥的请求可以包括:通过使用所述数字密钥框架从所述目标设备接收管理存储在所述安全元件中的所述数字密钥的请求,向所述安全元件的数字密钥应用发送处理数字密钥的请求和存储在所述数字密钥框架中的认证信息可以包括:检查发送管理所述数字密钥的请求的服务提供商是否为授权的服务提供商;以及向所述安全元件的数字密钥应用发送存储在所述数字密钥框架中以验证管理所述数字密钥的请求的认证信息和管理所述数字密钥的请求,以及通过使用在所述安全元件中执行的数字密钥应用来处理数字密钥数据可以包括:基于从所述数字密钥框架接收的认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的所述数字密钥应用来验证管理所述数字密钥的请求;以及管理所述数字密钥。
在本公开的实施例中,所述操作方法还可以包括向服务提供商服务器发送处理数字密钥的结果。
具体实施方式
在下文中,将参考附图详细描述本公开的实施例,使得本公开的实施例可以由本领域的普通技术人员容易地实现。然而,本公开可以以许多不同的形式实施,并且不限于这里阐述的本公开的实施例。为了清楚起见,在附图中省略了与描述本公开内容无关的部分,并且在整个说明书中,相同的组件由相同的附图标记表示。
本公开的一些实施例可以由功能块配置和各种操作来表示。一些或所有功能块可以由用于执行某些功能的各种数量的硬件和/或软件配置来实现。例如,本公开的功能块可以由一个或更多个微处理器或者特定功能的电路配置来实现。例如,本公开的功能块可以用各种编程或脚本语言来实现。功能块可以在由一个或更多个处理器执行的算法中实现。在本公开中,现有技术可以用于电子配置、信号处理和/或数据处理。
此外,附图中示出的连接元件的线或构件仅仅是功能连接和/或物理或电路连接的示例。在实际设备中,组件之间的连接可以由各种功能连接、物理连接或可替换或添加的电路连接来表示。
当在本文中使用时,诸如“单元”、“模块”等术语表示用于处理至少一个功能或操作的单元,其可以通过硬件、软件或硬件和软件的组合来实现。“单元”和“模块”可以存储在可寻址存储介质中,并且可以由处理器可执行的程序来实现。例如,“单元”和“模块”可以通过例如组分来实现,例如软件组分、面向对象软件组分、类组分和任务组分、进程、函数、属性、过程、子程序、程序代码段、驱动器、固件、微码、电路、数据、数据库、数据结构、表、数组和参数。
图1是用于描述应用数字密钥的环境的示图。
图1示出了电子设备100、电子设备100的用户1以及用于使用安装在电子设备100中的数字密钥来执行控制和访问的目标设备11、12、......、13。
电子设备100可以包括个性化移动设备,但不限于此,并且可以包括各种类型的电子设备。例如,电子设备100可以包括智能电话、平板电脑、个人电脑、相机、可穿戴设备等。在本公开的实施例中,电子设备100可以包括安全元件,并且安全元件可以执行诸如创建、删除和管理用于控制或访问外部设备的数字密钥以及认证数字密钥的过程。
目标设备11、12、......、13可以与电子设备100交互以执行用于创建数字密钥的操作,并且可以使用通过该过程生成并存储在电子设备100的安全元件中的数字密钥来控制和访问。
例如,当目标设备11是车辆时,用户1可以通过电子设备100与车辆11交互,以生成数字密钥并将数字密钥存储在电子设备100的安全元件中。用户1可以通过使用存储在电子设备100的安全元件中的数字密钥来控制车辆11的各种操作。例如,用户1可以使用数字密钥来打开或关闭门、启动发动机以及控制安装在车辆中的各种电子设备。此外,可以控制与自动驾驶相关的操作,例如自动停车系统。当目标设备是门锁12时,用户1可以通过使用数字密钥来锁定或解锁门锁。当目标设备是控制系统13时,控制系统13可以通过使用数字密钥来认证用户1,并且根据认证的用户1向用户1提供不同级别的权限。
图1所示的本公开的实施例仅是示例,本公开的范围不限于此。例如,可以具有除了图1的目标设备11、12、......、13之外的各种目标设备。
图2是描述使用数字密钥实现服务的系统的示图。
图2示出了服务提供商服务器210、数字密钥服务管理器服务器220、电子设备100和目标设备10。
服务提供商服务器210是向用户1提供数字密钥服务的服务提供商的服务器。服务提供商是指提供与例如车辆,旅馆,房屋,建筑物等有关的服务并且可以根据主要服务向用户1提供数字钥匙服务作为附加服务的商业运营商。例如,一家汽车公司销售汽车,一家酒店、住宅和建筑公司提供与酒店、住宅和建筑相关的服务。这种服务提供商可以为访问功能提供数字密钥服务,例如,打开或关闭门的功能、启动发动机的功能、控制功能等。
服务提供商服务器210可以包括用户账户信息,例如用户1的标识(ID)和密码,以及用户信息数据库,例如销售产品或服务信息。例如,当汽车公司向用户1出售车辆时,汽车公司可以存储诸如用户1的ID和密码、车辆的ID号、关于是否使用数字密钥服务的信息等信息。
数字密钥服务管理器服务器220向电子设备100提供用于安全发布和存储数字密钥的技术和服务。例如,当用户1购买车辆并且想要在电子设备100中存储数字密钥时,电子设备100可以在检查用户1是有效用户还是车辆是有效车辆之后生成并存储数字密钥并管理存储的数字密钥。
目标设备10是对应于由服务提供商出售给用户1的产品和服务的实体。例如,目标设备10可以包括车辆、酒店、房屋或建筑物的门。更具体地,目标设备10不仅可以包括用于车辆的门和后备箱的门,还可以包括用于启动发动机和车辆控制的访问门。
如上所述,电子设备100可以包括各种类型的电子设备。在本公开的实施例中,电子设备100可以包括安全元件,并且安全元件可以生成,删除和管理用于控制和访问目标设备11、12、......、13的数字密钥,并且可以对数字密钥进行认证。此外,安全元件可以提供认证外部实体(例如,服务提供商服务器210)对数字密钥的访问以及验证外部实体的权限以安全地管理数字密钥的功能。
图2示出了使用数字密钥实现服务的系统的示例,并且使用数字密钥的服务不限于此,并且可以以各种方式实现。
图3是示出根据本公开实施例的用于处理数字密钥的安全元件的配置的示图。
参考图3,安全元件300可以包括通信接口310、存储器320和处理器330。
安全元件300是电子设备100的独立且安全的存储设备,并且是仅可由认证的应用访问的安全区域。安全元件300可以被配置为与其他硬件组件物理隔离。在本公开的实施例中,安全元件300可以包括嵌入式安全元件(eSE)、通用集成电路卡(UICC)、安全数字卡(SD)、嵌入式UICC(eUICC)等。
通信接口310可以与主机101通信。在本公开的实施例中,通信接口310可以包括用于与主机101通信的各种有线/无线通信接口中的至少一个。这里,主机101可以是包括在电子设备100中的设备之一,并且可以包括例如应用处理器(AP)、存储器等。通信接口310可以是例如串行接口,例如ISO 7816、通用串行总线(USB)、集成电路间(I2C)、串行外围接口(SPI)或单线协议(SWP),或者通常用于两个硬件设备之间通信的串行接口。替代地,通信接口310可以是无线接口,例如ISO 14443、ZigBee或蓝牙,其将天线直接连接到硬件设备。此外,通信接口310可以是连接到电子设备100的中央总线USB的并行接口,并且在此情况下可以包括从主机101接收命令和数据的缓冲器。
诸如程序(例如,应用)和文件的各种类型的数据可以被安装并存储在存储器320中。处理器330可以访问和使用存储在存储器320中的数据,或者在存储器320中存储新数据。在本公开的实施例中,用于处理数字密钥的程序和数据可以被安装并存储在存储器320中。
处理器330可以控制安全元件300的整体操作,并且可以包括至少一个处理器,例如CPU或GPU。处理器330可以控制安全元件300中包括的其他组件来执行用于处理数字密钥的操作。例如,处理器330可以执行存储在存储器320中的程序,读取存储在存储器320中的文件,或者在存储器320中存储新文件。在本公开的实施例中,处理器330可以执行存储在存储器320中的程序,以执行用于处理数字密钥的操作。
图4是示出根据本公开实施例的用于处理数字密钥的电子设备的配置的示图。
参考图4,电子设备400可以包括通信器410、存储器420、安全元件430、处理器440和连接这些组件的总线450。
通信器410可以执行与另一设备或网络的有线或无线通信。为此,通信器410可以包括支持各种有线和无线通信方法中的至少一种的通信模块。例如,通信模块可以是芯片组的形式,或者可以是存储通信所需信息的贴纸/条形码(例如,具有NFC标签的贴纸)。
无线通信可以包括例如蜂窝通信,无线保真(Wi-Fi),Wi-Fi直连,蓝牙,超宽带(UWB)或近场通信(NFC)中的至少一种。有线通信可以包括例如USB或高清多媒体接口(HDMI)中的至少一种。
在本公开的实施例中,通信器410可以包括用于短程通信的通信模块。例如,通信器410可以包括通信模块,用于建立各种短距离通信,例如红外通信和磁安全传输(MST)通信,以及上述Wi-Fi、Wi-Fi Direct、蓝牙和NFC。
诸如程序(例如,应用)和文件的各种类型的数据可以被安装并存储在存储器420中。处理器440可以访问和使用存储在存储器420中的数据,或者在存储器420中存储新数据。在本公开的实施例中,用于处理数字密钥的程序和数据可以被安装并存储在存储器420中。
安全元件430是电子设备400的独立且安全的存储设备,并且是仅可由如上所述的经认证的应用访问的安全区域。安全元件430可以被配置为与其他硬件组件物理隔离。在本公开的实施例中,用于处理数字密钥的程序和数据可以被安装并存储在安全元件430中。
处理器440可以控制电子设备400的整体操作,并且可以包括至少一个处理器,例如CPU或GPU。处理器440可以控制电子设备400中包括的其他组件来执行存储数字密钥的操作。例如,处理器440可以执行存储在存储器420和安全元件430中的程序,读取存储在其中的文件,或者在其中存储新文件。
在本公开的实施例中,处理器440可以通过使用数字密钥框架从目标设备或用户应用接收处理数字密钥的请求;向安全元件的数字密钥应用发送处理数字密钥的请求和存储在所述数字密钥框架中的认证信息;以及基于处理数字密钥的请求、从数字密钥框架发送的认证信息和存储在安全元件中的认证信息,通过使用在安全元件中执行的数字密钥应用来处理数字密钥。这里,数字密钥的处理可以包括创建数字密钥、删除数字密钥或管理数字密钥中的至少一个操作。
在本公开的实施例中,处理器440可以通过使用数字密钥框架从目标设备接收生成数字密钥的请求,该请求包括:数据包,该数据包包括用于创建数字密钥的配置信息和用于防止重复使用命令的质询信息;数据包的签名信息;以及目标设备的证书信息;向安全元件的数字密钥应用发送认证信息和生成数字密钥的请求,该认证信息存储在数字密钥框架中以验证数据包、该数据包的证书信息和该目标设备的证书信息;基于从数字密钥框架发送的认证信息和存储在安全元件中的认证信息,通过使用在安全元件中执行的数字密钥应用来验证该数据包、该数据包的签名信息和该目标设备的证书信息;以及通过使用数据包中包括的生成数字密钥的配置信息,来创建数字密钥。生成的数字密钥可以被存储在安全元件中。
在本公开的实施例中,处理器440可以:通过使用数字密钥框架从目标设备接收管理存储在安全元件中的数字密钥的请求;验证发送管理所述数字密钥的请求的服务提供商是否为授权的服务提供商;将用于验证管理数字密钥的命令的存储在数字密钥框架中的认证信息和管理数字密钥的请求发送到安全元件的数字密钥应用;以及基于从数字密钥框架发送的认证信息和存储在安全元件中的认证信息,通过使用在安全元件中执行的数字密钥应用来验证管理数字密钥的请求和管理数字密钥。
在本公开的实施例中,处理器440可以将处理数字密钥的结果发送给服务提供商服务器。
总线450是连接通信器410、存储器420、安全元件430和处理器440的公共数据传输路径。
图5是示出根据本公开实施例的包括安全元件的电子设备的系统架构的示图。
参考图5,电子设备500包括服务框架510和安全元件520。这里,安全元件520可以对应于图3的安全元件300或图4的安全元件430。
当安全元件430被外部实体访问时,服务框架510是充当网关的服务应用。服务框架可以提供可由外部实体访问的应用编程接口(API),并提供功能,例如用于访问安全元件520的访问控制和命令转换功能。外部实体可以是例如安装在便携式终端的操作系统(Android、iOS等)中的用户应用、外部服务器等。
安全元件520是电子设备100的独立且安全的存储设备,并且是仅可由认证的应用访问的安全区域。安全元件520可以被配置为与其他硬件组件物理隔离。在本公开的实施例中,安全元件520可以包括嵌入式安全元件(eSE)、通用集成电路卡(UICC)、安全数字卡(SD)、嵌入式UICC(eUICC)等。
数字密钥应用521是安装并驱动在安全元件520中的轻量级应用或小应用程序。数字密钥应用521可以生成数字密钥,将数字密钥存储在安全元件520内部的存储装置522中,并且以通用的形式向各种服务提供商提供使用、删除和管理数字密钥等的服务。数字密钥应用521可以预先安装在安全元件520中,或者稍后根据需要加载或安装在其中。
在本公开的实施例中,数字密钥应用521可以包括具有各种功能的组件,例如,会话管理器、命令处理器、安全通道管理器、事件日志记录器、服务提供商服务性能管理器、数字密钥管理器、数字密钥使用确定器、数字密钥共享管理器、公共安全模块、认证执行器、数字密钥使用/访问策略管理器等。
用于处理数字密钥的程序和数据可以被安装并存储在包括在安全元件520中的存储装置522中。
这些组件可以实现为硬件或软件组件或者硬件和软件组件的组合,并且可以由存储在存储介质中并且可由处理器执行的程序来实现。然而,数字密钥应用521的上述组件仅是示例,因此,数字密钥应用521可以以各种其他形式配置,包括例如仅一些组件或进一步包括其他组件。
图6和图7是示出根据本公开的实施例的电子设备生成数字密钥的操作方法的示图。
参考图6和图7,首先,在操作601,电子设备开始进行所有者配对。在本公开的实施例中,电子设备可以通过用户应用从服务提供商接收用户给出的密码,并将该密码发送到数字密钥(DK)框架。
接下来,在操作602,电子设备的数字密钥框架建立与目标设备的通信连接。在此情况下,电子设备可以通过使用各种类型的短程通信,例如红外通信和磁安全传输(MST)通信,以及Wi-Fi、Wi-Fi Direct、蓝牙和NFC,来建立与目标设备的通信。
在操作603,电子设备的数字密钥框架认证在操作601中接收的密码。
此后,在操作604,电子设备的数字密钥框架从目标设备接收电子设备质询请求(deviceChallenge)。在本公开的实施例中,电子设备和目标设备可以通过在其之间相互生成的质询来防止重复使用生成密钥的命令。这里,质询指的是识别目标设备与电子设备之间的信息的过程,例如,通过证书的识别来验证另一方。
在操作605,电子设备的数字密钥框架将在操作604中接收的电子设备质询请求deviceChallenge发送到安全元件的数字密钥应用。
此后,在操作606,安全元件的数字密钥应用根据电子设备质询请求deviceChallenge生成电子设备质询。在操作607,安全元件的数字密钥应用将生成的电子设备质询发送到电子设备的数字密钥框架。在操作608,电子设备的数字密钥框架向目标设备发送电子设备质询。
在操作609,目标设备还生成目标设备质询(609-1)。在本公开的实施例中,当目标设备是车辆时,车辆可以生成目标设备质询(vehicleChallenge)。此外,目标设备生成配置信息(confirmedConfig),该配置信息是生成数字密钥(609-2)所需的一组值。电子设备可以接收由目标设备生成的配置信息(confirmedConfig),并基于配置信息(confirmedConfig)生成数字密钥结构。
在本公开的实施例中,目标设备可以生成目标设备。PairingMaterial是打包电子设备质询(deviceChallenge)、目标设备质询(vehicleChallenge)和配置信息(confirmedConfig)的结果(609-3)。当目标设备是车辆时,可以生成vehicle.PairingMaterial。此外,目标设备可以通过使用一对唯一生成的目标设备公共密钥/目标设备秘密密钥(target device.PK/target device.SK或Vehicle.PK/Vehicle.SK)中的目标设备秘密密钥(target device.SK或Vehicle.SK)来签名targetdevice.PairingMaterial(vehicle.PairingMaterial),并生成targetdevice.PairingMaterialSignature(vehicle.PairingMaterialSignature)(609-4)。
然后,在操作610,目标设备向电子设备的数字密钥框架发送所生成的targetdevice.PairingMaterial(vehicle.PairingMaterial)和targetdevice.PairingMaterialSignature(vehicle.PairingMaterialSignature),以及目标设备证明(其是存储在每个目标设备中的唯一证书)。目标设备证明是由服务提供商签名的目标设备证书。在本公开的实施例中,当目标设备是车辆时,目标设备证明可以是车辆证明,并且车辆证明可以是由车辆制造商签名的车辆证书。
在操作611,电子设备的数字密钥框架向安全元件的数字密钥应用发送在操作610中接收的target device.PairingMaterial(vehicle.PairingMaterial)和targetdevice.PairingMaterialSignature(vehicle.PairingMaterialSignature),以及作为验证目标设备证明的证书链的服务提供商证书的服务提供商交叉证书。服务提供商交叉证书可以是由数字密钥服务管理器服务器授权的服务提供商的证书,并且在服务提供商的证书或公共密钥被使用与由数字密钥服务管理器服务器提供的证书的公共密钥匹配的秘密密钥签名之后,被存储在电子设备的数字密钥框架中。例如,当目标设备是车辆时,作为服务提供商的证书的服务提供商交叉证书可以是作为车辆制造商的证书的车辆OEM交叉证书。车辆OEM交叉证书可以是由数字密钥服务管理器服务器授权的车辆制造商的证书,并且在使用与由数字密钥服务管理器服务器提供的证书(例如,设备OEM证书)的公共密钥相匹配的秘密密钥签名该证书或制造商的公共密钥之后,存储在电子设备的数字密钥框架中。
在操作612中,安全元件的数字密钥应用对目标设备证明执行证书链验证,该目标设备证明是由服务提供商签名的目标设备证书(612-1)。在本公开的实施例中,目标设备证明可以用作为服务提供商的证书的服务提供商交叉证书来验证。例如,当目标设备是车辆时,车辆证明由车辆的制造商签名,因此可以用作为该证书的制造商的证书的车辆OEM交叉证书来验证。
在此情况下,目标设备证明可以使用由数字密钥服务管理器服务器提供并存储在安全元件中的证书或公共密钥来验证。例如,车辆OEM交叉证书可以使用由数字密钥服务管理器服务器提供并且存储在安全元件中的证书(例如,设备OEM证书)或公共密钥(例如,device OEM.PK)来验证。在本公开的实施例中,由数字密钥服务管理器服务器提供的证书(例如,设备OEM证书)或公共密钥(例如,device OEM.PK)是证书链验证中最高级别的证书。证书链验证应该由最高安全级别的组件来执行。在本公开的实施例中,证书链验证可以由电子设备的组件中具有最高安全级别的安全元件来执行。当证书链验证由具有低安全级别的组件(例如,电子设备的数字密钥框架)执行时,由于安全攻击、不正确的服务执行等,证书链验证可能暴露于由存储器溢出引起的风险。在本公开的实施例中,证书链验证可以由电子设备的组件中具有最高安全级别的安全元件来执行,从而提供更安全的服务。
在证书链验证之后,安全元件的数字密钥应用通过使用服务提供商的证书来验证target device.PairingMaterialSignature(例如,vehicle.PairingMaterialSignature)(612-2)。此后,当使用目标设备时,安全元件的数字密钥应用生成一对用于相互验证的数字密钥。例如,当目标设备是车辆时,生成用于相互验证以打开或关闭车门的门或启动发动机的一对数字密钥(612-3)。此外,安全元件的数字密钥应用基于从目标设备接收的配置信息生成作为数字密钥数据包的数字密钥(DK)结构。数字密钥结构不仅可以包括新生成的数字密钥的公共密钥,还可以包括各种值,例如目标设备的标识信息(例如,VIN)、数字密钥ID、管理权限等。接下来,生成包括DK结构和目标设备质询(例如,vehicleChallenge)的PairingMaterial(612-4)。此后,通过用InstanceCA.SK密钥对DK.PairingMaterial进行签名来生成device.PairingMaterialSignature,证明device.PairingMaterialSignature是由电子设备的安全元件生成的。实例证书颁发机构可以包括包含在安全元件中的每个服务提供商(例如,车辆制造商)的一对公共密钥/秘密密钥,并且可以用作服务提供商验证由电子设备的安全元件执行的操作的工具。
在操作613,安全元件的数字密钥应用可以响应于操作611,向电子设备的数字密钥框架发送device.PairingMaterial和device.PairingMaterialSignature。
此后,在操作614,电子设备的数字密钥框架向目标设备发送设备交叉证书和实例CA证明,用于在device.PairingMaterial和device.PairingMaterialSignature上执行证书链验证。设备交叉证书是由数字密钥服务管理器服务器提供的证书,并且由数字密钥服务管理器服务器提供的证书或公共密钥由服务提供商签名。实例CA证明是一种证书,其中由安全元件生成的实例证书颁发机构由数字密钥服务管理器服务器签名。
在操作615,目标设备利用接收的实例CA证明验证device.PairingMaterialSignature(615-1)。此后,使用设备交叉证书来验证实例CA证明(615-2)。当所有验证成功时,数字密钥结构被存储在目标设备中(615-3)。
接下来,在操作616中,电子设备的数字密钥框架与目标设备之间的通信结束。
在操作617,安全元件的数字密钥应用和目标设备交换并验证其与秘密密钥相对应的公共密钥。
此后,在操作618,安全元件的数字密钥应用向服务提供商(例如,车辆制造商)的服务器通知数字密钥的生成。在操作619,服务提供商的服务器确认数字密钥的生成,执行二次验证,并将二次验证的结果发送给安全元件的数字密钥应用。当电子设备连接到网络时,可以执行该过程。
图8是示出根据本公开实施例的用于管理数字密钥的电子设备的操作方法的示图。
参考图8,在操作801,服务提供商服务器向电子设备发送通知,告知具有要发送给用户应用的命令。接下来,在操作802,用户应用将通知发送到电子设备的数字密钥框架。
在操作803,电子设备的数字密钥框架建立与服务提供商服务器的TLS会话,该TLS会话是安全会话。在操作804,服务提供商服务器向电子设备的数字密钥框架发送作为管理特定密钥的命令的KeyManagement(manageAttestation)。在本公开的实施例中,KeyManagement(manageAttestation)可以是由服务提供商的秘密密钥签名的管理命令数据包的值。在本公开的实施例中,数字密钥的管理可以包括诸如数字密钥的激活/去激活、属性的改变等操作。尽管上面已经描述了数字密钥的处理可以包括数字密钥的生成、删除和管理,但是数字密钥的管理可以包括数字密钥的删除。
尽管图8示出了根据实施例的通过数字密钥框架根据管理密钥的命令来管理特定密钥的操作,但是密钥的管理也可以应用于处理密钥的另一操作,例如删除密钥。例如,为了删除存储在电子设备中的数字密钥,服务提供商服务器可以向电子设备的数字密钥框架发送Keydeletion(deleteAttestation),而非图8的KeyManagement(manageAttestation)。
在操作805,电子设备的数字密钥框架检查发送KeyManagement(manageAttestation)的服务提供商服务器是否为授权服务器(805-1)。此后,电子设备的数字密钥框架根据服务提供商的策略或用户设置来认证终端的用户(805-2)。此外,电子设备的数字密钥框架准备传送服务提供商交叉证书(例如,车辆OEM交叉证书),通过该证书,安全元件的数字密钥应用可以向安全元件的数字密钥应用验证manageAttestation(805-3)。在本公开的实施例中,服务提供商交叉证书(例如,车辆OEM交叉证书)是在由数字密钥服务管理器服务器授权提供服务的服务提供商的证书或公共密钥被使用与由数字密钥服务管理器服务器提供的证书的公共密钥匹配的秘密密钥签名之后,存储在电子设备的数字密钥框架中的服务提供商的证书。
在操作806,电子设备的数字密钥框架向安全元件的数字密钥应用发送数字密钥管理请求。在本公开的实施例中,数字密钥管理请求可以包括manageAttestation(在删除请求的情况下为deleteAttestation)和服务提供商交叉证书(例如,车辆OEM交叉证书)。
此后,在操作807,检查数字密钥管理请求是否被允许(807-1)。接下来,安全元件的数字密钥应用利用服务提供商交叉证书(例如,车辆OEM交叉证书)来验证manageAttestation(807-2)。服务提供商交叉证书(例如,车辆OEM交叉证书)被使用证书或者由数字密钥服务管理器服务器提供的公共密钥来验证,该证书是存储在安全元件的数字密钥应用中的最高级别验证证书。在本公开的实施例中,证书链验证可以由电子设备的组件中具有最高安全级别的安全元件来执行,从而提供更安全的服务。此外,可以在最安全的地方执行证书链验证,从而安全地管理密钥,防止对电子设备或用户应用的数字密钥框架的攻击。当证书链验证由具有低安全级别的组件(例如数字密钥框架)执行时,数字密钥中可能会出现安全和管理问题,由于未经授权的命令,其应该被安全地处理。
在验证之后,安全元件的数字密钥应用管理数字密钥(807-3),并生成告知数字密钥管理的通知(807-4)。
在操作808,安全元件的数字密钥应用响应于操作811,使用每个服务提供商的实例CA的秘密密钥来签名管理结果,并将签名管理结果的结果发送到电子设备的数字密钥框架。
在操作809,电子设备的数字密钥框架准备实例CA证明。在操作810,数字密钥框架将实例CA证明和告知验证结果的通知发送到服务提供商服务器,使得服务提供商服务器可以验证管理的签名结果。
在操作811,服务提供商服务器利用实例CA证明和由数字密钥服务管理器服务器提供的证书对管理的签名结果执行链验证。
图9是根据本公开实施例的电子设备的操作方法的流程图。
首先,在操作910,电子设备通过使用数字密钥框架来从目标设备接收处理数字密钥的请求。这里,数字密钥的处理可以包括创建数字密钥、删除数字密钥或管理数字密钥中的至少一个操作。
在本公开的实施例中,当数字密钥的处理是生成数字密钥时,电子设备使用数字密钥框架来接收生成数字密钥的请求,该请求包括:数据包,该数据包包括用于生成数字密钥的配置信息和用于防止命令重用的质询信息;数据包的签名信息和目标设备的证书信息。
在本公开的实施例中,当数字密钥的处理是删除数字密钥时,电子设备可以通过使用数字密钥框架从目标设备接收删除存储在安全元件中的数字密钥的请求。
在操作920,电子设备将处理数字密钥的请求和存储在数字密钥框架中的认证信息发送到安全元件的数字密钥应用。
在本公开的实施例中,当数字密钥的处理是生成数字密钥时,电子设备可以向安全元件的数字密钥应用发送认证信息和生成数字密钥的请求,该认证信息存储在数字密钥框架中以验证数据包、该数据包的签名信息和该目标设备的证书信息。
在本公开的实施例中,当数字密钥的处理是删除数字密钥时,电子设备可以检查发送删除数字密钥的请求的服务提供商是否为授权的服务提供商,并且将存储在数字密钥框架中以验证删除命令的认证信息以及删除数字密钥的请求发送给安全元件的数字密钥应用。
此后,在操作930,电子设备基于处理数字密钥的请求、从数字密钥框架接收的认证信息以及存储在安全元件中的认证信息,通过使用在安全元件中执行的数字密钥应用来处理数字密钥。此外,电子设备可以向服务提供商服务器发送处理数字密钥的结果。
在本公开的实施例中,当数字密钥的处理是生成数字密钥时,可以基于从数字密钥框架接收的认证信息和存储在安全元件中的认证信息,通过使用在安全元件中执行的数字密钥应用来验证数据包、数据包的签名信息和目标设备的证书信息,并且可以使用数据包中包括的生成数字密钥的配置信息,来生成数字密钥。
在本公开的实施例中,当数字密钥的处理是删除数字密钥时,电子设备可以基于从数字密钥框架接收的认证信息和存储在安全元件中的认证信息,通过使用在安全元件中执行的数字密钥应用来验证删除数字密钥的请求,并且然后删除密钥。
本公开的上述实施例可以实施为计算机可执行程序,并且通过使用计算机可读记录介质在用于执行该程序的通用数字计算机中实现。本公开的上述实施例中使用的数据结构可以通过各种方式记录在计算机可读记录介质上。此外,本公开的上述实施例可以以计算机程序产品的形式实现,该计算机程序产品包括存储可由计算机执行的指令的记录介质,例如可由计算机执行的程序模块。例如,由软件模块或算法实现的方法可以以计算机可读和可执行的代码或程序指令的形式存储在计算机可读介质中。
计算机可读介质可以是计算机可访问的任何记录介质,并且可以包括易失性存储介质、非易失性存储介质、可移动存储介质和不可移动存储介质。计算机可读介质可以包括但不限于磁性存储介质,例如ROM、软盘、硬盘或类似物,以及光学存储介质,例如CD-ROM、DVD或类似物。替代地,计算机可读介质可以包括计算机存储介质和通信介质。
多个计算机可读记录介质可以分布在网络耦合的计算机系统上,并且存储在分布式计算机记录介质中的数据,例如程序指令和代码,可以由至少一台计算机执行。
虽然上面已经参照附图描述了本公开的实施例,但是对于本领域的普通技术人员来说显而易见的是,在不脱离本公开的技术精神或基本特征的情况下,本公开可以以许多不同的形式来实施。因此,应当理解,上述公开的实施例在所有方面都仅仅是示例,而不是限制性的。
Claims (8)
1.一种用于处理数字密钥的电子设备,所述电子设备包括:
通信器,所述通信器被配置为与外部设备通信;
安全元件,所述安全元件被配置为存储所述数字密钥并执行与所述数字密钥相关的处理;
存储器,所述存储器存储用于处理所述数字密钥的程序和数据;以及
处理器,所述处理器被配置为执行存储在所述存储器中的所述程序以:
通过使用数字密钥框架从目标设备接收生成所述数字密钥的请求,所述请求包括:数据包,所述数据包包括用于生成所述数字密钥的配置信息和用于防止重复使用命令的质询信息;所述数据包的签名信息;以及所述目标设备的证书信息;
向所述安全元件的数字密钥应用发送生成所述数字密钥的所述请求和存储在所述数字密钥框架中的认证信息,所述认证信息用于验证所述数据包、所述数据包的签名信息和所述目标设备的证书信息;
基于所述处理数字密钥的请求、从所述数字密钥框架接收的所述认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的数字密钥应用来验证所述数据包、所述数据包的签名信息和所述目标设备的证书信息;以及
通过使用所述数据包中包括的所述配置信息来生成所述数字密钥。
2.根据权利要求1所述的电子设备,其中,所生成的数字密钥被存储在所述安全元件中。
3.根据权利要求1所述的电子设备,其中,所述处理器还被配置为:
通过使用所述数字密钥框架从所述目标设备接收管理存储在所述安全元件中的所述数字密钥的请求;
检查发送管理所述数字密钥的所述请求的服务提供商是否为授权的服务提供商;
向所述安全元件的数字密钥应用发送存储在所述数字密钥框架中以验证管理所述数字密钥的所述请求的认证信息和管理所述数字密钥的所述请求;
基于从所述数字密钥框架接收的所述认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的所述数字密钥应用来验证管理所述数字密钥的所述请求;以及
管理所述数字密钥。
4.根据权利要求1所述的电子设备,其中,所述处理器还被配置为将所生成的数字密钥发送给服务提供商服务器。
5.一种用于处理数字密钥的电子设备的操作方法,所述操作方法包括:
通过使用数字密钥框架从目标设备接收生成所述数字密钥的请求,所述请求包括:数据包,所述数据包包括用于生成所述数字密钥的配置信息和用于防止重复使用命令的质询信息;所述数据包的签名信息;以及所述目标设备的证书信息;
向安全元件的数字密钥应用发送生成所述数字密钥的所述请求和存储在所述数字密钥框架中的认证信息,所述认证信息用于验证所述数据包、所述数据包的签名信息和所述目标设备的证书信息;
基于所述处理数字密钥的请求、从所述数字密钥框架接收的所述认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的数字密钥应用来验证所述数据包、所述数据包的签名信息和所述目标设备的证书信息;以及
通过使用所述数据包中包括的所述配置信息来生成所述数字密钥。
6.根据权利要求5所述的操作方法,其中,所生成的数字密钥被存储在所述安全元件中。
7.根据权利要求5所述的操作方法,所述操作方法还包括:
通过使用所述数字密钥框架从所述目标设备接收管理存储在所述安全元件中的所述数字密钥的请求;
检查发送所述管理数字密钥的请求的服务提供商是否为授权的服务提供商;
向所述安全元件的数字密钥应用发送存储在所述数字密钥框架中以验证管理所述数字密钥的请求的认证信息和管理所述数字密钥的请求;
基于从所述数字密钥框架接收的所述认证信息和存储在所述安全元件中的认证信息,通过使用在所述安全元件中执行的所述数字密钥应用来验证管理所述数字密钥的请求;以及
管理所述数字密钥。
8.根据权利要求5所述的操作方法,进一步包括向服务提供商服务器发送所生成的数字密钥。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2018-0104022 | 2018-08-31 | ||
| KR1020180104022A KR102695457B1 (ko) | 2018-08-31 | 2018-08-31 | 디지털 키를 처리하는 전자 디바이스 및 그 동작 방법 |
| PCT/KR2019/008840 WO2020045826A1 (ko) | 2018-08-31 | 2019-07-17 | 디지털 키를 처리하는 전자 디바이스 및 그 동작 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112514323A CN112514323A (zh) | 2021-03-16 |
| CN112514323B true CN112514323B (zh) | 2024-05-28 |
Family
ID=69644462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980050224.4A Active CN112514323B (zh) | 2018-08-31 | 2019-07-17 | 用于处理数字密钥的电子设备及其操作方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11722307B2 (zh) |
| EP (1) | EP3820079A4 (zh) |
| KR (1) | KR102695457B1 (zh) |
| CN (1) | CN112514323B (zh) |
| WO (1) | WO2020045826A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4035036A1 (en) * | 2019-09-25 | 2022-08-03 | Hilti Aktiengesellschaft | Systems and methods for data security within power tools |
| EP4322473A1 (en) * | 2022-08-12 | 2024-02-14 | Bayerische Motoren Werke Aktiengesellschaft | Method for user equipment, method for backend, apparatus and computer program |
| EP4362390A1 (en) * | 2022-10-27 | 2024-05-01 | Bayerische Motoren Werke Aktiengesellschaft | Method for maintaining a storage resource, apparatus, vehicle, computer program |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1914069A (zh) * | 2004-01-26 | 2007-02-14 | 东芝解决方案株式会社 | 安全设备、车辆验证设备、方法和程序 |
| WO2016054276A1 (en) * | 2014-10-01 | 2016-04-07 | Continental Intelligent Transportation Systems, LLC | Method and system for remote access control |
| CN107070657A (zh) * | 2016-01-21 | 2017-08-18 | 三星电子株式会社 | 安全芯片和应用处理器及其操作方法 |
| DE102016207339A1 (de) * | 2016-04-29 | 2017-11-02 | Volkswagen Aktiengesellschaft | Verfahren zur sicheren Interaktion eines Nutzers mit einem mobilen Endgerät und einer weiteren Instanz |
| CN107393079A (zh) * | 2017-07-26 | 2017-11-24 | 北京小米移动软件有限公司 | 虚拟车钥匙的管理方法、装置和存储介质 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8458462B1 (en) * | 2008-08-14 | 2013-06-04 | Juniper Networks, Inc. | Verifying integrity of network devices for secure multicast communications |
| AU2012303620B2 (en) | 2011-08-31 | 2017-09-14 | Ping Identity Corporation | System and method for secure transaction process via mobile device |
| AU2013204110B2 (en) | 2012-04-18 | 2014-08-21 | Google Llc | Processing payment transactions without a secure element |
| CA2890673C (en) | 2012-09-18 | 2017-10-10 | Jvl Ventures, Llc | Systems, methods, and computer program products for interfacing multiple service provider trusted service managers and secure elements |
| KR20140098872A (ko) * | 2013-01-31 | 2014-08-08 | 남궁용주 | 모바일 nfc단말기 웹 서비스를 위한 바이오인식과 tsm 기반의 보안 시스템 및 방법 |
| US9704156B2 (en) | 2014-01-23 | 2017-07-11 | Mastercard International Incorporated | Mobile secure element based shared cardholder verification |
| US20150213433A1 (en) * | 2014-01-28 | 2015-07-30 | Apple Inc. | Secure provisioning of credentials on an electronic device using elliptic curve cryptography |
| US10089607B2 (en) * | 2014-09-02 | 2018-10-02 | Apple Inc. | Mobile merchant proximity solution for financial transactions |
| FR3030987B1 (fr) * | 2014-12-23 | 2018-03-23 | Valeo Comfort And Driving Assistance | Procede de reconnaissance automatique entre un appareil mobile et un vehicule automobile aptes a fonctionner selon le protocole ble |
| CN107037991A (zh) * | 2016-02-04 | 2017-08-11 | 索尼公司 | 信息处理设备、信息处理方法以及分布式部件 |
| US11157901B2 (en) | 2016-07-18 | 2021-10-26 | Dream Payments Corp. | Systems and methods for initialization and activation of secure elements |
| US10805287B2 (en) * | 2017-01-20 | 2020-10-13 | Samsung Electronics Co., Ltd | Apparatus and method for providing and managing security information in communication system |
| KR102511778B1 (ko) * | 2018-03-05 | 2023-03-21 | 삼성전자주식회사 | 전자 디바이스 및 전자 디바이스의 디지털 키 프로비저닝 수행 방법 |
-
2018
- 2018-08-31 KR KR1020180104022A patent/KR102695457B1/ko active IP Right Grant
-
2019
- 2019-07-17 WO PCT/KR2019/008840 patent/WO2020045826A1/ko unknown
- 2019-07-17 CN CN201980050224.4A patent/CN112514323B/zh active Active
- 2019-07-17 US US17/263,281 patent/US11722307B2/en active Active
- 2019-07-17 EP EP19856095.5A patent/EP3820079A4/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1914069A (zh) * | 2004-01-26 | 2007-02-14 | 东芝解决方案株式会社 | 安全设备、车辆验证设备、方法和程序 |
| WO2016054276A1 (en) * | 2014-10-01 | 2016-04-07 | Continental Intelligent Transportation Systems, LLC | Method and system for remote access control |
| CN107070657A (zh) * | 2016-01-21 | 2017-08-18 | 三星电子株式会社 | 安全芯片和应用处理器及其操作方法 |
| DE102016207339A1 (de) * | 2016-04-29 | 2017-11-02 | Volkswagen Aktiengesellschaft | Verfahren zur sicheren Interaktion eines Nutzers mit einem mobilen Endgerät und einer weiteren Instanz |
| CN107393079A (zh) * | 2017-07-26 | 2017-11-24 | 北京小米移动软件有限公司 | 虚拟车钥匙的管理方法、装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11722307B2 (en) | 2023-08-08 |
| KR20200025950A (ko) | 2020-03-10 |
| CN112514323A (zh) | 2021-03-16 |
| EP3820079A1 (en) | 2021-05-12 |
| US20210288811A1 (en) | 2021-09-16 |
| KR102695457B1 (ko) | 2024-08-14 |
| EP3820079A4 (en) | 2021-09-01 |
| WO2020045826A1 (ko) | 2020-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102626319B1 (ko) | 디지털 키를 저장하기 위한 방법 및 전자 디바이스 | |
| CN103477666B (zh) | 连接移动设备,连接至互联网的车辆以及云服务 | |
| US9749865B2 (en) | Method and apparatus for managing beacon device | |
| CN111868726B (zh) | 电子设备和电子设备的数字钥匙供应方法 | |
| KR102553145B1 (ko) | 디지털 키를 처리 및 인증하는 보안 요소 및 그 동작 방법 | |
| CN112514323B (zh) | 用于处理数字密钥的电子设备及其操作方法 | |
| US12088700B2 (en) | Method by which device shares digital key | |
| CN111431840B (zh) | 安全处理方法、装置、计算机设备及可读存储介质 | |
| CN104348616A (zh) | 一种访问终端安全组件的方法、装置及系统 | |
| JP2012253424A (ja) | 無線通信システムおよびレジストラ機器 | |
| US11949779B2 (en) | Method and apparatus for registering shared key | |
| CN106576239A (zh) | 一种安全单元中内容管理的方法及装置 | |
| KR20150081387A (ko) | 사용자 인증 시스템 및 방법 | |
| CN113316916A (zh) | 数字密钥共享系统中更新防盗令牌的设备及方法 | |
| KR101502999B1 (ko) | 일회성 비밀번호를 이용한 본인 인증 시스템 및 방법 | |
| US20220216987A1 (en) | Device and method for managing shared digital key | |
| KR20200059106A (ko) | 디바이스가 디지털 키를 공유하는 방법 | |
| WO2023000719A1 (zh) | 终端接入方法、设备和终端 | |
| KR20150134298A (ko) | 사용자 인증 방법 | |
| Kou et al. | An efficient Authentication Scheme Using Token Distribution for Cloud-based Smart Home |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |