(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-12-14
(45)【発行日】2022-12-22
(54)【発明の名称】デジタルキー、端末デバイス、及び媒体の同一性を認証する方法
(51)【国際特許分類】
G06F 21/35 20130101AFI20221215BHJP
E05B 49/00 20060101ALI20221215BHJP
B60R 25/24 20130101ALI20221215BHJP
【FI】
G06F21/35
E05B49/00 J
B60R25/24
【請求項の数】
22
(21)【出願番号】P 2021562902
(86)(22)【出願日】2020-04-17
(65)【公表番号】
(43)【公表日】2022-06-23
(86)【国際出願番号】 CN2020085225
(87)【国際公開番号】W WO2020216131
(87)【国際公開日】2020-10-29
【審査請求日】2021-11-25
(31)【優先権主張番号】201910324313.5
(32)【優先日】2019-04-22
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】503433420
【氏名又は名称】華為技術有限公司
【氏名又は名称原語表記】HUAWEI TECHNOLOGIES CO.,LTD.
【住所又は居所原語表記】Huawei Administration Building, Bantian, Longgang District, Shenzhen, Guangdong 518129, P.R. China
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100135079
【弁理士】
【氏名又は名称】宮崎 修
(72)【発明者】
【氏名】ワーン,スーシャン
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2005-273264(JP,A)
【文献】特開2009-286343(JP,A)
【文献】特開2018-071213(JP,A)
【文献】特開2015-095877(JP,A)
【文献】特開2012-215047(JP,A)
【文献】国際公開第2018/146777(WO,A1)
【文献】特開2006-227747(JP,A)
【文献】特開2018-160098(JP,A)
【文献】特開2009-215797(JP,A)
【文献】米国特許出願公開第2016/0117493(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/35
E05B 49/00
B60R 25/24
(57)【特許請求の範囲】
【請求項1】
第1端末によって実行され、デジタルキーの同一性を認証する方法であって、第2端末へサービス命令を送信するステップと、
前記第2端末によって送信されたサービス応答メッセージを受信するステップと、
第1キーを使用して前記サービス応答メッセージに対して実行された検証が成功した後、ユーザ同一性認証情報を取得するステップであり、前記第1キーは、前記第2端末と前記第1端末とによって予め合意されたキーであり、前記ユーザ同一性認証情報は前記第2端末のセキュア要素に記憶され、前記ユーザ同一性認証情報はユーザ同一性認証結果を含み、前記ユーザ同一性認証結果は、前記第2端末がプリセット動作状態にはいる前に、前記第2端末の同一性認証システムによって生成され、前記プリセット動作状態は、前記第2端末の前記同一性認証システムが同一性認証結果を生成し得ない状態である、取得するステップと、
前記ユーザ同一性認証情報を検証するステップとを備えている、方法。
【請求項2】
前記第1端末によって前記ユーザ同一性認証情報を検証するステップは、前記ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、前記サービス命令に対応するサービス動作を許可するステップを含む、請求項1記載の方法。
【請求項3】
前記第1端末によって前記ユーザ同一性認証情報を検証するステップは、前記ユーザ同一性認証結果がプリセットの認証結果と合致し、前記プリセット動作状態にある前記第2端末がサービス動作を許可する合計回数がプリセットの数量閾値内である場合に、前記サービス命令に対応するサービス動作を許可するステップ、又は
前記ユーザ同一性認証結果がプリセットの認証結果と合致し、前記プリセット動作状態にある前記第2端末がサービス動作を許可する頻度がプリセットの頻度閾値内である場合に、前記サービス命令に対応するサービス動作を許可するステップを含む、請求項1記載の方法。
【請求項4】
前記ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、前記第1タイムスタンプは、ユーザ同一性認証結果を生成する時刻を示すために使用され、前記ユーザ同一性認証情報を検証するステップは、
前記ユーザ同一性認証結果がプリセットの認証結果と合致し、現在時刻と前記第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内である場合に、前記サービス命令に対応するサービス動作を許可するステップを含む、請求項1記載の方法。
【請求項5】
前記第1タイムスタンプで示された前記時刻の後に、前記第2端末が前記プリセット動作状態から非プリセット動作状態に切り替わった場合に、前記デジタルキーをフリーズするか、前記第2端末に前記デジタルキーをフリーズするように指示するか、又は、ユーザに再度同一性認証を実行するように指示するステップを、さらに備えている、請求項4記載の方法。
【請求項6】
前記ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、前記第1タイムスタンプは、前記ユーザ同一性認証結果を生成する時刻を示すために使用され、前記ユーザ同一性認証情報を検証するステップは、
前記ユーザ同一性認証結果がプリセットの認証結果と合致し、前記第1タイムスタンプで示された前記時刻の後に、前記第2端末が前記プリセット動作状態から非プリセット動作状態に切り替わらない場合に、前記サービス命令に対応するサービス動作を許可するステップを含む、請求項1記載の方法。
【請求項7】
前記サービス命令は、第1命令と第2命令とを含み、サービス動作は、前記第1命令に対応する第1動作と、前記第2命令に対応する第2動作とを含み、前記ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、前記第1タイムスタンプは、前記ユーザ同一性認証結果を生成する時刻を示すのに使用され、前記ユーザ同一性認証情報を検証するステップは、
前記ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、前記第1命令に対応する前記第1動作を許可するステップと、
前記第1動作が許可された後、前記プリセット動作状態での前記第2端末が前記サービス動作を許可する合計回数がプリセットの数量閾値内である場合に、又は、前記プリセット動作状態での前記第2端末が前記サービス動作を許可する頻度がプリセットの頻度閾値内である場合に、又は、現在時刻と前記第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内である場合に、又は、前記第1タイムスタンプで示された前記時刻の後に、前記第2端末が前記プリセット動作状態から非プリセット動作状態に切り替わらない場合に、前記第2命令に対応する前記第2動作を許可するステップとを含む、請求項1記載の方法。
【請求項8】
前記サービス命令は、第1命令と第2命令とを含み、サービス動作は、前記第1命令に対応する第1動作と、前記第2命令に対応する第2動作とを含み、前記ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、前記第1タイムスタンプは、前記ユーザ同一性認証結果を生成する時刻を示すのに使用され、前記ユーザ同一性認証情報を検証するステップは、
前記ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、前記第1命令に対応する前記第1動作を許可するステップと、
現在時刻と前記第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値を超えている場合に、前記第1タイムスタンプで示された前記時刻の後に、前記第2端末が前記プリセット動作状態から非プリセット動作状態に切り替わるか否かを、決定するステップと、
前記第2端末が前記非プリセット動作状態に切り替わらない場合に、前記第2命令に対応する前記第2動作を許可するステップとを含む、請求項1記載の方法。
【請求項9】
前記サービス命令は、第1命令と第2命令とを含み、サービス動作は、前記第1命令に対応する第1動作と、前記第2命令に対応する第2動作とを含み、前記ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、前記第1タイムスタンプは、前記ユーザ同一性認証結果を生成する時刻を示すのに使用され、前記ユーザ同一性認証情報を検証するステップは、
前記ユーザ同一性認証結果がプリセットの認証結果と合致し、現在時刻と前記第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内である場合に、前記第1命令に対応する前記第1動作を許可するステップと、
前記第1動作が許可された後、前記第1タイムスタンプで示された前記時刻の後に、前記第2端末が前記プリセット動作状態から非プリセット動作状態に切り替わらない場合に、前記第2命令に対応する前記第2動作を許可するステップとを含む、請求項1記載の方法。
【請求項10】
前記ユーザ同一性認証情報を検証するステップは、前記第1タイムスタンプで示された前記時刻の後に、前記第2端末が前記プリセット動作状態から前記非プリセット動作状態に切り替わった場合に、前記デジタルキーをフリーズするか、前記第2端末に前記デジタルキーをフリーズするように指示するか、又は、ユーザに再度同一性認証を実行するように指示するステップを、さらに含む、請求項6ないし9のいずれか1項に記載の方法。
【請求項11】
前記第2端末が、前記第1タイムスタンプで示された前記時刻の後に、前記プリセット動作状態から非プリセット動作状態に切り替わるか否かを決定するステップは、サーバによって送信された第2タイムスタンプを受信し、前記第2タイムスタンプは、前記第2端末が前記プリセット動作状態から前記非プリセット動作状態に切り替わる期間内で、前記第2端末が前記サービス応答メッセージを送信する時刻に最も近い時刻を示すために使用される、受信するステップと、
前記第2タイムスタンプが前記第1タイムスタンプよりも早い場合に、前記第1タイムスタンプで示された前記時刻の後に、前記第2端末が前記プリセット動作状態から前記非プリセット動作状態に切り替わらないと決定するステップ、又は
前記第2タイムスタンプが前記第1タイムスタンプよりも遅い場合に、前記第1タイムスタンプで示された前記時刻の後に、前記第2端末が前記プリセット動作状態から前記非プリセット動作状態に切り替わると決定するステップとを含む、請求項6ないし10のいずれか1項に記載の方法。
【請求項12】
前記第2端末が、前記第1タイムスタンプで示された前記時刻の後に、前記プリセット動作状態から非プリセット動作状態に切り替わるか否かを決定するステップは、前記第1タイムスタンプをサーバへ送信するステップと、
前記サーバによって送信されたオンライン検証結果を取得するステップであり、前記オンライン検証結果は、前記第1タイムスタンプで示された前記時刻の後に、前記第2端末が前記プリセット動作状態から前記非プリセット動作状態に切り替わるか否かに基づいて、前記サーバによって決定される、取得するステップと、
前記オンライン検証結果が成功である場合に、前記第1タイムスタンプで示された前記時刻の後に、前記第2端末が前記プリセット動作状態から前記非プリセット動作状態に切り替わらないと決定するステップ、又は
前記オンライン検証結果が失敗である場合に、前記第1タイムスタンプで示された前記時刻の後に、前記第2端末が前記プリセット動作状態から前記非プリセット動作状態に切り替わると決定するステップを含む、請求項6ないし10のいずれか1項に記載の方法。
【請求項13】
前記サービス命令は、第1命令と第2命令とを含み、サービス動作は、前記第1命令に対応する第1動作と、前記第2命令に対応する第2動作とを含み、前記ユーザ同一性認証情報を検証するステップは、
前記ユーザ同一性認証結果がプリセットの認証結果と合致しない場合に、前記第1命令に対応する前記第1動作を許可するステップと、
前記ユーザ同一性認証結果が前記プリセットの認証結果と合致しない場合に、前記第2命令に対応する前記第2動作を許可することを拒否するステップとを、さらに含み、
方法は、
前記第2端末に新しいサービス命令を送信するステップであり、前記新しいサービス命令が前記第2命令を含む、送信するステップを、さらに備えている、請求項1記載の方法。
【請求項14】
前記サービス応答メッセージは、第2検証データをさらに含み、前記第2検証データは、第2キーを使用して前記ユーザ同一性認証情報を処理することによって生成され、前記ユーザ同一性認証情報を検証するステップは、
前記第2キーと前記第2検証データとを使用して、前記ユーザ同一性認証情報が有効であり、前記ユーザ同一性認証情報がプリセットのセキュリティポリシーに準拠していることが検証された場合に、前記サービス命令に対応するサービス動作を許可するステップであり、前記第2キーは前記第2端末と前記第1端末とによって予め合意されたキーであり、前記第2キーは前記第1キーと異なる、許可するステップを、さらに含む、請求項1記載の方法。
【請求項15】
第2端末によって実行され、デジタルキーの同一性を認証する方法であって、第1端末からのサービス命令を受信するステップと、
前記サービス命令に応答して、プリセット動作状態で前記第1端末へ、第1キーを使用して処理されたサービス応答メッセージを送信するステップであり、前記サービス応答メッセージはユーザ同一性認証情報を含み、前記ユーザ同一性認証情報は前記第2端末のセキュア要素に記憶され、前記ユーザ同一性認証情報はユーザ同一性認証結果を含み、前記ユーザ同一性認証結果は、前記第2端末が前記プリセット動作状態にはいる前に、前記第2端末の同一性認証システムによって生成され、前記プリセット動作状態は、前記第2端末の前記同一性認証システムが同一性認証結果を生成し得ない状態であり、前記第1キーは、前記第2端末と前記第1端末とによって予め合意されたキーである、送信するステップとを備えている、方法。
【請求項16】
前記ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、前記第1タイムスタンプは、前記ユーザ同一性認証結果を生成する時刻を示すのに使用される、請求項15記載の方法。
【請求項17】
前記サービス応答メッセージは、第2検証データをさらに含み、前記第2検証データは、第2キーを使用して前記ユーザ同一性認証情報を処理することによって生成され、前記第2キーは前記第2端末と前記第1端末とによって予め合意されたキーであり、前記第2キーは前記第1キーと異なる、請求項15又は16記載の方法。
【請求項18】
前記第1端末から前記サービス命令を受信するステップの前に、方法は、前記第2端末が前記プリセット動作状態にはいる前に、必須同一性認証で構成されたデジタルキーが存在する場合に、前記ユーザ同一性認証結果を生成するステップであり、必須同一性認証で構成された前記デジタルキーは、前記第2端末が前記プリセット動作状態にはいる前に、前記第2端末がユーザ同一性認証を実行することを必要とする、生成するステップと、
前記第2端末によって、前記ユーザ同一性認証情報を前記第2端末の前記セキュア要素に記憶するステップであり、前記ユーザ同一性認証情報は前記ユーザ同一性認証結果を含む、記憶するステップとを、さらに備えている、請求項15ないし17のいずれか1項に記載の方法。
【請求項19】
1つ以上のコンピュータプログラムを記憶するように構成されているメモリと、
前記メモリに結合され、前記1つ以上のコンピュータプログラムを実行するように構成され、請求項1ないし14のいずれか1項に記載の方法を実行するように電子デバイスを構成させる1つ以上のプロセッサとを備えている、端末デバイス。
【請求項20】
1つ以上のコンピュータプログラムを記憶するように構成されているメモリと、
前記メモリに結合され、前記1つ以上のコンピュータプログラムを実行するように構成され、請求項15ないし18のいずれか1項に記載の方法を実行するように電子デバイスを構成させる1つ以上のプロセッサとを備えている、端末デバイス。
【請求項21】
命令を含むコンピュータ可読な記憶媒体であり、前記命令がコンピュータ上で実行された場合に、前記コンピュータは、請求項1ないし14のいずれか1項に記載の方法を実行することが可能にされる、コンピュータ可読な記憶媒体。
【請求項22】
命令を含むコンピュータ可読な記憶媒体であり、前記命令がコンピュータ上で実行された場合に、前記コンピュータは、請求項15ないし18のいずれか1項に記載の方法を実行することが可能にされる、コンピュータ可読な記憶媒体。【発明の詳細な説明】
【技術分野】
【0001】
本出願は、「METHOD FOR AUTHENTICATING IDENTITY OF DIGITAL KEY, TERMINAL DEVICE, AND MEDIUM」と題し、2019年4月22日に中国国家知的所有権庁に出願された中国特許出願第201910324313.5号の利益を主張し、これは全体が参照により本明細書に組み込まれる。
【0002】
本出願は、デジタルキー技術の分野に関し、特に、デジタルキー、端末デバイス、及びコンピュータ可読な記憶媒体の同一性を認証する方法に関する。
【背景技術】
【0003】
デジタルキー(Digital Key, DK)は、物理キー(即ち、実体キー)/リモートキー(key fob)とは反対のものであり、通信技術を使用して、端末デバイス、例えば、携帯電話やウェアラブルインテリジェントデバイスをキーキャリアとして使用することができる。その結果、ユーザは、端末デバイスを使用して、ロック解除、ロック、及び車両の始動などのサービス動作を行うことができる。
【0004】
図1は、デジタルキーが車両のロックを解除するために使用されるときに関与する、システムアーキテクチャーの図である。車両には、認証ユニット810と、電子制御ユニット(Electronic Control Unit, ECU)830と、通信ユニット820とがある。認証ユニット810は、認証キーを記憶する。携帯電話には、セキュア要素(Secure Element, SE)910と通信ユニット920とがある。セキュア要素910は、物理的な攻撃を防止し、改ざんを防止する能力を有するハードウェアユニットである。セキュア要素910は、独立したプロセッサを有し、中で実行されるデジタルキーアプレット(Digital Key Applet, DK Applet)911のためのセキュアな実行環境が提供でき、また、その中に記憶された資産(例えば、認証キー)のセキュリティ及び機密性が保証できる。ロック解除中、携帯電話内のデジタルキーアプレット911は、車両から送信されたサービス命令に応答し、通信ユニット920を使用して、暗号文を含むサービス応答メッセージを車両内の通信ユニット820に送信する。このサービス応答メッセージ内の暗号文は、認証キーを使用して生成される。車両の通信ユニット820が、暗号文を含むサービス応答メッセージを受信した後、認証ユニット810は、認証キーを使用して暗号文を検証する。電子制御ユニット830は、検証結果に基づいて、ロック解除を許可するか否かを決定する。これにより、デジタルキーを使用してロック解除動作が実現できる。
【0005】
近距離無線通信(Near Field Communication, NFC)は近距離無線通信技術である。端末デバイスでは、NFCモジュールとセキュア要素とが別々に給電できる。従って、端末デバイスのメインチップに電力が供給されなくても、NFCモジュールとセキュア要素とを独立に使用して、端末デバイスと車両との間で情報が交換できる。言い換えれば、端末デバイスの電源が切られても、端末デバイスを使用して、車両のロック解除、ロック、始動などのサービス動作が完了できる。
【0006】
多くの端末デバイスは、パスワード、指紋、顔などを使用してユーザの同一性認証が行える同一性認証システムを有している。デジタルキーのセキュリティを強化するために、デジタルキーを使用するときに同一性認証の追加が可能である。例えば、ユーザは、デジタルキーが偽造されることを防止するために、デジタルキーが使用されるときに常に同一性認証が必要であるように設定できる。この場合に、デジタルキーを使用して車両のロック解除及び始動などのサービス動作を、ユーザが行う場合に、ユーザは端末デバイスで同一性認証を行った後にのみデジタルキーが使用できる。別の例として、ロックを解除して始動する前に、車両は、端末デバイス上で同一性認証を実行することをユーザに要求するために、アクティブに要求が開始できる。ただし、各端末デバイスの同一性認証システムは、信頼された実行環境(Trusted Execution Environment, TEE)で実行する。端末デバイス上で動作しているアプリケーションは、システムサービスインターフェースを使用することのみによって、同一性認証を開始し、同一性認証結果を取得することができる。つまり、同一性認証システムは、端末デバイスのメインチップが動作状態にある場合にのみ動作できる。
【0007】
従って、端末デバイスが電源オフ状態にある場合に、ユーザは同一性認証を完了できない。端末デバイスの電源が切れていてもデジタルキーの機能を実現するためには、端末デバイスの電源オフ状態にある場合に、デジタルキーを使用したときに、同一性認証を行わないことが多い。従って、認証されたユーザの端末デバイスを入手した後、攻撃者は、端末デバイスの電源を切ることにより、認証されたユーザが設定した同一性認証制限を強制的にバイパスすることができる。言い換えれば、デジタルキーにはセキュリティ脆弱性がある。
【発明の概要】
【0008】
本出願は、端末デバイスの電源が切れた状態になり、セキュリティ上の脆弱性が存在する場合に、デジタルキーを使用して同一性認証を行うことができない問題を解決するために、デジタルキーの同一性を認証する方法を提供する。
【0009】
第1の態様によれば、本出願は、デジタルキーの同一性を認証する方法を提供する。方法は、
第1端末によって第2端末へサービス命令を送信するステップと、
第2端末によって送信されたサービス応答メッセージを第1端末によって受信するステップと、
第1キーを使用してサービス応答メッセージに対して実行された検証が成功した後、第1端末によってユーザ同一性認証情報を取得するステップであり、第1キーは、第2端末と第1端末とによって予め合意されたキーであり、ユーザ同一性認証情報は第2端末のセキュア要素に記憶され、ユーザ同一性認証情報はユーザ同一性認証結果を含み、ユーザ同一性認証結果は、第2端末がプリセット動作状態にはいる前に、第2端末の同一性認証システムによって生成され、プリセット動作状態は、第2端末の同一性認証システムが同一性認証結果を生成し得ない状態である、取得するステップと、
第1端末によってユーザ同一性認証情報を検証するステップとを備えている。
第1端末によって第2端末へサービス命令を送信するステップと、
第2端末によって送信されたサービス応答メッセージを第1端末によって受信するステップと、
第1キーを使用してサービス応答メッセージに対して実行された検証が成功した後、第1端末によってユーザ同一性認証情報を取得するステップであり、第1キーは、第2端末と第1端末とによって予め合意されたキーであり、ユーザ同一性認証情報は第2端末のセキュア要素に記憶され、ユーザ同一性認証情報はユーザ同一性認証結果を含み、ユーザ同一性認証結果は、第2端末がプリセット動作状態にはいる前に、第2端末の同一性認証システムによって生成され、プリセット動作状態は、第2端末の同一性認証システムが同一性認証結果を生成し得ない状態である、取得するステップと、
第1端末によってユーザ同一性認証情報を検証するステップとを備えている。
【0010】
この実施を使用して、第2端末がプリセット動作状態(例えば、電源オフ又はバッテリ低下モード)であっても、ユーザが第2端末においてデジタルキーを使用する場合に、第1端末は、第2端末がプリセット動作状態にはいる前に、第2端末のセキュア要素に記憶されたユーザ同一性認証情報を使用して、ユーザの同一性を確認することができる。従って、この実施を使用して、第2端末が電源オフかバッテリ低下モードであっても、第2端末でデジタルキーを使用するユーザが第2端末の許可ユーザであるか否かを検証することができ、デジタルキーを使用する際のセキュリティを向上させる。
【0011】
第1の態様に関して、第1の態様の第1の可能な実施において、第1端末によってユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、第1端末によってサービス命令に対応するサービス動作を許可するステップを含む。
ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、第1端末によってサービス命令に対応するサービス動作を許可するステップを含む。
【0012】
この実施を使用して、第2端末がプリセット動作状態(例えば、電源オフ又はバッテリ低下モード)であっても、ユーザが第2端末でデジタルキーを使用する場合には、第1端末は、ユーザ同一性認証結果とプリセットの認証結果とを使用して、サービス動作を許可するか否かを決定することによって検証を行うことができる。これによって、デジタルキーを使用するセキュリティを向上させ、第1端末が許可のないユーザによって使用されるリスクを下げる。
【0013】
第1の態様に関して、第1の態様の第2の可能な実施において、第1端末によってユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致し、プリセット動作状態にある第2端末がサービス動作を許可する合計回数がプリセットの数量閾値内である場合に、第1端末によってサービス命令に対応するサービス動作を許可するステップ、又は
ユーザ同一性認証結果がプリセットの認証結果と合致し、プリセット動作状態にある第2端末がサービス動作を許可する頻度がプリセットの頻度閾値内である場合に、第1端末によってサービス命令に対応するサービス動作を許可するステップを含む。
ユーザ同一性認証結果がプリセットの認証結果と合致し、プリセット動作状態にある第2端末がサービス動作を許可する合計回数がプリセットの数量閾値内である場合に、第1端末によってサービス命令に対応するサービス動作を許可するステップ、又は
ユーザ同一性認証結果がプリセットの認証結果と合致し、プリセット動作状態にある第2端末がサービス動作を許可する頻度がプリセットの頻度閾値内である場合に、第1端末によってサービス命令に対応するサービス動作を許可するステップを含む。
【0014】
この実施を使用して、第1端末は、ユーザ同一性認証結果と、プリセット動作状態にある第2端末がサービス動作を許可する合計回数又は頻度とを使用して、二重の検証を行うことができ、それによって、デジタルキーを使用する際のセキュリティをさらに向上させる。デジタルキーをプリセット動作状態で使用する場合を制限することによって、プリセット動作状態にあり、リアルタイムの保護を欠いている第2端末で、悪意をもってデジタルキーを使用するリスクを下げることができる。
【0015】
第1の態様に関して、第1の態様の第3の可能な実施において、ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、第1タイムスタンプは、同一性認証結果を生成する時刻を示すために使用され、
第1端末によってユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致し、現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内である場合に、第1端末によってサービス命令に対応するサービス動作を許可するステップを含む。
第1端末によってユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致し、現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内である場合に、第1端末によってサービス命令に対応するサービス動作を許可するステップを含む。
【0016】
この実施を使用して、第1端末は、ユーザ同一性認証結果と第1タイムスタンプとを使用して、二重の検証を実行することができ、それによって、デジタルキーを使用することのセキュリティをさらに改善し、リスクを下げる。プリセット動作状態でデジタルキーを使用する時間と第1タイムスタンプとの間のインターバル継続時間を制限することによって、プリセット動作状態にあり、リアルタイムの保護を欠いている第2端末で、デジタルキーを使用するリスクを下げることができる。
【0017】
第1の態様と、第1の態様の第1ないし第2の実施とのうちの任意の1つに関して、第1の態様の第4の可能な実施において、方法は、
第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わった場合に、第1端末によってデジタルキーをフリーズするか、第2端末にデジタルキーをフリーズするように指示するか、又は、ユーザに再度同一性認証を実行するように指示するステップを、さらに備えている。
第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わった場合に、第1端末によってデジタルキーをフリーズするか、第2端末にデジタルキーをフリーズするように指示するか、又は、ユーザに再度同一性認証を実行するように指示するステップを、さらに備えている。
【0018】
この実施を使用して、現在提供されている同一性認証情報が最新のユーザ同一性認証情報であるか否かは、第1タイムスタンプで示された時刻の後に第2端末がプリセット動作状態から非プリセット動作状態に切り替わるか否かを決定することによって決定することができ、第2端末が現在のサービスにおいて異常な挙動を示すか否かを決定する。第2端末が異常な挙動を示す場合は、例えばデジタルキーをフリーズしたり、ユーザに再度同一性認証を行うよう指示したりするなど、何らかの保護手段を講じることができる。従って、前述の単一又は二重の検証に基づいて、このときの検証を追加して、デジタルキーを使用するリスクをさらに下げることができる。
【0019】
第1の態様に関して、第1の態様の第5の可能な実施において、ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、第1タイムスタンプは、同一性認証結果を生成する時刻を示すために使用され、
第1端末によってユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致し、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらない場合に、第1端末によってサービス命令に対応するサービス動作を許可するステップを含む。
第1端末によってユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致し、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらない場合に、第1端末によってサービス命令に対応するサービス動作を許可するステップを含む。
【0020】
この実施を使用して、第1端末は、ユーザ同一性認証結果と第1タイムスタンプとを使用して、二重の検証を実行することができ、それによって、デジタルキーを使用することのセキュリティをさらに向上させる。現在提供されている同一性認証情報が最新のユーザ同一性認証情報であるか否かは、第1タイムスタンプで示された時刻の後に第2端末がプリセット動作状態から非プリセット動作状態に切り替わるか否かを決定することによって決定することができ、第2端末が現在のサービスにおいて異常動作をしているか否かを決定する。従って、この検証時間を追加することによって、デジタルキーを使用するリスクをさらに下げることができる。
【0021】
第1の態様に関して、第1の態様の第6の可能な実施において、サービス命令は、第1命令と第2命令とを含み、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含み、ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、第1タイムスタンプは、同一性認証結果を生成する時刻を示すのに使用され、
第1端末によって、ユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、第1命令に対応する第1動作を第1端末によって許可するステップと、
第1動作が許可された後、プリセット動作状態での第2端末がサービス動作を許可する合計回数がプリセットの数量閾値内である場合に、又は、プリセット動作状態での第2端末がサービス動作を許可する頻度がプリセットの頻度閾値内である場合に、又は、現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内である場合に、又は、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらない場合に、第2命令に対応する第2動作を第1端末によって許可するステップとを含む。
第1端末によって、ユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、第1命令に対応する第1動作を第1端末によって許可するステップと、
第1動作が許可された後、プリセット動作状態での第2端末がサービス動作を許可する合計回数がプリセットの数量閾値内である場合に、又は、プリセット動作状態での第2端末がサービス動作を許可する頻度がプリセットの頻度閾値内である場合に、又は、現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内である場合に、又は、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらない場合に、第2命令に対応する第2動作を第1端末によって許可するステップとを含む。
【0022】
この実施を使用して、サービス命令が複数の命令を含む場合には、第1端末は、異なる検証条件を使用して、また、ユーザ同一性認証結果と、プリセット動作状態の第2端末がサービス動作を許可する合計回数又は頻度と、第1タイムスタンプとを使用して、異なるサービス命令を検証することができ、それによって、デジタルキーを使用することのセキュリティをさらに向上させる。
【0023】
第1の態様に関して、第1の態様の第7の可能な実施において、サービス命令は、第1命令と第2命令とを含み、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含み、ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、第1タイムスタンプは、同一性認証結果を生成する時刻を示すのに使用され、
第1端末によって、ユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、第1命令に対応する第1動作を第1端末によって許可するステップと、
現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値を超えている場合に、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わるか否かを、第1端末によって決定するステップと、
第2端末が非プリセット動作状態に切り替わらない場合に、第2命令に対応する第2動作を第1端末が許可するステップとを含む。
第1端末によって、ユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、第1命令に対応する第1動作を第1端末によって許可するステップと、
現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値を超えている場合に、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わるか否かを、第1端末によって決定するステップと、
第2端末が非プリセット動作状態に切り替わらない場合に、第2命令に対応する第2動作を第1端末が許可するステップとを含む。
【0024】
この実施を使用して、サービス命令が複数の命令を含む場合に、第1端末は、異なる検証条件を使用して、またユーザ同一性認証結果と第1タイムスタンプとを使用して、異なるサービス命令を検証することができ、それによって、デジタルキーを使用することのセキュリティをさらに向上させる。
【0025】
第1の態様に関して、第1の態様の第8の可能な実施において、サービス命令は、第1命令と第2命令とを含み、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含み、ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、第1タイムスタンプは、同一性認証結果を生成する時刻を示すのに使用され、
第1端末によって、ユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致し、現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内である場合に、第1命令に対応する第1動作を第1端末によって許可するステップと、
第1動作が許可された後、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらない場合に、第2命令に対応する第2動作を第1端末によって許可するステップとを含む。
第1端末によって、ユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致し、現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内である場合に、第1命令に対応する第1動作を第1端末によって許可するステップと、
第1動作が許可された後、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらない場合に、第2命令に対応する第2動作を第1端末によって許可するステップとを含む。
【0026】
この実施を使用して、サービス命令が複数の命令を含む場合に、第1端末は、異なる検証条件を使用して、またユーザ同一性認証結果と第1タイムスタンプとを使用して、異なるサービス命令を検証することができ、それによって、デジタルキーを使用することのセキュリティをさらに向上させる。
【0027】
第1の態様と、第1の態様の第5ないし第8の実施とのうちの任意の1つに関して、第1の態様の第9の可能な実施において、第1端末によってユーザ同一性認証情報を検証するステップは、
第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わった場合に、第1端末によってデジタルキーをフリーズするか、第2端末にデジタルキーをフリーズするように指示するか、又は、ユーザに再度同一性認証を実行するように指示するステップを、さらに含む。
第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わった場合に、第1端末によってデジタルキーをフリーズするか、第2端末にデジタルキーをフリーズするように指示するか、又は、ユーザに再度同一性認証を実行するように指示するステップを、さらに含む。
【0028】
この実施を使用して、現在提供されている同一性認証情報が最新のユーザ同一性認証情報であるか否かは、第2端末が第1タイムスタンプで示された時刻の後にプリセット動作状態から非プリセット動作状態に切り替わるか否かを決定することによって、決定することができる。第2端末が現在のサービスにおいて異常な挙動を示すか否かを決定することができる。第2端末が異常な挙動を示す場合は、例えばデジタルキーをフリーズしたり、ユーザに再度同一性認証を行うよう指示したりするなど、何らかの保護手段を講じることができる。従って、前述の検証に基づいて、この検証の時間を追加することによって、デジタルキーを使用するリスクをさらに下げることができる。
【0029】
第1の態様と、第1の態様の第5ないし第9の実施とのうちの任意の1つに関して、第1の態様の第10の可能な実施において、第2端末が、第1タイムスタンプで示された時刻の後に、プリセット動作状態から非プリセット動作状態に切り替わるか否かを決定するステップは、
サーバによって送信された第2タイムスタンプを受信し、第2タイムスタンプは、第2端末がプリセット動作状態から非プリセット動作状態に切り替わる期間内で、第2端末がサービス応答メッセージを送信する時刻に最も近い時刻を示すために使用される、受信するステップと、
第2タイムスタンプが第1タイムスタンプよりも早い場合に、第1端末によって、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらないと決定するステップ、又は
第2タイムスタンプが第1タイムスタンプよりも遅い場合に、第1端末によって、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わると決定するステップとを含む。
サーバによって送信された第2タイムスタンプを受信し、第2タイムスタンプは、第2端末がプリセット動作状態から非プリセット動作状態に切り替わる期間内で、第2端末がサービス応答メッセージを送信する時刻に最も近い時刻を示すために使用される、受信するステップと、
第2タイムスタンプが第1タイムスタンプよりも早い場合に、第1端末によって、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらないと決定するステップ、又は
第2タイムスタンプが第1タイムスタンプよりも遅い場合に、第1端末によって、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わると決定するステップとを含む。
【0030】
この実施を使用して、第1端末は、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わるか否かを、ローカルに決定することができる。
【0031】
第1の態様と、第1の態様の第5ないし第9の実施とのうちの任意の1つに関して、第1の態様の第11の可能な実施において、第2端末が、第1タイムスタンプで示された時刻の後に、プリセット動作状態から非プリセット動作状態に切り替わるか否かを決定するステップは、
第1端末によって第1タイムスタンプをサーバへ送信するステップと、
サーバによって送信されたオンライン検証結果を第1端末によって取得するステップであり、オンライン検証結果は、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わるか否かに基づいて、サーバによって決定される、取得するステップと、
オンライン検証結果が成功である場合に、第1端末によって、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらないと決定するステップ、又は
オンライン検証結果が失敗である場合に、第1端末によって、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わると決定するステップとを含む。
第1端末によって第1タイムスタンプをサーバへ送信するステップと、
サーバによって送信されたオンライン検証結果を第1端末によって取得するステップであり、オンライン検証結果は、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わるか否かに基づいて、サーバによって決定される、取得するステップと、
オンライン検証結果が成功である場合に、第1端末によって、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらないと決定するステップ、又は
オンライン検証結果が失敗である場合に、第1端末によって、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わると決定するステップとを含む。
【0032】
この実施を使用して、オンライン検証をリモートサーバ上で行うことができ、サーバは、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わるか否かを決定する。
【0033】
第1の態様に関して、第1の態様の第12の可能な実施において、サービス命令は、第1命令と第2命令とを含み、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含み、
第1端末によってユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致しない場合に、第1端末によって第1命令に対応する第1動作を許可するステップと、
ユーザ同一性認証結果がプリセットの認証結果と合致しない場合に、第1端末によって第2命令に対応する第2動作を許可することを拒否するステップとを、さらに含み、
方法は、
第1端末によって第2端末に新しいサービス命令を送信するステップであり、新しいサービス命令が第2命令を含む、送信するステップを、さらに備えている。
第1端末によってユーザ同一性認証情報を検証するステップは、
ユーザ同一性認証結果がプリセットの認証結果と合致しない場合に、第1端末によって第1命令に対応する第1動作を許可するステップと、
ユーザ同一性認証結果がプリセットの認証結果と合致しない場合に、第1端末によって第2命令に対応する第2動作を許可することを拒否するステップとを、さらに含み、
方法は、
第1端末によって第2端末に新しいサービス命令を送信するステップであり、新しいサービス命令が第2命令を含む、送信するステップを、さらに備えている。
【0034】
この実施を使用して、サービス命令が複数の命令を含む場合には、第1端末は、ユーザ同一性認証結果などを使用して、異なるサービス命令を検証することができる。ユーザ同一性認証結果の検証が成功であったか否かにかかわらず、ユーザの経験を向上させるために、リスクの低い一部のサービス動作に許可を与えてよく、リスクの高いその他のサービス動作に許可を拒否してよい。次に、許可されていないサービス動作を許可するか否かを検証するために、新しいサービス命令が開始される。
【0035】
第1の態様に関して、第1の態様の第13の可能な実施において、サービス応答メッセージは、第2検証データをさらに含み、第2検証データは、第2キーを使用してユーザ同一性認証情報を処理することによって生成され、
第1端末によってユーザ同一性認証情報を検証するステップは、
第2キーと第2検証データとを使用して、ユーザ同一性認証情報が有効であり、ユーザ同一性認証情報がプリセットのセキュリティポリシーに準拠していることが検証された場合に、サービス命令に対応するサービス動作を第1端末によって許可するステップであり、第2キーは第2端末と第1端末とによって予め合意されたキーであり、第2キーは第1キーと異なる、許可するステップを、さらに含む。
第1端末によってユーザ同一性認証情報を検証するステップは、
第2キーと第2検証データとを使用して、ユーザ同一性認証情報が有効であり、ユーザ同一性認証情報がプリセットのセキュリティポリシーに準拠していることが検証された場合に、サービス命令に対応するサービス動作を第1端末によって許可するステップであり、第2キーは第2端末と第1端末とによって予め合意されたキーであり、第2キーは第1キーと異なる、許可するステップを、さらに含む。
【0036】
この実施を使用して、ユーザ同一性認証情報を使用してサービス動作を許可するか否かを検証する前に、ユーザ同一性認証情報は、最初に、第2キーと第2検証データとを使用して検証される。このようにして、ユーザ同一性認証情報が送信プロセスにおいて改ざんされていないことが確実にできる。即ち、ユーザ同一性認証情報の完全性が確実にされる。また、ユーザ同一性認証情報を送信するソースが許可されていることが確実にできる。即ち、第2端末のキーの許可保有者が確実にされる。
【0037】
第2の態様によれば、本出願は、デジタルキーの同一性を認証する方法を提供する。方法は、
第1端末からのサービス命令を第2端末によって受信するステップと、
サービス命令に応答して、プリセット動作状態での第2端末から第1端末へ、第1キーを使用して処理されたサービス応答メッセージを送信するステップであり、サービス応答メッセージはユーザ同一性認証情報を含み、ユーザ同一性認証情報は第2端末のセキュア要素に記憶され、ユーザ同一性認証情報はユーザ同一性認証結果を含み、ユーザ同一性認証結果は、第2端末がプリセット動作状態にはいる前に、第2端末の同一性認証システムによって生成され、プリセット動作状態は、第2端末の同一性認証システムが同一性認証結果を生成し得ない状態であり、第1キーは、第2端末と第1端末とによって予め合意されたキーである、送信するステップとを備えている。
第1端末からのサービス命令を第2端末によって受信するステップと、
サービス命令に応答して、プリセット動作状態での第2端末から第1端末へ、第1キーを使用して処理されたサービス応答メッセージを送信するステップであり、サービス応答メッセージはユーザ同一性認証情報を含み、ユーザ同一性認証情報は第2端末のセキュア要素に記憶され、ユーザ同一性認証情報はユーザ同一性認証結果を含み、ユーザ同一性認証結果は、第2端末がプリセット動作状態にはいる前に、第2端末の同一性認証システムによって生成され、プリセット動作状態は、第2端末の同一性認証システムが同一性認証結果を生成し得ない状態であり、第1キーは、第2端末と第1端末とによって予め合意されたキーである、送信するステップとを備えている。
【0038】
この実施を使用して、第2端末がプリセット動作状態にはいる前に、第2端末は、ユーザの同一性を認証する必要があり、ユーザ同一性認証情報を第2端末のセキュア要素に格納する。第2端末がプリセット動作状態(例えば、電源オフ、バッテリ低下モード)にあるときに、ユーザが第2端末でデジタルキーを使用する場合に、第2端末は、セキュア要素内のユーザ同一性認証情報を第1端末に送信して、第1端末はその情報が検証に使用できる。従って、この実施を使用して、第2端末においてデジタルキーを使用している第2端末の許可ユーザであることが保証でき、第2端末がプリセット動作状態にあるときにデジタルキーを使用するセキュリティを向上させることができる。
【0039】
第2の態様に関して、第2の態様の第1の可能な実施において、ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、第1タイムスタンプは、ユーザ同一性認証結果を生成する時刻を示すのに使用される。
【0040】
この実施を使用して、第1端末は、ユーザ同一性認証結果と第1タイムスタンプとを使用して、二重又は三重の検証が実行でき、また、ユーザ同一性認証結果と第1タイムスタンプとを使用して、異なるサービス命令がそれぞれに検証でき、それによって、デジタルキーを使用することのセキュリティをさらに向上させる。
【0041】
第2の態様と、第2の態様の第1の実施とのうちの任意の1つに関して、第2の態様の第2の可能な実施において、サービス応答メッセージは、第2検証データをさらに含み、第2検証データは、第2キーを使用してユーザ同一性認証情報を処理することによって生成され、第2キーは第2端末と第1端末とによって予め合意されたキーであり、第2キーは第1キーと異なる。
【0042】
この実施を使用して、ユーザ同一性認証情報を使用して、サービス動作を許可するか否かを、第1端末が検証する前に、ユーザ同一性認証情報は、最初に、第2キー及び第2検証データを使用して検証されることができる。このようにして、ユーザ同一性認証情報が送信プロセスにおいて改ざんされていないこと、即ち、ユーザ同一性認証情報の完全性が保証され得ることが確実にできる。また、ユーザ同一性認証情報を送信する際のソースが許可されていること、即ち、第2端末のキーの許可保有者が確保されていることが確実にできる。
【0043】
第2の態様と、第2の態様の第1ないし第2の実施とのうちの任意の1つに関して、第2の態様の第3の可能な実施において、第1端末からサービス命令を第2端末によって受信するステップの前に、方法は、
第2端末がプリセット動作状態にはいる前に、必須同一性認証で構成されたデジタルキーが存在する場合に、ユーザ同一性認証結果を生成するステップであり、必須同一性認証で構成されたデジタルキーは、第2端末がプリセット動作状態にはいる前に、第2端末がユーザ同一性認証を実行することを必要とする、生成するステップと、
第2端末によって、ユーザ同一性認証情報を第2端末のセキュア要素に記憶するステップであり、ユーザ同一性認証情報はユーザ同一性認証結果を含む、記憶するステップとを、さらに備えている。
第2端末がプリセット動作状態にはいる前に、必須同一性認証で構成されたデジタルキーが存在する場合に、ユーザ同一性認証結果を生成するステップであり、必須同一性認証で構成されたデジタルキーは、第2端末がプリセット動作状態にはいる前に、第2端末がユーザ同一性認証を実行することを必要とする、生成するステップと、
第2端末によって、ユーザ同一性認証情報を第2端末のセキュア要素に記憶するステップであり、ユーザ同一性認証情報はユーザ同一性認証結果を含む、記憶するステップとを、さらに備えている。
【0044】
この実施を使用して、第2端末がプリセット動作状態にはいる前に、第2端末は、必須同一性認証で構成されたデジタルキーに対してユーザ同一性認証を行い、ユーザ同一性認証情報を第2端末のセキュア要素に記憶する必要がある。このように、第2端末がプリセット動作状態(例えば、電源オフ又はバッテリ低下モード)にあるときにデジタルキーを使用する必要があっても、第2端末は、セキュア要素内のユーザ同一性認証情報を第1端末に送信することができるので、第1端末は、この情報を検証に使用することができ、第2端末がプリセット動作状態にあるときにデジタルキーを使用するセキュリティが向上される。
【0045】
第3の態様によれば、本出願は、端末デバイスを提供する。端末デバイスは、
第2端末へサービス命令を送信し、第2端末によって送信されたサービス応答メッセージを受信するように構成されている第1トランシーバと、
第1キーを使用してサービス応答メッセージに対して実行された検証が成功した後、ユーザ同一性認証情報を取得し、ユーザ同一性認証情報を検証するように構成されているプロセッサであり、第1キーは、第2端末と端末デバイスとによって予め合意されたキーであり、ユーザ同一性認証情報は第2端末のセキュア要素に記憶され、ユーザ同一性認証情報はユーザ同一性認証結果を含み、ユーザ同一性認証結果は、第2端末がプリセット動作状態にはいる前に、第2端末の同一性認証システムによって生成され、プリセット動作状態は、第2端末の同一性認証システムが同一性認証結果を生成し得ない状態である、プロセッサとを備えている。
第2端末へサービス命令を送信し、第2端末によって送信されたサービス応答メッセージを受信するように構成されている第1トランシーバと、
第1キーを使用してサービス応答メッセージに対して実行された検証が成功した後、ユーザ同一性認証情報を取得し、ユーザ同一性認証情報を検証するように構成されているプロセッサであり、第1キーは、第2端末と端末デバイスとによって予め合意されたキーであり、ユーザ同一性認証情報は第2端末のセキュア要素に記憶され、ユーザ同一性認証情報はユーザ同一性認証結果を含み、ユーザ同一性認証結果は、第2端末がプリセット動作状態にはいる前に、第2端末の同一性認証システムによって生成され、プリセット動作状態は、第2端末の同一性認証システムが同一性認証結果を生成し得ない状態である、プロセッサとを備えている。
【0046】
第3の態様を参照すると、第3の態様の第1の可能な実施において、プロセッサは、ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、サービス命令に対応するサービス動作を許可するように、さらに構成されている。
【0047】
第3の態様を参照すると、第3の態様の第2の可能な実施において、プロセッサは、ユーザ同一性認証結果がプリセットの認証結果と合致し、プリセット動作状態にある第2端末がサービス動作を許可する合計回数がプリセットの数量閾値内である場合に、サービス命令に対応するサービス動作を許可するように、さらに構成され;又は、プロセッサは、ユーザ同一性認証結果がプリセットの認証結果と合致し、プリセット動作状態にある第2端末がサービス動作を許可する頻度がプリセットの頻度閾値内である場合に、サービス命令に対応するサービス動作を許可するように、さらに構成されている。
【0048】
第3の態様を参照すると、第3の態様の第3の可能な実施において、プロセッサは、ユーザ同一性認証結果がプリセットの認証結果と合致し、現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内である場合に、サービス命令に対応するサービス動作を許可するように、さらに構成されている。
【0049】
第3の態様と、第3の態様の第1ないし第2の態様とのうちの任意の1つに関して、第3の態様の第4の可能な実施において、プロセッサはさらに、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わるとき、デジタルキーをフリーズするか、又は第2端末にデジタルキーをフリーズするように指示するか、又はユーザに再度同一性認証を行うように指示するように構成されている。
【0050】
第3の態様を参照すると、第3の態様の第5の可能な実施において、プロセッサはさらに、ユーザ同一性認証結果がプリセットの認証結果と合致し、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらない場合に、サービス命令に対応するサービス動作を許可するように構成され、ユーザ同一性認証情報はさらに第1タイムスタンプを含み、第1タイムスタンプは、同一性認証結果を生成する時刻を示すために使用される。
【0051】
第3の態様に関して、第3の態様の第6の可能な実施において、プロセッサは、さらに、ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、第1命令に対応する第1動作を許可するように構成され;第1動作が許可された後、プリセット動作状態にある第2端末がサービス動作を許可する合計回数がプリセットの数量閾値内である場合に、第2命令に対応する第2動作を許可するように構成され;プリセット動作状態にある第2端末がサービス動作を許可する頻度がプリセットの頻度閾値内である場合に、第2命令に対応する第2動作を許可するように構成され;現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内である場合に、第2命令に対応する第2動作を許可するように構成され;又は、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらない場合に、第2命令に対応する第2動作を許可するように構成される。サービス命令は、第1命令と第2命令とを含み、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含み、ユーザ同一性認証情報は第1タイムスタンプをさらに含み、第1タイムスタンプは、同一性認証結果を生成する時刻を示すために使用される。
【0052】
第3の態様を参照すると、第3の態様の第7の可能な実施において、プロセッサはさらに、ユーザ同一性認証結果がプリセットの認証結果と合致する場合に、第1命令に対応する第1動作を許可するように構成され;現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値を超えている場合に、第2端末が、第1タイムスタンプによって示される時刻の後に、プリセット動作状態から非プリセット動作状態に切り替わるか否かを決定するように構成され;第2端末が非プリセット動作状態に切り替わらない場合に、第2命令に対応する第2動作を許可するように、構成されている。サービス命令は、第1命令と第2命令とを含み、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含み、ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、第1タイムスタンプは、同一性認証結果を生成する時刻を示すために使用される。
【0053】
第3の態様を参照すると、第3の態様の第8の可能な実施において、プロセッサはさらに、ユーザ同一性認証結果がプリセットの認証結果と合致し、現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値と合致する場合に、第1命令に対応する第1動作を許可するように構成され;第1命令が許可された後、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替えない場合に、第2命令に対応する第2動作を許可するように構成される。サービス命令は第1命令と第2命令とを含み、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含み、ユーザ同一性認証情報は第1タイムスタンプをさらに含み、第1タイムスタンプは、同一性認証結果を生成する時刻を示すために使用される。
【0054】
第3の態様と、第3の態様の第5ないし第8の態様とのうちの任意の1つに関して、第3の態様の第9の可能な実施において、プロセッサはさらに、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わるとき、デジタルキーをフリーズするか、又は第2端末にデジタルキーをフリーズするように指示するか、又はユーザに再度同一性認証を行うように指示するように構成されている。
【0055】
第3の態様と、第3の態様の第5ないし第9の実施とのうちの任意の1つに関して、第3の態様の第10の可能な実施において、端末デバイスはさらに、
サーバによって送信された第2タイムスタンプを受信するように構成された第3トランシーバであり、第2端末がサービス応答メッセージを送信する時間に最も近い、第2端末がプリセット動作状態から非プリセット動作状態に切り替わる期間内の時刻を示すために、第2タイムスタンプが使用される、第3トランシーバを含み;
プロセッサはさらに、第2タイムスタンプが第1タイムスタンプよりも早い場合に、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらないと決定するように構成され;又は、第2タイムスタンプが第1タイムスタンプよりも遅い場合に、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わると決定するように構成される。
サーバによって送信された第2タイムスタンプを受信するように構成された第3トランシーバであり、第2端末がサービス応答メッセージを送信する時間に最も近い、第2端末がプリセット動作状態から非プリセット動作状態に切り替わる期間内の時刻を示すために、第2タイムスタンプが使用される、第3トランシーバを含み;
プロセッサはさらに、第2タイムスタンプが第1タイムスタンプよりも早い場合に、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらないと決定するように構成され;又は、第2タイムスタンプが第1タイムスタンプよりも遅い場合に、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わると決定するように構成される。
【0056】
第3の態様と、第3の態様の第5ないし第9の実施とのうちの任意の1つに関して、第3の態様の第11の可能な実施において、端末デバイスは、さらに、
第1タイムスタンプをサーバに送信し、サーバによって送信されたオンライン検証結果を受信するように構成された第3トランシーバであり;第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わるか否かに基づいて、オンライン検証結果がサーバによって決定される、第3トランシーバを含み;
プロセッサはさらに、オンライン検証結果が成功である場合に、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらないことを決定するように構成され;又はオンライン検証結果が失敗である場合に、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わると決定するように構成されている。
第1タイムスタンプをサーバに送信し、サーバによって送信されたオンライン検証結果を受信するように構成された第3トランシーバであり;第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わるか否かに基づいて、オンライン検証結果がサーバによって決定される、第3トランシーバを含み;
プロセッサはさらに、オンライン検証結果が成功である場合に、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらないことを決定するように構成され;又はオンライン検証結果が失敗である場合に、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わると決定するように構成されている。
【0057】
第3の態様に関して、第3の態様の第12の可能な実施において、プロセッサはさらに、ユーザ同一性認証結果がプリセットの認証結果と合致しない場合に、第1命令に対応する第1動作を許可し、第2命令に対応する第2動作を許可することを拒否するように構成され、ここで、サービス命令は、第1命令と第2命令とを含み、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含む。
第1トランシーバは、第2端末に新しいサービス命令を送信するようにさらに構成され、新しいサービス命令は第2命令を含む。
第1トランシーバは、第2端末に新しいサービス命令を送信するようにさらに構成され、新しいサービス命令は第2命令を含む。
【0058】
第3の態様に関して、第3の態様の13の可能な実施において、プロセッサは、さらに、第2キーと第2検証データとを使用して、ユーザ同一性認証情報が有効であり、ユーザ同一性認証情報がプリセットのセキュリティポリシーに準拠していることが検証される場合に、サービス命令に対応するサービス動作を許可するように構成され、サービス応答メッセージは、第2検証データをさらに含み、第2検証データは、第2キーを使用してユーザ同一性認証情報を処理することによって生成され、第2キーは、第2端末と第1端末とによって予め合意されたキーであり、第2キーは第1キーと異なる。
【0059】
第4の態様によれば、本出願は、端末デバイスを提供する。端末デバイスは、
第1端末からサービス命令を受信するように構成され、そしてサービス命令に応答して、プリセット動作状態で、第1キーを使用して処理されたサービス応答メッセージを、第1端末へ送信するように構成されている第2トランシーバであり、サービス応答メッセージはユーザ同一性認証情報を含み、ユーザ同一性認証情報はユーザ同一性認証結果を含み、第1キーは、端末デバイスと第1端末とによって予め合意されたキーである、第2トランシーバと、
ユーザ同一性認証情報と第1キーとを記憶するように構成されているセキュア要素と、
端末デバイスがプリセット動作状態にはいる前に、ユーザ同一性認証結果を生成するように構成されているユーザ同一性認証システムであり、プリセット動作状態は、端末デバイスの同一性認証システムが同一性認証結果を生成し得ない状態である、ユーザ同一性認証システムとを備えている。
第1端末からサービス命令を受信するように構成され、そしてサービス命令に応答して、プリセット動作状態で、第1キーを使用して処理されたサービス応答メッセージを、第1端末へ送信するように構成されている第2トランシーバであり、サービス応答メッセージはユーザ同一性認証情報を含み、ユーザ同一性認証情報はユーザ同一性認証結果を含み、第1キーは、端末デバイスと第1端末とによって予め合意されたキーである、第2トランシーバと、
ユーザ同一性認証情報と第1キーとを記憶するように構成されているセキュア要素と、
端末デバイスがプリセット動作状態にはいる前に、ユーザ同一性認証結果を生成するように構成されているユーザ同一性認証システムであり、プリセット動作状態は、端末デバイスの同一性認証システムが同一性認証結果を生成し得ない状態である、ユーザ同一性認証システムとを備えている。
【0060】
第4の態様を参照すると、第4の態様の第1の可能な実施において、ユーザ同一性認証情報は、第1タイムスタンプをさらに含み、第1タイムスタンプは、ユーザ同一性認証結果を生成する時刻を示すために使用される。
【0061】
第4の態様又は第4の態様の第1の実施に関して、第4の態様の第2の可能な実施において、サービス応答メッセージは、第2検証データをさらに含み、第2検証データは、第2キーを使用してユーザ同一性認証情報を処理することによって生成され、第2キーは、端末デバイスと第1端末とによって予め合意されたキーであり、第2キーは第1キーと異なる。
【0062】
第4の態様と、第4の態様の第1ないし第2の実施とに関し、第4の態様の第3の可能な実施において、端末デバイスがプリセット動作状態にはいる前に、必須同一性認証で構成されたデジタルキーが端末デバイスに存在する場合に、ユーザ同一性認証システムはさらに、ユーザ同一性認証結果を生成するように構成され、必須同一性認証で構成されたデジタルキーは、第2端末がプリセット動作状態にはいる前に、第2端末がユーザ同一性認証を実行することを必要とし、
第2端末はさらに、
ユーザ同一性認証情報を端末デバイスのセキュア要素に記憶するように構成されたデジタルキーサービスを含み、ユーザ同一性認証情報はユーザ同一性認証結果を含む。
第2端末はさらに、
ユーザ同一性認証情報を端末デバイスのセキュア要素に記憶するように構成されたデジタルキーサービスを含み、ユーザ同一性認証情報はユーザ同一性認証結果を含む。
【0063】
第5の態様によれば、本出願は、命令を含むコンピュータ可読な記憶媒体を提供する。命令がコンピュータ上で実行された場合に、コンピュータは、第1の態様に従って方法を実行することが可能にされる。
【0064】
第6の態様によれば、本出願は、命令を含むコンピュータ可読な記憶媒体を提供する。命令がコンピュータ上で実行された場合に、コンピュータは、第2の態様に従って方法を実行することが可能にされる。
【0065】
第7の態様によれば、本出願は、命令を含むコンピュータプログラム製品を提供する。命令がコンピュータ上で実行された場合に、コンピュータは、第1の態様に従って方法を実行することが可能にされる。
【0066】
第8の態様によれば、本出願は、命令を含むコンピュータプログラム製品を提供する。命令がコンピュータ上で実行された場合に、コンピュータは、第2の態様に従って方法を実行することが可能にされる。
【0067】
以上の端末デバイス及びコンピュータ可読な記憶媒体を使用することの利点は、第1の態様及び第2の態様によるデジタルキーの同一性を認証する方法の利点と同じであり、ここでは、再度、詳細について説明しない。
【図面の簡単な説明】
【0068】
本出願の技術的解決策をさらに明確に説明するために、以下に、実施形態での添付する図面を簡単に説明する。
【0069】
【図1】デジタルキーが車両のロックを解除するために使用されるときに関与する、システムアーキテクチャーの図である。
【図2】本出願の実施形態に係り、デジタルキーの同一性を認証する方法の応用シナリオの概略図である。
【図3】本出願によるデジタルキーの同一性を認証する方法の一実施形態の概略フローチャートである。
【図4】デジタルキーが車両キーとして使用される応用シナリオの一例で、同一性認証が実行される場合のユーザインターフェースの概略図である。
【図5】デジタルキーが車両キーとして使用される応用シナリオの一例で、ユーザが許可を取り消す場合の1つのユーザインターフェースの概略図である。
【図6】デジタルキーが車両キーとして使用される応用シナリオの一例で、ユーザが許可を取り消す場合の他の1つのユーザインターフェースの概略図である。
【図7】本出願の実施形態に係り、デジタルキーの同一性を認証する方法の応用シナリオの他の概略図である。
【図8】本出願に係る端末デバイスの1つの実施の構造の概略図である。
【図9】本出願に係る他の端末デバイスの1つの実施の構造の概略図である。
【発明を実施するための形態】
【0070】
図2は、本出願の一実施形態に係り、デジタルキーの同一性を認証する方法の応用シナリオの概略図である。
【0071】
図2において、第2端末はデジタルキーを有する端末である。第2端末は、セキュア要素210を含み、デジタルキーアプレット211は、少なくとも1つのデジタルキーを記憶する。第2端末のセキュア素子210とメインチップ(図示せず)とに、独立して電力が供給できるため、セキュア素子210は、メインチップがどちらの状態にあるかに関係なく、通電及び作動してよい。デジタルキーアプレット211は、デジタルキーの機能を実施するために、セキュア要素210内で実行されてよい。第2端末は、携帯電話(cellphone),スマートフォン(smartphone),コンピュータ(computer),タブレットコンピュータ(tablet computer),パーソナルデジタルアシスタント(personal digital assistant, PDA),モバイルインターネットデバイス(mobile Internet device, MID),ウェアラブルデバイスなどを含んでよい。
【0072】
第2端末と第1端末とは、それぞれ通信ユニット220と通信ユニット120とを有し、2つの通信ユニットを使用して相互作用を行う。通信ユニット220及び120は、ブルートゥースのような中距離通信技術又は超広帯域(Ultra-Wideband, UWB)技術を使用してよく、又は近距離無線通信(Near Field Communication, NFC)のような近距離無線通信技術を使用してよい。さらに、通信ユニットは、様々な応用シナリオに対処するために、複数の前述の通信技術を一緒に使用してよい。本出願のこの実施形態では、NFCモジュールなどの第1端末及び第2端末の通信ユニットは、メインチップから独立して通電ができ、メインチップに通電を行わない場合には、内部/外部電源を使用して独立して動作できる。前述した外部電源は、通信モジュールに電力を供給するために電磁場からエネルギーが得られる電源方式である。前述した内部電源は、第2端末の電源が完全に消費されない電源方式であり、通信モジュールに電力を供給するために少量の電力が取っておかれている。なお、ブルートゥース、UWBなどの技術を使用した通信ユニットがメインチップとは独立して通電して動作できる場合には、これらの技術を使用した通信モジュールを、単独で、又は他の通信モジュールと一緒に、本出願の第1端末に適用してよいことに留意するものとする。
【0073】
第1端末は、第2端末でのデジタルキーの有効性を検証する端末である。通信ユニット120によって受信された情報を取得した後、第1端末の処理ユニット110は、受信した情報を使用して、デジタルキーの妥当性を検証する。デジタルキーが有効であることを検証すると、処理ユニット110は、第1端末の実行ユニット(図示せず)に信号を送信し、実行ユニットは、プリセット又はユーザ指定の動作を行う。
【0074】
本出願のデジタルキーは、複数のシナリオに適用してよい。例えば、デジタルキーが車両キーとして使用される応用シナリオでは、第2端末は、携帯電話、タブレットコンピュータ、又はインテリジェントウェアラブルデバイスなどであってよく、第1端末は、車両であってよい。別の例として、デジタルキーが支払いのために使用されるシナリオでは、第2端末は、携帯電話、タブレットコンピュータ、又はインテリジェントウェアラブルデバイスなどであってよく、第1端末は、販売時点端末(point of sale, POS)、交通カード読み取り機などであってよい。さらに別の例では、デジタルキーがドアキーとして使用される応用シナリオでは、第2端末は、携帯電話、タブレットコンピュータ、又はインテリジェントウェアラブルデバイスなどであってよく、第1端末はアクセス制御システムであってよい。
【0075】
端末デバイスが電源を切っている状態に加えて、端末デバイスが、端末デバイスの同一性認証システムが動作しないモード(以下、バッテリ低下モードと呼ぶ)にある場合には、端末デバイスが電源を切らなくても、デジタルキーを使用した場合には、端末デバイスは、依然として、同一性認証を行う要件を満たすことができない。
【0076】
これに鑑みて、本出願の第1実施形態では、デジタルキーの同一性を認証する方法が提供される。第2端末は、非プリセット動作状態(例えば、通常のバッテリモード)からプリセット動作状態(例えば、電源オフ又はバッテリ低下モード)にはいる前に、最初に、ユーザに対して、第2端末の同一性認証システムを使用して同一性認証を行い、得られた同一性認証情報を第2端末のセキュア要素に記憶する。次に、第2端末でのデジタルキーを使用する必要がある場合には、セキュア要素に記憶されたユーザ同一性認証情報を第1端末に送信し、第1端末は、ユーザ同一性認証情報に基づいて、ユーザが第2端末の許可保有者であるか否かを決定してよい。このように、第2端末がプリセット動作状態(例えば、電源オフ、又はバッテリ低下モード)であっても、ユーザが第2端末でデジタルキーを使用する場合には、元のデジタルキーに基づいてユーザ同一性の検証を追加してよい。従って、第2端末においてデジタルキーを使用するユーザは、第2端末の許可ユーザであることが保証され、これによりデジタルキーを使用する際のセキュリティが向上する。加えて、これはまた、第2端末の電源をオフにするか、第2端末を低電力モードにはいらせることによって、第2端末の許可のないユーザが同一性認証ステップをバイパスする場合に、第2端末の許可ユーザに起因する損失を回避する。
【0077】
第2端末が非プリセット動作状態からプリセット動作状態にはいる前と、第2端末がプリセット動作状態にあるときにユーザがデジタルキーを使用することとの、2つのフェーズでは、以下に、第1端末と第2端末とが2つのフェーズで実行するステップがそれぞれに説明されている。
【0078】
フェーズ1:第2端末が非プリセット動作状態からプリセット動作状態にはいる前
図3は、本出願に係り、デジタルキーの同一性を認証する方法の一実施形態の概略フローチャートである。フェーズ1では、第2端末は、ステップS101及びS102を実行してよい。
図3は、本出願に係り、デジタルキーの同一性を認証する方法の一実施形態の概略フローチャートである。フェーズ1では、第2端末は、ステップS101及びS102を実行してよい。
【0079】
S101:第2端末がプリセット動作状態にはいる前に、必須同一性認証で構成されたデジタルキーが存在する場合は、ユーザ同一性認証結果を生成する。
【0080】
プリセット動作状態は、第2端末の同一性認証システムが同一性認証結果を生成できない状態、例えば、電源オフ又はバッテリ低下モードであってよい。例えば、第2端末の電源の電気量が、プリセット閾値、例えば5%未満である場合に、第2端末はバッテリ低下モードにはいる。この場合に、第2端末内の少数のコンポーネントのみが正常に動作し、同一性認証システムや表示画面などのほとんどのコンポーネントが非動作状態になる。非プリセット動作状態は、プリセット動作状態以外の状態であってよい。例えば、第2端末は、通常のバッテリモードである。
【0081】
必須同一性認証で構成されたデジタルキーは、第2端末がプリセット動作状態にはいる前に、第2端末がユーザ同一性認証を実行することを必要とする。任意には、実施において、第2端末は、デジタルキーサービスを含んでよい。デジタルキーサービスは、デジタルキー管理機能を提供する。デジタルキーサービスの管理インターフェースを介して、ユーザは、デジタルキーアプレットに記憶された1つ以上のデジタルキーを閲覧し、これらのデジタルキーに対して必須同一性認証構成を実行することができる。ユーザがデジタルキーのために必須の認証を構成する場合に、ユーザはデジタルキーが使用されるたびに認証を実行する必要がある。
【0082】
任意には、ユーザがデジタルキーに対して必須同一性認証構成を実行した後、第2端末は、第1端末に無線ネットワークを介して通知してよい。その結果、第1端末は、サービス動作を許可する際に関連するチェックを実行する。
【0083】
非プリセット動作状態からプリセット動作状態に切り替える場合に、第2端末は一連のプリセットの動作を行うために状態切替手順にはいる必要がある。例えば、第2端末が通常のバッテリモードから電源オフ状態に直接切り替わると、第2端末は電源オフ手順にプリセットされた動作を実行するために電源オフ手順にはいる。例えば、電源オフを確認するためのダイアログボックスを表示したり、各アプリケーションプログラムにブロードキャストを送信したりして、データの記憶をプロンプトする。例えば、別の例では、第2端末が通常のバッテリモードからバッテリ低下モードに直接切り替わると、第2端末は、バッテリ低下処理手順にはいり、低電力処理手順にプリセットされた動作、例えば、サウンドプロンプト、ダイアログプロンプト、ディスプレイスクリーンの輝度調整、またバックグラウンドで実行中のプログラムの無効化又は中断を実行する。ユーザが、必須同一性認証を持つ少なくとも1つのデジタルキーを伴って構成されている場合に、デジタルキーサービスは、状態スイッチング手順に同一性認証動作を追加してよい。即ち、第2端末が、非プリセット動作状態からプリセット動作状態に切り替える状態切替手順にはいると、第2端末は、第2端末の同一性認証システムを起動し、ユーザに対して同一性認証を行い、ユーザ同一性認証結果を生成する。任意には、前述の同一性認証手順は、デジタルキーサービスによってトリガーされてよい。
【0084】
同一性認証システムは、1つ以上の既存の同一性認証手段、例えば、個人識別番号(Personal Identification Number, PIN)、指紋、顔、虹彩、骨伝導、及び挙動ベースの認証を使用して、ユーザに対して同一性認証を実行してよいことに留意するものとする。既存の同一性認証手段は、アクティブな同一性認証手段、例えば、PIN番号、指紋、顔又は虹彩を含んでよい。これらの手段の全ては、第2端末のユーザインターフェース上のガイダンスに従って、ユーザによって実行される必要がある。さらに、既存の同一性認証手段はさらに、パッシブな(即ち、ユーザが感知しない)同一性認証手段、例えば、挙動ベースの同一性認証又はウェアラブルデバイスベースの同一性認証を、含んでよい。ウェアラブルデバイスベースの同一性認証は、ウェアラブルプレゼンス検出、ウェアラブル骨伝導同一性認証、ウェアラブル脈拍同一性認証などであってよい。パッシブ同一性認証手段は、第2端末のコンポーネント(例えば、センサ)を使用して実現されてよく、又は、第2端末と対話ができる第3端末(例えば、ウェアラブルデバイス)を使用して実現されてよい。これは、本出願で限定されない。どの1つ又は複数の同一性認証手段が実際の応用で使用されるかは、第2端末の同一性認証システムによって提供又はサポートされる同一性認証機能に、主に依存する。同一性認証システムは、ユーザが入力したパスワード、バイオメトリック特徴、又は他の認証データを収集し、次に、パスワード、バイオメトリック特徴、又は他の認証データを、予め記憶されたパスワード、予め記憶されたバイオメトリック特徴、又は予め記憶された他の認証データと比較して、ユーザ同一性認証結果を生成する。
【0085】
任意には、同一性認証を実行するプロセスにおいて、デジタルキーサービスは、現在実行されている同一性認証の目的をユーザに通知するために、ユーザインターフェースを生成してよい。例えば、現在の同一性認証は、プリセット動作状態で少なくとも1つのデジタルキーの使用を許可するために使用される。加えて、ユーザインターフェースは、ユーザが同一性認証を完了するようにガイドするガイダンス情報をさらに表示してよい。例えば、図4は、デジタルキーが車両キーとして使用される応用シナリオの例において同一性認証が実行される場合のユーザインターフェースの概略図である。図4のユーザインターフェースでは、中央領域のプロンプトテキストが、現在の同一性認証が電源オフ状態でのデジタルキーAの使用を許可するために使用されることを、ユーザに通知するために使用される。下部領域の画像とテキストとは、同一性認証に指紋又は顔をユーザが使用してよいことを示すため、又は許可のキャンセルを示すために、使用される。
【0086】
任意には、実施では、ユーザが許可をキャンセルした場合に、別のユーザインターフェースがさらに生成されてよく、許可キャンセルの結果をユーザに通知し、ユーザに確認を実行するように要求する。例えば、図5は、デジタルキーが車両キーとして使用される応用シナリオの例において、ユーザが許可をキャンセルする場合のユーザインターフェースの概略図である。図5のユーザインターフェースでは、上部領域のプロンプトテキストは、許可のキャンセルの結果をユーザに通知するために使用され、具体的には、デジタル車両キーは、電源オフ状態では使用できない。下部領域のテキストは、確認又は再許可を行うことをユーザに指示するために、使用される。
【0087】
任意には、別の実施では、ユーザが許可をキャンセルした場合に、ユーザが必須同一性認証を再構成し、元の構成を変更することができるように、必須同一性認証の構成インターフェースへさらにジャンプしてよい。例えば、図6は、デジタルキーが車両キーとして使用される応用シナリオの例において、ユーザが許可をキャンセルする場合の別のユーザインターフェースの概略図である。図6のユーザインターフェースでは、上部領域のプロンプトテキストを使用して、ユーザに許可が取り消されたことを通知し、ユーザが車両キーを電源オフ状態で使用することを希望する場合に、ユーザが取ることができる別の動作をユーザに通知する。下部領域のテキスト及び画像は、デジタル車両キーの必須同一性認証を再構成することをユーザに指示するために、使用される。
【0088】
なお、上述のパッシブ同一性認証手段がユーザに対して同一性認証を行うために使用される場合に、第2端末は、上述のユーザインターフェースを表示せずに、バックグラウンドで全ての同一性認証手順を実行してよいことに留意するものとする。
【0089】
S102:ユーザ同一性認証結果を含むユーザ同一性認証情報を、セキュア要素に記憶する。
【0090】
ユーザ同一性認証結果が生成された後、ユーザ同一性認証結果を含むユーザ同一性認証情報をセキュア要素に記憶してよく、デジタルキーが使用されたときに、その後呼び出されるようにしてよい。本出願の実施形態では、既存のセキュア要素、例えば、埋め込みセキュア要素(embedded SE, eSE)、携帯電話のメインチップに集積されたinSEセキュアモジュール(System on Chip, SoC)、及びユニバーサル集積回路カードセキュア要素(Universal Integrated Circuit Card Secure Element, UICC SE)を使用してよい。
【0091】
任意には、第1の実施では、デジタルキーサービスは、ユーザ同一性認証結果を取得し、ユーザ同一性認証結果をユーザ同一性認証情報としてセキュア要素に直接記憶してよい。
【0092】
任意には、第2の実施では、デジタルキーサービスは、ユーザ同一性認証結果を取得し、次いで、第1端末との間で予め合意された第2キーを使用してユーザ同一性認証結果を処理して、第2検証データを生成してよい。これにより、ユーザ同一性認証情報が検証可能で否認不可能な特性を有することを確実にする。このようにして、ユーザ同一性認証情報を受信した後、第1端末は、予め合意された第2キーを使用して、ユーザ同一性認証情報を検証してよい。これにより、ユーザ同一性認証情報が送信プロセスにおいて改ざんされないこと、及びユーザ同一性認証情報を送信するためのソースが許可されることを確実にする。最後に、第2検証データとユーザ同一性認証結果とをユーザ同一性認証情報として一緒に使用し、セキュア要素に一緒に記憶する。この場合に、ユーザ同一性認証情報は、ときには、同一性認証証明(Attestation)と呼ばれる。
【0093】
実際の応用では、第2検証データは、デジタル署名,メッセージ認証コード(Message Authentication Code, MAC),又はハッシュメッセージ認証コード(Hashed Message Authentication Code, HMAC)などであってよいことに留意するものとする。ユーザ同一性認証結果が、第2キーを使用して処理される場合に、ユーザ同一性認証結果は、第2検証データを取得するために、第2キーを使用して直接処理されてよい。又は、ユーザ同一性認証結果は、最初にメッセージダイジェストに圧縮されてよく、その後、第2検証データを取得するために、第2キーを使用して、メッセージダイジェストが処理される。
【0094】
任意には、第3の実施では、デジタルキーサービスは、ユーザ同一性認証結果と第1タイムスタンプとを取得し、ユーザ同一性認証結果と第1タイムスタンプとを、ユーザ同一性認証情報としてセキュア要素に一緒に記憶してよい。
【0095】
本出願の実施形態における第1タイムスタンプは、ユーザ同一性認証結果を生成する時刻を示すのに使用される。実際の応用では、ユーザ同一性認証システムがユーザ同一性認証結果を生成する時刻を第1タイムスタンプとして使用してよいし、デジタルキーサービスがユーザ同一性認証結果を取得する時刻を第1タイムスタンプとして使用してよいし、又は別のおおよその時刻を第1タイムスタンプとして使用してよい。これらの時刻は、第2端末がプリセット動作状態にはいるまでの非常に短い期間内であり、また、さらに、ユーザ同一性認証情報がセキュア要素に記憶される時間までの切替手順から比較的短い期間内であると理解してよい。従って、どちらの時刻を第1タイムスタンプとして使用するかにかかわらず、ユーザ同一性認証結果を生成する時刻を示してよい。第1タイムスタンプは、例えば、同一性認証システムによって生成された、外部からのデジタルキーサービスによって取得されてよく、又は、デジタルキーサービス自体によって生成されてよい。これは、本出願で限定されない。実施では、第1タイムスタンプのソースの信頼性を保証するために、デジタルキーサービスは、携帯電話の信頼された実行環境TEEにおいて、同一性認証システム又は信頼されたタイムサービスから第1タイムスタンプを取得してよいし、又は信頼されたタイムサーバから第1タイムスタンプを取得してよい。加えて、第1タイムスタンプは、改ざん防止属性(例えば、デジタル署名)を担うことができる。これは、本出願で限定されない。
【0096】
任意には、第4実施では、デジタルキーサービスは、ユーザ同一性認証結果と第1タイムスタンプとを取得してよく、次いで、第2検証データを生成するために、第1端末との間で予め合意された第2キーを使用して、ユーザ同一性認証結果と第1タイムスタンプとを処理してよく、ユーザ同一性認証情報が検証可能で否認不可能な特性を有することを保証する。最後に、第2検証データと、ユーザ同一性認証結果と、第1タイムスタンプとを、ユーザ同一性認証情報として一緒に使用し、セキュア要素に一緒に記憶する。この場合に、ユーザ同一性認証情報はさらに、同一性認証証明と称してよい。
【0097】
本実施における第2検証データについては、第2実施における関連説明を参照するものとする。第1タイムスタンプについては、第3の実施の関連説明を参照するものとする。詳細は、ここでは再度説明しない。
【0098】
任意には、ユーザ同一性認証情報をセキュア要素に記憶する実施において、ユーザ同一性認証情報は、セキュア要素のデジタルキーアプレットに書き込まれてよい。
【0099】
例えば、デジタルキーサービスは、デジタルキーアプレット内の特定の指示フィールドを設定し、デジタルキーアプレットにユーザ同一性認証結果を書き込むために、ユーザ同一性認証結果の3つの状態を示すのに、指示フィールドの異なる値を使用してよい。例えば、デジタルキーアプレットは、符号化が従来のタグ長値(Type-Length-Value, TLV)フォーマットで実行されるときに、タグ(tag)内の同一性認証結果を示してよく、値「1」は、ユーザ同一性認証結果が成功であることを示してよく、値「2」は、ユーザ同一性認証結果が失敗であることを示してよく、値「3」は、ユーザ同一性認証結果が完了していないことを示してよい。このような情報は、本出願では第1情報と呼ばれる。即ち、第1情報は、デジタルキーアプレットがユーザ同一性認証結果を提示する表現形式である。従って、前述したユーザ同一性認証情報は、ユーザ同一性認証結果を含み、ユーザ同一性認証情報は、第1情報を含むと考えてよい。第1情報は、ユーザ同一性認証結果が成功か失敗かを示すのに使用されるか、又は、第2端末がプリセット動作状態にはいる前に、同一性認証システムが同一性認証を完了していないことを示すのに使用される。
【0100】
別の例として、デジタルキーサービスは、デジタルキーアプレット内の別の特定の指示フィールドを設定し、ユーザ同一性認証情報がセキュア要素に書き込まれたときに、第2端末がプリセット動作状態にはいろうとしているか否かを示すのに、指示フィールドの特定の値を使用してよい。即ち、指示フィールドは、第1端末のサービス命令に応答する際に、第2端末がプリセット動作状態にあるか否かを示すのに使用される。例えば、外部提示の間、「1」は、第1端末にサービス応答メッセージを送信する際に、第2端末がプリセット動作状態にあることを示してよい。「0」は、第1端末のサービス命令に応答する際に、第2端末が別の動作状態、例えば、非プリセット動作状態にあることを示してよい。このような情報は、本出願では第2情報と称される。従って、第1情報に加えて、ユーザ同一性認証情報は、第2情報をさらに含んでよい。第2情報は、サービス応答メッセージを第1端末に送信する際に、第2端末がプリセット動作状態にあるか否かを示すのに使用する。
【0101】
任意には、前述の第2情報は、代替的に、デジタルキーアプレットのためのNFCコントローラ(NFC controller)によって提供されてよい。
【0102】
前述の第1情報及び前述の第2情報は、独立して2つの指示フィールドによって表されてよいし、又は一緒に結合されて同じ指示フィールドによって表されてよいことに留意するものとする。これは、本出願で限定されない。例えば、同じ特定の指示フィールドが表現に使用される場合に、第1情報によって示される3つの状態と、第2情報によって示され得る2つの状態とを組み合わせてよく、特定の指示フィールドの6つの異なる値を使用して、6つのケースがそれぞれに表現される。例えば、セキュア要素に書き込まれたユーザ同一性認証情報が、さらに、第1タイムスタンプ、第2検証データなどを含む場合に、デジタルキーサービスは、データの存在を示す特定の指示フィールドを設定してよい。そして、第1タイムスタンプ、第2検証データなどがプリセットされた記憶アドレスに記憶される。これにより、第1情報及び第2情報に加えて、他の情報もセキュア要素に記憶してよい。
【0103】
第1情報、第2情報、及びその他の情報を使用して、第2端末がプリセット動作状態にはいる前に同一性認証が完了したか否かの状態、第2端末が第1端末にサービス応答メッセージを送信したときの第2端末の動作状態、第1タイムスタンプ、検証情報などを、デジタルキーアプレットに記憶してよく、デジタルキーを利用したときに第1端末に配信する。このようにして、第1端末は、この情報を利用して第2端末の状態を知ってよく、さらに、プリセットのセキュリティポリシーに従って、リスク管理を行ってよい。リスク管理を実行するための具体的な方法は、第1端末によって実行される後のステップにおいて詳細に記述される。
【0104】
任意には、ユーザ同一性認証情報をセキュア要素に記憶する別の実施では、ユーザ同一性認証情報を、セキュア要素のブローカアプレット(Broker Applet)に書き込んでよい。
【0105】
本出願の実施形態で使用されるセキュア要素は、国際プラットフォーム機関(Global platform, GP)のブローカインターフェース(Amendment J)仕様をサポートする。図7は、本出願の一実施形態に係り、デジタルキーの同一性を認証する方法の応用シナリオの別の概略図である。第2端末のセキュア要素210には、1つのブローカアプレット212がある。ブローカアプレット212は、セキュア要素210内のすべてのアプレット(デジタルキーアプレット211と、存在し得る別のアプレットとを含む)について、ユーザ同一性認証情報を集中的に提供してよい。従って、デジタルキーサービス230は、前述のユーザ同一性認証情報の中の任意の部分を、記憶のためにブローカアプレット212に送信してよい。ユーザ同一性認証情報におけるユーザ同一性認証結果は、同一性認証システム240によって生成される。第2端末のデジタルキーアプレット211が第1端末と対話する場合に、ユーザ同一性認証情報を提供する必要があるならば、デジタルキーアプレット211は、標準インターフェースを介してプロキシアプレット212から記憶されたユーザ同一性認証情報を取得する。
【0106】
なお、ユーザ同一性認証を行うときに、もし先立って1回又は複数回の認証が失敗であった場合には、ユーザに対して再度1回、又は複数回の認証を行ってよく、これにより、ユーザが誤ったパスワードを入力する、又は、有効なバイオメトリック特徴が収集されない場合を回避することを理解するものとする。この場合に、最後の同一性認証結果をセキュア要素に記憶してよい。例えば、通常のバッテリモードから電源オフ状態に切り替えると、第2端末は、ユーザに対して同一性認証を実行するために同一性認証システムをトリガーする。まず、図4に示すユーザインターフェースが、第2端末の表示画面に表示され、ユーザが指紋を入力するようにガイドする。ユーザは指紋押捺領域に指紋押捺し、指紋を記録する。ユーザの指に水があって、最初の指紋押捺時に同一性認証システムによって収集された指紋画像と、第2端末に予め記憶された指紋画像との間の類似性が、プリセット閾値よりも低いため、同一性認証システムは、最初に記録された指紋画像が、予め記憶された指紋画像と合致しない、即ち、同一性認証が失敗である、と決定する。この場合に、第2端末は、「失敗」の結果をセキュア要素に記憶せず、同一性認証に失敗した旨についてユーザにプロンプトを行い、再度指紋画像の記録をユーザに要求する。ユーザは、指紋の水を拭き取り、再度指紋を押捺する。記録された指紋画像と予め記憶された指紋画像との間の類似性がプリセット閾値を超えた場合は、同一性認証に成功し、最近取得した結果「成功」をセキュア要素に記憶する。ユーザが指紋画像を繰り返し記録した回数がプリセットの回数を超え、すべての結果が失敗した場合は、第2端末は、最近取得した結果「失敗」をセキュア要素に記憶する。
【0107】
ユーザに対して同一性認証が行われ、ユーザ同一性認証情報が記憶されている場合に、第2端末における元の切替手順を中断してよい。同一性認証情報を記憶することが完了した後、切替手順の実行を継続する。切替手順の完了後、第2端末は正式にプリセット動作状態になる。
【0108】
フェーズ2:第2端末がプリセット動作状態にあるときにユーザはデジタルキーを使用する
図3を参照する。フェーズ2では、第2端末は、ステップS103及びS104を実行してよい。
図3を参照する。フェーズ2では、第2端末は、ステップS103及びS104を実行してよい。
【0109】
S103:第2端末は、第1端末からサービス命令を受信する。
【0110】
第2端末は、通信ユニットを使用して第1端末と情報を交換する。さらに、通信ユニットは、独立して電力を供給することができる通信モジュール、例えば、NFCモジュールを含む必要がある。このように、第2端末が、例えば電源オフ又はバッテリ低下モードにおいて、プリセット動作状態にある場合には、独立して給電される通信モジュールは、第2端末のメインチップの動作状態に影響されない。通信モジュールは、依然として、第1端末と情報を交換してよい。
【0111】
S104:サービス命令に応答して、プリセット動作状態で第2端末は、第1キーを使用して処理されたサービス応答メッセージを、第1端末に送信する。
【0112】
本出願におけるプリセット動作状態は、第2端末の同一性認証システムが同一性認証結果を生成することができない状態であってよい。プリセット動作状態では、フェーズ1でセキュア要素に記憶されたユーザ同一性認証情報を、第2端末はサービス応答メッセージに追加し、第1キーを使用してサービス応答メッセージを処理する。第1キーは、第2端末と第1端末とにより予め合意されたキーであり、第1キーは、第2検証データを生成するために使用される前述の第2キーと異なる。第2端末の第1キーは、セキュア要素のデジタルキーアプレットに記憶されてよい。次に、第2端末は、処理されたサービス応答メッセージを第1端末に送信する。
【0113】
この実施形態におけるサービス応答メッセージは、ユーザ同一性認証情報を含む。ユーザ同一性認証情報は、ユーザ同一性認証結果のみを含んでよく、ユーザ同一性認証結果と第2検証データとを含んでよく、ユーザ同一性認証結果と第1タイムスタンプとを含んでよく、又はユーザ同一性認証結果と、第1タイムスタンプと、第2検証データとを含んでよい。ユーザ同一性認証情報、ユーザ同一性認証結果、第1タイムスタンプ、第2検証データについては、フェーズ1の関連説明を参照するものとする。詳細については、ここでは再度説明しない。加えて、サービス応答メッセージは、さらに、他の情報、例えば、前述の第2情報、プロトコル情報、トランザクション/サービス識別情報、第1端末の識別情報、及び第1端末/第2端末によって生成されたランダム情報値を含んでよい。これは、本出願で限定されない。
【0114】
任意には、サービス応答メッセージは、第1検証データをさらに含んでよい。本出願における第1検証データは、サービス応答メッセージ内のユーザ同一性認証情報を処理するか、又は、第1キーを使用してサービス応答メッセージ内のユーザ同一性認証情報とその他の情報とを処理することによって、生成される検証データである。サービス応答メッセージが第1検証データを含む場合に、サービス応答メッセージは、第1キーを使用して処理されたサービス応答メッセージであると見なしてよい。第2検証データと同様に、ユーザ同一性認証情報、又はユーザ同一性認証情報と他の情報とが、第1キーを使用して処理される場合に、第1キーを使用して情報を直接処理して、第1検証データを取得してよい。又は、情報を最初にメッセージダイジェストに圧縮し、その後、第1キーを使用してメッセージダイジェストを処理して、第1検証データを取得してよい。
【0115】
本出願の第1キーの暗号化メカニズムは、既存の対称暗号化又は非対称暗号化を使用してよく、又は、非対称暗号化に基づいてキーの協議が行われた後にセッションキーを生成してよいことに留意するものとする。ここには、詳細は記載しない。
【0116】
なお、サービス命令が異なる場合には、サービス命令に対応するサービス動作もそれに応じて異なり、第1端末がサービス動作を許可するか否かを決定するために必要な情報も異ることに留意するものとする。従って、実施では、サービス応答メッセージに含まれる情報は、異なるサービス命令によって異なってよい。
【0117】
任意には、サービス命令に応答する前に、第1端末によって送信されたサービス命令が、ユーザ同一性認証情報を提供することを第2端末に要求するか否か、即ち、サービス命令に対応するサービス動作が許可されたときにユーザ同一性認証情報が必要であるか否かを、第2端末は最初に決定してよい。ユーザ同一性認証情報が必要な場合に、セキュア要素内のユーザ同一性認証情報がサービス応答メッセージに追加される。又は、ユーザ同一性認証情報が必要でない場合は、ユーザ同一性認証情報を第1端末に提供する必要はない。
【0118】
S103に対応して、第1端末は、第2端末にサービス命令を送信する。S104に対応して、第1端末は、サービス命令に応答して第2端末から送信されたサービス応答メッセージを受信する。
【0119】
図3を参照する。フェーズ2では、第1端末は、ステップS105及びS106を実行してよい。
【0120】
S105:第1端末は、第1キーを使用してサービス応答メッセージを検証した後、ユーザ同一性認証情報を取得する。
【0121】
第1キーは、第2端末と第1端末により予め合意されたキーである。サービス応答メッセージに対して第1端末が第1キーを使用して行った検証が失敗した場合に、これは、第2端末が第1端末によって認識されたデジタルキーを持たないことを示す。サービス応答メッセージに対して第1端末が第1キーを使用して行った検証が成功した場合に、これは、第2端末が第1端末によって認識されたデジタルキーを保持していること、即ち、第2端末でのデジタルキーが許可されていることを示す。この場合に、第1端末は、サービス応答メッセージに含まれるユーザ同一性認証情報をさらに検証してよい。
【0122】
サービス応答メッセージが、ユーザ同一性認証情報と、他の情報と、第1検証データとを含む例は、検証の実施をさらに説明するために、以下に使用される。第1端末は、第1キーを使用して、ユーザ同一性認証情報及びその他の情報を処理し、これにより、第1チェックデータを取得する。次に、第1チェックデータを第1検証データと比較する。第1チェックデータが第1検証データと同じである場合は、検証が成功であり、第1チェックデータが第1検証データと異なる場合は、検証が失敗である。
【0123】
サービス応答メッセージが第2検証データを含まない場合に、第1端末は、ユーザ同一性認証情報の内容と、プリセットのセキュリティポリシーとを使用して、サービス命令に対応するサービス動作を許可するか否かを直接決定してよい。サービス応答メッセージが第2検証データを含む場合に、第1端末は、第2端末との間で予め合意された第2キーを使用して、ユーザ同一性認証情報が有効であるか否かを検証する必要があり、これにより、ユーザ同一性認証情報が、第2端末でのデジタルキーサービス又は同一性認証システムによって生成されることを保証する。さらに、第1端末は、ユーザ同一性認証情報の内容がプリセットのセキュリティポリシーに準拠しているか否かを決定する必要がある。サービス命令に対応するサービス動作は、この2つの条件を満たす場合にのみ許可してよい。
【0124】
ユーザ同一性認証情報がユーザ同一性認証結果と第1タイムスタンプとを含み、サービス応答メッセージが第2検証データを含む例については、ユーザ同一性認証情報が有効であるか否かを検証するプロセスをさらに説明するために、使用される。第1端末は、第2キーを使用して、ユーザ同一性認証情報、即ちユーザ同一性認証結果と第1タイムスタンプとを処理し、計算によって第2チェックデータを取得する。次に、第2チェックデータを第2検証データと比較する。第2チェックデータが第2検証データと同一の場合は、ユーザ同一性認証情報が有効であると決定する。第2チェックデータが第2検証データと異なる場合は、ユーザ同一性認証情報が無効であると決定する。この方法を使用して、ユーザ同一性認証情報が送信プロセスにおいて改ざんされていないことを確実にしてよい。即ち、ユーザ同一性認証情報の完全性を確実にしてよい。加えて、ユーザ同一性認証情報が検証可能で否認不可能な特性を有することを確実にするために、ユーザ同一性認証情報を送信するソースを許可することを確実にしてよい、即ち、第2端末のキーの許可保有者が保証されることを確実にしてよい。
【0125】
なお、サービス応答メッセージは、本来、ユーザ同一性認証情報を含み、第1キーが検証に使用されない場合でも、第1端末は、サービス応答メッセージからユーザ同一性認証情報を取得してよいことに留意するものとする。しかしながら、上述のように、第1キーを使用して実行された検証が失敗した場合に、これは、第2端末が、第1端末によって認識されたデジタルキーを保持しないことを示す。この場合に、以降のステップは、ユーザ同一性認証情報を使用して実行する必要はなく、サービス動作の許可は直接拒否される。ただし、第1キーを使って行われた検証が成功した場合は、第2端末でのデジタルキーが許可されていることを示す。この場合に、以降のステップは、サービス応答メッセージ中のユーザ同一性認証情報を使用することによって実行され、それによって、ユーザの同一性に関する検証を追加し、デジタルキーのセキュリティを向上させる。
【0126】
さらに、第1端末から送信されるサービス命令が、ユーザ同一性認証情報の検証を必要としない場合に、即ち、サービス命令に対応するサービス動作を許可するか否かを決定する際にユーザ同一性認証情報を必要としない場合には、ユーザ同一性認証情報を使用して以降のステップを実行する必要はないことに留意するものとする。実施では、この場合に、サービス命令に対応するサービス動作を許可するか否かは、第1キーの検証結果に基づいて直接決定してよい。
【0127】
S106:ユーザ同一性認証情報を検証する。
【0128】
第1端末は、プリセットのセキュリティポリシーを記憶し、セキュリティポリシーは、ユーザ同一性認証情報に関連する1つ以上のルールを含む。ユーザ同一性認証情報を検証する実施では、第1端末は、ユーザ同一性認証情報をセキュリティポリシーのルールと比較してよく、ユーザ同一性認証情報がセキュリティポリシーのルールを満たすか否かに基づいて、サービス命令に対応するサービス動作が許可されることができるか否かを決定してよい。
【0129】
異なる第1端末のセキュリティポリシーは異なってよく、第1端末のセキュリティポリシーは異なる応用シナリオで異なってよいことに留意するものとする。第1端末の製造者、例えば、車両製造者は、製造者のリスク許容能力に基づいてセキュリティポリシーをプリセットしてよい。
【0130】
さらに、ここでのユーザ同一性認証情報は、第2端末のセキュア要素から取得されることに留意するものとする。ユーザ同一性認証情報を取得すると、第2端末はプリセット動作状態になる。ユーザ同一性認証情報は、ユーザ同一性認証結果を含み、ユーザ同一性認証結果は、第2端末がプリセット動作状態にはいる前に、第2端末の同一性認証システムによって生成される。
【0131】
任意には、ユーザ同一性認証情報は、前述の第2情報を含んでよい。第2端末が第1端末にサービス応答メッセージを送信する際に、第2端末がプリセット動作状態にあるか否かを、第1端末は第2情報を使用して、明確に知ることができる。実施においては、サービス応答メッセージを送信する際に、第2端末がプリセット動作状態にあるか否かを示すのに、第2情報は使用される。従って、ユーザ同一性認証情報が第2情報を含む場合に、第1端末は、第2情報を使用して、第2端末がサービス応答メッセージを送信する場合に、第2端末の状態を決定してよい。第2端末がプリセット動作状態にある場合に、第2端末の同一性認証システムは正常に使用できない。この場合に、取得したユーザ同一性認証結果は、第2端末がプリセット動作状態にはいる前に生成及び記憶され、リアルタイムでは生成されない。これは、現在のユーザがデジタルキーを使用する場合に、リスクが相対的に高いことを示す。この場合に、第1端末は、プリセットのセキュリティポリシーとユーザ同一性認証情報とに基づいてリスク管理を行い、サービス動作を許可するか否かを決定し、リスクを下げてよい。
【0132】
任意には、ユーザ同一性認証情報は、前述の第1情報を含んでよい。第2端末がプリセット動作状態にはいる前に、同一性認証が行われているか否か、又は同一性認証が完了していないか否かを、第1端末は第1情報を使用して、明確に知ることができる。実施においては、第1情報は、ユーザ同一性認証結果が「成功」、「失敗」、「未完了」であることを示すのに使用される。セキュリティポリシーは、第1ルールを含み、第1ルールでは認証結果が「成功」としてプリセットされている。サービス応答メッセージのユーザ同一性認証結果も「成功」であれば、サービス応答メッセージのユーザ同一性認証結果は、プリセットの認証結果と合致する。又は、サービス応答メッセージのユーザ同一性認証結果が「失敗」又は「未完了」であれば、サービス応答メッセージのユーザ同一性認証結果は、プリセットの認証結果と合致しない。
【0133】
サービス命令は、1つ以上の異なる命令を含んでよい。サービス命令が複数の異なる命令を含む場合に、複数の異なる命令は、別々に第2端末に送信されてよいし、又は、一緒に第2端末に送信されてよい。これは、本出願で限定されない。複数の異なる命令が別々に第2端末に送られる場合に、第2端末は、別々の応答を行い、対応するサービス応答メッセージを別々に第1端末に送ってよいし、又は、1回応答を行い、1つのサービス応答メッセージを第1端末に送ってよい。なお、第1端末が複数の異なる命令を別々に第2端末に送信し、第2端末が別々の応答を行う場合に、第2端末は、最初に送信された命令に、最初に応答し、次に、後に送信された命令を受信してよいし、又は、後に送信された命令を、最初に受信し、次に、複数の受信された命令に順次応答してよいことに留意するものとする。換言すれば、複数の命令を受信し、第2端末が複数の命令に応答する一連のステップは、本出願で限定されない。複数の異なる命令が第2端末に一緒に送られるとき、第2端末は1回応答し、第1端末に1つのサービス応答メッセージを送ってよいし、又は別々の応答を行ってよい。これは、本出願で限定されない。
【0134】
サービス命令に対応するサービス動作は、1つ以上の動作を含んでよい。これは、本出願で限定されない。第1端末及び第2端末は、複数の異なるシナリオにおけるサービス命令に合意してよく、異なるシナリオにおける各サービス命令は、1つ以上のサービス動作要求を含んでよい。第1端末によって第2端末に現在送信されている、サービス命令のシナリオに含まれる1つ以上のサービス動作に対する要求に基づいて、第1端末は、1つ以上のサービス動作を許可するか否かを決定する。
【0135】
例えば、デジタルキーが車両キーとして使用される応用シナリオでは、第1端末は車両であってよく、第2端末は携帯電話であってよい。車両内には複数の通信ユニットが存在する。異なる通信ユニットを使用して、異なるサービス命令と、対応するサービス動作とを、互いに区別してよい。車両ドアに関連付けられた通信モジュールがサービス命令を送信した場合に、対応するサービス動作は、単一の車両ドア又は全ての車両ドアのロックを解除することであってよい。車両のトランクに関連付けられた通信モジュールがサービス命令を送信した場合に、対応するサービス動作がトランクのロックを解除することであってよい。車両内に位置する始動モジュールに関連付けられた通信モジュールが、サービス命令を送信した場合に、対応するサービス動作がエンジンを始動することであってよい。このようにして、携帯電話から送信されたサービス応答メッセージを受信した場合に、車両は、異なるサービス命令に基づいて、また異なるセキュリティポリシーを使用して、対応するサービス動作を許可するか否かを決定してよい。
【0136】
以下に、例として12個の異なるセキュリティポリシーを使用して、ユーザ同一性認証情報に基づいて、異なるセキュリティポリシーが使用される場合にサービス命令に対応するサービス動作を許可するか否かを決定するプロセスを、さらに説明する。
【0137】
(1)セキュリティポリシー1
【0138】
セキュリティポリシー1は、第1ルールを含む。
【0139】
第1ルールは、ユーザ同一性認証結果に関連するルールであり、2つのサブルールを含む。第1ルールでは、認証結果は「成功」とプリセットされる。サブルールa:もしサービス応答メッセージ内のユーザ同一性認証結果もまた「成功」である場合に、サービス応答メッセージ内のユーザ同一性認証結果は、プリセットの認証結果と合致する。サブルールb:もしサービス応答メッセージ内の同一性認証結果が「失敗」又は「未完了」である場合に、サービス応答メッセージ内のユーザ同一性認証結果は、プリセットの認証結果と合致しない。
【0140】
セキュリティポリシー1を使用する場合に、第1端末は、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否かを決定する必要がある。ユーザ同一性認証結果が、第1ルールのサブルールaに準拠している場合に、第1端末は、サービス命令に対応するサービス動作を直接許可する。ユーザ同一性認証結果が、第1ルールのサブルールaに準拠していない場合に、第1端末は、サービス命令に対応するサービス動作を許可することを拒否する。
【0141】
例えば、デジタルキーを車両キーとして使用する応用シナリオでは、第1端末は車両であり、第2端末は携帯電話であり、サービス命令に対応するサービス動作は「ロック解除」又は「エンジン始動」を含む。携帯電話は、現在は電源オフ状態である。車両が携帯電話から送信されたサービス応答メッセージを検証することに成功した後、ユーザ同一性認証情報におけるユーザ同一性認証結果が「成功」した場合は、ユーザ同一性認証結果がサブルールaに準拠し、サービス動作「ロック解除」又は「エンジン始動」を許可する。
【0142】
(2)セキュリティポリシー2
【0143】
セキュリティポリシー2は、第1ルールと第2ルールとを含む。第1ルールはセキュリティポリシー1での第1ルールと同じであり、ここでは詳細については説明しない。
【0144】
第2ルールは、第2端末がプリセット動作状態にあるときに、第1端末がサービス動作を許可する合計回数に関するルールである。第1端末は、第2端末がプリセット動作状態にあるときに、サービス動作を許可する履歴の合計回数を記録する。第2ルールでは、数量の閾値がプリセットされ、許可する合計回数が数量の閾値内であることが必要である。
【0145】
セキュリティポリシー2を使用する場合に、第1端末は、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否か、及び許可する合計回数が第2ルールに準拠しているか否かを決定する必要がある。2つのルールの両方に準拠している場合に、第1端末はサービス命令に対応するサービス動作を許可する。2つのルールのいずれかに準拠していない場合に、第1端末はサービス命令に対応するサービス動作を許可することを拒否する。
【0146】
また、サービス動作を許可するか否かにかかわらず、第1端末又は第2端末は、ユーザに対して、現在の許可する合計回数、将来の結果、ユーザがとることのできる措置などをユーザに通知するために、プロンプト情報を表示してよい。
【0147】
例えば、デジタルキーを車両キーとして使用する応用シナリオでは、第1端末は車両であり、第2端末は携帯電話であり、サービス命令に対応するサービス動作は「エンジン始動」を含む。第2ルールで設定された数量閾値は、4である。車両が携帯電話から送信されたサービス応答メッセージの検証に成功した後、ユーザ同一性認証情報でのユーザ同一性認証結果が「成功」である場合に、ユーザ同一性認証結果は、サブルールaに準拠している。携帯電話が電源オフ又はバッテリ低下モードのときにデジタルキーを使用している場合は、車両が4回の認証を既に行っていて、現在の認証が第5回であり、第2ルールに準拠しない。従って、車両はサービス動作「エンジン始動」を許可することを拒否する。
【0148】
さらに、第2ルールでは、一定期間内の許可する合計回数が閾値内であることを要求して、期間をさらに設定してよい。例えば、第2ルールは、現在時刻から24時間以内の許可する合計回数が、数量閾値内であることを要求してよい。
【0149】
このようにして、第1端末は、デジタルキーをプリセット動作状態で使用する場合を制限してよい。プリセット動作状態にあり、かつリアルタイムの保護を欠く第2端末で、デジタルキーを悪意をもって使用するリスクは、さらに下げられる。
【0150】
(3)セキュリティポリシー3
【0151】
セキュリティポリシー3は、第1ルールと第3ルールとを含む。第1ルールはセキュリティポリシー1の第1ルールと同じであり、ここでは詳細については再度説明しない。
【0152】
第3ルールは、第2端末がプリセット動作状態にあるときに、第1端末がサービス動作を許可する頻度に関するルールである。許可の頻度は、一定期間内に実行された許可する回数を使用して決定してよい。第1端末は、第2端末がプリセット動作状態にあるときにサービス動作を許可する履歴の許可する回数と、許可の各回に対応する時間とを記録する。頻度閾値は、第3ルールでプリセットされ、許可の頻度(即ち、一定期間内の許可する回数)が頻度閾値内であることを要求する。
【0153】
セキュリティポリシー3が使用される場合に、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否か、及び許可の頻度が第3ルールに準拠しているか否かを、第1端末は決定する必要がある。2つのルールの両方に準拠している場合に、第1端末はサービス命令に対応するサービス動作を許可する。2つのルールのいずれかに準拠していない場合に、第1端末はサービス命令に対応するサービス動作を許可することを拒否する。
【0154】
例えば、デジタルキーを車両キーとして使用する応用シナリオでは、第1端末は車両であり、第2端末は携帯電話であり、サービス命令に対応するサービス動作は「エンジン始動」を含む。第3ルールでは、許可の頻度閾値を毎月10回と設定する。車両が携帯電話から送信されたサービス応答メッセージの検証に成功した後、ユーザ同一性認証情報でのユーザ同一性認証結果が「成功」である場合に、ユーザ同一性認証結果は、サブルールaに準拠している。携帯電話が電源オフ又はバッテリ低下モードのときにデジタルキーを使用した場合に、車両が1か月以内に5回の許可を行い、現在の許可が第6回の場合に、第3ルールに準拠する。従って、車両はサービス動作「エンジン始動」を許可する。
【0155】
このようにして、第1端末は、デジタルキーをプリセット動作状態で使用する場合を制限することができる。プリセット動作状態にあり、かつリアルタイムの保護を欠いている第2端末において、悪意をもってデジタルキーを使用するリスクは、さらに下げられる。
【0156】
(4)セキュリティポリシー4
【0157】
セキュリティポリシー4は、第1ルールと第4ルールとを含む。第1ルールはセキュリティポリシー1の第1ルールと同じであり、ここでは詳細については説明しない。
【0158】
第4ルールは、デジタルキーを使用する時刻とユーザ同一性認証結果を生成する時刻との間のインターバル継続時間に関連するルールである。第1端末によって取得されたユーザ同一性認証情報は、さらに第1タイムスタンプを含み、第1タイムスタンプは、第2端末におけるユーザ同一性認証結果を生成する時刻を示すのに使用される。第4ルールでは、継続時間閾値がプリセットされる。これは、現在時刻と第1タイムスタンプとの間のインターバル継続時間がプリセットの継続時間閾値内であることを必要とする。
【0159】
セキュリティポリシー4が使用される場合に、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否か、及び第1タイムスタンプが第4ルールに準拠しているか否かを、第1端末は決定する必要がある。2つのルールの両方に準拠している場合に、第1端末はサービス命令に対応するサービス動作を許可する。2つのルールのいずれかに準拠していない場合に、第1端末はサービス命令に対応するサービス動作を許可することを拒否する。
【0160】
なお、第4ルールにおける現在時刻は、第1タイムスタンプが第4ルールに準拠しているか否かを第1端末が決定するリアルタイムであってよく、第1端末がサービス応答メッセージを受信する時刻、第1端末がユーザ同一性認証情報を取得する時刻などであってよい。これらの時刻は比較的近いものである。ユーザによるデジタルキーの使用時刻と、ユーザ同一性認証結果の生成時刻との間のインターバル継続時間は、現在時刻としてどちらの時刻を使用しているかにかかわらず、示してよい。従って、現在時刻として使用される特定の時刻は、本出願では制限されない。
【0161】
例えば、デジタルキーを車両キーとして使用する応用シナリオでは、第1端末は車両であり、第2端末は携帯電話であり、サービス命令に対応するサービス動作は「エンジン始動」を含む。第4ルールでは、インターバル継続時間は24時間に設定されている。車両が携帯電話から送信されたサービス応答メッセージの検証に成功した後、ユーザ同一性認証情報でのユーザ同一性認証結果が「成功」である場合に、ユーザ同一性認証結果は、サブルールaに準拠している。第1タイムスタンプが3月5日の20:00であり、現在時刻が3月6日の12:00であれば、2つの時刻のインターバル継続時間は16時間となり、これは継続時間閾値の24時間未満である。この場合に、第4ルールに準拠する。従って、車両はサービス動作「エンジン始動」を許可する。
【0162】
(5)セキュリティポリシー5
【0163】
セキュリティポリシー5は、第1ルールと第5ルールとを含む。第1ルールはセキュリティポリシー1の第1ルールと同じであり、ここでは詳細について再度説明しない。
【0164】
第5ルールは、プリセット動作状態にはいった後、第2端末が非プリセット動作状態に戻るか否かに関するルールである。第5ルールの実施では、第1タイムスタンプを第2タイムスタンプと比較する必要がある。第2タイムスタンプは、第1タイムスタンプよりも前である必要がある。即ち、第2端末は、第1タイムスタンプで示された時刻の後に、プリセット動作状態から非プリセット動作状態に逆に切り替わらないことが必要である。ユーザ同一性認証情報は、さらに、第1タイムスタンプを含み、第1タイムスタンプは、第2端末におけるユーザ同一性認証結果を生成する時刻を示すのに使用される。第2タイムスタンプは、第2端末が最後にプリセット動作状態から非プリセット動作状態に切り替わる時刻を示すのに、使用される。言い換えると、第2端末がプリセット動作状態から非プリセット動作状態に切り替わる期間内で、第2端末がサービス応答メッセージを送信する時刻に最も近い時刻を示すのに、第2タイムスタンプは使用される。
【0165】
第5ルールの別の実施では、第1タイムスタンプを第3タイムスタンプと比較する必要がある。第3タイムスタンプと第1タイムスタンプとの間の間隔は、プリセット閾値よりも短いことが必要である。第1タイムスタンプは、第2端末でユーザ同一性認証結果を生成する時刻を示すのに使用される。このとき、第2端末はプリセット動作状態にはいろうとしている。第3タイムスタンプは、最後に第2端末が、非プリセット動作状態からプリセット動作状態に切り替わる時刻を示すのに、使用される。言い換えれば、この実施では、第3タイムスタンプが、第1タイムスタンプよりも大幅に遅くなるのでなく、第1タイムスタンプに非常に近いことを、第5ルールは要求する。
【0166】
第1タイムスタンプが第5ルールに準拠していない場合に、第2端末が第1タイムスタンプの後に非プリセット動作状態にはいったことを示す。第2端末の同一性認証システムは、現在正常に動作することができ、又は第2端末は、より多くの新しい同一性認証情報を提供することができ、そして、現在提供されている同一性認証情報は、最新のユーザ認証ステータスを表すことができない。どちらの場合にも、第2端末が現在のサービスにおいて異常な挙動を示したこと、即ち通常の状況では提供すべきでない情報を提供したことが証明される。これは、デジタルキーが現在使用されている場合に、セキュリティリスクがある可能性があることを示す。例えば、第2端末は、現在のサービス動作を許可することを試行するために、既に古くなった同一性認証情報をリプレイする。ただし、電源を切った後に第2端末を再起動しない場合には、これは、同一性認証情報のリプレイを悪用するリスクが比較的低いことを示している。従って、第5ルールを前述の第1ルールと組み合わせて、デジタルキーを使用することのセキュリティリスクをさらに下げることができる。
【0167】
第5ルールが使用される場合に、決定ステップは、第1端末でローカルに実行されてよく、又は第1端末によってサーバに送信を行ってよく、サーバはオンライン検証を実行することに留意するものとする。
【0168】
実施では、第2タイムスタンプは、サーバから第1端末によって取得されてよい。第1端末は、サーバによって送信された第2タイムスタンプを最初に受信し、次いで、第2タイムスタンプが第1タイムスタンプよりも遅いか否かに基づいて、第2端末が、第1タイムスタンプで示された時刻の後に、プリセット動作状態から非プリセット動作状態に切り替わるか否かを決定する。
【0169】
別の実施では、第1端末は、第1タイムスタンプを含むオンライン検証リクエストをサーバに送信してよい。次に、サーバに記憶された第5ルールと、第1タイムスタンプと、第2タイムスタンプとに基づいて、サーバは、第2端末が、第1タイムスタンプで示された時刻の後に、プリセット動作状態から非プリセット動作状態に切り替えるか否かを決定し、オンライン検証結果を得る。続いて、サーバはオンライン検証結果を第1端末に送信する。オンライン検証結果が成功した場合に、第1端末は、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わらないと決定してよく、又は、オンライン検証結果が失敗である場合に、第1端末は、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に切り替わると決定してよい。
【0170】
前述のサーバは、直接又は間接的に第2端末に通信接続されたサーバであってよい。例えば、デジタルキーが車両キーとして使用される応用シナリオでは、第2端末が携帯電話であり、前述のサーバは、車両製造者のサーバであり、携帯電話のアカウントサーバに通信接続され、携帯電話のアカウントサーバは、携帯電話に通信接続される。この場合に、携帯電話は車両製造者のサーバに間接的に接続される。一旦電源がはいると、携帯電話が自動的に携帯電話のアカウントサーバに接続されるため、車両製造者のサーバは、携帯電話のアカウントサーバを使用して、携帯電話の通電時刻を取得してよい。
【0171】
セキュリティポリシー5を使用する場合に、第1端末は、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否か、及び第1タイムスタンプが第5ルールに準拠しているか否かを決定する必要がある。2つのルールの両方に準拠している場合に、第1端末はサービス命令に対応するサービス動作を許可する。2つのルールのいずれかに準拠していない場合に、第1端末はサービス命令に対応するサービス動作を許可することを拒否する。さらに、第1タイムスタンプが第5ルールに準拠しない場合に、第1端末は、代替的に、デジタルキーをフリーズしてよく、第2端末にデジタルキーをフリーズするように指示してよく、又は、ユーザに再度同一性認証を実行するように指示してよく、それによって、デジタルキーを使用することのセキュリティを向上させる。
【0172】
例えば、デジタルキーを車両キーとして使用する応用シナリオでは、第1端末は車両であり、第2端末は携帯電話であり、サービス命令に対応するサービス動作は「エンジン始動」である。前述のセキュリティポリシー5を使用する。
【0173】
車両が携帯電話から送信されたサービス応答メッセージを検証することに成功した後、ユーザ同一性認証結果が第1ルールのサブルールaに準拠していると決定されてよい。ユーザ同一性認証情報でのユーザ同一性認証結果が「成功」である場合に、ユーザ同一性認証結果は、サブルールaに準拠している。車両は、第2タイムスタンプを取得し、第1タイムスタンプと第2タイムスタンプとが第5ルールに準拠しているか否かを決定する。第1タイムスタンプは3月5日の20:00、第2タイムスタンプは3月5日の10:00(最新の通電時刻)と仮定する。この場合に、第2タイムスタンプは第1タイムスタンプよりも早く、これは、3月5日の20時以降、携帯電話は再度通電されていないことを示す。従って、第5ルールに準拠している。従って、車両はサービス動作「エンジン始動」を許可する。
【0174】
なお、上記セキュリティポリシー1ないし4と、その後のセキュリティポリシー6ないし8とのうちの任意の1つにも、第5ルールを適用してよいことが理解されるものとする。即ち、セキュリティポリシー1ないし4と、セキュリティポリシー6ないし8とは、それぞれ、前述の第5ルールと組み合わせてよい。サービス動作が許可された後、さらに、第1タイムスタンプで示された時刻の後に、第2端末がプリセット動作状態から非プリセット動作状態に再度はいるか否かを決定してよい。第2端末が非プリセット動作状態に再度はいった場合に、第5ルールは準拠しない。これは、第2端末が要件を満たすユーザ同一性認証結果を提供したにもかかわらず、第1端末が、後に、第5ルールに従って、ユーザ同一性認証結果が最新のものではないと決定することを示す。従って、現在、セキュリティリスクが存在する。この場合に、第1端末は、デジタルキーをフリーズしてよく、第2端末にデジタルキーをフリーズするように指示してよく、又はユーザに再度同一性認証を実行するように指示してよい。第5ルールについての決定を増加させることによって、デジタルキーのリスクがさらに下げられ、デジタルキーを使用するセキュリティが向上される。
【0175】
前述のセキュリティポリシー1ないし5は、さらに互いに組み合わされてよく、異なるセキュリティポリシーが、異なるサービス動作に対応するために使用されることに留意するものとする。理解を容易にするために、デジタルキーが車両キーとして使用される応用シナリオが、一層の説明のために下記の例として使用される。使用手順では、車両のドアを開く動作にはセキュリティポリシー1が使用され、エンジン始動時にはセキュリティポリシー2ないし5の任意の1つが使用される。NFCを通信技術として使用する場合に、ユーザはまず、車両のハンドルバーでのNFCリーダの近くに電話を置く。車両のNFCカードリーダは、サービス命令を送信し、携帯電話から送信されたサービスレスポンスを受信した後、セキュリティポリシー1の条件に基づいて決定を行い、検証に成功した場合に、ドアのドアロックを解除する。続いて、ユーザは車両にはいり、携帯電話を車両内のカード読み取りエリアに置く。車両は、他のサービス命令を送信し、携帯電話から送信されたサービス応答を受信した後、セキュリティポリシー2ないし5の任意の1つに基づいて検証を行い、検証に成功した場合には、ユーザがエンジンを始動することを可能にする。
【0176】
(6)セキュリティポリシー6ないし8
【0177】
セキュリティポリシー6は、第1ルールと第2ルールとを含む。セキュリティポリシー7は、第1ルールと第3ルールとを含む。セキュリティポリシー8は、第1ルールと第4ルールとを含む。第1ルールは、前述のセキュリティポリシー1でのそれと同じであり、第2ルールは、前述のセキュリティポリシー2でのそれと同じであり、第3ルールは、前述のセキュリティポリシー3でのそれと同じであり、第4ルールは、前述のセキュリティポリシー4でのそれと同じである。詳細は、ここでは再度説明しない。
【0178】
上述したように、第1端末から第2端末に送信されるサービス命令は、複数の命令を含んでよく、各命令は、それぞれ、複数の異なるサービス動作に対応する。例えば、サービス命令は、第1命令と第2命令とを含んでよく、サービス動作は、対応して、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含む。ユーザ体験を改善するために、異なる応用シナリオでは、異なる動作は、動作の異なるリスクに基づいて異なるルールに対応してよい。ユーザ同一性認証情報がセキュリティポリシーの異なるルールを満たす場合に、第1端末は異なるサービス動作を許可する。
【0179】
セキュリティポリシー6を使用する場合に、第1端末は、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否か、及び許可する合計回数が第2ルールに準拠しているか否かを順次決定する必要がある。ユーザ同一性認証結果が、第1ルールのサブルールaに準拠している場合に、第1端末は第1動作を許可する。又は、ユーザ同一性認証結果が、第1ルールのサブルールaに準拠していない場合に、第1端末は第1動作を許可することを拒否する。第1動作が許可された後に、許可する合計回数が第2ルールに準拠している場合に、第1端末は第2動作を許可する。又は、許可する合計回数が第2ルールに準拠しない場合に、第1端末は第2動作を許可することを拒否する。
【0180】
セキュリティポリシー7を使用する場合と同様に、セキュリティポリシー7を使用する場合に、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否か、及び許可の頻度が第3ルールに準拠しているか否かを、第1端末は順次決定する必要がある。ユーザ同一性認証結果が、第1ルールのサブルールaに準拠している場合に、第1端末は第1動作を許可する。又は、ユーザ同一性認証結果が、第1ルールのサブルールaに準拠していない場合に、第1端末は第1動作を許可することを拒否する。第1動作が許可された後、許可の頻度が第3ルールに準拠している場合に、第1端末は第2動作を許可する。又は、許可の頻度が第3ルールに準拠しない場合に、第1端末は第2動作を許可することを拒否する。
【0181】
セキュリティポリシー6又は7を使用する場合と同様に、セキュリティポリシー7を使用する場合に、第1端末は、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否か、及び第1タイムスタンプが第4ルールに準拠しているか否かを順次決定する必要がある。ユーザ同一性認証結果が、第1ルールのサブルールaに準拠している場合に、第1端末は第1動作を許可する。又は、ユーザ同一性認証結果が、第1ルールのサブルールaに準拠していない場合に、第1端末は第1動作を許可することを拒否する。第1動作が許可された後、第1タイムスタンプが第4ルールに準拠している場合に、第1端末は第2動作を許可する。又は、第1タイムスタンプが第4ルールに準拠していない場合に、第1端末は第2動作を許可することを拒否する。
【0182】
前述のセキュリティポリシー6ないし8において、第1端末が第1動作を許可することを拒否する場合に、第1端末は、その後の決定なしに、第2動作を許可することを直接拒否してよいことに留意するものとする。
【0183】
例えば、デジタルキーを車両キーとして使用する応用シナリオでは、第1端末は車両であり、第2端末は携帯電話であり、サービス命令は第1命令と第2命令とを含み、第1命令と第2命令とがともに携帯電話に送信される。第1命令に対応するサービス動作は、第1動作「ロック解除」であり、第2命令に対応するサービス動作は、第2動作「エンジン始動」である。前述のセキュリティポリシー8が使用される。第4ルールでは、インターバル継続時間は24時間に設定されている。
【0184】
第1命令と第2命令とを受信した後、携帯電話は、サービス応答メッセージを車両に送信し、ここで、サービス応答メッセージは、ユーザ同一性認証結果と第1タイムスタンプとを含む。車両が、携帯電話から送信されたサービス応答メッセージを検証することに成功した後、最初に、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否かを決定してよい。ユーザ同一性認証情報でのユーザ同一性認証結果が「成功」である場合に、ユーザ同一性認証結果は、サブルールaに準拠している。従って、車両はサービス動作「ロック解除」を許可する。この場合に、ユーザが車両にはいれるように、車両ロックを解除する。次いで、第1タイムスタンプが第4ルールに準拠しているか否かを決定する。第1タイムスタンプが3月5日の20:00であり、現在時刻が3月6日の12:00であれば、2つの時刻のインターバル継続時間は16時間となり、これは継続時間閾値の24時間未満である。この場合に、第4ルールに準拠している。従って、車両はサービス動作「エンジン始動」を許可する。この場合に、車両のエンジンが始動され、ユーザは車両が運転できる。
【0185】
なお、第1命令と第2命令は、それぞれに、交互に携帯電話に送信されてよいことに留意するものとする。例えば、通信技術としてブルートゥースを使用する場合に、車両での認証モジュールは、異なるフェーズで異なるサービス命令を携帯電話に送信する。この場合に、最初に、ユーザが車両に近づいたとき、ユーザは、ドアに関連付けられた通信モジュールと、携帯電話を使用して対話する。車両は、ロック解除に関するサービス命令、即ち第1命令を、携帯電話に送信する。第1命令を受け取った後、携帯電話はサービス応答メッセージを車両に送り、そこでサービス応答メッセージはユーザ同一性認証結果を含む。車両が携帯電話から送信されたサービス応答メッセージを検証することに成功した後、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否かを決定してよい。ユーザ同一性認証情報でのユーザ同一性認証結果が「成功」である場合に、ユーザ同一性認証結果はサブルールaに準拠する。従って、車両はサービス動作「ロック解除」を許可する。この場合に、車両ロックは解除され、ユーザは車両にはいれる。測位技術(UWB測位など)を使用して、ユーザが車両にはいったことを検知した後、車両は、エンジン始動に関するサービス命令、即ち第2命令を携帯電話に送信する。第2命令を受け取った後、携帯電話は、別のサービス応答メッセージを車両に送信し、ここで、サービス応答メッセージは、ユーザ同一性認証結果と第1タイムスタンプとを含む。車両が携帯電話から送信されたサービス応答メッセージを正常に検証し、ユーザ同一性認証結果が第1ルールのサブルールaに準拠していると決定された後、第1タイムスタンプが第4ルールに準拠しているか否かを、さらに決定する。第1タイムスタンプが第4ルールに準拠していると仮定すると、車両はサービス動作「エンジン始動」を許可する。この場合に、車両のエンジンが始動され、ユーザは車両が運転できる。
【0186】
なお、複数の命令が別々に携帯電話に送信された場合には、携帯電話から複数のサービス応答メッセージが送信されてよく、複数のサービス応答メッセージは、それぞれ、同一のユーザ同一性認証情報を含んでよいことが分かる。また、第1ルールが準拠しているか否かを決定するプロセスは、1回以上繰り返してよい。
【0187】
(7)セキュリティポリシー9
【0188】
セキュリティポリシー9は、第1ルールと第5ルールとを含む。第1ルールは前述のセキュリティポリシー1でのそれと同じであり、第5ルールは前述のセキュリティポリシー5でのそれと同じである。詳細は、ここでは再度説明しない。
【0189】
上述のように、サービス命令は、第1命令と第2命令とを含んでよく、これに対応して、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含む。ユーザ同一性認証情報がセキュリティポリシーの異なるルールを満たす場合に、第1端末は異なるサービス動作を許可する。
【0190】
セキュリティポリシー9を使用する場合に、第1端末は、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否か、及び第1タイムスタンプが第5ルールに準拠しているか否かを順次決定する必要がある。ユーザ同一性認証結果が、第1ルールのサブルールaに準拠している場合に、第1端末は第1動作を許可する。又は、ユーザ同一性認証結果が、第1ルールのサブルールaに準拠していない場合に、第1端末は第1動作を許可することを拒否する。第1動作が許可された後、第1タイムスタンプが第5ルールに準拠している場合に、第1端末は第2動作を許可する。又は、第1タイムスタンプが第4ルールに準拠していない場合に、第1端末は第2動作を許可することを拒否する。さらに、第1タイムスタンプが第5ルールに準拠しない場合に、第1端末は、代替的に、デジタルキーをフリーズしてよく、第2端末にデジタルキーをフリーズするように指示してよく、又は、ユーザに再度同一性認証を実行するように指示してよく、それによって、デジタルキーを使用することのセキュリティを向上させる。
【0191】
第1端末が第1動作を許可することを拒否する場合に、第1端末は、第1タイムスタンプが第5ルールに準拠しているか否かを決定することなく、第2動作の許可を直接拒否してよいことに留意するものとする。
【0192】
例えば、デジタルキーが車両キーとして使用される応用シナリオでは、第1端末は車両であり、第2端末は携帯電話であり、サービス命令は、第1命令と第2命令とを含む。第1命令に対応するサービス動作は、第1動作「ロック解除」であり、第2命令に対応するサービス動作は、第2動作「エンジン始動」である。前述のセキュリティポリシー9が使用される。
【0193】
車両が携帯電話から送信されたサービス応答メッセージを検証することに成功した後、最初に、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否かを決定してよい。ユーザ同一性認証情報でのユーザ同一性認証結果が「成功」である場合に、ユーザ同一性認証結果はサブルールaに準拠する。従って、車両はサービス動作「ロック解除」を許可する。この場合に、車両ロックは解除され、ユーザは車両にはいれる。次に、車両は、第2タイムスタンプを取得し、第1タイムスタンプと第2タイムスタンプとが第5ルールに準拠しているか否かを決定する。第1タイムスタンプは3月5日の20:00であり、第2タイムスタンプは3月5日の10:00であると仮定する。この場合に、第2タイムスタンプは第1タイムスタンプよりも早く、これは、3月5日の20時以降、携帯電話は再度通電されていないことを示す。従って、第5ルールに準拠している。従って、車両はサービス動作「エンジン始動」を許可する。この場合に、車両のエンジンが始動され、ユーザは車両が運転できる。
【0194】
(8)セキュリティポリシー10
【0195】
セキュリティポリシー10は、第1ルールと、第4ルールと、第5ルールとを含む。第1ルールは前述のセキュリティポリシー1でのそれと同じであり、第4ルールは前述のセキュリティポリシー4でのそれと同じであり、第5ルールは前述のセキュリティポリシー5でのそれと同じである。詳細は、ここでは再度説明しない。
【0196】
上述のように、サービス命令は、第1命令と第2命令とを含んでよく、これに対応して、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含む。ユーザ同一性認証情報がセキュリティポリシーの異なるルールを満たす場合に、第1端末は異なるサービス動作を許可する。
【0197】
セキュリティポリシー10が使用される場合に、第1端末は、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否か、及び第1タイムスタンプが第4ルールと第5ルールとに準拠しているか否かを決定する必要がある。ユーザ同一性認証結果が、第1ルールのサブルールaに準拠している場合に、第1端末は第1動作を許可する。又は、ユーザ同一性認証結果が、第1ルールのサブルールaに準拠していない場合に、第1端末は第1動作を許可することを拒否する。第1端末が第1動作を許可した後、第1タイムスタンプが第4ルールに準拠している場合に、第1端末は第2動作を許可する。又は、第1タイムスタンプが第4ルールに準拠していない場合に、第1端末は第1タイムスタンプが第5ルールに準拠しているか否かを決定する。第1タイムスタンプが第5ルールに準拠している場合に、第1端末は第2動作を許可する。又は、第1タイムスタンプが第4ルールに準拠していない場合に、第1端末は第2動作を許可することを拒否する。
【0198】
セキュリティポリシー5の場合と同様に、第1タイムスタンプが第5ルールに準拠しない場合に、第1端末は、代替的に、デジタルキーをフリーズしてよく、第2端末にデジタルキーをフリーズするように指示してよく、又はユーザに同一性認証を再度実行するように指示してよく、それによって、デジタルキーを使用するセキュリティを向上させる。もし第1端末が第1動作を許可することを拒否するなら、第1タイムスタンプが第5ルールに準拠しているか否かを決定することなく、第1端末は第2動作を許可することを直接拒否してよい。
【0199】
例えば、デジタルキーが車両キーとして使用される応用シナリオでは、第1端末は車両であり、第2端末は携帯電話であり、サービス命令は、第1命令と第2命令とを含む。第1命令に対応するサービス動作は、第1動作「ロック解除」であり、第2命令に対応するサービス動作は、第2動作「エンジン始動」である。前述のセキュリティポリシー10が使用される。
【0200】
車両が携帯電話から送信されたサービス応答メッセージを検証することに成功した後、最初に、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否かを決定してよい。ユーザ同一性認証情報でのユーザ同一性認証結果が「成功」である場合に、ユーザ同一性認証結果はサブルールaに準拠する。従って、車両はサービス動作「ロック解除」を許可する。この場合に、車両ロックは解除され、ユーザは車両にはいれる。次に、第1タイムスタンプが第4ルールに準拠しているか否かが決定される。第1タイムスタンプが3月5日の20:00、現在時刻が3月7日の12:00の場合に、2つの時刻の間のインターバル継続時間は40時間となり、これは継続時間閾値である24時間よりも長い。この場合に、第4ルールは準拠していない。この場合に、車両は、第2タイムスタンプを取得し、第1タイムスタンプと第2タイムスタンプとが第5ルールに準拠しているか否かを決定する。第2タイムスタンプは3月5日の10:00と仮定する。この場合に、第2タイムスタンプは第1タイムスタンプよりも早く、3月5日20時以降、携帯電話は再度通電されていないことを示す。従って、第5ルールは、次の通りである。この場合に、車両はサービス動作「エンジン始動」を許可する。この場合に、車両のエンジンが始動され、ユーザは車両が運転できる。
【0201】
(9)セキュリティポリシー11
【0202】
セキュリティポリシー11はまた、第1ルールと、第4ルールと、第5ルールとを含む。第1ルールは、前述のセキュリティポリシー1でのそれと同じであり、第4ルールは前述のセキュリティポリシー4でのそれと同じであり、第5ルールは、前述のセキュリティポリシー8でのそれと同じである。詳細は、ここでは再度説明しない。
【0203】
上述のように、サービス命令は、第1命令と第2命令とを含んでよく、これに対応して、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含む。ユーザ同一性認証情報がセキュリティポリシーの異なるルールを満たす場合に、第1端末は異なるサービス動作を許可する。
【0204】
セキュリティポリシー11を使用する場合に、第1端末は、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているか否か、及び第1タイムスタンプが第4ルールと第5ルールとに準拠しているか否かを決定する必要がある。ユーザ同一性認証結果が第1ルールのサブルールaに準拠し、第1タイムスタンプが第4ルールに準拠している場合に、第1端末は第1動作を許可する。又は、ユーザ同一性認証結果が第1ルールのサブルールaに準拠せず、又は、第1タイムスタンプが第4ルールに準拠していない場合に、第1端末は第1動作を許可することを拒否する。第1端末が第1動作を許可した後、第1タイムスタンプが第5ルールに準拠している場合に、第1端末は第2動作を許可する。又は、第1タイムスタンプが第5ルールに準拠していない場合に、第1端末は第2動作を許可することを拒否する。
【0205】
セキュリティポリシー5の場合と同様に、第1タイムスタンプが第5ルールに準拠しない場合に、第1端末は、代替的に、デジタルキーをフリーズしてよく、第2端末にデジタルキーをフリーズするように指示してよく、又はユーザに同一性認証を再度実行するように指示してよく、それによって、デジタルキーを使用するセキュリティを向上させる。もし第1端末が第1動作を許可することを拒否するなら、第1タイムスタンプが第5ルールに準拠しているか否かを決定することなく、第1端末は第2動作を許可することを直接拒否してよい。
【0206】
例えば、デジタルキーが車両キーとして使用される応用シナリオでは、第1端末は車両であり、第2端末は携帯電話であり、サービス命令は、第1命令と第2命令とを含む。第1命令に対応するサービス動作は、第1動作「ロック解除」であり、第2命令に対応するサービス動作は、第2動作「エンジン始動」である。前述のセキュリティポリシー11が使用される。
【0207】
車両が携帯電話から送信されたサービス応答メッセージを検証することに成功した後、まず、ユーザ同一性認証結果が第1ルールのサブルールaに準拠しているかを決定する。また、第1タイムスタンプが第4ルールに準拠しているかを決定する。ユーザ同一性認証情報でのユーザ同一性認証結果が「成功」である場合に、ユーザ同一性認証結果は、サブルールaに準拠している。第1タイムスタンプが3月5日20:00であり、現在時刻が3月6日12:00の場合に、2つの時刻の間のインターバル継続時間は16時間であり、継続時間閾値24時間未満である。この場合に、第4ルールに準拠している。従って、車両はサービス動作「ロック解除」を許可する。この場合に、車両ロックは解除され、ユーザは車両にはいれる。次に、車両は、第2タイムスタンプを取得し、第1タイムスタンプと第2タイムスタンプとが第5ルールに準拠しているか否かを決定する。第2タイムスタンプは3月5日の10:00と仮定する。この場合に、第2タイムスタンプは第1タイムスタンプよりも早く、3月5日20時以降、携帯電話は再度通電されていないことを示す。従って、第5ルールに準拠している。従って、車両はサービス動作「エンジン始動」を許可する。この場合に、車両のエンジンが始動され、ユーザは車両が運転できる。
【0208】
(10)セキュリティポリシー12
【0209】
いくつかの応用シナリオでは、ユーザ同一性認証結果が第1ルールのサブルールaに準拠していなくても、いくつかのサービス動作が許可され、他のいくつかのサービス動作を許可することが拒否されることがある。次いで、デジタルキーの、もう一巡のサービス命令が開始される。デジタルキーの新しい一巡のサービス応答メッセージを受信した後、他のサービス動作を許可するか否かが決定される。
【0210】
これに基づいて、本出願は、セキュリティポリシー12をさらに提供する。セキュリティポリシー12は、第1ルール、第2ルール、第3ルール、第4ルール、及び第5ルールのうち任意の1つ以上を含む。第1ルールは、前述のセキュリティポリシー1でのそれと同じであり、第2ルールは前述のセキュリティポリシー2でのそれと同じであり、第3ルールは前述のセキュリティポリシー3でのそれと同じであり、第4ルールは前述のセキュリティポリシー4でのそれと同じであり、第5ルールは前述のセキュリティポリシー5でのそれと同じである。詳細は、ここでは再度説明しない。
【0211】
上述のように、サービス命令は、第1命令と第2命令とを含んでよく、これに対応して、サービス動作は、第1命令に対応する第1動作と、第2命令に対応する第2動作とを含む。ユーザ同一性認証情報がセキュリティポリシーの異なるルールを満たす場合に、第1端末は異なるサービス動作を許可する。
【0212】
セキュリティポリシー12が使用される場合に、第1端末は、ユーザ同一性認証結果が第1ルールのサブルールbに準拠しているか否かを決定する必要がある。ユーザ同一性認証結果が、第1ルールのサブルールbに準拠している場合に、第1端末は、第1命令に対応する第1動作を許可し、第1端末は、第2命令に対応する第2動作を許可することを直接拒否してよく、他のルールが準拠しているか否かを決定する必要はない。
【0213】
その後、デジタルキーの同一性を認証する方法は、さらに、以下のステップを含んでよい。第1端末は、第2端末に新しいサービス命令を送信し、ここで、新しいサービス命令は、第2命令を含む。
【0214】
なお、第2端末に新しいサービス命令を送信する場合に、第1端末は周期的に新しいサービス命令を1回以上送信してよい。これは、本出願で限定されない。
【0215】
例えば、デジタルキーを車両キーとして使用する応用シナリオでは、第1端末は車両であり、第2端末は携帯電話であり、携帯電話は現在は電源オフ状態とする。サービス命令は、第1命令と第2命令とを含む。第1命令に対応するサービス動作は、第1動作「ロック解除」であり、第2命令に対応するサービス動作は、第2動作「エンジン始動」である。前述のセキュリティポリシー12が使用される。
【0216】
車両は、携帯電話から送信されたサービス応答メッセージの検証に成功した後、まず、ユーザ同一性認証結果が第1ルールのサブルールbに準拠しているか否かを決定してよい。ユーザ同一性認証情報でのユーザ同一性認証結果が「未完了」の場合は、ユーザ同一性認証結果は、サブルールbに準拠する。従って、車両はサービス動作「ロック解除」を許可し、サービス動作「エンジン始動」を許可することを拒否する。実際には、サービス動作「ロック解除」を許可するか否かは、ユーザ同一性認証結果に依存しない。ユーザ同一性認証結果が「成功」、「失敗」、「未完了」のいずれであるかにかかわらず、サービス動作「ロック解除」は許可されてよい。しかし、ユーザ同一性認証結果が「失敗」又は「未完了」の場合は、サービス動作「エンジン始動」の許可が直接拒否されてよい。サービス動作「エンジン始動」に対応するセキュリティポリシーを、考慮する必要はない。次いで、車両は、新しいサービス命令を携帯電話に送信する。ここで、新しいサービス命令は、「ロック解除」に関連する指示、即ち第1命令をもはや含まず、「エンジン始動」に関連する指示、即ち第2命令のみを含む。車両ロックが解除されているため、車両にはいって携帯電話を充電してよい。再度ユーザが電源を入れて通常のバッテリモードに移行した後、ユーザは、通電状態で同一性認証を完了してよい。車両は、携帯電話に新たなサービス命令を1回送信する。第2動作を許可するためのプリセットのセキュリティポリシーを満たすサービス応答メッセージを取得し、車両がサービス動作「エンジン始動」を許可した後に、車両のエンジンが始動され、ユーザは車両が運転できる。
【0217】
前述のセキュリティポリシー1ないし12は、本出願におけるデジタルキーの同一性を認証する方法に適用可能な、いくつかの例にすぎないことが理解されるものとする。当業者は、さらに、異なる応用シナリオに基づいて前述の5つのルールを組み合わせてよく、又は、5つのルールを別のルールと組み合わせて、別のセキュリティポリシーを形成してよい。複数のセキュリティポリシーが互いに競合しない場合に、さらに、複数のセキュリティポリシーを組み合わせてよい。
【0218】
理解を容易にするために、前述のセキュリティポリシーにおいて、サービス命令が複数の命令を含む場合は、サービス命令が第1命令及び第2命令のみを含む場合を使用して説明されていることが、理解されるものとする。実際の応用では、サービス命令はさらに多くの命令を含んでよい。サービス命令の1つに対応するサービス動作を許可するか否かは、1つ以上のルールによって決定されてよい。
【0219】
さらに、本出願では、非プリセット動作状態の第2端末が第1端末によって送信されたサービス命令を受信した場合に、第2端末は、サービス命令に応答してサービス応答メッセージを生成してよいことを理解するものとする。この場合に、サービス応答メッセージはまた、ユーザ同一性認証結果と第1タイムスタンプとのような前述の内容を含んでよい。この場合に、ユーザ同一性認証結果は、ユーザに対してリアルタイムで同一性認証を実行することによって、第2端末によって生成されてよく、又は、セキュア要素に予め記憶されてよい。サービス応答メッセージを受信した後、第1端末は、第1キーを使用してサービス応答メッセージを検証してよく、さらに、セキュリティポリシー1及びセキュリティポリシー4のような前述の可能なセキュリティポリシーを使用してリスクを決定し、これによって、デジタルキーを使用するセキュリティを向上させてよい。
【0220】
任意には、前述の同一性認証方法において、第2端末は、さらに以下のステップを実行してよい。
【0221】
S107:第2端末がプリセット動作状態から非プリセット動作状態に切り替わった後、第2端末は、ユーザ同一性認証情報の無効化処理を行う。
【0222】
あるいは、第2端末は、以下のステップをさらに実行してよい。
【0223】
S108:セキュア要素にユーザ同一性認証情報を記憶する前に、セキュア要素に元々記憶されていたユーザ同一性認証情報に対して、第2端末は無効化処理を行う。
【0224】
第2端末は、第2端末が非プリセット動作状態からプリセット動作状態になるたびに1回、同一性認証を行う必要がある。従って、ユーザがデジタルキーを使用するたびに、ユーザ同一性認証情報は、同一性認証結果にかかわらず、セキュア要素に記憶される。セキュア要素に後で書き込まれた最新のユーザ同一性認証情報に、元のユーザ同一性認証情報が干渉することを防止するために、次回、第2端末がプリセット動作状態から非プリセット動作状態に切り替わると、セキュア要素に記憶されたユーザ同一性認証情報に対して、第2端末は無効化処理を行う。また、第2端末が非プリセット動作状態からプリセット動作状態に切り替える次の処理において、第2端末が最新のユーザ同一性認証情報をセキュア要素に記憶する前に、セキュア要素に記憶された元のユーザ同一性認証情報に対して、第2端末は無効化処理を行う。
【0225】
無効化処理を行う実施では、セキュア要素のデジタルキーアプレット又はブローカアプレットに記憶されたユーザ同一性認証情報は、削除されてよい。無効化処理を行う別の実施では、以前にセキュア要素に記憶されたユーザ同一性認証情報は、無効としてマークされてよい。無効化処理を行うことにより、第2端末が非プリセット動作状態からプリセット動作状態に切り替わった後、毎回、セキュア要素が、最新の有効なユーザ同一性認証情報を1つずつ記憶することが確実にできる。
【0226】
これに加えてさらに、サーバは、元のユーザ同一性認証情報に対して無効化処理を実行してよい。さらに、ユーザに元のユーザ同一性認証情報が無効になったことを通知するために、例えば「携帯電話がオンラインに戻った」又は「ユーザ同一性認証情報が無効になった」という通知情報を、サーバは第1端末に送信してよい。
【0227】
本出願の第2実施形態では、端末デバイスが提供される。端末デバイスは、複数の異なるシナリオに適用してよく、例えば、車両、POS端末、交通カード読み取り機、及びアクセス制御システムに適用してよい。図8は、端末デバイスの実施の構成の概略図である。端末デバイス300は、第1トランシーバ320と1つ以上のプロセッサ310とを含む。
【0228】
第1トランシーバ320は、サービス命令を第2端末に送信し、第2端末によって送信されたサービス応答メッセージを受信するように構成されている。実際の応用では、第1トランシーバ320は、NFC通信モジュールであってよく、又はブルートゥースモジュール、UWBモジュールなどであってよい。
【0229】
プロセッサ310は、第1キーを使用してサービス応答メッセージに対して実行された検証が成功した後、ユーザ同一性認証情報を取得し、ユーザ同一性認証情報を検証するように構成され、ここで、第1キーは、第2端末と端末デバイス300とにより予め合意されたキーであり、ユーザ同一性認証情報は、第2端末のセキュア要素に記憶され、ユーザ同一性認証情報はユーザ同一性認証結果を含み、ユーザ同一性認証結果は、第2端末がプリセット動作状態にはいる前に、第2端末の同一性認証システムによって生成され、プリセット動作状態は、第2端末の同一性認証システムが同一性認証結果を生成することができない状態である。
【0230】
実際の応用では、プロセッサ310は、様々なインターフェースと結線とを使用して、端末デバイス300全体の全ての部分を接続してよい。プロセッサ310は、中央処理装置(central processing unit, CPU),ネットワークプロセッサ(network processor, NP),又はCPUとNPとの組み合わせであってよい。プロセッサは、ハードウェアチップをさらに含んでよい。ハードウェアチップは、特定用途向け集積回路(application-specific integrated circuit, ASIC),プログラマブルロジックデバイス(programmable logic device, PLD),又はそれらの組み合わせであってよい。PLDは、複雑なプログラマブル論理デバイス(complex programmable logic device, CPLD),フィールドプログラマブルゲートアレイ(field-programmable gate array, FPGA),汎用アレイ論理(generic array logic, 略してGAL),又はそれらの任意の組み合わせであってよい。
【0231】
実際の用途では、端末デバイス300は、メモリをさらに含んでよい。メモリは、1つ以上のコンピュータプログラムを記憶し、1つ以上のコンピュータプログラムは命令を含む。命令が1つ以上のプロセッサ310によって実行される場合に、端末デバイス300は、第1実施形態の第1端末によって実行される任意の方法のいくつか又は全てのステップを実現してよい。メモリは、揮発性メモリ(volatile memory)、例えばランダムアクセスメモリ(random access memory, RAM)を含んでよく、不揮発性メモリ(non-volatile memory)、例えばフラッシュメモリ(flash memory)、ハードディスクドライブ(hard disk drive, HDD)、又は固体ドライブ(solid-state drive, SSD)をさらに含んでよい。メモリはさらに、前述のタイプのメモリの組み合わせを含んでよい。
【0232】
実施形態は、さらに、別の端末デバイスを提供する。端末デバイスは、複数の異なるシナリオに適用してよく、例えば、携帯電話、タブレットコンピュータ、及びインテリジェントウェアラブルデバイスに適用してよい。図9は、端末デバイスの構成の概略図である。端末デバイス400は、セキュア要素410と、第2トランシーバ420と、同一性認証システム440とを含む。
【0233】
第2トランシーバ420は、第1端末からサービス命令を受信するように構成され、サービス命令に応答して、プリセット動作状態で、第1キーを使用して処理されたサービス応答メッセージを、第1端末に送信するように構成されている。サービス応答メッセージはユーザ同一性認証情報を含み、ユーザ同一性認証情報はユーザ同一性認証結果を含み、第1キーは、端末デバイス400と第1端末とにより予め合意されたキーである。実際の応用では、第2トランシーバ420は、NFC通信モジュールであってよく、又はブルートゥースモジュール、UWBモジュールなどであってよい。第2トランシーバ420は、独立して通電されてよい。端末デバイスのメインチップが通常のバッテリモードであるか、電源オフ又はバッテリ低下モードであるかにかかわらず、第2トランシーバ420は、独立して通電及び動作が可能である。
【0234】
セキュア要素410は、ユーザ同一性認証情報と第1キーとを記憶するように構成されている。実際の応用では、セキュア要素は、埋め込みセキュア要素(embedded SE, eSE)、携帯電話のメインチップに集積されたinSEセキュアモジュール(System on Chip, SoC)、又はユニバーサル集積回路カードセキュア要素(Universal Integrated Circuit Card Secure Element, UICC SE)などであってよい。セキュア要素410は、デジタルキーアプレット411を記憶し、前述の第1キーは、デジタルキーアプレット411に記憶される。
【0235】
ユーザ同一性認証システム440は、端末デバイス400がプリセット動作状態にはいる前にユーザ同一性認証結果を生成するように構成されている。ここでプリセット動作状態は、端末デバイスの同一性認証システムが同一性認証結果を生成し得ない状態である。なお、端末デバイス400が通常のバッテリモードにある場合に、ユーザ同一性認証システム440は、ユーザのパスワード、バイオメトリック特徴などを収集することにより、ユーザに対して同一性認証を行ってよい。
【0236】
任意には、端末デバイス400は、デジタルキーサービス430をさらに含んでよい。デジタルキーサービス430は、同一性認証システム440とセキュア要素410とに別々に接続されてよい。第1実施形態で説明したように、デジタルキーサービスは、端末デバイス400のためのデジタルキー管理機能を提供する。デジタルキーサービス430によって提供される管理インターフェースを介して、ユーザは、デジタルキーアプレット411に記憶された1つ以上のデジタルキーを閲覧し、これらのデジタルキーに対して必須同一性認証構成を実行してよい。デジタルキーサービス430は、ユーザが、必須同一性認証を有する少なくとも1つのデジタルキー(例えば、第1キー)で構成されている場合に、端末デバイス400の状態切替手順に同一性認証動作を追加してよい。デジタルキーサービス430は、端末デバイス400内の同一性認証手順をトリガーし、同一性認証システム440を使用してユーザ同一性認証結果を生成してよい。任意には、デジタルキーサービス430は、現在実行されている同一性認証の目的をユーザに通知するために、ユーザインターフェースをさらに生成してよい。任意には、デジタルキーサービス430は、ユーザ同一性認証結果と第1タイムスタンプとを取得し、次に、ユーザ同一性認証情報としてセキュア要素410に、ユーザ同一性認証結果と第1タイムスタンプとを一緒に記憶してよい。
【0237】
これに加えて、実施形態は、コンピュータ可読な記憶媒体をさらに提供する。記憶媒体は命令を含む。命令がコンピュータ上で実行された場合に、コンピュータは、第1実施形態で第1端末によって実行される任意の方法を実行することが可能にされる。
【0238】
実施形態は、別のコンピュータ可読な記憶媒体をさらに提供する。記憶媒体は命令を含む。命令がコンピュータ上で実行された場合に、コンピュータは、第1実施形態で第2端末によって実行される任意の方法を実行することが可能にされる。
【0239】
本明細書における可読な記憶媒体は、磁気ディスク、光ディスク、DVD、USB、読取専用メモリ(ROM)、ランダムアクセスメモリ(RAM)などであってよい。特定の記憶媒体形態は、本出願で限定されない。
【0240】
これに加えて、本出願の実施形態は、命令を含むコンピュータプログラム製品をさらに提供する。コンピュータプログラム製品がコンピュータ上で動作する場合に、コンピュータは、第1実施形態の第1端末によって実行される任意の方法のステップを実行すること、又は第1実施形態の第2端末によって実行される任意の方法のステップを実行することが可能にされる。
【0241】
前述の実施形態のいくつか又は全ては、ソフトウェア、ハードウェア、ファームウェア、又はそれらの任意の組み合わせによって実施してよい。ソフトウェアによって実施される場合に、前述の実施形態の一部又は全部は、コンピュータプログラム製品の形態で実施してよい。コンピュータプログラム製品は、1つ以上のコンピュータ命令を含む。コンピュータプログラム命令がコンピュータ上でロード及び実行されると、本出願に記載されているいくつか又は全ての手順又は機能が生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、又は他のプログラム可能な装置であってよい。コンピュータ命令は、コンピュータ可読な記憶媒体に記憶されてよく、或いは1つのコンピュータ可読な記憶媒体から、別の1つのコンピュータ可読な記憶媒体に送信されてよい。例えば、コンピュータ命令は、1つのウェブサイト、コンピュータ、サーバ、又はデータセンターから、別の1つのウェブサイト、コンピュータ、サーバ、又はデータセンターへ、有線(例えば、同軸ケーブル、光ファイバ、又はデジタル加入者線(DSL))方式又は無線(例えば、赤外線、無線、又はマイクロ波)方式で送信してよい。コンピュータ可読な記憶媒体は、コンピュータによってアクセス可能な任意の使用可能な媒体、又は1つ以上の使用可能な媒体を統合するサーバ又はデータセンターのようなデータ記憶デバイスであってよい。使用可能な媒体は、磁気媒体(例えば、フロッピーディスク、ハードディスク、又は磁気テープ)、光媒体(例えば、DVD)、半導体媒体(例えば、固体ディスク(solid state disk, SSD))などであってよい。
【0242】
この実施形態における端末デバイス及びコンピュータ可読な記憶媒体は、第1実施形態におけるデジタルキーの同一性を認証する任意の方法の、いくつか又は全てのステップを実行するために使用され、これに対応して、上述した方法の有益な効果を有する。詳細は、ここでは再度説明しない。
【0243】
本出願の種々の実施形態で、各ステップの実行の順は、ステップの機能と内部論理とに基づいて決定されるものであることを理解するものとする。各ステップの順序の番号は、実行の順を意味するものではなく、実施形態の実施プロセスに対する制限を構成するものではない。
【0244】
特に断らない限り、本明細書で「複数」とは、2つ以上を意味するものとする。本出願の実施形態では、「第1」と「第2」のような語は、基本的に同一の機能と効果とを有する同一の物又は類似の物を区別するために使用される。「第1」と「第2」のような語は、数量又は実行順序を限定するものではなく、「第1」と「第2」のような語は、必然的な相違を示すものでもないことは当業者には理解可能である。
【0245】
本明細書の実施形態の間で同一及び類似の部分は、相互に参照されてよいことが理解されるものとする。特に、端末デバイスとコンピュータ可読な記憶媒体との実施形態は、基本的に方法の実施形態と同様であるため、説明は比較的簡素である。関連部分については、本方法の実施形態の説明を参照するものとする。本発明の前述の実施は、本発明の保護範囲を制限することを意図しない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】