專利名稱:用于遠(yuǎn)程認(rèn)證的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
說明性實(shí)施例總體上及涉一種用于遠(yuǎn)程認(rèn)證的方法和設(shè)備���。
背景技術(shù):
在過去的十年中,移動(dòng)計(jì)算平臺的普及已經(jīng)穩(wěn)步增長����,并在用戶找到自己所在的幾乎任何環(huán)境中向用戶提供實(shí)質(zhì)上使用和訪問計(jì)算資源的能力。隨著這些資源變得更加普遍�,這些資源帶來了確保它們不被非正確訪問或被惡意軟件產(chǎn)品攻擊的新的一套挑戰(zhàn)。在平板PC�、智能電話和各種其它“便攜式”計(jì)算平臺出現(xiàn)之前,移動(dòng)計(jì)算的唯一的典型示例是膝上型計(jì)算機(jī)��。作為桌上型PC的更小版本,膝上型計(jì)算機(jī)以許多方式效仿它們的前身���。對于防備非許可訪問的保護(hù)��,膝上型計(jì)算機(jī)致力于與操作系統(tǒng)集成的安全性,并且用戶通常會較好地意識到被允許在機(jī)器上運(yùn)行的大部分軟件��。為這些平臺開發(fā)的程序通常是強(qiáng)健的���,并且花費(fèi)數(shù)月和/或數(shù)年來進(jìn)行開發(fā)�。大部分軟件產(chǎn)品來自可信的源�����,并且����,在“最壞情況局面”情形中,即使膝上型計(jì)算機(jī)被惡意訪問�����,對用戶的損害也是有限的����。數(shù)據(jù)可能會丟失�����,但是操作系統(tǒng)會被重新載入并驅(qū)動(dòng)格式化�����,并且膝上型計(jì)算機(jī)基礎(chǔ)平臺會被恢復(fù)到操作狀態(tài)�����。然而��,移動(dòng)計(jì)算方案對惡意訪問提供了新的機(jī)會��,并且對OEM和開發(fā)者帶來了新的安全性挑戰(zhàn)�。例如�����,如果一個(gè)人的智能電話被泄露����,則擁有者可能會不僅僅丟失對電話的計(jì)算訪問���,還可能會丟失使用該裝置的附加功能(電話的附加功能)的能力。由于其它移動(dòng)計(jì)算平臺(例如��,像福特SYNC產(chǎn)品的車輛計(jì)算系統(tǒng))無疑期望避免對計(jì)算系統(tǒng)會產(chǎn)生影響的惡意訪問或者由于其它移動(dòng)計(jì)算平臺連接到運(yùn)動(dòng)的車輛內(nèi)的自動(dòng)控制系統(tǒng)����,故它們甚至對保護(hù)的需要有更高的要求。同時(shí)��,易于使用和緊湊式編程資源已經(jīng)對于這些裝置的便攜式應(yīng)用(“app”)的編寫成為可用�。公眾通?����?捎没诰W(wǎng)站和平臺可訪問云的軟件商店���,app可被快速和便宜地開發(fā)以允許用戶使用移動(dòng)計(jì)算資源執(zhí)行各種任務(wù)����。期望控制訪問的人被迫在限制對系統(tǒng)資源的訪問以保護(hù)系統(tǒng)(這可導(dǎo)致較少的app可用以及令用戶失望)與提供更高級別的訪問以在系統(tǒng)安全性的潛在代價(jià)上擴(kuò)展app的可用性之間尋求平衡��。與可信的開發(fā)者的伙伴關(guān)系可被用于解決這些問題中的一些�,但是可能會被“欺騙”開發(fā)者訪問并且欺騙系統(tǒng)相信程序是來自可信的開發(fā)者�,或者可能會簡單地使用基于限制地發(fā)布給開發(fā)者的命令���。由于信息趨向于非常快速地進(jìn)入公共域��,故一旦命令和參數(shù)(argument)被發(fā)布,可能會難以控制允許app與計(jì)算平臺接口連接的應(yīng)用編程接口(“API”)的使用���。另外���,許多平臺開發(fā)者或提供商不想使它們在對應(yīng)用扮演“警察”的過程中不得不卷入的太深。優(yōu)選的是找到一種允許在預(yù)定限制中的訪問控制��,并在app的固定審閱和監(jiān) 督中沒有過度消耗人力資源的情況下相對強(qiáng)健的解決方案���。
發(fā)明內(nèi)容
在第一說明性實(shí)施例中��,一種認(rèn)證方法包括從與車輛計(jì)算系統(tǒng)(VCS)通信的無線裝置上正在運(yùn)行的應(yīng)用接收對訪問VCS的一個(gè)或多個(gè)組件的請求��。所述說明性方法還包括準(zhǔn)備對包括一個(gè)或多個(gè)與所述應(yīng)用相關(guān)聯(lián)的特性的遠(yuǎn)程服務(wù)器的安全訪問權(quán)限請求�����,并通過無線裝置將安全請求從VCS發(fā)送到遠(yuǎn)程服務(wù)器����。在該實(shí)施例中,所述說明性方法還包括接收對已經(jīng)通過無線裝置從遠(yuǎn)程服務(wù)器發(fā)送的請求的響應(yīng)����。所述說明性方法包括驗(yàn)證接收的響應(yīng)的可靠性,并更新包括來自接收的響應(yīng)的信息的策略表���,所述信息至少包括用于所述應(yīng)用的到期觸發(fā)和訪問權(quán)限����。另外���,所述說明性方法包括至少基于包括在更新的策略表中的信息來驗(yàn)證用于使用的應(yīng)用。在第二說明性實(shí)施例中�,一種驗(yàn)證方法包括匯編當(dāng)前被許可與車輛計(jì)算系統(tǒng)結(jié)合使用的應(yīng)用的列表,并將所述列表發(fā)送到遠(yuǎn)程服務(wù)器以進(jìn)行處理��。所述說明性方法還包括接收對所述發(fā)送的處理的響應(yīng)�����?�!?br>
在該實(shí)施例中,所述說明性方法還包括基于所述響應(yīng)確定未被授權(quán)結(jié)合車輛計(jì)算系統(tǒng)使用的一個(gè)或多個(gè)應(yīng)用�,并禁用所述未被授權(quán)使用的一個(gè)或多個(gè)應(yīng)用。在另一說明性實(shí)施例中�����,一種認(rèn)證系統(tǒng)�,包括車輛計(jì)算系統(tǒng),對正在無線連接到車輛計(jì)算系統(tǒng)的裝置上運(yùn)行的一個(gè)或多個(gè)應(yīng)用提供到所述車輛計(jì)算系統(tǒng)的各部件的通行����。所述說明性系統(tǒng)還包括遠(yuǎn)程認(rèn)證服務(wù)器,通過所述裝置與車輛計(jì)算系統(tǒng)進(jìn)行通信����。在該說明性實(shí)施例中,在從應(yīng)用接收到對系統(tǒng)訪問或資源使用的請求時(shí)���,車輛計(jì)算系統(tǒng)進(jìn)行操作以從遠(yuǎn)程服務(wù)器請求所述應(yīng)用的權(quán)限的認(rèn)證�,所述請求包括通過正在運(yùn)行所述應(yīng)用的裝置將一個(gè)或多個(gè)應(yīng)用證書發(fā)送到遠(yuǎn)程服務(wù)器�。另外,在該說明性示例中�,在從車輛計(jì)算系統(tǒng)接收到所述請求時(shí),服務(wù)器進(jìn)行操作以確定用于所述應(yīng)用的訪問權(quán)限,并響應(yīng)于來自車輛計(jì)算系統(tǒng)的所述請求來發(fā)送簽名的策略表���,所述策略表包括用于所述應(yīng)用的訪問權(quán)限并通過所述裝置被發(fā)送�。此外��,在接收到策略表時(shí)�,車輛計(jì)算系統(tǒng)進(jìn)行操作以基于包含在所述策略表中的信息對所述應(yīng)用進(jìn)行認(rèn)證,并允許所述應(yīng)用訪問由所述應(yīng)用請求的系統(tǒng)或資源�����。
圖I示出車輛計(jì)算系統(tǒng)的說明性示例��;圖2A 圖2C示出在OEM��、移動(dòng)平臺和移動(dòng)應(yīng)用之間的處理流程的說明性示例��;圖3示出用于應(yīng)用的驗(yàn)證處理的說明性示例�����;圖4示出用于應(yīng)用的第二驗(yàn)證處理的說明性示例�;圖5示出使用驗(yàn)證處理耿運(yùn)(piggyback)數(shù)據(jù)的說明性示例��;圖6示出應(yīng)用更新處理的說明性示例;圖7示出進(jìn)一步認(rèn)證處理的說明性示例����。
具體實(shí)施例方式根據(jù)需要,在此公開了本發(fā)明的具體的實(shí)施例��;然而�,應(yīng)理解公開的實(shí)施例僅為本發(fā)明的示例,其可以多種替代形式實(shí)施�����。圖紙無需按比例繪制;一些特征可放大或最小化以顯示特定組件的細(xì)節(jié)。因此�����,此處所公開的具體結(jié)構(gòu)和功能細(xì)節(jié)不應(yīng)解釋為限定�,而僅為教導(dǎo)本領(lǐng)域技術(shù)人員以多種形式實(shí)施本發(fā)明的代表性基礎(chǔ)��。圖I示出用于車輛31的基于車輛的計(jì)算系統(tǒng)(VCS, vehicle based computingsystem)的示例框式拓?fù)鋱D�����。這樣的基于車輛的計(jì)算系統(tǒng)I的示例是由福特汽車公司制造的SYNC系統(tǒng)����。設(shè)有基于車輛的計(jì)算系統(tǒng)的車輛可包括位于車輛里的可視前端接口 4�����。如果設(shè)有可視前端接口的話����,用戶還能夠與所述接口(例如觸摸屏)進(jìn)行交互����。在另一個(gè)說明性實(shí)施例中,可通過按鈕按壓����、可聽語言和語音合成進(jìn)行交互。在如圖I所示的說明性實(shí)施例I中�����,處理器3至少控制基于車輛的計(jì)算系統(tǒng)的操作的一部分�����。設(shè)于車內(nèi)的處理器允許車載地處理指令和程序�����。進(jìn)一步地���,所述處理器連接 到非持久存儲器5和持久存儲器7兩者��。在這個(gè)說明性實(shí)施例中���,所述非持久儲存器是隨機(jī)存取存儲器(RAM)并且所述持久存儲器是硬盤驅(qū)動(dòng)器(HDD)或閃存。所述處理器還設(shè)有允許用戶和所述處理器接口連接的多個(gè)不同的輸入��。在這個(gè)說明性實(shí)施例中�,話筒29、輔助輸入25 (用于輸入33)�、USB輸入23、GPS輸入24和藍(lán)牙輸入15均被設(shè)置�。還設(shè)置了輸入選擇器51,以允許用戶在各種輸入之間切換���。話筒和輔助連接器兩者的輸入在傳給處理器之前通過轉(zhuǎn)換器27從模擬轉(zhuǎn)換為數(shù)字��。雖然未顯示�����,但多個(gè)與VCS通信的車輛組件和輔助組件可使用車輛網(wǎng)絡(luò)(比如�,但不限于CAN總線)將數(shù)據(jù)傳輸給VCS和從VCS傳輸數(shù)據(jù)(或者它的組件)。系統(tǒng)的輸出可包括但不限于�����,視覺顯不器4和揚(yáng)聲器13或立體聲系統(tǒng)輸出��。揚(yáng)聲器和放大器11相連并且通過數(shù)模轉(zhuǎn)換器9從處理器3接收揚(yáng)聲器的信號�����。也可沿分別如19����、21處所示的雙向數(shù)據(jù)流向遠(yuǎn)程藍(lán)牙裝置(諸如PND54)或USB裝置(諸如車輛導(dǎo)航裝置60)進(jìn)行輸出。在一個(gè)說明性實(shí)施例中�����,系統(tǒng)I使用藍(lán)牙收發(fā)器15與用戶的移動(dòng)裝置53 (例如��,蜂窩電話����、智能手機(jī)���、PDA或任何其它具有無線遠(yuǎn)程網(wǎng)絡(luò)連接的裝置)通信17�。移動(dòng)裝置隨后能用于通過例如與蜂窩塔57的通信55來與車輛31外部的網(wǎng)絡(luò)61通信59。在一些實(shí)施例中���,塔57可為WiFi接入點(diǎn)��。在移動(dòng)裝置和藍(lán)牙收發(fā)器之間的示例性通信可通過信號14表示�����?�?赏ㄟ^按鈕52或相似的輸入指示移動(dòng)裝置53和藍(lán)牙收發(fā)器(BTT) 15的配對���。相應(yīng)地,向CPU指示車載的藍(lán)牙收發(fā)器將與移動(dòng)裝置里的藍(lán)牙收發(fā)器配對����。可利用例如與移動(dòng)裝置53關(guān)聯(lián)的數(shù)據(jù)計(jì)劃(data-plan)�����、聲載數(shù)據(jù)或雙音多頻(DTMF)音調(diào)在CPU 3和網(wǎng)絡(luò)61之間傳輸數(shù)據(jù)??商娲兀上Mň哂刑炀€18的車載調(diào)制解調(diào)器63以在CPU 3和網(wǎng)絡(luò)61之間通過聲音頻帶傳輸16數(shù)據(jù)�。移動(dòng)裝置53隨后能用于通過例如和蜂窩塔57的通信55來和車輛31外部的網(wǎng)絡(luò)61通信59。在一些實(shí)施例中�,調(diào)制解調(diào)器63可建立和塔57的通信20用于和網(wǎng)絡(luò)61通信。作為非限制的示例��,調(diào)制解調(diào)器63可以是USB蜂窩式調(diào)制解調(diào)器并且通信20可以是蜂窩通信����。在一個(gè)說明性實(shí)施例中,處理器設(shè)有包括與調(diào)制解調(diào)器應(yīng)用軟件通信的API的操作系統(tǒng)���。調(diào)制解調(diào)器應(yīng)用軟件可訪問藍(lán)牙收發(fā)器上的嵌入式模塊或固件以完成和遠(yuǎn)程藍(lán)牙收發(fā)器(比如設(shè)在移動(dòng)裝置里的)的無線通信��。藍(lán)牙是IEEE 802PAN(個(gè)域網(wǎng))協(xié)議的子集�����。IEEE 802LAN(局域網(wǎng))協(xié)議包括WiFi并與IEEE 802PAN具有相當(dāng)大的交叉功能性��。以上兩者都適合于車輛內(nèi)的無線通信����。可在這個(gè)范圍內(nèi)使用的另一通信裝置是自由空間光通信(諸如IrDA)和非標(biāo)準(zhǔn)化消費(fèi)者IR協(xié)議���。
在另外一個(gè)實(shí)施例中����,移動(dòng)裝置53包括用于聲音頻帶或?qū)拵?shù)據(jù)通信的調(diào)制解調(diào)器���。在聲載數(shù)據(jù)的實(shí)施例中,可執(zhí)行已知的頻分復(fù)用技術(shù)����,則當(dāng)移動(dòng)裝置的所有者可在數(shù)據(jù)正被傳輸?shù)耐瑫r(shí)通過所述裝置談話。在其它時(shí)間���,當(dāng)所有者沒有使用所述裝置時(shí)����,數(shù)據(jù)傳輸可使用整個(gè)帶寬(在一個(gè)示例中是300Hz到3. 4kHz)�����。在頻分復(fù)用對于車輛與互聯(lián)網(wǎng)之間的模擬蜂窩通信可能會是普遍的并仍被使用的同時(shí)���,頻分復(fù)用已經(jīng)被碼分多址(CDMA)����、時(shí)分多址(TDMA)、空分多址(SDMA)的組合極大地替代以用于數(shù)字蜂窩通信��。這些都是ITUIMT-2000(3G)符合標(biāo)準(zhǔn)并對靜止或步行用戶提供最高2mbs的數(shù)據(jù)率�,對運(yùn)動(dòng)車輛中的用戶提供385kbs的數(shù)據(jù)率。3G標(biāo)準(zhǔn)現(xiàn)正在被對車輛中的用戶提供IOOmbs以及對靜止用戶提供Igbs的數(shù)據(jù)率的先進(jìn)IMT(4G)所替代��。如果用戶有和移動(dòng)裝置關(guān)聯(lián)的數(shù)據(jù)計(jì)劃�����,數(shù)據(jù)計(jì)劃可允許寬帶傳輸并且所述系統(tǒng)可使用寬得多的帶寬(加速數(shù)據(jù)傳輸)�。在另外一個(gè)實(shí)施例中,用安裝在車輛31上的蜂窩通信裝置(未顯示)代替移動(dòng)裝置53���。在另一個(gè)實(shí)施例中��,ND 53可以是能通過例如(但不限于)802. Ilg網(wǎng)絡(luò)(即����,WiFi)或WiMax網(wǎng)絡(luò)通信的無線局域網(wǎng)(LAN)裝置。
在一個(gè)實(shí)施例中�,接收到的數(shù)據(jù)能經(jīng)由聲載數(shù)據(jù)或數(shù)據(jù)計(jì)劃通過移動(dòng)裝置,通過車載藍(lán)牙收發(fā)器并且傳輸?shù)杰囕v的內(nèi)部處理器3����。在某些臨時(shí)數(shù)據(jù)的情況下,例如��,數(shù)據(jù)可儲存在HDD或其它存儲媒體7上直到不再需要所述數(shù)據(jù)的時(shí)候�。其它可和車輛接口連接的源包括具有例如USB連接56和/或天線58的個(gè)人導(dǎo)航裝置54、具有USB 62或其它連接的車輛導(dǎo)航裝置60���、車載GPS裝置24或具有與網(wǎng)絡(luò)61的連接性的遠(yuǎn)程導(dǎo)航系統(tǒng)(未顯示)。USB是一種類型的串行聯(lián)網(wǎng)協(xié)議�。IEEE 1394(火線)、EIA(電子工業(yè)協(xié)會)串行協(xié)議�、IEEE1284(Centronics端口)、S/PDIF(索尼/飛利浦?jǐn)?shù)字內(nèi)聯(lián)格式)和USB-IF(USB應(yīng)用者論壇)形成裝置-裝置串行標(biāo)準(zhǔn)的主要部分�。大部分協(xié)議可被實(shí)施用于電子通信或光通信。此外���,CPU可與各種其它的輔助裝置65通信�����。這些裝置可通過無線連接67或有線連接69來連接�����。輔助裝置65可包括���,但不限于���,個(gè)人媒體播放機(jī)、無線醫(yī)療裝置���、便攜式計(jì)算機(jī)等���。同樣地或者可替代地,CPU可使用例如WiFi 71收發(fā)器連接到基于車輛的無線路由器73��。這可允許CPU在本地路由器73的范圍內(nèi)連接至遠(yuǎn)程網(wǎng)絡(luò)�����。除了具有通過位于車內(nèi)的車輛計(jì)算系統(tǒng)執(zhí)行的示例性程序�,在某些實(shí)施例中,示例性程序可通過與車輛計(jì)算系統(tǒng)通信的計(jì)算系統(tǒng)被執(zhí)行����。這種系統(tǒng)可包括但不限于無線裝置(例如但不限于移動(dòng)電話)或者通過無線裝置連接的遠(yuǎn)程計(jì)算系統(tǒng)(例如但不限于服務(wù)器)���。共同地,這種系統(tǒng)可稱為車輛關(guān)聯(lián)計(jì)算系統(tǒng)(VACS, vehicle associated computingsystem)����。在某些實(shí)施例中,取決于系統(tǒng)的特定實(shí)施方案��,VACS的特定組件可執(zhí)行程序的特定部分�����。作為示例并非限制�����,如果程序具有與配對的無線裝置發(fā)送或接收信息的步驟��,那么無線裝置有可能不執(zhí)行程序��,因?yàn)闊o線裝置不能與自己“發(fā)送和接收”信息�。本技術(shù)領(lǐng)域內(nèi)的普通技術(shù)人員將理解何時(shí)對特定的VACS應(yīng)用給定的解決方案是不適當(dāng)?shù)?�。所有的解決方案中,可預(yù)想至少位于車內(nèi)的車輛計(jì)算系統(tǒng)(VCS)自身能執(zhí)行示例程序���。在圍繞福特SYNC系統(tǒng)的模型或相似于福特SYNC系統(tǒng)的模型建立的移動(dòng)計(jì)算平臺中�,基于車輛的計(jì)算系統(tǒng)(VCS)通過無線裝置與遠(yuǎn)程服務(wù)器進(jìn)行通信����。無線裝置可由車輛所有者提供,因此�����,雖然無線裝置作為用于VCS與遠(yuǎn)程服務(wù)器之間的信息的管道��,但是其極大地超出了車輛制造商的控制范圍�����。換句話說���,兩個(gè)可信的端點(diǎn)(VCS和受控的服務(wù)器)之間的通信可使用“不可信”的裝置來建立���。如果應(yīng)用從裝置運(yùn)行并訪問VCS是期望的,則可在VCS或在遠(yuǎn)程服務(wù)器執(zhí)行認(rèn)證���。如果認(rèn)證至少部分遠(yuǎn)程地被執(zhí)行�����,則另一方法(wrinkle)被添加到系統(tǒng)的可靠性中��。在這個(gè)模型下����,潛在的不可信的應(yīng)用正要求訪問可信的系統(tǒng)。為了對應(yīng)用進(jìn)行認(rèn)證����,會需要通過同樣運(yùn)行該應(yīng)用的不可信的裝置來進(jìn)行與可信的源的通信。該說明性實(shí)施例呈現(xiàn)了認(rèn)證的非唯一范例的方案的非限制的示例�。該說明性實(shí)施例還具有被設(shè)計(jì)為避免重放攻擊和中間人(MIM)攻擊的實(shí)施方式。圖2A 圖2C示出在OEM�����、移動(dòng)平臺和移動(dòng)應(yīng)用之間的處理流程的說明性示例�����。將針對后面的附圖來討論該詳細(xì)附圖的部分����,然而,這提供了一個(gè)可適用說明性實(shí)施例的說明性���、非限制的綜合系統(tǒng)��。圖2A的元件200涉及該模型中的移動(dòng)應(yīng)用開發(fā)者���。在該示例中,優(yōu)選的是�����,移動(dòng)應(yīng)用開發(fā)者是可信的伙伴�����,但是推測訪問API命令以與VCS進(jìn)行接口連接的任何人可以是 應(yīng)用開發(fā)者�����。在該示例中���,開發(fā)者被提供有API命令201的列表����。這可以是命令的綜合列表,或者可以基于特定開發(fā)者的訪問等級權(quán)限或可靠性等級而受到限制���。例如���,而不限于,第一組命令可被提供以供一般公眾(即���,期望開發(fā)應(yīng)用的任何人)使用���。第二組附加或可選擇的命令可被提供給合同義務(wù)下或已經(jīng)進(jìn)行了可靠性檢查的已知開發(fā)者,另一組命令可以以例如特定費(fèi)用被提供給逐步升級的開發(fā)者(該分級可隨著需要而繼續(xù))��?�?稍趦?nèi)容通過引用合并于此的公開號為12/788���,797��,申請日為2010年5月27日的同為未決的美國專利申請中找到訪問權(quán)限的進(jìn)一步討論���。在一個(gè)示例中,公眾可被給予一般權(quán)限以進(jìn)行訪問��,例如�����,導(dǎo)航顯示器的顯示能力���。使用受限的數(shù)據(jù)傳輸訪問��,這些能力可被用于編寫將數(shù)據(jù)從遠(yuǎn)程源傳送到車輛顯示器的基礎(chǔ)應(yīng)用�����?�?尚诺膶蛹壍拈_發(fā)者也可被給予到例如車輛的音頻回放系統(tǒng)的訪問���。使用這些命令,音樂或其它信息可以以音頻形式被播放�,并且應(yīng)用命令、菜單����、提示對話框等可經(jīng)由音頻系統(tǒng)被輸出��。第三層級的開發(fā)者可被給予更進(jìn)一步的對車輛系統(tǒng)的訪問�����,該訪問被提供有例如中斷其它應(yīng)用或優(yōu)先處理系統(tǒng)請求的能力����。通過以受控的方式提供API訪問�,一些控制的程度可被保持在哪些組件被特定app (例如,但不限于�����,車輛總線��、車輛位置�、組合導(dǎo)航、優(yōu)先駕駛員分心指示等)訪問之上��,并且可獲得安全性的方法���。使用它們被提供的API��,開發(fā)者可隨后開發(fā)用于在VCS上使用的應(yīng)用202��。這些移動(dòng)應(yīng)用203還可具有包括在它們中的附加信息��,諸如但不限于����,應(yīng)用ID�。一旦完成,應(yīng)用可被發(fā)布以包括在移動(dòng)軟件商店中204���。移動(dòng)應(yīng)用205可隨后被發(fā)送到移動(dòng)軟件商店210或使移動(dòng)應(yīng)用205在移動(dòng)軟件商店210上可用�。軟件商店可提供移動(dòng)應(yīng)用的列表以用于下載214���,并且特定移動(dòng)應(yīng)用211的選擇可引起應(yīng)用從軟件商店212被下載到移動(dòng)裝置220�����。應(yīng)用的下載還可引起將應(yīng)用安裝為在移動(dòng)裝置上可用的應(yīng)用232����。除了將移動(dòng)應(yīng)用215從軟件商店發(fā)送到移動(dòng)裝置��,通信還可對特定應(yīng)用以客戶請求217的形式從移動(dòng)裝置流入。在至少一個(gè)模型中�����,應(yīng)用僅被下載為客戶請求的結(jié)果�,因此對選擇用于在移動(dòng)裝置上執(zhí)行的應(yīng)用提供至少一個(gè)安全性基礎(chǔ)等級。除了與移動(dòng)軟件商店進(jìn)行通信�����,移動(dòng)裝置220還可與車輛計(jì)算系統(tǒng)240進(jìn)行通信����。通過在VCS以及與VCS成對的裝置之間建立的連接,移動(dòng)app可在移動(dòng)裝置上運(yùn)行并且與車輛計(jì)算系統(tǒng)接口連接�。在一些示例中,應(yīng)用還可能被傳送到VCS以用于執(zhí)行�。裝置的連接和配對可經(jīng)由藍(lán)牙連接231或其它合適的無線或有線傳輸協(xié)議(諸如但不限于,蘋果iAP�、WiFi等)完成。裝置可隨后被VCS通過使用例如但不限于已知裝置的表249而識別252��。另外或可選擇地�����,應(yīng)用可“存活”在云中,并且裝置可僅作為傳遞的功倉泛��。一旦特定移動(dòng)應(yīng)用已經(jīng)被下載�����,該應(yīng)用可被執(zhí)行221��,并且在某種程度上來說�����,該應(yīng)用可嘗試與VCS進(jìn)行接口連接��。這樣的請求可引起裝置與VCS之間的上下文傳送226���,以在這樣的處理中作為應(yīng)用認(rèn)證而被使用。 在該示例中�,移動(dòng)應(yīng)用上下文233可包含app ID、app名稱和應(yīng)用語法����。其它有用的信息也可被包括。在該示例中�,應(yīng)用可被認(rèn)證以一般和特別這兩種方式進(jìn)行運(yùn)行�,以使用特定語法元素(對VCS的命令等)��。VCS可從移動(dòng)裝置接收上下文246���,并嘗試驗(yàn)證應(yīng)用的證書248��。除了驗(yàn)證應(yīng)用的證書�����,VCS可另外跟蹤應(yīng)用的使用�����,以對應(yīng)用開發(fā)者和車輛制造者兩者提供反饋���。涉及應(yīng)用認(rèn)證的信息可被存儲在應(yīng)用策略表247中,所述應(yīng)用策略表247可包括諸如但不限于app ID�����、策略定義�、到期觸發(fā)和使用統(tǒng)計(jì)的信息。策略表中的至少一些信息可從遠(yuǎn)程源被填充�����,這將在后面參照認(rèn)證請求來進(jìn)行討論。在從應(yīng)用接收到請求時(shí)����,系統(tǒng)能夠訪問本地策略表以確定所述應(yīng)用先前是否已被認(rèn)證,其中���,所述本地策略表至少包含與所述應(yīng)用有關(guān)的訪問等級�。如果所述應(yīng)用先前未被分配訪問等級��,則默認(rèn)訪問等級被分配給所述應(yīng)用以用于發(fā)送對系統(tǒng)訪問的所述請求的目的�����,其中����,所述本地策略表至少包含用于與所述應(yīng)用有關(guān)的許可的到期觸發(fā)�。如果應(yīng)用未基于策略表信息被立即認(rèn)證,或者如果期望進(jìn)一步的認(rèn)證���,則應(yīng)用使用信息245���、車輛模塊信息243和車輛信息241可結(jié)合對應(yīng)用整數(shù)244的請求被發(fā)送��。應(yīng)用證書請求235可包括app ID和使用數(shù)據(jù)��,并且還可使用車輛模塊的ESN對應(yīng)用證書請求235加密和簽名���,以避免攻擊或?qū)φ埱蟮姆窃S可訪問,就如同其通過“不可信”的移動(dòng)裝置�����。移動(dòng)裝置可隨后接收證書請求224并將請求發(fā)送到遠(yuǎn)程服務(wù)器用于處理���。由于VCS通過無線裝置與遠(yuǎn)程服務(wù)器進(jìn)行通信����,故對于安全請求來說通過相對非安全的移動(dòng)裝置以被認(rèn)證并返回是普遍的��。已經(jīng)被移動(dòng)裝置發(fā)送�����,應(yīng)用證書請求253可到達(dá)安全服務(wù)器260�����。該請求被解密并且應(yīng)用被隨后處理用于認(rèn)證和整數(shù)更新268。即使應(yīng)用已經(jīng)被先前認(rèn)證�,周期性地重新認(rèn)證該應(yīng)用以查看這些組件“例如但沒有限制,策略定義�、訪問權(quán)限、到期觸發(fā)和應(yīng)用版本”是否已經(jīng)改變也是合理的�����。制定權(quán)限定義的OEM員工251可提供可信的伙伴應(yīng)用266的注冊�����。他們還可提供應(yīng)用安全性處理272的定義��。數(shù)據(jù)261��、267可結(jié)合應(yīng)用認(rèn)證請求而被使用�,從而應(yīng)用的認(rèn)證對應(yīng)于具有特定賣家/發(fā)布者的可允許的策略和協(xié)議的最新版本���。
OEM員工還可觀看與移動(dòng)應(yīng)用使用數(shù)據(jù)265(或其它有用數(shù)據(jù))有關(guān)的應(yīng)用使用報(bào)告264�����,其中�,移動(dòng)應(yīng)用使用數(shù)據(jù)265由遠(yuǎn)程服務(wù)器276記錄并結(jié)合應(yīng)用認(rèn)證請求被包括。對認(rèn)證應(yīng)用的請求可導(dǎo)致對應(yīng)用策略表269的訪問����,以及針對請求應(yīng)用對應(yīng)用策略表進(jìn)行簽名的請求278。與應(yīng)用和策略表271有關(guān)的數(shù)據(jù)可被安全地發(fā)送到安全性處理站點(diǎn)280�,在該安全性處理站點(diǎn)認(rèn)證和簽名請求可被接收和驗(yàn)證286。在該處理的安全處理點(diǎn)�����,可使用例如ESN對應(yīng)用證書進(jìn)行簽名�,并且應(yīng)用證書可被重新打包以用于傳遞到認(rèn)證處理282。認(rèn)證處理可隨后接收提供請求應(yīng)用的認(rèn)證和訪問權(quán)限的簽名的應(yīng)用策略表263274�。該應(yīng)用策略表可隨后被返回到VCS以用于對應(yīng)用進(jìn)行認(rèn)證262。由于遠(yuǎn)程服務(wù)器通過非安全的無線裝置與VCS進(jìn)行通信����,故簽名的應(yīng)用策略表可通過非可靠性的可能的點(diǎn)被再次中繼(例如,暴露于中繼和/或MIM攻擊)�����。然而,由于策
略表已經(jīng)被簽名��,故對于惡意軟件來說攔截傳輸并對表改變應(yīng)用權(quán)限相對困難����。無線裝置將應(yīng)用策略表225中繼222到VCS以用于進(jìn)一步的處理。在這一點(diǎn)上�����,VCS可從無線裝置接收應(yīng)用策略表237并使用從遠(yuǎn)程服務(wù)器242傳輸?shù)暮灻谋韥砀聭?yīng)用策略表的本地版本�。該表可隨后被用于根據(jù)服務(wù)器定義的策略對特定應(yīng)用進(jìn)行認(rèn)證并允許其訪問。由于可能“欺騙”從VCS到服務(wù)器的消息(和/或反之亦然)����,可期望添加附加安全性的層以避免其發(fā)生。一個(gè)可能的實(shí)施方式包括添加每次新的消息被發(fā)送時(shí)連續(xù)增加的消息ID�。如果消息ID不相應(yīng)于期望的ID號,則消息可作為錯(cuò)誤而被忽略���。其它適合的安全性方法也是可以考慮的���。圖3示出用于應(yīng)用的驗(yàn)證處理的說明性示例��。在該說明性實(shí)施例中�����,車輛計(jì)算系統(tǒng)可接收對驗(yàn)證或允許訪問應(yīng)用的請求301。應(yīng)用可以是例如在與VCS通信的移動(dòng)無線裝置上運(yùn)行的應(yīng)用�,并可請求使用VCS或其它車輛系統(tǒng)的一個(gè)或多個(gè)組件。在該說明性示例中����,車輛OEM已經(jīng)與應(yīng)用開發(fā)者一起進(jìn)行工作,以提供與特定應(yīng)用有關(guān)的應(yīng)用密鑰�。在一個(gè)示例中,應(yīng)用具有與其相關(guān)聯(lián)的密鑰�,當(dāng)應(yīng)用被下載到移動(dòng)裝置時(shí)該密鑰被提供給VCS。如果當(dāng)應(yīng)用呈遞訪問請求303時(shí)該密鑰未被呈遞���,則該應(yīng)用作為不具有與其相關(guān)聯(lián)的密鑰的應(yīng)用而被拒絕���。另外或可選擇地,可基于現(xiàn)有證書對與應(yīng)用有關(guān)的密鑰進(jìn)行搜索�����,或者VCS可請求下載可存儲在無線裝置上并且還未被提供給VCS的密鑰�����。如果應(yīng)用密鑰被呈遞,則系統(tǒng)可隨后嘗試驗(yàn)證應(yīng)用307���。這可例如通過將應(yīng)用的諸如app ID的某些方面與現(xiàn)有策略表進(jìn)行比較以查看應(yīng)用對VCS上請求的使用是否被批準(zhǔn)來完成���。其它的可用驗(yàn)證處理也可被應(yīng)用。如果應(yīng)用被驗(yàn)證���,則可執(zhí)行第二檢查以查看應(yīng)用驗(yàn)證是否已到期309����。由于使用權(quán)限可具有到期觸發(fā)���,或者由于例如OEM可期望周期性地重新驗(yàn)證應(yīng)用�����,故到期觸發(fā)可被分配給策略表中的認(rèn)證權(quán)限���,以確保至少周期性地針對訪問權(quán)限對app進(jìn)行評估。如果應(yīng)用有效并且未到期�����,則系統(tǒng)可嘗試跟蹤應(yīng)用的使用321���,并可對該應(yīng)用分配允許其使用或限制其使用特定命令的特定訪問等級323����。如果應(yīng)用不能被驗(yàn)證�����,或者如果應(yīng)用驗(yàn)證到期�,則該處理可通過無線裝置發(fā)送對應(yīng)用證書的請求311。一旦該請求已經(jīng)被遠(yuǎn)程認(rèn)證源執(zhí)行���,那么VCS可接收更新的證書313并隨后進(jìn)行認(rèn)證和使用跟蹤�����。
圖4示出用于應(yīng)用的第二驗(yàn)證處理的說明性示例��。在該說明性實(shí)施例中��,遠(yuǎn)程服務(wù)器接收已經(jīng)通過與車輛計(jì)算系統(tǒng)通信的無線裝置被發(fā)送的有效請求401�。遠(yuǎn)程服務(wù)器隨后使用該請求的一個(gè)或多個(gè)識別組件,并訪問策略表以尋找與請求應(yīng)用有關(guān)的信息403��。一旦策略信息被獲得和/或被更新�,則該處理請求策略表的簽名405。簽名可幫助確認(rèn)特定策略表來源于遠(yuǎn)程認(rèn)證服務(wù)器而非嘗試欺騙認(rèn)證的中間源����。響應(yīng)于簽名請求,對策略表執(zhí)行安全處理407并且該表被簽名409并被返回給主認(rèn)證處理411����。簽名的表隨后通過無線裝置被返回給請求車輛計(jì)算系統(tǒng)413。以這種方式���,遠(yuǎn)程服務(wù)器可通過中繼安全地處理安全簽名的表并將安全簽名的表返回到可信的端點(diǎn)����,其中����,所述中繼不會具有與其相關(guān)聯(lián)的嚴(yán)格的安全性協(xié)議。圖5示出使用驗(yàn)證請求馱運(yùn)數(shù)據(jù)的說明性示例�。在該說明性示例中,與應(yīng)用使用有關(guān)的數(shù)據(jù)或者甚至是車輛系統(tǒng)數(shù)據(jù)可結(jié)合認(rèn)證請求而被發(fā)送���。在通信系統(tǒng)的至少一個(gè)模型中�����,車輛計(jì)算系統(tǒng)使用聲載數(shù)據(jù)連接與遠(yuǎn)程服務(wù)器進(jìn)行通信�。由于這種通信可潛在地使 用無線裝置備忘錄(可受限)�,可期望僅當(dāng)由客戶特別授權(quán)時(shí)建立通信。如果該處理檢測到數(shù)據(jù)通信請求被掛起或打開501���,則與應(yīng)用有關(guān)的使用數(shù)據(jù)可被匯編或收集503�。與(例如但沒有限制)車輛系統(tǒng)或系統(tǒng)使用有關(guān)的附加數(shù)據(jù)也可與任何其它期望的數(shù)據(jù)一起被收集和匯編505�����。數(shù)據(jù)隨后被添加到已經(jīng)被請求經(jīng)由建立的/請求的連接發(fā)送的發(fā)出數(shù)據(jù)流507�����,并被發(fā)送到遠(yuǎn)程服務(wù)器以進(jìn)行接收和處理�。圖6示出應(yīng)用更新處理的說明性示例。在該說明性實(shí)施例中���,與現(xiàn)有應(yīng)用有關(guān)的信息被發(fā)送到遠(yuǎn)程服務(wù)器以進(jìn)行處理�。在打開連接或打開連接請求501被檢測到時(shí),現(xiàn)有應(yīng)用的列表被集合并發(fā)送到遠(yuǎn)程服務(wù)器603��。該列表可包含諸如但不限于版本號����、到期觸發(fā)訪問權(quán)限等的信息。服務(wù)器可使用該信息以確定例如任何無效應(yīng)用是否存在于認(rèn)證列表中或者現(xiàn)有應(yīng)用的新的版本是否可用���。通過周期性地檢查所有應(yīng)用的版本和訪問權(quán)限��,更新和可兼容應(yīng)用版本可被保持�����,并且過時(shí)或非許可的應(yīng)用可被去除����。一旦從服務(wù)器接收到響應(yīng)���,確定是否任何應(yīng)用都“無效”���。應(yīng)用可能由于包括但不限于到期、無效版本����、已知的不兼容等的各種原因而被無效���。客戶/擁有者可被通知任何無效的應(yīng)用609���,并且無效的應(yīng)用可被禁用611以保持VCS的一致性����。除了檢測無效應(yīng)用之外���,該處理可返回一個(gè)或多個(gè)應(yīng)用已經(jīng)更新了可用版本的信息。如果app具有更新的可用版本613�,則由處理通知客戶/擁有者615。如果客戶期望獲得更新版本615 (或者如果由系統(tǒng)的規(guī)則命令更新)�����,則無線裝置可被指示下載應(yīng)用的更新版本619�。最后,在該處理中�,可提供與現(xiàn)有應(yīng)用有關(guān)的一個(gè)或多個(gè)廣告621?���?商峁┻@些廣告623以向消費(fèi)者通知現(xiàn)有應(yīng)用的替代品或例如與現(xiàn)有應(yīng)用結(jié)合運(yùn)行優(yōu)良的應(yīng)用�,或者稱贊這些應(yīng)用����。圖7示出進(jìn)一步認(rèn)證處理的說明性示例。在該說明性實(shí)施例中��,應(yīng)用可具有應(yīng)用開發(fā)者還未同意使用的包括的功能或API調(diào)用���。然而�����,在特定示例中���,命令/系統(tǒng)使用可基于每次/使用花費(fèi)而可用。在該特定實(shí)施例中�����,該處理從現(xiàn)有應(yīng)用接收API命令請求701��。該處理檢查以查看應(yīng)用是否被允許訪問API命令或系統(tǒng)703,并且如果允許的話��,處理請求711���。如果請求app不具有訪問特定命令或系統(tǒng)的權(quán)限����,則該處理可確定開發(fā)者是否具有基于例如費(fèi)用允許他們訪問請求的組件的協(xié)議705��。如果具有的話����,則費(fèi)用可被中繼到遠(yuǎn)程服務(wù)器以進(jìn)行處理713,并且對組件的訪問可被準(zhǔn)予����。如果不存在開發(fā)者使用組件的預(yù)定義的權(quán)限���,則也可能的是���,當(dāng)由特定app執(zhí)行組件時(shí)用戶可基于費(fèi)用使用組件707。如果是這種情況����,則用戶可被警告費(fèi)用將與請求的組件相關(guān)聯(lián)715���,并且如果用戶同意的話則隨后將對費(fèi)用進(jìn)行處理。如果沒有用于開發(fā)者/用戶收費(fèi)的規(guī)定����,則隨后用戶被通知應(yīng)用正嘗試訪問其不具有權(quán)限的組件709,并且該處理可退出�����。盡管如上描述了示例性實(shí)施例����,并不意味著這些實(shí)施例描述了本發(fā)明的所有可能形式。而是�,說明書中使用的詞匯為說明性詞匯而非限制,并且應(yīng)該明白地是在不脫離本發(fā)明的精神和范圍的情況下可作多種改變���。此外�,各種實(shí)施的實(shí)施例的組件可被組合以形成本發(fā)明的進(jìn)一步的實(shí)施例��。 ·
權(quán)利要求
1.一種認(rèn)證系統(tǒng)�,包括 車輛計(jì)算系統(tǒng),對與車輛計(jì)算系統(tǒng)無線連接的裝置上正在運(yùn)行的一個(gè)或多個(gè)應(yīng)用提供到所述車輛計(jì)算系統(tǒng)的各部件的通行; 遠(yuǎn)程認(rèn)證服務(wù)器�,通過所述裝置與車輛計(jì)算系統(tǒng)進(jìn)行通信, 其中����,在從應(yīng)用接收到對系統(tǒng)訪問或資源使用的請求時(shí),車輛計(jì)算系統(tǒng)進(jìn)行操作以從遠(yuǎn)程服務(wù)器請求所述應(yīng)用的權(quán)限的認(rèn)證�����,所述請求包括通過正在運(yùn)行所述應(yīng)用的裝置將一個(gè)或多個(gè)應(yīng)用證書發(fā)送到遠(yuǎn)程服務(wù)器�����, 其中����,在從車輛計(jì)算系統(tǒng)接收到所述請求時(shí),服務(wù)器進(jìn)行操作以確定用于所述應(yīng)用的訪問權(quán)限����,并響應(yīng)于來自車輛計(jì)算系統(tǒng)的所述請求來發(fā)送簽名的策略表�,所述策略表包括用于所述應(yīng)用的訪問權(quán)限并通過所述裝置被發(fā)送, 其中��,在接收到策略表時(shí),車輛計(jì)算系統(tǒng)進(jìn)行操作以基于包含在所述策略表中的信息對所述應(yīng)用進(jìn)行認(rèn)證���,并允許所述應(yīng)用訪問由所述應(yīng)用請求的系統(tǒng)或資源�����。
2.如權(quán)利要求I所述的系統(tǒng)����,其中��,在從應(yīng)用接收到所述請求時(shí)�����,所述系統(tǒng)能夠訪問本地策略表以確定所述應(yīng)用先前是否已被認(rèn)證�。
3.如權(quán)利要求2所述的系統(tǒng),其中����,所述本地策略表至少包含與所述應(yīng)用有關(guān)的訪問等級。
4.如權(quán)利要求3所述的系統(tǒng)�,其中,如果所述應(yīng)用先前未被分配訪問等級����,則默認(rèn)訪問等級被分配給所述應(yīng)用以用于發(fā)送對系統(tǒng)訪問的所述請求的目的����。
5.如權(quán)利要求2所述的系統(tǒng)���,其中�����,所述本地策略表至少包含用于與所述應(yīng)用有關(guān)的許可的到期觸發(fā)�。
6.如權(quán)利要求I所述的系統(tǒng)��,其中���,車輛計(jì)算系統(tǒng)還進(jìn)行操作以將安裝在車輛計(jì)算系統(tǒng)上的應(yīng)用的列表以及與所述應(yīng)用有關(guān)的信息一起發(fā)送到遠(yuǎn)程服務(wù)器����。
7.如權(quán)利要求6所述的系統(tǒng)����,其中��,在接收到所述應(yīng)用的列表時(shí),遠(yuǎn)程服務(wù)器進(jìn)行操作以確定一個(gè)或多個(gè)應(yīng)用是否未被授權(quán)結(jié)合車輛計(jì)算系統(tǒng)使用�,并將與未被授權(quán)的應(yīng)用有關(guān)的信息發(fā)回到車輛計(jì)算系統(tǒng)。
8.如權(quán)利要求7所述的系統(tǒng)��,其中���,在接收到與未被授權(quán)的應(yīng)用有關(guān)的信息時(shí)���,遠(yuǎn)程系統(tǒng)進(jìn)行操作以禁用一個(gè)或多個(gè)未被授權(quán)的應(yīng)用。
9.一種認(rèn)證方法,包括 從與車輛計(jì)算系統(tǒng)(VCS)通信的無線裝置上正在運(yùn)行的應(yīng)用接收對訪問VCS的一個(gè)或多個(gè)組件的請求�; 準(zhǔn)備對包括一個(gè)或多個(gè)與所述應(yīng)用相關(guān)聯(lián)的特性的遠(yuǎn)程服務(wù)器的安全訪問權(quán)限請求; 通過無線裝置將安全請求從VCS發(fā)送到遠(yuǎn)程服務(wù)器�; 接收對已經(jīng)通過無線裝置從遠(yuǎn)程服務(wù)器發(fā)送的請求的響應(yīng); 驗(yàn)證接收的響應(yīng)的可靠性����; 更新包括來自接收的響應(yīng)的信息的策略表,所述信息至少包括用于所述應(yīng)用的到期觸發(fā)和訪問權(quán)限�; 至少基于包括在更新的策略表中的信息來驗(yàn)證結(jié)合VCS使用的應(yīng)用。
10.一種認(rèn)證方法,包括匯編當(dāng)前被許可與車輛計(jì)算系統(tǒng)結(jié)合使用的應(yīng)用的列表���;將所述列表發(fā)送到遠(yuǎn)程服務(wù)器以進(jìn)行處理���;接收對所述發(fā)送的處理的響應(yīng)����;基于所述響應(yīng)確定未被授權(quán)結(jié)合車輛計(jì)算系統(tǒng)使用的 一個(gè)或多個(gè)應(yīng)用����;禁用所述未被授權(quán)使用的一個(gè)或多個(gè)應(yīng)用。
全文摘要
提供了一種用于遠(yuǎn)程認(rèn)證的方法和設(shè)備�。一種驗(yàn)證方法包括從與車輛計(jì)算系統(tǒng)(VCS)通信的無線裝置上正在運(yùn)行的應(yīng)用接收對訪問VCS的一個(gè)或多個(gè)組件的請求。所述方法還包括準(zhǔn)備對包括一個(gè)或多個(gè)與所述應(yīng)用相關(guān)聯(lián)的特性的遠(yuǎn)程服務(wù)器的安全訪問權(quán)限請求����,并通過無線裝置將安全請求從VCS發(fā)送到遠(yuǎn)程服務(wù)器。所述方法還包括接收對已經(jīng)通過無線裝置從遠(yuǎn)程服務(wù)器發(fā)送的請求的響應(yīng)��。所述方法包括驗(yàn)證接收的響應(yīng)的可靠性���,并更新包括來自接收的響應(yīng)的信息的策略表���,所述信息至少包括用于所述應(yīng)用的到期觸發(fā)和訪問權(quán)限。另外�,所述方法包括至少基于包括在更新的策略表中的信息來驗(yàn)證結(jié)合VCS使用的應(yīng)用。
文檔編號H04L29/08GK102904869SQ20121025263
公開日2013年1月30日 申請日期2012年7月20日 優(yōu)先權(quán)日2011年7月25日
發(fā)明者查德·伊沃特·艾斯林克, 米歇爾·瑞曼德·威斯查, 馬克·斯肯德, 大衛(wèi)·蔡斯·米切爾 申請人:福特全球技術(shù)公司