CN115412280A - 数据链路的建立方法、装置、设备及存储介质 - Google Patents

Abstract

本公开涉及一种数据链路的建立方法、装置、设备及存储介质，所述方法包括：接收车辆客户端发送的身份认证信息，其中，所述身份认证信息包括使用第一私钥进行签名后的第一签名信息；使用第一公钥对所述身份认证信息进行验签，所述第一公钥与所述第一私钥一一对应；如果验签通过，建立与所述车辆客户端之间的数据链路。本公开实施例通过云端代理服务器对车辆客户端验签通过后，才建立与其的通讯连接，避免云端代理服务器被恶意攻击的风险，提高系统安全性。

Description

数据链路的建立方法、装置、设备及存储介质

技术领域

本公开涉及数据通信技术领域，尤其涉及一种数据链路的建立方方法、装置、车辆及存储介质。

背景技术

随着物联网技术的不断发展，物联网技术逐渐应用于车辆管理领域。基于物联网对车辆进行管理时，需要将车辆客户端与云端的代理服务器建立通讯连接。

车辆客户端与云端代理服务器建立通讯连接的过程，云端代理服务器未对车辆客户端进行身份认证。因此，任意的车辆客户端都可以直接连接云端代理服务器，云端代理服务器存在被恶意攻击的风险。

发明内容

本公开提供了一种数据链路的建立方法、装置、设备及存储介质，云端代理服务器对车辆客户端验签通过后，才建立与其的通讯连接，避免云端代理服务器被恶意攻击的风险，提高系统安全性。

第一方面，本公开实施例提供一种数据链路的建立方法，所述方法应用于云端代理服务器，包括：

接收车辆客户端发送的身份认证信息，其中，所述身份认证信息包括使用第一私钥进行签名后的第一签名信息；

使用第一公钥对所述身份认证信息进行验签，所述第一公钥与所述第一私钥一一对应；

如果验签通过，建立与所述车辆客户端之间的数据链路。

第二方面，本公开实施例提供一种数据链路的建立方法，所述方法应用于车辆客户端，包括：

向云端密钥服务器发送身份认证请求；

接收云端密钥服务器发送的身份认证信息，所述身份认证信息由云端密钥服务器基于所述身份认证请求对所述车辆客户端验签通过后发送至车辆客户端；

向云端代理服务器发送所述身份认证信息，以使所述云端代理服务器接收所述身份认证信息，使用第一公钥对所述身份认证信息进行验签，如果验签通过，建立与所述车辆客户端之间的数据链路。

第三方面，本公开实施例提供一种数据链路的建立装置，所述装置配置于云端代理服务器，包括：

第一接收模块，用于接收车辆客户端发送的身份认证信息，其中，所述身份认证信息包括使用第一私钥进行签名后的第一签名信息；

第一验签模块，用于使用第一公钥对所述身份认证信息进行验签，所述第一公钥与所述第一私钥一一对应；

数据链路建立模块，用于如果验签通过，建立与所述车辆客户端之间的数据链路。

第四方面，本公开实施例提供一种数据链路的建立装置，所述装置配置于车辆客户端，包括：

第一发送模块，用于向云端密钥服务器发送身份认证请求；

第二接收模块，用于接收云端密钥服务器发送的身份认证信息，所述身份认证信息由云端密钥服务器基于所述身份认证请求对所述车辆客户端验签通过后发送至车辆客户端；

第二发送模块，用于向云端代理服务器发送所述身份认证信息，以使所述云端代理服务器接收所述身份认证信息，使用第一公钥对所述身份认证信息进行验签，如果验签通过，建立与所述车辆客户端之间的数据链路。

第五方面，本公开实施例提供一种电子设备，包括：

存储器；

处理器；以及

计算机程序；

其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如第一方面所述的数据链路的建立方法。

第六方面，本公开实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行以实现如第一方面所述的数据链路的建立方法。

本公开实施例提供的数据链路的建立方法、装置、设备及存储介质，所述方法包括：接收车辆客户端发送的身份认证信息，其中，所述身份认证信息包括使用第一私钥进行签名后的第一签名信息；使用第一公钥对所述身份认证信息进行验签，所述第一公钥与所述第一私钥一一对应；如果验签通过，建立与所述车辆客户端之间的数据链路。本公开实施例云端代理服务器对车辆客户端验签通过后，才建立与其的通讯连接，避免云端代理服务器被恶意攻击的风险，提高系统安全性。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本公开实施例提供的一种数据链路的建立方法的流程示意图；

图2为本公开实施例提供的一种数据链路的建立方法的流程示意图；

图3为本公开实施例提供的一种数据链路的建立装置的结构示意图；

图4为本公开实施例提供的一种数据链路的建立装置的结构示意图；

图5为本公开实施例提供的电子设备的结构示意图。

具体实施方式

为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。

下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例，相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。

应当理解，本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行，和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。

本文使用的术语“包括”及其变形是开放性包括，即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”；术语“另一实施例”表示“至少一个另外的实施例”；术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。

需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。

需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。

本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。

图1为本公开实施例中的一种数据链路的建立方法的流程示意图，本实施例可适用于车辆客户端与云端代理服务器之间的进行数据链接的情况，该方法可以由数据链路的建立装置执行，该数据链路的建立装置可以采用软件和/或硬件的方式实现，该数据链路的建立装置可配置于电子设备中。所述方法应用于云端代理服务器。

具体的，如图1所示，本公开实施例提供的数据链路的建立方法主要包括步骤S101、S102和S103。

S101、接收车辆客户端发送的身份认证信息，所述身份认证信息包括使用第一私钥进行签名后的第一签名信息。

其中，车辆客户端可以理解为安装在车辆上的车辆管理终端，可以与云端服务器建立数据链路，并通过所述数据链路进行数据和信息的传输。

其中，所述身份认证信息由云端密钥服务器对所述车辆客户端验签通过后发送至车辆客户端。

在本实施例中，车辆客户端首次向云端代理服务器请求建立数据链路时，云端代理服务器向云端密钥服务器请求身份认证，云端密钥服务器通过身份认证请求生成身份认证信息，并发送至车辆客户端。身份认证信息中包括云端密钥服务器使用第一私钥进行签名后得到的第一签名信息。

在一个可能的实施方式中，云端密钥服务器对所述车辆客户端进行验签的过程，包括：云端密钥服务器接收所述车辆客户端发送的身份认证请求，其中，身份认证请求使用第二私钥进行签名后得到；对所述身份认证请求进行解析，得到车辆标识码；基于所述车辆标识码确定所述车辆客户端对应的第二公钥，所述第二公钥和所述第二私钥一一对应；使用所述第二公钥对所述身份认证请求进行验签。

其中，第二私钥和第二公钥为云端密钥服务器为每辆车生成的一对私钥和公钥。私钥在产线注入到车机的安全硬件，公钥保存在云端密钥服务器中。

本实施例中，车辆客户端将第一随机字符串、车辆标识码、第二随机字符串和第三当前时间拼接成第三字符串，调用tee服务的签名接口，使用第二私钥对第三字符串进行签名，得到第二签名信息，基于第一随机字符串、车辆标识码、第二随机字符串、第三当前时间、第二签名信息、车辆类别信息组装为json对象,请求http网关地址申请身份认证。

http网关判断url后缀为/bcs-kms-jwt或/jwt，不再进行鉴权，直接转发到云端密钥服务器。云端密钥服务器接收上述身份认证请求，并从身份认证请求中解析出车辆VIN码，并查询该车辆VIN码对应的第二公钥，把上述将第一随机字符串、车辆标识码、第二随机字符串和第二当前时间拼接成验签信息，用第二公钥对签名信息及签名进行验签，验签通过后生成身份认证信息并发送至车辆客户端。

在本实施例中，提供了一种车辆客户端请求身份认证时，云端密钥服务端进行身份认证的方法，使得通过认证的车辆客户端才能与云端代理服务端进行数据通信，避免了云端代理服务器被恶意攻击的风险。

在一个可能的实施方式中，云端密钥服务器对所述车辆客户端验签通过后，生成身份认证信息的过程，包括：云端密钥服务器对所述车辆客户端验签通过后，基于系统名称、失效时间和第二当前时间确定第一字符串；使用第一编码器对所述第一字符串进行编码；基于编码后的第一字符串与车辆标识码确定第二字符串；使用第一私钥对所述第二字符串进行签名，得到第一签名信息；基于预设编码标识、第一字符串和所述第一签名信息生成身份认证信息。

在本实施例中，云端密钥服务器将系统名称、失效时间和第二当前时间拼接为第一字符串part1，其中失效时间和第二当前时间为毫秒级时间戳。对拼接的第一字符串进行base64编码，编码后的第一字符串再追加车辆标识码得到第二字符串part2，，用Rsa算法和云端密钥服务器的第一私钥对第二字符串part2进行签名得到第一签名信息sign1，最后把预设编码标识、第一字符串和所述第一签名信息拼接成的字符串作为身份认证信息返回至车辆客户端。

其中，第二当前时间是指生成第一字符串的系统时间，系统名称可以是KMS的系统名称。其中，失效时间是指身份认证信息的失效时间，即晚于失效时间后，所述身份认证信息不再进行身份认证。

第一字符串的格式可以是“系统名称：失效时间：第二当前时间”；例如：“kms+':'+expireTime+':'+currentTime”。其中，kms是系统名称，expireTime是失效时间，currentTime是第二当前时间。第二字符串的格式可以是“编码后的第一字符串：+vin”。身份认证信息的格式可以是“预设编码标识+'.'+第一字符串+'.'+第一签名信息”,例如：“HEADER_BASE64+'.'+part1+'.'+sign1”，其中，HEADER_BASE64为预设的编码标识。

在本实施例中，提供了一种云端密钥服务器生成身份认证信息并发送至车辆客户端的方法，使得车辆客户端可以通过身份认证信息向云端代理服务器请求身份认证，避免每次都向云端密钥服务器请求身份认证，减少身份认证的耗时。

在一个可能的实施方式中，接收车辆客户端发送的身份认证信息，包括：接收车辆客户端发送的Hello报文；从所述hello报文中读取所述身份认证信息的长度参数；基于所述长度参数从所述Hello报文中读取所述身份认证信息。

在本实施例中，在Scuttlebutt Protocol Guide的云端代理服务器请求(Serverhello)和车辆客户端认证(Client authenticate)之间新增客户端创建身份认证信息的长度参数(Client create Token_Length)，车辆客户端创建身份认证信息的长度参数用于表明车辆客户端向云端代理服务器发送hello报文时，hello报文中身份认证信息(token)的长度。其中，用2个字节保留Token_Length的明文，然后用密钥协商的过程的中间密码对Token_Length进行加密，得到18个字节密文。

云端代理服务器接收到车辆客户端发送的hello报文时，从hello报文中解析出身份认证信息的长度参数，例如：长度参数是18个字节；在指定位置读取18个字节，作为读取到的身份认证信息。

在本实施例中，提供了一种云端代理服务器读取身份认证信息的方法，使得云端服务器可以快读读取到身份认证信息。

S102、使用第一公钥对所述身份认证信息进行验签，所述第一公钥与所述第一私钥一一对应。

其中，第一公钥与第一私钥一一对应，即第一公钥可以验签通过使用第一私钥进行签名的签名信息。

车辆客户端和云端代理服务器建立shs连接过程中，云端代理服务器会收到车辆客户端传输身份认证信息。云端代理服务器使用云端密钥服务器的第一公钥对身份认证信息进行验签。

由于云端密钥服务器的第一公钥是公开的，因此云端代理服务器可以直接在云端密钥服务器的apollo配置读取第一公钥，这样云端代理服务器用云端密钥服务器的第一公钥验证身份认证信息，通过验签，则认为是允许通过的车辆客户端。因为身份认证信息是用云端密钥服务器的第一私钥签名，只有云端密钥服务器认证通过才会颁发身份认证信息。

S103、如果验签通过，建立与所述车辆客户端之间的数据链路。

云端代理服务器对身份认证信息，进行验签通过后，建立与车辆客户端之间的数据链路，可以在上述数据链路中进行数据通信。

在一个可能的实施方式中，建立数据链路后进行数据通信的过程中，都可以携带身份认证信息，使得云端代理服务器和车辆客户端的通信数据可以通过密文进行传输，加密密码不通过网络传输，避免交互数据泄漏风险，提高数据传输的可靠性。

在一个可能的实施方式中，如果验签通过，建立与所述车辆客户端之间的数据链路，包括：如果验签通过，对所述身份认证信息进行解析，得到所述身份认证信息的失效时间；如果所述身份认证信息的失效时间晚于第一当前时间，则建立与所述车辆客户端之间的数据链路。

在本实施例中，第一当前时间可以理解为云端服务器基于身份认证信息进行身份认证的时间。失效时间晚于第一当前时间，则表明身份认证信息在有效期内，可以进行身份认证。如果失效时间早于第一当前时间，则表明身份认证信息已经失效，不能进行身份认证，此时，云端代理服务器确定身份认证信息失效，不与车辆客户端建立数据链路。

在本实施例中，给身份认证信息设置了失效时间，进一步提高了数据传输的可靠性。

本公开实施例提供的数据链路的建立方法，包括：接收车辆客户端发送的身份认证信息，其中，所述身份认证信息由云端密钥服务器对所述车辆客户端验签通过后发送至车辆客户端，所述身份认证信息包括使用第一私钥进行签名后的第一签名信息；使用第一公钥对所述身份认证信息进行验签，所述第一公钥与所述第一私钥一一对应；如果验签通过，建立与所述车辆客户端之间的数据链路。本公开实施例通过在云端代理服务器中完成身份认证，避免每次都向云端密钥服务器请求身份认证，减少身份认证的耗时。

图2为本公开实施例中的一种数据链路的建立方法的流程示意图，本实施例可适用于车辆客户端与云端代理服务器之间的进行数据链接的情况，该方法可以由数据链路的建立装置执行，该数据链路的建立装置可以采用软件和/或硬件的方式实现，该数据链路的建立装置可配置于电子设备中。所述方法应用于车辆客户端。

具体的，如图2所示，本公开实施例提供的数据链路的建立方法主要包括步骤S201、S202和S203。

S201、向云端密钥服务器发送身份认证请求。

在本实施例中，车辆客户端将第一随机字符串、车辆标识码、第二随机字符串和第三当前时间拼接成第三字符串，调用tee服务的签名接口，使用第二私钥对第三字符串进行签名，得到第二签名信息，基于第一随机字符串、车辆标识码、第二随机字符串、第二当前时间、第二签名信息、车辆类别信息组装为json对象,请求http网关地址申请身份认证。

其中，第三字符串的格式可以是“第一随机字符串：车辆标识码：第二随机字符串：第二当前时间”。例如：“requestId+':'+verifyId+':'+nonce+':'+timestamp”；使用调用tee服务的签名接口，使用第二私钥对“requestId+':'+verifyId+':'+nonce+':'+timestamp”进行签名，得到第二签名信息sign2。其中，requestId表示第一随机字符串，verifyId表示车辆VIN码，nonce表示第二随机字符串，timestamp表示第三当前时间的时间戳，其中第一随机字符串和第二随机字符串均为32位随机字符串，当前时间的时间戳为毫秒级别的时间戳。

进一步的，车辆客户端将nonce、requestId、sign、timestamp、verifyId、verifyType组装为json对象，同时拼接headers，请求http网关地址申请身份认证信息。其中nonce、requestId、timestamp、verifyId复用生成签名时的信息。可选的，所述身份认证信息为jwt信息

S202、接收云端密钥服务器发送的身份认证信息，所述身份认证信息由云端密钥服务器基于所述身份认证请求对所述车辆客户端验签通过后发送至车辆客户端。

其中，云端密钥服务器基于身份认证请求进行验签，以及验签通过后生成身份认证信息的具体过程，可以参照上述实施例中的描述，本实施例中不再进行具体限定。

S203、向云端代理服务器发送所述身份认证信息，以使所述云端代理服务器接收所述身份认证信息，使用第一公钥对所述身份认证信息进行验签，如果验签通过，建立与所述车辆客户端之间的数据链路。

在一个可能的实施方式中，向云端代理服务器发送所述身份认证信息，包括：向云端代理服务器发送Hello报文，其中，所述Hello报文中携带身份认证信息的长度参数和身份认证信息。

在本实施例中，在Scuttlebutt Protocol Guide的云端代理服务器请求(Serverhello)和车辆客户端认证(Client authenticate)之间新增客户端创建身份认证信息的长度参数(Client create Token_Length)，车辆客户端创建身份认证信息的长度参数用于表明车辆客户端向云端代理服务器发送hello报文时，hello报文中身份认证信息(token)的长度。其中，用2个字节保留Token_Length的明文，然后用密钥协商的过程的中间密码对Token_Length进行加密，得到18个字节密文。

在本实施例中，提供了一种身份认证信息的发送方法，使得身份认证信息可以通过密钥进行发送，提高信息传输的可靠性和安全性。

本公开实施例提供的数据链路的建立方法，包括：向云端密钥服务器发送身份认证请求，接收云端密钥服务器发送的身份认证信息，所述身份认证信息由云端密钥服务器基于所述身份认证请求对所述车辆客户端验签通过后发送至车辆客户端，向云端代理服务器发送所述身份认证信息，以使所述云端代理服务器接收所述身份认证信息，使用第一公钥对所述身份认证信息进行验签，如果验签通过，建立与所述车辆客户端之间的数据链路。本公开实施例通过在云端代理服务器中完成身份认证，避免每次都向云端密钥服务器请求身份认证，减少身份认证的耗时。

图3为本公开实施例中的一种数据链路的建立装置的结构示意图，本实施例可适用于车辆客户端与云端代理服务器之间的进行数据链接的情况，该数据链路的建立装置可以采用软件和/或硬件的方式实现，该数据链路的建立装置可配置于云端代理服务器。

具体的，如图3所示，本公开实施例提供的数据链路的建立装置30主要包括：第一接收模块31、第一验签模块32和数据链路建立模块33。

其中，第一接收模块31，用于接收车辆客户端发送的身份认证信息，所述身份认证信息包括使用第一私钥进行签名后的第一签名信息；

第一验签模块32，用于使用第一公钥对所述身份认证信息进行验签，所述第一公钥与所述第一私钥一一对应；

数据链路建立模块33，用于如果验签通过，建立与所述车辆客户端之间的数据链路。

本公开实施例提供的数据链路的建立装置，用于执行如下流程：接收车辆客户端发送的身份认证信息，其中，所述身份认证信息包括使用第一私钥进行签名后的第一签名信息；使用第一公钥对所述身份认证信息进行验签，所述第一公钥与所述第一私钥一一对应；如果验签通过，建立与所述车辆客户端之间的数据链路。本公开实施例通过在云端代理服务器中完成身份认证，避免每次都向云端密钥服务器请求身份认证，减少身份认证的耗时。

在一个可能的实施方式中，数据链路建立模块33，包括：失效时间确定单元，用于如果验签通过，对所述身份认证信息进行解析，得到所述身份认证信息的失效时间；数据链路建立单元，用于如果所述身份认证信息的失效时间晚于第一当前时间，则建立与所述车辆客户端之间的数据链路。

在一个可能的实施方式中，第一接收模块31，包括：Hello报文接收单元，用于接收车辆客户端发送的Hello报文；长度参数读取单元，用于从所述hello报文中读取所述身份认证信息的长度参数；身份认证信息读取单元，用于基于所述长度参数从所述Hello报文中读取所述身份认证信息。

在一个可能的实施方式中，云端密钥服务器用于基于所述身份认证信息对所述车辆客户端验签通过后发送至车辆客户端。

在一个可能的实施方式中，云端密钥服务器用于基于所述身份认证信息对所述车辆客户端验签通过后发送至车辆客户端时，包括：第二验签模块，所述第二验签模块用于对所述车辆客户端进行验签，其中，第二验签模块包括：第三接收单元，用于云端密钥服务器接收所述车辆客户端发送身份认证请求，其中，身份认证请求使用第二私钥进行签名后得到；车辆标识码确定单元，用于对所述身份认证请求进行解析，得到车辆标识码；第二公钥确定单元，用于基于所述车辆标识码确定所述车辆客户端对应的第二公钥，所述第二公钥和所述第二私钥一一对应；第二验签单元，用于使用所述第二公钥对所述身份认证请求进行验签。

在一个可能的实施方式中，云端密钥服务器包括身份认证信息生成模块，身份认证信息生成模块，用于对所述车辆客户端验签通过后，生成身份认证信息，身份认证信息生成模块，包括：第一字符串确定单元，用于云端密钥服务器对所述车辆客户端验签通过后，基于系统名称、失效时间和第二当前时间确定第一字符串；编码单元，用于使用第一编码器对所述第一字符串进行编码；第二字符串确定单元，用于基于编码后的第一字符串与车辆标识码确定第二字符串；第一签名信息确定单元，用于使用第一私钥对所述第二字符串进行签名，得到第一签名信息；身份认证信息生成单元，用于基于预设编码标识、第一字符串和所述第一签名信息生成身份认证信息。

图3所示实施例的数据链路的建立装置可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图4为本公开实施例中的一种数据链路的建立装置的结构示意图，本实施例可适用于车辆客户端与云端代理服务器之间的进行数据链接的情况，该数据链路的建立装置可以采用软件和/或硬件的方式实现，该数据链路的建立装置可配置于车辆客户端。

具体的，如图4所示，本公开实施例提供的数据链路的建立装置40主要包括：第一发送模块41、第二接收模块42和第二发送模块43。

其中，第一发送模块41，用于向云端密钥服务器发送身份认证请求；

第二接收模块42，用于接收云端密钥服务器发送的身份认证信息，所述身份认证信息由云端密钥服务器基于所述身份认证请求对所述车辆客户端验签通过后发送至车辆客户端；

第二发送模块43，用于向云端代理服务器发送所述身份认证信息，以使所述云端代理服务器接收所述身份认证信息，使用第一公钥对所述身份认证信息进行验签，如果验签通过，建立与所述车辆客户端之间的数据链路。

本公开实施例提供的数据链路的建立装置，用于执行如下流程：向云端密钥服务器发送身份认证请求，接收云端密钥服务器发送的身份认证信息，向云端代理服务器发送所述身份认证信息，以使所述云端代理服务器接收所述身份认证信息，使用第一公钥对所述身份认证信息进行验签，如果验签通过，建立与所述车辆客户端之间的数据链路。本公开实施例通过在云端代理服务器中完成身份认证，避免每次都向云端密钥服务器请求身份认证，减少身份认证的耗时。

在一个可能的实施方式中，第二发送模块43，具体用于向云端代理服务器发送Hello报文，其中，所述Hello报文中携带身份认证信息的长度参数和身份认证信息。

在一个可能的实施方式中，第一发送模块41，包括：第三字符串生成单元，用于基于第一随机字符串、车辆标识码、第二随机字符串和第三当前时间生成第三字符串；第二签名信息确定单元，用于使用第二私钥对所述第三字符串进行签名，得到第二签名信息；json对象生成单元，用于基于第一随机字符串、车辆标识码、第二随机字符串、第三当前时间、第二签名信息、车辆类别信息生成json对象；身份认证请求发送单元，用于将所述json对象作为身份认证请求发送至云端密钥服务器。

图4所示实施例的数据链路的建立装置可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图5为本公开实施例中的一种电子设备的结构示意图。下面具体参考图5，其示出了适于用来实现本公开实施例中的电子设备500的结构示意图。本公开实施例中的电子设备500可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)、可穿戴终端设备等等的移动终端以及诸如数字TV、台式计算机、智能家居设备等等的固定终端。图5示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图5所示，电子设备500可以包括处理装置(例如中央处理器、图形处理器等)501，其可以根据存储在只读存储器(ROM)502中的程序或者从存储装置508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理以实现如本公开所述的实施例的图片渲染方法。在RAM 503中，还存储有终端设备500操作所需的各种程序和数据。处理装置501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。

通常，以下装置可以连接至I/O接口505：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置506；包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置507；包括例如磁带、硬盘等的存储装置508；以及通信装置509。通信装置509可以允许终端设备500与其他设备进行无线或有线通信以交换数据。虽然图5示出了具有各种装置的终端设备500，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在非暂态计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码，从而实现如上所述的数据链路的建立方法。在这样的实施例中，该计算机程序可以通过通信装置509从网络上被下载和安装，或者从存储装置508被安装，或者从ROM 502被安装。在该计算机程序被处理装置501执行时，执行本公开实施例的方法中限定的上述功能。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

在一些实施方式中，客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol，超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信(例如，通信网络)互连。通信网络的示例包括局域网(“LAN”)，广域网(“WAN”)，网际网(例如，互联网)以及端对端网络(例如，ad hoc端对端网络)，以及任何当前已知或未来研发的网络。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该终端设备执行时，使得该终端设备实现如任一实施例中所述的方法。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定。

本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

此外，虽然采用特定次序描绘了各操作，但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地，在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。

尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。

Claims (13)

1.一种数据链路的建立方法，其特征在于，所述方法应用于云端代理服务器，包括：

接收车辆客户端发送的身份认证信息，其中，所述身份认证信息包括使用第一私钥进行签名后的第一签名信息；

使用第一公钥对所述身份认证信息进行验签，所述第一公钥与所述第一私钥一一对应；

如果验签通过，建立与所述车辆客户端之间的数据链路。

2.根据权利要求1所述的方法，其特征在于，如果验签通过，建立与所述车辆客户端之间的数据链路，包括：

如果验签通过，对所述身份认证信息进行解析，得到所述身份认证信息的失效时间；

如果所述身份认证信息的失效时间晚于第一当前时间，则建立与所述车辆客户端之间的数据链路。

3.根据权利要求1所述的方法，其特征在于，接收车辆客户端发送的身份认证信息，包括：

接收车辆客户端发送的Hello报文；

从所述hello报文中读取所述身份认证信息的长度参数；

基于所述长度参数从所述Hello报文中读取所述身份认证信息。

4.根据权利要求1所述的方法，其特征在于，所述身份认证信息由云端密钥服务器对所述车辆客户端验签通过后发送至车辆客户端。

5.根据权利要求4所述的方法，其特征在于，所述云端密钥服务器对所述车辆客户端进行验签的过程，包括：

所述云端密钥服务器接收所述车辆客户端发送的身份认证请求，其中，所述身份认证请求使用第二私钥进行签名后得到；

对所述身份认证请求进行解析，得到车辆标识码；

基于所述车辆标识码确定所述车辆客户端对应的第二公钥，所述第二公钥和所述第二私钥一一对应；

使用所述第二公钥对所述身份认证请求进行验签。

6.根据权利要求4所述的方法，其特征在于，所述云端密钥服务器对所述车辆客户端验签通过后，生成身份认证信息的过程，包括：

所述云端密钥服务器对所述车辆客户端验签通过后，基于系统名称、失效时间和第二当前时间确定第一字符串；

使用第一编码器对所述第一字符串进行编码；

基于编码后的第一字符串与所述车辆标识码确定第二字符串；

使用第一私钥对所述第二字符串进行签名，得到第一签名信息；

基于预设编码标识、所述第一字符串和所述第一签名信息生成身份认证信息。

7.一种数据链路的建立方法，其特征在于，所述方法应用于车辆客户端，包括：

向云端密钥服务器发送身份认证请求；

接收所述云端密钥服务器发送的身份认证信息，所述身份认证信息由所述云端密钥服务器基于所述身份认证请求对所述车辆客户端验签通过后发送至所述车辆客户端；

向云端代理服务器发送所述身份认证信息，以使所述云端代理服务器接收所述身份认证信息，使用第一公钥对所述身份认证信息进行验签，如果验签通过，建立与所述车辆客户端之间的数据链路。

8.根据权利要求7所述的方法，其特征在于，向云端代理服务器发送所述身份认证信息，包括：

向所述云端代理服务器发送Hello报文，其中，所述Hello报文中携带身份认证信息的长度参数和身份认证信息。

9.根据权利要求7所述的方法，其特征在于，向云端密钥服务器发送身份认证请求，包括：

基于第一随机字符串、车辆标识码、第二随机字符串和第三当前时间生成第三字符串；

使用第二私钥对所述第三字符串进行签名，得到第二签名信息；

基于所述第一随机字符串、所述车辆标识码、所述第二随机字符串、所述第三当前时间、所述第二签名信息、车辆类别信息生成json对象；

将所述json对象作为身份认证请求发送至所述云端密钥服务器。

10.一种数据链路的建立装置，其特征在于，所述装置配置于云端代理服务器，包括：

第一接收模块，用于接收车辆客户端发送的身份认证信息，其中，所述身份认证信息包括使用第一私钥进行签名后的第一签名信息；

第一验签模块，用于使用第一公钥对所述身份认证信息进行验签，所述第一公钥与所述第一私钥一一对应；

数据链路建立模块，用于如果验签通过，建立与所述车辆客户端之间的数据链路。

11.一种数据链路的建立装置，其特征在于，所述装置配置于车辆客户端，包括：

第一发送模块，用于向云端密钥服务器发送身份认证请求；

第二接收模块，用于接收所述云端密钥服务器发送的身份认证信息，所述身份认证信息由所述云端密钥服务器基于所述身份认证请求对所述车辆客户端验签通过后发送至所述车辆客户端；

第二发送模块，用于向云端代理服务器发送所述身份认证信息，以使所述云端代理服务器接收所述身份认证信息，使用第一公钥对所述身份认证信息进行验签，如果验签通过，建立与所述车辆客户端之间的数据链路。

12.一种电子设备，其特征在于，包括：

存储器；

处理器；以及

计算机程序；

其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如权利要求1-9中任一所述的方法。

13.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-9中任一项所述的方法。

Images