[发明专利]经改善的认证方法和认证装置

说明书

本发明涉及一种用于创建令牌的方法，所述令牌用于授权用户(102)的终端(103)访问包括存储器的资源，所述存储器中存储有私有密钥，所述方法包括以下步骤：‑创建第一数据字段，所述第一数据字段包括与加密信息相关联的至少一个识别码，‑创建第二数据字段，所述第二数据字段包括访问令牌，所述访问令牌包括用于描述授予给用户(102)的终端(103)的对于所述资源的权限的数据；‑用公共密钥给用于描述访问权限的数据加密，所述公共密钥与存储在所述资源的存储器中的私有密钥相关联，‑用加密密钥给所述访问令牌加密，所述加密密钥基于加密信息的至少一部分，所述加密信息与包含在保存令牌的第一数据字段中的识别码相关联。

技术领域

本发明涉及在在不同信息系统之间交换数据的范围中的对权限的认证和管理，所述不同信息系统例如为车辆中的电子盒、移动设备(智能手机、平板、手提电脑等)以及非车载系统(按英语也称为cloud)。

背景技术

从现有技术中已知在经预先认证之后访问信息资源的技术。还已知使用(物理或数字)令牌进行向资源的认证。

例如，从文件US2004230831已知一种基于安全令牌的认证系统。该系统能够授权属于第一组织的终端访问属于第二组织的服务提供器服务器。所述第一组织和所述第二组织形成一个联合。属于所述第一组织的终端的用户只被识别一次并且所述用户被授权访问所述第二组织的资源。所述授权通过受信任机构所发放的令牌传送，然后由所述两个组织交换。

通常，为了安全原因，认证令牌由有效期限制时间。在所述令牌过期之后，必须向所述受信任机构(也称为认证服务器)更新该认证令牌。更新请求需要布置有(例如Internet(因特网)或3G类型的)连接以与所述认证服务器通信。

然而，存在用户期望访问服务提供器服务器而未布置有Internet并因此不可与所述认证服务器通信的情形。

当所述服务提供器是仅可经由Internet连接访问的信息服务器时，不会出现这种问题。在该情况下，期望访问所述资源的用户必须布置有对Internet的访问，并因此可通过该对Internet的访问来恢复安全令牌。

本发明企图克服的问题涉及如下情况：(i)所述服务提供器是可经由(例如蓝牙或NFC类型的)无线联接或有线联接访问的经连接对象(例如机动车辆的计算机通信盒)，以及(ii)用户能够访问对象(例如位于车辆外部的具有智能手机的用户)而不需访问Internet连接(也就是说，不存在与发放安全令牌的受信任机构通信的方式)。例如，假定用户期望在处在未被通信网络覆盖的地点时借助于智能手机控制门窗的解锁以访问车辆的乘客舱。

在附图的该情况下，完全不设置用于以安全的方式访问资源。

发明内容

因此，本发明旨在通过提供一种经改善的认证方法和认证装置来克服上述问题，所述方法和所述装置能够安全地访问信息资源而不需要与认证服务器的永久通信。

更确切地，本发明为此提供了一种用于授权用户(102)的终端(103)访问包括存储器的资源(104)的方法，所述存储器中存储有私有密钥，所述方法包括以下步骤：

-由认证装置(101)生成(206)保存令牌，

-向所述终端(103)发送(207)所述保存令牌，

其特征在于，所述步骤(206)包括以下步骤：

-创建(206.1)第一数据字段，所述第一数据字段包括与加密信息相关联的至少一个识别码，所述加密信息的至少一部分用于用作加密密钥；

-创建(206.2)第二数据字段，所述第二数据字段包括访问令牌，所述访问令牌包括用于描述授予给用户(102)的终端(103)的对于所述资源(104)的权限的数据；