[发明专利]一种基于权能的共享汽车访问方法和装置

说明书

本发明涉及物联网访问控制技术领域，公开了一种基于权能的共享汽车访问方法和装置，所述方法包括接收第一用户设备发送的第一访问请求；根据预存的第一服务器公钥验证所述第一权能令牌的服务器私钥，若第一权能令牌的服务器私钥和预存的第一服务器公钥匹配，则获取所述第一权能令牌中的用户公钥并使用用户公钥验证所述第一访问请求中的用户私钥；若获取到的用户公钥和第一访问请求中的用户私钥相匹配，则允许第一用户设备访问共享汽车。有益效果：基于权能的访问控制方法，用户与共享汽车网关之间直接进行访问请求的验证，保证了即使在无网络条件或者云端服务器不可用的情况下用户对共享汽车的访问依然可以正常进行，使得用户体验得到了保障。

技术领域

本发明涉及物联网访问控制技术领域，特别涉及一种基于权能的共享汽车访问方法和装置。

背景技术

在共享汽车的场景中，需要云端的租车服务平台将用户附近的空闲车辆授权给用户实现车辆的出租服务。现有的汽车授权功能(如特斯拉的Car Access等等)一般都是在云端上进行决策(决策即是否可以授权)与授权的，使用的访问控制模型主要是基于角色的访问控制(Role－Based Access Control，RBAC)模型与基于属性的访问控制模型(Attribute－Based Access Control，ABAC)。以上两种传统的访问控制模型的系统存在的不足主要如下：

扩展性差。访问控制执行都要经由后台云端服务器进行，本质上是高度集中的，难以做到分布式执行，存在单点故障和性能瓶颈问题，即可扩展性差。

时效性差。访问过程中需要经过较为繁琐的数字证书验证，验证时间长，反应较慢。

未来共享汽车的规模与普及程度会逐渐升高，如果仍然采用服务器控制访问的方法，则会受制于服务器的处理能力，影响反馈时间降低用户体验，同时如果服务器出现故障则会造成用户无法使用共享汽车的问题。因此需要对现有的共享汽车的访问的方法进行改进，提高访问控制系统的可扩展性和时效性，满足人们日益增长的出行需求。

发明内容

本发明的目的是：提供一种具有可扩展性和高时效性的共享汽车访问方法和装置，使用户可以直接访问共享汽车，减少访问时间，满足人们日益增长的出行需求，提高用户体验。

为了实现上述目的，本发明提供了一种基于权能的共享汽车访问方法，包括：

接收第一用户设备发送的第一访问请求；其中，第一访问请求包括第一权能令牌，所述第一权能令牌包括服务器私钥和第一用户公钥，其中，所述第一权能令牌为所述第一用户设备对接收到的服务器发送的第二权能令牌进行验证后生成的，所述第二权能令牌为服务器根据服务器私钥对包含第一用户公钥的权能令牌签名后生成的，所述第一访问请求为经过第一用户私钥签名后的请求。

根据预存的第一服务器公钥验证所述第一权能令牌，若所述第一权能令牌通过验证，则获取所述第一权能令牌中的第一用户公钥并使用所述第一用户公钥验证所述第一访问请求中的第一用户私钥；若获取到的第一用户公钥和第一访问请求中的第一用户私钥相匹配，则允许所述第一用户设备访问共享汽车。

进一步的，所述第一权能令牌为所述第一用户设备对接收到的服务器发送的第二权能令牌进行验证后生成的，具体为：

所述第一用户设备向所述服务器发送包含第一用户私钥签名的第一授权请求，以使所述服务器使用预先存储的第一用户公钥验证所述第一授权请求的第一用户私钥签名，并根据预先存储的用户属性信息和访问控制策略对通过验证的授权请求进行授权决策，继而在决策结果为授权时，向所述第一用户设备反馈第二权能令牌，所述第二权能令牌为已使用服务器私钥签名的包括第一用户公钥的权能令牌。

所述第一用户设备根据预存的第二服务器公钥验证第二权能令牌的服务器私钥，并在验证通过后，生成第一权能令牌。

进一步的，所述根据预先存储的用户属性信息和访问控制策略对通过验证的授权请求进行授权决策，具体为：