专利名称:用于远程认证的方法和设备的制作方法
技术领域:
说明性实施例总体上及涉一种用于远程认证的方法和设备。
背景技术:
在过去的十年中,移动计算平台的普及已经稳步增长,并在用户找到自己所在的几乎任何环境中向用户提供实质上使用和访问计算资源的能力。随着这些资源变得更加普遍,这些资源带来了确保它们不被非正确访问或被恶意软件产品攻击的新的一套挑战。在平板PC、智能电话和各种其它“便携式”计算平台出现之前,移动计算的唯一的典型示例是膝上型计算机。作为桌上型PC的更小版本,膝上型计算机以许多方式效仿它们的前身。对于防备非许可访问的保护,膝上型计算机致力于与操作系统集成的安全性,并且用户通常会较好地意识到被允许在机器上运行的大部分软件。为这些平台开发的程序通常是强健的,并且花费数月和/或数年来进行开发。大部分软件产品来自可信的源,并且,在“最坏情况局面”情形中,即使膝上型计算机被恶意访问,对用户的损害也是有限的。数据可能会丢失,但是操作系统会被重新载入并驱动格式化,并且膝上型计算机基础平台会被恢复到操作状态。然而,移动计算方案对恶意访问提供了新的机会,并且对OEM和开发者带来了新的安全性挑战。例如,如果一个人的智能电话被泄露,则拥有者可能会不仅仅丢失对电话的计算访问,还可能会丢失使用该装置的附加功能(电话的附加功能)的能力。由于其它移动计算平台(例如,像福特SYNC产品的车辆计算系统)无疑期望避免对计算系统会产生影响的恶意访问或者由于其它移动计算平台连接到运动的车辆内的自动控制系统,故它们甚至对保护的需要有更高的要求。同时,易于使用和紧凑式编程资源已经对于这些装置的便携式应用(“app”)的编写成为可用。公众通常可用基于网站和平台可访问云的软件商店,app可被快速和便宜地开发以允许用户使用移动计算资源执行各种任务。期望控制访问的人被迫在限制对系统资源的访问以保护系统(这可导致较少的app可用以及令用户失望)与提供更高级别的访问以在系统安全性的潜在代价上扩展app的可用性之间寻求平衡。与可信的开发者的伙伴关系可被用于解决这些问题中的一些,但是可能会被“欺骗”开发者访问并且欺骗系统相信程序是来自可信的开发者,或者可能会简单地使用基于限制地发布给开发者的命令。由于信息趋向于非常快速地进入公共域,故一旦命令和参数(argument)被发布,可能会难以控制允许app与计算平台接口连接的应用编程接口(“API”)的使用。另外,许多平台开发者或提供商不想使它们在对应用扮演“警察”的过程中不得不卷入的太深。优选的是找到一种允许在预定限制中的访问控制,并在app的固定审阅和监 督中没有过度消耗人力资源的情况下相对强健的解决方案。
发明内容
在第一说明性实施例中,一种认证方法包括从与车辆计算系统(VCS)通信的无线装置上正在运行的应用接收对访问VCS的一个或多个组件的请求。所述说明性方法还包括准备对包括一个或多个与所述应用相关联的特性的远程服务器的安全访问权限请求,并通过无线装置将安全请求从VCS发送到远程服务器。在该实施例中,所述说明性方法还包括接收对已经通过无线装置从远程服务器发送的请求的响应。所述说明性方法包括验证接收的响应的可靠性,并更新包括来自接收的响应的信息的策略表,所述信息至少包括用于所述应用的到期触发和访问权限。另外,所述说明性方法包括至少基于包括在更新的策略表中的信息来验证用于使用的应用。在第二说明性实施例中,一种验证方法包括汇编当前被许可与车辆计算系统结合使用的应用的列表,并将所述列表发送到远程服务器以进行处理。所述说明性方法还包括接收对所述发送的处理的响应。·
在该实施例中,所述说明性方法还包括基于所述响应确定未被授权结合车辆计算系统使用的一个或多个应用,并禁用所述未被授权使用的一个或多个应用。在另一说明性实施例中,一种认证系统,包括车辆计算系统,对正在无线连接到车辆计算系统的装置上运行的一个或多个应用提供到所述车辆计算系统的各部件的通行。所述说明性系统还包括远程认证服务器,通过所述装置与车辆计算系统进行通信。在该说明性实施例中,在从应用接收到对系统访问或资源使用的请求时,车辆计算系统进行操作以从远程服务器请求所述应用的权限的认证,所述请求包括通过正在运行所述应用的装置将一个或多个应用证书发送到远程服务器。另外,在该说明性示例中,在从车辆计算系统接收到所述请求时,服务器进行操作以确定用于所述应用的访问权限,并响应于来自车辆计算系统的所述请求来发送签名的策略表,所述策略表包括用于所述应用的访问权限并通过所述装置被发送。此外,在接收到策略表时,车辆计算系统进行操作以基于包含在所述策略表中的信息对所述应用进行认证,并允许所述应用访问由所述应用请求的系统或资源。
图I示出车辆计算系统的说明性示例;图2A 图2C示出在OEM、移动平台和移动应用之间的处理流程的说明性示例;图3示出用于应用的验证处理的说明性示例;图4示出用于应用的第二验证处理的说明性示例;图5示出使用验证处理耿运(piggyback)数据的说明性示例;图6示出应用更新处理的说明性示例;图7示出进一步认证处理的说明性示例。
具体实施例方式根据需要,在此公开了本发明的具体的实施例;然而,应理解公开的实施例仅为本发明的示例,其可以多种替代形式实施。图纸无需按比例绘制;一些特征可放大或最小化以显示特定组件的细节。因此,此处所公开的具体结构和功能细节不应解释为限定,而仅为教导本领域技术人员以多种形式实施本发明的代表性基础。图I示出用于车辆31的基于车辆的计算系统(VCS, vehicle based computingsystem)的示例框式拓扑图。这样的基于车辆的计算系统I的示例是由福特汽车公司制造的SYNC系统。设有基于车辆的计算系统的车辆可包括位于车辆里的可视前端接口 4。如果设有可视前端接口的话,用户还能够与所述接口(例如触摸屏)进行交互。在另一个说明性实施例中,可通过按钮按压、可听语言和语音合成进行交互。在如图I所示的说明性实施例I中,处理器3至少控制基于车辆的计算系统的操作的一部分。设于车内的处理器允许车载地处理指令和程序。进一步地,所述处理器连接 到非持久存储器5和持久存储器7两者。在这个说明性实施例中,所述非持久储存器是随机存取存储器(RAM)并且所述持久存储器是硬盘驱动器(HDD)或闪存。所述处理器还设有允许用户和所述处理器接口连接的多个不同的输入。在这个说明性实施例中,话筒29、辅助输入25 (用于输入33)、USB输入23、GPS输入24和蓝牙输入15均被设置。还设置了输入选择器51,以允许用户在各种输入之间切换。话筒和辅助连接器两者的输入在传给处理器之前通过转换器27从模拟转换为数字。虽然未显示,但多个与VCS通信的车辆组件和辅助组件可使用车辆网络(比如,但不限于CAN总线)将数据传输给VCS和从VCS传输数据(或者它的组件)。系统的输出可包括但不限于,视觉显不器4和扬声器13或立体声系统输出。扬声器和放大器11相连并且通过数模转换器9从处理器3接收扬声器的信号。也可沿分别如19、21处所示的双向数据流向远程蓝牙装置(诸如PND54)或USB装置(诸如车辆导航装置60)进行输出。在一个说明性实施例中,系统I使用蓝牙收发器15与用户的移动装置53 (例如,蜂窝电话、智能手机、PDA或任何其它具有无线远程网络连接的装置)通信17。移动装置随后能用于通过例如与蜂窝塔57的通信55来与车辆31外部的网络61通信59。在一些实施例中,塔57可为WiFi接入点。在移动装置和蓝牙收发器之间的示例性通信可通过信号14表示。可通过按钮52或相似的输入指示移动装置53和蓝牙收发器(BTT) 15的配对。相应地,向CPU指示车载的蓝牙收发器将与移动装置里的蓝牙收发器配对。可利用例如与移动装置53关联的数据计划(data-plan)、声载数据或双音多频(DTMF)音调在CPU 3和网络61之间传输数据。可替代地,可希望包括具有天线18的车载调制解调器63以在CPU 3和网络61之间通过声音频带传输16数据。移动装置53随后能用于通过例如和蜂窝塔57的通信55来和车辆31外部的网络61通信59。在一些实施例中,调制解调器63可建立和塔57的通信20用于和网络61通信。作为非限制的示例,调制解调器63可以是USB蜂窝式调制解调器并且通信20可以是蜂窝通信。在一个说明性实施例中,处理器设有包括与调制解调器应用软件通信的API的操作系统。调制解调器应用软件可访问蓝牙收发器上的嵌入式模块或固件以完成和远程蓝牙收发器(比如设在移动装置里的)的无线通信。蓝牙是IEEE 802PAN(个域网)协议的子集。IEEE 802LAN(局域网)协议包括WiFi并与IEEE 802PAN具有相当大的交叉功能性。以上两者都适合于车辆内的无线通信。可在这个范围内使用的另一通信装置是自由空间光通信(诸如IrDA)和非标准化消费者IR协议。
在另外一个实施例中,移动装置53包括用于声音频带或宽带数据通信的调制解调器。在声载数据的实施例中,可执行已知的频分复用技术,则当移动装置的所有者可在数据正被传输的同时通过所述装置谈话。在其它时间,当所有者没有使用所述装置时,数据传输可使用整个带宽(在一个示例中是300Hz到3. 4kHz)。在频分复用对于车辆与互联网之间的模拟蜂窝通信可能会是普遍的并仍被使用的同时,频分复用已经被码分多址(CDMA)、时分多址(TDMA)、空分多址(SDMA)的组合极大地替代以用于数字蜂窝通信。这些都是ITUIMT-2000(3G)符合标准并对静止或步行用户提供最高2mbs的数据率,对运动车辆中的用户提供385kbs的数据率。3G标准现正在被对车辆中的用户提供IOOmbs以及对静止用户提供Igbs的数据率的先进IMT(4G)所替代。如果用户有和移动装置关联的数据计划,数据计划可允许宽带传输并且所述系统可使用宽得多的带宽(加速数据传输)。在另外一个实施例中,用安装在车辆31上的蜂窝通信装置(未显示)代替移动装置53。在另一个实施例中,ND 53可以是能通过例如(但不限于)802. Ilg网络(即,WiFi)或WiMax网络通信的无线局域网(LAN)装置。
在一个实施例中,接收到的数据能经由声载数据或数据计划通过移动装置,通过车载蓝牙收发器并且传输到车辆的内部处理器3。在某些临时数据的情况下,例如,数据可储存在HDD或其它存储媒体7上直到不再需要所述数据的时候。其它可和车辆接口连接的源包括具有例如USB连接56和/或天线58的个人导航装置54、具有USB 62或其它连接的车辆导航装置60、车载GPS装置24或具有与网络61的连接性的远程导航系统(未显示)。USB是一种类型的串行联网协议。IEEE 1394(火线)、EIA(电子工业协会)串行协议、IEEE1284(Centronics端口)、S/PDIF(索尼/飞利浦数字内联格式)和USB-IF(USB应用者论坛)形成装置-装置串行标准的主要部分。大部分协议可被实施用于电子通信或光通信。此外,CPU可与各种其它的辅助装置65通信。这些装置可通过无线连接67或有线连接69来连接。辅助装置65可包括,但不限于,个人媒体播放机、无线医疗装置、便携式计算机等。同样地或者可替代地,CPU可使用例如WiFi 71收发器连接到基于车辆的无线路由器73。这可允许CPU在本地路由器73的范围内连接至远程网络。除了具有通过位于车内的车辆计算系统执行的示例性程序,在某些实施例中,示例性程序可通过与车辆计算系统通信的计算系统被执行。这种系统可包括但不限于无线装置(例如但不限于移动电话)或者通过无线装置连接的远程计算系统(例如但不限于服务器)。共同地,这种系统可称为车辆关联计算系统(VACS, vehicle associated computingsystem)。在某些实施例中,取决于系统的特定实施方案,VACS的特定组件可执行程序的特定部分。作为示例并非限制,如果程序具有与配对的无线装置发送或接收信息的步骤,那么无线装置有可能不执行程序,因为无线装置不能与自己“发送和接收”信息。本技术领域内的普通技术人员将理解何时对特定的VACS应用给定的解决方案是不适当的。所有的解决方案中,可预想至少位于车内的车辆计算系统(VCS)自身能执行示例程序。在围绕福特SYNC系统的模型或相似于福特SYNC系统的模型建立的移动计算平台中,基于车辆的计算系统(VCS)通过无线装置与远程服务器进行通信。无线装置可由车辆所有者提供,因此,虽然无线装置作为用于VCS与远程服务器之间的信息的管道,但是其极大地超出了车辆制造商的控制范围。换句话说,两个可信的端点(VCS和受控的服务器)之间的通信可使用“不可信”的装置来建立。如果应用从装置运行并访问VCS是期望的,则可在VCS或在远程服务器执行认证。如果认证至少部分远程地被执行,则另一方法(wrinkle)被添加到系统的可靠性中。在这个模型下,潜在的不可信的应用正要求访问可信的系统。为了对应用进行认证,会需要通过同样运行该应用的不可信的装置来进行与可信的源的通信。该说明性实施例呈现了认证的非唯一范例的方案的非限制的示例。该说明性实施例还具有被设计为避免重放攻击和中间人(MIM)攻击的实施方式。图2A 图2C示出在OEM、移动平台和移动应用之间的处理流程的说明性示例。将针对后面的附图来讨论该详细附图的部分,然而,这提供了一个可适用说明性实施例的说明性、非限制的综合系统。图2A的元件200涉及该模型中的移动应用开发者。在该示例中,优选的是,移动应用开发者是可信的伙伴,但是推测访问API命令以与VCS进行接口连接的任何人可以是 应用开发者。在该示例中,开发者被提供有API命令201的列表。这可以是命令的综合列表,或者可以基于特定开发者的访问等级权限或可靠性等级而受到限制。例如,而不限于,第一组命令可被提供以供一般公众(即,期望开发应用的任何人)使用。第二组附加或可选择的命令可被提供给合同义务下或已经进行了可靠性检查的已知开发者,另一组命令可以以例如特定费用被提供给逐步升级的开发者(该分级可随着需要而继续)。可在内容通过引用合并于此的公开号为12/788,797,申请日为2010年5月27日的同为未决的美国专利申请中找到访问权限的进一步讨论。在一个示例中,公众可被给予一般权限以进行访问,例如,导航显示器的显示能力。使用受限的数据传输访问,这些能力可被用于编写将数据从远程源传送到车辆显示器的基础应用。可信的层级的开发者也可被给予到例如车辆的音频回放系统的访问。使用这些命令,音乐或其它信息可以以音频形式被播放,并且应用命令、菜单、提示对话框等可经由音频系统被输出。第三层级的开发者可被给予更进一步的对车辆系统的访问,该访问被提供有例如中断其它应用或优先处理系统请求的能力。通过以受控的方式提供API访问,一些控制的程度可被保持在哪些组件被特定app (例如,但不限于,车辆总线、车辆位置、组合导航、优先驾驶员分心指示等)访问之上,并且可获得安全性的方法。使用它们被提供的API,开发者可随后开发用于在VCS上使用的应用202。这些移动应用203还可具有包括在它们中的附加信息,诸如但不限于,应用ID。一旦完成,应用可被发布以包括在移动软件商店中204。移动应用205可随后被发送到移动软件商店210或使移动应用205在移动软件商店210上可用。软件商店可提供移动应用的列表以用于下载214,并且特定移动应用211的选择可引起应用从软件商店212被下载到移动装置220。应用的下载还可引起将应用安装为在移动装置上可用的应用232。除了将移动应用215从软件商店发送到移动装置,通信还可对特定应用以客户请求217的形式从移动装置流入。在至少一个模型中,应用仅被下载为客户请求的结果,因此对选择用于在移动装置上执行的应用提供至少一个安全性基础等级。除了与移动软件商店进行通信,移动装置220还可与车辆计算系统240进行通信。通过在VCS以及与VCS成对的装置之间建立的连接,移动app可在移动装置上运行并且与车辆计算系统接口连接。在一些示例中,应用还可能被传送到VCS以用于执行。装置的连接和配对可经由蓝牙连接231或其它合适的无线或有线传输协议(诸如但不限于,苹果iAP、WiFi等)完成。装置可随后被VCS通过使用例如但不限于已知装置的表249而识别252。另外或可选择地,应用可“存活”在云中,并且装置可仅作为传递的功倉泛。一旦特定移动应用已经被下载,该应用可被执行221,并且在某种程度上来说,该应用可尝试与VCS进行接口连接。这样的请求可引起装置与VCS之间的上下文传送226,以在这样的处理中作为应用认证而被使用。 在该示例中,移动应用上下文233可包含app ID、app名称和应用语法。其它有用的信息也可被包括。在该示例中,应用可被认证以一般和特别这两种方式进行运行,以使用特定语法元素(对VCS的命令等)。VCS可从移动装置接收上下文246,并尝试验证应用的证书248。除了验证应用的证书,VCS可另外跟踪应用的使用,以对应用开发者和车辆制造者两者提供反馈。涉及应用认证的信息可被存储在应用策略表247中,所述应用策略表247可包括诸如但不限于app ID、策略定义、到期触发和使用统计的信息。策略表中的至少一些信息可从远程源被填充,这将在后面参照认证请求来进行讨论。在从应用接收到请求时,系统能够访问本地策略表以确定所述应用先前是否已被认证,其中,所述本地策略表至少包含与所述应用有关的访问等级。如果所述应用先前未被分配访问等级,则默认访问等级被分配给所述应用以用于发送对系统访问的所述请求的目的,其中,所述本地策略表至少包含用于与所述应用有关的许可的到期触发。如果应用未基于策略表信息被立即认证,或者如果期望进一步的认证,则应用使用信息245、车辆模块信息243和车辆信息241可结合对应用整数244的请求被发送。应用证书请求235可包括app ID和使用数据,并且还可使用车辆模块的ESN对应用证书请求235加密和签名,以避免攻击或对请求的非许可访问,就如同其通过“不可信”的移动装置。移动装置可随后接收证书请求224并将请求发送到远程服务器用于处理。由于VCS通过无线装置与远程服务器进行通信,故对于安全请求来说通过相对非安全的移动装置以被认证并返回是普遍的。已经被移动装置发送,应用证书请求253可到达安全服务器260。该请求被解密并且应用被随后处理用于认证和整数更新268。即使应用已经被先前认证,周期性地重新认证该应用以查看这些组件“例如但没有限制,策略定义、访问权限、到期触发和应用版本”是否已经改变也是合理的。制定权限定义的OEM员工251可提供可信的伙伴应用266的注册。他们还可提供应用安全性处理272的定义。数据261、267可结合应用认证请求而被使用,从而应用的认证对应于具有特定卖家/发布者的可允许的策略和协议的最新版本。
OEM员工还可观看与移动应用使用数据265(或其它有用数据)有关的应用使用报告264,其中,移动应用使用数据265由远程服务器276记录并结合应用认证请求被包括。对认证应用的请求可导致对应用策略表269的访问,以及针对请求应用对应用策略表进行签名的请求278。与应用和策略表271有关的数据可被安全地发送到安全性处理站点280,在该安全性处理站点认证和签名请求可被接收和验证286。在该处理的安全处理点,可使用例如ESN对应用证书进行签名,并且应用证书可被重新打包以用于传递到认证处理282。认证处理可随后接收提供请求应用的认证和访问权限的签名的应用策略表263274。该应用策略表可随后被返回到VCS以用于对应用进行认证262。由于远程服务器通过非安全的无线装置与VCS进行通信,故签名的应用策略表可通过非可靠性的可能的点被再次中继(例如,暴露于中继和/或MIM攻击)。然而,由于策
略表已经被签名,故对于恶意软件来说拦截传输并对表改变应用权限相对困难。无线装置将应用策略表225中继222到VCS以用于进一步的处理。在这一点上,VCS可从无线装置接收应用策略表237并使用从远程服务器242传输的签名的表来更新应用策略表的本地版本。该表可随后被用于根据服务器定义的策略对特定应用进行认证并允许其访问。由于可能“欺骗”从VCS到服务器的消息(和/或反之亦然),可期望添加附加安全性的层以避免其发生。一个可能的实施方式包括添加每次新的消息被发送时连续增加的消息ID。如果消息ID不相应于期望的ID号,则消息可作为错误而被忽略。其它适合的安全性方法也是可以考虑的。图3示出用于应用的验证处理的说明性示例。在该说明性实施例中,车辆计算系统可接收对验证或允许访问应用的请求301。应用可以是例如在与VCS通信的移动无线装置上运行的应用,并可请求使用VCS或其它车辆系统的一个或多个组件。在该说明性示例中,车辆OEM已经与应用开发者一起进行工作,以提供与特定应用有关的应用密钥。在一个示例中,应用具有与其相关联的密钥,当应用被下载到移动装置时该密钥被提供给VCS。如果当应用呈递访问请求303时该密钥未被呈递,则该应用作为不具有与其相关联的密钥的应用而被拒绝。另外或可选择地,可基于现有证书对与应用有关的密钥进行搜索,或者VCS可请求下载可存储在无线装置上并且还未被提供给VCS的密钥。如果应用密钥被呈递,则系统可随后尝试验证应用307。这可例如通过将应用的诸如app ID的某些方面与现有策略表进行比较以查看应用对VCS上请求的使用是否被批准来完成。其它的可用验证处理也可被应用。如果应用被验证,则可执行第二检查以查看应用验证是否已到期309。由于使用权限可具有到期触发,或者由于例如OEM可期望周期性地重新验证应用,故到期触发可被分配给策略表中的认证权限,以确保至少周期性地针对访问权限对app进行评估。如果应用有效并且未到期,则系统可尝试跟踪应用的使用321,并可对该应用分配允许其使用或限制其使用特定命令的特定访问等级323。如果应用不能被验证,或者如果应用验证到期,则该处理可通过无线装置发送对应用证书的请求311。一旦该请求已经被远程认证源执行,那么VCS可接收更新的证书313并随后进行认证和使用跟踪。
图4示出用于应用的第二验证处理的说明性示例。在该说明性实施例中,远程服务器接收已经通过与车辆计算系统通信的无线装置被发送的有效请求401。远程服务器随后使用该请求的一个或多个识别组件,并访问策略表以寻找与请求应用有关的信息403。一旦策略信息被获得和/或被更新,则该处理请求策略表的签名405。签名可帮助确认特定策略表来源于远程认证服务器而非尝试欺骗认证的中间源。响应于签名请求,对策略表执行安全处理407并且该表被签名409并被返回给主认证处理411。签名的表随后通过无线装置被返回给请求车辆计算系统413。以这种方式,远程服务器可通过中继安全地处理安全签名的表并将安全签名的表返回到可信的端点,其中,所述中继不会具有与其相关联的严格的安全性协议。图5示出使用验证请求驮运数据的说明性示例。在该说明性示例中,与应用使用有关的数据或者甚至是车辆系统数据可结合认证请求而被发送。在通信系统的至少一个模型中,车辆计算系统使用声载数据连接与远程服务器进行通信。由于这种通信可潜在地使 用无线装置备忘录(可受限),可期望仅当由客户特别授权时建立通信。如果该处理检测到数据通信请求被挂起或打开501,则与应用有关的使用数据可被汇编或收集503。与(例如但没有限制)车辆系统或系统使用有关的附加数据也可与任何其它期望的数据一起被收集和汇编505。数据随后被添加到已经被请求经由建立的/请求的连接发送的发出数据流507,并被发送到远程服务器以进行接收和处理。图6示出应用更新处理的说明性示例。在该说明性实施例中,与现有应用有关的信息被发送到远程服务器以进行处理。在打开连接或打开连接请求501被检测到时,现有应用的列表被集合并发送到远程服务器603。该列表可包含诸如但不限于版本号、到期触发访问权限等的信息。服务器可使用该信息以确定例如任何无效应用是否存在于认证列表中或者现有应用的新的版本是否可用。通过周期性地检查所有应用的版本和访问权限,更新和可兼容应用版本可被保持,并且过时或非许可的应用可被去除。一旦从服务器接收到响应,确定是否任何应用都“无效”。应用可能由于包括但不限于到期、无效版本、已知的不兼容等的各种原因而被无效。客户/拥有者可被通知任何无效的应用609,并且无效的应用可被禁用611以保持VCS的一致性。除了检测无效应用之外,该处理可返回一个或多个应用已经更新了可用版本的信息。如果app具有更新的可用版本613,则由处理通知客户/拥有者615。如果客户期望获得更新版本615 (或者如果由系统的规则命令更新),则无线装置可被指示下载应用的更新版本619。最后,在该处理中,可提供与现有应用有关的一个或多个广告621。可提供这些广告623以向消费者通知现有应用的替代品或例如与现有应用结合运行优良的应用,或者称赞这些应用。图7示出进一步认证处理的说明性示例。在该说明性实施例中,应用可具有应用开发者还未同意使用的包括的功能或API调用。然而,在特定示例中,命令/系统使用可基于每次/使用花费而可用。在该特定实施例中,该处理从现有应用接收API命令请求701。该处理检查以查看应用是否被允许访问API命令或系统703,并且如果允许的话,处理请求711。如果请求app不具有访问特定命令或系统的权限,则该处理可确定开发者是否具有基于例如费用允许他们访问请求的组件的协议705。如果具有的话,则费用可被中继到远程服务器以进行处理713,并且对组件的访问可被准予。如果不存在开发者使用组件的预定义的权限,则也可能的是,当由特定app执行组件时用户可基于费用使用组件707。如果是这种情况,则用户可被警告费用将与请求的组件相关联715,并且如果用户同意的话则随后将对费用进行处理。如果没有用于开发者/用户收费的规定,则随后用户被通知应用正尝试访问其不具有权限的组件709,并且该处理可退出。尽管如上描述了示例性实施例,并不意味着这些实施例描述了本发明的所有可能形式。而是,说明书中使用的词汇为说明性词汇而非限制,并且应该明白地是在不脱离本发明的精神和范围的情况下可作多种改变。此外,各种实施的实施例的组件可被组合以形成本发明的进一步的实施例。 ·
权利要求
1.一种认证系统,包括 车辆计算系统,对与车辆计算系统无线连接的装置上正在运行的一个或多个应用提供到所述车辆计算系统的各部件的通行; 远程认证服务器,通过所述装置与车辆计算系统进行通信, 其中,在从应用接收到对系统访问或资源使用的请求时,车辆计算系统进行操作以从远程服务器请求所述应用的权限的认证,所述请求包括通过正在运行所述应用的装置将一个或多个应用证书发送到远程服务器, 其中,在从车辆计算系统接收到所述请求时,服务器进行操作以确定用于所述应用的访问权限,并响应于来自车辆计算系统的所述请求来发送签名的策略表,所述策略表包括用于所述应用的访问权限并通过所述装置被发送, 其中,在接收到策略表时,车辆计算系统进行操作以基于包含在所述策略表中的信息对所述应用进行认证,并允许所述应用访问由所述应用请求的系统或资源。
2.如权利要求I所述的系统,其中,在从应用接收到所述请求时,所述系统能够访问本地策略表以确定所述应用先前是否已被认证。
3.如权利要求2所述的系统,其中,所述本地策略表至少包含与所述应用有关的访问等级。
4.如权利要求3所述的系统,其中,如果所述应用先前未被分配访问等级,则默认访问等级被分配给所述应用以用于发送对系统访问的所述请求的目的。
5.如权利要求2所述的系统,其中,所述本地策略表至少包含用于与所述应用有关的许可的到期触发。
6.如权利要求I所述的系统,其中,车辆计算系统还进行操作以将安装在车辆计算系统上的应用的列表以及与所述应用有关的信息一起发送到远程服务器。
7.如权利要求6所述的系统,其中,在接收到所述应用的列表时,远程服务器进行操作以确定一个或多个应用是否未被授权结合车辆计算系统使用,并将与未被授权的应用有关的信息发回到车辆计算系统。
8.如权利要求7所述的系统,其中,在接收到与未被授权的应用有关的信息时,远程系统进行操作以禁用一个或多个未被授权的应用。
9.一种认证方法,包括 从与车辆计算系统(VCS)通信的无线装置上正在运行的应用接收对访问VCS的一个或多个组件的请求; 准备对包括一个或多个与所述应用相关联的特性的远程服务器的安全访问权限请求; 通过无线装置将安全请求从VCS发送到远程服务器; 接收对已经通过无线装置从远程服务器发送的请求的响应; 验证接收的响应的可靠性; 更新包括来自接收的响应的信息的策略表,所述信息至少包括用于所述应用的到期触发和访问权限; 至少基于包括在更新的策略表中的信息来验证结合VCS使用的应用。
10.一种认证方法,包括汇编当前被许可与车辆计算系统结合使用的应用的列表;将所述列表发送到远程服务器以进行处理;接收对所述发送的处理的响应;基于所述响应确定未被授权结合车辆计算系统使用的 一个或多个应用;禁用所述未被授权使用的一个或多个应用。
全文摘要
提供了一种用于远程认证的方法和设备。一种验证方法包括从与车辆计算系统(VCS)通信的无线装置上正在运行的应用接收对访问VCS的一个或多个组件的请求。所述方法还包括准备对包括一个或多个与所述应用相关联的特性的远程服务器的安全访问权限请求,并通过无线装置将安全请求从VCS发送到远程服务器。所述方法还包括接收对已经通过无线装置从远程服务器发送的请求的响应。所述方法包括验证接收的响应的可靠性,并更新包括来自接收的响应的信息的策略表,所述信息至少包括用于所述应用的到期触发和访问权限。另外,所述方法包括至少基于包括在更新的策略表中的信息来验证结合VCS使用的应用。
文档编号H04L29/08GK102904869SQ20121025263
公开日2013年1月30日 申请日期2012年7月20日 优先权日2011年7月25日
发明者查德·伊沃特·艾斯林克, 米歇尔·瑞曼德·威斯查, 马克·斯肯德, 大卫·蔡斯·米切尔 申请人:福特全球技术公司