令牌管理方法及用于执行该方法的服务器与流程

本发明的实施例涉及一种设备到设备(d2d：device-to-device)通信技术。

背景技术

最近，随着诸如智能手机、平板电脑、传感器等移动设备的使用增加，网络过载及频谱耗尽问题变得突出。d2d通信是用于解决这些问题的一种方案。

d2d通信是指各设备相互之间直接通信而不经过诸如基站、无线接入点(ap)等基础设施的技术。d2d通信具有将发送到基站的流量分散并能够使相邻设备之间的通信快速的优点。

这种d2d通信可以使用于应用移动设备的物联网(iot：internetofthings)服务的提供过程中。作为一示例，用户利用配备近距离无线通信模块(例如，蓝牙模块、nfc模块等)的移动设备而能够远程控制诸如门锁、车辆等的iot设备。在这种情况下，两个设备通过d2d通信而收发各种数据，并且执行根据策略的指令(例如，解除门锁的锁定、开关车门/熄火等)。

然而，根据现有技术，通过d2d通信发送的数据存在泄漏的危险。尤其，对于iot服务而言，由于低功耗与低配置平台的限制，存在利用传统的安全技术难以完全摆脱数据泄漏导致的安全威胁的问题。

[现有技术文献]

[专利文献]

韩国公开专利公报第10-2015-0000280号(2015.01.02)

技术实现要素：

本发明的实施例的目的在于，提高在d2d通信过程中发送的数据的安全性并对其进行有效的管理。

根据本发明的示例性实施例，提供一种服务器，包括：令牌管理器，随着输入策略而生成具有设定的有效时段的密钥令牌(keytoken)，并依次连接通过对所述密钥令牌反复地进行哈希运算设定的最大计数(maximumcount)的次数而获得的第一哈希值；第一设备管理器，将所述依次连接的第一哈希值及与所述最大计数相关的信息发送至第一设备；第二设备管理器，为了第一设备及第二设备之间的认证，将所述密钥令牌的初始哈希值及与所述最大计数相关的信息发送至所述第二设备，其中，所述令牌管理器考虑所述有效时段、所述最大计数的值及输入的所述策略中的一个以上而更新或丢弃所述密钥令牌及所述最大计数中的一个以上。

所述第一设备可以按照所述第一哈希值的生成顺序的降序将所述依次连接的第一哈希值逐个发送至所述第二设备，在所述第一哈希值中的第n次生成的第一哈希值被发送之后，删除所述第n次生成的第一哈希值，并且将所述第一设备侧的所述最大计数从n减小至n-1，并且当在所述有效时段剩余超过设定的时段的状态下，所述第一设备侧的所述最大计数的数变为设定值以下时，所述令牌管理器可以从所述第一设备接收所述密钥令牌及所述最大计数的更新请求，并根据所述更新请求更新所述密钥令牌及所述最大计数。

当在所述有效时段为设定的时段以下的状态下，所述第一设备侧的所述最大计数的值为设定值以下时，所述令牌管理器可以从所述第一设备接收所述密钥令牌的丢弃请求，并根据所述丢弃请求丢弃所述密钥令牌。

在所述有效时段期满的情况下，所述令牌管理器可以丢弃所述密钥令牌。

所述服务器还可以包括接收所述策略的策略管理器，在输入至所述策略管理器的所述策略被改变的情况下，所述令牌管理器可以更新所述密钥令牌及所述最大计数中的一个以上。

所述第一设备管理器可以从所述第一设备接收与所述第一设备侧的所述最大计数相关的信息，所述第二设备管理器可以从所述第二设备接收与所述第二设备侧的所述最大计数相关的信息，所述令牌管理器可以对所述第一设备侧的所述最大计数与所述第二设备侧的所述最大计数进行比较。

根据本发明的另一示例性实施例，提供一种令牌管理方法，所述令牌管理方法包括如下步骤：令牌管理器随着输入策略而生成具有设定的有效时段的密钥令牌(keytoken)；所述令牌管理器依次连接通过对所述密钥令牌反复地进行哈希运算设定的最大计数(maximumcount)的次数而获得的第一哈希值；第一设备管理器将所述依次连接的第一哈希值及与所述最大计数相关的信息发送至第一设备；为了第一设备及第二设备之间的认证，第二设备管理器将所述密钥令牌的初始哈希值及与所述最大计数相关的信息发送至所述第二设备；所述令牌管理器考虑所述有效时段、所述最大计数的数及输入的所述策略中的一个以上而更新或丢弃所述密钥令牌及所述最大计数中的一个以上。

所述第一设备可以按照所述第一哈希值的生成顺序的降序将所述依次连接的第一哈希值逐个发送至所述第二设备，在所述第一哈希值中的第n次生成的第一哈希值被发送之后，删除所述第n次生成的第一哈希值，并且将所述第一设备侧的所述最大计数从n减小至n-1，并且在更新或丢弃所述密钥令牌及所述最大计数中的一个以上的步骤中，当在所述有效时段剩余超过设定的时段的状态下，所述第一设备侧的所述最大计数的值变为设定值以下时，可以从所述第一设备接收所述密钥令牌及所述最大计数的更新请求，并根据所述更新请求更新所述密钥令牌及所述最大计数。

在更新或丢弃所述密钥令牌及所述最大计数中的一个以上的步骤中，当在所述有效时段为设定的时段以下的状态下，所述第一设备侧的所述最大计数的值为设定值以下时，可以从所述第一设备接收所述密钥令牌的丢弃请求，并根据所述丢弃请求丢弃所述密钥令牌。

在更新或丢弃所述密钥令牌及所述最大计数中的一个以上的步骤中，在所述有效时段期满的情况下，可以丢弃所述密钥令牌。

所述密钥管理方法在生成密钥令牌(keytoken)的步骤之前还可以包括策略管理器接收所述策略的步骤，并且在更新或丢弃所述密钥令牌及所述最大计数中的一个以上的步骤中，在输入至所述策略管理器的所述策略被改变的情况下，可以更新所述密钥令牌及所述最大计数中的一个以上。

所述密钥管理方法在将所述密钥令牌的初始哈希值及与所述最大计数相关的信息发送至所述第二设备的步骤之后，还可以包括如下步骤：所述第一设备管理器从所述第一设备接收与所述第一设备侧的所述最大计数相关的信息；所述第二设备管理器从所述第二设备接收与所述第二设备侧的所述最大计数相关的信息；所述令牌管理器对所述第一设备侧的所述最大计数与所述第二设备侧的所述最大计数进行比较。

根据本发明的实施例，在没有服务器介入的情况下难以在第一设备和第二设备之间实现同步(sync)的环境中，使用用于两个设备之间的d2d通信的一次性密钥hⁿ(t)，从而无需单独的安全通道(例如，安全套接层(ssl：securesocketslayer)、传输层安全性(tls：transportlayersecurity)等)也能够容易地认证另一方设备。在这种情况下，两个设备每次使用所述一次性密钥时，删除使用过的一次性密钥并将相应设备侧的最大计数(n)减一，从而能够容易实现两个设备之间的同步，并且即使使用过的一次性密钥泄漏，由于其不能再使用，因此能够提高d2d通信的安全性。

并且，根据本发明的实施例，考虑密钥令牌的有效时段、设备侧的最大计数的值及输入到服务器的策略中的一个以上，而能够有效地管理诸如密钥令牌的生成、更新或丢弃等生命周期(lifecycle)。

附图说明

图1是示出根据本发明的一实施例的通信系统的详细构成的框图。

图2是示出根据本发明的一实施例的服务器的详细构成的框图。

图3是示出根据本发明的一实施例的第一设备的详细构成的框图。

图4是示出根据本发明的一实施例的第二设备的详细构成的框图。

图5是示出根据本发明的一实施例的中继装置的详细构成的框图。

图6是示出说明根据本发明的一实施例的生成密钥令牌及分配哈希码的过程的流程图。

图7是是用于说明根据本发明的第一实施例的设备之间认证过程的流程图。

图8是是用于说明根据本发明的第二实施例的设备之间认证过程的流程图。

图9是用于说明根据本发明的第一实施例的密钥令牌的更新过程的流程图。

图10是用于说明根据本发明的第二实施例的密钥令牌的更新过程的流程图。

图11是用于说明根据图10的密钥令牌的更新而丢弃先前的哈希码的过程的流程图。

图12是用于说明根据本发明的第一实施例的丢弃密钥令牌的过程的流程图。

图13是用于说明根据本发明的第二实施例的丢弃密钥令牌的过程的流程图。

图14是用于举例说明适合在示意性的实施例中使用的包括计算装置的计算环境的框图。

符号说明

10：计算环境12：计算装置

14：处理器16：计算机可读存储介质

18：通信总线20：程序

22：输入输出接口24：输入输出装置

26：网络通信接口100：通信系统

102：服务器104：第一设备

106：第二设备108：中继装置

202：策略管理器204：令牌管理器

206：第一设备管理器208：第二设备管理器

210：接口212、306、408：命令管理器

214：权限设定管理器216：认证管理器

218、510：数据库302、402、502：第一接口

304：连接管理器308、406：智能密钥管理器

310、404、504：第二接口312：存储器

506：会话管理器508：数据转换模块

具体实施方式

以下，参照附图对本发明的具体实施形态进行说明。以下的详细说明是为了有助于全面理解本说明书中记载的方法、装置和/或系统而提供的。然而这些仅为示例，本发明并不限于此。

在对本发明的实施例进行说明的过程中，如果判断为对有关本发明的公知技术的具体说明有可能对本发明的主旨造成不必要的混乱，则省略其详细说明。另外，后述的术语均为考虑到本发明中的功能而定义的术语，其可能根据使用者、运用者的意图或惯例等而不同。因此，需要以贯穿本说明书整体的内容为基础而对其定义。在详细说明中使用的术语只用于记载本发明的实施例，而绝不限制本发明。除非明确不同地使用，否则单数形态的表述包括复数形态的含义。在本说明书中，如“包括”或“具有”等术语用于指代某种特性、数字、步骤、操作、要素及他们的一部分或组合，不可被解释为排除所记载项之外的一个或一个以上的其他特性、数字、步骤、操作、要素及其一部分或组合的存在或可存在性。

图1是示出根据本发明的一实施例的通信系统100的详细构成的框图。如图1所示，根据本发明的一实施例的通信系统100作为用于支持第一设备104与第二设备106之间的d2d通信系统，包括服务器102、第一设备104、第二设备106及中继装置108。

服务器102是生成用于第一设备104与第二设备106之间的d2d通信的密钥令牌(keytoken)，并对其进行管理的装置。在本实施例中，密钥令牌可以是第一设备104、第二设备106中的任意一个设备对另一个设备进行认证并执行根据设定的策略的命令(例如，解锁门锁、开关车门/熄火等)时使用的一种智能密钥(smartkey)。所述密钥令牌可以基于第一设备104的信息、第二设备106的信息、输入的策略的id、用户id等生成。

服务器102可以从遗留系统(legacysystem，未图示)等接收策略，并根据输入的策略生成密钥令牌。在此，遗留系统作为与服务器102联动而向用户提供各种服务的系统，可以向服务器102提供在预设的多个策略中的与用户的请求对应的一个以上策略。作为一示例，服务器102可以从家庭网络系统(未图示)接收用户靠近门锁时自动解除门锁的锁定的内容的策略。作为另一示例，服务器102可以在用户预约使用车辆的情况下从车辆共享系统(未图示)接收在由用户输入的预约时段内根据用户的输入能够远程控制车辆的车门开关/启动、熄火等的内容的策略。此时，所述密钥令牌可以具有设定的有效时段(例如，五天)，且所述有效时段可以根据输入的策略(例如，上述的预约时段)而不同。如下文所述，第二设备106可以从服务器102接收与所述有效时段相关的信息，并且能够仅在所述有效时段内认证第一设备104以及执行命令。

并且，服务器102可以将接收服务的用户、所述用户所持设备的信息(例如，设备的类型，识别信息等)、作为控制对象的设备的信息(例如，设备的类型，识别信息、可控制的命令信息等)、可输入的策略的信息、与生成的密钥令牌及有效时段相关的信息(例如，与开始时间及结束时间相关的信息)、后述的哈希码等存储在数据库中并进行管理。

并且，服务器102利用生成的一个密钥令牌生成哈希码(hashcode)，并分别向第一设备104及第二设备106发送生成的哈希码。具体而言，服务器102可以通过对密钥令牌(或密钥令牌的初始哈希值)反复地进行哈希运算设定的最大计数(maximumcount)次而生成多个第一哈希值。并且，服务器102可以将生成的第一哈希值按照应用哈希函数的次数顺序(或者生成第一哈希值的顺序)依次连接而生成第一哈希值的链(chain)。此时，最大计数作为依次连接的第一哈希值的数量，可以根据输入的策略、密钥令牌的有效时段等而不同。作为一示例，在用户预约五天期间使用车辆的情况下，密钥令牌的有效时段可以为五天，且最大计数是100。作为另一示例，在用户预约三天期间使用车辆的情况下，密钥令牌的有效时段可以为三天，且最大计数是50。通过如上所述的方法依次连接的第一哈希值的示例如下所示。

h¹(t)–h²(t)–h³(t)…h⁹⁹(t)–h¹⁰⁰(t)(假设最大计数＝100)

在此，h¹(t)是对密钥令牌(或密钥令牌的初始哈希值)应用一次哈希函数而获得的哈希值，h²(t)是对密钥令牌(或密钥令牌的初始哈希值)应用两次哈希函数而获得的哈希值(即，h¹(t)的哈希值)……h¹⁰⁰(t)是对密钥令牌(或密钥令牌的初始哈希值)应用100次的哈希函数而获得的哈希值(即，h⁹⁹(t)的哈希值)。并且，t表示密钥令牌。即，hⁿ(t)是将密钥令牌t或者密钥令牌t的初始哈希值作为输入值而应用n次的哈希函数而获得的值。所述hⁿ(t)可以在没有服务器102介入的情况下在第一设备104和第二设备106之间难以实现同步(sync)的环境中作为用于两个设备之间的d2d通信的一次性密钥。

服务器102可以将所述依次连接的第一哈希值发送至第一设备104。此时，服务器102可以将输入的策略、与最大计数相关的信息、与密钥令牌的有效时段相关的信息等与所述第一哈希值一同发送至第一设备104。

并且，服务器102可以将密钥令牌的初始哈希值、与最大计数相关的信息、输入的策略、与密钥令牌的有效时段相关的信息等发送至第二设备106。此时，服务器102可以通过中继装置108向第二设备106发送所述信息。由于服务器102与第二设备106之间的通信信道相比于服务器102和第一设备104之间的通信信道，其安全性可能低，因此，服务器102向第二设备106仅发送针对密钥令牌的初始哈希值和设定的最大计数，而不发送针对密钥令牌的哈希值，例如h¹(t)–h²(t)–h³(t)…h⁹⁹(t)–h¹⁰⁰(t)全部不会发送至第二设备106。如后文所述，第二设备106可以从第一设备104接收第一哈希值中的一个，并利用从第一设备104接收的第一哈希值、从服务器102接收的初始哈希值及与最大计数相关的信息而对第一设备104进行认证。

并且，服务器102可以利用第一设备104及第二设备106侧最大计数来同步存储于第一设备104及第二设备106的哈希值的链。

并且，服务器102可以考虑密钥令牌的有效时段、第一设备104侧最大计数的值(或存储于第一设备104的第一哈希值的数量)及输入到服务器102的策略中的一个以上而更新密钥令牌及最大计数中的一个以上。

并且，服务器102可以根据密钥令牌或策略的有效时段是否期满而丢弃生成的密钥令牌。参照图6至图12，后文对所述密钥令牌的生成以及存储于第一设备104及第二设备106的链的同步、密钥令牌的更新及丢弃进行更详细的说明。另外，为了便于说明，将存储于第一设备104的最大计数称为第一最大计数，将存储于第二设备106中的最大计数称为第二最大计数。所述第一最大计数及第二最大计数最初在服务器102生成之后分配给第一设备104及第二设备106，然而并非一定限定于此。如后文所述，第一设备104可以向第二设备106发送与第一最大计数对应的第一哈希值，并且每当发送所述第一哈希值时，将第一最大计数减一。并且，当进行了n次哈希运算的第二哈希值与从第一设备104接收的第一哈希值相同时，第二设备106可以将第二最大计数减小至所述n。

第一设备104作为与第二设备106进行d2d通信而控制第二设备106的操作的装置，例如可以是诸如智能电话、平板电脑、智能手表等可穿戴设备等。在本实施例中，第一设备104可以是用户可携带的移动设备。并且，第一设备104可以配备与安全相关的应用，且可以通过所述应用执行后文所说明的各种功能。

如上所述，第一设备104可以从服务器102接收所述依次连接的第一哈希值(例如，h¹(t)–h²(t)–h³(t)…h⁹⁹(t)–h¹⁰⁰(t))、输入到服务器102的策略、第一最大计数及与密钥令牌的有效时段相关的信息。并且，第一设备104可以将接收的所述第一哈希值、策略、第一最大计数及与密钥令牌的有效时段相关的信息加密而存储于内部安全区域(即，存储器(storage))。

之后，第一设备104为了与第二设备106的d2d通信可以将依次连接的第一哈希值中的与第一最大计数对应的第一哈希值发送至第二设备106，并且每当发送第一最大计数时，将第一最大计数减一。作为一示例，第一设备104可以将依次连接的第一哈希值中的最后连接的第一哈希值最先发送至第二设备106，接着将紧接在所述最后连接的第一哈希值之前的第一哈希值发送至第二设备106。在上述示例中，第一设备104可以向第二设备106逐个发送h¹⁰⁰(t)、h¹⁹⁹(t)、h⁹⁸(t)…，且每当向第二设备106发送h¹⁰⁰(t)、h¹⁹⁹(t)、h⁹⁸(t)…时，可以将第一最大计数分别减为100→99、99→98、98→97……。如上所述，第一设备104每当试图进行与第二设备106的通信时，逐个耗尽连接于链的最末端的第一哈希值，因此，第一设备104侧最大计数每次减一。

如果，密钥令牌的有效时段剩余超过设定的时段的状态下第一设备104侧最大计数的值(或连接于链的第一哈希值的数量)变为设定值(例如，1)以下的情况下，第一设备104可以向服务器102请求更新所述密钥令牌及第一最大计数。作为一示例，假设密钥令牌的有效时段为五月一日～五月十日时，当在从当前日期(例如，五月三日)到所述有效时段的期满日的剩余期限超过五天的状态下，第一设备104侧最大计数的值为1时，第一设备104可以向服务器102请求更新所述密钥令牌及第一最大计数。这种情况下，服务器102可以根据第一设备104的请求更新密钥令牌及第一最大计数，并且从更新的密钥令牌及更新的第一最大计数生成新的第一哈希值，将所述新的第一哈希值的依次连接关系以及与更新的第一最大计数相关的信息发送至第一设备104。

并且，当在密钥令牌的剩余有效时段为设定的期间以下的状态下，第一设备104侧最大计数的值为设定值(例如，1)以下(或者连接于链的第一哈希值全部耗尽的情况下)或者密钥令牌的剩余有效时段期满时，第一设备104可以向服务器102请求丢弃所述密钥令牌。作为一示例，假设密钥令牌的有效时段为五月一日～五月十日时，当在从当前日期(例如，五月九日)到所述有效时段的期满日的剩余期限为两天以下的状态下，第一设备104侧最大计数的值为1时，第一设备104可以向服务器102请求丢弃所述密钥令牌。这种情况下，服务器102可以分别请求丢弃第一设备104和第二设备106中剩余的哈希码(即，哈希值的链)，并且当第一设备104和第二设备106中的哈希码的丢弃完成时可以丢弃存储于服务器102的密钥令牌。

第二设备106是作为被控对象的设备，例如可以是诸如门锁、车辆、传感器等的iot设备或内置于所述iot设备的安全模块。

如上所述，第二设备106可以从服务器102接收密钥令牌的初始哈希值、与第二最大计数相关的信息、输入到服务器102的策略、与密钥令牌的有效时段相关的信息等。此时，第二设备106可以通过中继装置108从服务器102接收所述信息。并且，第二设备106可以将接收的密钥令牌的初始哈希值、与第二最大计数相关信息、输入到服务器102的策略、与密钥令牌的有效时段相关的信息等存储于内部安全区域(即，存储器)。

并且，第二设备106可以从第一设备104接收所述第一哈希值中的一个。如上所述，第一设备104可以将第一哈希值中的与当前第一最大计数对应的第一哈希值发送至第二设备106。第二设备106可以从第一设备104接收所述第一哈希值中的一个，从而利用从第一设备104接收的第一哈希值、从服务器102接收的初始哈希值及与第二最大计数相关的信息对第一设备104进行认证。

具体而言，第二设备106分别将通过对所述初始哈希值反复地进行哈希运算第二最大计数的次数以下而生成的第二哈希值与所述第一哈希值进行比较，直到出现与从第一设备104接收的第一哈希值相同的值，从而对第一设备104进行认证。此时，第二设备106利用与在服务器102使用的哈希函数相同的哈希函数而生成第二哈希值。作为一示例，第二设备106可以比较对初始哈希值应用一次哈希函数而获得的值与所述第一哈希值，在比较结果为不同的情况下，比较对初始哈希值应用两次哈希函数而获得的值与所述第一哈希值。如此，第二设备106可以对所述初始哈希值反复地进行哈希运算第二最大计数以下的次数，并将如上所述地生成的第二哈希值与所述第一哈希值分别进行比较，直到出现与第一哈希值相同的值。

如果，出现与所述第一哈希值相同的第二哈希值，则第二设备106可以判断对第一设备104的认证结束。

并且，第二设备106可以基于与所述第一哈希值相同的第二哈希值减小所述第二最大计数。具体而言，第二设备106在n次进行了哈希运算的第二哈希值与所述第一哈希值相同的情况下，可以将第二最大计数减小至所述n。例如，在应用50次哈希函数的第二哈希值与所述第一哈希值相同的情况下，第二设备106可以将第二最大计数减小至50。根据本发明的实施例，即使第一设备104与第二设备106当前具有互不相同的最大计数也能够对第一设备104进行认证。

中继装置108在服务器102和第二设备106之间中继数据。中继装置108可以从服务器102接收数据，并将其转换为第二设备106可接收的形态，进而发送至第二设备106。并且，中继装置108可以从第二设备106接收数据，并将其转换为服务器102可接收的形态，进而发送至服务器102。另外，在此虽然对中继装置108在服务器102和第二设备106之间中继数据的情形进行了说明，然而这仅为示例，服务器102与第二设备106也可以在没有专门的中继装置108的情况下在相互之间直接收发数据。

图2是示出根据本发明的一实施例的服务器102的详细构成的框图。如图2所示，根据本发明的一实施例的服务器102包括策略管理器202、令牌管理器204、第一设备管理器206、第二设备管理器208、接口210、命令管理器212、权限设定管理器214及认证管理器216，根据实施例可以与数据库218连接。

策略管理器202从遗留系统(未图示)接收策略。并且，策略管理器202可以管理各策略的识别码，并且在每次输入策略时通过确认输入的策略的识别码而能够识别相应的策略。并且，策略管理器202可以在策略的输入、改变及期满时向令牌管理器204分别请求生成、更新及丢弃密钥令牌。具体而言，策略管理器202在新输入策略或输入的策略改变时，可以向令牌管理器204请求生成或更新密钥令牌，在输入的策略的有效时段期满时，向令牌管理器204请求丢弃密钥令牌。

令牌管理器204管理密钥令牌的生成、更新及丢弃。令牌管理器204可以随着通过策略管理器202输入策略，而生成密钥令牌。并且，令牌管理器204可以考虑密钥令牌的有效时段、第一设备104侧最大计数的数及输入到服务器102的策略中的一个以上而更新或丢弃密钥令牌及最大计数中的一个以上。即，令牌管理器204可以管理从属于输入的策略的密钥令牌的生命周期(lifecycle)。

并且，令牌管理器204可以基于生成的密钥令牌生成哈希码。具体而言，令牌管理器204可以通过对密钥令牌反复地进行哈希运算设定的最大计数的次数而生成多个第一哈希值，并且将生成的第一哈希值按照应用哈希函数的次数顺序依次连接而生成所述第一哈希值的链。此时，最大计数作为依次连接的第一哈希值的数量，可以根据输入的策略、密钥令牌的有效时段等而不同。并且，令牌管理器204可以在密钥令牌更新时更新所述哈希码，在丢弃密钥令牌时能够丢弃所述哈希码。

并且，令牌管理器204可以利用第一设备104及第二设备106侧最大计数来同步存储于第一设备104及第二设备106的哈希值的链。

第一设备管理器206与第一设备104收发数据。第一设备管理器206可以将依次连接的第一哈希值(即，第一哈希值的链)、输入的策略、与最大计数相关的信息、与密钥令牌的有效时段相关的信息等发送至第一设备104。并且，第一设备管理器206可以向第一设备104请求同步哈希码，并且从第一设备104接收存储于第一设备104的与最大计数相关的信息。并且，第一设备管理器206可以根据令牌管理器204的请求向第一设备104请求丢弃哈希码。

第二设备管理器208与第二设备106收发数据。第二设备管理器208可以将密钥令牌的初始哈希值、与最大计数相关的信息、输入的策略、与密钥令牌的有效时段相关的信息等发送至第二设备106。并且，第二设备管理器208可以向第二设备106请求同步哈希码，并且从第二设备106接收存储于第二设备106中的与最大计数相关的信息。并且，第二设备管理器208可以根据令牌管理器204的请求向第二设备106请求丢弃哈希码。

接口210是用于与遗留系统、第一设备104及第二设备106收发数据的模块。策略管理器202可以通过接口210从遗留系统接收策略。并且，第一设备管理器206可以通过接口210与第一设备104收发各种数据。并且，第二设备管理器208可以通过接口210与第二设备106收发各种数据。此时，第二设备管理器208可以经由中继装置108与第二设备106收发各种数据，在这种情况下，接口210可以用于中继服务器102与中继装置108之间的数据。

命令管理器212管理用于控制第二设备106的各种命令。命令管理器212可以具有对应于各策略的一个以上的命令，并且在需要修改各策略的命令的情况下对其进行更新。所述各策略的命令可以映射到相应的策略，并且第一设备104和第二设备106可以参考从服务器102接收的与策略相关的信息来识别对应的一个以上的命令。所述命令例如可以是预约的车辆的车门锁定/车门锁定的解除、启动开/关、行驶信息查询、位置信息查询等。

权限设定管理器214管理接收服务的用户、第一设备104的信息及第二设备106的信息。权限设定管理器214可以注册第一设备104及第二设备106的信息。在此，第一设备104的信息例如可以是第一设备104的类型、识别信息、持有第一设备104的用户的id/密码等。并且，第二设备106的信息例如可以是第二设备106的类型、识别信息、第二设备106的可控制的操作信息(例如，车门开关/启动开、关等)、其他信息(例如，第二设备106是车辆的情况下，车辆的行驶信息、位置信息等)等。

认证管理器216与权限设定管理器214联动而对第一设备104及第二设备106进行认证。认证管理器216在第一设备104及第二设备106请求登录时可以利用上述第一设备104及第二设备106的信息而分别对第一设备104及第二设备106进行认证。

数据库218是存储第一设备104与第二设备106之间的d2d通信所需的各种信息的存储部件。在数据库218例如可以存储有一个以上的策略、各策略的命令、密钥令牌、密钥令牌的哈希码、第一设备104及第二设备106的信息等。图2为了便于说明，示出了数据库218与服务器102连接的情形，然而这仅为示例，数据库218也可以作为服务器102的一个构成而存在于服务器102的内部。

图3是示出根据本发明的一实施例的第一设备104的详细构成的框图。如图3所示，根据本发明的一实施例的第一设备104包括第一接口302、连接管理器304、命令管理器306、智能密钥管理器308、第二接口310及存储器312。

第一接口302是用于与服务器102收发数据的模块。第一设备104可以通过第一接口302与服务器102收发各种数据。

连接管理器304根据用户的请求向服务器102请求登录。并且，连接管理器304可以向服务器102提供第一设备104的信息，并且服务器102可以利用从连接管理器304接收的第一设备104的信息对第一设备104进行认证。

命令管理器306管理用于控制第二设备106的各种命令。命令管理器306可以具有对应于各策略的一个以上的命令，并且可以将与对应于从服务器102接收的策略的命令相关的信息及所述策略一同发送至第二设备106。

智能密钥管理器308从服务器102接收依次连接的第一哈希值(即，第一哈希值的链)、输入的策略、与第一最大计数相关的信息、与密钥令牌的有效时段相关的信息等。并且，智能密钥管理器308可以将依次连接的第一哈希值逐个发送至第二设备106，且在发送所述第一哈希值以后，从所述第一哈希值的链中删除发送的所述第一哈希值而逐个销毁所述第一哈希值。即，在智能密钥管理器308将应用n次哈希函数的第一哈希值(即，hⁿ(t))发送至第二设备106的情况下，智能密钥管理器308可以从所述链中删除所述hⁿ(t)而销毁hⁿ(t)，并将存储的第一最大计数从n减小为n-1。

并且，在密钥令牌的剩余有效时段大于设定的时段的状态下，在连接于链的第一哈希值的数量(或第一设备104侧最大计数的数)为预定值(例如，1)以下的情况下，智能密钥管理器308可以向服务器102请求更新所述密钥令牌及第一最大计数。

第二接口310是用于与第二设备106收发数据的模块。第一设备104可以通过第二接口310向第二设备106发送各种数据。第二接口310例如可以是诸如无线局域网(wifi)模块、低功耗蓝牙(ble：bluetoothlowenergy)模块、近场通信(nfc：nearfieldcommunication)模块、zigbee模块等无线通信模块。

存储器312是存储第一设备104与第二设备106之间的d2d通信所需的各种信息的存储单元。智能密钥管理器308例如可以将从服务器102接收的所述第一哈希值、策略及与第一最大计数相关的信息加密而存储于存储器312。

图4是示出根据本发明的一实施例的第二设备106的详细构成的框图。如图4所示，根据本发明的一实施例的第二设备106包括第一接口402、第二接口404、智能密钥管理器406及命令管理器408。

第一接口402是用于与服务器102收发数据的模块。第二设备106可以通过第一接口402与服务器102收发各种数据。此时，第二设备106可以经由中继装置108与服务器102收发各种数据，在这种情况下，第一接口402可以用于中继第二设备106与中继装置108之间的数据。

第二接口404是用于与第一设备104收发数据的模块。第二设备106可以通过第二接口404从第一设备104接收各种数据。第二接口404例如可以是诸如wifi模块、ble模块、nfc模块、zigbee模块等的无线通信模块。

智能密钥管理器406从服务器102接收密钥令牌的初始哈希值、与第二最大计数相关的信息、输入的策略、与密钥令牌的有效时段相关的信息等。并且，智能密钥管理器406从第一设备104接收第一哈希值中的一个，并利用从第一设备104接收的第一哈希值、从服务器102接收的初始哈希值及与第二最大计数相关的信息而对第一设备104进行认证。

具体而言，智能密钥管理器406将对所述初始哈希值反复地进行哈希运算第二最大计数以下的次数而生成的第二哈希值与所述第一哈希值进行比较，直到出现与从第一设备104接收的第一哈希值相同的值，从而对第一设备104进行认证。

并且，智能密钥管理器406可以基于与所述第一哈希值相同的第二哈希值而减小所述第二最大计数。作为一示例，在进行了n次哈希运算的第二哈希值与所述第一哈希值相同的情况下，智能密钥管理器406将所述第二最大计数减小至n。

命令管理器408在智能密钥管理器406成功对第一设备104进行认证时，执行与从第一设备104接收的策略对应的命令。作为一示例，在从第一设备104接收的第一哈希值与在第二设备106生成的第二哈希值相同的情况下，命令管理器408可以解除车辆的车门的锁定。

图5是图示根据本发明的一实施例的中继装置108的详细构成的框图。如图5所示，根据本发明的一实施例的中继装置108包括第一接口502、第二接口504、会话管理器506及数据转换模块508，且根据实施例可以与数据库510连接。

第一接口502是用于与服务器102收发数据的模块。中继装置108可以通过第一接口502与服务器102收发各种数据。

第二接口504是用于与第二设备106收发数据的模块。中继装置108可以通过第二接口504与第二设备106收发各种数据。并且，中继装置108例如可以支持消息队列遥测传输(mqtt：messagequeuingtelemetrytransport)协议，并且可以通过mqtt协议与第二设备106收发各种数据。

会话管理器506管理第二设备106的会话信息。

数据转换模块508将从服务器102接收的数据转换为第二设备106可接收的形态，或者将从第二设备106接收的数据转换为服务器102可接收的形态。

数据库510是存储服务器102与第二设备106之间的通信所需的各种信息的存储部件。在数据库510例如可以存储有第二设备106的信息、会话信息(例如，会话id等)等。

图6是用于说明根据本发明的一实施例的生成密钥令牌及分配哈希码的过程的流程图。在图6至图12所示的流程图中虽然将所述方法分为多个步骤进行描述，然而至少一部分步骤可以改变顺序执行，或与其他步骤结合而一同执行，或者省略，或者分为子步骤执行，或者附加未图示的一个以上步骤执行。

在步骤s102中，策略管理器202根据策略输入而向令牌管理器204请求生成密钥令牌t。

在步骤s104中，令牌管理器204生成密钥令牌t。

在步骤s106中，令牌管理器204将通过对所述密钥令牌t(或密钥令牌t的初始哈希值)反复地进行哈希运算设定的最大计数的次数而获得的第一哈希值按照应用哈希函数的次数顺序而依次连接。在此，为了便于说明，假设最大计数为100。

在步骤s108中，令牌管理器204向第二设备管理器208请求同步哈希码。

在步骤s110中，第二设备管理器208检索第二设备106，向第二设备106发送密钥令牌的初始哈希值、与最大计数相关的信息、输入的策略、与密钥令牌的有效时段相关的信息等并请求同步哈希码。

在步骤s112中，第二设备106存储密钥令牌的初始哈希值、与最大计数相关的信息、输入的策略、与密钥令牌的有效时段相关的信息等。在此，将存储于第二设备106的最大计数称为第二最大计数。

在步骤s114中，第二设备106向第二设备管理器208发送存储于第二设备106的与第二最大计数相关的信息(例如，最大计数(maxcount)＝100)

在步骤s116中，第二设备管理器208向令牌管理器204发送从第二设备106接收的与第二最大计数相关的信息(例如，maxcount＝100)。

在步骤s118中，令牌管理器204向第一设备管理器206请求同步哈希码。

在步骤s120中，第一设备管理器206检索第一设备104，并向第一设备104发送依次连接的第一哈希值(即，第一哈希值的链)、输入的策略、与最大计数相关的信息、与密钥令牌的有效时段相关的信息等并请求同步哈希码。

在步骤s122中，第一设备104加密并存储依次连接的第一哈希值(即，第一哈希值的链)、输入的策略、与最大计数相关的信息、与密钥令牌的有效时段相关的信息等。在此，将存储于第一设备104的最大计数称为第一最大计数。

在步骤s124中，第一设备104向第一设备管理器206发送存储于第一设备104的与第一最大计数相关的信息(例如，maxcount＝100)

在步骤s126中，第一设备管理器206向令牌管理器204发送从第一设备104接收的与第一最大计数相关的信息(例如，maxcount＝100)。

在步骤s128中，令牌管理器204比较从第一设备104接收的第一最大计数(例如，maxcount＝100)与从第二设备106接收的第二最大计数(例如，maxcount＝100)。如果，从第一设备104接收的第一最大计数(例如，maxcount＝100)与从第二设备106接收的第二最大计数(例如，maxcount＝100)相同，则令牌管理器204判断同步哈希码成功。相反，若从第一设备104接收的第一最大计数与从第二设备106接收的第二最大计数不同，则令牌管理器204判断同步哈希码失败，并可以向第一设备管理器206及第二设备管理器208再次请求同步哈希码。

在步骤s130中，令牌管理器204向策略管理器202发送同步哈希码的结果。

另外，在此，虽然对服务器102在分别向第一设备104及第二设备106分配哈希码的过程中同步存储于第一设备104及第二设备106的哈希码的情形进行了说明，然而这仅为示例。服务器102在分别向第一设备104及第二设备106分配哈希码以后可以在任何时间执行上述同步操作。例如，服务器102可以在后述的图7的设备之间认证过程中向第一设备104及第二设备106发送请求同步消息而执行存储于第一设备104及第二设备106的哈希码的同步操作。

图7是用于说明根据本发明的第一实施例的第一设备104及第二设备106之间的认证过程的流程图。

在步骤s202中，第一设备104发送第一哈希值中的对应于第一最大计数的第一哈希值。在此，例如假设第一最大计数为100。第一设备104例如可以将第一哈希值中的对应于第一最大计数的第一哈希值h¹⁰⁰(t)与输入的策略、当前时间、第一设备104的id等一同发送至第二设备106。此时，假设所述h¹⁰⁰(t)由于网络上的问题而未能顺利地传递至第二设备106。

在步骤s204中，第一设备104从所述第一哈希值的链中删除发送的第一哈希值(即h¹⁰⁰(t))，并将存储于第一设备104的第一最大计数从100减小至99。即，在第一设备104将应用n次哈希函数的第一哈希值(即，hⁿ(t))发送至第二设备106的情况下，第一设备104将所述hⁿ(t)从所述链中删除而耗尽，并将存储的第一最大计数从n减小至n-1。

在步骤s206中，第一设备104发送第一哈希值中的对应于第一最大计数的第一哈希值。在此，由于第一最大计数为99，因此，第一设备104可以将作为对应于第一最大计数的第一哈希值的h⁹⁹(t)与输入的策略、当前时间、第一设备104的id等一同发送至第二设备106。此时，假设所述h⁹⁹(t)正常传递至第二设备106。

在步骤s208中，第一设备104从所述第一哈希值的链中删除发送的第一哈希值(即h⁹⁹(t))，并将存储于第一设备104的第一最大计数从99减小至98。

在步骤s210中，第二设备106将对所述初始哈希值反复地进行哈希运算第二最大计数以下的次数而生成的第二哈希值与所述第一哈希值进行比较，直到出现与第一哈希值相同的值。作为一示例，第二设备106分别比较第一哈希值h⁹⁹(t)与第二哈希值h¹(t)、第一哈希值h⁹⁹(t)与第二哈希值h²(t)、第一哈希值h⁹⁹(t)与第二哈希值h³(t)……。此时，第二设备106可以对所述初始哈希值反复地进行哈希运算第二最大计数以下的次数，直到出现与所述第一哈希值相同的值。

在步骤s212中，若与所述第一哈希值相同的第二哈希值出现，则第二设备106判断对第一设备104的认证成功。

在步骤s214中，第二设备106在n次哈希运算的第二哈希值与所述第一哈希值相同的情况下，将第二最大计数减小至所述n。在上述示例中，由于99次哈希运算的第二哈希值h⁹⁹(t)与第一哈希值h⁹⁹(t)相同，因此第二设备106可以将第二最大计数从100减小至99。

在步骤s216中，第二设备106执行与从第一设备104接收的策略对应的命令

图8是用于说明根据本发明的第二实施例的设备之间认证过程的流程图。

在步骤s218中，第一设备104向第二设备106发送第一哈希值及对应于所述第一哈希值的哈希数m。在此，哈希数m表示应用哈希函数的次数。作为一示例，第一设备104可以向第二设备106发送第一哈希值h⁵⁰(t)及对应于第一哈希值h⁵⁰(t)的哈希数m＝50。

在步骤s220中，第一设备104从所述第一哈希值的链中删除发送的第一哈希值(即h⁵⁰(t))，并将存储于第一设备104的第一最大计数从50减小至49。

在步骤s222中，第二设备106分别将对所述初始哈希值反复地进行哈希运算哈希数m次而生成的第二哈希值与所述第一哈希值进行比较。此时，第二设备106可以首先确认哈希数m是否小于第二最大计数。作为一示例，在哈希数m＝50且第二最大计数为51的情况下，第二设备106可以确认m＝50＜第二最大计数＝51。这种情况下，第二设备106可以分别比较第一哈希值h⁵⁰(t)与第二哈希值h¹(t)、第一哈希值h⁵⁰(t)与第二哈希值h²(t)、第一哈希值h⁵⁰(t)与第二哈希值h³(t)……第一哈希值h⁵⁰(t)与第二哈希值h⁵⁰(t)。

在步骤s224中，若出现与所述第一哈希值相同的第二哈希值，则第二设备106判断对第一设备104的认证成功。

在步骤s226中，第二设备106在哈希运算n次的第二哈希值与所述第一哈希值相同的情况下，将第二最大计数减小至所述n。在上述示例中，由于哈希运算50次的第二哈希值h⁵⁰(t)与第一哈希值h⁵⁰(t)相同，因此第二设备106可以将第二最大计数从51减小至50。

在步骤s228中，第二设备106执行与从第一设备104接收的策略对应的命令

图9是用于说明根据本发明的一实施例的密钥令牌更新过程的流程图。

在步骤s302中，第一设备104确认是否需要更新在服务器102生成的密钥令牌。作为一示例，在密钥令牌的剩余有效时段为设定的时间以上的状态下，在连接于链的第一哈希值的数量(或存储于第一设备104的最大计数的数)在设定值(例如，1)以下的情况下，第一设备104可以判断为需要更新密钥令牌。

在步骤s304中，第一设备104向令牌管理器204请求更新密钥令牌及最大计数。

在步骤s306中，令牌管理器204生成新的密钥令牌t'。

在步骤s308中，令牌管理器204将对所述密钥令牌t'反复地进行哈希运算设定的最大计数(例如，maxcount'＝50)的次数而获得的第一哈希值按照应用哈希函数的次数顺序依次连接。在此，为了便于说明，假设最大计数为50。

在步骤s310中，令牌管理器204向第二设备管理器208请求同步哈希码。

在步骤s312中，令牌管理器204检索第二设备106，并向第二设备106发送更新的密钥令牌t'的初始哈希值、与更新的最大计数相关的信息、输入的策略、与更新的密钥令牌t'的有效时段相关的信息等并请求同步哈希码。

在步骤s314中，第二设备106存储更新的密钥令牌t'的初始哈希值、与更新的最大计数相关的信息、输入的策略、与更新的密钥令牌t'的有效时段相关的信息等。在此，将存储于第二设备106中的更新的最大计数称为第二最大计数。

在步骤s316中，第二设备106向第二设备管理器208发送存储于第二设备106中的与第二最大计数相关的信息(例如，maxcount'＝50)

在步骤s318中，第二设备管理器208向令牌管理器204发送从第二设备106接收的与第二最大计数相关的信息(例如，maxcount'＝50)。

在步骤s320中，令牌管理器204向第一设备管理器206请求同步哈希码。

在步骤s322中，第一设备管理器206检索第一设备104，并向第一设备104发送依次连接的第一哈希值(即，第一哈希值的链)、输入的策略、与更新的最大计数相关的信息、与更新的密钥令牌t'的有效时段相关的信息等并请求同步哈希码。

在步骤s324中，第一设备104加密并存储依次连接的第一哈希值(即，第一哈希值的链)、输入的策略、与更新的最大计数相关的信息、与更新的密钥令牌t'的有效时段相关的信息等。在此，将存储于第一设备104中的最大计数称为更新的第一最大计数。

在步骤s326中，第一设备104向第一设备管理器206发送存储于第一设备104的与第一最大计数相关的信息(例如，maxcount'＝50)。

在步骤s328中，第一设备管理器206向令牌管理器204发送从第一设备104接收的与第一最大计数相关的信息(例如，maxcount'＝50)。

在步骤s330中，令牌管理器204比较从第一设备104接收的与第一最大计数相关的信息(例如，maxcount'＝50)与从第二设备106接收的与第二最大计数相关的信息(例如，maxcount'＝50)。如果，从第一设备104接收的与第一最大计数相关的信息(例如，maxcount'＝50)与从第二设备106接收的与第二最大计数相关的信息(例如，maxcount'＝50)相同，则令牌管理器204判断同步哈希码成功。

在步骤s332中，令牌管理器204向策略管理器202发送同步哈希码的结果。

另外，在此，虽然对步骤s302及步骤s304在第一设备104执行的情形进行了说明，然而并不限于此，根据实施例，所述步骤s302及步骤s304也可以在第二设备106中执行。

图10是用于说明根据本发明的第二实施例的密钥令牌更新过程的流程图。

在步骤s402中，策略管理器202从遗留系统接收改变的策略。

在步骤s404中，策略管理器202根据策略的改变向令牌管理器204请求更新密钥令牌及最大计数。

之后，执行步骤s406至步骤s432。由于步骤s406至步骤s432与上述的步骤s306至步骤s332相同，因此在此省略其详细的说明。

图11是用于说明根据图10的密钥令牌的更新而丢弃先前的哈希码的过程的流程图。

在步骤s434中，策略管理器202向令牌管理器204发送密钥令牌更新完成消息。

在步骤s436中，令牌管理器204向第一设备管理器206请求丢弃存储于第一设备104中的先前的哈希码。

在步骤s438中，第一设备管理器206向第一设备104请求丢弃存储于第一设备104中的先前的哈希码。

在步骤s440中，第一设备104丢弃存储于第一设备104中的先前的哈希码。

在步骤s442中，令牌管理器204向第二设备管理器208请求丢弃存储于第二设备106中的先前的哈希码。

在步骤s444中，第二设备管理器208向第二设备106请求丢弃存储于第二设备106中的先前的哈希码。

在步骤s446中，第二设备106丢弃存储于第二设备106中的先前的哈希码。

图12是用于说明根据本发明的第一实施例的丢弃密钥令牌的过程的流程图。

在步骤s502中，第一设备104确认对于在服务器102生成的密钥令牌的有效性是否期满。作为一示例，在密钥令牌的剩余有效时段为设定的时间以下的状态下，在存储于第一设备104中的最大计数的数为设定值(例如，1)以下的情况下(或者连接于链的第一哈希值都被耗尽的情况下)，第一设备104可以判断为需要丢弃密钥令牌。

在步骤s504中，第一设备104向令牌管理器204请求丢弃密钥令牌。

在步骤s506中，令牌管理器204向第二设备管理器208请求丢弃存储于第二设备106中的剩余的哈希码。

在步骤s508中，第二设备管理器208向第二设备106请求丢弃存储于第二设备106中的剩余的哈希码。

在步骤s510中，第二设备106丢弃存储于第二设备106中的剩余的哈希码。

在步骤s512中，第二设备106向第二设备管理器208发送丢弃哈希码完成消息。

在步骤s514中，第二设备管理器208向令牌管理器204发送从第二设备106接收的丢弃哈希码完成消息。

在步骤s516中，令牌管理器204向第一设备管理器206请求丢弃存储于第一设备104中的剩余的哈希码。

在步骤s518中，第一设备管理器206向第一设备104请求丢弃存储于第一设备104中的剩余的哈希码。

在步骤s520中，第一设备104丢弃存储于第一设备104中的剩余的哈希码。

在步骤s522中，第一设备104向第一设备管理器206发送丢弃哈希码完成消息。

在步骤s524中，第一设备管理器206向令牌管理器204发送从第一设备104接收的丢弃哈希码完成消息。

在步骤s526中，令牌管理器204向策略管理器202发送同步哈希码的结果。

在步骤s528中，策略管理器202向令牌管理器204发送对同步结果的确认消息。

在步骤s530中，令牌管理器204丢弃存储于服务器102中的密钥令牌。

另外，在此，虽然对步骤s502及步骤s504在第一设备104执行的情形进行了说明，然而并不限于此，根据实施例所述步骤s502及步骤s504也可以在第二设备106执行。

图13是用于说明根据本发明的第二实施例的丢弃密钥令牌的过程的流程图。

在步骤s602中，策略管理器202确认对于输入的策略的有效性是否期满。作为一示例，在输入的策略或者密钥令牌的剩余有效时段期满的情况下，策略管理器202可以判断为需要丢弃密钥令牌。

在步骤s604中，策略管理器202向令牌管理器204请求丢弃密钥令牌。

之后，执行步骤s606至步骤s630。由于步骤s606至步骤s630与上述的步骤s506至步骤s530相同，因此在此省略其详细的说明。另外，虽然在此对在密钥令牌或输入的策略的有效性期满的情况下服务器102丢弃密钥令牌的情形进行了说明，然而其仅为示例，丢弃密钥令牌的情况并不限于此。例如，诸如在第一设备104或第二设备106中检测到恶意代码的情况，当判别为用户的id被伪造的情况等密钥令牌失去有效性的情况下服务器102可以丢弃密钥令牌。并且，服务器102也可以通过管理员的强制措施丢弃密钥令牌。

另外，上述通信系统100可以应用于诸如车辆预定及控制服务、门锁控制服务等多种服务。作为一示例，在通信系统100应用于车辆预定及控制服务的情况下，第一设备104可以是用户携带的用户终端(例如，智能手机)，第二设备106可以是装载于车辆的安全模块，例如加密服务管理器(csm：cyptoservicemanager)。

这种情况下，用户可以通过设置于第一设备104的移动应用输入针对车辆使用的预约请求及预约时段。服务器102可以从与第一设备104联动的遗留系统(未图示)接收与所述预约请求及预约时段相关的信息，并根据所述车辆的用户的预约完成而生成密钥令牌及最大计数。此时，第一最大计数及第二最大计数可以与对于车辆的用户的预约时段成比例。例如，在用户的预约时段为五天的情况下，第一最大计数及第二最大计数可以是100，在用户的预约时段为三天的情况下，第一最大计数及第二最大计数可以是50。并且，在对于所述车辆的用户的预约改变的情况下，服务器102可以丢弃生成的密钥令牌并再生成。

在对于所述车辆的用户的预约完成或预约改变的情况下，服务器102可以向第一设备104发送所述第一哈希值、所述第一哈希值的依次连接关系以及与所述第一最大计数相关的信息，并向第二设备106发送所述密钥令牌的初始哈希值以及与所述第二最大计数相关的信息。但是，所述密钥令牌及最大计数并不一定在服务器102生成，也可以在第一设备104及第二设备106，或其他专门的场所生成。

并且，服务器102在对于所述车辆的用户的预约取消时可以丢弃生成的密钥令牌，并分别向第一设备104及第二设备106请求丢弃所述第一哈希值及所述第二哈希值。

图14是用于举例说明适合在示意性的实施例中使用的包括计算装置的计算环境的框图。在图示的实施例中，各组件可以具有与下面的记载不同的功能及能力，并且除了下面记载的组件之外还可以包括附加的组件。

图示的计算环境10包括计算装置12。在一实施例中，计算装置12可以是被包括于服务器102、第一设备104、第二设备106或中继装置108中的一个以上的组件。

计算装置12包括至少一个处理器14，计算机可读存储介质16及通信总线18。处理器14可以使计算装置12根据上述的示例性实施例进行操作。例如，处理器14可以运行存储于计算机可读存储介质16的一个以上的程序。所述一个以上的程序可以包括一个以上的计算机可执行指令。在所述一个以上的计算机可执行指令通过处理器14运行情况下，可以使计算装置12执行根据示例性实施例的操作。

计算机可读存储介质16构成为存储计算机可执行指令乃至程序代码、程序数据和/或其他合适形态的信息。存储于计算机可读存储介质16的程序20包括通过处理器14可执行的指令的集合。在一实施例中，计算机可读存储介质16可以是诸如存储器(诸如随机存取存储器的易失性存储器、非易失性存储器，或其适当的组合)、一个以上的磁盘存储设备、光盘存储设备、闪存设备，或者此外计算装置12可访问并可存储所需信息的其他形态的存储介质、或其适当的组合。

通信总线18包括处理器14、计算机可读存储介质16而使计算装置12的其他多种组件相互连接。

并且，计算装置12可以包括为一个以上的输入输出装置24提供接口的一个以上的输入输出接口22及一个以上的网络通信接口26。输入输出接口22及网络通信接口26连接于通信总线18。输入输出装置24可以通过输入输出接口22连接于计算装置12的其他组件。示例性的输入输出装置24可以包括诸如指示装置(鼠标或触控板等)、键盘、触摸输入装置(触摸板或触摸屏等)、语音或声音输入装置、多种传感器装置和/或诸如拍摄装置的输入装置、和/或显示设备、打印机、扬声器和/或诸如网卡等的输出装置。示例性的输入输出装置24作为构成计算装置12的一组件，可以被包含于计算装置12的内部，并且也可以作为与计算装置12独立的单独的装置与计算装置12连接。

以上，通过具有代表性的实施例对本发明进行了详细的说明，然而在本发明所属的技术领域中具有基本知识的人员可以理解上述的实施例可在不脱离本发明的范围的限度内实现多种变形。因此，本发明的权利范围不应局限于上述的实施例，本发明的权利范围需要根据权利要求书的范围以及与该权利要求书均等的范围来确定。