数字钥匙共享方法、装置、终端设备、车辆及存储介质与流程

1.本技术涉及车辆控制技术领域，特别涉及一种数字钥匙共享方法、装置、终端设备、车辆及存储介质。


背景技术：

2.随着科学技术的发展，车辆作为人们日常生活中不可或缺的交通工具，对于车辆智能化的发展能够使得人们的生活更加便利。
3.目前，大多数车辆都具有数字钥匙功能，即，车辆与终端设备之间通过开通数字钥匙的方式，使得用户可以不使用实体车钥匙，使用终端设备就可以实现对车辆的控制(比如，车辆的启动等)。并且，开通数字钥匙的终端设备还可以将数字钥匙分享给其他终端设备，使得其他终端设备也具有控制该车辆的权限。通常情况下，已经开通数字钥匙的终端设备需要引入服务器端的协助，将自身的数字钥匙分享给其他终端设备，其他终端设备也通过服务器链路得到新的钥匙证书，从而对车辆进行控制。
4.在上述方案中，由于需要引入服务器端的介入，在网络环境较差的情况下，终端设备之间分享数字钥匙容易出现响应延迟等现象，导致数字钥匙的分享速度慢、效率低的问题。


技术实现要素：

5.为了解决现有技术的问题，提高终端设备之间对数字钥匙的分享速度和效率，本技术实施例提供了一种数字钥匙共享方法、装置、终端设备、车辆及存储介质。所述技术方案如下：
6.一个方面，本技术提供了一种数字钥匙共享方法，应用于第一终端设备，所述方法包括：
7.接收第一消息，所述第一消息用于将第二终端设备控制第一车辆的控制权限分享给所述第一终端设备，所述第二终端设备存储有对所述第一车辆进行控制的第一目标证书；
8.响应于所述第一消息，生成自签名证书；
9.将所述自签名证书发送给所述第二终端设备；
10.接收所述第二终端设备返回的所述第一目标证书和第二目标证书，所述第二目标证书是所述第二终端设备根据所述自签名证书确定的。
11.一个方面，本技术提供了一种数字钥匙共享方法，应用于第二终端设备，所述第二终端设备存储有对第一车辆进行控制的第一目标证书，所述方法包括：
12.向第一终端设备发送第一消息，所述第一消息用于将所述第二终端设备控制所述第一车辆的控制权限分享给所述第一终端设备；
13.接收所述第一终端设备基于所述第一消息返回的自签名证书；
14.根据所述自签名证书以及第二密钥对，签发第二目标证书，所述第二密钥对是所
述第二终端设备中与所述第一目标证书对应的密钥对；
15.将所述第二目标证书以及所述第一目标证书发送给所述第一终端设备。
16.一个方面，本技术提供了一种数字钥匙共享方法，应用于第一终端设备，所述方法包括：
17.向第一车辆发送第一目标证书和第二目标证书，所述第一目标证书和所述第二目标证书是由第二终端设备发送的，所述第二终端设备存储有对所述第一车辆进行控制的所述第一目标证书，所述第二目标证书是所述第二终端设备根据所述第一终端设备的自签名证书确定的；
18.接收所述第一车辆对所述第一目标证书和所述第二目标证书进行验证的验证结果；
19.当所述验证结果指示所述第一终端设备通过验证时，与所述第一车辆建立通信连接，基于所述通信连接控制所述第一车辆。
20.一个方面，本技术提供了一种数字钥匙共享方法，应用于第一车辆，所述方法包括：
21.接收第一终端设备发送的第一目标证书和第二目标证书，所述第一目标证书和所述第二目标证书是由第二终端设备发送给所述第一终端设备的，所述第二终端设备存储有对所述第一车辆进行控制的所述第一目标证书，所述第二目标证书是所述第二终端设备根据所述第一终端设备的自签名证书确定的；
22.向所述第一终端设备发送所述第一车辆对所述第一目标证书和所述第二目标证书进行验证的验证结果；
23.当所述验证结果指示所述第一终端设备通过验证时，与所述第一车辆建立通信连接，使得所述第一终端设备基于所述通信连接控制所述第一车辆。
24.一个方面，本技术提供了一种数字钥匙共享装置，应用于第一终端设备，所述装置包括：
25.第一接收模块，用于接收第一消息，所述第一消息用于将第二终端设备控制第一车辆的控制权限分享给所述第一终端设备，所述第二终端设备存储有对所述第一车辆进行控制的第一目标证书；
26.第一生成模块，用于响应于所述第一消息，生成自签名证书；
27.第一发送模块，用于将所述自签名证书发送给所述第二终端设备；
28.第二接收模块，用于接收所述第二终端设备返回的所述第一目标证书和第二目标证书，所述第二目标证书是所述第二终端设备根据所述自签名证书确定的。
29.一个方面，本技术提供了一种数字钥匙共享装置，应用于第二终端设备，所述第二终端设备存储有对第一车辆进行控制的第一目标证书，所述装置包括：
30.第二发送模块，用于向第一终端设备发送第一消息，所述第一消息用于将所述第二终端设备控制所述第一车辆的控制权限分享给所述第一终端设备；
31.第三接收模块，用于接收所述第一终端设备基于所述第一消息返回的自签名证书；
32.第一签发模块，用于根据所述自签名证书以及第二密钥对，签发第二目标证书，所述第二密钥对是所述第二终端设备中与所述第一目标证书对应的密钥对；
33.第三发送模块，用于将所述第二目标证书以及所述第一目标证书发送给所述第一终端设备。
34.一个方面，本技术提供了一种数字钥匙共享装置，应用于第一终端设备，所述装置包括：
35.第四发送模块，用于向第一车辆发送第一目标证书和第二目标证书，所述第一目标证书和所述第二目标证书是由第二终端设备发送的，所述第二终端设备存储有对所述第一车辆进行控制的所述第一目标证书，所述第二目标证书是所述第二终端设备根据所述第一终端设备的自签名证书确定的；
36.第四接收模块，用于接收所述第一车辆对所述第一目标证书和所述第二目标证书进行验证的验证结果；
37.第一控制模块，用于当所述验证结果指示所述第一终端设备通过验证时，与所述第一车辆建立通信连接，基于所述通信连接控制所述第一车辆。
38.一个方面，本技术提供了一种数字钥匙共享装置，应用于第一车辆，所述装置包括：
39.第五接收模块，用于接收第一终端设备发送的第一目标证书和第二目标证书，所述第一目标证书和所述第二目标证书是由第二终端设备发送给所述第一终端设备的，所述第二终端设备存储有对所述第一车辆进行控制的所述第一目标证书，所述第二目标证书是所述第二终端设备根据所述第一终端设备的自签名证书确定的；
40.第五发送模块，用于向所述第一终端设备发送所述第一车辆对所述第一目标证书和所述第二目标证书进行验证的验证结果；
41.第一控制模块，用于当所述验证结果指示所述第一终端设备通过验证时，与所述第一车辆建立通信连接，使得所述第一终端设备基于所述通信连接控制所述第一车辆。
42.另一个方面，本技术提供了一种终端设备，所述终端设备包含处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如一个方面所述的数字钥匙共享方法。
43.另一个方面，本技术提供了一种车辆，所述车辆包含处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如一个方面所述的数字钥匙共享方法。
44.另一个方面，本技术提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如一个方面所述的数字钥匙共享方法。
45.另一方面，本技术实施例提供了一种计算机程序产品，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如上述一个方面所述的数字钥匙共享方法。
46.另一方面，本技术实施例提供了一种应用发布平台，所述应用发布平台用于发布计算机程序产品，其中，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如上述一个方面所述的数字钥匙共享方法。
47.本技术实施例提供的技术方案带来的有益效果至少包括：
48.第一终端设备通过接收第一消息，第一消息用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备，第二终端设备存储有对第一车辆进行控制的第一目标证书；响应于第一消息，生成自签名证书；将自签名证书发送给第二终端设备；接收第二终端设备返回的第一目标证书和第二目标证书，第二目标证书是第二终端设备根据自签名证书确定的。本技术的第一终端设备通过接收用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备的第一消息，生成第一终端设备的自签名证书，并接收由第二终端设备根据自签名证书确定的第二目标证书，使得第一终端设备获取到控制第一车辆的控制权限，完成数字钥匙的分享流程，不需要服务器的介入，基于两个终端设备之间的交互完成第二目标证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
附图说明
49.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
50.图1是本技术一示例性实施例涉及的一种车辆的数字钥匙开通流程的流程示意图；
51.图2是本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图；
52.图3是本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图；
53.图4是本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图；
54.图5是本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图；
55.图6是本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图；
56.图7是本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图；
57.图8是本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图；
58.图9是本技术一示例性实施例提供的数字钥匙共享装置的结构框图；
59.图10是本技术一示例性实施例提供的数字钥匙共享装置的结构框图；
60.图11是本技术一示例性实施例提供的数字钥匙共享装置的结构框图；
61.图12是本技术一示例性实施例提供的数字钥匙共享装置的结构框图；
62.图13是本技术一示例性实施例提供的一种终端设备的结构示意图。
具体实施方式
63.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
64.数字钥匙：或者也可以称为数字车钥匙，是指汽车智能化变革下的一项创新技术，由于可以让车主终端设备、可穿戴设备等获取到汽车的数字钥匙后，通过终端设备、可穿戴设备等解锁汽车，并对汽车实施相关的操作，提升用车便利性。
65.随着科学技术的发展，车辆作为人们日常生活中不可或缺的交通工具，车辆的智
能化也越来越普遍，各种各样的终端设备与车辆中的车载终端可以建立通信连接并进行数据传输，实现车辆与终端设备的交互。其中，车辆的数字钥匙是体现车辆智能化的技术之一。在实际应用中，用户可以通过车辆的实体钥匙控制车辆启动，开动车辆。
66.伴随车辆中数字钥匙的应用，大多数车辆厂商在对生产的车辆提供有数字钥匙开通功能，用户可以通过终端设备与车载终端进行交互，在终端设备侧获取到数字钥匙，从而通过终端设备控制车辆的启动、运行等，用户即使未携带实体钥匙，也可以通过终端设备中已开通的数字钥匙控制车辆，实现启动车辆、开动车辆。
67.请参考图1，其示出了本技术一示例性实施例涉及的一种车辆的数字钥匙开通流程的流程示意图。如图1所示，车辆的数字钥匙开通流程可以包括如下几个步骤。
68.步骤101，终端设备与车载终端建立通信连接。
69.其中，用户在使用终端设备和车载终端的过程中，可以将终端设备和车载终端通过蓝牙技术，无线保真(wireless-fidelity，wifi)，数据线，无线访问接入点(wirelessaccesspoint，ap)等方式建立通信连接，从而进行数据传输。
70.可选的，本技术中，终端设备可以是具有通信功能的电子设备，比如，终端设备可以包括但不限于可穿戴设备(如手环、智能手表、智能眼镜等)、手机、平板电脑，笔记本电脑，智能眼镜，智能手表，mp3播放器(moving picture experts group audio layer iii，动态影像专家压缩标准音频层面3)，mp4(moving picture experts group audio layer iv，动态影像专家压缩标准音频层面4)播放器，台式电脑，膝上型便携计算机等终端设备。
71.步骤102，车载终端发起数字钥匙开通流程。
72.可选的，用户可以通过控制车辆的车载终端主动发起数字钥匙的开通流程。比如，在上述步骤101建立通信连接之后，用户可以通过操作在车载终端中展示一个数字钥匙开通的界面，在该界面中通过触发数字钥匙的开通控件，由车载终端发起数字钥匙的开通流程。
73.步骤103，车载终端向终端设备传递车辆公钥证书。
74.可选的，车辆公钥证书是车辆厂商在车辆出厂之前由服务器通过证书颁发机构颁发的并预先存储在车辆中。该车载终端发起数字钥匙开通流程后，主动通过通信连接将自身存储的车辆公钥证书发送给终端设备。
75.步骤104，终端设备使用预置证书对车辆公钥证书进行验证，或者，终端设备请求服务器对车辆公钥证书进行验证。
76.其中，预置证书也可以是终端设备的厂商与车辆的厂商提前协商好并设置在终端设备中的，当终端设备接收到车辆公钥证书之后，可以利用预先设置的预置证书对车辆公钥证书进行验证，在验证通过时，执行步骤105。或者，终端设备也可以将获取到的车辆公钥证书发送给后台用于建立数字钥匙的服务器，请求该服务器对车辆公钥证书进行验证。
77.步骤105，终端设备生成数字钥匙密钥对以及钥匙公钥证书。
78.可选的，终端设备在对车辆公钥证书通过该验证之后，可以使用自身预先设置的钥匙密钥对生成算法，利用该钥匙密钥对生成算法生成一个随机密钥对，并将该密钥对与该车辆公钥证书进行绑定，该密钥对可以在后续对车辆进行控制时使用。
79.可选的，终端设备在生成数字钥匙密钥对后，通过数字钥匙密钥对签发钥匙公钥证书，得到后续控制车辆的钥匙公钥证书，通过该钥匙公钥证书可以通过认证，从而开通数
字钥匙，实现数据交互、车辆控制。
80.步骤106，终端设备将钥匙公钥证书传递给车载终端。
81.可选的，终端设备再将生成的钥匙公钥证书传递给车载终端。
82.步骤107，车载终端校验钥匙公钥证书并保存。
83.相应的，车载终端接收终端设备发送的钥匙公钥证书并进行校验，从而确定该钥匙公钥证书是否是基于自身的车辆公钥证书得到的，在通过校验(即该钥匙公钥证书是基于自身的车辆公钥证书得到的)时，将得到的钥匙公钥证书进行保存，从而完成在终端设备侧进行数字钥匙的开通，后续该终端设备控制车辆时，使用该钥匙公钥证书进行验证。
84.在一种可能实现的方式中，终端设备在开通数字钥匙后，可以将自身开通的数字钥匙通过钥匙分享功能向其他终端设备分享。比如，在数字钥匙分享的技术方案中，一个终端设备与车辆开通数字钥匙之后，如果需要向另一个终端设备分享该数字钥匙，那么，这两个终端设备不仅需要安装相同的应用程序(applicationapp)，已经开通数字钥匙的终端设备通过该app将自身已经存储的钥匙证书发送给后台服务器，未开通数字钥匙的终端设备也通过该app向后台服务器申请签发新的钥匙证书，服务器在对该新的钥匙证书进行校验之后，将新的钥匙证书发送给未开通数字钥匙的终端设备。
85.也就是说，对于同一车主的多台终端设备之间(如手机、智能手表等)分享车辆的数字钥匙的机制，通常需要通过服务器的介入，请求分享的新终端设备通过向已经开通数字钥匙的终端设备发起钥匙分享请求时，已经开通数字钥匙的终端设备的响应请求链路也需要通过服务器的。由于上述过程需要引入服务器端的介入，在网络环境较差的情况下，终端设备之间分享数字钥匙容易出现响应延迟等现象，导致数字钥匙的分享速度慢、效率低的问题。
86.为了解决上述相关技术中存在的问题，提高终端设备之间对数字钥匙的分享速度和效率，本技术提供了一种数字钥匙共享方法，可以利用终端设备直接进行交互，获取未取得数字钥匙的终端设备的自签名证书，已取得数字钥匙的终端设备自主根据该自签名证书签发新的钥匙证书，实现数字钥匙的分享。
87.请参考图2，其示出了本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图，该数字钥匙共享方法可以由第一终端设备执行，第一终端设备可以是上述未开通数字钥匙的终端设备。如图2所示，该数字钥匙共享方法可以包括如下步骤：
88.步骤201，接收第一消息，第一消息用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备，第二终端设备存储有对第一车辆进行控制的第一目标证书。
89.其中，第一车辆可以是实际生活中具有数据钥匙功能的任意一个品牌的车辆，第二终端设备是预先与第一车辆完成数字钥匙开通的终端设备，第二终端设备与第一车辆可以按照上述图1所示的方式成功开通数字钥匙，并在自身存储有对第一车辆进行控制的第一目标证书，第一目标证书可以包括上述图1中的钥匙公钥证书以及车辆公钥证书，即，第一目标证书包括第二终端设备开通数字钥匙过程中，保存在第二终端设备内部的用于后续控制第一车辆时使用的钥匙证书，以及自身保存的第一车辆传递过来的车辆公钥证书。
90.第一终端设备是未开通数字钥匙的终端设备，在本方案中，第一终端设备通过接收第一消息来指示自身第二终端设备将会自身控制第一车辆的控制权限分享给第一终端设备，第一终端设备执行后续步骤。可选的，接收第一消息的方式可以是第一终端设备与第
二终端设备建立近距离无线通信后，由第二终端设备反馈给第一终端设备的。
91.步骤202，响应于第一消息，生成自签名证书。
92.可选的，第一终端设备接收到第一消息之后，可以基于自身预先设置的证书签发方案生成自签名证书。
93.步骤203，将自签名证书发送给第二终端设备。
94.其中，第一终端设备通过与第二终端设备之间的通信连接，将自身生成的自签名证书发送给第二终端设备。
95.步骤204，接收第二终端设备返回的第一目标证书和第二目标证书，第二目标证书是第二终端设备根据自签名证书确定的。
96.其中，第一终端设备接收第二终端设备返回的第一目标证书，即接受到第二终端设备对第一车辆进行控制的各个钥匙证书以及由第二终端设备新签发的第二目标证书。第二目标证书可以指示第二终端设备将自身的数字钥匙的权限共享给了第一终端设备，第一终端设备接收到第一目标证书和第二目标证书后，后续可以控制第一车辆，实现数字钥匙在终端设备之间的共享。
97.综上所述，第一终端设备通过接收第一消息，第一消息用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备，第二终端设备存储有对第一车辆进行控制的第一目标证书；响应于第一消息，生成自签名证书；将自签名证书发送给第二终端设备；接收第二终端设备返回的第一目标证书和第二目标证书，第二目标证书是第二终端设备根据自签名证书确定的。本技术的第一终端设备通过接收用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备的第一消息，生成第一终端设备的自签名证书，并接收由第二终端设备根据自签名证书确定的第二目标证书，使得第一终端设备获取到控制第一车辆的控制权限，完成数字钥匙的分享流程，不需要服务器的介入，基于两个终端设备之间的交互完成第二目标证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
98.下面，以第二终端设备为执行主体，对上述图2所示的方法进行描述。请参考图3，其示出了本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图，该数字钥匙共享方法可以由第二终端设备执行，第二终端设备可以是上述已开通数字钥匙的终端设备。如图3所示，该数字钥匙共享方法可以包括如下步骤：
99.步骤301，向第一终端设备发送第一消息，第一消息用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备。
100.其中，第二终端设备是预先与第一车辆完成数字钥匙开通的终端设备，自身存储有对第一车辆进行控制的第一目标证书。在一种可能实现的方式中，第二终端设备可以在屏幕中展示分享控件，由用户触发该分享控件的方式将自身的控制权限分享给第一终端设备，即，当用户触发该分享控件时，第二终端设备向第一终端设备发送第一消息。
101.步骤302，接收第一终端设备基于第一消息返回的自签名证书。
102.其中，对应上述步骤203，第二终端设备会接收到第一终端设备返回的自签名证书。
103.步骤303，根据自签名证书以及第二密钥对，签发第二目标证书，第二密钥对是第二终端设备中与第一目标证书对应的密钥对。
104.可选的，第一终端设备根据得到的自签名证书以及第二密钥对，签发第二目标证
书。其中，第二密钥对是第二终端设备中与第一目标证书对应的密钥对。可选的，第二密钥对是第二终端设备与第一车辆完成数字钥匙开通流程过程中产生的密钥对。比如，在上述第二终端设备与第一车辆完成如上述图1所示的数字钥匙开通流程中，第二终端设备在步骤105中会生成数字钥匙密钥对，此处的第二密钥对可以是第二终端设备在该步骤中生成的密钥对。
105.可选的，第一终端设备根据第二密钥对以及自签名证书，重新签发包含第一终端设备的自签名证书的主体信息的证书，该重新签发的证书就是第二目标证书。
106.步骤304，将第二目标证书以及第一目标证书发送给第一终端设备。
107.可选的，第二终端设备将自身存储的第一目标证书以及重新签发得到的第二目标证书打包并发送给第一终端设备，实现数字钥匙在终端设备之间的共享。
108.综上所述，向第一终端设备发送第一消息，第一消息用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备；接收第一终端设备基于第一消息返回的自签名证书；根据自签名证书以及第二密钥对，签发第二目标证书，第二密钥对是第二终端设备中与第一目标证书对应的密钥对；将第二目标证书以及第一目标证书发送给第一终端设备。本技术的第二终端设备通过发送用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备的第一消息，根据自签名证书以及第二密钥对，签发第二目标证书并发送给第一终端设备，使得第一终端设备获取到控制第一车辆的控制权限，完成数字钥匙的分享流程，不需要服务器的介入，基于两个终端设备之间的交互完成第二目标证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
109.下面，以第一消息是第一终端设备和第二终端设备之间交互的分享申请为例，通过第一终端设备和第二终端设备之间的交互，实现第二终端设备对第一终端设备签发证书完成数字钥匙的分享。以第一终端设备和第二终端设备之间的交互，对上述图2和图3所示的实施例进行举例介绍。
110.请参考图4，其示出了本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图，该数字钥匙共享方法可以由第一终端设备和第二终端设备执行，第一终端设备可以是上述未开通数字钥匙的终端设备，第二终端设备可以是上述已开通数字钥匙的终端设备。如图4所示，该数字钥匙共享方法可以包括如下步骤：
111.步骤401，第二终端设备向第一终端设备发送第一消息。
112.其中，第一消息用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备，第二终端设备存储有对第一车辆进行控制的第一目标证书。
113.其中，第一终端设备和第二终端设备如上述图2和图3实施例中的描述，此处不再赘述。
114.可选的，第一终端设备和第二终端设备在执行本方案之前，需要建立近距离无线通信连接，比如，蓝牙连接、超宽带(ultra wide band，uwb)、近场通信(near fieldcommunication，nfc)等连接。在一种可能实现的方式中，第一消息为第二终端设备发送的分享请求。比如，第二终端设备开通第一车辆的数字钥匙之后，可以通过近距离无线通信连接主动向第一终端设备发送分享请求，进而将自身拥有的数字钥匙权限分享给第一终端设备。例如，第二终端设备的显示屏中可以显示有分享控件，用户点击该分享控件，触发第二终端设备向第一终端设备发送分享请求。
115.在一种可能实现的方式中，第一终端设备也可以主动请求第二终端设备将数字钥匙分享给自己，比如，第一终端设备在接收第一消息之前，可以向第二终端设备发送分享申请，分享申请中包括第一终端设备的标识；第一终端设备接收到的第一消息是第二终端设备根据该分享申请反馈的响应消息。即，第一终端设备接收与分享申请对应的响应消息，响应消息为第二终端设备根据标识进行验证且在验证通过后发送的。
116.也就是说，第一终端设备通过主动请求的方式，将自身的标识携带在分享申请中发送给第二终端设备，使得第二终端设备得知第一终端设备需要对第一车辆也开通数字钥匙，第二终端设备可以基于该分享申请，反馈对应的响应信息，从而指示将第二终端设备控制第一车辆的控制权限分享给第一终端设备。
117.步骤402，第一终端设备接收第一消息。
118.相应的，第一终端设备接收由第二终端设备发送的第一消息。
119.步骤403，第一终端设备响应于第一消息，生成自签名证书。
120.在一种可能实现的方式中，第一终端设备接收到第一消息之后，响应于第一消息，生成第一密钥对；根据第一密钥对，签发自签名证书。其中，生成第一密钥对的方式可以是预先设置在第一终端设备中的，当接收到第一消息后，可以触发第一终端设备按照该方式生成第一密钥对，并利用该第一密钥对中的私钥，签发自签名证书。
121.步骤404，第一终端设备将自签名证书发送给第二终端设备。
122.其中，第一终端设备在上述生成自签名证书后，通过与第二终端设备之间的通信连接，将生成的自签名证书发送给第二终端设备。
123.步骤405，第二终端设备接收第一终端设备基于第一消息返回的自签名证书。
124.相应的，第二终端设备接收第一终端设备返回的自签名证书。
125.步骤406，第二终端设备根据自签名证书以及第二密钥对，签发第二目标证书，第二密钥对是第二终端设备中与第一目标证书对应的密钥对。
126.可选的，第二终端设备根据接收到的自签名证书以及第一目标证书对应的密钥对，重新签发一个第二目标证书，即第二目标证书是第二终端设备根据自签名证书以及第二密钥对签发的。其中，第二密钥对是第二终端设备中与第一公钥证书对应的密钥对。可选的，该第二目标证书可以指示第二终端设备将自身使用数字钥匙对第一车辆的控制权限分享给了第一终端设备。
127.可选的，上述第一目标证书包括第一公钥证书以及车辆公钥证书。即，第二终端设备与第一车辆执行上述图1所示的开通流程后，第一车辆中存储有第二终端设备最后传递的钥匙公钥证书(即第一公钥证书)以及自身具有的车辆公钥证书，第二终端设备中也会存储有第一车辆传递的车辆公钥证书以及自身生成的钥匙公钥证书(即第一公钥证书)。
128.在一种可能实现的方式中，第二终端设备在本步骤之前，可以提前获取到第二密钥对。比如，在上述开通流程过程中，在生成数字钥匙密钥对(第二密钥对)以及钥匙公钥证书之后，可以将生成的第二密钥对存储，在接收到自签名证书后，获取到已经存储的第二密钥对。例如，第二终端设备可以根据第一公钥证书，获取第一公钥证书中的公钥；根据公钥，获取公钥对应的第二密钥对。比如，第二终端设备根据第一公钥证书中的公钥，查询已经存储的密钥对中该公钥对应的密钥对，该密钥对就是第二密钥对，从而获取到第二密钥对。
129.在一种可能实现的方式中，第二终端设备在接收到第一终端设备的自签名证书
后，根据接收到的自签名证书，获取自签名证书的主体信息；并根据第二密钥对中的私钥以及主体信息，签发第二目标证书。即，第二终端设备接收到第一终端设备的自签名证书，解析该自签名证书的主体信息(tbscertificate信息)，使用第二密钥对的私钥签名并生成第二目标证书。
130.步骤407，第二终端设备将第二目标证书以及第一目标证书发送给第一终端设备。
131.可选的，第二终端设备自身存储的第一公钥证书，车辆公钥证书以及上述新签发的第二目标证书打包发送给第一终端设备。
132.步骤408，第一终端设备接收第二终端设备返回的第一目标证书和第二目标证书。
133.相应的，第一终端设备接收由第二终端设备返回的第一公钥证书，车辆公钥证书以及上述新签发的第二目标证书，并将接收到的第一公钥证书，车辆公钥证书以及上述新签发的第二目标证书保存在本地。其中，第二目标证书是第二终端设备根据自签名证书确定的。
134.在一种可能实现的方式中，第二终端设备还可以接收撤销指令，撤销指令用于指示第二终端设备与第一车辆之间的第一目标证书失效；响应于撤销指令，将第二终端设备中存储的第一目标证书删除；并向第一终端设备发送撤销指令，以使得第一终端设备将存储的第二目标证书以及第一目标证书删除。相应的，第一终端设备也可以接收第二终端设备发送的撤销指令，并响应于撤销指令，删除第一目标证书和第二目标证书。
135.比如，第二终端设备接收到第一车辆的车载终端发起的撤销指令，令第二终端设备与第一车辆之间的第一目标证书失效，使得第二终端设备关闭对第一车辆控制的数字钥匙，那么，第二终端设备可以响应于该撤销指令，将第二终端设备中存储的第一目标证书删除；并向第一终端设备发送撤销指令，以使得第一终端设备将存储的第二目标证书以及第一目标证书删除。可选的，撤销指令也可以是由第二终端设备自主生成的，本技术对此并不限定。
136.需要说明的是，本技术中第一终端设备和第二终端设备均可以是支持可信运行环境(trusted execution environment，tee)的终端设备，第一终端设备或者第二终端设备之间交互的身份认证、非对称加解密、签名、验证签名、数据保存等步骤均可以通过tee端的可信环境下的应用(tee application，ta)程序执行。
137.综上所述，第一终端设备通过接收第一消息，第一消息用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备，第二终端设备存储有对第一车辆进行控制的第一目标证书；响应于第一消息，生成自签名证书；将自签名证书发送给第二终端设备；接收第二终端设备返回的第一目标证书和第二目标证书，第二目标证书是第二终端设备根据自签名证书确定的。本技术的第一终端设备通过接收用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备的第一消息，生成第一终端设备的自签名证书，并接收由第二终端设备根据自签名证书确定的第二目标证书，使得第一终端设备获取到控制第一车辆的控制权限，完成数字钥匙的分享流程，不需要服务器的介入，基于两个终端设备之间的交互完成第二目标证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
138.另外，本方案基于证书链的效应，第一终端设备得到的钥匙证书等级比第二终端设备的钥匙证书低一级，当第二终端设备的钥匙证书撤销后，第一终端设备得到的钥匙证书也将自动失效，及时清理不需要的证书链。
139.在一种可能实现的方式中，在上述完成数字钥匙的分享之后，第一终端设备还可以与第一车辆建立通信连接，并通过授予的第一目标证书以及第二目标证书对第一车辆进行控制。在控制之前，第一车辆还需要与第二终端设备之间进行认证，实现安全控制。
140.请参考图5，其示出了本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图，该数字钥匙共享方法可以由第一终端设备执行，第一终端设备可以是上述通过图2或者图4被第二终端设备分享数字钥匙的第一终端设备。如图5所示，该数字钥匙共享方法可以包括如下步骤：
141.步骤501，向第一车辆发送第一目标证书和第二目标证书，第一目标证书和第二目标证书是由第二终端设备发送的，第二终端设备存储有对第一车辆进行控制的第一目标证书，第二目标证书是第二终端设备根据第一终端设备的自签名证书确定的。
142.其中，第一终端设备在上述完成数字钥匙的分享之后，可以与第一车辆需要建立通信连接，通过自身已经开通的数字钥匙对第一车辆进行控制，在控制之前，第一车辆需要对第一终端设备进行验证，因此，第一终端设备将上述接收到的由第二终端设备发送的第一目标证书和第二目标证书通过该通信连接发送给第一车辆。
143.其中，第二终端设备发送第一目标证书和第二目标证书给第一终端设备的获取方式可以参照上述图2、图3或者图4中的描述，此处不再赘述。
144.步骤502，接收第一车辆对第一目标证书和第二目标证书进行验证的验证结果。
145.可选的，第一车辆接收到第一车辆发送的第一目标证书和第二目标证书之后，分别对第一目标证书和第二目标证书进行验证，并将验证结果返回给第一终端设备，相应的，第一终端设备接收第一车辆返回的验证结果。
146.步骤503，当验证结果指示第一终端设备通过验证时，与第一车辆建立安全通道，基于安全通道控制第一车辆。
147.其中，第一终端设备接收到该验证结果后，获取验证结果的指示内容，当验证结果指示第一终端设备通过验证时，与第一车辆建立安全通道，基于安全通道控制第一车辆。
148.需要说明的是，图5所示实施例可以与上述图2，图3或者图4所示的实施例相结合。
149.综上所述，向第一车辆发送第一目标证书和第二目标证书，第一目标证书和第二目标证书是由第二终端设备发送的，第二终端设备存储有对第一车辆进行控制的第一目标证书，第二目标证书是第二终端设备根据第一终端设备的自签名证书确定的；接收第一车辆对第一目标证书和第二目标证书进行验证的验证结果；当验证结果指示第一终端设备通过验证时，与第一车辆建立安全通道，基于安全通道控制第一车辆。本技术的第一终端设备在得到由第二终端设备发送的第一目标证书和第二目标证书后，将第一目标证书和第二目标证书发送给第一车辆，由第一车辆直接进行验证，在验证通过时，可以自主控制第一车辆的控制权限，实现由第二终端设备向自身分享数字钥匙后快速控制第一车辆的流程，不需要服务器的介入，基于两个终端设备之间的交互完成第二目标证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
150.下面，以第一车辆为执行主体，对上述图5所示的方法进行描述。请参考图6，其示出了本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图，该数字钥匙共享方法可以由第一车辆执行。如图6所示，该数字钥匙共享方法可以包括如下步骤：
151.步骤601，接收第一终端设备发送的第一目标证书和第二目标证书，第一目标证书
和第二目标证书是由第二终端设备发送给第一终端设备的，第二终端设备存储有对第一车辆进行控制的第一目标证书，第二目标证书是第二终端设备根据第一终端设备的自签名证书确定的。
152.可选的，第一终端设备在上述完成数字钥匙的分享之后，与第一车辆建立通信连接，该通信连接可以是蓝牙连接。第一终端设备将上述接收到的由第二终端设备发送的第一目标证书和第二目标证书通过该通信连接发送给第一车辆，相应的，第一车辆接收第一终端设备发送的第一目标证书和第二目标证书。
153.其中，第一终端设备与第二终端设备之间的交互方式可以参照上述图2、图3或者图4中的描述，此处不再赘述。
154.步骤602，向第一终端设备发送第一车辆对第一目标证书和第二目标证书进行验证的验证结果。
155.可选的，第一车辆对第一目标证书和第二目标证书进行验证，获取验证结果，并将验证结果发送给第一终端设备。
156.步骤603，当验证结果指示第一终端设备通过验证时，与第一车辆建立安全通道，使得第一终端设备基于安全通道控制第一车辆。
157.当验证结果指示第一终端设备通过验证时，第一车辆在后续与第一终端设备建立安全通道。
158.综上所述，接收第一终端设备发送的第一目标证书和第二目标证书，第一目标证书和第二目标证书是由第二终端设备发送给第一终端设备的，第二终端设备存储有对第一车辆进行控制的第一目标证书，第二目标证书是第二终端设备根据第一终端设备的自签名证书确定的；向第一终端设备发送第一车辆对第一目标证书和第二目标证书进行验证的验证结果；当验证结果指示第一终端设备通过验证时，与第一车辆建立安全通道，使得第一终端设备基于安全通道控制第一车辆。本技术的第一终端设备在得到由第二终端设备发送的第一目标证书和第二目标证书后，将第一目标证书和第二目标证书发送给第一车辆，由第一车辆直接进行验证，在验证通过时，可以自主控制第一车辆的控制权限，实现由第二终端设备向自身分享数字钥匙后快速控制第一车辆的流程，不需要服务器的介入，基于两个终端设备之间的交互完成第二目标证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
159.下面，以第一终端设备和第一车辆之间建立安全通道时，需要生成相同的控制对称密钥进行数据加密交互的方式，实现第一终端设备控制第一车辆。以第一终端设备和第一车辆之间的交互，对上述图5和图6所示的实施例进行举例介绍。
160.请参考图7，其示出了本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图，该数字钥匙共享方法可以由第一终端设备和第一车辆执行。如图7所示，该数字钥匙共享方法可以包括如下步骤：
161.步骤701，第一终端设备向第一车辆发送第一目标证书和第二目标证书。
162.其中，第一目标证书和第二目标证书是由第二终端设备发送的，第二终端设备存储有对第一车辆进行控制的第一目标证书，第二目标证书是第二终端设备根据第一终端设备的自签名证书确定的。
163.步骤702，第一车辆接收第一终端设备发送的第一目标证书和第二目标证书。
164.其中，第一终端设备与第二终端设备之间的交互方式可以参照上述图2、图3或者图4中的描述，此处不再赘述。
165.步骤703，第一车辆对第一目标证书和第二目标证书进行验证。
166.可选的，第一车辆对第一目标证书和第二目标证书进行验证的方式可以如下：第一车辆基于自身预先存储的第一目标证书对此次接收到的第一目标证书进行验证。在上述一种情况下，第一目标证书包括第一公钥证书以及车辆公钥证书，第二终端设备与第一车辆执行上述图1所示的开通流程后，第一车辆中存储有第二终端设备最后传递的钥匙公钥证书(即第一公钥证书)以及自身具有的车辆公钥证书，在本步骤中，第一车辆使用之前存储的第一公钥证书以及车辆公钥证书分别进行验证。
167.可选的，由于第一车辆中存储的第一公钥证书是第二终端设备发送的，在验证第一终端设备的第一目标证书中的第一公钥证书时，第一车辆还使用之前存储的第一公钥证书中的公钥校验第二目标证书，保证自身存储的第一公钥证书和第二终端设备接收到的第一公钥证书是由同一个第一终端设备签发的，从而保证证书的一致性。
168.步骤704，第一车辆向第一终端设备发送验证结果。
169.可选的，第一车辆对第一目标证书和第二目标证书进行验证，获取验证结果，并将验证结果发送给第一终端设备。
170.步骤705，第一终端设备接收验证结果。
171.步骤706，当验证结果指示第一终端设备通过验证时，第一终端设备生成控制对称密钥。
172.其中，验证结果指示第一终端设备通过验证，相当于，第一终端设备发送给第一车辆的第一目标证书与第一车辆自身存储的第一目标证书相同，第一终端设备发送给第一车辆的第二目标证书与第一车辆自身存储的第一公钥证书是由同一个第二终端设备签发的。
173.可选的，当第一终端设备发送给第一车辆的第一目标证书与第一车辆自身存储的第一目标证书不同时，验证结果指示第一终端设备未通过验证，以及，当第一终端设备发送给第一车辆的第二目标证书与第一车辆自身存储的第一公钥证书不是由同一个第二终端设备签发的，验证结果指示第一终端设备未通过验证。
174.可选的，第一终端设备根据验证结果得知自身通过验证后，可以根据密钥协商算法生成控制对称密钥，该密钥协商算法可以预先设置在第一终端设备中。比如，第一终端设备将自身的设备编号以及第一车辆的设备编号输入至密钥协商算法中，得到相应的控制对称密钥。其中，生成的控制对称密钥的类型也是相同的。
175.步骤707，第一终端设备向第一车辆发送目标数据。
176.其中，目标数据为第一终端设备生成控制对称密钥使用的数据信息，以使得第一车辆根据数据信息生成与控制对称密钥相同的对称密钥。
177.步骤708，第一车辆接收第一终端设备发送的目标数据。
178.步骤709，第一车辆根据目标数据中的数据信息，生成与控制对称密钥相同的对称密钥。
179.可选的，步骤707至步骤709过程中，第一终端设备生成控制对称密钥之后，还需要将目标数据发送给第一车辆，使得第一车辆也使用相同的数据信息生成相同的对称密钥。比如，第一终端设备使用的数据信息是自身的设备编号以及第一车辆的设备编号，在本步
骤中，将自身的设备编号以及第一车辆的设备编号打包发送给第一车辆，使得第一车辆根据该数据信息生成与控制对称密钥相同的对称密钥。
180.步骤710，第一终端设备与第一车辆建立安全通道。
181.可选的，第一终端设备与第一车辆之间完成传输数据的安全通道的建立，后续传输的指令通过相同的控制对称密钥进行加密，并基于该安全通道传输。也就是说，第一终端设备基于控制对称密钥以及安全通道，控制第一车辆。
182.需要说明的是，图7所示的方案也可以与上述图5所示的方案合并应用，完成数字钥匙的分享以及第一车辆对分享后的终端设备进行认证的流程，使得分享后的终端设备通过分享得到的数字钥匙对第一车辆进行控制，不需要引入服务器，提高数字钥匙的分享效率。另外，第一终端设备与第一车辆进行加密通信时，也可以引入车辆入侵检测与防御系统(intrusion detection&prevention system，idps)以更进一步增强系统安全性。
183.综上所述，向第一车辆发送第一目标证书和第二目标证书，第一目标证书和第二目标证书是由第二终端设备发送的，第二终端设备存储有对第一车辆进行控制的第一目标证书，第二目标证书是第二终端设备根据第一终端设备的自签名证书确定的；接收第一车辆对第一目标证书和第二目标证书进行验证的验证结果；当验证结果指示第一终端设备通过验证时，与第一车辆建立安全通道，基于安全通道控制第一车辆。本技术的第一终端设备在得到由第二终端设备发送的第一目标证书和第二目标证书后，将第一目标证书和第二目标证书发送给第一车辆，由第一车辆直接进行验证，在验证通过时，可以自主控制第一车辆的控制权限，实现由第二终端设备向自身分享数字钥匙后快速控制第一车辆的流程，不需要服务器的介入，基于两个终端设备之间的交互完成第二目标证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
184.下面，以第一终端设备是车主主设备，第二终端设备是车主副设备为例，用户在基于车主主设备开通对第一车辆的数字钥匙后，采用本方案将数字钥匙分享给车主副设备，并由车主副设备控制第一车辆。
185.请参考图8，其示出了本技术一示例性实施例提供的一种数字钥匙共享方法的方法流程图，该数字钥匙共享方法可以由车主主设备、车主副设备以及第一车辆执行。如图8所示，该数字钥匙共享方法可以包括如下步骤：
186.步骤801，车主主设备向车主副设备发起分享命令。
187.其中，分享命令相当于上述实施例中的第一消息。
188.步骤802，车主副设备生成第一密钥对并签发自签名证书。
189.可选的，第一密钥对可以是椭圆曲线密码编码学(elliptic curves cryptography，ecc)密钥对。
190.步骤803，车主副设备向车主主设备传递自签名证书。
191.步骤804，车主主设备根据自签名证书以及第二密钥对签发副钥匙证书。
192.可选的，第二密钥对是车主主设备开通第一车辆的数字钥匙时生成的，即在上述步骤105中生成的数字钥匙密钥对。
193.步骤805，车主主设备将主钥匙证书，副钥匙证书以及车辆公钥证书发送给车主副设备。
194.其中，主钥匙证书是车主主设备开通数字钥匙时自身保存的钥匙公钥证书，车辆
公钥证书是车主主设备开通数字钥匙时第一车辆保存的钥匙公钥证书。
195.步骤806，车主副设备将主钥匙证书，副钥匙证书以及车辆公钥证书保存在本地tee中。
196.步骤807，车主副设备首次与第一车辆建立蓝牙连接。
197.步骤808，车主副设备向第一车辆发送主钥匙证书，副钥匙证书以及车辆公钥证书。
198.步骤809，第一车辆验证主钥匙证书，副钥匙证书以及车辆公钥证书。
199.其中，第一车辆验证主钥匙证书以及车辆公钥证书与第一车辆侧保存的证书的一致性，并使用保存的车主主设备的公钥校验副钥匙证书，最终得到验证结果。
200.步骤810，第一车辆向车主副设备返回验证结果。
201.步骤811，在验证结果指示通过验证时，车主副设备使用密钥协商算法生成对称密钥。
202.步骤812，车主副设备向第一车辆发送生成对称密钥的目标数据。
203.步骤813，第一车辆根据目标数据生成相同的对称密钥。
204.步骤814，第一车辆与车主副设备之间建立安全通道。
205.校验通过后，第一车辆与车主副设备双方将依据密钥协商算法建立安全通道，此处密钥协商算法以及对称密钥类型不做限定。
206.综上所述，本技术的车主副设备通过接收车主主设备发送的分享命令，生成车主副设备的自签名证书，并接收由车主主设备根据自签名证书确定的副钥匙证书，使得车主副设备获取到控制第一车辆的控制权限，完成数字钥匙的分享流程，不需要服务器的介入，基于两个终端设备之间的交互完成副钥匙证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
207.另外，车主主设备通过实现云端服务器端的部分功能，取代数字钥匙普遍解决方案中钥匙分享时云端服务器的引入，将分享时认证和开通钥匙的链路缩短，能有效达到数字钥匙快捷分享的优化目的。在某些场景下，比如地库等网络环境相对不佳的地点需要进行数字钥匙的分享时，不需要连入服务器，可以增强数字车钥匙功能的场景覆盖面，扩大应用场景。
208.下述为本技术装置实施例，可以用于执行本技术方法实施例。对于本技术装置实施例中未披露的细节，请参照本技术方法实施例。
209.请参考图9，其示出了本技术一示例性实施例提供的数字钥匙共享装置的结构框图。该数字钥匙共享装置900可以用于第一终端设备中，以执行图2或图4所示实施例提供的方法中由第一终端设备执行的全部或者部分步骤。该数字钥匙共享装置900包括：
210.第一接收模块901，用于接收第一消息，所述第一消息用于将第二终端设备控制第一车辆的控制权限分享给所述第一终端设备，所述第二终端设备存储有对所述第一车辆进行控制的第一目标证书；
211.第一生成模块902，用于响应于所述第一消息，生成自签名证书；
212.第一发送模块903，用于将所述自签名证书发送给所述第二终端设备；
213.第二接收模块904，用于接收所述第二终端设备返回的所述第一目标证书和第二目标证书，所述第二目标证书是所述第二终端设备根据所述自签名证书确定的。
214.综上所述，第一终端设备通过接收第一消息，第一消息用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备，第二终端设备存储有对第一车辆进行控制的第一目标证书；响应于第一消息，生成自签名证书；将自签名证书发送给第二终端设备；接收第二终端设备返回的第一目标证书和第二目标证书，第二目标证书是第二终端设备根据自签名证书确定的。本技术的第一终端设备通过接收用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备的第一消息，生成第一终端设备的自签名证书，并接收由第二终端设备根据自签名证书确定的第二目标证书，使得第一终端设备获取到控制第一车辆的控制权限，完成数字钥匙的分享流程，不需要服务器的介入，基于两个终端设备之间的交互完成第二目标证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
215.可选的，所述第一生成模块902，包括：第一生成单元和第一签发单元；
216.所述第一生成单元，用于响应于所述第一消息，生成第一密钥对；
217.所述第一签发单元，用于根据所述第一密钥对，签发所述自签名证书。
218.可选的，所述第一消息为所述第二终端设备发送的分享请求。
219.可选的，所述装置还包括：
220.第六发送模块，用于在所述接收第一消息之前，向所述第二终端设备发送分享申请，所述分享申请中包括所述第一终端设备的标识；
221.所述第一接收模块901，还用于接收与所述分享申请对应的响应消息，所述响应消息为所述第二终端设备根据所述标识进行验证且在验证通过后发送的。
222.可选的，所述第一目标证书包括第一公钥证书以及车辆公钥证书；
223.其中，所述第二目标证书是所述第二终端设备根据所述自签名证书以及第二密钥对签发的，所述第二密钥对是所述第二终端设备中与所述第一公钥证书对应的密钥对。
224.可选的，所述装置还包括：
225.第六接收模块，用于在所述接收所述第二终端设备返回的所述第一目标证书和第二目标证书之后，接收第二终端设备发送的撤销指令，所述撤销指令用于指示所述第二终端设备与所述第一车辆之间的第一目标证书失效；
226.第一删除模块，用于响应于所述撤销指令，删除所述第一目标证书和所述第二目标证书。
227.请参考图10，其示出了本技术一示例性实施例提供的数字钥匙共享装置的结构框图。该数字钥匙共享装置1000可以用于第二终端设备中，以执行图3或图4所示实施例提供的方法中由第二终端设备执行的全部或者部分步骤。该数字钥匙共享装置1000包括：
228.第二发送模块1001，用于向第一终端设备发送第一消息，所述第一消息用于将所述第二终端设备控制所述第一车辆的控制权限分享给所述第一终端设备；
229.第三接收模块1002，用于接收所述第一终端设备基于所述第一消息返回的自签名证书；
230.第一签发模块1003，用于根据所述自签名证书以及第二密钥对，签发第二目标证书，所述第二密钥对是所述第二终端设备中与所述第一目标证书对应的密钥对；
231.第三发送模块1004，用于将所述第二目标证书以及所述第一目标证书发送给所述第一终端设备。
232.综上所述，向第一终端设备发送第一消息，第一消息用于将第二终端设备控制第
一车辆的控制权限分享给第一终端设备；接收第一终端设备基于第一消息返回的自签名证书；根据自签名证书以及第二密钥对，签发第二目标证书，第二密钥对是第二终端设备中与第一目标证书对应的密钥对；将第二目标证书以及第一目标证书发送给第一终端设备。本技术的第二终端设备通过发送用于将第二终端设备控制第一车辆的控制权限分享给第一终端设备的第一消息，根据自签名证书以及第二密钥对，签发第二目标证书并发送给第一终端设备，使得第一终端设备获取到控制第一车辆的控制权限，完成数字钥匙的分享流程，不需要服务器的介入，基于两个终端设备之间的交互完成第二目标证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
233.可选的，所述第一目标证书包括第一公钥证书以及车辆公钥证书，所述装置还包括：
234.第一获取模块，用于在根据所述自签名证书以及第二密钥对，签发第二目标证书之前，根据所述第一公钥证书，获取所述第一公钥证书中的公钥；
235.第二获取模块，用于根据所述公钥，获取所述公钥对应的第二密钥对。
236.可选的，第一签发模块1003，包括：第一获取单元和第二签发单元；
237.所述第一获取单元，用于根据所述自签名证书，获取所述自签名证书的主体信息；
238.所述第二签发单元，用于根据所述第二密钥对中的私钥以及所述主体信息，签发所述第二目标证书。
239.可选的，所述装置还包括：
240.第七接收模块，用于在所述将所述第二目标证书以及所述第一目标证书发送给所述第一终端设备之后，接收撤销指令，所述撤销指令用于指示所述第二终端设备与所述第一车辆之间的第一目标证书失效；
241.第二删除模块，用于响应于所述撤销指令，将所述第二终端设备中存储的所述第一目标证书删除；
242.第七发送模块，用于并向所述第一终端设备发送所述撤销指令，以使得所述第一终端设备将存储的所述第二目标证书以及所述第一目标证书删除。
243.请参考图11，其示出了本技术一示例性实施例提供的数字钥匙共享装置的结构框图。该数字钥匙共享装置1100可以用于第一终端设备中，以执行图5或图7所示实施例提供的方法中由第一终端设备执行的全部或者部分步骤。该数字钥匙共享装置1100包括：
244.第四发送模块1101，用于向第一车辆发送第一目标证书和第二目标证书，所述第一目标证书和所述第二目标证书是由第二终端设备发送的，所述第二终端设备存储有对所述第一车辆进行控制的所述第一目标证书，所述第二目标证书是所述第二终端设备根据所述第一终端设备的自签名证书确定的；
245.第四接收模块1102，用于接收所述第一车辆对所述第一目标证书和所述第二目标证书进行验证的验证结果；
246.第一控制模块1103，用于当所述验证结果指示所述第一终端设备通过验证时，与所述第一车辆建立通信连接，基于所述通信连接控制所述第一车辆。
247.综上所述，向第一车辆发送第一目标证书和第二目标证书，第一目标证书和第二目标证书是由第二终端设备发送的，第二终端设备存储有对第一车辆进行控制的第一目标证书，第二目标证书是第二终端设备根据第一终端设备的自签名证书确定的；接收第一车
辆对第一目标证书和第二目标证书进行验证的验证结果；当验证结果指示第一终端设备通过验证时，与第一车辆建立安全通道，基于安全通道控制第一车辆。本技术的第一终端设备在得到由第二终端设备发送的第一目标证书和第二目标证书后，将第一目标证书和第二目标证书发送给第一车辆，由第一车辆直接进行验证，在验证通过时，可以自主控制第一车辆的控制权限，实现由第二终端设备向自身分享数字钥匙后快速控制第一车辆的流程，不需要服务器的介入，基于两个终端设备之间的交互完成第二目标证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
248.可选的，所述第一控制模块1103，包括：第二生成单元和第一控制单元；
249.所述第二生成单元，用于生成控制对称密钥；
250.所述第一控制单元，用于基于所述控制对称密钥以及所述安全通道，控制所述第一车辆。
251.可选的，所述装置还包括：
252.第八发送模块，用于在所述生成控制对称密钥之后，向所述第一车辆发送目标数据，所述目标数据为所述第一终端设备生成所述控制对称密钥使用的数据信息，以使得所述第一车辆根据所述数据信息生成与所述控制对称密钥相同的对称密钥。
253.请参考图12，其示出了本技术一示例性实施例提供的数字钥匙共享装置的结构框图。该数字钥匙共享装置1200可以用于第一车辆中，以执行图6或图7所示实施例提供的方法中由第一车辆执行的全部或者部分步骤。该数字钥匙共享装置1200包括：
254.第五接收模块1201，用于接收第一终端设备发送的第一目标证书和第二目标证书，所述第一目标证书和所述第二目标证书是由第二终端设备发送给所述第一终端设备的，所述第二终端设备存储有对所述第一车辆进行控制的所述第一目标证书，所述第二目标证书是所述第二终端设备根据所述第一终端设备的自签名证书确定的；
255.第五发送模块1202，用于向所述第一终端设备发送所述第一车辆对所述第一目标证书和所述第二目标证书进行验证的验证结果；
256.第一控制模块1203，用于当所述验证结果指示所述第一终端设备通过验证时，与所述第一车辆建立通信连接，使得所述第一终端设备基于所述通信连接控制所述第一车辆。
257.综上所述，接收第一终端设备发送的第一目标证书和第二目标证书，第一目标证书和第二目标证书是由第二终端设备发送给第一终端设备的，第二终端设备存储有对第一车辆进行控制的第一目标证书，第二目标证书是第二终端设备根据第一终端设备的自签名证书确定的；向第一终端设备发送第一车辆对第一目标证书和第二目标证书进行验证的验证结果；当验证结果指示第一终端设备通过验证时，与第一车辆建立安全通道，使得第一终端设备基于安全通道控制第一车辆。本技术的第一终端设备在得到由第二终端设备发送的第一目标证书和第二目标证书后，将第一目标证书和第二目标证书发送给第一车辆，由第一车辆直接进行验证，在验证通过时，可以自主控制第一车辆的控制权限，实现由第二终端设备向自身分享数字钥匙后快速控制第一车辆的流程，不需要服务器的介入，基于两个终端设备之间的交互完成第二目标证书的签发，提高了终端设备之间对数字钥匙的分享速度和效率。
258.可选的，所述第一控制模块1203，包括：第一接收单元和第三生成单元；
259.所述第一接收单元，用于接收所述第一终端设备发送的目标数据，所述目标数据为所述第一终端设备生成控制对称密钥使用的数据信息；
260.所述第三生成单元，用于根据所述目标数据中的所述数据信息，生成与所述控制对称密钥相同的对称密钥，使得所述第一终端设备基于所述控制对称密钥以及所述安全通道，控制所述第一车辆。
261.请参考图13，其示出了本技术一示例性实施例提供的一种终端设备的结构示意图。如图13所示，终端设备包括处理器1310、收发器1320和显示单元1370。其中，显示单元1370可以包括显示屏。
262.可选地，终端设备还可以包括存储器1330。处理器1310、收发器1320和存储器1330之间可以通过内部连接通路互相通信，传递测距数据，该存储器1330用于存储计算机程序，该处理器1310用于从该存储器1330中调用并运行该计算机程序。
263.上述处理器1310可以和存储器1330合成一个处理装置，更常见的是彼此独立的部件，处理器1310用于执行存储器1330中存储的程序代码来实现上述功能。具体实现时，该存储器1330也可以集成在处理器1310中，或者，独立于处理器1310。
264.可以理解的是，图13所示的终端设备可以包括一个或多个处理单元，例如：处理器1310可以包括应用处理器(application processor，ap)，调制解调处理器，图形处理器(graphics processing unit，gpu)，图像信号处理器(image signal processor，isp)，控制器，视频编解码器，数字信号处理器(digital signal processor，dsp)，基带处理器，和/或神经网络处理器(neural-network processing unit，npu)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。
265.处理器1310中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器1310中的存储器为高速缓冲存储器。该存储器可以保存处理器1310刚用过或循环使用的指令或数据。如果处理器1310需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器1310的等待时间，因而提高了系统的效率。
266.在一些实施例中，处理器1310可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit，i-c)接口，集成电路内置音频(inter-integrated circuit sound，i-s)接口，脉冲编码调制(pulse code modulation，pcm)接口，通用异步收发传输器(universal asynchronous receiver/transmitter，uart)接口，移动产业处理器接口(mobile industry processor interface，mipi)，通用输入输出(general-purpose input/output，gpio)接口，用户标识模块(subscriber identity module，sim)接口，和/或通用串行总线(universal serial bus，usb)接口等。
267.uart接口是一种通用串行数据总线，用于异步通信。该总线可以为双向通信总线。它将要传输的数据在串行通信与并行通信之间转换。在一些实施例中，uart接口通常被用于连接处理器1310与收发器1320。例如：处理器1310通过uart接口与收发器1320中的蓝牙模块通信，实现蓝牙功能。
268.mipi接口可以被用于连接处理器1310与显示单元1370等外围器件。mipi接口包括摄像头串行接口(camera serial interface，csi)，显示屏串行接口(display serial interface，dsi)等。在一些实施例中，处理器1310和显示单元1370通过dsi接口通信，实现终端设备的显示功能。
269.gpio接口可以通过软件配置。gpio接口可以被配置为控制信号，也可被配置为数据信号。在一些实施例中，gpio接口可以用于连接处理器1310与显示单元1370，收发器1320等。gpio接口还可以被配置为i13c接口，i13s接口，uart接口，mipi接口等。
270.收发器1320可以提供应用在终端设备上的包括无线局域网(wireless local area networks，wlan)(如无线保真(wireless fidelity，wi-fi)网络)，蓝牙(bluetooth，bt)，全球导航卫星系统(global navigation satellite system，gnss)，调频(frequency modulation，fm)，近距离无线通信技术(near field communication，nfc)，红外技术(infrared，ir)等无线通信的解决方案。收发器1320可以是集成至少一个通信处理模块的一个或多个器件，例如，可以包括蓝牙模块。
271.存储器1330可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。存储器1330可以包括存储程序区和存储数据区。其中，存储程序区可存储操作系统，至少一个功能所需的应用程序(比如声音播放功能，图像播放功能等)等。存储数据区可存储终端设备使用过程中所创建的数据(比如定位数据)等。此外，存储器1330可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器(universal flash storage，ufs)等。处理器1310通过运行存储在存储器1330的指令，和/或存储在设置于处理器中的存储器的指令，执行终端设备的各种功能应用以及数据处理。
272.除此之外，为了使得终端设备的功能更加完善，终端设备还可以包括电源1350、输入单元1360、音频电路1380和传感器1302等中的一个或多个。
273.电源1350，用于给终端设备中的各种器件或电路提供电源。优选的，电源1350可以通过电源管理装置与处理器1310逻辑相连，从而通过电源管理装置实现管理充电、放电、以及功耗管理等功能。
274.输入单元1360可用于接收输入的数字或字符信息，以及产生与终端设备的用户设置以及功能控制有关的键信号输入。具体地，输入单元1360可包括触控面板以及其他输入设备。触控面板，也称为触摸屏，可收集用户在其上或附近的触摸操作，比如用户使用手指、触笔等任何适合的物体或附件在触控面板上或在触控面板附近的操作，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器1310，并能接收处理器1310发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板。除了触控面板，输入单元1360还可以包括其他输入设备。具体地，其他输入设备可以包括但不限于功能键、轨迹球、操作杆等中的一种或多种。
275.显示单元1370可用于显示由用户输入的信息或提供给用户的信息以及终端设备的各种菜单。显示单元1370可包括显示面板，可选的，可以采用液晶显示器(liquid crystal display，lcd)、有机发光二极管(organic light-emitting diode，oled)等形式来配置显示面板。进一步的，触控面板可覆盖显示面板，当触控面板检测到在其上或附近的触摸操作后，传送给处理器1310以确定触摸事件的类型，随后处理器1310根据触摸事件的类型在显示面板上提供相应的视觉输出。
276.终端设备还可包括至少一种传感器1302，比如陀螺仪传感器、运动传感器以及其他传感器。具体地，陀螺仪传感器可以用于确定终端设备的运动姿态。在一些实施例中，可以通过陀螺仪传感器确定终端设备围绕三个轴(即，x，y和z轴)的角速度。陀螺仪传感器还可以用于导航，体感游戏场景。作为运动传感器的一种，加速度传感器可检测各个方向上(即，x，y和z轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别终端设备姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于终端设备还可配置的压力计、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。
277.音频电路1380可包括扬声器和传声器，提供用户与终端设备之间的音频接口。音频电路1380可将接收到的音频数据转换后的电信号，传输到扬声器，由扬声器转换为声音信号输出；另一方面，传声器将收集的声音信号转换为电信号，由音频电路1380接收后转换为音频数据，再将音频数据输出处理器1310处理后，经rf电路以发送给比如另一终端设备，或者将音频数据输出至存储器1330以便进一步处理。
278.可以理解的是，本技术实施例示意的结构并不构成对终端设备的具体限定。在本技术另一些实施例中，终端设备可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。
279.本技术实施例还提供了一种计算机可读介质，该计算机可读介质存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上述各个实施例所述的数字钥匙共享方法。
280.本技术实施例还提供了一种计算机程序产品，该计算机程序产品存储有至少一条指令，所述至少一条指令由所述处理器加载并执行以实现如上各个实施例所述的数字钥匙共享方法。
281.需要说明的是：上述实施例提供的装置在执行时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的装置与方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
282.上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
283.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
284.以上所述仅为本技术的可选实施例，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。