專利名稱:非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證系統(tǒng)、設(shè)備及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無(wú)線數(shù)據(jù)傳輸領(lǐng)域,特別是涉及一種非接觸式無(wú)線數(shù)據(jù)傳輸 的安全認(rèn)證系統(tǒng)、設(shè)備及方法。
背景技術(shù):
目前,在移動(dòng)設(shè)備中, 一般可以通過(guò)具有Wifi(IEEE 802.11a/b/g/n),UWB, 藍(lán)牙(Bluetooth)和紅外(Irda)等多種無(wú)線網(wǎng)絡(luò)通訊方式進(jìn)行數(shù)據(jù)交換。這 些無(wú)線通訊連接方式可以進(jìn)行移動(dòng)設(shè)備間的信息交換和功能共享,例如用戶 可以通過(guò)這些接口實(shí)現(xiàn)移動(dòng)設(shè)備間的流媒體文件傳輸、通訊錄備份等功能。 但出于對(duì)移動(dòng)設(shè)備功耗的考慮,移動(dòng)設(shè)備在缺省環(huán)境下,這些連接都處于關(guān) 閉狀態(tài),移動(dòng)設(shè)備用戶在使用前必須進(jìn)行設(shè)置,才能進(jìn)行使用,而設(shè)置過(guò)程 一般需要用戶具有一定的使用經(jīng)驗(yàn),不能夠方便用戶使用,限制了移動(dòng)設(shè)備 此部分功能的應(yīng)用范圍。
隨著RFID (Radio Frequency Identification,無(wú)線射頻識(shí)別)和NFC (Near Field Communication,近距離無(wú)線通信)等非接觸式射頻識(shí)別通信技術(shù)的發(fā) 展,越來(lái)越多的移動(dòng)設(shè)備開(kāi)始增加非接觸式射頻識(shí)別通信芯片的功能,以完 成購(gòu)物,電子購(gòu)票,小額電子支付,移動(dòng)設(shè)備間數(shù)據(jù)交換和門禁等功能。
非接觸式射頻識(shí)別通信技術(shù)使得無(wú)需用戶任何設(shè)置的移動(dòng)設(shè)備間的數(shù)據(jù) 交換成為可能。在使用非接觸式射頻識(shí)別通信技術(shù)的過(guò)程中,用戶只需將兩 個(gè)移動(dòng)設(shè)備靠近,由設(shè)備自動(dòng)進(jìn)行兩端認(rèn)證與協(xié)商,然后就可以完成設(shè)備間 數(shù)據(jù)交換的復(fù)雜任務(wù)。
現(xiàn)有的非接觸式射頻識(shí)別通信的國(guó)際標(biāo)準(zhǔn)非常多,比如NFC (ISO 18092)、 ISO 14443、 Sony Felica和RFID等標(biāo)準(zhǔn),通過(guò)這些近距離射頻識(shí)別 通信,都能實(shí)現(xiàn)在非常近的距離(<20cm),非常短的時(shí)間(<100ms)內(nèi)進(jìn)行 數(shù)據(jù)交換。
在非接觸式射頻識(shí)別通信(如RFID)標(biāo)準(zhǔn)的應(yīng)用場(chǎng)景描述中,為了能夠
實(shí)現(xiàn)非接觸式設(shè)備間的數(shù)據(jù)交換, 一般而言,可以使用了如下方法
RFID設(shè)備距離靠近一段時(shí)間,通過(guò)設(shè)備間標(biāo)簽和閱讀器相互,直接交互 傳送數(shù)據(jù)。但是此時(shí)設(shè)備要靠得非常近,而且在通訊過(guò)程中,數(shù)據(jù)傳輸率較
低,目前只能達(dá)到106kbps,雖然該速率可能能夠提升到424kbps,但是,也 遠(yuǎn)遠(yuǎn)低于藍(lán)牙(Bluetooth)和WiFi提供的數(shù)據(jù)傳輸率,同時(shí),設(shè)備的通信時(shí) 間短,傳輸數(shù)據(jù)量較小,不便于在較大量數(shù)據(jù)傳輸中應(yīng)用。
為了克服這一缺陷,現(xiàn)有的另一種方法是通過(guò)RFID射頻設(shè)備近距離關(guān) 聯(lián)并連接,協(xié)商其他無(wú)線網(wǎng)絡(luò)連接方式(如WiFi、藍(lán)牙等)的網(wǎng)絡(luò)連接參數(shù), 然后實(shí)際傳輸?shù)臄?shù)據(jù)通過(guò)無(wú)線網(wǎng)絡(luò)連接方式,比如Wifi、藍(lán)牙,進(jìn)行傳輸。 但是,現(xiàn)有技術(shù)僅解決了移動(dòng)終端間端到端的無(wú)線網(wǎng)絡(luò)連接建立的問(wèn)題,并 未解決在連接建立時(shí),無(wú)線網(wǎng)絡(luò)連接的設(shè)備驗(yàn)證和數(shù)據(jù)交換過(guò)程中端到端的 加密問(wèn)題,因此可能導(dǎo)致惡意用戶連接移動(dòng)設(shè)備獲取移動(dòng)設(shè)備的機(jī)密信息, 同時(shí),由于信道傳輸內(nèi)容缺乏有效的加密手段,因此這種傳輸工作方式僅適 合于傳輸機(jī)密性不高的數(shù)據(jù)內(nèi)容,對(duì)于傳輸具有一定安全性要求的數(shù)據(jù)就存 在安全性不能得到保證的問(wèn)題。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證系統(tǒng)、設(shè) 備及方法,其解決了現(xiàn)有技術(shù)在移動(dòng)終端的端到端無(wú)線網(wǎng)絡(luò)連接建立后,不 能驗(yàn)證設(shè)備身份,傳輸數(shù)據(jù)也得不到安全保證的問(wèn)題。
為實(shí)現(xiàn)本發(fā)明目的而提供的一種非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證系 統(tǒng),包括主設(shè)備和從設(shè)備,主設(shè)備包括射頻識(shí)別閱讀器,從設(shè)備包括射頻識(shí) 別標(biāo)簽,主設(shè)備和從設(shè)備包括無(wú)線網(wǎng)絡(luò)連接模塊;
所述主設(shè)備還包括第一安全認(rèn)證控制模塊,用于在射頻識(shí)別通信鏈路建 立后,與所述從設(shè)備交互無(wú)線網(wǎng)絡(luò)連接的安全認(rèn)證參數(shù);并在無(wú)線網(wǎng)絡(luò)連接 鏈路建立后,利用該安全認(rèn)證參數(shù)進(jìn)行主從設(shè)備之間的安全認(rèn)證;
所述從設(shè)備還包括第二安全認(rèn)證控制模塊,用于在射頻識(shí)別通信鏈路建 立后,與主設(shè)備交互無(wú)線網(wǎng)絡(luò)連接的安全認(rèn)證參數(shù);并在無(wú)線網(wǎng)絡(luò)連接鏈路 建立后,利用該安全認(rèn)證參數(shù)進(jìn)行主從設(shè)備之間的安全認(rèn)證。
所述安全認(rèn)證參數(shù)包括設(shè)備證書; 所述主設(shè)備還包括第一設(shè)備證書模塊,用于根據(jù)第一安全認(rèn)證控制模塊 的請(qǐng)求指令,生成設(shè)備證書,并將該設(shè)備證書發(fā)送給第一安全認(rèn)證控制模塊。 所述設(shè)備證書包括設(shè)備標(biāo)識(shí),應(yīng)用類型,認(rèn)證密鑰和傳輸密鑰。 所述主設(shè)備的安全認(rèn)證參數(shù),還包括會(huì)話標(biāo)識(shí);
所述主設(shè)備還包括會(huì)話標(biāo)識(shí)模塊,用于根據(jù)第一安全認(rèn)證控制模塊的請(qǐng) 求指令,生成會(huì)話標(biāo)識(shí),并將該會(huì)話標(biāo)識(shí)發(fā)送給第一安全認(rèn)證控制模塊。
所述從設(shè)備還包括無(wú)線網(wǎng)絡(luò)連接方式列表模塊,用于存儲(chǔ)從設(shè)備的無(wú)線 網(wǎng)絡(luò)連接方式列表,并根據(jù)第二安全認(rèn)證控制模塊的請(qǐng)求指令,將該無(wú)線網(wǎng) 絡(luò)連接方式列表發(fā)送給第二安全認(rèn)證控制模塊;
第二安全認(rèn)證控制模塊在射頻識(shí)別通信鏈路建立后,將從設(shè)備支持的無(wú) 線網(wǎng)絡(luò)連接方式列表發(fā)送給主設(shè)備;
主設(shè)備的第一安全認(rèn)證控制模塊根據(jù)從設(shè)備的無(wú)線網(wǎng)絡(luò)連接方式列表, 將相應(yīng)的無(wú)線網(wǎng)絡(luò)連接方式的配置參數(shù)發(fā)送給從設(shè)備。
所述從設(shè)備還包括第二設(shè)備證書模塊,用于根據(jù)第二安全認(rèn)證控制模塊 的請(qǐng)求指令,生成設(shè)備證書,并將該設(shè)備證書發(fā)送給第二安全認(rèn)證控制模塊。
所述無(wú)線網(wǎng)絡(luò)連接為WiFi無(wú)線網(wǎng)絡(luò)連接,UWB無(wú)線網(wǎng)絡(luò)連接或者藍(lán)牙 無(wú)線網(wǎng)絡(luò)連接,或者紅外無(wú)線網(wǎng)絡(luò)連接或者其他近距無(wú)線高速數(shù)據(jù)連接。
所述認(rèn)證密鑰為包括RSA算法或者ECC算法非對(duì)稱公鑰或者其他非對(duì) 稱密鑰算法的密鑰。
所述傳輸密鑰為包括DES、 3DES、 IDEA、 RC4、 RC5或者AES算法或
者其他對(duì)稱密鑰算法的密鑰。
為實(shí)現(xiàn)本發(fā)明還提供一種非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證設(shè)備,包括 無(wú)線網(wǎng)絡(luò)連接模塊,還包括安全認(rèn)證控制模塊,用于在射頻識(shí)別通信鏈路建 立后,交互無(wú)線網(wǎng)絡(luò)連接的安全認(rèn)證參數(shù);并在無(wú)線網(wǎng)絡(luò)連接鏈路建立后, 利用該安全認(rèn)證參數(shù)進(jìn)行設(shè)備間的安全認(rèn)證。
所述的安全認(rèn)證設(shè)備,還可以包括射頻識(shí)別閱讀器。
所述安全認(rèn)證參數(shù),包括會(huì)話標(biāo)識(shí);
所述設(shè)備還包括會(huì)話標(biāo)識(shí)模塊,用于根據(jù)安全認(rèn)證控制模塊的請(qǐng)求指令, 生成會(huì)話標(biāo)識(shí),并將該會(huì)話標(biāo)識(shí)發(fā)送給安全認(rèn)證控制模塊。
所述的安全認(rèn)證設(shè)備,還可以包括射頻識(shí)別標(biāo)簽。
所述的安全認(rèn)證設(shè)備,還包括無(wú)線網(wǎng)絡(luò)連接方式列表模塊,用于存儲(chǔ)設(shè) 備的無(wú)線網(wǎng)絡(luò)連接方式列表,并根據(jù)安全認(rèn)證控制模塊的請(qǐng)求指令,將該無(wú) 線網(wǎng)絡(luò)連接方式列表發(fā)送給安全認(rèn)證控制模塊。
所述安全認(rèn)證參數(shù)還包括設(shè)備證書;
所述設(shè)備還包括設(shè)備證書模塊,用于根據(jù)安全認(rèn)證控制模塊的請(qǐng)求指令, 生成設(shè)備證書,并將該設(shè)備證書發(fā)送給安全認(rèn)證控制模塊。 所述設(shè)備證書包括設(shè)備標(biāo)識(shí),應(yīng)用類型,認(rèn)證密鑰和傳輸密鑰。
所述無(wú)線網(wǎng)絡(luò)連接為WiFi無(wú)線網(wǎng)絡(luò)連接,UWB無(wú)線網(wǎng)絡(luò)連接或者藍(lán)牙 無(wú)線網(wǎng)絡(luò)連接,或者紅外無(wú)線網(wǎng)絡(luò)連接或者其他近距無(wú)線高速數(shù)據(jù)連接。
為實(shí)現(xiàn)本發(fā)明還提供一種非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證方法,包括 下列步驟
步驟A)主設(shè)備檢測(cè)從設(shè)備進(jìn)入近距離射頻感應(yīng)區(qū)后,主從設(shè)備建立射 頻識(shí)別鏈路連接;
步驟B)主從設(shè)備交換雙方支持的無(wú)線網(wǎng)絡(luò)連接的安全認(rèn)證參數(shù);
步驟C)主從設(shè)備判斷是否成功接收到安全認(rèn)證參數(shù);如果是,則建立 無(wú)線網(wǎng)絡(luò)連接;否則,提示用戶重新開(kāi)始射頻識(shí)別通信連接或者結(jié)束;
步驟D)主從設(shè)備之間在無(wú)線網(wǎng)絡(luò)連接鏈路上進(jìn)行非接觸式設(shè)備數(shù)據(jù)傳 輸?shù)暮灻?yàn)證。
所述步驟A)之后還包括下列步驟
從設(shè)備通過(guò)射頻識(shí)別鏈路向主設(shè)備發(fā)送無(wú)線網(wǎng)絡(luò)連接請(qǐng)求,主設(shè)備檢測(cè) 是否支持從設(shè)備的無(wú)線網(wǎng)絡(luò)連接請(qǐng)求,如果支持,則進(jìn)入步驟B);否則結(jié)束。
所述安全認(rèn)證參數(shù)包括設(shè)備證書,所述設(shè)備證書包括設(shè)備標(biāo)識(shí),應(yīng)用類 型,認(rèn)證密鑰和傳輸密鑰。
所述安全認(rèn)證參數(shù)還包括會(huì)話標(biāo)識(shí);
所述步驟B)還包括下列步驟
主設(shè)備為從設(shè)備分配會(huì)話標(biāo)識(shí)并發(fā)送給從設(shè)備。
所述步驟C)之后還包括下列步驟
在無(wú)線網(wǎng)絡(luò)連接建立后,從設(shè)備向主設(shè)備傳送會(huì)話標(biāo)識(shí),并請(qǐng)求應(yīng)用訪問(wèn)。
所述步驟D)包括下列步驟
步驟D1)主設(shè)備向從設(shè)備發(fā)送第一隨機(jī)數(shù)據(jù);
步驟D2)從設(shè)備收到第一隨機(jī)數(shù)后,使用自身的私鑰通過(guò)非對(duì)稱加密簽 名算法對(duì)第一隨機(jī)數(shù)加密,形成第一簽名,同時(shí)生成向主設(shè)備發(fā)送的第二隨 機(jī)數(shù)據(jù),將這兩個(gè)數(shù)據(jù)一起傳回主設(shè)備;
步驟D3)主設(shè)備用收到的從設(shè)備的公鑰對(duì)第一簽名利用相應(yīng)的非對(duì)稱加 密簽名算法進(jìn)行解密,如果解密結(jié)果與第一隨機(jī)數(shù)相等,則從設(shè)備合法;同
時(shí),使用自身的私鑰對(duì)第二隨機(jī)數(shù)利用非對(duì)稱加密算法加密,形成第二簽名,
并將兩個(gè)簽名數(shù)據(jù)一起傳回從設(shè)備;
步驟D4)從設(shè)備用收到的主設(shè)備的公鑰對(duì)第二簽名利用相應(yīng)的非對(duì)稱算 法進(jìn)行解密,如果解密結(jié)果與第二隨機(jī)數(shù)相等,則主設(shè)備合法;同時(shí),比較 發(fā)出的第一簽名和收到的第二簽名是否相等,如果相等則驗(yàn)證通過(guò)。
所述的安全認(rèn)證方法,還包括下列步驟
步驟E)主從設(shè)備根據(jù)設(shè)備證書中的傳輸密鑰,加密所要傳輸?shù)臄?shù)據(jù)后 進(jìn)行相互傳輸。所述射頻識(shí)別鏈路連接為RFID連接或者NFC連接。
所述無(wú)線網(wǎng)絡(luò)連接為WiFi無(wú)線網(wǎng)絡(luò)連接,UWB無(wú)線網(wǎng)絡(luò)連接或者藍(lán)牙 無(wú)線網(wǎng)絡(luò)連接,或者紅外無(wú)線網(wǎng)絡(luò)連接或者其他近距無(wú)線高速數(shù)據(jù)連接。
所述認(rèn)證密鑰為包括RSA算法或者ECC算法的非對(duì)稱密鑰。
所述傳輸密鑰為包括DES、 3DES、 IDEA、 RC4、 RC5或者AES算法或 者其他對(duì)稱密鑰算法的密鑰。
本發(fā)明的有益效果是本發(fā)明的非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證系統(tǒng)、 設(shè)備及方法,采用非接觸近距離射頻識(shí)別通信鏈路交互,交互會(huì)話標(biāo)識(shí),設(shè) 備證書及無(wú)線網(wǎng)絡(luò)配置參數(shù)。在不降低用戶易用性的前提下,保證較高的安 全性,同時(shí)保證無(wú)線網(wǎng)絡(luò)連接的受信設(shè)備建立高速連接時(shí),依然能夠保證設(shè) 備身份的傳遞,避免了在開(kāi)放網(wǎng)絡(luò)中,設(shè)備身份盜用引起的安全性問(wèn)題。
圖1為本發(fā)明非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證系統(tǒng)結(jié)構(gòu)示意圖; 圖2為本發(fā)明移動(dòng)設(shè)備間數(shù)據(jù)交換安全認(rèn)證方法過(guò)程流程圖3為本發(fā)明簽名驗(yàn)證過(guò)程示意圖。
具體實(shí)施例方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖l
2及實(shí)施例,對(duì)本發(fā)明的非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證系統(tǒng)、設(shè)備及方 法進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋 本發(fā)明,并不用于限定本發(fā)明。
本發(fā)明的技術(shù)要點(diǎn)是在包括射頻識(shí)別器件的移動(dòng)設(shè)備之間,通過(guò)近距離 接觸,利用射頻識(shí)別通信技術(shù)連接后,非接觸式設(shè)備之間利用射頻識(shí)別通信 鏈路交換無(wú)線網(wǎng)絡(luò)連接的配置參數(shù),會(huì)話標(biāo)識(shí),設(shè)備證書信息;然后,非接 觸式設(shè)備利用無(wú)線網(wǎng)絡(luò)連接的配置參數(shù)建立無(wú)線網(wǎng)絡(luò)連接,再由非接觸式設(shè) 備之間通過(guò)無(wú)線網(wǎng)絡(luò)鏈路傳輸會(huì)話標(biāo)識(shí),確認(rèn)無(wú)線網(wǎng)絡(luò)連接的非接觸式設(shè)備 以及無(wú)線網(wǎng)絡(luò)連接是否在有效鏈接時(shí)間內(nèi);最后,利用設(shè)備證書中的認(rèn)證密 鑰對(duì)非接觸式設(shè)備的鏈路進(jìn)行非接觸式設(shè)備簽名驗(yàn)證確認(rèn);更進(jìn)一步地,非 接觸式設(shè)備簽名驗(yàn)證通過(guò)后,傳輸數(shù)據(jù)時(shí),利用設(shè)備證書中的傳輸密鑰加密 傳輸。這樣,就可以利用近距離射頻識(shí)別通信鏈路交互,交換無(wú)線網(wǎng)絡(luò)連接 的配置參數(shù)、會(huì)話標(biāo)識(shí)及設(shè)備證書,再在無(wú)線網(wǎng)絡(luò)連接下確認(rèn)連接設(shè)備,對(duì) 非接觸式設(shè)備進(jìn)行簽名驗(yàn)證,其在不降低用戶易用性的前提下,保證較高的 安全性。
下面首先結(jié)合附圖詳細(xì)說(shuō)明本發(fā)明的非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證 系統(tǒng)
為了清楚說(shuō)明本發(fā)明非接觸式無(wú)線數(shù)據(jù)傳輸安全認(rèn)證系統(tǒng),在本發(fā)明實(shí) 施例中,稱感應(yīng)射頻識(shí)別通信信號(hào)(如RFID或NFC射頻信號(hào))的移動(dòng)設(shè)備, 即具有射頻識(shí)別閱讀器的移動(dòng)設(shè)備為主設(shè)備A,或稱第一設(shè)備A;稱感應(yīng)射 頻識(shí)別通信信號(hào)(如RFID或者NFC射頻信號(hào))的移動(dòng)設(shè)備,即具有射頻識(shí) 別標(biāo)簽的移動(dòng)設(shè)備為從設(shè)備B,或稱為第二設(shè)備B。同時(shí),本領(lǐng)域的普通技 術(shù)人員可以很容易理解, 一個(gè)物理設(shè)備可以同時(shí)具備射頻識(shí)別閱讀器和射頻 識(shí)別標(biāo)簽的功能,本發(fā)明中區(qū)分主設(shè)備和從設(shè)備,只是對(duì)數(shù)據(jù)交換的邏輯地 位進(jìn)行區(qū)分,而不是對(duì)本發(fā)明的限定。
如圖1所示,本發(fā)明的非接觸式無(wú)線數(shù)據(jù)傳輸安全認(rèn)證系統(tǒng),包括主設(shè)
備A和從設(shè)備B
主設(shè)備A包括射頻識(shí)別閱讀器,用于發(fā)射射頻識(shí)別通信信號(hào),接受射頻 識(shí)別標(biāo)簽的建立通信鏈路請(qǐng)求,與射頻識(shí)別標(biāo)簽建立射頻識(shí)別通信鏈路。
從設(shè)備B包括射頻識(shí)別標(biāo)簽,用于接收射頻識(shí)別閱讀器的信號(hào),向閱讀 器發(fā)出建立通信鏈路請(qǐng)求,建立射頻識(shí)別通信鏈路。
為實(shí)現(xiàn)本發(fā)明的非接觸式數(shù)據(jù)傳輸,本發(fā)明中的非接觸式主從設(shè)備包括 無(wú)線網(wǎng)絡(luò)連接模塊,用于建立無(wú)線網(wǎng)絡(luò)連接,如WiFi、 UWB無(wú)線網(wǎng)絡(luò)連接、 藍(lán)牙(Bluetooth)、紅外(Irda)無(wú)線網(wǎng)絡(luò)連接或者其他無(wú)線網(wǎng)絡(luò)連接方式。
本發(fā)明的非接觸式無(wú)線數(shù)據(jù)傳輸安全認(rèn)證系統(tǒng)的主設(shè)備A中,還包括第 一安全認(rèn)證控制模塊,會(huì)話標(biāo)識(shí)模塊,第一設(shè)備證書模塊,其中
第一安全認(rèn)證控制模塊,用于在射頻識(shí)別通信鏈路建立后,根據(jù)從設(shè)備 B的無(wú)線網(wǎng)絡(luò)連接方式列表,將相應(yīng)的無(wú)線網(wǎng)絡(luò)連接方式的配置參數(shù)發(fā)送給 從設(shè)備,與從設(shè)備交互無(wú)線網(wǎng)絡(luò)連接的安全認(rèn)證參數(shù);并在無(wú)線網(wǎng)絡(luò)連接鏈 路建立后,利用該安全認(rèn)證參數(shù)進(jìn)行主從設(shè)備之間的安全認(rèn)證。
所述的安全認(rèn)證參數(shù),包括會(huì)話標(biāo)識(shí),設(shè)備證書。
所述的設(shè)備證書,包括設(shè)備標(biāo)識(shí),應(yīng)用類型,認(rèn)證密鑰和傳輸密鑰等安 全認(rèn)證信息。
設(shè)備標(biāo)識(shí)為"^個(gè)用于標(biāo)識(shí)設(shè)備的隨機(jī)數(shù),在多個(gè)從設(shè)備和主設(shè)備關(guān)聯(lián)時(shí), 設(shè)備標(biāo)識(shí)用于區(qū)分不同的設(shè)備。
應(yīng)用類型用于標(biāo)識(shí)主從設(shè)備其后交換的數(shù)據(jù)類型,比如應(yīng)用類型可以是 文件服務(wù)、流媒體服務(wù)、數(shù)據(jù)校驗(yàn)服務(wù)和網(wǎng)絡(luò)共享服務(wù)等。僅在主從設(shè)備都 支持此應(yīng)用類型時(shí),雙方可以進(jìn)行其后的高速數(shù)據(jù)交換。
會(huì)話標(biāo)識(shí)模塊,用于根據(jù)第一安全認(rèn)證控制模塊的請(qǐng)求指令,生成會(huì)話 標(biāo)識(shí),并將該會(huì)話標(biāo)識(shí)發(fā)送給第一安全認(rèn)證控制模塊。
第一設(shè)備證書模塊,用于根據(jù)第一安全認(rèn)證控制模塊的請(qǐng)求指令,生成 設(shè)備證書,并將該設(shè)備證書發(fā)送給第一安全認(rèn)證控制模塊。
第一設(shè)備證書模塊生成的設(shè)備證書,包括設(shè)備標(biāo)識(shí),應(yīng)用類型,認(rèn)證密 鑰和傳輸密鑰。
認(rèn)證密鑰和傳輸密鑰是由預(yù)設(shè)的加密算法的密鑰中心生成或者預(yù)存的加
解密算法的密鑰。
認(rèn)證密鑰可以為非對(duì)稱算法密鑰對(duì)中的公鑰,如RSA或ECC (Elliptic Curves Cryptography)或其他非對(duì)稱密鑰算法的非對(duì)稱密鑰,所述加密算法的 認(rèn)證密鑰對(duì)由該算法的密鑰中心生成或者預(yù)存。
認(rèn)證密鑰根據(jù)設(shè)備情況也可以選擇對(duì)稱密鑰算法,如DES (Data Encryption Standard )、 3DES、 IDEA、 RG4、 RG5、 AES (Advanced Encryption Standard)或者其他對(duì)稱密鑰算法的密鑰,此時(shí)認(rèn)證密鑰為一個(gè)隨機(jī)數(shù)或變換 產(chǎn)生。
傳輸密鑰為對(duì)稱算法密鑰,如DES (Data Encryption Standard)、 AES (AdvancedEncryption Standard)等加密算法的密鑰,所述加密算法的密鑰由 該算法的密鑰中心生成或者預(yù)存。
本發(fā)明的非接觸式無(wú)線數(shù)據(jù)傳輸安全認(rèn)證系統(tǒng)的從設(shè)備B中,還包括第 二安全認(rèn)證控制模塊,無(wú)線網(wǎng)絡(luò)連接方式列表模塊,第二設(shè)備證書模塊,其 中-
第二安全認(rèn)證控制模塊,用于在射頻識(shí)別通信鏈路建立后,將從設(shè)備支 持的無(wú)線網(wǎng)絡(luò)連接方式列表發(fā)送給主設(shè)備,與主設(shè)備交互無(wú)線網(wǎng)絡(luò)連接的安 全認(rèn)證參數(shù);并在無(wú)線網(wǎng)絡(luò)連接鏈路建立后,利用該安全認(rèn)證參數(shù)進(jìn)行主從 設(shè)備之間的安全認(rèn)證。
無(wú)線網(wǎng)絡(luò)連接方式列表模塊,用于存儲(chǔ)從設(shè)備的無(wú)線網(wǎng)絡(luò)連接方式列表, 并根據(jù)第二安全認(rèn)證控制模塊的請(qǐng)求指令,將該無(wú)線網(wǎng)絡(luò)連接方式列表發(fā)送 給第二安全認(rèn)證控制模塊。
第二設(shè)備證書模塊,用于根據(jù)第二安全認(rèn)證控制模塊的請(qǐng)求指令,生成 設(shè)備證書,并將該設(shè)備證書發(fā)送給第二安全認(rèn)證控制模塊。
第二設(shè)備證書模塊生成的設(shè)備證書,包括設(shè)備標(biāo)識(shí),應(yīng)用類型,認(rèn)證密鑰。
與主設(shè)備的第一設(shè)備證書模塊相同,認(rèn)證密鑰是由預(yù)設(shè)的加密算法的密 鑰中心生成或者預(yù)存的加解密算法的密鑰。較佳地,認(rèn)證密鑰為非對(duì)稱算法 公鑰,如RSA或ECC (Elliptic Curves Cryptography)或其他非對(duì)稱密鑰算法 的非對(duì)稱密鑰,所述加密算法的密鑰對(duì)由該算法的密鑰中心生成或者預(yù)存。
本發(fā)明的非接觸式無(wú)線數(shù)據(jù)傳輸安全認(rèn)證系統(tǒng),在主從設(shè)備近距離非接 觸連接過(guò)程中,主從設(shè)備間的閱讀器和標(biāo)簽之間通過(guò)協(xié)商設(shè)備雙方的近距離
射頻識(shí)別通信工作方式,建立近距離射頻識(shí)別通信連接,此連接遵循ISO 7816 標(biāo)準(zhǔn)定義的相關(guān)操作流程;然后主設(shè)備A中的會(huì)話標(biāo)識(shí)模塊為從設(shè)備B分配 會(huì)話標(biāo)識(shí),發(fā)送給第一安全認(rèn)證控制模塊,再由第一安全認(rèn)證控制模塊通過(guò) 射頻識(shí)別通信鏈路傳輸給從設(shè)備。
其中,會(huì)話標(biāo)識(shí)用于控制主從設(shè)備的接入時(shí)間范圍和請(qǐng)求的應(yīng)用類型。
同時(shí),從設(shè)備B中的無(wú)線網(wǎng)絡(luò)連接方式列表模塊根據(jù)第二安全認(rèn)證控制 模塊的請(qǐng)求指令,將該無(wú)線網(wǎng)絡(luò)連接方式列表發(fā)送給第二安全認(rèn)證控制模塊, 第二安全認(rèn)證控制模塊通過(guò)射頻識(shí)別鏈路將該無(wú)線網(wǎng)絡(luò)連接方式列表傳輸給 主設(shè)備A,主從設(shè)備之間協(xié)商合適的無(wú)線射頻連接工作方式,第一安全認(rèn)證 控制模塊和第二安全認(rèn)證控制模塊之間交換無(wú)線網(wǎng)絡(luò)連接的配置參數(shù);然后 主設(shè)備A等待從設(shè)備B的連接請(qǐng)求;
所述的配置參數(shù)包括無(wú)線網(wǎng)絡(luò)標(biāo)識(shí),無(wú)線加密方式,網(wǎng)絡(luò)地址和數(shù)據(jù)端 口等建立無(wú)線射頻連接必需的參數(shù)。
無(wú)線加密方式是指無(wú)線信道的加密方式,對(duì)于WIFI而言,包含無(wú)線加密 類型,比如WEP、 802.11i、 WAPI、 AES等,以及對(duì)應(yīng)的無(wú)線信到加密密鑰, 密鑰長(zhǎng)度與無(wú)線加密類型對(duì)應(yīng)。
在這一過(guò)程中,主設(shè)備中的第一設(shè)備證書模塊和從設(shè)備的第二設(shè)備證書 模塊分別根據(jù)主設(shè)備的第一安全認(rèn)證控制模塊和從設(shè)備的第二安全認(rèn)證控制 模塊的請(qǐng)求,分別將各自的設(shè)備證書發(fā)送給第一安全認(rèn)證控制模塊和第二安 全認(rèn)證控制模塊,第一安全認(rèn)證控制模塊和第二安全認(rèn)證控制模塊之間通過(guò) 射頻識(shí)別通信鏈路交換各自的設(shè)備證書。 '
其中,設(shè)備證書包括有設(shè)備信息,設(shè)備信息包括設(shè)備標(biāo)識(shí),應(yīng)用類型, 認(rèn)證密鑰和傳輸密鑰等信息。
認(rèn)證密鑰用于高速連接建立時(shí)驗(yàn)證此設(shè)備的有效性;
應(yīng)用類型指無(wú)線網(wǎng)絡(luò)連接(如WiFi連接)傳輸?shù)臄?shù)據(jù)類型,具體地說(shuō), 就是主設(shè)備能夠提供的服務(wù)類型,如共享的流媒體文件,通訊錄文件等。
然后,主從設(shè)備判斷是否接收到會(huì)話標(biāo)識(shí),無(wú)線網(wǎng)絡(luò)連接的配置參數(shù),
設(shè)備證書信息,如果是,則開(kāi)始進(jìn)行無(wú)線網(wǎng)絡(luò)連接,主從設(shè)備可以通過(guò)移離
(>20cm)或者超時(shí)(>100ms)而斷開(kāi)射頻識(shí)別通信鏈路;否則,提示用戶 重新開(kāi)始射頻識(shí)別通信連接或者結(jié)束。
其后,指定會(huì)話標(biāo)識(shí)的從設(shè)備在會(huì)話標(biāo)識(shí)有效時(shí)間內(nèi)利用主設(shè)備傳輸過(guò) 來(lái)的配置參數(shù)接入主設(shè)備,設(shè)置主從設(shè)備之間的無(wú)線網(wǎng)絡(luò)連接,包括WiFi 無(wú)線網(wǎng)絡(luò)連接,UWB無(wú)線網(wǎng)絡(luò)連接或者藍(lán)牙無(wú)線網(wǎng)絡(luò)連接,或者紅外無(wú)線網(wǎng) 絡(luò)連接或者其他近距無(wú)線高速數(shù)據(jù)連接;
最后,從設(shè)備的第二安全認(rèn)證控制模塊向主設(shè)備發(fā)送會(huì)話標(biāo)識(shí);主設(shè)備 的第一安全認(rèn)證控制模塊向從設(shè)備發(fā)送隨機(jī)字符串并由交換的密鑰進(jìn)行多次 簽名驗(yàn)證過(guò)程,在端對(duì)端驗(yàn)證成功之后,主從設(shè)備建立有效的數(shù)據(jù)鏈路,并 開(kāi)始真實(shí)的數(shù)據(jù)傳輸。
這樣,在無(wú)線網(wǎng)絡(luò)連接建立時(shí),保證不被惡意用戶連接移動(dòng)設(shè)備獲取移 動(dòng)設(shè)備的機(jī)密信息,也可以保證不被惡意用戶假裝成移動(dòng)設(shè)備向用戶傳遞非 授權(quán)數(shù)據(jù),可以保證該無(wú)線網(wǎng)絡(luò)連接方式適合于傳輸機(jī)密性較高的數(shù)據(jù)內(nèi)容, 使數(shù)據(jù)的安全性得到保證。
較佳地,在高速數(shù)據(jù)傳輸過(guò)程中,主從設(shè)備使用交換的傳輸密鑰對(duì)所交 換的數(shù)據(jù)進(jìn)行加解密,進(jìn)一步保證所交換數(shù)據(jù)的安全性。
如圖2所示,下面結(jié)合本發(fā)明的安全認(rèn)證系統(tǒng)進(jìn)一步詳細(xì)說(shuō)明本發(fā)明的 非接觸式無(wú)線傳輸?shù)陌踩J(rèn)證方法,其包括下列步驟
步驟1:主設(shè)備檢測(cè)從設(shè)備進(jìn)入近距離射頻感應(yīng)區(qū)后,主從設(shè)備建立射 頻識(shí)別鏈路連接(如RFID連接);
主設(shè)備發(fā)射檢測(cè)信號(hào),檢測(cè)是否有從設(shè)備進(jìn)入射頻感應(yīng)區(qū),當(dāng)從設(shè)備進(jìn) 入近距離射頻感應(yīng)區(qū)后,主從設(shè)備進(jìn)行設(shè)備建立射頻識(shí)別鏈路連接(RFID連 接),包括進(jìn)行底層安全性驗(yàn)證,此連接遵循ISO 7816標(biāo)準(zhǔn)定義的相關(guān)操作 流程,本發(fā)明實(shí)施例中引用該標(biāo)準(zhǔn)的技術(shù)操作,不再一一贅述;如果主從設(shè) 備在射頻識(shí)別鏈路連接過(guò)程中都有效,則進(jìn)行下一步;否則,異常結(jié)束。
步驟2:從設(shè)備通過(guò)射頻識(shí)別鏈路向主設(shè)備發(fā)送無(wú)線網(wǎng)絡(luò)連接(如WiFi 連接)請(qǐng)求,主設(shè)備檢測(cè)是否支持從設(shè)備的無(wú)線網(wǎng)絡(luò)連接請(qǐng)求,如果支持, 則進(jìn)入步驟3;否則結(jié)束;
從設(shè)備通過(guò)射頻識(shí)別鏈路(如RPID鏈路)向主設(shè)備發(fā)送無(wú)線網(wǎng)絡(luò)連接 (如WiFi連接)請(qǐng)求,該請(qǐng)求包括向從設(shè)備所支持的無(wú)線連接方式列表。
主設(shè)備收到無(wú)線連接方式列表后,判斷是否支持列表中的無(wú)線連接方式, 如果不能支持,則異常結(jié)束;否則,主設(shè)備能夠支持此無(wú)線連接方式,進(jìn)入 步驟3。
從設(shè)備向主設(shè)備發(fā)送無(wú)線網(wǎng)絡(luò)連接請(qǐng)求,主設(shè)備檢測(cè)本地應(yīng)用列表,如 果能夠支持此應(yīng)用,主設(shè)備可以根據(jù)設(shè)置選擇從設(shè)備傳送預(yù)設(shè)的PIN碼或其 他生物特征進(jìn)行用戶驗(yàn)證,同時(shí),將這些驗(yàn)證信息保存在從設(shè)備的非接觸式 設(shè)備相關(guān)存儲(chǔ)區(qū)域或者操作系統(tǒng)內(nèi)部文件區(qū)域內(nèi)。
步驟3:主設(shè)備為從設(shè)備分配會(huì)話標(biāo)識(shí)并發(fā)送給從設(shè)備,同時(shí)主從設(shè)備
交換雙方支持的無(wú)線網(wǎng)絡(luò)連接方式的配置參數(shù)和設(shè)備證書;
步驟31:主設(shè)備為從設(shè)備分配一個(gè)會(huì)話標(biāo)識(shí)并發(fā)送給從設(shè)備,此會(huì)話標(biāo)
識(shí)定時(shí)有效。
這時(shí),主設(shè)備為從設(shè)備分配一個(gè)會(huì)話標(biāo)識(shí),并且主設(shè)備會(huì)維護(hù)一個(gè)簡(jiǎn)單 的數(shù)據(jù)結(jié)構(gòu),保存會(huì)話標(biāo)識(shí)有效期和這些會(huì)話的應(yīng)用類型。
此會(huì)話標(biāo)識(shí)供其后主從設(shè)備之間建立高速網(wǎng)絡(luò)連接使用,如果在會(huì)話標(biāo) 識(shí)有效期內(nèi),從設(shè)備未進(jìn)行任何向主設(shè)備的連接動(dòng)作,則會(huì)話標(biāo)識(shí)失效。
步驟32:同時(shí),主從設(shè)備交換雙方支持的無(wú)線連接方式的配置參數(shù)和設(shè)
備證書;
主設(shè)備在從設(shè)備傳送來(lái)的無(wú)線連接方式列表中選擇合適的無(wú)線連接方 式,并將配置參數(shù),包括無(wú)線網(wǎng)絡(luò)標(biāo)識(shí),無(wú)線加密方法,網(wǎng)絡(luò)地址和數(shù)據(jù)端 口等信息傳回從設(shè)備;從設(shè)備也可以選擇將配置參數(shù),包括無(wú)線網(wǎng)絡(luò)標(biāo)識(shí), 無(wú)線加密方法,網(wǎng)絡(luò)地址和數(shù)據(jù)端口等信息傳回主設(shè)備。
設(shè)備證書包括設(shè)備標(biāo)識(shí),應(yīng)用類型,認(rèn)證密鑰和傳輸密鑰。
應(yīng)用類型指無(wú)線網(wǎng)絡(luò)連接(如WiFi連接)傳輸?shù)臄?shù)據(jù)類型,具體地說(shuō), 就是主設(shè)備能夠提供的服務(wù)類型,如共享的流媒體文件,通訊錄文件等。
如果非接觸式設(shè)備計(jì)算能力有限,不支持非對(duì)稱鑒權(quán)方式,實(shí)現(xiàn)時(shí),也 可以采用對(duì)稱密鑰實(shí)現(xiàn)公私鑰機(jī)制,只是此時(shí)可能降低應(yīng)用安全性。
認(rèn)證密鑰為非對(duì)稱算法公鑰,如RSA或ECC加密算法的公鑰,或者其
他非對(duì)稱密鑰算法的非對(duì)稱密鑰,所述加密算法的認(rèn)證公鑰由該算法的密鑰 中心生成或者預(yù)存。
傳輸密鑰用于傳輸數(shù)據(jù)過(guò)程中的加密密鑰。較佳地,考慮加密的效率,
傳輸密鑰可以是一個(gè)隨機(jī)生成的對(duì)稱密鑰。為對(duì)稱算法密鑰,如DES、 3DES、 IDEA、 RC4、 RC5、 AES算法或者其他對(duì)稱密鑰算法的密鑰,認(rèn)證密鑰為一 個(gè)隨機(jī)數(shù)或某種變換產(chǎn)生。
較佳地,本發(fā)明實(shí)施例中的設(shè)備證書只在主從設(shè)備會(huì)話標(biāo)識(shí)有效期內(nèi)有效。
步驟4:主從設(shè)備判斷是否成功接收到會(huì)話標(biāo)識(shí),無(wú)線網(wǎng)絡(luò)連接的配置 參數(shù),設(shè)備證書信息,如果是,則建立無(wú)線網(wǎng)絡(luò)連接;否則,提示用戶重新 開(kāi)始射頻識(shí)別通信連接或者結(jié)束。
近距離射頻的RFID鏈路傳輸數(shù)據(jù)結(jié)束,主從設(shè)備可以通過(guò)移離(〉20cm) 或者超時(shí)OlOOms)而斷開(kāi)射頻識(shí)別通信鏈路,根據(jù)交換的無(wú)線網(wǎng)絡(luò)連接的 配置參數(shù)建立連接。
非接觸式主從設(shè)備通過(guò)近距離射頻識(shí)別通信連接鏈路傳送會(huì)話標(biāo)識(shí),交 換配置參數(shù)和設(shè)備證書,近距離射頻識(shí)別鏈路傳輸數(shù)據(jù)結(jié)束,主從設(shè)備之間 斷開(kāi)射頻識(shí)別鏈路連接;接著,從設(shè)備通過(guò)協(xié)商的無(wú)線網(wǎng)絡(luò)連接方式利用配 置參數(shù)連接主設(shè)備,指定會(huì)話標(biāo)識(shí)的從設(shè)備在會(huì)話標(biāo)識(shí)有效時(shí)間內(nèi)利用主設(shè) 備傳輸過(guò)來(lái)的配置參數(shù)接入主設(shè)備,設(shè)置并建立主從設(shè)備之間的無(wú)線網(wǎng)絡(luò)連 接。
步驟5:在無(wú)線網(wǎng)絡(luò)連接建立后,從設(shè)備向主設(shè)備傳送會(huì)話標(biāo)識(shí),并請(qǐng) 求應(yīng)用訪問(wèn)。
從設(shè)備向主設(shè)備傳送會(huì)話標(biāo)識(shí),確認(rèn)所建立的無(wú)線網(wǎng)絡(luò)連接為射頻識(shí)別 通信連接時(shí)請(qǐng)求無(wú)線網(wǎng)絡(luò)連接的設(shè)備,以及是在會(huì)話標(biāo)識(shí)有效期內(nèi)建立的連 接。
步驟6:主從設(shè)備之間在無(wú)線網(wǎng)絡(luò)連接鏈路上進(jìn)行非接觸式設(shè)備數(shù)據(jù)傳 輸?shù)暮灻?yàn)證;
其后,在無(wú)線WiFi鏈路上,主設(shè)備A啟動(dòng)一個(gè)使用交換的認(rèn)證密鑰進(jìn) 行三次簽名驗(yàn)證過(guò)程,如圖3所示,此時(shí)僅有隨機(jī)簽名傳輸,不進(jìn)行密鑰傳
輸。
步驟61:由主設(shè)備A向從設(shè)備B發(fā)送一個(gè)隨機(jī)數(shù)據(jù)RandomA;
步驟62:從設(shè)備B收到隨機(jī)數(shù)RandomA后,使用自身的私鑰通過(guò)非對(duì) 稱加密簽名算法(如RSA或ECC算法)對(duì)隨機(jī)數(shù)RandomA加密,形成簽名 TokenA,同時(shí)生成向主設(shè)備A發(fā)送的另一個(gè)隨機(jī)數(shù)據(jù)RandomB,將這兩個(gè) 數(shù)據(jù)一起傳回主設(shè)備A;
步驟63:主設(shè)備A用收到的從設(shè)備B的公鑰對(duì)簽名TokenA利用相應(yīng)的 非對(duì)稱加密簽名算法進(jìn)行解密,如果解密結(jié)果與隨機(jī)數(shù)RandomA相等,則從 設(shè)備B合法。同時(shí),使用自身的私鑰對(duì)隨機(jī)數(shù)RandomB利用非對(duì)稱加密算 法(如ECC算法)加密,形成簽名TokenB,并將簽名TokenB+TokenA兩個(gè) 簽名數(shù)據(jù)一起傳回從設(shè)備B。
步驟64:從設(shè)備B用收到的主設(shè)備A的公鑰對(duì)TokenB利用相應(yīng)的非對(duì) 稱算法進(jìn)行解密,如果解密結(jié)果與RandomB相等,則主設(shè)備A合法;同時(shí), 比較發(fā)出的TokenA和收到的TokenA是否相等,如果相等則驗(yàn)證通過(guò)。
如果上述驗(yàn)證過(guò)程全部完成,則圭從設(shè)備的雙端驗(yàn)證完成,則允許兩者 之間進(jìn)行數(shù)據(jù)傳輸?shù)墓ぷ鳌H绻魏我徊襟E結(jié)果為否,則終止主從設(shè)備的數(shù) 據(jù)連接。
步驟7:主從設(shè)備根據(jù)設(shè)備證書中的傳輸密鑰,加密所要傳輸?shù)臄?shù)據(jù)后 進(jìn)行相互傳輸。
在雙端驗(yàn)證通過(guò)后,主設(shè)備根據(jù)會(huì)話標(biāo)識(shí)對(duì)應(yīng)應(yīng)用類型,檢查從設(shè)備發(fā) 送的數(shù)據(jù)訪問(wèn)請(qǐng)求,如果從設(shè)備請(qǐng)求的應(yīng)用類型與會(huì)話標(biāo)識(shí)不符,則拒絕從 設(shè)備的應(yīng)用請(qǐng)求。
同時(shí),主從設(shè)備之間的數(shù)據(jù)交換采用先前交換的設(shè)備證書中的傳輸密鑰 進(jìn)行加密后相互傳輸,所述的加密算法為DES、 3DES、 IDEA、 RC4、 RC5、 AES等對(duì)稱加密算法。
本發(fā)明的非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證系統(tǒng)、設(shè)備及方法,采用非 接觸近距離射頻識(shí)別通信鏈路交互,交互會(huì)話標(biāo)識(shí),設(shè)備證書及無(wú)線網(wǎng)絡(luò)配 置參數(shù),然后利用無(wú)線網(wǎng)絡(luò)配置參數(shù),建立無(wú)線網(wǎng)絡(luò)連接,利用會(huì)話標(biāo)識(shí)在 無(wú)線網(wǎng)絡(luò)連接的鏈路上進(jìn)行無(wú)線網(wǎng)絡(luò)連接設(shè)備的安全認(rèn)證,在不降低用戶易
用性的前提下,保證較高的安全性,同時(shí)保證無(wú)線網(wǎng)絡(luò)連接的受信設(shè)備建立 無(wú)線網(wǎng)絡(luò)高速連接時(shí),依然能夠保證設(shè)備身份的傳遞,避免了在開(kāi)放網(wǎng)絡(luò)中, 設(shè)備身份盜用引起的安全性問(wèn)題。
本實(shí)施例是為了更好地理解本發(fā)明進(jìn)行的詳細(xì)的描述,并不是對(duì)本發(fā)明 所保護(hù)的范圍的限定,因此,本領(lǐng)域普通技術(shù)人員不脫離本發(fā)明的主旨未經(jīng) 創(chuàng)造性勞動(dòng)而對(duì)本發(fā)明所做的改變?cè)诒景l(fā)明的保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證系統(tǒng),包括主設(shè)備和從設(shè)備,主設(shè)備包括射頻識(shí)別閱讀器,從設(shè)備包括射頻識(shí)別標(biāo)簽,主設(shè)備和從設(shè)備包括無(wú)線網(wǎng)絡(luò)連接模塊,其特征在于所述主設(shè)備還包括第一安全認(rèn)證控制模塊,用于在射頻識(shí)別通信鏈路建立后,與所述從設(shè)備交互無(wú)線網(wǎng)絡(luò)連接的安全認(rèn)證參數(shù);并在無(wú)線網(wǎng)絡(luò)連接鏈路建立后,利用該安全認(rèn)證參數(shù)進(jìn)行主從設(shè)備之間的安全認(rèn)證;所述從設(shè)備還包括第二安全認(rèn)證控制模塊,用于在射頻識(shí)別通信鏈路建立后,與主設(shè)備交互無(wú)線網(wǎng)絡(luò)連接的安全認(rèn)證參數(shù);并在無(wú)線網(wǎng)絡(luò)連接鏈路建立后,利用該安全認(rèn)證參數(shù)進(jìn)行主從設(shè)備之間的安全認(rèn)證。
2. 根據(jù)權(quán)利要求1所述的安全認(rèn)證系統(tǒng),其特征在于,所述安全認(rèn)證參 數(shù)包括設(shè)備證書;所述主設(shè)備還包括第一設(shè)備證書模塊,用于根據(jù)第一安全認(rèn)證控制模塊 的請(qǐng)求指令,生成設(shè)備證書,并將該設(shè)備證書發(fā)送給第一安全認(rèn)證控制模塊。
3. 根據(jù)權(quán)利要求2所述的安全認(rèn)證系統(tǒng),其特征在于,所述設(shè)備證書包 括設(shè)備標(biāo)識(shí),應(yīng)用類型,認(rèn)證密鑰和傳輸密鑰。
4. 根據(jù)權(quán)利要求2所述的安全認(rèn)證系統(tǒng),其特征在于,所述主設(shè)備的安 全認(rèn)證參數(shù),還包括會(huì)話標(biāo)識(shí);所述主設(shè)備還包括會(huì)話標(biāo)識(shí)模塊,用于根據(jù)第一安全認(rèn)證控制模塊的請(qǐng) 求指令,生成會(huì)話標(biāo)識(shí),并將該會(huì)話標(biāo)識(shí)發(fā)送給第一安全認(rèn)證控制模塊。
5. 根據(jù)權(quán)利要求1所述的安全認(rèn)證系統(tǒng),其特征在于,所述從設(shè)備還包 括無(wú)線網(wǎng)絡(luò)連接方式列表模塊,用于存儲(chǔ)從設(shè)備的無(wú)線網(wǎng)絡(luò)連接方式列表, 并根據(jù)第二安全認(rèn)證控制模塊的請(qǐng)求指令,將該無(wú)線網(wǎng)絡(luò)連接方式列表發(fā)送 給第二安全認(rèn)證控制模塊;第二安全認(rèn)證控制模塊在射頻識(shí)別通信鏈路建立后,將從設(shè)備支持的無(wú) 線網(wǎng)絡(luò)連接方式列表發(fā)送給主設(shè)備;主設(shè)備的第一安全認(rèn)證控制模塊根據(jù)從設(shè)備的無(wú)線網(wǎng)絡(luò)連接方式列表, 將相應(yīng)的無(wú)線網(wǎng)絡(luò)連接方式的配置參數(shù)發(fā)送給從設(shè)備。
6. 根據(jù)權(quán)利要求5所述的安全認(rèn)證系統(tǒng),其特征在于,所述從設(shè)備還包 括第二設(shè)備證書模塊,用于根據(jù)第二安全認(rèn)證控制模塊的請(qǐng)求指令,生成設(shè) 備證書,并將該設(shè)備證書發(fā)送給第二安全認(rèn)證控制模塊。
7. 根據(jù)權(quán)利要求1至6任一項(xiàng)所述的安全認(rèn)證系統(tǒng),其特征在于,所述 無(wú)線網(wǎng)絡(luò)連接為WiFi無(wú)線網(wǎng)絡(luò)連接,UWB無(wú)線網(wǎng)絡(luò)連接或者藍(lán)牙無(wú)線網(wǎng)絡(luò) 連接,或者紅外無(wú)線網(wǎng)絡(luò)連接。
8. 根據(jù)權(quán)利要求3所述的安全認(rèn)證系統(tǒng),其特征在于,所述認(rèn)證密鑰為 包括RSA算法或者ECC算法非對(duì)稱公鑰。
9. 根據(jù)權(quán)利要求8所述的安全認(rèn)證系統(tǒng),其特征在于,所述傳輸密鑰為 包括DES、 3DES、 IDEA、 RC4、 RC5或者AES算法的密鑰。
10. —種非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證設(shè)備,包括無(wú)線網(wǎng)絡(luò)連接模 塊,其特征在于,還包括安全認(rèn)證控制模塊,用于在射頻識(shí)別通信鏈路建立 后,交互無(wú)線網(wǎng)絡(luò)連接的安全認(rèn)證參數(shù);并在無(wú)線網(wǎng)絡(luò)連接鏈路建立后,利 用該安全認(rèn)證參數(shù)進(jìn)行設(shè)備間的安全認(rèn)證。
11. 根據(jù)權(quán)利要求10所述的安全認(rèn)證設(shè)備,其特征在于,還包括射頻識(shí) 別閱讀器。
12. 根據(jù)權(quán)利要求ll所述的安全認(rèn)證設(shè)備,其特征在于,所述安全認(rèn)證 參數(shù),包括會(huì)話標(biāo)識(shí);所述設(shè)備還包括會(huì)話標(biāo)識(shí)模塊,用于根據(jù)安全認(rèn)證控制模塊的請(qǐng)求指令, 生成會(huì)話標(biāo)識(shí),并將該會(huì)話標(biāo)識(shí)發(fā)送給安全認(rèn)證控制模塊。
13. 根據(jù)權(quán)利要求10所述的安全認(rèn)證設(shè)備,其特征在于,還包括射頻識(shí) 別標(biāo)簽。
14. 根據(jù)權(quán)利要求13所述的安全認(rèn)證設(shè)備,其特征在于,還包括無(wú)線網(wǎng) 絡(luò)連接方式列表模塊,用于存儲(chǔ)設(shè)備的無(wú)線網(wǎng)絡(luò)連接方式列表,并根據(jù)安全 認(rèn)證控制模塊的請(qǐng)求指令,將該無(wú)線網(wǎng)絡(luò)連接方式列表發(fā)送給安全認(rèn)證控制 模塊。
15. 根據(jù)權(quán)利要求10至14任一項(xiàng)所述的安全認(rèn)證設(shè)備,其特征在于,所述安全認(rèn)證參數(shù)還包括設(shè)備證書;所述設(shè)備還包括設(shè)備證書模塊,用于根據(jù)安全認(rèn)證控制模塊的請(qǐng)求指令,生成設(shè)備證書,并將該設(shè)備證書發(fā)送給安全認(rèn)證控制模塊。
16. 根據(jù)權(quán)利要求15所述的安全認(rèn)證設(shè)備,其特征在于,所述設(shè)備證書包括設(shè)備標(biāo)識(shí),應(yīng)用類型,認(rèn)證密鑰和傳輸密鑰。
17. 根據(jù)權(quán)利要求IO所述的安全認(rèn)證設(shè)備,其特征在于,所述無(wú)線網(wǎng)絡(luò) 連接為WiFi無(wú)線網(wǎng)絡(luò)連接,UWB無(wú)線網(wǎng)絡(luò)連接或者藍(lán)牙無(wú)線網(wǎng)絡(luò)連接,或 者紅外無(wú)線網(wǎng)絡(luò)連接。
18. —種非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證方法,其特征在于,包括下 列步驟步驟A)主設(shè)備檢測(cè)從設(shè)備進(jìn)入近距離射頻感應(yīng)區(qū)后,主從設(shè)備建立射 頻識(shí)別鏈路連接;步驟B)主從設(shè)備交換雙方支持的無(wú)線網(wǎng)絡(luò)連接的安全認(rèn)證參數(shù);步驟C)主從設(shè)備判斷是否成功接收到安全認(rèn)證參數(shù);如果是,則建立 無(wú)線網(wǎng)絡(luò)連接;否則,提示用戶重新開(kāi)始射頻識(shí)別通信連接或者結(jié)束;步驟D)主從設(shè)備之間在無(wú)線網(wǎng)絡(luò)連接鏈路上進(jìn)行非接觸式設(shè)備數(shù)據(jù)傳 輸?shù)暮灻?yàn)證。
19. 根據(jù)權(quán)利要求18所述的安全認(rèn)證方法,其特征在于,所述步驟A) 之后還包括下列步驟-從設(shè)備通過(guò)射頻識(shí)別鏈路向主設(shè)備發(fā)送無(wú)線網(wǎng)絡(luò)連接請(qǐng)求,主設(shè)備檢測(cè) 是否支持從設(shè)備的無(wú)線網(wǎng)絡(luò)連接請(qǐng)求,如果支持,則進(jìn)入步驟B);否則結(jié)束。
20. 根據(jù)權(quán)利要求19所述的安全認(rèn)證方法,其特征在于,所述安全認(rèn)證 參數(shù)包括設(shè)備證書,所述設(shè)備證書包括設(shè)備標(biāo)識(shí),應(yīng)用類型,認(rèn)證密鑰和傳 輸密鑰。
21. 根據(jù)權(quán)利要求20所述的安全認(rèn)證方法,其特征在于,所述安全認(rèn)證 參數(shù)還包括會(huì)話標(biāo)識(shí);所述步驟B)還包括下列步驟 主設(shè)備為從設(shè)備分配會(huì)話標(biāo)識(shí)并發(fā)送給從設(shè)備。
22. 根據(jù)權(quán)利要求21所述的安全認(rèn)證方法,其特征在于,所述步驟C) 之后還包括下列步驟在無(wú)線網(wǎng)絡(luò)連接建立后,從設(shè)備向主設(shè)備傳送會(huì)話標(biāo)識(shí),并請(qǐng)求應(yīng)用訪問(wèn)。
23. 根據(jù)權(quán)利要求22所述的安全認(rèn)證方法,其特征在于,所述步驟D) 包括下列步驟步驟D1)主設(shè)備向從設(shè)備發(fā)送第一隨機(jī)數(shù)據(jù);步驟D2)從設(shè)備收到第一隨機(jī)數(shù)后,使用自身的私鑰通過(guò)非對(duì)稱加密簽 名算法對(duì)第一隨機(jī)數(shù)加密,形成第一簽名,同時(shí)生成向主設(shè)備發(fā)送的第二隨 機(jī)數(shù)據(jù),將這兩個(gè)數(shù)據(jù)一起傳回主設(shè)備;步驟D3)主設(shè)備用收到的從設(shè)備的公鑰對(duì)第一簽名利用相應(yīng)的非對(duì)稱加 密簽名算法進(jìn)行解密,如果解密結(jié)果與第一隨機(jī)數(shù)相等,則從設(shè)備合法;同時(shí),使用自身的私鑰對(duì)第二隨機(jī)數(shù)利用非對(duì)稱加密算法加密,形成第二簽名,并將兩個(gè)簽名數(shù)據(jù)一起傳回從設(shè)備;步驟D4)從設(shè)備用收到的主設(shè)備的公鑰對(duì)第二簽名利用相應(yīng)的非對(duì)稱算 法進(jìn)行解密,如果解密結(jié)果與第二隨機(jī)數(shù)相等,則主設(shè)備合法;同時(shí),比較 發(fā)出的第一簽名和收到的第二簽名是否相等,如果相等則驗(yàn)證通過(guò)。
24. 根據(jù)權(quán)利要求20所述的安全認(rèn)證方法,其特征在于,還包括下列步驟步驟E)主從設(shè)備根據(jù)設(shè)備證書中的傳輸密鑰,加密所要傳輸?shù)臄?shù)據(jù)后 進(jìn)行相互傳輸。
25. 根據(jù)權(quán)利要求18到24任一項(xiàng)所述的安全認(rèn)證方法,其特征在于, 所述射頻識(shí)別鏈路連接為RFID連接或者NFC連接。
26.,根據(jù)權(quán)利要求25所述的的安全認(rèn)證方法,其特征在于,所述無(wú)線網(wǎng) 絡(luò)連接為WiFi無(wú)線網(wǎng)絡(luò)連接,UWB無(wú)線網(wǎng)絡(luò)連接或者藍(lán)牙無(wú)線網(wǎng)絡(luò)連接, 或者紅外無(wú)線網(wǎng)絡(luò)連接。
27. 根據(jù)權(quán)利要求20所述的安全認(rèn)證系統(tǒng),其特征在于,所述認(rèn)證密鑰 為包括RSA算法或者ECC算法的非對(duì)稱密鑰。
28. 根據(jù)權(quán)利要求27所述的安全認(rèn)證系統(tǒng),其特征在于,所述傳輸密鑰 為包括DES、 3DES、 IDEA、 RC4、 RC5或者AES算法或者其他對(duì)稱密鑰算 法的密鑰。
全文摘要
本發(fā)明公開(kāi)了一種非接觸式無(wú)線數(shù)據(jù)傳輸?shù)陌踩J(rèn)證系統(tǒng)、設(shè)備及方法。該方法包括下列步驟主設(shè)備檢測(cè)從設(shè)備進(jìn)入近距離射頻感應(yīng)區(qū)后,主從設(shè)備建立射頻識(shí)別鏈路連接;主從設(shè)備交換雙方支持的無(wú)線網(wǎng)絡(luò)連接的安全認(rèn)證參數(shù);主從設(shè)備判斷是否成功接收到安全認(rèn)證參數(shù);如果是,則建立無(wú)線網(wǎng)絡(luò)連接;否則,提示用戶重新開(kāi)始射頻識(shí)別通信連接或者結(jié)束;主從設(shè)備之間在無(wú)線網(wǎng)絡(luò)連接鏈路上進(jìn)行非接觸式設(shè)備數(shù)據(jù)傳輸?shù)暮灻?yàn)證。在不降低用戶易用性的前提下,保證較高的安全性。
文檔編號(hào)H04L9/28GK101114901SQ20061010784
公開(kāi)日2008年1月30日 申請(qǐng)日期2006年7月26日 優(yōu)先權(quán)日2006年7月26日
發(fā)明者于辰濤 申請(qǐng)人:聯(lián)想(北京)有限公司