CN102299747A

CN102299747A - 基于声波的安全数据通讯的装置系统与方法

Info

Publication number: CN102299747A
Application number: CN2010102055320A
Authority: CN
Inventors: 郭舜日; 林卓
Original assignee: SHANGHAI CLOUDWAY INFORMATION Tech CO Ltd
Current assignee: SHANGHAI CLOUDWAY INFORMATION Tech CO Ltd
Priority date: 2010-06-22
Filing date: 2010-06-22
Publication date: 2011-12-28
Also published as: US20130091359A1; EP2587714A4; CN103039035A; WO2011160584A1; CN103039035B; EP2587714A1; US8930699B2

Abstract

本发明公开了一种近距离声波通讯的装置、系统与方法。该系统利用声波作为数据传输媒介实现非接触安全传输，也可直接通过音频连接实现可靠安全数据链路。该发明主要对数据传输过程系统地构建了多种端对端的传输校验机制：传输数据完整性校验，有效时间验证，密码校验，服务数据校验以及数据加密；发送端根据其数据的安全级别，在传输数据中指定加密与数据校验需求，以通知接收端对数据包进行哪些检验，如何校验等等。用同样的校验处理方式，还能对数据进行操作(如账户的支付结算功能)。使用本发明能够在较低成本的情况下，利用声波实现小数据量的可靠通讯，并具备一定的安全性。

Description

基于声波的安全数据通讯的装置系统与方法

技术领域

本发明属于数据通讯领域，具体涉及利用声波或音频作为近距离，安全可靠的数据通讯媒介的装置系统与方法。使用本发明能够在较低成本的情况下，利用声波实现小数据量的可靠通讯，并具备一定的安全性。

背景技术

目前使用较广泛的近距离通讯技术是蓝牙(Bluetooth)，红外数据传输(IrDA)，近场通讯(Near Field Communication，NFC近距离无线传输)，和无线射频识别RFID，均采用电磁波技术实现。蓝牙技术需要人为参与连接建立过程，不适合需要快速传输(如结算支付等)的应用场合，且芯片价格昂贵，抗干扰能力不强。IrDA的不足在于它是一种视距传输，两个相互通信的设备之间必须对准，中间不能被其它物体阻隔，因而该技术只能用于2台(非多台)设备之间的连接，可靠性，安全性差，抗干扰能力差且数据传输率低。NFC采用了双向的识别和连接。在20cm距离内工作于13.56MHz频率范围，是目前最为安全的近距通讯技术，但是面临手机终端普及的问题，目前只有有限的手机支持这一技术。RFID由于其价格低廉及相对安全可靠的技术协议，目前大量应用于城市交通卡等小额支付场合，对于用户随身携带的移动终端需要植入或贴上特定的RFID芯片，需要一定的普及时间，没有从根本上解决用户需要携带不同识别卡的不便。条码技术(包括一维和两维码)也是比较常用的近距扫描数据传输方案。一维码扫描仪成本便宜但是对电子显示条码显示识别率低，二维码有很好的容错率和识别率，但是扫描终端成本较高(需要微距镜头)且标准众多，扫描时间也不是很理想，对用户客户端的显示也有特定要求。

下表列出了这几种技术对于移动终端与商业收银系统的近距通讯需求的适用性，没有一种技术能完美满足以下关键的需求，本专利基于声波的非接触式或者利用音频传输的数据通讯的装置系统与方法有着比较好的适用性：

将声波应用于数据通讯的也有个别专利用到，比如西门子公司专利99808078.0利用超声波的数据传播和北阳公司的专利200710080253.4基于超声波实现通讯的发送装置、接收装置、系统和方法。两个专利都只是特定的超声波(声波的特定频段)传输方法的实现。声波最大的问题是安全性这也是其通过空气传播的便利性所应付出的代价，很容易被“录音”复制，这从很大程度上限制了声波作为安全数据传播的通讯手段，只能用于局部的对数据安全性不敏感的应用场合。

图1图示了声波被录播的安全隐患。图中圆形标注的序号按时间顺序排序：

为手机用户通过手机内置喇叭播放编码的数据调制声波，将数据信息(比如折扣码)传输给商业收银终端(或与收银终端相连的音频、声波数据接收终端)。

恶意用户在近处用高敏录音设备记录下空气中传播的声波信号。

恶意用户在结算时，通过手机或特定移动设备回放之前录制的声波给商业收银终端(或与收银终端相连的音频、声波数据接收终端)，希望能够用之前手机用户的结算信息(如折扣券，支付卡)完成结算。

安全的传输链路应有能力识别并防止这一安全隐患。

发明内容

声波及音频调制编解码技术与硬件都非常成熟，而且所有的手机都可以发声，无需额外的硬件所有手机都可以输出声波和音频信号，且主流手机都主持标准的音频输出端口。手机利用声波实现非接触或通过音频连接实现小数据量通讯具备成本优势及设备的广泛普及度。声波传输最主要的问题是安全性这也是其通过空气传播的便利性所应付出的代价，很容易被“录音”复制，这从很大程度上限制了声波作为安全数据传播的通讯手段，只能用于局部的对数据安全性不敏感的应用场合。

本发明的目的在于从安全着手，一方面利用声波/音频通讯所带来的便利性与成本优势，同时在技术上提高安全门槛，排除简单录播的安全顾虑，使其适用于更广泛的应用途径甚至应用于小额支付系统。

本发明利用声波作为数据传输媒介实现非接触传输，也可直接通过音频连接实现可靠安全数据链路。该发明主要对数据传输过程系统地构建了多种端对端的传输校验机制：传输数据完整性校验，有效时间验证，密码校验，服务数据校验以及数据加密：

1.数据完整性验证。传输数据包打上完整性验证码就可以防止恶意用户对被截获数据包的篡改，比如有效时间等。完整性验证码可以是对加密前也可以是加密后的数据，但是必须涵盖关键的检验信息，比如时间戳，数据校验方式等关键信息。验证码可以采用HMAC(哈希消息身份验证码-http://en.wikipedia.org/wiki/HMAC，MD5 or SHA-1都可以)也可以采用基于非对称加密的数据签名(http://en.wikipedia.org/wiki/Digital_signature)将数据包签名.

2.有效时间验证。传输的数据包应该打上产生时间戳，同时可以根据数据属性定义有效时间，比如：

◆有效时间：起始有效日期和时间，缺省可以是数据产生时间戳。

◆有效时长：比如15秒，1分钟，一个小时等等

这样接收端就可以验证数据的时效。恶意的录制必须在有效的时间段内使用录制的数据才有可能被接收端使用。越是敏感的数据，这一有效时长应该越短以减少数据被重用的可能性。

3.密码验证。传输的数据可以包含密码，这一密码只有使用者知道，而且接收端必须在接收到声波或音频数据的同时加以验证。这一密码方案使得不知道原始密码的窃录数据无法使用。对于实际应用场合，密码可能以以下两种方式出现：

◆数据产生源动态生成的密码，用户在获得编码声波(音频)数据的同时也可以明码获得这一密码。接收端需要用户输入这一密码以确认数据的合法性或获得完备的数据。

◆用户的个人密钥，数据产生源会自动将用户密钥编码入传输的数据，接收端需要用户输入这一密码以确认数据的合法性或获得完备的数据。

同时密码可以以下三种种方式与传输数据结合：

◆密码作为额外的密钥用于对原始数据加密或数据变换，这样在接收端需利用这一密码解密或反向变换数据。

◆密码只是对称加密的私钥，传输的数据是用这一密码对应的公钥加密过的，这样在接收端，用户需要提供这一密码以解密数据。

◆密码作为原始数据的一部分，可以加以适当算法变换或加密，接收端获得完整的原始数据及密码，直接验证用户的密码以证明其合法性。

需要密码校验的接收端需要配备键盘单元或相关输入模块用于接收用户输入。

4.服务数据验证。在接收端还可以将传输的数据与服务数据存储进行校验与比较以确保数据的安全，有效。服务数据是特定服务相关的数据，比如，会员卡信息，动态生成码库，用户消费记录，用户账户信息以及服务与产品信息等等)，对于实际应用场合，服务数据校验主要有以下两种方式：

◆数据有效使用频率验证：由于系统资源限制或者数据相关应用的资源限制，在很多场合，同一数据不可能无限反复被使用，比如说，折扣券可能规定一个移动设备只能使用一次或多次。这就要求每次数据的使用都要在服务器或数据接收终端本地有相应的记录。同时，在使用传输的数据时，应与远端数据服务或本地数据服务进行交互以保证实际的使用在有效的使用限制次数内。

◆关联信息验证：传输的数据中包含关联信息标识及其需要验证的信息，根据关联信息标识，服务器端可以取出相关验证信息并与接收端送来的用户验证输入加以验证以确认信息的有效性与用户的合法性。服务器端实时用户密码校验就属这种形式。还比如，可以要求用户输入相关登记信息比如生日，用户登记号等加以验证。

关联信息验证需要用户的交互，而数据有效使用频率验证则不一定需要。服务数据可以存储在接收端本地，本地收银终端POS或远程网络服务器。与服务数据交互的过程也可以同时完成相关数据操作，比如支付，交易记录等等。

5.数据加密。在接收端还可以对数据进行加密以防止个人关键信息如信用卡号，身份证号等在传输过程中被监听。发送端将申明(或缺省使用特定的)加密方式及其相关参数，这样接收端就可以选择相应的解密方式对数据进行处理，加密的方式可以用对称加密(http://en.wikipedia.org/wiki/Symmetric_encryption)也可以非对称加密(http://en.wikipedia.org/wiki/Public-key_cryptography)。加解密所用到的密钥，可以有以下几种形式：

◆接收端与发送端共享预先定义好的密钥或密钥的产生规则与序列。密钥也可以定期从共享的服务器更新。

◆用户的个人密码，或即时生成的密码用于数据的加密，用户需要在接收端输入密码用于解密。

◆接收端生成的一次性使用密码，发送端需要用这一密码加密数据在规定的时间内送达接收端。

在数据传输前，传输的数据必须进行预处理，对数据以接收端能够兼容的特定格式打包并加入数据完整性验证码，同时根据需要对数据进行加密。预处理的数据包要自声明所需要的校验(一种或多种校验方式的组合)与加密方式。这样在应用中可以根据数据的安全属性，调整传输与校验方式。比如对安全要求比较低的折扣码，就不需要加密，只需要进行有效时间验证或与远程服务器进行唯一性服务数据校验。而对折扣价值较高的折扣码传输，则可以添加密码校验。对小额支付账户信息，不仅要密码保护，还需要加密传输的数据。这一设计可以灵活满足不同级别的传输需求。

使用本发明能够在较低成本的情况下，利用声波实现小数据量的可靠通讯，并具备一定的安全性。这一方案可以应用于移动终端(如手机，手提电脑，平板电脑等手持便携终端)与商业收银终端(例如POS机，会员卡管理终端等)间的非接触式近距离小数据量通讯(也可直接通过音频连接)，能够在成本较低的情况下整合方案(如折扣码，会员卡，小额支付卡号的快速采集等)，且无需对大量的用户端的移动终端进行硬件改造(如，额外的NFC芯片，RFID芯片支持等等)。

综上所述，本发明提供了一种基于声波或音频的近距离安全数据通讯的方法，特征如下：

1)利用声波作为数据传输媒介实现非接触近距离传输，或通过音频连接近距离传输数据；

2)发送端在发送的数据包中声明所需要的校验(一种或多种校验方式的组合)与加密方式，这样在应用中可以根据数据的安全属性，调整传输与校验方式。

上述的基于声波或音频的近距离安全数据通讯的方法，其特征是传输数据可以加上完整性验证码以防止恶意用户对被截获数据包的篡改，比如有效时间等；完整性验证码可以是对加密前也可以是加密后的数据，但是必须涵盖关键的检验信息，比如时间戳，数据校验方式等关键信息；验证码可以采用HMAC(哈希消息身份验证码，MD5 or SHA-1都可以)也可以采用基于非对称加密的数据签名将数据包签名。

上述的基于声波或音频的近距离安全数据通讯的方法，其特征是，接收端可以根据需要验证数据的时效。恶意的录制必须在有效的时间段内使用录制的数据才有可能被接收端使用；越是敏感的数据，这一有效时长应该越短以减少数据被重用的可能性。

上述的基于声波或音频的近距离安全数据通讯的方法，其特征是，可以根据需要传输的数据可以包含密码，这一密码只有使用者知道(可能是数据源动态产生然后传给用户，也可能是用户的个人密钥)，而且接收端必须在接收到声波或音频数据的同时加以验证；这一密码方案使得不知道原始密码的窃录数据无法使用。

上述的基于声波或音频的近距离安全数据通讯的方法，其特征是：可以用密码保护的传输数据，密码可以通过以下三种种方式与传输数据结合：

1.密码作为额外的密钥用于对原始数据加密或数据变换，这样在接收端需利用这一密码解密或反向变换数据；

2.密码只是对称加密的私钥，传输的数据是用这一密码对应的公钥加密过的，这样在接收端，用户需要提供这一密码以解密数据；

3.密码作为原始数据的一部分，可以加以适当算法变换或加密，接收端获得完整的原始数据及密码，直接验证用户的密码以证明其合法性。

上述的基于声波或音频的近距离安全数据通讯的方法，其特征是，接收端可以根据需要将传输的数据与服务数据存储进行校验与比较以确保数据的安全，有效。

上述的基于声波或音频的近距离安全数据通讯的方法，其特征是，接收端可以根据需要对数据进行加密以防止个人关键信息如信用卡号，身份证号等在传输过程中被监听。

上述的基于声波或音频的近距离安全数据通讯的方法，在移动终端(如手机，手提电脑，平板电脑等手持便携终端)与商业收银终端(例如POS机，会员卡管理终端等)间的非接触式近距离小数据量通讯(也可直接通过音频连接)的应用，如移动折扣券，移动会员卡，移动支付的应用。

本发明还提供了上述基于声波或音频的近距离安全数据通讯的方法所实现的系统与装置。

附图说明

图1为声波安全传输隐患图示。

其中[1]为盗窃结算信息的人，[2]为使用手机结算的用户，[3]为声波、音频接收端，[4]为商业POS终端，

恶意用户在近处用高敏录音设备记录下空气中传播的声波信号。恶意用户在结算时，通过手机或特定移动设备回放之前录制的声波给商业收银终端(或与收银终端相连的音频、声波数据接收终端)，希望能够用之前手机用户的结算信息(如折扣券，支付卡)完成结算。

图2为声波或音频传输系统构造图

图3为数据预处理流程

图4为接收端数据处理流程

具体实施方式

下面结合附图和实施例对本发明作详细描述，但本发明的实施例仅用于说明本发明而不用于限制本发明的保护范围。

图2声波或音频传输系统构造图总结了这一技术方案的典型架构。在图2中数据预处理模块(1)将数据进行安全打包处理，然后通过声波编码调制(2)转换成音频声音文件(Mp3，Wav等等)。音频解码播放器或相关程序组件(3)则可以将调制的音频信号传送到扬声器(4a)播出并由接收端Mic(5)对传来的声波进行采集同时转换成音频信号送入音频采集模块(8)这一传递过程也可以通过音频传输线(4b)直接传递给数据接收端音频采集(8)。音频采集模块(8)将音频信号解调成数据信号送入数据处理模块(6)进行数据校验与操作。数据处理模块(6)将根据数据操作及校验需要会从自校准时钟单元(7)提取当前时间，从用户输入单元(9)获取用户输入信息同时输出反馈信息，也可以直接接口接收端本地存储(文件系统或与本地局域网络资源)(11)对数据进行访问与操作，或通过网络互联网络接口(10)与远程服务器(14)进行数据交互完成相关的校验与数据操作。此外，处理的数据也可以通过商业收银终端POS接口(12)直接送达收银机并进行相应的数据操作。

所有的模块都是逻辑功能单元。在实际的系统中，数据预处理(1)与声波编码调制(2)可以在用户手机客户端(比如，在客户端实时生成折扣编码音频)，也可能在远程应用服务器端，由服务器生成对应数据的音频文件然后传输给客户端使用。同理，数据接收端也可能不是独立的接受硬件，比如可能内置于收银机，或与其他收银终端集成。

在图2中数据预处理模块(1)非常重要。为了保证数据传输的安全，可靠，传输的数据必须进行预处理，对数据以接收端能够兼容的特定格式打包并加入数据完整性验证码，同时根据需要对数据进行加密。

图3数据预处理流程图示了预处理模块的关键设计环节与典型设计：

◆数据自声明所需要的校验与加密方式。这样可以根据数据的安全属性，调整传输与教验方式。比如对安全要求比较低的折扣吗，就不需要加密，只需要进行有效时间验证或与远程服务器进行唯一性服务数据校验。而对价值较高的折扣码传输，则可以添加密码校验。对小额支付账户信息，不仅要密码保护，还需要加密传输的数据。这一设计可以灵活满足不同级别的传输需求。

◆数据要有完整性验证。必须对数据包打上完整性验证码，以防止恶意用户对被截获数据包的篡改，比如有效时间等。完整性验证码可以是对加密前也可以是加密后的数据，但是必须涵盖关键的检验信息，比如时间戳，数据校验方式等关键信息。验证码可以采用HMAC(哈希消息身份验证码，MD5 or SHA-1都可以)也可以采用基于非对称加密的数据签名将数据包签名.

◆自动打包时间戳。数据包应包含发送时间，一方面用于接收端数据记录，同时时间戳将是验证数据时间有效性的关键基础数据。

附图3示例了典型的数据预处理流程，首先打包(1)关键的原始数据资源，包括原始数据与需要的接收端数据校验方式，再通过读取当前时间(2)将数据包加上当前时间戳。然后对整合的原始数据包计算完整性验证码(3)(数据包的签名)，如果数据还需要加密，将根据加密需求，对关键数据资源进行加密(4)最后打包最终的传输数据包(5)，传输数据包将包含包头和加密数据段。包头将明码存放：

●数据格式版本号：自声明数据的格式版本，接收端可以确定以特定版本的格式解析数据

●数据加密方式及相关参数：选择预定的加密算法或不加密

●数据完整性验证码：哈希消息身份验证码或基于非对称加密数据签名加密数据段将包含关键数据信息(如果用户选择不加密的话，这一字段是明码)，加密数据段包括：

●原始数据

●数据校验方式及相关参数

●时间戳

声波编码调制模块(2)可以采用具有很强抗噪性的DTMF编解码(http://en.wikipedia.org/wiki/DTMF)将数字信号编码成0-15对应成DTMF的十六个信号。然后调制成音频文件(wav or mp3)。

音频解码播放器(3)可以是客户端的内置音频播放器或程序控制的音频播放组件，也可能是手机端的彩铃读取播放程序。

音频采集模块(8)将收集的音频信号根据对应的声波编码调制模块(2)的编码规则反向解调回数据。本实施方案采用纯软件方案，选用文献(http://emuch.net/journal/article.php？id＝CJFDTotal-TXJS200305000)的DTMF信号软件解码快速算法解码DTMF。

解码后的数据将送入接收端数据处理模块(6)进行校验与相关操作。图4详细解析了这一关键的数据检验与安全处理流程的软件实现。这一模块将对解码的数据根据数据包头定义的加密方式解密(如果没有加密，直接返回原始收据)，然后对已解密的数据计算数据完整性校验码并校验数据完整性。通过完整性校验后，处理模块将根据传输数据定义的校验方式进行数据校验，只有完全通过校验的数据才得以最终确认的，可以送入下一应用环节。对本实施方案，我们将数据送入收银终端的RS232接口。

同时为了保证有效时间验证的准确性，还要考虑时间校准，要求给数据打包的设备的时钟与接收端的时钟保持同步(误差要远远小于有效时长)，这就要求两端的时钟都要有与标准时间同步的能力。对于实际的应用，可以考虑如下几种方式实现时间同步：

●打开操作系统提供的与网络上的时间服务器或运营网络时钟同步的系统服务。高端智能设备，例如服务器或智能手机一般都具备这一能力。

●安装并启动与时间服务器或运营网络时钟同步的应用程序服务实现以保证本地时间的准确。

●使用时钟自校准芯片或电路，比如：文献(http://wenku.baidu.com/view/444ad322bcd126fff7050bc0.html)利用本地广播报时信号通过普通收音机电路获得时间信号并进行时间校准。

同时，两端对时间数据的比较要考虑时区的不同，本实施方案统一使用世界协调时间(Universal Time Coordinated，UTC)。

Claims

1.一种基于声波或音频的近距离安全数据通讯的方法，其特征如下：

A)利用声波作为数据传输媒介实现非接触近距离传输，或通过音频连接近距离传输数据；

B)发送端在发送的数据包中声明所需要的校验与加密方式，这样在应用中可以根据数据的安全属性，调整传输与校验方式。

2.权利要求1所述的基于声波或音频的近距离安全数据通讯的方法，其特征是传输数据可以加上完整性验证码以防止恶意用户对被截获数据包的篡改，比如有效时间等；完整性验证码可以是对加密前也可以是加密后的数据，但是必须涵盖关键的检验信息，比如时间戳，数据校验方式等关键信息；验证码可以采用HMAC也可以采用基于非对称加密的数据签名将数据包签名。

3.权利要求1所述的基于声波或音频的近距离安全数据通讯的方法，其特征是，接收端可以根据需要验证数据的时效。恶意的录制必须在有效的时间段内使用录制的数据才有可能被接收端使用；越是敏感的数据，这一有效时长应该越短以减少数据被重用的可能性。

4.权利要求1所述的基于声波或音频的近距离安全数据通讯的方法，其特征是，可以根据需要传输的数据可以包含密码，这一密码只有使用者知道，而且接收端必须在接收到声波或音频数据的同时加以验证；这一密码方案使得不知道原始密码的窃录数据无法使用。

5.权利要求1所述的基于声波或音频的近距离安全数据通讯的方法，其特征是：可以用密码保护的传输数据，密码可以通过以下三种种方式与传输数据结合：

A)密码作为额外的密钥用于对原始数据加密或数据变换，这样在接收端需利用这一密码解密或反向变换数据；

B)密码只是对称加密的私钥，传输的数据是用这一密码对应的公钥加密过的，这样在接收端，用户需要提供这一密码以解密数据；

C)密码作为原始数据的一部分，可以加以适当算法变换或加密，接收端获得完整的原始数据及密码，直接验证用户的密码以证明其合法性。

6.权利要求1所述的基于声波或音频的近距离安全数据通讯的方法，其特征是，接收端可以根据需要将传输的数据与服务数据存储进行校验与比较以确保数据的安全，有效。

7.权利要求1所述的基于声波或音频的近距离安全数据通讯的方法，其特征是，接收端可以根据需要对数据进行加密以防止个人关键信息如信用卡号，身份证号等在传输过程中被监听。

8.权利要求1所述的基于声波或音频的近距离安全数据通讯的方法，在移动终端与商业收银终端间的非接触式近距离小数据量通讯或直接通过音频连接的应用，如移动折扣券，移动会员卡，移动支付的应用。

9.权利要求1到8所述的基于声波或音频的近距离安全数据通讯的方法所实现的系统与装置。