CN105940693A - 通信系统 - Google Patents
通信系统 Download PDFInfo
- Publication number
- CN105940693A CN105940693A CN201580005890.8A CN201580005890A CN105940693A CN 105940693 A CN105940693 A CN 105940693A CN 201580005890 A CN201580005890 A CN 201580005890A CN 105940693 A CN105940693 A CN 105940693A
- Authority
- CN
- China
- Prior art keywords
- equipment
- server
- communication
- end side
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/72—Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
- H04M1/724—User interfaces specially adapted for cordless or mobile telephones
- H04M1/72403—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
- H04M1/72409—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories
- H04M1/72412—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories using two-way short-range wireless interfaces
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
本发明是通过与服务器的认证而决定信标装置的合法性。用于该认证的通信是由可携式无线终端进行转发。由此,具有信标装置的通信系统的可靠性提升,从而能够提供安全的电子优惠券等的服务。
Description
技术领域
本发明涉及一种通信系统。
更详细来说,本发明涉及一种在包含信标装置的无线通信系统中,防止信标装置所发出的信息的非法利用的技术。
背景技术
近年来,市场上开始出现配置在店铺或娱乐设施等且对消费者所拥有的智能手机等可携式无线终端传送信标信号的信标装置。从信标装置接收到信标信号的可携式无线终端是安装在可携式无线终端的应用能够从信标信号提取商品信息,且在可携式无线终端的显示部显示商品信息。
作为如此的用于信标装置传送信标信号且可携式无线终端接收信标信号的技术,例如已知有专利文献1中公开的技术。
在该专利文献1中,提出有如下数据通信系统:销售者侧装置利用信标信号侦测到购买者所携带的购买者侧装置已靠近销售店,开始进行销售者侧装置与购买者侧装置之间的通信,对购买者侧装置进行商品宣传等。
[背景技术文献]
[专利文献]
[专利文献1]日本专利特开2000-134147号公报
发明内容
[发明所欲解决的问题]
目前为止,作为信标装置的用途,几乎皆为如所述专利文献1中公开的类似于可携式无线终端中显示商品等的广告的数字标牌(digital signage)者,考虑灵活运用该功能,例如提供在店铺中对来店顾客实现商品的折扣等优惠的电子优惠券的信标装置。
然而,在使信标装置具备电子优惠券的功能的情况下,认为存在电子优惠券的非法利用的可能性。例如,在设置于店铺的信标装置对来店的顾客发送如同积攒积分的信标数据的情况下,使模仿可携式无线终端的用以进行破解的装置接近信标装置,截取电子优惠券的通信数据,且记录该数据。这样,存在即便在店铺外的场所,也可使用模仿信标装置的装置,非法地发行电子优惠券且存储的担心。
对于如此地非法利用信标装置所发出的信息的破解,考虑若干个对策。例如,作为该对策之一,考虑应用使用了密码的认证,但在该情况下,由谁来认证信标装置的合法性成为问题。将不确定多数的使用者所拥有的可携式无线终端作为认证信标装置的合法性的对象并不合适。如此一来,考虑在因特网上设置服务器,使服务器具有信标装置的认证所需的信息的方法。然而,大量的信标装置无法直接连接在因特网。因而,可以说现有的信标装置与可携式无线终端的通信技术不具备保证信标装置的合法性的方法。
本发明的目的在于解决所述课题,提供一种判定信标装置的合法性且使通信的可靠性提升的通信系统。
[解决问题的技术手段]
为解决所述课题,本发明的通信系统是包含通信设备、能够与通信设备进行通信的通信终端、及能够与通信设备进行通信的服务器。
通信设备包含:设备侧存储部,存储用以进行通信终端的合法性的判定的终端认证信息;设备侧产生部,产生设备侧请求信息;设备侧通信部,将设备侧请求信息传送到通信终端;及设备侧判定部,通过将从通信终端传送的终端侧回应信息、与通过对设备侧请求信息应用终端认证信息而产生的设备侧对照信息进行比较,而进行通信终端的合法性的判定。
通信终端是包含将从通信设备传送的设备侧请求信息传送到服务器的终端侧服务器通信部、及将从服务器传送的终端侧回应信息传送到通信设备的终端侧设备通信部。
服务器包含:服务器侧存储部,存储终端认证信息;及服务器侧回应部,通过对从通信终端传送的设备侧请求信息应用终端认证信息而产生终端侧回应信息,且将所述终端侧回应信息传送到通信终端。
[发明的效果]
能够通过本发明,提供一种在可携式无线终端与信标装置之间判定相互的合法性,使通信的可靠性提升的通信系统。
所述以外的课题、构成及效果通过以下的实施方式的说明而明确。
附图说明
图1是表示第一实施方式的通信系统的整体构成的概略图。
图2是通信系统的功能方块图。
图3是表示信标信号的一例的图。
图4是表示信标认证信息数据库的一例的图。
图5是表示在信标装置、可携式无线终端、服务器之间进行的通信的流程的处理流程图。
图6是表示第二实施方式的通信系统的整体构成的概略图。
图7是可携式无线终端的功能方块图。
图8是表示在信标装置、可携式无线终端、服务器之间进行的通信的流程的处理流程图。
具体实施方式
本实施方式是公开包含与BLE规格对应的信标装置的通信系统。所谓BLE规格是Bluetooth(注册商标)Low Energy(蓝牙低功耗)规格的简称,且是近距离无线通信技术之一。该BLE规格中,规定了构成对1个中心连接多个周边设备而成的星状的网络拓扑。而且,以BLE规格规定的频带为2.4GHz频宽。而且,BLE规格是规定采用将该频带分割为40信道,避免进行干扰或串扰的信道的适应性跳频之类的机制。
所述信标装置相当于周边设备,且所述可携式无线终端相当于中心。作为周边设备的信标装置是由BLE规格规定,且以特定的传送时间间隔即广告间隔,传送通过BLE规格而规定的作为信标信号的广告封包。作为中心的可携式无线终端如果接收到广告封包,则能够经由特定的顺序(协定),而与中心建立连接。然而,是否建立连接由中心的行为而定。在仅接收如广告之类的内容的情况下,中心接收从周边设备所广播传送的广告封包即可。
在本实施方式的情况下,因可携式无线终端与信标装置必须相互地进行通信,所以必须建立连接。
本实施方式的通信系统是可携式无线终端在认证信标装置时,对于具备预先存储着信标装置的ID与用以认证信标装置的认证信息的数据库的服务器,请求信标装置的认证。服务器是使用认证信息,通过例如CRAM(诘问/回应认证机制(Challenge and ResponseAuthentication Mechanism)),而进行信标装置的合法性的认证。另一方面,信标装置使用认证信息,进行服务器的认证。该认证信息是共用金钥的一种。通过服务器将认证的结果通知可携式无线终端,可携式无线终端便能够判断信标装置是否为合法的装置。
[第一实施方式:通信系统的整体构成]
图1是表示本实施方式的通信系统101的整体构成的概略图。
作为设置于店铺等的通信设备的一例的信标装置102是以固定的传送时间间隔广播传送包含信标ID与信标数据的信标信号。所谓信标ID是唯一地识别信标装置102的信息。拥有作为通信终端的可携式无线终端103的人将接近该信标装置102。如果可携式无线终端103与信标装置102的距离达到特定的距离以下,则可携式无线终端103接收从信标装置102所广播传送的信标ID与信标数据(S121)。
在可携式无线终端103中,安装有接收从信标装置102发出的信标信号且进行特定处理的信标应用程序,且该信标应用程序运行。
可携式无线终端103如果接收到信标信号,则将信标信号中所含的信标ID与认证请求一同地传送到服务器104(S122)。
服务器104如果从可携式无线终端103接收到信标ID与认证请求,则与服务器104的存储部218(参照图2)中设置的信标认证信息数据库219(参照图2)进行对照。在信标认证信息数据库219,预先登录有信标装置102的信标ID与信标装置102的认证信息,服务器104使用认证信息,开始进行与信标装置102的认证处理(S123)。此时,可携式无线终端103转发在服务器104与信标装置102之间所收发的数据。
如果在服务器104与信标装置102之间,认证处理结束,则服务器104对可携式无线终端103通知认证处理的结果(S124)。
可携式无线终端103受理从服务器104接收的认证结果,且使此后的处理分支。例如,在信标装置102为发行电子优惠券的装置,且通过认证结果而判明为真实的信标装置102的情况下,正常地处理信标信号中所含的信标数据。例如,进行电子优惠券的加法处理。如果判明为破解者以非法目的所设置的虚假的信标装置102,则作为信标信号中所含的信标数据为非法者进行处理。例如,如果为电子优惠券,则不进行电子优惠券的加法处理,而在显示部显示警告。
图2是通信系统101的功能方块图。
信标装置102是在周知的微计算机的总线201,连接有包含无线通信电路的无线通信部202。微计算机是将CPU(central processing unit,中央处理器)、ROM(Read OnlyMemory,只读存储器)、RAM(Random Access Memory,随机访问存储器)连接在总线201而成的周知的构成者。存储器203是快闪存储器等电子式能够重写的非易失性存储器。在存储器203中,存储着实现信标信号产生部204的功能的程序与信标ID。
进而,在存储器203,通过未图示的数据登录用终端,存储着利用广告封包而与信标ID一同地传送的第一数据、及利用单播封包而与信标ID一同地传送的认证的信息所需的第二数据。在本实施方式的情况下,第一数据是电子优惠券的信息,第二数据是作为认证信息的一例的共用金钥。即,存储器203是作为存储认证信息的设备侧存储部发挥功能。
信标信号产生部204是对信标ID与信标数据在遵循BLE规格的数据框进行编码,且以固定的时间间隔发送到无线通信部202。信标信号产生部204所产生的数据框相应于通信的状态而变化。所述数据框在进行广播传送时为广告封包,在双向通信的情况下为单播封包。
信标侧认证部205是根据信标信号产生部204的请求,使用存储器203中存储的认证信息,产生下述认证处理所需的数据。而且,进行对于服务器104的认证处理,且将该结果存储在存储器203。
作为进行与通信终端的通信的终端通信部的无线通信部202对从信标信号产生部204接收的数据框实施特定的调变处理,且载入在2.4GHz的电波进行广播传送。而且,视需要而与可携式无线终端103等进行双向的单播通信。本实施方式的情况是在下述认证处理中,与可携式无线终端103进行双向通信。而且,在使用特定的数据登录用终端,将与信标ID一同地广播传送的内容登录在存储器203等的情况下,无线通信部202与未图示的数据登录用终端进行双向通信。
此处,暂时先记述信标信号的说明。
图3A及图3B是表示信标信号的一例的图。信标装置102以固定的时间间隔,广播传送包含信标ID301与特定的内容的信标信号302。
图3A是广告封包的一例。内容是包含第一识别信息303a与通常内容304a。第一识别信息303a是表示后续的通常内容304a为对于应可携式无线终端103来说应进行特定处理的内容的识别信息。通常内容304a在本实施方式的情况下为存储器203中存储的电子优惠券数据。
然而,信标装置102也可能存在仅广播传送信标ID301的情况。
图3B是单播封包的一例。内容是包含第二识别信息303b与认证用内容304b。第二识别信息303b是表示后续的通常内容304a为对于可携式无线终端103来说应对服务器104进行传输的内容的识别信息。认证用内容304b在本实施方式的情况下为例如图5中随后所述的诘问值或回应值等。
返回到图2,继续进行通信系统101的说明。
可携式无线终端103是在周知的微计算机的总线206上,连接有传输处理部207、服务器侧通信部208、存储器209、信标侧通信部210、输入部211、及显示控制部212。在显示控制部212进而连接有显示部213。
传输处理部207是信标应用程序所提供的功能的一部分,且查看通过信标侧通信部210而从信标装置102接收的信标数据的识别信息,判定是否应对服务器104进行传输,如果为应进行传输的情况下,则将该信标数据中附加的认证用内容304b传输到服务器104。而且,查看通过服务器侧通信部208而从服务器104接收的数据的识别信息,判定是否应对信标装置102进行传输,如果为应进行传输的情况下,则将该数据中附加的认证用数据传输到信标装置102。
服务器侧通信部208包含无线通信的传送电路与接收电路,且以例如LTE(Long TermEvolution,长期演进技术)等的通信规格连接在访问点214,通过访问点214,将可携式无线终端103连接在因特网215。另外,服务器通信部208也可为周知的无线LAN(LocalArea Network,局域网络)。
存储器209是快闪存储器等的电子式能够重写的非易失性存储器,且存储着使可携式无线终端103运行的固件或OS(operation system,操作系统)、以及信标应用程序。而且,在存储器209,存储着从信标装置102通过信标侧通信部210接收的信标信号302中所含的电子优惠券信息。
输入部211是例如透明的静电式触摸屏。输入部211受理使用者的操作,产生操作信息。显示部213是例如液晶显示器。输入部211与显示部213一体地重叠,由此构成周知的触摸屏。
显示控制部212是信标应用程序所提供的功能的一部分,产生控制显示部213的信息。具体来说,在从服务器104接收到表示信标装置102为真实者的判定结果信息的情况下,控制显示部213,显示例如可携式无线终端103的使用者所拥有的电子优惠券经累加的意旨的信息。而且,也进行与该电子优惠券相关的加法处理、然后存储器209中所存储的电子优惠券信息的更新处理。
服务器104是连接在因特网215的周知的计算机。连接在总线216的通信部217是包含周知的NIC(Network Information Card,网络信息卡)与TCP/IP协议推栈,且通过因特网215而与可携式无线终端103进行特定的通信。协定是使用例如由RFC(Request ForComments,请求注释)2246制定的SSL/TLS的加密HTTP(HTTPS:Hypertext TransportProtocol Secure,安全超文本传输协议),且在该情况下,服务器104作为周知的web服务器发挥功能。
在连接在总线216且包含硬碟装置等非易失性存储器的存储部218,存储着信标认证信息数据库219(图2中记为“信标认证信息DB”)。存储部218是存储终端认证信息的服务器侧存储部。
[信标认证信息数据库219的构成]
此处,暂时先说明信标认证信息数据库219。
图4是表示信标认证信息数据库219的一例的图。
信标认证信息数据库219是包含信标ID栏、及认证信息栏。
在信标ID栏,存储着信标装置102的信标ID301。
在认证信息栏,存储着信标装置102的存储器203中存储的认证信息、即共用金钥。
再次返回到图2,继续服务器104的说明。
连接在总线216的服务器侧认证部220基于从可携式无线终端103接收到查询的信标ID301,检索信标认证信息数据库219,从认证信息栏获取认证信息。然后,与信标装置102之间进行下述认证处理。然而,通信是始终通过通信部217,在与可携式无线终端103之间进行。
服务器侧认证部220是在一系列的认证处理完成之后,通过通信部217将从可携式无线终端103接收到查询的信标ID301的信标装置102是否为通过合法的拥有者设置于店铺等的真实的信标装置102的认证结果回复至可携式无线终端103。
服务器104是与信标装置102同样地,对于可携式无线终端103,传送请求处理信息的讯息、及对信标装置102请求传输的讯息的两种讯息。例如,在HTTP回应讯息的内容前导部分,附上换行(carriage return-linefeed,回车-换行)两次、表示讯息类别的字串、及再一次的换行两次后,附加所需的数据。可携式无线终端103的传输处理部207查看存在于从服务器104接收到的HTTP回应讯息的前导部分的表示讯息类别的字串,判断使显示控制部212处理后续的数据,或是将该后续的数据传输到信标装置102。
[通信系统101的处理例]
图5是表示在信标装置102、可携式无线终端103、服务器104之间进行的通信的流程的处理流程图。
信标装置102是以固定的时间间隔广播传送信标数据。可携式无线终端103当接近该信标装置102时,则接收信标装置102所广播传送的信标数据(S501)。
可携式无线终端103的显示控制部212当分析通过信标侧通信部210所接收到的信标数据,且辨识出其中包含电子优惠券的信标数据时,使传输处理部207启动。
传输处理部207通过服务器侧通信部208,将信标装置102的认证请求与信标装置102的信标ID一同地传送到服务器104(S502)。
《服务器104的信标装置102侧的核准》
服务器侧认证部220在通过通信部217从可携式无线终端103接收到信标装置102的认证请求时,对信标装置102,传送请求核准的讯息(S503)。
可携式无线终端103的传输处理部207查看表示通过服务器侧通信部208从服务器104所接收的讯息的讯息类别的字串,辨识该讯息为对信标装置102传输的对象,且通过信标侧通信部210将该讯息向信标装置102传输(S504)。
信标装置102的信标侧认证部205在从可携式无线终端103通过无线通信部202而接收到服务器104所传送的认证请求的讯息时,产生包含特定的比特宽度的乱数的诘问值(即,图5中的诘问(B))(S505),且转交到信标信号产生部204。信标信号产生部204将该诘问值置入单播封包中,通过无线通信部202,将其传送到可携式无线终端103(S506)。
在步骤S505中,信标侧认证部205作为产生设备侧请求信息即诘问值的设备侧产生部发挥功能。
在步骤S506中,无线通信部202作为将设备侧请求信息即诘问值传送到可携式无线终端103的设备侧通信部发挥功能。
可携式无线终端103的传输处理部207查看通过信标侧通信部210从信标装置102所接收的信标数据的第二识别信息303b,辨识出该信标数据的内容为认证用内容304b,通过服务器侧通信部208将该内容传输到服务器104(S507)。
服务器104的服务器侧认证部220在通过通信部217从可携式无线终端103接收到信标装置102所发出的诘问值时,产生回应值(即,图5中的回应(S))(S508)。具体来说,首先,服务器侧认证部220利用于步骤S502的时间点从可携式无线终端103接收的信标装置102的信标ID,检索信标认证信息数据库219,获取信标装置102的认证信息、即共用金钥。然后,服务器侧认证部220使用所获取的共用金钥,将信标装置102所发出的诘问值进行加密。该经加密的诘问值为回应值。
而且,服务器104的服务器侧认证部220将步骤S508中产生的回应值,通过通信部217,向可携式无线终端103传送(S509)。在该步骤S508及S509的时间点,服务器侧认证部220作为服务器侧回应部发挥功能,即,使用共用金钥,对来自信标装置102的作为设备侧请求信息的诘问值应用共用金钥,由此,产生作为终端侧回应信息的回应值,且将其传送到可携式无线终端103。
可携式无线终端103的传输处理部207查看表示通过服务器侧通信部208从服务器104接收的讯息的讯息类别的字串,辨识出该讯息为对信标装置102传输的对象,且通过信标侧通信部210将该讯息向信标装置102传输(S510)。
另一方面,信标装置102的信标侧认证部205在步骤S506之后,将步骤S505中产生的诘问值,利用存储器203中保持的共用金钥进行加密(S511)。
而且,信标侧认证部205在从可携式无线终端103通过无线通信部202,接收到服务器104所传送的回应值时,比较是否与步骤S511中产生的加密诘问值一致,进行认证(S512)。然后,信标侧认证部205将认证的结果作为未图示的旗标信息保持在存储器203,并且将认证已完成的意旨的讯息转交到信标信号产生部204。信标信号产生部204将该讯息置入单播封包中,通过无线通信部202,将其向可携式无线终端103传送(S513)。在该步骤S512及S513的时间点,信标侧认证部205作为设备侧判定部发挥功能,即,将从可携式无线终端103所传送的作为终端侧回应信息的回应值、与通过对于作为设备侧请求信息的诘问值应用存储器203中存储的共用金钥而产生的作为设备侧对照信息的加密诘问值进行比较,由此,进行可携式无线终端103的合法性的判定。
然后,信标侧认证部205将认证的结果作为未图示的旗标信息保持在存储器203,并且将认证已完成的意旨的讯息转交到信标信号产生部204。信标信号产生部204将该讯息置入单播封包中,通过无线通信部202将其向可携式无线终端103传送(S513)。
可携式无线终端103的传输处理部207查看通过信标侧通信部210从信标装置102所接收的信标数据的第二识别信息303b,辨识出该信标数据的内容为认证用内容304b,且通过服务器侧通信部208将该内容向服务器104传输(S514)。
以此方式,信标装置102所进行的服务器104的认证完成。
接收到认证的完成后,信标装置102的无线通信部202也可在参照存储器203中保持的认证结果的旗标信息,判定服务器104合法的情况下,发挥许可来自可携式无线终端103的通信的功能。
《信标装置102的服务器104侧的核准》
服务器侧认证部220在从可携式无线终端103通过无线通信部202接收到信标装置102所传送的认证已完成的意旨的讯息时,产生包含特定的比特宽度的乱数的诘问值(即,图5中的诘问(S))(S515)。然后,服务器侧认证部220通过通信部217将该诘问值向可携式无线终端103传送(S516)。
在步骤S515中,服务器侧认证部220作为产生终端侧请求信息即诘问值的服务器侧产生部发挥功能。
可携式无线终端103的传输处理部207查看表示通过服务器侧通信部208从服务器104所接收的讯息的讯息类别的字串,辨识出该讯息为向信标装置102传输的对象,且通过信标侧通信部210将该讯息向信标装置102传输(S517)。
信标装置102的信标侧认证部205使用存储器203中存储的共用金钥,将通过无线通信部202从可携式无线终端103接收的服务器104所发出的诘问值进行加密,产生回应值(即,图5中的回应(B))(S518)。
信标侧认证部205将步骤S518中产生的回应值转交到信标信号产生部204。信标信号产生部204将该回应值置入单播封包中,通过无线通信部202将其向可携式无线终端103传送(S519)。在该步骤S518及S519的时间点,信标侧认证部205作为设备侧回应部发挥功能,即,使用存储器203中存储的共用金钥,产生作为设备侧回应信息的回应值,且向可携式无线终端103传送。
可携式无线终端103的传输处理部207查看通过信标侧通信部210从信标装置102所接收的信标数据的第二识别信息303b,辨识出该信标数据的内容为认证用内容304b,且通过服务器侧通信部208将该内容向服务器104传输(S520)。
另一方面,服务器104的服务器侧认证部220在步骤S516之后,将步骤S515中产生的诘问值,利用于步骤S508的时间点从信标认证信息数据库219获取的共用金钥进行加密(S521)。另外,从信标认证信息数据库219获取共用金钥的动作也可为步骤S514之后。即,基于从信标装置102传输的信标数据中所含的信标ID,检索信标认证信息数据库219。
在该步骤S521的时间点,服务器侧认证部220作为服务器侧对照信息产生部发挥功能,即,通过使用信标认证信息数据库219中存储的共用金钥,对终端侧请求信息加密,而产生成为终端侧对照信息的加密诘问值。
服务器侧认证部220在从可携式无线终端103通过通信部217接收到信标装置102所传送的回应值时,比较是否与步骤S521中产生的加密诘问值一致,进行认证(S522)。在该步骤S522的时间点,服务器侧认证部220作为服务器侧判定部发挥功能,即,通过将从信标装置102所传送的作为设备侧回应信息的回应值与加密诘问值进行比较,而进行信标装置102的认证。
以此方式,服务器104所进行的信标装置102的认证完成。
服务器侧认证部220将认证的结果保持在作为服务器侧存储部发挥功能的存储部218中,并且将认证已完成的意旨的讯息通过通信部217向可携式无线终端103传送(S523)。
可携式无线终端103的传输处理部207查看表示通过服务器侧通信部208从服务器104所接收的讯息的讯息类别的字串,辨识出该讯息并非向信标装置102传输的对象,且将该讯息转交到显示控制部212。可携式无线终端103的显示控制部212接收认证已完成这一情况,执行电子优惠券的加法处理等与信标数据相关联的特定处理。
此时,因服务器104所进行的认证已完成,所以,可携式无线终端103能够判断信标装置102为能够安全地进行通信的可靠的设备。例如,可携式无线终端103的信标侧通信部210在与信标装置102的通信部217之间,更换用以安全地进行今后的通信的密码金钥,从而在与以后的信标装置102通信时,可不必进行经由服务器104的认证,而使用已更换的密码金钥直接进行认证(S524)。
可携式无线终端103与服务器104及信标装置102不同,不具有作为认证信息的共用金钥。因此,在步骤S504、S507、S510、S514、S517及S520中转发服务器104与信标装置102之间的通信的作为终端侧设备通信部及终端侧服务器通信部发挥功能的传输处理部207无法获知其实质为何者。例如在步骤S510中,可携式无线终端103不具有服务器104及信标装置102所具备的共用金钥,所以传输处理部207无法获知被传输的数据是由何种共用金钥加密所得的回应值。因而,本实施方式的通信系统101能够保证不得泄露至服务器104及信标装置102以外的共用金钥的隐匿性。
例如,即便在服务器104及信标装置102之间,具有恶意的第三者进行中间人攻击(man-in-the-middle attack),只要该第三者无法获知共用金钥,则即便使信标装置102与服务器104之间的认证失败,也无法使服务器104认证不具有真实的共用金钥(即,伪)的信标装置102。信标装置102所进行的服务器104的认证,也可以说情况相同。
传输处理部207在识别出是否为应从信标装置102向服务器104、或从服务器104向信标装置102传输的数据之后,如果为应传输的数据,则不确认内容地将该数据从传输方传输到传输对象。即,传输处理部207在TCP/IP网络与BLE网络之间,进行与所谓的应用网关、或代理服务器类似的动作。
因传输处理部207作为应用网关发挥功能,因此,在BLE网络中,对单播封包的酬载必须设置指示是否应传输的识别信息,且在TCP/IP网络中,对讯息必须设置指示是否应传输的识别信息。
另外,在于服务器104与信标装置102之间相互地进行认证时,优选以图5中记载的顺序进行。其原因在于:必须在连接对象(服务器104)尚不可靠时,不将密码文(此处为回应)从信标装置102回传至可携式无线终端103,以避免具有恶意的连接对象欺骗可携式无线终端103,对信标装置102进行选择明文攻击。即,步骤S519优选以步骤S512正常地完成为前提条件。例如,在图5中,信标装置102将服务器104的认证(S512)已正常地完成报告给服务器104(S513),收到该报告的服务器104对信标装置102传送诘问值。
另外,作为其他例,也可构成为与信标装置102发送诘问值同时地或一前一后地,服务器104将所产生的诘问值传送到信标装置102。在以此方式构成的情况下,优选信标装置102正常地完成服务器104的认证(即、图5的步骤S512)之后,进行回应值的产生与传送(S518~S519)。
而且,也可在连接中仅实施一次CRAM,且在从连接对象开始进行第二次的CRAM的情况下,回传错误,将通信切断。
本实施方式能够实施以下所述的应用例。
(1)图5是在信标装置102与服务器104之间实施相互认证,但也可视需要,实施仅单方的认证。
在可携式无线终端103从信标装置102接收到信标信号的情况下,可进行从步骤S515至步骤S522为止的服务器104所进行的信标装置102的认证,以确认该信标装置102是否为合法者即可。信标装置102是通过广播传送而传送信标信号,所以可不必在意传送对象是否合法。该情况下的动作的顺序能够从步骤S501、S502转变为步骤S515。即,可将步骤S503至步骤S514为止省略。
(2)同样地,在通过可携式无线终端103从服务器104变更信标装置102的设定信息的情况下,信标装置102为拒绝来自非法的可携式无线终端103的设定变更,而通过服务器104确认该可携式无线终端103是否为合法者即可。例如,服务器104能够预先通过任一的态样而完成可携式无线终端103的认证,在该情况下,信标装置102能够间接地判断可携式无线终端103为可靠的设备。
另外,此时,服务器104、即可携式无线终端103侧所进行的信标装置102的认证并非为必须。例如,该情况下的动作的顺序能够接着从步骤S501、S502、S503至步骤S514为止,而从步骤S514转变为步骤S523。即,能够将步骤S515至步骤S522为止省略。
(3)可在信标装置102安装无线LAN等因特网连接机构,根据设置有信标装置102的环境,选择使可携式无线终端103作为转发装置发挥功能的认证、与信标装置102与服务器104不经可携式无线终端103而直接进行通信的认证。在信标装置102与服务器104能够直接通信的情况下,因认证中不经由可携式无线终端103而通信之间接费用变小。在认证已完成之后,仅将其结果从服务器104报告给可携式无线终端103。
(4)信标装置102也可将其他可携式无线终端103用于转发,进行与服务器104的认证。也在如此的情况下,因诘问或回应本身已进行加密以不被彼此以外的设备解读,所以包含密码金钥的回应等信息不会泄漏至外部。
(5)而且,本实施方式的信标装置102与服务器104之间的认证也可以与图5中说明的态样不同的顺序进行。可携式无线终端103是在对信标装置102进行通信时,为了使信标装置102认可自身为可靠的传送方,而能够对服务器104进行用以传送诘问值(即,图5的步骤S505至S506)的核准请求。相反地,也可为了将可携式无线终端103对信标装置102进行通信作为开端,且信标装置102判定该可携式无线终端103的合法性,而与服务器104进行通信,传送所产生的诘问(即,图5的步骤S505至S506)。
(6)服务器侧认证部220也可在服务器104侧进行核准时,产生诘问值(即,图5中的诘问(S))(即,图5的步骤S515)之后,到至少完成信标装置102的认证(即,图5的步骤S522)为至的期间,使存储部218存储该诘问值。此时,存储在存储部218中的诘问值在与其他信标装置之间的认证处理中,当由可携式无线终端接收到该信标装置所发出的诘问值时(即,图5的步骤S508的前阶段),由服务器侧认证部220予以参照。此时,服务器侧认证部220在所接收的诘问值与存储部218中所存储者一致的情况下,不进行诘问值的加密(即,回应值的产生)。
例如,能够认为具有恶意的第三者所设置的非正规的信标会将从服务器104所接收的诘问值(即,图5中的诘问(S))伪装成自身产生的诘问值(即,图5中的诘问(B)),与正规的信标ID一同地传送到服务器104。在该情况下,服务器侧认证部220将所接收的诘问值加密(即,产生图5中的回应(S))且回传至信标装置,所以非正规的信标装置能够通过本应无法获知的正规的密码金钥而获取经加密的诘问值,由此便能够获得服务器侧的核准。
根据该应用例,服务器侧认证部220所产生的诘问值至少在使用该诘问值的认证处理正常地结束之前(或逾时之前)无法成为加密的对象,所以能够避免如上所述使用非正规的信标的攻击。
本实施方式是公开通信系统101。
通过与服务器104的认证而判定信标装置102的合法性。用于该认证的通信是由可携式无线终端103进行转发。由此,具有信标装置102的通信系统101的可靠性提升,从而能够提供安全的电子优惠券等的服务。另外,本实施方式是作为通信设备的一具体例,列举发送信标信号的信标装置进行了说明。然而,并不限定于信标装置,只要是具有通信功能的设备,皆可作为本发明的通信设备发挥功能。
[第二实施方式:变化例中的通信系统的整体构成]
图6是表示本发明的第二实施方式的通信系统101的变化例即通信系统601的整体构成的概略图。
在变化例中,作为通信设备的一例的信标装置102以固定的传送时间间隔广播传送包含信标ID与信标数据的信标信号。
可携式无线终端603接收到信标信号时(S621),开始进行与信标装置之间的认证处理(S622)。此时,可携式无线终端603将信标信号中所含的信标ID传送到服务器104,进行用于与信标装置之间的认证的信息的请求(S623)。
服务器104从可携式无线终端603接收到信标ID与认证请求时,使用设置于服务器104的存储部218中的信标认证信息数据库219中所存储的认证信息,产生用于与信标装置102进行认证的信息,且传送到可携式无线终端603(S624)。可携式无线终端603使用从服务器104所传送的信息,进行与信标装置102之间的认证。
即,在变化例中,可携式无线终端603使用用以认证服务器104的存储部218内所存储的信标装置102的认证信息,而与信标装置102之间进行认证处理。
[变化例中的可携式无线终端603的构成]
图7是可携式无线终端603的功能方块图。
可携式无线终端603是在周知的微计算机的总线206上,连接有服务器侧通信部208、存储器209、信标侧通信部210、输入部211、显示控制部212、及终端侧认证部221。在显示控制部212进而连接有显示部213。
终端侧认证部221进行下述认证处理所需的数据的产生、及对于信标装置102的认证处理。
[变化例中的信标装置102及服务器104的构成]
变化例中的信标侧认证部205是根据信标信号产生部204的请求,使用存储在作为设备侧存储部发挥功能的存储器203中的认证信息,进行下述认证处理所需的数据的产生。而且,进行对于可携式无线终端103的认证处理,且将其结果存储在存储器203。
而且,变化例中的服务器侧认证部220基于从可携式无线终端103接收到查询的信标ID301,检索信标认证信息数据库219,从认证信息栏获取认证信息,从而进行与可携式无线终端103及信标装置102之间的认证所需的数据的产生。
[通信系统601的处理例]
图8是表示变化例中的信标装置102、可携式无线终端603、服务器104之间进行的通信的流程的处理流程图。
信标装置102以固定的时间间隔广播传送信标数据。可携式无线终端603如果接近于该信标装置102,则接收信标装置102所广播传送的信标数据(S801)。
可携式无线终端603的显示控制部212分析通过信标侧通信部210接收的信标数据,且如果辨识出其是包含电子优惠券的信标数据,则使终端侧认证部221启动。
终端侧认证部221经由信标侧通信部210,对信标装置102,传送请求核准的讯息(S802)
《可携式无线终端603的信标装置102侧的核准》
信标装置102的信标侧认证部205在接收到可携式无线终端603所传送的认证请求的讯息时,产生包含特定的比特宽度的乱数的诘问值(即,图8中的诘问(B))(S803),且将其转交到信标信号产生部204。信标信号产生部204是将该诘问值置入单播封包中,通过无线通信部202,将其向可携式无线终端603传送(S804)。另外,在该情况下,信标信号产生部204存储表示后续的通常内容304a并非将可携式无线终端603作为对象且应进行对服务器104的传输的内容的识别信息,作为进行传送的信标数据的第二识别信息303b。
在步骤S803中,信标侧认证部205作为产生设备侧请求信息即诘问值的设备侧产生部发挥功能。
可携式无线终端603的终端侧认证部221在获取通过信标侧通信部210从信标装置102所接收的信标数据中所含的诘问值时,通过服务器侧通信部208将该诘问值与信标装置102的信标ID一同地向服务器104传送,请求回应值的产生(S805)。
服务器104的服务器侧认证部220如果接收到通过通信部217从可携式无线终端603所传送的诘问值,则进行回应值(即,图8中的回应(T))的产生(S806)。具体来说,首先,服务器侧认证部220利用从可携式无线终端603接收的信标装置102的信标ID,检索信标认证信息数据库219,获取信标装置102的认证信息、即共用金钥。然后,服务器侧认证部220使用所获取的共用金钥,将从可携式无线终端603所传送的诘问值进行加密。该经加密的诘问值为回应值。
而且,服务器104的服务器侧认证部220将步骤S806中产生的回应值通过通信部217,向可携式无线终端603传送(S807)。在该步骤S806及S807的时间点,服务器侧认证部220作为服务器侧回应部发挥功能,即,通过对于来自信标装置102的设备侧请求信息即诘问值,应用合适的信标装置102的共用金钥而产生作为终端侧回应信息的回应值,且传送到可携式无线终端603。
可携式无线终端603的终端侧认证部221查看表示通过服务器侧通信部208从服务器104所接收到的讯息的讯息类别的字串,辨识出该讯息为对信标装置102传输的对象,且通过信标侧通信部210将该讯息向信标装置102传输(S808)。
另一方面,信标装置102的信标侧认证部205是在步骤S804之后,将步骤S803中产生的诘问值利用存储器203中保持的共用金钥进行加密(S809)。
而且,信标侧认证部205如果从可携式无线终端603通过无线通信部202接收到回应值,则比较是否与步骤S809中产生的加密诘问值一致,进行认证(S810)。在该步骤S5609及S810的时间点,信标侧认证部205作为设备侧判定部发挥功能,即,通过将作为从可携式无线终端603所传送的终端侧回应信息的回应值、与通过对作为设备侧请求信息的诘问值应用存储器201中存储的共用金钥而产生的作为设备侧对照信息的加密诘问值进行比较,而进行可携式无线终端603的合法性的判定。
而且,信标侧认证部205是将认证的结果保持在存储器203作为未图示的旗标信息,并且将认证已完成的意旨的讯息转交到信标信号产生部204。信标信号产生部204是将该讯息置入单播封包中,且通过无线通信部202将其向可携式无线终端603传送(S811)。
以此方式,信标装置102所进行的可携式无线终端603的认证完成。
接收到认证的完成,信标装置102的无线通信部202在参照存储器203中保持的认证的结果的旗标信息,判定可携式无线终端603合法的情况下,也可许可来自可携式无线终端603的通信的方式发挥功能。
《信标装置102的可携式无线终端103侧的核准》
可携式无线终端603的终端侧认证部221在通过信标侧通信部210接收到信标装置102所传送的认证已完成的意旨的讯息时,产生包含特定的比特宽度的乱数的诘问值(即,图8中的诘问(T))(S812)。然后,终端侧认证部221通过信标侧通信部210将该诘问值传送到信标装置102(S813)。
在步骤S812中,终端侧认证部221作为产生终端侧请求信息即诘问值的终端侧产生部发挥功能。
信标装置102的信标侧认证部205是使用存储器203中存储的共用金钥,将通过无线通信部202从可携式无线终端603所接收的从可携式无线终端603所传送的诘问值进行加密,产生回应值(即,图8中的回应(B))(S814)。
信标侧认证部205将步骤S814中产生的回应值转交到信标信号产生部204。信标信号产生部204将该回应值置入单播封包中,且通过无线通信部202将其向可携式无线终端603传送(S815)。在该步骤S814及S815的时间点,信标侧认证部205作为设备侧回应部发挥功能,即,使用存储器203中存储的共用金钥,产生作为设备侧回应信息的回应值,且向可携式无线终端603传送。
可携式无线终端603的终端侧认证部221是与步骤S813同时或一前一后地,通过服务器侧通信部208,将所产生的诘问值传送到服务器104,请求诘问值的加密(S816)。
服务器104的服务器侧认证部220是将从可携式无线终端603所传送的诘问值,利用从信标认证信息数据库219获取的共用金钥进行加密(S817)。服务器侧认证部220是例如通过基于从可携式无线终端603所传送的信标数据中所含的信标ID,检索信标认证信息数据库219,而获取该共用金钥。
服务器侧认证部220是将步骤S817中产生的加密诘问值,通过通信部217传送到可携式无线终端603(S818)。在该步骤S817及S818的时间点,服务器侧认证部220作为服务器侧对照信息产生部发挥功能,即,通过使用信标认证信息数据库219中存储的共用金钥将终端侧请求信息加密,而产生成为终端侧对照信息的加密诘问值,且传送到可携式无线终端603。
可携式无线终端603的终端侧认证部221在接收到服务器104通过服务器侧通信部208所传送的加密诘问值、及信标装置102通过信标侧通信部210所传送的回应值之后,比较回应值是否与加密诘问值一致,进行认证(S819)。在该步骤S819的时间点,终端侧认证部221作为终端侧判定部发挥功能,即,通过将从信标装置102所传送的作为设备侧回应信息的回应值、与从服务器104所传送的作为终端侧对照信息的加密诘问值进行比较,而进行信标装置102的合法性的判定。
以此方式,可携式无线终端603所进行的信标装置102的认证完成。
以上,通过所说明的一系列的处理而利用信标装置102判定可携式无线终端603合法、及利用可携式无线终端603判定信标装置102合法的相互核准完成。
此时,因服务器104所进行的认证已完成,所以可携式无线终端603能够判断信标装置102为能够安全地进行通信的可靠的设备。例如,可携式无线终端603的信标侧通信部210在与信标装置102的通信部217之间,更换用以安全地进行今后的通信的密码金钥,从而在以后与信标装置102通信时,不必进行经由服务器104的认证,而能够使用已更换的密码金钥直接进行认证(S820)。
以上,对于本发明的实施方式例进行了说明,但本发明并非限定于所述实施方式例,只要不脱离权利要求书记载的本发明的主旨,则包含其他变化例、及应用例。
例如,所述实施方式例是易于理解地说明本发明而对装置及系统的构成详细且具体地进行说明者,但并非限定于包含所说明的所有构成者。而且,能够将某实施例的构成的一部分置换为其他实施例的构成,进而也可对某实施例的构成追加其他实施例的构成。而且,对于各实施例的构成的一部分,也可进行其他构成的追加、删除、置换。
而且,所述各构成、功能、处理部等可将他们的一部分或全部例如通过以集成电路进行设计等而以硬件实现。而且,所述各构成、功能等也可利用用以供处理器解释且执行实现各个功能的程序的软件而实现。实现各功能的程序、表格、档案等的信息能够保持在存储器、或硬碟、SSD(Solid State Drive,固态硬盘)等易失性或非易失性的存储器、或IC卡、光碟等记录媒体中。
而且,控制线或信息线是表示了在说明方面认为必需者,而并非在制品上表示了所有的控制线或信息线。实际上,也可视为几乎所有的构成相互地连接。
[符号说明]
101 通信系统
102 信标装置
103 可携式无线终端
104 服务器
201 总线
202 无线通信部
203 存储器
204 信标信号产生部
205 信标侧认证部
206 总线
207 传输处理部
208 服务器侧通信部
209 存储器
210 信标通信部
211 输入部
212 显示控制部
213 显示部
214 访问点
215 因特网
216 总线
217 通信部
218 存储部
219 信标认证信息数据库
220 服务器侧认证部
221 终端侧认证部
302 信标信号
601 通信系统
603 可携式无线终端
Claims (11)
1.一种通信系统,其特征在于:包含通信设备、能够与所述通信设备进行通信的通信终端、及能够与所述通信终端进行通信的服务器,
所述通信设备具备:
设备侧存储部,存储用以进行所述通信终端的合法性的判定的终端认证信息;
设备侧产生部,产生设备侧请求信息;
设备侧通信部,将所述设备侧请求信息传送到所述通信终端;及
设备侧判定部,将从所述通信终端传送的终端侧回应信息、与通过对所述设备侧请求信息应用所述终端认证信息而产生的设备侧对照信息进行比较,而进行所述通信终端的合法性的判定;
所述通信终端具备:
终端侧服务器通信部,将从所述通信设备传送的设备侧请求信息传送到所述服务器;及
终端侧设备通信部,将从所述服务器传送的终端侧回应信息传送到所述通信设备;
所述服务器具备:
服务器侧存储部,存储所述终端认证信息;及
服务器侧回应部,通过对从所述通信终端传送的设备侧请求信息应用所述终端认证信息而产生所述终端侧回应信息,且将所述终端侧回应信息传送到所述通信终端。
2.根据权利要求1所述的通信系统,其特征在于:
所述通信设备还包含设备侧密码通信部,所述设备侧密码通信部在判定所述通信终端为合法的情况下,产生与所述通信终端之间密码通信所使用的密码金钥,且使用所述密码金钥而与所述通信终端之间进行密码通信。
3.根据权利要求1所述的通信系统,其特征在于:
所述设备侧通信部在传送所述设备侧请求信息时的数据封包中,附加对所述通信终端指定所述数据封包向所述服务器转发的控制信息,
所述服务器侧回应部在传送所述终端侧回应信息时的数据封包中,附加对所述通信终端指定所述数据封包向所述通信设备转发的控制信息。
4.根据权利要求1所述的通信系统,其特征在于:
在所述通信设备中,
所述设备侧存储部存储用以进行所述通信设备的合法性的判定的设备认证信息,
所述通信设备还具备设备侧回应部,所述设备侧回应部通过对从所述通信终端传送的终端侧请求信息应用所述设备认证信息而产生设备侧回应信息,且将所述设备侧回应信息传送到所述通信终端,
在所述通信终端中,
所述终端侧设备通信部将从所述服务器传送的终端侧请求信息传送到所述通信设备,
所述终端侧服务器通信部将从所述通信设备传送的设备侧回应信息传送到所述服务器,
在所述服务器中,
所述服务器侧存储部存储所述设备认证信息,
所述服务器还具备:
服务器侧产生部,产生所述终端侧请求信息;
服务器侧通信部,将所述终端侧请求信息传送到所述通信终端;
服务器侧对照信息产生部,通过对由所述服务器侧产生部产生的所述终端侧请求信息应用所述设备认证信息,而产生用以进行所述通信设备的认证的终端侧对照信息;及
服务器侧判定部,通过将从所述通信设备传送的设备侧回应信息与所述终端侧对照信息进行比较,而进行所述通信设备的认证。
5.根据权利要求4所述的通信系统,其特征在于:
所述设备侧回应部在传送所述设备侧回应信息时的数据封包中,附加对所述通信终端指定所述数据封包向所述服务器转发的控制信息,
所述服务器侧通信部在传送所述终端侧请求信息时的数据封包中,附加对所述通信终端指定所述数据封包向所述通信设备转发的控制信息。
6.根据权利要求4所述的通信系统,其特征在于:
在所述服务器中,
所述服务器侧存储部存储所产生的所述终端侧请求信息,
所述服务器侧回应部在从所述通信终端传送的设备侧请求信息与所述服务器侧存储部中存储的所述终端侧请求信息为同一者的情况下,不产生所述终端侧回应信息。
7.根据权利要求4所述的通信系统,其特征在于:
所述通信终端还具备终端侧密码通信部,所述终端侧密码通信部在判定所述通信终端为合法的情况下,产生与所述通信设备之间通信所使用的密码金钥,且使用所述密码金钥而与所述通信设备进行密码通信。
8.根据权利要求1所述的通信系统,其特征在于:
在所述通信设备中,
所述设备侧存储部存储用以进行所述通信设备的合法性的判定的设备认证信息,
所述通信设备还具备设备侧回应部,所述设备侧回应部通过对从所述通信终端传送的终端侧请求信息应用所述设备认证信息而产生设备侧回应信息,且将所述设备侧回应信息传送到所述通信终端,
所述通信终端还具备:
终端侧产生部,产生所述终端侧请求信息;及
终端侧判定部,通过将从所述通信设备传送的设备侧回应信息与从所述服务器传送的终端侧对照信息进行比较,而进行所述通信设备的合法性的判定;
在所述通信终端中,
所述终端侧设备通信部将所述终端侧请求信息传送到所述通信设备,
所述终端侧服务器通信部将所述终端侧请求信息传送到所述服务器,
在所述服务器中,
所述服务器侧存储部存储所述设备认证信息,
所述服务器具备:
服务器侧对照信息产生部,通过对从所述通信终端传送的终端侧请求信息应用所述设备认证信息,而产生用以进行所述通信设备的认证的所述终端侧对照信息;及
服务器侧通信部,将所述终端侧对照信息传送到所述通信终端。
9.根据权利要求8所述的通信系统,其特征在于:
所述通信终端还具备终端侧密码通信部,所述终端侧密码通信部在判定所述通信终端合法的情况下,产生用于与所述通信设备之间通信的密码金钥,且使用所述密码金钥而与所述通信设备进行密码通信。
10.一种通信系统,其特征在于:包含通信设备、能够与所述通信设备进行通信的通信终端、及能够与所述通信终端进行通信的服务器,
所述通信设备具备:
设备侧存储部,存储用以进行所述通信设备的合法性的判定的设备认证信息;及
设备侧回应部,通过对从所述通信终端传送的终端侧请求信息应用所述设备认证信息而产生设备侧回应信息,且将所述设备侧回应信息传送到所述通信终端;
所述通信终端具备:
终端侧设备通信部,将从所述服务器传送的终端侧请求信息传送到所述通信设备;及
终端侧服务器通信部,将从所述通信设备传送的设备侧回应信息传送到所述服务器;
所述服务器具备:
服务器侧产生部,产生所述终端侧请求信息;
服务器侧通信部,将所述终端侧请求信息传送到所述通信终端;
服务器侧存储部,存储所述设备认证信息;
服务器侧对照信息产生部,通过对由所述服务器侧产生部产生的所述终端侧请求信息应用所述设备认证信息,而产生用以进行所述通信设备的认证的所述终端侧对照信息;及
服务器侧判定部,通过将从所述通信设备传送的设备侧回应信息与所述终端侧对照信息进行比较,而进行所述通信设备的认证。
11.一种通信系统,其特征在于:包含通信设备、能够与所述通信设备进行通信的通信终端、及能够与所述通信终端进行通信的服务器,
所述通信设备具备:
设备侧存储部,存储用以进行所述通信设备的合法性的判定的设备认证信息;及
设备侧回应部,通过对从所述通信终端传送的终端侧请求信息应用所述设备认证信息而产生设备侧回应信息,且将所述设备侧回应信息传送到所述通信终端;
所述通信终端具备:
终端侧产生部,产生所述终端侧请求信息;
终端侧设备通信部,将所述终端侧请求信息传送到所述通信设备;
终端侧服务器通信部,将所述终端侧请求信息传送到所述服务器;及
终端侧判定部,通过将从所述通信设备传送的设备侧回应信息与从所述服务器传送的终端侧对照信息进行比较,而进行所述通信设备的合法性的判定;
所述服务器具备:
服务器侧存储部,存储所述设备认证信息;
服务器侧对照信息产生部,通过对从所述通信终端传送的终端侧请求信息应用所述设备认证信息,而产生用以进行所述通信设备的认证的所述终端侧对照信息;及
服务器侧通信部,将所述终端侧对照信息传送到所述通信终端。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014021091 | 2014-02-06 | ||
| JP2014-021091 | 2014-02-06 | ||
| PCT/JP2015/051916 WO2015118971A1 (ja) | 2014-02-06 | 2015-01-23 | 通信システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105940693A true CN105940693A (zh) | 2016-09-14 |
Family
ID=53777778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580005890.8A Pending CN105940693A (zh) | 2014-02-06 | 2015-01-23 | 通信系统 |
Country Status (6)
| Country | Link |
|---|---|
| EP (1) | EP3091768A1 (zh) |
| JP (1) | JPWO2015118971A1 (zh) |
| KR (1) | KR20160102263A (zh) |
| CN (1) | CN105940693A (zh) |
| TW (1) | TW201537493A (zh) |
| WO (1) | WO2015118971A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6587032B2 (ja) | 2016-03-09 | 2019-10-09 | 株式会社リコー | 識別情報提供システム、識別情報提供装置、識別情報提供プログラムおよび識別情報提供方法 |
| JP6860950B2 (ja) * | 2016-03-11 | 2021-04-21 | 昇一 持田 | センサネットワークシステム、情報処理装置、情報処理方法、プログラムおよびセンサ情報送受信機 |
| JP2018074205A (ja) * | 2016-10-24 | 2018-05-10 | 富士通株式会社 | プログラム、情報処理装置、情報処理システム、及び情報処理方法 |
| JP6712242B2 (ja) * | 2017-03-21 | 2020-06-17 | Kddi株式会社 | サーバ装置とビーコン装置とを含むシステムのサーバ装置及びプログラム |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002305514A (ja) * | 2001-04-06 | 2002-10-18 | Seiko Instruments Inc | コンテンツサーバへのユーザ登録方法 |
| CN1550086A (zh) * | 2001-07-18 | 2004-11-24 | ������������ʽ���� | 通信系统和通信方法 |
| CN101119196A (zh) * | 2006-08-03 | 2008-02-06 | 西安电子科技大学 | 一种双向认证方法及系统 |
| CN101167302A (zh) * | 2005-04-18 | 2008-04-23 | 捷讯研究有限公司 | 无线设备和应用网关之间的安全消息传送的系统及方法 |
| CN101201889A (zh) * | 2006-12-12 | 2008-06-18 | 晨星半导体股份有限公司 | 商品交易认证的方法 |
| CN101277185A (zh) * | 2007-03-28 | 2008-10-01 | 联想(北京)有限公司 | 一种基于无线标识的认证方法、系统和无线标识、服务器 |
| CN101379795A (zh) * | 2006-01-31 | 2009-03-04 | 卢森特技术有限公司 | 在由认证服务器检查客户机证书的同时由dhcp服务器进行地址分配 |
| CN101448255A (zh) * | 2007-11-27 | 2009-06-03 | 飞力凯网路股份有限公司 | 服务提供系统、服务提供服务器以及信息终端设备 |
| CN101873588A (zh) * | 2010-05-27 | 2010-10-27 | 大唐微电子技术有限公司 | 一种业务应用安全实现方法及系统 |
| CN102377769A (zh) * | 2010-08-16 | 2012-03-14 | 捷讯研究有限公司 | 提供针对私有数据访问的无线认证的通信系统及相关方法 |
| CN102790676A (zh) * | 2012-03-20 | 2012-11-21 | 黄志军 | 一种带有nfc功能手机远程身份认定或防伪的方法 |
| CN102946605A (zh) * | 2012-11-02 | 2013-02-27 | 清华大学 | 一种无线局域网络接入方法及系统 |
| CN103457717A (zh) * | 2012-06-04 | 2013-12-18 | 索尼公司 | 信息处理装置、信息处理系统、信息处理方法及程序 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000134147A (ja) | 1998-10-28 | 2000-05-12 | Ishikawa Daiki Keiei Kaikei Jimusho:Kk | データ通信システム |
| JP2004032295A (ja) * | 2002-06-25 | 2004-01-29 | Ntt Docomo Inc | 携帯通信端末、アタッチメントデバイス及びアタッチメントデバイス間の通信方法 |
| JP4946121B2 (ja) * | 2006-03-24 | 2012-06-06 | パナソニック株式会社 | 認証中継装置、認証中継システム、及び認証中継方法 |
| EP2487629B1 (en) * | 2011-02-10 | 2016-11-30 | Nxp B.V. | Secure smart poster |
| JP5852265B2 (ja) * | 2011-12-27 | 2016-02-03 | インテル コーポレイション | 計算装置、コンピュータプログラム及びアクセス許否判定方法 |
| JP5917965B2 (ja) * | 2012-03-19 | 2016-05-18 | Kddi株式会社 | 通信装置 |
-
2015
- 2015-01-23 KR KR1020167019908A patent/KR20160102263A/ko not_active Application Discontinuation
- 2015-01-23 WO PCT/JP2015/051916 patent/WO2015118971A1/ja active Application Filing
- 2015-01-23 CN CN201580005890.8A patent/CN105940693A/zh active Pending
- 2015-01-23 EP EP15745861.3A patent/EP3091768A1/en not_active Withdrawn
- 2015-01-23 JP JP2015560924A patent/JPWO2015118971A1/ja active Pending
- 2015-02-05 TW TW104103945A patent/TW201537493A/zh unknown
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002305514A (ja) * | 2001-04-06 | 2002-10-18 | Seiko Instruments Inc | コンテンツサーバへのユーザ登録方法 |
| CN1550086A (zh) * | 2001-07-18 | 2004-11-24 | ������������ʽ���� | 通信系统和通信方法 |
| CN101167302A (zh) * | 2005-04-18 | 2008-04-23 | 捷讯研究有限公司 | 无线设备和应用网关之间的安全消息传送的系统及方法 |
| CN101379795A (zh) * | 2006-01-31 | 2009-03-04 | 卢森特技术有限公司 | 在由认证服务器检查客户机证书的同时由dhcp服务器进行地址分配 |
| CN101119196A (zh) * | 2006-08-03 | 2008-02-06 | 西安电子科技大学 | 一种双向认证方法及系统 |
| CN101201889A (zh) * | 2006-12-12 | 2008-06-18 | 晨星半导体股份有限公司 | 商品交易认证的方法 |
| CN101277185A (zh) * | 2007-03-28 | 2008-10-01 | 联想(北京)有限公司 | 一种基于无线标识的认证方法、系统和无线标识、服务器 |
| CN101448255A (zh) * | 2007-11-27 | 2009-06-03 | 飞力凯网路股份有限公司 | 服务提供系统、服务提供服务器以及信息终端设备 |
| CN101873588A (zh) * | 2010-05-27 | 2010-10-27 | 大唐微电子技术有限公司 | 一种业务应用安全实现方法及系统 |
| CN102377769A (zh) * | 2010-08-16 | 2012-03-14 | 捷讯研究有限公司 | 提供针对私有数据访问的无线认证的通信系统及相关方法 |
| CN102790676A (zh) * | 2012-03-20 | 2012-11-21 | 黄志军 | 一种带有nfc功能手机远程身份认定或防伪的方法 |
| CN103457717A (zh) * | 2012-06-04 | 2013-12-18 | 索尼公司 | 信息处理装置、信息处理系统、信息处理方法及程序 |
| CN102946605A (zh) * | 2012-11-02 | 2013-02-27 | 清华大学 | 一种无线局域网络接入方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20160102263A (ko) | 2016-08-29 |
| EP3091768A4 (en) | 2016-11-09 |
| EP3091768A1 (en) | 2016-11-09 |
| TW201537493A (zh) | 2015-10-01 |
| WO2015118971A1 (ja) | 2015-08-13 |
| JPWO2015118971A1 (ja) | 2017-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9591483B2 (en) | Authentication mechanisms for wireless networks | |
| EP2487629B1 (en) | Secure smart poster | |
| CN109219951B (zh) | 多级通信加密 | |
| US10019530B2 (en) | ID tag authentication system and method | |
| US8966096B2 (en) | Device-pairing by reading an address provided in device-readable form | |
| US10115243B2 (en) | Near field communication system | |
| CN1703868B (zh) | 用于认证电子邮件的方法和装置 | |
| EP2961094A1 (en) | System and method for generating a random number | |
| CN106656510A (zh) | 一种加密密钥获取方法及系统 | |
| CN103069772A (zh) | 通信网络中进行自动发现的方法和装置 | |
| CN105940693A (zh) | 通信系统 | |
| CN105940406A (zh) | 通信系统、服务器及计算机程序 | |
| EP2105873A1 (en) | System and method for performing a transaction | |
| Truong et al. | Using contextual co-presence to strengthen Zero-Interaction Authentication: Design, integration and usability | |
| US20180205714A1 (en) | System and Method for Authenticating Electronic Tags | |
| Radu et al. | Practical EMV relay protection | |
| Zhao et al. | Security challenges for the intelligent transportation system | |
| JPWO2020049951A1 (ja) | Icカード、処理方法、および情報処理システム | |
| CN110063052A (zh) | 确认bluetooth*配对的方法和系统 | |
| US10511946B2 (en) | Dynamic secure messaging | |
| CN104243153A (zh) | 一种用于发现设备的用户的方法和用户设备 | |
| CN108322886A (zh) | 终端定位数据的鉴权方法和装置 | |
| US20100306112A1 (en) | Online trading method and system with mechanism for verifying authenticity of a product | |
| US20210367969A1 (en) | Footprint data to prevent man-in-the-middle attacks | |
| KR102083365B1 (ko) | 비콘 기반의 정보 전송 관리 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160914 |