CN107615705B - 用于在动态的基于邻近的网络中进行资产认证的方法、服务器和通信设备 - Google Patents
用于在动态的基于邻近的网络中进行资产认证的方法、服务器和通信设备 Download PDFInfo
- Publication number
- CN107615705B CN107615705B CN201680030051.6A CN201680030051A CN107615705B CN 107615705 B CN107615705 B CN 107615705B CN 201680030051 A CN201680030051 A CN 201680030051A CN 107615705 B CN107615705 B CN 107615705B
- Authority
- CN
- China
- Prior art keywords
- communication device
- server
- communication
- communication interface
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/20—Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel
- H04W4/21—Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel for social networking applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/04—Terminal devices adapted for relaying to or from another terminal or user
Abstract
本发明披露了用于在动态的基于邻近的网络中进行资产认证的方法、服务器和通信设备,每个通信设备具有用于通过短程无线信标广播消息建立动态的基于邻近的网络的第一接口,和用于通过宽带通信与服务器进行通信的第二接口。第一通信设备经由第一接口向具有相关资产的第二通信设备发送认证请求(210)。第二设备经由第一接口接收认证请求(220),并作为响应经由第二接口与服务器进行通信,以通过用第二设备的私钥对包括资产的数据进行加密来生成数字签名(230)。第二设备经由第一接口向第一设备发送关于生成数字签名的签名已完成的报告消息(240)。第一设备经由第一接口接收签名已完成的报告消息(250),并作为响应经由第二接口与服务器进行通信以取回认证结果(260)。
Description
技术领域
本发明总体上涉及通信设备的动态的基于邻近的网络的领域。更具体地说,本发明涉及在通信设备的动态的基于邻近的网络中对资产进行认证的方法,其中通信设备包括用于通过短程无线信标广播消息建立动态的基于邻近的网络的第一通信接口,和用于通过宽带通信与服务器进行通信的第二通信接口。本发明还涉及相关的通信设备和服务器。
背景技术
移动终端(例如智能手机和平板电脑)是通信设备的常见示例,在人类社会中已经非常普及。因此,某些需求随之出现。例如,希望通信设备的用户优选以快速和方便但由各自用户可控的方式与邻近地区的其他用户进行交互。本发明的申请人和本发明的发明人已经在开发新技术上取得领导地位,所述新技术极大地方便了彼此接近的通信设备的用户通过例如共享内容或进行社交媒体交互而进行交互。
这种可被称为“气泡(bubble)”概念的技术是基于短程无线信标广播消息来建立动态的基于邻近的网络。网络中通信设备的用户之间的交互是通过与服务器的宽带通信来支持的。细节披露于瑞典专利申请SE 1451203-2 “COMMUNICATION DEVICE FOR IMPROVEDSHARING OF CONTENT”, SE1400535-9“SELECTIVE USER INTERACTION IN A DYNAMIC,PROXIMITY-BASED GROUP OF WIRELESS COMMUNICATION DEVICES”和 SE1451433-5“DYNAMIC TIMING FOR IMPROVED COMMUNICATION HANDLING BETWEEN COMMUNICATIONDEVICES”,上述内容在此以其全文形式被援引加入本文。
也可能存在通信设备的其他类型的动态的基于邻近的网络。
由于通信设备及其用户在动态的基于邻近的网络中固有的不可预知的性质,本发明的发明人已经认识到动态的基于邻近的网络中对可靠性的潜在需求。可能希望防止或至少降低动态的基于邻近的网络中的欺诈行为的风险,例如,通过使恶意用户不能成为他或她试图伪装的人。而且,例如当正在建立网络时,可能希望防止或至少降低在动态的基于邻近的网络中操纵通信设备或其用户的身份的风险。由于带宽、覆盖范围以及消息大小的固有限制,网络建立是基于短程无线信标广播消息的事实在这方面提出了挑战。
本发明的发明人还已经认识到,当动态的基于邻近的网络中的一个或多个通信设备是IoT(物联网Internet of Things)设备而不是由人类用户使用的设备时,类似的关注点可能适用。
发明内容
因此,本发明的一个目的是在通信设备的动态的基于邻近的网络的技术领域中提供改进,并且消除、减轻、缓和或减少至少一些上面提到的问题。
因此,本发明的一个方面是一种在通信设备的动态的基于邻近的网络中认证资产的方法,其中通信设备包括用于通过短程无线信标广播消息建立动态的基于邻近的网络的第一通信接口,和用于通过宽带通信与服务器进行通信的第二通信接口。所述方法涉及:
第一通信设备经由第一通信接口向第二通信设备发送认证请求,所述资产与第二通信设备相关;
第二通信设备经由第一通信接口接收认证请求,并作为响应经由第二通信接口与服务器进行通信,以通过用第二通信设备的私钥对包括所述资产的数据进行加密来生成数字签名;
第二通信设备经由第一通信接口向第一通信设备发送关于生成数字签名的签名已完成的报告消息;以及
第一通信设备经由第一通信接口接收签名已完成的报告消息,并作为响应经由第二通信接口与服务器进行通信以取回认证结果。
本发明的另一方面是一种第一无线通信设备,包括用于通过短程无线信标广播消息建立动态的基于邻近的网络的第一通信接口,和用于通过宽带通信与服务器进行通信的第二通信接口。第一无线通信设备被设置成:
经由第一通信接口向第二通信设备发送认证请求,所述认证请求属于与第二通信设备相关的资产;
经由第一通信接口从第二通信设备接收签名已完成的报告消息;并且,作为响应,
经由第二通信接口与服务器进行通信以取回认证结果。
本发明的又一方面是一种第二无线通信设备,包括用于通过短程无线信标广播消息建立动态的基于邻近的网络的第一通信接口,和用于通过宽带通信与服务器进行通信的第二通信接口。第二无线通信设备被设置成:
经由第一通信接口从第一通信设备接收认证请求,所述认证请求属于与第二通信设备相关的资产;
作为响应,经由第二通信接口与服务器进行通信以通过用第二通信设备的私钥对包括所述资产的数据进行加密来生成数字签名;以及
经由第一通信接口向第一通信设备发送关于生成数字签名的签名已完成的报告消息。
本发明的另一方面是一种与上述所限定的第一无线通信设备和上述所限定的第二无线通信设备一起使用的服务器。所述服务器被设置成:
经由第二通信接口与第二通信设备进行通信以通过用第二通信设备的私钥对包括所述资产的数据进行加密来生成数字签名;以及
经由第二通信接口与第一通信设备进行通信以取回认证结果。
所披露实施例的其他方面、目的、特征和优势会从下述详细描述、从所附(从属)权利要求以及从附图中显而易见。一般而言,权利要求中所用的所有术语应根据技术领域中的通常含义进行解释,除非在本文中另外明确定义。
所有提及“一个/一个/所述(元件、设备、部件、方式、步骤等)(a/an/the[element,device,component,means,step,etc])”都被开放地解释为是指至少一个个体的元件、设备、部件、方式、步骤等,除非另外明确说明。本文所披露的任何方法的步骤不必完全按照所披露的确切的顺序进行,除非明确说明。
附图说明
图1A、1B和1C一般性地示出了在概念层面上根据通信设备的动态的基于邻近的网络的气泡概念。
图2示出了根据一个实施例的通信设备的动态的基于邻近的网络。
图3是根据一个实施例在通信设备的动态的基于邻近的网络中对资产进行认证的方法的示意性流程图。
图4示意性示出了通信设备在服务器处的注册,所述注册是根据一个实施例的对资产进行认证的方法的初始部分。
图5示意性示出了通信设备的安全识别,所述安全识别是根据一个实施例的对资产进行认证的方法的初始部分。
图6示意性示出了根据一个实施例作为通过如图3所示的方法成功认证的结果向气泡添加认证的用户。
图7A是示意性时间轴图,示出了根据图4在服务器处的通信设备的注册以及根据图5的通信设备的安全识别的一个可能的实施。
图7B是示意性时间轴图,示出了根据图3在通信设备的动态的基于邻近的网络中对资产进行认证的方法的一个可能的实施。
图7C是示意性时间轴图,示出了根据图6向气泡添加认证的用户的一个可能的实施。
图8A和8B是根据两个相应的实施例的通信设备的示意图。
图9是图8A或8B中通信设备的部件的示意图。
图10是计算机可读介质的示意图。
具体实施方式
现在将在下文结合附图更充分地描述所披露的实施例,其中示出了本发明的某些实施例。不过,本发明可能以很多不同的形式体现,并且不应被解释为限于本文所述的实施例;而是,这些实施例通过示例的方式提供,以便本公开内容是彻底的和完整的,并且将本发明的范围充分地传达给本领域技术人员。相同/ 类似的附图标记自始至终是指相同/类似的元件。
图1A-1C总体上示出了通信设备的动态的基于邻近的网络,以及也被称为“气泡(bubble)”的概念。图1A-1C中可以看到多个通信设备1-6。每个通信设备通常可以是移动通信终端,例如,移动电话(例如,智能手机)、平板电脑(例如,surfpad)、个人数字助理、手提电脑、游戏机等等。通信设备1-6具有各自的用户1a-6a,如图1A所示。每个通信设备通常是便携式的,但是它们中的至少一些可选地可以是固定的,例如,台式电脑、计算机集成显示器或IoT设备。如果任何的通信设备1-6是IoT设备,则可能缺少特定用户1a-6a。
通信设备1-6可以通过本地通信网络14(参见虚线箭头12a)和/或全球通信网络15(参见虚线-点箭头12b)和/或两者的网络(参见实线12c)与一个或多个服务器13、16进行通信。本地通信网络14可以例如是符合IEEE 802.11(WiFi) 的无线局域网(WLAN),而全球通信网络15可以例如是符合W-CDMA/HSPA、 GSM、UMTS或LTE的蜂窝通信网络,支持例如基于TCP/IP的通信。稍后将结合图8A、8B和9对通信设备的示例性实施例进行更为详细地描述。在可替换的实施例中,服务器13、16中的一个或多个可以在任意的通信设备1-6中全部或部分地作为功能单元来实施。
现在将首先结合图1A-1C来解释气泡概念。然后,将结合图2-6在一般层面上描述关于气泡中的认证和安全识别的特征。接下来,将结合图7A-7C来描述不同的示例性实施例。
如在图1A中所示,第一通信设备1具有邻近区域10,在该邻近区域10 内,第一通信设备1可以通过短程无线信标广播消息11到达其他通信设备2、3、 4和5,并且其他通信设备2、3、4和5可以通过短程无线信标广播消息11到达第一通信设备1。距离第一通信设备1太远的通信设备(包括图1A中的通信设备 6)在当前无法通过短程无线信标广播消息11到达,因此当前在邻近区域10之外。
可以通过以下方式建立动态的基于邻近的网络。短程无线信标广播消息由第一通信设备1发送并且被第一通信设备的邻近区域10中的其他通信设备2、3、4和5接收。通信设备6在邻近区域10之外,因此将不能接收短程无线信标广播消息。短程无线信标广播消息适于请求接收的其他通信设备2、3、4和5通过发送响应消息来反应。在所披露的实施例中,短程无线信标广播消息是
消息(依次基于Bluetooth Low Energy(BLE))。因此,短程无线信标广播消息包含与第一通信设备1相关的通用唯一标识符(UUID)。其他实施例可直接基于BLE,或基于能够传输信标消息的任何其他短程无线通信标准。
在所披露的实施例中,接收的其他通信设备2、3、4、5可通过本地通信网络14和/或全球通信网络15通过向服务器13或16发送响应消息来作出反应。不过,情况是可预见的,不是所有的接收的其他通信设备2、3、4、5都会以这种方式作出反应。例如,在一些实施例中,仅那些包含应用程序级(例如,“bubble app”)、应用构架级(例如,“bubble plug-in(插件)”)或操作系统级(例如,“bubble driver(驱动器)”)的某个/某些软件功能的接收的其他通信设备2、3、4、5能够或被允许响应来自第一通信设备1的短程无线信标广播消息。
响应消息包含识别响应的其他通信设备的信息(例如,与之相关的UUID,或可替换地IP地址,MAC地址等等)。响应消息还包含识别第一通信设备1的信息(通常是包含在已接收到的短程无线信标广播消息中的UUID)。
服务器13或16在其他通信设备2、3、4、5中注册响应设备。服务器13 或16此时在第一通信设备1的身份与已注册的响应的其他设备的身份之间具有映射。总之,它包含足够的信息以便为第一通信设备1定义当前的气泡,因为通常在其他设备之一的身份及其相应的用户之间存在一对一关系。
用户身份和设备身份之间的所述关系可以按不同的方式表示。例如,当在它们的通信设备中安装“bubble app”时,用户可通过服务器13或16为自己注册,其中服务器13或16可以分配或登记/注册用户ID并将其与相应的通信设备的身份一起存储。可替换的,用户ID可被包括在来自响应的通信设备的响应消息中。
可替换的,接收从第一通信设备1发送的短程无线信标广播消息的其他通信设备2、3、4、5可以通过向第一通信设备1发回响应消息来作出反应。第一通信设备1将在其他通信设备中注册响应的设备。此外,第一通信设备1此时在自己的身份与已注册的响应的其他设备的身份之间会具有映射,并因此具有足够的信息以便为第一通信设备1定义当前的气泡。如上所述,通常在其他设备之一的身份及其相应的用户之间存在一对一关系。
从第一通信设备1的用户1a视角来看,通信设备2、3、4和5的用户2a、3a、4a和5a当前可用于交互,只要它们已被及时注册为短程无线信标广播消息的应答者,如上所述。用户2a、3a、4a和5a因此是第一通信设备1周围的气泡的成员。
与气泡中的用户的交互可以例如涉及共享可在通信设备中本地创建和/ 或存储的内容,或共享可利用本地通信网络14和/或全球通信网络15向通信设备取回或从通信设备传输的内容。非限制性示例的内容包括图片/照片、视频、音频文件、消息、文本或社交媒体配置文件。其他种类的交互可以包括社交媒介交互 (例如,邀请/交友/联系)、电话、短信、多媒体消息、邮件信息、聊天对话等等。此外,可以提供用于识别、计数和/或分类当前在用户的气泡中的其他用户的功能。可以与气泡的所有当前用户进行交互,例如通过提供用于在气泡的所有当前用户中进行共享的特定内容,或者可以选择性地与当前在气泡中的其他用户中的一个或多个(区别于所有)进行交互。这可被看作用户的气泡的分割。
气泡技术的细节在背景技术部分列出的所提及的瑞典专利申请中给出;回顾其内容以其全文形式被援引加入本文。
图1A中的情况是示例性时间快照;第一通信设备1的用户1a的气泡在该特定时间由用户2a、3a、4a和5a组成。情况可在任何时候发生变化,例如当任意的通信设备1-6移动时。因此,气泡可在任何时候进行更新。第一通信设备1 向第一通信设备1周围的当前邻近区域10中的其他通信设备发送短程无线信标广播消息的功能可按照预定安排或根据第一通信设备1的用户的请求进行重复,以便更新用于第一通信设备1的通信设备的动态的基于邻近的网络。
上述更新的第一示例在图1B中示出。这里,第一通信设备1已经相对于其他通信设备2-6移动。结果,邻近区域10随第一通信设备1移动。在图1B中,这引起两个变化。第一,通信设备2现在定位在邻近区域10之外;因此,用户2a 将从用户1a的气泡消失。第二,通信设备6现在将定位在邻近区域10的内部;因此,用户6a将进入用户1a的气泡。因此,图1B中用户1a的气泡将由用户3a、4a、5a和6a组成,并且动态的基于邻近的网络将包括通信设备1、3、4、5和6。
用户1a的气泡变化的第二示例在图1C中示出。这里,通信设备4已经背离第一通信设备1(和其他通信设备3、5和6)移动。结果,通信设备4现在定位在邻近区域10的外部;因此,用户4a将从用户1a的气泡消失。因此,图1C 中用户1a的气泡将由用户3a、5a和6a组成,并且动态的基于邻近的网络将包括通信设备1、3、5和6。
现在参见图2,其示出了根据一个实施例的通信设备的动态的基于邻近的网络100。例如,可以如上文针对图1A-1C所述或以稍后结合图7A-7C所述的方式来建立动态的基于邻近的网络100。
图2中动态的基于邻近的网络100包括第一通信设备110和第二通信设备120。实际上,网络100还可能包括第三、第四、第五通信设备等等。第一和第二通信设备110、120可以例如是上文针对图1A-1C所提及的任意的通信设备1-6。
第一通信设备110和第二通信设备120中的每一个分别包括第一通信接口112和122,用于通过短程无线信标广播消息建立动态的基于邻近的网络100。短程无线信标广播消息通常是单向的,分别在113和123示出。稍后将结合图9 给出第一通信接口112、122的详细说明(参见其中的附图标记732)。
此外,第一通信设备110和第二通信设备120中的每一个分别包括第二通信接口114和124,用于通过宽带通信与服务器130进行通信。与服务器130的宽带通信通常是双向的,分别在115和125示出,并且通常发生在大大高于短程无线信标广播消息113和123的带宽上。稍后将结合图9给出第二通信接口114、 124的详细说明(参见其中的标号734)。
服务器130可以例如是上文针对图1A-1C所提及的任意的服务器13和 16。服务器130可以是第一和第二通信设备110、120外部的独立计算资源,云(分布式)计算资源,或者在替代实施例中,在第一通信设备110中并由第一通信设备110实施。
第二通信设备120与资产126相关。资产126可以例如是第二通信设备 120或其用户的标识符。所述标识符的示例在图3-7C中被称为UID2,稍后将对其进行更详细的描述。
可替换地,资产126可以是第二通信设备的用户的用户配置文件。所述用户配置文件的示例在图3-7C中被称为U2_Profile,同样稍后将对其进行更详细的描述。
作为另一种替代,资产126可以是第二通信设备120或其用户所控制的有价值的数字内容。有价值的数字内容的示例包括电子或数字货币、电子或数字票、电子或数字令牌、电子或数字证书、电子或数字护照、电子或数字通行票据 (passbill)、电子或数字交易账户等等。
资产126可以存储在第二通信设备120的本地存储器(参见图9中附图标记740)中。可替换地,资产可以存储在服务器130处,例如存储在其数据存储器132中,如图2的126’处所示。第二通信设备120随后可以存储至资产126’的链接,或者服务器130可以以另一种方式将资产126’与第二通信设备120相关联,例如,通过将第二通信设备120或其用户的标识符与资产126’一起存储在数据存储132中。
作为另一种替代,并且如126”处所示,资产可以远程存储在第三方,其可参见图2中具有数据存储器142的第二服务器140。第二服务器140可以与服务器130进行通信,如图2中144处所示。远程存储的资产126”可以例如以任意的上文给出的方式与第二通信设备120相关联。
第一通信设备110或其用户可能希望在不同情况下对第二通信设备120 的资产126进行认证。例如,当第一通信设备110是类似于图1A-1C中的通信设备1的设备时(对于该设备已经或应产生气泡),可能希望在第二通信设备120被允许进入动态的基于邻近的网络100之前和/或在第二通信设备120的用户被允许进入由第一通信设备110的用户产生的气泡之前验证第二通信设备120或其用户就是它/他/她所宣称的那个。在该示例性情况下,资产126通常是第二通信设备120 或其用户的标识符和/或第二通信设备120的用户的用户配置文件。
第二示例性情况是当第二通信设备120出现在动态的基于邻近的网络 100上并请求来自第一通信设备110或其用户的服务时,将资产126呈现为用于识别的方式或用于为服务付款的方式。
为此,图3是根据一个实施例在图2的动态的基于邻近的网络100中认证资产126的方法的示意性流程图。图3中的功能之前可以具有用于在服务器130 处注册通信设备110、120的功能,如下文将结合图4更详细描述。附加地或可替换地,图3中的功能之前可以具有用于通信设备110、120的安全识别的功能,如下文将结合图5更详细描述。
图7B示出了根据图3在通信设备110、120的动态的基于邻近的网络100 中认证资产126的方法的一种可能的实施方式。因此图3和图7B将在下文同时描述。
如图3中第一步骤210中所示,第一通信设备110经由第一通信接口112、 122向第二通信设备120发送认证请求。如前所述,认证请求属于与第二通信设备 120相关的资产126(126’、126”)。在图7B中,步骤210中的认证请求被实现为包含第二通信设备120的用户120a的标识符UID2的短程无线信标广播消息 AUTH_REQ1。
如图7B中所示,AUTH_REQ1消息被广播给动态的基于邻近的网络100 中的所有通信设备,包括通信设备125。但是,在AUTH_REQ1消息中包含的标识符UID2会允许第二通信设备120确定它是该消息的预期接收者。
因此,第二通信设备120会在图3的步骤220经由第一通信接口112、122 接收认证请求。作为响应,第二通信设备120会在图3的步骤230经由第二通信接口124与服务器130进行通信,以使服务器130通过用第二通信设备120的私钥U2_PrK对包括资产126的数据进行加密来生成数字签名U2_Signed。
如图7B中所示,为了触发该活动,第二通信设备120通过第二通信接口 124向服务器130发送SIGNING_REQ消息。在图7B的实施例中,资产126是第二通信设备120的标识符UID2,并因此标识符UID2被包括在SIGNING_REQ消息中。
响应于接收到SIGNING_REQ消息,服务器130会取回第二通信设备120 的私钥U2_PrK并对第二通信设备120的标识符UID2(构成资产126)进行加密以生成数字签名U2_Signed。生成的数字签名U2_Signed会被存储在服务器130中、存储在服务器130处或用于服务器130,即,生成的数字签名不会被传输到第二通信设备120,也不会被传输到第一通信设备110。
在有优势的实施例中,如在根据图7B的实施方式中所示,服务器130 会创建包括数字签名U2_Signed的临时认证环境TAC以及有利地时间戳。标识符 TAC_ID也会被生成以表示创建的临时认证环境TAC。TAC会被存储在可被服务器130访问的数据存储器中,例如数据存储器132。可选地,随机数据(salt)可以在加密之前附加到包括资产126(例如,UID2)的数据,并且可以被包括在创建和存储的TAC中。
然后,在图3的步骤240中,第二通信设备120会经由第一通信接口(112、 122)向第一通信设备110发送关于生成数字签名U2_Signed的签名已完成的报告消息。
如图7B中所示,在所披露的实施例中,该活动涉及服务器130通过第二通信接口124向第二通信设备120发送包含创建的TAC_ID的签名已完成的报告 SIGNING_REP1。作为响应,第二通信设备120会通过第一通信接口112、122向第一通信设备110发送同样包含创建的TAC_ID的签名已完成的报告消息 SIGNING_REP2。
在图3的步骤250中,第一通信设备110会经由第一通信接口(112、122) 接收签名已完成的报告消息(SIGNING_REP2),并且作为响应,在图3的步骤260 中,经由第二通信接口114与服务器130进行通信以使服务器130取回认证结果。为了取回认证结果,如上文所述,服务器130会使用如存储在服务器130中、存储在服务器130处或用于服务器130的生成的数字签名U2_Signed。
如图7B中所示,在所披露的实施例中,步骤260的活动涉及第一通信设备110经由第二通信接口114向服务器130发送认证请求AUTH_REQ2。认证请求AUTH_REQ2包含如在步骤250中接收到的TAC_ID以及UID2。
一旦接收到认证请求AUTH_REQ2,服务器130会使用其中包含的 TAC_ID来取回存储的临时认证环境TAC。服务器130可以根据当前时间检查TAC 的时间戳以确定TAC是否仍然有效或已经到期。从取回的TAC中,服务器130 会取回数字签名U2_Signed。服务器130会取回与第二通信设备120的私钥U2_PrK 对应的公钥U2_PuK以及存储的随机数据(salt)(如果适用),并且解密U2_Signed 以获得第二通信设备120的标识符UID2。
服务器130然后会确定获得的标识符UID2是否与来自第一通信设备110 的认证请求AUTH_REQ2中的标识符UID2相匹配。在匹配的情况下,服务器130 认为第二通信设备120被认证,并作为响应经由第二通信接口114向第一通信设备110发送具有正值(例如,OK)的认证结果AUTH_RESULT。
另一方面,如果不匹配,则服务器130认为第二通信设备120未被认证,并且作为响应会经由第二通信接口114向第一通信设备110发送具有负值(例如, NOT OK、NOK)的认证结果AUTH_RESULT。
现在将结合图4更详细地描述通信设备110、120在服务器130处的注册功能,并且同时描述图7A中示出的可能的实施方式。
在图4的第一步骤310中,第一和第二通信设备110/120中的每一个首先经由第二通信接口114/124向服务器130发送注册请求REG_REQ。作为响应,在步骤320中,服务器130会为各自的通信设备110/120生成标识符UID1/UID2和公钥/私钥对U1_PuK/U1_PrK、U2_PuK/U2_PrK。
在步骤330中,服务器130会为各自的通信设备110/120创建用户配置文件U1_Profile/U2_Profile。用户配置文件会包括生成的标识符UID1/UID2和公钥/ 私钥对U1_PuK/U1_PrK、U2_PuK/U2_PrK。创建的用户配置文件 U1_Profile/U2_Profile会被存储在可被服务器130访问的数据存储器中,例如数据存储器132。标识符UID2和公钥/私钥对U2_PuK/U2_PrK因此可方便地被服务器 130访问以用于第二通信设备120的任何后续认证,如上文对于图3和图7B所述。
然后,在图4的步骤340中,服务器130会通过经由第二通信接口114/124 发送相应的REG_RESP消息来将生成的标识符UID1/UID2返回到相应的通信设备 110/120。
在图4的最后步骤350中,相应的通信设备110/120会经由第二通信接口 114/124从服务器130接收生成的标识符UID1/UID2。
现在将结合图5同时与图7A中示出的可能的实施方式更详细地描述用于通信设备110、120的安全识别的功能。在图5和图7A的情况,假定第一通信设备110或其用户110a希望安全地识别网络100中的其他通信设备,包括第二通信设备120或其用户120a。
因此,在图5的第一步骤410中,第一通信设备110经由第一通信接口 112、122向第二通信设备120发送身份请求。如图7A中所示,身份请求ID_REQ 包含第一通信设备110的标识符UID1(如上文针对图4所描述,当第一通信设备 110向服务器130注册时方便地生成),并且经由第一通信接口112、122广播到动态的基于邻近的网络100中的所有通信设备,包括第二通信设备120和另一通信设备125。
在图4的第二步骤420中,第二通信设备120经由第一通信接口112、122 接收身份请求ID_REQ。作为响应,第二通信设备120在第三步骤430中经由第二通信接口124与服务器130进行通信,以通过用第一通信设备110的公钥U1_PuK 对第二通信设备120的标识符UID2进行加密来生成加密的标识符UID2encr。
步骤420和430的活动涉及第二通信设备120向服务器130发送 GET_PuK消息,所述GET_PuK消息包含请求的第一通信设备110的标识符UID1。服务器130会取回第一通信设备110的公钥U1_PuK,其在用户配置文件U1_Profile 中可方便地用于第一通信设备110的用户110a,如上文针对图4所述。服务器130 然后会经由第二通信接口124将SEND_PuK消息中取回的第一通信设备110的公钥U1_PuK发送给第二通信设备120。
一旦从服务器130接收到SEND_PuK消息,第二通信设备120会用取回的第一通信设备110的公钥U1_PuK来加密其标识符UID2,以产生加密的标识符 UID2encr。可替换地,服务器130可执行加密并将SEND_PuK消息中加密的标识符 UID2encr发送给第二通信设备120。
在图4的第四步骤440中,第二通信设备120然后会经由第一通信接口 112、122向第一通信设备110发送身份响应ID_RESP。身份响应ID_RESP会包含第二通信设备120的加密的标识符UID2encr。
在图4的第五步骤450中,一旦经由第一通信接口112、122从第二通信设备120接收到身份响应ID_RESP,第一通信设备110会在图4的第六步骤460 中利用其私钥U1_PrK解密已加密的标识符UID2encr。为此,在向服务器130注册并创建用户配置文件U1_Profile之后,私钥U1_PrK可能已经以安全的方式从服务器130被分配到第一通信设备110。
在图4的步骤460中对加密的标识符UID2encr的解密将使得第二通信设备120的标识符UID2安全地可用于第一通信设备110。例如,如果第一通信设备 110的用户110a想要允许第二通信设备120的用户120a进入他或她的气泡中,这可能是有益的。此外,第一通信设备110可能使用图4和图7A的安全识别功能作为安全发现方法以在动态的基于邻近的网络100中查找其他通信设备120、125。
当第一通信设备110的用户110a也使用如上文结合图3和图7B所述的认证功能时,当然获得更好的安全性。为此,可以采用图6中披露的附加功能,如可能根据图7C所实现的。
图6的第一步骤510在图3的结束步骤260之后发生。在步骤510中,第一通信设备110检查取回的认证结果AUTH_RESULT。在步骤520中,如果发现第二通信设备120的认证已经成功(即,取回的认证结果AUTH_RESULT=OK),则第一通信设备110在步骤530中经由第二通信接口114与服务器130进行通信,以将第二通信设备120的用户120a添加到网络中通信设备的用户的动态的基于邻近的组中——即,第一通信设备110的用户110a的气泡。如前所述,动态的基于邻近的组将支持组的用户之间的交互。
在图7C中示出的实施方式中,该活动可能涉及第一通信设备110经由第二通信接口114向服务器130发送ADD_TO_BUBBLE消息。ADD_TO_BUBBLE 消息用于将新用户(在这种情况下是第二通信设备120的用户120a)添加到由气泡标识符Bubble ID识别的现有气泡中。新气泡用户120a由标识符UID2识别。服务器130会通过经由第二通信接口114向第一通信设备110发送USER_ADDED 确认来认可新气泡用户120a的添加。
可替换地,第一通信设备110可经由第二通信接口114向服务器130发送CREATE_BUBBLE消息。CREATE_BUBBLE消息将用于代表第一通信设备110 的用户110a创建气泡;因此,CREATE_BUBBLE消息可能包含要成为新气泡成员的用户的标识符列表。标识符列表可能包含第一通信设备110的用户110a的标识符UID1、第二通信设备120的用户120a的标识符UID2以及其他用户(如果适用的话)。服务器130将通过经由第二通信接口114向第一通信设备110发送 BUBBLE_CREATED确认来确认新气泡的创建,其中BUBBLE_CREATED确认可能包含新气泡的Bubble ID。
图8A和8B大体上示出了无线通信设备600,其可以实现上面提到的任意的通信设备1-6、110和120。参见图8A,无线通信设备是智能手机或平板电脑 (配置有无线通信接口)形式的移动通信终端,包括其中配置有显示器620的外壳610。在一个实施例中,显示器620是触摸显示器。在其他实施例中,显示器 620是非触摸显示器。此外,智能手机600包括两个键630a、630b。在本实施例中,存在两个键630,但任意数目的键是可能的并取决于智能手机600的设计。
在一个实施例中,手机600被设置成在触摸显示器620上显示和操作虚拟键635。应当指出,虚拟键635的数目取决于智能手机600的设计和在智能手机 600上执行的应用(程序)。智能手机600还可以配备有摄像头660。摄像头660可以是被设置成通过在电子图像传感器(未示出)上记录影像来拍摄视频或静态照片的数字摄像头。在一个实施例中,摄像头660可以是外部摄像头。在一个实施例中,摄像头可以可替换地由提供图像流的源代替。智能手机600还可以配备有扬声器640和麦克风645。
参见图8B,手提电脑600包括显示器620和外壳610。外壳包括控制器或CPU(未示出)和一个或多个计算机可读存储介质(未示出),例如存储单元和内部存储器。存储单元的示例是磁盘驱动器或硬盘驱动器。手提电脑600还包括至少一个数据端口。数据端口可以是有线和/或无线的。数据端口的示例是USB(通用串行总线“Universal Serial Bus”)端口、以太网端口或WiFi(根据IEEE标准 802.11)端口。数据端口被设置成使手提电脑600能够连接其他计算设备或服务器。
手提电脑600还包括至少一个输入单元,例如键盘630。输入单元的其他示例是计算机鼠标、触摸板、触摸屏或操纵杆,仅举几例。
手提电脑600还可以配备有摄像头660。摄像头660可以是被设置成通过在电子图像传感器(未示出)上记录图像来拍摄视频或静态照片的数字摄像头。在一个实施例中,摄像头660可以是外部摄像头。在一个实施例中,摄像头可以可替换地由提供图像流的源代替。
手提电脑600还可以配备有扬声器640和麦克风645。
根据图8A或图8B的无线通信设备600可以被设置为通过摄像头660检测并追踪物体,例如用户的手。
图9示出了根据图8A或图8B的通信设备的一般结构的示意图。设备700 包括控制器710,其负责无线通信设备700的整体运行并优选地由任意商用CPU (“CentralProcessing Unit(中央处理单元)”)、DSP(“Digital Signal Processor(数字信号处理器)”)或任意其他电子可编程逻辑设备来实现。控制器710被设置成从存储器740读取指令并执行这些指令以控制无线通信设备200的运行。存储器740 可以利用用于例如ROM、RAM、SRAM、DRAM、CMOS、FLASH、DDR、SDRAM 等计算机可读存储器的任意公知的技术或一些其他存储器技术来实现。存储器740 由控制器710用于各种目的,其中一个是用于存储无线通信设备700中的各种软件模块的应用程序数据和程序指令750。软件模块可以包括实时操作系统、用于用户界面720的驱动程序、应用程序处理器以及各种应用程序750。
无线通信设备700还包括用户界面720,其在图8A和8B的设备700中由显示器620和键630、635组成。用户界面还可以包括麦克风645和扬声器644。
无线通信设备700还包括无线通信装置730,其适于允许无线通信设备 700通过利用不同的射频技术与其他设备进行通信。更具体地说,无线通信装置 730包括实现如上文针对前面的附图所提及的上述第一通信接口112/122的第一通信接口732。因此,第一通信接口732支持短程无线信标广播消息,并且可以有利地实现为符合
和/或Bluetooth Low Energy(BLE)/Bluetooth 4.0的通信接口。
无线通信装置730还包括实现如上文针对前面的附图所提及的上述第二通信接口114/124的第二通信接口734。因此,第二通信接口734尤其支持与服务器130的宽带通信。第二通信接口734可以有利地实现为符合IEEE802.11、 IEEE802.15、ZigBee、WirelessHART、WiFi、
WCDMA、HSPA、GSM、 UTRAN、UMTS和LTE的通信接口,仅举几例。应当指出,如众所周知的,无线通信装置730可以被设置成根据多于一种的技术进行通信,并且因此可以有许多不同的组合是可用的;例如,智能手机通常被设置成根据
标准、WiFi 标准和LTE标准进行通信。
无线通信设备700还配备有摄像头760。摄像头760是被设置成通过在电子图像传感器(未示出)上记录影像来拍摄视频或静态照片的数字摄像头。
摄像头760可操作地连接至控制器710,以向控制器提供视频流765,即,捕获的一系列影像,用于可能用于和/或根据应用程序750中的一个或若干个的进一步处理。
在一个实施例中,摄像头760是外部摄像头或图像流的源。
提及“计算机可读存储介质”、“计算机程序产品”、“有形体现的计算机程序”等或“控制器”、“计算机”、“处理器”等应被理解为不仅涵盖具有不同体系结构如单/多处理器体系结构和顺序(Von Neumann)/并行体系结构的计算机,还涵盖专用电路,如现场可编程门阵列(FPGA)、专用电路(ASIC)、信号处理设备和其他设备。提及计算机程序、指令、代码等应被理解为涵盖用于可编程处理器的软件或固件,例如,硬件设备的可编程内容,无论是用于处理器的指令还是用于固定功能设备、门阵列或可编程逻辑设备的配置设置等。
图10示出了如上所述的计算机可读介质的示意图。计算机可读介质830 在本实施例中是数据盘830。在一个实施例中,数据盘830是磁数据存储盘。数据盘830被设置成携带指令831,当指令831被加载到控制器例如处理器中时,执行根据上述实施例的方法或程序。数据盘830被设置成连接至读取设备832或连接在读取设备832中并被读取设备832读取,用于将指令加载到控制器中。与一个 (或若干个)数据盘830组合的读取设备832的一个这样的示例是硬盘驱动器。应当指出,计算机可读介质还可以是其他介质,例如光盘、数字视频光盘、闪存或其他常用的存储器技术。
还可通过将指令831包括在计算机可读信号833中而将指令831下载到计算机数据读取设备834,例如手提电脑或能够读取计算机可读介质上的计算机编码数据的其他设备,所述计算机可读信号833经由无线(或有线)接口(例如,通过因特网)传输到计算机数据读取设备834,用于将指令831加载到控制器中。在这样的一个实施例中,计算机可读信号833是计算机可读介质830的一种类型。
指令可以被存储在手提电脑834的存储器(在图10中未明确示出,但在图9中被标记为740)中。
提及计算机程序、指令、代码等应被理解为包含用于可编程处理器的软件或固件,例如硬件设备的可编程内容,无论是用于处理器的指令还是用于固定功能设备、门阵列或可编程逻辑设备等的配置设置。
上文结合图3-7C所述的各种功能可以部分或全部在包括如上文结合图 8A、8B和9所述的控制器的通信设备110/120中运行,和/或被致使通过执行存储在如结合图10所述的计算机可读介质上的指令而运行。
上文主要结合一些实施例描述了本发明。不过,如本领域技术人员容易理解的,除了上述披露的实施例之外的其他实施例同样可能在由所附专利权利要求限定的本发明的范围内。
Claims (14)
1.一种在通信设备(1-6)的动态的基于邻近的网络(100)中认证资产的方法,其中所述通信设备包括用于通过短程无线信标广播消息(113,123)建立动态的基于邻近的网络的第一通信接口(112,122),和用于通过宽带通信(115,125)与服务器(13,16,130)进行通信的第二通信接口(114,124),所述方法包括:
第一通信设备(110)经由第一通信接口(112,122)向第二通信设备(120)发送认证请求(AUTH_REQ1)(210),所述资产(126)与第二通信设备相关;
第二通信设备(120)经由第一通信接口(112,122)接收认证请求(AUTH_REQ1)(220),并作为响应经由第二通信接口(124)与服务器(130)进行通信,以通过用第二通信设备的私钥(U2_PrK)对包括所述资产的数据进行加密来生成数字签名(U2_Signed)(230);
第二通信设备(120)经由第一通信接口(112,122)向第一通信设备(110)发送关于生成数字签名(U2_Signed)的签名已完成的报告消息(SIGNING_REP2)(240);和
第一通信设备(110)经由第一通信接口(112,122)接收签名已完成的报告消息(SIGNING_REP2)(250),并作为响应经由第二通信接口(114)与服务器(130)进行通信以取回认证结果(AUTH_RESULT)(260)。
2.如权利要求1所述的方法,其中所述资产(126)是下述中的任意一种:
第二通信设备(120)或其用户(120a)的标识符(UID2);
第二通信设备(120)的用户(120a)的用户配置文件(U2_Profile);和
由第二通信设备(120)控制的有价值的数字内容。
3.如前述权利要求中任一权利要求所述的方法,所述方法还包括:
所述第一和第二通信设备(110/120)中的每一个首先经由第二通信接口(114,124)向服务器(130)发送注册请求(REG_REQ)(310);
作为响应,服务器(130):
为相应的通信设备(110/120)生成标识符(UID1/UID2)和公钥/私钥对(U1_PuK/U1_PrK,U2_PuK/U2_PrK)(320);
为相应的通信设备(110/120)创建并存储用户配置文件(U1_Profile/U2_Profile)(330),所述用户配置文件包括生成的标识符(UID1/UID2)和公钥/私钥对(U1_PuK/U1_PrK,U2_PuK/U2_PrK);和
将生成的标识符(UID1/UID2)返回到相应的通信设备(110/120)(340);和
相应的通信设备(110/120)经由第二通信接口(114,124)从服务器(130)接收生成的标识符(UID1/UID2)(350)。
4.如权利要求1-2中任一权利要求所述的方法,所述方法还包括:
第一通信设备(110)首先经由第一通信接口(112,122)向第二通信设备(120)发送身份请求(ID_REQ)(410);
第二通信设备(120)经由第一通信接口(112,122)接收身份请求(ID_REQ)(420),并作为响应经由第二通信接口(124)与服务器(130)进行通信,以通过用第一通信设备(110)的公钥(U1_PuK)对第二通信设备(120)的标识符(UID2)进行加密来生成加密的标识符(UID2encr)(430);
第二通信设备(120)经由第一通信接口(112,122)向第一通信设备(110)发送身份响应(ID_RESP)(440),所述身份响应(ID_RESP)包含加密的标识符(UID2encr);和
第一通信设备(110)经由第一通信接口(112,122)接收身份响应(ID_RESP)(450)并用第一通信设备(110)的私钥(U1_PrK)解密接收到的身份响应(ID_RESP)以获得第二通信设备(120)的标识符(UID2)(460)。
5.如权利要求1-2中任一权利要求所述的方法,所述方法还包括:
第一通信设备(110)检查取回的认证结果(AUTH_RESULT)(510),并且,如果认证结果显示成功认证(520),则经由第二通信接口(114)与服务器(130)进行通信,以将第二通信设备(120)的用户添加到网络中通信设备的用户的动态的基于邻近的组中(530),所述动态的基于邻近的组支持组的用户之间的交互。
6.如权利要求5所述的方法,其中组的用户之间的交互包括下述中的一个或多个:
内容共享,
社交媒介交互,
电子商务交易,
电话,
短信,
多媒体消息,
邮件信息,和
聊天对话。
7.如权利要求1-2、6中任一权利要求所述的方法,所述方法还包括:
服务器(130)在所述服务器中、在所述服务器处或为所述服务器存储生成的数字签名(U2_Signed);和
当取回认证结果时,服务器(130)使用存储在所述服务器中、存储在所述服务器处或为所述服务器存储的生成的数字签名(U2_Signed)。
8.如权利要求7所述的方法,所述方法还包括:
服务器(130)创建临时认证环境(TAC),其中存储有生成的数字签名(U2_Signed);
服务器(130)创建临时认证环境(TAC)的标识符(TAC_ID);
服务器(130)通过第二通信接口(124)向第二通信设备(120)发送临时认证环境(TAC)的标识符(TAC_ID);
第二通信设备(120)通过第一通信接口(112,122)向第一通信设备(110)发送临时认证环境(TAC)的标识符(TAC_ID);和
第一通信设备(110)经由第二通信接口(114)向服务器(130)发送认证请求(AUTH_REQ2)中的临时认证环境(TAC)的标识符(TAC_ID),以取回认证结果(AUTH_RESULT)。
9.一种第一无线通信设备(110),包括用于通过短程无线信标广播消息(113,123)建立动态的基于邻近的网络的第一通信接口(112),和用于通过宽带通信(115)与服务器(13,16,130)进行通信的第二通信接口(114),所述第一无线通信设备被设置成:
经由第一通信接口(112)向第二通信设备(120)发送认证请求(AUTH_REQ1)(210),所述认证请求属于与第二通信设备相关的资产(126),以使第二通信设备(120)在接收认证请求(AUTH_REQ1)(220)后与服务器(130)进行通信,以通过用第二通信设备的私钥(U2_PrK)对包括所述资产的数据进行加密来生成数字签名(U2_Signed)(230);
经由第一通信接口(112)从第二通信设备(120)接收签名已完成的报告消息(SIGNING_REP2)(250);并且,作为响应,
经由第二通信接口(114)与服务器(130)进行通信以取回认证结果(AUTH_RESULT)(260)。
10.一种第一无线通信设备(110),包括用于通过短程无线信标广播消息(113,123)建立动态的基于邻近的网络的第一通信接口(112),和用于通过宽带通信(115)与服务器(13,16,130)进行通信的第二通信接口(114),所述第一无线通信设备(110)被设置成:
经由第一通信接口(112)向第二通信设备(120)发送认证请求(AUTH_REQ1)(210),所述认证请求属于与第二通信设备相关的资产(126);
经由第一通信接口(112)从第二通信设备(120)接收签名已完成的报告消息(SIGNING_REP2)(250);并且,作为响应,
经由第二通信接口(114)与服务器(130)进行通信以取回认证结果(AUTH_RESULT)(260);
所述第一无线通信设备(110)还被设置成执行根据权利要求2-6中任一权利要求的方法中的第一无线通信设备(110)所限定的功能。
11.一种第二无线通信设备(120),包括用于通过短程无线信标广播消息(113,123)建立动态的基于邻近的网络的第一通信接口(122),和用于通过宽带通信(125)与服务器(13,16,130)进行通信的第二通信接口(124),所述第二无线通信设备被设置成:
经由第一通信接口(122)从第一通信设备(110)接收认证请求(AUTH_REQ1)(220),所述认证请求属于与第二通信设备相关的资产(126);
作为响应,经由第二通信接口(124)与服务器(130)进行通信以通过用第二通信设备的私钥(U2_PrK)对包括所述资产的数据进行加密来生成数字签名(U2_Signed)(230);和
经由第一通信接口(112,122)向第一通信设备(110)发送关于生成数字签名(U2_Signed)的签名已完成的报告消息(SIGNING_REP2)(240),以使第一通信设备(110)接收签名已完成的报告消息(SIGNING_REP2)(250),并作为响应与服务器(130)进行通信以取回认证结果(AUTH_RESULT)(260)。
12.一种第二无线通信设备(120),包括用于通过短程无线信标广播消息(113,123)建立动态的基于邻近的网络的第一通信接口(122),和用于通过宽带通信(125)与服务器(13,16,130)进行通信的第二通信接口(124),所述第二无线通信设备(120)被设置成:
经由第一通信接口(122)从第一通信设备(110)接收认证请求(AUTH_REQ1)(220),所述认证请求属于与第二通信设备相关的资产(126);
作为响应,经由第二通信接口(124)与服务器(130)进行通信以通过用第二通信设备的私钥(U2_PrK)对包括所述资产的数据进行加密来生成数字签名(U2_Signed)(230);和
经由第一通信接口(112,122)向第一通信设备(110)发送关于生成数字签名(U2_Signed)的签名已完成的报告消息(SIGNING_REP2)(240);
所述第二无线通信设备(120)还被设置成执行根据权利要求2-8中任一权利要求的方法中的第二无线通信设备(120)所限定的功能。
13.一种与权利要求9或10所述的第一无线通信设备(110)和权利要求11或12所述的第二无线通信设备(120)一起使用的服务器(13、16、130),所述服务器被设置成:
经由第二通信接口(124)与第二通信设备(120)进行通信以通过用第二通信设备(120)的私钥(U2_PrK)对包括所述资产的数据进行加密来生成数字签名(U2_Signed)(230);和
经由第二通信接口(114)与第一通信设备(110)进行通信以取回认证结果(AUTH_RESULT)(260)。
14.一种服务器(13,16,130),所述服务器(13,16,130)与权利要求9或10所述的第一无线通信设备(110)和权利要求11或12所述的第二无线通信设备(120)一起使用,所述服务器(13,16,130)被设置成:
经由第二通信接口(124)与第二通信设备(120)进行通信以通过用第二通信设备(120)的私钥(U2_PrK)对包括所述资产的数据进行加密来生成数字签名(U2_Signed)(230);和
经由第二通信接口(114)与第一通信设备(110)进行通信以取回认证结果(AUTH_RESULT)(260);
所述服务器(13,16,130)还被设置成执行根据权利要求2-8中任一权利要求的方法中的服务器(13,16,130)所限定的功能。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SE1550357A SE539942C2 (en) | 2015-03-25 | 2015-03-25 | Asset authentication in a dynamic, proximity-based network of communication devices |
| SE1550357-6 | 2015-03-25 | ||
| PCT/SE2016/050243 WO2016153420A1 (en) | 2015-03-25 | 2016-03-24 | Asset authentication in a dynamic, proximity-based network of communication devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107615705A CN107615705A (zh) | 2018-01-19 |
| CN107615705B true CN107615705B (zh) | 2021-04-13 |
Family
ID=56978559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680030051.6A Expired - Fee Related CN107615705B (zh) | 2015-03-25 | 2016-03-24 | 用于在动态的基于邻近的网络中进行资产认证的方法、服务器和通信设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10439819B2 (zh) |
| EP (1) | EP3275118B1 (zh) |
| CN (1) | CN107615705B (zh) |
| SE (1) | SE539942C2 (zh) |
| WO (1) | WO2016153420A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9596079B1 (en) * | 2016-04-14 | 2017-03-14 | Wickr Inc. | Secure telecommunications |
| US10402797B2 (en) * | 2016-06-20 | 2019-09-03 | Cyber Armor Pte Ltd | Secured authentication and transaction authorization for mobile and internet-of-things devices |
| US10805278B2 (en) * | 2016-08-15 | 2020-10-13 | Truist Bank | Network device proximity-based authentication |
| CN108259164B (zh) * | 2016-12-29 | 2021-01-15 | 华为技术有限公司 | 一种物联网设备的身份认证方法及设备 |
| US10686793B2 (en) * | 2017-05-31 | 2020-06-16 | Ca, Inc. | Integrated biometrics for application security |
| JP2020005024A (ja) * | 2018-06-25 | 2020-01-09 | ルネサスエレクトロニクス株式会社 | 端末認証装置、端末認証システム及び端末認証方法 |
| CA3170690A1 (en) * | 2020-02-14 | 2021-08-19 | Lisnr | Systems and methods for initiating transactions during intended windows based on detected devices |
| US11445444B2 (en) * | 2020-09-25 | 2022-09-13 | Snap Inc. | Power optimization for co-location connection service |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296136A (zh) * | 2007-04-29 | 2008-10-29 | 华为技术有限公司 | 一种配置服务器信息下发的方法及系统、管理装置 |
| CN101621801A (zh) * | 2009-08-11 | 2010-01-06 | 深圳华为通信技术有限公司 | 无线局域网的认证方法、系统及服务器、终端 |
| CN103686713A (zh) * | 2012-09-14 | 2014-03-26 | 通用汽车环球科技运作有限责任公司 | 使移动设备与车辆安全配对的方法和装置 |
| CN104125065A (zh) * | 2013-04-26 | 2014-10-29 | 义隆电子股份有限公司 | 短距离无线通信认证装置及其方法 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020136401A1 (en) * | 2000-07-25 | 2002-09-26 | Jeffrey Hoffstein | Digital signature and authentication method and apparatus |
| WO2002013445A2 (en) * | 2000-08-04 | 2002-02-14 | First Data Corporation | Linking public key of device to information during manufacture |
| US7206934B2 (en) * | 2002-09-26 | 2007-04-17 | Sun Microsystems, Inc. | Distributed indexing of identity information in a peer-to-peer network |
| JP4006403B2 (ja) * | 2004-01-21 | 2007-11-14 | キヤノン株式会社 | ディジタル署名発行装置 |
| US7689828B2 (en) * | 2004-07-23 | 2010-03-30 | Data Security Systems Solutions Pte Ltd | System and method for implementing digital signature using one time private keys |
| US20060136717A1 (en) * | 2004-12-20 | 2006-06-22 | Mark Buer | System and method for authentication via a proximate device |
| US8583915B1 (en) * | 2007-05-31 | 2013-11-12 | Bby Solutions, Inc. | Security and authentication systems and methods for personalized portable devices and associated systems |
| US20090280905A1 (en) | 2008-05-12 | 2009-11-12 | Weisman Jordan K | Multiplayer handheld computer game system having tiled display and method of use |
| EP2687277A1 (en) * | 2012-07-19 | 2014-01-22 | Gemalto SA | Method of managing gaming assets |
| US8467770B1 (en) * | 2012-08-21 | 2013-06-18 | Mourad Ben Ayed | System for securing a mobile terminal |
| US20140089670A1 (en) | 2012-09-27 | 2014-03-27 | Atmel Corporation | Unique code in message for signature generation in asymmetric cryptographic device |
| US9270660B2 (en) | 2012-11-25 | 2016-02-23 | Angel Secure Networks, Inc. | System and method for using a separate device to facilitate authentication |
| US10111025B2 (en) * | 2012-12-26 | 2018-10-23 | Samsung Electronics Co., Ltd. | Service providing terminal connection method and apparatus |
| US9900171B2 (en) | 2013-02-25 | 2018-02-20 | Qualcomm Incorporated | Methods to discover, configure, and leverage relationships in internet of things (IoT) networks |
| WO2014197497A2 (en) * | 2013-06-03 | 2014-12-11 | The Morey Corporation | Geospatial asset tracking systems, methods and apparatus for acquiring, manipulating and presenting telematic metadata |
| US20150304851A1 (en) * | 2014-04-22 | 2015-10-22 | Broadcom Corporation | Portable authorization device |
-
2015
- 2015-03-25 SE SE1550357A patent/SE539942C2/en unknown
-
2016
- 2016-03-24 EP EP16769175.7A patent/EP3275118B1/en active Active
- 2016-03-24 US US15/561,333 patent/US10439819B2/en active Active
- 2016-03-24 CN CN201680030051.6A patent/CN107615705B/zh not_active Expired - Fee Related
- 2016-03-24 WO PCT/SE2016/050243 patent/WO2016153420A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296136A (zh) * | 2007-04-29 | 2008-10-29 | 华为技术有限公司 | 一种配置服务器信息下发的方法及系统、管理装置 |
| CN101621801A (zh) * | 2009-08-11 | 2010-01-06 | 深圳华为通信技术有限公司 | 无线局域网的认证方法、系统及服务器、终端 |
| CN103686713A (zh) * | 2012-09-14 | 2014-03-26 | 通用汽车环球科技运作有限责任公司 | 使移动设备与车辆安全配对的方法和装置 |
| CN104125065A (zh) * | 2013-04-26 | 2014-10-29 | 义隆电子股份有限公司 | 短距离无线通信认证装置及其方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| SE539942C2 (en) | 2018-02-06 |
| WO2016153420A1 (en) | 2016-09-29 |
| CN107615705A (zh) | 2018-01-19 |
| EP3275118A1 (en) | 2018-01-31 |
| US10439819B2 (en) | 2019-10-08 |
| EP3275118A4 (en) | 2018-12-26 |
| SE1550357A1 (en) | 2016-09-26 |
| EP3275118B1 (en) | 2020-04-22 |
| US20180062851A1 (en) | 2018-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107615705B (zh) | 用于在动态的基于邻近的网络中进行资产认证的方法、服务器和通信设备 | |
| US10542109B2 (en) | Proxied push | |
| US8977856B2 (en) | Methods and apparatus for use in sharing credentials amongst a plurality of mobile communication devices | |
| US10499205B2 (en) | SMS proxying | |
| US10298398B2 (en) | Peer discovery, connection, and data transfer | |
| US9288229B2 (en) | Device association via video handshake | |
| EP3135022B1 (en) | Answering a call with client through a host | |
| AU2012367314B2 (en) | Secure peer discovery and authentication using a shared secret | |
| JP2013535860A (ja) | 間接的なデバイス通信 | |
| EP2939493A1 (en) | Device-to-device (d2d) discovery without authenticating through cloud | |
| US10129229B1 (en) | Peer validation | |
| US9781125B2 (en) | Enrollment in a device-to-device network | |
| JP6970256B2 (ja) | ネットワーク環境におけるピア電子デバイスによるリモート電子デバイスの構成 | |
| JP2017538223A (ja) | 認証方法 | |
| CN109075966B (zh) | 通信安全系统和方法 | |
| WO2021136511A1 (zh) | 一种通信方法及装置 | |
| CA2825321C (en) | Methods and apparatus for use in sharing credentials amongst a plurality of mobile communication devices | |
| CN114846832A (zh) | 用于与外部电子装置进行通信的方法及其电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190225 Address after: Malmo, Sweden Applicant after: Proximate, a think tank Address before: Malmo, Sweden Applicant before: CRUNCHFISH AB |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Malmo, Sweden Patentee after: Science think tank digital currency Co. Address before: Malmo, Sweden Patentee before: Proximate, a think tank |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210413 |