CN110832893B - 用于向用户设备提供对资源或数据的访问的系统及其方法 - Google Patents

用于向用户设备提供对资源或数据的访问的系统及其方法 Download PDF

Info

Publication number
CN110832893B
CN110832893B CN201880046372.4A CN201880046372A CN110832893B CN 110832893 B CN110832893 B CN 110832893B CN 201880046372 A CN201880046372 A CN 201880046372A CN 110832893 B CN110832893 B CN 110832893B
Authority
CN
China
Prior art keywords
light source
light
encrypted
access
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880046372.4A
Other languages
English (en)
Other versions
CN110832893A (zh
Inventor
D.V.R.恩格伦
B.M.范德斯勒伊斯
D.V.阿利亚克赛尤
M.T.厄伦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Signify Holding BV
Original Assignee
Signify Holding BV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Signify Holding BV filed Critical Signify Holding BV
Publication of CN110832893A publication Critical patent/CN110832893A/zh
Application granted granted Critical
Publication of CN110832893B publication Critical patent/CN110832893B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/11Arrangements specific to free-space transmission, i.e. transmission through air or vacuum
    • H04B10/114Indoor or close-range type systems
    • H04B10/1141One-way transmission
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/11Arrangements specific to free-space transmission, i.e. transmission through air or vacuum
    • H04B10/114Indoor or close-range type systems
    • H04B10/1149Arrangements for indoor wireless networking of information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Circuit Arrangement For Electric Light Sources In General (AREA)
  • Optical Communication System (AREA)

Abstract

公开了一种用于向用户设备(102)提供对资源或数据的访问的系统(100)。该系统(100)包括:用户设备(102),该用户设备(102)包括光检测器(104)、通信单元(108)和处理器(106),光检测器(104)被配置成检测由光源(122)发射的光(130),该光(130)包括嵌入码,该嵌入码包括光源(122)的光源标识符,通信单元(108)被配置成与网络设备(112)通信,处理器(106)被配置成从光(130)检索光源标识符,并将该光源标识符传送给网络设备(112)。该系统(100)还包括网络设备(112),该网络设备(112)包括:接收器(114)和控制器(116),接收器(114)被配置成从用户设备(102)接收光源标识符,控制器(116)被配置成基于该光源标识符识别光源(122),利用与私钥对应的公钥加密访问密钥或数据,并控制光源(122),使得光(130)包括更新的嵌入码,该嵌入码包括加密的访问密钥或加密的数据。用户设备(102)的处理器(106)还被配置成从被包括在光(130)中的更新的嵌入码检索加密的访问密钥或加密的数据,以及利用私钥解密加密的访问密钥或加密的数据,且利用解密的访问密钥访问资源,或检索解密的数据。

Description

用于向用户设备提供对资源或数据的访问的系统及其方法
技术领域
本发明涉及一种用于向用户设备提供对资源或数据的访问的系统。本发明还涉及在该系统中使用的用户设备和网络设备。本发明还涉及一种向用户设备提供对资源或数据的访问的方法。本发明还涉及一种用于向用户设备提供对资源或数据的访问的计算机程序产品。
背景技术
连接到网络或其他(数字)资源(诸如数据库)通常就像使用密码在网络上登录一样简单。但是,有的内容仅应是某些位置处的用户可访问的。例如,可能期望仅向出现在会议室中的人员提供对在该会议室中呈现的机密数字文档的访问。当前的无线访问协议的缺点在于,与网络的无线连接在初始握手之后可能仍然是可用的。因此,需要一种解决方案以确保用户出现在提供位置相关内容的位置处。
国际专利申请WO2016038353A1公开了一种光使能安全系统,用于允许用户设备经由光使能用户接入点访问网络上的文件或数据,光使能用户接入点用于允许响应于来自用户设备的数据请求,经由网络访问请求通过光通信信道访问网络。
DE 10 2015 222417 A1公开了一种用于与移动终端通信的照明设备。照明设备具有用于存储第一密钥(EKey)的数据存储单元和加密单元,该加密单元被设计为读出第一密钥(EKey)以加密测量数据和/或用于传输到移动终端设备的ID。照明设备还包括被设计成向移动终端发送加密消息的发送单元。移动终端可以从光中检索(加密的)光ID(LID),比如用于导航目的或用于元数据通信。移动终端可以访问存储在服务器单元上的查找表,该查找表存储与LID相关联的位置信息或元数据。LID可以由解密密钥(DKey)解密,该解密密钥(DKey)可以对应于移动终端的私钥,使得只有移动终端可以解密加密的LID。
发明内容
发明人意识到WO2016038353A1的系统的缺点是,如果另一个用户设备窃听原始用户设备的数据请求,则另一个用户设备可以进行伪装,就好像它是原始用户设备一样。因此,需要一种更安全的方式来访问与位置相关的内容。
本发明的目的是提供一种更安全的访问位置相关内容的方式。
根据本发明的第一方面,该目的通过一种用于向用户设备提供对资源或数据的访问的系统来实现,该系统包括:
用户设备,包括:
- 光检测器,被配置为检测由光源发射的光,该光包括嵌入码,该嵌入码包括光源的光源标识符,
- 通信单元,被配置为与网络设备通信,
- 处理器,被配置为从光检索光源标识符,并将光源标识符传送给网络设备,
其中该系统还包括网络设备,该网络设备包括:
- 接收器,被配置为从用户设备接收光源标识符,以及
- 控制器,被配置为通过基于光源标识符识别光源来确定用户设备(102)出现在多个光源中的哪个光源处,利用与私钥对应的公钥加密访问密钥或数据,并且控制所识别的光源,使得光包括包含加密的访问密钥或加密的数据的更新的嵌入码,
其中用户设备的处理器还被配置成从包括在光中的更新的嵌入码中检索加密的访问密钥或加密的数据,以及利用私钥解密加密的访问密钥或加密的数据,并且利用解密的访问密钥访问资源,或检索解密的数据。
控制器用来加密访问密钥(其提供对资源的访问)或数据的公钥对应于用户设备的处理器已知的私钥。加密的访问密钥或加密的数据只能利用私钥解密。因此,只有可以访问私钥的设备才能解密加密的访问密钥或加密的数据。这使得对于恶意设备或窃听设备而言,如果它没有私钥,它就不可能获得对资源的访问或者获得对资源或数据的访问。因此,提供了经由光源访问内容的更安全的方式。
对资源(例如,被保护的网络或被保护的数据库)的访问或对数据(例如,位置相关信息、密码、诸如文档或演示幻灯片的文件、视频流等)的访问仅在用户设备位于光源发射的光的视线内时才被许可给用户设备。这是有益的,尤其是当数据或资源是机密的时候,因为它不准未出现在光源发射的光的视线内的设备获得数据。
通信单元可以被配置成经由射频(RF)通信协议,诸如Wi-Fi、蓝牙或ZigBee,与网络设备通信。使用第一通信协议(RF)将光源标识符(以及例如用户设备标识符)传送给网络设备以及使用第二通信协议(例如,Li-Fi、编码光、可见光通信(VLC)等)来传送加密的数据或访问密钥,提供了一种更安全的获得对数据或资源的访问的方式。当用户设备经由RF将光源标识符(以及例如用户设备标识符)传送给网络设备时,恶意设备可能窃听该信号以获得对数据或资源的访问。然而,这也将要求恶意设备窃听由光源发射的光,或者窃听从网络设备传送给光源的数据信号。如果恶意设备会这样做,它将(仍然)不能获得对数据或资源的访问,因为它还将需要私钥来解密加密的数据或访问密钥。
处理器可以被配置成经由射频协议访问资源。这是有益的,因为它使得用户设备能够基于从光源接收的访问密钥访问RF网络(诸如Wi-Fi、蓝牙或ZigBee网络)。
处理器可以进一步被配置为将用户设备标识符传送给网络设备,并且控制器可以进一步被配置为基于用户设备标识符来确定用户设备是否具有对资源或数据的访问权,并且控制器可以进一步被配置为控制光源,使得只有当用户设备具有对资源或数据的访问权时,光才包括包含加密的访问密钥或加密的数据的更新的嵌入码。这是有益的,因为它使得控制器能够基于用户设备标识符来确定某个用户设备是否将被许可访问资源或数据。
控制器还可以被配置成接收用户设备的位置,并且基于用户设备的位置确定用户设备是否具有对资源或数据的访问权,并且控制光源使得光不再包括加密的数据,或者撤销对资源的访问。这是有益的,因为如果用户设备不再位于预定位置处(例如,在某个房间内),则它使得控制器能够确定停止向用户设备传送数据,或者撤销对用户设备的访问。
控制器还可以被配置成利用公钥加密次级访问密钥,以及控制光源,使得在一时间段之后光包括包含加密的次级访问密钥的另一更新的嵌入码,并且处理器还可以被配置成检索加密的次级访问密钥,利用私钥解密加密的次级访问密钥,并利用次级访问密钥访问资源。这是有益的,因为如果用户设备想要保持对资源的访问,则它要求用户设备停留在光源发射的光的视线内。如果用户设备没有接收到包括加密的次级访问密钥的另一更新的嵌入码,则用户设备不能检索次级访问密钥并访问资源。因此,对资源的访问将被撤销。控制器还可以被配置成改变光源的光输出,以指示光包括另一更新的嵌入码。这是有益的,因为它为用户提供了视觉指示符:用户必须将用户设备定位在由光源发射的光的视线内,以便获得次级访问密钥。
控制器可以被配置成控制光源,使得嵌入码进一步包括关于资源、数据或网络设备的信息,并且处理器可以被进一步配置成从光中检索信息。处理器还可以被配置成在用户设备的用户接口上呈递信息。这是有益的,因为它使得用户能够看到可以访问哪个资源或数据。附加地或可替代地,处理器可以使用该信息来确定哪个(些)数据和访问密钥可用,这可以用于确定请求哪个数据或请求哪个访问密钥。
控制器可以被配置成利用公钥加密提供对不同于所述资源的另一资源的访问的另一访问密钥,或者被配置成利用公钥加密不同于所述数据的另一数据,并且控制另一光源,使得由另一光源发射的光包括更新的嵌入码,该嵌入码包括加密的另一访问密钥或加密的另一数据。这使得用户能够从光源移动到光源,以获得不同的数据/访问不同的资源。
处理器还可以被配置成将对应于私钥的公钥传送给网络设备。可替代地,用户设备和网络设备两者可能都已经可以访问公钥。
处理器还可以被配置成生成对应于私钥的公钥。处理器还可以被配置成将对应于私钥的公钥传送给网络设备。
根据本发明的第二方面,该目的通过在上述系统中使用的用户设备来实现,该用户设备包括:
- 光检测器,被配置为检测由光源发射的光,该光包括嵌入码,该嵌入码包括光源的光源标识符,
- 通信单元,被配置为与网络设备通信,
- 处理器,被配置为从光中检索光源标识符,并将光源标识符传送给网络设备,
其中光检测器还被配置成检测由光源发射的光,所述光包括包含加密的访问密钥或加密的数据的更新的嵌入码,所述加密的访问密钥或加密的数据已经利用对应于私钥的公钥加密,
并且其中处理器还被配置成从包含在光中的更新的嵌入码中检索加密的访问密钥或加密的数据,并且利用私钥解密加密的访问密钥或加密的数据,并且利用解密的访问密钥访问资源,或检索解密的数据。
根据本发明的第三方面,该目的通过在上述系统中使用的网络设备来实现,该网络设备包括:
- 接收器,用于从根据上述用户设备的用户设备接收光源的光源标识符,以及
- 控制器,被配置为通过基于光源标识符识别光源来确定用户设备(102)出现在多个光源中的哪个光源处,利用对应于私钥的公钥加密访问密钥或数据,并且控制所识别的光源,使得光包括包含加密的访问密钥或加密的数据的更新的嵌入码。
根据本发明的第四方面,该目的通过向用户设备提供对资源或数据的访问的方法来实现,该方法包括:
- 由用户设备检测由光源发射的光,该光包括嵌入码,该嵌入码包括光源的光源标识符,
- 由用户设备从光中检索光源标识符,
- 由用户设备将光源标识符传送给网络设备,
- 由网络设备从用户设备接收光源标识符,
- 通过由网络设备基于光源标识符识别光源来确定用户设备(102)出现在多个光源中的哪个光源处,
- 由网络设备利用对应于私钥的公钥加密访问密钥或数据,
- 控制所识别的光源,使得光包括更新的嵌入码,该更新的嵌入码包括加密的访问密钥或加密的数据,
- 由用户设备从光中包含的更新的嵌入码中检索加密的访问密钥或加密的数据,
- 由用户设备利用私钥解密加密的访问密钥或加密的数据,以及
- 利用解密的访问密钥访问资源,或检索解密的数据。
根据本发明的第五方面,该目的通过用于计算设备的计算机程序产品来实现,该计算机程序产品包括计算机程序代码,用以当计算机程序产品在计算设备的处理单元上运行时执行以下步骤:
- 检测光源发射的光,该光包括嵌入码,该嵌入码包括光源的光源标识符,
- 从光中检索光源标识符,
- 将光源标识符传送给网络设备,
- 检测由光源发射的光,该光包括包含加密的访问密钥或加密的数据的更新的嵌入码,该加密的访问密钥或加密的数据已经利用对应于私钥的公钥加密,
- 从光中包括的更新的嵌入码中检索加密的访问密钥或加密的数据,
- 利用私钥解密加密的访问密钥或加密的数据,以及
- 利用解密的访问密钥访问资源,或检索解密的数据。
应当理解,用户设备、网络设备、方法和计算机程序产品可以具有与所要求保护的系统相似和/或相同的实施例和优点。
附图说明
参考附图,通过下面对设备和方法的实施例的说明性和非限制性的详细描述,将更好地理解所公开的系统、设备和方法的上述以及附加的目的、特征和优点,其中:
图1示意性示出了用于向用户设备提供对资源或数据的访问的系统的实施例;
图2示意性示出了用于根据用户设备位于哪个光源处向用户设备提供对资源或数据的访问的系统的实施例;和
图3示意性示出了向用户设备提供对资源或数据的访问的方法。
所有的附图都是示意性的,不一定按比例,并且通常仅示出了为了阐明本发明所必需的部分,其中可以省略或仅暗示其他部分。
具体实施方式
图1示出了用于向用户设备102提供对资源140、150、160或数据的访问的系统100。系统100包括用户设备102,用户设备102包括光检测器104,光检测器104被配置成检测由光源122发射的光130,该光130包括嵌入码,该嵌入码包括光源122的光源标识符。用户设备102还包括被配置成与网络设备112通信的通信单元108,以及被配置成从光130检索光源标识符并将光源标识符传送给网络设备112的处理器106。系统100还包括网络设备112,该网络设备112包括接收器114和控制器116,接收器114被配置为从用户设备102接收光源标识符,控制器116被配置为基于光源标识符识别光源122,以利用对应于私钥的公钥加密访问密钥或数据,并且控制光源112,使得光包括包含加密的访问密钥或加密的数据的更新的嵌入码。用户设备102的处理器106还被配置成从光130中包括的更新的嵌入码中检索加密的访问密钥或加密的数据,以及利用私钥解密加密的访问密钥或加密的数据,且利用解密的访问密钥访问资源140、150、160,或检索解密的数据。
用户设备102可以是任何类型的便携式或可穿戴设备。用户设备103的示例包含但不限于智能手机、平板电脑、膝上型电脑、智能手表和智能眼镜。
用户设备102包括光检测器104,其被配置为检测由光源122发射的光130。光检测器可以是例如光电二极管或相机,其被配置为检测由光源122发射的光130中包括的嵌入码。
光源122(诸如LED/OLED光源)被配置成发射包括嵌入码的光130。该码可以通过将某个码嵌入光中的任何已知原理来创建,例如通过控制到光源122的时变的调制电流以产生光输出的变化、通过调制光脉冲的幅度和/或占空比等来创建。光源122还可以被布置用于提供普通照明、任务照明、环境照明、气氛照明、重点照明、室内照明、室外照明等。光源122可以安装在照明器或照明器材中。可替代地,光源122可以被包括在便携式照明设备或可穿戴照明设备中。
用户设备102还包括被配置为与网络设备112通信的通信单元108。通信单元108被配置为将从光源122发射的光130检索的光标识符传送给网络设备112。网络设备112包括接收器114,其被配置为从用户设备102的通信单元108接收信号110(诸如光源标识符)。可以使用各种无线通信协议,例如蓝牙、Wi-Fi、Li-Fi、3G、4G或ZigBee。
用户设备102还包括处理器106(例如微控制器、微芯片、电路等),其耦合到光检测器104和通信单元108。处理器106被配置成从已经被光检测器104检测到的光中检索光源标识符,并且进一步被配置成将光源122的光源标识符传送给网络设备112。这使得网络设备112能够确定用户设备102出现在(多个光源中的)哪个光源处,以及经由哪个光源来传送加密的数据或加密的访问密钥。
处理器106可以进一步被配置成将用户设备标识符传送给网络设备112,该用户设备标识符可以例如包括操作用户设备102的用户的标识符。网络设备112的控制器116可以被配置成基于用户设备标识符来确定用户设备102是否具有对资源或数据的访问权,例如通过将接收到的用户标识符与存储在存储器中的授权用户标识符列表进行比较来确定。如果用户设备102被授权,则网络设备112的控制器116可以(仅)控制光源122,使得光130包括包含加密的访问密钥或加密的数据的更新的嵌入码。
处理器106还可以向网络设备112传送资源访问请求或数据请求。资源访问请求可以是访问资源(例如无线网络、远程数据库等)的请求消息。数据请求可以是获取某些数据(例如,诸如文档的数字文件)的请求消息。当接收到资源访问请求或数据请求时,控制器116可以提供加密的被请求的访问密钥用于访问资源或加密的被请求的数据。
网络设备102例如可以是被配置为与光源122和用户设备102通信的网络服务器、照明控制系统、桥接器、集线器或路由器。网络设备112的控制器116被配置成基于光源标识符来识别光源122。这使得网络设备112能够确定用户设备102出现在(多个光源中的)哪个光源处,以及经由哪个光源来传送加密的数据或加密的访问密钥。
控制器116可以进一步被配置成确定用户设备102是否具有对资源或数据的访问权。这可以基于例如操作用户设备102的用户的身份、用户设备102的标识符、一天中的某个时间/一年中的某个时间、另一用户设备的存在/不存在等。
控制器116还被配置成利用对应于私钥的公钥加密访问密钥或数据。公钥可以例如从中央服务器获得,或者公钥可以从用户设备102接收。用户设备102的处理器106可以进一步被配置成将公钥传送给网络设备112。处理器106还可以被配置成生成公钥和/或私钥。处理器106还可以被配置成经由通信单元108将公钥传送给网络设备112。公钥/私钥加密系统在本领域中是已知的,且因此将不详细讨论。
由控制器116加密的访问密钥提供对资源的访问。在图1中,提供了资源的三个非限制性示例。在第一示例中,资源140可以是包括在网络设备102中/附接到网络设备102的存储器或数据库。可替代地,资源150可以是远离网络设备102和用户设备102定位的存储器或数据库。用户设备可以例如经由无线网络或者经由网络设备102直接访问远程资源150。可替代地,资源160可以是远离网络设备102和用户设备102定位的网络。用户设备可以例如经由无线网络或者经由网络设备102直接访问网络150。用户设备102可以例如经由通信单元108,例如经由诸如蓝牙、Wi-Fi、Li-Fi、3G、4G或ZigBee的射频协议,无线地访问资源。
由控制器116加密的数据可以是任何类型的数据,例如与光源122的位置(以及随之与用户设备102的位置)相关的位置相关信息、用于访问用户设备102上的内容的密码、诸如文档或演示幻灯片的文件等。数据可以是单个加密的数据包,或者数据可以是加密的数据包的连续流(例如,当视频或演示正经由光130流播时)。
控制器116还被配置成控制光源122,使得光130包括更新的嵌入码,该嵌入码包括加密的访问密钥或加密的数据。网络设备112可以直接连接到光源122,并且将照明控制命令120直接传送给光源122,或者网络设备可以包括用于将照明控制命令120发送到光源122的发射器118。
光检测器104可以检测包括更新的嵌入码的光130,并且处理器106可以从更新的嵌入码中检索加密的访问密钥或加密的数据。因为用户设备102可以访问用于解密公钥的私钥,所以处理器106能够利用私钥解密加密的访问密钥或加密的数据。用户设备102可以是唯一可访问私钥的设备,或者多个用户设备可以访问私钥。处理器106还被配置为利用解密的访问密钥访问资源(例如,无线网络、远程数据库/存储器等),或检索加密的数据(例如消息、文档、位置等)。
控制器116可以进一步被配置成接收用户设备102的位置。例如,可以从(室内)定位系统接收关于用户设备102的位置的位置信息。基于用户设备102的位置,控制器116可以确定是否应该保持经由光源112的光130对资源的访问或数据的传递。如果用户设备102在获得对资源的访问之后或者在接收到加密的数据之后已经移动到与光源122的位置不同的位置,则控制器116可以分别撤销对资源的访问或者停止经由光130发射加密数据。如果用户想要恢复对资源的访问,或者想要重新获得数据,则用户将不得不把用户设备102移动到能够提供这一点的光源。
控制器116还可以被配置成利用公钥加密次级访问密钥,并且控制光源122,使得光130包括包含加密的次级访问密钥的另一更新的嵌入码。控制器116可以控制光源112,使得它在某个(预定义的)时间段之后(例如,不断地、每分钟、每15分钟、每小时等)发射另一更新的嵌入码。一旦包括加密的次级访问密钥的另一更新的嵌入码正被发射,包括在先前更新的嵌入码中的访问密钥就可能不再有效。为了保持或恢复访问,用户设备102的处理器106可以从另一更新的嵌入码中检索加密的次级访问密钥,利用私钥解密加密的次级访问密钥,并利用次级访问密钥访问资源。为了保持对资源的访问,用户设备102必须处在光源130发射的光的视线内。
控制器116还可以被配置成改变光源122的光输出,以指示光130包括另一更新的嵌入码。控制器116可以例如(简单地)改变由光源122发射的光的颜色和/或强度。这向用户传达:对资源的新的(次级)访问密钥正在经由光130提供。
控制器116还可以被配置成控制光源122,使得包含在光130中的嵌入码包括关于资源、数据或网络设备112的信息。用户设备102的处理器106可以进一步被配置为从嵌入码中检索该信息。用户设备102可以进一步包括用户接口(例如,显示器或扬声器),并且处理器106可以在用户接口上呈递信息,使得该信息被传送给操作用户设备102的用户。附加地或可替代地,处理器106可以被配置成使用该信息来确定哪个(哪些)数据或访问密钥是可用的。附加地,处理器106还可以被配置为基于该信息去请求某个数据或用于访问某些资源的某个(些)访问密钥。
图2示意性地示出了系统200的实施例,用于根据用户设备202位于哪个光源222、232处来为用户设备202提供对资源或数据的访问。网络设备212的控制器(未示出)可以被配置成利用公钥加密第一访问密钥或第一数据,并且控制第一光源222,使得由第一光源222发射的光230包括嵌入码,该嵌入码包括提供对第一资源250的访问的加密的第一访问密钥或者包括加密的第一数据。附加地,网络设备212的控制器可以被配置成利用公钥加密第二访问密钥或第二数据,并且控制第二光源232,使得由第二光源232发射的光240包括嵌入码,该嵌入码包括提供对第二资源260的访问的加密的第二访问密钥或者包括加密的第二数据。这使得网络设备212的控制器能够确定在哪里(在哪个光源处)提供对某个内容(资源/数据)的访问。例如,这在包括两个房间(具有第一光源222的第一房间和具有第二光源232的第二房间)的办公室中可能是有益的。这样,可以提供在不同房间中对不同内容(例如,文档、对房间网络的访问等)的访问。控制器还可以被配置成控制由每个光源发射的光的颜色和/或强度,使得对于光源而言光输出是不同的,以便向用户传达:这些光源提供对不同内容的访问。
图3示意性示出了向用户设备102提供对资源或数据的访问的方法300。该方法包括:
- 由用户设备102检测302由光源122发射的光130,该光130包括嵌入码,该嵌入码包括光源122的光源标识符,
- 由用户设备102从光130中检索304光源标识符,
- 由用户设备102将光源标识符传送306到网络设备112,
- 由网络设备112从用户设备102接收308光源标识符,
- 由网络设备112基于光源标识符识别310光源122,
- 由网络设备112利用对应于私钥的公钥加密312访问密钥或数据,
- 控制314光源122,使得光130包括更新的嵌入码,该更新的嵌入码包括加密的访问密钥或加密的数据,
- 由用户设备102从包括更新的嵌入码的光130检索316加密的访问密钥或加密的数据,
- 由用户设备102利用私钥解密318加密的访问密钥或加密的数据,以及
- 利用解密的访问密钥访问320资源,或检索解密的数据。
当计算机程序产品在计算设备的处理单元(诸如用户设备102的处理器106)上运行时,方法300的步骤302、304、306、316、318和320可以由计算机程序产品的计算机程序代码来执行。
当计算机程序产品在计算设备的处理单元(诸如网络设备112的控制器116)上运行时,方法300的步骤308、310、312和314可以由计算机程序产品的计算机程序代码来执行。
应当注意,上述实施例说明而不限制本发明,并且本领域技术人员将能够在不脱离所附权利要求的范围的情况下设计许多可替代的实施例。
在权利要求中,放置在括号中的任何参考标记不应被解释为限制权利要求。动词“包括”及其词形变化的使用不排除权利要求中所述的那些元素或步骤之外的元素或步骤的存在。元素前面的冠词“a”或“an”(“一”或“一个”)不排除多个这样的元素的存在。本发明可以借助于包括几个不同元素的硬件以及借助于适当编程的计算机或处理单元来实现。在列举了几个装置的设备权利要求中,这些装置中的几个可以由同一项硬件来体现。在相互不同的从属权利要求中记载某些措施的纯粹事实并不表明这些措施的组合不能被有利地使用。
本发明的各方面可以在计算机程序产品中实现,该计算机程序产品可以是存储在计算机可读存储设备上的计算机程序指令的集合,计算机程序指令可以由计算机执行。本发明的指令可以采用任何可解释或可执行的代码机制,包含但不限于脚本、可解释程序、动态链接库(DLL)或Java类。指令可以作为完整的可执行程序、部分可执行程序、对现有程序的修改(例如更新)或对于现有程序的扩展(例如插件)来提供。此外,本发明的处理的一些部分可以分布在多个计算机或处理器上。
适合于存储计算机程序指令的存储介质包含所有形式的非易失性存储器,包括但不限于EPROM、EEPROM和闪存设备、磁盘(诸如内部和外部硬盘驱动器)、可移动盘和CD-ROM盘。计算机程序产品可以分布在这样的存储介质上,或者可以被提供用于通过HTTP、FTP、电子邮件或者通过连接到诸如因特网的网络的服务器下载。

Claims (16)

1.一种用于向用户设备(102)提供对资源或数据的访问的系统(100),所述系统(100)包括:
所述用户设备(102),包括:
-光检测器(104),其被配置成检测由光源(122)发射的光(130),所述光(130)包括包含所述光源(122)的光源标识符的嵌入码,
-通信单元(108),其被配置成与网络设备(112)通信,
-处理器(106),其被配置成从所述光(130)检索光源标识符,并将所述光源标识符传送给所述网络设备(112),
其中所述系统(100)还包括所述网络设备(112),所述网络设备(112)包括:
-接收器(114),其被配置成从所述用户设备(102)接收所述光源标识符,和
-控制器(116),其被配置成通过基于所述光源标识符识别所述光源(122)来确定所述用户设备(102)出现在多个光源中的哪个光源处,利用与私钥相对应的公钥加密访问密钥或数据,以及控制所识别的光源(122),使得所述光(130)包括更新的嵌入码,所述更新的嵌入码包括加密的访问密钥或加密的数据,
其中所述用户设备(102)的处理器(106)还被配置成从被包括在所述光(130)中的更新的嵌入码检索所述加密的访问密钥或所述加密的数据,以及利用所述私钥解密所述加密的访问密钥或所述加密的数据,并利用解密的访问密钥访问所述资源,或检索解密的数据。
2.根据权利要求1所述的系统(100),其中所述通信单元(108)被配置成经由射频通信协议与所述网络设备(112)通信。
3.根据权利要求1所述的系统(100),其中处理器(106)被配置成经由射频通信协议访问所述资源。
4.根据权利要求2所述的系统(100),其中处理器(106)被配置成经由射频通信协议访问所述资源。
5.根据任一前述权利要求所述的系统(100),其中所述处理器(106)还被配置成将用户设备(102)标识符传送给所述网络设备(112),并且其中所述控制器(116)还被配置成基于所述用户设备(102)标识符确定所述用户设备(102)是否具有对所述资源或所述数据的访问权,并且其中所述控制器(116)还被配置成控制所述光源(122),使得仅当所述用户设备(102)具有对所述资源或所述数据的访问权时,所述光(130)才包括包含所述加密的访问密钥或所述加密的数据的更新的嵌入码。
6.根据在权利要求1-4中任一项所述的系统(100),其中所述控制器(116)还被配置成接收所述用户设备(102)的位置,并且基于所述用户设备(102)的位置确定所述用户设备(102)是否具有对所述资源或所述数据的访问权,并且其中所述控制器(116)还被配置成控制所述光源(122)使得所述光(130)不再包括所述加密的数据,或撤销对所述资源的访问。
7.根据在权利要求1-4中任一项所述的系统(100),其中,当所述访问密钥被加密时,所述控制器(116)还被配置成利用所述公钥加密次级访问密钥,以及控制所述光源(122)使得在一时间段后所述光(130)包括包含加密的次级访问密钥的另一更新的嵌入码,并且其中所述处理器(106)被配置成检索所述加密的次级访问密钥,利用所述私钥解密所述加密的次级访问密钥,并利用所述次级访问密钥访问所述资源。
8.根据权利要求7所述的系统(100),其中所述控制器(116)还被配置成改变所述光源(122)的光输出,以指示所述光(130)包括所述另一更新的嵌入码。
9.根据在权利要求1-4中任一项所述的系统(100),其中,所述控制器(116)被配置成控制所述光源(122),使得所述嵌入码还包括关于所述资源、所述数据或所述网络设备(112)的信息,并且其中所述处理器(106)还被配置成从所述光(130)检索所述信息。
10.根据在权利要求1-4中任一项所述的系统(100),其中所述控制器(116)被配置成利用所述公钥对另一访问密钥进行加密,所述另一访问密钥提供对不同于所述资源的另一资源的访问,或者被配置成利用所述公钥加密不同于所述数据的另一数据,并且控制另一光源,使得由所述另一光源发射的光包括包含加密的另一访问密钥或加密的另一数据的更新的嵌入码。
11.根据在权利要求1-4中任一项所述的系统(100),其中所述处理器(106)还被配置成将与所述私钥相对应的公钥传送给所述网络设备(112)。
12.根据权利要求11所述的系统(100),其中所述处理器(106)还被配置成生成与所述私钥相对应的公钥。
13.一种在权利要求1-12中任一项所述的系统(100)中使用的用户设备(102),所述用户设备(102)包括:
-光检测器(104),其被配置成检测由光源(122)发射的光(130),所述光(130)包括包含所述光源(122)的光源标识符的嵌入码,
-通信单元(108),其被配置成与网络设备(112)通信,
-处理器(106),其被配置成从所述光(130)检索所述光源标识符,并且将所述光源标识符传送给网络设备(112),
其中,所述光检测器(104)还被配置成检测由所述光源(122)发射的光(130),所述光(130)包括包含加密的访问密钥或加密的数据的更新的嵌入码,所述加密的访问密钥或加密的数据已经利用与私钥相对应的公钥而被加密,
并且其中,所述处理器(106)还被配置成从包含所述更新的嵌入码的光(130)检索所述加密的访问密钥或所述加密的数据,以及利用所述私钥解密所述加密的访问密钥或所述加密的数据,并利用解密的访问密钥访问所述资源,或检索解密的数据。
14.一种在权利要求1-12中任一项所述的系统(100)中使用的网络设备(112),所述网络设备(112)包括:
-接收器(114),其用于从根据权利要求13所述的用户设备(102)的用户设备(102)接收光源(122)的光源标识符,以及
-控制器(116),其被配置成通过基于所述光源标识符识别所述光源(122)来确定所述用户设备(102)出现在多个光源中的哪个光源处,利用与私钥对应的公钥加密访问密钥或数据,以及控制所识别的光源(122),使得所述光(130)包括更新的嵌入码,所述更新的嵌入码包含加密的访问密钥或加密的数据。
15.一种向用户设备(102)提供对资源或数据的访问的方法,所述方法包括:
-由用户设备(102)检测由光源(122)发射的光(130),所述光(130)包括包含所述光源(122)的光源标识符的嵌入码,
-由所述用户设备(102)从所述光(130)检索所述光源标识符,
-由所述用户设备(102)将所述光源标识符传送给网络设备(112),
-由所述网络设备(112)从所述用户设备(102)接收所述光源标识符,
-通过由所述网络设备(112)基于所述光源标识符识别所述光源(122)来确定所述用户设备(102)出现在多个光源中的哪个光源处,
-由所述网络设备(112)利用与私钥相对应的公钥加密访问密钥或数据,
-控制所识别的光源(122),使得所述光(130)包括更新的嵌入码,所述更新的嵌入码包含加密的访问密钥或加密的数据,
-由所述用户设备(102)从包含所述更新的嵌入码的光(130)检索所述加密的访问密钥或所述加密的数据,
-由所述用户设备(102)利用所述私钥解密所述加密的访问密钥或所述加密的数据,和
-利用解密的访问密钥访问所述资源,或检索解密的数据。
16.一种用于计算设备的计算机存储介质,所述计算机存储介质包括计算机程序代码,用以当所述计算机程序代码在所述计算设备的处理单元上运行时执行以下步骤:
-检测由光源(122)发射的光(130),所述光(130)包括包含所述光源(122)的光源标识符的嵌入码,
-从所述光(130)检索所述光源标识符,
-将所述光源标识符传送给网络设备(112),
-检测由所述光源(122)发射的光(130),所述光(130)包括包含加密的访问密钥或加密的数据的更新的嵌入码,所述加密的访问密钥或加密的数据已经利用与私钥相对应的公钥加密,
-从包含所述更新的嵌入码的光(130)检索所述加密的访问密钥或所述加密的数据,
-利用所述私钥解密所述加密的访问密钥或所述加密的数据,和
-利用解密的访问密钥访问资源,或检索解密的数据。
CN201880046372.4A 2017-07-11 2018-07-05 用于向用户设备提供对资源或数据的访问的系统及其方法 Active CN110832893B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP17180677 2017-07-11
EP17180677.1 2017-07-11
PCT/EP2018/068210 WO2019011772A1 (en) 2017-07-11 2018-07-05 SYSTEM FOR PROVIDING A USER DEVICE ACCESS TO A RESOURCE OR DATA AND ASSOCIATED METHOD

Publications (2)

Publication Number Publication Date
CN110832893A CN110832893A (zh) 2020-02-21
CN110832893B true CN110832893B (zh) 2023-12-01

Family

ID=59350651

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880046372.4A Active CN110832893B (zh) 2017-07-11 2018-07-05 用于向用户设备提供对资源或数据的访问的系统及其方法

Country Status (5)

Country Link
US (1) US11337066B2 (zh)
EP (1) EP3652974B1 (zh)
JP (1) JP6907399B2 (zh)
CN (1) CN110832893B (zh)
WO (1) WO2019011772A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4107996B1 (en) * 2020-02-20 2023-09-06 Signify Holding B.V. Secure handover in a lifi network
FR3119057B1 (fr) * 2021-01-19 2023-11-10 Lifineo Système de vidéosurveillance
US20230261745A1 (en) * 2022-02-15 2023-08-17 Bank Of America Corporation System and method for secured data transmission using lifi and holochain network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104467963A (zh) * 2014-10-31 2015-03-25 珠海横琴华策光通信科技有限公司 一种通信装置、服务器和通信方法
WO2016038353A1 (en) * 2014-09-08 2016-03-17 Purelifi Limited Light based wireless security system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2757938C (en) * 2009-04-08 2017-12-05 Koninklijke Philips Electronics N.V. Efficient address assignment in coded lighting systems
EP2659740B1 (en) 2010-12-30 2015-05-06 Koninklijke Philips N.V. A lighting system, a light source, a device and a method of authorizing the device by the light source
WO2014019526A1 (zh) 2012-07-31 2014-02-06 深圳光启创新技术有限公司 可见光的加密方法、解密方法、通信装置及通信系统
US9226119B2 (en) 2013-11-20 2015-12-29 Qualcomm Incorporated Using sensor data to provide information for proximally-relevant group communications
US9509402B2 (en) * 2013-11-25 2016-11-29 Abl Ip Holding Llc System and method for communication with a mobile device via a positioning system including RF communication devices and modulated beacon light sources
US10097265B2 (en) 2014-03-25 2018-10-09 Osram Sylvania Inc. Techniques for position-based actions using light-based communication
NL2013944B1 (en) 2014-12-09 2016-10-11 Koninklijke Philips Nv Public-key encryption system.
US9413754B2 (en) * 2014-12-23 2016-08-09 Airwatch Llc Authenticator device facilitating file security
EP3345461B1 (en) 2015-09-04 2020-05-13 Signify Holding B.V. Installing and commissioning transceivers coupled to loads
DE102015222417A1 (de) 2015-11-13 2017-05-18 Osram Gmbh Beleuchtungseinrichtung zur Kommunikation mit einem mobilen Endgerät

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016038353A1 (en) * 2014-09-08 2016-03-17 Purelifi Limited Light based wireless security system
CN104467963A (zh) * 2014-10-31 2015-03-25 珠海横琴华策光通信科技有限公司 一种通信装置、服务器和通信方法

Also Published As

Publication number Publication date
WO2019011772A1 (en) 2019-01-17
EP3652974B1 (en) 2021-01-20
US20200187007A1 (en) 2020-06-11
JP6907399B2 (ja) 2021-07-21
EP3652974A1 (en) 2020-05-20
US11337066B2 (en) 2022-05-17
JP2020527894A (ja) 2020-09-10
CN110832893A (zh) 2020-02-21

Similar Documents

Publication Publication Date Title
US11070574B2 (en) System and method for preventing security breaches in an internet of things (IoT) system
JP6839167B2 (ja) 仮想のモノのインターネット(Internet of Things)(IoT)デバイス及びハブ用のシステム及び方法
US10838705B2 (en) System and method for service-initiated internet of things (IoT) device updates
KR102303689B1 (ko) 사물 인터넷(IoT) 디바이스와 보안 통신 채널을 설정하기 위한 시스템 및 방법
CN107431645B (zh) 用于自动无线网络认证的系统和方法
US10631040B2 (en) System and method for internet of things (IoT) video camera implementations
US10178579B2 (en) Internet of things (IoT) system and method for selecting a secondary communication channel
US10419930B2 (en) System and method for establishing secure communication channels with internet of things (IoT) devices
KR102537363B1 (ko) 보안 사물 인터넷(IoT) 디바이스 프로비저닝을 위한 시스템 및 방법
US10171462B2 (en) System and method for secure internet of things (IOT) device provisioning
US10693656B2 (en) Method and device for scanning for data processing devices
US20180048710A1 (en) Internet of things (iot) storage device, system and method
CN110832893B (zh) 用于向用户设备提供对资源或数据的访问的系统及其方法
US9942328B2 (en) System and method for latched attributes in an internet of things (IOT) system
CN107079266B (zh) 用于控制设备的方法和系统
EP3183595A1 (en) Localization system comprising multiple beacons and an assignment system
US11082212B2 (en) System and method for communication service verification, and verification server thereof
CN113875259B (zh) 用于安全视频帧管理的方法、计算设备和计算机可读介质
CA3165325A1 (en) System and method for secure communications among multiple devices
CN109891852B (zh) 用于提供用户配置的信任域的设备和方法
KR101714306B1 (ko) 이동체 정보 보안 시스템 및 방법
JP2014107744A (ja) 位置情報システム
KR101834632B1 (ko) 이동체 정보 보안 시스템 및 이를 이용한 이동체 정보 보안 방법
KR20180041403A (ko) 이동체 정보 보안 시스템 및 이를 이용한 이동체 정보 보안 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant