CN114513775A - 一种基于服务端授权终端控制ble设备的方法及系统 - Google Patents
一种基于服务端授权终端控制ble设备的方法及系统 Download PDFInfo
- Publication number
- CN114513775A CN114513775A CN202210148874.6A CN202210148874A CN114513775A CN 114513775 A CN114513775 A CN 114513775A CN 202210148874 A CN202210148874 A CN 202210148874A CN 114513775 A CN114513775 A CN 114513775A
- Authority
- CN
- China
- Prior art keywords
- instruction
- terminal
- server
- ble
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及BLE设备控制领域,尤其涉及一种基于服务端授权终端控制BLE设备的方法及系统,方法包括:终端从服务端获取与选定的BLE设备进行连接的连接权限,并与选定的BLE设备进行连接;终端向服务端发送指令授权请求;服务端根据授权Token判断请求是否合法,若请求合法,根据选定的BLE设备对应的私钥对指令报文进行加密,将指令密文发送至终端;终端将指令密文发送至选定的BLE设备;选定的BLE设备对指令密文进行解密校验,若解密校验成功,则根据解密后得到的指令报文中的指令时间戳判断指令是否过期,若指令未过期,根据解密后得到的指令报文中的指令信息执行指令。本发明中的方法及系统提供了一套较为有效的保障BLE设备授权与控制的安全方案。
Description
技术领域
本发明涉及BLE设备控制领域,尤其涉及一种基于服务端授权终端控制BLE设备的方法及系统。
背景技术
蓝牙是一种近距离无线通信技术,运行在2.4GHz免费频段,用于在不同的设备之间进行无线连接,例如连接计算机和外围设备,如:打印机、键盘等,又或让个人数码助理(PDA)与其它附近的PDA或计算机进行通信,由于蓝牙体积小和功率低等特点,其应用已不局限于计算机外设,几乎可以被集成到任何数字设备之中,特别是那些对数据传输速率要求不高的移动设备和便携设备中。目前蓝牙技术已大量应用于各种移动终端、物联网、健康医疗、智能家居等行业。
BLE是低功耗蓝牙的英文缩写(Bluetooth Low Energy),是蓝牙4.0版本起开始支持的新的、低功耗版本的蓝牙技术规范,相比于传统蓝牙,BLE具有快速搜索、快速连接、超低功耗保持连接和传输数据的优点,当然,它的主要特点就是low power低功耗,让那些在功耗方面有比较高要求的可穿戴设备能够长时间保持在电状态,低功耗蓝牙旨在保持同等通信范围的同时显著降低功耗和成本。随着科学技术的不断提高,BLE设备在智慧工厂、智慧家居、智慧城市等领域得到广泛使用。
目前,通过终端例如手机终端控制BLE(Bluetooth Low Energy,蓝牙低功耗)设备的场景非常普遍,需要基于服务端授权终端(例如手机终端),从而实现通过终端控制特定BLE设备的目的,但是由于在现有技术中服务端授权终端对BLE设备进行控制过程中,缺乏一套较为有效的保障授权与控制的安全方案,使得基于服务端授权终端控制特定BLE设备的安全性无法得到保障。
因此,在BLE设备控制领域,如何保障BLE设备授权与控制的安全性,成为一个重要研究方向,也是本领域技术人员亟待解决的技术问题。
发明内容
针对上述问题,本发明提供一种基于服务端授权终端控制BLE设备的方法及系统。
本发明提供一种基于服务端授权终端控制BLE设备的方法,包括:
终端从服务端获取与选定的BLE设备进行连接的连接权限,并与选定的BLE设备进行连接;
在连接成功后,终端向服务端发送指令授权请求,指令授权请求包括设备ID、指令报文以及授权Token,指令报文包括指令信息以及指令时间戳,授权Token为服务端授予终端与选定的BLE设备进行连接的连接权限后发送给终端;
服务端接收指令授权请求后,根据授权Token判断请求是否合法,若请求合法,根据选定的BLE设备对应的私钥对指令报文进行加密,得到指令密文,将指令密文发送至终端,其中,选定的BLE设备对应的私钥根据设备ID确定;
终端将指令密文发送至选定的BLE设备;
选定的BLE设备通过对应的公钥对指令密文进行解密校验,若解密校验失败,则拒绝执行指令,若解密校验成功,则根据解密后得到的指令报文中的指令时间戳判断指令是否过期,若指令过期,拒绝执行指令,若指令未过期,根据解密后得到的指令报文中的指令信息执行指令。
进一步的,在终端从服务端获取与选定的BLE设备进行连接的连接权限,并与选定的BLE设备进行连接之前,方法还包括:
BLE设备在服务端进行注册;
服务端存储已注册的BLE设备的设备ID以及蓝牙信息,并为每个已注册的BLE设备生成唯一的公钥以及私钥,存储私钥并将公钥发送给对应的BLE设备进行存储。
进一步的,BLE设备配置为在默认情况下隐藏蓝牙信息;
终端从服务端获取与选定的BLE设备进行连接的连接权限,并与选定的BLE设备进行连接,包括:
终端获取选定的BLE设备的设备ID,通过设备ID,向服务端发送连接请求,以申请获取连接权限以及选定的BLE设备的蓝牙信息;
服务端接收到连接请求后,对终端进行授权,并向终端发送授权Token以及选定的BLE设备的蓝牙信息,蓝牙信息包括蓝牙名称以及Mac地址;
终端通过选定的BLE设备的蓝牙信息,与选定的BLE设备进行连接。
进一步的,服务端接收到连接请求,对终端进行授权后,服务端还向终端发送选定的BLE设备的指令编码清单。
进一步的,指令信息包括所需执行的指令对应的指令编码以及指令参数,其中,指令编码为根据所需执行的指令以及选定的BLE设备的指令编码清单获取。
进一步的,在终端与选定的BLE设备进行连接之前,终端通过账号密码在服务端进行登录。
进一步的,根据解密后得到的指令报文中的指令时间戳判断指令是否过期,若指令过期,拒绝执行指令,若指令未过期,根据解密后得到的指令报文中的指令信息执行指令包括:
将指令时间戳分别与选定的BLE设备的设备时间以及选定的BLE设备的上一指令时间戳进行比对,其中,上一指令时间戳为选定的BLE设备上一次成功执行的指令的指令时间戳;
若指令时间戳与设备时间的差距小于预设阈值,或者指令时间戳小于或等于上一指令时间戳,判定指令过期,拒绝执行指令,否则,判定指令未过期,根据解密后得到的指令报文中的指令信息执行指令,并记录指令时间戳。
进一步的,方法还包括:BLE设备定时与服务端进行时钟同步。
本发明还提供一种基于服务端授权终端控制BLE设备的系统,系统包括服务端、终端以及至少一个BLE设备,其中:
终端,配置为从服务端获取与选定的BLE设备进行连接的连接权限,并与选定的BLE设备进行连接,在连接成功后,向服务端发送指令授权请求,指令授权请求包括设备ID、指令报文以及授权Token,指令报文包括指令信息以及指令时间戳,授权Token为服务端授予终端与选定的BLE设备进行连接的连接权限后发送给终端;
服务端,与终端通讯连接,配置为在接收指令授权请求后,根据授权Token判断请求是否合法,若请求合法,通过选定的BLE设备对应的私钥对指令报文进行加密,得到指令密文,将指令密文发送至终端,其中,选定的BLE设备对应的私钥根据设备ID确定;
BLE设备,配置为在接收到指令密文后,通过对应的公钥对指令密文进行解密校验,若解密校验失败,则拒绝执行指令,若解密校验成功,则根据解密后得到的指令报文中的指令时间戳判断指令是否过期,若指令过期,拒绝执行指令,若指令未过期,根据解密后得到的指令报文中的指令信息执行指令。
进一步的,BLE设备还配置为定时与服务端进行时钟同步。
本发明提供的基于服务端授权终端控制BLE设备的方法及系统,至少包括以下有益效果:
终端需先从服务端获取与选定的BLE设备进行连接的连接权限,才与选定的BLE设备进行连接,从而保证连接安全。终端与选定的BLE设备连接成功后,需向服务端发送指令授权请求,由服务端进行请求合法性验证,判定请求合法后,利用选定的BLE设备对应的私钥对指令报文进行加密,得到指令密文发送给终端,终端将指令密文发送给选定的BLE设备,整个控制过程均由服务端统一进行管理,且通过对指令报文进行加密,确保了指令报文传输的安全性,避免被篡改。选定的BLE设备接收到指令密文后,利用对应私钥对指令密文进行解密校验,解密校验成功后,且判断指令未过期,才根据解密后得到的指令报文中的指令信息执行指令,也即只有选定的BLE设备(解密所需的私钥只有选定的BLE设备拥有)才能对指令密文进行解密,同时,确保不会出现重复的、与产生时间偏移的指令信息,防止指令被重复模拟使用。
本发明中的基于服务端授权终端控制BLE设备的方法及系统,提供了一套有效的保障BLE设备授权与控制的安全方案,使得基于服务端授权终端控制特定BLE设备的安全性得到保障。
附图说明
为了更清楚的说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见的,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1为本发明一种实施例中的基于服务端授权终端控制BLE设备的方法流程图;
图2为本发明一种实施例中的终端与选定的BLE设备进行连接的方法流程图;
图3为本发明一种实施例中的判断指令是否过期的方法流程图;
图4为本发明一种实施例中的基于服务端授权终端控制BLE设备的系统结构示意图;
1-服务端、2-终端、3-BLE设备。
具体实施方式
下面将结合本发明中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通的技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例,都属于本发明的保护范围。
在本发明的一种实施例中,如图1所示,公开了一种基于服务端授权终端控制BLE设备的方法,具体的,方法包括以下步骤:
步骤S101:终端从服务端获取与选定的BLE设备进行连接的连接权限,并与选定的BLE设备进行连接。
具体的,终端可以为移动终端例如手机、平板电脑等等。选定的BLE设备为用户通过终端选择的需要控制的BLE设备。
在本步骤之前,BLE设备预先在服务端进行注册;服务端存储已注册的BLE设备的设备ID以及蓝牙信息,并为每个已注册的BLE设备生成唯一的公钥以及私钥,存储私钥,并将公钥发送给对应的BLE设备进行存储。进一步的,公钥以及私钥为RSA公钥、RSA私钥。
在本步骤之前,终端通过账号密码在服务端进行登录,并在已注册的至少一个BLE设备中选择一个BLE设备作为选定的BLE设备,进而从服务端获取与选定的BLE设备进行连接的连接权限,并与选定的BLE设备进行连接。
在本步骤中,终端需要从服务端获取与选定的BLE设备进行连接的连接权限后才能够与BLE设备进行连接,从而保证了连接安全。
在一种实现方式中,BLE设备配置为在默认情况下隐藏蓝牙信息,如图2所示,终端从服务端获取与选定的BLE设备进行连接的连接权限,并与选定的BLE设备进行连接,包括以下步骤:
步骤S201:终端获取选定的BLE设备的设备ID,通过设备ID,向服务端发送连接请求,以申请获取连接权限以及选定的BLE设备的蓝牙信息。
步骤S202:服务端接收到连接请求后,对终端进行授权,并向终端发送授权Token以及选定的BLE设备的蓝牙信息,蓝牙信息包括蓝牙名称以及Mac地址。
具体的,由于服务端中记录存储了每一个已注册BLE设备的蓝牙信息,因此当服务端授予终端对选定的BLE设备进行连接的连接权限时,可以提供对应的蓝牙信息,使终端能根据蓝牙信息对接到BLE设备。
步骤S203:终端通过选定的BLE设备的蓝牙信息,与选定的BLE设备进行连接。
在本实现方式中,BLE设备配置为在默认情况下隐藏蓝牙信息,由于终端在没有BLE设备的蓝牙信息(Mac地址)的情况下无法与BLE设备进行连接,因此将BLE设备配置为在默认情况下隐藏蓝牙信息,通过步骤S201-步骤S203由终端向服务端发送连接请求,服务端对终端进行授权后将选定的BLE设备的蓝牙信息发送给终端,从而确保终端只有在获得服务端的授权之后,才能与BLE设备进行连接,进一步保障了连接安全。
步骤S102:在连接成功后,终端向服务端发送指令授权请求。
具体的,指令授权请求包括设备ID、指令报文以及终端接收到的由服务端发送的授权Token,指令报文包括指令信息以及指令时间戳。
授权Token为服务端授予终端与选定的BLE设备进行连接的连接权限后发送给终端。指令信息包括指令参数、指令编码等信息。指令时间戳为指令信息生成时的时间戳。
步骤S103:服务端接收指令授权请求后,根据授权Token判断请求是否合法,若是,执行步骤S104,否则执行步骤S1010。
具体的,在一种实现方式中,服务端验证指令授权请求中的授权Token与服务端在授权终端对选定的BLE设备进行连接控制后,向终端发送的授权Token是否一致,若一致,则判定请求合法,否则判断请求不合法。
在本步骤中,由于服务端接收到指令授权请求之后,需要先根据授权Token判断请求合法性,实现了只有服务端授权的情况下才可以对BLE设备进行控制,当服务器端收回授权,则终端因不再具有控制BLE设备的授权Token,而无法继续操作BLE设备。
步骤S104:服务端根据选定的BLE设备对应的私钥对指令报文进行加密,得到指令密文,将指令密文发送至终端。
其中,选定的BLE设备对应的私钥根据选定的BLE设备的设备ID确定。
具体的,对于每一个在服务端进行注册的BLE设备,服务端均存储有该BLE设备对应的私钥,当服务端验证指令授权请求合法时,先根据选定的BLE设备的设备ID确定选定的BLE设备对应的私钥,再根据选定的BLE设备对应的私钥对指令授权请求中的指令报文进行加密,将加密后的指令密文发送至终端,确保指令报文中的信息传输的安全性,无法进行篡改。
步骤S105:终端将指令密文发送至选定的BLE设备。
具体的,在步骤S101中,终端已经与选定的BLE设备进行连接,若连接成功,则终端与选定的BLE设备之间建立了蓝牙通讯通道,因此在本步骤中,终端可以通过之前建立的蓝牙通讯通道将指令密文发送给BLE设备。
步骤S106:选定的BLE设备通过对应的公钥对指令密文进行解密校验,若解密校验失败,则执行步骤S107,若解密校验成功,则执行步骤S108。
步骤S107:拒绝执行指令。
步骤S108:根据解密后得到的指令报文中的指令时间戳判断指令是否过期,若指令过期,则执行步骤S107,若指令未过期,则执行步骤S109。
步骤S109:根据解密后得到的指令报文中的指令信息执行指令。
具体的,在一种实现方式中,如图3所示,步骤S108-步骤S109具体包括以下步骤:
步骤S301:将指令时间戳分别与选定的BLE设备的设备时间以及选定的BLE设备的上一指令时间戳进行比对。
其中,上一指令时间戳为选定的BLE设备上一次成功执行的指令的指令时间戳。
步骤S302:若指令时间戳与设备时间的差距小于预设阈值,或者指令时间戳小于或等于上一指令时间戳,判定指令过期,拒绝执行指令,否则,判定指令未过期,根据解密后得到的指令报文中的指令信息执行指令,并记录指令时间戳。
具体的,指令时间戳与设备时间的差距,指与设备时间的前后差距。
指令时间戳小于或等于上一指令时间戳,即指令时间戳所表示的时间在上一指令时间戳所表示的时间之前。
通过步骤S301-步骤S302,能够防止某些终端通过抓包截指令密文,模拟发送指令密文到选定的BLE设备实现对BLE设备的未授权控制,防止指令被重复使用。
步骤S1010:拒绝指令授权请求。
本实施例中提供的基于服务端授权终端控制BLE设备的方法,终端需先从服务端获取与选定的BLE设备进行连接的连接权限,才与选定的BLE设备进行连接,从而保证连接安全。终端与选定的BLE设备连接成功后,需向服务端发送指令授权请求,由服务端进行请求合法性验证,判定请求合法后,利用选定的BLE设备对应的私钥对指令报文进行加密,得到指令密文发送给终端,终端将指令密文发送给选定的BLE设备,整个控制过程均由服务端统一进行管理,且通过对指令报文进行加密,确保了指令报文传输的安全性,避免被篡改。选定的BLE设备接收到指令密文后,利用对应私钥对指令密文进行解密校验,解密校验成功后,且判断指令未过期,才根据解密后得到的指令报文中的指令信息执行指令,也即只有选定的BLE设备(解密所需的私钥只有选定的BLE设备拥有)才能对指令密文进行解密,同时,确保不会出现重复的、与产生时间偏移的指令信息,防止指令被重复模拟使用。
本实施例中的基于服务端授权终端控制BLE设备的方法,提供了一套有效的保障BLE设备授权与控制的安全方案,使得基于服务端授权终端控制特定BLE设备的安全性得到保障。
在本发明的又一种实施例中,在上一实施例的基础之上,服务端对终端进行授权后,服务端还向终端发送选定的BLE设备的指令编码清单。可以理解的,指令编码清单中记录了指令与指令编码对应关系,不同的指令对应不同的指令编码。进一步的,指令信息包括所需执行的指令对应的指令编码以及指令参数,其中,指令编码为根据所需执行的指令以及选定的BLE设备的指令编码清单获取。服务端对终端进行授权后,向终端发送选定的BLE设备的指令编码清单,从而使得终端能够根据选定的BLE设备的指令编码清单向服务端发送指令授权请求。进一步的,不同的BLE设备可以有不同的指令编码清单,由BLE设备在服务端进行注册时,服务端存储各个已注册的BLE设备的指令编码清单,从而实现对BLE设备的差异化控制。
在本发明的又一种实施例中,BLE设备定时与服务端进行时钟同步。BLE设备定时与服务端进行时钟同步,可以确保BLE设备与服务端之间的时钟相对一致,从而保证BLE设备在判断指令是否过期时,能够判断准确。
本发明还提供一种基于服务端授权终端控制BLE设备的系统,如图4所示,系统包括服务端1、终端2以及至少一个BLE设备3,其中:
终端2,配置为从服务端1获取与选定的BLE设备进行连接的连接权限,并与选定的BLE设备进行连接,在连接成功后,向服务端发送指令授权请求,指令授权请求包括设备ID、指令报文以及授权Token,指令报文包括指令信息以及指令时间戳,授权Token为服务端授予终端与选定的BLE设备进行连接的连接权限后发送给终端;
服务端1,与终端2通讯连接,配置为在接收指令授权请求后,根据授权Token判断请求是否合法,若请求合法,通过选定的BLE设备对应的私钥对指令报文进行加密,得到指令密文,将指令密文发送至终端,其中选定的BLE设备对应的私钥根据选定的BLE设备的设备ID确定;
BLE设备3,配置为在接收到指令密文后,通过对应的公钥对指令密文进行解密校验,若解密校验失败,则拒绝执行指令,若解密校验成功,则根据解密后得到的指令报文中的指令时间戳判断指令是否过期,若指令过期,拒绝执行指令,若指令未过期,根据解密后得到的指令报文中的指令信息执行指令。
本实施例中提供的基于服务端授权终端控制BLE设备的系统,终端需先从服务端获取与选定的BLE设备进行连接的连接权限,才与选定的BLE设备进行连接,从而保证连接安全。终端与选定的BLE设备连接成功后,需向服务端发送指令授权请求,由服务端进行请求合法性验证,判定请求合法后,利用选定的BLE设备对应的私钥对指令报文进行加密,得到指令密文发送给终端,终端将指令密文发送给选定的BLE设备,整个控制过程均由服务端统一进行管理,且通过对指令报文进行加密,确保了指令报文传输的安全性,避免被篡改。选定的BLE设备接收到指令密文后,利用对应私钥对指令密文进行解密校验,解密校验成功后,且判断指令未过期,才根据解密后得到的指令报文中的指令信息执行指令,也即只有选定的BLE设备(解密所需的私钥只有选定的BLE设备拥有)才能对指令密文进行解密,同时,确保不会出现重复的、与产生时间偏移的指令信息,防止指令被重复模拟使用。
进一步的,在本发明的又一种实施例中,系统中的BLE设备还配置为定时与服务端进行时钟同步。BLE设备定时与服务端进行时钟同步,可以确保BLE设备与服务端之间的时钟相对一致,从而保证BLE设备在判断指令是否过期时,能够判断准确。
本发明提供的基于服务端授权终端控制BLE设备的方法及系统,提供了一套较为有效的保障BLE设备授权与控制的安全方案,使得基于服务端授权终端控制特定BLE设备的安全性得到保障。
本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施方式的基本原理的前提下,对上述实施方式中的各细节可进行各种变化。因此,本发明的范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
Claims (10)
1.一种基于服务端授权终端控制BLE设备的方法,其特征在于,包括:
终端从服务端获取与选定的BLE设备进行连接的连接权限,并与所述选定的BLE设备进行连接;
在连接成功后,所述终端向所述服务端发送指令授权请求,所述指令授权请求包括设备ID、指令报文以及授权Token,所述指令报文包括指令信息以及指令时间戳,所述授权Token为所述服务端授予所述终端与选定的BLE设备进行连接的连接权限后发送给所述终端;
所述服务端接收所述指令授权请求后,根据授权Token判断请求是否合法,若请求合法,根据所述选定的BLE设备对应的私钥对所述指令报文进行加密,得到指令密文,将所述指令密文发送至所述终端,其中,所述选定的BLE设备对应的私钥根据所述设备ID确定;
所述终端将所述指令密文发送至所述选定的BLE设备;
所述选定的BLE设备通过对应的公钥对所述指令密文进行解密校验,若解密校验失败,则拒绝执行指令,若解密校验成功,则根据解密后得到的指令报文中的指令时间戳判断指令是否过期,若指令过期,拒绝执行指令,若指令未过期,根据解密后得到的指令报文中的指令信息执行指令。
2.根据权利要求1所述的基于服务端授权终端控制BLE设备的方法,其特征在于,在所述终端从服务端获取与选定的BLE设备进行连接的连接权限,并与所述选定的BLE设备进行连接之前,所述方法还包括:
BLE设备在所述服务端进行注册;
所述服务端存储已注册的BLE设备的设备ID以及蓝牙信息,并为每个已注册的BLE设备生成唯一的公钥以及私钥,存储所述私钥并将所述公钥发送给对应的BLE设备进行存储。
3.根据权利要求2所述的基于服务端授权终端控制BLE设备的方法,其特征在于,BLE设备配置为在默认情况下隐藏蓝牙信息;
所述终端从服务端获取与选定的BLE设备进行连接的连接权限,并与所述选定的BLE设备进行连接,包括:
所述终端获取选定的BLE设备的设备ID,通过所述设备ID,向所述服务端发送连接请求,以申请获取连接权限以及所述选定的BLE设备的蓝牙信息;
所述服务端接收到所述连接请求后,对所述终端进行授权,并向所述终端发送授权Token以及所述选定的BLE设备的蓝牙信息,所述蓝牙信息包括蓝牙名称以及Mac地址;
所述终端通过所述选定的BLE设备的蓝牙信息,与所述选定的BLE设备进行连接。
4.根据权利要求3所述的基于服务端授权终端控制BLE设备的方法,其特征在于,所述服务端接收到所述连接请求,对所述终端进行授权后,所述服务端还向所述终端发送所述选定的BLE设备的指令编码清单。
5.根据权利要求4所述的基于服务端授权终端控制BLE设备的方法,其特征在于,所述指令信息包括所需执行的指令对应的指令编码以及指令参数,其中,所述指令编码为根据所需执行的指令以及所述选定的BLE设备的指令编码清单获取。
6.根据权利要求1所述的基于服务端授权终端控制BLE设备的方法,其特征在于,在所述终端与选定的BLE设备进行连接之前,所述终端通过账号密码在所述服务端进行登录。
7.根据权利要求1所述的基于服务端授权终端控制BLE设备的方法,其特征在于,所述根据解密后得到的指令报文中的指令时间戳判断指令是否过期,若指令过期,拒绝执行指令,若指令未过期,根据解密后得到的指令报文中的指令信息执行指令包括:
将所述指令时间戳分别与所述选定的BLE设备的设备时间以及所述选定的BLE设备的上一指令时间戳进行比对,其中,所述上一指令时间戳为所述选定的BLE设备上一次成功执行的指令的指令时间戳;
若所述指令时间戳与所述设备时间的差距小于预设阈值,或者所述指令时间戳小于或等于上一指令时间戳,判定指令过期,拒绝执行指令,否则,判定指令未过期,根据解密后得到的指令报文中的指令信息执行指令,并记录所述指令时间戳。
8.根据权利要求1所述的基于服务端授权终端控制BLE设备的方法,其特征在于,所述方法还包括:所述BLE设备定时与所述服务端进行时钟同步。
9.一种基于服务端授权终端控制BLE设备的系统,其特征在于,所述系统包括服务端、终端以及至少一个BLE设备,其中:
所述终端,配置为从服务端获取与选定的BLE设备进行连接的连接权限,并与所述选定的BLE设备进行连接,在连接成功后,向所述服务端发送指令授权请求,所述指令授权请求包括设备ID、指令报文以及授权Token,所述指令报文包括指令信息以及指令时间戳,所述授权Token为所述服务端授予所述终端与选定的BLE设备进行连接的连接权限后发送给所述终端;
所述服务端,与所述终端通讯连接,配置为在接收所述指令授权请求后,根据所述授权Token判断请求是否合法,若请求合法,通过所述选定的BLE设备对应的私钥对所述指令报文进行加密,得到指令密文,将所述指令密文发送至所述终端,其中,所述选定的BLE设备对应的私钥根据所述设备ID确定;
所述BLE设备,配置为在接收到所述指令密文后,通过对应的公钥对所述指令密文进行解密校验,若解密校验失败,则拒绝执行指令,若解密校验成功,则根据解密后得到的指令报文中的指令时间戳判断指令是否过期,若指令过期,拒绝执行指令,若指令未过期,根据解密后得到的指令报文中的指令信息执行指令。
10.根据权利要求9所述的基于服务端授权终端控制BLE设备的系统,其特征在于,所述BLE设备还配置为定时与所述服务端进行时钟同步。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210148874.6A CN114513775A (zh) | 2022-02-18 | 2022-02-18 | 一种基于服务端授权终端控制ble设备的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210148874.6A CN114513775A (zh) | 2022-02-18 | 2022-02-18 | 一种基于服务端授权终端控制ble设备的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114513775A true CN114513775A (zh) | 2022-05-17 |
Family
ID=81552139
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210148874.6A Pending CN114513775A (zh) | 2022-02-18 | 2022-02-18 | 一种基于服务端授权终端控制ble设备的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114513775A (zh) |
-
2022
- 2022-02-18 CN CN202210148874.6A patent/CN114513775A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8880036B2 (en) | Retrieving data wirelessly from a mobile device | |
US8438621B2 (en) | Method and apparatus for secure management of debugging processes within communication devices | |
CN1953375B (zh) | 用于提供代码签名服务的系统和方法中的账户管理 | |
US9762567B2 (en) | Wireless communication of a user identifier and encrypted time-sensitive data | |
CN108924147B (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
WO2015192670A1 (zh) | 用户身份认证方法、终端和服务端 | |
US20090158033A1 (en) | Method and apparatus for performing secure communication using one time password | |
CN105050081A (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
US20050239440A1 (en) | Replaceable sequenced one-time pads for detection of cloned service client | |
US11316897B2 (en) | Applying device policies using a management token | |
US20090265556A1 (en) | Method and terminal for authenticating between drm agents for moving ro | |
EP1530315A1 (en) | System and method for authentication of applications in a non-trusted network environment | |
CN109902477A (zh) | 保障音频通信安全 | |
US20140208107A1 (en) | Systems and methods for implementing application control security | |
CN112512048B (zh) | 移动网络接入系统、方法、存储介质及电子设备 | |
CN101346970A (zh) | 无线通信中密码密钥转换方法 | |
CN113329004B (zh) | 一种认证方法、系统及装置 | |
CN100592317C (zh) | 一种外围设备及其权限验证方法 | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
JP7002767B2 (ja) | 署名付きメッセージを用いるトークンベースの認証 | |
CN111885510B (zh) | 一种考勤方法、考勤客户端和考勤系统 | |
CN114513775A (zh) | 一种基于服务端授权终端控制ble设备的方法及系统 | |
KR20050033255A (ko) | 무선 인터넷 사용자 인증 방법 및 시스템 | |
CN111246480A (zh) | 基于sim卡的应用通信方法、系统、设备及存储介质 | |
JP2002189703A (ja) | セキュリティシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |