CN115278674A - 将安全数据包发送到通信设备的方法和设备 - Google Patents
将安全数据包发送到通信设备的方法和设备 Download PDFInfo
- Publication number
- CN115278674A CN115278674A CN202211044466.2A CN202211044466A CN115278674A CN 115278674 A CN115278674 A CN 115278674A CN 202211044466 A CN202211044466 A CN 202211044466A CN 115278674 A CN115278674 A CN 115278674A
- Authority
- CN
- China
- Prior art keywords
- communication device
- short
- mobile communication
- location information
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B1/00—Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
- H04B1/38—Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving
- H04B1/40—Circuits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
- H04W12/64—Location-dependent; Proximity-dependent using geofenced areas
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/025—Services making use of location information using location based information parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/029—Location-based management or tracking services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
- H04W48/04—Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/021—Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
Abstract
为了将安全数据包从计算机系统(4)发送到短距离通信设备(2),将安全数据包从计算机系统(4)经由移动无线网络发送(S2)到移动通信装置(1)。移动通信装置(1)被放置在短距离通信设备(2)的通信范围内,并从短距离通信设备(2)接收(S6)包括设备位置信息的数据读取请求。移动通信装置(1)确定(S7)移动通信装置(1)的当前位置。在当前装置位置与接收到的设备位置信息具有对应关系的情况下,移动通信装置(1)确定(S8)肯定的访问授权,并将安全数据包传送(S9)到短距离通信设备(2)。
Description
本申请是申请号为201710755156.4的发明专利申请的分案申请。
原案申请日:2017年8月29日。
原案发明名称:将安全数据包发送到通信设备的方法和设备。
原案申请号:201710755156.4。
技术领域
本发明涉及将安全数据包从计算机系统发送到短距离通信设备的方法和设备。具体地,本发明涉及一种移动通信装置、短距离通信设备以及将安全数据包从计算机系统发送到短距离通信设备的方法。
背景技术
多年来,电子终端设备已经安装并用于与无源RFID应答器(射频识别器)相关的门禁系统中。电子终端设备被配置为短距离通信设备,并且包括用于以无线方式读取访问权限的RFID读写器或至少来自RFID应答器的用户标识,以控制对诸如建筑物或房间的访问受控区域的访问,或访问诸如汽车或自动售货机中的货物等受控对象。随着包括主动的基于RFID的通信接口的移动无线电话(蜂窝电话,智能电话)的到来,所谓的NFC(近场通信)接口可以使用作为访问权限的载体的这种移动通信装置,而非使用RFID卡,加密狗等形式的无源RFID应答器。访问控制系统的运营商和用户都欢迎提供具有无线通信模块的移动通信装置,用于建立短距离通信设备的本地或直接无线通信链路,因为不再需要使用RFID卡,加密狗等形式的专用RFID应答器。此外,移动通信装置包括用于诸如蓝牙(BT)或低功耗蓝牙(BLE)等短距离通信的其它通信接口,这导致短距离通信设备另外配备有额外的通信接口以提高灵活性和多功能性。然而,虽然使用移动通信装置和改进的短距离通信设备的灵活性和通用性进一步增加了短距离通信设备的应用和安装数量,但是对短距离通信设备的访问权限和证书的安全管理和控制仍然是个挑战,通常需要终端与后端系统的费力和昂贵的接线。此外,随着手机频繁的软件升级和硬件创新,特别是消费电子产品世界中常见的短产品生命周期,与后端系统没有通信链路的所谓独立或离线终端一般难以维护并跟上潮流。
发明内容
本发明的目的是提供一种用于将安全数据包从计算机系统发送到短距离通信设备的方法和设备,该方法和设备不具有现有技术的至少一些缺点。
根据本发明,这些目的通过独立权利要求中的特征实现。另外,进一步有利的实施例由从属权利要求和说明书产生。
一种移动通信装置包括:第一电路,被配置为用于经由移动无线网络进行数据通信;第二电路,被配置为用于与短距离通信设备进行短距离通信;以及第三电路,被配置为用于确定指示移动通信装置的当前位置的装置位置信息。
根据本发明,上述目的是具体实现为移动通信装置还包括连接到第一、第二和第三电路的处理器,并且被配置为经由移动无线网络从计算机系统接收安全数据包;从短距离通信设备接收设备位置信息;基于验证设备位置信息和装置位置信息的对应关系确定访问授权,在与设备位置信息和装置位置信息具有对应关系的情况下确定肯定的访问授权,并且在设备位置信息和装置位置信息缺乏对应关系的情况下确定否定的访问授权;并且在肯定的访问授权的情况下将安全数据包传送到短距离通信设备,以及在否定的访问授权的情况下不将安全数据包传送到短距离通信设备。使用移动通信装置作为通信中介使得可以将安全数据包从计算机系统传送到与计算机系统没有直接连接的短距离通信设备。当移动通信装置与计算机系统具有连接时,安全数据包能够在在线模式下被传送到短距离通信设备,当移动通信装置与计算机系统没有连接时,安全数据包可以在离线模式下被传送到短距离通信设备。通过在移动通信装置中验证移动通信装置的位置与短距离通信设备的位置信息的对应关系,在短路通信设备被以欺骗方式移动到另一位置或者错误地安装在与短距离通信设备中存储的设备位置不对应的位置上的妥协情况下,可以防止将安全数据包(或关于该事件的任何其他机密或关键数据)从移动通信装置传送到短距离通信设备。此外,安全数据包(包括密码密钥,配置数据或任何其他机密或关键数据)能够经由多种不同的通信技术(例如,RFID,NFC,WLAN,BT,BLE等)分发到短距离通信设备。
在一个实施例中,从短距离通信设备接收包括在数据读取请求中的设备位置信息,并且处理器被配置为在否定的访问授权的情况下拒绝该读取请求。
在一个实施例中,接收具有目标位置信息的安全数据包,并且处理器被配置为进一步基于验证设备位置信息和目标位置信息的对应关系来确定访问授权,在设备位置信息和目标位置信息具有对应关系的情况下确定肯定的访问授权,以及在设备位置信息与目标位置信息缺乏对应关系的情况下确定否定的访问授权。
在另一个实施例中,处理器被配置为进一步从短距离通信设备接收例如包括在数据读取请求中的设备时间信息;以及进一步基于验证设备时间信息和存储在移动通信装置中的时间信息的对应关系确定访问授权,在设备时间信息和存储在移动通信装置中的时间信息具有对应关系的情况下确定肯定的访问授权,以及在设备时间信息和存储在移动通信装置中的时间信息缺乏对应关系的情况下确定否定的访问授权。
在另一个实施例中,安全数据包包括一个或多个秘密访问密钥,一个或多个访问权限,短距离通信设备的配置数据,和/或时间信息,处理器被配置为在肯定的访问授权的情况下将包括一个或多个秘密访问密钥,一个或多个访问权限,短距离通信设备的配置数据,和/或时间信息的安全数据包分别传送到短距离通信设备,以及在否定的授权的情况下不将安全数据包传送到短距离通信设备。
在一个实施例中,处理器被配置为执行认证和访问控制协议,认证和访问控制协议管理移动通信装置和短距离通信设备之间的认证和访问控制,用于访问短距离通信设备以设置短距离通信设备中的设备位置信息,并且在肯定的认证和访问控制的情况下,使用装置位置信息来设置短距离通信设备中的设备位置信息。
在另一个实施例中,处理器被配置为执行认证和访问控制协议,认证和访问控制协议管理移动通信装置和短距离通信设备之间的认证和访问控制,用于使用一个或多个秘密访问密钥和/或访问权限访问移动通信装置,以执行以下各项中的至少一项:从移动通信装置的安全数据存储器读取数据,将数据写入安全数据存储器,以及与移动通信装置的安全应用交互。
除了移动通信装置之外,本发明还涉及一种短距离通信设备,其包括被配置为用于与移动通信装置进行短距离通信的电路和连接到该电路的处理器。处理器被配置为从移动通信装置接收数据包。数据包包括指示移动通信装置的当前位置的装置位置信息。处理器进一步被配置为基于验证存储在短距离通信设备中的设备位置信息和从移动通信装置接收的装置位置信息的对应关系来确定访问授权,在设备位置信息和装置位置信息具有对应关系的情况下确定肯定的访问授权,以及在设备位置信息与装置位置信息缺乏对应关系的情况下确定否定的访问授权。所述处理器进一步被配置为在肯定的访问授权的情况下,确定从移动通信装置接收的数据包的内容并将其存储在短距离通信设备中,以及在否定的访问授权的情况下拒绝该数据包。通过在短距离通信设备中验证移动通信装置的位置和短距离通信设备的位置信息的对应关系,可在以下妥协情景下防止接受移动通信装置的数据包:例如因为远程扩展接口攻击,或者因为短距离通信设备安装在错误位置,设备位于除短距离通信设备中指定和存储位置外的另一位置。
在一个实施例中,处理器被配置为从移动通信装置接收时间信息,并且进一步基于验证存储在短距离通信设备中的设备时间信息和从移动通信装置接收的时间信息的对应关系来确定访问授权,在设备时间信息和从移动通信装置接收到的时间信息具有对应关系的情况下确定肯定的访问授权,以及在设备时间信息与从移动通信装置接收到的时间信息缺乏对应关系的情况下确定否定的访问授权。
在另一实施例中,处理器被配置为从安全数据包提取一个或多个秘密访问密钥,一个或多个访问权限,用于短距离通信设备的配置数据,和/或时间信息,并将一个或多个秘密访问密钥,一个或多个访问权限,配置数据,和/或时间信息分别存储在短距离通信设备的安全数据存储器中。
在一个实施例中,处理器被配置为执行认证和访问控制协议,认证和访问控制协议管理短距离通信设备和移动通信装置之间的认证和访问控制,用于访问短距离通信设备以设置短距离通信设备中的设备位置信息,并且在肯定的认证和访问控制的情况下,从移动通信装置接收装置位置信息,并使用装置位置信息来设置短距离通信设备中的设备位置信息。
在另一个实施例中,处理器被配置为执行认证和访问控制协议,认证和访问控制协议管理短距离通信设备和移动通信装置之间的认证和访问控制,用于使用一个或多个秘密访问密钥和/或访问权限访问移动通信装置,以执行从移动通信装置的安全数据存储器读取数据,将数据写入安全数据存储器,和/或与移动通信装置的安全应用进行交互。
除了移动通信装置和短距离通信设备之外,本发明还涉及将安全数据包从计算机系统发送到短距离通信装设备的方法。该方法包括:经由移动无线网络将安全数据包从计算机系统发送到移动通信装置;将移动通信装置放置在短距离通信设备的通信范围内;基于验证指示移动通信装置的当前位置的装置位置信息和存储在短距离通信设备中的设备位置信息的对应关系来确定访问授权,在装置位置信息和设备位置信息具有对应关系的情况下确定肯定的访问授权,并且在装置位置信息与设备位置信息缺乏对应关系的情况下确定否定的访问授权;并且在肯定的访问授权的情况下,将安全数据包发送到短距离通信设备,以及确定从移动通信装置接收的数据包的内容并将其存储在短距离通信设备中。
在一个实施例中,该方法还包括:在移动通信装置中从短距离通信设备接收数据读取请求,该数据读取请求包括设备位置信息;在移动通信装置中确定装置位置信息;基于从短距离通信设备接收到的设备位置信息和装置位置信息,在移动通信装置中确定访问的第一授权;以及在访问的肯定的第一授权的情况下,将安全数据包从移动通信装置传送到短距离通信设备,或者在访问的否定的第一授权的情况下拒绝读取请求。
在另一实施例中,该方法进一步包括:在短距离通信设备中接收来自移动通信装置的装置位置信息;基于存储在短距离通信设备中的设备位置信息和从移动通信装置接收的装置位置信息,在短距离通信设备中确定访问的第二授权;以及在短距离通信设备中,在访问的肯定的第二授权的情况下,确定从移动通信装置接收的安全数据包的内容并将其存储在短距离通信设备中,或者在访问的否定的第二授权的情况下拒绝该数据包。
本发明还涉及一种将安全数据包从计算机系统发送到短距离通信设备的方法,由此该方法包括:经由移动无线网络将安全数据包从计算机系统发送到移动通信装置;将移动通信装置放置在短距离通信设备的通信范围内;在移动通信装置中从短距离通信设备接收例如,包括在短距离通信设备的数据读取请求中的设备位置信息;在移动通信装置中确定指示移动通信装置的当前位置的装置位置信息;基于从短距离通信设备接收的设备位置信息和装置位置信息,在移动通信装置中确定访问的第一授权,在装置位置信息和设备位置信息具有的对应关系的情况下,确定访问的肯定的第一授权,以及在装置位置信息和设备位置信息缺乏的对应关系的情况下确定访问的否定的第一授权;在访问的肯定的第一授权的情况下,将安全数据包从移动通信装置传送到短距离通信设备,或者在访问的否定的第一授权的情况下,拒绝读取请求;在短距离通信设备中从移动通信装置接收装置位置信息;基于存储在短距离通信设备中的设备位置信息和从移动通信装置接收到的装置位置信息,在短距离通信设备中确定访问的第二授权,在装置位置信息和设备位置信息具有对应关系的情况下确定访问的肯定的第二授权,以及在装置位置信息和设备位置信息缺乏对应关系的情况下确定访问的否定的第二授权;以及在访问的肯定的第二授权的情况下,确定从移动通信装置接收的安全数据包的内容并将其存储在短距离通信设备中,或者在访问的否定的第二授权的情况下拒绝该数据包。
附图说明
将通过举例的方式参照附图更详细地说明本发明,其中:
图1显示了示意性地示出被配置为将安全数据包从计算机系统传送到短距离通信设备的移动通信装置的框图。
图2显示了示出用于将安全数据包从计算机系统发送到短距离通信设备的示例性步骤顺序的流程图。
图3显示了在短距离通信设备中移动通信装置设置位置信息的示例性步骤顺序的流程图。
图4显示了示出用于短距离通信设备对移动通信装置的受控访问的示例性步骤顺序的流程图。
图5显示了示出用于基于从移动通信装置接收的位置信息在短距离通信设备中验证移动通信装置的访问授权的示例性步骤顺序的流程图。
具体实施方式
在图1-5中,附图标记1表示实现为移动无线电话(智能电话,智能手表)或移动计算机(例如平板计算机,PDA(个人数据助理)或便携式个人电脑)的移动通信装置。
如图1所示,移动通信装置1包括被配置为用于移动无线网络通信的电路11,被配置为用于与短距离通信设备2的短距离通信的电路13,以及被配置为确定指示移动通信装置1的当前位置的装置位置信息的电路12。本领域技术人员将理解,这些电路中的两个或更多个可以被实现为一个公共电路,或者它们可以被实现为单独的电路。
短距离通信电路13配置为用于与短距离通信设备2进行短距离双向数据通信。短距离通信电路13包括RFID收发器(射频识别器),NFC收发器(近场通信),BLE收发器(低功耗蓝牙)和/或WLAN(Wi-Fi)收发器。例如,短距离通信电路13被配置为根据诸如ISO 18092,ISO 15693或ISO 14443的标准中定义的标准化RFID协议,或根据专有数据传输或RFID协议与非接触式设备进行交互。例如,短距离通信电路13被配置为在
范围内的载波频率下工作;特别地,载波频率被设置为RFID系统的工作频率,例如,6.78MHz,13.56MHz或27.12MHz(或13.56MHz的另一倍数)。
移动无线网络通信电路11被配置为经由移动无线网络3与计算机系统4的数据通信。移动无线网络通信电路11被配置为用于BT(蓝牙)、BLE(低功耗蓝牙)、WLAN(无线局域网)、GSM(全球移动通信系统)、UMTS(通用移动电信系统)和/或其他移动无线数据通信服务。因此,移动无线网络3包括WLAN、GSM网络、UMTS网络,另一个移动无线数据通信网络和/或因特网。
装置位置确定电路12被配置为确定移动通信装置1的当前位置。装置位置确定电路12包括用于基于卫星的导航的接收机,例如,GPS接收机(全球定位系统)。可替换地或另外,装置位置确定电路12配置为使用移动无线网络3的网络数据来确定移动通信装置1的位置。
如图1所示,移动通信装置1还包括处理器14,安全数据存储器15和显示器16。处理器14连接到移动无线网络通信电路11,装置位置确定电路12,短距离通信电路13,安全数据存储器15和显示器16。
在一个实施例中,处理器14被配置为(被编程)实现虚拟卡141。具体地,虚拟卡141被实现为包括存储在非瞬态计算机可读介质上的计算机程序代码的编程软件模块,并被配置为通过处理器专用指令直接地,或通过可解释的指令经由(中间)硬件抽象层,例如由GlobalPlatform协会指定的虚拟机平台,如Java虚拟机(JVM)或Java卡开放平台(JCOP),来控制处理器14。在替代实施例中,虚拟卡141通过在处理器14上实现的VHDL模拟器上运行的VHDL(超高速集成电路硬件描述语言)或VHSIC硬件描述语言来实现。
虚拟卡141被配置为模拟硬件实现的智能卡的功能,即包括处理器和存储器(RAM,ROM)的芯片卡或集成电路卡,例如用于根据如ISO 18092,ISO 21481,ISO 15693或ISO14443等标准定义的标准化RFID协议,或根据专有数据传输或RFID协议与读卡器交互的RFID卡。
在图1中,附图标记142表示不同的应用APP_A,APP_B。在一个实施例中,应用APP_A,APP_B被实现为虚拟卡141的卡应用APP_A,APP_B。应用142被实现为包括存储在非瞬态计算机可读介质上的计算机程序代码的编程软件模块,并被配置为通过处理器专用指令直接地或通过可解释指令经由硬件抽象层来控制处理器14。
处理器14或虚拟卡141分别被配置为例如根据非虚拟(实际)智能卡模块的相应标准和规范控制(卡)应用142的访问和执行。例如,根据由用于管理应用的GlobalPlatform协会定义的规范,由MULTOS联盟定义的智能卡的MULTOS(多操作系统)安全标准,由德国电信公司T-Systems International GmbH定义的TCOS(TeleSec芯片卡操作系统),由Europay国际(现在的万事达卡欧洲)、万事达卡和VISA定义的EMV标准,或由励智识别技术有限公司(LEGIC Identsystems AG)定义的MTSC(主令牌系统控制)来控制(卡)应用142的访问和执行。
附图标记151指的是用于不同应用程序APP_A,APP_B的应用数据,其存储在安全数据存储器15中,并且只能由相应应用程序APP_A,APP_B访问;例如,数据是用于处理器14或虚拟卡141的不同卡应用的卡数据。
如图1所示,短距离通信设备2包括被配置用于与移动通信装置1进行短距离数据交换(例如,几厘米或几米的范围)的短距离通信电路23。因此,短距离通信电路23包括与移动通信装置1的短距离通信电路13兼容的RFID收发器,NFC收发器,BLE收发器和/或WLAN(Wi-Fi)收发器。短距离通信设备2还包括安全数据存储器21和连接到短距离通信电路23和安全数据存储器21的处理器22。安全数据存储器21仅对于短距离通讯设备2的处理器22是可访问的。
在一个实施例中,短距离通信设备2被实现为集成电路,即芯片。在一个实施例中,短距离通信设备2被实现为读卡器,例如,用于根据由诸如ISO 18092,ISO 21481,ISO15693或ISO 14443等标准定义的标准化RFID协议或根据专有数据传输或RFID协议与设备进行交互的读卡器。
计算机系统4包括具有一个或多个处理器的一个或多个计算机,处理器被配置为经由移动无线网络3与移动通信装置1进行通信。计算机系统4是受信任的实体,并且根据实施例和/或场景,计算机系统4被实现为计算机中心,固定计算机,移动通信装置(如上文在移动通信装置1的上下文中所描述的)或短距离通信设备(如上文在短距离通信设备2的上下文中所描述的)。在一种情况下,计算机系统4与其中存储有用于由计算机系统4分发的安全数据的智能卡连接(临时地,可移动地或固定地)使用。计算机系统4被配置为计算机化的访问权限机构。计算机系统4或计算机化的访问权限机构被配置为存储和管理用于访问(智能)卡的加密密钥和/或访问权限,卡包括由处理器14实现的智能卡,例如,实现为虚拟卡141。加密密钥和/或访问权限为所识别的智能卡定义如下权限:从智能卡读取数据,将数据写入智能卡,并与智能卡的特定应用进行交互。
在下面的段落中,参照图2至图5描述由计算机系统4,移动通信装置1和短距离通信设备2执行的示例性步骤顺序。
图2示出了用于将安全数据包从计算机系统4发送到短距离通信设备2的示例性步骤顺序。如下面将更详细地描述的,安全数据包经由移动通信装置1从计算机系统4到短距离通信设备2。根据用户选择,应用场景和/或配置设置,安全数据包以在线模式或离线模式传输。在在线模式下,移动通信装置1具有经由移动无线网络3到计算机系统4的连接,并作为计算机系统4的中间或中继实体,用以将安全数据包传送到短距离通信设备2,而移动通信装置1通过移动无线网络3连接到计算机系统4,即在线。在离线模式下,移动通信装置1作为存储转发实体操作,在存在经由移动无线网络3到计算机系统4的连接时从计算机系统4接收和存储安全数据包,随后在稍后的时间点,将存储的安全数据包传送到短距离通信设备2,而不需要经由移动无线网络3到计算机系统4的连接,即离线。
如图2所示,在方框B的步骤中,将安全数据包从计算机系统4经由移动无线网络3发送到移动通信装置1。
在可选的准备步骤S0中,将配置请求分别从移动通信装置1或其处理器14发送到计算机系统4。例如,配置请求由授权服务人员提交,授权服务人员计划建立和配置一个或多个指定的短距离通信设备2,以与由处理器14实现或安装在智能卡或智能卡的虚拟实现上的一个或多个特定(卡)应用交互。
在步骤S1中,响应于来自移动通信装置1,或者来自另一授权单元或用户,或者其自身自发的配置请求,计算机系统4生成安全数据包。数据包的安全性在于其内容的至少一些内容被加密。安全数据包的加密内容只能由具有适当解密手段的接收者解密,解密手段包括解密算法和秘密解密密钥。安全数据包的内容或有效载荷包括加密访问密钥、访问权限、配置数据、时间信息和/或位置信息。配置数据包括配置参数和/或可执行程序代码的值。在一个实施例中,安全数据包具有分级和/或嵌套结构,即可通过第一解密密钥访问的第一安全数据包的内容可以包括可通过不同的第二解密密钥访问的另一第二安全数据包。在一个实施例中,安全数据包还包括(未加密的)或链接到包括寻址信息的目标或接收者信息,以及目标位置信息,目标或接收者信息识别预期接收者,例如,指定一个特定的或一组短距离通信设备的网络地址或设备标识符,目标位置信息指定预期接收者的地理位置或区域,例如,坐标,邮政地址和/或包括楼层号码,房间号码或名称,设备号码或名称等描述性信息。在一个实施例中,计算机系统4经由RFID或NFC接口或通过基于联系人的界面从智能卡读取安全数据包或其内容。
在步骤S2中,将安全数据包从计算机系统4经由移动无线网络3发送到移动通信装置1。
在步骤S3中,安全数据包分别由移动通信装置1或其处理器14接收。
在步骤S4中,移动通信装置1进入短距离通信设备2的通信范围。短距离通信设备2分别检测移动通信装置1或其处理器14或虚拟卡141的存在,通过短距离通信电路13、23在短距离通信设备2和移动通信装置1的处理器14或虚拟卡141之间执行认证和访问控制。本领域技术人员将理解,可以使用各种标准化或专有密码算法来执行短距离通信设备2和移动通信装置1或其处理器14或虚拟卡141之间的认证和访问控制协议。短距离通信设备2或其处理器22,以及移动通信装置1或其处理器14或虚拟卡141分别被配置为例如依照由GlobalPlatform协会所述的非虚拟(真实)智能卡模块的相应标准和规范(如ISO 7816和/或ISO 9798)执行认证和访问控制协议。
在步骤S5中,在成功认证和授权之后,短距离通信设备2或其处理器22分别生成数据读取请求。数据读取请求包括存储在短距离通信设备2中的设备位置信息211,该信息指示特定短距离通信设备2(配置/编程的)位置。设备位置信息211存储在短距离通信设备2的安全数据存储器21中。根据场景或实施例,在安装短距离通信设备2之前,例如在制造或配置过程中,或通过设备已经安装时授权的现场配置,将设备位置信息211存储在安全数据存储器21中,如稍后将更详细地解释的。通常,短距离通信设备2安装为静止短距离通信设备2,设备位置信息211表示短距离通信设备2的经配置的静止位置。不过,根据例如与汽车相关的应用,短距离通信设备2可以是移动的,并且设备位置信息211指示短距离通信设备2的经配置的静止位置,在短距离通信设备2处允许从例如在维修站或区域中授权的移动通信装置接收安全数据包。
在步骤S6中,经由短距离通信电路13、23将数据读取请求从短距离通信设备2发送到移动通信装置1。
在步骤S7中,移动通信装置1的处理器14使用装置位置确定电路12确定其当前位置(在死点的情况下,使用最后确定的可用位置)。在一个实施例中,移动通信装置1的处理器14检查其是否存储了具有与移动通信装置1的当前位置相匹配的目标位置的安全数据包。如果不存在具有匹配目标位置的安全数据包,则处理器14产生警报消息,通知移动通信装置1的用户没有安全数据包可用于当前位置;否则,处理器14进行到步骤S8。
在步骤S8中,移动通信装置1的处理器14通过检查从短距离通信设备2接收到的设备位置信息是否对应于针对移动通信装置1确定的装置位置,进一步验证短距离通信设备2的访问授权。具体地,处理器14检查设备位置是否位于装置位置周围的限定地区或区域内,例如,装置位置周围半径为五、十、二十、五十或一百米的地区或区域内。在一个实施例中,高度或海拔(位置)信息被包括在验证中。
在一个实施例中,数据读取请求进一步包括存储在短距离通信设备2中的设备时间信息212,并且移动通信装置1的处理器14通过检查从短距离通信设备2接收的设备时间信息是否对应于移动通信装置1中存储的(或从时钟导出的)装置时间信息,进一步验证访问授权。
在设备位置在装置位置周围的参考地区或区域之外(或如果适用的话,设备时间信息偏离装置时间信息超过定义的阈值)的情况下,则在步骤S12中,处理器14确定否定的访问授权并且拒绝读取请求。在一个实施例中,处理器14在步骤S12*中产生负反馈消息并将其发送到计算机系统4,通知计算机系统4由于缺乏相应短距离通信设备2的位置(和/或时间)的对应关系而决绝读取请求。
否则,在设备位置在装置位置周围的参考地区或区域内(以及如果适用的话,设备时间信息与设备时间信息的差不超过定义的阈值)的情况下,在步骤S9中,处理器14确定安全数据存储器15是否包括具有与设备位置匹配的目标位置信息的一个或多个安全数据包。如果存在具有匹配目标位置的一个安全数据包,则它将被包括在对短距离通信设备2的读取响应中。如果存在一个以上具有匹配目标位置的安全数据包,则处理器14在显示器16上显示具有匹配目标位置的安全数据包的列表,安全数据包进一步包括目标位置信息,如邮政地址、楼层号码、房间号码或名称、设备号码或名称、项目名称、项目ID、装置名称等。然后要求用户从列表中选择用于特定短距离通信设备2的安全数据包,其中用户当前位于移动通信装置1中。如果不存在具有匹配目标位置信息的安全数据包,则处理器14确定否定的访问授权并拒绝如上文结合步骤S12和S12*所述的读取请求。
如图2示意性地指示,在离线模式下,块B的步骤在移动通信装置1进入短距离通信设备2的通信范围并执行认证和访问控制协议之前执行。另一方面,在在线模式下,块B的步骤S0,S1,S2,S3可以在稍后的时间点执行,例如在步骤S8中已经验证了授权之后,如附图标记B*所指示的。在这种情况下,移动通信装置1的处理器14在执行块B*的步骤之后,检查是否已经接收到具有与移动通信装置1的当前位置相匹配的目标位置的安全数据包。如果不存在具有匹配目标位置的安全数据包,处理器14产生警报消息,通知移动通信装置1的用户对于当前位置没有接收到安全数据包;否则,处理器14进行到步骤S9。
进一步地,在步骤S9中,处理器14经由短距离通信电路13、23产生包括确定的和/或选择的安全数据包的数据读取响应并将其发送到短距离通信设备2。在一个实施例中,在步骤S9*中,处理器14产生正反馈消息并将其发送到计算机系统4。
在一个实施例中,一旦移动通信装置1不再接近短距离通信设备2,即一旦设备位置在装置位置周围的参考地区或区域外部,则在移动通信装置1中删除安全数据包。为此,处理器14进一步被配置为例如,在步骤S9中发送安全数据包之后的设定时间段检查先前确定的设备位置与装置位置的对应关系,并且在缺乏对应关系的情况下删除安全数据包。或者,安全数据包的删除由计算机系统4远程发起。
在一个实施例中,处理器14在数据读取响应中包括在步骤S7中确定的移动通信装置1的当前位置,并且在可选步骤S90中,短距离通信设备2的处理器22基于从移动通信装置1接收的当前位置验证移动通信装置1的访问授权。具体地,如图5所示,在步骤S91中,处理器22获得包括在数据读取响应中的、从移动通信装置1接收的装置位置信息。在步骤S92中,处理器22通过检查存储在短距离通信设备2中的设备位置信息是否对应于从移动通信装置1接收的设备位置来验证位置对应关系。因此,处理器22检查装置位置是否在设备位置周围的限定地区或区域内,例如设备位置周围半径为五、十、二十、五十或一百米的地区或区域。在一个实施例中,高度或海拔(位置)信息被包括在验证中。
在一个实施例中,数据读取响应还包括移动通信装置1的处理器14所包括的装置时间,短距离通信设备2的处理器22通过检查从移动通信装置1接收的装置时间信息是否对应于存储在短距离通信设备2中的装置时间信息212,例如,由短距离通信设备2的内部时钟编程或确定的,进一步验证移动通信装置1的访问授权。
在装置位置在设备位置周围的参考地区或区域外(或如果适用的话,装置时间信息偏离设备时间信息超过定义的阈值)的情况下,则在步骤S93中,处理器22确定否定的访问授权并拒绝来自移动通信装置1的数据包。在一个实施例中,处理器22在步骤S94中生成负反馈消息并将其发送到移动通信装置1,向移动通信装置1通知由于缺少相应移动通信装置1的位置(和/或时间)的对应关系而拒绝数据包。
否则,在装置位置在设备位置周围的参考地区或区域内(以及如果适用的话,装置时间信息不同于设备时间信息不超过定义的阈值)的情况下,短距离通信设备2的处理器22接受来自移动通信装置1的数据包,并行进到步骤S10。
在步骤S10中,处理器22使用相应的秘密密码密钥从包含在数据读取响应中的安全数据包中提取加密内容或有效载荷,相应的秘密密码密钥用于解密来自计算机系统4的安全数据包的相应层级或嵌套级别。
在步骤S11中,处理器22将来自安全数据包的提取和解密的内容或有效载荷存储在短距离通信设备2的安全数据存储器21中。具体地说,处理器22在安全数据存储器21中存储从安全数据包提取和解密的访问密钥和/或访问权限213、配置数据214、位置信息211和/或时间信息212。
图3示出了移动通信装置1在短距离通信设备2中设置设备位置信息的示例性步骤顺序。
在步骤S13中,移动通信装置1位于短距离通信设备2的通信范围内,在短距离通信设备2和移动通信装置1或其处理器14或虚拟卡141之间分别执行认证和访问控制协议,如上在步骤S4的上下文中所述。作为步骤S13的认证和访问控制的一部分,移动通信装置1或其处理器14或虚拟卡141分别被认证为被授权设置短距离通信设备2的设备位置211的“定位器设备”。
在步骤S14中,在成功认证和授权之后,短距离通信设备2或其处理器22分别产生位置查询,例如,作为设置或配置过程的一部分。
在步骤S15中,经由短距离通信电路13、23将位置查询从短距离通信设备2发送到移动通信装置1。
在步骤S16中,移动通信装置1的处理器14使用装置位置确定电路12确定其当前位置(在死点的情况下,使用最后确定的可用位置)。
在步骤S17中,处理器14(或虚拟卡141分别)经由短距离通信电路13、23生成位置查询响应并将其发送到短距离通信设备2。位置查询响应优选地以安全的方式(加密)包括确定的当前装置位置。
在步骤S18中,处理器22接收位置查询响应,并将接收的装置位置作为短距离通信设备2的设备位置211存储在安全数据存储器21中。
随后,设备位置211用于基于终端和装置位置的对应关系来验证终端访问授权,如上文在步骤S8的上下文中所述。
图4示出了用于短距离通信设备2对移动通信装置1的受控访问的示例性步骤顺序。
如上所述,在步骤S4中,移动通信装置1在短距离通信设备2的通信范围内,并且在短距离通信设备2和移动通信装置1或其处理器14或虚拟卡141之间分别执行认证和访问控制协议。
在步骤S20中,在成功认证和授权之后,短距离通信设备2或其处理器22分别确定用于分别访问移动通信装置1或其应用142或虚拟卡141的加密的访问密钥213。短距离通信设备2已经存储了一个或多个加密的访问密钥213,它们是应用和/或提供者特定的。密钥查询的目的是分别通过移动通信装置1、其应用142或其虚拟卡141来识别短距离通信设备2在随后的访问请求(例如,读/写请求、应用交互、交易、会话等)中使用的加密的访问密钥213。
具体地,在步骤S21中,短距离通信设备2或其处理器22分别产生密钥查询。
在步骤S22中,经由短距离通信电路13、23将密钥查询从短距离通信设备2发送到移动通信装置1。
在步骤S23中,移动通信装置1,即处理器14或虚拟卡141分别确定在当前交易或与移动通信装置1,其应用142或其虚拟卡141的会话中由短距离通信设备2使用的密码访问密钥Ki。处理器14确定所标识的加密访问密钥Ki的密钥标识符KIDi。使用密码单向函数h,即不能或非常难以反转的函数,例如密码散列函数KIDi=h(ki),从识别的加密访问密钥Ki生成密钥标识符KIDi。根据实施例,密钥标识符KIDi被预先生成(例如,在计算机系统4中)并存储在移动通信装置1中,例如,在密钥标识符表中,或者如果密码访问密钥Ki实际可用并安全地存储移动通信装置1中,则在移动通信装置1中“不停地”生成密钥标识符KIDi。
在步骤S24中,处理器14(或虚拟卡141分别)经由短距离通信电路13、23生成密钥查询响应并将其发送到短距离通信设备2。密钥查询响应包括生成的密钥标识符KIDi。
在步骤S25中,处理器22接收密钥查询响应,并将接收到的密钥标识符KIDi与存储在短距离通信设备2的安全数据存储器21中的加密的访问密钥Kn 213的密钥标识符KIDn进行比较。使用相同的密码单向函数h,KIDn=h(kn),从加密访问密钥Kn 213导出加密的访问密钥Kn 213的密钥标识符密钥KIDi。优选地,加密的访问密钥213的密钥标识符KIDn被“预先计算”并存储在与相应加密的访问密钥Kn 213关联的安全数据存储器21中。
在步骤S26中,在密码访问密钥Ki成功识别KIDn=KIDi后,短距离通信设备2或其处理器22分别使用所识别的访问密钥Ki生成访问请求。
在步骤S27中,经由短距离通信电路13、23将访问请求从短距离通信设备2发送到移动通信装置1。
在步骤S28中,移动通信装置1(即处理器14或虚拟卡141)基于在步骤S24的密钥查询响应中对短距离通信设备2指定的具有密钥标识符KIDi的密码访问密钥Ki来验证访问请求的合法性或授权。在一个实施例中,为了增加安全性,移动通信装置1(即处理器14或虚拟卡141)通过执行在步骤S8的上下文中所述的基于位置和/或时间的授权验证来进一步验证访问请求的合法性或授权。
在步骤S29中,在成功和肯定的授权验证之后,处理器14(或虚拟卡141分别)执行访问请求并生成访问请求响应。根据该场景,访问请求响应包括用于执行的数据读取请求的数据响应,用于执行的数据写入请求的写入确认,用于执行的交易请求的交易响应,用于执行的应用交互请求的应用响应,用于执行的会话请求的会话响应等。
在步骤S30中,处理器14(或虚拟卡141分别)经由短距离通信电路13、23将访问请求响应发送到短距离通信设备2。在一个实施例中,处理器22通过执行在步骤S90的上下文中所述的基于位置和/或时间的授权验证来分别验证移动通信装置1或其处理器14或虚拟卡141的合法性或授权。因此,装置时间和/或位置与设备时间和/或位置的对应关系不仅应用于传送用于配置或密钥分配目的的安全数据包,而且还应用于移动通信装置1和短距离通信设备2之间的任何其他操作交互和数据交换。
应当指出的是,在说明书中,计算机程序代码已经与特定功能模块相关联,步骤的顺序已经以特定顺序呈现,然而本领域技术人员将理解在不偏离本发明范围的情况下,可以不同地构造计算机程序代码以及可以改变至少一些步骤的顺序。
Claims (15)
1.一种移动通信装置(1),包括:
第一电路(11),被配置为用于经由移动无线网络(3)进行数据通信;
第二电路(13),被配置为用于与短距离通信设备(2)进行短距离通信;
第三电路(12),被配置为确定指示所述移动通信装置(1)的当前位置的装置位置信息;和
处理器(14),连接到所述第一、第二和第三电路(11,12,13),并且被配置为实现虚拟卡(141),所述虚拟卡(141)被配置为模拟硬件实现的智能卡的功能,经由所述移动无线网络(3)从计算机系统(4)接收(S2)安全数据包,在短距离通信设备(2)和虚拟卡(141)之间执行认证和访问控制,从所述短距离通信设备(2)接收(S6)设备位置信息,基于验证所述设备位置信息和所述装置位置信息的对应关系来确定访问授权(S8),在所述设备位置信息和所述装置位置信息具有对应关系的情况下确定肯定的访问授权,以及在所述设备位置信息和所述装置位置信息缺乏对应关系的情况下确定否定的访问授权,并在肯定的访问授权的情况下,将所述安全数据包传送(S9)到所述短距离通信设备(2),以及在否定的访问授权的情况下,不将所述安全数据包传送到所述短距离通信设备(2)。
2.根据权利要求1所述的移动通信装置(1),其中从所述短距离通信设备(2)接收(S6)包括在数据读取请求中的所述设备位置信息;并且所述处理器(14)被配置为在否定的访问授权的情况下拒绝(S12)所述读取请求。
3.根据权利要求1或2所述的移动通信装置(1),其中接收具有目标位置信息的所述安全数据包,并且所述处理器(14)被配置为进一步基于验证所述设备位置信息和所述目标位置信息的对应关系来确定所述访问授权(S8),在所述设备位置信息和所述目标位置信息具有对应关系的情况下确定肯定的访问授权,以及在所述设备位置信息和所述目标位置信息缺乏对应关系的情况下确定否定的访问授权。
4.根据权利要求1或2所述的移动通信装置(1),其中,所述处理器(14)被配置为进一步从所述短距离通信设备(2)接收(S2)设备时间信息,以进一步基于验证所述设备时间信息和存储在所述移动通信装置(1)中的时间信息的对应关系确定所述访问授权(S8),在所述设备时间信息和所述移动通信装置(1)中存储的时间信息具有对应关系的情况下,确定肯定的访问授权,并且在所述设备时间信息和所述移动通信装置(1)中存储的时间信息缺乏对应关系的情况下,确定否定的访问授权。
5.根据权利要求1或2所述的移动通信装置(1),其中所述安全数据包包括以下各项中的至少一个:一个或多个秘密访问密钥,一个或多个访问权限,短距离通信设备(2)的配置数据,以及时间信息;并且处理器(14)被配置为在肯定的访问授权的情况下,分别传送包括一个或多个所述秘密访问密钥,一个或多个访问权限,配置数据和/或时间信息的安全数据包,并且在否定的访问授权的情况下,不将所述安全数据包传送到所述短距离通信设备(2)。
6.根据权利要求1或2所述的移动通信装置(1),其中,所述处理器(14)被配置为执行认证和访问控制协议(S4),所述认证和访问控制协议管理所述移动通信装置(1)和所述短距离通信设备(2)之间的认证和访问控制,用于访问所述短距离通信设备(2)以在所述短距离通信设备(2)中设置设备位置信息,并且在肯定的认证和访问控制的情况下,使用所述装置位置信息来设置所述短距离通信设备(2)中的所述设备位置信息。
7.根据权利要求1或2所述的移动通信装置(1),其中,所述处理器(14)被配置为执行认证和访问控制协议(S4),所述认证和访问控制协议管理所述移动通信装置(1)以及所述短距离通信设备(2)之间的认证和访问控制,用于使用一个或多个秘密访问密钥和/或访问权限访问所述移动通信装置(1),以执行以下各项中的至少一个:从所述移动通信装置(1)的安全数据存储器读取数据,将数据写入所述安全数据存储器,并与所述移动通信装置(1)的安全应用进行交互。
8.一种移动通信装置(2),包括:
电路(23),被配置为用于与移动通信装置(1)进行短距离通信;
连接到所述电路(23)的处理器(22),并且被配置为在短距离通信设备(2)和由移动通信装置(1)的处理器(14)实现的虚拟卡(141)之间执行认证和访问控制,所述虚拟卡(141)被配置为模拟硬件实现的智能卡的功能,从所述移动通信装置(1)接收数据包,所述数据包包括指示所述移动通信装置(1)的当前位置的装置位置信息,用于基于验证存储在所述短距离通信设备(2)中的设备位置信息和从所述移动通信装置(1)接收的所述装置位置信息的对应关系来确定访问授权(S8),在所述设备位置信息和所述装置位置信息具有对应关系的情况下确定肯定的访问授权,并且在所述设备位置信息和所述装置位置信息缺乏对应关系的情况下确定否定的访问授权,并且在肯定的访问授权的情况下,确定从所述移动通信装置(1)接收的数据包的内容并将其存储(S11)在所述短距离通信设备(2)中,以及在否定的访问授权的情况下拒绝(S12)所述数据包。
9.根据权利要求8所述的短距离通信设备(2),其中,所述处理器(22)被配置为从所述移动通信装置(1)接收时间信息,以基于验证存储在所述短距离通信设备(2)中的设备时间信息和从所述移动通信装置(1)接收的时间信息确定所述访问授权(S8),在所述设备时间信息和从所述移动通信装置(1)接收的时间信息具有对应关系的情况下确定肯定的访问授权,并且在所述设备时间信息与从所述移动通信装置(1)接收的所述时间信息缺乏对应关系的情况下确定否定的访问授权。
10.根据权利要求8或9所述的短距离通信设备(2),其中所述处理器(22)被配置为从所述安全数据包中提取以下各项中的至少一个:一个或多个秘密访问密钥,一个或多个访问权限,所述短距离通信设备(2)的配置数据,和时间信息;并且将所述一个或多个秘密访问密钥,所述一个或多个访问权限,所述配置数据,和/或所述时间信息分别存储在所述短距离通信设备(2)的安全数据存储器中。
11.根据权利要求8或9所述的短距离通信设备(2),其中,所述处理器(22)被配置为执行认证和访问控制协议(S4),所述认证和访问控制协议管理所述短距离通信设备(2)和所述移动通信装置(1)之间的认证和访问控制,用于访问所述短距离通信设备(2)以在短距离通信设备(2)中设置所述设备位置信息,并且在肯定的认证和访问控制的情况下,从所述移动通信装置(1)接收装置位置信息,以及使用所述装置位置信息在所述短距离通信设备(2)中设置所述设备位置信息。
12.根据权利要求8或9所述的短距离通信设备(2),其中所述处理器(22)被配置为执行认证和访问控制协议(S4),所述认证和访问控制协议(S4)管理所述短距离通信设备(2)和移动通信装置(1)之间的认证和访问控制,用于使用一个或多个秘密访问密钥和/或访问权限访问所述移动通信装置(1),以执行以下各项中的至少一个:从所述移动通信装置(1)的安全数据存储器读取数据,将数据写入所述安全数据存储器,并与所述移动通信装置(1)的安全应用进行交互。
13.一种将安全数据包从计算机系统(4)发送到短距离通信设备(2)的方法,所述方法包括:
将所述安全数据包从所述计算机系统(4)经由移动无线网络(3)发送(S2)到移动通信装置(1),所述移动通信装置(1)具有处理器(14),所述处理器(14)被配置为实现虚拟卡(141),所述虚拟卡(141)被配置为模拟硬件实现的智能卡的功能;
将所述移动通信装置(1)放置在所述短距离通信设备(2)的通信范围内;
在短距离通信设备(2)和虚拟卡(141)之间执行认证和访问控制;
基于验证指示所述移动通信装置(1)的当前位置的装置位置信息和存储在所述短距离通信设备(2)中的设备位置信息的对应关系来确定访问授权(S8),在所述装置位置信息和所述设备位置信息具有对应关系的情况下确定肯定的访问授权,以及在所述装置位置信息和所述设备位置信息缺乏对应关系的情况下确定否定的访问授权,以及
在肯定的访问授权的情况下,将所述安全数据包传送(S9)到所述短距离通信设备(2),并将从所述移动通信装置(1)接收的数据包的内容存储(S11)在所述短距离通信设备(2)中。
14.根据权利要求13所述的方法,还包括:在所述移动通信装置(1)中从所述短距离通信设备(2)接收(S6)数据读取请求,所述数据读取请求包括所述设备位置信息;确定(S7)所述装置位置信息;基于从所述短距离通信设备(2)接收的所述设备位置信息和所述装置位置信息,在所述移动通信装置(1)中确定(S8)访问的第一授权;以及在访问的肯定的第一授权的情况下,将所述安全数据包从所述移动通信装置(1)传送到所述短距离通信设备(2),或者在访问的否定的第一授权的情况下拒绝所述读取请求。
15.根据权利要求13或14所述的方法,还包括:在所述短距离通信设备(2)中从所述移动通信装置(1)接收(S6)所述装置位置信息;基于存储在所述短距离通信设备(2)中的设备位置信息和从所述移动通信装置(1)接收的所述装置位置信息,在所述短距离通信设备(2)中确定(S8)访问的第二授权;以及在肯定的第二访问授权的情况下,确定从所述移动通信装置(1)接收的安全数据包的内容并将其存储(S11)在所述短距离通信设备(2)中,或者在访问的否定的第二授权的情况下拒绝(S12)所述数据包。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CH11492016 | 2016-09-06 | ||
| CH01149/16 | 2016-09-06 | ||
| CN201710755156.4A CN107820247A (zh) | 2016-09-06 | 2017-08-29 | 将安全数据包发送到通信设备的方法和设备 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710755156.4A Division CN107820247A (zh) | 2016-09-06 | 2017-08-29 | 将安全数据包发送到通信设备的方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115278674A true CN115278674A (zh) | 2022-11-01 |
Family
ID=56920439
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710755156.4A Pending CN107820247A (zh) | 2016-09-06 | 2017-08-29 | 将安全数据包发送到通信设备的方法和设备 |
| CN202211044466.2A Pending CN115278674A (zh) | 2016-09-06 | 2017-08-29 | 将安全数据包发送到通信设备的方法和设备 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710755156.4A Pending CN107820247A (zh) | 2016-09-06 | 2017-08-29 | 将安全数据包发送到通信设备的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10555154B2 (zh) |
| KR (1) | KR101947917B1 (zh) |
| CN (2) | CN107820247A (zh) |
| CA (1) | CA2975517C (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101921275B1 (ko) * | 2017-06-16 | 2019-02-13 | 라인 가부시키가이샤 | 메신저에서의 파일 전송 시 기기 간 통신 기술을 활용하는 방법 및 시스템 |
| WO2019173574A1 (en) * | 2018-03-09 | 2019-09-12 | Stryker Corporation | Systems and methods for remotely controlling a surgical instrument of console-based surgical systems |
| US10841299B2 (en) * | 2018-03-15 | 2020-11-17 | Arm Ltd. | Systems, devices, and/or processes for omic content processing and/or partitioning |
| US10841083B2 (en) * | 2018-03-15 | 2020-11-17 | Arm Ltd. | Systems, devices, and/or processes for OMIC content processing and/or communication |
| CH715441A1 (de) * | 2018-10-09 | 2020-04-15 | Legic Identsystems Ag | Verfahren und Vorrichtungen zum Kommunizieren zwischen einer Internet-der-Dinge-Vorrichtung und einem Ferncomputersystem. |
| US10671375B1 (en) * | 2018-11-09 | 2020-06-02 | Capital One Services, Llc | Tokenized mobile device update systems and methods |
| CN112653994B (zh) * | 2019-09-26 | 2023-07-21 | 中国移动通信集团重庆有限公司 | 历史位置管理方法、装置及计算设备 |
| CN112188458A (zh) * | 2020-09-29 | 2021-01-05 | 深圳市创新佳电子标签有限公司 | 一种nfc社交软件系统 |
| WO2023050373A1 (zh) * | 2021-09-30 | 2023-04-06 | 华为技术有限公司 | 一种通信方法、装置及系统 |
Family Cites Families (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001007301A (ja) * | 1999-06-17 | 2001-01-12 | Sony Corp | 半導体装置およびその製造方法 |
| US7706778B2 (en) * | 2005-04-05 | 2010-04-27 | Assa Abloy Ab | System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone |
| KR20070059545A (ko) * | 2005-12-07 | 2007-06-12 | 삼성전자주식회사 | 이동통신 단말기를 이용한 보안 장치 및 방법 |
| US7797740B2 (en) * | 2006-01-06 | 2010-09-14 | Nokia Corporation | System and method for managing captured content |
| JP4805739B2 (ja) | 2006-07-07 | 2011-11-02 | 株式会社エヌ・ティ・ティ・ドコモ | 近距離無線通信端末及びセキュリティレベル設定方法 |
| US8645689B2 (en) * | 2009-01-16 | 2014-02-04 | Microsoft Corporation | Stateless agent |
| DE102009040477A1 (de) * | 2009-09-08 | 2011-03-10 | Deutsche Telekom Ag | Authentifizierung im Mobilfunknetz durch Authentifizierungszelle |
| EP2522001A1 (en) * | 2010-01-08 | 2012-11-14 | Telekom Deutschland GmbH | Method and system for access authorization |
| US9065786B2 (en) * | 2010-09-24 | 2015-06-23 | Yagi Corp. | Context-sensitive auto-responder |
| WO2012040661A1 (en) * | 2010-09-24 | 2012-03-29 | Robert Plotkin | Profile-based message control |
| US20120117169A1 (en) * | 2010-11-08 | 2012-05-10 | Robert Plotkin | Time-Based Computer Control |
| WO2012064788A1 (en) * | 2010-11-08 | 2012-05-18 | Robert Plotkin | Enforced unitasking in multitasking systems |
| EP2461613A1 (en) | 2010-12-06 | 2012-06-06 | Gemalto SA | Methods and system for handling UICC data |
| US8823513B2 (en) * | 2011-01-18 | 2014-09-02 | Radio Systems Corporation | Systems and methods to track movement of animals |
| US20120221464A1 (en) * | 2011-02-28 | 2012-08-30 | Research In Motion Limited | Communications system for performing secure transactions based upon mobile wireless communications device proximity and related methods |
| US8831517B2 (en) * | 2011-04-13 | 2014-09-09 | At&T Intellectual Property I, L.P. | Devices, systems, and methods for sponsored tethered connectivity |
| JP5790218B2 (ja) * | 2011-07-11 | 2015-10-07 | ソニー株式会社 | 通信装置、通信制御方法 |
| KR101311239B1 (ko) * | 2011-09-26 | 2013-09-25 | 주식회사 사람들과사람들 | Nfc 매체를 이용한 단말 제어 장치 및 그 방법 |
| US9441982B2 (en) * | 2011-10-13 | 2016-09-13 | Telenav, Inc. | Navigation system with non-native dynamic navigator mechanism and method of operation thereof |
| EP3836477A1 (en) * | 2011-10-28 | 2021-06-16 | Danmarks Tekniske Universitet | Dynamic encryption method |
| US8943605B1 (en) * | 2012-01-25 | 2015-01-27 | Sprint Communications Company L.P. | Proximity based digital rights management |
| US9258704B2 (en) * | 2012-06-27 | 2016-02-09 | Advanced Messaging Technologies, Inc. | Facilitating network login |
| WO2014028893A2 (en) * | 2012-08-16 | 2014-02-20 | Schlage Lock Company Llc | Wireless reader system |
| US9634726B2 (en) * | 2012-11-02 | 2017-04-25 | Google Inc. | Seamless tethering setup between phone and laptop using peer-to-peer mechanisms |
| US20140136350A1 (en) | 2012-11-14 | 2014-05-15 | Risto K. Savolainen | System and method for secure mobile contactless payment |
| WO2014081429A2 (en) * | 2012-11-21 | 2014-05-30 | Empire Technology Development | Speech recognition |
| GB201301452D0 (en) * | 2013-01-28 | 2013-03-13 | Microsoft Corp | Providing notifications of call-related services |
| US9164161B2 (en) * | 2013-02-04 | 2015-10-20 | Blackberry Limited | Augmenting location data at a mobile device |
| CN103974246B (zh) * | 2013-02-05 | 2017-09-08 | 株式会社理光 | 基于nfc技术的无线网络区域限定控制方法和系统 |
| EP2974393B1 (en) * | 2013-03-13 | 2018-10-03 | Intel Corporation | Dead zone location detection apparatus and method |
| US9401915B2 (en) * | 2013-03-15 | 2016-07-26 | Airwatch Llc | Secondary device as key for authorizing access to resources |
| US9485607B2 (en) * | 2013-05-14 | 2016-11-01 | Nokia Technologies Oy | Enhancing the security of short-range communication in connection with an access control device |
| EP2809054B1 (en) | 2013-05-29 | 2018-08-01 | Legic Identsystems AG | Mobile electronic device with transceiver for wireless data exchange |
| JP5960181B2 (ja) * | 2014-03-13 | 2016-08-02 | キーパスコ アーベーKeypasco AB | ユーザ位置情報を利用したユーザ識別情報を安全に検証するためのネットワーク認証方法 |
| US10158995B2 (en) * | 2014-06-25 | 2018-12-18 | Mitel Networks Corporation | Personal area network system and method |
| US9503965B2 (en) * | 2014-07-14 | 2016-11-22 | Verizon Patent And Licensing Inc. | Set-top box setup via near field communication |
| US20160050066A1 (en) * | 2014-08-13 | 2016-02-18 | Louis Nunzio Loizides | Management of an encryption key for a secure data storage device on a trusted device paired to the secure device over a personal area network |
| CN104157060B (zh) * | 2014-08-15 | 2017-04-05 | 曹敏煊 | 一种门禁数据的传输和管理方法 |
| EP3059919A1 (en) * | 2015-02-19 | 2016-08-24 | Nxp B.V. | Method and system for facilitating network joining |
| US10187455B2 (en) * | 2015-07-28 | 2019-01-22 | Microsoft Technology Licensing, Llc | Automated network connection sharing |
| CN105282158A (zh) * | 2015-10-28 | 2016-01-27 | 小米科技有限责任公司 | 智能设备联网方法、路由设备、智能设备及系统 |
| CN105450487B (zh) * | 2015-12-31 | 2019-01-15 | 宇龙计算机通信科技(深圳)有限公司 | 一种远程控制智能家居设备或系统的方法、装置以及终端 |
| US9992643B2 (en) | 2016-07-06 | 2018-06-05 | Verizon Patent And Licensing Inc. | Session establishment, maintenance, and termination by end device based on SMS messaging |
| US10235158B2 (en) | 2017-03-21 | 2019-03-19 | Microsoft Technology Licensing, Llc | Optimizing feature deployment based on usage pattern |
| US11270215B2 (en) | 2018-02-20 | 2022-03-08 | Microstrategy Incorporated | Intelligent recommendations |
-
2017
- 2017-08-03 CA CA2975517A patent/CA2975517C/en active Active
- 2017-08-29 CN CN201710755156.4A patent/CN107820247A/zh active Pending
- 2017-08-29 CN CN202211044466.2A patent/CN115278674A/zh active Pending
- 2017-09-01 US US15/693,656 patent/US10555154B2/en active Active
- 2017-09-05 KR KR1020170113204A patent/KR101947917B1/ko active IP Right Grant
-
2019
- 2019-12-23 US US16/724,737 patent/US11039293B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107820247A (zh) | 2018-03-20 |
| US10555154B2 (en) | 2020-02-04 |
| CA2975517A1 (en) | 2018-03-06 |
| KR20180027378A (ko) | 2018-03-14 |
| US20180070199A1 (en) | 2018-03-08 |
| KR101947917B1 (ko) | 2019-02-13 |
| US11039293B2 (en) | 2021-06-15 |
| CA2975517C (en) | 2022-06-14 |
| US20200128381A1 (en) | 2020-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11039293B2 (en) | Method and devices for transmitting a secured data package to a communication device | |
| AU2018282344B2 (en) | Secure electronic entity for authorizing a transaction | |
| US8893234B2 (en) | Method of securing access to a proximity communication module in a mobile terminal | |
| US7886970B2 (en) | Data communicating apparatus and method for managing memory of data communicating apparatus | |
| EP2259610B1 (en) | Registering a mobile device in a mobile communication network | |
| CN102314576B (zh) | 在nfc设备中执行安全应用的方法 | |
| KR102010355B1 (ko) | Nfc 트랜잭션 서버 | |
| US8429086B2 (en) | System for location based transaction security | |
| CN104040553A (zh) | 用于执行nfc装置中的应用程序的方法 | |
| CN101809633A (zh) | 与不同的企业无线地执行交易 | |
| CN100422961C (zh) | 数据通信设备以及数据通信设备的存储器的管理方法 | |
| CN105850155B (zh) | 用于管理非接触卡应用的应用数据的系统和方法 | |
| US10074087B2 (en) | Method for carrying out a transaction between a portable data carrier and a terminal | |
| US7416114B2 (en) | Electronic value transfer device equipped with non-contact IC interface | |
| WO2016124583A1 (en) | Method and device for accessing a service | |
| EP3291503B1 (en) | Method and devices for transmitting a secured data package to a communication device | |
| KR101445001B1 (ko) | Nfc를 이용한 종단간 보안 결제 제공 방법 및 시스템 | |
| KR20230024327A (ko) | 보안 요소와 모바일 장치의 종단간 보안 페어링 | |
| KR102095011B1 (ko) | 안심 인증번호 서비스 제공 방법 | |
| KR20110029036A (ko) | 공인 인증서 원격 폐기처리 방법 및 시스템과 이를 위한 기록매체 | |
| KR20140080904A (ko) | 무매체 결제를 위한 결제수단 등록 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |