CN115348569A - 用于电子锁的预定访问控制 - Google Patents

用于电子锁的预定访问控制 Download PDF

Info

Publication number
CN115348569A
CN115348569A CN202210451570.7A CN202210451570A CN115348569A CN 115348569 A CN115348569 A CN 115348569A CN 202210451570 A CN202210451570 A CN 202210451570A CN 115348569 A CN115348569 A CN 115348569A
Authority
CN
China
Prior art keywords
wireless device
temporary
irk
access
during
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210451570.7A
Other languages
English (en)
Inventor
L·维尔马
A·亚达夫
J·S·哈默施密特
A·F·纳奎布
S·K·扬
Y·利-加尼翁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Apple Inc
Original Assignee
Apple Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Apple Inc filed Critical Apple Inc
Publication of CN115348569A publication Critical patent/CN115348569A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00412Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal being encrypted
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2209/00Indexing scheme relating to groups G07C9/00 - G07C9/38
    • G07C2209/08With time considerations, e.g. temporary activation, valid time window or time limitations
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2209/00Indexing scheme relating to groups G07C9/00 - G07C9/38
    • G07C2209/60Indexing scheme relating to groups G07C9/00174 - G07C9/00944
    • G07C2209/63Comprising locating means for detecting the position of the data carrier, i.e. within the vehicle or within a certain distance from the vehicle

Abstract

本公开涉及用于电子锁的预定访问控制。本文描述了支持用于电子锁的预定访问控制的方法和装置。起始中央无线设备获得临时身份解析密钥(IRK)以用于解析外围无线设备的临时可解析私有地址(RPA)。起始中央无线设备随后可以安全连接到外围无线设备,以便解锁由外围无线设备控制的电子锁,从而在预定时间段期间获得访问。临时IRK和临时RPA可以在有限的时间段内使用和/或在预定时间段期间使用预先确定的次数。

Description

用于电子锁的预定访问控制
技术领域
所描述的实施方案整体涉及无线通信,包括支持用于电子锁的预定访问控制的方法和装置。起始中央无线设备可获得临时身份解析密钥(IRK)以用于解析外围无线设备的临时可解析私有地址(RPA)。起始中央无线设备随后可以安全连接到外围无线设备,以便解锁由外围无线设备控制的电子锁,从而在预定时间段期间访问例如可访问的位置。
背景技术
最近的技术进步已将各种无线无线电接入技术(RAT)集成到单个多功能无线设备中。专用的单功能无线设备正被能够使用各种RAT通信的多功能无线设备替换和/或补充。另外,无线通信能力正被集成到各种系统中,包括那些使用传统机械功能的系统,诸如用于可访问位置或车辆的访问进入控制。用户可以将中央无线设备(例如,智能手机)与外围无线设备(例如,电子锁)配对,以便控制电子锁的功能,诸如解锁以授权对位置的访问以及锁定以限制对位置的访问。配对的中央无线设备和电子锁可以允许基于配对的中央无线设备与电子锁的接近度来自动解锁和/或锁定。第三方服务(诸如送货、清洁、维护或护理服务)可能无法在不知道用于解析电子锁的私人地址的私钥的情况下访问位置,其中私人地址随时间变化以提供隐私保护。
发明内容
所描述的实施方案整体涉及无线通信,包括支持用于电子锁的预定访问控制的方法和装置。起始中央无线设备可获得临时身份解析密钥(IRK)以用于解析外围无线设备的临时可解析私有地址(RPA),该临时RPA基于该临时IRK。起始中央无线设备随后可以安全连接到外围无线设备,以便解锁由外围无线设备控制的电子锁,从而在预定时间段期间访问例如可访问的位置。在本说明书中,电子锁可以是任何形式的锁或访问控制(包括电动的、电子的、机电式的、软件控制的、报警式的等),其被应用以限定或以其它方式限制/控制对资源(例如位置、区域、设备、商品等)的访问。
本文描述了用于对访问控制机制(例如,电子锁)安排访问控制的方法、设备和装置,该访问控制机制嵌入在外围无线设备中以允许中央无线设备被外围无线设备授权访问控制。访问控制机制可以安装在访问进入端口中,例如可访问位置(例如房间、家庭、车库、储藏室等)的门。在安装访问控制机制期间和/或之后,用户可以例如基于蓝牙低功耗(BLE)配对过程来使用户的中央无线设备与外围无线设备配对,以允许启用访问控制机制(例如,锁定该锁)以及停用访问控制机制(例如,解锁该锁)。BLE配对过程可以包括建立静态共享密钥(例如身份解析密钥(IRK))以及中央无线设备与外围无线设备之间的认证密钥的交换,以允许访问控制机制的基于接近度的自动控制。与静态IRK不同,外围无线设备获得临时IRK,该临时IRK可以由一个或多个指定的第三方在指定的预定时间段期间使用。临时IRK可由外围无线设备生成或由外部实体提供给外围无线设备。临时IRK可以被提供给中央无线设备,以在预定时间段期间由寻求访问例如可访问位置的预定服务的服务代表来使用。临时IRK在预定时间段期间可以是有效的,并且可以在预定时间段之前和/或之后无效。外围无线设备广播通告包,该通告包包括基于预定时间段期间的临时IRK的临时可解析私人地址(RPA)。服务代表的中央无线设备可以基于对临时IRK的知晓来解析临时RPA。服务代表的中央无线设备随后可以与外围无线设备建立安全BLE连接。在一些实施方案中,中央无线设备和外围无线设备可执行安全测距设置以允许服务代表的中央无线设备与外围无线设备之间的安全接近度检测。外围无线设备可以例如通过响应于在成功建立安全BLE连接之后来自服务代表的中央无线设备的请求和/或基于确定在建立安全BLE连接之后服务代表的中央无线设备到外围无线设备的接近度来禁用访问进入端口的访问控制机制从而授权访问。在一些实施方案中,临时IRK和相关联的临时RPA仅在限定时间段内有效,例如,在预定时间段期间但不在预定时间段之前或之后。在一些实施方案中,临时IRK和相关联的临时RPA仅对在预定时间段期间建立的有限数量的安全BLE连接有效。在一些实施方案中,临时IRK和相关联的临时RPA仅在预定时间段期间对有限数量的访问控制机制禁用有效。在一些实施方案中,外围无线设备生成临时IRK并且例如经由到与服务代表的中央无线设备相关联的基于网络的服务器的安全互联网协议(IP)连接将临时IRK安全地提供给服务代表的中央无线设备。在一些实施方案中,与服务代表的中央无线设备相关联的基于网络的服务器生成临时IRK并且将临时IRK提供给服务代表的中央无线设备和外围无线设备。在一些实施方案中,临时IRK被提供给由不同服务代表使用的多个中央无线设备,例如,与在预定时间段期间寻求访问的公共服务相关联的中央无线设备,或与在预定时间段期间(或者在非重叠或部分重叠的预定时间段期间)各自寻求访问的不同服务相关联的中央无线设备。在一些实施方案中,将不同的临时IRK提供给由相同服务或由不同服务使用的不同中央无线设备,并且外围无线设备广播不同的通告包,该通告包包括基于与不同临时IRK中的每一个相关联的相应预定时间段期间的相应临时IRK的临时RPA。
根据结合附图而进行的以下详细描述,本公开的其他方面和优点将变得显而易见,所述附图以举例的方式示出所描述的实施方案的原理。
提供本发明内容仅用于概述一些示例性实施方案的目的,以便提供对本文所述主题的一些方面的基本理解。因此应当理解,上述特征仅为示例,并且不应解释为以任何方式缩窄本文所描述的主题的范围。本文所描述的主题的其它特征、方面和优点将通过以下具体实施方式、附图和权利要求书而变得显而易见。
附图说明
本公开通过下面结合附图的具体描述将更易于理解,其中类似的附图标记表示类似的结构元件。
图1示出了根据一些实施方案的可被配置为利用多种无线电接入技术通信的示例性中央无线设备。
图2示出了根据一些实施方案的示例性无线个人局域网(WPAN)系统,该系统包括中央无线设备和容纳在可访问位置的访问进入端口中的外围无线设备。
图3示出了根据一些实施方案的蓝牙低功耗(BLE)配对过程的示例。
图4示出了根据一些实施方案的用于在中央无线设备与外围无线设备之间建立安全BLE连接以允许使用所有者的静态身份解析密钥(IRK)访问车辆的消息的示例性序列。
图5A、图5B和图5C示出了根据一些实施方案的用于在中央无线设备与外围无线设备之间建立安全BLE连接以基于临时IRK授权访问的消息的示例性序列。
图6示出了根据一些实施方案的由中央无线设备执行以使用临时IRK获得访问的示例性方法。
图7示出了根据一些实施方案的用于实施本文所公开的实施方案的示例性装置。
具体实施方式
在该部分描述了根据本申请的方法与装置的代表性应用。提供这些示例仅为了添加上下文并有助于理解所描述的实施方案。因此,对于本领域的技术人员而言将显而易见的是,可在没有这些具体细节中的一些或全部的情况下实践所述实施方案。在其他情况下,为了避免不必要地模糊所述实施方案,未详细描述熟知的处理步骤。其他应用是可能的,使得以下示例不应被当作是限制性的。
在以下详细描述中,参考了形成说明书的一部分的附图,并且在附图中以例示的方式示出了根据所述实施方案的具体实施方案。虽然这些实施方案被描述得足够详细,以使本领域的技术人员能够实践所述实施方案,但是应当理解,这些示例不是限制性的;使得可以使用其他实施方案,并且可以在不脱离所述实施方案的实质和范围的情况下作出修改。
所描述的实施方案整体涉及无线通信,包括支持用于访问进入机制例如电子锁的预定访问控制的方法和装置。起始中央无线设备可获得临时身份解析密钥(IRK)以用于解析外围无线设备的临时可解析私有地址(RPA)。起始中央无线设备随后可以安全连接到外围无线设备,以便解锁由外围无线设备控制的电子锁,从而在预定时间段期间访问例如可访问的位置。
本文描述了用于对访问控制机制(例如,电子锁)安排访问控制的方法、设备和装置,该访问控制机制嵌入在外围无线设备中以允许中央无线设备被外围无线设备授权访问控制。访问控制机制可以安装在访问进入端口中,例如可访问位置(例如房间、家庭、车库、储藏室等)的门。在安装包括嵌入其中的外围无线设备的访问控制机制期间和/或之后,用户可例如基于蓝牙低功耗(BLE)配对过程将用户的中央无线设备与外围无线设备进行配对。在完成BLE配对过程之后,可以允许用户的中央无线设备启用访问控制机制(例如,通过锁定该锁)和禁用访问控制机制(例如,通过解锁该锁)。BLE配对过程可以包括建立在用户的中央无线设备与访问控制机制的外围无线设备之间共享的静态密钥,例如,身份解析密钥(IRK)。BLE配对过程还可包括用户的中央无线设备与外围无线设备之间的认证密钥的交换,以允许访问控制机制的基于接近度的自动控制(例如,锁定和解锁)。
用户还可以寻求与一个或多个第三方(例如,与在预定时间段期间尝试访问的预定服务的服务代表)共享由外围无线设备的访问控制机制管理的访问。用户将不会与预定服务共享静态IRK,以便基于静态IRK维持访问的控制。相反,用户获得并使用在预定时间段期间由用户指定的一个或多个第三方使用的临时(暂时)IRK。外围无线设备通过生成临时IRK或经由安全通信信道从另一设备接收临时IRK来获得临时IRK,该临时IRK可以在指定的预定时间段期间被使用。临时IRK可以被提供给在预定时间段期间寻求访问例如可访问位置的预定服务的服务代表的中央无线设备。在一些实施方案中,外围无线设备生成临时IRK并且例如经由到与服务代表的中央无线设备相关联的基于网络的服务器的安全互联网协议(IP)连接将临时IRK安全地提供给服务代表的中央无线设备。在一些实施方案中,与服务代表的中央无线设备相关联的基于网络的服务器生成临时IRK并且将临时IRK提供给服务代表的中央无线设备和外围无线设备。在一些实施方案中,第三方设备例如用户的中央无线设备生成临时IRK并且将临时IRK提供给服务代表的中央无线设备和外围无线设备。在各种实施方案中,可以在预定时间段之前和/或在预定时间段期间生成和/或提供临时IRK。在一些实施方案中,可以调整预定时间段。临时IRK在预定时间段期间可以是有效的。
外围无线设备可以广播一个或多个通告包,该通告包包括基于预定时间段期间的临时IRK的临时可解析私人地址(RPA)。外围无线设备也可以广播一个或多个通告包,该通告包包括基于预定时间段期间的静态IRK的单独的RPA。服务代表的中央无线设备无法解析基于静态IRK的单独的RPA,因为代表的中央无线设备缺乏对静态IRK的知晓。服务代表的中央无线设备可以基于对临时IRK的知晓来解析临时RPA。服务代表的中央无线设备随后可以基于对临时RPA的解析来与外围无线设备建立安全BLE连接。在一些实施方案中,中央无线设备和外围无线设备可执行安全测距设置以允许服务代表的中央无线设备与外围无线设备之间的安全接近度检测。外围无线设备可以例如通过响应于在成功建立安全BLE连接之后来自服务代表的中央无线设备的请求和/或基于确定在建立安全BLE连接之后服务代表的中央无线设备到外围无线设备的接近度来禁用访问进入端口的访问控制机制从而授权访问。
在一些实施方案中,临时IRK和相关联的临时RPA仅在限定时间段内有效,例如,在预定时间段期间但不在预定时间段之前或之后。在一些实施方案中,临时IRK和相关联的临时RPA仅对在预定时间段期间的有限数量的安全BLE连接有效。在一些实施方案中,临时IRK和相关联的临时RPA仅在预定时间段期间对有限数量的访问控制机制禁用有效。在一些实施方案中,临时IRK变得无效,外围无线设备授权访问。在一些实施方案中,在预定时间段之前和/或期间,服务代表的中央无线设备获得更新的临时IRK,并且在解析由外围无线设备广播的临时RPA之前利用更新的临时IRK替换该临时密钥。
在一些实施方案中,临时IRK被提供给可由不同服务代表使用的多个中央无线设备,其可以与在预定时间段期间寻求访问的公共服务相关联,或可以与在一个或多个预定时间段期间各自寻求访问的不同服务相关联。在一些实施方案中,在不同的预定时间段期间将相同的临时IRK提供给由不同服务代表使用的多个中央无线设备,该时间段可以在时间上不重叠或重叠。在相应的预定时间段期间,外围无线设备基于与其相应的预定时间段相关联的临时IRK来广播临时RPA。外围无线设备可以广播重复循环与多个临时IRK相关联的多个临时RPA的通告包,以允许服务代表的中央无线设备接收通告包,该通告包包括与先前提供给服务代表性的中央无线设备的临时IRK相关联的临时RPA。在一些实施方案中,将不同的临时IRK提供给由相同服务使用或由不同服务使用的不同中央无线设备,并且外围无线设备广播通告包,该通告包包括基于与不同临时IRK中的每一个相关联的相应预定时间段期间的临时IRK的临时RPA。在一些实施方案中,不同的临时IRK中的每一个对于相同的预定时间段是有效的,而在其它实施方案中,不同的临时IRK中的每一个对于不同的可能重叠的预定时间段是有效的。在一些实施方案中,相同的临时IRK或不同的临时IRK的使用可以取决于被预定为获得访问的服务。在一些实施方案中,相同的临时IRK或不同的临时IRK的使用取决于访问控制机制的电池电平。在一些实施方案中,外围无线设备在一个或多个预定时间段期间针对较低的电池电平(例如,低于预先确定的功率阈值电平)广播基于不同的临时IRK的较少不同的临时RPA(可能包括基于单个临时IRK的单个临时RPA)。例如,当外围无线设备的电池电平低于预先确定的功率阈值电平时,外围无线设备可以向一个或多个服务提供单个临时IRK,并且在针对一个或多个服务中的每一个的预定时间段期间广播包括基于单个临时IRK的单个临时RPA的通告包。这种情形允许在预定时间段期间广播较少不同通告包,这可以节省外围无线设备的电池功率。在一些实施方案中,外围无线设备被配置为在一个或多个预定时间段期间针对较高的电池电平(例如,高于预先确定的功率阈值电平)允许广播基于不同的临时IRK的更大数量的不同临时RPA。这种情形允许更大的隐私和安全性,因为每个服务在预定时间段期间与不同的有限使用的临时IRK相关联。
下面参考图1至图7来讨论这些和其他实施方案;然而,本领域的技术人员将容易地理解,本文相对于这些附图的所给出的详细描述仅出于说明性目的并且不应理解为限制性的。
图1示出了用于无线设备102的示例性组重叠无线网络的图示100。无线设备102能够包括硬件和软件的组合,以使用一个或多个不同的无线网络来单独地、个别地或组合地诸如经由该组重叠网络提供无线连接。无线设备102能够代表具有无线通信能力的设备,诸如智能电话(例如,
Figure BDA0003617338790000081
)、平板设备(例如,
Figure BDA0003617338790000082
)、可穿戴计算设备(例如,AppleWatchTM)、便携式媒体播放器(例如,
Figure BDA0003617338790000083
)、膝上型计算机(例如,
Figure BDA0003617338790000084
)、台式计算机(例如,
Figure BDA0003617338790000085
)、数字媒体服务器/扩展器(例如,Apple
Figure BDA0003617338790000086
)以及其他可能设备。
无线设备102能够包括硬件、软件和/或固件的组合,以使用无线个人局域网(WPAN)104来提供通信,该无线个人局域网能够在有限距离上操作的同时提供有功率效率的连接。WPAN 104连接通常能够将无线设备102连接到外围和相关联无线设备,诸如头戴式耳机、听筒、补充显示设备以及补充输入/输出设备。代表性WPAN 104能够根据由蓝牙特别兴趣小组(SIG)标准组织指定的通信协议(例如经典
Figure BDA0003617338790000088
和/或蓝牙低功耗(BLE))和/或由Apple Inc.指定的通信协议(诸如Apple无线直接链接(AWDL))来操作。
无线设备102还能包括硬件、软件和/或固件的组合,以使用WLAN106提供通信,所述WLAN相比WPAN 104能够提供更高的数据速率和更大的操作范围。无线设备102能够包括用于WPAN 104和WLAN 106的独立和/或共享的硬件、软件和/或固件元件。WPAN 104和WLAN106两者均可作为“局域”无线网络操作。代表性WLAN 106能够根据电气和电子工程师协会(IEEE)标准组织指定的通信协议(诸如IEEE 802.11无线标准系列,在一些版本中也可以称为
Figure BDA0003617338790000087
)来操作。
无线设备102还能包括附加硬件、软件和/或固件以提供无线广域网(WWAN)108的能力,诸如与一个或多个蜂窝无线网络互连。无线设备102能够通过其无线联网能力使用一个或多个连接提供大量服务。
图2示出了包括中央无线设备102的示例性WPAN 104系统的图200,该中央无线设备可以与容纳在可访问位置206的访问进入端口204中的外围无线设备202通信。中央无线设备102也可以称为无线设备、第一无线设备、请求无线设备、起始无线设备等。外围无线设备202也可以称为无线设备、第二无线设备、另一无线设备、响应无线设备等。中央无线设备102和外围无线设备202可以例如在成功的蓝牙低功耗(BLE)配对过程之后经由WPAN 104建立安全连接。外围无线设备202可以控制用于访问进入端口204(例如,门)的访问控制机制(例如,电子锁),其允许访问可访问位置206(例如,房间、家庭、车库、储藏室等)。当中央无线设备102在外围无线设备202的接近度之内并且可以成功地解析包括在由外围无线设备202广播的通告包中的可解析的私人地址(RPA)时,可以允许访问。控制对可访问位置206的访问的外围无线设备202的用户可以将其自身的中央无线设备102与外围无线设备202进行配对,并且建立共享密钥例如静态身份解析密钥(IRK)以及用于认证和/或安全连接建立的交换加密密钥。外围无线设备202可以广播基于静态IRK的RPA,并且中央无线设备102可以使用由外围无线设备202共享的静态IRK来解析RPA。用户的中央无线设备102可以识别外围无线设备202而不需要附加的BLE配对过程。BLE支持一个隐私特征,其通过频繁改变RPA来减少一段时间内的设备身份跟踪。RPA可以基于根据先前BLE配对的中央无线设备102已知的静态IRK,并且外围无线设备202可以基于用户的中央无线设备102与外围无线设备202的接近度来授权经由访问进入端口204访问可访问位置206。
对于不由与外围无线设备202相关联的用户拥有的不同中央无线设备102,例如用于预定服务的服务代表的中央无线设备102,用户可以避免共享静态IRK以维持静态IRK的保密性。相反,如本文进一步讨论的,外围无线设备202可以经由安全的带外通信(即,经由与经由WPAN 104不同的通信)与服务代表的中央无线设备102共享临时(暂时)IRK。例如,外围无线设备202可以经由安全互联网协议(IP)通信(未示出)向与预定服务相关联的后端服务器208提供临时IRK。服务代表的中央无线设备102可以例如经由WWAN 108、经由WLAN 106或经由另一安全通信链路(未示出)从后端服务器208获得共享的临时IRK。
图3示出了两个无线设备之间(例如中央无线设备102与外围无线设备202之间)的示例性蓝牙低功耗(BLE)配对过程的阶段的图300。在BLE配对过程的发现302阶段期间,中央无线设备102和外围无线设备202基于由相应无线设备广播的通告包的传输和接收来发现彼此的存在。在能力交换304阶段期间,中央无线设备102和外围无线设备202传递关于其针对通信的相应设备能力和偏好的能力信息。在密钥生成和安全连接建立306阶段期间,中央无线设备102和外围无线设备202生成用于建立安全连接和认证目的的加密密钥。在任选的密钥分布和键合308阶段期间,中央无线设备102和外围无线设备202可以交换用于长期自动连接建立的加密密钥。
图4示出了示例性安全蓝牙低功耗(BLE)连接过程的图400,该连接过程使用车辆所有者的静态IRK以在预定时间段期间允许车辆所有者的伙伴对车辆406的访问。在该预定时间段之前,在408处,车辆所有者的中央无线设备402-1可以与伙伴的中央无线设备402-2共享静态IRK和其它数字密钥有效负载信息,例如以在该预定时间段期间允许车辆所有者的伙伴访问车辆。在408处,车辆所有者的中央无线设备402-1可以经由与一个或多个基于网络的后端服务器的安全连接与伙伴的中央无线设备402-2共享静态IRK和其它数字密钥有效负载信息。在预定时间段期间,在410处,车辆406的外围无线设备404可以传输蓝牙低功耗(BLE)通告包,该BLE通告包包括车辆406的外围无线设备404的可解析的私人地址(RPA),该RPA基于先前与伙伴的中央无线设备402-2共享的车辆所有者的静态IRK。静态IRK可以由伙伴的中央无线设备402-2使用以解析包括在BLE发现302阶段期间由车辆406的外围无线设备404广播的一个或多个通告包中的可解析的私人地址(RPA)。知晓静态IRK的车辆所有者的中央无线设备402-1和伙伴的中央无线设备402-2两者均可以解析蓝牙LE通告包中的RPA,例如,在412处,针对车辆所有者的中央无线设备402-1,或在414处,针对伙伴的中央无线设备402-2。从RPA导出的外围无线设备404的蓝牙地址可以由伙伴的中央无线设备402-2使用,以在预定时间段期间在416处建立与外围无线设备404的蓝牙连接。伙伴的中央无线设备402-2随后可以在418处执行安全测距设置过程以允许伙伴的中央无线设备402-2与外围无线设备404之间的接近度检测,例如距离和到达角。当外围无线设备404包括在车辆406的数字密钥锁定机制中时,在418处的安全测距设置和416处的BLE安全连接建立之后,伙伴的中央无线设备402-2可以与外围无线设备404通信,以使得车辆406的锁被禁用以便提供到车辆406的访问。然而,图4中所示的过程可经受隐私和安全问题,诸如由恶意第三方扫描设备执行以获得和/或使用对车辆所有者的静态IRK的知晓。因此,使用静态IRK在预定时间段期间提供访问不是优选的,而是如本文进一步讨论的将使用临时IRK。
图5A示出了用于在服务代表的中央无线设备502与外围无线设备202之间建立安全BLE连接以基于使用临时IRK来在预定时间段期间授权对可访问位置206的访问的消息的示例性序列的图500。外围设备202可以包括在访问进入端口204中,例如可访问位置206(例如房间、家庭、车库、储藏室等)的门。外围无线设备202可以为嵌入在外围无线设备202中的访问控制机制(例如,电子锁)预定访问控制,以允许服务代表的中央无线设备502被授权由外围无线设备202控制的可访问位置206的访问权限。在可以授权访问的预定共享时间段之前,外围无线设备202在504处可以生成临时IRK。在506处,外围无线设备202可以经由基于网络的后端服务器208与服务代表的中央无线设备502共享临时IRK。在一些实施方案中,外围无线设备202经由安全互联网协议(IP)连接将临时IRK传递到后端服务器208。在一些实施方案中,外围无线设备202与单独的设备(未示出)共享临时IRK,例如所有者的中央无线设备或互联网连接的设备诸如接入点,外围无线设备202可以与其通信,以便使单独的设备将临时IRK转发到基于网络的后端服务器208。在一些实施方案中,基于网络的后端服务器208由服务管理,该服务与服务代表的中央无线设备102相关联502,并且可访问位置206(和外围无线设备202)的用户/所有者可以为其寻求允许服务代表被授权在预定共享时间段期间访问可访问位置206。
在预定时间段期间,在508处,外围无线设备202可以广播蓝牙低功耗(BLE)通告(通告包),该BLE通告包括外围无线设备202的可解析的私人地址(RPA),该可解析的私人地址基于由外围无线设备202的所有者维护的静态IRK。在510处,服务代表的中央无线设备502可能无法解析基于所有者的静态IRK的RPA,因为服务代表的中央无线设备502不知晓所有者的静态IRK。这与图4中所示的过程形成对比,其中伙伴的中央无线设备402-2知晓静态IRK。在512处,外围无线设备202可以广播不同的BLE通告,该不同的BLE通告包括外围无线设备202的临时RPA,该临时RPA基于在预定共享时间段之前先前经由安全的带外连接提供的临时IRK。如图5A所示,外围无线设备202可以广播不同的通告消息,该通告消息在预定共享时间段期间的不同时间处包括不同的RPA。在514处,服务代表的中央无线设备502可以基于对临时IRK的先前获得的知晓来解析外围无线设备202的临时RPA。在地址解析之后,在516处,服务代表的中央无线设备502可以与外围无线设备202建立安全BLE连接。在518处,服务代表的中央无线设备可以执行安全测距设置过程以允许服务代表的中央无线设备502与外围无线设备202之间的接近度检测,例如允许服务代表的中央无线设备502与外围无线设备202之间的距离和/或到达角测量。由于成功的临时RPA解析和后续的安全BLE连接建立和安全测距设置,外围无线设备202可以经由访问进入端口204(诸如基于来自服务代表的中央无线设备502的访问请求和/或基于接近度检测自动地)授权访问可访问位置206。
图5A中所示的过程可以提供保护以应对由未知的恶意第三方扫描设备带来的隐私和安全攻击,因为临时IRK可以限制在预定时间段期间使用和/或由外围无线设备202使用有限数量的访问授权。所有者的静态IRK保持保密,并且不与服务代表的中央无线设备502共享。外围无线设备202可以限制BLE通告消息仅在预定共享时间段期间出现并且在预定共享时间段之前或之后不出现,该BLE通告消息包括基于临时IRK的临时RPA。在一些实施方案中,在由服务代表的中央无线设备502成功解析临时RPA之后,外围无线设备202停止发送包括临时RPA的BLE通告消息。在一些实施方案中,在与服务代表的中央无线设备502成功建立安全BLE连接之后,外围无线设备202停止发送包括临时RPA的BLE通告消息。在一些实施方案中,在与服务代表的中央无线设备502成功建立安全BLE连接之后,外围无线设备202停止发送包括临时RPA的BLE通告消息。在一些实施方案中,在与服务代表的中央无线设备502的安全测距设置之后,外围无线设备202停止发送包括临时RPA的BLE通告消息。在一些实施方案中,在经由访问进入端口204向服务代表的中央无线设备502授权访问之后,外围无线设备202停止发送包括临时RPA的BLE通告消息。
在一些实施方案中,临时IRK被提供给由不同服务使用的多个不同服务代表的中央无线设备,针对该不同服务,可访问位置206的所有者寻求授权访问例如不同服务中的每一个,其中每个所述不同服务具有时间上可以不同、相同或重叠的单独的预定共享时间段。在一些实施方案中,将不同的临时IRK提供给不同服务以用于授权访问。在一些实施方案中,外围无线设备202广播使用不同的临时IRK的不同的BLE通告消息,以授权访问不同服务代表的中央无线设备502,这可以在共同或重叠的预定时间段期间或在不同的预定时间段期间发生。在一些实施方案中,外围无线设备202可以基于配置或偏好来针对不同服务使用公共的临时IRK,以节省外围无线设备202的电池功率电平,例如当外围无线设备202在低于预先确定的阈值电池功率电平下操作时。广播使用基于不同IRK(静态和临时)的不同RPA的较少通告包可以节省外围无线设备202的电池功率。在一些实施方案中,外围无线设备202可以允许基于外围无线设备202的电池功率电平来针对不通服务使用不同临时IRK,例如当外围无线设备202在高于预先确定的阈值电池功率电平下操作时。广播使用基于不同IRK(静态和临时)的不同RPA的更大数量的通告包可以需要外围无线设备202的更多功率,但是也可以提高安全性和私密性,因为每个服务可以被提供不同的、可识别的、有限使用的临时IRK。
在一些实施方案中,外围无线设备202针对特定临时IRK将BLE连接建立和/或访问授权限制为使用预先确定的次数,例如在预定时间段期间仅为一次性使用。在一些实施方案中,外围无线设备202在预定共享时间段期间基于特定的临时IRK允许多次不同的BLE连接建立和/或访问授权,例如允许服务代表的中央无线设备502在预定共享时间段期间获得多于一次的访问。在一些实施方案中,在预定时间段期间而不是在预定时间段之前向服务代表的中央无线设备提供临时IRK。在一些实施方案中,外围无线设备202例如通过在预定时间段之前和/或期间向服务代表的中央无线设备502提供更新的临时IRK来更新临时IRK,在这种情况下,在发送更新后的临时IRK之后将不再使用先前提供的临时IRK。在一些实施方案中,外围无线设备202在预定共享时间段之前向后端服务器208提供临时IRK,但是后端服务器208仅在预定时间段期间向服务代表的中央无线设备502提供临时IRK。
图5B示出了用于在服务代表的中央无线设备502与外围无线设备202之间建立安全BLE连接以基于使用临时IRK来在预定时间段期间授权对例如可访问位置206的访问的消息的示例性序列的图520。在522处,在可以授权访问的预定共享时间段之前,与针对其寻求授权访问的服务相关联的后端服务器可以生成临时IRK。在524处,后端服务器208可以例如经由安全IP连接与外围无线设备202共享临时IRK。在526处,后端服务器208可以进一步与服务代表的中央无线设备502共享临时IRK 522以供在预定时间段期间使用。在一些实施方案中,后端服务器208在预定时间段期间而不是在预定时间段之前向外围无线设备202和/或服务代表的中央无线设备502提供临时IRK。在预定时间段期间,外围无线设备广播一个或多个BLE通告消息,该一个或多个BLE通告消息包括用于外围无线设备的基于由后端服务器208提供的临时IRK的临时RPA。与图5A一样,服务代表的中央无线设备502可以解析临时RPA,建立BLE连接,并且完成安全测距操作以允许在预定共享时间段期间获得例如对可访问位置206的访问。图5A所涉及的动作和所描述的任选的变型也适用于图5B。
图5C示出了用于在服务代表的中央无线设备502与外围无线设备202之间建立安全BLE连接以基于使用临时IRK来在预定时间段期间授权对例如可访问位置206的访问的消息的另一示例性序列的图530。在可以授权访问的预定共享时间段之前,在534处,与外围无线设备202相关联的中间设备532可以生成临时IRK。在一些实施方案中,中间设备532可以是由外围无线设备202的所有者维护的另一无线设备102,例如所有者的中央无线设备102。在536处,中间设备532可以例如经由通过后端服务器208的安全IP连接与服务代表的中央无线设备502共享临时IRK。在一些实施方案中,中间设备532在第一时间处例如在预定共享时间段之前向后端服务器208提供临时IRK,并且后端服务器208例如在预定时间段之前或期间分别向服务代表的中央无线设备提供临时IRK。在538处,中间设备532与外围无线设备202共享临时IRK 522,以供在预定时间段期间使用。在一些实施方案中,中间设备532在预定时间段期间而不是在预定时间段之前向外围无线设备202和/或服务代表的中央无线设备502提供临时IRK。在预定时间段期间,外围无线设备广播一个或多个BLE通告消息,该一个或多个BLE通告消息包括用于外围无线设备的基于由后端服务器208提供的临时IRK的临时RPA。与图5A和图5B一样,服务代表的中央无线设备502可以解析临时RPA,建立安全BLE连接,并且完成安全测距操作以允许在预定共享时间段期间获得例如对可访问位置206的访问。图5A所涉及的动作和所描述的任选的变型也适用于图5C。
图6示出了由中央无线设备102执行以使用临时IRK获得例如对可访问位置206的访问的示例性方法的流程图600。在602处,中央无线设备102从除中央无线设备102之外的实体获得临时IRK。在604处,中央无线设备102在预定时间段期间从包括访问控制机制的外围无线设备202接收包括临时可解析的私人地址(RPA)的蓝牙低功耗(BLE)通告包。在606处,中央无线设备102解析至少基于临时IRK的临时RPA。在608处,中央无线设备102至少基于临时RPA来建立与外围无线设备202的安全连接。在610处,中央无线设备102在预定时间段期间向外围无线设备202传输请求访问控制机制授权例如对可访问位置206的访问的访问请求。在一些实施方案中,基于中央无线设备102与外围无线设备202的接近度来授权访问,需要或无需传输和/或接收访问请求。
在一些实施方案中,临时IRK在预定时间段期间是有效的。在一些实施方案中,临时IRK在预定时间段期间对预先确定的数量的访问控制授权是有效的。在一些实施方案中,预定时间段期间允许的预先确定的数量的访问控制授权是一个。在一些实施方案中,在外围无线设备基于临时IRK授权访问之后,临时IRK变得无效。在一些实施方案中:i)外围无线设备包括电子锁;ii)访问控制机制与电子锁相关联;并且iii)授权访问包括将电子锁配置为解锁状态。在一些实施方案中,中央无线设备102在预定时间段之前获得临时IRK。在一些实施方案中,中央无线设备102在预定时间段期间获得临时IRK。在一些实施方案中,临时IRK由外围无线设备202生成并且经由带外通信提供给中央无线设备102。在一些实施方案中,带外通信包括到与预定服务相关联的基于网络的服务器的安全互联网协议(IP)连接。在一些实施方案中,临时IRK由与预定服务相关联的基于网络的服务器例如后端服务器208生成,并且基于网络的服务器经由单独的、安全的带外通信向中央无线设备102和外围无线设备202两者提供临时IRK。在一些实施方案中,临时IRK由与外围无线设备202相关联的中间设备532生成,并且中间设备532经由单独的、安全的带外通信向中央无线设备102和外围无线设备202两者提供临时IRK。在一些实施方案中,该方法还包括中央无线设备102在预定时间段之前接收更新的临时IRK,并且在解析临时RPA之前用更新的临时IRK替换临时IRK。
在一些实施方案中,由外围无线设备202执行以用于经由与外围无线设备202相关联的访问控制机制控制的预定访问的方法包括:i)生成临时身份解析密钥(IRK);ii)生成基于临时IRK的临时可解析私人地址(RPA);iii)在预先确定的时间段期间传输蓝牙低功耗(BLE)通告包,其中该BLE通告包包括临时RPA;以及iv)响应于检测到请求无线设备102成功解析临时RPA:建立与请求无线设备102的安全连接,并且在预先确定的时间段期间响应于从请求无线设备102接收到访问请求而授权访问。
在一些实施方案中,临时IRK在预先确定的时间段期间是有效的。在一些实施方案中,临时IRK在预先确定的时间段期间对预先确定的数量的访问控制授权是有效的。在一些实施方案中,在外围无线设备202基于临时IRK授权访问之后,临时IRK变得无效。在一些实施方案中,外围无线设备202经由带外通信向请求无线设备102提供临时IRK。在一些实施方案中,带外通信包括到与预定服务相关联的基于网络的服务器的安全互联网协议(IP)连接。
在一些实施方案中,无线设备102包括处理电路,该处理电路包括存储指令的存储器和一个或多个处理器,该指令在由一个或多个处理器执行时使无线设备102执行包括以下项的动作:i)从除无线设备102之外的实体获得临时身份解析密钥(IRK);ii)在预定时间段期间从包括访问控制机制的第二无线设备202接收蓝牙低功耗(BLE)通告包,其中该BLE通告包包括临时可解析的私人地址(RPA);iii)解析至少基于临时IRK的临时RPA;iv)使用临时RPA建立与第二无线设备202的安全连接;以及v)在预定时间段期间向第二无线设备202传输请求访问控制机制授权例如对可访问位置206的访问的访问请求。在一些实施方案中,在成功的安全BLE连接建立和安全测距之后,基于无线设备102与第二无线设备202的接近度来授权访问。
图7示出了根据一些实施方案的可用于实现本文所述的各种方法的代表性计算设备700的详细视图。具体地讲,该详细视图示出了能够包括在无线设备102中的各种部件。如图7所示,计算设备700可包括表示微处理器的处理器702或用于控制计算设备700的总体操作的控制器。计算设备700还可包括用户输入设备708,该用户输入设备允许计算设备700的用户与计算设备700进行交互。例如,用户输入设备708能够采取多种形式,诸如按钮、小键盘、拨号盘、触摸屏、音频输入接口、视觉/图像捕获输入接口、传感器数据形式的输入部等。更进一步地,计算设备700能够包括可以由处理器702控制以向用户显示信息的显示器710。数据总线716可促进至少存储设备740、处理器702和控制器713之间的数据传输。控制器713可用于通过装备控制总线714来与不同装备进行交互并对其进行控制。计算设备700还可包括通信地耦接至数据链路712的网络/总线接口711。在无线连接的情况下,网络/总线接口711可包括无线收发器。
计算设备700还包括存储设备740,该存储设备可包括单个磁盘或多个磁盘(例如,硬盘驱动器),并且包括管理存储设备740内的一个或多个分区的存储管理模块。在一些实施方案中,存储设备740可包括闪存存储器、半导体(固态)存储器等。计算设备700还可包括随机存取存储器(RAM)720和只读存储器(ROM)722。ROM 722可存储将以非易失性方式执行的程序、实用程序或进程。RAM 720可提供易失性数据存储并存储与计算设备700的操作相关的指令。计算设备700可以进一步包括安全元件(SE)750,其可以表示用于蜂窝无线访问控制客户端的安全存储装置,诸如用户身份模块(SIM)或电子SIM,以供由无线设备102用于建立WWAN 108连接。
无线术语
根据本文所述的各种实施方案,术语“无线通信设备”、“无线设备”、“移动设备”、“移动站”、和“用户装备(UE)”在本文中可互换使用,以描述可能够执行与本公开的各种实施方案相关联的过程的一个或多个普通的消费电子设备。根据各种具体实施,这些消费电子设备中的任一者可涉及:蜂窝电话或智能电话、平板电脑、膝上型计算机、笔记本计算机、个人计算机、上网本计算机、媒体播放器设备、电子书设备、
Figure BDA0003617338790000181
设备、可穿戴计算设备,以及具有无线通信能力的任何其他类型的电子计算设备,该无线通信能力能够包括经由一种或多种无线通信协议的通信,这些无线通信协议诸如用于在以下网络上进行通信:无线广域网(WWAN)、无线城域网(WMAN)、无线局域网(WLAN)、无线个人区域网(WPAN)、近场通信(NFC)、蜂窝无线网络、第四代(4G)长期演进(LTE)、高级LTE(LTE-A)以及/或者第五代(5G)或其他当前或将来开发的下一代(NG)高级蜂窝无线网络。
在一些实施方案中,无线通信设备还可作为无线通信系统的一部分来操作,该无线通信系统可包括也可被称为站、客户端无线设备、或客户端无线通信设备的一组客户端设备,其被互连到接入点(AP)例如作为WLAN的一部分,和/或彼此互连例如作为WPAN和/或“自组织”无线网络的一部分。在一些实施方案中,客户端设备可为能够经由WLAN技术(例如,根据无线局域网通信协议)来进行通信的任何无线通信设备。在一些实施方案中,WLAN技术可包括Wi-Fi(或更一般地,WLAN)无线通信子系统或无线电部件,该Wi-Fi无线电部件可实施电气电子工程师协会(IEEE)802.11技术,诸如以下中的一种或多种:IEEE 802.11a;IEEE802.11b;IEEE 802.11g;IEEE 802.11-2007;IEEE 802.11n;IEEE 802.11-2012;IEEE802.11ac;或其他当前或将来开发的IEEE 802.11技术。
另外,应当理解,本文所述的无线设备可被配置为也能够经由不同的第三代(3G)和/或第二代(2G)RAT进行通信的多模无线通信设备。在这些情形下,多模无线设备能够被配置为与提供较低数据速率吞吐量的其他3G传统网络相比更偏好附接到提供较快数据速率吞吐量的LTE网络。例如,在一些具体实施中,多模无线设备可以被配置为在LTE和LTE-A网络不可用时回退到3G传统网络,例如演进型高速分组接入(HSPA+)网络或码分多址(CDMA)2000演进-仅数据(EV-DO)网络。
众所周知,使用个人可识别信息应遵循公认为满足或超过维护用户隐私的行业或政府要求的隐私政策和做法。具体地,应管理和处理个人可识别信息数据,以使无意或未经授权的访问或使用的风险最小化,并应当向用户明确说明授权使用的性质。
可单独地或以任何组合使用所述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实施所述实施方案的各个方面。所述实施方案也可体现为计算机可读介质上的计算机可读代码。计算机可读介质为可存储数据的任何数据存储设备,其后该数据可由计算机系统读取。计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、HDD、DVD、磁带和光学数据存储设备。计算机可读介质也可分布在网络耦接的计算机系统中,使得计算机可读代码以分布的方式被存储和执行。
为了说明的目的,前述描述使用具体命名以提供对所述实施方案的彻底理解。然而,对于本领域的技术人员而言将显而易见的是,不需要具体细节,以便实践所述实施方案。因此,具体实施方案的前述描述被呈现用于例示和描述的目的。前述描述不旨在为穷举性的或将所述的实施方案限制为所公开的精确形式。对于本领域的普通技术人员而言将显而易见的是,鉴于上面的教导内容,许多修改和变型是可行的。

Claims (20)

1.一种用于经由访问控制机制预定访问的方法,所述方法包括:
由中央无线设备:
从除了所述中央无线设备之外的实体获得临时身份解析密钥(IRK);
在预定时间段期间从包括所述访问控制机制的外围无线设备接收蓝牙低功耗(BLE)通告包,所述BLE通告包包括临时可解析的私人地址(RPA);
解析至少基于所述临时IRK的所述临时RPA;
使用所述临时RPA建立与所述外围无线设备的安全连接;以及
在所述预定时间段期间向所述外围无线设备传输请求所述访问控制机制以授权访问的访问请求。
2.根据权利要求1所述的方法,其中所述临时IRK仅在所述预定时间段期间是有效的。
3.根据权利要求1所述的方法,其中所述临时IRK在所述预定时间段期间对于预先确定的数量的访问控制授权是有效的。
4.根据权利要求3所述的方法,其中所述预定时间段期间允许的所述预先确定的数量的访问控制授权是一个。
5.根据权利要求1所述的方法,其中在所述访问控制机制基于所述临时IRK授权访问之后,所述临时IRK变得无效。
6.根据权利要求1所述的方法,其中:
所述外围无线设备包括电子锁;
所述访问控制机制与所述电子锁相关联;并且
授权访问包括将所述电子锁配置为解锁状态。
7.根据权利要求1所述的方法,其中所述中央无线设备在所述预定时间段之前获得所述临时IRK。
8.根据权利要求1所述的方法,其中所述中央无线设备在所述预定时间段期间获得所述临时IRK。
9.根据权利要求1所述的方法,其中:
所述临时IRK由所述外围无线设备生成;并且
所述外围无线设备经由带外通信向所述中央无线设备提供所述临时IRK。
10.根据权利要求9所述的方法,其中所述带外通信包括到与预定服务相关联的基于网络的服务器的安全互联网协议(IP)连接。
11.根据权利要求1所述的方法,其中:
所述临时IRK由与预定服务相关联的基于网络的服务器生成;并且
所述基于网络的服务器经由相应单独的且安全的带外通信向所述中央无线设备和所述外围无线设备提供所述临时IRK。
12.根据权利要求1所述的方法,
其中:
所述临时IRK由与所述外围无线设备相关联的中间设备生成;并且
所述中间设备经由相应单独的且安全的带外通信向所述中央无线设备和所述外围无线设备提供所述临时IRK。
13.根据权利要求1所述的方法,还包括:
由所述中央无线设备在所述预定时间段之前接收更新的临时IRK,以及
在解析所述临时RPA之前用所述更新的临时IRK替换所述临时IRK。
14.一种用于使用外围无线设备的访问控制机制预定访问的方法,所述方法包括:
由所述外围无线设备:
生成临时身份解析密钥(IRK);
生成至少基于所述临时IRK的临时可解析私人地址(RPA);
在预先确定的时间段期间传输蓝牙低功耗(BLE)通告包,所述BLE通告包包括所述临时RPA;以及
响应于请求无线设备检测到所述临时RPA的成功解析:
建立与所述请求无线设备的安全连接,以及
在所述预先确定的时间段期间响应于从所述请求无线设备接收到访问请求而授权访问。
15.根据权利要求14所述的方法,其中所述临时IRK在所述预先确定的时间段期间是有效的。
16.根据权利要求14所述的方法,其中所述临时IRK在所述预先确定的时间段期间对于预先确定的数量的访问控制授权是有效的。
17.根据权利要求14所述的方法,其中在所述外围无线设备基于所述临时IRK授权访问之后,所述临时IRK变得无效。
18.根据权利要求14所述的方法,其中所述外围无线设备经由带外通信向所述请求无线设备提供所述临时IRK。
19.根据权利要求18所述的方法,其中所述带外通信包括到与预定服务相关联的基于网络的服务器的安全互联网协议(IP)连接。
20.一种无线设备,所述无线设备包括:
处理电路,所述处理电路包括一个或多个处理器和存储指令的存储器,所述指令在由所述一个或多个处理器执行时使得所述无线设备执行包括以下项的动作:
从除了所述无线设备之外的实体获得临时身份解析密钥(IRK);
在预定时间段期间从包括访问控制机制的第二无线设备接收蓝牙低功耗(BLE)通告包,所述BLE通告包包括临时可解析的私人地址(RPA);
解析至少基于所述临时IRK的所述临时RPA;
使用所述临时RPA建立与所述第二无线设备的安全连接;以及
在所述预定时间段期间向所述第二无线设备传输请求所述访问控制机制以授权访问的访问请求。
CN202210451570.7A 2021-04-27 2022-04-26 用于电子锁的预定访问控制 Pending CN115348569A (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US202163180593P 2021-04-27 2021-04-27
US63/180,593 2021-04-27
US17/660,629 US20220343705A1 (en) 2021-04-27 2022-04-25 Scheduled access control for an electronic lock
US17/660,629 2022-04-25

Publications (1)

Publication Number Publication Date
CN115348569A true CN115348569A (zh) 2022-11-15

Family

ID=83693383

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210451570.7A Pending CN115348569A (zh) 2021-04-27 2022-04-26 用于电子锁的预定访问控制

Country Status (2)

Country Link
US (1) US20220343705A1 (zh)
CN (1) CN115348569A (zh)

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130259230A1 (en) * 2012-03-29 2013-10-03 Broadcom Corporation Bluetooth Low Energy Privacy
US9704314B2 (en) * 2014-08-13 2017-07-11 August Home, Inc. BLE/WiFi bridge that detects signal strength of Bluetooth LE devices at an exterior of a dwelling
TWI658717B (zh) * 2013-10-01 2019-05-01 瑞士商伊文修股份有限公司 存取控制方法、存取控制系統及電腦可讀取儲存媒體
US11087572B2 (en) * 2015-05-01 2021-08-10 Assa Abloy Ab Continuous authentication
US20180262891A1 (en) * 2015-06-11 2018-09-13 3M Innovative Properties Company Electronic access control systems and methods using near-field communications, mobile devices and cloud computing
US9792747B2 (en) * 2015-06-22 2017-10-17 Allegion, Inc. Multifunctional access control device
US10068397B2 (en) * 2016-04-06 2018-09-04 Guardtime IP Holdings, Ltd. System and method for access control using context-based proof
US10475264B2 (en) * 2017-08-14 2019-11-12 Q & K International Group Limited Application method of Bluetooth low-energy electronic lock based on built-in offline pairing passwords, interactive unlocking method of a Bluetooth electronic lock and electronic lock system
US10498538B2 (en) * 2017-09-25 2019-12-03 Amazon Technologies, Inc. Time-bound secure access
US10944555B2 (en) * 2018-05-17 2021-03-09 Bose Corporation Secure methods and systems for identifying bluetooth connected devices with installed application
CN112351390A (zh) * 2019-08-09 2021-02-09 华为技术有限公司 蓝牙设备互识或互信的方法
US10952077B1 (en) * 2019-09-30 2021-03-16 Schlage Lock Company Llc Technologies for access control communications
KR20230050368A (ko) * 2020-08-18 2023-04-14 센사타 테크놀로지스, 인크 차량 탑재 무선 센서와 중앙 디바이스의 보안 페어링

Also Published As

Publication number Publication date
US20220343705A1 (en) 2022-10-27

Similar Documents

Publication Publication Date Title
US11343077B1 (en) Network access control
CN111107543B (zh) 蜂窝服务账户转移和认证
US9386004B2 (en) Peer based authentication
US11089480B2 (en) Provisioning electronic subscriber identity modules to mobile wireless devices
EP2460371B1 (en) Method and apparatus for creating security context and managing communication in mobile communication network
CN110557751B (zh) 基于服务器信任评估的认证
CN112566050B (zh) 附件无线设备的蜂窝服务账户转移
US9049184B2 (en) System and method for provisioning a unique device credentials
US11362898B2 (en) Network policy configuration
US20240048985A1 (en) Secure password sharing for wireless networks
KR20160114620A (ko) 동적 네트워크 액세스 관리를 위한 방법들, 디바이스들 및 시스템들
US20120170559A1 (en) Method and system for out-of-band delivery of wireless network credentials
US11552791B2 (en) Access technology agnostic service network authentication
US11848909B2 (en) Restricting onboard traffic
CN107659935B (zh) 一种认证方法、认证服务器、网管系统及认证系统
CN111034240B (zh) 网络通信的以及与其相关的改进
US11233588B2 (en) Devices, systems and methods for determining a proximity of a peripheral BLE device
US20220343705A1 (en) Scheduled access control for an electronic lock
US11546339B2 (en) Authenticating client devices to an enterprise network
US20230319573A1 (en) Profile transfer with secure intent

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination