RU2817064C1 - Система и способ установления беспроводного соединения - Google Patents
Система и способ установления беспроводного соединения Download PDFInfo
- Publication number
- RU2817064C1 RU2817064C1 RU2023129171A RU2023129171A RU2817064C1 RU 2817064 C1 RU2817064 C1 RU 2817064C1 RU 2023129171 A RU2023129171 A RU 2023129171A RU 2023129171 A RU2023129171 A RU 2023129171A RU 2817064 C1 RU2817064 C1 RU 2817064C1
- Authority
- RU
- Russia
- Prior art keywords
- computing device
- data
- data packet
- identifier
- session
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 89
- 238000012790 confirmation Methods 0.000 claims abstract description 12
- 230000006854 communication Effects 0.000 claims description 74
- 238000004891 communication Methods 0.000 claims description 74
- 230000008859 change Effects 0.000 claims description 23
- 230000000977 initiatory effect Effects 0.000 claims description 14
- 238000013475 authorization Methods 0.000 claims description 8
- 230000008093 supporting effect Effects 0.000 claims description 5
- 230000001965 increasing effect Effects 0.000 abstract description 21
- 239000000126 substance Substances 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 48
- 230000003993 interaction Effects 0.000 description 34
- 230000005540 biological transmission Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 16
- 238000012795 verification Methods 0.000 description 12
- 230000004807 localization Effects 0.000 description 10
- 230000007774 longterm Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 238000012360 testing method Methods 0.000 description 8
- 230000001939 inductive effect Effects 0.000 description 6
- 230000001976 improved effect Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 230000007423 decrease Effects 0.000 description 4
- 239000000463 material Substances 0.000 description 4
- 230000004913 activation Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 2
- 230000007175 bidirectional communication Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 239000002184 metal Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
Images
Abstract
Настоящее изобретение относится к области установления беспроводного соединения между двумя вычислительными устройствами, а также к обеспечению безопасности такого соединения. Согласно способу установления беспроводного соединения, сначала устанавливают первую мощность сигнала первого вычислительного устройства ниже стандартной мощности. На этой мощности вещают пакет данных, включающий по крайней мере один идентификатор поддерживаемого сервиса, при помощи первого вычислительного устройства. При направлении второго вычислительного устройства к первому вычислительному устройству устанавливают вторую мощность сигнала первого вычислительного устройства выше стандартной мощности. Получают пакет данных при помощи второго вычислительного устройства и проверяют полученный пакет данных. При подтверждении по крайней мере того, что идентификатор предоставляемого сервиса достоверен, инициируют установку беспроводного соединения при помощи второго вычислительного устройства и устанавливают беспроводное соединение. Технический результат - обеспечить повышение безопасности и стабильности соединения между любыми вычислительными устройствами, сконфигурированными с возможностью установления беспроводного соединения. 2 н. и 18 з.п. ф-лы, 6 ил.
Description
Область техники
[0001] Настоящее изобретение относится к области установления беспроводного соединения между двумя вычислительными устройствами, а также к обеспечению безопасности такого соединения.
Уровень техники
[0002] Различные технологии, алгоритмы и протоколы установления беспроводного соединения на сегодняшний день нашли широкое применение во многих сферах, включая бесконтактные платежные технологии и системы контроля и управления доступом (СКУД). По мере распространения беспроводных технологий, важно обеспечить их безопасность и надежность, особенно ранее названных сфер. NFC (ближняя бесконтактная связь) является наиболее распространенным средством для этих целей. Она обеспечивает надежный обмен данными на кратких дистанциях и часто используется в технологиях бесконтактной оплаты и СКУД.
[0003] Однако, несмотря на свою популярность, NFC имеет свои недостатки. Прежде всего, она требует близкого приближения устройств, что может быть неудобным в некоторых ситуациях. Кроме того, различия в поддержке NFC среди разных моделей устройств могут вызывать затруднения в использовании. Некоторые мобильные устройства не поддерживают NFC, а в некоторых компания производитель отключает поддержку NFC при установке обновлений программного обеспечения.
[0004] Данные недостатки можно обойти при использовании технологий Bluetooth и Wi-Fi для установления беспроводных соединений. Однако, хотя они и расширяют радиус действия и позволяют подключаться практически всем современным вычислительным устройствам, их применение может также увеличить риски подключения к потенциально вредоносным устройствам. Их большой радиус действия требует повышенного внимания к безопасности.
[0005] Таким образом, для устранения всех вышеперечисленных недостатков, технология должна быть сконфигурирована с возможностью работы на любой технологии беспроводной связи и обеспечивать при этом надлежащий уровень безопасности устанавливаемого соединения, т.е. осуществлять проверку второго устройства.
[0006] Известны способ передачи платежных данных через связь Bluetooth, а также терминал передачи/приема платежных данных и система обработки платежных данных, использующие его, раскрытые в заявке № WO2018199352A1 (опубл. 01.11.2018 г.; МПК: G06Q 20/32; G06Q 20/38; H04 W4/00). Способ передачи данных посредством связи Bluetooth с помощью устройства обработки платежных данных содержит следующие этапы. Этап формирования платежных данных в соответствии с информацией, введенной пользователем; этап генерации из сгенерированных платежных данных данных передачи BLE, которые должны быть переданы с использованием сигнала BLE; и этап передачи сигнала BLE, который используется для передачи сгенерированных данных передачи BLE. При этом данные передачи BLE содержат рекламные данные связи BLE, а на этапе формирования данных передачи BLE генерируются рекламные данные, включающие в себя платежные данные. Причем на этапе передачи сигнала BLE передается сигнал BLE, включающий в себя рекламный пакет рекламных данных.
[0007] Первый недостаток заключается в том, что в аналоге одновременно используются несколько типов беспроводной связи и, соответственно, терминал должен включать два модуля, сконфигурированных с возможностью передачи и получения разных сигналов. Это не только усложняет устройство терминала, но и дает на него большую нагрузку. Помимо этого, в аналоге мощность терминала не изменяется, т.е. он работает на стандартной мощности даже при отсутствии рядом устройств, доступных для подключения, что также увеличивает нагрузку на терминал и его энергопотребление. Более того, если в области мобильного устройства будет множество терминалов, мобильное устройство не сможет убедиться в том, что подключилось к нужному доверенному терминалу, т.к. изменение мощности позволяет повысить точность локализации. Еще одним недостатком аналога является то необходимость подключения устройств к Wi-Fi, а также их возможность связываться с сервером при попытке установления соединения друг с другом, что также создает дополнительную нагрузку.
[0008] Еще одним известным устройством передачи и приема платежных данных с использованием Bluetooth является устройство, охраняемое патентом на изобретение № KR101579118B1 (опубл. 21.12.2015 г.; МПК: G06Q 20/20; G06Q 20/32; G06Q 20/40). Устройство передачи и приема платежных данных с использованием Bluetooth согласно варианту осуществления изобретения содержит: первый модуль Bluetooth, который передает первый сигнал Bluetooth; второй модуль Bluetooth, который передает второй сигнал Bluetooth и принимает сигнал запроса платежа от мобильного терминала; блок управления, который генерирует данные, которые должны быть включены в первый сигнал Bluetooth и второй сигнал Bluetooth, и обрабатывает данные платежа в сигнале запроса платежа, полученном от мобильного терминала, в формат данных, соответствующий терминалу магазина; и блок подключения терминала магазина, который передает обработанные платежные данные на терминал магазина. Первый сигнал Bluetooth запрашивает создание платежного вспомогательного инструмента для оплаты на экране мобильного терминала, а второй сигнал Bluetooth включает в себя данные подтверждения платежной функции и устанавливает эффективное расстояние платежа. Кроме того, сигнал, достигающий расстояния первого сигнала Bluetooth, длиннее, чем сигнал второго сигнала Bluetooth.
[0009] Первый недостаток заключается в том, что в аналоге мощность терминала не изменяется, т.е. он работает на стандартной мощности даже при отсутствии рядом устройств, доступных для подключения, что также увеличивает нагрузку на терминал и его энергопотребление. Помимо этого, если в области мобильного устройства будет множество терминалов, мобильное устройство не сможет убедиться в том, что подключилось к нужному доверенному терминалу, т.к. изменение мощности позволяет повысить точность локализации. Более того, в аналоге соединение не верифицируется, что еще больше снижает безопасность устанавливаемого таким образом соединения.
[0010] Также известен способ оплаты, раскрытый в заявке № CN106845973A (опубл. 13.06.2017 г.; МПК: G06Q 20/32; G06Q 20/40; H04M 1/725). Способ включает этапы, на которых терминал для сбора платежей сканирует платежный терминал с наибольшей интенсивностью сигнала во время сбора и получает идентификатор платежного терминала; терминал сбора отображает идентификатор пользователя, соответствующий идентификатору платежного терминала и информации о сборе, и предлагает пользователю ввести информацию авторизации; и терминал для сбора средств отправляет запрос платежа на платежную платформу, тем самым позволяя платежной платформе выполнить снятие средств, когда информация авторизации проверена успешно. При этом запрос платежа содержит идентификатор пользователя, информацию о сборе и информацию авторизации, введенную пользователем. Терминал сбора платежей может автоматически сканировать сигналы всех платежных терминалов в заданном диапазоне во время сбора платежей, так что пользователю не нужно вынимать платежный терминал из кармана одежды или сумки для выполнения платежа, и оплата становится более удобной.
[0011] Первым недостатком аналога является то, что мощность терминала не изменяется, т.е. он работает на стандартной мощности даже при отсутствии рядом устройств, доступных для подключения, что также увеличивает нагрузку на терминал и его энергопотребление. Помимо этого, если в области мобильного устройства будет множество терминалов, мобильное устройство не сможет убедиться в том, что подключилось к нужному доверенному терминалу, т.к. изменение мощности позволяет повысить точность локализации. Второй недостаток также снижает безопасность пользовательского устройства и заключается в том, что в аналоге терминал проверяет пользовательское устройство. Следовательно, безопасность данных пользователя не обеспечивается.
[0012] Кроме того, известны способ и устройство для оплаты с использованием маяка, которые раскрыты в заявке № WO2017200291A1 (опубл. 23.11.2017 г.; МПК: G01S 1/68; G06Q 20/32; G06Q 20/34; G06Q 20/38; G06Q20/40; G06Q 30/02; H04L 9/32; H04W 84/18; H04W 88/02). Раскрытые в ней способ и устройство для оплаты с использованием маяка охватывают различные варианты осуществления. Один вариант осуществления направлен на обеспечение двунаправленной связи между платежным терминалом и пользовательским терминалом, обеспечение возможности работы на всех пользовательских терминалах, имеющих различные операционные системы, и обеспечение простой аутентификации на близком расстоянии даже без контакта на близком расстоянии. Другой вариант осуществления направлен на формирование канала связи на основе пользовательского терминала и маяка, когда пользовательский терминал, который подключен посредством проводов к платежному терминалу с использованием датчика расстояния, находится в пределах заранее определенного диапазона, чтобы ретранслировать информацию, относящуюся к платежу между пользовательским терминалом и платежным терминалом, тем самым преодолевая ограничения традиционных способов оплаты с использованием NFC и обеспечивая более эффективное платежное обслуживание.
[0013] Первый недостаток аналога заключается в том, что терминал посылает аутентификационные данные только после того, как соединение было установлено посредством мобильного устройства, что не дает мобильному устройству возможность провести предварительную проверку безопасности подключения. Помимо этого, в аналоге расстояние от терминала до пользовательского мобильного устройства может определяться лишь посредством оптического дальномера.
Сущность изобретения
[0014] Задачей настоящего изобретения является разработка системы и способа установления беспроводного соединения, обеспечивающих повышение безопасности и стабильности соединения между любыми вычислительными устройствами, сконфигурированными с возможностью установления беспроводного соединения.
[0015] Данная задача решается заявленным изобретением за счет достижения такого технического результата, как обеспечение повышения безопасности и стабильности соединения между любыми вычислительными устройствами, сконфигурированными с возможностью установления беспроводного соединения. Заявленный технический результат достигается в том числе, но не ограничиваясь, благодаря:
• возможности установления безопасного и стабильного беспроводного соединения для любых типов беспроводной связи;
• изменению мощности сигнала одного из вычислительных устройств в зависимости от его рабочего состояния.
[0016] Более полно, технический результат достигается способом установления беспроводного соединения. Согласно способу, сначала устанавливают первую мощность сигнала первого вычислительного устройства ниже стандартной мощности. На этой мощности вещают пакет данных, включающий по крайней мере один идентификатор поддерживаемого сервиса, при помощи первого вычислительного устройства. При направлении второго вычислительного устройства к первому вычислительному устройству устанавливают вторую мощность сигнала первого вычислительного устройства выше стандартной мощности. Получают пакет данных при помощи второго вычислительного устройства и проверяют полученный пакет данных. При подтверждении по крайней мере того, что идентификатор предоставляемого сервиса достоверен, инициируют установку беспроводного соединения при помощи второго вычислительного устройства и устанавливают беспроводное соединение.
[0017] При этом установка первой мощности первого вычислительного устройства ниже стандартной, во-первых, позволяет снизить энергопотребления в режиме ожидания и, во-вторых, улучшить локализацию устройства. Вещание пакета данных, включающего по крайней мере один идентификатор поддерживаемого сервиса, необходимо для возможности его получения вторыми вычислительными устройствами в режиме пассивного прослушивания. Изменение первой мощности сигнала на вторую мощность выше стандартной при направлении второго вычислительного устройства к первому вычислительному устройству необходимо для повышения стабильности связи и преодолении помех для повышения точности передачи пакета данных приблизившемуся второму вычислительному устройству. Проверка пакета данных на предмет того, является ли предоставляемый сервис необходимым и достоверным, нужна для последующей установки соединения именно с тем устройством, которое предоставляет необходимый сервис. То, что именно посредством второго вычислительного устройства инициируют установку беспроводного соединения, позволяет уменьшить выборку из окружающих устройств, повышая безопасность второго вычислительного устройства. Таким образом, сочетание этих признаков позволяет обеспечить повышения безопасности и стабильности соединения между любыми вычислительными устройствами, сконфигурированными с возможностью установления беспроводного соединения.
[0018] В рамках настоящего способа могут использовать сигнал вещания и соединения, частота которого выше 15 МГц. Так, при реализации настоящего способа может использоваться не только технология беспроводной связи NFC, но и технологии более дальнего действия, например, Bluetooth и Wi-Fi.
[0019] При помощи первого вычислительного устройства могут вещать пакет данных, включающий по крайней мере идентификатор доступного сервиса, данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства и данные о возможности подключения. В этом случае, при получении вторым вычислительным устройством пакетов данных от по крайней мере двух разных первых вычислительных устройств могут выбирать на основании пакетов данных одно первое вычислительное устройство, доступное для подключения и при помощи которого: (1) вещают сигнал, уровень которого выше уровня калибровки на расстояние, которое содержится в пакете данных; (2) вещают идентификатор необходимого сервиса. Это позволяет убедиться, что устройство является подходящим для подключения и соединения, в том числе в среде со множеством устройств, вещающих пакеты данных и доступных для подключения.
[0020] Помимо этого, при направлении второго вычислительного устройства к первому вычислительному устройству могут изменять пакет данных, причем измененный пакет данных может включать данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства, данные о возможности подключения и не более одного идентификатора поддерживаемого сервиса, причем идентификатор поддерживаемого сервиса является идентификатором сервиса, необходимого второму вычислительному устройству. Это позволяет сразу исключить устройства, которые не могут предоставить необходимый сервис, а также не перегружать второе вычислительное устройство при проверке пакетов данных.
[0021] Перед установлением первой мощности сигнала первого вычислительного устройства могут вещать пакет данных, содержащий по крайней мере один идентификатор сервиса, на стандартной мощности сигнала.
[0022] Предварительно могут регистрировать каждое вычислительное устройство на внешнем сервере для верификации устройств. Для этого могут предварительно генерировать пару асимметричный ключ (приватный и публичный ключи) для каждого вычислительного устройства, а также для сервера. После этого при регистрации могут отправлять идентификатор вычислительного устройства на вычислительное устройство. Затем идентификатор вычислительного устройства и открытый ключ могут подписывать с использованием приватного ключа при помощи вычислительного устройства. Далее отправляют на сервер подписанные идентификатор и публичный ключ вычислительного устройства, после чего при помощи сервера проверяют подпись и подписывают идентификатор и публичный ключ вычислительного устройства. В случае, если подпись верна, то отправляют публичный ключ сервера и удостоверяющий сертификат на вычислительное устройство. Таким образом, устройство становится верифицированным и подтверждается надежность и безопасность подключения к нему.
[0023] Зарегистрированные таким образом устройства после инициирования установки беспроводного соединения могут верифицировать соединение с использованием эллиптической криптографии. Это может осуществляться следующим образом. Сначала могут генерировать первую пару асимметричных ключей для сессии при помощи первого вычислительного устройства. Затем или одновременно могут генерировать вторую пару асимметричных ключей для сессии при помощи второго вычислительного устройства. После этого могут отправлять пакет данных для сессии, подписанный вторым приватным ключом, первому вычислительному устройству. При помощи первого вычислительного устройства могут проверять этот пакет данных и подпись, а после этого отправлять пакет данных для сессии, подписанный первым приватным ключом, второму вычислительному устройству. Таким образом, оба вычислительных устройства проверяют, что подпись действительна для данного пакета данных и связана с соответствующим открытым ключом, что позволяет убедиться в безопасности соединения с вычислительным устройством.
[0024] При этом дополнительно могут генерировать первый сессионный ключ при помощи первого вычислительного устройства путем вычисления произведения первого приватного ключа и второго публичного ключа, а также второй сессионный ключ при помощи второго вычислительного устройства путем вычисления произведения второго приватного ключа и первого публичного ключа. Таким образом, становится возможным создание общего секрета для каждой отдельной сессии, что позволяет обеспечивать отдельную и независимую безопасность каждой отдельной сессии, скрывать долгосрочные ключи устройств и улучшить криптографическую стойкость.
[0025] Также заявленный технический результат достигается системой установления беспроводного соединения. Система включает по крайней мере одно первое вычислительное устройство, поддерживающее по крайней мере один сервис и включающее память, модуль беспроводной связи и по крайней мере один датчик направления. Также система включает по крайней мере одно второе вычислительное устройство, включающее память и модуль беспроводной связи. При этом первое вычислительное устройство сконфигурировано с возможностью: (1) определения направления второго вычислительного устройства при помощи датчика направления; (2) вещания пакета данных, включающего по крайней мере идентификатор поддерживаемого сервиса, по беспроводной связи; (3) изменения мощности сигнала беспроводной связи со стандартной мощности сигнала на первую мощность сигнала; и (4) изменения мощности сигнала на вторую мощность сигнала при направлении второго вычислительного устройства к первому, где первая мощность сигнала ниже стандартной мощности сигнала, а вторая мощность сигнала выше стандартной мощности сигнала. Второе вычислительное устройство, в свою очередь, сконфигурировано с возможностью: (1) получения пакета данных от по крайней мере одного первого вычислительного устройства; (2) проверки пакета данных, полученного от по крайней мере одного первого вычислительного устройства; и (3) инициирования установки беспроводного соединения с первым вычислительным устройством.
[0026] Возможность установки первой мощности первого вычислительного устройства ниже стандартной необходима, во-первых, для снижения энергопотребления в режиме ожидания и, во-вторых, для улучшения локализации устройства. Вещание пакета данных, включающего по крайней мере один идентификатор поддерживаемого сервиса, необходимо для возможности его получения вторыми вычислительными устройствами в режиме пассивного прослушивания. Изменение первой мощности сигнала на вторую мощность выше стандартной при направлении второго вычислительного устройства к первому вычислительному устройству необходимо повышения стабильности связи и преодолении помех для повышения точности передачи пакета данных приблизившемуся второму вычислительному устройству. Для определения направления второго устройства к первому первое вычислительное устройство включает датчик направления. Проверка пакета данных на предмет того, является ли предоставляемый сервис необходимым, а первое вычислительное устройство подходящим для подключения и соединения. То, что именно второе вычислительное устройство сконфигурировано с возможностью установки беспроводного соединения, позволяет обеспечить безопасность второго вычислительного устройства и установить соединение с доверенным устройством в не доверенной среде. Таким образом, сочетание этих признаков позволяет обеспечить повышения безопасности и стабильности соединения между любыми вычислительными устройствами, сконфигурированными с возможностью установления беспроводного соединения.
[0027] Модули беспроводной связи могут быть сконфигурированы с возможностью передачи и получения данных на частотах выше 15 МГц. Так, может использоваться не только технология беспроводной связи NFC, но и технологии более дальнего действия, например, Bluetooth и Wi-Fi.
[0028] Вещаемый первым вычислительным устройством пакет данных может включать по крайней мере идентификатор доступного сервиса, данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства и данные о возможности подключения. В этом случае, при наличии более одного первого вычислительного устройства в системе, второе вычислительное устройство может быть дополнительно сконфигурировано с возможностью выбора на основании полученных пакетов данных одного первого вычислительного устройства, доступного для подключения и которое вещает идентификатор необходимого сервиса посредством сигнала, уровень которого выше уровня калибровки на расстояние, которое содержится в пакете данных. Это позволяет второму вычислительному устройству убедиться, что первое вычислительное устройство является подходящим и необходимым для подключения в том числе в среде со множеством устройств, вещающих пакеты данных и доступных для подключения.
[0029] Также первое вычислительное устройство может быть сконфигурировано с возможностью изменения пакета данных при изменении мощности сигнала на вторую мощность сигнала, причем измененный пакет данных включает данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства, данные о возможности подключения и не более одного идентификатора поддерживаемого сервиса, причем идентификатор поддерживаемого сервиса является идентификатором сервиса, необходимого второму вычислительному устройству. Это позволяет сразу исключить устройства, которые не могут предоставить необходимый сервис, а также не перегружать второе вычислительное устройство при проверке пакетов данных.
[0030] Память каждого вычислительного устройства может включать пару асимметричных ключей. При этом система может дополнительно включать сервер, сконфигурированный с возможностью связи с вычислительными устройствами и отправки вычислительным устройствам публичного ключа сервера и удостоверяющего сертификата, а память каждого вычислительного устройства дополнительно включает публичный ключ сервера и удостоверяющий сертификат. Это может позволить регистрировать вычислительные устройства на сервере для подтверждения их надежности.
[0031] Тогда также вычислительные устройства могут быть сконфигурированы с возможностью верификации соединения с использованием эллиптической криптографии путем: (1) генерации пары асимметричных ключей для сессии; (2) отправки пакетов данных для сессии, включающих публичный ключ и подписанных приватным ключом; и (3) проверки подписанных пакетов данных для сессии. Таким образом, оба вычислительных устройства проверяют, что подпись действительна для данного пакета данных и связана с соответствующим открытым ключом, что позволяет убедиться в безопасности соединения с вычислительным устройством.
[0032] При этом первое вычислительное устройство может дополнительно быть сконфигурировано с возможностью генерации первого сессионного ключа путем вычисления произведения первого приватного ключа и второго публичного ключа, а второе вычислительное устройство дополнительно сконфигурировано с возможностью генерации второго сессионного ключа путем вычисления произведения второго приватного ключа и первого публичного ключа. Таким образом, становится возможным создание общего секрета для каждой отдельной сессии, что позволяет обеспечивать отдельную и независимую безопасность каждой отдельной сессии, скрывать долгосрочные ключи устройств и улучшить криптографическую стойкость.
Описание чертежей
[0033] Объект притязаний по настоящей заявке описан по пунктам и чётко заявлен в формуле изобретения. Упомянутые выше задачи, признаки и преимущества изобретения очевидны из нижеследующего подробного описания, в сочетании с прилагаемыми чертежами, на которых показано:
[0034] На Фиг. 1 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения, согласно настоящему изобретению.
[0035] На Фиг. 2 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения при наличии нескольких вторых вычислительных устройств, согласно настоящему изобретению.
[0036] На Фиг. 3 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения при наличии нескольких первых вычислительных устройств, согласно настоящему изобретению.
[0037] На Фиг. 4 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения с дополнительными этапами взаимодействия, согласно настоящему изобретению.
[0038] На Фиг. 5 представлена блок-схема, иллюстрирующая процесс получения вычислительным устройством подписанного удостоверяющего сертификата от внешнего сервера, согласно настоящему изобретению.
[0039] На Фиг. 6 представлена блок-схема, иллюстрирующая процесс верификации соединения с использованием эллиптической криптографии, согласно настоящему изобретению.
Подробное описание изобретения
[0040] В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту, очевидно, каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях хорошо известные методы, процедуры и компоненты не описаны подробно, чтобы не затруднять излишне понимание особенностей настоящего изобретения.
[0041] Кроме того, из приведенного изложения ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены несущественных признаков изобретения, сохраняющие суть и форму настоящего изобретения, очевидны для квалифицированных в предметной области специалистов.
[0042] Система установления беспроводного соединения включает по крайней мере одно первое вычислительное устройство, поддерживающее по крайней мере один сервис и включающее память, модуль беспроводной связи и по крайней мере один датчик направления. Также система включает по крайней мере одно второе вычислительное устройство, включающее память и модуль беспроводной связи. При этом первое вычислительное устройство сконфигурировано с возможностью: (1) определения направления второго вычислительного устройства при помощи датчика направления; (2) вещания пакета данных, включающего по крайней мере идентификатор поддерживаемого сервиса, по беспроводной связи; (3) изменения мощности сигнала беспроводной связи со стандартной мощности сигнала на первую мощность сигнала; и (4) изменения мощности сигнала на вторую мощность сигнала при направлении второго вычислительного устройства к первому, где первая мощность сигнала ниже стандартной мощности сигнала, а вторая мощность сигнала выше стандартной мощности сигнала. Второе вычислительное устройство, в свою очередь, сконфигурировано с возможностью: (1) получения пакета данных от по крайней мере одного первого вычислительного устройства; (2) проверки пакета данных, полученного от по крайней мере одного первого вычислительного устройства; и (3) инициирования установки беспроводного соединения с первым вычислительным устройством.
[0043] Первое вычислительное устройство в рамках настоящего изобретения является устройством, предоставляющим доступ к сервису, например, к бесконтактной оплате или системе контроля и управления доступом. В зависимости от конкретного применения заявленной системы, первое вычислительное устройство может быть выполнено различными способами и являться различными вычислительными средствами. Однако, важным в рамках настоящего изобретения и объединяющим для всех таких устройств является наличие в них памяти, модуля беспроводного связи и датчик направления. При этом память необходима для хранения списка идентификаторов доступных данному вычислительному устройству сервисов, модуль беспроводной связи – для возможности подключения к иным вычислительным устройствам (передачи им данных, а также получения данных от них), а датчик направления – для определения приближения иного второго вычислительного устройства к первому.
[0044] Под сервисом в рамках данной заявки подразумевается некоторая функциональная возможность или атрибут, предоставляемый первым вычислительным устройством через профиль технологии беспроводной связи. В частности, среди таких сервисов могут быть: оплата и финансовые сервисы (мобильные кошельки, платежи, бесконтактные транзакции с банковскими картами и мобильными устройствами и прочее), учет и контроль доступа (использование технологий беспроводной связи для входа в здания, офисы, открывания дверей и прочих сценариев контроля доступа), идентификация и аутентификация (идентификация пользователей или устройств в различных контекстах, включая вход в систему, взаимодействие с IoT-устройствами и т.д.) и многие другие сервисы. При этом каждый сервис представляет собой набор атрибутов, которые описывают конкретную функциональность устройства. Каждый сервис может иметь уникальный идентификатор (8-битный, 16-битный, 32-битный и т.д.), который используется для его идентификации. При этом эти сервисы могут предоставляться через любую известную технологию беспроводной связи (NFC, BLE, Wi-Fi и др.).
[0045] Модуль беспроводной связи предназначен для передачи и/или приема данных посредством беспроводных технологий. Он включает в себя компоненты, необходимые для работы с конкретным типом беспроводной связи, таким как Wi-Fi, Bluetooth, NFC, Zigbee, LoRa и т.д. В рамках настоящего изобретения, доступ к финансовым сервисам, сервисам для учета и контроля доступа и другим может осуществляться не только с использованием технологии NFC, но и с использованием технологий беспроводной связи более дальнего действия, например, Wi-Fi, Bluetooth. Таким образом, модули беспроводной связи могут быть сконфигурированы с возможностью передачи и получения данных на частотах выше 15 МГц. Это позволяет устанавливать соединение даже в тех случаях, когда у второго вычислительного устройства отсутствует NFC-считыватель или NFC-метка либо они отключены. Например, это позволяет совершать бесконтактную оплату посредством Bluetooth с использованием смартфонов производства Apple, несмотря на блокировку NFC-считывателей и NFC-меток со стороны производителя. Помимо этого, использование Bluetooth или Wi-Fi соединения дополнительно позволяет обмениваться данными на значительном расстоянии. Таким образом, например, при проведении бесконтактных платежей отпадает необходимости держать носитель (карту/смартфон) в поле действия терминала на протяжении всей транзакции.
[0046] Вещание пакета данных необходимо для возможности вторыми вычислительными устройствами определить, что в их поле имеется первое вычислительное устройство. Вещание может осуществляться, в частности, с использованием общевещательной посылки (Advertising Packet) в спецификации BLE. Общевещательные посылки в BLE позволяют первому вычислительному устройству привлекать внимание неограниченного круга вторых вычислительных устройств в области досягаемости сигнала без необходимости устанавливать активное соединение с каждым из них. В этом случае вещание реализовывается следующим образом. Сначала с помощью первого вычислительного устройства генерируют общевещательную посылку, которая включает по крайней мере идентификаторы доступных сервисов, но может включать и иные данные. Затем осуществляют настройку параметров вещания, где, в частности, устанавливают интервалы времени между отправками общевещательных посылок, мощность сигнала (в рамках настоящего изобретения сначала устанавливают первую мощность сигнала) и другие параметры. Затем первое вычислительное устройство начинает периодически вещать общевещательные посылки через определенные интервалы времени. При этом при помощи одного или множества вторых вычислительных устройств включают приемник BLE (модуль беспроводной связи) и прослушивают канал вещания, ожидая получение общевещательных посылок. Когда второе вычислительное устройство обнаруживает общевещательную посылку, оно может начать взаимодействие с первым вычислительным устройством, если необходимо. В зависимости от содержимого общевещательной посылки и целей второго вычислительного устройства (необходимости открыть дверь, произвести бесконтактную оплату или иные возможные варианты), при помощи второго вычислительного устройства могут инициировать установку активного соединения для последующего взаимодействия.
[0047] Для вещания данных для неограниченного круга устройств через Wi-Fi (или любой другой сетевой протокол) может использоваться технология, называемая мультикастингом (multicasting). Мультикастинг позволяет отправителю передавать данные нескольким получателям сразу, что сильно снижает нагрузку на сеть, однако, требует включения в систему дополнительных сетевых маршрутизаторов. Для этого сначала формируют мультикаст-группы, которой будут принадлежать вторые вычислительные устройства. Группа имеет уникальный IP-адрес и порт для входящих данных. Затем настраивают конфигурацию вещания первого вычислительного устройства, задавая IP-адрес и порт мультикаст-группы, которой необходимо вещать пакеты данных. Далее при помощи первого вычислительного устройства создают пакеты данных, которые необходимо вещать, и отправляют их на IP-адрес и порт мультикаст-группы. Затем сетевое оборудование, такое как маршрутизаторы, автоматически копируют пакеты в пределах сети для всех вторых вычислительных устройств, принадлежащих к той же мультикаст-группе. После этого, вторые вычислительные устройства, которые присоединены к той же мультикаст-группе, получают и обрабатывают эти пакеты. Затем устройства могут отобразить, воспроизвести или каким-то иным образом обработать полученные данные в зависимости от их типа. Так же, как и в случае с Bluetooth, далее в зависимости от содержимого пакета данных и целей второго вычислительного устройства (необходимости открыть дверь, произвести бесконтактную оплату или иные возможные варианты), при помощи второго вычислительного устройства могут инициировать установку активного соединения для последующего взаимодействия с первым вычислительным устройством, например, посредством Wi-Fi Direct или с использованием других типов беспроводной связи.
[0048] При использовании NFC нельзя вещать на неограниченный круг устройств в один момент. NFC предназначен для ближней связи, и его действие ограничено расстоянием в несколько сантиметров. Обычно, устройства должны быть в пределах 10 сантиметров друг от друга для успешной передачи данных. Тем не менее, можно создать сценарии, в которых данные посылаются множеству устройств, однако это будет происходить последовательно, и каждое устройство должно будет приблизиться к источнику данных. Тогда пакеты данных будут поочередно передаваться каждому приблизившемуся второму вычислительному устройству.
[0049] Установка первой мощности первого вычислительного устройства ниже стандартной, во-первых, позволяет снизить энергопотребления в режиме ожидания и, во-вторых, уменьшить интерференцию, улучшив разрешение. Уменьшение интерференции достигается за счет того, что более слабый сигнал имеет меньшую вероятность вызвать помехи или влияние от окружающей среды. Это особенно важно в помещениях, где множество других устройств может генерировать радиосигналы. Также по мере уменьшения мощности сигнала, область покрытия каждого устройства снижается. Это позволяет более точно определить местоположение, так как сигналы будут менее «размытыми» и более точно сосредотачиваются вокруг устройства. При этом первая мощность сигнала может также являться нулевой мощностью сигнала.
[0050] Изменение мощности сигнала на вторую мощность выше стандартной при направлении второго вычислительного устройства к первому вычислительному устройству необходимо для повышения стабильности связи и преодолении помех для повышения точности передачи пакета данных приблизившемуся второму вычислительному устройству. В первую очередь, увеличение мощности сигнала позволяет увеличить дальность связи между устройствами. Это может быть полезно, если требуется установить связь на больших расстояниях или в условиях сильных помех. Также в некоторых помещениях может существовать сильная электромагнитная помеха, которая может мешать нормальной передаче данных. Повышение мощности может помочь преодолеть эти помехи. Помимо этого, повышение мощности может помочь в поддержании стабильной связи в условиях, где сигнал может подвергаться внешним воздействиям, таким как перегородки, стены, металлические поверхности и т.д. Важно отметить, что могут изменять мощность на вторую как с нулевой мощности, так и с ненулевой. Таким образом, начинать вещание конкретному второму вычислительному устройству только тогда, когда оно было направлено к первому вычислительному устройству.
[0051] Таким образом, изменение мощности сигнала позволяет сбалансировать эффективность передачи данных с уменьшением потребления энергии в устройствах, а также повысить безопасность для устройств. Низкая мощность вещания в режиме ожидания первого вычислительного устройства необходима как для уменьшения потребления электроэнергии, так и для ограничения радиуса действия, что особенно важно для обеспечения безопасности при использовании технологий беспроводного соединения с большим радиусов действия (Bluetooth, Wi-Fi и другие). Так, второе вычислительное устройство будет получать пакеты данных только от тех устройств, которые находятся в непосредственной близости (например, в пределах одного помещения). Повышение же мощности до максимальной, когда второе вычислительное устройство приблизилось к конкретному первому вычислительному устройству, а первое вычислительное устройство доступно для соединения, необходимо для повышения эффективности и надежности передачи данных, предотвращая возможные помехи сигнала, особенно, когда в области действия множество первых и вторых вычислительных устройств.
[0052] Датчик направления предназначен для определения направления и/или приближения второго вычислительного устройства к первому. При таким направлении и/или приближении первое вычислительное устройство переходит из режима ожидания в режим готовности к подключению (например, эмулируя при этом NFC сигнал). Такой датчик может быть реализован множеством различных способов.
[0053] В первом варианте датчик направления может являться емкостным сенсором. Емкостной сенсор (или proximity sensor) позволяет определять, что в поле нескольких сантиметров находится второе вычислительное устройство. В этот момент первое вычислительное устройство увеличивает мощность сигнала вещания (изменяет мощность сигнала с первой на вторую), а также дополнительно может изменять темп вещания (отправки пакета данных для возможности подключения) и сам пакет данных, начиная вещать идентификатор сервиса, который ожидает второе вычислительное устройство. Однако, данный сенсор не отличает второе вычислительное устройство от иных объектов, которые могли бы приблизиться (например, руки).
[0054] В другом варианте реализации может быть использован индуктивный сенсор. Индуктивный сенсор может позволить отличать объекты, приближающиеся к первому вычислительному устройству, в частности, отличить руку от второго вычислительного устройства. Индуктивный сенсор также может использоваться в сочетании с емкостным сенсором. Это может позволить отличить, пользователь внес руку с обычной бесконтактной картой или со вторым вычислительным устройством, и на основании этого изменять логику работы первого вычислительного устройства.
[0055] Также в качестве датчика направления может использоваться инфракрасный датчик (Time-of-Flight). Он также может позволить отличать человека от второго вычислительного устройства в области действия. При этом инфракрасный датчик имеет повышенный радиус действия, благодаря чему соединение может устанавливаться с отдаленными объектами.
[0056] Еще одним вариантом реализации датчика управления является UWB-передатчик, позволяющий с высокой точностью определить расстояние и угол до объекта обмена или радар, используемый для активации. Данный вариант реализации также имеет повышенный радиус определения.
[0057] Помимо этого, первое вычислительное устройство может включать несколько датчиков (или массив антенн, например «фазированную решетку»), позволяющую определять направление и расстояние до второго вычислительного устройства.
[0058] Однако важно подчеркнуть, что представленный выше перечень возможных вариантов реализации не является исчерпывающим. Возможно также и использование иных известных датчиков, способных определять направление второго вычислительного устройства в сторону первого или приближение второго к первому.
[0059] Второе вычислительное устройство в рамках настоящего изобретения является устройством, которому необходимо получить доступ к сервису, например, к бесконтактной оплате или системе контроля и управления доступом. В зависимости от конкретного применения заявленной системы, второе вычислительное устройство может быть выполнено различными способами и являться различными вычислительными средствами. Однако, важным в рамках настоящего изобретения и объединяющим для всех таких устройств является наличие в них памяти и модуля беспроводного связи. При этом модуль беспроводной связи, как и в случае с первым вычислительным устройством, необходим для возможности подключения к иным вычислительным устройствам (передачи им данных, а также получения данных от них).
[0060] Проверка пакета данных вторых вычислительным устройством необходима по крайней мере для того, чтобы понять, предоставляет ли первое вычислительное устройство, от которого был получен этот пакет данных, необходимый сервис. Это позволяет избежать соединения с ненужными устройствами, в том числе с устройствами мошенников. При этом для еще большего увеличения безопасности при соединении вещаемый пакет данных может дополнительно включать и иные данные. В частности, пакет данных может дополнительно включать данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства и данные о возможности подключения. При этом пакет данных может дополнительно включать лишь что-то одно из перечисленного, все сразу или перечисленные данные в любой комбинации. Важно отметить, что данные о калибровке сигнала на расстоянии (RSSI – Received Signal Strength Indication) представляют собой показатель силы принимаемого радиосигнала. Он измеряется в децибелах (дБ) и используется для оценки мощности сигнала, принимаемого вторым вычислительным устройством от первого.
[0061] При наличии в пакете данных данных о возможности соединения с устройством, в ходе проверки пакета данных с помощью второго вычислительного устройства проверяют, доступно ли первое вычислительное устройство для подключения. Если оно доступно, то результат проверки положительный, и второе вычислительное устройство может инициировать установку соединения. Данные о возможности подключения могут задаваться, например, флагом «connectable» или «unconnectable», соответственно, или посредством логического типа данных boolean, где значение «1» – доступный для подключения, а значение «0» – недоступный для подключения.
[0062] При наличии в пакете данных данных о калибровке сигнала на расстоянии, с помощью второго вычислительного устройства проверяют, является ли уровень (мощность) вещаемого первым вычислительным устройством сигнала выше уровня калибровки на расстояние. Это позволяет проверить, находится ли первое вычислительное устройство в близости с вторым вычислительным устройством. В случае, если мощность вещаемого сигнала выше, то результат проверки положительный, а второе вычислительное устройство может инициировать установку соединения. В противном случае, инициирование беспроводного соединения не будет осуществлено.
[0063] Для инициирования установки соединения результаты всех проверок должны быть положительными. При этом также важно отметить, что если второе вычислительное устройство сконфигурировано с возможностью проверки каких-то данных, которые не были включены в вещаемый пакет данных, то вторым вычислительным устройством также не будет произведено инициирование установки беспроводного соединения. Это позволяет убедиться, что устройство является надежным и необходимым для подключения в том числе в среде со множеством устройств, вещающих пакеты данных и доступных для подключения.
[0064] Именно по этой причине, для обеспечения безопасности второго вычислительного устройства (пользовательского устройства и данных, хранящихся на пользовательском устройстве) инициирование установки беспроводного соединение осуществляют посредством второго вычислительного устройства, а не первого. А само инициирование осуществляют лишь при положительных результатах проверки пакета данных.
[0065] Описанная система может работать в соответствии со способом установления беспроводного соединения, раскрытого в настоящем изобретении. На Фиг. 1 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения, согласно настоящему изобретению. Согласно способу, сначала устанавливают первую мощность сигнала первого вычислительного устройства ниже стандартной мощности. На этой мощности вещают пакет данных, включающий по крайней мере один идентификатор поддерживаемого сервиса, при помощи первого вычислительного устройства. При направлении второго вычислительного устройства к первому вычислительному устройству устанавливают вторую мощность сигнала первого вычислительного устройства выше стандартной мощности. Получают пакет данных при помощи второго вычислительного устройства и проверяют полученный пакет данных. При подтверждении по крайней мере того, что идентификатор предоставляемого сервиса достоверен, инициируют установку беспроводного соединения при помощи второго вычислительного устройства и устанавливают беспроводное соединение.
[0066] Как было сказано ранее, в области вещания первого вычислительного могут находиться несколько вторых вычислительных устройств. Блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения в этом случае, представлена на Фиг. 2. Как видно на Фигуре, в этом случае несколько вторых вычислительных устройств получают первый вещаемый пакет данных на малой мощности, но второй пакет данных в режиме подключения отправляют уже только на второе вычислительное устройство, которое было приближено к первому вычислительному устройству. В последствии, соединение устанавливают именно с приблизившимся вторым вычислительным устройством.
[0067] Похожим образом устроена ситуация, когда вблизи одного второго вычислительного устройства имеются несколько первых вычислительных устройств. Схема взаимодействия для этого случая представлена на Фиг. 3. Сначала второе вычислительное устройство получает вещаемые пакеты данных сразу от двух первых вычислительных устройств. Затем, если второе вычислительное устройство было направлено только в сторону одного из вторых вычислительных устройств, то дальнейшее взаимодействие аналогично взаимодействию, показанному на Фиг. 1. Однако, если датчики направления обоих первых вычислительных устройств определили, что второе вычислительное устройство направилось и/или приблизилось к ним, то оба переходят из режима ожидания в режим подключения (режим эмуляции NFC) и устанавливают вторую мощность сигнала. Тогда второе вычислительное устройство получает пакеты данных от обоих первых вычислительных устройств и проверяет их. При этом по крайней мере на основании данных о предоставляемых каждым первым вычислительным устройством сервисах при помощи второго вычислительного устройства выбирают, с каким из них устанавливать беспроводное соединение. Далее инициируют установку беспроводного соединения с выбранным устройством и устанавливают беспроводное соединение с выбранным устройством.
[0068] Варианты взаимодействий, показанные на Фиг. 2 и Фиг. 3, могут быть масштабированы на большее количество как первых, так и вторых вычислительных устройств, что очевидно из настоящих материалов для специалиста в области техники. При этом все описанное также верно для систем, в которых одновременно присутствуют множество первых вычислительных устройств и множество вторых вычислительных устройств.
[0069] Первое вычислительное устройство может быть дополнительно сконфигурировано с возможностью изменения пакета данных при изменении мощности сигнала на вторую мощность сигнала. Причем измененный пакет данных включает данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства, данные о возможности подключения и не более одного идентификатора поддерживаемого сервиса, причем идентификатор поддерживаемого сервиса является идентификатором сервиса, необходимого второму вычислительному устройству. Это позволяет сразу исключить устройства, которые не могут предоставить необходимый сервис, а также не перегружать второе вычислительное устройство при проверке пакетов данных. Таким образом, первое вычислительное устройство может сначала вещать общий профиль для информирования вторых вычислительных устройств о своем присутствии в области досягаемости сигнала, а затем изменять посылку для конкретного второго вычислительного устройства, оказавшегося в ближайшей зоне подключения.
[0070] Помимо этого, вычислительные устройства могут быть сконфигурированы с возможностью верификации соединения. Это позволяет убедиться, что оба устройства верифицированы (валидированы) удостоверяющим центром, а соединение между ними безопасно, что еще больше увеличивает безопасность подключения. Также это позволяет избежать передачи данных на сторонние вычислительные устройства.
[0071] На Фиг. 4 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения с дополнительными этапами взаимодействия, описанными выше, согласно настоящему изобретению. Как видно на Фигуре, сначала устанавливают первую мощность сигнала первого вычислительного устройства ниже стандартной мощности. На этой мощности вещают пакет данных, включающий по крайней мере один идентификатор поддерживаемого сервиса, при помощи первого вычислительного устройства. При направлении второго вычислительного устройства к первому вычислительному устройству устанавливают вторую мощность сигнала первого вычислительного устройства выше стандартной мощности и изменяют пакет данных. Получают измененный пакет данных при помощи второго вычислительного устройства и проверяют полученный пакет данных. При подтверждении по крайней мере того, что идентификатор предоставляемого сервиса достоверен, инициируют установку беспроводного соединения при помощи второго вычислительного устройства. Затем оба устройства верифицируют соединение и устанавливают беспроводное соединение.
[0072] Чтобы устройства имели возможность верифицировать соединение, они должны быть предварительно зарегистрированы на стороннем сервере (удостоверяющий центр). В этом случае память каждого вычислительного устройства может включать пару асимметричных ключей. При этом система может дополнительно включать сервер, сконфигурированный с возможностью связи с вычислительными устройствами и отправки вычислительным устройствам публичного ключа сервера и удостоверяющего сертификата, а память каждого вычислительного устройства дополнительно включает публичный ключ сервера и удостоверяющий сертификат. Это может позволить регистрировать вычислительные устройства на сервере для подтверждения их надежности.
[0073] Процесс этой регистрации представлен на Фиг. 5. Для этого при помощи вычислительного устройства предварительно генерируют пару асимметричных ключей шифрования и хранят их памяти устройства. Также генерируют пару асимметричных ключей шифрования при помощи сервера. Затем при помощи вычислительного устройства отправляют идентификатор этого вычислительного устройства и публичный ключ из пары асимметричных ключей на сервер, направляя таким образом запрос на регистрацию. После этого при помощи сервера отправляют набор случайных данных вычислительному устройству. При помощи вычислительного устройства подписывают набор случайных данных с использованием приватного ключа вычислительного устройства и отправляют подписанный набор случайных данных серверу. Далее проверяют подпись при помощи сервера и, в случае положительного результата проверки, отправляют публичный ключ сервера и удостоверяющий сертификат вычислительному устройству. При помощи вычислительному устройства сохраняют ключ сервера и удостоверяющий сертификат в память. Регистрация осуществляется одинаковым образом как для первого, так и для второго вычислительного устройства, в связи с чем в данном абзаце используется не конкретизирующий термин «вычислительное устройство». Подпись при этом может создаваться на основании любого известного алгоритма, например, RSA, DSA, ECDSA и др.
[0074] Однако, в ином варианте, с набор данных может быть не случайным, а включать в себя идентификатор вычислительного устройства и публичный ключ сервера. В этом случае, при регистрации могут отправлять идентификатор вычислительного устройства на вычислительное устройство. Затем идентификатор вычислительного устройства и открытый ключ могут подписывать с использованием приватного ключа при помощи вычислительного устройства. Далее отправляют на сервер подписанные идентификатор и публичный ключ вычислительного устройства, после чего при помощи сервера проверяют подпись и подписывают идентификатор и публичный ключ вычислительного устройства. набор случайных данных на вычислительное устройство. Затем полученный набор случайных данных могут подписывать с использованием приватного ключа при помощи вычислительного устройства. Далее отправляют на сервер идентификатор вычислительного устройства, подписанный набор случайных данных и публичный ключ, после чего при помощи сервера проверяют подпись. В случае, если подпись верна, то отправляют публичный ключ сервера и удостоверяющий сертификат на вычислительное устройство. Таким образом, устройство становится зарегистрированным верифицированными и подтверждается надежность и безопасность подключения к нему.
[0075] Важно при этом отметить, что благодаря хранению сертификатов и собственных асимметричных ключей в памяти, оба вычислительных устройства могут выполнять верификацию соединения, не имея доступа к сети Интернет в момент подключения. Зачастую подключение к сети Интернет перед установлением беспроводного соединения необходимо для осуществления проверки каждого из вычислительных устройств сторонним сервером (удостоверяющим центром и, например, при бесконтактных оплатах сервером банка-эмитента карты пользователя). Постоянное обращение к серверам множества устройств для каждой отдельной сессии может значительно перегружать как сервера, так и вычислительные устройства. В связи с этим в рамках настоящего изобретения все этапы обеспечения безопасности производятся перед установлением соединения, а инициатором установки беспроводного соединения является именно второе (пользовательское) вычислительное устройство.
[0076] Вычислительные устройства, зарегистрированные вышеописанным способом, могут быть также дополнительно сконфигурированы с возможностью верификации соединения, как уже упоминалось выше. В частности, они могут быть сконфигурированы с возможностью верификации соединения с использованием эллиптической криптографии путем: (1) генерации пары асимметричных ключей для сессии; (2) отправки пакетов данных для сессии, включающих публичный ключ и подписанных приватным ключом; и (3) проверки подписанных пакетов данных для сессии. Таким образом, оба вычислительных устройства могут проверять, что подпись действительна для данного пакета данных и связана с соответствующим открытым ключом, что позволяет убедиться в безопасности соединения с вычислительным устройством.
[0077] Процесс взаимодействия вычислительных устройств в ходе верификации соединения может осуществляться так, как показано на Фиг. 6. В этом случае, при помощи обоих вычислительных устройств сначала генерируют пару асимметричных ключей сессии. Затем при помощи второго вычислительного устройства отправляют первому: (1) удостоверяющий сертификат второго вычислительного устройства; (2) публичный ключ сессии, сгенерированный вторым вычислительным устройством; и (3) данные сессии, подписанные с использованием приватного ключа второго вычислительного устройства. При помощи первого вычислительного устройства проверяют этот набор данных и, в случае положительного результата проверки, отправляют второму вычислительному устройству другой набор данных, включающий: (1) удостоверяющий сертификат первого вычислительного устройства; (2) публичный ключ сессии, сгенерированный первым вычислительным устройством; и (3) данные сессии, подписанные с использованием приватного ключа первого вычислительного устройства. При помощи второго вычислительного устройства проверяют этот набор данных и, в случае положительного результата проверки, устанавливают верифицированное беспроводное соединение с первым вычислительным устройством.
[0078] Ключи сессии первого вычислительного устройства могут быть сгенерированы путем вычисления произведения приватного ключа первого вычислительного устройства и публичного ключа второго вычислительного устройства. Второе вычислительное устройство, в свою очередь, может быть дополнительно сконфигурировано с возможностью генерации ключа сессии второго вычислительного устройства (второй сессионный ключ) путем вычисления произведения второго приватного ключа и первого публичного ключа. Таким образом, становится возможным создание общего секрета (shared secret) для каждой отдельной сессии, что позволяет обеспечивать отдельную и независимую безопасность каждой отдельной сессии, скрывать долгосрочные ключи устройств и улучшить криптографическую стойкость. Это, в свою очередь, дополнительно повышает безопасность и надежность соединения. Создание уникального общего секрета (shared secret) для каждой сессии позволяет изолировать трафик и данные каждой сессии. Это означает, что, даже если одна из сессий по каким-то причинам компрометирована, остальные сессии остаются безопасными.
[0079] Все, сказанное выше, верно также и для способа установления беспроводного соединения, согласно настоящему изобретению. Согласно способу, сначала устанавливают первую мощность сигнала первого вычислительного устройства ниже стандартной мощности. На этой мощности вещают пакет данных, включающий по крайней мере один идентификатор поддерживаемого сервиса, при помощи первого вычислительного устройства. При направлении второго вычислительного устройства к первому вычислительному устройству устанавливают вторую мощность сигнала первого вычислительного устройства выше стандартной мощности. Получают пакет данных при помощи второго вычислительного устройства и проверяют полученный пакет данных. При подтверждении по крайней мере того, что идентификатор предоставляемого сервиса достоверен, инициируют установку беспроводного соединения при помощи второго вычислительного устройства и устанавливают беспроводное соединение.
[0080] При этом, в рамках настоящего способа могут использовать сигнал вещания и соединения, частота которого выше 15 МГц. Так, при реализации настоящего способа может использоваться не только технология беспроводной связи NFC, но и технологии более дальнего действия, например, Bluetooth и Wi-Fi.
[0081] Также при помощи первого вычислительного устройства могут вещать пакет данных, включающий по крайней мере идентификатор доступного сервиса, данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства и данные о возможности подключения. В этом случае, при получении вторым вычислительным устройством пакетов данных от по крайней мере двух разных первых вычислительных устройств могут выбирать на основании пакетов данных одно первое вычислительное устройство, доступное для подключения и при помощи которого: (1) вещают сигнал, уровень которого выше уровня калибровки на расстояние, которое содержится в пакете данных; (2) вещают идентификатор необходимого сервиса. Это позволяет убедиться, что устройство является подходящим и необходимым для подключения в том числе в среде со множеством устройств, вещающих пакеты данных и доступных для подключения.
[0082] Помимо этого, при направлении второго вычислительного устройства к первому вычислительному устройству могут изменять пакет данных, причем измененный пакет данных может включать данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства, данные о возможности подключения и не более одного идентификатора поддерживаемого сервиса, причем идентификатор поддерживаемого сервиса является идентификатором сервиса, необходимого второму вычислительному устройству. Это позволяет сразу исключить устройства, которые не могут предоставить необходимый сервис, а также не перегружать второе вычислительное устройство при проверке пакетов данных.
[0083] Перед установлением первой мощности сигнала первого вычислительного устройства могут вещать пакет данных, содержащий по крайней мере один идентификатор сервиса, на стандартной мощности сигнала.
[0084] Предварительно могут регистрировать каждое вычислительное устройство на внешнем сервере для верификации устройств. Для этого могут предварительно генерировать пару асимметричный ключ (приватный и публичный ключи) для каждого вычислительного устройства, а также для сервера. После этого при регистрации могут отправлять идентификатор вычислительного устройства на вычислительное устройство. Затем идентификатор вычислительного устройства и открытый ключ могут подписывать с использованием приватного ключа при помощи вычислительного устройства. Далее отправляют на сервер подписанные идентификатор и публичный ключ вычислительного устройства, после чего при помощи сервера проверяют подпись и подписывают идентификатор и публичный ключ вычислительного устройства. В случае, если подпись верна, то отправляют публичный ключ сервера и удостоверяющий сертификат на вычислительное устройство. Таким образом, устройство становится верифицированными и подтверждается надежность и безопасность подключения к нему.
[0085] Зарегистрированные таким образом устройства после инициирования установки беспроводного соединения могут верифицировать соединение с использованием эллиптической криптографии. Это может осуществляться следующим образом. Сначала могут генерировать первую пару асимметричных ключей для сессии при помощи первого вычислительного устройства. Затем или одновременно могут генерировать вторую пару асимметричных ключей для сессии при помощи второго вычислительного устройства. После этого могут отправлять пакет данных для сессии, подписанный вторым приватным ключом, первому вычислительному устройству. При помощи первого вычислительного устройства могут проверять этот пакет данных и подпись, а после этого отправлять пакет данных для сессии, подписанный первым приватным ключом, второму вычислительному устройству. Таким образом, оба вычислительных устройства проверяют, что подпись действительна для данного пакета данных и связана с соответствующим открытым ключом, что позволяет убедиться в безопасности соединения с вычислительным устройством.
[0086] При этом дополнительно могут генерировать первый сессионный ключ при помощи первого вычислительного устройства путем вычисления произведения первого приватного ключа и второго публичного ключа, а также второй сессионный ключ при помощи второго вычислительного устройства путем вычисления произведения второго приватного ключа и первого публичного ключа. Таким образом, становится возможным создание общего секрета для каждой отдельной сессии, что позволяет обеспечивать отдельную и независимую безопасность каждой отдельной сессии, скрывать долгосрочные ключи устройств и улучшить криптографическую стойкость.
[0087] Важно отметить, что любые дополнительные признаки системы установления беспроводного соединения, описанные выше, могут использоваться в системе по отдельности, все вместе одновременно, а также в любой комбинации. Реализация системы с любым дополнительным элементом или конфигурацией элементов будет приводить к достижению дополнительных технических результатов, описанных ранее, наряду с основным техническим результатом. Помимо этого, любой из дополнительных признаков системы может быть интерпретирован как дополнительный признак способа установления беспроводного соединения. Аналогично любой из дополнительных признаков способа установления беспроводного соединения может быть интерпретирован как дополнительный признак системы установления беспроводного соединения.
[0088] Описанные система и способ могут найти свое применение в системах и способах проведения бесконтактной оплаты при помощи смартфона или для систем контроля и управления доступом (СКУД), в которых безопасность соединения, а также достоверность подключения к необходимому устройству, а не к устройству злоумышленника, является крайне важным фактором.
[0089] В случае с применением системы и способа установления беспроводного соединения для осуществления бесконтактной оплаты, первое вычислительное устройство является платежным терминалом, а второе вычислительное устройство – смартфоном. Тогда терминал сначала вещает свой общий профиль на первой мощности. Общий профиль на платежном терминале представляет собой стандартную или базовую конфигурацию, способную обрабатывать широкий спектр методов оплаты, таких как кредитные и дебетовые карты, а возможно, и другие виды оплаты, такие как мобильные кошельки или бесконтактные платежи. Он не имеет специализированных настроек для конкретных методов оплаты или приложений. При направлении же смартфона к терминалу при помощи терминала изменяют мощность с первой на вторую и меняют вещаемый профиль на профиль кошелька. Профиль кошелька на платежном терминале представляет собой конкретную конфигурацию, предназначенную для обработки платежей с использованием цифровых кошельков, т.е. настройки и конфигурации, оптимизированные для обработки платежей именно из приложений цифровых кошельков. При этом проверка смартфоном данных профиля кошелька осуществляется при помощи приложения кошелька (или приложения для бесконтактной оплаты), предварительно установленного на смартфон. Также в этом случае данные сессии включают в себя, например, сумму финансовой транзакции.
[0090] Дополнительно при этом приложение может включать не только платежные реквизиты пользователя, но и данные о всех картах лояльности, принадлежащих пользователю. Благодаря этому, отсутствует необходимость каждый раз доставать карту лояльности при совершении покупок, а данные о ней могут передаваться терминалу вместе с платежными реквизитами.
[0091] В варианте, когда настоящие система и способ используют в системе и способе контроля и управления доступом для открытия дверных замков посредством смартфона, первое вычислительное устройство является умным замком (или блоком управления, подключенным к замку), а второе вычислительное устройство – смартфоном. Тогда «замок» может вещать идентификаторы множества открываемых им дверей (в том числе шлагбаумов, калиток, окон и др.). Когда смартфон направляется к замку, замок может начать вещать лишь один идентификатор, относящийся к конкретной двери (или иному открываемому объекту), открыть которую необходимо пользователю смартфона. Данные сессии со стороны смартфона тогда может включать список идентификаторов ключей (открытия двери), которые ему доступны. Замок сравнит ключи с необходимым ключом и откроет дверь при положительном результате проверки. Проверки со стороны смартфона, аналогично предыдущему варианту, также осуществляются с использованием заранее установленного на смартфон приложения.
[0092] Также возможен вариант, когда в памяти смартфоне записан только идентификатор пользователя, а не множество ключей, а в памяти замка записан список пользователей, которым разрешено открытие и/или закрытие этой двери. В этом случае замок сравнивает не ключ, а уникальные идентификаторы пользователей со списком допустимых идентификаторов пользователей.
[0093] При этом, описанные ранее система и способ установления беспроводного соединения могут применяться и в других целях для реализации иных технологий, не раскрытых в настоящей заявке, в том числе, для передачи между устройствами медиафайлов и др.
[0094] В настоящих материалах заявки представлено предпочтительное раскрытие осуществления заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.
Область техники
[0001] Настоящее изобретение относится к области установления беспроводного соединения между двумя вычислительными устройствами, а также к обеспечению безопасности такого соединения.
Уровень техники
[0002] Различные технологии, алгоритмы и протоколы установления беспроводного соединения на сегодняшний день нашли широкое применение во многих сферах, включая бесконтактные платежные технологии и системы контроля и управления доступом (СКУД). По мере распространения беспроводных технологий, важно обеспечить их безопасность и надежность, особенно ранее названных сфер. NFC (ближняя бесконтактная связь) является наиболее распространенным средством для этих целей. Она обеспечивает надежный обмен данными на кратких дистанциях и часто используется в технологиях бесконтактной оплаты и СКУД.
[0003] Однако, несмотря на свою популярность, NFC имеет свои недостатки. Прежде всего, она требует близкого приближения устройств, что может быть неудобным в некоторых ситуациях. Кроме того, различия в поддержке NFC среди разных моделей устройств могут вызывать затруднения в использовании. Некоторые мобильные устройства не поддерживают NFC, а в некоторых компания производитель отключает поддержку NFC при установке обновлений программного обеспечения.
[0004] Данные недостатки можно обойти при использовании технологий Bluetooth и Wi-Fi для установления беспроводных соединений. Однако, хотя они и расширяют радиус действия и позволяют подключаться практически всем современным вычислительным устройствам, их применение может также увеличить риски подключения к потенциально вредоносным устройствам. Их большой радиус действия требует повышенного внимания к безопасности.
[0005] Таким образом, для устранения всех вышеперечисленных недостатков, технология должна быть сконфигурирована с возможностью работы на любой технологии беспроводной связи и обеспечивать при этом надлежащий уровень безопасности устанавливаемого соединения, т.е. осуществлять проверку второго устройства.
[0006] Известны способ передачи платежных данных через связь Bluetooth, а также терминал передачи/приема платежных данных и система обработки платежных данных, использующие его, раскрытые в заявке № WO2018199352A1 (опубл. 01.11.2018 г.; МПК: G06Q 20/32; G06Q 20/38; H04 W4/00). Способ передачи данных посредством связи Bluetooth с помощью устройства обработки платежных данных содержит следующие этапы. Этап формирования платежных данных в соответствии с информацией, введенной пользователем; этап генерации из сгенерированных платежных данных данных передачи BLE, которые должны быть переданы с использованием сигнала BLE; и этап передачи сигнала BLE, который используется для передачи сгенерированных данных передачи BLE. При этом данные передачи BLE содержат рекламные данные связи BLE, а на этапе формирования данных передачи BLE генерируются рекламные данные, включающие в себя платежные данные. Причем на этапе передачи сигнала BLE передается сигнал BLE, включающий в себя рекламный пакет рекламных данных.
[0007] Первый недостаток заключается в том, что в аналоге одновременно используются несколько типов беспроводной связи и, соответственно, терминал должен включать два модуля, сконфигурированных с возможностью передачи и получения разных сигналов. Это не только усложняет устройство терминала, но и дает на него большую нагрузку. Помимо этого, в аналоге мощность терминала не изменяется, т.е. он работает на стандартной мощности даже при отсутствии рядом устройств, доступных для подключения, что также увеличивает нагрузку на терминал и его энергопотребление. Более того, если в области мобильного устройства будет множество терминалов, мобильное устройство не сможет убедиться в том, что подключилось к нужному доверенному терминалу, т.к. изменение мощности позволяет повысить точность локализации. Еще одним недостатком аналога является то необходимость подключения устройств к Wi-Fi, а также их возможность связываться с сервером при попытке установления соединения друг с другом, что также создает дополнительную нагрузку.
[0008] Еще одним известным устройством передачи и приема платежных данных с использованием Bluetooth является устройство, охраняемое патентом на изобретение № KR101579118B1 (опубл. 21.12.2015 г.; МПК: G06Q 20/20; G06Q 20/32; G06Q 20/40). Устройство передачи и приема платежных данных с использованием Bluetooth согласно варианту осуществления изобретения содержит: первый модуль Bluetooth, который передает первый сигнал Bluetooth; второй модуль Bluetooth, который передает второй сигнал Bluetooth и принимает сигнал запроса платежа от мобильного терминала; блок управления, который генерирует данные, которые должны быть включены в первый сигнал Bluetooth и второй сигнал Bluetooth, и обрабатывает данные платежа в сигнале запроса платежа, полученном от мобильного терминала, в формат данных, соответствующий терминалу магазина; и блок подключения терминала магазина, который передает обработанные платежные данные на терминал магазина. Первый сигнал Bluetooth запрашивает создание платежного вспомогательного инструмента для оплаты на экране мобильного терминала, а второй сигнал Bluetooth включает в себя данные подтверждения платежной функции и устанавливает эффективное расстояние платежа. Кроме того, сигнал, достигающий расстояния первого сигнала Bluetooth, длиннее, чем сигнал второго сигнала Bluetooth.
[0009] Первый недостаток заключается в том, что в аналоге мощность терминала не изменяется, т.е. он работает на стандартной мощности даже при отсутствии рядом устройств, доступных для подключения, что также увеличивает нагрузку на терминал и его энергопотребление. Помимо этого, если в области мобильного устройства будет множество терминалов, мобильное устройство не сможет убедиться в том, что подключилось к нужному доверенному терминалу, т.к. изменение мощности позволяет повысить точность локализации. Более того, в аналоге соединение не верифицируется, что еще больше снижает безопасность устанавливаемого таким образом соединения.
[0010] Также известен способ оплаты, раскрытый в заявке № CN106845973A (опубл. 13.06.2017 г.; МПК: G06Q 20/32; G06Q 20/40; H04M 1/725). Способ включает этапы, на которых терминал для сбора платежей сканирует платежный терминал с наибольшей интенсивностью сигнала во время сбора и получает идентификатор платежного терминала; терминал сбора отображает идентификатор пользователя, соответствующий идентификатору платежного терминала и информации о сборе, и предлагает пользователю ввести информацию авторизации; и терминал для сбора средств отправляет запрос платежа на платежную платформу, тем самым позволяя платежной платформе выполнить снятие средств, когда информация авторизации проверена успешно. При этом запрос платежа содержит идентификатор пользователя, информацию о сборе и информацию авторизации, введенную пользователем. Терминал сбора платежей может автоматически сканировать сигналы всех платежных терминалов в заданном диапазоне во время сбора платежей, так что пользователю не нужно вынимать платежный терминал из кармана одежды или сумки для выполнения платежа, и оплата становится более удобной.
[0011] Первым недостатком аналога является то, что мощность терминала не изменяется, т.е. он работает на стандартной мощности даже при отсутствии рядом устройств, доступных для подключения, что также увеличивает нагрузку на терминал и его энергопотребление. Помимо этого, если в области мобильного устройства будет множество терминалов, мобильное устройство не сможет убедиться в том, что подключилось к нужному доверенному терминалу, т.к. изменение мощности позволяет повысить точность локализации. Второй недостаток также снижает безопасность пользовательского устройства и заключается в том, что в аналоге терминал проверяет пользовательское устройство. Следовательно, безопасность данных пользователя не обеспечивается.
[0012] Кроме того, известны способ и устройство для оплаты с использованием маяка, которые раскрыты в заявке № WO2017200291A1 (опубл. 23.11.2017 г.; МПК: G01S 1/68; G06Q 20/32; G06Q 20/34; G06Q 20/38; G06Q20/40; G06Q 30/02; H04L 9/32; H04W 84/18; H04W 88/02). Раскрытые в ней способ и устройство для оплаты с использованием маяка охватывают различные варианты осуществления. Один вариант осуществления направлен на обеспечение двунаправленной связи между платежным терминалом и пользовательским терминалом, обеспечение возможности работы на всех пользовательских терминалах, имеющих различные операционные системы, и обеспечение простой аутентификации на близком расстоянии даже без контакта на близком расстоянии. Другой вариант осуществления направлен на формирование канала связи на основе пользовательского терминала и маяка, когда пользовательский терминал, который подключен посредством проводов к платежному терминалу с использованием датчика расстояния, находится в пределах заранее определенного диапазона, чтобы ретранслировать информацию, относящуюся к платежу между пользовательским терминалом и платежным терминалом, тем самым преодолевая ограничения традиционных способов оплаты с использованием NFC и обеспечивая более эффективное платежное обслуживание.
[0013] Первый недостаток аналога заключается в том, что терминал посылает аутентификационные данные только после того, как соединение было установлено посредством мобильного устройства, что не дает мобильному устройству возможность провести предварительную проверку безопасности подключения. Помимо этого, в аналоге расстояние от терминала до пользовательского мобильного устройства может определяться лишь посредством оптического дальномера.
Сущность изобретения
[0014] Задачей настоящего изобретения является разработка системы и способа установления беспроводного соединения, обеспечивающих повышение безопасности и стабильности соединения между любыми вычислительными устройствами, сконфигурированными с возможностью установления беспроводного соединения.
[0015] Данная задача решается заявленным изобретением за счет достижения такого технического результата, как обеспечение повышения безопасности и стабильности соединения между любыми вычислительными устройствами, сконфигурированными с возможностью установления беспроводного соединения. Заявленный технический результат достигается в том числе, но не ограничиваясь, благодаря:
• возможности установления безопасного и стабильного беспроводного соединения для любых типов беспроводной связи;
• изменению мощности сигнала одного из вычислительных устройств в зависимости от его рабочего состояния.
[0016] Более полно, технический результат достигается способом установления беспроводного соединения. Согласно способу, сначала устанавливают первую мощность сигнала первого вычислительного устройства ниже стандартной мощности. На этой мощности вещают пакет данных, включающий по крайней мере один идентификатор поддерживаемого сервиса, при помощи первого вычислительного устройства. При направлении второго вычислительного устройства к первому вычислительному устройству устанавливают вторую мощность сигнала первого вычислительного устройства выше стандартной мощности. Получают пакет данных при помощи второго вычислительного устройства и проверяют полученный пакет данных. При подтверждении по крайней мере того, что идентификатор предоставляемого сервиса достоверен, инициируют установку беспроводного соединения при помощи второго вычислительного устройства и устанавливают беспроводное соединение.
[0017] При этом установка первой мощности первого вычислительного устройства ниже стандартной, во-первых, позволяет снизить энергопотребления в режиме ожидания и, во-вторых, улучшить локализацию устройства. Вещание пакета данных, включающего по крайней мере один идентификатор поддерживаемого сервиса, необходимо для возможности его получения вторыми вычислительными устройствами в режиме пассивного прослушивания. Изменение первой мощности сигнала на вторую мощность выше стандартной при направлении второго вычислительного устройства к первому вычислительному устройству необходимо для повышения стабильности связи и преодолении помех для повышения точности передачи пакета данных приблизившемуся второму вычислительному устройству. Проверка пакета данных на предмет того, является ли предоставляемый сервис необходимым и достоверным, нужна для последующей установки соединения именно с тем устройством, которое предоставляет необходимый сервис. То, что именно посредством второго вычислительного устройства инициируют установку беспроводного соединения, позволяет уменьшить выборку из окружающих устройств, повышая безопасность второго вычислительного устройства. Таким образом, сочетание этих признаков позволяет обеспечить повышения безопасности и стабильности соединения между любыми вычислительными устройствами, сконфигурированными с возможностью установления беспроводного соединения.
[0018] В рамках настоящего способа могут использовать сигнал вещания и соединения, частота которого выше 15 МГц. Так, при реализации настоящего способа может использоваться не только технология беспроводной связи NFC, но и технологии более дальнего действия, например, Bluetooth и Wi-Fi.
[0019] При помощи первого вычислительного устройства могут вещать пакет данных, включающий по крайней мере идентификатор доступного сервиса, данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства и данные о возможности подключения. В этом случае, при получении вторым вычислительным устройством пакетов данных от по крайней мере двух разных первых вычислительных устройств могут выбирать на основании пакетов данных одно первое вычислительное устройство, доступное для подключения и при помощи которого: (1) вещают сигнал, уровень которого выше уровня калибровки на расстояние, которое содержится в пакете данных; (2) вещают идентификатор необходимого сервиса. Это позволяет убедиться, что устройство является подходящим для подключения и соединения, в том числе в среде со множеством устройств, вещающих пакеты данных и доступных для подключения.
[0020] Помимо этого, при направлении второго вычислительного устройства к первому вычислительному устройству могут изменять пакет данных, причем измененный пакет данных может включать данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства, данные о возможности подключения и не более одного идентификатора поддерживаемого сервиса, причем идентификатор поддерживаемого сервиса является идентификатором сервиса, необходимого второму вычислительному устройству. Это позволяет сразу исключить устройства, которые не могут предоставить необходимый сервис, а также не перегружать второе вычислительное устройство при проверке пакетов данных.
[0021] Перед установлением первой мощности сигнала первого вычислительного устройства могут вещать пакет данных, содержащий по крайней мере один идентификатор сервиса, на стандартной мощности сигнала.
[0022] Предварительно могут регистрировать каждое вычислительное устройство на внешнем сервере для верификации устройств. Для этого могут предварительно генерировать пару асимметричный ключ (приватный и публичный ключи) для каждого вычислительного устройства, а также для сервера. После этого при регистрации могут отправлять идентификатор вычислительного устройства на вычислительное устройство. Затем идентификатор вычислительного устройства и открытый ключ могут подписывать с использованием приватного ключа при помощи вычислительного устройства. Далее отправляют на сервер подписанные идентификатор и публичный ключ вычислительного устройства, после чего при помощи сервера проверяют подпись и подписывают идентификатор и публичный ключ вычислительного устройства. В случае, если подпись верна, то отправляют публичный ключ сервера и удостоверяющий сертификат на вычислительное устройство. Таким образом, устройство становится верифицированным и подтверждается надежность и безопасность подключения к нему.
[0023] Зарегистрированные таким образом устройства после инициирования установки беспроводного соединения могут верифицировать соединение с использованием эллиптической криптографии. Это может осуществляться следующим образом. Сначала могут генерировать первую пару асимметричных ключей для сессии при помощи первого вычислительного устройства. Затем или одновременно могут генерировать вторую пару асимметричных ключей для сессии при помощи второго вычислительного устройства. После этого могут отправлять пакет данных для сессии, подписанный вторым приватным ключом, первому вычислительному устройству. При помощи первого вычислительного устройства могут проверять этот пакет данных и подпись, а после этого отправлять пакет данных для сессии, подписанный первым приватным ключом, второму вычислительному устройству. Таким образом, оба вычислительных устройства проверяют, что подпись действительна для данного пакета данных и связана с соответствующим открытым ключом, что позволяет убедиться в безопасности соединения с вычислительным устройством.
[0024] При этом дополнительно могут генерировать первый сессионный ключ при помощи первого вычислительного устройства путем вычисления произведения первого приватного ключа и второго публичного ключа, а также второй сессионный ключ при помощи второго вычислительного устройства путем вычисления произведения второго приватного ключа и первого публичного ключа. Таким образом, становится возможным создание общего секрета для каждой отдельной сессии, что позволяет обеспечивать отдельную и независимую безопасность каждой отдельной сессии, скрывать долгосрочные ключи устройств и улучшить криптографическую стойкость.
[0025] Также заявленный технический результат достигается системой установления беспроводного соединения. Система включает по крайней мере одно первое вычислительное устройство, поддерживающее по крайней мере один сервис и включающее память, модуль беспроводной связи и по крайней мере один датчик направления. Также система включает по крайней мере одно второе вычислительное устройство, включающее память и модуль беспроводной связи. При этом первое вычислительное устройство сконфигурировано с возможностью: (1) определения направления второго вычислительного устройства при помощи датчика направления; (2) вещания пакета данных, включающего по крайней мере идентификатор поддерживаемого сервиса, по беспроводной связи; (3) изменения мощности сигнала беспроводной связи со стандартной мощности сигнала на первую мощность сигнала; и (4) изменения мощности сигнала на вторую мощность сигнала при направлении второго вычислительного устройства к первому, где первая мощность сигнала ниже стандартной мощности сигнала, а вторая мощность сигнала выше стандартной мощности сигнала. Второе вычислительное устройство, в свою очередь, сконфигурировано с возможностью: (1) получения пакета данных от по крайней мере одного первого вычислительного устройства; (2) проверки пакета данных, полученного от по крайней мере одного первого вычислительного устройства; и (3) инициирования установки беспроводного соединения с первым вычислительным устройством.
[0026] Возможность установки первой мощности первого вычислительного устройства ниже стандартной необходима, во-первых, для снижения энергопотребления в режиме ожидания и, во-вторых, для улучшения локализации устройства. Вещание пакета данных, включающего по крайней мере один идентификатор поддерживаемого сервиса, необходимо для возможности его получения вторыми вычислительными устройствами в режиме пассивного прослушивания. Изменение первой мощности сигнала на вторую мощность выше стандартной при направлении второго вычислительного устройства к первому вычислительному устройству необходимо повышения стабильности связи и преодолении помех для повышения точности передачи пакета данных приблизившемуся второму вычислительному устройству. Для определения направления второго устройства к первому первое вычислительное устройство включает датчик направления. Проверка пакета данных на предмет того, является ли предоставляемый сервис необходимым, а первое вычислительное устройство подходящим для подключения и соединения. То, что именно второе вычислительное устройство сконфигурировано с возможностью установки беспроводного соединения, позволяет обеспечить безопасность второго вычислительного устройства и установить соединение с доверенным устройством в не доверенной среде. Таким образом, сочетание этих признаков позволяет обеспечить повышения безопасности и стабильности соединения между любыми вычислительными устройствами, сконфигурированными с возможностью установления беспроводного соединения.
[0027] Модули беспроводной связи могут быть сконфигурированы с возможностью передачи и получения данных на частотах выше 15 МГц. Так, может использоваться не только технология беспроводной связи NFC, но и технологии более дальнего действия, например, Bluetooth и Wi-Fi.
[0028] Вещаемый первым вычислительным устройством пакет данных может включать по крайней мере идентификатор доступного сервиса, данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства и данные о возможности подключения. В этом случае, при наличии более одного первого вычислительного устройства в системе, второе вычислительное устройство может быть дополнительно сконфигурировано с возможностью выбора на основании полученных пакетов данных одного первого вычислительного устройства, доступного для подключения и которое вещает идентификатор необходимого сервиса посредством сигнала, уровень которого выше уровня калибровки на расстояние, которое содержится в пакете данных. Это позволяет второму вычислительному устройству убедиться, что первое вычислительное устройство является подходящим и необходимым для подключения в том числе в среде со множеством устройств, вещающих пакеты данных и доступных для подключения.
[0029] Также первое вычислительное устройство может быть сконфигурировано с возможностью изменения пакета данных при изменении мощности сигнала на вторую мощность сигнала, причем измененный пакет данных включает данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства, данные о возможности подключения и не более одного идентификатора поддерживаемого сервиса, причем идентификатор поддерживаемого сервиса является идентификатором сервиса, необходимого второму вычислительному устройству. Это позволяет сразу исключить устройства, которые не могут предоставить необходимый сервис, а также не перегружать второе вычислительное устройство при проверке пакетов данных.
[0030] Память каждого вычислительного устройства может включать пару асимметричных ключей. При этом система может дополнительно включать сервер, сконфигурированный с возможностью связи с вычислительными устройствами и отправки вычислительным устройствам публичного ключа сервера и удостоверяющего сертификата, а память каждого вычислительного устройства дополнительно включает публичный ключ сервера и удостоверяющий сертификат. Это может позволить регистрировать вычислительные устройства на сервере для подтверждения их надежности.
[0031] Тогда также вычислительные устройства могут быть сконфигурированы с возможностью верификации соединения с использованием эллиптической криптографии путем: (1) генерации пары асимметричных ключей для сессии; (2) отправки пакетов данных для сессии, включающих публичный ключ и подписанных приватным ключом; и (3) проверки подписанных пакетов данных для сессии. Таким образом, оба вычислительных устройства проверяют, что подпись действительна для данного пакета данных и связана с соответствующим открытым ключом, что позволяет убедиться в безопасности соединения с вычислительным устройством.
[0032] При этом первое вычислительное устройство может дополнительно быть сконфигурировано с возможностью генерации первого сессионного ключа путем вычисления произведения первого приватного ключа и второго публичного ключа, а второе вычислительное устройство дополнительно сконфигурировано с возможностью генерации второго сессионного ключа путем вычисления произведения второго приватного ключа и первого публичного ключа. Таким образом, становится возможным создание общего секрета для каждой отдельной сессии, что позволяет обеспечивать отдельную и независимую безопасность каждой отдельной сессии, скрывать долгосрочные ключи устройств и улучшить криптографическую стойкость.
Описание чертежей
[0033] Объект притязаний по настоящей заявке описан по пунктам и чётко заявлен в формуле изобретения. Упомянутые выше задачи, признаки и преимущества изобретения очевидны из нижеследующего подробного описания, в сочетании с прилагаемыми чертежами, на которых показано:
[0034] На Фиг. 1 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения, согласно настоящему изобретению.
[0035] На Фиг. 2 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения при наличии нескольких вторых вычислительных устройств, согласно настоящему изобретению.
[0036] На Фиг. 3 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения при наличии нескольких первых вычислительных устройств, согласно настоящему изобретению.
[0037] На Фиг. 4 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения с дополнительными этапами взаимодействия, согласно настоящему изобретению.
[0038] На Фиг. 5 представлена блок-схема, иллюстрирующая процесс получения вычислительным устройством подписанного удостоверяющего сертификата от внешнего сервера, согласно настоящему изобретению.
[0039] На Фиг. 6 представлена блок-схема, иллюстрирующая процесс верификации соединения с использованием эллиптической криптографии, согласно настоящему изобретению.
Подробное описание изобретения
[0040] В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту, очевидно, каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях хорошо известные методы, процедуры и компоненты не описаны подробно, чтобы не затруднять излишне понимание особенностей настоящего изобретения.
[0041] Кроме того, из приведенного изложения ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены несущественных признаков изобретения, сохраняющие суть и форму настоящего изобретения, очевидны для квалифицированных в предметной области специалистов.
[0042] Система установления беспроводного соединения включает по крайней мере одно первое вычислительное устройство, поддерживающее по крайней мере один сервис и включающее память, модуль беспроводной связи и по крайней мере один датчик направления. Также система включает по крайней мере одно второе вычислительное устройство, включающее память и модуль беспроводной связи. При этом первое вычислительное устройство сконфигурировано с возможностью: (1) определения направления второго вычислительного устройства при помощи датчика направления; (2) вещания пакета данных, включающего по крайней мере идентификатор поддерживаемого сервиса, по беспроводной связи; (3) изменения мощности сигнала беспроводной связи со стандартной мощности сигнала на первую мощность сигнала; и (4) изменения мощности сигнала на вторую мощность сигнала при направлении второго вычислительного устройства к первому, где первая мощность сигнала ниже стандартной мощности сигнала, а вторая мощность сигнала выше стандартной мощности сигнала. Второе вычислительное устройство, в свою очередь, сконфигурировано с возможностью: (1) получения пакета данных от по крайней мере одного первого вычислительного устройства; (2) проверки пакета данных, полученного от по крайней мере одного первого вычислительного устройства; и (3) инициирования установки беспроводного соединения с первым вычислительным устройством.
[0043] Первое вычислительное устройство в рамках настоящего изобретения является устройством, предоставляющим доступ к сервису, например, к бесконтактной оплате или системе контроля и управления доступом. В зависимости от конкретного применения заявленной системы, первое вычислительное устройство может быть выполнено различными способами и являться различными вычислительными средствами. Однако, важным в рамках настоящего изобретения и объединяющим для всех таких устройств является наличие в них памяти, модуля беспроводного связи и датчик направления. При этом память необходима для хранения списка идентификаторов доступных данному вычислительному устройству сервисов, модуль беспроводной связи – для возможности подключения к иным вычислительным устройствам (передачи им данных, а также получения данных от них), а датчик направления – для определения приближения иного второго вычислительного устройства к первому.
[0044] Под сервисом в рамках данной заявки подразумевается некоторая функциональная возможность или атрибут, предоставляемый первым вычислительным устройством через профиль технологии беспроводной связи. В частности, среди таких сервисов могут быть: оплата и финансовые сервисы (мобильные кошельки, платежи, бесконтактные транзакции с банковскими картами и мобильными устройствами и прочее), учет и контроль доступа (использование технологий беспроводной связи для входа в здания, офисы, открывания дверей и прочих сценариев контроля доступа), идентификация и аутентификация (идентификация пользователей или устройств в различных контекстах, включая вход в систему, взаимодействие с IoT-устройствами и т.д.) и многие другие сервисы. При этом каждый сервис представляет собой набор атрибутов, которые описывают конкретную функциональность устройства. Каждый сервис может иметь уникальный идентификатор (8-битный, 16-битный, 32-битный и т.д.), который используется для его идентификации. При этом эти сервисы могут предоставляться через любую известную технологию беспроводной связи (NFC, BLE, Wi-Fi и др.).
[0045] Модуль беспроводной связи предназначен для передачи и/или приема данных посредством беспроводных технологий. Он включает в себя компоненты, необходимые для работы с конкретным типом беспроводной связи, таким как Wi-Fi, Bluetooth, NFC, Zigbee, LoRa и т.д. В рамках настоящего изобретения, доступ к финансовым сервисам, сервисам для учета и контроля доступа и другим может осуществляться не только с использованием технологии NFC, но и с использованием технологий беспроводной связи более дальнего действия, например, Wi-Fi, Bluetooth. Таким образом, модули беспроводной связи могут быть сконфигурированы с возможностью передачи и получения данных на частотах выше 15 МГц. Это позволяет устанавливать соединение даже в тех случаях, когда у второго вычислительного устройства отсутствует NFC-считыватель или NFC-метка либо они отключены. Например, это позволяет совершать бесконтактную оплату посредством Bluetooth с использованием смартфонов производства Apple, несмотря на блокировку NFC-считывателей и NFC-меток со стороны производителя. Помимо этого, использование Bluetooth или Wi-Fi соединения дополнительно позволяет обмениваться данными на значительном расстоянии. Таким образом, например, при проведении бесконтактных платежей отпадает необходимости держать носитель (карту/смартфон) в поле действия терминала на протяжении всей транзакции.
[0046] Вещание пакета данных необходимо для возможности вторыми вычислительными устройствами определить, что в их поле имеется первое вычислительное устройство. Вещание может осуществляться, в частности, с использованием общевещательной посылки (Advertising Packet) в спецификации BLE. Общевещательные посылки в BLE позволяют первому вычислительному устройству привлекать внимание неограниченного круга вторых вычислительных устройств в области досягаемости сигнала без необходимости устанавливать активное соединение с каждым из них. В этом случае вещание реализовывается следующим образом. Сначала с помощью первого вычислительного устройства генерируют общевещательную посылку, которая включает по крайней мере идентификаторы доступных сервисов, но может включать и иные данные. Затем осуществляют настройку параметров вещания, где, в частности, устанавливают интервалы времени между отправками общевещательных посылок, мощность сигнала (в рамках настоящего изобретения сначала устанавливают первую мощность сигнала) и другие параметры. Затем первое вычислительное устройство начинает периодически вещать общевещательные посылки через определенные интервалы времени. При этом при помощи одного или множества вторых вычислительных устройств включают приемник BLE (модуль беспроводной связи) и прослушивают канал вещания, ожидая получение общевещательных посылок. Когда второе вычислительное устройство обнаруживает общевещательную посылку, оно может начать взаимодействие с первым вычислительным устройством, если необходимо. В зависимости от содержимого общевещательной посылки и целей второго вычислительного устройства (необходимости открыть дверь, произвести бесконтактную оплату или иные возможные варианты), при помощи второго вычислительного устройства могут инициировать установку активного соединения для последующего взаимодействия.
[0047] Для вещания данных для неограниченного круга устройств через Wi-Fi (или любой другой сетевой протокол) может использоваться технология, называемая мультикастингом (multicasting). Мультикастинг позволяет отправителю передавать данные нескольким получателям сразу, что сильно снижает нагрузку на сеть, однако, требует включения в систему дополнительных сетевых маршрутизаторов. Для этого сначала формируют мультикаст-группы, которой будут принадлежать вторые вычислительные устройства. Группа имеет уникальный IP-адрес и порт для входящих данных. Затем настраивают конфигурацию вещания первого вычислительного устройства, задавая IP-адрес и порт мультикаст-группы, которой необходимо вещать пакеты данных. Далее при помощи первого вычислительного устройства создают пакеты данных, которые необходимо вещать, и отправляют их на IP-адрес и порт мультикаст-группы. Затем сетевое оборудование, такое как маршрутизаторы, автоматически копируют пакеты в пределах сети для всех вторых вычислительных устройств, принадлежащих к той же мультикаст-группе. После этого, вторые вычислительные устройства, которые присоединены к той же мультикаст-группе, получают и обрабатывают эти пакеты. Затем устройства могут отобразить, воспроизвести или каким-то иным образом обработать полученные данные в зависимости от их типа. Так же, как и в случае с Bluetooth, далее в зависимости от содержимого пакета данных и целей второго вычислительного устройства (необходимости открыть дверь, произвести бесконтактную оплату или иные возможные варианты), при помощи второго вычислительного устройства могут инициировать установку активного соединения для последующего взаимодействия с первым вычислительным устройством, например, посредством Wi-Fi Direct или с использованием других типов беспроводной связи.
[0048] При использовании NFC нельзя вещать на неограниченный круг устройств в один момент. NFC предназначен для ближней связи, и его действие ограничено расстоянием в несколько сантиметров. Обычно, устройства должны быть в пределах 10 сантиметров друг от друга для успешной передачи данных. Тем не менее, можно создать сценарии, в которых данные посылаются множеству устройств, однако это будет происходить последовательно, и каждое устройство должно будет приблизиться к источнику данных. Тогда пакеты данных будут поочередно передаваться каждому приблизившемуся второму вычислительному устройству.
[0049] Установка первой мощности первого вычислительного устройства ниже стандартной, во-первых, позволяет снизить энергопотребления в режиме ожидания и, во-вторых, уменьшить интерференцию, улучшив разрешение. Уменьшение интерференции достигается за счет того, что более слабый сигнал имеет меньшую вероятность вызвать помехи или влияние от окружающей среды. Это особенно важно в помещениях, где множество других устройств может генерировать радиосигналы. Также по мере уменьшения мощности сигнала, область покрытия каждого устройства снижается. Это позволяет более точно определить местоположение, так как сигналы будут менее «размытыми» и более точно сосредотачиваются вокруг устройства. При этом первая мощность сигнала может также являться нулевой мощностью сигнала.
[0050] Изменение мощности сигнала на вторую мощность выше стандартной при направлении второго вычислительного устройства к первому вычислительному устройству необходимо для повышения стабильности связи и преодолении помех для повышения точности передачи пакета данных приблизившемуся второму вычислительному устройству. В первую очередь, увеличение мощности сигнала позволяет увеличить дальность связи между устройствами. Это может быть полезно, если требуется установить связь на больших расстояниях или в условиях сильных помех. Также в некоторых помещениях может существовать сильная электромагнитная помеха, которая может мешать нормальной передаче данных. Повышение мощности может помочь преодолеть эти помехи. Помимо этого, повышение мощности может помочь в поддержании стабильной связи в условиях, где сигнал может подвергаться внешним воздействиям, таким как перегородки, стены, металлические поверхности и т.д. Важно отметить, что могут изменять мощность на вторую как с нулевой мощности, так и с ненулевой. Таким образом, начинать вещание конкретному второму вычислительному устройству только тогда, когда оно было направлено к первому вычислительному устройству.
[0051] Таким образом, изменение мощности сигнала позволяет сбалансировать эффективность передачи данных с уменьшением потребления энергии в устройствах, а также повысить безопасность для устройств. Низкая мощность вещания в режиме ожидания первого вычислительного устройства необходима как для уменьшения потребления электроэнергии, так и для ограничения радиуса действия, что особенно важно для обеспечения безопасности при использовании технологий беспроводного соединения с большим радиусов действия (Bluetooth, Wi-Fi и другие). Так, второе вычислительное устройство будет получать пакеты данных только от тех устройств, которые находятся в непосредственной близости (например, в пределах одного помещения). Повышение же мощности до максимальной, когда второе вычислительное устройство приблизилось к конкретному первому вычислительному устройству, а первое вычислительное устройство доступно для соединения, необходимо для повышения эффективности и надежности передачи данных, предотвращая возможные помехи сигнала, особенно, когда в области действия множество первых и вторых вычислительных устройств.
[0052] Датчик направления предназначен для определения направления и/или приближения второго вычислительного устройства к первому. При таким направлении и/или приближении первое вычислительное устройство переходит из режима ожидания в режим готовности к подключению (например, эмулируя при этом NFC сигнал). Такой датчик может быть реализован множеством различных способов.
[0053] В первом варианте датчик направления может являться емкостным сенсором. Емкостной сенсор (или proximity sensor) позволяет определять, что в поле нескольких сантиметров находится второе вычислительное устройство. В этот момент первое вычислительное устройство увеличивает мощность сигнала вещания (изменяет мощность сигнала с первой на вторую), а также дополнительно может изменять темп вещания (отправки пакета данных для возможности подключения) и сам пакет данных, начиная вещать идентификатор сервиса, который ожидает второе вычислительное устройство. Однако, данный сенсор не отличает второе вычислительное устройство от иных объектов, которые могли бы приблизиться (например, руки).
[0054] В другом варианте реализации может быть использован индуктивный сенсор. Индуктивный сенсор может позволить отличать объекты, приближающиеся к первому вычислительному устройству, в частности, отличить руку от второго вычислительного устройства. Индуктивный сенсор также может использоваться в сочетании с емкостным сенсором. Это может позволить отличить, пользователь внес руку с обычной бесконтактной картой или со вторым вычислительным устройством, и на основании этого изменять логику работы первого вычислительного устройства.
[0055] Также в качестве датчика направления может использоваться инфракрасный датчик (Time-of-Flight). Он также может позволить отличать человека от второго вычислительного устройства в области действия. При этом инфракрасный датчик имеет повышенный радиус действия, благодаря чему соединение может устанавливаться с отдаленными объектами.
[0056] Еще одним вариантом реализации датчика управления является UWB-передатчик, позволяющий с высокой точностью определить расстояние и угол до объекта обмена или радар, используемый для активации. Данный вариант реализации также имеет повышенный радиус определения.
[0057] Помимо этого, первое вычислительное устройство может включать несколько датчиков (или массив антенн, например «фазированную решетку»), позволяющую определять направление и расстояние до второго вычислительного устройства.
[0058] Однако важно подчеркнуть, что представленный выше перечень возможных вариантов реализации не является исчерпывающим. Возможно также и использование иных известных датчиков, способных определять направление второго вычислительного устройства в сторону первого или приближение второго к первому.
[0059] Второе вычислительное устройство в рамках настоящего изобретения является устройством, которому необходимо получить доступ к сервису, например, к бесконтактной оплате или системе контроля и управления доступом. В зависимости от конкретного применения заявленной системы, второе вычислительное устройство может быть выполнено различными способами и являться различными вычислительными средствами. Однако, важным в рамках настоящего изобретения и объединяющим для всех таких устройств является наличие в них памяти и модуля беспроводного связи. При этом модуль беспроводной связи, как и в случае с первым вычислительным устройством, необходим для возможности подключения к иным вычислительным устройствам (передачи им данных, а также получения данных от них).
[0060] Проверка пакета данных вторых вычислительным устройством необходима по крайней мере для того, чтобы понять, предоставляет ли первое вычислительное устройство, от которого был получен этот пакет данных, необходимый сервис. Это позволяет избежать соединения с ненужными устройствами, в том числе с устройствами мошенников. При этом для еще большего увеличения безопасности при соединении вещаемый пакет данных может дополнительно включать и иные данные. В частности, пакет данных может дополнительно включать данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства и данные о возможности подключения. При этом пакет данных может дополнительно включать лишь что-то одно из перечисленного, все сразу или перечисленные данные в любой комбинации. Важно отметить, что данные о калибровке сигнала на расстоянии (RSSI – Received Signal Strength Indication) представляют собой показатель силы принимаемого радиосигнала. Он измеряется в децибелах (дБ) и используется для оценки мощности сигнала, принимаемого вторым вычислительным устройством от первого.
[0061] При наличии в пакете данных данных о возможности соединения с устройством, в ходе проверки пакета данных с помощью второго вычислительного устройства проверяют, доступно ли первое вычислительное устройство для подключения. Если оно доступно, то результат проверки положительный, и второе вычислительное устройство может инициировать установку соединения. Данные о возможности подключения могут задаваться, например, флагом «connectable» или «unconnectable», соответственно, или посредством логического типа данных boolean, где значение «1» – доступный для подключения, а значение «0» – недоступный для подключения.
[0062] При наличии в пакете данных данных о калибровке сигнала на расстоянии, с помощью второго вычислительного устройства проверяют, является ли уровень (мощность) вещаемого первым вычислительным устройством сигнала выше уровня калибровки на расстояние. Это позволяет проверить, находится ли первое вычислительное устройство в близости с вторым вычислительным устройством. В случае, если мощность вещаемого сигнала выше, то результат проверки положительный, а второе вычислительное устройство может инициировать установку соединения. В противном случае, инициирование беспроводного соединения не будет осуществлено.
[0063] Для инициирования установки соединения результаты всех проверок должны быть положительными. При этом также важно отметить, что если второе вычислительное устройство сконфигурировано с возможностью проверки каких-то данных, которые не были включены в вещаемый пакет данных, то вторым вычислительным устройством также не будет произведено инициирование установки беспроводного соединения. Это позволяет убедиться, что устройство является надежным и необходимым для подключения в том числе в среде со множеством устройств, вещающих пакеты данных и доступных для подключения.
[0064] Именно по этой причине, для обеспечения безопасности второго вычислительного устройства (пользовательского устройства и данных, хранящихся на пользовательском устройстве) инициирование установки беспроводного соединение осуществляют посредством второго вычислительного устройства, а не первого. А само инициирование осуществляют лишь при положительных результатах проверки пакета данных.
[0065] Описанная система может работать в соответствии со способом установления беспроводного соединения, раскрытого в настоящем изобретении. На Фиг. 1 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения, согласно настоящему изобретению. Согласно способу, сначала устанавливают первую мощность сигнала первого вычислительного устройства ниже стандартной мощности. На этой мощности вещают пакет данных, включающий по крайней мере один идентификатор поддерживаемого сервиса, при помощи первого вычислительного устройства. При направлении второго вычислительного устройства к первому вычислительному устройству устанавливают вторую мощность сигнала первого вычислительного устройства выше стандартной мощности. Получают пакет данных при помощи второго вычислительного устройства и проверяют полученный пакет данных. При подтверждении по крайней мере того, что идентификатор предоставляемого сервиса достоверен, инициируют установку беспроводного соединения при помощи второго вычислительного устройства и устанавливают беспроводное соединение.
[0066] Как было сказано ранее, в области вещания первого вычислительного могут находиться несколько вторых вычислительных устройств. Блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения в этом случае, представлена на Фиг. 2. Как видно на Фигуре, в этом случае несколько вторых вычислительных устройств получают первый вещаемый пакет данных на малой мощности, но второй пакет данных в режиме подключения отправляют уже только на второе вычислительное устройство, которое было приближено к первому вычислительному устройству. В последствии, соединение устанавливают именно с приблизившимся вторым вычислительным устройством.
[0067] Похожим образом устроена ситуация, когда вблизи одного второго вычислительного устройства имеются несколько первых вычислительных устройств. Схема взаимодействия для этого случая представлена на Фиг. 3. Сначала второе вычислительное устройство получает вещаемые пакеты данных сразу от двух первых вычислительных устройств. Затем, если второе вычислительное устройство было направлено только в сторону одного из вторых вычислительных устройств, то дальнейшее взаимодействие аналогично взаимодействию, показанному на Фиг. 1. Однако, если датчики направления обоих первых вычислительных устройств определили, что второе вычислительное устройство направилось и/или приблизилось к ним, то оба переходят из режима ожидания в режим подключения (режим эмуляции NFC) и устанавливают вторую мощность сигнала. Тогда второе вычислительное устройство получает пакеты данных от обоих первых вычислительных устройств и проверяет их. При этом по крайней мере на основании данных о предоставляемых каждым первым вычислительным устройством сервисах при помощи второго вычислительного устройства выбирают, с каким из них устанавливать беспроводное соединение. Далее инициируют установку беспроводного соединения с выбранным устройством и устанавливают беспроводное соединение с выбранным устройством.
[0068] Варианты взаимодействий, показанные на Фиг. 2 и Фиг. 3, могут быть масштабированы на большее количество как первых, так и вторых вычислительных устройств, что очевидно из настоящих материалов для специалиста в области техники. При этом все описанное также верно для систем, в которых одновременно присутствуют множество первых вычислительных устройств и множество вторых вычислительных устройств.
[0069] Первое вычислительное устройство может быть дополнительно сконфигурировано с возможностью изменения пакета данных при изменении мощности сигнала на вторую мощность сигнала. Причем измененный пакет данных включает данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства, данные о возможности подключения и не более одного идентификатора поддерживаемого сервиса, причем идентификатор поддерживаемого сервиса является идентификатором сервиса, необходимого второму вычислительному устройству. Это позволяет сразу исключить устройства, которые не могут предоставить необходимый сервис, а также не перегружать второе вычислительное устройство при проверке пакетов данных. Таким образом, первое вычислительное устройство может сначала вещать общий профиль для информирования вторых вычислительных устройств о своем присутствии в области досягаемости сигнала, а затем изменять посылку для конкретного второго вычислительного устройства, оказавшегося в ближайшей зоне подключения.
[0070] Помимо этого, вычислительные устройства могут быть сконфигурированы с возможностью верификации соединения. Это позволяет убедиться, что оба устройства верифицированы (валидированы) удостоверяющим центром, а соединение между ними безопасно, что еще больше увеличивает безопасность подключения. Также это позволяет избежать передачи данных на сторонние вычислительные устройства.
[0071] На Фиг. 4 представлена блок-схема, иллюстрирующая взаимодействие первого и второго вычислительных устройств для установления беспроводного соединения с дополнительными этапами взаимодействия, описанными выше, согласно настоящему изобретению. Как видно на Фигуре, сначала устанавливают первую мощность сигнала первого вычислительного устройства ниже стандартной мощности. На этой мощности вещают пакет данных, включающий по крайней мере один идентификатор поддерживаемого сервиса, при помощи первого вычислительного устройства. При направлении второго вычислительного устройства к первому вычислительному устройству устанавливают вторую мощность сигнала первого вычислительного устройства выше стандартной мощности и изменяют пакет данных. Получают измененный пакет данных при помощи второго вычислительного устройства и проверяют полученный пакет данных. При подтверждении по крайней мере того, что идентификатор предоставляемого сервиса достоверен, инициируют установку беспроводного соединения при помощи второго вычислительного устройства. Затем оба устройства верифицируют соединение и устанавливают беспроводное соединение.
[0072] Чтобы устройства имели возможность верифицировать соединение, они должны быть предварительно зарегистрированы на стороннем сервере (удостоверяющий центр). В этом случае память каждого вычислительного устройства может включать пару асимметричных ключей. При этом система может дополнительно включать сервер, сконфигурированный с возможностью связи с вычислительными устройствами и отправки вычислительным устройствам публичного ключа сервера и удостоверяющего сертификата, а память каждого вычислительного устройства дополнительно включает публичный ключ сервера и удостоверяющий сертификат. Это может позволить регистрировать вычислительные устройства на сервере для подтверждения их надежности.
[0073] Процесс этой регистрации представлен на Фиг. 5. Для этого при помощи вычислительного устройства предварительно генерируют пару асимметричных ключей шифрования и хранят их памяти устройства. Также генерируют пару асимметричных ключей шифрования при помощи сервера. Затем при помощи вычислительного устройства отправляют идентификатор этого вычислительного устройства и публичный ключ из пары асимметричных ключей на сервер, направляя таким образом запрос на регистрацию. После этого при помощи сервера отправляют набор случайных данных вычислительному устройству. При помощи вычислительного устройства подписывают набор случайных данных с использованием приватного ключа вычислительного устройства и отправляют подписанный набор случайных данных серверу. Далее проверяют подпись при помощи сервера и, в случае положительного результата проверки, отправляют публичный ключ сервера и удостоверяющий сертификат вычислительному устройству. При помощи вычислительному устройства сохраняют ключ сервера и удостоверяющий сертификат в память. Регистрация осуществляется одинаковым образом как для первого, так и для второго вычислительного устройства, в связи с чем в данном абзаце используется не конкретизирующий термин «вычислительное устройство». Подпись при этом может создаваться на основании любого известного алгоритма, например, RSA, DSA, ECDSA и др.
[0074] Однако, в ином варианте, с набор данных может быть не случайным, а включать в себя идентификатор вычислительного устройства и публичный ключ сервера. В этом случае, при регистрации могут отправлять идентификатор вычислительного устройства на вычислительное устройство. Затем идентификатор вычислительного устройства и открытый ключ могут подписывать с использованием приватного ключа при помощи вычислительного устройства. Далее отправляют на сервер подписанные идентификатор и публичный ключ вычислительного устройства, после чего при помощи сервера проверяют подпись и подписывают идентификатор и публичный ключ вычислительного устройства. набор случайных данных на вычислительное устройство. Затем полученный набор случайных данных могут подписывать с использованием приватного ключа при помощи вычислительного устройства. Далее отправляют на сервер идентификатор вычислительного устройства, подписанный набор случайных данных и публичный ключ, после чего при помощи сервера проверяют подпись. В случае, если подпись верна, то отправляют публичный ключ сервера и удостоверяющий сертификат на вычислительное устройство. Таким образом, устройство становится зарегистрированным верифицированными и подтверждается надежность и безопасность подключения к нему.
[0075] Важно при этом отметить, что благодаря хранению сертификатов и собственных асимметричных ключей в памяти, оба вычислительных устройства могут выполнять верификацию соединения, не имея доступа к сети Интернет в момент подключения. Зачастую подключение к сети Интернет перед установлением беспроводного соединения необходимо для осуществления проверки каждого из вычислительных устройств сторонним сервером (удостоверяющим центром и, например, при бесконтактных оплатах сервером банка-эмитента карты пользователя). Постоянное обращение к серверам множества устройств для каждой отдельной сессии может значительно перегружать как сервера, так и вычислительные устройства. В связи с этим в рамках настоящего изобретения все этапы обеспечения безопасности производятся перед установлением соединения, а инициатором установки беспроводного соединения является именно второе (пользовательское) вычислительное устройство.
[0076] Вычислительные устройства, зарегистрированные вышеописанным способом, могут быть также дополнительно сконфигурированы с возможностью верификации соединения, как уже упоминалось выше. В частности, они могут быть сконфигурированы с возможностью верификации соединения с использованием эллиптической криптографии путем: (1) генерации пары асимметричных ключей для сессии; (2) отправки пакетов данных для сессии, включающих публичный ключ и подписанных приватным ключом; и (3) проверки подписанных пакетов данных для сессии. Таким образом, оба вычислительных устройства могут проверять, что подпись действительна для данного пакета данных и связана с соответствующим открытым ключом, что позволяет убедиться в безопасности соединения с вычислительным устройством.
[0077] Процесс взаимодействия вычислительных устройств в ходе верификации соединения может осуществляться так, как показано на Фиг. 6. В этом случае, при помощи обоих вычислительных устройств сначала генерируют пару асимметричных ключей сессии. Затем при помощи второго вычислительного устройства отправляют первому: (1) удостоверяющий сертификат второго вычислительного устройства; (2) публичный ключ сессии, сгенерированный вторым вычислительным устройством; и (3) данные сессии, подписанные с использованием приватного ключа второго вычислительного устройства. При помощи первого вычислительного устройства проверяют этот набор данных и, в случае положительного результата проверки, отправляют второму вычислительному устройству другой набор данных, включающий: (1) удостоверяющий сертификат первого вычислительного устройства; (2) публичный ключ сессии, сгенерированный первым вычислительным устройством; и (3) данные сессии, подписанные с использованием приватного ключа первого вычислительного устройства. При помощи второго вычислительного устройства проверяют этот набор данных и, в случае положительного результата проверки, устанавливают верифицированное беспроводное соединение с первым вычислительным устройством.
[0078] Ключи сессии первого вычислительного устройства могут быть сгенерированы путем вычисления произведения приватного ключа первого вычислительного устройства и публичного ключа второго вычислительного устройства. Второе вычислительное устройство, в свою очередь, может быть дополнительно сконфигурировано с возможностью генерации ключа сессии второго вычислительного устройства (второй сессионный ключ) путем вычисления произведения второго приватного ключа и первого публичного ключа. Таким образом, становится возможным создание общего секрета (shared secret) для каждой отдельной сессии, что позволяет обеспечивать отдельную и независимую безопасность каждой отдельной сессии, скрывать долгосрочные ключи устройств и улучшить криптографическую стойкость. Это, в свою очередь, дополнительно повышает безопасность и надежность соединения. Создание уникального общего секрета (shared secret) для каждой сессии позволяет изолировать трафик и данные каждой сессии. Это означает, что, даже если одна из сессий по каким-то причинам компрометирована, остальные сессии остаются безопасными.
[0079] Все, сказанное выше, верно также и для способа установления беспроводного соединения, согласно настоящему изобретению. Согласно способу, сначала устанавливают первую мощность сигнала первого вычислительного устройства ниже стандартной мощности. На этой мощности вещают пакет данных, включающий по крайней мере один идентификатор поддерживаемого сервиса, при помощи первого вычислительного устройства. При направлении второго вычислительного устройства к первому вычислительному устройству устанавливают вторую мощность сигнала первого вычислительного устройства выше стандартной мощности. Получают пакет данных при помощи второго вычислительного устройства и проверяют полученный пакет данных. При подтверждении по крайней мере того, что идентификатор предоставляемого сервиса достоверен, инициируют установку беспроводного соединения при помощи второго вычислительного устройства и устанавливают беспроводное соединение.
[0080] При этом, в рамках настоящего способа могут использовать сигнал вещания и соединения, частота которого выше 15 МГц. Так, при реализации настоящего способа может использоваться не только технология беспроводной связи NFC, но и технологии более дальнего действия, например, Bluetooth и Wi-Fi.
[0081] Также при помощи первого вычислительного устройства могут вещать пакет данных, включающий по крайней мере идентификатор доступного сервиса, данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства и данные о возможности подключения. В этом случае, при получении вторым вычислительным устройством пакетов данных от по крайней мере двух разных первых вычислительных устройств могут выбирать на основании пакетов данных одно первое вычислительное устройство, доступное для подключения и при помощи которого: (1) вещают сигнал, уровень которого выше уровня калибровки на расстояние, которое содержится в пакете данных; (2) вещают идентификатор необходимого сервиса. Это позволяет убедиться, что устройство является подходящим и необходимым для подключения в том числе в среде со множеством устройств, вещающих пакеты данных и доступных для подключения.
[0082] Помимо этого, при направлении второго вычислительного устройства к первому вычислительному устройству могут изменять пакет данных, причем измененный пакет данных может включать данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства, данные о возможности подключения и не более одного идентификатора поддерживаемого сервиса, причем идентификатор поддерживаемого сервиса является идентификатором сервиса, необходимого второму вычислительному устройству. Это позволяет сразу исключить устройства, которые не могут предоставить необходимый сервис, а также не перегружать второе вычислительное устройство при проверке пакетов данных.
[0083] Перед установлением первой мощности сигнала первого вычислительного устройства могут вещать пакет данных, содержащий по крайней мере один идентификатор сервиса, на стандартной мощности сигнала.
[0084] Предварительно могут регистрировать каждое вычислительное устройство на внешнем сервере для верификации устройств. Для этого могут предварительно генерировать пару асимметричный ключ (приватный и публичный ключи) для каждого вычислительного устройства, а также для сервера. После этого при регистрации могут отправлять идентификатор вычислительного устройства на вычислительное устройство. Затем идентификатор вычислительного устройства и открытый ключ могут подписывать с использованием приватного ключа при помощи вычислительного устройства. Далее отправляют на сервер подписанные идентификатор и публичный ключ вычислительного устройства, после чего при помощи сервера проверяют подпись и подписывают идентификатор и публичный ключ вычислительного устройства. В случае, если подпись верна, то отправляют публичный ключ сервера и удостоверяющий сертификат на вычислительное устройство. Таким образом, устройство становится верифицированными и подтверждается надежность и безопасность подключения к нему.
[0085] Зарегистрированные таким образом устройства после инициирования установки беспроводного соединения могут верифицировать соединение с использованием эллиптической криптографии. Это может осуществляться следующим образом. Сначала могут генерировать первую пару асимметричных ключей для сессии при помощи первого вычислительного устройства. Затем или одновременно могут генерировать вторую пару асимметричных ключей для сессии при помощи второго вычислительного устройства. После этого могут отправлять пакет данных для сессии, подписанный вторым приватным ключом, первому вычислительному устройству. При помощи первого вычислительного устройства могут проверять этот пакет данных и подпись, а после этого отправлять пакет данных для сессии, подписанный первым приватным ключом, второму вычислительному устройству. Таким образом, оба вычислительных устройства проверяют, что подпись действительна для данного пакета данных и связана с соответствующим открытым ключом, что позволяет убедиться в безопасности соединения с вычислительным устройством.
[0086] При этом дополнительно могут генерировать первый сессионный ключ при помощи первого вычислительного устройства путем вычисления произведения первого приватного ключа и второго публичного ключа, а также второй сессионный ключ при помощи второго вычислительного устройства путем вычисления произведения второго приватного ключа и первого публичного ключа. Таким образом, становится возможным создание общего секрета для каждой отдельной сессии, что позволяет обеспечивать отдельную и независимую безопасность каждой отдельной сессии, скрывать долгосрочные ключи устройств и улучшить криптографическую стойкость.
[0087] Важно отметить, что любые дополнительные признаки системы установления беспроводного соединения, описанные выше, могут использоваться в системе по отдельности, все вместе одновременно, а также в любой комбинации. Реализация системы с любым дополнительным элементом или конфигурацией элементов будет приводить к достижению дополнительных технических результатов, описанных ранее, наряду с основным техническим результатом. Помимо этого, любой из дополнительных признаков системы может быть интерпретирован как дополнительный признак способа установления беспроводного соединения. Аналогично любой из дополнительных признаков способа установления беспроводного соединения может быть интерпретирован как дополнительный признак системы установления беспроводного соединения.
[0088] Описанные система и способ могут найти свое применение в системах и способах проведения бесконтактной оплаты при помощи смартфона или для систем контроля и управления доступом (СКУД), в которых безопасность соединения, а также достоверность подключения к необходимому устройству, а не к устройству злоумышленника, является крайне важным фактором.
[0089] В случае с применением системы и способа установления беспроводного соединения для осуществления бесконтактной оплаты, первое вычислительное устройство является платежным терминалом, а второе вычислительное устройство – смартфоном. Тогда терминал сначала вещает свой общий профиль на первой мощности. Общий профиль на платежном терминале представляет собой стандартную или базовую конфигурацию, способную обрабатывать широкий спектр методов оплаты, таких как кредитные и дебетовые карты, а возможно, и другие виды оплаты, такие как мобильные кошельки или бесконтактные платежи. Он не имеет специализированных настроек для конкретных методов оплаты или приложений. При направлении же смартфона к терминалу при помощи терминала изменяют мощность с первой на вторую и меняют вещаемый профиль на профиль кошелька. Профиль кошелька на платежном терминале представляет собой конкретную конфигурацию, предназначенную для обработки платежей с использованием цифровых кошельков, т.е. настройки и конфигурации, оптимизированные для обработки платежей именно из приложений цифровых кошельков. При этом проверка смартфоном данных профиля кошелька осуществляется при помощи приложения кошелька (или приложения для бесконтактной оплаты), предварительно установленного на смартфон. Также в этом случае данные сессии включают в себя, например, сумму финансовой транзакции.
[0090] Дополнительно при этом приложение может включать не только платежные реквизиты пользователя, но и данные о всех картах лояльности, принадлежащих пользователю. Благодаря этому, отсутствует необходимость каждый раз доставать карту лояльности при совершении покупок, а данные о ней могут передаваться терминалу вместе с платежными реквизитами.
[0091] В варианте, когда настоящие система и способ используют в системе и способе контроля и управления доступом для открытия дверных замков посредством смартфона, первое вычислительное устройство является умным замком (или блоком управления, подключенным к замку), а второе вычислительное устройство – смартфоном. Тогда «замок» может вещать идентификаторы множества открываемых им дверей (в том числе шлагбаумов, калиток, окон и др.). Когда смартфон направляется к замку, замок может начать вещать лишь один идентификатор, относящийся к конкретной двери (или иному открываемому объекту), открыть которую необходимо пользователю смартфона. Данные сессии со стороны смартфона тогда может включать список идентификаторов ключей (открытия двери), которые ему доступны. Замок сравнит ключи с необходимым ключом и откроет дверь при положительном результате проверки. Проверки со стороны смартфона, аналогично предыдущему варианту, также осуществляются с использованием заранее установленного на смартфон приложения.
[0092] Также возможен вариант, когда в памяти смартфоне записан только идентификатор пользователя, а не множество ключей, а в памяти замка записан список пользователей, которым разрешено открытие и/или закрытие этой двери. В этом случае замок сравнивает не ключ, а уникальные идентификаторы пользователей со списком допустимых идентификаторов пользователей.
[0093] При этом, описанные ранее система и способ установления беспроводного соединения могут применяться и в других целях для реализации иных технологий, не раскрытых в настоящей заявке, в том числе, для передачи между устройствами медиафайлов и др.
[0094] В настоящих материалах заявки представлено предпочтительное раскрытие осуществления заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.
Claims (56)
1. Способ установления беспроводного соединения, по которому:
- устанавливают первую мощность сигнала первого вычислительного устройства ниже стандартной мощности;
- вещают пакет данных, включающий по крайней мере один идентификатор поддерживаемого сервиса, при помощи первого вычислительного устройства;
- при направлении второго вычислительного устройства к первому вычислительному устройству устанавливают вторую мощность сигнала первого вычислительного устройства выше стандартной мощности;
- получают пакет данных при помощи второго вычислительного устройства;
- проверяют пакет данных при помощи второго вычислительного устройства;
- при подтверждении по крайней мере того, что идентификатор предоставляемого сервиса достоверен, инициируют установку беспроводного соединения при помощи второго вычислительного устройства и устанавливают беспроводное соединение.
2. Способ по п. 1, отличающийся тем, что используют сигнал вещания и соединения, частота которого выше 15 МГц.
3. Способ по п. 1, отличающийся тем, что перед установлением первой мощности сигнала первого вычислительного устройства вещают пакет данных, содержащий по крайней мере один идентификатор сервиса, на стандартной мощности сигнала.
4. Способ по п. 1, отличающийся тем, что предварительно генерируют для каждого вычислительного устройства пару асимметричных ключей.
5. Способ по п. 4, отличающийся тем, что предварительно регистрируют каждое вычислительное устройство на сервере, причем при регистрации:
- отправляют идентификатор вычислительного устройства на вычислительное устройство;
- подписывают идентификатор вычислительного устройства и открытый ключ с использованием приватного ключа при помощи вычислительного устройства;
- отправляют на сервер подписанные идентификатор вычислительного устройства и публичный ключ;
- проверяют подпись при помощи сервера;
- подписывают идентификатор и публичный ключ вычислительного устройства при помощи сервера.
6. Способ по п. 5, отличающийся тем, что если подпись верна, то отправляют публичный ключ сервера и удостоверяющий сертификат на вычислительное устройство.
7. Способ по п. 6, отличающийся тем, что после инициирования установки беспроводного соединения верифицируют соединение с использованием эллиптической криптографии, а именно:
- генерируют первую пару асимметричных ключей для сессии при помощи первого вычислительного устройства;
- генерируют вторую пару асимметричных ключей для сессии при помощи второго вычислительного устройства;
- отправляют пакет данных для сессии, включающий сертификат второго вычислительного устройства, второй публичный ключ сессии и данные о сессии и подписанный вторым приватным ключом, первому вычислительному устройству;
- проверяют пакет данных и подпись при помощи первого вычислительного устройства;
- отправляют пакет данных для сессии, включающий сертификат первого вычислительного устройства, первый публичный ключ сессии и данные о сессии и подписанный первым приватным ключом, второму вычислительному устройству;
- проверяют пакет данных и подпись при помощи второго вычислительного устройства.
8. Способ по п. 7, отличающийся тем, что дополнительно генерируют первый сессионный ключ при помощи первого вычислительного устройства путем вычисления произведения первого приватного ключа и второго публичного ключа, а также второй сессионный ключ при помощи второго вычислительного устройства путем вычисления произведения второго приватного ключа и первого публичного ключа.
9. Способ по п. 1, отличающийся тем, что при помощи первого вычислительного устройства вещают пакет данных, включающий по крайней мере идентификатор доступного сервиса, данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства и данные о возможности подключения.
10 Способ по п. 9, отличающийся тем, что при получении вторым вычислительным устройством пакетов данных от по крайней мере двух разных первых вычислительных устройств выбирают на основании пакетов данных одно первое вычислительное устройство, доступное для подключения и при помощи которого:
- вещают сигнал, уровень которого выше уровня калибровки на расстояние, которое содержится в пакете данных;
- вещают идентификатор необходимого сервиса.
11. Способ по п. 1, отличающийся тем, что при направлении второго вычислительного устройства к первому вычислительному устройству изменяют пакет данных, причем измененный пакет данных включает данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства, данные о возможности подключения и не более одного идентификатора поддерживаемого сервиса, причем идентификатор поддерживаемого сервиса является идентификатором сервиса, необходимого второму вычислительному устройству.
12. Система установления беспроводного соединения включает:
- по крайней мере одно первое вычислительное устройство, поддерживающее по крайней мере один сервис и включающее память, модуль беспроводной связи и по крайней мере один датчик направления; и
- по крайней мере одно второе вычислительное устройство, включающее память и модуль беспроводной связи,
причем первое вычислительное устройство сконфигурировано с возможностью:
- определения направления второго вычислительного устройства при помощи датчика направления;
- вещания пакета данных, включающего по крайней мере идентификатор поддерживаемого сервиса, по беспроводной связи;
- изменения мощности сигнала беспроводной связи со стандартной мощности сигнала на первую мощность сигнала; и
- изменения мощности сигнала на вторую мощность сигнала при направлении второго вычислительного устройства к первому,
где первая мощность сигнала ниже стандартной мощности сигнала, а вторая мощность сигнала выше стандартной мощности сигнала;
второе вычислительное устройство сконфигурировано с возможностью:
- получения пакета данных от по крайней мере одного первого вычислительного устройства;
- проверки пакета данных, полученного от по крайней мере одного первого вычислительного устройства; и
- инициирования установки беспроводного соединения с первым вычислительным устройством.
13. Система по п. 12, отличающаяся тем, что модули беспроводной связи сконфигурированы с возможностью передачи и получения данных на частотах выше 15 МГц.
14. Система по п. 12, отличающаяся тем, что память каждого вычислительного устройства включает пару асимметричных ключей.
15. Система по п. 14, отличающаяся тем, что дополнительно включает сервер, сконфигурированный с возможностью связи с вычислительными устройствами и отправки вычислительным устройствам публичного ключа сервера и удостоверяющего сертификата, а память каждого вычислительного устройства дополнительно включает публичный ключ сервера и удостоверяющий сертификат.
16. Система по п. 15, отличающаяся тем, что вычислительные устройства сконфигурированы с возможностью верификации соединения с использованием эллиптической криптографии путем:
- генерации пары асимметричных ключей для сессии;
- отправки пакетов данных для сессии, включающих сертификат вычислительного устройства, публичный ключ сессии и данные о сессии и подписанный приватным ключом;
- проверки подписанных пакетов данных для сессии.
17. Система по п. 16, отличающаяся тем, что:
- первое вычислительное устройство дополнительно сконфигурировано с возможностью генерации первого сессионного ключа путем вычисления произведения первого приватного ключа и второго публичного ключа, а
- второе вычислительное устройство дополнительно сконфигурировано с возможностью генерации второго сессионного ключа путем вычисления произведения второго приватного ключа и первого публичного ключа.
18. Система по п. 12, отличающаяся тем, что вещаемый первым вычислительным устройством пакет данных включает по крайней мере идентификатор доступного сервиса, данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства и данные о возможности подключения.
19. Система по п. 18, отличающаяся тем, что включает более одного первого вычислительного устройства, а второе вычислительное устройство дополнительно сконфигурировано с возможностью выбора на основании полученных пакетов данных одного первого вычислительного устройства, доступного для подключения и которое вещает идентификатор необходимого сервиса посредством сигнала, уровень которого выше уровня калибровки на расстояние, которое содержится в пакете данных.
20. Система по п. 12, отличающаяся тем, что первое вычислительное устройство сконфигурировано с возможностью изменения пакета данных при изменении мощности сигнала на вторую мощность сигнала, причем измененный пакет данных включает данные о калибровке уровня сигнала на расстоянии, публичный идентификатор первого вычислительного устройства, данные о возможности подключения и не более одного идентификатора поддерживаемого сервиса, причем идентификатор поддерживаемого сервиса является идентификатором сервиса, необходимого второму вычислительному устройству.
Publications (1)
Publication Number | Publication Date |
---|---|
RU2817064C1 true RU2817064C1 (ru) | 2024-04-09 |
Family
ID=
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2187905C2 (ru) * | 1996-02-08 | 2002-08-20 | Квэлкомм Инкорпорейтед | Способ и устройство для интеграции беспроводной системы связи с системой кабельного телевидения |
KR101579118B1 (ko) * | 2015-05-22 | 2015-12-21 | 이제원 | 블루투스를 이용한 결제데이터송수신장치, 이동단말기의 결제수행방법 및 결제수행어플리케이션 |
US20160100312A1 (en) * | 2013-05-10 | 2016-04-07 | Energous Corporation | System and method for smart registration of wireless power receivers in a wireless power network |
WO2018005475A1 (en) * | 2016-06-29 | 2018-01-04 | Square, Inc. | Preliminary transaction processing techniques |
CN110301143A (zh) * | 2016-12-30 | 2019-10-01 | 英特尔公司 | 用于无线电通信的方法和设备 |
WO2019236173A1 (en) * | 2018-06-03 | 2019-12-12 | Apple Inc. | Management of near field communications using a low power express mode of an electronic device |
EP3614311A1 (en) * | 2018-08-20 | 2020-02-26 | Samsung Electronics Co., Ltd. | Electronic device for controlling specified functions based on electromagnetic signal detection and method thereof |
US20230019044A1 (en) * | 2015-07-07 | 2023-01-19 | Ilumi Solutions, Inc. | Electronic Control Device |
US11720852B2 (en) * | 2013-11-29 | 2023-08-08 | Fedex Corporate Services, Inc. | Node association payment transactions using elements of a wireless node network |
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2187905C2 (ru) * | 1996-02-08 | 2002-08-20 | Квэлкомм Инкорпорейтед | Способ и устройство для интеграции беспроводной системы связи с системой кабельного телевидения |
US20160100312A1 (en) * | 2013-05-10 | 2016-04-07 | Energous Corporation | System and method for smart registration of wireless power receivers in a wireless power network |
US11720852B2 (en) * | 2013-11-29 | 2023-08-08 | Fedex Corporate Services, Inc. | Node association payment transactions using elements of a wireless node network |
KR101579118B1 (ko) * | 2015-05-22 | 2015-12-21 | 이제원 | 블루투스를 이용한 결제데이터송수신장치, 이동단말기의 결제수행방법 및 결제수행어플리케이션 |
US20230019044A1 (en) * | 2015-07-07 | 2023-01-19 | Ilumi Solutions, Inc. | Electronic Control Device |
WO2018005475A1 (en) * | 2016-06-29 | 2018-01-04 | Square, Inc. | Preliminary transaction processing techniques |
CN110301143A (zh) * | 2016-12-30 | 2019-10-01 | 英特尔公司 | 用于无线电通信的方法和设备 |
WO2019236173A1 (en) * | 2018-06-03 | 2019-12-12 | Apple Inc. | Management of near field communications using a low power express mode of an electronic device |
EP3614311A1 (en) * | 2018-08-20 | 2020-02-26 | Samsung Electronics Co., Ltd. | Electronic device for controlling specified functions based on electromagnetic signal detection and method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11689511B2 (en) | Communication device using virtual access device and transaction applet | |
US10755501B2 (en) | Rolling code based proximity verification for entry access | |
US10096181B2 (en) | Hands-free fare gate operation | |
JP7213967B2 (ja) | アクセス制御のためのシステム、方法及び装置 | |
US10963870B2 (en) | Method and system for network communication | |
Varshavsky et al. | Amigo: Proximity-based authentication of mobile devices | |
EP3223452B1 (en) | Method and apparatus for providing service on basis of identifier of user equipment | |
Kalamandeen et al. | Ensemble: cooperative proximity-based authentication | |
Zhang et al. | Location-based authentication and authorization using smart phones | |
CN112243520B (zh) | 用于移动设备和读取器设备之间的数据传输的方法和设备 | |
US20100281261A1 (en) | Device and method for near field communications using audio transducers | |
KR20160037213A (ko) | 전자 토큰 프로세싱 | |
WO2015189733A1 (en) | Methods and systems for authentication of a communication device | |
Suomalainen | Smartphone assisted security pairings for the Internet of Things | |
Scannell et al. | Proximity-based authentication of mobile devices | |
RU2817064C1 (ru) | Система и способ установления беспроводного соединения | |
US20060058053A1 (en) | Method for logging in a mobile terminal at an access point of a local communication network, and access point and terminal for carrying out the method | |
EP3917188B1 (en) | Methods and systems for committing transactions utilizing rf ranging while protecting user privacy | |
JP2024501550A (ja) | セキュアリレーを備えた物理アクセス制御システム | |
Jensen et al. | Proximity-based authentication for mobile devices | |
Jansen et al. | Proximity Beacons and Mobile Device Authentication: An Overview and Implementation | |
US20240056306A1 (en) | Intelligent arrangement of unlock notifications | |
US20060148450A1 (en) | Wireless trust kiosk |