CN105325021B - 用于远程便携式无线设备认证的方法和装置 - Google Patents
用于远程便携式无线设备认证的方法和装置 Download PDFInfo
- Publication number
- CN105325021B CN105325021B CN201480023486.9A CN201480023486A CN105325021B CN 105325021 B CN105325021 B CN 105325021B CN 201480023486 A CN201480023486 A CN 201480023486A CN 105325021 B CN105325021 B CN 105325021B
- Authority
- CN
- China
- Prior art keywords
- short
- range wireless
- smart card
- link
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在两个设备之间建立安全短距离(蓝牙、Wi‑Fi)链路用于用户认证。首先在两个设备之间非常短距离(NFC)链路被建立并且用于交换短距离链路的安全参数。当完成安全参数交换后,短距离链路基于交换的参数被建立并且用于提供第二装置的用户认证。
Description
相关的共同未决的申请
本申请是要求2012年1月17日递交的发明者为Clayton Douglas Smith等的题为“METHOD AND APPARATUS FOR REMOTE PORTABLE WIRELESS DEVICE AUTHENTICATION”的美国临时申请号为61/587,474的优先权的、2013年1月16日递交的发明者为Clayton DouglasSmith等的题为“METHOD AND APPARATUS FOR REMOTE PORTABLE WIRELESS DEVICEAUTHENTICATION”的美国申请号为13/742,748的部分继续申请,并在此通过引用将其并入本文。
技术领域
本公开一般地涉及使用智能电话来向智能卡读卡器仿真设备认证用户的方法和装置。
背景技术
由于计算机和其他电子设备存储越来越大和敏感的信息量,必须保护计算机和其他电子设备以防范未授权的用户。保护计算机和其他电子设备的有效方式是加密或以其它方式不允许访问计算机,直到用户提供包含关于用户的独特识别信息的硬件和/或软件。在一个实施例中,可以用智能卡来存储和向计算机传送关于用户的独特信息,以使用户可以请求和获取对计算机的访问。智能卡包括软件和/或硬件,并且还存储独特地识别用户的信息。该独特识别信息可以包括例如用户的代表性生物特征信息、为用户生成的独特加密证书或其他独特识别信息。用户可以请求访问计算机,并且如果用户通过认证则授权访问。智能卡通常是包含存储器的物理设备,并且可以包含诸如处理器和/或电池的其他处理部件。智能卡通常必须由用户携带,并且直接***计算机或与计算机相关联的设备中。如果用户希望获取对多台计算机的访问,则用户可能需要多于一张的智能卡。一张或多张智能卡的重量和体积可能阻止用户和/或管理员实现智能卡安全。对于用户而言携带智能电话较为常见,并且智能电话包括存储器和/或可以使它们能够作为智能卡运行的处理能力。用单个智能电话代替一张或多张智能卡可以减小总体积,并且可以使用户更有可能实现智能卡安全。
已知的智能卡仿真***可以包括位于智能电话上经由蓝牙连接远程地锁定和解锁计算机的部件。然而,这种***看起来不允许用户选择蓝牙连接的信号强度来改变智能电话可以锁定或解锁计算机的射程。
此外,已知允许用户使用诸如移动电话之类的蓝牙设备来自动地锁定和解锁计算机。用户能够配置接近度距离和持续时间,并且当蓝牙设备远离计算机时,触发屏幕保护并锁定计算机。当蓝牙设备在射程内时,程序解锁计算机而不请求用户输入。然而,这种***不要求蓝牙设备的认证或用于向计算机认证蓝牙设备的在蓝牙设备和计算机之间的数据的传输。
在使用非常短距离的无线链路的无线设备之间还已知近场通信技术。建立近场通信链路会涉及交换用于建立蓝牙连接或短距离连接的密钥对。如此,使用两种不同类型的短距离链路的两种不同的无线协议被使用。近场通信中传送的信息可以包括例如之后被两个设备用来建立短距离通信链路的密钥对和设备ID,其中短距离通信链路是加密的。通常,***使每个设备互相认证以提供一种类型的设备相互认证。然而,如果用户想要认证无线射程中的两台机器,他们可能必须从房间中的多台机器中选择。此外,对于这种***,通常不设置用户认证。
此外在未采用非常短距离的通信链路(诸如纯蓝牙链路或其他短距离链路)的***中,当蓝牙设备被激活时,能够提供用户认证以自动地解锁设备。然而,当多个设备在射程内时,用户通常需要手动地选择解锁哪个设备。因此,期望具有改进的用户认证技术。
因此,存在对使用便携式无线设备来认证用户的改进的方法和装置的需要。
附图说明
当结合下面的附图考虑下面的说明时将更容易理解实施例,并且其中相同附图标记表示相同元件,其中:
图1是图解根据本公开的实施例的用于远程智能电话认证的***的示例的框图;
图2是图解根据本公开的实施例的智能卡读卡器仿真设备和智能电话无线电收发机的框图;
图3是图解根据本公开的实施例的来自智能卡读卡器仿真设备的远程认证的流程图;
图4是图解根据本公开的实施例的根据智能电话的远程认证的流程图;
图5是图解根据本公开的实施例的接近度认证的方法的流程图;
图6是根据本公开的实施例的显示可选信号强度的示例性图形用户界面;
图7是图形化地图解依照本公开中阐述的一个示例的第一设备和第二设备之间的通信的图;
图8是图解依照本公开中阐述的一个示例的用于提供用户认证的一种方法的流程图;以及
图9是图解依照本公开中阐述的一个示例的用于提供用户认证的一种方法的流程图。
具体实施方式
在一个示例中,简要地提供了一种用于用户认证的方法。该方法包括接收用于智能卡仿真认证的选定的信号强度。该方法还从便携式无线设备无线电收发机接收信号。该方法还包括测量所述信号的信号强度。该方法还包括:如果所述信号处于或高于选定的信号强度,则向便携式无线电设备无线电收发机传送请求用户认证的一个或多个信号,而如果所述信号未处于或高于选定的信号强度,则拒绝由便携式无线电设备无线电收发机认证的请求。该方法还包括响应于用户认证的请求从便携式无线电设备接收一个或多个认证响应信号,所述一个或多个响应信号至少包括对用户独特的认证信息。
在另一个示例中,提供了一种用于用户解除认证的方法。该方法包括接收用于智能卡仿真认证的选定的信号强度。该方法还包括响应于用户认证的请求从便携式无线设备接收一个或多个响应信号,智能卡读卡器仿真设备无线电收发机接收信号。该方法还包括监视所述信号的强度,以使得如果所述信号处于或低于选定的信号强度,则智能卡读卡器仿真设备对与便携式无线设备无线电收发机相关联的便携式无线设备解除认证。
在另一个示例中,提供了一种用于用户认证的装置,包括逻辑。该逻辑可操作以接收用于智能卡仿真认证的选定的信号强度。该逻辑还可操作以从便携式无线设备无线电收发机接收信号。该逻辑还可操作以测量所述信号的信号强度。该逻辑还可操作为,如果所述信号处于或高于选定的信号强度,则向便携式无线电设备无线电收发机传送请求用户认证的一个或多个信号,而如果所述信号未处于或高于选定的信号强度,则拒绝由便携式无线电设备无线电收发机认证的请求。该逻辑还可操作以响应于用户认证的请求从便携式无线电设备接收一个或多个认证响应信号,所述一个或多个响应信号至少包括对用户独特的认证信息。
在另一个示例中,提供了一种包含可执行指令的计算机可读存储介质,所述可执行指令当由一个或多个处理器执行时使所述一个或多个处理器:接收用于智能卡仿真认证的选定的信号强度;从便携式无线设备无线电收发机接收信号;测量所述信号的信号强度,如果所述信号处于或高于选定的信号强度,则向便携式无线电设备无线电收发机传送请求用户认证的一个或多个信号,而如果所述信号未处于或高于选定的信号强度,则拒绝由便携式无线电设备无线电收发机认证的请求;和响应于用户认证的请求从便携式无线电设备接收一个或多个认证响应信号,所述一个或多个响应信号至少包括对用户独特的认证信息。
在其他优点中,本公开可以允许使用用户携带的具有一个或多个处理器和存储器的便携式无线设备或其他设备来替代一张或多张智能卡。因此,所提出的技术能够通过提供有效地使用智能卡基础设施和/或其他多因素认证的更直观和用户友好的方式,改进设备的用户控制。另外,智能电话的键盘、触摸屏和其他传感器能够用作智能卡小程序的输入。关于哪些资源正在被认证的信息能够在智能电话的屏幕上呈现给用户,以使用户知道在智能电话被连接到计算机时正在访问什么资源。还能够给用户关于是否接受这些访问的选择。此外,智能卡小程序中存储的信息能够在智能电话的屏幕上显示给用户。
图1图解了根据本公开的实施例的用于远程便携式无线设备101认证的***的示例。在该示例中,智能卡读卡器仿真设备117上的无线电智能卡读卡器驱动器119向应用123和/或操作***125发送通信,指示安装了智能卡读卡器但是未安装真实的智能卡读卡器(智能卡仿真设备代替存在),并且拦截应用软件123或操作***125和虚构的智能卡读卡器之间的通信。无线电智能卡读卡器驱动器119经由智能卡读卡器仿真设备无线电收发机121向便携式无线设备101传送一次通信或多次通信。便携式无线设备应用109在便携式无线设备101上工作,并且包括加密证书或其他认证信息,并且基于从应用软件123和/或操作***125接收的通信向无线电智能卡读卡器驱动器119传送认证信息或其他信号。通过拦截应用软件123和/或操作***125之间的通信,无线电智能卡读卡器驱动器119能够用在便携式无线设备101上运行的便携式无线设备应用109代替智能卡,以使智能卡读卡器不必利用与应用123和/或操作***125相关联的为智能卡保留的功能。
便携式无线设备101可以是计算***或包含逻辑的其他硬件,诸如包括但不限于一个或多个处理器105、合适的存储器、本领域已知的合适的通信接口和本领域已知的诸如显示器139的一个或多个输入和输出设备的逻辑。在一实施例中,便携式无线设备101包括便携式无线设备无线电收发机103,并且便携式无线设备无线电收发机103可以使能便携式无线设备101和一个或多个智能卡读卡器仿真设备117之间、或便携式无线设备101和一个或多个网络之间的通信。在一实施例中,便携式无线设备无线电收发机103在短距离上工作。在一实施例中,该短距离大约是三十米以下。在一实施例中,便携式无线设备101还包括允许远距离通信(在一实施例中,超过三十米)的无线电装置。便携式无线设备101可以包括包含电话通信电路的电话部分。在一实施例中,便携式无线设备101包括提供访问诸如例如因特网的一个或多个网络的另外的电路或其他硬件。在一实施例中,便携式无线设备101包括可操作以执行指令、在存储器107中检索位置和向存储器107写入位置的一个或多个处理器105。处理器105可以经由一条或多条总线143访问存储器107。在一实施例中,存储器107包括但不限于硬盘驱动器、闪速存储器、随机存取存储器或其他数据存储和再调用设备。便携式无线设备101还可以与另外的元件相关联,诸如操作***、扬声器、麦克风、天线、显示器147和输入设备。输入设备可以是例如但不限于键盘和/或触摸屏。便携式无线设备101可以包括多于一个的输入设备,或者能够从一个或多个输入设备输入。
便携式无线设备无线电收发机103在该示例中是可操作以使用蓝牙操作或任何合适的操作通信的短距离收发机,并且可以是硬件或硬件和执行软件的组合。在一实施例中,便携式无线设备无线电收发机103还可适于与一个或多个蜂窝电话网络(WWAN)通信以传送数据和/或语音信号。如下文更详细地说明,便携式无线设备无线电收发机103可以包括在一个或多个频率上通信或以一种或多种通信协议通信的一个或多个模块。便携式无线设备无线电收发机103从智能卡读卡器仿真设备无线电收发机121接收信号,并且可以包括允许便携式无线设备无线电收发机103与智能卡读卡器仿真设备无线电收发机121通信的通信协议和/或频率。便携式无线设备无线电收发机103从智能卡读卡器仿真设备无线电收发机121接收一个或多个信号,解码和/或解密所述信号以恢复通信,并且向便携式无线设备应用109或在便携式无线设备101上运行的其他应用传送该通信。便携式无线设备无线电收发机103还从便携式无线设备应用109和/或在便携式无线设备101上运行的其他应用接收通信,并且在一实施例中,把它们传送给智能卡读卡器仿真设备无线电收发机121。在一实施例中,便携式无线设备无线电收发机103在向智能卡读卡器仿真设备无线电收发机121传送通信之前对该通信采用加密和/或压缩算法。
便携式无线设备应用109包括存储在存储器中的一个或多个指令,并且可由便携式无线设备101上的处理器执行。在一实施例中,在便携式无线设备101工作时,便携式无线设备应用109保持驻留在存储器中。便携式无线设备应用109可以包括可操作来接收输入、生成输出和执行与输入相关的任务的一个或多个模块。在示例中,该模块是执行指令以使处理器执行一个或多个功能的处理器或处理器的一部分。便携式无线设备应用109至少包括智能卡小程序113、智能卡仿真器111和数据存储。便携式无线设备应用109还可以包括允许便携式无线设备应用109和驻留在便携式无线设备101的存储器中的其他应用之间的通信的其他模块。在一实施例中,便携式无线设备应用109的数据存储115与便携式无线设备101的操作***相关联,以使便携式无线设备应用109访问与便携式无线设备101相关联的数据存储115,而不是具有单独的数据存储115。便携式无线设备应用109可以通过使用由在便携式无线设备101上运行的操作***提供的一个或多个指令,访问与便携式无线设备101相关联的数据存储115。可以从智能卡读卡器仿真设备117接收向便携式无线设备应用109的输入,或者可以由便携式无线设备101生成向便携式无线设备应用109的输入。还可使用与智能卡读卡器仿真设备117或便携式无线设备101相关联的另外的输入,例如但不限于诸如指纹读取器或相机之类的生物特征输入设备。
智能卡仿真器111与便携式无线设备应用109相关联,并且与无线电收发机103或在便携式无线设备101的存储器中执行的其他应用交互。智能卡仿真器111从无线电收发机或在便携式无线设备101的存储器中执行的其他应用接收输入,并且响应于该输入请求数据存储115和/或智能卡小程序113的信息。而且输入可以是例如对存储在数据存储115中的一个或多个证书的请求、PIN认证、对数字签名的请求、对解密操作的请求或与智能卡相关联的其他活动。从智能卡小程序113和/或数据存储115检索的信息被传送给无线电收发机103或驻留在便携式无线设备101的存储器中的请求应用。智能卡仿真器111提供智能卡通常可用的函数库,以使智能卡仿真器111能够接收通常传送给智能卡的通信,并且能够生成将由智能卡通常传送的响应。在一实施例中,智能卡仿真器经由线路151与智能卡小程序113通信,并且经由线路115与数据存储通信。智能卡仿真器111还可以选择性地经由线路153与可选信号强度生成器155通信。
智能卡小程序113包括在与便携式无线设备101相关联的存储器中执行的软件,并且执行对认证的请求。在一实施例中,智能卡小程序113可以创建公钥/私钥对,并且把公钥和/或私钥存储在存储器中。在一实施例中,智能卡小程序113包括公钥/私钥对,并且提供密钥的安全存储。在一实施例中,智能卡小程序113可以包括密钥历史。在一实施例中,智能卡小程序113可以包括每个密钥对的证书,并且可以存储证书。在一实施例中,智能卡小程序113可以包括和/或存储与用户相关联的数字签名的面部识别数据点。在一实施例中,智能卡小程序113可以包括和/或存储与用户相关联的数字签名的指纹数据点。在一实施例中,智能卡小程序113可以包括另外的数据结构来存储和/或检索与用户相关的认证信息。在一实施例中,可以对与用户相关的认证信息进行数字签名和/或验证。由智能卡小程序113存储或访问的其他信息包括个人识别号码(PIN)或密码,连同限制攻击者可能作出的无效猜测的次数的相关联的锁定计数器。
数据存储115可以包括智能卡小程序113的状态。状态信息还可以包括但不限于密钥、证书、指纹、PIN和锁定计数器或其他信息。在一实施例中,与数据存储115相关联的状态信息可以是在给定时刻存储在数据存储115中的数据的快照。在一实施例中,数据存储115可以包括与智能卡小程序113相关联的并且智能卡小程序113可使用来向智能卡读卡器仿真设备117认证用户的数据结构或密钥或图像。在一实施例中,数据存储115可以是存储在与便携式无线设备101相关联的存储器中的一个或多个数据结构,并且可供便携式无线设备应用109使用。在一实施例中,数据存储115的内容可以由便携式无线设备应用109修改。在一实施例中,可以加密数据存储115,并且加密密钥可以由便携式无线设备应用109和/或在便携式无线设备101的存储器中执行的另一个应用持有。
可选信号强度生成器155可以包括选择性的功能,并且可以允许便携式无线设备101作出信号强度的选择。在一实施例中,可选信号强度生成器155包括一个或多个图形用户界面以允许用户或管理员来选择一个或多个信号强度。例如,可选信号强度生成器155可以允许用户基于用户对智能卡读卡器仿真设备117的接近度选择信号强度,以使用户可以相对于智能卡读卡器仿真设备117被定位在用户想要动作发生处,并且可以使用可选信号强度生成器155来基于用户对智能卡读卡器仿真设备117的无线电收发机121的接近度设置信号强度。可选信号强度生成器155经由线路153把信号强度的选择传送给智能卡仿真器111,并且可以经由线路153从智能卡仿真器111接收通信。在一实施例中,图形用户界面可以包括图6中示出的功能。
在图6中,示出了图形用户界面601。图形用户界面601包括但不限于显示当前信号强度的显示603。在一实施例中,当前信号强度显示为15dB。用户可以选择滑块609以在最小值605和最大值607之间移动选定的信号强度,在一实施例中最小值605会关闭连接,最大值607会指示无线电连接链路141的最大射程。用户可以选择适当的信号强度,并且可以使用“设置信号强度”按钮611来保存选择。图形用户界面由处理器105生成并呈现在屏幕上以供用户使用。在一实施例中,基于可选信号强度的智能卡仿真认证器133操作类似于图形用户界面601的图形用户界面。基于可选信号强度的智能卡仿真认证器133可以操作图形用户界面601,其中图形用户界面601驻留在存储器135中,并由处理器157执行。在一实施例中,图形用户界面601可以包括另外的功能,诸如用户基于当前信号强度来选择信号强度的能力。
智能卡读卡器仿真设备117可以是例如但不限于由逻辑执行的执行软件模块,所述逻辑诸如包括一个或多个处理器157和合适的存储器135的逻辑、离散逻辑、ASIC或任何合适的结构。智能卡读卡器仿真设备117可以包括补充便携式无线设备无线电收发机103的无线电收发机121(例如短距离收发机),以使智能卡读卡器仿真设备无线电收发机121可以与便携式无线设备无线电收发机103通信。智能卡读卡器仿真设备117还包括无线电智能卡读卡器驱动器119、应用软件123和一个或多个操作***。无线电智能卡读卡器驱动器119、应用软件123和一个或多个操作***可以驻留于和智能卡读卡器仿真设备117相关联的存储器中。在一实施例中,存储器135可以是非易失性的。在一实施例中,无线电智能卡读卡器驱动器119、应用软件123和一个或多个操作***与在智能卡读卡器仿真设备117上工作的逻辑相关联。在一实施例中,该逻辑包含一个或多个处理器105,可操作来执行驻留于存储器135中的指令。在一实施例中,存储器135包括但不限于硬盘驱动器、闪速存储器、随机存取存储器或其他数据存储和再调用设备。处理器157经由一条或多条总线137与存储器135通信。智能卡读卡器仿真设备117还可以与诸如例如显示器147和输入设备的另外的元件相关联。输入设备可以是例如但不限于键盘和/或触摸屏。智能卡读卡器仿真设备117可以包括多于一个的输入设备,或者能够从一个或多个输入设备输入。
应用软件123可以包括由操作***执行的一个或多个应用。在一实施例中,应用软件123包括要求用户的认证的软件。例如,应用软件123可以要求用户认证以对文档进行数字签名、经由一个或多个网络访问存储在与智能卡读卡器仿真设备117相关联的存储器或与智能卡读卡器仿真设备117相关联的另一个智能卡读卡器仿真设备117上的信息、或者添加、编辑或删除数据。在一实施例中,应用软件123通过由操作***提供的一个或多个命令请求用户认证。在另一个实施例中,应用软件123经由无线电智能卡读卡器驱动器119直接向便携式无线设备101请求用户认证。在一实施例中,应用软件发送命令至操作***125和/或存储器135中的其他应用,所述命令由无线电智能卡读卡器驱动器119接收。应用软件123还可以从无线电智能卡读卡器驱动器119接收信号。线路127中示出应用软件123和无线电智能卡读卡器驱动器119之间的通信。
操作***125包括当前在智能卡读卡器仿真设备117的存储器中执行的操作***。操作***125可以包括一个或多个驱动器以从与智能卡读卡器仿真设备117相关联的输入设备接收输入、并且生成至与智能卡读卡器仿真设备117相关联的输出设备的输出。输入设备可以包括但不限于键盘、智能卡读卡器仿真设备117鼠标或一个或多个网络接口卡,所述一个或多个网络接口卡从一个或多个网络接收输入信号,并且生成至该一个或多个网络的输出信号。输出设备可以包括但不限于显示器139、一个或多个网络接口卡、打印机或与智能卡读卡器仿真设备117相关联并且通信的其他设备。操作***125可以包括一个或多个命令以允许应用软件123从与智能卡读卡器仿真设备117相关联的设备接收输入,并且生成至与智能卡读卡器仿真设备117相关联的设备的输出。在一实施例中,所述命令包括指定为应用编程接口命令的一个或多个命令。应用编程接口命令可以是允许应用与操作***通信的命令。如线路129中指示,操作***125向无线电智能卡读卡器驱动器119传送信号,并且从无线电智能卡读卡器驱动器119接收信号。
在一实施例中,操作***125包括用于用户向操作***125认证的一个或多个命令,以便获取对由操作***125提供的命令的访问。命令可以允许用户例如与操作***交互、与和操作***相关联的一个或多个应用交互或者通过操作***访问数据或执行程序。操作***125可以包括例如与智能卡读卡器交互并且向智能卡查询向智能卡读卡器仿真设备117授权用户的数据的命令。在一实施例中,操作***要求认证以允许用户登录操作***。
基于可选信号强度的智能卡仿真认证器133允许作出信号强度的选择。在一实施例中,基于可选信号强度的智能卡仿真认证器133包括一个或多个图形用户界面以允许用户或管理员选择一种或多种信号强度。例如,图形用户界面可以允许用户基于个体便携式无线设备101选择信号强度,以使不同的便携式无线设备101具有不同的信号强度要求。在另一个实施例中,可以基于一个或多个安全模型或其他安全参数选择信号强度。在一实施例中,经由与基于可选信号强度的智能卡仿真认证器133的一个或多个应用编程接口作出信号强度选择。如线路131中所示,基于可选信号强度的智能卡仿真认证器133向无线电智能卡读卡器驱动器119传送信号强度的选择,并且从无线电智能卡读卡器驱动器119接收信息。
无线电智能卡读卡器驱动器119包括执行与智能卡读卡器仿真设备117相关联的软件和/或硬件以代替智能卡读卡器。无线电智能卡读卡器驱动器119包括在智能卡读卡器仿真设备117上运行的拦截应用软件123和/或操作***125与智能卡读卡器之间的认证请求的软件和/或指令。例如,应用软件123可以尝试向智能卡读卡器发送认证请求。无线电智能卡读卡器驱动器119拦截该认证请求,以使智能卡读卡器仿真设备117不需要操作智能卡读卡器。无线电智能卡读卡器驱动器119从应用软件123和/或操作***125接收认证请求,并且把该认证请求转换为在便携式无线设备101上执行的便携式无线设备应用109可读和可答复的格式。无线电智能卡读卡器驱动器119与智能卡读卡器仿真设备无线电收发机121通信以经由无线电收发机向便携式无线设备101发送命令。无线电智能卡读卡器驱动器119还从智能卡读卡器仿真设备无线电收发机121接收通信,并且把该通信转换为对来自应用软件123和/或操作***125的认证请求的响应。认证请求可以包括例如对于数字签名的认证的请求或对于用户的认证的请求。无线电智能卡读卡器驱动器119作为智能卡读卡器仿真设备117上的智能卡读卡器的代替物起作用,并且对于应用软件123和/或操作***125看起来像智能卡读卡器。
智能卡读卡器仿真设备无线电收发机121和便携式无线设备无线电收发机103之间的链路141包括但不限于从智能卡读卡器仿真设备无线电收发机121传送到便携式无线设备无线电收发机103的信号,或者从便携式无线设备无线电收发机103传送到智能卡读卡器仿真设备无线电收发机121的信号。所述信号可以包括由两个收发机都在其上工作的协议要求的信号,以维持这两个收发机之间的链路,所述信号还可以包括一个或多个控制信号。所述信号还可以包括在两个收发机之间传送数据的信号,其也被称为数据信号。控制信号和数据信号中的任何一个可以包括另外的信息。例如但不限于,由便携式无线设备无线电收发机103向智能卡读卡器仿真设备无线电收发机121传送的信号可以由智能卡读卡器仿真设备无线电收发机121接收,智能卡读卡器仿真设备无线电收发机121还可以接收信号强度信息或关于两个收发机之间的链路141的强度和/或质量的其他信息。在一实施例中,数据信号包括认证请求信号和/或认证响应信号,以使便携式无线设备无线电收发机103和智能卡读卡器仿真设备无线电收发机121可以互相认证。
智能卡读卡器仿真设备无线电收发机121可以包括在一个或多个频率上或按一种或多种通信协议通信的一个或多个模块,诸如蓝牙收发机。智能卡读卡器仿真设备无线电收发机121从便携式无线设备无线电收发机103接收信号,并且可以包括允许智能卡读卡器仿真设备无线电收发机121与便携式无线设备无线电收发机103通信的通信协议和/或频率。智能卡读卡器仿真设备无线电收发机121从便携式无线设备无线电收发机103接收一个或多个信号,解码和/或解密信号以恢复通信,并且向无线电智能卡读卡器驱动器119传送该通信。智能卡读卡器仿真设备无线电收发机121还从无线电智能卡读卡器驱动器119接收通信,并且在一实施例中,把它们传送给便携式无线设备无线电收发机103。在一实施例中,智能卡读卡器仿真设备无线电收发机121在向便携式无线设备无线电收发机103传送通信之前对它们采用加密和/或压缩算法。
在一实施例中,智能卡读卡器仿真设备无线电收发机121还可以接收与便携式无线设备无线电收发机103相关联的信息。该信息可以包括但不限于来自便携式无线设备101的无线电信号的强度。来自便携式无线设备101的无线电信号的强度可以指示便携式无线设备101相对于智能卡读卡器仿真设备无线电收发机121的大概位置。例如,来自便携式无线设备无线电收发机103的弱无线电信号可以指示便携式无线设备101在与若无线电信号更强时相比离智能卡读卡器仿真设备无线电收发机121相对更大的距离处。
在一实施例中,本文中描述的应用软件123、操作***125、无线电智能卡读卡器驱动器119、智能卡小程序113、智能卡仿真器111和数据存储115可被实现为存储在智能卡读卡器仿真设备117可读存储介质上的与处理器组合的软件程序,智能卡读卡器仿真设备117可读存储介质诸如但不限于CD-ROM、RAM、ROM、其他形式的ROM、硬盘驱动器、分布式存储器等。如此,软件程序可以被存储在智能卡读卡器仿真设备117可读存储介质上。智能卡读卡器仿真设备117可读存储介质存储可由一个或多个处理器执行的使该一个或多个处理器执行本文中描述的操作的指令。在图1中所示的实施例中,应用软件123、操作***125和无线电智能卡读卡器驱动器119被存储在智能卡读卡器仿真设备117可读存储介质中而且互相关联,并且智能卡小程序113、智能卡仿真器111和数据存储115被存储在智能卡读卡器仿真设备117可读介质中而且互相关联。
图2是图解根据本公开的实施例的智能卡读卡器仿真设备和便携式无线设备无线电收发机的框图。在一实施例中,智能卡读卡器仿真设备无线电收发机121包括第一无线电收发机203和第二无线电收发机205。第一无线电收发机203包括允许智能卡读卡器仿真设备无线电收发机121经由第一协议和/或第一频率与便携式无线设备101通信的发送和接收结构。第二无线电收发机205包括允许智能卡读卡器仿真设备无线电收发机121经由第二协议和/或第二频率与便携式无线设备101通信的发送和接收结构。类似地,便携式无线设备无线电收发机103包括分别补充智能卡读卡器仿真设备无线电收发机121中的第一无线电收发机203和第二无线电收发机205的第一无线电收发机207和第二无线电收发机209。智能卡读卡器仿真设备无线电收发机121和便携式无线设备无线电收发机103可以包括例如允许在不同频率和/或不同通信协议上的两个无线电收发机之间的通信的另外的硬件或硬件和执行软件的组合。在一实施例中,智能卡读卡器仿真设备117或便携式无线设备101中的任一个的第一无线电收发机和第二无线电收发机或者二者都使用在一个或多个处理器上执行的软件来实现,并且共享共同的硬件结构。例如,第一无线电收发机和第二无线电收发机可以共享共同的天线或共同的接收机,但是与第一无线电收发机和第二无线电收发机相关联的频率可以是不同的,并且可以使用软件不同地解释。例如,可以使用第一协议解释按第一频率接收的通信,并且可以使用第二协议解释按第二频率接收的通信。在一实施例中,第一和第二无线电收发机是分离的结构。在一实施例中,第一和第二无线电收发机可以不共享部件,可以直接与处理器或存储器通信,并且可以互相独立地工作。
图3是图解根据本公开的实施例的来自智能卡读卡器仿真设备117的远程认证的流程图。该方法开始于块301。在块303处,把智能卡读卡器仿真设备无线电收发机121设置为可发现模式。在一实施例中,该可发现模式允许智能卡读卡器仿真设备无线电收发机121搜索其可以与之连接和通信的设备。在一实施例中,无线电智能卡读卡器驱动器119把智能卡读卡器仿真设备无线电收发机121设置为可发现模式。在一实施例中,操作***125或其他可执行程序把智能卡读卡器仿真设备无线电收发机121设置为可发现模式。
在块305中,智能卡读卡器仿真设备117轮询智能卡读卡器仿真设备无线电收发机121可以与之通信的所有设备。如果找到便携式无线设备101或具有相当的无线电收发机的其他设备,则智能卡读卡器仿真设备无线电收发机121尝试确定智能卡读卡器仿真设备无线电收发机121是否可以与和该设备相关联的无线电收发机连接。如果智能卡读卡器仿真设备无线电收发机121无法与和该设备相关联的无线电收发机连接,则智能卡读卡器仿真设备117尝试与附近的其他设备连接,如块307中所示。如果智能卡读卡器仿真设备无线电收发机121可以与和该设备相关联的无线电收发机连接,则智能卡读卡器仿真设备无线电收发机121检查以查看该设备是否将接受连接。如果该设备不会接受连接,则智能卡读卡器仿真设备117将移至下一个设备,如块307中所示。如果该设备将接受连接,则智能卡读卡器仿真设备117将尝试创建与该设备的成功连接,如块309中所示。在一实施例中,便携式无线设备101发起到智能卡读卡器仿真设备117的连接。该便携式无线设备可以通过向智能卡读卡器仿真设备117传送一个或多个信号来发起连接。
在块311中,智能卡读卡器仿真设备无线电收发机121可以向便携式无线设备无线电收发机103发送一个或多个信号。在便携式无线设备101上工作的便携式无线设备应用109可以接收所述一个或多个信号,并且可以生成一个或多个信号用于从便携式无线设备无线电收发机103传输到智能卡读卡器仿真设备无线电收发机121。智能卡读卡器仿真设备无线电收发机121接收所述一个或多个信号,并且将它们传送给无线电智能卡读卡器驱动器119。基于从便携式无线设备应用109接收的信号,无线电智能卡读卡器驱动器119识别便携式无线设备应用109正在便携式无线设备101上工作。在一实施例中,无线电智能卡读卡器驱动器119可以向操作***125发送已***了智能卡的一个或多个信号。通过向操作***125发送这些信号,无线电智能卡读卡器驱动器119向操作***125传达智能卡已被***智能卡读卡器,此时,事实上可能没有与智能卡读卡器仿真设备117相关联的智能卡读卡器。
在块313中,操作***125可以尝试向智能卡发送认证请求。在另一个实施例中,操作***125中的操作***可以等待应用软件123中的一个或多个应用向智能卡发送认证请求。当操作***125在等待时,在连接结束事件中,便携式无线设备101可能移出智能卡读卡器仿真设备无线电收发机121的射程。在连接结束事件中,如块315中指示,智能卡读卡器仿真设备无线电收发机121向无线电智能卡读卡器驱动器119通知,曾经连接到智能卡读卡器仿真设备无线电收发机121的便携式无线设备101或其他设备不再能被找到。无线电智能卡读卡器驱动器119从智能卡读卡器仿真设备无线电收发机121接收信号,并且向应用软件123和/或操作***125通知已从智能卡读卡器移除了智能卡。
在块317中,操作***125和/或应用软件123向无线电智能卡读卡器驱动器119发送请求访问智能卡的一个或多个命令。该请求可以是例如但不限于访问位于智能卡上的数据的请求或基于与智能卡相关联的信息的一个或多个认证请求。
如块319中所示,无线电智能卡读卡器驱动器119从应用123和/或操作***125接收命令,并且经由智能卡读卡器仿真设备无线电收发机121向便携式无线设备应用109发送所述命令。智能卡读卡器仿真设备无线电收发机121接收该命令,并且向便携式无线设备无线电收发机103传输该命令。该传输可以经由智能卡读卡器仿真设备无线电收发机121和便携式无线设备无线电收发机103都已知的一个或多个通信协议而发生。在一实施例中,智能卡读卡器仿真设备无线电收发机121加密所述命令。在一实施例中,在向便携式无线设备无线电收发机103的传输之前智能卡读卡器仿真设备无线电收发机121压缩所述命令。
如块321中所示,智能卡读卡器仿真设备无线电收发机121从便携式无线设备无线电收发机103接收一个或多个响应信号。在一实施例中,智能卡读卡器仿真设备无线电收发机121解密从便携式无线设备无线电收发机103接收的信号。在一实施例中,智能卡读卡器仿真设备无线电收发机121解压缩从便携式无线设备无线电收发机103接收的信号。智能卡读卡器仿真设备无线电收发机121向无线电智能卡读卡器驱动器119发送该响应。
在块323中,无线电智能卡读卡器驱动器119向请求软件传送该响应。在一实施例中,无线电智能卡读卡器驱动器119向操作***125传送该响应。在一实施例中,无线电智能卡读卡器驱动器119向在应用软件123中工作的一个或多个应用传送该响应。无线电智能卡读卡器驱动器119格式化该响应,以使它对于应用软件123和/或操作***125似乎是来自智能卡读卡器和智能卡的响应。
在块325中,操作***125或应用软件123基于从无线电智能卡读卡器驱动器119接收的响应执行一个或多个动作。在一实施例中,操作***125从无线电智能卡读卡器驱动器119接收响应,并且基于该响应,认证用户或不认证用户。在一实施例中,在应用软件123中执行的应用从无线电智能卡读卡器驱动器119接收响应,并且基于该响应执行一个或多个命令。
在块327中,无线电智能卡读卡器驱动器119继续监视应用软件123和操作***125的访问智能卡的请求,并且继续监视智能卡读卡器仿真设备无线电收发机121的从便携式无线设备101接收的信号。该方法可以返回块313,并且继续监视直到接收到连接结束事件或从应用软件123或操作***125接收到另一个请求。
图4是图解根据本公开的实施例的根据便携式无线设备101的远程认证的流程图。该方法可以开始于块401。该方法假定便携式无线设备101正在工作,便携式无线设备应用109正在便携式无线设备101上工作,并且便携式无线设备无线收发机103是可操作的。
在块403中,便携式无线设备无线收发机103从智能卡读卡器仿真设备无线电收发机121接收无线电连接请求。在一实施例中,该无线电连接请求包括由蓝牙协议识别的连接请求。该连接请求可以被加密,或者可以包括关于智能卡读卡器仿真设备无线电收发机121、智能卡读卡器仿真设备117和/或无线电智能卡读卡器驱动器119的另外的信息。
在块405中,如果便携式无线设备101识别智能卡读卡器仿真设备无线电收发机121、智能卡读卡器仿真设备117和/或无线电智能卡读卡器驱动器119,便携式无线设备101可以创建与智能卡读卡器仿真设备117的连接。在一实施例中,可以经由蓝牙协议进行该连接。在一实施例中,可以使用其他无线电通信协议。在一实施例中,无线电通信协议可以要求由用户经由便携式无线设备101、由用户和/或智能卡读卡器仿真设备117上的操作***125或二者的组合来输入一个或多个代码或另外的信息。
在块407中,把来自与便携式无线设备应用109相关联的数据存储115的数据装载入与便携式无线设备应用109相关联的存储器中。在一实施例中,存储器可以与便携式无线设备101相关联。在一实施例中,存储器可以不与便携式无线设备101相关联,并且可以与便携式无线设备101存储器分离。来自数据存储115的数据可以包括但不限于独特识别用户的一个或多个公钥和/或私钥、独特识别用户的一条或多条生物特征数据、一个或多个证书、或与用户相关联的或可以被用来独特识别用户的其他数据。在一实施例中,来自数据存储115的数据可以在数据存储115中被加密,并且可以在存储在内存中之前被解密。在一实施例中,PIN、密码和/或锁定计数器也可以被存储在数据存储115中。
在块409中,便携式无线设备应用109等待来自智能卡读卡器仿真设备无线电收发机121的命令。所述命令可以是但不限于被无线电智能卡读卡器驱动器119拦截的来自应用软件123和/或操作***125的认证请求。在便携式无线设备应用109等待来自智能卡读卡器仿真设备无线电收发机121的命令时,便携式无线设备101可能移出智能卡读卡器仿真设备无线电收发机121的射程。在连接结束事件中,如块411中所示,便携式无线设备101中的无线电收发机不能与智能卡读卡器仿真设备无线电收发机121通信,并且便携式无线设备应用109把来自智能卡应用的更新的或新的状态信息存储到数据存储115。更新的或新的状态信息可以包括但不限于自从在块405中创建连接以来修改的信息,诸如新的或更新的密钥对、PIN或密码、锁定计数器更新、更新的证书或已生成的其他改变的或新的信息。该状态信息可以在存储在数据存储115中之前被加密。如果指示了连接结束事件,则该方法可以返回块403,在块403中便携式无线设备101可以等待来自智能卡读卡器仿真设备117或来自另一个智能卡读卡器仿真设备117的无线电连接请求。
在块413中,便携式无线设备应用109从便携式无线设备无线电收发机103接收一个或多个命令。所述一个或多个命令可以是但不限于经由无线电智能卡读卡器驱动器119的来自应用软件123和/或操作***125的认证请求。便携式无线设备应用109经由便携式无线设备无线电收发机103接收所述一个或多个命令。便携式无线设备应用109接收所述一个或多个命令,并且把所述一个或多个命令传送给智能卡小程序113。
在块415中,智能卡仿真器111把从便携式无线设备无线电收发机103接收的命令转换为智能卡小程序113可以接收和处理的一个或多个命令。智能卡仿真器111把所述一个或多个命令传送给智能卡小程序113。
在块417中,智能卡小程序113从智能卡仿真器111接收所述一个或多个命令,并且访问数据存储115或与便携式无线设备应用109相关联的其他存储器,以检索信息从而形成对所述一个或多个命令的响应。智能卡小程序113可以例如响应于所述一个或多个命令,从数据存储115和/或与便携式无线设备101相关联的存储器检索一个或多个证书。在一实施例中,智能卡小程序113可以响应于所述一个或多个命令,从数据存储115和/或与便携式无线设备101相关联的存储器检索生物特征识别信息。在一实施例中,智能卡小程序113可以响应于所述一个或多个命令,从数据存储115和/或与便携式无线设备101相关联的存储器检索另外的信息。在一实施例中,智能卡小程序113对从数据存储115和/或与便携式无线设备101相关联的存储器接收的数据可以执行一种或多种变换。例如但不限于,智能卡小程序113可以从数据存储115和/或与便携式无线设备101相关联的存储器检索公钥和/或私钥,并且可以把该密钥应用到从智能卡仿真器111接收的所述一个或多个命令。智能卡小程序113把检索的信息传送给智能卡仿真器111。在一实施例中,智能卡小程序113还可以比较提供的PIN或密码和正确值,可以比较用户的提供的指纹数据和存储的指纹数据,可以存储提供的证书或密钥供以后使用或者可以依照提供的参数生成新的密钥对。
在块419中,智能卡仿真器111把来自智能卡小程序113的响应传送给便携式无线设备无线电收发机103。便携式无线设备无线电收发机103可以经由一种或多种无线电通信协议把该响应传送给智能卡读卡器仿真设备无线电收发机121。在一实施例中,该响应或与该响应相关联的其他信息可以在向智能卡读卡器仿真设备无线电收发机121传输之前被加密和/或压缩。在便携式无线设备无线电收发机103中的智能卡仿真器111把该响应传送给智能卡读卡器仿真设备无线电收发机121之后,该方法可以返回块409,在块409中便携式无线设备101可以等待将经由智能卡读卡器仿真设备无线电收发机121从请求软件接收的另外的命令。
图5是图解根据本公开的实施例的接近度认证的方法的流程图。该方法可以开始于块501。该方法假定智能卡读卡器仿真设备无线电收发机121活动并且能够与便携式无线设备无线电收发机103连接。该方法还假定便携式无线设备无线电收发机103活动并且能够与智能卡读卡器仿真设备无线电收发机121配对。
在块503中,便携式无线设备101进入智能卡读卡器仿真设备无线电收发机121的射程,从而便携式无线设备无线电收发机103的强度处于或高于设置的水平。智能卡读卡器仿真设备无线电收发机121测量来自便携式无线设备101的信号强度。在一实施例中,该水平可以由用户设置。在另一个实施例中,该水平由无线电智能卡读卡器驱动器119和/或智能卡读卡器仿真设备无线电收发机121设置。在一实施例中,可以设置该水平以便使智能卡读卡器仿真设备无线电收发机121能够进行和维持与便携式无线设备无线电收发机103的无线电连接的任何联系可以是足够的。在另一个实施例中,可以设置该水平以使得要求更大的信号强度来使能连接,因此即使可以进行足够的无线电连接,连接也可以被智能卡读卡器仿真设备无线电收发机121拒绝。例如但不限于,如果设置该水平以使智能卡读卡器仿真设备无线电收发机121拒绝连接,除非信号强度指示便携式无线设备无线电收发机103不超过5英尺远,那么如果信号强度指示便携式无线设备无线电收发机103离智能卡读卡器仿真设备无线电收发机121是10英尺远,则会拒绝无线电连接。即使智能卡读卡器仿真设备无线电收发机121和便携式无线设备无线电收发机103能够在10英尺或更远处进行连接,该连接也会被拒绝。该水平可以由用户设置,或者可以根据来自策略服务器或其他***的安全策略和/或其他命令而设置。
在一实施例中,代替被选择和用于设置水平的信号强度,改变无线电收发机121或无线电收发机103的发射功率,以使该水平指示可以进行连接的射程。例如,根据用户的请求或一个或多个安全策略,智能卡读卡器仿真设备117可以把命令传送给远程无线设备101用于远程无线设备101把它的无线电收发机103设置在特定的水平。远程无线设备101可以把无线电收发机103的发射功率设置为智能卡读卡器仿真设备117指定的水平,以使当无线电收发机103和无线电收发机121在创建连接的射程内时,收发机也在由所述用户或一个或多个安全策略设置的水平的范围内。
在块505中,如果便携式无线设备101在智能卡读卡器仿真设备无线电收发机121的射程内,并且也在界限内,则智能卡读卡器仿真设备无线电收发机121将形成与和便携式无线设备101相关联的无线电收发机103的无线电连接。
在块507中,操作***125、应用软件123和/或无线电智能卡读卡器驱动器119可以向便携式无线设备应用109请求认证。在一实施例中,操作***125、应用软件123和/或无线电智能卡读卡器驱动器119可以向便携式无线设备应用109请求一个或多个证书。在一实施例中,智能卡读卡器仿真设备117可以向便携式无线设备101发送一个或多个挑战(challenge)请求。挑战请求可以包括例如用一个或多个密钥加密的数据,例如通过非对称密钥对加密的数据,其中密钥中的一个驻留在智能卡读卡器仿真设备117上,而另一个互补的密钥驻留在便携式无线设备101上。在一实施例中,可以从便携式无线设备101请求用户名和/或密码。在一实施例中,使用便携式无线设备应用109可用的一个或多个密钥,便携式无线设备101可以被挑战以签名一随机值。
在块509中,便携式无线设备无线电收发机103接收认证请求,并且把该认证请求传送给便携式无线设备应用109。便携式无线设备应用109接收该认证请求,并且把该认证请求传送给智能卡仿真器111。智能卡仿真器111接收该认证请求,并且把该认证请求传送给智能卡小程序113。智能卡仿真器111可以转换该认证请求以使它对于智能卡小程序113可读。智能卡小程序113从智能卡仿真器111接收该认证请求,并且访问数据存储115和/或与便携式无线设备101相关联的存储器以创建对于该认证请求的响应。该响应可以包括但不限于公钥和/或私钥、证书或与用户相关联的独特生物特征信息。智能卡小程序113把该响应传送给智能卡仿真器111。智能卡仿真器111从智能卡小程序113接收该响应,并且经由便携式无线设备无线电收发机103把该响应传送给智能卡读卡器仿真设备无线电收发机121。智能卡读卡器仿真设备无线电收发机121接收该响应,并且把该响应传送给无线电智能卡读卡器驱动器119。无线电智能卡读卡器驱动器119接收该响应,并且把该响应传送给应用软件123和/或操作***125。应用软件123和/或操作***125接收该响应,并且基于该响应执行一个或多个动作。所述动作可以包括但不限于授权用户操作智能卡读卡器仿真设备117或执行具有用户的权限的一个或多个任务。
在块511中,智能卡读卡器仿真设备无线电收发机121继续监视便携式无线设备无线电收发机103的信号强度。在块513中,如果来自便携式无线设备无线电收发机103的信号强度处于或高于指定的界限,则该方法返回块511以继续监视信号强度。如果来自便携式无线设备无线电收发机103的信号强度低于指定的界限,则该方法进行至块515,并且智能卡读卡器仿真设备117解除授权用户使用智能卡读卡器仿真设备117。解除授权可以包括但不限于,使用户从智能卡读卡器仿真设备117注销、锁定智能卡读卡器仿真设备117以防止访问或由操作***125和/或应用软件123执行的防止用户未授权地访问智能卡读卡器仿真设备117的其他动作。如果缓存的PIN和/或密码值被从便携式无线设备101和/或智能卡读卡器仿真设备117擦除,则用户也可以被解除授权,从而下次接收到认证请求时它们必须重新输入。如果便携式无线设备101和便携式无线设备无线电收发机103再次移动到接近度界限内,则该方法可以再次起始于块505。在一实施例中,智能卡读卡器仿真设备117未解除授权用户和/或去除证书,所以如果便携式无线设备无线电收发机103再次移动到接近度界限内,则智能卡读卡器仿真设备117可以重新授权用户访问智能卡读卡器仿真设备117,并且可以在块511处继续。
在其他优点中,本公开可以允许使用用户携带的具有一个或多个处理器和存储器的便携式无线设备或其他设备来替代一张或多张智能卡。因此,所提出的技术通过提供更直观和用户友好的方式来有效地使用智能卡基础设施和/或其他多因素认证,能够改进设备的用户控制。另外,智能电话的键盘、触摸屏和其他传感器能够用作智能卡小程序的输入。关于哪些资源正在被认证的信息能够在智能电话的屏幕上呈现给用户,以使用户知道在把智能电话连接到计算机时正在访问什么资源。还可以给用户关于是否接受这些访问的选择。此外,智能卡小程序中存储的信息能够在智能电话的屏幕上显示给用户。本领域技术人员将认识到其他优点。
在另一个实施例中,采用诸如近场通信链路的非常短距离的无线通信链路和诸如蓝牙类型链路或其他合适的链路的短距离无线通信链路的用户认证的方法被采用。在这个实施例中,可以采用便携式无线设备101(见图2)和诸如桌上型计算机、膝上型计算机或智能卡读卡器仿真设备117的另一个设备。在这个实施例中,第一无线电收发机207可以是非常短距离的无线收发机,并且第一无线电收发机203也可以是非常短距离的无线收发机。例如当便携式无线设备101对于第一无线电收发机203是接触距离时,这两个收发机执行本领域已知的近场通信链路操作。第二无线电收发机209可以是可具有30米以下的无线射程的短距离无线收发机。类似地,第二无线电收发机205也可以是与第二无线电收发机209相同类型的短距离无线收发机。如此,两个设备各自有非常短距离的无线收发机和短距离无线收发机。如前所述,每个设备还包括诸如离散逻辑的逻辑、合适地编程的处理器、状态机或执行本文中描述的操作的任何其他合适的逻辑。在该示例中,近场通信敲击用来自动地发起用户认证。在该示例中,将描述用户登录认证。此外在该示例中,将采用基于相互认证的用户认证,意思是需要这两个凭证提供到设备117的用户登录,包括例如对特定的执行应用、功能、子***或任何其他资源的登录。这可以包括访问要求用户认证的网站或任何其他合适的操作。在该示例中,设备水平认证和诸如个人识别号码或任何其他合适的信息的使用的用户ID识别都出现。
此外参考图7和图8,将使用图2的***为例描述用户认证的方法。如图8中所示,该方法可以如块800所示开始。该方法可以代替图3的块303、305、307和309。如块802中所示,该方法包括在两个设备101和117之间建立非常短距离的无线通信链路。这也由第一和第二设备之间的通信700(图7)显示,其中例如建立近场通信链路,如本领域已知其采用密码密钥交换和相应的短距离MAC地址来提供识别符以使设备101和117互相识别。如通信702所示,两个设备中的逻辑使用非常短距离的链路来交换用于短距离无线链路的链路建立信息,该短距离无线链路将使用短距离无线收发机209和205来建立。如此,该非常短距离的无线链路用来交换用于短距离无线链路的链路建立信息。设备中的逻辑使用短距离无线收发机205和209基于使用所述非常短距离的无线链路传送的交换的链路建立信息提供加密信道来建立短距离无线链路(如702显示)。
如块804中所示,该方法包括基于建立非常短距离的无线通信链路使用两个设备之间的短距离无线通信链路为设备117提供用户认证。这可以例如通过使用短距离加密信道来完成,以使例如在逻辑上执行的其他操作或操作***请求诸如来自便携式无线设备101的用户证书的用户认证信息。这如通信704所示。作为响应,如通信706中所示,使用短距离加密信道来发送具有用户证书的回复。设备117向设备101发送挑战,设备101响应于该挑战例如呈现用户界面来输入个人识别号码(PIN)以解锁在对该挑战的回复中使用的密码密钥。这在通信708中显示。如通信710中所示,例如如果在便携式无线设备上PIN输入成功,则之后向设备117发送挑战的回复。之后,设备117使用在回复中发送的证书验证该挑战,并且承认用户认证的访问是成功的。如此,设备117基于响应于使用非常短距离的无线链路的使用短距离无线链路发送的通信用户认证信息(在该示例中,证书和PIN)来认证用户。
换句话说,NFC敲击发起处理以建立另一个不同的链路(短距离链路),用户认证信息通过该另一个不同的链路被发送给另一个设备以使该另一个设备能够认证用户。在该示例中,将用户登录挑战发送给第一设备(即智能电话),并且第二设备基于用户登录挑战使用短距离无线链路从第一设备接收用户登录回复。这在非常短距离的链路被建立并且用来交换用以建立第二或短距离无线链路的链路配置信息之后发生。如此,在已建立蓝牙加密信道之后,基于用户凭证进行用户认证。由于通过非常短距离链路的物理接近度建立了非常短距离的通信链路,用户不需要尝试选择在要认证的多个设备的房间中使用哪个设备。每次设备互相敲击时,另一个认证会发生。加密蓝牙信道用来传送用户认证信息。
参考图9,示出了提供用户认证的方法。如块900中所示,该方法开始于块902,并且如块902中所示,该方法包括在第一设备和第二设备之间执行无线链路建立操作,其中第一无线链路使用诸如第一和第二装置之间的近场通信链路的非常短距离的无线链路。如块904中所示,该方法包括交换诸如设备认证信息的链路建立信息,所述设备认证信息可以是使用非常短距离的无线链路的用来建立短距离无线通信链路和操作的密码密钥和设备ID。如块906中所示,该方法包括基于使用非常短距离的无线链路传送的交换的链路建立信息,建立短距离无线链路,其被建立为加密信道。如块908中所示,该方法包括使用作为加密信道工作的建立的短距离无线链路,在第一和第二装置之间传送用户认证信息。如块910中所示,该方法包括基于在短距离无线链路上传送的并且响应于使用非常短距离的无线链路的传送的用户认证信息来认证用户。换句话说,不会建立短距离链路,除非非常短距离的无线链路被建立并且用于传送用于短距离无线链路的链路建立信息。之后,如果期望的话该方法可以如块912中所示继续另一个用户敲击和认证操作。
此外如图3中所示,例如图8的操作可以在块317之前被执行。然而,应当认识到如果期望的话可以在任何合适的点执行该处理,而且不需要连同图3的操作执行。
本发明的上述详细的说明和本文中描述的示例仅为图解和说明的目的而呈现,并且不应受到限制。因此应认为本发明覆盖落入上述公开和本文声明的基本底层原理的精神和范围内的任何和所有变型、修改或等同物。
Claims (8)
1.一种由第一装置和第二装置执行的用于用户认证的方法,包括:
在第一和第二装置之间执行第一无线链路建立操作,其中所述第一无线链路使用第一和第二装置之间的非常短距离的无线链路;
使用所述非常短距离的无线链路交换链路建立信息,该链路建立信息包括用于短距离无线链路的设备认证信息;
基于使用所述非常短距离的无线链路传送的交换的链路建立信息,建立包含加密信道的所述短距离无线链路;
使用所建立的包含加密信道的短距离无线链路直接在第一和第二装置之间传送与包含设备认证信息的交换的链路建立信息不同的用户认证信息;
基于来自所述短距离无线链路的传送的用户认证信息并且直接响应于使用所述非常短距离的无线链路,由第二装置认证用户;以及
其中使用所建立的包含加密信道的短距离无线链路在第一和第二装置之间传送用户认证信息包括:直接响应于建立所述非常短距离的无线链路,由第二装置向第一装置发送用户登录挑战,和使用所述短距离无线链路接收来自第一装置的基于所述用户登录挑战的用户登录回复。
2.根据权利要求1所述的方法,其中交换链路建立信息包括使用所述非常短距离的无线链路交换用于短距离无线链路的链路密钥和设备ID。
3.根据权利要求1所述的方法,其中由第二装置认证用户包括设备水平认证和用户ID识别。
4.一种提供用户认证的装置,包括:
非常短距离的无线收发机;
短距离无线收发机;以及
操作地耦接到该非常短距离的无线收发机和该短距离无线收发机二者的逻辑部,并且所述逻辑部操作为:
使用所述非常短距离的无线收发机建立与另一装置的非常短距离的无线通信链路;
基于使用所述非常短距离的无线通信链路传送的包含设备认证信息的交换的链路建立信息,使用所述短距离无线收发机建立包含加密信道的短距离无线链路;以及
使用所述短距离无线链路,直接响应于建立所述非常短距离的无线通信链路,并响应于接收与包含设备认证信息的交换的链路建立信息不同的用户认证信息,认证另一装置的用户。
5.根据权利要求4所述的装置,其中所述逻辑部操作为使用所述非常短距离的无线链路交换用于短距离无线链路的链路密钥和设备ID。
6.根据权利要求5所述的装置,其中所述逻辑部操作为使用所述链路密钥和设备ID来建立所述短距离无线链路,在建立了所述非常短距离的无线链路之后向另一装置发送用户登录挑战,使用所述短距离无线链路从另一装置接收基于所述用户登录挑战的用户登录回复,以及基于所述登录回复认证用户。
7.根据权利要求4所述的装置,其中操作为使用短距离无线收发机认证另一装置的用户的逻辑部包括用于设备水平认证和用户ID识别的逻辑部。
8.一种用于提供用户认证的***,包括:
第一装置,包括:
第一非常短距离的无线收发机;
第一短距离无线收发机;以及
操作地耦接到第一非常短距离的收发机和第一短距离无线收发机二者的第一逻辑部;
第二装置,包括:
第二非常短距离的无线收发机;
第二短距离无线收发机;以及
操作地耦接到第二非常短距离的收发机和第二短距离无线收发机二者的第二逻辑部;
其中所述第一和第二逻辑部操作为:
在第一和第二装置之间执行第一无线链路建立操作,其中所述第一无线链路使用第一和第二装置之间的非常短距离的无线链路;
使用所述非常短距离的无线链路交换链路建立信息,该链路建立信息包括用于短距离无线链路的设备认证信息;
基于使用所述非常短距离的无线链路传送的交换的链路建立信息,建立包含加密信道的所述短距离无线链路;
使用所建立的包含加密信道的短距离无线链路直接在第一和第二装置之间传送与包含设备认证信息的交换的链路建立信息不同的用户认证信息;以及
所述第二装置的第二逻辑部操作为基于来自所述短距离无线链路的传送的用户认证信息并且直接响应于使用所述非常短距离的无线链路来认证用户。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/836,431 US10165440B2 (en) | 2012-01-17 | 2013-03-15 | Method and apparatus for remote portable wireless device authentication |
| US13/836,431 | 2013-03-15 | ||
| PCT/US2014/027873 WO2014143769A1 (en) | 2013-03-15 | 2014-03-14 | Method and apparatus for remote portable wireless device authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105325021A CN105325021A (zh) | 2016-02-10 |
| CN105325021B true CN105325021B (zh) | 2020-02-14 |
Family
ID=50733327
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480023486.9A Active CN105325021B (zh) | 2013-03-15 | 2014-03-14 | 用于远程便携式无线设备认证的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP2974418B1 (zh) |
| CN (1) | CN105325021B (zh) |
| CA (1) | CA2905373A1 (zh) |
| WO (1) | WO2014143769A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9521238B1 (en) * | 2015-07-14 | 2016-12-13 | GM Global Technology Operations LLC | Establishing multiple short range wireless links between a vehicle and a mobile device |
| CN107295062B (zh) * | 2017-05-05 | 2018-06-19 | 北京摩拜科技有限公司 | 物品使用控制方法、设备、***及物品 |
| CN107197346B (zh) * | 2017-05-27 | 2021-06-15 | 深圳Tcl新技术有限公司 | 电视终端及蓝牙设备回连方法和计算机可读存储介质 |
| CN109005144B (zh) * | 2018-05-31 | 2021-04-20 | 杭州闪易科技有限公司 | 一种身份认证方法、设备、介质和*** |
| CN111882707B (zh) * | 2020-07-15 | 2022-08-19 | 珠海优特电力科技股份有限公司 | 锁具控制方法和装置 |
| CN114697058B (zh) * | 2020-12-28 | 2023-08-04 | 华为技术有限公司 | 一种身份认证方法、电子设备及计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101933246A (zh) * | 2008-01-30 | 2010-12-29 | 电子湾有限公司 | 一步式近场通信交易 |
| CN102457849A (zh) * | 2010-10-20 | 2012-05-16 | 诺基亚公司 | 具有带外启动的无线对接 |
| CN102685330A (zh) * | 2012-05-15 | 2012-09-19 | 江苏中科梦兰电子科技有限公司 | 一种以手机为鉴权工具登录操作***的方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9141955B2 (en) * | 2010-06-23 | 2015-09-22 | The Western Union Company | Biometrically secured user input for forms |
| EP2450858A1 (en) * | 2010-11-04 | 2012-05-09 | Fundosa Technosite S.A. | System and method of interaction between a user and an automatic teller machine |
-
2014
- 2014-03-14 CA CA2905373A patent/CA2905373A1/en active Pending
- 2014-03-14 EP EP14724853.8A patent/EP2974418B1/en active Active
- 2014-03-14 WO PCT/US2014/027873 patent/WO2014143769A1/en active Application Filing
- 2014-03-14 CN CN201480023486.9A patent/CN105325021B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101933246A (zh) * | 2008-01-30 | 2010-12-29 | 电子湾有限公司 | 一步式近场通信交易 |
| CN102457849A (zh) * | 2010-10-20 | 2012-05-16 | 诺基亚公司 | 具有带外启动的无线对接 |
| CN102685330A (zh) * | 2012-05-15 | 2012-09-19 | 江苏中科梦兰电子科技有限公司 | 一种以手机为鉴权工具登录操作***的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2974418A1 (en) | 2016-01-20 |
| CN105325021A (zh) | 2016-02-10 |
| EP2974418B1 (en) | 2022-05-11 |
| WO2014143769A1 (en) | 2014-09-18 |
| CA2905373A1 (en) | 2014-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10645581B2 (en) | Method and apparatus for remote portable wireless device authentication | |
| US20190268770A1 (en) | Method and apparatus for remote portable wireless device authentication | |
| US11968525B2 (en) | Vehicle digital key sharing service method and system | |
| US11026085B2 (en) | Authentication apparatus with a bluetooth interface | |
| KR101959492B1 (ko) | 모바일 디바이스에서의 사용자 인증 및 인간 의도 검증을 위한 방법 및 장치 | |
| CN105325021B (zh) | 用于远程便携式无线设备认证的方法和装置 | |
| US20140068744A1 (en) | Surrogate Secure Pairing of Devices | |
| KR20160097323A (ko) | Nfc 인증 메커니즘 | |
| EP4172821B1 (en) | Method and system of securing vpn communications | |
| KR101197213B1 (ko) | 위치 정보 기반 인증시스템 및 방법 | |
| KR102081875B1 (ko) | 사용자와 모바일 단말기 및 추가 인스턴스 간의 보안 상호 작용을 위한 방법 | |
| KR101628615B1 (ko) | 보안운영체제를 이용한 안심서명 제공 방법 | |
| KR20160124336A (ko) | 보안운영체제를 이용한 전자서명 제공 방법 | |
| KR101628614B1 (ko) | 보안운영체제를 이용한 전자서명 처리 방법 | |
| EP2738996A1 (en) | Method, device and system for accessing a server | |
| KR20170010341A (ko) | 보안운영체제를 이용한 인증 처리 방법 | |
| KR101866031B1 (ko) | 보안운영체제를 이용한 서버형 오티피 제공 방법 | |
| KR101702770B1 (ko) | 보안운영체제를 이용한 보안키패드 제공 방법 | |
| EP2645275A1 (en) | Method, device and system for accessing a service | |
| KR20170095797A (ko) | 보안운영체제를 이용한 인증 처리 방법 | |
| KR20160114966A (ko) | 보안운영체제를 이용한 인증 처리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |