CN115669022A - 电子设备提供基于测距的服务的方法和电子设备 - Google Patents

电子设备提供基于测距的服务的方法和电子设备 Download PDF

Info

Publication number
CN115669022A
CN115669022A CN202180036553.0A CN202180036553A CN115669022A CN 115669022 A CN115669022 A CN 115669022A CN 202180036553 A CN202180036553 A CN 202180036553A CN 115669022 A CN115669022 A CN 115669022A
Authority
CN
China
Prior art keywords
service
data
applet
reader device
electronic device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180036553.0A
Other languages
English (en)
Inventor
琴智恩
韩世熙
赵成奎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of CN115669022A publication Critical patent/CN115669022A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

根据实施例,一种由电子设备执行的提供基于测距的服务的方法可以包括:将与服务数据相关的信息从安装在所述电子设备中的服务应用发送到框架,所述与服务数据相关的信息包括服务部署情况和关于所述服务数据的存储位置的信息;当所述电子装置接近读取器设备时,接收来自所述读取器设备的第一数据;利用存储在基于第一数据识别的公共小应用中的信息,与读取器设备建立安全信道,所述公共小应用安装在电子设备的安全组件中;以及基于从所述读取器设备接收的第二数据,将所述服务数据发送到所述读取器设备。

Description

电子设备提供基于测距的服务的方法和电子设备
技术领域
本公开涉及一种电子设备和一种电子设备提供基于测距的服务的方法。
背景技术
因特网已经从人类通过其产生和消费信息的以人类为中心的连接网络发展到在诸如对象的分布式元件之间交换和处理信息的物联网(IoT)网络。还出现了万物联网(IoE)技术,其中经由与云服务器等的连接的大数据处理技术与IoT技术相结合。为了实现IoT,需要诸如感测技术、有线/无线通信、网络基础设施、服务接口技术或安全技术等技术因素。最近已经进行了对诸如传感器网络、机器到机器(M2M)通信或机器类型通信(MTC)之类的对象之间的连接技术的研究。
在IoT环境中,通过收集和分析从连接对象产生的数据,可以提供智能因特网技术(IT)服务以为人们的生活创造新的价值。可以通过现有信息技术(IT)和各种行业的融合和组合,将IoT应用于各种领域,例如智能家居、智能建筑物、智能城市、智能汽车或连接的汽车、智能电网、健康护理、智能家用电器或高技术医疗服务。
随着无线通信***的发展使它们能够提供各种服务,需要一种有效地提供服务的方法。例如,在介质访问控制(MAC)中,可以使用通过使用超宽带(UWB)来测量电子设备之间的距离的测距技术。UWB是一种无线通信技术,其在基带中使用几GHz或更大的超宽频带,而不使用无线电载波。
发明内容
技术问题
需要一种允许使用测距技术提供基于测距的服务的电子设备通过安全信道与另一电子设备安全地通信并快速和有效地交换数据的方法。
问题的解决方案
根据本公开的实施例,一种由电子设备执行的提供基于测距的服务的方法可以包括:从安装在电子设备中的服务应用向框架发送与服务数据相关的信息,与服务数据相关的信息包括服务部署情况和关于服务数据的存储位置的信息;当电子装置接近读取器设备时,接收来自读取器设备的第一数据;利用基于第一数据识别的存储在公共小应用中的信息,与读取器设备建立安全信道,公共小应用安装在电子设备的安全组件中;以及基于从读取器设备接收的第二数据,通过安全信道将服务数据发送到读取器设备。
附图说明
图1示出了在提供通用访问服务时可能发生的安全威胁。
图2示出了通用数字密钥管理***。
图3示出了根据实施例的存储在安装在安全组件中的小应用中的数据模型的示例。
图4示出了根据实施例的基于测距的服务处理的示例。
图5示出了根据实施例的存储在安装在安全组件中的小应用中的数据模型的示例。
图6示出了根据实施例的基于测距的服务处理的示例。
图7示出了根据实施例的基于测距的服务处理的示例。
图8示出了根据实施例的用于设置服务文件并将从服务应用发送到框架的应用编程接口(API)。
图9示出了根据实施例的用于通知服务部署方法并且将从服务应用发送到框架的API。
图10是示出根据实施例的由电子设备执行的提供基于测距的服务的方法的流程图。
图11示出了根据实施例的电子设备的框图。
图12示出了根据实施例的安全组件的框图。
具体实施方式
最佳模式
根据本公开的一方面,一种由电子设备执行的提供基于测距的服务的方法可以包括:从安装在电子设备中的服务应用向框架发送与服务数据相关的信息,与服务数据相关的信息包括服务部署情况和关于服务数据的存储位置的信息;当电子装置接近读取器设备时,接收来自读取器设备的第一数据;利用存储在基于第一数据识别的公共小应用中的信息,与读取器设备建立安全信道,公共小应用安装在电子设备的安全组件中;以及基于从读取器设备接收的第二数据,通过安全信道将服务数据发送到读取器设备。
在本公开的实施例中,服务部署情况可以包括第一情况、第二情况和第三情况中的至少一个,在第一情况中,服务数据被存储在安装在安全组件中的公共小应用中,在第二情况中,服务数据被存储在安装在安全组件中的传统小应用中,在第三情况中,服务数据被存储在服务应用中。
在本公开的实施例中,当服务部署情况是第一情况时,关于服务数据的存储位置的信息可以包括安装在安全组件中的公共小应用的标识符,第一数据可以包括安装在安全组件中的公共小应用的标识符,并且第二数据可以包括服务数据的标签值。
在本公开的实施例中,当服务部署情况是第二情况时,关于服务数据的存储位置的信息可以包括传统小应用的标识符,第一数据可以包括安装在安全组件中的公共小应用的标识符,并且第二数据可以包括传统小应用的标识符。
在本公开的实施例中,当服务部署情况是第三情况时,关于服务数据的存储位置的信息可以包括服务应用的标识符,第一数据可以包括安装在安全组件中的公共小应用的标识符,并且第二数据可以包括服务应用的标识符。
在本公开的实施例中,当服务部署情况是第二种情况时,向读取器设备发送服务数据可以包括:从读取器设备接收命令应用数据单元(APDU)以及传统小应用的标识符;通过公共小应用将命令APDU从框架发送到传统小应用;响应于命令APDU,通过公共小应用将响应APDU从传统小应用发送到框架;向读取器设备发送包括服务数据的响应APDU。
在本公开的实施例中,当服务部署情况是第三种情况时,向读取器设备发送服务数据可以包括:从读取器设备接收命令应用程序接口(API);将命令API从框架发送至服务应用;响应于命令API,将响应API从服务应用发送到框架;以及将包括服务数据的响应API发送到读取器设备。
在本公开的实施例中,该方法还可以包括从服务应用向框架发送服务文件配置信息和用于建立安全信道的密钥信息中的至少一个。
在本公开的实施例中,存储在公共小应用中并用于建立安全信道的信息可以包括用于超宽带(UWB)测距的参数和会话密钥。
在本公开的实施例中,该方法还可以包括通过向读取器设备发送和从读取器设备接收包括通过使用会话密钥生成的加扰时间戳序列(STS)码的测距帧来执行测距。
根据本公开的另一方面,一种用于提供基于测距的服务的电子装置可包括:通信接口,被配置为与读取器设备通信;安全组件,被配置为存储与读取器设备建立安全信道所需的信息;以及至少一个处理器,其连接到通信接口和安全组件,并且被配置为执行存储在存储器中的程序指令,以执行如下步骤:从安装在电子设备中的服务应用向框架发送与服务数据相关的信息,与服务数据相关的信息包括服务部署情况和关于服务数据的存储位置的信息,当电子设备接近读取器设备时,控制通信接口从读取器设备接收第一数据,通过使用存储在基于第一数据识别的公共小应用中的信息来与读取器设备建立安全信道,公共小应用安装在安全组件中,以及基于从读取器设备接收的第二数据来控制通信接口向读取器设备发送服务数据。
在本公开的实施例中,当服务部署情况是服务数据被存储在安装在安全组件中的公共小应用中的第一情况时,关于服务数据的存储位置的信息可以包括安装在安全组件中的公共小应用的标识符,第一数据可以包括安装在安全组件中的公共小应用的标识符,并且第二数据可以包括服务数据的标签值。
在本公开的实施例中,当服务部署情况是服务数据被存储在安装在安全组件中的传统小应用中的第二情况时,关于服务数据的存储位置的信息可以包括传统小应用的标识符,第一数据可以包括安装在安全组件中的公共小应用的标识符,并且第二数据可以包括传统小应用的标识符。
在本公开的实施例中,当服务部署情况是服务数据被存储在服务应用中的第三情况时,关于服务数据的存储位置的信息可以包括服务应用的标识符,第一数据可以包括安装在安全组件中的公共小应用的标识符,并且第二数据可以包括服务应用的标识符。
根据本公开的另一方面,提供了一种其上记录有用于执行由电子设备执行的提供基于测距的服务的方法的程序的计算机可读记录介质,其中方法包括:从安装在电子设备中的服务应用向框架发送与服务数据相关的信息,与服务数据相关的信息包括服务部署情况和关于服务数据的存储位置的信息;当电子装置接近读取器设备时,接收来自读取器设备的第一数据;利用存储在基于第一数据识别的公共小应用中的信息,与读取器设备建立安全信道,公共小应用安装在电子设备的安全组件中;以及基于从读取器设备接收的第二数据,通过安全信道将服务数据发送到读取器设备。
公开模式
在下文中,将参考附图详细描述本公开的实施例,以使本领域技术人员能够毫无困难地执行本公开。然而,本公开可以以许多不同的形式来体现,并且不应被解释为限于本文所述的本公开的实施例。此外,为了清楚地描述本公开,省略了与本公开的描述无关的部分,并且在整个说明书中将类似的附图标记分配给类似的元件。
尽管本文所用的术语是目前广泛使用并通过考虑其功能来选择的通用术语,但术语的含义可根据本领域技术人员的意图、法律先例或新技术的出现而变化。因此,这些术语不应通过其简单的表述来定义,而应基于其含义和贯穿本公开的描述的上下文来定义。
此外,诸如“第一”或“第二”之类的术语可用于描述各种元件,但这些元件不应受到这些术语的限制。这些术语仅用于将一个元件与另一个元件区分开。
此外,本文所用的术语用于描述特定实施例,且无意于限制本公开的范围。单数表述还包括复数含义,只要其与上下文不矛盾即可。此外,在整个说明书中,当一个部件被称为“连接到”另一个部件时,它可以“直接连接到”另一个部件或者通过中间元件“电连接到”另一个部件。此外,当一个元件被称为“包括”一个组件时,只要没有特定的相反叙述,该元件可以另外包括其它组件,而不是排除其它组件。
如本文所使用的,术语“该”和与其类似的其它说明可包括单数形式和复数形式。此外,当没有明确指定根据本公开的方法的操作顺序的描述时,可以以适当的顺序执行操作。本公开不限于所描述的操作的顺序。
如本文所使用的,术语“密钥”指的是数字化的虚拟密钥,并且用户可以通过使用该密钥来控制或访问设备。本公开涉及一种通过使用密钥来提供基于测距的服务的方法,并且在下文中,术语“密钥”可以被称为“数字密钥”、“智能密钥”或“会话密钥”。
如本文所用,诸如“在实施例中”的短语不一定指示本公开的相同实施例。
本公开的实施例可以由块组件和各种处理操作来表示。所有或一些这样的功能块可以由执行特定功能的各种数量的硬件和/或软件组件来实现。例如,本公开的功能块可以通过使用一个或多个微处理器来实现,或者通过使用用于预期功能的电路元件来实现。例如,本公开的功能块可以通过使用各种编程或脚本语言来实现。功能块可以被实现为由一个或多个处理器执行的算法。此外,本公开可以采用用于电子配置、信号处理和/或数据处理等的相关技术。
此外,图中所示的组件之间的连接线或连接构件仅是功能性连接和/或物理或电路连接的示例。在实际设备中,组件之间的连接可以由可替换或添加的各种功能连接、物理连接或电路连接来表示。
通常,无线网络技术主要根据识别范围分为无线局域网(WLAN)技术和无线个人区域网(WPAN)技术。这里,基于IEEE 802.11的WLAN是一种围绕100m半径访问骨干网的技术。此外,基于IEEE802.15的WPAN包括蓝牙、ZigBee、超宽带(UWB)等。
UWB可以表示在基带状态下使用几GHz或更大的宽频带、低频谱密度和短脉冲宽度(1到4纳秒(nsec))的短距离、高速无线通信技术,或者也可以直接表示应用UWB通信的频带。在下文中,将描述通过使用UWB通信方案在电子设备之间提供基于测距的服务的方法,但是这仅仅是示例,并且各种无线通信方法可以应用于本公开的提供基于测距的服务的方法。
根据本公开的实施例的电子设备可以包括被实现为计算机设备的固定终端或移动终端,并且可以通过使用无线或有线通信方案与其他设备和/或服务器进行通信。例如,电子设备可以包括但不限于智能电话、移动终端、膝上型计算机、数字广播终端、个人数字助理(PDA)、便携式多媒体播放器(PMP)、导航***、触屏个人计算机(PC)(SlatePC)、平板PC、数字电视(TV)、台式计算机、冰箱、投影仪、汽车、智能车、数字门锁、打印机等。
本公开的各种实施例涉及基于设备到设备(D2D)通信的介质访问控制(MAC)的技术。
D2D通信是指一种通过不使用诸如基站的基础设施而在地理上相邻的电子设备之间进行直接通信的方法。电子设备可以以一对一的方式、一对多的方式或多对多的方式进行通信。在D2D通信中,可以使用非许可频带,例如Wi-Fi直接、UWB和蓝牙。或者,在D2D通信中,可以使用许可频带来提高蜂窝***的频率利用效率。尽管D2D通信被限制性地用于指机器到机器(M2M)通信或机器智能通信,但是在本公开中,D2D通信不仅指具有通信功能的电子设备之间的通信,还指具有通信功能的各种类型的电子设备之间的通信,例如智能电话或个人计算机。
本公开的各种实施例涉及上述基于D2D通信的MAC,并且需要针对MAC测量电子设备之间的距离。在这种情况下,可以使用UWB测距技术来测量电子设备之间的距离。例如,当使用存储在用户终端中的数字钥匙来打开和关闭车辆的门(或前门)时,车辆(或门锁)可以通过使用数字钥匙来执行与用户终端的安全测距,并且基于安全测距的结果来测量用户终端和车辆(或门锁)之间的距离。车辆(或门锁)可以基于到用户终端的距离来确定车辆的门(或前门)的打开/关闭。在本公开中,随着电子设备彼此接近而提供各种服务的“访问服务”可以以与通过使用测距技术测量电子设备之间的距离并基于所测量的距离提供各种服务的“基于测距的服务”相同的含义来使用。
在下文中,将参考附图详细描述本公开。
图1示出了在提供访问服务时可能发生的安全威胁。
如图1所示,合法用户10和读取器设备20可以通过使用D2D通信来执行认证和测距。在这种情况下,当访问服务提供***基于合法用户10和读取器设备20的测距结果值而不使用密钥来保证合法用户10的认证时,可能存在安全攻击的可能性。详细地,攻击者30可以通过记录从合法用户10发送的信号并将该信号重放到读取器设备20来攻击测距过程。通过重放记录的信号,攻击者30可以欺骗读取器设备20误认合法用户10在准许访问权限的范围内,从而获得访问读取器设备20的权限。
因此,可能需要基于预共享密钥来配置安全协议,以减少在提供访问服务时可能发生的安全威胁。根据基于预共享密钥的安全协议,可以通过使用预共享密钥交换加密数据来提高测距安全级别。
每个访问服务提供者可以具有唯一的基于对称密钥的安全信道生成方法以保护安全性。因此,用于生成安全信道的安全密钥被认为是不应与其它实体(例如,其它访问服务提供者、其它企业或其它服务器)共享的核心资产。
为了安全地提供基于移动设备的访问服务,移动设备在其中的安全组件(例如,安全元件或可信执行环境(TEE))中存储重要信息(例如,用于生成安全信道的密钥)。TEE可以指由处理器中的安全区域提供的安全执行环境,普通区域和安全区域彼此分离。
使用安全信道的通信方案是一种允许移动设备安全地访问访问服务的方法,并且有必要生成快速且安全的安全会话而不向外部暴露用于保护相应通信部分的密钥值。
例如,为了使用UWB通信方案来实现安全测距,可以通过蓝牙级安全信道来交换包括UWB会话密钥的主要UWB参数。
图2示出了通用数字密钥管理***。
公司A的后端服务器21可以发行密钥并将该密钥存储在移动设备200的安全组件210中的安全区域203中。在这种情况下,只有由公司A提供的专用应用201能够访问其中安装了由公司A提供的小应用(或可信应用(TA))的安全区域203,并使用所存储的密钥。
移动设备200的安全组件210可以通过使用存储在安全区域203中的密钥与提供与公司A相关的访问服务的设备23建立安全信道,并且通过所建立的安全信道执行安全通信。
同时,公司B的后端服务器22可以发行单独的密钥并将该单独的密钥存储在移动设备200的安全组件210中的单独的安全区域204中。只有由公司B提供的专用应用202能够访问其中安装了由公司B提供的小应用(或TA)的安全区域204,并使用所存储的密钥。
移动设备200的安全组件210可以通过使用存储在安全区域204中的密钥与提供与公司B相关的访问服务的设备24建立安全信道,并且通过所建立的安全信道执行安全通信。
如图2所示,由常规访问服务提供者(或提供访问服务的后端服务器)提供的应用或小应用独立地与对方设备建立通信信道,并通过通信信道独立地连接到对方设备,以交换UWB相关参数或发送服务相关数据。例如,电子设备200可以通过蓝牙低能量(BLE)模块205交换UWB相关参数或发送服务相关数据。因为公司A和公司B通过使用分别安装在单独的安全区域中的小应用来管理单独的密钥,所以公司B提供的应用202不能访问由公司A的后端服务器21创建的安全区域203中的公司A的小应用。因此,公司A和公司B能够分别通过使用安装在单独的安全区域中的小应用来保护安全。然而,在上述相关技术中,由于每个访问服务建立每个安全信道,可能发生延迟,并且可能降低数据交换效率。
本公开可以提供一种通过由移动设备200中的公共小应用(例如,根据由FiRa联盟定义的标准文档的FiRa小应用)建立的与对方设备的安全信道安全地发送UWB相关参数或服务相关数据中的至少一个的方法。此外,根据本公开的各个实施例,提供了一种方法,其中访问服务提供应用向框架发送关于所支持的服务部署情况和必要参数的信息,并且该框架根据上述被发送的信息来支持访问服务。
因此,根据本公开的各种实施例,允许多个访问服务共同使用两个设备之间安全信道,从而可以减少建立安全信道所需的延迟,并且可以提高数据交换效率。
本公开中提供的基于测距的服务可以根据基于使用安全组件中小应用的方法和存储服务应用数据的位置的各种实施例来实现。根据第一实施例,安全组件中的公共小应用可以管理所有包括与安全测距相关的数据的基本数据以及服务应用数据。
根据第二和第三实施例,安全组件中的公共小应用可用于通过使用通过UWB的安全测距来增强现有应用。根据第二和第三实施例,安全组件中的公共小应用用于建立UWB会话,但是应用本身的数据事务可以在公共小应用外部执行。然而,公共小应用可用于在两个设备之间提供安全信道。公共小应用可用于在两个设备之间提供安全信道,使得设备交换UWB会话参数,并且基于测距的服务相关事务被绑定到UWB会话。
根据实施例,安全组件中的公共小应用可用于建立UWB会话和支持服务应用数据。根据实施例的公共小应用可以管理UWB安全测距功能并保持服务应用数据。在图3中示出了根据本实施例的使用的数据模型的示例。
图3示出了根据实施例的存储在安装在安全组件中的公共小应用中的数据模型的示例。
由访问服务提供者拥有的应用专用文件(ADF)可以包括服务应用专用服务数据。根据实施例,服务数据可以被存储在安全组件中。当服务事务发生时,读取器设备可以从安全组件检索服务数据。在这种情况下,可以根据基于测距的服务相关标准(例如,FiRa服务标准)来确定指示服务应用特定服务数据的标签值。
例如,在物理访问控制服务的情况下,服务数据可以是访问凭证。因此,读取器设备(例如门锁)可以从访问凭证设备(例如用户终端)检索访问凭证,并且基于所检索的访问凭证,与电子设备执行认证过程。
在下文中,将参考图4描述根据实施例的使用图3所述的数据模型的基于测距的服务提供***的用于交换基于测距的服务相关数据的过程。图4示出了根据实施例的基于测距的服务处理的示例。
在描述根据实施例的基于测距的服务处理之前,将描述基于测距的服务提供***的结构。
首先,安装在图4的电子设备400中的服务应用410是提供基于测距的服务的应用,并且可以通过框架420连接到UWB子***450。此外,服务应用410可以使用带外(OOB)模块440来建立到对方设备的服务特定OOB连接。OOB连接可用于与对方设备协商用于测距会话的配置信息。例如,OOB连接可以包括使用BLE通信方案的连接,使用近场通信(NFC)通信方案的连接,或者两个设备之间的任何其它可用连接。
框架420可以是支持基于测距的服务的应用。框架420可以管理成功地与对方设备建立UWB会话所需的UWB配置信息以及OOB配置信息,可以与对方设备建立OOB连接,可以与安全组件430交互,并且可以与UWB子***450交互。例如,框架420可以是安装在Android操作***上的***开发工具包(SDK)。
框架420可以提供应用编程接口(API),用于外部实体(例如,访问服务提供服务器、特定公司的后端服务器等)通过服务应用410访问安全组件430,并且可以提供用于访问安全组件430的诸如访问控制和命令转换的功能。
OOB模块440可以是被配置成与读取器设备460建立OOB连接的通信模块,并且UWB子***450可以是被配置成与读取器设备460执行安全测距的通信模块。
安全组件430可以是连接到UWB子***450的硬件,以便向UWB子***450发送用于UWB测距的数据。
在根据实施例的电子设备400的安全组件430中,可以安装用于提供基于测距的服务和管理与安全测距有关的数据的公共小应用。
根据实施例,访问服务提供者(或提供访问服务的后端服务器)可以通过框架420将重要信息(例如ADF)存储在安全组件430中的公共小应用470中。ADF可以包括UWB会话密钥、UWB能力信息和服务数据中的至少一个。
根据实施例的电子设备400可以基于存储在公共小应用470中的ADF中包括的信息来执行与读取器设备460的安全通信和安全测距。读取器设备460例如可以是提供物理访问服务的设备,例如门锁。
电子设备400可以使用OOB模块440通过例如NFC、BLE或其它连接方案来执行与读取器设备460的安全通信。例如,电子设备400可以通过OOB模块440与读取器设备460执行相互认证,并且根据相互认证,通过OOB模块440将存储在公共小应用470中的UWB会话密钥或与UWB会话密钥相关的信息发送到读取器设备460。此外,根据实施例的电子设备400可以使用UWB会话密钥或与UWB会话密钥相关的信息,用于与读取器设备460的UWB安全测距。例如,电子设备400可以通过使用存储在公共小应用470中的UWB会话密钥或与UWB会话密钥相关的信息来生成加扰时间戳序列(STS)码,并且基于所生成的STS码来执行UWB安全测距。上面参考图4提供的电子设备400的各个组件的描述也可以应用于图6的电子设备600和图7的电子设备700,并且上面提供的描述将被省略。
如图4所示,根据本公开的实施例,可以将包括服务数据的ADF存储在安全组件的公共小应用中。根据实施例,在操作S401中,服务应用410可以通知框架420服务应用数据(即,服务数据)在公共小应用470中被保持。用于通知在公共小应用470中保持服务应用数据的API可以包括指示公共小应用470的标识符AID、服务ADF ADF、服务应用数据的标签值和服务应用数据的值中的至少一个。
当电子设备400接近读取器设备460时,在操作S402,读取器设备460可以发送包括公共小应用470的标识符的应用数据单元(APDU)(即,选择(公共小应用AID)),以便选择公共小应用470。此外,读取器设备460可以发送包括ADF或服务数据的标签值的APDU(即,获取数据(应用ADF/服务数据标签)),以便检索数据。
电子设备400可以通过使用包括在公共小应用470中的ADF中的信息来与读取器设备460建立安全信道。电子设备400可以基于从读取器设备460接收的服务标签值来识别存储在公共小应用470中的服务数据,并且通过所建立的安全信道将服务数据发送到读取器设备460。基于所发送的服务数据,可以执行电子设备400和读取器设备460之间的相互认证。
电子设备400可以通过OOB模块440执行相互认证并在安全组件430和读取器设备460之间协商UWB能力参数和UWB会话密钥。在协商之后,可以在公共小应用470中保持UWB能力参数和UWB会话密钥。通过使用保持在公共小应用470中的ADF,UWB子***450可以触发UWB安全测距会话。电子设备400可以通过使用存储在公共小应用470中的UWB会话密钥来生成STS码,并且基于所生成的STS码来执行UWB安全测距。
例如,根据图4所示的实施例,服务应用410可以支持以下API。
FiRa服务部署(1,服务数据的标签,服务数据的值)
服务应用410可以将该API发送到框架420以通知框架420根据部署情况1操作,并且将服务数据的标签和服务数据值发送到框架420。该API可以在图4的操作S401中被发送。然而,该实施例不限于图4中所示的示例,并且API可以根据实现方法以各种操作来发送(例如密钥供应操作)。
此外,服务应用410还可以向框架420发送存储有服务数据的公共小应用的标识符AID。下面将参考图9更详细地描述该API。
同时,根据另一个实施例,安全组件中的公共小应用被用于建立UWB会话,但是应用本身的数据事务可以在公共小应用的外部执行。图5示出了根据与图3和4所示的实施例不同的实施例,存储在安装在安全组件中的小应用中的数据模型的示例。
如图5所示,根据实施例的安全组件中的公共小应用500可以保持ADF,该ADF包括要用于建立UWB安全测距会话的UWB会话密钥512和UWB能力相关参数511。图5中所示的示例与图3中所示的示例的不同之处可以在于,服务数据513在传统小应用501中被保持。可以通过在公共小应用之间建立的安全信道来发送在传统小应用501中保持的服务数据513。传统小应用501可以指由每个服务应用提供的唯一小应用,其不同于本公开中新提出的公共小应用。
根据实施例,为了将传统小应用501的APDU发送到读取器设备,API FiRa_TUNNEL_REQ(APDU)和FiRa_TUNNEL_RES(APDU)可以由框架处理,并且在框架和安全组件中的公共小应用之间发送和接收。
在下文中,将参考图6描述根据实施例的使用如图5所示的数据模型的用于交换基于测距的服务相关数据的过程。图6示出了根据实施例的基于测距的服务处理的示例。
图6所示的实施例与图4所示的实施例的不同之处在于从服务应用610发送到框架620的API消息的内部参数。此外,实施例的不同之处在于在操作S603、S604、S605、S606和S607中发送的消息。
首先,在操作S601中,服务应用610可以通知框架620需要从安全组件630中的传统小应用680通过安全信道发送服务数据。从服务应用610发送到框架620的API需要与传统小应用680的AID值一起被发送。
在操作S602,当电子设备600接近读取器设备660时,为了选择安全组件630中的公共小应用670,读取器设备660可以发送包括公共小应用670的标识符的APDU(即,选择(公共小应用AID))、用于选择ADF ADF的APDU(即,选择(ADF))、以及用于相互认证的APDU。读取器设备660可以通过使用公共小应用670中的ADF来建立安全信道。
在操作S603中,读取器设备660通过OOB模块640将命令APDU(C-APDU)与用于选择传统小应用680的APDU(即,选择(传统小应用AID))一起发送到传统小应用680。
在操作S604中,框架620向公共小应用670发送APDU命令FIRA_TUNNEL_REQ()。
在操作S605中,公共小应用670向传统小应用680发送从框架620接收的C-APDU。
在操作S606中,传统小应用680向公共小应用670发送对C-APDU的响应APDU(R-APDU)。
在操作S607中,公共小应用670可以通过使用FIRA_TUNNEL_RES()向框架620发送R-APDU以及服务应用数据。
在操作S608,框架620将R-APDU发送到读取器设备660。基于通过R-APDU发送的服务应用数据,可以执行电子设备600和读取器设备660之间的相互认证。
在通过OOB模块640在安全组件630和读取器设备660之间协商UWB能力参数和UWB会话密钥之后,可以在公共小应用670中保持UWB能力参数和UWB会话密钥。通过使用保持在公共小应用670中的ADF,UWB子***650可以触发UWB安全测距会话。
根据图6所示的实施例,服务应用610需要支持以下API。
FiRa服务部署(2,传统小应用的AID)
服务应用610可以将API发送到框架620以通知框架620根据部署情况2来操作,并且将传统小应用680的标识符AID发送到框架620。API可以在操作S601中被发送。然而,该实施例不限于图6中所示的示例,并且API可以根据实现方法以各种操作来发送(例如密钥供应操作)。
此外,服务应用610可以还向框架620发送将存储服务数据的公共小应用的标识符AID。下面将参考图9更详细地描述API。
根据图6所示的实施例,因为服务数据在传统小应用680中,当读取器设备660选择传统小应用680并发送C-APDU时,框架620需要通过使用如下所述的FIRA_TUNNEL_REQ()来发送APDU到公共小应用670。在框架620和公共小应用670之间需要支持以下API。
FIRA_TUNNEL_REQ(APDU)
API的作用是通过公共小应用670向由读取器设备660选择的传统小应用680发送APDU。
FiRa_TUNNEL_RES(APDU)
此外,API的作用是通过公共小应用670将APDU从传统小应用680发送到框架620。
同时,根据另一个实施例,安全组件中的公共小应用被用于建立UWB会话,但是可以在安全组件外部执行应用本身的数据事务。
图7示出了根据实施例的基于测距的服务处理的示例。
如图7所示,根据实施例的安全组件730中的公共小应用770可以保持UWB会话密钥和UWB能力相关参数,并且可以建立安全信道。图7中所示的示例与图6中所示的示例的不同之处在于,服务数据被保持在主机上的服务应用710中,而不是在安全组件730中。因此,通过公共小应用770建立的安全信道可以仅用于发送UWB会话相关参数(例如,UWB会话密钥、UWB能力参数等)而不是服务数据。服务数据可以通过非安全信道发送。
用于个性化服务应用的若干API可用于操纵公共小应用770中的ADF。例如,用于建立安全信道的密钥可以由服务应用710***到安全组件730中。
图7示出了来自主机上的服务应用710的服务数据事务处理,其是应用处理器。
根据实施例,为了向读取器设备760发送用于服务应用710的API,FiRa_TUNNEL_REQ(API)形式的命令API(C-API)和FiRa_TUNNEL_RES(API)形式的响应API(R-API)可以由框架720处理,并且在服务应用710和框架720之间发送和接收。
当服务应用数据事务成功完成时,框架720可以触发UWB会话的开始。
图7所示的实施例与图4和图6所示的实施例不同之处在于,从服务应用710发送到框架720的消息不传输服务数据,而只向框架720通知服务应用710的标识符。框架720中的监视器721可以连续地监视是否从读取器设备760发送了指示服务应用710的ID的消息。当从读取器设备760发送了指示服务应用710的ID的消息时,框架720可以向服务应用710发送C-API(即,以服务数据为目标的命令)。
图7所示的实施例与图4和图6所示的实施例的不同之处在于从服务应用710发送到框架720的API消息的内部参数。此外,实施例的不同之处在于在操作S703、S704和S705中发送的消息,以及将监视实体721添加到框架720。
在操作S701中,服务应用710可以通过使用以下API来通知框架720服务数据被存储在服务应用710中。
FiRa服务部署(3,FiRa服务应用的AID)
服务应用710可以将API发送到框架720以通知框架720根据部署情况3来操作,并且将服务应用710的ID发送到框架720。API可以在图7的操作S701中被发送。然而,该实施例不限于图7中所示的示例,并且API可以根据实现方法以各种操作来发送(例如密钥供应操作)。下面将参考图9更详细地描述API。
在操作S702中,读取器设备760可以通过使用安全组件730中的公共小应用770中的ADF向电子设备700发送用于建立安全信道的APDU。
详细地,当电子设备700接近读取器设备760时,为了选择安全组件730中的公共小应用770,读取器设备760可以发送包括公共小应用770的标识符的APDU(即,选择(公共小应用AID))、用于选择ADF ADF的APDU(即,选择(ADF))、以及用于相互认证的APDU。
在操作S703,读取器设备760向电子设备700的OOB模块740发送C-API以及用于选择服务应用710的API(即,选择(应用ID))。当用于服务应用数据事务的C-API通过OOB模块740从读取器设备760发送到框架720时,C-API被发送到服务应用710。
在服务应用710处理C-API之后,在操作S705,服务应用710向框架720发送包括处理结果的R-API。在操作S706,R-API与服务应用数据一起从框架720发送到读取器设备760。基于所发送的服务应用数据,可以执行电子设备700和读取器设备760之间的相互认证。
在通过OOB模块740在安全组件730和读取器设备760之间协商UWB能力参数和UWB会话密钥之后,在公共小应用770中保持UWB能力参数和UWB会话密钥。通过使用保持在公共小应用770中的ADF,UWB子***750可以触发UWB安全测距会话。
根据上面描述的本公开的各种实施例,服务应用可以支持下面描述的API中的至少一个,以便通知用于服务应用的框架的文件信息。下面描述的API的配置参数需要被发送到支持相应服务的框架。配置参数可以包括UWB命令接口(UCI)通用规范中描述的用于UWB会话建立的应用配置参数(例如,UCI通用规范的6.2段)。配置参数还可以包括与BLE通信相关的参数。
首先,图8示出了根据实施例的用于设置服务文件并将从服务应用发送到框架的API 810。
如图8所示,用于设置服务文件的API 810可以包括指示电子设备的角色是扫描者还是宣传者的参数,以及指示要提供的服务的角色是服务器还是客户端的参数。然而,根据本公开的各种实施例使用的API的参数的值不限于图8中所示的示例。
其次,安装在电子设备上的服务应用可以使用API来向安全组件提供密钥。密钥可用于在电子设备的安全组件和对应设备的安全组件之间建立安全信道。
第三,图9示出了根据实施例的用于通知服务部署方法并且将从服务应用发送到框架的API。
如图9所示,用于通知服务部署方法的API 910可以包括指示服务部署情况的参数、指示服务数据存储位置的参数、以及指示服务数据值的参数。
指示服务部署情况的参数可以指示服务应用使用部署情况1、部署情况2-A和部署情况2-B中的哪种情况。在本公开中,部署情况2-A和部署情况2-B可以被称为部署情况2和部署情况3。
部署情况1可以用于安全组件中的公共小应用不仅用于建立UWB会话而且用于支持服务应用数据的情况。图4示出了根据部署情况1的操作过程。
部署情况2-A可以用于安全组件中的应用(或小应用)利用UWB上的安全测距的情况。例如,在部署情况2-A中,可以在安全组件中的传统小应用中保持服务应用数据。图6示出了根据部署情况2-A的操作过程。
部署情况2-B可以用于主机上的应用利用UWB上的安全测距的情况。例如,在部署情况2-B中,服务应用数据可以在安全组件外部的服务应用中被保持。图7示出了根据部署情况2-B的操作过程。
当在部署情况1中操作时,指示服务数据存储位置的参数可以是公共小应用的AID、应用的服务提供者的ADF、以及服务数据的标签值。或者,当在部署情况2-A下操作时,指示服务数据存储位置的参数可以是传统小应用的AID。或者,当在部署情况2-B下操作时,指示服务数据存储位置的参数可以是服务应用的ID。
图10是示出根据实施例的由电子设备执行的提供基于测距的服务的方法的流程图。
在操作S1010中,根据本公开的实施例的电子设备可以将服务数据相关信息从安装在电子设备中的服务应用发送到框架。服务数据相关信息可以包括服务部署情况和关于服务数据的存储位置的信息。
服务部署情况可以包括第一情况、第二情况和第三情况中的至少一种,在第一情况中,服务数据被存储在安装在安全组件中的公共小应用中(即,部署情况1),在第二情况中,服务数据被存储在安装在安全组件中的传统小应用中(即,部署情况2-A),在第三情况中,服务数据被存储在服务应用中(即,部署情况2-B)。
当服务部署情况是第一种情况时,关于服务数据的存储位置的信息可以包括安装在安全组件中的公共小应用的标识符。当服务部署情况是第二种情况时,关于服务数据的存储位置的信息可以包括传统小应用的标识符。当服务部署情况是第三种情况时,关于服务数据的存储位置的信息可以包括服务应用的标识符。
此外,根据实施例的电子设备还可以从服务应用向框架发送服务文件配置信息和用于建立安全信道的密钥信息中的至少一个。
在操作S1020中,当电子设备接近读取器设备时,电子设备可以从读取器设备接收第一数据。第一数据可以包括安装在安全组件中的公共小应用的标识符。例如,电子设备可以通过使用NFC或BLE通信方案来接收包括公共小应用的标识符的APDU(即,选择(小应用AID))。
在操作S1030中,根据本公开的实施例的电子设备可以通过使用存储在基于第一数据识别的公共小应用中的信息来与读取器设备建立安全信道。公共小应用可以是安装在电子设备的安全组件中的小应用,并且由多个服务应用使用用于安全信道建立。
存储在公共小应用中用于安全信道建立的信息可以是ADF,其包括用于UWB测距的参数(例如,UWB能力参数)和会话密钥。
在操作S1040中,根据本公开的实施例的电子设备可以基于从读取器设备接收的第二数据通过安全信道(或不安全信道)将服务数据发送到读取器设备。例如,电子设备可以通过使用NFC或BLE通信方案将服务数据发送到读取器设备。
当服务部署情况是第一情况(即,服务数据存储在安全组件中的公共小应用中的情况)时,第二数据可以包括服务数据的标签值。电子设备可以基于从读取器设备接收的标签值,从公共小应用中识别对应于标签值的ADF,并且通过使用所识别的ADF与读取器设备建立安全信道。在这种情况下,服务数据可以通过公共小应用建立的安全信道被发送到读取器设备。
当服务部署情况是第二情况(即,服务数据被存储在安全组件中的传统小应用中的情况)时,第二数据可以包括传统小应用的标识符。电子设备可以从读取器设备接收C-APDU以及传统小应用的标识符,并且经由安全组件中的公共小应用将C-APDU从框架发送到传统小应用。响应于C-APDU,电子设备的安全组件可以经由公共小应用将R-APDU从传统小应用发送到框架。电子设备可以向读取器设备发送包括服务数据的R-APDU。在这种情况下,服务数据可以通过公共小应用建立的安全信道被发送到读取器设备。
当服务部署情况是第三情况(即,服务数据存储在安全组件外部的服务应用中的情况)时,第二数据可以包括服务应用的标识符。电子设备可以从读取器设备接收C-API以及服务应用的标识符,并且将C-API从框架发送到服务应用。响应于C-API,电子设备的服务应用可以将R-API发送到框架。电子设备可以向读取器设备发送包括服务数据的R-API。在这种情况下,服务数据位于安全组件的外部,因此可以通过安全组件建立的安全信道之外的信道发送到读取器设备。
基于服务应用数据从电子设备发送到读取器设备,可以执行电子设备和读取器设备之间的相互认证。在通过安全信道协商UWB能力参数和UWB会话密钥之后,电子设备在公共小应用中保持包括UWB能力参数和UWB会话密钥的ADF。电子设备可以通过使用保持在公共小应用中的ADF来触发UWB安全测距会话。
电子设备可以通过在UWB通信方案中向读取器设备发送和从读取器设备接收测距帧来执行测距,所述测距帧包括通过使用包括在公共小应用中的ADF中的会话密钥而生成的STS码。
图11示出了根据实施例的电子设备的框图。
根据本公开的实施例的电子设备1100可以包括个性化移动设备,但不限于此,并且可以包括各种类型的电子设备。例如,电子设备1100可以包括智能电话、平板PC、PC、照相机、可佩戴设备等。
参照图11,电子设备1100可以包括通信接口1110、存储器1120、安全组件1130、处理器1140和将组件彼此连接的总线1150。
通信接口1110可执行与另一设备(例如,访问服务提供服务器或读取器设备)或网络的有线/无线通信。为此,通信接口1110可以包括支持各种有线/无线通信方法中的至少一种的通信模块。例如,通信模块可以是芯片组的形式,或者可以是包括通信所必需的信息的粘贴物/条形码(例如,包括NFC标签的粘贴物)。
无线通信可以包括例如蜂窝通信、Wi-Fi(无线保真)、Wi-Fi直接、蓝牙、BLE、UWB或NFC中的至少一个。有线通信可以包括例如通用串行总线(USB)或高清晰度多媒体接口(HDMI)中的至少一个。
在一个实施例中,通信接口1110可以包括用于短距离通信的通信模块。例如,除了上述Wi-Fi、Wi-Fi直接、蓝牙、BLE、UWB和NFC之外,通信接口1110可以包括用于执行各种类型的短距离通信的通信模块,例如红外通信或磁安全传输(MST)。
诸如程序(例如,应用等)或文件的各种类型的数据可以被安装并存储在存储器1120中。处理器1140可以访问和使用存储在存储器1120中的数据,或者可以将新数据存储在存储器1120中。在实施例中,用于管理数字密钥的程序(例如,服务应用、框架)和数据可以被安装并存储在存储器1120中。
例如,存储器1120可以包括闪存类型存储介质、硬盘类型存储介质、多媒体卡微型存储介质、卡类型存储器(例如SD或XD存储器),随机存取存储器(RAM)、静态RAM(SRAM)、只读存储器(ROM)、电可擦除可编程ROM(EEPROM)、可编程只读存储器(PROM)、磁存储器、磁盘和光盘中的至少一个。
根据实施例的电子设备1100可以包括安全组件1130,并且安全组件1130可以执行对包括用于控制或访问外部设备的数字密钥的主要参数的生成、删除或管理等处理,并且可以对数字密钥执行认证。此外,安全组件可以提供通过认证外部实体(例如服务提供者服务器或读取器设备)对数字密钥的访问并验证其权限来安全地管理数字密钥的功能。例如,安全组件可以包括安全元件(SE)和/或TEE。
安全组件1130是电子设备1100的独立安全存储设备,且仅可由经授权应用访问。安全组件1130可以与其它硬件组件物理隔离。根据实施例,用于管理ADF的程序和数据(例如,安全域,小应用等)可以被安装和存储在安全组件1130中。
处理器1140控制电子设备1100的整体操作,且可包括至少一个处理器,例如中央处理单元(CPU)或GPU(图形处理单元)。处理器1140可以控制包括在电子设备1100中的其它组件来执行基于测距的服务的操作。例如,处理器1140可以执行存储在存储器1120和安全组件1130中的程序,加载存储在其中的文件,或者在其中存储新文件。
根据实施例的处理器1140可以将服务数据相关信息从安装在电子设备中的服务应用发送到框架。服务数据相关信息可以是用于通知服务部署方法的API,包括服务部署情况和关于服务数据的存储位置的信息。
服务部署情况可以包括第一情况、第二情况和第三情况中的至少一个,在第一情况中,服务数据被存储在安装在安全组件中的公共小应用中,在第二情况中,服务数据被存储在安装在安全组件中的传统小应用中,在第三情况中,服务数据被存储在服务应用中。
当服务部署情况是第一种情况时,关于服务数据的存储位置的信息可以包括安装在安全组件中的公共小应用的标识符。当服务部署情况是第二种情况时,关于服务数据的存储位置的信息可以包括传统小应用的标识符。当服务部署情况是第三种情况时,关于服务数据的存储位置的信息可以包括服务应用的标识符。
除了用于通知服务部署方法的API之外,根据实施例的处理器1140还可以将服务文件配置API和用于建立安全信道的密钥提供API中的至少一个从服务应用传输到框架。
当电子设备1100接近读取器设备时,根据实施例的处理器1140可以从读取器设备接收第一数据。第一数据可以包括安装在安全组件中的公共小应用的标识符。例如,电子设备1100可以通过使用包括在通信接口1110中的NFC模块或BLE模块来接收包括公共小应用的标识符的APDU。
根据实施例的处理器1140可以将第一数据发送到安全组件1130。安全组件1130可以基于第一数据来识别公共小应用,并且通过使用存储在所识别的公共小应用中的信息来与读取器设备建立安全信道。公共小应用可以是电子设备的多个服务应用公共使用的小应用,用于安全信道建立。
存储在公共小应用中并用于安全信道建立的信息可以是包括用于UWB测距的参数和会话密钥的ADF。
根据实施例的处理器1140可以基于从读取器设备接收的第二数据向读取器设备发送服务数据。例如,处理器1140可以通过使用通信接口1110的NFC通信模块或BLE通信模块将服务数据发送到读取器设备。
当服务部署情况是第一种情况时,处理器1140可以从读取器设备接收作为第二数据的服务数据的标签值。电子设备1100的安全组件1130可以基于从读取器设备接收的标签值来识别公共小应用中的ADF,并且使用所识别的ADF来与读取器设备建立安全信道。
当服务部署情况是第二种情况时,处理器1140可以从读取器设备接收作为第二数据的传统小应用的标识符。处理器1140可以从读取器设备接收命令APDU以及传统小应用的标识符。处理器1140的框架可以通过安全组件1130中的公共小应用向传统小应用发送C-APDU。响应于C-APDU,安全组件1130可以通过公共小应用将R-APDU从传统小应用发送到框架。处理器1140的框架可以将包括服务数据的R-APDU发送到读取器设备。
当服务部署情况是第三种情况时,处理器1140可以从读取器设备接收作为第二数据的服务应用的标识符。处理器1140的框架可以从读取器设备接收C-API以及服务应用的标识符,并且将C-API从框架发送到服务应用。响应于C-API,服务应用可以将R-API发送到框架。处理器1140的框架可以将包括服务数据的R-API发送到读取器设备。
基于从电子设备1100发送到读取器设备的服务应用数据,可以执行电子设备1100和读取器设备之间的相互认证。在通过安全信道协商UWB能力参数和UWB会话密钥之后,电子设备1100在安全组件1130中的公共小应用中保持包括UWB能力参数和UWB会话密钥的ADF。电子设备1100可以通过使用保持在安全组件1130中的ADF来建立UWB安全测距会话。根据实施例的电子设备1100的通信接口1110的UWB通信模块可以通过使用包括在保持在公共小应用中的ADF中的UWB会话密钥来生成STS码,并且发送和接收包括所生成的STS码的测距帧,从而与读取器设备执行测距。
总线1150是将通信接口1110、存储器1120、安全组件1130和处理器1140彼此连接的公共数据传输信道。
图12示出了根据本公开的实施例的安全组件1130的框图。
参照图12,安全组件1130可包括通信接口1210、存储器1220和处理器1230。
根据实施例的安全组件1130是电子设备1100的独立安全存储设备,并且仅可由授权应用访问。例如,安全组件1130可以包括TEE、嵌入式SE(eSE)、通用集成电路卡(UICC)、安全数字(SD)卡、嵌入式UICC(eUICC)、或者作为硬件和软件的组合或者采用硬件方法的单独的安全处理单元(SPU)。
通信接口1210可以与主机101或另一设备(例如,访问服务提供服务器或读取器设备等)通信。为此,通信接口1210可以包括支持各种有线/无线通信方法中的至少一种的通信模块。这里,主机101可以是包括在电子设备1100中的设备之一,并且可以包括例如应用处理器(AP)、存储器等。通信接口1210可以是串行接口,例如国际标准化组织(ISO)7816、USB、集成间电路(I2C)、串行外设接口(SPI)或单线协议(SWP),或者通常用于两个硬件设备之间通信的任何串行接口。此外,通信接口1210可以是直接将天线连接到硬件设备的无线接口,例如IS0 14443、Zigbee或蓝牙。此外,通信接口1210可以是连接到电子设备1100的中央总线的并行接口,并且在这种情况下,可以包括从主机101接收命令和数据的缓冲器。
诸如程序(例如,小应用)或文件的各种类型的数据可以被安装并存储在存储器1220中。处理器1230可以访问和使用存储在存储器1220中的数据,或者可以将新数据存储在存储器1220中。在实施例中,用于处理数字密钥的程序和数据可以被安装和存储在存储器1220中。存储器1220可以是非易失性存储器设备。
处理器1230控制安全组件1130的整体操作,且可包括至少一个处理器,例如CPU或GPU。处理器1230可控制包括在安全组件1130中的其它组件以执行用于管理ADF的操作。例如,处理器1230可以执行存储在存储器1220中的程序,加载存储在其中的文件,或者在其中存储新文件。在一个实施例中,处理器1230可以通过执行存储在存储器1220中的程序来执行用于管理ADF的操作。
尽管在图11中未示出,但是包括根据实施例的安全组件1130的电子设备1100还可以包括框架。该框架是服务应用,关于访问安全组件1130的外部实体,其用作网关。框架可以为外部实体提供API以访问安全组件1130,并且可以提供用于访问安全组件1130的功能,例如访问控制和命令转换。外部实体可以是例如安全区域发行者、服务提供者、读取器设备和/或访问服务提供设备。
根据实施例,可以在安全组件1130中安装和执行轻量级应用(例如,小应用或TA)。小应用可以在安全组件1130中存储ADF并提供服务,例如使用、删除和管理所存储的ADF。小应用可以预先安装在安全组件1130中,或者可以根据需要稍后加载或安装在其中。
本公开的实施例可以实现为存储在计算机可读存储介质中的包括指令的软件(S/W)程序。
计算机可从存储介质调用所存储的指令且基于所调用的指令根据本公开的实施例进行操作,且可包括根据本公开的实施例的电子设备。
计算机可读存储介质可以以非暂时性存储介质的形式提供。这里,术语“非暂时性的”仅意味着存储介质是有形设备,并且不包括信号,但是该术语不区分数据半永久性地存储在存储介质中和数据临时存储在存储介质中。例如,非暂时性存储介质可以包括临时存储数据的缓冲器。
此外,可以在计算机程序产品中提供根据本公开的实施例的电子设备或方法。计算机程序产品可以作为商品在卖方和买方之间交易。
计算机程序产品可以包括S/W程序和存储S/W程序的计算机可读记录介质。例如,计算机程序产品可以包括通过电子设备的制造商或电子市场(例如Google Play Store、App Store)电子分发的S/W程序(例如,可下载应用)形式的产品。对于电子分发,可以将S/W程序的至少一部分存储在存储介质中或临时生成。在这种情况下,存储介质可以是制造商的服务器或电子市场的服务器的存储介质,或者是临时存储S/W程序的中继服务器。
在由服务器和终端组成的***中,计算机程序产品可以包括服务器的存储介质或终端的存储介质。或者,当存在通信地连接到服务器或终端的第三设备(例如,智能电话)时,计算机程序产品可以包括第三设备的存储介质。或者,计算机程序产品可以包括从服务器发送到终端或第三设备,或者从第三设备发送到终端的S/W程序本身。
在这种情况下,服务器、终端和第三设备中的一个可以执行计算机程序产品以执行根据在此公开的实施例的方法。或者,服务器、终端和第三设备中的两个或更多个可以执行计算机程序产品,以便以分布式方式执行根据本文所公开的实施例的方法。
例如,服务器(例如,云服务器、人工智能服务器)可以执行存储在服务器中的计算机程序产品,以控制通信地连接到服务器的终端执行根据本文公开的实施例的方法。
作为另一示例,第三设备可以执行计算机程序产品以控制通信地连接到第三设备的终端执行根据本文公开的实施例的方法。
当第三设备执行计算机程序产品时,第三设备可以从服务器下载计算机程序产品,并执行下载的计算机程序产品。或者,第三设备可以执行在预加载状态下提供的计算机程序产品,并执行根据本文公开的实施例的方法。

Claims (15)

1.一种由电子设备执行的提供基于测距的服务的方法,所述方法包括:
从安装在所述电子设备中的服务应用向框架发送与服务数据相关的信息,所述与服务数据相关的信息包括服务部署情况和关于所述服务数据的存储位置的信息;
当所述电子设备接近读取器设备时,接收来自所述读取器设备的第一数据;
利用存储在基于所述第一数据识别的公共小应用中的信息,建立与所述读取器设备的安全信道,所述公共小应用安装在所述电子设备的安全组件中;以及
基于从所述读取器设备接收的第二数据,向所述读取器设备发送所述服务数据。
2.根据权利要求1所述的方法,其中,所述服务部署情况包括第一情况、第二情况和第三情况中的至少一个,在所述第一情况中,所述服务数据被存储在安装在所述安全组件中的所述公共小应用中,在所述第二情况中,所述服务数据被存储在安装在所述安全组件中的传统小应用中,在所述第三情况中,所述服务数据被存储在所述服务应用中。
3.根据权利要求2所述的方法,其中,当所述服务部署情况是所述第一情况时,关于所述服务数据的存储位置的信息包括安装在所述安全组件中的所述公共小应用的标识符,
所述第一数据包括安装在所述安全组件中的所述公共小应用的标识符,以及
所述第二数据包括所述服务数据的标签值。
4.根据权利要求2所述的方法,其中,当所述服务部署情况是所述第二情况时,关于所述服务数据的存储位置的信息包括所述传统小应用的标识符,
所述第一数据包括安装在所述安全组件中的所述公共小应用的标识符,以及
所述第二数据包括所述传统小应用的标识符。
5.根据权利要求2所述的方法,其中,当所述服务部署情况是所述第三情况时,关于所述服务数据的存储位置的信息包括所述服务应用的标识符,以及
所述第一数据包括安装在所述安全组件中的所述公共小应用的标识符,以及
所述第二数据包括所述服务应用的标识符。
6.根据权利要求2所述的方法,其中,当所述服务部署情况是所述第二情况时,向所述读取器设备发送所述服务数据包括:
从所述读取器设备接收命令应用数据单元APDU以及所述传统小应用的标识符;
通过所述公共小应用将所述命令APDU从所述框架发送到所述传统小应用;
响应于所述命令APDU,通过所述公共小应用将响应APDU从所述传统小应用发送到所述框架;以及
向所述读取器设备发送包括所述服务数据的所述响应APDU。
7.根据权利要求2所述的方法,其中,当所述服务部署情况是所述第三情况时,向所述读取器设备发送所述服务数据包括:
从所述读取器设备接收命令应用程序接口API;
将所述命令API从所述框架发送至所述服务应用;
响应于所述命令API,将响应API从所述服务应用发送到所述框架;以及
将包括所述服务数据的所述响应API发送到所述读取器设备。
8.根据权利要求1所述的方法,还包括将服务文件配置信息和用于建立所述安全信道的密钥信息中的至少一个从所述服务应用发送到所述框架。
9.根据权利要求1所述的方法,其中,存储在所述公共小应用中并用于建立所述安全信道的信息包括用于超宽带UWB测距的参数和会话密钥。
10.根据权利要求9所述的方法,还包括通过向所述读取器设备发送和从所述读取器设备接收包括通过使用所述会话密钥生成的加扰时间戳序列STS码的测距帧来执行测距。
11.一种用于提供基于测距的服务的电子设备,所述电子设备包括:
通信接口,被配置为与读取器设备通信;
安全组件,被配置为存储建立与所述读取器设备的安全信道所需的信息;以及
至少一个处理器,连接至所述通信接口和所述安全组件,并且被配置为执行存储在存储器中的程序指令,以执行如下步骤:从安装在所述电子设备中的服务应用向框架发送与服务数据相关的信息,所述与服务数据相关的信息包括服务部署情况和关于所述服务数据的存储位置的信息,当所述电子设备接近所述读取器设备时,控制所述通信接口以从所述读取器设备接收第一数据,通过利用存储在基于所述第一数据识别的公共小应用中的信息,建立与所述读取器设备的所述安全信道,所述公共小应用安装在所述安全组件中,以及基于从所述读取器设备接收的第二数据来控制所述通信接口向所述读取器设备发送所述服务数据。
12.根据权利要求11所述的电子设备,其中,当所述服务部署情况是所述服务数据被存储在安装在所述安全组件中的所述公共小应用中的第一情况时,关于所述服务数据的存储位置的信息包括安装在所述安全组件中的所述公共小应用的标识符,
所述第一数据包括安装在所述安全组件中的所述公共小应用的标识符,以及
所述第二数据包括所述服务数据的标签值。
13.根据权利要求11所述的电子设备,其中,当所述服务部署情况是所述服务数据被存储在安装在所述安全组件中的传统小应用中的第二情况时,关于所述服务数据的存储位置的信息包括所述传统小应用的标识符,
所述第一数据包括安装在所述安全组件中的所述公共小应用的标识符,以及
所述第二数据包括所述传统小应用的标识符。
14.根据权利要求11所述的电子设备,其中,当所述服务部署情况是所述服务数据被存储在所述服务应用中的第三情况时,关于所述服务数据的存储位置的信息包括所述服务应用的标识符,
所述第一数据包括安装在所述安全组件中的所述公共小应用的标识符,以及
所述第二数据包括所述服务应用的标识符。
15.一种或多种其上记录有程序的计算机可读记录介质,所述程序用于执行由电子设备执行的提供基于测距的服务的方法,所述方法包括:
从安装在所述电子设备中的服务应用向框架发送与服务数据相关的信息,所述与服务数据相关的信息包括服务部署情况和关于所述服务数据的存储位置的信息;
当所述电子装置接近读取器设备时,接收来自所述读取器设备的第一数据;
利用存储在基于所述第一数据识别的公共小应用中的信息,建立与所述读取器设备的安全信道,所述公共小应用安装在所述电子设备的安全组件中;以及
基于从所述读取器设备接收的第二数据,通过所述安全信道将所述服务数据发送到所述读取器设备。
CN202180036553.0A 2020-05-21 2021-05-21 电子设备提供基于测距的服务的方法和电子设备 Pending CN115669022A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR20200061129 2020-05-21
KR10-2020-0061129 2020-05-21
PCT/KR2021/006360 WO2021235893A1 (ko) 2020-05-21 2021-05-21 전자 디바이스 및 전자 디바이스가 레인징 기반 서비스를 제공하는 방법

Publications (1)

Publication Number Publication Date
CN115669022A true CN115669022A (zh) 2023-01-31

Family

ID=78707653

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180036553.0A Pending CN115669022A (zh) 2020-05-21 2021-05-21 电子设备提供基于测距的服务的方法和电子设备

Country Status (5)

Country Link
US (1) US20230180007A1 (zh)
EP (1) EP4152791A4 (zh)
KR (1) KR20230014693A (zh)
CN (1) CN115669022A (zh)
WO (1) WO2021235893A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220103358A1 (en) * 2021-12-08 2022-03-31 Intel Corporation Cloud key access mechanism
KR20230161283A (ko) * 2022-05-18 2023-11-27 삼성전자주식회사 Uwb 통신을 위한 방법 및 장치
KR20240064426A (ko) * 2022-11-04 2024-05-13 삼성전자주식회사 Uwb 세션을 관리하는 방법 및 장치

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101281734B1 (ko) * 2009-01-28 2013-07-04 한국정보통신주식회사 통합 금융 서비스를 위한 아이씨 카드 단말 및 기록매체
US8881227B2 (en) * 2010-03-30 2014-11-04 Authentic8, Inc. Secure web container for a secure online user environment
US8335921B2 (en) * 2010-12-17 2012-12-18 Google, Inc. Writing application data to a secure element
US8352749B2 (en) * 2010-12-17 2013-01-08 Google Inc. Local trusted services manager for a contactless smart card
US9935953B1 (en) * 2012-11-06 2018-04-03 Behaviometrics Ab Secure authenticating an user of a device during a session with a connected server
KR102194301B1 (ko) * 2013-11-14 2020-12-22 삼성전자주식회사 전자 장치들의 통신 연결 방법 및 장치
KR101572509B1 (ko) * 2014-05-28 2015-11-30 (주)에이시에스 웹 기반의 어플리케이션 구축을 위한 사용자 인터페이스 프레임워크 운용 방법
CN104778794B (zh) * 2015-04-24 2017-06-20 华为技术有限公司 移动支付装置和方法
CN107710160B (zh) * 2015-07-08 2021-06-22 株式会社日立制作所 计算机和存储区域管理方法
AU2017250352B2 (en) * 2016-04-14 2020-04-16 Apple Inc. Methods and architectures for secure ranging
US10719428B2 (en) * 2016-07-20 2020-07-21 Salesforce.Com, Inc. Automation framework for testing user interface applications
KR102604046B1 (ko) * 2016-11-28 2023-11-23 삼성전자주식회사 전자 기기의 프로그램 관리 방법 및 장치
WO2020050555A1 (en) * 2018-09-07 2020-03-12 Samsung Electronics Co., Ltd. Method for uwb transaction and electronic device therefor

Also Published As

Publication number Publication date
WO2021235893A1 (ko) 2021-11-25
EP4152791A1 (en) 2023-03-22
US20230180007A1 (en) 2023-06-08
EP4152791A4 (en) 2023-09-13
KR20230014693A (ko) 2023-01-30

Similar Documents

Publication Publication Date Title
US11991527B2 (en) Communication method and communication device
US20190014467A1 (en) Method and apparatus for downloading a profile in a wireless communication system
CN105992306B (zh) 一种终端与家庭网关的绑定方法
EP4152791A1 (en) Electronic device and method for electronic device to provide ranging-based service
US20230262467A1 (en) Method and apparatus by which electronic device performs secure ranging
US11563730B2 (en) Method and electronic device for managing digital keys
KR20220051306A (ko) 전자 디바이스 및 전자 디바이스가 타겟 디바이스에게 제어 명령을 전달하는 방법
CN105338529A (zh) 一种无线网络连接方法及***
EP3031195B1 (en) Secure storage synchronization
JP6470425B2 (ja) デバイスコンテンツプロビジョニングシステム
US20220369103A1 (en) Method and apparatus for performing uwb secure ranging
CN107211265A (zh) 一种终端间的安全交互方法及装置
US11950320B2 (en) Apparatus and methods for linkage of or profile transfer between devices
KR101528681B1 (ko) 보안 푸시 메시징 제공 방법
CN115997398A (zh) 用于在设备改变期间移动具有不同版本的简档的方法和设备
CN114697017A (zh) 一种密钥协商的方法及其相关设备
EP4274285A1 (en) Method and device for secure ranging based on ultra-wideband communication
EP4017047A1 (en) Method and device for setting state of bundle after transfer of bundle between apparatuses
CN108833498B (zh) 一种终端的通信方法、终端及存储介质
KR20220144150A (ko) Uwb를 이용한 결제 방법 및 장치
CN118265029A (zh) 对数字密钥进行管理的方法和电子装置
US11412377B2 (en) Method of configuring a multimedia device intended to be connected to an interconnection device
KR20210071815A (ko) 전자 디바이스 및 전자 디바이스가 디지털 키들을 관리하는 방법
CN114556887A (zh) 用于在设备之间传送捆绑包的方法和设备
KR101592070B1 (ko) 코드 이미지를 이용한 보안 중계 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination