在受限区域内进行认证的移动设备和系统及其方法

摘要

本公开提供用于在受限区域内进行认证的移动设备、系统和方法，该移动设备包括：区域密钥感测器，感测区域密钥；区域密钥存储器，存储区域密钥；受限区域检验器，检验所述移动设备是否进入受限区域；主节点确定器，在检验所述移动设备进入受限区域的情况下，确定移动设备是否作为主节点；认证控制器，控制移动设备的认证；认证控制器在检验所述移动设备未进入受限区域的情况下，将移动设备标识为未认证；认证控制器在确定移动设备作为主节点的情况下，将移动设备标识为已认证的主节点，并在接收到来自其他移动设备的认证请求时认证其他移动设备；认证控制器在确定移动设备不作为主节点的情况下，向主节点请求对该移动设备的认证。

说明书

技术领域

本发明一般涉及无线通信领域，且更具体地涉及在受限区域内进行认证 的移动设备和系统及其方法。

背景技术

随着无线技术的不断发展，对于诸如蜂窝手机、膝上计算机、平板计算 机、智能手机、移动游戏机等的无线移动设备的各种应用也在不断发展。例 如在端对端（P2P）无线通信领域中，需要研究无线移动设备进入特定区域内 的认证和端对端通信。

目前，已经开发了无线移动设备在无线局域网（WLAN）内的端对端 （P2P）通信的安全认证。例如，在Wong等人的在2011年8月16日颁发的 题为“Key Handshaking Method and System幻r Wireless Local Area Networks” 的美国专利No.US8,000,478B2中描述了一种在无线局域网内对无线移动设 备的密钥握手方法和系统。该方法和系统通过在WLAN中的认证器和客户端 之间的4次握手通信来交换用于认证的安全密钥。具体地，认证器和客户端 之间使用（由IEEE802.11提供的）基于IEEE802.1X的访问控制、安全会话 管理、动态密钥握手和密钥管理来进行该4次握手。首先，认证器 （authenticator）向客户端（supplicant）发送ANonce，客户端基于ANonce 和SNonce生成成对临时密钥（Pairwise Transient Key,PTK），客户端必要时 还生成组临时密钥（Group Transient Key,GTK），然后，客户端向认证器发送 SNonce和加密的GTK，同时，认证器基于接收的SNonce和其ANonce来生 成PTK，必要时也可以生成GTK，然后认证器加密该GTK，并向客户端发 送加密的GTK和消息完整性代码（Message Integrity Code,MIC），然后客户 端通过MAC（媒体访问控制，MediaAccess Control）H/W管理单元向认证 器发送MIC。当从对方接收到PTK和GTK时，客户端和认证器各自安装其 接收的PTK和GTK。由此，客户端和认证器通过4次握手交换了用于认证的 安全密钥。该专利仅涉及基于IEEE802.11标准中的IEEE802.1X标准的在 WLAN内的无线移动设备之间的认证，众所周知，IEEE802.1X标准运行于 网络中的数据链路层。其不涉及物理层的受限区域和区域密钥的概念（之后 将详细描述）。众所周知，WLAN的覆盖范围是利用无线电信号的传播和衰 减来确定的，而受限区域（之后将详细描述）的范围则可以任意调节。另外， 该专利的目的是增加密钥交换效率，也不涉及在受限区域内进行认证。

在Agardh等人在2010年9月21日颁发的题为“Operating Ad-hoc Wireless  Local Area Networks Using Network Identifiers and Application Keys”的美国专 利号US7,801,100B2中，描述了在ad-hoc WLAN中操作的无线通信终端的 方法。该方法在无线通信终端中保存网络标识符和应用密钥。该应用密钥是 用于在无线通信终端上运行的应用程序的，显然这是应用层的概念。而多个 无线通信终端之间通过网络标识符和应用密钥来建立ad-hoc无线局域网。类 似地，该方法仅涉及应用层的网络标识符和应用密钥，而不涉及物理层的受 限区域和区域密钥的概念，也不涉及在受限区域内进行认证。

在2007年10月10日公开的题为“Key Distribution Control Apparatus, Radio Base Station Apparatus,and Communication System”的欧洲专利申请EP 1,843,508A1中描述了一种密钥分发控制方法和装置。其基于IEEE802.11i 的认证方式来进行通信终端的认证。同样，众所周知，IEEE802.11i标准运行 于网络中的数据链路层，因此该专利申请不涉及物理层的受限区域和区域密 钥的概念，也不涉及在受限区域内进行认证。

因此，需要提供在受限区域内进行无线移动设备的认证和端到端通信的 解决方案。

发明内容

本发明提供一种受限区域内进行无线移动设备的认证和端到端通信的解 决方案。

根据本发明的一个方面，本公开提供一种用于在受限区域内进行认证的 移动设备，包括：区域密钥感测器，感测从一个或多个区域密钥发射器发射 的一个或多个区域密钥；区域密钥存储器，存储所述一个或多个区域密钥； 受限区域检验器，检验所述移动设备是否进入受限区域；主节点确定器，在 检验所述移动设备进入受限区域的情况下，确定所述移动设备是否作为主节 点；认证控制器，控制移动设备的认证；其中，所述认证控制器在检验所述 移动设备未进入受限区域的情况下，将所述移动设备标识为未认证；所述认 证控制器在确定所述移动设备作为主节点的情况下，将所述移动设备标识为 已认证的主节点，并在接收到来自其他移动设备的认证请求时认证所述其他 移动设备；所述认证控制器在确定所述移动设备不作为主节点的情况下，向 作为主节点的移动设备请求对所述移动设备的认证。

优选地，所述一个或多个区域密钥每个可以包括区域标识符、随机密钥 和时间戳。

优选地，所述受限区域检验器可以通过所述区域密钥中包括的各个区域 标识符来检验所述移动设备是否进入受限区域：如果所述各个区域标识符能 够唯一地确定一个受限区域，则可以检验所述移动设备进入受限区域，否则， 可以检验所述移动设备未进入受限区域。

优选地，所述认证控制器还可以在将所述移动设备标识为已认证的主节 点之后，检测所述受限区域的一个或多个已认证移动设备是否离开，并向所 述受限区域内的剩余已认证移动设备通知该离开。

优选地，所述主节点确定器可以通过以下来实现在检验所述移动设备进 入受限区域的情况下、确定所述移动设备是否作为主节点：探测在所述受限 区域内是否已经存在作为主节点的移动设备；如果在所述受限区域内已经存 在作为主节点的移动设备，则确定所述移动设备不作为主节点；如果在所述 受限区域内没有作为主节点的移动设备且不存在同时进入所述受限区域的一 个或多个其他移动设备，则确定所述移动设备作为主节点；如果在所述受限 区域内没有作为主节点的移动设备且同时存在同时进入所述受限区域的一个 或多个其他移动设备，则使得所述移动设备与所述同时进入所述受限区域的 一个或多个其他移动设备根据预定协商规则来协商所述这些移动设备中哪个 作为主节点。

优选地，所述主节点确定器还可以：在所述移动设备不作为主节点的情 况下，当检测到所述受限区域中作为主节点的移动设备离开所述受限区域时， 或当检测到所述受限区域中作为主节点的移动设备不再作为主节点时，使得 剩余的移动设备根据预定协商规则来协商哪个作为主节点。

优选地，上述移动设备还可以包括通信控制器，在所述受限区域内，允 许已认证的各个移动设备之间互相通信、而不允许已认证移动设备和未认证 移动设备之间互相通信。

优选地，可以通过发送、接收并验证所述有效的区域密钥信息或与其相 关的信息，来控制如下动作中的一种或多种：所述认证动作；所述请求动作； 所述探测动作；所述协商动作；所述通知动作；以及已认证移动设备之间的 互相通信动作。

优选地，可以通过如下方式来进行所述验证：比较当前接收的信号中的 有效的区域密钥信息或与其相关的信息与自己当前存储的有效的区域密钥信 息或与其相关的信息是否相同，如果相同，则验证通过，如果不同，则验证 不通过。

根据本发明的另一方面，提供一种在受限区域内认证移动设备的系统， 包括：一个或多个上述的移动设备；一个或多个区域密钥发射器，产生一个 或多个区域密钥，并向在受限区域内的一个或多个移动设备发射所产生的一 个或多个区域密钥。

区域密钥发射器可以周期性地或不定期发射更新的区域密钥。

根据本发明的另一方面，提供一种在受限区域内进行认证的方法，所述 方法包括：感测从一个或多个区域密钥发射器发射的一个或多个区域密钥； 存储所述一个或多个区域密钥；检验所述移动设备是否进入受限区域；在检 验所述移动设备进入受限区域的情况下，确定所述移动设备是否作为主节点； 在检验所述移动设备未进入受限区域的情况下，将所述移动设备标识为未认 证；在确定所述移动设备作为主节点的情况下，将所述移动设备标识为已认 证的主节点，并在接收到来自其他移动设备的认证请求时认证所述其他移动 设备；在确定所述移动设备不作为主节点的情况下，向作为主节点的移动设 备请求对所述移动设备的认证。

根据本发明的另一方面，提供一种在受限区域内认证移动设备的方法， 所述方法包括：使得一个或多个区域密钥发射器产生一个或多个区域密钥， 并向在受限区域内的移动设备发射所产生的一个或多个区域密钥；使得所述 移动设备感测从一个或多个区域密钥发射器发射的一个或多个区域密钥；使 得所述移动设备存储所述一个或多个区域密钥；使得所述移动设备检验所述 移动设备是否进入受限区域；使得所述移动设备在检验所述移动设备进入受 限区域的情况下，确定所述移动设备是否作为主节点；使得在检验所述移动 设备未进入受限区域的情况下，将所述移动设备标识为未认证；使得在确定 所述移动设备作为主节点的情况下，将所述移动设备标识为已认证的主节点， 并在接收到来自其他移动设备的认证请求时认证所述其他移动设备；使得在 确定所述移动设备不作为主节点的情况下，向作为主节点的移动设备请求对 所述移动设备的认证。

根据本发明的实施例，可以增强受限区域内的移动设备的认证效率以及 通信安全性。

附图说明

图1示出了根据第一实施例的在受限区域内认证移动设备的系统的示例 的结构。

图2示出了图1所例示的系统中的根据第二实施例的移动设备的示例结 构。

图3示出了移动设备如何在两种工作模式间切换的示意图。

图4示出了单个节点的主节点确定过程的示例的示意图。

图5示出了多个节点的主节点协商过程的示例的示意图。

图6示出了从节点认证过程的示例的示意图。

图7示出了从节点离开受限区域的过程的示例的示意图。

图8示出了根据第三实施例的在受限区域内认证移动设备的方法。

图9示出了根据第四实施例的在受限区域内认证移动设备的方法。

具体实施方式

现在将详细参照本发明的具体实施例，在附图中例示了本发明的例子。 尽管将结合具体实施例描述本发明，但将理解，不是想要将本发明限于所述 的实施例。相反，想要覆盖由所附权利要求限定的在本发明的精神和范围内 包括的变更、修改和等价物。应注意，这里描述的方法步骤都可以由任何功 能块或功能布置来实现，且任何功能块或功能布置可被实现为物理实体或逻 辑实体、或者两者的组合。

为了使本领域技术人员更好地理解本发明，下面结合附图和具体实施方 式对本发明作进一步详细说明。

本公开将按下列顺序进行描述：

1．术语或词汇含义解释

2．在受限区域内认证移动设备的系统的结构

2-1移动设备的示例结构

2-2受限区域示例

2-3受限区域检验过程

2-4主节点确定过程

2-4-1单个节点的主节点确定过程

2-4-2多个节点的主节点协商过程

2-5从节点认证过程

2-6从节点离开过程

2-8主节点离开过程

2-9节点间通信过程

3．在受限区域内认证移动设备的示例结构

4．根据第三实施例的在受限区域内认证移动设备的方法

5．根据第四实施例的在受限区域内认证移动设备的方法

6．本发明的应用和有益效果

1．术语或词汇含义解释

受限区域（RestrictedArea）

本公开中提到的“受限区域”指的是可以通过物理方式人为控制和任意 调节其范围的唯一界定的区域。在该受限区域内的认证无线移动设备之间可 以通过已有的无线通信方式互相通信，而该受限区域内的认证无线移动设备 不能与未认证无线移动设备以及该受限区域外的其他无线移动设备进行通 信。受限区域的例子包括但不限于通过一个或多个红外线发射器发射的红外 线交集来唯一界定的区域、通过一个或多个灯光发射器发射的光线交集来唯 一界定的区域（其中，该灯光发射器发射的光线应具有良好的指向性，优选 地是发光二极管（Light Emitting Diode，LED）的光）、通过一个或多个微波 发射器发射的微波交集来唯一界定的区域、近场通信（Near Field  Communication,NFC）技术的受限区域、其他信号覆盖的受限区域等等。可 见，受限区域是一个物理层的概念。

区域密钥（Area Key）

本公开中提到的一个或多个“区域密钥”用于唯一地界定一个受限区域， 其可以从一个或多个区域密钥发射器发射，其中，该区域密钥发射器可以是 红外线发射器、灯光（优选地，LED）发射器、微波发射器等等，该区域密 钥可以由红外线携带、由灯光携带、由微波携带等等。

该区域密钥可以包括区域标识符（Identifier，ID）、随机密钥、时间戳、 和/或其他信息等信息。

区域密钥中的区域ID信息可以用来唯一地界定一个受限区域，其通常是 预先设定且固定不变的。之后，将举例利用斐波那契数列（Fibonacci Sequence） 来生成这种区域ID来更详细地说明如何利用这种区域ID来唯一地界定一个 受限区域。但是利用区域ID来唯一地界定一个受限区域的方式不限于该斐波 那契数列方式。

区域密钥中的随机密钥可以用于在安全通信期间嵌入PTK和GTK的计 算（以下将描述）中。该随机密钥可以由用于发射区域密钥的区域密钥发射 器来定期或不定期产生。

在产生随机密钥的同时还可以记录当时的时间戳，而该时间戳也可以被 包括在区域密钥中。

节点

在本公开中，使用“节点”来指代移动设备。

主节点（MasterNode）

本公开中提到的“主节点”指的是能够管理其他节点的移动设备，其进 行如下动作中的一种或多种：检测其他移动设备进入受限区域，对进入受限 区域的其他移动设备进行认证，检测其他移动设备离开受限区域等等。

从节点（Client Node）

本公开中提到的“从节点”指的是除了作为主节点的移动设备以外的其 他移动设备。

2．在受限区域内认证移动设备的系统的结构

图1示出了根据第一实施例的在受限区域内认证移动设备的系统的示例 的结构。

该系统包括一个或多个移动设备200、例如节点1-5以及一个或多个区域 密钥发射器100、例如第一区域密钥发射器、第二区域密钥发射器、第三区 域密钥发射器和第四区域密钥发射器。每个区域密钥发射器向各自的的覆盖 范围内发射区域密钥。

2-1在受限区域内进行认证移动设备的示例结构

图2示出了图1所例示的系统中的移动设备200的结构。

该用于在受限区域内进行认证的移动设备200包括：区域密钥感测器 201，感测从一个或多个区域密钥发射器发射的一个或多个区域密钥；区域密 钥存储器202，存储所述一个或多个区域密钥；受限区域检验器203，检验所 述移动设备是否进入受限区域；主节点确定器204，在检验所述移动设备进 入受限区域的情况下，确定所述移动设备是否作为主节点；认证控制器205， 控制移动设备的认证。所述认证控制器205在检验所述移动设备未进入受限 区域的情况下，将所述移动设备标识为未认证。所述认证控制器205在确定 所述移动设备作为主节点的情况下，将所述移动设备标识为已认证的主节点， 并在接收到来自其他移动设备的认证请求时认证所述其他移动设备。所述认 证控制器205在确定所述移动设备不作为主节点的情况下，向作为主节点的 移动设备请求对所述移动设备的认证。

结合图1，作为节点1-5的各个移动设备200中的区域密钥感测器201感 测从第一区域密钥发射器、第二区域密钥发射器、第三区域密钥发射器和第 四区域密钥发射器发射的区域密钥，且各个移动设备200中的区域密钥存储 器202存储感测到的这些区域密钥。当然，在实际应用中，可能该移动设备 200仅接收到从第一区域密钥发射器、第二区域密钥发射器、第三区域密钥 发射器和第四区域密钥发射器发射的这些区域密钥中的一个或几个，从而需 要通过该移动设备200中的受限区域检验器203来通过例如所述区域密钥中 包括的各个区域ID（以下将详细描述）来检验所述移动设备是否进入受限区 域。

优选地，这些区域密钥发射器可以周期地或不定期发射更新的区域密钥。 由于根据之前对区域密钥的描述（区域密钥可以包括区域标识符（Identifer， ID）、随机密钥、时间戳、和/或其他信息等信息），可知区域密钥中包括的区 域ID一般是固定不变的，而区域密钥中包括的随机密钥是可以在区域密钥发 射器可以周期地或不定期发射更新的，且区域密钥中包括的时间戳也是随着 随机密钥的更新而更新的。因此，周期地或不定期发射更新的区域密钥的好 处是：可以使得存储了失效的、或旧的区域密钥的节点如果离开了受限区域， 则无法接收到更新的区域密钥，因此也无法再与受限区域内的接收了更新的 区域密钥的节点通信和交流，从而保证了受限区域内的节点的通信的安全性。

同时，区域密钥存储器202可以存储由区域密钥发射器周期性或不定期 发射的各个区域密钥。其存储容量可以被设定为一个最大的缓存值，例如使 得所述区域密钥存储器202始终保存100个区域密钥（例如，区域密钥1，2， 3，…，100），而在收到新的第101个区域密钥的时候丢弃最早的区域密钥1 （即，保留密钥2，3，4，…，101）)。

下面，将通过2-2到2-9章节来详细描述移动设备200中的区域密钥感测 器201、区域密钥存储器202，存储所述一个或多个区域密钥；受限区域检验 器203、主节点确定器204、认证控制器205以及其他未示出的器件的具体操 作。

2-2受限区域示例

例如，假设定义两个区域密钥发射器发射的两个区域密钥中的两个区域 ID来唯一地界定一个受限区域（当然，本发明不限于此）。也就是说，参考 图1，第一区域密钥发射器和第二区域密钥发射器发射的两个区域密钥中的 两个区域ID ID1和ID2能够唯一地界定一个受限区域101；而第三区域密钥 发射器和第四区域密钥发射器发射的两个区域密钥中的两个区域ID ID3和 ID4能够唯一地界定一个受限区域102。在实际应用中，如上所述，该区域密 钥发射器可以是红外线发射器、灯光（优选地，LED）发射器、微波发射器 等等，该区域密钥可以由红外线携带、由灯光携带、由微波携带等等，在此 不具体说明。

如前所述，该受限区域的范围（例如形状和大小）可以任意调节，在这 点上与无线局域网不同。无线局域网利用的是射频（Radio Frequency；RF） 的技术，其范围（例如形状和大小）由无线电信号的自然传播和衰减来确定， 且无法人为控制且不能任意调节其覆盖范围和形状，而受限区域利用的是红 外线、灯光、微波等技术，其范围（例如形状和大小）可以人为控制和任意 调节。此外，受限区域可以由一个、两个或更多区域密钥发射器发射的红外 线、灯光、微波等来唯一地界定其范围，而无线局域网仅采用一个无线路由 器来进行射频电信号发射，且无线局域网的范围由于无线电信号传播和衰减 的不稳定性而并非唯一地界定。而且由于受限区域利用的是红外线、灯光、 微波等技术，因此受限区域的边界非常锐利，即能够灵敏地检测是否进出了 受限区域的边界。由于无线局域网采用射频电信号技术，因此无线局域网的 边界比较模糊，即不能够灵敏地检测是否进出了无线局域网的边界。另外， 无线局域网也不涉及用来确定是否进入了受限区域的受限区域检验过程（如 以下描述）。

2-3受限区域检验过程

受限区域检验器203可以通过所述区域密钥中包括的各个区域ID来检验 所述移动设备是否进入某一受限区域：如果所述各个区域ID能够唯一地确定 一个受限区域，则检验所述移动设备进入受限区域，否则，检验所述移动设 备未进入受限区域。受限区域检验过程

下面通过示例的斐波那契数列来进行受限区域检验器203的受限区域检 验。

首先，斐波那契数列是如下的数列：

F₀F₁F₂F₃F₄F₅F₆F₇F₈F₉F₁₀F₁₁F₁₂F₁₃F₁₄F₁₅F₁₆F₁₇F₁₈F₁₉F₂₀

011235813213455891442333776109871597258441816765

这个数列从第三项开始，每一项都等于前两项之和，其另一特点是任意 相邻两项之和都可以在该数列中找到，且绝不会与另外两项之和相等。

利用这一特点，从上述数列中选择相邻的两个数字作为受限区域101的 两个区域密钥发射器（第一区域密钥发射器和第二区域密钥发射器）发射的 两个区域密钥中包括的两个区域ID ID1和ID2。从上述数列中选择不同的相 邻两个作为受限区域102的两个区域密钥发射器（第三区域密钥发射器和第 四区域密钥发射器）发射的两个区域密钥中的两个区域ID ID3和ID4。因此， 例如：

受限区域101：ID1=1；ID2=2，两个区域ID ID1和ID2之和为3；

受限区域102：ID3=5；ID4=8，两个区域ID ID3和ID4之和为13。

如此，图1中的节点1-3一般能感测到第一区域密钥发射器和第二区域 密钥发射器发射的两个区域密钥（包括两个区域ID ID1=1和ID2=2），因此， 这两个区域ID之和为3，该和3可以从上述数列中找到，因此受限区域检验 器203可以检验这些节点1-3进入了受限区域101而不是102。

例如，图1中的节点4可能感测到第一区域密钥发射器和第四区域密钥 发射器发射的区域密钥，而这些区域密钥包括的区域ID为ID1=1和ID4=8， 而这两个区域ID ID1和ID4之和为9，而该和9无法从上述数列中找到，因 此，受限区域检验器203可以检验该节点4并未进入受限区域101或102。

同理，图1中的节点5可能感测到第三区域密钥发射器和第四区域密钥 发射器发射的区域密钥，而这些区域密钥包括的区域ID为ID3=5和ID4=8， 这两个区域密钥之和为13，该和13可以从上述数列中找到，因此受限区域 检验器203可以检验该节点5进入了受限区域102而不是101。

而如果节点的区域密钥感测器201错误地感测到来自不同的受限区域的 区域密钥发射器发射的区域密钥，则这种区域密钥中的区域ID之和无法从上 述数列中找到，该和是无效的，因此可以检验该节点并未进入任何受限区域。

由此可见，本发明的受限区域检验方式不限于斐波那契数列，只要能够 通过区域密钥中包括的信息来检验节点是否进入受限区域的其他方式都可以 被包括在本发明中。

根据本发明的一个实施例，该移动设备节点200还可以包括工作模式切 换器206（见图3），其可以切换两种工作模式：区域受限工作模式（ARWM- Area-Restricted Working Mode）和传统工作模式（LWM-Legacy Working  Mode)。具体来说，LWM模式兼容传统WiFi客户端模式，使得该移动设备 节点可以连接接入点（AP，Access Point）。同时，ARWM模式是受限区域网 络独有的工作模式，在该模式下移动设备节点处于某一受限区域内，并和其 他区域内的移动设备节点构成受限区域网络，在该受限区域网络内的移动设 备节点之间能够相互通信，而不能与受限区域外的移动设备节点进行通信。

图3示出了移动设备节点如何在上述两种工作模式间切换的示意图。图 3示出了如前所述的区域密钥发射器100用于发射区域密钥、如前所述的区 域密钥感测器201用于感测从区域密钥发射器100发射的区域密钥、如前所 述的区域密钥存储器202用于存储感测到的区域密钥、如前所述的受限区域 检验器203用于检验是否进入受限区域、以及工作模式切换器206。顺带提 及，区域密钥发射器100、区域密钥感测器201、区域密钥存储器202工作在 物理层，而受限区域检验器203工作在数据链路层。

首先，区域密钥感测器201感测到发射的区域密钥，区域密钥存储器202 存储感测到的区域密钥，并将其输入到受限区域检验器203，然后受限区域 检验器203检验节点是否进入某一受限区域，如果受限区域检验器203的输 出为所述节点进入受限区域（简称为进入），从而该工作模式切换器206控制 该节点以工作在ARWM模式。当一个节点未进入或离开某一受限区域后，受 限区域检验器203的输出为所述移动设备未进入受限区域（简称为未进入）， 从而该工作模式切换器206控制该节点工作在LWM模式。注意，可以定义， 在LWM模式下，节点不响应来自受限区域的任何信号帧，而在ARWM模式 下，节点才彼此探测、响应、认证、通信等等（以下还将详细描述）。

2-4主节点确定（Master Node Determination）过程

2-4-1单个节点的主节点确定过程

图4示出了单个节点的主节点确定过程的示例的示意图。

如上所述，在受限区域检验器203检验到所述移动设备进入受限区域时 （可能地，工作模式切换器206使得该节点工作在ARWM模式），此后节点 中的主节点确定器204要进行该移动设备节点是否作为主节点的确定。

该主节点确定器204探测在所述受限区域内是否已经存在作为主节点的 移动设备；如果在所述受限区域内已经存在作为主节点的移动设备，则确定 所述移动设备不作为主节点；如果在所述受限区域内没有作为主节点的移动 设备且不存在同时进入所述受限区域的一个或多个其他移动设备，则确定所 述移动设备作为主节点；如果在所述受限区域内没有作为主节点的移动设备 且同时存在同时进入所述受限区域的一个或多个其他移动设备，则使得所述 移动设备与所述同时进入所述受限区域的一个或多个其他移动设备根据预定 协商规则来协商所述这些移动设备中哪个作为主节点。

具体地，在该移动设备节点的受限区域检验器203检验到所述移动设备 进入受限区域时，该节点中的数据通信单元（未示出）可以连续发送探测帧 以尝试探测在所述受限区域内是否已经存在作为主节点的移动设备。该探测 动作可以通过发送、接收并验证区域密钥中包括的一种或多种信息来进行。 优选地，在探测动作发送的该探测帧中可以包括该区域密钥中包括的区域ID。 由于该区域密钥中可以包括该受限区域的区域ID信息，因此本受限区域内的 节点才能接收到包括相同区域ID信息的区域密钥，从而可以通过验证该区域 ID信息是否相同来确定该探测帧是否是由本受限区域内的其他节点发出的， 从而确定是否响应于接收到的探测帧。这样，可以使得一个受限区域内的节 点只响应于本受限区域内的其他节点发送的探测帧，而不响应于来自其他区 域的节点的探测帧。当然，除了区域ID本身外，该探测帧中还可以包含与区 域ID相关的其他信息（例如对区域ID本身进行加密、数学运算等得到与区 域ID相关的其他信息）以用于验证。

然后，如图4所示，在所述节点中的数据通信单元（未示出）连续发送 一定数量的探测帧（例如，4个探测帧）后，如果该节点仍然没有收到来自 本受限区域内的主节点的响应，则该主节点确定器204可以确定在所述受限 区域内不存在作为主节点的移动设备。然后，如果在所述受限区域内没有作 为主节点的移动设备且不存在同时进入所述受限区域的一个或多个其他移动 设备（也就是说，此时只有该单个节点进入受限区域），则该主节点确定器 204确定该移动设备节点作为主节点，从而该主节点可以管理后续进入受限 区域的其他从节点，例如包括检测其他从节点进入受限区域，对进入受限区 域的其他从节点进行认证，检测其他从节点离开受限区域。

如果在所述受限区域内存在作为主节点的移动设备，则该主节点确定器 204确定该节点不作为主节点，即，该节点为从节点。

2-4-2多个节点的主节点协商（Master Node Negotiation）过程

图5示出了多个节点的主节点协商过程的示例的示意图。

如果除了该节点以外，存在同时进入所述受限区域的一个或多个其他节 点，例如，当两个节点1和2同时进入某一受限区域，或者先后进入（而前 一进入的节点没有还没有成为主节点）某一受限区域时，主节点确定器204 将根据预定协商规则进行协商这些节点中哪个作为主节点。

下面参考图5以两个节点为例来说明该主节点协商过程。

首先，区域密钥发射器100（例如周期性地或不定期）发射区域密钥。

节点1和2中的区域密钥感测器感测到区域密钥后，随即节点1和2中 的区域密钥存储器存储该区域密钥。

节点1在发送探测帧后接收到来自同一受限区域的节点2的探测帧，且 没有接收到受限区域内任何已有主节点的响应（即在所述受限区域内没有作 为主节点的移动设备且存在同时进入所述受限区域的一个或多个其他移动设 备）。此时将触发主节点协商过程。注意，如上所述，该探测帧可包含区域密 钥中包括的区域ID、或与相关的信息。

然后，节点1向节点2发送主节点协商请求（可包含自己存储的区域密 钥中包括的信息，下称区域密钥信息，优选地为随机密钥和/或时间戳），节 点2在接收到主节点协商请求后根据验证规则来验证该接收的区域密钥信 息。根据一个实施例，该验证规则可以是：节点1用当前存储的区域密钥信 息加密一个预设通用信息（其中，该预设的通用信息预先被两个节点1和2 所知，且该预设通用信息可以是例如一定长度的全零数列），然后节点1把加 密的信息传送给节点2，之后由节点2用其当前缓存的区域密钥信息来解密 后来比较得到的预设通用信息是否一致。当然，该验证规则不限于此，还可 以使用其他验证规则来验证该区域密钥信息。注意，该验证规则的核心在于： 比较当前接收的信号中的区域密钥信息与自己当前存储的区域密钥信息是否 相同，如果相同，则验证通过，如果不同，则验证不通过。

此处，基于区域密钥信息的验证机制带来的好处是：确保仅位于该受限 区域内的节点之间能够通信和交流，而位于该受限区域外的节点由于不具有 与该受限区域相同的区域密钥信息而无法通过验证，因而无法与该受限区域 内的节点进行通信和交流，从而确保了受限区域内的节点的通信的安全性； 同时，根据一个例子，区域密钥发射器可以周期地或不定期更新区域密钥， 并发射更新的区域密钥，这样使得：可以使得存储了失效的、或旧的区域密 钥的节点如果离开了受限区域，则无法接收到更新的区域密钥，由于其发出 的帧中不能包括更新的区域密钥信息，因此无法通过验证，因而无法再与受 限区域内的接收了更新的区域密钥的节点通信和交流，从而进一步保证了受 限区域内的节点的通信的安全性。

最后，按照预定协商规则进行协商以确定唯一的主节点，然后由节点1 向节点2发送主节点协商确认。其中，该预定协商规则在每个节点定义一个 可比较的数值，例如，主节点意愿值（MNIV-MasterNode Intent Value）。该 MNIV数值可以包括例如节点的当前状态（例如，剩余电量、CPU频率等）、 时间戳、以及节点所在受限区域中的位置等信息中的一个或多个或其函数。 该预定协商规则还可以比较该MNIV数值，确定具有相对大的MNIV数值的 节点作为主节点。当两个MNIV数值相等时，还可以采用附加的默认规则， 例如，可以确定发起协商请求的节点成为主节点。但预定协商规则和/或附加 的默认规则不限于此。

此外，以后新加入的从节点也可以将其自身的主节点意愿值MNIV发送 给主节点来保存，以便之后如果需要更换主节点，可以容易地由现有主节点 直接进行该现有主节点与其他节点的主节点协商过程。

确定主节点的好处在于：通过受限区域内的主节点来自行管理该受限区 域内的节点的检测、认证、通信等等，能够在不需要向受限区域内添加任何 额外认证设备的情况下，以最少代价进一步保证受限区域内的节点间通信的 安全性。

2-5从节点认证(Client Node Authentication)过程

在主节点确定器204通过单个节点确定过程或多个节点协商过程来确定 了主节点之后，该主节点（无论最新确定的还是已经存在的）中的认证控制 器205可以对后续进入受限区域内的从节点进行认证。

图6示出了从节点认证过程的示例的示意图。

当在某一受限区域内已经存在主节点（无论该主节点是最新确定的还是 已经存在的）时，其他节点将以从节点身份加入到主节点维护的区域受限网 络中，主节点的认证控制器205和从节点的认证控制器205之间的具体步骤 如下：

区域密钥发射器100周期性地发射区域密钥。

主节点和从节点感测到区域密钥后随即存储该区域密钥。

从节点发送探测帧（包含其存储的区域密钥中包括的区域ID）给主节点。

主节点通过自己存储的验证该探测帧为来自同一受限区域的探测帧后， 发送探测帧响应给从节点。

从节点通过发出认证请求来请求主节点对其进行认证。

主节点和从节点分别产生临时帧序列值：主节点产生的临时帧序列值表 示为ANonce，从节点产生的临时帧序列值表示为SNonce。

主节点响应于从节点的认证请求，发送含有ANonce的帧给从节点。

从节点接收到ANonce后，计算PTK（Pairwise Transient Key）。本发明 中的PTK的计算符合802.11标准，但与802.11标准的不同点是：在计算PTK 时需要考虑其自己当前存储的区域密钥信息。具体来说，PTK可以是5个参 数的函数，此五个参数为ANonce、SNonce、从节点的MAC地址、主节点的 MAC地址、和PMK（Primary Master Key）。在本公开中，PMK被定义为当 前存储的区域密钥信息的函数。

从节点发送SNonce和相应的MIC（Message Integrity Code）到主节点。 MIC用于数据完整性校验。

主节点接收到从节点传来的信息后，同样计算PTK，并验证MIC。如果 MIC相同则从节点通过认证，主节点准许该从节点加入由该主节点维护的受 限区域网络，否则拒绝其加入。此外，主节点还可能需要产生用于组播和广 播的GTK（Group Temporal Key）。

主节点发送GTK和相应的MIC给从节点，此时从节点通过认证。

从从节点发送确认帧（ACK）到主节点，由此，主节点的认证控制器205 标识该从节点为已认证的节点。根据一个例子，该主节点还可以保持一个已 认证节点列表，并将新认证的节点添加到该已认证节点列表，并将离开受限 区域的节点从该已认证节点列表中删除。

如此，主节点和从节点成功建立通信连接，从而保证新进入受限区域的 从节点能够与受限区域内的主节点或其他节点进行安全通信。

在认证过程中各个节点发送的信号中考虑各自当前存储的区域密钥信息 的好处在于：使得只有存储了相同的区域密钥的各个节点之间能够互相通信， 从而保证了受限区域内的节点的通信的安全性。

2-6从节点离开过程

主节点的认证控制器还检测所述受限区域的一个或多个已认证从节点是 否离开该受限区域，并向所述受限区域内的剩余已认证从节点通知该离开。

图7示出了从节点离开受限区域的过程的示例的示意图。

具体地，主节点的认证控制器205可以例如通过向各个从节点定期发送 轮询请求来希望从各个从节点得到其自己存储的区域密钥，如果从节点无响 应，或返回了旧的或失效的，则主节点的认证控制器可以检测该从节点已经 从受限区域离开。然后，该主节点的认证控制器可以将该从节点从已认证节 点列表中注销。另外，当已认证节点列表发生变化时，主节点还可以将变化 信息通知给该受限区域内的各个已认证从节点。

而该从节点离开受限区域后，该从节点中的工作模式切换器206由区域 受限工作模式ARWM切换为传统工作模式LWM，此后也无法再与原所在受 限区域内的节点通信，从而保证了受限区域内的节点的通信的安全性。

2-8主节点离开过程

每个节点中的主节点确定器204还可以在本节点不作为主节点的情况 下，当检测到所述受限区域中主节点离开所述受限区域时，或当检测到所述 受限区域中主节点不再作为主节点时，使得剩余的节点根据上述举例的预定 协商规则来协商哪个作为主节点。在此不赘述该预定协商规则。上述检测可 以采用从节点对主节点进行轮询的方式等等。

另外，如果主节点离开受限区域，则该主节点中的工作模式切换器206 由区域受限工作模式ARWM切换为传统工作模式LWM，此后也无法再与原 所在受限区域内的节点通信，从而保证了受限区域内的节点的通信的安全性。 该主节点检测自己是否离开受限区域的方式可以采用自己检查是否定期感测 到原受限区域的更新的区域密钥、或者检查感测到的区域密钥是否是从原始 受限区域的区域密钥发射器发出的等等。

而且，为了在主节点离开之后接管的新的主节点能够直接了解受限区域 内的已认证节点的信息，在主节点在未离开之前，主节点还可以周期性地向 受限区域内的所有节点广播已认证节点列表和其他信息（例如包括MNIV等 等），且受限区域内的各个节点还可以将主节点广播的已认证节点列表和其他 信息（例如包括MNIV等等）保存在各个节点处，这样做的好处是：一旦任 一节点成为新的主节点时，不需要重新进行各个节点的认证。

2-9节点间通信过程

在主节点进行了各个节点的认证并保持了已认证节点列表之后，已认证 的各个节点之间可以进行安全通信。为了进一步增强安全性，还可以例如在 通信期间各个节点发出的信号中考虑自己当前存储的区域密钥。从而保证了 允许受限区域内的已认证节点能够相互通信，而不允许已认证节点与受限区 域内或受限区域外的未认证节点进行通信。

且如果区域密钥发射器周期性地或不定期发射更新的区域密钥，则未接 收到该更新的区域密钥的节点不能与接收到该更新的区域密钥的节点继续通 信，从而保证了实时通信的安全性。

4．根据第三实施例的在受限区域内认证移动设备的方法

图8示出了根据第三实施例的在受限区域内认证移动设备的方法800。

该第三实施例的方法800主要是从移动设备本身的角度出发的。

该方法800包括：感测从一个或多个区域密钥发射器发射的一个或多个 区域密钥（S801）；存储所述一个或多个区域密钥（S802）；检验所述移动设 备是否进入受限区域（S803）；在检验所述移动设备进入受限区域的情况下， 确定所述移动设备是否作为主节点（S804）；在检验所述移动设备未进入受限 区域的情况下，将所述移动设备标识为未认证（S805）；在确定所述移动设备 作为主节点的情况下，将所述移动设备标识为已认证的主节点，并在接收到 来自其他移动设备的认证请求时认证所述其他移动设备（S806）；在确定所述 移动设备不作为主节点的情况下，向作为主节点的移动设备请求对所述移动 设备的认证（S807）。

5．根据第四实施例的在受限区域内认证移动设备的方法

图9示出了根据第四实施例的在受限区域内认证移动设备的方法900。

该第四实施例的方法900主要是从包括移动设备和区域密钥发射器的整 个系统的角度出发的。

方法900包括：使得一个或多个区域密钥发射器产生一个或多个区域密 钥，并向在受限区域内的移动设备发射所产生的一个或多个区域密钥（S901）； 使得所述移动设备感测从一个或多个区域密钥发射器发射的一个或多个区域 密钥（S902）；使得所述移动设备存储所述一个或多个区域密钥（S903）；使 得所述移动设备检验所述移动设备是否进入受限区域（S904）；使得所述移动 设备在检验所述移动设备进入受限区域的情况下，确定所述移动设备是否作 为主节点（S905）；使得在检验所述移动设备未进入受限区域的情况下，将所 述移动设备标识为未认证（S906）；使得在确定所述移动设备作为主节点的情 况下，将所述移动设备标识为已认证的主节点，并在接收到来自其他移动设 备的认证请求时认证所述其他移动设备（S907）；使得在确定所述移动设备不 作为主节点的情况下，向在所述受限区域内的作为主节点的移动设备请求对 所述移动设备的认证（S908）。

6．本发明的应用和有益效果

以上结合附图和实施例详细描述了在受限区域内进行认证的移动设备和 包括移动设备和区域密钥发射器的系统的结构和操作，但本发明不限于此。

根据本发明提供的各个实施例的系统、设备、方法可以应用于在受限区 域内的诸如蜂窝手机、膝上计算机、平板计算机、智能手机、移动游戏机等 的移动设备的p2p通信、安全共享数据、应用程序或其他软件或硬件资源等 等。

根据本发明提供的各个实施例的系统、设备、方法可以增强受限区域内 的移动设备的认证效率以及通信安全性。

注意，本公开中提到的系统以及移动设备节点进行的认证动作；请求动 作；探测动作；协商动作；通知动作；以及互相通信动作都可以利用上述区 域密钥中包括的一种或多种信息（即区域密钥信息，例如，区域ID，随机密 钥等）来进行，以保证进一步的安全性。

另外，可以在不同节点之间进行区域密钥的接收的同步，该同步的例子 可以包括但不限于内部时钟、由某一节点进行同步信息的周期性分发等等。

本公开中的“移动设备”或“无线移动设备”可以包括但不限于蜂窝电 话、膝上笔记本计算机、智能手机、平板计算机、游戏机等。

本公开中的移动设备中可能包括的工作模式切换器、通信控制器提供附 加的功能和效果，而并非本发明所不可缺少的。本发明中的移动设备也可能 包括但不限于现有技术中已知的其他附加的部件，例如用于接收和/或发送各 种信号帧和数据的数据通信单元、用于运行应用程序的计算单元（如中央处 理单元（CPU））、用于存储数据和/或应用的存储单元（例如，内存、闪存、 硬盘等存储器）等等。这些附加的部件也并非本发明所不可缺少的。

本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子 并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。 如本领域技术人员将认识到的，可以按任意方式连接、布置、配置这些器件、 装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词 汇，指“包括但不限于”，且可与其互换使用。这里所使用的词汇“或”和“和” 指词汇“和/或”，且可与其互换使用，除非上下文明确指示不是如此。这里 所使用的词汇“诸如”指词组“诸如但不限于”，且可与其互换使用。

本公开中的步骤流程图以及以上方法描述仅作为例示性的例子并且不意 图要求或暗示必须按照给出的顺序进行各个实施例的步骤。如本领域技术人 员将认识到的，可以按任意顺序进行以上实施例中的步骤的顺序。诸如“其 后”、“然后”、“接下来”等等的词语不意图限制步骤的顺序；这些词语仅用 于引导读者通读这些方法的描述。此外，例如使用冠词“一个”、“一”或者 “该”对于单数的要素的任何引用不被解释为将该要素限制为单数。

提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者 使用本发明。对这些方面的各种修改对于本领域技术人员而言是非常显而易 见的，并且在此定义的一般原理可以应用于其他方面而不脱离本发明的范围。 因此，本发明不意图被限制到在此示出的方面，而是按照与在此公开的原理 和新颖的特征一致的最宽范围。