一种基于无线标识的认证方法、系统和无线标识、服务器

摘要

本发明公开了一种基于无线标识的认证方法、系统以及无线标识。所述方法包括步骤：移动设备从无线标识获取无线标签信息和连接配置信息；移动设备根据连接配置信息与服务器建立连接，并将无线标签信息发送给服务器；服务器验证无线标签信息有效性，在验证通过后确定移动设备的访问权限；无线标识产生设备签名信息，并由移动设备转发给服务器；服务器验证设备签名信息的有效性，验证失败则取消移动设备的访问权限。本发明提供的基于无线标识的认证方法系统，服务器不仅对无线标签信息进行验证，还对无线标识产生的设备签名信息进行验证，从而具有较高的安全性。

说明书

技术领域

本发明涉及无线认证技术，特别设计一种基于无线标识的认证方法、系统和无线标识、服务器。

背景技术

随着通讯和定位技术的发展，基于无线网络技术的定位应用迅速普及。越来越多的移动设备具备了定位功能，而运营商也在不断地推出基于用户位置的服务，例如汽车导航，个人位置追踪以及基于位置的信息推送服务等。

基于全球定位系统(GPS，Global Positioning System)和无线通讯网络的定位应用已经普及，GPS技术能够达到比较高的定位精度，但是，在建筑物内由于信号屏蔽，GPS技术无法发挥作用。

目前也出现了一些基于无线局域网(WLAN，Wireless Local Area Network)或者第二代(2G，2nc Generation)、第三代(3G，3^rd Generation)网络的无线定位技术，这些技术一般使用三点定位技术计算用户的当前位置。但是这些方案只能估计用户的大致位置，很难达到较高的定位精度。

随着无线射频标识(RFID，Radio Frequency Identification)标签等无线标识的成本快速下降，包含无线标识的商品、出版物和智能设备也越来越普及。使得基于无线标识技术的定位应用范围也越来越广。比如，美国专利号为6717516的发明“Hybrid bluetooth/RFID based real time location tracking”，提供了一种使用RFID/BT标识进行物品定位的方法和系统。美国专利号为6998987的发明“Integrated RFID and video tracking system”，介绍了一种通过设备的RFID标识的位置信息增强视频内容服务的方法和系统。

这些发明使用RFID附加的位置信息使得准确用户定位成为可能。但是，现有技术主要是利用无线标识存储的标识信息以及对应的位置信息，基于无线标识的认证相对来说比较简单，从而导致应用的安全性比较低。

发明内容

本发明要解决的一个技术问题是提供一种基于无线标识的认证方法，该认证方法具有较高的安全性。

本发明提供的基于无线标识的认证方法，包括步骤：

A，移动设备通过短距离无线连接从无线标识获取无线标签信息和连接配置信息；

B，移动设备根据连接配置信息与服务器建立高速无线连接，并将无线标签信息通过高速无线连接发送给服务器；

C，服务器验证无线标签信息有效性，在验证通过后确定移动设备的访问权限；

D，无线标识产生设备签名信息，并通过短距离无线连接发送给移动设备，移动设备收到设备签名信息后通过高速无线连接将其转发给服务器；

E，服务器验证设备签名信息的有效性，验证成功则允许移动设备对服务器上内容的访问，否则，取消移动设备的访问权限。

其中，所述设备签名信息可以由所述无线标识定时产生，所述设备签名信息包含无线标识设备描述，时间戳信息，服务类型。

进一步，所述设备签名信息还包含消息签名和一时变信息。所述消息签名为通过摘要生成算法生成的摘要信息。所述时变信息由随机数生成器生成或者按固定增量方式产生。

所述短距离无线连接可以是基于无线射频识别RFID，蓝牙Bluetooth，红外或全新无线网络数据通信技术Zigbee的连接。所述高速无线连接可以是基于无线保真WIFI、微波接入全球互通WIMAX、第三代移动通讯技术3G，通用分组无线业务GPRS或码分多址CDMA的连接。

进一步，所述无线标识和服务器共享相同的加密算法和加密密钥；所述无线标签信息和设备签名信息以加密方式由所述移动设备从所述无线节点标识转发到所述服务器。

进一步，在步骤C和D之间，还包括步骤：

ii，所述服务器和所述无线标识通过所述移动设备根据内容安全性等级协商加密方式。

进一步，所述步骤ii包括：

所述服务器根据内容安全性等级确定加密方式信息，将加密方式信息通过无线认证消息发送给所述移动设备；

所述移动设备将无线认证消息转发到所述无线标识；

所述无线标识根据接收的无线认证消息设置加密方式。

其中，所述加密方式信息包括加密算法、加密密钥和有效期。

进一步，所述移动设备获得所述无线认证消息后，利用所述无线认证消息从内容服务器获得服务。

本发明提供的基于无线标识的认证方法，无线标识不仅存储无线标签信息，还产生设备签名信息。服务器验证无线标签信息，在移动设备接收内容服务的过程中还对无线标识产生的设备签名信息进行验证。移动设备必须位于无线标识覆盖范围内转发设备签名信息，才可以继续接收内容服务，如果离开无线标识的覆盖范围，无法获得设备签名信息，服务器将取消移动设备的访问权限，从而提高了该认证方法的安全性。

本发明要解决的另一个技术问题是提供一种基于无线标识的认证系统，该认证系统具有较高的安全性。

本发明提供的认证系统，包括无线标识、移动设备和服务器；其中，

无线标识，用于存储无线标签信息和连接配置信息，以及产生设备签名信息；

移动设备，用于通过短距离无线接口获取无线标识存储的无线标签信息和连接配置信息，根据连接配置信息与服务器建立高速无线连接，将无线标签信息发送给服务器；从无线标识获取设备签名信息并发送给服务器；

服务器，用于接收移动设备发送的无线标签信息，验证无线标签信息的有效性，验证通过后确定移动设备的访问权限；接收移动设备发送的设备签名信息，验证设备签名信息的有效性，验证失败时取消移动设备的访问权限。

其中，所述无线标识定时产生所述设备签名信息，所述服务器与所述无线标识保持离线同步。

进一步，所述设备签名信息包含消息签名和一时变信息。所述消息签名为通过摘要生成算法生成的摘要信息，所述时变信息由随机数生成器生成或者按固定增量方式产生。

所述短距离无线连接可以为无线射频识别RFID，蓝牙Bluetooth，红外或全新无线网络数据通信技术Zigbee连接。所述高速无线连接可以为无线保真WIFI、微波接入全球互通WIMAX、第三代移动通讯技术3G，通用分组无线业务GPRS或码分多址CDMA连接。

进一步，所述服务器在验证无线标签信息的有效性通过后，向所述移动设备提供内容服务。

进一步，所述服务器根据所述设备签名信息的有效性，更新所述移动设备的访问权限。

进一步，所述认证系统还包括内容服务器，用于向移动设备提供内容服务；

所述服务器在无线标签信息验证通过后，向所述移动设备发送访问授权信息；所述移动设备根据访问授权信息获得内容服务。

本发明提供的基于无线标识的认证系统，无线标识存储无线标签信息，并产生设备签名信息，服务器不仅对无线标签信息进行验证，还对无线标识产生的设备签名信息进行验证，设备签名信息可以由无线标识定时或者随机生成，使该认证系统具有较高的安全性。

本发明提供的基于无线标识的认证系统，无线标识和移动设备之间通过短距无线链路连接，在移动设备离开无线标识工作范围之后，无线标识和移动设备的链路层连接断开。移动设备停止接收无线标识发送的设备签名信息，移动设备同时无法通过高速无线链路向服务器发送有效的设备签名信息，在达到服务器的超时时间后，服务器将停止向移动设备更新访问授权信息和内容服务。

本发明要解决的另外一个技术问题是提供一种无线标识，具有签名信息的生成功能。

本发明提供的无线标识，存用于存储无线标签信息和连接配置信息，并用于产生设备签名信息。

本发明提供的无线标识包括信息存储模块、签名信息生成模块和短距离通讯模块；

信息存储模块，用于存储无线标签信息和连接配置信息；

签名信息生成模块，用于生成设备签名信息；

短距离通讯模块，用于通过短距离通讯协议提供无线标签信息、连接配置信息和设备签名信息。

进一步，本发明提供的无线标识还包括加密协商模块，用于接收加密方式信息，所述签名信息生成模块根据加密方式信息对所述设备签名信息进行加密。

本发明要解决的另外一个技术问题是提供一种服务器，具有设备签名信息的验证功能。

本发明提供的服务器，包括：

高速无线通讯模块，用于通过高速无线连接与无线设备进行通信；

无线标签信息验证模块，用于通过高速无线通讯模块接收无线标签信息，验证无线标签信息的有效性，在验证通过后，确定无线设备的访问权限；

设备签名信息验证模块，用于通过高速无线通讯模块接收设备签名信息，验证设备签名信息的有效性，在验证失败时取消无线设备的访问权限。

进一步，所述无线标签信息验证模块还用于在确定所述无线设备的访问权限后，确定加密方式信息，通过所述高速无线通讯模块发送给所述无线设备。其中，所述加密方式信息包括加密算法、加密密钥、有效期信息。

进一步，所述服务器还包括内容提供模块，用于向无线设备提供内容服务，

所述无线标签信息验证模块在确定所述无线设备的访问权限后，通知内容提供模块向所述无线设备提供服务。

进一步，所述设备签名信息验证模块在验证设备签名信息失败后，通知所述内容提供模块停止向所述无线设备提供内容服务。

附图说明

图1所示为本发明的基于无线标识的认证方法的流程图；

图2所示为本发明的基于无线标识认证系统一实施例的结构示意图；

图3所示为本发明的无线标识的一实施例的结构示意图；

图4所示为本发明的服务器的结构示意图；

图5所示为本发明的一应用例系统的流程示意图；

图6所示为本发明的另一应用例系统的流程示意图。

具体实施方式

本发明的基本思想是，无线标识部署在固定位置区域，并通过短距无线方式与移动设备连接。移动设备在进入固定位置区域后，通过短距无线方式发现无线标识从无线标识获得无线标签信息和连接配置信息，根据连接配置信息与服务器建立连接，服务器对移动设备发送的设备标识进行有效性验证，并在验证通过后提供访问权限或者内容服务；在提供服务的过程中，对移动设备转发的无线标识产生的设备签名信息进行有效性验证，并在验证失败时取消移动设备的访问权限或者服务提供。

下面结合附图详细说明本发明的优选实施例。

参见图1，为本发明的基于无线标识的认证方法的流程图，包括步骤：

步骤101，在无线标识中存储无线标签信息和连接配置信息，移动设备通过短距离无线连接从无线标识中获取无线标签信息和连接配置信息。

无线标识可以是无线射频识别(RFID)标签。移动设备具有短距离无线接口，可以主动从无线标识读取无线标签信息和连接配置信息，或者接收无线标识主动发送的无线标签信息和连接配置信息。移动设备和无线标识之间的短距离无线连接可以基于RFID、蓝牙(Bluetooth)、全新无线网络数据通信技术(Zigbee)等。

步骤102，移动设备根据获取的连接配置信息与服务器建立高速无线连接。连接建立后，移动设备通过高速无线连接将无线标签信息转发给服务器。移动设备还可以将移动设备标识发送给服务器。

移动设备与服务器建立的高速无线连接可以基于无线保真(WIFI)、微波接入全球互通(WIMAX，Worldwide Interoperability for Microwave Access)、第三代移动通讯技术(3G，3rd Generation)、通用分组无线业务(GPRS，GeneralPacket Radio Service)、码分多址(CDMA，Code Division Multiple Access)等。

步骤103，服务器对接收的无线标签信息进行验证，如果验证结果为无线标签信息有效，则确定移动设备的访问权限。

移动设备的访问权限确定后，服务器可以根据移动设备的访问权限向移动设备提供服务，也可以将访问权限信息发送给移动设备，移动设备根据访问权限信息从其他的内容服务器获得需要的内容服务。

在服务器对无线标签信息的验证成功后，服务器可以通过移动设备向无线标识发送安全性协商信息。该安全性协商信息用于同步无线标识和服务器的安全性相关设置，如加密算法、加密密钥、设备签名信息中时变信息的生成规则等。如安全性协商信息可以包含随机数发生器种子，设备签名信息的加密密钥，签名密钥和设备签名信息定时间隔等信息中的一个或多个。安全性协商信息可以由预设的密钥进行加密和签名。移动设备在接收到通过高速无线连接发送的安全性协商信息之后，将此信息通过短距离无线连接发送给无线标识。无线标识由预设密钥验证安全性协商信息并初始化设备签名信息生成算法。

步骤104，无线标识产生设备签名信息，并通过短距离无线连接发送给移动设备，移动设备收到设备签名信息将其通过高速无线连接转发给服务器。设备签名信息可包含消息类型，无线标识设备描述，简单数值，时间戳，设备签名，服务类型等信息中的一个或多个。

无线标识生成设备签名信息，可以按照预先设定的方式定时或者随机生成。无线标识在产生设备签名信息时，为了防止移动设备非法修改或重放，可以在设备签名信息包含消息签名和一时变信息。消息签名可以是由摘要生成算法生成的摘要信息，其中，摘要生成算法可以是SHA-1，HMAC，MD4，MD5等。时变信息可以是按一定规律变化的数值(nonce)，该数值可由随机数生成器生成，或者采用固定增量的方式生成。

步骤105，服务器验证设备签名信息的有效性，验证成功则允许移动设备对服务器上内容的访问，否则，取消移动设备的访问权限。服务器与无线标识生成设备签名信息保持离线同步，从而可以验证接收的设备签名信息的有效性。保持同步的方式包括在服务器和无线标识预先设定设备签名信息的生成方式，或者通过消息协商确定设备签名信息的生成方式。

为了增强认证的安全性，可以对无线标签信息和设备签名信息进行加密。一种加密方式是采用对称加密算法，如DES，3DES，AES等，无线标识和服务器预先共享相同的密钥和加密算法。也可以采用非对称加密算法，如ECC，RSA等，则无线标识中保存公钥，服务器中保存私钥。移动设备在获得加密后的无线标签信息或者加密后的设备签名信息后，将不做任何修改，直接通过高速无线连接转发到服务器，服务器根据相应的加密算法和密钥进行解密。

服务器对无线标签信息的验证通过后，还可以和无线标识协商加密方式。协商的过程为，首先服务器根据内容安全性等级确定加密方式，然后将加密方式信息通过无线认证消息发送给移动设备；移动设备将无线认证消息转发到无线标识；无线标识根据接收的无线认证消息设置加密方式，并对产生的设备签名信息通过新的加密方式进行加密。加密方式可以包括加密算法、加密密钥和有效期等信息。

本发明提供的基于无线标识的认证方法，无线标识不仅存储无线标签信息，还产生设备签名信息。服务器验证无线标签信息，在移动设备接收内容服务的过程中还对无线标识产生的设备签名信息进行验证。移动设备必须位于无线标识覆盖范围内转发设备签名信息，才可以继续接收内容服务，如果离开无线标识的覆盖范围，移动设备和无线标识的链路层连接断开，移动设备就无法获得有效的设备签名信息。在服务器持续一段时间仍未获得设备签名信息后，服务器将取消移动设备的访问权限，防止了覆盖范围之外的移动设备接收内容服务，从而提高了该认证方法的安全性。

本发明还提供了一种基于无线标识的认证系统。参见图2，该认证系统包括无线标识21，移动设备22和服务器23。

其中，无线标识用于存储无线标签信息和连接配置信息，并产生设备签名信息。无线标识可以主动发送无线标签信息、连接配置信息以及设备签名信息，也可以被动接收设备读取。

移动设备，用于通过短距离无线连接从无线标识获取无线标签信息和连接配置信息，根据连接配置信息与服务器建立高速无线连接，将无线标签信息发送给服务器；从无线标识获取设备签名信息并发送给服务器。

移动设备具有短距离无线接口和高速无线接口。移动设备通过短距离无线连接接口和短距离无线通讯协议与无线标识进行通信，通过高速无线连接接口和高速无线通讯协议和服务器进行通信。短距离无线通讯协议可以是RFID、Bluetooth、Zigbee等，高速无线通讯协议可以是WIFI、WIMAX、3G，GPRS或CDMA等。无线标签信息和设备签名信息可以以加密的方式在无线标识和移动设备之间、移动设备和服务器之间传输。

服务器，用于接收移动设备发送的无线标签信息，验证无线标签信息的有效性，验证通过后确定移动设备的访问权限；接收移动设备发送的设备签名信息，验证设备签名信息的有效性，验证失败时取消移动设备的访问权限。

一种向移动设备提供内容服务的方式中，由服务器在验证无线标签信息有效性通过后向移动设备提供内容服务。另外一种方式中，服务器在验证无线标签信息的有效性通过后，向移动设备发送访问授权信息；移动设备根据访问授权信息从内容服务获得内容服务。

本发明提供的基于无线标识的认证系统，无线标识存储无线标签信息，并产生设备签名信息，服务器不仅对无线标签信息进行验证，还对无线标识产生的设备签名信息进行验证，设备签名信息可以由无线标识定时或者随机生成，使该认证系统具有较高的安全性。

本发明还提供了一种应用于本发明认证方法和认证系统的无线标识。该无线标识用于存储无线标签信息和连接配置信息，还用于产生设备签名信息。

参见图3，为本发明提供的无线标识的一个实施例的结构示意图，其包括信息存储模块31、短距离通讯模块32和签名信息生成模块33；其中，

信息存储模块，用于存储无线标签信息和连接配置信息；

签名信息生成模块，用于生成设备签名信息；

短距离通讯模块，用于用于通过短距离通讯协议提供无线标签信息、连接配置信息和设备签名信息。

进一步，无线标识还包括加密协商模块，用于接收加密方式信息，签名信息生成模块根据加密方式信息对设备签名信息进行加密。

本发明还提供了一种服务器。图4所示为本发明提供服务器的结构示意图，包括高速无线通讯模块41、无线标签信息验证模块42和设备签名信息验证模块43。其中，

高速无线通讯模块，用于通过高速无线连接与无线设备进行通信；

无线标签信息验证模块，用于通过高速无线通讯模块接收无线标签信息，验证无线标签信息的有效性，在验证通过后，确定无线设备的访问权限；

设备签名信息验证模块，用于通过高速无线通讯模块接收设备签名信息，验证设备签名信息的有效性，在验证失败时取消无线设备的访问权限。

无线标签信息验证模块还可以用于在确定无线设备的访问权限后，确定加密方式信息，通过高速无线通讯模块发送给无线设备。加密方式信息可以包括加密算法、加密密钥、有效期等信息。

进一步，本发明的服务器还可以包括内容提供模块，用于向无线设备提供内容服务。无线标签信息验证模块在确定无线设备的访问权限后，通知内容提供模块向无线设备提供服务。设备签名信息验证模块在验证设备签名信息失败后，通知内容提供模块停止向无线设备提供内容服务。

下面介绍本发明的方法和系统的两个具体应用例。

第一个应用例为数字内容分发。在该应用例中，无线标识由服务提供商安装在某一固定区域，它保存数字内容的权限服务器和媒体服务器地址。移动设备通过无线标识传回的信息和权限服务器建立连接。权限服务器验证无线标识的有效性，在验证通过后，移动设备从权限服务器获得媒体访问权限，并根据权限描述文件获得媒体服务器访问方式描述。移动设备可以在布置有无线标识的区域内部访问授权媒体内容，当移动设备离开此区域后，其媒体访问权限自动失效。该应用例系统的流程示意图请参见图5，包括如下步骤：

步骤5.1，移动设备从无线标识中读取无线标识的无线标签信息和高速连接配置信息。无线标签信息可以通过无线标识与权限服务器共享的密钥进行加密和签名后传输；高速连接配置信息包括权限服务器和媒体服务器地址，以明文的方式从无线标识传输到移动设备。

步骤5.2，移动设备利用无线标识中的高速连接配置信息建立和权限服务器的高速无线连接，移动设备将移动设备标识和无线标识的无线标签信息传送权限服务器。

步骤5.3，权限服务器验证无线标识的无线标签信息的有效性，记录移动设备标识。如果无线标签信息有效，权限服务器将以加密方式向移动设备回传无线验证信息。此消息包含无线标识使用的加密算法，加密密钥，发送有效期，移动设备标识，加密密钥标识等信息。

步骤5.4，移动设备向无线标识转发无线验证信息无线验证信息，无线标识根据此消息设置和权限服务器的通讯方式。

步骤5.5，无线标识根据无线验证信息向移动设备定时发送设备签名信息。此签名消息可以使用无线标识和权限服务器的共享密钥进行加密和签名。设备签名信息用于保持数据连接的有效性。

步骤5.6，移动设备将设备签名信息和移动设备标识发送给权限服务器。

步骤5.7，权限服务器验证设备签名信息和移动设备标识的有效性，并将更新的访问权限反馈给移动设备。

步骤5.8，移动设备通过反馈的权限信息访问媒体服务器，获得访问的媒体数据。

第二个应用例为广播内容授权访问。在该应用例中，无线标识和服务器预先设定一加密方法，无线标识和权限服务器保持加密方法变换过程的同步。在权限服务器完成对无线标识的认证之后，移动设备定时从无线标识取得无线标识设备签名信息，并转发到权限服务器。权限服务器由此消息维护和移动设备的数字广播。此应用特别适合低成本标识同时服务于多个移动设备的场景。该应用例系统的流程示意图请参见图6，包括如下步骤：

步骤6.1，移动设备从无线标识中读取无线标识的无线标签信息和高速连接配置信息。无线标识的无线标签信息可以通过无线标识和权限服务器共享的密钥进行加密和签名；高速连接配置信息以明文的方式从无线标识传递到移动设备。

步骤6.2，移动设备利用无线标识中的高速连接配置信息建立和权限服务器的高速无线连接，移动设备将本设备标识和无线标识的无线标签信息传送权限服务器

步骤6.3，权限服务器验证无线标识的无线标签信息的有效性，存储移动设备标识。

步骤6.4，无线标识向移动设备定时发送设备签名信息。此签名消息可以使用无线标识和权限服务器共享的密钥进行加密和签名。设备签名信息用于保持数据连接的有效性。

步骤6.6，移动设备将设备签名信息和移动设备标识发送给权限服务器。

步骤6.7，权限服务器验证设备签名信息和移动设备标识的有效性，并将更新的访问权限反馈给移动设备。

本发明提供的基于无线标识的认证方法和系统，无线标识存储无线标签信息，并产生设备签名信息，服务器验证无线标签信息，并在移动设备接受内容服务的过程中对设备签名信息进行验证，移动设备必须位于无线标识覆盖范围内转发设备签名信息，才可以继续接收内容服务，如果因离开无线标识的覆盖范围而无法获得设备签名信息，服务器将取消移动设备的访问权限，防止了覆盖范围之外的移动设备接收内容服务，从而提高了该认证方法和系统的安全性。通过对无线标签信息和设备签名信息进行加密后传输，防止其在传输过程中被篡改或者恶意使用，进一步提高了认证的安全性。而服务器和无线标识间可以协商加密方式，提高了本发明验证方法的灵活性和安全性。  权限服务器和内容服务器的分离，可以更好地管理流量、权限等问题，提高整个系统的效率。

将无线标识安置在室内等特定场所，根据本发明的方法和系统，可以根据用户的位置自动提供媒体内容服务，当用户离开该场所时，媒体内容服务将自动失效，具有较好的实用性。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。