将安全数据包发送到通信设备的方法和设备技术

为了将安全数据包从计算机系统(4)发送到短距离通信设备(2)，将安全数据包从计算机系统(4)经由移动无线网络发送(S2)到移动通信装置(1)。移动通信装置(1)被放置在短距离通信设备(2)的通信范围内，并从短距离通信设备(2)接收(S6)包括设备位置信息的数据读取请求。移动通信装置(1)确定(S7)移动通信装置(1)的当前位置。在当前装置位置与接收到的设备位置信息具有对应关系的情况下，移动通信装置(1)确定(S8)肯定的访问授权，并将安全数据包传送(S9)到短距离通信设备(2)。到短距离通信设备(2)。到短距离通信设备(2)。

【技术实现步骤摘要】
将安全数据包发送到通信设备的方法和设备
[0001]本申请是申请号为201710755156.4的专利技术专利申请的分案申请。
[0002]原案申请日：2017年8月29日。
[0003]原案专利技术名称：将安全数据包发送到通信设备的方法和设备。
[0004]原案申请号：201710755156.4。


[0005]本专利技术涉及将安全数据包从计算机系统发送到短距离通信设备的方法和设备。具体地，本专利技术涉及一种移动通信装置、短距离通信设备以及将安全数据包从计算机系统发送到短距离通信设备的方法。

技术介绍

[0006]多年来，电子终端设备已经安装并用于与无源RFID应答器(射频识别器)相关的门禁系统中。电子终端设备被配置为短距离通信设备，并且包括用于以无线方式读取访问权限的RFID读写器或至少来自RFID应答器的用户标识，以控制对诸如建筑物或房间的访问受控区域的访问，或访问诸如汽车或自动售货机中的货物等受控对象。随着包括主动的基于RFID的通信接口的移动无线电话(蜂窝电话，智能电话)的到来，所谓的NFC(近场通信)接口可以使用作为访问权限的载体的这种移动通信装置，而非使用RFID卡，加密狗等形式的无源RFID应答器。访问控制系统的运营商和用户都欢迎提供具有无线通信模块的移动通信装置，用于建立短距离通信设备的本地或直接无线通信链路，因为不再需要使用RFID卡，加密狗等形式的专用RFID应答器。此外，移动通信装置包括用于诸如蓝牙(BT)或低功耗蓝牙(BLE)等短距离通信的其它通信接口，这导致短距离通信设备另外配备有额外的通信接口以提高灵活性和多功能性。然而，虽然使用移动通信装置和改进的短距离通信设备的灵活性和通用性进一步增加了短距离通信设备的应用和安装数量，但是对短距离通信设备的访问权限和证书的安全管理和控制仍然是个挑战，通常需要终端与后端系统的费力和昂贵的接线。此外，随着手机频繁的软件升级和硬件创新，特别是消费电子产品世界中常见的短产品生命周期，与后端系统没有通信链路的所谓独立或离线终端一般难以维护并跟上潮流。

技术实现思路

[0007]本专利技术的目的是提供一种用于将安全数据包从计算机系统发送到短距离通信设备的方法和设备，该方法和设备不具有现有技术的至少一些缺点。
[0008]根据本专利技术，这些目的通过独立权利要求中的特征实现。另外，进一步有利的实施例由从属权利要求和说明书产生。
[0009]一种移动通信装置包括：第一电路，被配置为用于经由移动无线网络进行数据通信；第二电路，被配置为用于与短距离通信设备进行短距离通信；以及第三电路，被配置为用于确定指示移动通信装置的当前位置的装置位置信息。
[0010]根据本专利技术，上述目的是具体实现为移动通信装置还包括连接到第一、第二和第
三电路的处理器，并且被配置为经由移动无线网络从计算机系统接收安全数据包；从短距离通信设备接收设备位置信息；基于验证设备位置信息和装置位置信息的对应关系确定访问授权，在与设备位置信息和装置位置信息具有对应关系的情况下确定肯定的访问授权，并且在设备位置信息和装置位置信息缺乏对应关系的情况下确定否定的访问授权；并且在肯定的访问授权的情况下将安全数据包传送到短距离通信设备，以及在否定的访问授权的情况下不将安全数据包传送到短距离通信设备。使用移动通信装置作为通信中介使得可以将安全数据包从计算机系统传送到与计算机系统没有直接连接的短距离通信设备。当移动通信装置与计算机系统具有连接时，安全数据包能够在在线模式下被传送到短距离通信设备，当移动通信装置与计算机系统没有连接时，安全数据包可以在离线模式下被传送到短距离通信设备。通过在移动通信装置中验证移动通信装置的位置与短距离通信设备的位置信息的对应关系，在短路通信设备被以欺骗方式移动到另一位置或者错误地安装在与短距离通信设备中存储的设备位置不对应的位置上的妥协情况下，可以防止将安全数据包(或关于该事件的任何其他机密或关键数据)从移动通信装置传送到短距离通信设备。此外，安全数据包(包括密码密钥，配置数据或任何其他机密或关键数据)能够经由多种不同的通信技术(例如，RFID，NFC，WLAN，BT，BLE等)分发到短距离通信设备。
[0011]在一个实施例中，从短距离通信设备接收包括在数据读取请求中的设备位置信息，并且处理器被配置为在否定的访问授权的情况下拒绝该读取请求。
[0012]在一个实施例中，接收具有目标位置信息的安全数据包，并且处理器被配置为进一步基于验证设备位置信息和目标位置信息的对应关系来确定访问授权，在设备位置信息和目标位置信息具有对应关系的情况下确定肯定的访问授权，以及在设备位置信息与目标位置信息缺乏对应关系的情况下确定否定的访问授权。
[0013]在另一个实施例中，处理器被配置为进一步从短距离通信设备接收例如包括在数据读取请求中的设备时间信息；以及进一步基于验证设备时间信息和存储在移动通信装置中的时间信息的对应关系确定访问授权，在设备时间信息和存储在移动通信装置中的时间信息具有对应关系的情况下确定肯定的访问授权，以及在设备时间信息和存储在移动通信装置中的时间信息缺乏对应关系的情况下确定否定的访问授权。
[0014]在另一个实施例中，安全数据包包括一个或多个秘密访问密钥，一个或多个访问权限，短距离通信设备的配置数据，和/或时间信息，处理器被配置为在肯定的访问授权的情况下将包括一个或多个秘密访问密钥，一个或多个访问权限，短距离通信设备的配置数据，和/或时间信息的安全数据包分别传送到短距离通信设备，以及在否定的授权的情况下不将安全数据包传送到短距离通信设备。
[0015]在一个实施例中，处理器被配置为执行认证和访问控制协议，认证和访问控制协议管理移动通信装置和短距离通信设备之间的认证和访问控制，用于访问短距离通信设备以设置短距离通信设备中的设备位置信息，并且在肯定的认证和访问控制的情况下，使用装置位置信息来设置短距离通信设备中的设备位置信息。
[0016]在另一个实施例中，处理器被配置为执行认证和访问控制协议，认证和访问控制协议管理移动通信装置和短距离通信设备之间的认证和访问控制，用于使用一个或多个秘密访问密钥和/或访问权限访问移动通信装置，以执行以下各项中的至少一项：从移动通信装置的安全数据存储器读取数据，将数据写入安全数据存储器，以及与移动通信装置的安
全应用交互。
[0017]除了移动通信装置之外，本专利技术还涉及一种短距离通信设备，其包括被配置为用于与移动通信装置进行短距离通信的电路和连接到该电路的处理器。处理器被配置为从移动通信装置接收数据包。数据包包括指示移动通信装置的当前位置的装置位置信息。处理器进一步被配置为基于验证存储在短距离通信设备中的设备位置信息和从移动通信装置接收的装置位置信息的对应关系来确定访问授权，在设备位置信息和装置位置信息具有对应关系的情况下确定肯定的访问授权，以及在设备位置信息与装置位置信息缺乏对应关系的情况下确定否定的访问授权。所述处理器进一步被配置为在肯定的访问授权的情况下，确定从移动通信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种移动通信装置(1)，包括：第一电路(11)，被配置为用于经由移动无线网络(3)进行数据通信；第二电路(13)，被配置为用于与短距离通信设备(2)进行短距离通信；第三电路(12)，被配置为确定指示所述移动通信装置(1)的当前位置的装置位置信息；和处理器(14)，连接到所述第一、第二和第三电路(11，12，13)，并且被配置为实现虚拟卡(141)，所述虚拟卡(141)被配置为模拟硬件实现的智能卡的功能，经由所述移动无线网络(3)从计算机系统(4)接收(S2)安全数据包，在短距离通信设备(2)和虚拟卡(141)之间执行认证和访问控制，从所述短距离通信设备(2)接收(S6)设备位置信息，基于验证所述设备位置信息和所述装置位置信息的对应关系来确定访问授权(S8)，在所述设备位置信息和所述装置位置信息具有对应关系的情况下确定肯定的访问授权，以及在所述设备位置信息和所述装置位置信息缺乏对应关系的情况下确定否定的访问授权，并在肯定的访问授权的情况下，将所述安全数据包传送(S9)到所述短距离通信设备(2)，以及在否定的访问授权的情况下，不将所述安全数据包传送到所述短距离通信设备(2)。2.根据权利要求1所述的移动通信装置(1)，其中从所述短距离通信设备(2)接收(S6)包括在数据读取请求中的所述设备位置信息；并且所述处理器(14)被配置为在否定的访问授权的情况下拒绝(S12)所述读取请求。3.根据权利要求1或2所述的移动通信装置(1)，其中接收具有目标位置信息的所述安全数据包，并且所述处理器(14)被配置为进一步基于验证所述设备位置信息和所述目标位置信息的对应关系来确定所述访问授权(S8)，在所述设备位置信息和所述目标位置信息具有对应关系的情况下确定肯定的访问授权，以及在所述设备位置信息和所述目标位置信息缺乏对应关系的情况下确定否定的访问授权。4.根据权利要求1或2所述的移动通信装置(1)，其中，所述处理器(14)被配置为进一步从所述短距离通信设备(2)接收(S2)设备时间信息，以进一步基于验证所述设备时间信息和存储在所述移动通信装置(1)中的时间信息的对应关系确定所述访问授权(S8)，在所述设备时间信息和所述移动通信装置(1)中存储的时间信息具有对应关系的情况下，确定肯定的访问授权，并且在所述设备时间信息和所述移动通信装置(1)中存储的时间信息缺乏对应关系的情况下，确定否定的访问授权。5.根据权利要求1或2所述的移动通信装置(1)，其中所述安全数据包包括以下各项中的至少一个：一个或多个秘密访问密钥，一个或多个访问权限，短距离通信设备(2)的配置数据，以及时间信息；并且处理器(14)被配置为在肯定的访问授权的情况下，分别传送包括一个或多个所述秘密访问密钥，一个或多个访问权限，配置数据和/或时间信息的安全数据包，并且在否定的访问授权的情况下，不将所述安全数据包传送到所述短距离通信设备(2)。6.根据权利要求1或2所述的移动通信装置(1)，其中，所述处理器(14)被配置为执行认证和访问控制协议(S4)，所述认证和访问控制协议管理所述移动通信装置(1)和所述短距离通信设备(2)之间的认证和访问控制，用于访问所述短距离通信设备(2)以在所述短距离通信设备(2)中设置设备位置信息，并且在肯定的认证和访问控制的情况下，使用所述装置位置信息来设置所述短距离通信设备(2)中的所述设备位置信息。
7.根据权利要求1或2所述的移动通信装置(1)，其中，所述处理器(14)被配置为执行认证和访问控制协议(S4)，所述认证和访问控制协议管理所述移动通信装置(1)以及所述短距离通信设备(2)之间的认证和访问控制，用于使用一个或多个秘密访问密钥和/或访问权限访问所述移动通信装置(1)，以执行以下各项中的至少一个：从所述移动通信装置(1)的安全数据存储器读取数据，将数据写入所述安全数据存储器，并与所述移动通信装置(1)的安全应用进行交互。8.一种移动通信装置(2)，包括：电路(23)，被配置为用于与移动通信装置(1)进行短距离通信；连接到所述电路(23)的处理器(22)，并且被配置为在短距离通信设备(2)和由移动通信装置(1)的处理器(14)实现的虚拟卡(141)之间执行认证和访问控制，所述虚拟卡(141)被配置为模拟硬件实现的智能卡的功能，从所述移动通信装置(1)接收数据包，所述数据包包括指示所述移动通信装置(1)的当前位置的装置位置信息，用于基于验证存储在所述短距离通信设备(2)中的设备位置信息和从所述移动通信装置(1)接收的所述装置位置信息的对应关系来确定访问授权(S8)，在所述设备位置信息和所述装置位置信息具有对应关系的情况下确...

【专利技术属性】
技术研发人员：马丁，
申请(专利权)人：励智识别技术有限公司，
类型：发明
国别省市：