基于云計算平臺的藍牙動態(tài)密碼安全認證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及藍牙設(shè)備通信技術(shù)領(lǐng)域�,具體地,涉及一種基于云計算平臺的藍牙動態(tài)密碼安全認證方法�。
【背景技術(shù)】
[0002]在特定的藍牙技術(shù)應(yīng)用場景中,一個藍牙設(shè)備可以授權(quán)允許多個用戶訪問�,出于安全性的考慮,需要對用戶的身份進行驗證���。常用的方法是要求用戶終端(通常為智能手機)與目標藍牙設(shè)備進行綁定(Bonding)�。綁定是藍牙規(guī)范定義的安全認證機制����,它要求首先進行配對(Pairing),然后用戶終端與藍牙設(shè)備雙方交換并存儲永久的密鑰���。對于如前所述特定的應(yīng)用場景�����,基于綁定的安全認證存在以下缺點:
1.綁定實質(zhì)上是用戶終端(手機)與藍牙設(shè)備之間在操作系統(tǒng)層面進行的關(guān)聯(lián)��,并非用戶與設(shè)備之間的關(guān)聯(lián)�����。
[0003]2.綁定過程無法自動化��,通常需要與人交互�,比如輸入PIN碼��、點擊確定按鈕等��。
[0004]3.設(shè)備與每一個授權(quán)用戶都需要完成綁定過程����,并且每一個用戶終端的密鑰都需要存儲在藍牙設(shè)備上。
[0005]4.無法集中進行授權(quán)管理��,授權(quán)管理無法脫離設(shè)備進行�����。
[0006]5.如更換藍牙設(shè)備,需對每一用戶重復綁定過程�。
[0007]6.如更換用戶終端(手機),也需要重新綁定����。
【發(fā)明內(nèi)容】
[0008]本發(fā)明所要解決的技術(shù)問題是提供一種的基于云計算平臺的藍牙動態(tài)密碼安全認證方法,以解決無法實現(xiàn)用戶與藍牙設(shè)備的關(guān)聯(lián)以及無法自動化綁定的技術(shù)問題��。
[0009]本發(fā)明解決上述問題所采用的技術(shù)方案是:
基于云計算平臺的藍牙動態(tài)密碼安全認證方法���,包括以下步驟:
51��、將設(shè)備密碼設(shè)置于藍牙設(shè)備中��,將藍牙設(shè)備的設(shè)備ID及設(shè)備密碼存儲于遠程服務(wù)器�,設(shè)備的ID為區(qū)分設(shè)備的識別碼�,每個設(shè)備對應(yīng)一個獨立的識別碼,通常是MAC地址�;
52、手持終端提交用戶登錄信息到遠程服務(wù)器����,通過遠程服務(wù)器身份認證后�����,手持終端獲取其所授權(quán)訪問的藍牙設(shè)備的信息����,手持終端可為手機等配備藍牙模塊的設(shè)備���;
53、手持終端根據(jù)設(shè)備ID識別其授權(quán)訪問的藍牙設(shè)備���,并向授權(quán)訪問的藍牙設(shè)備發(fā)起連接請求��,藍牙設(shè)備接收到連接請求后���,生成隨機數(shù)作為質(zhì)詢碼,并將質(zhì)詢碼發(fā)送至手持終端;
54����、手持終端讀取質(zhì)詢碼,然后手持終端獲取響應(yīng)碼�����,并將響應(yīng)碼發(fā)送至藍牙設(shè)備,響應(yīng)碼為用該藍牙設(shè)備的設(shè)備密碼對質(zhì)詢碼采用加密算法進行加密得到��;
55���、藍牙設(shè)備用設(shè)備密碼對質(zhì)詢碼用相同加密算法計算期望的響應(yīng)碼并與收到的響應(yīng)碼進行比較�����,若相同則驗證通過��,否則驗證失敗�����。
[0010]授權(quán)由管理員在云端即遠程服務(wù)器進行統(tǒng)一進行管理���,不需要手機與設(shè)備進行綁定。用戶成功通過云端的身份認證后可獲取其所授權(quán)訪問的設(shè)備信息��,進而完成手持終端與藍牙設(shè)備的綁定���,授權(quán)并不局限于特定的手持終端�,因此用戶可通過不同的終端對設(shè)備進行訪問。實現(xiàn)集中化的授權(quán)管理����,是真正的基于用戶的授權(quán)�����,并簡化用戶操作����。手持終端即為用戶操作的用戶終端,可以為智能手機�����、平板電腦等便攜式智能設(shè)備��。
[0011]可選的���,所述的步驟I中,將設(shè)備密碼設(shè)置于藍牙設(shè)備中的操作方法為:藍牙設(shè)備出廠時無密碼�,因此工作在開放模式,手持終端提交用戶登錄信息到遠程服務(wù)器��,通過遠程服務(wù)器身份認證后,手持終端向遠程服務(wù)器提交藍牙設(shè)備注冊申請�,注冊成功后遠程服務(wù)器將生成隨機的設(shè)備密碼并通過手持終端設(shè)置到藍牙設(shè)備中,同時將該藍牙設(shè)備的設(shè)備ID和設(shè)備密碼存儲于遠程服務(wù)器中����,此后藍牙設(shè)備將工作于安全模式。由于設(shè)備密碼需要在互連網(wǎng)上進行傳輸�����,因此存在被監(jiān)聽的風險�����。如果采用加密的信道(如SSL)進行傳輸則此風險可大大降低��,已可滿足絕大部分應(yīng)用的安全性需求���。
[0012]可選的�����,所述的步驟I中���,將設(shè)備密碼設(shè)置于藍牙設(shè)備中的操作方法為:在工廠將設(shè)備密碼設(shè)置于藍牙設(shè)備中��,設(shè)備ID和設(shè)備密碼通過安全的專用網(wǎng)絡(luò)存入遠程服務(wù)器的數(shù)據(jù)庫����。
[0013]可選的��,所述的步驟S2中手持終端獲取其所授權(quán)訪問的藍牙設(shè)備的信息包括設(shè)備ID和設(shè)備密碼�����,所述步驟S4中由手持終端用該藍牙設(shè)備的設(shè)備密碼對質(zhì)詢碼用加密算法進行加密得到響應(yīng)碼���。
[0014]可選的��,所述的步驟S2中手持終端獲取其所授權(quán)訪問的藍牙設(shè)備的信息包括設(shè)備ID��,所述步驟S4中手持終端獲取用該藍牙設(shè)備的設(shè)備密碼對質(zhì)詢碼用加密算法進行加密得到響應(yīng)碼的方法為:手持終端讀取質(zhì)詢碼后將設(shè)備ID和質(zhì)詢碼發(fā)送至遠程服務(wù)器����,由遠程服務(wù)器用該藍牙設(shè)備的設(shè)備密碼對質(zhì)詢碼用加密算法進行加密得到響應(yīng)碼�,并由遠程服務(wù)器將該響應(yīng)碼發(fā)送至手持終端��。
[0015]可選的��,所述的步驟S3中,藍牙設(shè)備生成質(zhì)詢碼后�����,藍牙設(shè)備啟動定時器�����,時長15秒���,如果驗證通過則設(shè)置驗證通過標志��,停止計時器���;如果驗證失敗則斷開連接;如果定時器超時則檢查驗證通過標志����,若該標志為假則斷開連接。
[0016]可選的����,采用的加密算法可為AES高級加密標準(英語-Advanced Encrypt1nStandard,縮寫:AES)�,密鑰長度:128位�,質(zhì)詢碼長度:128位��。
[0017]藍牙設(shè)備有兩種工作模式:
1.開放模式:無設(shè)備密碼�,允許任何用戶訪問。
[0018]2.安全模式:有設(shè)備密碼����,只允許通過密碼驗證的用戶訪問。
[0019]藍牙設(shè)備出廠時無密碼���,因此工作在開放模式�。初次使用的用戶將向云端提交設(shè)備注冊申請���。注冊成功后云端將生成隨機的設(shè)備密碼并通過手持終端設(shè)置到藍牙設(shè)備中。此后藍牙設(shè)備將工作于安全模式���。
[0020]手持終端與藍牙設(shè)備之間通過藍牙規(guī)范4.0定義的藍牙低功耗(簡稱BLE)協(xié)議棧進行通?目����。
[0021]屬性協(xié)議(ATT)是基于屬性(Attribute)的一種簡單的無狀態(tài)的客戶端/服務(wù)器協(xié)議���。在BLE中�����,任何設(shè)備既可以是客戶端�,也可以是服務(wù)器�,甚至兩者都是?��?蛻舳讼蚍?wù)器請求數(shù)據(jù)�����,服務(wù)器返回數(shù)據(jù)給客戶端��。每個服務(wù)器包含的數(shù)據(jù)以屬性的形式存在�����,每個屬性都被賦予一個UUID�����,一組訪問控制權(quán)限以及一個值�����?��?蛻舳丝梢宰x取/寫入屬性的值�,目標屬性由UUID來唯一指定���。
[0022]通用屬性配置文件(GATT)建立于屬性協(xié)議(ATT)之上�����,提供了數(shù)據(jù)抽象模型和層級�����。它定義了如何在應(yīng)用程序之間組織和交換數(shù)據(jù)����,因此稱得上是BLE數(shù)據(jù)傳輸?shù)墓歉伞?br>[0023]通用訪問配置文件(GAP),作為藍牙低功耗設(shè)備之間互操作的基石����,定義了任何BLE實現(xiàn)必須遵循的框架��,使得設(shè)備可以互相發(fā)現(xiàn)�、向外廣播數(shù)據(jù)、建立安全的連接��、以及以標準的方式執(zhí)行基本操作���。
[0024]GAP定義了藍牙設(shè)備加入BLE網(wǎng)絡(luò)可以采用的4種角色:
廣播者(Broadcaster)-面向只需定期向外傳輸數(shù)據(jù)的應(yīng)用���,廣播這角色周期性的向外發(fā)送廣播數(shù)據(jù)包。
[0025]觀察者(Observer)-面向只需從廣播設(shè)備收集數(shù)據(jù)的應(yīng)用�,觀察者角色收聽廣播端所發(fā)送的廣播包以獲取其中的數(shù)據(jù)。
[0026]中心(Central)-中心角色對應(yīng)于鏈路層的主控方(Master)����,它總是連接的發(fā)起者。
[0027]周邊(Peripheral)-周邊角色對應(yīng)于鏈路層的受控方(Slave)��,它通過廣播讓中心能夠發(fā)現(xiàn)它��,然后與之建立連接。
[0028]通用連接建立過程:這個兩步過程通常用于連接到新的周邊藍牙設(shè)備����。中心藍牙設(shè)備先啟動掃描,接收所有廣播包�����。對每一個發(fā)現(xiàn)的藍牙設(shè)備�,應(yīng)用程序?qū)Q定是與之連接還是繼續(xù)處理下一個藍牙設(shè)備。為此���,應(yīng)用程序可以提示用戶選擇或者根據(jù)預定義的規(guī)則解析并匹配廣播包的內(nèi)容���。一旦做出決定,中心藍牙設(shè)備使用定向連接建立過程連接到藍牙設(shè)備��。
[0029]定向連接建立過程:這個標準的單步過程將中心藍牙設(shè)備連接到特定的周邊藍牙設(shè)備�����。中心通過鏈路層向指定藍牙地址的特定藍牙設(shè)備發(fā)起連接�,之前并不需要知道該設(shè)備確實可用。如果目標設(shè)備不可用或不在可連接模式則這個過程可能失敗����。
[0030]1.手持終端以中心角色工作���,藍牙設(shè)備以周邊角色工作。在未連接時�����,藍牙設(shè)備向外發(fā)送廣播�。手持終端掃描并發(fā)現(xiàn)設(shè)備��,然后通過定向連接建立過程與設(shè)備建立連接��。
[0031]2.連接建立以后���,藍牙設(shè)備生成隨機質(zhì)詢碼并將其存儲為某特定屬性的值(該屬性具有特定的UUID)����。手持終端通過ATT協(xié)議訪問該屬性的值即獲得質(zhì)詢碼����。
[0032]3.手持終端得到響應(yīng)碼后,通過ATT協(xié)議將響應(yīng)碼寫入設(shè)備上某特定屬性的值����,設(shè)備即獲得響應(yīng)碼�����。
[0033]綜上�����,本發(fā)明的有益效果是:
1�、本發(fā)明為基于云計算平臺的藍牙動態(tài)密碼安全認證機制����,實現(xiàn)集中化的授權(quán)管理,是真正的基于用戶的授權(quán)�����,并簡化用戶操作�。
[0034]2、授權(quán)管理可脫離設(shè)備進行�,無需用戶操作,可做到對用戶透明��。
【附圖說明】
[0035]此處所說明的附圖用來提供對本發(fā)明實施例的進一步理解���,構(gòu)成本申請的一部分�,并不構(gòu)成對本發(fā)明實施例的限定。在附圖中:
圖1是本發(fā)明的結(jié)構(gòu)示意圖�。
[0036]圖2是本發(fā)明的一種原理流程意圖。
[0037]圖3是本發(fā)明將設(shè)備密碼設(shè)置于藍牙設(shè)備中的一種原理流程意圖�����。
[0038]附圖中標記及相應(yīng)的零部件名稱:
1-手持終端���,2-遠程服務(wù)器,3-藍牙設(shè)備����。
【具體實施方式】
[0039]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明白�����,下面結(jié)合實施例和附圖�,對本發(fā)明作進一步的詳細說明,本發(fā)明的示意性實施方式及其說明僅用于解釋本發(fā)明�,并不作為對本發(fā)明的限定。
[0040]實施例1:<