本公开涉及包括服务器装置和听力装置系统的听力系统,其中所述听力装置系统包括听力装置和用户附属装置。特别地,本公开涉及用于在包括听力装置的听力系统的用户附属装置上保护用户应用的通信的装置、以及在包括听力装置的听力系统的用户附属装置上保护用户应用的通信的方法。
背景技术:
随着无线通信技术的发展,听力系统的不同实体之间往复的无线通信在不断增加。然而,新技术在助听器制造商保护听力系统中的通信方面引起新的挑战。听力系统的无线通信接口期望地使用基于开放标准的接口。然而,这在安全性方面带来了许多挑战。
技术实现要素:
需要用于为听力系统通信提供安全性改善的设备、装置和方法。此外,需要减少助听器和助听器功能被第三(未经授权)方损害的风险的装置和方法。
因此,本发明公开了一种在包括听力装置的听力系统的用户附属装置上保护用户应用的通信的方法,其中保护所述用户应用的通信包括:在服务器装置中获得质询数据;将所述质询数据从所述服务器装置发射到所述用户应用;任选地将包括所述质询数据的质询请求从所述用户应用发射到所述听力装置;任选地从所述听力装置接收包括响应数据的质询响应;任选地将所述响应数据从所述用户应用转发到所述服务器装置;任选地从所述用户应用接收包括响应数据的响应消息;在所述服务器装置中基于所述质询数据来验证所述响应数据;以及任选地如果验证所述响应数据成功,则在所述服务器装置中批准所述用户应用。
另外,本发明公开了一种用于在包括听力装置的听力系统的用户附属装置上保护用户应用的通信的服务器装置。所述服务器装置被配置成批准所述用户应用,其中批准所述用户应用包括:获得质询数据;将所述质询数据发射到所述用户应用;从所述用户应用接收包括响应数据的质询响应;基于所述质询数据来验证所述响应数据;以及任选地如果所述响应数据被验证,则批准所述用户应用。
本发明还公开了用于听力系统的用户附属装置的用户应用,所述用户附属装置包括:处理单元;存储器单元;以及接口,其中所述用户应用被配置成保护所述用户应用的通信,并且其中保护所述用户应用的通信包括:从服务器装置获得质询数据;将包括所述质询数据的质询请求发射到所述听力装置系统的听力装置;从所述听力装置接收包括响应数据的质询响应;以及将所述响应数据发射到所述服务器装置。
本公开的重要优点是:大大减少或消除了用户敏感数据(诸如听力装置设置和/或用户特定软件更新)被发送到第三方用户应用或另外损坏的用户应用、或被所述用户应用共享的风险。
进一步地,本公开允许听力装置制造商安全地保持和维护关于用户应用的更新和正确的信息。更进一步地,服务器装置/听力装置制造商可以保持关于用户应用的更新信息并且将用户应用与特定听力装置链接。
附图说明
通过以下参照附图对本发明的示例性实施方案的详细描述,本发明的以上和其他特征及优点对于本领域技术人员将变得显而易见,其中:
图1示意性地示出了听力系统,
图2示出了示例性信令图,
图3是根据本发明的示例性方法的流程图,
图4示意性地示出了示例性服务器装置。
附图标记说明
2 听力系统
4 服务器装置
6 听力装置系统
8 听力装置
10 用户附属装置
12 用户应用
20 第一通信链路
22 第二通信链路
24 天线
26 无线电收发器
28 第一麦克风
30 第二麦克风
32 处理器
34 接收器
36 处理单元
38 存储器单元
40 接口
100 信令图
102 质询数据
104 质询消息
106 质询请求
108 质询响应
110 响应数据
112 响应消息
114 对质询数据的请求
200 保护用户应用的通信的方法
202 在服务器装置中获得质询数据
202a 获得模块
204 发射质询数据
204a 发射模块
206 发射包括质询数据的质询请求
208 接收包括响应数据的质询响应
209 转发响应数据
210 基于质询数据来验证响应数据
210a 验证模块
212 批准用户应用
212a 批准模块
214 响应数据的验证成功吗?
216 确定是否满足批准标准
250 处理单元
252 存储器单元
254 接口
256 接收模块
具体实施方式
在下文中参考相关图来描述各种示例性实施方案和细节。应注意所述图可能或可能不按比例绘制,并且贯穿各图具有相似结构或功能的元件由相同的参考数字表示。还应注意,图只是意图帮助描述实施方案。它们并不意图作为本发明的详尽的描述或作为本发明范围的限制。此外,所示出的实施方案不需要具有所有所示的方面或优点。结合具体实施方案描述的方面或优点不必限于那个实施方案并且即使没有如此说明、或者没有如此明确描述或也可在任何其他实施方案中实行。
本公开涉及听力系统通信的安全性改善。听力系统包括服务器装置、其上安装有用户应用的用户附属装置、以及听力装置。服务器装置可以由听力装置制造商控制。服务器装置可以是分布式服务器装置,即具有分布式处理器的服务器装置。也就是说,本文公开的方法、用户应用和服务器装置通过实现适当的保障措施和对策(诸如安全机制)来启用对于安全威胁、脆弱点和攻击具有鲁棒性的听力系统通信,以便防范威胁和攻击。本公开涉及对于重放攻击、未授权访问、电池耗尽攻击和中间人攻击具有鲁棒性的听力系统通信。
如本文所使用的,术语“标识符”是指用于识别(诸如用于分类和/或唯一识别)的数据段。标识符可能以字、数字、字母、符号、列表、阵列或其任何组合的形式。例如,作为数字的标识符可能以整数(诸如无符号整数、无符号整型)的形式,其长度例如为8位、16位、32位或更多,诸如无符号整数的阵列。标识符可具有若干字节的长度。例如,听力装置标识符可以具有20字节的长度。
用户附属装置包括分别连接到处理单元的存储器单元和接口。存储器单元可以包括可移除和不可移除的数据存储单元,包括但不限于只读存储器(ROM)、随机存取存储器(RAM)等。存储器单元具有存储在其上的用户应用。接口包括天线和无线收发器,例如被配置用于频率在2.4GHz至2.5GHz范围内的无线通信。接口可以被配置用于与包括天线和无线收发器的听力装置通信(诸如无线通信)。
方法包括在服务器装置中获得质询数据。获得质询数据可以包括生成质询数据(例如,基于默认质询值和/或时间戳)。因此,服务器装置可以被配置成生成质询数据(例如,基于默认质询值和/或时间戳)。服务器装置可以被配置成以特定间隔(诸如每5分钟、每10分钟或每30分钟)生成质询数据。虽然生成(不同)质询数据之间的短暂时间可增加安全性,但生成(不同)质询数据之间的过短时间可能为用户应用/听力装置设置过高的定时要求,这进而导致不必要的错误验证并且在听力装置中需要耗电的质询-响应生成。质询数据可以是随机的或伪随机的。质询数据可以包括至少8个字节,诸如至少16个字节。质询数据可以是16字节值。服务器装置可以被配置成基于查找表和/或功能生成质询数据,例如具有作为输入的时间戳。基于时间戳值获得质询数据启用和/或提供具有内置有效周期的质询数据。以给定间隔获得质询数据启用和/或提供具有内置有效周期的质询数据。
本公开涉及听力系统的实体之间的安全通信。听力系统包括服务器装置和听力装置系统,所述听力装置系统包括用户附属装置和听力装置。用户附属装置形成了听力装置的附属装置。用户附属装置通常是成对的或另外无线联接到听力装置。听力装置可以是例如以下类型的助听器:耳后式(BTE)类型、耳内式(ITE)类型,耳道式(ITC)类型、耳道中接收器式(RIC)类型、或耳中接收器式(RITE)类型。通常,听力装置系统由听力装置用户拥有和控制。
获得质询数据可以包括将质询数据存储在服务器装置中。服务器装置可以被配置成在验证响应数据之后删除质询数据。方法可以包括在特定时间段之后删除质询数据、和/或用新的质询数据来替换质询数据。
方法包括将质询数据从服务器装置发射到用户应用。
方法包括将包括质询数据的质询请求从用户应用发射到听力装置。
方法包括接收质询响应(例如,在用户应用中),所述质询响应包括来自听力装置的响应数据。响应数据可以包括至少8个字节,诸如至少16个字节或至少32个字节。响应数据的长度可以在16个字节至72个字节的范围内。响应数据可以包括听力装置标识符。响应数据可以包括密钥标识符,其用于在验证响应数据时使得服务器装置能够使用或应用正确的密钥材料。响应数据可以包括在听力装置中生成的听力装置质询数据。
响应数据包括响应值(例如,质询响应值)和/或听力装置数据。响应数据可以包括基于响应值和/或听力装置数据的校验和值。响应值可以基于质询数据和/或听力装置数据(例如,听力装置标识符)。可以基于以下中的一个或多个生成响应值:来自服务器装置的质询数据、由密钥标识符识别的听力装置密钥、听力装置标识符和听力装置质询数据。响应值可以基于静态字符串。可以使用以下中一个或多个作为密钥材料对响应值进行加密:来自服务器装置的质询数据、由密钥标识符识别的密钥、听力装置标识符和听力装置质询数据。
方法包括将响应数据从用户应用转发到服务器装置(例如,在响应消息中)。在服务器装置中基于质询数据验证响应数据(例如,响应数据的响应值)。在服务器装置中基于质询数据验证响应数据可以包括计算质询数据(例如,基于默认质询值和/或时间戳)。在服务器装置中基于质询数据验证响应数据可以包括从服务器装置的存储器检索质询数据。在服务器装置中验证响应数据可以基于响应数据的听力装置质询数据。在服务器装置中验证响应数据可以基于响应数据的听力装置标识符。验证响应数据可以包括基于来自服务器装置的质询数据和/或由密钥标识符识别的密钥、听力装置质询数据、以及响应数据的听力装置标识符中的一个或多个来计算验证值。验证响应数据可以包括将验证值与响应值进行比较。如果验证值对应于响应值,则可以验证响应数据(验证成功)。
方法任选地包括:如果验证响应数据成功,则在服务器装置中批准用户应用。因此,如果验证响应数据成功,则服务器装置将用户应用视为系统中的受信任实体。换言之,如果验证响应数据成功,则用户应用据说可以在服务器装置中被列为白名单。
方法任选地包括:如果验证响应数据失败,则在服务器装置中不批准用户应用。因此,如果验证响应数据不成功,则服务器装置可将用户应用视为系统中的非受信任实体。如果验证响应数据失败(例如,如果验证响应数据失败多次(例如,二次、三次或更多次)),则用户应用可以在服务器装置中被列为黑名单(例如,在特定时间段内)。方法可以包括:如果验证响应数据失败,则将用户应用状态标识符设置为指示用户应用未被批准的值。
方法可以包括基于质询数据和/或听力装置的听力装置标识符,在听力装置中确定响应数据或至少其响应值。因此,听力装置可以被配置成基于质询数据和/或听力装置标识符生成响应数据。基于听力装置标识符的响应数据(诸如响应值)使得服务器装置能够认证听力装置。响应数据任选地包括或指示听力装置标识符。因此,服务器装置可以识别特定的听力装置。
在所述方法中,用户应用可以执行从听力装置接收包括响应数据的质询响应。
在所述方法中,批准用户应用包括将用户应用状态标识符设置为指示用户应用被批准的值。
方法可以包括:如果验证响应数据成功,则在服务器装置的存储器中将用户应用链接到听力装置(例如,链接到听力装置的听力装置标识符)。
方法可以包括从用户应用发射对质询数据的请求。因此,例如,如果用户应用更新、和/或如果用户附属装置和/或用户应用重新启动,则用户应用和/或听力装置可以能够启动用户应用与服务器装置之间的安全通信,这进而增加安全级别。
如果满足第一批准标准(例如,在用户应用中),则可以发射对质询数据的请求。第一批准标准可以包括确定(例如,在用户应用中)用户应用是否早先已被批准,其中如果用户应用早先未被批准,则满足第一批准标准。如果首次开始用户应用(例如,在安装用户应用之后、和/或在给用户附属装置重新供电之后),则可以满足第一批准标准。如果用户应用已经被更新到新版本,则可以满足第一批准标准。
方法可以包括:存储指示上次批准时间的批准时间戳;基于批准时间戳确定是否满足第二批准标准;以及如果满足第二批准标准,则启动保护用户应用的通信。由此确保了服务器装置以特定频率批准/不批准用户应用,从而通过在服务器装置中保持更新的用户应用数据库来进一步增加听力系统的安全性并且优化听力系统通信。
在所述方法中,批准用户应用可以包括将特定于听力装置的听力装置设置发射到用户应用。批准用户应用可以包括将特定于听力装置的听力装置操作参数发射到用户应用。
方法可以包括:如果在批准期内没有接收到响应数据(例如,从获得质询数据或发射质询数据),则没有批准或不批准用户应用。在一个或多个示例性服务器装置/方法中,可以通过确定新质询数据的频率来确定批准期的长度。在一个或多个示例性装置/方法中,以给定间隔(诸如每5分钟或每10分钟)计算或生成质询数据。
方法可以包括:在用户应用与听力装置之间建立安全会话,以及任选地在安全会话(诸如完整性保护、加密、认证和/或相互认证会话)中发射质询请求。可以在安全会话中接收质询响应。
方法可以包括:在服务器装置与用户应用之间建立安全会话(诸如完整性保护、加密、认证和/或相互认证会话),以及任选地在安全会话中发射质询数据。可以在安全会话中将响应数据从用户应用转发到服务器装置。
服务器装置可以被配置成确定是否满足批准标准,如果满足批准标准,则服务器装置被配置成启动保护用户应用的通信,其中批准标准包括第一批准标准和第二批准标准,并且其中如果满足第一批准标准和/或第二批准标准,则满足批准标准。如果自从上次批准以来的时间比批准时间阈值(例如,一天或多天(诸如7天、14天))更长,则可以实现第二批准标准。因此,可以采用以最小频率批准用户应用,以便在服务器装置中确保更新的用户应用数据。
本公开还涉及用于听力系统的用户附属装置的用户应用。用户附属装置可以是智能电话、智能手表或平板计算机。用户应用在安装在用户附属装置上时被配置成保护用户应用的通信。
用户应用可以被配置成确定是否满足第一批准标准,并且如果满足第一批准标准,则启动保护用户应用的通信,并且其中获得质询数据包括将对质询数据的请求发射到服务器装置。对质询数据的请求是请求服务器装置将质询数据发射到用户应用的消息。因此,用户应用和/或听力装置(通过用户应用)可以主动地启动在服务器装置中批准用户应用。
通过使得听力系统实体能够启动保护用户应用的通信,可以优化批准程序,例如通过只在必要时或在由于听力系统中的不同实体的改变而有正当理由时才开始启用批准程序。
为了清楚起见,所述图是示意性和简化的,并且它们仅示出对理解本发明来说重要的细节,而其他细节已经被忽视。在所有图中,相同的参考数字用于相同或对应的部分。
图1示出了示例性听力系统。听力系统2包括服务器装置4、以及包括听力装置8和用户附属装置10的听力装置系统6。用户附属装置10是被配置成与听力装置8无线通信的智能电话。用户应用12安装在用户附属装置10上。用户应用可以用于控制听力装置8和/或辅助听力装置用户。在一个或多个示例性用户应用中,用户应用12被配置成将固件和/或听力装置设置转移到听力装置。
服务器装置4和/或用户应用12可以被配置成执行本文公开的方法的任何动作。听力系统2可以被配置成补偿听力装置2的用户的听力损失。听力装置8被配置成与用户附属装置10/用户应用12通信(例如,使用无线和/或有线的第一通信链路20)。第一通信链路20可以是单跳通信链路或多跳通信链路。第一通信链路20可以通过短距离通信系统(诸如蓝牙、蓝牙低能量、IEEE 802.11和/或紫蜂)来承载。
用户附属装置10/用户应用12被配置成经由第二通信链路22通过网络(诸如互联网和/或移动电话网络)来连接到服务器装置4。服务器装置4可以由听力装置制造商控制。听力装置8包括天线24、以及联接到天线24的无线电收发器26,以用于接收/发射包括第一通信链路20的无线通信。听力装置8包括一组麦克风,其包括第一麦克风28以及任选地包括第二麦克风30,以用于提供相应的第一麦克风输入信号和第二麦克风输入信号的。听力装置8可以是单麦克风听力装置。听力装置8包括连接到处理器的存储器单元(未示出),其中听力装置设置存储在存储器单元中。
听力装置2包括连接到收发器26和麦克风28、30的处理器32,以用于接收和处理输入信号。处理器32被配置成基于听力装置设置来补偿用户的听力损失,并且基于输入信号来提供电输出信号。接收器34将电输出信号转换为要指向听力装置用户鼓膜的音频输出信号。
用户附属装置10包括处理单元36、存储器单元38和接口40。用户应用12安装在用户附属装置10的存储器单元38中,并且被配置成保护用户应用的通信,其中保护用户应用的通信包括:从服务器装置4获得质询数据;将包括质询数据的质询请求发射到听力装置8;从听力装置8接收包括响应数据的质询响应;以及将响应数据发射到服务器装置4。
图2示出了在听力系统2的实体4、8、12之间的示例性信令图100,其示出了在包括听力装置的听力系统的用户附属装置上保护用户应用的通信的示例性方法。保护用户应用的通信包括获得服务器装置4中的质询数据。所述方法包括将质询消息104中的质询数据102从服务器装置4发射到用户应用12。用户应用12接收质询数据,并且将包括质询数据102的质询请求106从用户应用12发射到听力装置8。听力装置8基于质询数据以及任选地基于听力装置的听力装置标识符来生成响应数据,并且将质询响应108发射到用户应用12,用户应用从听力装置8接收包括响应数据110的质询响应108。用户应用将响应消息112中的响应数据110转发到服务器装置4,并且服务器装置4基于质询数据来验证响应数据110,以及如果验证响应数据110成功,则在服务器装置4中批准用户应用12。
任选地,方法包括将对质询数据的请求114从用户应用12发射到服务器装置(例如,如果满足第一批准标准)。在所示的听力系统中,如果用户应用首次开始或用户应用已经更新,则满足第一批准标准。在服务器装置4中接收到对质询数据的请求(即,在服务器装置中满足第一批准标准)触发了保护用户应用的通信。服务器装置4被配置成确定是否满足批准标准,并且如果满足批准标准,则服务器装置4被配置成启动保护用户应用的通信。服务器装置中的批准标准包括第一批准标准以及任选地包括第二批准标准。如果在特定时间段(例如,14天)内没有批准用户应用,则满足第二批准标准。因此,第二批准标准可以基于指示用户应用的上次批准时间的批准时间戳。如果满足第一批准标准或第二批准标准,则满足批准标准。
图3示出了在包括听力装置的听力系统的用户附属装置上保护用户应用的通信的示例性方法的流程图。在方法200中,保护用户应用的通信包括:在服务器装置中获得202质询数据;将质询数据从服务器装置发射204到用户应用;将包括质询数据的质询请求从用户应用发射206到听力装置;从听力装置接收208包括响应数据的质询响应;以及将响应数据从用户应用转发209到服务器装置。方法200包括在服务器装置中基于质询数据来验证210响应数据;以及如果验证响应数据成功214,则在服务器装置中批准212用户应用。任选地,方法包括在服务器装置中确定216是否满足批准标准,并且如果满足批准标准,则继续获得202质询数据。如果这样的话,方法启动或继续保护用户应用的通信。
图4示出了用于在包括听力装置的听力系统的用户附属装置上保护用户应用的通信的示例性服务器装置。服务器装置4包括处理单元250、存储器单元252(例如,包括数据库)和接口254。服务器装置4被配置成批准用户应用,其中批准用户应用包括获得质询数据(例如,通过获得模块202a)。获得质询数据包括生成质询数据(例如,基于默认质询值和/或时间戳)。质询数据的长度为16字节。服务器装置被配置成通过接口254将质询消息中的质询数据发射到用户附属装置的用户应用(例如,通过发射模块204a),并且通过接口254从用户应用接收包括响应数据的响应消息(例如,通过接收模块256)。服务器装置被配置成(例如,通过验证模块210a)基于质询数据和/或听力装置标识符来验证响应数据(例如,响应数据的响应值)。服务器装置可以包括被配置成验证响应数据/响应值的硬件安全模块(例如,作为验证模块210a的一部分)。如果响应数据被验证,则服务器装置被配置成批准用户应用(例如,通过批准模块212a)。验证响应数据任选地包括计算质询数据、以及基于所计算的质询数据来验证响应数据。作为响应数据验证的一部分,计算质询数据消除了对服务器装置中的存储器和质询数据的存储的需要。验证响应数据包括验证响应数据的响应值,例如基于响应数据的质询数据和/或听力装置标识符。在服务器装置中验证响应数据可以包括验证响应数据的校验和值。
服务器装置4任选地被配置成通过接口254从用户应用接收对质询数据的请求,并且在从用户应用接收到对质询数据的请求之后,启动保护用户应用的通信。另外,服务器装置4任选地被配置成基于上次批准时间戳确定是否满足第二批准标准;并且如果满足第二批准标准(例如,如果在特定时间段(例如,14天)内未批准用户应用),则启动用户应用的批准。
服务器装置4可以被布置成执行如本文所公开的在听力系统的用户附属装置上保护用户应用的通信的方法的至少一部分。服务器装置或处理单元250还可以包括多个任选功能模块,诸如以下中的任何一个:被配置成执行步骤202的获得模块202a、被配置成执行步骤204的发射模块204a、被配置成接收响应消息的接收模块256、被配置成执行步骤210的验证模块210a、以及被配置成执行步骤212的批准模块212a。一般来说,每个功能模块可能以硬件或软件来实现。
虽然已经示出和描述了特征,但是应理解其并不意图限制所要求保护的发明,并且对本领域技术人员显而易见的是,可进行各种改变和修改而不背离所要求保护的发明精神和范围。相应地,将说明书和附图视作具有说明意义而不是限制意义。所要求保护的发明旨在涵盖所有替代方案、修改和等效物。