用于通过蓝牙低能耗连接进行通信的主从系统的制作方法

本发明涉及一种用于通过蓝牙低能耗连接进行通信的主从系统。此外，本发明涉及一种用于在这样的系统中进行通信的主设备和从设备。此外，本发明涉及一种机动车、特别是轿车，所述机动车是在主从系统中用于与主设备或从设备进行通信的从设备或主设备。

背景技术：

在各种技术领域中，仪器可以通过蓝牙连接进行通信。为了减小在通信期间的电流消耗，例如可以使用蓝牙低能耗(bluetoothlowenergy，ble)。ble是对蓝牙无线电技术的扩展。一个ble网络具有一个可以与多个从仪器进行通信的主仪器。

在ble中设置有所谓的广告(advertising)信道，通过所述广告信道发起在各仪器之间的任意连接。为此，承担从角色的仪器通过广告信道以周期性的间隔主动地发送被称为广告包(advertising-paket)的请求消息，以便向在ble网络中作为ble网络的主端起作用的另外的仪器进行通知。基于所述请求消息，所述主端可以验证从端的可信度，并且接着在从仪器与主仪器之间建立通信。

在此，所述从端利用请求消息的头字段进行通知，在所述头字段中存储有被称为可解析的私有地址(resolvableprivateaddress，rpa)的信息。所述信息能实现使从仪器在通知阶段加密地发送其身份，从而使所述从仪器对其他仪器保持保密。在此，所述信息利用密钥、所谓的身份解析密钥(identityresolvingkey，irk)进行加密。所述密钥事先被传递给主端，所述主端因此可以解密所接收的信息并且验证从端的可信度。

然而，因为请求消息仅可以包含一个头字段并且因此仅包含一个rpa信息，所以对于一个仪器仅可能的是利用唯一的请求消息在唯一的主端处、亦即在一个ble网络中进行通知。备选地，所述仪器可以通过向多个主设备发送同一个消息的方式来利用同一个请求消息在多个主端处进行通知。然而，在此不保证匿名性，因为所述仪器利用相同的irk密钥在多个主端处进行通知，并且所述irk密钥必须事先被分配到所有可能的连接伙伴上。

技术实现要素：

因此，本发明的目的在于，能实现在一个从仪器与多个主仪器之间的通信，而所述从仪器的身份相对于其他仪器受保护。

为此，提出一种用于通过蓝牙低能耗连接进行通信的主从系统。所述主从系统具有至少一个从设备和至少一个主设备，所述从设备和所述主设备设置为用于通过蓝牙低能耗连接进行通信。

所述从设备具有通信单元和处理单元，其中，所述从设备的处理单元设置为用于产生具有头字段和有效载荷(payload)或者说有效负载字段的第一请求消息，其中，所述从设备的处理单元还设置为用于基于所存储的第一密钥产生第一身份信息并且将其作为第一信息存储在头字段中。所述信息作为可解析的私有地址(rpa)存在于头字段中。利用所述第一信息，所述从设备可以与主设备建立通信，如其利用到目前为止的请求消息也能实现的那样。

为了附加地与其他主设备通过ble连接实施通信，所述从设备的处理单元设置为用于基于所存储的至少一个第二密钥产生与第一身份信息不同的至少一个第二身份信息，并将所述至少一个第二身份信息的至少一部分作为第二信息存储在第一请求消息的有效载荷字段中。所述从设备的通信单元设置用于，通过蓝牙低能耗连接、特别是通过所设置的广告信道向所述主设备发送所产生的第一请求消息。

因此，可以利用唯一的请求消息来请求与一个主设备(在头字段中仅一个信息)或者多个主设备(在头字段中的第一信息和在有效载荷字段中的另外的第二信息、亦即第二、第三和另外的信息)进行通信。备选地，从设备可以利用多个功能在一个主设备处进行通知。所述多个功能通过第一、第二和可选的另外的信息来表示。例如，所述从设备可以作为具有第一身份信息的用于互联网服务的接入点(access-point)并且作为具有第二身份信息的电话或音乐服务在主设备处进行通知。

在请求过程中，通过加密身份信息来保证所述从设备相对于通过相同的广告信道进行通信的其他从设备或其他仪器的匿名性。因为其他从设备和仪器不具备所述密钥，所以它们无法解密所述信息。

所使用的密钥特别是身份解析密钥(identityresolvingkeys，irk)。所述密钥事先被传输给在主从系统中的主设备上。优选地，所述加密是对称加密。在此，不仅从设备而且每一个主设备都存在同一个密钥。通过所述密钥可以对在所述从设备与所述主设备之间的数据进行可靠地加密传输。

将irk密钥引入到主设备和从设备中可以通过初始的“配对过程”来实现。在蓝牙系统中，所述过程例如可以通过2通道鉴权、亦即与pin码的可视化的匹配相结合的无线电信道(在所述两个待配对仪器上)实施。例如，在车联网中的ble系统中，其他2信道方法也是可能的(例如与nfc卡相组合的无线电信道、与经鉴权的在线连接相关联的无线电信道)。一般地，所述配对过程的特征在于实施一次性的、防窃听的连接，通过所述连接将对于待配对的仪器的进一步通信所必需的密钥固定地引入到主设备和从设备中。

与所述从设备想与多少个主设备进行通信和/或所述从设备想利用多少个功能与主设备相连接相关，在有效载荷字段中可以包含一个或多个信息。因此，所述从设备的处理单元例如可以设置为用于基于所存储的另外的密钥产生与所述第一和第二身份信息不同的另外的身份信息，并将所述另外的身份信息的至少一部分作为另外的信息存储在第一请求消息的有效载荷字段中。

在此，可以在有效载荷字段中存储多于两个信息、亦即第二、第三、第四和另外的信息。例如，一个信息可以被减小到1至24比特之间的大小。按照这种方式，直至240个信息可以存储在有效载荷字段中。

按照一种实施方式，所述主设备具有通信单元和处理单元，其中，所述主设备的通信单元设置为用于通过蓝牙低能耗连接从所述从设备的通信单元接收第一请求消息，其中，所述主设备的处理单元设置为用于将包含在第一请求消息的有效载荷字段中的第二信息和可选地另外的信息作为第二身份信息来解密、将所述第二身份信息与所述从设备相关联并且验证所述从设备的身份。

在主设备中存储有密钥，利用所述密钥可以对接收到的信息进行解密。

对信息的解密可以通过完全地比较在有效载荷字段中传输的身份信息来实现。为此，主设备提取在请求消息的地址字段中给出的第一身份信息(rpa)的可变部分，所述第一身份信息由所述从设备借助于密码上可靠的随机数生成器创建出。通过将所提取的部分与存储在主单元中的每个irk密钥链接在一起并且随后相应地实施用于每个所产生的链对的密码上的哈希函数，主单元生成基于所述从设备的请求消息的量的自身的身份信息(rpa)。接着，所述主单元将自身生成的rpa与由所述从设备通过请求消息通信的rpa进行比较。如果在比较时在由主设备生成的rpa与由从设备在请求消息中传递的rpa之间出现一致性，则由所述从设备传递的相应的rpa被认为是解密的。在此，解密的irk是用作哈希函数的输入值的那个值。

在解密之后，所述主设备的处理单元可以将第二身份信息和可选地其他的、解密的身份信息与所述从设备相关联并且因此验证所述从设备的身份。

在验证所述从设备之后，所述主设备的处理单元可以产生用于与所述从设备建立通信的应答消息，其中，所述主设备的通信单元设置为用于向所述从设备传输所述应答消息，并且其中，所述从设备的通信单元设置为用于接收所述应答消息并且基于所述应答消息与所述主设备建立蓝牙低能耗通信。

如果主设备能够对从设备鉴权或者获得至少一个对于所述从设备足够量的身份信息，则所述主设备可以向所述从设备发回应答消息。基于所述应答消息，所述从设备可以发起在从设备与主设备之间建立蓝牙低能耗通信。

所述主从系统可以具有与第一主设备相同地建立的其他主设备。这意味着，其他主设备同样具有通信单元和处理单元，其中，所述其他主设备的通信单元设置为用于通过蓝牙低能耗连接从所述从设备的通信单元接收第一请求消息，并且其中，所述其他主设备的处理单元设置为用于将包含在第一请求消息的有效载荷字段中的另外的信息作为另外的身份信息来解密并且将所述另外的身份信息与所述从设备相关联。

按照另一种实施方式，所述从设备的处理单元设置为用于将所述至少一个第二身份信息划分为多个块，并且将所述多个块的第一分组作为至少第二信息存储在第一请求消息的有效载荷字段中。

所述有效载荷字段例如可以具有0至41字节的长度。与其长度(6字节)固定的第一信息不同，第二信息的长度可以变化并且可以包含1至41字节。另外的值同样是可能的。特别是当所述从设备想与多个主设备进行通信时，所述第二信息可以被缩小或压缩，以便将多个信息安置在有效载荷字段中。

在此，所述信息例如可以作为哈希函数基于密钥和相应的身份信息来计算。在一种实施方式中，对于待传输的信息最多使用所计算的哈希函数的最高24比特。

所述主设备的处理单元可以判断：利用第一请求消息所接收的所述块是否足够用于验证所述从设备，并且如果是的话，则基于所述多个块的第一分组来验证所述从设备的身份。

按照另一种实施方式，所述从设备的处理单元设置为用于产生一个第二请求消息或多个另外的请求消息并且将所述多个块的一个第二分组或多个另外的分组作为第二信息或所述另外的信息存储在所述有效载荷字段中。优选地，在时间上在第一请求消息之后发送所述第二请求消息或所述另外的请求消息。

如果所述从设备的身份通过所述主设备基于第一请求消息无法验证，则所述主设备的通信单元可以主动地请求第二请求消息或被动地等待另外的请求消息并且接收所述请求消息。在这种情况下，所述主设备的处理单元设置为用于基于所述多个块的第一和第二分组来验证所述从设备的身份。

如果无法验证所述从设备，或者所述从设备还未从所述主设备接收到应答消息，则所述从设备的处理单元可以产生第三请求消息，在所述第三请求消息中，所述多个块的第三分组作为第二信息存储在有效载荷字段中，并且向所述主设备发送所述第二信息。

所述主设备的通信单元可以接收所述第三请求消息，并且所述主设备处理单元可以基于所述多个块的第一、第二和第三分组来验证所述从设备的身份。

该过程可以利用包含第二身份信息的另外的分组的另外的请求消息来继续，直至所述主设备具有足够的信息来验证所述从设备。

这意味着，附加于第一请求消息可以发送任意多的另外的请求消息。在此，每个另外的请求消息可以包含身份信息的另外的分组。因此，所述从设备可以将一个单独的身份信息的分组划分为多个请求消息。

在接收侧，所述主设备可以判断：所述主设备需要多少关于所述从设备的信息，直至所述主设备可以判断：所述从设备被足够地鉴权。这例如可以与通过在从设备与主设备之间的通信应当实施的功能相关。对于不太与安全相关的功能、例如音乐服务，少量的信息和因此低概率地正确验证已经可以足够。与此不同地，对于与安全相关的功能、例如访问个人数据，可能需要更大量的信息并且因此可能需要高概率地正确验证。

因此，所述主设备的处理单元可以判断：所接收的信息是否已经足够用于验证所述从设备的身份，或者是否需要另外的信息。如果所述主设备的处理单元获得足够量的信息以便验证所述从设备，则所述主设备的通信单元可以向所述从设备传递不需要另外的信息的消息。所述消息例如可以在应答消息的范围内用于与从设备建立通信来进行。通过所述应答消息也可以停止自动发送另外的请求消息。备选地，可以继续发送另外的请求消息。

如已经阐述的那样，所述从设备的通信单元可以发送多个请求消息。按照一种实施方式，所述从设备的通信单元设置为用于，如果出现预定义的中断事件，则中断发送所述请求信号。

在此，所述从设备的通信单元可以一直传输具有信息的请求消息，直至出现中断事件。在此，每个请求消息包含身份信息的另外的分组。如果已经发送了所有分组，则该过程可以以第一分组重新开始。然而，所述从设备可以产生几乎无限数量的分组。

在此，预定义的中断事件例如可以是主设备的应答消息。如果通过应答消息发起通信建立，则从设备可以停止发送请求消息。其他中断事件可以是从发送第一请求消息开始起经过预定义的时间段。此外，中断事件可以是发送身份信息的最后分组。

如果与多个主设备之一建立通信，则从设备可以发送另外的请求消息，而不需要用于已经与之通信的主设备的信息。因此，请求消息的发送在此不完全被中断，而是仅在没有所属于已经连接的主设备的信息的情况下发送请求消息。

按照另一方面，提出一种机动车、特别是一种轿车。所述机动车可以代表在如上面所描述的主从系统中的从设备或者主设备。用于与机动车进行通信的相应的主设备或从设备可以是移动仪器、例如智能手机、平板电脑或类似物。

此外，提出一种用于在主从系统中通过蓝牙低能耗连接进行通信的方法。所述方法具有以下步骤：

产生具有头字段和有效载荷字段的第一请求消息，其中，基于所存储的第一密钥产生第一身份信息并且将其作为第一信息存储在头字段中，

基于所存储的至少一个第二密钥产生与第一身份信息不同的至少一个第二身份信息，并且将所述第二身份信息的至少一部分作为第二信息存储在第一请求消息的有效载荷字段中，以及

通过蓝牙低能耗连接向主设备发送所产生的第一请求消息。

在接收侧上、亦即在主设备中，可以接收第一请求消息。接着，可以将包含在第一请求消息的有效载荷字段中的至少第二信息作为第二身份信息来解密，将所述第二身份信息与所述从设备相关联并且验证所述从设备的身份。

对于所提出的主从系统所描述的实施方式和特征相应地适用于所提出的方法。

此外，提出一种计算机程序产品，所述计算机程序产品具有程序代码，所述程序代码构成为用于使在计算机上执行如上面所阐述的方法。

计算机程序产品、例如计算机程序装置，例如可以作为存储介质、例如存储卡、usb棒、cd-rom、dvd或者也以可下载的文件的形式由在网络中的服务器提供或交付。这例如可以在无线通信网络中通过传输具有计算机程序产品或计算机程序装置的相应文件来进行。

本发明的其他可能的实施方式也包括之前或以下关于实施例描述的特征或实施方式的未明确提到的组合。在此，本领域技术人员也将添加单个方面作为对本发明的相应的基本形式的改进或补充。

其他优点和有利的实施方式在说明书、附图和权利要求中给出。在此，特别是在说明书中和在附图中给出的特征组合是纯示例性的，从而所述特征也可以单独地或以其他方式组合地存在。

附图说明

以下应当借助于在附图中示出的实施例更详细地描述本发明。在此，所述实施例和在所述实施例中示出的组合是纯示例性的并且不应当限定本发明的保护范围。所述保护范围仅通过所附的权利要求书来定义。

图中：

图1示出具有一个从设备和两个主设备的主从系统；

图2示出由图1的从设备产生的请求消息的示例；以及

图3示出在图1的主从系统中用于建立通信的示意性流程图。

具体实施方式

以下，相同的或功能上相同作用的元件利用同一个附图标记来表征。

图1示出了具有一个从设备10和两个主设备20、30的主从系统1。也可以设置仅一个主设备20或任意多个其他主设备。

所述从设备10具有通信单元11和处理单元12。所述主设备20、30同样分别具有通信单元21、31和处理单元22、32。

为了与一个或两个主设备20、30通过蓝牙低能耗连接开始通信，从设备10必须首先向主设备20、30发送请求消息40。所述请求消息40可以通过广告信道、如其在蓝牙低能耗的情况下所规定的那样，在真正的通信之前被发送。

如果仅期望与唯一的主设备20进行通信，则从设备10可以在请求消息40的头字段41中传递其自身的身份，如所述请求消息在图2中所示的那样。然而，如果应当与多于一个主设备20、30建立通信，则从设备10可以传输包含多个身份信息43、44的请求消息40。

为此，处理单元12产生具有头字段41和有效载荷字段42的请求消息40，其中，基于第一密钥产生的第一身份信息作为第一信息存储在头字段41中。

附加地，处理单元12基于第二密钥或另外的密钥产生与第一身份信息不同的至少一个第二身份信息和可选地多个身份信息，并且将所述第二身份信息的至少一部分作为第二信息43存储在有效载荷字段42中。如果从设备10想与多个主设备20、30建立通信，则所述有效载荷字段42可以具有直至n个身份信息43、44。在此，每个身份信息利用自身的密钥来加密。所述密钥可以事先在从设备10与相应的主设备20、30之间进行交换。

在产生请求消息40之后，通信单元12通过广告信道向主设备20、30传递所产生的请求消息40。

为了能够在有效载荷字段42中存储多个信息43、44，处理单元12可以将所述第二身份信息和另外的身份信息分别划分为多个块。于是，所述第二身份信息或另外的身份信息的多个块的第一分组作为第二信息43存储在第一请求消息30的有效载荷字段42中。类似地，每个另外的身份信息中多个块的第一组作为身份信息44存储在有效载荷字段42中。

有效载荷字段42例如可以具有0至41字节的长度。与其长度(6字节)固定的第一信息不同，第二信息43、44的长度可以变化并且可以包含1至41字节。特别是当从设备10想与多个主设备20、30进行通信时，所述第二信息43、44可以被缩小或压缩，以便将多个信息43、44安置在有效载荷字段42中。

如果在信息43、44中仅包含相应的身份信息的第一分组，则处理单元12可以产生另外的请求消息40，所述另外的请求消息包含在信息43、44中的身份信息的另外的分组。

请求消息40由主设备20、30的通信单元21、31接收。处理单元22、32检验包含在头字段41和有效载荷字段42中的信息。只要处理单元22、32识别出对于其确定的第二信息43、44，所述第二信息或另外的信息43、44就在使用所存储的密钥的情况下作为第二身份信息或另外的身份信息被解密并且与所述从设备10相关联。

处理单元22、32基于所述第二身份信息并且基于所存储的密钥来验证从设备10的身份。如果仅传输了身份信息的分组，则相应的处理单元22、32可以判断：所接收的信息是否已经足够用于验证从设备10。如果不是这种情况，则相应的主设备20、30的通信单元21、31可以接收另外的请求消息40，所述另外的请求消息具有身份信息的第二分组作为在有效载荷字段42中的第二信息43、44。

一旦处理单元22、32具有关于从设备10的身份的足够的信息来以预先给定的概率来验证所述信息，处理单元22、32就可以产生应答消息，所述应答消息通过通信单元21、31向从设备10传输。

如果从设备10的通信单元11从所述主设备20之一接收到相应的应答消息，则所述从设备可以基于所述应答消息与相应的主设备20建立蓝牙低能耗通信。

所必需的请求消息40的数量可以与相应的主设备20、30相关。在预定义的中断事件之后，从设备10可以在不建立通信连接的情况下中断传输请求消息。这种中断事件例如可能在身份信息的所有分组已传输却没有接收到响应消息的情况下发生。

在图3中再次阐述通信建立的流程。

首先，在第一步骤51中产生请求消息40。如上面所阐述的那样，所述请求消息40可以在有效载荷字段42中包含分别与主设备20、30相关联的一个或多个信息。以下，对通过主设备20接收请求消息40进行描述。这对于每个其他主设备30类似地进行。

在第二步骤52中，接收请求消息40并且接着如上面描述的那样在步骤53中解密包含在所述请求消息中的信息43。如果主设备20不能解密所述信息43，则主设备20可以等待另外的请求消息40。这例如可以是如下情况，即，包含在请求消息40中的信息43、44不是对于主设备20而确定的并且所述主设备因此不具有相应的密钥。

如果信息43被解密了，则主设备20在步骤54中判断：所述身份信息是否足够用于验证从设备10。这例如可以与通过在从设备10与主设备20之间的通信应当实施的功能相关。对于不太与安全相关的功能、例如音乐服务，少量的信息和因此低概率地正确验证已经可以足够。与此不同地，对于与安全相关的功能、例如访问个人数据，可能需要更大量的信息并且因此可能需要高概率地正确验证。

如果验证不足够，则主设备20等待具有身份信息的另外的分组的另外的请求消息40。于是，所述方法以步骤51至54继续，直到信息足够用于验证。

如果是这种情况，则在步骤55中在从设备10与主设备20之间建立通信。为此，如上面所描述的，主设备20可以向从设备10发送应答消息，以便发起通信建立。

在附图中，描述了利用唯一的请求消息40来请求与多个主设备20、30进行通信。备选地或备选地，所述从设备10可以利用多个功能在唯一的主设备20中进行通知。所述多个功能通过第一信息和第二信息表示。例如，所述从设备10可以作为用于具有第一身份信息的互联网服务的接入点并且作为具有第二身份信息的电话或音乐服务在主设备20或主设备20、30处进行通知。该流程与上面所描述的类似，其中，主设备20、30利用多个密钥分别解密多个信息。

通过所提出的主从系统能实现，从设备不仅请求与一个主设备进行通信。而是，从设备可以同时利用唯一的消息向多个主设备传输用于通信建立的请求。

附图标记

1主从系统

10从设备

11通信单元

12处理单元

20主设备

21通信单元

22处理单元

30主设备

31通信单元

32处理单元

40请求消息

41头字段

42有效载荷字段

43第二信息

44第n信息

51-55方法步骤