key已配对过,则移动设备根据直接从配对列表中获取传输密钥。
[0249]S608:移动设备向key发送连接配对请求。
[0250]S609:移动设备和key使用相同的传输密钥进行蓝牙链路的加密传输。
[0251]其中,key可以获取预先生成的传输密钥,例如根据随机数和/或key的设备信息生成,具体生成方式可以参见上述实施例,在此不再赘述。
[0252]本实施例通过在key上设置二维码,可以在移动设备扫描二维码后获取key的身份识别信息,从而在后台获取对应的参数信息,进而根据参数信息获取传输密钥,提高传输密钥获取的安全性。
[0253]图7是本发明另一实施例提出的无线设备的通讯的方法的流程示意图,本实施例以移动设备扫描key上的二维码获取key的设备信息为例,本实施例中以key将传输密钥发送给后台为例。参见图7,该方法包括(步骤S701-S723):
[0254]S701:key与PC建立安全通道,以及,PC与后台建立安全通道。
[0255]其中,key与PC之间可以采用无线或者有线连接,为了提高安全性,本实施例中,key与PC之间可以采用有线连接,例如采用通用串行总线(Universal Serial Bus,USB)连接,协商会话密钥,建立安全连接。
[0256]PC与后台可以通过网络建立连接,协商出传输的加密密钥和校验密钥等,并建立安全通道。
[0257]S702:用户在PC上输入账号,请求登录后台,后台认证通过,登录成功。
[0258]S703:PC向key发送绑定请求。
[0259]S704: key获取传输密钥。
[0260]其中,传输密钥可以根据随机数和/或key的设备信息生成,具体可以参见上述实施例,在此不再赘述。
[0261 ] S705:key获取校验信息。
[0262]校验信息,例如包括签名和CRC校验信息。
[0263]S706:key使用后台的公钥对key的身份设备信息,设备信息,传输密钥和校验信息加密生成加密密文,并将加密密文向PC发送。
[0264]S707:key保存传输密钥。
[0265]S708:PC将加密密文发送给后台。
[0266]S709:后台使用自己的私钥对加密密文解密得到key的身份识别信息、设备信息、随机数和校验信息;对校验信息进行校验,若校验通过,执行S711,否则执行S710。
[0267]S710:结束。
[0268]例如,后台向PC反馈错误信息。
[0269]S711:后台将账号信息,key的身份设备信息与传输密钥进行关联存储。
[0270]其中,账号信息是PC当前登录的账号信息。
[0271]S712:移动设备登录网银APP,与后台建立安全通道。
[0272]S713:移动设备与key使用相同的传输密钥进行蓝牙链路的加密传输。
[0273]S714:移动设备向后台发送已完成认证指令;
[0274]S715:后台向移动设备发送重新绑定指令,具体指示移动设备向key获取重新生成的参数信息,并上报;
[0275]S716:移动设备向key发送重新绑定指令;
[0276]S717:key重新生成的随机数,并根据该随机数生成传输密钥,对该重新生成的传输密钥使用后台的公钥加密生成加密密文,并将加密密文生成二维码;
[0277]S718:移动设备扫描key上的二维码,获取key的参数信息的加密密文,并将该参数信息的加密密文上报至后台;
[0278]S719:后台使用自己的私钥对加密密文解密,得到传输密钥,并将账号信息对应的key的传输密钥替换为新的传输密钥。
[0279]其中,账号信息即用户输入的账号。
[0280]S720:移动设备向后台发送请求,获取与账号信息关联的参数信息;
[0281]S721:后台将传输密钥发送给移动设备。
[0282]S722:移动设备获取传输密钥,并保存传输密钥。
[0283]S723:移动设备和key使用相同的传输密钥进行蓝牙链路的加密传输。
[0284]本实施例通过在key上设置二维码,移动设备可以扫描二维码后获取key的传输密钥密文上报至后台,从而更新后台与账号信息关联的传输密钥。通过实时更新后台保存的传输密钥,可以保证传输密钥的安全性。
[0285]图8是本发明另一实施例提出的无线设备的结构示意图,该无线设备可以具体是指第二无线设备,例如移动设备,该设备80包括:认证模块81、获取模块82、生成模块83和通讯模块84。
[0286]认证模块81,用于向后台发送认证请求,所述认证请求中至少携带有用户的账号信息;
[0287]例如,认证模块81用于与后台建立安全通道,将认证请求通过所述安全通道发送至所述后台,所述认证请求中至少携带有用户的账号信息。
[0288]本实施例中,认证模块81与后台建立安全通道,如安全套接层协议(SecureSockets Layer,简称SSL)通道,从而保证了第二无线设备与后台之前传输数据的安全性。后台是可信任的第三方服务器,例如,颁发第一无线设备的银行的后台。
[0289]在本实施例的一种可选实施方式中,该待认证信息可以包括用户的账号信息以及登录密码,后台通过对用户的账号信息及登录密钥进行认证,认证通过则后台可以认为该第二无线设备是安全的。当然,认证请求中也可以携带与后台协商好的待认证信息,以使后台对该待认证信息进行认证。
[0290]获取模块82,用于在收到所述后台返回的认证通过响应后,接收所述后台返回的与所述账号信息关联的第一无线设备的参数信息。
[0291]可选的,第一无线设备的所述参数信息是与账号信息关联保存在所述后台的,所述参数信息包括所述第一无线设备的身份识别信息和传输密钥获取因子,传输密钥获取因子包括如下项中的至少一项:所述第一无线设备生成的随机数,所述第一无线设备的设备信息,所述第一无线设备生成的传输密钥。其中,身份识别信息是用于来识别第一无线设备的,例如,可以是第一无线设备的MAC地址、ID、设备序列号等等,本实施例中,第二无线设备在获取到该第一无线设备的身份识别信息后,无需用户选择,就可以自动连接到第一无线设备,提供了无线设备接入的速度,快速高效。通过本实施例的无线设备利用随机数、第一无线设备的设备信息或其组合生成传输密钥,可以避免重放攻击。
[0292]可选的,第二无线设备中的获取模块82,还用于向后台发送请求消息,所述请求消息中包含账号信息,并接收后台发送的响应消息,该响应消息中包含与请求消息中包含的账号信息关联的参数信息。
[0293]生成模块83,用于根据所述参数信息获取传输密钥。
[0294]在获取传输密钥后,可以保存该传输密钥。
[0295]可选的,所述生成模块83用于根据所述参数信息获取传输密钥,包括:
[0296]当所述参数信息包括:所述第一无线设备生成的随机数,和/或,所述第一无线设备的设备信息时,根据所述参数信息生成传输密钥;或者,
[0297]当所述参数信息包括所述第一无线设备生成的传输密钥时,直接从所述参数信息中获取所述传输密钥。
[0298]例如,移动设备接收到响应消息时,可以从响应消息中获取参数信息,参数信息可以包括:随机数,和/或,key的设备信息等。
[0299]本实施例中的参数信息既可能包含生成传输密钥的生成因子(随机数、设备信息)也可能包含传输密钥本身,本实施例可以应对不同的情况,提高了不同场景下获取传输密钥的解决方案,且利用随机数、第一无线设备的设备信息或其组合生成传输密钥,可以避免重放攻击。
[0300]可选的,第二无线设备中的生成模块可以根据获取的参数信息中的随机数以及预设算法生成传输密钥,相应的,第一无线设备也可以根据自身生成的随机数以及与第二无线设备相同的预设算法生成传输密钥,实现传输密钥的获取,完成第二无线设备和第一无线设备的配对。之后,第二无线设备和第一无线设备可以采用该传输密钥进行数据传输。或者,
[0301]可选的,第二无线设备中的生成模块可以根据获取的参数信息中的随机数和第一无线设备的设备信息以及预设算法生成传输密钥,相应的,第一无线设备也可以根据自身生成的随机数,自身的设备信息以及与第二无线设备相同的预设算法生成传输密钥,实现传输密钥的获取,完成第二无线设备和第一无线设备的配对。之后,第二无线设备和第一无线设备可以采用该传输密钥进行数据传输。或者,
[0302]可选的,第二无线设备中的生成模块可以根据获取的参数信息中的随机数和第一无线设备的设备信息,和第二无线设备自身的设备信息,以及预设算法生成传输密钥,相应的,第一无线设备可以获取第二无线设备的设备信息,再根据第一无线设备自身生成的随机数,自身的设备信息,和获取的第二无线设备的设备信息,以及与第二无线设备相同的预设算法生成传输密钥,实现传输密钥的获取,完成第二无线设备和第一无线设备的配对。其中,第一无线设备可以通过与第二无线设备建立连接后交互的信息获取第二无线设备的设备信息,例如,第一无线设备和第二无线设备可以根据连接后交互的信息生成初步的传输密钥,再采用初步的传输密钥第一无线设备获取第二无线设备的设备信息。
[0303]本实施例提供了多种生成传输密钥的方式,增加了生成传输密钥的可能性和复杂性,如果恶意窃取传输密钥者不知道是哪种方式,增加了传输密钥的安全性。
[0304]通讯模块84,用于利用所述第一无线设备的身份识别信息以及所述传输密钥与所述第一无线设备完成接入认证及通讯。
[0305]在本实施例中的一种可选实施方式中,所述通讯模块84,用于利用所述第一无线设备的身份识别信息以及所述传输密钥与所述第一无线设备完成接入认证及通讯,包括:
[0306]所述通讯模块根据所述第一无线设备的身份识别信息找到所述第一无线设备后,请求与所述第一无线设备建立无线连接,在接收到所述第一无线设备认证通过的信息后,使用所述传输密钥对与第一无线设备之间的传输数据进行加解密;
[0307]或者,所述通讯模块外发所述第一无线设备的身份识别信息与所述传输密钥,请求与所述第一无线设备建立无线连接,并在接收到所述第一无线设备认证通过的信息后,使用所述传输密钥对与第一无线设备之间的传输数据进行加解密。
[0308]在本可选实施方式中,第二无线设备无需寻找第一无线设备,而是广播该第一无线设备的身份识别信息,具有该身边识别信息的第一无线设备接收到第二无线设备的接入请求,在认证通过后会与第二无线设备自动建立连接,从而无需用户从提示列表中选择第一无线设备,而是自动与第一无线设备连接,提高了无线设备之间连接的效率,并利用传输密钥加解密,提高了传输数据的安全性,达到了在无线设备之间快速安全的建立无线连接的效果。
[0309]在本实施例中的另一种可选实施方式中,所述通讯模块,用于利用所述第一无线设备的身份识别信息以及所述传输密钥与所述第一无线设备完成接入认证及通讯,包括:
[0310]所述通讯模块根据所述第一无线设备的身份识别信息找到所述第一无线设备后,请求与所述第一无线设备建立无线连接,并将所述传输密钥发送至所述第一无线设备进行认证,在接收到所述第一无线设备对所述传输密钥认证通过的信息后,使用所述传输密钥对与第一无线设备之间的传输数据进行加解密;
[0311]或者,所述通讯模块外发所述第一无线设备的身份识别信息与所述传输密钥,请求与所述第一无线设备建立无线连接,并在接收到所述第一无线设备对所述传输密钥认证通过的信息后,使用所述传输密钥对与所述第一无线设备之间的传输数据进行加解密。
[0312]该可选实施方式与上一可选实施方式的区别在于,第一无线设备对第二无线设备发送的传输密钥进行认证,认证通过后才建立无线连接,进一步保证了建立连接的安全性。
[0313]另一实施例中,参见图9,该设备80还包括:扫描模块85,用于对所述第一无线设备上设置的识别码进行扫描,获取所述第一无线设备的身份设备信息;
[0314]其中,识别码例如为二维码。识别码可以以贴条形式贴在第一无线设备上,或者,第一无线设备上可以设置显示模块,由显示模块显示识别码。
[0315]所述获取模块82用于获取所述第一无线设备的身份设备信息,具体包括:
[0316]从所述扫描模块获取所述扫描模块得到的所述第一无线设备的设备信息。
[0317]本实施例中,第二无线设备可以通过扫描第一无线设备上的识别码来获取第一无线设备的身份设备信息,而不是在无线设备之间的链路上传输该身份设备信息,因此可以保证该身份设备信息的安全性,从而提高获取传输密钥的安全性。
[0318]可选的,参见图9,该设备80还可以包括:
[0319]确定模块86,用于获取校验信息;
[0320]相应的,所述生成模块83用于根据所述参数信息获取传输密钥,包括:
[0321]对所述校验信息进行校验;
[0322]在通过校验后,根据所述参数信息生成传输密钥。
[0323]本实施例中的无线设备可以通过上述校验信息可以对第一无线设备的身份进行认证,保证第一无线设备的合法性,进而保证本实施例中的无线设备获取到的参数信息的安全性,从而进一步保证获取到的传输密钥的安全性。
[0324]可选的,参见图9,该设备80还可以包括:
[0325]更新模块87,用于在所述通讯模块利用所述第一无线设备的身份识别信息与所述传输密钥与所述第一无线设备完成认证之后,向所述后台发送已完成认证指令;接收到所述后台发送的重新绑定指令后,将所述重新绑定指令发送给所述第一无线设备;接收所述第一无线设备重新生成的参数信息,并将所述重新生成的参数信息发送给所述后台。
[0326]需要说明的是,本实施例的无线设备的具体功能可以参见上述方法实施例中的第二无线设备的描述,具体不再赘述。
[0327]本实施例中,第一无线设备和第二无线设备是相互认证的两个无线设备,在认证通过后,两者可以分别利用各自的传输密钥对传输数据加解密。本实施例中的无线设备具有无线功能,例如蓝牙、wif1、NFC、射频等功能。
[0328]在另一个应用示例中,第一无线设备和第二无线设备是指具有蓝牙功能的电子设备,本发明实施例中,以第二无线设备是具有蓝牙功能的移动设备(例如智能手机、平板电脑等),第一无线设备是具有蓝牙功能的智能密钥设备(key,例如工行的U盾,农行的K宝等)为例。
[0329]后台是指服务端,后台可以用于保存账号信息,密码等。在本实施例中,后台还保存参数信息。账号信息例如为银行卡号,或者,用户名等。
[0330]当用户在移动设备上输入账号登录后台后,移动设备中可以包括与key建立连接的模块,并判断key是否在已配对列表中,如果没有,则移动设备中的获取模块向后台发送请求消息。当key在已配对列表中时,表明移动设备与key已建立过连接,移动设备中的模块保存有传输密钥,此时,获取模块可以直接从移动设备的保存信息中获取传输密钥。
[0331]后台中可以对应保存账号信息与参数信息,参数信息例如包括key生成的随机数,和/或,key的设备信息,设备信息例如包括:设备的唯一序列号,数字证书,还可以包括:设备地址等。
[0332]后台根据预先保存的对应关系,可以查找到与请求消息中包含的账号信息对应的参数信息,之后,后台可以将该参数信息发送给移动设备。
[0333]需要说明的是,移动设备和key可以通过搜索并发起蓝牙连接建立后,移动设备和key可以建立连接,通过该连接可以传输数据,只是配对之前的数据没有加密,可以传输一些供连接和配对需要的设备配对特征值,例如,1 Capability, OOB dataflag, AuthReq, Max Enc Key Size, Init Key Distribut1n, Resp Key Distribut1n 等。配对完成后保存了传输密钥,可以进行数据加密传输,可以用于应用层重要数据的传输。
[0334]在另一个应用示例中,第一无线设备和第二无线设备也可以是指具有NFC功能的蓝牙电子设备,例如,以第二无线设备是具有NFC功能的移动设备(例如智能手机、平板电脑等),第一无线设备是具有NFC功能的智能密钥设备(key,例如工行的U盾,农行的K宝等)为例。
[0335]本实施例通过在后台将账号信息与参数信息关联保存,从后台获取参数信息并根据参数信息生成传输密钥,可以从后台获取传输密钥的生成因子或传输密钥,而不是在无线设备之间的链路上传输生成因子,因此可以保证生成因子的安全性,从而提高传输密钥的安全性。
[0336]图10是本发明另一实施例提出的无线设备的结构示意图,该设备可以具体是第一无线设备,例如key,该设备100包括认证模