用于操作电梯系统的方法和用于操作电梯装置的系统与流程

1.本发明涉及用于操作电梯系统的方法、用于操作电梯装置的系统以及根据用于操作电梯系统的方法的可信设备的使用。


背景技术：

2.已知的电梯装置通常包括操作面板，其要求乘客通过从楼层操作面板(lop)呼叫电梯轿厢来操作电梯装置，然后在轿厢操作面板(cop)上选择期望的目的地楼层。两个操作面板都需要用户的实际在场，以允许电梯装置的操作，通常需要按下按钮。
3.从wo2015121294a1已知一种用于通过使用移动无线电(例如在其上安装有应用程序的智能手机)操作电梯装置的先进方法和系统。在该系统中，用户通过应用程序获得关于附近电梯平台及其可能目的地的信息，并可以从轿厢外选择目标楼层。该方法在操作电梯系统时为用户提供了几个优点，并且可以提高乘客的出行舒适度。
4.所述系统利用移动无线电和服务器之间的互联网连接来发送用户请求。由于这样的请求不受物理位置的约束，所以在电梯平台的有限范围内发送低范围识别代码，以由移动无线电接收并在提交请求时转发到服务器。然后，由服务器验证识别代码。这样，只有当移动设备已经接收到有效的识别代码并且因此可以假设其在电梯装置的物理附近时，才可以做出有效的请求，从而模拟由用户激活的物理lop。
5.识别代码保护系统免受不知道识别代码的远程攻击者的拒绝服务攻击。然而，所述系统不受重放攻击的保护，重放攻击可能最终导致拒绝服务攻击，其中攻击者可能会记录一个或多个认证代码，并在稍后从远程位置重放这些代码。因此，需要加强诸如上述电梯装置的安全性，以防此类攻击。


技术实现要素：

6.该目的通过以下描述的特征，特别是独立权利要求的主题来解决。其他有益实施例受从属权利要求、说明书和附图的约束。
7.根据第一方面，该目的通过一种用于操作电梯系统的方法来解决，该电梯系统包括电梯控制器和固定安装的可信设备。该方法包括可信设备创建认证数据包，该认证数据包包含基于预定义数字序列的元素的唯一的、周期性变化的代码，并且可信设备使认证数据包可用。该方法还包括移动设备接收认证数据包，移动设备获得对电梯系统的操作的请求，移动设备向服务器发送移动请求消息，其中移动请求消息包括对电梯系统的操作的请求和请求认证数据。请求认证数据是认证数据包本身或已经将认证数据包发送到服务器(160)并且服务器(160)已经验证了认证数据包之后从服务器接收到的认证令牌中的一个。该方法还包括：服务器基于移动请求消息中包含的请求认证数据来验证移动请求消息的真实性，并且在已经验证了认证数据包之后，服务器向电梯控制器发送指令消息，其中，所述指令消息包括根据对电梯系统的操作的请求来操作电梯系统的指令。
8.根据第二方面，该目的通过一种用于操作电梯装置的系统来解决，该系统包括电
梯控制器、固定安装的可信设备、至少一个移动设备和服务器。所述可信设备被配置为周期性地创建至少一个认证数据包，所述至少一个认证数据包包括基于预定义数字序列的元素的唯一的、周期性变化的代码，其中所述至少一个认证数据包中的最近创建的认证数据包是当前认证数据包。所述可信设备被配置为周期性地使当前认证数据包可被供至少一个移动设备接收，所述至少一个设备被配置成接收所述当前认证数据包，并且其中，所述至少一个移动设备在已经接收到当前认证数据包之后是当前移动设备，其中，所述至少一个移动设备中的当前移动设备被配置为在已经接收到对电梯装置的操作的请求之后向服务器发送移动请求消息，其中，所述移动请求消息包括对电梯装置的操作的请求以及请求认证数据，其中，所述请求认证数据是所述当前认证数据包本身或在已经将所述当前认证数据包发送到服务器并且所述服务器已经验证了所述认证数据包之后从所述服务器接收到的认证令牌中的一个。所述服务器被配置为从所述至少一个移动设备中的当前移动设备接收至少一个移动请求消息，所述服务器被配置为基于所述移动请求消息中包含的所述请求认证数据来验证所述至少一个移动请求消息，并且所述服务器被配置为在所述至少一个移动请求消息已经被验证之后向所述电梯控制器发送指令消息，其中所述指令消息包括根据对所述电梯装置的操作的请求来操作所述电梯装置的指令。
9.在下文中，将讨论本发明的不同实施例。实施例不应被理解为限制本发明。相反，增强和修改在本公开的范围内是完全可能的，特别是这样的情况，例如，专家通过结合说明书的一般或特定部分描述的以及在权利要求书和/或附图中出现的单个特征或方法步骤的组合或修改，并且通过导致新的主题或新的方法步骤或方法步骤序列的可组合特征来针对目标的实现进行推断。
10.系统的部件
11.根据一个实施例，电梯系统或电梯装置(这里也称为电梯)可以包括电梯控制器、固定安装的可信设备、至少一个移动设备和/或服务器。
12.电梯控制器可以是被配置成用于控制电梯的功能的装置，特别是用于控制与电梯的标准操作相关的方面，例如门的打开和关闭或在楼层之间运输轿厢。电梯控制器可以是物理单元，优选地安装在电梯系统附近，例如在电梯的机房中。电梯控制器可以包括几个物理子单元，或者可以实现为一个或多个物理单元或子单元中的软件。
13.电梯控制器还可以被配置为从服务器接收指令消息，其中指令消息优选地包括用于电梯系统的操作的指令，并且其中电梯控制器可以根据指令消息控制电梯。为此，电梯控制器可以包括接口，该接口例如是网络接口，诸如提供基于电缆的以太网连接件或无线调制解调器的接口。该接口可以提供到信息交换基础设施(例如局域网或广域网(例如互联网))的连接。
14.服务器可以被配置为从移动设备接收指令消息。此外，服务器可以被配置为向电梯控制器发送指令消息。为此，服务器可以包括接口，该接口例如是网络接口，例如基于电缆的以太网连接件或无线调制解调器。服务器可以连接到与电梯控制器相同的基础设施，或者使用不同类型或层的信息交换基础设施来向电梯控制器发送一个或多个指令消息。服务器可以是位于任何选定位置处的物理服务器或虚拟服务器，例如云服务器。
15.移动设备可以被配置为向服务器发送移动请求。移动设备可以连接到与服务器相同的信息交换基础设施，或者使用不同类型或层的信息交换基础设施来发送一个或多个移
动请求。在一个示例中，移动设备是个人移动设备，例如智能手机或智能手表。
16.此外，移动设备可以具有用于接收信息的一个或多个附加接口。接口可以是接收器。附加接口可以被配置为用于接收通过可信设备变得可用的认证数据包。附加接口可以是用于将移动设备连接到信息交换基础设施的相同接口，例如无线局域网接口。
17.附加接口还可以是与将移动设备连接到信息交换基础设施的接口不同类型的接口，例如光学接口，例如相机、红外无线接收器或条形码扫描仪，其被配置为读取或接收认证数据包的光学表示，例如qr码、条形码、字母数字串、颜色图案、红外无线传输等。
18.附加接口可以是音频接口、音频机械或机械接口，例如麦克风或振动传感器，其被配置为读取或接收由一系列物理可测量信号(例如声音、振动或噪声，例如旋律、超声波信号或信号突发)、不需要局限于可听声谱并且不需要局限在空气作为传输介质的一个或多个特定多音音符或类似信号编码的认证数据包的表示。
19.附加接口可以是射频接收器，其被配置为当认证数据包被可信设备发送时，优选地通过使用已知的传输协议来接收认证数据包。在一个优选实施例中，附加接口可以是用于接收短程无线电信号的无线接收器，例如蓝牙接收器，然而，诸如ant+、ieee802.15.4、ieee802.22、ism波段实现、nfc、rfid、6lowpan等其他合适的通信标准是公知的替代方案，其所针对的移动设备可以包括接收器。
20.例如，在使用rfid和/或nfc的情况下，可信设备可以是无源设备，即它可能没有电源。可以从移动设备接收用于操作可信设备的能量。
21.移动设备可以是任何移动设备，例如由电梯的潜在用户携带的设备。电梯的使用通常是瞬时的，并且电梯可以被配置为由多个用户使用。因此，移动设备可以是瞬时移动设备。移动设备可以被具体配置为直接或间接地与电梯控制器、可信设备或服务器进行交互。在一个优选的示例中，移动设备可以例如通过使用共同的通用标准、协议或接口，适于在电梯装置和用于操作该电梯装置的方法的上下文中使用，而不需要修改移动设备的硬件。在另一个实施例中，通过在移动设备上安装应用程序，移动设备可以被配置为在所描述的上下文中使用，该应用程序优选地被配置为提供下面详细描述的功能。在另一实施例中，移动设备可以使用安装在其上的标准应用程序，例如网络浏览器。下面将详细描述更多细节。
22.多个移动设备可以单独使用，也可以与电梯或服务器一起使用，或者与多个电梯或服务器同时或不同时间使用。
23.固定安装的可信设备(这里也称为可信设备)可以安装在电梯楼层附近，优选地安装在靠近楼层侧门的区域中。可信设备可以是单个物理单元或子单元的组件，其中子单元可以被分离，使得例如一个子单元被安装在远程位置处，例如电梯机房处，而另一个子单元被安装在电梯平台附近。可信设备可以完全或部分地以软件的形式实现。可信设备可以完全或部分地与电梯控制器或电梯的其他部件组合。可信设备可以是电梯的几个可信设备之一，例如，由电梯服务的几个或所有楼层可以具有安装在相关楼层的一个或多个电梯平台附近的一个或者多个可信设备。
24.优选地，可信设备可以被安装为使得其在电梯的正常操作期间不能被访问，优选地，使得可信设备不能被移除、毁坏、破坏或篡改，例如在封闭的访问面板后面或在电梯井的内部。
25.可信设备可以被配置为使得认证数据包可用，特别是使得认证数据包对移动设备
可用，特别地使得认证数据包仅在电梯平台周围的限制范围内可用。该限制范围可以是高达100米的范围，优选地大约20米的范围。该范围还取决于用于使认证数据包可用的技术。例如，在nfc被用于传输认证数据包的情况下，该范围可能只有几厘米。该范围可能受到障碍物(例如墙壁或天花板)的影响，例如减小或增大(例如通过障碍物、吸收、反射或干扰)；技术人员意识到这种影响，并且可以调整可信设备以使得其考虑到了这些影响。
26.根据一个实施例，数字序列是单调数字序列，特别是严格单调序列。例如，时间可以被看作是一个单调的数字序列。为了生成时间的数字表示，可以使用当前日期、小时和分钟。在同一分钟内，序列的几个元素将具有相同的值。
27.根据另一实施例，数字序列由计数器生成。计数器可以增加1或任何其他数字，以创建数字序列中的下一个元素。每次可信设备创建新的唯一的、周期性变化的代码时，计数器可能会增加。可以通过使用移动设备读取代码来触发新的唯一的、周期性变化的代码的创建。移动设备可能使用近场通信技术来读取代码。
28.可信设备可以使认证数据包可用，以便移动设备可以按照上文所述的有关用于接收认证数据包的方式接收该认证数据包。特别地，可信设备可以包括用于例如在显示器上以qr码或类似代码的形式显示认证数据包的元件。
29.在优选实施例中，可信设备可以包括低功率射频发射器。在一些实施例中，代替低功率射频发射器，可以使用具有类似特性的超声波发射器。低功率射频发射器可以被配置为重复传输包括认证数据包的无线电信号。包括认证数据包的无线电信号的后续传输之间的时间也可能变化。
30.低功率射频发射器通常传输认证数据包，而不管移动设备的存在。在一个示例中，移动设备接收认证数据包不需要移动设备和低功率射频发射器之间的配对。在另一示例中，移动设备不需要移动设备的认证来接收重复发送的认证数据包。
31.在优选实施例中，电梯系统包括若干可信设备，或者一个包括多个低功率无线电发射器的可信设备、显示器或类似方法，以用于使电梯系统的平台或楼层专用的认证数据包可用。在这种配置中，每个认证数据包可以优选地对应于电梯的特定平台或楼层。
32.认证数据包传输
33.同样如上所述，在优选实施例中，可信设备通过使用蓝牙协议重复地传输认证数据包，优选地以非配对或单向蓝牙传输的形式。可信设备可以用作蓝牙低能量信标。可信设备还可以包括用于显示认证数据包的表示(例如qr码)的显示元件。可信设备还可以重复地发射超声波信标，该超声波信标包括打包在其中的被编码的认证数据。
34.在另一个优选实施例中，其他技术用于将认证数据包从可信设备传输到移动设备，例如近场通信或rfid。
35.当认证数据包在可信设备的通信范围内时，移动设备可以接收该认证数据包。通信范围取决于可信设备所使用的通信技术。移动设备可以例如经由安装在其上的应用程序被配置为利用内置蓝牙接收器、内置相机、内置麦克风或任何其他合适的接收器来接收认证数据包。该应用程序还可以为用户显示选择选项，以作出对于电梯的操作的请求，例如选择目标楼层。移动设备可以经由内置接口(例如wlan接口)或经由移动蜂窝网络(例如gsm、umts、5g或其他)连接到互联网。
36.在用户已经针对电梯的操作做出选择之后，移动设备可以以移动请求消息的形式
传输对电梯的操作的请求以及认证数据包。
37.移动请求消息中包含的认证数据包可以是原始认证数据包，或者可以由移动设备对认证数据包执行函数，例如压缩函数、编码函数、校验和计算、对称或非对称加密或任何其他类似函数。在优选实施例中，认证数据包可以由服务器完全恢复，即由移动设备执行的函数是可逆的。在另一实施例中，移动设备可以执行不可逆的函数，例如散列函数或加密函数。
38.移动设备可以被配置为接收多个认证数据包，并且在应当发送移动请求消息时(例如，当用户针对电梯的操作做出选择时)，执行要被包含在移动请求消息中的各种认证数据包。移动设备可以存储若干个认证数据包，例如通过将数据包存储在缓冲器中，例如在最后30秒内接收到的数据包。在一个示例中，移动设备存储关于数据包的元数据，例如信号强度、信噪比或接收时间，并且在优选实施例中，选择在允许时间(例如最后10秒)内已经接收到的并且具有高于任意阈值(例如20db)的信噪比的具有最高信号强度的认证数据包。这可以允许移动设备选择由最近的可信设备传输的认证数据包，即使当多个可信设备在范围内时，例如当单个楼层上存在多个电梯时。
39.移动设备可以经由诸如互联网的通信网络传输移动请求消息，优选地将要由服务器接收该移动请求消息。数据包的传输可以具有单向性质，即不需要服务器与移动设备建立双向连接，例如移动设备与服务器之间的认证握手所需的双向连接。
40.移动设备和服务器之间的通信可以经由固有的双向协议(例如tcp或基于tcp的协议)来执行，然而，本领域技术人员理解，在这种情况下，低层通信(例如由服务器发送的包接收的确认)不构成双向通信。此外，所描述的方法或系统的单向性质不排除服务器和移动设备之间出于无关目的的其他通信。
41.在操作电梯的情况下不需要服务器响应是本文提供的针对对象的解决方案的有益结果。
42.在已经接收到移动请求消息之后，服务器可以被配置为基于认证数据包来验证移动请求消息。为此，可以根据下面描述的认证和验证过程来分析移动请求消息中包含的认证数据包。在优选实施例中，分析使得服务器允许有效的请求，并拒绝无效的请求。在另一个优选实施例中，认证数据包包括关于认证数据包的创建时间的信息，并且服务器可以分析认证数据包，使得它可以获得关于认证数据包的创建时间的信息。在优选实施例中，服务器可以基于包含在移动请求消息中的认证数据包的年龄来拒绝对电梯系统的操作的请求。
43.服务器还可以被配置为转发移动请求消息中包含的对电梯系统的操作的请求。在优选实施例中，对电梯系统的操作的请求作为指令消息转发。服务器可以将指令消息转发给电梯控制器。服务器可以经由一个或多个中间模块、节点、计算机或控制器转发指令消息，该一个或多个中间模块、节点、计算机或控制器可以直接转发指令消息、或者将指令消息存储一段时间、或者在发送指令消息之前修改指令消息。服务器和电梯控制器之间的连接可以是互联网连接，优选地是安全连接。
44.根据一个实施例，作为向服务器发送带有移动请求消息的认证数据包的替代方案，移动设备通常刚好在已经从可信设备接收到认证数据包之后向服务器发送认证数据包。在已经接收到认证数据包之后，服务器可以被配置为验证认证数据包。为此，可以根据下面描述的认证和验证过程来分析认证数据包。在服务器已经成功验证认证数据包的情况
下，则认证令牌被发送回移动设备。出于验证请求消息的目的，可以将认证令牌作为请求认证数据的一部分发送。
45.认证数据包创建和验证
46.在一个实施例中，创建认证数据包，使得其包括基于预定义数字序列的元素的唯一的、周期性变化的代码。在该实施例中，数字序列是时间，元素是当前时间。如所述，其他实施例也是可能的。代码可以是唯一的，使得代码可以独占地归属于创建代码的单个可信设备，例如代码可以包括可以从中推导出或验证代码是由特定可信设备创建的信息。代码可以包括可信设备的唯一标识符，或者可以被编码为使得编码可以被唯一标识。为了实现这种唯一性，本领域技术人员已知编码、加密或签名代码的几种可能方法。
47.代码还可以周期性地改变。代码可以包括与创建代码的当前时间有关的信息。可以以可变间隔执行周期性变化，其中间隔可以是随机的。周期性变化也可以与时间的流逝有关，例如，其中周期性反映了特定时间间隔的流逝。代码的周期性变化可以基于当前时间。代码可以相对于预设的过期时间而改变，使得每个代码对于预定义的时段有效，其中代码改变反映了先前时段的结束。
48.代码也可以周期性地改变，使得该改变不直接与时间的流逝相关，例如以随机间隔，而是使得代码包括关于当前时间的信息，在这种情况下，可以理解，代码基于当前时间，而周期性改变不基于当前时间。
49.在一个实施例中，服务器可以通过验证认证数据包中包含的代码、通过执行与以上所述的编码、加密或签名的方法相关的加密函数或其相应函数来验证认证数据包。
50.该函数可以提供关于被编码或存储在代码中的当前时间的信息，并且该函数可以提供关于创建代码的可信设备的身份的信息。通过将所述函数直接或间接地应用于代码，服务器可以识别创建代码的可信设备，并识别代码创建的时间或代码创建的时段。
51.服务器可以拒绝包括无效代码的认证数据包。服务器可以识别代码是否已经被不是可信设备的设备损坏或创建。服务器可以进一步识别代码是否是在过期日期之前被创建的，并拒绝太旧的认证数据包。
52.下面详细呈现了用于创建和验证认证数据包的各种方法。
53.以下一般方面涉及对象的解决方案的进一步实施例：
54.根据一个方面，服务器包括密钥列表，并且密钥列表包括与可信设备的认证密钥相对应的密钥。
55.根据一个方面，由电梯系统的可信设备创建认证签名，并且使用存储在电梯系统的可信设备内的私有认证密钥创建认证签名。
56.根据一个方面，服务器包括公钥列表，并且公钥列表包括与可信设备的私有认证密钥相对应的公钥。
57.根据一个方面，服务器被配置为当时间戳(可选地与期满指示符结合)指示认证数据包已经期满时，拒绝对电梯系统的操作的请求。
58.根据一个方面，移动设备存储关于所接收的认证数据包的元数据，其中，有关认证数据包的元数据包括下列中的一项或多项：接收到相应认证数据包的时间、相应数据包传输的信号强度、在一段时间内接收到认证数据包的可信设备的数量，以及传输数据，例如传输相应认证数据包的信道、频段或频率。
59.根据一个方面，对电梯系统的操作的请求是用户请求。
60.根据一个方面，对电梯系统的操作的请求是不是由用户生成的请求，优选地是自动生成的请求。
61.从属权利要求给出了本发明的其他方面或优选实施例。
附图说明
62.图1用于操作电梯装置的系统
63.图2用于创建和验证认证数据包的方法
64.图3用于创建和验证认证数据包的替代方法
65.图4用于创建和验证认证数据包的替代方法
66.在附图和下面的描述中阐述本说明书中描述的主题的一个或多个实施方式的细节。其他潜在特征、方面和优点将从说明书、附图和权利要求书中变得明显。
具体实施方式
67.图1的实施例描述了一种电梯系统100，其适用于执行如本文所描述的用于操作电梯装置的方法。其他已知的电梯系统可能适合于执行用于操作电梯装置的方法，例如从wo2015121294a1中已知的电梯系统，图1的电梯系统基于该电梯系统，前提是电梯系统的部件被相应地配置。
68.电梯系统包括具有电梯竖井112的电梯装置110、可移动地安装在电梯竖井内的轿厢114、以及多个楼层116a、116b，电梯轿厢可以在它们之间移动以在楼层116a、b之间运送乘客。电梯装置还可以包括电梯系统100的附加部件。
69.该系统还包括电梯控制器120。电梯控制器控制电梯，例如控制轿厢114在楼层116a、116b之间的行进。
70.电梯系统还包括可信设备130a、130b。可信设备周期性地创建认证数据包170a、170b，并周期性地使认证数据包170a、170b可用以由移动设备140接收。
71.认证数据包通常以0.01秒至24小时的间隔周期性地改变，例如以1秒至60分钟或1秒至60秒的间隔。认证数据包通常包括基于当前时间的唯一的、周期性变化的代码。代替使用时间，也可以使用任何其他合适的预定义数字序列来代替时间。以下详细描述了示例；例如，可能的序列是自然数，它们易于处理和/或计算。但任何其他序列也是可能的，但这可能更难处理。与认证数据包有效的时间相关的认证数据包的属性，如到期指示符或时间段，也必须适应所选的数字序列。该代码可以是密码摘要的代码，也可以是密码保护的代码。认证数据包通常包括到期指示符，该到期指示符表示认证数据包变得无效之后的时间跨度或认证数据包变得无效的时间。
72.在图1的实施例中，可信设备130a、130b包括蓝牙低能量发射器，其周期性地发射蓝牙无线电信号132a、132b，其包括在其中被编码的认证数据包170a、170b。
73.蓝牙无线电信号132a、132b可以是单个蓝牙包或多个包的序列，例如当单个蓝牙包的有效载荷大小不足时。重复的蓝牙传输之间的间隔通常低于认证数据包创建的间隔，使得相同的认证数据包170a、170b可以在认证数据包170a、170b改变之前被传输几次。蓝牙无线电信号132a、132b可以每10-2000毫秒被传输一次，例如每100-1000毫秒或每300毫秒、
600毫秒或900毫秒。原则上，可以选择更短或更长的间隔，例如每1毫秒或每10秒。
74.通过可信设备130a、130b变得可用的认证数据包170a、170b包含对于每个可信设备唯一的代码，使得认证数据包170a与可信设备130a相关联，并且认证数据包170b与可信设备130b相关联。此外，如果序列是基于时间的，则代码基于当前时间周期性地改变，如稍后详细描述的。也可以使用另一个触发器，例如检测可信设备前面的人、读取出认证数据包等，而不是使用时间来改变数字序列中的下一个元素。
75.理想地，每个可信设备130a、130b对于每个楼层116a、116b是唯一的，使得每个认证数据包170a、170b与特定楼层116a、116b相关联。在多个电梯被布置成彼此相邻的情况下，则每个可信设备对于每个楼层上的每个电梯也可能是唯一的。
76.蓝牙无线电信号132a、132b具有低发射功率，使得仅当移动设备140在可信设备130a、130b之一附近时，移动设备140才能接收到蓝牙无线电信号132a、132b。优选地，选择发射功率使得移动设备140只能在距离可信设备130a、130b小于20m、10m或5m时才能接收到信号。理想情况下，可信设备130a、130b的位置被选择为使得蓝牙无线电信号132a、132b被阻止到达目标楼层116a、116b之外，从而在无线电信号之间没有串扰。
77.在图1的示例中，移动设备140在范围内并且被配置为从可信设备130a接收蓝牙无线电信号132a。在蓝牙无线电信号132a内编码的是临时存储在移动设备上的认证数据包170a。
78.然后，用户142选择用于电梯装置的操作的选项，例如，从移动设备上显示的楼层列表中选择目标楼层，以及可能的其他可用属性，例如，指示用户142将需要轿厢中的额外空间来运输货物或随行乘客的选项。
79.当已经做出选择时，移动设备140将选择与认证数据包171a一起编码在移动请求消息172中，并将移动请求消息172发送到服务器160。认证数据包170a可能是请求认证数据171。下面描述另一种可能的实施方式。
80.在该示例中，互联网150用于移动请求消息172的传输；因此，移动设备140和服务器160都经由适当的接口被连接到互联网150。例如，移动设备140可以使用到本地网络的wlan连接，该wlan连接经由本地网关提供对互联网的访问，或者它可以使用诸如lte或任何其他标准的蜂窝网络连接来进行数据传输。可以使用任何可用的传输协议来发送移动请求消息。
81.当服务器160接收到移动请求消息172时，它验证移动请求消息170。为此，服务器对移动请求消息172中包含的认证数据包170a进行分析，并且检查认证数据包170a是否已经由已知的可信设备130a发出，并检查认证数据包170a是否已经在允许的时间间隔内发出，例如在最后10分钟、5分钟、1分钟或10秒内发出。认证数据包170a包括服务器用于执行验证所需的信息。
82.在服务器160已经验证了移动请求消息172之后，它将指令消息174发送到电梯控制器120。指令消息174包括用于电梯装置的操作的指令。指令消息可以对应于由移动请求消息172表示的用户请求，或者可以根据服务器160中包括的或由服务器160执行的规则或过程来操作指令消息，例如，用于优化汽车路线、选择用户的优先级、拒绝选择用户等的程序。在指令消息174被发送到电梯控制器120之前，服务器160可以接收多个移动请求消息172。
83.在该示例中，互联网150用于将指令消息174传送到电梯控制器120；因此，服务器160和电梯控制器120都经由适当的接口连接到互联网150。优选地，服务器160和电梯控制器120使用安全协议来传输指令消息174，然而，指令消息174也可以包括单独的认证数据包，该单独的认证数据包允许电梯控制器120验证指令消息174的真实性，从而可以使用不安全的连接。
84.最后，电梯控制器120根据指令消息174中包含的一个或多个指令来控制电梯装置110的操作。
85.图2显示了用于创建和验证认证数据包170的方法200。该方法优选地由可信设备130a和服务器160执行。针对其他可信设备(如130b)的过程可以相同。在该实施例中，可信设备130a包括密钥202a，这里表示为“key_a”。可信设备还包括用于计算时段204的装置，这里表示为“epoch”。时段204表示具有定义的开始时间和结束时间的时间间隔，即开始时间之后是持续时间。因此，纪元204序列是预定义数字序列的示例。每个时段204都是数字序列的元素。
86.可以用各种方式表示时段。在一个示例中，时段可以是时间代码，例如utc时间代码或unix时段。时段也可以用所定义的任意起始时段以来过期的时段的数量表示。
87.每个时段的到期间隔通常是预定义的，并且由可信设备130a和服务器160所知。时段的持续时间也可以是可变的，只要服务器160和可信设备130b都知道时段创建的过程。
88.在由可信设备130a执行的步骤210(“c”)中，密钥202a与时段204级联。级联函数由符号208(“||”)表示。然后，函数206对该级联或其代表子集进行散列，以形成认证数据包170，这里表示为“ap”。认证数据包170可以在散列之后被截断。
89.函数206可以是任何合适的散列函数。函数206优选地是加密散列函数，即不允许在不付出很大努力的情况下从认证数据包170重建密钥202a的散列函数。合适的散列函数的示例是sha-2、sha-3、ripmed-160、whirlpool等。函数206还可以是加密函数，优选地使用密钥202a作为加密密钥，或者可信设备130a和服务器160二者都知道的任何其他密钥。
90.在服务器160已经接收到认证数据包170之后，服务器160执行根据步骤220-224的验证(“v”)。
91.服务器160包括与有效可信设备130a、130b相关联的有效密钥202a、202b(“key_a，key_b”)的列表。服务器可以计算、查找或以其他方式获得当前有效时段214、215(“val.epoch 1，val.epoch 2”)，它们表示由任何可信设备或特定可信设备(例如可信设备130a)创建的认证数据包有效的时间间隔。优选地，有效时段214、215表示最近过去的有限数量的时段，例如最近的两个相邻的30秒长时段，这通常对应于在由服务器接收到认证数据包之前60秒内创建的认证数据包。
92.为了验证认证数据包170，服务器160将已知的有效密钥202a、202b与有效时段214、215级联起来，并对密钥和时期的每个组合执行函数206。将每个结果与所接收的认证数据包170进行比较。在给定示例中，步骤224的结果与认证数据包170相同，并且服务器160得出结论，已经在有效时段215内使用可信设备130a的密钥202a创建认证数据包。因此，服务器已经验证了认证数据包，并可以执行图1中所描述的以下步骤。
93.在已经验证了认证数据包170之后，可以省略对密钥202a、202b和时段214、215的其他组合的进一步验证。如果没有找到密钥和时段的有效组合，则服务器可以执行根据步
骤230(“r”)的进一步的步骤。这里，类似于步骤220-224，尝试无效或过期的时段216。即使当获得与认证数据包170相对应的结果时，由于时段216已经过期，认证数据包将被拒绝。
94.对过期的认证数据包的主动搜索提供了一个好处，因为可以识别重放攻击是否正在进行，例如，当使用过期时间长的认证数据包时，或者如果发现即使在过期时间长的时段中也找不到匹配，则不可信设备正在试图使用不可信密钥来创建认证数据包。
95.图3显示了用于创建和验证认证数据包170的替代方法300，类似于方法200。仅讨论与方法200的相关差异。
96.在步骤310(“c”)中，可信设备130a创建认证数据包170，然而，可信设备130a不是执行密钥202a(“key_a”)与当前时段的级联208，而是通过在密钥202a上连续执行函数206或先前函数310、312的结果(“key_a1，key_a2
…”
)，基于密钥202a构建散列链。
97.根据可信设备130a的初始化时间与当前时间之间的时间间隔304(“t1，t2，t3，
…
，t
n”)的数量来执行函数206，从而将迭代次数与自初始化以来过期的时段的数量相关联。这里的初始化表示任意时间点，其可以对应于或可以不对应于可信设备130a的初始化时间。初始化日期对于可信设备130a和服务器160都是已知的，并且可以在服务器160和每个可信设备130a、130b之间单独同步，或者可以对于所有可信设备130a、130b和服务器160是共同的。每个时间间隔304的长度通常是预定义的，并且由可信设备130d和服务器160所知。每个时间间隔的长度也可以是可变的，只要服务器160和可信设备130a都已经知道时间间隔变化的过程。
98.在服务器160已经接收到认证数据包170之后，服务器160执行根据步骤320的验证(“v”)。为此，服务器随后对验证起始密钥302(“key_a
n”)或结果密钥320、322(“key_a
n+1
，key_a
n+2
，
…”
)执行函数206，直到其找到与认证数据包170匹配的结果密钥324(“key_a
n+m”)。根据服务器160已知的密钥数量，可能需要执行如上所述的大量散列链搜索。
99.优选地，起始密钥302被选择成使得当前时间和起始密钥302之间的时间间隔206(“t
n+1
，t
n+2
，t
n+3
，
…
，
tn+m”)的数量对应于针对方法200所描述的有效时段的数量。这减少了服务器160所需的计算的数量，因为可以得出结论，当找到匹配结果时，已经在有效时段内产生认证数据包170a。此外，可以预先计算预期的认证数据包，并且可以将其存储在查找表或数据库中。服务器160和可信设备130a之间可能会发生一定的去同步，这可以通过允许未来的时段(例如，接下来的1-5分钟)来补偿。可以由服务器160执行时间漂移的自动调整。
100.为了根据方法步骤230识别过期的认证数据包，起始密钥302还可以是初始化时的密钥202a，或者是在初始化和对应于当前时间或任意未来时间的密钥之间创建的任何密钥。
101.如针对图2和图3所描述的基于散列的认证数据包创建和验证的好处在于，只需要从可信设备130a、130b传输少量数据到移动设备140和服务器160，因为散列函数206的结果可以被截断而不会造成安全性的重大损失，例如，被截为长度为20字节，这将允许根据蓝牙4.0规范在单个蓝牙低能量包中发送认证数据包。
102.图4a-4d显示了用于创建和验证认证数据包170的其他可选方法400-403。图4a-4d的各个实施例包含相同或相似的特性或函数，因此在下文中，将仅描述各个实施例之间的差异。
103.在图4a中，呈现了方法400，其包括由创建实体(优选地由可信设备130a、130b)执
行的用于创建认证数据包170的方法步骤420，，以及由验证实体(优选由服务器160)执行的验证步骤422。创建实体和验证实体都知道对称密钥430。
104.在步骤420中，准备唯一标识符410(“id”)和时间戳412(“time”)，例如通过创建两个值的序列化表示，例如通过以标记语言(例如xml或json)编码这些值。唯一标识符410可以是创建设备唯一的任何值，例如随机数、mac地址或uuid。时间戳412可以是表示时间的任何值，其中时间可以是任何已知编码中的实际时间、时段、计数器等。时间戳，或者更准确地说是一系列时间戳，是如上面已经提到的时段，一个预定义的数字序列的例子。每个时间戳都是预定义数字序列的一个元素。时间戳还可以包括到期指示符，例如第二时间戳，其指示认证数据包(170a)到期的时间。通过包括到期指示符，可以为每个可信设备130a、130b可变地选择到期时间，这允许可信设备130a、130b更好地适应电梯系统100的特定要求。
105.然后，创建实体(例如可信设备130a、130b)通过使用对称加密算法和对称密钥430对准备好的值410、412进行加密。表示值410、412的加密值包含在认证数据包170中。可以使用任何对称加密算法，如aes、triple des、blowfish等。
106.在步骤422中，由验证实体(例如，在已经接收到认证数据包170之后由服务器160)通过使用对称密钥430根据对称加密算法反转加密来执行解密。解密后，唯一标识符410和时间戳412都可用于验证实体，使得验证实体可以验证认证数据包170是否有效。验证实体可以包括与不同创建实体相关联的若干对称密钥430的列表，并且如果无法获得创建实体的进一步知识，则尝试从密钥列表中选择不同的密钥，直到可以执行成功解密。
107.由于只有利用对称密钥430才有可能进行加密和解密，因此只要对称密钥4300不被破坏，就不可能发生第三方攻击。
108.在图4b中，呈现了方法401，其显示了对方法400的改进。不是由表示值410、412的加密值形成认证数据包170，而是由创建实体根据唯一标识符410和具有对称签名密钥432的时间戳412计算加密签名414(“sig”)。加密签名可以类似于表示方法400的值410、412并由相同算法计算的加密值。出于实用性的原因，签名414随后也可以在加密之后被截断或以其他方式缩短到实际长度，使得加密或签名函数不能被逆转，但使得签名414仍然可以被使用和验证为密码签名或密码指纹。可以使用除用于针对方法400所描述的对称加密的加密算法之外的其他加密算法。特别地，可以使用特别适合于对称签名创建的算法。
109.然后，根据明文唯一标识符410、明文时间戳412和加密签名414组装认证数据包。
110.对于通过验证实体的验证(未示出)，优选地在已经接收到认证数据包170之后由服务器160进行验证，可以首先检查明文唯一标识符410和明文时间戳412。
111.如果两个值都有效，则可以通过执行与创建实体相同的签名计算来检查签名，如上所述。理想情况下，验证实体可以将对称签名密钥432与认证数据包170中包含的唯一标识符410相关联。这允许验证实体存储若干对称签名密钥422，例如，与每个唯一标识符410相关联的一个或多个可能的密钥。
112.如果验证实体使用已知与创建实体相关联的密钥进行的计算得出与签名414相同的值，则认证数据包有效。
113.代替对称签名密钥432，非对称密钥对可以与非对称签名算法(未示出，对于可能的算法，参见方法402，图4c)一起使用，其中使用对签名实体已知的私钥进行签名，并且可以使用对验证实体已知的对应公钥436进行验证。公钥436可以用作唯一标识符410。
114.图4b的方法的优点是，唯一标识符410和时间戳412以明文形式包含在认证数据包中。因此，在不知道如何执行验证的情况下，或在尝试验证之前，无效或过期的认证数据包可以被识别和/或拒绝，例如，被移动设备或服务器识别和/或拒绝。
115.在图4c中，呈现了方法402，其显示了对方法401的改进。除了唯一标识符410和时间戳412之外，签名实体和验证实体二者都已知的公钥436(“pub.key”)包含在认证数据包170的明文部分中。公钥436可以替代唯一标识符410。明文部分用签名实体已知的私钥434(“priv.key”)签名，以形成签名414。明文部分与签名414一起构成认证数据包170。公钥436对应于用于对明文部分签名的私钥424。
116.可以使用任何适用于创建加密签名的执行公钥加密(也称为非对称加密)的方法。已知的算法包括rsa、dsa、rabin签名算法和各种其他算法。
117.方法404的优点是，任何中间实体(例如移动设备140)都可以使用其中包括的公钥436来执行认证数据包170的部分验证。这允许中间实体验证认证数据包的数据完整性，并识别伪造。
118.另一个好处是，只有创建实体(例如可信设备130a、130b)需要知道私钥的事实。验证实体可以通过知道公钥434是否对应于已知的可信设备来完全验证认证数据包170。因此，即使服务器受到威胁并且公钥列表被潜在攻击者获取，签名设备的签名也不能被伪造。
119.在图4d中，呈现了方法403，其显示了对方法402的改进。除了唯一标识符410、时间戳412和公钥436之外，认证数据包170的明文部分中还包括证书440(“cert”)。然后，根据方法402执行认证数据包170的创建和验证。
120.证书440提供了一种用于独立验证认证数据包170的明文部分中包含的公钥436的方法。基于对公钥436的验证，验证实体或中间实体可以断定创建实体是否是已知的创建实体，例如可信设备130a、130b。如果证书无效，可以进一步断定认证数据包是无效的。证书440可以替换唯一标识符410。
121.证书440可以包括通过使用如本文所描述的非对称签名算法而获得的公钥436的签名。该证书优选地由证书颁发机构(未示出)创建，该证书颁发机构包括仅为证书颁发机构所知的私钥。证书颁发机构的公钥理想情况下可供任何设备使用，或者可以向证书颁发机构请求并由其提供。
122.此外，证书颁发机构可以撤销证书，例如，当私钥434已经丢失或泄露时。可以根据实现公钥基础设施的任何方法来颁发、验证、撤销、存储、分发或注册证书。
123.证书的使用允许验证实体或任何中间实体通过首先验证证书是否有效来验证由任何创建实体创建的任何认证数据包。
124.在一个简化的示例中，证书颁发机构已知的单个私有证书密钥用于对所有创建实体的证书进行签名。验证实体已知相应的公共证书密钥。然后，验证实体可以在不知道创建实体的公钥436的情况下，通过验证证书440是否对应于用私有证书密钥签名的公钥438来验证该公钥436，通过首先验证公钥436来验证认证数据包。如果公钥436有效，则如上所述，使用经验证的公钥436核对唯一标识符410和时间戳412。
125.这样做的好处是，不需要验证实体访问已知创建实体的列表，同时仍然允许验证有效的认证数据包。
126.下面将参考图1解释上述电梯系统的一种变型。仅描述差异。
127.在该示例中，可信设备130a、130b使用例如近场通信技术(简称nfc)将数据从可信设备130b、130a传输到移动设备140，然而，可以使用任何其他技术将数据从可信设备130b、130a传输到移动设备140。该示例的每个可信设备130a、130b使用用于生成数字序列的计数器，而不是基于时间(例如上述时段)的预定义数字序列。每当移动设备140从相应的可信设备130a、130b读出认证数据包170a、170b时，计数器增加一。当前计数器值用作唯一的、周期性变化的代码所基于的预定义数字序列的元素。因此，例如，预定义数字序列是自然数。因此，周期性变化的代码的周期不是恒定的持续时间。它由nfc信号的两个后续读数来定义。
128.在从可信设备130a、130b到服务器160的传输期间，通过使用时间作为预定义的数字序列或时间相关的数字(例如时段或时间戳)的以上关于可信设备130b所描述的各种方法，保护序列的元素免受操纵。
129.此外，为了保护电梯系统免受诸如重放攻击的各种攻击，服务器160跟踪预定义数字序列的被接收到的元素。最简单的系统存储预定义数字序列的被接收到的元素，并且只允许尚未被接收到的元素。
130.各种改进或变化是可能的。例如，与上面讨论的时间戳和时间戳的相关有效期类似，只有数字序列中最后被接收到的元素周围的某个范围内的元素被接受为有效元素。另一种可能性是只接受在最后一个被接收到的元素之后的数字序列中的元素作为有效元素。
131.如果计数器每次增加一，则可以通过检查元素(其是自然数)是否大于最后被接收到的元素来完成。因此，服务器160只需要存储最后被接收到的元素，该元素对于跟踪服务器160上的预定义数字序列是有效的。
132.图5显示了图1中所示的电梯系统的变型和上述电梯系统的变型。在下文中，仅描述了差异。
133.代替如上文参考图1所描述的将认证数据包170a作为移动请求消息172的一部分发送，还可以基本上直接或在移动设备140已经接收到认证数据包170a之后立即将认证数据包170a转发到服务器160。
134.例如，认证数据包170a可以是链接的一部分，该链接被从可信设备130a传输到移动设备140。移动设备140使用web浏览器应用程序打开被接收到的链接，并且通过打开该链接也将认证数据包170a发送到服务器160。通常，服务器的互联网地址包含在链接中。
135.服务器160检查认证数据包170a的有效性，如上文关于图1至图4所描述的。如果认证数据包170有效，则服务器160将认证令牌173发送回移动设备140，例如，连同用于请求电梯服务的web界面。
136.由于认证数据包170a直接或在移动设备140已经接收到认证数据包170a之后立即被发送到服务器160，所以有效期可以非常短，例如几秒或几分钟。如果预定义的数字序列由如上所描述的计数器实现，则可以通过要求只接受大于最后被接受的数字的数字来实现。
137.移动设备140的用户可以在其移动设备140上所显示的网页上选择目标楼层或目的地，该网页发送回包括对电梯系统100的操作的请求的移动请求消息172。认证令牌173也作为移动请求消息170的一部分被发送到服务器160。在该示例中，认证令牌173形成请求认证数据171。
138.服务器160检查认证令牌173的有效性，如果令牌173有效，则向电梯控制器120发
送指令消息174。认证令牌可能只在某个时间段内有效。
139.本文描述的系统和方法通过提供一种不仅基于可验证的身份，而且基于认证数据包中包含的可验证的时间分量来验证认证数据包的方法来提高电梯系统的安全性。通过实施所描述的方法，只有当用户当前处于可信设备附近时，才能对电梯系统的操作发出有效请求，从而阻止恶意第三方从远程位置执行拒绝服务攻击。
140.此外，本文描述的系统和方法可以在不需要对移动设备进行额外修改的情况下实现，从而在不降低用户体验的情况下提高安全性。