专利名称:一种无线设备间进行连接认证的方法
技术领域:
本发明涉及无线通信应用领域,特别是指一种无线设备间进行连接认证的方法。
对于主从方式的连接,一般由主设备来进行集中管理,如介入管理、认证管理等;从设备的功能相对简单,主设备需要具有比从设备更强的计算能力。
对于对等方式的连接,是将控制功能分布到各个设备中去,任意两个设备之间可以直接通信,无须设置中心转接站。所有设备使用相同的数据传输协议,设备之间的通信是对等的。对等连接方式的优点是设备之间相互平等,结构简单容易维护,具有良好的可靠性和可扩展性。
但是,对于采用对等方式通信的无线设备(以下为了方便描述,所述的无线设备均采用对等方式通信),因为这些无线设备具有很强的移动性,所以就使得一些在固定环境中根本就不存在或很容易解决的问题都突显了出来,如无线设备的彼此区分、连接的双向认证及数据安全的保证等。现有技术都不能很好地解决这些问题。
首先,像使用手机那样用一个固定号码来区分设备的方法不适合无线设备的彼此区分。因为手机号是由电信局统一分发的,是唯一的,所以通过这个固定号码就可以区分彼此的手机。然而,对于PDA、笔记本电脑等设备,没有一个机构统一为它们分发号码,因此也就不存在可以区分这些无线设备的固定号码。
其次,用使用者的名字来区分无线设备也是不可行的。采用这种方法,重名的可能性非常大,在中国尤其如此。另外,当一名使用者的两台设备都进行对等通信时,如笔记本电脑和PDA同时进行对等通信时,也将无法区分,而且,使用名字很容易被他人伪造,不利于数据的安全性。
再次,传统的用户名加密码的认证方式也不适用于无线设备间的连接认证。无线设备一般移动性很强,接入的无线设备会随着环境的变化而变化,通常无法预料需要接入的人,因此无法事先为其他用户添加用户名和密码。在初次建立连接时添加用户名和密码,每次建立连接时都要通过用户名和密码进行认证,又会为用户造成应用上的不便。随着用户数量的增多,对用户名和密码的管理会越来越困难。而且用户名和密码存在被他人窃取的可能,同样不利于数据的安全性。
此外,在公司或办公室里常用的基于服务器的认证方式同样不适用于无线设备间的连接认证。基于服务器的认证方式要求任何想要接入网络的设备必须先通过认证服务器的认证。而对于经常移动的无线设备而言,在很多情况下,周围的环境里根本就没有服务器,基于服务器的认证也就无从谈起。
为了达到上述目的,本发明提供了一种无线设备间进行连接认证的方法,所述的无线设备采用对等方式在小范围内进行通信,其特征在于包含以下步骤A、在一个连接发起设备的控制下,该小范围内的每一个设备均计算出各自唯一的特征码,并在屏幕上显示;B、连接发起设备和连接接受设备根据用户口头交换的特征码,进行双向连接认证。
步骤A可以包含以下步骤该小范围内的设备各自生成本设备的特征码;一个连接发起设备广播设备查找消息,并接收该小范围内的设备返回的设备特征码,如果特征码有重复,连接发起设备向相应设备发送特征码重复的消息,相应设备收到此消息后,重新生成特征码并发送给该连接发起设备,如此反复,直至连接发起设备收到的任何两个设备的特征码都不相同。
较佳地,步骤A进一步包含以下步骤连接发起设备比较各个设备特征码的个位数,如果仅凭个位数就能够区分各个设备,则仅仅显示个位数,否则再比较十位数、百位数,直至显示的位数足以区分所有设备;连接发起设备将最短位数信息发送给各个设备,各个设备收到此消息后,在本机屏幕上仅显示最短位数。
各个设备可以将本设备特征码的最短位数,仅用于屏幕显示而在程序处理中仍使用完整的特征码,或者将本设备特征码的所述最短位数,作为本设备新的特征码而在屏幕显示和程序处理中均予以使用。但推荐优先使用前面的方法。
在该小范围内的设备各自生成本设备的特征码的步骤中,将本设备的以太网卡硬件地址(MAC地址)依据其数据长度平均分成两段并相加,在此结果上再叠加设备运行的时间和设备内部生成的随机数,将最后的结果作为本设备的特征码。
步骤B包含以下步骤连接发起设备和连接接受设备的用户口头交换各自设备的特征码;连接发起方用户根据连接接受方用户告诉的特征码选择所要连接的设备,并指令连接发起方设备以本设备的特征码为凭据发送连接请求;连接接受方用户读取连接发起方设备的特征码,并判断是否接受连接请求。
本发明通过唯一特征码生成方法,实现用户参与的双向连接认证。因为认证以唯一特征码为依据,保证了特征码的唯一性;并且唯一特征码是由无线设备自身生成,用户只能看到而无法修改,所以这种方法可以很好地防止非法用户的恶意假冒。由于认证需要得到用户双方的确认,所以这种双向认证保证了连接的可靠性和数据的安全性。
图1示出了依据本发明的一个较佳实施例的方法示意图。
本发明通过唯一特征码生成方法及用户的参与来完成小范围内无线设备的双向连接认证。所谓小范围,是指认证双方要在一个可以直接交谈的距离范围之内。实际上,这个距离范围也是许多对等通信方式所要求的距离范围,例如通常应用的蓝牙技术要求两个无线设备间的距离不超过10米。
一个无线设备,其对等连接功能可以由其使用者来启动或关闭,只有在对等连接功能被启动后,其他设备才能够找到它并与之建立连接。在对等连接建立时,设备生成特征码,用以与其他无线设备相区分。下面首先介绍唯一特征码生成方法。
在本发明的一个较佳实施例中,采用以太网(Ethernet)网卡硬件地址(MAC地址)加无线设备启动时间的办法来生成唯一的特征码。每个Ethernet网卡生产厂家必须向电气和电子工程师协会(IEEE)组织申请一组MAC地址,通常每个MAC地址由48位二进制数组成。Ethernet网卡生产厂家在生产网卡时在网卡的串行电可擦除只读存储器(EEPROM)中写入一个唯一的MAC地址。不管是哪一个厂家生产的,任何两个Ethernet网卡的MAC地址都不会相同,因此MAC地址是全球唯一的。但是这样长的地址为阅读和识别带来了很大的不便,如何将MAC地址简化为便于阅读和识别的格式呢?首先获取设备上的48位二进制MAC地址,如果设备实际的MAC地址长度超过48位,只截取其低48位,其形式为X1X2X3X4X5X6X7X8X9X10X11X12,每一个Xi表示4位数字。依据MAC地址平均分成两段X1X2X3X4X5X6和X7X8X9X10X11X12。然后将24位二进制数X1X2X3X4X5X6与X7X8X9X10X11X12所表示的数值相加。
此后获取无线设备的运行时间,即从设备开启的一刻开始计算,简称启动时间(Start Time)。启动时间由32位二进制数组成,其形式为S1S2S3S4S5S6S7S8,每一个Si表示4位数字。以获取的启动时间为依据,由无线设备生成一个32位的二进制随机数(Rand Number),其形式为R1R2R3R4R5R6R7R8。最后将X1X2X3X4X5X6、X7X8X9X10X11X12、S1S2S3S4S5S6S7S8和R1R2R3R4R5R6R7R8的叠加结果作为无线设备的特征码,用于与其他无线设备相区分。为了便于用户阅读和识别,将二进制的特征码转换成十进制的特征码,并显示在无线设备屏幕的固定位置上。
上述算法中引入了无线设备的启动时间和其内部生成的随机数,因为这两个数据相同的概率非常小,所以采用这种方法基本上可以保证每个无线设备特征码的唯一性。由此得到了便于阅读和识别的特征码。但是,由于上述方法对MAC地址进行了拆分,在个别情况下,不同无线设备的特征码还是有可能相同。
用户参与的双向认证过程中,进行对等通信的两个无线设备,提出连接请求的一方作为连接发起方设备,其余的设备则作为连接接受方设备。
建立对等连接后,连接发起方会发送查找请求。在进行无线设备查找时,所有周围存在的无线设备都会向查找设备发送自己的特征码。如果有任意两个无线设备的特征码相同,查找设备就会向特征码相同的无线设备发送“特征码相同”的消息。为了真正实现特征码的唯一性,相应无线设备在收到此消息后,按照上述的算法重新计算一个新的特征码,然后将新特征码发送给查找设备。如此反复,直到查找设备收到的任何两个无线设备的特征码都不相同为止。最后确定的这个特征码即为唯一特征码,显示在无线设备屏幕的固定位置上。
由于上述算法中包含有无线设备内部生成的随机数,相同的概率很小,因此通过再次计算得到的特征码重复的概率也非常小。
通常情况下,局部范围内任何两个无线设备生成的特征码都不相同,即使偶尔重复,也会很快调整过来,最终保证局部范围内任何两个无线设备的特征码都不一样。
此外,为了方便用户阅读和识别,本发明还提供了一种在唯一特征码生成方法基础之上的可变长特征码显示方法。可变长特征码仅用于显示在无线设备的屏幕上,因此采用该方法可以缩短需要用户确认的特征码长度,达到便于阅读和识别的目的。具体操作是这样的a.连接发起方设备首先比较所有唯一特征码的个位数,如果仅凭个位数就能够区分各个无线设备,那么就仅仅截取个位数(在程序内部仍然使用完整的唯一特征码)作为显示在屏幕上的特征码;如果个位数无法区分所有无线设备,就继续比较十位数,如此循环,直到截取的位数足以区分所有无线设备;b.连接发起方设备将最短位数信息发送给各个唯一特征码相对应的连接接受方设备;c.各个连接接受方设备收到此消息后,显示的位数根据收到的最短位数信息来确定,将可变长特征码显示在屏幕上;在程序内部仍然使用完整的唯一特征码。
因为无线设备自身具有比较强的计算能力,数字的长短对其内部设备没有明显的分别,所以在程序内部依然使用完整的唯一特征码。
由于小范围内设备数量往往有限,采用了这种可变长特征码显示方法后,实际显示的特征码长度会很短,例如只有一位或两位,很少超过三位,这无疑会给用户的阅读和识别带来很大方便。
基于以上无线设备唯一特征码生成方法,图1示出了依据本发明的一个较佳实施例的方法示意图。认证是由连接发起方用户和连接接受方用户协作完成的,是一个双向认证的过程,从而大大提高了认证的可靠性。如图1所示步骤101~步骤103由双方用户启动设备的对等连接功能,无线设备自身依据唯一特征码生成算法计算出自己的特征码并在屏幕的固定位置上显示出来;连接发起方用户启动连接发起方设备的设备查找功能;连接发起方设备向周围范围内所有连接接受方设备广播查找消息。
步骤104连接接受方设备收到连接发起方设备的查找请求后,向连接发起方设备发送自己的特征码,所有周围能够找到的无线设备的特征码都出现在了连接发起方的屏幕上;经过特征码重复的处理过程及可变长特征码生成过程,实现了每个无线设备的特征码都不相同;连接发起方设备将可变长特征码返回给相应的连接接受方设备,连接接受方设备将其显示出来。
步骤105~步骤106连接发起方用户口头询问连接接受方用户其无线设备的特征码,并告知自己无线设备的特征码;连接接受方用户口头将自己无线设备的特征码告诉连接发起方用户。
步骤107~步骤108连接发起方用户依据连接接受方用户提供的特征码,在其无线设备屏幕上选择该特征码;连接发起方设备依据选择,向选中的特征码所对应的连接接受方设备发送连接请求,并在连接请求中携带自身的特征码。
步骤109~步骤111连接接受方设备在收到连接发起方设备的连接请求和特征码后,在屏幕上显示该特征码;连接接受方用户将屏幕上显示的特征码与连接发起方用户口头告知的特征码进行比较,如果不相符,则表明是一个来源不清的连接请求,就拒绝连接请求;如果相符,则表示是一个合法的连接,就接受连接请求,将认证与否的结果返回至连接接受方设备,至此认证过程结束。
由以上实现过程可以看出本发明提供的认证方法十分方便。通常情况下,由于无线设备连接功能已打开,所以用户只需按两个按钮,说一句话,就可以完成连接认证的全部过程。由于认证过程需要得到双方的确认,所以是一种双向的认证,从而可以很好的保证连接的可靠性,保证数据的安全。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种无线设备间进行连接认证的方法,所述的无线设备采用对等方式在小范围内进行通信,其特征在于包含以下步骤A、在一个连接发起设备的控制下,该小范围内的每一个设备均计算出各自唯一的特征码,并在屏幕上显示;B、连接发起设备和连接接受设备根据用户口头交换的特征码,进行双向连接认证。
2.根据权利要求1所述的无线设备间进行连接认证的方法,其特征在于,所述的步骤A包含以下步骤该小范围内的设备各自生成本设备的特征码;一个连接发起设备广播设备查找消息,并接收该小范围内的设备返回的设备特征码,如果特征码有重复,连接发起设备向相应设备发送特征码重复的消息,相应设备收到此消息后,重新生成特征码并发送给该连接发起设备,如此反复,直至连接发起设备收到的任何两个设备的特征码都不相同。
3.根据权利要求2所述的无线设备间进行连接认证的方法,其特征在于,所述的步骤A进一步包含以下步骤连接发起设备比较各个设备特征码的个位数,如果仅凭个位数就能够区分各个设备,则仅仅显示个位数,否则再比较十位数、百位数,直至显示的位数足以区分所有设备;连接发起设备将最短位数信息发送给各个设备,各个设备收到此消息后,在本机屏幕上仅显示最短位数。
4.根据权利要求3所述的无线设备间进行连接认证的方法,其特征在于,各个设备可以将本设备特征码的所述最短位数,仅用于屏幕显示而在程序处理中仍使用完整的特征码,或者将本设备特征码的所述最短位数,作为本设备新的特征码而在屏幕显示和程序处理中均予以使用。
5.根据权利要求2所述的无线设备间进行连接认证的方法,其特征在于,在该小范围内的设备各自生成本设备的特征码的步骤中,将本设备的以太网卡硬件地址(MAC地址)依据其数据长度平均分成两段并相加,在此结果上再叠加设备运行的时间和设备内部生成的随机数,将最后的结果作为本设备的特征码。
6.根据权利要求1所述的无线设备间进行连接认证的方法,其特征在于步骤B包含以下步骤连接发起设备和连接接受设备的用户口头交换各自设备的特征码;连接发起方用户根据连接接受方用户告诉的特征码选择所要连接的设备,并指令连接发起方设备以本设备的特征码为凭据发送连接请求;连接接受方用户读取连接发起方设备的特征码,并判断是否接受连接请求。
全文摘要
本发明公开了一种无线设备间进行连接认证的方法,无线设备采用对等方式在小范围内进行通信,在确定特征码阶段生成唯一特征码,并在唯一特征码生成基础上采用可变长特征码显示方法;在连接认证阶段,通过用户口头交换特征码完成无线设备间的双向连接认证,方便、安全地实现无线设备间的连接认证。
文档编号H04L9/00GK1466273SQ02129658
公开日2004年1月7日 申请日期2002年9月6日 优先权日2002年9月6日
发明者刘向东, 吴秋新, 陈琳 申请人:联想(北京)有限公司