用于通过无线通信系统控制致动器的设备、系统和方法与流程

本发明涉及一种用于通过通信系统远程控制致动器的用户设备和基站设备。此外，本发明还涉及一种通过交换数据包来认证这些设备的方法。

背景技术：

许多大门和车库都是无线控制的，许多汽车能够通过无线密钥扣的无线电波锁定或解锁，并且开始点火。在那些控制系统中，密钥扣发送包括基站设备知道的数字代码的信号。基站设备检测在其接收范围内的无线信号，并且当它检测到携带密钥扣的数字代码的信号时，发送适当的命令以激活相关的致动器。

然而，密钥扣通过空中发送的信号可能被窃听，并且有许多技巧来冒充密钥扣。攻击者能够记录密钥扣发送的无线电信号，并使用该记录的信号打开门，或尝试恢复密码。

尽管已经制定了一些对策来改进保护以抵抗黑客攻击，但无线控制系统仍然存在漏洞，即使在使用所谓的“滚动码”的系统的情况下，根据与基站设备所同步的伪随机序列，在发送每个控制命令之后数字密钥的代码通过该系统变化。

由于越来越多的人使用数字密钥，因此需要克服当前解决方案的缺点，特别是提高安全性。

技术实现要素：

本发明的目的在于通过具有改进的安全级别的用户设备和基站设备来解决这些和其他问题，该用户设备和基站设备用于远程控制致动器；特别地，这些设备被配置用于根据质询-响应认证机制通过交换数据包来执行用于相互认证的方法。

根据本发明的第一总体方面，提出了一种用于远程控制与基站设备通信的致动器的用户设备，其中，该用户设备包括处理装置，该处理装置被配置为通过包括标识所述用户设备的至少一个身份数据的第一数据包来质询所述基站设备，并且其中所述用户设备被配置为发送所述第一数据包内不同位置处的所述至少一个身份数据。此外，所述用户设备被配置为根据定位模式，特别是周期性、非周期性或随机模式，定位所述身份数据。

关于本发明的另一有利方面，用户设备被配置为在所述第一数据包中包括具有随机内容和/或随机长度的至少一个数据序列。

根据本发明的另一有利方面，用户设备被配置为发送所述至少一个身份数据的伪副本。

此外，根据本发明的用户设备被配置为验证具有随机内容和/或随机长度的随机生成的数据序列是否包括或在所述第一数据包中生成所述基站设备可能错误检测到的所述至少一个身份数据的伪副本，并阻止发送所述随机生成的伪副本。

为了避免重复，显然上述发明和有利方面以及技术特征适用于用户设备、基站设备、系统以及相应的方法。

根据本发明，用户设备和基站设备通过执行至少包括以下阶段的所述认证方法来进行相互认证：

-数据包生成阶段，其中至少一个数据包是通过处理装置(优选地包括在每个设备中的处理装置)生成的，并且包括认证数据(例如，标识数据、消息摘要等)，并且其中所述至少一个认证数据生成于所述第一数据包内的不同位置处，其中所述不同位置取决于定位模式，特别是取决于周期性、非周期性或随机模式。作为替代的附加方面，至少一个数据包可以包含具有随机内容和/或具有随机长度的至少一个数据序列和/或与所述认证数据具有固定距离的第一时间戳。

-加密阶段，其中通过加密密钥(优选地包含在每个设备中包括的存储器装置中)加密所述至少一个数据包，以获得加密的数据包；

-发送阶段，其中通过通信装置(优选地包括在每个设备中的通信装置)在所述设备之间交换所述加密数据包。

以这种方式，可以模糊包内容，因为只有在已知所述认证数据的情况下才能识别数据的内部结构。这使得能够操作比根据现有技术的解决方案具有更高保护水平的遥控致动器。

更详细地，数据包可以包括具有随机内容和/或具有随机长度的两个随机序列，这两个随机序列优选地放置在数据包的开头和末尾处。

此外，数据包还可以包括能够用秘密时间戳编码来编码的时间戳。

该系统还可以包括安全管理服务器，其被配置用于评估安全风险、分发安全算法和密钥、以及在认为合适时撤销或改变安全元素。换句话说，该安全管理服务器被配置用于实施限定哪些用户设备可以激活特定致动器的安全策略。

当用户输入请求(例如，解锁门)时，用户设备打开用于完成该请求的控制会话，并且发送至少包括用户设备的(秘密)标识码和如上所述具有随机内容和随机长度的两个随机序列的“请求数据包”。此外，如果用户请求未隐含在秘密标识码中，则数据包可以包括用户请求，以及用于提高安全性的时间戳。然后，用户设备利用秘密摘要算法计算请求数据包的期望摘要，通过秘密加密密钥利用秘密加密算法对数据包进行加密，并通过空中发送加密数据包。

基站设备保持接收由其天线拾取的信号，并通过所述秘密算法和秘密密钥，优选地由用户设备使用的秘密密钥对它们进行解密。利用任何接收和解密的信号，基站设备搜索用户设备的秘密标识码，并且，当它发现包括第一两个随机序列的包有效载荷外的标识码时，它尝试根据预定的包格式检测该数据包中包含的其他信息元素。

其他有利特征在下文中示出并且是所附权利要求的主题。

附图说明

本发明的特征与本描述相关的权利要求中具体阐述；从附图中所示的优选和非排他性实施例的以下描述中，这些特征将更清楚，附图中：

图1示出了包括根据本发明的设备的遥控系统；

图2示出了根据本发明在用户设备和基站设备之间交换的数据包的有效载荷的示例性格式；

图3示出了由图1的用户设备执行的过程的流程图；

图4示出了由图1的基站设备执行的过程的流程图。

具体实施方式

在本说明书中，对“实施例”的任何提及表示关于本发明的实施方式所描述的特定配置、结构或特征被包括在至少一个实施例中。因此，可能存在于本说明书的不同部分中的短语“在实施例中”和其他类似短语不一定都与同一实施例相关。此外，任何特定配置、结构或特征可以以任何认为合适的方式组合在一个或更多个实施例中。因此，下面的参考仅用于简化，并不限制各实施例的保护范围。

如图1所示的示例中所示，本发明基于包括两个设备(即用户设备103和基站设备104)的系统100。这两个设备配对并且彼此共享秘密安全参数，其中所述秘密安全参数可以至少包括用户设备的身份、加密算法、加密密钥、时间戳算法和摘要算法。

分别通过无线收发器117和118(也称为“通信装置”)，用户设备103和基站设备104可以通过双向通信系统(优选无线通信系统)根据质询-响应认证机制来交换数据包。该系统可以是无线电系统，例如wi-fi、蓝牙、nfc(近场通信)、ad-hoc无线电系统或其他类型的无线电系统，但它也可以是红外系统，或使用超声波的系统，或使用适于提供双向通信的其他类型传输技术的系统。

分别通过移动接口105和106，用户设备103和基站设备104可以通过移动通信网络102与用于管理安全问题的安全管理服务器101通信。安全管理服务器从用户设备103和基站设备104接收操作数据、评估安全风险、分发安全算法和参数，并在认为合适时(例如，在预定的一段时间之后、当出现安全问题时等)撤销或替换它们。安全管理服务器可以由证书颁发机构作为服务来提供，或者能够实施为私有服务器。

通常，用户设备103是智能手机、平板电脑、智能手表、或者其存储器中加载有ad-hoc应用程序(即实现根据本发明的方法的各阶段的一组指令)的其他种类的电子设备。替代地，用户设备103实施为独立式设备，例如密钥扣或其他形式的(嵌入式)设备。

通常，基站设备104根据其必须控制的致动器的种类实施在ad-hoc设备中，但是它也能够实施为适于控制多种不同致动器类型的通用控制器设备。

在系统的优选实施例中，用户设备103和基站设备104分别包括以下部分：

-移动接口105、106，其用于与管理服务器101通信；

-时钟107、108，其用于为设备的其他元件生成定时信号，并生成时间戳；

-处理装置109、110，其用于构建数据包、加密和解密数字流、搜索数字序列中的码字，并且用于管理根据本发明执行的过程，即，每个处理装置109、110分别配置为根据质询-响应认证机制认证其他设备；

-存储器装置111、112，其用于存储通用数据，并且优选地在安全区域113、114中存储秘密数据和算法；

-输入/输出装置115和116，其用于接收来自用户的输入并输出信息(例如，用户的音频、视频或文本消息)，并且在基站设备的情况下，输出用于致动器的控制信号；

-通信装置117和118，优选地是具有适当天线的无线收发器，其用于发送和接收携带数据包的信号。

更详细地，基站设备104的存储器装置112至少包含限定允许哪些用户设备激活所述至少一个致动器的授权信息和加密密钥，而用户设备103的存储器装置111包含另一加密密钥。在使用对称加密/解密算法的情况下，该另一加密密钥能够与包含在基站设备104的存储器装置112中的密钥相同；否则，如果采用非对称加密/解密算法，则该另一加密密钥能够与基站设备104使用的密钥不同。

通过它们各自的收发器117、118，用户设备103和基站设备104优选地发送或接收四种类型的数据包，现在也参考图2对其进行描述。为了简洁起见，在下文中不考虑包报头和包尾(trailers)，因为它们不在本发明的范围内，并且能够是技术人员所知的常规类型的。因此，即使没有明确说明，对所描述的包及其格式的任何引用必须仅与数据包的有效载荷相关。

请求数据包200a的有效载荷优选地包括用户设备的必须由基站设备识别的身份200a2、编码时间戳_a200a5、以及优选地放置在包的开头(随机报头200al)和末尾(随机报尾200a6)的第一组两个随机序列。它们具有随机内容和随机长度，并且由处理装置109根据技术人员公知的技术生成。在本发明的优选实施例中，随机报头200al的长度(也称为‘lha’)是随机数，范围从0到最大lamax，随机报尾200a6的长度是lea＝lamax-lha，使得前两个随机序列的总长度是固定值lamax。如果请求数据包200a的其他元素具有固定长度，则请求数据包200a的总长度是固定的。从下面的描述可以清楚地看出，数据包的随机报头和随机报尾都可以具有独立的随机长度，每个长度限制在它们自己的最小值和最大值之间，然而，技术人员理解，对于固定长度的数据包，接收更简单，而有效载荷内标识符的位置的随机性能够通过两个随机序列的互补随机性来保持。类似地，可以将第二数据包200b的两个随机序列的总长度设置为固定值lbmax，可以将第三数据包200b的两个随机序列的总长度设置为固定值lcmax，并且可以将第四数据包200d的两个随机序列的总长度设置为固定值ldmax。四个值lamax、lbmax、lcmax和ldmax中的一些或全部可以相同。

当然，技术人员可以将所述两个随机序列放置在包的其他位置(即，不一定在请求数据包200a的开头和末尾)，而不脱离本发明的教导。

图2示出了用户设备103在用于完成用户请求的过程开始时发送的“请求数据包”200a的示例性格式。该包用于将所需信息传送到基站设备并质询基站设备以获得其认证，这将在后面更好地解释。

由于随机报头200al和随机报尾200a6的随机性内容，在请求数据包103中，可能找到与用户设备身份200a2对应的多于一个字符串；因此，必须对随机序列施加一些约束。考虑到在本发明的优选实施例中，基站设备将从请求数据包200a的开头开始搜索标识元素(用户设备的身份200a2，或者在其他情况下，如下所述，期望的摘要)，必须排除如下的字符串，该字符串包括或者与直到包括的所述字符串的后续字符串组合创建与基站设备104将搜索的用户设备的身份数据200a2相对应的字符串。如果应用其他搜索策略，技术人员将能够找到避免标识符的错误检测的方法，而不脱离本发明的教导。作为一般规则，考虑到接收方用于搜索标识符的方式，所述随机序列应该被生成为不包括在其所处的数据包中生成接收方可能错误检测到的发送方标识符的至少一个伪副本的随机序列。

本领域技术人员还理解，在不脱离基本发明构思的情况下，能够利用包括两个以上序列的一组随机序列，因此，在下文中，即使没有明确说明，任何“两个随机序列的组”也必须被认为是具有上述特征的“至少两个随机序列的组”。

如果用户设备被配置用于管理不同种类的用户请求(例如，“锁门”、“解锁门”、“打开中继线”、“解除警报”等)，则在本发明的优选实施例中，请求数据包200a包括标识所请求动作的代码200a3。在图2中，用户设备身份200a2和用户请求代码200a3之间的边界用虚线表示，以指示标识元素200a2根据本发明还可以包括用户请求。在这种情况下，用户设备103将具有针对它能够管理的每种类型的用户请求的身份代码200a2。这将增加系统安全性，但代价是额外的复杂性。实际上，基站设备104必须在接收的数据包中搜索用户设备管理的所有身份代码(而不是仅搜索用于标识用户设备103的代码200a2)，然后检测其后的用户请求代码200a3。

图2还示出了基站设备104在检测到请求数据包200a时发送的“响应数据包”200b的示例性有效载荷。

以与请求数据包200a类似的方式，它包括第二组两个随机序列，即具有它们自己的随机内容和随机长度的随机报头200b1和随机报尾200b6。对于它们，已经分别针对随机报头200al和随机报尾200a6描述的内容同样适用。响应数据包200b与请求数据包200a的不同之处仅在于存在字段“摘要_a”200b2，而不是用户设备身份200a2。

“摘要_a”200b2是所接收数据包的摘要，基站设备104利用由用户设备103使用的所述秘密认证算法来计算该摘要，并且用户设备103期望将该摘要接收回来以认证基站设备104。“摘要_a”200b2还用于标识由基站设备104发送的响应数据包，并且避免发送基站设备104的秘密身份，从而减少了对系统100进行攻击的可能性。此外，响应数据包200b包括类似于编码时间戳_a的编码时间戳_b200b5。

第二两个随机序列和摘要_a200b2是响应数据包200b的元素。除了它们之外，在本发明的一些实施例中，所述响应数据包200b还可以包括编码时间戳_b200b5和/或包索引200b3和/或用于标识待用于后续数据包的安全组的信息字段200b4。在本说明书的下文将更好地描述这些元素。

图2还示出了用户设备103在检测到响应数据包200b时发送的“确认数据包”200c的示例性有效载荷。

用户设备103发送确认数据包200c以确认用户请求200a3并允许基站设备104认证用户设备103。

确认数据包200c包括以下元素：具有随机内容和随机长度的第三组两个随机序列、“摘要_b”、以及(可选地)编码时间戳_c。用户设备103利用秘密摘要算法针对接收到的响应数据包200b计算摘要_b，该秘密摘要算法与基站设备104用于计算其发送的响应数据包200b的摘要的秘密摘要算法相同。基站设备104期望摘要_b认证用户设备103并且还用于标识用户设备103，从而避免需要发送秘密用户设备身份200a2两次。这减少了对系统100进行攻击的可能性。

图2还示出了“确认数据包”200d的示例性有效载荷，在本发明的一些实施例中，基站设备104在检测到确认数据包200c时可选地发送该“确认数据包”200d。该数据包用于确认用户请求的动作的完成。摘要_c还用作基站设备104的标识符。

已知证实，图2中所示的数据包格式允许用户设备103和基站设备104进行相互认证。此外，通过空中发送的数据包都不包含基站设备104的任何身份，而只有请求数据包200a包含用户设备103的身份(以加密的格式)。

还参考图2和图3，现在将描述根据本发明的处于操作状态的系统100。

下面将描述在图3的流程图中示出的由用户设备103执行的过程和在图4的流程图中示出的由基站设备104执行的过程。这两个过程是交错的，因此最终的过程往返于它们之间。

为了简洁起见，即使没有明确说明，必须认为所有数据包均包括根据上面指定的标准和规则生成的一组至少两个随机序列。

在两个过程的开始301(图3)和401(图4)之后，由其组合产生的过程包括下面列出的主要阶段。

302用户设备103的准备状态(图3)，用于接收来自其用户的输入。

402基站设备104的准备状态(图4)，用于接收信号。

303用户输入(图3)：用户通常通过按下或点击按钮或通过语音命令或通过其他输入技术来请求动作。

304生成第一数据包：用户设备103通过处理装置_u109通过以下步骤生成请求数据包200a(图2)，该请求数据包200a也用作对基站设备104的质询：

-根据上面规定的规则和标准生成第一组两个随机序列；

-从存储器装置111获得用户身份200a2；

-(可选地)获得由时钟_u107标记的当前时间并使用时间戳算法对其进行编码以获得编码时间戳_a200a5；

-如果需要，获得用户请求代码200a3；

-如果需要，生成包索引200a4；

-打包包括上述和其他可能元素的数据包200a。

然后，通过处理装置_u109和摘要算法，用户设备103计算该包的期望摘要(摘要_a)并将其存储在存储器装置_u111中。在本发明的优选实施例中，针对包的全部有效载荷计算期望摘要_a；在其他实施例中，可以针对包的所选部分执行计算，例如，可以对通过加入数据包的“随机报头”和“随机报尾”(图中的200a)等获得的序列执行计算。

305发送“请求数据包”：用户设备103通过其无线收发器117加密并发送请求数据包200a(图1)；加密由处理装置_u109使用存储在存储器装置_u111中的所述秘密算法和所述秘密密钥执行。

306设置超时_a：用户设备103设置超时_a以在超时_a到期时停止等待响应；如果在接收到响应之前超时_a到期，则该过程继续执行阶段317。

403基站设备接收信号(图4)：基站设备104通过其收发器_c118接收携带数据包的信号，并由处理装置_c110根据存储在存储器装置112中的所述加密算法和加密密钥来解密接收的信号。

404检测用户设备身份和时间戳_a：基站设备104搜索接收到的数据包可能包含的用户设备身份200a2；如果搜索和检测不成功，则该过程返回到阶段403，并且基站设备104继续接收由其天线拾取的信号。否则，基站设备104通过处理装置_c110并根据存储在存储器装置_c112中的时间戳算法，可选地尝试提取包的其他信息元素，并对与解密数据包一起接收的编码时间戳_a进行解码。然后，基站设备104获得由时钟_c108标记的当前时间，并检查该当前时间和接收的时间戳是否一致。一致性标准的示例是满足公式：

damin<当前时间戳-收到的时间戳<damax(1)

其中damin和damax分别是接收信号的最小和最大延迟。

基站设备104通过其时钟108和处理装置_c110评估数据包(200a)的到达时间与接收的时间戳_a之间的差值，并检查所述差值是否落在数值区间之外。

damin能够取负值以考虑用户设备的时钟_u107和基站设备的时钟_c108之间可能的不一致。

405确定时间戳_a的一致性：如果在阶段404中计算的差值在所述数值区间之外，则该过程返回到准备状态402，否则认为用户设备103已经发送所接收的包并且该过程继续执行阶段406。

406发送“响应数据包”：通过处理装置110，基站设备104利用规则和算法计算所接收数据包的响应摘要_a，该规则和算法与用户设备103用于计算期望摘要_a的规则和算法相同(参见阶段304)，并且以类似于阶段304中描述的方式，基站设备104生成响应数据包200b，该响应数据包200b也作为对用户设备103的质询，并包括也用作基站设备104的标识符的所述响应摘要_a200b2，以及根据上面指定的规则和标准生成的第二组两个随机序列。可选地，响应数据包200b还可以包括时间戳_b，该时间戳通过优选地通过时间戳算法对由时钟_c108标记的当前时间进行编码而获得。

然后，基站设备104加密并发送响应数据包200b，计算其期望的摘要_b，并将期望的摘要_b存储在存储器装置_c112中。

407设置超时_b：基站设备104可以设置超时_b以在超时_b到期时停止等待确认响应；如果超时_b在接收到确认数据包200_c之前到期，则该过程继续执行阶段415。

307用户设备接收响应数据包(图3)：用户设备103通过其收发器117接收携带数据包200b的信号，并由处理装置109根据存储在安全区域_c113中的所述加密算法和加密密钥来解密接收的信号。

308检测摘要_a和时间戳_b：用户设备103搜索接收的数据包可能包含的摘要_a；如果搜索不成功，则该过程返回到阶段307，并且用户设备103继续接收信号。否则，用户设备103通过处理装置_u109并根据存储在安全区域_c113中的所述时间戳算法，尝试提取包的其他信息元素，并对与解密数据包一起接收的编码时间戳_b进行解码。然后，类似于阶段404，用户设备103通过其时钟107和处理装置_u109评估数据包200b的到达时间与接收的时间戳_b之间的差值，并检查所述差值是否落在数值区间之外。

对于不同的数据包，该数值区间可以是不同的，因为系统的设备可以具有不同的处理能力，相反的传输链路可以具有不同的特性，并且可以允许不同的数据包具有不同的容限。

309确定时间戳_b的一致性：如果在阶段308中计算的差值在所述数值区间之外，则该过程返回到阶段307，否则，认为所接收的数据包由基站设备104发送，从而认证基站设备104，并且该过程继续执行阶段310。

310重置超时_a：当基站设备(104)被认证时，用户设备103重置超时_a。

311发送确认数据包：以类似于阶段304和406中描述的方式，用户设备103计算接收的数据包的响应摘要_b，基站设备104期望并生成包括所述响应摘要_b的确认数据包200c，所述响应摘要_b也用作代替用户身份200a2的用户设备103的标识符；通过对由其时钟_u107标记的当前时间进行编码而获得的时间戳；以及根据上面规定的规则和标准的第三组两个随机序列。然后，用户设备103加密并发送确认数据包，以确认必须满足与请求数据包200a一起发送的用户请求。最后，它计算确认数据包的期望摘要_c并将其存储在存储器装置_u111中。

312超时_c：用户设备103设置超时_c以在超时_c到期时停止等待确认；如果在接收到确认数据包200_c之前超时_c到期，则该过程继续执行阶段317。

408接收确认数据包(图4)：以类似于在阶段403中描述的方式，基站设备104优选地分别通过其收发器118和处理装置110接收和解密信号。

409检测摘要_b和时间戳_c：以类似于阶段404中描述的方式，基站设备104搜索接收到的数据包可能包含的摘要_b。如果搜索不成功，则该过程返回到阶段408，否则基站设备104尝试提取包的其他信息元素并解码与解密的数据包一起接收的编码时间戳_c。基站设备104通过其时钟108和处理装置_c110评估数据包200c的到达时间与接收的时间戳_c之间的差值，并检查所述差值是否落在数值区间之外。

410确定时间戳_c的一致性：如果在409中计算的差值在所述数值区间之外，则该过程返回到阶段408，否则，认为所接收的数据包由用户设备103发送，从而认证用户设备103，并且该过程继续执行阶段411。

411重置超时_b：在该阶段，用户设备103被认为是经认证的，因此基站设备104重置超时_b，并且该过程继续执行阶段412。

412输出到致动器：基站设备104通过i/o设备_c116向相关致动器发送适当的信号以满足用户请求。

413致动器反馈：基站设备104优选地从相关致动器接收关于用户请求的完成的反馈。

414发送确认数据包：以类似于阶段406中描述的方式，基站设备104计算所接收数据包的响应摘要_c，并生成确认数据包200d，所述确认数据包200d包括也用作基站设备104的标识符的响应摘要_c，以及根据上面规定的规则和标准的第四组两个随机序列。可选地，确认数据包200d还可以包括通过对由其时钟_c108标记的当前时间进行编码而获得的时间戳_d。然后，基站设备104加密并发送确认数据包，以在用户请求完成时给出肯定或否定的确认。

确认数据包200d的发送是可选的。然而，对于用户来说，接收关于命令执行的反馈(例如，“关闭门”)可以是有用的，该反馈必须被正确地完成以便确保特定区域(例如车库、房子、办公室等)的安全性。

415存储处理数据：基站设备104存储与所执行的处理相关的数据，以允许分析和标识攻击尝试并评估风险。

416关于过程的信息：基站设备104通过其输入/输出装置116(图1)输出关于过程的信息。

417基站设备104的准备状态。

313用户设备接收确认数据包(图3)：以类似于在阶段307中描述的方式，用户设备103通过其无线收发器117和处理装置109接收和解密无线信号。

314检测摘要_b和时间戳_c：以类似于阶段308中描述的方式，用户设备103搜索接收到的数据包可能包含的摘要_c。如果搜索不成功，则该过程返回到阶段313，否则用户设备103尝试提取包的其他信息元素并解码与解密的数据包一起接收的编码时间戳_d。然后，用户设备103可选地通过其时钟_u107和处理装置_c109评估数据包200d的到达时间与接收的时间戳_d之间的差值，并检查所述差值是否落在数值区间之外。

315确定时间戳_d的一致性：如果在阶段314中计算的差值在所述数值区间之外，则该过程返回到阶段313，否则，认为所接收的数据包由基站设备104发送，并且该过程继续执行阶段316。

316重置超时_c：在确定基站设备104已发送所接收的数据包之后，用户设备103重置超时_c。

317存储过程数据：用户设备103存储与过程相关的数据，以允许分析和标识攻击尝试并评估风险。

318关于过程的信息：用户设备103通过其输入/输出装置115(图1)输出关于过程的信息(例如，记录信息、通知消息等)。

319用户设备103的准备状态。

以这种方式，系统100的安全级别进一步增加。

如前所述，每个设备103、104被配置用于执行根据本发明的认证方法。该方法包括以下阶段：

-数据包生成阶段，其中至少一个所述数据包200a-200d是通过处理装置109、110生成的，并且包括认证数据(即标识数据200a2和/或摘要200b2、200c2、200d2)和具有随机内容和随机长度的一组至少两个随机序列，其中，所述随机序列被生成为不包括在所述至少一个数据包200a-200d中生成至少一个所述设备103、104可能错误检测到的所述验证数据的至少一个伪副本的随机序列；

-加密阶段，其中通过加密密钥加密所述至少一个数据包200a-200d，以获得加密的数据包；

-发送阶段，其中通过通信装置117、118在所述设备103、104之间交换所述加密数据包。

结合可选的时间戳和超时，通过具有随机长度的随机序列来随机化设备标识符的位置，这显着提高了安全性以抵抗黑客攻击/破解攻击，即使在它们具有“暴力”或“重用捕获的信号”或“中间人”类型的情况下也是如此。

在本发明的优选实施例中，除了上文指定的内容之外，分别通过移动接口105和106，用户设备103和基站设备104能够通过移动通信网络102与系统100中包含的安全管理服务器101(图1)通信。它们向安全服务器101发送关于所执行的处理的信息和数据，如果它们配备有定位装置，则优选地包括定位数据，并且从服务器接收安全参数的更新；更详细的；安全管理服务器101被配置用于实施至少限定哪些用户设备可以激活特定致动器的安全策略。

利用所接收的数据，安全管理服务器101评估黑客攻击风险并采取适当的行动来对抗它们。这显着改善了本发明系统的安全性。

特别地，用户设备103的处理装置109还可以被配置为向安全管理服务器101发送以下信息中的一个或更多个：

-指定用户想要控制哪个致动器的控制请求和所述用户设备103的当前身份数据；

-关于用户所请求动作的结果的信息；

-从基站设备104接收的信息；

-关于接收的异常数据包的信息，其可能与检测安全威胁相关(例如，失败的认证尝试的列表等)。

另一方面，用户设备103的处理装置109还可以被配置为通过所述通信接口105接收用于以安全方式与基站设备104通信以控制所述致动器的加密密钥。

类似地，基站设备104的处理装置110还可以被配置为通过所述通信接口106从安全管理服务器101接收用于标识所述用户设备103的身份数据和用于以安全方式与所述用户设备103通信以允许(安全地)控制致动器的至少一个加密密钥。

另一方面，基站设备104的处理装置110还可以被配置为通过所述移动接口106向安全管理服务器101发送关于由致动器执行的动作的信息以及接收到的可能与检测安全威胁相关的异常数据包200a、200c的信息。

另一方面，安全管理服务器101可以被配置用于进行以下动作：

-从用户设备103接收所述控制请求；

-基于身份数据和安全策略确定所述用户设备103是否能够激活所述致动器；

-如果允许所述用户设备103激活所述致动器，则将所述加密密钥和标识所述用户设备103的所述身份数据发送给所述用户设备103和基站设备104。

替代地或与上述特征结合，安全管理服务器101还可以被配置用于执行以下动作：

-从基站设备104接收与安全性相关的数据；

-向所述基站设备104发送授权信息，该授权信息限定允许哪些用户设备激活所述至少一个致动器，其中，所述基站设备104被配置为如果第一数据包200a中接收的身份数据包含在所述授权信息中，则通过所述输入/输出装置(116)激活所述至少一个致动器。

以这种方式，系统100的安全级别进一步增加。

如技术人员所知，在优选实施例的变型中，数据包包括包索引，用于允许设备检查所接收的数据包相对于当前控制会话和控制会话序列的一致性。

在本发明的另一实施例中，安全元素(算法、密钥、参数)可以在每个新会话或甚至在会话内改变。在包格式200b(图2)中设想了这种改变的示例，其中信息元素200b4携带要从下一个数据包或从下一个控制会话使用的安全集的标识。

根据本发明的方法能够实现为能够安装在便携式设备(其通常可以在移动中携带)中的软件应用程序，使得用户能够有利地减少携带在口袋或钱包中的设备的数量。

本说明书已经解决了一些可能的变型，但是对于本领域技术人员来说显而易见的是，也可以实现其他实施例，其中一些元素可以用其他技术上等同的元素替换。因此，本发明不限于这里描述的解释性示例，而是可以在不脱离如以所附权利要求所述的基本发明构思的情况下对等同部件和元素进行许多修改、改进或替换。