使用近场进行认证的方法.pdf

摘要
申请专利号：	CN201080065998.3	申请日：	2010.12.20
公开号：	CN102823216A	公开日：	2012.12.12
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20101220\|\|\|公开
IPC分类号：	H04L29/06; H04W12/06; H04W92/18	主分类号：	H04L29/06
申请人：	摩托罗拉解决方案公司
发明人：	亚历杭德罗·G·布兰科; 乔治·S·汉纳; 约翰·B·普雷斯顿; 马克·伯格尔
地址：	美国伊利诺伊州
优先权：	2010.03.29 US 12/748,982
专利代理机构：	中原信达知识产权代理有限责任公司 11219	代理人：	夏东栋;陆锦华
PDF下载：	PDF下载

内容摘要

用于认证具有ESN1（电子序列号）的装置1、具有ESN2的装置2和/或装置的用户的认证方法。在一个实施方式中，装置1在近场信号中接收（404）ESN2；得出（406）作为ESN1和ESN2的函数；以及将认证结果发送（408）给认证器装置，以用于完成认证。当装置1认证结果与通过被提供以ESN1和ESN2的认证器装置独立产生的认证结果匹配时，确认认证（410）。在第二实施方式中，装置1产生RAND1（随机数）并通过近场链路将其发送给装置2。从装置1和装置2两者接收相同的RAND1时，认证器装置确认认证。

权利要求书

1.一种使用近场信号进行认证的方法，所述方法包括：通过具有第一电子序列号的用户的第一装置，从所述用户的第二装置接收第二电子序列号，其中在近场信号中接收所述第二电子序列号；通过所述第一装置得出认证结果，作为所述第一电子序列号或所述第二电子序列号的至少一个的函数；以及将所述认证结果发送给认证器装置，以用于对所述第一装置、所述第二装置、或者所述第一装置和所述第二装置的用户的至少一个的认证。2.权利要求1的方法，进一步包括：产生随机数，其中所述认证结果进一步是所述随机数的函数；以及将所述随机数发送给所述认证器装置，以连同所述认证结果用于对所述第一装置、所述第二装置、或者所述用户的至少一个的认证。3.权利要求1的方法，其中得出认证结果包括：通过将函数应用于所述第一电子序列号和所述第二电子序列号以及存储在所述第一装置和所述认证器装置中的密钥的至少一部分，产生认证密钥；以及利用所述认证密钥得出所述认证结果。4.权利要求1的方法，其中响应于从所述认证器装置发送给所述第一装置的认证要求，发送所述认证结果，其中所述认证要求是以下的其中一个：响应于从所述第一装置发送给所述认证器装置的注册请求；或者未经所述第一装置请求。5.权利要求1的方法，其中在所述认证器装置中提供所述第一电子序列号和所述第二电子序列号，以使得所述认证器装置能够产生指示对于所述第一装置、所述第二装置、或者所述用户的至少一个的认证的状态的认证响应，并将其发送给所述第一装置，其中，当所述认证结果与第二认证结果匹配时，所述认证响应指示成功认证，否则，所述认证响应指示失败认证，所述第二认证结果通过所述认证器装置将与通过所述第一装置应用的相同的函数应用于提供的所述第一电子序列号和所述第二电子序列号而独立产生。6.权利要求1的方法，其中所述认证针对访问网络或者访问服务的至少一种。7.权利要求1的方法，其中所述近场信号包括实质上的磁性非传播无线电信号。8.一种使用近场链路进行认证的方法，所述方法包括：由用户的第一装置执行：产生随机数；通过近场链路将所述随机数发送给所述用户的第二装置；以及将所述随机数发送给认证器装置，其中，在所述认证器装置从所述第一装置和所述第二装置两者接收相同的随机数后，认证所述第一装置、所述第二装置、或者所述第一装置和所述第二装置的用户的至少一个。9.权利要求8的方法，进一步包括：由所述第二装置执行：通过所述近场链路从所述第一装置接收所述随机数；以及将所述随机数发送给所述认证器装置，以完成所述第一装置、所述第二装置、或者所述用户的至少一个的认证。10.权利要求8的方法，其中所述认证针对访问网络或者访问服务的至少一个。11.权利要求8的方法，其中所述近场链路用于传递实质上的磁性非传播无线电信号，所述实质上的磁性非传播无线电信号用于承载所述随机数。12.权利要求8的方法，其中响应于从所述认证器装置发送给所述第一装置的认证要求，发送所述随机数，其中所述认证要求是以下的其中一个：响应于从所述第一装置发送给所述认证器装置的注册请求；或者未经所述第一装置请求。13.权利要求8的方法，进一步包括：在所述认证器装置从所述第一装置接收到所述随机数并且从耦联到所述第一装置的另一装置接收到不同的随机数后，接收失败认证的指示。14.一种使用近场进行认证的方法，所述方法包括：由具有第一电子序列号的用户的第一装置执行：从认证器装置接收认证要求；从用户的第二装置接收第二电子序列号，所述第二电子序列号在所述第一装置和所述第二装置中利用近场设备传递；得出认证结果作为所述第一电子序列号或所述第二电子序列号的至少一个的函数；将所述认证结果发送给所述认证器装置，其中在所述认证器装置中提供所述第一电子序列号和所述第二电子序列号，以使得能够基于所述认证结果生成认证响应；以及从所述认证器装置接收所述认证响应。15.权利要求14的方法，其中在通过所述近场设备产生的实质上的磁性非传播无线电信号中传递所述第二电子序列号。16.权利要求14的方法，进一步包括：由所述第一装置执行：存储电子序列号用于除了所述第一装置之外的装置，该电子序列号是利用所述第一装置的近场设备被最后接收的；从所述认证器装置接收后续认证要求；得出后续认证结果作为所述第一电子序列号和存储的电子序列号的函数；将所述后续认证结果发送给所述认证器装置；以及从所述认证器装置接收后续认证响应，其中，当所述存储的电子序列号是所述第二电子序列号时，所述后续认证响应指示成功认证，其中，当所述存储的电子序列号不同于所述第二电子序列号时，所述后续认证响应指示失败认证。17.权利要求16的方法，进一步包括：在从所述第二装置接收所述第二电子序列号后将其存储；从第三装置接收第三电子序列号，所述第三电子序列号在所述第一装置和所述第三装置中利用近场设备传递；用所述第三电子序列号代替所述第二电子序列号，所述第三电子序列号用于得出指示失败认证的后续认证结果。18.权利要求14的方法，其中接收所述认证响应包括：当所述认证结果与第二认证结果匹配时接收正认证响应，否则，接收负认证响应，所述第二认证结果通过所述认证器装置将与通过所述第一装置应用的相同的函数应用于提供的所述第一电子序列号和所述第二电子序列号而独立产生。19.权利要求14的方法，其中所述认证要求是以下的其中一个：响应于从所述第一装置发送给所述认证器装置的注册请求，或者通过所述认证器装置发起。20.权利要求14的方法，其中所述认证响应指示以下的至少一个：对于所述第一装置或所述第二装置的至少一个的认证，用于访问网络；或者所述用户的认证，用于访问服务。

说明书

使用近场进行认证的方法

相关申请的参考

本发明涉及与本申请一起由摩托罗拉公司共同拥有的以下美国申
请：

由Higgins等人于2009年8月3日提交，名为“用于近场无线装置配
对的方法和系统”，序号为No.12/534,246（代理人卷号为No.CM12719）。

技术领域

本发明一般涉及用户或装置认证，尤其涉及使用近场技术的认证。

背景技术

在很多通信情景中，希望在允许对网络或服务的访问之前认证或
验证人员和/或装置的身份。最普通的用户认证是要求登录和密码。该
方法的困难在于用户必须记得和输入该信息。进一步结合该问题，当
前在公共安全中使用的大部分无线电设备没有键盘、显示器或其他图
形用户界面（GUI）。因此，对于某些无线电设备，呈现很有限的用户
界面甚至不呈现用户界面来帮助认证处理。

此外，如果用户信息被未授权人员获得，则用户登录和密码方法
也容易受到电子欺骗。为此，有时候通过用于认证的第二因素，例如
给出其他信息以输入的种子卡，来加强该方法。由于与用户登录和密
码方法相关联的这些限制，希望有不需要用户输入密码或其他信息来
完成认证处理的强大认证方法。

因此，需要一种用于使用近场技术和/或机制进行认证的方法和系
统。

附图说明

附图中，遍及各个视图中相同的附图标记表示相同或功能相似的
元件，附图与下面的详细描述一起结合在说明书中并构成说明书的一
部分，用于进一步示出包括权利要求所主张的本发明的概念的各种实
施例，以及用于说明这些实施例的各种原理和优点。

图1是示出其中根据一些实施例实现认证方法的通信系统的示意
图。

图2是示出根据一些实施例的包括实现认证方法的无线电装置和
附属装置的系统的方框图。

图3是图2的系统的示意图，示出根据一些实施例用于实现认证方
法的共振天线。

图4是示出根据一实施例的使用近场进行认证的方法的流程图。

图5是示出根据另一实施例的使用近场进行认证的方法的流程图。

图6是示出根据再一实施例的使用近场进行认证的方法的流程图。

图7是示出根据一些实施例的使用认证中心、区域控制器以及装置
的认证的方框图。

本领域技术人员应当理解，是为了简单和清楚而示出附图中的元
件，这些元件未必按比例绘制。例如，可将附图中某些元件的尺寸相
对于其他元件放大，以帮助改善对各种实施例的理解。此外，描述和
附图未必要求所示出的顺序。应当进一步理解，可以按照出现的特定
顺序描述或图示某些动作和/或步骤，但是本领域技术人员应当理解，
实际上不要求关于顺序的这种特异性。在附图中适当的地方用传统符
号表示设备和方法构件，仅示出有关于理解各种实施例的那些特殊细
节，从而避免用对得益于这里描述的本领域技术人员而言显而易见的
细节混淆本公开。因此，应当理解，为了图示的简单和清楚起见，可
以不图示商业可行实施例中有用或必要的普通和公知的元件，以帮助
各种实施例的更少遮蔽的视图。

具体实施方式

一般而言，根据一个实施例，用户的第一装置具有第一电子序列
号（ESN）并从用户的第二装置接收第ESN，其中在近场信号中接收
第二ESN。第一装置得出认证结果，作为第一ESN或第ESN的至少一
个的函数，并将认证结果发送给认证器装置，以在认证第一装置、第
二装置、或者第一装置和第二装置的用户的至少一个中使用。可结合
用于数字无线电通信的一套标准Project 25或APCO-25（这里称为
APCO）中所述的认证过程使用该实施例。

根据另一个实施例，用户的第一装置生成随机数并通过近场链路
将所述随机数发送给用户的第二装置。第一装置进一步将所述随机数
发送给认证器装置，其中当认证器装置从第一装置和第二装置两者接
收相同的随机数时，认证第一装置、第二装置、或者第一装置和第二
装置的用户的至少一个。

实现所公开实施例的好处包括：根据这里教导的认证方法不需要
密码或其他登录信息的用户输入（虽然，需要时可将所公开的方法用
作认证中除了登录或密码之外的第二因素），并且因此，甚至与没有
显示器、键盘或其他GUI的无线电装置兼容；在一个说明性实施方式中
使用的低频非传播信号容易产生，以低功率提供近距离通信，并且低
于在大部分无线电装置和其他无线通信装置中使用的电磁信号的频率
的程度足够大以便与这些的干扰被最小化或不存在；并且在一个说明
性实施方式中使用的非传播信号根本上安全，因为用于该技术的传播
定律是1/r6而不是用于普通传播无线电信号的1/r2——基本上，经过短距
离之后，信号强度下降得如此迅速，以致低于热噪声层，并且因此对
于秘密接收是隐藏的。本领域技术人员应当认识到，上面认识的优点
和这里描述的其他优点只是说明性的，并非要成为各种实施例的全部
优点的完整表现。

下面参照附图，特别是图1，示出根据某些实施例实现认证方法的
通信系统的示意图并一般性地用100表示。系统100包括多个说明性通
信装置，例如耳机110、膝上型电脑112、蜂窝电话114、个人数据助理
（PDA）116以及陆地移动无线电装置118，其中的两个或更多个装置
通过用户操作，并因此称为“用户”或“订户”装置。这里的教导旨
在提供用于认证两个或更多个该装置的用户和/或一个或多个该装置的
方法。这些方法，例如下面参照图4至图7所述，可以在各种使用情况
情景中实现，下面通过例示描述其中的两个。

在一个示例性使用情况情景中，用户希望协作使用两个装置，并
通过系统100的网络102操作两个装置的至少一个，以与一个或多个其
他装置（未示出）通信。例如，用户在通过网络102操作装置112、114、
116或118中的一个装置的同时可以使用诸如耳机110的附属装置以及
所述一个装置；或者用户可协作使用PDA 116和无线电装置118以通过
网络102传递语音和数据。在这种情况下，在被允许访问网络之前，装
置112、114、116或118中的一个或多个可能需要经由认证器装置104向
网络102认证。

在另一个示例性使用情况情景中，装置110、112、114、116和118
中的多个装置的用户可能希望使用服务，例如网络独立服务108，并且
可能因此需要经由认证器装置例如106认证他或她的身份。例如，所述
网络独立服务可以是对于需要用户身份和验证用于访问的国家、区域
或州数据库的访问。但是，对任何服务的访问都涵盖在这种使用情况
情景中。

回到系统100的元件，用户装置110、112、114、116和118可以是
任何类型的装置，例如通过图1的图示所提供的那些装置，或者是具有
无线和近场能力的任何其他类型的订户装置。认证器装置104和106可
以是实现符合这里用于帮助用户和/或装置认证的教导的方法和协议的
任何装置。在一个说明性实施方式中，认证器装置是服务器，例如具
有存储器、处理器以及可操作性地耦联用于与装置112、114、116或118
中的一个或多个通信的适当的有线和/或无线接口的认证、授权和计费
（AAA）服务器。

网络102可以是任何类型的通信网络，其中用户装置使用任何适当
的空中协议和调制方案与网络中的基础设施装置通信。虽然未示出，
但是网络102包括用于商业性实施例的多个基础设施装置，一般表示但
不局限于网桥、开关、区域控制器、基站控制器、中继器、基站无线
电装置、收发器基站、接入点、路由器、认证中心、或者帮助在无线
或有线环境中实体之间通信的任何其他类型的基础设施装备。最后应
当注意，为了便于图示，参照有限数量的装置图示了系统100。但是，
在商业性系统中可以实现任何适当数量的认证装置、用户装置、网络
和独立服务，而不损失这里教导的一般性。

现在转到图2，示出包括根据某些实施例实现认证方法的两个装置
的系统的方框图被示出，并一般性地用200表示。系统200包括第一通
信装置（在这种情况下是无线电装置118）和第二通信装置（在这种情
况下是耳机110）。但是，第一通信装置和第二通信装置可以是通过用
户操作的任何类型的通信装置，其需要用户和/或装置认证，包括图1
所示的任何说明性用户装置。

装置118包括：微控制器或数字信号处理器（DSP）206；使用电
磁（也已知为传播和“远场”）信号用于较短距离通信222（例如10-100m
或者30-300’）的设备，在这种情况下是包括具有对应天线210的蓝牙无
线电装置208的蓝牙设备；近场通信（NFC）设备（或简称近场设备），
其包括NFC接收器212、共振NFC天线214和NFC发射器216；具有对应
天线220用于产生远距离（超过100m）电磁信号226的双向陆地移动无
线电收发器218。装置110包括：微控制器或DSP 232；对应的蓝牙设备，
包括具有对应天线230的蓝牙无线电装置228；对应的近场设备，包括
NFC接收器236、共振NFC天线234和NFC发射器238；以及其他附属装
置功能240，包括头戴式受话器、汽车音频套件、文本显示器和键盘装
置、手持式计算装置、扫描仪、打印机和远程控制装置，但是不限于
此。此外，如果第二装置不是附属装置（例如，如果第二装置是蜂窝
电话114或PDA 116），那么它进一步包括对应的收发器和天线，类似
于无线电装置118的收发器218和天线220。

关于在用户装置中处理的信号类型，将传播信号或“远场”信号
限定为电磁信号，包括电场分量和磁场分量两者，其通过向发射装置
处的天线提供射频交变电流而产生，以产生自传播的信号（即辐射波），
使得可以在远超过两米的距离处的接收装置处的天线处成功地接收所
述信号。在无障碍环境中传播信号遵守1/r2传播定律，其中信号以大约
1/r2的速度下降，其中r是发射天线与接收天线之间的距离。因此，在产
生传播信号的远场系统（与近场系统相反）中，将全部传输能量设计
为向自由空间中辐射。

将此与非传播信号（在现有技术中又称为倏逝信号）相比，非传
播信号被限定为具有实质上的磁场分量或者实质上的电场分量但是不
同时具有两者的信号，其遵守1/r6传播定律，其中非传播无线电信号功
率以大约1/r6的速度下降，其中r是发射天线与接收天线之间的距离。因
此，由于缺少可以产生辐射波的天线，非传播信号被局域化于它的源
处。而是，用于产生非传播信号的天线（这里称为NFC“共振天线”）
相较于激励信号的波长在电方面非常小，因此不产生实质上的电磁分
量，而只是在天线附近产生局部电场或磁场（信号的非传播分量是该
信号的任何传播分量的106的量级上的倍，如果存在一个传播分量的
话）。这里又将非传播信号称为“近场”信号。此外，“近场设备”
用于通过这里称为“近场链路”的通信路径传递近场信号。

再回到图2中所示无线电装置118和附属装置110的元件的描述，用
户装置118的控制器206控制蓝牙设备、近场设备以及双向无线电收发
器设备的协作，以利用相应设备实现对应的通信。用户装置110的控制
器232控制蓝牙设备、近场设备以及其他附属装置功能的协作，以利用
相应设备实现对应的通信。控制器206和控制器232可以是具有用于执
行用于实现根据这里教导的实施例的功能的适当的处理功率和关联存
储器（未示出）的任何处理元件（诸如数字信号处理器）。

蓝牙无线电装置208和228建立用于蓝牙传输222的链路，例如附属
装置110与无线电装置118之间的语音传输。蓝牙无线电装置208和228
包括根据以下的任何一个或多个规范实施蓝牙协议的传统蓝牙收发
器：批准为IEEE标准802.15.1-2002的蓝牙规范1.1；批准为IEEE标准
802.15.1-2005的蓝牙规范1.2；2004年11月10日发布的蓝牙规范2.0+
EDR（增强数据率）；2007年7月26日由蓝牙SIG采用的蓝牙核心规范
2.1；2009年4月21日由蓝牙SIG采用的蓝牙规范3.0；和/或后续蓝牙规范
发布。在本实施例中，蓝牙技术用于短距离通信，但是可将任何适当
的技术用于短距离通信，包括但不限于Zigbee、IEEE 802.11a/b/g
（Wi-Fi）、无线USB等等。

进一步关于装置118，在本说明性实施例中，收发器218和天线220
也是实施使得能够利用其他通信装置（未示出）例如经由网络102实现
双向语音媒体226在空中的传输和接收的一个或多个协议的传统元件。
这些协议可包括通过诸如TIA（电信工业协会）、OMA（开放移动联
盟）、3GPP（第三代合作伙伴计划）、3GPP2（第三代合作伙伴计划2）、
IEEE（电子电气工程师协会）802以及WiMAX论坛等标准实体开发的
用于无线通信的标准规范，但是不限于此。此外，根据特定的用户装
置，可使用收发器218和天线220来传输诸如视频的其他媒体。

无线电装置118和附属装置110中的近场设备（例如，分别是元件
212、214、216和234、236、238）被设计为建立用于传递近场传输224
的近场链路的“对等”自行供电装置（与作为非自行供电的无源装置
的一个装置相反）。近场设备的设计产生在共振天线周围（即在其6英
寸以内）局域化的调制数据信号，其用这种技术传送数据时提供很大
程度上的安全性。此外，某些近场设备实施例产生的低频信号使得能
够防止近场信号与区域中相同装置或多个装置的其他媒体传输发生干
扰。

在一个说明性实施方式中，近场设备包括（可合并在控制器206
和232中或者与其分离的）微控制器，当用适当的软件（代码）对其进
行编程时，微控制器用作近场发射器和接收器。作为发射器，微控制
器将数据（例如，ESN或随机数）调制到载波上，用于经由近场共振天
线作为非传播信号224进行传输。作为接收器，微控制器从共振天线接
收包括调制到载波上的数据的非传播信号。

可通过线圈装置（例如电感器）和其他补充电路（例如电阻器和
电容器）来实现近场共振天线214、234，以产生数据被调制到其上的
实质上的磁场，即，调制的载波频率。在近场设备的一个实施例中，
将天线组件和微处理器设计为产生以13.56MHz为中心的调制后的非
传播信号。这样的实施例与用于对等操作的NFC标准兼容，例如，如
ISO/IEC 18092 NFCIP-1/EMCA-340/ETSI TS 102 190 v1.1.1（2003-03）
和ISO/IEC 21481 NFCIP-2/EMCA-352/ETSI TS 102 312 v1.1.1
（2004-02）中所述的NFC标准。

在近场设备的另一个实施例中，将天线组件和微处理器设计为产
生以任何适当“低”频为中心的调制后的非传播信号，其中低频指的
是小于1MHz的频率。在一个示例性实施方式中，天线组件包括：具有
270K欧姆的值的电阻器；具有150欧姆的值的电阻器；具有7.3毫亨的
值的线圈装置，其在此情况下是电感器；具有220皮法的值的天线共振
电容器；以及具有1.0微法的值的旁路电容器。该实施方式产生大约以
大约125KHz的振荡器频率为中心的调制后的载波信号。

图3是系统200的示意图，示出用户300将附属装置（110）拿到距
离无线电装置118大约1英寸的范围内，其中通过近场链路在近场信号
中交换信息，以根据这里的教导帮助认证。OOB数据224，例如随机数
或者如下详述的ESN，包括在共振天线214（示出为包括在无线电装置
118上的适配器302中）和234（在附属装置110中）周围局域化的非传
播信号。通过上述在近场设备中使用的构件，主机和附属装置中近场
设备之间的范围是从天线到天线大约2”，这为将天线嵌入附属装置以
及无线电装置中的板上留下足够的空间，并在外部留下一些空间（例
如1英寸）以备用。

现在转到根据所公开的教导执行认证的方法。图4是示出根据第一
实施例的使用近场进行认证的方法400的流程图。在两个装置（例如装
置118（又称为装置1）和装置110（又称为装置2））中执行参照方法
400所示的功能性，并且可通过该两个装置之间的配对过程并行地执
行。由于为了通过装置之间的近场链路在近场非传播信号中传送数据
所需的近距离（即6英寸或更少），可以假定装置1和装置2由相同的用
户操作或者具有共同的用户。此外，装置1被提供电子序列号（ESN1），
以及装置2被提供电子序列号（ESN2）。这里将电子序列号（ESN）定
义为嵌入或刻写在装置中的微芯片上的独特标识号，且其不能在现场
修改。例如，无线电话包含ESN，并且每次进行呼叫时，自动将ESN发
射给基站，因此无线载波的移动电话交换局可以检查呼叫的有效性。

因此，在402，用户“接触”装置1和装置2。“接触”装置意味着
装置在用于对近场信号进行传递的操作场的范围内，即，在6英寸与0
英寸（进行实体接触）之间。将装置置于需要的接近度后，通过建立
的近场链路，来自装置2的ESN2在非传播近场信号中被发射（404）给
装置1并被装置1接收。由此，利用装置中的近场设备传递ESN2。

装置1单独使用ESN2或者使用ESN1与ESN2的某些组合或函数来
确定或计算（406）认证结果（RES），以发送（408）到认证器装置（例
如，104和/或106），从而用于认证装置1、装置2、和/或两个装置的用
户。在实施例中，装置1响应于来自认证器装置的认证要求发送RES，
例如在与APCO标准（如下参照图6和图7详述）兼容的实施方式中。例
如，认证器装置在装置1发送注册请求后发送认证要求，以在网络102
上操作（因此通过装置1发起要求）；或者通过认证器装置发起认证要
求（因此要求非由装置1请求）。在第二示例中，一旦认证成功，认证
器装置可以周期性地质询认证（也与APCO标准兼容）。这样例如保证
了操作无线电装置未被盗，并且正与不同的附属装置协作使用。除非
窃贼偷走两个装置，否则后续认证会失败。

此外，根据与APCO标准兼容的实施例，装置1通过将函数应用于
ESN1和ESN2的至少一部分以及装置1中存储的密钥，产生认证密钥，
并使用认证密钥得到RES。用于产生RES的函数的复杂性取决于系统中
期望的安全性等级，并且可涉及ESN1和ESN2的一个或两个的数学方程
式或算法或级联。在一个说明性实施方式中，装置1包括生成随机数
（RAND1）的随机数发生器；并且装置1计算（406）RES作为ESN1、
ESN2和RAND1的函数（图4中将该函数示出为f(ESN1,ESN2,
RAND1)）。然后装置1将RAND1和RES发送（408）给认证装置。

认证器装置独立确定它自身的认证结果，将其与RES比较以确认
（410）RES。为了确认RES，认证器装置通过在RAND1（通过装置1
发送）与ESN1和ESN2（已经在认证器装置中提供用于认证）上执行函
数，自生成认证结果。如果两个认证结果匹配，则认证成功，这意味
着装置1和认证器装置在相同的两个ESN上执行了相同的函数。这进一
步意味着认证器装置可以向成功认证的装置1提供响应，用于访问网络
102（例如对于装置1和/或装置2）或者访问网络独立服务108（例如对
于与两个装置相关联的用户（通过用户标识符UID来识别））。否则，
如果两个认证结果不匹配，则认证失败。在确定认证状态（成功或失
败）后，认证器装置通过向装置1发送认证响应来完成认证处理（412），
该认证响应指示对于装置1、装置2和/或装置的用户的认证的状态。

图5是示出根据第二实施例的使用近场进行认证的方法500的流程
图。在两个装置（例如装置118（又称为装置1）和装置110（又称为装
置2））中执行参照方法500所示的功能性。由于为了通过装置之间的
近场链路在近场非传播信号中传送数据所要求的近距离（即，6英寸或
更少），装置1和装置2可假定由相同的用户操作或者具有共同的用户。

在本实施例中，用户“接触”（502）装置1和装置2。装置1包括
生成（504）随机数（RAND1）的随机数发生器，装置1通过近场链路
在近场信号中将该随机数发送给装置2，该随机数被装置2接收。由此，
使用装置中的近场设备传递RAND1。装置1和装置2两者向认证器装置
发送（506）相同的RAND1以用于对装置1、装置2、或装置的用户的一
个或多个的认证。在说明性实施方式中，装置1响应于来自认证器装置
的认证要求生成并发送RAND1。例如，认证器装置在装置1发送注册请
求后发送认证要求以在网络102上操作（因此通过装置1发起要求）；
或者可通过认证器装置发起认证要求（因此要求并非由装置1请求）。

如果认证器装置确认（508）来自装置1和装置2的随机数相同，则
认证成功，例如用于网络访问和/或访问服务。否则，如果两个随机数
不匹配，则认证失败。在确定认证的状态（成功或失败）后，认证器
装置通过向装置1发送认证响应来完成认证处理（510），该认证响应
指示对于装置1、装置2、和/或装置的用户的认证的状态。

图6是示出根据第三实施例的使用近场进行认证的方法600的流程
图，其与APCO标准兼容。例如，在图7所示的系统中实现参照方法600
所示的功能性。该系统包括装置1700和装置2702。该系统进一步包括
在网络（例如网络102）的基础设施中包括的认证中心（AC）704和区
域控制器（ZC）706。由于为了通过装置之间的近场链路在近场非传播
信号中传送数据所要求的近距离（即，6英寸或更少），装置1和装置2
可假定由相同的用户操作或者具有共同的用户。此外，装置1被提供电
子序列号（ESN1），以及装置2被提供电子序列号（ESN2）。

AC 704也被提供ESN1和ESN2以帮助根据本实施例的认证，其中
AC 704和ZC 706有效共享“认证器装置”的职责，用于基础设施中某
些信息的加强保护并用于认证处理的更快速度。具体而言，本实施例
使用认证密钥（K），认证密钥（K）需要保护，并且因此在AC 704中
得出并存储在AC 704中。ZC 706从AC 704接收得自K的会话认证信息
（SAI）。通常，早在需要SAI以认证装置1之前，先验地将SAI发送给
ZC 706，并且SAI用于预定的时间段。然后ZC 706在执行装置1的实时
认证（如下所述）中以相比AC 704所能实现快得多的时间使用SAI，其
中“实时”意味着具有可忽略的延迟。

回到方法600，在602用户“接触”装置1和装置2。将装置置于需
要的接近度后，通过建立的近场链路，来自装置2的ESN2在非传播近场
信号中被发射（604）给装置1并被装置1接收。由此，利用装置中的近
场设备传递ESN2。为了获得对网络102的访问，装置1发送向网络102
的基础设施中的RFSS（射频子系统）注册（606）的注册请求，其到达
ZC 706。或者，未注册的装置1尝试请求服务，例如访问特定数据库。

响应于单元注册（或者服务请求），ZC 706向装置1发送认证要求
（又称为“经请求的”认证质询）。在另一实施方式中，在装置1的成
功认证之后任何时间，认证装置可以发送“未经请求的”认证质询，
其不是对来自装置1的请求的响应，并且因此未经装置1请求。在APCO
实施例中，如下参照图7所示，认证要求包括随机质询（RAND1）（利
用随机数发生器通过ZC 706产生）和随机种子（RS）。AC 704利用随
机数发生器产生RS。AC 704进而产生会话认证密钥（KS）。会话RS
和KS构成由AC 704发送给ZC 706的SAI。

根据这里的教导，AC 704得出K作为单独ESN2的函数，或者使用
ESN1和ESN2的某些组合或函数来得出K。更具体而言，在APCO实施
例中，得出K作为ESN1和ESN2（提供给AC）以及关联于装置1的密钥
（K’）的函数。然后AC 704将K和RS输入第一认证机制或算法（AM1），
其输出KS。在一个说明性实施方式中，K是128位，RS是80位，RAND1
是40位，而认证结果（RES1）是32位。但是，这些元件或者使用的特
定认证功能的尺寸可以变化而不脱离这里教导的范围。

从ZC 706接收（606）包括RAND 1和RS的认证要求后，装置1得出
（610）RES 1，将其发送给ZC 706。具体而言，根据APCO实施例，使
用一函数（可假定是与AC 704使用的相同的函数）以从ESN1、ESN2
和K’得出（608）K，其存储在装置1中。装置1将K和RS输入第一认证
机制或算法（可假定是AM1），其输出KS。装置1将KS和RAND1（来
自ZC 706）输入第二认证机制或算法（AM2），其输出（610）RES1
以被发送给ZC 706。

ZC 706通过以下步骤来验证（612）RES1：将存储的KS和产生的
RAND1输入认证机制或算法（可假定是AM2），以独立地产生认证结
果（XRES）；以及将XRES与RES1进行比较，以产生认证响应（R1），
认证响应被发送给装置1。当在装置1以及AC 704和ZC 706中使用的认
证函数（例如AM1和AM2）以及ESN1和ESN2相同时，则RES1和XRES
将相同，向网络和/或服务的用户产生指示装置1（和/或装置2）的成功
认证的正R1。否则，如果使用的任何元件不同并指示未授权的装置和/
或用户，则R1会是指示失败认证的负响应。

如上所述，即使R1为正，ZC 706也可以周期性地发起未经请求的
认证要求，以质询认证。在这种情况下，将重复方法600。并非每次接
收认证请求都从装置2接收ESN，在一实施例中，装置1存储它通过近场
链路接收的最后的ESN，并使用该ESN以执行根据本教导的认证方法
（例如方法400或600）。如果在后续认证过程期间，装置1中仍然存储
有ESN2，则它产生并发送给ZC 706的RES1将再次与XRES1匹配，并且
R1将指示成功的认证。

但是，假设在过渡时期，不同的装置（装置3）与装置1配了对，
并具有不同于ESN2的ESN（即ESN3）。当装置1接触装置3时，ESN3
会被传送到装置1并存储在装置1中以用于认证；因此，装置1将ESN2
从它的存储器中清除，并用ESN3代替它。因此，当装置1得出作为ESN1
和存储的ESN（在这种情况下是ESN3）的函数的认证响应时，认证结
果与认证器装置中独立产生的认证结果不会匹配，并且因此来自认证
器装置的认证响应将指示失败的认证，因为ESN不同于在认证器装置中
提供的ESN2。

在前面的说明书中，描述了特定实施例。但是，本领域技术人员
理解，在不脱离如同后附权利要求书阐明的本发明的范围的情况下，
可做出各种修改和变化。因此，说明书和附图应当视作说明性而不是
限制性的含义，并且所有这样的修改都是要涵盖于本教导的范围内。
好处、优点、问题的解决方案以及可导致任何好处、优点或问题的解
决方案出现或者变得更加显著的任何（一个或多个）要素不应视作任
何或所有权利要求的关键的、要求的或本质的特征或要素。仅通过后
附权利要求书限定本发明，包括本申请未决期间做出的任何修改以及
所公开的那些权利要求的全部等效物。

此外在本文献中，诸如第一和第二、上和下等等关系术语可以仅
用于将一个实体或动作与另一个实体或动作区别开，不一定要求或暗
示这些实体或动作之间任何实际上的这种关系或顺序。术语“包括”、
“具有”、“包含”或者它们的任何其他变型都是要涵盖非排他性包
括，因此包括一系列要素的处理、方法、项目或设备不仅包括那些要
素，而且可包括这些处理、方法、项目或设备中没有明确列出或者这
些处理、方法、项目或设备所固有的其他要素。“包括…不定冠词”、
“具有…不定冠词”、“包含…不定冠词”后跟着“要素”在没有更
多限制的情况下不排除包括、具有、包含该要素的处理、方法、项目
或设备中附加等同要素的存在。术语“不定冠词”被限定为一个或多
个，除非这里另外明确指定。如同本领域技术人员理解的，术语“实
质上”、“本质上”、“近似地”、“大约”或者其任何其他形式被
限定为接近，并且在一个非限制性实施例中该术语被限定在10%以内，
在另一实施例中被限定在5%以内，在另一实施例中被限定在1%以内，
在另一实施例中被限定在0.5%以内。这里使用的术语“耦联”被限定
为连接，虽然不一定直接连接，也不一定机械地连接。以某种方式“配
置”的装置或结构至少按照该方式配置，但是也可以以没有列出的方
式配置。

应当理解，某些实施例可包括一个或多个通用处理器或专用处理
器（或“处理装置”），例如微处理器、数字信号处理器、定制处理
器和现场可编程门阵列（FPGA）以及控制该一个或多个处理器以协同
某些非处理器电路实施用于这里描述的近场无线装置配对的方法和设
备的一部分、大部分或全部功能的独特存储的程序指令（包括软件和
固件两者）。非处理器电路可包括射频接收器、无线电发射器、信号
驱动器、时钟电路、电源电路和用户输入装置，但是不限于此。因此，
可将这些功能解释为执行这里描述的近场无线装置配对的方法的步
骤。或者，可通过没有存储的程序指令的状态机来实现一部分或全部
功能，或者在一个或多个特定用途集成电路（ASIC）中实现一部分或
全部功能，其中将每个功能或某些功能的一些组合实现为定制逻辑。
当然，可使用两种方式的组合。为了前面讨论和权利要求语言的目的，
这里将状态机和ASIC均视作“处理装置”。

此外，可将实施例实现为将计算机可读代码存储其中的计算机可
读存储元件或介质，计算机可读代码用于将计算机（例如包括处理装
置）编程，以执行这里描述和主张的方法。这些计算机可读存储元件
的示例包括硬盘、CD-ROM、光存储装置、磁存储装置、ROM（只读
存储器）、PROM（可编程只读存储器）、EPROM（可擦除可编程只
读存储器）、EEPROM（电可擦除可编程只读存储器）和闪存，但是
不限于此。此外，预期本领域技术人员尽管有可能通过例如有效时间、
当前技术以及经济考虑激发出可能显著的努力和很多设计选择，但是
当受到这里公开的概念和原理引导时，很容易就能够通过最少的实验
来产生这样的软件指令和程序以及IC。

提供本公开的摘要以允许读者迅速确定技术公开的性质。它服从
这样的理解，不用于解释或限制权利要求书的范围或意义。此外，在
前面的详细描述中可以看到，为了组织（streamlining）本公开的目的，
在各个实施例中将各种特征聚集在一起。该公开方法并非要解释为反
映所主张的实施例需要比每个权利要求中明确陈述的特征更多的特
征。此外，如同以下权利要求反映的，创造性主题在于少于单个公开
实施例的全部特征的特征。因此，将以下权利要求结合在详细描述中，
且每个权利要求保持其本身为独立主张的主题。

资源描述

《使用近场进行认证的方法.pdf》由会员分享，可在线阅读，更多相关《使用近场进行认证的方法.pdf（20页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102823216 A (43)申请公布日 2012.12.12 C N 1 0 2 8 2 3 2 1 6 A *CN102823216A* (21)申请号 201080065998.3 (22)申请日 2010.12.20 12/748,982 2010.03.29 US H04L 29/06(2006.01) H04W 12/06(2006.01) H04W 92/18(2006.01) (71)申请人摩托罗拉解决方案公司地址美国伊利诺伊州 (72)发明人亚历杭德罗G布兰科乔治S汉纳约翰B普雷斯顿马克伯格尔 (74)专利代理机构中原信达知识产权代理有限。

2、责任公司 11219 代理人夏东栋陆锦华 (54) 发明名称使用近场进行认证的方法 (57) 摘要用于认证具有ESN1（电子序列号）的装置1、具有ESN2的装置2和/或装置的用户的认证方法。在一个实施方式中，装置1在近场信号中接收（404）ESN2；得出（406）作为ESN1和ESN2的函数；以及将认证结果发送（408）给认证器装置，以用于完成认证。当装置1认证结果与通过被提供以ESN1和ESN2的认证器装置独立产生的认证结果匹配时，确认认证（410）。在第二实施方式中，装置1产生RAND1（随机数）并通过近场链路将其发送给装置2。从装置1和装置2两者接收相同的RAN。

3、D1时，认证器装置确认认证。 (30)优先权数据 (85)PCT申请进入国家阶段日 2012.09.29 (86)PCT申请的申请数据 PCT/US2010/061217 2010.12.20 (87)PCT申请的公布数据 WO2011/123162 EN 2011.10.06 (51)Int.Cl. 权利要求书3页说明书9页附图7页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 3 页说明书 9 页附图 7 页 1/3页 2 1.一种使用近场信号进行认证的方法，所述方法包括：通过具有第一电子序列号的用户的第一装置，从所述用户的第二装置接收第二电子序列号，。

4、其中在近场信号中接收所述第二电子序列号；通过所述第一装置得出认证结果，作为所述第一电子序列号或所述第二电子序列号的至少一个的函数；以及将所述认证结果发送给认证器装置，以用于对所述第一装置、所述第二装置、或者所述第一装置和所述第二装置的用户的至少一个的认证。 2.权利要求1的方法，进一步包括：产生随机数，其中所述认证结果进一步是所述随机数的函数；以及将所述随机数发送给所述认证器装置，以连同所述认证结果用于对所述第一装置、所述第二装置、或者所述用户的至少一个的认证。 3.权利要求1的方法，其中得出认证结果包括：通过将函数应用于所述第一电子序列号和所述第二电子序列号以及存储在所述第一。

5、装置和所述认证器装置中的密钥的至少一部分，产生认证密钥；以及利用所述认证密钥得出所述认证结果。 4.权利要求1的方法，其中响应于从所述认证器装置发送给所述第一装置的认证要求，发送所述认证结果，其中所述认证要求是以下的其中一个：响应于从所述第一装置发送给所述认证器装置的注册请求；或者未经所述第一装置请求。 5.权利要求1的方法，其中在所述认证器装置中提供所述第一电子序列号和所述第二电子序列号，以使得所述认证器装置能够产生指示对于所述第一装置、所述第二装置、或者所述用户的至少一个的认证的状态的认证响应，并将其发送给所述第一装置，其中，当所述认证结果与第二认证结果匹配时，所述认证响应指。

6、示成功认证，否则，所述认证响应指示失败认证，所述第二认证结果通过所述认证器装置将与通过所述第一装置应用的相同的函数应用于提供的所述第一电子序列号和所述第二电子序列号而独立产生。 6.权利要求1的方法，其中所述认证针对访问网络或者访问服务的至少一种。 7.权利要求1的方法，其中所述近场信号包括实质上的磁性非传播无线电信号。 8.一种使用近场链路进行认证的方法，所述方法包括：由用户的第一装置执行：产生随机数；通过近场链路将所述随机数发送给所述用户的第二装置；以及将所述随机数发送给认证器装置，其中，在所述认证器装置从所述第一装置和所述第二装置两者接收相同的随机数后，认证所述第一装置、所。

7、述第二装置、或者所述第一装置和所述第二装置的用户的至少一个。 9.权利要求8的方法，进一步包括：由所述第二装置执行：通过所述近场链路从所述第一装置接收所述随机数；以及将所述随机数发送给所述认证器装置，以完成所述第一装置、所述第二装置、或者所述用户的至少一个的认证。 10.权利要求8的方法，其中所述认证针对访问网络或者访问服务的至少一个。权利要求书CN 102823216 A 2/3页 3 11.权利要求8的方法，其中所述近场链路用于传递实质上的磁性非传播无线电信号，所述实质上的磁性非传播无线电信号用于承载所述随机数。 12.权利要求8的方法，其中响应于从所述认证器装置发送。

8、给所述第一装置的认证要求，发送所述随机数，其中所述认证要求是以下的其中一个：响应于从所述第一装置发送给所述认证器装置的注册请求；或者未经所述第一装置请求。 13.权利要求8的方法，进一步包括：在所述认证器装置从所述第一装置接收到所述随机数并且从耦联到所述第一装置的另一装置接收到不同的随机数后，接收失败认证的指示。 14.一种使用近场进行认证的方法，所述方法包括：由具有第一电子序列号的用户的第一装置执行：从认证器装置接收认证要求；从用户的第二装置接收第二电子序列号，所述第二电子序列号在所述第一装置和所述第二装置中利用近场设备传递；得出认证结果作为所述第一电子序列号或所述第二电子。

9、序列号的至少一个的函数；将所述认证结果发送给所述认证器装置，其中在所述认证器装置中提供所述第一电子序列号和所述第二电子序列号，以使得能够基于所述认证结果生成认证响应；以及从所述认证器装置接收所述认证响应。 15.权利要求14的方法，其中在通过所述近场设备产生的实质上的磁性非传播无线电信号中传递所述第二电子序列号。 16.权利要求14的方法，进一步包括：由所述第一装置执行：存储电子序列号用于除了所述第一装置之外的装置，该电子序列号是利用所述第一装置的近场设备被最后接收的；从所述认证器装置接收后续认证要求；得出后续认证结果作为所述第一电子序列号和存储的电子序列号的函数；将所述后。

10、续认证结果发送给所述认证器装置；以及从所述认证器装置接收后续认证响应，其中，当所述存储的电子序列号是所述第二电子序列号时，所述后续认证响应指示成功认证，其中，当所述存储的电子序列号不同于所述第二电子序列号时，所述后续认证响应指示失败认证。 17.权利要求16的方法，进一步包括：在从所述第二装置接收所述第二电子序列号后将其存储；从第三装置接收第三电子序列号，所述第三电子序列号在所述第一装置和所述第三装置中利用近场设备传递；用所述第三电子序列号代替所述第二电子序列号，所述第三电子序列号用于得出指示失败认证的后续认证结果。 18.权利要求14的方法，其中接收所述认证响应包括：当。

11、所述认证结果与第二认证结果匹配时接收正认证响应，否则，接收负认证响应，所述权利要求书CN 102823216 A 3/3页 4 第二认证结果通过所述认证器装置将与通过所述第一装置应用的相同的函数应用于提供的所述第一电子序列号和所述第二电子序列号而独立产生。 19.权利要求14的方法，其中所述认证要求是以下的其中一个：响应于从所述第一装置发送给所述认证器装置的注册请求，或者通过所述认证器装置发起。 20.权利要求14的方法，其中所述认证响应指示以下的至少一个：对于所述第一装置或所述第二装置的至少一个的认证，用于访问网络；或者所述用户的认证，用于访问服务。权利要求书C。

12、N 102823216 A 1/9页 5 使用近场进行认证的方法 0001 相关申请的参考 0002 本发明涉及与本申请一起由摩托罗拉公司共同拥有的以下美国申请： 0003 由Higgins等人于2009年8月3日提交，名为“用于近场无线装置配对的方法和系统”，序号为No.12/534,246（代理人卷号为No.CM12719）。技术领域 0004 本发明一般涉及用户或装置认证，尤其涉及使用近场技术的认证。背景技术 0005 在很多通信情景中，希望在允许对网络或服务的访问之前认证或验证人员和/或装置的身份。最普通的用户认证是要求登录和密码。该方法的困难在于用户必须记得和输入该信息。进。

13、一步结合该问题，当前在公共安全中使用的大部分无线电设备没有键盘、显示器或其他图形用户界面（GUI）。因此，对于某些无线电设备，呈现很有限的用户界面甚至不呈现用户界面来帮助认证处理。 0006 此外，如果用户信息被未授权人员获得，则用户登录和密码方法也容易受到电子欺骗。为此，有时候通过用于认证的第二因素，例如给出其他信息以输入的种子卡，来加强该方法。由于与用户登录和密码方法相关联的这些限制，希望有不需要用户输入密码或其他信息来完成认证处理的强大认证方法。 0007 因此，需要一种用于使用近场技术和/或机制进行认证的方法和系统。附图说明 0008 附图中，遍及各个视图中相同的附图标记表。

14、示相同或功能相似的元件，附图与下面的详细描述一起结合在说明书中并构成说明书的一部分，用于进一步示出包括权利要求所主张的本发明的概念的各种实施例，以及用于说明这些实施例的各种原理和优点。 0009 图1是示出其中根据一些实施例实现认证方法的通信系统的示意图。 0010 图2是示出根据一些实施例的包括实现认证方法的无线电装置和附属装置的系统的方框图。 0011 图3是图2的系统的示意图，示出根据一些实施例用于实现认证方法的共振天线。 0012 图4是示出根据一实施例的使用近场进行认证的方法的流程图。 0013 图5是示出根据另一实施例的使用近场进行认证的方法的流程图。 0014 图6是示出根。

15、据再一实施例的使用近场进行认证的方法的流程图。 0015 图7是示出根据一些实施例的使用认证中心、区域控制器以及装置的认证的方框图。 0016 本领域技术人员应当理解，是为了简单和清楚而示出附图中的元件，这些元件未必按比例绘制。例如，可将附图中某些元件的尺寸相对于其他元件放大，以帮助改善对各种实施例的理解。此外，描述和附图未必要求所示出的顺序。应当进一步理解，可以按照出现说明书CN 102823216 A 2/9页 6 的特定顺序描述或图示某些动作和/或步骤，但是本领域技术人员应当理解，实际上不要求关于顺序的这种特异性。在附图中适当的地方用传统符号表示设备和方法构件，仅示出有关。

16、于理解各种实施例的那些特殊细节，从而避免用对得益于这里描述的本领域技术人员而言显而易见的细节混淆本公开。因此，应当理解，为了图示的简单和清楚起见，可以不图示商业可行实施例中有用或必要的普通和公知的元件，以帮助各种实施例的更少遮蔽的视图。具体实施方式 0017 一般而言，根据一个实施例，用户的第一装置具有第一电子序列号（ESN）并从用户的第二装置接收第ESN，其中在近场信号中接收第二ESN。第一装置得出认证结果，作为第一ESN或第ESN的至少一个的函数，并将认证结果发送给认证器装置，以在认证第一装置、第二装置、或者第一装置和第二装置的用户的至少一个中使用。可结合用于数字无线电通信。

17、的一套标准Project 25或APCO-25（这里称为APCO）中所述的认证过程使用该实施例。 0018 根据另一个实施例，用户的第一装置生成随机数并通过近场链路将所述随机数发送给用户的第二装置。第一装置进一步将所述随机数发送给认证器装置，其中当认证器装置从第一装置和第二装置两者接收相同的随机数时，认证第一装置、第二装置、或者第一装置和第二装置的用户的至少一个。 0019 实现所公开实施例的好处包括：根据这里教导的认证方法不需要密码或其他登录信息的用户输入（虽然，需要时可将所公开的方法用作认证中除了登录或密码之外的第二因素），并且因此，甚至与没有显示器、键盘或其他GUI的无线电装置。

18、兼容；在一个说明性实施方式中使用的低频非传播信号容易产生，以低功率提供近距离通信，并且低于在大部分无线电装置和其他无线通信装置中使用的电磁信号的频率的程度足够大以便与这些的干扰被最小化或不存在；并且在一个说明性实施方式中使用的非传播信号根本上安全，因为用于该技术的传播定律是1/r 6 而不是用于普通传播无线电信号的1/r 2 基本上，经过短距离之后，信号强度下降得如此迅速，以致低于热噪声层，并且因此对于秘密接收是隐藏的。本领域技术人员应当认识到，上面认识的优点和这里描述的其他优点只是说明性的，并非要成为各种实施例的全部优点的完整表现。 0020 下面参照附图，特别是图1，示出根据。

19、某些实施例实现认证方法的通信系统的示意图并一般性地用100表示。系统100包括多个说明性通信装置，例如耳机110、膝上型电脑 112、蜂窝电话114、个人数据助理（PDA）116以及陆地移动无线电装置118，其中的两个或更多个装置通过用户操作，并因此称为“用户”或“订户”装置。这里的教导旨在提供用于认证两个或更多个该装置的用户和/或一个或多个该装置的方法。这些方法，例如下面参照图4至图7所述，可以在各种使用情况情景中实现，下面通过例示描述其中的两个。 0021 在一个示例性使用情况情景中，用户希望协作使用两个装置，并通过系统100的网络102操作两个装置的至少一个，以与一个或多个其他。

20、装置（未示出）通信。例如，用户在通过网络102操作装置112、114、116或118中的一个装置的同时可以使用诸如耳机110的附属装置以及所述一个装置；或者用户可协作使用PDA 116和无线电装置118以通过网络 102传递语音和数据。在这种情况下，在被允许访问网络之前，装置112、114、116或118中的一个或多个可能需要经由认证器装置104向网络102认证。说明书CN 102823216 A 3/9页 7 0022 在另一个示例性使用情况情景中，装置110、112、114、116和118中的多个装置的用户可能希望使用服务，例如网络独立服务108，并且可能因此需要经由认证器装。

21、置例如 106认证他或她的身份。例如，所述网络独立服务可以是对于需要用户身份和验证用于访问的国家、区域或州数据库的访问。但是，对任何服务的访问都涵盖在这种使用情况情景中。 0023 回到系统100的元件，用户装置110、112、114、116和118可以是任何类型的装置，例如通过图1的图示所提供的那些装置，或者是具有无线和近场能力的任何其他类型的订户装置。认证器装置104和106可以是实现符合这里用于帮助用户和/或装置认证的教导的方法和协议的任何装置。在一个说明性实施方式中，认证器装置是服务器，例如具有存储器、处理器以及可操作性地耦联用于与装置112、114、116或118中的一个或。

22、多个通信的适当的有线和/或无线接口的认证、授权和计费（AAA）服务器。 0024 网络102可以是任何类型的通信网络，其中用户装置使用任何适当的空中协议和调制方案与网络中的基础设施装置通信。虽然未示出，但是网络102包括用于商业性实施例的多个基础设施装置，一般表示但不局限于网桥、开关、区域控制器、基站控制器、中继器、基站无线电装置、收发器基站、接入点、路由器、认证中心、或者帮助在无线或有线环境中实体之间通信的任何其他类型的基础设施装备。最后应当注意，为了便于图示，参照有限数量的装置图示了系统100。但是，在商业性系统中可以实现任何适当数量的认证装置、用户装置、网络和独立服务，而不。

23、损失这里教导的一般性。 0025 现在转到图2，示出包括根据某些实施例实现认证方法的两个装置的系统的方框图被示出，并一般性地用200表示。系统200包括第一通信装置（在这种情况下是无线电装置118）和第二通信装置（在这种情况下是耳机110）。但是，第一通信装置和第二通信装置可以是通过用户操作的任何类型的通信装置，其需要用户和/或装置认证，包括图1所示的任何说明性用户装置。 0026 装置118包括：微控制器或数字信号处理器（DSP）206；使用电磁（也已知为传播和 “远场”）信号用于较短距离通信222（例如10-100m或者30-300）的设备，在这种情况下是包括具有对应天线210的。

24、蓝牙无线电装置208的蓝牙设备；近场通信（NFC）设备（或简称近场设备），其包括NFC接收器212、共振NFC天线214和NFC发射器216；具有对应天线220 用于产生远距离（超过100m）电磁信号226的双向陆地移动无线电收发器218。装置110包括：微控制器或DSP 232；对应的蓝牙设备，包括具有对应天线230的蓝牙无线电装置228；对应的近场设备，包括NFC接收器236、共振NFC天线234和NFC发射器238；以及其他附属装置功能240，包括头戴式受话器、汽车音频套件、文本显示器和键盘装置、手持式计算装置、扫描仪、打印机和远程控制装置，但是不限于此。此外，如果第二装置不是。

25、附属装置（例如，如果第二装置是蜂窝电话114或PDA 116），那么它进一步包括对应的收发器和天线，类似于无线电装置118的收发器218和天线220。 0027 关于在用户装置中处理的信号类型，将传播信号或“远场”信号限定为电磁信号，包括电场分量和磁场分量两者，其通过向发射装置处的天线提供射频交变电流而产生，以产生自传播的信号（即辐射波），使得可以在远超过两米的距离处的接收装置处的天线处成功地接收所述信号。在无障碍环境中传播信号遵守1/r 2 传播定律，其中信号以大约1/r 2 的速度下降，其中r是发射天线与接收天线之间的距离。因此，在产生传播信号的远场系统（与近场系统相反）中，。

26、将全部传输能量设计为向自由空间中辐射。说明书CN 102823216 A 4/9页 8 0028 将此与非传播信号（在现有技术中又称为倏逝信号）相比，非传播信号被限定为具有实质上的磁场分量或者实质上的电场分量但是不同时具有两者的信号，其遵守1/r 6 传播定律，其中非传播无线电信号功率以大约1/r 6 的速度下降，其中r是发射天线与接收天线之间的距离。因此，由于缺少可以产生辐射波的天线，非传播信号被局域化于它的源处。而是，用于产生非传播信号的天线（这里称为NFC“共振天线”）相较于激励信号的波长在电方面非常小，因此不产生实质上的电磁分量，而只是在天线附近产生局部电场或磁场（信号。

27、的非传播分量是该信号的任何传播分量的10 6 的量级上的倍，如果存在一个传播分量的话）。这里又将非传播信号称为“近场”信号。此外，“近场设备”用于通过这里称为“近场链路” 的通信路径传递近场信号。 0029 再回到图2中所示无线电装置118和附属装置110的元件的描述，用户装置118的控制器206控制蓝牙设备、近场设备以及双向无线电收发器设备的协作，以利用相应设备实现对应的通信。用户装置110的控制器232控制蓝牙设备、近场设备以及其他附属装置功能的协作，以利用相应设备实现对应的通信。控制器206和控制器232可以是具有用于执行用于实现根据这里教导的实施例的功能的适当的处理功率和关。

28、联存储器（未示出）的任何处理元件（诸如数字信号处理器）。 0030 蓝牙无线电装置208和228建立用于蓝牙传输222的链路，例如附属装置110与无线电装置118之间的语音传输。蓝牙无线电装置208和228包括根据以下的任何一个或多个规范实施蓝牙协议的传统蓝牙收发器：批准为IEEE标准802.15.1-2002的蓝牙规范 1.1；批准为IEEE标准802.15.1-2005的蓝牙规范1.2；2004年11月10日发布的蓝牙规范 2.0+EDR（增强数据率）；2007年7月26日由蓝牙SIG采用的蓝牙核心规范2.1；2009年4 月21日由蓝牙SIG采用的蓝牙规范3.0；和/或后续蓝牙规范。

29、发布。在本实施例中，蓝牙技术用于短距离通信，但是可将任何适当的技术用于短距离通信，包括但不限于Zigbee、IEEE 802.11a/b/g（Wi-Fi）、无线USB等等。 0031 进一步关于装置118，在本说明性实施例中，收发器218和天线220也是实施使得能够利用其他通信装置（未示出）例如经由网络102实现双向语音媒体226在空中的传输和接收的一个或多个协议的传统元件。这些协议可包括通过诸如TIA（电信工业协会）、OMA （开放移动联盟）、3GPP（第三代合作伙伴计划）、3GPP2（第三代合作伙伴计划2）、IEEE（电子电气工程师协会）802以及WiMAX论坛等标准实体开发的用于。

30、无线通信的标准规范，但是不限于此。此外，根据特定的用户装置，可使用收发器218和天线220来传输诸如视频的其他媒体。 0032 无线电装置118和附属装置110中的近场设备（例如，分别是元件212、214、216和 234、236、238）被设计为建立用于传递近场传输224的近场链路的“对等”自行供电装置（与作为非自行供电的无源装置的一个装置相反）。近场设备的设计产生在共振天线周围（即在其6英寸以内）局域化的调制数据信号，其用这种技术传送数据时提供很大程度上的安全性。此外，某些近场设备实施例产生的低频信号使得能够防止近场信号与区域中相同装置或多个装置的其他媒体传输发生干扰。 003。

31、3 在一个说明性实施方式中，近场设备包括（可合并在控制器206和232中或者与其分离的）微控制器，当用适当的软件（代码）对其进行编程时，微控制器用作近场发射器和接收器。作为发射器，微控制器将数据（例如，ESN或随机数）调制到载波上，用于经由近场共说明书CN 102823216 A 5/9页 9 振天线作为非传播信号224进行传输。作为接收器，微控制器从共振天线接收包括调制到载波上的数据的非传播信号。 0034 可通过线圈装置（例如电感器）和其他补充电路（例如电阻器和电容器）来实现近场共振天线214、234，以产生数据被调制到其上的实质上的磁场，即，调制的载波频率。在近场设备的一。

32、个实施例中，将天线组件和微处理器设计为产生以13.56MHz为中心的调制后的非传播信号。这样的实施例与用于对等操作的NFC标准兼容，例如，如ISO/IEC 18092 NFCIP-1/EMCA-340/ETSI TS 102 190 v1.1.1（2003-03）和ISO/IEC 21481 NFCIP-2/ EMCA-352/ETSI TS 102 312 v1.1.1（2004-02）中所述的NFC标准。 0035 在近场设备的另一个实施例中，将天线组件和微处理器设计为产生以任何适当 “低”频为中心的调制后的非传播信号，其中低频指的是小于1MHz的频率。在一个示例性实施方式中，天线组件。

33、包括：具有270K欧姆的值的电阻器；具有150欧姆的值的电阻器；具有 7.3毫亨的值的线圈装置，其在此情况下是电感器；具有220皮法的值的天线共振电容器；以及具有1.0微法的值的旁路电容器。该实施方式产生大约以大约125KHz的振荡器频率为中心的调制后的载波信号。 0036 图3是系统200的示意图，示出用户300将附属装置（110）拿到距离无线电装置 118大约1英寸的范围内，其中通过近场链路在近场信号中交换信息，以根据这里的教导帮助认证。OOB数据224，例如随机数或者如下详述的ESN，包括在共振天线214（示出为包括在无线电装置118上的适配器302中）和234（在附属装置110。

34、中）周围局域化的非传播信号。通过上述在近场设备中使用的构件，主机和附属装置中近场设备之间的范围是从天线到天线大约2”，这为将天线嵌入附属装置以及无线电装置中的板上留下足够的空间，并在外部留下一些空间（例如1英寸）以备用。 0037 现在转到根据所公开的教导执行认证的方法。图4是示出根据第一实施例的使用近场进行认证的方法400的流程图。在两个装置（例如装置118（又称为装置1）和装置110 （又称为装置2）中执行参照方法400所示的功能性，并且可通过该两个装置之间的配对过程并行地执行。由于为了通过装置之间的近场链路在近场非传播信号中传送数据所需的近距离（即6英寸或更少），可以假定装置。

35、1和装置2由相同的用户操作或者具有共同的用户。此外，装置1被提供电子序列号（ESN1），以及装置2被提供电子序列号（ESN2）。这里将电子序列号（ESN）定义为嵌入或刻写在装置中的微芯片上的独特标识号，且其不能在现场修改。例如，无线电话包含ESN，并且每次进行呼叫时，自动将ESN发射给基站，因此无线载波的移动电话交换局可以检查呼叫的有效性。 0038 因此，在402，用户“接触”装置1和装置2。“接触”装置意味着装置在用于对近场信号进行传递的操作场的范围内，即，在6英寸与0英寸（进行实体接触）之间。将装置置于需要的接近度后，通过建立的近场链路，来自装置2的ESN2在非传播近场信号中。

36、被发射（404）给装置1并被装置1接收。由此，利用装置中的近场设备传递ESN2。 0039 装置1单独使用ESN2或者使用ESN1与ESN2的某些组合或函数来确定或计算（406）认证结果（RES），以发送（408）到认证器装置（例如，104和/或106），从而用于认证装置1、装置2、和/或两个装置的用户。在实施例中，装置1响应于来自认证器装置的认证要求发送RES，例如在与APCO标准（如下参照图6和图7详述）兼容的实施方式中。例如，认证器装置在装置1发送注册请求后发送认证要求，以在网络102上操作（因此通过装置1发说明书CN 102823216 A 6/9页 10 起要求）；或。

37、者通过认证器装置发起认证要求（因此要求非由装置1请求）。在第二示例中，一旦认证成功，认证器装置可以周期性地质询认证（也与APCO标准兼容）。这样例如保证了操作无线电装置未被盗，并且正与不同的附属装置协作使用。除非窃贼偷走两个装置，否则后续认证会失败。 0040 此外，根据与APCO标准兼容的实施例，装置1通过将函数应用于ESN1和ESN2的至少一部分以及装置1中存储的密钥，产生认证密钥，并使用认证密钥得到RES。用于产生 RES的函数的复杂性取决于系统中期望的安全性等级，并且可涉及ESN1和ESN2的一个或两个的数学方程式或算法或级联。在一个说明性实施方式中，装置1包括生成随机数（R。

38、AND1）的随机数发生器；并且装置1计算（406）RES作为ESN1、ESN2和RAND1的函数（图4中将该函数示出为f(ESN1,ESN2,RAND1)）。然后装置1将RAND1和RES发送（408）给认证装置。 0041 认证器装置独立确定它自身的认证结果，将其与RES比较以确认（410）RES。为了确认RES，认证器装置通过在RAND1（通过装置1发送）与ESN1和ESN2（已经在认证器装置中提供用于认证）上执行函数，自生成认证结果。如果两个认证结果匹配，则认证成功，这意味着装置1和认证器装置在相同的两个ESN上执行了相同的函数。这进一步意味着认证器装置可以向成功认证的装置1。

39、提供响应，用于访问网络102（例如对于装置1和/或装置2）或者访问网络独立服务108（例如对于与两个装置相关联的用户（通过用户标识符UID来识别）。否则，如果两个认证结果不匹配，则认证失败。在确定认证状态（成功或失败）后，认证器装置通过向装置1发送认证响应来完成认证处理（412），该认证响应指示对于装置1、装置2和/或装置的用户的认证的状态。 0042 图5是示出根据第二实施例的使用近场进行认证的方法500的流程图。在两个装置（例如装置118（又称为装置1）和装置110（又称为装置2）中执行参照方法500所示的功能性。由于为了通过装置之间的近场链路在近场非传播信号中传送数据所要求的。

40、近距离（即，6英寸或更少），装置1和装置2可假定由相同的用户操作或者具有共同的用户。 0043 在本实施例中，用户“接触”（502）装置1和装置2。装置1包括生成（504）随机数（RAND1）的随机数发生器，装置1通过近场链路在近场信号中将该随机数发送给装置2，该随机数被装置2接收。由此，使用装置中的近场设备传递RAND1。装置1和装置2两者向认证器装置发送（506）相同的RAND1以用于对装置1、装置2、或装置的用户的一个或多个的认证。在说明性实施方式中，装置1响应于来自认证器装置的认证要求生成并发送RAND1。例如，认证器装置在装置1发送注册请求后发送认证要求以在网络102上操。

41、作（因此通过装置1发起要求）；或者可通过认证器装置发起认证要求（因此要求并非由装置1请求）。 0044 如果认证器装置确认（508）来自装置1和装置2的随机数相同，则认证成功，例如用于网络访问和/或访问服务。否则，如果两个随机数不匹配，则认证失败。在确定认证的状态（成功或失败）后，认证器装置通过向装置1发送认证响应来完成认证处理（510），该认证响应指示对于装置1、装置2、和/或装置的用户的认证的状态。 0045 图6是示出根据第三实施例的使用近场进行认证的方法600的流程图，其与APCO 标准兼容。例如，在图7所示的系统中实现参照方法600所示的功能性。该系统包括装置 1700和装置。

42、2702。该系统进一步包括在网络（例如网络102）的基础设施中包括的认证中心（AC）704和区域控制器（ZC）706。由于为了通过装置之间的近场链路在近场非传播信号中传送数据所要求的近距离（即，6英寸或更少），装置1和装置2可假定由相同的用户操作说明书CN 102823216 A 10 7/9页 11 或者具有共同的用户。此外，装置1被提供电子序列号（ESN1），以及装置2被提供电子序列号（ESN2）。 0046 AC 704也被提供ESN1和ESN2以帮助根据本实施例的认证，其中AC 704和ZC 706 有效共享“认证器装置”的职责，用于基础设施中某些信息的加强保护并用于认证处。

43、理的更快速度。具体而言，本实施例使用认证密钥（K），认证密钥（K）需要保护，并且因此在AC 704 中得出并存储在AC 704中。ZC 706从AC 704接收得自K的会话认证信息（SAI）。通常，早在需要SAI以认证装置1之前，先验地将SAI发送给ZC 706，并且SAI用于预定的时间段。然后ZC 706在执行装置1的实时认证（如下所述）中以相比AC 704所能实现快得多的时间使用SAI，其中“实时”意味着具有可忽略的延迟。 0047 回到方法600，在602用户“接触”装置1和装置2。将装置置于需要的接近度后，通过建立的近场链路，来自装置2的ESN2在非传播近场信号中被发射（60。

44、4）给装置1并被装置1接收。由此，利用装置中的近场设备传递ESN2。为了获得对网络102的访问，装置 1发送向网络102的基础设施中的RFSS（射频子系统）注册（606）的注册请求，其到达ZC 706。或者，未注册的装置1尝试请求服务，例如访问特定数据库。 0048 响应于单元注册（或者服务请求），ZC 706向装置1发送认证要求（又称为“经请求的”认证质询）。在另一实施方式中，在装置1的成功认证之后任何时间，认证装置可以发送 “未经请求的”认证质询，其不是对来自装置1的请求的响应，并且因此未经装置1请求。在 APCO实施例中，如下参照图7所示，认证要求包括随机质询（RAND1）（利用随机。

45、数发生器通过ZC 706产生）和随机种子（RS）。AC 704利用随机数发生器产生RS。AC 704进而产生会话认证密钥（KS）。会话RS和KS构成由AC 704发送给ZC 706的SAI。 0049 根据这里的教导，AC 704得出K作为单独ESN2的函数，或者使用ESN1和ESN2的某些组合或函数来得出K。更具体而言，在APCO实施例中，得出K作为ESN1和ESN2（提供给AC）以及关联于装置1的密钥（K）的函数。然后AC 704将K和RS输入第一认证机制或算法（AM1），其输出KS。在一个说明性实施方式中，K是128位，RS是80位，RAND1是40 位，而认证结果（RES1）。

46、是32位。但是，这些元件或者使用的特定认证功能的尺寸可以变化而不脱离这里教导的范围。 0050 从ZC 706接收（606）包括RAND 1和RS的认证要求后，装置1得出（610）RES 1，将其发送给ZC 706。具体而言，根据APCO实施例，使用一函数（可假定是与AC 704使用的相同的函数）以从ESN1、ESN2和K得出（608）K，其存储在装置1中。装置1将K和RS输入第一认证机制或算法（可假定是AM1），其输出KS。装置1将KS和RAND1（来自ZC 706）输入第二认证机制或算法（AM2），其输出（610）RES1以被发送给ZC 706。 0051 ZC 706通过以下步。

47、骤来验证（612）RES1：将存储的KS和产生的RAND1输入认证机制或算法（可假定是AM2），以独立地产生认证结果（XRES）；以及将XRES与RES1进行比较，以产生认证响应（R1），认证响应被发送给装置1。当在装置1以及AC 704和ZC 706中使用的认证函数（例如AM1和AM2）以及ESN1和ESN2相同时，则RES1和XRES将相同，向网络和/或服务的用户产生指示装置1（和/或装置2）的成功认证的正R1。否则，如果使用的任何元件不同并指示未授权的装置和/或用户，则R1会是指示失败认证的负响应。 0052 如上所述，即使R1为正，ZC 706也可以周期性地发起未经请求的认证。

48、要求，以质询认证。在这种情况下，将重复方法600。并非每次接收认证请求都从装置2接收ESN，在一说明书CN 102823216 A 11 8/9页 12 实施例中，装置1存储它通过近场链路接收的最后的ESN，并使用该ESN以执行根据本教导的认证方法（例如方法400或600）。如果在后续认证过程期间，装置1中仍然存储有ESN2，则它产生并发送给ZC 706的RES1将再次与XRES1匹配，并且R1将指示成功的认证。 0053 但是，假设在过渡时期，不同的装置（装置3）与装置1配了对，并具有不同于ESN2 的ESN（即ESN3）。当装置1接触装置3时，ESN3会被传送到装置1并存储在装。

49、置1中以用于认证；因此，装置1将ESN2从它的存储器中清除，并用ESN3代替它。因此，当装置1得出作为ESN1和存储的ESN（在这种情况下是ESN3）的函数的认证响应时，认证结果与认证器装置中独立产生的认证结果不会匹配，并且因此来自认证器装置的认证响应将指示失败的认证，因为ESN不同于在认证器装置中提供的ESN2。 0054 在前面的说明书中，描述了特定实施例。但是，本领域技术人员理解，在不脱离如同后附权利要求书阐明的本发明的范围的情况下，可做出各种修改和变化。因此，说明书和附图应当视作说明性而不是限制性的含义，并且所有这样的修改都是要涵盖于本教导的范围内。好处、优点、问题的解决方案以及可导致任何好处、优点或问题的解决方案出现或者变得更加显著的任何（一个或多个）要素不应视作任何或所有权利要求的关键的、要求的或本质的特征或要素。仅通过后附权利要求书限定本发明，包括本申请未决期间做出的任何修改以及所公开的那些权利要求的全部等效物。 0055 此外在本文献中，诸如第一和第二、上和下等等关系术语可以仅用于将一个实体或动作与。

展开阅读全文