一種通訊方法、通訊終端及系統的製作方法

2023-09-19 03:01:50 2

一種通訊方法、通訊終端及系統的製作方法
【專利摘要】本發明公開一種通訊方法、通訊終端及系統，方法包括步驟A、請求方生成Ra(i)；使用Ra(i)對第i個請求命令進行保護，通過第一通信通道將Ra(i)、第i個請求命令發送給被請求方；步驟B、被請求方使用接收的Ra(i)來驗證第i個請求命令的安全性，若驗證通過，則進入步驟C；步驟C、被請求方生成Rb(i)；使用Rb(i)對第i個請求命令對應的響應命令進行保護；通過第一通信通道將Rb(i)、響應命令發送給請求方；步驟D、請求方使用接收的Rb(i)來驗證響應命令的安全性，若驗證通過，進入步驟A，令i=i+1。本發明通過以上技術方案，解決射頻、WiFi、ZigBee、藍牙等相對開放的通信通道的安全性問題。
【專利說明】一種通訊方法、通訊終端及系統
【技術領域】
[0001]本發明涉及通信領域，尤其涉及一種通訊方法、通訊終端及系統。
【背景技術】
[0002]射頻通道、WiFi通道、ZigBee通道或藍牙通道等由於傳輸距離較遠，通常被認為是一種相對開放的通信通道。目前，通信雙方在利用這些通道進行通信的過程中，要麼採用固定不變的會話密鑰對整個通信過程中交互的信息進行保護，要麼完全不對交互的信息進行保護。這導致諸多的安全隱患，如:在通訊過程中信息被篡改、被竊取，被重放攻擊或被中間人攻擊。因此，有必要針對這類通信通道提出一種安全的通信方法。

【發明內容】

[0003]本發明提供一種通訊方法、通訊終端及系統，解決射頻、WiF1、ZigBee、藍牙等相對開放的通信通道的安全性問題。
[0004]為解決上述技術問題，本發明採取以下技術方案。
[0005]一種通訊方法，包括:
[0006]步驟A、請求方生成隨機數Ra⑴和第i個請求命令；使用所述Ra⑴對第i個請求命令進行保護，其中，i大於或等於I ;通過第一通信通道將所述Ra(i)以及被所述Ra(i)保護的第i個請求命令發送給被請求方，進入步驟B ；
[0007]步驟B、被請求方通過所述第一通信通道接收所述Ra(i)以及被所述Ra(i)保護的第i個請求命令；使用所述Ra(i)來驗證所述第i個請求命令的安全性，如果驗證通過，則進入步驟C ；
[0008]步驟C、被請求方生成隨機數Rb (i)和所述第i個請求命令對應的響應命令；使用所述Rb(i)對所述第i個請求命令對應的響應命令進行保護；通過所述第一通信通道將所述Rb(i)以及被所述Rb(i)保護的第i個請求命令對應的響應命令發送給請求方,進入步驟D;
[0009]步驟D、請求方通過所述第一通信通道接收所述Rb (i)以及被所述Rb (i)保護的第i個請求命令對應的響應命令；使用所述Rb(i)來驗證所述第i個請求命令對應的響應命令的安全性，如果驗證通過，則進入步驟A,令i=i+l。
[0010]在本發明一實施例中，所述步驟A中，通過所述第一通信通道將所述Ra (i)發送給被請求方的過程包括:請求方對所述Ra(i)進行掩碼處理，得到Ra』 (i);通過所述第一通信通道將所述Ra』 (i)發送給被請求方；所述步驟B中，被請求方通過所述第一通信通道接收所述Ra(i)的過程包括:被請求方通過所述第一通信通道接收到所述Ra』(i)，對所述Ra』⑴進行解析，獲得所述Ra (i)。
[0011]在本發明一實施例中，請求方對所述Ra(i)進行掩碼處理，得到Ra』⑴的方法包括:對所述Ra⑴與Rb(1-l)進行運算得到所述Ra』⑴；被請求方對所述Ra』⑴進行解析，獲得所述Ra(i)的方法包括:對所述Ra』 (i)與所述Rb(1-l)進行對應運算得到所述Ra(i);其中，i大於I時，所述Rb(1-l)為被請求方生成的，且用於對第1-Ι個請求命令對應的響應命令進行保護的隨機數；i=l時，所述Rb(1-l)等於Rb(O),所述Rb (O)為被請求方生成的，且由所述被請求方預先發送給所述請求方的隨機數。
[0012]在本發明一實施例中，所述被請求方預先發送所述Rb(O)給所述請求方的方法包括:所述被請求方生成所述Rb(0)，所述被請求方通過第二通信通道將所述Rb (O)預先發送給所述請求方；或者所述被請求方生成所述Rb(0)，對所述Rb (O)進行掩碼處理得到Rb』(O)，通過所述第一通信通道將所述Rb』(O)預先發送給所述請求方。
[0013]在本發明一實施例中，所述被請求方生成所述Rb(O)，對所述Rb(O)進行掩碼處理得到Rb』(O)，通過所述第一通信通道將所述Rb』 (O)預先發送給所述請求方的過程包括:
[0014]請求方生成隨機數Ra(O)和初始請求命令；通過所述第二通信通道將所述Ra(O)以及初始請求命令發送給被請求方；
[0015]被請求方通過所述第二通信通道接收所述Ra (O)以及所述初始請求命令；
[0016]被請求方生成隨機數Rb(O)和所述初始請求命令對應的響應命令；使用所述Rb(O)對所述初始請求命令對應的響應命令進行保護；利用所述Ra(O)對所述Rb (O)進行掩碼處理，得到Rb』 (O);通過所述第一通信通道將所述Rb』 (O)以及被所述Rb (O)保護的所述初始請求命令對應的響應命令發送給請求方；
[0017]請求方通過所述第一通信通道接收所述Rb』 (O)以及被所述Rb(O)保護的所述初始請求命令對應的響應命令；利用所述Ra (O)對所述Rb』 (O)進行解析，獲得所述Rb (O);使用所述Rb(O)來驗證所述初始請求命令對應的響應命令的安全性,如果驗證通過,則進入所述步驟A,令i=l。
[0018]在本發明一實施例中，所述步驟C中，通過所述第一通信通道將所述Rb (i)發送給請求方的過程包括:被請求方對所述Rb(i)進行掩碼處理，得到Rb』 (i);通過所述第一通信通道將所述Rb』 (i)發送給請求方；所述步驟D中，請求方通過所述第一通信通道接收所述Rb(i)的方法包括:請求方通過所述第一通信通道接收所述Rb』 (i);對所述Rb』 (i)進行解析，獲得所述Rb (i)。
[0019]在本發明一實施例中，被請求方對所述Rb⑴進行掩碼處理，得到Rb』⑴的方法包括:對所述Ra⑴與Rb⑴進行運算得到所述Rb』 (i);請求方對所述Rb』⑴進行解析，獲得所述Rb (i)的方法包括:對所述Ra (i)與Rb』 (i)進行對應運算得到所述Rb (i)。
[0020]—種通訊終端，包括第一隨機數生成模塊、第一命令生成模塊、第一安全處理模塊和第一通信模塊，其中:
[0021]所述第一隨機數生成模塊用於生成隨機數Ra(i)，i大於或等於I ;
[0022]所述第一命令生成模塊用於生成第i個請求命令；
[0023]所述第一安全處理模塊用於使用所述Ra(i)對所述第i個請求命令進行保護；使用被請求方生成的隨機數Rb (i)來驗證被所述Rb (i)保護的第i個請求命令對應的響應命令的安全性；
[0024]所述第一通信模塊用於通過第一通信通道將所述Ra (i)以及被所述Ra (i)保護的第i個請求命令發送給被請求方；通過所述第一通信通道接收所述被請求方生成的隨機數Rb⑴以及被所述Rb⑴保護的第i個請求命令對應的響應命令。
[0025]在本發明一實施例中，所述通訊終端還包括第一掩碼模塊，用於對所述Ra (i)進行掩碼處理，得到Ra』 (i);對所述被請求方對隨機數Rb⑴進行掩碼處理得到的Rb』 (i)進行解析，得到所述Rb (i);所述第一通信模塊用於通過第一通信通道將所述Ra』 (i)以及被所述Ra(i)保護的第i個請求命令發送給被請求方；通過所述第一通信通道接收所述Rb』 (i)以及被所述Rb (i)保護的第i個請求命令對應的響應命令。
[0026]在本發明一實施例中，所述第一掩碼模塊為第一運算模塊，用於對所述Ra(i)與Rb(1-l)進行運算得到所述Ra』(i)，對所述Ra (i)與Rb，⑴進行運算得到所述Rb (i)，i=l時，所述Rb(1-l)等於Rb(O);所述通信終端還包括第二通信模塊，所述第二通信模塊用於通過第二通信通道接收所述被請求方生成的隨機數Rb (O)。
[0027]在本發明一實施例中，所述第一掩碼模塊為第一運算模塊，用於對所述Ra(i)與Rb(1-l)進行運算得到所述Ra』(i)，對所述Ra (i)與Rb，⑴進行運算得到所述Rb (i)，i=l時，所述Rb(1-l)等於Rb(O)，所述第一運算模塊還用於對所述Rb』(O)進行解析，得到所述Rb(O);所述第一通信模塊還用於通過第一通信通道接收所述被請求方對其生成的隨機數Rb(O)進行掩碼處理得到的Rb』(O)。
[0028]在本發明一實施例中，所述通信終端還包括第二通信模塊；所述第一隨機數生成模塊還用於生成隨機數Ra(O);所述第一命令生成模塊還用於生成初始請求命令；所述第二通信模塊用於通過第二通信通道將所述Ra(O)以及所述初始請求命令發送給被請求方；所述第一通信模塊用於通過所述第一通信通道接收所述被請求方利用所述Ra(O)對其生成的隨機數Rb (O)進行運算得到的Rb』 (O)以及被所述Rb (O)保護的所述初始請求命令對應的響應命令；所述第一運算模塊利用所述Ra(O)對所述Rb』 (O)進行對應運算，得到所述Rb(O);所述第一安全處理模塊使用所述Rb (O)來驗證所述初始請求命令對應的響應命令的安全性。
[0029]一種通訊終端，包括第二隨機數生成模塊、第二命令生成模塊、第二安全處理模塊和第三通信模塊，其中:
[0030]所述第二隨機數生成模塊用於生成隨機數Rb (i)，i大於或等於I ;
[0031]所述第二命令生成模塊用於生成與請求方發送的第i個請求命令對應的響應命令；
[0032]所述第二安全處理模塊用於使用所述Rb (i)對所述第i個請求命令對應的響應命令進行保護；使用請求方生成的隨機數Ra (i)來驗證所述第i個請求命令的安全性，如果驗證通過，則通知所述述第二命令生成模塊生成所述第i個請求命令對應的響應命令；
[0033]所述第三通信模塊用於通過第一通信通道接收請求方生成的隨機數Ra(i)以及被所述Ra(i)保護的第i個請求命令；通過所述第一通信通道將所述Rb (i)以及被所述Rb(i)保護的第i個請求命令對應的響應命令發送給請求方。
[0034]在本發明一實施例中，所述通訊終端還包括第二掩碼模塊，用於對所述Rb(i)進行掩碼處理，得到Rb』 (i);對所述請求方對其生成的隨機數Ra(i)進行掩碼處理得到的Ra』 (i)進行解析，得到所述Ra(i);所述第三通信模塊用於通過第一通信通道將所述Rb』 (i)以及被所述Rb (i)保護的第i個請求命令對應的響應命令發送給請求方；通過所述第一通信通道接收所述Ra』 (i)以及被所述Ra(i)保護的第i個請求命令。
[0035]在本發明一實施例中，所述第二掩碼模塊為第二運算模塊，用於對所述Ra(i)與Rb(i)進行運算得到所述Rb』 (i);對所述Ra』 (i)與所述Rb(1-l)進行運算得到所述Ra(i)，i=l時，所述Rb(1-l)等於Rb(O);所述第二隨機數生成模塊還用於生成隨機數Rb (O);所述通信終端還包括第四通信模塊，所述第四通信模塊用於通過第二通信通道將所述Rb (O)發送給請求方。
[0036]在本發明一實施例中，所述第二掩碼模塊為第二運算模塊，用於對所述Ra(i)與Rb(i)進行運算得到所述Rb』 (i);對所述Ra』 (i)與所述Rb(1-l)進行運算得到所述Ra(i)，i=l時，所述Rb(1-l)等於Rb(O);所述第二隨機數生成模塊還用於生成隨機數Rb (O);所述第二運算模塊還用於對所述Rb (O)進行掩碼處理得到的Rb』(O);所述第三通信模塊還用於通過第一通信通道將所述Rb』 (O)發送給請求方。
[0037]在本發明一實施例中，所述通信終端還包括第四通信模塊；所述第四通信模塊用於通過第二通信通道接收請求方發送的隨機數Ra(O)以及初始請求命令；所述第二運算模塊利用所述Ra(O)對所述Rb(O)進行運算，得到所述Rb』 (O);所述第二命令生成模塊用於生成與所述初始請求命令對應的響應命令；所述第二安全處理模塊使用所述Rb (O)對所述初始請求命令對應的響應命令進行保護；所述第三通信模塊用於通過第一通信通道將所述Rb』 (O)以及被所述Rb (O)保護的所述初始請求命令對應的響應命令發送給請求方。
[0038]本發明的有益效果包括:利用請求方生成的隨機數Ra(i)對請求方與被請求方交互的各個請求命令進行保護，利用被請求方生成的隨機數Rb(i)對被請求方對與請求方交互的各個響應命令進行保護，由於隨機數出現相同情況的概率極低，因此，對於請求方與被請求方之間交互的每一個請求命令/響應命令而言，相當於都由一個完全不同的隨機數作為保護密鑰來保護。相對於現有技術要麼採用固定不變的會話密鑰對整個通信過程中交互的信息進行保護，要麼完全不對交互的信息進行保護的方式，能有效避免通訊過程中信息被篡改、被竊取，被重放攻擊或被中間人攻擊。
[0039]進一步，通信雙方利用通過傳輸距離較遠，相對開放的第一通信通道，包括但不局限於2.4GHz射頻通道、13.56MHz射頻通道、WiFi通道、ZigBee通道或藍牙通道，傳輸作為保護密鑰的隨機數時，將隨機數進行掩碼處理後進行傳輸，避免在該類通道上直接傳輸保護密鑰導致洩密。
[0040]進一步，本發明的掩碼規則是，利用前一個交互信息的保護密鑰(隨機數)對當前交互信息的保護密鑰進行掩碼處理，如:請求方對Ra(i)與Rb(1-l)進行異或運算得到Ra』(i)、被請求方對Ra⑴與Rb⑴進行異或運算得到Rb』⑴；而首個保護密鑰，即Rb(0)，可以由被請求方通過第二通信通道(即安全通道，包括但不局限於磁通道、聲通道或光通道)傳輸至請求方，即由安全通道來保證Rb (O)的安全性；或者由被請求方進行掩碼處理後，通過傳輸距離較遠，相對開放的第一通信通道傳輸至請求方，即由掩碼處理來保證Rb(O)的安全性。由此構成整個通信過程的安全體系，該體系採用隨機數滾動方式，無需事先預置保護密鑰，也不需要複雜的密鑰協商和計算過程。
【專利附圖】

【附圖說明】
[0041]圖1為本發明一實施例提供的通訊系統的示意圖；
[0042]圖2為圖1所示通信系統的通訊方法的流程圖；
[0043]圖3為本發明另一實施例提供的通訊系統的示意圖；
[0044]圖4為圖3所示通信系統的通訊方法的流程圖；[0045]圖5為圖4所示通訊方法中被請求方對隨機數Rb (O)進行掩碼處理，得到Rb』 (O),再通過第一通信通道將Rb』 (O)發送給請求方的流程圖。
【具體實施方式】
[0046]下面通過【具體實施方式】結合附圖對本發明作進一步詳細說明。
[0047]本發明中，對請求方發出的請求命令、被請求方發出的響應命令的安全性進行驗證包括但不局限於對其完整性進行驗證。作為請求方的第一通信終端可以為讀卡器，作為被請求方的第二通信終端可以為內置射頻卡的移動終端，或者請求方為內置射頻卡的移動終端，被請求方為讀卡器。第一通信通道可以為傳輸距離較遠，相對開放的通信通道，包括但不局限於射頻通道、WiFi通道、ZigBee通道或藍牙通道，其中，射頻通道包括但不局限於
2.4GHz射頻通道或13.56MHz射頻通道。第二通信通道可以為安全通信通道，包括但不局限於傳輸距離較近的磁通道(傳輸距離通常小於10釐米)，或者聲通道、光通道等。
[0048]實施例一:
[0049]圖1所示為本發明一實施例提供的通訊系統，包括作為請求方的第一通信終端1，以及作為被請求方的第二通信終端2。其中，第一通信終端I包括第一隨機數生成模塊11、第一命令生成模塊12、第一安全處理模塊13和第一通信模塊14。第二通信終端2包括第二隨機數生成模塊21、第二命令生成模塊22、第二安全處理模塊23和第三通信模塊24。第一通信模塊14、第三通信模塊24包括但不局限於2.4GHz射頻通信模塊、13.56MHz射頻通信模塊、WiFi通信模塊、ZigBee通信模塊或藍牙通信模塊。第一通信模塊14與第三通信模塊24之間用於建立第一通信通道。
[0050]第一通信終端1、第二通信終端2中各模塊的功能通過以下通信方法的具體流程體現，如圖2所示，為基於該通信系統的通訊方法的具體流程，其中，i大於或等於1:
[0051]S101、請求方的第一隨機數生成模塊11生成隨機數Ra(i);第一命令生成模塊12生成第i個請求命令(CMDi)。
[0052]S102、請求方的第一安全處理模塊13使用所述Ra(i)對所述第i個請求命令(CMDi)進行保護，保護的具體方式可以是:
[0053]使用Ra(i)作為MAC密鑰，對CMDi的消息頭和/或消息體的部分欄位，或者對CMDi消息頭和/或消息體的所有欄位，進行MAC運算得到MAC校驗值；
[0054]或者，在此基礎之上，還使用Ra(i)作為加密密鑰對CMDi消息體中的部分或所有數據欄位進行加密，將得到的消息數據密文取代消息中相應的數據明文。
[0055]S103、請求方的第一通信模塊14通過第一通信通道將所述Ra(i)以及被所述Ra(i)保護的CMDi發送給被請求方。其中，可以通過第一通信通道分別將所述Ra(i)、被所述Ra(i)保護的CMDi發送給被請求方，也可以通過第一通信通道將所述Ra(i)、被所述Ra (i)保護的CMDi —同發送給被請求方。
[0056]S104、被請求方的第三通信模塊24通過該第一通信通道接收所述Ra (i)以及被所述Ra⑴保護的CMDi ；
[0057]S105、被請求方的第二安全處理模塊23使用所述Ra(i)來驗證所述CMDi的安全性，如果驗證通過，則進入步驟S106，否則，通信過程結束；
[0058]被請求方的第二安全處理模塊23使用所述Ra (i)來驗證所述CMDi的安全性的方法具體為:使用所述Ra(i)作為MAC密鑰來驗證所述CMDi的MAC校驗值是否正確，如果正確，則繼續判斷CMDi消息體是否存在密文數據，若存在，則繼續使用所述Ra (i)作為解密密鑰對CMDi中的密文數據進行解密得到CMDi明文數據。
[0059]S106、被請求方的第二隨機數生成模塊21生成隨機數Rb(i);第二命令生成模塊22生成所述CMDi對應的響應命令RSPi。
[0060]S107、被請求方的第二安全處理模塊23使用所述Rb (i)對所述CMDi對應的響應命令RSPi進行保護，保護的具體方式可以是:
[0061]使用所述Rb⑴作為MAC密鑰，對RSP i的消息頭和/或消息體的部分欄位，或者對消息頭和/或消息體的所有欄位，進行MAC運算得到MAC校驗值；
[0062]或者，在此基礎之上，還使用所述Rb⑴作為加密密鑰對RSPi消息體中的部分或所有數據欄位進行加密，將得到的消息數據密文取代消息中相應的數據明文。
[0063]S108、被請求方的第三通信模塊24通過第一通信通道將所述Rb(i)以及被所述Rb(i)保護的RSPi發送給請求方。其中，可以通過第一通信通道分別將所述Rb(i)、被所述Rb (i)保護的RSPi發送給被請求方，也可以通過第一通信通道將所述Rb (i)、被所述Rb (i)保護的RSPi —同發送給被請求方。
[0064]S109、請求方的第一通信模塊14通過第一通信通道接收所述Rb(i)以及被所述Rb⑴保護的RSPi ；
[0065]S110、請求方的第一安全處理模塊13使用所述Rb (i)來驗證被所述Rb (i)保護的RSPi的安全性，如果驗證通過，則進入步驟S101，令i=i+l，開始下一輪隨機數滾動過程，直到整個通信過程的所有命令結束；否則，通信過程結束。
[0066]請求方的第一安全處理模塊13使用所述Rb (i)來驗證被所述Rb (i)保護的RSPi的安全性的方法具體為:使用所述Rb (i)作為MAC密鑰來驗證所述RSPi的MAC校驗值是否正確，如果正確，則繼續判斷RSPi消息體是否存在密文數據，若存在，則繼續使用所述Rb(i)作為解密密鑰對RSPi中的密文數據進行解密得到RSPi明文數據。
[0067]該實施例中，請求方生成的隨機數Ra(i)、被請求方生成的隨機數Rb(i)出現相同情況的概率極低，因此，對於請求方與被請求方之間交互的每一個請求命令/響應命令而言，相當於都由一個完全不同的隨機數作為保護密鑰來保護。
[0068]實施例二:
[0069]如圖3所示，為本發明另一實施例提供的通訊系統，相比實施一中的通訊系統的不同之處在於，第一通信終端I還包括第一掩碼模塊15和第二通信模塊16，第二通信終端2還包括第二掩碼模塊25和第四通信模塊26。第二通信模塊16、第四通信模塊26包括但不局限於磁通信模塊、聲通信模塊或光通信模塊。第二通信模塊16與第四通信模塊26之間用於建立第二通信通道。
[0070]第一通信終端1、第二通信終端2中各模塊的功能通過以下通信方法的具體流程體現，如圖4所示，為基於本實施例的通信系統的通訊方法的具體流程，該方法中，利用前一個交互信息的保護密鑰(隨機數)對當前交互信息的保護密鑰進行掩碼處理，被請求方預先發送隨機數Rb(O)給請求方，Rb(O)用於i=l時，請求方對Ra(i)進行掩碼處理，該方法包括如下流程:
[0071]初始化階段:[0072]S201、被請求方的第二隨機數生成模塊21生成隨機數Rb (O)，發送隨機數Rb (O)給
請求方。
[0073]該步驟中，被請求方發送隨機數Rb(O)給請求方的方式包括多種，可以通過第一通信通道發送，也可以通過第二通信通道進行發送。
[0074]若選擇通過第二通信通道進行發送，則被請求方的第四通信模塊26必須具備第二通信通道的發送功能，請求方的第二通信模塊16必須具備第二通信通道的接收功能。如讀卡器作為請求方、射頻卡作為被請求方時，射頻卡必須具備磁通道、聲通道、光通道的發送功能，讀卡器必須具備第二通信通道的接收功能。在此基礎之上，由於第二通信通道可以保證交互信息的安全，因此，被請求方的第四通信模塊26可以直接通過第二通信通道將Rb(O)發送給請求方。
[0075]若選擇通過第一通信通道進行發送，由於第一通信通道的開放性，為了進一步保證交互信息的安全，被請求方的第二掩碼模塊25可以先對隨機數Rb(O)進行掩碼處理，得到Rb』(O)，第三通信模塊24再將Rb』 (O)通過第一通信通道發送給請求方。其中，掩碼處理的方式包括多種，可以藉助請求方生成並預先發送給被請求方的隨機數Ra(0)，下面提供一種被請求方對隨機數Rb (O)進行掩碼處理，得到Rb』(O)，再通過第一通信通道將Rb』 (O)發送給請求方的方法，如圖5所示，包括如下步驟:
[0076]S201a、請求方的第一隨機數生成模塊11生成隨機數Ra (O);第一命令生成模塊12生成初始請求命令CMDO。
[0077]S201b、請求方的第二通信模塊16通過第二通信通道將所述Ra(O)以及初始請求命令CMDO發送給被請求方。
[0078]請求方的第二通信模塊16必須具備第二通信通道的發送功能，被請求方的第四通信模塊26必須具備第二通信通道的接收功能，如讀卡器作為請求方、射頻卡作為被請求方時，讀卡器必須具備磁通道、聲通道、光通道的發送功能，射頻卡必須具備磁通道、聲通道、光通道的接收功能。由於第二通信通道為安全通信通道，因此，通過第二通信通道發送Ra (O)，能夠保證隨機數Ra (O)的安全性。
[0079]S201c、被請求方的第四通信模塊26通過第二通信通道接收所述Ra(O)以及所述CMDO ；
[0080]S201d、被請求方的第二隨機數生成模塊21生成隨機數Rb (O)；
[0081]S20Ie、被請求方的第二安全處理模塊23使用所述Rb (O)對所述CMDO對應的響應命令RSPO進行保護；保護的具體方式可以是:
[0082]使用所述Rb (O)作為MAC密鑰，對RSPO的消息頭和/或消息體的部分欄位，或者對RSPO消息頭和/或消息體的所有欄位，進行MAC運算得到MAC校驗值；
[0083]或者，在此基礎之上，還使用所述Rb (O)作為加密密鑰對RSPO消息體中的部分或所有數據欄位進行加密，將得到的消息數據密文取代消息中相應的數據明文。
[0084]S201f、被請求方的第二掩碼模塊25利用步驟S201c中接收到的所述Ra(O)對所述Rb (O)進行掩碼處理，得到Rb』(O)。具體掩碼規則包括但不局限於以下一種:第二掩碼模塊25為第二運算模塊，第二運算模塊對所述Ra (O)與Rb(O)進行運算，得到所述Rb』 (O),運算方式包括但不局限於異或運算；
[0085]S201g、被請求方的第三通信模塊24通過第一通信通道將所述Rb』 (O)以及被所述Rb(O)保護的所述RSPO發送給請求方。其中，可以通過第一通信通道分別將所述Rb』(O)、被所述Rb (O)保護的所述RSPO發送給被請求方，也可以通過第一通信通道將所述Rb』 (O)、被所述Rb (O)保護的所述RSPO —同發送給被請求方。
[0086]S201h、請求方的第一通信模塊14通過第一通信通道接收所述Rb』 (O)以及被所述Rb(O)保護的 RSPO。
[0087]S2011、請求方的第一掩碼模塊15利用步驟S201a中生成的所述Ra (O)，對所述Rb』(O)進行解析，獲得所述Rb (O)。具體的解析方式可視步驟S201f中的掩碼規則而定，因步驟S201f中的掩碼規則是:對所述Ra(O)與Rb(O)進行運算，得到所述Rb』(O)，因此步驟S201i中的解析方式可以為:第一掩碼模塊15為第一運算模塊，第一運算模塊對所述Ra (O)與所述Rb』 (O)進行相應運算，得到所述Rb (O)。如假設步驟S201f中的掩碼規則是:對所述Ra (O)與Rb(O)進行異或運算，得到所述Rb』(0)，則步驟S201i中的解析方式可以為:對所述Ra(O)與所述Rb』 (O)進行異或運算，得到所述Rb (O)。
[0088]S 201 j、請求方的第一安全處理模塊13使用所述Rb (O)來驗證被所述Rb (O)保護的所述RSP O的安全性，如果驗證通過，則進入通過第一通信通道進行命令交互的階段，即進入所述步驟S202，令i=l，開始隨機數滾動過程，直到整個通信過程的所有命令結束；否貝U，通信過程結束。
[0089]上述初始請求命令CMDO可以是請求方為了傳輸隨機數Ra (O)至被請求方，而額外增加的一交互命令，也可以是請求方用於激活被請求方的激活請求命令，在請求方利用第二通信通道激活被請求方的應用場景中，如讀卡器持續性發射磁信號作為激活請求命令，尋求磁通道通信距離內的射頻卡，通過磁通道激活射頻卡的應用場景，為了減少命令交互的次數，可以將請求方發出的激活請求命令作為上述初始請求命令CMD0，請求方將隨機數Ra (O)隨同激活請求命令一同發送至被請求方，被請求方反饋的響應命令RSPO同時作為激活請求的響應命令。
[0090]通過第一通信通道進行命令交互的階段，其中，i大於或等於1:
[0091]S202、請求方第一隨機數生成模塊11生成隨機數Ra(i);第一命令生成模塊12生成第i個請求命令(CMDi)。
[0092]S203、請求方的第一安全處理模塊13使用所述Ra(i)對第i個請求命令(CMDi)進行保護，保護的具體方式可以是:
[0093]使用Ra(i)作為MAC密鑰，對CMDi的消息頭和/或消息體的部分欄位，或者對CMDi消息頭和/或消息體的所有欄位，進行MAC運算得到MAC校驗值；
[0094]或者，在此基礎之上，還使用Ra(i)作為加密密鑰對CMDi消息體中的部分或所有數據欄位進行加密，將得到的消息數據密文取代消息中相應的數據明文。
[0095]S204、請求方的第一掩碼模塊15對所述Ra(i)進行掩碼處理，得到Ra』 (i)。掩碼規則包括但不局限於以下一種:第一掩碼模塊15為第一運算模塊，用於對所述Ra(i)與Rb(1-l)進行運算得到所述Ra』(i)，運算方式包括但不局限於異或運算。其中，當i大於I時，所述Rb(1-l)為被請求方生成的，且用於對第i_l個請求命令對應的響應命令進行保護的隨機數；i=l時，所述Rb (1-Ι)等於步驟S201中的Rb(O)。
[0096]S205、請求方的第一通信模塊14通過第一通信通道將所述Ra』 (i)以及被所述Ra(i)保護的CMDi發送給被請求方。其中，可以通過第一通信通道分別將所述Ra』(i)、被所述Ra(i)保護的CMDi發送給被請求方，也可以通過第一通信通道將所述Ra』 (i)、被所述Ra (i)保護的CMDi —同發送給被請求方。
[0097]S206、被請求方的第二通信模塊24通過該第一通信通道接收所述Ra』 (i)以及被所述Ra⑴保護的CMDi ；
[0098]S207、被請求方的第二掩碼模塊25對所述Ra』(i)進行解析，獲得所述Ra (i)。解析方式視步驟S204中的掩碼規則而定，因步驟S204中的掩碼規則為:第一掩碼模塊15為第一運算模塊，用於對Ra(i)與Rb(1-l)進行運算得到Ra』(i)，因此步驟S207中的解析方式可以為:第二掩碼模塊25為第二運算模塊，用於對所述Ra』 (i)與所述Rb(1-l)進行相應運算得到Ra (i)。假設步驟S204中的掩碼規則是:對Ra(i)與Rb(i_l)進行異或運算得到Ra』 (i);則步驟S207中的解析方式可以為:對所述Ra』⑴與所述Rb(i_l)進行異或運算得到Ra⑴。
[0099]S208、被請求方的第二安全處理模塊23使用所述Ra(i)來驗證所述CMDi的安全性，如果驗證通過，則進入步驟S209 ;否則，通信過程結束；
[0100]被請求方的第二安全處理模塊23使用所述Ra (i)來驗證所述CMDi的安全性的方法具體為:被請求方使用所述Ra(i)作為MAC密鑰來驗證所述CMDi的MAC校驗值是否正確，如果正確，則繼續判斷CMDi消息體是否存在密文數據，若存在，則繼續使用所述Ra (i)作為解密密鑰對CMDi中的密文數據進行解密得到CMDi明文數據。
[0101]S209、被請求方的第二隨機數生成模塊21生成隨機數Rb(i);第二命令生成模塊22生成所述CMDi對應的響應命令RSPi。
[0102]S210、被請求方的第二安全處理模塊23使用所述Rb (i)對所述CMDi對應的響應命令RSPi進行保護，保護的具體方式可以是:
[0103]使用所述Rb (i)作為MAC密鑰，對RSPi的消息頭和/或消息體的部分欄位，或者對消息頭和/或消息體的所有欄位，進行MAC運算得到MAC校驗值；
[0104]或者，在此基礎之上，還使用所述Rb(i)作為加密密鑰對RSPi消息體中的部分或所有數據欄位進行加密，將得到的消息數據密文取代消息中相應的數據明文。
[0105]S211、被請求方的第二掩碼模塊25對所述Rb (i)進行掩碼處理，得到Rb』(i)。掩碼規則包括但不局限於以下一種:第二掩碼模塊25為第二運算模塊，用於對步驟S207中獲得的所述Ra(i)與Rb(i)進行運算得到所述Rb』(i)，運算方式包括但不局限於異或運算。
[0106]S212、被請求方的第三通信模塊24通過第一通信通道將所述Rb』 (i)以及被所述Rb (i)保護的RSPi發送給請求方。其中，可以通過第一通信通道分別將所述Rb』(i)、被所述Rb(i)保護的RSPi發送給被請求方，也可以通過第一通信通道將所述Rb』(i)、被所述Rb(i)保護的RSPi —同發送給被請求方。
[0107]S213、請求方的第一通信模塊14通過第一通信通道接收所述Rb』 (i)以及被所述Rb⑴保護的RSPi ；
[0108]S214、請求方的第一掩碼模塊15對所述Rb』(i)進行解析，獲得所述Rb (i)。解析方式視步驟S211中的掩碼規則而定，因步驟S211中的掩碼規則為:第二掩碼模塊25為第二運算模塊，用於對Ra(i)與Rb(i)進行運算得到Rb』(i)，因此步驟S214中的解析方式可以為:第一掩碼模塊15為第一運算模塊，用於對所述Ra(i)與Rb』 (i)進行相應運算得到所述Rb(i)。假設步驟S211中的掩碼規則是:對Ra⑴與Rb⑴進行異或運算得到Rb』⑴；則步驟S214中的解析方式可以為:對所述Ra(i)與Rb』(i)進行異或運算得到所述Rb (i)。
[0109]S215、請求方的第一安全處理模塊13使用所述Rb (i)來驗證被所述Rb (i)保護的RSPi的安全性，如果驗證通過，則進入步驟S202，令i=i+l，開始下一輪隨機數滾動過程，直到整個通信過程的所有命令結束；否則，通信過程結束。
[0110]請求方的第一安全處理模塊13使用所述Rb (i)來驗證被所述Rb (i)保護的RSPi的安全性的方法具體為:使用所述Rb (i)作為MAC密鑰來驗證所述RSPi的MAC校驗值是否正確，如果正確，則繼續判斷RSPi消息體是否存在密文數據，若存在，則繼續使用所述Rb(i)作為解密密鑰對RSPi中的密文數據進行解密得到RSPi明文數據。
[0111]該實施例中，請求方生成的隨機數Ra(i)、被請求方生成的隨機數Rb (i)出現相同情況的概率極低，因此，對於請求方與被請求方之間交互的每一個請求命令/響應命令而言，相當於都由一個完全不同的隨機數作為保護密鑰來保護。請求方/被請求將作為保護密鑰的隨機數進行掩碼處理後傳輸至對方，能夠有效避免直接傳輸保護密鑰導致的洩密，該實施例所使用的掩碼規則是，利用前一個交互信息的保護密鑰(隨機數)對當前交互信息的保護密鑰(隨機數)進行掩碼處理，如:請求方對Ra(i)與Rb(1-l)進行異或運算得到Ra』(i)、被請求方對Ra⑴與Rb⑴進行異或運算得到Rb』⑴；而首個保護密鑰的安全性則由磁通道、聲通道或光通道等安全通道來保證，由此構成整個通信過程的安全體系，該體系採用隨機數滾動方式，無需事先預置保護密鑰，也不需要複雜的密鑰協商和計算過程。
[0112]以上內容是結合具體的實施方式對本發明所作的進一步詳細說明，不能認定本發明的具體實施只局限於這些說明。對於本發明所屬【技術領域】的普通技術人員來說，在不脫離本發明構思的前提下，還可以做出若干簡單推演或替換，都應當視為屬於本發明的保護範圍。
【權利要求】
1.一種通訊方法，其特徵在於，包括: 步驟A、請求方生成隨機數Ra (i)和第i個請求命令；使用所述Ra(i)對第i個請求命令進行保護，其中，i大於或等於I ;通過第一通信通道將所述Ra(i)以及被所述Ra(i)保護的第i個請求命令發送給被請求方，進入步驟B ； 步驟B、被請求方通過所述第一通信通道接收所述Ra(i)以及被所述Ra(i)保護的第i個請求命令；使用所述Ra(i)來驗證所述第i個請求命令的安全性，如果驗證通過，則進入步驟C ; 步驟C、被請求方生成隨機數Rb (i)和所述第i個請求命令對應的響應命令；使用所述Rb(i)對所述第i個請求命令對應的響應命令進行保護；通過所述第一通信通道將所述Rb(i)以及被所述Rb(i)保護的第i個請求命令對應的響應命令發送給請求方，進入步驟D ； 步驟D、請求方通過所述第一通信通道接收所述Rb (i)以及被所述Rb(i)保護的第i個請求命令對應的響應命令；使用所述Rb(i)來驗證所述第i個請求命令對應的響應命令的安全性，如果驗證通過，則進入步驟A，令i=i+l。
2.如權利要求1所述的通訊方法，其特徵在於，所述步驟A中，通過所述第一通信通道將所述Ra(i)發送給被請求方的過程包括:請求方對所述Ra(i)進行掩碼處理，得到Ra』 (i);通過所述第一通信通道將所述Ra』 (i)發送給被請求方；所述步驟B中，被請求方通過所述第一通信通道接收所述Ra (i)的過程包括:被請求方通過所述第一通信通道接收到所述Ra』(i)，對所述Ra』 (i)進行解析，獲得所述Ra (i)。
3.如權利要求2所述的通訊方法，其特徵在於，請求方對所述Ra(i)進行掩碼處理，得到Ra』⑴的方法包括:對所述Ra⑴與Rb(1-l)進行運算得到所述Ra』 (i);被請求方對所述Ra』⑴進行解析，獲得所述`Ra⑴的方法包括:對所述Ra』⑴與所述Rb(i_l)進行對應運算得到所述Ra(i);其中，i大於I時，所述Rb(1-l)為被請求方生成的，且用於對第1-Ι個請求命令對應的響應命令進行保護的隨機數；i=l時，所述Rb(1-l)等於Rb (O),所述Rb(O)為被請求方生成的，且由所述被請求方預先發送給所述請求方的隨機數。
4.如權利要求3所述的通訊方法，其特徵在於，所述被請求方預先發送所述Rb(O)給所述請求方的方法包括:所述被請求方生成所述Rb (O)，所述被請求方通過第二通信通道將所述Rb (O)預先發送給所述請求方；或者所述被請求方生成所述Rb (O)，對所述Rb (O)進行掩碼處理得到Rb』(O)，通過所述第一通信通道將所述Rb』(O)預先發送給所述請求方。
5.如權利要求4所述的通訊方法，其特徵在於，所述被請求方生成所述Rb(O)，對所述Rb(O)進行掩碼處理得到Rb』(O)，通過所述第一通信通道將所述Rb』 (O)預先發送給所述請求方的過程包括: 請求方生成隨機數Ra(O)和初始請求命令；通過所述第二通信通道將所述Ra(O)以及初始請求命令發送給被請求方； 被請求方通過所述第二通信通道接收所述Ra (O)以及所述初始請求命令； 被請求方生成隨機數Rb(O)和所述初始請求命令對應的響應命令；使用所述Rb (O)對所述初始請求命令對應的響應命令進行保護；利用所述Ra(O)對所述Rb(O)進行掩碼處理，得到Rb』 (O);通過所述第一通信通道將所述Rb』 (O)以及被所述Rb (O)保護的所述初始請求命令對應的響應命令發送給請求方；請求方通過所述第一通信通道接收所述Rb』 (O)以及被所述Rb (O)保護的所述初始請求命令對應的響應命令；利用所述Ra (O)對所述Rb』 (O)進行解析，獲得所述Rb (O);使用所述Rb(O)來驗證所述初始請求命令對應的響應命令的安全性,如果驗證通過,則進入所述步驟A,令i=l。
6.如權利要求1所述的通訊方法，其特徵在於，所述步驟C中，通過所述第一通信通道將所述Rb(i)發送給請求方的過程包括:被請求方對所述Rb(i)進行掩碼處理，得到Rb』 (i);通過所述第一通信通道將所述Rb』 (i)發送給請求方；所述步驟D中，請求方通過所述第一通信通道接收所述Rb (i)的方法包括:請求方通過所述第一通信通道接收所述Rb，⑴；對所述Rb』⑴進行解析，獲得所述Rb (i)。
7.如權利要求6所述的通訊方法，其特徵在於，被請求方對所述Rb(i)進行掩碼處理，得到Rb』⑴的方法包括:對所述Ra⑴與Rb⑴進行運算得到所述Rb』⑴；請求方對所述Rb』⑴進行解析，獲得所述Rb (i)的方法包括:對所述Ra⑴與Rb』⑴進行對應運算得到所述Rb (i)。
8.—種通訊終端，其特徵在於，包括第一隨機數生成模塊、第一命令生成模塊、第一安全處理模塊和第一通信模塊，其中: 所述第一隨機數生成模塊用於生成隨機數Ra(i)，i大於或等於I ; 所述第一命令生成模塊用於生成第i個請求命令； 所述第一安全處理模塊用於使用所述Ra(i)對所述第i個請求命令進行保護；使用被請求方生成的隨機數Rb (i)來驗證被所述Rb (i)保護的第i個請求命令對應的響應命令的安全性； 所述第一通信模塊用於通過第一通 信通道將所述Ra(i)以及被所述Ra(i)保護的第i個請求命令發送給被請求方；通過所述第一通信通道接收所述被請求方生成的隨機數Rb⑴以及被所述Rb⑴保護的第i個請求命令對應的響應命令。
9.如權利要求8所述的通訊終端，其特徵在於，所述通訊終端還包括第一掩碼模塊，用於對所述Ra (i)進行掩碼處理，得到Ra』 (i);對所述被請求方對隨機數Rb (i)進行掩碼處理得到的Rb』 (i)進行解析，得到所述Rb (i);所述第一通信模塊用於通過第一通信通道將所述Ra』 (i)以及被所述Ra(i)保護的第i個請求命令發送給被請求方；通過所述第一通信通道接收所述Rb』 (i)以及被所述Rb (i)保護的第i個請求命令對應的響應命令。
10.如權利要求9所述的通訊終端，其特徵在於，所述第一掩碼模塊為第一運算模塊，用於對所述Ra⑴與Rb(1-l)進行運算得到所述Ra』(i)，對所述Ra⑴與Rb』⑴進行運算得到所述Rb(i)，i=l時，所述Rb(1-l)等於Rb(O);所述通信終端還包括第二通信模塊，所述第二通信模塊用於通過第二通信通道接收所述被請求方生成的隨機數Rb (O)。
11.如權利要求9所述的通訊終端，其特徵在於，所述第一掩碼模塊為第一運算模塊，用於對所述Ra(i)與Rb(1-l)進行運算得到所述Ra』(i)，對所述Ra(i)與Rb』 (i)進行運算得到所述Rb (i)，i=l時，所述Rb (1-Ι)等於Rb (O)，所述第一運算模塊還用於對所述Rb』 (O)進行解析，得到所述Rb(O);所述第一通信模塊還用於通過第一通信通道接收所述被請求方對其生成的隨機數Rb (O)進行掩碼處理得到的Rb』(O)。
12.如權利要求11所述的通訊終端，其特徵在於，所述通信終端還包括第二通信模塊；所述第一隨機數生成模塊還用於生成隨機數Ra(O);所述第一命令生成模塊還用於生成初始請求命令；所述第二通信模塊用於通過第二通信通道將所述Ra(O)以及所述初始請求命令發送給被請求方；所述第一通信模塊用於通過所述第一通信通道接收所述被請求方利用所述Ra(O)對其生成的隨機數Rb(O)進行運算得到的Rb』 (O)以及被所述Rb(O)保護的所述初始請求命令對應的響應命令；所述第一運算模塊利用所述Ra(O)對所述Rb』 (O)進行對應運算，得到所述Rb (O);所述第一安全處理模塊使用所述Rb (O)來驗證所述初始請求命令對應的響應命令的安全性。
13.—種通訊終端，其特徵在於，包括第二隨機數生成模塊、第二命令生成模塊、第二安全處理模塊和第三通信模塊，其中: 所述第二隨機數生成模塊用於生成隨機數Rb(i)，i大於或等於I ; 所述第二命令生成模塊用於生成與請求方發送的第i個請求命令對應的響應命令； 所述第二安全處理模塊用於使用所述Rb (i)對所述第i個請求命令對應的響應命令進行保護；使用請求方生成的隨機數Ra (i)來驗證所述第i個請求命令的安全性，如果驗證通過，則通知所述第二命令生成模塊生成所述第i個請求命令對應的響應命令； 所述第三通信模塊用於通過第一通信通道接收請求方生成的隨機數Ra(i)以及被所述Ra(i)保護的第i個請求命令；通過所述第一通信通道將所述Rb(i)以及被所述Rb(i)保護的第i個請求命令對應的響應命令發送給請求方。
14.如權利要求13所述的通訊終端，其特徵在於，所述通訊終端還包括第二掩碼模塊，用於對所述Rb(i)進行掩碼處理，得到Rb』 (i);對所述請求方對其生成的隨機數Ra(i)進行掩碼處理得到的Ra』 (i)進行解析，得到所述Ra(i);所述第三通信模塊用於通過第一通信通道將所述Rb』 (i)以及被所述Rb (i)保護的第i個請求命令對應的響應命令發送給請求方；通過所述第一通信 通道接收所述Ra』 (i)以及被所述Ra(i)保護的第i個請求命令。
15.如權利要求14所述的通訊終端，其特徵在於，所述第二掩碼模塊為第二運算模塊，用於對所述Ra⑴與Rb⑴進行運算得到所述Rb』⑴；對所述Ra』⑴與所述Rb(i_l)進行運算得到所述Ra(i)，i=l時，所述Rb(1-l)等於Rb(O);所述第二隨機數生成模塊還用於生成隨機數Rb(O);所述通信終端還包括第四通信模塊，所述第四通信模塊用於通過第二通信通道將所述Rb (O)發送給請求方。
16.如權利要求14所述的通訊終端，其特徵在於，所述第二掩碼模塊為第二運算模塊，用於對所述Ra⑴與Rb⑴進行運算得到所述Rb』⑴；對所述Ra』⑴與所述Rb(i_l)進行運算得到所述Ra(i)，i=l時，所述Rb(1-l)等於Rb(O);所述第二隨機數生成模塊還用於生成隨機數Rb (O);所述第二運算模塊還用於對所述Rb (O)進行掩碼處理得到的Rb』 (O)；所述第三通信模塊還用於通過第一通信通道將所述Rb』 (O)發送給請求方。
17.如權利要求16所述的通訊終端，其特徵在於，所述通信終端還包括第四通信模塊；所述第四通信模塊用於通過第二通信通道接收請求方發送的隨機數Ra(O)以及初始請求命令；所述第二運算模塊利用所述Ra (O)對所述Rb(O)進行運算，得到所述Rb』 (O);所述第二命令生成模塊用於生成與所述初始請求命令對應的響應命令；所述第二安全處理模塊使用所述Rb (O)對所述初始請求命令對應的響應命令進行保護；所述第三通信模塊用於通過第一通信通道將所述Rb』 (O)以及被所述Rb (O)保護的所述初始請求命令對應的響應命令發送給請求方。
18.一種通訊系統，其特徵在於，包括如權利要求8至12任一項所述的第一通信終端，以及如權利要求13至17任一項所述的第二通信終端，所述第一通信終端作為請求方，所述第二通信終端作為被請 求方。
【文檔編號】H04W12/06GK103428693SQ201210148976
【公開日】2013年12月4日 申請日期:2012年5月14日 優先權日:2012年5月14日
【發明者】楊賢偉 申請人:國民技術股份有限公司