一种通信的方法和装置 |
|||||||
| 申请号 | CN201710379111.1 | 申请日 | 2017-05-25 | 公开(公告)号 | CN107105398A | 公开(公告)日 | 2017-08-29 |
| 申请人 | 北京京东尚科信息技术有限公司; 北京京东世纪贸易有限公司; | 发明人 | 张华; | ||||
| 摘要 | 本 发明 公开了提供一种通信的方法和装置,涉及计算机领域。该方法的一具体实施方式包括:接收蓝牙设备发送的广播数据;根据密钥生成 算法 将所述广播数据转换为密钥;以及,利用所述密钥与所述蓝牙设备建立连接。该实施方式避免了在连接过程中被偷听,降低了设备之间通信的安全隐患,提高了通信安全可靠性。 | ||||||
| 权利要求 | 1.一种通信的方法,其特征在于,包括: |
||||||
| 说明书全文 | 一种通信的方法和装置技术领域[0001] 本发明涉及计算机领域,尤其涉及一种通信的方法和装置。 背景技术[0002] 蓝牙低能耗(Bluetooth Low Energy,BLE)技术是低成本、短距离、可互操作的鲁棒性无线技术。在当前物联网行业快速发展的现在,使用BLE技术的智能硬件越来越多。同时,使用BLE技术传输的数据有些是敏感数据的,比如个人健康数据,账号密码数据等,必须保证信息保密。 [0003] 当前BLE技术均采用配对(pairing)的方式完成BLE通信双方的秘钥分布(distribution)。如果配对完成,则BLE通信双方使用相同的秘钥对BLE通信进行对称加解密算法加解密,从而保证BLE通信的保密性。 [0004] 目前配对有以下三种方式: [0005] 钥匙连接(Passkey Entry)是一方输入密钥(passkey),另外一方验证对方输入是否正确,如果正确就能够成功地完成配对,不正确就终止,配对失败。这种方式适用于一方有输入手段(比如键盘),另一方有显示手段(比如显示屏); [0006] 带外数据连接(Out of Band)是将安全信息使用非BLE信道在BLE通信双方间完成传输,比如NFC; [0007] 操作连接(Just Works)这种方式是在配对阶段双方一开始就使用相同的固定TK(Temporary Key)。这种方式适用于BLE通信双方中至少有一方不具备输入或者显示手段。 [0009] 如果在配对阶段遭到被动偷听攻击,现有的BLE通信连接方式无法在BLE通信的连接过程中抵御偷听,在这种情形下,基于这种连接方式的蓝牙通信是无安全性可言的,因此,如何提高通信的安全可靠性是亟待解决的问题。 发明内容[0010] 有鉴于此,本发明实施例提供一种通信的方法和装置,能够解决现有技术中通信安全可靠性差,无法在BLE通信的连接过程中抵御偷听的问题。 [0011] 为实现上述目的,根据本发明实施例的一个方面,提供了一种通信的方法。 [0012] 本发明实施例的一种通信的方法包括接收蓝牙设备发送的广播数据;根据密钥生成算法将所述广播数据转换为密钥;以及,利用所述密钥与所述蓝牙设备建立连接。 [0013] 可选地,在接收所述广播数据之前,发送可执行文件至所述蓝牙设备。 [0014] 可选地,所述可执行文件包括所述密钥生成算法。 [0016] 可选地,所述广播数据中设置有身份字段。 [0017] 为实现上述目的,根据本发明实施例的另一方面,提供了一种通信的装置。 [0018] 本发明实施例的一种通信的装置包括:接收模块,用于接收蓝牙设备发送的广播数据;转换模块,用于根据密钥生成算法将所述广播数据转换为密钥;连接模块,用于利用所述密钥与所述蓝牙设备建立连接。 [0019] 可选地,所述接收模块还用于:在接收所述广播数据之前,发送可执行文件至所述蓝牙设备。 [0020] 可选地,所述可执行文件包括所述密钥生成算法。 [0021] 可选地,所述密钥生成算法包括以下步骤:a)选取所述广播数据的字节;b)在所述字节中添加保密元素;c)进行位运算;以及,d)进行摘要算法运算。 [0022] 可选地,所述广播数据中设置有身份字段。 [0023] 为实现上述目的,根据本发明实施例的再一方面,提供了一种通信的电子设备。 [0024] 本发明实施例的一种通信的电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例的通信的方法。 [0025] 为实现上述目的,根据本发明实施例的又一方面,提供了一种计算机可读介质。 [0026] 本发明实施例的一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明实施例的通信的方法。 [0027] 上述发明中的一个实施例具有如下优点或有益效果:因为采用密钥建立通信连接,在建立连接的过程中,通信双方使用相同的密钥生成算法将广播数据转换为密钥,利用该密钥建立连接,能够解决现有技术中通信安全可靠性差,无法在BLE通信的连接过程中抵御偷听的问题;同时,由于在连接阶段采用加密的方式,避免了通信内容泄露,从而使设备在连接具有较强的安全可靠性。 [0029] 附图用于更好地理解本发明,不构成对本发明的不当限定。其中: [0030] 图1是现有技术中手机和终端进行连接的示意图; [0031] 图2是现有技术中手机和多类型终端进行连接的示意图; [0032] 图3是本发明实施例可以应用于其中的示例性系统架构图; [0033] 图4是根据本发明实施例的通信的方法的主要步骤的示意图; [0034] 图5是根据本发明实施例的通信的方法的发送广播数据的示意图; [0035] 图6是根据本发明实施例的通信的方法的广播数据转换为密钥的示意图; [0036] 图7是根据本发明实施例的通信的方法的密钥生成算法的步骤的示意图; [0037] 图8是根据本发明实施例的通信的方法的密钥通信的示意图; [0038] 图9是根据本发明实施例的通信的装置的主要模块的示意图; 具体实施方式[0040] 以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。 [0041] 正如本发明背景技术所述,现有技术在对设备进行配对连接的过程中没有采用加密处理,终端设备与蓝牙设备之间传输的信息都是通过明文传输的,存在很大的安全隐患,因此,本发明实施例的通信的方法提出,在终端设备和蓝牙设备建立连接的过程中,将广播数据使用保密算法生成相同的密钥,从而抵御被动偷听攻击,提高了通信的安全可靠性。同时,本发明实施例的通信的方法在协议层采用no security,对硬件没有特定要求,能够应用于所有的BLE设备,适用范围广。 [0042] 图1是现有技术中手机和终端进行连接的示意图。现有技术中的BLE协议还可以采用无防护(No Security),即在通信阶段双方使用明文传输数据,这样在应用层没有做安全设计,安全性极底。进一步的,如图2所示,是现有技术中手机和多类型终端进行连接的示意图,手机是主蓝牙设备(BLE Master),各种设备则是从蓝牙设备(BLE Slave),这些设备并非在同时刻连接手机,这个图旨在表示一个手机可以连接多种蓝牙设备,要求基于BLE的应用层协议要适配尽可能多的BLE设备。而现有的建立蓝牙连接的方式中,Passkey entry和Out of Band均对硬件有要求,导致部分BLE设备无法接入,不利于应用层协议的市场推广;而Just Works因为蓝牙协议的预设初始秘钥TK是固定的、公开的,所以安全性极低。 [0043] 图3示出了可以应用本发明实施例的通信的方法或通信的装置的示例性系统架构300。 [0044] 如图3所示,系统架构300可以包括终端设备301、302、303,网络304和服务器305。网络304用以在终端设备301、302、303和服务器305之间提供通信链路的介质。网络304可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。 [0045] 用户可以使用终端设备301、302、303通过网络304与服务器305交互,以接收或发送消息等。终端设备301、302、303上可以安装有各种通讯客户端应用,例如京东微联、防丢器等。 [0046] 终端设备301、302、303可以是支持蓝牙通信的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。 [0047] 服务器305可以是提供各种服务的服务器,例如对用户利用终端设备301、302、303所连接的蓝牙设备提供支持的后台管理服务器。后台管理服务器可以对蓝牙通信的传输请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息等)反馈给终端设备。 [0048] 应该理解,图3中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。 [0049] 图4是根据本发明实施例的通信的方法的主要步骤的示意图。 [0050] 如图4所示,本发明实施例的一种通信的方法主要包括如下步骤: [0051] 步骤S401:接收蓝牙设备发送的广播数据。 [0052] 在BLE协议层采用no security,具有最广泛的协议适用性。蓝牙设备随时发送广播数据,该广播数据不需要采取加密措施,任何设备可以接收、查看该广播数据。 [0053] 在本发明实施例中,在接收广播数据之前,发送可执行文件至蓝牙设备。可执行文件可以是二进制的图(image),蓝牙设备基于该可执行文件发送广播数据。 [0054] 为了进行初级的身份认证,可以在蓝牙设备的广播数据中设置特殊字段,只有具备这个特殊广播字段的蓝牙设备,终端设备才会与之建立连接,从而将非协议设备排除在外。本发明实施例中,广播数据中设置有身份字段。 [0055] 步骤S402:根据密钥生成算法将广播数据转换为密钥。 [0056] 由于BLE协议层采用no security,任何设备可以接收、查看蓝牙设备发送的广播数据,为了保证终端设备与蓝牙设备的通信安全,终端设备与蓝牙设备利用相同的密钥生成算法将广播数据转换为密钥,终端设备与蓝牙设备利用该密钥建立连接。 [0057] 在本发明实施例中,可执行文件包括密钥生成算法。终端设备与蓝牙设备通过蓝牙进行通信前需要建立连接,这一过程需要采取加密措施,终端设备与蓝牙设备可以利用可执行文件中的密钥生成算法将广播数据转换为密钥,从而利用该密钥建立连接,进而保证蓝牙连接的保密性。 [0058] 在本发明实施例中,密钥生成算法包括以下步骤:a)选取广播数据的字节;b)在字节中添加保密元素;c)进行位运算;以及,d)进行摘要算法运算。首先选取广播数据的字节,然后在字节中添加保密元素,其次进行位运算,最后进行摘要算法运算,至此密钥已经生成,终端设备与蓝牙设备可以使用该密钥建立连接。 [0059] 步骤S403:利用密钥与蓝牙设备建立连接。 [0060] 由于现有技术在蓝牙通信的连接过程中无法抵御偷听,本发明实施例提出使用密钥建立连接,有效的提高了整个通信过程的安全性。 [0061] 此外,通过步骤S402得到的密钥还可以用于对终端设备与蓝牙设备之间的通信信息进行加密。 [0062] 根据本发明实施例的通信的方法可以看出,因为采用密钥建立通信连接,在建立连接的过程中,通信双方使用相同的密钥生成算法将广播数据转换为密钥,利用该密钥建立连接,能够解决现有技术中通信安全可靠性差,无法在BLE通信的连接过程中抵御偷听的问题;同时,由于在连接阶段采用加密的方式,避免了通信内容泄露,从而使设备在连接具有较强的安全可靠性。 [0063] 图5是根据本发明实施例的通信的方法的发送广播数据的示意图。 [0064] 如图5所示,血压计、手环、电子秤等蓝牙设备是发送方,手机、平板电脑等终端设备是接收方。 [0065] 在使用的过程中,终端设备或服务器提前编译一个可执行文件发送至蓝牙设备,蓝牙设备可以执行该可执行文件,也可以使用该可执行文件中的密钥生成算法,但蓝牙设备无法获取密钥生成算法的细节。广播数据是蓝牙设备基于可执行文件采用广播的方式发送的,因此,蓝牙设备和终端设备能够获取广播数据的内容,偷听者也能够获取广播数据的内容,但是,蓝牙设备和终端设备对广播数据采用本发明实施例提供的密钥生成算法进行处理,且偷听者无法获取到该密钥生成算法。 [0066]MAC Address Adv Data 6Byte 0~31Byte [0067] 表1 [0068] 如表1所示为广播数据的示例,广播数据可以包括媒体访问控制地址(MAC Address)和广播字段(AdvData),其中,MAC Address占用6字节(Byte)、AdvData占用0~31Byte,同时,可以在AdvData中设置身份字段。 [0069] 图6是根据本发明实施例的通信的方法的广播数据转换为密钥的示意图。 [0070] 如图6所示,蓝牙设备和终端设备利用密钥生成算法将广播数据转换为密钥。 [0071] 密钥生成算法包括选取广播数据的字节、在字节中添加保密元素、进行位运算及进行摘要算法运算,如图7所示,具体的密钥生成算法的步骤如下: [0072] 步骤S701:选取广播数据的字节。 [0073] 从广播数据中选取若干字节作为原料,选取字节的方法可以根据实际情况设置,例如可以选取奇数位的字节、偶数位的字节、前n位的字节等等,如果可选取的字节数量不足可以用0x5A补充。 [0074] 步骤S702:在字节中添加保密元素。 [0075] 在从广播数据中选取出的字节中添加保密元素,该保密元素是可执行文件中携带的特定字节,需要注意的是保密元素的字节数并不是固定的,只要满足添加保密元素后的字节达到预设的位数即可。 [0076] 步骤S703:进行位运算。 [0077] 将选好的字节和添加的保密元素进行位运算,位运算的规则不限,但是不能与步骤S704中使用的算法相同。 [0078] 步骤S704:进行摘要算法运算。 [0079] 本步骤使用经典算法原版,例如MD5,SHA1,SHA2等。 [0080] [0081] [0082] 表2 [0083]序号 1 2 3 4 5 6 7 8 内容 02 1A FF 00 06 0A A8 C9 [0084] 表3 [0085] 假设广播数据如表2所示,将广播数据从1字节开始编号,只选取8个序号为奇数的广播数据,则选取出的字节如表3所示。 [0086]1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 02 1A FF 00 06 0A A8 C9 11 22 33 44 55 66 77 88 [0087] 表4 [0088] 如表4所示,将选出的字节使用0x11、0x22、0x33、0x44、0x55、0x66、0x77和0x88补足16个字节。 [0089]1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 9 5 16 3 2 14 11 8 7 1 13 6 10 12 4 15 [0090] 表5 [0091]1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 11 06 88 FF 1A 66 33 C9 A8 02 55 0A 22 44 00 77 [0092] 表6 [0093]1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 14 09 8B 03 1D 69 36 CC AB 05 58 0D 25 47 03 7A [0094] 表7 [0095] 如表6和表7所示是将字节进行位运算。表6是将补充后的字节按表5的规则进行置换得到的。其中,表5的置换规则是将序号对应的内容进行置换,例如序号1的内容置换到序号9中,序号9的内容置换到序号7中。在进行置换后,再将字节按替换规则进行处理,替换规则为X=(X+3)%0xFF,其中,%表示取余运算,替换之后得到表7。 [0096]1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 8C 87 B6 BB 5F 15 70 69 71 2A B4 E4 1E 5B C8 A8 [0097] 表8 [0098] 最后将位运算之后的字节采用摘要算法运算进行处理,以MD5算法为例,得到表8所示的字节就是根据广播数据使用密钥生成算法所得到的密钥,该密钥可以用于建立连接,还可以作为后续的会话密钥使用。 [0099] 图8是根据本发明实施例的通信的方法的密钥通信的示意图。 [0100] 如图8所示,蓝牙设备和终端设备在使用根据密钥生成算法所得到的密钥建立连接之后,利用该密钥对通信数据进行加密,从而保证通信安全。 [0101] 同时,为了保证通信数据的完整性,可以采用纠错(ECC)校验和算法对数据进行完整性验证。 [0102] 图9是根据本发明实施例的通信的装置的主要模块的示意图。 [0103] 如图9所示,本发明实施例的通信的装置900主要包括:接收模块901、转换模块902、连接模块903。 [0104] 其中: [0105] 接收模块901,用于接收蓝牙设备发送的广播数据; [0106] 转换模块902,用于根据密钥生成算法将所述广播数据转换为密钥; [0107] 连接模块903,用于利用所述密钥与所述蓝牙设备建立连接。 [0108] 此外,所述接收模块还用于:在接收所述广播数据之前,发送可执行文件至所述蓝牙设备。 [0109] 本发明实施例中,所述可执行文件包括所述密钥生成算法。 [0110] 本发明实施例中,所述密钥生成算法包括以下步骤:a)选取所述广播数据的字节;b)在所述字节中添加保密元素;c)进行位运算;以及,d)进行摘要算法运算。 [0111] 本发明实施例中,所述广播数据中设置有身份字段。 [0112] 根据本发明实施例的通信的装置可以看出,因为采用密钥建立通信连接,在建立连接的过程中,通信双方使用相同的密钥生成算法将广播数据转换为密钥,利用该密钥建立连接,能够解决现有技术中通信安全可靠性差,无法在BLE通信的连接过程中抵御偷听的问题;同时,由于在连接阶段采用加密的方式,避免了通信内容泄露,从而使设备在连接具有较强的安全可靠性。 [0113] 下面参考图10,其示出了适于用来实现本发明实施例的终端设备的计算机系统1000的结构示意图。图10示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。 [0114] 如图10所示,计算机系统1000包括中央处理单元(CPU)1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。在RAM 1003中,还存储有系统1000操作所需的各种程序和数据。CPU 1001、ROM 1002以及RAM 1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。 [0115] 以下部件连接至I/O接口1005:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。 [0116] 特别地,根据本发明公开的实施例,上文主要步骤的流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行主要步骤流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被中央处理单元(CPU)1001执行时,执行本发明的系统中限定的上述功能。 [0117] 需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。 [0118] 附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依据所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。 [0119] 描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括接收模块、转换模块、连接模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定。例如,接收模块还可以被描述为“接收蓝牙设备发送的广播数据的模块”。 [0120] 作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:步骤S401:接收蓝牙设备发送的广播数据;步骤S402:根据密钥生成算法将广播数据转换为密钥;步骤S403:利用密钥与蓝牙设备建立连接。 [0121] 根据本发明实施例的技术方案,因为采用密钥建立通信连接,在建立连接的过程中,通信双方使用相同的密钥生成算法将广播数据转换为密钥,利用该密钥建立连接,能够解决现有技术中通信安全可靠性差,无法在BLE通信的连接过程中抵御偷听的问题;同时,由于在连接阶段采用加密的方式,避免了通信内容泄露,从而使设备在连接具有较强的安全可靠性。 [0122] 上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。 |
||||||
QQ群二维码
意见反馈
意见反馈