CN106453203A - 无线通信系统中的装置和方法以及无线通信系统 - Google Patents

Abstract

公开了一种无线通信系统中的装置和方法以及无线通信系统，该装置包括：安全信道建立单元，被配置成利用基于位置的服务建立第一设备与第二设备之间的安全通信信道；数据安全密钥生成单元，被配置成至少基于从安全通信信道提取的信道密钥而生成用于业务数据保护的数据安全密钥；以及控制单元，被配置成控制在安全通信信道上传输利用数据安全密钥保护后的业务数据。根据本公开的实施例，能够提高数据传输的安全性。

Description

无线通信系统中的装置和方法以及无线通信系统

技术领域

本公开涉及一种无线通信系统中的装置和方法以及无线通信系统，更具体地，涉及一种能够利用基于位置的服务实现安全数据传输的无线通信系统中的装置和方法以及无线通信系统。

背景技术

近年来，随着移动通信技术的发展，基于位置的服务(诸如3GPP的邻近服务(ProSe))已在各个应用领域(诸如导航、信息推送、移动支付等)得到了广泛的应用，以为用户提供更大的便利性。此外，利用基于位置的服务的现有无线数据传输通常可建立在近场通信(NFC)、蓝牙或者无线局域网(WiFi)信道上。无线通信系统的安全可由相关通信协议、应用等来保障，其安全性独立于信道。另外，无线通信系统的安全参数初始化常常需要额外的第三方安全信道，增加了应用系统的复杂性。在目前的无线通信系统中，为了保证安全数据传输，通常考虑如何验证通信一方设备的账户信息，或者仅验证一方设备，而对于通信另一方设备缺乏有效的验证，这样一方设备可能面临被恶意的第三方设备攻击的风险。另一方面，NFC、蓝牙或WiFi信道等缺乏专门的安全保护，因此在基于这些信道而数据安全独立于信道的系统设计中，物理信道常常成为攻击者攻击该无线通信系统的攻击点。

发明内容

在下文中给出了关于本公开的简要概述，以便提供关于本公开的某些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。

鉴于以上问题，本公开的目的是提供一种能够在利用基于位置的服务建立的安全通信信道上实现安全数据传输的无线通信系统中的装置和方法以及无线通信系统，其避免了或者至少减少了现有技术中由于数据安全独立于信道而引起的系统不安全性。

根据本公开的一方面，提供了一种无线通信系统中的装置，该装置可包括：安全信道建立单元，被配置成利用基于位置的服务建立第一设备与第二设备之间的安全通信信道；数据安全密钥生成单元，被配置成至少基于从安全通信信道提取的信道密钥而生成用于业务数据保护的数据安全密钥；以及控制单元，被配置成控制在安全通信信道上传输利用数据安全密钥保护后的业务数据。

根据本公开的优选实施例，该装置还可包括：业务分类参数生成单元，被配置成基于业务数据的类型而生成业务分类参数，其中，业务分类参数包括用于生成数据安全密钥的算法和数据安全密钥的密钥长度中的一个或多个。优选地，数据安全密钥生成单元可进一步被配置成还基于业务分类参数而生成数据安全密钥。

根据本公开的另一优选实施例，业务分类参数生成单元可进一步被配置成还基于与业务数据有关的安全参数而生成业务分类参数。

根据本公开的另一优选实施例，安全参数可包括使用频率和风险值中的至少一个。

根据本公开的另一优选实施例，业务分类参数生成单元可进一步被配置成还基于附加认证来生成业务分类参数。

根据本公开的另一优选实施例，数据安全密钥可包括保护可验证性的验证密钥、保护数据机密性的加解密密钥和保护数据完整性的完整性密钥中的一个或多个。

根据本公开的另一优选实施例，上述装置可在第一设备侧，并且该装置还可包括：请求单元，被配置成基于位置信息而向多个第二设备中的相应第二设备发送连接请求，其中，安全信道建立单元可进一步被配置成根据相应第二设备对连接请求的响应而建立安全通信信道。

根据本公开的另一优选实施例，请求单元可进一步被配置成根据预定触发状况，基于位置信息而重新从多个第二设备中选择相应第二设备发送连接请求。

根据本公开的另一优选实施例，请求单元可进一步被配置成根据预设的禁止名单而从多个第二设备中选择相应第二设备发送连接请求。

根据本公开的另一优选实施例，请求单元可进一步被配置成根据第二设备预先设置的奖励服务而从多个第二设备中选择相应第二设备发送连接请求。

根据本公开的另一优选实施例，业务数据的类型可根据信息敏感度或者信息私密程度来分类。

根据本公开的另一优选实施例，业务数据的类型可包括支付数据。

根据本公开的另一优选实施例，第一设备可以是移动支付客户端，并且第二设备可以是移动支付服务端。

根据本公开的另一优选实施例，基于位置的服务可以是邻近服务(ProSe)。

根据本公开的另一优选实施例，信道密钥可以是邻近服务业务密钥(PTK)。

根据本公开的另一优选实施例，数据安全密钥生成单元可进一步被配置成根据第一设备和第二设备的设备信息而生成数据安全密钥。

根据本公开的另一优选实施例，信道密钥可以是无线局域网密钥。

根据本公开的另一优选实施例，数据安全密钥生成单元可进一步被配置成根据服务集标识(SSID)而生成数据安全密钥。

根据本公开的另一方面，还公开了一种无线通信系统中的装置，该装置可包括：安全信道建立单元，被配置成响应于来自第一设备的连接请求，利用基于位置的服务建立第一设备与第二设备之间的安全通信信道；以及控制单元，被配置成控制在安全通信信道上传输利用数据安全密钥保护后的业务数据，其中，数据安全密钥是第一设备至少根据从安全通信信道提取的信道密钥而生成的。

根据本公开的另一方面，还公开了一种无线通信系统，该无线通信系统包括：第一设备，被配置成：利用基于位置的服务建立与第二设备之间的安全通信信道，至少基于从安全通信信道提取的信道密钥而生成用于业务数据保护的数据安全密钥，以及控制在安全通信信道上传输利用数据安全密钥保护后的业务数据；以及第二设备，被配置成：响应于来自第一设备的连接请求，利用基于位置的服务建立与第一设备之间的安全通信信道，以及控制在安全通信信道上传输利用数据安全密钥保护后的业务数据。

根据本公开的另一方面，还公开了一种无线通信系统中的方法，该方法可包括：安全信道建立步骤，用于利用基于位置的服务建立第一设备与第二设备之间的安全通信信道；数据安全密钥生成步骤，用于至少基于从安全通信信道提取的信道密钥而生成用于业务数据保护的数据安全密钥；以及控制步骤，用于控制在安全通信信道上传输利用数据安全密钥保护后的业务数据。

根据本公开的另一方面，还公开了一种无线通信系统中的方法，该方法可包括：安全信道建立步骤，用于响应于来自第一设备的连接请求，利用基于位置的服务建立第一设备与第二设备之间的安全通信信道；以及控制步骤，用于控制在安全通信信道上传输利用数据安全密钥保护后的业务数据，其中，数据安全密钥是第一设备至少根据从安全通信信道提取的信道密钥而生成的。

根据本公开的另一方面，还提供了一种电子设备，该电子设备可包括一个或多个处理器，这一个或多个处理器可被配置成执行上述根据本公开的无线通信系统中的方法或相应单元的功能。

根据本公开的其它方面，还提供了用于实现上述根据本公开的方法的计算机程序代码和计算机程序产品以及其上记录有该用于实现上述根据本公开的方法的计算机程序代码的计算机可读存储介质。

根据本公开的实施例，可以在利用基于位置的服务建立的安全通信信道上实现安全数据传输，从而提高了数据传输的安全性和私密性。

在下面的说明书部分中给出本公开实施例的其它方面，其中，详细说明用于充分地公开本公开实施例的优选实施例，而不对其施加限定。

附图说明

本公开可以通过参考下文中结合附图所给出的详细描述而得到更好的理解，其中在所有附图中使用了相同或相似的附图标记来表示相同或者相似的部件。附图连同下面的详细说明一起包含在本说明书中并形成说明书的一部分，用来进一步举例说明本公开的优选实施例和解释本公开的原理和优点。其中：

图1是示出根据本公开实施例的无线通信系统中的装置的功能配置示例的框图；

图2是示出根据本公开的实施例的两级保护技术的示例的示意图；

图3是示出根据本公开的实施例的无线通信系统中的装置的另一功能配置示例的框图；

图4是示出根据本公开的实施例的业务分类参数生成的示例的示意图；

图5是示出根据本公开的实施例的业务分类参数生成的另一示例的示意图；

图6是示出根据本公开的实施例的业务分类参数生成的又一示例的示意图；

图7是示出根据本公开的实施例的无线通信系统中的装置的又一功能配置示例的框图；

图8是示出根据本公开的另一实施例的无线通信系统中的装置的功能配置示例的框图；

图9是示出根据本公开的另一实施例的无线通信系统中的装置的功能配置示例的框图；

图10是示出根据本公开的实施例的无线通信系统的配置示例的框图；

图11是示出根据本公开的实施例的无线通信系统中的方法的过程示例的流程图；

图12是示出根据本公开的实施例的无线通信系统中的方法的另一过程示例的流程图；

图13是示出根据本公开的实施例的无线通信系统中的方法的又一过程示例的流程图；

图14是示出根据本公开的另一实施例的无线通信系统中的方法的过程示例的流程图；

图15是示出根据本公开的另一实施例的无线通信系统中的方法的另一过程示例的流程图；

图16是示出作为本公开的实施例中可采用的信息处理设备的个人计算机的示例结构的框图；

图17是示出应用了本公开的技术的移动安全支付系统的配置示例的框图；

图18是示出应用了本公开的技术的基于3GPP ProSe通信信道的安全支付交易的应用示例的示意图；

图19是示出应用了本公开的技术的基于3GPP核心网辅助的无线局域网(WLAN)直连通信信道的安全支付交易的应用示例的示意图；

图20是示出应用了本公开的技术的移动销售点(POS机)的近距离安全支付交易的应用示例的示意图；

图21是示出应用了本公开的技术的店内购物的稍远距离安全支付交易的应用示例的示意图；以及

图22是示出应用了本公开的技术的电视购物的远距离安全支付交易的应用示例的示意图。

具体实施方式

在下文中将结合附图对本公开的示范性实施例进行描述。为了清楚和简明起见，在说明书中并未描述实际实施方式的所有特征。然而，应该了解，在开发任何这种实际实施例的过程中必须做出很多特定于实施方式的决定，以便实现开发人员的具体目标，例如，符合与系统及业务相关的那些限制条件，并且这些限制条件可能会随着实施方式的不同而有所改变。此外，还应该了解，虽然开发工作有可能是非常复杂和费时的，但对得益于本公开内容的本领域技术人员来说，这种开发工作仅仅是例行的任务。

在此，还需要说明的一点是，为了避免因不必要的细节而模糊了本公开，在附图中仅仅示出了与根据本公开的方案密切相关的设备结构和/或处理步骤，而省略了与本公开关系不大的其它细节。

接下来，将参照图1至图22具体描述本公开的实施例。

首先，将参照图1描述根据本公开的实施例的无线通信系统中的装置的功能配置示例。图1是示出根据本公开的实施例的无线通信系统中的装置的功能配置示例的框图。

如图1所示，根据该实施例的装置100可包括安全信道建立单元102、数据安全密钥生成单元104和控制单元106。下面将分别详细描述各个单元的功能配置示例。

安全信道建立单元102可被配置成利用基于位置的服务建立第一设备与第二设备之间的安全通信信道。具体地，安全信道建立单元102可利用例如3GPP的邻近服务ProSe而建立第一设备与第二设备之间的安全通信信道。根据3GPP的邻近服务ProSe，由于在建立连接的同时完成了这两个设备之间的双向认证(该双向认证也可由提供位置信息的服务提供者作为第三方来辅助)，因此认为在第一设备与第二设备之间建立了一条安全通信信道。

下面将简要介绍在现有技术中如何利用基于位置的服务来建立安全通信信道以及完成设备双向认证。作为示例，下面将以邻近服务为例来进行描述。基于蜂窝网络的D2D(设备到设备)通信或称为邻近服务(ProSe)，是指用户数据可不经网络中转而直接在终端之间传输，避免了蜂窝通信中用户数据经过网络中转传输。邻近服务利用LTE Direct(LTE直连)或Wi-Fi Direct(Wi-Fi直连)等无线技术，让不同装置间可直接通信，而毋须再与后端基地台连线，可大幅减轻核心网络负担。首先，设备通过使用邻近服务直接发现(ProSe Direct Discovery)功能来搜寻附近的服务(餐饮，酒店等)，或者处于某一服务中的所有邻近用户(如附近的同一社交网络的在线用户)等。其次，用户设备和ProSe功能使用AKA(Authentication and Key Agreement，认证与密钥协商)协议相互认证。AKA协议是国际移动电信组织3GPP在研究2G(第二代移动通信网络)安全脆弱性的基础上,针对3G(第三代移动通信网络)接入域安全需求提出的安全规范。AKA使用挑战应答机制，完成用户和网络间的身份认证，同时基于身份认证对通信数据安全密钥进行协商。此外，3GPP的ProSe标准中定义了建立安全通信的各种密钥，如PGK(ProSe Group Key，通信群组密钥)，PTK(ProSe Traffic Key，邻近通信业务密钥)。例如，PGK可以是通过初始配置或邻近通信密钥管理功能配置到设备中的，PGK用于导出业务密钥PTK，PTK则被用于保护通信信道中的数据。当然，也可以由PTK推导出PEK(ProSe Encryption Key,邻近服务通信加密密钥)，使用PEK保护通信信道。这个时候的通信信道被认为是安全通信信道。当然，按照3GPP的定义，PGK是有有效期的，也就是说PGK是需要更新的，每次更新时对应原来PGK的PTK和PEK需要被删除，重新推导。这个更新机制与本发明无关，在此不再详细描述。

数据安全密钥生成单元104可被配置成至少基于从安全通信信道提取的信道密钥而生成用于业务数据保护的数据安全密钥。

具体地，由于从所建立的安全通信信道提取的信道密钥是通过信道安全通信协议生成的并且是仅第一设备和第二设备知道的，因此，考虑到保护数据的安全性，可以根据该信道密钥，利用预定的数据安全密钥生成算法来生成用于第一设备与第二设备之间传输的业务数据保护的数据安全密钥。例如，在基于位置的服务为邻近服务ProSe的情况下，该信道密钥可以是邻近通信业务密钥(ProSe Traffic Key，PTK)。数据安全密钥生成算法例如可以是NIST Special Publication 800-108所推荐的KDF算法等。数据安全保护可以采用例如对称类算法、非对称类算法、序列密码、身份基密码等已知的现有加密算法，本公开对此不作限制。此外，优选地，该数据安全密钥可以包括保护可验证性的验证密钥、保护数据机密性的加解密密钥和保护数据完整性的完整性密钥中的一个或多个，这可根据实际应用的需要来设定，本公开对此不作限制。

此外，优选地，数据安全密钥生成单元104可进一步被配置成根据第一设备和第二设备的设备信息而生成数据安全密钥。该设备信息例如可以是由提供位置信息的服务提供者为设备的安全通信分配的唯一标识符，用以唯一地标识设备之间的安全通信。

作为另一示例，在Wi-Fi Direct通信的情况下，由于借助ProSe的发现功能来完成设备双向认证，但是后续建立安全通信信道是基于Wi-Fi信道，因此，此时的信道密钥是Wi-Fi密钥。我们通常所说的Wi-Fi加密是指国际标准802.11中用到的加密技术，目前主要指WEP(WiredEquivalent Privacy，有线等效加密)和WPA/WPA2(Wi-Fi ProtectedAccess，Wi-Fi受保护访问)。其中，WEP和WPA使用RC4加密算法，而WPA2使用AES(Advanced Encryption Standard，高级加密标准)加密算法。这里的Wi-Fi密钥指的是用这些算法加密Wi-Fi通信数据时用到的密钥。

在该情况下，数据安全密钥生成单元104可进一步被配置成根据服务集标识(SSID)和信道密钥来生成数据安全密钥而无需相关的设备信息。

控制单元106可被配置成在所建立的安全通信信道上传输利用数据安全密钥保护后的业务数据。

如上所述，在现有技术中，通常需要额外的第三方安全通道来对数据进行保护，因而增加了系统应用的复杂性。然而，根据本公开的技术，可以在利用基于位置的服务所建立的安全通信信道上传输保护后的业务数据，这样能够双向验证通信的发送方和接收方，保护数据传输的机密性和完整性，保护数据传输抵抗重放攻击，监听，篡改等攻击，这些攻击一般由恶意第三方通过对物理信道的攻击而实现。具体来说，在本公开的技术中利用根据信道密钥生成的数据安全密钥对业务数据进行保护并且在所建立的安全通信信道上传输保护后的业务数据相当于实现了两级保护。第一级保护为利用数据安全密钥对业务数据进行保护，第二级保护为利用信道密钥(PTK或WiFi密钥)进行保护，以在所建立的安全通信信道上传输密文数据。这样，即使攻击者实现了针对物理信道的攻击，例如获取了信道密钥和传输的密文数据，但是仍然无法得到业务数据，因为必须能推导出数据安全密钥才能恢复原始业务数据。在图2中示出了根据本公开的实施例的两级保护技术的示例的示意图。

此外，对于以上数据安全密钥的生成，还可以根据业务数据的类型而采用不同的算法，以保证对于相应业务数据的保护强度。接下来，将参照图3描述根据本公开的实施例的无线通信系统中的装置的另一功能配置示例。图3是示出根据本公开的实施例的无线通信系统中的装置的另一功能配置示例的框图。

如图3所示，根据该实施例的装置300可包括安全信道建立单元302、业务分类参数生成单元304、数据安全密钥生成单元306和控制单元308。其中，安全信道建立单元302和控制单元308的功能配置示例与以上参照图1描述的相应单元的功能配置示例基本上相同，在此不再重复描述。下面将仅详细描述业务分类参数生成单元304和数据安全密钥生成单元306的功能配置示例。

业务分类参数生成单元304可被配置成基于业务数据的类型而生成业务分类参数，该业务分类参数可包括用于生成数据安全密钥的算法和数据安全密钥的密钥长度中的一个或多个。具体地，例如，如果所传输的业务数据的重要性较高并且需要较高的安全性，则可采用具有较高保护强度的密钥生成算法以及/或者较长的密钥长度。相反，如果所传输的业务数据对安全性要求较低，则可采用相对低保护强度的密钥生成算法以及/或者较短的密钥长度以降低计算复杂性。业务数据的类型可以由应用层服务来指定，也可由用户在安装和使用应用层服务时设定。例如，可根据信息敏感度或者信息私密程度来对业务数据进行分类。作为示例，业务数据的类型可包括支付数据，并且在该示例应用中，第一设备可以是移动支付客户端，并且第二设备可以是移动支付服务端。然而，应理解，业务数据可包括任意其它需要安全传输的数据类型，并且第一设备和第二设备也可以是任意能够执行无线通信的支持基于位置服务的电子设备，而不限于上述示例。

图4是示出根据本公开的实施例的业务分类参数生成的示例的示意图。

如图4所示，例如，业务分类参数生成单元304可根据例如从应用层服务指定的业务类型，基于预先建立的映射表而确定业务分类参数，即，完成从业务类型到算法类的映射，并进一步在具体的算法类中确定所采用的密钥生成算法和数据安全密钥的长度。

数据安全密钥生成单元306可进一步被配置成还基于业务分类参数来生成数据安全密钥。除了上述信道密钥之外，数据安全密钥生成单元306还基于根据业务类型确定的业务分类参数来生成数据安全密钥，因此能够生成更加适合于当前业务需要的数据安全密钥。

图5示出了根据本公开的实施例的业务分类参数生成的另一示例的示意图。

优选地，业务分类参数生成单元304可进一步被配置成还基于与业务数据有关的安全参数而生成业务分类参数。该安全参数可通过应用层服务指定或者可由无线通信系统指定。优选地，安全参数可以包括使用频率和风险值中的至少一个。具体地，例如，安全参数可以是针对某一应用的用户使用频率或者也可以是由应用层服务的服务器端统计得到的该应用的风险值。

如图5所示，例如，业务分类参数生成单元304可根据从应用层服务指定的业务类型(ToS)和安全参数(SP)，利用预定的决策模型计算出决策值，该决策值与算法类数据(包括密钥生成算法和密钥长度等)存在对应关系，从而可根据相应的对应关系而得到最终的业务分类参数。

例如，决策模型可使用业务类型ToS(与业务敏感度对应)、用户使用频率UF(与用户习惯、用户依赖度对应)和应用服务风险值ARV(该应用服务被恶意攻击的可能性等)作为输入来得到决策值D：D＝F(ToS,UF,ARV)，其中F表示决策模型函数，从而业务分类参数生成单元304可根据决策值、基于对应关系来确定相应的业务分类参数。对于应用服务风险值ARV，例如，可由服务器端通过统计客户端应用的访问量、访问源/目的等大数据信息，得出该客户端应用是否处于异常使用状态或趋向异常使用状态，并据此生成针对该客户端的应用服务风险值ARV，然后反馈到客户端设备的应用层服务客户端，再导入到上述决策模型中，从而得到决策值D，其中决策值D对应于保护强度(即，包括密钥生成算法和密钥长度)。优选地，该决策模型还可根据输入的业务类型和安全参数而动态地调整算法强度，以提供适合于当前业务需要的密钥生成算法和密钥长度。

图6是示出根据本公开的实施例的业务分类参数生成的又一示例的示意图。

进一步优选地，业务分类参数生成单元304可进一步被配置成还基于附加认证来生成业务分类参数。具体地，如上所述，决策模型可根据输入参数(包括业务类型和安全参数)而动态地调整算法强度，并且还可增加额外的认证，例如要求用户在已运行的客户端服务的基础上增加一次身份认证等。

如图6所示，在该示例中，增加的身份认证可作为决策模型的一个增强输出选项与算法类映射表并列，从而业务分类参数生成单元304可进一步结合附加的身份认证而得到相应的业务分类参数，以增强保护强度。

应理解，尽管以上参照图4至图6描述了业务分类参数的生成的示例，但是本公开不限于此，并且还可通过考虑其它的输入参数来生成业务分类参数，以得到更加适合于实际业务需要的数据安全密钥。

图7是示出根据本公开的实施例的无线通信系统中的装置的又一功能配置示例的框图。

如图7所示，根据该实施例的装置700可包括请求单元702、安全信道建立单元704、数据安全密钥生成单元706和控制单元708。其中，安全信道建立单元704、数据安全密钥生成单元706和控制单元708的功能配置示例与以上参照图1描述的相应单元的功能配置示例基本上相同，在此不再重复描述。下面将仅详细描述请求单元702的功能配置示例。

请求单元702可被配置成基于位置信息而向多个第二设备中的相应第二设备发送连接请求。假设同时存在多个可与第一设备连接的第二设备，例如，在移动安全支付的应用示例中，假设同时存在多个可提供支付服务的支付服务端，则作为支付客户端的第一设备可根据位置信息等因素而向相应的支付服务端发送连接请求。

然后，响应于第二设备返回的对连接请求的响应，安全信道建立单元704可建立相应的安全通信信道。即，例如，如果支付服务端返回的响应表示允许支付客户端与其连接，则该支付客户端可通过基于位置的服务而建立与支付服务端之间的安全通信信道；相反，如果该响应表示不允许支付客户端接入，则请求单元702需要向其它支付服务端发送连接请求以建立安全通信信道。

优选地，请求单元702可进一步被配置成根据预定触发状况，基于位置信息而重新从多个第二设备中选择相应第二设备发送连接请求。具体地，例如，如果当前连接的第二设备由于设备故障等原因而导致连接中断，则请求单元702可根据位置信息而自动向附近其它可用的第二设备(例如，支付服务端)发起连接请求以完成当前通信业务。这样，通过该自动重连功能，可以保证通信业务的顺利进行。

此外，优选地，请求单元702还可进一步被配置成根据预设的禁止名单而从多个第二设备中选择相应的第二设备发送连接请求。具体地，例如，根据附近的多个第二设备(例如，支付服务端)的例如服务性能等指标，第一设备(例如，支付客户端)可生成相应的禁止名单(即，所谓的“黑名单”)并且可以与其它支付客户端分享，从而请求单元702可根据该支付客户端生成的“黑名单”或者其它支付客户端分享的“黑名单”而从多个支付服务端中选择服务性能较优的支付服务端发起连接请求，以保证后续通信业务的顺利进行。

此外，优选地，请求单元702可进一步被配置成根据第二设备预先设置的奖励服务而从多个第二设备中选择相应第二设备发送连接请求。具体地，例如，某些第二设备(例如，支付服务端)为了追求交易量可提供例如“积分”服务等，例如，每次连接到该支付服务端的支付客户端并进行支付的用户可进行积分并在累积到一定分数后可抵消支付额度或者其它兑换，以此奖励服务来促使更多的支付客户端连接到该支付服务端。

以上参照图1至图7描述了第一设备(例如，支付客户端)侧的无线通信系统中的装置的功能配置示例，接下来将参照图7描述根据本公开的另一实施例的第二设备(例如，支付服务端)侧的无线通信系统中的装置的功能配置示例。图8是示出根据本公开的另一实施例的无线通信系统中的装置的功能配置示例的框图。

如图8所示，根据该实施例的装置800可包括安全信道建立单元802和控制单元804。接下来将分别详细描述各个单元的功能配置示例。

安全信道建立单元802可被配置成响应于来自第一设备的连接请求，利用基于位置的服务来建立第一设备与第二设备之间的安全通信信道。具体的利用基于位置的服务来建立第一设备与第二设备之间的安全通信信道的过程可参见例如3GPP ProSe中的通信信道建立过程，在此不再赘述。第一设备例如可以是移动支付客户端，并且第二设备例如可以是移动支付服务端。

控制单元804可被配置成在所建立的安全通信信道上传输利用数据安全密钥保护后的业务数据。该数据安全密钥是第一设备至少根据从安全通信信道提取的信道密钥而生成的。

在基于位置的服务是邻近服务ProSe的情况下，信道密钥可以是邻近服务业务密钥PTK。在基于位置的服务为基于3GPP核心网辅助的WLAN直连通信的情况下，信道密钥可以是无线局域网密钥。数据安全密钥的具体生成方法可参见以上相应位置的描述，在此不再赘述。

如上所述，与现有技术相比，取代在第三方安全信道上对传输安全参数进行初始化，在本公开的实施例中，在通信双方建立的安全通信信道上传输保护后的业务数据，能够有效保护数据传输的机密性和完整性，保护数据传输抵抗如监听，篡改等攻击，这些攻击一般由恶意第三方通过对物理信道的攻击而实现。

图9是示出根据本公开的另一实施例的无线通信系统中的装置的另一功能配置示例的框图。

如图9所示，根据该实施例的装置900可包括安全信道建立单元902、控制单元904和管理单元906。其中，安全信道建立单元902和控制单元904的功能配置示例与以上参照图8描述的相应单元的功能配置示例基本上相同，在此不再重复描述。下面将仅详细描述管理单元906的功能配置示例。

管理单元906可被配置成根据第一设备的连接请求而对第一设备进行奖励。具体地，如上所述，当在第一设备(例如，支付客户端)附近同时存在多个可进行支付的支付服务端时，为了促使支付客户端优先连接特定支付服务端，该支付服务端可提供相应的奖励服务(例如，积分服务)以对连接至该服务端的支付客户端进行奖励。

应理解，以上参照图8和图9描述的第二设备(例如，支付服务端)侧的装置是与以上描述的第一设备(例如，支付客户端)侧的装置相对应的，因此在此未详细描述的内容可参见以上相应位置的描述，在此不再重复进行描述。

应理解，尽管以上参照附图描述了无线通信系统中的装置的功能配置示例，但是这仅是示例而非限制，并且本领域技术人员可以根据本公开的原理对上述功能配置示例进行修改，例如，对上述功能模块进行添加、删除、变更、组合和子组合等，并且这样的变型自然认为落入本公开的范围内。

接下来，将参照图10描述根据本公开的实施例的无线通信系统的配置示例。图10是示出根据本公开的实施例的无线通信系统的配置示例的框图。

如图10所示，根据本实施例的无线通信系统1000可包括第一设备1002和第二设备1004。

第一设备1002可包括一个或多个处理器，这一个或多个处理器可被配置成：利用基于位置的服务建立与第二设备1004之间的安全通信信道，至少基于从安全通信信道提取的信道密钥而生成用于业务数据保护的数据安全密钥，以及控制在安全通信信道上传输利用数据安全密钥保护后的业务数据。

第二设备1004可包括一个或多个处理器，这一个或多个处理器可被配置成：利用基于位置的服务建立与第二设备之间的安全通信信道，至少基于从安全通信信道提取的信道密钥而生成用于业务数据保护的数据安全密钥，以及控制在安全通信信道上传输利用数据安全密钥保护后的业务数据。

图11是示出根据本公开的实施例的无线通信系统中的方法的过程示例的流程图。

如图11所示，根据该实施例的方法可包括安全信道建立步骤S1102、数据安全密钥生成步骤S1104和控制步骤S1106。下面将具体描述各个步骤中的处理。

在安全信道建立步骤S1102中，响应于来自第一设备的连接请求，利用基于位置的服务建立第一设备与第二设备之间的安全通信信道。该基于位置的服务例如可以是邻近服务ProSe，并且安全通信信道的建立可参见3GPP ProSe中的相应描述，在此不再赘述。

接下来，在数据安全密钥生成步骤S1104中，至少基于从安全通信信道提取的信道密钥而生成用于业务数据保护的数据安全密钥。该信道密钥例如可以是PTK或无线局域网密钥。具体的密钥生成方法可参见以上对应装置的实施例中相应位置的描述，在此不再重复。

然后，在控制步骤S1106中，在安全通信信道上传输利用数据安全密钥保护后的业务数据。

图12是示出根据本公开的实施例的无线通信系统中的方法的另一过程示例的流程图。

如图12所示，根据该实施例的方法可包括安全信道建立步骤S1202、业务分类参数生成步骤S1204、数据安全密钥生成步骤S1206和控制步骤S1208。其中，安全信道建立步骤S1202和控制步骤S1208与以上参照图11描述的相应步骤中的处理基本上相同，在此不再重复描述。下面将仅详细描述业务分类参数生成步骤S1204和数据安全密钥生成步骤S1206中的处理。

在业务分类参数生成步骤S1204中，基于业务数据的类型而生成业务分类参数，该业务分类参数可包括用于生成数据安全密钥的算法和数据安全密钥的密钥长度中的至少一个。优选地，业务数据的类型可根据信息敏感度或者信息私密程度来分类。

此外，在业务分类参数生成步骤S1204中，还可基于与业务数据有关的安全参数和/或附加的身份认证来生成业务分类参数，该安全参数可包括使用频率和风险值中的至少一个。

然后，在数据安全密钥生成步骤S1206中，除了上述从安全信道提取的信道密钥之外，还基于所生成的业务分类参数来生成数据安全密钥。

图13是示出根据本公开的实施例的无线通信系统中的方法的又一过程示例的流程图。

如图13所示，根据该实施例的方法可包括请求步骤S1302、安全信道建立步骤S1304、数据安全密钥生成步骤S1306和控制步骤S1308。其中，安全信道建立步骤S1304、数据安全密钥生成步骤S1306和控制步骤S1308中的处理与以上参照图11描述的相应步骤中的处理基本上相同，在此不再重复。下面将仅详细描述请求步骤S1302中的处理。

在请求步骤S1302中，基于位置信息而向多个第二设备中的相应第二设备发送连接请求。具体地，可根据具体的服务需求，基于位置信息而向附近存在的多个第二设备中的相应第二用户设备发送连接请求以建立安全通信信道。

优选地，在请求步骤S1302中，可根据预定触发状况(例如，由于第二设备故障等原因而导致连接断开)，基于位置信息而重新从多个第二设备中选择相应第二设备发送连接请求。这例如提供了自动重连功能，以保证通信业务的顺利进行。此外，优选地，在请求步骤S1302中，还可根据预设的禁止名单(例如，根据服务性能设置的“黑名单”，并且可在多个设备之间共享该名单)而从多个第二设备中选择相应第二设备发送连接请求，以保证优先接入服务性能优良的服务设备。进一步，优选地，在请求步骤S1302中，还可根据第二设备预先设置的奖励服务而从多个第二设备中选择相应第二设备发送连接请求，从而多次接入某个第二设备的第一设备可相应地获得奖励服务。

接下来，在安全通信信道建立步骤S1304中，可根据相应第二设备对连接请求的响应(即，是否允许接入)而建立第一设备与第二设备间的安全通信信道。

这里参照图11至图13描述的方法是与以上参照图1至图7描述的第一设备侧的装置的实施例对应的，因此在此未详细描述的内容可参见以上装置实施例的相应位置的描述，在此不再赘述。

图14是示出根据本公开的另一实施例的无线通信系统中的方法的过程示例的框图。

如图14所示，根据该实施例的方法可包括安全信道建立步骤S1402和控制步骤S1404。

首先，在安全信道建立步骤S1402中，响应于来自第一设备的连接请求，利用基于位置的服务建立第一设备与第二设备之间的安全通信信道。

接下来，在控制步骤S1404中，可控制在所建立的安全通信信道上传输利用数据安全密钥保护后的业务数据。该数据安全密钥是第一设备至少根据从安全通信信道提取的信道密钥而生成的。

图15是示出根据本公开的另一实施例的无线通信系统中的方法的另一过程示例的流程图。

如图15所示，根据该实施例的方法可包括安全信道建立步骤S1502、控制步骤S1504和管理步骤S1506。其中，安全信道建立步骤S1502和控制步骤S1504中的处理与以上参照图14描述的相应步骤中的处理基本上相同，在此不再重复。下面将仅详细描述管理步骤S1506中的处理。

在管理步骤S1506中，可根据第一设备的连接请求而对第一设备进行奖励。例如，对于每次接入特定第二设备的第一设备，该第二设备可对第一设备提供“积分”服务，以鼓励第一设备接入该第二设备。

这里参照图14和图15描述的无线通信系统中的方法是与以上参照图8和图9描述的第二设备侧的装置的实施例相对应的，在此未详细描述的内容可参见以上装置实施例中相应位置的描述，在此不再重复。

应指出，尽管以上描述了根据本公开的实施例的无线通信系统中的方法的过程示例，但是这仅是示例而非限制，并且本领域技术人员可根据本公开的原理对以上实施例进行修改，例如可对各个实施例中的步骤进行添加、删除或者组合等，并且这样的修改均落入本公开的范围内。

根据本公开的实施例，通过在受保护的物理安全信道上传输利用根据从物理安全信道提取的信道密钥生成的数据安全密钥所保护的上层业务数据而不依赖于第三方安全信道，提高了数据传输的安全性。

此外，根据本公开的实施例，还提供了一种电子设备，该电子设备可包括一个或多个处理器，处理器可被配置成执行上述根据本公开的实施例的无线通信系统中的方法或相应单元的功能。

应理解，根据本公开的实施例的存储介质和程序产品中的机器可执行的指令还可以被配置成执行与上述装置实施例相对应的方法，因此在此未详细描述的内容可参考先前相应位置的描述，在此不再重复进行描述。

相应地，用于承载上述包括机器可执行的指令的程序产品的存储介质也包括在本发明的公开中。该存储介质包括但不限于软盘、光盘、磁光盘、存储卡、存储棒等等。

另外，还应该指出的是，上述系列处理和装置也可以通过软件和/或固件实现。在通过软件和/或固件实现的情况下，从存储介质或网络向具有专用硬件结构的计算机，例如图16所示的通用个人计算机1600安装构成该软件的程序，该计算机在安装有各种程序时，能够执行各种功能等等。

在图16中，中央处理单元(CPU)1601根据只读存储器(ROM)1602中存储的程序或从存储部分1608加载到随机存取存储器(RAM)1603的程序执行各种处理。在RAM 1603中，也根据需要存储当CPU 1601执行各种处理等时所需的数据。

CPU 1601、ROM 1602和RAM 1603经由总线1604彼此连接。输入/输出接口1605也连接到总线1604。

下述部件连接到输入/输出接口1605：输入部分1606，包括键盘、鼠标等；输出部分1607，包括显示器，比如阴极射线管(CRT)、液晶显示器(LCD)等，和扬声器等；存储部分1608，包括硬盘等；和通信部分1609，包括网络接口卡比如LAN卡、调制解调器等。通信部分1609经由网络比如因特网执行通信处理。

根据需要，驱动器1610也连接到输入/输出接口1605。可拆卸介质1611比如磁盘、光盘、磁光盘、半导体存储器等等根据需要被安装在驱动器1610上，使得从中读出的计算机程序根据需要被安装到存储部分1608中。

在通过软件实现上述系列处理的情况下，从网络比如因特网或存储介质比如可拆卸介质1611安装构成软件的程序。

本领域的技术人员应当理解，这种存储介质不局限于图16所示的其中存储有程序、与设备相分离地分发以向用户提供程序的可拆卸介质1611。可拆卸介质1611的例子包含磁盘(包含软盘(注册商标))、光盘(包含光盘只读存储器(CD-ROM)和数字通用盘(DVD))、磁光盘(包含迷你盘(MD)(注册商标))和半导体存储器。或者，存储介质可以是ROM 1602、存储部分1608中包含的硬盘等等，其中存有程序，并且与包含它们的设备一起被分发给用户。

下面，将以移动安全支付作为具体的应用场景示例，对应用本公开的技术的具体应用示例进行描述。但是，应理解，本公开的应用并不限于移动安全支付，而是可应用于任何需要安全数据传输的领域。

图17是示出应用了本公开的技术的移动安全支付系统的配置示例的框图。

如图17所示，在作为第一设备的示例的移动安全支付客户端设备和作为第二设备的示例的移动安全支付服务端设备中，由移动安全信道模块完成基于位置的移动安全支付客户端设备和移动安全支付服务端设备双向认证和服务授权，然后移动安全信道模块生成支付交易安全参数(即，数据安全密钥)用以保护上层的安全支付应用通信，接着认证后的移动安全支付客户端设备和移动安全支付服务端设备通过所建立的移动安全信道传输受保护的上层通信数据，并且安全支付应用客户端模块和安全支付应用服务端模块在受保护的安全信道内传输支付数据。下面将分别详细描述移动安全信道模块以及安全支付应用客户端模块和安全支付应用服务端模块执行的具体操作。

具体来说，通过移动安全信道模块完成基于位置的移动安全支付客户端设备和移动安全支付服务端设备双向认证和服务授权可包括如下过程。

首先，支付客户端设备根据位置信息查找可用的支付服务端设备，并发起连接请求；支付客户端设备的用户可以限定具体的位置信息范围。例如，可以限定为一定物理距离内的支付服务端设备，实现近距离支付；也可以限定为同一个位置信息服务提供者下的指定服务范围内的支付服务端设备，实现稍远距离的支付；还可以通过位置信息服务提供者作为中继，实现远距离的支付。

其次，支付服务端设备响应连接请求，并与支付客户端设备交换设备认证信息，完成双向认证。设备双向认证可以由支付客户端设备和支付服务设备直接进行，也可以由提供位置信息的服务提供者作为第三方来辅助进行。提供位置信息的服务提供者为支付客户端设备和支付服务端设备提供标识信息和预分配所需的安全验证数据信息以保障信道通信安全。移动安全信道模块实现以下安全功能：能够双向验证通信的发送方和接收方，保护数据传输的机密性和完整性；保护数据传输抵抗重放攻击、监听，篡改；能够抵抗针对设备及交易中的身份泄露攻击。移动安全信道模块的安全验证数据信息可包括例如支付客户端设备标识信息ID、支付服务端设备标识信息ID、信道通信密钥等。

最后，移动安全支付客户端设备针对已验证的移动安全支付服务端设备进行支付服务授权。

由移动安全信道模块生成支付交易安全参数，用以保护上层的安全支付应用通信具体可包括例如如下过程。

对移动安全支付客户端设备和移动安全支付服务端设备提取相应的标识信息ID。该ID包含由提供位置信息的服务提供者为移动安全支付客户端设备和移动安全支付服务端设备进行安全通信分配的唯一标识，用以唯一标识支付客户端设备和支付服务端设备的安全通信。

从安全移动信道中提取信道密钥(Channel key)生成交易会话所需的支付交易安全参数，包括保护可验证性的验证密钥AK、保护数据机密性的加解密密钥CK、以及保护数据完整性的完整性密钥IK。例如，可以采用如下的生成方式：

(AK,CK,IK)＝KDF(ID,Channel key,Timestamp,RAND,Counter)

其中，Timestamp表示时间戳，RAND表示随机数，并且Counter表示计数器值。

密钥生成函数(Key Derivation Function，KDF)可以采用RFC5869HMAC-based Extract-and-Expand Key Derivation Function(HKDF)，也可以采用Password-Based Key Derivation Function，如RFC2898Password-Based Key Derivation Function 2(PBKDF2)或者NIST推荐的PKDF：NIST Special Publication 800-132，本公开对此不做限制。

应理解，以上给出的数据安全密钥生成方式仅为示例而非限制，如以上所描述的，还可根据业务类型、安全参数等来生成数据安全密钥。

由安全支付应用客户端模块和安全支付应用服务端模块在受保护的安全信道内传输支付数据并完成支付交易具体可包括如下过程。

首先，在交易会话所需的支付交易安全参数的保护下，根据具体支付方式和场景的不同，初始化交易所需的安全信息。具体支付方式可以是移动设备通过运营商电话费支付，或者移动设备绑定实体卡(如银行卡，信用卡，公交卡等)的刷卡型支付，或者移动设备绑定远程ID的支付帐号支付(如微信支付、支付宝钱包、百度钱包等)。

然后，在安全信息的保护下，传输支付交易数据，包括交易请求数据、支付账户信息、支付验证信息等。

最后，用户确认交易数据后完成交易。同上，交易确认信息也在安全信息保护下进行传输。

下面，将结合参照图17描述的移动安全支付系统，对本公开的技术的具体应用示例进行描述。

图18是示出应用了本公开的技术的基于3GPP ProSe通信信道的安全支付交易的应用示例的示意图。

在图18所示的示例中，以支持3GPP ProSe的智能手机和移动POS机分别作为移动支付客户端和移动支付服务端的示例来实施以下步骤完成安全支付交易。

(1)设备发现和认证：移动支付客户端和移动支付服务端通过3GPPProSe Direct Discovery(直接发现)过程发现对方设备并完成设备的认证。ProSe Direct Discovery过程通常包含以下步骤：

ProSe服务授权过程：ProSe模块向核心网络申请ProSe服务授权；

发现请求过程：获得ProSe服务授权的移动支付客户端向附近发出发现请求及相应的服务配置信息；

发现应答过程：附近在监听中的移动支付服务端接收发现请求；

匹配报告过程：核心网络确认接收到的发现请求及请求者的身份。

这里，移动支付客户端和移动支付服务端的身份识别由提供位置服务的移动核心网络完成。

(2)支付服务授权：支付客户端针对已验证的支付服务端进行支付服务授权。

(3)建立安全通信信道：移动支付客户端和移动支付服务端通过3GPP ProSe Direct communication(直接通信)建立安全通信。ProSe UEID用于唯一标识ProSe客户端。移动支付客户端和移动支付服务端之间的通信通过根据PTK(ProSe Traffic Key，邻近通信业务密钥)生成的安全信息来保护。

(4)支付交易安全参数初始化：从安全通信信道中的安全数据(ProSe UE ID,PTK)生成保护安全支付交易所需的密钥集。

应指出，对于以上步骤，移动支付客户端可以在提供位置服务的移动核心网络支持下实时完成；也可以在位置不发生变化或者位置移动不超越相同服务小区范围的情况下预先申请。

(5)完成受保护的安全交易：在上一步骤中生成的密钥集的保护下，传输安全交易数据。

(6)最后，用户确认交易数据后完成交易。同上，交易确认信息也在安全信息保护下传输。

图19是示出应用了本公开的技术的基于3GPP核心网辅助的无线局域网(WLAN)直连通信信道的安全支付交易的应用示例的示意图。

在图19所示的应用示例中，以支持3GPP EPC-assisted WiFi direct(3GPP演进分组核心网辅助的WiFi直连)的智能手机和POS机分别作为移动支付客户端和移动支付服务端的示例，实施以下步骤完成安全支付交易。

(1)设备发现和认证：移动支付客户端和移动支付服务端通过3GPPEPC-level ProSe Discovery(EPC级ProSe发现)过程发现对方设备并完成设备的验证。

(2)支付服务授权：移动支付客户端针对已验证的移动支付服务端进行支付服务授权。

(3)建立安全通信信道：如果3GPP EPC判定移动支付客户端和移动支付服务端处在近场位置，并负责交换WLAN配置信息和辅助建立WLAN直连(direct connection)。

(4)支付交易安全参数初始化：从上一步骤的安全通信信道中的安全数据(SSID(服务集标识符),WLAN密钥)生成保护安全支付交易所需的密钥集。

应指出，对于以上步骤，移动支付客户端可以在提供位置服务的移动核心网络支持下实时完成；也可以在位置不发生变化或者位置移动不超越相同服务小区范围的情况下预先申请。

(5)完成受保护的安全交易：在上一步骤中生成的密钥集的保护下，传输安全交易数据。

(6)最后，用户确认交易数据后完成交易。同上，交易确认信息也在安全信息保护下传输。

接下来，将参照图20至图22，以不同支付方式下的支付应用实例为例来说明本公开的具体实施例。

图20是示出应用了本公开的技术的移动销售点(POS机)的近距离安全支付交易的应用示例的示意图。

如图20所示的示例，该示例应用常见于网络购物的货到付款、智能公交等。在本实施例中，智能手机作为支付客户端，移动PoS机或其它支付应用读卡器为支付服务端。本实施例以采用移动设备绑定实体卡(如银行卡、信用卡、公交卡等)的刷卡型支付方式为例说明，但是应理解，本公开所涉及的技术也相应适用于其它支付方式。

首先，支付客户端和支付服务端通过上文所述基于3GPP ProSe通信信道的安全支付交易应用或基于3GPP核心网辅助的WLAN直连通信信道的交易中的步骤(1)～(4)完成设备发现、认证、支付服务授权以及建立安全通信信道及支付交易安全参数初始化。之后，支付客户端与支付服务端之间的数据传输均在已建立的安全信道上进行。在本应用场景下，这些步骤需要实时完成。

其次，支付服务端传输交易数据，包括交易ID、交易金额、交易描述等。

最后，支付客户端提交账户及支付所需的其它信息。

下面将参照图21描述店内稍远距离安全支付交易的应用示例。图21是示出应用了本公开的技术的店内购物的稍远距离安全支付交易的应用示例的示意图。

在图21所示的应用示例中，智能手机作为支付客户端，店内POS机为支付服务端。本实施例以移动设备绑定远程ID的支付帐号支付(如微信支付、支付宝钱包、百度钱包等)为例说明，但是本公开所涉及的技术也相应适用于其它支付方式。在实体店购物时，购买者常常需要在选中商品后到购物柜台支付，然而，通过本公开所涉及的移动安全支付，购买者可以在选中商品后就地直接支付。商家在店内可以部署多个支付服务端，购买者选择空闲的支付服务端进行连接。

首先，同上一应用实例，支付客户端和支付服务端通过上文所述基于3GPP ProSe通信信道的安全支付交易应用或基于3GPP核心网辅助的WLAN直连通信信道的交易中的步骤(1)～(4)完成设备发现、认证、支付服务授权建立安全通信信道及支付交易安全参数初始化。之后，支付客户端与支付服务端之间的数据传输均在已建立的安全信道上进行。在本应用场景下，这些步骤可以在购买者进店的时候进行，也可以在购买者需要支付时实时完成。

其次，由售货员生成交易ID，或者购买者通过扫描商品上的条型码自助生成交易ID，并发送给商家的支付服务端。

然后，支付服务端确认交易ID和交易金额，并返回交易确认信息到交易客户端。

最后，交易客户端提交账户信息和其它支付相关的信息。

接下来，将参照图22描述远距离安全支付交易的应用示例。图22是示出应用了本公开的技术的电视购物的远距离安全支付交易的应用示例的示意图。

本图22所示的应用示例中，智能手机作为支付客户端，远距离POS机为支付服务端。本实施例以移动设备通过运营商电话费支付为例说明，但是本公开所涉及的技术也相应适用于其它支付方式。

首先，同上一应用实例，支付客户端和支付服务端通过上文所述基于3GPP ProSe通信信道的安全支付交易应用的步骤(1)～(4)完成设备发现、认证、建立安全通信信道及支付交易安全参数初始化。之后，支付客户端与支付服务端之间的数据传输均在已建立的安全信道上进行。

其次，购买者通过扫描电视屏幕上商品上的条型码自助生成交易ID。通过运营商网络发送交易ID给支付服务端，如通过短信、电话等方式。

然后，支付服务端确认交易ID和交易金额，并返回交易确认信息到交易客户端。

最后，支付客户端支付确认信息并授权运营商电话费账户支付。

可以看出，根据以上所描述的应用示例，根据本公开的技术，通过利用基于位置的服务实现移动安全支付，不仅可以提高支付的便利性，而且在所建立的安全通信信道上实现受保护的安全数据传输，还提高了数据传输的安全性。

此外，应指出，尽管以上以移动安全支付应用为例描述了本公开的应用示例，但是本公开的技术不限于此，而是可以适用于任何需要安全数据传输的应用领域，并且本领域技术人员可以根据本公开的原理而容易地对上述过程进行修改以应用于其它领域。

以上参照附图描述了本公开的优选实施例，但是本公开当然不限于以上示例。本领域技术人员可在所附权利要求的范围内得到各种变更和修改，并且应理解这些变更和修改自然将落入本公开的技术范围内。

例如，在以上实施例中包括在一个单元中的多个功能可以由分开的装置来实现。替选地，在以上实施例中由多个单元实现的多个功能可分别由分开的装置来实现。另外，以上功能之一可由多个单元来实现。无需说，这样的配置包括在本公开的技术范围内。

在该说明书中，流程图中所描述的步骤不仅包括以所述顺序按时间序列执行的处理，而且包括并行地或单独地而不是必须按时间序列执行的处理。此外，甚至在按时间序列处理的步骤中，无需说，也可以适当地改变该顺序。

Claims (27)

1.一种无线通信系统中的装置，所述装置包括：

安全信道建立单元，被配置成利用基于位置的服务建立第一设备与第二设备之间的安全通信信道；

数据安全密钥生成单元，被配置成至少基于从所述安全通信信道提取的信道密钥而生成用于业务数据保护的数据安全密钥；以及

控制单元，被配置成控制在所述安全通信信道上传输利用所述数据安全密钥保护后的业务数据。

2.根据权利要求1所述的装置，还包括：

业务分类参数生成单元，被配置成基于所述业务数据的类型而生成业务分类参数，其中，所述业务分类参数包括用于生成所述数据安全密钥的算法和所述数据安全密钥的密钥长度中的一个或多个，

其中，所述数据安全密钥生成单元进一步被配置成还基于所述业务分类参数而生成所述数据安全密钥。

3.根据权利要求2所述的装置，其中，所述业务分类参数生成单元进一步被配置成还基于与所述业务数据有关的安全参数而生成所述业务分类参数。

4.根据权利要求3所述的装置，其中，所述安全参数包括使用频率和风险值中的至少一个。

5.根据权利要求2所述的装置，其中，所述业务分类参数生成单元进一步被配置成还基于附加认证来生成所述业务分类参数。

6.根据权利要求1所述的装置，其中，所述数据安全密钥包括保护可验证性的验证密钥、保护数据机密性的加解密密钥和保护数据完整性的完整性密钥中的一个或多个。

7.根据权利要求1所述的装置，其中，所述装置在所述第一设备侧，并且所述装置还包括：

请求单元，被配置成基于位置信息而向多个所述第二设备中的相应第二设备发送连接请求，

其中，所述安全信道建立单元进一步被配置成根据相应第二设备对所述连接请求的响应而建立所述安全通信信道。

8.根据权利要求7所述的装置，其中，所述请求单元进一步被配置成根据预定触发状况，基于位置信息而重新从多个所述第二设备中选择相应第二设备发送连接请求。

9.根据权利要求7所述的装置，其中，所述请求单元进一步被配置成根据预设的禁止名单而从多个所述第二设备中选择相应第二设备发送连接请求。

10.根据权利要求7所述的装置，其中，所述请求单元进一步被配置成根据第二设备预先设置的奖励服务而从多个所述第二设备中选择相应第二设备发送连接请求。

11.根据权利要求2所述的装置，其中，所述业务数据的类型根据信息敏感度或者信息私密程度来分类。

12.根据权利要求11所述的装置，其中，所述业务数据的类型包括支付数据。

13.根据权利要求12所述的装置，其中，所述第一设备是移动支付客户端，并且所述第二设备是移动支付服务端。

14.根据权利要求1至13中任一项所述的装置，其中，所述基于位置的服务是邻近服务ProSe。

15.根据权利要求1至13中任一项所述的装置，其中，所述信道密钥是邻近服务业务密钥PTK。

16.根据权利要求15所述的装置，其中，所述数据安全密钥生成单元进一步被配置成根据所述第一设备和所述第二设备的设备信息而生成所述数据安全密钥。

17.根据权利要求1至13中任一项所述的装置，其中，所述信道密钥是无线局域网密钥。

18.根据权利要求17所述的装置，其中，所述数据安全密钥生成单元进一步被配置成根据服务集标识SSID而生成所述数据安全密钥。

19.一种无线通信系统中的装置，所述装置包括：

安全信道建立单元，被配置成响应于来自第一设备的连接请求，利用基于位置的服务建立所述第一设备与第二设备之间的安全通信信道；以及

控制单元，被配置成控制在所述安全通信信道上传输利用数据安全密钥保护后的业务数据，

其中，所述数据安全密钥是所述第一设备至少根据从所述安全通信信道提取的信道密钥而生成的。

20.根据权利要求19所述的装置，还包括：

管理单元，被配置成根据所述第一设备的连接请求而对所述第一设备进行奖励。

21.根据权利要求19所述的装置，其中，所述第一设备是移动支付客户端，并且所述第二设备是移动支付服务端。

22.根据权利要求19至21中任一项所述的装置，其中，所述基于位置的服务是邻近服务ProSe。

23.根据权利要求19至21中任一项所述的装置，其中，所述信道密钥是邻近服务业务密钥PTK。

24.根据权利要求19至21中任一项所述的装置，其中，所述信道密钥是无线局域网密钥。

25.一种无线通信系统，包括：

第一设备，被配置成：

利用基于位置的服务建立与第二设备之间的安全通信信道，

至少基于从所述安全通信信道提取的信道密钥而生成用于业务数据保护的数据安全密钥，以及

控制在所述安全通信信道上传输利用所述数据安全密钥保护后的业务数据；以及

所述第二设备，被配置成：

响应于来自第一设备的连接请求，利用基于位置的服务建立与所述第一设备之间的安全通信信道，以及

控制在所述安全通信信道上传输利用所述数据安全密钥保护后的业务数据。

26.一种无线通信系统中的方法，所述方法包括：

安全信道建立步骤，用于利用基于位置的服务建立第一设备与第二设备之间的安全通信信道；

数据安全密钥生成步骤，用于至少基于从所述安全通信信道提取的信道密钥而生成用于业务数据保护的数据安全密钥；以及

控制步骤，用于控制在所述安全通信信道上传输利用所述数据安全密钥保护后的业务数据。

27.一种无线通信系统中的方法，所述方法包括：

安全信道建立步骤，用于响应于来自第一设备的连接请求，利用基于位置的服务建立所述第一设备与第二设备之间的安全通信信道；以及

控制步骤，用于控制在所述安全通信信道上传输利用数据安全密钥保护后的业务数据，

其中，所述数据安全密钥是所述第一设备至少根据从所述安全通信信道提取的信道密钥而生成的。