安全的室内定位设备、系统和方法与流程

1.本发明涉及室内定位技术领域，并且更具体地涉及一种安全的室内定位设备、系统和方法。


背景技术：

2.由于卫星信号被建筑物或结构阻挡，所以卫星导航系统通常在建筑物和其他结构内无法很好地工作。室内定位是用于在室内环境中导航、跟踪和识别事物或人的技术的统称。典型的室内定位系统可以包括位置要被跟踪的移动设备(其也可以被称为“标签”)。标签可以附在位置要被跟踪的物体上，或者标签可以由位置要被跟踪的人员携带。标签广播由“锚点(anchor point)”接收的无线信号。这些广播的信号与已知的锚点位置相结合以用于确定标签在建筑物或其他结构内移动时的位置。
3.一些常规的室内导航系统具有弱安全性和/或隐私保护。例如，常规的室内导航系统容易受到欺骗(spoofing)，在所述欺骗中，恶意实体通过重放消息来模仿合法标签以访问敏感信息或干扰系统操作。
4.然而，在一些室内定位用例中，安全性和/或隐私可能很重要。示例包括跟踪高价值工具或装备的位置以及跟踪人员的位置。因此，需要具有改进安全性的室内定位系统和方法。


技术实现要素：

5.本发明提供了一种安全的室内定位设备、系统和方法。根据实施方式，检测到进入固定电子设备附近的移动电子设备。响应于检测到移动电子设备，经由固定电子设备与移动电子设备之间的双向无线通信来协商多个安全会话参数。优选地使用轻量级密钥协商协议来执行该协商。所协商的多个安全会话参数中的一者或更多者被传送到一个或更多个其他固定电子设备。所述固定电子设备和所述一个或更多个其他固定电子设备被统称为多个固定电子设备。在多个固定电子设备中的一者或更多者处接收由移动电子设备广播的安全消息。这些消息使用一个或更多个协商的安全会话参数来解密或认证，并且被用于确定移动电子设备的位置。本发明的这些方面和其他方面在本文中更详细地描述。
附图说明
6.本发明是关于其特定示例性实施方式进行描述的，并且相应地参考附图，在附图中：
7.图1例示了根据本发明的实施方式的移动电子设备(或“标签”)；
8.图2例示了根据本发明的实施方式的固定电子设备(或“锚点”)；
9.图3例示了根据本发明的实施方式的安全的室内定位系统；
10.图4例示了根据本发明的实施方式的方法；以及
11.图5例示了根据本发明的实施方式的在不同室内区域之间移动的移动电子设备。
具体实施方式
12.本发明允许以安全方式配置移动电子设备(也称为标签)，使得该移动电子设备广播的消息也是安全的。所广播的消息(也称为定位消息)可以用于确定移动电子设备的室内位置。本发明禁止广播消息的欺骗并且还保护广播消息的隐私。
13.在一个实施方式中，移动电子设备能够从一个室内区域自由移动到另一个室内区域，并且在进入每个室内区域时被自动重新配置，使得对该移动电子设备的跟踪可以从一个室内区域无缝地继续到另一个室内区域。
14.移动电子设备的配置建立了安全通信会话。在移动电子设备广播安全定位消息(例如，在移动电子设备的广播模式中)之前建立安全通信会话(例如，在移动电子设备的配置模式中)。因此，移动电子设备优选地使用面向连接的通信协议，这意味着在设备传送安全广播消息之前建立通信会话(也可以称为半永久连接)。
15.在实施方式中，移动电子设备的这种配置在检测到该移动电子设备时自动发生。这种检测发生在该移动电子设备进入适当配置的固定电子设备(也称为主锚点(map))附近时。
16.map是可以与标签建立通信会话并配置该标签的锚点，而其他锚点也可以存在于该区域中。这些其他锚点用于从移动电子设备接收安全广播消息。当移动电子设备在该区域内移动时，这些消息用于跟踪移动电子设备的位置。然而，这些其他锚点不一定会参与配置移动电子设备以建立安全会话。
17.包括map在内的锚点被称为“固定的(stationary)”。这意味着这些设备在它们从移动电子设备接收广播消息时基本上相对于移动电子设备处于定点(fixed)位置。因此，锚点不一定需要永久不动，而是可以根据需要在其他时间四处移动。此外，锚点可以安装到可移动平台(例如，水运工具)，同时仍然相对于绕平台移动的标签保持定点位置。
18.map和移动电子设备可以使用增强的公共密钥基础设施(pki)技术来传送和协商密钥。更具体地，移动电子设备和map可以预配置有它们对应的私有密钥、pki证书和共同(common)可信证书。可以使用带外通信(即，使用不同于用于建立安全通信会话的通信方法)来执行该预配置。共同证书可以从证书授权中心(ca)获得。
19.在另选实施方式中，可以使用预共享密钥(psk)协议而不是pki。在psk情况下，标签和map预配置有共享对称密钥。而在pki情况下，标签和map各自预配置有非对称私有密钥以及证书和ca。
20.由于pki提供了前向保密性，所以使用pki优于安全密钥的预共享。更具体地说，如果使用pki协商的密钥被破解，则只有一个会话的信息会受到损害。
21.当移动电子设备进入新的室内区域时，它通常将处于配置阶段。例如，该设备可能被合并到一个停止接收卫星信号的全球导航卫星系统(gnss)接收器中；这可能表明该设备已进入室内区域，并因此该设备进入配置阶段。在配置阶段，移动电子设备可以使用轻量级公共密钥基础设施(pki)通信安全协议与map进行非对称密钥协商。合适的轻量级pki协议的示例包括但不限于压缩传输层安全(ctls)协议、cose上的瞬时diffie-hellman(edhoc)协议等等。移动电子设备和map也可以使用诸如简明二进制对象表示(cbor)证书以及ctls压缩之类的技术，以使得密钥协商在带宽和功率两者上是高效的。
22.除了对称会话密钥之外，可以动态地协商序列号(sn)、身份解析密钥(irk)、重新
配置周期(rp)和监听窗口(lw)。在协商成功之后，map与区域内的其他锚点共享会话参数(包括会话密钥、sn和irk)，以使得这些锚点可以解密或认证移动电子设备广播的消息。rp和lw也可以共享。map可以通过将会话参数直接发送到其他锚点来直接共享会话参数，或通过将会话参数发送到定位引擎(图5)、然后定位引擎将这些会话参数发送到其他锚点来间接共享会话参数。通过这种方式，当移动电子设备在区域内移动时可以被连续且安全地跟踪。如本文所解释的，当移动设备移动到其他区域时也可以被连续且安全地跟踪。
23.在配置阶段完成之后，移动电子设备进入广播模式，在该广播模式中，移动电子设备发送周期性的广播消息。map可以使移动电子设备进入该广播模式。在广播模式下，移动电子设备发出周期性的定位消息，该定位消息用于室内定位和跟踪。
24.这些周期性的广播消息可以包括基于协商会话密钥的序列号和消息认证码(mac)。协商的序列号可以包括初始值。然后在每个广播消息之后使会话的序列号增加。最大序列号可以根据rp计算，其中：最大序列号＝协商的起始序列号 (协商的rp/广播间隔)，其中，广播间隔是两个连续广播消息之间的时间间隔。一旦达到最大序列号，移动电子设备就停止发送广播消息。此时，移动电子设备退出广播模式，并等待map重新配置。因此，在每个rp到期后，移动电子设备就停止广播，而是监听来自map的传入连接请求。这个监听周期可以通过lw的值来设定。在此监听期间，map可以连接到移动电子设备并重新协商所有会话参数。移动电子设备因此重新进入配置模式，直到它被重新配置，然后才返回广播模式。
25.移动电子设备还可以使用协商的irk周期性地改变其设备地址以保护其隐私。
26.当标签从一个室内位置移动到另一个室内位置时，如果在新位置处的另一个map使用与先前map相同的可信ca，则该标签就可以由新位置处的该map重新配置。通过确保可能遇到移动电子设备的所有map都信任同一ca，使得移动电子设备可以在多个室内位置与map之间无缝移动。即使不同的室内位置没有连接到相同的定位引擎或后端数据库，也可以发生这种无缝转换。
27.图1例示了根据本发明的实施方式的移动电子设备(或“标签”)100。移动电子设备100可以包括：微控制器及相关联的存储器102；无线收发器104；以及电源106。微控制器102与存储在存储器中的软件一起控制移动电子设备100的运行。存储器还可以存储临时信息，例如，会话参数。无线收发器104参与双向通信(例如，协商会话参数)并使用天线108发送广播消息。电源106向移动电子设备100的部件提供电力。因为电子设备100是移动的(即便携式)，电源106优选地包括电池。这可以是例如纽扣电池类型的电池，但也可以使用其他类型的电池。
28.图2例示了根据本发明的实施方式的固定电子设备(或“锚点”)150。固定电子设备150可以包括：微控制器和相关联的存储器152；无线收发器154；电源156；以及网络接口158。微控制器152与存储在存储器中的软件一起控制固定电子设备150的运行。存储器还可以存储临时信息，例如，会话参数。无线收发器154参与双向通信(例如，协商会话参数并直接或间接地将会话参数转发到其他锚点)并使用天线160从移动电子设备接收广播消息。电源156向固定电子设备150的部件提供电力。因为电子设备150通常是固定的，所以电源156可以包括离线电源。电源156可以附加地或另选地包括电池。例如，在主电力暂时断电的情况下，电池可以提供备用电力，或者在主电力不可用或不方便的安装中，电池可以提供专用电力。
29.网络接口158可以用于与后端定位引擎通信以执行位置跟踪功能。网络接口158还可以用于接收带外配置参数和信息，例如，安全证书。
30.固定电子设备150可以被配置为用作是map的锚点或者用作不是map的锚点。它们之间的区别本质上在于map具有参与与移动电子设备100协商会话参数的能力，而不是map的锚点不需要该功能或者可以暂时禁用该功能。区域中选定的固定电子设备150可以被配置为map，而该区域中的其他固定电子设备150可以被配置成不是map的锚点。因此，不是map的锚点可以处于关于标签的只监听模式，而一个或更多个map也可以连接到并重新配置标签。
31.图3例示了根据本发明的实施方式的安全的室内定位系统200。系统200包括：多个锚点202，多个锚点202中的至少一者是map 204；以及移动电子设备(或标签)206。锚点202和map 204可以由图2所示的固定电子设备实现。标签206可以由图1所示的移动电子设备实现。锚点202和map 204位于区域208中，区域208可以处于室内。例如，区域208可以包括建筑物的内部或建筑物内部的一部分。
32.如图3所示，系统200还包括定位引擎210。定位引擎210可以实现为计算机服务器或类似的计算设备。这意味着定位引擎210通常将至少包括处理器、数据存储装置(“后端数据库”)和网络接口。定位引擎210与锚点202和map 204通信地联接。例如，定位引擎210、锚点202和map 204可以全部连接到一个或更多个网络，例如，因特网、内联网、蜂窝网络、蓝牙网络或无线lan。在一个实施方式中，锚点202和map 204使用它们的网络接口158(图2)与定位引擎210通信。另选地，锚点202和map 204使用无线通信技术(例如，蓝牙、wifi、近场通信(nfc)或类似技术)与定位引擎210通信。
33.定位引擎210从锚点202和map 204接收位置信息，该位置信息被定位引擎210用来确定和跟踪移动电子设备206在区域208内的特定位置。例如，这样的位置信息可以包括接收信号强度指示符(rssi)、移动设备与锚点之间的到达角(aoa)角度以及其他定时、相位或距离信息。
34.图4例示了根据本发明的实施方式的方法300。例如，方法300可以由图3的系统200执行。在步骤302中，检测到进入map 204(图3)附近的移动电子设备206(图3)。在一个实施方式中，map 204在该步骤中检测到移动电子设备206。
35.在步骤304中，经由map 204与移动电子设备206之间的双向无线通信在map204与移动电子设备206之间协商多个安全会话参数。该通信优选地经由短距离无线通信进行。例如，这种短距离无线通信可以经由蓝牙、wifi、近场通信(nfc)或类似技术。可以在步骤304中使用轻量级公共密钥基础设施(pki)协议在map 204与移动电子设备206之间协商安全会话参数。
36.优选地，响应于map 204在步骤302中检测到移动电子设备206而执行步骤304。同样在步骤304中，map 204优选地将移动电子设备206置于配置模式。存在至少两种不同的机制可以使标签返回到配置模式：(1)标签已达到重新配置周期(早期协商的参数)，在这种情况下，标签自动进入配置模式；或(2)标签周期性地监听来自map的传入连接请求(基于先前协商的监听窗口)，在这种情况下，如果map想要重新配置标签，它可以在指定监听间隔期间连接。
37.在步骤304中协商的安全会话参数可以包括对称会话密钥、序列号(sn)、身份解析
密钥(irk)、重新配置周期(rp)和监听窗口(lw)。
38.在步骤306中，由map 204将在步骤304中协商的多个安全会话参数中的一者或更多者直接或间接地传送到其他固定电子设备202中的一者或更多者。因此，在成功的会话协商之后，map 204与区域208中的其他锚点202共享会话密钥、sn和irk，使得移动电子设备206在区域208内移动时可以被连续跟踪。在一个实施方式中，map 204向定位引擎发送安全会话参数(图5)，并且定位引擎将该信息转发给锚点202。
39.因此，map 204与定位引擎210和其他锚点202共享新配置的标签206的会话信息。当其他锚点202具有配置信息时，它们可以开始监听广播消息并执行对标签206的跟踪。来自标签的安全广播消息现在只能被授权的锚点识别和跟踪。
40.在步骤308中，多个固定电子设备(其可以包括锚点202和map 204)中的一者或更多者接收由移动电子设备206广播的安全消息。使用一个或更多个协商的安全会话参数(例如，安全会话密钥)来解密或认证这些消息。这些消息可以用于确定移动电子设备206在区域208内的位置。
41.在密钥协商之后，标签进入广播模式。为了发送广播消息，map 204可以使移动电子设备206进入广播模式。在一个实施方式中，一旦成功协商安全参数并且map204与设备206断开连接，设备206就进入广播模式。当移动电子设备保持在广播模式时，这些广播消息由移动电子设备周期性地发送。所述消息由锚点202和/或map204接收，并且然后锚点202和/或map 204将位置信息发送到定位引擎210(图3)，定位引擎210使用该位置信息来确定和跟踪移动电子设备206在区域208内移动时的特定位置。在广播模式中，标签周期性地监听重新配置请求。
42.移动设备206可以是受限节点，在这种情况下，该设备可以使用受限无线协议与一个或更多个锚点202和/或map 204通信。如本文所用，“受限节点”是指通常由于特征(例如，大小、重量、可用能源和功率)上的物理限制和/或成本限制而不存在典型互联网节点(例如，台式计算机、膝上型计算机或平板计算机，或诸如智能手机之类的强大移动设备)中的至少一些特征的节点。由于其限制，受限节点可以使用受限无线协议进行通信。如本文所用，“受限无线协议”是指具有如下的协议栈的无线通信协议，即，该协议栈是专为受限节点设计的(例如，基于用户数据报协议(udp)的受限应用协议(coap))并且采用小于完整的协议栈(例如，http、传输层安全(tls)和相关安全协议)。
43.图5例示了根据本发明的实施方式的在不同室内区域之间移动的移动电子设备。更具体地，图5示出移动电子设备206已经离开区域208并进入不同的区域212。例如，两个区域208和212可以表示同一建筑物内的两个不同楼层或建筑物集合内的两个不同建筑物(例如，它们可能是校园内的不同建筑物)。区域212内的map 214检测到移动电子设备206存在于map 214附近内并且与移动电子设备206协商新的会话参数。然后这些新的会话参数可以与其他锚点216共享。这些锚点216和map 214从移动电子设备206接收广播消息。
44.在一个实施方式中，锚点216和map 214然后向定位引擎210发送位置信息。在这种情况下，多个区域208和212共享相同的定位引擎210。然而，这不是必需的。因此，在一个实施方式中，定位引擎210与区域208相关联，但不同的定位引擎218与区域212相关联。在这种情况下，锚点216和map 214向定位引擎218发送位置信息。例如，可以在由图5中的区域208表示的雅典国际机场中跟踪标签。可以由图5中的区域212表示斯德哥尔摩-阿兰达机场
(arn)。一旦标签到达arn，它将被跟踪再次。在这种情况下，两个区域208和212(两个机场)可以共享相同的ca，例如，因为它们遵循欧盟法规。然而，两个区域208和212不需要共享相同的定位引擎和后端数据库。
45.以这种方式，移动电子设备206可以按照与移动电子设备206在区域208内被跟踪相同的方式来在区域212内被跟踪。因此，标签可以在不需要任何互联网连接的情况下从一个室内位置无缝地移动到另一个室内位置。
46.本文描述的技术提供了在一个或更多个区域中对多个不同的移动电子设备的同时跟踪。此外，这些多个不同的移动电子设备可以在从一个区域无缝移动到另一个区域的同时仍然被跟踪。
47.本发明的前述详细描述是为了说明的目的而提供的，并非旨在穷举或将本发明限制于所公开的实施方式。因此，本发明的范围由所附权利要求限定。