一种利用手环实现的安全机制

一种利用手环实现的安全机制

　　技术领域

　　本发明涉及一种利用可穿戴设备实现的安全机制，特别是涉及一种利用戴在手腕上的环状电子设备实现的安全机制。

　　背景技术

　　我们正在越来越多地使用生物特征，例如指纹、面容、虹膜来代替密码，实现更方便的身份验证，来解锁手机，或者用于支付等。但是，不法分子可能偷偷提取你的生物特征并伪造一份，再偷走你的手机，从而攻破手机的安全机制。虽然由于需要一定成本，这种攻击很少针对普通人，但是却很有可能针对非常富有的人，或者针对与攻击者有仇的人。因此，基于生物特征的方案的安全性仍然不如高强度的密码。

　　有人给人体植入芯片，这当然解决了伪造的问题，但毕竟这是创伤性的，且愿意被植入芯片的人应该也不会很多。

　　有人用智能手表、智能手环结合NFC(近场通信)来实现身份验证，但是仅仅用NFC并不十分安全。当你脱下手表后，如果把手表放在一边而去做别的事情，那么任何人只要戴上你的手表，就可以冒充你。还有一个问题是，即使你没脱下手表，当你睡觉时，别人可以把你的手机靠近你的手表，解锁你的手机；或者趁你不注意时悄悄把收款机靠近你的手表，盗取你的钱财。如果强制对于关键操作用指纹识别进行确认，那就又陷入了指纹也可能被伪造出来的无解循环。

　　有个办法是在手表上加入一个物理按键，在关键操作时必须用力按，这能稍微防止别人趁你睡觉或不注意时偷按按钮(因为用力是会被察觉的)。但是设想一下，如果你要用手表解锁你的手机，你的左手戴着手表，右手拿着手机，根本腾不出手来按按钮。

　　总之，现有的解决方案有三个方面的不足：

　　1.不能完美解决身份验证的问题(即：佩戴者是否是用户本人)。

　　2.不能方便地判断当解锁或支付时是否处于意识到了的状态(即：该操作是否体现了佩戴者的意志)。

　　3.解锁或支付的步骤过于繁琐，整个过程要做很多次点击，精力白白浪费在操作上。

　　除了解锁、支付，还有一个领域也需要身份验证，那就是签署文件。当今主要有两种签名方式，一种是在纸质文件上签名，一种是对电子文档进行数字签名。但是，当使用纸质文件时，签名容易被技艺高超的不法分子伪造，在21世纪仍然用纸也显得落伍；当使用数字签名时，存放私钥的USB盘有被盗走的可能，再加上现有的数字签名方案也仍然很繁琐，让人觉得还是“在纸上签名方便”。所以，签署文件的方法，也急需改进。

　　发明内容

　　本发明针对手环使用了“戴脱锁”和“扭”相结合的机制(以下简称“该机制”)，来达到理想的安全性。注意这里以及下文所说的“手环”是指戴在手腕上的环状电子设备，也包括人们常说的智能手表。手环上带有显示装置，至少能够显示阿拉伯数字。

　　“戴脱锁”是指同时满足如下两个条件的功能：

　　1.手环具有传感器，能够感知戴上、脱下的动作或感知闭合(如图1)、开放(如图2)的状态。例如，传感器装在开合处(12)，或者装在铰链处(11)，等等。

　　2.脱下后(或开放时)，手环的全部或部分功能不可用。再戴上时(或再闭合时)，需要进行额外的验证确定佩戴者是用户本人后才能恢复。额外的验证可以是多种形式，例如：输入密码便恢复、只让政府机关或某个权威机构来恢复(具体过程可以是：用户在该机构内证明身份后当场戴上手环，该机构通过NFC把验证成功的消息发送给手环)，等等。本发明不对额外验证的范围加以限制，额外验证的具体过程也不属于本发明的范畴。

　　使用“戴脱锁”来确保“佩戴者是用户本人”。

　　手环通过传感器(例如陀螺仪)来感知“扭”。下面对于和“扭”有关的一些概念加以说明。

　　旋后肌(supinator muscle)收缩引发前臂旋转，由此带动手腕旋转，现在我们把这一方向的手腕旋转称为“旋外”，与之方向相反的手腕旋转称为“旋内”。考虑到这个定义不是很直观，可以这样理解：以左手为例，从图3旋转到图4是旋外，从图4旋转到图3是旋内。

　　“扭”就旋转的方向来说可分为“外扭”和“内扭”，就次数来说有“扭一下”和“扭多下”。“扭一下”的过程中有“旋离”和“旋回”这两个阶段。

　　外扭一下，是指：对于戴着手环的手，先“旋外”(此即旋离阶段)，再“旋内”(此即旋回阶段)。

　　内扭一下，是指：对于戴着手环的手，先“旋内”(此即旋离阶段)，再“旋外”(此即旋回阶段)。

　　外扭多下，是指连续多次“外扭一下”(“多次”指至少两次)。

　　内扭多下，是指连续多次“内扭一下”(“多次”指至少两次)。

　　对于“扭一下”(由定义可知这也包括“扭多下”中的每一下)还有这三个要求：

　　1.整个过程小于1秒。

　　2.旋离和旋回之间没有停顿，或者停顿的时间小于0.5秒。

　　3.“旋离过程中旋转的角度”和“旋回过程中旋转的角度”不一定相等，它们的取值范围都为24度至270度。

　　外扭一下、内扭一下、外扭多下、内扭多下这四种，手环能感知至少一种。

　　就某已经发生、正在发生或将要发生的已确定或尚未确定的操作而言，使用“扭”来确认“该操作是佩戴者想要做的”。

　　下面对于一些容易产生歧义的地方加以说明。

　　本说明书中的“手腕”的位置并不是很严格地必须在腕关节，只要是按照人们通常的理解用来戴手镯、手环的位置就符合手腕的定义。

　　本说明书中的“用户”指的是手环的合法使用者。

　　扭几下和扭几次是同义词。

　　NFC常被翻译成“近距离无线通信”或“近场通信”，但实际上NFC是一组协议，类似的技术完全可以使用另外的协议(如有)。在本说明书中，为加以区分，“近距离无线通信技术”是指所有可以让近距离(其有效的距离范围必须小于1米)的两个设备进行通信的技术，故其包括但不限于NFC。本说明书中的“近场通信”则是单独指NFC。

　　图1和图2只是作为手环的一种示例，本发明所涉及的手环并不局限于这种形状。

　　图3和图4所示的是左手，这只是作为一种示例。并不一定要把手环戴在左手，也可以戴在右手，扭的时候也并不一定要五指张开。

　　下面对该机制的一些更具体的方案加以说明。

　　该机制可以被用于解锁其他设备。具体过程可为(但不限于)以下两者之一：

　　1.此过程称为“先靠近后扭解锁过程”，具体为：先使手环靠近该设备，再扭一下或多下，解锁该设备。先靠近后扭解锁过程中使用的技术包括近距离无线通信技术(如NFC)。先靠近后扭解锁过程的意义是：先决定解锁哪台设备，后确认。另外注意，本说明书中的“先靠近后扭”包括扭和靠近同时发生的情况。

　　2.此过程称为“先扭后靠近解锁过程”，具体为：先扭一下或多下，再使手环靠近该设备，解锁该设备。先扭后靠近解锁过程中使用的技术包括近距离无线通信技术(如NFC)。先扭后靠近解锁过程的意义是：先确认，后决定解锁哪台设备。

　　使用该机制来解锁设备，就消除了别人趁你不注意时偷偷解锁你的设备的可能性。

　　该机制可以被用于支付。具体过程可为(但不限于)以下两者之一：

　　1.此过程称为“不信任型支付过程”，具体为：先使手环靠近一台设备；然后，支付的金额(例如在一次性支付时)或更多信息(例如在分期、多次或循环支付时)被传输到手环的显示装置上显示出来；然后，如确认支付，则扭一下或多下，支付成功。不信任型支付过程中使用的技术包括近距离无线通信技术(如NFC)。注意，这里为什么必须先靠近后扭，是因为如果反过来，先扭后靠近的话，在靠近后就已经付完款了，再把价格通过屏幕告知消费者，这明显不合理也不够安全。另注意，之所以要把它命名为“不信任型”，是因为在该过程中，用户完全可以不信任这台设备(即不相信这台设备上显示的信息)，而只以手环上显示的信息为准。

　　2.此过程称为“信任型支付过程”，具体为：有一台用户信赖可用于支付(此处的“支付”并不特指“本次支付”)的设备；用户先在该设备上操作(目的是：创建本次支付的具体细节，并使手环和本次支付相关联)；然后，如确认支付，则扭一下或多下，支付成功。

　　使用该机制来支付，就消除了不法商家趁你不注意时偷偷用机器靠近你的手环从而盗取你的钱财的可能性。

　　该机制可以被用于签署文件。具体过程可为(但不限于)“信任型签署文件过程”。“信任型签署文件过程”具体为：有一台用户信赖可用于签署文件(此处的“签署”并不特指“本次签署”)的设备；用户先在该设备上操作(目的是：创建本次签署的具体细节，并使手环和本次签署相关联)；然后，如确认签名，则扭一下或多下，签名成功。

　　使用该机制来签署文件，就消除了当使用纸质文件时签名被伪造、当使用数字签名时私钥被盗走的可能性。

　　手环的开发商可以加入一个设置选项，让用户设定在分别用于解锁、支付和签署文件时，需要扭的次数以及是内扭还是外扭。显然，需要扭的次数越多，便越安全。选项还可以包括每次“扭”所允许的最长时间、最小旋转角度等其他参数。显然，每次“扭”所允许的最长时间越短，最小旋转角度越大，便越安全，因为动作越快，幅度越大，所用的力量就会越大，也就越有可能是自己的意志而非无意识的动作。

　　注意，在做“扭”的动作的那一刹那，手环并不需要处于靠近其他设备的状态。前面提到“扭”的意义就是一个确认，该确认可以不使用近距离无线通信技术而使用无线局域网、蜂窝网络等来发送。靠近其他设备的目的不在于确认，而在于获取支付信息或者获取想要解锁的是哪台设备的信息等。

　　本发明的优点在于，既解决了佩戴者是否是用户本人的问题(戴脱锁并非那种花钱伪造就能骗过的生物特征识别，因此在理论上也不可能被破解)，又解决了操作是否体现了佩戴者的意志的问题(手腕的旋转这种动作是日常生活中人们很少去做的)，还比绝大多数基于生物特征的方式更方便(扭一下只需要不到1秒钟)。

　　附图说明

　　图1和图2分别为手环闭合时和开放时的形状，其中11为铰链，12为手环的开合处。

　　图3和图4展示的是“扭一下”的动作分解。图3为左手手背面向自己的脸时的瞬间，图4为左手手心面向自己的脸时的瞬间，两图均是基于自己双眼的视角。21为左手手背，22为左手手心。

　　具体实施方式

　　实施方式在发明内容中已有详细的介绍，但对于解锁、支付和签署文件的具体过程只有总结性的描述而缺少示例。下面就举一些例子，示范一些典型场景。这些例子中，手环都支持NFC、蜂窝网络、无线局域网和蓝牙。

　　实施例1：在实体商店支付。如下：

　　某一手环的操作系统对于支付中的“扭”具有分级设置的功能。用户设置为：如果金额小于100元，则外扭一下支付；如果金额大于或等于100元且小于1000元，则外扭两下支付；如果金额大于或等于1000元，则外扭三下支付。某日，用户去商店购买一个电吹风，价格是500元。结账时，收银员先把商品信息输入带NFC的收款机。然后，用户把手腕伸出，靠近收款机。收款机通过NFC把商品信息传输到手环。这时，手环显示出“500”字样。用户把手腕移回到胸前，看到手环上显示的价格后，外扭两下。手环把支付指令用手环中存储的用户的私钥进行数字签名后，发送给银行。银行把500元从用户账户转移到商家账户，并把“支付成功”的信息发送到手环。商家账户所在的银行收到款后，把“收款成功”的信息发送到商店。支付成功。由此可知，这里使用的是“不信任型支付过程”。

　　实施例2：在餐厅支付。如下：

　　用户设置与实施例1相同。

　　用户和他的朋友去一家餐厅吃饭(已商量好由用户付款)。这家餐厅的每张桌子都内嵌了一个设备。用户和朋友坐到一张桌子前，用户把手腕靠近该设备，于是通过NFC，该桌子和手环相关联，即：手环得知了用来获取该桌支付信息的URL。随后他们点餐。每点一餐，服务员操作自己手上的设备，把费用通过无线局域网传输到餐厅的主机。随后，他们用餐。用餐期间，他们又加点了一瓶酒，服务员把增加的费用也传输到餐厅的主机。用餐完毕，用户按下手环上的支付按钮，手环访问之前得知的URL，获取了支付信息。于是，手环显示“325”字样。他看到手环上显示的价格后，外扭两下。手环把支付指令用手环中存储的用户的私钥进行数字签名后，发送给银行。银行把325元从用户账户转移到商家账户，并把“支付成功”的信息发送到手环。商家账户所在的银行收到款后，把“收款成功”的信息发送到餐厅。支付成功。由此可知，这里使用的是“不信任型支付过程”。

　　注意，“不信任型支付过程”的定义中并没有说手环靠近一台设备后支付信息必须“立即”显示在手环上，也没有说在“靠近”和“手环显示支付信息”之间不能有别的步骤。本实施例即是为了说明这一点。在本例中，手腕靠近设备后，又进行了点餐和用餐，之后用户按下了按钮，支付信息才显示在手环上。至于为什么本例中要设计一个按钮，是因为如果没有按钮，那么恐怕就应该设计为桌子和手环一开始并不关联，吃完饭用户“靠近”后才关联，手环立即显示支付信息。但这样会引发一个问题，吃饭时手腕很可能无意识地“靠近”，如果之后再无意识地“扭”，就可能误操作。设计一个按钮，能够避免误操作。

　　实施例3：解锁家中电脑并在此电脑上购物。如下：

　　用户设置与实施例1相同。

　　一开始，用户的电脑处于锁定状态。他想要解锁，于是先把手腕靠近键盘(键盘带有NFC，能够和手环通信)，再外扭一下，解锁成功。其中的细节是：当靠近键盘时，手环通过NFC知悉要解锁的是这台电脑。当他外扭后，手环把解锁指令用手环中存储的用户的私钥进行数字签名后，通过无线局域网发送给电脑。由于手环和电脑事先已绑定，电脑识别出指令来自该手环，便解锁成功。由此可知，这里使用的是“先靠近后扭解锁过程”。

　　接着，他使用已被解锁的电脑在某网站上购买一个空调，价格是3000元。当他下单后，电脑把支付信息通过无线局域网传输到手环上，手环立即发出“哔”的一声。他看到电脑显示屏上(注意，他不需要看手环的显示屏)显示的是“应付3000元”，于是外扭三下。手环把支付指令用手环中存储的用户的私钥进行数字签名后，通过无线局域网发送到电脑，电脑把它发送到银行。银行把3000元从用户账户转移到商家账户，并把“支付成功”的信息发送到用户的电脑。商家账户所在的银行收到款后，把“收款成功”的信息发送到商家的网站。支付成功。由此可知，这里使用的是“信任型支付过程”。

　　实施例4：解锁汽车车门。如下：

　　用户是某车的车主。一开始，用户在车外，车门紧闭。他把手腕靠近某个车门，再外扭一下，该车门自动打开，解锁成功。其中的细节是：当靠近车门时，手环通过NFC知悉要解锁的是该车门。当他外扭后，手环把解锁指令用手环中存储的用户的私钥进行数字签名后，通过蓝牙发送给车。由于手环和车事先已绑定，车识别出指令来自该手环，便打开该车门，解锁成功。由此可知，这里使用的是“先靠近后扭解锁过程”。

　　实施例5：签署合同。如下：

　　用户使用自己的电脑阅读合同的全部内容，读完后在电脑中点击“签名”，合同的文件通过无线局域网被传输到手环上，手环立即发出“哔”的一声。他外扭五下(用户已设定在签署文件时需要外扭五下)。手环立即计算出该文件的SHA-256值，并使用手环中存储的用户的私钥对该SHA-256值进行数字签名，再把该数字签名通过无线局域网发送到电脑。电脑把该数字签名发送到某时间戳机构，时间戳机构把该数字签名的时间戳发送回电脑。签名成功。电脑再把这个附有时间戳的数字签名发送到所有当事人的电子邮箱。由此可知，这里使用的是“信任型签署文件过程”。

　　实施例6：参加合同签署仪式。如下：

　　用户在出发之前，使用自己的电脑阅读合同的全部内容，读完后在电脑中点击“保存到手环”，合同的文件通过无线局域网被传输到手环上，手环立即发出“哔”的一声。他前往签署地点。在签署仪式中，他操作手环，选出该合同，外扭五下(用户已设定在签署文件时需要外扭五下)。手环立即计算出合同文件的SHA-256值，并使用手环中存储的用户的私钥对该SHA-256值进行数字签名，再把该数字签名发送到某时间戳机构，时间戳机构把该数字签名的时间戳发送到手环。签名成功。手环再把这个附有时间戳的数字签名发送到在场的所有当事人(包括自己)的电子邮箱。由此可知，这里使用的是“信任型签署文件过程”。

　　注意，“信任型签署文件过程”的定义中并没有说在文件被传输到手环后必须“立即”扭，也没有说在“文件被传输到手环”和“扭”之间不能有别的步骤。本实施例即是为了说明这一点。

　　上面的三个“信任型”的实施例中都出现了手环发出“哔”的一声的描述，这其实是为了防止非常罕见的情况：当受信任的设备被意外破解后，别人可以通过该设备把支付请求或合同文件远程发送到手环上，如果这时手环不发出声音，那么没有察觉到异样的用户万一恰好接着做了“扭”的动作，就会受到损失。当然，这一特性只是存在于示例中，因此并非本发明所强制要求。

　　下面对本发明的其他一些可能需要解释的地方加以说明。

　　“先扭后靠近”的功能可能会比较耗电，因为感知“扭”的传感器可能需要始终处于工作状态。手环的开发商可以加入一个选项，让用户禁用“先扭后靠近”，而只启用“先靠近后扭”。

　　需要指出，只有当科技发展到充电速度进一步加快，以至于不用脱下手环就能充电时，本发明才能体现最大的价值。这是因为，如果每天脱下手环充电一小时，戴上时再输入密码，就太繁琐了。理想的情况(并非本发明所强制要求)是：充电时可以不脱下，充电的时间在30秒以内，充电后可用一周以上，且手环防水。这就要求，电池技术也要发展，或者手环要非常节能。防水是为了洗澡时也能戴着，这也是为什么在本说明书中使用名词“手环”而非“手表”。手环可以是很窄的，洗澡时戴着不会影响在手腕处擦肥皂。如果设计成表状，有一个很宽的表盘，洗澡时戴着就会对清洁手腕处带来不便。所以，本发明中的“手环”设计成传统手环状比设计成传统手表状要好。如果一定要设计成传统手表状，那么可能需要在表带的开合处安装传感器，并在表带内部埋设导线，以实现“戴脱锁”。

　　再解释一下为什么既有外扭的概念也有内扭的概念。做一下试验可知，在支付中当查看价格时，如果价格显示在手背一侧，外扭更方便；如果价格显示在手心一侧，内扭更方便。虽然显示在手背一侧似乎更自然，但那样的话用户恐怕就得纵向看(做一下试验可知，如果是把手环横过来看，手会感到非常不舒服)。而因为手环通常很窄，一行通常只能显示一个数字，所有数字都纵向一个个显示的话，会使一部分人不习惯，他们就会想让价格横向显示在手心一侧，这样便可以舒服地横向看了，这时内扭更方便。

　　以上所述和示例，仅为本发明的一些具体实施方式，是为便于该技术领域的普通技术人员能理解和应用本发明，本发明的保护范围并不局限于此。任何熟悉本技术领域的技术人员在本发明所揭露的精神和范围内，可想到的改动或变形，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。本说明书中如指出某做法的意义、目的或益处是什么(除非也直接地明示在权利要求中)，也只是为了方便人们理解和应用本发明，并非对意义、目的或益处有强制性规定从而限制本发明的保护范围。