[发明专利]使用基于可信平台的共享秘密推导和基于WWAN基础设施的登记来建立本地安全信道

权利要求书

1.一种用于在移动计算设备上建立可信连接的方法，包括：

在移动计算设备的可信平台模块上生成秘密；

将所述秘密从移动计算设备传输到移动业务提供商；

利用移动计算设备的用户识别模块从移动业务提供商接收所述秘密；以及

利用从移动业务提供商接收的所述秘密在移动计算设备上、于可信平台模块和用户识别模块之间建立本地安全信道。

2.如权利要求1所述的方法，其中在可信平台模块上生成秘密包括：

在可信平台模块上生成随机数；以及

在可信平台模块上根据所述随机数生成所述秘密。

3.如权利要求1所述的方法，其中在可信平台上模块上生成秘密包括：

在可信平台模块上生成证明身份密钥；以及

在可信平台模块上根据所述证明身份密钥生成所述秘密。

4.如权利要求1所述的方法，其中建立本地安全信道包括在可信平台模块和用户识别模块之间共享所述秘密。

5.如权利要求1所述的方法，其中于可信平台模块和用户识别模块之间建立本地安全信道包括通过可信平台模块和用户识别模块之间的基于传输层安全的握手而于可信平台模块和用户识别模块之间建立本地安全信道。

6.如权利要求1所述的方法，还包括：

将所述秘密传送给可信平台模块上的安全信道应用程序；

在用户识别模块接收到所述秘密之后，将所述秘密传送给用户识别模块上的安全信道应用程序；并且

其中建立本地安全信道包括利用所述安全信道应用程序于可信平台模块和用户识别模块之间建立本地安全信道。

7.如权利要求1所述的方法，还包括将所述秘密存储在可信平台模块上的可信容器中。

8.如权利要求7所述的方法，其中存储所述秘密包括将所述秘密存储在可信平台模块的平台配置寄存器中。

9.一种用于建立可信连接的移动计算设备，包括：

用户识别模块；以及

可信平台模块，所述可信平台模块包括(i)生成秘密的可信密钥生成器，(ii)安全信道应用程序，能够操作用来利用所述秘密在移动计算设备上、于可信平台模块和用户识别模块之间建立本地安全通信信道，以及(iii)通信应用程序，能够操作用来将所述秘密从移动计算设备传输到移动业务提供商；并且

其中用户识别模块包括(i)第二通信应用程序，能够操作用来从移动业务提供商接收所述秘密，以及(ii)安全信道应用程序，能够与可信平台模块的安全信道应用程序协作用来利用由用户识别模块接收的所述秘密在移动计算设备的可信平台模块和用户识别模块之间建立本地安全通信信道。

10.如权利要求9所述的移动计算设备，其中可信平台模块包括适于存储所述秘密的可信容器。

11.如权利要求10所述的移动计算设备，其中可信容器包括可信平台模块的平台配置寄存器。

12.一种用于在移动计算设备上建立可信连接的装置，包括：

用于在移动计算设备的可信平台模块上生成秘密的部件；

用于将所述秘密从移动计算设备的可信平台模块传输到移动业务提供商的部件；

用于利用移动计算设备的用户识别模块从移动业务提供商接收所述秘密的部件；以及

用于利用所述秘密在移动计算设备上、于可信平台模块和用户识别模块之间建立本地安全信道的部件。

13.如权利要求12所述的装置，其中用于将所述秘密从可信平台模块传输到用户识别模块的部件包括用于执行可信平台模块和用户识别模块之间的Diffie-Hellman密钥交换的部件。