[发明专利]使用基于可信平台的共享秘密推导和基于WWAN基础设施的登记来建立本地安全信道

说明书

本申请是申请日为2006年12月30日、申请号为200610064164.6、发明名称为“使用基于可信平台的共享秘密推导和基于WWAN基础设施的登记来建立本地安全信道”的专利申请的分案申请。 

相关申请的交叉引用 

本申请涉及在2004年10月19日提交的序列号为10/969,739的、标题为“A Method and Apparatus for Securing Communications Between a Smartcard and a Terminal(在智能卡和终端之间安全通信的方法和装置)”、转让给本发明的受让人的代理档案号为42.P20646的共同未决的美国专利申请，并且涉及在2003年11月17日提交的序列号为10/715,970的、标题为“Method and System to Provide a Trusted Channel Within a Computer System for a SIM Device(提供用于SIM设备的计算机系统内的可信信道的方法和系统)”、转让给本发明的受让人的代理档案号为42.P18073的共同未决的美国专利申请。 

技术领域

本发明一般涉及可信计算领域。更具体地，本发明涉及利用基于可信平台的共享秘密推导和基于GSM基础设施登记来建立本地安全信道的系统和方法。 

背景技术

例如，随着网络的集中，出现的设备(诸如(但不限于)笔记本、个人数字助理、和其它的用户计算设备)将支持多个对因特网和专用企业网络的网络访问能力，比如802.11、802.16、GPRS(通用分组无线业务)， GSM(全球移动通信系统)等等。但是，几个凭证(诸如用户、企业、或移动网络运营商凭证)可仍然存储在用户识别模块(SIM)或智能卡上，由于它们的防窜改特征、加密能力、解除因素(take-away factor)、或者移动网络运营商的商业要求而拥有SIM/智能卡的部分并且控制其功能的登记。 

因此，关键是当在SIM/智能卡和运行在可信分区(Trusted Partition)上的安全应用程序之间传输凭证时，这种设备具有足够的安全性。但是，为了在两个实体之间建立可信信道，SIM/智能卡和可信应用程序都必须具有一些共享的安全参数。 

因此，需要一种在SIM/智能卡和可信平台之间建立可信信道的系统和方法。也需要一种通过安全登记共享秘密(Shared Secret)而在SIM/智能卡和可信平台之间建立可信信道的系统和方法。进一步需要一种建立提供平台有效性和信任的匿名标识的共享秘密定义的系统和方法。 

发明内容

本发明涉及一种用于在移动计算设备上建立可信连接的方法，包括： 

生成共享秘密，其中在可信平台上生成共享秘密； 

将共享秘密传输给安全信道应用程序，所述安全信道应用程序用于在可信平台和用户识别模块(SIM)/智能卡之间建立本地通信信道； 

将共享秘密直接接收到SIM/智能卡中；和 

将共享秘密提供给SIM/智能卡上的安全信道小程序，所述安全信道小程序用于在SIM/智能卡和可信平台之间建立本地通信信道。 

此外，本发明涉及一种用于在移动计算设备上建立可信连接的系统，包括： 

计算设备，所述计算设备包括具有可信分区的可信平台架构，所述可信分区包括生成共享秘密的可信密钥生成器、存储共享秘密的可信存储器、在计算设备上的可信分区和用户识别模块(SIM)/智能卡之间建立本地安全通信信道的安全信道应用程序、和用于使共享秘密被传送给SIM/智能卡以在SIM/智能卡和可信分区之间建立信任的应用程序；其中当可信分区和 SIM/智能卡都有共享秘密时，基于传输层安全(TLS)的握手的发生建立本地安全信道。 

此外，本发明还涉及一种产品包括：具有多个机器可访问指令的存储介质，其中当处理器执行所述指令时，所述指令规定生成共享秘密，其中在可信平台上生成共享秘密； 

将共享秘密传输给安全信道应用程序，所述安全信道应用程序用于在可信平台和用户识别模块(SIM)/智能卡之间建立本地通信信道； 

将共享秘密直接接收到SIM/智能卡中；和 

将共享秘密提供给SIM/智能卡上的安全信道小程序，所述安全信道小程序用于在SIM/智能卡和可信平台之间建立本地通信信道。 

附图说明