[发明专利]用于安全通信的系统和方法

权利要求书

1.一种终端，包括：

无线收发器，其被配置成与移动设备无线通信；

安全元件，其被配置成存储一个或多个经预验证的密码密钥；以及

处理器，其耦合到安全元件和无线收发器，所述处理器被编程以

经由无线收发器从移动设备接收认证请求，

通过基于存储在安全元件中的一个或多个经预验证的密码密钥验证认证请求来认证移动设备，

基于在认证请求中接收到的随机数而生成会话密钥，

经由无线收发器在移动设备被成功认证时向移动设备发送包括会话密钥的认证响应，并且

从移动设备接收安全信息，所述安全信息通过会话密钥来加密，

其中所述认证请求包括：

特定于移动设备的第一公共密钥，第一公共密钥通过在证书层级中优先于第一公共密钥的私有密钥来加密；

唯一标识符，其指定最终解密第一公共密钥的证书层级中的公共密钥链；以及

随机数R1，其通过对应于第一公共密钥的私有密钥来加密。

2.根据权利要求1所述的终端，其中所述终端包括支付终端、信息站和燃料分发器中的至少一个。

3.根据权利要求1所述的终端，其中所述收发器包括近场通信NFC收发器。

4.根据权利要求1所述的终端，其中所述认证请求不包括对应于第一公共密钥的数字证书。

5.根据权利要求1所述的终端，其中所述处理器被配置成通过以下验证认证请求：

使用查找表来确定在唯一标识符中指定的上级公共密钥是否被存储在终端中并且经预验证；以及

如果上级公共密钥被存储在终端中并且经预验证，检索上级公共密钥并且使用上级公共密钥来解密第一公共密钥。

6.根据权利要求5所述的终端，其中所述认证请求包括上级公共密钥并且其中所述处理器被配置成通过以下验证认证请求：

如果上级公共密钥未被存储在终端中或者未经预验证，使用查找表来确定唯一标识符中指定的更上级公共密钥是否在终端中被存储和预验证，以及

如果更上级公共密钥在终端中被存储和预验证，检索更上级公共密钥并且使用更上级公共密钥来解密上级公共密钥；以及

如果更上级公共密钥未被存储在终端中或者未经预验证，则进行以下中的至少一个：向移动设备请求更上级公共密钥，从网络获得更上级公共密钥，以及由于源自非可认证移动设备而拒绝认证请求。

7.根据权利要求1所述的终端，其中所述会话密钥包括随机数R1和由终端生成的随机数R2的组合。

8.根据权利要求1所述的终端，其中所述认证响应包括：

特定于终端的第二公共密钥，第二公共密钥通过在证书层级中优先于第二公共密钥的终端侧私有密钥来加密；

终端侧唯一标识符，其指定最终解密第二公共密钥的证书层级中的公共密钥链；

会话密钥，所述会话密钥通过移动设备的第一公共密钥来加密；以及

由处理器生成的会话密钥校验和，所述会话密钥校验和通过对应于终端的第二公共密钥的私有密钥来加密。

9.根据权利要求8所述的终端，其中所述认证响应不包括对应于第二公共密钥的数字证书。

10.根据权利要求8所述的终端，其中所述认证响应包括对应于终端侧上级私有密钥的终端侧上级公共密钥。

11.根据权利要求1所述的终端，其中所述终端被配置成在少于500ms中完成与移动设备的认证过程。

12.根据权利要求1所述的终端，其中所述终端被配置成在单个交换中完成与移动设备的认证过程。

13.根据权利要求1所述的终端，其中所述安全信息包括支付信息并且其中所述终端被配置成在没有移动设备耦合到的移动支付基础设施与终端耦合到的支付基础设施之间的通信的情况下完成支付交易。