[发明专利]使用移动设备的系统访问

权利要求书

1.一种装置，包括：

一个或多个处理元件，所述一个或多个处理元件被配置为：

生成包括第一公钥和第一私钥的第一临时密钥对；

确定由系统生成的第二公钥，其中所述第二公钥包括在第二临时密钥对中；

使用密钥交换函数生成第一共享秘密，所述密钥交换函数使用所述第一私钥和所述第二公钥作为输入；

使用密钥导出函数生成导出的共享秘密，所述密钥导出函数至少使用以下输入：所述第一共享秘密、所述第一公钥和先前在所述装置和所述系统之间的配对会话期间建立的所述系统的公钥；

通过用所述配对会话期间建立的所述装置私钥签署交易信息来生成签名；

基于所述导出的共享秘密来加密所述签名和识别所述装置的信息；

使用所述系统的所述公钥来验证从所述系统接收的已签署证书，其中所述证书用所述配对会话期间建立的所述系统的对应私钥签署；以及

响应于对所述已签署证书的验证，将所述加密的签名和信息传送至所述系统。

2.根据权利要求1所述的装置，其中所述装置被配置为直到对所述已签署的证书进行验证之后才将识别所述装置的信息发送至所述系统。

3.根据权利要求1所述的装置，其中所述密钥交换函数是椭圆曲线Diffie Hellman(DH)函数。

4.根据权利要求1所述的装置，其中为了与另一个设备共享对所述系统的一个或多个功能的访问，所述装置被配置为：

从所述另一个设备接收证书签署请求；

使用与所述另一个设备相关联的被授权实体的根证书来验证所述接收的证书；

认证所述装置的用户；

使用在与所述系统的所述配对会话期间建立的所述装置的所述私钥来签署所述证书；以及

将所述已签署证书传送到所述另一个设备。

5.根据权利要求4所述的装置，其中所述证书签署请求和所述已签署证书经由直接无线连接传送，而不使用广域网。

6.根据权利要求4所述的装置，其中所述装置被配置为加密所述系统的安全令牌并且将经加密的所述安全令牌传送至所述另一个设备。

7.根据权利要求4所述的装置，其中所述装置被配置为使用来自所述另一个设备的公钥来加密安全令牌，并且将所述安全令牌存储在与所述公钥相关联的邮箱位置中。

8.根据权利要求4所述的装置，其中响应于用户对所述共享访问的撤销，所述装置被配置为发送撤销消息；以及

基于来自所述另一个设备的安全电路的撤销收据确认对所述共享访问的撤销。

9.根据权利要求1所述的装置，其中在配对过程期间，所述装置被配置为生成嵌入数字密钥数据结构的配置信息的证书，并使用所述装置的安全电路的私钥签署所述证书，从而根据所述配置信息证明所述数字密钥数据结构的创建。

10.一种装置，包括：

一个或多个处理元件，所述一个或多个处理元件被配置为：

通过用与移动设备的配对会话期间建立的所述装置私钥签署交易信息来生成签名；

将所述签名传送到所述移动设备；

从所述移动设备接收响应于所述传送的签名而加密的签名；

生成包括第一公钥和第一私钥的第一临时密钥对；

确定由所述移动设备生成的第二公钥，其中所述第二公钥包括在第二临时密钥对中；

使用密钥交换函数生成第一共享秘密，所述密钥交换函数使用所述第一私钥和所述第二公钥作为输入；

使用密钥导出函数生成导出的共享秘密，所述密钥导出函数至少使用以下输入：所述第一共享秘密、所述第一公钥和先前在所述配对会话期间建立的所述装置的公钥；

使用所述导出的共享秘密来解密所述签名；

使用在所述配对会话期间建立的所述移动设备的公钥来验证所述签名；以及

基于所述验证来授权一个或多个动作。