[发明专利]建立受保护通信信道

权利要求书

1.一种用于在设备与第一服务器之间建立第一受保护通信信道的方法，所述第一服务器具有第一服务器公钥，并且所述设备具有与不同于所述第一服务器的第二服务器共享的设备标识密钥；所述方法包括：

基于所述设备标识密钥和依赖于所述第一服务器公钥的公钥信息在所述设备处导出对称密钥；

基于所述设备标识密钥和所述公钥信息在所述第二服务器处导出所述对称密钥；

使用第二受保护通信信道将所述对称密钥从所述第二服务器发送到所述第一服务器；以及

使用依赖于所述对称密钥的通信密钥保护所述设备与所述第一服务器之间的所述第一受保护通信信道上的通信。

2.根据权利要求1所述的方法，其中，使用基于非对称密钥的公钥基础设施来保护所述第二受保护通信信道。

3.根据权利要求2所述的方法，其中，用于所述公钥基础设施的非对称密钥包括所述第一服务器公钥和第一服务器私钥。

4.根据前述权利要求中任一项所述的方法，其中，所述通信密钥与所述对称密钥相同。

5.根据权利要求1至3中任一项所述的方法，其中，基于在所述设备与所述第一服务器之间共享的信息，从所述对称密钥导出所述通信密钥。

6.根据权利要求5所述的方法，其中，在所述设备与所述第一服务器之间共享的信息包括以下项中的至少一者：

与包括所述设备的设备类相关联的类密钥；以及

随机值或伪随机值。

7.根据前述权利要求中任一项所述的方法，其中，所述公钥信息与所述第一服务器公钥相同。

8.根据权利要求1至6中任一项所述的方法，其中，所述公钥信息包括所述第一服务器公钥的散列，并且具有比所述第一服务器公钥更少的位。

9.根据前述权利要求中任一项所述的方法，其中，所述设备无法生成用于支持公钥基础设施的非对称密钥。

10.根据前述权利要求中任一项所述的方法，其中，所述设备导出所述对称密钥，并且在使用所述通信密钥所保护的所述第一受保护通信信道上向所述第一服务器发送有效负载消息；以及

响应于所述有效负载消息，所述第一服务器向所述第二服务器发送密钥生成请求以触发所述第二服务器导出所述对称密钥并且在所述第二受保护通信信道上将所述对称密钥发送到所述第一服务器。

11.根据权利要求10所述的方法，其中，所述有效负载消息和所述密钥生成请求各自指定所述设备的设备标识符。

12.一种用于控制所述设备、所述第一服务器和所述第二服务器执行根据前述权利要求中任一项所述的方法的计算机程序集。

13.至少一种存储介质，存储根据权利要求12所述的计算机程序集。

14.一种用于第一服务器与设备建立第一受保护通信信道的方法，包括：

通过第二受保护通信信道从第二服务器接收对称密钥，所述对称密钥是从所述第一服务器的第一服务器公钥和在所述设备与所述第二服务器之间共享的设备标识密钥导出的；以及

使用通信密钥来保护在所述第一受保护通信信道上与所述设备的通信，所述通信密钥依赖于从所述第二服务器接收到的所述对称密钥。

15.一种用于第二服务器针对第一服务器生成对称密钥以在所述第一服务器与设备之间建立第一受保护通信信道的方法，包括：

基于在所述第二服务器与所述设备之间共享的设备标识密钥和依赖于与所述第一服务器相关联的第一服务器公钥的公钥信息，在所述第二服务器处导出所述对称密钥；以及

通过第二受保护通信信道将所述对称密钥发送到所述第一服务器。