[发明专利]使用预共享密钥提供安全连接

权利要求书

1.一种用于向设备间连接提供安全连接的系统，包括：

第一设备，其具有安全元件，其中所述安全元件：(i)存储设备秘密；(ii)实例化第一连接协议模块；以及(iii)实例化第一连接协议密钥生成器；

云架构，其(i)存储从所述设备秘密到所述第一设备的标识的映射；以及(ii)实例化第二连接协议密钥生成器；

其中所述第一连接协议密钥生成器和所述第二连接协议密钥生成器都被配置为使用所述设备秘密生成配对密钥；

其中所述第一连接协议密钥生成器使用在所述第一设备上生成的第一时间戳生成配对密钥；

其中所述第二连接协议密钥生成器使用在所述云架构上生成的第二时间戳生成配对密钥；和

第二设备，其(i)具有实例化第二连接协议模块的处理器；(ii)经由设备间连接而通信连接到所述第一设备；(iii)被配置为从所述第一设备接收所述第一设备的标识；以及(iv)被配置为通过网络连接用所述第一设备的标识与所述云架构交换以获得配对密钥；

其中所述第一连接协议模块和所述第二连接协议模块被配置为：(i)使用配对密钥相互认证；以及(ii)在使用配对密钥相互认证之后，使用配对密钥向设备间连接添加安全连接。

2.根据权利要求1所述的系统，进一步包括：

所述第一设备上的数据读取器；和

数据处理模块，其由所述安全元件实例化，并通信连接到所述数据读取器以用于接收数据；

其中所述第一设备被配置为使用安全连接向所述第二设备发送数据读取器数据。

3.根据权利要求2所述的系统，其中：

所述第二设备是个人用户设备；

所述处理器实例化操作系统；

所述第一设备是所述第二设备的外围设备；

所述安全元件是分立的安全处理器；

所述第一连接协议模块和所述第二连接协议模块是传输层安全(TLS)模块；

所述第一连接协议密钥生成器和所述第二连接协议密钥生成器是TLS预共享密钥(PSK)生成器；

所述配对密钥是PSK；并且

所述安全连接是TLS连接。

4.根据权利要求1所述的系统，进一步包括：

第一实时时钟，其在所述安全元件上实例化；

其中所述第一连接协议密钥生成器被配置为使用来自所述第一实时时钟的第一时间戳来根据所述设备秘密生成配对密钥；

第二实时时钟，其在所述云架构上实例化；并且

其中所述第二连接协议密钥生成器被配置为使用来自所述第二实时时钟的第二时间戳来根据所述设备秘密生成配对密钥。

5.根据权利要求1所述的系统，其中所述云架构进一步包括：

硬件安全模块，其存储密钥加密密钥并实例化所述第二连接协议密钥生成器；

数据库，其包含所述映射，其中所述数据库将所述设备秘密存储为加密的设备秘密；和

解密模块，其在所述硬件安全模块上实例化，并被配置为使用所述密钥加密密钥来解密所述加密的设备秘密。

6.根据权利要求1所述的系统，其中所述云架构进一步包括：

网络服务器，其被配置为从所述第二设备接收设备标识，使用所述设备标识访问所述映射，并且在访问所述映射之后将配对密钥发送到所述第二设备。

7.根据权利要求6所述的系统，进一步包括：

所述网络服务器和所述第二设备之间的HTTPS连接；和

第三连接协议模块，其在所述第二设备上实例化，并被配置为形成与所述网络服务器的HTTPS连接；

其中所述第二连接协议模块和所述第三连接协议模块是分离的TLS模块。

8.根据权利要求1所述的系统，进一步包括：

操作系统和所述操作系统的应用，其由所述第二设备上的处理器实例化；

其中所述第二连接协议模块是所述应用的一部分；

其中所述应用被配置为向所述云架构认证所述第二设备；并且

其中所述云架构被配置为将所述第二设备经由所述应用的认证作为用所述第一设备的标识交换配对密钥的前提条件。