[发明专利]使用预共享密钥提供安全连接

说明书

公开了与提供安全连接相关的方法和系统。一种公开的方法包括：在第一设备中的安全元件上存储设备秘密，在云架构上存储从设备秘密到第一设备的设备标识符的映射，使用安全元件上的第一连接协议密钥生成器和设备秘密生成配对密钥，以及使用云架构上的第二连接协议密钥生成器和设备秘密生成配对密钥。该方法还包括：响应于接收到设备标识符，将配对密钥从云架构发送到第二设备，使用配对密钥相互认证第一设备和第二设备，以及使用存储在第一设备上的配对密钥和存储在第二设备上的配对密钥向设备间连接添加安全连接。

技术领域

本公开涉及与提供安全连接相关的方法和系统。

背景技术

在通信设备之间建立安全连接对于保护在它们之间传递的信息的隐私和数据完整性至关重要。无线连接特别容易受到恶意实体的攻击，这些恶意实体可以使用附近的其它无线设备来执行此类攻击。当前的安全性方法被设计来抵御最常见类型的攻击，诸如中间人(Man-In-The-Middle，MITM)攻击、拒绝服务(Denial of Service，DoS)攻击或地址解析协议(Address Resolution Protocol，ARP)中毒攻击。虽然安全通信漏洞的许多细微差别是已知的，但是为给定的一组无线连接的设备选择特定的安全性配置并不是微不足道的。例如，一种安全性配置可能高度依赖于一种类型的设备上的软件和硬件架构的独特能力，诸如连接到wi-fi路由器的个人计算机的系统可用的大量资源。可替代地，无线通信设备可以依赖于短距离通信，诸如在智能电话使用近场通信的情况下，以使用受限距离的无线传输来提供一定程度的安全性。为了迎合这种不断发展的环境，新的连接安全性解决方案正在不断开发中。

经由无线设备间连接进行通信的设备通常在系统或网络中协作，物联网(Internet of Things，IoT)日益增长的范例就是例证。由于这些设备中的许多都依赖于私有信息，所以在个人、家庭和商业设定中，在两个或更多个设备之间建立安全连接是一种常见需求。跨越这些设定的一个一般示例包括多功能个人用户设备(诸如智能电话)和应用设备(有时称为“加密狗(dongle)”或外围设备)之间的安全连接。个人用户设备利用一套通信协议来最大化安全性和设备间兼容性，而应用设备是用受限的硬件和软件设计的，以便具有便于个人使用的形态因素并保持市场竞争力。在设备功能的这种不对称的驱使下，在个人用户设备和应用设备之间建立安全连接可能受到应用设备的限制。必须仔细考虑系统的设计，以提供既具有可用性又具有安全性的这种连接。

传输层安全(Transport Layer Security，TLS)协议是一种开发完善、可定制的安全协议，其可用于保护个人用户设备和应用设备之间的无线通信连接。TLS可以配置为使用对称或非对称密钥加密方案来提供安全连接。可以使用公钥基础设施(Public-KeyInfrastructure，PKI)框架定义的方法来建立具有TLS的认证，例如使用由可信第三方签名的证书。此外，两个或更多个设备可以通过一个过程建立安全通信，在该过程中，在一个设备上实例化TLS服务器，而其它设备可以作为客户端与该TLS服务器通信。随后，服务器和客户端可以通过被称为“握手”的过程来协商所需的密钥加密和认证方案，在该过程中，它们两者商定来自一系列预定义的可执行算法和服务器-客户端信息传送的方法。握手中的密钥加密和认证方法在实施时要考虑系统的独特设备，以实现安全连接的最大安全潜力，这一点至关重要。

发明内容

公开了与向设备间连接提供安全连接相关的方法和系统。一种系统包括第一设备、第二设备和云架构。第一设备具有存储设备秘密、实例化第一连接协议模块并实例化第一连接协议密钥生成器的安全元件。云架构存储从设备秘密到第一设备的标识的映射，并实例化第二连接协议密钥生成器。第一连接协议密钥生成器和第二连接协议密钥生成器都被配置为使用设备秘密生成配对密钥。第二设备具有处理器，该处理器实例化第二连接协议模块，该第二设备经由设备间连接而通信连接到第一设备，该第二设备被配置为从第一设备接收第一设备的标识，并且被配置为通过网络连接用第一设备的标识与云架构交换以获得配对密钥。第一连接协议模块和第二连接协议模块被配置为使用配对密钥相互认证，并且使用配对密钥向设备间连接添加安全连接。