[发明专利]保密通信的相互认证

说明书

相关申请的交叉引用

本申请要求2015年6月30日提交的标题为“CONFIDENTIAL TOKEN PROVISIONING(保密令牌供应)”的美国临时申请No.62/187,125的优先权，该临时申请的全部内容出于所有目的以引用方式并入本文。此外，2015年1月13日提交的标题为“EFFICIENT METHODS FOR PROTECTING IDENTITY IN AUTHENTICATED TRANSMISSIONS(用于在认证传输中保护身份的有效方法)”的美国申请No.14/595,792以及2015年6月18日提交的标题为“EFFICIENT METHODS FOR AUTHENTICATED COMMUNICATION(用于认证通信的有效方法)”的美国申请No.14/743,874的全部内容出于所有目的以引用方式并入本文。

背景技术

确保数据在计算机之间安全传送仍然是值得关心的问题。例如，攻击者可能尝试窃听通信(例如，通过执行中间人攻击)。因此，攻击者可能尝试拦截可用来推断用户、客户端计算机或服务器计算机的身份的数据，诸如，公钥。攻击者也可能尝试拦截识别数据(诸如，计算机的计算机标识符或公钥)或者由计算机传输的认证数据(诸如，密码)。被拦截的数据可以用来跟踪用户装置或者它可以用于违法目的。使情况更复杂的是计算机在通信之前的先前状态。在一些情况下，客户端计算机和服务器先前可能没有存储彼此的数字证书，换言之，客户端计算机和服务器计算机可能不先验地信任彼此。在此类情形下进行安全通信可能带来挑战。

本发明的实施方案单独地和共同地解决了这些和其他问题。

发明内容

本发明的一些实施方案涉及用于对计算机进行安全认证的系统和方法。在一些实施方案中，第一计算机可以使用第一计算机的第一计算机盲化因子和第一计算机公钥来生成第一计算机盲化公钥。第一计算机可以使用与第一计算机公钥对应的第一计算机私钥、第一计算机盲化因子和第二计算机的第二计算机公钥来生成第一共享秘密。第一计算机可以使用第一共享秘密对第一计算机的第一认证信息进行加密，以获取第一加密的认证信息。在一些实施方案中，第一认证信息可以包括第一计算机的第一计算机盲化因子、时间戳或证书中的一个或多个。第一计算机可以向第二计算机发送第一消息，所述第一消息包括第一计算机盲化公钥和第一加密的认证信息。

第二计算机可以从第一计算机接收第一消息，所述第一消息包括第一计算机盲化公钥和第一加密的认证信息。第二计算机可以使用第一计算机盲化公钥和与第二计算机公钥对应的第二计算机私钥来生成第一共享秘密。第二计算机可以使用第一共享秘密对第一加密的认证信息进行解密。第二计算机可以使用第一认证信息来认证第一计算机。响应于认证第一计算机，第二计算机可以基于第二计算机私钥和第一计算机公钥来对第二计算机的第二认证信息进行加密。第二计算机可以向第一计算机发送第二消息，所述第二消息包括第二加密的认证信息。第一计算机可以基于第一计算机私钥和第二计算机公钥来对第二加密的认证信息进行解密。第一计算机可以基于第二认证信息来认证第二计算机。

本发明的一些实施方案涉及用于计算机之间的保密通信的系统和方法。第一计算机可以从第二计算机接收第一消息，所述第一消息包括第二计算机盲化公钥。第二计算机盲化公钥可以由第二计算机使用第二计算机盲化因子和与第二计算机私钥对应的第二计算机公钥来生成。第一计算机可以使用第一计算机盲化因子和第一计算机公钥来生成第一计算机盲化公钥。第一计算机可以使用与第一计算机公钥对应的第一计算机私钥、第一计算机盲化因子和第二计算机盲化公钥来生成第一共享秘密。第一计算机可以向第二计算机发送第二消息，所述第二消息包括第一计算机盲化公钥。第二消息可以使得第二计算机能够使用第一计算机盲化公钥、第二计算机盲化因子以及与第二计算机公钥对应的第二计算机私钥来生成第一共享秘密。第一计算机和第二计算机可以使用第一共享秘密进行通信。

其他实施方案涉及与本文中描述的方法相关联的系统、便携式消费者装置和计算机可读介质。

参照以下详细描述和附图，可以获得对本发明的实施方案的本质和优点的更好理解。

附图说明

图1示出根据一些实施方案的客户端计算机和服务器计算机之间的安全通信的简化消息流图。

图2示出根据一些实施方案的客户端计算机和服务器计算机有效地建立双重保密通信的消息流图。

图3示出根据一些实施方案的客户端计算机和服务器计算机基于相互认证来建立双重保密通信的消息流图。