[发明专利]低功率设备的安全连接

权利要求书

1.一种计算机实现方法，包括：

由客户端设备跨直接无线连接将第一随机数据传送到资源设备；

由所述客户端设备从所述资源设备接收第一数字签名，所述第一数字签名是由所述资源设备基于所述第一随机数据和第一加密密钥计算的，所述第一加密密钥在所述客户端设备和所述资源设备之间共享；

由所述客户端设备基于所述第一随机数据来生成第二数字签名；

由所述客户端设备确定所述第一数字签名对应于所述第二数字签名；以及

响应于所述确定由客户端设备生成与所述客户端设备和所述资源设备之间的通信会话相关联的会话密钥。

2.如权利要求1所述的方法，其中，生成所述第二数字签名包括利用所述第一加密密钥生成所述第二数字签名；

其中，所述方法进一步包括：

由所述客户端设备从所述资源设备接收第二随机数据；

由所述客户端设备使用所述第一加密密钥基于所述第二随机数据来生成第三数字签名；以及

由所述客户端设备在所述直接无线连接上将所述第三数字签名传送到所述资源设备。

3.如权利要求1或2所述的方法，进一步包括从所述资源设备或者附加计算系统中的至少一个接收所述第一加密密钥。

4.如前述任何一个权利要求所述的方法，进一步包括：

使用所述第一加密密钥来加密令牌数据，所述令牌数据包括由所述客户端设备保持的认证令牌的至少一部分；以及

跨所述直接无线连接将所加密的令牌数据传送到所述资源设备。

5.如权利要求4所述的方法，其中，所述令牌数据包括第二加密密钥的标识符，所述第二加密密钥特定于所述客户端设备并且由所述客户端设备机密地保持。

6.如权利要求4或5所述的方法，其中，所述验证令牌包括马卡龙，所述马卡龙包括一个或多个警告以及对应的密钥，并且所述令牌数据包括所述警告中的至少一个警告。

7.如权利要求6所述的方法，其中，所述警告中的所述至少一个警告包括第二加密密钥的标识符，所述第二加密密钥特定于所述客户端设备并且由所述客户端设备机密地保持。

8.如权利要求6或7所述的方法，其中，计算所述会话密钥包括基于所述至少一个警告和所述第二数字签名来计算所述会话密钥。

9.如权利要求4-8中的任何一个所述的方法，进一步包括：

依据密钥轮转调度表生成第三加密密钥；以及

使用所述第三加密密钥加密所述令牌数据。

10.如权利要求4-9中的任何一个所述的方法，进一步包括生成所述令牌数据的加密散列，并且将所述加密散列传送到所述资源设备。

11.如权利要求10所述的方法，进一步包括：

确定所加密的令牌数据超出阈值消息大小；以及

响应于所述确定，生成所述令牌数据的所述加密散列。

12.如权利要求4-11中的任何一个所述的方法，其中，计算所述会话密钥包括基于所述令牌数据的至少一部分和所述第二数字签名来计算所述会话密钥。

13.如前述任何一个权利要求所述的方法，进一步包括生成所述第一随机数据。

14.如前述任何一个权利要求所述的方法，其中，计算所述第二数字签名包括计算所述第一随机数据的消息认证代码。

15.如权利要求14所述的方法，其中，所述消息认证代码包括基于散列的消息认证代码。

16.如前述任何一个权利要求所述的方法，进一步包括响应于所述第一数字签名与所述第二数字签名相匹配的所述确定而验证所述资源设备的身份。

17.如前述任何一个权利要求所述的方法，其中，所述资源设备基于所述第一随机数据、所述第一加密密钥、和由所述资源设备保持的根加密密钥来计算所述第一数字签名。

18.如前述任何一个权利要求所述的方法，进一步包括在所述通信会话期间使用所述会话密钥以(i)加密被发送至所述资源设备的来自所述客户端设备的数据以及(ii)解密由所述客户端设备接收的来自所述资源设备的数据。