[发明专利]用于加密密钥的迁移的方法和设备

说明书

各种实施例的各方面是针对利用用于认证及/或加密通信的秘密密钥的应用。在某些实施例中，将认证数据从源网络通信装置提供到目标网络通信装置，以使计算服务器验证所述源网络通信装置已授权密钥迁移。所述认证数据亦能够使所述数据提供商和所述目标网络通信装置独立地确定用于建立所述服务提供商与所述目标网络通信装置之间的安全通信信道的临时密钥和/或确定用于所述目标网络通信装置的新密钥。在一些实施方案中，在无所述计算服务器参与的情况下，所述认证数据可在脱机的所述源网络通信装置与所述目标网络通信装置之间交换。当所述目标网络通信装置随后连接到所述计算服务器时，所述认证数据可用于验证所述密钥迁移经过授权和/或生成密钥。

技术领域

各种实施例的各方面是针对利用用于认证及/或加密通信的秘密密钥的应用。

背景技术

秘密密钥供许多应用使用，以通过网络通信装置上的应用与服务提供商之间的数据网络认证并安全地传达数据，所述数据网络管理对一个或多个受保护服务、应用或数据组的访问。如本文中所使用，“网络通信装置”和/或“装置”是指具有通信电路的设备，所述通信电路被配置并布置成通过网络与服务提供商和/或其它网络通信装置通信。在各种应用中，网络通信装置可包括(例如)手机、智能手机、平板计算机、手提电脑、台式计算机和/或各种其它连接网络的电路。在一些情况下，了解这些密钥可使未授权用户访问一个或多个受保护应用、服务或数据组。为了防止出现对所述受保护应用、服务或数据组的未授权访问，密钥通常存储于网络通信装置上的安全存储元件中。安全存储元件可为(例如)网络通信装置上的嵌入型防篡改集成电路。所述安全元件可实施安全功能(例如，加密功能和认证功能)以限制对其中存储的数据的访问。存储的密钥从不暴露于计算机系统的系统存储器区域，且因此，防止存储的私钥暴露于任何未经授权的用户。

出于安全原因，可在受信任的环境(例如，在网络通信装置制造时)内生成密钥并将所述密钥转移到网络通信装置的安全存储元件。然而，有时用户可能希望将受保护的应用、服务和/或数据组转移到替代或额外网络通信装置。为便于访问所述受保护应用、服务和/或数据组，在服务提供商处的与用户相关联的密钥必须被迁移到新网络通信装置并存储于安全存储元件中。一些密钥迁移技术重复使用源网络通信装置的秘密密钥用于目标网络通信装置的认证。然而，这种技术可能需要两个网络通信装置中的每一个使用秘密密钥被配置成用于认证的相同密钥导出函数。这种情况在一些实施方案(例如，使用网络通信装置的唯一标识符作为到密钥导出函数的输入)中可能是不可能的。此外，如果两个网络通信装置中的任一个被破解(例如，归因于恶意攻击)，那么秘密密钥可能被暴露，从而使其它网络通信装置欺骗或以其它方式被破解。

这些情况和其它事项已经向多种应用的安全性和效率提出挑战。

发明内容

各种实例实施例是针对(例如)上文中所阐述的问题和/或从关于用于认证和/或加密的密钥的分布的以下公开内容中可显而易见的其它问题。在某些实例实施例中，本发明的各方面涉及用于在网络通信装置之间迁移密钥，以便由计算服务器进行认证的方法和电路。计算服务器是指连接网络的网络通信装置，所述网络通信装置被配置成通过数据网络将一个或多个各种服务提供到连接到所述连接网络的网络通信装置的网络通信装置。提供的服务可包括(例如)数据存储、远程计算服务、网站托管、虚拟计算环境、家庭自动化、媒体流服务(例如，点播音乐和/或视频)、电信服务(例如，蜂窝式通信、基于IP的语音业务、视频会议)或其各种组合。计算服务器可包括单个服务器或可包括多个共同操作的分布式服务器(例如，基于云的服务)，以对网络通信装置提供服务。一些更具体的实施例是针对用户控制的密钥迁移(例如，从源网络通信装置到目标网络通信装置)，以便由计算服务器进行认证。