技術領域

本專利文件涉及信息安全和裝置安全，包括用于在不同實體間交換秘密信息并生成安全裝置密鑰（secret?key）的技術。

背景技術

在涉及安全信息和某些裝置的各種應用中，不同裝置間的安全交換和傳遞信息都很重要。為此，各種安全協議和算法可用于在各種實體間對包括聲音、圖像、視頻和其他類型數據的信息進行安全交換。數據安全協議往往依靠加密技術，如加密、數字簽名和散列函數，從而在所需的安全水平進行認證和信息交換。這些技術往往依賴于秘密值（例如，密鑰、隨機值等），該值由一個或多個參與方使用以建立安全通信信道，以實行認證協議等。

發明內容

（1）一種方法，包括：從被嵌入裝置的秘密信息的第一請求者接收第一消息，其中，所述消息包括與所述第一請求者相關的公鑰，并且其中，嵌入的秘密信息包括不與任何特定請求者相關的隨機信息；以及基于接收到的公鑰和嵌入的秘密信息來生成第一加密秘密。

（2）根據（1）所述的方法，其中，所述第一請求者使用與所述裝置相關的密鑰對所述公鑰進行簽名。

（3）根據（1）所述的方法，其中，在不維護嵌入的秘密信息的數據庫的情況下執行所述第一加密秘密的生成。

（4）根據（1）所述的方法，進一步包括：驗證接收到的公鑰，其中，所述第一加密秘密只在接收到的公鑰驗證成功時生成。

（5）根據（1）所述的方法，進一步包括：對所述裝置進行標記以表明所述第一加密秘密的生成。

（6）根據（5）所述的方法，其中，對所述裝置進行標記包括：鎖定一次性可編程（OTP）裝置。

（7）根據（1）所述的方法，其中，僅在所述裝置未被標記有“所述第一加密秘密之前已被生成”的指示的情況下才生成所述第一加密秘密。

（8）根據（1）所述的方法，其中，通過使用接收到的公鑰對嵌入的秘密信息進行加密來生成所述第一加密秘密。

（9）根據（1）所述的方法，其中，所述裝置進一步包括嵌入在裝置中的標識；以及所述裝置的嵌入標識與所述第一加密秘密一起被提供給所述第一請求者。

（10）根據（1）所述的方法，其中，第一消息包括表示所述第一請求者的身份的輔助信息；以及，通過使用嵌入的秘密信息對表示所述第一請求者的身份的輔助信息進行加密，然后使用所述第一請求者接收到的公鑰對該結果進行加密，來生成所述第一加密秘密。

（11）根據（10）所述的方法，進一步包括：從嵌入的秘密信息的第二請求者接收第二消息，其中，所述第二消息包括表示所述第二請求者的身份的輔助信息；以及，通過使用嵌入的秘密信息對表示所述第二請求者的身份的輔助信息進行加密，然后使用所述第二請求者接收到的公鑰對該結果進行加密，來生成第二加密秘密。

（12）根據（1）所述的方法，進一步包括：對所述第一加密秘密進行數字簽名。

（13）根據（1）所述的方法，其中，所述第一消息包括經簽名的公鑰以及經簽名的與所述第一請求者相關的請求者標識這兩者；以及，通過使用嵌入的秘密信息對接收到的與第一使用者相關的標識進行加密，然后使用所述第一請求者接收到的公鑰對該結果進行加密，來生成所述第一加密秘密。

（14）根據（13）所述的方法，進一步包括：從嵌入的秘密信息的第二請求者接收第二消息，其中，所述第二消息包括經簽名的公鑰以及經簽名的與所述第二請求者相關的請求者標識這兩者；以及，通過使用嵌入的秘密信息對接收到的與所述第二使用者相關的標識進行加密，然后使用所述第二請求者接收到的公鑰對該結果進行加密，來生成第二加密秘密。

（15）根據（1）所述的方法，其中，嵌入的秘密信息包括作為所述裝置的制造過程的一部分而被嵌入所述裝置的隨機數。

（16）根據（15）所述的方法，其中，所述隨機數是在所述裝置外部生成的加密安全隨機數。

（17）根據（1）所述的方法，其中，所述第一消息包括表示所述裝置的一個或多個特定操作的一個或多個使用標簽。

（18）根據（17）所述的方法，進一步包括：利用包含在所述第一消息中的一個或多個使用標簽來對所述裝置進行標記，其中，在所述裝置內標記的一個或多個使用標簽隨后被用于控制對所述裝置的訪問。

（19）一種方法，包括：接收對與裝置相關的秘密信息的檢索的請求，其中，所述秘密信息不與所述秘密信息的任何特定請求者相關；以及，生成加密安全應答，使得所述應答的接收者能夠恢復嵌入的秘密信息，其中，嵌入的秘密信息僅能由所述請求的發送方恢復。