專利名稱:用戶認(rèn)證系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信系統(tǒng)���,更具體地��,本發(fā)明涉及一種驗(yàn)證一個(gè)或多個(gè)用戶以使用通信系統(tǒng)內(nèi)一個(gè)或多個(gè)設(shè)備的系統(tǒng)和方法���。
背景技術(shù):
人們可以使用計(jì)算設(shè)備例如個(gè)人計(jì)算機(jī)和無線手持設(shè)備來訪問多種服務(wù)。例如�����,用戶可對存儲(chǔ)或運(yùn)行在計(jì)算設(shè)備上的數(shù)據(jù)或應(yīng)用程序進(jìn)行訪問�����。此外�����,用戶還可以連接到數(shù)據(jù)網(wǎng)絡(luò)��,以訪問遠(yuǎn)端服務(wù)器上的數(shù)據(jù)或應(yīng)用程序�。
某些情況下,一項(xiàng)服務(wù)只對授權(quán)用戶開放�。例如,這種服務(wù)可以是對�,例如金融信息或個(gè)人信息這樣的敏感數(shù)據(jù)的訪問。此外,對一些服務(wù)的訪問是需要付費(fèi)的����。
已有多種技術(shù)用于通過計(jì)算設(shè)備來實(shí)現(xiàn)對服務(wù)的安全訪問。例如�����,用戶可能需要向提供服務(wù)的計(jì)算設(shè)備(“服務(wù)提供者”)出示某種形式的信用證明��。在這里����,該信用證明可以用于指示一個(gè)特定用戶(或任何掌握該信用證明的人)是否可以對指定的服務(wù)進(jìn)行訪問。在某些應(yīng)用中�,信用證明可以采用用戶名和密碼的形式,這些用戶名和密碼由系統(tǒng)管理員提供給用戶和服務(wù)提供者����。當(dāng)用戶訪問一項(xiàng)服務(wù)時(shí),需要向服務(wù)提供者出示其用戶名和密碼��。然后服務(wù)提供者將對這份信用證明進(jìn)行檢驗(yàn)��,以確認(rèn)該用戶是所請求服務(wù)的授權(quán)用戶����。
在一個(gè)典型的數(shù)據(jù)網(wǎng)絡(luò)中,對數(shù)據(jù)網(wǎng)絡(luò)的訪問只向那些正確的加載在該網(wǎng)絡(luò)上的設(shè)備開放�����。作為這種加載的一部分�����,需要使用加密技術(shù)來確保只有授權(quán)了的設(shè)備才可以連接到網(wǎng)絡(luò)上��。通常來說�,加密技術(shù)可以包括一個(gè)或多個(gè)加密、解密��、認(rèn)證�����、簽名和校驗(yàn)過程�����。
例如��,網(wǎng)絡(luò)管理員可以在每臺授權(quán)連接到網(wǎng)絡(luò)上的設(shè)備上裝載一個(gè)或多個(gè)加密密鑰(以下用“密鑰”表示)。該網(wǎng)絡(luò)管理員還在連接到例如廣域網(wǎng)(“WAN”)上的網(wǎng)絡(luò)接入設(shè)備(例如����,路由器)上裝載相應(yīng)的密鑰。當(dāng)一臺設(shè)備試圖訪問網(wǎng)絡(luò)時(shí)�,網(wǎng)絡(luò)接入設(shè)備將檢驗(yàn)該設(shè)備是否裝載了正確的密鑰。一旦檢驗(yàn)通過�,網(wǎng)絡(luò)接入設(shè)備將允許請求設(shè)備對網(wǎng)絡(luò)進(jìn)行訪問。
在現(xiàn)實(shí)中��,向用戶使用某種服務(wù)進(jìn)行授權(quán)���,以及將設(shè)備加載到網(wǎng)絡(luò)上的過程可能會(huì)相對的繁瑣和耗時(shí)���。如上所述,這些操作相對來說都是通過手動(dòng)方式進(jìn)行的�����。然而分布式計(jì)算服務(wù)訪問正變得越來越普遍和可以支持訪問����。例如,無線計(jì)算網(wǎng)絡(luò)和手持設(shè)備的增長使得用戶可以使用多種設(shè)備訪問一個(gè)城市中的多種不同網(wǎng)絡(luò)��。因此,需要一種更高效的技術(shù)�����,使得用戶可以訪問加密服務(wù)��。
此外���,傳統(tǒng)的用于輸入信用證明或向設(shè)備裝載密鑰的方法,在某些情況下將存在安全隱患���。例如����,當(dāng)用戶使用計(jì)算設(shè)備訪問加密服務(wù)的時(shí)候�,首先需要將信用證明輸入到計(jì)算設(shè)備中。通常情況下����,這步操作是通過使用例如鍵盤等輸入設(shè)備來完成的。隨后�����,該計(jì)算設(shè)備將這些信用證明發(fā)送給服務(wù)提供者,由該服務(wù)提供者來確認(rèn)該用戶是否有權(quán)訪問其所請求的服務(wù)��。
這時(shí)�����,如果該計(jì)算設(shè)備被黑客控制����,或者感染了計(jì)算機(jī)病毒,那么非授權(quán)個(gè)人將有可能訪問到這些信用證明��。例如��,一臺個(gè)人計(jì)算機(jī)可以使用可信計(jì)算模塊(trusted computing module�,TPM)來控制對特定加密服務(wù)的訪問(例如,對加密數(shù)據(jù)文件或加密網(wǎng)絡(luò)的訪問)�����。這里���,在允許用戶訪問這些服務(wù)之前�,TMP會(huì)要求其輸入密碼或其他信用證明����。如果用戶使用鍵盤來輸入這些信息���,那么這些密碼可能在個(gè)人計(jì)算機(jī)內(nèi)通過一條不安全路徑從鍵盤路由到TPM。例如�,該鍵盤可能連接在一個(gè)USB端口上,并且使用驅(qū)動(dòng)程序來從USB總線向TPM傳輸數(shù)據(jù)���,該TPM可能,例如連接到個(gè)人計(jì)算機(jī)的南橋上��。然而����,黑客或病毒可以訪問由驅(qū)動(dòng)程序發(fā)送的或存儲(chǔ)在其上的數(shù)據(jù)。這樣一來��,非授權(quán)個(gè)人就可以獲取該密碼���,進(jìn)而訪問上述加密服務(wù)了����。
類似的��,使用在無線設(shè)備中的密鑰信息也將受到威脅。例如���,為加強(qiáng)兩個(gè)藍(lán)牙設(shè)備之間通信的安全性��,可能需要在每臺設(shè)備上裝載補(bǔ)充密鑰�。在某些應(yīng)用中�,密鑰通過藍(lán)牙網(wǎng)絡(luò)從一臺藍(lán)牙設(shè)備傳送給另一臺藍(lán)牙設(shè)備。但是���,非授權(quán)個(gè)人可以對包含密鑰的廣播藍(lán)牙信號進(jìn)行破譯�����。這樣一來���,非授權(quán)個(gè)人就可以獲取該密碼,進(jìn)而訪問加密服務(wù)��。
當(dāng)上述加密服務(wù)控制并提供對類似金融數(shù)據(jù)或個(gè)人信息的敏感數(shù)據(jù)的訪問時(shí)���,將可能導(dǎo)致更加嚴(yán)重的后果����。因此,需要一種更安全的技術(shù)��,來為加密服務(wù)提供更加安全的訪問��。
發(fā)明內(nèi)容
本發(fā)明涉及一種驗(yàn)證一個(gè)或多個(gè)用于以使用通信系統(tǒng)內(nèi)一個(gè)或多個(gè)設(shè)備的系統(tǒng)和方法����。為方便起見,根據(jù)本發(fā)明構(gòu)建的系統(tǒng)或?qū)崿F(xiàn)的方法���,其實(shí)施例在下文中簡稱為“實(shí)施例”����。
一方面���,本發(fā)明涉及對訪問由接入設(shè)備(例如計(jì)算設(shè)備)提供的或通過接入設(shè)備接入的服務(wù)的用戶進(jìn)行驗(yàn)證。例如��,所述用戶可訪問存儲(chǔ)在接入設(shè)備或遠(yuǎn)端計(jì)算設(shè)備上的數(shù)據(jù)���。所述用戶還可訪問運(yùn)行在所述接入設(shè)備或遠(yuǎn)端服務(wù)器上的應(yīng)用程序��。此外�,所述用戶還可通過所述接入設(shè)備獲得對數(shù)據(jù)網(wǎng)絡(luò)的訪問。
某些實(shí)施例中�����,需要在所述接入設(shè)備和服務(wù)提供者之間建立安全通信機(jī)制���。例如�,最初����,用戶可通過一種安全方式向所述接入設(shè)備提供信用證明。某些實(shí)施例中�����,包括將信用證明輸入到所述接入設(shè)備的安全邊界內(nèi)�。所述接入設(shè)備中的加密處理部件隨后對所述安全邊界內(nèi)的所述信用證明進(jìn)行加密和/或簽名。在此�����,所述簽名/加密的真實(shí)性將通過一個(gè)已發(fā)布的數(shù)字證書向第三方(例如��,服務(wù)提供者)進(jìn)行驗(yàn)證。所述接入設(shè)備隨后將簽名/加密后的信用證明提供給服務(wù)提供者��。
所述服務(wù)提供者將驗(yàn)證該信用證明由一特定接入設(shè)備產(chǎn)生�����。例如��,所述服務(wù)提供者的加密處理器將使用所述接入設(shè)備的公共密鑰詢問所述接入設(shè)備���,使其證明它確實(shí)具備對應(yīng)的私有密鑰����。此外�,因?yàn)樗龇?wù)提供者已經(jīng)進(jìn)訪問了所述公共密鑰的證書,所以必須確保所述接入設(shè)備具備密鑰保護(hù)機(jī)制�����,以及所述接入設(shè)備的私有密鑰不會(huì)泄漏到安全邊界的外部���。這樣一來就更加確保了提供給所述服務(wù)提供者的所述信用證明是來自一個(gè)特定和/或受信接入設(shè)備。
某些實(shí)施例中���,對來自用戶的信用證明的認(rèn)證可用來自動(dòng)為用戶建立網(wǎng)絡(luò)連接�。例如,用戶可向希望通過其來連接網(wǎng)絡(luò)的接入設(shè)備提供他的或她的信用證明����。這些信用證明隨后將提供給接入服務(wù)器,所述接入服務(wù)器能建立與所述接入設(shè)備之間的安全通信����。如上所述信用證明將進(jìn)行驗(yàn)證,確保所以接入服務(wù)器與所述接入設(shè)備建立安全通信所必須的密鑰以安全地發(fā)送給該接入設(shè)備����。例如,可使用所述信用證明來檢驗(yàn)所述接入設(shè)備是其所聲稱的那臺設(shè)備�,并且所述密鑰信息可以安全的發(fā)送、使用和存儲(chǔ)在所述接入設(shè)備中�。
用戶可通過向接入設(shè)備出示他的或她的信用證明來啟動(dòng)將額外的接入設(shè)備連接到網(wǎng)絡(luò)的過程。在這種情況下�,當(dāng)從每個(gè)接入設(shè)備接收到適當(dāng)?shù)恼J(rèn)證信息(例如,簽過名的信用證明)�,并對所述接入設(shè)備的身份證明進(jìn)行檢驗(yàn)之后,接入服務(wù)器將向每個(gè)這些接入設(shè)備提供與所述用戶相關(guān)聯(lián)的密鑰����。因此���,用戶可以很輕松的將接入設(shè)備連接到網(wǎng)絡(luò)上。此外�,這些操作將以一種非常安全的方式完成。
任何用戶都可以使用同一個(gè)或其他的接入設(shè)備來構(gòu)建他們自己的接入設(shè)備網(wǎng)絡(luò)�。這里,每個(gè)用戶將得到獨(dú)一無二的密鑰���,分配給該用戶的接入設(shè)備���。這樣一來,每個(gè)用戶的網(wǎng)絡(luò)將通過加密的方式區(qū)別于其他用戶的網(wǎng)絡(luò)�。
某些實(shí)施例中,輸入設(shè)備可通過加密處理部件結(jié)合在安全邊界內(nèi)��,使用戶將信用證明安全的輸入到接入設(shè)備中����。例如,這些部件相互連接�����,以保證部件之間傳送的數(shù)據(jù)不會(huì)通過不安全的介質(zhì)路由�,例如可能被非授權(quán)個(gè)人、設(shè)備或處理截獲的數(shù)據(jù)存儲(chǔ)器����、軟件棧或無線傳輸����。在某些應(yīng)用中,這可以通過將所述部件安裝到同一個(gè)集成電路(即芯片)上來完成��。
通過這種方式�,來自輸入設(shè)備的數(shù)據(jù)可安全的提供給所述接入設(shè)備的安全邊界,然后在該安全邊界內(nèi)對數(shù)據(jù)進(jìn)行加密��。這樣一來����,該數(shù)據(jù)將永遠(yuǎn)不會(huì)以明文(例如,未加密的)形式出現(xiàn)在安全邊界(例如�����,由芯片的物理邊界提供的邊界)外部的不安全路徑中����。
某些實(shí)施例中��,可以使用認(rèn)證來進(jìn)行檢驗(yàn)用戶是否正處于接入設(shè)備的旁邊����。例如����,只有在分配給用戶的無線令牌處于提供安全服務(wù)接入的接入設(shè)備旁邊時(shí),才會(huì)向授權(quán)用戶提供服務(wù)接入����。通過這種方式,可以進(jìn)行如下合理假設(shè)所述授權(quán)用戶實(shí)際上正在使用特定的接入設(shè)備請求服務(wù)����。
某些實(shí)施例中,用戶的信用證明存儲(chǔ)在一個(gè)RFID令牌上��,并且在接入設(shè)備的安全邊界內(nèi)包含一個(gè)REID讀取器���。通過這種方式�����,可以將信用證明直接傳送給安全邊界�����,而不必通過軟件消息或應(yīng)用程序在所述接入設(shè)備中傳送����。這樣一來���,所述信用證明就不會(huì)被所述接入系統(tǒng)上的威脅軟件執(zhí)行的黑客或計(jì)算機(jī)病毒破譯����。
某些實(shí)施例中�,輸入設(shè)備可包括例如指紋識別器之類的生物傳感器。在這種情況下����,信用證明可包含生物信息(例如,掃描的指紋)��。
某些實(shí)施例中���,根據(jù)本發(fā)明構(gòu)建的系統(tǒng)包括有線和/或無線網(wǎng)絡(luò)���,其中��,接入設(shè)備包括安全邊界內(nèi)的RFID讀取器和加密處理��。用戶通過將其RFID令牌放置在接入設(shè)備的旁邊����,就可以使用該設(shè)備中的任何一個(gè)來訪問網(wǎng)絡(luò)��。這使得信用證明可安全的傳送給用于接入網(wǎng)絡(luò)的接入服務(wù)器����。隨后,所述接入服務(wù)器將與該用戶相關(guān)聯(lián)的密鑰提供給每臺接收該用戶提供的信用證明的接入設(shè)備���。通過這種方式��,該用戶可被自動(dòng)認(rèn)證以使用這些接入設(shè)備中的任何一個(gè)訪問網(wǎng)絡(luò)��。
根據(jù)本發(fā)明的一個(gè)方面��,提出一種通信方法�,包括向多個(gè)接入設(shè)備認(rèn)證至少一個(gè)用戶���;建立包括有所述接入設(shè)備的至少一個(gè)網(wǎng)絡(luò)��。
優(yōu)選地�����,所述認(rèn)證包括向所述接入設(shè)備提供至少一個(gè)信用證明����。
優(yōu)選地���,所述方法進(jìn)一步包括對所述至少一個(gè)信用證明進(jìn)行密碼簽名���。
優(yōu)選地,所述方法進(jìn)一步包括使用數(shù)字證書以對所述至少一個(gè)簽名后的信用證明進(jìn)行認(rèn)證����。
優(yōu)選地,所述方法進(jìn)一步包括使用數(shù)字證書來驗(yàn)證與至少一個(gè)所述接入設(shè)備相關(guān)的安全性�。
優(yōu)選地,所述方法進(jìn)一步包括使用數(shù)字證書來驗(yàn)證所述至少一個(gè)用戶與至少一個(gè)所述接入設(shè)備是否接近�。
優(yōu)選地,所述方法進(jìn)一步包括驗(yàn)證所述至少一個(gè)信用證明與一個(gè)授權(quán)用戶有關(guān)���。
優(yōu)選地���,所述方法進(jìn)一步包括響應(yīng)所述至少一個(gè)信用證明與一個(gè)授權(quán)用戶有關(guān)的驗(yàn)證結(jié)果���,向所述接入設(shè)備提供至少一個(gè)密鑰。
優(yōu)選地��,所述驗(yàn)證包括將所述至少一個(gè)信用證明與至少一個(gè)登記的信用證明進(jìn)行比較��。
優(yōu)選地��,所述建立至少一個(gè)網(wǎng)絡(luò)包括向所述接入設(shè)備提供至少一個(gè)密鑰���。
優(yōu)選地�����,所述建立至少一個(gè)網(wǎng)絡(luò)包括使用所述至少一個(gè)密鑰將所述接入設(shè)備連接到所述網(wǎng)絡(luò)上�����。
優(yōu)選地���,所述方法進(jìn)一步包括依據(jù)向所述接入設(shè)備的至少一部分認(rèn)證所述至少一個(gè)用戶中的一個(gè)用戶的認(rèn)證結(jié)果�����,自動(dòng)將所述至少一部分接入設(shè)備組合到一起�����。
根據(jù)本發(fā)明的一個(gè)方面�����,提出一種通信方法�����,包括向多個(gè)接入設(shè)備認(rèn)證多個(gè)用戶;建立包括有所述接入設(shè)備的多個(gè)網(wǎng)絡(luò)����。
優(yōu)選地,所述網(wǎng)絡(luò)分別加密�����。
優(yōu)選地��,所述方法進(jìn)一步包括為所述用戶登記信用證明。
優(yōu)選地��,所述認(rèn)證包括向所述接入設(shè)備提供至少一個(gè)所述信用證明�。
優(yōu)選地,所述方法進(jìn)一步包括對所述至少一個(gè)信用證明進(jìn)行密碼簽名�����。
優(yōu)選地,所述方法進(jìn)一步包括使用數(shù)字證書對所述至少一個(gè)簽名的信用證明進(jìn)行認(rèn)證�����。
優(yōu)選地��,所述建立網(wǎng)絡(luò)包括向所述接入設(shè)備提供多個(gè)密鑰���。
優(yōu)選地����,每個(gè)所述密鑰與一個(gè)所述用戶相關(guān)聯(lián)�����。
優(yōu)選地�,所述建立網(wǎng)絡(luò)包括使用所述密鑰將所述接入設(shè)備連接到網(wǎng)絡(luò)上���。
優(yōu)選地��,每個(gè)所述網(wǎng)絡(luò)與一個(gè)所述用戶相關(guān)聯(lián)。
優(yōu)選地�,所述方法進(jìn)一步包括依據(jù)向所述接入設(shè)備的至少一部分認(rèn)證所述至少一個(gè)用戶中的一個(gè)用戶的認(rèn)證結(jié)果���,自動(dòng)將所述至少一部分接入設(shè)備組合到一起�。
根據(jù)本發(fā)明的一個(gè)方面,提出一種向設(shè)備認(rèn)證用戶的方法�,包括定義與一個(gè)接入設(shè)備相關(guān)聯(lián)的安全邊界���;直接向所述安全邊界內(nèi)提供至少一個(gè)信用證明����,以向所述接入設(shè)備認(rèn)證一個(gè)用戶。
優(yōu)選地����,所述安全邊界包括一個(gè)密鑰管理邊界�����。
優(yōu)選地��,所述提供包括將包括所述至少一個(gè)信用證明的至少一個(gè)RFID信號接收入所述所述安全邊界內(nèi)���。
優(yōu)選地,所述至少一個(gè)信用證明包括生物信息����。
優(yōu)選地����,所述提供包包括將包括有生物信號的至少一個(gè)信號接收入所述安全邊界內(nèi)�。
優(yōu)選地���,所述提供包括將包括有指紋信號的至少一個(gè)信號接收入所述安全邊界內(nèi)�。
優(yōu)選地����,所述提供包括通過一個(gè)傳感器在所述安全邊界內(nèi)的生成至少一個(gè)信號。
優(yōu)選地��,所述提供包括通過一個(gè)指紋讀取器在所述安全邊界內(nèi)生成至少一個(gè)信號����。
優(yōu)選地��,所述安全邊界由一塊集成電路定義���。
優(yōu)選地���,所述安全邊界通過對數(shù)據(jù)進(jìn)行加密實(shí)現(xiàn)�。
根據(jù)本發(fā)明的一個(gè)方面�����,提出一種用于訪問服務(wù)的方法�,包括接收與用戶相關(guān)聯(lián)的信用證明���;對所述信用證明進(jìn)行認(rèn)證����;將所述認(rèn)證后的信用證明提供給服務(wù)提供者�����;響應(yīng)所述認(rèn)證后的信用證明����,接收來自服務(wù)提供者的至少一個(gè)密鑰��;使用所述至少一個(gè)密鑰對服務(wù)進(jìn)行訪問��。
優(yōu)選地���,所述方法進(jìn)一步包括建立一個(gè)安全邊界�,用于接收所述信用證明��。
優(yōu)選地��,所述方法進(jìn)一步包括建立一個(gè)安全邊界���,用于認(rèn)證所述信用證明。
優(yōu)選地,所述認(rèn)證包括對所述信用證明進(jìn)行密碼簽名��。
優(yōu)選地��,所述認(rèn)證包括對所述信用證明進(jìn)行加密���。
根據(jù)本發(fā)明的一個(gè)方面��,提出一種通信系統(tǒng),包括
多個(gè)接入設(shè)備����,用于接收認(rèn)證信息,每個(gè)接入設(shè)備包括至少一個(gè)用于對認(rèn)證信息進(jìn)行簽名的加密處理器���;一個(gè)接入服務(wù)器���,用于接收所述簽名的認(rèn)證信息,所述接入服務(wù)器包括至少一個(gè)加密處理器以為所述接入設(shè)備生成至少一個(gè)密鑰����,所述接入服務(wù)器依據(jù)所述簽名的認(rèn)證信息向所述接入設(shè)備提供所述至少一個(gè)密鑰����。
優(yōu)選地�����,所述認(rèn)證信息包括至少一個(gè)信用證明���。
優(yōu)選地����,所述接入服務(wù)器的至少一個(gè)加密處理器接收一個(gè)數(shù)字證書以對所述認(rèn)證信息進(jìn)行認(rèn)證�����。
優(yōu)選地��,所述接入服務(wù)器驗(yàn)證所述認(rèn)證信息是否與一個(gè)授權(quán)用戶相關(guān)聯(lián)�。
優(yōu)選地,所述接入服務(wù)器響應(yīng)所述認(rèn)證信息是否與一個(gè)授權(quán)用戶相關(guān)聯(lián)的驗(yàn)證結(jié)果����,向所述接入設(shè)備提供至少一個(gè)密鑰�。
優(yōu)選地,所述驗(yàn)證包括將所述認(rèn)證信息與至少一個(gè)登記的信用證明進(jìn)行比較��。
優(yōu)選地����,每個(gè)接入設(shè)備包括一個(gè)安全邊界���。
優(yōu)選地���,所述接入服務(wù)器包括一個(gè)安全邊界�����。
優(yōu)選地���,所述接入服務(wù)器的至少一個(gè)加密處理器為所述接入設(shè)備生成多個(gè)密鑰��,并且所述接入服務(wù)器依據(jù)與多個(gè)用戶相關(guān)聯(lián)的簽名認(rèn)證信息,提供所述密鑰來選擇一個(gè)所述接入設(shè)備�����。
根據(jù)本發(fā)明的一個(gè)方面���,提出一種接入設(shè)備�����,包括安全邊界內(nèi)的至少一個(gè)加密處理器��;至少一個(gè)輸入設(shè)備,用于直接向所述安全邊界內(nèi)提供認(rèn)證信號��。
優(yōu)選地���,所述至少一個(gè)輸入設(shè)備包括一個(gè)RFID讀取器���。
優(yōu)選地�,所述至少一個(gè)輸入設(shè)備包括一個(gè)傳感器����。
優(yōu)選地���,所述至少一個(gè)輸入設(shè)備包括一個(gè)生物傳感器��。
優(yōu)選地��,所述至少一個(gè)輸入設(shè)備包括一個(gè)指紋讀取器���。
優(yōu)選地�����,所述至少一個(gè)輸入設(shè)備包括一個(gè)鍵盤����。
優(yōu)選地���,所述至少一個(gè)輸入設(shè)備和所述至少一個(gè)加密處理器內(nèi)置于一個(gè)共同的集成電路內(nèi)��。
優(yōu)選地�,所述至少一個(gè)輸入設(shè)備包括一個(gè)傳感器���。
優(yōu)選地��,所述至少一個(gè)輸入設(shè)備包括一個(gè)指紋讀取器�。
優(yōu)選地��,所述至少一個(gè)輸入設(shè)備包括一個(gè)RFID讀取器�����。
下面將結(jié)合附圖及實(shí)施例對本發(fā)明作進(jìn)一步說明��,附圖中圖1是根據(jù)本發(fā)明的用戶認(rèn)證系統(tǒng)的一個(gè)實(shí)施例的方框示意圖�����;圖2是根據(jù)本發(fā)明執(zhí)行的用戶認(rèn)證操作的一個(gè)實(shí)施例的流程圖����;圖3是根據(jù)本發(fā)明的用戶認(rèn)證系統(tǒng)的一個(gè)實(shí)施例的方框示意圖;圖4是根據(jù)本發(fā)明執(zhí)行的用戶認(rèn)證操作的一個(gè)實(shí)施例的流程圖;圖5是根據(jù)本發(fā)明的基于鄰近技術(shù)的認(rèn)證系統(tǒng)的一個(gè)實(shí)施例的方框示意圖�����;圖6是根據(jù)本發(fā)明執(zhí)行的基于鄰近技術(shù)認(rèn)證操作的一個(gè)實(shí)施例的流程圖�����;圖7是根據(jù)本發(fā)明的接入設(shè)備的一個(gè)實(shí)施例的方框示意圖�����;圖8是根據(jù)本發(fā)明的處理系統(tǒng)的一個(gè)實(shí)施例的方框示意圖�;圖9是根據(jù)本發(fā)明的安全模塊的一個(gè)實(shí)施例的方框示意圖;圖10是根據(jù)本發(fā)明執(zhí)行的操作的一個(gè)實(shí)施例的流程圖�����;圖11是根據(jù)本發(fā)明的安全模塊的一個(gè)實(shí)施例的簡化框圖����;圖12是根據(jù)本發(fā)明執(zhí)行的操作的一個(gè)實(shí)施例的流程圖。
依據(jù)日常實(shí)踐���,附圖中描述的多種特征并未按比例進(jìn)行描述����。因此,為清晰起見�����,對本發(fā)明的各種特征進(jìn)行描述的圖例可明顯的放大或縮小����。此外����,為清晰起見,某些附圖進(jìn)行了簡化��。因此���,某些附圖并未對指定設(shè)備或方法的所有部件都進(jìn)行了描述�。此外�����,在整個(gè)說明書和附圖中�����,相同的標(biāo)號數(shù)字表示相同的特征。
具體實(shí)施例方式
以下將結(jié)合具體實(shí)施例對本發(fā)明進(jìn)行詳細(xì)描述��。很明顯����,本發(fā)明可以多種形式實(shí)現(xiàn),其中的一些可能與下文中公開的實(shí)施例截然不同�����。因此�,本申請中公開的具體結(jié)構(gòu)和功能特征僅僅是為了對本發(fā)明進(jìn)行描述而列舉的例子,不是對本發(fā)明范圍的限制�。
一方面,本發(fā)明涉及一種提供用戶級認(rèn)證的系統(tǒng)和方法����。例如,這里描述了向設(shè)備認(rèn)證用戶的各種技術(shù)�。此外,這里還描述了向設(shè)備認(rèn)證用戶以使其能接入數(shù)據(jù)網(wǎng)絡(luò)的各種技術(shù)��。
在傳統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)中����,使用設(shè)備級認(rèn)證來確保只有授權(quán)設(shè)備才允許連接到網(wǎng)絡(luò)�����。本申請中�,使用加密技術(shù)來對一臺設(shè)備進(jìn)行認(rèn)證�,以證實(shí)這臺試圖連接到網(wǎng)絡(luò)的設(shè)備就是其所聲稱的那臺設(shè)備,并且是該網(wǎng)絡(luò)的授權(quán)用戶����。例如�����,設(shè)備一般通過像路由器這樣的接入點(diǎn)連接到網(wǎng)絡(luò)�����。這樣的話���,向路由器和授權(quán)設(shè)備提供一致的加密密鑰���,使得這些設(shè)備可以執(zhí)行加密操作�����,用來提供所期望的認(rèn)證�����。在這種網(wǎng)絡(luò)中��,必須提供一種安全機(jī)制以向所有可能連接到網(wǎng)絡(luò)的設(shè)備安全的分配密鑰��。傳統(tǒng)的做法是�����,由用戶或管理員手動(dòng)地將密鑰加載到這些設(shè)備上(例如����,通過鍵盤或軟件程序)�。
這種設(shè)備級認(rèn)證有許多的缺點(diǎn)。例如���,它不能驗(yàn)證到底是哪個(gè)用戶正在使用該設(shè)備����。此外,當(dāng)多個(gè)用戶使用同一臺設(shè)備的時(shí)候���,沒有一種有效的機(jī)制以確定應(yīng)該使用哪個(gè)驗(yàn)證信息(例如�,密碼證書)來對系統(tǒng)進(jìn)行認(rèn)證�。
圖1所示為根據(jù)本發(fā)明的一個(gè)實(shí)施例的系統(tǒng)100,該系統(tǒng)中����,一個(gè)和多個(gè)用戶(圖中未標(biāo)出)可以通過接入服務(wù)器106使用一臺或多臺接入設(shè)備102和104來訪問服務(wù)130(例如,連接到數(shù)據(jù)網(wǎng)絡(luò))�。例如,若要訪問某服務(wù)�����,用戶需首先向接入設(shè)備102出示認(rèn)證信息(例如信用證明108�,例如密碼)�����。為方便起見�,術(shù)語“信用證明”可用于代表用戶為進(jìn)行認(rèn)證所出示的任何信息。
接入設(shè)備102可包括一個(gè)安全模塊����,用于提供加密處理��,并可結(jié)合使用其他的安全機(jī)制����。例如���,安全模塊可包括一個(gè)或多個(gè)加密處理器128�,用于執(zhí)行加密操作�,包括加密、解密���、認(rèn)證��、驗(yàn)證和簽名�。使用該安全模塊����,接入設(shè)備102可對從用戶接收到的信用證明進(jìn)行認(rèn)證,并安全地將它們傳送給接入服務(wù)器106中的密鑰管理器110��。
密鑰管理器110提供了一種安全的環(huán)境,用于生成��、分配和維護(hù)在系統(tǒng)中使用的密鑰��。該密鑰管理器包括一個(gè)或多個(gè)加密處理器124����,用于安全的執(zhí)行加密操作,包括加密�����、解密���、認(rèn)證等��。該密鑰管理器還包括一個(gè)安全數(shù)據(jù)存儲(chǔ)器122�,用于通過一種防止密鑰被非授權(quán)個(gè)人或方法訪問的方式來存儲(chǔ)密鑰126����。
為提供安全處理和密鑰存儲(chǔ)��,提供了一個(gè)與該密鑰管理器相關(guān)聯(lián)的安全邊界����,并由該密鑰管理器實(shí)施���。該安全邊界可使用硬件和/或加密技術(shù)來建立。
用于提供安全邊界的硬件技術(shù)可包括�,例如將所涉及的部件安裝在單個(gè)集成電路中。此外��,通過使用例如環(huán)氧封裝等防拆封和/或防篡改技術(shù)可以從物理結(jié)構(gòu)上對一個(gè)或多個(gè)集成電路提供保護(hù)�。
用于建立安全邊界的加密技術(shù)可包括,例如在任何敏感數(shù)據(jù)離開密鑰管理器之前對其進(jìn)行加密���。出于此目的���,該密鑰管理器可使用一個(gè)或多個(gè)加密處理器124,并將相關(guān)的加密/解密密鑰126存儲(chǔ)在一個(gè)內(nèi)部的安全數(shù)據(jù)存儲(chǔ)器122中����。
為維護(hù)系統(tǒng)100的安全性,由密鑰管理器分發(fā)給系統(tǒng)中其他部件的任何密鑰都需要得到足夠的保護(hù)���。例如�����,制定相關(guān)規(guī)定以保證密鑰只發(fā)送給相關(guān)的授權(quán)設(shè)備�����。此外�����,制定相關(guān)規(guī)定以對處于分發(fā)階段和接收設(shè)備中的密鑰進(jìn)行保護(hù)����。
某些實(shí)施例中,接入設(shè)備102包括一個(gè)或多個(gè)加密處理器128和從接入設(shè)備102發(fā)往接入服務(wù)器106的用于認(rèn)證信息的密鑰(例如����,密鑰114),用來加強(qiáng)發(fā)往接入設(shè)備102的密鑰的安全傳輸��,并為接入設(shè)備102使用的密鑰提供保護(hù)�����。
例如��,通過使用數(shù)字證書和其他的加密處理��,接入設(shè)備102可向接入服務(wù)器106提供強(qiáng)大的認(rèn)證�,以保證發(fā)往接入服務(wù)器106的信用證明是來自使用特定接入設(shè)備的用戶。此外�,這些處理還可用于驗(yàn)證接入設(shè)備102是否為密鑰信息提供了高級保護(hù)。
一旦認(rèn)證信息被提交給接入服務(wù)器106���,密鑰管理器110會(huì)將密鑰安全的分發(fā)給接入設(shè)備102����,使得用戶可以訪問所期望的服務(wù)����。例如,密鑰管理器會(huì)將密鑰發(fā)給接入設(shè)備���,使得該接入設(shè)備可以連接到數(shù)據(jù)網(wǎng)絡(luò)���。
圖1中所示的實(shí)施例提供了一種有效的機(jī)制,使得用戶可使用多種接入設(shè)備來獲得對網(wǎng)絡(luò)的訪問���。用戶首先需向每臺設(shè)備認(rèn)證其自己�。隨后��,通過向每臺設(shè)備分發(fā)必要的密鑰,接入服務(wù)器自動(dòng)的建立起相應(yīng)網(wǎng)絡(luò)�。正如這里所描述的那樣,這個(gè)過程可在具有高級安全性的環(huán)境中完成�����。此外���,因?yàn)樗鼋尤敕?wù)器向每臺設(shè)備分配了適當(dāng)?shù)拿荑€�����,所以密鑰信息不必提供給用戶���。而且,用戶也不必向其在網(wǎng)絡(luò)中使用的每臺接入設(shè)備出示數(shù)字證書�。
系統(tǒng)100的操作將在下面結(jié)合圖2中的流程圖進(jìn)行詳細(xì)的解釋。如模塊202所示���,可生成一個(gè)或多個(gè)密鑰以使接入設(shè)備安全地與接入服務(wù)器通信���。某些實(shí)施例中,這一過程通過使用非對稱密鑰來實(shí)現(xiàn)���。
例如��,可向每臺接入設(shè)備提供唯一的非對稱身份密鑰114����。該非對稱密鑰的私有密鑰部分將存儲(chǔ)在所述接入設(shè)備的安全邊界(如虛線部分112所示)內(nèi)���。例如�����,加密處理器128可在該安全邊界內(nèi)生成密鑰����,并且該密鑰的私有部分將永遠(yuǎn)不允許以明文(例如��,未加密)的方式出現(xiàn)在安全邊界112的外部�����。下面將對安全邊界的其他細(xì)節(jié)進(jìn)行描述�����。
該密鑰的公共部分將與數(shù)字證書一起發(fā)布。例如�����,接入設(shè)備的制造商可在公共的可訪問服務(wù)器上發(fā)布該公共密鑰和數(shù)字證書�����。數(shù)字證書的作用是驗(yàn)證如下內(nèi)容公共密鑰是真實(shí)的�,私有密鑰并未泄漏在安全邊界的外部,持有私有密鑰的接入設(shè)備提供了一種安全的機(jī)制以接收��、使用和維護(hù)密鑰�����。因此�����,該數(shù)字證書可用來為由持有相應(yīng)私有密鑰的接入設(shè)備所提供的任何信息的真實(shí)性提供功能強(qiáng)大的驗(yàn)證�。
某些實(shí)施例中,接入設(shè)備和接入服務(wù)器可使用非對稱密鑰來協(xié)商一個(gè)或多個(gè)其他的密鑰�����,用來進(jìn)行加密處理。例如�����,可使用這些其他的密鑰對在這些部件之間傳送的信息進(jìn)行加密�、解密和簽名等。通過這種方式����,可在接入設(shè)備和接入服務(wù)器之間建立一條安全通道(如虛線部分116所示)�����。這就是說���,每個(gè)部件將可以得到一個(gè)或多個(gè)密鑰�����,使得他們可以對來自其他部件的加密信息進(jìn)行解密��。通過這種方式���,敏感數(shù)據(jù)(例如��,密鑰)可以在不安全的鏈路118上進(jìn)行安全的傳送�。
現(xiàn)在來看模塊204���,為使接入服務(wù)器能夠識別分配給指定用戶的信用證明����,所述身份證明需要在接入服務(wù)器中登記(例如����,輸入)。這可以通過使用�,例如信用證明登記機(jī)制120來完成。某些實(shí)施例中����,信用證明登記機(jī)制可包括一個(gè)鍵盤和服務(wù)器的監(jiān)控臺。某些實(shí)施例中�����,信用證明登記機(jī)制120可以位于與密鑰管理器110相關(guān)聯(lián)并由其進(jìn)行加強(qiáng)的安全邊界內(nèi)�。例如,信用證明登記機(jī)制120可包括一個(gè)物理上與密鑰管理器連接的鍵盤,一個(gè)RFID讀取器�����,一個(gè)生物傳感器等�。這些部件的其他細(xì)節(jié)將在下面進(jìn)行描述。
信用證明登記機(jī)制120向密鑰管理器110提供所述信用證明信息��,隨后密鑰管理器110將生成一個(gè)或多個(gè)與該信用證明相關(guān)聯(lián)的密鑰����。這些密鑰包括,例如SSL或IPSEC密鑰/安全關(guān)聯(lián)���,使用戶可以登錄到加密網(wǎng)絡(luò)上。隨后�����,該密鑰管理器將維護(hù)一個(gè)數(shù)據(jù)庫�,該數(shù)據(jù)庫將每個(gè)授權(quán)用戶的信用證明(例如,信用證明A)與為該用戶生成的密鑰和證書(例如�����,密鑰A)關(guān)聯(lián)起來。
所述信用證明和與其相關(guān)的密鑰可存儲(chǔ)在安全數(shù)據(jù)存儲(chǔ)器122中�。某些實(shí)施例中,數(shù)據(jù)存儲(chǔ)器122可以在密鑰管理器110的物理安全邊界內(nèi)得到保護(hù)���。例如��,數(shù)據(jù)庫122可位于一個(gè)安全封裝內(nèi)和/或跟密鑰管理器位于同一集成電路上��。某些實(shí)施例中���,數(shù)據(jù)存儲(chǔ)器122還可以位于密鑰管理器的外部。但是�����,在這種情況下����,密鑰管理器需要在將密鑰存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器之前對其進(jìn)行加密。
現(xiàn)在來看模塊206��,當(dāng)用戶想通過接入設(shè)備102對服務(wù)進(jìn)行訪問的時(shí)候���,該用戶需向該接入設(shè)備出示其信用證明�。某些實(shí)施例中,信用證明108可通過例如接入設(shè)備提供的鍵盤和顯示器來提供給該接入設(shè)備�����。
某些實(shí)施例中��,信用證明可通過一條直接通往所述接入設(shè)備安全邊界的路徑提供給所述接入設(shè)備���。例如���,在接入設(shè)備104中,信用證明132可直接輸入(如虛線部分134所示)到位于安全邊界136內(nèi)的設(shè)備中����。這可以通過使用一個(gè)在物理上結(jié)合到安全邊界136內(nèi)一個(gè)部件上的鍵盤、一個(gè)RFID讀取器���、一個(gè)生物傳感器等來完成。這些部件的其他細(xì)節(jié)將在下面進(jìn)行描述����。
現(xiàn)在來看模塊208,接入設(shè)備102通過上述安全通道116向接入服務(wù)器106傳送信用證明108����。例如���,加密處理器128可使用從與接入服務(wù)器106的上述協(xié)商結(jié)果中獲得的密鑰,對所述信用證明進(jìn)行加密����。一般來說,加密處理器128使用這樣的密鑰或私有密鑰114對所述信用證明進(jìn)行簽名�����。
在模塊210�,接入服務(wù)器106中的加密處理器124對加密的/簽名的信用證明進(jìn)行處理。通過這一加密處理�,接入服務(wù)器獲得了對所述信用證明確實(shí)是來自一個(gè)正在使用特定接入設(shè)備102的用戶這一事實(shí)的充分認(rèn)證。此外���,還可以通過數(shù)字證書確保用戶輸入信用證明時(shí)使用的輸入設(shè)備(例如���,鍵盤、傳感器和RFID部件等)是與該接入設(shè)備組合在一起的���。
隨后����,接入服務(wù)器106檢查信用證明數(shù)據(jù)庫以驗(yàn)證所述信用證明是與一個(gè)授權(quán)用戶相關(guān)聯(lián)的。例如����,接入服務(wù)器會(huì)確定該信用證明是否與存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器122中的信用證明(例如,信用證明A)相匹配���。
如果結(jié)果相匹配���,那么接入服務(wù)器106會(huì)生成或從數(shù)據(jù)庫中獲取對應(yīng)于所述信用證明的密鑰(例如,密鑰A)���。隨后��,所述接入服務(wù)器將該密鑰傳送給接入設(shè)備102(模塊212)��。一般�����,為了對傳輸過程中的密鑰提供保護(hù),加密處理器124將對其進(jìn)行加密��。這里,加密處理器可使用協(xié)商的密鑰或與私有密鑰114相對應(yīng)的公共密鑰對密鑰A進(jìn)行加密�����。
一旦接入設(shè)備102接收到加密的密鑰A��,加密處理器128隨即對該密鑰進(jìn)行解密��,并將解密后的密鑰A 140存儲(chǔ)在安全邊界112內(nèi)�����。這里���,加密處理器128可使用一個(gè)協(xié)商的密鑰或私有密鑰114來對密鑰A進(jìn)行解密�����。隨后,接入設(shè)備102使用密鑰A 140來建立到網(wǎng)絡(luò)(模塊214)的連接���。
如果有必要的話,該用戶還可在隨后使用另一個(gè)接入設(shè)備(例如,接入設(shè)備104)來訪問網(wǎng)絡(luò)。這時(shí)��,該用戶會(huì)再一次向接入設(shè)備104出示其信用證明(例如跟上面一樣的信用證明)。隨后,加密處理器142對所述信用證明進(jìn)行加密/簽名,并將它們通過不安全鏈路148上的安全通道146傳送給接入服務(wù)器。非對稱身份密鑰144會(huì)再一次被用于建立所述安全通道146,形成數(shù)字證書的基礎(chǔ),以及對信用證明進(jìn)行簽名等。隨后,接入服務(wù)器106會(huì)驗(yàn)證該信用證明��。這里����,因?yàn)榻尤敕?wù)器收到了相同的信用證明�����,它就會(huì)假設(shè)是同一用戶在向接入設(shè)備104進(jìn)行認(rèn)證。因此����,接入服務(wù)器會(huì)通過所述安全信道146將相同的密鑰(例如,密鑰A)發(fā)送給接入設(shè)備104��,從而將這些接入設(shè)備組合到一起��。加密處理器142對加密密鑰A進(jìn)行解密�,并將解密后的密鑰A 150存儲(chǔ)在安全邊界內(nèi)����。隨后�,接入設(shè)備104使用密鑰A來連接網(wǎng)絡(luò)或訪問另一服務(wù)。
此外�����,可以將不只一組的信用證明出示給指定的接入設(shè)備以訪問網(wǎng)絡(luò)�。例如,分別分配了不同信用證明的多個(gè)用戶可共享一臺接入設(shè)備�。此外,在訪問例如個(gè)人服務(wù)或雇主服務(wù)等不同的服務(wù)時(shí)����,同一用戶可能會(huì)使用不同的信用證明。因此�����,可在接入服務(wù)器數(shù)據(jù)庫中存儲(chǔ)另一組信用證明�����,并與一個(gè)唯一的密鑰(例如,密鑰B)相關(guān)聯(lián)�。當(dāng)向接入設(shè)備104出示這些其他的信用證明時(shí),密鑰B將通過上述安全技術(shù)提供給接入設(shè)備104���。因此�����,接入設(shè)備可使用密鑰B 150來建立一條單獨(dú)的連接網(wǎng)絡(luò)的加密安全連接。
本發(fā)明的這些方面將結(jié)合圖3和4進(jìn)行更詳細(xì)的描述�����。圖3是可支持多種通信和數(shù)據(jù)處理設(shè)備的網(wǎng)絡(luò)系統(tǒng)的一個(gè)實(shí)施例的方框示意圖�����。
在圖3中����,接入設(shè)備通過接入點(diǎn)(例如,一臺路由器)304連接到例如Internet的廣域網(wǎng)(“WAN”)302�����。這里,該接入點(diǎn)用作上述的接入服務(wù)器���?��?蛇x擇地,接入點(diǎn)304還可以連接到一臺接入服務(wù)器(未標(biāo)出)�,這樣一來,當(dāng)在接入服務(wù)器和接入設(shè)備之間傳送時(shí)�,信用證明和密鑰將通過該接入點(diǎn)。在這兩種情況下�����,系統(tǒng)所有授權(quán)用戶的信用證明可在該接入服務(wù)器中登記��。
接入點(diǎn)304可為有線或無線設(shè)備提供連接��。例如���,網(wǎng)絡(luò)打印機(jī)312可通過如實(shí)線部分306表示的有線連接連接到該接入點(diǎn)上�����?��;谝蛱鼐W(wǎng)協(xié)議的語音(“VoIP”)電話314也可以通過如實(shí)線部分308表示的有線連接連接到該接入點(diǎn)上����。
其它設(shè)備可通過例如曲線310表示的射頻(“RF”)信號連接到該接入點(diǎn)上�。這里,接入點(diǎn)304可支持例如藍(lán)牙�����、802.11和GSM等無線標(biāo)準(zhǔn)����。
接入設(shè)備可以是支持藍(lán)牙協(xié)議的VoIP電話314�,支持802.11和/或藍(lán)牙的筆記本電腦316,支持802.11和/或藍(lán)牙的個(gè)人數(shù)字助理(“PDA”)318�,支持例如GSM的蜂窩電話,個(gè)人娛樂設(shè)備320�,支持GSM/802.11以及可以通過藍(lán)牙與外圍設(shè)備例如無線手持機(jī)324通信的電話322,支持802.11無線連接以及可以與無線外圍設(shè)備例如支持藍(lán)牙的鍵盤328和鼠標(biāo)330通信的個(gè)人計(jì)算機(jī)326�。
正如這里所描述的,設(shè)備312-330中的每一臺都可以包括一個(gè)安全模塊(未標(biāo)出)�����,使上述設(shè)備可以更安全有效的接收任何連接數(shù)據(jù)網(wǎng)絡(luò)302和/或其他設(shè)備所必須的任何密鑰。在后一種情況下����,例如,密鑰可以在設(shè)備之間安全的發(fā)放�,以使外圍設(shè)備(例如,鍵盤328)可以與基礎(chǔ)設(shè)備(例如�,計(jì)算機(jī)326)安全的通信。因此�����,用戶僅需要向該設(shè)備出示其信用證明���,就可以將任何這些設(shè)備連接到網(wǎng)絡(luò)或其他設(shè)備上���。在外圍設(shè)備(例如,鍵盤328)的情況下�����,信用證明將首先通過基礎(chǔ)設(shè)備(例如�����,計(jì)算機(jī)326),隨后路由到接入服務(wù)器304����。
應(yīng)用于這些設(shè)備中的認(rèn)證部件和處理的其他細(xì)節(jié)將在下面進(jìn)行描述。例如��,向接入設(shè)備或接入服務(wù)器提供信用證明的幾個(gè)實(shí)施例在下面結(jié)合圖5-圖8進(jìn)行描述��。此外�����,安全模塊的幾個(gè)實(shí)施例也在下面結(jié)合圖9-圖12進(jìn)行描述�。
圖4所示為一個(gè)網(wǎng)絡(luò)系統(tǒng)(例如,如圖3所示)中執(zhí)行的操作的流程圖��。例如�,這樣的一個(gè)系統(tǒng)可以包括多個(gè)接入設(shè)備����,并支持多用戶和多級別信用證明。通常情況下��,這些操作可以結(jié)合圖1和圖2來執(zhí)行�����。為方便起見,圖4或下面的描述并未涵蓋處理過程中的所有操作�����。
如步驟402所示�����,用戶(簡稱“用戶A”)的一個(gè)信用證明登記在所述接入服務(wù)器中��。在步驟404�����,用戶A向一臺接入設(shè)備(簡稱“接入設(shè)備1”)出示其信用證明��。接入設(shè)備1將該信用證明發(fā)送給接入服務(wù)器��,在接入服務(wù)器驗(yàn)證該信用證明已經(jīng)登記之后��,將相關(guān)聯(lián)的密鑰發(fā)送給接入設(shè)備1(步驟406)��。隨后���,接入設(shè)備1使用與用戶A關(guān)聯(lián)的密鑰來連接到網(wǎng)絡(luò)(步驟408)��。
如步驟410-步驟414中所示���,當(dāng)用戶向系統(tǒng)中的多個(gè)接入設(shè)備出示其信用證明后�,網(wǎng)絡(luò)將會(huì)自動(dòng)建立��。如步驟410所示�����,用戶A可向另一臺接入設(shè)備(簡稱“接入設(shè)備2”)出示其信用證明��。接入設(shè)備2將該信用證明發(fā)送給接入服務(wù)器�����,在接入服務(wù)器驗(yàn)證該信用證明已經(jīng)登記之后�����,將相關(guān)聯(lián)的密鑰發(fā)送給接入設(shè)備2(步驟412)����。隨后,接入設(shè)備2使用該與用戶A關(guān)聯(lián)的密鑰來連接到網(wǎng)絡(luò)(步驟414)���。
如步驟416-步驟422所示為幾個(gè)用戶可以使用同一臺指定設(shè)備來訪問網(wǎng)絡(luò)��。這里���,每個(gè)用戶分配有不同的信用證明。如步驟416所示�,另一個(gè)用戶(簡稱“用戶B”)的信用證明將登記到接入服務(wù)器中。在步驟418��,用戶B也向接入設(shè)備1出示其信用證明�。接入設(shè)備1將該信用證明發(fā)送給接入服務(wù)器,在接入服務(wù)器驗(yàn)證該信用證明已經(jīng)登記之后�����,將相關(guān)聯(lián)的密鑰發(fā)送給接入設(shè)備1(步驟420)���。隨后�����,接入設(shè)備1使用該與用戶B關(guān)聯(lián)的密鑰來建立一條完全獨(dú)立的到網(wǎng)絡(luò)的加密安全連接(步驟422)�。
實(shí)際中,上述關(guān)聯(lián)到用戶B的一組完全獨(dú)立的信用證明可以是分配給指定用戶(例如���,用戶A)的第二組信用證明����。例如�,一個(gè)用戶可以使用分配給他的一組信用證明來訪問一個(gè)網(wǎng)絡(luò)(例如,一個(gè)家庭網(wǎng)絡(luò))���,而使用分配給他的另一組信用證明來訪問另一個(gè)網(wǎng)絡(luò)���。在圖3中,設(shè)備314和316可用于連接用戶辦公室中的一個(gè)企業(yè)LAN�。在這種情況下,可通過WAN 302和其他的路由機(jī)制332向辦公室網(wǎng)絡(luò)334提供第二組信用證明�����。一旦交換了合適的密鑰�,就可以在接入設(shè)備和辦公室網(wǎng)絡(luò)334之間建立起一條企業(yè)虛擬專用網(wǎng)(“VPN”)或其他形式的連接。再次重申���,這一網(wǎng)絡(luò)與該用戶的或系統(tǒng)中其他用戶的所有其他網(wǎng)絡(luò)連接完全獨(dú)立并進(jìn)行了加密保護(hù)����。
步驟424-步驟428所示為其他用戶向系統(tǒng)中的多個(gè)接入設(shè)備出示其信用證明時(shí)該網(wǎng)絡(luò)可繼續(xù)自動(dòng)建立�。如步驟424所示,用戶B可向另一個(gè)接入設(shè)備(簡稱“接入設(shè)備3”)出示其信用證明����。接入設(shè)備3將該信用證明發(fā)送給接入服務(wù)器,在接入服務(wù)器驗(yàn)證該信用證明已經(jīng)登記之后��,將相關(guān)聯(lián)的密鑰發(fā)送給接入設(shè)備3(步驟426)�����。隨后��,接入設(shè)備3使用這個(gè)與用戶B關(guān)聯(lián)的密鑰來連接到網(wǎng)絡(luò)(步驟428)���。
與傳統(tǒng)系統(tǒng)相比����,上述的系統(tǒng)體現(xiàn)出了許多優(yōu)勢���。傳統(tǒng)網(wǎng)絡(luò)只能提供通過對前端和所有可能連接到網(wǎng)絡(luò)的設(shè)備進(jìn)行手工配置來實(shí)現(xiàn)的設(shè)備級認(rèn)證����。例如,路由器需要由物理連接至該路由器的LAN端口的管理員對其進(jìn)行配置��。這里����,該管理員需要為路由器輸入密鑰,并且確認(rèn)每臺可能連接到該路由器的設(shè)備�����。此外����,為使這些設(shè)備能夠連接到該路由器,管理員還需為網(wǎng)絡(luò)中的每臺設(shè)備手工配置必需的密鑰���。
相比之下���,根據(jù)本申請構(gòu)建的網(wǎng)絡(luò),可在用戶向相應(yīng)設(shè)備認(rèn)證其身份后����,通過將這些設(shè)備組合(例如�����,接入設(shè)備)到一起而自動(dòng)的建立。這是通過����,例如在系統(tǒng)級進(jìn)行安全認(rèn)證來實(shí)現(xiàn)。例如���,還可以驗(yàn)證用戶的鄰近程度以及安全模塊對密鑰提供的保護(hù)(例如����,使用適當(dāng)?shù)挠布?���。
可以使用多種安全技術(shù)來向設(shè)備提供用戶認(rèn)證��。例如�,可以通過一直接連接將信用證明提供給密鑰管理邊界�����,還可以通過RFID信號或物理上位于設(shè)備安全邊界內(nèi)的傳感器將信用證明傳送給設(shè)備的安全邊界。
這里�,可以使用基于公共/私有密鑰對的數(shù)字證書來建立網(wǎng)絡(luò)。該處理可通過使用在每個(gè)部件中都能得到保護(hù)的私有密鑰來初始化���,該處理還提供了一種安全環(huán)境�����,在該環(huán)境中���,各部件可以動(dòng)態(tài)的改變密鑰。
此外����,每個(gè)用戶不必訪問用于驗(yàn)證其身份的密鑰,這是因?yàn)樵撚脩舨槐卦诿颗_設(shè)備上預(yù)先配置正確的密鑰����。作為替代,用戶只需出示信用證明等類似信息就可以通過指定設(shè)備對網(wǎng)絡(luò)進(jìn)行訪問���。
此外�����,還可以對系統(tǒng)進(jìn)行配置�,使其可以提供多個(gè)網(wǎng)絡(luò)。每個(gè)網(wǎng)絡(luò)可包含指定的一組部件��,定義給不同的用戶和/或同一指定用戶的不同許可級別��。通過使用加密技術(shù)對網(wǎng)絡(luò)訪問進(jìn)行認(rèn)證���,對通過每個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流加密,這些網(wǎng)絡(luò)彼此之間可以安全的分開���。
現(xiàn)在來看圖5-圖8��,向設(shè)備提供信用證明的機(jī)制的幾個(gè)實(shí)施例將在接下來進(jìn)行討論���。總之��,以下將介紹向一個(gè)接入設(shè)備提供信用證明��。雖然如此����,這些方法也可用于向接入服務(wù)器或系統(tǒng)中的某些其他部件提供信用證明�����。
圖5所示為系統(tǒng)500的一個(gè)實(shí)施例����,其中�,當(dāng)分配給用戶的無線令牌臨近計(jì)算設(shè)備時(shí),所選擇的服務(wù)將通過計(jì)算設(shè)備提供給用戶���。接入設(shè)備502�,例如一臺計(jì)算機(jī)����,包括一些部件,用于確定分配給用戶的無線令牌(例如�,一個(gè)RFID令牌)是否處于臨接近入設(shè)備502的位置。例如���,可以使用一個(gè)無線接近讀取器(例如��,一個(gè)RFID讀取器506)接收來自無線接近令牌516的信號530����。信號530可包括有確認(rèn)無線接近令牌516的唯一身份的信息。例如����,這些信息可包括一個(gè)或多個(gè)信用證明528(例如,密碼)����,用于通過接入服務(wù)器504來訪問加密服務(wù)。
在確定令牌516跟讀取器506之間接近程度時(shí)�����,可使用許多種方法���,這依賴于實(shí)際應(yīng)用的情況。某些實(shí)施例中��,只有當(dāng)令牌處于讀取器的指定距離范圍內(nèi)時(shí)�,該令牌才會(huì)生成信號。而這可以通過�����,例如使用被動(dòng)令牌來完成�����,該被動(dòng)令牌解讀讀取器發(fā)出的信號,并響應(yīng)接收的信號向該讀取器發(fā)出信號���。表示接近程序的令牌516和識別器506之間的不同距離可根據(jù)應(yīng)用的要求以及某些情況下根據(jù)操作系統(tǒng)的特征來定義�。
接入設(shè)備502可通過在通信鏈路526上發(fā)送請求�����,向接入服務(wù)器504請求訪問服務(wù)����。根據(jù)特定的應(yīng)用,通信鏈路526可包括�����,例如����,電線、光纜或無線連接�����。因此,接入設(shè)備502可支持與接入服務(wù)器504之間的有線或無線通信�。
一般來說,對服務(wù)的訪問開始于用戶同接入設(shè)備502之間的交互��。例如��,用戶可使用鍵盤或點(diǎn)擊設(shè)備(例如�����,計(jì)算機(jī)鼠標(biāo))來訪問服務(wù)����。在此期間,用戶將被要求輸入密碼和/或向生物傳感器提供生物(例如��,指紋)信息�����,以認(rèn)證其身份�����。在這種情況下�,只有當(dāng)用戶提供了足夠的信用證明包括,用戶所掌握的信息(例如����,密碼),用戶所具備的證件(例如�,令牌),和該用戶的身份(例如����,物理或生物特征)之后才能訪問相應(yīng)的服務(wù)。
接入設(shè)備502使用了安全機(jī)制�����,來確保維護(hù)在接入設(shè)備中的用戶所提供的信用證明��,在發(fā)往接入服務(wù)器504的過程中是安全的����。例如,接入設(shè)備可提供一個(gè)安全邊界�����,其內(nèi)的任何接收自令牌的信息都將以一種安全的方式使用和維護(hù)。此外���,接入設(shè)備502還可包含一個(gè)安全模塊508�����,用于提供加密處理����,以對信用證明進(jìn)行加密����。某些實(shí)施例中,信息只能在識別器506和安全模塊508之間��,通過一條位于公共集成電路512上的連接來傳送����。因此,可對接入設(shè)備進(jìn)行配置�,使得信用證明永遠(yuǎn)不會(huì)在該集成電路外部以明文方式出現(xiàn)���。
此外�����,接入設(shè)備502還可與接入服務(wù)器504進(jìn)行加密通信���。例如���,可在安全模塊508和接入服務(wù)器504之間建立密碼加密通信通道518。在這種情況下��,安全模塊508向接入服務(wù)器504發(fā)送信用證明之前��,會(huì)首先對其進(jìn)行處理(例如�����,加密/簽名)�����。因此���,安全模塊將提供強(qiáng)大的認(rèn)證�����,即該信用證明是來自接近特定接入設(shè)備502的特定令牌516��。
在接入服務(wù)器504從接入設(shè)備502收到認(rèn)證后的信用證明之后�����,接入服務(wù)器就可以提供所請求的服務(wù)���?�!胺?wù)”可包括��,例如訪問數(shù)據(jù)和/或數(shù)據(jù)處理服務(wù)�。因此���,一項(xiàng)服務(wù)可使得接入設(shè)備在數(shù)據(jù)存儲(chǔ)器中讀取或?qū)懭霐?shù)據(jù)��,訪問加密的數(shù)據(jù)�����,使用加密密鑰�,對加密信息例如安全關(guān)聯(lián)和密鑰進(jìn)行訪問�����,訪問網(wǎng)頁����,訪問數(shù)據(jù)網(wǎng)絡(luò)或訪問處理程序。
正如這里所用到的一樣����,術(shù)語“數(shù)據(jù)”可包括任何可由計(jì)算設(shè)備訪問的信息,包括�,例如數(shù)據(jù)文件、密碼和包含密鑰在內(nèi)的加密安全關(guān)聯(lián)�����。
正如這里所用到的一樣����,術(shù)語“訪問”可包括,例如獲取�����、使用或調(diào)用等�。因此����,可通過向接入設(shè)備提供一份該數(shù)據(jù)的副本來訪問數(shù)據(jù)���,也可以通過允許接入設(shè)備操作或使用該數(shù)據(jù)來訪問數(shù)據(jù)�����。后者的一個(gè)例子是�����,一旦用戶被授權(quán)訪問某項(xiàng)服務(wù)�,可信平臺模塊可使用密鑰來為用戶執(zhí)行相應(yīng)的操作�。對于數(shù)據(jù)網(wǎng)絡(luò)來說,訪問可包括���,例如通過網(wǎng)絡(luò)發(fā)送和/或接收數(shù)據(jù)��。對于處理應(yīng)用來說����,訪問可包括,例如對該應(yīng)用程序進(jìn)行調(diào)用����,與其進(jìn)行交互,對其進(jìn)行使用或?qū)⑵浼虞d到接入設(shè)備中����。
接入服務(wù)器可包括用于提供服務(wù)硬件和/或軟件���。例如�,接入服務(wù)器可包括處理系統(tǒng)�����,用于處理服務(wù)請求����,驗(yàn)證該請求者是否是所請求服務(wù)的授權(quán)用戶或提供所請求的服務(wù)。
實(shí)際中��,就與所請求服務(wù)(例如�,接入設(shè)備502)的位置關(guān)系而言,接入服務(wù)器可位于本地或遠(yuǎn)端�����。例如,一個(gè)本地的可信平臺模塊可控制對計(jì)算系統(tǒng)中密碼的訪問��。而一個(gè)遠(yuǎn)端無線接入點(diǎn)可控制計(jì)算系統(tǒng)對連接到該接入點(diǎn)上的數(shù)據(jù)網(wǎng)絡(luò)的訪問�。
接入設(shè)備可包括硬件和/軟件,用于對服務(wù)進(jìn)行訪問����。例如,接入設(shè)備可包括計(jì)算機(jī)系統(tǒng)�����,例如但不限于個(gè)人計(jì)算機(jī)�、服務(wù)器、蜂窩電話和個(gè)人數(shù)字助理等�����。
為方便起見���,在圖5中只描述了一個(gè)令牌�����、接入設(shè)備和接入服務(wù)器�。但是,應(yīng)當(dāng)明白�����,該系統(tǒng)可包括任意數(shù)量的這類部件���。例如�����,用戶可使用一個(gè)令牌通過一個(gè)或多接入設(shè)備來訪問一項(xiàng)或多項(xiàng)服務(wù)。因此��,一臺接入設(shè)備可訪問來自多臺接入服務(wù)器的服務(wù)�����。同樣的���,多臺接入設(shè)備可訪問由一臺指定接入服務(wù)器提供的服務(wù)��。
對訪問服務(wù)的授權(quán)依賴于所使用的特定令牌和接入設(shè)備�����。例如�����,用戶可分配到一個(gè)令牌���,用于通過某一接入設(shè)備來訪問某一服務(wù)����。此外�����,用戶還可分配到另一令牌����,用于通過同一或另一接入設(shè)備來訪問其他的服務(wù)。同樣的���,單個(gè)令牌上可包含多組信息(例如�,信用證明)�,使得同一用戶可訪問不同的服務(wù)��,或讓多個(gè)用戶共享同一令牌���。
無線接近讀取器和令牌可使用多種無線接近技術(shù)中的一種或幾種來實(shí)現(xiàn)。例如���,無線接近讀取器和令牌可支持��,例如但不限于����,RFID�、ISO14443和ISO15693中的一個(gè)或多個(gè)�����。
依賴于不同應(yīng)用的需要�����,令牌可通過多種物理形式實(shí)現(xiàn)�����。例如,令牌可采用易于攜帶的形式�����,類似于塑膠信用卡����、智能卡或門卡等。同樣的�,令牌也可采可附著在其他物質(zhì)上的標(biāo)簽或標(biāo)貼的形式。
令牌可以是包括但不限于智能卡�����、信用卡���、加密狗�����、標(biāo)記卡��、生物設(shè)備例如指紋識別器��、移動(dòng)設(shè)備例如蜂窩電話和PDA等�����。某些實(shí)施例中�����,令牌包括使用在通用智能卡中的電路����。例如,令牌可存儲(chǔ)將發(fā)送給認(rèn)證系統(tǒng)的加密密碼�����。
現(xiàn)在來看圖6����,這里將描述對基于接近技術(shù)的認(rèn)證系統(tǒng)的有關(guān)操作和配置方面的其他細(xì)節(jié)����。如步驟602所示,在接入設(shè)備502中提供了一個(gè)安全邊界���,用于對獲取服務(wù)訪問的過程進(jìn)行保護(hù)�����,包括對認(rèn)證過程和認(rèn)證過程中用到的信息進(jìn)行保護(hù)��。該安全邊界可通過使用硬件和/或加密技術(shù)來實(shí)現(xiàn)�。
用于提供安全邊界的硬件技術(shù)可包括,例如��,將相關(guān)部件安裝在單個(gè)集成電路上����。如圖5所示,RFID讀取器506��、安全模塊508和其他處理部件510可共同安裝到同一塊集成電路512上���。因此�����,除非通過物理訪問集成電路512�,并使用入侵技術(shù)分析集成電路512內(nèi)部的操作和數(shù)據(jù)����,否則集成電路512上執(zhí)行的任何處理過程或在其上使用或存儲(chǔ)的任何信息都不會(huì)被泄露��。對于許多應(yīng)用來說�,這種形式的硬件安全邊界可提供一種可以接受的高級安全保護(hù)�����。
安全邊界還可以使用其他方法來提供����。例如,可以通過使用已知技術(shù)(例如�����,環(huán)氧封裝)的物理結(jié)構(gòu)對一個(gè)或多個(gè)集成電路(例如��,集成電路512)提供保護(hù)�。同樣的,處理系統(tǒng)502和/或其內(nèi)部部件也可以采用防篡改和/或防拆封技術(shù)��。
用于提供安全邊界的加密技術(shù)包括對通過系統(tǒng)中通過非安全路徑發(fā)往或發(fā)自集成電路的任何重要信息進(jìn)行加密�。例如,安全關(guān)聯(lián)和密鑰只可能在集成電路512內(nèi)部才以明文方式出現(xiàn)�����。當(dāng)密鑰需要發(fā)往集成電路512外部(例如���,存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器514上)時(shí)�����,會(huì)首先進(jìn)行加密��。
類似的��,在集成電路512和接入服務(wù)器504之間傳送的任何重要信息都被加密�。例如�,從RFID令牌516接收到的信息(例如,信用證明528)在通過鏈路526發(fā)送前會(huì)被加密��。
圖5中加密安全邊界由虛線部分518表示��。虛線部分518部分的展示了加密信息在安全模塊508��、處理部件510和數(shù)據(jù)存儲(chǔ)器514之間進(jìn)行傳送���。因此�����,該信息可以被安全的傳送����,盡管信息所通過的某些器件可能并不是安全的(例如,數(shù)據(jù)總線520)���。
加密信息同樣也可以通過通信鏈路526在集成電路512與接入服務(wù)器504的密鑰管理器524中的加密處理器522之間傳遞�����。在這種情況下����,當(dāng)需要發(fā)送和接收加密信息并以明文形式提供該信息以進(jìn)行內(nèi)部處理時(shí)�����,加密處理器將執(zhí)行密鑰交換�����、加密��、解密和/或認(rèn)證等操作。
通常來說��,系統(tǒng)內(nèi)部提供的保護(hù)形式依賴于指定應(yīng)用的要求���。例如,F(xiàn)IPS-140-2規(guī)范定義了可以在系統(tǒng)內(nèi)部實(shí)現(xiàn)的多個(gè)安全級別���。
集成電路512提供的安全邊界和加密邊界518可用于提供一種安全機(jī)制���,以對訪問服務(wù)的用戶進(jìn)行認(rèn)證。例如����,從RFID令牌516接收到的信用證明528可通過射頻信號530直接提供給集成電路512。因此��,無需將信用證明528通過軟件機(jī)制或可由軟件訪問的硬件輸入到處理系統(tǒng)502中�����。這樣一來�����,在這一處理階段中該信息將不會(huì)受到黑客或軟件病毒的威脅。
一旦信息到達(dá)集成電路512����,就將受到集成電路512的物理邊界和加密邊界518的保護(hù)。例如���,規(guī)定必須確保上述信息不會(huì)以明文的形式出現(xiàn)在集成電路512的外部��。因此�����,即使處理系統(tǒng)502中的欺詐軟件獲得了對芯片512外部的信息的訪問�,但在沒有正確的密鑰信息的情況下����,該軟件也不能對上述信息進(jìn)行解密。而且密鑰信息也在集成電路512和加密邊界518中受到保護(hù)����。也就是說,密鑰信息不會(huì)以明文形式出現(xiàn)在安全邊界的外部����。這樣一來����,信用證明就可以安全的路由到接入服務(wù)器504中�����。
此外�����,通過這種安全機(jī)制��,在特定RFID令牌516接近接入設(shè)備502時(shí)���,該接入設(shè)備502可以向接入服務(wù)器504提供可靠的認(rèn)證。首先���,如前所述�,信用證明將以一種安全的方式接收����。其次,將在安全邊界內(nèi)作出有關(guān)令牌516是否足夠接近的有效判斷�。然后安全模塊508將使用在它與密鑰管理器524中的加密處理器522之間建立的安全協(xié)議對這一信息進(jìn)行密碼簽名���。通過這個(gè)簽名,接入服務(wù)器可確定指定的信息是來自特定的處理系統(tǒng)(例如��,接入設(shè)備502)�,并且信息沒有受到入侵。因此�,令牌516接近處理系統(tǒng)502這一方法,可用作對服務(wù)提供者所提供的加密服務(wù)進(jìn)行訪問的一種可靠授權(quán)方法��。
以下將結(jié)合圖6介紹用于訪問服務(wù)的操作的一個(gè)實(shí)例�����。如步驟604所示�,當(dāng)RFID令牌516位于接入設(shè)備502的合適范圍內(nèi)時(shí),RFID讀取器506將從RFID令牌516接收到一個(gè)RFID信號530����。如上所述,RFID信號530將被安全邊界內(nèi)的接入設(shè)備502接收到���。
如步驟606所示����,可以對系統(tǒng)500進(jìn)行配置,使得RFID信號中包含的任何信息只能在安全邊界內(nèi)提取出來����。例如,如圖5所示��,用于從RFID信號530提取信用證明的RFID讀取器506安裝在包括有其他部件以保護(hù)該信用證明的集成電路512中�����。例如�����,集成電路512可包括安全模塊508��,對信用證明(步驟608)進(jìn)行加密/簽名�,以防止信息以明文形式出現(xiàn)在集成電路512的外部�����。這里���,安全模塊508中的加密處理器可使用私有密鑰540來對信息進(jìn)行加密����。與此私有密鑰相關(guān)聯(lián)的公共密鑰可由一個(gè)可信實(shí)體連同證書一起發(fā)布。該證書用于校驗(yàn)公共密鑰的真實(shí)性����。隨后,加密處理器522將使用公共密鑰來驗(yàn)證從安全模塊508接收到的信息的簽名��。圖5中�,還可使用一個(gè)補(bǔ)充處理來通過鏈路526向另一個(gè)方向發(fā)送信息。
因此���,當(dāng)安全模塊508中的加密處理器對信用證明簽名后��,簽名后的信用證明將通過鏈路526(步驟610)發(fā)往密鑰管理器524��。通過這種方式�����,實(shí)際上��,該信息通過一條安全通道發(fā)送(如實(shí)線部分518相應(yīng)部分所示)��,即使實(shí)際的數(shù)據(jù)路徑并不安全�。
密鑰管理器524將接收到的信息發(fā)往加密處理器522進(jìn)行必要的解密和/或認(rèn)證處理。隨后�,密鑰管理器524驗(yàn)證該接收的信息,指示該用戶已經(jīng)得到授權(quán)可以訪問該網(wǎng)絡(luò)(步驟612)�����。某些實(shí)施例中�����,接入服務(wù)器504可包括無線接近設(shè)備(例如����,RFID讀取器)和相關(guān)的處理,使得在用戶向接入服務(wù)器出示其令牌之后���,其信用證明可以很容易并直接地加載到接入服務(wù)器中。在其他實(shí)施例中��,還可以使用非專用RFID讀取器來獲取該信息���。隨后所獲取的信息可使用其他方法(例如�,通過通信介質(zhì)下載)加載到接入服務(wù)器中��。
因?yàn)槊荑€管理器524已經(jīng)通過與信用證明相關(guān)聯(lián)的密碼簽名得知令牌516鄰接近入設(shè)備502,所以一旦該信用證明通過驗(yàn)證����,密鑰管理器524將確信可以提供對所請求服務(wù)的訪問了。如上所述�����,提供對網(wǎng)絡(luò)的訪問包括向接入設(shè)備502發(fā)送安全關(guān)聯(lián)或密鑰�����。這些密鑰可通過安全通道(加密邊界518)發(fā)送給接入設(shè)備502��。因此��,加密處理器522會(huì)在將這些密鑰發(fā)送到鏈路526上之前�����,對其進(jìn)行加密(步驟614)����。
可對接入設(shè)備502進(jìn)行配置,使得這些密鑰等信息可以在其安全邊界內(nèi)進(jìn)行解密和維護(hù)(步驟616)。例如��,這些密鑰(例如�,密鑰540)可存儲(chǔ)在集成電路512中?���?蛇x擇地,在將這些密鑰存儲(chǔ)到數(shù)據(jù)存儲(chǔ)器514之前���,安全模塊中的加密處理器可使用密鑰(例如��,密鑰540)對接收到的密鑰進(jìn)行加密�����。
如步驟618所示���,接入設(shè)備隨后使用接收到的密鑰來獲得對網(wǎng)絡(luò)的訪問。需要再次強(qiáng)調(diào)的是���,某些實(shí)施例中,這些密鑰只有在處于接入設(shè)備502的安全邊界內(nèi)的時(shí)候�����,才允許以明文形式使用。
接近認(rèn)證設(shè)備的其他細(xì)節(jié)在2004年9月30日申請的申請?zhí)枮?0/955806的美國專利申請中有公開����,本申請?jiān)诖巳囊迷撁绹鴮@暾埞_的內(nèi)容。
圖7所示為提供安全機(jī)制以輸入信用證明的接入設(shè)備的另一實(shí)施例���。接入設(shè)備700包括一個(gè)輸入設(shè)備704����,位于接入設(shè)備700的安全邊界內(nèi)�。例如,輸入設(shè)備704可以和安全模塊706位于同一集成電路702上����。這樣一來,用戶可以直接將其信用證明輸入到安全邊界內(nèi)。
此外,安全模塊706還可以使用一個(gè)或多個(gè)密鑰(例如���,密鑰708)對安全邊界內(nèi)的信用證明進(jìn)行加密,這樣一來,該信用證明就不會(huì)以明文的形式出現(xiàn)在安全邊界的外部����。因此,安全模塊使用加密技術(shù)對安全邊界進(jìn)行了有效的擴(kuò)展���。例如����,通過在存儲(chǔ)之前對數(shù)據(jù)進(jìn)行加密�,安全邊界可有效的擴(kuò)展至外部的數(shù)據(jù)存儲(chǔ)器714(如虛線部分716所示)。此外�,該安全邊界還可通過通信介質(zhì)有效的擴(kuò)展(如虛線部分720所示)到另一加密處理系統(tǒng)(未標(biāo)出)。
在圖7所示的實(shí)施例中�,接入設(shè)備結(jié)合有無線接口710和天線712(或另一形式的無線收發(fā)器),以通過無線信號718來和其他的無線設(shè)備(例如����,無線接入點(diǎn)和接入服務(wù)器,未標(biāo)出)進(jìn)行通信�。某些實(shí)施例中,該接入設(shè)備的數(shù)據(jù)通信接口710可與例如安全模塊706位于同一集成電路上���。該無線接口可支持802.11���、藍(lán)牙和/或其他無線通信標(biāo)準(zhǔn)。
某些實(shí)施例中��,輸入設(shè)備704可以是一個(gè)傳感器����,例如生物傳感器。該傳感器可包括一個(gè)指紋讀取器��?�?蛇x擇的�����,該傳感器還可包括視網(wǎng)膜/虹膜掃描器��,用于語音識別的語音輸入設(shè)備(例如�,麥克風(fēng)),用于面部特征識別的照相傳感器(例如�,CCD設(shè)備)或DNA檢測設(shè)備。此外����,集成電路上還提供有合適的處理以對該信息進(jìn)行提取和分析。
某些實(shí)施例中�,接入設(shè)備將輸入信息傳送給接入服務(wù)器以獲得對服務(wù)的訪問。該信息也可登記在密鑰管理器中�����。因此,如上所述����,密鑰管理器可將接收自接入設(shè)備的信息與保存已授權(quán)信用證明(例如,指紋數(shù)據(jù))的密鑰管理器數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行對比�����。當(dāng)找到匹配項(xiàng)時(shí)�����,密鑰管理器就會(huì)向發(fā)出請求的接入設(shè)備提供相關(guān)的密鑰����。
某些實(shí)施例中,接入服務(wù)器可包括輸入設(shè)備和相關(guān)的處理���,以使上述信息可以更容易��、更直接地加載到接入服務(wù)器中�����。在其他實(shí)施例中����,可使用非專用輸入設(shè)備(例如���,傳感器)來獲取上述信息���。隨后,通過其他方法(例如�����,通過通信介質(zhì)下載)將所獲取的信息加載到接入服務(wù)器中���。
圖8所示為系統(tǒng)800的一個(gè)實(shí)施例���,為用戶輸入信用證明提供一種安全機(jī)制。處理系統(tǒng)802包括一個(gè)安全處理系統(tǒng)��,例如可信平臺模塊(“TPM”)804����。
一般來說����,該可信平臺模塊可為處理系統(tǒng)生成和維護(hù)密鑰����。例如,TPM可具備一系列加密能力�����,使得某些計(jì)算機(jī)進(jìn)程可以在TPM環(huán)境(例如����,硬件)中安全的執(zhí)行。在這點(diǎn)上�����,該TPM可包括一個(gè)或多個(gè)用于執(zhí)行加密操作的加密處理器����,其執(zhí)行的加密操作包括加密、解密�、認(rèn)證和密鑰管理。有關(guān)TPM的規(guī)范由可信計(jì)算聯(lián)盟(Trusted Computing Group)定義��。
一般,為訪問由TPM管理的服務(wù)��,用戶必須首先在TPM中登記其信用證明��。這包括�,例如,向TPM提供密碼���。在這點(diǎn)上,TPM可包括一個(gè)輸入設(shè)備(未標(biāo)出)����,該輸入設(shè)備中用到了前面已經(jīng)討論以及下面將要討論的一些安全輸入機(jī)制和技術(shù)(例如,直接連接����、RFID、生物探測器和鍵盤等)�。
隨后,當(dāng)用戶想要訪問由TPM所管理的服務(wù)時(shí)����,該用戶必須首先向TPM認(rèn)證其身份。這包括�����,例如,向TPM提供原始密碼����。在這點(diǎn)上,處理系統(tǒng)802可包括一臺輸入設(shè)備806����,通過鏈路808連接到TPM。
某些實(shí)施例中����,該鏈路可直接從輸入設(shè)備路由到TPM,以確保數(shù)據(jù)通過該鏈路安全發(fā)送���。例如��,該鏈路上的數(shù)據(jù)不使用軟件例程例如操作系統(tǒng)呼叫來進(jìn)行理由���。此外,來自該鏈路的數(shù)據(jù)將不會(huì)存儲(chǔ)在也可以由系統(tǒng)中其他部件訪問的數(shù)據(jù)存儲(chǔ)器上���。例如�,該數(shù)據(jù)不會(huì)通過軟件棧傳送,也不存儲(chǔ)在可以通過內(nèi)部總線例如PCI總線訪問的數(shù)據(jù)存儲(chǔ)器上���。這樣一來���,在輸入信息發(fā)往TPM的過程中,不會(huì)受到已侵入系統(tǒng)的病毒和黑客等的威脅��。某些實(shí)施例中��,物理地將輸入設(shè)備806嵌入或連接到處理系統(tǒng)內(nèi)/上����,可以提供另外一級保護(hù)���。
通過使用物理和加密技術(shù)����,TPM可以在其安全邊界內(nèi)安全的使用和維護(hù)敏感信息���,例如信用證明��。在安全邊界內(nèi)完成對信用證明的驗(yàn)證后(例如��,將收到的信用證明跟先前登記的信用證明進(jìn)行對比)����,TPM 804就可以提供所請求的訪問,或從另一處理實(shí)體獲取對服務(wù)的訪問���。
某些實(shí)施例中����,用戶向TPM認(rèn)證其身份以使用存儲(chǔ)在TPM安全邊界內(nèi)的密鑰��。例如�����,圖8中的系統(tǒng)可用于訪問存儲(chǔ)在本地?cái)?shù)據(jù)存儲(chǔ)器(例如��,文件存儲(chǔ)器812)上的加密數(shù)據(jù)(例如���,加密密碼)����。在這種情況下,TPM 804存儲(chǔ)有對加密信息(例如����,密鑰、安全關(guān)聯(lián)等)使其能對加密的數(shù)據(jù)進(jìn)行解密���。典型情況下���,一旦用戶通過認(rèn)證,TPM在其安全邊界內(nèi)使用該密鑰��,然后將結(jié)果提供給用戶��。例如����,TPM可將解密的數(shù)據(jù)(例如�����,媒體內(nèi)容)或簽名的數(shù)據(jù)返回給用戶��。通過這種方式���,可以使用該密鑰而又不會(huì)將該密鑰以明文的形式暴露在TPM安全邊界的外部�。
在TPM中密鑰的存儲(chǔ)空間不足的情況下,TPM會(huì)將密鑰進(jìn)行加密����,然后將其傳送到外部的數(shù)據(jù)存儲(chǔ)部件(例如,文件存儲(chǔ)器812)中�。因此,即使文件存儲(chǔ)器812中的加密的數(shù)據(jù)文件可以被系統(tǒng)中的其他部件所訪問�,加密數(shù)據(jù)的安全性仍然能得到保證,因?yàn)槊荑€已經(jīng)進(jìn)行了加密��。換句話說���,敏感信息只有在處于TPM的安全邊界內(nèi)的時(shí)候才會(huì)以明文形式使用�。
某些實(shí)施例中����,TPM 804可控制通過網(wǎng)絡(luò)接口810對一個(gè)或多個(gè)數(shù)據(jù)網(wǎng)絡(luò)822的訪問。這里���,TPM 804可向連接到網(wǎng)絡(luò)的服務(wù)提供者提供網(wǎng)絡(luò)認(rèn)證信用證明(例如�,證書)�����,以向該服務(wù)提供者認(rèn)證其身份。這些網(wǎng)絡(luò)認(rèn)證信用證明可安全地存儲(chǔ)在TPM 804的數(shù)據(jù)存儲(chǔ)器(未標(biāo)出)中��,或以加密的形式存儲(chǔ)在文件存儲(chǔ)器812中����。
網(wǎng)絡(luò)接口810可用于連接有線和/或無線網(wǎng)絡(luò)。如此所述�,可以使用加密技術(shù)來確保在TPM 804和其他連接到網(wǎng)絡(luò)的設(shè)備之間所傳輸數(shù)據(jù)的安全性。因此��,可使用一個(gè)網(wǎng)絡(luò)連接來與密鑰管理器通信��,以獲得密鑰信息(例如�����,安全關(guān)聯(lián))和對密鑰使用的授權(quán)����。
輸入設(shè)備814是輸入設(shè)備的另一個(gè)實(shí)施例�,用于向處理系統(tǒng)安全地提供信息(例如,信用證明)���。輸入設(shè)備814包括安全模塊818和安全邊界內(nèi)的密鑰820��,用來提供加密功能����。例如,安全模塊可用于對輸入到輸入設(shè)備的信息(例如��,信用證明)進(jìn)行加密/簽名���。通過這種方式�,這些信息可安全的發(fā)送(如虛線部分816所示)給TPM 804�����。
安全模塊818和可信平臺模塊804可包括一些部件����,并能執(zhí)行一些在此介紹的操作來提供強(qiáng)大認(rèn)證以及建立安全通道。例如�,公共密鑰及相關(guān)的證書可公布給安全模塊818,使得TPM可以使用本申請介紹的技術(shù)驗(yàn)證輸入設(shè)備的真實(shí)性和安全性�����。這樣一來,就可以在這些部件之間建立安全通道816����,從而將TPM的安全邊界擴(kuò)展至包括輸入設(shè)備814和該安全通道。
由于在各部件之間傳送的信息可以通過這種方式進(jìn)行保護(hù)�����,所以輸入設(shè)備814不必與處理設(shè)備安全地連接�。因此,輸入設(shè)備814可以使用在各種應(yīng)用中���,即輸入設(shè)備處于處理系統(tǒng)802的遠(yuǎn)端�����,并通過有線或無線接口例如網(wǎng)絡(luò)與其相連�����。此外���,輸入設(shè)備還可以使用在一種應(yīng)用中,其中輸入設(shè)備可以通過一條不安全鏈路(例如,計(jì)算機(jī)的USB鏈路)連接TPM�����。
某些實(shí)施例中����,輸入設(shè)備814上的輸入機(jī)構(gòu)(例如�,鍵盤和傳感器等)可以通過一種安全的方式與安全模塊818連接。例如�����,該輸入機(jī)構(gòu)可以與安全模塊安裝在同一集成電路上��。此外��,這些部件可以實(shí)現(xiàn)在一個(gè)物理保護(hù)的封裝內(nèi)�����。因此���,輸入設(shè)備814的安全邊界可包括該輸入機(jī)構(gòu)����、安全模塊818和安全模塊用來存儲(chǔ)加密信息的外部存儲(chǔ)器(未標(biāo)出)。這樣一來��,輸入設(shè)備814可以提供一種更高級別的安全機(jī)構(gòu)���,以便用戶向TPM 804提供信用證明�。
以下將結(jié)合圖9-圖12對安全模塊的幾個(gè)實(shí)施例所選的部件和操作進(jìn)行更詳細(xì)的討論�。某些實(shí)施例中,安全模塊可提供多級密鑰信息所需要的密鑰保護(hù)和管理(例如��,實(shí)現(xiàn)密鑰的合適使用)�����。
此外����,安全模塊還可提供加密處理,例如為安裝了安全模塊并使用加密服務(wù)的設(shè)備(例如�,接入設(shè)備)執(zhí)行加密、解密�����、認(rèn)證、驗(yàn)證和簽名等處理���。例如����,安全模塊可安裝在需要特定形式的數(shù)據(jù)安全和認(rèn)證等的終端用戶的客戶端設(shè)備上�����,例如蜂窩電話����、筆記本電腦等�����。某些實(shí)施例中�����,安全模塊可集成到這些設(shè)備的現(xiàn)有芯片上(例如�����,主處理器)。
安全模塊可配置為安全邊界的一部分��,并對后者進(jìn)行加強(qiáng)�����。例如���,該安全模塊可被配置為永遠(yuǎn)不允許明文密鑰離開安全模塊或包含該安全模塊的芯片��。這樣一來�����,該安全模塊就可以安全的集成到其他設(shè)備或系統(tǒng)上�����,而無需考慮位于安全模塊外部的該系統(tǒng)是否是安全的���。
通過這種方式,安全模塊可以為客戶端設(shè)備提供更高的安全性和具備良好性價(jià)比優(yōu)勢的遠(yuǎn)程密鑰管理��。該安全模塊可提供和/或支持任何需要的加密處理�����。可以在設(shè)備中建立一個(gè)安全邊界來安全的維護(hù)和使用密鑰和密鑰信息�����。系統(tǒng)可以通過該安全模塊由遠(yuǎn)程密鑰管理系統(tǒng)(例如�,硬件安全模塊和TPM等)進(jìn)行安全管理。因此�,可以使用相對較小的安全模塊為終端用戶設(shè)備提供高級安全功能����,并能將對該設(shè)備其他部分的影響降到最低。
為支持這種密鑰使用和管理方法��,安全模塊提供了相應(yīng)的機(jī)制��,將一個(gè)或多個(gè)密鑰安全的加載到該模塊內(nèi)�����,安全的存儲(chǔ)這些密鑰和安全的使用這些密鑰�����。圖9中所示的無狀態(tài)硬件安全模塊900提供了這種機(jī)制。
無狀態(tài)模塊900包括主控制器906��,用來控制該模塊的全面操作����。例如,該控制器可控制啟動(dòng)操作�����、密鑰管理操作(如果適用的話)和數(shù)據(jù)及密鑰在該模塊中的進(jìn)出操作���。該控制器可包括一個(gè)處理器和相關(guān)代碼(例如��,ROM 908)和/或一個(gè)狀態(tài)機(jī)或其他硬件�。該控制器和/或該無狀態(tài)模塊中的任何其他部件可通過內(nèi)部總線930與該無狀態(tài)模塊中的其他部件進(jìn)行通信���。
某些實(shí)施例中�,主控制器906包括一個(gè)包含有ROM代碼的RISC處理器���,執(zhí)行用于控制該無狀態(tài)模塊相關(guān)操作時(shí)所必須的多種命令��。該主控制器模塊還包括一個(gè)用來為內(nèi)部總線930上每個(gè)從模塊的地址進(jìn)行解碼的地址解碼器��。RISC引擎可使用數(shù)據(jù)緩沖器926的受保護(hù)部分來作為臨時(shí)堆棧和臨時(shí)數(shù)據(jù)空間��。
雙向外部接口920提供了一種機(jī)制�,用來向該模塊發(fā)送或從該模塊接收密鑰和/或數(shù)據(jù)。例如���,該外部接口包括可由控制器和連接到該無狀態(tài)模塊的外部設(shè)備(例如�����,一臺主機(jī))寫入或讀取的寄存器��。在這種情況下���,可對控制器進(jìn)行配置�����,使其永遠(yuǎn)不向上述寄存器寫入某些數(shù)據(jù)(例如�����,未加密的密鑰)�����。
外部數(shù)據(jù)接口920可被一臺本地主機(jī)用來讀取全局寄存器,發(fā)布命令以及將數(shù)據(jù)傳送到數(shù)據(jù)緩沖存儲(chǔ)器926中�,等待無狀態(tài)模塊的處理。主控制器可通過全局寄存器模塊922對外部接口進(jìn)行控制�。這些全局寄存器包括命令(“CMD”)、計(jì)時(shí)器和配置(“CONFIG”)寄存器��。主控制器在全局寄存器模塊和數(shù)據(jù)緩沖存儲(chǔ)器926之間傳輸數(shù)據(jù)�����。
命令接口直接向數(shù)據(jù)輸入和輸出寄存器提供流數(shù)據(jù)接口��,其允許在數(shù)據(jù)的輸入和輸出過程中使用外部的FIFO(獨(dú)立的FIFO)����。該接口使無狀態(tài)模塊可以很容易的嵌入到基于分組的系統(tǒng)中。
某些實(shí)施例中���,將要加密或解密的數(shù)據(jù)(例如���,將要被處理的數(shù)據(jù)或密鑰信息)可通過一個(gè)或多個(gè)數(shù)據(jù)接口發(fā)往或發(fā)自無狀態(tài)模塊900。例如�����,數(shù)據(jù)接口902可用于將加密數(shù)據(jù)或密鑰(例如,由該模塊進(jìn)行了解密的數(shù)據(jù))發(fā)送給加密加速器���,反之亦然�。此外�,數(shù)據(jù)接口還可與生成的數(shù)據(jù)需要由無狀態(tài)模塊進(jìn)行加密的輸入設(shè)備(例如,傳感器)連接�。隨后,加密數(shù)據(jù)將通過外部接口920發(fā)往一個(gè)外部處理部件����。
一個(gè)或多個(gè)加密處理模塊執(zhí)行獲取或使用密鑰或加密處理流經(jīng)該模塊的數(shù)據(jù)所必須的任何加密處理。例如���,可使用各個(gè)處理模塊來執(zhí)行非對稱密鑰算法��,例如DSA、RSA��、Diffie-Hellman(模塊914)���,密鑰交換協(xié)議或?qū)ΨQ密鑰算法����,例如3DES、AES(模塊912)�,或認(rèn)證算法,例如HMAC-SHA1(模塊910)���。該加密處理模塊可通過硬件中和/或使用一個(gè)執(zhí)行存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器(例如�����,ROM)上的代碼的處理器來實(shí)現(xiàn)����。
一般����,該實(shí)施例包括生成非對稱密鑰,用于與遠(yuǎn)端設(shè)備建立安全通道��,對從該模塊發(fā)往遠(yuǎn)端設(shè)備的信息進(jìn)行認(rèn)證��,反之亦然����。這里����,該非對稱密鑰的私有部分維護(hù)在該芯片的安全邊界內(nèi)�����。此外���,該無狀態(tài)模塊還包括一個(gè)將非對稱密鑰的公共部分導(dǎo)出的機(jī)構(gòu)�����。例如�,該公共值將加載到上述外部接口寄存器中����,使其可在隨后被外部設(shè)備讀取。該公共密鑰值可以通過向無狀態(tài)模塊發(fā)出一條公共密鑰讀取命令來從上述無狀態(tài)模塊中讀取�����。作為對該命令的響應(yīng)�,該模塊向該設(shè)備返回該公共密鑰值和任何不受保護(hù)的配置信息(認(rèn)證數(shù)據(jù)和產(chǎn)品配置數(shù)據(jù)等)。
某些實(shí)施例中���,根身份密鑰用作非對稱密鑰的基礎(chǔ)��。例如��,無狀態(tài)模塊的根密鑰可包括非對稱密鑰對(秘密或私有�,公共)��,用于唯一的標(biāo)識該無狀態(tài)模塊����。某些實(shí)施例中,該密鑰只用于數(shù)字簽名�,以安全的標(biāo)識無狀態(tài)模塊。
某些實(shí)施例中���,將有一個(gè)或多個(gè)密鑰(例如�����,該模塊的根密鑰���、身份密鑰)被加載到無狀態(tài)模塊中。這可以在芯片制造過程中,在芯片測試過程中�,在OEM(例如,電路板制造商)的制造過程中和在OEM的測試或?yàn)榻K端用戶安裝過程中實(shí)現(xiàn)��。這一技術(shù)可用于加載對稱和/或非對稱密鑰���。
某些實(shí)施例中�����,該無狀態(tài)模塊可在其內(nèi)部生成一個(gè)或多個(gè)密鑰(例如����,根密鑰���,身份密鑰)��。例如�,該無狀態(tài)模塊可包括一個(gè)隨機(jī)數(shù)生成器(“RNG”)918和其他為生成密鑰所必須的電路��。這種實(shí)施例可提供增強(qiáng)的安全保護(hù)��,使得在其中生成的密鑰永遠(yuǎn)不會(huì)離開芯片的安全邊界���。
某些實(shí)施例中��,設(shè)備身份密鑰包括一組隨機(jī)位�,用于為無狀態(tài)模塊中的長時(shí)固定密鑰生成密鑰信息����。例如,RNG 918可以使用內(nèi)部隨機(jī)數(shù)值生成一個(gè)隨機(jī)數(shù)作為秘密初始種子��。初始種子中比特位的數(shù)量由系統(tǒng)所需要的密鑰熵的數(shù)量所決定���。
某些實(shí)施例中���,不會(huì)直接使用來自隨機(jī)數(shù)生成器918的值。例如��,在進(jìn)行內(nèi)部使用以及將該值發(fā)往外部的無狀態(tài)模塊用作隨機(jī)值之前�����,先由主控制器使用SHA-1模塊910對之進(jìn)行后期處理�����。主控制器將在數(shù)據(jù)緩沖存儲(chǔ)器926中維護(hù)一個(gè)后期處理后的隨機(jī)位(用于密鑰生成和簽名)的高速緩沖存儲(chǔ)器。
隨機(jī)數(shù)生成器918可以是一個(gè)“真正的”隨機(jī)源����。例如,它可使用自由運(yùn)行的振蕩器來捕捉熱噪聲作為隨機(jī)源���。
無狀態(tài)模塊還可包括一個(gè)私有(或機(jī)密性)非對稱密鑰對�,用于通過中間不可靠的第三方(例如該第三方無權(quán)訪問密鑰信息)向無狀態(tài)模塊設(shè)備傳送安全內(nèi)容����。某些實(shí)施例中,該機(jī)密性密鑰只用作對無狀態(tài)模塊中的密鑰信息進(jìn)行解密����。
上述密鑰(例如,根密鑰和身份密鑰等)可存儲(chǔ)在一個(gè)非易失性存儲(chǔ)器(“NVM”)916中��。該NVM包括����,例如,一個(gè)一次性可編程(“OTP”)存儲(chǔ)器或電池供電存儲(chǔ)器(BBMEM)�,可位于芯片上,也可位于芯片外�。
某些實(shí)施例中����,片上OTP存儲(chǔ)器(如圖9所示)具備一定的優(yōu)點(diǎn)�����。例如����,在這種情況下����,密鑰可以在設(shè)備中從物理上保護(hù)起來,不能被輕易的改變或觀察到���。此外�����,因?yàn)閷γ荑€的使用被限制在了芯片內(nèi)部�,該密鑰將不會(huì)以明文形式出現(xiàn)在芯片的外部�����。此外,這種OTP與無狀態(tài)模塊的結(jié)合可使用標(biāo)準(zhǔn)CMOS制程來實(shí)現(xiàn)�����。這樣一來��,無狀態(tài)模塊可以很容易的集成到各種使用在終端用戶和其他設(shè)備中的現(xiàn)有芯片上����。這種結(jié)合可提供一種高性價(jià)比的安全解決方案。
通過COMS實(shí)現(xiàn)的OTP存儲(chǔ)器的結(jié)構(gòu)在以下文件有相應(yīng)的公開美國專利6,525,955���、6,693,819�、6,700,176和6,704,236�,以及申請日為2002年12越20日申請?zhí)枮?9/739,952的美國專利申請,本申請?jiān)诖艘靡陨衔募_的全部內(nèi)容�����。
根據(jù)外部編程信號VPP����,主控制器906可通過編程接口對OTP進(jìn)行編程。主控制器可確保(通過本地硬件加強(qiáng))設(shè)備的密鑰�����、授權(quán)和配置數(shù)據(jù)只接受一次編程,也只能接受一次編程�。
密鑰加密密鑰(“KEK”)高速緩沖存儲(chǔ)器924是一個(gè)單獨(dú)的存儲(chǔ)模塊,其大小基于系統(tǒng)中所要求的KEK的數(shù)量而定�。一般,它的大小足夠容納會(huì)話私有密鑰和一個(gè)非對稱密鑰組�����。
在執(zhí)行任何不需要使用KEK密鑰的命令時(shí)����,KEK高速緩沖存儲(chǔ)器924都可以從硬件上得到保護(hù)��。例如���,提供給KEK高速緩沖存儲(chǔ)器的一個(gè)來自全局寄存器的信號可顯示命令寄存器是處于鎖定還是活躍狀態(tài)����,并包含一個(gè)請求KEK的命令����。某些KEK高速緩沖存儲(chǔ)器位于NVM模塊中����,為無狀態(tài)模塊實(shí)現(xiàn)長期密鑰���。
主控制器可使用應(yīng)用密鑰高速緩沖存儲(chǔ)器904來為內(nèi)部加速核心(例如�����,公共密鑰核心914或3DES核心912)提供加密和解密存儲(chǔ)空間��。當(dāng)密鑰被無狀態(tài)模塊命令或應(yīng)用密鑰高速緩沖存儲(chǔ)器接口使用時(shí)���,該應(yīng)用密鑰高速緩沖存儲(chǔ)器可控制該密鑰過期。
總的來說��,上述模塊的性能�����、大小和功能可以進(jìn)行適當(dāng)?shù)恼{(diào)整�,以滿足系統(tǒng)的要求。例如��,用于連接安全信道和密鑰管理器以傳輸和處理密鑰信息(和/或策略)的基本加密功能可以僅僅達(dá)到最低處理性能級別。
在不用于密鑰管理時(shí)�,位于無狀態(tài)模塊中的加密加速器可用于進(jìn)行應(yīng)用數(shù)據(jù)處理。例如�,用于電子商務(wù)應(yīng)用的無狀態(tài)模塊可用來保護(hù)RSA私有密鑰。這里��,安全通道所要求的公共密鑰加速度一般為最低值(小于10個(gè)操作/秒)���。這樣一來����,可將任何空閑的處理能力(例如�,處理器的空閑周期)用于其他操作。
相比之下����,一般的電子商務(wù)加速器所需要的公共密鑰加速度相對較高(大于500個(gè)操作/秒)�。此種類型的應(yīng)用要求使用專門設(shè)計(jì)的加密加速器以很高的速率來執(zhí)行加密操作。
一個(gè)或多個(gè)加密加速器可通過應(yīng)用密鑰高速緩沖存儲(chǔ)器接口902直接連接到無狀態(tài)模塊上�。一般來說,用于增加加密加速處理的應(yīng)用密鑰高速緩沖存儲(chǔ)器接口被維護(hù)在安全邊界內(nèi)�。例如,該無狀態(tài)模塊和加密加速器可在同一芯片上實(shí)現(xiàn)�����。通過這種方式,明文形式的密鑰將不允許離開安全邊界����,包含公共密鑰加速器。然而���,通過簡單的參考存儲(chǔ)在無狀態(tài)模塊中的正確的RSA私有密鑰�,外部應(yīng)用程序還是可以像以往那樣使用公共密鑰加速器�����。
應(yīng)用密鑰高速緩沖存儲(chǔ)器904還可以存儲(chǔ)外部加密加速處理器所使用的密鑰信息���。例如�����,高速緩沖存儲(chǔ)器904可存儲(chǔ)解密后的應(yīng)用密鑰(例如��,在包含無狀態(tài)模塊的設(shè)備上執(zhí)行的應(yīng)用所用到的RSA私有密鑰)��。
無狀態(tài)模塊對使用在遠(yuǎn)端客戶端上的密鑰實(shí)施密鑰策略��。該密鑰策略可由密鑰管理器為所有發(fā)送給無狀態(tài)模塊的密鑰制定����。該密鑰策略指出無狀態(tài)模塊如何使用該密鑰。除使用策略以外���,該無狀態(tài)模塊還可以設(shè)置密鑰的生存周期��。一般來說�,密鑰的生存周期是從密鑰被加載到無狀態(tài)模塊時(shí)起的一段相對時(shí)間�。密鑰管理器能使用多級密鑰體系結(jié)構(gòu)并實(shí)施生存周期策略來確保正確使用密鑰以及可在無狀態(tài)模塊中廢止。
安全保證邏輯模塊928對無狀態(tài)模塊進(jìn)行保護(hù)����,防止其受到系統(tǒng)安全攻擊。在這點(diǎn)上�,可以在無狀態(tài)模塊和/或包含無狀態(tài)模塊的芯片(和/或系統(tǒng))中的其他部件上安裝幾個(gè)系統(tǒng)監(jiān)視器。
某些實(shí)施例中��,當(dāng)檢測到攻擊時(shí)��,保護(hù)電路將觸發(fā)無狀態(tài)模塊的重啟�。這一重啟將擦掉無狀態(tài)模塊中的所有瞬時(shí)信息���。例如�����,所有的密鑰高速緩沖存儲(chǔ)器位置將被清除�。一個(gè)帶有特定信息的中斷將提供給本地主機(jī),基于該信息���,保護(hù)機(jī)制觸發(fā)了重啟��。
低頻保護(hù)電路可確保無狀態(tài)模塊的操作頻率不會(huì)低于指定的閥值�,從而確保報(bào)時(shí)信號寄存器的值在相關(guān)頻率的范圍內(nèi)不會(huì)受到威脅�����。除了對報(bào)時(shí)信號值進(jìn)行保護(hù)��,低頻保護(hù)電路還保證很難實(shí)現(xiàn)動(dòng)態(tài)攻擊以試圖在無狀態(tài)模塊的工作過程中讀取其中的值���。在這種情況下����,閥值越高��,保護(hù)越好。
操作點(diǎn)保護(hù)電路可確保無狀態(tài)模塊中的所有邏輯都能按照預(yù)先為所有處理����、電壓和溫度條件(或穿過所有操作點(diǎn)的)設(shè)計(jì)的那樣運(yùn)行。該保護(hù)電路可確保即使在無狀態(tài)模塊中的計(jì)時(shí)路徑被攻擊的情況下����,攻擊者也不能改變操作點(diǎn)。
在處理過程中可使用監(jiān)視計(jì)時(shí)器模塊來確保命令可以在預(yù)期的時(shí)間段內(nèi)執(zhí)行完畢�����。無論命令(或子命令如公共密鑰操作)是否開始執(zhí)行����,主控制器都會(huì)對該計(jì)時(shí)器進(jìn)行設(shè)置。設(shè)定的時(shí)間取決于所期望的最大命令長度�����。如果監(jiān)視計(jì)時(shí)器的值到了0�,就向無狀態(tài)模塊發(fā)出重啟命令。該監(jiān)視計(jì)時(shí)器不能關(guān)閉�����,并且為了避免清除無狀態(tài)模塊的內(nèi)容����,主控制器必須定期向其中寫入數(shù)據(jù)。當(dāng)無狀態(tài)模塊正在從來自主機(jī)的輸入中接收命令時(shí)�,該監(jiān)視計(jì)時(shí)器將被暫停。
重啟監(jiān)視器可提供特定的保護(hù)���,來防止多種重啟攻擊�。該重啟監(jiān)視器使用一個(gè)基于報(bào)時(shí)信號寄存器增量的計(jì)時(shí)器���,在允許例如不止16次的重啟發(fā)生之前���,請求至少一個(gè)報(bào)時(shí)信號。如果在該報(bào)時(shí)期間發(fā)生了超過16次重啟��,那么在釋放第16次重啟之前��,該無狀態(tài)模塊將請求至少兩次報(bào)時(shí)信號��。在對NVM進(jìn)行適當(dāng)?shù)木幊讨?����,該重啟保護(hù)處于無效狀態(tài)。例如�,在生產(chǎn)測試過程中其處于無效狀態(tài)。
本發(fā)明提供有一種硬件保護(hù)機(jī)構(gòu)��,用于當(dāng)無狀態(tài)模塊在開啟/關(guān)閉外部接口之間轉(zhuǎn)換時(shí)進(jìn)入和退出安全狀態(tài)���。無狀態(tài)模塊啟動(dòng)后進(jìn)入安全狀態(tài)時(shí)�,該外部接口處于關(guān)閉狀態(tài)��。這就是說�,該接口由硬件鎖定。一旦重啟并自檢完畢�����,主控制器將順序的執(zhí)行一系列命令�,退出安全狀態(tài)而進(jìn)入用戶狀態(tài)。某些實(shí)施例中�,這些命令要求將一組預(yù)先定義的連續(xù)指令的執(zhí)行過程寫入到非連續(xù)地址中。
該硬件將對序列中每一步命令所使用的執(zhí)行時(shí)間進(jìn)行追蹤�,并確保這些命令在精確的時(shí)鐘周期內(nèi)按照所要求的順序執(zhí)行,并寫入到所要求的地址中����。在退出邏輯完成后���,該硬件會(huì)將相關(guān)模式設(shè)定到用戶模式。在用戶模式下����,該硬件將鎖定主控制器對所有內(nèi)部模塊的訪問��,除了數(shù)據(jù)緩沖區(qū)和數(shù)據(jù)輸入/輸出寄存器之外(即僅僅需要將數(shù)據(jù)傳送給設(shè)備的模塊)���。
一旦將這些命令移至數(shù)據(jù)緩沖區(qū)����,主控制器就會(huì)順序的執(zhí)行一系列命令以返回到安全狀態(tài)�����。該序列同樣通過硬件模塊進(jìn)行追蹤和實(shí)現(xiàn)����,并進(jìn)入到安全模式下。同時(shí)��,還通過硬件確保了主控制器通過正確的入口地址進(jìn)入安全模式���。
可使用額外的位對主控制器ROM 908進(jìn)行編程����,來指示哪些指令是有效的代碼入口和代碼出口點(diǎn)。無論何時(shí)主控制器進(jìn)行非序列代碼讀取���,指令代碼入口/出口點(diǎn)都會(huì)在硬件中實(shí)現(xiàn)����。這種機(jī)制確保了攻擊者很難繞過代碼的特定部分而進(jìn)入主控制器��。因此�����,想要在程序執(zhí)行過程中通過產(chǎn)生隨機(jī)跳來對該模塊實(shí)施成功攻擊����,在實(shí)際上幾乎是不可能的。
為降低成本和封裝空間�,無狀態(tài)模塊不負(fù)責(zé)與通信協(xié)議有關(guān)的處理工作。替而代之��,將由相關(guān)的設(shè)備驅(qū)動(dòng)程序(或集成的處理器)來處理這方面的要求。
在另一個(gè)實(shí)施例中�,無狀態(tài)模塊將分配到長期密鑰。在這種情況下�����,無狀態(tài)模塊不需要與前端服務(wù)器(例如���,密鑰管理器)進(jìn)行連接。
如圖10所示是無狀態(tài)模塊的一個(gè)實(shí)施例執(zhí)行的操作的流程圖�����。如步驟1002所示����,當(dāng)無狀態(tài)模塊在生產(chǎn)后第一次初始化時(shí)(例如,在對芯片的最后測試中)�,主控制器將控制隨機(jī)數(shù)生成器918生成一個(gè)隨機(jī)數(shù),作為種子提供給加密處理器�,以生成一個(gè)公共一私有密鑰對。
主控制器將私有(身份)密鑰存儲(chǔ)在非易失性存儲(chǔ)器916中�����,并永遠(yuǎn)不會(huì)將該密鑰導(dǎo)出到該模塊的安全邊界外(步驟1004)。例如�,某些實(shí)施例中,該密鑰永遠(yuǎn)不會(huì)離開該無狀態(tài)模塊所在的芯片����。某些實(shí)施例中,在存儲(chǔ)到芯片外非易失性存儲(chǔ)器中之前��,該密鑰將被加密�。
該無狀態(tài)模塊還保存相應(yīng)的公共密鑰,并且在收到請求后�����,將該公共密鑰導(dǎo)出(步驟1006)��,因此�����,設(shè)備制造商(或某些其他的可信實(shí)體)可將公共密鑰連同證書一起發(fā)布給公共服務(wù)器���。
隨后�,可將無狀態(tài)模塊可布置在可通過網(wǎng)絡(luò)或一些其他的鏈路連接到其他設(shè)備(例如���,密鑰管理器)的計(jì)算設(shè)備中�����。如步驟1008所示����,無狀態(tài)模塊可使用其私有密鑰建立與已訪問到該無狀態(tài)模塊的公共密鑰的密鑰管理器之間的安全通信通道。
如步驟1010所示���,密鑰管理器通過該安全通信通道將密鑰傳送給無狀態(tài)模塊�。例如��,密鑰管理器和無狀態(tài)模塊可協(xié)商獲得額外的密鑰�,用于兩個(gè)部件之間的安全通信����。此外,密鑰管理器還可以通過無狀態(tài)模塊將密鑰傳送給遠(yuǎn)端的客戶端�。例如,密鑰管理器可以為結(jié)合有該無狀態(tài)模塊的客戶端生成一個(gè)私有會(huì)話密鑰(Ka-priv)�。如上所述,在將這些密鑰發(fā)送給客戶端之前���,密鑰管理器使用無狀態(tài)模塊的公共密鑰(Kdc-pub)或某些協(xié)商的密鑰對該密鑰進(jìn)行加密���。
如步驟1012所示���,該密鑰在無狀態(tài)模塊的安全邊界內(nèi)進(jìn)行解密。例如����,無狀態(tài)模塊中的加密處理器會(huì)對這些密鑰進(jìn)行解密?�?蛇x擇地�,與無狀態(tài)模塊位于同一芯片上的另一加密處理器也可對該密鑰進(jìn)行解密。
如步驟1014所示�,無狀態(tài)模塊隨后在安全邊界內(nèi)使用這些密鑰。例如�����,無狀態(tài)模塊中的加密處理器使用該密鑰對其他密鑰(例如��,會(huì)話密鑰)進(jìn)行解密���。此外����,無狀態(tài)模塊可在安全邊界內(nèi)實(shí)施密鑰策略(步驟1016)。
某些實(shí)施例中�,如步驟1018所示,無狀態(tài)模塊向安全邊界內(nèi)的一個(gè)或多個(gè)加密加速器提供密鑰���。例如�����,這些加密加速器可以與該無狀態(tài)模塊位于相同的芯片上���。
圖11所示是無狀態(tài)安全鏈路模塊1100的一個(gè)實(shí)施例。該實(shí)施例包括圖9中實(shí)施例的功能性的一個(gè)子集�����。具體來說��,這一實(shí)施例只使用對稱密鑰來提供數(shù)據(jù)加密和解密等�。這種配置的一個(gè)優(yōu)勢是�,其可以在其他設(shè)備中實(shí)現(xiàn),對這些設(shè)備的成本和大小所產(chǎn)生的影響更小����。
在一個(gè)典型的應(yīng)用中���,圖11中的實(shí)施例可用于從最初產(chǎn)生數(shù)據(jù)的輸入設(shè)備那里取得數(shù)據(jù),然后安全的提供給使用該數(shù)據(jù)的接收設(shè)備���。這個(gè)過程包括對數(shù)據(jù)進(jìn)行加密���,使其不會(huì)以明文形式出現(xiàn),和/或?qū)?shù)據(jù)進(jìn)行簽名��,以向接收設(shè)備證明該數(shù)據(jù)是來自特定的輸入設(shè)備��。
例如�����,無狀態(tài)模塊可集成到傳感器(例如���,生物傳感器如指紋識別器)的芯片上��。這里��,無狀態(tài)模塊可用于對傳感器生成的信息進(jìn)行簽名和/或加密��。隨后�����,無狀態(tài)模塊可安全地將信息傳送給使用該信息的接收設(shè)備��。在這種情況下�,該接收設(shè)備可通過指紋比較來控制對數(shù)據(jù)或服務(wù)的訪問。
某些實(shí)施例中�,傳感器數(shù)據(jù)總是維護(hù)在安全邊界內(nèi)。首先�,將無狀態(tài)模塊結(jié)合在傳感器芯片上,這些信息可在離開芯片的硬件邊界之前進(jìn)行加密���。其次����,通過交換對稱密鑰�����,無狀態(tài)模塊建立與接收設(shè)備之間的一條安全通道�。通過這種方式�,這些信息可安全的發(fā)往接收設(shè)備���。最后,接收設(shè)備將使用現(xiàn)有方式或本申請中介紹的技術(shù)得到保護(hù)����。
上述后一種方案的一個(gè)例子中,接收設(shè)備包括一個(gè)上述圖9中的無狀態(tài)模塊�。在這種情況下,接收設(shè)備可以使用其他密鑰將信息安全的傳送給遠(yuǎn)端系統(tǒng)�����。該遠(yuǎn)端系統(tǒng)可以是網(wǎng)絡(luò)接入設(shè)備���,能基于用戶的信用證明如用戶指紋實(shí)現(xiàn)對網(wǎng)絡(luò)的訪問�����。
其他實(shí)施例中�����,只需認(rèn)證數(shù)據(jù)是源于特定的輸入設(shè)備即可�����。例如�,系統(tǒng)可作出規(guī)定以確保指紋數(shù)據(jù)流的副本不會(huì)在稍后被重放。在這種情況下�����,沒必要對信息進(jìn)行加密���,只需要確保該信息來自特定的傳感器����。在這種情況下�����,對數(shù)據(jù)的一個(gè)簡單簽名就可以提供足夠的安全性�����。
為提供一種適用于多種輸入設(shè)備的高性價(jià)比解決方案����,圖11中的無狀態(tài)模塊的功能性相比圖9中實(shí)施例進(jìn)行了一定的簡化。該無狀態(tài)模塊包括一個(gè)主控制器1106和一個(gè)外部接口1112,用于在與密鑰管理器建立安全鏈路時(shí)實(shí)現(xiàn)非對稱密鑰操作的執(zhí)行�。因此�����,控制器1106包括有生成并驗(yàn)證其密鑰的有效性的電路��。此外����,該模塊還包括保證邏輯1120,與上述的保證邏輯相同���。
但是�����,因?yàn)樵撃K只使用了單個(gè)對稱密鑰����,所以圖11中的實(shí)施例不能提供圖9中所描述的許多功能���。例如�,該模塊不需要為額外的密鑰提供管理能力(例如,密鑰策略的實(shí)施)和數(shù)據(jù)存儲(chǔ)(例如�,應(yīng)用密鑰高速緩沖存儲(chǔ)器)。因?yàn)橹淮鎯?chǔ)一個(gè)身份密鑰和一個(gè)對稱密鑰���,所以非易失性ROM(“NVROM”)1110可以更小�����。
此外����,因?yàn)樵撃K只對來自數(shù)據(jù)流接口的數(shù)據(jù)執(zhí)行對稱加密處理����,所以不需要圖9中所示的某些或全部的專用加密處理器(例如,公共密鑰處理和3DES)���。例如����,在啟動(dòng)后�����,該模塊只執(zhí)行一次非對稱密鑰操作。此外����,無狀態(tài)模塊無需驗(yàn)證數(shù)據(jù)接收方的真實(shí)性。因此��,余下的加密處理操作可由主控制器1106執(zhí)行����。在這種情況下�����,加密算法(例如�,DH,DSA���,3DES和AES)的應(yīng)用代碼可存儲(chǔ)在ROM 1108中����。
圖11所示的實(shí)施例可以通過使用SHA-1算法簽名來加密輸入數(shù)據(jù)流(DI)��。為此����,可提供一個(gè)單獨(dú)的處理模塊1104來執(zhí)行該操作�����。該處理模塊簽名后的輸出提供一數(shù)據(jù)流(DO)���,并通過數(shù)據(jù)接口1102將之發(fā)送給接收設(shè)備。在一個(gè)同樣也對數(shù)據(jù)流進(jìn)行加密的實(shí)施例中�����,可提供一個(gè)專用處理模塊(未標(biāo)出)來執(zhí)行例如對稱加密算法�。
圖12所示為無狀態(tài)安全鏈路模塊的一個(gè)實(shí)施例執(zhí)行的操作的流程圖。如步驟1202至步驟1208所示����,無狀態(tài)安全鏈路模塊生成一個(gè)公共一私有密鑰對,將私有(例如��,身份)密鑰存儲(chǔ)在安全邊界內(nèi)的非易失性存儲(chǔ)器中�����,導(dǎo)出公共密鑰��,并在其與密鑰管理器之間建立一條安全通信通道。
如步驟1210所示����,密鑰管理器通過該安全通信通道向無狀態(tài)安全鏈路模塊傳送對稱密鑰。例如��,密鑰管理器發(fā)送對稱密鑰�����,用于無狀態(tài)安全鏈路模塊對從輸入設(shè)備接收到的數(shù)據(jù)進(jìn)行加密和/或簽名���。隨后,加密處理器對這些密鑰進(jìn)行解密(步驟1212)�����,然后將解密后的密鑰存儲(chǔ)在無狀態(tài)安全鏈路模塊的安全邊界內(nèi)(步驟1214)���。
如步驟1216所示�����,無狀態(tài)模塊從輸入設(shè)備接收將要加密的數(shù)據(jù)�。如上所述,該輸入設(shè)備可以是�����,例如����,生物傳感器和照相傳感器等,也可以是任何其他的需要對數(shù)據(jù)進(jìn)行認(rèn)證或需要將數(shù)據(jù)安全的發(fā)送給另一設(shè)備(例如���,遠(yuǎn)端設(shè)備)的設(shè)備���。
如步驟1218所示,無狀態(tài)模塊在安全邊界內(nèi)使用對稱密鑰對數(shù)據(jù)進(jìn)行加密����。隨后,如步驟1220所示����,無狀態(tài)模塊將加密后的數(shù)據(jù)發(fā)送給遠(yuǎn)端設(shè)備。
有關(guān)安全模塊的其他細(xì)節(jié)�����,在申請日為2005年6月21日、申請?zhí)枮?0/____��、代理案號為No.53028/SDB/B600的美國專利申請“無狀態(tài)硬件安全模塊”中已有公開��,并在此被本申請全文引用�����。
需要明確的是����,本申請中介紹的各個(gè)元件和功能特點(diǎn)可結(jié)合入系統(tǒng)中而獨(dú)立于其他元件和功能特點(diǎn)。例如���,使用本申請的技術(shù)的系統(tǒng),可以包括這些元件和功能特點(diǎn)的多種組合��。因此�,并非本申請中介紹的所有元件和功能特點(diǎn)都使用在每一個(gè)這種系統(tǒng)中。
本發(fā)明的不同實(shí)施例可以包括多種硬件和軟件處理元件�����。在本發(fā)明的某些實(shí)施例中�,根據(jù)本發(fā)明構(gòu)建的系統(tǒng)使用了如控制器�����、狀態(tài)機(jī)和/或邏輯等硬件元件��。在本發(fā)明的某些實(shí)施例中�,在一個(gè)或多個(gè)處理設(shè)備中執(zhí)行的代碼如軟件或固件可以用來實(shí)現(xiàn)一個(gè)或多個(gè)前述的操作�����。
所述的元件可以在一個(gè)或多個(gè)集成電路上實(shí)現(xiàn)���。例如�,某些實(shí)施例中����,幾個(gè)這樣的元件結(jié)合在一個(gè)集成電路中。某些實(shí)施例中��,一些元件可以實(shí)現(xiàn)為一個(gè)集成電路����。某些實(shí)施例中,多個(gè)元件可以實(shí)現(xiàn)為幾個(gè)集成電路。
本申請中提及的元件和功能可以通過各種不同方式進(jìn)行連接/聯(lián)結(jié)�。使用的方式部分的取決于這些元件彼此之間是否是獨(dú)立的。某些實(shí)施例中���,附圖中連接線表示的某些連接可以位于一個(gè)集成電路內(nèi)���、一塊電路板上和/或通過底板連接到其他電路板上。某些實(shí)施例中��,附圖中連接線表示的某些連接可包含數(shù)據(jù)網(wǎng)絡(luò)��,例如本地網(wǎng)絡(luò)和/或廣域網(wǎng)(例如因特網(wǎng))����。
本申請中提及的信號可以以幾種形式出現(xiàn)。例如���,某些實(shí)施例中���,信號是通過電纜傳輸?shù)碾娦盘?�,通過空中或在光纖上傳輸?shù)墓饷}沖��,或通過空中傳輸?shù)碾姶泡椛?如射頻或紅外線)。
在信號中還可以包含一個(gè)或幾個(gè)信號��。例如���,一個(gè)信號可以由一系列的信號組成�。同樣�����,一個(gè)微分信號包括有兩個(gè)補(bǔ)充信號或一些其他信號的組合�����。此外�����,一組信號在這里可視為一個(gè)信號�。
本申請中提及的信號也可以以數(shù)據(jù)的形式出現(xiàn)。例如���,某些實(shí)施例中���,一個(gè)應(yīng)用程序可以發(fā)送一個(gè)信號給另一個(gè)應(yīng)用程序。這一信號可以存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器中。
本申請中介紹的數(shù)據(jù)存儲(chǔ)器可以使用多種設(shè)備來實(shí)現(xiàn)�。例如,數(shù)據(jù)存儲(chǔ)器可以包括閃存����、一次性可編程(OTP)存儲(chǔ)器或其他類型的數(shù)據(jù)存儲(chǔ)設(shè)備。
本申請中提及的元件和功能可以進(jìn)行直接或間接的連接/聯(lián)結(jié)���。因此��,某些實(shí)施例中�����,在連接/聯(lián)結(jié)的各元件之間可以有�����,也可以沒有中間設(shè)備(例如��,緩沖器)�����。
總的來說,本發(fā)明總的涉及一種改進(jìn)的認(rèn)證系統(tǒng)和方法。雖然本申請中結(jié)合附圖詳細(xì)介紹了本發(fā)明的某些具體實(shí)施例�,可以理解這些實(shí)施例僅僅是為了解釋本發(fā)明,而不是對本發(fā)明的限制�。特別應(yīng)當(dāng)認(rèn)識到的是,本發(fā)明所揭示的內(nèi)容可以應(yīng)用于多種系統(tǒng)和處理中���。因此也應(yīng)該認(rèn)識到���,可以對本發(fā)明的實(shí)施例作出各種修改而不脫離本發(fā)明的范圍。因此本發(fā)明不限于所公布的特定實(shí)施例或配置����,其包括權(quán)利要求所定義的本發(fā)明的精神和范圍內(nèi)的所有替換、修改和改進(jìn)實(shí)施例���。
交叉引用文件本申請要求申請?zhí)枮?0/620,645申請日為2004年10月20日的美國臨時(shí)專利申請的優(yōu)先權(quán)��,并在此全文引用該申請公開的內(nèi)容�。
權(quán)利要求
1.一種通信方法��,包括向多個(gè)接入設(shè)備認(rèn)證至少一個(gè)用戶�;建立包括有所述接入設(shè)備的至少一個(gè)網(wǎng)絡(luò)。
2.根據(jù)權(quán)利要求1所述的通信方法�����,其特征在于,所述認(rèn)證包括向所述接入設(shè)備提供至少一個(gè)信用證明�����。
3.根據(jù)權(quán)利要求2所述的通信方法�,其特征在于,所述方法進(jìn)一步包括對所述至少一個(gè)信用證明進(jìn)行密碼簽名�。
4.根據(jù)權(quán)利要求3所述的通信方法,其特征在于���,所述方法進(jìn)一步包括使用數(shù)字證書以對所述至少一個(gè)簽名后的信用證明進(jìn)行認(rèn)證��。
5.一種通信方法�,包括向多個(gè)接入設(shè)備認(rèn)證多個(gè)用戶�;建立包括有所述接入設(shè)備的多個(gè)網(wǎng)絡(luò)。
6.一種向設(shè)備認(rèn)證用戶的方法�,包括定義與一個(gè)接入設(shè)備相關(guān)聯(lián)的安全邊界;直接向所述安全邊界內(nèi)提供至少一個(gè)信用證明�����,以向所述接入設(shè)備認(rèn)證一個(gè)用戶��。
7.一種用于訪問服務(wù)的方法,包括接收與用戶相關(guān)聯(lián)的信用證明�����;對所述信用證明進(jìn)行認(rèn)證����;將所述認(rèn)證后的信用證明提供給服務(wù)提供者�;響應(yīng)所述認(rèn)證后的信用證明,接收來自服務(wù)提供者的至少一個(gè)密鑰����;使用所述至少一個(gè)密鑰對服務(wù)進(jìn)行訪問。
8.一種通信系統(tǒng)��,包括多個(gè)接入設(shè)備�,用于接收認(rèn)證信息,每個(gè)接入設(shè)備包括至少一個(gè)用于對認(rèn)證信息進(jìn)行簽名的加密處理器�����;一個(gè)接入服務(wù)器���,用于接收所述簽名的認(rèn)證信息�����,所述接入服務(wù)器包括至少一個(gè)加密處理器以為所述接入設(shè)備生成至少一個(gè)密鑰����,所述接入服務(wù)器依據(jù)所述簽名的認(rèn)證信息向所述接入設(shè)備提供所述至少一個(gè)密鑰。
9.根據(jù)權(quán)利要求8所述的通信系統(tǒng)�����,其特征在于���,所述認(rèn)證信息包括至少一個(gè)信用證明��。
10.一種接入設(shè)備��,包括安全邊界內(nèi)的至少一個(gè)加密處理器�;至少一個(gè)輸入設(shè)備�,用于直接向所述安全邊界內(nèi)提供認(rèn)證信號。
全文摘要
本發(fā)明公開了一種用于用戶向系統(tǒng)內(nèi)的部件認(rèn)證其身份的技術(shù)�。用戶可安全有效的將信用證明輸入這些部件中。信用證明提供給系統(tǒng)中的服務(wù)器����,并向其提供強(qiáng)大的認(rèn)證以表明該信用證明來自安全部件�����。隨后��,服務(wù)器向用戶向其出示信用證明的每個(gè)安全部件發(fā)放密鑰�����,自動(dòng)建立一個(gè)網(wǎng)絡(luò)。
文檔編號G06K7/08GK1770688SQ200510118218
公開日2006年5月10日 申請日期2005年10月20日 優(yōu)先權(quán)日2004年10月20日
發(fā)明者馬克·布爾, 埃德華·H·弗蘭克, 納拜瑞簡·塞亞爵 申請人:美國博通公司