CN102077210B - 带有多个认证竖井的临时存储设备的授权 - Google Patents
带有多个认证竖井的临时存储设备的授权 Download PDFInfo
- Publication number
- CN102077210B CN102077210B CN200980124786.5A CN200980124786A CN102077210B CN 102077210 B CN102077210 B CN 102077210B CN 200980124786 A CN200980124786 A CN 200980124786A CN 102077210 B CN102077210 B CN 102077210B
- Authority
- CN
- China
- Prior art keywords
- certification
- vertical shaft
- certificate
- authentication
- tsd
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
在带有多个认证竖井(302,304,406,308,310)的临时存储设备(TSD)(100)中,被连接到TSD(100)的主机计算设备被TSD(100)配置成发现竖井中的各种类型的认证信息并按照这些信息来行动。认证竖井的一个或多个逻辑组合被切换到已认证状态以便准许对关联存储区域(406)的访问。认证竖井(408)的特定排序可以是:达成经认证的竖井(418)的有效组合所需的;由TSD中的配置信息所暗示的;且基于认证给定的认证竖井(412)是否需要用户输入、TSD的使用环境或从最可信的认证竖井到最不可信的认证竖井的层次。借助于此信息,主机最有效的认证序列,从而导致对存储区域(410)的访问准许。
Description
背景
近年来,临时存储设备(TSD)已经被广泛用于便携式计算机数据存储。TSD可以采用用于移动电话、数码相机、个人数字助理、数字音乐播放器(例如,MP3播放器)和其他便携式设备的通用串行总线(USB)闪速驱动器以及存储器卡和“棒”的形式。由于去往和来自TSD的数据传输的大存储能力和高速度,去往和来自可连接TSD的主机设备的数据传输的安全性是公认的所关心的问题。TSD的美国电气和电子工程师协会(IEEE)1667标准通过出于存储认证证书和随后对TSD上的用户数据的访问的授权的目的而将认证数据结构(“竖井(silo)”)的定义包括在内来解决此所关心的问题。
IEEE 1667标准允许设备具有多个认证竖井,这些认证竖井联合起来管理对TSD存储卷上的单个数据存储区域(“可寻址命令目标”或ACT)的访问的授权。然而,该标准目前仅定义一种类型的用于证书的认证竖井且不建议可以使用哪些其他类型的认证竖井。该标准不提供关于在存在多于一个的用于ACT的认证竖井的情况中使用哪一认证竖井的指导或者关于区分使用环境情况的指导。进一步,该标准缺乏用于与多个竖井联用的通用认证配置机制。当前IEEE1667标准的约束内的竖井分层结构和配置的实现是复杂的,因为该规范提供由证书竖井实现的有限的一组认证和证书存储管理操作。然而,任何配置解决方案都需要在当前IEEE 1667标准规范的参数和要求内操作。
概述
在带有多个认证竖井的TSD设备中,被连接到TSD的主机计算设备被配置为发现竖井中的各种类型的认证信息并按照这些认证信息行动。为准许对ACT的访问,认证竖井的一个或多个逻辑组合必须被切换到已认证状态。主机询问TSD以得到可以授权主机访问TSD认证竖井的逻辑组合集。为获得经认证的竖井的有效组合,还可可能需要认证竖井的特定排序。排序可以由TSD中的配置信息来暗示。排序还可以基于例如对于认证给定的认证竖井是否需要用户输入、TSD的使用环境、或从最可信认证竖井到最不可认证竖井的层次。
借助于此信息,主机然后可以继续进行最有效的认证序列,从而导致准许对ACT的访问。另外,主机可以优化其行为,例如以使得主机在可能的情况下相比于提示用户更偏好静默认证(没有用户输入)。当先前组合失败时,主机还可以尝试认证竖井的替代组合。进一步地,假定认证的所有组合都已经耗尽,那么主机可以使用此信息来判断授权何时不可能。
当操作在当前IEEE 1667标准的约束内操作时,TSD的认证竖井中的制造商证书和/或预设证书里的扩展字段被用来提供访问TSD的特定ACT的认证要求。在一种实现中,在制造商证书和/或预设证书的扩展字段中设定TSD的可配置设置的值。该方法以独特方式利用为IEEE 1667证书竖井规定和ITU-TX.509证书规范所特有的属性。在满足设备配置的安全要求且事实上利用了现有标准定义的情况下实现该方法而无需进行修改。其中,该方法允许启用或禁用TSD固件中存在的特定特征。
出于此说明书的目的,术语“临时存储设备”和“TSD”包含IEEE 1667标准可适用的任何设备,以及可以类似地接受支持扩展字段的制造商证书和/或预设证书的等效物的任何存储设备,例如高级技术附件(ATA)设备。
提供本概述以便以简化形式介绍下面在详细描述中进一步描述的概念的选集。本概述不旨在标识所要求保护的主题的关键特征或本质特征,也不旨在用于限制所要求保护的主题的范围。所要求保护主题的其他特征、细节、用途、以及优点将从如附图中进一步示出的以及在所附权利要求中所定义的以下更具体描写的各实施例和实现的详细描述中变得显而易见。
附图简述
图1是临时存储设备的的若干协议层的示意图,其指示该临时存储设备的可能配置的一种实现。
图2是临时存储设备的认证竖井以及使用制造商或预设证书中的扩展字段来配置该临时存储设备的实现的示意图。
图3A-3D是描绘临时存储设备上的认证竖井的示例性实现以及用于确定用来授权对临时存储设备的访问的分层结构和所需认证组合的任选方法的示意图。
图4是用于确定访问带有多个认证竖井的临时存储设备的所需授权方案的过程的实现的流程图。
图5可以作为临时存储设备的主机设备而操作的通用计算机***的示意图。
详细描述
尽管IEEE 1667标准允许设备具有多个认证竖井,但目前唯一实现的认证竖井是证书竖井。用于特定ACT的多个认证竖井联合起来管理对访问单个数据存储区域的授权。将来,如果在临时存储设备(“TSD”)上提供附加认证竖井,那么,需要用于管理在多个可能竞争的认证竖井之间的冲突和优先级的方案。
如图1中所描绘的,临时存储设备100或TSD在功能上被分成若干不同的组件。TSD 100具有用于允许TSD 100连接到主机设备并与该主机设备通信的物理接口102。例如,通用串行总线(USB)闪速驱动(UFD)通常具有带有位于绝缘体上且由矩形触点包围的4个附加触点迹线的箱型触点接口。TSD 100进一步包括在执行TSD 100的数据传输、主机·设备相互认证和其他功能性的嵌入式固件106的控制下操作的处理器104。每一TSD 100可以具有至少一个且可能多个被个别认证的数据存储区域116,每个数据存储区域116均通过“可寻址命令目标”(ACT)层来访问,这在概念上类似于其他存储***中的“逻辑单元”。图1描绘带有第一ACT 108a和第二ACT 108b的TSD 100。
每个ACT 108a、108b实现若干功能单元,这些功能单元在IEEE 1667规范中被称为“竖井”,其包括至少一个探针竖井110a、110b和一个认证竖井112a、112b。每个ACT 108a、108b可以实现附加制造商或用户定义的竖井114a、114b。ACT 108a或108b以及相对应的竖井提供对与TSD 100上的116a或116b相对应的被编址为LUN0或LUN1的的个体数据存储区域的配置和认证控制。
探针竖井110a、110b被经由物理接口102连接的主机用来询问ACT 108a、108b并标识可用功能单元。TSD 100中的探针竖井108a、108b接收对在主机设备上运行或存在于其上的操作***和IEEE 1667版本的标识。探针竖井108a、108b返回在每个ACT 108a、108b中所实现的竖井的数量、类型和版本。可以在关于任何其他竖井采取进一步动作之前发生对探针竖井110a、110b的询问。
一旦探针竖井108a、108b接收和返回必需的设备信息,用于每个ACT108a、108b的认证竖井112a、112b就提供双向认证和认证证书的管理所需的函数。认证竖井112a、112b使用证书来认证主机和每一ACT 108a、108b且还管理这些证书。探针竖井110a、110b、认证竖井112a、112b和其他竖井114a、114b中的每一个对于相应的ACT 108a、108b来说是专用的。作为一般的情况,数据存储区域116起初被认为是IEEE 1667标准下的单个“逻辑单元”或ACT,且因而作为整体服从置于原始或第一认证竖井112a中以及由其处理的任何制造商证书或预设证书。然而,第一认证竖井112a可以被配置为将数据存储区域116划分成数个ACT 108a、108b,这些ACT 108a、108b带有出于盘构造中的方便起见而用逻辑单元编号(LUN#)——例如LUN0116a和LUN1116b——标识的可分开地访问的存储区域,如图1中所示的。进一步,制造商证书、预设证书或两者都可以为TSD 100上的ACT或每一ACT提供多于一种类型的认证竖井。
在图2中描绘认证证书竖井200的功能组件的实现的更详细的描述。遵照IEEE 1667标准,定义五种不同类型的证书以供由认证证书竖井200容纳:制造商证书202、预设证书204、认证证书链206、主机证书208和用户证书210。制造商证书202是强制性的且证明TSD的身份。制造商证书202包括TSD的唯一标识符以及可以被用来质询TSD的公钥。每一ACT的认证竖井200可各自承载具有来自唯一密钥对的唯一公钥的唯一制造商证书202。然而,要求所有制造商证书都链接到相同的中间父制造商证书。TSD上的ACT的制造商证书可以被用来允许超出默认证书竖井200的附加类型的认证竖井。预设证书204的扩展字段212可以被用来指定此新状态的细节,如下面进一步描述的。
预设证书204准许对认证竖井200的管理性访问并向管理员提供管理剩余证书的能力。用户仅可以在可访问由存储在认证竖井200中的预设证书204签名的证书的主机上添加、移除或替换认证证书。初始ACT的预设证书204是不可改变的,且可以在用初始预设证书204来预设TSD时被用来创建重新初始化成含有多个ACT的新状态的TSD。类似于制造商证书,TSD上的第一ACT的初始预设证书可以被用来允许超出默认证书竖井200的附加类型的认证竖井。预设证书204的扩展字段212可以被用来指定此新状态的细节,如下面进一步描述的。可以提供对于由初始预设证书204创建的附加ACT而言专用的附加预设证书。
一旦预设了ACT,TSD就可以存储认证竖井证书链206。用户可以使用此链来创建与具有相同制造商和产品标识号的所有其他设备分开的个性化设备。主机可以使用证书链206的内容来认证ACT并授权对ACT中的存储的访问。下面进一步描述在此公开的技术的上下文中的证书链206的使用。
当附连TSD时,主机证书208将TSD认证到主机。多个主机证书208可以被添加到与其中可认证TSD的多个主机设备相对应的TSD。遵循IEEE 1667标准,如果没有主机证书被存储在认证竖井200中,那么TSD可以自动地将主机作为经认证来对待,指示不旨在限制对特定主机的访问。这简化了在制造商要求主机认证作为数据访问的先决条件时的TSD配置。当主机给出由认证竖井中的主机证书中的一个签名的证书时,ACT将转换到已认证状态。
用户证书210也可以被置于认证竖井中。用户证书210不由证竖井200管理。遵循IEEE 1667标准,任何应用程序都可以从认证竖井200存储或移除这些证书。没有进一步的主机证书208或用户证书210可以被添加到TSD,除非主机或用户证书持有者使用由预设者放置在TSD上的预设证书204成功地进行认证。
遵循IEEE 1667标准,在TSD可以被用于提供对存储卷上的数据的安全访问之前,其必须经历一组操作,该组操作出于该目的而配备TSD。IEEE 1667标准将此过程指定为预设。TSD的预设者并不必定是该TSD的用户。预设者实际上是TSD的管理员,且可以是用户、***管理员或制造商。
在实践中,TSD以未预设状态从制造商处抵达,且带有至少一个ACT——含有认证竖井200的初始ACT(0)。除了ACT专用设置之外,此ACT(0)的第一预设者可以为TSD指定设备全局设置。全局TSD设置仅在第一预设操作期间可配置。一旦被置于TSD上,初始预设证书204保留有效且不能被替换,除非设备被特地重新初始化(也就是说,复位到原始出厂状态)。因而,一旦配置设置被指定,它们会从不改变,除非TSD被复位回到出厂状态。预设证书204的这种复位销毁所有受保护的数据,所以此数据保持安全,并将任何TSD配置设置复位回到如同出厂时间一样的初始状态。在成功的首次预设之后,TSD现在可以处于这样的状态:其不同地操作,或表现出高于且超出初始ACT和/或竖井的另外的ACT和/或竖井。其他制造商和预设证书进一步预设其他ACT可以从不影响由初始制造商证书202和预设证书204设置的TSD的全局设置,而仅影响ACT专用设置。由于初始制造商证书202和预设证书204约束,TSD和其上的ACT保持安全。
下面呈现被用来表示遵循国际电信联盟ITU-T X.509标准的证书的自主***号ASN.1数据类型。这是用于根据IEEE 1667标准的TSD设备的制造商证书202和预设证书204的格式。正如所指示,该数据类型提供了接近证书末尾的扩展字段的使用。然而,扩展被视为任选的,且不进一步定义。注意,为允许在证书中存在扩展字段,版本字段必须设置为版本3(v3)。
Certificate::=SIGNED{SEQUENCE{
version[0]Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subj ect Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueIdentifier[1]IMPLICIT UniqueIdentifier OPTIONAL,
--如果存在,则版本应为v2或v3
subjectUniqueIdentifier[2]IMPLICIT UniqueIdentifier OPTIONAL,
--如果存在,则版本应为v2或v3
extensions[3]Extensions OPTIONAL
--如果存在,则版本应为v3--}}
Version::=INTEGER{v1(0),v2(1),v3(2)}
CertificateSerialNumber::=INTEGER
AlgorithmIdentifier::=SEQUENCE{
algorithm ALGORITHM.&id({SupportedAlgorithms}),
parameters ALGORITHM.&Type({SupportedAlgorithms}{algorithm})OPTIONAL}
--对下列信息对象集的定义可能遵从标准化
--概况文件或者遵从协议实现一致性语句。要求该集
--对AlgorithmIdentifier(算法标识符)的参数分量指定表约束。
--SupportedAlgorithms ALGORITHM::={...}
Validity::=SEQUENCE{
notBefore Time,
notAfterTime}
SubjectPublicKeyInfo::=SEQUENCE{
algorithm AlgorithmIdentifier,
subjectPublicKey BIT STRING}
Time::=CHOICE{
utcTime UTCTime,
generalizedTime GeneralizedTime}
Extensions::=SEQUENCE OF Extension
Extension::=SEQUENCE{
extnId EXTENSION.&id({ExtensionSet}),
critical BOOLEAN DEFAULT FALSE,
extnValue OCTET STRING
--包含类型&Extn Type的值的DER编码
--用于由extnId标识的扩展对象--}
ExtensionSet EXTENSION::={...}
本技术利用制造商证书202中的任选扩展字段212和/或预设证书204中的扩展字段222来提供除了证书竖井之外的附加类型的认证竖井。虽然预设了TSD,但制造商或预设者可以选择启用或禁用管理TSD的行为和性能的各种设备设置。制造商或预设者经由初始制造商证书202中的ITU-T X.509证书扩展字段212和/或初始预设证书204中的扩展字段222来传达这些设置。ACT在设置证书命令期间接收到这些设置。这些设置的真实性可以在TSD上由证书签名字段来验证,如果发生篡改,则证书签名字段将不匹配预期值。
预设者可以通过检索制造商证书202来发现可用的获支持TSD配置设置。制造商证书202在该证书的扩展字段212中指示一组容许的配置设置。预设者可以分析这些设置以判断在将预设证书204放置在TSD上的期间要在预设证书204的扩展字段222中包括哪些设置(如果有的话)。预设证书204的扩展字段222中的配置设置将胜过制造商证书202的扩展字段212中的任何默认设置。扩展字段212、222中的配置设置不可改变的值,因为它们不能被改变,除非通过移除制造商证书202或初始预设证书204——这导致从TSD擦除所有数据和证书。
现在描述可以被放置在制造商证书202的扩展字段212中的示例性配置设置。最初,为提供对附加类型的认证竖井的创建,可将多个认证竖井扩展设置214放置在扩展字段212中。此扩展设置214可以由制造商或预设者用来配置TSD以允许将超出默认证书认证竖井200的附加认证竖井放置在TSD上的任何ACT中。附加认证竖井类型可以包括口令竖井和生物(bio)标识竖井。用于在面临使用制造商证书202的扩展字段212的ACT上有多个认证竖井的情况时指示成功认证的所需逻辑组合、排序偏好和用户接口要求的示例性多认证竖井扩展设置214可以如下所示:
extnid=urn:oid:2.25.329800735698586629295641978511506172922
critical=00
extnValue=01,02,00,02,03,00,00,02,04,00,00,00,01,02,03,04,00,02,03,00
其中第一非零项字符串表示竖井索引值的逻辑“MinTerm(最小项)”AND(与)组合。(值00可以被使用作分隔符,这是因为它保留用于探针,根据定义是非认证竖井)。将此项与00之后接下来出现的“MinTerm”组合进行OR(或)组合,等等。
在以上示例中,第一组合项(01AND 02)OR(02AND 03)。00,00的出现指示一个组合的结束。在此之后,下一组合开始。在以上示例中,接下来组合是(02AND 04)。字符串00,00,00指示该组合集的结束。然后跟随的是以偏好升序指示的竖井索引列表。第一次出现的00终结此列表,基于此,要求用户输入的竖井索引被列出且再次由00终结。在其中不曾要求用户输入的ACT的情况中,由此得出结论:序列00,00紧跟着竖井偏好列表。注意,作为配置此功能性的制造商证书202的替代,预设证书204的扩展字段222可以包括多个认证竖井扩展设置224以改变TSD的状态。
认证序列扩展设置216可以被用来为TSD或主机设备配置逻辑次序,以便询问或回答来自多个认证竖井的认证质询,以最有效地建立对访问特定ACT的授权。在多个认证竖井中尝试认证选项的序列可以是相同的,或者可以变化,这取决于主机设备的身份或操作环境的其他方面。注意,作为配置此功能性的制造商证书202的替代,预设证书204的扩展字段222可以包括认证序列扩展设置226以改变TSD的状态。
可以提供的另一设置是认证组合扩展设置218。当使用多个认证竖井时,指定哪些证书必须被置于已认证状态以便允许用户访问相关联的ACT可能是重要的。例如,在一种实现中,尽管可以提供或支持若干认证竖井,但对它们中的任一个的认证将允许访问。为继续该示例,用户可以在她的立即认证和授权TSD的个人主机计算机上具有正确的证书;然而,用户想要在不带有相对应的证书的公共主机计算机上使用TSD且能够通过将输入口令以认证分开的口令竖井来访问TSD。如果TSD被配置为接受证书或口令,那么,将向具有正确口令的用户准许访问。在替代的示例中,如果TSD被配置为要求来自主机的证书和来自用户的口令这两者的组合来允许访问,那么在以上场景中,不准许用户在公共主机计算机上访问TSD,因为所需的认证组合对于授权而言不可用。注意,作为配置此功能性的制造商证书202的替代,预设证书204的扩展字段222可以包括认证组合扩展设置228以改变TSD的状态。
用于放置在制造商证书202的扩展字段212中的与认证竖井有关的另一设置可以是用于配置特定竖井的用户交互要求的用户交互要求扩展设置220。此设置可以指示竖井是否要求用户输入而非仅仅是TSD和主机之间的证书比较,以便将竖井改变为已认证状态。例如,认证竖井可以要求口令认证或面部识别或者其他生物认证,这两者均要求到主机设备的用户输入以便与存储在TSD上的相对应认证文件或相关的安全散列值作比较。替代地,证书认证竖井不要求用户输入。注意,作为配置此功能性的制造商证书202的替换,预设证书204的扩展字段222可以包括用户交互要求扩展设置230以改变TSD的状态。
TSD本身或者在主机设备上操作的用于TSD的软件代理(例如,以软件或设备专用配置文件的形式)或两者的组合,可以基于制造商证书或预设证书的扩展字段中用于多个认证竖井的配置设置而承载一个或多个“授权策略表达式”(APE)。APE可以包括下列组分中的一个或多个:
·字符串表达式,其含有根据认证序列次序排名的竖井标识有序列表;
·用于认证组合(例如,包括如下所描述的Maxterm(最大项)/Minterm(最小项))的逻辑表达式,以使得在相对应的认证竖井处于已认证状态时,由TSD向主机设备准许对ACT的经授权的访问;以及
·指示哪些认证竖井要求用户交互的字符串表达式。
主机设备使用APE中的信息来计算用于将ACT置于经授权状态的最有效路径。可以适应认证竖井的任何可能的逻辑组合和序列。APE还可以向主机设备提供在考虑组策略的实施时对优化和管理认证和授权过程的指导。
图3A中呈现一组示例性认证竖井。认证竖井A被描绘为默认证书竖井302。认证竖井B被描绘为一旦从主机设备呈现正确口令的用户输入时就被认证的口令竖井304。口令竖井304可以通过请求将用户名与特定口令相关来适应TSD的多个用户,或者其可以仅仅认证已经被配置成接受的多个口令中的任一个。
认证竖井C被描绘为一旦呈现附连到主机设备的指纹读取器的用户输入时就被认证的指纹竖井306。输入指纹的散列可以与被存储在指纹竖井306中的散列作比较以便执行认证。指纹竖井306可以通过请求与特定指纹散列相关的用户名来适应TSD的多个用户,或者其可以仅仅认证已经被配置成接受的多个指纹中的任一个。
认证竖井D被描绘为一旦呈现附连到主机设备的声波纹读取器的用户输入时就被认证的声波纹竖井308。输入声波纹的散列可以与被存储在声波纹竖井308上的散列作比较以执行认证。声波纹竖井308可以通过请求将用户名与特定声波纹散列相关来适应TSD的多个用户,或者其可以仅仅认证已经被配置成接受的多个声波纹中的任一个。
认证竖井E被描绘为一旦在附连到主机设备的光学读取器中呈现视网膜扫描的用户输入时就被认证光学扫描竖井310。输入视网膜扫描的散列可以与被存储在光学扫描竖井310上的散列作比较以执行认证。声波纹竖井310可以通过请求将用户名与特定视网膜扫描散列相关来适应TSD的多个用户,或者其可以仅仅认证已经被配置成接受的多个视网膜扫描中的任一个。
图3B图示地描绘了含有根据认证序列次序排名的竖井标识有序列表的示例性字符串表达式。竖井B作为优选的认证方法被排在第一。因此,在这种情况中,主机设备将由APE指导来首先使用竖井B尝试认证。在图3A的示例中,此意味着主机设备将寻求口令形式的用户输入形式并将该口令呈现给竖井B,以便在尝试任何其他认证竖井之前将主机认证到该设备。正如所描绘的那样,在优选的认证序列中,竖井C被排在第二,竖井D被排在第三,竖井E被排在第四,且竖井A被排在第五。主机设备将按照APE以此次序尝试对竖井的授权。然而,主机设备能够做出确定(例如,基于操作环境)以加速认证过程。例如,如果特定用户输入不可用(例如,主机设备没有配备有键盘或图3A中的指纹读取器),主机设备可以识别到这一事实并直接恳求用户进行声波纹输入以供认证。
图3C图示地描绘用于认证组合的逻辑表达式的一个示例性实现,使得当相对应的认证竖井处于已认证状态时,由TSD向主机设备准许对ACT的经授权的访问。在此示例中,TSD可以被理解为要求极其高的安全性来提供对ACT的访问授权。在这种情况中,APE要求证书(竖井A)、口令(竖井B)两者以及指纹匹配(竖井C)或声波纹匹配(竖井D)与证书和口令相结合的组合,以便授权对TSD上的ACT的访问。替代地,因为光学视网膜扫描(竖井E)的更高的可靠性(例如,在光学读取器的准确度或者环境的已知安全性方面),单独此认证将允许对TSD上的ACT的访问。
图3D图示地描绘用于使用Maxterm/Minterm构造的认证组合的逻辑表达式的替换示例性实现,使得当相对应的认证竖井处于已认证状态时,由TSD向主机设备准许对ACT的经授权的访问。如图3D中所示出,如果证书授权(竖井A)伴随有口令认证(竖井B)、指纹认证(竖井C)或声波纹认证(竖井D)中的任一个,则可以授权对TSD上的ACT的访问。替代地,单独光学扫描认证(竖井E)的预设将授权访问。
TSD(或根据APE的主机设备)可以通过执行标准MaxTerm/MinTerm比较来确定这些特定组合中的任一个是否存在。最小项是竖井A和B、竖井A和C、竖井A和D以及竖井E的组合。如果竖井中的任一个被认证,那么,其状态可以由1来表示。如果竖井不被认证,那么,其状态可以由0来表示。通过将状态值乘在一起来执行将这些状态值组合成MinTerm算子。因而,如果一个状态项是0,则MinTerm将是0;如果状态项两者均为1,则对该组合来说MinTerm将是1。只要Maxterm(其是所有MinTerm组合的总和)大于0,那么,存在适当的认证和授权。如果所有的MinTerm都是0,那么,MaxTerm将是0,且对ACT的访问将被拒绝。如果任何MinTerm大于0,那么,MaxTerm将大于0,且对ACT的访问将被准许。
图4中给出了在带有多个认证竖井的环境中向TSD的用户授权对ACT的访问的示例性认证过程400。在访问操作402中,TSD上的探针竖井由主机访问,以便向探针竖井询问竖井的数量、类型和版本。主机同时提供为主机设备所特有的操作***和IEEE 1667版本信息。在第二访问操作404中,通过使用竖井信息,主机接下来基于由探针竖井提供的标识信息访问(诸)认证竖井。如果探针竖井指示对于特定ACT存在一个以上的认证竖井,则可以构建APE以辅助认证过程400来协调认证要求并报告认证竖井的状态,以便确定是否已经达到访问授权所需的集体状态。过程400接下来根据APE确定是否存在授权所需的认证的组合,如第一确定操作406中指示的。在操作408中,过程400进一步根据设备偏好或主机优化确定来确定用于多个竖井的逻辑组合的认证的逻辑序列或次序。在操作410中根据偏好和/或主机优化选择首先发生的认证竖井的逻辑组合。
APE可以进一步提供关于特定认证竖井是否需要用户输入的信息。在查询操作412中,对于序列中的第一认证竖井,过程400查询是否需要用户输入来认证竖井。如果不需要用户输入,则该过程转移到认证操作418,以尝试对自动认证组合(例如,由主机设备提供的证书)进行认证。过程400转到查询操作420,以确定认证的组合是否已经导致对TSD所需的、用于对ACT的经授权的访问的全部认证的成功准许。如果已经满足所需认证组合,主机将被授权,且将准许对ACT的访问,如准许操作422中所指示。
返回到用户输入查询操作412,如果需要用户输入(例如,口令或生物认证),则主机设备将在请求操作414中请求所需用户输入。然后,在查询操作416中,主机设备确定所请求的输入信息是否可用。如果主机设备确定所请求的用户输入不可用(例如,主机设备没有被连接到特定输入接口设备)或者在适度的时间段之后尚未提供用户输入,那么,过程400确定是否剩余作为查询操作424的部分来尝试的任何进一步的逻辑组合。如果没有剩余进一步的组合,则主机终结任何进一步的认证尝试,如操作426中所指示。然而,如果确实剩余更多组合,则当过程400返回到操作410来选择下一可用组合时选择下一组合。
替代地,如果查询操作416确定用户输入可用且是适当的,那么,该过程转到操作418,操作418中,在尝试认证ACT的逻辑组合时使用用户输入连同其他必要的数据。然后,过程400转到查询操作420以确定是否已经满足任何所需的认证组合。如果认证竖井的认证状态共同地导致达成所需的认证组合,则主机将被授权,且对ACT的访问将被准许,如准许操作420中所指示。
替代地,如果查询操作416确定认证证书或所接收的输入无效,或者查询操作420确定尚未满足所需的经认证的竖井的组合,那么,在查询操作424中,过程400确定是否剩余待尝试的任何逻辑组合。如果没有进一步的组合剩下,则不作出对访问ACT的认证的进一步尝试,如操作426中所指示的。替换地,如果进一步组合可用,那么,过程400可以为所尝试的认证选择下一认证竖井组合,如选择操作410中所指示的,并且如先前所描述尝试将主机设备授权到TSD。
图5中描绘了对于TSD可操作为主机计算机设备的通用计算设备500的示意图。主机计算设备的示例性硬件和操作环境可以包括处理单元502、***存储器504和在操作上将包括***存储器504在内的各种***组件耦合到处理单元502的***总线518。可以存在一个或多个处理单元502,以使得计算机500的处理器包括单个中央处理单元(CPU)或通常称为并行处理环境的多个处理单元。计算机500可以是通用计算机、分布式计算机或任何其他类型的计算机。
***总线518可以是若干类型的总线结构中的任一种,这些总线结构包括存储器总线或存储器控制器、***总线、交换光纤、点对点连接和使用各种总线体系结构中的任何一种的本地总线。***存储器504还可以简单地被称为存储器且包括只读存储器(ROM)506和随机存取存储器(RAM)505。基本输入/输出***(BIOS)508被存储ROM 506中,其含有诸如在启动期间帮助在计算机500内的元件之间传递信息的基本例程。计算机500进一步包括用于从硬盘(未示出)读取和向其写入的硬盘驱动530、用于从可移动磁盘536读取或向其写入的磁盘驱动532以及用于从例如CD ROM等可移动光盘538或者其他光学介质读取或向其写入的光盘驱动534。
硬盘驱动530、磁盘驱动532和光盘驱动534分别由硬盘驱动接口520、磁盘驱动接口522和光盘驱动接口524连接到***总线518。这些驱动及其相关联计算机可读介质为计算机500提供对计算机可读指令、数据结构、程序模块和其他数据的非易失性存储。本领域技术人员应明白,可以存储可由计算机访问的数据的任何类型计算机可读介质——例如磁带盒、闪速存储器卡、数字视频盘、RAM和ROM——可以被用于示例性操作环境。
许多程序模块可以被存储在硬盘530、磁盘532、光盘534、ROM 506或RAM 505上,这些程序模块包括操作***510、一个或多个应用程序512、其他程序模块514和程序数据516。在一种示例性实现中,用于与TSD进行通信和数据传输的程序可以作为操作***510的部分(例如,作为应用程序协议接口(API)的部分)、应用程序512或其他程序模块514(例如,在认证过程期间处理APE的模块)而被结合在内。
用户可以通过例如键盘540等输入设备和定点设备542(例如鼠标)将命令和信息输入到个人计算机500。其他输入设备(未示出)可以包括,例如,话筒、操纵杆、游戏垫、平板式计算机、触摸屏设备、圆盘式卫星天线、扫描仪、传真机和摄像机。这些和其他输入设备常常通过被耦合到***总线518的串行端口接口526而被连接到处理单元502,但是可以由例如并行端口、游戏端口或通用串行总线(USB)等其他接口来连接。
监视器544或者其他类型的显示设备还经由例如视频适配器546等接口被连接到***总线518。除了监视器544之外,计算机通常包括其他***输出设备,例如打印机558和扬声器(未示出)。这些和其他输出设备常常通过被耦合到***总线518的串行端口接口526而被连接到处理单元502,但是可以通过例如并行端口、游戏端口或通用串行总线(USB)等其他接口来连接。媒体调谐器模块560还可以被连接到***总线518,以便调谐音频和视频节目(例如,TV节目)以供通过视频适配器546或者其他呈现输出模块来输出。
计算机500可以在使用到一个或多个远程计算机(例如远程计算机554)的网络化环境中操作。这些逻辑连接可以由被耦合到计算机500或与计算机500整合的通信设备来实现;本发明不限于特定类型的通信设备。远程计算机554可以是另一计算机、服务器、路由器、网络个人计算机、客户端、对等设备或者其他普通网络节点,并且通常包括以上就计算机500所描述的许多或所有元件,尽管图5中仅阐释存储器存储设备556。图5中描绘的逻辑连接包括局域网(LAN)550和广域网(WAN)552。这样连网环境在办公网络、企业范围的计算机网络、内联网和因特网中是常见的,这些网络是所有类型的网络。
当在LAN 550环境中使用时,计算机500可以通过网络接口或适配器528——例如以太网或者其他通信接口——而被连接到本地网络550。当在WAN 552环境中使用时,计算机500通常包括调制解调器548、网络适配器或用于在广域网552上建立通信的任何其他类型的通信设备。调制解调器548可以内置或外置,其经由串行端口接口526而被连接到***总线518。在网络化环境中,就个人计算机500描绘的程序模块或其部分可以被存储在远程存储器存储设备中。应明白,所示出的网络连接是示例性,且可以使用用于在计算机之间建立通信链路的其他装置和通信设备。
在此所描述的技术可以被实现为一个或多个***中的逻辑操作和/或模块。逻辑操作可以被实现为在一个或多个计算机***中执行的处理器实现的步骤的序列,且可以被实现为一个或多个计算机***内的互连机器或电路模块。同样地,可以依据由模块执行或影响的操作来提供对各种组件模块的描述。所得到的实现是抉择问题,这取决于实现所描述的技术的底层***的性能要求。因此,构成在此所描述的技术的实施例的逻辑操作被不同地称为操作、步骤、对象、或模块。此外,应理解,可以以任何次序执行逻辑操作,除非另外明确地声明或者具体次序在本质上是权利要求语言所必不可少的。
在一些实现中,制品被提供为计算机程序产品。在一种实现中,计算机程序产品被提供作为存储可由计算机***执行的经编码的计算机程序指令的计算机可读介质。计算机程序产品的另一实现可用计算机***在载波内具体化并编码了计算机程序的计算机数据信号来提供。在此还描述和记载了其他实现。
以上规定、示例和数据提供本发明的示例性实施例的结构和使用的完整描述。尽管以上已经以某种程度的特殊性或参考一个或多个个体实施例来描述了本发明的各种实施例,但本领域技术人员可以在不偏离本发明的精神或范围的情况下对所公开的实施例做出众多变动。尤其,应理解,所描述技术可以独立于个人计算机而被采用。因此预期其他实施例。上述描述中所包含的和附图中所示出的所有内容旨在应当被解释仅例示特定实施例而非进行限制。可以对细节或结构做出改变而不背离如所附权利要求书中定义的本技术的基本要素。
Claims (12)
1.一种用于认证存储设备(100)上的存储区域(116)的方法(400),包括:
协调与所述存储区域相对应的各个认证竖井的认证要求以创建包括一个或多个认证竖井组合的逻辑表达式,所述逻辑表达式指定至少两个认证竖井(406);
确定所述各个认证竖井的认证状态是否导致所述逻辑表达式的有效认证竖井组合,以便访问所述存储区域(416);以及
基于所述确定来授权由主机设备对所述存储区域的访问(418,422)。
2.如权利要求1所述的方法,所述逻辑表达式是基于制造商证书或预设证书的扩展字段中用于一个或多个认证竖井的配置设置的。
3.如权利要求1所述的方法,其特征在于,包括
在认证证书的扩展字段中设置所述存储区域的可配置设置的值;以及
在所述存储设备上安装所述认证证书。
4.如权利要求1所述的方法,其特征在于,所述协调操作进一步包括确定用于尝试认证所述各个认证竖井的优选序列。
5.如权利要求1所述的方法,其特征在于,所述协调操作进一步包括
确定对至少一个认证竖井的认证是否要求用户输入;以及
恳求用户输入以满足认证要求。
6.如权利要求1所述的方法,其特征在于,所述协调操作进一步包括询问认证证书以发现所述各个认证竖井和所述逻辑表达式。
7.如权利要求1所述的方法,其特征在于,所述协调操作进一步包括
发现所述各个认证竖井的认证状态的组合是否是由所述逻辑表达式内的认证竖井组合所指定的;以及
所述确定操作进一步包括计算是否满足所述各个认证竖井的认证状态的所述组合。
8.如权利要求7所述的方法,其特征在于,所述计算操作进一步包括计算所述各个认证竖井的所述认证状态的MaxTerm/MinTerm值。
9.一种用于认证存储设备上的存储区域的***,包括:
用于协调与所述存储区域相对应的各个认证竖井的认证要求以创建包括一个或多个认证竖井组合的逻辑表达式的装置,所述逻辑表达式指定至少两个认证竖井;
用于确定所述各个认证竖井的认证状态是否导致所述逻辑表达式的有效认证竖井组合的装置,以便访问所述存储区域;以及
用于基于所述确定来授权由主机设备对所述存储区域的访问的装置。
10.如权利要求9所述的***,其特征在于,所述***还包括用于确定用于尝试认证所述各个认证竖井的优选序列的装置。
11.如权利要求9所述的***,其特征在于,所述***还包括:
用于确定至少一个认证竖井的认证是否需要用户输入的装置;以及
用于恳求用户输入以满足认证要求的装置。
12.如权利要求9所述的***,其特征在于,所述***还包括:
用于发现所述各个认证竖井的认证状态的组合是否是由所述逻辑表达式内的认证竖井组合所指定的装置;以及
用于计算是否满足所述各个认证竖井的认证状态的所述组合的装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/146,066 US9122895B2 (en) | 2008-06-25 | 2008-06-25 | Authorization for transient storage devices with multiple authentication silos |
US12/146,066 | 2008-06-25 | ||
PCT/US2009/044655 WO2009158082A1 (en) | 2008-06-25 | 2009-05-20 | Authorization for transient storage devices with multiple authentication silos |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102077210A CN102077210A (zh) | 2011-05-25 |
CN102077210B true CN102077210B (zh) | 2015-04-08 |
Family
ID=41444864
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200980124786.5A Active CN102077210B (zh) | 2008-06-25 | 2009-05-20 | 带有多个认证竖井的临时存储设备的授权 |
Country Status (6)
Country | Link |
---|---|
US (2) | US9122895B2 (zh) |
EP (1) | EP2321762A4 (zh) |
JP (1) | JP5596029B2 (zh) |
KR (1) | KR101608102B1 (zh) |
CN (1) | CN102077210B (zh) |
WO (1) | WO2009158082A1 (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8561087B2 (en) | 2008-07-16 | 2013-10-15 | Sandisk Il Ltd. | Methods for enabling software in storage-capable devices |
US8930655B2 (en) | 2009-01-19 | 2015-01-06 | Microsoft Corporation | Transient storage device configuration silo |
US8819443B2 (en) | 2012-02-14 | 2014-08-26 | Western Digital Technologies, Inc. | Methods and devices for authentication and data encryption |
WO2014176539A1 (en) * | 2013-04-26 | 2014-10-30 | Interdigital Patent Holdings, Inc. | Multi-factor authentication to achieve required authentication assurance level |
US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
US20160065552A1 (en) | 2014-08-28 | 2016-03-03 | Drfirst.Com, Inc. | Method and system for interoperable identity and interoperable credentials |
US9961070B2 (en) | 2015-09-11 | 2018-05-01 | Drfirst.Com, Inc. | Strong authentication with feeder robot in a federated identity web environment |
US10542044B2 (en) * | 2016-04-29 | 2020-01-21 | Attivo Networks Inc. | Authentication incident detection and management |
US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
US10819696B2 (en) * | 2017-07-13 | 2020-10-27 | Microsoft Technology Licensing, Llc | Key attestation statement generation providing device anonymity |
EP3643040A4 (en) | 2017-08-08 | 2021-06-09 | SentinelOne, Inc. | METHODS, SYSTEMS AND DEVICES FOR DYNAMIC MODELING AND GROUPING OF END POINTS FOR EDGE NETWORKING |
US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
CN109309690B (zh) * | 2018-12-28 | 2019-04-02 | 中国人民解放军国防科技大学 | 一种基于报文认证码的软件白名单控制方法 |
US10762200B1 (en) | 2019-05-20 | 2020-09-01 | Sentinel Labs Israel Ltd. | Systems and methods for executable code detection, automatic feature extraction and position independent code detection |
DE102021205263A1 (de) | 2020-05-29 | 2021-12-02 | Apple Inc. | Sicheres teilen von anmeldeinformationen |
US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
WO2023119560A1 (ja) * | 2021-12-23 | 2023-06-29 | 日本電気株式会社 | 認証装置、認証方法、及び、記録媒体 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1556952A (zh) * | 2001-07-09 | 2004-12-22 | ���µ�����ҵ��ʽ���� | 内容管理***和信息记录媒体 |
US7086085B1 (en) * | 2000-04-11 | 2006-08-01 | Bruce E Brown | Variable trust levels for authentication |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0786839B2 (ja) | 1990-02-13 | 1995-09-20 | インターナショナル・ビジネス・マシーンズ・コーポレイション | マルチタスク式データ処理システム |
JPH0935030A (ja) * | 1995-07-14 | 1997-02-07 | Dainippon Printing Co Ltd | 携帯用情報記憶媒体 |
US5913227A (en) | 1997-03-24 | 1999-06-15 | Emc Corporation | Agent-implemented locking mechanism |
JP3004236B2 (ja) * | 1997-10-20 | 2000-01-31 | 株式会社東芝 | 携帯可能電子装置および携帯可能電子装置におけるアクセス管理方法 |
US6807632B1 (en) | 1999-01-21 | 2004-10-19 | Emc Corporation | Content addressable information encapsulation, representation, and transfer |
US6260120B1 (en) | 1998-06-29 | 2001-07-10 | Emc Corporation | Storage mapping and partitioning among multiple host processors in the presence of login state changes and host controller replacement |
US7165152B2 (en) | 1998-06-30 | 2007-01-16 | Emc Corporation | Method and apparatus for managing access to storage devices in a storage system with access control |
US6792424B1 (en) | 1999-04-23 | 2004-09-14 | International Business Machines Corporation | System and method for managing authentication and coherency in a storage area network |
US6751702B1 (en) | 2000-10-31 | 2004-06-15 | Loudcloud, Inc. | Method for automated provisioning of central data storage devices using a data model |
JP3943897B2 (ja) | 2001-10-30 | 2007-07-11 | 株式会社東芝 | 本人確認システム及び装置 |
JP2003248662A (ja) | 2002-02-22 | 2003-09-05 | Seiko Instruments Inc | 個人認証方法及びそのシステム、コンピュータプログラム |
US20040039909A1 (en) * | 2002-08-22 | 2004-02-26 | David Cheng | Flexible authentication with multiple levels and factors |
AU2003902422A0 (en) * | 2003-05-19 | 2003-06-05 | Intellirad Solutions Pty. Ltd | Access security system |
US7257835B2 (en) | 2003-05-28 | 2007-08-14 | Microsoft Corporation | Securely authorizing the performance of actions |
US7325097B1 (en) | 2003-06-26 | 2008-01-29 | Emc Corporation | Method and apparatus for distributing a logical volume of storage for shared access by multiple host computers |
US20050177724A1 (en) * | 2004-01-16 | 2005-08-11 | Valiuddin Ali | Authentication system and method |
US7860486B2 (en) * | 2004-10-22 | 2010-12-28 | Broadcom Corporation | Key revocation in a mobile device |
US7634548B2 (en) * | 2005-04-02 | 2009-12-15 | Microsoft Corporation | Distributed service deliver model |
US20060224623A1 (en) | 2005-04-02 | 2006-10-05 | Microsoft Corporation | Computer status monitoring and support |
US20070061571A1 (en) * | 2005-09-09 | 2007-03-15 | Hammes Peter S | System and method for managing security testing |
US8607045B2 (en) | 2005-09-09 | 2013-12-10 | Emc Corporation | Tokencode exchanges for peripheral authentication |
US8090945B2 (en) * | 2005-09-16 | 2012-01-03 | Tara Chand Singhal | Systems and methods for multi-factor remote user authentication |
US20070208823A1 (en) | 2006-02-17 | 2007-09-06 | Marvin Shannon | System and Method for Making a Data Silo to Distribute Electronic Data |
US20070245153A1 (en) * | 2006-04-18 | 2007-10-18 | Brent Richtsmeier | System and method for user authentication in a multi-function printer with a biometric scanning device |
US8429724B2 (en) * | 2006-04-25 | 2013-04-23 | Seagate Technology Llc | Versatile access control system |
JP5023867B2 (ja) | 2007-07-31 | 2012-09-12 | 横浜ゴム株式会社 | 空気入りタイヤ |
JP5345489B2 (ja) | 2009-09-18 | 2013-11-20 | アルパイン株式会社 | 押圧操作型入力装置 |
-
2008
- 2008-06-25 US US12/146,066 patent/US9122895B2/en active Active
-
2009
- 2009-05-20 JP JP2011516375A patent/JP5596029B2/ja active Active
- 2009-05-20 WO PCT/US2009/044655 patent/WO2009158082A1/en active Application Filing
- 2009-05-20 CN CN200980124786.5A patent/CN102077210B/zh active Active
- 2009-05-20 EP EP09770617A patent/EP2321762A4/en not_active Ceased
- 2009-05-20 KR KR1020107028858A patent/KR101608102B1/ko active IP Right Grant
-
2015
- 2015-07-28 US US14/810,815 patent/US10366254B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7086085B1 (en) * | 2000-04-11 | 2006-08-01 | Bruce E Brown | Variable trust levels for authentication |
CN1556952A (zh) * | 2001-07-09 | 2004-12-22 | ���µ�����ҵ��ʽ���� | 内容管理***和信息记录媒体 |
Non-Patent Citations (2)
Title |
---|
Authentication in Transient Storage Device Attachments;Donald Rich;《Computer》;20070430;第103页,附图1 * |
IEEE Standard Protocol for Authentication in Host Attachments of Transient Storage Devices;the P1677 Working Group;《IEEE Std 1667-2006》;20061206;第9.2,9.4部分 * |
Also Published As
Publication number | Publication date |
---|---|
EP2321762A4 (en) | 2011-10-05 |
EP2321762A1 (en) | 2011-05-18 |
US10366254B2 (en) | 2019-07-30 |
KR101608102B1 (ko) | 2016-03-31 |
KR20110038633A (ko) | 2011-04-14 |
CN102077210A (zh) | 2011-05-25 |
WO2009158082A1 (en) | 2009-12-30 |
US9122895B2 (en) | 2015-09-01 |
JP5596029B2 (ja) | 2014-09-24 |
US20150332068A1 (en) | 2015-11-19 |
US20090328196A1 (en) | 2009-12-31 |
JP2011526028A (ja) | 2011-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102077210B (zh) | 带有多个认证竖井的临时存储设备的授权 | |
CN111478917B (zh) | 一种为访问控制装置和用户终端提供网络服务的后台*** | |
US8800003B2 (en) | Trusted device-specific authentication | |
US8209394B2 (en) | Device-specific identity | |
CA2751138C (en) | Transforming static password systems to become 2-factor authentication | |
US11184353B2 (en) | Trusted status transfer between associated devices | |
US9256723B2 (en) | Security key using multi-OTP, security service apparatus, security system | |
JP7194847B2 (ja) | デジタルキー、端末デバイス、及び媒体の同一性を認証する方法 | |
CN108632268A (zh) | 区块链访问的鉴权方法和装置、存储介质、电子装置 | |
US20070283427A1 (en) | Simplified identity management of a common area endpoint | |
CN104320389B (zh) | 一种基于云计算的融合身份保护***及方法 | |
CN106534080B (zh) | 物体访问权限管理方法及相应后台***、装置、用户终端 | |
CN101669128A (zh) | 级联认证*** | |
CN102077287B (zh) | 瞬态存储设备的安全配置 | |
CN105337974A (zh) | 账号授权方法、账号登录方法、账号授权装置及客户端 | |
JP4764339B2 (ja) | 電子証明のセキュア化及び確認方法 | |
KR20110105982A (ko) | 원격 사용자 인증 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150724 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20150724 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |