CN103477602A - 用于提供秘密委托的方法和设备 - Google Patents
用于提供秘密委托的方法和设备 Download PDFInfo
- Publication number
- CN103477602A CN103477602A CN2011800700978A CN201180070097A CN103477602A CN 103477602 A CN103477602 A CN 103477602A CN 2011800700978 A CN2011800700978 A CN 2011800700978A CN 201180070097 A CN201180070097 A CN 201180070097A CN 103477602 A CN103477602 A CN 103477602A
- Authority
- CN
- China
- Prior art keywords
- secret
- certificate secret
- equipment
- described certificate
- computer program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于提供秘密委托的方法可以包括:接收应用于与信任执行环境中的分布式应用相关联的算法的证书秘密,引起对该证书秘密从一个通信设备向至少一个其它通信设备的委托,以及在向至少一个其它通信设备传送该证书秘密的修改版本之前,以使得能够确定该证书秘密的世代的方式修改该证书秘密。还提供了对应于该方法的设备和计算机程序产品。
Description
技术领域
本发明的实施例总体上涉及设备安全技术,并且更具体地,涉及一种用于提供可以用于结合认证机制而被采用的证书的秘密委托的方法和设备。
背景技术
移动终端、诸如便携式通信设备(PCD)(例如,蜂窝电话)、便携式数字助理(PDA)、膝上计算机或者能够与无线网络进行通信的任意适当设备的安全对于电子通信设备的拥有者而言越来越重要。安全关于诸如在线银行应用的分布式应用或者向基于web的服务或企业网络提供访问而言会是特别重要的。在一些情况下,可以使用加密协议在这些和其它环境中提供安全。这些加密协议可以使用“证书”,该“证书”包括安全数据(例如,密钥)的项以及向该安全数据应用加密变换的关联算法。
用于管理安全存储以及证书使用的方法的范围可以从并不那么安全的相对廉价和灵活的机制(例如,密码管理器)到更为安全但却昂贵且不灵活的机制(例如,硬件令牌)。因此,期望提供相对高的安全性而无需极大的复杂度、不灵活性和花费。
发明内容
因此,提供了一种方法、设备和计算机产品以使得能够提供一种用于提供相对高级别的安全性的轻量级方法。就此而言,例如,提供了一种机制,其提供了用于结合基于秘密或证书的认证而使用的委托机制。
在示例实施例中,提供了一种用于提供秘密委托的方法。该方法可以包括接收应用于与信任执行环境中的分布式应用相关联的算法的证书秘密,引起对该证书秘密从一个通信设备向至少一个其它通信设备的委托,以及在向至少一个其它通信设备传送该证书秘密的修改版本之前,以使得能够确定该证书秘密的世代的方修改该证书秘密。
在另一个示例实施例中,提供了一种用于提供秘密委托的计算机程序产品。该计算机程序产品包括至少一个计算机可读存储介质,该至少一个计算机可读存储介质具有存储于其中的计算机可执行程序代码指令。该计算机可执行程序代码指令可以包括如下的程序代码指令:用于接收应用于与信任执行环境中的分布式应用相关联的算法的证书秘密,引起对该证书秘密从一个通信设备向至少一个其它通信设备的委托,以及在向至少一个其它通信设备传送该证书秘密的修改版本之前,以使得能够确定该证书秘密的世代的方式修改该证书秘密。
在另一个示例实施例中,提供了一种用于提供秘密委托的设备。该设备可以包括至少一个处理器和至少一个包括计算机程序代码的存储器。该至少一个存储器和计算机程序代码可以被配置为与该至少一个处理器一起使得该设备至少执行:接收应用于与信任执行环境中的分布式应用相关联的算法的证书秘密,引起对该证书秘密从一个通信设备向至少一个其它通信设备的委托,以及在向至少一个其它通信设备传送该证书秘密的修改版本之前,以使得能够确定该证书秘密的世代的方式修改该证书秘密。
在又另一个示例实施例中,提供了一种用于提供秘密委托的设备。该设备可以包括用于接收应用于与信任执行环境中的分布式应用相关联的算法的证书秘密的装置,用于引起对该证书秘密从一个通信设备向至少一个其它通信设备的委托的装置,以及用于在向至少一个其它通信设备传送该证书秘密的修改版本之前,以使得能够确定该证书秘密的世代的方式修改该证书秘密的装置。
本发明的实施例可以提供一种用于例如在移动或固定环境中使用的方法、设备和计算机程序产品。作为结果,例如,计算设备用户可以享受到有所提高的用于安全访问内容、服务和/或信息的能力。
附图说明
因此已经在整体上对本发明的一些实施例进行了描述,现在将对附图进行参考,这些附图并不必以比例进行绘制,其中:
图1图示了可以受益于本发明示例实施例的移动终端的框图;
图2是根据本发明示例实施例的无线通信***的示意性框图;
图3图示了根据本发明示例实施例的用于使得能够提供秘密委托的设备;
图4图示了可以根据示例实施例而提供的示例秘密委托过程;
图5是依据根据本发明示例实施例的用于提供秘密委托的示例方法的流程图。
具体实施方式
现在将参考附图在下文中对本发明的一些实施例进行更为全面地描述,附图中示出了本发明的一些而非全部实施例。实际上,本发明的各个实施例可以以许多不同方式来体现,而并不应当被理解为局限于在本文中所给出的实施例;相反,提供这些实施例而使得本公开将满足可适用的法律要求。相同的附图标记通篇指代相同要素。如本文中所使用的,术语“数据”、“内容”、“信息”以及类似术语可以互换使用以指代能够依据本发明的实施例而传输、接收和/或存储的数据。因此,这样的术语的使用并不应当被理解为对本发明实施例的精神和范围进行限制。
此外,如本文中所使用的,术语“电路”是指(a)仅硬件的电路实施方式(例如仅以模拟和/或数字电路的实施方式);(b)电路和(多个)计算机程序产品的组合,该计算机程序产品包括存储在一个或多个计算机可读存储器上的软件和/或固件指令,该软件和/或固件指令共同工作以引起该设备执行在本文中所描述的一个或多个功能;以及(c)诸如、例如(多个)微处理器或(多个)微处理器的部分的电路,其需要用于操作软件或固件,即使软件或固件并非物理存在。“电路”的这个定义应用于在本文中该术语的所有使用,包括在任意权利要求中。作为进一步的示例,如本文中所使用的,术语“电路***”还包括以下的实施方式,该实施方式包括一个或多个处理器和/或其(多个)部分并且伴随有软件和/或固件。作为另一个示例,如本文中所使用的术语“电路***”还包括、例如用于移动电话的基带集成电路或应用处理器集成电路,或者服务器、蜂窝网络设备、其它网络设备和/或其它计算设备中类似的集成电路。
如本文中所定义的,指代非瞬时物理存储介质(例如,易失性或非易失性存储器设备)的“计算机可读存储介质”可以区别于指代电磁信号的“计算机可读传输介质”。
移动和固定电子设备两者有关于它们的分布式应用进行交互的能力继续演进。为了在这样的环境中使用,证书的迁移和传送会是复杂的事务。一些证书可以被有意地可传送或者不可传送,并且在一些情况下,执行证书迁移或传送的能力可以进一步取决于对证书进行验证的实体。机载证书(ObC)提供了一种用于存储证书秘密的安全环境以及一种执行环境,在该执行环境中对那些秘密进行操作的证书代码可以独立于设备的操作***而执行。ObC还可以提供用于设备认证的机制(例如,其中制造商证明支持ObC的设备是安全的这一事实)。在一些情况下,可以有以下的特征,该特征用于为了密钥(例如,RSA密钥)仅对由其代码签名(例如,使用代码散列作为标识符)所识别的特定证书代码的密钥使用可访问这一事实,而提供提供签署的证明证据。
在一些实施例中,ObC架构可以提供代码的自行提供,其中可以使得证书自身能够生成信任的、设备特有的环境,证书在该环境中存储并维护秘密。证书迁移和控制可以通过将元数据添加到证书而进行布置。ObC中的执行环境可以使用各种同族(family)进行控制和隔离。因此,向提供的环境添加元数据可以提供一种用于定义和管理证书的传送的解决方案。然而,该方法可能导致相对复杂且脆弱的实施方式,其要求明确定义的迁移协议以及必须事先获知的用于迁移的规则集合。除了复杂度之外,迁移服务的语法要求可能由于需要在部署之前对其进行定义而受到影响。
因此,一些示例实施例可以提供一种用于处理证书迁移的轻量级的解决方案。就此而言,例如,一些示例实施例可以提供一种架构和实施方式,其连同对设备证明的支持一起对ObC程序的自行提供能力加以利用,以便为证书构造一种轻量级的委托***,该***可以用作迁移***,具有依赖于对称性秘密的任意认证机制。对称性秘密可以是在服务器(或验证实体)上和被认证的设备(例如,支持ObC的终端)上部署的相同(或衍生)秘密。然而,应当认识到的是,示例实施例无需必然仅在客户端-服务器环境中被采用。实际上,一些示例实施例也可以在端对端(P2P)环境中进行实践。委托代码可以对于任意认证机制而言相同并且可以是隔离的(例如,在子例程中)。委托功能可以以大小相对小的模块或实体来体现,并且可以轻易地符合例如可能由ObC或其它信任执行环境所隐含的大小约束。
图1,作为本发明的一个示例实施例,图示了可以受益于本发明实施例的移动终端10的框图。然而,应当理解的是,如所图示以及在下文中所描述的移动终端仅是可以受益于本发明的实施例的一种类型的设备的图示,并且因此不应当被理解为对本发明实施例的范围进行限制。虽然可以出于示例的目的而图示并且在下文中描述移动终端10的若干实施例,但是诸如便携式数字助理(PDA)、传呼机、移动电视、游戏设备、所有类型的计算机(例如,膝上计算机或移动计算机)、相机、音频/视频播放器、收音机、全球定位***(GPS)设备,或者上述的任意组合的其它类型的移动终端可以轻易地采用本发明的实施例。此外,固定电子设备(例如,个人计算机(PC)、网络访问终端和/或之类的)在一些情况下也可以采用示例实施例。
移动终端10可以包括与发送器14和接收器16进行可操作的通信的天线12(或多个天线)。移动终端10可以进一步包括诸如控制器20或其它处理器的设备,该设备分别向发送器14提供信号并且从接收器16接收信号。信号可以包括依据可应用蜂窝***的空中接口标准的信令信息,和/或还可以包括与用户语音、所接收的数据和/或用户所生成的数据相对应的数据。就此而言,移动终端10可以能够利用一个或多个空中接口标准、通信协议、调制类型和访问类型进行操作。通过图示,移动终端10可以能够依据多个第一、第二、第三和/或***通信协议中的任一种进行操作。例如,移动终端10能够依据第二代(2G)无线通信协议IS-136(时分多址(TDMA))、GSM(全球移动通信***)和IS-95(码分多址(CDMA))进行操作,或者依据第三代(3G)无线通信协议、诸如通用移动电信***(UMTS)、CDMA2000、宽带CDMA(WCDMA)和时分同步CDMA(TD-SCDMA)进行操作,依据3.9G无线通信协议、诸如E-UTRAN(演进型通用地面无线接入网络)进行操作,依据***(4G)无线通信协议进行操作,等等。作为备选的(或附加地),移动终端10可以能够依据非蜂窝通信机制进行通信。例如,移动终端10可以能够在无线局域网(WLAN)或其它通信网络中进行通信。
应当理解的是,诸如控制器20之类的设备可以包括实施,除其它之外,移动终端10的音频和逻辑功能的电路***。例如,控制器20可以包括数字信号处理器设备、微处理器设备以及各种模数转换器、数模转换器和/或其它支持电路。移动终端10的控制和信号处理功能根据这些设备的相应能力而在它们之间进行分配。控制器20因此还可以包括在调制和传输之前对消息和数据进行卷积编码和交织的功能。控制器20还可以包括内部语音编码器,并且可以包括内部数据调制解调器。进一步地,控制器20可以包括操作一个或多个软件程序的功能,这些软件程序可以存储在存储器中。例如,控制器20可以能够对诸如常规Web浏览器之类的连接程序进行操作。然后连接程序因此可以允许移动终端10根据例如无线应用协议(WAP)、超文本传输协议(HTTP)和/或之类的传输并接收Web内容,诸如基于位置的内容和/或其它网页内容。
移动终端10还可以包括用户接口,该用户接口包括诸如耳机或扬声器24、响铃22、麦克风26、显示器28之类的输出设备,以及可以耦合至控制器20的用户输入接口。允许移动终端10接收数据的用户输入接口可以包括允许移动终端10接收数据的任意多个设备,诸如键盘30、触摸显示屏(未特别示出,虽然在一些情况下可以以显示器28作为示例)、麦克风和其它输入设备。在包括键盘30的实施例中,键盘30可以包括数字(0-9)和相关按键(#、*),以及用于操作移动终端10的其它软硬按键。可替换地,键盘30可以包括常规的QWERTY键盘布置。键盘30还可以包括具有相关联功能的各种软按键。除此之外或可替换地,移动终端10可以包括诸如操纵杆或其它用户输入接口的接口设备。移动终端10进一步包括诸如振动电池组之类的电池34,用于对用来操作移动终端10的各种电路进行供电以及可选地提供机械振动作为可检测输出。
移动终端10可以进一步包括用户身份模块(UIM)38,其一般可以被称之为智能卡。UIM 38典型地是具有内建处理器的存储器设备。UIM 38可以包括、例如订户身份模块(SIM)、通用集成电路卡(UICC)、通用订户身份模块(USIM)、可移动用户身份模块(R-UIM),或者任意其它智能卡。UIM 38典型地存储与移动订户相关的信息要素。除了UIM 38之外,移动终端10可以配备有存储器。例如,移动终端10可以包括易失性存储器40,诸如易失性随机访问存储器(RAM),其包括用于数据的临时存储的缓存区域。移动终端10还可以包括其它非易失性存储器42,其可以是嵌入式的和/或可移动的。可替换地或除此之外,非易失性存储器42可以包括电可擦除可编程只读存储器(EEPROM)、闪存等。存储器可以存储由移动终端10用来实施其功能的任意多个片段的信息和数据。
图2是根据本发明的示例实施例的无线通信***的示意性框图。现在参考图2,提供了将受益于本发明的实施例的一种***的图示。如图2所示,依据本发明示例实施例的***包括第一通信设备(例如,移动终端10),并且在一些情况下还包括第二通信设备48,它们均能够与网络50进行通信。第二通信设备48可以是另一移动终端,或者是固定计算机或计算机终端(例如,个人计算机(PC))。提供第二通信设备48用于图示示例实施例可以在多个设备上进行实践或者与多个设备相结合。因此,关于可以包括在网络50中并且可以独立于网络50或者与之相结合地实践示例实施例的其它设备的实例可以存在多样性。该***的通信设备可以能够经由网络50与网络设备进行通信或者相互进行通信。在一些实施例中,该***的通信设备与之进行通信的网络设备可以包括服务平台60。在示例实施例中,移动终端10(和/或第二通信设备48)能够与服务平台60进行通信以提供请求和/或接收信息。然而,在一些实施例中,并非采用本发明实施例的所有***都可以包括本文中所图示和/或描述的所有设备。
在示例实施例中,网络50包括能够经由相对应的有线和/或无线接口互相通信的各种不同节点、设备或功能的采集。这样,图2的图示应当被理解为是***的某些元件的概览的示例,而并非***或网络50的无所不包或详细视图的示例。虽然并非必要,但是在一些实施例中,网络50能够支持依据多个第一代(1G)、第二代(2G)、2.5G、第三代(3G)、3.5G、3.9G、***(4G)移动通信协议、长期演进(LTE)、高级LTE(LTE-A)等中的任意一个或多个的通信。
诸如移动终端10和第二通信设备48的一个或多个通信终端能够经由网络50互相通信并且均可以包括用于向基站传输信号并且从其接收信号的一个或多个天线,该基站例如可以是作为一个或多个蜂窝或移动网络的一部分的基站或者可以耦合至数据网络的接入点,该数据网络诸如局域网(LAN)、城域网(MAN)和/或诸如互联网的广域网(WAN)。进而,诸如处理设备或元件之类的其它设备(例如,个人计算机、服务器计算机等)可以经由网络50耦合至移动终端10和第二通信设备48。通过将移动终端10、第二通信设备48和其它设备直接或间接连接至网络50,移动终端10和第二通信设备48可以能够例如根据包括超文本传输协议(HTTP)等在内的多个通信协议与其它设备(或互相)进行通信,由此分别执行移动终端10和第二通信设备48的各种通信或其它功能。
此外,虽然并未在图2中示出,移动终端10和第二通信设备48可以例如依据射频(RF)、蓝牙(BT)、红外(IR)或者包括LAN、无线LAN(WLAN)、全球微波接入互操作性(WiMAX)、WiFi、超宽带(UWB)、Wibree技术等在内的任意多种不同有线或无线通信技术进行通信。这样,移动终端10和第二通信设备48能够通过任意多种不同的接入机制与网络50进行通信以及互相通信。例如,诸如宽带码分多址(W-CDMA)、CDMA2000、全球移动通信***(GSM)、通用分组无线服务(GPRS)等的移动接入机制可以得到支持,以及诸如WLAN、WiMAX等的无线访问接入和诸如数字订户线路(DSL)、线缆调制解调器、以太网等之类的固定接入机制。
在示例实施例中,服务平台60可以是诸如服务器或其它处理设备之类的设备或节点。服务平台60可以具有任意数量的功能或者与各种服务的关联。这样,例如,服务平台60可以是诸如与特定信息源或服务(例如,认证服务、安全服务等)相关联的专用服务器(或服务器银行)的平台,或者服务平台60可以是与一个或多个其它功能或服务相关联的后端服务器。这样,服务平台60表示多个不同服务或信息源的潜在主机。在一些实施例中,服务平台60的功能由硬件和/或软件组件提供,该硬件和/或软件被配置用于依据用于向通信设备的用户提供信息的已知技术进行操作。然而,服务平台60所提供的至少一些功能是依据本发明的示例实施例提供的信息。
在示例实施例中,服务平台60可以持有用于提供与根据本发明实施例的利用对称证书提供在线或离线认证的秘密委托相关的服务的设备。这样,在一些实施例中,服务平台60自身可以执行示例实施例,而在其它实施例中,服务平台60可以促进示例实施例在另一设备(例如,移动终端10和/或第二通信设备48)的操作。在再其它的示例实施例中,可以根本不包括服务平台60。换句话说,在一些实施例中,依据示例实施例的操作可以在不与网络50和/或服务平台60进行交互的情况下在移动终端10和/或第二通信设备48处执行(例如,在移动终端10和第二通信设备48在其中互相直接通信并且还可能与其它设备进行通信的P2P网络中)。
现在将参考图3对示例实施例进行描述,其中显示了使能利用对称证书提供在线或离线认证的秘密委托的设备的某些元件。图3的设备例如可以采用在图2的服务平台60、移动终端10和/或第二通信设备48上。然而,应当注意的是,图3的设备也可以采用在各种其它设备上。因此,示例实施例不应当被局限于诸如图2的服务平台60、移动终端10或第二通信设备48的设备上的应用。可替换地,实施例可以采用在例如包括以上所列出的那些在内的设备的组合上。因此,一些示例实施例可以整体在单个设备处体现(例如,服务平台60、移动终端10或第二通信设备48),或者由处于客户端/服务器关系的设备所体现(例如,向移动终端10和/或第二通信设备48供应信息的服务平台60)。此外,应当注意的是,以下所描述的设备或元件可能并非是强制的,并且因此一些可以在某些实施例中被省略。
现在参考图3,提供了用于使能利用对称证书提供在线或离线认证的秘密委托的设备65。设备65可以包括处理器70、用户接口72、通信接口74和存储器设备76,或者以其它方式与它们进行通信。存储器设备76可以包括例如一个或多个易失性和/或非易失性存储器。换句话说,例如,存储器设备76可以是包括门电路的电子存储设备(例如,计算机可读存储器介质),该门电路被配置用于存储由机器(例如,如处理器70的计算设备)可取回的数据(例如,比特)。存储器设备76可以被配置用于存储信息、数据、应用、指令等以便使该设备能够依据本发明的示例实施例而执行各种功能。例如,存储器设备76可以被配置用于对输入数据进行缓冲以便由处理器70进行处理。除此之外或可替换地,存储器设备76可以被配置用于存储指令以便由处理器70来执行。
在一些实施例中,设备65可以是网络设备(例如,服务平台60)或者可以独立于网络或者与网络相结合进行操作的其它设备(例如,移动终端10或第二通信设备48)。然而,在一些实施例中,设备65可以在服务平台60、移动终端10和第二通信设备48中的一个或多个处进行例示。因此,设备65可以是被配置用于采用本发明的示例实施例的任意计算设备。然而,在一些实施例中,设备65可以被体现为芯片或芯片组(其进而可以在上述设备之一处得以被采用)。换句话说,设备65可以包括一个或多个物理封装(例如,芯片),该物理封装可以包括结构性组装件(例如,基板)上的材料、组件和/或线。该结构性组装件可以为其上所包括的组件电路提供物理强度、尺寸保持和/或电气交互限制。因此,在一些情况下,设备65可以被配置用于在单个芯片上或者作为单个“片上***”来实施本发明的实施例。这样,在一些情况下,芯片或芯片组可以构成用于执行提供本文中所描述的功能的一个或多个操作的装置。
处理器70可以以多种不同的方式来体现。例如,处理器70可以被体现为诸如协同处理器、微处理器、控制器、数字信号处理器(DSP)、具有或不具有伴随DSP的处理元件的各种硬件处理装置中的一个或多个,或者包括集成电路的各种其它处理电路***,上述集成电路例如ASIC(专用集成电路)、FPGA(现场可编程门阵列)、微控制器单元(MCU)、硬件加速器、专用计算机芯片等。这样,在一些实施例中,处理器70可以包括被配置用于独立执行的一个或多个处理核。多核处理器可以使能在单个物理封装内进行多个处理。除此之外或可替换地,处理器70可以包括一个或多个处理器,该处理器经由总线而串联配置以使能独立执行指令、管道和/或多线程。
在示例实施例中,处理器70可以被配置用于执行存储器设备76中所存储或者其可以以其它方式由处理器70可访问的指令。可替换地或除此之外,处理器70可以被配置用于执行硬编码功能。这样,无论是通过硬件还是软件方法或者通过其组合进行配置,处理器70都可以表示能够在相应配置的同时执行根据本发明实施例的操作的实体(例如,在电路***中物理地体现)。因此,例如,当处理器70被体现为ASIC、FPGA等时,处理器70可以是用于进行在本文中所描述的操作的特别配置的硬件。可替换地,作为另一个示例,当处理器70被体现为软件指令的执行器时,该指令可以对处理器70进行特别配置以在该指令被执行时执行在本文中所描述的算法和/或操作。然而,在一些情况下,处理器70可以是以下的具体设备(例如,移动终端或网络设备),该具体设备适于通过用于执行在本文中所描述的算法和/或操作的指令对处理器70进行进一步配置而采用本发明实施例。除其它之外,处理器70可以包括被配置用于支持处理器70的操作的时钟、算术逻辑单元(ALU)和逻辑门电路。
与此同时,通信接口74可以是诸如以硬件或者硬件和软件的组合所体现的设备或电路***的任意装置,其被配置用于从网络和/或与设备50进行通信的任意其它设备或模块接收数据和/或向其传输数据。就此而言,通信接口74可以包括例如天线(或多个天线)并且使得能够与无线通信网络进行通信的支持硬件和/或软件。在一些环境中,通信接口74可以可替换地或者还支持有线通信。这样,例如,通信接口74可以包括用于支持经由线缆、数字订户线路(DSL)、通用串行总线(USB)或其它机制的通信的通信调制解调器和/或其它硬件/软件。
用户接口72可以与处理器70进行通信以接收用户接口72处的用户输入的指示和/或向用户提供听觉、视觉、机械或其它输出。这样,用户接口72可以包括、例如键盘、鼠标、操纵杆、显示器、(多个)触摸屏、触摸区、软按键、麦克风、扬声器或者其它输入/输出机制。在设备65被体现为服务器或一些其它网络设备的示例实施例中,用户接口72可以是受限的或者被排除。然而,在设备65被体现为通信设备(例如,移动终端10)的实施例中,除其它设备或元件之外,用户接口72可以包括扬声器、麦克风、显示器和键盘等的任意或全部。就此而言,例如,处理器70可以包括用户接口电路***,该用户接口电路***被配置用于控制例如扬声器、响铃、麦克风、显示器等的用户接口的一个或多个元件的至少一些功能。处理器70和/或包括处理器70的用户接口电路***可以被配置用于通过由处理器70可访问的存储器(例如,存储器设备76等)上所存储的计算机程序指令(例如,软件和/或固件)来控制用户接口的一个或多个元件的一个或多个功能。
在示例实施例中,处理器70可以被体现为、包括或者以其它方式控制委托管理器70。这样,在一些实施例中,处理器70可以被认为引起、指导或控制如本文中所描述的归因于委托管理器80的各种功能的执行或发生。委托管理器80可以是诸如以下设备或电路***的任意装置,由此对该设备或电路进行配置以执行如在本文中所描述的委托管理器80的相对应功能,该设备或电路***依据软件或者以其它方式体现为硬件或硬件和软件的组合(例如,在软件控制下进行操作的处理器70,被体现为被特别配置用于执行在本文中所描述的操作的ASIC或FPGA的处理器70,或者其组合)进行操作。因此,在采用软件的示例中,执行该软件的设备或电路***(例如,一个示例中的处理器70)形成了与这样的装置相关联的结构。
在一些实施例中,委托管理器80可以被配置用于促进用于证书的委托***的提供,该证书可以采用利用对称秘密的任意认证机制。在协议级别上,示例实施例可以采用以下的概念,该概念是应用于算法(其可以是任意算法)的证书(或秘密)将通过加密散列函数的重复应用而反映出其委托路径的世代。因此,例如,具有证书的原始设备可以利用该证书(或秘密)进行操作。然而,一旦该原始设备将该证书委托给另一设备(例如,另一支持ObC的设备),则原始设备可以在将该证书传送(或委托)至其它设备之前对该证书进行散列处理。因此,其它设备可以接收作为原始证书或秘密的散列的证书。这样,如果原始设备利用被表示为“秘密”的证书进行操作,则其它设备可以利用该证书的散列进行操作,该证书的散列可以被表示为H(secret)。如果其它设备之后将该秘密传送(或委托)至第三设备,则该第三设备可以接收已经散列处理过的证书的散列。因此,其它设备可以生成H(secret)的散列以便创建H(H(secret)),该H(H(secret))可以由第三设备所接收。上述散列函数可以由委托管理器80来进行。此外,在一些实施例中,秘密链或散列链可以包括在散列操作中。因此,例如,新的证书秘密可以是k2=H(k,info)而不仅是k2=H(k)。
当在准备传送证书而因此将证书委托给另一设备(例如,移动终端10或第二通信设备48)的任意终端进行操作时,委托管理器80可以被配置用于向将要传送的证书应用散列函数。从一个设备(例如,支持ObC的设备)向另一个设备(例如,另一个支持ObC的设备)传送或委托证书的过程可以包括自行提供。这样,在一些实施例中,委托管理器80可以被配置用于处理自行提供。因此,例如,可以提供委托管理器80以生成用于在任意信任执行环境(TEE)中的应用的协议,在该TEE中该应用能够在以下环境中另一应用委托信息,在该环境中接收设备及其证书应用的真实性都能够得到保证的环境中的。这一点可以在例如专用安全元件中完成,该专用安全元件诸如被指派给单一用途的智能卡。
图4图示了可以根据示例实施例而提供的示例秘密委托过程。如图4所示,第一设备(终端A(例如,移动终端10))和第二设备(终端B(例如,第二通信设备48))均可以能够与服务器90(例如,服务平台60)进行通信。在该示例中,可以将秘密(K)提供给终端A。并没有指定如何执行将原始秘密K提供至终端A(例如,其可以是用户输入或外部ObC提供),图4图示了终端A使用算法(A)对与服务器90相关联的服务进行认证,该算法(A)可以是、例如任意认证、支付、票务算法或者与分布式应用相关联的其它算法。算法A可以以K作为密钥并且终端A之后可以在算法A的环境中针对B执行秘密K的自行迁移。自行迁移可以迫使秘密K将其转换为终端B中的H(k)。函数H的确切形式不必要是固定的,而可以是将不与可以结合算法A使用的其它函数相冲突的任何一致性函数。这样,委托管理器80的实例可以在终端A和终端B的每一个进行工作,以处理秘密以及在传送秘密的环境中与该秘密相关联的任意散列。在一些实施例中,可以使得委托管理器80(例如,当在执行验证的设备(例如,服务器90)处例示时)能够应用认证和/或授权算法(例如,在一些情况下通过限制尝试错误),以确定协议中所使用的秘密的“委托世代”并且相应地进行调整。这样,委托管理器80可以被配置用于利用秘密的散列链作为秘密委托的指示。
通常,应用绑定在一些环境中可能是稍微存在问题的。通过在ObC环境中应用委托管理器80,可以提供用于实现应用绑定的所有必要原语。就此而言,例如,证书秘密最初可以被远程提供至证书程序或者进行本地提供(例如,在针对证书应用的输入进行提供)。在ObC中,在从第一设备(终端A)向第二设备(终端B)的委托之前,第二设备(终端B)可以经由其平台证书进行认证。缺省地,ObC以x.509格式提供证书,但是也可以构建更易于由ObC程序可解析的格式。因此,第一设备(终端A)可以确定接收设备为其中ObC原本就在TEE中运行的设备。由ObC程序生成的任意RSA密钥PKB可以被指派以仅对该相对应的具体程序进行服务。这一事实可以另外利用终端B的平台密钥所进行的签名而得到证明。因此,终端A可以确定的是,例如,接收设备(终端B)具有解密密钥SKB(PKB的秘密分量),其仅可用于与当前运行在终端A中的代码具有相同签名(散列)的代码,并且该解密密钥的公共分量是出现在证明证据中的那个。随着这一点被确定,利用PKB所加密的任意信息仅可由另一被许可设备中的相同代码进行解密。终端A因此可以得到它的秘密K,计算H(K)并且将利用公共密钥PKB所加密的H(K)发送至终端B。终端B中的代码之后可以对秘密H(K)进行解密,并且将其自行提供给自己。由于终端A和终端B中的代码等同,所以终端A关于该秘密将被存储在终端B中的方式而言可以是满意的,该方式是与其将在终端A中进行存储的相同方法。除了终端B中的秘密是终端A中的秘密的散列之外,终端B之后能够以与终端A使用原始秘密的相同方法(例如,使用相同代码)来使用所接收的秘密。如以上所指出的,诸如服务器90的外部一方能够告知所使用的秘密中的世代差异。
如能够从以上描述所认识到的,可以以相对轻量级但有利的方式提供根据示例实施例的委托。在一些情况下,可以在提供备份密码的环境中采用示例实施例,其中服务器可以将原始秘密发布至具有H(secret)的设备或者向被使得能够产生一些原始秘密的散列的设备指派新的秘密。该操作模式可以与随秘密一起使用的算法完全分离。因此,该机制可适于独立于所采用的具体证书而在任意证书环境中使用
还可以认识到,预期识别出以上所描述的委托秘密的机制的服务器或验证实体可以进行升级或者以其它方式进行配备,以理解和/或测试基于在委托链中所处理的秘密的认证。没有以这种方式被配备以理解或测试认证的服务器可以简单地返回错误直至该服务器被升级。在一些情况下,或者如果例如所委托秘密的使用仅被用作重新提供活动内部的证明,则服务器或服务可以确定针对所要接受的委托层级数量的限制。
在一些实施例中,与用于秘密委托的散列链的创建相关联的证书信息的发送和接收两者均可以由ObC环境中的独立子例程来处理。因此,例如,委托管理器80可以在任意设备处进行例示并且基于将相对应的子例程加载到设备中以处理秘密的发送(在委托环境中进行散列处理之后)并且处理秘密的接收以及如本文中所描述的后续使用而进行操作。因此,示例实施例可以在以可重复使用的方式进行封装的实施方式的环境中进行实践,可附加到需要迁移的任意证书而无需对ObC的核心操作进行修改。在该方面,所需要的功能可以提供在与委托管理器80相关联的支持库中。
因此,示例实施例可以提供秘密的散列链的使用作为在设备之间秘密的离线委托的指示。与自行委托***的TEE实施方式相组合,轻量级***可以在委托和迁移处理的基础级别处提供信任链。示例实施例还使自行委托能够作为以下的算法,该算法包含在信息传送之前基于证明证据对代码库的对等证明和等同体进行验证的步骤。
图5是根据本发明的示例实施例的***、方法和程序产品的流程图。将要理解的是,流程图中的每个框以及流程图中框的组合可以通过各种手段来实施,诸如硬件、固件、处理器、电路***和/或与包括一个或多个计算机程序指令的软件的执行相关联的其它设备。例如,以上所描述的一个或多个过程可以由包括计算机程序指令的计算机程序产品来体现。就此而言,体现以上所描述过程的计算机程序指令可以由以下设备的存储器设备所存储并且由该设备的处理器来执行,该设备采用本发明的实施例。如将要认识到的,任何这样的计算机程序指令都可以被加载到计算机或其它可编程设备(例如,硬件)上以生产机器,以使得所产生的计算机或其它可编程设备体现用于实施流程图的(多个)框中所指定的功能的机制。这些计算机程序指令也可以存储在计算机可读存储器中(与诸如载波或电磁信号的传输介质相反),该计算机可读存储器可以指导计算机或其它可编程设备以特定方式工作,以使得存储在计算机可读存储器中的指令产生以下的制造商品,该制造商品的执行可以实施流程图的(多个)框中所指定的功能。计算机程序指令还可以被加载到计算机或其它可编程设备上以引起在该计算机或其他可编程设备上所执行的一系列操作来产生计算机实施的过程,以使得在计算机或其它可编程设备上执行的指令实施流程图的(多个)框中所指定的功能。这样,当被执行时,图5的操作将计算机或处理电路***转换为被配置用于执行本发明的示例实施例的特定机器。因此,图5的操作定义了用于配置计算机或处理电路***(例如,处理器70)以执行示例实施例的算法。在一些情况下,通用计算机可以提供有委托管理器80的实例,该委托管理器80(例如,经由处理器70的配置)执行图5所示的算法,以将通用计算机转变为被配置用于执行示例实施例的特定机器。
因此,流程图中的框支持用于执行指定功能的装置的组合、用于执行指定功能的操作以及用于执行指定功能的程序指令的组合。还将要理解的是,流程图中的一个或多个框以及流程图中框的组合可以由执行所指定功能或操作的基于专用硬件的计算机***、或者专用硬件和计算机指令的组合来实施。
就此而言,如图5所示的根据示例实施例的方法的一个实施例可以包括在操作100接收应用于与信任执行环境中的分布式应用相关联的算法的证书秘密,在操作110引起证书秘密从一个通信设备向至少一个其它通信设备的委托,以及在操作120在向至少一个其它通信设备传送证书秘密的修改版本之前以使能确定证书秘密的世代的方式修改证书秘密。
在一些实施例中,以上的某些操作可以进行修改或者如以下所描述的进一步放大。此外,在一些实施例中,还可以包括附加的可选操作(其示例在图5中以虚线示出)。应当认识到的是,以下的每种修改、可选添加或放大都可以单独或与除了本文中所描述的特征之外的任意其它特征进行组合而与以上操作包括在一起。在示例实施例中,该方法可以进一步包括在操作130使验证实体能够基于指示证书秘密的世代的散列链来确定证书秘密的世代。在一些实施例中,接收证书秘密可以包括接收与包括认证、支付或票务算法的算法相关联的证书秘密。在示例实施例中,引起证书秘密的委托可以包括在线或离线委托证书秘密。在一些实施例中,除了以上之外或者作为其替换,修改证书秘密可以包括散列该证书秘密。在一些实施例中,散列证书秘密可以包括对先前在从原始设备向一个通信设备委托时散列处理过的证书秘密进行散列处理。在示例实施例中,除了以上之外或者作为其替换,修改证书秘密可以包括建立指示与该证书秘密相关联的散列链的信息,该散列链指示证书秘密的世代。
在示例实施例中,一种用于执行以上图5的方法的设备可以包括处理器(例如,处理器70),其被配置用于执行以上所描述操作(100-130)中的一些或每一个。处理器70可以,例如被配置用于通过执行硬件实施的逻辑功能、执行所存储的指令或者执行用于执行每个操作的算法来执行操作(100-130)。可替换地,该设备可以包括用于执行以上所描述的每个操作的装置。就此而言,根据示例实施例,用于执行操作100-130的装置的示例可以包括、例如委托管理器80。除此之外或可替换地,至少凭借处理器70可以被配置用于控制委托管理器80或者甚至被体现为委托管理器80的事实,处理器70和/或用于执行指令或执行算法以便处理如以上所描述的信息的设备或电路***也可以形成用于执行操作100-130的示例装置。
根据示例实施例的设备的示例可以包括至少一个处理器以及至少一个包括计算机程序代码的存储器。该至少一个存储器和该计算机程序代码可以被配置用于与该至少一个处理器一起使得该设备执行操作100-130(具有或不具有以上所描述的修改和放大的任何组合)。
根据示例实施例的计算机程序产品的示例可以包括具有存储于其中的计算机可执行程序代码部分的至少一个计算机可读存储介质。该计算机可读程序代码部分可以包括用于执行操作100-130的程序代码(具有或不具有以上所描述的修改和放大的任何组合)。
在一些情况下,以上所描述的操作(100-130)连同任意修改可以以一种方法来实施,该方法涉及促进对至少一个接口的接入以允许经由至少一个网络接入至少一个服务。在这样的情况下,该至少一个服务可以被认为执行至少操作100-130。
本发明所涉及领域的技术人员将会想到在本文中所给出的本发明的许多修改和其它实施例,本发明所涉及领域的技术人员具有以上描述和附图中所给出的教导的益处。因此,应当理解的是,本发明并不局限于所公开的具体实施例,并且修改和其它实施例已意在包括在所附权利要求的范围之内。此外,虽然以上描述和附图在元件和/或功能的某些示例组合为背景对示例实施例进行了描述,但是应当认识到的是,可以由可替换实施例提供元件和/或功能的不同组合而并不脱离所附权利要求的范围。就此而言,例如,不同于以上所明确描述的元件和/或功能的不同组合也预期得到,因为可以在一些所附权利要求中被给出。虽然在本文中采用了具体术语,但是它们仅以一般和描述性含义被使用而并非用于限制的目的。
Claims (27)
1.一种方法,包括:
接收应用于与信任执行环境中的分布式应用相关联的算法的证书秘密;
引起对所述证书秘密从一个通信设备向至少一个其它通信设备的委托;以及
在向所述至少一个其它通信设备传送所述证书秘密的修改版本之前,以使得能够确定所述证书秘密的世代的方式修改所述证书秘密。
2.根据权利要求1所述的方法,其中接收所述证书秘密进一步包括接收与包括认证、支付或票务算法的算法相关联的所述证书秘密。
3.根据权利要求1或2所述的方法,其中引起对所述证书秘密的委托进一步包括在线或离线委托所述证书秘密。
4.根据权利要求1至3中任一项所述的方法,其中修改所述证书秘密进一步包括对所述证书秘密进行散列处理。
5.根据权利要求4所述的方法,其中对所述证书秘密进行散列处理进一步包括对先前在从原始设备向所述一个通信设备委托时散列处理过的证书秘密进行散列处理。
6.根据权利要求1至5中任一项所述的方法,其中修改所述证书秘密进一步包括建立指示与所述证书秘密相关联的散列链的信息,所述散列链指示所述证书秘密的所述世代。
7.根据权利要求1至6中任一项所述的方法,进一步包括使验证实体能够基于指示所述证书秘密的所述世代的散列链来确定所述证书秘密的所述世代。
8.一种设备,包括至少一个处理器和至少一个包括计算机程序代码的存储器,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述设备至少:
接收应用于与信任执行环境中的分布式应用相关联的算法的证书秘密;
引起对所述证书秘密从一个通信设备向至少一个其它通信设备的委托;以及
在向所述至少一个其它通信设备传送所述证书秘密的修改版本之前,以使得能够确定所述证书秘密的世代的方式修改所述证书秘密。
9.根据权利要求8所述的设备,其中所述至少一个存储器和计算机程序代码进一步被配置为与所述至少一个处理器一起使得所述设备通过接收与包括认证、支付或票务算法的算法相关联的所述证书秘密来接收所述证书秘密。
10.根据权利要求8或9所述的设备,其中所述至少一个存储器和计算机程序代码进一步被配置为与所述至少一个处理器一起使得所述设备通过在线或离线委托所述证书秘密来引起对所述证书秘密的委托。
11.根据权利要求8至10中任一项所述的设备,其中所述至少一个存储器和计算机程序代码进一步被配置为与所述至少一个处理器一起使得所述设备通过对所述证书秘密进行散列处理来修改所述证书秘密。
12.根据权利要求11所述的设备,其中所述至少一个存储器和计算机程序代码被配置为与所述至少一个处理器一起使得所述设备通过对先前在从原始设备向所述一个通信设备委托时散列处理过的证书秘密进行散列处理来对所述证书秘密进行散列处理。
13.根据权利要求8至12中任一项所述的设备,其中修改所述证书秘密进一步包括建立指示与所述证书秘密相关联的散列链的信息,所述散列链指示所述证书秘密的所述世代。
14.根据权利要求8至13中任一项所述的设备,进一步包括使验证实体能够基于指示所述证书秘密的所述世代的散列链来确定所述证书秘密的所述世代。
15.一种计算机程序产品,包括承载包含在其中以便与计算机一起使用的计算机程序代码的计算机可读介质,所述计算机程序代码包括用于以下的代码:
接收应用于与信任执行环境中的分布式应用相关联的算法的证书秘密;
引起对所述证书秘密从一个通信设备向至少一个其它通信设备的委托;以及
在向所述至少一个其它通信设备传送所述证书秘密的修改版本之前,以使得能够确定所述证书秘密的世代的方式修改所述证书秘密。
16.根据权利要求15所述的计算机程序产品,其中接收所述证书秘密进一步包括接收与包括认证、支付或票务算法的算法相关联的所述证书秘密。
17.根据权利要求15或16所述的计算机程序产品,其中引起对所述证书秘密的委托进一步包括在线或离线委托所述证书秘密。
18.根据权利要求15至17中任一项所述的计算机程序产品,其中修改所述证书秘密进一步包括对所述证书秘密进行散列处理。
19.根据权利要求18所述的计算机程序产品,其中对所述证书秘密进行散列处理进一步包括对先前在从原始设备向一个通信设备委托时散列处理过的证书秘密进行散列处理。
20.根据权利要求15至19中任一项所述的计算机程序产品,其中修改所述证书秘密进一步包括建立指示与所述证书秘密相关联的散列链的信息,所述散列链指示所述证书秘密的所述世代。
21.根据权利要求15至20中任一项所述的计算机程序产品,进一步包括使得验证实体能够基于指示所述证书秘密的所述世代的散列链来确定所述证书秘密的所述世代。
22.一种设备,包括:
用于接收应用于与信任执行环境中的分布式应用相关联的算法的证书秘密的装置;
用于引起对所述证书秘密从一个通信设备向至少一个其它通信设备的委托的装置;以及
用于在向所述至少一个其它通信设备传送所述证书秘密的修改版本之前以使得能够确定所述证书秘密的世代的方式修改所述证书秘密的装置。
23.根据权利要求22所述的设备,其中用于接收所述证书秘密的装置进一步包括用于接收与包括认证、支付或票务算法的算法相关联的所述证书秘密的装置。
24.根据权利要求22或23所述的设备,其中用于引起对所述证书秘密的委托的装置进一步包括用于在线或离线委托所述证书秘密的装置。
25.根据权利要求22至24中任一项所述的设备,其中用于修改所述证书秘密的装置进一步包括用于对所述证书秘密进行散列处理的装置。
26.根据权利要求25所述的设备,其中用于对所述证书秘密进行散列处理的装置进一步包括用于对先前在从原始设备向所述一个通信设备委托时散列处理过的证书秘密进行散列处理的装置。
27.根据权利要求22至26中任一项所述的设备,其中用于修改所述证书秘密的装置进一步包括用于建立指示与所述证书秘密相关联的散列链的信息的装置,所述散列链指示所述证书秘密的所述世代。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2011/051654 WO2012140477A1 (en) | 2011-04-15 | 2011-04-15 | Method and apparatus for providing secret delegation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103477602A true CN103477602A (zh) | 2013-12-25 |
| CN103477602B CN103477602B (zh) | 2018-05-18 |
Family
ID=47008886
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180070097.8A Active CN103477602B (zh) | 2011-04-15 | 2011-04-15 | 用于提供秘密委托的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9660810B2 (zh) |
| EP (1) | EP2697949B1 (zh) |
| CN (1) | CN103477602B (zh) |
| WO (1) | WO2012140477A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI562015B (en) * | 2014-03-13 | 2016-12-11 | Intel Corp | Device to act as verifier, method for remote attestation and non-transitory machine-readable storage medium |
| CN106537357A (zh) * | 2014-04-29 | 2017-03-22 | 推特公司 | 应用间委托的认证 |
| CN110266643A (zh) * | 2014-01-31 | 2019-09-20 | 微软技术许可有限责任公司 | 基于租户的签名验证 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9154488B2 (en) * | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
| JP2015138996A (ja) * | 2014-01-20 | 2015-07-30 | 堅一 前 | 通信装置、通信プログラム、通信システム、および通信方法 |
| US9467441B2 (en) * | 2014-02-25 | 2016-10-11 | Dell Products, L.P. | Secure service delegator |
| US9521125B2 (en) | 2014-03-13 | 2016-12-13 | Intel Corporation | Pseudonymous remote attestation utilizing a chain-of-trust |
| US9348997B2 (en) | 2014-03-13 | 2016-05-24 | Intel Corporation | Symmetric keying and chain of trust |
| US10021088B2 (en) | 2014-09-30 | 2018-07-10 | Citrix Systems, Inc. | Fast smart card logon |
| US10841316B2 (en) | 2014-09-30 | 2020-11-17 | Citrix Systems, Inc. | Dynamic access control to network resources using federated full domain logon |
| US9923896B2 (en) * | 2014-11-24 | 2018-03-20 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Providing access to a restricted resource via a persistent authenticated device network |
| US9800879B2 (en) * | 2015-12-01 | 2017-10-24 | Xerox Corporation | Methods and systems for reversible multi-layer data hiding |
| CN108306778A (zh) * | 2016-09-01 | 2018-07-20 | 深圳市中兴微电子技术有限公司 | 一种移动终端测试方法、装置和*** |
| US10594478B2 (en) * | 2016-11-18 | 2020-03-17 | International Business Machines Corporation | Authenticated copying of encryption keys between secure zones |
| US11544710B2 (en) * | 2017-06-02 | 2023-01-03 | Apple Inc. | Provisioning credentials on multiple electronic devices |
| US11769144B2 (en) | 2017-06-02 | 2023-09-26 | Apple Inc. | Provisioning credentials for an electronic transaction on an electronic device |
| EP3483760A1 (en) * | 2017-11-10 | 2019-05-15 | ETH Zurich | Brokered delegation of credentials using trusted execution environments |
| US10958640B2 (en) | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
| WO2024116104A1 (en) * | 2022-11-30 | 2024-06-06 | PCI Global Inc. | System of delegate decentralised identities |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1383265A1 (en) * | 2002-07-16 | 2004-01-21 | Nokia Corporation | Method for generating proxy signatures |
| US20050071280A1 (en) * | 2003-09-25 | 2005-03-31 | Convergys Information Management Group, Inc. | System and method for federated rights management |
| US20090077643A1 (en) * | 2007-09-19 | 2009-03-19 | Interdigital Patent Holdings, Inc. | Virtual subscriber identity module |
| US20090154709A1 (en) * | 2007-12-17 | 2009-06-18 | Microsoft Corporation | Migration of computer secrets |
| US20100106972A1 (en) * | 2007-02-12 | 2010-04-29 | Telefonaktiebolaget L M Ericsson (Publ) | Signalling delegation in a moving network |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7395246B2 (en) * | 2000-06-30 | 2008-07-01 | Intel Corporation | Delegating digital credentials |
| US7142674B2 (en) * | 2002-06-18 | 2006-11-28 | Intel Corporation | Method of confirming a secure key exchange |
| FR2854294B1 (fr) * | 2003-04-22 | 2005-07-01 | France Telecom | Procede de signature electronique avec mecanisme de delegation, equipements et programmes pour la mise en oeuvre du procede |
| BRPI0711042B1 (pt) * | 2006-05-02 | 2019-01-29 | Koninklijke Philips Eletronics N V | sistema, método para possibilitar um emissor de direitos criar dados de autenticação relacionados à um objeto e/ou criptografar o objeto usando uma chave diversificada e dispositivo |
| CN102656841B (zh) * | 2009-12-18 | 2015-07-08 | 诺基亚公司 | 凭证转移 |
-
2011
- 2011-04-15 CN CN201180070097.8A patent/CN103477602B/zh active Active
- 2011-04-15 WO PCT/IB2011/051654 patent/WO2012140477A1/en active Application Filing
- 2011-04-15 EP EP11863607.5A patent/EP2697949B1/en active Active
- 2011-04-15 US US14/111,287 patent/US9660810B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1383265A1 (en) * | 2002-07-16 | 2004-01-21 | Nokia Corporation | Method for generating proxy signatures |
| US20050071280A1 (en) * | 2003-09-25 | 2005-03-31 | Convergys Information Management Group, Inc. | System and method for federated rights management |
| US20100106972A1 (en) * | 2007-02-12 | 2010-04-29 | Telefonaktiebolaget L M Ericsson (Publ) | Signalling delegation in a moving network |
| US20090077643A1 (en) * | 2007-09-19 | 2009-03-19 | Interdigital Patent Holdings, Inc. | Virtual subscriber identity module |
| US20090154709A1 (en) * | 2007-12-17 | 2009-06-18 | Microsoft Corporation | Migration of computer secrets |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110266643A (zh) * | 2014-01-31 | 2019-09-20 | 微软技术许可有限责任公司 | 基于租户的签名验证 |
| CN110266643B (zh) * | 2014-01-31 | 2021-11-23 | 微软技术许可有限责任公司 | 基于租户的签名验证 |
| TWI562015B (en) * | 2014-03-13 | 2016-12-11 | Intel Corp | Device to act as verifier, method for remote attestation and non-transitory machine-readable storage medium |
| CN106537357A (zh) * | 2014-04-29 | 2017-03-22 | 推特公司 | 应用间委托的认证 |
| CN106537357B (zh) * | 2014-04-29 | 2020-09-04 | 推特公司 | 应用间委托的认证 |
| US11025624B2 (en) | 2014-04-29 | 2021-06-01 | Twitter, Inc. | Inter-application delegated authentication |
| US11539698B2 (en) | 2014-04-29 | 2022-12-27 | Twitter, Inc. | Inter-application delegated authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2697949A4 (en) | 2015-08-12 |
| WO2012140477A1 (en) | 2012-10-18 |
| CN103477602B (zh) | 2018-05-18 |
| US20140026200A1 (en) | 2014-01-23 |
| EP2697949B1 (en) | 2023-01-18 |
| US9660810B2 (en) | 2017-05-23 |
| EP2697949A1 (en) | 2014-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103477602A (zh) | 用于提供秘密委托的方法和设备 | |
| US11902254B2 (en) | Blockchain joining for a limited processing capability device and device access security | |
| CN112596802B (zh) | 一种信息处理方法及装置 | |
| US10111268B2 (en) | System and method for NFC peer-to-peer authentication and secure data transfer | |
| US8064598B2 (en) | Apparatus, method and computer program product providing enforcement of operator lock | |
| EP2630815B1 (en) | Method and apparatus for access credential provisioning | |
| CN103797831B (zh) | 执行链路建立和认证的***和方法 | |
| US20210136048A1 (en) | System and Method for Secure Remote Control of a Medical Device | |
| US20130268766A1 (en) | Wireless token device | |
| EP2804153A1 (en) | Electronic lock, locking system, method of operating an electronic lock, computer program product | |
| CN110169028A (zh) | 网络接入应用鉴权信息的更新方法、终端及服务器 | |
| EP2693787B1 (en) | Secure key distribution with general purpose mobile device | |
| JP2013034322A (ja) | 電気移動体用充電システム並びにそれに含まれる電気移動体用充電装置、携帯通信端末及びサーバ装置並びに電気移動体用充電方法 | |
| CN104115544A (zh) | 使用naf密钥的设备到设备安全性 | |
| JP2015522199A (ja) | システムオンチップ上にセキュアエレメントコンポーネントの一部分を統合するための方法および装置 | |
| EP3454243B1 (en) | Token execution system for access control | |
| CN104335214A (zh) | 安全的用户存在检测及认证 | |
| CN109905237A (zh) | 通过移动站与蜂窝网络通信的方法 | |
| CN109815666B (zh) | 基于fido协议的身份认证方法、装置、存储介质和电子设备 | |
| CN107948170A (zh) | 接口请求参数加密方法、装置、设备及可读存储介质 | |
| CN107425980A (zh) | 工作空间之间的通信 | |
| US10212598B2 (en) | Access point information for wireless access | |
| US10951653B2 (en) | Apparatus including secure component and method of provisioning security information into the apparatus | |
| KR20190004273A (ko) | 통신 보안 시스템 및 방법 | |
| CN104782154A (zh) | 一种用于禁用在装置中的算法的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160202 Address after: Espoo, Finland Applicant after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Applicant before: Nokia Oyj |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |