CN111316596A - 具有身份验证的加密芯片 - Google Patents
具有身份验证的加密芯片 Download PDFInfo
- Publication number
- CN111316596A CN111316596A CN201980001441.4A CN201980001441A CN111316596A CN 111316596 A CN111316596 A CN 111316596A CN 201980001441 A CN201980001441 A CN 201980001441A CN 111316596 A CN111316596 A CN 111316596A
- Authority
- CN
- China
- Prior art keywords
- cryptographic
- request
- identity information
- chip
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003860 storage Methods 0.000 claims abstract description 57
- 238000000034 method Methods 0.000 claims abstract description 48
- 238000012545 processing Methods 0.000 claims abstract description 42
- 230000004044 response Effects 0.000 claims description 18
- 230000015654 memory Effects 0.000 claims description 11
- 230000008672 reprogramming Effects 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 abstract description 15
- 230000008569 process Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 239000000758 substrate Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/76—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in application-specific integrated circuits [ASIC] or field-programmable devices, e.g. field-programmable gate arrays [FPGA] or programmable logic devices [PLD]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Biomedical Technology (AREA)
- Biodiversity & Conservation Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioethics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本文公开了用于执行经过身份验证的加密操作的方法、系统和装置,包括编码在计算机存储介质上的计算机程序。其中一种方法包括:由加密芯片从客户端接收包括客户端执行所请求的加密操作的请求,其中,该请求包括客户端身份信息,并且加密芯片包括处理资源和存储资源,其中,该处理资源执行加密操作,该存储资源存储加密操作中使用的密钥信息和与被允许请求加密操作的客户端相关联的身份信息;由加密芯片确定客户端身份信息与所述被允许请求加密操作的客户端之一相关联;由加密芯片基于存储在存储资源中的密钥信息执行所请求的加密操作。
Description
技术领域
本文涉及执行经过身份验证的加密操作。
背景技术
在一些计算应用中,密码术用于将数据转换为在不拥有相关加密密钥的情况下相当难以破译以获得数据原始值的形式。加密密钥的丢失会致使用该密钥加密的所有数据都不可恢复。此外,如果加密密钥被未授权方知道,则因为用该密钥加密的所有数据都可以被未授权方读取,因此该数据将不再安全。期望加密密钥免受丢失或损害,以降低密钥所有者可能产生的相关经济损失的风险。
发明内容
本文描述了用于执行经过身份验证的加密操作的技术。这些技术总体上涉及例如与存储的身份信息比照来验证请求加密操作的客户端的身份信息,以及如果验证成功则执行所请求的加密操作。如果验证不成功,则不执行和/或拒绝所请求的加密操作。
本文还提供了耦接到一个或多个处理器并且其上存储有指令的一个或多个非暂态计算机可读存储介质,当所述指令由所述一个或多个处理器执行时,所述指令将促使所述一个或多个处理器按照本文提供的方法的实施例执行操作。
本文还提供了用于实施本文提供的所述方法的系统。该系统包括一个或多个处理器以及耦接到所述一个或多个处理器并且其上存储有指令的计算机可读存储介质,当所述指令由所述一个或多个处理器执行时,所述指令将导致所述一个或多个处理器按照本文提供的方法的实施例执行操作。
应了解,依据本文的方法可以包括本文描述的方面和特征的任意组合。也就是说,根据本文的方法不限于本文具体描述的方面和特征的组合,还包括所提供的方面和特征的任意组合。
以下在附图和描述中阐述了本文的一个或多个实施例的细节。根据说明书和附图以及权利要求,本文的其他特征和优点将显而易见。
附图说明
图1是示出可用于执行本文的实施例的环境的示例的示图。
图2是示出可用于执行本文的实施例的系统的示例的示图。
图3是示出图2中所示系统的组件之间的交互的示图。
图4是示出可用于执行本文的实施例的环境的示例的示图
图5描绘了可以根据本文的实施例执行的处理的示例。
图6描绘了根据本文的实施例的装置的模块的示例。
各附图中相同的附图标记和名称表示相同的元件。
具体实施方式
本文描述了用于使用加密芯片执行加密操作的技术。在一些计算应用中使用密码术将数据转换成在不拥有相关加密密钥的情况下相当难以破译以获得数据的原始值的形式。例如,如果两个计算设备想要通过允许网络上的所有各方访问数据的公共网络传送敏感数据,则发送计算设备可以在发送之前将数据加密成密文,并且接收计算设备可以对该密文以恢复数据的原始值进行解密。加密的示例包括但不限于对称加密和非对称加密。
对称加密是指使用单个密钥既加密(从明文生成密文)又解密(从密文生成明文)的加密处理。在对称加密中,同一个密钥被分发给通信的所有各方,因此每一方都可以对交易数据进行加密和解密。
非对称加密使用密钥对,每个密钥对包括私钥和公钥,私钥由特定方保密,并且公钥能够由特定方与其他方自由共享。一方可以使用特定方的公钥来对数据进行加密,然后该加密的数据可以使用该特定方的私钥被解密。使用该方的公钥加密的数据只能使用该方的私钥解密。此外,私钥不能从公钥导出,这允许公钥被自由地共享。
非对称加密用于提供数字签名,这使得接收方能够确认所接收的数据源自预期的发送方并且未被篡改。数字签名还可用于确保数据未被篡改(即,其值未被改变)。例如,第一方可以通过首先使用哈希函数(例如MD5、SHA-256或其他函数)计算数据的哈希值来对数据集进行数字签名。然后,第一方使用其私钥来对哈希值进行加密并产生数字签名。然后,第二方可以使用第一方的公钥来对数字签名进行解密并恢复哈希值。然后,第二方使用相同的哈希函数计算与数字签名相关联的数据的哈希值。如果该哈希值与从数字签名中恢复的哈希值匹配,则第二方知道签名的第一方使用其私钥创建了数字签名,这是因为如果数字签名是使用不同的密钥创建的,则当使用相应公钥对数据进行解密时,它不会产生针对该数据的正确的哈希值。此外,第二方知道数据自第一方签名以来未被篡改,这是因为篡改方在不知道私钥的情况下将无法修改加密的哈希值以使其与数据的新值匹配。
本文描述了用于使用加密芯片执行加密操作的技术,该加密芯片被配置为保护用于执行操作的密钥免受损害或丢失。在一些实施例中,加密芯片包括存储密钥信息(例如,一个或多个加密密钥)和身份信息的集成存储资源。加密芯片接收用以执行加密操作的请求(例如,对数据进行加密、对数据进行解密、产生/验证数字签名)。请求包括请求操作的用户的身份信息。对于每个请求,加密芯片基于将来自请求的身份信息与存储的身份信息进行比较来验证请求的用户的身份。如果请求的用户的身份被验证(例如,所接收的身份信息与所存储的身份信息匹配),则加密芯片执行所请求的加密操作。如果请求的用户的身份未被验证(例如,所接收的身份信息与所存储的身份信息不匹配),则加密芯片不执行所请求的加密操作。虽然本文提供了验证用户身份的示例,但是在本文描述的每个示例中,还可以验证客户端。客户端可以是用户、计算设备、组织或其他类型的实体。
图1是示出可用于执行本文的实施例的环境100的示例的示图。如图所示,环境100包括加密芯片110。加密芯片110包括存储了程序逻辑122、身份信息124和密钥信息126的存储资源120。加密芯片110还包括处理资源130。
加密芯片110是被配置为执行加密操作的计算组件(例如,集成电路)。在一些情况下,加密芯片110可以是包括所描绘的组件的集成电路。加密芯片110可以包括由半导体材料(例如硅)构成的基底,所描绘的部件附着在该基底上。在一些情况下,所描绘的组件可以通过导电材料区域(例如,导线或引线)连接,以在组件之间形成电连接。加密芯片110还可以包括允许其安装在其他计算系统中并与其他计算系统进行接口连接的连接件(例如,引脚)。
加密芯片110包括存储资源120。在一些情况下,存储资源120是允许永久存储数据的电子存储设备(即,当设备掉电时存储的数据不会丢失)。在一些实施例中,存储资源120可以包括闪存设备、可编程只读存储器(PROM)设备、电可擦除可编程只读存储器(EEPROM)设备或者永久存储数据并允许数据被擦除和重新编程的其他类型的存储设备。
加密芯片110还包括处理资源130。在一些情况下,处理资源130是能够执行软件指令的处理器,例如,现场可编程门阵列(FPGA)、专用集成电路(ASIC)、单片机、微处理器或其他类型的处理器。
如图所示,程序逻辑122存储在存储资源120中。在一些情况下,程序逻辑122包括将由处理资源130执行的软件指令。程序逻辑122可包括在被执行以执行与接收到的用以执行加密操作的请求有关的操作时可操作的指令,该加密操作为例如用以解析检索数据的请求、验证请求中的身份信息以及如果身份验证成功则执行请求的加密操作。在一些情况下,程序逻辑122可以被未加密地存储,这是因为指令本身可能不包括任何敏感信息。
存储资源120还包括表示被允许使用加密芯片110执行加密操作的用户的身份的身份信息124。在一些情况下,用以执行发送到加密芯片110的加密操作的请求包括用户身份信息。加密芯片110基于身份信息124验证请求加密操作的用户的身份。如果加密芯片110能够验证用户的身份,则执行所请求的加密操作。如果不能,则不执行所请求的加密操作。针对图2更详细地描述该处理。
存储资源120还包括密钥信息126,密钥信息126包括由加密芯片110使用以执行加密操作的一个或多个加密密钥。在一些情况下,加密密钥可以是对称密钥、非对称密钥对中的私钥或者要保密的其他类型的密钥。在一些实施例中,密钥信息126可以以加密的形式存储,使得在不具有用于解密该信息的适当密钥的情况下,不能从存储资源120读取密钥信息126。针对图2更详细地描述该处理。
图2是示出可用于执行本文的实施例的系统200的示例的示图。系统200描绘了加密芯片110的一部分,如以上关于图1所述,该加密芯片110包括存储在存储资源120中的身份信息124和密钥信息126。系统200还包括认证模块250和加密模块260。
如图所示,系统200包括认证模块250,其可操作以验证包括在所接收的用以执行加密操作的请求中的身份信息加密。在一些情况下,认证模块250可以是由处理资源130执行的程序逻辑122中定义的软件模块。在一些实施例中,认证模块250可以是包括在加密芯片110中的独立硬件组件,例如处理资源130的附加处理器或处理内核。认证模块250还可以是负责执行认证处理的处理资源130的逻辑或物理的划分。
如图所示,系统200包括可操作以执行所请求的加密操作的加密模块260。在一些情况下,加密模块260可以是由处理资源130执行的程序逻辑122中定义的软件模块。在一些实施例中,加密模块260可以是包括在加密芯片110中的独立硬件组件,例如处理资源130的附加处理器或处理内核。加密模块260还可以是负责执行认证处理的处理资源130的逻辑或物理的划分。
系统200还包括接口210。接口210为外部组件或用户提供用于向加密芯片110内的例如认证模块250和加密模块260加密的组件发送和接收数据的机制。在一些实施方式中,接口210是加密芯片110与其已经安装在其中的系统之间的物理接口,诸如加密芯片110与诸如主板的较大集成电路之间的物理引脚连接。在一些情况下,接口210是软件层,其向由加密芯片110的处理资源130执行的、或者由安装了加密芯片的较大系统中的另一处理器执行的程序提供应用程序接口(API)。
在220处的操作中,认证模块250经由接口210从外部组件或程序接收用以执行加密操作的请求。每个请求包括与和请求相关联的用户相关联的身份信息。在一些情况下,所接收的身份信息包括请求加密操作的用户的数字签名。
在一些情况下,所接收的身份信息可包括与用户相关联的生物识别信息或其他识别信息。例如,加密芯片110可以包括指纹扫描仪或其他生物识别设备以从用户收集生物识别信息。为了请求加密操作,用户触摸指纹扫描仪,其产生用户指纹的数字表示。在一些情况下,用户可以选择所需的加密操作,例如通过键盘或加密芯片110的其他接口。可以由处理资源130生成对所需加密操作的请求,并经由接口210将其传递给认证模块250。
认证模块250基于存储的身份信息124验证所接收的身份信息。在身份信息包括用户的数字签名的情况下,认证模块250可以通过用与用户关联的公钥对签名进行解密并将解密数据与期望值进行比较来验证签名(例如,上述哈希值验证)。如果值匹配,则用户的身份被验证。如果值不匹配,则用户的身份未被验证。在身份信息是生物识别信息的情况下,认证模块250将包括在请求中的生物识别数据的数字表示与包括在身份信息124中的存储的生物识别数据进行比较。如果接收的生物识别数据与存储的生物识别数据匹配,则用户的身份被验证。如果接收的生物识别数据与存储的生物识别数据不匹配,则用户的身份未被验证。
在一些情况下,如果认证模块250验证了用户,则认证模块向加密模块260指示身份信息已被验证(在230处)。响应于接收到该指示,加密模块260执行所请求的加密操作并经由接口210将加密结果返回给请求者(240)。在一些情况下,如果认证模块250不能验证用户,则加密模块260不执行所请求的加密操作。在一些示例中,由认证模块250、加密模块260或另一组件将拒绝发送给请求者。
由加密模块260执行的加密操作可以包括但不限于对数据进行加密、对数据进行解密、产生数字签名、验证数字签名或其他加密操作。例如,用以执行加密操作的请求可以指示请求解密操作,并且可以包括将使用与请求的用户相关联的加密密钥(例如,私钥)来解密的密文。在这种情况下,加密模块260可以使用存储的密钥信息126对密文进行解密,并在240处返回密文的解密版本作为加密结果。
图3是示出图2中所示系统的组件之间的交互300的示图。在305处,接口210将包括用户身份信息的请求发送到认证模块140,如先前关于图2所讨论的。在310处,认证模块140从存储资源120检索加密的身份信息(例如,用于验证数字签名、生物识别数据等的加密密钥)。在315处,认证模块140对从存储资源120检索到的加密的身份信息进行解密。在一些情况下,还从存储资源120中检索用于对所检索的身份信息进行解密的密钥。密钥还可以包括在认证模块140本身中,例如通过“硬编码”到存储在认证模块140或处理资源130的固件中的软件指令中。
在320处,认证模块140基于解密的身份信息来验证用户身份信息,如先前关于图2所描述的。在325处,认证模块140的执行基于验证的结果而分支。如果用户身份未被验证,则认证模块140经由接口210向请求者返回对请求的拒绝(在330处)。如果用户身份被验证,则认证模块140向加密模块150发送用户身份被验证的指示(在335处)。
在340处,响应于接收到指示,加密模块150从存储资源120检索与用户相关联的加密的加密密钥。在345处,加密模块150对加密密钥进行解密。在一些情况下,还从存储资源120检索用于对所检索的身份信息进行解密的密钥。密钥还可以被包括在加密模块150本身中,例如通过“硬编码”到存储在加密模块150或处理资源130的固件中的软件指令中。
还在345处,加密模块150执行所请求的加密操作。在350处,加密模块经由接口210将加密操作的结果返回给请求者。
图4是示出可用于执行本文的实施例的环境400的示例的示图。如图所示,环境400包括包含加密芯片110的身份信息卡410。身份信息卡410可通信地耦接到计算机420、智能手机430、平板设备440和物联网(IOT)设备450。
在操作中,身份信息卡410与各种设备420、430、440和450通信。该通信可以通过例如近场通信(NFC)协议、蓝牙(BLUETOOTH)、WIFI、蜂窝协议、红外通信协议或其他类型的协议的有线或无线通信协议进行。在一些情况下,通信涉及数据的加密和/或解密,例如,使用诸如传输层安全性(TLS)的安全通信协议,对发送到设备420、430、440、450的数据提供数字签名,验证由设备420、430、440、450之一提供的数字签名或使用其他机制。如上所述,如果加密芯片110可以验证请求的用户的身份,则这些加密操作将由包括在身份信息卡410中的加密芯片110执行。
在一些情况下,身份信息卡410可以是由用户携带的便携式设备,例如智能卡。在一些情况下,如上所述,身份信息卡可以包括生物识别传感器,并且用户可以通过与生物识别传感器交互来提供身份信息。在一些情况下,身份信息卡410可以插入兼容设备中并从该设备被提供电力以执行其操作。在这种情况下,可以通过该设备与身份信息卡410之间的导电接触在身份信息卡410和该设备之间传输数据。
图5是用于执行经过身份验证的加密操作的处理500的示例的流程图。为方便起见,处理500将被描述为由位于一个或多个位置并根据本文被适当地编程的一个或多个计算机的系统执行。例如,如图1的环境100的加密芯片110的被适当地编程的加密芯片,可以执行处理500。
在510处,加密芯片从客户端接收用以执行所请求的加密操作的请求,其中该请求包括与客户端相关联的客户端身份信息,并且其中加密芯片是包括处理资源和存储资源的硬件组件,该处理资源执行加密操作,该存储资源存储在加密操作中使用的密钥信息以及与被允许请求加密操作的客户端相关联的身份信息。在一些情况下,所请求的加密操作是加密操作、解密操作、数字签名验证操作或数字签名生成操作。在一些情况下,加密芯片是现场可编程门阵列(FPGA)、专用集成电路(ASIC)或微处理器。
在520处,基于将客户端身份信息与存储在存储资源中的身份信息进行比较,确定客户端身份信息与被允许请求加密操作的客户端之一相关联。
在530处,响应于确定客户端身份信息与被允许请求加密操作的客户端之一相关联,基于存储在存储资源中的密钥信息来执行所请求的加密操作。在一些情况下,请求包括数据,并且加密芯片对数据执行所请求的加密操作。在一些示例中,加密芯片包括由处理资源执行以操作包括加密芯片的计算机系统的操作系统。
在一些情况下,该请求是第一请求,所请求的加密操作是第一请求加密操作,客户端身份信息是第一客户端身份信息,并且处理500包括从第二客户端接收执行第二请求加密操作的第二请求,其中,该请求包括与第二客户端相关联的第二客户端身份信息;基于将第二客户端身份信息与存储在存储资源中的身份信息比较,确定第二客户端身份信息与被允许请求加密操作的客户端之一无关,其中,响应于确定第二客户端身份信息与被允许请求加密操作的客户端之一无关,加密芯片不执行请求的加密操作。
在一些示例中,处理500包括:基于用以执行加密操作的一个或多个请求不包括与被允许请求加密操作的客户端之一相关联的客户端身份信息来确定该请求是恶意的;并且响应于确定用以执行加密操作的一个或多个请求是恶意的,从存储资源中清除身份信息和密钥信息。在一些情况下,加密芯片可以基于多个因素确定请求是恶意的,包括但不限于接收到不能被验证的请求的频率、与请求中包括的客户端身份相关联的模式(例如,指示攻击者按顺序尝试不同的身份值以尝试查找到有效身份)、特定时间量内来自特定客户端的未被验证的请求的数量或其他因素。从存储资源中擦除密钥信息和身份信息以确保攻击者无法通过任何方式访问此信息。
在一些实施例中,加密芯片是现场可编程门阵列(FPGA),并且处理500包括接收包括重新编程信息以对加密芯片重新编程的请求;并且响应于接收到请求,用重新编程信息替换存储在存储资源中的信息。
图6是根据本文的实施例的装置600的模块的示例的示图。
装置600可以是用于执行经过身份验证的加密操作的加密芯片的实施例的示例。装置600可以对应于上述实施例,并且装置600包括以下:接收模块610,用于由加密芯片从客户端接收用以执行所请求的加密操作的请求,其中该请求包括与客户端相关联的客户端身份信息,并且加密芯片是包括处理资源和存储资源的硬件组件,其中,该处理资源执行加密操作,该存储资源存储加密操作中使用的密钥信息和与被允许请求加密操作的客户端相关联的身份信息;确定模块620,用于由加密芯片基于将客户端身份信息与存储在存储资源中的身份信息进行比较,确定客户端身份信息与被允许请求加密操作的客户端之一相关联;以及执行模块630,用于响应于确定客户端身份信息与被允许请求加密操作的客户端之一相关联,由加密芯片基于存储在存储资源中的密钥信息执行所请求的加密操作。
在先前实施例中示出的系统、装置、模块或模块可以通过使用计算机芯片或实体来实现,或者可以通过使用具有特定功能的产品来实现。典型的实施例设备是计算机,计算机可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或这些设备的任意组合。
对于装置中每个模块的功能和角色的实施例处理,可以参考前一方法中相应步骤的实施例处理。为简单起见,这里省略了细节。
由于装置实施例基本上对应于方法实施例,对于相关部分,可以参考方法实施例中的相关描述。先前描述的装置实施例仅是示例。被描述为单独部分的模块可以是或不是物理上分离的,并且显示为模块的部分可以是或不是物理模块,可以位于一个位置,或者可以分布在多个网络模块上。可以基于实际需求来选择一些或所有模块,以实现本文方案的目标。本领域普通技术人员无需付出创造性劳动就能理解和实现本申请的实施例。
再次参照图6,它可以被解释为示出用于执行经过身份验证的加密操作的加密芯片的内部功能模块和结构。本质上,执行主体可以是电子设备,并且该电子设备包括以下:一个或多个处理器;以及存储器,其被配置为存储一个或多个处理器的可执行指令。
本文中描述的技术产生一个或多个技术效果。在一些实施例中,该技术通过在使用存储加密密钥执行所请求的加密操作之前验证客户端的身份(例如,通过验证数字签名)来为客户端提供增强的安全性。这提高了安全性,因为它可以防止攻击者(其身份将不会被验证)使用客户端的加密密钥来解密私有数据、通过伪造客户端的数字签名来冒充客户端、或执行其他有害操作。在一些实施例中,该技术通过响应于检测到恶意活动而擦除存储的加密密钥来提供额外的安全性。这可以防止攻击者通过向设备发送大量身份以尝试与存储的身份匹配以便访问设备的加密功能来对设备执行“强力”攻击。
所描述的主题的实施例可以单独或组合地包括一个或多个特征。例如,在第一实施例中,由加密芯片从客户端接收用以执行所请求的加密操作的请求,其中请求包括与客户端相关联的客户端身份信息,并且加密芯片是包括处理资源和存储资源的硬件组件,其中,该处理资源执行加密操作,该存储资源存储在加密操作中使用的密钥信息以及与被允许请求加密操作的客户端相关联的身份信息;加密芯片基于将客户端身份信息与存储在存储资源中的身份信息比较,确定客户端身份信息与被允许请求加密操作的客户端之一相关联;并且响应于确定客户端身份信息与被允许请求加密操作的客户端之一相关联,由加密芯片基于存储在存储资源中的密钥信息来执行所请求的加密操作。
前述和其他描述的实施例均可以可选地包括以下特征中的一个或多个:
第一特征,可与以下特征中的任一个组合,指定所请求的加密操作是加密操作、解密操作、数字签名验证操作或数字签名生成操作。
第二特征,可与先前或以下特征中的任一个组合,指定加密芯片是现场可编程门阵列(FPGA)、专用集成电路(ASIC)或微处理器。
第三特征,可与先前或以下特征中的任一个组合,指定该请求包括数据,并且加密芯片对数据执行所请求的加密操作。
第四特征,可与先前或以下特征中的任一个组合,指定加密芯片包括由处理资源执行以操作包括加密芯片的计算机系统的操作系统。
第五特征,可与先前或以下特征中的任一个组合,指定该请求是第一请求,所请求的加密操作是第一请求加密操作,客户端身份信息是第一客户端身份信息,并且方法包括:由加密芯片从第二客户端接收用以执行第二请求加密操作的第二请求,其中,该请求包括与第二客户端相关联的第二客户端身份信息;由加密芯片基于将第二客户端身份信息与存储资源中存储的身份信息比较,确定第二客户端身份信息与被允许请求加密操作的客户端之一无关,其中,响应于确定第二客户端身份信息与被允许请求加密操作的客户端之一无关,加密芯片不执行请求的加密操作。
第六特征,可与先前或以下特征中的任一个组合,指定该方法包括:由加密芯片基于用以执行加密操作的一个或多个请求不包括与被允许请求加密操作的客户端之一相关联的客户端身份信息,确定该请求是恶意的;响应于确定执行加密操作的一个或多个请求是恶意的,由加密芯片从存储资源清除身份信息和密钥信息。
第七特征,可与先前或以下特征中的任一个组合,指定加密芯片是现场可编程门阵列(FPGA),并且该方法包括:由加密芯片接收包括重新编程信息以对加密芯片重新编程的请求;并且响应于接收到该请求,由加密芯片用重新编程信息替换存储在存储资源中的信息。
本文中描述的主题、动作以及操作的实施例可以在数字电子电路、有形体现的计算机软件或固件、计算机硬件中实现,包括本文中公开的结构及其结构等同物,或者它们中的一个或多个的组合。本文中描述的主题的实施例可以实现为一个或多个计算机程序,例如,一个或多个计算机程序指令模块,编码在计算机程序载体上,用于由数据处理装置执行或控制数据处理装置的操作。载体可以是有形的非暂态计算机存储介质。例如,计算机程序载体可以包括一个或多个计算机可读存储介质,其具有编码或存储在其上的指令。载体可以是有形的非暂态计算机可读介质,例如磁盘、磁光盘或光盘、固态驱动器、随机存取存储器(RAM)、只读存储器(ROM)或其他介质类型。可选地或附加地,载体可以是人工生成的传播信号,例如,机器生成的电、光或电磁信号,其被生成来编码信息用于传输到合适的接收器装置以供数据处理装置执行。计算机存储介质可以是或部分是机器可读存储设备、机器可读存储基板、随机或串行访问存储器设备或它们中的一个或多个的组合。计算机存储介质不是传播信号。
计算机程序也可以被称为或描述为程序、软件、软件应用程序、app、模块、软件模块、引擎、脚本或代码,可以以任何形式的编程语言编写,包括编译或演绎性语言、说明或程序性语言;它可以配置为任何形式,包括作为独立程序,或者作为模块、组件、引擎、子程序或适合在计算环境中执行的其他单元,该环境可包括由通信数据网络互联的在一个或多个位置的一台或多台计算机。
计算机程序可以但非必须对应于文件系统中的文件。计算机程序可以存储在:保存其他程序或数据的文件的一部分中,例如,存储在标记语言文档中的一个或多个脚本;专用于所讨论的程序的单个文件;或者多个协调文件,例如,存储一个或多个模块、子程序或代码部分的多个文件。
举例来说,用于执行计算机程序的处理器包括通用微处理器和专用微处理器,以及任何类型的数字计算机的任何一个或多个处理器。通常,处理器将从耦接到处理器的非暂态计算机可读介质接收用于执行的计算机程序的指令以及数据。
术语“数据处理装置”包括用于处理数据的所有类型的装置、设备和机器,包括例如可编程处理器、计算机或者多处理器或计算机。数据处理装置可以包括专用逻辑电路,例如FPGA(现场可编程门阵列)、ASIC(专用集成电路)或GPU(图形处理单元)。除了硬件,该装置还可以包括为计算机程序创建执行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统或者它们中的一个或多个的组合的代码。
本文中描述的处理和逻辑流程可由一个或多个计算机或处理器执行一个或多个计算机程序进行,以进行通过对输入数据进行运算并生成输出的操作。处理和逻辑流程也可以由例如FPGA、ASIC、GPU等的专用逻辑电路或专用逻辑电路与一个或多个编程计算机的组合来执行。
适合于执行计算机程序的计算机可以基于通用和/或专用微处理器,或任何其他种类的中央处理单元。通常,中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的元件可包括用于执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。中央处理单元和存储器可以补充有专用逻辑电路或集成在专用逻辑电路中。
通常,计算机还将包括或可操作地耦接至一个或多个大容量存储设备,以从一个或多个大容量存储设备接收数据或将数据传输到一个或多个大容量存储设备。大容量存储设备可以是例如磁盘、磁光盘或光盘、固态驱动器或任何其他类型的非暂态计算机可读介质。但是,计算机不需要具有这样的设备。因此,计算机可以耦接到本地和/或远程的例如一个或多个存储器的一个或多个大容量存储设备。例如,计算机可以包括作为计算机的组件的一个或多个本地存储器,或者计算机可以耦接到云网络中的一个或多个远程存储器。此外,计算机可以嵌入在另一个设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器或例如通用串行总线(USB)闪存驱动器的便携式存储设备,仅举几例。
组件可以通过直接地或经由一个或多个中间件例如可交换地电或光地彼此连接而彼此“耦接”。如果其中一个组件集成到另一个组件中,组件还可以彼此“耦接”。例如,集成到处理器中的存储组件(例如,L2高速缓存组件)被“耦接到”处理器。
为了提供与用户的交互,本文中描述的主题的实施例可以在计算机上实现或配置为与该计算机通信,该计算机具有:显示设备,例如,LCD(液晶显示器)监视器,用于向用户显示信息;以及输入设备,用户可以通过该输入设备向该计算机提供输入,例如键盘和例如鼠标、轨迹球或触摸板等的指针设备。其他类型的设备也可用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的感官反馈,例如视觉反馈、听觉反馈或触觉反馈;并且可以接收来自用户的任何形式的输入,包括声音、语音或触觉输入。此外,计算机可以通过向用户使用的设备发送文档和从用户使用的设备接收文档来与用户交互;例如,通过向用户设备上的web浏览器发送web页面以响应从web浏览器收到的请求,或者通过与例如智能电话或电子平板电脑等的用户设备上运行的应用程序(app)进行交互。此外,计算机可以通过向个人设备(例如,运行消息应用的智能手机)轮流发送文本消息或其他形式的消息并接收来自用户的响应消息来与用户交互。
本文使用与系统、装置和计算机程序组件有关的术语“配置为”。对于被配置为执行特定操作或动作的一个或多个计算机的系统,意味着系统已经在其上安装了在运行中促使该系统执行所述操作或动作的软件、固件、硬件或它们的组合。对于被配置为执行特定操作或动作的一个或多个计算机程序,意味着一个或多个程序包括当被数据处理装置执行时促使该装置执行所述操作或动作的指令。对于被配置为执行特定操作或动作的专用逻辑电路,意味着该电路具有执行所述操作或动作的电子逻辑。
虽然本文包含许多具体实施细节,但是这些不应被解释为由权利要求本身限定的对要求保护的范围的限制,而是作为对特定实施例的具体特征的描述。在本文多个单独实施例的上下文中描述的多个特定特征也可以在单个实施例中的组合实现。相反,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合在多个实施例中实现。此外,尽管上面的特征可以描述为以某些组合起作用并且甚至最初如此要求保护,但是在一些情况下,可以从要求保护的组合中删除来自该组合的一个或多个特征,并且可以要求保护指向子组合或子组合的变体。
类似地,虽然以特定顺序在附图中描绘了操作并且在权利要求中叙述了操作,但是这不应该被理解为:为了达到期望的结果,要求以所示的特定顺序或依次执行这些操作,或者要求执行所有示出的操作。在一些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的划分不应被理解为所有实施例中都要求如此划分,而应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品或者打包成多个软件产品。
已经描述了主题的特定实施例。其他实施例在以下权利要求的范围内。例如,权利要求中记载的动作可以以不同的顺序执行并且仍然实现期望的结果。作为一个示例,附图中描绘的处理无需要求所示的特定顺序或次序来实现期望的结果。在一些情况下,多任务和并行处理可能是有利的。
Claims (11)
1.一种计算机实施的用于执行经过身份验证的加密操作的方法,所述方法包括:
由加密芯片从客户端接收用以执行请求的加密操作的请求,其中,所述请求包括与所述客户端相关联的客户端身份信息,并且所述加密芯片是包括处理资源和存储资源的硬件组件,所述处理资源执行加密操作,所述存储资源存储所述加密操作中使用的密钥信息和与被允许请求加密操作的客户端相关联的身份信息;
由所述加密芯片基于将所述客户端身份信息与存储在所述存储资源中的所述身份信息进行比较,确定所述客户端身份信息与所述被允许请求加密操作的客户端之一相关联;以及
响应于确定所述客户端身份信息与所述被允许请求加密操作的客户端之一相关联,由所述加密芯片基于存储在所述存储资源中的所述密钥信息执行所述请求的加密操作。
2.根据权利要求1所述的计算机实施的方法,其中,所述请求的加密操作是加密操作、解密操作、数字签名验证操作或数字签名生成操作。
3.根据前述权利要求中任一项所述的计算机实施的方法,其中,所述加密芯片是现场可编程门阵列FPGA、专用集成电路ASIC或微处理器。
4.根据前述权利要求中任一项所述的计算机实施的方法,其中,
所述请求包括数据,并且
所述加密芯片对所述数据执行所述请求的加密操作。
5.根据前述权利要求中任一项所述的计算机实施的方法,其中,所述加密芯片包括由所述处理资源执行以操作包括所述加密芯片的计算机系统的操作系统。
6.根据前述权利要求中任一项所述的计算机实施的方法,其中,所述请求是第一请求,所述请求的加密操作是第一请求加密操作,所述客户端身份信息是第一客户端身份信息,所述方法还包括:
由所述加密芯片从第二客户端接收用以执行第二请求加密操作的第二请求,其中,所述请求包括与所述第二客户端相关联的第二客户端身份信息;和
由所述加密芯片基于将所述第二客户端身份信息与存储在所述存储资源中的所述身份信息进行比较,确定所述第二客户端身份信息与所述被允许请求加密操作的客户端之一无关,
其中,响应于确定所述第二客户端身份信息与所述被允许请求加密操作的客户端之一无关,所述加密芯片不执行所述请求的加密操作。
7.根据前述权利要求中任一项所述的计算机实施的方法,还包括:
由所述加密芯片基于用以执行加密操作的一个或多个请求不包括与所述被允许请求加密操作的客户端之一相关联的客户端身份信息,确定所述请求是恶意的;以及
响应于确定所述用以执行加密操作的一个或多个请求是恶意的,由所述加密芯片从所述存储资源清除所述身份信息和所述密钥信息。
8.根据前述权利要求中任一项所述的计算机实施的方法,其中,所述加密芯片是现场可编程门阵列FPGA,并且所述方法还包括:
由所述加密芯片接收包括重新编程信息以对所述加密芯片重新编程的请求;以及
响应于接收到所述请求,由所述加密芯片用所述重新编程信息替换存储在所述存储资源中的信息。
9.根据前述权利要求中任一项所述的计算机实施的方法,其中,
所述存储资源存储由所述处理资源执行以执行所述加密操作的一个或多个算法,
所述重新编程信息包括一个或多个新算法,并且
用所述重新编程信息替换存储在所述存储资源中的信息包括用所述新算法替换所述算法。
10.一种用于执行经过身份验证的加密操作的系统,包括:
一个或多个处理器;和
一个或多个计算机可读存储器,所述计算机可读存储器耦接到所述一个或多个处理器并且其上存储有指令,所述指令能够由所述一个或多个处理器执行以执行权利要求1至9中任一项所述的方法。
11.一种用于执行经过身份验证的加密操作的装置,所述装置包括用于执行权利要求1至9中任一项所述的方法的多个模块。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2019/080393 WO2019120324A2 (en) | 2019-03-29 | 2019-03-29 | Cryptography chip with identity verification |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111316596A true CN111316596A (zh) | 2020-06-19 |
| CN111316596B CN111316596B (zh) | 2024-03-01 |
Family
ID=66994198
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980001441.4A Active CN111316596B (zh) | 2019-03-29 | 2019-03-29 | 具有身份验证的加密芯片 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US11023620B2 (zh) |
| EP (1) | EP3622665B1 (zh) |
| JP (1) | JP6756056B2 (zh) |
| KR (1) | KR102157453B1 (zh) |
| CN (1) | CN111316596B (zh) |
| AU (1) | AU2019204724C1 (zh) |
| CA (1) | CA3058012C (zh) |
| SG (1) | SG11201908938PA (zh) |
| TW (1) | TWI724684B (zh) |
| WO (1) | WO2019120324A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112000956A (zh) * | 2020-08-27 | 2020-11-27 | 山东超越数控电子股份有限公司 | 一种基于可信计算机的身份验证方法及系统 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112925534A (zh) * | 2021-02-25 | 2021-06-08 | 广东电网有限责任公司电力调度控制中心 | 一种密码芯片嵌入式应用卸载方法及装置 |
| CN113408583B (zh) * | 2021-05-18 | 2022-04-29 | 支付宝(杭州)信息技术有限公司 | 一种身份核验方法、装置及设备 |
| CN113420309B (zh) * | 2021-07-01 | 2022-05-17 | 广东工业大学 | 基于国密算法的轻量化数据保护系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050027991A1 (en) * | 2003-06-23 | 2005-02-03 | Difonzo Joseph | System and method for digital rights management |
| CN101241527A (zh) * | 2007-02-09 | 2008-08-13 | 联想(新加坡)私人有限公司 | 用于普通验证的系统和方法 |
| CN103200562A (zh) * | 2012-01-10 | 2013-07-10 | 国民技术股份有限公司 | 通信终端锁定方法及通信终端 |
| US20150270962A1 (en) * | 2012-10-11 | 2015-09-24 | Nagravision S.A. | Method and system for smart card chip personalization |
| CN105376059A (zh) * | 2014-08-15 | 2016-03-02 | 中国电信股份有限公司 | 基于电子钥匙进行应用签名的方法和系统 |
| US20170357967A1 (en) * | 2016-06-12 | 2017-12-14 | Apple Inc. | Authentication using a secure circuit |
| US20170373844A1 (en) * | 2015-06-05 | 2017-12-28 | Apple Inc. | Secure circuit for encryption key generation |
| CN108476133A (zh) * | 2015-12-11 | 2018-08-31 | 亚马逊科技有限公司 | 通过部分可信的第三方进行的密钥交换 |
Family Cites Families (99)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19629856A1 (de) * | 1996-07-24 | 1998-01-29 | Ibm | Verfahren und System zum sicheren Übertragen und Speichern von schützbaren Informationen |
| JPH10247906A (ja) | 1997-03-03 | 1998-09-14 | Toshiba Corp | 処理機能付きデバイス装置、情報処理システム、認証方法、認証・暗号化方法及び認証・復号方法 |
| AU4250100A (en) | 1999-04-22 | 2000-11-10 | Veridicom, Inc. | High security biometric authentication using a public key/private key encryptionpairs |
| US8325994B2 (en) | 1999-04-30 | 2012-12-04 | Davida George I | System and method for authenticated and privacy preserving biometric identification systems |
| JP2001319164A (ja) | 2000-05-10 | 2001-11-16 | Nec Saitama Ltd | レンタルシステムとそのレンタル方法、及び貸出プログラムを記録した記録媒体 |
| FR2819074B1 (fr) * | 2000-12-29 | 2003-02-21 | Dominique Bertrand | Terminal d'affichage, de restitution, de saisie et de traitement de donnees, configurable par ses utilisateurs |
| JP2002271320A (ja) | 2001-03-13 | 2002-09-20 | Sony Corp | 情報処理装置及び方法、並びに記憶媒体 |
| CA2450834C (en) | 2001-06-18 | 2013-08-13 | Daon Holdings Limited | An electronic data vault providing biometrically protected electronic signatures |
| JP4834263B2 (ja) | 2001-09-28 | 2011-12-14 | シャープ株式会社 | カード認証システム、情報記録カードおよびカード認証方法 |
| JP4660053B2 (ja) | 2002-05-20 | 2011-03-30 | ソニー株式会社 | 人的特徴照合装置 |
| US7590861B2 (en) | 2002-08-06 | 2009-09-15 | Privaris, Inc. | Methods for secure enrollment and backup of personal identity credentials into electronic devices |
| JP2004104539A (ja) | 2002-09-11 | 2004-04-02 | Renesas Technology Corp | メモリカード |
| CN100363855C (zh) * | 2003-07-04 | 2008-01-23 | 诺基亚有限公司 | 密钥存储管理方法、装置及其系统 |
| US20060149962A1 (en) | 2003-07-11 | 2006-07-06 | Ingrian Networks, Inc. | Network attached encryption |
| US8842887B2 (en) | 2004-06-14 | 2014-09-23 | Rodney Beatson | Method and system for combining a PIN and a biometric sample to provide template encryption and a trusted stand-alone computing device |
| JP2006079181A (ja) | 2004-09-07 | 2006-03-23 | Sony Corp | 生体照合装置 |
| JP4423478B2 (ja) | 2004-09-07 | 2010-03-03 | 株式会社国際電気通信基礎技術研究所 | 振動提示装置 |
| US20060059372A1 (en) * | 2004-09-10 | 2006-03-16 | International Business Machines Corporation | Integrated circuit chip for encryption and decryption having a secure mechanism for programming on-chip hardware |
| JP4326443B2 (ja) * | 2004-10-08 | 2009-09-09 | フェリカネットワークス株式会社 | 情報処理装置および情報処理方法、並びにプログラム |
| JP4516399B2 (ja) * | 2004-10-08 | 2010-08-04 | フェリカネットワークス株式会社 | 情報処理装置および方法、並びにプログラム |
| BRPI0517026A (pt) | 2004-10-25 | 2008-09-30 | Rick L Orsini | método e sistema analisador de dados seguros |
| JP2006221566A (ja) | 2005-02-14 | 2006-08-24 | Dainippon Printing Co Ltd | ネットワークを利用した介護サービス支援システム |
| GB2424557A (en) | 2005-03-24 | 2006-09-27 | Sony Uk Ltd | FPGA with hardware decryptor for configuration programme which adds second key to itself before re-encrypting and overwriting itself in memory when run |
| US8972743B2 (en) | 2005-05-16 | 2015-03-03 | Hewlett-Packard Development Company, L.P. | Computer security system and method |
| JP4936238B2 (ja) | 2005-06-13 | 2012-05-23 | 株式会社トプスシステムズ | セキュリティ管理装置 |
| JP2007018301A (ja) | 2005-07-08 | 2007-01-25 | Matsushita Electric Ind Co Ltd | 利用条件処理装置 |
| US8615663B2 (en) | 2006-04-17 | 2013-12-24 | Broadcom Corporation | System and method for secure remote biometric authentication |
| GB2438452B (en) | 2006-05-24 | 2010-12-15 | Nokia Corp | Portable telecommunications apparatus |
| JP4301275B2 (ja) | 2006-09-28 | 2009-07-22 | ソニー株式会社 | 電子機器、および情報処理方法 |
| GB2452732A (en) * | 2007-09-12 | 2009-03-18 | Seiko Epson Corp | Smart-card chip with organic conductive surface layer for detecting invasive attack |
| CN201126581Y (zh) | 2007-11-12 | 2008-10-01 | 中国长城计算机深圳股份有限公司 | 一种基于uefi的生物身份识别装置 |
| CN101436247B (zh) | 2007-11-12 | 2012-04-11 | 中国长城计算机深圳股份有限公司 | 一种基于uefi的生物身份识别方法及系统 |
| BRPI0906863A8 (pt) * | 2008-01-07 | 2018-10-30 | Security First Corp | sistemas e métodos para proteção de dados com o uso de dispersão chaveada por multifatorial |
| US8438385B2 (en) | 2008-03-13 | 2013-05-07 | Fujitsu Limited | Method and apparatus for identity verification |
| DE112008003862B4 (de) | 2008-05-16 | 2020-06-25 | Hewlett-Packard Development Company, L.P. | System und Verfahren zum Liefern eines Systemverwaltungsbefehls |
| DE102008055076A1 (de) | 2008-12-22 | 2010-07-01 | Robert Bosch Gmbh | Vorrichtung und Verfahren zum Schutz von Daten, Computerprogramm, Computerprogrammprodukt |
| CN102460474B (zh) | 2009-05-18 | 2014-12-24 | 米高公司 | 生物识别方法 |
| ES2572159T3 (es) | 2009-11-12 | 2016-05-30 | Morpho Cards Gmbh | Un método de asignación de un secreto a un testigo de seguridad, un método de operación de un testigo de seguridad, un medio de almacenamiento y un testigo de seguridad |
| WO2012122994A1 (en) * | 2011-03-11 | 2012-09-20 | Kreft Heinz | Off-line transfer of electronic tokens between peer-devices |
| US9037852B2 (en) | 2011-09-02 | 2015-05-19 | Ivsc Ip Llc | System and method for independent control of for-hire vehicles |
| WO2013062528A1 (en) * | 2011-10-25 | 2013-05-02 | Hewlett-Packard Development Company, L.P. | Verification record for a replaceable supply |
| CN103138927B (zh) | 2011-12-01 | 2015-12-16 | 航天信息股份有限公司 | 一种用于指纹认证的加密存储设备中密钥控制方法 |
| GB2497553B (en) | 2011-12-13 | 2018-05-16 | Irisguard Inc | Improvements relating to iris cameras |
| TW201328280A (zh) | 2011-12-29 | 2013-07-01 | Chunghwa Telecom Co Ltd | 即時通訊身分認證系統與方法 |
| WO2013134832A1 (en) | 2012-03-15 | 2013-09-19 | Mikoh Corporation | A biometric authentication system |
| CN102594843A (zh) | 2012-03-22 | 2012-07-18 | 中国农业银行股份有限公司 | 一种身份认证系统和方法 |
| US9135496B2 (en) | 2012-05-18 | 2015-09-15 | Apple Inc. | Efficient texture comparison |
| US9590959B2 (en) | 2013-02-12 | 2017-03-07 | Amazon Technologies, Inc. | Data security service |
| US8832465B2 (en) | 2012-09-25 | 2014-09-09 | Apple Inc. | Security enclave processor for a system on a chip |
| US8775757B2 (en) | 2012-09-25 | 2014-07-08 | Apple Inc. | Trust zone support in system on a chip having security enclave processor |
| US9665638B2 (en) | 2012-10-30 | 2017-05-30 | FHOOSH, Inc. | Systems and methods for secure storage of user information in a user profile |
| ES2625254T3 (es) | 2012-11-02 | 2017-07-19 | Morpho Cards Gmbh | Tarjeta con chip de telecomunicaciones |
| US20140237256A1 (en) | 2013-02-17 | 2014-08-21 | Mourad Ben Ayed | Method for securing data using a disposable private key |
| US10304044B2 (en) | 2013-06-05 | 2019-05-28 | American Express Travel Related Services Company, Inc. | Multi-factor mobile user authentication |
| JP6182371B2 (ja) * | 2013-06-28 | 2017-08-16 | ルネサスエレクトロニクス株式会社 | 半導体集積回路を含むシステム |
| US10127378B2 (en) | 2014-10-01 | 2018-11-13 | Kalman Csaba Toth | Systems and methods for registering and acquiring E-credentials using proof-of-existence and digital seals |
| US9646150B2 (en) | 2013-10-01 | 2017-05-09 | Kalman Csaba Toth | Electronic identity and credentialing system |
| CN104580107B (zh) | 2013-10-24 | 2018-02-06 | 华为技术有限公司 | 恶意攻击检测方法及控制器 |
| US9213818B2 (en) | 2014-02-24 | 2015-12-15 | Partnet, Inc. | Anonymous authentication using backup biometric information |
| EP3771138B1 (en) | 2014-03-31 | 2021-09-22 | Irdeto B.V. | Cryptographic chip and related methods |
| CN105471575B (zh) | 2014-09-05 | 2020-11-03 | 创新先进技术有限公司 | 一种信息加密、解密方法及装置 |
| CN104239815A (zh) | 2014-09-19 | 2014-12-24 | 西安凯虹电子科技有限公司 | 基于虹膜识别的电子文档加密解密装置及方法 |
| US9953151B2 (en) | 2015-02-03 | 2018-04-24 | Chon Hock LEOW | System and method identifying a user to an associated device |
| RU2673842C1 (ru) | 2015-03-20 | 2018-11-30 | Ривец Корп. | Автоматическая аттестация сохранности устройства с применением цепочки блоков |
| US9875370B2 (en) * | 2015-03-26 | 2018-01-23 | Microsoft Technology Licensing, Llc | Database server and client for query processing on encrypted data |
| US10592673B2 (en) | 2015-05-03 | 2020-03-17 | Arm Limited | System, device, and method of managing trustworthiness of electronic devices |
| CN106301767B (zh) | 2015-05-13 | 2020-01-03 | 中兴通讯股份有限公司 | 一种加密通话的处理方法、装置、终端及kmc |
| US10198182B2 (en) | 2015-05-31 | 2019-02-05 | Apple Inc. | Synchronization and verification groups among related devices |
| US10079880B2 (en) | 2015-06-07 | 2018-09-18 | Apple Inc. | Automatic identification of invalid participants in a secure synchronization system |
| WO2016201352A1 (en) | 2015-06-10 | 2016-12-15 | Arris Enterprises Llc | Code signing system with machine to machine interaction |
| US9942035B2 (en) * | 2015-08-18 | 2018-04-10 | Intel Corporation | Platform migration of secure enclaves |
| CN106487511B (zh) | 2015-08-27 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置 |
| US10536271B1 (en) | 2016-01-10 | 2020-01-14 | Apple Inc. | Silicon key attestation |
| US11734678B2 (en) | 2016-01-25 | 2023-08-22 | Apple Inc. | Document importation into secure element |
| CN105959287A (zh) | 2016-05-20 | 2016-09-21 | 中国银联股份有限公司 | 一种基于生物特征的安全认证方法及装置 |
| CN105975839B (zh) | 2016-06-12 | 2019-07-05 | 北京集创北方科技股份有限公司 | 一种生物特征识别装置和方法以及生物特征模板注册方法 |
| US10268844B2 (en) * | 2016-08-08 | 2019-04-23 | Data I/O Corporation | Embedding foundational root of trust using security algorithms |
| US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
| CN108345785B (zh) | 2017-01-25 | 2021-05-11 | 杨建纲 | 内建智能安全行动装置 |
| CN108632021A (zh) | 2017-03-15 | 2018-10-09 | 阿里巴巴集团控股有限公司 | 一种密钥加密方法、装置和系统 |
| CN108667608B (zh) * | 2017-03-28 | 2021-07-27 | 阿里巴巴集团控股有限公司 | 数据密钥的保护方法、装置和系统 |
| US10541818B2 (en) | 2017-04-19 | 2020-01-21 | International Business Machines Corporation | Decentralized biometric signing of digital contracts |
| CN108881000A (zh) | 2017-05-08 | 2018-11-23 | 国民技术股份有限公司 | 网关设备、第三方平台、支付系统及方法 |
| CN107241317B (zh) | 2017-05-24 | 2021-01-15 | 国民认证科技(北京)有限公司 | 生物特征识别身份的方法和用户终端设备以及身份认证服务器 |
| CN107169762B (zh) | 2017-05-24 | 2020-02-07 | 中国银联股份有限公司 | 一种安全载体的配置方法及装置 |
| CN109150535A (zh) | 2017-06-19 | 2019-01-04 | 中国移动通信集团公司 | 一种身份认证方法、设备、计算机可读存储介质及装置 |
| WO2018236420A1 (en) * | 2017-06-20 | 2018-12-27 | Google Llc | CLOUD EQUIPMENT SECURITY MODULES FOR CRYPTOGRAPHIC EXTERNALIZATION OPERATIONS |
| US11922363B2 (en) | 2017-07-05 | 2024-03-05 | United Parcel Service Of America, Inc. | Counterparty physical proximity verification for digital asset transfers |
| US10438190B2 (en) * | 2017-07-18 | 2019-10-08 | Square, Inc. | Devices with on-board physically unclonable functions |
| US10819528B2 (en) * | 2017-07-18 | 2020-10-27 | Square, Inc. | Device security with physically unclonable functions |
| US10263793B2 (en) * | 2017-07-18 | 2019-04-16 | Square, Inc. | Devices with modifiable physically unclonable functions |
| CN109525392B (zh) | 2017-09-20 | 2021-11-26 | 上海方付通商务服务有限公司 | eID贴膜卡、移动终端设备及eID认证系统 |
| US10509940B2 (en) | 2017-09-28 | 2019-12-17 | Apple Inc. | Electronic device including sequential operation of light source subsets while acquiring biometric image data and related methods |
| US10833877B2 (en) * | 2017-10-12 | 2020-11-10 | Canon Kabushiki Kaisha | Method of authenticating authentication-target apparatus by authentication apparatus, authentication apparatus, authentication- target apparatus, and image forming apparatus |
| CN108540457B (zh) | 2018-03-20 | 2021-09-17 | 深圳市文鼎创数据科技有限公司 | 一种安全设备及其生物认证控制方法和装置 |
| US11641278B2 (en) | 2018-03-27 | 2023-05-02 | Workday, Inc. | Digital credential authentication |
| US11700117B2 (en) | 2018-03-27 | 2023-07-11 | Workday, Inc. | System for credential storage and verification |
| CN110677250B (zh) * | 2018-07-02 | 2022-09-02 | 阿里巴巴集团控股有限公司 | 密钥和证书分发方法、身份信息处理方法、设备、介质 |
| CN108900296B (zh) | 2018-07-04 | 2021-11-09 | 昆明我行科技有限公司 | 一种基于生物特征识别的秘钥存储方法 |
-
2019
- 2019-03-29 CA CA3058012A patent/CA3058012C/en active Active
- 2019-03-29 SG SG11201908938P patent/SG11201908938PA/en unknown
- 2019-03-29 AU AU2019204724A patent/AU2019204724C1/en active Active
- 2019-03-29 CN CN201980001441.4A patent/CN111316596B/zh active Active
- 2019-03-29 EP EP19732220.9A patent/EP3622665B1/en active Active
- 2019-03-29 JP JP2019553419A patent/JP6756056B2/ja active Active
- 2019-03-29 KR KR1020197028379A patent/KR102157453B1/ko active IP Right Grant
- 2019-03-29 WO PCT/CN2019/080393 patent/WO2019120324A2/en unknown
- 2019-09-30 US US16/587,901 patent/US11023620B2/en active Active
- 2019-12-12 TW TW108145434A patent/TWI724684B/zh active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050027991A1 (en) * | 2003-06-23 | 2005-02-03 | Difonzo Joseph | System and method for digital rights management |
| CN101241527A (zh) * | 2007-02-09 | 2008-08-13 | 联想(新加坡)私人有限公司 | 用于普通验证的系统和方法 |
| CN103200562A (zh) * | 2012-01-10 | 2013-07-10 | 国民技术股份有限公司 | 通信终端锁定方法及通信终端 |
| US20150270962A1 (en) * | 2012-10-11 | 2015-09-24 | Nagravision S.A. | Method and system for smart card chip personalization |
| CN105376059A (zh) * | 2014-08-15 | 2016-03-02 | 中国电信股份有限公司 | 基于电子钥匙进行应用签名的方法和系统 |
| US20170373844A1 (en) * | 2015-06-05 | 2017-12-28 | Apple Inc. | Secure circuit for encryption key generation |
| CN108476133A (zh) * | 2015-12-11 | 2018-08-31 | 亚马逊科技有限公司 | 通过部分可信的第三方进行的密钥交换 |
| US20170357967A1 (en) * | 2016-06-12 | 2017-12-14 | Apple Inc. | Authentication using a secure circuit |
Non-Patent Citations (2)
| Title |
|---|
| 张炜轩 等: ""基于专用加密芯片的单片机软件加密系统设计"", 《单片机与嵌入式系统应用》 * |
| 张炜轩 等: ""基于专用加密芯片的单片机软件加密系统设计"", 《单片机与嵌入式系统应用》, no. 9, 1 September 2013 (2013-09-01) * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112000956A (zh) * | 2020-08-27 | 2020-11-27 | 山东超越数控电子股份有限公司 | 一种基于可信计算机的身份验证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| SG11201908938PA (en) | 2019-10-30 |
| TW202036384A (zh) | 2020-10-01 |
| KR102157453B1 (ko) | 2020-09-18 |
| JP6756056B2 (ja) | 2020-09-16 |
| JP2020519050A (ja) | 2020-06-25 |
| AU2019204724A1 (en) | 2020-10-15 |
| EP3622665B1 (en) | 2021-07-28 |
| US11023620B2 (en) | 2021-06-01 |
| AU2019204724C1 (en) | 2021-12-09 |
| CA3058012A1 (en) | 2019-06-27 |
| CA3058012C (en) | 2021-05-11 |
| TWI724684B (zh) | 2021-04-11 |
| US20200311315A1 (en) | 2020-10-01 |
| AU2019204724B2 (en) | 2021-06-17 |
| CN111316596B (zh) | 2024-03-01 |
| WO2019120324A2 (en) | 2019-06-27 |
| EP3622665A4 (en) | 2020-07-15 |
| WO2019120324A3 (en) | 2020-01-23 |
| EP3622665A2 (en) | 2020-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7257561B2 (ja) | コンピュータに実装される方法、ホストコンピュータ、コンピュータ読み取り可能な媒体 | |
| US10116645B1 (en) | Controlling use of encryption keys | |
| CN110492990B (zh) | 区块链场景下的私钥管理方法、装置及系统 | |
| CN111034120B (zh) | 基于身份信息的加密密钥管理 | |
| CN102196375B (zh) | 保护带外消息 | |
| CN111316596B (zh) | 具有身份验证的加密芯片 | |
| CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
| US10003467B1 (en) | Controlling digital certificate use | |
| KR20140099325A (ko) | 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법 | |
| CN113691502A (zh) | 通信方法、装置、网关服务器、客户端及存储介质 | |
| KR102234825B1 (ko) | 암호 동작들의 안전한 수행 | |
| CN110431803B (zh) | 基于身份信息管理加密密钥 | |
| US8769301B2 (en) | Product authentication based upon a hyperelliptic curve equation and a curve pairing function | |
| CN116049802B (zh) | 应用单点登陆方法、系统、计算机设备和存储介质 | |
| WO2019242163A1 (zh) | 数据安全验证方法、装置、系统、计算机设备及存储介质 | |
| CN110213245B (zh) | 基于非对称密钥池和代理签名的应用系统近距离节能通信方法和系统 | |
| CN114240428A (zh) | 数据传输方法及装置、数据交易终端、数据供方 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201012 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant before: Advanced innovation technology Co.,Ltd. Effective date of registration: 20201012 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Advanced innovation technology Co.,Ltd. Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands Applicant before: Alibaba Group Holding Ltd. |
|
| TA01 | Transfer of patent application right | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40030413 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |