CN101398872A - 保护口令免受未授权访问的方法和数据处理单元 - Google Patents
保护口令免受未授权访问的方法和数据处理单元 Download PDFInfo
- Publication number
- CN101398872A CN101398872A CNA200810171493XA CN200810171493A CN101398872A CN 101398872 A CN101398872 A CN 101398872A CN A200810171493X A CNA200810171493X A CN A200810171493XA CN 200810171493 A CN200810171493 A CN 200810171493A CN 101398872 A CN101398872 A CN 101398872A
- Authority
- CN
- China
- Prior art keywords
- data
- executable code
- processor executable
- processor
- storer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 230000004224 protection Effects 0.000 claims description 12
- 230000002265 prevention Effects 0.000 claims description 4
- 230000014509 gene expression Effects 0.000 description 14
- 230000008878 coupling Effects 0.000 description 5
- 238000010168 coupling process Methods 0.000 description 5
- 238000005859 coupling reaction Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 239000012634 fragment Substances 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 238000006073 displacement reaction Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000001343 mnemonic effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了保护口令免受未授权访问的方法和数据处理单元。保护口令免受未授权访问的方法的一个实施例包括:在存储器中存储表示至少部分口令的数据,将数据分配给多个指令中的至少一个,将多个指令作为处理器可执行代码存储在存储器中,以及阻止将处理器可执行代码作为数据从存储器读出。
Description
技术领域
本发明大体上涉及一种保护口令免受未授权(unauthorized)访问的方法和数据处理单元。
附图说明
图1示出了根据本发明实施例的数据流程图;
图2示出了根据本发明实施例的数据处理单元;
图3示出了根据本发明实施例的方法的流程图;
图4示出了根据本发明另一个实施例的方法的流程图;
具体实施方式
以下的详细描述解释了本发明的示例性实施例。此描述不应理解为限制,而仅为了说明本发明的一般原理。然而,本发明的范围仅由权利要求定义并且不意在受以下描述的示例性实施例的限制。
术语“口令”通常意为一些被保密的并且必须被提供以获得对一些其它信息或资源的访问的信息。此处的术语“口令”也被用于表示信息的表示或编码。例如,口令可以由字母、数字和特殊符号的序列来定义。其它也能被称为口令的序列可以由另一个二进制数序列来表示或编码。
根据本发明的一个实施例,所提供的保护口令免受未授权访问的方法包括:在存储器中存储表示至少部分口令的数据,将数据分配给多个指令中的至少一个,将所述多个指令作为处理器可执行代码存储在存储器中,以及阻止将处理器可执行代码作为数据从存储器读出。
根据本发明的另一个实施例,所提供的保护口令免受未授权访问的方法包括:将表示至少部分口令的数据分布(distribute)到多个数据部分中,将每个数据部分与多个指令中的至少一个进行组合,将包括组合的数据部分的多个指令作为处理器可执行代码存储在存储器中,以及阻止将处理器可执行代码作为数据从存储器读出。
根据本发明的另一个实施例,所提供的数据处理单元包括:存储器,用于存储表示至少部分口令的数据,所述存储器进一步将多个指令作为处理器可执行代码进行存储;控制单元,用于将数据分配至多个指令中的至少一个;以及电路装置(arrangement),用于阻止将处理器可执行代码作为数据从存储器读出。
根据本发明的另一个实施例,所提供的数据处理单元包括:控制单元,用于将表示至少部分口令的数据分布到多个数据部分中,所述控制单元进一步将每个数据部分与多个指令中的一个进行组合;存储器,用于将包括组合的数据部分的多个指令作为处理器可执行代码进行存储;以及电路装置,用于阻止将处理器可执行代码作为数据从存储器读出。
说明性地,口令和/或关于如何获取(retrieve)口令的一些信息与被作为处理器可执行代码存储在存储器中的多个指令相联系(link)。由于将处理器可执行代码作为数据从存储器读出被阻止,所以口令被保护免受未授权访问。
根据本发明的一个实施例,允许将处理器可执行代码作为将由处理器执行的代码读出,并且允许将可允许读出的处理器可执行代码转移至处理器。
根据本发明的一个实施例,通过执行处理器可执行代码来获取表示口令的数据。
表示口令的数据可以被作为处理器可执行代码的部分来存储。它们可以被构建(build)到处理器可执行代码的指令中。根据本发明的实施例,多个指令中的至少一个是立即指令。
处理器可执行代码可以包括附加指令以用于执行安全相关过程。表示口令的数据所分配到的多个指令可以被分布于整个处理器可执行代码内。这样,口令就具有更强的免受未授权访问的保护。
在其中安全和不安全代码由单个处理器执行的数据处理系统中,需要安全方法来控制对关键硬件资源的访问。这样的关键硬件资源的例子可以是用于加密(cryptographic)操作的基于保密硬件(secret hardware)的密钥。对硬件资源的访问应仅当确定的安全代码片段(piece)在系统中执行时才是可能的。
这能够例如通过使用用于安全访问的单独的(附加的)处理器、通过使用具有硬件安全线程的处理器、或通过使用状态机控制对指令和数据存储器的访问来实现。可替换地,口令可以被用于控制对硬件资源的访问。
当使用口令来控制对资源的访问时,通常希望保持口令保密以便其仅对被授权使用资源者是已知的而对其它人不可用。例如,在其中安全和非安全代码由单个处理器执行的数据处理系统中,对资源安全访问的形成可以通过使用仅当安全代码被执行时才能被访问的口令来提供。因为在某一点需要使用口令,所以口令必须在系统中是可用的,但是必须保护对口令的访问免受攻击者读取和使用。换句话说,必须保护口令免受未授权访问。
图1示出了根据本发明一个实施例的数据流程图。
口令101由存储在存储器中的数据102表示。数据102包括多个数据部分103、104、105、106和107。数据部分被单独地分配给多个指令108、109和110中的一个。在所示的例子中,数据部分103分配给第一指令108(“指令1”),数据部分104被分配给第二指令109(“指令2”)等等。指令被作为处理器可执行代码存储在存储器中。这意味着代码仅能够被执行而不能作为数据读出。分配给指令108、109和110的数据部分可以作为处理器可执行代码的部分来存储。
为达此目的,在所描述的实施例中使用所谓的立即指令。这些是其中指令所引用的数据被构建到指令中的指令,并且不需要取数据。指令108、109和110可以是允许使用内部指令常量的汇编指令,其能够在不使用附加数据总线的情况下被加载到微处理器的寄存器中。ARM926是能够按这种方式使用的处理器的例子。立即指令中所使用的数据通常很短并且可能仅为1字节。在所示的例子中,第一指令108包括分配的数据111和112,第二指令109包括分配的数据113和114,第三指令110包括分配的数据115。在该情况下,分配的数据111对应于数据部分103,分配的数据112对应于数据部分105等等。可替换地,立即指令可以不包括数据部分103、104、105、106和107,取而代之其它信息可用于获取密码,例如到其中存储数据102的其它指令或存储位置的链接(link)或指针。
由于包含立即指令的代码被微处理器执行,所以微处理器在内部寄存器中建立完全(complete)口令,即表示口令的数据。这可以通过在将口令加载到内部寄存器时使用移位(shift)操作和“或”操作来实现。这能够直至一个或多个完全32位寄存器已经被加载口令才完成。
在一个实施例中,表示口令101的数据102被分布于立即指令108、109和110中的整个安全访问代码内。安全访问代码包括一个或多个附加指令116以用于执行安全相关过程。由于口令访问命令被分布于整个安全访问代码内,所以如果代码没有被完全执行,则完全口令对微处理器而言不可用。安全访问代码能够执行安全访问,例如检查中断被禁止(disabled),以及检查调用(call)例程的源。
参考图2,示意性的框图示出了以下将要讨论的根据本发明另一个实施例的数据处理单元。
数据处理单元200包括微处理器201和存储器202,所述微处理器201和存储器202经由数据总线203及指令总线204相耦合。指令总线连接至微处理器的指令输入端口205。数据处理单元还包括安全关键硬件资源206,例如用于加密操作的基于保密硬件的密钥。对该硬件资源的访问受安全访问信号207保护,其继而受口令保护。
每当数据处理单元200被重置和引导时,口令都会被赋予新值。实现此目的的好方法是从随机数字发生器208中取值。随机数字发生器208所递送的口令被微处理器201编程到不能被读出的硬件寄存器209中,例如当紧接在初始化之后,数据处理单元处于安全状态时。当系统仍处于安全状态时,口令也被嵌入存储在存储器202中的一段安全访问代码210。为了实现此目的,使用立即指令。口令或密钥必须分割成指令适合的片段。大小由所使用的指令集来确定,例如加载记忆区(load mnemonic)中常量字段的大小。表示口令的数据被嵌入多个立即指令,其形成安全访问代码210的一部分。此处微处理器201担当向多个指令中的至少一个分配数据的控制单元。微处理器201也能够被视为将表示至少部分口令的数据分布至多个数据部分中的控制单元,控制单元进一步将每个数据部分与多个指令中的一个进行组合。
安全访问代码210通过硬件来保护。总线监视器(watcher)211仅允许针对其中通过指令总线204保护安全访问代码的存储器的总线访问。这意味代码仅能够被微处理器201执行,并且不能被作为数据从存储器读出。通过总线监视器211针对来自任何总线的数据访问对相应的存储区域进行保护和闭锁(lock)。总线监视器211的硬件能够被视为用于阻止将处理器可执行代码作为数据从存储器202读出的电路装置。因此口令在微处理器对非安全代码的执行期间被保护。如果安全访问代码被非法访问(被重写,或作为数据读取)或试图这样做,则总线监视器211的检测电路将会产生安全警报,锁定(lock off)对安全硬件资源206的访问直至下一次重置,或简单地重置系统(例如数据处理单元)。
也可以使对口令的访问依赖于集成电路的特定安全状态。这可以通过硬件来实现。利用不正确的安全状态访问口令会引发安全警报。
当要求访问硬件资源206的应用或例程需要使用口令时,安全访问代码210经由指令总线204和指令输入端口205被加载到微处理器中并被立即执行。当安全访问代码被执行时,微处理器在内部寄存器212中构建完全口令,即表示口令的数据。这可以通过在将口令加载至内部寄存器212中时使用移位和“或”操作来实现。这能够直至一个或多个完全32位寄存器已经被加载口令才完成。之后微处理器将口令写入比较硬件寄存器213。安全访问电路214将硬件寄存器209的内容和比较硬件寄存器213的内容进行比较。仅当比较硬件寄存器213包含口令的正确值并且没有从警报信号215检测到总线监视器211的安全警报条件时,才激活安全访问信号207。
安全访问代码210包含附加指令116以用于执行安全访问,例如检查中断被禁止,以及检查调用例程的源。授权帧(frame)可以被执行,此处调用模块通过读出链接寄存器(例如ARM系统上的R14)并且将其与允许地址的列表相比较来确定。另外,可以针对未授权返回地址来检查本地堆栈帧。这确保了获取口令的功能仅能够被授权的软件部分使用。调用安全访问代码的例程可以完全通过硬件来保护。表示口令的数据可以在以预定方式加扰(scramble)的多个部分中返回调用例程,从而要求调用例程必须在能够使用它之前以已定义方式对数据进行去扰(descramble)。
由于口令访问命令(指令108、109、110)被分布于整个安全访问代码内,所以如果代码不被完全执行,则完全口令将对于微处理器而言不可用。在安全访问代码210的执行时,数据处理单元200能够被强制进入安全状态。因此能够实现:仅当安全代码被微处理器201执行时才准予对硬件资源206的访问。
安全访问信号207仅能够通过将正确值写入硬件比较寄存器213来激活。将错误值写入寄存器将会引起安全访问信号被锁定直至对数据处理单元200的下一次重置。只要口令具有合理的长度,试图随机猜测口令的攻击者极可能失败。这是因为攻击者仅能猜一次,之后数据处理单元200必须被重置才能有另一次尝试。在这一点,使用随机数字发生器208产生新口令。这意味强力攻击比口令长度暗示(imply)花费长得多的时间,系统性的(systematic)攻击也不起作用。
口令的使用也能够利用附加硬件来保护。在这种情况下,硬件检查口令是否已经被全部读取。如果没有,则口令不能被使用,并且将被拒绝。
这样,硬件资源206通过硬件和软件的组合来保护,其优点在于:软件能够依据所需的保护等级而增强。数据处理单元200能够是单元或集成至单个集成电路中的系统。其也可以是包括若干集成电路和/或其它件设备的系统。
图3示出了根据本发明一个实施例的方法的流程图。
在301中,表示至少部分口令的数据被存储在存储器中。例如,这能够由与数据存储器202相耦合的微处理器201来执行。耦合可以由数据总线203提供。
在302中,数据被分配至多个指令中的至少一个。这还可以由微处理器201来执行。指令可以是立即指令,其允许使用内部指令常量。利用这些,可以执行汇编指令以便在不是必须使用附加数据总线的情况下将数据加载到微处理器的寄存器中。
在303中,将多个指令作为处理器可执行代码存储在存储器中。如图1所示,所分配的数据111、112、113、114和115可以与指令108、109和110一起存储。在这个例子中,它们形成存储器202中的处理器可执行代码210的一部分。可替换地,所分配的数据可以保持或能够被存储在另一个存储器位置。提供各数据和其被分配到的指令之间联系的一些信息可以包括在指令中。
在304中,阻止将处理器可执行代码作为数据从存储器读出。例如,总线监视器211控制对存储器202中存储处理器可执行代码210的区域的总线访问。任何数据读或写访问都通过总线监视器硬件被阻止。总线监视器阻止任何经由数据总线203访问处理器可执行代码210的尝试。因此口令101,更确切地,表示口令的数据102,被保护免受未授权访问。
图4示出了根据本发明另一个实施例的方法的流程图。
在401中,表示至少部分口令的数据被分布到多个数据部分中。例如,这能够由微处理器201来执行。表示口令101的数据102被分割为片段103、104、105、106和107。
在402中,将每个数据部分与多个指令中的至少一个进行组合。这也可以由微处理器201来执行。数据部分可以与指令一起被安排或与指令相联系。如果指令是立即指令,那么数据部分能够被构建成立即指令。
在403中,将包括组合的数据部分的多个指令作为处理器可执行代码存储在存储器中。图1中的数据111、112、113、114和115可以被视为与指令108、109和110组合的数据部分。指令和组合的数据部分能够被一起存储在存储器202中并且之后形成处理器可执行代码210的一部分。
在404中,阻止将处理器可执行代码作为数据从存储器读出。例如,总线监视器211控制对存储器202中存储处理器可执行代码210的区域的总线访问。任何数据读或写访问都通过总线监视器硬件被阻止。总线监视器阻止任何经由数据总线203访问处理器可执行代码210的尝试。因此口令101,更确切地表示口令的数据102,被保护免受未授权访问。
虽然已经特别参考附图详细描述了前述一些实施例,但发明者考虑到不同的实施例。
在本发明的一个实施例中,控制对其中存储处理器可执行代码的存储器地址范围或存储器的访问包括使用硬件单元。
本发明的一个实施例包括:当处理器可执行代码被作为数据读出或被改变时产生安全警报。
在本发明的一个实施例中,处理器可执行代码包括附加指令以用于执行安全相关过程。
在本发明的一个实施例中,多个指令中的至少一个被分布于整个处理器可执行代码内。
在本发明的一个实施例中,为了完全获取表示至少部分口令的数据,需要基本上执行所有处理器可执行代码。
本发明的一个实施例包括:每当集成电路被重置和引导时,向表示至少部分口令的数据分配新值。
在本发明的一个实施例中,向表示至少部分口令的数据分配新值包括使用随机数字发生器。
本发明的一个实施例包括:将表示至少部分口令的数据编程到不能被读出的硬件寄存器中;将所获取的数据写入硬件比较寄存器;以及如果硬件比较寄存器包含表示至少部分口令的数据的正确表示,则激活安全访问信号。
本发明的一个实施例包括:在激活安全访问信号时,使能(enable)对安全硬件资源的访问。
本发明的一个实施例包括:如果硬件比较寄存器包含表示至少部分口令的数据的不正确表示,则锁定安全访问信号。
本发明的一个实施例包括:保持锁定的安全访问信号被锁定直至集成电路被重置或引导。
本发明的一个实施例包括:执行软件例程,所述软件例程需要安全访问,所述安全访问需要表示至少部分口令的数据;以及使用硬件单元检查软件例程的完整性(integrity)和/或授权。
本发明的一个实施例包括:在以预定方式加扰的多个部分中返回表示至少部分口令的数据。
在本发明的一个实施例中,总线监视电路被配置成限制数据读访问对其中存储处理器可执行代码的存储器地址范围或存储器的访问。
在本发明的一个实施例中,总线监视电路被配置成允许指令读访问对其中存储处理器可执行代码的存储器地址范围或存储器的访问。
在本发明的一个实施例中,电路装置包括检测电路,所述检测电路用于当处理器可执行代码被作为数据读出或被改变时产生安全警报。
在本发明的一个实施例中,处理器可执行代码包括附加指令以用于执行安全相关过程。
在本发明的一个实施例中,多个指令中的至少一个被分布于整个处理器可执行代码内。
本发明的一个实施例包括具有引导电路的集成电路,所述引导电路用于每当集成电路被重置和引导时,向表示至少部分口令的数据分配新值。
本发明的一个实施例包括随机数字发生器以用于产生新值。
本发明的一个实施例包括:
硬件寄存器,用于接收表示至少部分口令的数据,所述硬件寄存器被配置为不能被读出;
硬件比较寄存器,用于将所获取的数据写入其中;以及
安全访问电路,用于在硬件比较寄存器包含表示至少部分口令的数据的正确表示的情况下激活安全访问信号。
本发明的一个实施例包括安全硬件资源并且被配置为在激活安全访问信号时使能对安全硬件资源的访问。
本发明的一个实施例配置为:如果硬件比较寄存器包含表示至少部分口令的数据的不正确表示,则锁定安全访问信号。
本发明的一个实施例包括具有引导电路的集成电路并且配置为保持锁定的安全访问信号被锁定直至集成电路被重置或引导。
本发明的一个实施例包括完整性检测电路,用于在软件例程在被处理器执行时需要安全访问的情况下检查软件例程的完整性,所述安全访问需要表示至少部分口令的数据。
Claims (25)
1、保护口令免受未授权访问的方法,包括:
在存储器中存储表示至少部分口令的数据;
将数据分配给多个指令中的至少一个;
将多个指令作为处理器可执行代码存储在存储器中;以及
阻止将处理器可执行代码作为数据从存储器读出。
2、如权利要求1所述的方法,进一步包括:
允许将处理器可执行代码作为将由处理器执行的代码读出;
允许将可允许读出的处理器可执行代码转移至处理器。
3、如权利要求1所述的方法,进一步包括将数据作为处理器可执行代码的部分进行存储。
4、如权利要求1所述的方法,进一步包括将数据构建到多个指令中的至少一个中。
5、如权利要求1所述的方法,其中多个指令中的至少一个是立即指令。
6、如权利要求1所述的方法,进一步包括执行处理器可执行代码以获取表示至少部分口令的数据。
7、如权利要求1所述的方法,其中阻止将处理器可执行代码作为数据从存储器中读出包括:控制对其中存储处理器可执行代码的存储器地址范围或存储器的访问。
8、如权利要求1所述的方法,其中阻止将处理器可执行代码作为数据从存储器中读出包括:限制数据读访问对其中存储处理器可执行代码的存储器地址范围或存储器的访问。
9、如权利要求2所述的方法,其中允许将处理器可执行代码作为将由处理器执行的代码读出包括:允许指令读访问对其中存储处理器可执行代码的存储器地址范围或存储器的访问。
10、保护口令免受未授权访问的方法,包括:
将表示至少部分口令的数据分布到多个数据部分中;
将每个数据部分与多个指令中的至少一个进行组合;
将包括组合的数据部分的多个指令作为处理器可执行代码存储在存储器中;以及
阻止将处理器可执行代码作为数据从存储器读出。
11、如权利要求10所述的方法,进一步包括:
允许将处理器可执行代码作为将由处理器执行的代码读出;以及
允许将可允许读出的处理器可执行代码转移至处理器。
12、如权利要求10所述的方法,其中组合包括将每个数据部分嵌入多个指令中的一个。
13、如权利要求10所述的方法,进一步包括执行处理器可执行代码以获取表示至少部分口令的数据。
14、如权利要求10所述的方法,进一步包括将组合的数据部分分布于在整个处理器可执行代码内。
15、数据处理单元,包括:
存储器,用于存储表示至少部分口令的数据,所述存储器进一步将多个指令作为处理器可执行代码进行存储;
控制单元,用于将数据分配给多个指令中的至少一个;以及
电路装置,用于阻止将处理器可执行代码作为数据从存储器读出。
16、如权利要求15所述的数据处理单元,电路装置进一步允许将处理器可执行代码作为将由处理器执行的代码读出;并且
电路装置进一步允许将可允许读出的处理器可执行代码转移至处理器。
17、如权利要求15所述的数据处理单元,存储器进一步将数据作为处理器可执行代码的部分进行存储。
18、如权利要求15所述的数据处理单元,控制单元进一步将数据构建到多个指令中的至少一个中。
19、如权利要求15所述的数据处理单元,其中多个指令中的至少一个是立即指令。
20、如权利要求15所述的数据处理单元,还包括:
处理器,用于处理指令并且具有指令输入端口,处理器进一步执行处理器可执行代码以便当经由指令输入端口接收处理器可执行代码时获取表示至少部分口令的数据;
电路装置进一步将可允许读出的处理器可执行代码转移至处理器的指令输入端口。
21、如权利要求15所述的数据处理单元,电路装置还包括用于将存储器耦合到处理器的总线装置,所述总线装置具有总线监视电路以用于控制对其中存储处理器可执行代码的存储器地址范围或存储器的访问。
22、数据处理单元,包括:
控制单元,用于将表示至少部分口令的数据分布到多个数据部分中,控制单元进一步将每个数据部分与多个指令中的一个进行组合;
存储器,用于将包括组合的数据部分的多个指令作为处理器可执行代码进行存储;以及
电路装置,用于阻止将处理器可执行代码作为数据从存储器读出。
23、如权利要求22所述的数据处理单元,电路装置进一步允许将处理器可执行代码作为将由处理器执行的代码读出;并且
电路装置进一步允许将可允许读出的处理器可执行代码转移至处理器。
24、如权利要求22所述的数据处理单元,其中控制单元被配置成将每个数据部分嵌入多个指令中的一个。
25、如权利要求22所述的数据处理单元,还包括:
处理器,用于处理指令并且具有指令输入端口,并且进一步执行处理器可执行代码以便当经由指令输入端口接收处理器可执行代码时获取表示至少部分口令的数据;
电路装置,进一步将可允许读出的处理器可执行代码转移至处理器的指令输入端口。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/861288 | 2007-09-26 | ||
| US11/861,288 US8239963B2 (en) | 2007-09-26 | 2007-09-26 | Method of protecting a password from unauthorized access and data processing unit |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101398872A true CN101398872A (zh) | 2009-04-01 |
| CN101398872B CN101398872B (zh) | 2012-12-26 |
Family
ID=40473177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810171493.XA Expired - Fee Related CN101398872B (zh) | 2007-09-26 | 2008-09-26 | 保护口令免受未授权访问的方法和数据处理单元 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8239963B2 (zh) |
| CN (1) | CN101398872B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104081403A (zh) * | 2011-10-27 | 2014-10-01 | T移动美国公司 | 移动装置类型锁定 |
| US9426661B2 (en) | 2012-04-20 | 2016-08-23 | T-Mobile Usa, Inc. | Secure lock for mobile device |
| US9807607B2 (en) | 2014-10-03 | 2017-10-31 | T-Mobile Usa, Inc. | Secure remote user device unlock |
| US9813399B2 (en) | 2015-09-17 | 2017-11-07 | T-Mobile Usa, Inc. | Secure remote user device unlock for carrier locked user devices |
| US10075848B2 (en) | 2012-08-25 | 2018-09-11 | T-Mobile Usa, Inc. | SIM level mobile security |
| US10171649B2 (en) | 2017-04-21 | 2019-01-01 | T-Mobile Usa, Inc. | Network-based device locking management |
| US10476875B2 (en) | 2017-04-21 | 2019-11-12 | T-Mobile Usa, Inc. | Secure updating of telecommunication terminal configuration |
| US10769315B2 (en) | 2014-12-01 | 2020-09-08 | T-Mobile Usa, Inc. | Anti-theft recovery tool |
| US10972901B2 (en) | 2019-01-30 | 2021-04-06 | T-Mobile Usa, Inc. | Remote SIM unlock (RSU) implementation using blockchain |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4324810B2 (ja) * | 2007-04-10 | 2009-09-02 | セイコーエプソン株式会社 | マイクロコンピュータ、電子機器及びフラッシュメモリのプロテクト方式 |
| US8117642B2 (en) * | 2008-03-21 | 2012-02-14 | Freescale Semiconductor, Inc. | Computing device with entry authentication into trusted execution environment and method therefor |
| US9319884B2 (en) | 2011-10-27 | 2016-04-19 | T-Mobile Usa, Inc. | Remote unlocking of telecommunication device functionality |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4959860A (en) * | 1989-02-07 | 1990-09-25 | Compaq Computer Corporation | Power-on password functions for computer system |
| US4942606A (en) * | 1989-02-07 | 1990-07-17 | Compaq Computer Corporation | Computer with improved keyboard password functions |
| US7454782B2 (en) * | 1997-12-23 | 2008-11-18 | Arcot Systems, Inc. | Method and system for camouflaging access-controlled data |
| US6665800B1 (en) * | 1999-01-26 | 2003-12-16 | Dell Usa, L.P. | System and method for securing a computer system |
| US6543684B1 (en) * | 2000-03-28 | 2003-04-08 | Ncr Corporation | Transaction terminal with privacy shield for touch-screen pin entry |
| US6681304B1 (en) * | 2000-06-30 | 2004-01-20 | Intel Corporation | Method and device for providing hidden storage in non-volatile memory |
| US6959394B1 (en) * | 2000-09-29 | 2005-10-25 | Intel Corporation | Splitting knowledge of a password |
| US7636859B2 (en) * | 2001-01-04 | 2009-12-22 | Cummins Inc. | System and method for authorizing transfer of software into embedded systems |
| US20030204732A1 (en) * | 2002-04-30 | 2003-10-30 | Yves Audebert | System and method for storage and retrieval of a cryptographic secret from a plurality of network enabled clients |
| JP3584032B2 (ja) * | 2003-02-24 | 2004-11-04 | 沖電気工業株式会社 | データ圧縮装置及びデータ展開装置 |
| TW200504508A (en) * | 2003-07-16 | 2005-02-01 | Iadea Corp | Portable non-volatile memory device and data access protection method of the same |
| DE102005005436A1 (de) * | 2004-04-14 | 2005-11-24 | Atmel Germany Gmbh | Sicherheitseinrichtung für einen Transponder |
| US20060107315A1 (en) * | 2004-11-18 | 2006-05-18 | Michael Fiske | System that uses access keys |
| US7809950B2 (en) * | 2005-03-02 | 2010-10-05 | Dell Products L.P. | System and method for access to a password protected information handling system |
| US7665146B2 (en) * | 2005-07-14 | 2010-02-16 | Research In Motion Limited | Password methods and systems for use on a mobile device |
| US8959596B2 (en) * | 2006-06-15 | 2015-02-17 | Microsoft Technology Licensing, Llc | One-time password validation in a multi-entity environment |
| US8615662B2 (en) * | 2007-01-31 | 2013-12-24 | Microsoft Corporation | Password authentication via a one-time keyboard map |
| US20080263646A1 (en) * | 2007-04-18 | 2008-10-23 | Jerez Edgar C | Systems and methods for a computer network security system using dynamically generated passwords |
-
2007
- 2007-09-26 US US11/861,288 patent/US8239963B2/en not_active Expired - Fee Related
-
2008
- 2008-09-26 CN CN200810171493.XA patent/CN101398872B/zh not_active Expired - Fee Related
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104081403B (zh) * | 2011-10-27 | 2017-03-08 | T移动美国公司 | 移动装置类型锁定 |
| CN104081403A (zh) * | 2011-10-27 | 2014-10-01 | T移动美国公司 | 移动装置类型锁定 |
| US9426661B2 (en) | 2012-04-20 | 2016-08-23 | T-Mobile Usa, Inc. | Secure lock for mobile device |
| US9591484B2 (en) | 2012-04-20 | 2017-03-07 | T-Mobile Usa, Inc. | Secure environment for subscriber device |
| US10075848B2 (en) | 2012-08-25 | 2018-09-11 | T-Mobile Usa, Inc. | SIM level mobile security |
| US10341871B2 (en) | 2012-08-25 | 2019-07-02 | T-Mobile Usa, Inc. | SIM level mobile security |
| US9807607B2 (en) | 2014-10-03 | 2017-10-31 | T-Mobile Usa, Inc. | Secure remote user device unlock |
| US10769315B2 (en) | 2014-12-01 | 2020-09-08 | T-Mobile Usa, Inc. | Anti-theft recovery tool |
| US10936761B2 (en) | 2014-12-01 | 2021-03-02 | T-Mobile Usa, Inc. | Anti-theft recovery tool |
| US11593532B2 (en) | 2014-12-01 | 2023-02-28 | T-Mobile Usa, Inc. | Anti-theft recovery tool |
| US9813399B2 (en) | 2015-09-17 | 2017-11-07 | T-Mobile Usa, Inc. | Secure remote user device unlock for carrier locked user devices |
| US10171649B2 (en) | 2017-04-21 | 2019-01-01 | T-Mobile Usa, Inc. | Network-based device locking management |
| US10476875B2 (en) | 2017-04-21 | 2019-11-12 | T-Mobile Usa, Inc. | Secure updating of telecommunication terminal configuration |
| US11375363B2 (en) | 2017-04-21 | 2022-06-28 | T-Mobile Usa, Inc. | Secure updating of telecommunication terminal configuration |
| US10972901B2 (en) | 2019-01-30 | 2021-04-06 | T-Mobile Usa, Inc. | Remote SIM unlock (RSU) implementation using blockchain |
| US11638141B1 (en) | 2019-01-30 | 2023-04-25 | T-Mobile Usa, Inc. | Remote sim unlock (RSU) implementation using blockchain |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090083858A1 (en) | 2009-03-26 |
| CN101398872B (zh) | 2012-12-26 |
| US8239963B2 (en) | 2012-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101398872B (zh) | 保护口令免受未授权访问的方法和数据处理单元 | |
| CN102197382B (zh) | 多层内容保护微控制器 | |
| CN101084504B (zh) | 具有改进的器件安全性的集成电路 | |
| CN101162492B (zh) | 保护数据处理设备中的系统控制寄存器 | |
| CN100533332C (zh) | 提高数据安全性的方法和系统 | |
| US5708715A (en) | Integrated circuit device with function usage control | |
| US10762177B2 (en) | Method for preventing an unauthorized operation of a motor vehicle | |
| CN107273744B (zh) | 电子装置和保护方法 | |
| CN105892348B (zh) | 用于运行控制设备的方法 | |
| KR20060135467A (ko) | 보호된 비휘발성 메모리를 사용하는 시스템 및 방법 | |
| CN103338985A (zh) | 用于车辆安全的方法和设备 | |
| US7412608B2 (en) | Secure data processing unit, and an associated method | |
| US7353403B2 (en) | Computer systems such as smart cards having memory architectures that can protect security information, and methods of using same | |
| WO2009129017A1 (en) | Methods, apparatus and system for authenticating a programmable hardware device and for authenticating commands received in the programmable hardware device from a secure processor | |
| JP2564593B2 (ja) | プログラムを機密保護し且つ機密保護されたプログラムを保全制御する方法 | |
| US20200257805A1 (en) | Method for executing a machine code of a secure function | |
| KR100830866B1 (ko) | 전자기기에서 금지키를 이용한 불법 접근 방지 방법 및장치 | |
| CN101458748A (zh) | 受保护计算环境 | |
| EP1811460B1 (en) | Secure software system and method for a printer | |
| EP1295200A2 (en) | Data processing method and device for protected execution of instructions | |
| CN105095766B (zh) | 用于处理控制设备中的软件功能的方法 | |
| CN105094004B (zh) | 用于运行控制设备的方法 | |
| US9652232B2 (en) | Data processing arrangement and method for data processing | |
| US7806319B2 (en) | System and method for protection of data contained in an integrated circuit | |
| US10552602B2 (en) | System and method for protecting a device against attacks on processing flow using a code pointer complement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: INFINEON TECHNOLOGIES DELTA GMBH Free format text: FORMER OWNER: INFINEON TECHNOLOGIES AG Effective date: 20111229 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20111229 Address after: Neubiberg, Germany Applicant after: Infineon Technologies AG Address before: German Neubiberg Applicant before: Infineon Technologies AG |
|
| ASS | Succession or assignment of patent right |
Owner name: INTEL MOBILE COMMUNICATIONS TECHNOLOGY LTD. Free format text: FORMER OWNER: INFINEON TECHNOLOGY DELTA AG Effective date: 20120522 Owner name: INTEL MOBILE COMMUNICATIONS LTD. Free format text: FORMER OWNER: INTEL MOBILE COMMUNICATIONS TECHNOLOGY LTD. Effective date: 20120522 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20120522 Address after: Neubiberg, Germany Applicant after: Intel Mobile Communications GmbH Address before: Neubiberg, Germany Applicant before: Infineon Technologies AG Effective date of registration: 20120522 Address after: Neubiberg, Germany Applicant after: Intel Mobile Communications GmbH Address before: Neubiberg, Germany Applicant before: Intel Mobile Communications GmbH |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Neubiberg, Germany Patentee after: Intel Mobile Communications GmbH Address before: Neubiberg, Germany Patentee before: Intel Mobile Communications GmbH |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121226 Termination date: 20170926 |