CN101931657B - 用于可插入模块的伪造防止策略 - Google Patents
用于可插入模块的伪造防止策略 Download PDFInfo
- Publication number
- CN101931657B CN101931657B CN201010213551.8A CN201010213551A CN101931657B CN 101931657 B CN101931657 B CN 101931657B CN 201010213551 A CN201010213551 A CN 201010213551A CN 101931657 B CN101931657 B CN 101931657B
- Authority
- CN
- China
- Prior art keywords
- sfp module
- sfp
- module
- intelligent
- magic code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Small-Scale Networks (AREA)
- Storage Device Security (AREA)
Abstract
公开了用于可插入模块的伪造防止策略。提供了一种方法,包括(a)当标准的小型可插入(SFP)模块插入到网络主机设备上的SFP插孔内时,判断所述SFP模块是传统设备还是智能设备,(b)当确定所述SFP模块是传统设备时,从所述SFP模块接收幻码并且确定所述幻码是否为有效幻码,和(c)当确定所述SFP模块是智能设备时,执行与所述SFP模块的智能验证过程。还提供了相关的装置和另外的方法。
Description
技术领域
本发明涉及用于可插入模块的伪造防止策略。
背景技术
某些制造商提供了使用现成的第三方厂商部件的电子设备。某些电子设备制造商还提供对这些厂商的部件进行合格验证(qualify)(例如在严格条件下测试厂商的部件),并且如果厂商部件合格,核实厂商部件来自于“被认可的”厂商。从电子设备制造商购买电子设备并从被许可厂商购买部件的最终用户通常从电子设备制造商接收到额外的保证,保证当部件正确地在电子设备内安装和配置时,电子设备和部件将正常地运转。另一方面,购买不是来自被许可厂商的现成部件的最终用户不会从电子设备制造商接收到部件将在设备内正确地运转的保证。
当使用来自未经许可厂商的部件的电子设备出故障时,对于电子设备制造商来说,判定故障是设备本身的问题还是来自未经许可厂商的部件造成的结果是困难和昂贵的。因此,电子设备制造商通常仅同意支持只使用来自被许可厂商的部件的设备配置。对于没有只使用来自被许可厂商的部件的设备配置,电子设备制造商可不做出任何保证,或者可不提供任何担保。
小型可插入(SFP)模块是用于电信和数据通信中的紧凑的可热插入的收发器。它们将网络主机设备主板(用于交换机、路由器、媒体转换器或类似设备)以模块方式连接到光纤或铜的网络电缆。为了防止SFP模块的伪造,某些制造商在SFP模块上放置了存储幻码(magiccode)的只读存储器,允许网络主机设备从SFP读取幻码和其它标识信息,并且判断幻码是否是使用仅为被许可厂商所知的秘密魔幻密钥(magickey)来生成的。在Diab等人的美国专利申请号7,234,061(2007)中公开了类似技术,其教导通过引用被整体结合于此。
发明内容
概述
可对常规的幻码机制做出进一步的改进,以确保对于未被许可厂商来说,不能简单地从被许可厂商制造的芯片复制只读存储器的全部内容(包括标识信息和幻码)并且将所复制数据置于新制造芯片的存储器中。沿着这些方向,本发明的某些实施例涉及用于防止这种形式的伪造的技术。改进降低了伪造模式可能使得用户系统不正确地运行的风险。
具体地,在一个实施例中,提供了一种装置,具有(a)第一通信接口,被配置为通信地连接到网络电缆的网络插头,(b)第二通信接口,被配置为通信地连接到网络主机设备,第二通信接口被构造和布置为安装到网络主机设备的开口内,网络主机设备被构造和布置为在开口中容纳和安装标准的小型可插入模块,(c)微控制器,微控制器被配置为执行第一通信接口和第二通信接口之间的收发器功能,和(d)验证电路,该验证电路与微控制器分开。验证电路被配置为当第二通信接口通信地连接到传统(legacy)网络主机设备时提供传统类型的验证。验证电路被配置为当第二通信接口通信地连接到智能网络主机设备时提供智能验证,智能验证相比于传统类型的验证更不容易被伪造。
在另一个实施例中,提供了一种装置,具有(a)外壳,外壳中具有多个开口,每个开口被构造和布置为容纳标准的小型可插入(SFP)模块,和(b)外壳内安装的逻辑板,逻辑板包括控制器和多个信号连接器,多个信号连接器中的每一个与多个开口中的不同开口对齐,以使得当SFP模块插入开口内时,与信号连接器接口连接。控制器被配置为(1)当SFP模块插入到开口内并且与信号连接器接口连接时,判断SFP模块是传统设备还是智能设备,(2)当确定SFP模块是传统设备时,从SFP模块接收幻码并且判断幻码是否为有效幻码,和(3)当确定SFP模块是智能设备时,执行与SFP模块的智能验证过程。
在又另一个实施例中,提供了一种方法,包括(a)当标准的小型可插入(SFP)模块插入到网络主机设备上的SFP插孔内时,判断SFP模块是传统设备还是智能设备,(b)当确定SFP模块是传统设备时,从SFP模块接收幻码并且判断幻码是否为有效幻码,和(c)当确定SFP模块是智能设备时,执行与SFP模块的智能验证过程。
附图说明
根据如附图中所示出的本发明的特定实施例的以下描述,将清楚目的、特征和优点,在附图中,相似的标号遍及不同的图指代相同的部分。附图不一定是按比例绘制的,而是重点在于示出本发明的各个实施例的原理。
图1示出了根据一个实施例的示例网络主机设备和伴随系统。
图2示出了根据一个实施例的示例SFP模块。
图3示出了根据一个实施例的各个部件的示例验证矩阵。
图4示出了一个实施例的第一示例方法。
图5示出了另一个实施例的第二示例方法。
图6示出了另一个实施例的第三示例方法。
具体实施方式
图1描绘了根据一个实施例的用于防止伪造小型可插入(SFP)模块的示例系统30。系统30包括具有用于容纳SFP模块的多个SFP插孔34(或者托架或轨道)的智能网络主机设备32。还描绘了由被许可厂商制造的有效SFP模块36和由未被许可厂商制造的伪造SFP模块38,SFP模块36、38插入到SFP插孔34内。智能网络主机设备32还包括逻辑板(或主板)40,该逻辑板(或主板)40借助于多个信号连接器42通信地连接到每个SFP插孔34。逻辑板40包含控制器44并且由外壳46包围,外壳46包含用于SFP插孔34的开口。
在操作中,SFP模块36、38被插入到SFP插孔34内,并且由控制器44验证。有效的SFP模块36被确认(validate),而伪造的SFP模块38可被拒绝。关于确认过程的操作的进一步细节在下面提供(结合图3到6)。一旦SFP模块36被确认,控制器44操作来根据智能网络主机设备的预期基本功能(例如作为交换机、集线器、路由器、媒体转换器、或类似设备)来控制它的操作。
图2描绘了一个实施例的示例智能SFP模块50。智能SFP模块50包括网络电缆接口部分52、主机接口54、控制器56、智能验证芯片58、和包围SFP模块50的壳体60,壳体60被构造和布置为安装在网络主机设备的智能SFP模块插孔中,例如智能网络主机设备32的SFP插孔34(参见图1)。网络电缆接口部分52例如可包括两个网络接口插孔62(a)、62(b)(概括地,网络接口插孔62)。网络接口插孔62可以是各种类型的(例如RJ-45、LC)。如所描绘的,一个网络电缆接口插孔62(a)配对到网络插头64,而另一个网络电缆接口插孔62(b)是空闲的。网络插头64连接到网络电缆66(例如铜双绞线或光缆)。控制器56控制SFP模块的操作,尤其执行收发功能。
智能验证芯片58包括逻辑电路68和存储器70。存储器70存储指令72,用于实现要由逻辑电路68执行的智能验证。存储器70还包括硬化(hardened)部分74。存储器70的硬化部分74包括阻止存储器70的内容被未授权实体访问的特征。例如,硬化部分74可由迭片结构围绕,以使得如果有人试图移除迭片结构以便分接(tap)硬化部分74的电线,则硬化部分74的内容将由于移除迭片结构造成的损害而变得不可读。也可利用用于硬化硬化部分74的各种其它众所周知的技术。硬化部分存储唯一地关联于所生产的每个芯片的特定签名76。硬化部分74还存储幻码段78,其存储了已包含在传统SFP模块的只读存储器内的内容的部分或全部,所述只读存储器内的内容例如为标识信息以及使用标识信息和仅为被授权代理所知的秘密魔幻密钥进行密码计算得到的幻码,所述被授权代理例如为被许可的厂商。硬化部分74还存储包括执行智能验证过程必需的信息的智能cookie部分80,如将在下面进一步详细论述的。应当理解,尽管指令72已被描绘为存储在硬化部分74之外的存储器70中,在某些实施例中,指令72也可存储在硬化部分74内。还应当理解,尽管存储器70和硬化部分74被描绘为驻留在智能验证芯片58内,在某些实施例中,这些部分的一个或两者可驻留在验证芯片外部。应当理解,智能验证芯片58可以是现成的部件,例如SanJose,California的CiscoSystems公司提供的ACT-1T微芯片,其用特定于存储器70内的该应用的数据被编程。
在操作中,智能SFP模块50插入到智能网络主机设备32的SFP插孔34内,或者插入到传统网络主机设备的常规SFT插孔内。控制器56和智能验证芯片58执行与智能网络主机设备32或传统网络主机设备的验证过程,如下面进一步详细描述的(结合图3到6)。一旦确认了智能SFP模块50,控制器56根据智能SFP模块50的正常操作模式来控制它的操作,执行在主机接口54和网络电缆接口部分52之间的收发功能。
图3描绘了根据一个实施例的示例验证矩阵90。传统和智能(或新的)SFP模块可共存于同一系统30内,在同一网络主机设备32中。类似地,SFP模块可安装在传统网络主机设备或安装在智能网络主机设备32中。在某些情况下,可能更新(通过安装新软件)传统网络主机设备,以便以部分地与各个实施例兼容的方式运转。类似地,还可能配置智能网络主机设备32,以便以与传统SFP模块兼容的方式运转(未示出,但是类似于旧主机/新软件方法)。
如在验证矩阵90中所描绘的,如果传统SFP模块安装在传统网络主机设备(运行传统软件)中,则使用SFP模块的只读存储器中存储的幻码以传统方式验证SFP模块。如上所述,这样易于通过从一个SFP模块向另一个复制只读存储器来伪造。如果智能SFP模块50安装到传统网络主机设备内,那么智能SFP模块50能够模仿传统验证过程。在这种情况下,智能验证芯片58内存储的指令72引导逻辑电路将幻码部分78的内容(并且在某些情况下还有签名部分76)跨越主机接口54发送到传统网络主机设备。从传统网络主机设备的角度来看,智能SFP模块50表现为标准的传统SFP模块。
查看验证矩阵90的最右边的列,如果传统SFP模块安装在智能网络主机设备32中(配置为以非兼容模式运转),那么传统SFP模块将因为不兼容被拒绝。然而,如果智能SFP模块50安装到智能网络主机设备32内(不管智能网络主机设备32如何被配置),那么智能网络主机设备32执行与智能SFP模块50的智能验证过程。智能网络主机设备32执行的方法的进一步细节在图4中提供。
图4描绘了示例方法100。在步骤110中,SFP模块插入到智能网络主机设备32内。当检测到SFP模块的插入时,智能网络主机设备32判断SFP模块是传统设备还是智能设备(步骤120)。在一个实施例中,这通过使用传统SFP模块的只读存储器或者智能SFP模块50的签名部分76(参见图2)内的数据字段来完成。例如,在传统SFP模块中,只读存储器存储“厂商名称”字段,该字段通常用例如CISCO-VENDOR(其中VENDOR可表示被许可厂商的名称)这样的值填充。然而,在智能SFP模块50中,验证芯片58的存储器70内所存储的相应字段代替地存储不同的值,例如CISCO(或者某些其它的预定义的表示)。因此,如果智能网络主机设备32接收了厂商名称字段中的值CISCO,那么它可确定SFP模块是智能SFP模块50。否则,智能网络主机设备32可确定SFP模块是传统设备。
如果智能网络主机设备32确定所安装SFP模块是传统设备,那么执行传统类型的验证过程。SFP模块被引导来将它的只读存储器的内容(包括幻码和标识信息)发送到智能网络主机设备32(步骤130),并且智能网络主机设备32能够根据传统技术(使用幻码、标识信息和秘密的魔幻密钥)验证幻码(步骤135)。
如果智能网络主机设备32确定所安装SFP模块是智能SFP模块50,那么执行智能验证过程以便验证智能SFP模块50不是伪造的(步骤140)。在某些实施例中,该智能验证过程是实时算法。在一个实施例中,实时算法是质询-响应(challenge-response)算法。在这种实施例中,智能网络主机设备32将第一消息(例如随机生成的串)发送到智能SFP模块50。作为响应,智能SFP模块50(具体地,遵循指令72的逻辑电路)利用基于硬化存储器74的签名部分76和/或智能cookie部分80内存储的信息的密钥来加密第一消息,以生成第二消息。智能SFP模块50然后将第二消息发送回智能网络主机设备32用于校验。在另一个实施例中,实时算法是基于时间的算法。在这种实施例中,智能网络主机设备32向智能SFP模块50发信号以便执行验证,并且智能SFP模块50(具体地,遵循指令72的逻辑电路)利用基于硬化存储器74的签名部分76和/或智能cookie部分80内存储的信息的密钥来加密当前时间,以生成回复消息。智能SFP模块50然后将回复消息发送回智能网络主机设备32用于校验。
返回参考图3,如果传统SFP插入到运行已升级软件的传统网络主机设备(或者作为候选,插入到配置为以兼容方式运转的智能网络主机设备32)内,那么运行已升级软件的传统网络主机设备(或者配置为以兼容方式运转的智能网络主机设备32)读取厂商名称字段(或者用于区分传统和智能SFP模块的任何其它字段),如上面结合图4的步骤120所描述的,并且当确定SFP模块是传统的时,从传统SFP模块接收幻码,并且用传统类型的验证来校验它。然而,如果厂商名称字段(或者用于区分传统和智能SFP模块的任何其它字段)表示SFP模块是智能的,那么运行已升级软件的传统网络主机设备(或者配置为以兼容方式运转的智能网络主机设备32)根据上面结合图4的步骤140描述的过程来验证智能SFP模块50。
图5示出了在网络主机设备和SFP模块的制造商或验证者的引导下执行的示例方法300。在步骤310,生产了多个智能SFP模块50(如上所述)。在步骤320,制造商向多个客户发售(offerforsale)这些智能SFP模块50,每个客户当前具有并且操作配置为容纳标准SFP模块的至少一个传统网络主机设备。在步骤330,制造商向客户发售与传统SFP模块不兼容的智能网络主机设备32。在步骤340,在多个客户中的客户已购买了许多智能SFP模块50之后允许一个时间段过去之后,制造商鼓励该客户撤下它的传统网络设备,而用智能网络主机设备32取代。其后,客户将不再易于遭受伪造的SFP模块38(通过复制现存有效SFP模块36的只读存储器而制成的)。步骤330中的时间段例如可以是6到12个月范围中的时段。
图6示出了在网络主机设备和SFP模块的制造商或验证者的引导下执行的示例方法400。在步骤410,生产多个智能SFP模块50(如上所述)。在步骤420,制造商向多个客户发售这些智能SFP模块50,每个客户当前具有并且操作至少一个传统SFP模块和被配置为容纳标准SFP模块的至少一个传统网络主机设备。在步骤430,制造商生产多个智能网络主机设备32(如上所述)。在步骤440,制造商将多个智能网络主机设备32中的每一个配置为够接收表示智能网络主机设备32不应当再与传统SFP模块通信的信号,以使得如果智能网络主机设备32接收了这样的信号,智能网络主机设备32将不再与传统SFP模块通信。在步骤450,制造商向客户发售多个所配置的智能网络主机设备32。在步骤460,在客户已购买了许多智能SFP模块50之后允许一个时间段过去之后,制造商鼓励该客户撤下它的传统网络主机设备中的每一个,而用所配置的智能网络主机设备32取代。在步骤470,在该客户已撤下它的全部传统网络主机设备,而用所配置的智能网络主机设备32取代之后允许一个时间段过去之后,制造商鼓励该客户(a)撤下它的全部传统SFP模块,而用智能SFP模块50取代,和(b)向它的所配置智能网络主机设备32中的每一个发送信号,该信号表示该所配置网络主机设备32应当不再与传统SFP模块通信。其后,客户将不再易于遭受伪造的SFP模块38(通过复制现存有效SFP模块36的只读存储器而制成的)。步骤460中的时间段例如可以是6到12个月范围中的时段。步骤470中的时间段例如可以是6到12个月范围中的时段。
尽管已具体地示出和描述了本发明的各个实施例,本领域技术人员将会理解,在不偏离所附权利要求所限定的本发明的精神和范围的情况下,可在其中做出各种形式和细节的变化。
例如,尽管SFP模块是传统还是智能的判定被描述为依赖于在“厂商名称”字段内存储的是CISCO还是CISCO-VENDOR,应当理解,区分智能和传统设备的特定值以及用于存储这些值的特定字段可变化,并且所提供的值和字段仅仅为示例。
应当理解,尽管各个实施例被描述为方法,然而也包括体现这些方法的软件。因此,一个实施例包括利用指令编程的有形计算机可读介质(例如硬盘、软盘、光盘、计算机存储器、闪存等,但是特别地排除信号和其它非有形媒介和现象),所述指令当由一计算机或一组计算机执行时,使得各个实施例中描述的一个或多个方法被执行。另一个实施例包括被编程为执行各个实施例中描述的一个或多个方法的计算机。
而且,应当理解,已描述的所有实施例可按所有可能的组合而相互组合,除非在已明确地排除这些组合的范围,或者在这些组合不可能的范围。
Claims (18)
1.一种实现伪造防止策略的装置,包括:
第一通信接口,被配置为通信地连接到网络电缆的网络插头;
第二通信接口,被配置为通信地连接到网络主机设备,所述第二通信接口被构造和布置为安装到所述网络主机设备的开口内,所述网络主机设备被构造和布置为在所述开口中容纳和安装标准的小型可插入模块;
微控制器,所述微控制器被配置为执行所述第一通信接口和所述第二通信接口之间的收发器功能;和
验证电路,所述验证电路通信地与所述微控制器和所述第二通信接口连接,其中,所述验证电路被配置为:
判断所述第二通信接口是连接到传统网络主机设备还是智能网络主机设备;
当所述第二通信接口通信地连接到传统网络主机设备时,将幻码cookie的内容提供到该网络主机设备;并且
当所述第二通信接口通信地连接到智能网络主机设备时,执行与所述网络主机设备的智能验证过程,所述智能验证过程根据基于时间的算法利用独特签名。
2.根据权利要求1所述的装置,其中所述验证电路位于验证芯片上并且所述验证芯片包括:
逻辑电路;
固件,所述固件存储:
所述幻码cookie;
所述独特签名;和
硬化部件,所述硬化部件保护所述固件的内容不被未授权外部实体从所述验证芯片读取。
3.根据权利要求1所述的装置,其中:
将幻码cookie的内容提供到该网络主机设备向所述网络主机设备认证所述装置是由被许可的制造商制造的而不是由试图伪造的未被许可的制造商制造的;并且
所述智能验证过程向所述网络主机设备认证所述装置是由被许可的制造商制造的而不是由试图伪造的未被许可的制造商制造的,与通过将幻码cookie的内容提供到该网络主机设备所提供的认证相比,由所述智能验证过程提供的所述认证更不易被伪造。
4.根据权利要求1所述的装置,其中所述微控制器被配置为:响应于将幻码cookie的内容提供到所述网络主机设备以及所述智能验证被成功地执行,执行所述收发器功能。
5.根据权利要求1所述的装置,其中所述基于时间的算法将当前时间与所述独特签名进行加密组合,并且将结果发送到所述网络主机设备用于校验。
6.根据权利要求1所述的装置,其中所述验证电路位于验证芯片上,所述验证芯片驻留在单独的集成电路封装中作为所述微控制器。
7.一种实现伪造防止策略的方法,包括:
产生多个根据权利要求1所述的装置;
向多个客户发售所述多个装置,每个客户当前具有并且操作被配置为容纳标准小型可插入(SFP)模块的至少一个传统网络主机设备;
向所述多个客户发售与传统SFP模块不兼容的智能网络主机设备;和
在所述多个客户中的客户已购买了许多根据权利要求1所述的装置之后允许一个时间段过去之后,鼓励该客户撤下它的传统网络设备,而用智能网络主机设备取代。
8.一种实现伪造防止策略的装置,包括:
外壳,所述外壳中具有多个开口,每个开口被构造和布置为容纳标准的小型可插入(SFP)模块;和
所述外壳内安装的逻辑板,所述逻辑板包括控制器和多个信号连接器,所述多个信号连接器中的每一个与所述多个开口中的不同开口对齐,以使得SFP模块在被插入所述开口内时,与所述信号连接器接口连接;
其中所述控制器配置为:
当SFP模块被插入到开口内并且与信号连接器接口连接时,判断所述SFP模块是传统设备还是智能设备;
当确定所述SFP模块是传统设备时,从所述SFP模块接收幻码并且确定所述幻码是否为有效幻码;和
当确定所述SFP模块是智能设备时,执行与所述SFP模块的智能验证过程,所述智能验证过程根据基于时间的算法利用独特签名。
9.根据权利要求8所述的装置,其中,所述控制器在判断所述SFP模块是传统设备还是智能设备时被配置为:
从所述SFP模块接收所述SFP模块上存储的厂商名称字段的内容;
如果所接收的内容存储了第一预定义值,那么确定所述SFP模块是智能模块;
如果所接收的内容存储了除该预定义值之外的任何其它值,那么确定所述SFP模块是传统模块。
10.根据权利要求8所述的装置,其中,所述控制器在确定所述幻码是否为有效幻码时被配置为:
从所述SFP模块接收标识信息;
将所接收的标识信息与所述逻辑板上的存储器中所存储的魔幻密钥进行加密组合,以产生计算出的幻码;
将所接收的幻码与所述计算出的幻码相比较;
如果所接收的幻码和所述计算出的幻码相同,那么验证所述SFP为真;
如果所接收的幻码和所述计算出的幻码不同,那么将所述SFP标识为伪造。
11.根据权利要求8所述的装置,其中:
所述控制器还被配置为:当所述SFP模块已经被确定为传统设备并且所述幻码已经被确定为无效时,拒绝被认作伪造品的所述SFP模块;
所述控制器还被配置为:当所述SFP模块已经被确定为传统设备并且所述幻码已经被确定为有效时,接受所述SFP模块;
执行与所述SFP模块的智能验证过程包括:
当所述智能验证过程指示所述SFP模块是由试图伪造的未被许可的制造商制造的时,拒绝被认作伪造品的所述SFP模块;以及
否则,接受所述SFP模块。
12.根据权利要求11所述的装置,其中:
所述控制器被配置为响应于接受所述SFP模块而执行与所述SFP模块的通讯功能;并且
所述控制器被配置为响应于拒绝所述SFP模块而制止通讯功能的执行。
13.根据权利要求8所述的装置,其中:
所述控制器在执行与所述SFP模块的所述智能验证过程时被配置为:
从所述SFP模块接收消息;并且
校验所述消息是使用当前时间作为加密参数根据所述基于时间的算法被正确地加密的。
14.一种实现伪造防止策略的方法,包括:
产生多个智能SFP模块,每个智能SFP模块包括验证芯片,所述验证芯片能够:
执行与根据权利要求8所述的装置的智能验证;或者
将幻码传送到传统网络主机设备;
向多个客户发售所述多个智能SFP模块,每个客户当前具有并且操作:
被配置为容纳SFP模块的至少一个传统网络主机设备;和
至少一个传统SFP模块;
产生多个根据权利要求8所述的装置;
将多个根据权利要求8所述的装置中的每一个配置为能够接收表示所述装置不应当再与传统SFP模块通信的信号,以使得如果所述装置接收了这样的信号,该装置将不再与传统SFP模块通信;
向所述多个客户发售多个所配置的装置;
在所述多个客户中的客户已购买了许多智能SFP模块之后允许一个时间段过去之后,鼓励该客户撤下它的传统网络主机设备中的每一个,而用所配置的装置取代,并且
在该客户已撤下它的全部传统网络主机设备,而用所配置的装置取代之后允许一个时间段过去之后,鼓励该客户:
撤下它的全部传统SFP模块,而用智能SFP模块取代;和
向它的所配置装置中的每一个发送表示该装置应当不再与传统SFP模块通信的所述信号。
15.一种实现伪造防止策略的方法,包括:
当标准的小型可插入(SFP)模块插入到网络主机设备上的SFP插孔内时,判断所述SFP模块是传统设备还是智能设备;
当确定所述SFP模块是传统设备时,从所述SFP模块接收幻码并且确定所述幻码是否为有效幻码;和
当确定所述SFP模块是智能设备时,执行与所述SFP模块的智能验证过程,所述智能验证过程根据基于时间的算法利用独特签名。
16.根据权利要求15所述的方法,其中判断所述SFP模块是传统设备还是智能设备包括:
从所述SFP模块接收所述SFP模块上所存储的厂商名称字段的内容;
如果所接收的内容存储了第一值,那么确定所述SFP模块是智能模块;
如果所接收的内容存储了任何其它值,那么确定所述SFP模块是传统模块。
17.根据权利要求15所述的方法,其中确定所述幻码是否为有效幻码包括:
从所述SFP模块接收标识信息;
将所接收的标识信息与所述网络主机设备的存储器中所存储的魔幻密钥进行加密组合,以产生计算出的幻码;
将所接收的幻码与所述计算出的幻码相比较;
如果所接收的幻码和所述计算出的幻码相同,那么验证所述SFP为真;
如果所接收的幻码和所述计算出的幻码不同,那么将所述SFP标识为伪造。
18.根据权利要求15所述的方法,其中:
执行与所述SFP模块的所述智能验证过程包括:
从所述SFP模块接收消息;并且
校验所述消息是使用当前时间作为加密参数根据所述基于时间的算法而被正确地加密。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/489,608 | 2009-06-23 | ||
| US12/489,608 US8769654B2 (en) | 2009-06-23 | 2009-06-23 | Counterfeit prevention strategy for pluggable modules |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101931657A CN101931657A (zh) | 2010-12-29 |
| CN101931657B true CN101931657B (zh) | 2016-03-09 |
Family
ID=43355322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010213551.8A Active CN101931657B (zh) | 2009-06-23 | 2010-06-23 | 用于可插入模块的伪造防止策略 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8769654B2 (zh) |
| CN (1) | CN101931657B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8708578B2 (en) * | 2010-10-12 | 2014-04-29 | Cisco Technology, Inc. | Compact small form-factor pluggable transceiver |
| US8713237B2 (en) | 2011-03-29 | 2014-04-29 | Cisco Technology, Inc. | X2 10GBASE-T transceiver with 1 Gigabit side-band support |
| US8966234B1 (en) | 2011-07-08 | 2015-02-24 | Cisco Technology, Inc. | Pluggable module subcomponent reset |
| US9584327B2 (en) * | 2013-07-31 | 2017-02-28 | Arista Networks, Inc. | System and method for authentication for transceivers |
| US9641339B2 (en) * | 2013-07-31 | 2017-05-02 | Arista Networks, Inc. | System and method for authentication for field replaceable units |
| US10486060B2 (en) * | 2016-11-23 | 2019-11-26 | Microsoft Technology Licensing, Llc | Tracking core for providing input to peripherals in mixed reality environments |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1532659A (zh) * | 1998-11-10 | 2004-09-29 | ������֪ʶϵͳ����˾ | Usb键装置与通过usb端口与usb主机交互的方法 |
| CN101163014A (zh) * | 2007-11-30 | 2008-04-16 | 中国电信股份有限公司 | 一种动态口令身份认证系统和方法 |
Family Cites Families (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5434870A (en) * | 1992-04-17 | 1995-07-18 | Unisys Corporation | Apparatus and method for verifying the authenticity of a circuit board |
| US5268963A (en) * | 1992-06-09 | 1993-12-07 | Audio Digital Imaging Inc. | System for encoding personalized identification for storage on memory storage devices |
| US5778072A (en) * | 1995-07-07 | 1998-07-07 | Sun Microsystems, Inc. | System and method to transparently integrate private key operations from a smart card with host-based encryption services |
| US5757914A (en) * | 1995-10-26 | 1998-05-26 | Sun Microsystems, Inc. | System and method for protecting use of dynamically linked executable modules |
| US6285990B1 (en) * | 1995-12-19 | 2001-09-04 | Pitney Bowes Inc. | Method for reissuing digital tokens in an open metering system |
| US5933503A (en) * | 1996-03-15 | 1999-08-03 | Novell, Inc | Controlled modular cryptography apparatus and method |
| US5781723A (en) * | 1996-06-03 | 1998-07-14 | Microsoft Corporation | System and method for self-identifying a portable information device to a computing unit |
| US6073118A (en) * | 1996-09-10 | 2000-06-06 | Ricoh Company, Ltd. | Method for performing secure financial transactions using facsimile transmissions |
| US6137805A (en) * | 1997-02-10 | 2000-10-24 | International Business Machines Corporation | Method and apparatus to remotely configure a data processing system |
| TW345292U (en) * | 1997-08-09 | 1998-11-11 | Siemens Telecomm System Ltd | Controller with universal serial bus |
| US6615350B1 (en) * | 1998-03-23 | 2003-09-02 | Novell, Inc. | Module authentication and binding library extensions |
| US6816968B1 (en) * | 1998-07-10 | 2004-11-09 | Silverbrook Research Pty Ltd | Consumable authentication protocol and system |
| CN1262485A (zh) * | 1998-11-10 | 2000-08-09 | 阿拉丁知识系统有限公司 | 由可灵活连接计算机系统群体使用的用户-计算机交互方法 |
| US6856627B2 (en) * | 1999-01-15 | 2005-02-15 | Cisco Technology, Inc. | Method for routing information over a network |
| US6571335B1 (en) * | 1999-04-01 | 2003-05-27 | Intel Corporation | System and method for authentication of off-chip processor firmware code |
| JP2000353108A (ja) * | 1999-06-11 | 2000-12-19 | Fujitsu Ltd | 情報処理装置 |
| US6220873B1 (en) * | 1999-08-10 | 2001-04-24 | Stratos Lightwave, Inc. | Modified contact traces for interface converter |
| US6563600B1 (en) * | 1999-08-30 | 2003-05-13 | Xerox Corporation | System for enabling a printing apparatus to operate at multiple selectable speeds |
| US6880086B2 (en) * | 2000-05-20 | 2005-04-12 | Ciena Corporation | Signatures for facilitating hot upgrades of modular software components |
| US6629061B1 (en) * | 2000-07-31 | 2003-09-30 | Avaya Technology Corp. | Automatic concealment of product serialization information |
| US7073062B2 (en) * | 2000-12-19 | 2006-07-04 | International Business Machines Corporation | Method and apparatus to mutually authentication software modules |
| US6804727B1 (en) * | 2001-02-23 | 2004-10-12 | Lexmark International, Inc. | Method for communication from a host computer to a peripheral device |
| US20030004887A1 (en) * | 2001-06-28 | 2003-01-02 | Roszak Matthew S. | Verification and registration of items containing digitally embedded information |
| US7234061B1 (en) * | 2001-06-29 | 2007-06-19 | Cisco Technology, Inc. | Methods and apparatus for verifying modules from approved vendors |
| US20030200149A1 (en) * | 2002-04-17 | 2003-10-23 | Dell Products L.P. | System and method for facilitating network installation |
| US20030236998A1 (en) * | 2002-05-17 | 2003-12-25 | Sun Microsystems, Inc. | Method and system for configuring a computer system using field replaceable unit identification information |
| US7681245B2 (en) * | 2002-08-30 | 2010-03-16 | Avaya Inc. | Remote feature activator feature extraction |
| US7355506B2 (en) * | 2003-10-01 | 2008-04-08 | Microsoft Corporation | Systems and methods for deterring theft of electronic devices |
| US7366551B1 (en) * | 2003-10-22 | 2008-04-29 | Driveok, Inc. | Expandable, modular communications apparatus with interchangeable device authentication |
| US7512969B2 (en) * | 2003-11-21 | 2009-03-31 | Time Warner Cable, A Division Of Time Warner Entertainment Company, L.P. | System and method for detecting and reporting cable network devices with duplicate media access control addresses |
| US7502942B1 (en) * | 2003-12-19 | 2009-03-10 | Adaptec, Inc. | System and method for authentication of embedded raid on a motherboard having input/output processor |
| US7512675B2 (en) * | 2004-05-28 | 2009-03-31 | Alcatel-Lucent Usa Inc. | Cleaning and removing duplicated unique identifiers from remote network nodes |
| US7272728B2 (en) * | 2004-06-14 | 2007-09-18 | Iovation, Inc. | Network security and fraud detection system and method |
| US20060101517A1 (en) * | 2004-10-28 | 2006-05-11 | Banzhof Carl E | Inventory management-based computer vulnerability resolution system |
| US20060251253A1 (en) * | 2005-03-31 | 2006-11-09 | Intel Corporation | Cryptographically signed network identifier |
| US7840998B2 (en) * | 2005-05-20 | 2010-11-23 | Xerox Corporation | System and method for authentication of replaceable modules |
| US7394997B2 (en) * | 2005-06-28 | 2008-07-01 | Hewlett-Packard Development Company, L.P. | Anti-counterfeiting identification system and method for consumables |
| US20070083916A1 (en) * | 2005-10-07 | 2007-04-12 | William Coyle | System for authentication of electronic devices |
| US7845016B2 (en) * | 2005-11-28 | 2010-11-30 | Cisco Technology, Inc. | Methods and apparatus for verifying modules from approved vendors |
| EP2071861B1 (en) * | 2007-12-12 | 2014-10-22 | ADVA Optical Networking SE | A method and a network for bidirectional transport of data |
-
2009
- 2009-06-23 US US12/489,608 patent/US8769654B2/en active Active
-
2010
- 2010-06-23 CN CN201010213551.8A patent/CN101931657B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1532659A (zh) * | 1998-11-10 | 2004-09-29 | ������֪ʶϵͳ����˾ | Usb键装置与通过usb端口与usb主机交互的方法 |
| CN101163014A (zh) * | 2007-11-30 | 2008-04-16 | 中国电信股份有限公司 | 一种动态口令身份认证系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20100325432A1 (en) | 2010-12-23 |
| CN101931657A (zh) | 2010-12-29 |
| US8769654B2 (en) | 2014-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101931657B (zh) | 用于可插入模块的伪造防止策略 | |
| JP3918827B2 (ja) | セキュアリモートアクセスシステム | |
| US9129536B2 (en) | Circuit for secure provisioning in an untrusted environment | |
| CN104537293B (zh) | 认证设备和系统 | |
| KR101159884B1 (ko) | 액세서리를 인증하는 방법 및 시스템 | |
| CN104160405B (zh) | 用于信任配置的安全设备环境 | |
| US20170054566A1 (en) | Method and system for creating and checking the validity of device certificates | |
| CN103269271B (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| US20140064480A1 (en) | Secure provisioning in an untrusted environment | |
| US8650655B2 (en) | Information processing apparatus and information processing program | |
| EP3099090A1 (en) | Network locking or card locking method and device for a mobile terminal, terminal, sim card, storage media | |
| CN102419804A (zh) | 具有冗余安全性的可靠的软件产品验证和激活 | |
| CN108229132A (zh) | 一种安全启动方法和装置、终端 | |
| US20060214006A1 (en) | Tamper resistant device and file generation method | |
| JP2010518499A (ja) | 工業設備の少なくとも1つの自動化コンポーネントへのアクセスを認証するための方法 | |
| CN107133512B (zh) | Pos终端控制方法和装置 | |
| JP5183517B2 (ja) | 情報処理装置及びプログラム | |
| CN103248490B (zh) | 一种备份电子签名令牌中信息的方法和系统 | |
| CN102122332B (zh) | 电子签名工具的密码管理方法及系统 | |
| CN112532573B (zh) | 一种认证关联性的认证方法以及安全装置 | |
| JP2005080932A (ja) | 遊技制御ユニット、補助遊技制御ユニット及び遊技機 | |
| EP1860818A2 (en) | Semiconductor device, electronic equipment and equipment authentication program | |
| CN109672526A (zh) | 一种管控可执行程序的方法及系统 | |
| JP5386860B2 (ja) | 決済システム、決済処理装置、正当性検証装置、正当性検証要求処理プログラム、正当性検証処理プログラム、及び正当性検証方法 | |
| EP1715613A1 (en) | Method and system for securing point to point connections |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |