CN102438013B - 基于硬件的证书分发 - Google Patents
基于硬件的证书分发 Download PDFInfo
- Publication number
- CN102438013B CN102438013B CN201110367796.0A CN201110367796A CN102438013B CN 102438013 B CN102438013 B CN 102438013B CN 201110367796 A CN201110367796 A CN 201110367796A CN 102438013 B CN102438013 B CN 102438013B
- Authority
- CN
- China
- Prior art keywords
- unique identifier
- remote entity
- resource
- hardware profile
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000009826 distribution Methods 0.000 title claims description 44
- 238000000034 method Methods 0.000 claims description 35
- 238000012795 verification Methods 0.000 claims description 16
- 230000004044 response Effects 0.000 claims description 8
- 230000005611 electricity Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 18
- 238000004891 communication Methods 0.000 description 15
- 238000007726 management method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 210000003127 knee Anatomy 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000029610 recognition of host Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/303—Terminal profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本文档描述了基于硬件配置文件分发证书的多种技术。包括硬件配置文件的资源访问请求被传输至远程实体,该远程实体能够访问先前的硬件配置文件,并且如果该硬件配置文件的至少一部分匹配先前的硬件配置文件,则接收用于访问资源的证书。
Description
背景技术
证书(credential)允许服务在提供资源或者与客户端共享数据之前认证客户端。服务通常将可验证的证书分发给客户端以允许客户端通过网络访问资源或者数据。然而,证书不是无限的,并且只应该被分发给该服务的真实用户。随意分发证书会导致非法使用服务或中断服务,诸如恶意实体的拒绝服务攻击。
为了限制证书的分发,许多服务依靠人力验证方法。当服务被访问时,这些人力验证方法使用登录(login)、密码和/或质询响应测试(challenge response test)来验证客户端的身份。虽然这些人力验证方法有助于将证书分发限制到与人类用户关联的客户端,但是它们损害了用户的计算体验。
发明概述
本文档描述了基于硬件配置文件(hardware profile)分发证书的各种技术。这些技术可以通过将请求实体的硬件配置文件与和请求实体关联的在先硬件配置文件相匹配而验证对资源的请求。一旦通过验证,这些技术分发用于访问资源的证书。通过这样做,这些技术保护资源免受非法使用或攻击,并且不会损害用户的计算体验。
提供本概述以便按照简化的方式介绍概念的选择,所述概念在下面的具体实施方式中被进一步描述。本概述其意不在确定所要求的主题的关键或必要特征,也不在被用作帮助确定所要求的主题的范围。
附图说明
参考附图进行详细的描述。在图中,附图标记最左边的数字标识该附图标记首次出现的图。在具体实施方式和附图的不同实例中,相同附图标记可以指示类似的或相同的项目。
图1图示了可以执行这些技术的示例环境。
图2更详细地图示了图1的示例计算设备。
图3是流程图,描述了使用基于硬件配置文件分发的证书来访问资源的示例过程。
图4是流程图,描述了用于基于硬件配置文件分发证书的示例过程。
图5是流程图,描述了用于基于请求有效性的指示而授权访问资源的示例过程。
具体实施方式
概述
本文档描述了基于硬件配置文件分发证书的各种技术。通过放弃登录、密码和/或响应质询,这些技术能够改善用户的计算经验,尽管为了附加的安全性,这些技术能够与人力验证方法结合使用。
示例环境
图1是示例环境100的图示,该示例环境100具有计算设备102、服务器104和通信网络106,其中计算设备102和服务器104可以通过通信网络106通信。通常,计算设备102通过通信网络106请求访问服务器104的资源。在一些实施方式中,在计算设备102和服务器104之间建立通信网络106上的安全通信信道,以提供资源和/或交换可信数据。
计算设备102能够是有能力通过网络(例如,通信网络106)通信,访问服务资源和交换可信数据的任意设备。通过示例而非限制的方式,计算设备102被图示为智能手机108、膝上型计算机110、机顶盒112、桌面计算机114或平板计算机116中的一个。通信网络106可以包括任何合适的网络,诸如互联网、局域网、广域网、无线网络、个人区域网、拨号网络和/或USB总线,诸如此类。
服务器104可以是具有资源和/或提供(host)用于管理资源(诸如对象、数据、功能性等等)的服务的任意计算设备。在与请求访问资源的客户端共享资源之前,服务器104的服务要求认证客户端。在一些情况中,认证可以与计算设备102直接进行或者通过与服务器104和计算设备102两者关联的第三方(未示出)代理。服务器104的资源通常通过统一资源定位符(URL)或统一资源标识符(URI)来引用(reference)。URL或URI被诸如计算设备102之类的客户端用来发起资源访问。在其它情况中,可以通过以扩展标记语言(XML)形式的抽象域(abstract domain)(诸如命名空间)来引用资源。
图2更详细地图示了图1的示例计算设备102。计算设备102包括(一个或多个)处理器202、计算机可读介质(CRM)204和网络接口206。网络接口206允许计算设备102通过通信网络106通信并且可以包括唯一的介质访问控制(MAC)地址(未示出)。计算机可读介质204包含存储器介质208、存储介质210和资源访问管理器212,其作为下面讨论的处理过程的一部分被描述。
存储器介质208可以包括动态随机存取存储器(DRAM)214、静态随机存取存储器(SRAM)216、只读存储器(ROM)218或者其任意组合。存储器介质208可以是固定的或者模块化的(可灵活配置),为计算设备102提供多种存储器配置和/或容量。例如,DRAM 214可以是用户可访问的,允许用户增加计算设备102中存在的DRAM 214的数量。可替代地或者附加地,存储器介质208可以包括关于计算设备102的(多个)存储器设备的制造商、数据速率和/或容量的信息。在一些实例中,DRAM 214包括串行存在检测(serial presence detect)集成电路(未示出),呈现关于DRAM 214的数据速率和容量的信息。
存储介质210包括硬盘驱动器(HDD)220和/或闪存222。存储介质210是内部和/或外部(但本地的)计算机可读存储介质,并且能够存储数据。硬盘驱动器220或闪存222能够被配置为单独的存储卷或配置为独立硬盘卷的冗余阵列(RAID)的多个驱动器。可替代地或附加地,存储介质210可以包括关于特定存储介质设备的制造商、型号、序列号和/或容量的信息。例如,硬盘驱动器220可以包括可被主机设备或者主机设备的组件检测到的型号、序列号和容量信息。
通常,此处描述的任何技术和能力能够使用软件、固件、硬件(例如固定逻辑电路)、手动处理或这些实现方式的任意合适的组合来实现。该示例计算设备102通常表示软件、固件、硬件或其任意组合。在软件实现的情形中,例如,资源访问管理器212表示计算机可执行指令(例如程序代码),当在处理器(例如一个或多个CPU)上被执行时,该计算机可执行指令执行特定任务。程序代码能够被存储在一个或多个计算机可读介质设备中,诸如存储器介质208和/或存储介质210。此处描述的特征和技术是平台无关的,意味着它们可以在具有多种处理器的多种商业计算平台上被实现。
示例过程
下面的讨论描述基于硬件配置文件分发证书的技术。这些技术能够被使用以代替或补充人力验证方法。当补充人力验证方法而被使用时,这些技术为证书分发提供了额外的安全性。当代替人力验证方式而被使用时,这些技术放弃经常令人烦恼的或者浪费时间的依靠用户的活动。
通过示例,假设计算设备102通过通信网络106发送包括唯一标识符和当前硬件配置文件的资源访问请求至服务器104。服务器104接收该唯一标识符和硬件配置文件,确定该硬件配置文件是否与所存储的与该唯一标识符关联的硬件配置文件的至少一部分相匹配,如果匹配就发送用于访问资源的证书至计算设备102。
这些过程的各个方面可以用硬件、固件、软件或其组合的方式被实现。这些过程被示出为框的集合,这些框详细说明诸如通过一个或多个实体或设备执行的操作,并且不是必须限于由各个框为了执行操作而示出的顺序。下文的讨论部分参考图1的环境100以及在图2中示出的环境100的实体。
图3是描述使用基于硬件配置文件分发的证书而访问资源的示例过程300的流程图。框302发送包括唯一标识符和当前硬件配置文件的资源访问请求至远程实体。在一些情形中,资源访问请求就是唯一标识符和当前硬件配置文件。远程实体可以(本地、远程或者经由代理)访问与该唯一标识符关联的先前的硬件配置文件。在一些实例中,在过去尝试访问资源期间或者在安全注册过程期间,该唯一标识符与先前的硬件配置文件相关联。
当前硬件配置文件包括关于计算设备的硬件组件或者硬件配置的信息。这些配置文件能够基于关于计算设备的硬件的信息(诸如计算设备的硬件组件的序列号、型号和/或参数)通过应用编程接口(API)而生成。
唯一标识符是唯一地识别计算设备的任何证书、令牌、识别数据或其组合。在一些情形中,使用私用密钥和/或共享密钥来对唯一标识符进行数字签名或加密以确保可靠性。该唯一标识符可以在将唯一标识符与硬件配置文件关联起来的安全注册过程期间被接收。例如,唯一标识符可以是在向SLV服务器安全注册期间接收的软件许可证验证(SLV)证书。在这个安全注册期间,发送至SLV服务器的硬件配置文件与SLV证书关联起来。
通过示例,考虑在环境100的背景中的过程300。资源访问管理器212基于与DRAM214、HDD 220和网络接口206有关的信息生成膝上计算机110的当前硬件配置文件。该当前硬件配置文件包括关于DRAM 214的制造商和容量(或数量)、HDD 220的序列号和型号,以及网络接口206的MAC地址的信息。
此处假设资源访问管理器212正在尝试访问服务器104的软件更新。为了这样做,资源访问管理器212通过通信网络106发送包括唯一标识符和当前硬件配置文件的资源访问请求至服务器104。
如果当前硬件配置文件与先前硬件配置文件的至少一部分相匹配,框304从远程实体接收用于访问资源的证书。该证书用于直接地访问资源或者访问管理资源、功能性和/或数据的服务。在本例子的背景中,假设当前硬件配置文件的DRAM 214的制造商和容量(或数量)和网络接口206的MAC地址与和证书关联的先前硬件配置文件的相应信息相匹配。响应于当前硬件配置文件的一部分匹配先前硬件配置文件,资源访问管理器212从服务器104接收用于访问软件更新资源的证书。
可选地,在框306,使用接收到的证书访问资源。该资源可以被直接地访问或者通过管理资源和/或数据的服务访问。在一些情形中,资源是由服务提供的功能性,诸如传送信息、同步数据或可信数据交换。本例子的结论是,资源访问管理器212使用接收到的证书访问服务器104的软件更新资源并且通过通信网络106下载软件更新。
图4是描述基于硬件配置文件分发用于访问资源的证书的示例过程400的流程图。框402接收包括唯一标识符和硬件配置文件的资源访问请求。该唯一标识符可以是上文提及的那些唯一标识符的任何一种,诸如能够唯一地识别远程实体的证书、令牌或识别数据或其组合。在一些情形中,使用远程实体未知的私有密钥对唯一标识符进行数字签名和/或加密,以防止篡改和/或变更该唯一标识符。例如,唯一标识符可以是使用SLV服务器已知的私有密钥加密的SLV证书,SLV服务器发放该证书。
硬件配置文件包含关于远程实体的硬件的信息,诸如硬件组件的序列号、型号和/或参数的集合。例如,硬件配置文件能够包括关于硬盘驱动器的制造商、型号、序列号和容量的信息。
在上述例子的背景中考虑过程400。此处服务器104通过数据通信网络106从膝上型计算机110的资源访问管理器212接收资源访问请求。该资源访问请求包括膝上型计算机110的硬件配置文件和唯一标识符,该唯一标识符的形式为使用服务器104已知的私有密钥加密的证书。膝上型计算机110的硬件配置文件包括关于DRAM 214的制造商和容量(或数量)、HDD 220的序列号和型号,以及网络接口206的MAC地址的信息。
框404确定硬件配置文件匹配所存储的与唯一标识符关联的硬件配置文件的至少一部分。存储的硬件配置文件可以是在安全注册或者许可证验证过程期间被存储。例如,在SLV过程期间接收到的硬件配置文件可以被存储并与SLV证书关联起来。
在一些情形中,硬件配置文件所包含的所有信息与唯一标识符所关联的所存储的硬件配置文件所包含的信息相匹配。在其它情形中,只有一部分硬件配置文件匹配所存储的硬件配置文件,可以使用模糊逻辑来确定硬件配置文件足够但是不是全部匹配所存储的硬件配置文件。
能够使用模糊逻辑确定匹配,即使关于硬件配置文件的HDD的信息没有匹配关于所存储的硬件配置文件的HDD的信息。使用模糊逻辑的匹配算法提供了灵活的匹配,允许对于由于修理和/或升级而具有新的和/或不同的硬件组件的计算设备确定匹配。
当三个硬件组件参数中的两个匹配时,这种匹配算法例如可以确定硬件配置文件足够类似。该匹配算法可以基于多种标准确定足够匹配,诸如不太可能被改变的序列号,而其它非匹配序列号对于常常被改变或替换的硬件是可接受的,诸如外部硬盘驱动器或者非集成显示器,但是不包括主板或处理器。
继续该正在进行的例子,服务器104使用私有密钥解密证书以识别膝上型计算机110。然后服务器104确定膝上型计算机110的硬件配置文件的至少一部分匹配所存储的与资源访问请求所包括的证书关联的配置文件。此处假设由于先前HDD的故障,膝上型计算机110的用户已经替换膝上型计算机110的HDD 220。
在本例子的背景中,使用模糊逻辑的服务器104的匹配算法基于关于DRAM 214的制造商和容量(或数量)以及网络接口206的MAC地址的信息而确定膝上型计算机110的硬件配置文件足够匹配所存储的硬件配置文件。
框406传输证书至远程实体用于访问资源。该证书可用于直接访问资源或者访问管理资源和/或提供关于资源的功能性的服务。在一些情形中,在传输证书之前要查询证书分发限制或规则以限制证书的分发。在一些实例中,证书分发限制与唯一标识符相关联以限制证书分发至与该唯一标识符相关联的实体(或声称与之关联的实体)。
证书分发可以受限于分发的证书的总数量、证书分发的速率或者证书分发的频率或者以上任意组合。例如,与唯一标识符相关联的证书限制可以只允许在50个分发的证书的总体限制下每10秒钟分发一个证书。
继续本例子,假设服务器104具有每个唯一标识符总共50个证书的证书分发限制。还假设一个证书先前已经与从膝上型计算机110接收到的资源访问请求中包括的证书相关联地发放。此处,服务器104查询该证书分发限制并确定证书能够被发放给膝上型计算机110。本例子的结论是,服务器104增加与唯一标识符关联的证书分发计数,并且通过通信网络106传输用于访问软件更新的证书至膝上型计算机110。这仅仅是该技术可以将证书分发限制为服务的实际用户的计算设备的一种方式。
图5是描述授权访问资源的示例过程500的流程图。框502接收资源访问的请求,其包括唯一标识符和硬件配置文件,诸如上面提到的那些唯一标识符和硬件配置文件。
在环境100的背景中考虑过程500。此处服务器104通过通信网络106从膝上型计算机110的资源访问管理器212接收资源访问请求。假设资源访问请求包括使用私有密钥加密的证书和膝上型计算机110的硬件配置文件。还假设服务器104提供软件更新服务,膝上型计算机110的资源访问管理器212正在尝试访问软件更新服务。在本例子的背景中,服务器104没有用于解密资源访问请求包含的证书的私有密钥。
框504将唯一标识符和硬件配置文件转发至请求验证实体,其可以访问与唯一标识符关联的历史硬件配置文件。该历史硬件配置文件包括先前收集的关于计算设备的硬件组件或硬件配置的信息。在一些情形中,该历史硬件配置文件是在安全注册过程期间从计算设备接收到的。在这种情形中,唯一标识符可以已经被发放至计算设备并且与接收到的硬件配置文件相关联。例如,唯一标识符和硬件配置文件可以被转发至SLV服务器,该SLV服务器具有存储的与使用私有密钥加密的SLV证明书(ticket)相关联的历史配置文件。
请求验证实体还可以访问用于解密已加密的唯一标识符的私有和/或共享密钥。在一些情形中,请求验证实体解密证书、令牌或数字签名以揭露唯一地识别计算设备的信息,例如具有解密和验证包括在请求中的SLV证明书的私有密钥的SLV服务器。
在本例子的背景中,服务器104将使用私有密钥加密的证书和膝上型电脑110的硬件配置文件转发至远程请求验证服务器(未示出)。此处,假设请求验证服务器具有能够解密证书的私有密钥和与该证书关联的历史硬件配置文件。
如果请求验证实体确定远程实体的硬件配置文件匹配至少一部分历史硬件配置文件,框506接收请求有效性的指示。这个有效性的指示可以包括关于远程实体的识别信息,诸如识别远程实体为软件产品的拥有者或者为服务订户的信息。例如,当远程实体的硬件配置文件中的至少一部分匹配与SLV证明书关联的历史硬件配置文件时,可以从SLV服务器接收到请求有效性性的指示。
继续本例子,当请求验证服务器确定膝上型计算机110的硬件配置文件匹配与证书关联的历史硬件配置文件的至少一部分时,服务器104接收请求有效性的指示。该请求有效性的指示还包括识别信息,识别膝上型计算机110为服务器104的软件更新服务的订户。
框508基于请求有效性的指示授权远程实体访问资源。在一些情形中,用于访问资源的证书被传输至远程实体。该证书被用于直接地访问资源或者访问管理资源和/或提供关于资源的功能性的服务。进一步地,基于关于远程实体的识别信息,可以限制或拒绝访问资源。例如,基于识别远程实体为特定软件产品的拥有者的信息,访问可以被限制为对该特定软件产品的更新。
本例子的最后,服务器104基于请求的有效性授权膝上型计算机110访问软件更新服务。基于识别膝上型计算机110为该服务的订户的识别信息,服务器104限制授权的访问。
结论
本文档描述了基于硬件配置文件分发证书的多种技术。通过这样做,这些技术改善了用户通过服务访问资源的安全性和/或计算体验。用于访问资源的证书可以被提供给用户,而不需要为了登录、密码和/或响应质询而询问用户。虽然本发明已经以专用于结构特征和/或方法步骤的语言而描述,但是应该理解在所附权利要求中定义的本发明不是必须被限制为所描述的特定特征或步骤。相反地,特定特征和步骤是作为实施所请求的发明的示例形式而公开的。
Claims (20)
1.一种方法,包括:
在提供资源的服务器设备处从远程实体接收访问资源的请求,该请求包括该远程实体的唯一标识符和硬件配置文件;
将所述唯一标识符和硬件配置文件转发到请求验证实体,该请求验证实体能够访问与所述唯一标识符相关联的历史硬件配置文件;
接收所述请求的有效性的指示,即所述远程实体的硬件配置文件是否匹配所述历史硬件配置文件的至少一部分,其中所述匹配使用模糊逻辑来确定;
确定与该远程实体的唯一标识符关联的证书分发的频率没有超过证书分发频率限制,所述证书分发频率限制限制该服务器设备分发与所述唯一标识符关联的证书的频率;和
响应于确定证书分发的频率没有超过证书分发频率限制,从所述服务器设备传输证书至该远程实体以便使得能够由该远程实体访问所述资源。
2.如权利要求1所述的方法,其中所述有效性的指示包括与所述远程实体相关的标识信息。
3.如权利要求2所述的方法,进一步包括基于与所述远程实体相关的标识信息限制对所述资源的访问。
4.如权利要求1所述的方法,其中所述唯一标识符是利用私有密钥数字签名或加密的证书。
5.如权利要求1所述的方法,其中所述证书分发频率限制有效地将与所述唯一标识符相关联的证书的分发限制到每一个时间间隔一个证书。
6.一种方法,包括:
在服务器设备处从远程实体接收资源访问请求,该资源访问请求包括该远程实体的唯一标识符和该远程实体的硬件配置文件;
使用模糊逻辑确定该硬件配置文件匹配所存储的与该唯一标识符关联的硬件配置文件的至少一部分;
确定没有超过与该远程实体的唯一标识符关联的证书分发限制,所述证书分发限制限制该服务器设备分发的证书的数目;
递增与该远程实体的唯一标识符关联的证书分发计数值;和
响应于确定没有超过与该唯一标识符关联的证书分发限制,从所述服务器设备传输证书至该远程实体用于访问资源。
7.如权利要求6所述的方法,其中该远程实体的硬件配置文件包括硬件组件的序列号、型号或参数的集合。
8.如权利要求6所述的方法,其中使用模糊逻辑算法确定硬件配置文件匹配所存储的与该唯一标识符相关联的硬件配置文件的至少一部分。
9.如权利要求6所述的方法,进一步包括:
从所述远程实体接收初始硬件配置文件;
在所述服务器设备处存储所述初始硬件配置文件作为存储的硬件配置文件;
将存储的硬件配置文件与所述唯一标识符相关联;以及
在接收资源访问请求之前,将所述唯一标识符传输到所述远程实体以便在随后试图访问资源时使用。
10.如权利要求6所述的方法,其中该唯一标识符被使用远程实体未知的私有密钥电子签名或者加密。
11.一种设备,包括:
用于在提供资源的服务器设备处从远程实体接收访问资源的请求的装置,该请求包括该远程实体的唯一标识符和硬件配置文件;
用于将所述唯一标识符和硬件配置文件转发到请求验证实体的装置,该请求验证实体能够访问与所述唯一标识符相关联的历史硬件配置文件;
用于接收所述请求的有效性的指示的装置,该指示指示所述远程实体的硬件配置文件是否匹配所述历史硬件配置文件的至少一部分,其中所述匹配使用模糊逻辑来确定;
用于确定与该远程实体的唯一标识符关联的证书分发的频率没有超过证书分发频率限制的装置,所述证书分发频率限制限制该服务器设备分发与所述唯一标识符关联的证书的频率;和
用于响应于确定证书分发的频率没有超过证书分发频率限制,从所述服务器设备传输证书至该远程实体以便使得能够由该远程实体访问所述资源的装置。
12.如权利要求11所述的设备,其中所述有效性的指示包括与所述远程实体相关的标识信息。
13.如权利要求12所述的设备,进一步包括用于基于与所述远程实体相关的标识信息来限制对所述资源的访问的装置。
14.如权利要求11所述的设备,其中所述唯一标识符是利用私有密钥数字签名或加密的证书。
15.如权利要求11所述的设备,其中所述证书分发频率限制有效地将与所述唯一标识符相关联的证书的分发限制到每一个时间间隔一个证书。
16.一种设备,包括:
用于在服务器设备处从远程实体接收资源访问请求的装置,该资源访问请求包括该远程实体的唯一标识符和该远程实体的硬件配置文件;
用于使用模糊逻辑确定该硬件配置文件匹配所存储的与该唯一标识符关联的硬件配置文件的至少一部分的装置;
用于确定没有超过与该远程实体的唯一标识符关联的证书分发限制的装置,所述证书分发限制限制该服务器设备分发的证书的数目;
用于递增与该远程实体的唯一标识符关联的证书分发计数值的装置;和
用于响应于确定没有超过与该唯一标识符关联的证书分发限制,从所述服务器设备传输证书至该远程实体用于访问资源的装置。
17.如权利要求16所述的设备,其中该远程实体的硬件配置文件包括硬件组件的序列号、型号或参数的集合。
18.如权利要求16所述的设备,其中所述用于确定硬件配置文件匹配所存储的与该唯一标识符相关联的硬件配置文件的至少一部分的装置使用模糊逻辑算法。
19.如权利要求16所述的设备,进一步包括:
用于从所述远程实体接收初始硬件配置文件的装置;
用于在所述服务器设备处存储所述初始硬件配置文件作为存储的硬件配置文件的装置;
用于将存储的硬件配置文件与所述唯一标识符相关联的装置;以及
用于在接收资源访问请求之前,将所述唯一标识符传输到所述远程实体以便在随后试图访问资源时使用的装置。
20.如权利要求16所述的设备,其中该唯一标识符被使用远程实体未知的私有密钥电子签名或者加密。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/949,589 US8572699B2 (en) | 2010-11-18 | 2010-11-18 | Hardware-based credential distribution |
| US12/949589 | 2010-11-18 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102438013A CN102438013A (zh) | 2012-05-02 |
| CN102438013B true CN102438013B (zh) | 2017-11-21 |
Family
ID=45985885
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110367796.0A Active CN102438013B (zh) | 2010-11-18 | 2011-11-18 | 基于硬件的证书分发 |
Country Status (2)
| Country | Link |
|---|---|
| US (3) | US8572699B2 (zh) |
| CN (1) | CN102438013B (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101909058B (zh) * | 2010-07-30 | 2013-01-16 | 天维讯达无线电设备检测(北京)有限责任公司 | 一种适合可信连接架构的平台鉴别策略管理方法及系统 |
| US8572699B2 (en) | 2010-11-18 | 2013-10-29 | Microsoft Corporation | Hardware-based credential distribution |
| JP5880401B2 (ja) * | 2012-11-15 | 2016-03-09 | 富士ゼロックス株式会社 | 通信装置及びプログラム |
| GB2527276B (en) * | 2014-04-25 | 2020-08-05 | Huawei Tech Co Ltd | Providing network credentials |
| US9942237B2 (en) | 2015-08-28 | 2018-04-10 | Bank Of America Corporation | Determining access requirements for online accounts based on characteristics of user devices |
| US10346710B2 (en) * | 2016-09-29 | 2019-07-09 | Datacolor Inc. | Multi-agent training of a color identification neural network |
| US10609037B2 (en) * | 2017-03-28 | 2020-03-31 | Ca, Inc. | Consolidated multi-factor risk analysis |
| US11917070B2 (en) | 2018-02-17 | 2024-02-27 | Carrier Corporation | Method and system for managing a multiplicity of credentials |
| US10715327B1 (en) * | 2018-05-30 | 2020-07-14 | Architecture Technology Corporation | Software credential token issuance based on hardware credential token |
| CN110677250B (zh) | 2018-07-02 | 2022-09-02 | 阿里巴巴集团控股有限公司 | 密钥和证书分发方法、身份信息处理方法、设备、介质 |
| CN110795774B (zh) | 2018-08-02 | 2023-04-11 | 阿里巴巴集团控股有限公司 | 基于可信高速加密卡的度量方法、设备和系统 |
| CN110795742B (zh) | 2018-08-02 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 高速密码运算的度量处理方法、装置、存储介质及处理器 |
| CN110874478B (zh) | 2018-08-29 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 密钥处理方法及装置、存储介质和处理器 |
| US11232209B2 (en) | 2019-01-18 | 2022-01-25 | International Business Machines Corporation | Trojan detection in cryptographic hardware adapters |
| US11032381B2 (en) * | 2019-06-19 | 2021-06-08 | Servicenow, Inc. | Discovery and storage of resource tags |
| EP3808049B1 (en) * | 2019-09-03 | 2022-02-23 | Google LLC | Systems and methods for authenticated control of content delivery |
| CN111259347A (zh) * | 2020-01-19 | 2020-06-09 | 苏州浪潮智能科技有限公司 | 一种判断机器唯一性的授权方法及装置 |
| US11954181B2 (en) * | 2020-12-16 | 2024-04-09 | Dell Products L.P. | System and method for managing virtual hardware licenses of hardware resources accessed via application instances |
| CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
| US11843707B2 (en) * | 2021-07-12 | 2023-12-12 | Dell Products, L.P. | Systems and methods for authenticating hardware of an information handling system |
| EP4181462A1 (de) * | 2021-11-11 | 2023-05-17 | Siemens Aktiengesellschaft | Verfahren für ein zertifikatsmanagement für heterogene anlagen, computersystem und computerprogrammprodukt |
| CN114584318B (zh) * | 2022-03-07 | 2023-08-11 | 亿咖通(湖北)技术有限公司 | 一种证书和密钥的访问控制方法、电子设备和存储介质 |
Family Cites Families (63)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB1494736A (en) * | 1974-01-21 | 1977-12-14 | Chubb Integrated Syst Ltd | Token-control |
| US5560008A (en) * | 1989-05-15 | 1996-09-24 | International Business Machines Corporation | Remote authentication and authorization in a distributed data processing system |
| US5311513A (en) * | 1992-09-10 | 1994-05-10 | International Business Machines Corp. | Rate-based congestion control in packet communications networks |
| EP0781068A1 (en) * | 1995-12-20 | 1997-06-25 | International Business Machines Corporation | Method and system for adaptive bandwidth allocation in a high speed data network |
| US6226743B1 (en) * | 1998-01-22 | 2001-05-01 | Yeda Research And Development Co., Ltd. | Method for authentication item |
| US6754820B1 (en) * | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
| US6233341B1 (en) * | 1998-05-19 | 2001-05-15 | Visto Corporation | System and method for installing and using a temporary certificate at a remote site |
| JP2000032048A (ja) * | 1998-07-14 | 2000-01-28 | Fujitsu Ltd | ネットワーク装置 |
| US7106756B1 (en) * | 1999-10-12 | 2006-09-12 | Mci, Inc. | Customer resources policy control for IP traffic delivery |
| US6748435B1 (en) * | 2000-04-28 | 2004-06-08 | Matsushita Electric Industrial Co., Ltd. | Random early demotion and promotion marker |
| DE60023490T2 (de) * | 2000-08-18 | 2006-07-13 | Alcatel | Markierungsapparat zum Kreieren und Einfügen einer Priorität in ein Datenpaket |
| US7028179B2 (en) | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
| US7571239B2 (en) * | 2002-01-08 | 2009-08-04 | Avaya Inc. | Credential management and network querying |
| US7379982B2 (en) * | 2002-04-15 | 2008-05-27 | Bassam Tabbara | System and method for custom installation of an operating system on a remote client |
| EP1574009B1 (en) * | 2002-11-18 | 2011-07-13 | Trusted Network Technologies, Inc. | Systems and apparatuses using identification data in network communication |
| AU2003900413A0 (en) * | 2003-01-31 | 2003-02-13 | Mckeon, Brian Bernard | Regulated issuance of digital certificates |
| US7590695B2 (en) * | 2003-05-09 | 2009-09-15 | Aol Llc | Managing electronic messages |
| US7287076B2 (en) * | 2003-12-29 | 2007-10-23 | Microsoft Corporation | Performing threshold based connection status responses |
| KR100666980B1 (ko) * | 2004-01-19 | 2007-01-10 | 삼성전자주식회사 | 트래픽 폭주 제어 방법 및 이를 구현하기 위한 장치 |
| US20050174944A1 (en) * | 2004-02-10 | 2005-08-11 | Adc Broadband Access Systems, Inc. | Bandwidth regulation |
| US20050181765A1 (en) * | 2004-02-13 | 2005-08-18 | Gerald Mark | System and method of controlling access and credentials for events |
| WO2005096767A2 (en) * | 2004-04-05 | 2005-10-20 | Comcast Cable Holdings, Llc | Method and system for provisioning a set-top box |
| US7363513B2 (en) | 2004-04-15 | 2008-04-22 | International Business Machines Corporation | Server denial of service shield |
| US7653199B2 (en) * | 2004-07-29 | 2010-01-26 | Stc. Unm | Quantum key distribution |
| JP2006139747A (ja) * | 2004-08-30 | 2006-06-01 | Kddi Corp | 通信システムおよび安全性保証装置 |
| US8615653B2 (en) * | 2004-09-01 | 2013-12-24 | Go Daddy Operating Company, LLC | Methods and systems for dynamic updates of digital certificates via subscription |
| US20060075042A1 (en) * | 2004-09-30 | 2006-04-06 | Nortel Networks Limited | Extensible resource messaging between user applications and network elements in a communication network |
| US8006288B2 (en) * | 2004-11-05 | 2011-08-23 | International Business Machines Corporation | Method and apparatus for accessing a computer application program |
| US7607164B2 (en) * | 2004-12-23 | 2009-10-20 | Microsoft Corporation | Systems and processes for managing policy change in a distributed enterprise |
| US8700729B2 (en) * | 2005-01-21 | 2014-04-15 | Robin Dua | Method and apparatus for managing credentials through a wireless network |
| US20060212407A1 (en) * | 2005-03-17 | 2006-09-21 | Lyon Dennis B | User authentication and secure transaction system |
| US7706778B2 (en) * | 2005-04-05 | 2010-04-27 | Assa Abloy Ab | System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone |
| KR101019002B1 (ko) * | 2005-10-26 | 2011-03-04 | 퀄컴 인코포레이티드 | 자원 이용 메시지를 이용하여 무선 채널에 대한 최소레이트 보증 |
| US7631131B2 (en) * | 2005-10-27 | 2009-12-08 | International Business Machines Corporation | Priority control in resource allocation for low request rate, latency-sensitive units |
| WO2007055683A2 (en) * | 2005-11-04 | 2007-05-18 | The Board Of Trustees Of The Leland Stanford Junior University | Differential phase shift keying quantum key distribution |
| CN100419773C (zh) * | 2006-03-02 | 2008-09-17 | 王清华 | 一种电子文档的许可认证方法和系统 |
| US8347376B2 (en) * | 2006-03-06 | 2013-01-01 | Cisco Technology, Inc. | Techniques for distributing a new communication key within a virtual private network |
| US7760641B2 (en) * | 2006-07-10 | 2010-07-20 | International Business Machines Corporation | Distributed traffic shaping across a cluster |
| US8949933B2 (en) * | 2006-08-15 | 2015-02-03 | International Business Machines Corporation | Centralized management of technical records across an enterprise |
| US10671706B2 (en) * | 2006-09-21 | 2020-06-02 | Biomedical Synergies, Inc. | Tissue management system |
| US7546405B2 (en) * | 2006-09-26 | 2009-06-09 | Sony Computer Entertainment Inc. | Methods and apparatus for dynamic grouping of requestors of resources in a multi-processor system |
| US8347378B2 (en) * | 2006-12-12 | 2013-01-01 | International Business Machines Corporation | Authentication for computer system management |
| JP4953801B2 (ja) * | 2006-12-25 | 2012-06-13 | パナソニック株式会社 | パスワード設定方法、映像受信システム、プログラム、および記録媒体 |
| JP2007164806A (ja) * | 2007-01-23 | 2007-06-28 | Fujitsu Ltd | データ資源を配付する方法 |
| KR101075724B1 (ko) * | 2007-07-06 | 2011-10-21 | 삼성전자주식회사 | 통신 시스템에서 패킷 전송 속도 제한 장치 및 방법 |
| US20090135817A1 (en) * | 2007-08-24 | 2009-05-28 | Assa Abloy Ab | Method for computing the entropic value of a dynamical memory system |
| US8295306B2 (en) * | 2007-08-28 | 2012-10-23 | Cisco Technologies, Inc. | Layer-4 transparent secure transport protocol for end-to-end application protection |
| US20090109941A1 (en) * | 2007-10-31 | 2009-04-30 | Connect Spot Ltd. | Wireless access systems |
| US8024782B2 (en) * | 2008-04-09 | 2011-09-20 | Zscaler, Inc. | Cumulative login credit |
| US20090313337A1 (en) * | 2008-06-11 | 2009-12-17 | Linkool International, Inc. | Method for Generating Extended Information |
| EP2144421A1 (en) * | 2008-07-08 | 2010-01-13 | Gemplus | Method for managing an access from a remote device to data accessible from a local device and corresponding system |
| ES2485501T3 (es) * | 2008-08-14 | 2014-08-13 | Assa Abloy Ab | Lector de RFID con heurísticas de detección de ataques incorporadas |
| US8359643B2 (en) * | 2008-09-18 | 2013-01-22 | Apple Inc. | Group formation using anonymous broadcast information |
| US8504504B2 (en) | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
| JP4650556B2 (ja) * | 2008-10-31 | 2011-03-16 | ブラザー工業株式会社 | ネットワーク装置 |
| US8364766B2 (en) * | 2008-12-04 | 2013-01-29 | Yahoo! Inc. | Spam filtering based on statistics and token frequency modeling |
| US8255685B2 (en) * | 2009-03-17 | 2012-08-28 | Research In Motion Limited | System and method for validating certificate issuance notification messages |
| US20110113242A1 (en) * | 2009-06-09 | 2011-05-12 | Beyond Encryption Limited | Protecting mobile devices using data and device control |
| US9742560B2 (en) * | 2009-06-11 | 2017-08-22 | Microsoft Technology Licensing, Llc | Key management in secure network enclaves |
| US8578504B2 (en) * | 2009-10-07 | 2013-11-05 | Ca, Inc. | System and method for data leakage prevention |
| US20110161663A1 (en) * | 2009-12-29 | 2011-06-30 | General Instrument Corporation | Intelligent caching for ocsp service optimization |
| US8938509B2 (en) * | 2010-10-06 | 2015-01-20 | Qualcomm Incorporated | Methods and apparatus for supporting sharing of privileges in a peer to peer system |
| US8572699B2 (en) | 2010-11-18 | 2013-10-29 | Microsoft Corporation | Hardware-based credential distribution |
-
2010
- 2010-11-18 US US12/949,589 patent/US8572699B2/en active Active
-
2011
- 2011-11-18 CN CN201110367796.0A patent/CN102438013B/zh active Active
-
2013
- 2013-10-25 US US14/064,004 patent/US9553858B2/en active Active
-
2017
- 2017-01-23 US US15/412,931 patent/US20170134354A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20120131652A1 (en) | 2012-05-24 |
| US8572699B2 (en) | 2013-10-29 |
| CN102438013A (zh) | 2012-05-02 |
| US9553858B2 (en) | 2017-01-24 |
| US20140059664A1 (en) | 2014-02-27 |
| US20170134354A1 (en) | 2017-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102438013B (zh) | 基于硬件的证书分发 | |
| US8266684B2 (en) | Tokenized resource access | |
| US10686768B2 (en) | Apparatus and method for controlling profile data delivery | |
| JP6574168B2 (ja) | 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 | |
| CN102281286B (zh) | 分布式混合企业的灵活端点顺从和强认证的方法和系统 | |
| WO2017063523A1 (zh) | 一种业务认证的方法、装置和系统 | |
| JP4818664B2 (ja) | 機器情報送信方法、機器情報送信装置、機器情報送信プログラム | |
| US20040078573A1 (en) | Remote access system, remote access method, and remote access program | |
| JP6963609B2 (ja) | 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法 | |
| CN108650212A (zh) | 一种物联网认证和访问控制方法及物联网安全网关系统 | |
| US20140157368A1 (en) | Software authentication | |
| CN112000951A (zh) | 一种访问方法、装置、系统、电子设备及存储介质 | |
| BR112016000122B1 (pt) | Método e sistema relacionados à autenticação de usuário para acessar redes de dados | |
| CN104735054A (zh) | 数字家庭设备可信接入平台及认证方法 | |
| EP3338429A1 (en) | Anonymous device operation | |
| JP5278495B2 (ja) | 機器情報送信方法、機器情報送信装置、機器情報送信プログラム | |
| WO2007060016A2 (en) | Self provisioning token | |
| CN105991524A (zh) | 家庭信息安全系统 | |
| Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
| JP2012203516A (ja) | 属性委譲システム、属性委譲方法、及び、属性委譲プログラム | |
| Feng et al. | An efficient contents sharing method for DRM | |
| KR101821645B1 (ko) | 자체확장인증을 이용한 키관리 방법 | |
| JP2008219670A (ja) | デジタル証明書配布システム、デジタル証明書配布方法、及びデジタル証明書配布プログラム | |
| JP2016071644A (ja) | ライセンス管理方法及びライセンス管理システム | |
| KR20190004250A (ko) | 지정 단말을 이용한 비대면 거래 제공 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150616 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150616 Address after: Washington State Applicant after: MICROSOFT TECHNOLOGY LICENSING, LLC Address before: Washington State Applicant before: Microsoft Corp. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240722 Address after: texas Patentee after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT L.P. Country or region after: U.S.A. Address before: Washington State Patentee before: MICROSOFT TECHNOLOGY LICENSING, LLC Country or region before: U.S.A. |
|
| TR01 | Transfer of patent right |