CN104170312A - 用于使用硬件安全引擎通过网络进行安全通信的方法和设备 - Google Patents
用于使用硬件安全引擎通过网络进行安全通信的方法和设备 Download PDFInfo
- Publication number
- CN104170312A CN104170312A CN201180075550.4A CN201180075550A CN104170312A CN 104170312 A CN104170312 A CN 104170312A CN 201180075550 A CN201180075550 A CN 201180075550A CN 104170312 A CN104170312 A CN 104170312A
- Authority
- CN
- China
- Prior art keywords
- server
- key
- security engine
- soc
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
一种用于与服务器建立安全通信会话的方法、装置和系统,包括发起对于安全通信会话的请求,所述安全通信会话例如是使用在客户端设备的片上系统(SOC)的安全引擎中生成的临时随机数值的与服务器的安全套接字层(SLL)通信。此外,在客户端和服务器之间执行密码密钥交换,以便生成对称会话密钥,该对称会话密钥被存储在安全性引擎的安全存储设备中。所述密码密钥交换可以例如是Rivest-Shamir-Adleman(RSA)密钥交换或者Diffie-Hellman密钥交换。在所述密码密钥交换期间生成的私有密钥和其它数据可以被所述安全引擎生成和/或存储在所述安全引擎中。
Description
背景技术
密码通信协议用于通过不可信的网络或通信链路建立计算设备之间的安全通信会话。一个常用的密码通信协议是安全套接字层(SSL)协议。SSL协议以及相关的传输层安全(TLS)协议被用于许多不同类型的安全通信会话,例如包括在诸如以太网的不可信的网络上的安全网络浏览、电子商务、安全升级以及两个计算设备之间的其它安全通信会话。其它通信协议可以利用SSL/TLS协议以便提供底层安全。例如,超文本传输协议安全(HTTPS)使用SSL/TLS用于设备之间的消息的加密。典型地,由SSL/TLS协议提供的密码安全在带内完成并且在软件应用级别上执行。
由于一些计算和电子设备的相对小的封装(footprint),它们利用片上系统(SOC)设计。SOC设备是将电子系统的除了处理核心之外还包括的各种部件结合在单个管芯上的集成电路。例如,SOC可以包括位于单个芯片上的处理器核心、存储器控制器、视频部件、音频部件和/或通信部件。
附图说明
在附图中通过示例而非限制的方式说明了本文描述的发明。为了说明的简单性和清楚性,附图中说明的元件不必按照比例绘制。例如,为了清楚性,一些元件的尺寸可能相对其它元件被放大。进而,在认为适当时,在附图中重复附图标记以便指示相对应或者类似的元件。
图1是用于通过网络在具有片上系统(SOC)的客户端设备和服务器之间建立安全通信会话的系统的至少一个实施例的简化框图;
图2是用于图1的系统的安全方案的至少一个实施例的框图;
图3是用于建立安全通信会话的图1的客户端设备和服务器的通信序列的至少一个实施例的简化序列图;并且
图4是用于建立由图1的客户端设备执行的安全通信会话的方法的至少一个实施例的简化流程图。
具体实施方式
尽管本公开的概念容易具有各种修改和替换形式,但是在附图中通过示例的方式示出了其具体示例性实施例并且在本文将对这些实施例进行详细描述。然而,应当理解的是,并非意在将本公开的概念局限于所公开的具体形式,而是相反,意在涵盖与本公开和所附权利要求一致的所有修改、等同物和替代。
在下面的描述中,阐释了诸如逻辑实现、操作码、指定操作数的手段、资源划分/共享/复制实现、系统部件的类型和相互关系以及逻辑划分/集成选择,以便提供对本公开的更加全面的理解。然而,本领域的普通技术人员应当认识到,本公开的实施例可以在没有这些具体细节的情况下实践。在其它实例中,没有详细示出控制结构、门级电路和全软件指令序列,以便不混淆本发明。使用所包括的描述,本领域的普通技术人员将能够实现适当的功能而无需过多实验。
在本说明书中对“一个实施例”、“实施例”、“示例实施例”等等的引用指示所描述的实施例可以包括特定的特征、结构或特性,但是每一个实施例可以不必都包括该特定的特征、结构或特性。而且,这样的短语不必指代相同的实施例。进而,当结合实施例描述特定的特征、结构或特性时,应当认为结合无论是否被明确描述的其它实施例来实现这样的特征、结构或特性在本领域技术人员的知识范围内。本发明的实施例可以被实现在硬件、固件、软件或它们的任意组合中。被实现在计算机系统中的本发明的实施例可以包括部件之间的一个或多个基于总线的互连和/或部件之间的一个或多个点对点互连。本发明的实施例也可以被实现为由机器可读介质承载或者存储在该机器可读介质上的指令,这些指令可以由一个或多个处理器读取和执行。机器可读介质可以被体现为用于以机器(例如,计算设备)可读的形式存储或传输信息的任何设备、机制或物理结构。例如,机器可读介质可以被体现为只读存储器(ROM);随机存取存储器(RAM);磁盘存储介质;光学存储介质;闪存设备;小型或微型SD卡、记忆棒、电信号等等。
在附图中,可以为了便于描述而示出诸如代表设备、模块、指令块和数据元素的那些元件的示意性元件的具体布置或排序。然而,本领域技术人员应当理解的是,附图中示意性元件的具体顺序或布置并不意在暗示要求处理的特定顺序或序列或者处理的分离。进而,附图中包括示意性元件并不意在暗示在所有实施例中都要求这样的元件,或者在一些实施例中由这样的元件代表的特征可能不被包括在其它元件中或者没有与其它元件相结合。
通常,用于代表指令块的示意性元件可以使用机器可读指令的任何适当的形式实现,例如软件或固件应用、程序、函数、模块、例程、过程、进程、插件、小应用程序、窗口小部件、代码片段和/或其它,并且每一个这样的指令可以使用任何合适的编程语言、库、应用编程接口(API)和/或其它软件开发工具来实现。例如,一些实施例可以使用Java、C++和/或其它编程语言来实现。
类似地,用于代表数据或信息的示意性元件可以使用任何合适的电子布置或结构实现,例如寄存器、数据存储、表、记录、数组、索引、哈希、映射图、树、列表、图、(任何文件类型的)文件、文件夹、目录、数据库和/或其它。
进而,在附图中,在使用诸如实线或者虚线或者箭头的连接元件来说明两个或更多个其它示意性元件之间的连接、关系或关联的情况下,不存在任何这样的连接元件并不意味着暗示没有连接、关系或关联能够存在。换句话说,在附图中可能没有示出元件之间的一些连接、关系或关联,以便不混淆本发明。此外,为了便于说明,单个连接元件可以用于代表元件之间的多个连接、关系或关联。例如,在连接元件代表信号、数据或指令的传输的情况下,本领域的技术人员应当理解,如果需要,这样的元件可以代表一个或多个信号路径(例如,总线),以便实现通信。
现在参照图1,用于建立安全通信会话的系统100包括客户端设备102、服务器104以及网络106。在操作中,客户端设备102通过网络106发起对于与服务器104的安全通信会话的请求。为了建立安全通信会话,客户端设备102和服务器104执行密码密钥交换,例如Diffie-Hellman或Rivest-Shamir-Adleman(RSA)密钥交换,以便生成秘密对称会话密钥。该秘密对称会话密钥可以接着用于加密和解密客户端设备102和服务器104之间的消息。为了确保安全通信会话,在客户端设备102的片上系统(SOC)112的安全引擎110内完成由客户端设备102生成的各种密钥和其它密码功能。客户端设备102将该密钥秘密地维持在安全引擎110的安全存储器114中。例如,如下面讨论的,安全引擎110可以包括安全密钥150,用于签名和/或以其它方式加密其它密钥和消息。按照这种方式,客户端设备102和服务器104可以使用客户端设备102的带外(即,不是应用级)硬件安全功能来贯穿网络106建立安全通信会话。在本文描述的说明性实施例中,安全通信会话是安全套接字层(SSL)通信会话,但是在其它实施例中,本文描述的系统100和特征可以用于建立其它类型的安全通信会话。
客户端设备102可以被体现为能够通过网络106与服务器104进行通信的任何类型的计算设备,例如,客户端设备102可以被体现为机顶盒、数字电视、智能电话、平板计算机、膝上型计算机、移动互联网设备(MID)、台式计算机或者能够与服务器104进行通信的其它设备。
如上面讨论的,客户端设备102包括SOC 112,其可以被体现为具有各种部件和结构的任何类型的片上系统设备。在图1的说明性实施例中,SOC 112包括安全引擎110、存储器控制器116、处理器核心118和多个硬件外设130,它们经由链路120可通信地耦合到彼此。链路120可以被体现为任何类型的互连,例如总线、点对点或者能够促进SOC 112的各种部件之间的通信的其它互连。取决于SOC 112的期望功能,硬件外设130可以包括任何类型的硬件外围部件。例如,在说明性实施例中,硬件外设130包括用于分离音频和视频内容流的解复用134;用于处理视频内容的视频处理部件132;以及用于处理音频内容的音频处理部件136。当然,应当意识到的是,在图1的说明性实施例中简化了SOC 112的硬件外设130,并且SOC 112可以包括附加的、不同的和/或更大的详细硬件外设130,为了公开的清楚性而未在图1中示出。
安全引擎110可以被体现为独立于处理器核心118的安全协处理器或处理电路。安全引擎110包括安全密钥150和安全存储器114,该安全存储器114只能由安全引擎110存取。安全引擎110将安全密钥150以及下面讨论的其它密码密钥存储在安全存储器114中。在说明性实施例中,在SOC112的制造过程中提供安全密钥150,但是在其它实施例中可以在操作期间由SOC 112生成安全密钥150。例如,在一些实施例中,安全密钥150基于安全引擎110本身内的熔断保险丝。此外或可选地,安全引擎110可以包括诸如可信平台模块(TPM)的密钥生成模块,以便生成安全密钥150。在使用期间,安全引擎110可以使用任意数量的安全密钥150,它们可以彼此相同或者不同。
在一些实施例中,取决于客户端设备102的类型和期望用途,除了SOC112之外,客户端设备102可以包括其它部件和结构。例如,在图1的说明性实施例中,客户端设备102包括系统存储器160、数据存储设备162、通信输出164以及一个或多个输入/输出设备166。系统存储器160可以被体现为任何类型的主存储器或者数据存储单元,例如,包括动态随机存取存储器设备(DRAM)、同步动态随机存取存储器设备(SDRAM)、双倍数据速率同步动态随机存取存储器设备(DDR SDRAM)、掩模只读存储器(ROM)设备、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)设备、闪存设备和/或其它易失性和/或非易失性存储器设备。
数据存储设备162可以被体现为被配置用于数据的短期或长期存储的任意类型的一个或多个设备,例如以存储器设备和电路、存储卡、硬盘驱动、固态驱动或其它数据存储设备为例。通信输出164可以被体现为简化的输出或者作为各种电路和/或设备,以便例如促进与服务器104的通信。例如,通信输出164(和/或SOC 112内的通信电路)可以使用任何合适的通信协议,例如以太网(即IEEE 802.3标准)或(即IEEE 802.11标准)和/或其它通信协议或标准。此外,输入/输出设备166可以被体现为任何类型的I/O设备,用于与客户端设备102进行交互。例如,I/O设备166可以包括输出设备,例如用于在客户端设备102上显示数据的显示器;用于生成音频的扬声器;和/或输入设备,例如遥控接收器、键盘、鼠标和/或其它。
服务器104可以被体现为能够与客户端设备102建立安全通信会话的任意类型的数据服务器。这样,服务器104可以包括在附图中典型地发现的用于通过网络通信、维护和传输数据的各种硬件和软件部件。例如,说明性服务器104包括可以与在其它数据服务器中发现的这样的部件类似的处理器180、存储器182以及通信电路184。例如,处理器180可以被体现为能够执行软件/固件的任意类型的处理器,例如微处理器、数字信号处理器、微控制器等,并且可以包括一个或多个处理核心。存储器182可以被体现为任意类型的存储器或数据存储单元,例如包括动态随机存取存储器设备(DRAM)、同步动态随机存取存储器设备(SDRAM)、双倍数据速率同步动态随机存取存储器设备(DDR SDRAM)、掩模只读存储器(ROM)设备、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)设备、闪存设备和/或其它易失性和/或非易失性存储器。通信电路184可以被体现为任意类型的电路和/或设备,以便例如促进与客户端设备102的通信。例如,通信电路184可以支持通信协议,例如以太网(即IEEE 802.3标准)和/或(例如,IEEE 802.11标准)和/或其它通信协议或标准。
网络106可以被体现为任意数量的各种有线和/或无线网络。例如,网络106可以被体现为或者以其它方式包括局域网(LAN)、广域网(WAN)和/或诸如以太网的公共可访问全球网络。此外,网络106可以包括任意数量的附加设备,以便促进客户端设备102和服务器104之间的通信。如上面讨论的,在说明性实施例中,客户端设备102和服务器104通过网络106建立SSL通信会话。然而,在其它实施例中可以建立其它类型的安全通信会话。
现在参照图2,如下面更加详细讨论的,使用客户端设备102的安全引擎110来执行密码功能并且存储与建立安全通信会话相关联的密钥数据允许系统100提供几个不同级别的安全。在系统100中使用的特定安全级别可以取决于各种准则,例如网络106的本质、在客户端设备102和服务器104之间传输的数据的重要性和/或其它。例如,一个说明性安全方案200包括如图2所示的三个不同的安全级别。在第0级安全处,客户端设备102被配置为保护客户端私有设备密钥(即,安全密钥150),如下面更加详细讨论的,用于加密、签名和验证功能。
在第1级安全处,客户端设备102被配置为保护会话密钥以及用于数据加密的相关密钥。例如,如果执行RSA密钥交换,则可以将预主密钥和主密钥(即,会话密钥)存储在SOC 112的安全引擎110的安全存储器114中。此外,在下面讨论的一些实施例中,主密钥可以按照加密或包裹的形式被存储(例如,使用安全密钥150加密)。在其中使用Diffie-Hellman密钥交换的实施例中,私有Diffie-Hellman客户端密钥和/或共享秘密密钥(即,会话密钥)可以被存储在SOC 112的安全引擎110的安全存储器114中。再者,在一些实施例中,私有Diffie-Hellman客户端密钥和/或会话密钥可以按照加密或包裹的形式被存储(例如,使用安全密钥150加密)。
此外,在第2级安全处,客户端设备102可以被配置为保护主机应用的数据。例如,如果主机应用用于执行电子商务交易,则在这样的交易中使用的银行账户信息可以使用安全密钥150被加密并且被存储在安全存储器114中。通过这一方式,银行账户信息对于主机应用不可用。当然,应当意识到的是,在其它实施例中,可以使用具有更多或更少的安全级别的安全方案。
现在参照图3,在操作中,客户端设备102与服务器104使用客户端设备102的安全引擎110建立安全通信会话,以便执行各种密码功能并且在其中存储密钥数据。为了做到这一点,客户端设备102和服务器104可以执行如在图3的通信序列300中示出的握手会话。为了建立安全通信会话,安全引擎110的安全引擎驱动器302与安全引擎110的固件以及在客户端设备102上执行的客户端安全通信应用304进行通信。客户端安全通信应用304还与在服务器104上执行的相对应的服务器安全通信应用306进行通信。
通信序列300开始于块310,其中客户端安全通信应用304向服务器安全通信应用306发送ClientHello消息以便请求安全通信会话的发起。如上面讨论的,在说明性实施例中,安全通信会话是SSL会话。在块312中,为了促进该请求,安全引擎驱动器302与SOC 112的安全引擎110进行通信,以便从安全引擎110请求随机的临时随机数。在块312中,安全引擎110可以使用任何合适的随机数生成算法来生成随机的临时随机数。该临时随机数被体现为随机数或者伪随机数,意在仅在密码功能中使用一次以便例如阻止重放攻击。在说明性实施例中,随机的临时随机数包括32位的时间戳和28字节的随机数。当然,在其它实施例中可以使用随机的临时随机数的其它数字格式。无论如何,应当意识到的是,因为在安全引擎110中生成随机的临时随机数,因此与例如在应用级生成临时随机数相比较,保护了该随机的临时随机数的生成和存储。
在块312中生成的随机的临时随机数被包括在在块310中被发送到服务器安全通信应用306的ClientHello消息中。此外,ClientHello消息可以包括密码套件、压缩方法以及服务器104可以从其进行选择用于建立安全通信会话的其它密码协议或算法的列表。在块314中,对所述安全通信会话请求做出响应,服务器安全通信应用306发送ServerHello消息。ServerHello消息可以基本上类似于ClientHello消息。例如,在说明性实施例中,ServerHello消息包括由服务器104生成的服务器随机的临时随机数。此外,ServerHello消息包括密码协议的选择和/或来自ClientHello消息中包括的列表的由服务器104做出的其它选项。ServerHello消息完成说明性握手会话的会话发起阶段(第1阶段)。
在块316中,服务器安全通信应用306向客户端安全通信应用304发送服务器证书。与下面讨论的客户端证书类似,服务器证书典型地由证书权威机构生成,所述证书权威机构用作服务器104的认证的第三方证实者。服务器证书可以包括由证书权威机构分配到服务器104的用于验证服务器104到网络106上的其它设备的唯一标识符或号码。这样,在块318中,客户端设备102可以验证服务器证书。在一些实施例中,客户端设备102使用由证书权威机构颁发的公共证书密钥来验证服务器证书。在这样的实施例中,安全引擎110可以在未加密或者加密的状态下在安全存储器114中存储公共证书密钥(例如,使用安全密钥150)。
为了建立安全通信会话,客户端设备102和服务器104执行密钥交换,以便在客户端设备102和服务器104的每一个中建立共享秘密密钥(即,主密钥或会话密钥)。客户端设备102和服务器104可以使用任何合适的密钥交换算法来实现共享秘密的建立。在说明性实施例中,密钥交换可以被体现为RSA密钥交换或Diffie-Hellman密钥交换。在其中使用RSA密钥交换的实施例中,在块320中,服务器安全通信应用306执行服务器RSA密钥交换。在这样的实施例中,在块320中,服务器104可以生成临时RSA公钥/私钥对,并且将RSA公钥发送到客户端设备102。这样的消息可以由服务器104进行签名,并且通过使用公共服务器密钥由客户端设备102进行验证,如上面讨论的,所述公共服务器密钥可以被存储在安全存储器114中。
可选地,在块320中,服务器安全通信应用306可以执行服务器Diffie-Hellman密钥交换。在这样的实施例中,在方框320,服务器104选择或者以其它方式生成Diffie-Hellman全局值(例如,素数和素数的原始根),生成私有和公共Diffie-Hellman服务器密钥,并且将Diffie-Hellman全局值和公共Diffie-Hellman服务器密钥发送到客户端设备102。再次,这样的消息可以由服务器104签名并且由客户端设备102使用公共服务器密钥进行验证。
在一些实施例中,在块322中,服务器安全通信应用306可以发送客户端证书请求。如果这样,则该请求可以指定由服务器104接受的证书的类型(例如,所使用的公钥算法)、可接受的证书颁发机构和/或其它证书参数。随后,在块324中,服务器安全通信应用306向客户端安全通信应用304发送服务器完成消息(“ServerHelloDone”消息),以便指示服务器104已经完成了握手会话的这一阶段。在说明性实施例中,服务器完成消息不要求参数或其它数据。ServerHelloDone消息完成说明性握手会话的服务器认证和密钥交换阶段(第2阶段)。
在块326中,在接收到所述服务器完成消息之后,通过发送客户端证书,客户端安全通信应用304发起客户端认证和握手会话的密钥交换阶段(第3阶段)。如上面讨论的,客户端证书典型地由证书权威机构生成,并且可以包括由证书权威机构分配到客户端设备102以便验证客户端设备102到网络106上的其它设备的唯一的标识符或号码。在一些实施例中,客户端证书可以按照未加密或加密的状态被存储在SOC 112的安全引擎110的安全存储器114中。此外,在将证书发送到服务器104之前,客户端设备102可以使用由证书权威机构签发的私有设备密钥来签名所述证书。
在块328中,客户端安全通信应用304执行客户端密钥交换。再次,如上面讨论的,客户端设备102和服务器104可以使用任何合适的密钥交换算法来实现共享秘密的建立。在其中使用RSA密钥交换的实施例中,在块330中,客户端设备102的SOC 112的安全引擎110生成随机的预主密钥。说明性地,预主密钥被体现为48字节的随机数,但是在其它实施例中可以使用其它数字格式。在块332中,使用在服务器认证和密钥交换阶段(第2阶段)中由服务器提供的服务器公钥来加密或者以其它方式包裹在块330中生成的预主密钥。在块328中,被加密的预主密钥可以被存储在SOC112的安全引擎110的安全存储器114中并且被发送到服务器104。
可选地,在其中使用Diffie-Hellman密钥交换的实施例中,在块334中,安全引擎110使用在块320中从服务器104接收的Diffie-Hellman全局值来生成私有Diffie-Hellman客户端密钥和公共Diffie-Hellman客户端密钥。私有Diffie-Hellman客户端密钥可以被体现为由安全引擎110生成的随机值,而公共Diffie-Hellman客户端密钥可以由安全引擎110使用从服务器104接收的Diffie-Hellman全局值来生成。私有Diffie-Hellman客户端密钥可以被存储在安全引擎110的安全存储器114中。当然,在一些实施例中,客户端设备102可以在块334中生成Diffie-Hellman全局值并且在块328中将这样的全局值发送到服务器104,以便允许服务器104基于此来生成公共Diffie-Hellman服务器密钥。不管怎样,在块336中,SOC 112的安全引擎110使用安全密钥150或者安全引擎110的其它私有客户端密钥110来在块336中签名公共Diffie-Hellman客户端密钥(以及如果由客户端设备102生成,Diffie-Hellman全局值)。在块328中,被签名的Diffie-Hellman参数可以使用公共服务器密钥被进一步加密并且被发送到服务器104。
在一些实施例中,在块338中,客户端安全通信应用304可以向服务器安全通信应用306发送客户端证书验证消息。为了这样做,在块340中,安全引擎110基于先前的信息生成哈希代码并且使用安全引擎110的安全密钥150来签名该哈希代码。在块338中,客户端设备102将被签名的哈希代码发送到服务器104,作为先前消息的验证。应当意识到的是,这样的客户端证书验证消息可以随后用于从客户端设备102发送到服务器104的任何消息,以便向安全通信会话提供安全的附加级别和验证。在块338中,客户端证书验证消息完成客户端身份认证和说明性握手会话的密钥交换阶段(第3阶段)。
在块342中,客户端安全通信应用304向服务器安全通信应用306发送更改密码说明消息,以便通知服务器104随后的通信将使用商定的密码(例如,所生成的会话密钥)。在块344中,客户端设备102的安全引擎110生成会话密钥(即,“主”密钥)。在其中使用RSA密钥交换的实施例中,安全引擎110根据在块330中生成的预主密钥来生成会话密钥。为了这样做,安全引擎110计算预主密钥、在块312中生成的客户端随机的临时随机数以及在块314中接收的服务器随机的临时随机数的哈希函数。可选地,在其中使用Diffie-Hellman密钥交换的实施例中,安全引擎110根据Diffie-Hellman全局值、公共Diffie-Hellman服务器密钥和私有Diffie-Hellman客户端密钥生成会话密钥。如上面讨论的,所述会话密钥被存储在安全引擎110的安全存储器114中。
在块346中,安全引擎110生成会话密钥的哈希代码,这取决于所使用的哈希函数的类型而可以包括附加的填充。在块348中,会话密钥的哈希代码被发送到服务器104用于在客户端完成消息中进行验证。会话密钥的哈希代码可以由安全引擎110使用如上面讨论的公共服务器密钥进行加密。
在块350中,对客户端完成消息做出响应,服务器104发送确认使用商定的密码(例如,会话密钥)的改变密码规范消息。在块352中,服务器104也发送服务器完成消息,该服务器完成消息包括与所述会话密钥类似的哈希代码,用于由客户端设备102进行验证。假设客户端设备102和服务器104验证会话密钥的哈希代码,则握手会话完成并且客户端设备102和服务器104的每一个具有用于加密和解密随后的消息的共享秘密会话密钥。再次,应当意识到的是,客户端设备102的SOC 112的安全引擎110用于所有密码功能以及敏感密钥数据的存储,以便提供在通信序列300期间使用的密码密钥和证书密钥的基于硬件的保护。
现在参照图4,在使用中,客户端设备102可以执行方法400,以便与服务器104建立安全通信会话。方法400开始于块402,其中提供客户端设备102的SOC 112的安全引擎110。为了这样做,在一个实施例中,安全引擎110接收客户端设备证书、私有客户端设备密钥和公共证书密钥。所述客户端设备证书、私有客户端设备密钥和公共证书密钥典型地由证书权威机构生成,如上面讨论的,该证书权威机构用作客户端设备102的认证的第三方证实者。所述客户端设备证书可以包括由证书权威机构分配给客户端设备102的唯一的设备标识符或号码,以便验证客户端设备102到网络106上的其它设备。如下面更加详细讨论的,私有客户端设备密钥可以由客户端设备102用于签署客户端设备证书,以便认证该客户端设备102到其它设备。相反,公共证书密钥可以由客户端设备102使用以便由证书权威机构验证网络106上其它设备的证书。
安全引擎110使用安全密钥150加密私有客户端设备密钥,并且将被加密的私有客户端设备密钥存储在安全存储器114中。安全引擎110还可以将客户端设备证书和/或公共证书密钥存储在安全存储器114中。此外,在一些实施例中,安全引擎110可以使用存储在安全引擎110中的安全密钥150来加密客户端设备证书和/或公共证书密钥。
在块402中提供安全引擎110之后,在块404中,客户端设备102确定是否要与服务器104建立安全通信会话(例如,SSL会话)。如果为是,则在块406中,安全引擎110生成随机的临时随机数值。如上面讨论的,安全引擎110可以使用任何合适的随机数生成算法来生成该随机的临时随机数。在块408中,客户端设备102发送请求(ClientHello消息)来发起到服务器104的安全通信会话。该请求包括在块406中生成的随机的临时随机数,连同服务器104可以从中进行选择的密码协议、压缩方法和/或其它密码选择的列表。
在块410中,客户端设备102完成服务器认证和服务器密钥交换。在这样做时,客户端设备102可以接收相对应的ServerHello消息,其包括服务器随机的临时随机数、服务器104公钥以及在ClientHello消息中呈现的密码选择的服务器104的选择。如上面讨论的,服务器随机的临时随机数连同客户端随机的临时随机数用于生成会话密钥。这样,安全引擎110可以在安全存储器114中存储服务器随机的临时随机数。此外,在一些实施例中,安全引擎110可以在安全存储器114中存储服务器证书和/或其它密钥数据。例如,在其中使用RSA密钥交换的实施例中,安全引擎110可以在安全存储器114中存储从服务器接收的公共RSA密钥。可选地,在其中使用Diffie-Hellman密钥交换的实施例中,安全引擎110可以在安全存储器114中存储Diffie-Hellman全局值和/或公共DiffieHellman服务器密钥。
在块414中,客户端104确定服务器104是否被成功认证。如果为否,则方法400循环回到块404,其中客户端设备102可以重新尝试与服务器104建立安全通信会话。
然而,如果服务器104被成功认证,则方法400前进到块416,其中客户端设备102发送客户端证书给服务器104。如果客户端证书已被加密(例如,使用安全密钥150),则安全引擎110解密客户端证书并且使用私有客户端设备密钥来签名客户端证书。
在块418中,客户端104使用安全引擎110来完成客户端密钥交换以便维持密钥函数的安全。例如,如果选择了RSA密钥交换,则在块420中,安全引擎110生成预主密钥,并且使用在块410中接收的服务器公共密钥来加密该预主密钥,这在将被加密的预主密钥发送到服务器104之前进行。可选地,如果选择了Diffie-Hellman密钥交换,则在块410中,安全引擎110使用从服务器104接收的Diffie-Hellman全球值来生成公共和私有Diffie-Hellman客户端密钥。安全引擎110可以使用安全密钥150或者在块402中设置的公共客户端设备密钥来签名公共Diffie-Hellman客户端密钥。在块422中,客户端设备102将被签名的公共Diffie-Hellman客户端密钥发送到服务器104。在客户端密钥交换期间生成的密钥和相关的密钥数据可以在加密状态(使用安全密钥150)或未加密的状态下被存储在安全存储器114中。
在块424中,客户端设备102确定客户端设备102是否已经由服务器104成功认证。如果为否,则方法400循环回到块404,其中客户端设备102可以重新尝试与服务器104建立安全通信会话。然而,如果客户端设备102被成功认证,则方法400前进到块426,其中客户端设备102通过通知服务器104随后的消息将使用商定的密码协议来确认与服务器104的密码套件。在这样做时,安全引擎110可以生成主密钥或会话密钥。为了这样做,在其中使用RSA密钥交换的实施例中,安全引擎110计算预主密钥、在块406中生成的客户端随机的临时随机数以及在块410中接收的服务器随机的临时随机数的哈希函数。可选地,在其中使用Diffie-Hellman密钥交换的实施例中,安全引擎110根据Diffie-Hellman全局值、公共Diffie-Hellman服务器密钥和私有Diffie-Hellman客户端密钥来生成会话密钥。一旦被生成,SOC112的安全性引擎110就可以将所述会话密钥存储在安全引擎110的安全存储器114中。在一些实施例中,在会话密钥存储在安全存储器114中时,可以使用安全密钥150对其进行加密。
在块428中,安全引擎110生成会话密钥的哈希函数,所述会话密钥被发送到服务器104用于在客户端完成消息中进行验证。再次,如上面讨论的,会话密钥的哈希代码可以通过安全引擎110使用公共服务器密钥进行加密。作为响应,服务器104确认与客户端设备102的密码套件以便确认商定的密码(例如,会话密钥)。服务器104还发送包括会话密钥的类似哈希代码的服务器完成消息,用于由客户端设备102进行验证。假设客户端设备102和服务器104验证会话密钥的哈希代码,则握手会话完成并且客户端设备102和服务器104的每一个具有用于加密和解密随后消息的共享秘密会话密钥。
尽管在附图和前面的描述中详细说明和描述了本公开,但是这样的说明和描述应当被认为在本质上是示例性的而非限制性的,可以理解,仅示出和描述了示例性实施例,并且请求保护与本公开和所述权利要求一致的所有修改和变型。
Claims (47)
1.一种片上系统装置,包括:
片上系统,包括安全引擎,所述安全引擎具有仅能够由所述安全引擎访问的安全存储器,所述安全引擎用于:
生成随机的临时随机数,用于使用所述临时随机数发起对于通过网络与服务器的安全通信会话的请求;
执行与所述服务器的密码密钥交换,以便生成对称会话密钥来在所述安全通信会话期间对发送到所述服务器的消息进行加密并且对从所述服务器接收的消息进行解密;
将所述会话密钥存储在所述安全存储器中,
所述片上系统用于使用所述会话密钥建立通过所述网络与所述服务器的所述安全通信会话。
2.根据权利要求1所述的片上系统装置,其中,所述片上系统用于使用所述会话密钥建立通过所述网络与所述服务器的安全套接字层通信会话。
3.根据权利要求1所述的片上系统装置,其中,所述安全引擎用于对所述对于所述安全通信会话的请求做出响应,从所述服务器接收服务器临时随机数,响应消息包括服务器临时随机数,并且将所述服务器临时随机数存储在所述安全存储器中。
4.根据权利要求1所述的片上系统装置,其中,所述安全引擎用于从所述服务器接收服务器证书并且将所述服务器证书存储在所述安全存储器中。
5.根据权利要求1所述的片上系统装置,其中,所述安全引擎用于执行与所述服务器的Rivest-Shamir-Adleman密钥交换,以便生成所述对称会话密钥。
6.根据权利要求5所述的片上系统装置,其中,所述安全引擎用于生成预主密钥,使用所述安全引擎的安全密钥对所述预主密钥进行加密,并且将被加密的预主密钥发送到所述服务器。
7.根据权利要求6所述的片上系统装置,其中,所述安全引擎用于使用服务器公共密钥包裹所述预主密钥并且将被包裹的预主密钥存储在安全存储设备中。
8.根据权利要求6所述的片上系统装置,其中,所述安全引擎用于根据所述预主密钥来生成所述会话密钥。
9.根据权利要求8所述的片上系统装置,其中,所述安全引擎用于根据由所述安全引擎生成的所述随机的临时随机数以及从所述服务器接收的临时随机数来计算哈希函数。
10.根据权利要求5所述的片上系统装置,其中,所述安全引擎用于从所述服务器接收公共Rivest-Shamir-Adleman服务器密钥,并且将所述公共Rivest-Shamir-Adleman服务器密钥存储在所述安全存储器中。
11.根据权利要求1所述的片上系统装置,其中,所述安全引擎用于执行与所述服务器的Diffie-Hellman密钥交换,以便生成所述对称会话密钥。
12.根据权利要求11所述的片上系统装置,其中,所述安全引擎用于生成公共Diffie-Hellman客户端密钥和私有Diffie-Hellman客户端密钥,使用所述安全引擎的安全密钥来对所述公共Diffie-Hellman客户端密钥进行签名,并且将被签名的公共Diffie-Hellman密钥发送到所述服务器。
13.根据权利要求12所述的片上系统装置,其中,所述安全引擎用于从所述服务器接收公共Diffie-Hellman服务器密钥并且根据所述私有Diffie-Hellman客户端密钥和所述公共Diffie-Hellman服务器密钥来生成所述会话密钥。
14.根据权利要求13所述的片上系统装置,其中,所述安全引擎用于使用所述会话密钥来对从所述客户端设备发送到所述服务器的随后消息进行加密。
15.根据权利要求11所述的片上系统装置,其中,所述安全引擎用于从所述服务器接收Diffie-Hellman全局值和公共Diffie-Hellman服务器密钥,并且将所述Diffie-Hellman全局值和所述公共Diffie-Hellman服务器密钥中的至少一个存储在安全存储设备中。
16.一种方法,包括:
在客户端设备的片上系统的安全引擎中生成随机的临时随机数;
使用所述客户端设备发起对于通过网络与服务器的安全通信会话的请求,所述请求包括所述随机的临时随机数;
使用所述片上系统的所述安全引擎执行与所述服务器的密码密钥交换,以便生成对称会话密钥来在所述安全通信会话期间对发送到所述服务器的消息进行加密并且对从所述服务器接收的消息进行解密;
将所述会话密钥存储在所述片上系统的所述安全引擎的安全存储器中;并且
使用所述客户端设备,使用所述会话密钥来建立与所述服务器的所述安全通信会话。
17.根据权利要求16所述的方法,其中,发起对于安全通信会话的请求包括发起对于安全套接字层通信会话的请求。
18.根据权利要求16所述的方法,进一步包括:
对所述对于安全通信会话的请求做出响应,从所述服务器接收响应消息,所述响应消息包括服务器临时随机数,并且
将所述服务器临时随机数存储在所述片上系统的所述安全引擎的所述安全存储器中。
19.根据权利要求16所述的方法,其中,发起对于安全通信会话的请求包括将包括所述临时随机数的ClientHello消息发送到所述服务器;并且进一步包括:
从所述服务器接收ServerHello消息,所述ServerHello消息包括服务器临时随机数;并且
将所述服务器临时随机数存储在所述片上系统的所述安全引擎的所述安全存储器中。
20.根据权利要求16所述的方法,进一步包括从所述服务器接收服务器证书并且将所述服务器证书存储在所述客户端设备的所述片上系统的所述安全引擎的所述安全存储器中。
21.根据权利要求16所述的方法,其中,执行与所述服务器的所述密码密钥交换包括使用所述片上系统的所述安全引擎执行与所述服务器的Rivest-Shamir-Adleman密钥交换。
22.根据权利要求21所述的方法,其中,执行与所述服务器的Rivest-Shamir-Adleman密钥交换包括:
在所述安全引擎中生成预主密钥;
使用所述安全引擎的安全密钥来对所述预主密钥进行加密;并且
将被加密的预主密钥发送到所述服务器。
23.根据权利要求22所述的方法,进一步包括:
使用服务器公共密钥将所述预主密钥包裹在所述片上系统的所述安全引擎中,并且
将被包裹的预主密钥存储在所述片上系统的所述安全引擎的安全存储设备中。
24.根据权利要求22所述的方法,其中,执行与所述服务器的Rivest-Shamir-Adleman密钥交换包括:根据所述预主密钥在所述片上系统的所述安全引擎中生成所述会话密钥。
25.根据权利要求24所述的方法,其中,在所述安全引擎中生成所述会话密钥包括:使用所述片上系统的所述安全引擎,根据由所述安全引擎生成的所述随机的临时随机数以及从所述服务器接收的临时随机数来计算哈希函数。
26.根据权利要求21所述的方法,其中,执行与所述服务器的Rivest-Shamir-Adleman密钥交换包括:
从所述服务器接收公共Rivest-Shamir-Adleman服务器密钥;并且
将所述公共Rivest-Shamir-Adleman服务器密钥存储在所述片上系统的所述安全引擎的所述安全存储器中。
27.根据权利要求16所述的方法,其中,执行与所述服务器的所述密码密钥交换包括:使用所述片上系统的所述安全引擎执行与所述服务器的Diffie-Hellman密钥交换。
28.根据权利要求27所述的方法,其中,执行与所述服务器的Diffie-Hellman密钥交换包括:
在所述片上系统的所述安全引擎中生成公共Diffie-Hellman客户端密钥和私有Diffie-Hellman客户端密钥;
使用所述片上系统的所述安全引擎的安全密钥来对所述公共Diffie-Hellman客户端密钥进行签名;并且
将被签名的公共Diffie-Hellman密钥发送到所述服务器。
29.根据权利要求28所述的方法,其中,执行与所述服务器的Diffie-Hellman密钥交换包括:
从所述服务器接收公共Diffie-Hellman服务器密钥;
在所述片上系统的所述安全引擎中,根据所述私有Diffie-Hellman客户端密钥和所述公共Diffie-Hellman服务器密钥生成所述会话密钥。
30.根据权利要求29所述的方法,其中,执行与所述服务器的Diffie-Hellman密钥交换包括:使用所述会话密钥来对从所述客户端设备发送到所述服务器的随后消息进行加密。
31.根据权利要求27所述的方法,其中,执行与所述服务器的Diffie-Hellman密钥交换包括:
从所述服务器接收Diffie-Hellman全局值和公共Diffie-Hellman服务器密钥;并且
将所述Diffie-Hellman全局值和所述公共Diffie-Hellman服务器密钥中的至少一个存储在所述片上系统的所述安全引擎的安全存储设备中。
32.根据权利要求16所述的方法,进一步包括:
取回被存储在所述客户端设备上的客户端证书;
使用被存储在所述片上系统的所述安全引擎的安全存储器中的安全密钥对客户端证书进行签名;并且
将所述客户端证书发送到所述服务器。
33.如权利要求16所述的方法,进一步包括:
在所述片上系统的所述安全引擎中生成从所述客户端发送到所述服务器的先前消息的哈希代码;
使用被存储在所述安全引擎的安全存储器中的安全密钥对所述哈希代码进行签名;并且
向所述服务器发送客户端证书验证消息,所述客户端证书验证消息包括被签名的哈希代码。
34.如权利要求16所述的方法,其中,建立所述安全通信会话包括:
在所述安全引擎中根据所述会话密钥生成哈希代码;并且
向所述服务器发送包括所述哈希代码的客户端完成消息,以便指示所述客户端已经完成初始握手程序。
35.一种源设备,包括:
片上系统,具有安全引擎,所述片上系统包括多个指令,当被执行时,所述指令使所述片上系统执行根据权利要求16-34所述的方法。
36.一个或多个机器可读介质,包括多个指令,对由客户端设备执行做出响应,所述指令使所述客户端设备执行根据权利要求16-34所述的方法。
37.一种方法,包括:
在客户端设备的片上系统的安全引擎中生成随机的临时随机数;
使用所述客户端设备发起对于通过网络与服务器的安全套接字层通信会话的请求,所述请求包括所述随机的临时随机数;
使用所述片上系统的所述安全引擎来执行与所述服务器的密码密钥交换,以便生成对称会话密钥来在所述安全套接字层通信会话期间对发送到所述服务器的消息进行加密并且对从所述服务器接收的消息进行解密;
将所述会话密钥存储在所述片上系统的所述安全引擎的安全存储器中;并且
在所述安全引擎中根据所述会话密钥生成哈希代码;并且
向所述服务器发送包括所述哈希代码的客户端完成消息,以便指示所述客户端已经完成初始握手程序。
38.根据权利要求37所述的方法,其中,执行与所述服务器的所述密码密钥交换包括:使用所述片上系统的所述安全引擎执行与所述服务器的Rivest-Shamir-Adleman密钥交换。
39.根据权利要求38所述的方法,其中,执行与所述服务器的Rivest-Shamir-Adleman密钥交换包括:
在所述安全引擎中生成预主密钥;
使用所述安全引擎的安全密钥对所述预主密钥进行加密;并且
将被加密的预主密钥发送到所述服务器。
40.根据权利要求39所述的方法,进一步包括:
使用服务器公共密钥来将预主密钥包裹在所述安全引擎中,并且
将被包裹的预主密钥存储在所述片上系统的所述安全引擎的安全存储设备中。
41.根据权利要求39所述的方法,其中,执行与所述服务器的Rivest-Shamir-Adleman密钥交换包括:在所述片上系统的所述安全引擎中根据所述预主密钥生成所述会话密钥。
42.根据权利要求41所述的方法,其中,在所述安全引擎中生成所述会话密钥包括:使用所述片上系统的所述安全引擎,根据由所述安全引擎生成的所述随机的临时随机数以及从所述服务器接收的临时随机数来计算哈希函数。
43.根据权利要求37所述的方法,其中,执行与所述服务器的所述密码密钥交换包括:使用所述片上系统的所述安全引擎执行与所述服务器的Diffie-Hellman密钥交换。
44.根据权利要求43所述的方法,其中,执行与所述服务器的Diffie-Hellman密钥交换包括:
在所述片上系统的所述安全引擎中,生成公共Diffie-Hellman客户端密钥和私有Diffie-Hellman客户端密钥;
使用所述片上系统的所述安全引擎的安全密钥对所述公共Diffie-Hellman客户端密钥进行签名;并且
将被签名的公共Diffie-Hellman密钥发送到所述服务器。
45.根据权利要求44所述的方法,其中,执行与所述服务器的Diffie-Hellman密钥交换包括:
从所述服务器接收公共Diffie-Hellman服务器密钥;
在所述片上系统的所述安全引擎中,根据所述私有Diffie-Hellman客户端密钥和所述公共Diffie-Hellman服务器密钥生成所述会话密钥。
46.一种源设备,包括:
具有安全引擎的片上系统,所述片上系统包括多个指令,当被执行时,所述指令使所述片上系统执行根据权利要求37-45所述的方法。
47.一个或多个机器可读介质,包括多个指令,对由客户端设备执行做出响应,所述指令使所述客户端设备执行根据权利要求37-45所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2011/065069 WO2013089725A1 (en) | 2011-12-15 | 2011-12-15 | Method and device for secure communications over a network using a hardware security engine |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104170312A true CN104170312A (zh) | 2014-11-26 |
CN104170312B CN104170312B (zh) | 2018-05-22 |
Family
ID=48613009
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180075550.4A Active CN104170312B (zh) | 2011-12-15 | 2011-12-15 | 用于使用硬件安全引擎通过网络进行安全通信的方法和设备 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9887838B2 (zh) |
EP (4) | EP2792100B1 (zh) |
CN (1) | CN104170312B (zh) |
PL (1) | PL2792100T3 (zh) |
TW (1) | TWI600307B (zh) |
WO (1) | WO2013089725A1 (zh) |
Cited By (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105119894A (zh) * | 2015-07-16 | 2015-12-02 | 上海慧银信息科技有限公司 | 基于硬件安全模块的通信系统及通信方法 |
CN105991569A (zh) * | 2015-02-09 | 2016-10-05 | 中国科学院信息工程研究所 | 一种tls通讯数据安全传输方法 |
CN106161363A (zh) * | 2015-04-03 | 2016-11-23 | 上海庆科信息技术有限公司 | 一种ssl连接建立的方法及系统 |
CN106330529A (zh) * | 2015-07-02 | 2017-01-11 | Gn瑞声达 A/S | 具有通信日志记录的听力设备和相关方法 |
CN107851162A (zh) * | 2015-07-20 | 2018-03-27 | 英特尔公司 | 用于对安全i/o的密码引擎进行安全编程的技术 |
CN108259171A (zh) * | 2018-01-12 | 2018-07-06 | 武汉斗鱼网络科技有限公司 | Shader文件的保护方法及装置 |
CN109076078A (zh) * | 2016-02-22 | 2018-12-21 | 大陆汽车系统公司 | 用以建立和更新用于安全的车载网络通信的密钥的方法 |
CN109508549A (zh) * | 2018-09-19 | 2019-03-22 | 捷德(中国)信息科技有限公司 | 数据处理方法、装置、设备及存储介质 |
CN110024324A (zh) * | 2016-09-23 | 2019-07-16 | 苹果公司 | 网络通信业务的安全传送 |
CN110036597A (zh) * | 2016-12-09 | 2019-07-19 | 微软技术许可有限责任公司 | 用于由不可信代码使用的安全分布私有密钥 |
CN110383280A (zh) * | 2017-03-08 | 2019-10-25 | Abb瑞士股份有限公司 | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 |
CN110380868A (zh) * | 2019-08-22 | 2019-10-25 | 广东浪潮大数据研究有限公司 | 一种通信方法、装置及通信系统和存储介质 |
CN110446203A (zh) * | 2018-05-03 | 2019-11-12 | 霍尼韦尔国际公司 | 用于基于安全订阅的交通工具数据服务的系统和方法 |
CN110999248A (zh) * | 2017-07-28 | 2020-04-10 | 阿里巴巴集团控股有限公司 | 使用片上系统(SoC)体系结构的安全通信加速 |
CN111869249A (zh) * | 2018-03-08 | 2020-10-30 | 赛普拉斯半导体公司 | 针对中间人攻击的安全ble just works配对方法 |
CN111859472A (zh) * | 2014-12-19 | 2020-10-30 | 英特尔公司 | 用于片上系统平台的安全插件 |
CN112262547A (zh) * | 2019-01-04 | 2021-01-22 | 百度时代网络技术(北京)有限公司 | 具有安全单元以提供根信任服务的数据处理加速器 |
CN112368701A (zh) * | 2018-05-11 | 2021-02-12 | 美国莱迪思半导体公司 | 用于可编程逻辑器件的密钥供应系统和方法 |
CN112400294A (zh) * | 2018-06-19 | 2021-02-23 | 赛普拉斯半导体公司 | 来自非易失性存储器装置内的安全通信 |
CN112534790A (zh) * | 2018-06-08 | 2021-03-19 | 兰克森控股公司 | 在通信网络中交换加密数据的加密装置、通信系统和方法 |
CN113572767A (zh) * | 2018-05-03 | 2021-10-29 | 霍尼韦尔国际公司 | 用于加密交通工具数据服务交换的系统和方法 |
CN113572596A (zh) * | 2020-04-10 | 2021-10-29 | 汽车科睿特股份有限责任公司 | 通信系统中的蝴蝶密钥扩展方法 |
CN113890727A (zh) * | 2015-12-11 | 2022-01-04 | 亚马逊科技有限公司 | 通过部分可信的第三方进行的密钥交换 |
CN113923052A (zh) * | 2015-07-03 | 2022-01-11 | 阿费罗有限公司 | 用于在物联网(IoT)系统中建立安全通信信道的设备和方法 |
CN114008976A (zh) * | 2019-06-19 | 2022-02-01 | 亚马逊技术有限公司 | 用于双壳加密的混合密钥交换 |
Families Citing this family (107)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9456054B2 (en) | 2008-05-16 | 2016-09-27 | Palo Alto Research Center Incorporated | Controlling the spread of interests and content in a content centric network |
US8923293B2 (en) | 2009-10-21 | 2014-12-30 | Palo Alto Research Center Incorporated | Adaptive multi-interface use for content networking |
US9015469B2 (en) | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
WO2013089728A1 (en) | 2011-12-15 | 2013-06-20 | Intel Corporation | Method, device, and system for securely sharing media content from a source device |
EP2792100B1 (en) | 2011-12-15 | 2020-07-29 | Intel Corporation | Method and device for secure communications over a network using a hardware security engine |
US8856515B2 (en) | 2012-11-08 | 2014-10-07 | Intel Corporation | Implementation of robust and secure content protection in a system-on-a-chip apparatus |
US8782774B1 (en) * | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
US9514288B2 (en) * | 2013-08-22 | 2016-12-06 | Rakuten, Inc. | Information processing device, information processing method, program and storage medium |
RO130142A2 (ro) * | 2013-08-28 | 2015-03-30 | Ixia, A California Corporation | Metode, sisteme şi suport care poate fi citit pe calculator pentru utilizarea cheilor de criptare predeterminate într-un mediu de simulare a testării |
US10098051B2 (en) | 2014-01-22 | 2018-10-09 | Cisco Technology, Inc. | Gateways and routing in software-defined manets |
US9531679B2 (en) * | 2014-02-06 | 2016-12-27 | Palo Alto Research Center Incorporated | Content-based transport security for distributed producers |
US9954678B2 (en) | 2014-02-06 | 2018-04-24 | Cisco Technology, Inc. | Content-based transport security |
US9836540B2 (en) | 2014-03-04 | 2017-12-05 | Cisco Technology, Inc. | System and method for direct storage access in a content-centric network |
US9626413B2 (en) | 2014-03-10 | 2017-04-18 | Cisco Systems, Inc. | System and method for ranking content popularity in a content-centric network |
US9716622B2 (en) | 2014-04-01 | 2017-07-25 | Cisco Technology, Inc. | System and method for dynamic name configuration in content-centric networks |
US9473576B2 (en) | 2014-04-07 | 2016-10-18 | Palo Alto Research Center Incorporated | Service discovery using collection synchronization with exact names |
US8966267B1 (en) | 2014-04-08 | 2015-02-24 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
US8996873B1 (en) | 2014-04-08 | 2015-03-31 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
US9912771B2 (en) * | 2014-04-14 | 2018-03-06 | Arris Enterprises Llc | Real time key collection in device provisioning |
US9992281B2 (en) | 2014-05-01 | 2018-06-05 | Cisco Technology, Inc. | Accountable content stores for information centric networks |
US9609014B2 (en) | 2014-05-22 | 2017-03-28 | Cisco Systems, Inc. | Method and apparatus for preventing insertion of malicious content at a named data network router |
US9699198B2 (en) | 2014-07-07 | 2017-07-04 | Cisco Technology, Inc. | System and method for parallel secure content bootstrapping in content-centric networks |
US9621354B2 (en) | 2014-07-17 | 2017-04-11 | Cisco Systems, Inc. | Reconstructable content objects |
US9590887B2 (en) | 2014-07-18 | 2017-03-07 | Cisco Systems, Inc. | Method and system for keeping interest alive in a content centric network |
US9729616B2 (en) | 2014-07-18 | 2017-08-08 | Cisco Technology, Inc. | Reputation-based strategy for forwarding and responding to interests over a content centric network |
US9882964B2 (en) | 2014-08-08 | 2018-01-30 | Cisco Technology, Inc. | Explicit strategy feedback in name-based forwarding |
US9729662B2 (en) | 2014-08-11 | 2017-08-08 | Cisco Technology, Inc. | Probabilistic lazy-forwarding technique without validation in a content centric network |
US9800637B2 (en) | 2014-08-19 | 2017-10-24 | Cisco Technology, Inc. | System and method for all-in-one content stream in content-centric networks |
US10069933B2 (en) | 2014-10-23 | 2018-09-04 | Cisco Technology, Inc. | System and method for creating virtual interfaces based on network characteristics |
US9590948B2 (en) | 2014-12-15 | 2017-03-07 | Cisco Systems, Inc. | CCN routing using hardware-assisted hash tables |
US10063594B2 (en) * | 2014-12-16 | 2018-08-28 | OPSWAT, Inc. | Network access control with compliance policy check |
US10237189B2 (en) | 2014-12-16 | 2019-03-19 | Cisco Technology, Inc. | System and method for distance-based interest forwarding |
US10003520B2 (en) | 2014-12-22 | 2018-06-19 | Cisco Technology, Inc. | System and method for efficient name-based content routing using link-state information in information-centric networks |
US9660825B2 (en) | 2014-12-24 | 2017-05-23 | Cisco Technology, Inc. | System and method for multi-source multicasting in content-centric networks |
US9946743B2 (en) | 2015-01-12 | 2018-04-17 | Cisco Technology, Inc. | Order encoded manifests in a content centric network |
US9916457B2 (en) | 2015-01-12 | 2018-03-13 | Cisco Technology, Inc. | Decoupled name security binding for CCN objects |
US9954795B2 (en) | 2015-01-12 | 2018-04-24 | Cisco Technology, Inc. | Resource allocation using CCN manifests |
US9832291B2 (en) | 2015-01-12 | 2017-11-28 | Cisco Technology, Inc. | Auto-configurable transport stack |
US10333840B2 (en) | 2015-02-06 | 2019-06-25 | Cisco Technology, Inc. | System and method for on-demand content exchange with adaptive naming in information-centric networks |
US10075401B2 (en) | 2015-03-18 | 2018-09-11 | Cisco Technology, Inc. | Pending interest table behavior |
US10623382B2 (en) * | 2015-06-22 | 2020-04-14 | Cyphre Security Solutions, Llc | Creating and utilizing black keys for the transport layer security (TLS) handshake protocol and method therefor |
US10075402B2 (en) | 2015-06-24 | 2018-09-11 | Cisco Technology, Inc. | Flexible command and control in content centric networks |
US10701038B2 (en) | 2015-07-27 | 2020-06-30 | Cisco Technology, Inc. | Content negotiation in a content centric network |
US9986034B2 (en) | 2015-08-03 | 2018-05-29 | Cisco Technology, Inc. | Transferring state in content centric network stacks |
CN106454528A (zh) * | 2015-08-07 | 2017-02-22 | 阿里巴巴集团控股有限公司 | 基于可信执行环境的业务处理方法和客户端 |
CN106487749B (zh) * | 2015-08-26 | 2021-02-19 | 阿里巴巴集团控股有限公司 | 密钥生成方法及装置 |
CN108292992A (zh) * | 2015-09-04 | 2018-07-17 | 慧与发展有限责任合伙企业 | 利用密钥和推导参数进行密码生成 |
US9832123B2 (en) | 2015-09-11 | 2017-11-28 | Cisco Technology, Inc. | Network named fragments in a content centric network |
US10355999B2 (en) | 2015-09-23 | 2019-07-16 | Cisco Technology, Inc. | Flow control with network named fragments |
US10313227B2 (en) | 2015-09-24 | 2019-06-04 | Cisco Technology, Inc. | System and method for eliminating undetected interest looping in information-centric networks |
US9977809B2 (en) | 2015-09-24 | 2018-05-22 | Cisco Technology, Inc. | Information and data framework in a content centric network |
US10454820B2 (en) | 2015-09-29 | 2019-10-22 | Cisco Technology, Inc. | System and method for stateless information-centric networking |
US10263965B2 (en) | 2015-10-16 | 2019-04-16 | Cisco Technology, Inc. | Encrypted CCNx |
US10193694B1 (en) * | 2015-10-26 | 2019-01-29 | Marvell International Ltd. | Method and apparatus for securely configuring parameters of a system-on-a-chip (SOC) |
US9794238B2 (en) | 2015-10-29 | 2017-10-17 | Cisco Technology, Inc. | System for key exchange in a content centric network |
US10218698B2 (en) * | 2015-10-29 | 2019-02-26 | Verizon Patent And Licensing Inc. | Using a mobile device number (MDN) service in multifactor authentication |
US9807205B2 (en) | 2015-11-02 | 2017-10-31 | Cisco Technology, Inc. | Header compression for CCN messages using dictionary |
US9912776B2 (en) | 2015-12-02 | 2018-03-06 | Cisco Technology, Inc. | Explicit content deletion commands in a content centric network |
US10097346B2 (en) | 2015-12-09 | 2018-10-09 | Cisco Technology, Inc. | Key catalogs in a content centric network |
US10078062B2 (en) | 2015-12-15 | 2018-09-18 | Palo Alto Research Center Incorporated | Device health estimation by combining contextual information with sensor data |
US10257271B2 (en) | 2016-01-11 | 2019-04-09 | Cisco Technology, Inc. | Chandra-Toueg consensus in a content centric network |
US9949301B2 (en) | 2016-01-20 | 2018-04-17 | Palo Alto Research Center Incorporated | Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks |
US10305864B2 (en) | 2016-01-25 | 2019-05-28 | Cisco Technology, Inc. | Method and system for interest encryption in a content centric network |
US10043016B2 (en) | 2016-02-29 | 2018-08-07 | Cisco Technology, Inc. | Method and system for name encryption agreement in a content centric network |
US10038633B2 (en) | 2016-03-04 | 2018-07-31 | Cisco Technology, Inc. | Protocol to query for historical network information in a content centric network |
US10003507B2 (en) | 2016-03-04 | 2018-06-19 | Cisco Technology, Inc. | Transport session state protocol |
US10051071B2 (en) | 2016-03-04 | 2018-08-14 | Cisco Technology, Inc. | Method and system for collecting historical network information in a content centric network |
US10742596B2 (en) | 2016-03-04 | 2020-08-11 | Cisco Technology, Inc. | Method and system for reducing a collision probability of hash-based names using a publisher identifier |
CN105681341A (zh) * | 2016-03-08 | 2016-06-15 | 浪潮电子信息产业股份有限公司 | 一种对SSR的Tomact加密套件的安全配置方法 |
US9832116B2 (en) | 2016-03-14 | 2017-11-28 | Cisco Technology, Inc. | Adjusting entries in a forwarding information base in a content centric network |
US10212196B2 (en) | 2016-03-16 | 2019-02-19 | Cisco Technology, Inc. | Interface discovery and authentication in a name-based network |
US11436656B2 (en) | 2016-03-18 | 2022-09-06 | Palo Alto Research Center Incorporated | System and method for a real-time egocentric collaborative filter on large datasets |
US10067948B2 (en) | 2016-03-18 | 2018-09-04 | Cisco Technology, Inc. | Data deduping in content centric networking manifests |
US10091330B2 (en) | 2016-03-23 | 2018-10-02 | Cisco Technology, Inc. | Interest scheduling by an information and data framework in a content centric network |
US10033639B2 (en) | 2016-03-25 | 2018-07-24 | Cisco Technology, Inc. | System and method for routing packets in a content centric network using anonymous datagrams |
US10320760B2 (en) | 2016-04-01 | 2019-06-11 | Cisco Technology, Inc. | Method and system for mutating and caching content in a content centric network |
US9930146B2 (en) | 2016-04-04 | 2018-03-27 | Cisco Technology, Inc. | System and method for compressing content centric networking messages |
US10425503B2 (en) | 2016-04-07 | 2019-09-24 | Cisco Technology, Inc. | Shared pending interest table in a content centric network |
US10027578B2 (en) | 2016-04-11 | 2018-07-17 | Cisco Technology, Inc. | Method and system for routable prefix queries in a content centric network |
US10404450B2 (en) | 2016-05-02 | 2019-09-03 | Cisco Technology, Inc. | Schematized access control in a content centric network |
US10320675B2 (en) | 2016-05-04 | 2019-06-11 | Cisco Technology, Inc. | System and method for routing packets in a stateless content centric network |
US10547589B2 (en) | 2016-05-09 | 2020-01-28 | Cisco Technology, Inc. | System for implementing a small computer systems interface protocol over a content centric network |
US10063414B2 (en) | 2016-05-13 | 2018-08-28 | Cisco Technology, Inc. | Updating a transport stack in a content centric network |
US10084764B2 (en) | 2016-05-13 | 2018-09-25 | Cisco Technology, Inc. | System for a secure encryption proxy in a content centric network |
US10103989B2 (en) | 2016-06-13 | 2018-10-16 | Cisco Technology, Inc. | Content object return messages in a content centric network |
US10305865B2 (en) | 2016-06-21 | 2019-05-28 | Cisco Technology, Inc. | Permutation-based content encryption with manifests in a content centric network |
US10148572B2 (en) | 2016-06-27 | 2018-12-04 | Cisco Technology, Inc. | Method and system for interest groups in a content centric network |
US10009266B2 (en) | 2016-07-05 | 2018-06-26 | Cisco Technology, Inc. | Method and system for reference counted pending interest tables in a content centric network |
US9992097B2 (en) | 2016-07-11 | 2018-06-05 | Cisco Technology, Inc. | System and method for piggybacking routing information in interests in a content centric network |
US10122624B2 (en) | 2016-07-25 | 2018-11-06 | Cisco Technology, Inc. | System and method for ephemeral entries in a forwarding information base in a content centric network |
US10069729B2 (en) | 2016-08-08 | 2018-09-04 | Cisco Technology, Inc. | System and method for throttling traffic based on a forwarding information base in a content centric network |
US10956412B2 (en) | 2016-08-09 | 2021-03-23 | Cisco Technology, Inc. | Method and system for conjunctive normal form attribute matching in a content centric network |
US10033642B2 (en) | 2016-09-19 | 2018-07-24 | Cisco Technology, Inc. | System and method for making optimal routing decisions based on device-specific parameters in a content centric network |
US10212248B2 (en) | 2016-10-03 | 2019-02-19 | Cisco Technology, Inc. | Cache management on high availability routers in a content centric network |
US10447805B2 (en) | 2016-10-10 | 2019-10-15 | Cisco Technology, Inc. | Distributed consensus in a content centric network |
US10135948B2 (en) | 2016-10-31 | 2018-11-20 | Cisco Technology, Inc. | System and method for process migration in a content centric network |
US10243851B2 (en) | 2016-11-21 | 2019-03-26 | Cisco Technology, Inc. | System and method for forwarder connection information in a content centric network |
US20180183581A1 (en) * | 2016-12-28 | 2018-06-28 | Intel Corporation | Arrangements for datalink security |
US10666430B2 (en) * | 2017-09-29 | 2020-05-26 | Intel Corporation | System and techniques for encrypting chip-to-chip communication links |
CN108055132B (zh) | 2017-11-16 | 2020-04-28 | 阿里巴巴集团控股有限公司 | 一种业务授权的方法、装置及设备 |
US10630467B1 (en) * | 2019-01-04 | 2020-04-21 | Blue Ridge Networks, Inc. | Methods and apparatus for quantum-resistant network communication |
KR20200089562A (ko) * | 2019-01-17 | 2020-07-27 | 삼성전자주식회사 | 공유된 키를 등록하기 위한 방법 및 장치 |
US20210056053A1 (en) * | 2019-08-19 | 2021-02-25 | Cryptography Research, Inc. | Application authentication and data encryption without stored pre-shared keys |
US11809611B2 (en) * | 2020-02-24 | 2023-11-07 | Microsoft Technology Licensing, Llc | Protecting device detachment with bus encryption |
US10903990B1 (en) | 2020-03-11 | 2021-01-26 | Cloudflare, Inc. | Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint |
US11936691B2 (en) * | 2020-06-05 | 2024-03-19 | Queen's University At Kingston | Secure cloud communication architecture |
US11741227B2 (en) * | 2021-06-22 | 2023-08-29 | Intel Corporation | Platform security mechanism |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000002358A1 (en) * | 1998-07-03 | 2000-01-13 | Nokia Mobile Phones Limited | Secure session set up based on the wireless application protocol |
US20050213766A1 (en) * | 2004-03-23 | 2005-09-29 | Texas Instruments Incorporated | Hybrid cryptographic accelerator and method of operation thereof |
US20060041938A1 (en) * | 2004-08-20 | 2006-02-23 | Axalto Inc. | Method of supporting SSL/TLS protocols in a resource-constrained device |
CN1926837A (zh) * | 2004-03-24 | 2007-03-07 | 英特尔公司 | 在网络域中与网络端点上的嵌入式代理共享密钥的方法、装置和计算机程序 |
CN101251879A (zh) * | 2006-12-29 | 2008-08-27 | 英特尔公司 | 用于保护数据的方法和装置 |
US7966646B2 (en) * | 2006-07-31 | 2011-06-21 | Aruba Networks, Inc. | Stateless cryptographic protocol-based hardware acceleration |
CN102195878A (zh) * | 2010-03-19 | 2011-09-21 | F5网络公司 | 经由流中间重新协商的代理ssl切换 |
Family Cites Families (79)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6850252B1 (en) | 1999-10-05 | 2005-02-01 | Steven M. Hoffberg | Intelligent electronic appliance system and method |
WO1996037064A1 (de) * | 1995-05-19 | 1996-11-21 | Siemens Aktiengesellschaft | Verfahren zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit |
US5657390A (en) * | 1995-08-25 | 1997-08-12 | Netscape Communications Corporation | Secure socket layer application program apparatus and method |
US6307936B1 (en) * | 1997-09-16 | 2001-10-23 | Safenet, Inc. | Cryptographic key management scheme |
DE19757649B4 (de) * | 1997-12-15 | 2005-10-20 | Francotyp Postalia Ag | Anordnung und Verfahren zum Datenaustausch zwischen einer Frankiermaschine und Chipkarten |
US6401208B2 (en) | 1998-07-17 | 2002-06-04 | Intel Corporation | Method for BIOS authentication prior to BIOS execution |
US6324288B1 (en) | 1999-05-17 | 2001-11-27 | Intel Corporation | Cipher core in a content protection system |
US6449720B1 (en) * | 1999-05-17 | 2002-09-10 | Wave Systems Corp. | Public cryptographic control unit and system therefor |
KR100319256B1 (ko) * | 1999-12-30 | 2002-01-05 | 서평원 | 통신 프로토콜 운용 방법 |
US6948065B2 (en) | 2000-12-27 | 2005-09-20 | Intel Corporation | Platform and method for securely transmitting an authorization secret |
US7350083B2 (en) | 2000-12-29 | 2008-03-25 | Intel Corporation | Integrated circuit chip having firmware and hardware security primitive device(s) |
US20020112161A1 (en) | 2001-02-13 | 2002-08-15 | Thomas Fred C. | Method and system for software authentication in a computer system |
US7055038B2 (en) | 2001-05-07 | 2006-05-30 | Ati International Srl | Method and apparatus for maintaining secure and nonsecure data in a shared memory system |
US7162644B1 (en) * | 2002-03-29 | 2007-01-09 | Xilinx, Inc. | Methods and circuits for protecting proprietary configuration data for programmable logic devices |
US7243347B2 (en) | 2002-06-21 | 2007-07-10 | International Business Machines Corporation | Method and system for maintaining firmware versions in a data processing system |
DE60205106T2 (de) * | 2002-08-07 | 2006-05-24 | Stmicroelectronics S.R.L., Agrate Brianza | Serielle Peripherieschnittstelle und Verwaltungsverfahren dafür |
US7480384B2 (en) * | 2003-02-10 | 2009-01-20 | International Business Machines Corporation | Method for distributing and authenticating public keys using random numbers and Diffie-Hellman public keys |
US7644275B2 (en) * | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
US7444668B2 (en) | 2003-05-29 | 2008-10-28 | Freescale Semiconductor, Inc. | Method and apparatus for determining access permission |
US7289632B2 (en) | 2003-06-03 | 2007-10-30 | Broadcom Corporation | System and method for distributed security |
US20050005093A1 (en) * | 2003-07-01 | 2005-01-06 | Andrew Bartels | Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications |
US20050114687A1 (en) | 2003-11-21 | 2005-05-26 | Zimmer Vincent J. | Methods and apparatus to provide protection for firmware resources |
US7600132B1 (en) | 2003-12-19 | 2009-10-06 | Adaptec, Inc. | System and method for authentication of embedded RAID on a motherboard |
TWI240531B (en) | 2003-12-24 | 2005-09-21 | Inst Information Industry | Multitasking system level system for Hw/Sw co-verification |
CA2537299C (en) * | 2004-02-05 | 2011-03-22 | Research In Motion Limited | On-chip storage, creation, and manipulation of an encryption key |
US7802085B2 (en) | 2004-02-18 | 2010-09-21 | Intel Corporation | Apparatus and method for distributing private keys to an entity with minimal secret, unique information |
JP4420201B2 (ja) | 2004-02-27 | 2010-02-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム |
US20050289343A1 (en) * | 2004-06-23 | 2005-12-29 | Sun Microsystems, Inc. | Systems and methods for binding a hardware component and a platform |
US7747862B2 (en) | 2004-06-28 | 2010-06-29 | Intel Corporation | Method and apparatus to authenticate base and subscriber stations and secure sessions for broadband wireless networks |
US7987356B2 (en) * | 2004-11-29 | 2011-07-26 | Broadcom Corporation | Programmable security platform |
US8295484B2 (en) | 2004-12-21 | 2012-10-23 | Broadcom Corporation | System and method for securing data from a remote input device |
US20060174110A1 (en) * | 2005-01-31 | 2006-08-03 | Microsoft Corporation | Symmetric key optimizations |
US8438628B2 (en) * | 2005-08-10 | 2013-05-07 | Riverbed Technology, Inc. | Method and apparatus for split-terminating a secure network connection, with client authentication |
GB2431250A (en) * | 2005-10-11 | 2007-04-18 | Hewlett Packard Development Co | Data transfer system |
US8281136B2 (en) * | 2005-10-21 | 2012-10-02 | Novell, Inc. | Techniques for key distribution for use in encrypted communications |
JP2007160411A (ja) | 2005-12-09 | 2007-06-28 | Makita Corp | 打ち込み機の空打ち防止装置 |
US8719526B2 (en) | 2006-01-05 | 2014-05-06 | Broadcom Corporation | System and method for partitioning multiple logical memory regions with access control by a central control agent |
US8429418B2 (en) | 2006-02-15 | 2013-04-23 | Intel Corporation | Technique for providing secure firmware |
US9177176B2 (en) | 2006-02-27 | 2015-11-03 | Broadcom Corporation | Method and system for secure system-on-a-chip architecture for multimedia data processing |
US8014530B2 (en) | 2006-03-22 | 2011-09-06 | Intel Corporation | Method and apparatus for authenticated, recoverable key distribution with no database secrets |
US8205238B2 (en) | 2006-03-30 | 2012-06-19 | Intel Corporation | Platform posture and policy information exchange method and apparatus |
KR100809295B1 (ko) | 2006-04-06 | 2008-03-04 | 삼성전자주식회사 | 소프트웨어 설치를 위한 장치 및 방법 |
WO2007135619A2 (en) * | 2006-05-22 | 2007-11-29 | Nxp B.V. | Secure internet transaction method and apparatus |
US8560863B2 (en) | 2006-06-27 | 2013-10-15 | Intel Corporation | Systems and techniques for datapath security in a system-on-a-chip device |
US20080022395A1 (en) | 2006-07-07 | 2008-01-24 | Michael Holtzman | System for Controlling Information Supplied From Memory Device |
US7356671B1 (en) * | 2006-07-27 | 2008-04-08 | Vbridge Microsystem, Inc. | SoC architecture for voice and video over data network applications |
US7861289B2 (en) | 2006-09-22 | 2010-12-28 | Oracle International Corporation | Pagelets in adaptive tags in non-portal reverse proxy |
US20080148061A1 (en) | 2006-12-19 | 2008-06-19 | Hongxia Jin | Method for effective tamper resistance |
US8621540B2 (en) | 2007-01-24 | 2013-12-31 | Time Warner Cable Enterprises Llc | Apparatus and methods for provisioning in a download-enabled system |
US8296581B2 (en) * | 2007-02-05 | 2012-10-23 | Infineon Technologies Ag | Secure processor arrangement having shared memory |
KR20080084480A (ko) | 2007-03-16 | 2008-09-19 | 삼성전자주식회사 | 매개 모듈을 이용한 디바이스간의 상호 인증 방법 및 그시스템 |
US20080244267A1 (en) * | 2007-03-30 | 2008-10-02 | Intel Corporation | Local and remote access control of a resource |
US9053323B2 (en) | 2007-04-13 | 2015-06-09 | Hewlett-Packard Development Company, L.P. | Trusted component update system and method |
US20090319804A1 (en) | 2007-07-05 | 2009-12-24 | Broadcom Corporation | Scalable and Extensible Architecture for Asymmetrical Cryptographic Acceleration |
WO2009056048A1 (en) * | 2007-10-23 | 2009-05-07 | Yao Andrew C | Method and structure for self-sealed joint proof-of-knowledge and diffie-hellman key-exchange protocols |
EP2232851A4 (en) | 2007-12-12 | 2011-09-14 | Colin Simon | METHOD, SYSTEM AND DEVICE FOR ENABLING CONVERGENCE OF TELEVISION ACCESSIBILITY ON DIGITAL TELEVISION VISORS WITH ENCRYPTIBILITY |
CN101459506B (zh) * | 2007-12-14 | 2011-09-14 | 华为技术有限公司 | 密钥协商方法、用于密钥协商的系统、客户端及服务器 |
US8826037B2 (en) * | 2008-03-13 | 2014-09-02 | Cyberlink Corp. | Method for decrypting an encrypted instruction and system thereof |
US20090280905A1 (en) * | 2008-05-12 | 2009-11-12 | Weisman Jordan K | Multiplayer handheld computer game system having tiled display and method of use |
US8756675B2 (en) | 2008-08-06 | 2014-06-17 | Silver Spring Networks, Inc. | Systems and methods for security in a wireless utility network |
US8230219B2 (en) * | 2008-08-12 | 2012-07-24 | Texas Instruments Incorporated | Reduced computation for bit-by-bit password verification in mutual authentication |
WO2010019916A1 (en) * | 2008-08-14 | 2010-02-18 | The Trustees Of Princeton University | Hardware trust anchors in sp-enabled processors |
JP5390844B2 (ja) * | 2008-12-05 | 2014-01-15 | パナソニック株式会社 | 鍵配布システム、鍵配布方法 |
US20110154061A1 (en) | 2009-12-21 | 2011-06-23 | Babu Chilukuri | Data secure memory/storage control |
US20110154023A1 (en) | 2009-12-21 | 2011-06-23 | Smith Ned M | Protected device management |
DE102009059893A1 (de) * | 2009-12-21 | 2011-06-22 | Siemens Aktiengesellschaft, 80333 | Vorrichtung und Verfahren zum Absichern eines Aushandelns von mindestens einem kryptographischen Schlüssel zwischen Geräten |
JP5365502B2 (ja) * | 2009-12-24 | 2013-12-11 | 富士通株式会社 | ファイル管理装置、ファイル管理プログラム、およびファイル管理方法 |
US8327125B2 (en) | 2009-12-28 | 2012-12-04 | General Instrument Corporation | Content securing system |
US9177152B2 (en) | 2010-03-26 | 2015-11-03 | Maxlinear, Inc. | Firmware authentication and deciphering for secure TV receiver |
SG184853A1 (en) * | 2010-04-12 | 2012-11-29 | Interdigital Patent Holdings | Staged control release in boot process |
US9665864B2 (en) * | 2010-05-21 | 2017-05-30 | Intel Corporation | Method and device for conducting trusted remote payment transactions |
JP2012113670A (ja) * | 2010-11-29 | 2012-06-14 | Renesas Electronics Corp | スマートメータ及び検針システム |
US20120137137A1 (en) | 2010-11-30 | 2012-05-31 | Brickell Ernest F | Method and apparatus for key provisioning of hardware devices |
US8645677B2 (en) | 2011-09-28 | 2014-02-04 | Intel Corporation | Secure remote credential provisioning |
EP2792100B1 (en) | 2011-12-15 | 2020-07-29 | Intel Corporation | Method and device for secure communications over a network using a hardware security engine |
WO2013089728A1 (en) | 2011-12-15 | 2013-06-20 | Intel Corporation | Method, device, and system for securely sharing media content from a source device |
US20130275769A1 (en) | 2011-12-15 | 2013-10-17 | Hormuzd M. Khosravi | Method, device, and system for protecting and securely delivering media content |
US8856515B2 (en) | 2012-11-08 | 2014-10-07 | Intel Corporation | Implementation of robust and secure content protection in a system-on-a-chip apparatus |
US9094191B2 (en) * | 2013-03-14 | 2015-07-28 | Qualcomm Incorporated | Master key encryption functions for transmitter-receiver pairing as a countermeasure to thwart key recovery attacks |
-
2011
- 2011-12-15 EP EP11877258.1A patent/EP2792100B1/en active Active
- 2011-12-15 US US13/997,412 patent/US9887838B2/en active Active
- 2011-12-15 EP EP19163482.3A patent/EP3518458B1/en active Active
- 2011-12-15 EP EP23219876.2A patent/EP4322465A3/en active Pending
- 2011-12-15 EP EP22166740.5A patent/EP4040717B1/en active Active
- 2011-12-15 WO PCT/US2011/065069 patent/WO2013089725A1/en active Application Filing
- 2011-12-15 PL PL11877258.1T patent/PL2792100T3/pl unknown
- 2011-12-15 CN CN201180075550.4A patent/CN104170312B/zh active Active
-
2012
- 2012-12-14 TW TW101147511A patent/TWI600307B/zh active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000002358A1 (en) * | 1998-07-03 | 2000-01-13 | Nokia Mobile Phones Limited | Secure session set up based on the wireless application protocol |
US20050213766A1 (en) * | 2004-03-23 | 2005-09-29 | Texas Instruments Incorporated | Hybrid cryptographic accelerator and method of operation thereof |
CN1926837A (zh) * | 2004-03-24 | 2007-03-07 | 英特尔公司 | 在网络域中与网络端点上的嵌入式代理共享密钥的方法、装置和计算机程序 |
US20060041938A1 (en) * | 2004-08-20 | 2006-02-23 | Axalto Inc. | Method of supporting SSL/TLS protocols in a resource-constrained device |
US7966646B2 (en) * | 2006-07-31 | 2011-06-21 | Aruba Networks, Inc. | Stateless cryptographic protocol-based hardware acceleration |
CN101251879A (zh) * | 2006-12-29 | 2008-08-27 | 英特尔公司 | 用于保护数据的方法和装置 |
CN101251879B (zh) * | 2006-12-29 | 2010-10-13 | 英特尔公司 | 用于保护数据的方法和装置 |
CN102195878A (zh) * | 2010-03-19 | 2011-09-21 | F5网络公司 | 经由流中间重新协商的代理ssl切换 |
Cited By (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111859472B (zh) * | 2014-12-19 | 2024-01-16 | 英特尔公司 | 用于片上系统平台的安全插件 |
CN111859472A (zh) * | 2014-12-19 | 2020-10-30 | 英特尔公司 | 用于片上系统平台的安全插件 |
CN105991569A (zh) * | 2015-02-09 | 2016-10-05 | 中国科学院信息工程研究所 | 一种tls通讯数据安全传输方法 |
CN106161363A (zh) * | 2015-04-03 | 2016-11-23 | 上海庆科信息技术有限公司 | 一种ssl连接建立的方法及系统 |
CN106161363B (zh) * | 2015-04-03 | 2020-04-17 | 阿里云计算有限公司 | 一种ssl连接建立的方法及系统 |
CN106330529A (zh) * | 2015-07-02 | 2017-01-11 | Gn瑞声达 A/S | 具有通信日志记录的听力设备和相关方法 |
CN106330529B (zh) * | 2015-07-02 | 2021-07-30 | Gn瑞声达 A/S | 具有通信日志记录的听力设备和相关方法 |
CN113923052A (zh) * | 2015-07-03 | 2022-01-11 | 阿费罗有限公司 | 用于在物联网(IoT)系统中建立安全通信信道的设备和方法 |
CN105119894B (zh) * | 2015-07-16 | 2018-05-25 | 上海慧银信息科技有限公司 | 基于硬件安全模块的通信系统及通信方法 |
CN105119894A (zh) * | 2015-07-16 | 2015-12-02 | 上海慧银信息科技有限公司 | 基于硬件安全模块的通信系统及通信方法 |
CN107851162B (zh) * | 2015-07-20 | 2022-10-28 | 英特尔公司 | 用于对安全i/o的密码引擎进行安全编程的技术 |
CN107851162A (zh) * | 2015-07-20 | 2018-03-27 | 英特尔公司 | 用于对安全i/o的密码引擎进行安全编程的技术 |
CN113890727A (zh) * | 2015-12-11 | 2022-01-04 | 亚马逊科技有限公司 | 通过部分可信的第三方进行的密钥交换 |
CN109076078A (zh) * | 2016-02-22 | 2018-12-21 | 大陆汽车系统公司 | 用以建立和更新用于安全的车载网络通信的密钥的方法 |
CN109076078B (zh) * | 2016-02-22 | 2021-09-24 | 大陆汽车系统公司 | 用以建立和更新用于安全的车载网络通信的密钥的方法 |
CN110024324A (zh) * | 2016-09-23 | 2019-07-16 | 苹果公司 | 网络通信业务的安全传送 |
CN110036597A (zh) * | 2016-12-09 | 2019-07-19 | 微软技术许可有限责任公司 | 用于由不可信代码使用的安全分布私有密钥 |
CN110383280A (zh) * | 2017-03-08 | 2019-10-25 | Abb瑞士股份有限公司 | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 |
CN110383280B (zh) * | 2017-03-08 | 2023-08-29 | 日立能源瑞士股份公司 | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 |
CN110999248A (zh) * | 2017-07-28 | 2020-04-10 | 阿里巴巴集团控股有限公司 | 使用片上系统(SoC)体系结构的安全通信加速 |
CN110999248B (zh) * | 2017-07-28 | 2022-07-08 | 阿里巴巴集团控股有限公司 | 使用片上系统(SoC)体系结构的安全通信加速 |
CN108259171A (zh) * | 2018-01-12 | 2018-07-06 | 武汉斗鱼网络科技有限公司 | Shader文件的保护方法及装置 |
CN111869249A (zh) * | 2018-03-08 | 2020-10-30 | 赛普拉斯半导体公司 | 针对中间人攻击的安全ble just works配对方法 |
CN113572767B (zh) * | 2018-05-03 | 2023-07-04 | 霍尼韦尔国际公司 | 用于加密交通工具数据服务交换的系统和方法 |
CN110446203A (zh) * | 2018-05-03 | 2019-11-12 | 霍尼韦尔国际公司 | 用于基于安全订阅的交通工具数据服务的系统和方法 |
CN113572767A (zh) * | 2018-05-03 | 2021-10-29 | 霍尼韦尔国际公司 | 用于加密交通工具数据服务交换的系统和方法 |
CN112368701A (zh) * | 2018-05-11 | 2021-02-12 | 美国莱迪思半导体公司 | 用于可编程逻辑器件的密钥供应系统和方法 |
CN112534790A (zh) * | 2018-06-08 | 2021-03-19 | 兰克森控股公司 | 在通信网络中交换加密数据的加密装置、通信系统和方法 |
CN112534790B (zh) * | 2018-06-08 | 2023-07-04 | 兰克森控股公司 | 在通信网络中交换加密数据的加密装置、通信系统和方法 |
CN112400294A (zh) * | 2018-06-19 | 2021-02-23 | 赛普拉斯半导体公司 | 来自非易失性存储器装置内的安全通信 |
CN112400294B (zh) * | 2018-06-19 | 2024-04-19 | 英飞凌科技有限责任公司 | 来自非易失性存储器装置内的安全通信 |
CN109508549A (zh) * | 2018-09-19 | 2019-03-22 | 捷德(中国)信息科技有限公司 | 数据处理方法、装置、设备及存储介质 |
US11799651B2 (en) | 2019-01-04 | 2023-10-24 | Baidu Usa Llc | Data processing accelerator having a security unit to provide root trust services |
CN112262547B (zh) * | 2019-01-04 | 2023-11-21 | 百度时代网络技术(北京)有限公司 | 具有安全单元以提供根信任服务的数据处理加速器 |
CN112262547A (zh) * | 2019-01-04 | 2021-01-22 | 百度时代网络技术(北京)有限公司 | 具有安全单元以提供根信任服务的数据处理加速器 |
CN114008976A (zh) * | 2019-06-19 | 2022-02-01 | 亚马逊技术有限公司 | 用于双壳加密的混合密钥交换 |
CN114008976B (zh) * | 2019-06-19 | 2024-05-17 | 亚马逊技术有限公司 | 用于双壳加密的混合密钥交换 |
CN110380868A (zh) * | 2019-08-22 | 2019-10-25 | 广东浪潮大数据研究有限公司 | 一种通信方法、装置及通信系统和存储介质 |
CN113572596A (zh) * | 2020-04-10 | 2021-10-29 | 汽车科睿特股份有限责任公司 | 通信系统中的蝴蝶密钥扩展方法 |
Also Published As
Publication number | Publication date |
---|---|
US9887838B2 (en) | 2018-02-06 |
PL2792100T3 (pl) | 2021-03-22 |
US20150039890A1 (en) | 2015-02-05 |
TW201332331A (zh) | 2013-08-01 |
CN104170312B (zh) | 2018-05-22 |
TWI600307B (zh) | 2017-09-21 |
EP4322465A2 (en) | 2024-02-14 |
EP2792100B1 (en) | 2020-07-29 |
EP2792100A1 (en) | 2014-10-22 |
EP3518458A1 (en) | 2019-07-31 |
EP3518458B1 (en) | 2022-04-06 |
WO2013089725A1 (en) | 2013-06-20 |
EP4040717A1 (en) | 2022-08-10 |
EP4040717B1 (en) | 2024-01-31 |
EP2792100A4 (en) | 2015-09-09 |
EP4322465A3 (en) | 2024-04-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104170312A (zh) | 用于使用硬件安全引擎通过网络进行安全通信的方法和设备 | |
US9467430B2 (en) | Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware | |
US8953790B2 (en) | Secure generation of a device root key in the field | |
CN111416807B (zh) | 数据获取方法、装置及存储介质 | |
TWI715537B (zh) | 基於雲環境的加密機金鑰注入系統、方法及裝置 | |
CN109639427B (zh) | 一种数据发送的方法及设备 | |
WO2016107320A1 (zh) | 网站安全信息的加载方法和浏览器装置 | |
CN104094267A (zh) | 安全共享来自源装置的媒体内容的方法、装置和系统 | |
WO2019001061A1 (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
CN103546289A (zh) | 一种基于USBKey的安全传输数据的方法及系统 | |
CN112398826A (zh) | 基于国密的数据处理方法、装置、存储介质及电子设备 | |
WO2023174038A9 (zh) | 数据传输方法及相关设备 | |
CN105530090A (zh) | 密钥协商的方法及设备 | |
CN117081736A (zh) | 密钥分发方法、密钥分发装置、通信方法及通信装置 | |
CN114331456A (zh) | 一种通信方法、装置、系统以及可读存储介质 | |
CN112448810A (zh) | 一种认证方法以及装置 | |
CN113422753B (zh) | 数据处理方法、装置、电子设备及计算机存储介质 | |
CN116781292A (zh) | 一种数据处理方法、装置、设备以及可读存储介质 | |
EP4016921A1 (en) | Certificate management method and apparatus | |
CN116033419A (zh) | 一种基于外置nfc芯片的手机安全认证方法 | |
CN118070316A (zh) | 基于安全设备的离线授权方法、离线授权系统和存储介质 | |
CN116743375A (zh) | 一种密钥传输方法、装置、设备及存储介质 | |
CN117728976A (zh) | 数据传输方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |