CN106031087B - 用于认证客户端凭证的方法和设备 - Google Patents

用于认证客户端凭证的方法和设备 Download PDF

Info

Publication number
CN106031087B
CN106031087B CN201580009833.7A CN201580009833A CN106031087B CN 106031087 B CN106031087 B CN 106031087B CN 201580009833 A CN201580009833 A CN 201580009833A CN 106031087 B CN106031087 B CN 106031087B
Authority
CN
China
Prior art keywords
electronic device
certificate
key
security context
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201580009833.7A
Other languages
English (en)
Other versions
CN106031087A (zh
Inventor
巴拉克里什南·凡卡塔拉玛尼
安东尼奥斯·迪米特里奥斯·布鲁马斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Priority claimed from PCT/KR2015/001589 external-priority patent/WO2015126136A1/en
Publication of CN106031087A publication Critical patent/CN106031087A/zh
Application granted granted Critical
Publication of CN106031087B publication Critical patent/CN106031087B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

提供了将认证信息存储在电子装置上的设备和方法。该方法包括:电子装置在电子装置的安全环境中接收专有密钥和匹配专有密钥的证书;将专有密钥和匹配专有密钥的证书存储在电子装置的安全环境中,其中,专有密钥和匹配专有密钥的证书中的至少一个标识电子装置。

Description

用于认证客户端凭证的方法和设备
技术领域
本公开涉及一种用于在电子装置的安全区中生成和/或存储客户端凭证的设备和方法。本发明还涉及一种用于生成通过将决不离开装置的私人密钥保护的客户端认证凭证的设备和方法。另外,本公开涉及一种用于使用硬件证书来生成和/或认证客户端凭证的设备和方法。
背景技术
由于对网络和/或应用的恶意攻击率增加,当前发展的重点是提高网络和/或应用的安全性。作为网络和/或应用的安全性的部分,在用户或装置被授权访问受到网络和/或应用保护的某些资源之前,用户或装置必须被该网络和/或应用认证。
以上信息只是作为背景信息提出的,有助于理解本公开。并没有确定并且没有断言以上中的任何部分是否可被应用作为关于本公开的现有技术。
发明内容
技术问题
本公开的一些方面在于至少解决以上提到的问题和/或缺点并且至少提供以下优点。因此,本发明的一方面在于提供一种用于在电子装置中生成客户端凭证的设备和方法。本发明的另一方面在于提供一种用于使用存储在电子装置中的凭证来认证用户的设备和方法。
问题的解决方案
按照本公开的一方面,提供了一种电子装置。该电子装置包括安全环境,其中,安全环境包括专有密钥、匹配专有密钥的证书,并且其中,专有密钥和匹配专有密钥的证书中的至少一个标识电子装置。
按照本发明的另一方面,提供了一种将认证信息存储到电子装置上的方法。该方法包括:电子装置在电子装置的安全环境中接收专有密钥和匹配专有密钥的证书;以及将专有密钥和匹配专有密钥的证书存储在电子装置的安全环境中,其中,专有密钥和匹配专有密钥的证书中的至少一个标识电子装置。
按照本发明的另一方面,提供了一种将客户端证书安装于客户端电子装置的方法。该方法包括:通过在客户端电子装置上运行的认证应用,从服务器接收对客户端证书和密钥中的至少一个的请求;通过认证应用生成客户端证书和密钥中的至少一个;通过客户端电子装置将生成的客户端证书和生成的密钥中的至少一个传达到服务器;通过认证应用从服务器接收签名的客户端证书和密钥中的至少一个,所述服务器在接收到客户端证书和密钥中的至少一个时对其进行签名;以及通过认证应用安装签名的客户端证书和密钥中的至少一个。
根据下面的具体实施方式,对于本领域的技术人员而言,本公开的其他方面、优点和突出特征将变得清楚,具体实施方式结合附图公开了本公开的各种实施例。
附图说明
根据以下结合附图进行的描述,本公开的各种实施例的以上和其他方面、特征和优点将更加清楚,在附图中:
图1示出根据本公开的各种实施例的包括电子装置的网络环境;
图2示出根据本公开的各种实施例的安全模块的框图;
图3a示出用于认证客户端电子装置的用户的过程;
图3b示出根据本公开的各种实施例的用于认证客户端电子装置的过程;
图4a示出根据本公开的各种实施例的用于认证客户端电子装置的流程图;
图4b示出根据本公开的各种实施例的用于认证客户端电子装置的过程;
图4c示出根据本公开的各种实施例的认证令牌的组织;
图4d示出根据本公开的各种实施例的加密/解密协议应用编程接口(API)的调用顺序的示例;
图5a示出根据本公开的各种实施例的用于认证客户端电子装置的流程图;
图5b示出根据本公开的各种实施例的用于认证客户端电子装置的过程;
图6a和图6b示出根据本公开的各种实施例的认证过程的状态示图;
图7a示出根据本公开的各种实施例的用于认证客户端电子装置的流程图;
图7b示出根据本公开的各种实施例的用于认证客户端电子装置的过程;
图7c示出根据本公开的各种实施例的用于认证客户端电子装置的流程图;
图7d示出根据本公开的各种实施例的用于认证客户端电子装置的过程;
图7e示出根据本公开的各种实施例的用于认证客户端电子装置的流程图;
图7f示出根据本公开的各种实施例的用于认证客户端电子装置的过程;以及
图8示出根据本公开的各种实施例的硬件的框图。
在整个附图中,应该注意,使用类似的参考标号描绘相同或类似的元件、特征和结构。
具体实施方式
以下,将参照附图讨论对本公开的各种方面的详细描述。这些描述仅仅被阐述作为示例,不应当限制本公开的范围。
提供参照附图的详细描述是为了有助于全面理解如权利要求书及其等同物限定的本公开的各种实施例。它包括有助于进行该理解的各种具体细节,但这些细节将被视为只是示例性的。因此,本领域的普通技术人员将认识到,可在不脱离本公开的范围和精神的情况下,对本文中描述的实施例进行各种变化和修改。另外,为了清晰和简洁,省略对熟知的功能和构造的描述。
下面的描述和权利要求书中使用的术语和词语不限于文献上的含义,而是只是发明人用于使得能够清楚且一致地理解本公开。因此,本领域的技术人员应该清楚,提供下面对本公开的各种实施例的描述只是出于例证的目的,而不是出于限制如所附权利要求书及其等同物限定的本公开的目的。
要理解,除非上下文另外清楚指明,否则单数形式包括复数指示物。因此,例如,引用“组件表面”包括引用一个或多个这样的表面。
术语“基本上”意味着所述的特性、参数、或值不需要被精确实现,但是会出现不排除旨在提供特性的效果的数量上的偏差或变化(包括例如容差、测量误差、测量准确性限制和本领域的技术人员已知的其他因素)。
本公开中使用的术语用于描述本公开的各种实施例,并不旨在限制本公开。除非上下文明确不旨在是复数形式,否则单数术语旨在包括复数形式。
除非不同地定义,否则本公开中使用的所有术语(包括技术术语或科学术语)具有本领域的普通技术人员一般理解的含义。应该理解,可在字典中定义的普通术语具有与它们背景一致的含义,并且除非在本公开中明确定义,否则不应该被理解为过于理想或正式。
根据本公开的各种实施例,电子装置可包括通信功能。例如,电子装置可以是智能电话、平板个人计算机(PC)、移动电话、视频电话、电子书阅读器、台式PC、膝上型PC、网本PC、个人数字助理(PDA)、便携式多媒体播放器(PMP)、MP3播放器、移动医疗装置、相机、可穿戴装置(例如,头戴式装置(HMD)、电子衣物、电子托架、电子项链、电子配饰、电子纹身或智能手表)等。
根据本公开的各种实施例,电子装置可以是具有通信功能的智能家用电器。智能家用电器可以是例如电视、数字通用盘(DVD)播放器、音频、冰箱、空调、真空吸尘器、烘箱、微波炉、洗衣机、烘干机、空气净化器、机顶盒、TV盒(例如,Samsung HomeSyncTM、AppleTVTM、或GoogleTVTM)、游戏控制台、电子词典、电子钥匙、摄录机、电子相框等。
根据本公开的各种实施例,电子装置可以是医疗装置(例如,磁共振血管造影(MRA)装置、磁共振成像(MRI)装置、计算机断层扫描(CT)装置、成像装置、或超声装置)、导航装置、全球定位系统(GPS)接收器、事件数据记录器(EDR)、飞行数据记录器(FDR)、车辆信息娱乐装置、航行电子装置(例如,航行导航装置、陀螺仪或罗盘)、航空电子装置、安全装置、工业用或民用机器人等。
根据本公开的各种实施例,电子装置可以是包括通信功能的家具、建筑/结构的部分、电子板、电子签名接收装置、投影仪、各种测量装置(例如,水、电、气或电磁波测量装置)等。
根据本公开的各种实施例,电子装置可以是以上装置的任何组合。另外,本领域的普通技术人员将清楚,根据本公开的各种实施例的电子装置不限于以上装置。
根据相关技术,为了增强网络和/或应用的安全性,用于认证用户或装置的方法使用智能卡或通用访问卡(CAC)来支持认证处理。智能卡或CAC提供可在授权访问受到网络和/或应用保护的某个资源之前确认的受信凭证。例如,智能卡或CAC可存储将与用于各种认证处理的公共密钥关联地使用的私有密钥。
智能卡是集成有集成电路的物理卡。通常,智能卡使用公共密钥基础设施(PKI),其中,智能卡上的集成电路芯片(ICC)存储PKI供应商发行的加密数字证书。智能卡还配备防篡改技术。
CAC通常是具有额外安全特征的智能卡的子集。例如,CAC可包括可视标识(例如,拥有者的照片)、磁带、ICC、条形码和射频识别(RFID)技术。
为了访问受到使用智能卡或CAC认证用户的网络和/或应用保护的资源,会需要用户将使用其尝试访问网络和/或应用的客户端电子装置与可应用的智能卡或CAC通信,以接收(例如,提取)适当证书,或者以其他方式使用存储在智能卡或CAC上用于认证的私有密钥来证实智能卡或CAC的身份。这种认证机制对于用户会是不方便的,因为通常需要用户携带可应用的智能卡或CAC(例如,用可以是企业发行的电子装置的客户端电子装置)。另外,这种认证机制会需要企业发行智能卡或CAC,使用户有权访问受到网络和/或应用保护的资源。企业还有可能必须发行使用户可用来访问受到网络保护的资源的企业发行的电子装置。
本公开的各种实施例包括在没有智能卡、CAC、关联读卡器、和/或等的情况下认证客户端凭证的设备、方法和系统。
本公开的各种实施例包括用于在服务器和/或应用不必确定客户端电子装置是否被破解(compromised)的情况下认证客户端凭证的设备、方法和系统。例如,本公开的各种实施例包括用于在服务器和/或应用不必确定操作系统(OS)和/或框架是否由于安全漏洞而被破解的情况下认证客户端凭证的设备和方法。
本公开的各种实施例包括其中客户端电子装置在安全的客户端电子装置的区域(例如,ARM TrustZone)中生成证书签名请求的用于认证客户端凭证的设备、方法和系统。此区域可被称为安全区。根据本公开的各种实施例,客户端电子装置可在客户端电子装置的安全区内生成私有密钥,并且客户端电子装置可被构造成确保私有密钥决不离开客户端电子装置的安全区。
根据本公开的各种实施例,可使用支持高信息熵硬件的密钥生成器在电子装置的安全区(例如,SEE)中生成客户端凭证(例如,用户专有和/或应用专有凭证)。可在电子装置中随机地生成客户端凭证。
本公开的各种实施例包括用于将客户端凭证存储在客户端电子装置的安全区中的设备、方法和系统。例如,相比于智能卡存储PKI供应商发行的加密数字证书的相关技术,本公开的各种实施例可包括用于将加密数字证书存储在客户端电子装置的安全区中的设备、方法和系统。客户端电子装置的安全区可存储一个或多个私有密钥和/或证书。
本公开的各种实施例包括用于使用标准密码模块认证客户端凭证的设备和方法。例如,设备和方法可被构造成使用用于认证客户端凭证的公共密钥密码标准11(Public-Key Cryptography Standards 11,PKCS 11)。该设备和方法可使用PKCS 11应用编程接口(API)来提供认证。因为使用智能卡进行认证的网络和/或应用通常使用PKCS11API,所以根据本公开的各种实施例的设备和方法可与这些现有系统无缝集成。
根据本公开的各种实施例,非安全区(例如,正常执行环境(NEE))可使用PKCS11或类似协议与安全区(例如,SEE)通信。
根据本公开的各种实施例,可将专有凭证安装在电子装置(例如,客户端电子装置)上。例如,可将专有凭证安装在电子装置的安全区(例如,特定安全执行环境(SEE))中。可在制造电子装置期间安装专有凭证。专有凭证可包括专有密钥和对应证书。可只在安全区(例如,SEE)内能访问专有凭证。例如,可只让安全区(例如,SEE)内的应用(例如,SEE应用)访问专有凭证。专有凭证可包括识别电子装置的数据。例如,专有凭证的证书可包括识别电子装置的数据。数据可以是人可读的和/或机器可读的。根据本公开的各种实施例,根证书权限可以是电子装置制造商。
根据本公开的各种实施例,使制造商信任的远程企业或政府信息技术(IT)管理系统可基于密码证据来可靠地识别装置。
根据本公开的各种实施例,可通过验证固件未被更改的SEE运行时间测量来增强信任和可靠性。例如,SEE可确保电子装置处于未破解状态。特别地,SEE可确保在SEE执行认证服务时电子装置处于未破解状态。
根据本公开的各种实施例,诸如企业(例如,企业网)的装置管理器可创建(例如,生成)电子装置(例如,客户端电子装置)或其用户的凭证。例如,在企业识别电子装置之后,企业可创建用于电子装置的用户特定和/或应用特定凭证。用户特定和/或应用特定凭证可被安全地存储(例如,安装)在电子装置的安全区(例如,SEE)中。
根据本公开的各种实施例,凭证(例如,证书)可通过外部证书权限(CA)来签名并且使用创建的协议(例如,简单证书配置协议(SCEP)、证书管理协议(CMP)、通过CMS进行的证书管理(CMC)、和/或等)来安全地提供。
根据本公开的各种实施例,存储(例如,安装)在安全区(例如,SEE)中的凭证将决不离开SEE。安全区(例如,SEE)将防止存储在其中的凭证与安全区(例如,SEE)外部的实体(例如,应用、电子装置等)通信。
根据本公开的各种实施例,可将凭证安全地传递(例如,传达)到电子装置的安全区(例如,SEE)。例如,可使用受信用户接口(TUI)将用户凭证、应用凭证等安全传递到电子装置的安全区(例如,SEE)。
根据本公开的各种实施例,可通过控制对凭证的间接访问,将密码安全传递(例如,传达)到安全区(例如,SEE)。例如,PKCS 11密码可被安全传递到安全区(例如,SEE),控制对安全区内存储的私有密钥的间接访问。
根据本公开的各种实施例,键盘记录器攻击会受阻并且可安全地记录失败的登录尝试。例如,使用受信用户接口来访问凭证。为了访问凭证,会需要密码。因此,为了确保凭证保持安全,受信用户接口可防止特别地与访问凭证相关的密码被键盘记录等。
根据本公开的各种实施例,在电子装置之间可能不能传递凭证。例如,密钥(例如,私有密钥)和证书不能从电子装置传递到电子装置。密钥(例如,私有密钥)和对应证书可以是装置特定的。根据本公开的各种实施例,可使用装置特有加密来防护密码数据。可将密码数据保护于高安全性存储器(例如,安全元件(SE))中。将密码数据存储在高安全性存储器中可使得密码数据抵抗基于硬件的攻击。
图1示出根据本公开的各种实施例的包括电子装置的网络环境。
参照图1,网络环境100包括电子装置101(例如,客户端电子装置)。电子装置101可包括总线110、处理器120、存储器130、输入/输出(I/O)接口140、显示器150、通信接口160、安全模块170等。
总线110可以是连接以上组件并且允许以上组件之间的通信的电路。例如,总线110可连接电子装置101的组件,以允许在相连组件之间控制消息和/或其他信息的传达。
处理器120可例如从其他组件(例如,存储器130、I/O接口140、显示器150、通信接口160、安全模块170等)接收指令,解释接收到的指令,并且根据所解释的指令来执行计算或数据处理。
存储器130可例如存储从其他组件(例如,存储器130、I/O接口140、显示器150、通信接口160、安全模块170、和/或等)接收和/或由所述其他组件生成的指令和/或数据。例如,存储器130可包括诸如内核131、中间件132、应用编程接口(API)133、应用134等的编程模块。以上编程模块中的每个可包括软件、固件、或硬件中的至少两个的组合。
内核131可控制或管理在执行在其它编程模块(诸如,例如,中间件132、API 133、应用程序134、和/或等)中实现的操作或功能时可使用的系统资源(例如,总线110、处理器120、存储器130等)。内核131可提供用于允许或以其他方式有助于中间件132、API 133、应用134等访问电子装置101的单个组件的接口。
中间件132可以是内核131可通过其与API 133、应用134、和/或等通信以发送和接收数据的介质。中间件132可控制(例如,排程、负载平衡等)一个或多个应用134的工作请求。例如,中间件132可通过将使用电子装置101的系统资源(例如,总线110、处理器120、存储器130等)的优先级分派给一个或多个应用134来控制一个或多个应用134的工作请求。
API 133可以是可控制应用134可在内核131、中间件132等提供的功能的接口。例如,API 133可至少包括用于文件控制、窗口控制、视频处理、字符控制等的接口或功能(例如,命令)。
根据本公开的各种实施例,应用134可包括短消息服务(SMS)应用、多媒体消息服务(MMS)应用、电子邮件应用、日历应用、闹铃应用、健康护理应用(例如,锻炼量应用、血糖水平测量应用等)、环境信息应用(例如,可提供气压、湿度、温度信息等的应用)、即时消息应用、通话应用、互联网浏览应用、游戏应用、媒体回放应用、图像/视频捕获应用、文件管理应用等。作为补充或替代,应用134可以是与电子装置10和外部电子装置(例如,电子装置104)之间的信息交换关联的应用。举例来说,与信息交换关联的应用134可包括可向外部电子装置提供特定类型信息的通知转达应用、可管理外部电子装置的装置管理应用等。
举例来说,通知转达应用可包括向外部电子装置(例如,电子装置104)提供电子装置101用其他应用(例如,SMS/MMS应用、电子邮件应用、健康护理应用、环境信息应用、即时消息应用、通话应用、互联网浏览应用、游戏应用、媒体回放应用、图像/视频捕获应用、文件管理应用等)生成的通知的功能。作为补充或替代,通知转达应用可例如从外部电子装置(例如,电子装置104)接收通知,并且可向用户提供该通知。
举例来说,装置管理应用可对以下项进行管理:和与电子装置101通信的外部电子装置的至少一部分(例如,外部电子装置本身、或外部电子装置的一个或多个组件)关联的功能的启用或禁用、外部电子装置的显示器的亮度(或分辨率)的控制、在外部电子装置上操作的应用或外部电子装置提供的服务(例如,语音通话服务、发消息服务等)等。
根据本公开的各种实施例,作为示例,应用134可包括根据外部电子装置(例如,电子装置104)的属性(例如,电子装置的类型等)确定的一个或多个应用。例如,如果外部电子装置是MP3播放器,则应用134可包括与音乐回放相关的一个或多个应用。又如,如果外部电子装置是移动医疗装置,则应用134可以是健康护理相关应用。根据本公开的各种实施例,应用134可包括预先加载在电子装置101上的应用、从外部电子装置(例如,电子装置104、服务器106、企业网等)接收的应用等中的至少一个。
I/O接口140可例如从用户接收指令和/或数据。I/O接口140可借助总线110将指令和/或数据发送到处理器120、存储器130、通信接口160、安全模块170等。例如,I/O接口140可将与借助触摸屏接收的用户输入关联的数据提供到处理器120。I/O接口140可例如借助I/O装置(例如,扬声器、显示器等)输出借助总线110从处理器120、存储器130、通信接口160、安全模块170等接收的指令和/或数据。例如,I/O接口140可借助扬声器输出(例如,使用处理器120处理的)语音数据。
显示器150可向用户显示各种类型的信息(例如,多媒体、文本数据等)。举例来说,显示器150可显示用户可用来与电子装置10交互的图形用户接口(GUI)。
通信接口160可提供电子装置101和一个或多个外部电子装置(例如,电子装置104、服务器106等)之间的通信。例如,通信接口160可通过使用有线或无线通信与网络162建立连接来与外部电子装置通信。举例来说,通信接口160可用来进行通信的无线通信可以是以下项中的至少一个:Wi-Fi、Bluetooth、近场通信(NFC)、全球定位系统(GPS)、蜂窝通信(例如,长期演进(LTE)、LTE高级(LTE-A)、码分多址(CDMA)、宽带-CDMA(WCDMA)、通用移动电信系统(UMTS)、无线宽带(WiBro)、全球移动通信系统(GSM)等)、红外数据协会(IrDA)技术等。举例来说,通信接口160可用来通信的有线通信可以是以下项中的至少一个:例如通用串行总线(USB)、高清多媒体接口(HDMI)、推荐标准232(RS-232)、简易老式电话服务(POTS)、以太网等。
根据本公开的各种实施例,网络162可以是电信网络。举例来说,电信网络可包括计算机网络、互联网、物联网、电话网络等中的至少一种。根据本公开的各种实施例,可通过例如应用134、API 133、中间件132、内核131、通信接口160等中的至少一个来支持用于电子装置101和外部电子装置之间通信的协议(例如,传输层协议、数据链路层协议、物理层协议等)。
安全模块170可例如处理从其他组件(例如,处理器120、存储器130、I/O接口140、通信接口160等)接收的信息的至少部分,并且以各种方式向用户提供各种信息、服务等。例如,安全模块170可借助处理器120或独立地控制电子装置101的功能中的至少一些,以与另一个电子装置(例如,电子装置104、服务器106等)相关地认证电子装置101。图2将提供关于安全模块170的额外信息。
图2示出根据本公开的各种实施例的安全模块的框图。
参照图2,安全区200可包括图1中示出的安全模块170。根据本公开的各种实施例,安全模块170可安置在安全区200外部。
根据本公开的各种实施例,安全区200可以是相对于电子装置的正常区具有额外安全性的电子装置的区域或环境。例如,电子装置可包括正常操作环境(例如,正常区)和安全操作环境(例如,安全区200)。安全区200可具有硬件保证,使安全区200内的应用、数据等的完整性不被破解。
根据本公开的各种实施例,只有预先加载的应用可被加载在安全区200中。例如,只有电子装置的制造商(例如,原始设备制造商(OEM)制造商)所安装的应用、数据等可在其安全区200中执行。换句话讲,OEM制造商没有安装的应用、数据等不可在安全区200中执行(例如,其他实体不会有将应用、数据等安装在安全区200中的必备许可)。根据本公开的各种实施例,新信息可被存储在安全区200中,并且可通过安全区200中的预先存在应用等来使用此新信息。例如,凭证可被存储在安全区200中,并且OEM制造商安装在安全区200中的认证应用等可使用新存储在安全区200中的信息。
根据本公开的各种实施例,OEM制造商可将专有凭证和匹配证书安装在电子装置的安全区200中。例如,OEM制造商可将专有密钥(例如,私有密钥)和匹配证书安装在电子装置的安全区200中。证书可包括特定装置信息(例如,装置标识符(ID))。可通过OEM根密钥进行证书签名。因此,如果企业信任OEM制造商,则企业可使用认证处理中由工厂生成的证书。此后,企业管理方可利用(例如,使用)安装在安全区200中的专有密钥(例如,私有密钥)和证书,以进行二次认证。结果,在相关技术请求的二次认证的处理中,不再需要额外令牌。
根据本公开的各种实施例,企业不需要担心将私有密钥安全推送到电子装置(例如,因为私有密钥可在安全区200中生成或者可由OEM制造商在例如制造电子装置时安装)。否则,如果需要企业将私有密钥(或其他凭证)推送或以其他方式安装在电子装置上,则私有密钥难以抵御私有密钥的安全性的破解。例如,从企业生成私有密钥的时间到私有密钥被安装在安全区200中的时间,恶意方可拦截或以其他方式破解私有密钥的安全性。因此,在制造时在安全区200内生成私有密钥或者将私有密钥安装在安全区200中确保私有密钥一直是安全的。此后,电子装置可将与存储在安全区200中的私有密钥对应的公共密钥发送到企业。
如图2中所示,安全模块170可包括证书安装模块210、密钥生成模块220、无密钥文件生成模块230等。
根据本公开的各种实施例,安全模块170可用于认证电子装置(例如,客户端电子装置)。安全模块170可确保安全模块170提供的所有服务都是基于受信的引导的服务。根据本公开的各种实施例,安全模块170可(例如,从OEM制造商、企业网、用户等)接受私有密钥和证书的安装。根据本公开的各种实施例,安全模块170可在接收到请求时,生成密钥并且发出证书签名请求。根据本公开的各种实施例,安全模块170可以是借助标准加密模块或协议(例如,PKCS 11API)可访问的。根据本公开的各种实施例,安全模块170可支持传输层安全(TLS)应用(诸如,WiFi可扩展认证协议(EAP)-TLS应用、虚拟私有网络(VPN)应用、电子邮件应用、和/或等)。
根据本公开的各种实施例,证书安装模块210可被构造成例如可操作地从服务器接收客户端证书,并且将客户端证书(例如,签名的客户端证书)安装于客户端电子装置的安全区200。证书安装模块210可打包并且存储私有密钥和/或证书。证书安装模块210可确定对于特定客户端而言是否存在令牌目录,并且如果确定对于特定客户端而言不存在令牌目录,则创建可应用的令牌目录。证书安装模块210可(例如,使用装置密钥(SHK)+PIN)创建并且打包用于特定客户端的令牌目录中的PIN文件。例如,如果数据类型对应于指定的数据类型(例如,TZ_CCM_RAW_PRIV_KEY、TX_CCM_CERT等),则证书安装模块210可打包并且存储私有密钥和/或证书,以(例如,使用SHK+PIN)打包所提供的信息并且将结果存储在新令牌文件中。又如,证书安装模块210可将特定数据类型(例如,TZ_CCM_WRAP_PRIV_KEY等)的私有密钥和/证书解包并且用特定打包工具(例如,SHK+PIN)将结果打包。证书安装模块210可提供成功或内部误差的指示(例如,关于其的报告)。
根据本公开的各种实施例,密钥生成模块220可被构造成例如生成密钥。例如,密钥生成模块220可生成RSA密钥对。又如,密钥生成模块220可复用或者打包私有密钥与装置密钥。密钥生成模块220可将与装置密钥打包的私有密钥连同公共密钥一起返回。密钥生成模块220可被构造成生成密钥(例如,私有密钥),使得私有密钥决不存在于安全区200或者以其他方式在安全区200外部通信。
根据本公开的各种实施例,无密钥文件生成模块230可被构造成例如创建可用于指示已经进行了注册的文件(例如,无密钥文件)。无密钥文件生成模块230可提供成功或内部误差的指示(例如,关于其的报告)。
根据本公开的各种实施例,安全模块170可被构造成执行受信引导检查。安全模块170可执行受信引导检查,以确认电子装置是否被引导成已知状态(例如,未破解状态)。举例来说,安全区200可包括检查电子装置是否引导成已知状态(例如,未破解状态)的应用等。安全区200中包括的应用等可被视为安全应用,因为应用等安置在安全区200中。如果确定电子装置没有引导成已知状态(例如,如果确定电子装置已经引导成破解状态),则电子装置可防止使用安置在安全区200中的应用、数据等执行任何认证、加密、解密等。例如,如果安全区200确定电子装置已经引导成破解状态(例如,电子装置被破解),则安全区200可不使用安置在安全区200中的应用、数据等来执行任何认证、加密、解密等。如果电子装置(例如,安全区200)确定电子装置被引导成未知状态(例如,破解状态),则安全区200可不使用存储在其中的私有密钥。
图3a示出用于认证客户端电子装置的用户的过程。
参照图3a,用户尝试使用客户端电子装置310a(例如,智能电话)借助经批准的电子装置320a(例如,团体可靠笔记本)连接到企业网330a。例如,用户可尝试连接到企业网330a,以有权访问受到企业网330a保护的资源。
根据本公开的各种实施例,客户端电子装置310a可使用至少一种通信技术和/或协议与经批准的电子装置320a通信。例如,客户端电子装置310a和经批准的电子装置320a可使用Bluetooth技术、WiFi直连技术、NFC技术、IrDA技术等进行通信。
企业网330a可尝试在授权用户访问企业网330a之前认证用户。例如,企业网330a可请求用户使用第一因素认证来证实用户的身份。举例来说,第一因素认证可包括用户输入用户凭证。
经批准的电子装置320a与客户端电子装置310a通信,以执行第二因素认证。例如,经批准的电子装置320a可与客户端电子装置310a通信,以获取可应用的证书(例如,安全证书)并且满足证实存在相关联私有密钥的需要。经批准的电子装置320a可将可应用证书传达到企业网330a。
图3b示出根据本公开的各种实施例的用于认证客户端电子装置的用户的过程。
参照图3b,用户可尝试用客户端电子装置310b(例如,智能电话)连接到企业网330b。例如,用户可尝试连接到企业网330b,以有权访问受到企业网330b保护的资源。
根据本公开的各种实施例,客户端电子装置310b包括企业网330b可用来认证客户端电子装置310b以确定客户端电子装置310b是否是经批准的电子装置(例如,被许可有权访问企业网330b的电子装置)的受信凭证。根据本公开的各种实施例,企业网330b不需要确定客户端电子装置310b的安全级别(例如,确定客户端电子装置的安全性是否被破解)。例如,受信凭证可被存储在客户端电子装置310b的安全区(例如,安全环境)中。受信凭证的真实性和/或安全性可以是得到客户端电子装置310b保障的硬件。
根据本公开的各种实施例,客户端电子装置310b可被构造成包括硬件模块,该硬件模块可实施将被识别为安全的数据与没有被识别为安全的数据分开。例如,硬件模块可将安全数据与不安全数据分开(例如,以创建存储并且以其他方式使用安全数据或与其关联的应用的安全环境)。硬件模块可保护存储安全数据的存储器不受软件操作(例如,恶意软件攻击)影响。根据本公开的各种实施例,客户端电子装置310b包括集成认证模块。
根据本公开的各种实施例,客户端电子装置310b可包括存储器的可存储安全数据(例如,与不安全数据相隔离地)的区域。
根据本公开的各种实施例,认证应用(例如,客户端证书管理(CCM)应用)可被存储在存储器(例如,安全区的存储器)的用于存储安全数据的区域中。认证应用可确定客户端电子装置310b的安全状态。例如,认证应用可确定客户端电子装置310b是否被破解。认证应用可通过执行受信引导检查来确定客户端电子装置310b是否被破解。根据本公开的各种实施例,认证应用可根据客户端电子装置310b的安全状态的确定来确定是否要提供服务。例如,如果认证应用确定客户端电子装置310b是安全的(例如,客户端电子装置310b没有被破解),则认证应用可确定要提供可应用服务(例如,诸如例如进行证书签名的认证服务)。相比之下,如果认证应用确定客户端电子装置310b并不安全(例如,客户端电子装置310b被破解),则认证应用可确定不提供可应用服务。例如,响应于确定客户端电子装置310b并不安全,认证应用可防止客户端电子装置310b执行认证服务(例如,进行证书签名或以其他方式使用存储在安全区中的私有密钥)。
根据本公开的各种实施例,认证应用可以是虚拟智能卡。
根据本公开的各种实施例,安全区可存储可由企业网330b或其管理员安装的客户端证书。例如,企业网330b或其管理员可将客户端证书安装到认证应用中。
根据本公开的各种实施例,企业网330b可安全地认证正在执行认证处理并且提供可应用客户端证书的客户端电子装置310b。例如,因为当客户端电子装置310b处于破解状态时,认证应用可禁止进行客户端证书的认证处理或通信,所以企业网可推导执行认证处理并且提供可应用客户端证书的客户端电子装置310b是通过认证的装置。
根据本公开的各种实施例,企业网330b可使用已经加载(例如,安装)在客户端电子装置310b上的证书。例如,客户端电子装置310b可被预先加载通过OEM的根密钥进行签名的证书。证书可包括唯一识别客户端电子装置310b的元数据(例如,国际移动站设备身份(IMEI)、WiFi媒体访问控制(MAC)地址等)。因此,不同于将客户端证书安装在客户端电子装置310b中,企业网330b可使用已经加载在客户端电子装置310b上的证书将客户端电子装置310b注册到企业网330b中。根据本公开的各种实施例,如果企业网330b使用已经加载到客户端电子装置310b上的证书来注册客户端电子装置310b,则企业网330b可确保证书包括客户端电子装置310b的唯一标识符(例如,IMEI地址、WiFi MAC地址等)、和/或确保通过可应用的OEM根密钥进行证书签名。
图4a示出根据本公开的各种实施例的用于认证客户端电子装置的流程图。
参照图4a,在操作410a中,客户端电子装置在客户端电子装置的安全区内生成凭证。例如,客户端电子装置可生成私有密钥/公共密钥对。客户端电子装置可在客户端电子装置的安全区内生成私有密钥/公共密钥对。客户端电子装置可响应于来自企业网(例如,服务器)的请求来生成私有密钥/公共密钥对。例如,客户端电子装置可在将客户端电子装置注册到企业网(例如,注册为经企业网批准的用户)的注册处理期间生成私有密钥/公共密钥对。
在操作420a中,客户端电子装置可将证书签名请求传达到企业网。客户端电子装置可将(例如,与所生成的私有密钥关联的)公共密钥传达到企业网。
在操作430a中,企业网可生成(例如,创建)用于私有密钥/公共密钥对的证书。企业网可使用公共密钥来生成证书。
在操作440a中,企业网可将证书传达到客户端电子装置。作为认证过程的部分,企业网可将证书传达到客户端电子装置(例如,以验证电子装置)。例如,响应于对企业网的访问尝试,企业网可将证书传达到客户端电子装置。又如,企业网可在客户端装置注册到企业网期间将证书传达到客户端电子装置。
在操作450a中,客户端电子装置可使用客户端电子装置的安全区内的所生成的凭证进行证书签名。例如,客户端电子装置可使用客户端电子装置的安全区内存储的所生成私有密钥进行证书签名。客户端电子装置可响应于来自企业网的请求,使用私有密钥进行证书签名。例如,企业网可响应于访问企业网的请求,向客户端电子装置请求签名的证书。
在操作460a中,客户端电子装置可将签名的证书传达到企业网。
在操作470a中,企业网可使用签名的证书来验证客户端电子装置。例如,企业网可确认通过私有密钥进行了证书签名。企业网可使用公共密钥来确认通过私有密钥进行了证书签名。如果企业网确定通过私有密钥进行了证书签名(例如,已经验证了客户端电子装置),则企业网可向客户端电子装置提供对其的访问权限。
图4b示出根据本公开的各种实施例的用于认证客户端电子装置的过程。
参照图4b,在操作410b中,客户端电子装置可操作性地从企业(例如,诸如移动装置管理(MDM)服务器的企业网403b)接收对新客户端证书的请求。例如,安装在客户端电子装置上的认证应用401b(例如,CCM应用)可接收对新客户端证书的请求。认证应用401b可被存储或以其他方式安装在客户端电子装置的安全区中。例如,认证应用401b可在客户端电子装置的安全环境中执行。认证应用401b可从企业网403b(例如,MDM服务器)直接接收或者借助安全代理402b(例如,KNOX代理)从企业网403b(例如,MDM服务器)接收对新客户端证书的请求。安全代理402b(例如,KNOX代理)可安置在客户端电子装置上。例如,安全代理402b(例如,KNOX代理)可安置在客户端电子装置的非安全区中(例如,安全代理402b可在客户端电子装置的正常操作环境中执行)。
如果认证应用401b在操作410b中接收到对新客户端证书的请求,则认证应用401b可生成密钥。例如,认证应用401b可生成RSA密钥对(例如,具有2048位、65537指数的RSA密钥对)。认证应用401b可返回公共密钥和打包的私有密钥。打包的私有密钥可以是与装置密钥打包在一起的私有密钥。认证应用401b可通过由调用方管理的缓冲器来返回公共密钥和打包的私有密钥。
根据本公开的各种实施例,当认证应用401b接收到对新客户端证书的请求时,认证应用401b可加载密钥生成器API(例如,tz_ccm_generate_key)。根据本公开的各种实施例,密钥生成器API可生成打包的私有密钥。密钥生成器API可被存储或以其他方式安装在客户端电子装置的安全区中。密钥生成器API可在客户端电子装置的安全环境中执行。
此后,在操作420b中,认证应用401b可将公共密钥传达(例如,发送)到企业网403b(例如,MDM服务器)。认证应用可借助安全代理402b将公共密钥传达到企业网403b(例如,MDM服务器)。根据本公开的各种实施例,认证应用401b可将公共密钥连同证书签名请求(CSR)一起传达。根据本公开的各种实施例,安全代理402b(例如,KNOX代理)可在接收到私有密钥时将CSR传达到企业网403b(例如,MDM服务器)。
企业网403b(例如,MDM服务器)(或可应用认证授权方)可进行CSR签名并且存储客户端证书。
此后,在操作430b中,企业网403b(例如,MDM服务器)可将签名的客户端证书传达到客户端电子装置(例如,认证应用401b)。企业网403b(例如,MDM服务器)可借助推送通信技术将签名的客户端证书传达到客户端电子装置。
根据本公开的各种实施例,在接收到签名的客户端证书时,客户端电子装置可存储和/或安装签名的客户端证书。举例来说,认证应用401b可安装签名的客户端证书。当认证应用401b接收到签名的客户端证书时,认证应用401b可加载证书安装API(例如,tz_ccm_install_client_ccm)。证书安装API可安装签名的客户端证书。证书安装API可用私有密钥安装签名的客户端证书。举例来说,证书安装API可用私有密钥安装×509签名的客户端证书。
此后,在操作440b中,客户端电子装置企业网403b(例如,MDM服务器)可通过特定加密模块或协议(例如,使用PKCS11接口)对提供到认证应用401b的服务进行加密/解密。
根据本公开的各种实施例,企业网403b(例如,MDM服务器)可使用安全协议与客户端电子装置(例如,安全代理402b和/或认证应用401b)通信。例如,企业网403b(例如,MDM服务器)可使用安全套接层(SSL)协议和所安装的客户端证书和(例如,通过认证应用生成的)生成的密钥与客户端电子装置(例如,安全代理402b和/或认证应用401b)通信。企业网403b(例如,MDM服务器)可通过验证客户端证书和生成的密钥来认证客户端电子装置。
根据本公开的各种实施例,认证方(例如,诸如MDM服务器的企业网403b)可使用客户端电子装置使用存储在客户端电子装置的安全区中的私有密钥进行签名的证书来认证客户端电子装置。例如,认证方可使用在客户端电子装置的安全区内生成的密钥对(例如,私有密钥和公共密钥)来认证客户端电子装置。根据本公开的各种实施例,企业签名的证书和客户端电子装置内生成的密钥的组合是客户端电子装置和企业所专有的。举例来说,对客户端电子装置的认证基于在安装签名的客户端证书期间建立的PIN/UID。根据本公开的各种实施例,因为企业签名的证书和客户端电子装置内生成的密钥的特有组合,企业不需要担心向客户端电子装置安全推送签名的客户端证书。
图4c示出根据本公开的各种实施例的认证令牌的组织。
参照图4b,示出令牌组织。例如,图4b示出安装在客户端电子装置的安全区中的认证应用中存储的令牌的组织和文件结构。
表1
[表1]
表1示出密钥文件结构。例如,表1示出用于对象存储的密钥文件的结构。
根据本公开的各种实施例,密钥文件与从PIN和装置密钥(SHK)(例如,PIN+SHK)推导出的密钥一起被打包。根据本公开的各种实施例,密钥文件可被存储在客户端电子装置的特定目录中。特别地,密钥文件可被存储在客户端电子装置的安全区的特定目录中。密钥文件可被存储在与安装在客户端电子装置的安全区中的认证应用关联的目录(例如,/data/misc/tz_ccm/<token-name>)中。根据本公开的各种实施例,UID、对象类型和对象标签中的至少一个用于识别存储对象的文件。根据本公开的各种实施例,用于认证应用的默认密钥(例如,默认CCM密钥)可具有不同的文件结构。
表2
[表2]
表2示出PIN文件结构。例如,表2示出用于对象存储的PIN文件的结构。
根据本公开的各种实施例,PIN文件可与从PIN和装置密钥(SHK)(例如,PIN+SHK)推导出的密钥一起被打包。根据本公开的各种实施例,PIN文件可被存储在客户端电子装置的特定目录中。特别地,PIN文件可被存储在客户端电子装置的安全区的特定目录中。PIN文件可被存储在与安装在客户端电子装置的安全区中的认证应用关联的目录(例如,/data/misc/tz_ccm/<client-name>)中。
表3
[表3]
表3示出默认密钥文件结构。例如,表3示出用于对象存储的默认密钥文件的结构。
根据本公开的各种实施例,默认密钥文件的文件结构类似于其他密钥文件的文件结构。根据本公开的各种实施例,可在客户端电子装置的安全区的特定目录中创建无密钥文件。例如,可在与安装在客户端电子装置的安全区中的认证应用关联的目录(例如,/data/misc/tz_ccm/<token-name>directory)中创建无密钥文件。根据本公开的各种实施例,文件结构的类型字段可指示文件是否与默认密钥相关。根据本公开的各种实施例,在与默认密钥关联的无密钥文件中提供无密钥信息。实际的默认密钥数据可被存储在装置制造商所指定的位置中。
根据本公开的各种实施例,可通过装置制造商生成和保持默认客户端证书和密钥。例如,可只针对各个客户端电子装置生成一次默认客户端证书和密钥。根据本公开的各种实施例,可通过客户端电子装置专有硬件密钥来加密默认客户端证书和密钥。
表4
[表4]
表4示出默认密钥和/或客户端证书的属性。
根据本公开的各种实施例,可使用特定加密模块或协议(例如,使用PKCS11接口)来对服务进行加密/解密。
表5
[表5]
根据本公开的各种实施例,安装在客户端电子装置的安全区中的认证应用可被构造成针对加密/解密服务使用标准密码协议。例如,认证应用可被构造成使用PKCS11。
表5示出正常PKCS 11API(例如,根据相关技术使用的PKCS11API)和客户端电子装置的安全区内的用于对服务加密/解密的PKCS11API之间的关系。
图4d示出根据本公开的各种实施例的加密/解密协议API的调用顺序的示例。
参照图4d,示出用于调用PKCS11API的调用顺序。
根据本公开的各种实施例,认证应用(例如,CCM)执行最低限度受信引导检查,以在提供任何服务之前确定系统状态。可以能以各密钥为基础构造最低限度受信引导检查的范围。例如,可在将证书安装于客户端电子装置的安全区期间,构造最低限度受信引导检查的范围。认证应用可执行最低限度受信引导检查,以确认客户端电子装置已经引导到已知状态(例如,未破解状态)。
根据本公开的各种实施例,证书和/或密钥安装和/或生成请求可指示安全级别。根据本公开的各种实施例,认证应用可使用所指示的安全级别来确定在提供服务之前需要执行的最低限度受信引导检查的范围。例如,认证应用使用注册的安全级别来确定执行受信引导检查的需要。
根据本公开的各种实施例,受信引导检查可包括授权违反(Warranty Violation,WV)熔断或WV串安全存储器检查和测量验证。
根据本公开的各种实施例,受信引导检查可不包括PKM主控面板和/或RKP检查。
根据本公开的各种实施例,可使用受信任代码(trustlet)打包API将所有令牌和元数据文件存储在加密文件系统(EFS)中。
根据本公开的各种实施例,安全模块(例如,SEAndrioid)可被实现为防止存储在EFS中的令牌和/或元数据文件被删除和/或修改。
根据本公开的各种实施例,PIN文件和/或密钥文件可被读入客户端电子装置的安全区中的特定位置。例如,PIN文件和/或密钥文件可被读入客户端电子装置的安全区中的标准位置。举例来说,如果客户端电子装置转变为INIT(例如,初始化)状态,则可从客户端电子装置的安全区将任何PIN文件和/或密钥文件打包(例如,删除),因此需要将PIN文件和/或密钥文件读入客户端电子装置的安全区。
根据本公开的各种实施例,安装操作可遵循受信引导检查。根据本公开的各种实施例,安装操作可一直遵循受信引导检查。
根据本公开的各种实施例,密码操作可遵循受信引导检查。例如,如果在可应用安装操作期间注册这些最低限度受信引导检查,则密码操作可遵循受信引导检查。
根据本公开的各种实施例,客户端电子装置可被构造成确保私有密钥决不离开客户端电子装置的安全区。
根据本公开的各种实施例,认证应用(例如,CCM)可用于企业WiFi、电子邮件认证、VPN认证(例如,用诸如例如SSL的客户端证书)的EAP-TLS。
根据本公开的各种实施例,EAP-TLS可对应于授权访问无线网络(例如,WiFi)的认证机构。例如,EAP-TLS可支持基于证书的相互认证和密钥推导。根据本公开的各种实施例,TLS当结合客户端证书使用时可更稳健。
图5a示出根据本公开的各种实施例的用于认证客户端电子装置的过程。
参照图5a,在操作510a中,将默认凭证传达到客户端电子装置。默认凭证可对应于默认证书和默认密钥(例如,默认私有密钥)。企业(例如,企业网)可将默认凭证传达到客户端电子装置。
在操作520a中,客户端电子装置接收默认凭证。客户端电子装置将默认凭证存储(例如,安装)在客户端电子装置的安全区中。如果客户端电子装置处于未破解状态,则客户端电子装置可只将默认凭证存储在客户端电子装置的安全区中。例如,客户端电子装置可在将默认凭证存储在客户端电子装置的安全区中之前,确定客户端电子装置是否处于未破解状态。客户端电子装置可通过执行一个或多个受信引导检查来确定客户端电子装置是否处于未破解状态。
在操作530a中,客户端电子装置传达要登录或以其他方式注册到企业网的请求。例如,客户端电子装置传达要登录或以其他方式注册到企业网的认证服务器的请求。客户端电子装置可将默认凭证(或其一部分)与登录/注册到企业网的请求传达到企业网。例如,客户端电子装置可将默认凭证传达到企业网。
在操作540a中,使用默认凭证,在客户端电子装置和企业网之间执行认证。例如,客户端电子装置可使用存储在客户端电子装置的安全区中的默认私有密钥进行默认证书签名。企业网可使用对应的默认公共密钥来验证客户端电子装置。
在操作550a中,企业(例如,企业网)可将客户端凭证(例如,企业凭证)传达到客户端电子装置。例如,响应于使用默认凭证来认证客户端电子装置,企业可将客户端凭证传达到客户端电子装置。客户端凭证可以是私有密钥和与企业网关联的对应证书。客户端凭证可以是客户端电子装置专有的(例如,客户端凭证可用于唯一识别与企业网相关的客户端电子装置)。只有如果企业使用默认凭证来认证客户端电子装置,企业才可将凭证传达到客户端电子装置。
在操作560a中,客户端电子装置接收客户端凭证。客户端电子装置可从企业(例如,企业网)接收客户端凭证。客户端电子装置将客户端凭证存储(例如,安装)在客户端电子装置的安全区中。如果客户端电子装置处于未破解状态,则客户端电子装置可只将客户端凭证存储在客户端电子装置的安全区中。
在操作570a中,客户端电子装置可使用客户端凭证来访问企业网。例如,企业网可使用客户端凭证来认证客户端电子装置。
图5b示出根据本公开的各种实施例的用于认证客户端电子装置的过程。
参照图5b,示出认证客户端电子装置和无线网络之间的连接的示例。
在操作510b中,客户端电子装置可操作性地从企业网503b(例如,EAP认证方服务器)接收对默认客户端证书的请求。例如,安装在客户端电子装置上的认证应用501b(例如,CCM应用)可接收对默认客户端证书的请求。认证应用501b可从企业网503b(例如,EAP认证方服务器)直接接收或者借助存储在客户端电子装置上的WiFi代理502b从企业网503b(例如,EAP认证方服务器)接收对默认客户端证书的请求。例如,WiFi代理502b可在客户端电子装置的非安全区外部进行存储和/或执行。WiFi代理502b可以是存储在客户端的非安全区中并且在正常操作环境中执行的应用。
如果在操作510b中认证应用501b接收到对默认客户端证书的请求,认证应用501b可执行被注册到被请求的默认客户端证书或者以其他方式与被请求的默认客户端证书关联的最低限度受信引导检查。例如,认证应用501b可执行受信引导检查,以确认客户端电子装置处于未破解状态。如果认证应用501b确定客户端电子装置不处于未破解状态(例如,客户端电子装置处于破解状态),则可防止客户端电子装置执行认证服务(例如,安装私有密钥、使用存储在客户端电子装置的安全区中的私有密钥进行证书签名、执行加密/解密服务等)。
根据本公开的各种实施例,如果认证应用501b确定最低限度受信引导检查满足可应用验证标准,则认证应用501b可请求登录到(例如,尝试注册到)企业网503b(例如,EAP认证方服务器)。默认客户端证书可与登录请求一起被传达。根据本公开的各种实施例,默认客户端证书和/或登录请求可从认证应用501b直接被传达到企业网503b(例如,EAP认证方服务器),或者默认客户端证书和/或登录请求可借助WiFi代理502b被传达到企业网503b(例如,EAP认证方服务器)。
此后,在操作530b中,企业网503b(例如,EAP认证方服务器)和认证应用501b可执行认证(例如,验证)。例如,认证应用501b可使用特定加密模块或协议(例如,使用PKCS11接口)对提供到WiFi代理502b和/或从WiFi代理502b接收的服务进行加密/解密。企业网503b(例如,EAP认证方服务器)和认证应用501b可使用默认密钥集来执行认证。
企业网503b(例如,EAP认证方服务器)可使用默认客户端证书和密钥操作性地建立企业网503b(例如,EAP认证方服务器)和客户端电子装置之间的SSL连接。
此后,在操作540b中,企业网503b(例如,EAP认证方服务器)可将客户端证书和/或密钥传达到客户端电子装置。例如,如果企业网503b(例如,EAP认证方服务器)对认证应用501b进行认证,则企业网503b(例如,EAP认证方服务器)可提供客户端电子装置。
在从企业网503b(例如,EAP认证方服务器)接收到客户端证书和/或密钥时,认证应用501b可安装客户端证书和/或密钥。例如,客户端电子装置可存储和/或安装客户端证书和/或密钥。
图6a和图6b示出根据本公开的各种实施例的认证过程的状态示图。
参照图6a,根据本公开的各种实施例,可允许在任何给定时间用客户端电子装置的安全区只进行一次会话。根据本公开的各种实施例,可只在任何给定时间存在受信任代码实例。
根据本公开的各种实施例,认证应用可不执行任何其他会话请求,直到当前会话被关闭。
根据本公开的各种实施例,参照图4d和图6a,当客户端电子装置当前处于INIT状态并且进行功能调用“C_OpenSession+C_Login”或“C_Logout/C_CloseSession/C_Finalize”时,功能调用“C_Intitialize”将不被执行,因为这样做将在当前时间执行不止一个会话。
类似地,根据本公开的各种实施例,当客户端电子装置处于IN_SESSION状态时并且进行“C_*Init”或“C_Logout/C_CloseSession/C_Finalize”功能调用时,将不执行功能调用“C_Intitialize/C_OpenSession/C_Login”,因为这样做将在当前时间执行不止一个会话。
参照图6b,根据本公开的各种实施例,FindObjects和密码操作可被与其他操作不同地处理。
根据本公开的各种实施例,当客户端电子装置(例如,认证应用)已经完成FindObjects操作时(例如,当认证应用已经找到对象时),客户端电子装置可转变为cryto_begin状态。
根据本公开的各种实施例,当客户端电子装置(例如,认证应用)转变为cryto_begin状态时,客户端电子装置(例如,认证应用)会丢失(例如,转变离开)FindObject状态。
参照图6b,与功能调用和状态关联的虚线是客户端电子装置(诸如,图6a中示出的客户端电子装置)的功能调用和状态。虚线将与图6a中示出的客户端电子装置关联的功能调用和状态转换到结合图6b描述的客户端电子装置的状态图上。
根据本公开的各种实施例,参照图4d和图6b,将不执行当客户端电子装置处于IN_Service Begin状态时的功能调用“C_Intitialize/C_OpenSession/C_Login/FindObjectsInit”,因为这样做将在当前时间执行不止一个会话。
类似地,将不执行当客户端电子装置处于In_Service_Session Begin状态时的功能调用“C_Intitialize/C_OpenSession/C_Login/C_FindObjectsInit”,因为这样做将在当前时间执行不止一个会话。
类似地,将不执行当客户端电子装置处于In_Service_Crypto Begin状态时的功能调用“C_Intitialize/C_OpenSession/C_Login/C_FindObjectsInit”,因为这样做将在当前时间执行不止一个会话。
根据本公开的各种实施例,客户端电子装置可被构造成防止客户端电子装置无限期地保持于给定状态。例如,客户端电子装置(例如,认证应用)可将操作的错误执行进行少于阈值数量的次数(例如,N=10),在所述阈值次数以后,客户端电子装置可将其自身从执行另一个功能调用或初始化另一个(例如,替代的)会话中解开。
根据本公开的各种实施例,客户端电子装置(例如,认证应用)可监测在重启引导客户端电子装置之后丢失的状态。例如,客户端电子装置(例如,认证应用)可使用以安装顺序和/或初始化顺序执行的一致性检查来检测丢失状态。如果客户端电子装置(例如,认证应用)检测到丢失状态,则客户端电子装置(例如,认证应用)可(例如,通过固定和/或恢复丢失状态)解决丢失状态。根据本公开的各种实施例,现有令牌的优先级高于新令牌。
图7a示出根据本公开的各种实施例的用于认证客户端电子装置的流程图。
在操作710a中,将客户端凭证(例如,企业凭证)传达到客户端电子装置。企业(例如,企业网)可将客户端凭证传达到客户端电子装置。根据本公开的各种实施例,企业(例如,企业网)可将客户端凭证直接传达到客户端电子装置。根据本公开的各种实施例,企业(例如,企业网)可借助网关将客户端凭证传达到客户端电子装置。客户端凭证可以是私有密钥和与企业(例如,企业网)关联的对应证书。客户端凭证可以是客户端电子装置专有的(例如,客户端凭证可用于唯一识别与企业网相关的客户端电子装置)。
在操作720a中,客户端电子装置从企业(例如,企业网)接收客户端凭证。
在操作730a中,客户端电子装置确定客户端电子装置是否处于未破解状态。例如,客户端电子装置可在将默认凭证存储在客户端电子装置的安全区中之前,确定客户端电子装置是否处于未破解状态。客户端电子装置可通过执行一个或多个受信引导检查来确定客户端电子装置是否处于未破解状态。
在操作740a中,客户端电子装置将客户端凭证存储(例如,安装)在客户端电子装置的安全区中。如果客户端电子装置处于未破解状态,则客户端电子装置可只将客户端凭证存储在客户端电子装置的安全区中。例如,客户端电子装置可在将客户端凭证存储在客户端电子装置的安全区中之前,确定客户端电子装置是否处于未破解状态。客户端电子装置可通过执行一个或多个受信引导检查来确定客户端电子装置是否处于未破解状态。
在操作750a中,客户端电子装置使用客户端凭证来访问企业网。例如,客户端电子装置和企业网可执行认证过程,以使用客户端凭证来验证客户端电子装置。
图7b示出根据本公开的各种实施例的用于认证客户端电子装置的过程。
参照图7b,在操作710b中,企业网704b(例如,MDM服务器)可传达客户端证书和/或客户端密钥(例如,对应于客户端证书的私有密钥)。企业网704b(例如,MDM服务器)可使用推送通信技术来传达客户端证书和/或客户端密钥。例如,企业网704b(例如,MDM服务器)可将客户端证书和/或密钥直接传达到客户端电子装置(例如,存储在客户端电子装置上的认证应用710b)。又如,企业网704b(例如,MDM服务器)可借助网关703b和/或安全代理702b(例如,KNOX代理)将客户端证书和/或客户端密钥传达到客户端电子装置。例如,安全代理702b(例如,KNOX代理)可在客户端电子装置的非安全区的外部进行存储和/或执行。安全代理702b(例如,KNOX代理)可以是存储在客户端的非安全区中并且在正常操作环境中执行的应用。企业网704b(例如,MDM服务器)可生成客户端证书和对应的私有密钥(例如,客户端密钥)。企业网704b(例如,MDM服务器)可使用安全或者受信的连接来传达客户端证书和/或客户端密钥。
根据本公开的各种实施例,在从企业网704b(例如,MDM服务器)接收到客户端证书和/或密钥时,客户端电子装置可存储(例如,安装)客户端证书和/或客户端密钥(例如,私有密钥)。根据本公开的各种实施例,客户端电子装置可确认客户端电子装置处于未破解状态。客户端电子装置可确认客户端电子装置被引导成未破解状态。客户端电子装置可通过执行一个或多个受信引导检查来确定客户端电子装置是否处于未破解状态。根据本公开的各种实施例,如果客户端电子装置确定客户端电子装置处于未破解状态,则客户端电子装置可只将客户端证书和客户端密钥存储在客户端电子装置的安全区中。
根据本公开的各种实施例,在操作720b中,客户端电子装置(例如,认证应用701b)可传达登录企业网704b(例如,MDM服务器或关联的企业网)的请求。例如,客户端电子装置可通过安全代理702b(例如,KNOX代理)和/或网关703b传达登录请求。客户端电子装置可用客户端证书来传达登录企业网704b(例如,MDM服务器)的请求。客户端证书可与客户端电子装置的身份信息打包。
在接收到登录请求时,企业网704b(例如,MDM服务器)可存储客户端证书。
此后,在操作730b中,企业网704b(例如,MDM服务器)和客户端电子装置(例如,认证应用701b)可使用客户端凭证(例如,客户端证书、客户端密钥(例如,私有密钥)、和/或对应的公共密钥)来执行认证。企业网704b(例如,MDM服务器)可验证客户端电子装置(例如,响应于客户端电子装置尝试访问与企业网704b(例如,MDM服务器)关联的企业网)。认证应用701b(例如,借助安全代理702b)和企业网704b(例如,MDM服务器)可通过特定加密模块或协议(例如,使用PKCS 11接口)执行认证处理。
根据本公开的各种实施例,企业网704b(例如,MDM服务器)可使用安全协议与安全代理702b和/或客户端电子装置通信。例如,企业网704b(例如,MDM服务器)可使用安全套接层(SSL)协议和所安装的客户端证书与安全代理702b和/或客户端电子装置通信。企业网704b(例如,MDM服务器)可通过验证客户端证书和/或客户端密钥来认证客户端电子装置。
图7c示出根据本公开的各种实施例的用于认证客户端电子装置的流程图。
参照图7,根据本公开的各种实施例,企业可选择使用第三方(例如,OEM制造商)提供的凭证。企业并不会想要一定提供证书或不会想需要企业管理和/或处理证书签名请求。举例来说,可使用默认客户端证书和密钥来认证客户端电子装置。
在操作710c中,客户端电子装置可将默认凭证存储在客户端电子装置的安全区中。默认凭证可由第三方(诸如,例如,OEM制造商)提供。默认凭证可对应于默认证书和默认私有密钥。根据本公开的各种实施例,企业(例如,企业网)、应用等可被注册以与默认凭证(例如,默认证书和/或默认密钥(例如,私有密钥))一起使用。根据本公开的各种实施例,企业(例如,企业网)、应用等可被注册以在默认凭证存储在客户端电子装置的安全区中时与默认凭证一起使用。根据本公开的各种实施例,企业(例如,企业网)、应用等可被注册以在默认凭证存储在客户端电子装置的安全区中之后与默认凭证一起使用。
在操作720c中,客户端电子装置可确定客户端电子装置是否处于未破解状态。例如,客户端电子装置可在注册企业(例如,企业网)、应用等以与默认凭证一起使用之前,确定客户端电子装置是否处于未破解状态。客户端电子装置可通过执行一个或多个受信引导检查来确定客户端电子装置是否处于未破解状态。
在操作730c中,客户端电子装置传达登录或以其他方式注册到企业(例如,企业网)的请求。例如,客户端电子装置传达登录或以其他方式注册到企业网的认证服务器的请求。客户端电子装置可用登录/注册到企业(例如,企业网)的请求将默认证书传达到企业网。例如,客户端电子装置可将默认证书传达到企业网。
在操作740c中,客户端电子装置使用默认凭证来访问企业网。例如,客户端电子装置和企业网可执行认证过程,以使用默认凭证来验证客户端电子装置。
图7d示出根据本公开的各种实施例的用于认证客户端电子装置的过程。
参照图7d,根据本公开的各种实施例,在操作710d中,客户端电子装置可操作性地接收将客户端电子装置注册到企业(例如,企业网)的请求。客户端电子装置可操作性地从企业网704d(例如,MDM服务器)接收包括默认客户端证书的请求。例如,安装在客户端电子装置上的认证应用701d(例如,CCM应用)可接收包括默认客户端证书的请求。认证应用701d可从企业网704d(例如,MDM服务器)直接接收,或者借助网关703d和/或安全代理702d(例如,KNOX代理)从企业网704d(例如,MDM服务器)接收对默认客户端证书的请求。
如果认证应用701d接收到包括默认客户端证书的请求,则认证应用701d可执行被注册到被请求的默认客户端证书或者以其他方式与被请求的默认客户端证书关联的最低限度受信引导检查。例如,认证应用701d可确认客户端电子装置处于未破解状态。认证应用701d可在存储默认客户端凭证(例如,默认客户端证书和默认客户端私有密钥)以确保默认客户端凭证不被破解之前,确认客户端电子装置处于未破解状态。
根据本公开的各种实施例,如果认证应用701d确定最低限度受信引导检查满足可应用验证标准,则认证应用701d可存储默认客户端凭证。
在操作720d中,客户端电子装置可传达将客户端电子装置登录到企业(例如,企业网704d)的请求。(例如,用默认客户端私有密钥进行签名的)默认客户端证书可与登录请求一起被传达。根据本公开的各种实施例,可将默认客户端证书和/或登录请求直接从认证应用701d传达到企业网704d(例如,MDM服务器),或者可借助网关703d和/或安全代理702d(例如,KNOX代理)将默认客户端证书和/或登录请求传达到企业网704d(例如,MDM服务器)。
在接收到默认客户端证书时,MDM服务器存储客户端证书。
此后,在操作730d中,客户端电子装置、安全代理702d(例如,KNOX代理)、网关703d、和/或企业网704d(例如,MDM服务器)可通过特定加密模块或协议(例如,使用PKCS 11接口)对提供到认证应用730d的服务进行加密/解密。客户端电子装置和企业网704d(例如,MDM服务器)可通过加密协议进行通信,以验证客户端凭证(例如,以认证客户端电子装置)。
根据本公开的各种实施例,企业网704d(例如,MDM服务器)可使用安全协议与网关703d、安全代理702d(例如,KNOX代理)、和/或客户端电子装置(例如,认证应用701d)通信。例如,企业网704d(例如,MDM服务器)可使用安全套接层(SSL)协议和所安装的客户端证书与安全代理702d和/或客户端电子装置通信。企业网704d(例如,MDM服务器)可通过验证客户端证书和/或密钥来认证客户端电子装置。
图7e示出根据本公开的各种实施例的用于认证客户端电子装置的流程图。
参照图7e,在操作710e中,客户端电子装置可将默认凭证存储在客户端电子装置的安全区中。默认凭证可由第三方(诸如,例如,OEM制造商)提供。默认凭证可对应于默认证书和默认私有密钥。根据本公开的各种实施例,企业(例如,企业网)、应用等可被注册以与默认凭证(例如,默认证书和/或默认密钥(例如,私有密钥))一起使用。根据本公开的各种实施例,企业(例如,企业网)、应用等可被注册以在默认凭证存储在客户端电子装置的安全区中时与默认凭证一起使用。根据本公开的各种实施例,企业(例如,企业网)、应用等可被注册以在默认凭证存储在客户端电子装置的安全区中之后与默认凭证一起使用。
在操作720e中,客户端电子装置传达登录到或以其他方式注册到企业(例如,企业网)、应用等的请求。例如,客户端电子装置传达登录到或以其他方式注册到企业网的认证服务器的请求。客户端电子装置可将默认证书与登录/注册到企业(例如,企业网)的请求一起传达到企业网。例如,客户端电子装置可将默认证书传达到企业网。客户端电子装置可将识别客户端电子装置的信息(例如,装置ID)传达到企业。例如,登录/注册到企业的请求可包括识别客户端电子装置的信息。
在操作730e中,可生成客户端凭证。例如,企业(例如,企业网)可生成客户端凭证。客户端凭证可包括客户端证书和私有密钥。客户端凭证可与诸如公共密钥的公共凭证相关。
在操作740e中,将客户端凭证(例如,企业凭证)传达到客户端电子装置。企业(例如,企业网)可将客户端凭证传达到客户端电子装置。根据本公开的各种实施例,企业(例如,企业网)可将客户端凭证直接传达到客户端电子装置。根据本公开的各种实施例,企业(例如,企业网)可借助网关将客户端凭证传达到客户端电子装置。客户端凭证可以是与企业网关联的私有密钥和对应证书。客户端凭证可以是客户端电子装置特有的(例如,客户端凭证可用于唯一识别与企业网相关的客户端电子装置)。
在操作750e中,客户端电子装置从企业(例如,企业网)接收客户端凭证。此后,客户端电子装置可将客户端凭证存储在客户端电子装置的安全区中。客户端电子装置可确定客户端电子装置是否处于未破解状态。例如,客户端电子装置可在将默认凭证存储在客户端电子装置的安全区中之前确定客户端电子装置是否处于未破解状态。客户端电子装置可通过执行一个或更多个受信引导检查来确定客户端电子装置是否处于未破解状态。如果客户端电子装置处于未破解状态,则客户端电子装置可只将客户端凭证存储在客户端电子装置的安全区中。例如,客户端电子装置可在将客户端凭证存储在客户端电子装置的安全区中之前确定客户端电子装置是否处于未破解状态。
在操作760e中,客户端电子装置使用客户端凭证来访问企业网。例如,客户端电子装置和企业网可执行认证过程,以使用客户端凭证来验证客户端电子装置。
图7f示出根据本公开的各种实施例的用于认证客户端电子装置的过程。
参照图7f,根据本公开的各种实施例,在操作710f中,存储在客户端电子装置的安全区中的认证应用701f可操作性地从安全代理702f(例如,存储在客户端电子装置的非安全区中并且被构造成与诸如KNOX代理的企业(例如,诸如MDM服务器的企业网704f)交互或以其他方式通信的应用)接收对默认客户端证书的请求。例如,安装在客户端电子装置上的认证应用701f(例如,CCM应用)可接收对默认客户端证书的请求。
如果认证应用701f接收对默认客户端证书的请求,则客户端电子装置(例如,认证应用701f)可确认客户端电子装置处于未破解状态。例如,认证应用701f可执行注册到被请求的默认客户端证书或以其他方式与被请求的默认客户端证书关联的最低限度受信引导检查。
根据本公开的各种实施例,如果认证应用701f确定最低限度受信引导检查满足可应用的验证标准,则随后在操作720f中,客户端电子装置可请求登录到企业(例如,企业网704f)。例如,认证应用701f可将登录到企业网704f的请求和默认客户端证书传达到企业网704f(例如,MDM服务器)。根据本公开的各种实施例,可将默认客户端证书和/或登录请求从认证应用直接传达到企业网704f(例如,MDM服务器),或者可借助安全代理702f(例如,KNOX代理)和/或网关703d将默认客户端证书和/或登录请求传达到企业网704f(例如,MDM服务器)。
在操作730f中,企业网704f(例如,MDM服务器)可生成客户端证书和私有密钥。企业网704f可生成(例如,用于访问其的)客户端凭证。
根据本公开的各种实施例,企业网704f可在生成客户端凭证之前认证客户端电子装置。企业网704f可使用可存储在客户端电子装置的安全区中的默认凭证(例如,默认客户端证书和默认私有密钥)来认证客户端电子装置。例如,客户端电子装置(例如,认证应用701f)、安全代理702f(例如,KNOX代理)、网关703f、和/或企业网704f(例如,MDM服务器)可使用默认凭证对通过特定加密模块或协议(例如,使用PKCS11接口)提供的加密/解密服务进行加密/解密。
根据本公开的各种实施例,企业网704f(例如,MDM服务器)可使用安全协议与网关703f、安全代理702f(例如,KNOX代理)和/或客户端电子装置(例如,认证应用701f)通信。例如,企业网704f(例如,MDM服务器)可使用安全套接层(SSL)协议和所安装的客户端证书与安全代理702f(例如,KNOX代理)和/或客户端电子装置(例如,认证应用701f)传达默认凭证。企业网704f(例如,MDM服务器)可通过验证可客户端证书和密钥来认证客户端电子装置。
在操作740f中,在接收到通过验证的客户端证书和/或密钥(例如,签名的客户端证书)时,客户端电子装置(例如,认证应用701f)可存储(例如,安装)客户端证书。例如,客户端电子装置可将客户端凭证存储在客户端电子装置的安全区中。客户端电子装置可确定客户端电子装置是否处于未破解状态。例如,客户端电子装置可在将默认凭证存储在客户端电子装置的安全区中之前确定客户端电子装置是否处于未破解状态。客户端电子装置可通过执行一个或更多个受信引导检查来确定客户端电子装置是否处于未破解状态。如果客户端电子装置处于未破解状态,则客户端电子装置可只将客户端凭证存储在客户端电子装置的安全区中。例如,客户端电子装置可在将客户端凭证存储在客户端电子装置的安全区中之前确定客户端电子装置是否处于未破解状态。
图8示出根据本公开的各种实施例的硬件的框图。
参照图8,硬件801可以是例如电子装置101的部分或全部。参照图8,硬件801可包括一个或多个应用处理器(AP)810、通信模块820、用户身份模块(SIM)卡824、存储器830、传感器模块840、输入模块850、显示模块860、接口870、音频模块880、相机模块891、电力管理模块895、电池896、指示器897、电机898等。
AP 810可控制连接到AP 810的一个或多个硬件或软件组件,执行数据的处理或计算(包括多媒体数据)等。举例来说,AP 810可被实现为片上芯片(SoC)。AP 810可包括图形处理单元(GPU)(未示出)。
通信模块820(例如,通信接口160)可在电子装置101和其他电子装置(例如,电子装置104、服务器106等)之间的通信中发送和接收数据。举例来说,通信模块820可包括蜂窝模块821、Wi-Fi模块823、Bluetooth模块825、GPS模块827、NFC模块828、射频(RF)模块829等中的一个或多个。
蜂窝模块821可借助通信网络(例如,LTE、LTE-A、CDMA、WCDMA、UMTS、WiBro、GSM等),提供诸如例如语音通话、视频通话、短消息服务(SMS)、互联网服务等的服务。举例来说,蜂窝模块821可使用用户身份模块(SIM)卡(例如,SIM卡824)区分和授权通信网络内的电子装置。根据本公开的各种实施例,蜂窝模块821可执行AP 810的功能的至少部分。例如,蜂窝模块821可执行多媒体控制功能的至少部分。
根据本公开的各种实施例,通信接口820和/或蜂窝模块821可包括通信处理(CP)。举例来说,蜂窝模块821可被实现为SoC。
尽管图8示出诸如蜂窝模块821(例如,CP)、存储器830、电力管理模块895作为与AP810分开的组件,但根据本公开的各种实施例,AP 810可包括以上组件(例如,蜂窝模块821)中的一个或多个,或者可与其集成。
根据本公开的各种实施例,AP 810、蜂窝模块821(例如,CP)等可通过在易失性存储器中加载,处理从非易失性存储器或其他组件中的至少一个接收的指令或数据。AP 810、蜂窝模块821、通信接口820等可在非易失性存储器中存储从其他组件中的至少一个接收的数据或通过其他组件中的至少一个生成的数据中的至少一个。
Wi-Fi模块823、Bluetooth模块825、GPS模块827、NFC模块828或等中的每个可例如包括一个或多个处理器,这些处理器可处理通过各个模块接收或发送的数据。尽管图8示出蜂窝模块821、Wi-Fi模块823、Bluetooth模块825、GPS模块827、NFC模块828作为单独块,但根据本公开的各种实施例,蜂窝模块821、Wi-Fi模块823、Bluetooth模块825、GPS模块827、NFC模块828等的任何组合(例如,其中两个或更多个)可被包括在集成芯片(IC)或IC封装中。例如,与各个蜂窝模块821、Wi-Fi模块823、Bluetooth模块825、GPS模块827、NFC模块828等对应的处理器中的至少一些可被实现为单个SoC。例如,对应于蜂窝模块821的CP和对应于Wi-Fi模块823的Wi-Fi处理器可被实现为单个SoC。
RF模块829可例如发送和接收RF信号。尽管未示出,但RF模块829可包括收发器、功率放大模块(PAM)、频率滤波器、低噪声放大器(LNA)等。RF模块834可包括用于发送和接收电磁(EM)波(例如,在自由空间等)的一个或多个组件(诸如,例如,导体或导电线)。尽管图8示出蜂窝模块821、Wi-Fi模块823、Bluetooth模块825、GPS模块827和NFC模块828正在共用一个RF模块829,但根据本公开的各种实施例,蜂窝模块821、Wi-Fi模块823、Bluetooth模块825、GPS模块827、NFC模块828等中的至少一个可借助单独的RF模块来发送和接收RF信号。
SIM卡824可以是实现SIM的卡,并且可被构造成插入电子装置的指定位置处设置的狭槽中。SIM卡824可包括特有标识符(例如,集成电路卡标识符(ICCID))用户信息(例如,互联网移动用户标识(IMSI))等。
存储器830(例如,存储器130)可包括内部存储器832、外部存储器834、或其组合。
根据本公开的各种实施例,内部存储器832可以是例如易失性存储器(例如,动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)或同步动态随机存取存储器(SDRAM))、非易失性存储器(例如,一次性可编程只读存储器(OTPROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、掩模只读存储器(ROM)、闪存ROM、NAND闪存存储器、NOR闪存存储器)等中的至少一种。
根据本公开的各种实施例,内部存储器832可以是固态驱动器(SSD)。举例来说,外部存储器834可以是闪存驱动器(例如,紧凑式闪存(CF驱动器)、安全数字(SD)、微型安全数字(微SD)卡、迷你安全数字(迷你SD)卡、极限数字(xD)、记忆棒等)。外部存储器834可借助各种接口与电子装置801操作性地联接。根据本公开的各种实施例,电子装置801可包括诸如例如硬盘驱动器(HDD)等的记录装置(或记录介质)。
传感器模块840可测量物理/环境属性,检测与电子装置801关联的操作状态等,并且将测量的和/或检测到的信息转换成诸如例如电信号或电磁信号的信号。举例来说,传感器模块840可包括姿势传感器840A、陀螺仪传感器840B、大气压传感器840C、磁性传感器840D、加速计840E、握持传感器840F、接近传感器840G、RGB传感器840H、生物计量传感器840I、温度/湿度传感器840J、亮度传感器840K、紫外(UV)传感器840M等中的至少一种。传感器模块840可检测电子装置的操作状态和/或测量物理属性,并且将检测到或测量的信息转换成电信号。另外地或可供选择地,传感器模块840还可包括例如电子鼻传感器(未示出)、肌电图(EMG)传感器(未示出)、脑电图(EEG)传感器(未示出)、红外(IR)传感器(未示出)、眼部扫描传感器(例如,虹膜传感器)(未示出)、指纹传感器等。传感器模块840还可包括用于控制其内包括的一个或多个传感器的控制电路。
输入模块850可包括触摸面板852、(数字)笔传感器854、键856、超声输入装置858等。
举例来说,触摸面板852可使用电容型、电阻型、红外型和超声型方法等来检测触摸输入。触摸面板852还可包括触摸面板控制器(未示出)。举例来说,电容型触摸面板可检测接近输入(例如,悬停输入),作为物理触摸输入的补充或替代。触摸面板852还可包括触觉层。根据本公开的各种实施例,触摸面板852可使用触觉层向用户提供触觉反馈。
举例来说,可使用与从用户接收触摸输入相同或类似的方法或者使用单独的检测片材(例如,数字转换器)来实现(数字)笔传感器854。
举例来说,键856可以是键盘、触摸键等。
举例来说,超声输入装置858可以是被构造成通过使用麦克风(例如,麦克风888)检测通过能够生成超声信号的装置生成的超声信号来识别数据。超声输入装置858可无线地检测数据。
根据本公开的各种实施例,电子装置801可使用通信模块820从与电子装置801连接的外部装置(例如,网络、计算机或服务器)接收用户输入。
显示模块860(例如,显示器150)可包括面板862、全息装置864、投影仪866等。举例来说,面板862可以是例如液晶显示器(LCD)、有源矩阵型有机发光二极管(AM-OLED)显示器等。举例来说,面板862可被构造成是柔性的、透明的、和/或可穿戴的。面板862和触摸面板852可被实现为单个模块。全息装置864可提供三维图像。例如,全息装置864可利用光波干涉在空的空间中提供三维图像。投影仪866可通过将光投影到表面(例如,墙壁、屏幕等)上来提供图像。举例来说,该表面可设置在电子装置801的内部或外部。根据本公开的各种实施例,显示模块860还可包括用于控制面板862、全息装置864、投影仪866等的控制电路。
接口870可包括例如用于高清多媒体接口(HDMI)872、通用串行总线(USB)874、投影仪876、或D-sub微型(D-sub)878等中的一个或多个接口。举例来说,接口870可以是通信接口820的部分。另外地或可供选择地,接口870可包括例如用于移动高清链路(MHL)、安全数字(SD)/多媒体卡(MMC)、红外数据协会(IrDA)等中的一个或多个接口。
音频模块880可将声音编码/解码为电信号,反之亦然。根据本公开的各种实施例,音频模块880的至少一部分可以是I/O接口140的部分。举例来说,音频模块880可对输入到扬声器882、接收器884、耳机886、麦克风888等或者从其输出的语音信息进行编码/解码。
相机模块891拍摄静止图像和/或视频。根据本公开的各种实施例,相机模块891可包括一个或多个图像传感器(例如,前方传感器模块、后方传感器模块等)(未示出)、图像信号处理器(ISP)(未示出)、或闪光灯(例如,发光二极管(闪光LED)、氙光灯等)(未示出)。
电力管理模块895可管理电子装置801的电力。尽管未示出,但电力管理模块895可包括例如电力管理集成电路(PMIC)、充电器集成电路(充电器IC)、电池测量计、燃料测量计等。
举例来说,PMIC可设置在集成电路或SoC半导体中。电子装置801的充电方法可包括有线或无线充电。充电器IC可将电池充电,可防止来自充电器的过量电压或过量电流进入电子装置801等。根据本公开的各种实施例,充电器IC可包括有线充电器IC或无线充电器IC中的至少一个。举例来说,无线充电器IC可以是磁性谐振类型、磁性感应类型、电磁波类型等。举例来说,无线充电器IC可包括诸如线圈回路、谐振电路、整流器等的电路。
举例来说,电池测量计可测量电池896的充电电平、充电时的电压、温度等。
举例来说,电池896可向电子装置801供电。举例来说,电池896可以是可再充电电池、太阳能电池等。
指示器897可指示电子装置801或其一部分的一个或多个状态(例如,启动状态、消息状态、充电状态等)。电机898可将电信号转换成机械振动。
尽管未示出,电子装置801可包括用于支持移动电视(移动TV)的一个或多个装置(例如,图形处理单元(GPU))等。用于支持移动TV的装置可支持与例如数字多媒体广播(DMB)、数字视频广播(DVB)、媒体流等兼容的媒体数据的处理。
应该理解,根据权利要求书和说明书中的描述的本公开的各种实施例可用硬件、软件或硬件和软件的组合来实现。
任何这种软件可被存储在非暂态计算机可读存储介质中。非暂态计算机可读存储介质存储一个或多个程序(软件模块),该一个或多个程序包括指令,当电子装置中的一个或多个处理器执行指令时致使电子装置执行本公开的方法。
任何这种软件可用易失性或非易失性存储器(诸如,例如,如同只读存储器(ROM)的存储装置)(无论是否可擦除或可复写)的形式存储,或者用诸如例如随机存取存储器(RAM)的存储器、存储器芯片、装置或集成电路的形式存储,或者存储在光或磁可读介质(诸如,例如,紧凑盘(CD)、数字通用盘(DVD)、磁盘或磁带等)上。应该清楚,存储装置和存储介质是适于存储包括指令的一个或多个程序的非暂态机器可读存储器的各种实施例,这些指令在被执行时实现了本公开的各种实施例。因此,各种实施例提供了包括用于实现如本说明书的权利要求中的任一个中要求保护的设备或方法的代码的程序和存储此程序的非暂态机器可读存储器。
虽然已经参照本公开的各种实施例示出和描述了本公开,本领域的技术人员应该理解,可在不脱离随附权利要求书及其等同物限定的本公开的精神和范围的情况下,可在其中进行形式和细节上的各种改变。本公开的各种实施例被只被描述为示例,而不旨在显示本公开的范围。因此,本公开的范围应该被理解为包括可在不脱离本公开的技术精神的情况下进行的任何和全部修改。

Claims (60)

1.一种电子装置,包括:
存储器,将专有密钥和匹配专有密钥的证书存储在安全环境中;
至少一个处理器,被配置为:
执行电子装置的安全环境中的应用,
通过使用所述应用从企业网接收用于与企业网建立连接的请求,
响应于接收到所述请求,通过使用所述应用确定电子装置是否安全,
当电子装置安全时,基于专有密钥和匹配专有密钥的证书与企业网建立连接,
将证书传达到企业网,
其中,专有密钥和匹配专有密钥的证书中的至少一个标识电子装置。
2.根据权利要求1所述的电子装置,其中,由电子装置的制造商控制安全环境。
3.根据权利要求1所述的电子装置,其中,专有密钥包括:
公共子密钥;以及
私有子密钥。
4.根据权利要求1所述的电子装置,其中,执行计算检查,以确定安全环境是否被破解。
5.根据权利要求4所述的电子装置,其中,电子装置在访问存储在安全环境中的数据和将数据存储在安全环境中的一者之前,执行计算检查以确认安全环境没有被破解。
6.根据权利要求1所述的电子装置,其中,在制造电子装置期间,专有密钥和匹配专有密钥的证书被安装在安全环境中。
7.根据权利要求1所述的电子装置,其中,匹配专有密钥的证书包括唯一标识电子装置的数据。
8.根据权利要求1所述的电子装置,其中,唯一标识电子装置的数据是人可读和机器可读中的至少一者。
9.根据权利要求1所述的电子装置,还包括:
正常环境,被构造成与安全环境通信。
10.根据权利要求9所述的电子装置,其中,正常环境和安全环境被构造成使用密码令牌接口进行通信。
11.根据权利要求1所述的电子装置,其中,企业网使用存储在安全环境中的密码证据来识别电子装置。
12.根据权利要求11所述的电子装置,其中,企业网用来识别电子装置的密码证据对应于与专有密钥和匹配专有密钥的证书中的至少一个包括在一起的数据。
13.根据权利要求12所述的电子装置,其中,安全环境被构造成运行确定电子装置是否被破解的实时应用。
14.根据权利要求13所述的电子装置,其中,安全环境被构造成运行实时应用,以确认电子装置在已知状态下操作。
15.根据权利要求1所述的电子装置,其中,安全环境被构造成运行密钥生成器,密钥生成器随机生成私有密钥/公共密钥对。
16.根据权利要求15所述的电子装置,其中,密钥生成器是支持高信息熵硬件的密钥生成器。
17.根据权利要求15所述的电子装置,其中,安全环境可运行密钥生成器,以响应于从装置管理器接收到生成客户端凭证和应用凭证中的至少一个的指令,随机生成私有密钥/公共密钥对。
18.根据权利要求17所述的电子装置,其中,客户端凭证和应用凭证中的至少一个被存储在安全环境中。
19.根据权利要求15所述的电子装置,其中,安全环境被构造成防止所生成的私有密钥/公共密钥对中的私有密钥被传达到安全环境外部的实体。
20.根据权利要求1所述的电子装置,其中,安全环境被构造成将匹配存储在安全环境中的凭证的证书传达到证书机构CA,并且其中,安全环境被构造成接收与匹配存储在安全环境中的凭证的证书对应的签名的证书,其中,签名的证书是通过CA进行签名的。
21.根据权利要求20所述的电子装置,其中,安全环境被构造成使用简单证书注册协议(SCEP)、证书管理协议(CMP)和通过密码消息语法(CMS)(CMC)协议进行的证书管理中的一个或多个,传达匹配存储在安全环境中的凭证的证书和由CA进行签名的证书中的至少一个。
22.根据权利要求1所述的电子装置,还包括:
正常环境,包括安全代理,
其中,安全代理被构造成将用户凭证传达到安全环境。
23.根据权利要求22所述的电子装置,其中,用户凭证包括私有密钥、证书和密码中的一个或多个。
24.根据权利要求22所述的电子装置,其中,安全代理包括受信用户接口(TUI)。
25.根据权利要求22所述的电子装置,其中,安全代理被构造成将PKCS11密码传达到安全环境。
26.根据权利要求22所述的电子装置,其中,安全环境被构造成运行用于记录失败的登录尝试和阻碍键盘记录器攻击中的至少一个的应用。
27.根据权利要求22所述的电子装置,其中,安全环境包括至少一个凭证,以及
其中,所述至少一个凭证被构造成不能被传递到另一个电子装置。
28.根据权利要求27所述的电子装置,其中,使用电子装置特有的加密来对所述至少一个凭证进行加密。
29.根据权利要求27所述的电子装置,其中,所述至少一个凭证包括使用电子装置特有的加密来加密的密码数据。
30.根据权利要求1所述的电子装置,还包括:
安全元件SE存储器,
其中,SE存储器存储密码数据。
31.一种将认证信息存储到电子装置上的方法,所述方法包括:
电子装置在电子装置的安全环境中接收专有密钥和匹配专有密钥的证书;以及
将专有密钥和匹配专有密钥的证书存储在电子装置的安全环境中,
通过使用应用从企业网接收用于与企业网建立连接的请求,
响应于接收到所述请求,通过使用所述应用确定电子装置是否安全,
当电子装置安全时,基于专有密钥和匹配专有密钥的证书与企业网建立连接,
将证书传达到企业网,
其中,专有密钥和匹配专有密钥的证书中的至少一个标识电子装置。
32.根据权利要求31所述的方法,其中,由电子装置的制造商控制安全环境。
33.根据权利要求31所述的方法,其中,专有密钥包括:
公共子密钥;以及
私有子密钥。
34.根据权利要求31所述的方法,还包括:
对电子装置的状态执行计算检查;以及
根据计算检查来确定电子装置的安全环境是否被破解。
35.根据权利要求34所述的方法,其中,在访问存储在安全环境中的数据并且将数据存储在安全环境中的一者之前,执行对电子装置的状态进行计算检查并且确定电子装置的安全环境是否被破解,以确认安全环境没有被破解。
36.根据权利要求31所述的方法,其中,在制造电子装置期间,专有密钥和匹配专有密钥的证书被电子装置接收并且存储在安全环境中。
37.根据权利要求31所述的方法,其中,匹配专有密钥的证书包括唯一标识电子装置的数据。
38.根据权利要求31所述的方法,其中,唯一标识电子装置的数据是人可读和机器可读中的至少一者。
39.根据权利要求31所述的方法,还包括:
在电子装置的正常环境和安全环境之间进行数据通信。
40.根据权利要求39所述的方法,其中,在电子装置的正常环境和安全环境之间进行数据通信的步骤包括:
使用密码令牌接口在正常环境和安全环境之间进行数据通信。
41.根据权利要求31所述的方法,其中,企业网使用存储在安全环境中的密码证据来识别电子装置。
42.根据权利要求41所述的方法,其中,企业网用来识别电子装置的密码证据对应于与专有密钥和匹配专有密钥的证书中的至少一个包括在一起的数据。
43.根据权利要求42所述的方法,还包括:
在安全环境中,运行确定电子装置是否被破解的实时应用。
44.根据权利要求43所述的方法,其中,实时应用确认电子装置在已知状态下操作。
45.根据权利要求31所述的方法,还包括:
在安全环境中运行密钥生成器,密钥生成器随机生成私有密钥/公共密钥对。
46.根据权利要求45所述的方法,其中,密钥生成器是支持高信息熵硬件的密钥生成器。
47.根据权利要求45所述的方法,还包括:
由在电子装置的正常环境中操作的安全代理从装置管理器接收生成客户端凭证和应用凭证中的至少一个的请求;
安全代理指示安全环境生成客户端凭证和应用凭证中的至少一个;以及
通过安全环境允许密钥生成器,密钥生成器响应于接收到生成客户端凭证和应用凭证中的至少一个的指令,随机生成私有密钥/公共密钥对。
48.根据权利要求47所述的方法,还包括:
将客户端凭证和应用凭证中的至少一个存储在安全环境中。
49.根据权利要求45所述的方法,还包括:
通过安全环境,防止所生成的私有密钥/公共密钥对中的私有密钥被传达到安全环境外部的实体。
50.根据权利要求31所述的方法,还包括:
由电子装置将匹配存储在安全环境中的凭证的证书传达到证书机构CA;
由电子装置接收与匹配存储在安全环境中的凭证的证书对应的签名的证书;
由电子装置将签名的证书存储在安全环境中,
其中,签名的证书是通过CA进行签名的。
51.根据权利要求50所述的方法,其中,将匹配存储在安全环境中的凭证的证书传达到CA的步骤包括:
由电子装置使用简单证书注册协议(SCEP)、证书管理协议(CMP)和通过密码消息语法(CMS)(CMC)协议进行的证书管理中的一个或多个,传达匹配存储在安全环境中的凭证的证书和由CA进行签名的证书中的至少一个。
52.根据权利要求31所述的方法,还包括:
将安全代理存储在电子装置的正常环境中,
其中,安全代理被构造成将用户凭证传达到安全环境。
53.根据权利要求52所述的方法,其中,用户凭证包括私有密钥、证书和密码中的一个或多个。
54.根据权利要求52所述的方法,其中,安全代理包括受信用户接口(TUI)。
55.根据权利要求52所述的方法,还包括:由安全代理将PKCS11密码传达到安全环境。
56.根据权利要求52所述的方法,还包括:
由安全代理运行用于记录失败的登录尝试的应用和用于阻碍键盘记录器攻击的应用中的至少一个。
57.根据权利要求52所述的方法,其中,安全环境包括至少一个凭证,以及
其中,所述至少一个凭证被构造成不能被传递到另一个电子装置。
58.根据权利要求57所述的方法,还包括:
使用电子装置特有的加密来加密所述至少一个凭证。
59.根据权利要求57所述的方法,其中,所述至少一个凭证包括使用电子装置特有的加密来加密的密码数据。
60.根据权利要求31所述的方法,还包括:
将密码数据存储在电子装置的安全元件(SE)存储器中。
CN201580009833.7A 2014-02-21 2015-02-16 用于认证客户端凭证的方法和设备 Expired - Fee Related CN106031087B (zh)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201461942901P 2014-02-21 2014-02-21
US61/942,901 2014-02-21
US14/586,045 2014-12-30
US14/586,045 US9635014B2 (en) 2014-02-21 2014-12-30 Method and apparatus for authenticating client credentials
KR10-2015-0022731 2015-02-13
KR1020150022731A KR102289713B1 (ko) 2014-02-21 2015-02-13 클라이언트 자격 증명 인증 방법 및 장치
PCT/KR2015/001589 WO2015126136A1 (en) 2014-02-21 2015-02-16 Method and apparatus for authenticating client credentials

Publications (2)

Publication Number Publication Date
CN106031087A CN106031087A (zh) 2016-10-12
CN106031087B true CN106031087B (zh) 2019-08-23

Family

ID=53883389

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580009833.7A Expired - Fee Related CN106031087B (zh) 2014-02-21 2015-02-16 用于认证客户端凭证的方法和设备

Country Status (4)

Country Link
US (1) US9635014B2 (zh)
EP (1) EP3108613B1 (zh)
KR (1) KR102289713B1 (zh)
CN (1) CN106031087B (zh)

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9542558B2 (en) * 2014-03-12 2017-01-10 Apple Inc. Secure factory data generation and restoration
GB201408539D0 (en) * 2014-05-14 2014-06-25 Mastercard International Inc Improvements in mobile payment systems
US9736145B1 (en) * 2014-08-01 2017-08-15 Secureauth Corporation Generation and validation of derived credentials
US10185669B2 (en) * 2014-08-04 2019-01-22 Oracle International Corporation Secure key derivation functions
US9148408B1 (en) * 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
US9906497B2 (en) 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
US9668136B2 (en) 2015-09-25 2017-05-30 Citrix Systems, Inc. Using derived credentials for enrollment with enterprise mobile device management services
US9866519B2 (en) 2015-10-16 2018-01-09 Cryptzone North America, Inc. Name resolving in segmented networks
US9736120B2 (en) 2015-10-16 2017-08-15 Cryptzone North America, Inc. Client network access provision by a network traffic manager
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US10142323B2 (en) 2016-04-11 2018-11-27 Huawei Technologies Co., Ltd. Activation of mobile devices in enterprise mobile management
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
CN105763745A (zh) * 2016-04-26 2016-07-13 努比亚技术有限公司 一种数据保护方法、装置及移动终端
US10826875B1 (en) * 2016-07-22 2020-11-03 Servicenow, Inc. System and method for securely communicating requests
US9923755B2 (en) * 2016-08-01 2018-03-20 Data I/O Corporation Device programming with system generation
US11050605B2 (en) * 2016-08-01 2021-06-29 Data I/O Corporation Device programming with system generation
US10733284B2 (en) * 2016-10-06 2020-08-04 Samsung Electronics Co., Ltd. Trusted execution environment secure element communication
US10523678B2 (en) 2016-10-25 2019-12-31 Sean Dyon System and method for architecture initiated network access control
US10505983B2 (en) * 2016-11-09 2019-12-10 Airwatch Llc Enforcing enterprise requirements for devices registered with a registration service
US10033722B2 (en) * 2016-11-21 2018-07-24 Citrix Systems, Inc. Mobile device using shared digital certificate for different managed enterprise applications and related methods
US11165565B2 (en) 2016-12-09 2021-11-02 Microsoft Technology Licensing, Llc Secure distribution private keys for use by untrusted code
US10587421B2 (en) * 2017-01-12 2020-03-10 Honeywell International Inc. Techniques for genuine device assurance by establishing identity and trust using certificates
CN108509811B (zh) * 2017-02-28 2022-03-22 菜鸟智能物流控股有限公司 一种应用安装设备的识别方法和相关装置
US10623389B2 (en) * 2017-05-11 2020-04-14 International Business Machines Corporation Authenticating a device based on communication patterns in a group of devices
US10887306B2 (en) 2017-05-11 2021-01-05 International Business Machines Corporation Authenticating an unknown device based on relationships with other devices in a group of devices
US11151253B1 (en) 2017-05-18 2021-10-19 Wells Fargo Bank, N.A. Credentialing cloud-based applications
US10972468B2 (en) 2017-11-21 2021-04-06 Vmware, Inc. Adaptive device enrollment
US10798103B2 (en) * 2017-11-21 2020-10-06 VWware, Inc. Adaptive device enrollment
US10986078B2 (en) 2017-11-21 2021-04-20 Vmware, Inc. Adaptive device enrollment
US10749870B2 (en) 2017-11-21 2020-08-18 Vmware, Inc. Adaptive device enrollment
GB2568873B (en) * 2017-11-23 2021-09-22 Advanced Risc Mach Ltd Distributed management system for internet of things devices and methods thereof
EP3732599A4 (en) * 2017-12-29 2021-09-01 Idee Limited SINGLE SIGN-ON (SSO) USING CONTINUOUS AUTHENTICATION
KR102511778B1 (ko) * 2018-03-05 2023-03-21 삼성전자주식회사 전자 디바이스 및 전자 디바이스의 디지털 키 프로비저닝 수행 방법
US11190827B2 (en) 2018-04-30 2021-11-30 Qualcomm Incorporated Method for broadcast service signaling
US10506436B1 (en) 2018-06-11 2019-12-10 Anduril Industries Inc. Lattice mesh
CN109274684B (zh) * 2018-10-31 2020-12-29 中国—东盟信息港股份有限公司 基于eSIM通讯与导航服务为一体的物联网终端系统及其实现方法
US11089475B2 (en) * 2018-11-06 2021-08-10 Red Hat, Inc. Booting and operating computing devices at designated locations
US10588013B1 (en) * 2019-01-18 2020-03-10 T-Mobile Usa, Inc. Device activation enablement
EP3827609B1 (en) * 2019-07-03 2022-04-13 Google LLC Anonymous device authentication
JP6715379B1 (ja) * 2019-07-11 2020-07-01 一般財団法人日本情報経済社会推進協会 電子証明書導入・運用システム、電子証明書導入・運用方法、及び証明書申請装置
US10805083B1 (en) 2019-09-04 2020-10-13 Capital One Services, Llc Systems and methods for authenticated communication sessions
CN110943843B (zh) * 2019-11-20 2022-03-25 艾体威尔电子技术(北京)有限公司 一种适用于小内存嵌入式设备的pkcs#7签名实现方法
EP4312448A3 (en) * 2019-12-06 2024-04-10 Samsung Electronics Co., Ltd. Method and electronic device for managing digital keys
CN114981810B (zh) * 2020-01-07 2023-06-23 维萨国际服务协会 通用非接触式内核系统和方法
JP7102461B2 (ja) * 2020-06-08 2022-07-19 一般財団法人日本情報経済社会推進協会 電子証明書導入・運用システム、電子証明書導入・運用方法、及び証明書申請装置
US20210400483A1 (en) * 2020-06-18 2021-12-23 Nec Corporation Of America Verifying a path of a mobile wireless device based on wireless mapping
WO2022107171A1 (en) * 2020-11-19 2022-05-27 Gomes Brosnan System to store and update credentials on a physical access devices and nfc tag using wireless mesh networks and method thereof
US20230140517A1 (en) * 2021-10-28 2023-05-04 Arris Enterprises Llc Access-point passphrase identification using key matching
US11706207B1 (en) * 2022-11-22 2023-07-18 Integrity Security Services Llc Application programming interface for certificate management systems
US11750732B1 (en) * 2023-02-20 2023-09-05 14788591 Canada Inc. System for introducing features to an in-vehicle infotainment system and method of use thereof

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8756417B1 (en) * 2014-02-04 2014-06-17 Sypris Electronics, Llc Multi-level assurance trusted computing platform

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120084566A1 (en) * 2010-10-04 2012-04-05 Edward Chin Methods and systems for providing and controlling cryptographic secure communications across unsecured networks
US8064598B2 (en) * 2007-02-26 2011-11-22 Nokia Corporation Apparatus, method and computer program product providing enforcement of operator lock
BRPI0815605B1 (pt) * 2007-08-06 2020-09-15 Bernard De Monseignat Método para a comunicação de dados usando um dispositivo de computação; método para gerar uma segunda versão de um componente de comunicação de dados usando um dispositivo de computação; método para comunicação de dados usando um dispositivo de computação; método para a criação de um certificado usando um dispositivo de computação; e método para usar um certificado utilizando um dispositivo de computação
US9443068B2 (en) * 2008-02-20 2016-09-13 Micheal Bleahen System and method for preventing unauthorized access to information
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
DE102008029636A1 (de) 2008-06-23 2009-12-24 Giesecke & Devrient Gmbh Freischalten eines Dienstes auf einem elektronischen Gerät
US20100077208A1 (en) 2008-09-19 2010-03-25 Microsoft Corporation Certificate based authentication for online services
US8578153B2 (en) * 2008-10-28 2013-11-05 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for provisioning and managing a device
US8793758B2 (en) * 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
JP2013519929A (ja) * 2010-02-16 2013-05-30 パナソニック株式会社 情報処理装置、情報処理システム、ソフトウェアルーチン実行方法およびリモート認証方法
US8924715B2 (en) 2010-10-28 2014-12-30 Stephan V. Schell Methods and apparatus for storage and execution of access control clients
US8953790B2 (en) * 2011-11-21 2015-02-10 Broadcom Corporation Secure generation of a device root key in the field
RU2595904C2 (ru) 2012-02-14 2016-08-27 Эппл Инк. Способы и устройство для крупномасштабного распространения электронных клиентов доступа
US8392712B1 (en) 2012-04-04 2013-03-05 Aruba Networks, Inc. System and method for provisioning a unique device credential
US9436940B2 (en) * 2012-07-09 2016-09-06 Maxim Integrated Products, Inc. Embedded secure element for authentication, storage and transaction within a mobile terminal
US8782401B2 (en) * 2012-09-26 2014-07-15 Intel Corporation Enhanced privacy ID based platform attestation
WO2015094261A1 (en) * 2013-12-19 2015-06-25 Intel Corporation Policy-based trusted inspection of rights managed content

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8756417B1 (en) * 2014-02-04 2014-06-17 Sypris Electronics, Llc Multi-level assurance trusted computing platform

Also Published As

Publication number Publication date
KR102289713B1 (ko) 2021-08-17
EP3108613B1 (en) 2019-10-23
EP3108613A4 (en) 2017-09-20
US20150244711A1 (en) 2015-08-27
CN106031087A (zh) 2016-10-12
KR20150099441A (ko) 2015-08-31
EP3108613A1 (en) 2016-12-28
US9635014B2 (en) 2017-04-25

Similar Documents

Publication Publication Date Title
CN106031087B (zh) 用于认证客户端凭证的方法和设备
US10447486B2 (en) Remote attestation of a security module&#39;s assurance level
WO2017197974A1 (zh) 一种基于生物特征的安全认证方法、装置及电子设备
US8595810B1 (en) Method for automatically updating application access security
EP3057053B1 (en) Electronic device and method for processing secure information
TWI470989B (zh) 在應用及網際網路為基礎服務上提供信任單一登入存取方法及裝置
US10164963B2 (en) Enforcing server authentication based on a hardware token
US11722315B2 (en) Factory data storage and recovery
US10931464B2 (en) Communication system, hardware security module, terminal device, communication method, and program
US20140101453A1 (en) Real identity authentication
US20150039908A1 (en) System and Method for Securing A Credential Vault On A Trusted Computing Base
CN113474774A (zh) 用于认可新验证器的系统和方法
US9723003B1 (en) Network beacon based credential store
CN105960774A (zh) 近场通信认证机制
JP2012530311A5 (zh)
US10536846B1 (en) Secure optical data exchange for stand alone certificate authority device
US10708045B2 (en) Confidential information setting method, confidential information setting system, and confidential information setting apparatus
US10129299B1 (en) Network beacon management of security policies
EP3029879B1 (en) Information processing device, information processing method, and computer program
US9443069B1 (en) Verification platform having interface adapted for communication with verification agent
WO2018022383A1 (en) Authenticating a device utilizing a secure display
US20180165436A1 (en) Login mechanism for operating system
WO2017080397A1 (zh) 注册或登录的方法、装置、电子设备及可编程设备
US20150264048A1 (en) Information processing apparatus, information processing method, and recording medium
US11240369B2 (en) Dedicated mobile device in support of secure optical data exchange with stand alone certificate authority

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20190823

Termination date: 20220216

CF01 Termination of patent right due to non-payment of annual fee