CN106415572A - 用于授权连接的设备请求的安全加密处理器 - Google Patents
用于授权连接的设备请求的安全加密处理器 Download PDFInfo
- Publication number
- CN106415572A CN106415572A CN201580005387.2A CN201580005387A CN106415572A CN 106415572 A CN106415572 A CN 106415572A CN 201580005387 A CN201580005387 A CN 201580005387A CN 106415572 A CN106415572 A CN 106415572A
- Authority
- CN
- China
- Prior art keywords
- equipment
- response
- request
- authorization
- authorization requests
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
- G06F9/5033—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering data affinity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Time Recorders, Dirve Recorders, Access Control (AREA)
Abstract
这里描述的计算设备利用计算设备的安全加密处理器,以计算对从另一本地或远程设备接收的授权请求的响应。安全加密处理器基于由用于一个或多个设备的安全加密处理器存储的受保护的授权凭证来计算响应。计算设备然后向另一设备提供计算出的响应,以使另一设备授予或拒绝授权。计算设备还可以显示与授权请求相关联的信息、接收指示请求的批准的输入、并且响应于所接收的输入来利用安全加密处理器。
Description
背景技术
为了补偿密码的公知缺点,双因素认证将拥有物理标记增加为要求。例如,具有低安全加密能力的“智能卡”是由企业使用以用于认证身份和授权请求的常见物理标记。不幸地是,发布智能卡可能是昂贵的并且要求用户持有用于多个目的的多个卡。用户具有忘记读卡器中他们的卡的坏习惯,并且接受智能卡的系统需要读取它们的另外的硬件。在远程场景中,无特权用户可能需要来自管理员的另外的授权以执行特权动作,但这可能要求管理员向用户暴露他或她的凭证。
为了避免围绕智能卡的难点,具有安全凭证的蓝牙设备已经代替智能卡而使用。然而这些蓝牙设备对于安全凭证缺少充分的保护,所以智能卡对于双因素认证依然是压倒性的选择。
发明内容
代替利用智能卡,可以由另外的设备的安全加密处理器来提供授权,安全加密处理器可以对寻求授权的设备是本地的或对寻求授权的设备是远程的。授权可以认证请求设备处的用户的身份,或授权请求设备寻求执行的动作。另外的设备可以接收授权请求,利用其安全加密处理器来计算对请求的响应,并且向请求设备提供计算出的响应。安全加密处理器可以至少部分基于由用于一个或多个设备的安全加密处理器存储的受保护的授权凭证来计算响应。另外的设备还可以向用户显示与请求相关联的信息,以获得用户对请求的同意。
提供该发明内容是为了简化形式引入构思的选择,在具体实施方式中进一步描述构思。该发明内容无意标识所要求保护的主题的关键或基本特征,也不用于确定或限制所要求保护的主题的范围。
附图说明
参照附图阐述详细描述。在附图中,附图标记的最左边的(多个)数字识别附图标记首先出现的附图。相同的附图标记在不同附图中的使用指示类似或相同的条目或特征。
图1图示了包括彼此本地的请求设备和授权设备的环境,授权设备利用其安全加密处理器以计算对来自请求设备的授权请求的响应。
图2图示了包括彼此远程的请求设备和授权设备的环境,授权设备利用其安全加密处理器以计算对来自请求设备的授权请求的响应。
图3图示了包括具有用于授权用于一个或多个请求设备的请求的受保护的授权凭证的安全加密处理器的示例计算设备。
图4图示了包括使得示例计算设备能够从另一计算设备请求授权的模块和数据的示例计算设备。
图5图示了用于利用安全加密处理器来计算对从另一设备接收的授权请求的响应并且向另一设备提供响应的示例过程。
图6图示了用于从装配有用于授权请求的安全加密处理器的另一设备请求授权、从另一设备接收响应并且基于响应授予或拒绝请求的示例过程。
具体实施方式
本公开部分描述了装配有安全加密处理器的授权设备,授权设备使用安全加密处理器以计算对从另一本地或远程设备(“请求设备”)接收的授权请求的响应。如这里所使用的,“授权请求”指的是认证请求设备处的用户的身份的请求和授权请求设备寻求执行的动作的请求这两者。安全加密处理器基于由用于一个或多个设备的安全加密处理器存储的受保护的授权凭证来计算响应。授权设备然后向请求设备提供计算出的响应,以使请求设备授予或拒绝授权。授权设备可以还显示与授权请求相关联的信息,接收指示请求的批准的输入,并且响应于所接收的输入利用安全加密处理器。
本公开还描述了被配置为从本地或远程授权设备请求授权的请求设备。响应于从请求设备的应用或平台接收请求,请求设备可以从证书或从目录条目来识别授权设备。请求可以例如是登陆请求或升级(elevation)请求,并且这种证书预先可以已经由授权设备从无线广播接收,或者可以已经从另一源接收。请求设备然后向识别的授权设备提供授权请求,并且接收对由授权设备的安全加密处理器计算的请求的响应。请求设备然后至少部分基于计算出的响应来授予或拒绝从请求设备的应用或平台接收的请求。
示例环境
图1图示了包括彼此本地的请求设备和授权设备的环境,授权设备利用其安全加密处理器以计算对来自请求设备的授权请求的响应。如在位置102处图示的,授权设备104可以接近请求设备106,并且可以在无线连接108上与请求设备106通信。授权设备104可以具有授权设备104可以响应于从请求设备106接收授权请求112而利用的安全加密处理器110。安全加密处理器110可以计算对授权请求112的授权响应114,并且授权设备104可以向请求设备106提供授权响应114。在一些实施例中,授权设备104可以向用户116显示用户界面118,用户界面118具有与授权请求112相关联的信息,以寻求用户116对授权请求112的同意。
授权设备104和请求设备106可以各实现为任意种类的计算设备,诸如个人计算机(PC)、膝上型计算机、工作站、服务器系统、主机、蜂窝电话、智能电话、平板计算机、媒体中心、媒体设备、游戏控制台、计算器、电子阅读器、标记阅读器、家电、车辆、或可佩带计算设备。而且,授权设备104和请求设备106中的每个的模块和数据可以实现在单个计算设备中或分布在多个计算设备之中。在一些实施例中,授权设备104和请求设备106中的一个或多个可以实现为计算设备上的虚拟机。示例授权设备104图示在图3中,并且下面相对于该附图详细地描述。示例请求设备106图示在图4中,并且下面相对于该附图详细地描述。
无线连接108可以是任意种类的无线连接,诸如(多个)任意公用无线网络或私有无线网络上的连接、WiFi连接、或近场通信(NFC)连接。(多个)这种网络可以是局域网(LAN)、个人区域网(PAN)、或这两者的某种组合。无线连接108如所述在单个位置102处可以在接近的设备之间。被认为是“接近”或“位置”的内容可以在实施例之间变化。授权请求112和授权请求114在无线连接108上的传输可以被加密或解密。
在各种实施例中,出于多个原因中的任意原因,请求设备106可以向授权设备104发送授权请求112。例如,用户可以寻求登陆到请求设备106或升级他或她的许可,以便访问请求设备106的某种服务或特征。备选地,请求设备106可以是向用户116发布挑战的标记阅读器,用户116寻求进入被标记阅读器保护的场所(premise)。在其他示例中,请求设备106可以是寻求用于某种动作的授权的计算设备,诸如购买媒体内容、进行一些其他购买、初始化与第三方的通信、提供对车辆或车库的访问、或对与积分卡或积分账户相关联的积分进行兑奖。在另一示例中,请求设备106可以寻求认证身份(例如,以确保呈递机票的用户是用户所声称的人)。任意数量的其他目的(诸如可以使用智能卡的目的)可以是寻求授权的原因。
授权请求112可以由请求设备106的任意应用或操作系统部件形成和传输。例如,如果请求设备106的用户做出登陆或升级请求,则操作系统的登陆提供器可以制定(formulate)授权请求112或调用另一应用或部件以制定授权请求112。在发送授权请求112之前,请求设备106确定将授权请求112发送到哪个授权设备104。为了识别授权设备104,请求设备106可以查阅请求设备106的证书存储器或活动目录,或者可以查阅远程、本地或部分本地和部分远程存储的企业目录。证书或目录条目(例如,由登陆或升级请求中输入的用户名指向的一个证书或目录条目)可以包括一个或多个授权设备104的列表,所述列表可以是优先级化列表。如果列表是按优先级排列的,则请求设备106可以无线连接到接近请求设备106的最高优先级的授权设备104。在其他实施例中,请求设备106还可以远程考虑可访问的授权设备104,如下面参照图2描述的。在其他示例中,诸如当请求设备106是标记阅读器时,请求设备106可以识别授权设备104的接近并且与授权请求112自动响应。
在一些实施例中,请求设备106可以已经预先接收证书并将证书存储在其证书存储器中。这种证书可以已经由授权设备104无线地广播。备选地或另外地,请求设备106的目录可以已经预先由远程服务来填入。
然后,授权请求112在无线连接108上由请求设备106的应用或部件传达给被识别和选择的授权设备104。在接收授权请求112时,授权设备104的授权模块可以处理授权请求112。授权设备104的授权模块可以检查授权请求112并且确定是否向授权设备104的用户界面118显示与授权请求112相关联的信息。对于所有授权请求112,对于来自特定请求设备106或多个类别的请求设备106的授权请求112,或者对于具体授权请求112,授权模块可以基于由授权设备104存储的策略偏好或授权请求112的内容中的一个或两者向用户界面118显示信息。
在一些实施例中,授权设备104的授权模块向用户界面118显示指示被寻求的授权的信息(例如,“以$10购买是可以的”)、请求设备106的身份或请求设备106的用户的身份或这两者、和同意或拒绝授权请求112的可选选项。授权模块还可以显示一个或多个可选条件(例如,在频道13上没有观看内容),以置于授权或用于输入这种条件的字段。备选地或另外地,授权模块可以在用户界面118上显示一个或多个问题(例如,“您的孩子观看频道13上的内容可以吗?”),这可以导致条件被置于授权。所显示的信息、所呈现的条件或所问的问题可以基于授权请求112中包括的策略由授权模块来确定。
在进一步的实施例中,授权请求112可以包括在请求设备106处捕获的照片,诸如请求设备106的用户的照片。授权设备104的授权模块可以向用户界面118显示照片,以使得用户116能够至少部分基于照片同意或拒绝授权请求112。
在一些实施例中,授权请求112可以包括请求设备106的位置。虽然用户可能认为授权请求112来自用户116和授权设备104接近的设备,但该设备可以仅充当用于远程请求设备106的通信中继。授权设备104的授权模块可以向用户界面118显示位置,以使得用户116能够至少部分基于请求设备106的位置来同意或拒绝授权请求112。
在各种实施例中,授权模块还可以确定是否请求用户116输入个人识别号(PIN),以验证用户116是应当同意或拒绝授权请求112的人。授权模块可以基于授权请求112的内容、基于由授权设备104存储的策略偏好、或基于请求设备106是否是可信的机器来确定是否请求PIN输入。授权模块可以通过授权设备104的用户界面118或通过任意其他输入和输出机构来请求和接收PIN。在其他或另外的实施例中,除了或代替PIN之外,授权模块可以请求生物识别。
如果用户116拒绝授权请求112,则授权模块可以简单地准备和提供授权响应114,授权响应114指示已经拒绝了授权请求112。如果用户116同意授权请求112,则授权模块可以调用授权设备104的安全加密处理器110。授权模块可以通过授权设备104的操作系统的加密处理器客户端来调用安全加密处理器110。
在各种实施例中,安全加密处理器110可以是任意种类的安全处理器,诸如可信平台模块(TPM)。这种TPM可以是硬件或固件/软件TPM,并且可以存储用于一个或多个请求设备的、受保护的授权凭证,诸如私人密钥。当用于计算对请求设备106的授权请求112的授权响应114时,通过例如利用凭证对授权响应进行签名,安全加密处理器110可以识别用于请求设备106的受保护的授权凭证,并且利用那些凭证以计算授权响应114。如果PIN已经被请求和输入,则安全加密处理器110还可以在计算授权响应114时利用PIN。
在一些实施例中,安全加密处理器110可以包括到一个或多个云安全加密处理器的指针或链接,并且可以利用云安全加密处理器以计算授权响应114。特定类型的授权请求112或用于特定请求设备106的请求可以使它们的授权响应114由安全加密处理器来计算,而其他请求112可以使它们的授权响应114由云安全加密处理器来计算。例如,与更少的关键安全凭证相关联的请求112可以使响应114由安全加密处理器110来计算,而与关键安全凭证相关联的请求可以使响应114由云安全加密处理器来计算。
在安全加密处理器110已经计算出授权响应114之后,授权设备104的授权模块可以在无线连接108上向请求设备106提供授权响应114。在多个实施例中,授权模块可以包括具有置于授权的一个或多个条件的计算出的授权响应114。这种条件可以已经基于与用户界面118的上述交互被输入、选择、或导出,或可以从由授权设备104存储的策略偏好获取。
在一些实施例中,请求设备106然后可以向用于验证的机构(例如,域控制器)提供授权响应114。如果机构验证了授权响应114,则请求设备106可以授予所请求的授权并认证用户或执行动作(无论什么对应于所寻求的授权)。如果授权响应114包括关于授权的一个或多个条件,则所请求的授权可以受制于那些条件而被授予。在多个实施例中,授权可以以授权设备104的持续接近为条件,并且可以在授权设备104离开位置102时失效。在进一步的实施例中,授权响应114可以包括长的、复杂的密码,请求设备106可以向其登陆提供器提供长的、复杂的密码以完成初始化登陆。
在各种实施例中,请求设备106还可以是具有安全加密处理器的授权设备,并且可以参与与授权设备104的双向授权。这种双向授权可以包含授权设备104充当请求设备、与授权请求112同时地向请求设备106发送授权请求、以及与授权响应114的计算和发送同时地接收由请求设备106计算出的授权响应。
图2图示了包括彼此远程的请求设备和授权设备的环境,授权设备利用其安全加密处理器以计算对来自请求设备的授权请求的响应。如图图示,在位置206处具有授权设备204的用户202可以在网络214上与在位置212处具有请求设备210的用户208通信。授权设备204具有安全加密处理器216,授权设备204响应于从请求设备210接收授权请求218,利用安全加密处理器216以计算授权响应220。授权设备204然后向请求设备210提供计算出的授权响应220。
位置206和212可以是彼此不同的任意两个位置。这种位置206和212可以在无线连接的范围之外,诸如图1图示的无线连接208。授权设备204和请求设备210可以是与授权设备104和请求设备106相同种类的设备,并且可以具有上述相同的能力。
在一些实施例中,用户208可以寻求登陆到请求设备210,或者可以寻求升级特权,以对请求设备210执行某种动作。为了完成登陆或获得升级特权,请求设备210可以在网络214上向远程授权设备204发送授权请求218。在其他实施例中,用户208可以是寻求进行购买并且需要来自父母的许可的儿童,该父母可以是用户202。为了进行购买,请求设备210可以在网络214上向远程授权设备204发送授权请求218,并且接收授予或拒绝购买请求的授权响应220。
网络214可以是或包括公用网络或私用网络,诸如因特网、分组交换网络、电路交换网络、或分组交换网络和电路交换网络的组合。网络214可以包括例如由一个或多个广域网(WAN)、一个或多个局域网(LAN)和/或一个或多个个人区域网(PAN)连接的多个计算设备。网络214的这些计算设备中的这些设备之间的通信可以是有线的、无线的、或这两者。这些通信可以利用用于发送和接收消息的、本领域中已知的任意种类的通信协议,诸如传输控制协议/因特网协议(TCP/IP)、超文本传输协议(HTTP)、可扩展通讯和表示协议(XMPP)、和/或会话发起协议(SIP)。
安全加密处理器216可以是与上面详细地描述的安全加密处理器110相同种类的加密处理器。除了授权请求218和授权响应220在网络214上传输之外,授权请求218和授权响应220也可以与授权请求112和授权响应114相同。
示例设备
图3图示了包括具有用于授权用于一个或多个请求设备的请求的受保护的授权凭证的安全加密处理器的示例计算设备300。计算设备300可以是授权设备104或204的示例。如图图示,计算设备300包括存储器302,其存储具有加密处理器客户端306的操作系统304、授权模块308和策略偏好310。计算设备300还包括存储受保护的授权凭证314的安全加密处理器312、(多个)处理器31、可移除储存器318、非可移除储存器310、(多个)输入设备322和(多个)输出设备324,并且具有与其他计算设备328的(多个)通信连接326。
在各种实施例中,存储器302是易失性(诸如RAM)、非易失性(诸如ROM、闪存等)或这两者的某种组合。如所提到的,系统存储器302可以存储具有加密处理器客户端306的操作系统304、授权模块308和策略偏好310。另外,存储器302还可以存储其他模块和数据。备选地,计算设备300的任意模块可以实现在硬件中。例如,授权模块308可以被实现为硬件部件。
在一些实施例中,操作系统304、加密处理器客户端306、授权模块308、策略偏好310、安全加密处理器312和受保护的授权凭证314可以是上面关于图1和图2讨论的操作系统、加密处理器客户端、授权模块、策略偏好、安全加密处理器、和受保护的授权凭证的示例。
在一些实施例中,(多个)处理器316是微处理单元(MPU)、中央处理单元(CPU)、图形处理单元(GPU)或任意其他种类的处理单元。在其他能力中,处理器316可以被配置为取回并且执行存储器302中存储的计算机可读处理器可访问指令,诸如由模块和数据304-310代表的指令。
计算设备300还可以包括另外的数据存储设备(可移除和/非可移除),诸如,例如,磁盘、光盘或磁带。这种另外的储存器由可移除储存器318和非可移除储存器320图示在图3中。存储器302、可移除储存器318和非可移除储存器320是计算机存储介质的所有示例。如这里所使用的,“计算机可读介质”包括计算机存储介质和通信介质。计算机存储介质包括在用于存储信息的任意方法或技术中实现的易失性和非易失性、可移除和非可移除的介质,该信息是诸如计算机可读指令、数据结构、程序模块或其他数据。计算机存储介质包括,但不限于,随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程ROM(EEPROM)、闪存或其他存储技术、光盘ROM(CD-ROM)、数字通用盘(DVD)或其他光学储存器、磁带盒、磁带、磁盘储存器或其他磁存储设备、或可以用于存储用于由计算设备访问的信息的任意其他介质。
相反,通信介质可以包含计算机可读指令、数据结构、程序模块或在诸如载波的调制数据信号中的其他数据。如这里所限定的,计算机存储介质不包括通信介质。
计算设备300还具有(多个)输入设备322和(多个)输出设备324,输入设备322是诸如键盘,鼠标、触敏显示器、语音输入设备等,输出设备324是诸如显示器、扬声器、打印机等。这些设备在本领域中是公知的,并且这里不需要详细地讨论。
计算设备300还包含通信连接326,通信连接326允许计算设备300与诸如请求设备106、210或400的其他计算设备328通信。
图4图示了包括使得示例计算设备400能够从另一计算设备请求授权的模块和数据的示例计算设备400。计算设备400可以是请求设备106或210的示例。如图图示,计算设备400包括存储器402,存储器402存储登陆提供器404、证书存储器406和目录408。计算设备400还包括(多个)处理器410、可移除储存器412、非可移除储存器414、(多个)输入设备416和(多个)输出设备418,并且具有与其他计算设备422的(多个)通信连接420。
在各种实施例中,存储器402是易失性(诸如RAM)、非易失性(诸如ROM、闪存等)或这两者的特定组合。如所提到的,系统存储器402可以存储登陆提供器404、证书存储器406和目录408。另外,存储器402还可以存储其他模块和数据,诸如计算设备400的操作系统。备选地,计算设备400的任意模块可以实现在硬件中。例如,登陆提供器404可以被实现为硬件部件。
在一些实施例中,登陆提供器404可以是上面关于图1和图2讨论的登陆提供器应用的示例。同样地,证书存储器406和目录408可以是上面关于图1和图2讨论的证书存储器和目录。
在一些实施例中,(多个)处理器410是微处理单元(MPU)、中央处理单元(CPU)、图形处理单元(GPU)或任意其他种类的处理单元。在其他能力中,处理器410可以被配置为取回并且执行存储器402中存储的计算机可读处理器可访问指令,诸如由模块和数据404-408代表的指令。
计算设备400还可以包括另外的数据存储设备(可移除和/或非可移除),诸如,例如,磁盘、光盘或磁带。这种另外的储存器由可移除储存器412和非可移除储存器414图示在图4中。存储器402、可移除储存器412和非可移除储存器414是计算机存储介质的所有示例。如这里所使用的,“计算机可读介质”包括计算机存储介质和通信介质。计算机存储介质包括在用于存储信息的任意方法或技术中实现的易失性和非易失性、可移除和非可移除的介质,该信息诸如计算机可读指令、数据结构、程序模块或其他数据。计算机存储介质包括,但不限于,随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程ROM(EEPROM)、闪存或其他存储技术、光盘ROM(CD-ROM)、数字通用盘(DVD)或其他光学储存器、磁带盒、磁带、磁盘储存器或其他磁存储设备、或可以用于存储用于由计算设备访问的信息的任意其他介质。
相反,通信介质可以包含计算机可读指令、数据结构、程序模块或在诸如载波的调制数据信号中的其他数据。如这里所限定的,计算机存储介质不包括通信介质。
计算设备400还具有(多个)输入设备416和(多个)输出设备418,输入设备416是诸如键盘,鼠标、触敏显示器、语音输入设备等,输出设备418是诸如显示器、扬声器、打印机等。这些设备在本领域中是公知的,并且这里不需要详细地讨论。
计算设备400还包含通信连接420,通信连接420允许计算设备400与诸如授权设备104、204或300的其他计算设备422通信。
虽然已经描述了示例设备配置和构架,但其他实施不限于这里描述的具体配置和构架。因此,本公开可以扩展到如对于本领域技术人员已知或变为已知的其他实现方式。
示例过程
图5和图6图示了示例过程500和600。这些过程500和600被图示为逻辑流程图,其各操作代表可以实现为硬件、软件或其组合的一系列操作。在软件的上下文中,操作代表存储在一个或多个计算机存储介质上的计算机可执行指令,指令在由一个或多个处理器执行时,执行所阐述的操作。通常,计算机可执行指令包括执行特定功能或实现特定抽象数据类型的例程、程序、对象、部件和数据结构等。描述操作的顺序无意被解释为限制,并且任意数量的所描述的操作可以以任意顺序组合和/或并行地实现该过程。
图5图示了用于利用安全加密处理器来计算对从另一设备接收的授权请求的响应并且向另一设备提供响应的示例过程。过程500在502包括第一设备,第一设备向第二设备广播包括在授权中使用的公开密钥的证书。第一设备和第二设备中的每个是个人计算机、膝上型计算机、工作站、服务器系统、主机、蜂窝电话、智能电话、平板计算机、媒体中心、媒体设备、游戏控制台、计算器、电子阅读器、标记阅读器、家电、车辆、或可佩带计算设备中的任意设备。第一设备和第二设备可以彼此接近,并且使用一个或多个无线连接彼此通信,或者可以彼此远离并且在一个或多个公用网络或私用网络上彼此通信。
在504,第一设备从第二设备接收授权请求。请求可以是例如用于认证身份的请求或用于动作的授权请求。请求还可以包括在第二设备处捕获的人的照片或第二设备的位置。
在506,第一设备可以通过从第二计算设备请求授权来启动双向授权。
在508,第一设备可以显示与授权请求相关联的信息。在510,显示可以包括向第一设备的用户呈现用于置于授权的一个或多个可选条件或问用户问题、接收问题的答案、以及基于问题的答案将条件置于授权。在512,显示可以包括显示在授权请求中包括的照片。在514,显示可以包括显示在授权请求中包括的位置。在516,第一设备响应于信息的显示来接收输入,诸如对授权请求的批准或同意。
在518,第一设备可以然后请求PIN的用户输入。在520,PIN的用户输入的请求可以至少部分基于第二设备是否是可信设备来有条件地执行。
在522,第一设备利用第一设备的安全加密处理器来计算对授权请求的响应。安全加密处理器基于用于由安全加密处理器存储的一个或多个设备的受保护的授权凭证来计算响应。在524,安全加密处理器与一个或多个远程的安全加密处理器通信,并且至少基于与一个或多个远程的安全加密处理器通信来计算响应。
在526,第一设备向第二设备提供计算出的响应。
在528,第一设备可以通过从第二设备接收对其授权请求的计算出的响应来继续双向授权。
在530,当第一设备已经对第二设备位于本地时,第一设备可以离开第二设备的附近,并且通过离开,可以使得授权失效。
图6图示了用于从装配有用于授权请求的安全加密处理器的另一设备请求授权、从另一设备接收响应并且基于响应授予或拒绝请求的示例过程。过程600包括,在602,请求设备可以接收与授权设备相关联的证书。如果授权设备是本地的,则证书可以由授权设备无线地广播。
在604,请求设备可以从请求设备的应用或从请求设备的平台接收登陆或升级请求。
在606,响应于接收登陆或升级请求,请求设备可以识别证书或目录中的条目、证书或条目列出一个或多个设备,包括授权设备。列出一个或多个设备的证书或条目可以是设备的优先级化列表,并且授权设备可以是所述列表上可连接的最高优先级设备。
在608,请求设备可以从授权设备请求针对登陆或升级请求的请求授权。授权设备具有安全加密处理器,安全加密处理器被配置为存储用于一个或多个设备的受保护的授权凭证,并且使用安全加密处理器来计算对授权请求的响应。
在610,第一设备可以通过从授权设备接收授权请求来参与双向授权。
在612,响应于请求授权,请求设备可以从授权设备接收计算出的响应。
在614,如果请求设备也是参与双向授权的授权设备,则请求设备可以利用请求设备的安全加密处理器来计算对从授权设备接收的授权请求的响应。在616,请求设备可以然后向授权设备提供计算响应。
在618,请求设备向机构转发从授权设备接收的计算出的响应,并且从机构接收响应。
在620,请求设备至少部分基于来自授权设备的计算出的响应来授予或拒绝登陆或升级请求。在622,请求设备进一步基于来自机构的响应来授予或拒绝登陆或升级请求。而且或代替地,在624,请求设备进一步基于在来自授权设备的授权响应中包括的密码来授予或拒绝登陆或升级请求。另外或备选地,在626,请求设备受制于来自授权设备的授权响应中指定的条件来授予或拒绝登陆或升级请求。
结论
虽然已经以特定于结构特征和/或方法动作的语言描述了主题,但应当理解的是所附权利要求中限定的主题不必限于所描述的特定特征或动作。相反,特定特征和行为被公开为实现权利要求的示例形式。
Claims (10)
1.一种计算设备,包括:
处理器;
安全加密处理器,被配置为存储用于一个或多个设备的受保护的授权凭证,并且至少部分地基于所述受保护的授权凭证来计算对授权请求的响应;以及
授权模块,被配置为由所述处理器操作以执行操作,所述操作包括:
从另一设备接收授权请求;
显示与所述授权请求相关联的信息,以从所述计算设备的用户寻求批准;
接收指示所述用户对所述授权请求的批准的输入;
响应于接收到指示批准的所述输入,利用所述安全加密处理器来计算对所述授权请求的响应;以及
向所述另一设备提供对所述授权请求的所述响应。
2.根据权利要求1所述的计算设备,其中所述请求包括在所述另一设备处捕获的人的照片或者所述另一设备的位置之一或两者,并且所述显示信息包括显示所述照片或所述位置之一或两者。
3.一种方法,包括:
由第一设备从第二设备接收授权请求;
由所述第一设备利用所述第一设备的安全加密处理器,基于由所述安全加密处理器存储的用于一个或多个设备的受保护的授权凭证,来计算对所述授权请求的响应;以及
由所述第一设备向所述第二设备提供所述响应。
4.根据权利要求3所述的方法,还包括:请求个人识别号(PIN)的用户输入,其中所述安全加密处理器至少部分地基于所述PIN的所述输入来计算所述响应。
5.根据权利要求3所述的方法,其中所述安全加密处理器是硬件受信平台模块(TPM)。
6.根据权利要求3所述的方法,其中所述利用所述安全加密处理器包括:所述安全加密处理器与一个或多个远程的安全加密处理器通信,并且至少基于与所述一个或多个远程的安全加密处理器的所述通信来计算所述响应。
7.根据权利要求3所述的方法,还包括由所述第一设备向第二设备广播证书,所述证书包括在所述授权中使用的公开密钥。
8.一种或多种有形计算机存储介质,其上存储有多个编程指令,所述编程指令被配置为对计算设备进行编程以执行操作,所述操作包括:
在所述计算设备处接收登陆或升级请求;
从另一设备请求针对所述登陆或升级请求的授权,所述另一设备具有安全加密处理器,所述安全加密处理器被配置为存储用于一个或多个设备的受保护的授权凭证;
从所述另一设备接收响应;以及
基于来自所述另一设备的所述响应,授予或拒绝所述登陆或升级请求。
9.根据权利要求8所述的一种或多种有形计算机存储介质,其中所述操作还包括:响应于接收到所述登陆或升级请求而识别证书或目录中的条目,所述证书或所述条目列出包括所述另一设备的一个或多个设备,
其中列出一个或多个设备的所述证书或所述条目是设备的经优先级排列的列表,并且所述另一设备是所述列表上可连接的最高优先级设备。
10.根据权利要求8所述的一种或多种有形计算机存储介质,其中所述响应包括密码,并且所述授予或所述拒绝至少部分地基于所述密码。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/163,220 US9825944B2 (en) | 2014-01-24 | 2014-01-24 | Secure cryptoprocessor for authorizing connected device requests |
| US14/163,220 | 2014-01-24 | ||
| PCT/US2015/011365 WO2015112398A2 (en) | 2014-01-24 | 2015-01-14 | Secure cryptoprocessor for authorizing connected device requests |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106415572A true CN106415572A (zh) | 2017-02-15 |
| CN106415572B CN106415572B (zh) | 2019-06-04 |
Family
ID=52478046
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580005387.2A Active CN106415572B (zh) | 2014-01-24 | 2015-01-14 | 用于授权连接的设备请求的安全加密处理器 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9825944B2 (zh) |
| EP (1) | EP3097504A2 (zh) |
| CN (1) | CN106415572B (zh) |
| WO (1) | WO2015112398A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108434744A (zh) * | 2017-03-29 | 2018-08-24 | 株式会社艾库塞尔 | 连接控制系统 |
| CN109286626A (zh) * | 2018-09-29 | 2019-01-29 | 张瑞 | 一种信息处理方法、本地设备、远程设备和信息处理系统 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9838424B2 (en) | 2014-03-20 | 2017-12-05 | Microsoft Technology Licensing, Llc | Techniques to provide network security through just-in-time provisioned accounts |
| US9648617B2 (en) * | 2015-08-24 | 2017-05-09 | Sprint Communications Company L.P. | Hardware-trusted orthogonal frequency division multiplex (OFDM) access to a shared common public radio interface (CPRI) |
| US10146916B2 (en) | 2015-11-17 | 2018-12-04 | Microsoft Technology Licensing, Llc | Tamper proof device capability store |
| KR102415871B1 (ko) * | 2016-01-08 | 2022-07-04 | 삼성전자주식회사 | 디스플레이 장치 및 그 동작방법 |
| US11568380B2 (en) * | 2016-03-21 | 2023-01-31 | Mastercard International Incorporated | Systems and methods for use in providing payment transaction notifications |
| SG10201610686SA (en) * | 2016-12-20 | 2018-07-30 | Mastercard International Inc | Systems and methods for processing a payment transaction authorization request |
| US10627909B2 (en) * | 2017-01-10 | 2020-04-21 | Disney Enterprises, Inc. | Simulation experience with physical objects |
| US11748499B2 (en) * | 2020-09-23 | 2023-09-05 | Microsoft Technology Licensing, Llc | Asynchronous authorization of application access to resources |
| CN116909161B (zh) * | 2023-09-11 | 2023-12-12 | 南昌理工学院 | 基于可穿戴设备的智能家居控制方法、系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1456983A (zh) * | 2002-05-10 | 2003-11-19 | 微软公司 | 基于外部身份认证的坚持授权上下文 |
| US20070118891A1 (en) * | 2005-11-16 | 2007-05-24 | Broadcom Corporation | Universal authentication token |
| US20100212008A1 (en) * | 2009-02-19 | 2010-08-19 | Microsoft Corporation | Identification Security Elevation |
| US20100257596A1 (en) * | 2009-04-06 | 2010-10-07 | Bomgar | Method and apparatus for securely providing access and elevated rights for remote support |
| CN102523089A (zh) * | 2010-09-20 | 2012-06-27 | 微软公司 | 用于批处理系统的第二凭证 |
| CN103270524A (zh) * | 2010-10-27 | 2013-08-28 | 维萨国际服务协会 | 验证令牌与移动通信设备的整合 |
| US20130262556A1 (en) * | 2012-03-28 | 2013-10-03 | Microsoft Corporation | Enhanced Computer Cluster Operation Using Resource Allocation Requests |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4712103A (en) | 1985-12-03 | 1987-12-08 | Motohiro Gotanda | Door lock control system |
| US7729986B1 (en) | 1999-07-30 | 2010-06-01 | Visa International Service Association | Smart card transactions using wireless telecommunications network |
| EP1139200A3 (en) | 2000-03-23 | 2002-10-16 | Tradecard Inc. | Access code generating system including smart card and smart card reader |
| JP4118092B2 (ja) * | 2002-06-19 | 2008-07-16 | 株式会社ルネサステクノロジ | 記憶装置および情報処理装置 |
| US7364087B2 (en) | 2004-06-24 | 2008-04-29 | Intel Corporation | Virtual firmware smart card |
| JP4983005B2 (ja) * | 2005-04-12 | 2012-07-25 | 富士通株式会社 | 電子機器、優先接続装置、優先接続方法及び優先接続プログラム |
| US8626128B2 (en) * | 2011-04-07 | 2014-01-07 | Microsoft Corporation | Enforcing device settings for mobile devices |
| US8108670B2 (en) * | 2006-07-13 | 2012-01-31 | Intel Corporation | Client apparatus and method with key manager |
| US8601555B2 (en) * | 2006-12-04 | 2013-12-03 | Samsung Electronics Co., Ltd. | System and method of providing domain management for content protection and security |
| US8352740B2 (en) * | 2008-05-23 | 2013-01-08 | Microsoft Corporation | Secure execution environment on external device |
| KR101572267B1 (ko) * | 2009-06-25 | 2015-11-26 | 삼성전자주식회사 | 센서 네트워크에서 노드와 싱크간의 상호 인증 시스템 및 방법 |
| US10454693B2 (en) | 2009-09-30 | 2019-10-22 | Visa International Service Association | Mobile payment application architecture |
| US8756650B2 (en) * | 2010-03-15 | 2014-06-17 | Broadcom Corporation | Dynamic authentication of a user |
| US8843125B2 (en) | 2010-12-30 | 2014-09-23 | Sk C&C | System and method for managing mobile wallet and its related credentials |
| US8732475B2 (en) | 2011-08-17 | 2014-05-20 | Comcast Cable Communication, Llc | Authentication and binding of multiple devices |
| GB2509278B (en) * | 2011-09-22 | 2020-02-26 | Stuart Goodwin Russell | Network user identification and authentication |
| US8811895B2 (en) | 2011-10-28 | 2014-08-19 | Sequent Software Inc. | System and method for presentation of multiple NFC credentials during a single NFC transaction |
| US9183415B2 (en) * | 2011-12-01 | 2015-11-10 | Microsoft Technology Licensing, Llc | Regulating access using information regarding a host machine of a portable storage drive |
| US9128180B2 (en) * | 2012-03-16 | 2015-09-08 | Microsoft Technology Licensing, Llc | Efficient power usage in position tracking operations |
| EP2839689B1 (en) * | 2012-04-16 | 2019-06-05 | Intel Corporation | Scalable secure execution |
| US9125004B2 (en) * | 2012-05-31 | 2015-09-01 | Cellco Partnership | Group sharing using near field communication (NFC) |
| US20140040621A1 (en) * | 2012-08-03 | 2014-02-06 | Infineon Technologies Ag | Mobile Electronic Device |
| US20140059651A1 (en) * | 2012-08-22 | 2014-02-27 | Southern Company Services, Inc. | Account Elevation Management |
| US9141848B2 (en) * | 2012-09-04 | 2015-09-22 | Intel Corporation | Automatic media distribution |
| US20140127994A1 (en) * | 2012-11-07 | 2014-05-08 | Microsoft Corporation | Policy-based resource access via nfc |
| US8594632B1 (en) * | 2012-12-11 | 2013-11-26 | Intel Corporation | Device to-device (D2D) discovery without authenticating through cloud |
| CN104969245B (zh) * | 2013-02-06 | 2018-10-19 | 苹果公司 | 用于安全元件交易和资产管理的装置和方法 |
| US9367978B2 (en) * | 2013-03-15 | 2016-06-14 | The Chamberlain Group, Inc. | Control device access method and apparatus |
| US9619238B2 (en) * | 2013-04-15 | 2017-04-11 | Amazon Technologies, Inc. | Remote attestation of host devices |
| US9603090B2 (en) * | 2013-08-08 | 2017-03-21 | Apple Inc. | Management of near field communications using low power modes of an electronic device |
| US9819661B2 (en) * | 2013-09-12 | 2017-11-14 | The Boeing Company | Method of authorizing an operation to be performed on a targeted computing device |
| WO2015039117A1 (en) * | 2013-09-16 | 2015-03-19 | Sonavation, Inc. | System for verifying an identity of a card holder |
-
2014
- 2014-01-24 US US14/163,220 patent/US9825944B2/en active Active
-
2015
- 2015-01-14 CN CN201580005387.2A patent/CN106415572B/zh active Active
- 2015-01-14 WO PCT/US2015/011365 patent/WO2015112398A2/en active Application Filing
- 2015-01-14 EP EP15705111.1A patent/EP3097504A2/en not_active Withdrawn
-
2017
- 2017-10-20 US US15/789,182 patent/US20180063129A1/en not_active Abandoned
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1456983A (zh) * | 2002-05-10 | 2003-11-19 | 微软公司 | 基于外部身份认证的坚持授权上下文 |
| US20070118891A1 (en) * | 2005-11-16 | 2007-05-24 | Broadcom Corporation | Universal authentication token |
| US20100212008A1 (en) * | 2009-02-19 | 2010-08-19 | Microsoft Corporation | Identification Security Elevation |
| US20100257596A1 (en) * | 2009-04-06 | 2010-10-07 | Bomgar | Method and apparatus for securely providing access and elevated rights for remote support |
| CN102523089A (zh) * | 2010-09-20 | 2012-06-27 | 微软公司 | 用于批处理系统的第二凭证 |
| CN103270524A (zh) * | 2010-10-27 | 2013-08-28 | 维萨国际服务协会 | 验证令牌与移动通信设备的整合 |
| US20130262556A1 (en) * | 2012-03-28 | 2013-10-03 | Microsoft Corporation | Enhanced Computer Cluster Operation Using Resource Allocation Requests |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108434744A (zh) * | 2017-03-29 | 2018-08-24 | 株式会社艾库塞尔 | 连接控制系统 |
| CN109286626A (zh) * | 2018-09-29 | 2019-01-29 | 张瑞 | 一种信息处理方法、本地设备、远程设备和信息处理系统 |
| CN109286626B (zh) * | 2018-09-29 | 2021-06-11 | 张瑞 | 一种信息处理方法、本地设备、远程设备和信息处理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9825944B2 (en) | 2017-11-21 |
| US20180063129A1 (en) | 2018-03-01 |
| CN106415572B (zh) | 2019-06-04 |
| EP3097504A2 (en) | 2016-11-30 |
| US20150215309A1 (en) | 2015-07-30 |
| WO2015112398A2 (en) | 2015-07-30 |
| WO2015112398A3 (en) | 2015-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106415572A (zh) | 用于授权连接的设备请求的安全加密处理器 | |
| CA2968051C (en) | Systems and methods for authentication using multiple devices | |
| US9325708B2 (en) | Secure access to data in a device | |
| EP3280090B1 (en) | User authentication method and device | |
| CN103477666B (zh) | 连接移动设备,连接至互联网的车辆以及云服务 | |
| CN107925668B (zh) | 资源驱动的动态授权框架 | |
| EP3198907B1 (en) | Remote server encrypted data provisioning system and methods | |
| CN104969231B (zh) | 安全挑战辅助的密码代理 | |
| WO2019129037A1 (zh) | 设备认证方法、空中写卡方法及设备认证装置 | |
| JP2018528538A (ja) | 地理的位置に基づく電子セキュリティ管理方法および装置 | |
| CN106716957A (zh) | 高效且可靠的认证 | |
| JP2014179999A5 (ja) | 伝送システム、伝送管理システム、表示制御方法、宛先管理方法、及びプログラム | |
| JP2019106199A (ja) | 電子デバイスとサービスプロバイダの間のセキュリティ保護された取引の管理 | |
| RU2644534C2 (ru) | Компьютеризированные система и способ авторизации | |
| US9674166B2 (en) | Method for securing a request for executing a first application, by a second application | |
| US20220014353A1 (en) | Method by which device shares digital key | |
| WO2013086474A1 (en) | Digital authentication and security method and system | |
| US20230281600A1 (en) | System and method for indicating entry of personal identification number | |
| US20130326591A1 (en) | Wireless communication device and wireless communication method | |
| KR101976168B1 (ko) | 투 채널을 이용하여 로그인 또는 서비스 이용을 수행하는 방법 및 이를 수행하는 장치 | |
| KR20140020337A (ko) | 사용자 장치를 이용한 본인인증방법, 이를 위한 디지털 시스템 및 인증 시스템 | |
| KR101464940B1 (ko) | 사용자를 인증하여 결제를 수행하는 방법 및 시스템 | |
| KR101572565B1 (ko) | 능동적 서비스 제어방법, 능동적 서비스 제어시스템, 및 클라이언트 시스템 | |
| WO2020038467A1 (en) | System and method for indicating entry of personal identification number | |
| KR20150056951A (ko) | 능동적 서비스 제어방법, 능동적 서비스 제어시스템, 및 클라이언트 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |