CN107798233B - 用于配置分级信任链的目标域的方法和电子设备 - Google Patents
用于配置分级信任链的目标域的方法和电子设备 Download PDFInfo
- Publication number
- CN107798233B CN107798233B CN201710761757.6A CN201710761757A CN107798233B CN 107798233 B CN107798233 B CN 107798233B CN 201710761757 A CN201710761757 A CN 201710761757A CN 107798233 B CN107798233 B CN 107798233B
- Authority
- CN
- China
- Prior art keywords
- domain
- constraint
- command
- target domain
- constraints
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Stored Programmes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
提供了分级信任链的未来约束。一种对提供了用于认证要由电子设备(2)执行的命令的密码身份的目标域(50‑T)进行配置的方法,包括:接收域配置命令(60),并且基于由认证域(50‑A)提供的密码身份来认证命令(60),其中认证域(50‑A)是分级信任链中的目标域(50‑T)的祖先。当被认证时,由命令(60)指定的至少一个目标域约束72与由认证域(50‑A)指定的至少一个未来约束(82‑A)被进行组合以生成目标域要认证的命令所要满足的组合约束集(80‑T)。为目标域(50‑T)存储组合约束集(80‑T)。这种方法提供了在信任链的安全性和可扩展性之间的平衡。
Description
技术领域
本技术涉及电子设备领域。
背景技术
电子设备被越来越多地用于处理潜在的敏感信息。例如,越来越普遍地通过使用在移动设备上运行的应用来进行银行交易。为了使用户确信将他们的电子设备用于潜在的敏感应用会是安全的,可以提供机制来建立对设备上运行的应用的信任。例如,密码技术可以被用于对应用的真实性以及响应于这些应用而被设备执行的命令进行验证,使得用户可以确信他们正在使用的应用来自经授权的源,而非,例如,由恶意方提供的应用的未经授权的副本。
发明内容
至少一些示例提供了一种用于在电子设备中配置分级信任链的目标域的方法,目标域提供用于认证电子设备要执行的命令的密码身份,该方法包括:
接收请求在电子设备上配置目标域的域配置命令,域配置命令指定目标域要认证的命令所要满足的至少一个目标域约束;
基于由认证域提供的密码身份来认证域配置命令,其中,目标域是在分级信任链中的认证域或认证域的后代域;以及
当域配置命令被认证时,对至少一个目标域约束和由认证域指定的至少一个未来约束进行组合以生成组合约束集并且存储组合约束集的指示,组合约束集包括目标域要认证的命令所要满足的零个、一个或多个约束。
至少一些示例提供了包括用于控制电子设备执行上述方法的程序指令的计算机程序。
计算机程序可以被存储在存储介质上。该存储介质可以是暂态的或非暂态存储介质。
至少一些示例提供了包括处理电路以及存储了上述计算机程序的存储电路的电子设备。
至少一些示例提供了电子设备,包括:
认证电路,被配置为接收请求在电子设备上配置分级信任链的目标域的域配置命令,目标域提供用于对电子设备所要执行的命令进行认证的密码身份,域配置命令指定目标域要认证的命令所要满足的至少一个目标域约束;以及基于由认证域提供的密码身份来认证域配置命令,其中,目标域是在分级信任链中的认证域或认证域的后代域;
其中,当域配置命令被认证时,认证电路被配置为对至少一个目标域约束和由认证域指定的至少一个未来约束进行组合以生成组合约束集并存储组合约束集的指示,组合约束集包括目标域要认证的命令所要满足的零个、一个或多个约束。
附图说明
从以下结合附图阅读的实施例的描述中,本技术的其它方面、特征和优势将变得显而易见,其中:
图1示意性地示出了电子设备的简化示例;
图2示出了可以在电子设备上实现的正常的和安全的运行环境的示例;
图3示出了提供多个域的分级信任链的示例,其中多个域提供用于对电子设备要执行的命令进行认证的相应密码身份;
图4示出了基于由认证域设置的未来约束来配置信任链的目标域的示例;
图5示出了说明对命令进行认证的方法的流程图,其包括域配置命令被认证的情况;
图6示出了应用于信任链的各个级别的不同的约束集和未来约束的示例;以及
图7示意性地示出了用于对由认证域指定的未来约束和在针对目标域的域配置命令中指定的约束进行组合的不同规则的四个示例。
具体实施方式
如下所述,本技术允许分级信任链中的认证域指定信任链中的目标域要认证的命令所要满足的未来约束。当认证域对用于配置目标域(认证域本身或认证域的后代域)的域配置命令进行认证时,所指定的未来约束与域配置命令中指定的至少一个目标域约束进行组合以生成包括目标域要认证的命令所要满足的零个、一个或多个约束的组合约束集。然后为目标域存储组合约束集的指示。随后接收到的要由目标域认证的命令可能会受组合约束集的限制。
此方法允许在信任链的较高级别处的认证域对后代域用来认证命令的标准产生影响,同时也准许后代域引入尚未被认证域明确设置的自己的约束。通过以这种方式对针对给定目标域指定的约束与未来约束进行组合,可以允许使用委托的信任链的灵活性,在该信任链中,顶级域不需要知道信任链的较低级别正使用的全部标准,但由于较高级别仍可以影响在较低层级中认证命令的方式,使得较低级别的域不具有以他们所选择的任何方式对消息或命令进行认证的完全自由,因此这具有提高的安全性。
图1示意性地示出了电子设备2的示例,其包括处理器4、存储器6、显示控制器8、以及显示器10、用于接受用户输入的用户输入/输出(I/O)电路12(例如,键盘或触摸屏)、用于与其他设备通信的通信接口(I/F)14、以及用于与其他外围设备通信的外围输入/输出(I/O)电路16(例如,提供其他数据存储设备的存储卡或用于检测指纹的指纹传感器)。在操作中,处理器4执行可存储在存储器6中的、外部数据存储单元中的或经由通信接口14动态下载的计算机程序指令。所执行的处理的结果可以经由显示控制器8和显示器10显示给用户。可以经由用户输入/输出电路12接收用于控制电子设备2的操作的用户输入。可以理解的是,计算机程序可以用各种不同的计算机语言来编写。计算机程序可以被存储和分布在记录介质上,或经由通信接口14被动态地下载到设备。应理解的是,这是电子设备的一些组件的简化示例,并且设备的架构可以有相当大的变化,电子设备可以具有为简便起见图1中未示出的其他元件。电子设备可以是各种类型的设备中的任何一种,包括例如台式或膝上型计算机、诸如移动蜂窝电话或平板计算机之类的移动设备、或在诸如电视机、洗衣机、或冰箱之类的家电内的嵌入式设备。因此,本技术不限于实现用于建立信任的密码技术的电子设备的类型。
在一些示例中,如图2所示,为了增加安全性,电子设备2可以具有支持除了正常运行环境32之外的安全运行环境30的操作的硬件架构。可以通过使用信任应用(App)36和/或在安全运行环境30下执行的安全操作系统来来处理安全数据。可以提供硬件机制以确保在正常运行环境32中运行的应用40或操作系统(OS)42不能访问与安全运行环境相关联的安全数据或代码。例如,可以使用存储器管理单元或类似结构将存储器地址空间分割成安全区域和正常区域,并且阻止由在正常运行环境32中执行的代码对安全区域的访问。存在用于监督对安全运行环境的访问的多个选项。在一个示例中,正常和安全运行环境之间的转换可以由安全监视代码46来监督,其中安全监视代码可以准许有限情况下的转换。例如,异常机制可以被用于通过监视代码来触发运行环境之间的转换,其中监视代码可以检查是否允许请求访问安全运行环境的应用这样做。替代地,硬件架构可以准许在正常和安全运行环境30、32之间直接分支(branch),而非通过使用软件监督转换,但是可以提供硬件机制以确保安全转换,例如要求非安全代码仅在预定入口点处分支到安全代码。例如,给定的应用接下来可以分支到安全域中的函数,以用于在在函数结尾处转回到正常世界32之前执行诸如密码检查之类的一些安全敏感功能。提供这种安全运行环境13的硬件架构的示例可以是英国剑桥
有限公司提供的
架构,但其他示例也是可用的。因此,如果在设备2上实现安全运行环境,则可以为在电子设备上运行的敏感数据或代码提供更大的保护。然而,本技术也可以被应用于在设备2的硬件架构中不实现这种安全运行环境的设备。
图3示出了可以在电子设备上实现的分级信任链的示例。为了验证由在电子设备上运行的给定应用或其他进程发出的命令是来自经授权的源,可以建立至少一个密码身份以用于对电子设备要执行的命令进行认证。例如,密码身份可以由一个或多个密码密钥、签名或证书表示。例如,可以通过使用给定密钥来对要执行的命令进行签名,并且可以通过使用相对应的密钥来解密签名以验证与命令相关联的签名。例如,可以使用公共-私有密钥基础设施。如果与给定命令相关联的签名被验证为真实的,则可以信任该命令来自预期的源并且可以由电子设备来执行。另一方面,如果黑客或其他恶意方尝试注入命令来诱使设备认为它们来自某其他源,但没有用于验证其密码身份的适当密钥,则该命令将不会被认证和执行。此方法可用于保护诸如移动银行应用、电子识别应用(例如电子护照等)、安全支付应用等之类的敏感应用。
由给定的密码身份建立的信任可以最终来自特定的认证机构,其可以是电子设备本身的制造商、提供用于建立用于检查与要执行的命令相关联的密码身份和验证其真实性的基础设施的安全软件的一方、或负责授权其他方的应用的完全独立的主体。因此,维持对在电子设备上运行的应用的信任的一种方法可以是认证机构为可以安装在设备上的每个应用建立密码身份,并负责用定义了被用于与应用要执行的任何命令相关联的全部签名和认证操作的标准的信息来配置设备。然而,实际上可能需要认证的应用的数目十分庞大,且一个认证机构可能根本没有足够的资源来验证所有应用,包括指定要应用于来自要认证的任何给定应用的命令的标准。因此,用单个代理为所有应用建立密码身份的方法在实践中无法扩展。
图3中示出的分级信任链提供了认证机构充当信任根将签名或认证功能委托给其他方的方式。根机构可以授权其他方来代表其认证命令,这通过为该其他方建立密码身份并提供在电子设备内用于验证下述内容的手段:声称来自该其他方的命令实际上的确来自该其他方。被根机构委托信任操作的其他方本身可以将进一步的操作委托给另一方来代表其认证消息,并再次为该另一方建立相对应的密码身份。如图3所示,这可以继续,使得分级信任链可以包括多个域50,其中每个域50提供用于对电子设备要执行的命令进行认证的密码身份,其中不是根域50-0的每个域50已经基于由父域认证的命令被配置。例如,在图3中,左侧信任链中的根域50-0已被授权配置两个1级(L1)域50-1,其中1级域50-1本身已被授权配置多个2级(L2)域50-2,其中2级域50-2本身已被授权配置多个应用(app)级域50-3。每个域在电子设备中由所存储的一组密码信息52(例如,密码密钥或证书)来表示,其用于表示要被用于检查命令是否应由相应域认证的密码身份。每个域也可以定义要施加在要认证的命令上的约束集,如将在下面更详细地讨论的。
因此,如果由在设备2上执行的给定软件进程发出的命令或由外部设备发出的命令被给定应用级域(例如,域50-3c)认证为可信的,则由于该应用级域被其父域(本示例中的2级域50-2b)验证为真实的,2级域50-2b本身被1级域50-1b认证为可信的,并且1级域50-1b被根域50-0认证,所以隐式地,经应用级域50-3c认证的命令也已被根域50-0本身认证。注意,在处理来自应用的命令时,使用与应用级域50-3c相关联的密码身份来认证命令就足够了(信任链中的其他认证在祖先域被配置时就已被执行,使得每当接收到命令时不必重复这些操作)。这种委托的信任链意味着根域本身不需要负责定义用于对设备要执行的所有命令进行认证的标准,而是可以将这种责任委托给其他方。
通常,信任链中的给定域可以具有一个或多个“祖先域”,祖先域是已通过一个或多个中间祖先域直接或隐含地被授权配置该给定域的域。另一方面,给定域可以具有一个或多个“后代域”,后代域是其配置已被该给定域直接或隐式地通过一个或多个中间后代域授权的域。给定域的“父域”是指授权安装该给定域的域,而给定域的“子域”是被授权由该给定域安装的域。
如图3所示,可以在同一电子设备上提供若干独立的分级信任链。例如,多个不同的认证机构可以在同一设备上配置单独的根域。同样,如图3所示,并非给定分级结构的所有分支都需要具有相同数目的级别。例如,如右侧链所示,一个应用级域50-3e可以直接安装在1级域50-1c下方,而其他应用级域50-3a、50-3b、……、50-3g可以是2级域50-2的子级。在树的不同分支中提供的级别的特定数目可取决于被委托信任的特定方。例如,可以通过由实现用于正在使用的密码处理的基础设施的安全软件的提供者或认证机构设置的信息集来配置根域。1级域50-1可以基于由可信应用管理器设置的信息集来配置,其中可信应用管理器可以是认证机构直接向其委托信任签名操作的多方中的一者。2级域50-2可以由诸如应用商店的提供商、银行或希望提供多个安全应用的其他公司之类的服务提供商或任何其他方来实现。应用级域50-3可以在在电子设备上运行的特定应用的开发者的控制下被安装。尽管可信的应用管理器通常可以授权其他服务提供商来安装2级域,但是它们偶尔也可以支持它们自己的应用,在这种情况下,1级域50-1可以在不先安装2级域50-2的情况下直接安装应用级域。
应理解的是,图3所示的域50不一定与在设备上执行的实际软件进程相对应。虽然应用级域50-3通常对应于某些应用,但它们的祖先域不需要在设备上具有与它们相关联的特定软件。而是,它们可以仅提供用于对设备要执行的命令进行认证的密码身份。设备上运行的用于控制认证过程的实际软件可以是被用于信任链的全部级别的通用程序(例如,由根域认证机构本身提供的程序),其可以根据不同的约束和不同的密码身份来验证命令的真实性,其中不同的约束和不同的密码身份取决于信任链中认证命令的特定目标级别。
因此,提供委托的信任链具有这样的优点:与一个认证机构本身可以支持的应用相比,这允许将更多种类的应用被认证为可信的。然而,授权特定方充当在信任链的给定级别处的认证代理包括指定要被应用于该方的域要认证的消息的约束,这可能会打开安全漏洞,其中一旦某方被授权来对信任链中的命令进行认证,其可以允许接受与祖先域相关联的一方可能认为不合适的其他命令。例如,可能随后会发现后续域所使用的密码算法包括安全漏洞,但如果祖先域已将用于控制后续后代域要应用的标准的全部责任委托给后代域本身,那么这可能不允许它们充分关闭漏洞,以确保在设备上运行的安全应用是可信的。因此,实际上,一方用于承担建立用于认证命令的密码手段的全部责任的完全统一的机制以及在其中信任链中的后代域完全控制它们用于认证消息的标准的完全委托的方法都无法在安全性和可扩展性之间提供适当的平衡。
替代地,本文描述了用于允许祖先域对后代域施加在消息上的约束具有一定影响的机制,同时还使得后代域本身能够指定祖先域未意识到的约束。
图4示出了在配置信任分级结构中的某目标域50时注入附加约束的示例。设备2例如从在设备上运行的应用或其他软件进程或从诸如电子设备经由通信接口14与其正在通信的另一设备(例如,服务器)之类的外部源接收域配置命令60。域配置命令60是请求对分级信任链中的某一目标域50-T进行配置的命令,目标域50-T可以是图3所示的除了根域50-0之外的任何域50(虽然也可以接收域配置命令来配置根域本身,但在这种情况下,将不会应用图4所示的未来约束机制,因为不存在祖先域来影响对根域的配置)。域配置命令60可以是用于请求在分级结构中安装全新域的域安装命令,或者是用于请求对现有域50的某些参数进行更新的域更新命令。
如图4所示,域配置命令60可以包括各种字段,例如,标识命令的类型(例如,它是域安装命令还是域更新命令)的命令标识符字段62、为目标域存储在电子设备中的密码密钥64、命令的其他参数66(例如表明哪个其他域要充当该命令的认证域的指示)、或用于对命令的处理或用于配置目标域所需的任何其他信息、以及数字签名68(通过用密钥对该命令进行签名来生成,以用于验证该命令是否来自具有相关密码身份的一方)。可选地,该命令还可以包括签名位图70,其提供标识命令60的哪些其他部分被签名68验证为真实的元数据。虽然不是必需的,但是一些协议仅允许消息的某些部分被签名认证,这意味着命令的非保护部分可以由截取该命令的一方在不影响签名68的有效性的情况下进行修改。例如,签名68可以由签名位图70所指示的该命令的受保护部分的散列生成,因此非保护部分可以在不影响签名68是否正确的情况下被改变。其他示例可以使用其他格式来表示用于标识命令的哪些部分被签名认证(使用位图不是必需的)的签名元数据。
命令60还指定要施加在目标域所认证的消息上的零个、一个或多个目标域约束72的列表,以及指定要施加在目标域的后代域上的零个、一个或多个未来约束的目标域未来约束列表74。
域配置命令60由认证域50-A认证。哪个域充当认证域可以由命令60本身标识,或者可以是隐式的(例如,基于发出该命令的源或者在哪个域上是目标域50-T)。例如,在一些系统中,可以仅允许配置给定域,这基于由其直接父域(即,最初安装该目标域的域)认证的命令。在这种情况下,可能不需要分别指定目标域50-T和认证域50-A。另一方面,其他系统可以允许给定域的任何祖先配置该域,因此认证域50-A可以是在信任链中比目标域的直接父级更高的域。在安装新域时,将由该域的父域通过定义来认证安装命令,在更新现有域时,该认证可以由目标域的任何祖代域执行。在实践中,考虑到建立委托的信任链的目的是为了从更高级移除责任,通常情况下,给定域由其直接的父级配置,但如果需要的话仍可能由更高级对域进行配置。
如图4所示,认证域50-A可以具有在电子设备2的存储器6中为其存储的多个控制参数。例如,如果安全运行环境被提供,则其可以作为安全数据34的一部分被存储在存储器地址空间的安全区域中。控制参数可以包括与认证域相关联的密钥52、要被施加在认证域50-A本身要认证的命令上的一个或多个约束80-A、以及要被用于由认证域50-A的至少一个后代域认证的命令的一个或多个未来约束82-A。
因此,当接收到域配置命令60时,认证域50-A基于其所存储的密钥52-A和所应用的约束80-A来对该命令进行认证。例如,命令60中被签名位图70指示为受保护的部分可以被用于生成命令60的散列(hash),可以使用所存储的密钥52-A对签名68进行解密,然后可以对经解密的签名以及所生成的散列进行比较来验证消息是否是真实的。此外,可以检查用于对由认证域的约束80-A指定的命令进行认证的任何其他标准,并且仅在已使用密钥52-A验证完密码身份并满足了其他约束时,才可以对命令进行认证。例如,约束80-A可以指定:该命令必须已用某种密码算法进行签名、或者应使用某个密钥标识符或密钥大小、或者某个填充算法必须已被用于该命令、或者可以指定命令60的最大大小、命令60可以被认证的频率(例如,该命令仅可以在给定周期内被接收N次,并且命令的后续实例可以被拒绝,直到该周期结束)等。应理解的是,根据给定方的特定需要或命令的类型,命令为了能被认证而可以被施加各种各样的条件。一般来说,术语“约束”可以指命令为了能被认证而要满足的任何要求。如果命令被认证,则目标域响应于该命令而被配置,例如,被安装或更新。例如,由域配置命令60指定的新密钥64可以作为目标域的密钥52-T被安装,由该命令指定的其他参数66可以被用于更新目标域的属性等。
当域配置命令被认证时,可以对命令60中指定的目标域约束72与由认证域50-A指定的未来约束82-A进行组合,以生成组合的目标域约束集80-T,其然后被存储在电子设备中。然后,当对正由目标域认证的任何后续消息进行认证时,将应用目标域的组合约束集80-T。因此,目标域50-T所应用的约束不仅取决于域配置命令60中指定的约束(可以由操作目标域的一方选择),并且还取决于在认证域50-A被配置时就已被设置的未来约束82-A,其可以由完全不同的一方控制。类似地,可以对命令60中指定的目标域的未来约束74与由认证域50-A设置的未来约束82-A中的至少一些进行组合,然后它们可以被存储为与目标域50-T相关联的组合目标域未来约束集82-T。虽然目标域的组合约束80-T表示要施加于目标域本身要认证的消息的约束,目标域的未来约束82-T表示要施加在目标域的至少一个后代上的约束。如果目标域50-T随后充当针对后续域配置命令的认证域,则可以以与图4中示出的方式类似的方式对其未来约束82-T与由域配置命令指定的约束进行组合。也就是说,目标域50-T然后将充当针对后续域配置命令的认证域50-A。图4中示出的所处理的认证和组合可以由在处理器上运行的安全软件来控制。
图5示出了总结这些技术的流程图。在步骤100处,接收要认证的命令。在步骤102处,分级信任链中的认证域50-A确定命令是否已被认证。认证域可以由该命令本身明确地标识,或者可以隐含在命令的类型中(例如,与给定应用相关联的命令可能隐含地需要由相对应的应用级域50-3来认证)。认证域针对诸如建立已验证方的密码身份的密钥或证书之类的密码信息来检查该命令,并且还检查该命令是否满足其约束80-A。如果发出命令的一方的密码身份尚未被验证或约束未被满足,则在步骤104处,该命令被拒绝且不被执行。可以只是忽略被拒绝的命令,或者替代地可以执行其他操作,例如触发异常或错误消息。
如果命令被认证,则在步骤106处确定该命令是否是用于配置作为认证域50-A的后代的目标域50-T的域配置请求。在域更新命令的情况下,目标域可以是认证域的直接子域或孙代或其他后代。如果该命令不是域配置命令,则在步骤108处,根据该命令所表示的任何功能来执行该命令。
如果命令是域配置命令,则在步骤110处,可以对由域配置命令指定的任何目标域约束72与由认证域50-A指定的任何未来约束82-A进行组合,并且组合约束集80-T然后作为针对目标域50-T的配置参数的一部分被存储在存储器6中。类似地,在步骤112处,可以对由命令60指定的任何目标域未来约束74与被认证域50-A指示为应用于目标域的后代的任何未来约束82-A进行组合,并且然后为目标域50-T存储组合未来约束集。也就是说,并非认证域50-A指定的未来约束82-A中的全部都需要应用于认证域的所有后代。这些约束中的一些只应用于认证域的直接子域,但不需要被传递给其他后代。在步骤112处,可以对被指示为应用于其他后代的其他未来约束进行组合。在步骤114处,执行与对目标域的配置相关联的任何其它配置动作。例如,这可以包括更新与目标域相关联的密钥52-T。
在上述示例中,在步骤110处,组合约束集存储在电子设备2本身的存储器6中。然而,在替代实施例中,组合约束集的指示可以被存储在单独设备中的其他地方。例如,组合约束集可以被远程地存储在服务器上,并且每次处理命令时都被获取。
因此,如图6所示,信任树中的不同域可以最终具有下述内容:要被应用于在树的该级别处被认证的消息的不同约束集80以及被施加在后续级别的不同未来约束集。例如,如图6所示,根域50-0可以例如指定由根域认证的消息所要满足的两个约束A和B,以及要施加给根域的后代的多个未来约束W、X、Y、Z。这些未来约束中的X和Y被指示为施加给根的所有后代(这由图6中的星号表示-在硬件设备中,可以设置位标志或其他指示来标识哪些约束应用于所有后代),而约束W和Z仅应用于根域50-0的直接子级。
然后接收配置命令以配置作为根域50-0的子级的1级域50-1。1级(L1)配置命令将约束A指定为目标域约束72-1,并且还将约束A和C指定为未来约束74-1,其中A被指示为应用于1级域的所有后代。因此,在配置1级域时,1级约束72-1与由根域指定的未来约束82-0相组合以得出包括约束A、W、X、Y、Z的组合约束集80-1。此外,命令的未来约束74-1与根域的未来约束集82-0中被指示为应用于1级域的后代的那些约束X、Y相组合,以得出包括约束A、C、X、Y的组合未来约束集82-1。因为约束C在配置命令中被指示为仅应用于直接后续的子域,所以它不是用星号表示,而其他用星号表示。
类似地,在接收到用于在1级域50-1的授权下配置2级域50-2的另一2级配置命令60-2时,进行进一步组合以设置用于2级域50-2的约束集80-2和未来约束集82-2。注意,并非所有命令都需要指定未来约束74。例如,在图6的情况下,2级配置命令60-2不包括未来约束列表(或指定空的未来约束集),因此在这种情况下2级域的未来约束集82-2仅源于由1级域指定的未来约束。类似地,一些配置命令可能不指定任何目标域约束72,在这种情况下,与对来自较早域的未来约束的组合可能得出仅包括由授权域的未来约束集指定的约束的组合集。因此,虽然本技术的方法支持对来自命令60的约束72与由认证域指定的未来约束82进行组合,但并没有必要在每个域配置命令上进行这种组合。
因此,如图6所示,相同类型的命令可能受不同约束的限制,这取决于认证该命令的信任链的级别。例如,虽然命令可以因不满足约束D而在2级域50-2处被拒绝,但在1级域50-1处,如果其满足约束A、W、X、Y、Z,则可以被认证。同样,在1级处被拒绝的命令可能在2级处获得批准。
在图6的示例中,在对来自认证域的未来约束82与由域配置命令60指定的约束72或未来约束74进行组合时,进行或(OR)组合以使得组合约束集或组合未来约束集包括给定约束,如果该给定约束被目标域的约束集72或认证域的未来约束集82中的一者指定的话。然而,如图7所示,这不是对约束集进行组合的唯一选项,也可以使用其他功能。
图7示出了四个示例,其中出于简洁的目的,考虑了四个约束ABCD的简化集,并且提供了位图,该位图指示了这些约束的每一者是否在由针对认证域50-A存储的配置信息指定的未来约束集82-A和由域配置命令60指定的目标域的约束集72中被指定。位图中的“1”指示相对应的约束被相关约束集指定,而“0”指示该约束未被指定。四个示例如下:
a)在此示例中,示出了图6所示的或组合。使用这种方法,如果给定类型的约束被正被组合的约束集82-A、72中的一者或两者指定,则该组合的约束集还将包括该类型的约束。因此,这种方法允许配置认证域的一方指定要注入到后代域的约束集中的附加约束,以及由目标域本身指定的任何其他约束。
b)该示例通过使用与(AND)操作来对各个约束集进行组合,这意味着如果给定类型的约束被未来约束集82-A和目标域约束集72两者指定,则其形成组合约束集的一部分。这种方法在允许认证域限制目标域可以施加的约束的类型方面可以是有用的。也就是说,AND组合基本上确保只有在未来约束集中指定了的约束可以被包括在组合约束集中,但目标域仍将具有设置这些特定约束中的哪些来被施加的灵活性(认证域不强制这些域中的任一者必须被施加,但定义哪些域允许由目标域设置)。
c)可以通过使用异或(XOR)操作来对各个约束集进行组合,使得仅排他地出现在未来约束集82-A和目标域的约束集72中的一者的非相交约束将形成组合集的一部分。因此,从组合集80-T中去除了出现在集82-A、72两者中的约束。
d)在此方法中,如果给定类型的约束被目标域的约束集72指定但未被未来约束集82-A指定,则其形成组合约束集80-T的一部分。例如,这可以通过使用按位AND操作来对目标域约束位图72与未来约束位图82-A的反(非)进行组合来实现。使用这种方法,未来约束集有效地指定了目标域不能应用的那些约束,因为如果在未来约束集中指定的任何约束被目标约束集指定,则然后其将被从组合约束集中移除。因此,这种方法可以有效地限定否定未来约束,其定义了不应由后代域施加的这些约束。
根据被用于对未来约束集和在针对目标域的配置命令中指定的约束进行组合的特定规则,可以看出的是,在某些情况下,组合约束集80-T可能最终不包括任何约束。例如,如果使用AND操作,并且没有与在由认证域指定的未来约束中指定的约束相交的由目标域应用的约束,则组合集将包括零个约束。因此,可能有时没有附加约束被应用于给定域,除了要使用密钥或其他密码材料来验证提供命令的一方的密码身份。
虽然图7示出了用于对未来约束82-A与目标域约束72进行组合的不同组合规则,但在对未来约束82-A与目标域的未来约束74进行组合以生成组合未来约束集82-T时,也可以使用类似的选项。
此外,虽然图7中示出的四个示例被分别示出,但应理解的是,在实践中,认证域可以针对不同类型的约束使用这些的组合。例如,可以用OR函数来组合一些类型的约束,而其他类型的约束可以使用上面讨论的示例(b)至(d)中的替代方式之一。因此,在某些情况下,针对给定域指定的未来约束信息82可以包括指定要被用于对未来约束与由正被配置的目标域设置的约束进行组合的特定规则的信息,并且可以针对不同类型的约束设置不同规则。这种规则定义数据可以由配置认证域80-A的域配置命令60指定。
在某些情况下,对未来约束的注入可能限于信任链的某些级别。例如,在某些情况下,根域80-0可以具有定义要施加到信任链的后续级别的未来约束的能力,但是不可以允许其他级别引入附加的未来约束,在此情况下,用于配置后续级别的配置命令将包括要在该级别处应用的约束72,但不包括任何其他未来约束72,并且针对后续级别域定义的未来约束集82-T将仅基于针对根域设置的未来约束82-0。替代地,其他示例可以允许信任链中的其他域引入其自己的未来约束,使得图4中示出的一般约束注入机制可以在信任链的不止一个级别处应用。
下面将讨论可以被设置作为针对给定认证域的未来约束或作为针对给定目标域的约束72的约束的类型的一些示例。
在一个示例中,未来约束可以是级别特定约束,其中,在分级信任链的一个或多个预定级别上的域所要认证的命令要满足该级别特定约束。例如,该约束可以与指定这些约束应该应用于树的哪些级别(例如,仅1级,或1级和2级)的参数相关联。例如,某些限制可能针对应用级,或仅针对表示根域的直接子级的1级。
另一方面,其他约束可以是通用的,并且应用于认证域的所有后代。例如,这些约束可以是在图6的示例中用星号标记的约束,其通过在树的同一分支内配置的每个后续域的未来约束集进展。因此,一些约束可以是目标域本身以及信任链中的目标域的任何后代域要认证的命令所要满足的后代约束。
例如,为了确保某个密码算法被安全地处理,给定域可以要求其下面的域适合一些条件,例如,命令60的签名位图70应指示整个命令60被签名68保护以被认证。该签名强制约束对于关闭漏洞可能是有用的,这种漏洞可能允许一方在签名68未被无效的情况下修改命令的某些部分。给定方可能希望通过指定这样的签名强制约束来防止这种漏洞,这确保了更大的安全性(特别是如果该未来约束被标记为应用于设置未来约束的域的所有后代的后代约束)。
未来约束也可以被标记为目标域或目标域的后代域要认证的一个或多个预定类型的命令所要满足的类型特定约束。例如,约束可能仅应用于域安装命令或其他类型的命令。因此,对于这样的约束,认证过程可以涉及检查命令ID 62,并且如果它是约束所应用的一组预定值中的一个,则该约束本身被检查,否则该类型特定约束可以被忽略。
类型特定约束的一个示例可以应用于用于在电子设备上安装分级信任链的新域的域安装命令。约束可以是封锁约束,其指定新域必须以封锁状态被安装,在封锁状态中其不能对命令进行认证,否则域安装命令将被拒绝。对新安装的域的解锁,使得其现在可以以在其中其被允许对命令进行认证的解锁状态继续,并可能需要接收进一步的解锁命令。对解锁命令的认证可能需要一些安装命令本身不必满足的约束。例如,解锁命令可能必须指定一些其他的密码信息,例如验证解锁命令是否已被提供安装命令本身或提供对用于电子设备的解锁命令进行授权的一些秘密标识符的一方以外的另一方授权。例如,解锁命令可能受解锁约束限制,该解锁约束指定:仅在解锁命令将对新域的解锁限制到特定电子设备(例如由特定设备ID标识)时其才被认证。例如,解锁命令可能需要指定设备本身的唯一标识符来被认证。
这种方法可能是有用的,因为与信任分级结构中的早期域相关联的一方可能希望强制采取确保后代域不能认证无限数目的设备中的其他域的创建的措施。例如,在初始授权给定方作为信任中的认证主体之后,根证书机构可能随后会发现该方并未负责任地行事并且在不应用必需程度的安全检查的情况下授权命令,所以期望撤销该方建立新密码身份的能力。通过要求新域以封锁状态被安装,这可以允许在发出解锁命令时施加的其他检查。例如,对解锁命令的认证可能需要电子设备联系服务器或其他设备,或者提供例如验证该解锁已被服务器认证的解锁代码,这提供了一种限制创建其他域的手段(如果需要的话)。此外,通过使解锁命令特定于特定电子设备,能够防止密码数据被从一个设备复制到另一设备来避开可能的安全保护。
因此,通过提供一种在较高域的控制下在树的较低级别处注入这种封锁和解锁约束的机制,这使得较高域能够安全地控制未被其自身签名的消息被认证的方式。
另一种类型的未来约束可以指定允许哪些类型的命令由给定目标域或后代域来认证。例如,一些域可能仅仅不被允许授权某种类型的命令,并且这可以由未来约束来指定,使得这些约束被注入到树的后续级别的域的约束集80中,即使当这些后续域在设置未来约束的域的直接控制之外被认证时。
另一种类型的未来约束可以指定给定命令在其也要满足至少一个其他预定约束的情况下所要满足的条件约束。因此,是否施加该约束可能取决于应用了其他什么约束。例如,给定的条件约束可以指定:如果给定后代域施加了特定的密码算法(例如SHA),则还应施加附加的约束,即针对该过程的密码信息的版本日期应比某日期新或在某时间段内被更新。通过提供指定条件约束的能力,在树的给定级别处的认证域可以控制可能由后续的后代域可选地应用的更详细的过程,但不需要对其他命令施加这些约束(如果它们将不受相关约束的限制的话)。
另一种选择是为未来约束集指定至少一个默认约束,命令要满足该至少一个默认约束,除非该默认约束被另一约束推翻。因此,未来约束可以被用于提供保护选项,以防后代域尚未应用某种形式的约束。例如,默认值可以指定:签名比某日期早的命令应该被拒绝(除非后代域已施加了不同的截止日期)以保护根本未施加任何截止日期的某些域。
在某些情况下,所应用的约束不仅可以影响正被给定域认证的命令,而且还会影响由电子设备2执行的其他操作。例如,未来约束可以指定设备模式约束,其指定:只有在电子设备在预定的工作模式下工作时命令才可以被认证。例如,一些设备可以具有与特定密码协议相关联的工作模式,其保证某些安全性要求将被满足,并且因此只有在设备以该模式工作时,某些命令才可以被认证。因此,在这种情况下,对命令的认证可能需要设备切换到该模式,这可能接下来会影响该设备正在执行的其他操作(不仅与被认证的命令相关联的操作)。因此,认证域可以设置影响整个设备的约束,并且在给定后代域认证命令时调用用于确保这些约束被执行的机制,这可能不是受施加该约束影响的唯一操作。
因此,可以设定很大范围的未来约束。类似地,上述任何类型的约束也可以被设置为在给定配置命令60中的目标域自身的约束72,从而直接设置对由该域认证的命令施加的约束。
上述示例示出了用于配置目标域的域配置命令由认证域认证的情况,其中目标域是认证域的后代。然而,对未来约束进行组合的技术也可以被用于在其中用于配置目标域的域配置命令被目标域本身认证的情况(即目标域与认证域相同的情况)。在这种情况下,对由认证(目标)域指定的一个或多个未来约束与域配置命令中指定的约束进行组合以生成作为定义认证/目标域的配置数据的一部分而存储的组合的零个、一个或多个约束集可能仍然有用。因为未来约束可能派生自由早期祖先域设置的早期未来约束(例如,参见图6中的示例,其中针对2级域50-2的未来约束X、Y最终派生自根域50-0),即使在命令被目标域本身认证时对未来约束与来自域配置命令的约束进行组合也有助于以与在其中目标域是认证域的后代的上述示例相同的方式贯穿委托的信任链实现对约束的“滴漏(trickledown)”。在允许目标域认证其自己的配置命令的一些实施例中,可以针对给定域定义单独的未来约束集,一个在认证针对该域本身的命令时被应用,另一个在认证用于配置后代域的命令时被应用。这可能是有用的,因为认证域本身可能并不需要全部被应用于后代域的未来约束。
在一些实施例中,图5的方法可以由存储在存储器6中的计算机程序控制,该计算机程序在电子设备1中的通用处理器4上被执行。在其他实施例中,电子设备2可以具有用于执行认证过程中的至少一部分的专用硬件。一些实现方式可以使用组合的硬件-软件方法,其中过程的一些部分由专用硬件(例如认证步骤或对未来约束的组合)来处理,而其他部分在通用处理器上的软件中完成。
因此,电子设备可以包括认证电路,其接收请求在电子设备上配置分级信任链的目标域的域配置命令,并且基于由认证域提供的密码身份来对域配置命令进行认证,并且在域配置命令被认证时,对由域配置命令指定的至少一个目标域约束和由认证域指定的至少一个未来约束进行组合,以生成包括目标域要认证的命令所要满足的零个、一个或多个约束的组合约束集,并存储所述组合约束集的指示。该认证电路可以是在软件的控制下执行的通用处理器4,或专用认证硬件,或两者的混合(例如用于执行该过程的一些部分的某专用硬件以及用于执行该过程的其他部分的通用软件控制的处理电路)。
总之,本文所描述的技术允许分级信任链的给定域向后代域所使用的约束注入附加约束以验证命令的真实性,从而提供更大的安全性,同时仍然准许将责任委托给其他方的灵活性,这在顶级域已知所有后续级别所使用的所有约束的自上而下的方法中将是不可能的。
虽然本文已参考附图详细描述了本发明的说明性实施例,但应理解的是,本发明不限于这些精确的实施例,并且本领域技术人员可以在其中实现各种改变和修改而不背离由所附权利要求限定的本发明的范围和精神。
Claims (25)
1.一种用于在电子设备中配置分级信任链的目标域的方法,所述目标域提供用于认证所述电子设备要执行的命令的密码身份,所述方法包括:
接收请求在所述电子设备上配置所述目标域的域配置命令,所述域配置命令指定所述目标域要认证的命令所要满足的至少一个目标域约束和在配置所述目标域的后代域时要与其他约束相组合的至少一个目标域未来约束;
基于由认证域提供的密码身份来认证所述域配置命令,其中,所述目标域是在所述分级信任链中的所述认证域或所述认证域的后代域;以及
当所述域配置命令被认证时:
使用一个或多个逻辑函数对所述至少一个目标域约束和由所述认证域指定的至少一个未来约束进行组合以生成组合约束集并且存储所述组合约束集的指示,所述组合约束集包括所述目标域要认证的命令所要满足的零个、一个或多个约束,以及
使用一个或多个逻辑函数对所述至少一个目标域未来约束和由所述认证域指定的所述至少一个未来约束进行组合以生成组合目标域未来约束集并且存储所述组合目标域未来约束集的指示,所述组合目标域未来约束集包括在配置所述目标域的后代域时要与其他约束相组合的零个、一个或多个约束,
其中,所述目标域约束是指要认证的命令所要满足的一个或多个要求;
其中,所述目标域未来约束是指在配置所述目标域的后代域时要使用的一个或多个要求,并且
其中,所述未来约束是指经受所述认证域的一个或多个后代域认证的命令所要满足的一个或多个要求。
2.根据权利要求1所述的方法,其中,在所述目标域的配置之后接收到的所述目标域要认证的后续命令基于这些后续指令是否满足所述组合约束集而被认证。
3.根据权利要求1所述的方法,包括,响应于所述域配置命令被认证,存储用于在配置所述目标域的后代域时与其他约束相组合的所述至少一个目标域未来约束的指示。
4.根据权利要求3所述的方法,其中,所述至少一个目标域未来约束是根据下述各项中的至少一个而选择的:
所述至少一个认证域未来约束;以及
由所述域配置命令指定的至少一个目标域未来约束。
5.根据权利要求1所述的方法,其中,相同类型的命令受不同约束集的限制,这取决于要认证的所述命令所处的所述分级信任链的级别。
6.根据权利要求1所述的方法,其中,所述至少一个未来约束包括所述目标域和在所述分级信任链中所述目标域的任何后代域要认证的命令所要满足的至少一个后代约束。
7.根据权利要求1所述的方法,其中,所述至少一个未来约束包括在所述分级信任链的一个或多个预定级别处的域要认证的命令所要满足的至少一个级别特定约束。
8.根据权利要求1所述的方法,其中,所述至少一个未来约束包括所述目标域或所述目标域的后代域要认证的一个或多个预定类型的命令所要满足的至少一个类型特定约束。
9.根据权利要求1所述的方法,其中,所述至少一个未来约束包括指定哪些类型的命令被允许由所述目标域或所述目标域的后代域认证的至少一个类型限制约束。
10.根据权利要求1所述的方法,其中,如果所述命令还要满足至少一个预定约束,则所述至少一个未来约束包括所述命令所要满足的至少一个条件约束。
11.根据权利要求1所述的方法,其中,所述至少一个未来约束包括所述命令所要满足的至少一个默认约束,除非所述至少一个默认约束被另一约束推翻。
12.根据权利要求1所述的方法,其中,所述至少一个未来约束包括指定仅当所述电子设备在预定工作模式下工作时命令才被认证的至少一个设备模式约束。
13.根据权利要求1所述的方法,其中,所述至少一个未来约束包括指定仅当用于在所述电子设备上安装所述分级信任链的新域的域安装命令指定要以新域不能认证命令的封锁状态来安装新域时才由所述目标域或所述目标域的后代域来认证新域的封锁约束。
14.根据权利要求13所述的方法,其中,响应于解锁命令,所述新域被解锁。
15.根据权利要求14所述的方法,其中,所述至少一个未来约束包括指定仅当所述解锁命令将所述新域的解锁限制到特定电子设备时,才由所述目标域或所述目标域的后代域来认证所述解锁命令的解锁约束。
16.根据权利要求1所述的方法,其中,要被认证的所述命令指定数字签名和签名元数据,其中所述签名元数据标识所述命令的哪些部分被所述数字签名认证;以及
所述未来约束包括指定仅当所述签名元数据指定命令的所有部分都由所述数字签名认证时该命令才由所述目标域或所述目标域的后代域来认证的签名强制约束。
17.根据权利要求1所述的方法,其中,对于至少一种类型的约束,当所述至少一个目标域约束和所述至少一个未来约束中的至少一者指定所述至少一种类型的约束时,所述组合约束集包括所述至少一种类型的约束。
18.根据权利要求1所述的方法,其中,对于至少一种类型的约束,当所述至少一个目标域约束和所述至少一个未来约束二者都指定所述至少一种类型的约束时,所述组合约束集包括所述至少一种类型的约束。
19.根据权利要求1所述的方法,其中,对于至少一种类型的约束,当所述至少一个目标域约束和所述至少一个未来约束中的一者排他地指定所述至少一种类型的约束时,所述组合约束集包括所述至少一种类型的约束。
20.根据权利要求1所述的方法,其中,对于至少一种类型的约束,当所述至少一种类型的约束被所述至少一个目标域约束指定,而未被所述至少一个未来约束指定时,组合未来约束集包括所述至少一种类型的约束。
21.根据权利要求1所述的方法,其中,所述域配置命令包括请求在所述电子设备上安装所述目标域的域安装命令。
22.根据权利要求1所述的方法,其中,所述域配置命令包括请求在所述电子设备上更新所述目标域的参数的域更新命令。
23.一种非暂态存储介质,存储有计算机程序,该计算机程序包括用于控制电子设备以执行权利要求1至22中任一项所述的方法的程序指令。
24.一种电子设备,包括:
根据权利要求23所述的非暂态存储介质;以及
处理电路,配置为运行在所述非暂态存储介质上所存储的所述计算机程序。
25.一种电子设备,包括:
认证电路,被配置为接收请求在所述电子设备上配置分级信任链的目标域的域配置命令,所述目标域提供用于对所述电子设备所要执行的命令进行认证的密码身份,所述域配置命令指定所述目标域要认证的命令所要满足的至少一个目标域约束和在配置所述目标域的后代域时要与其他约束相组合的至少一个目标域未来约束;以及基于由认证域提供的密码身份来认证所述域配置命令,其中,所述目标域是在所述分级信任链中的所述认证域或所述认证域的后代域;
其中,当所述域配置命令被认证时,所述认证电路被配置为:
使用一个或多个逻辑函数对所述至少一个目标域约束和由所述认证域指定的至少一个未来约束进行组合以生成组合约束集并存储所述组合约束集的指示,所述组合约束集包括所述目标域要认证的命令所要满足的零个、一个或多个约束,以及
使用一个或多个逻辑函数对所述至少一个目标域未来约束和由所述认证域指定的所述至少一个未来约束进行组合以生成组合目标域未来约束集并且存储所述组合目标域未来约束集的指示,所述组合目标域未来约束集包括在配置所述目标域的后代域时要与其他约束组合的零个、一个或多个约束,
其中,所述目标域约束是指要认证的命令所要满足的一个或多个要求;
其中,所述目标域未来约束是指在配置所述目标域的后代域时要使用的一个或多个要求,并且
其中,所述未来约束是指经受所述认证域的一个或多个后代域认证的命令所要满足的一个或多个要求。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB1615135.9 | 2016-09-06 | ||
| GB1615135.9A GB2553376A (en) | 2016-09-06 | 2016-09-06 | Future constraints for hierarchical chain of trust |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107798233A CN107798233A (zh) | 2018-03-13 |
| CN107798233B true CN107798233B (zh) | 2022-01-07 |
Family
ID=57139912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710761757.6A Active CN107798233B (zh) | 2016-09-06 | 2017-08-30 | 用于配置分级信任链的目标域的方法和电子设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10594493B2 (zh) |
| EP (1) | EP3291123B1 (zh) |
| KR (1) | KR102500619B1 (zh) |
| CN (1) | CN107798233B (zh) |
| GB (1) | GB2553376A (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10402273B2 (en) | 2016-12-14 | 2019-09-03 | Microsoft Technology Licensing, Llc | IoT device update failure recovery |
| US10715526B2 (en) | 2016-12-14 | 2020-07-14 | Microsoft Technology Licensing, Llc | Multiple cores with hierarchy of trust |
| US10416991B2 (en) * | 2016-12-14 | 2019-09-17 | Microsoft Technology Licensing, Llc | Secure IoT device update |
| US20190097785A1 (en) * | 2017-09-27 | 2019-03-28 | Silicon Laboratories Inc. | Apparatus for Clock-Frequency Variation in Electronic Circuitry and Associated Methods |
| US11562086B2 (en) | 2018-06-27 | 2023-01-24 | International Business Machines Corporation | Filesystem view separation for data confidentiality and integrity using lattice-based security domains |
| US11775638B2 (en) | 2018-06-27 | 2023-10-03 | International Business Machines Corporation | Identification and extraction of key forensics indicators of compromise using subject-specific filesystem views |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001075563A2 (en) * | 2000-03-31 | 2001-10-11 | Intel Corporation | Generating a key hierarchy for use in an isolated execution environment |
| US20020040936A1 (en) * | 1998-10-27 | 2002-04-11 | David C. Wentker | Delegated management of smart card applications |
| US20030097578A1 (en) * | 2001-11-16 | 2003-05-22 | Paul England | Operating system upgrades in a trusted operating system environment |
| WO2005033868A2 (en) * | 2003-09-29 | 2005-04-14 | Ayman, Llc | Delegated certificate authority |
| US20070179904A1 (en) * | 2006-02-02 | 2007-08-02 | Hofstee H P | Apparatus and method for providing sealed storage in a data processing device |
| US20080022087A1 (en) * | 2006-05-12 | 2008-01-24 | Sharp Kabushiki Kaisha | Multifunction device, method of controlling multifunction device, multifunction device control system, program, and recording medium |
| US20080066159A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Controlling the Delegation of Rights |
| WO2010095432A1 (en) * | 2009-02-18 | 2010-08-26 | Panasonic Corporation | Information processing device and information processing method |
| US20110010543A1 (en) * | 2009-03-06 | 2011-01-13 | Interdigital Patent Holdings, Inc. | Platform validation and management of wireless devices |
| US20110099605A1 (en) * | 2009-04-20 | 2011-04-28 | Interdigital Patent Holdings, Inc. | System of multiple domains and domain ownership |
| CN102396251A (zh) * | 2009-04-15 | 2012-03-28 | 交互数字专利控股公司 | 对与网络通信的设备的确认和/或认证 |
| CN103973451A (zh) * | 2014-05-05 | 2014-08-06 | 西南交通大学 | 一种用于分布式网络系统的跨信任域认证方法 |
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
| CN104468712A (zh) * | 2014-10-31 | 2015-03-25 | 中标软件有限公司 | 轻量级可信计算平台及其通信方法、信任链建立方法 |
| EP2889794A2 (en) * | 2013-12-28 | 2015-07-01 | Intel Corporation | Offloading functionality from a secure processing environment |
| CN105812347A (zh) * | 2015-01-21 | 2016-07-27 | 帕洛阿尔托研究中心公司 | 网络层应用特定的信任模型 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9130921B2 (en) * | 2003-09-30 | 2015-09-08 | Ca, Inc. | System and method for bridging identities in a service oriented architectureprofiling |
| US8898267B2 (en) * | 2009-01-19 | 2014-11-25 | Netapp, Inc. | Modifying information lifecycle management rules in a distributed system |
| EP2543215A2 (en) * | 2010-03-05 | 2013-01-09 | InterDigital Patent Holdings, Inc. | Method and apparatus for providing security to devices |
-
2016
- 2016-09-06 GB GB1615135.9A patent/GB2553376A/en not_active Withdrawn
-
2017
- 2017-07-27 EP EP17183567.1A patent/EP3291123B1/en active Active
- 2017-08-15 US US15/677,337 patent/US10594493B2/en active Active
- 2017-08-29 KR KR1020170109111A patent/KR102500619B1/ko active IP Right Grant
- 2017-08-30 CN CN201710761757.6A patent/CN107798233B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020040936A1 (en) * | 1998-10-27 | 2002-04-11 | David C. Wentker | Delegated management of smart card applications |
| WO2001075563A2 (en) * | 2000-03-31 | 2001-10-11 | Intel Corporation | Generating a key hierarchy for use in an isolated execution environment |
| TW563030B (en) * | 2000-03-31 | 2003-11-21 | Intel Corp | Generating a key hierarchy for use in an isolated execution environment |
| US20030097578A1 (en) * | 2001-11-16 | 2003-05-22 | Paul England | Operating system upgrades in a trusted operating system environment |
| WO2005033868A2 (en) * | 2003-09-29 | 2005-04-14 | Ayman, Llc | Delegated certificate authority |
| US20070179904A1 (en) * | 2006-02-02 | 2007-08-02 | Hofstee H P | Apparatus and method for providing sealed storage in a data processing device |
| US20080022087A1 (en) * | 2006-05-12 | 2008-01-24 | Sharp Kabushiki Kaisha | Multifunction device, method of controlling multifunction device, multifunction device control system, program, and recording medium |
| US20080066159A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Controlling the Delegation of Rights |
| WO2010095432A1 (en) * | 2009-02-18 | 2010-08-26 | Panasonic Corporation | Information processing device and information processing method |
| CN102282564A (zh) * | 2009-02-18 | 2011-12-14 | 松下电器产业株式会社 | 信息处理设备和信息处理方法 |
| US20110010543A1 (en) * | 2009-03-06 | 2011-01-13 | Interdigital Patent Holdings, Inc. | Platform validation and management of wireless devices |
| CN102396251A (zh) * | 2009-04-15 | 2012-03-28 | 交互数字专利控股公司 | 对与网络通信的设备的确认和/或认证 |
| EP2814277A1 (en) * | 2009-04-15 | 2014-12-17 | Interdigital Patent Holdings, Inc. | Validation and/or authentication of a device for communication with a network |
| US20110099605A1 (en) * | 2009-04-20 | 2011-04-28 | Interdigital Patent Holdings, Inc. | System of multiple domains and domain ownership |
| EP2889794A2 (en) * | 2013-12-28 | 2015-07-01 | Intel Corporation | Offloading functionality from a secure processing environment |
| CN103973451A (zh) * | 2014-05-05 | 2014-08-06 | 西南交通大学 | 一种用于分布式网络系统的跨信任域认证方法 |
| CN104468712A (zh) * | 2014-10-31 | 2015-03-25 | 中标软件有限公司 | 轻量级可信计算平台及其通信方法、信任链建立方法 |
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
| CN105812347A (zh) * | 2015-01-21 | 2016-07-27 | 帕洛阿尔托研究中心公司 | 网络层应用特定的信任模型 |
Non-Patent Citations (2)
| Title |
|---|
| 位置服务隐私保护研究综述;张学军;《软件学报》;20160819;第26卷(第9期);文章第2373-2395 * |
| 安全阵列(08-01-08);ftai08;《https://blog.csdn.net/ftai08/article/details/2044416》;20080115;文章全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2553376A (en) | 2018-03-07 |
| EP3291123B1 (en) | 2020-05-06 |
| EP3291123A1 (en) | 2018-03-07 |
| KR102500619B1 (ko) | 2023-02-16 |
| US20180069707A1 (en) | 2018-03-08 |
| US10594493B2 (en) | 2020-03-17 |
| GB201615135D0 (en) | 2016-10-19 |
| KR20180027343A (ko) | 2018-03-14 |
| CN107798233A (zh) | 2018-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107798233B (zh) | 用于配置分级信任链的目标域的方法和电子设备 | |
| US20200125756A1 (en) | Implementing access control by system-on-chip | |
| JP4796340B2 (ja) | 状態検証を使用した保護されたオペレーティングシステムブートのためのシステムおよび方法 | |
| US5978484A (en) | System and method for safety distributing executable objects | |
| JP4463887B2 (ja) | コア・データ機密事項の保護記憶 | |
| JP4689946B2 (ja) | 安全なデータを使用して情報処理を実行するシステム | |
| US6715077B1 (en) | System and method to support varying maximum cryptographic strength for common data security architecture (CDSA) applications | |
| US9268971B2 (en) | Secure processor supporting multiple security functions | |
| JP4912879B2 (ja) | プロセッサの保護された資源へのアクセスに対するセキュリティ保護方法 | |
| CN113168476A (zh) | 操作系统中个性化密码学安全的访问控制 | |
| US8953805B2 (en) | Authentication information generating system, authentication information generating method, client apparatus, and authentication information generating program for implementing the method | |
| JPH10171648A (ja) | アプリケーションを認証する装置 | |
| WO2020182302A1 (en) | Apparatus and method for dynamic configuration of trusted application access control | |
| Nyman et al. | Citizen electronic identities using TPM 2.0 | |
| CN117063174A (zh) | 用于通过基于app的身份的app间相互信任的安全模块及方法 | |
| KR20230137422A (ko) | 디지털 장치를 위한 신뢰할 수 있는 컴퓨팅 | |
| Varghese et al. | Threat modelling of industrial controllers: A firmware security perspective | |
| EP4304226B1 (en) | Provisioning of security modules | |
| Kostiainen et al. | Key attestation from trusted execution environments | |
| Stötzner | Design of an Android App2App redirect flow for the FAPI 2.0 standard | |
| Tamrakar et al. | On rehoming the electronic id to TEEs | |
| Module | Trusted Computing Group Protection Profile PC Client Specific Trusted Platform Module TPM Family 1.2; Level 2 | |
| Pei et al. | RFC 9397 Trusted Execution Environment Provisioning (TEEP) Architecture | |
| WO2023237197A1 (en) | Attested one-time on-device secure api authorization | |
| Vossaert et al. | Client-side biometric verification based on trusted computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |