CN113849799A - 用于远程地认证外围设备的系统、装置和方法 - Google Patents

用于远程地认证外围设备的系统、装置和方法 Download PDF

Info

Publication number
CN113849799A
CN113849799A CN202011526172.4A CN202011526172A CN113849799A CN 113849799 A CN113849799 A CN 113849799A CN 202011526172 A CN202011526172 A CN 202011526172A CN 113849799 A CN113849799 A CN 113849799A
Authority
CN
China
Prior art keywords
authentication
cloud server
authentication information
certificate
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011526172.4A
Other languages
English (en)
Inventor
R·雷古帕蒂
A·R·伊斯梅尔
S·S·瓦里克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN113849799A publication Critical patent/CN113849799A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer And Data Communications (AREA)

Abstract

在一个实施例中,一种方法包括:在客户端系统中,从远程耦合到客户端系统的云服务器接收认证请求,该认证请求用于对耦合到客户端系统的设备进行认证;响应于该认证请求,经由客户端系统对设备执行认证协议,包括获得设备的设备认证信息;将设备认证信息的至少一部分和客户端系统的认证信息置于协议分组中,并且将协议分组发送给云服务器;以及响应于来自云服务器的挑战请求,将用客户端系统的第一证书和设备的第二证书签名的挑战响应发送给云服务器,以使得云服务器认证设备。描述和要求保护其他实施例。

Description

用于远程地认证外围设备的系统、装置和方法
技术领域
实施例涉及远程地认证设备。
背景技术
通用串行总线(USB)已经从作为用于连接低功率外围设备的接口发展为更复杂的系统,该系统添加了高达100瓦的功率递送的能力和高达40千兆位每秒(Gbps)的超速数据传输的能力。USB应用者论坛(USB-IF)维护针对电缆、连接器、协议、通信和功率递送(PD)的规范。
USB4规范版本1.0(发布于2019年8月29日)在USB Type-C端口上实现了聚合的输入/输出协议,以提供如同USB、DisplayPort和外围组件互连(PCI)的多种功能,因此使得较新的设备能够通过未来计算生态系统中的USB端口进行连接。这包括在企业环境中使用的设备,这些设备实现了安全访问或用策略实施进行访问。
USB Type-C(USB-C)认证规范修订版本1.0(发布于2019年1月7日)扩展了USB-C系统的功能以通过USB-C端口认证设备。然而,这样的认证限于对等用例,其中,USB设备被物理地耦合到认证系统。
附图说明
图1是根据实施例的方法的流程图。
图2是根据另一实施例的方法的流程图。
图3是根据一个实施例的系统的框图。
图4是根据另一实施例的企业环境的框图。
图5是根据实施例的认证序列的图示。
图6是根据实施例的系统的实施例的框图。
图7是根据本发明的另一实施例的系统的框图。
具体实施方式
在各种实施例中,提供了认证协议以实现耦合到远程客户端系统的外围设备的基于云的认证。尽管许多不同的架构是可能的,但是实施例可以适用于基于云的环境,其中,当外围设备例如经由USB/USB-C连接而连接到给定的客户端系统中时,云服务器充当认证发起者。
许多不同类型的客户端系统可以实现实施例,包括云管理的工作场所设备(例如,云管理的ChromebookTM布置)。可以结合云销售点系统使用其他实施例。当然,实施例不限于这些示例,并且等同地适用于在给定的企业或其他安全环境中可能存在的许多不同类型的客户端系统。
在实施例的情况下,可以动态地连接到系统中的许多不同类型的外围设备和其他设备(例如,所谓聚合的IO外围设备),当被连接到本地计算系统中时经历了认证过程。当本地计算系统本身在云环境(其中,本地计算系统的一些企业或其他IT管理驻留在云中)内实现时,诸如云服务器之类的云计算设备可以充当用于认证外围设备的认证发起者。
这样,在本文中的布置中,设备可以基于由基于云的服务器发起的认证来从本地耦合的系统接收认证请求。进而,不是在客户端计算设备与外围设备之间实现对等认证,而是实施例提供了用于启用/扩展本地外围设备的基于云的认证的技术和机制。
在一个实施例中,由USB-C认证协议定义的认证序列可以用于认证例如源自不同的供应商的USB PD产品。以这种方式,由于USB是开放式标准,因此实施例可以帮助保护主机平台免受安全漏洞的侵害。当然,可以理解的是,实施例在这方面不受限制,并且对等连接的设备之间的认证通信可以根据其他认证协议或定制定义的认证协议来发生。
实施例因此通过本地客户端计算设备与外围设备之间的对等通信来从外围设备获得认证信息。可以理解的是,这种操作是响应于从基于云的服务器接收到认证请求而进行的。进而,一旦客户端计算设备成功地获得认证信息,它就可以例如用其自身的认证信息的一些来将其传送给基于云的服务器。在一个实施例中,客户端计算设备可以将设备认证信息的至少一部分附加到其认证信息的至少一些。进而,此被合并的认证信息可以被发送给基于云的服务器。在特定的实施例中,此信息可以被封装在一个或多个协议分组内,并且然后被发送给基于云的服务器。
现在参考图1,示出的是根据实施例的方法的流程图。如图1所示,方法100是基于云的环境中的认证过程的高级视图。更具体地,图1中的方法100参考基于云的服务器,该服务器包括认证硬件电路、固件和/或软件,以对耦合到远离基于云的服务器的客户端系统(作为受信任的第三方)的外围设备执行基于云的认证。
如图所示,方法100开始于注册客户端系统(框110)。更具体地,此客户端系统(其可以是例如位于给定的工作场所、商业等处的企业设备,并且其可以经由云进行远程IT管理)可以被注册为受信任的第三方。为此,此注册过程可以使用协议来实现,以将客户端系统建立为受信任的第三方,以使得认证能够如本文所描述的针对可能成为本地连接到它的外围设备进行。
注意,当客户端系统被配置到企业中时,注册过程可能会发生,并且可以是在云环境中的该设备的认证的一部分。并且可以理解的是,例如,基于被使用的操作系统(OS)的类型,用于执行注册的不同类型的操作可能会发生。在一些情况下,基于OS的技术可以用于将客户端系统注册为受信任的第三方。在其他情况下,管理程序或在管理程序下执行的虚拟机可以执行注册。可以理解的是,如本文所使用的术语“受信任的第三方”并不意味着客户端系统是能够提供密钥或其他加密材料或信任断言的证书颁发机构或其他第三方实体,而是从外围设备获得认证信息以用于运送到基于云的服务器的经授权的参与者。
仍然参考图1,在客户端系统的正常操作期间,在框120处,云服务器可以检测到耦合到客户端系统的外围设备的连接。例如,给定的USB或其他外围设备可以例如经由USB4或其他连接而耦合到客户端系统。当外围设备连接到系统中时,可以检测到此连接,这可以触发例如经由基于浏览器的通信而将被发送给云服务器的通信。
接下来在框130处,云服务器向客户端系统发出认证请求。在实施例中,此请求可以是根据USB Type-C认证协议(例如,根据USB-C认证规范,修订版本1.0,或其任何其他版本、修改或变型)的GET_DIGESTS请求的形式。当然,其他认证请求是可能的。
接下来,在菱形框140处确定在超时时段发生之前是否已经接收到响应。如果否,则控制传递回到框130,其中,可以再次发出认证请求。注意,在一些情况下,关于是否已经接收到响应的此确定基于是否接收到对认证请求的响应,或者可替代地是否已经从客户端系统接收到忙碌消息,以指示其当前处于对外围设备执行认证协议操作的过程中。
控制接下来传递到框150,其中,可以对客户端系统执行认证协议以获得外围设备的认证信息。在实施例中,此信息可以被附加到或以其他方式包括在客户端系统本身的认证信息内。在实施例中,此认证信息可以包括摘要信息、证书信息和挑战响应信息。当然,在其他实施例中,可以接收附加的或不同的信息。
至少部分地基于此信息,云服务器可以在菱形框160处确定外围设备是否被认证。例如,如果所有摘要、证书和挑战响应信息例如通过与预期结果相匹配的计算出的结果来指示该设备是它所说的内容,则可以认证外围设备。如果是,则控制传递到框180,其中,云服务器可以将授权成功消息发送给客户端系统。响应于此授权成功消息,客户端系统可以启用与外围设备的连接,并且可以开始与外围设备进行通信。否则,外围设备不被认证,并且控制传递到框170,其中,云服务器可以将授权失败消息发送给客户端系统。响应于此授权失败消息,客户端系统可以与外围设备断开连接。可以理解的是,尽管在图1的实施例中以这种高水平示出,但是许多变型和替代方案是可能的。
现在参考图2,示出的是根据另一实施例的方法的流程图。如图2所示,方法200是参考客户端系统在基于云的环境中的认证过程的高级视图,该客户端系统包括用于在外围设备的基于云的认证中充当受信任的第三方的认证硬件电路、固件和/或软件。
如图所示,方法200开始于在客户端系统中从云服务器接收认证请求(框210)。此认证请求可以是用于认证近期耦合到所实现的客户端系统的外围设备的请求。响应于此认证请求(其在一个实施例中可以以GET_DIGESTS请求的形式),客户端系统对外围设备执行认证协议以获得外围设备的认证信息(框215)。此认证协议可以是对等认证协议。
接下来,在菱形框220处,可以确定在超时时段之前是否已经成功地完成认证协议。在一些实施例中,可以根据协议来设置此超时时段。如果此时没有完成认证协议,则控制传递到菱形框225以确定是否存在故障。如果是,则在框230处,错误报告被发送给云服务器。如果没有失败发生,则在框235处,客户端可以将忙碌响应发送给云服务器,这可以触发另一认证请求的发送和接收。注意,在某些情况下,此忙碌信号发送可以是可选的。
仍然参考图2,当确定认证协议已经被成功地完成时,控制传递到框240。在框240处,外围设备的认证信息的至少一部分可以与客户端系统的至少一些认证信息一起被包括在一个或多个协议分组中。在实施例中,可以例如通过应用编程接口(API)信息来用由云服务器指示的协议格式生成这些协议分组。
注意,在不同的实施例中,解析和提供外围设备和客户端系统二者的认证信息的不同的方式可能会发生。例如,客户端系统可以仅将接收到的设备认证信息的一部分提供给云服务器。类似地,仅客户端系统的可用的认证信息的一部分可以被发送给云服务器。并且可以理解的是,无论量多大,封装信息以用于传送给云服务器的不同的方式可能会发生。尽管在一个实施例中可以使用封装技术,但是封装信息的其他方式可能会发生在其他实施例中。
仍然参考图2,控制接下来传递到框250,其中,这些协议分组被发送给云服务器。在菱形框260处,客户端系统可以确定认证是否是成功的。此确定可以基于来自云服务器的指示认证的成功或失败的消息。如果成功,则控制传递到框270,其中,启用了客户端系统与外围设备之间的连接。因此,通信可以在正常操作期间进行。否则,如果确定认证不成功,则控制传递到框280,其中,外围设备可以例如通过禁用USB或设备之间的其他连接来断开连接。可以理解的是,尽管在图2的实施例中以这种高水平示出,但是许多变型和替代方案是可能的。
其他认证结果可以包括:作为认证的结果,根据策略确定所连接的设备是否是合适的。例如,担心由不合格的充电设备造成的产品损坏的供应商可以设置要求仅经认证的PD产品被用于充电的策略。作为另一示例,担心在公共终端处对其手机充电的用户可以设置要求该手机仅从经认证的PD产品充电的策略。作为又一示例,担心无法识别的存储设备获得对公司PC资产的访问的组织可以设置要求仅使用已经由公司IT验证并签名的USB存储设备的策略。当然,如本文所描述的用于认证的其他用例可能会发生,例如,扩展客户端设备的端口的USB-C/USB4对接。
如上面所描述的,实施例可以在许多不同类型的企业系统中使用。现在参考图3,示出的是根据一个实施例的系统的框图。如图3所示,系统300是云环境中的销售点(POS)系统。如图3所示,存在于不同的零售环境内的各种POS系统远程地耦合到一个或多个云服务器310。如图所示,POS系统300内的代表性系统包括第一系统320,例如,可以充当管理报告系统的给定的客户端计算系统(例如,膝上型计算机、台式计算机、服务器或其他系统)。进而,在POS系统300中可以存在多个不同的商店类型330、340、350,并且进而包括各种内部系统和外围设备。
在PoS系统300中,这些所连接的外围设备(例如,聚合的IO设备)可以用于高安全事务,并且因此合适的认证是适当的。如本文所描述的,尽管云服务器310驻留在云中,但是其可以充当认证发起者以认证这些非对等设备。
如图3所示,第一商店330包括打印机336耦合到的销售点终端334。进而,系统334可以例如经由接入点332(或网关或无线接口等)进行通信,以实现与云服务器310的后端通信。在本文的实施例中,终端334可以充当客户端系统,并且更具体地,在云服务器310发起的用于认证的认证协议中,充当中间设备的受信任的第三方(例如,打印机336)。当然,可以理解的是,附加的外围设备可以耦合到终端334和商店330内的其他系统,并且可以以类似的方式进行认证,使得在给定的企业环境内的设备的一对多认证可以如本文所描述发生。
如图3所示,第二商店340包括接入点345以实现与云服务器310的后端通信。如图所示,接入点345可以具有与其耦合的各种设备,包括打印机346、智能电话348、以及平板计算机349。在本文中的实施例中,接入点345可以充当客户端系统,并且更具体地充当由这些外围设备的云服务器310发起的认证协议中的中间设备的受信任的第三方。当然,可以理解的是,附加的外围设备可以耦合到接入点345和商店340内和其他系统,并且可以以类似的方式进行认证。
如图3所示,在第三商店350中,本地服务器352耦合到接入点353。如进一步示出的,耦合到接入点353的各种设备包括打印机355、膝上型计算机354、智能电话356、平板计算机357和显示器358。在本文中的实施例中,服务器352可以充当客户端系统,并且更具体地,充当由云服务器310发起的用于认证这些或其他外围设备的认证协议中的中间设备的受信任的第三方。当然,可以理解的是,附加的外围设备可以耦合到服务器352和商店350内的其他系统,并且可以以类似的方式进行认证。
可替代地,正在发展的另一生态系统是“租借Chrome项目(Grab and Go withChrome Enterprise)”,这是一种自助共享的ChromebookTM程序。作为企业系统中的一个示例,员工可以使用堆放有ChromebooksTM的架子来在几分钟内拿起设备并开始工作。当用户完成时,设备被放回以供下一用户使用,没有重新配置是必须的。实施例可以用于在这样的环境中连接和认证外围设备。
现在参考图4,示出的是根据另一实施例的企业环境的框图。如图4所示,企业环境400包括云服务器410,客户端计算系统420例如经由互联网远程地耦合到云服务器410。作为一个示例,客户端系统420可以是共享的ChromebookTM膝上型计算机。当然,许多其他类型的客户端系统是可能的。如图所示,客户端系统420经由电缆422耦合到对接系统425,该对接系统425在实施例中可以是各种不同的设备可以耦合到的雷雳3兼容的对接系统。在一个实施例中,电缆422可以被实现为USB Type-C电缆。当然,其他示例是可能的。
如图4进一步所示,多个外围设备可以耦合到对接系统425。例如,还可以连接各种设备可以耦合到的网络适配器430、主机端口435、以及USB集线器440。仍然如图进一步所示,雷雳设备442、444可以与存储设备446(例如,USB存储设备)一起耦合到对接系统425。另外,可以根据DisplayPort协议进行通信的读卡器450和显示器455也可以耦合到对接系统425。
在实施例的情况下,所有这些外围设备都可以在环境400中被认证。更特别地,云服务器410可以是经由向客户端系统420传送认证请求的这样的认证的发起者,该客户端系统420进而可以执行对等认证协议,以获得外围设备的认证信息。进而,客户端系统420可以包括此信息中的至少一些和其自身的认证信息中的至少一些,并且例如经由协议分组将信息传送给云服务器410,以使得云服务器410能够确定给定的外围设备是否被认证,以因此实现正常的操作。尽管在图4的实施例中以这种高水平示出,但是许多变型和替代方案是可能的。
现在参考图5,示出的是根据实施例的认证序列的图示。如图5所示,在云环境500中,响应于新设备到客户端设备520(例如,叶子设备530)的连接,云服务器510充当认证发起者并且发起与客户端设备520(例如,膝上型计算机、台式计算机等)的通信。可以理解的是,尽管叶子设备530可以例如经由USB电缆物理地耦合到客户端设备520,但是客户端设备520位于远离云服务器510的位置,客户端设备520可以例如经由互联网连接到云服务器510。如图5的图示所示,叶子设备530可以是USB集线器。当然,许多其他类型的叶子设备是可能的。
如图5所示,云服务器510可以发起基于USB-C认证规范的认证协议。为了开始该过程,云服务器可以将GET_DIGESTS请求531发送给客户端设备520。响应于接收到开始认证序列的此请求,设备520可以首先将忙碌响应532发回云服务器510,以指示认证结果尚未准备好。此忙碌响应将触发稍后的认证请求(例如,经由另一GET_DIGESTS请求)。
如图5进一步所示,客户端设备520可以向叶子设备530发出GET_DIGESTS请求533。进而,叶子设备530发送DIGESTS响应534以发送证书链摘要。接下来,在一个实施例中,客户端设备520(或云服务器510)可以首先检查证书链是否已经被其缓存。如果否,则客户端设备520发送GET_CERTIFICATE请求536以读取叶子设备530的证书链。响应于此请求,叶子设备530发送CERTIFICATE响应538以发送证书链的所请求的片段。
仍然参考图5,下一客户端设备520可以发出CHALLENGE请求540以挑战叶子设备530,以便验证其可靠性。注意,在实施例中,客户端设备520可以是USB PD对等设备,并且通过USB PD协议生成挑战。在不同的实施例中,例如,挑战可以由操作系统、嵌入式控制器或PD控制器生成。当然,在其他情况下,客户端侧实施方式可以位于客户端设备520的任何部分中。作为响应,客户端设备530可以准备并发送CHALLENGE_AUTH响应542以实现其可靠性的验证。
在客户端设备520从叶子设备530接收到上面描述的认证信息的同时,它不验证内容本身。相反,如图5进一步所示,认证序列的附加的各个方面使得客户端设备520将此认证信息的至少一部分(其可以被附加到客户端设备520本身的认证信息)发送给云服务器510。
因此,在从叶子设备530获得所有认证信息之后,认证信息被发送给云服务器510。更具体地,具有来自叶子设备530的所要求的证书链。因此,响应于GET_DIGESTS请求550,客户端设备520发送具有摘要的DIGESTS_response 552,DIGESTS_response 552来自叶子设备530、附加到其摘要。类似地,响应于GET_CERTIFICATES请求554,客户端设备520将叶子设备530的证书链附加到其叶子证书、相关的ACD对象和适用于叶子设备530的TLV。客户端系统520可以将以X509v3 ASN.1格式编码的叶子设备的证书附加到其叶子证书和ACD对象。ACD对象可以包含VENDOR_EXTENSION TLV,以表示认证响应包含叶子设备的附加的信息,后跟适用于叶子设备的TLV。
在实施例中,证书可以以x509v3 ASN.1格式封装在协议分组中,并且经由通过云服务提供商定义的云服务器API发送。如图5进一步所示,客户端设备520响应于CHALLENGE请求558而发送由其自身的证书以及叶子设备530的证书适当签名的CHALLENGE_AUTH响应560。来自客户端系统520的“CHALLENGE_AUTH”响应可以包含从叶子设备530接收到的证书链的适当散列(例如,安全散列算法(SHA)256)和椭圆曲线数字签名算法(ECDSA)数字签名。
云服务器510可以使用附加的证书信息来发送“CHALLENGE”请求558,并且证实通过客户端设备520发送的叶子设备530的“CHALLENGE_AUTH”响应560。
在实施例中,云服务器510可以实现USB PD认证协议状态机和用于计算安全信息的库。一旦在云服务器510上运行的应用/守护进程接收到叶子设备530的连接的通知,它就启动状态机。在云服务器510和客户端设备520之间的握手可以基于预定义的格式。以这种方式,云服务器510提取叶子设备530的附加的信息以对其进行证实/认证。尽管在图5中未示出,但是可以理解的是,云服务器510可以发送例如在USB PD认证规范中定义的认证结果。因此,叶子设备530不知道它正在被云服务器510认证。
注意,如果叶子设备530是支持USB PD的产品,则它可以使用USB PD消息来发送认证协议序列。在这种情况下,认证请求消息作为security_request USB PD消息来发送,并且认证响应消息作为security_response USB PD消息来发送。在其他情况下,叶子设备530可以通过USB控制传输消息发送认证消息,以使不支持USB PD的设备使用相同的认证方法。
图5还示出了提供给云服务器510的认证信息的一部分。如图所示,叶子设备530的至少一个证书570被发送给客户端设备520。在实施例中,客户端设备520将此证书附加到其叶子证书575,并且经由云服务器API作为封装的分组580发送此认证信息。可以理解的是,其他示例是可能的,并且在给定的实施例中可以发送另外的认证信息。
关于以上讨论,证书是数字形式的标识,其提供关于实体的信息并且证明特定的公钥的所有权。注意,证书链是两个或更多个证书的序列,其中,每个证书都由链中的前述证书签名。进而,证书链拓扑结构可以包括自签名的并且USB-IF发出的根证书,并且该根证书充当链中的第一证书。进而,中间证书可以是根签名的并且USB-IF发出的。进而,叶子证书可以由产品所有者发出,并且可以包括经允许的扩展。
在实施例中,证书可以使用X509v3 ASN.1结构。证书可以使用针对ASN.1的二进制DER编码。证书可以使用密码方法,并且证书格式假设读取器熟悉X509v3证书术语。在一些情况下,叶子证书的长度不允许超过MaxLeafCertSize。类似地,中间证书的长度可能不被允许超过MaxIntermediateCertSize。
在实施例中,在适用的情况下,为证书提供了各种带有对象标识符(OID)的属性和扩展。证书还可以包含定制证书扩展,即,USB-IF附加的证书数据(ACD)(OID2.23.145.1.2)。USB-IF ACD是与合规产品一起使用的定制证书扩展。注意,叶子证书可以包含此扩展,并且非叶子证书可以使用此扩展。ACD格式化可以包括从二进制对象的第一字节开始的零个或多个类型、长度、值(TLV)字段的序列。以下表1描绘了作为扩展的一部分的叶子证书中可用的各种类型的TLV对象。
表1
表A-2:TLV类型
名称
00h 版本
01h XID
02h POWER_SOURCE_CAPABILITIES
03h POWER_SOURCE_CERTIFICATIONS
04h CABLE_CAPABILITIES
05h SECURITY_DESCRIPTION
06h-FCh 被保存的
FDh PLAYPEN
FEh VENDOR_EXTENSION
FFh 扩展
在图5中的以上布置的情况下,客户端设备520可以因此取回叶子设备530的ACD细节,并且以云服务器API框架的分组格式打包USB-IF ACD对象,并且将对象发送给充当CIO认证发起者的云服务器510。以这种方式,客户端设备520充当受信任的第三方,以提供安全的信任会话并且建立经认证的环境。
尽管图5示出了一种特定实施方式,更一般地,在实施例的情况下,中间设备可以认证叶子设备(认证响应者)作为第一步,并且将与USB-IF ACD对象中的经认证的设备相关的TLV格式的产品细节附加到叶子证书。然后,原始的认证发起者(例如,云服务器)可以从中间设备接收密钥信息作为叶子证书的一部分。认证发起者可以然后使用叶子证书中的附加的信息来认证非对等设备。为了将证书传送给云环境,可以将它们封装在去往由相应的云服务提供商定义的API中的云服务器的相同的X509v3 ASN.1结构中的协议分组中。
在实施例的情况下,用于高计算系统的安全会话发生以认证非对等设备。因此,在实施例的情况下,可以通过使用中间设备作为受信任的第三方来认证非对等设备。
接下来转到图6,描绘了根据实施例的系统的实施例。作为一个示例,系统600是用于执行如本文所描述的USB认证的客户端系统。作为特定的说明性示例,系统600包括SoC605,其可以被配置用于插入任何类型的计算设备(从便携式设备到任何其他客户端系统)中。这里,SoC 705包括2个核心606和607。核心606和607可以符合指令集合架构(例如,基于
Figure BDA0002850867810000121
架构CoreTM的处理器)、高级微型设备、Inc.(AMD)处理器、基于MIPS的处理器、基于ARM的处理器设计、或其客户、以及其被许可方或采用方)。核心606和607被耦合到与总线接口单元609和L2高速缓存610相关联的高速缓存控制器608,以经由互连612与系统600的其他部分进行通信。
互连612提供了到其他组件的通信信道,例如,用于与SIM卡接合的订阅者识别模块(SIM)630、用于保存由核心606和607执行以初始化和启动SoC 605的启动代码的启动ROM635、用于与外部存储器(例如,DRAM 660)接合的SDRAM控制器640、与非易失性存储器(例如,闪存665)接合的闪存控制器645、用于与外围设备接合的外围控制器650(例如,eSPI接口)、用于显示和接收输入(例如,触摸启用的输入)的视频编解码器620和视频接口625、用于执行图形相关的计算的GPU 615等。另外,该系统示出了用于通信的外围设备(例如,蓝牙模块670、3G调制解调器675、GPS 680、以及WiFi 685)。进一步如图6所示,系统600可以另外地包括接口,所述接口包括例如到显示器的MIPI接口692和/或也可以耦合到相同或不同显示器的HDMI接口695。
如图进一步所示,SoC 605可以包括USB接口电路632,其可以被配置为响应于从基于云的服务器接收到的认证请求而对所连接的USB设备(例如,USB设备655)执行USB认证协议,如本文所描述的。为此,USB接口电路632可以包括硬件、软件和/或固件,以执行对等认证过程来从USB设备655获得认证信息,并且将认证信息的至少部分发送给基于云的服务器以实现远程认证。
现在参考图7,示出的是根据本发明的另一实施例的系统的框图。如图7所示,多处理器系统700(其可以是如本文所描述充当认证发起者的云服务器)包括经由点对点互连750耦合的第一处理器770和第二处理器780。如图7所示,处理器770和780中的每一个可以是许多核心处理器,包括代表性的第一和第二处理器核心(即,处理器核心774a和774b以及处理器核心784a和784b)。
仍然参考图7,第一处理器770进一步包括存储器控制器集线器(MCH)772以及点对点(P-P)接口776和778。类似地,第二处理器780包括MCH 782以及P-P接口786和788。如图7所示,MCH 772和782将处理器耦合到相应的存储器(即,存储器732和存储器734),存储器可以是本地附接到相应的处理器的系统存储器(例如,DRAM)的部分。第一处理器770和第二处理器780可以分别经由P-P互连776和786耦合到芯片组790。如图7所示,芯片组790包括P-P接口794和798。
此外,芯片组790包括接口792,以通过P-P互连739来将芯片组790与高性能图形引擎738耦合。如图7所示,各种输入/输出(I/O)设备714可以与将第一总线716耦合到第二总线720的总线桥接器718一起耦合到第一总线716。各种设备可以耦合到第二总线720,包括:例如,键盘/鼠标722、通信设备726和数据存储单元728(例如,磁盘驱动器或其他大容量存储设备,其在一个实施例中可以包括代码730)。在实施例中,这种代码可以包括认证代码,以执行对耦合到远程客户端设备的对等设备的远程认证,如本文所描述的。如图进一步所示,音频I/O 724可以耦合到第二总线720。
以下示例涉及另外的实施例。
在一个示例中,一种方法包括:在客户端系统中,从远程地耦合到客户端系统的云服务器接收认证请求,该认证请求用于对耦合到客户端系统的设备进行认证;响应于该认证请求,经由客户端系统对设备执行认证协议,包括获得设备的设备认证信息;将设备认证信息的至少一部分和客户端系统的认证信息置于协议分组中,并且将协议分组发送给云服务器;以及响应于来自云服务器的挑战请求,将用客户端系统的第一证书和设备的第二证书签名的挑战响应发送给云服务器,以使得云服务器认证设备。
在示例中,该方法进一步包括:响应于由云服务器对设备的认证,在客户端系统与设备之间建立安全会话。
在示例中,该方法进一步包括:根据由云服务器定义的应用编程接口,将设备认证信息的至少一部分和认证信息置于协议分组中。
在示例中,获得设备的设备认证信息包括:获得至少一个摘要和证书链,该证书链包括附加的证书数据。
在示例中,该方法进一步包括:使用通用串行总线功率递送安全消息来从设备获得至少一个摘要和证书链。
在示例中,该方法进一步包括:响应于经由通用串行总线连接器将设备耦合到客户端系统而接收认证请求。
在示例中,该方法进一步包括:响应于来自云服务器的认证请求,根据通用串行总线Type C对等认证协议来执行认证协议。
在示例中,该方法进一步包括:与云服务器通信以将客户端系统注册为受信任的第三方,以使得客户端系统能够对设备执行认证协议。
在示例中,该方法进一步包括:将设备认证信息的至少一部分附加到认证信息,并且将设备认证信息的所附加的部分和认证信息封装在协议分组中。
在另一示例中,一种计算机可读介质包括用于执行上述示例中的任一个的方法的指令。
在另一示例中,一种计算机可读介质包括将由至少一个机器用于制造至少一个集成电路以执行上述示例中的任一个的方法的数据。
在又一示例中,一种装置包括用于执行上述示例中的任一个的方法的单元。
在另一示例中,一种系统包括云服务器。云服务器可以包括:至少一个处理器,其用于执行指令;以及与包括指令的至少一个处理器耦合的非暂时性存储介质,所述指令当被执行时使得至少一个处理器用于:确定设备已经被连接到远程地耦合到云服务器的系统;响应于设备连接的确定,作为认证发起者将认证请求发送给客户端系统,以获得对设备的设备认证;响应于认证请求,经由系统接收包括设备认证信息的一个或多个协议分组;以及使用设备认证信息来远程地认证云服务器中的设备。
在示例中,非暂时性存储介质进一步包括指令,所述指令使得至少一个处理器用于:接收附加到系统的摘要信息的设备的摘要信息;以及此后从系统请求证书信息。
在示例中,非暂时性存储介质进一步包括指令,所述指令使得至少一个处理器用于:响应于针对证书信息的请求,接收包括设备的设备证书信息和系统的系统证书信息的证书信息;以及此后向系统发出挑战请求。
在示例中,非暂时性存储介质进一步包括指令,所述指令使得至少一个处理器用于:响应于挑战请求,从系统接收挑战响应,该挑战响应是使用设备证书信息和系统证书信息进行签名的。
在示例中,非暂时性存储介质进一步包括指令,所述指令使得所述至少一个处理器用于:进一步将应用编程信息发送给系统,以使得系统能够设置包括设备认证信息的一个或多个协议分组的格式。
在示例中,非暂时性存储介质进一步包括指令,所述指令使得至少一个处理器用于:将系统注册为受信任的第三方,以使得系统能够执行通用串行总线认证协议来获得设备的设备认证信息。
在又一示例中,一种装置,包括:至少一个处理器;以及USB接口,其耦合到至少一个处理器,以将该装置连接到一个或多个USB设备。响应于第一USB设备到装置的连接,该装置用于将连接通知云服务器,该云服务器远离该装置,其中,响应于来自云服务器的认证请求,该装置用于经由USB对等认证协议从第一USB设备获得设备认证信息,并且将设备认证信息的至少一部分发送给云服务器,以使得云服务器能够远程地认证第一USB设备。
在示例中,装置用于:生成协议分组,该协议分组包括设备认证信息的至少一部分和装置的认证信息;以及将协议分组发送给云服务器。
在示例中,装置响应于来自云服务器的挑战请求,用于将用装置的第一证书和第一USB设备的第二证书签名的挑战响应发送给云服务器,以使得云服务器能够认证第一USB设备。
在示例中,装置包括电池,其中,响应于对第一USB设备的认证,该装置用于使得第一USB设备能够对电池充电,该第一USB包括USB功率递送设备。
在示例中,装置用于使用USB功率递送安全消息来从第一USB设备获得至少一个摘要和证书链。
可以理解的是,以上示例的各种组合是可能的。
注意,在本文中可互换地使用术语“电路”和“电路系统”。如本文所使用的,这些术语和术语“逻辑”用于单独地或以任何组合指代模拟电路、数字电路、硬接线电路、可编程电路、处理器电路、微控制器电路、硬件逻辑电路、状态机电路和/或任何其他类型的物理硬件组件。实施例可以在许多不同类型的系统中使用。例如,在一个实施例中,可以将通信设备布置为执行本文所描述的各种方法和技术。当然,本发明的范围不限于通信设备,并且替代地其他实施例可以指向用于处理指令的其他类型的装置,或者包括指令的一个或多个机器可读介质,所述指令响应于在计算设备上被执行而使得该设备执行本文所描述的方法和技术中的一种或多种。
实施例可以用代码实现,并且可以被存储在其上存储有指令的非暂时性存储介质上,这些指令可以用于对系统进行编程以执行指令。实施例还可以用数据实现并且可以被存储在非暂时性存储介质上,该非暂时性存储介质如果由至少一台机器使用,则使得至少一台机器制造至少一个集成电路来执行一个或多个操作。还可以在包括信息的计算机可读存储介质中实现另外的实施例,所述计算机可读存储介质当被制造为SoC或其他处理器时,用于配置SoC或其他处理器以执行一个或多个操作。存储介质可以包括但不限于:任何类型的磁盘(包括软盘、光盘);固态驱动器(SSD);光盘只读存储器(CD-ROM);光盘可重写(CD-RW);以及磁光盘;诸如只读存储器(ROM)之类的半导体设备;诸如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)之类的随机存取存储器(RAM);可擦除可编程只读存储器(EPROM);闪速存储器;电可擦除可编程只读存储器(EEPROM);磁卡或光卡;或者适合于存储电子指令的任何其他类型的介质。
尽管已经关于有限数量的实施例描述了本发明,但是本领域技术人员将理解由此做出的许多修改和变型。所附权利要求旨在覆盖落入本发明的真实精神和范围内的所有这样的修改和变型。

Claims (25)

1.一种用于认证设备的方法,包括:
在客户端系统中,从远程地耦合到所述客户端系统的云服务器接收认证请求,所述认证请求用于对耦合到所述客户端系统的设备进行认证;
响应于所述认证请求,经由所述客户端系统对所述设备执行认证协议,包括获得所述设备的设备认证信息;
将所述设备认证信息的至少一部分和所述客户端系统的认证信息置于协议分组中,并且将所述协议分组发送给所述云服务器;以及
响应于来自所述云服务器的挑战请求,将用所述客户端系统的第一证书和所述设备的第二证书签名的挑战响应发送给所述云服务器,以使得所述云服务器认证所述设备。
2.根据权利要求1所述的方法,其中,所述方法进一步包括:响应于由所述云服务器对所述设备的认证,在所述客户端系统与所述设备之间建立安全会话。
3.根据权利要求1所述的方法,其中,所述方法进一步包括:根据由所述云服务器定义的应用编程接口,将所述设备认证信息的所述至少一部分和所述认证信息置于所述协议分组中。
4.根据权利要求1所述的方法,其中,获得所述设备的所述设备认证信息包括:获得至少一个摘要和证书链,所述证书链包括附加的证书数据。
5.根据权利要求4所述的方法,其中,所述方法进一步包括:使用通用串行总线功率递送安全消息来从所述设备获得所述至少一个摘要和所述证书链。
6.根据权利要求1所述的方法,其中,所述方法进一步包括:响应于经由通用串行总线连接器将所述设备耦合到所述客户端系统而接收所述认证请求。
7.根据权利要求6所述的方法,其中,所述方法进一步包括:响应于来自所述云服务器的所述认证请求,根据通用串行总线Type C对等认证协议来执行所述认证协议。
8.根据权利要求1所述的方法,其中,所述方法进一步包括:与所述云服务器通信以将所述客户端系统注册为受信任的第三方,以使得所述客户端系统能够对所述设备执行所述认证协议。
9.根据权利要求1所述的方法,其中,所述方法进一步包括:将所述设备认证信息的所述至少一部分附加到所述认证信息,并且将所述设备认证信息的所附加的部分和所述认证信息封装在所述协议分组中。
10.一种计算机可读存储介质,包括计算机可读指令,所述指令当被执行时,用于实现根据权利要求1至9中的任一项所述的方法。
11.一种用于远程地认证设备的系统,包括:
云服务器,其包括:
至少一个处理器,其用于执行指令,其中,所述至少一个指令用于:
确定设备已经被连接到远程地耦合到所述云服务器的系统;
响应于设备连接的所述确定,作为认证发起者将认证请求发送给所述客户端系统,以获得对所述设备的设备认证;
响应于所述认证请求,经由所述系统接收包括所述设备认证信息的一个或多个协议分组;以及
使用所述设备认证信息来远程地认证所述云服务器中的所述设备。
12.根据权利要求11所述的系统,其中,所述至少一个处理器用于:
接收被附加到所述系统的摘要信息的所述设备的摘要信息;以及
此后从所述系统请求证书信息。
13.根据权利要求11所述的系统,其中,所述至少一个处理器用于:
响应于针对所述证书信息的所述请求,接收包括所述设备的设备证书信息和所述系统的系统证书信息的所述证书信息;以及
此后向所述系统发出挑战请求。
14.根据权利要求11所述的系统,其中,所述至少一个处理器响应于所述挑战请求,用于从所述系统接收挑战响应,所述挑战响应是使用所述设备证书信息和所述系统证书信息进行签名的。
15.根据权利要求11所述的系统,其中,所述至少一个处理器用于:进一步将应用编程信息发送给所述系统,以使得所述系统能够设置包括所述设备认证信息的所述一个或多个协议分组的格式。
16.根据权利要求11所述的系统,其中,所述至少一个处理器用于:将所述系统注册为受信任的第三方,以使得所述系统能够执行通用串行总线认证协议来获得所述设备的所述设备认证信息。
17.一种用于认证通用串行总线设备的装置,包括:
至少一个处理器;以及
通用串行总线(USB)接口,其耦合到所述至少一个处理器,以将所述装置连接到一个或多个USB设备,其中,响应于第一USB设备到所述装置的连接,所述装置用于将所述连接通知云服务器,所述云服务器远离所述装置,其中,响应于来自所述云服务器的认证请求,所述装置用于经由USB对等认证协议从所述第一USB设备获得设备认证信息,并且将所述设备认证信息的至少一部分发送给所述云服务器,以使得所述云服务器能够远程地认证所述第一USB设备。
18.根据权利要求17所述的装置,其中,所述装置用于:生成协议分组,所述协议分组包括所述设备认证信息的至少一部分和所述装置的认证信息;以及将所述协议分组发送给所述云服务器。
19.根据权利要求17所述的装置,其中,所述装置响应于来自所述云服务器的挑战请求,用于将用所述装置的第一证书和所述第一USB设备的第二证书签名的挑战响应发送给所述云服务器,以使得所述云服务器能够认证所述第一USB设备。
20.根据权利要求17所述的装置,其中,所述装置包括电池,其中,响应于对所述第一USB设备的认证,所述装置用于使得所述第一USB设备能够对所述电池充电,所述第一USB包括USB功率递送设备。
21.根据权利要求17所述的装置,其中,所述装置用于使用USB功率递送安全性消息来从所述第一USB设备获得所述至少一个摘要和所述证书链。
22.一种用于认证设备的装置,包括:
用于从远程地耦合到客户端系统的云服务器接收认证请求的单元,所述认证请求用于对耦合到所述客户端系统的设备进行认证;
用于对所述设备执行认证协议的单元,其包括获得所述设备的设备认证信息;
用于将所述设备认证信息的至少一部分和所述客户端系统的认证信息置于协议分组中的单元;
用于向所述云服务器发送所述协议分组的单元;以及
用于向所述云服务器发送用所述客户端的第一证书和所述设备的第二证书签名的挑战响应的单元,以使得所述云服务器认证所述设备。
23.根据权利要求22所述的装置,进一步包括:用于响应于由所述云服务器对所述设备进行认证而在所述客户端系统和所述设备之间建立安全会话的单元。
24.根据权利要求22所述的装置,进一步包括:用于根据由所述云服务器定义的应用编程接口来将所述设备认证信息的所述至少一部分和所述认证信息置于所述协议分组中的单元。
25.根据权利要求22所述的装置,进一步包括:用于获得包括至少一个摘要和证书链的所述设备的所述设备认证信息的单元,所述证书链包括附加的证书数据。
CN202011526172.4A 2020-06-25 2020-12-22 用于远程地认证外围设备的系统、装置和方法 Pending CN113849799A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/911,749 US20200329040A1 (en) 2020-06-25 2020-06-25 System, apparatus and method for remotely authenticating peripheral devices
US16/911,749 2020-06-25

Publications (1)

Publication Number Publication Date
CN113849799A true CN113849799A (zh) 2021-12-28

Family

ID=72748320

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011526172.4A Pending CN113849799A (zh) 2020-06-25 2020-12-22 用于远程地认证外围设备的系统、装置和方法

Country Status (3)

Country Link
US (1) US20200329040A1 (zh)
EP (1) EP3930282B1 (zh)
CN (1) CN113849799A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115037474A (zh) * 2022-04-14 2022-09-09 深圳曼巴微电子有限公司 Usb pd协议芯片以及身份验证方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11451067B2 (en) * 2017-12-19 2022-09-20 Intel Corporation Method, apparatus and system to enhance a device policy manager to manage devices based on battery condition

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201338496A (zh) * 2012-03-12 2013-09-16 Authenex Asia Inc 通用序列匯流排裝置認證方法及其相關通用序列匯流排裝置
US9471811B2 (en) * 2012-08-31 2016-10-18 Ncr Corporation Learning a new peripheral using a security provisioning manifest
US9571164B1 (en) * 2013-06-21 2017-02-14 EMC IP Holding Company LLC Remote authentication using near field communication tag
TW201602940A (zh) * 2014-07-03 2016-01-16 宣揚電腦顧問股份有限公司 銷售點系統及其操作方法
US9189613B1 (en) * 2014-07-11 2015-11-17 Fitweiser, Inc. Systems and methods for authenticating a user with a device
US9641964B2 (en) * 2014-09-03 2017-05-02 CloudLeaf, Inc. Systems, methods and devices for asset status determination
US9621547B2 (en) * 2014-12-22 2017-04-11 Mcafee, Inc. Trust establishment between a trusted execution environment and peripheral devices

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115037474A (zh) * 2022-04-14 2022-09-09 深圳曼巴微电子有限公司 Usb pd协议芯片以及身份验证方法

Also Published As

Publication number Publication date
EP3930282B1 (en) 2023-04-12
US20200329040A1 (en) 2020-10-15
EP3930282A1 (en) 2021-12-29

Similar Documents

Publication Publication Date Title
US9197629B2 (en) Remote direct memory access authentication of a device
CN108880821B (zh) 一种数字证书的认证方法及设备
US8090946B2 (en) Inter-system binding method and application based on hardware security unit
US11665144B2 (en) Session management framework for secure communications between host devices and trusted devices
WO2017143757A1 (zh) 云计算平台的可信度量方法和装置
CN101216915B (zh) 安全移动支付方法
JP6438901B2 (ja) 認証システム、鍵処理連携方法、および、鍵処理連携プログラム
CN110190964B (zh) 身份认证方法及电子设备
WO2020102974A1 (zh) 一种数据访问方法、数据访问装置及移动终端
WO2020057314A1 (zh) 一种在线签发eSIM证书的方法、装置及系统
EP3930282B1 (en) System, apparatus and method for remotely authenticating peripheral devices
US20210241270A1 (en) System and method of blockchain transaction verification
WO2018166163A1 (zh) Pos终端控制方法、pos终端、服务器及存储介质
EP3133791B1 (en) Double authentication system for electronically signed documents
JP6443892B2 (ja) デバイスマッチング方法
US11604880B2 (en) Systems and methods to cryptographically verify information handling system configuration
TWI779711B (zh) 分散式安全通信系統、資訊處置系統及用於提供分散式安全通信之方法
CN117336092A (zh) 一种客户端登录方法、装置、电子设备和存储介质
CN110719174B (zh) 基于Ukey的证书签发方法
WO2022073336A1 (zh) 安全支付方法、装置、电子设备及存储介质
WO2019184206A1 (zh) 身份认证方法及装置
CN117882337A (zh) 数据中心处作为服务的证书撤销
US8438624B2 (en) Systems and methods of modifying system resources
CN115967508A (zh) 数据访问控制方法及装置、设备、存储介质、程序产品
CN115879080A (zh) 证书认证方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination