TW201022985A - Method for securely communicating information about the location of a compromised computing device - Google Patents

Method for securely communicating information about the location of a compromised computing device Download PDF

Info

Publication number
TW201022985A
TW201022985A TW098130806A TW98130806A TW201022985A TW 201022985 A TW201022985 A TW 201022985A TW 098130806 A TW098130806 A TW 098130806A TW 98130806 A TW98130806 A TW 98130806A TW 201022985 A TW201022985 A TW 201022985A
Authority
TW
Taiwan
Prior art keywords
computing device
requesting entity
attack
key
block
Prior art date
Application number
TW098130806A
Other languages
English (en)
Inventor
Martyn Ryan Shirlen
Richard Gerard Hofmann
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of TW201022985A publication Critical patent/TW201022985A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

201022985 六、發明說明: 【發明所屬之技術領域】 本發明大體而言係關於安全性’且具體言之係關於安全 地傳達關於已被破解或已被侵入之計算裝置之位置資訊。 本申請案為2008年3月7曰申請之先前申請案第 12/044,409號的部份接續申請案。 【先前技術】 由於計算裝置已變得愈加複雜,因此其亦變得愈加富含 特徵。諸如蜂巢式電話之裝置現含有複雜處理器,且能夠 執行諸如視訊及音訊播放、電子銀行及安全資訊儲存之任 務。硬體、服務、内容及軟體提供者均已關注於保護其資 產免於未授權之存取或篡改。舉例而言,蜂巢式電話提供 者可能希望將存取限於某些「溢價」電話特徵,諸如視訊 或音訊内容。給定該等公司之大投資及儲存於諸如蜂巢式 電話之裝置中的資訊之數量及類型,重要的係能夠防止對 資料之未授權之複製、散發或存取。 存在許多用以獲得對計算裝置之未授權存取的常用方 法,包括:使用不適當之停用或未停用之測試介面埠,諸 如聯合測試行動組(JTAG)埠;有意在其設計溫度或電壓容 限之外操作計算裝置;更改痕跡或添加組件至計算裝置附 接至之印刷電路板;及各種類型之軟體攻擊。有可能提供 硬體及軟體兩者以债測及減輕此等及其他類型之攻擊的影 響。能肖區分攻擊類型以允許計算裝置與《通信之系統的 不同回應係有利的。能夠提供一裝置已成為攻擊之對象的 143206.doc 201022985 通知而不向攻擊者警告已偵測到該攻擊之事實亦係有利 的。 【發明内容】 應理解’對於熟習此項技術者而言,本文中之教示之其 他實施例將自以下實施方式變得顯而易見,其中該等教示 之各種實施例係藉由說明而展示及描述。如將認識到,在 不脫離該等教示之精神及範疇的情況下,本文中之教示能 夠具有其他且不同之實施例。因此,應將圖式及實施方式 在本質上視為說明性而非限制性的。 【實施方式】 在隨附圖式中作為實例而非限制來說明本發明之教示的 各種態樣。 下文中結合附加圖式所闡述之詳細描述意欲作為對本發 明之教示之各種例示性實施例的描述,而不意欲表示可實 踐該等教示之僅有實施例。該詳細描述包括特定細節以達 成作為說明而非限制來提供對該等教示之詳盡理解的目 的。熟習此項技術者將顯而易見,可以多種方式實踐本發 明之教示。在一些個例中,以高階來描述熟知之結構及組 件以便避免混淆本發明之概念。 在一或多個例示性實施例中,可在硬體、軟體、韌體或 其任何組合中實施所描述之功能及區塊。若在軟體中實 施,則功能可作為一或多個指令或程式碼而儲存於電腦可 讀媒體上或經由電腦可讀媒體來傳輸。電腦可讀媒體包括 電腦儲存媒體及通信媒體兩者,通信媒體包括促進電腦程 143206.doc 201022985 式自一處傳送至另一處之任何媒體。儲存媒體可為可由電 腦存取之任何可用媒體。以實例說明而非限制,該電腦可 讀媒體可包含RAM、ROM、EEPROM、CD-ROM或其他光 碟儲存器、磁碟儲存器或其他磁性健存裝置,或可用以載 運或儲存呈指令或資料結構之形式的所要程式碼且可由電 腦存取的任何其他媒體。又,可將任何連接適當地稱為電 腩可讀媒體。舉例而言,若使用同軸電纜、光纖電境、雙 絞線、數位用戶線(DSL)或諸如紅外線、無線電及微波之 無線技術自網站、伺服器或其他遠端源傳輸軟體,則同軸 電欖光纖電缓、雙絞線、OSL,或諸如紅外線、無線電 及微波之無線技術包括於媒體之定義中。於本文中使用 時,磁碟及光碟包括緊密光碟(CD)、雷射光碟、光碟、數 位多功能光碟(DVD)、軟性磁碟及藍光光碟,其中磁碟通 常以磁性方式再現資料,而光碟使用雷射以光學方式再現 資料。上述各物之組合亦應包括在電腦可讀媒體之範疇 内。 圖1說明併有攻擊偵測區塊134之計算裝置1〇〇的例示性 實施例。 計算裝置100經由反向鏈路126及前向鏈路128而耦接至 請求實體116。反向鏈路126及前向鏈路128可為多種連 接,包括(但不限於)乙太網路、無線乙太網路或諸如 CDMA或GSM之蜂巢式無線網路協定。計算裝置經介 面!40經由前向鏈路128接收來自請求實體ιΐ6之通信内容 (communication) 〇 143206.doc 201022985 請求實體116在請求形成區塊152中 有該請求經指引至之裝W 2 請求含 _經指引至:=::群::顯式識別碼,該 月求t群裝置或所有裝置。另 ,該凊求可設立被請求裝置進行報告之排程或可根據 特2施之需要所指示而實施任何其他報告及排程機制。 凊求形成區塊152可為專用電路、通用處理器、軟體程 =㈣其他適合之處理機制。請求可包括由熵源產生之 =值’該滴源包括(但不限於)查找表或熱雜訊產生 =請求實體116經由前向鍵路128提供請求。視所需安全 :級而定’請求可不受阻礙地發送,或可藉由包雜 不限於)掩蔽或使用加密演算法的方法而加以數學變換。 二:實::中,計算裝置100在介面_^ 接收來自清求實趙116之包括非確定性值之請求。介面 :將該非破定性值提供至加密引擎114。加密引擎η恃 =對=行數學變換’藉此使該資訊對第三方觀察 :不月。由加密引擎114執行之數學變換可為(但不限於)加 雄諸雜湊函數(諸如,MD5、SHA-1或sha_3)或編密演算法 =如,三重则或AES密碼)。加密引擎ιΐ4可實 = :、;夠執行加密計算之通用處理器或含於電腦可 :媒體中之軟體程式。加密引擎114藉由將密輪選擇區塊 〇所提供之回應密矯與非確^性值加以組合且對回應密 餘與非確定性值之組合執行數學變換而產生-經變換密 餘。因為經變換密输係基於非確定性值及回應密鑰,所以 在變換中所使用之回應密鍮的識別碼對可觀察到經變換密 143206.doc 201022985 餘之攻擊者將實際上為不可解密的。自經變換密瑜判定回 應密錄為計算上困難之問題’其使回應密鑰對攻擊者愈加 不可解密。使用一非確定性值作為請求及回應之部分確保 即使在報告相同類型之攻擊時,經變換密矯亦將並非始终
相同。計算裝置接著經由反向鏈路126將經變換密鑰傳輸 至請求實體116。 J ' 請求實體116基於其可能先前已儲存或自計算裝置100接 • 收之每一經程式化硬體密鑰102至計算可能的經變換密 鑰值之清單,且將可能的經變換密鑰值儲存於密鑰表U8 中1求實體U6可在傳輸請求之前、與傳輸請求並行或 在請求實體116已接收到自計算裝置1〇〇返回之經變換密鑰 之後計算可能的經變換密鑰值之清單。請求實體116在比 較區塊150處經由反向鏈路126接收來自計算裝置ι〇〇之經 變換密鑰。比較區塊150可為專用電路、通用處理器或軟 體程式。在比較區塊150中,請求㈣116比較經變換密鑰 肇與儲存於密鑰表118中之可能的經變換密鑰值。請求實體 116由此他夠藉由自計算裝置1〇〇接收之特定經變換密鑰來 判疋什算裝置100是否已受攻擊。請求實體116亦能夠基於 自。十算裝置100接收之特定經變換密鑰而獲得關於攻擊類 型之資訊。 當攻擊者丨3〇對計算裝置1〇〇執行攻擊132時’藉由攻擊 债測區塊〗34偵測攻擊132。攻擊伯測區塊134基於偵測到 之攻擊的類型而設定複數個侵入狀況指示器12〇至124中之 至)一者,且可經調適以選擇「無攻擊」密鑰1〇2作為預 143206.doc 201022985 設密鑰。侵入狀況旗標區塊112回應於侵入狀況指示器i2〇 至124之狀態而控制密鑰選擇區塊11〇之輸出。基於侵入狀 況指示器120至124之狀態,侵入狀況旗標區塊U2產生一 控制信號,該控制信號使密鑰選擇區塊110能夠選擇複數 個經程式化硬體密鑰102至108中之一者作為回應密錄,且 將其提供至加密引擎114。此回應·密鑰體現計算裝置1〇〇之 識別碼、是否已偵測到攻擊,及在偵測到攻擊的情況下所 偵測到的攻擊之類型。 计昇裝置100含有複數個經程式化硬體密餘1〇2至1〇8。 此等密鑰包括一「無攻擊」密鑰1〇2及複數個「攻擊」密 鑰104至108,該等「攻擊」密鑰係用以識別攻擊之類型且 在由請求實體116查問時鑑認計算裝置1〇〇。該「無攻擊」 密鑰102及該複數個「攻擊」密鑰1〇4至1〇8耦接至密鑰選 擇區塊110。侵入狀況旗標電路112耦接至複數個侵入狀況 指示器120至124且具有耦接至多工器11〇之輸出。攻擊偵 測區塊134耦接至該複數個侵入狀況指示器12〇至124。加 密引擎114係回應於密鑰選擇區塊11〇之輸出及介面14〇之 輸出。加密引擎114基於密鑰選擇區塊11〇之輸出而變換請 求實體116所提供之值。該值亦可含有其他資訊(若需要如 此)。接著經由反向鏈路126將經變換密鑰傳輸至請求實體 116。 當攻擊偵測區塊134未偵測到對計算裝置1〇〇之任何攻擊 時,使用「無攻擊」密鑰102〇該複數個「攻擊」密鑰1〇4 至對應於偵測到之攻擊之特定類型。該複數個經程式 143206.doc 201022985 化硬體密鑰102至108中之每一者可識別計算裝置ι〇〇且傳 達計算裝置100之攻擊狀態。可以多種方式程式化該複數 個硬體密鑰102至108,包括(但不限於)在生產時之電子熔 斷、在生產時程式化之非揮發性RAM ’或在計算裝置1〇〇 連接至請求實體116時由請求實體116程式化之非揮發性 RAM。 侵入狀況指示器120至124中之每一者與「攻擊」密鑰 104至108中之一者相關。在一實施例中,侵入狀況指示器 120至124可含有揮發性儲存元件,諸如靜態ram或鎖存 器。在另一實施例中,侵入狀況指示器120至124可含有非 揮發性儲存元件,諸如永久燒斷之硬體熔絲。熟習此項技 術者將認識到,組合揮發性健存元件與非揮發性儲存元件 之實施例係可能的,且亦可使用其他類型之揮發性儲存元 件及非揮發性錯存元件。儘管在此特定實施例中僅說明三 個攻擊密餘及侵入狀況指示器’但熟習此項技術者將認識 可存在任何數目之該等「攻擊」密餘及指示器,且其 可對應於任何類型之可偵測攻擊或未知攻擊。 、 選擇對特定侵人狀況指示器使用揮發性儲存元件還是非 儲存7L件需考慮之—因素為—特定種類之攻擊的感 =重性。經感知為較不嚴重之攻擊的類型可使用揮發性 搜::件來指示’而被視為較嚴重之攻擊的類型可使用非 錯存π件來指示。在一例示性實施例中,目標為裝 =性的攻擊(諸如對實體封裝之攻擊)試圖使用諸如 I面之測試介面,或高於一預定臨限值之鑑認失敗 I43206.doc 201022985 數可靶被視為較嚴重且由燒斷之硬體熔絲指示,而獲得 對諸如視訊或音訊播放之受限特徵之存取的攻擊可能被視 為較不嚴重且藉由設定靜態RAM位元來指示,該等靜態 RAM位元在蜂巢式電話經電力循環時重設。熟習此項技術 者將認識到,對於不同類型之計算裝置,包括(但不限於) 貧料敏感度及來自攻擊之可能金融損失的不同因素可能相 關。 在一例示性實施例中,計算裝置100可併入至一蜂巢式 電話中。請求實體116可為該蜂巢式電話與之通信之蜂巢 式網路。「攻擊」密输可表示對蜂巢式電話裝置之普通攻 擊,包括試圖存取JTAG介面、將裝置帶至其正常溫度或 電壓範圍以外、試圖在蜂巢式電話之處理器上執行不可信 程式碼、試圖獲得對使用者未付費之特徵的存取,或在一 未授權網路上操作電話。網路提供者接著可基於攻擊類型 採取行動,諸如(但不限於)拒絕被破解電話(compromised ph_)對網路之存取、停用使用者未付費之某些軟體或特 徵6己錄被破解電話之位置,或記錄關於被破解電話之類 型的資訊。 在另一例示性實施例中’計算裝置100可與一車輛之引 擎控制電腦柄接。請求實體116可由該車輕之製造商或第 -方維蠖。在此狀況下,「攻擊」密鑰將表示諸如經修改 引擎管理軟體、高於一特定臨限值之速度、車辅是否已報 告失竊或所需維護檢查之間的長哩數間隔的狀況。車輛製 造商可使用該資訊來判定何時已違反保證狀況或向其服務 143206.doc 201022985 人員提供關於車輛使用之較準確資訊。 圖2說明併有攻擊偵測區塊204之計算裝置2〇〇的另一實 施例。6十异裝置200經由反向鍵路212及前向鍵路214麵接 至請求實體202。反向鏈路212及前向鍵路214可為多種連 接’包括(但不限於)乙太網路、無線乙太網路或蜂巢式無 線網路協定。計算裝置200在介面240處經由前向鏈路214 接收來自請求實體202之通信内容。計算裝置2〇〇含有用以 • 在由請求實體2〇2查問時鑑認計算裝置2〇〇的經程式化硬體 密鑰206。攻擊偵測區塊2〇4耦接至複數個侵入狀況指示器 218至222。經程式化硬體密鑰2〇6及侵入狀況指示器218至 222耦接至密鑰產生區塊2〇8。密鑰產生區塊2〇8及介面24〇 耦接至加密引擎210。 當攻擊者230對計算裝置200進行攻擊232時,藉由攻擊 偵測區塊204偵測攻擊232。回應於攻擊232,攻擊偵測區 塊204設定一或多個侵入狀況指示器218至222。攻擊偵測 ❹ 區塊204可經組態以偵測攻擊,諸如(但不限於)JTAG埠攻 擊、電壓或温度攻擊、惡意軟體攻擊、未授權使用、試圖 存取敏感資訊或拒絕服務攻擊。侵入狀況指示器218至222 可為諸如靜態RAM或鎖存器之揮發性儲存元件,或其可為 諸如非揮發性RAM或硬體熔絲之非揮發性儲存元件。熟習 此項技術者將認識到,亦可使用組合揮發性儲存元件與非 揮發性儲存兀件之實施例。儘管在此特定實施例中僅說明 二個侵入狀況指示器,但熟習此項技術者將認識到,可存 在任何數目之該等「攻擊」指示器,且其可對應於任何類 143206.doc 201022985 型之可偵測攻擊或未知攻擊。 密鑰產生區塊208將經程式化硬體密鑰206與侵入狀況指 示器21 8至222組合為一回應密鑰,該回應密餘將計算裝置 200之識別碼及關於對計算裝置2〇〇之任何攻擊的資訊傳達 至請求實體202 ^舉例而言’此可藉由將侵入狀況指示器 218至222附加至經程式化硬體密鑰或藉由基於侵入狀況指 示器21 8至222之狀態產生一編碼且將該編碼與經程式化硬 體密鑰組合而實現。熟習此項技術者將認識到,存在組合 經程式化硬體密鑰206與侵入狀況指示器21 8至222且保留 各自中含有之所有資訊的許多不同方法,且本文中之方法 係作為說明而非限制來呈現。在密錄產生區塊2〇8已組合 經程式化硬體密鑰206與侵入狀況指示器21 8至222以產生 一回應密鑰之後,密鑰產生區塊208將回應密鑰提供至加 密引擎210。 請求實體202在請求形成區塊252中形成請求。請求形成 區塊252可為專用電路 '通用處理器或軟體程式。請求可 包括由摘源產生之非確定性值,該嫡源包括(但不限於)杳 找表或熱雜訊產生器。請求實體202經由前向鏈路214提供 請求。視所需安全性等級而定,請求可不受阻礙地發送, 或可藉由包括(但不限於)掩蔽或使用加密演算法的方法而 加以數學變換。 计算裝置200在介面240處經由前向鏈路214接收來自請 求實體202之包括非確定性值之請求。介面240將該非確定 性值提供至加密引擎210。加密引擎210可為專用硬體區 143206.doc -12· 201022985 塊、能夠執行加密計算之通用處理器或含於電腦可讀媒體 中之軟體程式。加密引擎210接著藉由將回應密鑰與計算 裝置200自請求實體2〇2接收之非確定性值加以組合且對該 組合進行數學變換而產生一經變換密鑰。加密引擎21〇可 使用包括(但不限於)加密雜凑函數或編密演算法的數學變 換计异裝置200經由反向鏈路212將經變換密鑰提供至請 求實體202。
❹ 研求實體202基於經變換密鑰之每一可能值而計算可能 值之清單,且將該等值儲存於密鑰表216中。請求實體2〇2 可在傳輸隨機值之前、與傳輸隨機值並行或在請求實體 202已接收到自計算裝置2〇〇返回之經變換密鑰之後計算可 能值之清單。請求實體2〇2在比較區塊25()處經由反向鍵路 212接收來自計算裝置2〇〇之經變換密鑰。比較區塊25〇可 為專用電路、通用處理器或軟體程式。在比較區塊25〇 中,請求實體202比較經變換密鑰與儲存於密鑰表216中之 值。請求實體202由此能夠根據自計算裝置2〇〇接收之特定 經變換密鑰而判定計算裝置2〇〇是否已受攻擊。請求實體 202亦能夠基於自計算褒置減之特定經變換密輪而獲 得關於攻擊類型之資訊。 圖3為說明計算裝置100可如何回應來自請求實體U6之 查問的例示性流程圖。在區塊3〇2中開始,請求實體116產 生包括-非確定性值之請求。在區塊3Q4中請求實體⑴ 計算計算裝置!〇〇可回應以之加密雜凑函數之所有W 值,且將彼等值储存於密輪表m中。請求實體Μ可在: 143206.doc 201022985 包括非確定性值之請求傳輸至計算裝置ι〇〇之前與將包 括非確定性值之請求傳輸至計算裝置1〇〇並行或在請求實 體116已接收到自計算裝置⑽返回之經變換密鑰之後 此等值。 在區塊320中,請求實體116經由前向鏈路128將包括非 確定性值之請求傳輸至計算裝置1〇〇。在區塊Μ〕中,計算 裝置100在介面14G處接收包括非確定性值之請求。在決策 區鬼324中,计算裝置丨〇〇評估其是否已偵測到對其自身之 任何攻擊。若未發生攻擊,則到達區塊320。在區塊似 =,計算裝置100基於自請求實體116接收之非確定性值及 「無攻擊」密鑰102而計算加密雜湊函數之值。若已發生 欠擊則到達區塊328。在區塊328處,計算裝置1〇〇基於 自請求實體116接收之非媒定性值及複數冑「攻擊」密鑰 104至1〇8中之一者而計算加密雜湊函數之值。接著,在區 塊330中,计算裝置1〇〇經由反向鏈路126將加密雜湊函數 之值傳輸回至請求實體116。在區塊332中,請求實體ιΐ6 接收來自計算裝置100之加密雜湊函數之值。 在區塊306中,請求實體116比較自計算裝置1〇〇接收之 加密雜湊函數之值與在區塊3〇4中由請求實體116計算之加 密雜湊函數的所有可能值。視來自區塊304之值中的哪一 值匹配在區塊332中所接收之值而定,請求實體116可判定 是否發生任何攻擊及發生何種類型之攻擊,且可在必要時 採取行動。若未偵測到攻擊,則到達區塊31〇且查問及回 應結束。若已偵測到某種類型之攻擊,則在區塊3 12中, 143206.doc 201022985 請求實體116可基於攻擊類型而採取行動。對-攻擊之回 應可包括拒絕破解計算裝置對網路之存取、停用某些軟體 或特徵、記錄被破解計算裝置之位置,或記錄關於被破解 计算裝置之類型的資訊。熟習此項技術者將認識到,許多 +同回應係可能的,錢處在例示性實施例之上下文中所 論述之回應係出於說明之目的而非限制。 圖4為說明清求實體116可如何回應不同嚴重性之攻擊的 • 例示性流程圖。在區塊410中’請求實體U6判定計算裝置 100已受攻擊。在區塊412中’請求實體116判定攻擊之嚴 重性。攻擊之嚴重性可係基於包括(但不限於)以下各項之 因被破解計算裝置100之特定特徵、攻擊係基於硬體 冑是軟體’或儲存於裝置上之計算裝置100之使用者的任 何個人資訊是否已被破解。若攻擊經判定為不嚴重的,則 到達區塊414’其中請求實體116可採取行動,包括(但不 限於)記錄該攻擊且繼續正常操作。若攻擊經判定為嚴重 參的,則到達區塊416 ’其中請求實體116將位置請求提供至 計算裝置100。 在區塊418中’計算裝置100接收來自請求實體116之位 置請求。在區塊420中,計算裝置〗00基於其位置及經程式 化硬體密鑰之至少一部分而用公式表示一回應。可藉由包 括(但不限於)對經程式化硬體密鑰之該部分及位置資訊之 至少一部分執行諸如單向雜湊之數學變換的方法來用公式 表示该回應。可(例如)藉由使用經整合至計算裝置100中之 GPS接收器、虛擬GpS或信號三角量測來判定計算裝置】〇〇 143206.doc -15· 201022985 之位置。熟習此項技術者將認識到, 及判定計算裝置100之位置的方法。 發送’或者可對其進行加密 表示該回應’則在區塊422中 回至請求實體116。 可使用其他數學變換 該回應可不受阻礙地 —里計算裝置100已用公式 6十算裝置100將該回應提供 在區塊42钟,請求實體116接收來自計算|置1〇〇之回 應。在區塊426中’請求實體116可處理在回應中接收到之 位置資訊(包括解碼,若必要),且採取進一步行動(若需 要)。該等行動可包括(但不限於)產生記錄、發送警告或遠 程撤銷啟動計算裝置100。 儘1在對/肖費者计算裝置之未授權存取的上下文中揭示 本發明之教示,但將認識到,一般熟習此項技術者可使用 /、本文中之教示及下文之申請專利範圍一致的廣泛多種實 施例。 【圖式簡單說明】 圖1為一實施例之方塊圖; 圖2為另一實施例之方塊圖; 圖3為展示一實施例之系統設計的流程圖;及 圖4為展示偵測攻擊及報告用戶端裝置之位置的流程 圖。 【主要元件符號說明】 100 102 計算裝置 「無攻擊」密鑰 「攻擊j密鑰 143206.doc •16· 104 201022985 106 「攻擊」密鑰 108 「攻擊」密鑰 110 密鑰選擇區塊/多工器 112 侵入狀況旗標區塊 114 加密引擎 116 請求實體 1 118 密鑰表 • 120 侵入狀況指示器 122 侵入狀況指示器 124 侵入狀況指示器 126 反向鏈路 128 前向鍵路 130 攻擊者 132 攻擊 134 攻擊偵測區塊 140 介面 200 計算裝置 202 請求實體 « 204 攻擊偵測區塊 *· 206 經程式化硬體密鑰 208 密鑰產生區塊 210 加密引擎 212 反向鏈路 214 前向鍵路 143206.doc - 17- 201022985 216 密鑰表 218 侵入狀況指示器 220 侵入狀況指示器 222 侵入狀況指示器 230 攻擊者 232 攻擊 240 介面 143206.doc -18

Claims (1)

  1. 201022985 七、申請專利範圍: 1. 一種自一計算裝置安全地傳達位置資訊之方法,其包 含: a. 接收一來自一請求實體之位置請求; b. 在該計算裝置處獲取位置資訊; • c.基於該位置資訊及一硬體密鑰之至少一部分而形 ,成一回應;及 d·將該回應提供至該請求實體。 • 2.如請求項!之方法,其中形成該回應包含對一硬體密鑰 之該部分及該位置資訊之至少一部分進行數學變換。 3·如請求項2之方法,其中該數學變換係一單向雜湊函 數。 4. 一種在—請求實體處安全地接收關於一計算裝置之一位 置之資訊的方法,其包含: a_在該請求實體處形成一位置請求; φ b.將該位置請求提供至該計算裝置; C.基於該計算裝置之該位置及一硬艎密鑰之至少一 .部分而接收—來自該計算裝置之回應;及 d·根據該回應判定該計算裝置之該位置。 5· 如請求 $4之方法,其中僅在該請求實體判定該計算裝 已觉攻擊的情況下形成該請求實體處之該位置請求。 •如吻求項5之方法,其中僅在該請求實體判定對該計算 裝置之— 攻擊具有一嚴重性質的情況下形成該請求實體 處之該位置請求。 143206.doc
TW098130806A 2008-09-11 2009-09-11 Method for securely communicating information about the location of a compromised computing device TW201022985A (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US12/208,626 US8839460B2 (en) 2008-03-07 2008-09-11 Method for securely communicating information about the location of a compromised computing device

Publications (1)

Publication Number Publication Date
TW201022985A true TW201022985A (en) 2010-06-16

Family

ID=41278885

Family Applications (1)

Application Number Title Priority Date Filing Date
TW098130806A TW201022985A (en) 2008-09-11 2009-09-11 Method for securely communicating information about the location of a compromised computing device

Country Status (7)

Country Link
US (1) US8839460B2 (zh)
EP (1) EP2347365B1 (zh)
JP (2) JP5944164B2 (zh)
KR (2) KR101404755B1 (zh)
CN (1) CN102124469B (zh)
TW (1) TW201022985A (zh)
WO (1) WO2010030581A1 (zh)

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8850568B2 (en) * 2008-03-07 2014-09-30 Qualcomm Incorporated Method and apparatus for detecting unauthorized access to a computing device and securely communicating information about such unauthorized access
US8839460B2 (en) 2008-03-07 2014-09-16 Qualcomm Incorporated Method for securely communicating information about the location of a compromised computing device
CA2681994A1 (en) * 2008-10-17 2010-04-17 Absolute Software Corporation Variable duration warranty tracking system and method
US8576785B2 (en) * 2008-12-19 2013-11-05 Robert Bosch Gmbh Method of wireless communication using authentication information
US8989705B1 (en) 2009-06-18 2015-03-24 Sprint Communications Company L.P. Secure placement of centralized media controller application in mobile access terminal
US9391832B1 (en) * 2011-12-05 2016-07-12 Menlo Security, Inc. Secure surrogate cloud browsing
US9027102B2 (en) 2012-05-11 2015-05-05 Sprint Communications Company L.P. Web server bypass of backend process on near field communications and secure element chips
US9282898B2 (en) 2012-06-25 2016-03-15 Sprint Communications Company L.P. End-to-end trusted communications infrastructure
US9066230B1 (en) 2012-06-27 2015-06-23 Sprint Communications Company L.P. Trusted policy and charging enforcement function
US8649770B1 (en) 2012-07-02 2014-02-11 Sprint Communications Company, L.P. Extended trusted security zone radio modem
US8667607B2 (en) 2012-07-24 2014-03-04 Sprint Communications Company L.P. Trusted security zone access to peripheral devices
US9183412B2 (en) 2012-08-10 2015-11-10 Sprint Communications Company L.P. Systems and methods for provisioning and using multiple trusted security zones on an electronic device
US9015068B1 (en) 2012-08-25 2015-04-21 Sprint Communications Company L.P. Framework for real-time brokering of digital content delivery
US8954588B1 (en) 2012-08-25 2015-02-10 Sprint Communications Company L.P. Reservations in real-time brokering of digital content delivery
US9215180B1 (en) 2012-08-25 2015-12-15 Sprint Communications Company L.P. File retrieval in real-time brokering of digital content
CN102930230B (zh) * 2012-10-18 2015-09-30 北京奇虎科技有限公司 计算设备标识方法与装置
CN102932336B (zh) * 2012-10-18 2015-11-25 北京奇虎科技有限公司 终端标识方法与装置
US9161227B1 (en) 2013-02-07 2015-10-13 Sprint Communications Company L.P. Trusted signaling in long term evolution (LTE) 4G wireless communication
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9104840B1 (en) 2013-03-05 2015-08-11 Sprint Communications Company L.P. Trusted security zone watermark
US9613208B1 (en) 2013-03-13 2017-04-04 Sprint Communications Company L.P. Trusted security zone enhanced with trusted hardware drivers
US9049186B1 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone re-provisioning and re-use capability for refurbished mobile devices
US9049013B2 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone containers for the protection and confidentiality of trusted service manager data
US9021585B1 (en) * 2013-03-15 2015-04-28 Sprint Communications Company L.P. JTAG fuse vulnerability determination and protection using a trusted execution environment
US9191388B1 (en) 2013-03-15 2015-11-17 Sprint Communications Company L.P. Trusted security zone communication addressing on an electronic device
US8984592B1 (en) 2013-03-15 2015-03-17 Sprint Communications Company L.P. Enablement of a trusted security zone authentication for remote mobile device management systems and methods
US9374363B1 (en) 2013-03-15 2016-06-21 Sprint Communications Company L.P. Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device
US9171243B1 (en) 2013-04-04 2015-10-27 Sprint Communications Company L.P. System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device
US9324016B1 (en) 2013-04-04 2016-04-26 Sprint Communications Company L.P. Digest of biographical information for an electronic device with static and dynamic portions
US9454723B1 (en) 2013-04-04 2016-09-27 Sprint Communications Company L.P. Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device
US9838869B1 (en) 2013-04-10 2017-12-05 Sprint Communications Company L.P. Delivering digital content to a mobile device via a digital rights clearing house
US9443088B1 (en) 2013-04-15 2016-09-13 Sprint Communications Company L.P. Protection for multimedia files pre-downloaded to a mobile device
US9069952B1 (en) 2013-05-20 2015-06-30 Sprint Communications Company L.P. Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory
US9560519B1 (en) 2013-06-06 2017-01-31 Sprint Communications Company L.P. Mobile communication device profound identity brokering framework
US9183606B1 (en) 2013-07-10 2015-11-10 Sprint Communications Company L.P. Trusted processing location within a graphics processing unit
US9208339B1 (en) 2013-08-12 2015-12-08 Sprint Communications Company L.P. Verifying Applications in Virtual Environments Using a Trusted Security Zone
US9185626B1 (en) 2013-10-29 2015-11-10 Sprint Communications Company L.P. Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning
US9191522B1 (en) 2013-11-08 2015-11-17 Sprint Communications Company L.P. Billing varied service based on tier
US9161325B1 (en) 2013-11-20 2015-10-13 Sprint Communications Company L.P. Subscriber identity module virtualization
US9118655B1 (en) 2014-01-24 2015-08-25 Sprint Communications Company L.P. Trusted display and transmission of digital ticket documentation
KR102228454B1 (ko) 2014-02-24 2021-03-16 삼성전자주식회사 보안 디버깅 회로를 갖는 디바이스 및 그것에 대한 디버깅 방법
US9226145B1 (en) 2014-03-28 2015-12-29 Sprint Communications Company L.P. Verification of mobile device integrity during activation
US9230085B1 (en) 2014-07-29 2016-01-05 Sprint Communications Company L.P. Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services
CN104506512B (zh) * 2014-12-15 2017-12-19 北京国双科技有限公司 用户标识的恢复方法和装置
US9779232B1 (en) 2015-01-14 2017-10-03 Sprint Communications Company L.P. Trusted code generation and verification to prevent fraud from maleficent external devices that capture data
US9838868B1 (en) 2015-01-26 2017-12-05 Sprint Communications Company L.P. Mated universal serial bus (USB) wireless dongles configured with destination addresses
US9473945B1 (en) 2015-04-07 2016-10-18 Sprint Communications Company L.P. Infrastructure for secure short message transmission
US9721093B2 (en) * 2015-06-16 2017-08-01 Intel Corporation Enhanced security of power management communications and protection from side channel attacks
US11876889B2 (en) * 2015-09-03 2024-01-16 Fiske Software, Llc NADO cryptography with key generators
US9819679B1 (en) 2015-09-14 2017-11-14 Sprint Communications Company L.P. Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers
US10282719B1 (en) 2015-11-12 2019-05-07 Sprint Communications Company L.P. Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit
US9817992B1 (en) 2015-11-20 2017-11-14 Sprint Communications Company Lp. System and method for secure USIM wireless network access
CN105979021B (zh) * 2016-04-26 2019-08-23 珠海豹趣科技有限公司 一种信息处理方法及用户终端
US10499249B1 (en) 2017-07-11 2019-12-03 Sprint Communications Company L.P. Data link layer trust signaling in communication network
US11611482B1 (en) 2020-06-12 2023-03-21 Menlo Security, Inc. Bandwidth throttling

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7761910B2 (en) * 1994-12-30 2010-07-20 Power Measurement Ltd. System and method for assigning an identity to an intelligent electronic device
JP3165366B2 (ja) * 1996-02-08 2001-05-14 株式会社日立製作所 ネットワークセキュリティシステム
US5748084A (en) * 1996-11-18 1998-05-05 Isikoff; Jeremy M. Device security system
US6021493A (en) * 1997-11-06 2000-02-01 International Business Machines Corporation System and method for detecting when a computer system is removed from a network
US6338140B1 (en) * 1998-07-27 2002-01-08 Iridium Llc Method and system for validating subscriber identities in a communications network
CA2299824C (en) * 2000-03-01 2012-02-21 Spicer Corporation Network resource control system
WO2001093531A2 (en) 2000-05-31 2001-12-06 Invicta Networks, Inc. Systems and methods for distributed network protection
US20020108058A1 (en) * 2001-02-08 2002-08-08 Sony Corporation And Sony Electronics Inc. Anti-theft system for computers and other electronic devices
US20020154777A1 (en) * 2001-04-23 2002-10-24 Candelore Brant Lindsey System and method for authenticating the location of content players
US7308715B2 (en) * 2001-06-13 2007-12-11 Mcafee, Inc. Protocol-parsing state machine and method of using same
EP1410667A1 (en) * 2001-07-18 2004-04-21 Wizard Mobile Solutions Limited Data security device
GB2377776A (en) 2001-07-18 2003-01-22 Wizard Mobile Solutions Ltd A combination of a portable data storage device and a wireless backup device having an out of range alert
US7853803B2 (en) * 2001-09-28 2010-12-14 Verizon Corporate Services Group Inc. System and method for thwarting buffer overflow attacks using encrypted process pointers
US20030084349A1 (en) * 2001-10-12 2003-05-01 Oliver Friedrichs Early warning system for network attacks
US20030084321A1 (en) * 2001-10-31 2003-05-01 Tarquini Richard Paul Node and mobile device for a mobile telecommunications network providing intrusion detection
WO2003058457A1 (en) * 2001-12-31 2003-07-17 Citadel Security Software Inc. Automated computer vulnerability resolution system
FR2836312B1 (fr) 2002-02-15 2004-11-19 Gemplus Card Int Procede de generation de cles securisees pour un algorithme cryptographique
GB2386802A (en) * 2002-03-18 2003-09-24 Hewlett Packard Co Auditing of secure communication sessions over a communication network
CA2479504C (en) * 2002-03-29 2010-07-13 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems
US6996251B2 (en) * 2002-09-30 2006-02-07 Myport Technologies, Inc. Forensic communication apparatus and method
US7088237B2 (en) * 2003-02-14 2006-08-08 Qualcomm Incorporated Enhanced user privacy for mobile station location services
JP2004334330A (ja) 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
US7246156B2 (en) * 2003-06-09 2007-07-17 Industrial Defender, Inc. Method and computer program product for monitoring an industrial network
CN1820262A (zh) 2003-06-09 2006-08-16 范拉诺公司 事件监控及管理
US7346922B2 (en) * 2003-07-25 2008-03-18 Netclarity, Inc. Proactive network security system to protect against hackers
WO2005029261A2 (en) * 2003-09-17 2005-03-31 Siemens Medical Solutions Health Services Corporation A processing device security management and configuration system and user interface
US7651530B2 (en) * 2004-03-22 2010-01-26 Honeywell International Inc. Supervision of high value assets
JP2006048134A (ja) 2004-07-30 2006-02-16 Lac Co Ltd ネットワークセキュリティ監視システム、ネットワークセキュリティ監視方法、及びプログラム
JP4643204B2 (ja) 2004-08-25 2011-03-02 株式会社エヌ・ティ・ティ・ドコモ サーバ装置
GB0503927D0 (en) * 2005-02-25 2005-04-06 Nokia Corp Location services in a communication system
JP4739962B2 (ja) 2006-01-16 2011-08-03 日本電信電話株式会社 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
JP2007219685A (ja) 2006-02-15 2007-08-30 Nagoya Institute Of Technology コンテンツ配信装置、コンテンツ配信システム、コンテンツ配信方法およびコンテンツ配信プログラム
US20070223432A1 (en) * 2006-03-21 2007-09-27 Badarinath Sharma K Wi-Fi network connection management using location specific information
US8646071B2 (en) * 2006-08-07 2014-02-04 Symantec Corporation Method and system for validating site data
US8818344B2 (en) * 2006-11-14 2014-08-26 Microsoft Corporation Secured communication via location awareness
JP4224724B2 (ja) * 2007-02-02 2009-02-18 クオリティ株式会社 携帯情報端末装置管理システムおよび管理サーバならびに携帯情報端末装置管理プログラム
US20080318548A1 (en) * 2007-06-19 2008-12-25 Jose Bravo Method of and system for strong authentication and defense against man-in-the-middle attacks
US8850057B2 (en) * 2007-09-20 2014-09-30 Intel Corporation Healthcare semantic interoperability platform
US8850568B2 (en) * 2008-03-07 2014-09-30 Qualcomm Incorporated Method and apparatus for detecting unauthorized access to a computing device and securely communicating information about such unauthorized access
US8839460B2 (en) 2008-03-07 2014-09-16 Qualcomm Incorporated Method for securely communicating information about the location of a compromised computing device

Also Published As

Publication number Publication date
JP2012502392A (ja) 2012-01-26
WO2010030581A1 (en) 2010-03-18
EP2347365A1 (en) 2011-07-27
CN102124469B (zh) 2016-10-12
US8839460B2 (en) 2014-09-16
JP5666735B2 (ja) 2015-02-12
KR101365114B1 (ko) 2014-02-19
KR20110067124A (ko) 2011-06-21
EP2347365B1 (en) 2018-06-06
CN102124469A (zh) 2011-07-13
JP5944164B2 (ja) 2016-07-05
KR20130086387A (ko) 2013-08-01
KR101404755B1 (ko) 2014-06-13
US20090228981A1 (en) 2009-09-10
JP2014222890A (ja) 2014-11-27

Similar Documents

Publication Publication Date Title
TW201022985A (en) Method for securely communicating information about the location of a compromised computing device
KR101252707B1 (ko) 통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치
KR101769282B1 (ko) 데이터 보안 서비스
US9607131B2 (en) Secure and efficient content screening in a networked environment
CA2505477C (en) A system and method to proactively detect software tampering
CN101682612B (zh) 受控的功能激活
US8769675B2 (en) Clock roll forward detection
US11924332B2 (en) Cryptographic systems and methods using distributed ledgers
US8774407B2 (en) System and method for executing encrypted binaries in a cryptographic processor
Qingchen et al. Verifiable RFID Location Privacy Scheme Based on NIZK
Mauth et al. Data Privacy Issues in Distributed Security Monitoring Systems