TW201332331A - 用於在網路上使用硬體保全引擎之安全通訊的方法及裝置 - Google Patents
用於在網路上使用硬體保全引擎之安全通訊的方法及裝置 Download PDFInfo
- Publication number
- TW201332331A TW201332331A TW101147511A TW101147511A TW201332331A TW 201332331 A TW201332331 A TW 201332331A TW 101147511 A TW101147511 A TW 101147511A TW 101147511 A TW101147511 A TW 101147511A TW 201332331 A TW201332331 A TW 201332331A
- Authority
- TW
- Taiwan
- Prior art keywords
- server
- key
- security engine
- single chip
- hellman
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
一種用於建立與伺服器之安全通訊對話的方法、裝置及系統包含發起安全通訊對話請求,該等安全通訊對話諸如使用在客戶端裝置的一系統單晶片(SOC)的保全引擎中產生之臨時數值與伺服器進行之安全插座層(SLL)通訊對話。此外,密碼金鑰交換係於客戶端與伺服器之間執行來產生對稱對話金鑰,該對稱對話金鑰儲存於保全引擎之安全儲存體中。密碼金鑰交換可為,例如,Rivest-Shamir-Adleman(RSA)金鑰交換或Diffie-Hellman金鑰交換。密碼金鑰交換期間產生之私有金鑰及其他資料可產生及/或儲存於保全引擎中。
Description
本發明係有關於用於在網路上使用硬體保全引擎之安全通訊的方法及裝置。
密碼通訊協定係用於在非受信網路或通訊連結上在計算裝置之間建立安全通訊對話。一個常用的密碼通訊協定為安全插座層(SSL)協定。SSL協定及有關傳輸層保全(TLS)協定係用於許多不同類型之安全通訊對話,包括例如安全網路瀏覽、電子商務、安全更新及在非受信網路,諸如網際網路上的兩個計算裝置之間的其他安全通訊對話。其他通訊協定可使用SSL/TLS協定來提供下層保全。例如,安全超本文傳輸協定(HTTPS)使用SSL/TLS來加密裝置之間的訊息。通常,由SSL/TLS協定提供之密碼保全係帶內完成及在軟體應用程式級執行。
一些計算及電子裝置由於系統單晶片(SOC)的相對小的覆蓋區而使用系統單晶片(SOC)設計。SOC裝置係積體電路,其在單一晶粒上併入除處理核心之外的電子系統
之各種組件。例如,SOC可在單一晶片上包含處理器核心、記憶體控制器、視訊組件、音訊組件及/或通訊組件。
依據本發明之一實施例,係特地提出一種系統單晶片設備,其包括:一系統單晶片,該系統單晶片包括一保全引擎,該保全引擎具有僅可由該保全引擎存取的一安全記憶體,該保全引擎用來:產生一隨機臨時數,該隨機臨時數用於發起在網路上使用該臨時數與一伺服器的一安全通訊對話的一請求;執行與該伺服器的一密碼金鑰交換,以在該安全通訊對話期間產生一對稱對話金鑰以加密發送至該伺服器之訊息及解密自該伺服器接收之訊息;將該對話金鑰儲存於該安全記憶體中,該系統單晶片使用該對話金鑰在該網路上建立與該伺服器之該安全通訊對話。
100‧‧‧系統
102‧‧‧客戶端裝置
104‧‧‧伺服器
106‧‧‧網路
110‧‧‧保全引擎
112‧‧‧SOC
114‧‧‧安全記憶體
116‧‧‧記憶體控制器
118‧‧‧處理器核心
120‧‧‧連結
130‧‧‧硬體周邊
132‧‧‧解多工器
134‧‧‧視訊處理組件
136‧‧‧音訊處理組件
150‧‧‧保全金鑰
160‧‧‧系統記憶體
162‧‧‧資料儲存體
164‧‧‧通訊輸出
166‧‧‧I/O裝置
180‧‧‧處理器
182‧‧‧記憶體
184‧‧‧通訊電路
200‧‧‧說明性保全方案
300‧‧‧通訊序列
302‧‧‧保全引擎驅動程式
304‧‧‧客戶端安全通訊應用程式
306‧‧‧伺服器安全通訊應用程式
310~352、402~428‧‧‧方塊
400‧‧‧方法
本文描述之發明在附圖中藉由實例方式而非限制方式加以例示。為說明之簡單性及明確性,圖式中所示之元件不必須按比例繪製。例如,為明確起見,一些元件之尺寸可能相對於其他元件被誇示。此外,在考慮為適合之處,參考標記已在各圖中重複使用以指示對應或相似元件。
圖1係一種系統之至少一個實施例的簡化方塊圖,該系統用於在網路上在具有一種系統單晶片(SOC)之客戶端裝置與伺服器之間建立安全通訊對話;圖2係圖1之系統之保全方案的至少一個實施例的方塊
圖;圖3係圖1之客戶端裝置與伺服器建立安全通訊對話之通訊序列的至少一個實施例的簡化序列圖;以及圖4係一種方法之至少一個實施例的簡化流程圖,該方法用於建立由圖1之客戶端裝置執行的安全通訊對話。
雖然本揭示內容之概念容許各種修改及替代形式,但本揭示內容之特定示範性實施例已在圖式中展示為實例且將在文中詳細描述。然而,應瞭解,不意欲將本揭示內容之概念限制至所揭示之特定形式,相反,意欲涵蓋與本揭示內容及附加申請專利範圍一致的所有修改、等效物及替代物。
在以下描述內容中,示出眾多特定細節,諸如邏輯實行方案、操作碼、指定運算元之手段、資源分隔/共享/複製實行方案、系統組件之類型及相互關係及邏輯劃分/整合選擇來提供對本揭示內容之徹底的瞭解。然而,應瞭解,熟習此項技術者可在無此等特定細節的狀況下實踐本揭示內容之實施例。在其他例子中,控制結構,閘級電路及所有軟體指令序列未詳細展示以免模糊本發明。在具有包含的描述的狀況下,一般技藝人士將能在無過度實驗的狀況下實行適合的函式。
說明書中對「一個實施例」、「實施例」、「示範性實施例」等的引用指示描述之實施例可包含特定特徵、結
構或特性,但每一實施例可不必須包含特定特徵、結構或特性。此外,此等片語不必須指相同實施例。此外,當描述與實施例聯繫之特定特徵、結構或特性時,提出,無論是否明確描述與其他實施例聯繫的此特徵、結構或特性,實現與其他實施例聯繫的此特徵、結構或特性係在熟習此項技術者之知識內。
本發明之實施例可於軟體,硬體或韌體或前述任何組合中實行。在電腦系統中實行的本發明之實施例可包含組件之間的一或多個基於匯流排互連及/或組件之間的一或多個點對點互連。本發明之實施例亦可實行為由機器可讀媒體載運或儲存於機器可讀媒體上的指令,該等指令可由一或多個處理器讀取及執行。機器可讀媒體可實施為用於儲存或傳送呈機器(如,計算裝置)可讀形式之資訊的任何裝置、機制或物理結構。例如,機器可讀媒體可實施為唯讀記憶體(ROM);隨機存取記憶體(RAM);磁碟片儲存媒體;光儲存媒體;快閃記憶體裝置;迷你或微型SD卡、記憶棒、電信號及其他。
圖式中,示意性要素,諸如表示裝置、模組、指令塊及資料要素之要素的特定佈置或排序可展示以便於描述。然而,熟習此項技術者應瞭解,圖式中示意性要素之特定排序或佈置不意欲暗示處理的特定順序或序列或製程之分離係必須的。此外,圖式中示意性要素之包括不意欲暗示此要素在所有實施例中係必須的,或者由此要素表示之特徵不可包含或與一些實施例中的其他要素結合。
一般而言,用於表示指令塊的示意性要素可使用任何適合形式之機器可讀指令來實行,該等機器可讀指令諸如軟體或韌體應用程式、程式、函式、模組、常式、過程、程序、外掛程式、小型應用程式、界面工具集(widget)、代碼片段及/或其他,且每一此指令可使用任何適合的程式規劃語言、庫、應用程式規劃介面(API)及/或其他軟體開發工具來實行。例如,一些實施例可使用Java、C++及/或其他規劃語言來實行。相似地,用於表示資料或資訊之示意性要素可使用任何適合的電子佈置或結構來實行,該等電子佈置或結構諸如暫存器、資料儲存、表、記錄、陣列、索引、雜湊、對映、樹、清單、圖形、檔案(任何檔案類型)、檔案夾、目錄、資料庫及/或其他。
此外,在圖式中,連接要素,諸如實線或虛線或箭頭用於示出在兩個或兩個以上其他示意性要素之間的連接、關係或關聯性,缺少任何此等連接要素不意欲暗示不可存在連接、關係或關聯性。換言之,要素之間的一些連接、關係或關聯性在圖式中可不展示以免模糊揭示內容。此外,為便於說明,可使用單一連接要素表示要素之間的多個連接、關係或關聯性。例如,熟習此項技術者應瞭解,在連接要素表示信號、資料或指令的通訊之處,當需要時此要素可表示一或多個信號通路(如,匯流排)來實現通訊。
現參考圖1,一種用於建立安全通訊對話的系統100包含客戶端裝置102、伺服器104及網路106。在操作中,客戶端裝置102發起在網路106上與伺服器104安全通訊對
話之請求。為建立安全通訊對話,客戶端裝置102及伺服器104執行密碼金鑰交換,諸如Diffie-Hellman或Rivest-Shamir-Adleman(RSA)金鑰交換,來產生秘密對稱對話金鑰。秘密對稱對話金鑰接著可用於加密及解密客戶端裝置102與伺服器104之間的訊息。為確保安全通訊對話,由客戶端裝置102產生之各種金鑰及其他密碼函式係在客戶端裝置102的一種系統單晶片(SOC)112之保全引擎110內完成。客戶端裝置102將金鑰秘密地保持在保全引擎110之安全記憶體114內。例如,如以下所論述,保全引擎110可包含用於簽名及/或加密其他金鑰及訊息的保全金鑰150。以此方式,客戶端裝置102及伺服器104可使用客戶端裝置102之帶外(即,非應用程式階層)硬體保全特徵來跨越網路106建立安全通訊對話。在本文描述之說明性實施例中,安全通訊對話係安全插座層(SSL)通訊對話,但本文描述之系統100及特徵可用於建立其他實施例中的其他類型之安全通訊對話。
客戶端裝置102可實施為在網路106上能與伺服器104通訊之任何類型的計算裝置。例如,客戶端裝置102可實施為機上盒、數位電視、智慧型電話、平板電腦、膝上型電腦、行動網際網路裝置(MID)、桌上型電腦或能與伺服器104通訊的其他裝置。
如以上所論述,客戶端裝置102包含SOC 112,該SOC可實施為具有各種組件及結構的任何類型之系統單晶片裝置。在圖1之說明性實施例中,SOC 112包含保全引
擎110、記憶體控制器116、處理器核心118及多個硬體周邊130,彼等經由連結120彼此通訊耦接。連結120可實施為任何類型之互連,諸如匯流排、點對點或能促進SOC 112之各種組件之間的通訊之其他互連。取決於SOC 112之期望函式,硬體周邊130可包含任何類型之硬體周邊組件。例如,在說明性實施例中,硬體周邊130包含:解多工器132,其分離音訊與視訊內容串流;視訊處理組件134,其處理視訊內容:及音訊處理組件136,其處理音訊內容。當然,應瞭解,SOC 112之硬體周邊130在圖1之說明性實施例中已簡化,且SOC 112可包含額外的、不同的及/或更詳細的硬體周邊130,為揭示內容之明確起見,彼等未在圖1中示出。
保全引擎110可實施為獨立於處理器核心118的保全協處理器或處理電路。保全引擎110包含僅可由保全引擎110存取的保全金鑰150及安全記憶體114。保全引擎110將以下所論述的保全金鑰150及其他密碼金鑰儲存於安全記憶體114中。在說明性實施例中,保全金鑰150係於SOC 112之製造期間提供,但在其他實施例中可由SOC 112在操作期間產生。例如,在一些實施例中,保全金鑰150係基於保全引擎110本身內的熔斷熔絲。額外或或者,保全引擎110可包含金鑰-產生模組,諸如受信賴平台模組(TPM),來產生保全金鑰150。在使用期間,保全引擎110可使用任何數量的保全金鑰150,該等保全金鑰可彼此相同或不同。
在一些實施例中,取決於客戶端裝置102之類型及期望用途,客戶端裝置102可包含除SOC 112之外的額外
組件及結構。例如,在圖1之說明性實施例中,客戶端裝置102包含一種系統記憶體160、資料儲存體162、通訊輸出164及一或多個輸入/輸出裝置166。系統記憶體160可實施為任何類型之主記憶體或資料儲存位置包括,例如,動態隨機存取記憶體裝置(DRAM)、同步動態隨機存取記憶體裝置(SDRAM)、雙倍資料率同步動態隨機存取記憶體裝置(DDR SDRAM)、帶屏蔽唯讀記憶體(ROM)裝置、可抹除可規劃ROM(EPROM)、電可抹除可規劃ROM(EEPROM)裝置、快閃記憶體裝置及/或其他依電性及/或非依電性記憶體裝置。
資料儲存體162可實施為組配用於短期或長期資料儲存的任何類型之裝置,諸如,記憶裝置及電路、記憶卡、硬碟片驅動器、固態驅動器或其他資料儲存裝置。通訊輸出164可實施為簡化輸出或實施為各種電路及/或裝置以促進,例如,與伺服器104之通訊。例如,通訊輸出164(及/或SOC 112內的通訊電路)可使用任何適合的通訊協定,諸如Ethernet(即,IEEE 802.3標準)或Wi-Fi®(即,IEEE 802.11標準)及/或其他通訊協定或標準。此外,輸入/輸出裝置166可實施為用於與客戶端裝置102互動的任何類型之I/O裝置。例如,I/O裝置166可包含輸出裝置,諸如用於將資料顯示於客戶端裝置102上的顯示器、用於產生音訊之揚聲器及/或輸入裝置,諸如遙控接收器、鍵盤、滑鼠等。
伺服器104可實施為能建立與客戶端裝置102之安全通訊對話的任何類型之資料伺服器。因此,伺服器104可包含各種硬體和軟體組件,該等組件通常在用於在網路
上通訊、保持及轉移資料之伺服器上發現。例如,說明性伺服器104包含處理器180、記憶體182及通訊電路184,彼等可相似於在其他資料伺服器中發現之此等組件。例如,處理器180可實施為能執行軟體/韌體的任何類型之處理器,諸如微處理器、數位信號處理器、微控制器或相似物及可包含一或多個處理核心。系統記憶體182可實施為任何記憶體型式記憶體或資料儲存位置包括,例如,動態隨機存取記憶體裝置(DRAM)、同步動態隨機存取記憶體裝置(SDRAM)、雙倍資料率同步動態隨機存取記憶體裝置(DDR SDRAM)、帶屏蔽唯讀記憶體(ROM)裝置、可抹除可規劃ROM(EPROM)、電可抹除可規劃ROM(EEPROM)裝置、快閃記憶體裝置及/或其他依電性及/或非依電性記憶體裝置。通訊電路184可實施任何類型之電路及/或裝置以促進,例如,與客戶端裝置102之通訊。例如,通訊電路184可支援通訊協定,諸如Ethernet(即,IEEE 802.3標準)及/或Wi-Fi®(即,IEEE 802.11標準)及/或其他通訊協定或標準。
網路106可實施為任何數量的各種有線及/或無線網路。例如,網路106可實施為或可包含區域網路(LAN)、廣域網路(WAN)及/或公開可存取的全球網路,諸如網際網路。此外,網路106可包含任何數量的額外裝置以促進客戶端裝置102與伺服器104之間的通訊。如以上所論述,在說明性實施例中,客戶端裝置102與伺服器104在網路106上建立SSL通訊對話。然而,在其他實施例中可建立其他類型之安全通訊對話。
現參考圖2,如以下更詳細論述,使用客戶端裝置102之保全引擎110來執行密碼函式及儲存與安全通訊對話之建立關聯的密碼資料允許系統100提供若干不同級別之保全。系統100中使用之特定級別之保全可取決於各種準則,諸如網路106之性質、在客戶端裝置102與伺服器104之間轉移之資料的重要性等。例如,一個說明性保全方案200包含如圖2所示的三個不同級別之保全。在0級保全,客戶端裝置102經組配來保護客戶端私有設備金鑰(即,保全金鑰150),該金鑰用於以下更詳細論述之加密、簽名及驗證函式。
在1級保全、客戶端裝置102經組配來保護對話金鑰及用於資料加密之有關金鑰。例如,若執行RSA金鑰交換,則前主金鑰及主金鑰(即,對話金鑰)可儲存於SOC 112之保全引擎110之安全記憶體114中。此外,在以下論述的一些實施例中,主金鑰可以加密或包裝形式(如,使用保全金鑰150加密)儲存。在使用Diffie-Hellman金鑰交換之實施例中,私有Diffie-Hellman客戶端金鑰及/或共享秘密金鑰(即,對話金鑰)可儲存於SOC 112之保全引擎110之安全記憶體114中。同樣,在一些實施例中,私有Diffie-Hellman客戶端金鑰及/或對話金鑰可以加密或包裝形式(如,使用保全金鑰150加密)儲存。
此外,在2級保全,客戶端裝置102可經組配來保護主機應用程式之資料。例如,若主機應用程式係用於執行電子商務交易,則此交易中使用之銀行帳戶資訊可使用
保全金鑰150加密及儲存於安全記憶體114中。以此方式,銀行帳戶資訊不為主機應用程式所利用。當然,應瞭解,在其他實施例中,可使用具有更多或更少安全水平之保全方案。
現參考圖3,在操作中,客戶端裝置102及伺服器104使用客戶端裝置102之保全引擎110建立安全通訊對話來執行各種密碼函式及將密碼資料儲存於其中。為這樣做,客戶端裝置102與伺服器104可執行如圖3之通訊序列300中展示之握手對話。為建立安全通訊對話,保全引擎110之保全引擎驅動程式302與保全引擎110之韌體及於客戶端裝置102上執行的客戶端安全通訊應用程式304通訊。客戶端安全通訊應用程式304亦與在伺服器104上執行的對應伺服器安全通訊應用程式306通訊。
通訊序列300以方塊310開始,其中客戶端安全通訊應用程式304向伺服器安全通訊應用程式306發送客戶端您好(ClientHello)訊息以請求發起安全通訊對話。如以上所論述,安全通訊對話在說明性實施例中係SSL對話。為促進,在方塊312,保全引擎驅動程式302與SOC 112之保全引擎110通訊來請求來自保全引擎110之隨機臨時數。在方塊312,保全引擎110可使用任何適合的隨機數產生演算法來產生隨機臨時數。臨時數實施為隨機或偽隨機數,該臨時數意欲在密碼函式中僅使用一次以挫敗,例如,重放攻擊。在說明性實施例中,隨機臨時數包含32位元時間戳及28位元組隨機數。當然,在其他實施例中,對於隨機臨時數可
使用其他數字格式。無論如何,應瞭解,因為隨機臨時數係在保全引擎110中產生,所以與,例如,應用程式級的臨時數之產生相比,隨機臨時數之產生及儲存得到保護。
在方塊312產生之隨機臨時數包含於客戶端您好訊息中,該客戶端您好訊息在方塊310發送至伺服器安全通訊應用程式306。此外,客戶端您好訊息可包含密碼套件、壓縮方法及其他密碼協定或演算法之清單,伺服器104可從中做出選擇以用於建立安全通訊對話。為響應安全通訊對話請求,伺服器安全通訊應用程式306在方塊314發送伺服器您好(ServerHello)訊息。伺服器您好訊息可實質相似於客戶端您好訊息。包含例如,在說明性實施例中,伺服器您好訊息包含由伺服器104產生之伺服器隨機臨時數。自包含於此外,伺服器您好訊息包含密碼協定及/或其他選項之選擇,該等選擇由伺服器104自包含於客戶端您好訊息中的清單中做出。伺服器您好訊息完成說明性握手對話之對話發起階段(階段1)。
在方塊316,伺服器安全通訊應用程式306向客戶端安全通訊應用程式304發送伺服器證書。伺服器證書、以下論述之相似客戶端證書,通常由證書權威組織產生,該證書充當伺服器104鑒定之第三方驗證物。伺服器證書可包含唯一識別符或數字,該唯一識別符或數字由證書權威組織指派給伺服器104來驗證網路106上的其他裝置之伺服器104。因此,在方塊318,客戶端裝置102可驗證伺服器證書。在一些實施例中,客戶端裝置102使用由證書權威組織頒發
之公開證書金鑰來驗證伺服器證書。在此實施例中,保全引擎110可將公開證書金鑰以未加密或加密狀態儲存於安全記憶體114中(如,藉由使用保全金鑰150)。
為建立安全通訊對話,客戶端裝置102與伺服器104執行金鑰交換以在客戶端裝置102及伺服器104中每一者中建立共享秘密金鑰(即,主金鑰或對話金鑰)。客戶端裝置102及伺服器104可使用任何適合的金鑰交換演算法來實現建立共享秘密。在說明性實施例中,金鑰交換可實施為RSA金鑰交換或Diffie-Hellman金鑰交換。在使用RSA金鑰交換之實施例中,在方塊320,伺服器安全通訊應用程式306執行伺服器RSA金鑰交換。在此等實施例中,在方塊320,伺服器104可產生暫時RSA公開/私有金鑰對及將RSA公開金鑰發送至客戶端裝置102。此訊息可由伺服器104簽名及可由客戶端裝置102使用公開伺服器金鑰驗證,其中該公開伺服器金鑰可儲存於如以上所論述之安全記憶體114中。
或者,在方塊320,伺服器安全通訊應用程式306可執行伺服器Diffie-Hellman金鑰交換。在此等實施例中,在方塊320,伺服器104選擇或產生Diffie-Hellman全域值(如,質數及質數之原根),產生私有及公開Diffie-Hellman伺服器金鑰及將Diffie-Hellman全域值及公開Diffie-Hellman伺服器金鑰發送至客戶端裝置102。同樣,此訊息可由伺服器104簽名及可由客戶端裝置102使用公開伺服器金鑰驗證。
在一些實施例中,在方塊322,伺服器安全通訊
應用程式306可發送客戶端證書請求。若如此,請求可指定由伺服器104接受的證書之類型(如,使用的公開金鑰演算法),可接受的證書權威及/或其他證書參數。隨後,在方塊324,伺服器安全通訊應用程式306將伺服器完成資訊(「伺服器您好完成」訊息)發送至客戶端安全通訊應用程式304以指示伺服器104已完成此握手對話階段。在說明性實施例中,參數或其他資料對於伺服器完成資訊而言不係必須的。伺服器您好完成訊息完成說明性握手對話之伺服器鑒定及金鑰交換階段(階段2)。
在方塊326,在接收伺服器完成資訊之後,客戶端安全通訊應用程式304藉由發送客戶端證書來發起握手對話之客戶端鑒定及金鑰交換階段(階段3)。如以上所論述,客戶端證書通常由證書權威組織產生且可包含唯一識別符或數字,該等唯一識別符或數字由證書權威組織指派給客戶端裝置102來驗證網路106上的其他裝置的客戶端裝置102。在一些實施例中,客戶端證書可以未加密或加密狀態儲存於SOC 112之保全引擎110的安全記憶體114中。此外,客戶端裝置102可使用私有設備金鑰,該私有設備金鑰由證書權威組織頒發,以在將證書發送至伺服器104之前給證書簽名。
在方塊328,客戶端安全通訊應用程式304執行客戶端金鑰交換。同樣,客戶端裝置102及伺服器104可使用任何適合的金鑰交換演算法來如以上所論述的,實現建立共享秘密。在使用RSA金鑰交換之實施例中,在方塊330,
客戶端裝置102之SOC 112之保全引擎110產生隨機前主金鑰。說明性地,前主金鑰實施為48位元組隨機數,但在其他實施例中可使用其他數字格式。在方塊332,在方塊330產生之前主金鑰使用伺服器公開金鑰加密或包裝,該伺服器公開金鑰由伺服器在伺服器鑒定及金鑰交換階段(階段2)提供。在方塊328,加密的前主金鑰可儲存於SOC 112之保全引擎110的安全記憶體114中及發送至伺服器104。
或者,在使用Diffie-Hellman金鑰交換之實施例中,在方塊334,保全引擎110使用在方塊320自伺服器104接收之Diffie-Hellman全域值來產生私有Diffie-Hellman客戶端金鑰及公開Diffie-Hellman客戶端金鑰。私有Diffie-Hellman客戶端金鑰可實施為由保全引擎110產生之隨機值,而公開Diffie-Hellman客戶端金鑰由保全引擎110使用自伺服器104接收之Diffie-Hellman全域值產生。私有Diffie-Hellman客戶端金鑰可儲存於保全引擎110之安全記憶體114中。當然,在一些實施例中,在方塊334,客戶端裝置102可產生Diffie-Hellman全域值及在方塊328將此全域值發送至伺服器104,來允許伺服器104基於該全域值產生公開Diffie-Hellman伺服器金鑰。無論如何,在方塊336,SOC 112之保全引擎110在方塊336使用保全金鑰150或保全引擎110之其他私有客戶端金鑰來簽名公開Diffie-Hellman客戶端金鑰(及若由客戶端裝置102產生則簽名Diffie-Hellman全域值)。在方塊328,簽名的Diffie-Hellman參數可使用公開伺服器金鑰進一步加密及發送至伺服器104。
在一些實施例中,在方塊338,客戶端安全通訊應用程式304可將客戶端證書驗證訊息發送至伺服器安全通訊應用程式306。為這樣做,在方塊340,保全引擎110基於前述訊息產生雜湊碼及使用保全引擎110之保全金鑰150簽名雜湊碼。在方塊338,客戶端裝置102將簽名的雜湊碼發送至伺服器104作為對前述訊息之驗證。應瞭解,此等客戶端證書驗證訊息可在將任何訊息自客戶端裝置102發送至伺服器104之後使用,來提供增加的保全級及對安全通訊對話之驗證。在方塊338,客戶端證書驗證訊息完成說明性握手對話之客戶端鑒定及金鑰交換階段(階段3)。
在方塊342,客戶端安全通訊應用程式304將改變密碼說明訊息發送至伺服器安全通訊應用程式306,來通知伺服器104後續通訊將使用商定密碼(如,產生的對話金鑰)。在方塊344,客戶端裝置102之保全引擎110產生對話金鑰(即,「主」金鑰)。在使用RSA金鑰交換之實施例中,保全引擎110按照在方塊330產生的前主金鑰之函式來產生對話金鑰。為這樣做,保全引擎110計算前主金鑰、在方塊312產生的客戶端隨機臨時數及在方塊314接收之伺服器隨機臨時數的雜湊函式。或者,在使用Diffie-Hellman金鑰交換之實施例中,保全引擎110按照Diffie-Hellman全域值、公開Diffie-Hellman伺服器金鑰及私有Diffie-Hellman客戶端金鑰之函式來產生對話金鑰。如以上所論述,對話金鑰儲存於保全引擎110之安全記憶體114中。
在方塊346,保全引擎110產生對話金鑰之雜湊
碼,取決於使用的雜湊函式之類型,該雜湊碼可包含額外填充值。在方塊348,對話金鑰之雜湊碼發送至伺服器104以用於客戶端完成訊息中的驗證。對話金鑰之雜湊碼可由保全引擎110使用以上論述之公開伺服器金鑰加密。
在方塊350,為響應客戶端完成訊息,伺服器104發送確認使用商定密碼(如,對話金鑰)之改變密碼說明訊息。在方塊352,伺服器104亦發送伺服器完成訊息,該伺服器完成訊息包含用於由客戶端裝置102驗證之相似的對話金鑰之雜湊碼。假定客戶端裝置102及伺服器104驗證對話金鑰之雜湊碼,握手對話完成及客戶端裝置102及伺服器104中每一者具有用於加密及解密後續訊息之共享秘密對話金鑰。同樣,應瞭解,客戶端裝置102之SOC 112之保全引擎110用於敏感密碼資料之所有密碼函式及儲存,以在通訊序列300期間提供基於硬體的密碼金鑰及證書金鑰保護。
現參考圖4,在使用中,客戶端裝置102可執行一種方法400來建立與伺服器104之安全通訊對話。方法400以方塊402開始,其中提供客戶端裝置102之SOC 112之保全引擎110。為這樣做,在一個實施例中,保全引擎110接收客戶端裝置證書、私有客戶端設備金鑰及公開證書金鑰。客戶端裝置證書、私有客戶端設備金鑰及公開證書金鑰通常由證書權威組織產生,彼等充當對以上論述之客戶端裝置102的鑒定之第三方驗證物。客戶端裝置證書可包含唯一設備識別符或數字,該設備識別符或數字由證書權威組織指派給客戶端裝置102以驗證網路106上的其他裝置之客戶端
裝置102。如以下更詳細論述的,私有客戶端設備金鑰可由客戶端裝置102使用來簽名客戶端裝置證書以鑒定其他裝置之客戶端裝置102。反之,公開證書金鑰可由客戶端裝置102使用來驗證網路106上的其他裝置之由證書權威組織頒發之證書。
保全引擎110使用保全金鑰150加密私有客戶端設備金鑰及將加密的私有客戶端設備金鑰儲存於安全記憶體114中。保全引擎110亦可將客戶端裝置證書及/或公開證書金鑰儲存於安全記憶體114中。此外,在一些實施例中,保全引擎110可使用儲存於保全引擎110中之保全金鑰150來加密客戶端裝置證書及/或公開證書金鑰。
在方塊402已提供保全引擎110之後,在方塊404,客戶端裝置102確定是否與伺服器104建立安全通訊對話(如,SSL對話)。若為是,則在方塊406,保全引擎110產生隨機臨時數值。如以上論述,保全引擎110可使用任何適合的隨機數產生演算法來產生隨機臨時數。在方塊408,客戶端裝置102將發起安全通訊對話之請求(客戶端您好訊息)發送至伺服器104。請求包含在方塊406產生之隨機臨時數以及密碼協定、壓縮方法及/或其他密碼選擇之清單,伺服器104可自該清單中選擇。
在方塊410,客戶端裝置102完成伺服器鑒定及伺服器金鑰交換。如此做時,客戶端裝置102可接收對應伺服器您好訊息,該伺服器您好訊息包含伺服器隨機臨時數,伺服器104公開金鑰及伺服器104對在客戶端您好訊息中提
供之密碼選擇之選擇。如以上論述,伺服器隨機臨時數以及客戶端隨機臨時數用於產生對話金鑰。因此,保全引擎110可將伺服器隨機臨時數儲存於安全記憶體114中。此外,在一些實施例中,保全引擎110可將伺服器證書及/或其他密碼資料儲存於安全記憶體114中。例如,在使用RSA金鑰交換之實施例中,保全引擎110可將自伺服器接收之公開RSA金鑰儲存於安全記憶體114中。或者,在使用Diffie-Hellman金鑰交換之實施例中,保全引擎110可將Diffie-Hellman全域值及/或公開Diffie-Hellman伺服器金鑰儲存於安全記憶體114中。
在方塊414,客戶端104確定是否伺服器104被成功鑒定。若為否,則方法400回圈返回至方塊404,其中客戶端裝置102可再嘗試建立與伺服器104之安全通訊對話。然而,若伺服器104被成功鑒定,則方法400前進到方塊416,其中客戶端裝置102發送伺服器104客戶端證書。若客戶端證書已加密(如,使用安全金鑰150),則保全引擎110解密客戶端證書及使用私有客戶端設備金鑰簽名客戶端證書。
在方塊418,客戶端104使用保全引擎110完成客戶端金鑰交換以保持金鑰函式之保全。例如,若RSA金鑰交換被選擇,則保全引擎110於在方塊420將加密的前主金鑰發送至伺服器104之前產生前主金鑰及使用在方塊410接收之伺服器公開金鑰加密該前主金鑰。或者,若Diffie-Hellman金鑰交換被選擇,則保全引擎110使用在方塊
410自伺服器104接收之Diffie-Hellman全域值來產生公開及私有Diffie-Hellman客戶端金鑰。保全引擎110可使用在方塊402提供之保全金鑰150或公開客戶端設備金鑰來簽名公開Diffie-Hellman客戶端金鑰。在方塊422,客戶端裝置102將簽名的公開Diffie-Hellman客戶端金鑰發送至伺服器104。在客戶端金鑰交換期間產生之金鑰及有關密碼資料可以加密狀態(藉由使用保全金鑰150)或未加密狀態儲存於安全記憶體114中。
在方塊424,客戶端裝置102確定是否客戶端裝置102已由伺服器104成功鑒定。若為否,則方法400回圈返回至方塊404,其中客戶端裝置102可再嘗試建立與伺服器104之安全通訊對話。然而,若客戶端裝置102被成功鑒定,則方法400前進到方塊426,其中客戶端裝置102藉由通知伺服器104後續訊息將使用商定密碼協定來與伺服器104證實密碼套件。如此做時,保全引擎110可產生主金鑰或對話金鑰。為這樣做,在使用RSA金鑰交換之實施例中,保全引擎110計算前主金鑰、在方塊406產生之客戶端隨機臨時數及在方塊410接收之伺服器隨機臨時數的雜湊函式。或者,在使用Diffie-Hellman金鑰交換之實施例中,保全引擎110按照Diffie-Hellman全域值、公開Diffie-Hellman伺服器金鑰及私有Diffie-Hellman客戶端金鑰之函式來產生對話金鑰。一旦產生,則SOC 112之保全引擎110可將對話金鑰儲存於保全引擎110之安全記憶體114中。在一些實施例中,對話金鑰可在儲存於安全記憶體114中之同時藉由使用保全金
鑰150加密。
在方塊428,保全引擎110產生對話金鑰之雜湊函式,該雜湊函式被發送至伺服器104以用於客戶端完成訊息中的驗證。同樣,對話金鑰之雜湊碼可由保全引擎110使用以上論述之公開伺服器金鑰加密。作為響應,伺服器104與客戶端裝置102證實密碼套件以確認商定密碼(如,對話金鑰)。伺服器104亦發送伺服器完成訊息,該伺服器完成訊息包含用於由客戶端裝置102驗證之相似的對話金鑰之雜湊碼。假定客戶端裝置102及伺服器104驗證對話金鑰之雜湊碼,握手對話完成及客戶端裝置102及伺服器104中每一者具有用於加密及解密後續訊息之共享秘密對話金鑰。
雖然揭示內容已在圖式中及前述描述中示出及詳細描述,但此說明及描述必須考量為示範性而非對特徵之限制,應瞭解,僅已展示及描述說明性實施例,及與揭示內容一致之所有改變及修改以及列舉之申請專利範圍期望受到保護。
100‧‧‧系統
102‧‧‧客戶端裝置
104‧‧‧伺服器
106‧‧‧網路
110‧‧‧保全引擎
112‧‧‧SOC
114‧‧‧安全記憶體
116‧‧‧記憶體控制器
118‧‧‧處理器核心
120‧‧‧連結
130‧‧‧硬體周邊
132‧‧‧解多工器
134‧‧‧視訊處理組件
136‧‧‧音訊處理組件
150‧‧‧保全金鑰
160‧‧‧系統記憶體
162‧‧‧資料儲存體
164‧‧‧通訊輸出
166‧‧‧I/O裝置
180‧‧‧處理器
182‧‧‧記憶體
184‧‧‧通訊電路
Claims (47)
- 一種系統單晶片設備,其包括:一系統單晶片,該系統單晶片包括一保全引擎,該保全引擎具有僅可由該保全引擎存取的一安全記憶體,該保全引擎用來進行下列動作:產生一隨機臨時數(random nonce),該隨機臨時數用於發起在網路上使用該臨時數與一伺服器的一安全通訊對話的一請求;執行與該伺服器的一密碼金鑰交換,以在該安全通訊對話期間產生一對稱對話金鑰以加密發送至該伺服器之訊息及解密自該伺服器接收之訊息;將該對話金鑰儲存於該安全記憶體中,該系統單晶片使用該對話金鑰在該網路上建立與該伺服器之該安全通訊對話。
- 如申請專利範圍第1項之系統單晶片設備,其中該系統單晶片使用該對話金鑰在該網路上與該伺服器建立一安全插座層(Secure Sockets Layer)通訊對話。
- 如申請專利範圍第1項之系統單晶片設備,其中該保全引擎自該伺服器接收一伺服器臨時數以響應用於該安全通訊對話之該請求,該響應訊息包含一伺服器臨時數及將該伺服器臨時數儲存於該安全記憶體中。
- 如申請專利範圍第1項之系統單晶片設備,其中該保全引擎自該伺服器接收一伺服器證書及將該伺服器證書 儲存於該安全記憶體中。
- 如申請專利範圍第1項之系統單晶片設備,其中該保全引擎執行與該伺服器的一Rivest-Shamir-Adleman金鑰交換來產生該對稱對話金鑰。
- 如申請專利範圍第5項之系統單晶片設備,其中該保全引擎產生一前主金鑰,使用該保全引擎之一保全金鑰加密該前主金鑰及將該加密的前主金鑰發送至該伺服器。
- 如申請專利範圍第6項之系統單晶片設備,其中該保全引擎使用一伺服器公開金鑰包裝該前主金鑰及將該包裝的前主金鑰儲存於該安全儲存體中。
- 如申請專利範圍第6項之系統單晶片設備,其中該保全引擎按照該前主金鑰的一函式來產生該對話金鑰。
- 如申請專利範圍第8項之系統單晶片設備,其中該保全引擎按照由該保全引擎產生之該隨機臨時數及自該伺服器接收之一臨時數的一函式來計算一雜湊函式。
- 如申請專利範圍第5項之系統單晶片設備,其中該保全引擎自該伺服器接收一公開Rivest-Shamir-Adleman伺服器金鑰及將該公開Rivest-Shamir-Adleman伺服器金鑰儲存於該安全記憶體中。
- 如申請專利範圍第1項之系統單晶片設備,其中該保全引擎執行與該伺服器的一Diffie-Hellman金鑰交換以產生該對稱對話金鑰。
- 如申請專利範圍第11項之系統單晶片設備,其中該保全引擎產生一公開Diffie-Hellman客戶端金鑰及一私有 Diffie-Hellman客戶端金鑰,使用該保全引擎的一保全金鑰簽名該公開Diffie-Hellman客戶端金鑰及將該簽名的公開Diffie-Hellman金鑰發送至該伺服器。
- 如申請專利範圍第12項之系統單晶片設備,其中該保全引擎自該伺服器接收一公開Diffie-Hellman伺服器金鑰及按照該私有Diffie-Hellman客戶端金鑰及該公開Diffie-Hellman伺服器金鑰的一函式來產生該對話金鑰。
- 如申請專利範圍第13項之系統單晶片設備,其中該保全引擎使用該對話金鑰加密自該客戶端裝置發送至該伺服器的一後續訊息。
- 如申請專利範圍第11項之系統單晶片設備,其中該保全引擎自該伺服器接收Diffie-Hellman全域值及一公開Diffie-Hellman伺服器金鑰並且將該Diffie-Hellman全域值及該公開Diffie-Hellman伺服器金鑰中至少一者儲存於該安全儲存體中。
- 一種方法,其包括下列步驟:在一客戶端裝置的一系統單晶片的一保全引擎中產生一隨機臨時數;使用該客戶端裝置在網路上發起與一伺服器的一安全通訊對話的一請求,該請求包含該隨機臨時數;使用該系統單晶片之該保全引擎執行與該伺服器的一密碼金鑰交換,以在該安全通訊對話期間產生一對稱對話金鑰來加密發送至該伺服器之訊息及解密自該伺服器接收之訊息; 將該對話金鑰儲存於該系統單晶片之該保全引擎的一安全記憶體中;以及使用該客戶端裝置使用該對話金鑰建立與該伺服器之該安全通訊對話。
- 如申請專利範圍第16項之方法,其中發起一安全通訊對話的一請求包括發起一安全插座層通訊對話的一請求。
- 如申請專利範圍第16項之方法,進一步包括:自該伺服器接收一響應訊息以響應一安全通訊對話的該請求,該響應訊息包含一伺服器臨時數,以及將該伺服器臨時數儲存於該系統單晶片之該保全引擎的該安全記憶體中。
- 如申請專利範圍第16項之方法,其中發起一安全通訊對話的一請求包括將包含該臨時數的一客戶端您好(ClientHello)訊息發送至該伺服器;以及進一步包括:自該伺服器接收一伺服器您好(ServerHello)訊息,該伺服器您好訊息包含一伺服器臨時數;以及將該伺服器臨時數儲存於該系統單晶片之該保全引擎的該安全記憶體中。
- 如申請專利範圍第16項之方法,進一步包括自該伺服器接收一伺服器證書及將該伺服器證書儲存於該客戶端裝置的該系統單晶片之該保全引擎的該安全記憶體中。
- 如申請專利範圍第16項之方法,其中執行與該伺服器之該密碼金鑰交換包括使用該系統單晶片之該保全引擎來執行與該伺服器的一Rivest-Shamir-Adleman金鑰交 換。
- 如申請專利範圍第21項之方法,其中執行與該伺服器之該Rivest-Shamir-Adleman金鑰交換包括:在該保全引擎中產生一前主金鑰;使用該保全引擎的一保全金鑰加密該前主金鑰;以及將該加密的前主金鑰發送至該伺服器。
- 如申請專利範圍第22項之方法,進一步包括:使用一伺服器公開金鑰將該前主金鑰包裝在該系統單晶片之該保全引擎中,以及將該包裝的前主金鑰儲存於該系統單晶片之該保全引擎的該安全儲存體中。
- 如申請專利範圍第22項之方法,其中執行與該伺服器之該Rivest-Shamir-Adleman金鑰交換包括在該系統單晶片之該保全引擎中按照該前主金鑰的一函式來產生該對話金鑰。
- 如申請專利範圍第24項之方法,其中在該保全引擎中產生該對話金鑰包括使用該系統單晶片之該保全引擎按照由該保全引擎產生之該隨機臨時數及自該伺服器接收之一臨時數的一函式來計算一雜湊函式。
- 如申請專利範圍第21項之方法,其中執行與該伺服器之該Rivest-Shamir-Adleman金鑰交換包括:自該伺服器接收一公開Rivest-Shamir-Adleman伺服器金鑰;以及 將該公開Rivest-Shamir-Adleman伺服器金鑰儲存於該系統單晶片之該保全引擎的該安全記憶體中。
- 如申請專利範圍第16項之方法,其中執行與該伺服器之該密碼金鑰交換包括使用該系統單晶片之該保全引擎來執行與該伺服器的一Diffie-Hellman金鑰交換。
- 如申請專利範圍第27項之方法,其中執行與該伺服器之一Diffie-Hellman金鑰交換包括:在該系統單晶片之該保全引擎中產生一公開Diffie-Hellman客戶端金鑰及一私有Diffie-Hellman客戶端金鑰;使用該系統單晶片之該保全引擎的一保全金鑰簽名該公開Diffie-Hellman客戶端金鑰;以及將該簽名的公開Diffie-Hellman金鑰發送至該伺服器。
- 如申請專利範圍第28項之方法,其中執行與該伺服器之一Diffie-Hellman金鑰交換包括:自該伺服器接收一公開Diffie-Hellman伺服器金鑰;在該系統單晶片之該保全引擎中按照該私有Diffie-Hellman客戶端金鑰及該公開Diffie-Hellman伺服器金鑰的一函式來產生該對話金鑰。
- 如申請專利範圍第29項之方法,其中執行與該伺服器的一Diffie-Hellman金鑰交換包括使用該對話金鑰加密自該客戶端裝置發送至該伺服器的一後續訊息。
- 如申請專利範圍第27項之方法,其中執行與該伺服器之 一Diffie-Hellman金鑰交換包括:自該伺服器接收Diffie-Hellman全域值及一公開Diffie-Hellman伺服器金鑰,以及將該Diffie-Hellman全域值及該公開Diffie-Hellman伺服器金鑰中至少一者儲存於該系統單晶片之該保全引擎的該安全儲存體中。
- 如申請專利範圍第16項之方法,進一步包括:擷取儲存於該客戶端裝置上的一客戶端證書;使用儲存於該系統單晶片之該保全引擎的一安全記憶體中的一保全金鑰簽名一客戶端證書;以及將該客戶端證書發送至該伺服器。
- 如申請專利範圍第16項之方法,進一步包括:在該系統單晶片之該保全引擎中產生自該客戶端發送至該伺服器的一前述訊息的一雜湊碼;使用儲存於該保全引擎的一安全記憶體中的一保全金鑰簽名該雜湊碼;以及將一客戶端證書驗證訊息發送至該伺服器,該客戶端證書驗證訊息包含該簽名的雜湊碼。
- 如申請專利範圍第16項之方法,其中建立該安全通訊對話包括:在該保全引擎中按照該對話金鑰的一函式來產生一雜湊碼;以及將包含該雜湊碼的一客戶端完成訊息發送至該伺服器以指示該客戶端已完成一初始握手過程。
- 一種來源裝置,其包括:具有一保全引擎的一系統單晶片,該系統單晶片包含複數個指令,當該等指令被執行時導致該系統單晶片執行如申請專利範圍第16至34項之方法。
- 一或多個機器可讀媒體,其包括複數個指令,對由一客戶端裝置執行該等指令之響應導致該客戶端裝置執行如申請專利範圍第16至34項之方法。
- 一種方法,其包括:在一客戶端裝置的一系統單晶片的一保全引擎中產生一隨機臨時數;使用該客戶端裝置在網路上發起與一伺服器的一安全插座層通訊對話的一請求,該請求包含該隨機臨時數;使用該系統單晶片之該保全引擎執行與該伺服器的一密碼金鑰交換,以在該安全插座層通訊對話期間產生一對稱對話金鑰來加密發送至該伺服器之訊息及解密自該伺服器接收之訊息;將該對話金鑰儲存於該系統單晶片之該保全引擎的一安全記憶體中;以及在該保全引擎中按照該對話金鑰的一函式來產生一雜湊碼;以及將包含該雜湊碼的一客戶端完成訊息發送至該伺服器以指示該客戶端已完成一初始握手過程。
- 如申請專利範圍第37項之方法,其中執行與該伺服器之 該密碼金鑰交換包括使用該系統單晶片之該保全引擎來執行與該伺服器的一Rivest-Shamir-Adleman金鑰交換。
- 如申請專利範圍第38項方法,其中執行與該伺服器之該Rivest-Shamir-Adleman金鑰交換包括:在該保全引擎中產生一前主金鑰;使用該保全引擎的一保全金鑰加密該前主金鑰;以及將該加密的前主金鑰發送至該伺服器。
- 如申請專利範圍第39項之方法,進一步包括:使用一伺服器公開金鑰將該前主金鑰包裝在該保全引擎中,以及將該包裝的前主金鑰儲存於該系統單晶片之該保全引擎的該安全儲存體中。
- 如申請專利範圍第39項之方法,其中執行與該伺服器之該Rivest-Shamir-Adleman金鑰交換包括在該系統單晶片之該保全引擎中按照該前主金鑰的一函式來產生該對話金鑰。
- 如申請專利範圍第41項之方法,其中在該保全引擎中產生該對話金鑰包括使用該系統單晶片之該保全引擎按照由該保全引擎產生之該隨機臨時數及自該伺服器接收之一臨時數的一函式來計算一雜湊函式。
- 如申請專利範圍第37項之方法,其中執行與該伺服器之該密碼金鑰交換包括使用該系統單晶片之該保全引擎 來執行與該伺服器的一Diffie-Hellman金鑰交換。
- 如申請專利範圍第43項之方法,其中執行與該伺服器之一Diffie-Hellman金鑰交換包括:在該系統單晶片之該保全引擎中產生一公開Diffie-Hellman客戶端金鑰及一私有Diffie-Hellman客戶端金鑰;使用該系統單晶片之該保全引擎的一保全金鑰簽名該公開Diffie-Hellman客戶端金鑰;以及將該簽名的公開Diffie-Hellman金鑰發送至該伺服器。
- 如申請專利範圍第44項之方法,其中執行與該伺服器之一Diffie-Hellman金鑰交換包括:自該伺服器接收一公開Diffie-Hellman伺服器金鑰;在該系統單晶片之該保全引擎中按照該私有Diffie-Hellman客戶端金鑰及該公開Diffie-Hellman伺服器金鑰的一函式來產生該對話金鑰。
- 一種來源裝置,其包括:具有一保全引擎的一系統單晶片,該系統單晶片包含複數個指令,當該等指令被執行時導致該系統單晶片執行如申請專利範圍第37至45項之方法。
- 一或多個機器可讀媒體,其包括複數個指令,對由一客戶端裝置執行該等指令之響應導致該客戶端裝置執行如申請專利範圍第37至45項之方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2011/065069 WO2013089725A1 (en) | 2011-12-15 | 2011-12-15 | Method and device for secure communications over a network using a hardware security engine |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201332331A true TW201332331A (zh) | 2013-08-01 |
TWI600307B TWI600307B (zh) | 2017-09-21 |
Family
ID=48613009
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW101147511A TWI600307B (zh) | 2011-12-15 | 2012-12-14 | 用於在網路上使用硬體保全引擎之安全通訊的方法及裝置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9887838B2 (zh) |
EP (4) | EP2792100B1 (zh) |
CN (1) | CN104170312B (zh) |
PL (1) | PL2792100T3 (zh) |
TW (1) | TWI600307B (zh) |
WO (1) | WO2013089725A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI508006B (zh) * | 2013-08-22 | 2015-11-11 | Rakuten Inc | Information processing device, information processing method, program, memory media |
TWI584144B (zh) * | 2014-04-14 | 2017-05-21 | 艾銳勢企業有限責任公司 | 在元件供應中之實時鑰收集 |
Families Citing this family (129)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9456054B2 (en) | 2008-05-16 | 2016-09-27 | Palo Alto Research Center Incorporated | Controlling the spread of interests and content in a content centric network |
US8923293B2 (en) | 2009-10-21 | 2014-12-30 | Palo Alto Research Center Incorporated | Adaptive multi-interface use for content networking |
US9015469B2 (en) | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
US9497171B2 (en) | 2011-12-15 | 2016-11-15 | Intel Corporation | Method, device, and system for securely sharing media content from a source device |
CN104170312B (zh) | 2011-12-15 | 2018-05-22 | 英特尔公司 | 用于使用硬件安全引擎通过网络进行安全通信的方法和设备 |
US8856515B2 (en) | 2012-11-08 | 2014-10-07 | Intel Corporation | Implementation of robust and secure content protection in a system-on-a-chip apparatus |
US8782774B1 (en) * | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
RO130142A2 (ro) * | 2013-08-28 | 2015-03-30 | Ixia, A California Corporation | Metode, sisteme şi suport care poate fi citit pe calculator pentru utilizarea cheilor de criptare predeterminate într-un mediu de simulare a testării |
US10098051B2 (en) | 2014-01-22 | 2018-10-09 | Cisco Technology, Inc. | Gateways and routing in software-defined manets |
US9531679B2 (en) * | 2014-02-06 | 2016-12-27 | Palo Alto Research Center Incorporated | Content-based transport security for distributed producers |
US9954678B2 (en) | 2014-02-06 | 2018-04-24 | Cisco Technology, Inc. | Content-based transport security |
US9836540B2 (en) | 2014-03-04 | 2017-12-05 | Cisco Technology, Inc. | System and method for direct storage access in a content-centric network |
US9626413B2 (en) | 2014-03-10 | 2017-04-18 | Cisco Systems, Inc. | System and method for ranking content popularity in a content-centric network |
US9716622B2 (en) | 2014-04-01 | 2017-07-25 | Cisco Technology, Inc. | System and method for dynamic name configuration in content-centric networks |
US9473576B2 (en) | 2014-04-07 | 2016-10-18 | Palo Alto Research Center Incorporated | Service discovery using collection synchronization with exact names |
US8966267B1 (en) | 2014-04-08 | 2015-02-24 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
US8996873B1 (en) | 2014-04-08 | 2015-03-31 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
US9992281B2 (en) | 2014-05-01 | 2018-06-05 | Cisco Technology, Inc. | Accountable content stores for information centric networks |
US9609014B2 (en) | 2014-05-22 | 2017-03-28 | Cisco Systems, Inc. | Method and apparatus for preventing insertion of malicious content at a named data network router |
US9699198B2 (en) | 2014-07-07 | 2017-07-04 | Cisco Technology, Inc. | System and method for parallel secure content bootstrapping in content-centric networks |
US9621354B2 (en) | 2014-07-17 | 2017-04-11 | Cisco Systems, Inc. | Reconstructable content objects |
US9590887B2 (en) | 2014-07-18 | 2017-03-07 | Cisco Systems, Inc. | Method and system for keeping interest alive in a content centric network |
US9729616B2 (en) | 2014-07-18 | 2017-08-08 | Cisco Technology, Inc. | Reputation-based strategy for forwarding and responding to interests over a content centric network |
US9882964B2 (en) | 2014-08-08 | 2018-01-30 | Cisco Technology, Inc. | Explicit strategy feedback in name-based forwarding |
US9729662B2 (en) | 2014-08-11 | 2017-08-08 | Cisco Technology, Inc. | Probabilistic lazy-forwarding technique without validation in a content centric network |
US9800637B2 (en) | 2014-08-19 | 2017-10-24 | Cisco Technology, Inc. | System and method for all-in-one content stream in content-centric networks |
US10069933B2 (en) | 2014-10-23 | 2018-09-04 | Cisco Technology, Inc. | System and method for creating virtual interfaces based on network characteristics |
US9590948B2 (en) | 2014-12-15 | 2017-03-07 | Cisco Systems, Inc. | CCN routing using hardware-assisted hash tables |
US10063594B2 (en) * | 2014-12-16 | 2018-08-28 | OPSWAT, Inc. | Network access control with compliance policy check |
US10237189B2 (en) | 2014-12-16 | 2019-03-19 | Cisco Technology, Inc. | System and method for distance-based interest forwarding |
US10726162B2 (en) * | 2014-12-19 | 2020-07-28 | Intel Corporation | Security plugin for a system-on-a-chip platform |
US10003520B2 (en) | 2014-12-22 | 2018-06-19 | Cisco Technology, Inc. | System and method for efficient name-based content routing using link-state information in information-centric networks |
US9660825B2 (en) | 2014-12-24 | 2017-05-23 | Cisco Technology, Inc. | System and method for multi-source multicasting in content-centric networks |
US9916457B2 (en) | 2015-01-12 | 2018-03-13 | Cisco Technology, Inc. | Decoupled name security binding for CCN objects |
US9954795B2 (en) | 2015-01-12 | 2018-04-24 | Cisco Technology, Inc. | Resource allocation using CCN manifests |
US9946743B2 (en) | 2015-01-12 | 2018-04-17 | Cisco Technology, Inc. | Order encoded manifests in a content centric network |
US9832291B2 (en) | 2015-01-12 | 2017-11-28 | Cisco Technology, Inc. | Auto-configurable transport stack |
US10333840B2 (en) | 2015-02-06 | 2019-06-25 | Cisco Technology, Inc. | System and method for on-demand content exchange with adaptive naming in information-centric networks |
CN105991569A (zh) * | 2015-02-09 | 2016-10-05 | 中国科学院信息工程研究所 | 一种tls通讯数据安全传输方法 |
US10075401B2 (en) | 2015-03-18 | 2018-09-11 | Cisco Technology, Inc. | Pending interest table behavior |
CN106161363B (zh) * | 2015-04-03 | 2020-04-17 | 阿里云计算有限公司 | 一种ssl连接建立的方法及系统 |
US10623382B2 (en) * | 2015-06-22 | 2020-04-14 | Cyphre Security Solutions, Llc | Creating and utilizing black keys for the transport layer security (TLS) handshake protocol and method therefor |
US10075402B2 (en) | 2015-06-24 | 2018-09-11 | Cisco Technology, Inc. | Flexible command and control in content centric networks |
US10318720B2 (en) * | 2015-07-02 | 2019-06-11 | Gn Hearing A/S | Hearing device with communication logging and related method |
JP7122964B2 (ja) * | 2015-07-03 | 2022-08-22 | アフェロ インコーポレイテッド | モノのインターネット(IoT)システムに安全な通信チャネルを確立するための装置及び方法 |
CN105119894B (zh) * | 2015-07-16 | 2018-05-25 | 上海慧银信息科技有限公司 | 基于硬件安全模块的通信系统及通信方法 |
US10303900B2 (en) * | 2015-07-20 | 2019-05-28 | Intel Corporation | Technologies for secure programming of a cryptographic engine for trusted I/O |
US10701038B2 (en) | 2015-07-27 | 2020-06-30 | Cisco Technology, Inc. | Content negotiation in a content centric network |
US9986034B2 (en) | 2015-08-03 | 2018-05-29 | Cisco Technology, Inc. | Transferring state in content centric network stacks |
CN106454528A (zh) * | 2015-08-07 | 2017-02-22 | 阿里巴巴集团控股有限公司 | 基于可信执行环境的业务处理方法和客户端 |
CN106487749B (zh) | 2015-08-26 | 2021-02-19 | 阿里巴巴集团控股有限公司 | 密钥生成方法及装置 |
US10715320B2 (en) * | 2015-09-04 | 2020-07-14 | Hewlett Packard Enterprise Development Lp | Password generation with key and derivation parameter |
US9832123B2 (en) | 2015-09-11 | 2017-11-28 | Cisco Technology, Inc. | Network named fragments in a content centric network |
US10355999B2 (en) | 2015-09-23 | 2019-07-16 | Cisco Technology, Inc. | Flow control with network named fragments |
US9977809B2 (en) | 2015-09-24 | 2018-05-22 | Cisco Technology, Inc. | Information and data framework in a content centric network |
US10313227B2 (en) | 2015-09-24 | 2019-06-04 | Cisco Technology, Inc. | System and method for eliminating undetected interest looping in information-centric networks |
US10454820B2 (en) | 2015-09-29 | 2019-10-22 | Cisco Technology, Inc. | System and method for stateless information-centric networking |
US10263965B2 (en) | 2015-10-16 | 2019-04-16 | Cisco Technology, Inc. | Encrypted CCNx |
US10193694B1 (en) * | 2015-10-26 | 2019-01-29 | Marvell International Ltd. | Method and apparatus for securely configuring parameters of a system-on-a-chip (SOC) |
US10218698B2 (en) * | 2015-10-29 | 2019-02-26 | Verizon Patent And Licensing Inc. | Using a mobile device number (MDN) service in multifactor authentication |
US9794238B2 (en) | 2015-10-29 | 2017-10-17 | Cisco Technology, Inc. | System for key exchange in a content centric network |
US9807205B2 (en) | 2015-11-02 | 2017-10-31 | Cisco Technology, Inc. | Header compression for CCN messages using dictionary |
US9912776B2 (en) | 2015-12-02 | 2018-03-06 | Cisco Technology, Inc. | Explicit content deletion commands in a content centric network |
US10097346B2 (en) | 2015-12-09 | 2018-10-09 | Cisco Technology, Inc. | Key catalogs in a content centric network |
US9705859B2 (en) * | 2015-12-11 | 2017-07-11 | Amazon Technologies, Inc. | Key exchange through partially trusted third party |
US10078062B2 (en) | 2015-12-15 | 2018-09-18 | Palo Alto Research Center Incorporated | Device health estimation by combining contextual information with sensor data |
US10257271B2 (en) | 2016-01-11 | 2019-04-09 | Cisco Technology, Inc. | Chandra-Toueg consensus in a content centric network |
US9949301B2 (en) | 2016-01-20 | 2018-04-17 | Palo Alto Research Center Incorporated | Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks |
US10305864B2 (en) | 2016-01-25 | 2019-05-28 | Cisco Technology, Inc. | Method and system for interest encryption in a content centric network |
US20190028448A1 (en) * | 2016-02-22 | 2019-01-24 | Continental Automotive Systems, Inc, | Method to establish and update keys for secure in-vehicle network communication |
US10043016B2 (en) | 2016-02-29 | 2018-08-07 | Cisco Technology, Inc. | Method and system for name encryption agreement in a content centric network |
US10038633B2 (en) | 2016-03-04 | 2018-07-31 | Cisco Technology, Inc. | Protocol to query for historical network information in a content centric network |
US10051071B2 (en) | 2016-03-04 | 2018-08-14 | Cisco Technology, Inc. | Method and system for collecting historical network information in a content centric network |
US10742596B2 (en) | 2016-03-04 | 2020-08-11 | Cisco Technology, Inc. | Method and system for reducing a collision probability of hash-based names using a publisher identifier |
US10003507B2 (en) | 2016-03-04 | 2018-06-19 | Cisco Technology, Inc. | Transport session state protocol |
CN105681341A (zh) * | 2016-03-08 | 2016-06-15 | 浪潮电子信息产业股份有限公司 | 一种对SSR的Tomact加密套件的安全配置方法 |
US9832116B2 (en) | 2016-03-14 | 2017-11-28 | Cisco Technology, Inc. | Adjusting entries in a forwarding information base in a content centric network |
US10212196B2 (en) | 2016-03-16 | 2019-02-19 | Cisco Technology, Inc. | Interface discovery and authentication in a name-based network |
US11436656B2 (en) | 2016-03-18 | 2022-09-06 | Palo Alto Research Center Incorporated | System and method for a real-time egocentric collaborative filter on large datasets |
US10067948B2 (en) | 2016-03-18 | 2018-09-04 | Cisco Technology, Inc. | Data deduping in content centric networking manifests |
US10091330B2 (en) | 2016-03-23 | 2018-10-02 | Cisco Technology, Inc. | Interest scheduling by an information and data framework in a content centric network |
US10033639B2 (en) | 2016-03-25 | 2018-07-24 | Cisco Technology, Inc. | System and method for routing packets in a content centric network using anonymous datagrams |
US10320760B2 (en) | 2016-04-01 | 2019-06-11 | Cisco Technology, Inc. | Method and system for mutating and caching content in a content centric network |
US9930146B2 (en) | 2016-04-04 | 2018-03-27 | Cisco Technology, Inc. | System and method for compressing content centric networking messages |
US10425503B2 (en) | 2016-04-07 | 2019-09-24 | Cisco Technology, Inc. | Shared pending interest table in a content centric network |
US10027578B2 (en) | 2016-04-11 | 2018-07-17 | Cisco Technology, Inc. | Method and system for routable prefix queries in a content centric network |
US10404450B2 (en) | 2016-05-02 | 2019-09-03 | Cisco Technology, Inc. | Schematized access control in a content centric network |
US10320675B2 (en) | 2016-05-04 | 2019-06-11 | Cisco Technology, Inc. | System and method for routing packets in a stateless content centric network |
US10547589B2 (en) | 2016-05-09 | 2020-01-28 | Cisco Technology, Inc. | System for implementing a small computer systems interface protocol over a content centric network |
US10084764B2 (en) | 2016-05-13 | 2018-09-25 | Cisco Technology, Inc. | System for a secure encryption proxy in a content centric network |
US10063414B2 (en) | 2016-05-13 | 2018-08-28 | Cisco Technology, Inc. | Updating a transport stack in a content centric network |
US10103989B2 (en) | 2016-06-13 | 2018-10-16 | Cisco Technology, Inc. | Content object return messages in a content centric network |
US10305865B2 (en) | 2016-06-21 | 2019-05-28 | Cisco Technology, Inc. | Permutation-based content encryption with manifests in a content centric network |
US10148572B2 (en) | 2016-06-27 | 2018-12-04 | Cisco Technology, Inc. | Method and system for interest groups in a content centric network |
US10009266B2 (en) | 2016-07-05 | 2018-06-26 | Cisco Technology, Inc. | Method and system for reference counted pending interest tables in a content centric network |
US9992097B2 (en) | 2016-07-11 | 2018-06-05 | Cisco Technology, Inc. | System and method for piggybacking routing information in interests in a content centric network |
US10122624B2 (en) | 2016-07-25 | 2018-11-06 | Cisco Technology, Inc. | System and method for ephemeral entries in a forwarding information base in a content centric network |
US10069729B2 (en) | 2016-08-08 | 2018-09-04 | Cisco Technology, Inc. | System and method for throttling traffic based on a forwarding information base in a content centric network |
US10956412B2 (en) | 2016-08-09 | 2021-03-23 | Cisco Technology, Inc. | Method and system for conjunctive normal form attribute matching in a content centric network |
US10033642B2 (en) | 2016-09-19 | 2018-07-24 | Cisco Technology, Inc. | System and method for making optimal routing decisions based on device-specific parameters in a content centric network |
JP7037550B2 (ja) * | 2016-09-23 | 2022-03-16 | アップル インコーポレイテッド | ネットワークトラフィックのセキュア通信 |
US10212248B2 (en) | 2016-10-03 | 2019-02-19 | Cisco Technology, Inc. | Cache management on high availability routers in a content centric network |
US10447805B2 (en) | 2016-10-10 | 2019-10-15 | Cisco Technology, Inc. | Distributed consensus in a content centric network |
US10135948B2 (en) | 2016-10-31 | 2018-11-20 | Cisco Technology, Inc. | System and method for process migration in a content centric network |
US10243851B2 (en) | 2016-11-21 | 2019-03-26 | Cisco Technology, Inc. | System and method for forwarder connection information in a content centric network |
US11165565B2 (en) * | 2016-12-09 | 2021-11-02 | Microsoft Technology Licensing, Llc | Secure distribution private keys for use by untrusted code |
US20180183581A1 (en) * | 2016-12-28 | 2018-06-28 | Intel Corporation | Arrangements for datalink security |
EP3593271A1 (en) * | 2017-03-08 | 2020-01-15 | ABB Schweiz AG | Methods and devices for providing cyber security for time aware end-to-end packet flow networks |
US11153289B2 (en) * | 2017-07-28 | 2021-10-19 | Alibaba Group Holding Limited | Secure communication acceleration using a System-on-Chip (SoC) architecture |
US10666430B2 (en) * | 2017-09-29 | 2020-05-26 | Intel Corporation | System and techniques for encrypting chip-to-chip communication links |
CN108055132B (zh) | 2017-11-16 | 2020-04-28 | 阿里巴巴集团控股有限公司 | 一种业务授权的方法、装置及设备 |
CN108259171B (zh) * | 2018-01-12 | 2020-10-16 | 武汉斗鱼网络科技有限公司 | Shader文件的保护方法及装置 |
US10715511B2 (en) * | 2018-05-03 | 2020-07-14 | Honeywell International Inc. | Systems and methods for a secure subscription based vehicle data service |
US10819689B2 (en) * | 2018-05-03 | 2020-10-27 | Honeywell International Inc. | Systems and methods for encrypted vehicle data service exchanges |
EP3791304A4 (en) * | 2018-05-11 | 2022-03-30 | Lattice Semiconductor Corporation | FAILURE CHARACTERIZATION SYSTEMS AND METHODS FOR PROGRAMMABLE LOGIC DEVICES |
CN112534790B (zh) * | 2018-06-08 | 2023-07-04 | 兰克森控股公司 | 在通信网络中交换加密数据的加密装置、通信系统和方法 |
US11258772B2 (en) * | 2018-06-19 | 2022-02-22 | Cypress Semiconductor Corporation | Secured communication from within non-volatile memory device |
CN109508549B (zh) * | 2018-09-19 | 2021-07-16 | 捷德(中国)科技有限公司 | 数据处理方法、装置、设备及存储介质 |
US10630467B1 (en) * | 2019-01-04 | 2020-04-21 | Blue Ridge Networks, Inc. | Methods and apparatus for quantum-resistant network communication |
CN112262547B (zh) * | 2019-01-04 | 2023-11-21 | 百度时代网络技术(北京)有限公司 | 具有安全单元以提供根信任服务的数据处理加速器 |
KR20200089562A (ko) * | 2019-01-17 | 2020-07-27 | 삼성전자주식회사 | 공유된 키를 등록하기 위한 방법 및 장치 |
US20200403978A1 (en) * | 2019-06-19 | 2020-12-24 | Amazon Technologies, Inc. | Hybrid key exchanges for double-hulled encryption |
US20210056053A1 (en) * | 2019-08-19 | 2021-02-25 | Cryptography Research, Inc. | Application authentication and data encryption without stored pre-shared keys |
CN110380868A (zh) * | 2019-08-22 | 2019-10-25 | 广东浪潮大数据研究有限公司 | 一种通信方法、装置及通信系统和存储介质 |
US11809611B2 (en) * | 2020-02-24 | 2023-11-07 | Microsoft Technology Licensing, Llc | Protecting device detachment with bus encryption |
US10903990B1 (en) | 2020-03-11 | 2021-01-26 | Cloudflare, Inc. | Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint |
KR102370814B1 (ko) * | 2020-04-10 | 2022-03-07 | 아우토크립트 주식회사 | 통신 시스템에서 버터플라이 키 확장 방법 |
US11936691B2 (en) * | 2020-06-05 | 2024-03-19 | Queen's University At Kingston | Secure cloud communication architecture |
US11741227B2 (en) * | 2021-06-22 | 2023-08-29 | Intel Corporation | Platform security mechanism |
Family Cites Families (86)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6850252B1 (en) | 1999-10-05 | 2005-02-01 | Steven M. Hoffberg | Intelligent electronic appliance system and method |
US6526509B1 (en) * | 1995-05-19 | 2003-02-25 | Siemens Aktiengesellschaft | Method for interchange of cryptographic codes between a first computer unit and a second computer unit |
US5657390A (en) * | 1995-08-25 | 1997-08-12 | Netscape Communications Corporation | Secure socket layer application program apparatus and method |
US6307936B1 (en) * | 1997-09-16 | 2001-10-23 | Safenet, Inc. | Cryptographic key management scheme |
DE19757649B4 (de) * | 1997-12-15 | 2005-10-20 | Francotyp Postalia Ag | Anordnung und Verfahren zum Datenaustausch zwischen einer Frankiermaschine und Chipkarten |
EP1408669A1 (en) * | 1998-07-03 | 2004-04-14 | Nokia Corporation | Secure session set up based on the wireless application protocol |
US6401208B2 (en) | 1998-07-17 | 2002-06-04 | Intel Corporation | Method for BIOS authentication prior to BIOS execution |
US6449720B1 (en) * | 1999-05-17 | 2002-09-10 | Wave Systems Corp. | Public cryptographic control unit and system therefor |
US6324288B1 (en) | 1999-05-17 | 2001-11-27 | Intel Corporation | Cipher core in a content protection system |
KR100319256B1 (ko) * | 1999-12-30 | 2002-01-05 | 서평원 | 통신 프로토콜 운용 방법 |
US6948065B2 (en) | 2000-12-27 | 2005-09-20 | Intel Corporation | Platform and method for securely transmitting an authorization secret |
US7350083B2 (en) | 2000-12-29 | 2008-03-25 | Intel Corporation | Integrated circuit chip having firmware and hardware security primitive device(s) |
US20020112161A1 (en) | 2001-02-13 | 2002-08-15 | Thomas Fred C. | Method and system for software authentication in a computer system |
US7055038B2 (en) | 2001-05-07 | 2006-05-30 | Ati International Srl | Method and apparatus for maintaining secure and nonsecure data in a shared memory system |
US7162644B1 (en) * | 2002-03-29 | 2007-01-09 | Xilinx, Inc. | Methods and circuits for protecting proprietary configuration data for programmable logic devices |
US7243347B2 (en) | 2002-06-21 | 2007-07-10 | International Business Machines Corporation | Method and system for maintaining firmware versions in a data processing system |
DE60205106T2 (de) * | 2002-08-07 | 2006-05-24 | Stmicroelectronics S.R.L., Agrate Brianza | Serielle Peripherieschnittstelle und Verwaltungsverfahren dafür |
US7480384B2 (en) * | 2003-02-10 | 2009-01-20 | International Business Machines Corporation | Method for distributing and authenticating public keys using random numbers and Diffie-Hellman public keys |
US7644275B2 (en) * | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
US7444668B2 (en) | 2003-05-29 | 2008-10-28 | Freescale Semiconductor, Inc. | Method and apparatus for determining access permission |
US7289632B2 (en) | 2003-06-03 | 2007-10-30 | Broadcom Corporation | System and method for distributed security |
US20050005093A1 (en) * | 2003-07-01 | 2005-01-06 | Andrew Bartels | Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications |
US20050114687A1 (en) | 2003-11-21 | 2005-05-26 | Zimmer Vincent J. | Methods and apparatus to provide protection for firmware resources |
US7600132B1 (en) | 2003-12-19 | 2009-10-06 | Adaptec, Inc. | System and method for authentication of embedded RAID on a motherboard |
TWI240531B (en) | 2003-12-24 | 2005-09-21 | Inst Information Industry | Multitasking system level system for Hw/Sw co-verification |
DE602005015178D1 (de) * | 2004-02-05 | 2009-08-13 | Research In Motion Ltd | Speicherung auf einem chip,erzeugung und handhabung eines geheimschlüssels |
US7802085B2 (en) | 2004-02-18 | 2010-09-21 | Intel Corporation | Apparatus and method for distributing private keys to an entity with minimal secret, unique information |
JP4420201B2 (ja) | 2004-02-27 | 2010-02-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム |
US7543158B2 (en) * | 2004-03-23 | 2009-06-02 | Texas Instruments Incorporated | Hybrid cryptographic accelerator and method of operation thereof |
US20050213768A1 (en) | 2004-03-24 | 2005-09-29 | Durham David M | Shared cryptographic key in networks with an embedded agent |
US20050289343A1 (en) * | 2004-06-23 | 2005-12-29 | Sun Microsystems, Inc. | Systems and methods for binding a hardware component and a platform |
US7747862B2 (en) | 2004-06-28 | 2010-06-29 | Intel Corporation | Method and apparatus to authenticate base and subscriber stations and secure sessions for broadband wireless networks |
US20060041938A1 (en) * | 2004-08-20 | 2006-02-23 | Axalto Inc. | Method of supporting SSL/TLS protocols in a resource-constrained device |
US7987356B2 (en) * | 2004-11-29 | 2011-07-26 | Broadcom Corporation | Programmable security platform |
US8295484B2 (en) | 2004-12-21 | 2012-10-23 | Broadcom Corporation | System and method for securing data from a remote input device |
US20060174110A1 (en) * | 2005-01-31 | 2006-08-03 | Microsoft Corporation | Symmetric key optimizations |
US8438628B2 (en) * | 2005-08-10 | 2013-05-07 | Riverbed Technology, Inc. | Method and apparatus for split-terminating a secure network connection, with client authentication |
GB2431250A (en) * | 2005-10-11 | 2007-04-18 | Hewlett Packard Development Co | Data transfer system |
US8281136B2 (en) * | 2005-10-21 | 2012-10-02 | Novell, Inc. | Techniques for key distribution for use in encrypted communications |
JP2007160411A (ja) | 2005-12-09 | 2007-06-28 | Makita Corp | 打ち込み機の空打ち防止装置 |
US8719526B2 (en) | 2006-01-05 | 2014-05-06 | Broadcom Corporation | System and method for partitioning multiple logical memory regions with access control by a central control agent |
US8429418B2 (en) | 2006-02-15 | 2013-04-23 | Intel Corporation | Technique for providing secure firmware |
US9177176B2 (en) | 2006-02-27 | 2015-11-03 | Broadcom Corporation | Method and system for secure system-on-a-chip architecture for multimedia data processing |
US8014530B2 (en) | 2006-03-22 | 2011-09-06 | Intel Corporation | Method and apparatus for authenticated, recoverable key distribution with no database secrets |
US8205238B2 (en) | 2006-03-30 | 2012-06-19 | Intel Corporation | Platform posture and policy information exchange method and apparatus |
KR100809295B1 (ko) | 2006-04-06 | 2008-03-04 | 삼성전자주식회사 | 소프트웨어 설치를 위한 장치 및 방법 |
EP2027692B1 (en) * | 2006-05-22 | 2019-03-06 | Nxp B.V. | Secure internet transaction method and apparatus |
US8560863B2 (en) | 2006-06-27 | 2013-10-15 | Intel Corporation | Systems and techniques for datapath security in a system-on-a-chip device |
US20080022395A1 (en) | 2006-07-07 | 2008-01-24 | Michael Holtzman | System for Controlling Information Supplied From Memory Device |
US7356671B1 (en) * | 2006-07-27 | 2008-04-08 | Vbridge Microsystem, Inc. | SoC architecture for voice and video over data network applications |
US7966646B2 (en) * | 2006-07-31 | 2011-06-21 | Aruba Networks, Inc. | Stateless cryptographic protocol-based hardware acceleration |
US7861290B2 (en) | 2006-09-22 | 2010-12-28 | Oracle International Corporation | Non-invasive insertion of pagelets |
US20080148061A1 (en) | 2006-12-19 | 2008-06-19 | Hongxia Jin | Method for effective tamper resistance |
US8364975B2 (en) * | 2006-12-29 | 2013-01-29 | Intel Corporation | Methods and apparatus for protecting data |
US8621540B2 (en) | 2007-01-24 | 2013-12-31 | Time Warner Cable Enterprises Llc | Apparatus and methods for provisioning in a download-enabled system |
US8296581B2 (en) * | 2007-02-05 | 2012-10-23 | Infineon Technologies Ag | Secure processor arrangement having shared memory |
KR20080084480A (ko) | 2007-03-16 | 2008-09-19 | 삼성전자주식회사 | 매개 모듈을 이용한 디바이스간의 상호 인증 방법 및 그시스템 |
US20080244267A1 (en) * | 2007-03-30 | 2008-10-02 | Intel Corporation | Local and remote access control of a resource |
US9053323B2 (en) | 2007-04-13 | 2015-06-09 | Hewlett-Packard Development Company, L.P. | Trusted component update system and method |
US20090319804A1 (en) | 2007-07-05 | 2009-12-24 | Broadcom Corporation | Scalable and Extensible Architecture for Asymmetrical Cryptographic Acceleration |
CN102017510B (zh) * | 2007-10-23 | 2013-06-12 | 赵运磊 | 自封闭联合知识证明和Diffie-Hellman密钥交换方法与结构 |
AU2008291066A1 (en) | 2007-12-12 | 2009-07-02 | Interactivetv Pty Ltd | Method, system and apparatus to enable convergent television accessibility on digital television panels with encryption capabilities |
CN101459506B (zh) * | 2007-12-14 | 2011-09-14 | 华为技术有限公司 | 密钥协商方法、用于密钥协商的系统、客户端及服务器 |
US8826037B2 (en) * | 2008-03-13 | 2014-09-02 | Cyberlink Corp. | Method for decrypting an encrypted instruction and system thereof |
US20090280905A1 (en) * | 2008-05-12 | 2009-11-12 | Weisman Jordan K | Multiplayer handheld computer game system having tiled display and method of use |
US8756675B2 (en) | 2008-08-06 | 2014-06-17 | Silver Spring Networks, Inc. | Systems and methods for security in a wireless utility network |
US8230219B2 (en) * | 2008-08-12 | 2012-07-24 | Texas Instruments Incorporated | Reduced computation for bit-by-bit password verification in mutual authentication |
US9317708B2 (en) * | 2008-08-14 | 2016-04-19 | Teleputers, Llc | Hardware trust anchors in SP-enabled processors |
JP5390844B2 (ja) * | 2008-12-05 | 2014-01-15 | パナソニック株式会社 | 鍵配布システム、鍵配布方法 |
US20110154023A1 (en) | 2009-12-21 | 2011-06-23 | Smith Ned M | Protected device management |
DE102009059893A1 (de) * | 2009-12-21 | 2011-06-22 | Siemens Aktiengesellschaft, 80333 | Vorrichtung und Verfahren zum Absichern eines Aushandelns von mindestens einem kryptographischen Schlüssel zwischen Geräten |
US20110154061A1 (en) | 2009-12-21 | 2011-06-23 | Babu Chilukuri | Data secure memory/storage control |
JP5365502B2 (ja) * | 2009-12-24 | 2013-12-11 | 富士通株式会社 | ファイル管理装置、ファイル管理プログラム、およびファイル管理方法 |
US8327125B2 (en) | 2009-12-28 | 2012-12-04 | General Instrument Corporation | Content securing system |
US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
WO2011119985A2 (en) | 2010-03-26 | 2011-09-29 | Maxlinear, Inc. | Firmware authentication and deciphering for secure tv receiver |
CA2796331A1 (en) * | 2010-04-12 | 2011-10-20 | Interdigital Patent Holdings, Inc. | Staged control release in boot process |
US9665864B2 (en) * | 2010-05-21 | 2017-05-30 | Intel Corporation | Method and device for conducting trusted remote payment transactions |
JP2012113670A (ja) * | 2010-11-29 | 2012-06-14 | Renesas Electronics Corp | スマートメータ及び検針システム |
US20120137137A1 (en) | 2010-11-30 | 2012-05-31 | Brickell Ernest F | Method and apparatus for key provisioning of hardware devices |
US8645677B2 (en) | 2011-09-28 | 2014-02-04 | Intel Corporation | Secure remote credential provisioning |
WO2013089726A1 (en) | 2011-12-15 | 2013-06-20 | Intel Corporation | Method, device, and system for protecting and securely delivering media content |
US9497171B2 (en) | 2011-12-15 | 2016-11-15 | Intel Corporation | Method, device, and system for securely sharing media content from a source device |
CN104170312B (zh) | 2011-12-15 | 2018-05-22 | 英特尔公司 | 用于使用硬件安全引擎通过网络进行安全通信的方法和设备 |
US8856515B2 (en) | 2012-11-08 | 2014-10-07 | Intel Corporation | Implementation of robust and secure content protection in a system-on-a-chip apparatus |
US9094191B2 (en) * | 2013-03-14 | 2015-07-28 | Qualcomm Incorporated | Master key encryption functions for transmitter-receiver pairing as a countermeasure to thwart key recovery attacks |
-
2011
- 2011-12-15 CN CN201180075550.4A patent/CN104170312B/zh active Active
- 2011-12-15 EP EP11877258.1A patent/EP2792100B1/en active Active
- 2011-12-15 EP EP23219876.2A patent/EP4322465A3/en active Pending
- 2011-12-15 EP EP22166740.5A patent/EP4040717B1/en active Active
- 2011-12-15 US US13/997,412 patent/US9887838B2/en active Active
- 2011-12-15 PL PL11877258.1T patent/PL2792100T3/pl unknown
- 2011-12-15 EP EP19163482.3A patent/EP3518458B1/en active Active
- 2011-12-15 WO PCT/US2011/065069 patent/WO2013089725A1/en active Application Filing
-
2012
- 2012-12-14 TW TW101147511A patent/TWI600307B/zh active
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI508006B (zh) * | 2013-08-22 | 2015-11-11 | Rakuten Inc | Information processing device, information processing method, program, memory media |
TWI584144B (zh) * | 2014-04-14 | 2017-05-21 | 艾銳勢企業有限責任公司 | 在元件供應中之實時鑰收集 |
US9912771B2 (en) | 2014-04-14 | 2018-03-06 | Arris Enterprises Llc | Real time key collection in device provisioning |
Also Published As
Publication number | Publication date |
---|---|
EP4040717B1 (en) | 2024-01-31 |
WO2013089725A1 (en) | 2013-06-20 |
EP4040717A1 (en) | 2022-08-10 |
US20150039890A1 (en) | 2015-02-05 |
PL2792100T3 (pl) | 2021-03-22 |
CN104170312A (zh) | 2014-11-26 |
TWI600307B (zh) | 2017-09-21 |
EP4322465A3 (en) | 2024-04-17 |
US9887838B2 (en) | 2018-02-06 |
EP4322465A2 (en) | 2024-02-14 |
EP2792100B1 (en) | 2020-07-29 |
CN104170312B (zh) | 2018-05-22 |
EP2792100A1 (en) | 2014-10-22 |
EP3518458B1 (en) | 2022-04-06 |
EP2792100A4 (en) | 2015-09-09 |
EP3518458A1 (en) | 2019-07-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI600307B (zh) | 用於在網路上使用硬體保全引擎之安全通訊的方法及裝置 | |
US11323276B2 (en) | Mutual authentication of confidential communication | |
CN110995642B (zh) | 使用预共享密钥提供安全连接 | |
US11533297B2 (en) | Secure communication channel with token renewal mechanism | |
CN107210914B (zh) | 用于安全凭证供应的方法 | |
TWI715537B (zh) | 基於雲環境的加密機金鑰注入系統、方法及裝置 | |
US9467430B2 (en) | Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware | |
US9065637B2 (en) | System and method for securing private keys issued from distributed private key generator (D-PKG) nodes | |
US8953790B2 (en) | Secure generation of a device root key in the field | |
WO2016107320A1 (zh) | 网站安全信息的加载方法和浏览器装置 | |
KR20170076742A (ko) | 보안 접속 및 관련 서비스를 위한 효율적인 개시 | |
KR102128244B1 (ko) | Ssl/tls 기반의 네트워크 보안 장치 및 방법 | |
CN113422753B (zh) | 数据处理方法、装置、电子设备及计算机存储介质 | |
WO2023284691A1 (zh) | 一种账户的开立方法、系统及装置 | |
CN113592484B (zh) | 一种账户的开立方法、系统及装置 | |
US11758393B1 (en) | VPN authentication with forward secrecy | |
CN116614219A (zh) | 安全数据烧录方法、安全模块、定制装置以及存储介质 |