安全设备配对制造技术

本发明专利技术公开了与设备的安全通信相关的技术。在一个实施方案中，第一设备被配置为执行与第二设备的配对操作，以在第一设备和第二设备之间建立安全通信链路。配对操作包括从第二设备接收将由第一设备在通过安全通信链路进行的通信期间执行的固件，并且响应于固件的成功验证，建立将由第一设备和第二设备在通信期间使用的共享加密密钥。在一些实施方案中，配对操作包括接收根据固件的散列值和第二设备的公钥创建的数字签名，以及通过从该数字签名提取散列值并将所提取的散列值与所接收固件的散列值进行比较来验证固件。

【技术实现步骤摘要】
【国外来华专利技术】安全设备配对
本公开整体涉及计算机系统，并且更具体地，涉及计算设备之间的安全通信。
技术介绍
已开发了各种协议来实现设备之间的近程通信。在一些实例中，诸如BluetoothTM等协议可需要用户将两个设备配对才能使其彼此通信。这可包括用户使得两个设备能够彼此发现并将显示于一个设备上的代码输入到另一个设备中。如果所显示的代码与输入的代码匹配，则设备可完成配对过程并开始彼此通信。在该通信范例下，利用用户输入的代码来使一个设备与另一个设备彼此认证。
技术实现思路
本公开描述了在两个设备之间执行配对操作以便在设备之间建立安全通信链路的实施方案。在各种实施方案中，配对操作包括第一设备向第二设备提供固件，该第二设备在通过安全链路通信时执行该固件。在此类实施方案中，第二设备可在其建立用于与第一设备通信的共享密钥之前验证该固件。在一些实施方案中，配对操作还包括可信实体向第一设备提供签名数据，该第一设备将签名数据传送到第二设备。在此类实施方案中，签名数据以加密方式将固件的散列值绑定到第一设备的标识符(例如，第一设备的公钥)。在一些实施方案中，在验证签名数据时，第二设备使用签名数据中的标识符导出共享密钥。附图说明图1是示出了用于将两个计算设备配对的系统的一个实施方案的框图。图2是示出了将与计算设备配对的外围设备的一个实施方案的框图。图3是示出了计算设备的一个实施方案的框图。图4A和图4B是示出了配对操作的实施方案的通信图。图5是示出了与配对操作相关联的方法的一个实施方案的流程图。本公开包括对“一个实施方案”或“实施方案”的提及。出现短语“在一个实施方案中”或“在实施方案中”并不一定是指同一个实施方案。特定特征、结构或特性可以与本公开一致的任何合适的方式被组合。在本公开内，不同实体(其可被不同地称为“单元”、“电路”、其他部件等等)可被描述或声称成“被配置为”执行一个或多个任务或操作。这种表述——被配置为[执行一个或多个任务]的[实体]——在本文中用于指代结构(即物理的东西，诸如电子电路)。更具体地，这种表述用于指示该结构被布置成在操作期间执行一个或多个任务。结构可被描述成“被配置为”执行某个任务，即使该结构当前并非正被操作。“被配置为执行密码操作的安全电路”旨在涵盖例如具有在操作期间执行该功能的电路的集成电路，即使所涉及的集成电路当前并非正被使用(例如电源未连接到该电路)。因此，被描述或表述成“被配置为”执行某个任务的实体是指用于实施该任务的物理的事物，诸如设备、电路、存储有可执行程序指令的存储器等等。该短语在本文中不被用于指代无形的事物。因此，“被配置为”结构在本文中不被用于指代软件实体，诸如应用编程接口(API)。术语“被配置为”并不旨在表示“可被配置为”。例如，未经编程的FPGA不会被认为是“被配置为”执行某个特定功能，虽然其可能“可被配置为”执行该功能并且在编程之后可以“被配置为”执行该功能。所附权利要求中表述结构“被配置为”执行一个或多个任务明确地旨在对那个权利要求要素不调用35U.S.C.§112(f)。因此，所提交的本申请中没有任何权利要求是旨在要被解释为具有装置+功能要素。如果申请人在申请过程中想要援引节段112(f)，则其将利用“用于”[执行功能]“的装置”结构来表述权利要求要素。如本文所用，术语“第一”、“第二”等充当其之后的名词的标签，并且不暗指任何类型的排序(例如，空间的、时间的、逻辑的等)，除非有明确指出。例如，在具有八个处理内核的处理器中，术语“第一”处理内核和“第二”处理内核可用于指八个处理内核中的任意两个处理内核。换句话讲，“第一”处理内核和“第二”处理内核不限于例如逻辑处理内核0和1。如本文所用，术语“基于”用于描述影响确定的一个或多个因素。该术语不排除可能有附加因素可影响确定。即，确定可仅基于所指定的因素或基于所指定的因素及其他未指定的因素。考虑短语“基于B确定A”。这个短语指定B是用于确定A的因素或者其影响A的确定。这个短语并不排除A的确定也可能基于某个其他因素诸如C。这个短语还旨在涵盖A仅基于B来确定的实施方案。如本文所用，短语“基于”因此与短语“至少部分地基于”是同义的。具体实施方式本公开描述了设备彼此配对以便在设备之间实现通信的实施方案。如本文所用，术语“配对”根据其在本领域被理解的含义来解释，并且包括在两个设备之间建立通信链路的过程。如下所述，在各种实施方案中，可在依赖于可信的独立计算系统的两个设备之间执行配对操作以验证设备中的一个或两个设备的身份。如果可信计算系统能够成功地验证身份，则系统可向两个设备指示这一点，这样该两个设备可继续完成配对操作，包括交换用于通过建立的通信链路进行安全通信的共享密钥。另一方面，如果可信计算系统无法成功验证身份，则在建立通信链路之前，可中止配对操作。在一些实例中，依靠可信计算系统认证设备可能比信任用户试图配对设备更安全，尤其是在用户具有恶意意图时。在下文论述的各种实施方案中，配对操作还可包括将固件从一个设备传送到另一个设备，其中固件在通过在配对操作中建立的安全链路进行通信期间由接收设备执行。在此类实施方案中，可信计算系统可提供证明固件有效性的信息(例如，签名数据)。在一些实施方案中，接收设备可在配对操作中交换共享密钥以及执行固件之前根据提供的此信息验证所接收的固件。在一些实例中，以这种方式验证固件可通过减少接收固件的设备可能由于固件存在缺陷而受损的风险来提供附加的安全性。现在转向图1，示出了用于将设备配对的系统10的框图。在例示的实施方案中，系统10包括外围设备110、计算设备120和可信服务器130。如图所示，外围设备110可包括控制器115，并且计算设备120可包括安全区域处理器(SEP)125。在一些实施方案中，系统10可被具体实施为与图示不同。在一个实施方案中，外围设备110是被配置为针对计算设备120执行输入和/或输出操作的设备。例如，在一个实施方案中，设备110包括键盘，该键盘被配置为接收来自用户的按键信息并将该信息传送到计算设备120。在另一个实施方案中，设备110包括触摸屏，该触摸屏被配置为显示由计算设备120生成的帧以及接收用户触摸输入。在一些实施方案中，设备110还可包括生物传感器，该生物传感器被配置为收集用户生物识别数据，诸如下文相对于图2所述。在各种实施方案中，设备110被配置为脱离设备120。即，设备110最初可与一个设备120配对，然后可与另一设备120配对。在一些实施方案中，设备110还可被配置为同时与多个设备配对(即，通过已建立的链路进行通信)。在一些实施方案中，设备110被配置为经由有线互连件诸如通用串行总线(USB)耦接至设备120。在其他实施方案中，设备110被配置为经由无线互连件诸如支持BluetoothTM的一个互连件耦接至设备120。在一个实施方案中，计算设备120是被配置为使用设备110的输入/输出(I/O)功能的计算设备。因此，在设备110包括键盘的一个实施方案中，设备120可被配置为响应于在键盘上按压按键来执行各种操作。在设备110包括生物传感器的一些实施方案中，设备120可被配置为通过将所接收的生物识别数据与来自用户的先前存储的生物识别数据进行比较来认证用户。设备120可以是任何合适的本文档来自技高网...

【技术保护点】
1.一种第一设备，包括：一个或多个处理器；和存储器，所述存储器具有存储在其中的程序指令，所述程序指令能够由所述一个或多个处理器执行以使得所述第一设备：执行与第二设备的配对操作，以在所述第一设备和所述第二设备之间建立安全通信链路，其中所述配对操作包括：从所述第二设备接收将由所述第一设备在通过所述安全通信链路进行的通信期间执行的固件；以及响应于所述固件的成功验证，建立将由所述第一设备和所述第二设备在所述通信期间使用的共享加密密钥。

【技术特征摘要】
【国外来华专利技术】2016.01.10 US 62/276,933;2016.09.23 US 15/274,8361.一种第一设备，包括：一个或多个处理器；和存储器，所述存储器具有存储在其中的程序指令，所述程序指令能够由所述一个或多个处理器执行以使得所述第一设备：执行与第二设备的配对操作，以在所述第一设备和所述第二设备之间建立安全通信链路，其中所述配对操作包括：从所述第二设备接收将由所述第一设备在通过所述安全通信链路进行的通信期间执行的固件；以及响应于所述固件的成功验证，建立将由所述第一设备和所述第二设备在所述通信期间使用的共享加密密钥。2.根据权利要求1所述的第一设备，其中所述配对操作包括：从计算机系统接收根据所述固件的散列值和所述第二设备的公钥创建的数字签名；以及通过从所述数字签名中提取所述散列值并将所提取的散列值与所接收固件的散列值进行比较来验证所述固件。3.根据权利要求2所述的第一设备，其中所述配对操作包括使用所述公钥来建立所述共享加密密钥。4.根据权利要求1所述的第一设备，其中所述程序指令能够被执行以使得所述第一设备：存储值，所述值指示允许由所述第一设备执行的所述固件的最低版本；并且其中所述配对操作包括验证所接收固件的版本等于或高于所述最低版本。5.根据权利要求4所述的第一设备，其中所述程序指令能够被执行以使得所述第一设备：接收更新的值，所述更新的值指示所述固件的另一版本作为允许由所述第一设备执行的最低版本；以及使用所述更新的值替换所存储的值。6.根据权利要求1所述的第一设备，其中所述程序指令能够被执行以使得所述第一设备：执行与所述第二设备的后续配对操作，其中所述后续配对操作包括：从所述第二设备接收固件；以及验证在所述配对操作期间接收的所述固件与在所述后续配对操作期间接收的所述固件相匹配。7.根据权利要求6所述的第一设备，其中所述配对操作包括所述第一设备向所述第二设备提供基于所述第二设备的身份和在所述配对操作期间接收的所述固件的散列值生成的令牌；并且其中所述后续配对操作包括：从所述第二设备接收所述令牌；以及验证与所述令牌相关联的所述散列值与在所述后续配对操作期间接收的所述固件的散列值相匹配。8.根据权利要求6所述的第一设备，其中所述配对操作包括所述第一设备存储在所述配对操作期间接收的所述固件的散列值和所述第二设备的身份；并且其中所述后续配对操作包括：基于所存储的散列值，验证在所述后续配对期间接收的所述固件是在所述配对操作期间接收的所述固件；以及基于所存储的身份，验证在所述后续配对期间接收的所述固件来自所述第二设备。9.根据权利要求1所述的第一设备，还包括：生物传感器，所述生物传感器被配置为捕获用户的生物识别信息，其中所述程序指令能够被执行以使得所述第一设备...

【专利技术属性】
技术研发人员：T·F·沙普，C·索尔沃德，C·A·马西尼亚克，J·V·豪客，Z·F·巴比龙，J·李，
申请(专利权)人：苹果公司，
类型：发明
国别省市：美国,US