提供了一种访问控制方法和采用访问控制方法的移动终端。用于访问嵌入式系统的访问控制方法,包括:由第一认证主体执行针对访问系统的第一访问控制操作,其中,第一访问控制操作包括执行针对访问系统的第一认证;当通过第一访问控制操作时,在第一认证主体接收由与第一认证主体分开的第二认证主体执行的针对访问系统的第二访问控制操作的结果并接收认证的结果,其中,第二认证主体执行用于认证访问系统是否是由与第一认证主体分开的第二认证主体认证的访问系统的第二认证;如果第一认证和第二认证成功,则允许访问系统访问嵌入式系统。
【技术实现步骤摘要】
访问控制方法和采用访问控制方法的移动终端本申请基于在2013年3月14日提交到韩国知识产权局的第10-2013-0027433号韩国专利申请并且要求所述申请的优先权,其公开通过引用全部合并于此。
本专利技术涉及一种访问控制方法和采用访问控制方法的设备,诸如移动终端。
技术介绍
大多数嵌入式系统具有用于调试(debug)的调试端口。在使用调试设备的情况下,通过调试端口实时读取在嵌入式系统中的信息以及改变在嵌入式系统中的特定寄存器值成为可能。如果仅在开发阶段不将这样的调试端口用于调试而是用于破解固件或窃取加密密钥,则可容易地使具有安全功能(诸如数字版权管理(DRM)、全盘加密(FDE)等)的产品的安全功能无效。
技术实现思路
因此,期望提供一种具有改进的安全性能的访问控制方法。也期望提供一种具有改进的安全性能的移动终端。本专利技术的优点、主体和特征将部分地在随后的描述中被阐述,部分地将在审视下文时对本领域普通技术人员变得清楚或可从本专利技术的实践中获知。根据本专利技术的一方面,提供一种访问控制方法,包括:由第一认证主体执行针对访问系统的第一访问控制操作,其中,第一访问控制操作包括执行针对访问系统的第一认证;当通过第一访问控制操作时,在第一认证主体接收由与第一认证主体分开的第二认证主体执行的针对访问系统的第二访问控制操作的结果;当通过第一访问控制操作和第二访问控制操作时,允许访问系统访问第一认证主体。根据本专利技术的另一方面,提供一种控制通过调试端口访问移动终端的访问系统的调试的移动终端,包括:第一存储器,存储用于执行针对访问系统的认证的处理模块;第二存储器,存储针对访问系统的认证元;计数器,被配置用于对访问系统访问调试端口的次数进行计数,其中,仅可由处理模块访问在第二存储器中存储的认证元。根据本专利技术的另一方面,提供一种包括嵌入式系统的设备。所述设备包括:调试系统,被配置用于调试嵌入式系统;调试端口,被配置用于选择性地将调试系统连接到在所述设备外部的访问系统;调试访问控制装置,被配置用于当通过针对访问系统的访问控制处理时,选择性地实现访问系统经由调试端口对调试系统的访问。调试访问控制装置包括:第一存储器,存储用于执行针对访问系统的认证的处理模块;第二存储器,存储针对访问系统的认证元;计数器,被配置用于对访问系统访问调试端口的次数进行计数,其中,仅可由处理模块访问在第二存储器中存储的认证元。附图说明从结合附图的以下详细描述中,本专利技术的以上和其它目标、特征和优点将会更清楚,其中:图1是示出根据本专利技术的实施例的访问控制系统的概念示图;图2是示出图1的嵌入式系统的详细配置的框图;图3是示出根据本专利技术的实施例的访问控制方法的流程图;图4是示出根据本专利技术的另一实施例的访问控制方法的流程图;图5是示出根据本专利技术的实施例的可采用嵌入式系统的电子系统的配置的框图;图6是示出被应用于智能电话的图5的电子系统的示例的示图;图7是示出被应用于平板PC的图5的电子系统的示例的示图;图8是示出被应用于笔记本计算机的图5的电子系统的示例的示图。具体实施方式通过参照优选实施例的以下详细描述以及附图,本专利技术的优点和特征以及实现本专利技术的方法可被更容易地理解。然而,本专利技术可按照许多不同形式来实施并且不应被理解为限于在此阐述的实施例。相反地,提供这些实施例使得本公开将是彻底且完全的,并将向本领域技术人员充分地传达本专利技术的构思,并且将仅由权利要求来限定本专利技术。在附图中,为了清晰,层的厚度和区域被夸大。将理解:当元件或层被指示为“在”另一元件或层“上”或“被连接到”另一元件或层时,所述元件或层可以是直接在另一元件或层上或被直接连接到另一元件或层或者中间元件或中间层可以是存在的。与此相反,当元件被指示为“直接在”另一元件或层“上”或“被直接连接到”另一元件或层时,不存在中间元件或中间层。同样的号码始终指示同样的元件。如在此所使用,术语“和/或”包括一个或多个关联的列出的项目的任何及全部组合。术语和类似指示物在描述本专利技术的语境中(特别是在权利要求书的语境中)的使用将被理解为涵盖单数和复数,除非在这里另有指示或者显然与上下文矛盾。术语“包括”、“具有”和“包含”将被理解为开放式的术语(即,意指“包括但不限于”),除非另有注解。将理解:虽然术语“第一”、“第二”等可在此被用于描述各种元件,但是这些元件不应被这些术语限制。这些术语仅被用于使一个元件区别于另一元件。因此,例如,在不脱离本专利技术的教导的情况下,在下文中讨论的第一元件、第一组件或第一部分可被称为第二元件、第二组件或第二部分。除非另有限定,在这里使用的全部技术术语和科学术语具有由本专利技术所属领域普通技术人员通常理解的相同含义。注意:在这里提供的任何以及全部示例或示例性术语的使用仅被期望更好地示出本专利技术而并非限制本专利技术的范围,除非另有指示。此外,除非另有限定,在一般使用的词典中限定的全部术语不会被过度解读。在下文中,将参照附图更详细地描述本专利技术的优选实施例。图1是示出根据本专利技术的实施例的访问控制系统的概念示图。参照图1,访问控制系统包括嵌入式系统100、访问系统200和认证服务器300。访问系统200可访问嵌入式系统100以便通过在嵌入式系统100中包括的调试端口110来执行调试。例如,如所示,可在计算系统中包括访问系统200,但不限于此。嵌入式系统100和认证服务器300可针对访问调试端口110的访问系统200来执行访问控制以便执行调试,并且如果访问控制处理的结果是成功的则对访问系统200的调试授权。具体而言,在本实施例中,嵌入式系统100和认证服务器300中的每个均可作为认证主体来执行访问控制。具体而言,嵌入式系统100可作为第一认证主体针对访问调试端口110的访问系统200来执行第一访问控制操作,认证服务器300可仅在由嵌入式系统100执行的第一访问控制操作已经成功的情况下针对访问系统200执行第二访问控制操作。访问系统200可仅在第一访问控制操作和第二访问控制操作二者都已经成功的情况下通过调试端口110来执行调试。稍后将详细描述这样的访问控制方法。在本专利技术的一些实施例中,例如,可在移动终端中包括嵌入式系统100。更具体地讲,可在用于通信的移动终端(诸如智能电话)中包括嵌入式系统100。然而,本专利技术不限于此,并且可在没有限制的情况下改变在其上安装嵌入式系统100的电器的种类。图2是示出图1的嵌入式系统的详细配置的框图。参照图2,嵌入式系统100可包括调试系统120、第一至第三存储器130、140和150以及访问计数器160。调试系统120可控制通过调试端口110访问嵌入式系统100的访问系统200的调试操作。也就是说,调试系统120可用来控制整个系统,使得在通过调试端口110访问调试系统120的访问系统200最终被授权执行调试的情况下,访问系统200执行调试操作。可在第一存储器130中提供针对通过调试端口110进行访问的访问系统200执行访问控制的处理模块132。处理模块132可控制作为认证主体的嵌入式系统100执行的整个访问控制操作。这里,如在实施例中使用的术语“模块”意指执行特定任务的软件组件或硬件组件,诸如FPGA或ASIC。然而,“模块”并非意味着限于软件或硬件。“模块”可被有利地配置为位于可寻址存储介本文档来自技高网...
【技术保护点】
一种访问控制方法,包括:由第一认证主体执行针对访问系统的第一访问控制操作,其中,第一访问控制操作包括执行针对访问系统的第一认证;当通过第一访问控制操作时,在第一认证主体接收由与第一认证主体分开的第二认证主体执行的针对访问系统的第二访问控制操作的结果;以及当通过第一访问控制操作和第二访问控制操作时,允许访问系统访问第一认证主体。
【技术特征摘要】
2013.03.14 KR 10-2013-00274331.一种访问控制方法,包括:由第一认证主体执行针对访问系统的第一访问控制操作,其中,第一访问控制操作包括执行针对访问系统的第一认证;当通过第一访问控制操作时,在第一认证主体接收由与第一认证主体分开的第二认证主体执行的针对访问系统的第二访问控制操作的结果;以及当通过第一访问控制操作和第二访问控制操作时,允许访问系统访问第一认证主体,其中,由第一认证主体的第一存储器存储的处理模块执行针对访问系统的认证,以及使用第一认证主体的第二存储器存储的认证元执行针对访问系统的认证,其中,仅可由处理模块访问在第二存储器中存储的认证元。2.如权利要求1所述的访问控制方法,还包括:在第一认证主体接收针对第一认证的第一认证信息,其中,执行第一认证的步骤包括:验证在第一认证信息中包括的第二认证主体的公共密钥证书、访问系统的公共密钥证书以及从访问系统提供的电子签名是否有效。3.如权利要求2所述的访问控制方法,还包括:将针对第二认证的第二认证信息传输到访问系统,其中,第二认证信息包括第一认证主体的ID和访问系统的ID。4.如权利要求3所述的访问控制方法,其中,第一访问控制操作还包括:确认访问系统访问第一认证主体的次数,其中,当访问数量等于或小于预定值并且第一认证成功的,第二认证信息被传输到访问系统。5.如权利要求4所述的访问控制方法,其中,当访问数量超过所述预定值时,第二认证信息不被传输到访问系统而是认证处理被终止。6.如权利要求3所述的访问控制方法,其中,访问系统是计算机系统。7.如权利要求3所述的访问控制方法,其中,访问系统通过第一认证主体的调试端口来访问第一认证主体。8.如权利要求3所述的访问控制方法,其中,第一认证主体被包括在移动终端中,第二认证主体包括数据库。9.一种控制通过调试端口访问移动终端的访问系统的调试的移动终端,包括:第一存储器,存储用于执行针对访问系统的认证的处理模块;第二存储器,存储针对访问系统的认证元;以及计数器,被配置用于对访问系统访问调试端口的次数进行计数,其中,仅可由处理模块访问在第二存储器中存储的认证元。10.如权利要求9所述的移动终端,其中,认证元包括:移动终端...
【专利技术属性】
技术研发人员:康明熙,朴东珍,赵宰翊,
申请(专利权)人:三星电子株式会社,
类型:发明
国别省市:韩国;KR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。