基于设备验证的有条件的有限服务授权的制作方法
基于设备验证的有条件的有限服务授权的制作方法
【专利摘要】本文描述了用于接受设备的能力证明以确定在操作状态期间是否授权对服务的访问的装置、计算机实现的方法、系统、设备、以及计算机可读介质的实施例。在各种实施例中,响应于证明的能力的验证,可以有条件地授权对所寻求的服务的访问。在各种实施例中,在操作状态期间,可以在有限的基础上授权对服务的访问。
【专利说明】基于设备验证的有条件的有限服务授权
【技术领域】
[0001]概括地说,本发明的实施例涉及数据处理的【技术领域】,具体地说,涉及基于设备验证的有条件的有限服务授权,例如在计划的或非计划的事件之前、期间和/或之后。
【背景技术】
[0002]本文所提供的背景描述是为了大体呈现本公开的上下文的目的。就本【背景技术】章节中的描述的范围而言,当前被指名的
【发明者】的工作以及在提交申请时不构成现有技术的该描述的各方面,既不明确又不隐含地承认其为针对本公开的现有技术。除非本文另有指示,本章节中所描述的方法不是对于本公开中的权利要求的现有技术,并且不因包含在本章节中被承认为是现有技术。
[0003]在危机时刻,例如在自然灾害之后,或在其他计划的或非计划的事件之前、期间或之后,对服务(例如访问通信网络)的需求可能会超过这些服务的可用性。例如,紧急救援人员,例如第一响应者(例如,消防员、警察、医护人员)可能由于普通用户对蜂窝电话网络的高容量利用率,而难以在危机期间访问蜂窝电话网络。
【专利附图】
【附图说明】
[0004]通过以下结合附图的详细描述将容易理解实施例。为了促进该描述,相似的附图标记指代相似的结构元件。在附图的图中通过示例的方式而不是通过限制的方式来说明实施例。
[0005]图1示意性地示出了根据各种实施例的在操作状态期间,第一响应者设备可能如何提供各种类型的信息以获得对服务的访问的示例。
[0006]图2示意性地描绘了根据各种实施例的可以由与服务提供者相关联的计算设备实现的示例方法。
[0007]图3示意性地描绘了根据各种实施例的可以由第一响应者设备实现的示例方法。
[0008]图4示意性地描绘了根据各种实施例的可以在其上实现公开的方法和计算机可读介质的示例计算设备。
【具体实施方式】
[0009]在下面的详细描述中,参考组成其一部分的附图,其中贯穿全文中的相似标号标明相似的部分,并且通过说明可以被实践的实施例的方式显示在附图中。应当理解的是,可以在不脱离本发明的范围使用其他的实施例以及作出结构或逻辑上的改变。因此,下面的详细描述不应被视为具有限制意义,并且实施例的范围由所附权利要求及其等同物限定。
[0010]各种操作可以以最有助于理解权利要求所有保护的主题的方式,被描述为多个依次的离散动作或操作。然而,描述的顺序不应被解释为暗示这些操作一定是依照顺序的。尤其是,这些操作可以不按照呈现的顺序来执行。描述的操作可以按照与描述的实施例不同的顺序来执行。可以执行各种另外的操作和/或在另外的实施例中省略描述的操作。
[0011]出于本公开的目的,短语“A和/或B”是指(A)、⑶、或(A和B)。出于本公开的目的,短语“A、B、和/或C”是指(A)、⑶、(C)、(A和B)、(A和C)、(B和C)、或(A、B和C)。
[0012]该描述可以用短语“在一实施例中”或“在实施例中”,其可以每个指一个或多个相同或不同的实施例。此外,术语“包括”、“包含”、“具有”以及类似物,在相对于本公开的实施例中使用时是同义的。
[0013]如本文所用,术语“模块”可以指、成为其中的一部分、或包括特定用途集成电路(“ASIC”)、电子电路、处理器(共享、专用、或组)和/或存储器(共享、专用、或组),其执行一个或多个软件或固件程序、组合逻辑电路、和/或其他合适的部件,提供所描述的功倉泛。
[0014]现在参照图1,在各种实施例中,设备10(配置了本公开所教导的适用部分)可以在操作状态期间(例如危机)寻求对服务的访问,其中在有限的基础上将对服务进行授权。在各种实施例中,服务可以是对通信网络的优先访问,例如蜂窝网络,并且在一个或多个操作状态(例如,危机)期间,对其的访问可以在有条件的和/或有限的基础上被授权。在各种实施例中,“优先访问”可以包括高于提供给其他设备的更高级别的服务质量(“QoS”)。
[0015]在各种实施例中,“操作状态”可能存在于事件发生之前、期间和/或之后,例如紧急事件(例如,自然灾害、火灾、暴动、恐怖袭击等),在特定的位置或在特定的区域之内。在各种实施例中,事件可以是计划的(例如,体育赛事、政治集会、示威等)或非计划的(例如,自然灾害、恐怖袭击、停电等)。在各种实施例中,设备10可以是移动电话(例如,智能电话)或与该位置或区域相关联的第一响应者(例如警察、消防员或医护人员)的其他计算设备。例如,区域可以由特定管辖区的警察进行监管,并且设备10可以是一种类型的通信设备,例如发给那些警察的移动电话。
[0016]设备10可以从所寻求的服务提供者被远程地布置。例如,在图1中,设备10从安全计算设备12被远程地布置。在各种实施例中,安全计算设备12可以是器具或其他计算设备,如在3GPP长期演进(“LTE”)版本10(2011年3月)(“LTE标准”)中描述的演进节点B( “eNB”),其配置了本公开的教导的适用的部分以充当服务提供者14的看门人。在各种实施例中,安全计算设备12可以实现任何数量的其他无线标准或协议,包括但不限于 W1-Fi (IEEE 802.11 家族)、WiMAX (IEEE 802.16 家族)、EV-DO, HSPA+、HSDPA+、HSUPA+、EDGE、GSM、GPRS、CDMA、TDMA, DECT、蓝牙、它们的衍生物、以及被指定为3G、4G、5G及其外的任何其他无线协议。
[0017]在各种实施例中,提供者14可以包括电信公司的一个或多个计算设备(其可以或可以不配置本公开教导的适用部分),例如蜂窝网络提供者。为了执行看门人的角色,在各种实施例中,安全计算设备12可以接收来自设备10的各种类型的信息,并且在使用该信息执行各种检查之后,有条件地对设备10所寻求的服务授权访问。在各种实施例中,代替独立的看门人安全计算设备12,提供者14本身可以在操作状态期间担当看门人,例如在危机时刻期间。
[0018]在各种实施例中,由设备10提供给安全计算设备12的信息可以包括设备10的能力证明。各个实施例中,能力证明可以包括硬件能力证明,并且可以由设备10的受信分区18作出。在各种实施例中,受信分区18可以包括一个或多个部件(例如,存储器、处理器、执行应用,等等),对这些部件的访问可以被限制或约束到各种其他部件。例如,受信分区18对一个或多个操作系统、设备驱动和/或一个或多个应用来说可以是不可访问的。虽然不是必需的,在各种实施例中,例如在图1中显示的实施例,受信分区18可以包括受信平台模块(“TPM”)16。虽然也并不是必需的,在各种实施例中,例如在图1中显示的实施例,设备10的受信分区18可以包括由加利福尼亚州的圣克拉拉的英f寺尔?公司开发的受信执行技术(Trusted Execut1n Technology, “TXT”)硬件部件 19。
[0019]在各种实施例中,安全计算设备12可以被配置为:响应于由设备10通过需要的方式对证明的能力进行验证而有条件地对设备10所寻求的服务进行授权。在各种实施例中,安全计算设备12可以通过第三方促进能力证明。例如,在图1中,安全计算设备12可以将由设备10证明的硬件能力转发到能力证明验证计算设备20 (其可以或可以不配置本公开的教导的适用部分),其可以验证证明的硬件能力。
[0020]在各种实施例中,安全计算设备12可以基于由设备10作出的能力证明的验证(例如,由能力证明验证计算设备20)是否表明设备10是第一响应者设备,有条件地对设备10所寻求的服务进行授权。例如,当操作状态存在(例如,可以由安全计算设备12和/或与提供者14相关联的一个或多个计算设备上的状态值表明)时,在此期间,在有条件的或有限的基础上对服务进行授权,如果由设备10证明的能力表明它是第一响应者设备,例如发给消防员的一种类型或类别的移动电话,安全计算设备12可以授权设备10对服务的访问(例如,对蜂窝网络的优先访问)。
[0021]在各种实施例中,设备(例如设备10)可以基于除了或替代设备10的硬件能力的其他信息而被有条件地授权对服务的访问。例如,安全计算设备12可以基于设备10的用户标识(未示出)有条件地对设备10所寻求的服务进行授权。安全计算设备12可以接受设备10的用户凭证,并且可以基于该凭证的认证是否表明该用户是第一响应者(例如警察或消防员),有条件地对所寻求的服务进行授权。在各种实施例中,认证可以不仅包括确定用户是否是第一响应者,而且包括确定第一响应者的凭证是否仍然有效或已被吊销。凭证可以是与用户相关联的各种类型的信息,例如由用户选择或分配给用户的个人识别号码(“PIN”),或其他类型的用户专有信息,包括生物统计数据(例如视网膜或指纹数据)。例如,设备10可以提示用户输入凭证,例如,通过输入PIN或在指纹读取器上按压手指。
[0022]在各种实施例中,响应于安全计算设备12从设备10接受的一次性密码的确认,设备(例如设备10)可以被有条件地授权对服务的访问(例如,通过安全计算设备12)。在各种实施例中,可以在设备10的受信分区18中生成该一次性密码(类似于证明的硬件能力)。例如,设备10可以配置有一次性密码生成器22,其在图1中包括由加利福尼亚州圣克拉拉的英特尔?公司开发的身份保护技术(Identity Protect1n Technology, “ IPT”),
以生成和/或提供一次性密码。虽然显示在图18中的受信分区之内,在各种实施例中,一次性密码生成器22可以在设备10的不同的受保护的分区中,或设备10的任何受保护的分区以外。在各种实施例中,安全计算设备12可以促进由第三方进行的一次性密码确认,例如在图1中的一次性密码确认计算设备24(其可以或可以不配置有本公开的教导的适用部分)。
[0023]在各种实施例中,在用户接收到设备(例如设备10)后,用户可以用一次性密码确认计算设备24给设备10登记。在各种实施例中,用户还可以获得合适的用户凭证,例如,使用一次性密码确认计算设备24和/或安全计算机系统12。例如,用户可以登录到与一次性密码确认计算设备24相关联的网站,并请求在该用户的设备10上配置一次性密码功能。同时,在各种实施例中,用户还可以将凭证(例如PIN和/或用户名)与一次性密码相关联。
[0024]在各种实施例中,设备(例如设备10)可以基于设备10提供的唯一标识符,被(例如,由安全计算设备12)有条件地授权对服务的访问。例如,在各种实施例中,平台嵌入式不对称令牌(Platform Embedded Asymmetrical Token,或“PEAT”)可以被存储在设备 10的受信分区18中,并且除了或替代各种其他类型的信息,平台嵌入式不对称令牌可以被用于有条件地授权设备10对服务的访问。
[0025]在各种实施例中,安全计算设备12可以基于各种类型的信息的组合,有条件地授权对设备10的访问。例如,仅响应于由设备10证明的能力的验证,安全计算设备12可以有条件地授权对服务的访问。在各种实施例中,响应于由设备10证明的能力的验证,并响应于与设备10的用户相关联的凭证的认证,安全计算设备12可以有条件地授权对服务的访问。在各种实施例中,响应于与设备的用户相关联的凭证的认证,以及响应于与设备10相关联的一次性密码的确认,安全计算设备12可以基于由设备10证明的能力的验证有条件地授权对服务的访问。在各种实施例中,响应于与设备的用户相关联的凭证的认证,以及响应于与设备10相关联的一次性密码的确认,安全计算设备12可以有条件地授权对服务的访问。在各种实施例中,响应于由设备10证明的能力的验证,以及与设备10相关联的一次性密码的确认,可以有条件地授权对服务的访问。在有条件地授权对服务的访问前,可以检查信息类型的任何其他组合。
[0026]在图2中显示了可以由设备(例如安全设备12)实现的示例方法200。在方框202处,在特定的操作状态期间(例如,危机期间),寻求对服务的访问的远程布置的设备(例如,设备10)的能力证明,可以被(例如,由安全计算设备12)接受。在方框204处,证明的能力可以被(例如,安全计算设备12通过第三方(例如能力证明验证计算设备20(例如,其可以配置有TXT或类似的技术)))验证。如果证明的能力不能被验证(例如,设备10没有被注册为第一响应者设备),则方法200可以前进到方框206。远程布置的设备可能被(例如,由安全计算设备12)拒绝访问所寻求的服务,并且方法200可以结束。
[0027]然而,如果证明的能力被验证,则在方框208处,远程布置的设备的用户的凭证可以被(例如,由安全计算设备12)接受。例如,用户可以提供可以用于认证该用户(例如,作为第一响应者)的PIN、视网膜数据、指纹数据或类似物。在方框210处,凭证可以被(例如,由安全计算设备12自身或经由第三方(未示出))认证,如果该凭证不能被认证,则方法可以前进到方框206。该远程布置的设备对服务的访问可能会被(例如,由安全计算设备12)拒绝,并且方法200可以结束。
[0028]然而,如果所提供的凭证被认证,则在方框212处,来自远程布置的设备的一次性密码可以被(例如,由安全计算设备12)接受。在方框214处,一次性密码可以经由第三方(例如一次性密码确认计算设备24)被(例如,由安全计算设备12)确认。如果一次性密码不能被确认,则方法200可以前进到方框206。该设备对服务的访问可能被(例如,由安全计算设备12)拒绝,并且方法200可以结束。然而,如果一次性密码被确认,则在方框216处,对服务的访问可以被(例如,由安全计算设备12)授权给远程布置的设备。授权访问之后,方法可以结束。
[0029]在图2的方法200中,在提供对服务的访问之前检查三条信息(远程布置的设备的能力、用户凭证、一次性密码)。然而,如上面所讨论的,这不是限制性的。在各种实施例中的方法可以包括检查由方法200检查的任何一条、两条或三条信息。另外,可以以与图2中所显示的顺序不同的顺序检查这些信息。另外或替代地,可以基于对给定的设备成功检查过的信息条数而授权对服务的不同级别的访问(例如,蜂窝网络上的QoS的不同级别)。
[0030]图3描绘了可以在设备(例如图1中的设备10)上实现的示例方法300。在方框302处,连接过程可以被(例如,设备10)发起。例如,在方框304处,能够(例如,由设备10)确定是否存在特定的操作状态(例如,危机状态)。例如,在发起连接后,设备10可以查询(例如,使用安全计算设备12)是否存在操作状态。如果操作状态不存在,则在方框306处,正常的连接过程可以被(例如,由设备10)利用。在这种情况下,安全计算设备12可以简单地在设备10和提供者14的一个或多个计算设备之间传递消息,和/或重定向设备10以直接与提供者14的一个或多个计算设备交换消息。在方框306之后,方法300可以结束。
[0031]然而,如果存在特定的操作状态(例如,危机),则在方框308处,设备10可以传输(例如,至安全计算设备12)设备10的能力(例如,硬件)证明。例如,设备10可以从TPM16提供其硬件能力的远程证明(例如,至安全计算设备12)。如果证明的能力被(例如,由在图2的方框204处的安全计算设备12)验证,则在方框310处,对用户凭证的请求可能会或可能不会被传输(例如,由安全计算设备12至设备10)。
[0032]如果没有传输对用户凭证的请求,则在各种实施例中,在方框312处,设备10可以访问它所寻求的服务。这可能发生在安全计算设备12需要仅仅验证硬件能力以提供对服务的访问之处。在方框312之后,方法300可以结束。
[0033]然而,如果传输了对用户凭证的请求,则在各种实施例中,在方框314处,设备10可以提供(例如,至安全计算设备12)用户凭证。例如,设备10的用户可以使用设备10的键盘输入PIN码。在各种实施例中,设备10可以包括视网膜或指纹读取装置,其可以从用户处收集视网膜或指纹数据作为凭证。
[0034]如果用户凭证被(例如,由在图2的方框210处的安全计算设备12)认证,则在各种实施例中,在方框316处,对一次性密码的请求可能会或可能不会被(例如,由安全计算设备12)传输至设备10。如果对一次性密码的请求没有被传输,则在各种实施例中,方法300可以前进到方框312,并且设备10可以访问该服务。这可能发生在安全计算设备12需要硬件能力证明和用户凭证而不是一次性密码来取得对该对服务的访问的实施例中。在这样的实施例中,在方框312之后,方法300可以结束。然而,如果一次性密码被请求,则在各种实施例中,在方框318处,设备10可以提供(例如,从受保护的IPT模块22)该一次性密码。如上面所讨论的,在各种实施例中,安全计算设备12可以确认一次性密码(例如,通过第三方(例如在方框214处的一次性密码确认计算设备24))。假设一次性密码被确认,则在方框312处,设备10可以被许可访问该服务。在方框312之后,方法300可以结束。
[0035]虽然本文描述的实施例和示例主要涉及在可能表明危机的操作状态期间提供对服务的优先访问给第一响应者,公开的技术可以在其他场景中被实现。例如,公司可以提供例如访问公司内部网的服务。在特定的操作状态期间(例如,在合并或在季度末),设备(例如发给公司的高层管理人员的移动电话、膝上计算机或计算平板)可以被授权对公司内部网的优先访问。
[0036]为清晰起见,各种术语已被用于特定的上下文中,并且可以与其他术语进行互换。例如,“验证”已被用于描述如何检查设备的硬件能力。“认证”已被用于描述如何检查用户的凭证。以及“确认”已被用于描述如何检查一次性密码。然而,这些单独的术语并不意味着限制如何在这些类型的信息上执行检查。
[0037]图4示出了根据各个实施例的适于用作设备10或安全计算系统12的示例计算设备400(其也可以被称为系统)。该计算设备可以包括多个部件,包括但不限于印刷电路板(“PCB”)402、处理器404和至少一个通信芯片406。在各种实施例中,处理器404可以是处理器核心。在各种实施例中,所述至少一个通信芯片406也可以被物理地和电气地耦合到处理器404 (例如,经由PCB 402)。在进一步的实现中,通信芯片406可以是处理器404的一部分。
[0038]取决于其应用,例如,如设备10或安全计算机系统12,计算设备400可以包括可以被或可以不被物理地和电气地耦合到PCB 402的其他部件。这些其他部件包括但不限于:存储器控制器407、易失性存储器(例如,动态随机存取存储器408,也称为“DRAM”)、非易失性存储器(例如,只读存储器410,也被称为“ROM”)、闪存412、图形处理器414、数字信号处理器(未示出)、加密处理器(未示出)、输入/输出(“I/O”)控制器416、天线418、显示器(未示出)、触摸屏显示器420、触摸屏控制器422、电池424、音频编解码器(未示出)、视频编解码器(未示出)、功率放大器426、全球定位系统(“GPS”)设备428、指南针430、加速度计(未示出)、陀螺仪(未示出)、扬声器432、照相机434、以及大容量存储设备(例如硬盘驱动器、固态驱动器、压缩盘(“⑶”)、数字通用光盘(“DVD”))(未示出),等等。在各种实施例中,处理器404可以与其他部件(例如存储器控制器407和/或I/O控制器416)集成在同一管芯上,以形成片上系统(“SoC”)。
[0039]在各种实施例中,易失性存储器(例如,DRAM 408)、非易失性存储器(例如,ROM410)、闪存412和大容量存储设备可以包括编程指令,被配置以响应于由处理器404执行,使得计算设备400实践方法200和/或300的所有或被选择的方面。例如,一个或多个存储器部件,例如易失性存储器(例如,DRAM 408)、非易失性存储器(例如,ROM 410)、闪存412、以及大容量存储设备可以包括被配置以实践所公开的技术(例如方法200和/或300的所有或被选择的方面)的控制模块436的暂时的和/或持久的副本。
[0040]通信芯片406可以启动有线和/或无线通信,用于传送数据至和从计算设备400。术语“无线”及其派生词可以用于描述电路、设备、系统、方法、技术、通信信道等,其可以通过使用调制的电磁辐射经过非固态介质来传达数据。该术语不暗示相关联的设备不包含任何线,尽管在一些实施例中它们可能没有。通信芯片406可以实现任何数量的无线标准或协议,包括但不限于:W1-Fi (IEEE 802.11 家族)、WiMAX(IEEE 802.16 家族)、IEEE 802.20、长期演进(“LTE”)、Ev-DO, HSPA+, HSDPA+, HSUPA+, EDGE、GSM、GPRS、CDMA、TDMA, DECT、蓝牙、它们的衍生物、以及被指定为3G、4G、5G及其外的任何其他无线协议。计算设备400可以包括多个通信芯片406。例如,第一通信芯片406可以专用于短距离无线通信(例如W1-Fi和蓝牙)且第二通信芯片406可以专用于长距离无线通信(例如GPS、EDGE、GPRS、CDMA、WiMAX、LTE、EV-DO 等)。
[0041]计算设备400的处理器404可以包括封装在处理器404内的集成电路管芯。在各种实施例中,处理器404的集成电路管芯可以包括一个或多个设备,例如晶体管或金属互连,其被形成以使用本文描述的一个或多个技术来促进ECC码字的迭代译码。术语“处理器”可以指处理来自寄存器和/或存储器的电子数据以将该电子数据转换成可以被存储在寄存器和/或存储器中的其他电子数据的任何设备或设备的一部分。
[0042]通信芯片406还可以包括封装在通信芯片406之内的集成电路管芯。在各种实施例中,通信芯片406的集成电路管芯可以包括一个或多个设备,例如晶体管或金属互连,其被形成以促进ECC码字的迭代译码。
[0043]在各种实现中,计算设备400可以是膝上计算机、上网本、笔记本、超级本、智能电话、计算平板、个人数字助理(“PDA”)、超移动PC、移动电话、台式计算机、服务器、打印机、扫描仪、监视器、机顶盒、娱乐控制单元(例如,游戏控制台)、数字照相机、便携式音乐播放器、或数字录像机。在进一步的实现中,计算设备400可以是处理数据的任何其他电子设备。
[0044]本文描述了装置、计算机实现的方法、系统、设备、以及计算机可读介质的实施例,用于接受设备的能力证明,以确定在操作状态期间是否授权对服务的访问。在各种实施例中,可以响应于证明的能力的验证来有条件地授权对所寻求的服务的访问。在各种实施例中,在操作状态期间,可以在有限的基础上授权对服务的访问。
[0045]在各种实施例中,能力证明可以包括硬件能力证明。在各种实施例中,证明的能力的验证可以包括通过第三方进行证明的能力的验证。在各种实施例中,证明的能力的验证可以包括使用受信执行技术进行证明的能力的验证。
[0046]在各种实施例中,服务可以包括对通信网络的优先访问。在各种实施例中,所寻求的服务可以基于所述能力证明是否表明该设备是第一响应者设备而被有条件地授权。在各种实施例中,所寻求的服务可以另外地基于该设备的用户的身份而被有条件地授权。在各种实施例中,该设备的用户凭证可以被接受。在各种实施例中,所寻求的服务可以另外地基于凭证的认证是否表明该用户是第一响应者而被有条件地授权。
[0047]在各种实施例中,来自设备的一次性密码可以被接受。在各种实施例中,所寻求的服务可以另外地响应于一次性密码的确认而被有条件地授权。在各种实施例中,一次性密码可以由受信分区中的身份保护技术提供。
[0048]在各种实施例中,设备的控制模块,例如移动电话、平板计算机、以及其他设备可以在操作状态期间,将系统的能力证明从授信分区传输到与服务的提供者相关联的计算系统。在各种实施例中,响应于证明的能力的验证,控制模块可以从与服务的提供者相关联的计算系统接收对服务的访问有条件的授权。
[0049]虽然出于描述的目的本文说明和描述了某些实施例,各种各样的通过计算以达到相同目的的替代和/或等效实施例或实现可以取代显示和描述的实施例而不脱离本公开的范围。本申请旨在涵盖本文所讨论的实施例的任何改变或变化。因此,其明显旨在,本文描述的实施例仅由权利要求及其等同物限定。
[0050]其中公列举“一”或“第一”元件或其等价物,这样的公开包括一个或多个这样的元件,既不要求也不排除两个或更多的这样的元件。此外,除非另有具体说明,用于识别的元件的序数标号(例如,第一,第二或第三)被用于在元件之间进行区分,而不是表明或暗示需要的或限制的这些元件的数量,也没有表明这些元件的特定位置或顺序。
【权利要求】
1.至少一种计算机可读介质,包括在其中具体化的计算机可读代码,所述计算机可读代码包括指令,其被配置为响应于装置执行所述指令,使所述装置能够接受设备的能力证明,用于确定在操作状态期间,是否授权对服务的访问,以及响应于证明的能力的验证,有条件地授权对所寻求的服务的访问,其中在所述操作状态期间,在有限的基础上授权对所述服务的访问,以及其中所述设备是距所述装置远程布置的。
2.如权利要求1所述的至少一种计算机可读介质,其中所述能力证明包括硬件能力证明。
3.如权利要求1所述的至少一种计算机可读介质,其中所述证明的能力的验证包括通过第三方对所述证明的能力进行验证。
4.如权利要求1所述的至少一种计算机可读介质,其中所述证明的能力的验证包括使用受信执行技术对所述证明的能力进行验证。
5.如权利要求1所述的至少一种计算机可读介质,其中所述服务包括对通信网络的优先访问。
6.如权利要求1-5中任一项所述的至少一种计算机可读介质,其中所述指令响应于由所述装置执行,进一步使所述装置能够基于所述能力证明是否表明所述设备是第一响应者设备而有条件地授权所述寻求的服务。
7.如权利要求1-5中任一项所述的至少一种计算机可读介质,其中所述指令响应于由所述装置执行,进一步使所述装置能够另外地基于所述设备的用户身份而有条件地授权所述寻求的服务。
8.如权利要求7所述的至少一种计算机可读介质,其中所述指令响应于由所述装置执行,进一步使所述装置能够接受所述设备的用户的凭证,以及另外地基于所述凭证的认证是否表明所述用户是第一响应者而有条件地授权所述寻求的服务。
9.如权利要求1-5中任一项所述的至少一种计算机可读介质,其中所述指令响应于由所述装置执行,进一步使所述装置能够接受来自所述设备的一次性密码,以及另外地响应于所述一次性密码的确认而有条件地授权所述服务。
10.如权利要求9所述的至少一种计算机可读介质,其中所述一次性密码由受信分区中的身份保护技术提供。
11.一种计算机实现的方法,包括: 由计算设备确定存在操作状态,其中在所述操作状态期间,在有限的基础上授权对服务的访问; 由所述计算设备接受与寻求对所述服务的访问的设备的用户相关联的凭证,所述设备距所述装置远程布置; 由所述计算设备接受一次性密码;以及 响应于所述凭证的认证以及所述一次性密码的确认,以及响应于确定存在操作状态,由所述计算设备有条件地授权对所寻求的服务的访问。
12.如权利要求11所述的计算机实现的方法,其中所述一次性密码的确认包括使用身份保护技术进行确认。
13.如权利要求11所述的计算机实现的方法,进一步包括由所述计算设备基于所述凭证的所述认证是否表明所述用户是第一响应者而有条件地授权所述寻求的服务。
14.如权利要求11所述的计算机实现的方法,其中所述服务包括对通信网络的优先访问。
15.如权利要求11-14中任一项所述的计算机实现的方法,进一步包括: 由所述计算设备接受所述设备的能力证明,用于在所述操作状态期间确定是否授权对所述寻求的服务的访问;以及 由所述设备另外地响应于所述证明的能力的验证而有条件地授权对所述寻求的服务的访问。
16.如权利要求15所述的计算机实现的方法,其中所述能力证明包括硬件能力证明。
17.如权利要求15所述的计算机实现的方法,进一步包括:由所述计算设备另外地基于所述能力证明是否表明所述设备是第一响应者设备而有条件地授权对所述寻求的服务的访问。
18.如权利要求15所述的计算机实现的方法,其中所述证明的能力的验证包括使用第三方对所述证明的能力进行验证。
19.如权利要求15所述的计算机实现的方法,其中所述能力证明包括使用受信执行技术进行能力证明。
20.至少一种机器可读介质,包括多条指令,所述指令响应于在装置上被执行,而促使所述装置实现如权利要求11-14中任一项所述的方法。
21.一种装置,被配置以执行如权利要求11-14中任一项所述的方法。
22.—种系统,包括: 一个或多个处理器; 操作地耦合到所述一个或多个处理器的存储器; 受信分区;以及 由所述一个或多个处理器操作的控制模块,用于在操作状态期间,从所述受信分区传输所述系统的能力证明至与服务的提供者相关联的计算系统,以及响应于证明的能力的验证,从与所述服务的提供者相关联的所述计算系统接收对所述服务的访问的有条件的授权,其中在所述操作状态期间,在有限的基础上对服务进行授权。
23.如权利要求22所述的系统,其中证明的能力的验证包括通过第三方对所述证明的能力进行验证。
24.如权利要求22所述的系统,其中所述能力证明包括硬件能力证明。
25.如权利要求24所述的系统,其中来自所述受信分区的所述能力证明包括由所述受信分区内的受信执行技术的部件进行能力证明。
26.如权利要求22所述的系统,其中所述服务包括对通信网络的优先访问。
27.如权利要求22所述的系统,其中所述能力证明表明所述系统是否是第一响应者系统。
28.如权利要求22-27中任一项所述的系统,其中所述控制模块进一步传输所述系统的用户凭证至与所述提供者相关联的所述计算系统,以及另外地响应于所述凭证的认证是否表明所述用户是第一响应者,而从与提供者相关联的所述计算系统接收对所述服务的访问的有条件的授权。
29.如权利要求22-27中任一项所述的系统,其中所述控制模块进一步传输来自所述受信分区的一次性密码至与所述提供者相关联的所述计算系统,以及另外地响应于所述一次性密码的确认,而从与所述提供者相关联的所述计算系统接收由所述系统对所述服务的访问的有条件的授权。
30.如权利要求29所述的系统,其中所述一次性密码由身份保护技术提供。
31.如权利要求22-27中任一项所述的系统,进一步包括触摸屏显示器。
32.如权利要求22-27中任一项所述的系统,进一步包括操作地耦合到所述一个或多个处理器的全球定位系统设备。
33.一种系统,包括: 一个或多个处理器; 操作地耦合到所述一个或多个处理器的存储器; 一次性密码生成器;以及 由所述一个或多个处理器操作的控制模块,用于确定是否存在操作状态,其中在所述操作状态期间,在有限的基础上对服务的访问进行授权,响应于确定存在所述操作状态,所述控制模块进一步从所述一次性密码生成器传输一次性密码至与服务的提供者相关联的计算机系统,以及响应于所述一次性密码的确认,在所述操作状态期间,从与所述提供者相关联的所述计算机系统接收对所述服务的访问的有条件的授权。
34.如权利要求33所述的系统,其中所述一次性密码由身份保护技术提供。
35.如权利要求33-34中任一项所述的系统,进一步包括触摸屏显示器。
36.如权利要求33-34中任一项所述的系统,进一步包括操作地耦合到所述一个或多个处理器的全球定位系统设备。
37.至少一种计算机可读介质,包括在其中具体化的计算机可读代码,所述计算机可读代码包括指令,所述指令被配置为响应于所述指令由所述装置执行,使在操作状态期间寻求对服务的访问的装置能够从所述装置的受信分区传输所述装置的能力证明至与所述服务的提供者相关联的计算机系统,以及响应于证明的能力的验证,从与所述提供者相关联的所述计算机系统接收对所述寻求的服务的有条件的授权,其中在所述操作状态期间,在有限的基础上授权对所述服务的访问,并且其中与所述提供者相关联的所述计算机系统是距所述装置远程布置的。
38.如权利要求37所述的至少一种计算机可读介质,其中所述能力证明包括硬件能力证明。
39.如权利要求37所述的至少一种计算机可读介质,其中来自设备的受信分区的所述能力证明包括由所述受信分区内的受信执行技术的部件进行的能力证明。
40.如权利要求37所述的至少一种计算机可读介质,其中所述服务包括对通信网络的优先访问。
41.如权利要求37所述的至少一种计算机可读介质,其中所述能力证明表明所述装置是否是第一响应者系统。
42.如权利要求37所述的至少一种计算机可读介质,其中当被所述装置执行时,所述指令进一步使所述装置能够从所述受信分区传输一次性密码至与所述提供者相关联的所述计算机系统,以及另外地响应于所述一次性密码的确认,而从与所述提供者相关联的所述计算机系统接收对所述服务的有条件的授权。
43.如权利要求42所述的至少一种计算机可读介质,其中所述一次性密码由所述受信分区内的身份保护技术提供。
44.如权利要求37-43中任一项所述的至少一种计算机可读介质,其中当由所述装置执行时,所述指令进一步使所述装置能够传输与所述装置的用户相关联的凭证至与所述提供者相关联的所述计算机系统,以及另外地响应于所述凭证的认证是否表明所述用户是第一响应者,而从与所述提供者相关联的所述计算机系统接收对所述寻求的服务的有条件的授权。
【文档编号】H04L9/32GK104205722SQ201280071191
【公开日】2014年12月10日 申请日期:2012年3月28日 优先权日:2012年3月28日
【发明者】S·W·多伊奇, A·巴尔加瓦-斯庞特泽尔 申请人:英特尔公司
【专利摘要】本文描述了用于接受设备的能力证明以确定在操作状态期间是否授权对服务的访问的装置、计算机实现的方法、系统、设备、以及计算机可读介质的实施例。在各种实施例中,响应于证明的能力的验证,可以有条件地授权对所寻求的服务的访问。在各种实施例中,在操作状态期间,可以在有限的基础上授权对服务的访问。
【专利说明】基于设备验证的有条件的有限服务授权
【技术领域】
[0001]概括地说,本发明的实施例涉及数据处理的【技术领域】,具体地说,涉及基于设备验证的有条件的有限服务授权,例如在计划的或非计划的事件之前、期间和/或之后。
【背景技术】
[0002]本文所提供的背景描述是为了大体呈现本公开的上下文的目的。就本【背景技术】章节中的描述的范围而言,当前被指名的
【发明者】的工作以及在提交申请时不构成现有技术的该描述的各方面,既不明确又不隐含地承认其为针对本公开的现有技术。除非本文另有指示,本章节中所描述的方法不是对于本公开中的权利要求的现有技术,并且不因包含在本章节中被承认为是现有技术。
[0003]在危机时刻,例如在自然灾害之后,或在其他计划的或非计划的事件之前、期间或之后,对服务(例如访问通信网络)的需求可能会超过这些服务的可用性。例如,紧急救援人员,例如第一响应者(例如,消防员、警察、医护人员)可能由于普通用户对蜂窝电话网络的高容量利用率,而难以在危机期间访问蜂窝电话网络。
【专利附图】
【附图说明】
[0004]通过以下结合附图的详细描述将容易理解实施例。为了促进该描述,相似的附图标记指代相似的结构元件。在附图的图中通过示例的方式而不是通过限制的方式来说明实施例。
[0005]图1示意性地示出了根据各种实施例的在操作状态期间,第一响应者设备可能如何提供各种类型的信息以获得对服务的访问的示例。
[0006]图2示意性地描绘了根据各种实施例的可以由与服务提供者相关联的计算设备实现的示例方法。
[0007]图3示意性地描绘了根据各种实施例的可以由第一响应者设备实现的示例方法。
[0008]图4示意性地描绘了根据各种实施例的可以在其上实现公开的方法和计算机可读介质的示例计算设备。
【具体实施方式】
[0009]在下面的详细描述中,参考组成其一部分的附图,其中贯穿全文中的相似标号标明相似的部分,并且通过说明可以被实践的实施例的方式显示在附图中。应当理解的是,可以在不脱离本发明的范围使用其他的实施例以及作出结构或逻辑上的改变。因此,下面的详细描述不应被视为具有限制意义,并且实施例的范围由所附权利要求及其等同物限定。
[0010]各种操作可以以最有助于理解权利要求所有保护的主题的方式,被描述为多个依次的离散动作或操作。然而,描述的顺序不应被解释为暗示这些操作一定是依照顺序的。尤其是,这些操作可以不按照呈现的顺序来执行。描述的操作可以按照与描述的实施例不同的顺序来执行。可以执行各种另外的操作和/或在另外的实施例中省略描述的操作。
[0011]出于本公开的目的,短语“A和/或B”是指(A)、⑶、或(A和B)。出于本公开的目的,短语“A、B、和/或C”是指(A)、⑶、(C)、(A和B)、(A和C)、(B和C)、或(A、B和C)。
[0012]该描述可以用短语“在一实施例中”或“在实施例中”,其可以每个指一个或多个相同或不同的实施例。此外,术语“包括”、“包含”、“具有”以及类似物,在相对于本公开的实施例中使用时是同义的。
[0013]如本文所用,术语“模块”可以指、成为其中的一部分、或包括特定用途集成电路(“ASIC”)、电子电路、处理器(共享、专用、或组)和/或存储器(共享、专用、或组),其执行一个或多个软件或固件程序、组合逻辑电路、和/或其他合适的部件,提供所描述的功倉泛。
[0014]现在参照图1,在各种实施例中,设备10(配置了本公开所教导的适用部分)可以在操作状态期间(例如危机)寻求对服务的访问,其中在有限的基础上将对服务进行授权。在各种实施例中,服务可以是对通信网络的优先访问,例如蜂窝网络,并且在一个或多个操作状态(例如,危机)期间,对其的访问可以在有条件的和/或有限的基础上被授权。在各种实施例中,“优先访问”可以包括高于提供给其他设备的更高级别的服务质量(“QoS”)。
[0015]在各种实施例中,“操作状态”可能存在于事件发生之前、期间和/或之后,例如紧急事件(例如,自然灾害、火灾、暴动、恐怖袭击等),在特定的位置或在特定的区域之内。在各种实施例中,事件可以是计划的(例如,体育赛事、政治集会、示威等)或非计划的(例如,自然灾害、恐怖袭击、停电等)。在各种实施例中,设备10可以是移动电话(例如,智能电话)或与该位置或区域相关联的第一响应者(例如警察、消防员或医护人员)的其他计算设备。例如,区域可以由特定管辖区的警察进行监管,并且设备10可以是一种类型的通信设备,例如发给那些警察的移动电话。
[0016]设备10可以从所寻求的服务提供者被远程地布置。例如,在图1中,设备10从安全计算设备12被远程地布置。在各种实施例中,安全计算设备12可以是器具或其他计算设备,如在3GPP长期演进(“LTE”)版本10(2011年3月)(“LTE标准”)中描述的演进节点B( “eNB”),其配置了本公开的教导的适用的部分以充当服务提供者14的看门人。在各种实施例中,安全计算设备12可以实现任何数量的其他无线标准或协议,包括但不限于 W1-Fi (IEEE 802.11 家族)、WiMAX (IEEE 802.16 家族)、EV-DO, HSPA+、HSDPA+、HSUPA+、EDGE、GSM、GPRS、CDMA、TDMA, DECT、蓝牙、它们的衍生物、以及被指定为3G、4G、5G及其外的任何其他无线协议。
[0017]在各种实施例中,提供者14可以包括电信公司的一个或多个计算设备(其可以或可以不配置本公开教导的适用部分),例如蜂窝网络提供者。为了执行看门人的角色,在各种实施例中,安全计算设备12可以接收来自设备10的各种类型的信息,并且在使用该信息执行各种检查之后,有条件地对设备10所寻求的服务授权访问。在各种实施例中,代替独立的看门人安全计算设备12,提供者14本身可以在操作状态期间担当看门人,例如在危机时刻期间。
[0018]在各种实施例中,由设备10提供给安全计算设备12的信息可以包括设备10的能力证明。各个实施例中,能力证明可以包括硬件能力证明,并且可以由设备10的受信分区18作出。在各种实施例中,受信分区18可以包括一个或多个部件(例如,存储器、处理器、执行应用,等等),对这些部件的访问可以被限制或约束到各种其他部件。例如,受信分区18对一个或多个操作系统、设备驱动和/或一个或多个应用来说可以是不可访问的。虽然不是必需的,在各种实施例中,例如在图1中显示的实施例,受信分区18可以包括受信平台模块(“TPM”)16。虽然也并不是必需的,在各种实施例中,例如在图1中显示的实施例,设备10的受信分区18可以包括由加利福尼亚州的圣克拉拉的英f寺尔?公司开发的受信执行技术(Trusted Execut1n Technology, “TXT”)硬件部件 19。
[0019]在各种实施例中,安全计算设备12可以被配置为:响应于由设备10通过需要的方式对证明的能力进行验证而有条件地对设备10所寻求的服务进行授权。在各种实施例中,安全计算设备12可以通过第三方促进能力证明。例如,在图1中,安全计算设备12可以将由设备10证明的硬件能力转发到能力证明验证计算设备20 (其可以或可以不配置本公开的教导的适用部分),其可以验证证明的硬件能力。
[0020]在各种实施例中,安全计算设备12可以基于由设备10作出的能力证明的验证(例如,由能力证明验证计算设备20)是否表明设备10是第一响应者设备,有条件地对设备10所寻求的服务进行授权。例如,当操作状态存在(例如,可以由安全计算设备12和/或与提供者14相关联的一个或多个计算设备上的状态值表明)时,在此期间,在有条件的或有限的基础上对服务进行授权,如果由设备10证明的能力表明它是第一响应者设备,例如发给消防员的一种类型或类别的移动电话,安全计算设备12可以授权设备10对服务的访问(例如,对蜂窝网络的优先访问)。
[0021]在各种实施例中,设备(例如设备10)可以基于除了或替代设备10的硬件能力的其他信息而被有条件地授权对服务的访问。例如,安全计算设备12可以基于设备10的用户标识(未示出)有条件地对设备10所寻求的服务进行授权。安全计算设备12可以接受设备10的用户凭证,并且可以基于该凭证的认证是否表明该用户是第一响应者(例如警察或消防员),有条件地对所寻求的服务进行授权。在各种实施例中,认证可以不仅包括确定用户是否是第一响应者,而且包括确定第一响应者的凭证是否仍然有效或已被吊销。凭证可以是与用户相关联的各种类型的信息,例如由用户选择或分配给用户的个人识别号码(“PIN”),或其他类型的用户专有信息,包括生物统计数据(例如视网膜或指纹数据)。例如,设备10可以提示用户输入凭证,例如,通过输入PIN或在指纹读取器上按压手指。
[0022]在各种实施例中,响应于安全计算设备12从设备10接受的一次性密码的确认,设备(例如设备10)可以被有条件地授权对服务的访问(例如,通过安全计算设备12)。在各种实施例中,可以在设备10的受信分区18中生成该一次性密码(类似于证明的硬件能力)。例如,设备10可以配置有一次性密码生成器22,其在图1中包括由加利福尼亚州圣克拉拉的英特尔?公司开发的身份保护技术(Identity Protect1n Technology, “ IPT”),
以生成和/或提供一次性密码。虽然显示在图18中的受信分区之内,在各种实施例中,一次性密码生成器22可以在设备10的不同的受保护的分区中,或设备10的任何受保护的分区以外。在各种实施例中,安全计算设备12可以促进由第三方进行的一次性密码确认,例如在图1中的一次性密码确认计算设备24(其可以或可以不配置有本公开的教导的适用部分)。
[0023]在各种实施例中,在用户接收到设备(例如设备10)后,用户可以用一次性密码确认计算设备24给设备10登记。在各种实施例中,用户还可以获得合适的用户凭证,例如,使用一次性密码确认计算设备24和/或安全计算机系统12。例如,用户可以登录到与一次性密码确认计算设备24相关联的网站,并请求在该用户的设备10上配置一次性密码功能。同时,在各种实施例中,用户还可以将凭证(例如PIN和/或用户名)与一次性密码相关联。
[0024]在各种实施例中,设备(例如设备10)可以基于设备10提供的唯一标识符,被(例如,由安全计算设备12)有条件地授权对服务的访问。例如,在各种实施例中,平台嵌入式不对称令牌(Platform Embedded Asymmetrical Token,或“PEAT”)可以被存储在设备 10的受信分区18中,并且除了或替代各种其他类型的信息,平台嵌入式不对称令牌可以被用于有条件地授权设备10对服务的访问。
[0025]在各种实施例中,安全计算设备12可以基于各种类型的信息的组合,有条件地授权对设备10的访问。例如,仅响应于由设备10证明的能力的验证,安全计算设备12可以有条件地授权对服务的访问。在各种实施例中,响应于由设备10证明的能力的验证,并响应于与设备10的用户相关联的凭证的认证,安全计算设备12可以有条件地授权对服务的访问。在各种实施例中,响应于与设备的用户相关联的凭证的认证,以及响应于与设备10相关联的一次性密码的确认,安全计算设备12可以基于由设备10证明的能力的验证有条件地授权对服务的访问。在各种实施例中,响应于与设备的用户相关联的凭证的认证,以及响应于与设备10相关联的一次性密码的确认,安全计算设备12可以有条件地授权对服务的访问。在各种实施例中,响应于由设备10证明的能力的验证,以及与设备10相关联的一次性密码的确认,可以有条件地授权对服务的访问。在有条件地授权对服务的访问前,可以检查信息类型的任何其他组合。
[0026]在图2中显示了可以由设备(例如安全设备12)实现的示例方法200。在方框202处,在特定的操作状态期间(例如,危机期间),寻求对服务的访问的远程布置的设备(例如,设备10)的能力证明,可以被(例如,由安全计算设备12)接受。在方框204处,证明的能力可以被(例如,安全计算设备12通过第三方(例如能力证明验证计算设备20(例如,其可以配置有TXT或类似的技术)))验证。如果证明的能力不能被验证(例如,设备10没有被注册为第一响应者设备),则方法200可以前进到方框206。远程布置的设备可能被(例如,由安全计算设备12)拒绝访问所寻求的服务,并且方法200可以结束。
[0027]然而,如果证明的能力被验证,则在方框208处,远程布置的设备的用户的凭证可以被(例如,由安全计算设备12)接受。例如,用户可以提供可以用于认证该用户(例如,作为第一响应者)的PIN、视网膜数据、指纹数据或类似物。在方框210处,凭证可以被(例如,由安全计算设备12自身或经由第三方(未示出))认证,如果该凭证不能被认证,则方法可以前进到方框206。该远程布置的设备对服务的访问可能会被(例如,由安全计算设备12)拒绝,并且方法200可以结束。
[0028]然而,如果所提供的凭证被认证,则在方框212处,来自远程布置的设备的一次性密码可以被(例如,由安全计算设备12)接受。在方框214处,一次性密码可以经由第三方(例如一次性密码确认计算设备24)被(例如,由安全计算设备12)确认。如果一次性密码不能被确认,则方法200可以前进到方框206。该设备对服务的访问可能被(例如,由安全计算设备12)拒绝,并且方法200可以结束。然而,如果一次性密码被确认,则在方框216处,对服务的访问可以被(例如,由安全计算设备12)授权给远程布置的设备。授权访问之后,方法可以结束。
[0029]在图2的方法200中,在提供对服务的访问之前检查三条信息(远程布置的设备的能力、用户凭证、一次性密码)。然而,如上面所讨论的,这不是限制性的。在各种实施例中的方法可以包括检查由方法200检查的任何一条、两条或三条信息。另外,可以以与图2中所显示的顺序不同的顺序检查这些信息。另外或替代地,可以基于对给定的设备成功检查过的信息条数而授权对服务的不同级别的访问(例如,蜂窝网络上的QoS的不同级别)。
[0030]图3描绘了可以在设备(例如图1中的设备10)上实现的示例方法300。在方框302处,连接过程可以被(例如,设备10)发起。例如,在方框304处,能够(例如,由设备10)确定是否存在特定的操作状态(例如,危机状态)。例如,在发起连接后,设备10可以查询(例如,使用安全计算设备12)是否存在操作状态。如果操作状态不存在,则在方框306处,正常的连接过程可以被(例如,由设备10)利用。在这种情况下,安全计算设备12可以简单地在设备10和提供者14的一个或多个计算设备之间传递消息,和/或重定向设备10以直接与提供者14的一个或多个计算设备交换消息。在方框306之后,方法300可以结束。
[0031]然而,如果存在特定的操作状态(例如,危机),则在方框308处,设备10可以传输(例如,至安全计算设备12)设备10的能力(例如,硬件)证明。例如,设备10可以从TPM16提供其硬件能力的远程证明(例如,至安全计算设备12)。如果证明的能力被(例如,由在图2的方框204处的安全计算设备12)验证,则在方框310处,对用户凭证的请求可能会或可能不会被传输(例如,由安全计算设备12至设备10)。
[0032]如果没有传输对用户凭证的请求,则在各种实施例中,在方框312处,设备10可以访问它所寻求的服务。这可能发生在安全计算设备12需要仅仅验证硬件能力以提供对服务的访问之处。在方框312之后,方法300可以结束。
[0033]然而,如果传输了对用户凭证的请求,则在各种实施例中,在方框314处,设备10可以提供(例如,至安全计算设备12)用户凭证。例如,设备10的用户可以使用设备10的键盘输入PIN码。在各种实施例中,设备10可以包括视网膜或指纹读取装置,其可以从用户处收集视网膜或指纹数据作为凭证。
[0034]如果用户凭证被(例如,由在图2的方框210处的安全计算设备12)认证,则在各种实施例中,在方框316处,对一次性密码的请求可能会或可能不会被(例如,由安全计算设备12)传输至设备10。如果对一次性密码的请求没有被传输,则在各种实施例中,方法300可以前进到方框312,并且设备10可以访问该服务。这可能发生在安全计算设备12需要硬件能力证明和用户凭证而不是一次性密码来取得对该对服务的访问的实施例中。在这样的实施例中,在方框312之后,方法300可以结束。然而,如果一次性密码被请求,则在各种实施例中,在方框318处,设备10可以提供(例如,从受保护的IPT模块22)该一次性密码。如上面所讨论的,在各种实施例中,安全计算设备12可以确认一次性密码(例如,通过第三方(例如在方框214处的一次性密码确认计算设备24))。假设一次性密码被确认,则在方框312处,设备10可以被许可访问该服务。在方框312之后,方法300可以结束。
[0035]虽然本文描述的实施例和示例主要涉及在可能表明危机的操作状态期间提供对服务的优先访问给第一响应者,公开的技术可以在其他场景中被实现。例如,公司可以提供例如访问公司内部网的服务。在特定的操作状态期间(例如,在合并或在季度末),设备(例如发给公司的高层管理人员的移动电话、膝上计算机或计算平板)可以被授权对公司内部网的优先访问。
[0036]为清晰起见,各种术语已被用于特定的上下文中,并且可以与其他术语进行互换。例如,“验证”已被用于描述如何检查设备的硬件能力。“认证”已被用于描述如何检查用户的凭证。以及“确认”已被用于描述如何检查一次性密码。然而,这些单独的术语并不意味着限制如何在这些类型的信息上执行检查。
[0037]图4示出了根据各个实施例的适于用作设备10或安全计算系统12的示例计算设备400(其也可以被称为系统)。该计算设备可以包括多个部件,包括但不限于印刷电路板(“PCB”)402、处理器404和至少一个通信芯片406。在各种实施例中,处理器404可以是处理器核心。在各种实施例中,所述至少一个通信芯片406也可以被物理地和电气地耦合到处理器404 (例如,经由PCB 402)。在进一步的实现中,通信芯片406可以是处理器404的一部分。
[0038]取决于其应用,例如,如设备10或安全计算机系统12,计算设备400可以包括可以被或可以不被物理地和电气地耦合到PCB 402的其他部件。这些其他部件包括但不限于:存储器控制器407、易失性存储器(例如,动态随机存取存储器408,也称为“DRAM”)、非易失性存储器(例如,只读存储器410,也被称为“ROM”)、闪存412、图形处理器414、数字信号处理器(未示出)、加密处理器(未示出)、输入/输出(“I/O”)控制器416、天线418、显示器(未示出)、触摸屏显示器420、触摸屏控制器422、电池424、音频编解码器(未示出)、视频编解码器(未示出)、功率放大器426、全球定位系统(“GPS”)设备428、指南针430、加速度计(未示出)、陀螺仪(未示出)、扬声器432、照相机434、以及大容量存储设备(例如硬盘驱动器、固态驱动器、压缩盘(“⑶”)、数字通用光盘(“DVD”))(未示出),等等。在各种实施例中,处理器404可以与其他部件(例如存储器控制器407和/或I/O控制器416)集成在同一管芯上,以形成片上系统(“SoC”)。
[0039]在各种实施例中,易失性存储器(例如,DRAM 408)、非易失性存储器(例如,ROM410)、闪存412和大容量存储设备可以包括编程指令,被配置以响应于由处理器404执行,使得计算设备400实践方法200和/或300的所有或被选择的方面。例如,一个或多个存储器部件,例如易失性存储器(例如,DRAM 408)、非易失性存储器(例如,ROM 410)、闪存412、以及大容量存储设备可以包括被配置以实践所公开的技术(例如方法200和/或300的所有或被选择的方面)的控制模块436的暂时的和/或持久的副本。
[0040]通信芯片406可以启动有线和/或无线通信,用于传送数据至和从计算设备400。术语“无线”及其派生词可以用于描述电路、设备、系统、方法、技术、通信信道等,其可以通过使用调制的电磁辐射经过非固态介质来传达数据。该术语不暗示相关联的设备不包含任何线,尽管在一些实施例中它们可能没有。通信芯片406可以实现任何数量的无线标准或协议,包括但不限于:W1-Fi (IEEE 802.11 家族)、WiMAX(IEEE 802.16 家族)、IEEE 802.20、长期演进(“LTE”)、Ev-DO, HSPA+, HSDPA+, HSUPA+, EDGE、GSM、GPRS、CDMA、TDMA, DECT、蓝牙、它们的衍生物、以及被指定为3G、4G、5G及其外的任何其他无线协议。计算设备400可以包括多个通信芯片406。例如,第一通信芯片406可以专用于短距离无线通信(例如W1-Fi和蓝牙)且第二通信芯片406可以专用于长距离无线通信(例如GPS、EDGE、GPRS、CDMA、WiMAX、LTE、EV-DO 等)。
[0041]计算设备400的处理器404可以包括封装在处理器404内的集成电路管芯。在各种实施例中,处理器404的集成电路管芯可以包括一个或多个设备,例如晶体管或金属互连,其被形成以使用本文描述的一个或多个技术来促进ECC码字的迭代译码。术语“处理器”可以指处理来自寄存器和/或存储器的电子数据以将该电子数据转换成可以被存储在寄存器和/或存储器中的其他电子数据的任何设备或设备的一部分。
[0042]通信芯片406还可以包括封装在通信芯片406之内的集成电路管芯。在各种实施例中,通信芯片406的集成电路管芯可以包括一个或多个设备,例如晶体管或金属互连,其被形成以促进ECC码字的迭代译码。
[0043]在各种实现中,计算设备400可以是膝上计算机、上网本、笔记本、超级本、智能电话、计算平板、个人数字助理(“PDA”)、超移动PC、移动电话、台式计算机、服务器、打印机、扫描仪、监视器、机顶盒、娱乐控制单元(例如,游戏控制台)、数字照相机、便携式音乐播放器、或数字录像机。在进一步的实现中,计算设备400可以是处理数据的任何其他电子设备。
[0044]本文描述了装置、计算机实现的方法、系统、设备、以及计算机可读介质的实施例,用于接受设备的能力证明,以确定在操作状态期间是否授权对服务的访问。在各种实施例中,可以响应于证明的能力的验证来有条件地授权对所寻求的服务的访问。在各种实施例中,在操作状态期间,可以在有限的基础上授权对服务的访问。
[0045]在各种实施例中,能力证明可以包括硬件能力证明。在各种实施例中,证明的能力的验证可以包括通过第三方进行证明的能力的验证。在各种实施例中,证明的能力的验证可以包括使用受信执行技术进行证明的能力的验证。
[0046]在各种实施例中,服务可以包括对通信网络的优先访问。在各种实施例中,所寻求的服务可以基于所述能力证明是否表明该设备是第一响应者设备而被有条件地授权。在各种实施例中,所寻求的服务可以另外地基于该设备的用户的身份而被有条件地授权。在各种实施例中,该设备的用户凭证可以被接受。在各种实施例中,所寻求的服务可以另外地基于凭证的认证是否表明该用户是第一响应者而被有条件地授权。
[0047]在各种实施例中,来自设备的一次性密码可以被接受。在各种实施例中,所寻求的服务可以另外地响应于一次性密码的确认而被有条件地授权。在各种实施例中,一次性密码可以由受信分区中的身份保护技术提供。
[0048]在各种实施例中,设备的控制模块,例如移动电话、平板计算机、以及其他设备可以在操作状态期间,将系统的能力证明从授信分区传输到与服务的提供者相关联的计算系统。在各种实施例中,响应于证明的能力的验证,控制模块可以从与服务的提供者相关联的计算系统接收对服务的访问有条件的授权。
[0049]虽然出于描述的目的本文说明和描述了某些实施例,各种各样的通过计算以达到相同目的的替代和/或等效实施例或实现可以取代显示和描述的实施例而不脱离本公开的范围。本申请旨在涵盖本文所讨论的实施例的任何改变或变化。因此,其明显旨在,本文描述的实施例仅由权利要求及其等同物限定。
[0050]其中公列举“一”或“第一”元件或其等价物,这样的公开包括一个或多个这样的元件,既不要求也不排除两个或更多的这样的元件。此外,除非另有具体说明,用于识别的元件的序数标号(例如,第一,第二或第三)被用于在元件之间进行区分,而不是表明或暗示需要的或限制的这些元件的数量,也没有表明这些元件的特定位置或顺序。
【权利要求】
1.至少一种计算机可读介质,包括在其中具体化的计算机可读代码,所述计算机可读代码包括指令,其被配置为响应于装置执行所述指令,使所述装置能够接受设备的能力证明,用于确定在操作状态期间,是否授权对服务的访问,以及响应于证明的能力的验证,有条件地授权对所寻求的服务的访问,其中在所述操作状态期间,在有限的基础上授权对所述服务的访问,以及其中所述设备是距所述装置远程布置的。
2.如权利要求1所述的至少一种计算机可读介质,其中所述能力证明包括硬件能力证明。
3.如权利要求1所述的至少一种计算机可读介质,其中所述证明的能力的验证包括通过第三方对所述证明的能力进行验证。
4.如权利要求1所述的至少一种计算机可读介质,其中所述证明的能力的验证包括使用受信执行技术对所述证明的能力进行验证。
5.如权利要求1所述的至少一种计算机可读介质,其中所述服务包括对通信网络的优先访问。
6.如权利要求1-5中任一项所述的至少一种计算机可读介质,其中所述指令响应于由所述装置执行,进一步使所述装置能够基于所述能力证明是否表明所述设备是第一响应者设备而有条件地授权所述寻求的服务。
7.如权利要求1-5中任一项所述的至少一种计算机可读介质,其中所述指令响应于由所述装置执行,进一步使所述装置能够另外地基于所述设备的用户身份而有条件地授权所述寻求的服务。
8.如权利要求7所述的至少一种计算机可读介质,其中所述指令响应于由所述装置执行,进一步使所述装置能够接受所述设备的用户的凭证,以及另外地基于所述凭证的认证是否表明所述用户是第一响应者而有条件地授权所述寻求的服务。
9.如权利要求1-5中任一项所述的至少一种计算机可读介质,其中所述指令响应于由所述装置执行,进一步使所述装置能够接受来自所述设备的一次性密码,以及另外地响应于所述一次性密码的确认而有条件地授权所述服务。
10.如权利要求9所述的至少一种计算机可读介质,其中所述一次性密码由受信分区中的身份保护技术提供。
11.一种计算机实现的方法,包括: 由计算设备确定存在操作状态,其中在所述操作状态期间,在有限的基础上授权对服务的访问; 由所述计算设备接受与寻求对所述服务的访问的设备的用户相关联的凭证,所述设备距所述装置远程布置; 由所述计算设备接受一次性密码;以及 响应于所述凭证的认证以及所述一次性密码的确认,以及响应于确定存在操作状态,由所述计算设备有条件地授权对所寻求的服务的访问。
12.如权利要求11所述的计算机实现的方法,其中所述一次性密码的确认包括使用身份保护技术进行确认。
13.如权利要求11所述的计算机实现的方法,进一步包括由所述计算设备基于所述凭证的所述认证是否表明所述用户是第一响应者而有条件地授权所述寻求的服务。
14.如权利要求11所述的计算机实现的方法,其中所述服务包括对通信网络的优先访问。
15.如权利要求11-14中任一项所述的计算机实现的方法,进一步包括: 由所述计算设备接受所述设备的能力证明,用于在所述操作状态期间确定是否授权对所述寻求的服务的访问;以及 由所述设备另外地响应于所述证明的能力的验证而有条件地授权对所述寻求的服务的访问。
16.如权利要求15所述的计算机实现的方法,其中所述能力证明包括硬件能力证明。
17.如权利要求15所述的计算机实现的方法,进一步包括:由所述计算设备另外地基于所述能力证明是否表明所述设备是第一响应者设备而有条件地授权对所述寻求的服务的访问。
18.如权利要求15所述的计算机实现的方法,其中所述证明的能力的验证包括使用第三方对所述证明的能力进行验证。
19.如权利要求15所述的计算机实现的方法,其中所述能力证明包括使用受信执行技术进行能力证明。
20.至少一种机器可读介质,包括多条指令,所述指令响应于在装置上被执行,而促使所述装置实现如权利要求11-14中任一项所述的方法。
21.一种装置,被配置以执行如权利要求11-14中任一项所述的方法。
22.—种系统,包括: 一个或多个处理器; 操作地耦合到所述一个或多个处理器的存储器; 受信分区;以及 由所述一个或多个处理器操作的控制模块,用于在操作状态期间,从所述受信分区传输所述系统的能力证明至与服务的提供者相关联的计算系统,以及响应于证明的能力的验证,从与所述服务的提供者相关联的所述计算系统接收对所述服务的访问的有条件的授权,其中在所述操作状态期间,在有限的基础上对服务进行授权。
23.如权利要求22所述的系统,其中证明的能力的验证包括通过第三方对所述证明的能力进行验证。
24.如权利要求22所述的系统,其中所述能力证明包括硬件能力证明。
25.如权利要求24所述的系统,其中来自所述受信分区的所述能力证明包括由所述受信分区内的受信执行技术的部件进行能力证明。
26.如权利要求22所述的系统,其中所述服务包括对通信网络的优先访问。
27.如权利要求22所述的系统,其中所述能力证明表明所述系统是否是第一响应者系统。
28.如权利要求22-27中任一项所述的系统,其中所述控制模块进一步传输所述系统的用户凭证至与所述提供者相关联的所述计算系统,以及另外地响应于所述凭证的认证是否表明所述用户是第一响应者,而从与提供者相关联的所述计算系统接收对所述服务的访问的有条件的授权。
29.如权利要求22-27中任一项所述的系统,其中所述控制模块进一步传输来自所述受信分区的一次性密码至与所述提供者相关联的所述计算系统,以及另外地响应于所述一次性密码的确认,而从与所述提供者相关联的所述计算系统接收由所述系统对所述服务的访问的有条件的授权。
30.如权利要求29所述的系统,其中所述一次性密码由身份保护技术提供。
31.如权利要求22-27中任一项所述的系统,进一步包括触摸屏显示器。
32.如权利要求22-27中任一项所述的系统,进一步包括操作地耦合到所述一个或多个处理器的全球定位系统设备。
33.一种系统,包括: 一个或多个处理器; 操作地耦合到所述一个或多个处理器的存储器; 一次性密码生成器;以及 由所述一个或多个处理器操作的控制模块,用于确定是否存在操作状态,其中在所述操作状态期间,在有限的基础上对服务的访问进行授权,响应于确定存在所述操作状态,所述控制模块进一步从所述一次性密码生成器传输一次性密码至与服务的提供者相关联的计算机系统,以及响应于所述一次性密码的确认,在所述操作状态期间,从与所述提供者相关联的所述计算机系统接收对所述服务的访问的有条件的授权。
34.如权利要求33所述的系统,其中所述一次性密码由身份保护技术提供。
35.如权利要求33-34中任一项所述的系统,进一步包括触摸屏显示器。
36.如权利要求33-34中任一项所述的系统,进一步包括操作地耦合到所述一个或多个处理器的全球定位系统设备。
37.至少一种计算机可读介质,包括在其中具体化的计算机可读代码,所述计算机可读代码包括指令,所述指令被配置为响应于所述指令由所述装置执行,使在操作状态期间寻求对服务的访问的装置能够从所述装置的受信分区传输所述装置的能力证明至与所述服务的提供者相关联的计算机系统,以及响应于证明的能力的验证,从与所述提供者相关联的所述计算机系统接收对所述寻求的服务的有条件的授权,其中在所述操作状态期间,在有限的基础上授权对所述服务的访问,并且其中与所述提供者相关联的所述计算机系统是距所述装置远程布置的。
38.如权利要求37所述的至少一种计算机可读介质,其中所述能力证明包括硬件能力证明。
39.如权利要求37所述的至少一种计算机可读介质,其中来自设备的受信分区的所述能力证明包括由所述受信分区内的受信执行技术的部件进行的能力证明。
40.如权利要求37所述的至少一种计算机可读介质,其中所述服务包括对通信网络的优先访问。
41.如权利要求37所述的至少一种计算机可读介质,其中所述能力证明表明所述装置是否是第一响应者系统。
42.如权利要求37所述的至少一种计算机可读介质,其中当被所述装置执行时,所述指令进一步使所述装置能够从所述受信分区传输一次性密码至与所述提供者相关联的所述计算机系统,以及另外地响应于所述一次性密码的确认,而从与所述提供者相关联的所述计算机系统接收对所述服务的有条件的授权。
43.如权利要求42所述的至少一种计算机可读介质,其中所述一次性密码由所述受信分区内的身份保护技术提供。
44.如权利要求37-43中任一项所述的至少一种计算机可读介质,其中当由所述装置执行时,所述指令进一步使所述装置能够传输与所述装置的用户相关联的凭证至与所述提供者相关联的所述计算机系统,以及另外地响应于所述凭证的认证是否表明所述用户是第一响应者,而从与所述提供者相关联的所述计算机系统接收对所述寻求的服务的有条件的授权。
【文档编号】H04L9/32GK104205722SQ201280071191
【公开日】2014年12月10日 申请日期:2012年3月28日 优先权日:2012年3月28日
【发明者】S·W·多伊奇, A·巴尔加瓦-斯庞特泽尔 申请人:英特尔公司
最新回复(0)