用于管理授權設備上操作的令牌的系統和方法
【專利說明】用于管理授權設備上操作的令牌的系統和方法
[0001 ]版權聲明:
[0002]本專利文檔公開內容的一部分包含受版權保護的素材。版權擁有者不反對任何人對專利文檔或專利公開內容按照在專利商標局的專利文件或記錄中出現那樣進行的傳真復制,但是除此之外在任何情況下都保留所有版權。
技術領域
[0003]本發明一般而言涉及計算機系統,并且具體而言涉及設備管理。
【背景技術】
[0004]在后個人計算機(PC)時代,企業往往允許員工將諸如智能電話、平板電腦和筆記本電腦的各種移動設備帶到其工作場所。員工可以使用那些個人擁有的設備來訪問特許的公司信息和應用。信息技術行業已經演變為利用例如基于全球平臺規范(GlobalPlatformSpecificat1n)的安全芯片技術來促進軟件應用的安全和可互操作的部署和管理。這是本發明的實施例旨在解決的大致領域。
【發明內容】
[0005]本文描述的是可以支持設備上操作管理的系統和方法。后臺服務器上的令牌頒發器和/或工具可以生成授權令牌,授權令牌利用分配給用戶的唯一標識符(ID)綁定到一個或多個設備的用戶。唯一 ID可以是在設備上授權實體和令牌頒發器之間已知的和/或共享的。然后,設備上授權實體可以在準許一個或多個受保護的設備上操作執行之前驗證授權令牌。此外,當唯一 ID從設備中被擦除時,設備上授權實體可以不準許一個或多個受保護的設備上操作的執行。
【附圖說明】
[0006]圖1示出了設備上的示例性芯片上系統(system-on_chip,SoC)體系架構的示圖。
[0007]圖2示出了支持芯片上系統(SoC)體系架構中的可信執行環境(TEE)的示圖。
[0008]圖3示出了利用授權令牌來支持設備上操作管理的示圖。
[0009]圖4示出了根據本發明的實施例的、將授權令牌綁定到設備上授權實體的示圖。
[0010]圖5圖示了根據本發明的實施例的、用于管理授權設備上操作的令牌的示例性流程圖。
【具體實施方式】
[0011]本發明是作為例子而不是作為限制在附圖中說明的,并且在附圖中,相同的標號指示相似的元件。應當指出,在本公開內容中對“一個”或“一種”或“一些”實施例的引用不一定指同一實施例,并且這種引用意味著至少一個。
[0012]本文描述的是可以支持設備上操作管理的系統和方法。
[0013]示例性設備體系架構
[0014]根據實施例,本文所描述的系統和方法可以被實現為設備或者與設備一起使用,諸如移動設備(例如,智能電話)或其它設備。
[0015]根據各種實施例,設備可以基于芯片上系統(SoC)體系架構。本文所提供的發明的實施例的描述一般地使用ARM SoC體系架構作為SoC體系架構的一個例子。對本領域技術人員來說,將很明顯,根據各種實施例,可以使用其它類型的SoC體系架構,而沒有限制。
[0016]根據實施例,包括硬件和軟件組件兩者的SoC體系架構可以提供各種類型的功能硬件的芯片上集成,以便執行不同的任務,諸如電源管理、計算、音頻/視頻、圖形、全球定位系統(GPS)以及無線電收發。
[0017]在SoC體系架構中的硬件組件可以包括各種模擬、數字和存儲組件。例如,根據實施例,模擬組件可以包括模擬數字轉換器(ADC)和數控放大器(DCA)組件、鎖相環(PLL)組件、發送(Tx)/接收(Rx)組件、射頻(RF)組件。數字組件可以包括各種處理器、接口和加速度計。存儲組件可以包括靜態隨機存取存儲器(SRAM)、動態隨機存取存儲器(DRAM)、非易失性存儲組件,諸如閃存和只讀存儲器(ROM)。此外,SoC可以包含可編程硬件(諸如現場可編程門陣列(FPGA))、混合信號模塊以及傳感器。
[0018]根據實施例,SoC體系架構可以包括芯片上和芯片外軟件組件兩者。例如,在SoC體系架構中的軟件組件可以包括實時操作系統(RT0S)、設備驅動程序和軟件應用。
[0019]此外,根據實施例,SoC架構可以利用各種便攜式/可重用組件和/或電路設計、嵌入式CPU、嵌入式存儲器以及現實世界接口,諸如通用串行總線(USB)、外圍組件互連(PCI)和以太網。
[0020]圖1示出了根據實施例的、設備上的示例性芯片上系統(SoC)體系架構的示圖。如圖1中所示,用于設備100的SoC 101可以包括高性能芯片上總線110,該高性能芯片上總線110將一個或多個處理器102、芯片上隨機存取存儲器(RAM)103、直接存儲器存取(DMA)控制器104、以及一個或多個外部存儲器接口 105互連。
[0021]根據實施例,在SoC 101中的處理器102可以包括單核或多核中央處理單元(CPU)、高速緩存組件、圖形處理單元(GPU)、視頻編解碼器、以及液晶顯示器(IXD)視頻接口。
[0022]此外,根據實施例,SoC101可以包括將高性能芯片上總線110連接到外圍總線120的橋接器106,其可以利用較低的帶寬、使用較低的功率、鎖存地址和控制、以及簡單的接口來運行。例如,如在圖1中所示,外圍總線120可以提供對通用異步接收器/發送器(UART)
111、定時器112、鍵盤接口 113和編程的輸入/輸出(P1)接口 114的訪問。
[0023]根據實施例,用于設備100的SoC101可以利用不同的技術建立移動連接,這些技術諸如藍牙、W1-F1、蜂窩(3G/4G/LTE/LTE-A)調制解調器和/或GPS。
[0024]在圖1中示出的示例性SoC架構是為了說明的目的提供。根據各種實施例,可以使用其它類型的SoC體系架構。
[0025]可信執行環境(TEE)
[0026]圖2示出了支持芯片上系統(SoC)體系架構中的可信執行環境(TEE)的示圖。如在圖2中所示,SoC 200體系架構使設備能夠在例如可信執行環境(TEE)201和豐富執行環境(REE)202的獨立的執行環境中執行代碼和操縱數據。
[0027]REE 202可以包括基于豐富OS 221 (或諸如Android或1S的主OS)的正常運行時環境,而作為從REE 202隔離的安全區域的TEE 201可以包括基于安全OS(例如,可信OS 211)的安全運行時環境。
[0028]如在圖2中所示,TEE 201和REE 202兩者可以在硬件平臺210之上運行。例如,ARMSoC可以提供基于TrustZone技術及其相關監控代碼的硬件機制。此外,硬件機制210可以強制實現在TEE 201中的安全運行時環境(8卩“安全世界”)和REE 202中的正常運行時環境(SP“正常世界”)之間的隔離。此外,硬件機制210使這兩個世界之間能夠進行通信。
[0029]可替代地,TEE 201和REE 202二者都可以在管理程序(hypervisor)之上運行,而不是直接在硬件機制210上運行,例如,管理程序可以托管兩個虛擬機(VM),其中一個VM專門托管REE 202并且另一個VM專門托管TEE 201。這里,為了支持隔離的安全執行,托管TEE201的VM可以比托管REE 202的VM分配有更高的權限。
[0030]此外,SoC 200可以提供綁定到安全引導機制的信任根(例如,基于引導ROM) AoC200上的信任根保證TEE 201中的代碼是真實的并且只有經授權的代碼可以在TEE 201中執行。
[0031]如在圖2中所示,TEE 201環境允許一個或多個可信應用(TA)213-214例如經由TEE內部應用編程接口(API)212在可信OS 211之上運行。可信OS 211可以利用SoC 200上存在的安全特征并且可以以安全的方式在TEE 201中執行TA 213-214。
[0032]TA 213-214可能需要在被安裝到TEE 201中之前被權威機構(諸如安裝權威機構)簽署。取決于商業模式和商業協議,安裝權威機構可以是托管SoC