用于管理授权设备上操作的令牌的系统和方法

摘要

一种系统和方法可以支持设备上操作管理。后台服务器上的令牌颁发器和/或工具可以生成授权令牌，授权令牌利用分配给用户的唯一标识符(ID)绑定到一个或多个设备的用户。唯一ID可以是在设备上授权实体和令牌颁发器之间已知的和/或共享的。然后，设备上授权实体可以在准许一个或多个受保护的设备上操作执行之前验证授权令牌。此外，当唯一ID从设备中被擦除时，设备上授权实体可以不准许一个或多个受保护的设备上操作的执行。

说明书

版权声明：

本专利文档公开内容的一部分包含受版权保护的素材。版权拥有 者不反对任何人对专利文档或专利公开内容按照在专利商标局的专利 文件或记录中出现那样进行的传真复制，但是除此之外在任何情况下 都保留所有版权。

技术领域

本发明一般而言涉及计算机系统，并且具体而言涉及设备管理。

背景技术

在后个人计算机(PC)时代，企业往往允许员工将诸如智能电 话、平板电脑和笔记本电脑的各种移动设备带到其工作场所。员工可 以使用那些个人拥有的设备来访问特许的公司信息和应用。信息技术 行业已经演变为利用例如基于全球平台规范(GlobalPlatform Specification)的安全芯片技术来促进软件应用的安全和可互操作的 部署和管理。这是本发明的实施例旨在解决的大致领域。

发明内容

本文描述的是可以支持设备上操作管理的系统和方法。后台服务 器上的令牌颁发器和/或工具可以生成授权令牌，授权令牌利用分配 给用户的唯一标识符(ID)绑定到一个或多个设备的用户。唯一ID 可以是在设备上授权实体和令牌颁发器之间已知的和/或共享的。然 后，设备上授权实体可以在准许一个或多个受保护的设备上操作执行 之前验证授权令牌。此外，当唯一ID从设备中被擦除时，设备上授 权实体可以不准许一个或多个受保护的设备上操作的执行。

附图说明

图1示出了设备上的示例性芯片上系统(system-on-chip，SoC) 体系架构的示图。

图2示出了支持芯片上系统(SoC)体系架构中的可信执行环境 (TEE)的示图。

图3示出了利用授权令牌来支持设备上操作管理的示图。

图4示出了根据本发明的实施例的、将授权令牌绑定到设备上授 权实体的示图。

图5图示了根据本发明的实施例的、用于管理授权设备上操作的 令牌的示例性流程图。

具体实施方式

本发明是作为例子而不是作为限制在附图中说明的，并且在附图 中，相同的标号指示相似的元件。应当指出，在本公开内容中对“一 个”或“一种”或“一些”实施例的引用不一定指同一实施例，并且 这种引用意味着至少一个。

本文描述的是可以支持设备上操作管理的系统和方法。

示例性设备体系架构

根据实施例，本文所描述的系统和方法可以被实现为设备或者与 设备一起使用，诸如移动设备(例如，智能电话)或其它设备。

根据各种实施例，设备可以基于芯片上系统(SoC)体系架构。 本文所提供的发明的实施例的描述一般地使用ARMSoC体系架构作 为SoC体系架构的一个例子。对本领域技术人员来说，将很明显， 根据各种实施例，可以使用其它类型的SoC体系架构，而没有限制。

根据实施例，包括硬件和软件组件两者的SoC体系架构可以提 供各种类型的功能硬件的芯片上集成，以便执行不同的任务，诸如电 源管理、计算、音频/视频、图形、全球定位系统(GPS)以及无线 电收发。

在SoC体系架构中的硬件组件可以包括各种模拟、数字和存储 组件。例如，根据实施例，模拟组件可以包括模拟数字转换器 (ADC)和数控放大器(DCA)组件、锁相环(PLL)组件、发送 (Tx)/接收(Rx)组件、射频(RF)组件。数字组件可以包括各种 处理器、接口和加速度计。存储组件可以包括静态随机存取存储器 (SRAM)、动态随机存取存储器(DRAM)、非易失性存储组件， 诸如闪存和只读存储器(ROM)。此外，SoC可以包含可编程硬件 (诸如现场可编程门阵列(FPGA))、混合信号模块以及传感器。

根据实施例，SoC体系架构可以包括芯片上和芯片外软件组件两 者。例如，在SoC体系架构中的软件组件可以包括实时操作系统 (RTOS)、设备驱动程序和软件应用。

此外，根据实施例，SoC架构可以利用各种便携式/可重用组件 和/或电路设计、嵌入式CPU、嵌入式存储器以及现实世界接口，诸 如通用串行总线(USB)、外围组件互连(PCI)和以太网。

图1示出了根据实施例的、设备上的示例性芯片上系统(SoC) 体系架构的示图。如图1中所示，用于设备100的SoC101可以包括 高性能芯片上总线110，该高性能芯片上总线110将一个或多个处理 器102、芯片上随机存取存储器(RAM)103、直接存储器存取 (DMA)控制器104、以及一个或多个外部存储器接口105互连。

根据实施例，在SoC101中的处理器102可以包括单核或多核中 央处理单元(CPU)、高速缓存组件、图形处理单元(GPU)、视 频编解码器、以及液晶显示器(LCD)视频接口。

此外，根据实施例，SoC101可以包括将高性能芯片上总线110 连接到外围总线120的桥接器106，其可以利用较低的带宽、使用较 低的功率、锁存地址和控制、以及简单的接口来运行。例如，如在图 1中所示，外围总线120可以提供对通用异步接收器/发送器(UART) 111、定时器112、键盘接口113和编程的输入/输出(PIO)接口114 的访问。

根据实施例，用于设备100的SoC101可以利用不同的技术建立 移动连接，这些技术诸如蓝牙、Wi-Fi、蜂窝(3G/4G/LTE/LTE-A) 调制解调器和/或GPS。

在图1中示出的示例性SoC架构是为了说明的目的提供。根据 各种实施例，可以使用其它类型的SoC体系架构。

可信执行环境(TEE)

图2示出了支持芯片上系统(SoC)体系架构中的可信执行环境 (TEE)的示图。如在图2中所示，SoC200体系架构使设备能够在 例如可信执行环境(TEE)201和丰富执行环境(REE)202的独立 的执行环境中执行代码和操纵数据。

REE202可以包括基于丰富OS221(或诸如Android或iOS的 主OS)的正常运行时环境，而作为从REE202隔离的安全区域的 TEE201可以包括基于安全OS(例如，可信OS211)的安全运行时 环境。

如在图2中所示，TEE201和REE202两者可以在硬件平台210 之上运行。例如，ARMSoC可以提供基于TrustZone技术及其相关 监控代码的硬件机制。此外，硬件机制210可以强制实现在TEE201 中的安全运行时环境(即“安全世界”)和REE202中的正常运行 时环境(即“正常世界”)之间的隔离。此外，硬件机制210使这两 个世界之间能够进行通信。

可替代地，TEE201和REE202二者都可以在管理程序 (hypervisor)之上运行，而不是直接在硬件机制210上运行，例如， 管理程序可以托管两个虚拟机(VM)，其中一个VM专门托管REE 202并且另一个VM专门托管TEE201。这里，为了支持隔离的安全 执行，托管TEE201的VM可以比托管REE202的VM分配有更高 的权限。

此外，SoC200可以提供绑定到安全引导机制的信任根(例如， 基于引导ROM)。SoC200上的信任根保证TEE201中的代码是真 实的并且只有经授权的代码可以在TEE201中执行。

如在图2中所示，TEE201环境允许一个或多个可信应用(TA) 213-214例如经由TEE内部应用编程接口(API)212在可信OS211 之上运行。可信OS211可以利用SoC200上存在的安全特征并且可 以以安全的方式在TEE201中执行TA213-214。

TA213-214可能需要在被安装到TEE201中之前被权威机构 (诸如安装权威机构)签署。取决于商业模式和商业协议，安装权威 机构可以是托管SoC200的设备的拥有者、OEM或者第三方。

一旦TA213-214被安装在TEE201内，TA213-214就可以被存 储在由TEE201管理的安全文件系统(SFS)中。此外，每当需要 TA213-214时，可以从SFS来访问TA213-214。因此，TEE201可 以为TA213-214提供安全存储，因为SFS保证了存储在其中的数据 的机密性和完整性。

也如在图2中所示，TEE201可以在REE202中暴露一组接口， 诸如TEE客户端API222和TEE功能API223，以便向REE202中 的各个客户端应用224-225提供安全服务。此外，TEE201允许 REE202中的客户端应用224-225和可信应用213-214使用共享存储 器以用于快速和高效地传送大量数据。

授权令牌

图3示出了利用授权令牌来支持设备上操作管理的示图。如在图 3中所示，后台服务器301(和/或工具)上的令牌颁发器303可以颁 发和签署绑定到可以利用设备ID305来识别的特定设备302的一个 或多个授权令牌307。设备上实体(诸如设备上授权实体304)可以 在准许一个或多个受保护的设备上操作306执行之前验证授权令牌 307的签名。

由于授权令牌307绑定到设备302，而不是设备302的用户308， 因此即使在设备302已转手(或出售)给另一个用户之后，或者在设 备302被翻新之后，授权令牌307也可以保持有效。

授权的设备上操作306优选地绑定到用户。例如，授权的设备上 操作306可能已被支付并且可能不可在用户之间转让。如果在设备 302换手之后，授权令牌307仍然有效，则可能存在安全性问题，因 为授权令牌307可以被截获和存储用于重放。

此外，可以使用各种计数器值来用于解决与利用授权令牌307有 关的安全性问题。系统可以将授权令牌307中不可变的计数器与设备 上授权实体304中的计数器进行比较。只有如果授权令牌307中的计 数器大于设备上授权实体304中的计数器时，系统才可以认为授权令 牌307是有效的。然后，系统可以利用来自授权令牌307中的计数器 的值更新设备上授权实体304中的计数器，以防止重新使用这一授权 令牌。

此外，授权令牌307可能需要以与当它们产生时相同的顺序被使 用。例如，当令牌307在设备302上被预先供给以在后面的时间被使 用时，通过令牌颁发器303维护的参考计数器可能变得不同步。

此外，例如当用户308更换设备时，上述方案不允许将授权令牌 307从一个设备转移到另一个设备。

将授权令牌绑定到设备上授权实体

图4示出了根据本发明的实施例的、将授权令牌绑定到设备上授 权实体的示图。如在图4中所示，后台服务器401(和/或工具)上的 令牌颁发器403可以颁发和签署绑定到可以利用设备ID405来识别 的一个或多个设备(例如，设备402)的用户408的一个或多个授权 令牌407。

此外，设备402可以基于芯片上系统(SoC)体系架构。SoC体 系架构使设备402能够在例如可信执行环境(TEE)的独立的执行环 境中执行代码和操纵数据。

根据本发明的实施例，系统可以支持利用分配给用户408的通用 唯一ID将授权令牌407绑定到设备上授权实体404。一个示例性通 用唯一ID可以基于随机值(RV)。也如在图4中所示，唯一ID可 以在令牌颁发器403和授权的设备上实体404之间共享(即，分别作 为ID411和ID412)。

此外，设备上授权实体404可以在准许一个或多个受保护的设备 上操作406执行之前，基于不同的标准验证授权令牌407，诸如验证 授权令牌407的签署。

此外，授权令牌407的验证可以包括例如通过将包含在授权令牌 407中的唯一ID411与分配给设备上授权实体402的唯一ID412进 行比较来验证绑定的有效性。

因此，当包含在授权令牌407中的唯一ID411与分配给设备上 授权实体402的唯一ID412匹配时，系统可以确定绑定是有效的。 否则，系统可以确定绑定是无效的，并且令牌颁发器403可以能够重 新颁发包含不同唯一ID(未示出)的不同授权令牌，该不同唯一ID 与分配给设备上授权实体404的唯一ID412匹配。

根据本发明的实施例，系统允许在令牌颁发器403和设备上授权 实体404之间共享唯一ID(即ID411和ID412)。例如，系统可以 使用在令牌颁发器403和设备上授权实体404之间建立的安全通道， 用于共享包括唯一ID411和412的不同秘密信息(secret)。

此外，令牌颁发器403可以将分配给不同用户的、所产生的唯一 ID410存储在后台服务器401中。因此，系统能够容易地将授权令 牌410从一个设备转移到另一个设备。例如，当用户408更换设备或 获得附加设备之后，令牌颁发器可以将分配给用户408的唯一ID 411供给到新的设备。

根据本发明的实施例，分配给设备上授权实体404的唯一ID 412在设备被翻新之后可能被擦除。此外，在授权令牌407和设备上 授权实体404之间的绑定会由于唯一ID412的擦除而断开。因此， 在设备被翻新之后，绑定到唯一ID412的授权令牌407可能在设备 402上不再有效。

此外，当设备402翻新时，设备上授权实体404可以被重新创建 或重新初始化。系统可以生成新的唯一ID，并且随后在后台服务器 401中的令牌颁发器403和设备402上新创建的授权的设备上实体 404之间共享该新的唯一ID。

此外，在设备402翻新之后，系统可以避免授权设备上操作406 的授权令牌407的重放。还有，系统允许将一个或多个授权令牌绑定 到单个用户的多个设备，并且可以克服与在授权令牌407内使用计数 器有关的去同步问题。

根据本发明的实施例，系统可以启用和支持基于唯一ID的管理 的各种用例。

例如，通过重放颁发给设备的授权令牌，系统支持在重置之后设 备上应用的恢复，在这种情况下，唯一ID在原始设备中被恢复。此 外，通过重放颁发给先前设备的授权令牌407，系统支持应用从该设 备到新获得的设备的恢复/转移，在这种情况下，唯一ID被复制到新 的设备。此外，通过在设备被翻新之后重放颁发给设备的授权令牌， 系统可以防止应用的安装，在这种情况下，可能必须产生不同的唯一 ID。

此外，系统允许在属于具有同一通用唯一ID的同一用户的若干 个设备之间共享应用。此外，系统允许在一组用户(例如，企业或家 庭)之间共享应用。这里，来自不同用户的不同设备可以绑定到除他 们每个自己的ID之外对应于该组的同一ID。随后，当用户离开该组 之后，系统可以从离开该组的用户的设备中去除对应于该组的ID。 因此，系统可以防止颁发给该组的令牌的任何进一步未授权重放。

此外，系统支持之前安装在其它设备上的应用恢复到新的设备上。 这里，新的设备可以分配有在先前设备中使用的唯一ID。

图5示出了根据本发明的实施例的、用于管理授权设备上操作的 令牌的示例性流程图。如在图5中所示，在步骤501，后台服务器中 的令牌颁发器可以生成绑定到一个或多个设备的用户的授权令牌。然 后，在步骤502，系统可以利用分配给用户的唯一标识符(ID)将授 权令牌绑定到设备上授权实体。此外，在步骤503，设备上授权实体 可以在准许一个或多个受保护的设备上操作执行之前验证授权令牌。

本发明的许多特征可以在硬件、软件、固件或其组合中、利用硬 件、软件、固件或其组合、或者在硬件、软件、固件或其组合的帮助 下执行。因此，本发明的特征可以利用处理系统(例如，包括一个或 多个处理器)来实现。

本发明的特征可以在计算机程序产品中、利用计算机程序产品、 或者在计算机程序产品的帮助下执行，其中计算机程序产品是其上/ 其中存储有可用来编程处理系统以执行本文所呈现的任何特征的指令 的存储介质或计算机可读介质。存储介质可以包括但不限于，任何类 型的盘，包括软盘、光盘、DVD、CD-ROM、微驱动器、以及磁光 盘、ROM、RAM、EPROM、EEPROM、DRAM、VRAM、闪存存 储器设备、磁或光卡、纳米系统(包括分子存储器IC)、或适于存 储指令和/或数据的任何类型的媒体或设备。

存储在任何一种机器可读介质中，本发明的特征可以被结合到软 件和/或固件中，用于控制处理系统的硬件，并且用于使处理系统能 够利用本发明的结果与其它机制交互。这种软件或固件可以包括但不 限于，应用代码、设备驱动程序、操作系统和执行环境/容器。

本发明的特征也可以利用例如诸如专用集成电路(ASIC)的硬 件部件在硬件中实现。实现硬件状态机使得执行本文所描述的功能对 相关领域的技术人员将是显而易见的。

此外，本发明可以方便地利用一个或多个常规的通用或专用数字 计算机、计算设备、机器或微处理器来实现，其中包括一个或多个处 理器、存储器和/或根据本公开内容的教导编程的计算机可读存储介 质。适当的软件编码可以容易地由熟练的程序员基于本公开内容的教 导来准备，如对软件领域的技术人员将显而易见的。

虽然以上已经描述了本发明的各种实施例，但是应该理解，它们 已作为例子而不是限制给出。对相关领域的技术人员来说，将很显然， 在不背离本发明的精神和范围的情况下，其中可以做出各种形式和细 节上的变化。

本发明已经借助说明具体功能及其关系的执行的功能构建块进行 了描述。这些功能构建块的边界在本文中通常是为了方便描述而任意 定义的。可以定义可替代的边界，只要具体的功能及其关系被适当地 执行。任何这种可替代的边界因此在本发明的范围和精神之内。

本发明的以上描述是为了说明和描述的目的提供。它不是穷尽的 或者要把本发明限定到所公开的精确形式。本发明的广度和范围不应 该由任何上述示例性实施例来限制。许多修改和变化对本领域技术人 员来说将显而易见。修改和变化包括所公开特征的任何相关组合。实 施例的选择与描述是为了最好地解释本发明的原理及其实践应用，从 而使本领域其他技术人员能够理解本发明用于各种实施例并且可以进 行适于预期特定用途的各种修改。本发明的范围要由以下权利要求及 其等价物来定义。