利用一個設(shè)備解鎖另一個設(shè)備的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般地涉及設(shè)備解鎖的方法和系統(tǒng)��,并且更具體地,涉及利用另一個設(shè)備解鎖一個設(shè)備�����。
【背景技術(shù)】
[0002]諸如智能電話和平板電腦的現(xiàn)代電子設(shè)備通常具有一個或多個鎖定/解鎖機(jī)制以保持設(shè)備安全����。要解鎖設(shè)備��,用戶可以在設(shè)備的登錄屏幕上輸入密碼或采用不同的機(jī)制��,比如用指紋掃描儀掃描其指紋��。這些機(jī)制通常在要被解鎖的設(shè)備上直接地執(zhí)行���。
【發(fā)明內(nèi)容】
[0003]本發(fā)明一般地涉及利用另一個設(shè)備解鎖一個設(shè)備�。如在本文中所提到的�����,可以解鎖另一個設(shè)備的設(shè)備可以是第一設(shè)備����,并且能夠被另一個設(shè)備解鎖的設(shè)備可以是第二設(shè)備。
[0004]在一種實施例中,公開了利用第一設(shè)備解鎖第二設(shè)備的方法�。例如,手持式電子設(shè)備可以解鎖從未通過交換秘密密鑰被解鎖的可穿戴設(shè)備���。該方法可以包括:將第一設(shè)備與第二設(shè)備配對��;建立與第二設(shè)備的信任關(guān)系��;利用每個設(shè)備中不同的設(shè)備密鑰(不能從設(shè)備中去除的)相互認(rèn)證兩個設(shè)備(即����,在設(shè)備間建立信任關(guān)系)�����;在設(shè)置過程中從第二設(shè)備接收秘密密鑰并將其存儲�����;及響應(yīng)接收用戶輸入���,將接收到的秘密密鑰發(fā)送到第二設(shè)備以解鎖第二設(shè)備��。換句話說����,第一設(shè)備可以首先聯(lián)系第二設(shè)備。第二設(shè)備然后可以向第一設(shè)備發(fā)送秘密并向用戶詢問密碼����。利用這個密碼,第二設(shè)備就可以推導(dǎo)主密鑰���、驗證解鎖和存儲托管記錄。該托管記錄包含通過解鎖密鑰加密的主密鑰以及通過主密鑰加密的解鎖密鑰���,使得每當(dāng)主密鑰改變時���,記錄可以被更新。
[0005]在另一種實施例中��,公開了第二設(shè)備被第一設(shè)備解鎖的方法�。例如,一個手持式設(shè)備可以解鎖另一個手持式設(shè)備���。該方法可以包括:建立與第二設(shè)備的信任關(guān)系�����;利用每個設(shè)備中的不同設(shè)備密鑰相互認(rèn)證兩個設(shè)備����;在注冊過程中向第一設(shè)備發(fā)送秘密密鑰;在接收到密碼后解鎖第二設(shè)備�����;從密碼中推導(dǎo)出主密鑰�;利用之前發(fā)送給第一設(shè)備的秘密密鑰加密主密鑰;從第一設(shè)備接收秘密密鑰��;利用接收到的秘密密鑰檢索主密鑰��;及利用主密鑰執(zhí)行解鎖操作����。換句話說,第一設(shè)備可以首先報到(check-1n)����、執(zhí)行相互認(rèn)證并與第二設(shè)備交換秘密。當(dāng)?shù)诙O(shè)備被第一次解鎖時(自從啟動)����,第二設(shè)備可以使主密鑰封裝到交換的秘密��。
[0006]在還有的另一種實施例中��,公開了能夠解鎖第二設(shè)備的第一設(shè)備�����。第一設(shè)備可以包括:配置為用于與第二設(shè)備配對的配對模塊�;配置為用于利用設(shè)備密鑰認(rèn)證自身的認(rèn)證模塊�;配置為用于從第二設(shè)備接收秘密密鑰的接收模塊;配置為用于處理從第一設(shè)備的輸入/輸出設(shè)備接收到的用戶輸入的用戶輸入處理模塊���;及配置為用于響應(yīng)用戶輸入,將接收到的秘密密鑰發(fā)送到第二設(shè)備以解鎖第二設(shè)備的發(fā)送模塊�����。
[0007]在還有的另一種實施例中����,公開了能夠被第一設(shè)備解鎖的第二設(shè)備。第二設(shè)備可以包括:配置為用于與第一設(shè)備配對的配對模塊��;配置為用于從第一設(shè)備接收公共設(shè)備密鑰和秘密密鑰的接收模塊�����;配置為用于利用與第二設(shè)備相關(guān)聯(lián)的私有設(shè)備密鑰簽署接收到的公共設(shè)備密鑰的密鑰簽署模塊;配置為用于向第一設(shè)備發(fā)送秘密密鑰的發(fā)送模塊��;配置為用于處理密碼的用戶輸入處理模塊��;配置為用于從密碼推導(dǎo)主密鑰的推導(dǎo)模塊���;配置為用于利用秘密密鑰加密主密鑰的加密模塊�;配置為用于利用接收到的秘密密鑰檢索主密鑰的檢索模塊���;及配置為用于利用主密鑰執(zhí)行解鎖操作的解鎖模塊����。
【附圖說明】
[0008]圖1根據(jù)本公開內(nèi)容的實施例示出了第一設(shè)備和第二設(shè)備�,其中第一設(shè)備能夠解鎖第二設(shè)備。
[0009]圖2是根據(jù)本公開內(nèi)容的實施例示出在利用第一設(shè)備解鎖第二設(shè)備的方法中的示例性步驟的流程圖�����。
[0010]圖3是根據(jù)本公開內(nèi)容的實施例示出在注冊過程中的示例性步驟的流程圖�。
[0011]圖4是根據(jù)本公開內(nèi)容的實施例示出在利用第一設(shè)備解鎖第二設(shè)備的方法中的示例性步驟的流程圖。
[0012]圖5是根據(jù)本公開內(nèi)容的實施例示出諸如圖1的第一設(shè)備或第二設(shè)備的設(shè)備的示例性模塊的框圖�。
[0013]圖6根據(jù)本公開內(nèi)容的實施例示出了在配對兩個設(shè)備中的示例性步驟�。
[0014]圖7根據(jù)本公開內(nèi)容的實施例示出在利用第一設(shè)備解鎖第二設(shè)備的方法中的示例性步驟���。
[0015]圖8是根據(jù)本公開內(nèi)容的實施例示出可以被另一個設(shè)備遠(yuǎn)程解鎖的第二設(shè)備的示例性模塊的框圖����。
[0016]圖9是根據(jù)本公開內(nèi)容的實施例示出可以執(zhí)行另一個設(shè)備的遠(yuǎn)程解鎖的第一設(shè)備的示例性模塊的框圖��。
[0017]圖10示出了諸如在本公開內(nèi)容的實施例中描述的第一設(shè)備或第二設(shè)備的計算機(jī)系統(tǒng)的示例性部件�。
【具體實施方式】
[0018]在以下示例實施例的描述中,參考了附圖��,其中通過圖示示出了可以被實踐的具體例子�。應(yīng)當(dāng)理解,在不背離各種實施例的范圍的情況下�����,可以使用其它的實施例并且可以做出結(jié)構(gòu)的改變����。
[0019]本發(fā)明一般地涉及利用另一個設(shè)備解鎖一個設(shè)備���。如在本文中所提到的�,可以解鎖另一個設(shè)備的設(shè)備可以是第一設(shè)備,并且能夠被另一個設(shè)備解鎖的設(shè)備可以是第二設(shè)備�����。
[0020]圖1示出了第一設(shè)備100和第二設(shè)備112�。在這個實施例中,第一設(shè)備100可以用于解鎖第二設(shè)備112��。第一設(shè)備可以是�����,例如���,智能電話��、平板電腦����、筆記本電腦�����、臺式電腦、Mac�、電子閱讀器、智能電視��、或游戲控制臺���、或能夠與另一個設(shè)備通信的任何其它設(shè)備�。第一設(shè)備1〇〇可以包括安全處理器���,諸如安全區(qū)域處理器(secure enclave processor����,SEP) 105,以及包括內(nèi)核108和用戶區(qū)域(user land) 110(通常也稱為用戶空間)的應(yīng)用處理器�����。SEP 105可以是與包含內(nèi)核108和用戶區(qū)域110的應(yīng)用處理器(AP)分開的處理器�����。用戶區(qū)域110可以促進(jìn)設(shè)備上第三方應(yīng)用的操作���。內(nèi)核108可以是操作系統(tǒng)(OS)的核心,并且向用戶區(qū)域提供多個接口和管理來自應(yīng)用的輸入/輸出(I/O)請求。在一些實施例中���,內(nèi)核108也可以執(zhí)行密鑰管理操作�,以保護(hù)設(shè)備100上的數(shù)據(jù)����。SEP 105可以是相對小的處理器,其可以定義密鑰管理模塊可以駐留其中的安全邊界��。密鑰在設(shè)備被解鎖或之前被解鎖時可以是可用的�。內(nèi)核108可以與SEP 105通信。
[0021]在這個實施例中���,SEP 105內(nèi)可以存在多個過程�����。如在圖1中所示出的�,SEP可以包括生物特征匹配模塊104和密鑰管理模塊106�。
[0022]第一設(shè)備100可以包括一個或多個鎖定/解鎖機(jī)制。其中一個解鎖第一設(shè)備的機(jī)制可以是通過在諸如觸摸屏或物理鍵盤的I/O設(shè)備上輸入密碼�。一旦輸入,該密碼可以經(jīng)過用戶區(qū)域110����、內(nèi)核108被攜帶到SEP 105��。SEP可以基于該密碼執(zhí)行推導(dǎo)����,以確定第一設(shè)備100是否可以被解鎖并嘗試解鎖其用戶數(shù)據(jù)密鑰集合�����。當(dāng)?shù)谝辉O(shè)備被解鎖時���,密鑰管理模塊106中的用戶數(shù)據(jù)密鑰可以變得對設(shè)備100可用��。
[0023]第一設(shè)備100還可以包括設(shè)計為利用用戶的指紋解鎖設(shè)備的指紋掃描儀102���。指紋掃描儀102可以捕獲指紋的圖像,并將圖像發(fā)送到生物特征匹配模塊104用于處理�����。在生物特征匹配模塊驗證所捕獲的指紋圖像之后��,它可以將隨機(jī)密鑰交還給密鑰管理模塊106����,其可以提示密鑰管理模塊106中的密鑰對設(shè)備100變得可用。生物特征匹配模塊104可以可選地在它完成指紋分析之后在存儲器中持有隨機(jī)密鑰�。
[0024]如在圖1中所示出的,第二設(shè)備112可以包括與第一設(shè)備相同的部件�。例如,第二設(shè)備112也可以包括SEP 116以及包括內(nèi)核118和用戶區(qū)域120的應(yīng)用處理器����。SEP 116、內(nèi)核118和用戶區(qū)域120可以以類似于其第一設(shè)備100中的對應(yīng)物的方式操作���。與第一設(shè)備不同���,在這個實施例中,第二設(shè)備可以不包括指紋掃描儀��??商娲兀诙O(shè)備可以具有指紋掃描儀���。在一些實施例中����,第二設(shè)備112可以不具有SEP 116和生物特征匹配模塊,并且密鑰管理模塊122可以駐留在內(nèi)核118中��。
[0025]在一個例子中�����,第一設(shè)備可以是具有指紋掃描儀的iPhone�����,并且第二設(shè)備可以是iPad����、可穿戴設(shè)備或不具有指紋掃描儀的任何其它設(shè)備。
[0026]如上所述���,當(dāng)利用密碼解鎖了第一設(shè)備時�����,第一設(shè)備的生物特征匹配模塊104可以從密鑰管理模塊106接收秘密(例如�,隨機(jī)密鑰)���,并且當(dāng)通過指紋匹配解鎖第一設(shè)備時將秘密交付到密鑰管理模塊�。在以下描述的實施例中,第一設(shè)備100可以基于類似的原理解鎖第二設(shè)備112���。特別地�����,通過指紋傳感器接收到的指紋圖像可以使第一設(shè)備100的生物特征匹配模塊104交出秘密密鑰。不是解鎖第一設(shè)備�,而是它可以使密鑰管理模塊106向其它設(shè)備112上的密鑰管理模塊122發(fā)布秘密。這個秘密密鑰可以通過連接兩個設(shè)備100���,102上的密鑰管理模塊106,122兩者的通信信道130,經(jīng)過第一設(shè)備100的用戶區(qū)域110,并且經(jīng)過第二設(shè)備112的用戶區(qū)域120被傳遞到第二設(shè)備112的SEP 116�����。秘密密鑰然后可以用來解鎖第二設(shè)備112,如將在以下實施例中詳細(xì)描述的���。
[0027]如果其中一個設(shè)備包括SEP而另一個不包括,則具有SEP的設(shè)備可以拒絕將其密鑰發(fā)送到?jīng)]有SEP的設(shè)備���,以避免具有較弱保護(hù)的設(shè)備能夠解鎖具有較強(qiáng)保護(hù)的設(shè)備�。因此��,在信息(例如,用于遠(yuǎn)程解鎖其它設(shè)備的一個或多個密鑰)在設(shè)備間進(jìn)行傳輸之前����,設(shè)備可以將彼此認(rèn)證為可信任的設(shè)備(例如,具有SEP的設(shè)備)�。
[0028]首先,可以使用公用密鑰來驗證與第一和第二設(shè)備中的每個設(shè)備相關(guān)聯(lián)的設(shè)備密鑰(以下討論)是被可信任設(shè)備的SEP擁有的���。例如�,在一種實施例中���,遠(yuǎn)程解鎖操作可以只在具有相同類型SE