[发明专利]安全地将计算设备配对

说明书

在实施例中，装置包括安全存储器，用于存储具有将被与装置配对的设备的标识符以及在装置和设备之间共享的主密钥的条目，以及连接逻辑，用于使装置能根据连接协议被安全地连接到设备，在连接协议中基于接收自设备的标识符和主密钥来认证设备。描述其他实施例并要求它们的权利。

技术领域

实施例涉及安全地将计算设备配对。

背景技术

由于各种计算设备朝向更小形状因数的推动，一个开发领域在由可分离部分制成的平台的设计中。例如，一些制造商开始提供移动平台形状因数，具有诸如2合1系统或具有两个或多个可分离部分的其他系统的可分离设计。在该形状因数从可用性的角度来看为用户提供益处（其中，用户可将平台作为平板计算机或作为常规蛤壳式膝上型计算机使用）的同时，其也从安全的角度引发了新平台的漏洞。

附图说明

图1是根据本发明的实施例的便携系统的图示。

图2是根据本发明的实施例的安全连接协议的第一流程图。

图3是根据本发明的实施例的安全连接协议的第二流程图。

图4示出了本发明的实施例中的配对协议和连接协议的时序示图。

图5是根据本发明的实施例的对系统的可分离部分和基座部分的连接的另一时序示图。

图6是根据本发明的实施例的系统的部分的框图。

图7是根据本发明的实施例的系统布置的框图。

图8是实施例可以与其一起使用的另一示例系统的框图。

图9是根据本发明的另一实施例的系统的框图。

具体实施方式

实施例可用于执行一个或多个平台的不同物理部分的配对/绑定。尤其当这些部分是智能的（即包括一些形式的存储设备以存储标识信息、存储器和中央处理单元（CPU））时可执行此类操作，来提供关于哪些设备被允许连接以及以哪种方式（例如，是否允许远程耦合）的控制。当这些部分被分离时（例如，以点对点的方式），实施例可进一步维持连接性。

在各实施例中，平台的多个部分可以被安全地配对和连接，首先经由配对协议，其在实施例中可利用常规无线配对协议，并且然后经由连接协议保护连接，其可利用常规无线连接协议。在各实施例中，根据给定的策略，当设备经由物理连接（例如，线或物理连接器）被直接地连接时，至少可以执行设备之间的配对协议。此外，注意在一些实施例中，对于可分离平台的在制造期间已被预配对的部分，可避免配对协议。在未执行此类预配对的情况下，通过执行直接连接配对，安全可被提高，特别是在不同部分上的用户认证之后（其在一些实施例中可以是多因子认证）当用户启动配对协议时，例如，根据在一个或多个部分上的输入设备的用户致动而作出的配对请求。

在各实施例中，在配对协议和连接协议期间，设备均可在受信任执行环境（TEE）中执行，其可采取在不同部分上执行的硬件、固件和软件的组合的形式，使得设备可证实受信任的或安全的环境，在其中秘密被有效地保护，并且对在安全存储器中被存储的秘密到安全处理器的传递经由不受信任的实体（包括不受信任操作系统（OS）或在平台上执行的恶意软件）不能监听或攻击的受信任信道发送。尽管实施例在这方面不受限制，在一些情况下，TEE可以采取Intel®软件防护扩展（SGX）飞地的形式，在其中处理器被提供了用于处理指令集的高级安全指令（或该处的扩展）的硬件支持或为多种安全操作提供硬件支持的Intel^®融合安全可管理引擎。当然，在其他情况下，其他制造商的处理器（例如基于ARM架构的处理器，例如Coretex核设计）可用于执行本文中所描述的安全操作。

由此，实施例提供用于安全地配对和连接其中各自在受信任执行环境内执行的多个设备的技术，使得平台级别的共享秘密可以被安全地存储并且为了创建配对和连接的目的被使用，使得被连接的设备之间的进一步传递可以被加密保护。