利用一個設備解鎖另一個設備的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般地涉及設備解鎖的方法和系統(tǒng),并且更具體地��,涉及利用另一個設備解鎖一個設備���。
【背景技術(shù)】
[0002]諸如智能電話和平板電腦的現(xiàn)代電子設備通常具有一個或多個鎖定/解鎖機制以保持設備安全���。要解鎖設備,用戶可以在設備的登錄屏幕上輸入密碼或采用不同的機制��,比如用指紋掃描儀掃描其指紋����。這些機制通常在要被解鎖的設備上直接地執(zhí)行����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明一般地涉及利用另一個設備解鎖一個設備��。如在本文中所提到的����,可以解鎖另一個設備的設備可以是第一設備�����,并且能夠被另一個設備解鎖的設備可以是第二設備����。
[0004]在一種實施例中,公開了利用第一設備解鎖第二設備的方法�。例如,手持式電子設備可以解鎖從未通過交換秘密密鑰被解鎖的可穿戴設備����。該方法可以包括:將第一設備與第二設備配對;建立與第二設備的信任關(guān)系��;利用每個設備中不同的設備密鑰(不能從設備中去除的)相互認證兩個設備(即���,在設備間建立信任關(guān)系)�����;在設置過程中從第二設備接收秘密密鑰并將其存儲�;及響應接收用戶輸入,將接收到的秘密密鑰發(fā)送到第二設備以解鎖第二設備��。換句話說����,第一設備可以首先聯(lián)系第二設備。第二設備然后可以向第一設備發(fā)送秘密并向用戶詢問密碼�����。利用這個密碼����,第二設備就可以推導主密鑰、驗證解鎖和存儲托管記錄�。該托管記錄包含通過解鎖密鑰加密的主密鑰以及通過主密鑰加密的解鎖密鑰,使得每當主密鑰改變時����,記錄可以被更新�����。
[0005]在另一種實施例中�,公開了第二設備被第一設備解鎖的方法�。例如,一個手持式設備可以解鎖另一個手持式設備�。該方法可以包括:建立與第二設備的信任關(guān)系;利用每個設備中的不同設備密鑰相互認證兩個設備���;在注冊過程中向第一設備發(fā)送秘密密鑰;在接收到密碼后解鎖第二設備���;從密碼中推導出主密鑰����;利用之前發(fā)送給第一設備的秘密密鑰加密主密鑰����;從第一設備接收秘密密鑰;利用接收到的秘密密鑰檢索主密鑰����;及利用主密鑰執(zhí)行解鎖操作�。換句話說��,第一設備可以首先報到(check-1n)����、執(zhí)行相互認證并與第二設備交換秘密。當?shù)诙O備被第一次解鎖時(自從啟動)���,第二設備可以使主密鑰封裝到交換的秘密��。
[0006]在還有的另一種實施例中���,公開了能夠解鎖第二設備的第一設備。第一設備可以包括:配置為用于與第二設備配對的配對模塊�;配置為用于利用設備密鑰認證自身的認證模塊;配置為用于從第二設備接收秘密密鑰的接收模塊���;配置為用于處理從第一設備的輸入/輸出設備接收到的用戶輸入的用戶輸入處理模塊�;及配置為用于響應用戶輸入��,將接收到的秘密密鑰發(fā)送到第二設備以解鎖第二設備的發(fā)送模塊��。
[0007]在還有的另一種實施例中�,公開了能夠被第一設備解鎖的第二設備�����。第二設備可以包括:配置為用于與第一設備配對的配對模塊��;配置為用于從第一設備接收公共設備密鑰和秘密密鑰的接收模塊��;配置為用于利用與第二設備相關(guān)聯(lián)的私有設備密鑰簽署接收到的公共設備密鑰的密鑰簽署模塊��;配置為用于向第一設備發(fā)送秘密密鑰的發(fā)送模塊�;配置為用于處理密碼的用戶輸入處理模塊���;配置為用于從密碼推導主密鑰的推導模塊���;配置為用于利用秘密密鑰加密主密鑰的加密模塊��;配置為用于利用接收到的秘密密鑰檢索主密鑰的檢索模塊����;及配置為用于利用主密鑰執(zhí)行解鎖操作的解鎖模塊。
【附圖說明】
[0008]圖1根據(jù)本公開內(nèi)容的實施例示出了第一設備和第二設備��,其中第一設備能夠解鎖第二設備�。
[0009]圖2是根據(jù)本公開內(nèi)容的實施例示出在利用第一設備解鎖第二設備的方法中的示例性步驟的流程圖����。
[0010]圖3是根據(jù)本公開內(nèi)容的實施例示出在注冊過程中的示例性步驟的流程圖���。
[0011]圖4是根據(jù)本公開內(nèi)容的實施例示出在利用第一設備解鎖第二設備的方法中的示例性步驟的流程圖���。
[0012]圖5是根據(jù)本公開內(nèi)容的實施例示出諸如圖1的第一設備或第二設備的設備的示例性模塊的框圖。
[0013]圖6根據(jù)本公開內(nèi)容的實施例示出了在配對兩個設備中的示例性步驟��。
[0014]圖7根據(jù)本公開內(nèi)容的實施例示出在利用第一設備解鎖第二設備的方法中的示例性步驟�。
[0015]圖8是根據(jù)本公開內(nèi)容的實施例示出可以被另一個設備遠程解鎖的第二設備的示例性模塊的框圖。
[0016]圖9是根據(jù)本公開內(nèi)容的實施例示出可以執(zhí)行另一個設備的遠程解鎖的第一設備的示例性模塊的框圖�����。
[0017]圖10示出了諸如在本公開內(nèi)容的實施例中描述的第一設備或第二設備的計算機系統(tǒng)的示例性部件���。
【具體實施方式】
[0018]在以下示例實施例的描述中����,參考了附圖����,其中通過圖示示出了可以被實踐的具體例子����。應當理解��,在不背離各種實施例的范圍的情況下���,可以使用其它的實施例并且可以做出結(jié)構(gòu)的改變�。
[0019]本發(fā)明一般地涉及利用另一個設備解鎖一個設備�。如在本文中所提到的,可以解鎖另一個設備的設備可以是第一設備���,并且能夠被另一個設備解鎖的設備可以是第二設備��。
[0020]圖1示出了第一設備100和第二設備112��。在這個實施例中�,第一設備100可以用于解鎖第二設備112���。第一設備可以是,例如�����,智能電話、平板電腦�����、筆記本電腦��、臺式電腦����、Mac、電子閱讀器�、智能電視、或游戲控制臺�����、或能夠與另一個設備通信的任何其它設備����。第一設備1〇〇可以包括安全處理器,諸如安全區(qū)域處理器(secure enclave processor����,SEP) 105,以及包括內(nèi)核108和用戶區(qū)域(user land) 110(通常也稱為用戶空間)的應用處理器。SEP 105可以是與包含內(nèi)核108和用戶區(qū)域110的應用處理器(AP)分開的處理器。用戶區(qū)域110可以促進設備上第三方應用的操作��。內(nèi)核108可以是操作系統(tǒng)(OS)的核心�����,并且向用戶區(qū)域提供多個接口和管理來自應用的輸入/輸出(I/O)請求�����。在一些實施例中�,內(nèi)核108也可以執(zhí)行密鑰管理操作,以保護設備100上的數(shù)據(jù)�。SEP 105可以是相對小的處理器,其可以定義密鑰管理模塊可以駐留其中的安全邊界���。密鑰在設備被解鎖或之前被解鎖時可以是可用的�����。內(nèi)核108可以與SEP 105通信���。
[0021]在這個實施例中�����,SEP 105內(nèi)可以存在多個過程。如在圖1中所示出的����,SEP可以包括生物特征匹配模塊104和密鑰管理模塊106。
[0022]第一設備100可以包括一個或多個鎖定/解鎖機制�����。其中一個解鎖第一設備的機制可以是通過在諸如觸摸屏或物理鍵盤的I/O設備上輸入密碼�����。一旦輸入�����,該密碼可以經(jīng)過用戶區(qū)域110��、內(nèi)核108被攜帶到SEP 105��。SEP可以基于該密碼執(zhí)行推導�����,以確定第一設備100是否可以被解鎖并嘗試解鎖其用戶數(shù)據(jù)密鑰集合。當?shù)谝辉O備被解鎖時���,密鑰管理模塊106中的用戶數(shù)據(jù)密鑰可以變得對設備100可用��。
[0023]第一設備100還可以包括設計為利用用戶的指紋解鎖設備的指紋掃描儀102����。指紋掃描儀102可以捕獲指紋的圖像�����,并將圖像發(fā)送到生物特征匹配模塊104用于處理���。在生物特征匹配模塊驗證所捕獲的指紋圖像之后�,它可以將隨機密鑰交還給密鑰管理模塊106���,其可以提示密鑰管理模塊106中的密鑰對設備100變得可用���。生物特征匹配模塊104可以可選地在它完成指紋分析之后在存儲器中持有隨機密鑰。
[0024]如在圖1中所示出的���,第二設備112可以包括與第一設備相同的部件�����。例如����,第二設備112也可以包括SEP 116以及包括內(nèi)核118和用戶區(qū)域120的應用處理器���。SEP 116�����、內(nèi)核118和用戶區(qū)域120可以以類似于其第一設備100中的對應物的方式操作��。與第一設備不同����,在這個實施例中��,第二設備可以不包括指紋掃描儀�����?���?商娲?,第二設備可以具有指紋掃描儀���。在一些實施例中��,第二設備112可以不具有SEP 116和生物特征匹配模塊�,并且密鑰管理模塊122可以駐留在內(nèi)核118中����。
[0025]在一個例子中,第一設備可以是具有指紋掃描儀的iPhone�����,并且第二設備可以是iPad���、可穿戴設備或不具有指紋掃描儀的任何其它設備�。
[0026]如上所述�,當利用密碼解鎖了第一設備時,第一設備的生物特征匹配模塊104可以從密鑰管理模塊106接收秘密(例如��,隨機密鑰)�,并且當通過指紋匹配解鎖第一設備時將秘密交付到密鑰管理模塊����。在以下描述的實施例中�,第一設備100可以基于類似的原理解鎖第二設備112。特別地����,通過指紋傳感器接收到的指紋圖像可以使第一設備100的生物特征匹配模塊104交出秘密密鑰���。不是解鎖第一設備�����,而是它可以使密鑰管理模塊106向其它設備112上的密鑰管理模塊122發(fā)布秘密��。這個秘密密鑰可以通過連接兩個設備100���,102上的密鑰管理模塊106,122兩者的通信信道130,經(jīng)過第一設備100的用戶區(qū)域110,并且經(jīng)過第二設備112的用戶區(qū)域120被傳遞到第二設備112的SEP 116。秘密密鑰然后可以用來解鎖第二設備112,如將在以下實施例中詳細描述的�。
[0027]如果其中一個設備包括SEP而另一個不包括,則具有SEP的設備可以拒絕將其密鑰發(fā)送到?jīng)]有SEP的設備����,以避免具有較弱保護的設備能夠解鎖具有較強保護的設備�����。因此���,在信息(例如,用于遠程解鎖其它設備的一個或多個密鑰)在設備間進行傳輸之前����,設備可以將彼此認證為可信任的設備(例如,具有SEP的設備)��。
[0028]首先�,可以使用公用密鑰來驗證與第一和第二設備中的每個設備相關(guān)聯(lián)的設備密鑰(以下討論)是被可信任設備的SEP擁有的。例如����,在一種實施例中,遠程解鎖操作可以只在具有相同類型SE