用于對網(wǎng)絡(luò)路徑中的計算設(shè)備的地理位置進行證明的技術(shù)的制作方法
【專利摘要】用于對網(wǎng)絡(luò)路徑中的計算設(shè)備進行地理位置證明的技術(shù)�,其包括驗證設(shè)備,該驗證設(shè)備用于生成安全跟蹤分組�����,使得安全跟蹤分組包括與安全跟蹤分組從驗證設(shè)備的離開時間相對應(yīng)的時間戳��。該計算設(shè)備向網(wǎng)絡(luò)路徑中的計算設(shè)備傳送安全跟蹤分組��。網(wǎng)絡(luò)路徑標識一個或多個中間計算設(shè)備�,通過上述中間計算設(shè)備將安全跟蹤分組從驗證設(shè)備向目標計算設(shè)備傳送。該計算設(shè)備驗證由驗證計算設(shè)備從計算設(shè)備接收的經(jīng)密碼簽名的安全跟蹤分組的簽名并基于經(jīng)密碼簽名的安全跟蹤分組和參考網(wǎng)絡(luò)路徑數(shù)據(jù)來確定網(wǎng)絡(luò)路徑的子路徑是否被授權(quán)���,其中參考網(wǎng)絡(luò)路徑數(shù)據(jù)指示在網(wǎng)絡(luò)路徑中的兩個計算設(shè)備之間所允許的最大地理距離����。
【專利說明】用于對網(wǎng)絡(luò)路徑中的計算設(shè)備的地理位置進行證明的技術(shù)
【背景技術(shù)】
[0001] 在各種情況下�,對于特定的數(shù)據(jù)中心客戶而言重要的是數(shù)據(jù)中心和/或任何通信 傳輸被維持在諸如特定的國家或地區(qū)之類的特定的地理位置內(nèi)。例如���,美國政府可能期望 利用美國地理疆界內(nèi)的計算設(shè)備來進行與特定項目相關(guān)的所有的操作和通信����。此外����,在一 些情況下,攻擊者甚至可能試圖惡意地并秘密地移除系統(tǒng)并將其重新定位在數(shù)據(jù)中心之外 以便分析該系統(tǒng)和其在運行中的業(yè)務(wù)��。但是�����,通常難以確定目標計算設(shè)備的地理位置和/或 在數(shù)據(jù)中心與目標計算系統(tǒng)之間的網(wǎng)絡(luò)路徑中特定的中間計算系統(tǒng)的地理位置�����。由此��,數(shù) 據(jù)中心可能難以向這些用戶提供這樣的保證�。為了提供一些地理位置信息,一些數(shù)據(jù)中心 利用試圖將計算系統(tǒng)與已經(jīng)具有已知位置的組件(例如�����,支撐計算系統(tǒng)的計算機柜)物理地 相關(guān)聯(lián)的基于硬件的解決方案�����。然而����,這樣的解決方案經(jīng)常需要專門的硬件和/或其它機制 來檢測硬件組件自身之間的連接�。
【附圖說明】
[0002] 通過示例的方式而不是限制的方式在附圖中示出了本申請中描述的概念�����。為了示 出的簡潔和清晰性�����,在附圖中示出的元件不一定按照比例繪制�。在認為合適的情況下,在附 圖中重復附圖標記來指示相對應(yīng)的或類似的元件����。
[0003] 圖1是用于證明網(wǎng)絡(luò)路中的計算設(shè)備的地理位置的系統(tǒng)的至少一個實施例的簡化 的框圖;
[0004] 圖2是圖1中的系統(tǒng)的計算設(shè)備的至少一個實施例的簡化的框圖�����;
[0005] 圖3是圖1中的系統(tǒng)的驗證計算設(shè)備的環(huán)境的至少一個實施例的簡化的框圖����;
[0006] 圖4是圖2的計算設(shè)備的環(huán)境的至少一個實施例的簡化的框圖;
[0007] 圖5是可以由圖1中的系統(tǒng)的驗證計算設(shè)備執(zhí)行的用于證明網(wǎng)絡(luò)路徑中的計算設(shè) 備的地理位置的方法的至少一個實施例的簡化流程圖;
[0008] 圖6-7是可以由圖1中的系統(tǒng)的計算設(shè)備執(zhí)行的用于便于證明網(wǎng)絡(luò)路徑中的計算 設(shè)備的地理位置的方法的至少一實施例的簡化的流程圖��;以及
[0009] 圖8是圖5-7的方法的至少一個實施例的簡化的流程圖��。
【具體實施方式】
[0010] 雖然本公開的概念易受到各種修改和可替代的形式的影響���,但是在附圖中通過示 例的方式已經(jīng)示出了其特定實施例,且將在本申請中詳細描述����。然而,應(yīng)該理解的是���,并不 意在將本公開的概念限制到所公開的特定的形式���,而是相反,其意在覆蓋與本公開和所附 權(quán)利要求一致的所有修改�、等同物、和替代物����。
[0011]在說明書中提及的"一個實施例"、"一實施例"��、"說明性實施例"等指示了所描述 的實施例可以包括特定的特征、結(jié)構(gòu)或特性��,但是每一個實施例可以包括或不一定包括該 特定的特征�����、結(jié)構(gòu)和特性�。此外,這樣的短語不必指相同的實施例�����。此外�,當結(jié)合一實施例描 述特定的特征、結(jié)構(gòu)或特性時�����,所主張的是����,結(jié)合無論是否進行了明確描述的其他實施例來 實現(xiàn)這樣的特征、結(jié)構(gòu)或特性是在本領(lǐng)域的技術(shù)人員的知識范圍之內(nèi)的���。此外����,應(yīng)該明白的 是,在以"至少一個A��、B和C"的形式的列表中包含的項可以指(A); (B); (C); (A和B); (B和C); (A和C);或(A��、B和C)����。類似地���,在以"A��、B����、或C中的至少一個"的形式列出的項可以指(A); (B);(C);(A和B);(B和C);(A和C);或(A��、B和C)����。
[0012] 在一些情況下,可以以硬件�����、固件、軟件或其任何組合來實現(xiàn)所公開的實施例�。所 公開的實施例還可以被實現(xiàn)為由一個或多個暫時性或非暫時性機器可讀(例如,計算機可 讀)存儲介質(zhì)承載的或在其上存儲的指令���,該指令可以由一個或多個處理器讀取或執(zhí)行��。機 器可讀存儲介質(zhì)可以被實施為任何存儲設(shè)備����、機制�����、或用于以機器可讀的形式存儲或發(fā)送 信息的其他物理結(jié)構(gòu)(例如�,易失性或非易失性存儲器、多媒體光盤��、或其它媒體設(shè)備)�����。
[0013] 在附圖中�,以特定的布置和/或順序示出了一些結(jié)構(gòu)或方法特征��。然而�,應(yīng)該明白 的是�,這樣的特定的布置和/或順序可能是非必須的。相反����,在一些實施例中,可以以與說明 性附圖中所示出的不同的方式和/或順序來布置這樣的特征����。此外,將結(jié)構(gòu)和方法特征包含 在特定的附圖中并不意在暗指在所有的實施例中都要求這樣的特征�����,且在一些實施例中��, 可以不包含這些特征或可以與其他特征結(jié)合����。
[0014]現(xiàn)在參考圖1���,用于證明網(wǎng)絡(luò)路徑中的計算設(shè)備的地理位置的系統(tǒng)100包括驗證計 算設(shè)備102����、網(wǎng)絡(luò)104、以及一個或多個計算設(shè)備106�。盡管在圖1中僅說明性地示出了一個驗 證計算設(shè)備102和一個網(wǎng)絡(luò)104,但是系統(tǒng)100可以在其他實施例中包含任何數(shù)量的驗證計 算設(shè)備102和/或網(wǎng)絡(luò)104。根據(jù)特定的網(wǎng)絡(luò)流�����,例如���,驗證計算設(shè)備102可以通過若干其他的 計算設(shè)備1〇6(即���,中間計算設(shè)備)向目標計算設(shè)備106發(fā)送網(wǎng)絡(luò)分組。具體地�����,在說明性的實 施例中���,系統(tǒng)100的計算設(shè)備102��、106可以以串聯(lián)的關(guān)系來建立�,使得驗證計算設(shè)備102通過 第一網(wǎng)絡(luò)104與第一計算設(shè)備106通信�����,第一計算設(shè)備106通過第二網(wǎng)絡(luò)104與第二計算設(shè)備 106通信等,直到來自驗證計算設(shè)備102的傳輸?shù)竭_目標計算設(shè)備106為止���。由此�,在一些實 施例中�����,驗證計算設(shè)備102不具有到每一個計算設(shè)備106的直接通信連接�。
[0015]如下文所詳細描述的,驗證計算設(shè)備102確認在驗證計算設(shè)備102與目標計算設(shè)備 l〇6(即���,特定網(wǎng)絡(luò)分組所指向的計算設(shè)備)之間的網(wǎng)絡(luò)路徑中的每一跳(即����,每一個計算設(shè) 備106)在授權(quán)的地理位置中����。具體地��,網(wǎng)絡(luò)路徑中的計算設(shè)備106中的每一個可以對被返回 到驗證計算設(shè)備102以如下文所描述的進行分析的安全跟蹤分組(例如���,包含進入和/或離 開時間戳的網(wǎng)絡(luò)分組)"遞增式地"進行簽名�。應(yīng)該明白的是,根據(jù)特定的實施例����,驗證計算 設(shè)備102可以確認網(wǎng)絡(luò)路徑中的一個或多個子路徑(例如,在兩個計算設(shè)備106之間的網(wǎng)絡(luò) 連接)和/或整個網(wǎng)絡(luò)路徑以推斷計算設(shè)備106的地理位置��。此外�����,在一些實施例中��,通過測 量在跳之間流逝的時間(例如����,特定子路徑的持續(xù)時間),驗證計算設(shè)備102可以減輕系統(tǒng) 100上的中間人和插入攻擊的可能性��。
[0016]現(xiàn)在參考圖2,示出了計算設(shè)備106中的一個的說明性實施例�����。計算設(shè)備106中的每 一個可以被實施為能夠執(zhí)行本申請中描述的功能的任何類型的計算設(shè)備��。例如,計算設(shè)備 106中的每一個可以被實施為臺式計算機�、服務(wù)器、路由器���、交換機����、膝上型計算機���、平板計 算機�、筆記本�����、上網(wǎng)本��、超級本?��、蜂窩電話�����、智能電話�、可穿戴計算設(shè)備、個人數(shù)字助理�、移動 互聯(lián)網(wǎng)設(shè)備、混合設(shè)備�����、和/或任何其他的計算/通信設(shè)備�����。如在圖2中所示出的��,說明性計算 設(shè)備106包括處理器110��、輸入/輸出("I/O")子系統(tǒng)112�����、存儲器114���、數(shù)據(jù)存儲設(shè)備116�����、通信 電路118���、安全協(xié)處理器120�����、安全定時源122����、以及一個或多個外圍設(shè)備124���。此外�,在一些實 施例中�,計算設(shè)備106可以包括管理設(shè)備126。當然��,在其他實施例中�����,計算設(shè)備106可以包括 其他的或另外的組件����,例如通常在典型的計算設(shè)備中找到的組件(例如����,各種輸入/輸出設(shè) 備和/或其他組件)��。此外����,在一些實施例中���,說明性的組件中的一個或多個可以被并入另一 組件中或另外形成另一組件的一部分����。例如�����,在一些實施例中���,存儲器114或其一部分可以 被并入處理器110中���。
[0017] 處理器110可以被實施為能夠執(zhí)行本申請中描述的功能的任何類型的處理器。例 如�����,處理器110可以被實施為單核或多核處理器、數(shù)字信號處理器�、微控制器、或其他處理器 或處理/控制電路�。類似地,存儲器114可以被實施為能夠執(zhí)行本申請中描述的功能的任何 類型的易失性或非易失性存儲器或數(shù)據(jù)存儲設(shè)備���。在操作中����,存儲器114可以存儲在計算設(shè) 備106的操作期間使用的各種數(shù)據(jù)和軟件���,例如操作系統(tǒng)���、應(yīng)用、程序���、庫�����、以及驅(qū)動器��。存儲 器114經(jīng)由I/O子系統(tǒng)112通信地耦合到處理器110�,1/0子系統(tǒng)112可以被實施為便于與處理 器110、存儲器114��、以及計算設(shè)備106的其他組件的輸入/輸出操作的電路和/或組件�����。例如����, I/O子系統(tǒng)112可以被實施為或另外包括存儲器控制器集線器�����、輸入/輸出控制集線器����、固件 設(shè)備、通信鏈路(即�,點對點鏈路、總線鏈路��、線���、線纜�����、光導����、印刷電路板跡線等)和/或便于 輸入/輸出操作的其他組件和子系統(tǒng)。在一些實施例中�����,I/O子系統(tǒng)112可以形成片上系統(tǒng) (SoC)的一部分并與處理器110�����、存儲器114���、計算設(shè)備106的其他組件一起并入單個集成電 路芯片���。
[0018] 數(shù)據(jù)存儲設(shè)備116可以被實施為被配置用于短期或長期存儲數(shù)據(jù)的任何類型的設(shè) 備,諸如例如存儲設(shè)備和電路����、存儲卡��、硬盤驅(qū)動器�、固態(tài)驅(qū)動器����、或其他數(shù)據(jù)存儲設(shè)備。數(shù) 據(jù)存儲設(shè)備116和/或存儲器114可以存儲在計算設(shè)備106的操作期間對執(zhí)行本申請中描述 的功能有用的各種數(shù)據(jù)�����。例如����,計算設(shè)備106可以包括識別特定網(wǎng)絡(luò)路徑/流中的各種計算 設(shè)備102�、106的表格。
[0019]通信電路118可以被實施為能夠通過網(wǎng)絡(luò)104在計算設(shè)備106與其他遠程設(shè)備(例 如�,驗證計算設(shè)備102和其他計算設(shè)備106)之間實現(xiàn)通信的任何通信電路、設(shè)備���、或其組合���。 通信電路118可以被配置為使用任何一個或多個通信技術(shù)(例如,無線或有線通信)以及相 關(guān)聯(lián)的協(xié)議(例如�,以太網(wǎng)�����、藍牙?�、Wi-Fi?���、WiMAX等)來實現(xiàn)這樣的通信��。如所示出的��,在 說明性的實施例中����,通信電路118包括網(wǎng)絡(luò)控制器128(例如���,網(wǎng)絡(luò)接口卡)�����。應(yīng)該明白的是�����, 網(wǎng)絡(luò)控制器128可以被實施為能夠執(zhí)行本申請中描述的功能的任何組件或電路��。在一些實 施例中��,網(wǎng)絡(luò)控制器128包括將分組路由到管理設(shè)備124(例如���,管理性控制器)或直接到安 全協(xié)處理器120的邊帶濾波組件或能力����。即���,網(wǎng)絡(luò)控制器128可以通過在這些組件和/或管理 設(shè)備126之間的帶外通信信道來與安全協(xié)處理器120通信�。此外�,在一些實施例中����,網(wǎng)絡(luò)控制 器128識別相關(guān)的分組并將其路由到管理設(shè)備126或安全協(xié)處理器120并將該業(yè)務(wù)與去往或 來自主機操作系統(tǒng)的帶內(nèi)業(yè)務(wù)交織。
[0020]安全協(xié)處理器120可以被實施為能夠執(zhí)行密碼�����、證明和本申請中描述的其他功能 的任何硬件組件或電路��。例如��,安全協(xié)處理器120可以被實施為信任平臺模塊(TPM)、聚合安 全和可管理引擎(CSME)�、安全引擎、或帶外處理器��。如本申請中所描述的�,在一些實施例中, 安全協(xié)處理器120可以建立與網(wǎng)絡(luò)控制器128的帶外通信鏈路(例如���,通過管理設(shè)備126)�����。根 據(jù)特定的實施例�,安全協(xié)處理器120可以執(zhí)行各種與安全相關(guān)的功能(例如�����,證明����、加密/解 密、密碼簽名生成/驗證��、認證生成/驗證、和/或其他安全功能)�����。例如��,在一些實施例中�,安 全協(xié)處理器120(例如,TPM)可以利用密碼密鑰(例如���,私有TPM密鑰)來進行預配置/提供該 密碼密鑰�����,其中該密碼密鑰可以用于對從其他計算設(shè)備102���、106接收的網(wǎng)絡(luò)分組進行加密 性簽名(例如,通過對時間戳值的哈希和/或安全跟蹤分組的其他部分進行簽名)���。
[0021] 安全定時源122可以被實施為能夠提供安全定時信號以及另外執(zhí)行本申請中描述 的功能的任何硬件組件或電路。例如�,在說明性的實施例中,安全定時源122可以生成分離 的且在功能上獨立于計算設(shè)備106的其他時鐘源的定時信號���。由此��,在這樣的實施例中,安 全定時源122可以免于或抵抗被諸如例如在計算設(shè)備106上執(zhí)行的軟件之類的其它實體修 改���。應(yīng)該明白的是����,在一些實施例中,安全定時源122可以被實施為獨立的組件或電路�,而在 其他實施例中�����,安全定時源122可以與另一組件(例如,處理器110�����、安全協(xié)處理器120�����、管理 設(shè)備126、或網(wǎng)絡(luò)控制器128、和/或另一組件)集成或形成上述另一組件的安全部分����。例如�����, 在一些實施例中,安全定時源122可以經(jīng)由片上振蕩器實現(xiàn)和/或被實施為CSME或可管理引 擎(ME)的安全時鐘。應(yīng)該進一步明白的是����,根據(jù)特定的實施例����,計算設(shè)備106的安全定時源 122可以或可以不與驗證計算設(shè)備102的安全時鐘同步。
[0022] 外圍設(shè)備124可以包括任何數(shù)量額外的外圍或接口設(shè)備�����,例如揚聲器�、麥克風���、額 外的存儲設(shè)備等�。在外圍設(shè)備124中包含的特定設(shè)備可以例如取決于計算設(shè)備106的類型 和/或用途�����。
[0023]管理設(shè)備126可以被實施為能夠執(zhí)行管理功能以及另外執(zhí)行本申請中描述的功能 的任何的硬件組件或電路。例如,在一些實施例中���,管理設(shè)備126可以被實施為管理控制器 或可管理引擎。此外,在一些實施例中,管理設(shè)備126可以充當網(wǎng)絡(luò)控制器128與安全協(xié)處理 器120之間的聯(lián)絡(luò)人(liaison)(例如,以建立這些組件之間的帶外通信鏈路)。在其它實施 例中��,管理設(shè)備126和安全協(xié)處理器120可以被實施為相同的設(shè)備。
[0024]返回參考圖1��,網(wǎng)絡(luò)104可以被實施為能夠便于在驗證計算設(shè)備102與計算設(shè)備106 之間的通信和/或在計算設(shè)備106中通信的任何類型的通信網(wǎng)絡(luò)���。由此�����,網(wǎng)絡(luò)104可以包括一 個或多個網(wǎng)絡(luò)�����、路由器、交換機���、計算機���、和/或其他中間設(shè)備����。例如���,網(wǎng)絡(luò)104可以被實施為 或另外包括一個或多個蜂窩網(wǎng)絡(luò)���、電話網(wǎng)絡(luò)�����、局域或廣域網(wǎng)、公共可用的全球網(wǎng)(例如���,互聯(lián) 網(wǎng))、以及自組織網(wǎng)絡(luò)����、或其任何組合�����。
[0025] 驗證計算設(shè)備102可以被實施為能夠執(zhí)行本申請中描述的功能的任何計算設(shè)備����。 例如,驗證計算設(shè)備102可以被實施為臺式計算機��、服務(wù)器�����、路由器���、交換機���、膝上型計算機、 平板計算機�、筆記本��、上網(wǎng)本���、超級本?��、蜂窩電話、智能電話、可穿戴計算設(shè)備、個人數(shù)字助 理����、移動互聯(lián)網(wǎng)設(shè)備���、混合設(shè)備�����、和/或任何其他計算/通信設(shè)備。此外,驗證計算設(shè)備102可 以包括與上文描述的計算設(shè)備106的組件類似的組件和/或通常在諸如處理器����、存儲器����、I/O 子系統(tǒng)、數(shù)據(jù)存儲設(shè)備、外圍設(shè)備等之類的計算設(shè)備中發(fā)現(xiàn)的組件����,為了描述的清晰性在圖 1中未示出這些組件。
[0026] 當然�����,在其他實施例中,驗證計算設(shè)備102可以包括其他的或額外的組件�,例如通 常在典型的計算設(shè)備中發(fā)現(xiàn)的組件(例如��,各種輸入/輸出設(shè)備和/或其他組件)����。此外���,在一 些實施例中�,計算設(shè)備106的組件中的一個或多個中可以從驗證計算設(shè)備102中省略�。例如���, 在一些實施例中,安全協(xié)處理器120和/或管理設(shè)備124可以從驗證計算設(shè)備102中省略���。此 外���,在一些實施例中�,說明性組件中的一個或多個可以被并入另一組件或另外形成另一組 件的一部分���。盡管為了描述的清晰性而在本申請中將驗證計算設(shè)備102描述為向目標計算 設(shè)備106進行數(shù)據(jù)分組傳送的源,但是在其他實施例中�����,驗證計算設(shè)備102不在源與目標計 算設(shè)備106之間的網(wǎng)絡(luò)路徑內(nèi)���。盡管如此�����,在這樣的實施例中,驗證計算設(shè)備102可以基于驗 證計算設(shè)備102與網(wǎng)絡(luò)路徑中包含的這些計算設(shè)備106之間的安全跟蹤分組和簽名的通信 來執(zhí)行與在本申請中描述的功能類似的功能。
[0027]現(xiàn)在參考圖3,在使用中��,驗證計算設(shè)備102建立用于證明網(wǎng)絡(luò)路徑中的計算設(shè)備 106的地理位置的環(huán)境300。驗證計算設(shè)備102的說明性環(huán)境300包括安全跟蹤分組生成模塊 302��、密碼模塊304��、網(wǎng)絡(luò)路徑授權(quán)模塊306、以及通信模塊308。環(huán)境300的各種模塊可以被實 施為硬件、軟件����、固件或其組合����。例如��,環(huán)境300的各種模塊�、邏輯�����、和其他的組件可以形成驗 證計算設(shè)備102的處理器或其他硬件的一部分或由驗證計算設(shè)備102的處理器或其他硬件 組件建立�。由此�,在一些實施例中����,環(huán)境300的模塊中的一個或多個可以被實施為電氣設(shè)備 的電路或組合(例如,安全跟蹤分組生成電路、密碼電路�、網(wǎng)絡(luò)路徑授權(quán)電路、和/或通信電 路)���。此外���,在一些實施例中,說明性模塊中的一個或多個可以形成另一模塊的一部分和/或 說明性模塊中的一個或多個可以被實施為單獨的或獨立的模塊���。
[0028]安全跟蹤分組生成模塊302被配置為代表計算設(shè)備102生成安全跟蹤分組。在說明 性的實施例中����,由計算設(shè)備102生成的安全跟蹤分組被實施為數(shù)據(jù)分組(例如,網(wǎng)絡(luò)分組)�����, 該數(shù)據(jù)分組包含與特定數(shù)據(jù)分組從計算設(shè)備102的離開時間對應(yīng)的離開時間戳。應(yīng)該明白 的是���,安全跟蹤分組可以被實施為用于安全地傳遞時間戳以及另外適合執(zhí)行本申請中描述 的功能的任何適當?shù)臄?shù)據(jù)(例如���,數(shù)據(jù)塊)��。此外�,安全跟蹤分組生成模塊302可以利用任何 適當?shù)募夹g(shù)和/或算法來生成時間戳。
[0029]密碼模塊304執(zhí)行用于驗證計算設(shè)備102的各種密碼功能。根據(jù)特定的實施例,密 碼模塊304可以被實施為密碼引擎、驗證計算設(shè)備102的獨立的安全協(xié)處理器(例如,安全協(xié) 處理器)��、并入驗證計算設(shè)備102的主處理器中的密碼加速器��、或單獨的密碼軟件/固件。在 一些實施例中,密碼模塊304可以生成和/或利用各種密碼密鑰(例如��,對稱/非對稱密碼密 鑰)以用于加密�����、解密、簽名、和/或簽名驗證��。類似地�����,密碼模塊304可以從遠程計算設(shè)備接 收密碼密鑰以用于各種密碼目的�。此外,在一些實施例中���,密碼模塊304可以在網(wǎng)絡(luò)104上建 立與遠程設(shè)備(例如,計算設(shè)備106)的安全連接(例如�����,通過網(wǎng)絡(luò)控制器126)。如下文描述 的��,在說明性的實施例中�,驗證計算設(shè)備102驗證從其他計算設(shè)備106接收的進行了密碼簽 名的安全跟蹤分組���。此外,在一些實施例中����,驗證計算設(shè)備102可以接收已經(jīng)利用特定網(wǎng)絡(luò) 路徑中不同計算設(shè)備106的若干密碼密鑰(例如�,私有TPM密鑰)"包裹"的安全跟蹤分組�,在 該情況下,密碼模塊304可以驗證這些簽名中的每一個(例如���,迭代地)�。
[0030]網(wǎng)絡(luò)路徑授權(quán)模塊306確認或推斷所傳送的網(wǎng)絡(luò)分組尚未離開某一授權(quán)的地理位 置或地理疆界�,在上述地理位置或地理疆界內(nèi)����,網(wǎng)絡(luò)分組被授權(quán)存在并且基于參考網(wǎng)絡(luò)路 徑數(shù)據(jù)310運行相應(yīng)的功能����。在一些實施例中�,參考網(wǎng)絡(luò)路徑數(shù)據(jù)310指示了在網(wǎng)絡(luò)路徑中 兩個計算設(shè)備102、106之間所允許的最大地理距離����。在其他實施例中,參考網(wǎng)絡(luò)路徑數(shù)據(jù) 310可以被實施為與能夠傳遞地理位置�����、地理疆界����、物理路徑、和/或通過其傳送數(shù)據(jù)分組的 網(wǎng)絡(luò)路徑的其他期望特性相關(guān)聯(lián)的任何數(shù)據(jù)����。例如��,在一些實施例中��,參考網(wǎng)絡(luò)路徑數(shù)據(jù) 310可以包括閾值時間間隔�,其指示了數(shù)據(jù)分組的傳輸持續(xù)時間�����,使得閾值時間間隔與兩個 計算設(shè)備102�、106之間所允許的最大地理距離相關(guān)聯(lián)(例如,基于飛行時間、光速����、信號傳播 特性�����、和/或?qū)r間與距離關(guān)聯(lián)的其他可測量的特性)�。更具體地����,在說明性的實施例中���,網(wǎng) 絡(luò)路徑授權(quán)模塊306可以比較利用安全跟蹤分組接收的時間戳與相應(yīng)的參考網(wǎng)絡(luò)路徑數(shù)據(jù) 310以確定在計算設(shè)備102�����、106之間的一個或多個子路徑/連接是否被授權(quán)。此外�����,根據(jù)具體 的實施例��,網(wǎng)絡(luò)路徑授權(quán)模塊306可以確認從驗證計算設(shè)備102到目標計算設(shè)備106的整個 網(wǎng)絡(luò)路徑中的計算設(shè)備102�����、106中的每一個之間的網(wǎng)絡(luò)路徑(即�����,子路徑)和/或網(wǎng)絡(luò)路徑授 權(quán)模塊306可以確認整個網(wǎng)絡(luò)路徑�����。應(yīng)該明白的是���,如果網(wǎng)絡(luò)分組采取在所期望路徑的之外 的路徑(例如���,在驗證計算設(shè)備102的特定數(shù)據(jù)中心之外或國家之外),本申請中描述的技術(shù) 有助于檢測欺詐網(wǎng)絡(luò)分組��。例如�����,通過其來敵對地劫持網(wǎng)絡(luò)路徑中的計算設(shè)備106中的一個 的主機操作系統(tǒng)并試圖將網(wǎng)絡(luò)分組重新定向的攻擊經(jīng)常可容易地被系統(tǒng)100識別�。
[0031]通信模塊308處理在驗證計算設(shè)備102與遠程設(shè)備(例如,計算設(shè)備106)之間的通 過網(wǎng)絡(luò)104的通信�����。例如�,如本申請中所描述的,通信模塊308向網(wǎng)絡(luò)路徑中的下一個計算設(shè) 備106傳送由安全跟蹤分組生成模塊302生成的安全跟蹤分組(例如���,基于標識特定網(wǎng)絡(luò)跳 的網(wǎng)絡(luò)路徑表格)�����。此外�����,通信模塊308從計算設(shè)備106接收密碼簽名的安全跟蹤分組�,以便 確認網(wǎng)絡(luò)分組實際上采用了在授權(quán)的地理位置中的路徑��。
[0032]現(xiàn)在參考圖4,在使用中��,計算設(shè)備106中的每一個建立便于證明在源與目標計算 設(shè)備102���、106之間的網(wǎng)絡(luò)路徑中的計算設(shè)備106的地理位置的環(huán)境400��。計算設(shè)備106的說明 性環(huán)境包括密碼模塊402�����、安全跟蹤分組生成模塊404、以及通信模塊406�。環(huán)境400的各個模 塊可以被實施為硬件、軟件���、固件�、或其組合����。例如,環(huán)境400的各個模塊�����、邏輯、和其他組件 可以形成計算設(shè)備106的處理器110或其他硬件組件的一部分或由計算設(shè)備106的處理器 110或其他硬件組件建立���。由此����,在一些實施例中�,環(huán)境400的模塊中的一個或多個可以被實 施為電氣設(shè)備的電路或集合(例如,密碼電路����、安全跟蹤分組生成電路、和/或通信電路)�。此 外,在一些實施例中���,說明性模塊中的一個或多個可以形成另一模塊的一部分和/或說明性 的模塊中的一個或多個可以被實施為單獨的或獨立的模塊���。
[0033]密碼模塊402可以類似于驗證計算設(shè)備102的密碼模塊304。由此�,根據(jù)特定的實施 例,密碼模塊402可以被配置為執(zhí)行用于計算設(shè)備106的各種密碼功能�,包括����,例如生成和/ 或利用各種密碼密鑰(例如��,對稱的/非對稱的密碼密鑰)以用于加密�����、解密��、簽名��、和/或認 證簽名���。具體地�����,在一些實施例中,密碼模塊402可以對從網(wǎng)絡(luò)路徑中的先前的計算設(shè)備 102��、106接收的安全跟蹤分組進行密碼簽名(例如�,利用計算設(shè)備106的私有TPM密鑰)并將 這些經(jīng)簽名的分組返回到相應(yīng)的先前的計算設(shè)備102、106��。此外,在一些實施例中����,密碼模 塊402可以生成在安全跟蹤分組中包含的時間戳的哈希(例如,加密鑰的哈希)并包含具有 經(jīng)簽名的安全跟蹤分組的哈希����。為了描述的清晰性,在本申請中�,密碼模塊402被描述為對 安全跟蹤分組進行簽名;然而,在其他實施例中���,密碼模塊402可以對時間戳自身進行簽名�����。 [0034]安全跟蹤分組生成模塊404可以類似于驗證計算設(shè)備102的安全跟蹤分組生成模 塊302��。由此�,在說明性實施例中��,安全跟蹤分組生成模塊404被配置為代表計算設(shè)備106生 成安全跟蹤分組�。在說明性的實施例中,由計算設(shè)備106生成的安全跟蹤分組被實施為數(shù)據(jù) 分組(例如����,網(wǎng)絡(luò)分組)����,該數(shù)據(jù)分組包含與特定數(shù)據(jù)分組進入到計算設(shè)備106的進入時間相 對應(yīng)的進入時間戳和/或與特定數(shù)據(jù)分組從計算設(shè)備106離開的離開時間(例如���,到網(wǎng)絡(luò)路 徑中的下一個計算設(shè)備)相對應(yīng)的離開時間戳�。應(yīng)該明白的是�,為了描述的清晰性,安全跟 蹤分組中包含的多個時間戳在本申請中被稱為單個時間戳或時間戳間隔(例如����,參見圖8中 的討論)。此外�����,可以以任何適當?shù)姆绞交蚋鶕?jù)任何適當?shù)乃惴▉砩珊?或表示時間戳�。例 如�����,在一些實施例中���,時間戳是基于與驗證計算設(shè)備102的相對應(yīng)的定時信號同步的或如上 文指示的另一定時源同步的時間源而生成的����。
[0035]在其它實施例中,時間戳可以被生成為與由驗證計算設(shè)備102傳送的時間值或計 數(shù)相關(guān)的"變化量"值(例如��,滴答數(shù))或時間偏移�。即,表示在來自驗證計算設(shè)備102的初始 傳送之后的時間的時間戳可以被表示為與來自驗證計算設(shè)備102的網(wǎng)絡(luò)分組的離開時間相 對應(yīng)的輸入值的變化量����,使得可以利用以已知速率遞增的計數(shù)器來實現(xiàn)時間戳。例如���,在涉 及三跳的實施例中��,驗證計算設(shè)備102可以生成時間戳T1��,其等于特定的計數(shù)(例如�����,一滴答 計數(shù))����。根據(jù)具體的實施例,來自驗證計算設(shè)備102的時間戳可以被表示為絕對時間��、相對時 間�����、固定值(例如����,〇)、或隨機數(shù)�。下一個計算設(shè)備106可以生成時間戳12 = 11+4:,其中 于去往/來自計算設(shè)備106的分組的進入時間與離開時間之間的計數(shù)數(shù)量的差��。隨后的計算 設(shè)備106可以生成時間戳13 = 12+八2 = 1'1+八1+八2����,其中八2等于在去往/來自該隨后的計算 設(shè)備106的分組的進入時間與離開時間之間的計數(shù)數(shù)量的差。類似地����,目標計算設(shè)備106可 以生成時間戳Τ4 = Τ3+ Δ 3 = Τ1+ Δ # Δ 2+ Δ 3。在一些實施例中��,應(yīng)該明白的是時間戳(例如��, 計數(shù)器值)可以與進入時間和離開時間之間的處理時間相關(guān)聯(lián)而不是表示進入時間和/或 離開時間自身����。
[0036]通信模塊406處理計算設(shè)備106與遠程設(shè)備(例如,驗證計算設(shè)備102與其他計算設(shè) 備106)之間的通過網(wǎng)絡(luò)104的通信����。例如,如本申請中所描述的����,通信模塊406從網(wǎng)絡(luò)流中的 先前的計算設(shè)備102、106接收安全跟蹤分組并對來自網(wǎng)絡(luò)流中的隨后的計算設(shè)備106的安 全跟蹤分組進行密碼簽名���。此外�����,計算設(shè)備106對安全跟蹤分組進行密碼簽名并向先前的計 算設(shè)備102�����、106傳送經(jīng)簽名的安全跟蹤分組����。由此,應(yīng)該明白的是��,根據(jù)計算設(shè)備106在網(wǎng)絡(luò) 流中的順序�,計算設(shè)備106可以對已經(jīng)被簽名的安全跟蹤分組進行加密簽名。換句話說����,安 全跟蹤分組可以被迭代地簽名或"包裹"。
[0037]現(xiàn)在參考圖5,在使用中�����,驗證計算設(shè)備102可以執(zhí)行用于對網(wǎng)絡(luò)路徑中的計算設(shè) 備106進行地理位置驗證的方法500�。如上文所指示的,在一些實施例中���,驗證計算設(shè)備102 是網(wǎng)絡(luò)分組的源����,而在其他實施例中��,驗證計算設(shè)備102未包含在網(wǎng)絡(luò)路徑中�。然而����,為了描 述的清晰性��,驗證計算設(shè)備102被假定成要向目標計算設(shè)備106傳送的網(wǎng)絡(luò)分組的源�。說明 性的方法500以框502開始��,在框502中驗證計算設(shè)備102生成安全跟蹤分組��。通過這樣做�,在 框504中,計算設(shè)備102生成指示網(wǎng)絡(luò)分組的離開時間的離開時間戳�,上述網(wǎng)絡(luò)分組包括到 網(wǎng)絡(luò)路徑中的下一個計算設(shè)備106的安全跟蹤分組。如上文所指示的���,計算設(shè)備102可以利 用任何技術(shù)和/或算法來生成時間戳并將時間戳包括在安全跟蹤分組中�����。根據(jù)具體的實施 例����,安全跟蹤分組可以包括對執(zhí)行本申請中描述的功能有用的各種其他信息(例如����,設(shè)備標 識符等)���。在框506中,計算設(shè)備102向網(wǎng)絡(luò)路徑中的下一個計算設(shè)備106傳送安全跟蹤分組�����。 應(yīng)該明白的是�����,從計算設(shè)備102到目標計算設(shè)備106的網(wǎng)絡(luò)路徑中的計算設(shè)備102��、106的數(shù) 量可以根據(jù)具體環(huán)境而變化(例如���,數(shù)據(jù)中心架構(gòu)���、當前計算開銷等),且例如�����,可以在網(wǎng)絡(luò) 路徑表格中標識網(wǎng)絡(luò)路徑中的計算設(shè)備106的順序����。
[0038]在框508中��,計算設(shè)備102確定是否已經(jīng)接收到經(jīng)簽名的安全跟蹤分組���。如本申請 中已經(jīng)描述的和在圖8中說明性示出的,在網(wǎng)絡(luò)路徑的每一跳處����,相對應(yīng)的計算設(shè)備106對 從先前的計算設(shè)備102�����、106接收到的安全跟蹤分組進行密碼簽名并向?qū)⒔?jīng)簽名的安全跟蹤 分組發(fā)送回驗證計算設(shè)備1〇2(例如����,經(jīng)由網(wǎng)絡(luò)路徑的反方向通過其他計算設(shè)備106)。由此����, 在說明性的實施例中,計算設(shè)備102接收在數(shù)量上等于網(wǎng)絡(luò)路徑中計算設(shè)備106的數(shù)量的經(jīng) 簽名的安全跟蹤分組�。當然,如上文所指出的�,在具體安全跟蹤分組上的簽名的數(shù)量可以根 據(jù)哪一個計算設(shè)備102���、106初始傳送了安全跟蹤分組而變化。在一些實施例中�,如果計算設(shè) 備102在預定的時間量內(nèi)未接收到經(jīng)簽名的安全跟蹤分組,則方法500繼續(xù)到框524,以執(zhí)行 適當?shù)腻e誤處理過程(例如���,超時過程)����。
[0039] 如果已經(jīng)接收到經(jīng)簽名的安全跟蹤分組����,則在框510中,驗證計算設(shè)備102驗證經(jīng) 簽名的安全跟蹤分組的簽名���。如上文所指出的���,在一些實施例中,計算設(shè)備106利用私有密 碼密鑰或更具體地利用計算設(shè)備106的安全協(xié)處理器120的私有密碼密鑰(例如�����,私有TPMS 鑰)來對安全跟蹤分組進行密碼簽名�����。應(yīng)該明白的是,在說明性實施例中�,計算設(shè)備102能獲 取與用于對安全跟蹤分組進行簽名的私有密碼密鑰相對應(yīng)的公共密碼密鑰中的每一個。此 外���,如上文指出的���,在一些實施例中,安全跟蹤分組可以被多個私有密碼密鑰來簽名���。
[0040] 在框512中,計算設(shè)備102可以基于簽名的(signatory)安全協(xié)處理器120的相對應(yīng) 的密碼公共密鑰來驗證簽名�����。即�����,計算設(shè)備102可以基于與生成具體特定簽名的計算設(shè)備 106的(例如�,安全協(xié)處理器120的)私有密碼密鑰相對應(yīng)的公共密碼密鑰來驗證安全跟蹤分 組的簽名中的每一個。此外�,如上文所指出的�,計算設(shè)備106可以生成安全跟蹤分組的時間 戳的哈希(例如�,加密鑰的密碼哈希)并將該哈希包括在安全跟蹤分組中或使安全跟蹤分組 包括有該哈希。由此�����,在框514中��,計算設(shè)備102可以生成包括在安全跟蹤分組中的時間戳的 哈希���,以便基于所生成的哈希和包括在安全跟蹤分組中的哈希來確認時間戳的完整性���。
[0041] 在框516中,計算設(shè)備102取回參考網(wǎng)絡(luò)路徑數(shù)據(jù)310(例如����,從存儲器、數(shù)據(jù)存儲設(shè) 備���、或遠程計算設(shè)備)����。如上文所討論的,參考網(wǎng)絡(luò)路徑數(shù)據(jù)310可以被實施為與遞送地理位 置����、地理疆界、物理路徑��、和/或通過其傳送數(shù)據(jù)分組的網(wǎng)絡(luò)路徑的其他期望特性相關(guān)聯(lián)的 或能夠遞送地理位置��、地理疆界���、物理路徑����、和/或通過其傳送數(shù)據(jù)分組的網(wǎng)絡(luò)路徑的其他 期望特性的任何數(shù)據(jù)�����。例如���,在一些實施例中,參考網(wǎng)絡(luò)路徑數(shù)據(jù)310指示網(wǎng)絡(luò)路徑中的兩 個計算設(shè)備102�����、106之間所允許的最大地理距離(例如,指示與所允許的最大地理距離相對 應(yīng)的行程(travel)持續(xù)時間的閾值時間間隔)�。
[0042] 在框518中,計算設(shè)備102基于參考網(wǎng)絡(luò)路徑數(shù)據(jù)310和經(jīng)簽名的安全跟蹤分組來 確定與安全跟蹤分組相關(guān)聯(lián)的網(wǎng)絡(luò)路徑中的一個或多個是否被授權(quán)�。如本申請中討論的, 在說明性的實施例中��,網(wǎng)絡(luò)路徑可以包括被定義成網(wǎng)絡(luò)路徑中的兩個計算設(shè)備之間的單跳 或鏈路的一個或多個子路徑���。在框520中�����,計算設(shè)備102可以生成相關(guān)時間戳之間的差并將 該時間戳差與閾值時間間隔進行比較以例如確定兩個計算設(shè)備102�、106之間的網(wǎng)絡(luò)路徑的 子路徑是否比所預期的更長�。在一些實施例中,兩個計算設(shè)備102��、106之間的超過閾值時間 間隔的通信可能指示計算設(shè)備106中的一個在所授權(quán)的地理區(qū)域(例如�,在特定數(shù)據(jù)中心 內(nèi))之外。應(yīng)該明白的是����,在說明性的實施例中,連續(xù)的計算設(shè)備102��、106的離開時間戳與進 入時間戳的差指示了接收計算設(shè)備106通過相對應(yīng)的網(wǎng)絡(luò)104接收安全跟蹤分組并生成新 時間戳(例如,進入時間戳)所花費的持續(xù)時間�。在一些實施例中,計算設(shè)備106可以包括安 全跟蹤分組中額外的時間戳���,其可以用于建立用于確認網(wǎng)絡(luò)路徑的更魯棒的時間線(例如�, 對安全跟蹤分組進行簽名的時間等)����。
[0043] 在框522中如果計算設(shè)備102確定網(wǎng)絡(luò)路徑未被授權(quán),則在框524中計算設(shè)備102執(zhí) 行一個或多個錯誤處理功能����。例如,在一些實施例中���,如果未觀測到足夠低的跳時間(例如��, 低于閾值時間間隔)�����,則計算設(shè)備102可以指示相對應(yīng)的計算設(shè)備106來重新嘗試傳送。通過 這樣做�����,計算設(shè)備102可以確認慢跳是源自網(wǎng)絡(luò)延遲和/或其他可接受的延遲因素且不是源 自計算設(shè)備106在所授權(quán)的區(qū)域之外。當然����,在其他實施例中,計算設(shè)備102可以采用任何其 他適當?shù)腻e誤處理機制��。
[0044] 在框522中如果計算設(shè)備102確定網(wǎng)絡(luò)路徑被授權(quán)���,則在框526中計算設(shè)備102確定 是否所有的網(wǎng)絡(luò)路徑都已經(jīng)被授權(quán)��。換句話說���,在說明性的實施例中,計算設(shè)備102確定在 計算設(shè)備102之間的每一個子路徑都已經(jīng)被授權(quán)���。此外���,計算設(shè)備102可以確保整個網(wǎng)絡(luò)路 徑都被授權(quán)。如果計算設(shè)備102確定一個或多個網(wǎng)絡(luò)路徑(例如�����,子路徑)保持未被確認,則 方法返回到框508,在框508中計算設(shè)備102等待以接收另一經(jīng)簽名的安全跟蹤分組���。應(yīng)該明 白的是����,本申請中描述的一個或多個功能可以并行地執(zhí)行或以其他順序執(zhí)行����。例如,在一些 實施例中����,可以同時確認多個網(wǎng)絡(luò)路徑。
[0045] 如下文參考圖8所描述和討論的����,根據(jù)具體的實施例,驗證計算設(shè)備102可以按階 段或在子流中執(zhí)行授權(quán)����。例如,驗證計算設(shè)備102可以首先確定網(wǎng)絡(luò)流中(即���,在驗證計算設(shè) 備102與目標計算設(shè)備106之間的網(wǎng)絡(luò)路由中)的下一個計算設(shè)備106是否在授權(quán)的地理位 置之內(nèi)運行�����。如果是����,則驗證計算設(shè)備102接著可以確定網(wǎng)絡(luò)流中的隨后的計算設(shè)備106是 否在授權(quán)的地理位置之內(nèi)運行����,以此類推,直到網(wǎng)絡(luò)流中的所有計算設(shè)備106都被授權(quán)為 止����。通過這樣做,在一些實施例中��,驗證計算設(shè)備102可以按階段或子流(例如����,圖8的子流 802、804�、806)來授權(quán)隨后的計算設(shè)備106,使得在確定網(wǎng)絡(luò)流中的特定計算設(shè)備106是否被 授權(quán)時,重新評估中間計算設(shè)備106中的每一個��。如下文所描述的����,這樣做可以提供可以用 于更準確地確定計算設(shè)備106是否的確在授權(quán)的地理位置之內(nèi)的額外的時間信息�。在這樣 的實施例中����,可以針對階段或子流中的每一個由驗證計算設(shè)備102來執(zhí)行方法500。然而��,在 其他實施例中�,可以僅執(zhí)行方法500-次以授權(quán)特定的目標計算設(shè)備106。
[0046] 現(xiàn)在參考圖6-7,在使用中��,計算設(shè)備106中的每一個可以執(zhí)行用于便于對網(wǎng)絡(luò)路 徑中的計算設(shè)備106的地理位置進行證明的方法600�����。說明性的方法600以框602開始�����,其中 計算設(shè)備106從網(wǎng)絡(luò)路徑中的先前的計算設(shè)備102接收安全跟蹤分組����。應(yīng)該明白的是,可以 例如在網(wǎng)絡(luò)路徑表格中預定并存儲從源計算設(shè)備(例如,驗證計算設(shè)備102)到目標計算設(shè) 備106的網(wǎng)絡(luò)路徑�����。由此�,如果計算設(shè)備106是網(wǎng)絡(luò)路徑中的第二個計算設(shè)備,則先前的計算 設(shè)備是驗證計算設(shè)備102��。否則��,先前的計算設(shè)備是另一計算設(shè)備106(例如��,中間計算設(shè) 備)�����。
[0047]在一些實施例中����,在框604中����,計算設(shè)備106可以將所接收到的安全跟蹤分組轉(zhuǎn)發(fā) 給計算設(shè)備106的安全協(xié)處理器120。具體地���,根據(jù)具體的網(wǎng)絡(luò)分組�����,網(wǎng)絡(luò)控制器126可以包 括用于將安全跟蹤分組路由到安全協(xié)處理器120(例如����,經(jīng)由帶外通信信道)并將其他網(wǎng)絡(luò) 分組路由通過傳統(tǒng)的帶內(nèi)通信信道的邊帶濾波能力。例如�,如果要求對主機系統(tǒng)的典型證 明,則網(wǎng)絡(luò)控制器126可以通過帶內(nèi)通信信道將網(wǎng)絡(luò)分組路由到安全協(xié)處理器120��。此外����,在 一些實施例中,例如���,可以使用借助兩個通信信道(例如���,帶內(nèi)通信信道和帶外通信信道)的 與安全協(xié)處理器120的通信,以確認特定計算設(shè)備106的標識�。在一些實施例中,網(wǎng)絡(luò)控制器 125將安全跟蹤分組路由到管理設(shè)備124,其繼而將分組轉(zhuǎn)發(fā)給安全協(xié)處理器120����。此外�����,在 框606中,計算設(shè)備106可以生成指示由計算設(shè)備106對安全跟蹤分組的接收時間的進入時 間戳��。
[0048] 在框608中�����,計算設(shè)備106對所接收到的安全跟蹤分組進行密碼簽名����。通過這樣做�, 在框610中計算設(shè)備106可以利用安全協(xié)處理器120的私有密碼密鑰對安全跟蹤分組進行簽 名����。如上文所指示的����,在說明性的實施例中,驗證計算設(shè)備102可以獲取相對應(yīng)的安全協(xié)處 理器120的公共密碼密鑰��。在框612中���,計算設(shè)備106可以基于計算設(shè)備106的私有密碼密鑰 而生成所接收到的安全跟蹤分組的時間戳的加密鑰的哈希�。在一些實施例中��,初始生成了 時間戳的計算設(shè)備102����、106包括這樣的哈希以允許由其他計算設(shè)備102、106驗證時間戳的 完整性����。在一些實施例中��,在框614中��,計算設(shè)備106包括由計算設(shè)備106在經(jīng)密碼簽名的安 全跟蹤分組中/利用經(jīng)密碼簽名的安全跟蹤分組所生成的一個或多個時間戳��。例如�,計算設(shè) 備106可以包括在框606中生成的進入時間戳和/或與到先前的計算設(shè)備102�、106的經(jīng)密碼 簽名的安全跟蹤分組的離開時間相對應(yīng)的離開時間戳����。在框616中,計算設(shè)備102向網(wǎng)絡(luò)路 徑中先前的計算設(shè)備102�、106發(fā)送經(jīng)密碼簽名的安全跟蹤分組。
[0049] 在框618中�����,計算設(shè)備106確定在網(wǎng)絡(luò)路徑中是否存在任何隨后的計算設(shè)備106�。在 一些實施例中,計算設(shè)備106可以通過參考標識計算設(shè)備106中的每一個及其在網(wǎng)絡(luò)路徑中 的針對特定網(wǎng)絡(luò)分組傳送的相對應(yīng)的順序的網(wǎng)絡(luò)路徑表來進行這樣的確定��。如果在網(wǎng)絡(luò)分 組中存在隨后的計算設(shè)備106,則在框620中計算設(shè)備106生成新安全跟蹤分組���。此外���,在框 622中,計算設(shè)備106包括由計算設(shè)備106在密碼簽名的安全跟蹤分組中/利用經(jīng)密碼簽名的 安全跟蹤分組所生成的一個或多個時間戳����。例如,計算設(shè)備106可以包括在框606中生成的 進入時間戳和/或與新安全跟蹤分組到網(wǎng)絡(luò)路徑中的下一個計算設(shè)備106的離開時間相對 應(yīng)的離開時間戳�����。應(yīng)該明白的是,如下文參考圖8所描述的�,新安全跟蹤分組還可以包括由 網(wǎng)絡(luò)路徑中的先前的計算設(shè)備102、106生成的時間戳中的一個或多個����。例如,在一些實施例 中�,新安全跟蹤分組可以包括指示分組從驗證設(shè)備的離開時間和分組從驗證計算設(shè)備102 與計算設(shè)備106之間的網(wǎng)絡(luò)路徑中的任何其它的中間計算設(shè)備106的進入時間和離開時間。 在框620中����,計算設(shè)備106向網(wǎng)絡(luò)路徑中的下一個計算設(shè)備106傳送新安全跟蹤分組。
[0050] 在圖7的框626中����,計算設(shè)備106確定是否已經(jīng)從下一個計算設(shè)備106接收到網(wǎng)絡(luò)分 組中的經(jīng)簽名的安全跟蹤分組。換句話說�����,在說明性的實施例中�����,在向下一個計算設(shè)備106 傳送安全跟蹤網(wǎng)絡(luò)分組之后���,計算設(shè)備106等待直到其接收到包含安全跟蹤網(wǎng)絡(luò)分組的簽 名的響應(yīng)為止�����。如果已經(jīng)接收到安全跟蹤網(wǎng)絡(luò)分組��,則在框628中�����,計算設(shè)備106對所接收的 分組進行密碼簽名�。如上文所指示的����,計算設(shè)備106可以利用計算設(shè)備106的私有密碼密鑰 (例如,私有TPM密鑰)來對安全跟蹤分組進行簽名�。應(yīng)該明白的是,在說明性的實施例中��,安 全跟蹤分組將已經(jīng)被網(wǎng)絡(luò)路徑中的隨后的計算設(shè)備106中的每一個迭代地簽名�。
[0051] 在框630中,計算設(shè)備106向網(wǎng)絡(luò)路徑中的先前的計算設(shè)備102�����、106傳送經(jīng)密碼簽 名的安全跟蹤分組。在框632中��,計算設(shè)備106確定是否已經(jīng)接收到所有的安全跟蹤分組����。應(yīng) 該明白的是,在說明性的實施例中���,由計算設(shè)備106從隨后的計算設(shè)備106接收的經(jīng)簽名的 安全跟蹤分組的總數(shù)等于隨后的計算設(shè)備106的數(shù)量���。如果尚未接收到所有的安全跟蹤分 組,則方法600返回圖7的框626,在框626中���,計算設(shè)備106等待以接收下一個經(jīng)簽名的安全 跟蹤分組��。
[0052]現(xiàn)在參考圖8,在使用中����,計算設(shè)備102����、106可以執(zhí)行用于對網(wǎng)絡(luò)路徑中的計算設(shè) 備106的地理位置進行證明的方法800。說明性方法800包括三個子流��,根據(jù)具體的實施例����, 其可以分別或一起執(zhí)行。應(yīng)該明白的是����,為了清楚起見,圖8將密碼簽名描繪為被應(yīng)用于時 間戳自身�。然而,在一些實施例中����,計算設(shè)備106可以對安全跟蹤分組進行密碼簽名(而不是 對時間戳自身)。
[0053]在第一子流802中����,第一計算設(shè)備106是目標計算設(shè)備。如所示出的��,驗證計算設(shè)備 102生成離開時間戳T1并向第一計算設(shè)備106傳送時間戳T1或更具體地傳送包含時間戳的 安全跟蹤分組���。如上文所指示的��,計算設(shè)備106可以在從網(wǎng)絡(luò)流中的先前的計算設(shè)備102���、 106接收到安全跟蹤分組之后��,生成進入時間戳�����。類似地��,計算設(shè)備106可以生成與分組從計 算設(shè)備106向先前的計算設(shè)備102�����、106和/或隨后的計算設(shè)備106離開的離開時間相對應(yīng)的 離開時間戳�����。為了描述的清晰性�,由特定計算設(shè)備106生成并傳送的進入和/或離開時間戳 在本申請中可以被統(tǒng)稱為單個時間戳����。
[0054]在說明性的實施例中,第一計算設(shè)備106生成進入和/或離開時間戳T2,對時間戳 T1和T2進行密碼簽名(例如,利用第一計算設(shè)備106的私有TPM密鑰)以生成經(jīng)密碼簽名的安 全跟蹤分組SK1(T1����,T2)���,并向驗證計算設(shè)備102傳送經(jīng)密碼簽名的安全跟蹤分組S K1(T1�, T2)����。驗證計算設(shè)備102可以基于相對應(yīng)的公共密碼密鑰來驗證簽名并利用時間戳T1和T2來 確定計算設(shè)備106是否在授權(quán)的地理位置內(nèi),如上文所描述的�。
[0055]在第二子流804中,第二計算設(shè)備106是目標計算設(shè)備����。如所示出的,驗證計算設(shè)備 102生成時間戳T3并向第一計算設(shè)備106傳送時間戳T3���。第一計算設(shè)備106生成進入和/或離 開時間戳T4,對時間戳T3和T4進行密碼簽名(例如�����,利用第一計算設(shè)備106的私有TPM密鑰) 以生成經(jīng)密碼簽名的安全跟蹤分組S K1(T3��,T4)�����,并向驗證計算設(shè)備102發(fā)送經(jīng)密碼簽名的安 全跟蹤分組SK1(T3�����,T4)�����。另外���,第一計算設(shè)備106向第二計算設(shè)備106傳送時間戳T3和T4�。如 上文所指出的�,應(yīng)該明白的是,在一些實施例中��,向第二計算設(shè)備106傳送的時間戳T4可以 與向驗證計算設(shè)備102傳送的時間戳T4不同�����。例如���,在一些實施例中����,向兩個不同的計算設(shè) 備10 2、106傳送的時間戳T4可以與不同的相對應(yīng)的離開時間對應(yīng)��。然而���,在其他實施例中, 可以并行傳送網(wǎng)絡(luò)分組�����,使得時間戳彼此一致�����。
[0056] 第二計算設(shè)備106生成進入和/或離開時間戳T5���,對時間戳組T3���、T4、和T5進行密碼 簽名(例如�,利用第二計算設(shè)備106的私有TPM密鑰)�����,以生成經(jīng)密碼簽名的安全跟蹤分組SK2 (丁3��,了4��,了5)�����,并向第一計算設(shè)備106傳送經(jīng)密碼簽名的安全跟蹤分組51(2〇3����,了4��,了5)��。第一計 算設(shè)備106再次對安全跟蹤分組S K2(T3����,T4,T5)進行密碼簽名以生成經(jīng)多次簽名的安全跟蹤 分組SK1 (SK2 (T3�����,T4,T5))并將其傳送至驗證計算設(shè)備102����。驗證計算設(shè)備102可以驗證第一 計算設(shè)備106的簽名并且接著驗證第二計算設(shè)備106的簽名,并利用時間戳來確定網(wǎng)絡(luò)子路 徑中的每一個是否被授權(quán)����。具體地,計算設(shè)備102可以確認第一第二計算設(shè)備106和第二計 算設(shè)備106都位于授權(quán)的地理位置之內(nèi)(例如���,基于與驗證計算設(shè)備102與第一計算設(shè)備106 之間以及在第一第二計算設(shè)備106與第二計算設(shè)備106之間的子路徑相關(guān)聯(lián)的時間特征)。 [0057]在第三子流806中����,第三計算設(shè)備106是目標計算設(shè)備。如所示出的���,第三子流806 是針對在網(wǎng)絡(luò)流中存在三跳(即�,三個計算設(shè)備106)的實施例而對第二子流804的擴展����。在 一些實施例中,子流802�����、804、806中的每一個可以用于對三跳遠的目標計算設(shè)備106和中間 計算設(shè)備106的地理位置進行魯棒證明���。例如�,可以將由第一子流802中的驗證計算設(shè)備102 接收的時間戳與第二子流804和第三子流806的相對應(yīng)的時間戳進行比較����。具體地,可以將 第一子流802的時間戳T1和T2之間的差(即�����,在從驗證計算設(shè)備102到第一計算設(shè)備106的安 全跟蹤分組的離開時間戳與由第一計算設(shè)備106進行的分組的接收或進入時間戳之間的 差)與第二子流804的時間戳T3和T4之間的差以及在第三子流的時間戳T6和T7之間的差進 行比較�����。在說明性的實施例中�����,上述的結(jié)果應(yīng)該相對接近����,使得上述結(jié)果之間的較大的定時 差指示采用了未授權(quán)的網(wǎng)絡(luò)路徑�。類似地�,第二子流804的時間戳可以與第三子流806的相 對應(yīng)的時間差進行比較。在其他實施例中�,系統(tǒng)100可以僅利用子流802來驗證一跳網(wǎng)絡(luò)流, 利用子流804來驗證兩跳網(wǎng)絡(luò)流��,利用子流806來驗證三跳網(wǎng)絡(luò)流等�����。應(yīng)該明白的是�����,本申請 中所描述的技術(shù)可以針對任何數(shù)目的跳而進行擴展�����。
[0058]在替代的實施例中�,驗證計算設(shè)備102可以直接訪問網(wǎng)絡(luò)流中計算設(shè)備106中的每 一個并請求計算設(shè)備106來檢查其中間的鄰居(例如����,下一個計算設(shè)備106)并取回該結(jié)果。 例如�,假定系統(tǒng)100包括驗證計算設(shè)備1〇2(設(shè)備V)和三個計算設(shè)備102(設(shè)備Α��、Β和C�,其中設(shè) 備C是目標計算設(shè)備106)�����,使得待驗證的網(wǎng)絡(luò)路徑為A-B-C路徑(即���,在具有相同順序的相應(yīng) 設(shè)備之間的路徑)�����。在這樣的實施例中��,驗證計算設(shè)備102可以檢查其與設(shè)備Α�、Β和C之間的 直接通信連接����。此外,驗證計算設(shè)備102可以檢查V-A-B路徑和V-B-C路徑����,且使用這些結(jié)果, 推斷A-B-C路徑的有效性。應(yīng)該明白的是���,這樣的實施例可以針對具有任何跳數(shù)的網(wǎng)絡(luò)路徑 來擴展�����。
[0059] 示例
[0060] 下文提供了本申請中公開的技術(shù)的說明性示例�。上述技術(shù)的實施例可以包括下文 描述的示例中的任何一個或多個及其任何組合�。
[0061] 示例1包括用于對網(wǎng)絡(luò)路徑中的計算設(shè)備進行地理位置證明的驗證計算設(shè)備,驗 證計算設(shè)備包括用于生成安全跟蹤分組的安全跟蹤分組生成模塊�����,其中安全跟蹤分組包括 與安全跟蹤分組從驗證計算設(shè)備的離開時間相對應(yīng)的時間戳;通信模塊�,其用于向網(wǎng)絡(luò)路 徑中的計算設(shè)備傳送安全跟蹤分組,其中網(wǎng)絡(luò)路徑標識一個或多個中間計算設(shè)備�,通過上 述中間計算設(shè)備將安全跟蹤分組從驗證計算設(shè)備向目標計算設(shè)備傳輸;密碼模塊,其用于 驗證由驗證計算設(shè)備從計算設(shè)備接收的經(jīng)密碼簽名的安全跟蹤分組的簽名���;以及網(wǎng)絡(luò)路徑 授權(quán)模塊�����,其用于基于參考網(wǎng)絡(luò)路徑數(shù)據(jù)和經(jīng)密碼簽名的安全跟蹤分組來確定網(wǎng)絡(luò)路徑的 子路徑是否被授權(quán),其中參考網(wǎng)絡(luò)路徑數(shù)據(jù)指示在網(wǎng)絡(luò)路徑中的兩個計算設(shè)備之間所允許 的最大地理距離。
[0062] 示例2包括示例1的主題����,并且其中生成安全跟蹤分組包括利用驗證計算設(shè)備的安 全定時源來生成時間戳。
[0063] 示例3包括示例1和2中任何一個的主題���,并且其中驗證簽名包括驗證計算設(shè)備的 簽名�。
[0064] 示例4包括示例1-3中任何一個的主題���,并且其中驗證計算設(shè)備的簽名包括驗證經(jīng) 密碼簽名的安全跟蹤分組的第一簽名�����;并且其中密碼模塊還用于驗證經(jīng)密碼簽名的安全跟 蹤分組的第二簽名���,其中第二簽名是網(wǎng)絡(luò)路徑中的一個或多個中間計算設(shè)備中的另一計算 設(shè)備的簽名。
[0065]示例5包括示例1-4中任何一個的主題�,并且其中驗證簽名包括基于與計算設(shè)備的 安全協(xié)處理器的私有密碼密鑰相對應(yīng)的公共密碼密鑰來驗證簽名。
[0066] 示例6包括示例1-5中任何一個的主題��,并且其中驗證簽名包括生成時間戳的哈 希;并且基于所生成的哈希和在安全跟蹤分組中包含的參考哈希來確認時間戳的完整性����。 [0067]示例7包括示例1-6中任何一個的主題���,并且其中確定網(wǎng)絡(luò)路徑的子路徑是否被授 權(quán)包括將該時間戳同由經(jīng)密碼簽名的安全跟蹤分組所包含的進入時間戳之間的差與閾值 時間間隔進行比較,其中該閾值時間間隔指示與所允許的最大地理距離相關(guān)聯(lián)的行程持續(xù) 時間�����,其中進入時間戳與由計算設(shè)備從驗證計算設(shè)備接收安全跟蹤分組的接收時間相對 應(yīng)�����。
[0068] 示例8包括示例1-7中任何一個的主題�,并且其中進入時間戳包括根據(jù)與驗證計算 設(shè)備的安全定時源同步的定時信號而生成的時間戳。
[0069] 示例9包括示例1-8中任何一個的主題�����,并且其中進入時間戳包括根據(jù)以已知速率 遞增的計數(shù)器而生成的時間戳����。
[0070] 示例10包括示例1-9中任何一個的主題,并且其中確定網(wǎng)絡(luò)路徑的子路徑是否被 授權(quán)包括由計算設(shè)備基于在經(jīng)密碼簽名的安全跟蹤分組中標識的安全跟蹤分組的處理時 間來確定網(wǎng)絡(luò)路徑的子路徑是否被授權(quán)����。
[0071] 示例11包括示例1-10中任何一個的主題,并且其中確定網(wǎng)絡(luò)的子路徑是否被授權(quán) 包括確定網(wǎng)絡(luò)路徑的第一子路徑是否被授權(quán);并且其中網(wǎng)絡(luò)路徑授權(quán)模塊進一步用于基于 參考網(wǎng)絡(luò)路徑數(shù)據(jù)和經(jīng)密碼簽名的安全跟蹤分組來確定網(wǎng)絡(luò)路徑的第二子路徑是否被授 權(quán)�����。
[0072]示例12包括示例1-11中任何一個的主題����,并且其中網(wǎng)絡(luò)路徑授權(quán)模塊進一步用于 基于參考網(wǎng)絡(luò)路徑數(shù)據(jù)和經(jīng)密碼簽名的安全跟蹤分組來確定網(wǎng)絡(luò)路徑的每一子路徑是否 被授權(quán)。
[0073]示例13包括用于證明網(wǎng)絡(luò)路徑中的計算設(shè)備的地理位置的方法���,該方法包括由驗 證計算設(shè)備生成安全跟蹤分組��,該安全跟蹤分組包括與安全跟蹤分組從驗證計算設(shè)備的離 開時間相對應(yīng)的時間戳�;由驗證計算設(shè)備向網(wǎng)絡(luò)路徑中的計算設(shè)備發(fā)送安全跟蹤分組���,其 中網(wǎng)絡(luò)路徑標識了一個或多個中間計算設(shè)備��,通過該一個或多個中間計算設(shè)備而將安全跟 蹤分組從驗證計算設(shè)備向目標計算設(shè)備傳送�����;由驗證計算設(shè)備驗證由驗證計算設(shè)備從計算 設(shè)備接收的經(jīng)密碼簽名的安全跟蹤分組的簽名����;以及由驗證計算設(shè)備基于參考網(wǎng)絡(luò)路徑數(shù) 據(jù)和經(jīng)密碼簽名的安全跟蹤分組來確定網(wǎng)絡(luò)路徑的子路徑是否被授權(quán)����,其中參考網(wǎng)絡(luò)路徑 數(shù)據(jù)指示在網(wǎng)絡(luò)路徑中的兩個計算設(shè)備之間所允許的最大地理距離���。
[0074] 示例14包括示例13的主題,并且其中生成安全跟蹤分組包括利用驗證計算設(shè)備的 安全定時源生成時間戳�。
[0075] 示例15包括示例13和14中任何一個的主題,并且其中驗證簽名包括驗證計算設(shè)備 的簽名��。
[0076] 示例16包括示例13-15中任何一個的主題�,并且其中驗證計算設(shè)備的簽名包括驗 證經(jīng)密碼簽名的安全跟蹤分組的第一簽名;且進一步包括由驗證計算設(shè)備驗證經(jīng)密碼簽名 的安全跟蹤分組的第二簽名��,其中第二簽名是網(wǎng)絡(luò)路徑中的一個或多個中間計算設(shè)備的另 一計算設(shè)備的簽名�。
[0077] 示例17包括示例13-16中任何一個的主題,并且其中驗證簽名包括基于與計算設(shè) 備的安全協(xié)處理器的私有密碼密鑰相對應(yīng)的公共密碼密鑰來驗證簽名�。
[0078] 示例18包括示例13-17中任何一個的主題,并且其中驗證簽名包括生成時間戳的 哈希����;以及基于所生成的哈希和在安全跟蹤分組中包含的參考哈希來確認時間戳的完整 性。
[0079] 示例19包括示例13-18中任何一個的主題�����,并且其中確定網(wǎng)絡(luò)路徑的子路徑是否 被授權(quán)包括將該時間戳同由經(jīng)密碼簽名的安全跟蹤分組所包含的進入時間戳之間的差與 閾值時間間隔進行比較���,其中該閾值時間間隔指示與所允許的最大地理距離關(guān)聯(lián)的行程持 續(xù)時間�����,其中進入時間戳與由計算設(shè)備從驗證計算設(shè)備接收安全跟蹤分組的接收時間相對 應(yīng)���。
[0080] 示例20包括示例13-19中任何一個的主題,并且其中進入時間戳包括根據(jù)與驗證 計算設(shè)備的安全定時源同步的定時信號生成的時間戳����。
[0081] 示例21包括示例13-20中任何一個的主題,并且其中進入時間戳包括根據(jù)以已知 速率遞增的計數(shù)器生成的時間戳�����。
[0082] 示例22包括示例13-21中任何一個的主題�,并且其中確定網(wǎng)絡(luò)路徑的子路徑是否 被授權(quán)包括由計算設(shè)備基于在經(jīng)密碼簽名的安全跟蹤分組中標識的安全跟蹤分組的處理 時間來確定網(wǎng)絡(luò)路徑的子路徑是否被授權(quán)。
[0083]示例23包括示例13-22中任何一個的主題��,并且其中確定網(wǎng)絡(luò)的子路徑是否被授 權(quán)包括確定網(wǎng)絡(luò)路徑的第一子路徑是否被授權(quán);且進一步包括由驗證計算設(shè)備基于參考網(wǎng) 絡(luò)路徑數(shù)據(jù)和經(jīng)密碼簽名的安全跟蹤分組來確定網(wǎng)絡(luò)路徑的第二子路徑是否被授權(quán)����。 [0084] 示例24包括示例13-23中任何一個的主題,且還包括由驗證計算設(shè)備基于參考網(wǎng) 絡(luò)路徑數(shù)據(jù)和經(jīng)密碼簽名的安全跟蹤分組來確定網(wǎng)絡(luò)路徑的每一子路徑是否被授權(quán)��。 [0085]示例25包括計算設(shè)備,其包含處理器�����;以及存儲器��,其中存儲有多個指令�����,當由處 理器執(zhí)行所述指令時�����,使得計算設(shè)備執(zhí)行示例13-24中的任何一個的方法���。
[0086]示例26包括一個或多個機器可讀存儲介質(zhì)��,其包含在其上存儲的多個指令��,響應(yīng) 于由計算設(shè)備執(zhí)行上述指令��,使得計算設(shè)備執(zhí)行示例13-24中的任何一個的方法���。
[0087] 示例27包括用于對網(wǎng)絡(luò)路徑中的計算設(shè)備進行地理位置證明的驗證計算設(shè)備�,該 驗證計算設(shè)備包括用于生成安全跟蹤分組的單元��,該安全跟蹤分組包括與安全跟蹤分組從 驗證計算設(shè)備的離開時間相對應(yīng)的時間戳;用于向網(wǎng)絡(luò)路徑中的計算設(shè)備發(fā)送安全跟蹤分 組的單元�,其中網(wǎng)絡(luò)路徑標識一個或多個中間計算設(shè)備,通過所述一個或多個中間計算設(shè) 備將安全跟蹤分組從驗證計算設(shè)備向目標計算設(shè)備傳送;用于驗證由驗證計算設(shè)備從計算 設(shè)備接收的經(jīng)密碼簽名的安全跟蹤分組的簽名的單元�����;以及用于基于參考網(wǎng)絡(luò)路徑數(shù)據(jù)和 經(jīng)密碼簽名的安全跟蹤分組來確定網(wǎng)絡(luò)路徑的子路徑是否被授權(quán)的單元�����,其中參考網(wǎng)絡(luò)路 徑數(shù)據(jù)指示在網(wǎng)絡(luò)路徑中的兩個計算設(shè)備之間所允許的最大地理距離�。
[0088] 示例28包括示例27的主題�����,并且其中用于生成安全跟蹤分組的單元包括用于利用 驗證計算設(shè)備的安全定時源來生成時間戳的單元�。
[0089] 示例29包括示例27和28中任何一個的主題,并且其中用于驗證簽名的單元包括用 于驗證計算設(shè)備的簽名的單元���。
[0090] 示例30包括示例27-29中任何一個的主題����,并且其中用于驗證計算設(shè)備的簽名的 單元包括用于驗證經(jīng)密碼簽名的安全跟蹤分組的第一簽名的單元;且進一步包括用于驗證 經(jīng)密碼簽名的安全跟蹤分組的第二簽名的單元,其中第二簽名是網(wǎng)絡(luò)路徑中的一個或多個 中間計算設(shè)備的另一計算設(shè)備的簽名��。
[0091] 示例31包括示例27-30中任何一個的主題����,并且其中用于驗證簽名的單元包括用 于基于與計算設(shè)備的安全協(xié)處理器的私有密碼密鑰相對應(yīng)的公共密碼密鑰來驗證簽名的 單元。
[0092] 示例32包括示例27-31中任何一個的主題�����,并且其中用于驗證簽名的單元包括用 于生成時間戳的哈希的單元�����;以及用于基于所生成的哈希和在安全跟蹤分組中包含的參考 哈希來確認時間戳的完整性的單元�。
[0093] 示例33包括示例27-32中任何一個的主題,并且其中用于確定網(wǎng)絡(luò)路徑的子路徑 是否被授權(quán)的單元包括用于將該時間戳同由經(jīng)密碼簽名的安全跟蹤分組包含的進入時間 戳之間的差與閾值時間間隔進行比較的單元��,其中該閾值時間間隔指示與所允許的最大地 理距離關(guān)聯(lián)的行程持續(xù)時間�����,其中進入時間戳與由計算設(shè)備從驗證計算設(shè)備接收安全跟蹤 分組的時間相對應(yīng)���。
[0094] 示例34包括示例27-33中任何一個的主題���,并且其中進入時間戳包括根據(jù)與驗證 計算設(shè)備的安全定時源同步的定時信號生成的時間戳�����。
[0095] 示例35包括示例27-34中任何一個的主題�,并且其中進入時間戳包括根據(jù)以已知 速率遞增的計數(shù)器生成的時間戳�。
[0096] 示例36包括示例27-35中任何一個的主題,并且其中用于確定網(wǎng)絡(luò)路徑的子路徑 是否被授權(quán)的單元包括由計算設(shè)備基于在經(jīng)密碼簽名的安全跟蹤分組中標識的安全跟蹤 分組的處理時間來確定網(wǎng)絡(luò)路徑的子路徑是否被授權(quán)��。
[0097]示例37包括示例27-36中任何一個的主題�����,并且其中確定網(wǎng)絡(luò)的子路徑是否被授 權(quán)包括用于確定網(wǎng)絡(luò)路徑的第一子路徑是否被授權(quán)的單元;且進一步包括用于基于參考網(wǎng) 絡(luò)路徑數(shù)據(jù)和經(jīng)密碼簽名的安全跟蹤分組來確定網(wǎng)絡(luò)路徑的第二子路徑是否被授權(quán)的單 J L· 〇
[0098] 示例38包括示例27-37中任何一個的主題�,且還包括用于基于參考網(wǎng)絡(luò)路徑數(shù)據(jù) 和經(jīng)密碼簽名的安全跟蹤分組來確定網(wǎng)絡(luò)路徑的每一子路徑是否被授權(quán)的單元��。
[0099]示例39包括用于便于實現(xiàn)證明網(wǎng)絡(luò)路徑中的計算設(shè)備的地理位置的計算設(shè)備�,該 計算設(shè)備包括通信模塊,用于從網(wǎng)絡(luò)路徑中的先前的計算設(shè)備接收安全跟蹤分組��,其中安 全跟蹤分組包括與安全跟蹤分組從先前的計算設(shè)備離開而去往該計算設(shè)備的離開時間相 對應(yīng)的第一時間戳���;以及密碼模塊���,用于利用該計算設(shè)備的私有密碼密鑰對所接收的安全 跟蹤分組進行簽名���;并且其中通信模塊進一步用于向網(wǎng)絡(luò)中的先前的計算設(shè)備傳送經(jīng)密碼 簽名的安全跟蹤分組,其中經(jīng)密碼簽名的安全跟蹤分組包括指示由計算設(shè)備接收安全跟蹤 分組的接收時間的第二時間戳�。
[0100] 示例40包括示例39的主題,且還包括網(wǎng)絡(luò)控制器和安全協(xié)處理器�����,其中接收安全 跟蹤分組包括通過帶外通信鏈路將安全跟蹤分組從網(wǎng)絡(luò)控制器向安全協(xié)處理器轉(zhuǎn)發(fā)�����。
[0101] 示例41包括示例39和40中任何一個的主題��,且進一步包括安全協(xié)處理器��,其中對 所接收的安全跟蹤分組簽名包括利用計算設(shè)備的安全協(xié)處理器的私有密碼密鑰對安全跟 蹤分組簽名�����。
[0102] 示例42包括示例39-41中的任何一個的主題���,并且其中對所接收的安全跟蹤分組 進行簽名包括生成第一時間戳的加密鑰的哈希����。
[0103] 示例43包括示例39-42中的任何一個的主題,且進一步包括安全跟蹤分組生成模 塊��,其用于(i)確定網(wǎng)絡(luò)路徑是否包括隨后的計算設(shè)備以及(ii)響應(yīng)于確定網(wǎng)絡(luò)路徑包括 隨后的計算設(shè)備而生成新的安全跟蹤分組;并且其中通信模塊進一步用于向隨后的計算設(shè) 備傳送新的安全跟蹤分組���。
[0104] 示例44包括示例39-43中任何一個的主題���,并且其中用于生成新的安全跟蹤分組 包括用于生成第三時間戳,該第三時間戳指示新的安全跟蹤分組從計算設(shè)備離開而去往隨 后的計算設(shè)備的離開時間�����。
[0105] 示例45包括示例39-44中任何一個的主題���,并且其中生成第三時間戳包括利用計 算設(shè)備的安全定時源生成第三時間戳。
[0106] 示例46包括示例39-45中任何一個的主題��,并且其中第三時間戳包括根據(jù)與遠程 計算設(shè)備的安全定時源同步的定時信號生成的時間戳�����。
[0107] 示例47包括示例39-46中任何一個的主題,并且其中第三時間戳包括根據(jù)以已知 速率遞增的計數(shù)器生成的時間戳����。
[0108] 示例48包括示例39-47中任何一個的主題,并且其中通信模塊進一步用于從隨后 的計算設(shè)備接收經(jīng)密碼簽名的安全跟蹤分組;其中密碼模塊進一步用于利用計算設(shè)備的私 有密碼密鑰來對經(jīng)密碼簽名的安全跟蹤分組進行簽名��,以生成經(jīng)多次簽名的安全跟蹤分 組;并且其中通信模塊用于向先前的設(shè)備發(fā)送經(jīng)多次簽名的安全跟蹤分組��。
[0109] 示例49包括示例39-48中任何一個的主題�,并且其中生成新的安全跟蹤分組包括 生成第三時間戳,該第三時間戳指示了在接收安全跟蹤分組與傳送經(jīng)密碼簽名的安全跟蹤 分組之間流逝的計算設(shè)備的處理時間�����。
[0110] 示例50包括用于便于證明網(wǎng)絡(luò)路徑中的計算設(shè)備的地理位置的方法����,該方法包括 由計算設(shè)備從網(wǎng)絡(luò)路徑中的先前的計算設(shè)備接收安全跟蹤分組,其中該安全跟蹤分組包括 與安全跟蹤分組從先前的計算設(shè)備離開而去往該計算設(shè)備的離開時間相對應(yīng)的第一時間 戳���;由計算設(shè)備利用計算設(shè)備的私有密碼密鑰對所接收的安全跟蹤分組進行簽名��;以及由 計算設(shè)備向網(wǎng)絡(luò)路徑中的先前的計算設(shè)備發(fā)送經(jīng)密碼簽名的安全跟蹤分組��,其中經(jīng)密碼簽 名的安全跟蹤分組包括指示由計算設(shè)備接收安全跟蹤分組的接收時間的第二時間戳�。
[0111] 示例51包括示例50的主題,并且其中接收安全跟蹤分組包括通過帶外通信鏈路將 安全跟蹤分組從計算設(shè)備的網(wǎng)絡(luò)控制器向計算設(shè)備的安全協(xié)處理器轉(zhuǎn)發(fā)���。
[0112] 示例52包括示例50和51中任何一個的主題���,并且其中對所接收的安全跟蹤分組進 行簽名包括利用計算設(shè)備的安全協(xié)處理器的私有密碼密鑰對安全跟蹤分組進行簽名。
[0113] 示例53包括示例50-52中任何一個的主題��,并且其中對所接收的安全跟蹤分組進 行簽名包括生成時間戳的加密鑰的哈希��。
[0114] 示例54包括示例50-53中任何一個的主題���,且進一步包括由計算設(shè)備確定網(wǎng)絡(luò)路 徑是否包括隨后的計算設(shè)備���;由計算設(shè)備響應(yīng)于確定網(wǎng)絡(luò)路徑包括隨后的計算設(shè)備而生成 新的安全跟蹤分組;以及由計算設(shè)備向隨后的計算設(shè)備發(fā)送新的安全跟蹤分組�����。
[0115] 示例55包括示例50-54中任何一個的主題���,并且其中生成新的安全跟蹤分組包括 生成第三時間戳,該第三時間戳指示新的安全跟蹤分組從計算設(shè)備離開而去往隨后的計算 設(shè)備的離開時間
[0116] 示例56包括示例50-55中任何一個的主題�����,并且其中生成第三時間戳包括利用計 算設(shè)備的安全定時源生成第三時間戳。
[0117] 示例57包括示例50-56中任何一個的主題����,并且其中第三時間戳包括根據(jù)與遠程 計算設(shè)備的安全定時源同步的定時信號而生成的時間戳。
[0118] 示例58包括示例50-57中任何一個的主題��,并且其中第三時間戳包括根據(jù)以已知 速率遞增的計數(shù)器生成的時間戳��。
[0119] 示例59包括示例50-58中任何一個的主題���,且進一步包括由計算設(shè)備從隨后的計 算設(shè)備接收經(jīng)密碼簽名的安全跟蹤分組����;由計算設(shè)備利用計算設(shè)備的私有密碼密鑰對經(jīng)密 碼簽名的安全跟蹤分組進行簽名以生成經(jīng)多次簽名的安全跟蹤分組�����;以及�,由計算設(shè)備向 先前的設(shè)備傳送經(jīng)多次簽名的安全跟蹤分組。
[0120] 示例60包括示例50-59中任何一個的主題���,并且其中生成新的安全跟蹤分組包括 生成第三時間戳��,該第三時間戳指示在接收安全跟蹤分組與傳送經(jīng)密碼簽名的安全跟蹤分 組之間流逝的計算設(shè)備的處理時間�����。
[0121 ]示例61包括計算設(shè)備��,其包含處理器���;以及存儲器�,其中存儲有多個指令�,當由處 理器執(zhí)行所述指令時,使得計算設(shè)備執(zhí)行示例50-60中的任何一個的方法�。
[0122] 示例62包括一個或多個機器可讀存儲介質(zhì),其包含在其上存儲的多個指令���,響應(yīng) 于由計算設(shè)備執(zhí)行上述指令�,使得計算設(shè)備執(zhí)行示例50-60中的任何一個的方法�。
[0123] 示例63包括用于便于證明網(wǎng)絡(luò)路徑中的計算設(shè)備的地理位置的計算設(shè)備,該計算 設(shè)備包括用于從網(wǎng)絡(luò)路徑中的先前的計算設(shè)備接收安全跟蹤分組的單元���,其中安全跟蹤分 組包括與安全跟蹤分組從先前的計算設(shè)備離開而去往該計算設(shè)備的離開時間相對應(yīng)的第 一時間戳����;用于利用該計算設(shè)備的私有密碼密鑰對所接收的安全跟蹤分組進行簽名的單 元����;以及用于向網(wǎng)絡(luò)中的先前的計算設(shè)備發(fā)送經(jīng)密碼簽名的安全跟蹤分組的單元,其中經(jīng) 密碼簽名的安全跟蹤分組包括指示由計算設(shè)備接收安全跟蹤分組的接收時間的第二時間 戳���。
[0124] 示例64包括示例63的主題����,并且其中用于接收安全跟蹤分組的單元包括用于通過 帶外通信鏈路將安全跟蹤分組從網(wǎng)絡(luò)控制器向安全協(xié)處理器轉(zhuǎn)發(fā)的單元���。
[0125] 示例65包括示例63和64中任何一個的主題�,其中用于對所接收的安全跟蹤分組進 行簽名的單元包括用于利用計算設(shè)備的安全協(xié)處理器的私有密碼密鑰對安全跟蹤分組簽 名的單元���。
[0126] 示例66包括示例63-65中的任何一個的主題�����,并且其中用于對所接收的安全跟蹤 分組進行簽名的單元包括用于生成時間戳的加密鑰的哈希的單元��。
[0127] 示例67包括示例63-66中的任何一個的主題�����,且進一步包括用于確定網(wǎng)絡(luò)路徑是 否包括隨后的計算設(shè)備的單元;用于響應(yīng)于確定網(wǎng)絡(luò)路徑包括隨后的計算設(shè)備而生成新的 安全跟蹤分組的單元����;以及用于向隨后的計算設(shè)備傳送新的安全跟蹤分組的單元。
[0128] 示例68包括示例63-67中任何一個的主題���,且用于生成新的安全跟蹤分組的單元 包括用于生成第三時間戳的單元�����,該第三時間戳指示新的安全跟蹤分組從計算設(shè)備離開而 去往隨后的計算設(shè)備的離開時間����。
[0129] 示例69包括示例63-68中任何一個的主題�����,并且其中用于生成第三時間戳的單元 包括用于利用計算設(shè)備的安全定時源生成第三時間戳的單元�����。
[0130] 示例70包括示例63-69中任何一個的主題���,并且其中第三時間戳包括根據(jù)與遠程 計算設(shè)備的安全定時源同步的定時信號生成的時間戳�。
[0131] 示例71包括示例63-70中任何一個的主題,并且其中第三時間戳包括根據(jù)以已知 速率遞增的計數(shù)器生成的時間戳�����。
[0132] 示例72包括示例63-71中任何一個的主題�����,且還包括用于從隨后的計算設(shè)備接收 經(jīng)密碼簽名的安全跟蹤分組的單元���;用于利用計算設(shè)備的私有密碼密鑰對經(jīng)密碼簽名的安 全跟蹤分組進行簽名以生成經(jīng)多次簽名的安全跟蹤分組的單元;以及用于向先前的設(shè)備傳 送經(jīng)多次簽名的安全跟蹤分組的單元���。
[0133] 示例73包括示例63-72中任何一個的主題�,并且其中用于生成新的安全跟蹤分組 的單元包括用于生成第三時間戳的單元�����,該第三時間戳指示在接收安全跟蹤分組與傳送經(jīng) 密碼簽名的安全跟蹤分組之間流逝的計算設(shè)備的處理時間��。
【主權(quán)項】
1. 一種用于對網(wǎng)絡(luò)路徑中的計算設(shè)備進行地理位置證明的驗證計算設(shè)備����,所述驗證計 算設(shè)備包括: 安全跟蹤分組生成模塊����,其用于生成安全跟蹤分組����,其中所述安全跟蹤分組包括與所 述安全跟蹤分組從所述驗證計算設(shè)備的離開時間相對應(yīng)的時間戳; 通信模塊���,其用于向所述網(wǎng)絡(luò)路徑中的計算設(shè)備傳送所述安全跟蹤分組����,其中所述網(wǎng) 絡(luò)路徑標識一個或多個中間計算設(shè)備�����,通過所述中間計算設(shè)備將所述安全跟蹤分組從所述 驗證計算設(shè)備向目標計算設(shè)備傳輸�����; 密碼模塊��,其用于驗證由所述驗證計算設(shè)備從所述計算設(shè)備接收的經(jīng)密碼簽名的安全 跟蹤分組的簽名�����;以及 網(wǎng)絡(luò)路徑授權(quán)模塊,其用于基于參考網(wǎng)絡(luò)路徑數(shù)據(jù)和所述經(jīng)密碼簽名的安全跟蹤分組 來確定所述網(wǎng)絡(luò)路徑的子路徑是否被授權(quán)��,其中所述參考網(wǎng)絡(luò)路徑數(shù)據(jù)指示在所述網(wǎng)絡(luò)路 徑中的兩個計算設(shè)備之間所允許的最大地理距離�。2. 根據(jù)權(quán)利要求1所述的驗證計算設(shè)備,其中生成所述安全跟蹤分組包括利用所述驗 證計算設(shè)備的安全定時源而生成所述時間戳�。3. 根據(jù)權(quán)利要求1所述的驗證計算設(shè)備,其中驗證所述簽名包括驗證所述計算設(shè)備的 簽名����。4. 根據(jù)權(quán)利要求3所述的驗證計算設(shè)備����,其中驗證所述計算設(shè)備的簽名包括驗證所述 經(jīng)密碼簽名的安全跟蹤分組的第一簽名;并且 其中所述密碼模塊還用于驗證所述經(jīng)密碼簽名的安全跟蹤分組的第二簽名,其中所述 第二簽名是所述網(wǎng)絡(luò)路徑中的所述一個或多個中間計算設(shè)備的另一計算設(shè)備的簽名���。5. 根據(jù)權(quán)利要求1-4中的任意一項所述的驗證計算設(shè)備�,其中驗證所述簽名包括基于 與所述計算設(shè)備的安全協(xié)處理器的私有密碼密鑰相對應(yīng)的公共密碼密鑰來驗證所述簽名��。6. 根據(jù)權(quán)利要求1-4中的任意一項所述的驗證計算設(shè)備�,其中驗證所述簽名包括: 生成所述時間戳的哈希;以及 基于所生成的哈希和包括在所述安全跟蹤分組中的參考哈希來確認所述時間戳的完 整性�。7. -種用于證明網(wǎng)絡(luò)路徑中的計算設(shè)備的地理位置的方法���,所述方法包括: 由驗證計算設(shè)備生成安全跟蹤分組,所述安全跟蹤分組包括與所述安全跟蹤分組從所 述驗證計算設(shè)備的離開時間相對應(yīng)的時間戳�����; 由所述驗證計算設(shè)備向所述網(wǎng)絡(luò)路徑中的計算設(shè)備傳送所述安全跟蹤分組�����,其中所述 網(wǎng)絡(luò)路徑標識一個或多個中間計算設(shè)備���,其中通過所述一個或多個中間計算設(shè)備將所述安 全跟蹤分組從所述驗證計算設(shè)備向目標計算設(shè)備傳輸����; 由所述驗證計算設(shè)備驗證由所述驗證計算設(shè)備從所述計算設(shè)備接收的經(jīng)密碼簽名的 安全跟蹤分組的簽名��;以及 由所述驗證計算設(shè)備基于參考網(wǎng)絡(luò)路徑數(shù)據(jù)和所述經(jīng)密碼簽名的安全跟蹤分組來確 定所述網(wǎng)絡(luò)路徑的子路徑是否被授權(quán)�,其中所述參考網(wǎng)絡(luò)路徑數(shù)據(jù)指示在所述網(wǎng)絡(luò)路徑中 的兩個計算設(shè)備之間所允許的最大地理距離。8. 根據(jù)權(quán)利要求7所述的方法�����,其中確定所述網(wǎng)絡(luò)路徑的所述子路徑是否被授權(quán)包括 將所述時間戳同由所述經(jīng)密碼簽名的安全跟蹤分組所包含的進入時間戳之間的差與閾值 時間間隔進行比較�,其中所述閾值時間間隔指示與所述允許的最大地理距離相關(guān)聯(lián)的行程 持續(xù)時間���,其中所述進入時間戳與由所述計算設(shè)備從所述驗證計算設(shè)備接收所述安全跟蹤 分組的接收時間相對應(yīng)。9. 根據(jù)權(quán)利要求8所述的方法����,其中所述進入時間戳包括根據(jù)與所述驗證計算設(shè)備的 安全定時源同步的定時信號生成的時間戳。10. 根據(jù)權(quán)利要求8所述的方法��,其中所述進入時間戳包括根據(jù)以已知速率遞增的計數(shù) 器生成的時間戳�����。11. 根據(jù)權(quán)利要求7所述的方法����,其中確定所述網(wǎng)絡(luò)路徑的所述子路徑是否被授權(quán)包括 由所述計算設(shè)備基于在所述經(jīng)密碼簽名的安全跟蹤分組中標識的對所述安全跟蹤分組的 處理時間來確定所述網(wǎng)絡(luò)路徑的子路徑是否被授權(quán)��。12. 根據(jù)權(quán)利要求7所述的方法����,其中確定所述網(wǎng)絡(luò)路徑的所述子路徑是否被授權(quán)包括 確定所述網(wǎng)絡(luò)路徑的第一子路徑是否被授權(quán);以及 還包括由所述驗證計算設(shè)備基于所述參考網(wǎng)絡(luò)路徑數(shù)據(jù)和所述經(jīng)密碼簽名的安全跟 蹤分組來確定所述網(wǎng)絡(luò)路徑的第二子路徑是否被授權(quán)。13. 根據(jù)權(quán)利要求7所述的方法����,還包括由所述驗證計算設(shè)備基于所述參考網(wǎng)絡(luò)路徑數(shù) 據(jù)和所述經(jīng)密碼簽名的安全跟蹤分組來確定所述網(wǎng)絡(luò)路徑的每一個子路徑是否被授權(quán)��。14. 一種用于便于證明網(wǎng)絡(luò)路徑中的計算設(shè)備的地理位置的計算設(shè)備���,所述計算設(shè)備 包括: 通信模塊,其用于從所述網(wǎng)絡(luò)路徑中的先前的計算設(shè)備接收安全跟蹤分組����,其中所述 安全跟蹤分組包括與所述安全跟蹤分組從所述先前的計算設(shè)備離開而去往所述計算設(shè)備 的離開時間相對應(yīng)的第一時間戳;以及 密碼模塊,其用于利用所述計算設(shè)備的私有密碼密鑰對所接收的安全跟蹤分組進行簽 名�����;以及 其中所述通信模塊還用于向所述網(wǎng)絡(luò)路徑中的所述先前的計算設(shè)備傳送所述經(jīng)密碼 簽名的安全跟蹤分組�����,其中所述經(jīng)密碼簽名的安全跟蹤分組包括指示由所述計算設(shè)備接收 所述安全跟蹤分組的接收時間的第二時間戳���。15. 根據(jù)權(quán)利要求14所述的計算設(shè)備�,還包括網(wǎng)絡(luò)控制器和安全協(xié)處理器��,其中接收所 述安全跟蹤分組包括通過帶外通信鏈路將所述安全跟蹤分組從所述網(wǎng)絡(luò)控制器向所述安 全協(xié)處理器轉(zhuǎn)發(fā)��。16. 根據(jù)權(quán)利要求14所述的計算設(shè)備����,還包括安全協(xié)處理器�����,其中對接收的安全跟蹤分 組進行簽名包括利用所述計算設(shè)備的所述安全協(xié)處理器的私有密碼密鑰來對所述安全跟 蹤分組進彳丁簽名���。17. 根據(jù)權(quán)利要求14所述的計算設(shè)備,其中對所述接收的安全跟蹤分組進行簽名包括 生成所述第一時間戳的加密鑰的哈希�����。18. 根據(jù)權(quán)利要求14所述的計算設(shè)備����,還包括安全跟蹤分組生成模塊,其用于(i)確定 所述網(wǎng)絡(luò)路徑是否包括隨后的計算設(shè)備以及(ii)響應(yīng)于確定所述網(wǎng)絡(luò)路徑包括所述隨后 的計算設(shè)備而生成新的安全跟蹤分組;并且 其中所述通信模塊還用于向所述隨后的計算設(shè)備傳送所述新的安全跟蹤分組�。19. 根據(jù)權(quán)利要求18所述的計算設(shè)備,其中生成所述新的安全跟蹤分組包括生成第三 時間戳���,所述第三時間戳指示所述新的安全跟蹤分組從所述計算設(shè)備離開而去往所述隨后 的計算設(shè)備的離開時間。20. 根據(jù)權(quán)利要求19所述的計算設(shè)備����,其中所述第三時間戳包括根據(jù)與遠程計算設(shè)備 的安全定時源同步的定時信號而生成的時間戳�����。21. 根據(jù)權(quán)利要求19所述的計算設(shè)備�,其中所述第三時間戳包括根據(jù)以已知速率遞增 的計數(shù)器生成的時間戳�。22. -種用于便于證明網(wǎng)絡(luò)路徑中的計算設(shè)備的地理位置的方法,所述方法包括: 由計算設(shè)備從所述網(wǎng)絡(luò)路徑中的先前的計算設(shè)備接收安全跟蹤分組�����,其中所述安全跟 蹤分組包括與所述安全跟蹤分組從所述先前的計算設(shè)備離開而去往所述計算設(shè)備的離開 時間相對應(yīng)的第一時間戳��; 由所述計算設(shè)備利用所述計算設(shè)備的私有密碼密鑰來對所接收的安全跟蹤分組進行 簽名�;以及 由所述計算設(shè)備向所述網(wǎng)絡(luò)路徑中的所述先前的計算設(shè)備傳送經(jīng)密碼簽名的安全跟 蹤分組,其中所述經(jīng)密碼簽名的安全跟蹤分組包括指示由所述計算設(shè)備接收所述安全跟蹤 分組的接收時間的第二時間戳��。23. 根據(jù)權(quán)利要求22所述的方法�,還包括: 由所述計算設(shè)備確定所述網(wǎng)絡(luò)路徑是否包括隨后的計算設(shè)備; 由所述計算設(shè)備響應(yīng)于確定所述網(wǎng)絡(luò)路徑包括所述隨后的計算設(shè)備而生成新的安全 跟蹤分組�����;以及 由所述計算設(shè)備向所述隨后的計算設(shè)備傳送所述新的安全跟蹤分組�����。24. 根據(jù)權(quán)利要求23所述的方法,還包括: 由所述計算設(shè)備從所述隨后的計算設(shè)備接收經(jīng)密碼簽名的安全跟蹤分組����; 由所述計算設(shè)備利用所述計算設(shè)備的所述私有密碼密鑰來對所述經(jīng)密碼簽名的安全 跟蹤分組進行簽名以生成經(jīng)多次簽名的安全跟蹤分組;以及 由所述計算設(shè)備向所述先前的設(shè)備傳送所述經(jīng)多次簽名的安全跟蹤分組���。25. 根據(jù)權(quán)利要求23所述的方法��,其中生成所述新的安全跟蹤分組包括生成第三時間 戳�����,所述第三時間戳指示在接收到所述安全跟蹤分組與傳送所述經(jīng)密碼簽名的安全跟蹤分 組之間流逝的所述計算設(shè)備的處理時間�。
【文檔編號】H04L29/12GK106027688SQ201610109315
【公開日】2016年10月12日
【申請日】2016年2月26日
【發(fā)明人】T·M·斯萊特, B·J·斯凱利, K·索德, R·王
【申請人】英特爾公司