的方式来存储信息(诸如,指令序列)。作为另一示例,非易失性存储设备962可以由固态存储设备的区块组成,以便以与致密闪存卡类似的方式来存储信息(诸如,指令序列)。同样,在不同的时刻,在计算设备中采用不同类型的存储设备来存储可执行例程和/或数据是常见的。因此,包括将由处理器组件950执行以实现各个实施例的指令序列的例程最初可存储在机器可读存储介质969上,并且后续可将可移除介质存储设备963用于将那个例程复制到非易失性存储设备962供较长期的存储而不要求机器可读存储介质969和/或易失性存储设备961的继续存在,从而允许当执行那个例程时可由处理器组件950进行的更快的访问。
[0093]如先前所讨论的,接口990(对应于接口590或790中的一个或多个)可以采用对应于可以用于将计算设备通信地耦合到一个或多个其他设备的各种通信技术中的任一种的各种信令技术中的任一种。同样,可采用各种形式的有线或无线信令中的一者或两者,以便使处理器组件950可能通过网络(例如,网络999)或经互连的网络集合而能够与输入/输出设备(例如,所描绘的示例键盘920或打印机925)和/或其他计算设备交互。鉴于经常必须由任何一个计算设备支持的多种类型的信令和/或协议的经常非常不同的特征,接口 990被描绘为包括多个不同的接口控制器995a、995b和995c。接口控制器995a可以采用各种类型的有线数字串行接口或射频无线接口中的任一种类以从用户输入设备(诸如,所描绘的键盘920)接收串行传输的消息。接口控制器995b可以采用各种基于线缆布线的或无线的信令、定时或协议中的任一种以通过所描绘的网络(可能是由一个或多个链路组成的网络、更小的网络,或可能是互联网)来访问其他计算设备。接口 995c可以采用导电线缆布线,所述导电线缆布线允许使用串行或并行的信号传输来将数据传送到所描绘的打印机925。可以通过接口 990的一个或多个接口控制器而被通信地耦合的设备的其他示例包括但不限于,话筒、遥控器、触控笔、读卡器、指纹读取器、虚拟现实交互手套、图形输入平板计算机、控制杆、其他键盘、视网膜扫描仪、触摸屏的触摸输入组件、轨迹球、各种传感器、用于监测人员的移动以接受那些人员经由姿势和/或面部表情来用信号通知的命令和/或数据的相机或相机阵列、激光打印机、喷墨打印机、机械机器人、研磨机器,等等。
[0094]在计算设备通信地耦合到(或可能实际上合并了)显示器(例如,所描绘的示例显示器980)时,实现处理架构3000的此类计算设备还可以包括显示接口 985。尽管更通用类型的接口可以用于通信地耦合到显示器,但是当在显示器上可视地显示各种形式的内容时经常所需的某种程度上专业化的附加处理以及所使用的基于线缆布线的某种程度上专业化的性质经常使得供应不同的显示接口是所期望的。可以由显示接口 985用于显示器980的通信耦合的有线和/或无线信令技术可以利用符合各种行业标准中的任一种的信令和/或协议,包括但不限于各种模拟视频接口、数字视频接口(DVI)、显示端口等中的任一种。
[0095]更一般而言,本文中描述和描绘的计算设备的各种元件可以包括各种硬件元件、软件元件或这两者的组合。硬件元件的示例可包括器件、逻辑器件、组件、处理器、微处理器、电路、处理器组件、电路元件(例如,晶体管、电阻器、电容器、电感器等)、集成电路、专用集成电路(ASIC)、可编程逻辑器件(PLD)、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、存储器单元、逻辑门、寄存器、半导体器件、芯片、微芯片、芯片组,等等。软件元件的示例可包括软件组件、程序、应用、计算机程序、应用程序、系统程序、软件开发程序、机器程序、操作系统软件、中间件、固件、软件模块、例程、子例程、函数、方法、过程、软件接口、应用程序接口(API)、指令集、计算代码、计算机代码、代码段、计算机代码段、字、值、符号或上述各项的任何组合。然而,如对于给定的实现所期望的,确定使用硬件元件和/或还是软件元件来实现实施例可以根据任何数量的因素而不同,这些因素诸如,所期望的计算速率、功率等级、热容限、处理循环预算、输入数据速率、输出数据速率、存储器资源、数据总线速度以及其他设计或性能约束。
[0096]可以使用表述“一个实施例”或“实施例”及其衍生词来描述一些实施例。这些术语意味着结合此实施例所描述的特定的特征、结构或特性被包括在至少一个实施例中。在本说明书中的各处出现短语“在一个实施例中”不一定全都是指相同的实施例。此外,可使用表述“耦合的”和“连接的”及其衍生词来描述一些实施例。这些术语不一定旨在作为彼此的同义词。例如,可以使用术语“连接的”和/或“親合的”来描述一些实施例以指示两个或更多个元件彼此直接物理接触或电接触。然而,术语“耦合的”还可以意味着两个或更多个元件彼此可以不直接接触但是可仍彼此协作或交互。此外,可组合来自不同实施例的多个方面或元件。
[0097]强调的是,提供本公开的摘要以允许读者快速地确定本技术公开的性质。提交摘要且要理解,本摘要将不用于解释或限制权利要求书的范围或含义。附加地,在前述【具体实施方式】中,可以看到,为了使本公开流畅而将各种特征组合在单个实施例中。这种公开方法不应被解释为反映以下意图:所要求保护的实施例要求比在每项权利要求中明确陈述的特征更多的特征。相反,如所附权利要求书所反映,发明性主题少于单个公开的实施例的全部特征。因此,所附权利要求书由此被合并到【具体实施方式】中,其中,每项权利要求以其自身作为单独的实施例。在所附权利要求书中,术语“包括(including)”和“其中(inwhich)”分别用作相应的术语“包括(comprising)”和“其中(wherein)”的简明英语的等效词。此外,术语“第一”、“第二”和“第三”等仅用作标记,并且不旨在对其对象强加数字要求。
[0098]以上已经描述的内容包括所公开的架构的示例。当然,描述组件和/或方法的每一个可想到的组合是不可能的,但是本领域技术人员可以意识到,许多进一步的组合和排列是可能的。相应地,新颖的架构旨在涵盖落入所附权利要求书的精神和范围内的所有此类更改、修改和变体。本详细公开现在转向提供涉及进一步的实施例的示例。以下提供的示例不旨在是限制性的。
[0099]在示例I中,一种用于建立安全通信的装置包括:处理器组件;验证组件,用于由所述处理器组件执行以:验证接收到的链路认证凭证以验证该服务器形成安全流水线的能力;以及用信号向应用例程通知由所述验证组件进行的验证的结果的指示;以及散列组件,用于由所述处理器组件执行以生成与所述应用例程相关联的返回签名的返回散列,所述返回散列指示所述应用例程也已经验证了所述链路认证凭证以便与所述应用例程形成所述安全流水线。
[0100]在包括示例I所述的主题的示例2中,所述装置可以包括接口,所述接口用于将所述处理器组件耦合到网络以从服务器接收所述链路认证凭证,所述链路认证凭证用于认证所述服务器形成所述安全流水线的能力,并且对所述链路认证凭证的验证用于验证所述服务器形成所述安全流水线的能力。
[0101]在包括示例I至2中的任一项的主题的示例3中,所述验证组件可使用与所述链路认证凭证相关联的链路验证凭证来验证所述链路认证凭证,并且可将所述链路认证凭证或所述链路验证凭证中的至少一项提供给所述应用例程以使所述应用例程能够验证所述链路认证凭证。
[0102]在包括示例I至3中的任一项的主题的示例4中,所述散列组件可基于由所述应用例程进行的验证的结果的指示来生成所述返回签名。
[0103]在包括示例I至4中的任一项的主题的示例5中,所述散列组件可从由所述应用例程提供给所述散列组件的所述链路认证凭证中生成所述返回签名。
[0104]在包括示例I至5中的任一项的主题的示例6中,所述散列组件可附加地从以下各项中的至少一项中生成所述返回签名:环境认证凭证,用于服务器认证在由所述处理器组件提供的安全处理环境中执行所述应用例程,所述安全流水线是与所述服务器形成的;或数据,所述指示所述应用例程的执行上下文,所述数据包括所述应用例程的尺寸的指示或所述应用例程的部分的散列中的至少一项。
[0105]在包括示例I至6中的任一项的主题的示例7中,所述散列组件可响应于来自所述应用例程的、对所述返回签名的请求来将所述返回签名提供给所述应用例程。
[0106]在包括示例I至7中的任一项的示例8中,所述装置可以包括:存储设备;以及控制例程,所述控制例程用于由所述处理器组件执行以将所述存储设备的部分分配给所述应用例程,从而提供用于由所述处理器组件执行所述应用例程的安全处理环境。
[0107]在包括示例I至8中的任一项的主题的示例9中,所述装置可以包括:另一处理器组件;存储设备;以及控制例程,所述控制例程用于由所述处理器组件执行以与所述另一个处理器组件协作,从而将所述存储设备的部分分配给所述应用例程以提供用于由所述另一处理器组件执行所述应用例程的安全处理环境。
[0108]在包括示例I至9中的任一项的主题的示例10中,所述装置可以包括所述应用例程,所述应用例程包括另一验证组件,所述另一验证组件用于验证由服务器使用由所述应用例程接收到的所述链路认证凭证从所述返回散列中生成的经签名的散列,从而除了在所述服务器与所述应用例程之间形成的所述安全流水线之外还在所述服务器与所述应用例程之间在应用层级上形成信任链,所述安全流水线是与所述服务器形成的。
[0109]在包括如示例I至10中的任一项的主题的示例11中,所述装置可以包括签名组件,所述签名组件用于基于对所述经签名的散列的验证而将所述返回签名传输至所述服务器,以便向所述服务器指示所述应用例程已经验证了所述签名散列以便在应用层级上形成所述信任链。
[0110]在示例12中,一种用于建立安全通信的装置包括:处理器组件;发起组件,所述发起组件用于由所述处理器组件执行以将链路认证凭证传输至客户机设备,从而认证形成与客户机设备形成安全流水线的能力;以及签名组件,所述签名组件用于由所述处理器组件执行以:用所述链路认证凭证对从所述客户机设备接收到的返回散列签名以生成经签名的散列;以及将所述经签名的散列传输到所述客户机设备以认证在应用层级上与所述客户机设备的应用例程形成信任链的能力。
[0111]在包括示例12所述的主题的示例13中,所述装置可以包括接口,所述接口用于将所述处理器组件耦合到网络以从所述客户机设备接收所述返回散列。
[0112]在包括示例12至13中的任一项的主题的示例14中,所述装置可以包括验证组件,所述验证组件用于由所述处理器组件执行以:从接收自所述客户机设备的返回签名生成另一返回散列;以及将所述返回散列与所述另一个返回散列进行比较以验证从所述返回签名中生成的所述返回散列。
[0113]在包括示例12至14中的任一项的主题的示例15中,所述验证组件可使用环境验证凭证来验证所述返回签名以验证在所述客户机设备的安全处理环境内执行所述应用例程,从而形成所述信任链,所述环境验证凭证与由所述客户机设备用于生成所述返回签名的环境认证凭证相关联。
[0114]在示例16中,一种用于建立安全通信的计算实现的方法包括以下步骤:验证经由网络接收到的链路认证凭证以验证通过所述网络形成安全流水线的能力;用信号向应用例程通知所述验证的结果的指示;以及生成与所述应用例程相关联的返回签名的返回散列,所述返回散列指示所述应用例程也已经验证所述链路认证凭证以便与所述应用例程形成所述安全流水线。
[0115]在包括示例16的主题的示例17中,所述方法可以包括以下步骤:使用与所述链路认证凭证相关联的链路验证凭证来验证所述链路认证凭证;以及将所述链路认证凭证或所述链路验证凭证中的至少一者提供给所述应用例程以使所述应用例程能够验证所述链路认证凭证。
[0116]在包括示例16至17中的任一项的主题的示例18中,所述方法可以包括以下步骤:基于由所述应用例程进行的验证的结果的指示来生成所述返回签名。
[0117]在包括示例16至18中的任一项的主题的示例19中,所述方法可以包括以下步骤:从由所述应用例程提供给所述散列组件的所述链路认证凭证中生成所述返回签名。
[0118]在包括示例16至19中的任一项的主题的示例20中,所述方法可以包括附加地从以下各项中的至少一项中生成所述返回签名:环境认证凭证,所述环境认证凭证用于向服务器认证在由所述处理器组件提供的安全处理环境中执行所述应用例程,所述安全流水线是与所述服务器形成的;或数据,所述数据指示所述应用例程的执行上下文,所述数据包括所述应用例程的尺寸的指示或所述应用例程的部分的散列中的至少一项。
[0119]在包括示例16至20中的任一项的主题的示例21中,所述方法可以包括以下操作:响应于来自所述应用例程的、对所述返回签名的请求来将所述返回签名提供给所述应用例程。
[0120]在包括示例16至21中的任一项的主题的示例22中,所述方法可以包括以下步骤:在安全处理环境中执行所述应用例程。
[0121]在包括示例16至22中的任一项的主题的示例23中,所述方法可以包括以下步骤:将存储设备的部分分配给所述应用例程以便执行所述应用例程;以及限制对所述存储设备的所述部分的访问由另一例程访问。
[0122]在包括示例16至23中的任一项的主题的示例24中,所述方法可以包括以下步骤验证由服务器使用由所述应用例程接收到的所述链路认证凭证从所述返回散列中生成的经签名的散列,从而除了在所述服务域所述应用例程之间形成的所述安全流水线之外还在所述服务器与所述应用例程之间在应用层级上形成信任链,所述安全流水线是与所述服务器形成的。
[0123]在包括示例16至24中的任一项的主题的示例25中,所述方法可以包括以下步骤:基于对所述散列的所述验证来将所述返回签名传输至所述服务器,从而向所述服务器