硬件安全单元间协作方法、系统及其应用设备的制作方法

文档序号:6614038阅读:133来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
专利名称:硬件安全单元间协作方法、系统及其应用设备的制作方法
技术领域
本发明涉及一种硬件安全系统,尤指一种固定硬件安全单元及移动硬件 安全单元的协作方法及系统,以及应用固定硬件安全单元的计算机设备。
背景技术
现有计算机和其他设备为了保证自身设备的安全,均在其内部设置安全 芯片,在安全芯片内部载入平台证书,平台证书对外用于提供平台身份标识。 当计算机或其他设备与第三方设备相通信时,安全芯片内部的平台证书可以 为第三方设备提供计算机或其他设备自身的身份标识。
现有的基于计算机和其他设备的硬件安全芯片方案可以保证平台的安全 性,但由于安全芯片本身固化在PC或其他设备上,不方便移动,这导致基于 计算机和其他设备的硬件安全芯片的解决方案只能指定某台机器实现,不方 便用户或者使用者移动使用。
现有USBKey和智能卡的证书、密钥》t置在USBKey和智能卡的安全芯 片内,该安全芯片作为一个黑匣子,该安全芯片对外提供身份认证和密码学 服务功能。在典型的网银应用里,USBKey、智能卡是作为使用者的身份标识 使用。USBKey里存在一个安全芯片,且该安全芯片需要得到银行或服务器的 认证。服务器发行的电子证书被安全的下载至USBKey,电子证书中含有签章 使用的密钥。使用者与银行或服务器连接的阶段,要通过口令或其他认证手 段如指紋等确认USBKey的使用者身份,获得密钥的使用权力。在使用者向 服务器提交数据时,例如"转帐到XX帐户XX元",该信息要被USBKey的 电子证书签章,作为确认使用者操作的重要依据。同时,USBKey里的安全芯 片,还可以产生使用者密钥,用该密钥加密的数据,只能被使用者授权的该 密钥解密。
现有USBKey、智能卡方案标识使用者身份存在以下两种缺陷。 1、 USBKey、智能卡方案只能对使用者身份负责,并不能对整个运行的 环境的安全性负责。从本质上,其不能避免,计算机上运行的黑客程序窃取 USBKey、智能卡的口令。在USBKey、智能卡丢失,或者口令被窃取后,不 能保证使用者身份的安全性。
52、 USBKey、智能卡方案使用通常是几位的可输入字符的口令,确认使用人的身份,这在整个安全体系里,是最弱的安全因子,有可能被暴力攻击破解。 '

发明内容
本发明的目的是提供一种固定硬件安全单元及移动硬件安全单元的协作方法及系统,以及应用固定硬件安全单元的计算机设备,用于满足固定硬件安全单元的安全方案能够与保证使用者身份安全的移动硬件安全单元结合。
本发明提供一种固定硬件安全单元及移动硬件安全单元的协作方法,所述方法包括
设置表征使用者身份的移动硬件安全单元;设置表征平台身份的基于计算机或其他设备的固定硬件安全单元;所述移动硬件安全单元和固定硬件安全单元创建双向通信管道;所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互,实现互相绑定。
优选地,所述双向通信管道通是所述移动硬件安全单元和固定硬件安全单元过密钥协商或者公钥交换的手段创建。
优选地,所述通信管道由所述移动硬件安全单元和/或固定硬件安全单元更新或者废除;
或,由所述通信管道根据所述移动硬件安全单元和/或固定硬件安全单元设定的条件进行更新或者废除。
优选地,所述唯一识别信息的交互具体为所述移动硬件安全单元唯一识别信息发送到所述固定硬件安全单元,所述固定硬件安全单元识别和记录所述移动硬件安全单元唯一识别信息;
所迷固定硬件安全单元唯一识别信息发送到所述移动硬件安全单元,所述移动硬件安全单元识别和记录所述固定硬件安全单元唯一识别信息。
优选地,所述移动^5更件安全单元唯一识别信息和/或所述固定^s更件安全单
元唯一识别信息通过密码学的方法处理后,再进行交互。
优选地,所述移动硬件安全单元和固定硬件安全单元对需要发送的信息进行二次加密。
优选地,所述移动硬件安全单元和固定硬件安全单元对需要发送的明文
6进行所述移动硬件安全单元和固定硬件安全单元的二次加密;
所述移动硬件安全单元和固定硬件安全单元对向需要发送的表征身份信
优选地,所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互,实现互相绑定之后,进一步包括
绑定关系确立后,所述移动硬件安全单元和固定硬件安全单元均向服务器注册,所述服务器确认所述移动硬件安全单元和固定硬件安全单元的绑定关系。
优选地,所述移动硬件安全单元和固定硬件安全单元向服务器注册包括以下步骤
所述移动硬件安全单元将需要向服务器注册的信息打包发送给所述固定硬件安全单元;
所述固定硬件安全单元将自身的注册信息连同所述移动硬件安全单元打包后的注册信息, 一同打包发送至所述服务器。
优选地,所述移动硬件安全单元和固定硬件安全单元向服务器注册包括以下步骤
所述移动^_件安全单元将需要向服务器注册的信息打包发送至所述服务
器;
所述固定^f更件安全单元将自身的注册信息和所述移动硬件安全单元的唯一识别信息一起打包发送至所述服务器。
优选地,向所述服务器发送服务请求时,所述移动硬件安全单元和固定硬件安全单元在绑定关系下共同签章,同时表征平台身份和使用者身份。
优选地,所述移动硬件安全单元和固定硬件安全单元对向所述服务器发送的内容进行二次加密。
本发明提供一种固定硬件安全单元及移动硬件安全单元的协作系统,所述系统包括移动硬件安全单元、固定硬件安全单元、通信管道创建单元以及绑定单元;
所述移动^/f牛安全单元,用于表征使用者身份;
所述固定硬件安全单元,基于计算机或其他设备的硬件安全单元,用于表征平台身份;所述通信管道创建单元,用于在所述移动硬件安全单元和固定硬件安全
单元之间创建双向通信管道;
所述绑定单元,实现所述移动硬件安全单元和固定硬件安全单元通过交互自身的唯一识别信息,进行互相绑定。
优选地,所述协作系统还包括条件设定单元,和/或更新单元,和/或废除单元,
所述更新单元用于对所述双向通信管道进行更新或依据所述条件设定单元设定的更新条件对所述双向通信管道进行更新;
所述废除单元用于对所述双向通信管道进行废除或依据所述条件设定单元设定的废除条件对所述双向通信管道进行废除。
优选地,所述协作系统还包括处理单元,用于对所述移动硬件安全单元唯一识别信息和/或所述固定^:件安全单元唯一识别信息进行密码学的方法处理。
本发明还提供一种计算机设备,所述计算机设备包括固化在所述计算机中的固定硬件安全单元,所述固定硬件安全单元内部载入平台证书,用于表征平台身份;
通信管道;
所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互,实现互相绑定。
优选地,所述协作系统还包括条件设定单元,和/或更新单元,和/或废除单元,
所述条件设定单元用于设定所述双向通信管道更新或废除的条件;
所述更新单元用于对所述双向通信管道进行更新或依据所述条件设定单元设定的更新条件对所述双向通信管道进行更新;
所述废除单元用于对所述双向通信管道进行废除或依据所述条件设定单元设定的废除条件对所述双向通信管道进行废除。
优选地,所述协作系统还包括处理单元,用于对所述移动硬件安全单元唯一识别信息和/或所述固定硬件安全单元唯一识别信息进行密码学的方法处理。
与上述现有技术相比,本发明实施例所述固定硬件安全单元及移动硬件安全单元的协作方法,由于在移动硬件安全单元和计算机硬件安全单元之向建立了通信管道,使得移动硬件安全单元和固定硬件安全单元之间能够安全的传输文件,并且将所述移动硬件安全单元和固定硬件安全单元进行了绑定,所述移动硬件安全单元和固定硬件安全单元绑定后的数据发送至第三方时,
计算机或其他设备硬件的固定硬件安全单元不方便移动,只能指定某台机器实现,不方便使用者移动使用的缺点。进而本发明实施例所述协作方法,能够将基于固定硬件安全单元的安全方案与保证使用者身份安全的移动硬件安全单元相结合,提高了数据传输的安全性。


图l是本发明所述协作方法第一种实施方式流程图;图2是本发明所述通信管道结构示意图;图3是本发明所述协作方法第二种实施方式流程图;图4是本发明所述协作系统第一种实施方式流程图;图5是本发明所述协作系统第二种实施方式流程图。
具体实施例方式
本发明提供一种固定硬件安全单元及移动硬件安全单元的协作方法,用于满足基于计算机硬件安全芯片的安全方案能够与保证使用者身份的安全性的移动硬件安全单元相结合。
参见参考图1,该图为本发明所述协作方法第一种实施方式流程图。
本发明第一种实施方式所述安全协作方法,包括以下步骤
S100、设置表征使用者身份的移动硬件安全单元。
移动硬件安全单元可以是USBKey或智能卡中的身份识别安全芯片,USBKey或智能卡可以是由服务器授权身份的USBKey或智能卡。
USBKey或智能卡里存在一个身份识别安全芯片,该身份识别安全芯片可以得到服务器的认证。服务器对身份识别安全芯片的认证过程该身份识别安全芯片下载服务器发行的包含签章使用的密钥的电子证书,使用者通过口
9令或者其他认证手段例如指紋识别,确认USBKey的使用者身份,获得钥匙的使用权力。
当使用者向所述服务器提交数据时;需要对该数据进行电子证书签章,这个签章将作为确认使用者所述操作的重要依据。
该身份识別安全芯片可以作为移动硬件安全单元。
USBKey里的身份识别安全芯片可以产生使用者密钥,只能用该使用者授权的钥匙解密该加密的数据。
计算机或其他设备内部设置平台识别安全芯片,平台识别安全芯片内部载入平台证书,负责对外提供平台身份标识。该平台识别安全芯片可以作为固定硬件安全单元。
S300、所述移动石更件安全单元和固定石更件安全单元创建双向通信管道。
创建双向通信管道。
所谓公钥交换,就是把固定硬件安全单元的公钥Ka交给移动硬件安全单元,把移动硬件安全单元的公钥Kb交给固定硬件安全单元,移动硬件安全单元和固定硬件安全单元各自的私钥Ka,、 Kb,自己保留。
参见图2,该图为本发明所述通信管道结构示意图。图2中所示构建的过程,即为"公钥交换,,的过程。
固定硬件安全单元将需要发送的明文M通过固定硬件安全单元的公钥Ka进行加密,生成密文C。固定硬件安全单元将所述密文C发送至移动硬件安全单元。移动硬件安全单元通过移动硬件安全单元自身的私钥Kb,进行解密,得到明文M。此时就建立了一个固定硬件安全单元到移动硬件安全单元的单向通信管道。
移动硬件安全单元将需要发送的明文M通过移动硬件安全单元的公钥Kb进行加密,生成密文C。移动硬件安全单元将所述密文C发送至固定硬件安全单元。固定硬件安全单元通过固定硬件安全单元自身的私钥Ka,进行解密,得到明文M。此时就建立了一个移动硬件安全单元到固定硬件安全单元的单向通信管道。
固定硬件安全单元到移动硬件安全单元的单向通信管道与移动硬件安全
10单元到固定硬件安全单元的单向通信管道共同构成了固定硬件安全单元和移动硬件安全单元之间的双向通信管道。
上述双向通信管道的创建是所述移动硬件安全单元和固定硬件安全单元
通过^^钥交换的手段实现的。
所述移动硬件安全单元和固定硬件安全单元还可以通过密钥协商的手段,创建双向通信管道。
在不安全的环境中,密钥系统经常用于对发送的信息加密以达到安全性和完整性要求,在信息接收方需要相应的解密密钥对信息解密。
传统的密钥系统被称为单密钥系统,其特点是加密密钥与解密密钥可互相推导信息的发送者和接收者。
在单密钥系统中,成员能够用共享的密钥加密信息再传递给其他成员,但如果双方距离很远的话,不容易建立密钥会话。
密钥会话的建立有两种方式密钥分配和密钥协商。密钥分配是一种机制,成员能够选择将密钥安全的传递给其他成员。密钥协商则是要会话的成员联合建立公共的密钥,在网络环境中,密钥
协商比密钥分发更有利的是参与方能够随机的建立密钥,且不需要密钥分配
和管理机构。
群组密钥协商(Group Key Agreement), 这种方法是基于分布式的思想,它的特点是1)群组的多个成员一起参与密钥生成;2)群组中的密钥是由每个成员提供的参数以及密钥生成算法共同决定的;3)群组中任何成员均不能事先确定密钥。
有几种流行的群组密钥协商及分配方法,包括CKD (Centralized GroupKey Distribution), BD (Burmester-Desmedt ), STR ( Steer et al.), GDH ( GroupDiffie隱Hellman)和TGDH ( Tree-Based Group Diffie画Hellman )。
1976年,Whit Diffie和Martin Hellman共同提出了 Diffie-Hellman算法(简称DH),这是一种两方密钥交换协议,用于两个对等实体安全地协商共享密钥。DH算法实质是一个通信双方进行密钥协定的协议,DH算法安全性基于有限域上计算离散对数的困难性。
Diffie-Hellman密钥交换协议如下
首先,Alice和Bob双方约定2个大整数n和g,其中l<g<n,这两个整
li数无需保密,然后,执行下面的过程
1) Alice随机选择一个大整数x (保密),并计算X=gx mod n;
2) Bob随机选择一个大整数y (保密),并计算Y=gy mod n;
3) Alice把X发送给Bob, Bob把Y发送给Alice;
4) Alice计算K=Yx mod n;
5) Bob计算K=Xy mod n。 K即是共享的密钥。
监听者Oscar在网络上只能监听到X和Y,但无法通过X, Y计算出x 和y,因jt匕,Oscar无法i十算出K= gxy mod n。
所述通信管道可以由所述移动硬件安全单元或固定硬件安全单元更新或
共同更新或者废除。
通信管道更新过程所述移动硬件安全单元或固定硬件安全单元通过所 述通信管道,用原加密密钥加密新密钥发送给对方,再使用新的密钥通信, 所述通信管道实现了更新。
通信管道删除过程所述移动硬件安全单元或固定硬件安全单元直接把 原有密钥删除,所述通信管道废弃。
当然所述通信管道还可以根据所述移动硬件安全单元或固定硬件安全单 元设定的条件比如预定时间段或者预定次数,进行更新或者废除。当时间或 者数据交互次数达到预定时间段或者预定次数时,所述通信管道进行更新或 者废除。
所述移动硬件安全单元与固定硬件安全单元创建双向通信管道时,所述 移动硬件安全单元或固定硬件安全单元可以设定双向通信管道的有效时间 段,例如预先设定1小时为双向通信管道的有效时间段,当时间到达1小时 后,所述双向通信管道即被废除。
所述移动硬件安全单元与固定硬件安全单元创建双向通信管道时,所述 移动硬件安全单元或固定硬件安全单元可以设定双向通信管道的有效数据交 互次数。例如所述移动硬件安全单元或固定硬件安全单元设定100次为有效 数据交互次数,当所述移动硬件安全单元与固定硬件安全单元之间的数据交 互次数达到100次后,所述双向通信管道即被废除。所述移动硬件安全单元与固定硬件安全单元创建双向通信管道时,所述 移动硬件安全单元或固定硬件安全单元可以设定双向通信管道的更新时间要 求。例如预先设定1小时为双向通信管道的更新时间要求,那么当时间到达l 小时时,即达到了双向通信管道的更新条件,所述双向通信管道将按照预先 设定的更新内容进行更新。
所述移动硬件安全单元与固定硬件安全单元创建双向通信管道时,所述 移动硬件安全单元或固定硬件安全单元可以设定双向通信管道的更新条件为 所述移动硬件安全单元与固定硬件安全单元之间的数据交互次数。例如述移 动石更件安全单元或固定硬件安全单元设定100次为双向通信管道的更新条件,
100次后,即达到了双向通信管道的更新条件,所述双向通信管道将按照预先
设定的更新内容进行更新。
所述通信管道还可以根据所述移动硬件安全单元和固定硬件安全单元共 同设定的条件比如预定时间段或者预定次数,进行更新或者废除。当时间或 者数据交互次数达到预定时间段或者预定次数时,所述通信管道进行更新或 者废除。
所述移动硬件安全单元和固定硬件安全单元共同设定的条件,可以是所
述移动硬件安全单元设定的一个条件和固定硬件安全单元设定另 一个条件, 当两个条件共同满足时,才执行相应的更新或者废除的操作。
S400、所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的 交互,实现互相绑定。
所述唯一识别信息的交互具体为所述移动硬件安全单元的唯一识别信息 发送到所述固定硬件安全单元,所述固定硬件安全单元识别和记录所述移动 硬件安全单元的唯一识别信息。同时所述固定硬件安全单元的唯一识别信息 发送到所述移动硬件安全单元,所述移动硬件安全单元识别和记录所述固定 硬件安全单元的唯一识别信息。这个相互识别和记录的过程即为所述移动硬 件安全单元和所述固定硬件安全单元之间绑定的创建过程。
所述移动硬件安全单元唯一识别信息或所述固定硬件安全单元的唯一识 别信息可以通过密码学方法处理后,再进行交互。交互的内容可以是通过密
13码学的方法,进行一些糅杂、加密、扩展、HASH、 HMAC等操作,进行处 理的结果。将所述处理的结果互相"交换",再作为绑定、识别的依据。当然, 原始信息也可以不进行处理,直接进行"交换"。
所述移动硬件安全单元唯一识别信息以及所述固定硬件安全单元唯一识 别信息均可以通过密码学方法处理后,再进行交互。
ID、 口令等唯一识别信息进行交互,实现互相绑定。
由于上述通信管道建立后,所有的通信都被要求在所述通信管道里进行。 而且所述通信管道是经过加密的,绑定实际上就是一个相互识别和记录的过 程,彼此分别记住对方固定的、唯一的且可识别的信息,或者是这些信息的 HASH值。
或者删除。
的且可识别的信息,或者是这些信息的HASH值查询所述固定硬件安全单元 与所述移动硬件安全单元之间是否具有绑定关系。
所述固定硬件安全单元以通过输入所述移动硬件安全单元固定的、唯一 的且可识别的信息,或者是这些信息的HASH值查询所述移动硬件安全单元 与所述固定硬件安全单元之间是否具有绑定关系。
所述移动硬件安全单元或所述固定硬件安全单元删除所述固定硬件安全单元 或所述移动硬件安全单元的唯一识别信息。 所述移动石更件安全单元和所述固定石i 件如定时、定次的更新或废弃,以保证绑定的安全。
7石更4牛安全单元和戶斤述固定石l 述绑定的有效时间段,例如预先"i殳定1小时为所述绑定的有效时间段,当时 间到达l小时后,所述绑定即被废除。
所述移动硬件安全单元和所述固定硬件安全单元之间的绑定可以设定所 述移动硬件安全单元和所述固定硬件安全单元之间的有效数据交互次数。例 如所述移动硬件安全单元或固定硬件安全单元设定100次为有效数据交互次数,当所述移动硬件安全单元与固定硬件安全单元之间的数据交互次数达到 100次后,所述绑定即被废除。
述绑定的更新时间要求。例如预先设定1小时为所述绑定的更新时间要求, 那么当时间到达l小时时,即达到了所述绑定的更新条件,所述双向通信管 道将按照预先设定的更新内容进行更新。
述绑定的更新条件为所述移动硬件安全单元与固定硬件安全单元之间的数据
交互次数。例如述移动硬件安全单元或固定硬件安全单元设定100次为所述 数据交互次数达到100次后,即达到了所述绑定的更新条件,所述绑定将按
照预先设定的更新内容进行更新。
所述移动硬件安全单元和固定硬件安全单元对向第三方发送的内容可以 进行二次加密。
所述移动硬件安全单元和固定硬件安全单元对向第三方发送的明文可以 进行所述移动硬/f牛安全单元和固定^5更件安全单元的二次加密。
所述移动硬件安全单元和固定硬件安全单元对向第三方发送的表征身份 信息的签名进行所述移动硬件安全单元和固定硬件安全单元的二次签名。
在采用非对称密钥的前提下,所述移动硬件安全单元和固定硬件安全单
元的二次公钥加密。所述移动硬件安全单元和固定硬件安全单元对向第三方 发送的表征身份信息的签名可以进行所述移动硬件安全单元和固定硬件安全 单元的二次私钥加密。
关于重要数据的加密、解密操作,例如电子证书、极其重要的数据等, 必须在所述移动硬件安全单元和固定硬件安全单元绑定的前提下,由所述移 动硬件安全单元和固定硬件安全单元进行两次加、解密。或者,分别由所述 移动硬件安全单元和固定硬件安全单元对某些数据不重复地单独进行加密, 完成加密过程,以提高安全性。
所述重要数据可以根据应用情况或者使用者的需要进行设定或确定。 重要数据的加、解密密钥不应在绑定关系中的双方间进行迁移,这样可
15以进一步保证数据的安全性。但重要密钥可以被加密后再进行迁移存储。除 重要数据的加、解密密钥之外的密钥是可以迁移的,也可以在所述移动硬件 安全单元和固定硬件安全单元间进行备份。
密钥上可以设个标志位,来表示是否进行迁移。例如"No"或者"Yes"。 当密钥的标志位为"No"时,表示不能进行迁移。当密钥的标志位为"Yes" 时,表示可以进行迁移。
该密钥被创建的时候,可以由创建者(使用者或者上层应用)设定属性。 当然,如有必要,该属性可以根据需要进行更改。
由于在移动硬件安全单元和固定硬件安全单元之间建立了通信管道,使得移 动硬件安全单元和固定硬件安全单元之间能够安全的传输文件,并且将所述 移动硬件安全单元和固定硬件安全单元进行了绑定,所述移动硬件安全单元 和固定硬件安全单元绑定后的数据发送至第三方时,所述数据只有获得所述 移动硬件安全单元和固定硬件安全单元两方的解密才能获得所述数据,因此
定硬件安全单元不方便移动,只能指定某台机器实现,不方便使用者移动使 用的缺点。进而本发明实施例所述协作方法,能够将基于固定硬件安全单元 的安全方案与保证使用者身份安全的移动硬件安全单元相结合,提高了数据 传输的安全性。
参见参考图2,该图为本发明所述协作方法第二实施方式流程图。 本发明第二实施方式所述固定硬件安全单元及移动硬件安全单元的协作 方法,包括以下步骤
SIO、设置表征使用者身份的移动硬件安全单元。
所述移动硬件安全单元是由服务器授权身份的移动硬件安全单元。移动 硬件安全单元可以是USBKey或智能卡等内部的身份识别安全芯片。
S20、设置表征平台身份的基于计算机或其他设备的固定硬件安全单元。
计算机或其他设备内部设置平台识别安全芯片,平台识别安全芯片内部 载入平台证书,负责对外提供平台身份标识。该平台识别安全芯片可以作为 固定硬件安全单元。
S30、所述移动硬件安全单元和固定硬件安全单元通过密钥协商或者^^钥交换的手段,创建双向通信管道。
创建一条通信管道。
段,创建一条通信管道。
该通信管道可以随时被双方更新或废弃,亦可以被条件如定时、定次的 更新或废弃,以保证传输的安全。
通信管道更新过程通过通信管道,用原加密密钥加密后的新密钥发送 给对方,再用新的密钥进行通信,实现所述通信管道的更新。
通信管道删除过程直接把原有密钥删除,所述通信管道废弃。
S40、所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交 互,实现互相绑定。
所述唯一识别信息的交互具体为所述移动硬件安全单元唯一识别信息发 送到所述固定硬件安全单元,所述固定硬件安全单元识别和记录所述移动硬 件安全单元唯一识别信息。同时所述固定硬件安全单元唯一识别信息发送到 所述移动硬件安全单元,所述移动硬件安全单元识别和记录所述固定硬件安 全单元唯一识别信息。
所述移动硬件安全单元唯一识别信息或所述固定硬件安全单元唯一识别 信息可以通过密码学方法处理后,再进行交互。交互的内容可以是通过密码 学的方法,进行一些糅杂、加密、扩展、HASH、 HMAC等操作,最后处理 的结果。将所述处理的结果互相"交换",再作为绑定、识别的依据。当然, 原始信息也可以不进行处理,直接进行"交换"。
所述移动硬件安全单元唯一识别信息和所述固定硬件安全单元唯一识别 信息均可以通过密码学方法处理后,再进行交互。
所述移动硬件安全单元和所述固定硬件安全单元可以通过证书、密钥、 ID、 口令等唯一识别信息进^f于交互,实现互相绑定。
由于上述通信管道建立后,所有的通信都^皮要求在这个通信管道里进行。 而且这个通信管道是经过加密的,绑定实际上就是一个相互识别和记录的过 程,彼此分别记住对方的固定的、唯一的且可识别的信息,或者是这些信息 的HASH值。
17间的銷
以被创
建、查询、删除,也可以被设定的条件如定时、定次进行更新或废弃,以保 证绑定的安全。 —
S50、绑定关系确立后,所述移动硬件安全单元和固定硬件安全单元均向 绑定^系。 口'、 ,- 、 、、
所述移动硬件安全单元和固定硬件安全单元向服务器注册可以通过两种 方式实现。
所述移动硬件安全单元和固定硬件安全单元向服务器注册的第一种实现 方式
首先,所述移动硬件安全单元将需要向服务器注册的信息打包发送给所 述固定硬件安全单元。
由于所述移动硬件安全单元和所述固定硬件安全单元之间具有绑定关 系,因此所述移动硬件安全单元的需要向服务器注册的信息包可以安全的传 送至所述固定硬件安全单元。
然后,所述固定硬件安全单元将自身的注册信息连同所述移动硬件安全 单元打包后的注册信息, 一同打包发送至所述服务器。
服务器接收到的注册数据包既包括了所述固定硬件安全单元的注册信 息,同时又包括了所述移动硬件安全单元的注册信息,因此所述服务器可以
系。 — 、 、 、曰、 、 '
所述移动^/f牛安全单元和固定硬件安全单元向服务器注册的第二种实现 方式
首先,所述移动硬件安全单元将需要向服务器注册的信息打包发送至所 述服务器。
所述服务器接收到的所述移动硬件安全单元的注册数据包中包含了所述 移动硬件安全单元的唯一识别信息。
然后,所述固定硬件安全单元将自身的注册信息和所述移动硬件安全单 元的唯一识别信息一起打包发送至所述服务器。
所述固定硬件安全单元可以将自身的注册信息和所述移动硬件安全单元的ID或者证书或者口令等唯一识别信息一起打包,然后发送至所述服务器。
所述服务器接收到的所述固定硬件安全单元的注册数据包虽然只包括了 所述固定硬件姿全单元的注册信息,但同时又包括了所述移动硬件安全单元 的唯一识别信息。所述服务器能够将所述固定硬件安全单元的注册数据包中 的所述移动硬件安全单元的唯一识别信息与所述移动硬件安全单元的注册数 据包中的所述移动硬件安全单元唯一识别信息进行比较,如果相一致时,所
安全的绑定关系。
所述移动硬件安全单元和固定硬件安全单元均向服务器注册同时可以一 并提交各自身份信息或密钥。
该相关信息只要能够保证服务器可以准确的识别该硬件安全单元即可, 可以仅仅是一个公钥,作为签名的验证依据,也有可以是绑定识别信息,还 有可以是上述这些信息的集合。
当使用者需要向服务器表征身份时,需要所述移动硬件安全单元和固定 硬件安全单元在绑定关系下共同签章,同时表征平台身份和使用者身份。两 种表征缺一不可,否则服务器会拒绝该服务。
当移动硬件安全单元和固定硬件安全单元在绑定关系下,向服务器发送 服务请求时,所述移动硬件安全单元和固定硬件安全单元需要在绑定关系下 共同签章,同时表征平台身份和使用者身份。
当使用者向服务器提交数据时,例如"转帐到XX帐户XX元",该信息 需要被所述移动硬件安全单元例如USBKey进行电子证书签章。同样需要固 定硬件安全单元例如计算机上的TPM (Trusted Platform Module,可信根)进 行电子证书认证,或者进行签章。所述移动硬件安全单元和固定硬件安全单 元共同签章后,再发送至所述服务器。
所述移动硬件安全单元和固定硬件安全单元对向所述服务器发送的内容 进4亍二次加密。
进行所述移动硬件安全单元和固定硬件安全单元的二次加密。
所述移动硬件安全单元和固定硬件安全单元对向所述服务器发送的表征
19名。
在采用非对称密钥的前提下,所述移动硬件安全单元和固定硬件安全单
全单元的二次公钥加密。所述移动硬件安全单元和固定硬件安全单元对向所 述服务器发送的表征身份信息的签名可以进行所述移动硬件安全单元和固定 硬件安全单元的二次私钥加密。
关于重要数据的加密、解密操作,例如电子证书、极其重要的数据等,
动硬件安全单元和固定硬件安全单元进行两次加、解密。或者,分别由所述 移动硬件安全单元和固定硬件安全单元对某些数据不重复地单独进行加密, 完成加密过程,以提高安全性。
所述重要数据可以根据应用情况或者使用者的需要进行设定或确定。 重要数据的加、解密密钥不应在绑定关系中的双方间进行迁移,这样可 以进一步保证数据的安全性。但重要密钥可以被加密后再进行迁移存储。除 重要数据的加、解密密钥之外的密钥是可以迁移的,也可以在所述移动硬件 安全单元和固定硬件安全单元间进行备份。
密钥上可以设个标志位,来表示是否进行迁移。例如"No"或者"Yes"。 当密钥的标志位为"No"时,表示不能进行迁移。当密钥的标志位为"Yes" 时,表示可以进行迁移。
该密钥被创建的时候,可以由创建者(使用者或者上层应用)设定属性。 当然,如有必要,该属性可以根据需要进行更改。
由于在移动硬件安全单元和固定硬件安全单元之间建立双向通信管道,使得 移动硬件安全单元和固定硬件安全单元之间能够安全的传输文件,并且将所 述移动硬件安全单元和固定硬件安全单元进行了绑定,绑定关系确立后,所 述移动硬件安全单元11和固定硬件安全单元12均向服务器端注册,并提交 各自身份信息或密钥。所述移动硬件安全单元和固定硬件安全单元绑定后的 数据发送至服务器,使得需要传输的数据需要获得所述移动硬件安全单元和 固定硬件安全单元两方的解密才能获得所述数据,提高了数据传输的安全性。 本发明提供一种固定硬件安全单元及移动硬件安全单元的协作系统,用于满足基于计算机等设备的固定硬件安全单元的安全方案能够与保证使用者 身份的安全性的移动硬件安全单元相结合。
参见图3,该图为本发明所述协作系统第一种实施方式流程图。
作系统,包括移动硬件安全单元11、固定硬件安全单元12、通信管道创建单
元13以及绑定单元14。
所述移动硬件安全单元11,用于表征使用者身份的硬件安全单元。 所述移动硬件安全单元11可以是由服务器授权身份的用于表示使用者身
份的硬件安全单元。所述移动硬件安全单元11可以是USBKey或智能卡等内
部的硬件安全芯片。
所述固定硬件安全单元12,基于计算机或其他设备的表征平台身份的硬
件安全单元。
所述固定硬件安全单元12可以是计算机或其他设备内部设置的平台识别 安全芯片。该平台识别安全芯片内部载入平台证书,负责对外提供平台身份 标识。
所述通信管道创建单元13,通过密钥协商或者^^钥交换的手段在所述移 动硬件安全单元11和固定硬件安全单元12之间创建通信管道。
所述通信管道创建单元13可以通过公钥交换的手段,在所述移动硬件安 全单元11和固定硬件安全单元12之间创建安全的通信管道。
所述通信管道创建单元13还可以通过密钥协商的手段,在所述移动硬件 安全单元11和固定硬件安全单元12之间创建安全的通信管道。
该通信管道可以随时^皮双方更新或废弃,亦可以净皮条件如定时、定次的 更新或废弃,以保证传输的安全。
通信管道更新过程所述通信管道创建单元13通过该通信管道,用原加 密密钥加密后得到的新密钥发送给对方,再用新的密钥进行通信,实现该通 信管道的更新。
通信管道删除过程所述通信管道创建单元13直接把原有密钥删除,该 通信管道废弃。
所述绑定单元14,用于所述移动硬件安全单元11和固定硬件安全单元 12自身的唯一识别信息的交互,实现互相绑定。
21所述唯一识别信息的交互具体为所述绑定单元14控制所述移动硬件安全
单元11的唯一识别信息发送到所述固定硬件安全单元12,所述固定硬件安全 单元12识别和记录所述移动硬件安全单元11的唯一i口、别信息。同时所述绑 定单元14控制所述固定硬件安全单元12的唯一识别信息发送到所述移动硬 件安全单元11,所述移动硬件安全单元11识别和记录所述固定硬件安全单元 12的唯一识别信息。
所述绑定单元14可以控制所述移动硬件安全单元11的唯一识别信息或 所述固定硬件安全单元12的唯一识别信息通过密码学方法处理后,再进行交 互。交互的内容可以是通过密码学的方法,进行一些糅杂、加密、扩展、HASH、 HMAC等操作,最后处理的结果。将所述处理的结果互相"交换",再作为绑 定、识别的依据。当然,原始信息也可以不进行处理,直接进行"交换"。
所述绑定单元14可以控制所述移动硬件安全单元11的唯一识别信息和 所述固定硬件安全单元12的唯一识别信息均通过密码学方法处理后,再进4亍 交互。
所述移动石更件安全单元11和所述固定硬件安全单元12可以通过证书、 密钥、ID、 口令等唯一识别信息进行交互,实现互相绑定。
由于上述通信管道建立后,所有的通信都纟皮要求在所述通信管道里进4亍。 而且所述通信管道是经过加密的,绑定实际上就是一个相互识别和记录的过 程,彼此分别记住对方的固定的、唯一的且可识别的信息,或者是上述这些 信息的HASH值。
所述移动硬件安全单元11和所述固定硬件安全单元12之间的绑定可以 被创建、查询、删除。所述移动硬件安全单元11和所述固定硬件安全单元12 之间的绑定也可以被设定的条件如定时、定次进行更新或废弃,从而保证绑 定的安全。
由于所述通信管道创建单元13在移动硬件安全单元11和固定硬件安全单元 12之间建立了通信管道,使得移动硬件安全单元11和固定硬件安全单元12 之间能够安全的传输文件,并且所述绑定单元14将所述移动硬件安全单元11 和固定硬件安全单元12进行了绑定,所述移动硬件安全单元11和固定硬件 安全单元12绑定后的数据发送至第三方时,所述数据只有获得所述移动硬件
22安全单元11和固定硬件安全单元12两方的解密才能获得所述数据,因此本 发明实施例所述协作系统克服了上述现有技术基于计算机或其他设备的固定 硬件安全单元不方使移动,只能指定某台机器实现,不方便使用者移动使用
的缺点。进而本发明实施例所述协作系统,能够将基于固定^f更件安全单元12
的安全方案与保证使用者身份安全的移动硬件安全单元11相结合,提高了数 据传输的安全性。
参见图4,该图为本发明所述协作系统第二种实施方式流程图。
施方式相对第一种实施方式,增加了服务器15。
本发明第二种实施方式所述固定硬件安全单元及移动硬件安全单元的协
作系统,包括服务器15、移动硬件安全单元ll、固定硬件安全单元12、通信
管道创建单元13以及绑定单元14。
所述移动硬件安全单元11,用于表征使用者身份的硬件安全单元。 所述固定硬件安全单元12,基于计算机或其他设备,用于表征平台身份
的硬件安全单元。
所述通信管道创建单元13,通过密钥协商或者公钥交换的手段在所述移 动硬件安全单元11和固定硬件安全单元12之间创建通信管道。
所述绑定单元14,所述移动^5更件安全单元11和固定石更件安全单元12通 过交互自身的唯一识别信息,实现互相绑定。
所述服务器15,与所述移动硬件安全单元11、所述固定硬件安全单元12 以及所述绑定单元14均相通信,用于在所述移动硬件安全单元11与所述固 定硬件安全单元12绑定关系确立后,提供所述移动硬件安全单元11和固定 硬件安全单元12的注册。
所述绑定单元14将所述移动硬件安全单元11和固定硬件安全单元12进 行绑定后,所述移动硬件安全单元11和固定硬件安全单元12同时向服务器 15注册,并各自提交各自的相关信息或密钥。
该相关信息只要能够保证服务器15可以准确的识别该硬件安全单元即 可,可以仅仅是一个公钥,作为签名的验证依据,也有可以是绑定识别信息; 还可以是上述这些信息的集合。
当使用者需要向服务器15表征身份时,需要所述移动硬件安全单元11和固定硬件安全单元12在绑定关系下共同签章,同时表征平台身份和使用者
身份。两种表征缺一不可,否则服务器15拒绝该服务。
所述移动硬件安全单元11和固定硬件安全单元12在绑定关系下向服务 器15发送服务请求时,所述移动硬件安全单元11和固定硬件安全单元12需 要在绑定关系下共同签章,同时表征平台身份和使用者身份。
当使用者向服务器15提交数据时,例如"转帐到XX帐户XX元",该信 息需要被所述移动硬件安全单元11例如USBKey进行电子证书签章。同样需 要固定硬件安全单元12例如计算机上的TPM (Trusted Platform Module,可 信根)进行电子证书认证,或者进行签章。经过所述移动硬件安全单元11和 固定硬件安全单元12共同签章,再可以发送至所述服务器15。
所述移动硬件安全单元11和固定硬件安全单元12对向所述服务器15发 送的内容进行二次加密。
进行所述移动硬件安全单元和固定硬件安全单元的二次加密。
身份信息的签名进行所述移动硬件安全单元和固定硬件安全单元的二次签 名。
在采用非对称密钥的前提下,所述移动硬件安全单元11和固定硬件安全
固定硬件安全单元12的二次公钥加密。所述移动硬件安全单元11和固定硬 件安全单元12对向所述服务器15发送的表征身份信息的签名可以进行所述 移动硬件安全单元11和固定硬件安全单元12的二次私钥加密。
关于重要数据的加密、加密操作,例如电子证书、极其重要的数据等, 需要在所述移动硬件安全单元11和固定硬件安全单元12绑定的前提下,由 所述移动硬件安全单元11和固定硬件安全单元12进行两次加、解密完成。 或者,分别由所述移动硬件安全单元11和固定硬件安全单元12对某些数据 不重复地单独进行加密,完成加密过程,以提高安全性。
所述重要数据可以根据应用情况或者使用者的需要进行设定或确定。 所述重要数据的加、解密密钥不应在所述移动硬件安全单元11和固定硬 件安全单元12绑定关系中的双方间进行迁移,这样可以进一步保证数据的安全性。但重要密钥可以被加密后再进行迁移存储。除所述重要数据的加、解 密密钥之外的密钥可以迁移,也可以在所述移动硬件安全单元11和固定硬件 安全单元12间备份。
密钥上可以设个标志位,来表示是否进行迁移。例如"No"或者"Yes"。 当密钥的标志位为"No"时,表示不能进行迁移。当密钥的标志位为"Yes" 时,表示可以进行迁移。
该密钥被创建的时候,可以由创建者(使用者或者上层应用)设定属性。 当然,如有必要,该属性可以根据需要进行更改。
由于所述通信管道创建单元13在移动硬件安全单元11和固定硬件安全单元 12之间建立了通信管道,使得移动硬件安全单元11和固定硬件安全单元12 之间能够安全的传输文件,并且所述绑定单元14将所述移动硬件安全单元11 和固定硬件安全单元12进行了绑定。绑定关系确立后,所述移动硬件安全单 元11和固定硬件安全单元12均向服务器15注册,并提交各自身份信息或密 钥。所述移动硬件安全单元11和固定硬件安全单元12绑定后的数据再发送 至服务器15,使得需要传输的数据只有获得所述移动硬件安全单元11和固定 硬件安全单元12两方的解密才能还原所述数据,提高了数据传输的安全性。
本发明提供一种计算机设备,该计算机设备的固定硬件安全单元的安全 方案能够与保证使用者身份的安全性的移动硬件安全单元相结合。
本发明所述计算机设备,包括固化在所述计算机中的固定硬件安全单元, 所述固定硬件安全单元内部载入平台证书,用于表征平台身份。
通信管道。所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的 交互,实现互相绑定。
所述移动硬件安全单元和固定硬件安全单元可以通过密钥协商或者公钥 交换的手段,创建双向通信管道,具体创建过程参见前文所述内容。
所述双向通信管道可以由所述移动硬件安全单元或固定硬件安全单元更 新或者废除。所述双向通信管道也可以由所述移动硬件安全单元和固定硬件 安全单元共同更新或者废除。
当然,所述通信管道也可以根据所述移动硬件安全单元和/或固定硬件安
25全单元预先设定的条件进行更新或者废除。
所述移动硬件安全单元和固定硬件安全单元之间唯一识别信息的交互具
体为所述移动硬件安全单元唯一识别信息发送到所述固臾硬件安全单元, 所述固定硬件安全单元识别和记录所述移动硬件安全单元唯一识别信息。
所述固定硬件安全单元唯一识别信息发送到所述移动硬件安全单元,所 述移动硬件安全单元识别和记录所述固定硬件安全单元唯一识别信息。
所述移动硬件安全单元唯一识别信息和/或所述固定石更件安全单元唯一识 别信息可以通过密码学的方法处理后,再进行交互。
本发明实施例所述计算机设备,由于其内部固化的固定硬件安全单元和 表征用户身份的移动硬件安全单元之间建立了通信管道,使得移动硬件安全 单元和固定硬件安全单元之间能够安全的传输文件,并且将所述移动硬件安 全单元和固定硬件安全单元进行了绑定,所述移动硬件安全单元和固定硬件 安全单元绑定后的数据发送至第三方时,所述数据只有获得所述移动硬件安 全单元和固定硬件安全单元两方的解密才能获得所述数据,因此本发明实施 例所述计算机设备克服了上述现有技术基于计算机硬件的硬件安全单元不方 便移动,只能指定某台机器实现,不方便使用者移动使用的缺点。进而本发 明实施例所述计算机设备能够将所述计算机设备内部的固定硬件安全单元的 安全方案与保证使用者身份安全的移动硬件安全单元相结合,提高了数据传 输的安全性。
以上所述仅为本发明的优选实施方式,并不构成对本发明保护范围的限 定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等, 均应包含在本发明的权利要求保护范围之内。
2权利要求
1、一种固定硬件安全单元及移动硬件安全单元的协作方法,其特征在于,所述方法包括设置表征使用者身份的移动硬件安全单元;设置表征平台身份的基于计算机或其他设备的固定硬件安全单元;所述移动硬件安全单元和固定硬件安全单元创建双向通信管道;所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互,实现互相绑定。
2、 根据权利要求1所述的协作方法,其特征在于,所述双向通信管道通 是所述移动硬件安全单元和固定硬件安全单元过密钥协商或者公钥交换的手 段创建。
3、 根据权利要求1或2所述的协作方法,其特征在于,所述通信管道由或,由所述通信管道根据所述移动硬件安全单元和/或固定硬件安全单元 设定的条件进行更新或者废除。
4、 根据权利要求3所述的协作方法,其特征在于,所述唯一识别信息的 交互具体为所述移动硬件安全单元唯一识别信息发送到所述固定硬件安全单 元,所述固定硬件安全单元识别和记录所述移动硬件安全单元唯一识别信息;所述固定硬件安全单元唯一识别信息发送到所述移动硬件安全单元,所 述移动硬件安全单元识别和记录所述固定硬件安全单元唯一识别信息。
5、 根据权利要求3所述的协作方法,其特征在于,所述移动硬件安全单 元唯一识别信息和/或所述固定;f更件安全单元唯一识别信息通过密码学的方法处理后,再进行交互。
6、 根据权利要求3所述的协作方法,其特征在于,所述移动硬件安全单 元和固定硬件安全单元对需要发送的信息进行二次加密。
7、 根据权利要求6所述的协作方法,其特征在于,所述移动硬件安全单 元和固定硬件安全单元对需要发送的明文进行所述移动硬件安全单元和固定 硬件安全单元的二次加密;所述移动硬件安全单元和固定硬件安全单元对向需要发送的表征身份信 息的签名进行所述移动硬件安全单元和固定硬件安全单元的二次签名。
8、 根据权利要求1所述的协作方法,其特征在于,所述移动硬件安全单 元和固定硬件安全单元通过唯一识别信息的交互,实现互相绑定之后,进一步包括:绑定关系确立后,所述移动硬件安全单元和固定硬件安全单元均向服务 :系。、15 、'-
9、 根据权利要求8所述的协作方法,其特征在于,所述移动硬件安全单 元和固定硬件安全单元向服务器注册包括以下步骤所述移动硬件安全单元将需要向服务器注册的信息打包发送给所述固定 硬件安全单元;所述固定硬件安全单元将自身的注册信息连同所述移动硬件安全单元打 包后的注册信息, 一同打包发送至所述服务器。
10、 根据权利要求8所述的协作方法,其特征在于,所述移动硬件安全 单元和固定硬件安全单元向服务器注册包括以下步骤所述移动硬件安全单元将需要向服务器注册的信息打包发送至所述服务器;所述固定硬件安全单元将自身的注册信息和所述移动硬件安全单元的唯 一识别信息一起打包发送至所述服务器。
11、 根据权利要求8所述的协作方法,其特征在于,向所述服务器发送 服务请求时,所述移动硬件安全单元和固定硬件安全单元在绑定关系下共同 签章,同时表征平台身份和使用者身份。
12、 根据权利要求11所述的协作方法,其特征在于,所述移动硬件安全 单元和固定硬件安全单元对向所述服务器发送的内容进行二次加密。
13、 一种固定硬件安全单元及移动硬件安全单元的协作系统,其特征在 于,所述系统包括移动硬件安全单元、固定硬件安全单元、通信管道创建单 元以及绑定单元;所述移动硬件安全单元,用于表征使用者身份;所述固定硬件安全单元,基于计算机或其他设备的硬件安全单元,用于 表征平台身份;所述通信管道创建单元,用于在所述移动硬件安全单元和固定硬件安全单元之间创建双向通信管道;所述绑定单元,实现所述移动硬件安全单元和固定硬件安全单元通过交 互自身的唯一识别信息,进行互相绑定。
14、 根据权利要求13所述的协作系统,其特征在于,还包括条件设定单元,和/或更新单元,和/或废除单元,所述条件设定单元用于设定所述双向通信管道更新或废除的条件; 所述更新单元用于对所述双向通信管道进行更新或依据所述条件设定单元设定的更新条件对所述双向通信管道进行更新;所述废除单元用于对所述双向通信管道进行废除或依据所述条件设定单元设定的废除条件对所述双向通信管道进行废除。
15、 根据权利要求13或14所述的协作系统,其特征在于,还包括处理 单元,用于对所述移动硬件安全单元唯一识别信息和/或所述固定硬件安全单 元唯一识别信息进行密码学的方法处理。
16、 一种计算机设备,其特征在于,所述计算机设备包括固化在所述计 算机中的固定硬件安全单元,所述固定硬件安全单元内部载入平台证书,用 于表征平台身份;通信管道; 、— 、— 、 。所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互, 实现互相绑定。
17、 根据权利要求16所述的计算机设备,其特征在于,还包括条件设定 单元,和/或更新单元,和/或废除单元,所述条件设定单元用于设定所述双向通信管道更新或废除的条件; 所述更新单元用于对所述双向通信管道进行更新或依据所述条件设定单 元设定的更新条件对所述双向通信管道进行更新;所述废除单元用于对所述双向通信管道进行废除或依据所述条件设定单元设 定的废除条件对所述双向通信管道进行废除。
18、 根据权利要求16或17所述的计算机设备,其特征在于,还包括处 理单元,用于对所述移动硬件安全单元唯一识别信息和/或所述固定硬件安全 单元唯一识别信息进行密码学的方法处理。
全文摘要
本发明公开一种固定硬件安全单元及移动硬件安全单元的协作方法,包括以下步骤设置表征使用者身份的移动硬件安全单元;设置表征平台身份的基于计算机或其他设备的固定硬件安全单元;所述移动硬件安全单元和固定硬件安全单元创建双向通信管道;所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互,实现互相绑定。本发明提供一种固定硬件安全单元及移动硬件安全单元的协作方法及系统以及计算机设备,用于满足基于固定硬件安全单元的安全方案能够与保证使用者身份安全的移动硬件安全单元相结合。
文档编号G06F21/00GK101464932SQ20071017990
公开日2009年6月24日 申请日期2007年12月19日 优先权日2007年12月19日
发明者于辰涛, 李希喆, 毛兴中, 田宏萍, 巍 谢, 云 谷 申请人:联想(北京)有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:李希喆;田宏萍;谢巍;谷云;毛兴中;于辰涛
  • 技术所有人:联想(北京)有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
安全气囊系统控制单元相关技术
团队协作系统相关技术
图书管理系统协作图相关技术
系统协作图相关技术
协作系统相关技术
无线会议协作系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2