[go: up one dir, main page]

TWI779711B - 分散式安全通信系統、資訊處置系統及用於提供分散式安全通信之方法 - Google Patents

分散式安全通信系統、資訊處置系統及用於提供分散式安全通信之方法 Download PDF

Info

Publication number
TWI779711B
TWI779711B TW110125109A TW110125109A TWI779711B TW I779711 B TWI779711 B TW I779711B TW 110125109 A TW110125109 A TW 110125109A TW 110125109 A TW110125109 A TW 110125109A TW I779711 B TWI779711 B TW I779711B
Authority
TW
Taiwan
Prior art keywords
scp
subsystem
control processor
system control
communication
Prior art date
Application number
TW110125109A
Other languages
English (en)
Other versions
TW202217624A (zh
Inventor
吉米 D 帕克
格拉夫 舒拉
威廉 P 道金斯
馬克 S 珊德斯
艾里 吉瑞基
羅伯特 W 霍爾穆特
穆肯德 P 卡特里
瓦特 A 歐布萊恩三世
Original Assignee
美商戴爾產品有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商戴爾產品有限公司 filed Critical 美商戴爾產品有限公司
Publication of TW202217624A publication Critical patent/TW202217624A/zh
Application granted granted Critical
Publication of TWI779711B publication Critical patent/TWI779711B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Radio Relay Systems (AREA)
  • Multi Processors (AREA)

Abstract

一種分散式安全通信系統包括一第一系統控制處理器(SCP)子系統,該第一SCP子系統經由一網路耦合至第二及第三SCP子系統。該第一SCP子系統識別該第二SCP子系統,利用一第一私鑰簽署一第一SCP鑑認通信以提供一第一簽署之SCP鑑認通信,該第一SCP子系統將該第一簽署之SCP鑑認通信傳輸至該第二SCP子系統。該第一SCP子系統自該第二SCP子系統接收一第二簽署之SCP鑑認通信,使用與該第二SCP子系統相關聯之一第二公鑰來鑑認該第二簽署之SCP鑑認通信,且作為回應,與該第二SCP子系統建立一第一安全通信通道。該第一SCP子系統接著自該第二SCP子系統接收對該第三SCP子系統之一鑑認之一證明,且作為回應,無需傳輸簽署之SCP鑑認通信即可與該第三SCP子系統建立一第二安全通信通道。

Description

分散式安全通信系統、資訊處置系統及用於提供分散式安全通信之方法
本發明一般而言係關於資訊處置系統,且更特定而言,係關於以分散式方式提供資訊處置系統之間的安全通信。
隨著資訊之價值及使用不斷地增加,個人及商業尋求處理且儲存資訊之另外方法。使用者之一個可用選項係資訊處置系統。資訊處置系統通常出於商業、個人或其他目的而處理、編譯、儲存及/或傳送資訊或資料,藉此允許使用者利用資訊之價值。由於技術及資訊處置的需要及要求在不同使用者或應用之間改變,因此資訊處置系統亦可關於處置什麼資訊、如何處置資訊、處理、儲存或傳送多少資訊及可多快且高效地處理、儲存或傳送資訊而改變。資訊處置系統之變化允許資訊處置系統為通用的或針對特定使用者或特定用途而組態,特定用途諸如金融交易處理、機票預訂、企業資料儲存或全球通信。另外,資訊處置系統可包括可經組態以處理、儲存及傳送資訊之多種硬體及軟體組件,且可包括一或多個電腦系統、資料儲存系統及網路連接系統。
諸如伺服器裝置及/或此項技術中已知之其他計算系統之資訊處置系統可經組態以經由安全通信通道彼此通信。舉例而言,伺服器裝置中之基板管理控制器(BMC)子系統(例如,在可自美國德州圓石城(Round Rock,Texas,United States)之DELL®Inc.獲得之伺服器裝置中提供的整合式DELL®遠端存取控制器(iDRAC)子系統)可操作以組態彼此之間的安全通信通道以用於安全地交換資料。然而,此等習知安全通信通道組態系統要求其間將交換安全通信之任何兩個伺服器裝置中之BMC子系統彼此執行鑑認操作,以便在該兩個伺服器裝置之間的安全通信通道將建立之前彼此鑑認,此係耗時的,僅處置兩個子系統裝置之間的通信通道,且已被本發明之發明人發現將導致非必要的複製鑑認操作之執行。
因此,將期望提供解決上文論述之問題之安全通信系統。
根據一個實施例,一種資訊處置系統(IHS)包括:一處理系統;及一記憶體系統,該記憶體系統耦合至該處理系統且包括指令,該等指令在由該處理系統執行時致使該處理系統提供一分散式安全通信引擎,該分散式安全通信引擎經組態以:識別一第二系統控制處理器(SCP)子系統,且作為回應,利用一第一私鑰簽署一第一SCP鑑認通信以提供一第一簽署之SCP鑑認通信;將該第一簽署之SCP鑑認通信傳輸至該第二SCP子系統;自該第二SCP子系統接收一第二簽署之SCP鑑認通信,且作為回應,使用與該第二SCP子系統相關聯之一第二公鑰來鑑認該第二簽署之SCP鑑認通信;回應於鑑認出該第二簽署之SCP鑑認通信,與該第二SCP子系統建立一第一安全通信通道;自該第二SCP子系統接收對一第三SCP子系統之一鑑認之一證明,且作為回應,無需傳輸簽署之SCP鑑認通信即可與該第三SCP子系統建立一第二安全通信通道。
100:資訊處置系統(IHS)
102:處理器
104:匯流排
106:輸入裝置
108:大容量儲存裝置/儲存器
110:顯示器
112:視訊控制器
114:系統記憶體/記憶體
116:機箱
200:經網路連接系統/經網路連接子系統
202a:計算系統
202b:計算系統
202c:計算系統
204:網路
206:管理系統
208:網路附接裝置
300:計算系統
302:機箱
304:系統控制處理器(SCP)子系統
304a:基板管理控制器(BMC)子系統
306:中央處理子系統/中央處理系統
307:圖形處理子系統
308:基本輸入/輸出系統(BIOS)子系統
308a:啟動儲存裝置
310:基板管理控制器(BMC)子系統
312:輸入/輸出(I/O)裝置
312a:快捷週邊組件互連介面(PCIe)裝置
313:場可程式化閘陣列(FPGA)裝置
314:第一組件
316:第二組件
400:系統控制處理器(SCP)子系統
402:機箱
404:系統控制處理器(SCP)分散式安全通信引擎/SCP複製引擎
406:系統控制處理器(SCP)分散式安全通信資料庫/儲存系統/SCP安全通信資料庫
408:通信系統
408a:網路介面控制器(NIC)子系統
408b:組件連接子系統
500:方法
502:方塊
504:方塊
506:方塊
508:方塊
510:方塊
512:方塊
514:方塊
516:方塊
518:方塊
520:方塊
522:方塊
524:方塊
600:系統控制處理器(SCP)子系統通信操作
602:安全通信通道
604:系統控制處理器(SCP)子系統通信操作
605:安全通信通道
606:系統控制處理器(SCP)證明操作
608:系統控制處理器(SCP)證明操作
610:安全通信通道
圖1為圖解說明資訊處置系統(IHS)之一實施例之示意圖。
圖2為圖解說明經網路連接系統之一實施例之示意圖。
圖3A為圖解說明計算系統之一實施例之示意圖,該計算系統可包括於圖2之經網路連接系統中且可利用本發明之分散式安全通信系統。
圖3B為圖解說明計算系統之一實施例之示意圖,該計算系統可包括於圖2之經網路連接系統中且可利用本發明之分散式安全通信系統。
圖4為圖解說明SCP子系統之一實施例之示意圖,該SCP子系統可包括於圖3A或圖3B之計算裝置中且可提供本發明之分散式安全通信系統。
圖5A為圖解說明用於提供分散式安全通信之方法之一部分之一實施例的流程圖。
圖5B為圖解說明用於提供分散式安全通信之方法之一部分之一實施例的流程圖。
圖6A為圖解說明圖2之經網路連接系統之一實施例之示意圖,其中圖3之計算系統300具有圖4之SCP子系統且在圖5之方法期間操作。
圖6B為圖解說明圖2之經網路連接系統之一實施例之示意圖,其中圖3之計算系統300具有圖4之SCP子系統且在圖5之方法期間操作。
圖6C為圖解說明圖2之經網路連接系統之一實施例之示意圖,其中圖3之計算系統300具有圖4之SCP子系統且在圖5之方法期間操作。
圖6D為圖解說明圖2之經網路連接系統之一實施例之示意圖,其中圖3之計算系統300具有圖4之SCP子系統且在圖5之方法期間操作。
圖6E為圖解說明圖2之經網路連接系統之一實施例之示意圖,其中圖3之計算系統300具有圖4之SCP子系統且在圖5之方法期間操作。
圖6F為圖解說明圖2之經網路連接系統之一實施例之示意圖,其中圖3之計算系統300具有圖4之SCP子系統且在圖5之方法期間操作。
圖6G為圖解說明圖2之經網路連接系統之一實施例之示意圖,其中圖3之計算系統300具有圖4之SCP子系統且在圖5之方法期間操作。
出於本發明之目的,一種資訊處置系統可包括可操作以計算、推算、判定、分類、處理、傳輸、接收、擷取、發出、交換、儲存、顯示、傳送、顯現、偵測、記錄、再現、處置或利用用於商業、科學、控制或其他目的之任何形式之資訊、智慧或資料的任何手段或手段之集合。舉例而言,資訊處置系統可為個人電腦(例如,桌上型電腦或膝上型電腦)、平板電腦、行動裝置(例如,個人數位助理(PDA)或智慧電話)、伺服器(例如,刀鋒型伺服器或機架伺服器)、網路儲存裝置或任何其他合適之裝置且大小、形狀、效能、功能性及價格可各有不同。資訊處置系統可包括隨機存取記憶體(RAM),一或多個處理資源,諸如中央處理單元(CPU),或硬體或軟體控制邏輯,ROM,及/或其他類型之非揮發性記憶體。資訊處置系統之額外組件可包括一或多個磁碟機、用於與外部裝置通信之一或多個網路埠,以及各種輸入及輸出(I/O)裝置,諸如鍵盤、滑鼠、觸控螢幕及/或視訊顯示器。資訊處置系統亦可包括可操作以在各種硬體組件之間傳輸通信之一或多個匯流排。
在一個實施例中,IHS 100(圖1)包括處理器102,該處理器連接至匯流排104。匯流排104用作處理器102與IHS 100之其他組件之間的連接。輸入裝置106耦合至處理器102以將輸入提供至處理器102。輸入裝置之實例可包括鍵盤、觸控螢幕、指向裝置(諸如滑鼠、軌跡球及觸控板)及/或此項技術中已知之各種其他輸入裝置。程式及資料儲存於大容量儲存裝置108上,該大容量儲存裝置耦合至處理器102。大容量儲存裝置之實例可包括硬碟、光碟、磁光碟、固態儲存裝置及/或此項技術中已知之多種其他大容量儲存裝置。IHS 100進一步包括顯示器110,該顯示器藉由視訊控制器112耦合至處理器102。系統記憶體114耦合至處理器102以向該處理器提供快速儲存以促進處理器102對電腦程式之執行。系統記憶體之實例可包括隨機存取記憶體(RAM)裝置,諸如動態RAM (DRAM)、同步DRAM(SDRAM)、固態記憶體裝置及/或此項技術中已知之各種其他記憶體裝置。在一實施例中,機箱116容納IHS 100之一些或全部組件。應理解,可在上述組件與處理器102之間部署其他匯流排及中間電路以促進該等組件與處理器102之間的互連。
現在參考圖2,圖解說明了經網路連接系統200之一實施例,本發明之分散式安全通信系統可用於該經網路連接系統中。在所圖解說明之實施例中,經網路連接系統200包括複數個計算系統202a、202b及直至202c。在一實施例中,計算系統202a至202c可由參考圖1在上文論述之IHS 100提供,及/或可包括IHS 100之一些或全部組件,且在特定實例中可由伺服器裝置提供。然而,儘管論述為由伺服器裝置提供,但熟習本發明所屬領域之技術者將認識到,在經網路連接系統200中提供之計算系統可包括可經組態以與在下文論述之計算系統202a至202c類似地操作之任何計算系統。在所圖解說明之實施例中,計算系統中之每一者可耦合至網路204,該網路可由區域網路(LAN)、網際網路、其組合及/或對熟習本發明所屬領域之技術者顯而易見之任何其他網路提供。
在所圖解說明之實施例中,管理系統206亦耦合至網路204。在一實施例中,管理系統206可由參考圖1在上文論述之IHS 100提供,及/或可包括IHS 100之一些或全部組件,且在特定實例中可由一或多個管理伺服器裝置提供,該一或多個管理伺服器裝置可經組態以執行計算系統202a至202c之管理功能性(例如,針對包括於下文論述之計算系統202a至202c中之SCP子系統之SCP管理器等)。在所圖解說明之實施例中,一或多個網路附接裝置208亦耦合至網路204。在一實施例中,網路附接裝置208可由經由網路204可存取計算系統202a至202c的多種不同之網路附接裝置提供,且在特定實例中可由一或多個快捷非揮發性記憶體(NVMe)儲存裝置提供,該一或多個NVMe儲存裝置可經組態以為計算系統202a至202c中之任一者或全部提供網路附接儲存系統。然而,儘 管已說明且描述了特定經網路連接系統200,但熟習本發明所屬領域之技術者將認識到,本發明之分散式安全通信系統可利用多種組件及組件組態,及/或可以多種計算系統/網路組態提供,同時亦保持在本發明之範疇內。
現在參考圖3A,圖解說明了計算系統300之一實施例,該計算系統可提供參考圖2在上文論述之計算系統202a至202c中之任一者或全部。因而,計算系統300可由參考圖1在上文論述之IHS 100提供及/或可包括IHS 100之一些或全部組件,且在特定實例中可由伺服器裝置提供。然而,儘管圖解說明且論述為由伺服器裝置提供,但熟習本發明所屬領域之技術者將認識到,在下文論述之計算系統300之功能性可由經組態以與在下文論述之計算系統300類似地操作之其他計算系統提供。在所圖解說明之實施例中,計算系統300包括容納計算系統300之組件之機箱302,在下文僅圖解說明該等組件中之一些。
舉例而言,機箱302可容納系統控制處理器(SCP)子系統304,該SCP子系統係根據本發明之教示提供以執行在下文更詳細地論述之分散式安全通信功能性。在一些實例中,SCP子系統304可概念化為可經組態以執行在習知SmartNIC裝置中不可用之功能性的「增強型」SmartNIC裝置,該功能性諸如例如由本發明之發明人於在2020年9月22日申請之美國專利申請案第17/027,835號(代理人案件編號16356.2212US01)中描述的平台信任根功能性,及/或由本發明之發明人於在2020年10月15日申請之美國專利申請案第17/071,268號(代理人案件編號16356.2208US01)中描述的分散式金鑰管理功能性,該等美國專利申請案之揭示內容係以全文引用之方式併入本文中。然而,儘管圖解說明且描述為由SCP子系統提供之增強型SmartNIC裝置,但熟習本發明所屬領域之技術者將瞭解,SCP子系統304可由經組態以執行下文論述之功能性之多種其他子系統替換,同時亦保持在本發明之範疇內。
在一實施例中,SCP子系統304可由參考圖1在上文論述之IHS 100提供及/或可包括IHS 100之一些或全部組件。在特定實例中,SCP子系統304可提供為經組態以連接至機箱302中之母板上之插槽之SCP卡。在其他實例中,SCP子系統304可整合至機箱302中之母板中。在另外其他實例中,SCP子系統304可為單獨/共母板電路板,該單獨/共母板電路板連接至機箱302中之母板(例如,具有實現習知母板功能性之第一部分及實現下文論述之SCP功能性之第二部分的兩部分母板)。然而,儘管提供了幾個特定實例,但熟習本發明所屬領域之技術者將瞭解,SCP子系統304可以落入本發明之範疇內之多種方式在計算系統300中提供。
機箱302亦可容納中央處理子系統306,該中央處理子系統耦合至SCP子系統304(例如,經由計算快捷鏈接(CxL)),且可包括參考圖1在上文論述之處理器102、諸如x86主機處理器之中央處理單元(CPU)、諸如x86主機處理器記憶體之CPU記憶體及/或對熟習本發明所屬領域之技術者顯而易見之多種其他處理組件。機箱302亦可容納圖形處理子系統307,該圖形處理子系統耦合至SCP子系統304,且可包括參考圖1在上文論述之處理器102、圖形處理單元(GPU)、GPU記憶體及/或對熟習本發明所屬領域之技術者顯而易見之多種其他處理組件。如熟習本發明所屬領域之技術者將瞭解,在下文圖解說明之實例中,圖形處理子系統307經由SCP子系統304連接至中央處理子系統306,使得SCP子系統304充當圖形處理子系統307之「主機」,但其他中央處理子系統/圖形處理子系統組態亦將落在本發明之範疇內。
機箱302亦可容納基本輸入/輸出系統(BIOS)子系統308,該BIOS子系統耦合至SCP子系統304及中央處理系統306,且熟習本發明所屬領域之技術者將認為該BIOS子系統由韌體提供,該韌體經組態以在啟動程序(例如,通電起動操作)或此項技術中已知之其他初始化程序期間執行計算系統300之硬體 初始化,以及執行由計算系統300提供之作業系統及/或其他應用程式/程式之運行時間服務。此外,儘管描述為BIOS子系統,但熟習本發明所屬領域之技術者將認識到,BIOS子系統308可用通用可延伸韌體介面(UEFI)子系統替換,熟習本發明所屬領域之技術者將認識到,該UEFI子系統定義計算系統300中之作業系統與韌體之間的軟體介面,且經提供以替換BIOS子系統(同時支援舊有BIOS服務)。
在所圖解說明之實施例中,機箱302亦可容納啟動儲存裝置308a,該啟動儲存裝置耦合至SCP子系統304及BIOS子系統308,且熟習本發明所屬領域之技術者將認識到,該啟動儲存裝置可儲存啟動影像,該啟動影像在啟動操作期間可由BIOS子系統308存取及利用。舉例而言,啟動儲存裝置308a可由可自美國德州圓石城之DELL® Inc.獲得的啟動最佳化儲存解決方案(BOSS)提供,但其他啟動儲存裝置亦將落在本發明之範疇內。在所圖解說明之實施例中,機箱302亦可容納基板管理控制器(BMC)子系統310,該BMC子系統耦合至SCP子系統304及中央處理子系統306(例如,經由快捷週邊組件互連介面(PCIe)鏈接),且熟習本發明所屬領域之技術者將認為該BMC子系統經組態以管理計算系統300中之系統管理軟體與計算系統300中之硬體之間的介面,以及執行熟習本發明所屬領域之技術者將顯而易見之其他BMC操作。
機箱302亦可容納耦合至SCP子系統304之一或多個輸入/輸出(I/O)裝置312(或為該一或多個I/O裝置提供耦合)。因而,熟習本發明所屬領域之技術者將認識到,I/O裝置312可容納於機箱302中且連接至內部連接器(例如,在機箱302中之母板上),或可在機箱302外提供且連接至外部連接器(例如,在機箱302之外表面上)。如圖3A所圖解說明,I/O裝置312可包括一或多個快捷週邊組件互連介面(PCIe)裝置312a(作為I/O裝置312,或作為其他I/O裝置之補充)。舉例而言,PCIe裝置312a可包括NVMe儲存裝置,該等NVMe儲存裝置 容納於機箱302中(亦即,且連接至機箱302中之母板上之內部連接器)或在機箱302外(亦即,且連接至在機箱302之外表面上之外部連接器)。然而,儘管已描述了特定的I/O裝置及/或PCI裝置,但熟習本發明所屬領域之技術者將認識到,多種其他I/O裝置亦將落在本發明之範疇內。機箱302亦可容納一或多個場可程式化閘陣列(FPGA)裝置313,該一或多個FPGA裝置耦合至SCP子系統304,且如下文所論述,可程式化以執行計算系統300及/或SCP子系統304的多種功能中之任一者。
機箱302亦可容納耦合至BIOS子系統308及BMC子系統310中之每一者的一或多個第一組件314,及耦合至第一組件314中之至少一者的一或多個第二組件316。在特定實例中,第一組件314及第二組件316可包括複合可程式化邏輯裝置(CPLD)、電力系統及/或此項技術中已知之多種其他計算系統組件。然而,儘管已圖解說明了特定計算系統300,但熟習本發明所屬領域之技術者將認識到,計算系統(或以與下文針對計算系統300描述之方式類似的方式根據本發明之教示操作之其他裝置)可包括用於提供習知計算系統功能性以及下文論述之功能性的多種組件及/或組件組態,同時亦保持在本發明之範圍內。舉例而言,圖3B圖解說明計算系統300之一實施例,其中省略了參考圖3A在上文描述之BMC子系統310,且SCP子系統304經組態以提供執行圖3A之BMC子系統310之功能性的BMC子系統304a。
現在參考圖4,圖解說明了SCP子系統400之一實施例,該SCP子系統可提供參考圖3A及圖3B在上文論述之SCP子系統304。因而,SCP子系統400可由參考圖1在上文論述之IHS 100提供及/或可包括IHS 100之一些或全部組件,且在特定實例中可作為SCP卡提供,可整合至母板中,或可作為單獨/共母板電路板提供。然而,儘管圖解說明且論述為以不同方式在計算系統400中提供,但熟習本發明所屬領域之技術者將認識到,下文論述之SCP子系統400 之功能性可由經組態以與下文論述之SCP子系統400類似地操作之其他裝置提供。
在所圖解說明之實施例中,SCP子系統400包括支撐SCP子系統400之組件之機箱402(例如,電路板),在下文僅說明該等組件中之一些。舉例而言,機箱302可支撐一SCP處理系統,該SCP處理系統包括一或多個SCP處理器(未圖解說明,但可包括參考圖1在上文論述之處理器102)及一SCP記憶體系統(未圖解說明,但可包括參考圖1在上文論述之記憶體114),該SCP記憶體系統耦合至該SCP處理系統且包括指令,該等指令在由該SCP處理系統執行時致使該SCP處理系統提供經組態以執行在下文論述之SCP分散式安全通信引擎及/或SCP子系統之功能性的SCP分散式安全通信引擎404。在一特定實例中,提供SCP分散式安全通信引擎404之SCP處理系統可由基於ARM之處理器中之ARM處理器核心提供,但其他處理系統亦將落在本發明之範疇內。
機箱302亦可支撐一儲存系統(未圖解說明,但可包括參考圖1在上文論述之儲存器108、在上文論述之SCP記憶體系統等),該儲存系統耦合至SCP分散式安全通信引擎404(例如,經由儲存系統406與SCP處理系統之間的耦合)且可包括SCP分散式安全通信資料庫406,該SCP分散式安全通信資料庫可儲存私鑰、公鑰,及/或如下文論述的由SCP分散式安全通信引擎404利用之其他資訊中之任一者。因而,熟習本發明所屬領域之技術者將瞭解,提供SCP分散式安全通信資料庫406之儲存系統可包括此項技術中已知之多種安全儲存裝置及/或安全子系統。
機箱402亦可支撐通信系統408,該通信系統耦合至SCP分散式安全通信引擎404(例如,經由通信系統408與SCP處理系統之間的耦合),且在所圖解說明之實施例中,包括經組態以將SCP子系統400連接至參考圖2在上文論述之網路204的網路介面控制器(NIC)子系統408a(例如,乙太網路子系統)、 經組態以將SCP子系統400耦合至包括於圖3A及圖3B之計算系統300中及/或連接至圖3A及圖3B之計算系統300之組件中之任一者的組件連接子系統408b,以及熟習本發明所屬領域之技術者將顯而易見之任何其他通信組件(例如,無線通信系統(例如,BLUETOOTH®、近場通信(NFC)組件、WiFi組件等))。
因而,通信系統408可包括SCP子系統400與網路204、中央處理子系統306、圖形處理子系統307、BIOS子系統308、啟動儲存裝置308a、BMC子系統310、I/O裝置312、FPGA裝置313及/或計算系統202a/300所利用之任何其他組件之間的連接中之任一者。舉例而言,組件連接子系統408b可包括耦合至中央處理子系統306之CxL Root.mem/.cache子系統,及耦合至BMC子系統310之帶外(OOB)管理子系統,及耦合至計算系統300中之組件之CxL主機子系統。然而,儘管已圖解說明且描述了特定SCP子系統400,但熟習本發明所屬領域之技術者將認識到,SCP子系統(或以與下文針對SCP子系統400描述之方式類似的方式根據本發明之教示操作之其他裝置)可包括用於提供下文論述之功能性的多種組件(例如,區域記憶體、嵌入式FPGA裝置、在SCP複製引擎404與上文論述之CxL Root.mem/.cache子系統之間的快捷非揮發性記憶體(NVMe)仿真子系統等)及/或組件組態,同時亦保持在本發明之範疇內。
現在參考圖5A及圖5B,圖解說明了用於提供分散式安全通信之方法500之一實施例。如下文所論述,本發明之系統及方法可提供計算系統中之SCP子系統,在執行鑑認操作以鑑認其他SCP子系統及與彼等其他SCP子系統建立安全通信通道後,該等SCP子系統操作以證明對彼等其他SCP子系統中之每一者的鑑認,此允許彼等其他SCP子系統無需執行鑑認操作即可彼此建立安全通信通道。舉例而言,本發明之分散式安全通信系統可包括一第一SCP子系統,該第一SCP子系統經由一網路耦合至第二及第三SCP子系統。該第一SCP子系統識別該第二SCP子系統,利用一第一私鑰簽署一第一SCP鑑認通信以提 供一第一簽署之SCP鑑認通信,該第一SCP子系統將該第一簽署之SCP鑑認通信傳輸至該第二SCP子系統。該第一SCP子系統接著自該第二SCP子系統接收一第二簽署之SCP鑑認通信,使用與該第二SCP子系統相關聯之一第二公鑰來鑑認該第二簽署之SCP鑑認通信,且作為回應,與該第二SCP子系統建立一第一安全通信通道。該第一SCP子系統接著自該第二SCP子系統接收對該第三SCP子系統之一鑑認之一證明,且作為回應,無需傳輸簽署之SCP鑑認通信即可與該第三SCP子系統建立一第二安全通信通道。因此,減少了習知地用於建立安全通信通道之冗餘鑑認操作之執行,從而允許相對於習知安全通信系統更快地建立安全通信網路。
方法500在方塊502開始,在該方塊中,一第二SCP子系統識別一第一SCP子系統。在下文提供之特定實例中,由計算系統202b/300中之SCP子系統304提供之第二SCP子系統執行關於由計算系統202a/300中之SCP子系統304提供之第一SCP子系統的鑑認操作以便鑑認彼第一SCP子系統且與彼第一SCP子系統建立第一安全通信通道,執行關於由計算系統202c/300中之SCP子系統304提供之第三SCP子系統的鑑認操作以便鑑認彼第三SCP子系統且與彼第三SCP子系統建立第二安全通信通道,接著向該第一SCP子系統證明對該第三SCP子系統之鑑認且向該第三SCP子系統證明對該第一SCP子系統之鑑認,此允許該第一SCP子系統及該第三SCP子系統無需執行鑑認操作即可彼此建立第三安全通信通道。然而,熟習本發明所屬領域之技術者將瞭解,任何SCP子系統可鑑認任何其他SCP子系統,或向任何其他SCP子系統證明對其他SCP子系統之鑑認,接著隨後證明對彼等其他SCP子系統之鑑認,同時保持在本發明之範疇內。此外,儘管圖解說明且描述了計算系統202a/202c中之SCP子系統,但熟習本發明所屬領域之技術者將瞭解,SCP子系統可為「獨立」的或另外在任何計算系統外提供(例如,在伺服器裝置外),同時亦保持在本發明之範疇內。
在一實施例中,在方塊502或在此之前,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可被通電、重置、重啟動及/或另外初始化(例如,回應於計算系統202b/300之初始化),且作為回應,可操作以驗證、確認及或另外鑑認該引擎用於初始化操作之SCP啟動影像或其他碼。舉例而言,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404對SCP啟動影像之鑑認可包括:自彼SCP啟動影像產生一雜湊值且相對於經驗證雜湊值檢查彼雜湊值,使用經驗證公鑰來驗證該SCP啟動影像簽署有對應私鑰,執行該SCP啟動影像之其他量測以驗證該SCP啟動影像之真實性,及/或執行熟習本發明所屬領域之技術者將認為鑑認將用於操作計算系統202b/300中之SCP子系統304之碼或其他軟體的任何其他鑑認操作。此外,儘管計算系統202b/300中之SCP子系統304係論述為鑑認將用於操作SCP子系統之碼或其他軟體,但熟習本發明所屬領域之技術者將瞭解,計算系統202a/300及/或直至202c/300中之SCP子系統304可執行類似的鑑認操作,同時亦保持在本發明之範疇內。
在一些實施例中,計算系統202a/300、202b/300及直至202c/300中之SCP子系統304中之任一者可經組態以執行由本發明之發明人於在2020年9月22日申請之美國專利申請案第17/027,835號(代理人案件編號16356.2212US01)中描述的平台信任根功能性,該美國專利申請案之揭示內容係以全文引用之方式併入本文中。因而,在鑑認將用於操作SCP子系統之碼或其他軟體後,計算系統202a/300、202b/300及直至202c/300中之SCP子系統304中之任一者可經組態以鑑認其各自計算系統中之組件及/或裝置,且使彼等組件及/或裝置鑑認其各自計算系統中之其他組件及/或其他裝置。此外,計算系統202a/300、202b/300及直至202c/300中之SCP子系統304中之任一者可經組態 以定期地重鑑認其各自計算系統中之組件及/或裝置,且使彼等組件及/或裝置重鑑認其各自計算系統中之其他組件及/或其他裝置,如下文更詳細地論述。
如熟習本發明所屬領域之技術者將瞭解,在計算系統202a/300、202b/300及/或202c/300中之任一者之SCP子系統304中的SCP分散式安全通信引擎404無法鑑認其SCP啟動碼影像之情況下,彼SCP子系統304仍可使用彼SCP啟動碼影像完成其初始化操作,但將進入「未鑑認」/「未驗證」/「不可信」狀態以實現可能的補救。因而,儘管以下論述假設計算系統202a/300、202b/300及/或202c/300中之SCP子系統304中之每一者正在使用經鑑認碼操作,但熟習本發明所屬領域之技術者將瞭解,在SCP啟動影像無法由SCP子系統鑑認之情況下,可執行補救操作(例如,由管理系統206執行之遠端補救操作)以補救彼SCP子系統之「未鑑認」/「未驗證」/「不可信」狀態,以便允許與彼SCP子系統建立安全通信通道。然而,在無法補救SCP子系統之「未鑑認」/「未驗證」/「不可信」狀態之情況下,不可與彼SCP子系統建立下文論述之安全通信通道。
參考圖6A,在方塊502之一實施例中,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可執行SCP子系統通信操作600,該等操作可包括識別計算系統202a/300中之SCP子系統304。舉例而言,SCP子系統通信操作600可包括計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404產生SCP子系統發現通信且經由SCP子系統之通信系統408中之NIC子系統408a及經由網路204廣播該等SCP子系統發現通信。計算系統202a/300之SCP子系統304中之SCP分散式安全通信引擎404可接著經由網路204及SCP子系統之通信系統408中之NIC子系統408a接收彼等SCP子系統發現通信,且回應以經由SCP子系統之通信系統408中之NIC子系統408a及經由網路204來傳輸SCP子系統識別通信。計算系統202b/300之SCP子系統 304中之SCP分散式安全通信引擎404可接著經由網路204及SCP子系統之通信系統408中之NIC子系統408a接收彼SCP子系統識別通信,且在方塊502識別計算系統202a/300中之SCP子系統304。如熟習本發明所屬領域之技術者將瞭解,多個SCP子系統(例如,在不同計算系統中)可回應由計算系統202b/300中之SCP子系統304廣播的該等SCP子系統發現通信,且因此,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可在方塊502藉由例如選擇/識別回應該等SCP子系統發現通信的SCP子系統中之一或多者來識別彼等SCP子系統中之一或多者。
然而,儘管本文中已圖解說明且描述了用於識別SCP子系統之特定技術,但熟習本發明所屬領域之技術者將認識到,可使用亦將落在本發明之範疇內之多種技術來執行方塊502處的對SCP子系統之識別。舉例而言,任何數目個「同級」SCP子系統可經由包括匯流排、網路連接及/或其他耦合之一連接基礎建設(例如,圖2中之經網路連接系統200為一個實例)來連接,且任何兩個「同級」SCP子系統可利用特有的同級識別符交換(例如,提供計算系統202a/300及202b/300中之SCP子系統之識別符彼此的交換),該等識別符交換可基於例如植根於由彼等SCP子系統之製造商(或其中提供該等SCP子系統之計算系統之製造商)提供的憑證機構(CA)之憑證而得到保護。因而,在方塊502,SCP子系統可監視連接基礎建設上之一特定通道以收聽上文論述之SCP子系統發現及/或識別通信,其中在一些實施例中,為SCP子系統連接保留之彼通道查詢同級SCP子系統。在一些特定實例中,同級SCP識別交換可包括識別用於建立下文描述之安全通信通道之同級等效設備。
方法500接著進行至方塊504,在該方塊中,第二SCP子系統利用一第二私鑰簽署一第二SCP鑑認通信且將該第二簽署之SCP鑑認通信傳輸至該第一SCP子系統。在一實施例中,在方塊504且作為圖6A中圖解說明之SCP 子系統通信操作600之一部分,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可使用由計算系統202b/300之SCP子系統304控制之一「第二」私鑰來簽署一「第二」SCP鑑認通信以提供一「第二」簽署之SCP鑑認通信,且經由SCP子系統之通信系統408中之NIC子系統408a及經由網路204將彼第二簽署之SCP鑑認通信傳輸至計算系統202a/300中之SCP子系統304。舉例而言,在方塊504由計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404使用以提供第二簽署之SCP鑑認通信的第二私鑰可自管理系統206、網路附接裝置208(例如,此實例中之網路附接儲存系統)及/或如下文更詳細地論述之其他位置擷取,且安全地儲存於SCP子系統之SCP分散式安全通信資料庫406中。此外,該第二私鑰可與經由管理系統206、網路附接裝置208(例如,此實例中之網路附接儲存系統)及/或如下文更詳細地論述之其他位置可存取之對應第二公鑰相關聯。
如熟習本發明所屬領域之技術者將瞭解,方塊504可與一或多個建立動作相關聯,在該一或多個建立動作中,建立植根於由憑證機構(CA)提供之憑證之一獨特金鑰對,且彼獨特金鑰對可相對於每一SCP子系統及/或SCP子系統初始化之任何特定點係唯一的,使得攻擊者無法建立該金鑰對以經由例如可能已在先前啟動、重啟動或其他初始化循環中收集到之金鑰來達成對系統之存取。此外,在多對SCP子系統之間的任何金鑰交換操作期間,可建立初始安全通信通道,且金鑰資訊可由該對中之每一SCP子系統接收且保存在金鑰儲存區受保護記憶體區域中,且如下文所論述且對於添加至組構之每一後續SCP子系統,各種SCP子系統可經由初始安全通道交換共同金鑰對以允許組構中之所有SCP子系統使用共同金鑰機制且簡化整體通信組構安全通道。類似地,隨著每一SCP子系統添加至組構,來自先前SCP子系統之金鑰資訊可分配至組構之其他成員 以允許針對組構建立分散式安全通信通道。更進一步,為了保護任何交換中之私鑰資訊,僅公鑰可進行交換。
因而,在方塊504,計算系統202a/300之SCP子系統304中之SCP分散式安全通信引擎404可經由SCP子系統之通信系統408中之NIC子系統408a接收第二簽署之SCP鑑認通信(由計算系統202b/300中之SCP子系統304傳輸)。如參考計算系統202b/300之SCP子系統304在下文更詳細地論述,回應於接收到由計算系統202b/300中之SCP子系統304傳輸的第二簽署之SCP鑑認通信,計算系統202a/300之SCP子系統304中之SCP分散式安全通信引擎404可操作以執行鑑認操作,該等鑑認操作使用與計算系統202b/300中之SCP子系統304相關聯之第二公鑰(例如,由計算系統202a/300之SCP子系統304中之SCP分散式安全通信引擎404擷取的第二公鑰)》來鑑認彼第二簽署之SCP鑑認通信。亦如下文所述,計算系統202a/300中之SCP子系統304對第二簽署之SCP鑑認通信的鑑認可允許下文論述的第一安全通信通道之建立。
方法500接著進行至方塊506,在該方塊中,第二SCP子系統自第一SCP子系統接收第一簽署之SCP鑑認通信且使用第一公鑰來鑑認該第一簽署之SCP鑑認通信。在一實施例中,在方塊506且作為圖6A中圖解說明之SCP子系統通信操作600之一部分,計算系統202a/300之SCP子系統304中之SCP分散式安全通信引擎404可使用由計算系統202a/300之SCP子系統304控制之「第一」私鑰來簽署「第一」SCP鑑認通信以提供「第一」簽署之SCP鑑認通信,且經由SCP子系統之通信系統408中之NIC子系統408a及經由網路204將彼第一簽署之SCP鑑認通信傳輸至計算系統202b/300中之SCP子系統304。舉例而言,在方塊504由計算系統202a/300之SCP子系統304中之SCP分散式安全通信引擎404使用以提供第一簽署之SCP鑑認通信的第一私鑰可自管理系統206、網路附接裝置208(例如,此實例中之網路附接儲存系統)及/或其他位置擷 取,且安全地儲存於SCP子系統之SCP分散式安全通信資料庫406中。此外,第一私鑰可與經由管理系統206、網路附接裝置208(例如,此實例中之網路附接儲存系統)及/或其他位置可存取之對應第一公鑰相關聯。因而,在一些實施例中,SCP子系統在方法500期間利用之公鑰/私鑰對可安全地儲存且經由網路204來存取。
因而,在方塊506,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可經由SCP子系統之通信系統408中之NIC子系統408a接收第一簽署之SCP鑑認通信(由計算系統202a/300中之SCP子系統304傳輸)。回應於接收到由計算系統202a/300中之SCP子系統304傳輸的第一簽署之SCP鑑認通信,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可操作以執行多種公鑰/私鑰鑑認操作,該等鑑認操作使用與計算系統202a/300中之SCP子系統304相關聯之第一公鑰來鑑認彼第一簽署之SCP鑑認通信。
在一些實施例中,在方塊506期間或在此之前,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可經由網路204自管理系統206、網路附接裝置208(例如,此實例中之網路附接儲存系統)及/或其他位置擷取第一公鑰,且在方塊506使用彼第一公鑰來鑑認第一簽署之SCP鑑認通信。因而,可回應於接收到第一簽署之SCP鑑認通信來擷取用於鑑認該第一簽署之SCP鑑認通信之第一公鑰。然而,熟習本發明所屬領域之技術者將認識到,第一公鑰可能先前已儲存於計算系統202b/300中之SCP子系統400中之SCP安全通信資料庫406中,且可回應於接收到第一簽署之SCP鑑認通信自彼安全儲存器擷取,同時亦保持在本發明之範疇內。
方法500接著進行至方塊508,在該方塊中,第二SCP子系統與第一SCP子系統建立第一安全通信通道。參考圖6B,在方塊508之一實施例中且 回應於鑑認自計算系統202a/300中之SCP子系統304接收的第一簽署之SCP鑑認通信(及與計算系統202a/300中之SCP子系統304鑑認自計算系統202b/300中之SCP子系統304接收的第二簽署之SCP鑑認通信一起),計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可與計算系統202a/300中之SCP子系統304建立安全通信通道602。如熟習本發明所屬領域之技術者將瞭解,自計算系統202a/300中之SCP子系統304接收的第一簽署之SCP鑑認通信之鑑認可被視為由計算系統202b/300中之SCP子系統304進行之「信任驗證」操作,與上文論述的計算系統202a/300中之SCP子系統304對第二簽署之SCP鑑認通信的鑑認一起,該「信任驗證」操作允許計算系統202b/300中之SCP子系統304及計算系統202a/300中之SCP子系統304彼此信任,使得該等SCP子系統可交換安全通信。
在一實施例中,計算系統202b/300中之SCP子系統304及計算系統202a/300中之SCP子系統304可隨後經由啟用金鑰經由安全通信通道602通信,該等金鑰使用由本發明之發明人於在2020年10月15日申請之美國專利申請案第17/071,268號(代理人案件編號16356.2208US01)中描述的分散式金鑰管理功能性來交換,該美國專利申請案之揭示內容係以全文引用之方式併入本文中。在一特定實例中,安全通信通道602之使用可經由公鑰基礎建設(PKI)金鑰技術來執行,且可提供在計算系統202b/300中之SCP子系統304與計算系統202a/300中之SCP子系統304之間的安全之加密通信的交換。如熟習本發明所屬領域之技術者將瞭解,在建立安全通信通道602後,計算系統202b/300中之SCP子系統304及計算系統202a/300中之SCP子系統304可以安全方式經由安全通信通道602交換多種資料。舉例而言,在一些實施例中,計算系統202b/300中之SCP子系統304及計算系統202a/300中之SCP子系統304可經由安全通信通道602交換控制及/或管理通信,同時經由提供於計算系統202b/300中之SCP子系統 304與計算系統202a/300中之SCP子系統304之間的某一其他相對不安全之通信通道交換其他資料通信(例如,非控制/非管理資料)。因而,可提供與SCP資料平面組構隔離之SCP控制平面組構,且在一些實例中,資料及管理控制操作亦可在彼SCP控制平面組構內隔離。然而,在其他實施例中,計算系統202b/300中之SCP子系統304及計算系統202a/300中之SCP子系統304可經由安全通信通道602交換所有資料通信,同時亦保持在本發明之範疇內。
方法500接著進行至方塊510,在該方塊中,第二SCP子系統識別第三SCP子系統。參考圖6C,在方塊510之一實施例中,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可執行SCP子系統通信操作604,該SCP子系統通信操作進行操作以識別計算系統202c/300中之SCP子系統304。類似於上文所述,SCP子系統通信操作604可包括計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404產生SCP子系統發現通信且經由SCP子系統之通信系統408中之NIC子系統408a及經由網路204廣播該等SCP子系統發現通信。計算系統202c/300之SCP子系統304中之SCP分散式安全通信引擎404可接著經由網路204及SCP子系統之通信系統408中之NIC子系統408a接收彼等SCP子系統發現通信,且回應以經由SCP子系統之通信系統408中之NIC子系統408a及經由網路204來傳輸SCP子系統識別通信。計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可接著經由網路204及SCP子系統之通信系統408中之NIC子系統408a接收彼SCP子系統識別通信,且在方塊502識別計算系統202c/300中之SCP子系統304。如上文所論述,多個SCP子系統(例如,在不同計算系統中)可回應由計算系統202b/300中之SCP子系統304廣播之SCP子系統發現通信,且因此,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可在方塊510識別計算系統202c/300中之SCP子系統304,該識別與在方塊502識別計算系統 202a/300中之SCP子系統304同時進行,或與在方塊502識別計算系統202a/300中之SCP子系統304在不同時間進行。
方法500接著進行至方塊512,在該方塊中,第二SCP子系統利用第二私鑰簽署第二SCP鑑認通信且將該第二簽署之SCP鑑認通信傳輸至第三SCP子系統。在一實施例中,在方塊512且作為圖6C中圖解說明之SCP子系統通信操作604之一部分,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可使用由計算系統202b/300之SCP子系統304控制之「第二」私鑰來簽署「第二」SCP鑑認通信以提供「第二」簽署之SCP鑑認通信,且經由SCP子系統之通信系統408中之NIC子系統408a及經由網路204將彼第二簽署之SCP鑑認通信傳輸至計算系統202c/300中之SCP子系統304。如上文所論述,在方塊512由計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404使用以提供第二簽署之SCP鑑認通信的第二私鑰可自管理系統206、網路附接裝置208(例如,此實例中之網路附接儲存系統)及/或其他位置擷取,且可安全地儲存於SCP子系統之SCP分散式安全通信資料庫406中。此外,第二私鑰可與經由管理系統206、網路附接裝置208(例如,此實例中之網路附接儲存系統)及/或如下文更詳細地論述之其他位置可存取之對應第二公鑰相關聯。
因而,在方塊512,計算系統202c/300之SCP子系統304中之SCP分散式安全通信引擎404可經由SCP子系統之通信系統408中之NIC子系統408a接收由計算系統202b/300中之SCP子系統304傳輸的第二簽署之SCP鑑認通信。如參考計算系統202b/300之SCP子系統304在下文更詳細地論述,回應於接收到由計算系統202b/300中之SCP子系統304傳輸的第二簽署之SCP鑑認通信,計算系統202c/300之SCP子系統304中之SCP分散式安全通信引擎404可操作以執行鑑認操作,該等鑑認操作鑑認彼第二簽署之SCP鑑認通信(例如,使用與計算系統202b/300中之SCP子系統304相關聯且可能已由計算系統 202c/300之SCP子系統304中之SCP分散式安全通信引擎404擷取的第二公鑰)。亦如下文所述,計算系統202c/300中之SCP子系統304對第二簽署之SCP鑑認通信的鑑認可允許下文論述的第二安全通信通道之建立。
方法500接著進行至方塊514,在該方塊中,第二SCP子系統自第三SCP子系統接收第三簽署之SCP鑑認通信且使用第三公鑰來鑑認該第三簽署之SCP鑑認通信。在一實施例中,在方塊514且作為圖6C中圖解說明之SCP子系統通信操作604之一部分,計算系統202c/300之SCP子系統304中之SCP分散式安全通信引擎404可使用由計算系統202c/300之SCP子系統304控制之「第三」私鑰來簽署「第三」SCP鑑認通信以提供「第三」簽署之SCP鑑認通信,且經由SCP子系統之通信系統408中之NIC子系統408a及經由網路204將彼第三簽署之SCP鑑認通信傳輸至計算系統202b/300中之SCP子系統304。舉例而言,在方塊514由計算系統202c/300之SCP子系統304中之SCP分散式安全通信引擎404使用以提供第三簽署之SCP鑑認通信的第三私鑰可自管理系統206、網路附接裝置208(例如,此實例中之網路附接儲存系統)及/或其他位置擷取,且安全地儲存於SCP子系統之SCP分散式安全通信資料庫406中。此外,第三私鑰可與經由管理系統206、網路附接裝置208(例如,此實例中之網路附接儲存系統)及/或其他位置可存取之對應第三公鑰相關聯。因而,在一些實施例中,SCP子系統在方法500期間利用之公鑰/私鑰對可安全地儲存且經由網路204來存取。
因此,在方塊514,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可經由SCP子系統之通信系統408中之NIC子系統408a接收由計算系統202c/300中之SCP子系統304傳輸的第三簽署之SCP鑑認通信。回應於接收到由計算系統202c/300中之SCP子系統304傳輸的第三簽署之SCP鑑認通信,計算系統202b/300之SCP子系統304中之SCP分散式安全 通信引擎404可操作以執行多種公鑰/私鑰鑑認操作,該等鑑認操作使用與計算系統202c/300中之SCP子系統304相關聯之第三公鑰來鑑認彼第三簽署之SCP鑑認通信。
在一些實施例中,在方塊514期間或在此之前,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可經由網路204自管理系統206、網路附接裝置208(例如,此實例中之網路附接儲存系統)及/或其他位置擷取第三公鑰,且使用彼第三公鑰來鑑認第三簽署之SCP鑑認通信。因而,可回應於接收到第三簽署之SCP鑑認通信來擷取用於鑑認該第三簽署之SCP鑑認通信之第三公鑰。然而,熟習本發明所屬領域之技術者將認識到,第三公鑰可能先前已儲存於計算系統202b/300中之SCP子系統400中之SCP安全通信資料庫406中,且可回應於接收到第三簽署之SCP鑑認通信自彼安全儲存器擷取,同時亦保持在本發明之範疇內。
方法500接著進行至方塊516,在該方塊中,第二SCP子系統與第三SCP子系統建立第二安全通信通道。參考圖6D,在方塊516之一實施例中且回應於鑑認自計算系統202c/300中之SCP子系統304接收的第三簽署之SCP鑑認通信(及與計算系統202c/300中之SCP子系統304鑑認自計算系統202b/300中之SCP子系統304接收的第二簽署之SCP鑑認通信一起),計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可與計算系統202c/300中之SCP子系統304建立安全通信通道605。如熟習本發明所屬領域之技術者將瞭解,自計算系統202c/300中之SCP子系統304接收的第三簽署之SCP鑑認通信之鑑認可被視為由計算系統202b/300中之SCP子系統304進行之「信任驗證」操作,與計算系統202c/300中之SCP子系統304對第二簽署之SCP鑑認通信的鑑認一起,該「信任驗證」操作允許計算系統202b/300中之SCP子系統304及 計算系統202c/300中之SCP子系統304彼此信任,使得該等SCP子系統可交換安全通信。
類似於如上所述,計算系統202b/300中之SCP子系統304及計算系統202c/300中之SCP子系統304可隨後經由啟用金鑰經由安全通信通道605通信,該等金鑰使用由本發明之發明人於在2020年10月15日申請之美國專利申請案第17/071,268號(代理人案件編號16356.2208US01)中描述的分散式金鑰管理功能性來交換,該美國專利申請案之揭示內容係以全文引用之方式併入本文中。因而,安全通信通道605之使用可使用公鑰基礎建設(PKI)金鑰技術來執行,且可提供在計算系統202b/300中之SCP子系統304與計算系統202c/300中之SCP子系統304之間的安全之加密通信的交換。如熟習本發明所屬領域之技術者將瞭解,在建立安全通信通道605後,計算系統202b/300中之SCP子系統304及計算系統202c/300中之SCP子系統304可以安全方式經由安全通信通道605交換多種資料。舉例而言,在一些實施例中,計算系統202b/300中之SCP子系統304及計算系統202c/300中之SCP子系統304可經由安全通信通道605交換控制及/或管理通信,同時經由提供於計算系統202b/300中之SCP子系統304與計算系統202c/300中之SCP子系統304之間的某一其他相對不安全之通信通道交換其他資料通信(例如,非控制/非管理資料)。因而,可提供與SCP資料平面組構隔離之SCP控制平面組構,且在一些實例中,資料及管理控制操作亦可在彼SCP控制平面組構內隔離。然而,在其他實施例中,計算系統202b/300中之SCP子系統304及計算系統202c/300中之SCP子系統304可經由安全通信通道605交換所有資料通信,同時亦保持在本發明之範疇內。
方法500接著進行至方塊518,在該方塊中,第二SCP子系統向第一SCP子系統證明對第三SCP子系統之鑑認。參考圖6E,在方塊518之一實施例中,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404 可執行SCP證明操作606,該等SCP證明操作可包括產生SCP證明通信且使用安全通信通道602經由SCP子系統之通信系統408中之NIC子系統408a及經由網路204將該等SCP證明通信傳輸至計算系統202a/300。在一特定實例中,在方塊518由計算系統202b/300中之SCP子系統304傳輸的SCP證明通信可包括與計算系統202c/300中之SCP子系統304相關聯之第三公鑰、識別至計算系統202c/300中之SCP子系統304之通信連接的SCP子系統通信連接資訊,及/或熟習本發明所屬領域之技術者將認為提供下文論述之功能性的任何其他資訊。然而,儘管描述了特定SCP證明通信資訊,但熟習本發明所屬領域之技術者將瞭解,可利用多種資訊來識別計算系統202c/300中之SCP子系統304至計算系統202a/300中之SCP子系統304且證明其鑑認,同時亦保持在本發明之範疇內。
在一些實施例中,在同級SCP子系統通信建立後的任何時間,可建立共同組構金鑰對以簡化端點(例如,SCP子系統)之間所需的金鑰之數目。如熟習本發明所屬領域之技術者將瞭解,共同組構金鑰對之使用藉由以下操作來簡化安全資訊在組構中之SCP系統之間的傳遞:允許單一金鑰保護所傳輸之資料;及允許利用共同通信方法(例如,IP域中之多播通道)用於將資訊傳遞至組構中之多個SCP子系統。隨著SCP子系統縮放至較大數目,此等操作最佳化經由單一通道之資訊傳遞之效率(例如,相對於使用至組構中之每一SCP的直接鏈接)。在一些實施例中,共同金鑰對可在前兩個SCP子系統建立安全通信通道之後建立。舉例而言,共同金鑰可由成對之SCP子系統中之一者建立,且接著可將彼共同金鑰加密且傳遞至「初始」組構中之該對中之另一SCP子系統。接著可使用彼共同金鑰在該兩個SCP子系統之間驗證通信,且當第三SCP子系統使用直接同級間建立之安全通信鏈接加入組構時,可將該共同金鑰對加密且傳遞至該組構中之第三SCP子系統,以便允許將該共同金鑰用於安全通信。如熟習本發明所 屬領域之技術者將瞭解,接著可針對加入組構之每一後續SCP子系統重複此操作。
因而,在方塊518,作為SCP證明操作606之一部分,計算系統202a/300之SCP子系統304中之SCP分散式安全通信引擎404可接收經由網路204及SCP子系統之通信系統408中之NIC子系統408a在安全通信通道602上傳輸之SCP證明通信。如熟習本發明所屬領域之技術者將瞭解,經由安全通信通道602接收SCP證明通信允許彼等SCP證明通信被信任(亦即,基於在上文執行以建立安全通信通道602之鑑認/信任驗證操作),且因此,在SCP證明通信中識別計算系統202c/300中之SCP子系統304可獨自操作,以證明對計算系統202c/300中之SCP子系統304之鑑認。然而,熟習本發明所屬領域之技術者將瞭解,其他資訊可提供至計算系統202a/300中之SCP子系統304以證明對計算系統202c/300中之SCP子系統304之鑑認,同時亦保持在本發明之範疇內。
方法500接著進行至方塊520,在該方塊中,第二SCP子系統向第三SCP子系統證明對第一SCP子系統之鑑認。參考圖6F,在方塊520之一實施例中,計算系統202b/300之SCP子系統304中之SCP分散式安全通信引擎404可執行SCP證明操作608,該等SCP證明操作可包括經由SCP子系統之通信系統408中之NIC子系統408a產生SCP證明通信且使用安全通信通道605經由網路204將該等SCP證明通信傳輸至計算系統202c/300。在一特定實例中,在方塊520由計算系統202b/300中之SCP子系統304傳輸的SCP證明通信可包括與計算系統202a/300中之SCP子系統304相關聯之第一公鑰、識別至計算系統202a/300中之SCP子系統304的通信連接之SCP子系統通信連接資訊,及/或熟習本發明所屬領域之技術者將認為提供下文論述之功能性的任何其他資訊。然而,儘管描述了特定SCP證明通信資訊,但熟習本發明所屬領域之技術者將瞭 解,可利用多種資訊來識別計算系統202a/300中之SCP子系統304至計算系統202c/300中之SCP子系統304且證明其鑑認,同時亦保持在本發明之範疇內。
因而,在方塊520,作為SCP證明操作608之一部分,計算系統202c/300之SCP子系統304中之SCP分散式安全通信引擎404可接收經由網路204及SCP子系統之通信系統408中之NIC子系統408a在安全通信通道605上傳輸之SCP證明通信。如熟習本發明所屬領域之技術者將瞭解,經由安全通信通道605接收SCP證明通信允許彼等SCP證明通信被信任(亦即,基於在上文執行以建立安全通信通道605之鑑認/信任驗證操作),且因此,在SCP證明通信中識別計算系統202a/300中之SCP子系統304可獨自操作,以證明對計算系統202a/300中之SCP子系統304之鑑認。然而,熟習本發明所屬領域之技術者將瞭解,其他資訊可提供至計算系統202c/300中之SCP子系統304以證明對計算系統202a/300中之SCP子系統304之鑑認,同時亦保持在本發明之範疇內。
方法500接著進行至方塊522,在該方塊中,第一SCP子系統及第三SCP子系統無需傳輸簽署之SCP鑑認通信即可建立第三安全通信通道。參考圖6G,在方塊522之一實施例中且回應於向計算系統202a/300中之SCP子系統304證明對計算系統202c/300中之SCP子系統304之鑑認,及向計算系統202c/300中之SCP子系統304證明對計算系統202a/300中之SCP子系統304之鑑認,計算系統202a/300及202c/300中之每一者中的SCP子系統304中之SCP分散式安全通信引擎404可在彼此之間建立安全通信通道610。如熟習本發明所屬領域之技術者將瞭解,向彼此證明對計算系統202c/300及202a/300中之SCP子系統304中之每一者之鑑認係作為「信任驗證」操作進行操作,該「信任驗證」操作允許計算系統202a/300及202b/300中之SCP子系統304彼此信任,使得無需執行鑑認操作(例如,如在上文論述之方塊506及514期間執行之彼等鑑認操作)即可在彼等SCP子系統之間交換安全通信。
類似於上文所述,計算系統202a/300中之SCP子系統304及計算系統202c/300中之SCP子系統304可隨後經由啟用金鑰經由安全通信通道610通信,該等金鑰使用由本發明之發明人於在2020年10月15日申請之美國專利申請案第17/071,268號(代理人案件編號16356.2208US01)中描述的分散式金鑰管理功能性來交換,該美國專利申請案之揭示內容係以全文引用之方式併入本文中。因而,安全通信通道610可提供在計算系統202a/300中之SCP子系統304與計算系統202c/300中之SCP子系統304之間的安全之加密通信的交換。如熟習本發明所屬領域之技術者將瞭解,在建立安全通信通道610後,計算系統202a/300中之SCP子系統304及計算系統202c/300中之SCP子系統304可以安全方式經由安全通信通道610交換多種資料。舉例而言,在一些實施例中,計算系統202a/300中之SCP子系統304及計算系統202c/300中之SCP子系統304可經由安全通信通道610交換控制及/或管理通信,同時經由提供於計算系統202a/300中之SCP子系統304與計算系統202c/300中之SCP子系統304之間的某一其他相對不安全之通信通道交換其他資料通信(例如,非控制/非管理資料)。因而,可提供與SCP資料平面組構隔離之SCP控制平面組構,且在一些實例中,資料及管理控制操作亦可在彼SCP控制平面組構內隔離。然而,在其他實施例中,計算系統202a/300中之SCP子系統304及計算系統202c/300中之SCP子系統304可經由安全通信通道610交換所有資料通信,同時亦保持在本發明之範疇內。
方法500接著進行至方塊524,在該方塊中,第一、第二及第三SCP子系統經由第一、第二及第三安全通信通道傳輸通信。在一實施例中,在方塊524且如上文所論述,計算系統202a/300中之SCP子系統304及計算系統202b/300中之SCP子系統304可以安全方式經由安全通信通道602交換多種資料,計算系統202b/300中之SCP子系統304及計算系統202c/300中之SCP子系統304可 以安全方式經由安全通信通道605交換多種資料,且計算系統202c/300中之SCP子系統304及計算系統202a/300中之SCP子系統304可以安全方式經由安全通信通道610交換多種資料。
如熟習本發明所屬領域之技術者將瞭解,隨後添加至經網路連接子系統200之任何SCP子系統可由計算系統202a/300、202b/300或202c/300中之SCP子系統304中之一者來鑑認以便建立安全通信通道,且接著向該SCP子系統證明對其他SCP子系統之鑑認,使得亦可與彼等SCP子系統中之任一者建立安全通信通道。因而,額外SCP子系統可快速且輕易地添加至安全通信「組構」以擴大彼安全通信組構。因此,計算系統202a至202c/300中之SCP子系統304可藉由建立安全的SCP基礎建設流量平面來彼此協調,此(實際上)建立虛擬交換組構,建立同級SCP子系統之間的基礎建設控制平面資料交換(例如,操作及遙測),且消除同級SCP子系統上之重複SCP操作。
在一些實施例中,提供安全通信組構之SCP子系統可操作以執行由本發明之發明人於在2020年9月22日申請之美國專利申請案第17/027,835號(代理人案件編號16356.2212US01)中描述的平台信任根功能性,該美國專利申請案之揭示內容係以全文引用之方式併入本文中。因而,SCP子系統可操作以定期檢查任何SCP子系統(或其計算系統)是否已改變,且若已改變,則自安全通信組構移除彼SCP子系統(例如,藉由關閉與彼SCP子系統建立之安全通信通道)。此外,自安全通信組構移除之任何SCP子系統可被阻止存取用於如上所述地建立安全通信通道之公鑰/私鑰對,但可被允許一旦該等SCP子系統可再次被驗證或另外鑑認便再次存取彼等公鑰/私鑰對。
因此,已描述了提供伺服器裝置中之SCP子系統之系統及方法,在執行鑑認操作以鑑認其他SCP子系統及與彼等其他SCP子系統建立安全通信通道後,該等SCP子系統操作以證明對彼等其他SCP子系統中之每一者的鑑認, 此允許彼等其他SCP子系統無需執行鑑認操作即可彼此建立安全通信通道。舉例而言,本發明之分散式安全通信系統可包括一第一SCP子系統,該第一SCP子系統經由一網路耦合至第二及第三SCP子系統。該第一SCP子系統識別該第二SCP子系統,利用一第一私鑰簽署一第一SCP鑑認通信以提供一第一簽署之SCP鑑認通信,該第一SCP子系統將該第一簽署之SCP鑑認通信傳輸至該第二SCP子系統。該第一SCP子系統接著自該第二SCP子系統接收一第二簽署之SCP鑑認通信,使用與該第二SCP子系統相關聯之一第二公鑰來鑑認該第二簽署之SCP鑑認通信,且作為回應,與該第二SCP子系統建立一第一安全通信通道。該第一SCP子系統接著自該第二SCP子系統接收對該第三SCP子系統之一鑑認之一證明,且作為回應,無需傳輸簽署之SCP鑑認通信即可與該第三SCP子系統建立一第二安全通信通道。因此,減少了習知地用於建立安全通信通道之冗餘鑑認操作之執行,從而允許相對於習知安全通信系統更快地建立安全通信網路。
雖然已展示且描述了說明性實施例,但在前文揭示內容中涵蓋了寬範圍之修改、改變及替代,且在一些情況下,可採用該等實施例之一些特徵,但未對應地使用其他特徵。因此,應瞭解,將寬泛地且以與本文中揭示之實施例之範疇一致之方式來理解隨附申請專利範圍。
400:系統控制處理器(SCP)子系統
402:機箱
404:系統控制處理器(SCP)分散式安全通信引擎/SCP複製引擎
406:系統控制處理器(SCP)分散式安全通信資料庫/儲存系統/SCP安全通信資料庫
408:通信系統
408a:網路介面控制器(NIC)子系統
408b:組件連接子系統

Claims (20)

  1. 一種分散式安全通信系統,其包含:一第三系統控制處理器(SCP)子系統;一第二系統控制處理器(SCP)子系統,該第二系統控制處理器(SCP)子系統經由一網路耦合至該第三系統控制處理器(SCP)子系統;及一第一系統控制處理器(SCP)子系統,該第一系統控制處理器(SCP)子系統經由該網路耦合至該第二系統控制處理器(SCP)子系統及該第三系統控制處理器(SCP)子系統,其中該第一系統控制處理器(SCP)子系統經組態以:識別該第二系統控制處理器(SCP)子系統,且作為回應,利用一第一私鑰簽署一第一系統控制處理器(SCP)鑑認通信以提供一第一簽署之系統控制處理器(SCP)鑑認通信;將該第一簽署之系統控制處理器(SCP)鑑認通信傳輸至該第二系統控制處理器(SCP)子系統;自該第二系統控制處理器(SCP)子系統接收一第二簽署之系統控制處理器(SCP)鑑認通信,且作為回應,使用與該第二系統控制處理器(SCP)子系統相關聯之一第二公鑰來鑑認該第二簽署之系統控制處理器(SCP)鑑認通信;回應於鑑認出該第二簽署之系統控制處理器(SCP)鑑認通信,與該第二系統控制處理器(SCP)子系統建立一第一安全通信通道;自該第二系統控制處理器(SCP)子系統接收對該第三系統控制處理器(SCP)子系統之一鑑認之一證明,且作為回應,無需傳輸簽署之系統控制處理器(SCP)鑑認通信即可與該第三系統控制處理器(SCP)子系統建立一第二安全通信通道。
  2. 如請求項1之系統,其中該第一系統控制處理器(SCP)子系統經組態以:監視系統控制處理器(SCP)子系統,且作為回應,識別該第二系統控制處理器(SCP)子系統。
  3. 如請求項1之系統,其中該第一系統控制處理器(SCP)子系統經組態以:經由一網路擷取與該第二系統控制處理器(SCP)子系統相關聯之該第二公鑰。
  4. 如請求項1之系統,其中該第一系統控制處理器(SCP)子系統經組態以:經由該第一安全通信通道傳輸與該第二系統控制處理器(SCP)子系統之第一控制通信;且經由該第二安全通信通道傳輸與該第三系統控制處理器(SCP)子系統之第二控制通信。
  5. 如請求項4之系統,其中該第一系統控制處理器(SCP)子系統經組態以:經由一第一不安全通信通道傳輸與該第二系統控制處理器(SCP)子系統之第一資料通信;且經由一第二不安全通信通道傳輸與該第三系統控制處理器(SCP)子系統之第二資料通信。
  6. 如請求項1之系統,其中對該第三系統控制處理器(SCP)子系統之該鑑認之該證明包括:與該第三系統控制處理器(SCP)子系統相關聯之一第三公鑰;及第三系統控制處理器(SCP)子系統通信連接資訊。
  7. 一種資訊處置系統(IHS),其包含:一處理系統;及一記憶體系統,該記憶體系統耦合至該處理系統且包括指令,該等指令在由該處理系統執行時致使該處理系統提供一分散式安全通信引擎,該分散式安全通信引擎經組態以:識別一第二系統控制處理器(SCP)子系統,且作為回應,利用一第一私鑰簽署一第一系統控制處理器(SCP)鑑認通信以提供一第一簽署之系統控制處理器(SCP)鑑認通信;將該第一簽署之系統控制處理器(SCP)鑑認通信傳輸至該第二系統控制處理器(SCP)子系統;自該第二系統控制處理器(SCP)子系統接收一第二簽署之系統控制處理器(SCP)鑑認通信,且作為回應,使用與該第二系統控制處理器(SCP)子系統相關聯之一第二公鑰來鑑認該第二簽署之系統控制處理器(SCP)鑑認通信;回應於鑑認出該第二簽署之系統控制處理器(SCP)鑑認通信,與該第二系統控制處理器(SCP)子系統建立一第一安全通信通道;自該第二系統控制處理器(SCP)子系統接收對一第三系統控制處理器(SCP)子系統之一鑑認之一證明,且作為回應,無需傳輸簽署之系統控制處理器(SCP)鑑認通信即可與該第三系統控制處理器(SCP)子系統建立一第二安全通信通道。
  8. 如請求項7之資訊處置系統(IHS),其中該分散式安全通信引擎經組態以:監視系統控制處理器(SCP)子系統,且作為回應,識別該第二系統控制處理器(SCP)子系統。
  9. 如請求項7之資訊處置系統(IHS),其中該分散式安全通信引擎經組態以:經由一網路擷取與該第二系統控制處理器(SCP)子系統相關聯之該第二公鑰。
  10. 如請求項7之資訊處置系統(IHS),其中該分散式安全通信引擎經組態以:經由該第一安全通信通道傳輸與該第二系統控制處理器(SCP)子系統之第一控制通信;且經由該第二安全通信通道傳輸與該第三系統控制處理器(SCP)子系統之第二控制通信。
  11. 如請求項10之資訊處置系統(IHS),其中該分散式安全通信引擎經組態以:經由一第一不安全通信通道傳輸與該第二系統控制處理器(SCP)子系統之第一資料通信;且經由一第二不安全通信通道傳輸與該第三系統控制處理器(SCP)子系統之第二資料通信。
  12. 如請求項7之資訊處置系統(IHS),其中對該第三系統控制處理器(SCP)子系統之該鑑認之該證明包括:與該第三系統控制處理器(SCP)子系統相關聯之一第三公鑰;及第三系統控制處理器(SCP)子系統通信連接資訊。
  13. 如請求項7之資訊處置系統(IHS),其中該分散式安全通信引擎經組態以:自該第三系統控制處理器(SCP)子系統接收對一第四系統控制處理器(SCP)子系統之一鑑認之一證明,且作為回應,無需傳輸簽署之系統控制處 理器(SCP)鑑認通信即可與該第四系統控制處理器(SCP)子系統建立一第三安全通信通道。
  14. 一種用於提供分散式安全通信之方法,其包含:由一第一系統控制處理器(SCP)子系統識別一第二系統控制處理器(SCP)子系統,且作為回應,利用一第一私鑰簽署一第一系統控制處理器(SCP)鑑認通信以提供一第一簽署之系統控制處理器(SCP)鑑認通信;由該第一系統控制處理器(SCP)子系統將該第一簽署之系統控制處理器(SCP)鑑認通信傳輸至該第二系統控制處理器(SCP)子系統;由該第一系統控制處理器(SCP)子系統自該第二系統控制處理器(SCP)子系統接收一第二簽署之系統控制處理器(SCP)鑑認通信,且作為回應,使用與該第二系統控制處理器(SCP)子系統相關聯之一第二公鑰來鑑認該第二簽署之系統控制處理器(SCP)鑑認通信;回應於鑑認出該第二簽署之系統控制處理器(SCP)鑑認通信,由該第一系統控制處理器(SCP)子系統與該第二系統控制處理器(SCP)子系統建立一第一安全通信通道;由該第一系統控制處理器(SCP)子系統自該第二系統控制處理器(SCP)子系統接收對一第三系統控制處理器(SCP)子系統之一鑑認之一證明,且作為回應,無需傳輸簽署之系統控制處理器(SCP)鑑認通信即可與該第三系統控制處理器(SCP)子系統建立一第二安全通信通道。
  15. 如請求項14之方法,其進一步包含:由該第一系統控制處理器(SCP)子系統監視系統控制處理器(SCP)子系統,且作為回應,識別該第二系統控制處理器(SCP)子系統。
  16. 如請求項14之方法,其進一步包含: 由該第一系統控制處理器(SCP)子系統經由一網路擷取與該第二系統控制處理器(SCP)子系統相關聯之該第二公鑰。
  17. 如請求項14之方法,其進一步包含:由該第一系統控制處理器(SCP)子系統經由該第一安全通信通道傳輸與該第二系統控制處理器(SCP)子系統之第一控制通信;及由該第一系統控制處理器(SCP)子系統經由該第二安全通信通道傳輸與該第三系統控制處理器(SCP)子系統之第二控制通信。
  18. 如請求項17之方法,其進一步包含:由該第一系統控制處理器(SCP)子系統經由一第一不安全通信通道傳輸與該第二系統控制處理器(SCP)子系統之第一資料通信;及由該第一系統控制處理器(SCP)子系統經由一第二不安全通信通道傳輸與該第三系統控制處理器(SCP)子系統之第二資料通信。
  19. 如請求項14之方法,其中對該第三系統控制處理器(SCP)子系統之該鑑認之該證明包括:與該第三系統控制處理器(SCP)子系統相關聯之一第三公鑰;及第三系統控制處理器(SCP)子系統通信連接資訊。
  20. 如請求項14之方法,其進一步包含:由該第一系統控制處理器(SCP)子系統自該第三系統控制處理器(SCP)子系統接收對一第四系統控制處理器(SCP)子系統之一鑑認之一證明,且作為回應,無需傳輸簽署之系統控制處理器(SCP)鑑認通信即可與該第四系統控制處理器(SCP)子系統建立一第三安全通信通道。
TW110125109A 2020-10-26 2021-07-08 分散式安全通信系統、資訊處置系統及用於提供分散式安全通信之方法 TWI779711B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/079,737 2020-10-26
US17/079,737 US11683172B2 (en) 2020-10-26 2020-10-26 Distributed secure communication system

Publications (2)

Publication Number Publication Date
TW202217624A TW202217624A (zh) 2022-05-01
TWI779711B true TWI779711B (zh) 2022-10-01

Family

ID=76076439

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110125109A TWI779711B (zh) 2020-10-26 2021-07-08 分散式安全通信系統、資訊處置系統及用於提供分散式安全通信之方法

Country Status (5)

Country Link
US (1) US11683172B2 (zh)
EP (1) EP4233274B1 (zh)
CN (1) CN116264861B (zh)
TW (1) TWI779711B (zh)
WO (1) WO2022093314A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11907386B2 (en) * 2020-09-22 2024-02-20 Dell Products L.P. Platform root-of-trust system
US11956274B1 (en) * 2021-03-02 2024-04-09 Keysight Technologies, Inc. System and method for implementing a secure configuration of controllers and instruments in a networked system
US12143471B2 (en) * 2022-03-28 2024-11-12 International Business Machines Corporation Pairing devices for enhanced security
US12470408B2 (en) * 2024-01-25 2025-11-11 Dell Products L.P. Proxy attestation service for multi-cloud tee hardware

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005267520A (ja) * 2004-03-22 2005-09-29 Ntt Comware Corp 証明書相互認証システム、及び証明書相互認証方法
US8538028B2 (en) * 2006-11-20 2013-09-17 Toposis Corporation System and method for secure electronic communication services
TWI575969B (zh) * 2014-07-03 2017-03-21 蘋果公司 用於建立一安全通信通道之方法
US20190149539A1 (en) * 2017-11-15 2019-05-16 Citrix Systems, Inc. Secure Authentication Of A Device Through Attestation By Another Device
CN109922080A (zh) * 2013-10-23 2019-06-21 华为技术有限公司 用户设备之间进行安全通信的方法及装置
CN110430204A (zh) * 2019-08-12 2019-11-08 徐州恒佳电子科技有限公司 一种基于第三方密码簿服务器的改进型json安全通信方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8429708B1 (en) 2006-06-23 2013-04-23 Sanjay Tandon Method and system for assessing cumulative access entitlements of an entity in a system
US9444823B2 (en) 2008-12-24 2016-09-13 Qualcomm Incorporated Method and apparatus for providing network communication association information to applications and services
US11178124B2 (en) * 2014-09-02 2021-11-16 Apple Inc. Secure pairing of a processor and a secure element of an electronic device
CN105515783B (zh) * 2016-02-05 2019-02-15 中金金融认证中心有限公司 身份认证方法、服务器及认证终端
US10135622B2 (en) * 2016-06-03 2018-11-20 Intel Corporation Flexible provisioning of attestation keys in secure enclaves
US11025419B2 (en) * 2017-11-15 2021-06-01 Alexander J. M. Van Der Velden System for digital identity authentication and methods of use

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005267520A (ja) * 2004-03-22 2005-09-29 Ntt Comware Corp 証明書相互認証システム、及び証明書相互認証方法
US8538028B2 (en) * 2006-11-20 2013-09-17 Toposis Corporation System and method for secure electronic communication services
CN109922080A (zh) * 2013-10-23 2019-06-21 华为技术有限公司 用户设备之间进行安全通信的方法及装置
TWI575969B (zh) * 2014-07-03 2017-03-21 蘋果公司 用於建立一安全通信通道之方法
US20190149539A1 (en) * 2017-11-15 2019-05-16 Citrix Systems, Inc. Secure Authentication Of A Device Through Attestation By Another Device
CN110430204A (zh) * 2019-08-12 2019-11-08 徐州恒佳电子科技有限公司 一种基于第三方密码簿服务器的改进型json安全通信方法

Also Published As

Publication number Publication date
US20220131695A1 (en) 2022-04-28
EP4233274B1 (en) 2025-11-26
US11683172B2 (en) 2023-06-20
CN116264861B (zh) 2025-10-28
CN116264861A (zh) 2023-06-16
TW202217624A (zh) 2022-05-01
WO2022093314A1 (en) 2022-05-05
EP4233274A1 (en) 2023-08-30

Similar Documents

Publication Publication Date Title
TWI779711B (zh) 分散式安全通信系統、資訊處置系統及用於提供分散式安全通信之方法
US10885197B2 (en) Merging multiple compute nodes with trusted platform modules utilizing authentication protocol with active trusted platform module provisioning
US11907386B2 (en) Platform root-of-trust system
CN106549750B (zh) 以计算机实施的方法与使用其的系统、及计算机程序产品
US9652253B2 (en) Field replaceable unit authentication system
US10534936B2 (en) System and method for enabling and disabling of baseboard management controller configuration lockdown
US20080060068A1 (en) Methods and arrangements for remote communications with a trusted platform module
US9137244B2 (en) System and method for generating one-time password for information handling resource
CN109804598B (zh) 信息处理的方法、系统及计算机可读介质
JP2024526752A (ja) マイクロコントローラの測定された再起動
CN103119889B (zh) 使用硬件超级密钥验证和保护正版软件安装的装置、系统、方法和控制器
US20200019708A1 (en) Remote access controller in-band access system
TWI809446B (zh) 分散式密鑰管理系統、資訊處置系統及用於提供分散式密鑰管理之方法
CN105474228A (zh) Io设备与硬件安全元件的自动配对
Han Secure solution of trusted Internet of things base on TCM
US12363110B2 (en) Systems and methods to provide pre-deployment assessment for device integrity
US11651110B2 (en) Hardware device mutual authentication system and method for a baseboard management controller (BMC)
US12490101B2 (en) Extended root of trust validation for remote edge devices
US12155645B2 (en) Systems and methods for reclaiming identity credentials in a cloud management service
US12225134B2 (en) Systems and methods for dual hash rolling patch secure authentication
US20240232314A1 (en) Authenticator to authorize persistent operations
US20250103689A1 (en) Systems and methods for resetting credentials for a management controller of an information handling system
US20240297871A1 (en) Systems and methods for cloning bmc profiles in a cluster environment
HK40107406A (zh) 所测量的微控制器重启

Legal Events

Date Code Title Description
GD4A Issue of patent certificate for granted invention patent