CN109891823A - 凭证加密 - Google Patents
凭证加密 Download PDFInfo
- Publication number
- CN109891823A CN109891823A CN201780067643.XA CN201780067643A CN109891823A CN 109891823 A CN109891823 A CN 109891823A CN 201780067643 A CN201780067643 A CN 201780067643A CN 109891823 A CN109891823 A CN 109891823A
- Authority
- CN
- China
- Prior art keywords
- data
- encryption
- character string
- voucher
- encryption function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 146
- 238000003860 storage Methods 0.000 claims description 13
- 238000013475 authorization Methods 0.000 claims description 8
- 238000004519 manufacturing process Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 39
- 230000001010 compromised effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000007620 mathematical function Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
描述了与凭证加密相关联的示例。一种示例方法包括经由安全信道从本地进程接收加密请求。所述加密请求包括与所述本地进程相关联的凭证。使用所述凭证来验证所述本地进程是否被授权访问加密函数。使用对执行所述方法的系统唯一的安全密钥来执行所述加密请求中指定的所述加密函数。所述加密函数的结果被提供给所述本地进程。
Description
背景技术
现代计算机系统依靠各种技术来维护系统和由系统传输的通信的安全性。在各种示例中,这些技术可以防止恶意应用程序损坏系统、拦截两个可信操作系统之间的消息、窃取静态数据等等。在一些示例中,秘密密钥被用于促进对数据和/或消息进行加密。
附图说明
结合以下与附图相结合的具体实施方式,可以更全面地理解本申请。
图1展示了与凭证加密相关联的示例系统。
图2展示了与凭证加密相关联的示例操作的流程图。
图3展示了与凭证加密相关联的示例系统。
图4展示了与凭证加密相关联的示例操作的另一流程图。
图5展示了示例系统和方法以及等同物可以在其中进行操作的示例计算设备。
具体实施方式
描述了与凭证加密相关联的系统、方法和等同物。如上所述,计算系统可以依靠秘密密钥来防止恶意应用程序损坏系统、拦截消息和/或窃取数据。因此,期望防止秘密密钥被损害、以及在密钥被损害的情况下限制使用此密钥可以访问的数据。
因此,本文描述的示例系统和方法可以使用安全本地服务来使用这些秘密密钥执行加密和解密,而不将密钥暴露给其他实体。安全本地服务可以依靠从试图访问秘密的进程接收的凭证来判定是否为该进程执行加密或解密。另外,安全本地服务可以通过使用对安全本地服务正在其上操作的系统唯一的密钥来执行这些加密和解密动作。因此,如果密钥在一个系统上被损害,相同的密钥可能无法在其他系统上使用,从而限制了密钥被损害的影响。
如本文所使用的术语“加密函数”可以包括与数据的混淆或去混淆相关的各种函数以及其他函数。这些函数可以包括例如对数据进行加密、对数据进行解密、对数据进行压缩、对数据进行解压缩等。在许多示例中,可以通过结合密钥对第一字符串执行数学运算来完成加密函数。密钥可以是一系列二进制数字,其具有一组已知的数学属性(例如,长度、与素数的关系),该属性建立了阈值级别的安全保证。当加密函数导致数据的加密时,第一字符串可以是数据字符串,并且数学函数可以创建密码字符串。当加密函数是解密函数时,第一字符串可以是密码字符串并且数学函数可以创建数据字符串。
图1展示了与凭证加密相关联的示例系统。应当理解,图1中描绘的各项是说明性示例,并且许多不同的系统、设备等可以根据各个示例来进行操作。
图1展示了示例系统100。系统100包括安全存储器110。安全存储器110可以存储一组加密的安全密钥115。可以生成对系统100有效唯一的安全密钥,使得任何两个系统生成或使用相同安全密钥的可能性很低。系统100可以使用安全密钥115来保护系统100的各个方面免受试图损害系统100的恶意实体的侵害。这些恶意实体可能试图损坏系统100、从系统100窃取数据、拦截系统100与其他系统之间的通信等等。在各种示例中,系统100可以使用安全密钥115来例如限制对系统100的多方面的访问、对系统100上的数据进行加密等等。作为说明,密钥可用于对系统100的应用程序和/或用户的各种凭证和隐私数据进行加密。
在各种示例中,可以在系统100的生命周期期间的各种时间生成安全密钥115以服务于不同的目标。例如,当首次启动系统100时、当首次启动加密服务120时、当添加和/或激活新用户时、当新应用程序请求安全存储时等等,可以生成安全密钥115。安全密钥115也可以在系统100的生产期间生成并嵌入安全存储器110中。在其他示例中,还可以周期性地生成安全密钥115以降低安全密钥115被损害的可能性,因为使用安全密钥115越频繁,某些加密技术可能越容易由于确定安全密钥115而受到攻击。
为了访问安全密钥115,系统100包括加密服务120。加密服务120可以在进程190与安全存储器110之间接口连接,并且通过使用安全密钥115来执行加密函数。因此,系统100可以被配置为确保只有加密服务120能够访问安全密钥115,并且对其他实体限制对安全密钥115的访问。这可以使试图利用安全密钥的其他进程来使用加密服务120。作为说明,当进程190试图通过使用安全密钥115对数据进行加密或解密时,进程190可以请求加密服务120执行此功能,而不是直接访问安全密钥115。
在各种示例中,进程190可以经由安全信道与加密服务120通信。例如,如果系统100使用Linux操作系统操作,则本地进程可以使用抽象Unix域套接字(Unix domainsocket)来传输加密请求。其他可用的安全信道可以取决于系统100的配置。
因此,当进程190试图通过使用安全密钥115对数据进行加密或解密时,加密服务120可以首先与此进程190交换凭证。进程190的凭证可以包括例如进程标识符、进程路径、进程的访问权限等。可能期望确保提供给加密服务120的凭证不会被进程190欺骗。在上面系统100是基于Linux的系统的示例中,可以使用套接字辅助数据来提供凭证。加密服务120向进程190提供的凭证可以确保进程190知道它们没有向试图捕获敏感数据的恶意进程传输数据。
在一些示例中,当判定进程190是否可以通过使用安全密钥115访问加密函数时,加密服务120可以考虑其他因素。这些其他因素可以包括例如时间信息(例如,日期和时间)、安全密钥已经被访问多少次、数据已经被解密多少次、生存时间信息、安全进程是否正在系统100上操作、地理位置信息、可信第三方服务是否可访问、与试图访问加密服务120的用户和/或应用程序相关联的角色和/或政策等等。
当加密服务120确定进程190被授权通过使用安全密钥115对数据进行加密或解密时,加密服务120可以执行进程190请求的加密函数。当授权失败时,加密服务120可以例如通知进程190失败、通过使用不访问安全密钥115的技术执行加密函数、通知安全进程等等。
在一些示例中,可以通过在向进程190提供解密的数据之前验证进程190被授权访问其试图解密的数据来实现进一步的数据安全性。为了实现这一点,加密服务120可以将对数据字符串加密的进程190的凭证附加到进程试图加密的数据字符串。当进程190试图对数据进行解密时,可以从解密的数据中检索凭证并将其与由试图解密此数据的进程190提供的凭证进行比较。当两者匹配时,解密的数据可以被提供给进程190。如果进程190提供的凭证与从解密的数据中检索的凭证不匹配,则加密服务120可以拒绝向进程120提供解密的数据、通知对系统100的安全性进行投资的实体(例如,用户)等等。
在一些示例中,可能期望有一种解密数据的替代方法。这种替代方法可以涉及将试图对数据进行加密的加密函数的结果分成多个段。可以向启动数据的加密的进程190提供第一段。第二段可以存储在安全存储器110中或者可由加密服务120访问的另一个安全位置中。并且第三段可以被提供给可信第三方199。可以生成这些段,使得该些段中的两个段的组合可以用于对原始数据进行解密。在加密服务120、进程190和可信第三方199之一受到损害的情况下,以这种方式划分段可以有助于恢复原始数据。类似地,如果加密服务120、进程190和可信第三方199之一处发生数据丢失或数据损坏,则可以在另外两个的合作下获得原始解密数据。
应当理解,在以下描述中,阐述了许多具体细节以提供对示例的透彻理解。然而,应当理解,可以在不局限于这些具体细节的情况下实践所述示例。在其他实例中,可能没有详细描述方法和结构以避免不必要地使对于示例的描述令人费解。而且,所述示例可以彼此组合使用。
如本文所使用的“模块”包括但不限于用于执行(多个)功能或(多个)动作和/或引起来自另一模块、方法和/或系统的功能或动作的硬件、固件、存储在计算机可读介质上或在机器上执行的软件、和/或每一个的组合。模块可以包括软件控制的微处理器、分立模块、模拟电路、数字电路、编程的模块设备、包含指令的存储器设备等。模块可以包括门、门的组合或其他电路部件。在描述多个逻辑模块的情况下,可以将所述多个逻辑模块合并到一个物理模块中。类似地,在描述单个逻辑模块的情况下,可以在多个物理模块之间分配此单个逻辑模块。
图2展示了示例方法200。方法200可以在存储处理器可执行指令的非暂态处理器可读的介质上实施。所述指令当由处理器执行时可以使处理器执行方法200。在其他示例中,方法200可以存在于专用集成电路(ASIC)的逻辑门和/或RAM内。
方法200可以执行与凭证加密相关联的各种任务。方法200包括在210处接收加密请求。可以从本地进程接收加密请求。可以经由安全信道接收加密请求。如上所述,使用什么类型的安全信道可以取决于执行方法200的系统的配置。加密请求可以包括与本地进程相关联的凭证。凭证可以是例如与进程相关联的路径、进程标识符、对系统文件的访问证明等。
在一些示例中,方法200可以包括向本地进程(未示出)提供凭证。向本地进程提供凭证可以向本地进程证明执行方法200的行动者是该进程所主张的对象。这可以允许本地进程确保其没有向恶意进程传输数据。
方法200还包括在220处验证本地进程是否被授权访问加密函数。可以基于凭证来验证授权。当授权本地进程访问加密函数时,也可以考虑其他因素。这些因素可以包括进程标识符、文件访问等。
方法200还包括在230处执行加密函数。在动作230处执行的加密函数可以在加密请求中指定。加密函数可以是例如对数据进行加密、对数据进行解密等。当加密函数涉及对数据进行加密时,加密函数可以包括凭证以及由加密函数加密的数据。类似地,当加密函数涉及对数据进行解密时,方法200可以包括对照从数据中取得的凭证来验证凭证。对照从数据中取得的凭证来验证本地进程的凭证可以有助于验证本地进程被授权对于作为执行加密函数的结果而解密的数据进行访问。可以使用对执行方法200的系统唯一的安全密钥来执行加密函数。
在一些示例中,方法200可以包括在执行方法200的系统的初始设置期间生成安全密钥(未示出)。作为说明,可以在第一次启动执行方法200的系统时、第一次启动执行方法200的进程时等生成安全密钥。可以在适合确保执行方法200的系统的安全性的其他时间生成安全密钥。
方法200还包括在240处提供加密函数的结果。该结果可以被提供给本地进程。
图3展示了与凭证加密相关联的系统300。系统300包括安全存储器310。安全存储器310存储安全密钥315。安全密钥可以对于系统300是唯一的。
系统300还包括加密服务320。加密服务320可以通过使用安全密钥315来为在系统300上操作的进程399执行加密和解密。在一些示例中,加密服务320可以执行数据的加密,使得加密的数据可从加密服务320、请求加密的进程399和可信第三方(未示出)中的任意两者的组合中取得。
系统300还包括授权模块340。授权模块340可以接收与在系统300上操作的进程399相关联的凭证。授权模块320可以基于凭证来判定进程399是否被授权访问加密服务320。在一些示例中,授权模块340可以基于当前时间、日期、应用程序是否正在系统上操作、生存时间是否已经过期以及数据已经被解密多少次来判定进程399是否被授权访问加密服务320。
在一些示例中,系统300可以包括密钥生成模块(未示出)。密钥生成模块可以创建安全密钥315。安全密钥315可以在系统300、加密服务320等之一的初始化期间创建。
图4展示了与凭证加密相关联的方法400。方法400包括在410处接收加密请求。可以经由安全信道接收加密请求。加密请求可以标识与本地进程相关联的凭证。加密请求还可以标识数据字符串。加密请求还可以标识要对数据字符串执行的加密函数。在一些示例中,方法400还可以包括向与凭证相关联的进程提供凭证。
方法400还包括在420处验证进程是否被授权访问加密函数。可以基于与进程相关联的凭证来执行此验证。也可以基于例如当前时间、日期、安全进程是否正由执行方法400的处理器共同执行、生存时间是否已经过期、数据字符串已经被解密多少次等等来执行验证。当进程被授权访问加密函数时,方法400可以前进到动作430,在该动作处,判定加密函数是否涉及对数据字符串进行加密。当要对数据字符串进行加密时,方法400可以前进到动作440并将与进程相关联的凭证附加到数据字符串。
在将凭证附加到数据字符串之后,或者如果在430处发现加密函数不涉及对数据字符串进行加密,方法400可以前进到动作450并执行加密请求中指定的加密函数。可以通过使用对其中嵌入了执行方法400的处理器的系统唯一的安全密钥来执行加密函数。
在动作460处,方法400可以再次评估加密函数是否涉及对数据字符串进行加密。当加密函数导致数据字符串的加密时,方法400可以前进到动作470并且向其凭证在加密请求中被提供的进程提供第一加密的字符串。第一加密的字符串可以从加密函数中获得。在一些示例中,方法400还可以包括向远程可信第三方提供第二加密的字符串、以及在安全存储器中存储第三加密的字符串。在这些示例中,数据字符串可从第一加密的字符串、第二加密的字符串和第三加密的字符串中的任意两者的组合中取得。
当加密函数涉及对数据字符串进行解密时,方法400可以前进到动作480并判定在对数据字符串进行解密时取得的凭证是否同与进程相关联的凭证相匹配。如果这些凭证相匹配,则方法400可以前进到动作490并且向其凭证在加密请求中被提供的进程提供解密的字符串。解密的字符串可以作为对数据字符串进行解密的结果而从加密函数获得。
图5展示了示例系统、方法和等同物可以在其中进行操作的示例计算设备。示例计算设备可以是计算机500,该计算机包括通过总线530连接的处理器510和存储器520。计算机500包括凭证加密模块540。凭证加密模块540可以单独地或组合地执行以上参照示例系统、方法等所描述的各种功能。在不同的示例中,凭证加密模块540可以以硬件、软件、固件、专用集成电路和/或其组合实现为存储处理器可执行指令的非暂态计算机可读介质。
所述指令还可以作为暂时存储在存储器520中并且然后由处理器510执行的数据550和/或进程560而被呈现给计算机500。处理器510可以是各种处理器,包括双微处理器和其他多处理器架构。存储器520可以包括非易失性存储器(例如,只读存储器)和/或易失性存储器(例如,随机存取存储器)。存储器520还可以是例如磁盘驱动器、固态盘驱动器、软盘驱动器、磁带驱动器、闪存卡、光盘等。因此,存储器520可以存储进程560和/或数据550。计算机500还可以以多种配置(未示出)与包括其他计算机、设备、外围设备等在内的其他设备相关联。
应当理解,对所公开示例的先前描述被提供用于使得任何本领域技术人员能够制造或使用本公开。对这些示例的各种修改对于本领域技术人员来说将是显而易见的,并且本文定义的一般原理可以应用于其他示例,而不脱离本公开的精神或范围。因此,本公开并不旨在局限于本文所示的示例,而是符合与本文公开的原理和新颖特征一致的最宽范围。
Claims (15)
1.一种方法,包括:
经由安全信道,从本地进程接收加密请求,其中,所述加密请求包括与所述本地进程相关联的凭证;
通过使用所述凭证,验证所述本地进程是否被授权访问在所述加密请求中指定的加密函数;
通过使用对执行所述方法的系统唯一的安全密钥,来执行在所述加密请求中指定的所述加密函数;以及
向所述本地进程提供所述加密函数的结果。
2.如权利要求1所述的方法,其中,所述加密函数是对数据进行加密和对数据进行解密之一。
3.如权利要求2所述的方法,其中,所述加密函数是对数据进行加密,并且其中,所述加密函数包括由所述加密函数进行加密的数据中的凭证。
4.如权利要求2所述的方法,其中,所述加密函数是对数据进行解密,并且其中,所述方法包括对照从所述数据中取得的凭证来验证所述凭证。
5.如权利要求1所述的方法,包括在所述系统的初始设置期间生成所述安全密钥。
6.如权利要求1所述的方法,包括向所述本地进程提供凭证。
7.如权利要求1所述的方法,其中,与所述进程相关联的凭证是与所述进程相关联的路径、进程标识符和对系统文件的访问证明之一。
8.一种系统,包括:
安全存储器,用于存储对所述系统唯一的安全密钥;
加密服务,用于通过使用所述安全密钥来为在所述系统上操作的进程执行加密和解密;以及
授权模块,用于接收与在所述系统上运行的进程相关联的凭证、并基于所述凭证来确定所述进程是否被授权访问所述加密服务。
9.如权利要求7所述的系统,其中,所述加密服务执行数据的加密,使得加密的数据能够从以下各项中的任意两项的组合中取得:所述进程、所述加密服务、以及可信第三方。
10.如权利要求8所述的系统,包括密钥生成模块,所述密钥生成模块用于在所述系统和所述加密服务之一的初始化期间生成所述安全密钥。
11.如权利要求8所述的系统,其中,所述授权模块还基于当前时间、日期、应用程序是否正在所述系统上操作、生存时间是否已经过期以及数据已经被解密多少次中的至少一个来确定所述进程是否被授权访问所述加密服务。
12.一种存储处理器可执行指令的非暂态计算机可读介质,所述指令在被执行时控制处理器进行以下操作:
经由安全信道接收加密请求,其中,所述加密请求标识与本地进程相关联的凭证、数据字符串以及要对所述数据字符串执行的加密函数;
基于与所述进程相关联的凭证来验证所述进程是否被授权访问所述加密函数;
当所述加密函数涉及对所述数据字符串进行加密时,将与所述进程相关联的凭证附加到所述数据字符串;
通过使用对其中嵌入了所述处理器的系统唯一的安全密钥,来对所述数据字符串执行所述加密函数;以及
当所述加密函数涉及对所述数据字符串进行加密时,将从所述加密函数获得的第一加密的字符串提供给所述进程;以及
当所述加密函数涉及对所述数据字符串进行解密时,选择性地将从所述加密函数获得的解密的字符串提供给所述进程,其中,基于在对所述数据字符串进行解密时取得的凭证是否同与所述进程相关联的凭证相匹配来选择性地提供所述解密的字符串。
13.如权利要求12所述的非暂态计算机可读介质,其中,所述指令进一步控制所述处理器进行以下操作:
当所述加密函数涉及对所述数据字符串进行加密时:
向远程可信第三方提供第二加密的字符串;以及
在安全存储器中存储第三加密的字符串,
其中,所述数据字符串能够从所述第一加密的字符串、所述第二加密的字符串和所述第三加密的字符串中的任意两者的组合中取得。
14.如权利要求12所述的非暂态计算机可读介质,其中,所述指令进一步控制所述处理器向所述进程提供凭证。
15.如权利要求12所述的非暂态计算机可读介质,其中,所述进程是否被授权访问所述加密函数进一步取决于当前时间、日期、安全进程是否正由所述处理器共同执行、生存时间是否已经过期以及所述数据字符串已经被解密多少次中的至少一个。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2017/017670 WO2018147878A1 (en) | 2017-02-13 | 2017-02-13 | Credentialed encryption |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109891823A true CN109891823A (zh) | 2019-06-14 |
CN109891823B CN109891823B (zh) | 2022-02-11 |
Family
ID=63107780
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780067643.XA Expired - Fee Related CN109891823B (zh) | 2017-02-13 | 2017-02-13 | 用于凭证加密的方法、系统以及非暂态计算机可读介质 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11216571B2 (zh) |
EP (1) | EP3520320A4 (zh) |
CN (1) | CN109891823B (zh) |
WO (1) | WO2018147878A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11399015B2 (en) * | 2019-06-11 | 2022-07-26 | Bank Of America Corporation | Data security tool |
US11157624B2 (en) * | 2019-08-14 | 2021-10-26 | Silicon Motion, Inc. | Scheme of using electronic device to activate mass production software tool to initialize memory device including flash memory controller and flash memory |
KR102410810B1 (ko) * | 2020-09-11 | 2022-06-21 | 주식회사 티이이웨어 | 확장 암호연산 처리 방법 및 시스템 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030079143A1 (en) * | 2001-10-22 | 2003-04-24 | Dean Mikel | One pass security |
CN1682490A (zh) * | 2002-07-18 | 2005-10-12 | 伊奥里金纳尔公司 | 用于经验证文档的电子传输、存储和检索的系统及方法 |
CN1722658A (zh) * | 2004-03-19 | 2006-01-18 | 微软公司 | 计算机系统的有效的和安全的认证 |
US20070180239A1 (en) * | 2005-07-21 | 2007-08-02 | Akira Fujibayashi | Storage system for data encryption |
CN102948114A (zh) * | 2010-06-21 | 2013-02-27 | 微软公司 | 用于访问加密数据的单次使用认证方法 |
US20130198521A1 (en) * | 2012-01-28 | 2013-08-01 | Jianqing Wu | Secure File Drawer and Safe |
CN103503408A (zh) * | 2011-05-05 | 2014-01-08 | 良好科技公司 | 用于提供访问凭证的系统和方法 |
US20150134962A1 (en) * | 2013-11-08 | 2015-05-14 | MustBin Inc. | Bin enabled data object encryption and storage apparatuses, methods and systems |
US20160234176A1 (en) * | 2015-02-06 | 2016-08-11 | Samsung Electronics Co., Ltd. | Electronic device and data transmission method thereof |
US20170006064A1 (en) * | 2015-07-02 | 2017-01-05 | Oracle International Corporation | Data encryption service |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007121587A1 (en) | 2006-04-25 | 2007-11-01 | Stephen Laurence Boren | Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks |
US20130227286A1 (en) | 2006-04-25 | 2013-08-29 | Andre Jacques Brisson | Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud |
US8175276B2 (en) | 2008-02-04 | 2012-05-08 | Freescale Semiconductor, Inc. | Encryption apparatus with diverse key retention schemes |
US8578157B2 (en) | 2009-05-29 | 2013-11-05 | Adobe Systems Incorporated | System and method for digital rights management with authorized device groups |
US8788842B2 (en) | 2010-04-07 | 2014-07-22 | Apple Inc. | System and method for content protection based on a combination of a user PIN and a device specific identifier |
US20120017095A1 (en) | 2010-07-19 | 2012-01-19 | Coreguard | Software Service for Encrypting and Decrypting Data |
US8914635B2 (en) | 2011-07-25 | 2014-12-16 | Grey Heron Technologies, Llc | Method and system for establishing secure communications using composite key cryptography |
US9544135B2 (en) | 2013-08-02 | 2017-01-10 | Issam ANDONI | Methods of and systems for facilitating decryption of encrypted electronic information |
US9887836B1 (en) * | 2014-09-26 | 2018-02-06 | Amazon Technologies, Inc. | Unified management of cryptographic keys using virtual keys and referrals |
US10958642B2 (en) * | 2018-04-05 | 2021-03-23 | The Toronto-Dominion Bank | Dynamic biometric authentication based on distributed ledger data |
-
2017
- 2017-02-13 CN CN201780067643.XA patent/CN109891823B/zh not_active Expired - Fee Related
- 2017-02-13 WO PCT/US2017/017670 patent/WO2018147878A1/en unknown
- 2017-02-13 US US16/080,262 patent/US11216571B2/en active Active
- 2017-02-13 EP EP17896127.2A patent/EP3520320A4/en not_active Withdrawn
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030079143A1 (en) * | 2001-10-22 | 2003-04-24 | Dean Mikel | One pass security |
CN1682490A (zh) * | 2002-07-18 | 2005-10-12 | 伊奥里金纳尔公司 | 用于经验证文档的电子传输、存储和检索的系统及方法 |
CN1722658A (zh) * | 2004-03-19 | 2006-01-18 | 微软公司 | 计算机系统的有效的和安全的认证 |
US20070180239A1 (en) * | 2005-07-21 | 2007-08-02 | Akira Fujibayashi | Storage system for data encryption |
CN102948114A (zh) * | 2010-06-21 | 2013-02-27 | 微软公司 | 用于访问加密数据的单次使用认证方法 |
CN103503408A (zh) * | 2011-05-05 | 2014-01-08 | 良好科技公司 | 用于提供访问凭证的系统和方法 |
US20130198521A1 (en) * | 2012-01-28 | 2013-08-01 | Jianqing Wu | Secure File Drawer and Safe |
US20150134962A1 (en) * | 2013-11-08 | 2015-05-14 | MustBin Inc. | Bin enabled data object encryption and storage apparatuses, methods and systems |
US20160234176A1 (en) * | 2015-02-06 | 2016-08-11 | Samsung Electronics Co., Ltd. | Electronic device and data transmission method thereof |
US20170006064A1 (en) * | 2015-07-02 | 2017-01-05 | Oracle International Corporation | Data encryption service |
Non-Patent Citations (3)
Title |
---|
ANONYMOUS: "Microsoft Office password protection", 《URL:HTTPS://EN.WIKIPEDIA.ORG/W/INDEX.PHP?TITLE=MICROSOFT_OFFICE_PASSWORD_PROTECTION&OLDID=757773530》 * |
SHO KURITA ET AL: "Privacy Protection on Transfer System of Automated Teller Machine from Brute Force Attack", 《2012 26TH INTERNATIONAL CONFERENCE ON ADVANCED INFORMATION NETWORKING AND APPLICATIONS WORKSHOPS》 * |
桂艳峰等: "一个基于角色的Web安全访问控制系统", 《计算机研究与发展》 * |
Also Published As
Publication number | Publication date |
---|---|
US11216571B2 (en) | 2022-01-04 |
US20190065770A1 (en) | 2019-02-28 |
EP3520320A4 (en) | 2020-03-04 |
CN109891823B (zh) | 2022-02-11 |
WO2018147878A1 (en) | 2018-08-16 |
EP3520320A1 (en) | 2019-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106612180B (zh) | 实现会话标识同步的方法及装置 | |
US11876791B2 (en) | Message authentication with secure code verification | |
US9673975B1 (en) | Cryptographic key splitting for offline and online data protection | |
US10708062B2 (en) | In-vehicle information communication system and authentication method | |
US10091183B2 (en) | Method and decision gateway for authorizing a function of an embedded control unit | |
US9043610B2 (en) | Systems and methods for data security | |
US20090067685A1 (en) | Finger sensing apparatus using template watermarking and associated methods | |
US9053351B2 (en) | Finger sensing apparatus using image watermarking and associated methods | |
CN105915338B (zh) | 生成密钥的方法和系统 | |
CN109981562B (zh) | 一种软件开发工具包授权方法及装置 | |
WO2009033145A1 (en) | Finger sensing apparatus using unique session key and associated methods | |
US20210143986A1 (en) | Method for securely sharing data under certain conditions on a distributed ledger | |
CN107733636B (zh) | 认证方法以及认证系统 | |
CN111401901B (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
US9280650B2 (en) | Authenticate a fingerprint image | |
CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
US9473299B2 (en) | Dual-party session key derivation | |
US11468177B2 (en) | Apparatus and method for encrypting data in a data storage system | |
CN111191217B (zh) | 一种密码管理方法及相关装置 | |
CN111614467B (zh) | 系统后门防御方法、装置、计算机设备和存储介质 | |
CN110519222B (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
CN109891823A (zh) | 凭证加密 | |
CN105323245A (zh) | 智能终端及其授权方法和系统 | |
CN110740036A (zh) | 基于云计算的防攻击数据保密方法 | |
JP2017108237A (ja) | システム、端末装置、制御方法、およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Texas, USA Applicant after: HEWLETT-PACKARD DEVELOPMENT Co.,L.P. Address before: Texas, USA Applicant before: HEWLETT-PACKARD DEVELOPMENT Co.,L.P. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220211 |
|
CF01 | Termination of patent right due to non-payment of annual fee |