CN113261254A - 私钥云存储 - Google Patents
私钥云存储 Download PDFInfo
- Publication number
- CN113261254A CN113261254A CN201980076757.XA CN201980076757A CN113261254A CN 113261254 A CN113261254 A CN 113261254A CN 201980076757 A CN201980076757 A CN 201980076757A CN 113261254 A CN113261254 A CN 113261254A
- Authority
- CN
- China
- Prior art keywords
- private key
- execution environment
- storage device
- network storage
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种用于非对称加密的系统(1),包括装置(10)和网络存储设备(30),其中装置与网络存储设备通信地连接,其中网络存储设备被配置为存储私钥,其中装置被配置为从网络存储设备中获取私钥以在装置的安全执行环境(12)中使用私钥执行加密操作,并且其中安全执行环境被配置为仅临时存储用于加密操作的私钥。
Description
技术领域
本发明涉及一种用于非对称加密的系统、一种在用于非对称加密的系统中使用的装置、一种在用于非对称加密的系统中使用的网络存储设备以及一种用于非对称加密的计算机实现的方法。
背景技术
在非对称加密系统中,私钥通常被存储在如TPM、智能卡、安全文件系统(iOS/Android密钥库)、可信执行环境等安全执行环境中,并在其中使用。私钥通常被绑定到托管装置,从而使加密操作容易出现潜在的问题。例如,在装置丢失或被盗的情况下,存储在装置的安全执行环境中的所有绑定的私钥也会丢失。此外,装置故障会导致私钥丢失或不可用,例如导致无法对文档/交易进行签名或无法认证如银行服务的相关服务。
在已知的系统中,装置的丢失或被盗通常导致私钥丢失管理和撤销过程(例如管理信用卡的撤销和替换、IT认证服务的供应或替换安全执行环境的恢复和重新配置)的基础设施成本高。
在加密货币系统中,私钥的丢失或被盗通常意味着金钱的明确损失。例如,比特币私钥的被盗或丢失通常会导致比特币信贷和储蓄的明确损失。
需要基于非对称密钥对和保护私钥操作的改进的加密机制。
发明内容
本公开适用于实现保护私钥操作的创新方式的基于非对称密钥对的加密机制。它基于创新的网络存储设备的使用。它可以应用于但不限于区块链技术以及安全认证方案例如线上快速身份验证(Fast Identity Online,FIDO)和物联网(Internet of Things,IoT)对象管理。
根据本公开的一个方面,提出了一种用于非对称加密的系统。系统可以包括装置和网络存储设备。装置可以与网络存储设备通信地连接。网络存储设备可以被配置为存储私钥。装置可以被配置为从网络存储设备中获取私钥,以在装置的安全执行环境中使用私钥执行加密操作。安全执行环境可以被配置为临时存储用于加密操作的私钥。例如,当已经完成了加密功能时,可以从存储器中删除私钥。
在一个实施方式中,私钥可以作为加密的私钥被存储在网络存储设备中。加密的私钥可以包括使用客户机密加密的私钥。装置可以被配置为从网络存储设备中获取加密的私钥。装置可以被配置为获得客户机密。安全执行环境可以被配置为使用客户机密对加密的私钥进行解密以获得私钥。
在一个实施方式中,装置可以被配置为建立用于在安全执行环境与在装置上运行的软件应用程序之间传输客户机密的第一安全链路。
在一个实施方式中,安全执行环境可以被配置为经由第一安全链路向软件应用程序提供加密操作的结果。
在一个实施方式中,装置可以被配置为建立用于在网络存储设备与安全执行环境之间传输私钥的第二安全链路。
在一个实施方式中,安全执行环境可以被配置为创建包括私钥的非对称密钥对。安全执行环境可以被配置为临时存储所创建的私钥,直到将其存储在网络存储设备中。装置可以被配置为将所创建的私钥传输到网络存储设备以存储私钥。
在一个实施方式中,安全执行环境可以被配置为在传输到网络存储设备之前使用客户机密对私钥进行加密。
根据本公开的一个方面,提出了一种装置,其用于在具有上述一个或多个特征的用于非对称加密的系统中使用。装置可以与被配置为存储私钥的网络存储设备通信地连接。装置可以被配置为从网络存储设备中获取私钥,以在装置的安全执行环境中使用私钥执行加密操作。安全执行环境可以被配置为临时存储用于加密操作的私钥。例如,当已经完成了加密功能时,可以从存储器中删除私钥。
根据本公开的一个方面,提出了一种网络存储设备,其用于在具有上述一个或多个特征的用于非对称加密的系统中使用。网络存储设备可以与装置通信地连接。网络存储设备可以被配置为存储私钥。网络存储设备还可以被配置为传输用于使用私钥进行加密操作的装置的安全执行环境。
根据本公开的一个方面,提出了一种计算机实现的方法,其用于在具有上述一个或多个特征的系统中进行非对称加密。系统可以包括装置和网络存储设备。装置可以与网络存储设备通信地连接。网络存储设备可以被配置为存储私钥。方法可以包括在装置中从网络存储设备中获取私钥以在装置的安全执行环境中使用私钥执行加密操作。方法还可以包括在安全执行环境中临时存储私钥以用于加密操作。例如,当已经完成了加密功能时,可以从存储器中删除私钥。
在一个实施方式中,可以将私钥作为加密的私钥存储在网络存储设备中,其中加密的私钥包括使用客户机密加密的私钥。方法可以包括在装置中从网络存储设备中获取加密的私钥。方法还可以包括在装置中获得客户机密。方法还可以包括在安全执行环境中使用客户机密对加密的私钥进行解密以获得私钥。
在一个实施方式中,方法还可以包括在装置中建立第一安全链路,用于:在安全执行环境与在装置上运行的软件应用程序之间传输客户机密,和/或从安全执行环境向软件应用程序提供加密操作的结果。
在一个实施方式中,方法还可以包括建立用于在网络存储设备与安全执行环境之间传输私钥的第二安全链路。
在一个实施方式中,方法还可以包括在安全执行环境中创建包括私钥的非对称密钥对。方法还可以包括在安全执行环境中临时存储所创建的私钥,直到将其存储在网络存储设备中。方法还可以包括:将所创建的私钥从装置传输到网络存储设备以存储私钥。
在一个实施方式中,方法还可以包括在传输到网络存储设备之前,在安全执行环境中使用客户机密对私钥进行加密。
有利地,本公开防止了个人机密数据的丢失。实际上,装置的安全执行环境(例如TPM、智能卡、作为iOS/Android密钥库的安全文件系统、可信执行环境等)可能在不泄露私钥的情况下丢失或被盗。此外,由于在安全执行环境中没有存储私钥,因此可以在不需要撤消或全面安装的情况下以相对较低的迁移成本替换安全执行环境。在安全执行环境中没有存储任何加密密钥(例如私钥)的情况下,有利地可以将相同的安全执行环境(例如,令牌)提供给多个或所有用户。
有利地,关于私钥保密性,可以实现为云存储服务(CSS)的网络存储设备不需要直接访问私钥值,确保私钥保密性。保护私钥的加密资产无需由云服务进行管理。
有利地,安全执行环境可以被标准化并且对于任何使用都是相同的。不需要任何安全执行环境特定的数据,例如存储在安全执行环境中的私钥。
有利地,安全执行环境的证明过程可以不太复杂:无需将任何私钥存储在安全执行环境上,因此不需要安全存储管理证明。
有利地,由于网络存储设备可以可靠地捕获任何密钥访问和使用,因此利用本公开使可靠的密钥使用监视分析成为了可能。
在下文中,将更详细地描述本公开的实施方式。然而,应当理解,这些实施方式不可被解释为限制本公开的保护范围。
附图说明
现在将仅通过举例的方式参照所附的示意图来描述实施方式,在附图中,对应的附图标记表示对应的部分,并且在附图中:
图1示出了示例性实施方式的系统;
图2示出了示例性私钥创建方法的时序图;
图3示出了示例性私钥使用方法的时序图;以及
图4示出了计算装置的一种实现方式的框图。
这些附图仅是出于说明的目的,并不用作对权利要求书所规定的范围或保护的限制。
具体实施方式
与通常将私钥存储在装置的安全执行环境(SEE)中的已知方案不同,在本公开中,网络存储设备可以通过将私钥存储在网络存储设备中并在需要时向装置的SEE提供所需的密钥来参与私钥操作。这样,SEE可以在不永久地存储私钥的情况下用于保护私钥操作处理。
SEE的例子是TPM、智能卡、安全文件系统(例如iOS/Android密钥存储库)、可信执行环境(TEE)、SIM、eSIM、非接触式安全令牌等。SEE可以以硬件和/或软件来实现,并且可以被嵌入装置中,可拆卸地连接至装置或可通信地连接至装置。
网络存储设备可以是经由数据网络(例如,局域网(LAN)、广域网(WAN)、互联网或它们的组合)能够访问的计算机数据存储服务器。网络存储设备可以在云计算环境中实现,例如被实现为云存储服务(CSS)。
通过基于客户个人资产施加保护,可以将私钥安全地存储在网络存储设备中。例如可以使用对装置的终端用户已知的客户机密来加密私钥。然后将加密的私钥存储在网络存储设备中。
图1示出了示例性实施方式的系统1。示出了可以由终端用户或客户20操作的客户装置10。装置10可以是具有数据连接可能性的任何装置,并且通常是智能电话、平板设备、笔记本设备和任何其他便携式数据通信装置中的一种。在该装置上,可以安装或可安装任何应用程序11。应用程序11可以具有FIDO遵从性,或者已经嵌入了用于涉及到加密私钥操作的安全数据操作的专有软件开发工具包(SDK)。应用程序11通常与用户20和/或所需的服务进行交互。SEE 12被配置为主要仅临时存储诸如私钥的加密密钥。SEE 12优选在不存储密钥的情况下对密钥执行加密操作。优选被实现为云存储存储器或云存储服务的网络存储设备30可以存储私钥。优选地,存储用客户机密(例如,用户20的通行码(passphrase)或指纹)保护的私钥。密钥的受保护的存储确保了在网络存储设备30泄露的情况下,无法获得和使用密钥。
在图1的系统1中,例如,客户20可能想要访问网络服务并且在云存储存储器30中拥有云存储服务(CSS)帐户。客户20可以将资产例如定义为对与应用程序11一起使用的应用程序私钥进行保护的指纹、特定凭证(例如通行码或个人识别号码)、账户凭证等。应用程序11可以是操作由客户20访问的网络或本地服务并需要私钥操作的任何应用程序。
客户的装置10可以是不可信装置。装置10通常托管并执行应用程序11。装置10优选与SEE 12建立本地安全通信通道。
SEE可以执行并保护私钥操作。SEE优选不存储客户私钥和/或公钥。可以向SEE提供相关密钥以执行相关联的加密方案,从而与云存储服务30建立安全连接通道。可以将SEE关于具有相关安全性的任何形式因素进行部署,例如作为智能卡、无线安全令牌、TPM、可信执行环境等。
云存储服务(CSS)30可以托管具有相关私钥的客户账户。可以利用使用例如特定凭证、帐户凭证、指纹等客户资产的加密方案来保护私钥。可以利用任何特定的云保护功能对CSS私钥存储进行过度保护。CSS 30可以保存用于与SEE建立安全连接通道的相关服务密钥。SEE 12可以通过直接连接(例如,经由TEE IP接口或使用IoT网络(如果在SEE 12上可用))连接至CSS 30,或者通过装置代理间接地连接至CSS 30。
图2和图3示出了示例性实施方式中的用于操作私钥的示例性工作流。竖线表示图1的系统1的部件。黑点表示部件上的操作。箭头指示部件之间的数据交换。
图2示出了用于创建私钥的以下示例性步骤。在步骤101中,应用程序11在装置10中触发密钥配对操作。在步骤102中,在装置10与SEE 12之间协商用于安全链路的装置令牌。在步骤103中,在SEE 12与云服务器30之间协商用于安全链路的云令牌。在步骤104中,向用户20请求诸如口令、个人识别号码、通行码、指纹等机密和/或用户帐户信息。如果SEE具有输入能力,则可以直接在SEE 12上提供客户机密。通常,客户机密由用户20经由装置10提供。在步骤105中,装置10将对私钥创建的请求连同所提供的客户机密和/或用户帐户信息一起发送到SEE 12。在步骤106,在SEE 12中创建密钥对。在步骤107中,将通常为证明形式的私钥和公钥传输到云服务器30上的帐户。在步骤108中,使用对私钥进行加密的客户机密将私钥安全地存储在云存储存储器30中。可以通过在云服务器30中应用进一步的本地保护来过度保护该存储,这可能取决于用户账户。在步骤109中,遗忘密钥对,尤其是遗忘私钥,即,将其从SEE 12中的临时存储器中去除。
图3示出了用于使用私钥的以下示例性步骤。在步骤201中,应用程序11需要在装置10中的私钥操作。在步骤202中,在装置10与SEE 12之间协商用于安全链路的装置令牌。在步骤203中,在SEE 12与云服务器30之间协商用于安全链路的云令牌。在步骤104中,向用户20请求诸如口令、个人识别号码、通行码、指纹等机密和/或用户帐户信息。如果SEE具有输入能力,则可以直接在SEE 12上提供客户机密。通常,客户机密由用户20经由装置10提供。在步骤205中,装置10将对私钥操作的请求连同所提供的客户机密和/或用户帐户信息一起发送到SEE 12。在步骤206中,SEE 12从云服务器30请求私钥和公钥。在步骤207中,在云服务器30中从私钥中去除本地过度保护。在步骤208,在SEE 12中接收私钥,并且在SEE12中处理私钥操作。在步骤209中,将操作结果通常连同公钥或证明一起从SEE 12传输到装置10以供在应用程序11中使用。在步骤210中,遗忘密钥对,尤其是遗忘私钥,即,将其从SEE12中的临时存储器中去除。
因此,在图2和图3的例子中,可以在SEE 12上安全地创建密钥对并将其提供给CSS30。可以在SEE 12内通过用户资产对私钥进行保护,并通过CSS-SEE安全通道将其发送到CSS 30。在该例子中,不在SEE 12上存储私钥,并且CSS 30不能对私钥进行解密。CSS-SEE安全通道防止了数据交换被窃听。
在图2和图3的例子中,操作私钥涉及到通过CSS-SEE安全通道将受保护的私钥从CSS 30获取到SEE 12,在SEE 12中利用来自用户20提供的客户资产在本地解除对私钥的保护,并在SEE 12中在本地执行私钥操作。在该例子中,SEE加密方案确保了没有残留数据,从而在操作完成之后私钥不再存在于SEE 12上。
CSS-SEE安全通道的安全通道机制可以依赖于稳健和标准化的协议。CSS-SEE安全通道可以实现专有协议。CSS-SEE安全通道可以基于硬件强制特征。
用户认证可以与任何高级访问控制策略管理系统(例如具有可选限制的多因素的委托等)结合。
图4示出了计算装置300的一个实现方式的框图,在该实现方式内可以执行用于使计算装置执行本文所讨论的任何一个或多个方法的一组指令。计算装置300可以用于图1所示的系统的部件。
在替代实现方式中,计算装置可以与局域网(LAN)、内联网、外联网或互联网中的其他机器连接(例如,联网)。计算装置可以在客户端服务器网络环境中以服务器或客户端计算机的能力进行操作,或者在对等(或分布式)网络环境中作为对等机进行操作。
计算装置可以是个人计算机(PC)、平板计算机、机顶盒(STB)、可穿戴计算设备、个人数字助理(PDA)、蜂窝电话、网络装置、服务器、网络路由器、交换机或桥接器或能够执行一组指令(顺序指令或其他指令)的机器,这些指令指定了该机器要执行的动作。此外,虽然仅示出的是单个计算装置,但是术语“计算装置”也应被认为包括单独地或联合地执行一组(或多组)指令以执行本文讨论的任何一个或多个方法的机器(例如,计算机)的任何集合。
示例计算装置300包括通过总线330彼此通信的处理装置302、主存储器304(例如,只读存储器(ROM)、闪速存储器、诸如同步DRAM(SDRAM)或Rambus DRAM(RDRAM)等动态随机存取存储器(DRAM)、静态存储器306(例如,闪速存储器、静态随机存取存储器(SRAM)等)和辅助存储器(例如,数据存储装置318)。
处理装置302表示一个或多个通用处理器,例如微处理器、中央处理单元等。更特别地,处理装置302可以是复杂指令集计算(CISC)微处理器、精简指令集计算(RISC)微处理器、超长指令字(VLIW)微处理器、实现其他指令集的处理器或实现指令集组合的处理器。处理装置302也可以是一个或多个专用处理装置,例如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、网络处理器等。处理装置302被配置为执行用于执行本文所讨论的操作和步骤的处理逻辑(指令322)。
计算装置300还可以包括网络接口装置308。计算装置300还可以包括视频显示单元310(例如,液晶显示器(LCD)或阴极射线管(CRT))、字母数字输入装置312(例如,键盘或触摸屏)、光标控制装置314(例如,鼠标或触摸屏)和音频装置316(例如,扬声器)。
数据存储装置318可以包括一个或多个机器可读存储介质(或更具体地,一个或多个非瞬态计算机可读存储介质328),在其上存储了体现本文所述的任何一个或多个方法或功能的一组或多组指令322。在计算装置300执行指令322的过程中,指令322也可以全部或至少部分地驻留在主存储器304内和/或处理装置302内,主存储器304和处理装置302也构成计算机可读存储介质。
上述各种方法可以由计算机程序实现。该计算机程序可以包括被布置为指示计算机执行上述各种方法中的一种或多种方法的功能的计算机代码。可以在一个或多个计算机可读介质或更一般地在计算机程序产品上将用于执行这样的方法的计算机程序和/或代码提供给诸如计算机的装置。计算机可读介质可以是瞬态的或非瞬态的。一个或多个计算机可读介质例如可以是电子、磁性、光学、电磁、红外或半导体系统,或者是用于数据传输的传播介质,例如用于通过互联网下载代码。替代地,一个或多个计算机可读介质可以采取一种或多种物理计算机可读介质的形式,例如半导体或固态存储器、磁带、可移动计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性磁盘和光盘,例如CD-ROM、CD-R/W或DVD。
在一个实施方式中,本文中描述的模块、组件和其他特征(例如,关于图4的控制单元310)可以被实现为分立组件或者被集成在诸如ASICS、FPGA、DSP或类似装置的硬件组件的功能中作为个性化服务器的一部分。
“硬件组件”是能够执行某些操作的有形(例如,非瞬态)物理组件(例如,一个或多个处理器的集合),并且可以通过某种物理方式进行配置或布置。硬件组件可以包括永久配置为执行某些操作的专用电路或逻辑。硬件组件可以是或包括专用处理器,例如现场可编程门阵列(FPGA)或ASIC。硬件组件还可以包括由软件临时配置为执行某些操作的可编程逻辑或电路。
因此,措辞“硬件组件”应被理解为包括可以被物理构造,被永久配置(例如,硬接线)或被临时配置(例如,编程)为以某种方式操作或执行本文所讨论的某些操作的有形实体。
另外,模块和组件可以被实现为硬件装置内的固件或功能电路。此外,模块和组件可以以硬件装置和软件组件的任何组合或者仅以软件(例如,存储或以其他方式体现在机器可读介质或传输介质中的代码)来实现。
由于用网络存储设备代替了安全环境中的私钥的存储存储器,并且仅使安全执行环境用于保护私钥操作处理,因此可以防止个人数据和机密数据的丢失。私钥被存储在云中,然后仅使用终端用户的个人资产进行保护。任何安全执行环境、安全文件系统等都可能会丢失或被盗,而不会有任何相关的终端用户和系统问题。仅需要新的SEE,而无需撤销、安装或迁移成本。私钥的保密性不会受到损害:CSS不能直接访问私钥值,确保保密性,这意味着保护私钥的加密资产不由云服务管理。
Claims (21)
1.一种系统(1),其包括:
与网络存储设备(30)通信地连接的装置(10),其中所述网络存储设备被配置为存储加密的私钥,所述加密的私钥包括已经使用客户机密进行了加密的私钥,
其中所述装置包括:
一个或多个处理器;以及
所述一个或多个处理器能够访问的存储器,所述存储器存储指令,所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行以下操作:
从所述网络存储设备中获取所述加密的私钥;
获得客户机密;
使用所述客户机密对所述加密的私钥进行解密以获得所述私钥;
临时存储所述私钥以用于加密操作;
使用所述私钥执行所述加密操作;以及
提供所述加密操作的结果。
2.根据权利要求1所述的系统,其中所述装置包括安全执行环境,并且其中所述安全执行环境被配置为:
使用所述客户机密对所述加密的私钥进行解密以获得所述私钥;
临时存储所述私钥以用于所述加密操作;以及使用所述私钥执行所述加密操作。
3.根据权利要求2所述的系统,其中所述指令在由所述一个或多个处理器执行时还使所述一个或多个处理器执行以下操作:
在所述装置的安全执行环境与在所述装置上执行的应用程序之间配置第一安全链路;以及
经由所述第一安全链路获得所述客户机密,
并且其中所述安全执行环境被配置为经由所述第一安全链路向所述应用程序提供所述加密操作的结果。
4.根据权利要求2所述的系统,其中所述指令在由所述一个或多个处理器执行时还使所述一个或多个处理器执行以下操作:
配置用于在所述网络存储设备与所述装置之间传输所述加密的私钥的第二安全链路。
5.根据权利要求4所述的系统,其中所述安全执行环境还被配置为:
创建包括所述私钥的非对称密钥对;
临时存储所创建的私钥,直到将其存储在所述网络存储设备中;以及
在传输到所述网络存储设备之前,使用所述客户机密对所述私钥进行加密,
并且其中所述装置还被配置为:
将所述加密的私钥传输到所述网络存储设备。
6.一种装置(10),其包括:
一个或多个处理器;以及
所述一个或多个处理器能够访问的存储器,所述存储器存储指令,所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行以下操作:
从网络存储设备中获取加密的私钥;
获得客户机密;
使用所述客户机密对所述加密的私钥进行解密以获得所述私钥;
临时存储所述私钥以用于加密操作;
使用所述私钥执行所述加密操作;以及
提供所述加密操作的结果。
7.根据权利要求6所述的装置,其中所述装置包括安全执行环境,并且其中所述安全执行环境被配置为:
使用所述客户机密对所述加密的私钥进行解密以获得所述私钥;
临时存储所述私钥以用于所述加密操作;以及
使用所述私钥执行所述加密操作。
8.根据权利要求7所述的装置,其中所述指令在由所述一个或多个处理器执行时还使所述一个或多个处理器执行以下操作:
在所述装置的安全执行环境与在所述装置上执行的应用程序之间配置第一安全链路;以及
经由所述第一安全链路获得所述客户机密,
并且其中所述安全执行环境被配置为经由所述第一安全链路向所述应用程序提供所述加密操作的结果。
9.一种计算机实现的方法,其包括:
将加密的私钥存储在网络存储设备中,所述加密的私钥包括已经使用客户机密进行了加密的私钥;
在装置中从所述网络存储设备中获取所述加密的私钥;
在所述装置中使用所述客户机密对所述加密的私钥进行解密以获得所述私钥;
在所述装置中临时存储所述私钥以用于加密操作;
在所述装置中使用所述私钥执行所述加密操作;以及
提供所述加密操作的结果。
10.根据权利要求9所述的方法,其中所述解密、所述临时存储和所述结果的提供由所述装置的安全执行环境执行。
11.根据权利要求10所述的方法,其还包括:
在所述装置的安全执行环境与在所述装置上执行的应用程序之间配置第一安全链路;以及
在所述安全执行环境中经由所述第一安全链路获得所述客户机密,
并且其中经由所述第一安全链路向所述应用程序提供所述加密操作的结果。
12.根据权利要求9所述的方法,其还包括:
配置用于在所述网络存储设备与所述安全执行环境之间传输所述私钥的第二安全链路。
13.根据权利要求10所述的方法,其还包括:
在所述安全执行环境中创建包括所述私钥的非对称密钥对;
在所述安全执行环境中临时存储所创建的私钥,直到将其存储在所述网络存储设备中;
在传输到所述网络存储设备之前,在所述安全执行环境中使用所述客户机密对所述私钥进行加密;以及
将所述加密的私钥从所述装置传输到所述网络存储设备。
14.一种计算机实现的方法,其包括:
在装置中从网络存储设备中获取加密的私钥;
在所述装置中获得客户机密;
在所述装置中使用所述客户机密对所述加密的私钥进行解密以获得所述私钥;
在所述装置中临时存储所述私钥以用于加密操作;
在所述装置中使用所述私钥执行所述加密操作;以及
提供所述加密操作的结果。
15.根据权利要求14所述的方法,其中所述解密、所述临时存储和所述结果的提供由所述装置的安全执行环境执行。
16.根据权利要求15所述的方法,其还包括:
在所述装置的安全执行环境与在所述装置上执行的应用程序之间配置第一安全链路;以及
在所述安全执行环境中经由所述第一安全链路获得所述客户机密,
并且其中经由所述第一安全链路向所述应用程序提供所述加密操作的结果。
17.根据权利要求15所述的方法,其还包括:
在所述安全执行环境中创建包括所述私钥的非对称密钥对;
在所述安全执行环境中临时存储所创建的私钥,直到将其存储在所述网络存储设备中;
在传输到所述网络存储设备之前,在所述安全执行环境中使用所述客户机密对所述私钥进行加密;以及
将所述加密的私钥从所述装置传输到所述网络存储设备。
18.一种计算机程序产品,其在计算机可读非瞬态存储介质上实现,所述计算机程序产品包括计算机可执行指令,所述计算机可执行指令在由处理器执行时使所述处理器进行根据权利要求9所述的方法的步骤。
19.一种计算机程序产品,其在计算机可读非瞬态存储介质上实现,所述计算机程序产品包括计算机可执行指令,所述计算机可执行指令在由处理器执行时使所述处理器进行根据权利要求14所述的方法的步骤。
20.一种计算机可读的非瞬态存储介质,其包括计算机可执行指令,所述计算机可执行指令在由处理器执行时使所述处理器进行根据权利要求9所述的方法的步骤。
21.一种计算机可读的非瞬态存储介质,其包括计算机可执行指令,所述计算机可执行指令在由处理器执行时使所述处理器进行根据权利要求14所述的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18208108.3 | 2018-11-23 | ||
| EP18208108.3A EP3657751A1 (en) | 2018-11-23 | 2018-11-23 | Private key cloud storage |
| PCT/EP2019/082309 WO2020104686A1 (en) | 2018-11-23 | 2019-11-22 | Private key cloud storage |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113261254A true CN113261254A (zh) | 2021-08-13 |
Family
ID=64476944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980076757.XA Withdrawn CN113261254A (zh) | 2018-11-23 | 2019-11-22 | 私钥云存储 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220014358A1 (zh) |
| EP (2) | EP3657751A1 (zh) |
| KR (1) | KR20210090635A (zh) |
| CN (1) | CN113261254A (zh) |
| WO (1) | WO2020104686A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220103358A1 (en) * | 2021-12-08 | 2022-03-31 | Intel Corporation | Cloud key access mechanism |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101470789A (zh) * | 2007-12-28 | 2009-07-01 | 中国长城计算机深圳股份有限公司 | 一种计算机的加解密方法及装置 |
| US20120173885A1 (en) * | 2010-12-30 | 2012-07-05 | Microsoft Corporation | Key management using trusted platform modules |
| US20140050317A1 (en) * | 2012-08-16 | 2014-02-20 | Digicert, Inc. | Cloud Key Management System |
| US20160048694A1 (en) * | 2014-08-18 | 2016-02-18 | Dell Products, Lp | System and Method for Secure Transport of Data from an Operating System to a Pre-operating System Environment |
| US20180091487A1 (en) * | 2016-09-23 | 2018-03-29 | Synology Incorporated | Electronic device, server and communication system for securely transmitting information |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102530888B1 (ko) * | 2015-09-01 | 2023-05-11 | 삼성전자주식회사 | 결제 거래를 수행하는 방법 및 장치 |
| US10972265B2 (en) * | 2017-01-26 | 2021-04-06 | Microsoft Technology Licensing, Llc | Addressing a trusted execution environment |
| US10938560B2 (en) * | 2017-06-21 | 2021-03-02 | Microsoft Technology Licensing, Llc | Authorization key escrow |
| US10157290B1 (en) * | 2017-10-11 | 2018-12-18 | Symantec Corporation | Systems and methods for encrypting files |
-
2018
- 2018-11-23 EP EP18208108.3A patent/EP3657751A1/en not_active Withdrawn
-
2019
- 2019-11-22 EP EP19808803.1A patent/EP3884638A1/en active Pending
- 2019-11-22 US US17/295,049 patent/US20220014358A1/en active Pending
- 2019-11-22 WO PCT/EP2019/082309 patent/WO2020104686A1/en unknown
- 2019-11-22 CN CN201980076757.XA patent/CN113261254A/zh not_active Withdrawn
- 2019-11-22 KR KR1020217014969A patent/KR20210090635A/ko active Search and Examination
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101470789A (zh) * | 2007-12-28 | 2009-07-01 | 中国长城计算机深圳股份有限公司 | 一种计算机的加解密方法及装置 |
| US20120173885A1 (en) * | 2010-12-30 | 2012-07-05 | Microsoft Corporation | Key management using trusted platform modules |
| US20140050317A1 (en) * | 2012-08-16 | 2014-02-20 | Digicert, Inc. | Cloud Key Management System |
| US20160048694A1 (en) * | 2014-08-18 | 2016-02-18 | Dell Products, Lp | System and Method for Secure Transport of Data from an Operating System to a Pre-operating System Environment |
| US20180091487A1 (en) * | 2016-09-23 | 2018-03-29 | Synology Incorporated | Electronic device, server and communication system for securely transmitting information |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3657751A1 (en) | 2020-05-27 |
| WO2020104686A1 (en) | 2020-05-28 |
| US20220014358A1 (en) | 2022-01-13 |
| KR20210090635A (ko) | 2021-07-20 |
| EP3884638A1 (en) | 2021-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7257561B2 (ja) | コンピュータに実装される方法、ホストコンピュータ、コンピュータ読み取り可能な媒体 | |
| EP3255832B1 (en) | Dynamic encryption method, terminal and server | |
| CN110334503B (zh) | 利用一个设备解锁另一个设备的方法 | |
| US9813247B2 (en) | Authenticator device facilitating file security | |
| JP6335280B2 (ja) | 企業システムにおけるユーザおよびデバイスの認証 | |
| US10194318B2 (en) | Systems and methods for NFC access control in a secure element centric NFC architecture | |
| EP2905925B1 (en) | System and method for remote access, Remote digital signature | |
| US9992029B1 (en) | Systems and methods for providing authentication to a plurality of devices | |
| US9563764B2 (en) | Method and apparatus for performing authentication between applications | |
| KR102381153B1 (ko) | 신원 정보에 기초한 암호화 키 관리 | |
| US10523652B2 (en) | Secure identity sharing using a wearable device | |
| CN113474774A (zh) | 用于认可新验证器的系统和方法 | |
| US20190108506A1 (en) | Terminal for conducting electronic transactions | |
| US20110167263A1 (en) | Wireless connections to a wireless access point | |
| KR20140126787A (ko) | PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법 | |
| KR20160097323A (ko) | Nfc 인증 메커니즘 | |
| EP3782062B1 (en) | Password reset for multi-domain environment | |
| EP4035333A1 (en) | Non-custodial tool for building decentralized computer applications | |
| JP6476167B2 (ja) | 自己認証デバイス及び自己認証方法 | |
| US10541994B2 (en) | Time based local authentication in an information handling system utilizing asymmetric cryptography | |
| CN108768941B (zh) | 一种远程解锁安全设备的方法及装置 | |
| US20170026385A1 (en) | Method and system for proximity-based access control | |
| CN110431803B (zh) | 基于身份信息管理加密密钥 | |
| JP2018524825A (ja) | 無欠性及び保安性が強化された使用者認証方法 | |
| CN113261254A (zh) | 私钥云存储 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210813 |