TWI431501B - 在usb訊標上的密碼鍵容器 - Google Patents
在usb訊標上的密碼鍵容器 Download PDFInfo
- Publication number
- TWI431501B TWI431501B TW097100853A TW97100853A TWI431501B TW I431501 B TWI431501 B TW I431501B TW 097100853 A TW097100853 A TW 097100853A TW 97100853 A TW97100853 A TW 97100853A TW I431501 B TWI431501 B TW I431501B
- Authority
- TW
- Taiwan
- Prior art keywords
- storage device
- usb compatible
- cryptographic key
- key
- compatible storage
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Lock And Its Accessories (AREA)
Description
本發明係關於電腦處理,尤其係關於計算安全技術。
透過密碼來保護資料並不普遍。一般來說,密碼金鑰被用來加密以及解密資料。因為該密碼金鑰提供保護資料及提供對該保護資料之存取的手段,該密碼金鑰也經保護。未保護的密碼資料將會開啟各種類型攻擊的大門,例如網站假冒(as web site spoofing)、仿製認證(impersonated authentications)以及偽造電子郵件(forged e-mails)。
企圖保護密碼金鑰之一方式為將他們儲存於一智慧卡上。然而,該方式之一問題為智慧卡需要一實作於處理器上之專屬基礎架構來讓該智慧卡可進行通信。一般上,此基礎架構係實作於該處理器之作業系統中,且因此需要相當大的努力及時間來實作。再者,智慧卡需要在一智慧卡讀取器之形式中額外的硬體,這將造成使體積更為龐大且製作變的昂貴。
另一企圖保護密碼金鑰之方式為將他們儲存於該處理器中之經保護容器內。一般上,對金鑰的存取是經密碼保護的。而使用此方式的問題係為密碼保護一般被視為較弱。一獲取對該處理器之存取的攻擊者能夠透過密碼破解器或類似者之使用而來判斷該密碼並且獲取對儲存在該容
器中之密碼金鑰的存取。
此內容說明係用來介紹在一簡化型式中選出的觀念,其在以下的例示性具體實施例的實施方式中會進一步說明。此摘要內容說明並非要提出所主張之標的之關鍵特徵或基本特徵,也並非要做為限制所主張之標的之範疇。
金鑰係經儲存於通用序列匯流排(USB)相容儲存裝置中。USB相容儲存裝置不需要一實作於該處理器之作業系統中之專屬基礎架構來使該USB相容儲存裝置將可進行通信。USB相容儲存裝置不需要特定的讀取器。金鑰儲存係自一在處理器中之容器經重新導引至一USB相容儲存裝置。因此,該USB相容儲存裝置係為一安全符記以供儲存密碼金鑰。在一範例具體實施例中,對在USB相容儲存裝置上之金鑰的存取可透過一安全執行環境而達成。對在USB相容儲存裝置上之金鑰的存取不需要一密碼。
密碼金鑰容器係實作於一通用序列匯流排(USB)相容儲存裝置上。該USB相容儲存裝置係經利用作為一安全符記。一處理器之一密碼子系統存取(例如讀取、寫入、儲存、擷取)在該USB相容儲存裝置上之容器的密碼金鑰。無專屬於該USB相容儲存裝置之基礎架構實作於處理器上來存取該USB相容儲存裝置上之密碼金鑰。在一範例
實施例中,能夠存取金鑰而無需一個人識別碼(PIN)、密碼、互動認證機制等等。在USB相容儲存裝置上之密碼金鑰容器提供可攜性,因此提供了一便利的機制以供攜帶該密碼金鑰。在該USB相容儲存裝置上之密碼金鑰容器透過該裝置之物理性擁有而提供安全。存取及處理於一經保護處理中之該USB相容儲存裝置上的密碼金鑰提供了即時安全。
第1圖為存取一USB符記上之一密碼金鑰容器之範例性處理的流程圖。在步驟12,接收存取一密碼金鑰之指示。在一範例實施例中,在一處理器接收該指示,藉此一使用者及/或研發者進行互動。該指示能夠為產生一密碼金鑰、儲存一密碼金鑰、讀取一密碼金鑰、或以上之組合的一結果。一USB符記係經搜尋於步驟14。也就是說,針對一具有一密碼金鑰容器儲存於其上之USB相容儲存裝置進行一搜尋。如果一USB符記經發現於步驟16,在步驟18存取儲存於其上之該容器,並且在步驟20存取儲存於其中該密碼金鑰(或金鑰)。
在步驟16如果沒發現USB符記,在步驟22提供一促動。該促動能夠為任何適當之促動(例如插入一USB裝置之指示等等)。一使用者/研發者能夠按基於該使用者/研發者是否較偏好於利用於一USB相容儲存裝置上之一密碼金鑰容器或利用儲存在該處理器之一密碼金鑰容器的各種方式回應該促動。例如,如果該使用者/研發者偏好利用在USB相容儲存裝置上之一密碼金鑰容器,該使用者/研發者
能夠插入一USB相容儲存裝置。該插入將由該處理器偵測。另者,該使用者/研發者能夠經由按壓該鍵盤上之「Enter」鍵、點壓一滑鼠等等來提供一利用一在處理器中之密碼金鑰容器的指示而非在一USB相容儲存裝置上之一密碼金鑰容器。
在步驟24,決定一USB裝置是否已經耦合至該處理器。如果一USB相容儲存裝置已經耦合至該處理以回應插入一USB裝置之促動,在步驟18存取儲存於其中之容器,且儲存於其中之該密碼金鑰(或金鑰)經存取於步驟20。如果一USB相容儲存裝置非已經耦合至該處理器,該在處理器中之容器在步驟26中經存取,且在步驟20存取儲存於其中之該密碼金鑰(或金鑰)。
在一範例組態中,該處理器透過一密碼程式介面(例如微軟之相容密碼應用程式介面(CAPI)、VISTA之相容密碼次產生(cryptographic next generation-CNG))與該USB相容儲存裝置進行通信。當接收存取一密碼金鑰之指示(例如步驟12),該密碼程式介面(例如CAPI、CNG)經由搜尋USB相容儲存裝置之一索引來搜尋該密碼金鑰容器以搜尋該金鑰。如果該密碼金鑰未發現於儲存在該處理器上之容器上作為該使用者/研發者設定檔(profile)之部分以供讀取或刪除存取,該密碼程式介面也將搜尋耦合至該處理器之USB相容儲存裝置上的路徑。
一密碼金鑰之預設產生能夠利用一在一USB相容儲存裝置上之密碼金鑰容器,或密碼金鑰之產生能夠為使用
者特定。因此,在一範例實施中,一密碼金鑰之產生係基於一登錄值。該登錄值係指示一金鑰將如何被產生。因此,根據該登錄值,該密碼程式介面將產生一僅在一特定USB相容儲存裝置、僅在該處理器中、或在一由該使用者/研發者所特定之一位置上之新的密碼金鑰。任何適當的值能夠被用來指示金鑰產生方法。
在範例具體實施中,在一經保護的執行環境內存取密碼金鑰。一經保護的執行環境基本上隔離該處理器之密碼子系統。該經保護的執行環境提供在該密碼金鑰及該作業系統之間的隔離。該經保護的執行環境也提供該密碼金鑰及執行在該處理器上之各應用程式之間的隔離。因此,經由加入該密碼金鑰及惡意軟體及/或攻擊間之保護的另一層級而透過該經保護的執行環境存取密碼金鑰提供了額外的安全。在一範例實施例中,該使用者應用程式不具有對該USB符記上之金鑰的直接存取,但透過一本地RPC(遠端處理呼叫)傳送密碼請求至一保護密碼處理。代表該經保護密碼處理中之使用者應用程式,該密碼處理針對該使用者應用程式之所請求之操作(針對例如簽名產生等等之一密碼操作的讀取、產生、使用)存取USB符記。該USB符記上之密碼金鑰之無秘密部分係可獲用於該經保護密碼處理之外,因此經由限制僅對該經保護密碼處理的存取自使用者處理隔離對該秘密密碼金鑰的存取。在一範例組態中,為了避免對該USB符記之未經期望的直接存取,該作業系統阻擋使用者處理存取該USB符記。
第2圖為實施一USB相容儲存裝置52上之USB符記的一密碼金鑰容器之範例性處理器30之圖式。該處理器30包含一處理部份32、一記憶體部分34、及一輸入/輸出部份36。該處理器30包含無基礎架構專屬於該USB相容儲存裝置52。該處理部份32、記憶體部分34、及輸入/輸出部份36係彼此耦接(耦接未示於第2圖)來允許在他們之間的通信。該輸入/輸出部份36能夠提供及/或接受用於實施如上所述之一USB符記上的一密碼金鑰容器的各部件。例如,該輸入/輸出部份36能夠與該USB相容儲存裝置52進行通信。該輸入/輸出部份36能夠接受來自該USB相容儲存裝置52之一密碼金鑰、提供一密碼金鑰至該USB相容儲存裝置52、或以上之組合。
處理器30代表任何適當種類的處理器,或可與USB相容儲存裝置52使用。處理器30可代表一單一處理器或多重處理器。多重處理器可分散或集中配置。處理器30可代表一攜帶式裝置或多種裝置,例如像是一攜帶式媒體播放器,例如一攜帶式音樂播放器,像是MP3播放器及隨身聽等,一攜帶式運算裝置,像是膝上型電腦、個人數位助理(PDA, "Personal digital assistant")、攜帶式電話、像是行動電話等,一智慧型電話、一視訊電話、一攜帶式email裝置、薄型客戶端、攜帶式遊戲裝置等、或其組合。
該USB相容儲存裝置52可代表該(等)USB相容儲存裝置之類型。例如,該USB相容儲存裝置52能夠包含一快閃記憶體裝置、一碟儲存裝置、一資料庫或以上組合。
USB相容儲存裝置能夠包含各種類型之功能。例如,一特定USB相容儲存裝置能夠僅提供唯讀支援,並且不允許產生(寫入)新的金鑰以及刪除現存金鑰。在這樣的案例中,該密碼架構將僅能夠讀取該些金鑰且使用該些金鑰於加密的操作中,然而並不能夠改變該USB相容儲存裝置內容的內容。在這樣的情勢下,此類型之USB相容儲存裝置能夠製造於工廠且不能於之後被修改。
該處理部份32能夠施行一如上所述之一USB符記上之密碼金鑰容器。例如,該處理部份32能夠建立一容器於該USB相容儲存裝置52上以供儲存密碼金鑰、搜尋USB符記、接收對一密碼金鑰之存取的一指示、提供一促動、決定一USB符記是否經耦合至該處理器30、存取儲存在該USB相容儲存裝置52上之金鑰、建立一保護的執行環境、維持一保護的執行環境、或以上之組合。
該處理器30能夠實施為一客戶端處理器及/或一伺服處理器。在一基本組態中,該處理器30能夠包含至少一處理部份32以及記憶體部分34。該記憶體部分34能夠儲存利用於結合一USB符記上之一密碼金鑰容器的任何資訊,例如一密碼金鑰及/或一密碼金鑰的密碼雜湊。基於該精確組態及處理器類型,該記憶體部分34能夠為揮發性(例如RAM)38、非揮發性(例如ROM、快閃記憶體等等)40、或以上之組合。該處理器30能夠具有附加的特徵/功能性。例如,該處理器30能夠包含附加儲存(可抽取儲存42及/或非可抽取儲存44),其包含但不限於,磁性
或光學磁碟、磁帶、快閃、智慧卡或以上組合。電腦儲存媒體(例如記憶體部分34、38、40、42及44)包含非揮發性及揮發性、可抽取及非可抽取媒體,其按任何方法及技術儲存資訊(例如電腦可讀取指令、資料結構、程式模組或其他資料)。電腦儲存媒體包含(但不限於)隨機存取記憶體、唯讀記憶體、電子可抹除程式化唯讀記憶體、快閃記憶體或其他記憶體技術、CD-ROM、數位多功能磁碟(DVD)、或其他光學儲存、磁匣、磁帶、磁碟儲存或其他磁碟儲存裝置、通用序列匯流排相容記憶體、智慧卡、或任何其他能夠用於儲存期望資訊及能由處理器30所存取的媒體。任何這樣的電腦儲存媒體能夠為該處理器30之部分。
該處理器30能夠包含通信連接50以允許該處理器30與其他裝置進行通信。通信連接50係為通信媒體之一範例。通信媒體基本上包含了電腦可讀取指令、資料結構、程式模組或其它在一調變資料信號中的資料,例如載波或其它輸送機制,並包括任何資訊傳遞媒體。該術語「調變資料信號」代表一信號中其一或多項特性為利用方法設定或改變以在該信號中編碼資訊。藉由範例(而非限制),通信媒體包括有線媒體,像是有線網路或直接線路連線,以及無線媒體,像是聲波、RF、紅外線及其它無線媒體。該此中所使用之電腦可讀媒體包含儲存媒體及通信媒體兩者。該處理器30也能夠具有輸入裝置48,例如鍵盤、滑鼠、指示筆、聲音輸入裝置、觸碰輸入裝置等等。輸出裝
置48,例如顯示器、揚聲器、印表機等等也能夠被包含。
第3圖及以下的討論提供一適當的運算環境之簡短概略說明,其中可實施一USB符記上之一密碼金鑰容器。雖然並非需要,一USB符記上之一密碼金鑰容器之多種態樣可在電腦可執行指令之一般背景中描述,例如程式模組,其由一電腦執行,像是一客戶端工作站或一伺服器。概言之,程式模組包括例式、程式、物件、組件、資料結構及類似者,其可執行特殊工作或實施特定的摘要資料型態。此外,一遊戲軟體除錯者之多執行緒偵測的實施可利用其它電腦系統組態實現,其包括掌上型裝置、多處理器系統、應用微處理器或可程式化消費性電子產品、網路PC、迷你級電腦、主機型電腦及類似者。再者,一遊戲軟體除錯者之多執行緒偵測亦可實施在分散式運算環境中,其中工作係由透過一通訊網路鏈結的遠端處理裝置執行。在一分散式運算環境中,程式模組可以定位於本地及遠端記憶體儲存裝置兩者中。
一電腦系統可大致區分成三個組件群組:該硬體組件、該硬體/軟體介面系統組件、及該應用程式組件(亦稱之為“使用者組件”或“軟體組件”)。在一電腦系統之多種具體實施例中,除此之外該硬體組件可包含中央處理單元(CPU, "Central processing unit")321、記憶體(ROM 364及RAM 325)、基本輸入/輸出系統(BIOS, "Basic input/output system")366、及多種輸入/輸出(I/O, "input/output")裝置,例如鍵盤340、滑鼠342、監視器347、及/或印表機(未示
出)。該硬體組件包含該電腦系統的基本實體架構。
該應用程式組件包含多種軟體程式,包括(但不限於)編譯器、資料庫系統、文字處理器、商業程式、視訊遊戲等等。應用程式提供電腦資源用於解決問題之手段,提供解決方案,並處理多個使用者之資料(機器、其它電腦系統及/或末端使用者)。在一範例具體實施例中,應用程式執行相關於如前所述之一USB符記上之一密碼金鑰容器之各功能。
該硬體/軟體介面系統組件包含(及在一些具體實施例中可唯一包含)一作業系統,其本身在大部份案例中包含一外殼及一核心。一“作業系統”(OS)為一特殊程式,其在應用程式與電腦硬體之間做為一中介。該硬體/軟體介面系統組件亦可包含一虛擬機器管理員(VMM, "Virtual machine manager")、一共用語言執行時間(CLR, "Common Languag eRuntime")、或其功能同等者、一Java虛擬機器(JVM, "Jav aVirtual Machine")或其功能同等者,或其它這些軟體組件,其取代或外加於電腦系統中的作業系統。一硬體/軟體介面系統的目的係提供一環境,其中一使用者可執行應用程式。
該硬體/軟體介面系統概略在開機時載入到一電腦系統中,然後管理在該電腦系統中所有的應用程式。該應用程式經由一應用程式介面(API, 'Application program interface')請求服務與該硬體/軟體介面系統互動。一些應用程式使得末端使用者經由一使用者介面與該硬體/軟體
介面系統互動,例如經由一指令語言或一圖形化使用者介面(GUI, "Graphical user interface")。
一硬體/軟體介面系統傳統上執行多種應用的服務。在一多工化硬體/軟體介面系統當中可同時執行多個程式,該硬體/軟體介面系統決定那些應用程式以何順序執行,且對於每個應用程式在切換到另一個應用程式之前必須允許多少時間來輪替。該硬體/軟體介面系統亦在多個應用程式之間管理內部記憶體之共享,並管理輸入及輸出到附加的硬體裝置,例如硬碟、印表機及撥接埠。該硬體/軟體介面系統亦傳送訊息到關於作業狀態及已經發生的任何錯誤之每個應用程式(及在某些狀況到該末端使用者)。該硬體/軟體介面系統亦卸載批次工作(如列印)之管理,以致使該啟始應用程式脫離此工作,並可恢復其它處理及/或作業。在提供平行處理的電腦上,一硬體/軟體介面系統亦管理區分一程式,以致使其能一次在一個以上的處理器上執行。
一硬體/軟體介面系統外殼(稱之為"shell")為一互動式末端使用者介面到一硬體/軟體介面系統。(一外殼亦可稱之為一“指令解譯器”或在一作業系統中稱為“作業系統外殼”)。一外殼為一硬體/軟體介面系統之外層,其直接由應用程式及/或末端使用者存取。相反於一外殼,一核心為一硬體/軟體介面系統的最內層,其直接與該等硬體組件互動。
如第3圖所示,一示例性通用運算系統包括一習用運算裝置360或類似者,包括一處理單元321、一系統記憶體
362、及一系統匯流排323,其耦合多種系統組件,其中包括該系統記憶體到處理單元321。系統匯流排323可為數種匯流排結構中任何一種,其中包括一記憶體匯流排或記憶體控制器、一周邊匯流排、及使用多種匯流排架構中任何一種之本地匯流排。該系統記憶體包括唯讀記憶體(ROM)364及隨機存取記憶體(RAM)325。一基本輸入/輸出系統366(BIOS)儲存在ROM 364中,其包含基本例式來在運算裝置360中元件之間傳送資訊,例如在開機期間。運算裝置360另可包括一硬碟機327,用於讀取及寫入一硬碟(未示出硬碟)、一磁碟機328(如軟碟機),用於讀取或寫入一可移除磁碟329(如軟碟片、可移除儲存元)、及一光碟機330,用於讀取或寫入一可移除光碟331,例如CD ROM或其它光學媒體。硬碟機327、磁碟機328及光碟機330分別透過硬碟機介面332,磁碟機介面333及光碟機介面334連線到系統匯流排323。該等驅動器及其相關電腦可讀取媒體提供了運算裝置360之電腦可讀取指令、資料結構、程式模組與其它資料的非揮發性儲存元。雖然此處所述的示例性環境使用一硬碟,一可移除磁碟329及一可移除光碟331,本技藝專業人士可瞭解到在該示例性運算環境中亦可使用可儲存由一電腦存取的資料之其它種類的電腦可讀取媒體,例如磁匣、快閃記憶卡、數位多功能碟片、柏努利(Bernoulli)卡匣、隨機存取記憶體(RAM)、唯讀記憶體(ROM)及類似者。類似地,該示例性環境亦可包括許多種監視裝置,例如熱感測器、安全或火警系統及其它資訊來源。
一些程式模組可儲存在硬碟、磁碟329、光碟331、ROM 364或RAM 325上,包括一作業系統535、一或多個應用程式536、其它程式模組537、及程式資料538。一使用者經由像是鍵盤540及指向裝置542(如滑鼠)的輸入裝置可輸入命令及資訊到運算裝置560。其它輸入裝置(未示出)可包括麥克風、搖桿、遊戲板、衛星碟、掃描器等等。這些及其它輸入裝置通常其透過耦合到系統匯流排之一序列埠介面546連線到處理單元521,但亦可由其它介面做連線,像是平行埠、遊戲埠或一通用序列匯流排(USB)。一監視器547或其它種類的顯示裝置亦可透過一介面連線到系統匯流排523,例如一視訊配接器548。除了監視器547之外,運算裝置基本上包括其它周邊輸出裝置(未示出),例如喇叭及印表機。第3圖的示例性環境亦包括一主機配接器355、小型電腦系統介面(SCSI, "Small Computer System Interface")匯流排356、及連線到SCSI匯流排356之一外部儲存裝置362。
運算裝置360可使用邏輯連線到一或多個遠端電腦(如遠端電腦349)在一網路化環境中運作。遠端電腦349可為另一個運算裝置(如個人電腦)、一伺服器、一路由器、一網路PC、一端點裝置或其它常用網路節點、及基本上包括許多或所有相對於運算裝置360之上述的元件,雖然在第9圖中僅例示一記憶體儲存裝置350(軟碟機)。第9圖所示之邏輯連線包括一區域網路(LAN, "Local area network")351及一廣域網路(WAN, "Wide area network")352。這種網路化
環境常見於辦公室、企業化電腦網路、企業內網路及網際網路。
當用於LAN網路環境中時,運算裝置360經由一網路介面或配接器353連線到LAN 351。當用於WAN網路環境中時,運算裝置360可包括一數據機354或其它設施,用於在廣域網路352上建立通訊,例如網際網路。可為內部或外部的數據機354經由序列埠介面346連線到系統匯流排323。在一網路化環境中,相對於運算裝置360或其部份所述的程式模組可儲存在該遠端記憶體儲存裝置中。其將可瞭解到所示的網路連線為示例性,其可使用在電腦之間建立通訊鏈結的其它手段。
其可認知到一USB符記上之一密碼金鑰容器的多種具體實施例可部份良好適用於電腦化系統,在此文件中並非要限制本發明到這些具體實施例。相反地,如此處所使用之術語“電腦系統”係要涵蓋任何及所有能夠儲存及處理資訊的裝置,及/或能夠使用所儲存的資訊來控制該裝置本身的行為或執行,不論是否這些裝置為電子式、機械式、邏輯或本質上為虛擬。
此處所述的多種技術可配合硬體或軟體來實施,並在適當時可使用兩者的組合。因此,用於實施一USB符記上之一密碼金鑰容器或其某些態樣或部份之方法與裝置可採取具體實施在實體媒體中的程式碼(即指令)型式,例如軟碟片、CD-ROM、硬碟機或任何其它機器可讀取儲存媒體,其中當該程式碼載入到一機器(如電腦)並且執行時,該機
器成為實施一USB符記上之一密碼金鑰容器的裝置。
如果需要的話,該程式可實施成組合或機器語言。在任何案例中,該語言可為一編譯或解譯語言,並組合到硬體實施。用於實施一USB符記上之一密碼金鑰容器之方法與裝置亦可經由具體實施在程式碼形式中的通訊來實現,其係在一些傳輸媒體上傳送,例如在電線或電纜上,經由光纖,或透過任何其它形式的傳輸,其中,當一機器接收到程式碼,並載入及執行時,例如EPROM、一閘極陣列、一可程式邏輯裝置(PLD, "Programmable logic device")、一客戶端電腦或其它。當實施在一通用處理器上時,該程式碼組合該處理器以提供一唯一裝置,其可用於引發一USB符記上之一密碼金鑰容器之功能。此外,用於關聯一USB符記上之一密碼金鑰容器所使用的任何儲存技術可不變地為硬體及軟體的組合。
當一USB符記上之一密碼金鑰容器配合多個圖式的範例性具體實施例中做說明,其可瞭解到其它類似的具體實施例可以使用,對於所述具體實施例可進行修正及加入來執行一USB符記上之一密碼金鑰容器之相同功能,而並不與其悖離。因此,此處所述的一USB符記上之一密碼金鑰容器並不限於任何單一具體實施例,但應視為根據後附申請專利範圍中的精神與範疇。
12‧‧‧接收指示存取金鑰
14‧‧‧搜尋USB符記
16‧‧‧USB符記是否有尋到?
18‧‧‧存取USB容器
20‧‧‧存取金鑰
22‧‧‧提供促動
24‧‧‧USB符記是否經連接?
26‧‧‧存取在處理器中之容器
32‧‧‧處理部份
38‧‧‧揮發性
40‧‧‧非揮發性
42‧‧‧可抽取式儲存
44‧‧‧非可抽取式儲存
46‧‧‧輸出裝置
48‧‧‧輸入裝置
50‧‧‧通訊連接
52‧‧‧USB相容儲存裝置
321‧‧‧中央處理單元
323‧‧‧系統匯流排
325‧‧‧隨機存取記憶體
327‧‧‧硬碟機
328‧‧‧磁碟機
329‧‧‧可移除磁碟
330‧‧‧光碟機
331‧‧‧可移除光碟
332‧‧‧硬碟機介面
333‧‧‧磁碟機介面
334‧‧‧光碟機介面
335‧‧‧作業系統
336‧‧‧應用程式
337‧‧‧其它程式模組
338‧‧‧程式資料
342‧‧‧指向裝置
340‧‧‧鍵盤
346‧‧‧序列埠介面
347‧‧‧監視器
348‧‧‧視訊配接器
349‧‧‧遠端電腦
350‧‧‧記憶體儲存裝置
351‧‧‧區域網路
352‧‧‧廣域網路
353‧‧‧網路介面
354‧‧‧數據機
355‧‧‧主控配接器
356‧‧‧SCSI匯流排
360‧‧‧運算裝置
362‧‧‧外部儲存裝置
362‧‧‧系統記憶體
364‧‧‧唯讀記憶體
366‧‧‧基本輸入輸出系統
前述的概要以及以上的實施方式在配合附屬圖式閱讀
時將可更加地瞭解。為了例示一USB符記上之一密碼金鑰容器的目的,在圖式中顯示其示例性架構;但是,一USB符記上之一密碼金鑰容器並不限於所揭示的特定方法與設施。
第1圖為存取一USB符記上之一密碼金鑰容器之範例性處理的流程圖。
第2圖為實施一USB符記上之一密碼金鑰容器之範例性處理器之圖式。
第3圖為可提供一USB符記上之一密碼金鑰容器之適當性運算環境的描述。
Claims (17)
- 一種方法,包含以下步驟:在包含一處理器之一電腦系統中,接收存取一密碼金鑰之一請求;該處理器與一應用程式介面通訊,而不需使用者互動而自動處理用於一USB相容儲存裝置之一搜尋,該USB相容儲存裝置具有一金鑰容器中之一第一密碼金鑰,該搜尋包含該處理器搜尋USB相容儲存裝置之一索引以搜尋該金鑰容器;如果發現該USB相容儲存裝置,經由一經保護加密程序從該USB相容儲存裝置提取該第一密碼金鑰,該經保護加密程序防止由該電腦系統上之一作業系統執行之任何使用者應用程式直接存取該密碼金鑰;及如果未發現該USB相容儲存裝置:呈現一促動來提供該USB相容儲存裝置;決定該USB相容儲存裝置是否已經提供;如果該USB相容儲存裝置已經提供,經由該經保護加密程序存取在該USB相容儲存裝置上之該第一密碼金鑰,該經保護加密程序防止由該電腦系統上之一作業系統執行之任何使用者應用程式直接存取該密碼金鑰;及如果尚未提供該USB相容儲存裝置,存取儲存於該電腦系統之一記憶體中之一第二密碼金鑰。
- 如申請專利範圍第1項所述之方法,更包含以下步驟:將該第二密碼金鑰儲存在該電腦系統之該記憶體中。
- 如申請專利範圍第1項所述之方法,其中在提取步驟之後,該第一密碼金鑰係經隔離於該電腦系統之一經保護執行環境中。
- 如申請專利範圍第1項所述之方法,其中該第一密碼金鑰係經由一密碼程式化介面而透過該加密程式提取。
- 如申請專利範圍第1項所述之方法,其中該USB相容儲存裝置係為一唯讀裝置。
- 如申請專利範圍第1項所述之方法,更包含以下步驟:依據一註冊值產生一新加密金鑰,其中該註冊值指示該新加密金鑰如何產生。
- 如申請專利範圍第6項所述之方法,其中該註冊值指示:該新加密金鑰之產生僅在一特定USB相容儲存裝置,或該新加密金鑰之產生僅在該電腦系統。
- 如申請專利範圍第1項所述之方法,該搜尋更包含搜尋 USB相容儲存裝置耦接至該處理器之路徑。
- 一種電腦系統,包含:一處理器;及記憶體,耦接至該處理器,該記憶體包含可執行指令,該等可執行指令在藉由該處理器執行時造成該處理器實施操作,該等操作包含:接收存取一密碼金鑰之一請求;經由一應用程式介面而不需使用者互動之自動搜尋來搜尋一USB相容儲存裝置,該USB相容儲存裝置具有一金鑰容器中之一第一密碼金鑰,該搜尋包含搜尋USB相容儲存裝置之一索引以搜尋該金鑰容器;及如果發現該USB相容儲存裝置,經由一經保護加密程序提取在該USB相容儲存裝置上之該第一密碼金鑰,該經保護加密程序防止由該電腦系統上之一作業系統執行之任何使用者應用程式直接存取該密碼金鑰;及如果未發現該USB相容儲存裝置:呈現一促動來提供該USB相容儲存裝置;決定該USB相容儲存裝置是否已經提供;如果該USB相容儲存裝置已經提供,經由該經保護加密程序存取在該USB相容儲存裝置 上之該第一密碼金鑰,該經保護加密程序防止由該電腦系統上之一作業系統執行之任何使用者應用程式直接存取該密碼金鑰;及如果尚未提供該USB相容儲存裝置,存取儲存於該電腦系統之一記憶體中之一第二密碼金鑰。
- 如申請專利範圍第9項所述之系統,該等操作更包含:將該第二密碼金鑰儲存在該電腦系統之該記憶體中。
- 如申請專利範圍第9項所述之系統,其中在存取之後,該第一密碼金鑰係經隔離於該系統之一經保護執行環境中。
- 如申請專利範圍第9項所述之系統,其中該USB相容儲存裝置包含一可攜式裝置。
- 一種非為一暫態信號之電腦可讀取儲存媒體,該電腦可讀取儲存媒體具有儲存其中之電腦可執行指令,該等電腦可執行指令在藉由一處理器執行時造成該處理器實施操作,該等操作包含:在一電腦系統中接收存取一密碼金鑰之一請求;經由一應用程式介面而不需使用者互動之自動搜尋 來搜尋一USB相容儲存裝置,該USB相容儲存裝置具有一金鑰容器中之一第一密碼金鑰,該搜尋包含搜尋USB相容儲存裝置之一索引以搜尋該金鑰容器;及如果發現該USB相容儲存裝置,經由一經保護加密程序從該USB相容儲存裝置提取該第一密碼金鑰,該經保護加密程序防止由該電腦系統上之一作業系統執行之任何使用者應用程式直接存取該密碼金鑰;及如果未發現該USB相容儲存裝置:呈現一促動來提供該USB相容儲存裝置;決定該USB相容儲存裝置是否已經提供;如果該USB相容儲存裝置已經提供,經由該經保護加密程序存取在該USB相容儲存裝置上之該第一密碼金鑰,該經保護加密程序防止由該電腦系統上之一作業系統執行之任何使用者應用程式直接存取該密碼金鑰;及如果尚未提供該USB相容儲存裝置,存取儲存於該電腦系統之一記憶體中之一第二密碼金鑰。
- 如申請專利範圍第13項所述之電腦可讀取儲存媒體,該等操作更包含:經由一密碼程式化介面存取該第一密碼金鑰。
- 如申請專利範圍第13項所述之電腦可讀取儲存媒體, 該等操作更包含:將該第二密碼金鑰儲存於該電腦系統之該記憶體中。
- 如申請專利範圍第13項所述之電腦可讀取儲存媒體,其中在提取之後,該第一密碼金鑰係經隔離於該處理器之一經保護執行環境中。
- 如申請專利範圍第13項所述之電腦可讀取儲存媒體,其中該USB相容儲存裝置包含一可攜式裝置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/627,466 US8588421B2 (en) | 2007-01-26 | 2007-01-26 | Cryptographic key containers on a USB token |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200837602A TW200837602A (en) | 2008-09-16 |
| TWI431501B true TWI431501B (zh) | 2014-03-21 |
Family
ID=39668006
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW097100853A TWI431501B (zh) | 2007-01-26 | 2008-01-09 | 在usb訊標上的密碼鍵容器 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8588421B2 (zh) |
| EP (1) | EP2106597B1 (zh) |
| JP (1) | JP5611598B2 (zh) |
| CN (1) | CN101589397B (zh) |
| CL (1) | CL2008000182A1 (zh) |
| TW (1) | TWI431501B (zh) |
| WO (1) | WO2008094369A2 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8806220B2 (en) | 2009-01-07 | 2014-08-12 | Microsoft Corporation | Device side host integrity validation |
| CN101782955B (zh) * | 2009-01-16 | 2012-06-20 | 鸿富锦精密工业(深圳)有限公司 | 文件保护系统 |
| US8364984B2 (en) * | 2009-03-13 | 2013-01-29 | Microsoft Corporation | Portable secure data files |
| US8321950B2 (en) * | 2009-03-20 | 2012-11-27 | Cisco Technology, Inc. | Delivering secure IPTV services to PC platforms |
| GB2469141A (en) * | 2009-04-04 | 2010-10-06 | Peter Norman Panayi | Protecting data from unauthorised access using one-time pad stored on removable storage device |
| US9274815B2 (en) * | 2010-03-26 | 2016-03-01 | Qualcomm Incorporated | Method and apparatus for portable self-contained node computer |
| US8788842B2 (en) * | 2010-04-07 | 2014-07-22 | Apple Inc. | System and method for content protection based on a combination of a user PIN and a device specific identifier |
| US8510552B2 (en) | 2010-04-07 | 2013-08-13 | Apple Inc. | System and method for file-level data protection |
| US9058497B2 (en) * | 2010-12-23 | 2015-06-16 | Microsoft Technology Licensing, Llc | Cryptographic key management |
| US20140096213A1 (en) * | 2012-09-28 | 2014-04-03 | Kevin Quan | Method and system for distributed credential usage for android based and other restricted environment devices |
| US9009359B2 (en) | 2013-03-29 | 2015-04-14 | International Business Machines Corporation | Emulating multiple universal serial bus (USB) keys so as to efficiently configure different types of hardware |
| US9720852B2 (en) | 2013-03-29 | 2017-08-01 | International Business Machines Corporation | Universal serial bus (USB) key functioning as multiple USB keys so as to efficiently configure different types of hardware |
| US9245130B2 (en) | 2013-03-29 | 2016-01-26 | International Business Machines Corporation | Multi-user universal serial bus (USB) key with customizable file sharing permissions |
| US9311504B2 (en) | 2014-06-23 | 2016-04-12 | Ivo Welch | Anti-identity-theft method and hardware database device |
| US10205710B2 (en) * | 2015-01-08 | 2019-02-12 | Intertrust Technologies Corporation | Cryptographic systems and methods |
| US10387636B2 (en) * | 2015-10-20 | 2019-08-20 | Vivint, Inc. | Secure unlock of a device |
| KR20170077328A (ko) * | 2015-12-28 | 2017-07-06 | 현대자동차주식회사 | 자동차 관리 시스템 및 방법 |
| CN106452795A (zh) * | 2016-11-25 | 2017-02-22 | 成都三零凯天通信实业有限公司 | 一种USB解密Key |
| EP3891619B1 (en) * | 2019-02-28 | 2023-09-27 | Hewlett-Packard Development Company, L.P. | Access to firmware settings with asymmetric cryptography |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19642560A1 (de) * | 1996-10-15 | 1998-04-16 | Siemens Ag | Elektronische Datenverarbeitungsschaltung |
| JPH10304206A (ja) | 1997-02-26 | 1998-11-13 | N T T Data:Kk | 画像符号化/復号化方式及び同方式のための画像符号化及び復号化装置 |
| US6216230B1 (en) | 1998-02-11 | 2001-04-10 | Durango Corporation | Notebook security system (NBS) |
| US6484259B1 (en) | 1999-07-23 | 2002-11-19 | Microsoft Corporation | Methods and arrangements for mapping widely disparate portable tokens to a static machine concentric cryptographic environment |
| IL161027A0 (en) | 2001-09-28 | 2004-08-31 | High Density Devices As | Method and device for encryption/decryption of data on mass storage device |
| JP4226816B2 (ja) | 2001-09-28 | 2009-02-18 | 株式会社東芝 | マイクロプロセッサ |
| JP2003216037A (ja) | 2001-11-16 | 2003-07-30 | Yazaki Corp | 暗号キー、暗号化装置、暗号化復号化装置、暗号キー管理装置及び復号化装置 |
| US7065651B2 (en) * | 2002-01-16 | 2006-06-20 | Microsoft Corporation | Secure video card methods and systems |
| US7200756B2 (en) | 2002-06-25 | 2007-04-03 | Microsoft Corporation | Base cryptographic service provider (CSP) methods and apparatuses |
| JP4375980B2 (ja) * | 2003-03-11 | 2009-12-02 | 株式会社エヌ・ティ・ティ・ドコモ | マルチタスク実行システム及びマルチタスク実行方法 |
| JP2004312267A (ja) * | 2003-04-04 | 2004-11-04 | Sony Corp | 画像伝送システム,撮像装置,撮像装置ユニット,鍵生成装置,およびプログラム |
| US7178724B2 (en) * | 2003-04-21 | 2007-02-20 | Stmicroelectronics, Inc. | Smart card device and method used for transmitting and receiving secure e-mails |
| CN1302382C (zh) | 2003-06-13 | 2007-02-28 | 联想(北京)有限公司 | 基于usb闪存盘存储介质私有空间的验证方法 |
| US20050015611A1 (en) * | 2003-06-30 | 2005-01-20 | Poisner David I. | Trusted peripheral mechanism |
| JP4253543B2 (ja) * | 2003-07-29 | 2009-04-15 | 矢崎総業株式会社 | ハードウェアプロテクトキー及びその再発行方法 |
| JP2005050160A (ja) | 2003-07-29 | 2005-02-24 | Yazaki Corp | ハードウェアプロテクトキー及び情報処理システム |
| TW200512658A (en) | 2003-09-19 | 2005-04-01 | Hui Lin | Authentication process for data storage application and IC card authentication hardware |
| TW200513087A (en) | 2003-09-19 | 2005-04-01 | Hui Lin | Mail server login security authentication system and method, and IC card authentication hardware |
| US20050182934A1 (en) | 2004-01-28 | 2005-08-18 | Laszlo Elteto | Method and apparatus for providing secure communications between a computer and a smart card chip |
| BRPI0418778A (pt) | 2004-04-26 | 2007-10-09 | Trek 2000 Int Ltd | dispositivo de armazenamento de dados portátil com sistema de criptografia |
| ATE535078T1 (de) * | 2004-07-23 | 2011-12-15 | Citrix Systems Inc | Verfahren und system zur sicherung von zugriff aus der ferne auf private netze |
| KR100583050B1 (ko) | 2004-08-04 | 2006-05-25 | 송유권 | 유에스비 토큰 키를 이용한 파일 암호화 및 복호화 방법과그를 이용한 시스템 |
| US20060031674A1 (en) | 2004-08-09 | 2006-02-09 | Kabushiki Kaisha Toshiba | Encrypting method and encrypting apparatus for image processing apparatus |
| US7702922B2 (en) | 2004-08-17 | 2010-04-20 | Microsoft Corporation | Physical encryption key system |
| JP2006155217A (ja) | 2004-11-29 | 2006-06-15 | Hitachi Ltd | 認証機構を有する外部記憶装置 |
| US8924728B2 (en) | 2004-11-30 | 2014-12-30 | Intel Corporation | Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information |
| JP2006163956A (ja) | 2004-12-08 | 2006-06-22 | Ricoh Co Ltd | セキュリティ印刷システム、プリンタ或いはプリンタ機能を備えた多機能複写装置、icカード及び情報処理装置 |
| JP4600021B2 (ja) | 2004-12-10 | 2010-12-15 | 株式会社日立製作所 | 暗号化データアクセス制御方法 |
| US20060129797A1 (en) | 2004-12-15 | 2006-06-15 | Palo Alto Research Center, Inc. | Hardware-supported secure network boot |
| US7725703B2 (en) * | 2005-01-07 | 2010-05-25 | Microsoft Corporation | Systems and methods for securely booting a computer with a trusted processing module |
| JP2006227679A (ja) | 2005-02-15 | 2006-08-31 | Dainippon Printing Co Ltd | Usbメモリキー |
| JP2006268513A (ja) | 2005-03-24 | 2006-10-05 | Sun Corp | 端末装置のログオン管理装置 |
| US20060287108A1 (en) * | 2005-05-17 | 2006-12-21 | Canterbury Stephen A | Wagering game with usb nonvolatile storage |
| TW200701030A (en) * | 2005-06-30 | 2007-01-01 | Mitac Technology Corp | Method and apparatus of securing computer system |
| JP4890309B2 (ja) * | 2007-03-19 | 2012-03-07 | 株式会社リコー | 情報処理装置及び情報保護方法 |
-
2007
- 2007-01-26 US US11/627,466 patent/US8588421B2/en active Active
- 2007-12-21 CN CN200780050523.5A patent/CN101589397B/zh active Active
- 2007-12-21 JP JP2009547247A patent/JP5611598B2/ja active Active
- 2007-12-21 WO PCT/US2007/088597 patent/WO2008094369A2/en active Application Filing
- 2007-12-21 EP EP07871729.5A patent/EP2106597B1/en active Active
-
2008
- 2008-01-09 TW TW097100853A patent/TWI431501B/zh not_active IP Right Cessation
- 2008-01-23 CL CL200800182A patent/CL2008000182A1/es unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008094369A3 (en) | 2008-09-25 |
| TW200837602A (en) | 2008-09-16 |
| EP2106597B1 (en) | 2019-04-24 |
| US20080181412A1 (en) | 2008-07-31 |
| US8588421B2 (en) | 2013-11-19 |
| EP2106597A2 (en) | 2009-10-07 |
| WO2008094369A2 (en) | 2008-08-07 |
| JP5611598B2 (ja) | 2014-10-22 |
| CL2008000182A1 (es) | 2008-08-01 |
| EP2106597A4 (en) | 2012-08-29 |
| CN101589397B (zh) | 2016-08-17 |
| JP2010517424A (ja) | 2010-05-20 |
| CN101589397A (zh) | 2009-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI431501B (zh) | 在usb訊標上的密碼鍵容器 | |
| Dai et al. | SBLWT: A secure blockchain lightweight wallet based on trustzone | |
| England et al. | A trusted open platform | |
| US8095977B2 (en) | Secure PIN transmission | |
| US8156331B2 (en) | Information transfer | |
| US9461819B2 (en) | Information sharing system, computer, project managing server, and information sharing method used in them | |
| US7908476B2 (en) | Virtualization of file system encryption | |
| US20080229115A1 (en) | Provision of functionality via obfuscated software | |
| US8683549B2 (en) | Secure data storage and retrieval incorporating human participation | |
| US7827405B2 (en) | Mechanism for utilizing kerberos features by an NTLM compliant entity | |
| US8615662B2 (en) | Password authentication via a one-time keyboard map | |
| JP2008097575A (ja) | 認証パスワードの格納方法、生成方法、ユーザの認証方法、およびコンピュータ | |
| CN1685297A (zh) | 在多处理器环境中单方地加载安全操作系统的装置和方法 | |
| US7836309B2 (en) | Generic extensible pre-operating system cryptographic infrastructure | |
| CN103605934B (zh) | 一种可执行文件的保护方法及装置 | |
| JP4724107B2 (ja) | リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ | |
| JP2008181440A (ja) | コンピュータ・システムおよびユーザの認証方法 | |
| JP5243360B2 (ja) | シンクライアント接続管理システム、およびシンクライアント接続管理方法 | |
| KR101042218B1 (ko) | 컴퓨터용 데이터 보안시스템의 데이터 보안방법 | |
| US20240176634A1 (en) | Updating secure guest metadata of a specific guest instance | |
| WO2024115152A1 (en) | Updating secure guest metadata of a specific guest instance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |