本文中公开了与为经授权用户提供到加密数据的访问相关联的方法、系统和存储媒体的实施例。在一个实例中,方法可包括基于经鉴权用户的用户个性化数据,获得用于经鉴权用户的推导值,以及基于推导值,生成用户特定加密密钥。推导值可具有超过预确定的级别的熵。用户特定加密密钥可允许经鉴权用户访问在存储装置存储的加密数据。其它实施例也可描述和/或声明。
【技术实现步骤摘要】
【国外来华专利技术】提供到加密数据的访问相关申请交叉引用 本申请要求具有2012年7月24日提出的,题为“提供到加密数据的访问”(PROVIDINGACCESS TO ENCRYPTED DATA)的美国专利申请13/557079的优先权。
本公开内容的实施例一般涉及数据处理领域,并且更具体地说,涉及用于为经授权用户促进对加密数据的访问的技术。
技术介绍
本文中提供的背景描述是为了概括介绍公开内容的上下文。当前有名的【专利技术者】的工作(就其在本背景部分中描述而言)及在提交之时不可视为现有技术的描述的方面,均未被明确或隐含承认为相对于本公开内容的现有技术。除非本文中另有指示,否则,此部分中描述的方案不是本公开内容的权利要求的现有技术,并且未由于包含在本部分中而被承认是现有技术。人们已开发全盘加密(FDE)解决方案,这些解决方案预期将防止可实际拥有加密磁盘驱动器或可装有此类磁盘驱动器的平台的黑客攻击者。当前解决方案一般要求保护存储数据的加密法能够在例如7-10年的相当长的时间期内阻止强力攻击。因此,对于可用于加密法技术的加密密钥,可要求用于其的熵源十分强大,以便由攻击者不可对该熵源进行反向工程。为解决这些要求,FDE供应商经常要求用户输入极长的密码或密码短语。然而,用户可难以记住和再现此类密码或密码短语。此外,用户可发现长密码或密码短语难以键入,这可降低用户效率。【附图说明】结合附图,通过下面的详细描述,将容易理解实施例。为有助于此描述,类似的标号指示类型的结构元素。在附图的图形中,实施例以示例方式而不是限制方式示出。图1示出根据各种实施例,可在其中为经授权用户提供到加密数据的访问的环境的示例框图。图2示出根据各种实施例,用于提供到加密数据的访问的过程流程图。图3示出根据各种实施例,用于为经授权用户提供到加密数据的访问的过程流程图。图4示出根据一些实施例,配置成实现部分编程的非易失性存储器装置的有条件预编程和擦除的系统。【具体实施方式】本文中所述技术提供用于促进经授权(例如,经鉴权)用户对加密数据的访问。所述技术可允许进行用户友好鉴权过程,该过程可允许进行安全数据保护。所述技术可将物理不可克隆函数技术用作防篡改的平台熵源。此方案可避免使用长的用户提供的密码或密码短语作为用于数据加密密钥推导的熵源。相应地,用户可无需记住或再现一般提供所需级别的熵的长密码或密码短语。利用所述鉴权技术的用户体验可类似于使用短密码、基于生物统计或令牌的鉴权方法的传统、简单的注册或登录过程。在实施例中,用户可通过配置成向经授权用户提供到加密数据的访问的系统进行鉴权。如果鉴权成功,则系统可从与系统存储在一起或系统可访问的用户简档(profile)检索与经鉴权用户相关联的个性化信息(例如,诸如密码或其它类型的数据等特定数据字符串)。检索的个性化信息可包括在数据加密密钥推导中以向该平台上的该用户特别指出该推导的加密密钥,以便只经授权用户对加密数据的访问可实行。图1是根据一些实施例,适合用于提供用户友好鉴权以访问加密存储媒体的示例系统100的框图。存储媒体可以是磁性、光学或固态存储装置或诸如此类的其它存储装置。系统100不限于本文中所述系统组件;使用不同组件的装置的其它适合配置可使用而不脱离本公开内容的精神。例如,系统100可驻留在一个或更多个服务器装置上,或者至少部分分布在不同计算装置中。为便于理解,系统100组件可描述为驻留在一个或更多个计算装置上。在各种实施例中,系统100可包括多个组件(模块),这些组件可处在相同位置并且经诸如外围组件互连(PCI)总线、通用串行总线(USB)等系统总线相互连接,或者经有线或无线连接分布和远程相互连接,例如,诸如因特网的网络或任何其它类型的网络,如局域网(LAN)、宽域网(WAN)、W1-Fi (根据IEEE 902.11标准之一)及诸如此类。(IEEE=电气和电子工程师协会。)在一个示例中,系统100可包括配置成通过系统100对用户104进行鉴权的一个或更多个鉴权装置102。鉴权装置102可包括但不限于近场通信(NFC)读取器、生物统计读取器、(个人识别号)PIN键板及诸如此类。在另一实施例中,鉴权装置102可配置成提供与用户访问计算系统或应用相关联的登录过程(例如,用户104可使用与系统100相关联的密码或密码短语进行鉴权)。系统100可还包括用户存在检测装置106,如邻近度传感器、NFC读取器、Bluetooth?无线电及诸如此类。使用用户存在检测装置106,系统100可检测用户104的存在,并且准备用于用户鉴权的鉴权装置102。鉴权装置102可与嵌入式鉴权模块108相关联。嵌入式鉴权模块108可在例如受信任执行环境(TEE) 112中驻留或操作。示例TEE 112可包括可管理性引擎(ME)或汇聚安全性引擎(CSE),其可以是芯片集中的通用微控制器。TEE 112也可指中央处理单元(CPU)的模式,例如,用户的过程的一部分受其它过程和内核读/写保护的Secure Enclaves? (安全飞地)模式。在另一示例中,TEE 112可包括在Acorn RISC机器(ARM)体系结构中利用的称为Trust Zone?的CPU模式。通常,TEE 112可指与诸如系统100等计算机系统相关联的任何安全执行环境。嵌入式鉴权模块108可配置成实现嵌入式多因素鉴权,其中,用户可只执行鉴权一次,并且在当前会话处于活动状态的时间内得到对通过系统100可用的所有平台资源和服务的访问权。在实施例中,嵌入式鉴权模块108可具有对包括用户简档信息的本地或远程存储用户记录的访问权。用户简档信息可包括用于嵌入式鉴权模块108也许能对其进行鉴权的每个用户的用户特定数据(例如,登录和密码)。用户简档信息也可指定用于可应用的某个类型的多因素鉴权的策略。在一实施例中,用户简档信息可通过芯片集存储密钥进行加密。嵌入式鉴权模块108可具有相关联存储密钥,该密钥可从芯片集存储密钥推导。用户简档可另外专用于系统100。因此,使用鉴权装置和使用或不使用用户存在传感器检测装置106,通过嵌入式鉴权模块108可对用户104进行鉴权。在实施例中,嵌入式鉴权模块108可提供用户个性化数据到熵源模块114。用户个性化数据可包括与用户简档信息相关联的独特标识符,如用于特定用户帐户的全局独特标识符(GUID)。用户个性化数据可包括用户供应的别名字符串,该字符串可识别用户帐户和/或用户简档信息。总之,用户个性化数据可包括与嵌入式鉴权模块108可访问的用户简档相关联的任何信息,以便确保推导的密钥对本文中所述计算环境是独特的。在实施例中,熵源模块114可包括基于询问响应鉴权而实现物理不可克隆函数(PUF)的熵装置。物理刺激(例如,电脉冲)应用到PUF结构时,由于刺激与装置的物理微结构的复杂交互原因,它可以不可预测的方式做出反应。此确切的微结构可取决于在制造期间引入的可能是不可预测的物理因素。相应地,熵源模块114可包括配置成产生具有高熵推导值的多个随机值的防篡改芯片,高熵推导值是具有被认为超过预确定的设计点的熵的推导值。除非实际拥有诸如熵源模块114等PUF装置的攻击者物理检测PUF装置时芯片保持通电,这将损坏芯片,使得熵源不可操作,否则,攻击者也许不能观本文档来自技高网...
【技术保护点】
一种用于提供到加密数据的访问的计算机实现的方法,包括:由计算装置基于经鉴权用户的用户个性化数据,获得用于所述经鉴权用户的推导值,其中所述推导值具有超过预确定的级别的熵;以及由所述计算装置基于所述推导值,生成用于所述经鉴权用户的用户特定加密密钥,其中所述用户特定加密密钥允许所述经鉴权用户访问在存储装置存储的加密数据。
【技术特征摘要】
【国外来华专利技术】2012.07.24 US 13/557,0791.一种用于提供到加密数据的访问的计算机实现的方法,包括: 由计算装置基于经鉴权用户的用户个性化数据,获得用于所述经鉴权用户的推导值,其中所述推导值具有超过预确定的级别的熵;以及 由所述计算装置基于所述推导值,生成用于所述经鉴权用户的用户特定加密密钥,其中所述用户特定加密密钥允许所述经鉴权用户访问在存储装置存储的加密数据。2.如权利要求1所述的计算机实现的方法,还包括: 由所述计算装置接收用户鉴权请求,所述用户鉴权请求包括用户鉴权信息; 由所述计算装置基于所述用户鉴权信息,对用户进行鉴权;以及 由所述计算装置基于所述用户鉴权信息,检索所述用户个性化数据。3.如权利要求1所述的计算机实现的方法,还包括: 由所述计算装置基于所述用户特定加密密钥,计算数据加密密钥;以及 由所述计算装置使用所述计算的数据加密密钥将所述加密数据解密,以提供到所述加密数据的访问。4.如权利要求3所述的计算机实现的方法,还包括: 由所述计算装置提供配置成计算所述数据加密密钥的存储驱动器模块。5.如权利要求1所述的计算机实现的方法,还包括:由所述计算装置提供配置成在所述计算装置的受信任执行环境内对所述用户进行鉴权的鉴权模块。6.如权利要求5所述的计算机实现的方法,其中所述鉴权模块还配置成从所述鉴权模块可访问的用户简档信息检索所述用户个性化数据。7.如权利要求1到6所述的计算机实现的方法,其中所述用户个性化数据包括与所述用户简档信息相关联的独特标识符。8.如权利要求1所述的计算机实现的方法,其中所述用户鉴权信息包括密码或密码短语之一。9.如权利要求1所述的计算机实现的方法,还包括:由所述计算装置在与所述计算装置的熵源相关联的密钥推导函数模块获得所述推导值。10.如权利...
【专利技术属性】
技术研发人员:NM史密斯,GW科克斯,D约翰斯顿,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。