在一个实施例中,用户设备可重新建立对用户资源的访问,尽管在系统重启期间没有用户凭证的使用也行。用户设备可在初始登录期间从用户接收用户凭证以访问用户资源。用户设备可创建用于访问用户资源的短暂熵。用户设备可使用短暂熵来访问用户资源。
【技术实现步骤摘要】
【国外来华专利技术】跨重启的登录的恢复背景用户可使用计算设备来访问多个用户资源。用户资源是允许用户执行计算活动的计算资源。用户资源可以是位于计算设备里的设备资源或该计算设备可通过数据网络访问的网络资源。计算设备可通过凭证(诸如口令、生物凭证、智能卡、一对非对称密钥)的使用来控制对用户资源的访问。用户可向计算设备输入凭证来访问用户资源。概述提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。以下讨论的各实施例涉及在系统重启期间重新建立对用户资源的访问,同时放弃对用户凭证的使用的用户设备。用户设备可在初始登录期间从用户接收用户凭证以访问用户资源。用户设备可创建用于访问用户资源的短暂熵。用户设备可使用短暂熵来访问用户资源。附图为了描述可以获得本专利技术的上文所列举的及其他优点和特征,下面将通过参考所附图形中所示出的特定实施例,阐述和呈现更具体的描述。可以理解这些图形只描绘了典型的实施例,因此,不被视为对其范围的限制,将通过使用各个附图并利用额外的特征和细节来描述和说明各实现。图1以框图示出了计算网络的一个实施例。图2以框图示出了计算设备的一个实施例。图3以框图示出了用户设备体系结构的一个实施例。图4以流程图示出了一种用于以用户凭证访问用户资源的方法的一个实施例。图5以流程图示出了用于创建熵保护密钥的方法的一个实施例。图6以流程图示出了用于用短暂熵执行系统重启的方法的一个实施例。图7以流程图示出了用于安排系统状态的捕捉的方法的一个实施例。详细描述下面将详细地讨论各实施例。尽管讨论了具体实现,但是,应该理解,这只是为了说明。那些精通相关技术的人员将认识到,在不偏离本专利技术的主题的精神和范围的情况下,可以使用其他组件和配置。实现可以是用户设备、计算机设备、或机器实现的方法。在一个实施例中,用户设备可在系统重启期间重新建立对用户资源的访问,同时放弃对用户凭证的使用。用户设备可在初始登录期间从用户接收用户凭证以访问用户资源。用户设备可解密受凭证保护的密钥以产生数据保护密钥。用户设备可创建用于访问用户资源的短暂熵。用户设备可用短暂熵来加密数据保护密钥以产生熵保护密钥。用户设备可在系统重启之后解密熵保护密钥以产生数据保护密钥。用户设备可用使用熵保护密钥获得的数据保护密钥来访问用户资源。对于面向网络的账户,诸如电子邮件账户或云存储服务账户,用户设备可使用用户凭证来加密用户的经高速缓存的信息,诸如认证令牌、连接信息和状态数据。在初始登录时,用户提供用户设备使用来解密经高速缓存的信息的用户凭证。经高速缓存的信息可包括数据保护密钥。数据保护密钥可解锁对用户加密的数据,诸如对各种地点的口令或用于各种服务的认证令牌。使用用户口令和令牌的各应用可使用数据保护密钥来解密这一敏感信息。因为数据保护密钥针对用户凭证被加密,所以用户设备可将对敏感信息的访问限制到知晓该用户凭证的特定用户。用户可以用不同类型的凭证(诸如口令、智能卡、物测定数据,或非对称密钥)来登录用户设备可用每个用户凭证来保护经高速缓存的信息。用户设备可接着用用户凭证来解锁数据保护密钥。在用户的登录会话期间,用户设备可为每一类型的凭证更新数据保护密钥。对于口令,数据保护密钥可加密口令的导出数,以口令的导出数来保护数据保护密钥。对于非对称密钥对,密钥对的公共部分可加密要通过私有部分来解密的数据保护密钥。在口令登录会话期间,在数据保护密钥改变之际,用户设备可用口令的导出数来重新加密新密钥并且用新密钥重新加密口令的导出数。类似地,用户设备可用非对称密钥对的公共部分来重新加密新密钥。在非对称密钥对凭证登录会话期间,用户设备可使用先前的数据保护密钥来解密口令导出数。用户设备可接着使用新的数据保护密钥来重新加密口令导出数,并且使用该口令导出数来加密该新的数据保护密钥。用户设备也可用非对称密钥的公共部分来加密数据保护密钥。因此,下一次用户用任一类型凭证登录时,相同的经更新数据保护密钥能够可用。对于基于口令的凭证,用户设备可使用口令导出数来解密数据保护密钥。对于基于非对称密钥对的凭证,用户设备可使用私有部分来解密同一数据保护密钥。对于跨重启的登录的免凭证恢复,用户设备可生成短暂熵来加密数据保护密钥,该数据保护密钥通过具有短暂熵的实际凭证来解密。短暂熵是被生成来持续仅受限的时间段(例如,单次使用)的随机令牌。用户设备可用数据保护密钥来加密短暂熵。用户设备可将短暂熵写入安全位置,诸如受信平台模块。当用户设备重启时,用户设备可读取短暂熵来解密数据保护密钥以解锁可用于访问用户资源的任何敏感信息,而无需使用实际用户凭证。图1以框图示出了计算网络100的一个实施例。用户设备110可执行操作系统112来访问用户资源。操作系统112可使用用户凭证来访问设备资源114,诸如软件应用或存储的数据文件。用户设备110可使用操作系统112或驻留在操作系统上的应用来通过数据网络连接130访问网络服务120。网络服务120可具有分配给拥有用户设备110的用户的具体的网络账户122。网络账户122可用用户凭证来保护网络资源124。操作系统112可使用用户凭证来访问网络账户122以访问网络资源124,诸如电子邮件账户、在线数据存储、社交网络服务、软件即服务(SaaS),或其它网络服务。网络服务120可以在单个网络服务器或一组分布式网络服务器(诸如服务器场)上被实现。数据网络连接130可以是因特网连接、广域网连接、局域网连接,或其他类型的数据网络连接。图2示出可用作用户设备或针对网络服务的网络服务器的示例性计算设备200的框图。计算设备200可组合硬件、软件、固件、和片上系统技术中的一个或多个来实现用户设备或针对网络服务的网络服务器。计算设备200可包括总线210、处理核220、存储器230、数据存储240、安全数据存储设备250、输入设备260、输出设备270,以及通信接口280。总线210,或其他组件互连,可以允许在计算设备200的各组件之间的通信。处理核220可以包括解释并执行一组指令的至少一个常规处理器或微处理器。处理核220可被配置来创建可用于访问用户资源而无需使用用户凭证的短暂熵。处理核220可被进一步配置以使用短暂熵来访问用户资源。短暂熵可与用户设备排他地相关联,使得仅那个用户设备可使用该短暂熵。短暂熵可以与用户设备的具体用户排他地相关联,使得该用户设备可使用该短暂熵来加密用于仅针对该用户的访问信息的数据保护密钥。短暂熵可被限制于单次使用,使得在短暂熵已经解密数据保护密钥之后,该短暂熵耗尽。处理核220可被进一步配置来用数据保护密钥保护用户资源。处理核220可被进一步配置来用用户凭证加密数据保护密钥以产生注销时受凭证保护的密钥。用户凭证可以是口令、生物凭证、智能卡,和一对非对称密钥。注销可由用户发起或在定时器到期之际被启动。处理核220可被附加地配置来解密受凭证保护的密钥以产生数据保护密钥。处理核220可被配置来用短暂熵加密数据保护密钥以产生熵保护密钥。如果处理核220更新数据保护密钥,该至少一个处理器可被进一步配置来可能通过用短暂熵加密该新的数据保护密钥来更新熵保护密钥。处理核220还可被配置来用短暂熵解密熵保本文档来自技高网...
【技术保护点】
一种用户设备,包括:配置用于在初始登录期间从用户接收用户凭证以访问用户资源的输入设备;以及具有至少一个处理器的处理核,所述处理器被配置来创建短暂熵并使用所述短暂熵来访问用户资源,所述短暂熵被生成以持续受限的时间段。
【技术特征摘要】
【国外来华专利技术】2015.06.23 US 14/748,2221.一种用户设备,包括:配置用于在初始登录期间从用户接收用户凭证以访问用户资源的输入设备;以及具有至少一个处理器的处理核,所述处理器被配置来创建短暂熵并使用所述短暂熵来访问用户资源,所述短暂熵被生成以持续受限的时间段。2.如权利要求1所述的用户设备,其特征在于,进一步包括:被配置来在系统重启前存储所述用户设备的系统状态的数据存储设备。3.如权利要求1所述的用户设备,其特征在于,所述处理核被进一步配置来用数据保护密钥来保护所述用户设备的系统状态。4.如权利要求1所述的用户设备,其特征在于,所述处理核被进一步配置来在系统重启之际重置所述用户设备的系统状态。5.如权利要求1所述的用户设备,其特征在于,所述处理核被进一步配置来用数据保护密钥来保护所述用户资源。6.如权利要求1所述的用户设备,其特征在于,所述处理核被配置来用所述短暂熵来加密数据保护密钥以产生熵保护密钥。7.如权利要求1所述的用户设备,其特征在于,所述处理核被配置来用所述短暂熵来解密熵保护密钥以产生数据保护密钥。8.如权利要求1所述的用户设备,其特征在于,进一步包括:配置用于将熵保护密钥存储在安全位置中的安全数据存储设备。9.一种具有存储一系列指令的存储器的计算设备,所...
【专利技术属性】
技术研发人员:T·乌雷彻,S·辛哈,P·库克加,I·M·伊斯梅尔,J·施瓦茨,N·艾德,Y·巴赫曼,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。