经掩码处理的密钥跳跃制造技术

公开了用于增强计算机安全和安全性能的方法、系统和介质。在一个示例中，计算机安全系统包括密钥管理监控器和两个密钥元素，所述两个密钥元素包括第一密钥元素和第二密钥元素。第一密钥元素被存储在计算机存储器内的第一位置地址处，且第二密钥元素被存储在第二位置地址处。密钥管理监控器被配置为确定或接收用于执行计算机存储器的内容的数据转储的持续时间。在一个示例中，密钥管理监控器还被配置为控制第一密钥元素在计算机存储器内的位置，其中，第一密钥元素的位置地址在小于用于执行计算机存储器的内容的数据转储的持续时间的时间段内改变。

【技术实现步骤摘要】
【国外来华专利技术】经掩码处理的密钥跳跃相关申请的交叉引用本申请要求在2018年2月21日提交的美国申请序列号15/901,455的优先权，其全部内容通过引用并入本文中。
本公开的实施例总体上涉及数据加密，并且更具体地但并非限制性地涉及用于计算机、基于云的代理和域中的经掩码处理的密钥跳跃的系统和方法。在其他方面中，本公开涉及云环境中没有高安全性模块的加密密钥保护。
技术介绍
云计算通常是指具有动态可扩缩且经常虚拟化的资源的计算环境，这些资源通常作为互联网上的服务来提供。例如，云计算环境经常采用虚拟化的概念，作为将工作负载托管在任何适当硬件上的便捷范例。对于许多企业而言，由于各种原因，云计算模型已经变得越来越可行，各种原因包括云基础架构可以允许将信息技术资源视为可以按需自动提供的实用程序，同时还将服务成本限制为实际资源消耗。此外，云计算环境中提供的资源的消费者可以利用原本可能不可用的技术。因此，随着云计算和云存储变得越来越普遍，许多企业将发现将数据中心迁移到云提供商可以产生规模经济。但是，在减少成本的同时增强速度和可扩缩性会给云环境带来巨大的技术和安全挑战。出于安全原因，可以在云应用中部署高安全性模块(“HSM”)，例如用于存储和处理私钥。但是，HSM非常昂贵，而且可能不是随处可用的。在分配的存储器具有弹性并且可以重新分配存储器的公共云环境中，这些挑战尤其困难。在这样的云环境中，不熟练或经验不足的计算机用户可能没有意识到：将秘密数据(例如加密密钥或其他证书)例如存储在存储器中(特别是纯文本格式)可能非常危险。如果密钥是静态存储或留在重新分配的存储器中，则风险会加剧。在这些基于云的情况下或其他计算情况下，可能会出现高级持续性威胁(“APT”)。恶意黑客尝试(例如“注入”攻击、“堆栈”或“缓冲区”溢出、或“心脏出血”式的攻击)可以使计算机存储器被“转储输出(dumpedout)”，并且可以找到存储在其中的密钥或证书。攻击者还可能引起存储器数据在短时间内改变，并且其中识别出的任何静态数据都可以被识别为可能被破解或攻击的密钥或其他证书的可能来源。这种自动攻击可以包括密钥搜索能力，其可以在很短的时间内根据转储的存储器来识别出密钥并窃取密钥。本专利技术人设法处理这些和其他技术问题，并设法提供如下文更全面地描述的加密和计算机安全系统、方法和介质作为针对这些和其他技术问题的技术解决方案。附图说明在所附附图中通过示例而非限制的方式示出了本公开的一些实施例，在附图中相似的附图标记指示类似的元素。图1是示出了根据示例实施例的联网系统的框图。图2是示出了根据一些示例实施例的与云环境中的代理和域一起工作的示例加密系统的架构细节的框图。图3是示出了代表性软件架构的框图，该代表性软件架构可以结合本文所描述的各种硬件架构一起使用。图4是示出了根据一些示例实施例的能够从机器可读介质(例如，机器可读存储介质)中读取指令并执行本文所讨论的方法中的任何一个或多个方法的机器的组件的框图。图5描绘了根据一些示例实施例的随机存储器区域选择的示例表示。图6是描绘了根据示例实施例的加密方法中的一些操作的流程图。具体实施方式以下描述包括具体实现说明性实施例的说明性的系统、方法、技术、指令序列和计算机器程序产品。在以下的描述中，出于解释的目的，阐述了很多具体细节以提供对本专利技术主题的各种实施例的理解。然而，对于本领域技术人员来说将显而易见的是，本专利技术主题的实施例可以在没有这些具体细节的情况下实践。一般而言，对公知的指令实例、协议、结构和技术不进行详细说明。本公开提供了用于在云或其他计算环境中优化和增强加密和安全性的技术解决方案。本文公开了用于部署优化的系统、方法和架构。本上下文中的“载波信号”指能够存储、编码或携带用于由机器执行的指令的任何无形介质，并且包括数字或模拟通信信号或用于促进这种指令的传送的其它无形介质。可以经由网络接口设备使用传输介质并使用多种已知传输协议中的任何一种传输协议来通过网络发送或接收指令。本上下文中的“客户端设备”指与通信网络对接以从一个或多个服务器系统或其他客户端设备获得资源的任何机器。客户端设备可以是(但不限于)：移动电话、台式计算机、膝上型计算机、便携式数字助理(PDA)、智能电话、平板计算机、超级本、上网本、膝上型计算机、多处理器系统、基于微处理器的或可编程的消费电子产品、游戏机、机顶盒或用户可以用来接入网络的任何其他通信设备。本上下文中的“通信网络”指网络的一个或多个部分，该网络可以是自组织(adhoc)网络、内联网、外联网、虚拟专用网(VPN)、局域网(LAN)、无线LAN(WLAN)、广域网(WAN)、无线WAN(WWAN)、城域网(MAN)、互联网、互联网的一部分、公共交换电话网络(PSTN)的一部分、普通老式电话服务(POTS)网络、蜂窝电话网络、无线网络、网络、另一类型的网络、或两个或更多个这样的网络的组合。例如，网络或网络的一部分可以包括无线或蜂窝网络，并且客户端设备到网络的耦接可以是码分多址(CDMA)连接、全球移动通信系统(GSM)连接或另一种类型的蜂窝或无线耦接。在该示例中，该耦接可以实现各种类型的数据传输技术中的任何一种数据传输技术，例如单载波无线电传输技术(1xRTT)、演进数据优化(EVDO)技术、通用分组无线电服务(GPRS)技术、GSM演进增强数据速率(EDGE)技术、包括3G在内的第三代合作伙伴计划(3GPP)、第四代无线(4G)网络、通用移动电信系统(UMTS)、高速分组接入(HSPA)、全球微波接入互操作性(WiMAX)、长期演进(LTE)标准、由各种标准设置组织定义的其他标准、其他远程协议或其他数据传输技术。本上下文中的“组件”指具有边界的设备、物理实体或逻辑，该边界由功能、方法、属性、对象或子例程调用、分支点、应用程序接口(API)、或提供特定处理或控制功能的划分或模块化的其他技术来限定。组件可以经由其接口与其他组件进行组合，以实施机器处理。组件可以是封装功能性硬件单元，其被设计与其他组件和程序中通常执行相关功能中的特定功能的部分一起使用。组件可以构成软件组件(例如，机器可读介质上体现的代码)或硬件组件。“硬件组件”是能够执行特定操作的有形单元，并且可以按照特定的物理方式来配置或布置。在各种示例实施例中，一个或多个计算机系统(例如独立的计算机系统、客户端计算机系统或服务器计算机系统)或者计算机系统的一个或多个硬件组件(例如处理器或处理器组)可以由软件(例如应用或应用部分)配置为进行操作以执行本文中描述的特定操作的硬件组件。也可以机械地、电性地或用其任何合适的组合来实现硬件组件。例如，硬件组件可以包括被永久配置为执行特定操作的专用电路或逻辑。硬件组件可以是专用处理器，例如现场可编程门阵列(FPGA)或专用集成电路(ASIC)。硬件组件还可以包括由软件临时配置为执行特定操作的可编程逻辑或电路。例如，硬件组件可以包括由通用处理器或其他可编程处理器执行的软件。一旦由这样的软件配置，硬件组件本文档来自技高网...

【技术保护点】
1.一种计算机安全系统，包括：/n密钥管理监控器以及两个密钥元素，所述两个密钥元素包括第一密钥元素和第二密钥元素，所述第一密钥元素被存储在计算机存储器内的第一位置地址处，且所述第二密钥元素被存储在第二位置地址处；/n所述密钥管理监控器被配置为确定或接收用于执行所述计算机存储器的内容的数据转储的持续时间；/n所述密钥管理监控器还被配置为控制所述第一密钥元素在所述计算机存储器内的位置，其中，所述第一密钥元素的位置地址在小于用于执行所述计算机存储器的内容的数据转储的持续时间的时间段内改变。/n

【技术特征摘要】
【国外来华专利技术】20180221 US 15/901,4551.一种计算机安全系统，包括：
密钥管理监控器以及两个密钥元素，所述两个密钥元素包括第一密钥元素和第二密钥元素，所述第一密钥元素被存储在计算机存储器内的第一位置地址处，且所述第二密钥元素被存储在第二位置地址处；
所述密钥管理监控器被配置为确定或接收用于执行所述计算机存储器的内容的数据转储的持续时间；
所述密钥管理监控器还被配置为控制所述第一密钥元素在所述计算机存储器内的位置，其中，所述第一密钥元素的位置地址在小于用于执行所述计算机存储器的内容的数据转储的持续时间的时间段内改变。


2.根据权利要求1所述的计算机安全系统，其中，所述时间段小于用于执行所述计算机存储器的在所述第一位置地址和与所述第二位置地址之间的内容的数据转储的所述持续时间。


3.根据权利要求1所述的计算机安全系统，其中，用于改变所述第一密钥元素的位置地址的时间段基于所述第一位置地址与所述第二位置地址之间的距离，以及其中，所述第一位置地址与所述第二位置地址之间的所述距离随机地连续改变。


4.根据权利要求2所述的计算机安全系统，其中，所述第一位置地址与所述第二位置地址之间的距离随机地连续改变，以及其中，每个距离和值在小于用于执行所述计算机存储器的内容的数据转储的持续时间的时间段内改变。


5.根据权利要求1所述的计算机安全系统，其中，密钥监控器还被配置为在用于控制所述第一密钥元素在所述计算机存储器内的位置的范例被接受以供使用之前，测试包括所述计算机存储器在内的系统的熵。


6.根据权利要求1所述的计算机安全系统，其中，所述两个密钥元素包括密钥置乱索引掩码。


7.根据权利要求1所述的计算机安全系统，其中，所述两个密钥元素包括存储改变的存储器地址的存储器位置。


8.一种计算机安全方法，包括：
识别两个密钥元素，所述两个密钥元素包括第一密钥元素和第二密钥元素，所述第一密钥元素被存储在计算机存储器内的第一位置地址处，且所述第二密钥元素被存储在所述计算机存储器内的第二位置地址处；
确定或接收用于在包括所述计算机存储器在内的计算机系统内执行交易的持续时间；
控制所述两个密钥元素中的至少一个密钥元素在所述计算机存储器中的位置，以及周期性地或随机地改变所述至少一个密钥元素在所述存储器中的位置地址，包括在小于用于在包括所述计算机存储器在内的所述计算机系统内执行所述交易的持续时间的时间段内改变所述至少一个密钥元素的位置地址。


9.根据权利要求8所述的计算机安全方法，其中，所述交易包括执行所述计算机存储器的内容的数据转储。


10.根据权利要求9所述的计算机安全方法，还包括：
基于所述第一位置地址与所述第二位置地址之间的距离来识别用于改变所述至少一个密钥元素的位置地址的时间段；以及
随机地连续改变相应位置地址之间的距离。

【专利技术属性】
技术研发人员：迈克尔·J·T·钱，德雷克·查莫罗，文卡塔·西瓦·维贾延德拉·巴米蒂帕提，格伦·G·莱巴姆费思尔，拉尔夫·斯科特·福赛思，
申请(专利权)人：电子湾有限公司，
类型：发明
国别省市：美国;US