專利名稱:基于在線密鑰的密鑰保護(hù)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及密鑰保護(hù)。
背景技術(shù):
隨著計算機存儲技術(shù)的進(jìn)步,大容量存儲設(shè)備已經(jīng)變得越來越普遍。這些設(shè)備可以存儲大量的數(shù)據(jù),這些設(shè)備中的某些本質(zhì)上是便攜的,并容易丟失或被盜。類似地,諸如虛擬硬盤之類的虛擬存儲介質(zhì)也使得數(shù)據(jù)在多個設(shè)備之間更容易轉(zhuǎn)移。在存儲設(shè)備上或虛擬存儲介質(zhì)上存儲大量的數(shù)據(jù)對于用戶來說是有問題的,因為如果存儲設(shè)備或虛擬存儲介質(zhì)丟失、被盜或以其他方式被泄露,它會導(dǎo)致大量數(shù)據(jù)向惡意用戶公開。由于用戶可能希望存儲在這樣的存儲設(shè)備或虛擬存儲介質(zhì)上的數(shù)據(jù)的脆弱性,這會導(dǎo)致用戶產(chǎn)生挫敗感。
發(fā)明內(nèi)容
提供本發(fā)明內(nèi)容是為了以精簡的形式介紹將在以下詳細(xì)描述中進(jìn)一步描述的一些概念。本概述并不旨在標(biāo)識出所要求保護(hù)的主題的關(guān)鍵特征或必要特征,也不旨在用于限定所要求保護(hù)的主題的范圍。根據(jù)一個或多個方面,為存儲介質(zhì)創(chuàng)建密鑰保護(hù)裝置的方法包括獲取在線密鑰。 至少部分地基于在線密鑰,加密用于加密和解密存儲介質(zhì)或加密和解密用于加密存儲介質(zhì)的一個或多個存儲介質(zhì)加密密鑰的主密鑰。在線密鑰可以是例如由遠(yuǎn)程服務(wù)保護(hù)的密鑰或其他信息。存儲用于存儲介質(zhì)的密鑰保護(hù)裝置,該密鑰保護(hù)裝置包括已加密的主密鑰。根據(jù)一個或多個方面,在計算設(shè)備中實現(xiàn)了用于訪問用戶保護(hù)的存儲介質(zhì)的方法。從遠(yuǎn)程服務(wù)獲取與用戶保護(hù)的存儲介質(zhì)相關(guān)聯(lián)的在線密鑰。獲取包括已加密的主密鑰的密鑰保護(hù)裝置,該主密鑰用于解密用戶保護(hù)的存儲介質(zhì)或解密用于解密用戶保護(hù)的存儲介質(zhì)的一個或多個存儲介質(zhì)加密密鑰。使用在線密鑰來從密鑰保護(hù)裝置中解密主密鑰。
在各附圖中,使用相同的標(biāo)號來指示相同的特征。圖1示出了根據(jù)一個或多個實施例的實現(xiàn)基于在線密鑰的密鑰保護(hù)裝置的示例系統(tǒng)。圖2是示出了根據(jù)一個或多個實施例的基于在線密鑰的示例密鑰保護(hù)裝置的框圖。圖3是示出了根據(jù)一個或多個實施例的用于創(chuàng)建基于在線密鑰的示例過程的流程圖。圖4是示出了根據(jù)一個或多個實施例的用于使用基于在線密鑰的密鑰保護(hù)裝置來解密存儲介質(zhì)上的數(shù)據(jù)的示例過程的流程圖。圖5示出了根據(jù)一個或多個實施例的可以被配置成實現(xiàn)基于在線密鑰的密鑰保護(hù)裝置的示例計算設(shè)備。
具體實施例方式此處討論了基于在線密鑰的密鑰保護(hù)裝置。一個或多個密鑰保護(hù)裝置存儲在存儲介質(zhì)上,并允許一個用戶或用戶組訪問該存儲介質(zhì)上的已加密的數(shù)據(jù)。一種密鑰保護(hù)裝置是基于在線密鑰的密鑰保護(hù)裝置。存儲介質(zhì)上的數(shù)據(jù)是使用主密鑰或使用該主密鑰加密的一個或多個密鑰加密的?;谠诰€密鑰的密鑰保護(hù)裝置存儲基于在線密鑰加密的主密鑰。 可以單獨地基于在線密鑰,或者可另選地基于在線密鑰與一個或多個本地密鑰的組合,來加密主密鑰。可以基于各種用戶輸入(如用戶輸入的密碼,用戶輸入的來自智能卡的個人標(biāo)識號等等),獲取本地密鑰。在線密鑰受與訪問存儲介質(zhì)的設(shè)備分開的遠(yuǎn)程服務(wù)的保護(hù)。 訪問存儲介質(zhì)的設(shè)備,或該設(shè)備的用戶,向遠(yuǎn)程服務(wù)認(rèn)證其本身,以便從遠(yuǎn)程服務(wù)獲取在線密鑰。此處將參考對稱密鑰加密、公鑰加密、和公/私鑰對。雖然這樣的密鑰加密對于本領(lǐng)域的技術(shù)人員是已知的,但是,這里仍對它們進(jìn)行簡要概述以幫助讀者。在公鑰加密中, 一個實體(如用戶、硬件或軟件組件、設(shè)備、域等等)具有與它相關(guān)聯(lián)的公/私鑰對??梢允构€公開可用,但是,該實體使私鑰保密。若沒有私鑰,從計算上來說很難解密使用公鑰加密的數(shù)據(jù)。如此,數(shù)據(jù)可以由具有公鑰的任何實體加密,而只能由具有對應(yīng)的私鑰的實體解密。另外,也可以通過使用數(shù)據(jù)和私鑰來生成該數(shù)據(jù)的數(shù)字簽名。若沒有私鑰,從計算上來說很難創(chuàng)建可以使用公鑰驗證的簽名。具有公鑰的任何實體都可以使用公鑰,通過對公鑰、簽名以及被簽名的數(shù)據(jù)執(zhí)行合適的數(shù)字簽名驗證算法,來驗證數(shù)字簽名。另一方面,在對稱密鑰加密中,共享的密鑰(也被稱為對稱密鑰)被一個或多個實體知道,并由它們保密。具有共享密鑰的任何實體通常都能夠解密利用該共享密鑰加密的數(shù)據(jù)。若沒有共享密鑰,從計算上來說很難解密利用共享密鑰加密的數(shù)據(jù)。如此,如果兩個實體都知道共享密鑰,則每一實體都可以加密數(shù)據(jù),并可以由另一個實體解密該數(shù)據(jù),但是,如果其他實體不知道共享密鑰,則這些其他實體不能解密該數(shù)據(jù)。類似地,一個具有共享密鑰的實體可以加密數(shù)據(jù),并可以由該同一個實體解密該數(shù)據(jù),但是,如果其他實體不知道共享密鑰,則這些其他實體不能解密該數(shù)據(jù)。圖1示出了根據(jù)一個或多個實施例的實現(xiàn)基于在線密鑰的密鑰保護(hù)裝置的示例系統(tǒng)100。系統(tǒng)100包括可以耦合到存儲介質(zhì)104的計算設(shè)備102。存儲介質(zhì)104可以是使用各種不同的技術(shù)實現(xiàn)的存儲設(shè)備,如閃存設(shè)備、磁盤、光盤、其組合等等。存儲介質(zhì)104 也可以是由計算設(shè)備和操作系統(tǒng)在邏輯上當(dāng)作存儲設(shè)備的存儲設(shè)備的一部分。例如,存儲介質(zhì)可以是硬盤驅(qū)動器的一個分區(qū),閃存設(shè)備的一部分等等。存儲介質(zhì)104也可以是可以由計算設(shè)備102安裝的(例如,由在計算設(shè)備102上運行的虛擬機安裝的)虛擬存儲介質(zhì), 如虛擬磁盤。例如,存儲介質(zhì)可以是虛擬硬盤(VHD)文件(例如,閃存設(shè)備上的,磁盤上的, 等等),并由在計算設(shè)備102上運行的虛擬機作為磁盤安裝。位于美國華盛頓州雷德蒙市的微軟公司提供關(guān)于VHD文件的額外的信息。如此,存儲介質(zhì)104可以是物理存儲介質(zhì)或虛擬存儲介質(zhì)。存儲介質(zhì)104可以以各種不同的有線和/或無線方式耦合到設(shè)備102。例如,存儲介質(zhì)104可以通過通用串行總線(USB)連接、無線USB連接、IEEE1394連接、藍(lán)牙連接等等,耦合到設(shè)備102。存儲介質(zhì)104可以被設(shè)計成耦合到不同的計算設(shè)備(同時或在不同的時間)。在一個或多個實施例中,存儲介質(zhì)104是可移動介質(zhì),如被設(shè)計成能輕松地耦合到計算設(shè)備102并從計算設(shè)備102分離并轉(zhuǎn)移到其他計算設(shè)備的存儲設(shè)備的一部分。拇指驅(qū)動器(thumb drive)或USB閃存設(shè)備是這樣的可移動存儲介質(zhì)的一個示例。可另選地,存儲介質(zhì)104可以采取其他形式,如作為通過網(wǎng)絡(luò)(例如,因特網(wǎng)、局域網(wǎng)(LAN)、公用電話網(wǎng)、內(nèi)聯(lián)網(wǎng)、其他公共和/或?qū)S械木W(wǎng)絡(luò),其組合,等等)耦合到計算設(shè)備102的網(wǎng)絡(luò)存儲設(shè)備,計算設(shè)備102的內(nèi)部存儲介質(zhì)(例如,內(nèi)部硬盤驅(qū)動器)等等。例如,存儲介質(zhì)104可以是可通過網(wǎng)絡(luò)訪問的虛擬存儲介質(zhì),如作為可以通過網(wǎng)絡(luò)被設(shè)備102 訪問的一個或多個服務(wù)上的一個或多個VHD文件來存儲。計算設(shè)備102可以是能夠與存儲介質(zhì)104進(jìn)行通信的各種不同類型的設(shè)備。例如, 計算設(shè)備102可以是臺式計算機、移動站、筆記本電腦或膝上型計算機、筆記本型機、娛樂設(shè)備、可通信地耦合到顯示設(shè)備的機頂盒、蜂窩式或其他無線電話、音樂或視頻播放設(shè)備、 游戲控制臺、車載計算機等等。如此,計算設(shè)備102可以從帶有相當(dāng)大的存儲器和處理器資源的完全資源設(shè)備(例如,個人計算機、游戲控制臺)到具有有限的存儲器和/或處理資源的低資源設(shè)備(例如,傳統(tǒng)的機頂盒、手持式游戲控制臺)。系統(tǒng)100還包括遠(yuǎn)程服務(wù)106。遠(yuǎn)程服務(wù)106可以通過一個或多個相同或不同類型的計算設(shè)備來實現(xiàn)。類似于上文關(guān)于計算設(shè)備102的討論,遠(yuǎn)程服務(wù)106可以使用各種不同類型的計算設(shè)備來實現(xiàn)。遠(yuǎn)程服務(wù)106是在與計算設(shè)備102分開的一個或多個設(shè)備上實現(xiàn)的,且因此被稱為“遠(yuǎn)程的”。遠(yuǎn)程服務(wù)106可以在物理上位于計算設(shè)備102的附近 (例如,在同一房間或建筑物中)或者離得很遠(yuǎn)(例如,在不同的州,不同的國家等等)。計算設(shè)備102通過諸如因特網(wǎng)、局域網(wǎng)(LAN)、公用電話網(wǎng)、內(nèi)聯(lián)網(wǎng)、其他公共和/或?qū)S械木W(wǎng)絡(luò)、其組合等等之類的網(wǎng)絡(luò),與遠(yuǎn)程服務(wù)106進(jìn)行通信。計算設(shè)備102可以通過一個或多個有線和/或無線連接與遠(yuǎn)程服務(wù)106進(jìn)行通信。為保護(hù)存儲在存儲介質(zhì)104上的數(shù)據(jù),使用基于卷的或基于驅(qū)動器的加密技術(shù), 加密存儲介質(zhì)104。在一個或多個實施例中,響應(yīng)于用戶的保護(hù)存儲介質(zhì)104的請求(或來自另一組件或模塊的為用戶加密存儲介質(zhì)104的請求),加密存儲介質(zhì),因此存儲介質(zhì)104 也可以被稱為用戶保護(hù)的存儲介質(zhì)。在基于卷或基于驅(qū)動器的加密技術(shù)中,加密整個卷和 /或驅(qū)動器,而并非存儲在那些卷和/或驅(qū)動器上的單個文件。在一個或多個實施例中,用于加密和解密存儲介質(zhì)104的加密技術(shù)是位于美國華盛頓州雷德蒙市的微軟公司推出的 BitLocker 驅(qū)動器加密技術(shù)??闪磉x地,也可以使用其他公共和/或?qū)S械募用芗夹g(shù)。計算設(shè)備102包括加密存儲器112、卷保護(hù)模塊114,以及輸入/輸出(I/O)模塊 116。可以理解,計算設(shè)備102也可以包括用于提供計算設(shè)備102的各種功能的一個或多個附加的組件或模塊。模塊114和116可以以軟件、固件、硬件或其組合來實現(xiàn)。當(dāng)以軟件或固件實現(xiàn)時,模塊114和116中的每一個都包括由計算設(shè)備102的處理器或控制器執(zhí)行的一個或多個指令。模塊114和116通常被實現(xiàn)為計算設(shè)備102的操作系統(tǒng)的一部分,雖然模塊114和116可以可另選地與操作系統(tǒng)分開實現(xiàn)。例如,并非作為計算設(shè)備102的操作系統(tǒng)的一部分,可以從另一源(諸如遠(yuǎn)程設(shè)備、存儲介質(zhì)104等等)獲得卷保護(hù)模塊114,并由計算設(shè)備102運行,以便訪問存儲介質(zhì)104上的已加密的數(shù)據(jù)。加密存儲器112存儲密鑰和/或支持由卷保護(hù)模塊114執(zhí)行的加密與解密的其他信息。例如,加密存儲器112可以存儲公/私鑰對的公鑰、公/私鑰對的私鑰、證書、對稱密鑰和/或用于加密和/或解密數(shù)據(jù)的其他數(shù)據(jù)中的一個或多個。加密存儲器112可以維護(hù)在設(shè)備102的各種不同的計算機存儲介質(zhì)中,如隨機存取存儲器(RAM)、閃存、磁盤等等。加密存儲器112也可以可任選地包括允許計算設(shè)備102的其他組件和模塊訪問由加密存儲器 112存儲的數(shù)據(jù)的接口部分。存儲器112的這樣的接口部分可以以軟件、固件、硬件或其組合來實現(xiàn)。I/O模塊116管理從存儲介質(zhì)104輸入數(shù)據(jù)和向存儲介質(zhì)104輸出數(shù)據(jù)。取決于存儲介質(zhì)104被配置成與計算設(shè)備102進(jìn)行通信的方式,I/O模塊116可以使用各種不同的連接和/或網(wǎng)絡(luò)協(xié)議與存儲介質(zhì)104進(jìn)行通信。I/O模塊116還管理往返于遠(yuǎn)程服務(wù)106 的數(shù)據(jù)傳輸。I/O模塊116可以使用各種不同的連接和/或網(wǎng)絡(luò)協(xié)議與遠(yuǎn)程服務(wù)106進(jìn)行
ififn。卷保護(hù)模塊114支持用于保護(hù)存儲介質(zhì)104的特定加密技術(shù)。因此,當(dāng)存儲介質(zhì) 104耦合到計算設(shè)備102或由計算設(shè)備102安裝時,計算設(shè)備102能夠使用如下面比較詳細(xì)地討論的密鑰保護(hù)裝置來訪問存儲介質(zhì)104上的已加密的數(shù)據(jù)。存儲介質(zhì)104包括元數(shù)據(jù)部分120和已加密的數(shù)據(jù)部分122。已加密的數(shù)據(jù)部分 122存儲已經(jīng)被加密的(逐一地或以其他方式)數(shù)據(jù)文件,以及關(guān)于對存儲介質(zhì)104的保護(hù)的各種其他數(shù)據(jù),如各種數(shù)據(jù)結(jié)構(gòu)或其他信息在存儲介質(zhì)104上的位置,對于存儲介質(zhì)104 的一個或多個部分的數(shù)字簽名等等。元數(shù)據(jù)部分120存儲關(guān)于存儲介質(zhì)104和/或已加密的數(shù)據(jù)部分122的各種信息,如一個或多個基于在線密鑰的密鑰保護(hù)裝置(基于在線密鑰的密鑰保護(hù)裝置)124,元數(shù)據(jù)驗證字段,等等。在一個或多個實施例中,如上文所討論地,已加密的數(shù)據(jù)部分122是使用基于卷的或基于驅(qū)動器的加密技術(shù)加密的,而元數(shù)據(jù)部分120 是存儲介質(zhì)104中沒有如上文所討論使用基于卷的或基于驅(qū)動器的加密技術(shù)來加密的未加密的部分。雖然元數(shù)據(jù)部分120可以是存儲介質(zhì)104的未加密的部分,但是,存儲在元數(shù)據(jù)部分120中的一些數(shù)據(jù)可以是加密的(例如,如下面比較詳細(xì)地討論的基于在線密鑰的密鑰保護(hù)裝置124的某些部分)。在線密鑰是指由遠(yuǎn)程服務(wù)106保護(hù)的并且與特定計算設(shè)備102和/或計算設(shè)備 102的特定用戶相關(guān)聯(lián)的密鑰。如下面比較詳細(xì)地討論的,在線密鑰可以由遠(yuǎn)程服務(wù)106存儲和/或由遠(yuǎn)程服務(wù)106解密。在線密鑰可以以各種不同的方式生成,如通過使用各種不同的常規(guī)隨機或偽隨機數(shù)發(fā)生器中的一個。在線密鑰也可以基于或使用其他信息來生成, 如基于令牌(例如,包括由遠(yuǎn)程服務(wù)106所提供的計算設(shè)備102的用戶的用戶名的陳述) 或由遠(yuǎn)程服務(wù)106所提供的標(biāo)識計算設(shè)備102的用戶的其他信息。例如,可以通過將常規(guī)散列函數(shù)應(yīng)用到由遠(yuǎn)程服務(wù)106為計算設(shè)備102的用戶生成的令牌,獲取散列值,并將該散列值用作在線密鑰。每一密鑰保護(hù)裝置1 都是存儲可使部分122被解密的一個或多個已加密的密鑰的結(jié)構(gòu)。由于存儲介質(zhì)104是使用基于卷的或基于驅(qū)動器的加密技術(shù)加密的,因此,密鑰保護(hù)裝置IM中的一個或多個已加密的密鑰可使部分122中的很多已加密的數(shù)據(jù)文件及其他數(shù)據(jù)被訪問(而并非允許只對單一已加密的文件進(jìn)行訪問)。在存儲介質(zhì)104上可以包括多個密鑰,可以使用各種不同的數(shù)據(jù)結(jié)構(gòu)來存儲它們。如下面比較詳細(xì)地討論的,密鑰保護(hù)裝置IM基于在線密鑰。另外,存儲基于其他加密技術(shù),如基于TPM(可信平臺模塊)的技術(shù)、基于公/私鑰對的技術(shù)等等的已加密的密鑰的一個或多個其他密鑰保護(hù)裝置,可以存儲在存儲介質(zhì)104上的元數(shù)據(jù)部分120中。已加密的部分122中的數(shù)據(jù)是使用多個密鑰的集合保護(hù)的。在一個或多個實施例中,部分122中的數(shù)據(jù)是使用被稱為完全存儲介質(zhì)加密密鑰或存儲介質(zhì)加密密鑰的對稱密鑰來加密的。可以使用各種不同的對稱密鑰加密算法或密碼,如AES、AES-CCM、DES、RC4等等,并使用存儲介質(zhì)加密密鑰,來加密和/或解密數(shù)據(jù)。存儲介質(zhì)加密密鑰是使用被稱為主密鑰的不同的對稱密鑰來加密的。可以使用各種不同的對稱密鑰加密算法或密碼,如AES、AES-CCM、DES、RC4等等,并使用主密鑰,來加密和/或解密數(shù)據(jù)??梢允褂萌缬糜诩用懿糠?22中的數(shù)據(jù)的相同算法或密碼來加密存儲介質(zhì)加密密鑰,或者,也可以使用不同的算法或密碼。已加密的存儲介質(zhì)加密密鑰存儲在存儲介質(zhì)104上,如存儲在部分122,或者存儲介質(zhì)104上的別處。可另選地,可以使用主密鑰來加密部分122中的數(shù)據(jù),在這樣的情況下,不必使用存儲介質(zhì)加密密鑰。主密鑰是至少部分地基于在線密鑰加密的??梢允褂迷诰€密鑰,或者可另選地使用在線密鑰與一個或多個本地密鑰的組合,來加密主密鑰。可以使用各種不同的(例如,對稱密鑰)加密算法或密碼,如AES、AES-CCM、DES、RC4等等,來加密和/或解密主密鑰??梢允褂萌缬糜诩用艽鎯橘|(zhì)加密密鑰和/或用于加密部分122中的數(shù)據(jù)的相同算法或密碼來加密主密鑰,或者,也可以使用不同的算法或密碼。已加密的主密鑰存儲在密鑰保護(hù)裝置 124 中。在其中只使用在線密鑰來加密主密鑰的各實施例中,加密算法或密碼用來加密和 /或解密主密鑰的密鑰是在線密鑰。因此,在一個或多個實施例中,使用在線密鑰來作為加密和/或解密主密鑰的對稱密鑰。在其中在線密鑰和一個或多個本地密鑰一起使用的各實施例中,將在線密鑰和一個或多個本地密鑰組合起來生成組合密鑰。此組合密鑰是加密算法或密碼用來加密和/或解密主密鑰的密鑰(例如,對稱密鑰)??梢砸圆煌姆绞剑褂酶鞣N數(shù)學(xué)運算中的任何一種,或?qū)⒏鞣N算法或進(jìn)程中的任何一種應(yīng)用到在線密鑰和一個或多個本地密鑰,來將在線密鑰和一個或多個本地密鑰組合起來。例如,可以通過使用“異-或”運算,以在線密鑰和一個或多個本地密鑰作為對“異-或”運算的輸入,并使用異-或運算的結(jié)果作為組合密鑰;通過將在線密鑰和一個或多個本地密鑰相加在一起;通過將在線密鑰和一個或多個本地密鑰級聯(lián);通過使用在線密鑰和一個或多個本地密鑰中的全部作為對散列函數(shù)或密鑰派生函數(shù)的輸入,并使用該函數(shù)的輸出作為組合密鑰等等,來組合在線密鑰和一個或多個本地密鑰。也可以通過使用類似于以上的討論的各種不同的對稱密鑰加密算法或密碼,這可以是與如上文所討論的相同對稱密鑰加密算法或密碼,或不同的對稱密鑰加密算法或密碼,加密在線密鑰和一個或多個本地密鑰中的一個,來將在線密鑰和一個或多個本地密鑰組合起來。可以使用一個或多個本地密鑰(或從一個或多個本地密鑰導(dǎo)出的某個值),加密在線密鑰,如果有多個本地密鑰,則可以例如將那些本地密鑰組合以生成用來加密在線密鑰的密鑰,可以使用一個本地密鑰來加密可以被用來加密在線密鑰的另一本地密鑰,等等。 可另選地,可以使用在線密鑰(或從在線密鑰導(dǎo)出的某個值),加密一個或多個本地密鑰。也可以通過利用在線密鑰或本地密鑰中的一個來加密主密鑰,然后利用在線密鑰或本地密鑰中的另一個來加密這個加密的結(jié)果,來將在線密鑰和一個或多個本地密鑰組合起來。例如,可以利用本地密鑰來加密主密鑰,并可以利用在線密鑰來加密這個加密的結(jié)果。作為另一個示例,可以利用在線密鑰來加密主密鑰,可以利用多個本地密鑰中的第一本地密鑰來加密這個加密的結(jié)果,并可以利用多個本地密鑰中的第二本地密鑰來加密這個加密的結(jié)果,以此類推。應(yīng)該注意,也可以將此處所討論的用于組合在線密鑰和一個或多個本地密鑰的各種技術(shù)組合起來,并以任何順序執(zhí)行。還應(yīng)注意,此處所討論的用于組合在線密鑰和一個或多個本地密鑰的各種技術(shù)只是示例而已,可以可另選地使用用于組合在線密鑰和一個或多個本地密鑰的其他技術(shù)??梢詫⒒谠诰€密鑰的多個這樣的密鑰保護(hù)裝置與相同或不同的實體相關(guān)聯(lián),可使不同的實體訪問部分122中的數(shù)據(jù)和/或可使實體以不同的方式標(biāo)識其本身。這些不同的實體可以是例如不同的用戶、不同的用戶組,等等。通過加密基于在線密鑰的主密鑰,可以將同一個主密鑰與這些多個密鑰保護(hù)裝置一起使用。遠(yuǎn)程服務(wù)106通過為在線密鑰提供解密支持和/或存儲,為在線密鑰提供保護(hù)。在一個或多個實施例中,卷保護(hù)模塊114生成在線密鑰,使用遠(yuǎn)程服務(wù)106的公鑰來加密在線密鑰,并存儲已加密的在線密鑰(例如,在基于在線密鑰的密鑰保護(hù)裝置124中)。卷保護(hù)模塊114可以隨后通過將已加密的在線密鑰發(fā)送到遠(yuǎn)程服務(wù)106,該遠(yuǎn)程服務(wù)106又可以解密在線密鑰并將其返回到計算卷保護(hù)模塊114(假設(shè)如下面比較詳細(xì)地討論的,計算設(shè)備 102被認(rèn)證),來檢索在線密鑰。遠(yuǎn)程服務(wù)106可任選地包括在線密鑰存儲器132和/或認(rèn)證模塊134。在線密鑰存儲器132為計算設(shè)備102存儲在線密鑰。雖然在圖1中示出了單個計算設(shè)備,但是,遠(yuǎn)程服務(wù)106可以為多個不同的計算設(shè)備存儲在線密鑰。在線密鑰存儲器132將從計算設(shè)備 102接收到的在線密鑰與計算設(shè)備102的標(biāo)識符和/或計算設(shè)備102的用戶的標(biāo)識符相關(guān)聯(lián)。計算設(shè)備102的標(biāo)識符可以是由遠(yuǎn)程服務(wù)106對計算設(shè)備102指派的名稱、由計算設(shè)備102的受信任的或安全處理組件所提供的標(biāo)識符、基于計算設(shè)備102的硬件和/或軟件配置所生成的標(biāo)識符等等。計算設(shè)備102的用戶的標(biāo)識符可以是例如由遠(yuǎn)程服務(wù)106對用戶指派的用戶名(也被稱為用戶ID)、由計算設(shè)備102的受信任的或安全處理組件所提供的用戶名、由用戶提交的并由遠(yuǎn)程服務(wù)106接受的用戶名等等。認(rèn)證模塊134認(rèn)證計算設(shè)備102的標(biāo)識符和/或計算設(shè)備102的用戶的標(biāo)識符。 在認(rèn)證計算設(shè)備102和/或計算設(shè)備102的用戶的標(biāo)識符之后,遠(yuǎn)程服務(wù)106允許與該標(biāo)識符相關(guān)聯(lián)的在線密鑰被返回到計算設(shè)備102。遠(yuǎn)程服務(wù)106可以以不同的方式獲取要被返回到計算設(shè)備102的在線密鑰,如通過從在線密鑰存儲器132檢索在線密鑰,使用遠(yuǎn)程服務(wù)106的私鑰來解密從卷保護(hù)模塊114接收到的已加密的在線密鑰,等等。認(rèn)證模塊134可以至少部分地基于特定標(biāo)識符,以不同的方式認(rèn)證計算設(shè)備102 和/或計算設(shè)備102的用戶的標(biāo)識符。例如,用戶標(biāo)識符可以具有相關(guān)聯(lián)的用戶密碼。用戶可以在計算設(shè)備102上輸入他的或她的用戶名和密碼,計算設(shè)備102將用戶名和密碼傳輸?shù)竭h(yuǎn)程服務(wù)106。認(rèn)證模塊134保留與用戶名相關(guān)聯(lián)的密碼的記錄或可以以其他方式訪問密碼。如果認(rèn)證模塊134判斷接收到的密碼是與接收到的用戶名相關(guān)聯(lián)的密碼,那么,用戶標(biāo)識符被認(rèn)證或驗證為是正確的;否則,用戶標(biāo)識符不被認(rèn)證或驗證為是正確的。作為另一個示例,認(rèn)證模塊134可以返回在線密鑰,以使得具有特定用戶名的計算設(shè)備102的用戶可以獲取在線密鑰,而其他用戶或計算設(shè)備卻不能。例如,可以使用與用戶名相關(guān)聯(lián)的密碼或令牌來加密在線密鑰,或者,令牌可以是在線密鑰。這種返回在線密鑰可以具有期滿時間(例如,特定日期和時間,以分鐘或小時為單位的持續(xù)時間等等),只允許在期滿時間到期以前獲取和/或使用在線密鑰??梢岳缬删肀Wo(hù)模塊114來實施期滿時間。例如, 可以返回令牌,并只在令牌過期以前將其用作在線密鑰(或用于解密在線密鑰),可以返回 cookie,并只在cookie過期以前將cookie中所包括的數(shù)據(jù)用作在線密鑰,等等。如此,認(rèn)證模塊134可以固有地通過返回在線密鑰來認(rèn)證計算設(shè)備102的用戶,以防止其他用戶或計算設(shè)備獲取在線密鑰。作為另一個示例,計算設(shè)備102的標(biāo)識符可以是由計算設(shè)備102的受信任的或安全處理組件所提供的標(biāo)識符。認(rèn)證模塊134從計算設(shè)備102獲取標(biāo)識符,并可以確認(rèn)(例如,基于與標(biāo)識符一起接收到的數(shù)字證書,基于認(rèn)證模塊134發(fā)送到計算設(shè)備102的一個或多個查詢,等等)標(biāo)識符是從計算設(shè)備102的受信任的或安全進(jìn)程接收到的??闪磉x地,認(rèn)證模塊134可以返回與標(biāo)識符相關(guān)聯(lián)的在線密鑰,以使得具有該標(biāo)識符的計算設(shè)備102可以獲取在線密鑰,而其他計算設(shè)備卻不能。例如,可以使用標(biāo)識符來加密在線密鑰,可以利用計算設(shè)備102的公鑰來加密在線密鑰,等等。如此,認(rèn)證模塊134可以固有地通過返回在線密鑰來認(rèn)證計算設(shè)備102的標(biāo)識符,以防止其他用戶或計算設(shè)備獲取在線密鑰。當(dāng)從遠(yuǎn)程服務(wù)106向計算設(shè)備102返回在線密鑰時,卷保護(hù)模塊114以安全方式維護(hù)在線密鑰,如維護(hù)在加密存儲器112中。在一個或多個實施例中,認(rèn)證模塊134作為網(wǎng)絡(luò)或服務(wù)組的認(rèn)證組件來操作。當(dāng)計算設(shè)備102的用戶通過被認(rèn)證模塊134認(rèn)證而登錄到特定網(wǎng)絡(luò)或服務(wù)組時,計算設(shè)備102獲取在線密鑰。當(dāng)用戶登錄到該特定網(wǎng)絡(luò)或服務(wù)組時, 卷保護(hù)模塊114維護(hù)在線密鑰,而當(dāng)用戶退出或以別的方式不再登錄到該特定網(wǎng)絡(luò)或服務(wù)組時,刪除在線密鑰。如此,在這樣的實施例中,只有在計算設(shè)備102的用戶登錄到該特定網(wǎng)絡(luò)或服務(wù)組的情況下,在線密鑰才可供卷保護(hù)模塊114用來解密存儲介質(zhì)104的已加密的數(shù)據(jù)部分122。如上文所討論的,可以將在線密鑰與一個或多個本地密鑰組合,以生成組合密鑰。 由卷保護(hù)模塊114來保護(hù)一個或多個本地密鑰,以便可以由被授權(quán)的用戶獲取它們,但是未經(jīng)授權(quán)的用戶不能獲取它們。被授權(quán)的用戶是向卷保護(hù)模塊114認(rèn)證了自己的用戶。一般而言,本地密鑰通過被加密或存儲在安全區(qū)域來保護(hù),然后,當(dāng)用戶向卷保護(hù)模塊114認(rèn)證自己時,被解密或從安全區(qū)域檢索。用戶通常以與用戶向認(rèn)證模塊134認(rèn)證自己不同的方式向卷保護(hù)模塊114認(rèn)證自己(例如,不使用與提供到認(rèn)證模塊134的相同的用戶名和密碼)。此認(rèn)證可以是向卷保護(hù)模塊114提供用戶名和密碼,使智能卡或其他設(shè)備(例如, 存儲標(biāo)識符的USB設(shè)備)可以被卷保護(hù)模塊114訪問,等等。在一個或多個實施例中,通過使用受信任的或安全處理組件將本地密鑰存儲(或密封)在計算設(shè)備102上,來保護(hù)本地密鑰。例如,可以使用計算設(shè)備102的操作系統(tǒng)的 TPM服務(wù)的存儲根密鑰(SRK),來密封本地密鑰。位于美國華盛頓州雷德蒙市的微軟公司提供關(guān)于TPM服務(wù)的額外的信息??梢皂憫?yīng)于用戶向卷保護(hù)模塊114認(rèn)證自己,開封或從TPM 服務(wù)中檢索密封的本地密鑰。作為另一個示例,可以基于兩個附加的密鑰來保護(hù)本地密鑰(例如,使用作為兩個附加的密鑰的組合的密鑰來加密),每一個附加的密鑰都可以使用各種不同的常規(guī)隨機或偽隨機數(shù)發(fā)生器中的一個來生成。可以使用計算設(shè)備102的操作系統(tǒng)的TPM服務(wù)的SRK來密封這兩個附加的密鑰中的一個,并可以響應(yīng)于用戶向卷保護(hù)模塊114認(rèn)證自己,開封或從TPM服務(wù)中檢索該附加密鑰。這兩個附加的密鑰中的另一個可以存儲在USB閃存驅(qū)動器上,并可以通過用戶將USB閃存驅(qū)動器連接到計算設(shè)備102(允許卷保護(hù)模塊114獲取此附加的密鑰)來獲取。作為再一個示例,可以基于兩個附加的密鑰來保護(hù)本地密鑰(例如,使用作為兩個附加的密鑰的組合的密鑰來加密)??梢允褂酶鞣N不同的常規(guī)隨機或偽隨機數(shù)發(fā)生器中的一個,來生成這兩個附加的密鑰中的第一附加的密鑰??梢允褂糜嬎阍O(shè)備102的操作系統(tǒng)的TPM服務(wù)的SRK來密封此第一附加的密鑰,并可以響應(yīng)于用戶向卷保護(hù)模塊114認(rèn)證自己,開封或從TPM服務(wù)中檢索該附加密鑰?;谟捎脩糨斎氲拿艽a,生成這兩個附加的密鑰中的第二附加的密鑰(例如,此第二附加的密鑰可以是通過將常規(guī)散列函數(shù)應(yīng)用到由用戶輸入的密碼來生成的散列值)??梢允褂糜嬎阍O(shè)備102的操作系統(tǒng)的TPM服務(wù)的SRK來密封此第二附加的密鑰,并可以響應(yīng)于用戶向卷保護(hù)模塊114認(rèn)證自己,開封或從TPM服務(wù)中檢索該附加密鑰。作為另一個示例,可以基于由用戶輸入的密碼來保護(hù)本地密鑰??梢曰谟捎脩糨斎氲拿艽a來加密本地密鑰(例如,用于加密本地密鑰的對稱密鑰可以是通過將常規(guī)散列函數(shù)應(yīng)用到由用戶輸入的密碼來生成的散列值)??梢杂捎脩粝蚓肀Wo(hù)模塊114輸入該同一個密碼來檢索本地密鑰。如此,在其中在線密鑰與一個或多個本地密鑰組合的各實施例中,為了使主密鑰被解密(如此,為了使已加密的數(shù)據(jù)部分122中的數(shù)據(jù)被解密),有至少兩個不同的認(rèn)證要被滿足。第一一個或多個認(rèn)證是用戶向卷保護(hù)模塊114認(rèn)證自己,允許一個或多個本地密鑰被解密。一個附加的認(rèn)證是用戶向認(rèn)證模塊134認(rèn)證自己(和/或計算設(shè)備102向認(rèn)證模塊134認(rèn)證其本身),允許在線密鑰被解密。圖2是示出了根據(jù)一個或多個實施例的基于在線密鑰的示例密鑰保護(hù)裝置200的框圖。密鑰保護(hù)裝置200可以是例如圖1的密鑰保護(hù)裝置124。密鑰保護(hù)裝置200包括已加密的主密鑰部分202、已加密的組合密鑰部分204,以及保護(hù)裝置類型標(biāo)識符部分206??梢岳斫?,圖2的示例中所示出的部分只是示例,可另選地,部分202-206中的一個或多個不必被包括在密鑰保護(hù)裝置中,可以將一個或多個附加的部分添加到密鑰保護(hù)裝置中,和/或可以將部分202-206中的一個或多個合并到單個部分。已加密的主密鑰部分202包括基于在線密鑰加密的主密鑰。如上文所討論的,可以使用在線密鑰或組合密鑰來加密主密鑰。也是如上文所討論的,可以使用各種不同的加密算法或密碼,如AES、AES-CCM、DES、RC4等等,使用組合密鑰,來加密主密鑰。已加密的組合密鑰部分204包括使用主密鑰加密的組合密鑰??梢允褂酶鞣N不同的加密算法或密碼,如AES、AES-CCM、DES、RC4等等,并使用主密鑰,來加密組合密鑰。可以使用如用于加密其他數(shù)據(jù)或密鑰(例如,存儲介質(zhì)加密密鑰、圖1的部分122中的數(shù)據(jù),等等)的相同算法或密碼來加密組合密鑰,或者,也可以使用不同的算法或密碼。在其中使用在線密鑰而并非在線密鑰和一個或多個本地密鑰的組合來加密主密鑰的各實施例中,使用主密鑰加密的在線密鑰被包括在組合密鑰部分204,而并非已加密的組合密鑰中。保護(hù)裝置類型標(biāo)識符部分206包括將密鑰保護(hù)裝置200標(biāo)識為是基于在線密鑰的密鑰保護(hù)裝置的值。如上文所討論的,其他類型的密鑰保護(hù)裝置可以被包括在存儲介質(zhì)的元數(shù)據(jù)中,而標(biāo)識符部分206中的值允許密鑰保護(hù)裝置200被標(biāo)識為基于在線密鑰的密鑰保護(hù)裝置,而并非不同類型的密鑰保護(hù)裝置。保護(hù)裝置類型標(biāo)識符部分206中的標(biāo)識符也可以被稱為密鑰保護(hù)裝置200的元數(shù)據(jù)。密鑰保護(hù)裝置200也可以在一個或多個附加的部分(未示出)包括各種其他元數(shù)據(jù)。 例如,密鑰保護(hù)裝置200可包括指出將在線密鑰和一個或多個本地密鑰組合起來的方式的元數(shù)據(jù),指出保護(hù)一個或多個本地密鑰的方式的元數(shù)據(jù)等等。密鑰保護(hù)裝置200也可以可任選地包括利用遠(yuǎn)程服務(wù)(例如,圖1的遠(yuǎn)程服務(wù) 106)的公鑰加密的在線密鑰??梢詫⒗眠h(yuǎn)程服務(wù)的公鑰加密的在線密鑰發(fā)送到遠(yuǎn)程服務(wù),以便可以如上文所討論的檢索在線密鑰。應(yīng)該注意,此處所討論的基于在線密鑰的密鑰保護(hù)裝置支持輕松地改變(也被稱為滾動)主密鑰。如上文所討論的,存儲介質(zhì)上的數(shù)據(jù)是使用存儲介質(zhì)加密密鑰來加密的, 而存儲介質(zhì)加密密鑰又是使用主密鑰加密的。為增強存儲設(shè)備的加密的安全性,可以在各種時間改變主密鑰。整個存儲介質(zhì)不必被重新加密,因為存儲介質(zhì)加密密鑰不會被改變。然而,基于在線密鑰的密鑰保護(hù)裝置包括基于在線密鑰加密的主密鑰,以及使用主密鑰加密的組合密鑰。隨著主密鑰改變,密鑰保護(hù)裝置也被改變。密鑰保護(hù)裝置200包括使用部分204中的主密鑰加密的組合密鑰。如果主密鑰從一個主密鑰(被稱為“舊主密鑰”)變?yōu)椴煌闹髅荑€(被稱為“新主密鑰”),那么,作為改變過程的一部分,可以使用舊主密鑰來解密已加密的組合密鑰??梢允褂媒M合密鑰來加密新主密鑰。已加密的新主密鑰替換已加密的舊主密鑰,作為已加密的主密鑰部分202中的已加密的主密鑰。新主密鑰也用于加密組合密鑰,而利用新主密鑰加密的組合密鑰替換利用舊主密鑰加密的組合密鑰,作為已加密的組合密鑰部分204中的已加密的組合密鑰??闪磉x地,并非包括已加密的組合密鑰(或除包括已加密的組合密鑰之外),密鑰保護(hù)裝置200可包括使用主密鑰加密的在線密鑰,以及使用主密鑰加密的一個或多個本地密鑰。在這樣的情況下,如果主密鑰從舊主密鑰變?yōu)樾轮髅荑€,那么,作為改變過程的一部分,可以使用舊主密鑰來解密已加密的一個或多個本地密鑰和已加密的在線密鑰。然后,可以將一個或多個本地密鑰和在線密鑰組合起來(以如上文所討論的各種不同的方式),并用于加密新主密鑰。已加密的新主密鑰替換已加密的舊主密鑰,作為已加密的主密鑰部分 202中的已加密的主密鑰。新主密鑰也用于加密在線密鑰,而利用新主密鑰加密的在線密鑰替換利用舊主密鑰加密的在線密鑰,作為密鑰保護(hù)裝置200中的已加密的在線密鑰。類似地,新主密鑰也用于加密一個或多個本地密鑰,而利用新主密鑰加密的一個或多個本地密鑰替換利用舊主密鑰加密的一個或多個本地密鑰,作為密鑰保護(hù)裝置200中的已加密的一個或多個本地密鑰。圖3是示出了根據(jù)一個或多個實施例的用于創(chuàng)建基于在線密鑰的密鑰保護(hù)裝置的示例過程300的流程圖。過程300可以由諸如圖1的模塊114之類的計算設(shè)備的卷保護(hù)模塊來執(zhí)行,或者可另選地由另一個組件或模塊和/或另一設(shè)備來執(zhí)行。過程300可以以軟件、固件、硬件或其組合來實現(xiàn)。過程300被示為一組動作,不僅限于所示出的用于執(zhí)行各種動作的操作的順序。過程300是用于創(chuàng)建基于在線密鑰的密鑰保護(hù)裝置的示例過程; 此處參考不同的附圖包括了對于創(chuàng)建基于在線密鑰的密鑰保護(hù)裝置的附加的討論。
在一個或多個實施例中,響應(yīng)于保護(hù)或加密存儲介質(zhì)的用戶請求,執(zhí)行過程300。 可另選地,可以在其他時候手動地和/或以編程方式執(zhí)行過程300,如在將存儲介質(zhì)分發(fā)到用戶之前,當(dāng)制造或分發(fā)存儲介質(zhì)時等等。在過程300中,生成一個或多個本地密鑰(動作30幻??梢砸愿鞣N不同的方式生成一個或多個本地密鑰中的每一個。在一個或多個實施例中,一個或多個本地密鑰中的每一個各自是使用各種不同的常規(guī)隨機或偽隨機數(shù)發(fā)生器中的一個生成的AES 256比特密鑰。可另選地,可以使用諸如橢圓曲線Diffie-Hellamn(EOTH)之類的密鑰協(xié)商協(xié)議來生成一個或多個本地密鑰。一個或多個本地密鑰中的每一個的大小(比特數(shù))可以基于使用本地密鑰的密碼或算法而變化。生成在線密鑰(動作304)。類似于動作302中的生成一個或多個本地密鑰,可以以各種不同的方式生成在線密鑰??闪磉x地,如上文所討論的,可以諸如從遠(yuǎn)程服務(wù)106,從另一個組件、模塊、或設(shè)備獲得在線密鑰。可以以與動作302中的一個或多個本地密鑰同樣的方式,或者可另選地,以不同的方式生成在線密鑰。將一個或多個本地密鑰和在線密鑰組合起來(動作306)以生成組合密鑰??梢匀缟衔乃懻摰囊愿鞣N不同的方式組合一個或多個本地密鑰和在線密鑰。由遠(yuǎn)程服務(wù)來保護(hù)在線密鑰(動作308)??梢杂蛇h(yuǎn)程服務(wù)通過例如如上文所討論的利用遠(yuǎn)程服務(wù)的公鑰加密或由遠(yuǎn)程服務(wù)存儲來保護(hù)在線密鑰。在一個或多個實施例中, 如果遠(yuǎn)程服務(wù)存儲在線密鑰,那么,加密在線密鑰(例如,使用遠(yuǎn)程服務(wù)的公鑰),并將其發(fā)送到遠(yuǎn)程服務(wù),或者可另選地通過安全信道(例如,使用Kerberos、安全套接字層(SSL)等等)將其傳遞到遠(yuǎn)程服務(wù)。作為利用遠(yuǎn)程服務(wù)存儲在線密鑰的一部分,將發(fā)送在線密鑰的計算設(shè)備和/或發(fā)送在線密鑰的計算設(shè)備的用戶的標(biāo)識符傳遞到遠(yuǎn)程服務(wù)??梢詫?biāo)識符與在線密鑰一起發(fā)送,或者,可另選地,單獨地將標(biāo)識符傳遞到遠(yuǎn)程服務(wù)。還保護(hù)一個或多個本地密鑰(動作310)。如上文所討論的,可以以各種不同的方式保護(hù)一個或多個本地密鑰中的每一個。至少部分地基于在線密鑰,來加密主密鑰(動作312)??梢岳缡褂媒M合密鑰(且因此,基于在線密鑰,因為組合密鑰基于在線密鑰),或使用在線密鑰,來加密主密鑰。如上文所討論的,使用各種不同的密碼或算法中的一個,來加密主密鑰,并且例如使用組合密鑰或在線密鑰作為密鑰,來加密。還至少部分地基于主密鑰,來加密組合密鑰(動作314)。如上文所討論的,使用各種不同的密碼或算法中的一個,來加密組合密鑰,并且例如使用主密鑰作為對稱密鑰,來加密??梢允褂门c動作312中所使用的相同密碼或算法,或者可另選地,使用不同的密碼或算法,來加密組合密鑰。在動作312和314中所生成的已加密的密鑰,以及其他元數(shù)據(jù),作為基于在線密鑰的密鑰保護(hù)裝置被存儲(動作316)。利用遠(yuǎn)程服務(wù)的公鑰加密的在線密鑰(其可以在動作 308中生成)也可以作為基于在線密鑰的密鑰保護(hù)裝置的一部分被存儲。此其他信息的示例包括例如密鑰保護(hù)裝置200是基于在線密鑰的密鑰保護(hù)裝置的指示,組合在線密鑰和一個或多個本地密鑰的方式的指示等等。動作316中的密鑰保護(hù)裝置是例如圖2的密鑰保護(hù)裝置200。可以作為動作316 的一部分,密鑰保護(hù)裝置可被存儲在存儲介質(zhì)本身上,或者,可另選地,可以將密鑰保護(hù)裝置存儲在另一設(shè)備上(例如,并且在稍后的時間傳輸?shù)酱鎯橘|(zhì))。應(yīng)該注意,圖3的過程300假設(shè),使用存儲介質(zhì)加密密鑰對存儲介質(zhì)的數(shù)據(jù)的加密,以及使用主密鑰對存儲介質(zhì)加密密鑰的加密,正在由另一個組件或模塊執(zhí)行,和/或已經(jīng)執(zhí)行。通過過程300來生成的密鑰保護(hù)裝置存儲已加密的主密鑰,允許密鑰保護(hù)裝置隨后用于訪問存儲介質(zhì)上的已加密的數(shù)據(jù)。然而,如果存儲介質(zhì)尚未加密,那么,如上文所討論的,使用存儲介質(zhì)加密密鑰來加密存儲介質(zhì)的數(shù)據(jù),并使用主密鑰來加密存儲介質(zhì)加密密鑰。參考組合密鑰來討論過程300。在其他實施例中,主密鑰是使用在線密鑰來加密的,不需要生成組合密鑰。在這樣的實施例中,不必執(zhí)行動作302,306,以及310,且在動作 314中加密在線密鑰(而并非組合密鑰)。返回到圖1,為了從已加密的數(shù)據(jù)部分122檢索數(shù)據(jù),基于從諸如基于在線密鑰的密鑰保護(hù)裝置1 之類的密鑰保護(hù)裝置獲得的主密鑰,解密數(shù)據(jù)。在一個或多個實施例中, 卷保護(hù)模塊114和I/O模塊116被實現(xiàn)為計算設(shè)備102的操作系統(tǒng)的一部分。在這樣的實施例中,在操作系統(tǒng)結(jié)束引導(dǎo)并正在運行之后,可以訪問存儲介質(zhì)104。在其他實施例中,卷保護(hù)模塊114和I/O模塊116被實現(xiàn)為預(yù)執(zhí)行環(huán)境(也被稱為 “預(yù)引導(dǎo)環(huán)境”)的一部分,預(yù)執(zhí)行環(huán)境是指在操作系統(tǒng)結(jié)束引導(dǎo)并正在運行之前在計算設(shè)備102上運行的環(huán)境。作為此預(yù)執(zhí)行環(huán)境的一部分,執(zhí)行卷保護(hù)模塊114和I/O模塊116, 以允許在線密鑰從遠(yuǎn)程服務(wù)106中檢索。在這樣的情況下,卷保護(hù)模塊114和/或I/O模塊116可以存儲在計算設(shè)備102的組件上(例如,在只讀存儲器(ROM)或閃存中),諸如在計算設(shè)備102的網(wǎng)絡(luò)接口卡上??闪磉x地,可以在預(yù)執(zhí)行環(huán)境中從另一計算設(shè)備或服務(wù)獲得卷保護(hù)模塊114和/或I/O模塊116。例如,卷保護(hù)模塊114和/或I/O模塊116可以作為從另一計算設(shè)備或服務(wù)提供到計算設(shè)備102的引導(dǎo)映像的一部分。預(yù)執(zhí)行環(huán)境可以以各種不同的方式來實現(xiàn),并可以基于各種不同的常規(guī)技術(shù)。例如,可以根據(jù)預(yù)引導(dǎo)執(zhí)行環(huán)境(PXE)標(biāo)準(zhǔn)版本2.0或其他版本來實現(xiàn)預(yù)執(zhí)行環(huán)境。作為另一個示例,可以根據(jù)統(tǒng)一可擴(kuò)展固件接口(UEFI)標(biāo)準(zhǔn)版本2. 3或其他版本來實現(xiàn)預(yù)執(zhí)行環(huán)境。作為再一個示例,可以使用各種不同的個人計算機基本輸入/輸出系統(tǒng)¢10 版本來實現(xiàn)預(yù)執(zhí)行環(huán)境。應(yīng)該注意,通過將卷保護(hù)模塊114和I/O模塊116實現(xiàn)為預(yù)執(zhí)行環(huán)境,存儲介質(zhì) 104可以是用于引導(dǎo)計算設(shè)備102的引導(dǎo)卷??梢允褂没谠诰€密鑰的密鑰保護(hù)裝置IM 來加密和解密已加密的數(shù)據(jù)部分122,盡管已加密的數(shù)據(jù)部分122是引導(dǎo)卷的一部分。圖4是示出了根據(jù)一個或多個實施例的用于使用基于在線密鑰的密鑰保護(hù)裝置來解密存儲介質(zhì)上的數(shù)據(jù)的示例過程400的流程圖。過程400可以由諸如圖1的模塊114 之類的計算設(shè)備的卷保護(hù)模塊來執(zhí)行,或者可另選地由另一個組件或模塊和/或另一設(shè)備來執(zhí)行。過程400可以以軟件、固件、硬件或其組合來實現(xiàn)。過程400被示為一組動作,不僅限于所示出的用于執(zhí)行各種動作的操作的順序。過程400是用于使用基于在線密鑰的密鑰保護(hù)裝置來解密存儲介質(zhì)上的數(shù)據(jù)的示例過程;此處參考不同的附圖包括了對于使用基于在線密鑰的密鑰保護(hù)裝置來解密存儲介質(zhì)上的數(shù)據(jù)的附加的討論。在一個或多個實施例中,響應(yīng)于訪問已加密的存儲介質(zhì)的請求,執(zhí)行過程400??闪磉x地,過程400可以在其他時候執(zhí)行,諸如當(dāng)已加密的存儲介質(zhì)耦合到實現(xiàn)過程400的計算設(shè)備時,當(dāng)用戶向?qū)崿F(xiàn)過程400的設(shè)備輸入他的或她的用戶名和密碼時等等。在過程400中,獲取一個或多個本地密鑰和密鑰保護(hù)裝置(動作402)??梢砸愿鞣N不同的方式獲取一個或多個本地密鑰中的每一個,而獲取每一個本地密鑰的特定方式取決于保護(hù)本地密鑰的特定方式(例如,在圖3的動作310中),如上文所討論的。作為動作 402的一部分,也獲取密鑰保護(hù)裝置,通常是從存儲介質(zhì)中獲取的,雖然也可以可另選地從其他組件、模塊或設(shè)備獲得。也從諸如圖1的遠(yuǎn)程服務(wù)106之類的遠(yuǎn)程服務(wù)獲取在線密鑰(動作404)。通過實現(xiàn)過程400的計算設(shè)備向遠(yuǎn)程服務(wù)認(rèn)證其本身,或者通過實現(xiàn)過程400的計算設(shè)備的用戶向遠(yuǎn)程服務(wù)認(rèn)證自己來獲取在線密鑰??梢酝ㄟ^安全信道(例如,使用Kerberos、SSL等等)將在線密鑰從遠(yuǎn)程服務(wù)傳遞到計算設(shè)備,或者可以以其他方式保護(hù)在線密鑰(例如,使用實現(xiàn)過程400的計算設(shè)備的公鑰來加密,基于由計算設(shè)備向遠(yuǎn)程服務(wù)所提供的秘密(例如,利用遠(yuǎn)程服務(wù)的公鑰加密的秘密)來加密,等等)。如上文所討論的,可以以各種不同的方式執(zhí)行這一向遠(yuǎn)程服務(wù)的認(rèn)證。基于一個或多個本地密鑰和在線密鑰來生成組合密鑰(動作406)。可以以各種不同的方式生成組合密鑰,而組合一個或多個本地密鑰和在線密鑰的特定方式取決于當(dāng)加密主密鑰時組合一個或多個本地密鑰和在線密鑰的方式。例如,以與在圖3的動作306中組合一個或多個本地密鑰和在線密鑰的相同方式來組合一個或多個本地密鑰和在線密鑰。至少部分地基于在線密鑰,來解密主密鑰(動作408)??梢允褂酶鞣N不同的密碼或算法,使用組合密鑰,來解密主密鑰,而所使用的特定算法或密碼是與用于加密主密鑰的加密算法或密碼(例如,如上文在圖3的動作312中所討論的)相對應(yīng)的解密算法或密碼。至少部分地基于主密鑰來解密存儲介質(zhì)加密密鑰(動作410)。可以使用各種不同的密碼或算法,使用主密鑰,來解密存儲介質(zhì)加密密鑰,而所使用的特定算法或密碼是與用于使用主密鑰來加密存儲介質(zhì)加密密鑰的加密算法或密碼相對應(yīng)的解密算法或密碼。然后,可以至少部分地基于存儲介質(zhì)加密密鑰,來解密存儲介質(zhì)上的數(shù)據(jù)(動作 412)。可以使用各種不同的密碼或算法,使用存儲介質(zhì)加密密鑰,來解密數(shù)據(jù),而所使用的特定算法或密碼是與用于使用存儲介質(zhì)加密密鑰來加密數(shù)據(jù)的加密算法或密碼相對應(yīng)的解密算法或密碼。參考組合密鑰來討論過程400。在其他實施例中,主密鑰是使用在線密鑰來加密的,不需要使用組合密鑰。在這樣的實施例中,不必執(zhí)行動作406。此處所討論的基于在線密鑰的密鑰保護(hù)裝置支持各種使用情況。例如,可以使用基于在線密鑰的密鑰保護(hù)裝置來確保,只有在訪問已加密的存儲介質(zhì)的計算設(shè)備的用戶登錄到特定網(wǎng)絡(luò)的情況下才能使用已加密的存儲介質(zhì)。用戶通過向遠(yuǎn)程服務(wù)(例如,圖1的遠(yuǎn)程服務(wù)106)認(rèn)證自己來登錄到特定網(wǎng)絡(luò)。特定網(wǎng)絡(luò)可以是通過因特網(wǎng)訪問的公司的或其他企業(yè)網(wǎng)絡(luò),在線服務(wù)(例如,因特網(wǎng)服務(wù)的Microsoft Windows Live 網(wǎng)絡(luò)(位于美國華盛頓州雷德蒙市的微軟公司提供關(guān)于因特網(wǎng)服務(wù)的Microsoft Windows Live 網(wǎng)絡(luò)的額外的信息)),等等。當(dāng)用戶登錄到特定網(wǎng)絡(luò)時,遠(yuǎn)程服務(wù)可以將該用戶的在線密鑰返回到正在被該用戶使用的并正在訪問已加密的存儲介質(zhì)的計算設(shè)備。如此,計算設(shè)備能夠解密已加密的存儲介質(zhì)中的數(shù)據(jù)(假設(shè)計算設(shè)備已經(jīng)執(zhí)行對用戶的任何其他所希望的認(rèn)證)。如果該計算設(shè)備的用戶沒有登錄到特定網(wǎng)絡(luò)(例如,他或她當(dāng)前不能訪問特定網(wǎng)絡(luò),計算設(shè)備已經(jīng)丟失或被盜,等等),那么,計算設(shè)備沒有來自遠(yuǎn)程服務(wù)的在線密鑰,因此,不能訪問已加密的存儲介質(zhì)上的數(shù)據(jù)。作為另一個示例,遠(yuǎn)程服務(wù)(例如,遠(yuǎn)程服務(wù)106)的管理員可以在每當(dāng)他或她希望時撤銷由遠(yuǎn)程服務(wù)存儲的在線密鑰。如此,例如,如果公司配發(fā)的計算設(shè)備的用戶離開公司,或者如果用戶報告他或她的計算設(shè)備丟失或被盜,或者如果檢測到惡意用戶企圖發(fā)動攻擊(例如,如果接收到大于閾值數(shù)量的輸入不正確的密碼的嘗試)等等,管理員可以撤銷與該用戶相關(guān)聯(lián)的在線密鑰。遠(yuǎn)程服務(wù)不會向發(fā)出請求的計算設(shè)備返回已撤銷的在線密鑰,如此,無法訪問已加密的存儲介質(zhì)上的數(shù)據(jù)。作為再一個示例,遠(yuǎn)程服務(wù)(例如,遠(yuǎn)程服務(wù)106)或網(wǎng)絡(luò)的管理員可以使用基于在線密鑰的密鑰保護(hù)裝置來實施網(wǎng)絡(luò)接近度,提供用于解除對計算設(shè)備的訪問的鎖定的替換機制,或增強用于解除對計算設(shè)備的訪問的鎖定的現(xiàn)有機制。在線密鑰是使用遠(yuǎn)程服務(wù)的公鑰(例如,遠(yuǎn)程服務(wù)106的服務(wù)器)來加密的。遠(yuǎn)程服務(wù)可以使用其私鑰來解密在線密鑰并將其提供到計算設(shè)備(可任選地加密或以其他方式保護(hù),以便除計劃的計算設(shè)備以外的計算設(shè)備不能解密在線密鑰)。如此,管理員可以確保,需要物理的、預(yù)先確定的網(wǎng)絡(luò)連接才能解除對計算設(shè)備的訪問的鎖定(假設(shè)虛擬連接(例如,虛擬LAN連接)不被允許或者可以由遠(yuǎn)程服務(wù)檢測),如此,事實上,需要用戶在一個特定建筑物(或多個建筑物,或在特定場地等等)內(nèi)部,才能解除對它們的計算設(shè)備的訪問的鎖定。管理員還可以確保,如果用戶的計算設(shè)備丟失或被盜,在該特定建筑物(或多個建筑物,或在特定場地等等)外部使用計算設(shè)備的嘗試將不會成功。在此處的討論中,引用了基于或使用特定的密鑰的加密(例如,對主密鑰的加密, 對一個或多個本地密鑰的加密,等等)。應(yīng)該注意,這樣的加密可以基于特定的密鑰以及一個或多個附加的密鑰或與該特定的密鑰相結(jié)合和/或與一個或多個附加的中介密鑰相結(jié)合的值。例如,此處所討論的組合密鑰可以具有與它相加的一個附加的值,可以使用此帶有與它相加的附加的值的組合密鑰來加密主密鑰。作為另一個示例,可以使用此處所討論的組合密鑰來加密第一中介密鑰,可以使用已加密的第一中介密鑰來加密第二中介密鑰,可以使用已加密的第二中介密鑰來加密主密鑰。圖5示出了根據(jù)一個或多個實施例的可以被配置成實現(xiàn)基于在線密鑰的密鑰保護(hù)裝置的示例計算設(shè)備500。計算設(shè)備500可以是例如圖1的計算設(shè)備102,或者可以被用來實現(xiàn)圖1的遠(yuǎn)程服務(wù)106。計算設(shè)備500包括一個或多個處理器或處理單元502,一個或多個計算機可讀介質(zhì)504 (可包括一個或多個存儲器和/或存儲組件506),一個或多個輸入/輸出(I/O)設(shè)備 508,以及可使各種組件和設(shè)備彼此進(jìn)行通信的總線510。計算機可讀介質(zhì)504和/或一個或多個I/O設(shè)備508可以作為計算設(shè)備500的一部分被包括,或者可另選地可以耦合到計算設(shè)備500??偩€510表示若干類型的總線結(jié)構(gòu)中的任何一種總線結(jié)構(gòu)的一個或多個,包括存儲器總線或存儲器控制器、外圍總線、加速圖形端口,以及使用各種不同的總線體系結(jié)構(gòu)中的處理器或局部總線。總線510可包括有線和/或無線總線。存儲器/存儲組件506表示一個或多個計算機存儲介質(zhì)。組件506可包括易失性介質(zhì)(諸如隨機存取存儲器(RAM))和/或非易失性介質(zhì)(諸如只讀存儲器(ROM)、閃存、 光盤、磁盤等等)。組件506可包括固定介質(zhì)(例如,RAM、R0M、固定硬盤驅(qū)動器等等)以及可移動介質(zhì)(例如,閃存驅(qū)動器、可移動硬盤驅(qū)動器、光盤等等)。組件506可以是例如圖1 的存儲介質(zhì)104。此處所討論的技術(shù)可以以軟件實現(xiàn),指令由一個或多個處理單元502??梢岳斫猓?不同的指令可以存儲在計算設(shè)備500的不同的組件中,諸如存儲在處理單元502中,存儲在處理單元502的各種緩存存儲器中,存儲在設(shè)備500(未示出)的其他緩存存儲器中,存儲在其他計算機可讀介質(zhì)上等等。另外,可以理解,指令存儲在計算設(shè)備500中的位置可以隨著時間而變化。一個或多個輸入/輸出設(shè)備508可使用戶向計算設(shè)備500輸入命令和信息,以及可使信息被呈現(xiàn)給用戶和/或其他組件或設(shè)備。輸入設(shè)備的示例包括鍵盤、光標(biāo)控制設(shè)備 (例如,鼠標(biāo))、麥克風(fēng)、掃描儀等等。輸出設(shè)備的示例包括顯示設(shè)備(例如,監(jiān)視器或投影儀)、揚聲器、打印機、網(wǎng)卡等等。此處可以在軟件或程序模塊的一般上下文中描述各種技術(shù)。一般而言,軟件包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程、程序、對象、組件、數(shù)據(jù)結(jié)構(gòu)等等。這些模塊和技術(shù)的實現(xiàn)可以存儲在某種形式的計算機可讀介質(zhì)上或通過某種形式的計算機可讀介質(zhì)傳輸。計算機可讀介質(zhì)可以是可以被計算設(shè)備訪問的任何可用的介質(zhì)。作為示例,而不是限制,計算機可讀介質(zhì)可以包括“計算機存儲介質(zhì)”和“通信介質(zhì)”?!坝嬎銠C存儲介質(zhì)”包括以用于存儲諸如計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其他數(shù)據(jù)之類的信息的任何方法或技術(shù)實現(xiàn)的易失性和非易失性、可移動和不可移動介質(zhì)。計算機存儲介質(zhì)包括,但不限于,RAM、ROM、EEPR0M、閃存或其它存儲器技術(shù)、CD-ROM、數(shù)字多功能盤(DVD)或其它光盤存儲、磁帶盒、磁帶、磁盤存儲或其它磁性存儲設(shè)備、或能用于存儲所需信息且可以由計算機訪問的任何其它介質(zhì)?!巴ㄐ沤橘|(zhì)”通常用諸如載波或其它傳輸機制等已調(diào)制數(shù)據(jù)信號來體現(xiàn)計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其他數(shù)據(jù)。通信介質(zhì)還包括任何信息傳送介質(zhì)。術(shù)語“已調(diào)制數(shù)據(jù)信號”是指其一個或多個特征以這樣的方式設(shè)置或改變以便在信號中對信息進(jìn)行編碼的信號。作為示例而非限制,通信介質(zhì)可包括有線介質(zhì),如有線網(wǎng)絡(luò)或直接線連接,以及諸如聲學(xué)、射頻(RF)、紅外線及其他無線介質(zhì)之類的無線介質(zhì)。上面各項中的任何組合也包括在計算機可讀介質(zhì)的范圍內(nèi)?!愣?,此處所描述的任何功能或技術(shù)都可使用軟件、固件、硬件(例如,固定邏輯電路)、手動處理或這些實現(xiàn)的組合來實現(xiàn)。如此處所使用的術(shù)語“模塊”和“組件”一般代表軟件、固件、硬件或其組合。在軟件實現(xiàn)的情況下,模塊或組件表示當(dāng)在處理器(例如,一個或多個CPU)上執(zhí)行時執(zhí)行指定任務(wù)的程序代碼。程序代碼可以存儲在一個或多個計算機可讀的存儲器設(shè)備中,可以參考圖5發(fā)現(xiàn)關(guān)于其進(jìn)一步的描述。此處所描述的基于在線密鑰的密鑰保護(hù)裝置技術(shù)的特征是平臺無關(guān)的,意味著本發(fā)明的技術(shù)可以在具有各種處理器的各種商業(yè)計算平臺上實現(xiàn)。盡管用結(jié)構(gòu)特征和/或方法動作專用的語言描述了本主題,但可以理解,所附權(quán)利要求書中定義的主題不必限于上述具體特征或動作。相反,上述具體特征和動作是作為實現(xiàn)權(quán)利要求的示例形式公開的。
權(quán)利要求
1.一種用于為存儲介質(zhì)創(chuàng)建密鑰保護(hù)裝置的方法,所述方法是在計算設(shè)備中實現(xiàn)的, 并包括獲取(304)在線密鑰,其中所述在線密鑰受遠(yuǎn)程服務(wù)的保護(hù);至少部分地基于所述在線密鑰,加密(312)用于加密和解密所述存儲介質(zhì)或一個或多個存儲介質(zhì)加密密鑰的主密鑰,所述存儲介質(zhì)加密密鑰用于加密和解密所述存儲介質(zhì);以及存儲(316)用于所述存儲介質(zhì)的密鑰保護(hù)裝置,所述密鑰保護(hù)裝置包括所述已加密的主密鑰。
2.如權(quán)利要求1所述的方法,其特征在于,獲取所述在線密鑰包括從所述遠(yuǎn)程服務(wù)獲取所述在線密鑰。
3.如權(quán)利要求1所述的方法,其特征在于,還包括使用所述遠(yuǎn)程服務(wù)的公鑰加密所述在線密鑰,并將所述已加密的在線密鑰包括在所述密鑰保護(hù)裝置中。
4.如權(quán)利要求1所述的方法,其特征在于,獲取所述在線密鑰包括生成所述在線密鑰, 所述方法還包括將所述在線密鑰與所述遠(yuǎn)程服務(wù)一起存儲,所述在線密鑰是與所述計算設(shè)備或所述計算設(shè)備的用戶相關(guān)聯(lián)地存儲的。
5.如權(quán)利要求1所述的方法,其特征在于,所述存儲介質(zhì)包括可移動的閃存設(shè)備。
6.如權(quán)利要求1所述的方法,還包括 生成一個或多個本地密鑰;保護(hù)所述一個或多個本地密鑰中的每一個,以便只有在已經(jīng)認(rèn)證所述計算設(shè)備的用戶之后才能檢索所述一個或多個本地密鑰中的每一個;組合所述一個或多個本地密鑰和所述在線密鑰以生成組合密鑰;以及其中,加密所述主密鑰包括使用所述組合密鑰來加密所述主密鑰。
7.如權(quán)利要求6所述的方法,其特征在于,使用所述組合密鑰來加密所述主密鑰包括使用對稱密鑰加密密碼來加密所述主密鑰,所述對稱密鑰加密密碼使用所述組合密鑰作為對稱密鑰。
8.如權(quán)利要求6所述的方法,還包括通過至少部分地基于所述主密鑰,加密所述組合密鑰,來生成已加密的組合密鑰;以及將所述已加密的組合密鑰包括在所述密鑰保護(hù)裝置中。
9.如權(quán)利要求8所述的方法,還包括 獲取新主密鑰;通過至少部分地基于所述組合密鑰,加密所述新主密鑰,來生成新的已加密的主密鑰;將所述密鑰保護(hù)裝置中的所述已加密的主密鑰替換為所述新的已加密的主密鑰; 通過至少部分地基于所述新的主密鑰,加密所述組合密鑰,來生成新的已加密的組合密鑰;以及將所述密鑰保護(hù)裝置中的所述已加密的組合密鑰替換為所述新的已加密的組合密鑰。
10.一種計算設(shè)備,包括 處理器(502);以及在其上存儲了用于訪問用戶保護(hù)的存儲介質(zhì)的指令的一個或多個計算機可讀介質(zhì)(504),當(dāng)由所述處理器執(zhí)行所述指令時,所述指令使所述處理器從遠(yuǎn)程服務(wù)獲取(404)與所述計算設(shè)備和所述計算設(shè)備的用戶中的一個或兩者相關(guān)聯(lián)的在線密鑰;獲取(402)包括已加密的主密鑰的密鑰保護(hù)裝置,其中所述主密鑰用于解密所述用戶保護(hù)的存儲介質(zhì)或解密用于解密所述用戶保護(hù)的存儲介質(zhì)的一個或多個存儲介質(zhì)加密密鑰;以及使用(408)所述在線密鑰來從所述密鑰保護(hù)裝置中的所述已加密的主密鑰解密所述主密鑰。
11.如權(quán)利要求10所述的計算設(shè)備,其特征在于,獲取所述密鑰保護(hù)裝置是從所述用戶保護(hù)的存儲介質(zhì)獲取所述密鑰保護(hù)裝置。
12.如權(quán)利要求10所述的計算設(shè)備,其特征在于,使用所述遠(yuǎn)程服務(wù)的公鑰加密所述在線密鑰,并且,其中獲取所述在線密鑰是將使用所述遠(yuǎn)程服務(wù)的所述公鑰加密的所述在線密鑰發(fā)送到所述遠(yuǎn)程服務(wù),并在被所述遠(yuǎn)程服務(wù)使用所述遠(yuǎn)程服務(wù)的私鑰解密之后從所述遠(yuǎn)程服務(wù)獲取所述在線密鑰。
13.如權(quán)利要求10所述的計算設(shè)備,其特征在于,在所述計算設(shè)備的預(yù)執(zhí)行環(huán)境中執(zhí)行所述指令,其中所述用戶保護(hù)的存儲介質(zhì)包括用于引導(dǎo)所述計算設(shè)備的引導(dǎo)卷。
14.如權(quán)利要求10所述的計算設(shè)備,其特征在于,所述指令還導(dǎo)致所述處理器 基于所述計算設(shè)備的所述用戶被所述計算設(shè)備認(rèn)證,獲取一個或多個本地密鑰; 組合所述在線密鑰和所述一個或多個本地密鑰;以及其中,使用所述在線密鑰來解密所述主密鑰是使用所述組合密鑰來從所述密鑰保護(hù)裝置中的所述已加密的主密鑰解密所述主密鑰。
15.如權(quán)利要求10所述的計算設(shè)備,其特征在于,獲取所述在線密鑰是響應(yīng)于所述計算設(shè)備的所述用戶被所述遠(yuǎn)程服務(wù)認(rèn)證,從所述遠(yuǎn)程服務(wù)接收令牌;以及將散列函數(shù)應(yīng)用到所述令牌,以生成散列值,所述散列值是所述在線密鑰。
全文摘要
本發(fā)明提供了一種基于在線密鑰的密鑰保護(hù)裝置。生成或以其他方式獲取由遠(yuǎn)程服務(wù)存儲的在線密鑰,至少部分地基于在線密鑰,來加密用于加密和解密物理或虛擬存儲介質(zhì),或者加密和解密用于加密物理或虛擬存儲介質(zhì)的一個或多個存儲介質(zhì)加密密鑰的存儲介質(zhì)(因為它適用于數(shù)據(jù)在物理或虛擬存儲介質(zhì)上的存儲)主密鑰。存儲用于存儲介質(zhì)的密鑰保護(hù)裝置,該密鑰保護(hù)裝置包括已加密的主密鑰。隨后可以訪問密鑰保護(hù)裝置,并從遠(yuǎn)程服務(wù)獲取在線密鑰?;谠诰€密鑰來解密主密鑰,允許用于解密存儲介質(zhì)的一個或多個存儲介質(zhì)加密密鑰被解密。
文檔編號H04L9/08GK102271037SQ201110161500
公開日2011年12月7日 申請日期2011年6月2日 優(yōu)先權(quán)日2010年6月3日
發(fā)明者B·G·M·尼斯特倫, C·G·杰弗瑞斯, C·M·利亞, I·巴斯墨, M·A·哈爾克羅, N·T·劉易斯, N·T·弗格森, N·杜薩特, O·T·烏雷徹 申請人:微軟公司