[发明专利]USB令牌上的密钥容器

说明书

技术领域

本技术领域一般涉及计算机处理，且更具体地涉及计算安全性。

背景

经由密码保护数据并非不常见。通常，使用密钥来加密和解密数据。因为密钥提供保护数据的手段并提供对受保护数据的访问，所以密钥也被保护。不受保护的密钥可向各种类型的攻击打开方便之门，如网站欺骗、扮演认证和伪造电子邮件。

保护密钥的一种尝试是将其存储在智能卡上。然而，这一尝试的问题是智能卡需要在处理器上实现的、智能卡将与其通信的专用基础结构。通常，该基础结构在处理器的操作系统中实现，并且因此可能需要相当多的努力和时间来实现。同样，智能卡需要可能是大体积而且昂贵的智能卡阅读器形式的附加硬件。

保护密钥的另一尝试是将其存储在位于处理器上的受保护的容器内。通常，对密钥的访问是受口令保护的。这一尝试的问题是口令保护被认为是较弱的。获得对处理器的访问的攻击者可以通过使用口令破解器等来确定口令并获得对存储在容器中的密钥的访问。

概述

提供本概述以便以简化的形式介绍将在以下说明性实施例的详细描述中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用于限定所要求保护的主题的范围。

密钥被存储在通用串行总线(USB)兼容存储设备中。USB兼容存储设备不需要在处理器的操作系统中实现的、该USB兼容存储设备将与其通信的专用基础结构。USB兼容存储设备不需要专用阅读器。密钥存储从处理器内的容器重新定向到USB兼容存储设备。因此，USB兼容存储设备是用于存储密 钥的安全令牌。在一示例实施例中，对USB兼容存储设备上的密钥的访问是经由安全执行环境来实现的。对USB兼容存储设备上的密钥的访问不必需要口令。

附图简述

以上概述以及以下详细描述在结合附图阅读时可被更好地理解。出于说明USB令牌上的密钥容器的目的，在附图中示出其各示例性构造；然而，USB令牌上的密钥容器不限于所公开的具体方法和手段。

图1是用于访问USB令牌上的密钥容器的示例过程的流程图。

图2是用于实现USB令牌上的密钥容器的示例性处理器的图。

图3是其中可以实现提供USB令牌上的密钥容器的合适计算环境的描绘。

说明性实施例的详细描述

在通用串行总线(USB)兼容存储设备上实现密钥容器。USB兼容存储设备被用作安全令牌。处理器的密码子系统访问(例如读、写、存储、检索)USB兼容存储设备上的容器中的密钥。不在处理器上实现访问USB兼容存储设备上的密钥的USB兼容存储设备专用基础结构。在一示例实施例中，可以在不需要个人识别号(PIN)、口令、交互式认证机制等的情况下访问密钥。USB兼容存储设备上的密钥容器提供便携性，从而提供用于携带密钥的方便机制。USB兼容存储设备上的密钥容器经由该设备的物理拥有来提供安全性。在受保护的进程中访问和处理USB兼容存储设备上的密钥提供运行时安全性。

图1是用于访问USB令牌上的密钥容器的示例过程的流程图。在步骤12处，接收访问密钥的指示。在一示例实施例中，该指示是在用户和/或开发者与其交互的处理器上接收到的。该指示可以是生成密钥、存储密钥、读取密钥或其组合的结果。在步骤14处，搜索USB令牌。即，对其上存储有密钥容器的USB兼容存储设备进行搜索。在步骤16处，如果找到USB令牌，则在步骤18处访问其上存储的容器，并且在步骤20处访问其中存储的一个或多个密钥。

在步骤16处，如果没有找到USB令牌，则在步骤22处提供提示。该提示可以是任何适当的提示，如插入USB设备的指示等。取决于用户/开发者是 偏爱利用USB兼容存储设备上的密钥容器还是偏爱利用处理器中存储的密钥容器，用户/开发者可用各种方式对该提示作出响应。例如，如果用户/开发者偏爱利用USB兼容存储设备上的密钥容器，则该用户/开发者可以插入USB兼容存储设备。处理器可以检测到这一插入。另选地，用户/开发者可以通过压下键盘上的“Enter”键、点击鼠标等来提供要利用处理器内的密钥容器而非USB兼容存储设备上的密钥容器的指示。

在步骤24处，确定USB设备是否已被耦合到处理器。如果USB兼容存储设备已经响应于插入USB设备的提示而耦合到处理器，则在步骤18处访问其上存储的容器，并在步骤20处访问其中存储的一个或多个密钥。如果USB兼容存储设备尚未耦合到处理器，则在步骤26处访问处理器内的容器，并且在步骤20处访问其中存储的一个或多个密钥。