[发明专利]对可漫游凭证存储的安全且可用保护

权利要求书

1.一种在可漫游凭证存储(418)中保护用户凭证(210)的方法，所述方法包括：

基于第一预定迭代计数、盐和用户口令来生成第一密钥(516)；

基于第二预定迭代计数、盐、以及所述用户口令与所述第一密钥的拼接来生成第二密钥，其中所述第二预定迭代计数小于所述第一预定迭代计数(518)；

将所述第一密钥存储在本地计算机上的用户简档中(610)；

创建统一凭证保险库UCV(504)；

用所述第二密钥来加密位置、位置专用用户名、以及位置专用口令以产生加密凭证(520)；以及

将所述加密凭证存储在所述UCV中(522)。

2.如权利要求1所述的方法，其特征在于，所述第一预定迭代计数表示默认值。

3.如权利要求1所述的方法，其特征在于，所述第一预定迭代计数表示用户选择的安全等级。

4.如权利要求1所述的方法，其特征在于，在生成所述第二密钥时所使用的盐与在生成所述第一密钥时所使用的盐不同。

5.如权利要求1所述的方法，其特征在于，所述第一密钥的生成在本地安全授权机构LSA中发生，其中所述LSA是可信计算基础TCB的一部分。

6.如权利要求5所述的方法，其特征在于，所述第一密钥和所述第二密钥只能由对所述TCB已知的程序访问。

7.如权利要求1所述的方法，其特征在于，所述用户口令符合组策略。

8.如权利要求1所述的方法，其特征在于，所述第二密钥在用户登出时被破坏以使得所述第二密钥不被存储在长期存储中。

9.如权利要求1所述的方法，其特征在于，所述第二密钥响应于用户输入而被破坏。

10.如权利要求1所述的方法，其特征在于，所述第二密钥在单次使用后被破坏。

11.一种在对可用性造成最小影响的情况下保护可漫游凭证存储(418)的方法，所述方法包括：

接收统一凭证保险库UCV(602)；

提示输入口令，其中所述口令是UCV口令(602)；

确定存储中是否存在基于所述UCV口令的第一密钥(714)；

在基于所述UCV口令的所述第一密钥的确存在于存储中的情况下，访问所述第一密钥(714)；以及

基于盐、所述UCV口令与所述第一密钥的拼接、以及第二预定迭代计数来导出第二密钥，其中所述第二预定迭代计数小于第一预定迭代计数(716)；

12.如权利要求11所述的方法，其特征在于，还包括利用所述第二密钥来安全地访问所述UCV中的加密凭证，其中所述加密凭证表示位置、位置专用用户名、以及位置专用口令。

13.如权利要求12所述的方法，其特征在于，对加密凭证的安全访问使得浏览器调用API。

14.如权利要求12所述的方法，其特征在于，对加密凭证的安全访问使得浏览器安全地访问所述加密凭证中所表示的位置。

15.如权利要求14所述的方法，其特征在于，能够访问的位置包括：

网站；

安全节点；以及

企业连接。

16.如权利要求11所述的方法，其特征在于，还包括：

在存储中不存在基于所述UCV口令的所述第一密钥的情况下，基于以下各项来导出所述第一密钥：

所述UCV口令；

盐；以及

第一预定迭代计数；以及

响应于导出所述第一密钥，确定是否应本地地存储所述第一密钥。