[发明专利]基于在线密钥的密钥保护装置

说明书

技术领域

本发明涉及密钥保护。

背景技术

随着计算机存储技术的进步，大容量存储设备已经变得越来越普遍。这些设备可以存储大量的数据，这些设备中的某些本质上是便携的，并容易丢失或被盗。类似地，诸如虚拟硬盘之类的虚拟存储介质也使得数据在多个设备之间更容易转移。在存储设备上或虚拟存储介质上存储大量的数据对于用户来说是有问题的，因为如果存储设备或虚拟存储介质丢失、被盗或以其他方式被泄露，它会导致大量数据向恶意用户公开。由于用户可能希望存储在这样的存储设备或虚拟存储介质上的数据的脆弱性，这会导致用户产生挫败感。

发明内容

提供本发明内容是为了以精简的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用于限定所要求保护的主题的范围。

根据一个或多个方面，为存储介质创建密钥保护装置的方法包括获取在线密钥。至少部分地基于在线密钥，加密用于加密和解密存储介质或加密和解密用于加密存储介质的一个或多个存储介质加密密钥的主密钥。在线密钥可以是例如由远程服务保护的密钥或其他信息。存储用于存储介质的密钥保护装置，该密钥保护装置包括已加密的主密钥。

根据一个或多个方面，在计算设备中实现了用于访问用户保护的存储介质的方法。从远程服务获取与用户保护的存储介质相关联的在线密钥。获取包括已加密的主密钥的密钥保护装置，该主密钥用于解密用户保护的存储介质或解密用于解密用户保护的存储介质的一个或多个存储介质加密密钥。使用在线密钥来从密钥保护装置中解密主密钥。

附图说明

在各附图中，使用相同的标号来指示相同的特征。

图1示出了根据一个或多个实施例的实现基于在线密钥的密钥保护装置的示例系统。

图2是示出了根据一个或多个实施例的基于在线密钥的示例密钥保护装置的框图。

图3是示出了根据一个或多个实施例的用于创建基于在线密钥的示例过程的流程图。

图4是示出了根据一个或多个实施例的用于使用基于在线密钥的密钥保护装置来解密存储介质上的数据的示例过程的流程图。

图5示出了根据一个或多个实施例的可以被配置成实现基于在线密钥的密钥保护装置的示例计算设备。

具体实施方式

此处讨论了基于在线密钥的密钥保护装置。一个或多个密钥保护装置存储在存储介质上，并允许一个用户或用户组访问该存储介质上的已加密的数据。一种密钥保护装置是基于在线密钥的密钥保护装置。存储介质上的数据是使用主密钥或使用该主密钥加密的一个或多个密钥加密的。基于在线密钥的密钥保护装置存储基于在线密钥加密的主密钥。可以单独地基于在线密钥，或者可另选地基于在线密钥与一个或多个本地密钥的组合，来加密主密钥。可以基于各种用户输入(如用户输入的密码，用户输入的来自智能卡的个人标识号等等)，获取本地密钥。在线密钥受与访问存储介质的设备分开的远程服务的保护。访问存储介质的设备，或该设备的用户，向远程服务认证其本身，以便从远程服务获取在线密钥。

此处将参考对称密钥加密、公钥加密、和公/私钥对。虽然这样的密钥加密对于本领域的技术人员是已知的，但是，这里仍对它们进行简要概述以帮助读者。在公钥加密中，一个实体(如用户、硬件或软件组件、设备、域等等)具有与它相关联的公/私钥对。可以使公钥公开可用，但是，该实体使私钥保密。若没有私钥，从计算上来说很难解密使用公钥加密的数据。如此，数据可以由具有公钥的任何实体加密，而只能由具有对应的私钥的实体解密。另外，也可以通过使用数据和私钥来生成该数据的数字签名。若没有私钥，从计算上来说很难创建可以使用公钥验证的签名。具有公钥的任何实体都可以使用公钥，通过对公钥、签名以及被签名的数据执行合适的数字签名验证算法，来验证数字签名。

另一方面，在对称密钥加密中，共享的密钥(也被称为对称密钥)被一个或多个实体知道，并由它们保密。具有共享密钥的任何实体通常都能够解密利用该共享密钥加密的数据。若没有共享密钥，从计算上来说很难解密利用共享密钥加密的数据。如此，如果两个实体都知道共享密钥，则每一实体都可以加密数据，并可以由另一个实体解密该数据，但是，如果其他实体不知道共享密钥，则这些其他实体不能解密该数据。类似地，一个具有共享密钥的实体可以加密数据，并可以由该同一个实体解密该数据，但是，如果其他实体不知道共享密钥，则这些其他实体不能解密该数据。