[发明专利]集成密钥服务器

说明书

技术领域

本发明涉及集成密钥服务器。更具体地说，本发明涉及用于计算系统的集成密钥服务器。

背景技术

存储在可移动存储设备上的数据可通过加密来阻止未授权的访问，这样，尝试访问加密数据的系统必须具有与用于加密的密钥相关的加密或认证密钥。在对称加密情况下，使用相同的密钥执行加密和解密。在非对称加密（例如，RSA）情况下，使用公钥进行加密，使用单独的私钥进行加密。

发明内容

根据本发明的一个实施例，提供了一种用于集成密钥提供的计算机程序产品。所述计算机程序产品包括有形存储介质，其可被处理电路读取并存储由所述处理电路执行以执行一种方法的指令。所述方法包括使用两个或多个智能卡中的一个智能卡与两个或多个支持元件中的一个支持元件以创建加密密钥；以及将所述加密密钥存储在只能通过用于创建所述加密密钥的所述智能卡和所述支持元件解密的加密文件中。

提供了一种方法并且此方法包括使用两个或多个智能卡中的一个智能卡与两个或多个支持元件中的一个支持元件以创建加密密钥；以及将所述加密密钥存储在只能通过用于创建所述加密密钥的所述智能卡和所述支持元件解密的加密文件中。

提供了一种用户集成密钥提供的系统并且该系统包括两个或多个智能卡中的一个智能卡以及两个或多个支持元件中的一个支持元件，所述智能卡可安装到所述支持元件中或从所述支持元件中移除以创建将存储在加密文件中的加密密钥，从而所述加密密钥只能通过用于创建所述加密密钥的所述智能卡和所述支持元件解密。

通过本发明的技术，可以实现其它特征和优点。本发明的其它实施例和方面在此处详细地进行描述并被视为所声明的本发明的一部分。为了更好地理解本发明的优点和特征，请参阅描述和附图。

附图说明

现在参考下面的附图，借助实例描述本发明的优选实施例，其中：

图1是根据本发明的优选实施例的企业计算系统的示意图；

图2是示出根据本发明的优选实施例的主支持元件的初始化的流程图；

图3是示出根据本发明的优选实施例的次支持元件的初始化的流程图；

图4是示出根据本发明的优选实施例的主支持元件的初始化中的密钥检索的流程图；

图5是示出根据本发明的优选实施例的主支持元件的初始化中的密钥存储的流程图；

图6是示出根据本发明的优选实施例的密钥提供的流程图；以及

图7是示出根据本发明的优选实施例的用于更改加密密钥的操作的流程图。

具体实施方式

数据安全在企业计算中至关重要。每当在诸如闪存盘或DVD或硬盘或其它可移动介质之类的可移动永久性存储介质上存储敏感客户数据时，必须对数据执行密钥加密以防止未授权的访问。考虑到可移除的便携式闪存盘的持久特性，由此甚至在断电时数据仍持久保存在存储器中，更应该执行加密。确实，当介质被移除并在以后重新连接到系统时，需要一种机制来验证系统有权对数据进行解密。此机制应该集成在系统内，而无需客户干预。

本发明的各方面涉及在企业计算系统内提供加密密钥的端到端管理。密钥管理由可能镜像的系统支持元件（SE）使用连接SE的智能卡的加密功能进行处理。数据加密通过协议提供，这些协议确保系统上的智能卡与SE的组合被授权提供对加密数据进行解密所需的密钥。

现在参考图1，其中提供了企业计算系统10。系统10包括主计算系统20，该计算系统可包括诸如通过有线或无线网络相互通信的个人计算机、个人数字助理和服务器之类的计算设备构成的网络。主计算系统20例如还可包括设备21，例如闪存卡或其它可移动设备，其上面的数据受加密密钥保护。具体而言，所述计算设备可以包括主SE30和次SE40。系统10进一步包括主智能卡50和次智能卡60。主智能卡和次智能卡50和60包括在没有电的情况下持久的公钥/私钥对和密钥加密密钥（KEK）。主智能卡和次智能卡50和60分别与主SE30和次SE40关联。