[发明专利]用于凭证加密的方法、系统以及非暂态计算机可读介质

权利要求书

1.一种用于凭证加密的方法，包括：

经由安全信道，从本地进程接收加密请求，其中，所述加密请求包括与所述本地进程相关联的凭证并且标识数据字符串以及要对所述数据字符串执行的加密函数；

通过使用所述凭证，验证所述本地进程是否被授权访问在所述加密请求中指定的加密函数；

通过使用对执行所述方法的系统唯一的安全密钥，来在所述数据字符串上执行在所述加密请求中指定的所述加密函数，其中，所述本地进程不能够访问所述安全密钥；以及

向所述本地进程提供所述加密函数的结果。

2.如权利要求1所述的方法，其中，所述加密函数是对数据进行加密和对数据进行解密之一。

3.如权利要求2所述的方法，其中，所述加密函数是对数据进行加密，并且其中，所述加密函数包括由所述加密函数进行加密的数据中的凭证。

4.如权利要求2所述的方法，其中，所述加密函数是对数据进行解密，并且其中，所述方法包括对照从所述数据中取得的凭证来验证所述凭证。

5.如权利要求1所述的方法，包括在所述系统的初始设置期间生成所述安全密钥。

6.如权利要求1所述的方法，包括向所述本地进程提供凭证。

7.如权利要求1所述的方法，其中，与所述进程相关联的凭证是与所述进程相关联的路径、进程标识符和对系统文件的访问证明之一。

8.一种用于凭证加密的系统，包括：

安全存储器，用于存储对所述系统唯一的安全密钥；

加密服务，用于经由安全信道接收来自进程的加密请求，其中所述加密请求包括与所述进程相关联的凭证并且标识数据字符串以及要对所述数据字符串执行的加密函数，并且用于通过使用所述安全密钥来执行所述加密函数，其中，所述安全密钥仅能够由所述加密服务访问；以及

授权模块，用于接收与在所述系统上运行的所述进程相关联的所述凭证、并基于所述凭证来确定所述进程是否被授权访问所述加密服务。

9.如权利要求8所述的系统，其中，所述加密服务执行数据的加密，使得加密的数据能够从以下各项中的任意两项的组合中取得：所述进程、所述加密服务、以及可信第三方。

10.如权利要求8所述的系统，包括密钥生成模块，所述密钥生成模块用于在所述系统和所述加密服务之一的初始化期间生成所述安全密钥。

11.如权利要求8所述的系统，其中，所述授权模块还基于当前时间、日期、应用程序是否正在所述系统上操作、生存时间是否已经过期以及数据已经被解密多少次中的至少一个来确定所述进程是否被授权访问所述加密服务。

12.一种存储处理器可执行指令的非暂态计算机可读介质，所述指令在被执行时控制处理器进行以下操作：

经由安全信道接收加密请求，其中，所述加密请求标识与本地进程相关联的凭证、数据字符串以及要对所述数据字符串执行的加密函数；

基于与所述进程相关联的凭证来验证所述进程是否被授权访问所述加密函数；

当所述加密函数涉及对所述数据字符串进行加密时，将与所述进程相关联的凭证附加到所述数据字符串；

通过使用对其中嵌入了所述处理器的系统唯一的安全密钥，来对所述数据字符串执行所述加密函数，其中，所述本地进程不能够访问所述安全密钥；以及

当所述加密函数涉及对所述数据字符串进行加密时，将从所述加密函数获得的第一加密的字符串提供给所述进程；以及

当所述加密函数涉及对所述数据字符串进行解密时，选择性地将从所述加密函数获得的解密的字符串提供给所述进程，其中，基于在对所述数据字符串进行解密时取得的凭证是否同与所述进程相关联的凭证相匹配来选择性地提供所述解密的字符串。