CN106716914B - 用于漫游的受保护内容的安全密钥管理 - Google Patents

用于漫游的受保护内容的安全密钥管理 Download PDF

Info

Publication number
CN106716914B
CN106716914B CN201580050394.4A CN201580050394A CN106716914B CN 106716914 B CN106716914 B CN 106716914B CN 201580050394 A CN201580050394 A CN 201580050394A CN 106716914 B CN106716914 B CN 106716914B
Authority
CN
China
Prior art keywords
computing device
data protection
key
private key
content
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201580050394.4A
Other languages
English (en)
Other versions
CN106716914A (zh
Inventor
Y.A.梅塔
I.巴斯莫夫
O.T.尤雷彻
P.J.诺沃特尼
P.D.亚当
M.拉卡尼
S.辛哈
N.S.阿查亚
K.辛赫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN106716914A publication Critical patent/CN106716914A/zh
Application granted granted Critical
Publication of CN106716914B publication Critical patent/CN106716914B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

基于对应于设备的用户的特定身份的数据保护密钥来对设备上的内容进行加密和保护。受保护的内容于是可以被存储到云存储装置,并且受保护的内容可以从云存储装置传递到用户的设备中的各种其他设备。用于从受保护的内容取回明文内容的数据保护密钥由用户的设备维护。该数据保护密钥可以被安全地传递到用户的设备中的其他设备,以允许用户的设备中的任何设备访问受保护的内容。

Description

用于漫游的受保护内容的安全密钥管理
背景技术
随着计算技术的进步,许多不同类型的计算设备变得常见。用户时常具有多种不同的计算设备,诸如膝上型或者台式计算机、平板设备、智能电话等等。联网服务或者云服务可以用来允许用户跨这多个设备共享数据,从而给予用户对于来自他们的多个设备中任何设备的数据的访问。然而,将数据提供给这样的服务可能对于用户而言是令人烦恼的,因为这可以导致用户原想保持为私有的他或者她的数据变成对于服务提供商或者其他实体(例如,非法侵入或者以其他方式损害服务的恶意用户)来说是可得到的。
发明内容
本概要被提供来以简化形式介绍概念的选择,这些概念在下面在详细描述中被进一步说明。本概要既不打算标识所要求保护的主题的关键特征或必要特征,也不打算被用来限制所要求保护的主题的范围。
按照一个或者多个方面,在第一计算设备中,使用对应于第一计算设备的用户身份的数据保护公钥/私钥对中的数据保护公钥来保护内容。受保护的内容被复制到云存储装置,并且获取第二计算设备的公钥/私钥对中的公钥,第一和第二计算设备与相同的用户身份相关联。使用第二计算设备的公钥对数据保护私钥进行加密,并把加密的数据保护私钥提供给第二计算设备。
附图说明
参考附图来说明该详细描述。在附图中,参考标号最左边的(一个或者多个)数字标识了该参考标号首次出现的附图。在说明书和附图中的不同实例中使用相同的参考标号可以指示相似或者相同的项。在附图中表示的实体可以指示一个或者多个实体,并且因此可以可互换地参考讨论中的实体的单数或者复数形式。
图1图示了按照一个或者多个实施例的、实现本文讨论的技术的示例***。
图2图示了按照一个或者多个实施例的、实现本文讨论的技术的另一示例计算设备。
图3是图示了按照一个或者多个实施例的、用于实现针对漫游的受保护内容的安全密钥管理的示例过程的流程图。
图4图示了按照一个或者多个实施例的、在其中内容是漫游的并且数据保护私钥是共享的示例***。
图5图示了包括示例计算设备的示例***,所述示例计算设备代表可实现本文描述的各种技术的一个或者多个***和/或设备。
具体实施方式
本文讨论了用于漫游的(roaming)受保护的内容的安全密钥管理。设备的用户在使用该设备时具有特定身份(例如,用户账户)。基于对应于特定身份且通过特定身份被保护的数据保护密钥对设备上的内容进行加密和保护。可以使用数据保护密钥对内容进行加密,或者可以使用数据保护密钥来对用于加密该内容的一个或者多个其他密钥加密。受保护的内容然后可以被复制到云存储装置,并且受保护的内容可以从云存储装置传递到用户的设备中的各种其他设备,这也被称为使内容漫游。
作为保护的一部分,内容被加密,并且用于解密该内容的密钥被用户的设备维护。云存储装置不能访问用于解密该内容的密钥,并且因此不能访问明文(未加密)内容。
然而,用于解密内容的密钥可以被传送给用户的设备中的其他设备。为了将用于解密内容的密钥传递到用户的设备中的另一个设备(目标设备),利用目标设备的密钥来保护(例如,加密)该用于解密内容的密钥。这种保护允许目标设备取回该密钥(例如,解密该密钥),但是阻止其他设备访问该密钥。由于保护的缘故,受保护的密钥可以经由云存储装置以及任何去往或来自云存储装置的通信信道——包括不可信的云存储装置和不可信的通信信道——被传送给目标设备。
本文讨论的技术通过允许用户内容尽管存储在不可信云存储装置上或者经由不可信通信信道传递但仍然是受保护的,从而有利地改进了计算设备的可用性和安全性。本文讨论的技术进一步通过允许用户在其设备中的多个设备上访问其明文内容并同时保护明文内容免于被不可信云存储装置、不可信通信信道或者其他用户访问,而有利地改进了计算设备的可用性和安全性。
在本文中参考加密和解密内容,其可以使用对称密钥密码术或者公钥密码术来执行。虽然这样的密钥密码术对本领域技术人员是熟知的,但为了帮助读者,而在此包括了对这样的密码术的简要概述。在公钥密码术中,实体(诸如用户、硬件或者软件组件、设备、域等等)具有与其相关联的公钥/私钥对。公钥可以变成公开地可得到的,但是实体将私钥保持为秘密。可以使用私钥来对数据进行解密,但是没有私钥的话,在计算上很难对使用公钥加密的数据进行解密。所以,数据可以由任何实体利用公钥加密,并且仅可以由某个实体利用对应的私钥解密。
在对称密钥密码术中,在另一方面,共享密钥(也被称为对称密钥)被两个实体所知,并且由这两个实体保持为秘密的。具有共享密钥的任一实体通常能够使用该共享密钥加密数据,以及解密使用该共享密钥加密的数据。没有共享密钥的话,在计算上很难对利用共享密钥加密的数据进行解密。所以,如果两个实体都知道共享密钥,则每个实体均可以对数据进行加密,该数据能由另一方解密,但是其他实体不能解密该数据(如果这些其他实体不知道共享密钥的话)。相似地,具有共享密钥的实体可以对数据进行加密,该数据可由该相同实体解密,但是其他实体不能解密该数据(如果这些其他实体不知道共享密钥的话)。
图1图示了按照一个或者多个实施例的、实现本文描述的技术的示例***100。***100包括计算设备102,其可以是各种各样不同类型的设备。例如,计算设备102可以是台式计算机、服务器计算机、膝上型或者上网本计算机、移动设备(例如,平板或者平板手机设备、蜂窝或者其他无线电话(例如,智能电话)、笔记本计算机、移动站)、可穿戴设备(例如,眼镜、手表)、娱乐设备(例如,娱乐器具、通信地耦合到显示设备的机顶盒、游戏控制台)、电视机或者其他显示设备、汽车用计算机等等。因此,计算设备102的范围可以从具有大量存储器和处理器资源的完全资源设备(例如,个人计算机、游戏控制台)到具有有限存储器和/或处理资源的低资源设备(例如,传统机顶盒、手持式游戏控制台)。
计算设备102包括内容保护***104、一个或者多个程序106和内容存储库108。程序106可以包括各种不同的应用、操作***的一些部分、或者可在计算设备102上运行的其他程序。内容存储库108是由计算设备102用来存储内容的一个或者多个存储设备。内容指的是任何类型的数据、指令或者由计算设备102存储的其他信息。内容存储库108可以使用各种各样的不同类型的存储设备中的任一项来实现,诸如固态设备(例如,闪存)、磁盘、光盘等等。虽然被图示为计算设备102的一部分,但是应该指出,构成内容存储库108的存储设备中的一个或者多个存储设备可以被实现在与计算设备102分离但是与其通信地耦合的设备(例如,外部硬盘驱动器、可拆卸闪速驱动器)上。
内容保护***104管理计算设备102上的内容的保护,包括管理内容的加密和解密、管理用于保护内容的密钥等等。内容保护***104可以被实现为计算设备102的操作***的一部分,或者可替换地被实现为与操作***分离的计算设备102的另一组件或者模块。
内容保护***104包括密钥管理模块112、密钥传递模块114、加密模块116和解密模块118。密钥管理模块112生成用于加密和解密内容的密钥,包括其他密钥。密钥管理模块112还以安全的方式将密钥存储在计算设备102上,并且控制对密钥的访问,仅允许由计算设备102的被准许访问密钥的那些组件或者模块访问这些密钥。这些密钥包括用于计算设备102的公钥/私钥对。在一个或者多个实施例中,计算设备102的私钥被保护在计算设备102的硬件中,这诸如是通过将设备私钥包入(wrap)下一代证书(Next GenerationCredential)中、将设备私钥封入(seal)可信平台模块(TPM)、将设备私钥封入智能卡、将设备私钥封入硬件安全模块(HSM)等等来进行。
密钥传递模块114对将密钥安全地传递到和传递自其他计算设备进行管理。密钥传递模块114对保护密钥以用于传递到其他计算设备、以及从被传递到计算设备102的受保护的密钥中取回密钥进行管理。密钥传递模块114可以通过将要被传递的密钥提供给解密模块118而促进对要被传递的密钥的加密。密钥传递模块114可以相似地通过将(由解密模块118解密的)密钥提供给密钥管理模块112而促进对正被传递到计算设备102的密钥的解密。
加密模块116基于一个或者多个密钥来加密内容。这种加密可以使用各种各样不同的公有和/或专有加密技术或者算法中的任一项来执行,并且可以使用对称密钥密码术或者公钥密码术。解密模块118基于一个或者多个密钥来解密内容。这种解密可以使用各种各样不同的公有和/或专有解密技术或者算法中的任一项来执行,并且可以使用对称密钥密码术或者公钥密码术。
计算设备102的用户在使用设备时还具有特定身份,诸如用户的用户名或者用户帐户标识符。该用户名或者用户帐户标识符例如是用户登录到计算设备102所利用的名称或者标识符、用户登录到(例如,云存储服务,也被称为云服务的)服务所利用的名称或者标识符等等。计算设备102访问云存储装置122,其是允许内容在一个或者多个位置中的短期或者长期存储的组件或者技术的集合。内容的存储可以使用可经由各种各样不同数据网络(例如,互联网、局域网(LAN)、电话网络、内联网、其他公有和/或专有网络或者其组合)、有线连接(例如,通用串行总线(USB)连接)、无线连接(例如,无线USB连接)等等中的任一项访问的各种各样不同存储机制中的任一项来实现。云存储装置122可以是被依赖来使内容相对于其他用户或设备保持安全的可信云存储装置、或者是不被依赖来使内容相对于其他用户或设备保持安全的不可信云存储装置。云存储装置122通常是位于计算设备102的远程位置的一个或者多个存储设备,但是可替换地可以是其他存储设备(例如,可拆卸设备(例如,使用有线或者无线连接来耦合到计算设备102的闪速或者磁驱动器))。
云存储装置122可以经由各种各样不同的通信信道中的任一项来被访问。通信信道可以是可信信道或者不可信信道。可信信道指的是被依赖来使内容相对于其他用户或设备保持安全的通信信道,而不可信信道指的是不被依赖来使内容相对于其他用户或设备保持安全的通信信道。
云存储装置122可以可选地被实现为多个不同服务(也被称为云服务)之一。这些云服务可以包括例如内容存储服务、内容编辑服务、通信(例如,电子邮件或者消息传送)服务等等。这些服务可以由各种各样不同类型的设备中的一个或者多个设备实现,诸如以上参考计算设备102讨论的那些设备中的任何一个或者多个设备。
云存储装置122允许内容在计算设备102和其他计算设备124(1)、…、124(M)之间共享或者漫游。受保护的内容指的是已经被加密的内容,而且受保护的内容可以由计算设备102或者124之一传递到云存储装置122,并且由计算设备102或者124中的其他计算设备接收。这些计算设备是用户的其他计算设备、或者用户已经登录到的其他计算设备。虽然受保护的内容可以被传递到这些设备,但是没有恰当密钥的话,受保护的内容不能在这些设备上被访问,如在下文中更详细讨论的。附加地,应该指出,云存储装置122不需要被计算设备102的用户信任——受保护的内容被存储在该云存储装置122上,并且不向云提供对内容解除保护(解密)的密钥,所以云不能访问明文(未加密)内容。
云存储装置122还维护用户密钥存储库126,其对应于用户的身份。用户可以可选地在不同时间(例如,登录到计算设备102的不同时间)具有不同身份。在一个或者多个实施例中,用户在任何给定时间的身份是当他或者她在该给定时间登录到计算设备102(和/或登录到云存储装置122)时的用户的身份。用户密钥存储库126包括一个或者多个公钥/私钥对中的公钥,诸如计算设备102的公钥、计算设备124(1)、…、124(M)之一的公钥、和数据保护公钥。这些密钥被用于保护内容,与此同时允许用户从多个设备访问该内容,如以下更详细讨论的。
图2图示了按照一个或者多个实施例的、实现本文讨论的技术的另一示例计算设备202。计算设备202类似于图1的计算设备102,包括内容保护***104、一个或者多个程序和内容存储库108。然而,计算设备202不同于计算设备102之处在于,内容保护***104被实现为可信计算基础204的部分。
可信计算基础204作为计算设备202的安全或者可信组件来操作,从而生成和保护密钥。可信计算基础204的组件可以响应于来自程序106的加密或者解密内容的请求(包括来自操作***的请求)而加密或者解密内容,但是可信计算基础204并不将加密或者解密密钥泄露给计算设备202的、未被包括作为可信计算基础204的一部分的模块的任何其他程序。因此,如果程序106是恶意软件,或者计算***202的操作***的一部分是不可信的或者受恶意软件危害的,则密钥保持为由可信计算基础204保护,并且不被泄露给这样的程序或者操作***。然而,可信计算基础204可以将已经被加密的密钥传递给其他计算设备,如下文更详细讨论的。
返回图1,在计算设备102上的内容由内容保护***104基于数据保护公钥/私钥对来进行保护。密钥管理模块112生成数据保护公钥/私钥对,并且将数据保护私钥保持为秘密的。数据保护公钥被传送到云存储装置122,并且被存储为用户密钥存储库126的一部分来。数据保护公钥/私钥对对应于用户的身份或者与用户的身份紧密联系。如果用户具有多个不同身份,则可生成多个不同数据保护公钥/私钥对(各自对应于多个身份中的不同的一个身份或者与其紧密联系),或者可替换地,单个数据保护公钥/私钥对可以跨多个不同身份来共享。在任何特定时间,密钥管理模块112允许使用对应于在该特定时间的用户身份的数据保护私钥来保护内容,但是不允许使用对应于其他用户身份的数据保护私钥来保护内容。数据保护私钥因此也被称为由特定身份保护。
受保护的内容也被存储在云存储装置122上。受保护的内容在云存储装置122上的这种存储可以由程序106之一(诸如内容同步程序)来管理。随着新内容在内容存储库108上被生成或者以其他方式被添加到内容存储库108,新内容被内容保护***104保护,并且通过内容同步程序被存储在云存储装置122上。相似地,随着新内容在其他计算设备124的内容存储库上被生成或者以其他方式添加到其他计算设备124的内容存储库(例如,在用户使用相同身份登录到这样的其他设备的时候)并且通过其他计算设备124被存储在云存储装置122上,由内容同步程序从云存储装置122获取新内容,并且将其存储在内容存储库108中。
受保护的内容基于数据保护公钥/私钥对被保护。计算设备102或者124的内容保护***使用数据保护私钥来从受保护的内容获取明文内容。因此,为了使得计算设备102和124中的多个不同计算设备从受保护的内容获取明文内容,数据保护私钥在该不同的计算设备102和124之间共享。这种共享以保护数据保护私钥的方式完成,从而允许计算设备102和124获取数据保护私钥,但是阻止其他用户或者设备获取数据保护私钥。因此,数据保护私钥的共享可以经由不安全的云存储装置和/或不安全的通信信道完成。
图3是图示了按照一个或者多个实施例的、用于实现针对漫游的受保护内容的安全密钥管理的示例过程300的流程图。过程300由计算设备的内容保护***——诸如图1或者图2的内容保护***104——来实行,并且可以被实现在软件、固件、硬件或者其组合中。过程300被示为一组动作,并且不限于所示出的用于执行各种动作的操作的次序。过程300是用于实现针对漫游的受保护内容的安全密钥管理的示例过程;实现针对漫游的受保护内容的安全密钥管理的附加讨论通过参考不同附图而在本文中包括。
在过程300中,使用对应于用户的身份的数据保护公钥来保护内容(动作302)。内容可以以各种不同方式使用数据保护公钥被保护。在一个或者多个实施例中,使用文件加密密钥来加密内容(动作304)。文件加密密钥被用于通过使用文件加密密钥作为加密过程(例如,对称加密过程)的密钥而对内容进行加密。文件加密密钥也利用数据保护公钥进行加密(动作306)。数据保护公钥被用于通过使用数据保护公钥作为公钥密码术过程的密钥而对文件加密密钥进行加密。因此,可以使用多个不同密钥来保护内容——被用于加密内容的文件加密密钥(例如,对称密钥)、和其数据保护公钥被用于加密文件加密密钥的数据保护公钥/私钥对。
可替换地,不是使用文件加密密钥,而是利用数据保护公钥来加密内容(动作308)。数据保护公钥被用于通过使用数据保护公钥作为公钥密码术过程的密钥而对内容进行加密。因此,其数据保护公钥被用于加密内容的数据保护公钥/私钥对可以被用于在没有对对称密钥的任何使用的情况下保护数据。
不管保护数据的方式如何,受保护的内容被复制到云存储装置(动作310)。因为内容被保护,所以云存储装置自身不能够访问明文(未加密)内容。受保护的内容因此被存储在实现该过程300的计算设备上,并且由于将受保护的内容复制到云存储装置,所以受保护的内容被云存储装置存储,并被漫游到用户的设备中的其他设备。
获取要能够访问内容的目标设备的公钥(动作312)。目标设备的公钥可以以各种各样不同的方式获取。在一个或者多个实施例中,用户登录的每个计算设备具有其自己的公钥/私钥对。该设备公钥/私钥对由计算设备(例如,计算设备的密钥管理模块)生成,并且该设备私钥由计算设备保持为秘密的(例如,被保护在计算设备的硬件中,如以上讨论的)。然而,在一个或者多个实施例中,每个计算设备将其设备公钥存储在云的用户密钥存储库(例如,图1的用户密钥存储库126)中。因此,用户的计算设备(例如,用户使用相同身份登录的那些)的每一个向云提供其设备公钥,这使得那些设备公钥是用户的其他计算设备可得到的。可替换地,计算设备可以以不同方式使得其设备公钥是用户的其他计算设备可得到的,诸如独立于用户密钥存储库126和/或云的直接交换(例如,将设备公钥传递到可拆卸闪存设备或者电话以及从可拆卸闪存设备或者电话读取设备公钥、使用另外的有线或者无线通信信道传递设备公钥,等等)。
使用目标设备公钥对数据保护私钥进行加密(动作314)。通过使用目标设备公钥来加密数据保护私钥,目标设备能够使用目标设备私钥取回数据保护私钥,但是(不具有目标设备私钥的)其他设备不能够取回数据保护私钥。
加密的数据保护私钥被提供给目标设备(动作316)。可以使用各种各样不同机制中的任一种机制把加密的数据保护私钥提供给目标设备,所述机制诸如是图1的云存储装置122、可拆卸闪存设备或者电话、另外的有线或者无线通信信道等等。应该指出,因为数据保护私钥被加密,并且目标设备是具有目标设备私钥的唯一设备,所以加密的数据保护私钥可以经由各种各样的可信或者不可信信道中的任一信道被传递或者以其他方式传送给目标设备。
一旦目标设备具有了加密的数据保护私钥,则目标设备可以容易地使用目标设备私钥取回数据保护私钥。目标设备的内容保护***将数据保护私钥保持为秘密的,并且可以使用数据保护私钥从受保护的内容取回明文内容(例如,通过使用数据保护私钥来解密文件加密密钥,然后使用文件加密密钥来解密加密的内容;或者通过使用数据保护私钥来解密加密的内容)。
要向其提供数据保护私钥的目标设备可以以不同方式被标识。在一个或者多个实施例中,目标设备向实现该过程300的设备传送通知:目标设备想要数据保护私钥。该通知可以是经由云存储装置的,或者可替换地经由另外的通信信道。可替换地,要向其提供数据保护私钥的目标设备可以以不同方式被确定。例如,实现该过程300的设备(或者用户密钥存储库126)可以维护已经向其提供了数据保护政策私钥的其他设备的记录,并且可以将使用用户密钥存储库126中的每个设备公钥(实现该过程300的设备还没有为其将加密的数据保护私钥存储在云存储装置上)加密的数据保护私钥自动存储在云存储装置上。
图4图示了按照一个或者多个实施例的、其中内容被漫游并且数据保护私钥被共享的示例***400。用户在相同或者不同时间登录到他的计算设备中的两个不同计算设备:402和404。该用户可以但不必要为了使内容漫游和/或共享数据保护私钥而并发地登录到计算设备402和404两者。每个计算设备402和404可以是图1的计算设备102或者图2的计算设备202。每个计算设备402和404分别具有内容保护***406和408,如以上讨论的。受保护的内容410由计算设备402提供给云存储装置112,并且从云存储装置112复制到计算设备404。
计算设备402将计算设备402的设备公钥提供给密钥存储库126,其维护该密钥,该密钥被示为设备1公钥412。计算设备404将计算设备404的设备公钥提供给密钥存储库126,其维护该密钥,该密钥被示为设备2公钥414。计算设备402(或者可替换地计算设备404)还将数据保护公钥提供给密钥存储库126,其维护该密钥,该密钥被示为数据保护公钥416。数据保护公钥416可以被用于在不同设备或者不同用户身份之间共享数据,如以下更详细讨论的。
计算设备402从用户密钥存储库126获取设备2公钥414,并且使用设备2公钥414来加密数据保护私钥。加密的数据保护私钥被提供418到计算设备404,从而允许计算设备404解密受保护的内容410。
在一个或者多个实施例中,数据保护公钥/私钥对由一个设备生成,诸如用户使用用户身份登录的第一设备。然后,当用户使用该用户身份登录到他的其他设备时,数据保护私钥被提供给那些其他设备。因此,受保护的内容被使用相同的数据保护公钥/私钥对来保护,而不是每个设备使用其自己的数据保护公钥/私钥对来保护数据。
在一个或者多个实施例中,在加密数据保护私钥并将其提供给目标设备之前执行附加的用户验证。从其传递数据保护私钥的计算设备(例如,图4的示例中的计算设备402)也被称为源设备,其向用户提示源设备同意传递数据保护私钥。这种提示可以是对源设备的用户的视觉显示或者其他呈现。这种提示可以包括用户生成的随机数(nonce)或者其他值(例如,在目标设备处从用户接收到并且被提供给源设备的)以使得云存储装置或者任何其他恶意设备或者组件不能冒充目标设备或者用户。接收用来指示是否同意该传递的用户输入。如果同意该传递,则继续进行数据保护私钥的加密和提供,但是如果不同意该传递,则不再继续,并且不将数据保护私钥提供给目标设备。
通过仅响应于用户同意传递密钥才加密和提供数据保护私钥给目标设备,有利地提供了对抗中间人攻击的附加安全性保护。恶意设备或者程序可以通过假装是目标设备而尝试中间人攻击。源设备和目标设备两者的用户通常是期望将密钥传递到目标设备的用户,所以用户将容易地知道他或她是否正请求该传递。如果在用户没有将其另一设备设置成数据要向其漫游时向用户提供了同意传递的提示,则用户可以假设这样的提示是由于恶意设备或者程序的动作引起的,并且拒绝给予对密钥传递的同意。
作为添加的安全性预防,可以执行目标设备的离线验证以作为由用户提供的同意的一部分。例如,如果数据保护私钥要从设备402(本例中的源设备)提供给设备404(本例中的目标设备),则设备404的标识(例如,从设备404的公钥生成的哈希值)可以由设备402和设备404两者显示或者以其他方式呈现。如果两个标识相同,则用户可以同意将数据保护私钥传递到设备404。然而,如果两个标识不相同,则可以不同意,从而阻止数据保护私钥被提供给设备404。如果两个标识不相同,则用户可以假设发生了问题,诸如另一设备或者程序正伪装成设备404(例如,使用中间人攻击)等等。
因此,数据保护私钥的共享可以以不同方式来执行。在一个或者多个实施例中,根据基于方便的方法来执行共享。用户可以仅添加内容要向其漫游的新设备(例如,通过利用他的用户身份登录到该设备),并且发送通知到设备402。该通知可以从云(例如,来自用户密钥存储库126的通知:新设备公钥已经被添加到用户密钥存储库126)或者从新设备发送。响应于通知,设备402云将加密的数据保护私钥提供给新设备。
可替换地,数据保护私钥的共享根据基于安全的方法来执行。内容要向其漫游的新设备发送一个值(例如,新设备的标识符或者随机数)到设备402,其在设备402上显示或者以其他方式呈现(例如,可听地回放)该值。用户对设备402的输入确认了该值(以使得云存储装置不能冒充该用户)并且确认了用户同意向新设备释放数据保护私钥(已使用新设备的公钥加密)。
返回图1,本文讨论的技术允许加密的内容被传递到(漫游到)用户的设备中的各种其他设备。用户的设备中的每一个设备可以在获取数据保护私钥之后取回明文内容,如以上讨论的。此外,本文讨论的技术允许用户将受保护的内容与其他用户共享或者与相同用户的其他用户身份共享。
在一个或者多个实施例中,用户密钥存储库126的一个或者多个密钥可以被配置为可由附加的用户身份读取,附加的用户身份是诸如所有其他用户身份、特定用户身份(例如,如由计算设备102的用户规定的)等等。这些不同用户身份可以是对应于不同用户或者相同用户的用户身份。因此,可以使得用户密钥存储库126中的数据保护公钥变成是其他用户身份可得到的。如果登录到计算设备124的用户期望将内容传送给具有特定用户身份的用户,则计算设备124可以从用户密钥存储库126获取该特定用户身份的数据保护公钥,使用获取的数据保护公钥来保护内容,并且将受保护的内容存储在云存储装置上。可以通过以下方式来保护内容,即通过利用特定用户身份的数据保护公钥来加密内容,或者通过利用该特定用户身份的数据保护公钥来加密文件加密密钥(其曾用于或者正用于加密内容)。明文内容因此可以仅由具有数据保护私钥的设备从受保护的内容中取回,并且受保护的内容可以经由云存储装置122或者其他不可信云存储装置或者通信信道被传送给计算设备102。
作为添加的安全性预防,可以在利用获取的数据保护公钥保护内容之前,执行对从用户密钥存储库126获取的数据保护公钥的离线验证。例如,如果利用用户身份A登录到计算设备124(1)的用户A期望将受保护的内容与利用用户身份B登录到计算设备102的用户B共享,则计算设备124(1)从用户密钥存储库126获取用户身份B的数据保护公钥。获取的这个数据保护公钥的标识(例如,从获取的数据保护公钥生成的哈希值)可以被显示或者以其他方式呈现给计算设备124(1)的用户A。此外,用户身份B的数据保护公钥的标识(例如,从数据保护公钥生成的哈希值)可以向计算设备102的用户B显示或者以其他方式呈现。数据保护公钥的这两个显示的(或者以其他方式呈现的)标识可以(例如,由任一用户或者两个用户)进行比较,以验证这些标识是相同的。如果两个标识是相同的,则用户A(和/或用户B)可以授权计算设备124(1)着手利用用户身份B的数据保护公钥来保护内容。然而,如果两个标识不相同,则用户A(和/或用户B)可以提供输入,向计算设备124(1)指示取消内容共享,并且不利用用户身份B的数据保护公钥来保护内容。如果两个标识不相同,则用户A(和/或用户B)可以假设发生了问题,另一设备正伪装成计算设备102(例如,使用中间人攻击)等等。
应该指出,数据保护私钥由内容保护***104维护,并且不被泄露给云存储装置122。不存在对于存储有数据保护私钥的各种设备的集中式密钥管理设施(即,云存储装置122不提供密钥第三方保管(escrow)服务或者相似的服务)。在一个或者多个实施例中,采取一个或者多个措施来提供对数据保护私钥的备份,从而允许在数据保护私钥不再从计算设备102可得到的情况下(例如,由于计算设备102出故障、计算设备102被丢失或者被窃等等)无缝地恢复数据保护私钥。
可以采取各种不同措施来保护数据保护私钥以用于恢复,诸如使用生物计量术来保护数据保护私钥、使用电话来保护数据保护私钥、使用秘密问题秘密答案(secret-question-secret-answer)技术来保护数据保护私钥、上述项的组合等等。可由图1的内容保护***104(例如,密钥管理模块112)采取这些措施。
使用生物计量术来保护数据保护私钥指的是收集关于用户的生物计量数据,并且从生物计量数据中导出密钥。生物计量数据可以采取各种不同形式,诸如指纹数据、眼扫描(例如,视网膜扫描)数据、面部扫描(例如,面部识别)数据、话音数据等等。该生物计量数据可以使用各种各样的公有和/或专有技术中的任一项被转换成密钥,诸如基于来自生物计量数据的熵而导出密钥。从生物计量数据导出的密钥被用于加密数据保护私钥(例如,使用各种各样对称密钥密码术技术中的任一项)。加密的数据保护私钥然后可以被存储在计算设备102外部的位置处,包括云存储装置122。
如果数据保护私钥从计算设备102丢失(或者计算设备102不再可得到或者可使用),则数据保护私钥可以由用户取回。再次从用户获取生物计量数据,并且如果生物计量数据与加密数据保护私钥时所使用的相同,则从新获取的生物计量数据导出的密钥可以被用于解密数据保护私钥。
使用电话保护数据保护私钥指的是将数据保护私钥存储在用户的电话(例如,智能电话)上。虽然在本文中被讨论为电话,但是数据保护私钥可以可替换地被存储在用户信任的各种其他设备上。数据保护私钥可以以各种各样不同方式被传递到电话,包括由用户人工输入密钥(例如,数据保护私钥由计算设备102显示,并且用户人工地将密钥输入到他的或者她的电话中)。数据保护私钥可以可替换地以其他方式被传递到电话,诸如基于对由计算设备102进行的密钥显示或密钥表示的自动标识。例如,数据保护私钥可以由计算设备102显示,并且该显示由电话的相机捕获。可以可选地对所捕获的图像执行光学字符识别以确定密钥。作为另一示例,对数据保护私钥编码的快速响应(QR)码可以由计算设备102显示,并且由电话的相机捕获。数据保护私钥可以可替换地以各种其他有线或者无线方式被传递到电话,诸如使用USB连接、无线USB连接、红外通信、NFC(近场通信)等等。
如果数据保护私钥从计算设备102丢失(或者计算设备102不再可得到或者可使用),则数据保护私钥可以被从电话取回。可以使用类似于在将数据保护私钥存储在电话上时所讨论的那些技术的各种各样技术中的任一项,把密钥从电话提供给计算设备102(或者新的计算设备)。
使用秘密问题秘密答案技术保护数据保护私钥指的是收集对于一个或者多个问题的一个或者多个答案。问题可以采用各种形式,诸如关于用户过去的知识的问题、关于秘密信息的问题(例如,个人标识号(PIN)或者由用户创建的密码)等等。答案被设计为预期只有用户知道的秘密答案。可以使用各种各样的公有和/或专有技术中的任一项(诸如单向哈希)把一个或者多个答案转换成密钥。从一个或者多个问题导出的密钥被用于加密数据保护私钥(例如,使用各种各样对称密钥密码术技术中的任一项)。加密的数据保护私钥然后可以被存储在计算设备102外部的位置处,包括云存储装置122。
如果数据保护私钥从计算设备102丢失(或者计算设备102不再可得到或者可使用),则数据保护私钥可以由用户取回。再次从用户获取一个或者多个答案,并且如果一个或者多个答案与当加密数据保护私钥时使用的一个或者多个答案相同,则从该一个或者多个答案导出的密钥可以被用于解密数据保护私钥。
这些不同措施(例如,生物计量术保护、电话保护、秘密问题秘密答案保护)中的单个措施可以被用来保护数据保护私钥,或者这些不同措施的组合可以被用来保护数据保护私钥。例如,可以既使用生物计量术保护也使用秘密问题秘密答案保护,这样只有在从用户获取的生物计量数据与当加密数据保护私钥时使用的相同并且从用户获取的对于一个或者多个问题的一个或者多个答案与当加密数据保护私钥时使用的一个或者多个答案相同时,才可以由该用户取回数据保护私钥。
在本文的讨论中,参考了由所有计算设备使用的单个数据保护公钥/私钥对。可替换地,可以使用多个数据保护公钥/私钥对,诸如针对每个计算设备的单独数据保护公钥/私钥对、针对一个或者多个计算设备中的每一个计算设备的多个数据保护公钥/私钥对等等。使用本文讨论的技术,把针对这多个数据保护公钥/私钥对中的每一对的数据保护私钥提供给其他计算设备。
还应该指出,虽然参考了一个云存储装置(例如,图1的云存储装置122),但是可替换地,可使用多个不同的云存储装置或者云服务,无论使用是并发地、顺序地还是甚至是临时地。例如,不同服务可以为了用户密钥存储库126的冗余性而要具有定为目标的每服务用户密钥存储库以使得与多个和/或不同用户安全地共享,可以出于在不同的云存储装置或者云服务上与用户共享的目的而将用户密钥存储库126临时地存储在不同的云存储装置或者云服务上等等。
虽然在本文中参考特定模块讨论了特定功能性,但是应该指出,本文讨论的单个模块的功能性可以被分成多个模块,和/或多个模块的至少一些功能性可以被组合成单个模块。附加地,特定模块在本文中被讨论为执行动作包括:该特定模块自己执行动作或者可替换地该特定模块调用或者以其他方式访问执行该动作(或者与该特定模块协力执行该动作)的另一组件或者模块。因此,特定模块执行动作包括:该特定模块自己执行动作和/或由该特定模块调用或者以其他方式访问的另一模块执行动作。
图5概括地在500处图示了包括示例计算设备502的示例***,示例计算设备502代表可以实现本文中描述的各种技术的一个或多个***和/或设备。计算设备502可以例如是服务提供商的服务器、与客户端相关联的设备(例如,客户端设备)、片上***和/或任何其他合适的计算设备或者计算***。
所图示的示例计算设备502包括彼此通信地耦合的处理***504、一个或多个计算机可读介质506和一个或多个I/O接口508。尽管未被示出,但计算设备502可以进一步包括将各种组件彼此耦合的***总线或者其他数据和命令传递***。***总线可以包括不同总线结构中的任何一个或者组合,诸如存储器总线或者存储器控制器、***总线、通用串行总线和/或使用各种各样总线架构中的任一种总线架构的处理器或者本地总线。还设想了各种各样的其他示例,诸如控制和数据线。
处理***504代表使用硬件执行一个或多个操作的功能性。相应地,处理***504被图示为包括可以被配置为处理器、功能块等的硬件元件510。这可以包括在硬件中实现为专用集成电路或者使用一个或多个半导体形成的其他逻辑器件。硬件元件510不受形成它们的材料或者其中采用的处理机制的限制。例如,处理器可以由(一个或者多个)半导体和/或晶体管(例如,电子集成电路(IC))组成。在这样的上下文中,处理器可执行指令可以是电子地可执行的指令。
计算机可读介质506被图示为包括存储器/存储装置512。存储器/存储装置512表示与一个或多个计算机可读介质相关联的存储器/存储装置容量。存储器/存储装置512可以包括易失性介质(诸如随机存取存储器(RAM))和/或非易失性介质(诸如只读存储器(ROM)、闪存、光盘、磁盘等)。存储器/存储装置512可以包括固定介质(例如,RAM、ROM、固定硬驱动器等)以及可拆卸介质(例如,闪存、可拆卸硬驱动器、光盘等)。可以以各种各样其他方式来配置计算机可读介质506,如下面进一步描述的。
一个或者多个输入/输出接口508代表允许用户使用各种输入/输出设备向计算设备502输入命令和信息以及还允许将信息呈现给用户和/或其他组件或者设备的功能性。输入设备的示例包括键盘、光标控制设备(例如,鼠标)、麦克风(例如,用于话音输入)、扫描仪、触摸功能性(例如,被配置来检测物理触摸的电容式或者其他传感器)、相机(例如,其可以采用可见波长或不可见波长——诸如红外频率——来将不涉及触摸的移动检测为手势)等。输出设备的示例包括显示设备(例如,监视器或者投影仪)、扬声器、打印机、网卡、触觉响应设备等。因此,可以以如下面进一步描述的各种各样的方式将计算设备502配置为支持用户交互。
计算设备502还包括内容保护***514。内容保护***514提供内容的各种保护,其包括如以上讨论的密钥。内容保护***514可以实现例如图1或者图2的内容保护***104。
在本文中,可以在软件、硬件元件或者程序模块的一般上下文中描述各种技术。一般性地,这样的模块包括执行特定任务或者实现特定抽象数据类型的例程、程序、对象、元件、组件、数据结构等。当在本文中使用时,术语“模块”、“功能性”和“组件”通常表示软件、固件、硬件或者其组合。本文描述的技术的特征是与平台无关的,这意味着这些技术可以被实施在具有各种各样处理器的各种各样计算平台上。
所描述的模块和技术的实现可以被存储在某种形式的计算机可读介质上、或者跨某种形式的计算机可读介质来被传输。计算机可读介质可以包括能被计算设备502访问的各种各样的介质。作为示例而非限制,计算机可读介质可以包括“计算机可读存储介质”和“计算机可读信号介质”。
与仅仅信号传输、载波或者信号本身相反,“计算机可读存储介质”指的是使得能够永久存储信息的介质和/或设备和/或有形的存储装置。因此,计算机可读存储介质指的是非信号承载介质。计算机可读存储介质包括以适合于存储信息(诸如计算机可读指令、数据结构、程序模块、逻辑元件/电路或者其他数据)的方法或者技术实现的硬件,诸如易失性和非易失性、可拆卸和非可拆卸介质和/或存储设备。计算机可读存储介质的示例可以包括但不限于RAM、ROM、EEPROM、闪存或者其他存储器技术、CD-ROM、数字多功能光盘(DVD)或者其他光学存储装置、硬盘、盒式磁带、磁带、磁盘存储装置或者其他磁存储设备、或者其他适合于存储期望的信息并且可以被计算机访问的存储设备、有形介质或者制品。
“计算机可读信号介质”指的是被配置为诸如经由网络向计算设备502的硬件传输指令的信号承载介质。信号介质通常可以将计算机可读指令、数据结构、程序模块或者其他数据具体化在诸如载波、数据信号或者其他传输机制之类的经调制的数据信号中。信号介质还包括任何信息递送介质。术语“经调制的数据信号”意指使其特性中的一个或多个以将信息编码在信号中的方式来设置或改变的信号。作为示例而非限制,通信介质包括有线介质和无线介质,有线介质诸如是有线网络或者直接连线的连接,而无线介质诸如是声学、RF、红外和其他无线介质。
如之前描述的,硬件元件510和计算机可读介质506代表可以在一些实施例中被采用来实现本文中描述的技术的至少一些方面的、以硬件形式实现的指令、模块、可编程设备逻辑和/或固定设备逻辑。硬件元件可以包括以下组件:集成电路或者片上***、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD)以及在硅或者其他硬件设备中的其他实现。在这个上下文中,硬件元件可以作为处理设备来运行,该处理设备执行由指令、模块和/或逻辑定义的程序任务,该指令、模块和/或逻辑由该硬件元件以及被使用来存储指令以供执行的硬件设备(例如之前描述的计算机可读存储介质)来具体化。
前述项的组合也可以被采用来实现本文中描述的各种技术和模块。相应地,软件、硬件或者程序模块和其他程序模块可以被实现为在某种形式的计算机可读存储介质上具体化的和/或通过一个或多个硬件元件510具体化的一个或多个指令和/或逻辑。计算设备502可以被配置为实现与软件和/或硬件模块相对应的特定指令和/或功能。相应地,将模块实现为可由计算设备502作为软件来执行的模块是可以至少部分地用硬件——例如通过使用处理***的计算机可读存储介质和/或硬件元件510——来达成的。指令和/或功能可以是可被一个或多个制品(例如,一个或多个计算设备502和/或处理***504)执行/操作来实现本文中描述的技术、模块和示例的。
如在图5中进一步图示的,示例***500使得当在个人计算机(PC)、电视设备和/或移动设备上运行应用时能够实现用于无缝用户体验的普适环境。当在使用应用、玩视频游戏、观看视频等时从一个设备转换到下一个设备的情况下,服务和应用在所有三个环境中基本类似地运行以有利于共同的用户体验。
在示例***500中,通过中央计算设备将多个设备互连。中央计算设备可以对于该多个设备来说是本地的,或者可以被定位为远离该多个设备。在一个或者多个实施例中,中央计算设备可以是通过网络、互联网或者其他数据通信链路连接到该多个设备的一个或多个服务器计算机的云。
在一个或多个实施例中,这种互连架构使得功能性能够跨多个设备被递送,以向多个设备的用户提供共同和无缝的体验。多个设备中的每个设备可以具有不同的物理要求和能力,并且中央计算设备使用平台来使得能够向设备递送既是针对该设备定制又是对于全部设备共同的体验。在一个或者多个实施例中,创建目标设备的类,并且为通用类的设备定制体验。设备的类可以按照设备的物理特征、用途类型或者其他共同特性来定义。
在各种实现中,计算设备502可以诸如针对计算机516、移动装置518和电视机520用途而采取各种各样的不同配置。这些配置中的每种配置包括可具有大体上不同的构造和能力的设备,并且因此可以根据不同设备类中的一个或多个类来对计算设备502进行配置。例如,计算设备502可以被实现为计算机516类的设备,包括个人计算机、台式计算机、多屏幕计算机、膝上型计算机、上网本等。
计算设备502还可以被实现为移动装置518类的设备,包括诸如移动电话、便携式音乐播放器、便携式游戏设备、平板计算机、多屏幕计算机等之类的移动设备。计算设备502还可以被实现为电视机520类的设备,包括在休闲观看环境中的具有或者连接到通常较大屏幕的设备。这些设备包括电视机、机顶盒、游戏控制台等。
本文中描述的技术可以被计算设备502的这各种配置支持,并且不限于本文中描述的技术的具体示例。此功能性也可以通过使用分布式***,诸如经由如下所述的平台524通过云522,来全部或部分地实现。
云522包括和/或代表用于资源526的平台524。平台524对云522的硬件(例如,服务器)和软件资源的底层功能性进行抽象。资源526可以包括当在远离计算设备502的服务器上执行计算机处理时可以被使用的应用和/或数据。资源526还可以包括通过互联网和/或通过订户网络(诸如蜂窝或者Wi-Fi网络)提供的服务。
平台524可以对用于将计算设备502与其他计算设备连接的资源和功能进行抽象。平台524还可以用来对资源的衡量(scaling)进行抽象,以便向遇到的对于经由平台524实现的资源526的需求提供对应的规模水平。因此,在互连设备实施例中,本文中描述的功能性的实现可以被分布在***500的各处。例如,该功能性可以部分地在计算设备502上、以及经由对云522的功能性进行抽象的平台524来实现。
在本文的讨论中,描述了各种不同的实施例。要领会和理解的是,本文描述的每个实施例可以独自地使用,或者结合本文描述的一个或者多个其他实施例使用。本文讨论的技术的更多方面涉及以下实施例中的一个或者多个。
在第一计算设备中实现的方法包括:使用对应于第一计算设备的用户的身份的数据保护公钥/私钥对中的数据保护公钥来保护内容;将受保护的内容复制到云存储装置;获取第二计算设备的公钥/私钥对中的公钥,第一和第二计算设备与相同的用户身份相关联;使用第二计算设备的公钥来加密数据保护私钥;以及将加密的数据保护私钥提供给第二计算设备。
可替换地或者附加于以上描述的方法,有以下任何一项或者组合:所述提供包括经由可拆卸驱动器将加密的数据保护私钥提供给第二计算设备;所述保护内容包括利用文件加密密钥来加密内容,以及利用数据保护公钥来加密文件加密密钥;所述保护内容包括利用数据保护公钥来加密内容;所述提供包括将加密的数据保护私钥存储到云存储装置;所述云存储装置是不可信云存储装置,其不被依赖来将受保护的内容或者经加密的数据保护私钥保持为安全的;从云存储装置接收附加的受保护的数据,所述附加的受保护的数据已经由第三计算设备使用数据保护公钥予以保护,以及将附加的受保护的数据存储在第一计算设备的内容存储库中;显示对于用户同意将数据保护私钥传递到第二计算设备的提示,以及仅响应于指示同意传递的用户输入而执行所述加密和提供;所述显示对于用户同意的提示包括在第一计算设备处显示第二计算设备的标识;保护数据保护私钥以用于恢复,以及响应于数据保护私钥不再从第一计算设备可得到而恢复所述数据保护私钥;所述保护进一步包括基于用户的生物计量数据和来自秘密问题秘密答案技术的答案这两者或其中之一来加密数据保护私钥,以及将加密的数据保护私钥存储到云存储装置。
第一计算设备包括:加密模块,其被配置成通过使用对应于第一计算设备的用户的身份的数据保护公钥/私钥对中的数据保护公钥来加密内容或者加密用于加密内容的文件加密密钥而保护所述内容;一个或者多个程序,其被配置成将受保护的内容复制到云存储装置;以及密钥传递模块,其被配置成:获取第二计算设备的公钥/私钥对中的公钥,第一和第二计算设备与云存储装置上的相同用户身份相关联;使用第二计算设备的公钥来促进加密模块加密该数据保护私钥;以及将加密的数据保护私钥提供给第二计算设备。
可替换地或者附加于以上描述的计算设备,有以下任何一项或者组合:所述云存储装置包括数据保护私钥被相对其进行保护的云服务;所述密钥传递模块被进一步配置成显示对于用户同意将数据保护私钥传递到第二计算设备的提示,以及仅响应于指示同意传递的用户输入而促进加密模块对数据保护私钥进行加密并且将加密的数据保护私钥提供给第二计算设备;所述密钥传递模块被进一步配置成使用用户的生物计量数据来保护数据保护私钥以用于恢复,以及随后响应于数据保护私钥不再从第一计算设备可得到而使用新获取的用户的生物计量数据来恢复数据保护私钥;显示QR码,其对数据保护私钥编码以用于由用户电话的相机捕获。
一种在其上存储有多个指令的计算机可读存储介质,所述指令响应于由计算设备的一个或者多个处理器执行而使该一个或多个处理器执行操作,所述操作包括:通过使用对应于计算设备的用户身份的数据保护公钥/私钥对中的数据保护公钥来加密文件加密密钥而保护内容,所述内容被使用文件加密密钥进行加密;将受保护的内容复制到云存储装置;获取附加计算设备的公钥/私钥对中的公钥,计算设备和附加计算设备两者都为了由另一方存储到云存储装置的受保护的内容而访问云存储装置;使用附加计算设备的公钥来加密数据保护私钥;以及将加密的数据保护私钥提供给附加计算设备。
可替换地或者附加于以上描述的计算机可读存储介质,有以下任何一项或者组合:所述提供包括将加密的数据保护私钥存储到云存储装置;所述云存储装置是不可信云存储装置,其不被依赖来将受保护的内容或者经加密的数据保护私钥保持为安全的;保护数据保护私钥以用于恢复,以及响应于数据保护私钥不再从计算设备可得到而恢复所述数据保护私钥。
第一计算设备包括:用于使用对应于第一计算设备的用户身份的数据保护公钥/私钥对中的数据保护公钥来保护内容的装置;用于将受保护的内容复制到云存储装置的装置;用于获取第二计算设备的公钥/私钥对中的公钥的装置,第一和第二计算设备与相同的用户身份相关联;用于使用第二计算设备的公钥来加密数据保护私钥的装置;以及用于将加密的数据保护私钥提供给第二计算设备的装置。
可替换地或者附加于以上描述的方法,有以下任何一项或者组合:用于提供的装置包括用于经由可拆卸驱动器将加密的数据保护私钥提供给第二计算设备的装置;用于保护内容的装置包括用于利用文件加密密钥来加密内容的装置,以及用于利用数据保护公钥来加密文件加密密钥的装置;用于保护内容的装置包括用于利用数据保护公钥来加密内容的装置;用于提供的装置包括用于将加密的数据保护私钥存储到云存储装置的装置;所述云存储装置是不可信云存储装置,其不被依赖来将受保护的内容或者经加密的数据保护私钥保持为安全的;用于从云存储装置接收附加的受保护的数据的装置,所述附加的受保护的数据已经由第三计算设备使用数据保护公钥予以保护,以及用于将附加的受保护的数据存储在第一计算设备的内容存储库中的装置;用于显示对于用户同意将数据保护私钥传递到第二计算设备的提示的装置,以及用于仅响应于指示同意传递的用户输入而执行所述加密和提供的装置;用于显示对于用户同意的提示的装置包括用于在第一计算设备处显示第二计算设备的标识的装置;用于保护数据保护私钥以用于恢复的装置,以及用于响应于数据保护私钥不再从第一计算设备可得到而恢复所述数据保护私钥的装置;用于保护的装置进一步包括用于基于用户的生物计量数据和来自秘密问题秘密答案技术的答案这两者或其中之一来加密数据保护私钥的装置,以及用于将加密的数据保护私钥存储到云存储装置的装置。
虽然本主题以特定于结构特征和/或方法动作的语言被描述,但是要理解,在所附权利要求中限定的本主题不是必然地限于以上描述的特定特征或者动作。而是,以上描述的特定特征和动作是作为实现权利要求的示例形式被公开的。

Claims (20)

1.一种在第一计算设备中实现的方法,所述方法包括:
由所述第一计算设备使用对应于所述第一计算设备的用户的身份的第一数据保护公钥/私钥对中的第一数据保护公钥来保护内容;
由所述第一计算设备将受保护的所述内容复制到云存储装置;
由所述第一计算设备从所述云存储装置中的密钥存储库中获取第二计算设备的第二公钥/私钥对中的第二公钥,所述第一计算设备和所述第二计算设备是单独的计算设备,所述第一计算设备和所述第二计算设备以及所述密钥存储库与相同的用户身份相关联,所述密钥存储库被配置成存储对应于与所述相同的用户身份相关联的多个设备的设备公钥,所述密钥存储库被进一步配置成通过与所述相同的用户身份相关联的所述多个设备中的其他设备访问所述云存储装置中的所述密钥存储库,使得相应的所述多个设备的所述设备公钥可用于所述其他设备;
由所述第一计算设备使用所述第二计算设备的所述第二公钥来加密所述第一数据保护私钥;以及
由所述第一计算设备将加密的所述第一数据保护私钥提供给所述第二计算设备。
2.如权利要求1所述的方法,所述提供包括经由可拆卸驱动器将加密的所述第一数据保护私钥提供给所述第二计算设备。
3.如权利要求1所述的方法,保护所述内容包括:
利用文件加密密钥来加密所述内容;以及
利用所述第一数据保护公钥来加密所述文件加密密钥。
4.如权利要求1所述的方法,保护所述内容包括:利用所述第一数据保护公钥来加密所述内容。
5.如权利要求1所述的方法,所述提供包括将加密的所述第一数据保护私钥存储到所述云存储装置。
6.如权利要求1所述的方法,所述云存储装置是不可信云存储装置,其不被依赖来将受保护的所述内容或者加密的所述第一数据保护私钥保持为安全的。
7.如权利要求1所述的方法,进一步包括:
从所述云存储装置接收附加的受保护的数据,所述附加的受保护的数据已经由第三计算设备使用所述第一数据保护公钥予以保护;以及
将所述附加的受保护的数据存储在所述第一计算设备的内容存储库中。
8.如权利要求1所述的方法,进一步包括:
显示对于用户同意将所述第一数据保护私钥传递到所述第二计算设备的提示;以及
仅响应于指示同意所述传递的用户输入来执行所述加密和提供。
9.如权利要求8所述的方法,显示对于用户同意的所述提示包括在所述第一计算设备处显示所述第二计算设备的标识。
10.如权利要求1所述的方法,进一步包括:
保护所述第一数据保护私钥以用于恢复;以及
响应于所述第一数据保护私钥不再从所述第一计算设备可得到,恢复所述第一数据保护私钥。
11.如权利要求10所述的方法,保护所述第一数据保护私钥以用于恢复进一步包括:
基于所述用户的生物计量数据和来自秘密问题秘密答案技术的答案这两者或其中之一来加密所述第一数据保护私钥;以及
将加密的所述第一数据保护私钥存储到所述云存储装置。
12.一种第一客户端计算设备,包括:
处理***和存储器,其被配置成实现所述第一客户端计算设备的第一算法以通过使用对应于所述第一客户端计算设备的用户的身份的第一数据保护公钥/私钥对中的第一数据保护公钥来加密内容或者加密用于加密所述内容的文件加密密钥而保护所述内容;
一个或者多个程序,其被配置成由所述第一客户端计算设备将受保护的所述内容复制到云存储装置;以及
所述处理***和存储器被进一步配置成:
由所述第一客户端计算设备从所述云存储装置中的密钥存储库中获取第二客户端计算设备的第二公钥/私钥对中的第二公钥,所述第一客户端计算设备和所述第二客户端计算设备是单独的计算设备,所述第一客户端计算设备和所述第二客户端计算设备以及所述密钥存储库与所述云存储装置上的相同用户身份相关联,所述密钥存储库被配置成存储对应于与所述相同的用户身份相关联的多个设备的设备公钥,所述密钥存储库被进一步配置成使得相应的所述多个设备的所述设备公钥可用于与所述相同的用户身份相关联的所述多个设备中的其他设备;
由所述第一客户端计算设备使用所述第二客户端计算设备的所述第二公钥来促进由所述第一客户端计算设备加密所述第一数据保护私钥的第二算法;以及
由所述第一客户端计算设备经由所述云存储装置将加密的所述第一数据保护私钥提供给所述第二客户端计算设备,加密的所述第一数据保护私钥被配置成使用所述第二客户端计算设备的所述第二公钥/私钥对中的所述第二私钥被解密,并且一旦被解密,就促进由所述第二客户端计算设备对所述内容或用于加密所述内容的所述文件加密密钥的解密。
13.如权利要求12所述的第一客户端计算设备,所述云存储装置包括云服务,所述第一数据保护私钥被所述云服务保护。
14.如权利要求12所述的第一客户端计算设备,所述处理***和存储器被进一步配置成:
显示对于用户同意将所述第一数据保护私钥传递到所述第二客户端计算设备的提示;以及
仅响应于指示同意所述传递的用户输入,来促进加密所述第一数据保护私钥的所述第二算法并且向所述第二客户端计算设备提供加密的所述第一数据保护私钥。
15.如权利要求12所述的第一客户端计算设备,所述处理***和存储器被进一步配置成:
使用所述用户的生物计量数据来保护所述第一数据保护私钥以用于恢复;以及
随后,响应于所述第一数据保护私钥不再从所述第一客户端计算设备可得到,使用新获取的所述用户的生物计量数据来恢复所述第一数据保护私钥。
16.如权利要求12所述的第一客户端计算设备,被进一步配置成显示QR码,其对所述第一数据保护私钥编码以用于由所述用户的电话的相机捕获。
17.一种其上存储有多个指令的计算机可读存储介质,所述多个指令响应于由客户端计算设备的一个或多个处理器的执行,使所述一个或多个处理器执行操作,所述操作包括:
由所述客户端计算设备通过使用对应于所述客户端计算设备的用户的身份的第一数据保护公钥/私钥对中的第一数据保护公钥来加密文件加密密钥来保护内容,所述内容使用所述文件加密密钥被加密;
由所述客户端计算设备将受保护的所述内容复制到云存储装置;
由所述客户端计算设备从所述云存储装置中的密钥存储库中获取单独的附加客户端计算设备的第二公钥/私钥对中的第二公钥,所述客户端计算设备和所述附加客户端计算设备两者针对由另一计算设备存储到所述云存储装置的受保护的内容访问所述云存储装置,所述云存储装置包括密钥存储库,所述密钥存储库由所述客户端计算设备和所述附加客户端计算设备可访问,所述密钥存储库被配置成存储对应于多个设备的设备公钥,并且通过所述多个设备中的其他设备访问所述云存储装置中的所述密钥存储库,使得相应的所述多个设备的所述设备公钥可用于所述其他设备;
由所述客户端计算设备通过所述客户端计算设备使用所述附加客户端计算设备的所述第二公钥来加密所述第一数据保护私钥;以及
由所述客户端计算设备将加密的所述第一数据保护私钥提供给所述附加客户端计算设备,加密的所述第一数据保护私钥被配置成使用所述附加客户端计算设备的所述第二公钥/私钥对中的所述第二私钥被解密,并且一旦被解密,就促进由所述附加计算设备对用于加密所述内容的所述文件加密密钥的解密。
18.如权利要求17所述的计算机可读存储介质,所述提供包括将加密的所述第一数据保护私钥存储到所述云存储装置。
19.如权利要求17所述的计算机可读存储介质,所述云存储装置是不可信云存储装置,其不被依赖来将受保护的所述内容或者加密的所述第一数据保护私钥保持为安全的。
20.如权利要求17所述的计算机可读存储介质,进一步包括:
保护所述第一数据保护私钥以用于恢复;以及
响应于所述第一数据保护私钥不再从所述客户端计算设备可得到,恢复所述第一数据保护私钥。
CN201580050394.4A 2014-09-17 2015-09-14 用于漫游的受保护内容的安全密钥管理 Active CN106716914B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/489288 2014-09-17
US14/489,288 US9853812B2 (en) 2014-09-17 2014-09-17 Secure key management for roaming protected content
PCT/US2015/049981 WO2016044160A1 (en) 2014-09-17 2015-09-14 Secure key management for roaming protected content

Publications (2)

Publication Number Publication Date
CN106716914A CN106716914A (zh) 2017-05-24
CN106716914B true CN106716914B (zh) 2021-05-25

Family

ID=54186331

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580050394.4A Active CN106716914B (zh) 2014-09-17 2015-09-14 用于漫游的受保护内容的安全密钥管理

Country Status (4)

Country Link
US (1) US9853812B2 (zh)
EP (1) EP3195555B1 (zh)
CN (1) CN106716914B (zh)
WO (1) WO2016044160A1 (zh)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8739984B2 (en) 2005-09-12 2014-06-03 Rtc Industries, Inc. Product management display system with trackless pusher mechanism
US11344138B2 (en) 2005-09-12 2022-05-31 Rtc Industries, Inc. Product management display system
US10285510B2 (en) 2005-09-12 2019-05-14 Rtc Industries, Inc. Product management display system
US11259652B2 (en) 2005-09-12 2022-03-01 Rtc Industries, Inc. Product management display system
US10952546B2 (en) 2005-09-12 2021-03-23 Rtc Industries, Inc. Product management display system with trackless pusher mechanism
US11583109B2 (en) 2005-09-12 2023-02-21 Rtc Industries, Inc. Product management display system with trackless pusher mechanism
US8874935B2 (en) 2011-08-30 2014-10-28 Microsoft Corporation Sector map-based rapid data encryption policy compliance
US20140344570A1 (en) 2013-05-20 2014-11-20 Microsoft Corporation Data Protection For Organizations On Computing Devices
US10615967B2 (en) 2014-03-20 2020-04-07 Microsoft Technology Licensing, Llc Rapid data protection for storage devices
US9825945B2 (en) 2014-09-09 2017-11-21 Microsoft Technology Licensing, Llc Preserving data protection with policy
US9900295B2 (en) 2014-11-05 2018-02-20 Microsoft Technology Licensing, Llc Roaming content wipe actions across devices
KR101654520B1 (ko) * 2014-12-29 2016-09-22 주식회사 슈프리마 사용자 인증 처리 방법 및 장치
US9853820B2 (en) 2015-06-30 2017-12-26 Microsoft Technology Licensing, Llc Intelligent deletion of revoked data
US9900325B2 (en) 2015-10-09 2018-02-20 Microsoft Technology Licensing, Llc Passive encryption of organization data
DE102015225778A1 (de) * 2015-12-17 2017-06-22 Deutsche Post Ag Vorrichtung und Verfahren für die personalisierte Bereitstellung eines Schlüssels
US9591479B1 (en) * 2016-04-14 2017-03-07 Wickr Inc. Secure telecommunications
US10511632B2 (en) 2017-03-03 2019-12-17 Microsoft Technology Licensing, Llc Incremental security policy development for an enterprise network
US10419488B2 (en) 2017-03-03 2019-09-17 Microsoft Technology Licensing, Llc Delegating security policy management authority to managed accounts
JP6784198B2 (ja) 2017-03-09 2020-11-11 トヨタ自動車株式会社 施解錠システム、キーユニット
WO2018170560A1 (en) * 2017-03-24 2018-09-27 TipeME Holdings Pty Ltd A system and method for providing user accounts through which users are able to operate computing devices
GB201709760D0 (en) * 2017-06-19 2017-08-02 Nchain Holdings Ltd Computer-Implemented system and method
US10841089B2 (en) 2017-08-25 2020-11-17 Nutanix, Inc. Key managers for distributed computing systems
US10868669B2 (en) * 2017-10-16 2020-12-15 Taiwan Semiconductor Manufacturing Company Ltd. Method for role-based data transmission using physically unclonable function (PUF)-based keys
US10541814B2 (en) * 2017-11-08 2020-01-21 Wickr Inc. End-to-end encryption during a secure communication session
US11101999B2 (en) 2017-11-08 2021-08-24 Amazon Technologies, Inc. Two-way handshake for key establishment for secure communications
US10855440B1 (en) 2017-11-08 2020-12-01 Wickr Inc. Generating new encryption keys during a secure communication session
US10778432B2 (en) 2017-11-08 2020-09-15 Wickr Inc. End-to-end encryption during a secure communication session
KR102436485B1 (ko) * 2017-11-20 2022-08-26 삼성전자주식회사 전자 장치 및 전자 장치에서 보안 운영체제 기반 데이터 송수신 방법
US20190238323A1 (en) * 2018-01-31 2019-08-01 Nutanix, Inc. Key managers for distributed computing systems using key sharing techniques
CN108173880B (zh) * 2018-02-11 2020-10-16 合肥图久智能科技有限公司 一种基于第三方密钥管理的文件加密***
CA3097749A1 (en) * 2018-04-19 2019-10-24 PIV Security LLC Peer identity verification
US10944547B2 (en) * 2018-08-10 2021-03-09 International Business Machines Corporation Secure environment device management
US20230016036A1 (en) * 2021-07-16 2023-01-19 Cisco Technology, Inc. Serverless identity management
CN113676478B (zh) * 2021-08-20 2023-09-12 北京奇艺世纪科技有限公司 一种数据处理方法及相关设备
US11770243B2 (en) * 2021-09-25 2023-09-26 Uab 360 It Grouping data in an organized storage system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2680487A1 (en) * 2012-06-29 2014-01-01 Orange Secured cloud data storage, distribution and restoration among multiple devices of a user
CN103685466A (zh) * 2013-11-13 2014-03-26 安徽云盾信息技术有限公司 一种基于两对非对称密钥的多设备间加密文件共享的实现方法
CN103763315A (zh) * 2014-01-14 2014-04-30 北京航空航天大学 一种应用于移动设备云存储的可信数据存取控制方法
CN103973440A (zh) * 2014-05-13 2014-08-06 东方斯泰克信息技术研究院(北京)有限公司 基于cpk的文件云安全管理方法及***

Family Cites Families (214)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5495533A (en) 1994-04-29 1996-02-27 International Business Machines Corporation Personal key archive
US5787131A (en) 1995-12-22 1998-07-28 Ericsson Inc. Method and apparatus for mitigation of self interference using array processing
US6016402A (en) 1996-05-21 2000-01-18 Iomega Corporation Method for integrating removable media disk drive into operating system recognized as fixed disk type and modifying operating system to recognize as floppy disk type
US5897661A (en) 1997-02-25 1999-04-27 International Business Machines Corporation Logical volume manager and method having enhanced update capability with dynamic allocation of storage and minimal storage of metadata information
US6067199A (en) 1997-06-30 2000-05-23 Emc Corporation Method and apparatus for increasing disc drive performance
US5974503A (en) 1997-04-25 1999-10-26 Emc Corporation Storage and access of continuous media files indexed as lists of raid stripe sets associated with file names
US6076143A (en) 1997-09-02 2000-06-13 Emc Corporation Method and apparatus for managing the physical storage locations for blocks of information in a storage system to increase system performance
US6028725A (en) 1997-06-30 2000-02-22 Emc Corporation Method and apparatus for increasing disc drive performance
US5944783A (en) 1997-07-29 1999-08-31 Lincom Corporation Apparatus and method for data transfers through software agents using client-to-server and peer-to-peer transfers
US5966263A (en) 1997-08-01 1999-10-12 International Business Machines Corporation Method and apparatus to increase head/AE select robustness for a system using multiple head servo write
US6253300B1 (en) 1997-08-20 2001-06-26 Powerquest Corporation Computer partition manipulation during imaging
US6249866B1 (en) * 1997-09-16 2001-06-19 Microsoft Corporation Encrypting file system and method
US6292790B1 (en) 1997-10-20 2001-09-18 James E. Krahn Apparatus for importing and exporting partially encrypted configuration data
US6170055B1 (en) 1997-11-03 2001-01-02 Iomega Corporation System for computer recovery using removable high capacity media
US6041386A (en) 1998-02-10 2000-03-21 International Business Machines Corporation Data sharing between system using different data storage formats
US6298446B1 (en) 1998-06-14 2001-10-02 Alchemedia Ltd. Method and system for copyright protection of digital images transmitted over networks
US8234477B2 (en) 1998-07-31 2012-07-31 Kom Networks, Inc. Method and system for providing restricted access to a storage medium
US9361243B2 (en) 1998-07-31 2016-06-07 Kom Networks Inc. Method and system for providing restricted access to a storage medium
US6438235B2 (en) * 1998-08-05 2002-08-20 Hewlett-Packard Company Media content protection utilizing public key cryptography
US7380140B1 (en) 1998-12-30 2008-05-27 Spyrus, Inc. Providing a protected volume on a data storage device
GB9903490D0 (en) 1999-02-17 1999-04-07 Memory Corp Plc Memory system
US7451484B1 (en) 1999-05-27 2008-11-11 International Business Machines Corporation Method for enabling a program written in untrusted code to interact with a security subsystem of a hosting operating system
JP2000341263A (ja) 1999-05-27 2000-12-08 Sony Corp 情報処理装置及び方法
US6292317B1 (en) 1999-09-02 2001-09-18 Maxtor Corporation Method and apparatus for performing a flaw scan of a disk drive
US6665784B2 (en) 1999-09-03 2003-12-16 Roxio, Inc. Method for writing and reading data to and from a compact disc media
US7216251B2 (en) 2000-02-19 2007-05-08 Powerquest Corporation Computer imaging recovery without a working partition or a secondary medium
US6944742B1 (en) 2000-04-28 2005-09-13 Microsoft Corporation Compressed file system for non-volatile RAM
US7197638B1 (en) 2000-08-21 2007-03-27 Symantec Corporation Unified permissions control for remotely and locally stored files whose informational content may be protected by smart-locking and/or bubble-protection
US6789162B1 (en) 2000-10-17 2004-09-07 Sun Microsystems, Inc. Storage controller configured to select unused regions of a storage device for data storage according to head position
US6727896B2 (en) 2001-08-01 2004-04-27 Microsoft Corporation Correction of alignment and linearity errors in a stylus input system
US20030084298A1 (en) 2001-10-25 2003-05-01 Messerges Thomas S. Method for efficient hashing of digital content
US7171557B2 (en) 2001-10-31 2007-01-30 Hewlett-Packard Development Company, L.P. System for optimized key management with file groups
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US7614077B2 (en) 2002-04-10 2009-11-03 International Business Machines Corporation Persistent access control of protected content
US7269612B2 (en) 2002-05-31 2007-09-11 International Business Machines Corporation Method, system, and program for a policy based storage manager
CA2496664C (en) 2002-08-23 2015-02-17 Exit-Cube, Inc. Encrypting operating system
WO2004019186A2 (en) 2002-08-26 2004-03-04 Guardednet, Inc. Determining threat level associated with network activity
US20060190984A1 (en) 2002-09-23 2006-08-24 Credant Technologies, Inc. Gatekeeper architecture/features to support security policy maintenance and distribution
KR100492800B1 (ko) 2002-11-12 2005-06-07 주식회사 하이닉스반도체 불휘발성 강유전체 메모리 제어 장치
US7181016B2 (en) 2003-01-27 2007-02-20 Microsoft Corporation Deriving a symmetric key from an asymmetric key for file encryption or decryption
US20090177664A9 (en) 2003-05-07 2009-07-09 Hotchkiss Lynette I System and Method for Regulatory Rules Repository Generation and Maintenance
WO2004107646A1 (en) 2003-05-14 2004-12-09 Threatguard, Inc. System and method for application-level virtual private network
US7360073B1 (en) 2003-05-15 2008-04-15 Pointsec Mobile Technologies, Llc Method and apparatus for providing a secure boot for a computer system
US6968973B2 (en) 2003-05-31 2005-11-29 Microsoft Corporation System and process for viewing and navigating through an interactive video tour
US7389273B2 (en) * 2003-09-25 2008-06-17 Scott Andrew Irwin System and method for federated rights management
GB2406403B (en) 2003-09-26 2006-06-07 Advanced Risc Mach Ltd Data processing apparatus and method for merging secure and non-secure data into an output data stream
US7730318B2 (en) 2003-10-24 2010-06-01 Microsoft Corporation Integration of high-assurance features into an application through application factoring
US20050120265A1 (en) 2003-12-02 2005-06-02 Pline Steven L. Data storage system with error correction code and replaceable defective memory
US7536536B1 (en) 2003-12-15 2009-05-19 American Megatrends, Inc. Method, system, and computer readable medium for updating and utilizing the contents of a non-essential region of a memory device
US7930540B2 (en) 2004-01-22 2011-04-19 Mcafee, Inc. Cryptographic policy enforcement
US7254669B2 (en) 2004-01-29 2007-08-07 International Business Machines Corporation Create virtual track buffers in NVS using customer segments to maintain newly written data across a power loss
US7559088B2 (en) 2004-02-04 2009-07-07 Netapp, Inc. Method and apparatus for deleting data upon expiration
US7627617B2 (en) 2004-02-11 2009-12-01 Storage Technology Corporation Clustered hierarchical file services
US20050262361A1 (en) 2004-05-24 2005-11-24 Seagate Technology Llc System and method for magnetic storage disposal
CN100353787C (zh) 2004-06-23 2007-12-05 华为技术有限公司 一种移动终端内存储的资料信息的安全保障方法
US7409623B2 (en) 2004-11-04 2008-08-05 Sigmatel, Inc. System and method of reading non-volatile computer memory
US7725703B2 (en) 2005-01-07 2010-05-25 Microsoft Corporation Systems and methods for securely booting a computer with a trusted processing module
US7308525B2 (en) 2005-01-10 2007-12-11 Sandisk Il Ltd. Method of managing a multi-bit cell flash memory with improved reliablility and performance
WO2006089092A2 (en) 2005-02-16 2006-08-24 Ziyad Dahbour Hierarchal data management
WO2006095335A2 (en) 2005-03-07 2006-09-14 Noam Camiel System and method for a dynamic policies enforced file system for a data storage device
US7277986B2 (en) 2005-03-30 2007-10-02 Emc Corporation Sector-edge cache
US7516478B2 (en) 2005-06-03 2009-04-07 Microsoft Corporation Remote management of mobile devices
US20070028231A1 (en) 2005-08-01 2007-02-01 International Business Machines Corporation System and method for start menu and application uninstall synchronization
US7602906B2 (en) 2005-08-25 2009-10-13 Microsoft Corporation Cipher for disk encryption
US7730327B2 (en) 2005-09-09 2010-06-01 Netapp, Inc. Managing the encryption of data
US7694134B2 (en) 2005-11-11 2010-04-06 Computer Associates Think, Inc. System and method for encrypting data without regard to application
TW200723093A (en) 2005-12-14 2007-06-16 Inventec Corp Method for establishing mirror storage equipment and synchronously storing equipment update data
US8321859B2 (en) 2005-12-22 2012-11-27 Alan Joshua Shapiro Method and apparatus for dispensing on a data-storage medium customized content comprising selected assets
US7594087B2 (en) 2006-01-19 2009-09-22 Sigmatel, Inc. System and method for writing data to and erasing data from non-volatile memory
JP4838610B2 (ja) 2006-03-24 2011-12-14 キヤノン株式会社 文書管理装置、文書管理方法、プログラム
WO2007120772A2 (en) 2006-04-14 2007-10-25 Advanced Solutions, Inc. Method, system, and computer-readable medium to maintain and/or purge files of a document management system
JP4749930B2 (ja) 2006-04-24 2011-08-17 株式会社日立製作所 計算機システム及び管理計算機とストレージ装置並びにボリューム割当確認方法
US20080010468A1 (en) 2006-06-06 2008-01-10 Ruiz R P Method and technique for enforcing transience and propagation constraints on data transmitted by one entity to another entity by means of data division and retention
US7711923B2 (en) 2006-06-23 2010-05-04 Microsoft Corporation Persistent flash memory mapping table
US8307148B2 (en) 2006-06-23 2012-11-06 Microsoft Corporation Flash management techniques
US8416954B1 (en) 2008-09-30 2013-04-09 Emc Corporation Systems and methods for accessing storage or network based replicas of encrypted volumes with no additional key management
GB0614515D0 (en) 2006-07-21 2006-08-30 Ibm An apparatus for managing power-consumption
US8015433B2 (en) 2006-09-13 2011-09-06 Hitachi Global Storage Technologies Netherlands B.V. Disk drive with nonvolatile memory for storage of failure-related data
US20080091613A1 (en) 2006-09-28 2008-04-17 Microsoft Corporation Rights management in a cloud
US8601598B2 (en) * 2006-09-29 2013-12-03 Microsoft Corporation Off-premise encryption of data storage
US7890796B2 (en) 2006-10-04 2011-02-15 Emc Corporation Automatic media error correction in a file server
US8396214B2 (en) 2006-11-02 2013-03-12 SAP Portals Israel Limited Method and apparatus for centrally managed encrypted partition
US8135135B2 (en) 2006-12-08 2012-03-13 Microsoft Corporation Secure data protection during disasters
US7702973B2 (en) 2007-01-05 2010-04-20 Broadcom Corporation Modified defect scan over sync mark/preamble field
CA2676289C (en) 2007-01-19 2018-01-02 Research In Motion Limited Selectively wiping a remote device
WO2008116346A1 (en) 2007-03-26 2008-10-02 Intel Corporation Enhanced digital right management framework
US8369411B2 (en) 2007-03-29 2013-02-05 James Au Intra-macroblock video processing
JP2008250779A (ja) 2007-03-30 2008-10-16 Hitachi Ltd 暗号機能を備えた記憶制御装置、データ暗号化方法及び記憶システム
US7864960B2 (en) 2007-05-31 2011-01-04 Novell, Inc. Techniques for securing content in an untrusted environment
US8474054B2 (en) 2007-06-26 2013-06-25 Digital Keystone, Inc. Systems and methods for conditional access and digital rights management
JP4405533B2 (ja) 2007-07-20 2010-01-27 株式会社東芝 キャッシュ方法及びキャッシュ装置
US8452967B2 (en) 2007-08-31 2013-05-28 Microsoft Corporation Using flash storage device to prevent unauthorized use of software
US8554176B2 (en) 2007-09-18 2013-10-08 Qualcomm Incorporated Method and apparatus for creating a remotely activated secure backup service for mobile handsets
US8249257B2 (en) 2007-09-28 2012-08-21 Intel Corporation Virtual TPM keys rooted in a hardware TPM
CN101436192B (zh) 2007-11-16 2011-03-16 国际商业机器公司 用于优化针对垂直存储式数据库的查询的方法和设备
WO2009069043A2 (en) 2007-11-26 2009-06-04 Koninklijke Philips Electronics N.V. Method of managing data in communication network comprising at least a first and a second node
US8707385B2 (en) 2008-02-11 2014-04-22 Oracle International Corporation Automated compliance policy enforcement in software systems
US20090210267A1 (en) 2008-02-18 2009-08-20 Bryan David Fish System and method for automatically mapping security controls to subjects
US7962739B2 (en) 2008-02-25 2011-06-14 Lenovo (Singapore) Pte. Ltd. Recovering from hard disk errors that corrupt one or more critical system boot files
US7890664B1 (en) 2008-03-31 2011-02-15 Emc Corporation Methods and apparatus for non-disruptive upgrade by redirecting I/O operations
US7979626B2 (en) 2008-05-13 2011-07-12 Microsoft Corporation Flash recovery employing transaction log
WO2009138928A1 (en) 2008-05-13 2009-11-19 Nxp B.V. Secure direct memory access
US20090307563A1 (en) 2008-06-05 2009-12-10 Ibm Corporation (Almaden Research Center) Replacing bad hard drive sectors using mram
US8423792B2 (en) 2008-06-05 2013-04-16 International Business Machines Corporation Apparatus, system, and method for communication between a driver and an encryption source
US20090307759A1 (en) 2008-06-06 2009-12-10 Microsoft Corporation Temporary Domain Membership for Content Sharing
US8943551B2 (en) * 2008-08-14 2015-01-27 Microsoft Corporation Cloud-based device information storage
US9432184B2 (en) 2008-09-05 2016-08-30 Vixs Systems Inc. Provisioning of secure storage for both static and dynamic rules for cryptographic key information
US8332604B2 (en) 2008-09-30 2012-12-11 Intel Corporation Methods to securely bind an encryption key to a storage device
US8341430B2 (en) 2008-10-03 2012-12-25 Microsoft Corporation External encryption and recovery management with hardware encrypted storage devices
US8411863B2 (en) 2008-10-03 2013-04-02 Microsoft Corporation Full volume encryption in a clustered environment
TW201015322A (en) * 2008-10-08 2010-04-16 Ee Solutions Inc Method and system for data secured data recovery
US8387109B2 (en) 2008-10-23 2013-02-26 Microsoft Corporation Access control state determination based on security policy and secondary access control state
US8336079B2 (en) 2008-12-31 2012-12-18 Hytrust, Inc. Intelligent security control system for virtualized ecosystems
US20100306176A1 (en) 2009-01-28 2010-12-02 Digitiliti, Inc. Deduplication of files
KR100928467B1 (ko) 2009-02-02 2009-11-25 주식회사 파수닷컴 클립보드 보안 시스템 및 방법
US8341427B2 (en) 2009-02-16 2012-12-25 Microsoft Corporation Trusted cloud computing and services framework
TWI493950B (zh) 2009-02-24 2015-07-21 Fineart Technology Co Ltd 條件式電子文件權限控管系統及方法
US8046533B2 (en) 2009-03-10 2011-10-25 Emulex Design & Manufacturing Corporation System and method for sector remapping
TW201035754A (en) 2009-03-25 2010-10-01 Inventec Corp RAID processing method
US20100266132A1 (en) 2009-04-15 2010-10-21 Microsoft Corporation Service-based key escrow and security for device data
US8286004B2 (en) 2009-10-09 2012-10-09 Lsi Corporation Saving encryption keys in one-time programmable memory
US8538919B1 (en) 2009-05-16 2013-09-17 Eric H. Nielsen System, method, and computer program for real time remote recovery of virtual computing machines
US20100299152A1 (en) 2009-05-20 2010-11-25 Mobile Iron, Inc. Selective Management of Mobile Devices in an Enterprise Environment
US8588422B2 (en) 2009-05-28 2013-11-19 Novell, Inc. Key management to protect encrypted data of an endpoint computing device
US8578157B2 (en) 2009-05-29 2013-11-05 Adobe Systems Incorporated System and method for digital rights management with authorized device groups
US8321688B2 (en) 2009-06-12 2012-11-27 Microsoft Corporation Secure and private backup storage and processing for trusted computing and data services
US8719486B2 (en) 2009-06-24 2014-05-06 Micron Technology, Inc. Pinning content in nonvolatile memory
US9141489B2 (en) 2009-07-09 2015-09-22 Uniloc Luxembourg S.A. Failover procedure for server system
US20110055559A1 (en) 2009-08-27 2011-03-03 Jun Li Data retention management
US8498418B2 (en) 2009-08-31 2013-07-30 International Business Machines Corporation Conversion of cryptographic key protection
US20110060915A1 (en) 2009-09-10 2011-03-10 International Business Machines Corporation Managing Encryption of Data
US8726407B2 (en) 2009-10-16 2014-05-13 Deviceauthority, Inc. Authentication of computing and communications hardware
EP2348450B1 (en) 2009-12-18 2013-11-06 CompuGroup Medical AG Database system, computer system, and computer-readable storage medium for decrypting a data record
US20110154023A1 (en) 2009-12-21 2011-06-23 Smith Ned M Protected device management
KR101654774B1 (ko) 2010-02-08 2016-09-06 시게이트 테크놀로지 엘엘씨 데이터 저장 장치와 저장 매체 액세스 방법 및 그에 대한 저장 매체
US9703586B2 (en) 2010-02-17 2017-07-11 Microsoft Technology Licensing, Llc Distribution control and tracking mechanism of virtual machine appliances
AU2011226741B2 (en) * 2010-03-09 2016-07-21 Kl Data Security Pty Ltd Method and system for sharing encrypted content
US8930713B2 (en) 2010-03-10 2015-01-06 Dell Products L.P. System and method for general purpose encryption of data
CN102231725B (zh) * 2010-03-25 2014-09-10 北京星网锐捷网络技术有限公司 一种动态主机配置协议报文的认证方法、设备及***
US8375437B2 (en) 2010-03-30 2013-02-12 Microsoft Corporation Hardware supported virtualized cryptographic service
FR2958478B1 (fr) 2010-04-02 2012-05-04 Sergio Loureiro Procede de securisation de donnees et/ou des applications dans une architecture informatique en nuage
US8433901B2 (en) 2010-04-07 2013-04-30 Apple Inc. System and method for wiping encrypted data on a device having file-level content protection
US20110264925A1 (en) 2010-04-23 2011-10-27 Russo Leonard E Securing data on a self-encrypting storage device
US8935384B2 (en) 2010-05-06 2015-01-13 Mcafee Inc. Distributed data revocation using data commands
EP2569693B1 (en) 2010-05-09 2015-08-12 Citrix Systems, Inc. Methods and systems for forcing an application to store data in a secure storage location
US8458490B2 (en) 2010-05-28 2013-06-04 Dell Products, Lp System and method for supporting full volume encryption devices in a client hosted virtualization system
US8625802B2 (en) 2010-06-16 2014-01-07 Porticor Ltd. Methods, devices, and media for secure key management in a non-secured, distributed, virtualized environment with applications to cloud-computing security and management
US20120017095A1 (en) 2010-07-19 2012-01-19 Coreguard Software Service for Encrypting and Decrypting Data
WO2012016091A2 (en) 2010-07-28 2012-02-02 Nextlabs, Inc. Protecting documents using policies and encryption
US8539245B2 (en) 2010-08-06 2013-09-17 Intel Corporation Apparatus and method for accessing a secure partition in non-volatile storage by a host system enabled after the system exits a first instance of a secure mode
US8385014B2 (en) 2010-10-11 2013-02-26 Lsi Corporation Systems and methods for identifying potential media failure
US8661193B1 (en) 2010-10-29 2014-02-25 Western Digital Technologies, Inc. Disk drive with partial sector management
EP2448303B1 (en) 2010-11-01 2014-02-26 BlackBerry Limited Method and system for securing data of a mobile communications device
US8352749B2 (en) 2010-12-17 2013-01-08 Google Inc. Local trusted services manager for a contactless smart card
US8924739B2 (en) 2011-01-05 2014-12-30 Apple Inc. System and method for in-place encryption
US20120239618A1 (en) * 2011-03-16 2012-09-20 I O Interconnect, Ltd. File sharing mechanism
US8966191B2 (en) 2011-03-18 2015-02-24 Fusion-Io, Inc. Logical interface for contextual storage
US8769305B2 (en) 2011-03-21 2014-07-01 Moncana Corporation Secure execution of unsecured apps on a device
EP2509275A1 (en) 2011-04-04 2012-10-10 Buntinx Method and system for authenticating entities by means of mobile terminals
US8527561B1 (en) 2011-05-17 2013-09-03 Crossroads Systems, Inc. System and method for implementing a networked file system utilizing a media library
US9141779B2 (en) 2011-05-19 2015-09-22 Microsoft Technology Licensing, Llc Usable security of online password management with sensor-based authentication
WO2012167392A2 (en) 2011-06-06 2012-12-13 ETH Zürich Method and devices for secure deletion of data in a log structured file system
US10496824B2 (en) 2011-06-24 2019-12-03 Microsoft Licensing Technology, LLC Trusted language runtime on a mobile platform
EP2562675A1 (fr) 2011-08-19 2013-02-27 Gemalto SA Procédé de cloisonnement matériel des ressources d'un système informatique sécurisé
US8874935B2 (en) 2011-08-30 2014-10-28 Microsoft Corporation Sector map-based rapid data encryption policy compliance
US8689279B2 (en) 2011-08-30 2014-04-01 Microsoft Corporation Encrypted chunk-based rapid data encryption policy compliance
US9432190B2 (en) * 2011-09-07 2016-08-30 Elwha Llc Computational systems and methods for double-encrypting data for subsequent anonymous storage
US8856553B2 (en) 2011-09-12 2014-10-07 Microsoft Corporation Managing self-encrypting drives in decentralized environments
US10165007B2 (en) 2011-09-15 2018-12-25 Microsoft Technology Licensing, Llc Securing data usage in computing devices
FR2980285B1 (fr) 2011-09-15 2013-11-15 Maxim Integrated Products Systemes et procedes de gestion de cles cryptographiques dans un microcontroleur securise
US8479021B2 (en) 2011-09-29 2013-07-02 Pacid Technologies, Llc Secure island computing system and method
US8695060B2 (en) 2011-10-10 2014-04-08 Openpeak Inc. System and method for creating secure applications
US20140032733A1 (en) 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US9286471B2 (en) 2011-10-11 2016-03-15 Citrix Systems, Inc. Rules based detection and correction of problems on mobile devices of enterprise users
US8799994B2 (en) 2011-10-11 2014-08-05 Citrix Systems, Inc. Policy-based application management
US9100235B2 (en) 2011-11-07 2015-08-04 At&T Intellectual Property I, L.P. Secure desktop applications for an open computing platform
US10291658B2 (en) 2011-11-09 2019-05-14 Microsoft Technology Licensing, Llc Techniques to apply and share remote policies on mobile devices
WO2013085517A1 (en) 2011-12-08 2013-06-13 Intel Corporation Method and apparatus for policy-based content sharing in a peer to peer manner using a hardware based root of trust
US20130208893A1 (en) 2012-02-13 2013-08-15 Eugene Shablygin Sharing secure data
US8875298B2 (en) 2012-02-16 2014-10-28 Nec Laboratories America, Inc. Method for scalable analysis of android applications for security vulnerability
CN102646077B (zh) 2012-03-28 2016-06-15 山东超越数控电子有限公司 一种基于可信密码模块的全盘加密的方法
US9253209B2 (en) 2012-04-26 2016-02-02 International Business Machines Corporation Policy-based dynamic information flow control on mobile devices
US9202083B2 (en) 2012-05-22 2015-12-01 Partnet, Inc. Systems and methods for verifying uniqueness in anonymous authentication
CN103516516B (zh) * 2012-06-28 2017-06-16 中国电信股份有限公司 文件安全共享方法、***
US20140019753A1 (en) 2012-07-10 2014-01-16 John Houston Lowry Cloud key management
US10079678B2 (en) 2012-07-24 2018-09-18 Intel Corporation Providing access to encrypted data
US20140075493A1 (en) 2012-09-12 2014-03-13 Avaya, Inc. System and method for location-based protection of mobile data
US10268775B2 (en) 2012-09-17 2019-04-23 Nokia Technologies Oy Method and apparatus for accessing and displaying private user information
US9106721B2 (en) * 2012-10-02 2015-08-11 Nextbit Systems Application state synchronization across multiple devices
US8613070B1 (en) 2012-10-12 2013-12-17 Citrix Systems, Inc. Single sign-on access in an orchestration framework for connected devices
US20140109176A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
CN102946603B (zh) * 2012-10-31 2015-12-02 重庆市电力公司 电力云***中基于社交特性的统一身份认证方法
US8875304B2 (en) 2012-11-08 2014-10-28 International Business Machines Corporation Application and data removal system
US9454670B2 (en) 2012-12-03 2016-09-27 International Business Machines Corporation Hybrid file systems
US8997197B2 (en) 2012-12-12 2015-03-31 Citrix Systems, Inc. Encryption-based data access management
CN103092938A (zh) 2013-01-07 2013-05-08 浙江鸿程计算机***有限公司 一种智能清理Android手机SD卡垃圾文件的方法
CN103092664B (zh) 2013-02-07 2016-08-03 珠海市君天电子科技有限公司 一种安卓***的数据文件的处理方法和装置
US9547771B2 (en) 2013-02-12 2017-01-17 Amazon Technologies, Inc. Policy enforcement with associated data
US9892284B2 (en) 2013-03-11 2018-02-13 Lantiq Beteiligungs-GmbH & Co. KG Trusted execution thread in an embedded multithreaded system
US20140344570A1 (en) 2013-05-20 2014-11-20 Microsoft Corporation Data Protection For Organizations On Computing Devices
WO2015050587A2 (en) 2013-05-31 2015-04-09 Openpeak Inc. Method and system for isolating secure communication events from a non-secure application
US9369289B1 (en) 2013-07-17 2016-06-14 Google Inc. Methods and systems for performing secure authenticated updates of authentication credentials
US9465947B2 (en) * 2013-08-05 2016-10-11 Samsung Sds America, Inc. System and method for encryption and key management in cloud storage
CN103442059B (zh) * 2013-08-27 2017-02-01 华为终端有限公司 一种文件共享方法及装置
CN103500116A (zh) 2013-10-29 2014-01-08 中科创达软件股份有限公司 一种清除应用程序生成的数据的方法及***
CN103577567A (zh) 2013-10-29 2014-02-12 广东欧珀移动通信有限公司 一种Android***卸载应用删除垃圾文件的方法
US10615967B2 (en) 2014-03-20 2020-04-07 Microsoft Technology Licensing, Llc Rapid data protection for storage devices
US9411975B2 (en) * 2014-03-31 2016-08-09 Intel Corporation Methods and apparatus to securely share data
US9825945B2 (en) 2014-09-09 2017-11-21 Microsoft Technology Licensing, Llc Preserving data protection with policy
US9900295B2 (en) 2014-11-05 2018-02-20 Microsoft Technology Licensing, Llc Roaming content wipe actions across devices
WO2016100095A1 (en) 2014-12-15 2016-06-23 Good Technology Corporation Secure storage
US10387665B2 (en) 2015-03-25 2019-08-20 Vera Policy enforcement
US9853820B2 (en) 2015-06-30 2017-12-26 Microsoft Technology Licensing, Llc Intelligent deletion of revoked data
US9900325B2 (en) 2015-10-09 2018-02-20 Microsoft Technology Licensing, Llc Passive encryption of organization data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2680487A1 (en) * 2012-06-29 2014-01-01 Orange Secured cloud data storage, distribution and restoration among multiple devices of a user
CN103685466A (zh) * 2013-11-13 2014-03-26 安徽云盾信息技术有限公司 一种基于两对非对称密钥的多设备间加密文件共享的实现方法
CN103763315A (zh) * 2014-01-14 2014-04-30 北京航空航天大学 一种应用于移动设备云存储的可信数据存取控制方法
CN103973440A (zh) * 2014-05-13 2014-08-06 东方斯泰克信息技术研究院(北京)有限公司 基于cpk的文件云安全管理方法及***

Also Published As

Publication number Publication date
WO2016044160A1 (en) 2016-03-24
EP3195555B1 (en) 2019-10-30
EP3195555A1 (en) 2017-07-26
US9853812B2 (en) 2017-12-26
US20160080149A1 (en) 2016-03-17
CN106716914A (zh) 2017-05-24

Similar Documents

Publication Publication Date Title
CN106716914B (zh) 用于漫游的受保护内容的安全密钥管理
CN107113286B (zh) 跨设备的漫游内容擦除操作
US11750591B2 (en) Key attestation statement generation providing device anonymity
US11055385B2 (en) Multi-factor user authentication framework using asymmetric key
TWI578749B (zh) 用於遷移金鑰之方法及設備
US9313185B1 (en) Systems and methods for authenticating devices
US20220014367A1 (en) Decentralized computing systems and methods for performing actions using stored private data
KR101443309B1 (ko) 접속 인증정보를 보호하는 장치 및 방법
US11949772B2 (en) Optimized authentication system for a multiuser device
US20220239489A1 (en) Identity verification program, identity verification method, user terminal, and user authentication program

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant