相關案件聲明

本申請要求于2012年8月13日提交的美國臨時專利申請序列號第61/652,235號的優先權和權益，其在此通過引用被整體并入。

技術領域

本發明涉及計算機系統安全領域，更具體地涉及計算機系統中的密碼的安全。

背景技術

保護密碼和其他信息對于保護計算機的安全來說是重要的。密碼是對針對計算機系統的有害入侵的關鍵防御。丟失密碼(通常通過黑客行為)，以及所造成的安全信息丟失通常是災難性的，因為可能丟失重要且高度敏感的數據。

密碼安全性問題即使在計算機系統交互時也存在。在這些情況下，訪問第二計算機系統的第一計算機系統也必須通過密碼訪問第二計算機系統。

當第一系統自動地訪問第二系統時，密碼(或其他認證信息，在此簡稱為密碼)可能需要存儲在第一計算機系統中，而不是由人輸入。這通常增加這些密碼可能被訪問包含這樣的密碼的可執行軟件或配置文件的任何人獲取的風險。

為了降低這種風險，需要新的和改進的生成、存儲和訪問密碼的系統和方法。

發明內容

本發明使用本地配置數據、數據串接(data concatenation)、哈希函數和加密來處理密碼以保護密碼。該信息可以存儲在第一計算機設備上。該信息可以作為軟件應用存儲在第一計算機設備上的存儲器中。該信息還可以存儲在第一計算機設備上的存儲器中的配置文件中。當第一計算設備需要訪問第二計算設備時，第一計算設備逆轉該過程來獲得密碼。

本發明的一個方面是一種保護密碼的方法。處理器在存儲器中的指令集的控制下選擇一組本地配置數據，串接該組本地配置數據，并計算串接數據的哈希值。處理器通過使用哈希值作為密鑰來對密碼加密以生成加密的串，然后將加密的串編碼為軟件程序中的串。

根據本發明進一步的方面，計算SHA-256哈希值。也可以計算其他哈希值。

根據本發明進一步的方面，可以使用AES-256密鑰來執行加密步驟。

加密步驟還可以使用ECB模式或計數器模式(Counter Mode)。還可以使用其他的密鑰大小、加密方法或加密模式。

根據本發明的另一方面，編碼步驟使用Base 64來執行編碼步驟，盡管在此步驟也可以使用其他的編碼過程，或不使用任何編碼過程。

本地配置數據可以使用不同的信息和不同的過程構建。根據本發明的一個實施例，使用來自處理器的CPUID指令生成本地配置數據。根據本發明的另一個實施例，使用來自網絡接口卡的48位MAC地址生成本地配置數據。在進一步的實施例中，使用來自操作系統的軟件許可號生成本地配置數據。在又一實施例中，使用來自與處理器連接的外圍設備的型號和序列號生成本地配置數據。這些本地配置數據也可以結合起來使用。

根據本發明進一步的方面，處理器在其計算機系統想要訪問另一計算機系統時還執行以下步驟。當它需要重建密碼時，處理器解碼加密的串以得到二進制密文，獲得該組本地配置數據，并計算哈希值以獲得重建的密鑰，然后使用重建的密鑰解密該二進制密文以獲得密碼。然后，處理器使用密碼訪問計算機系統。

在已經重建密碼后，處理器優選地破壞重建的密鑰。在本發明的一個實施例中，處理器擦除存儲器中重建的密鑰。在本發明的另一實施例中，處理器改寫存儲器中重建的密鑰以破壞重建的密鑰。

本發明還考慮一種用于保護密碼的系統。該系統是具有存儲指令集的存儲器和與存儲器中的指令集通信的處理器的計算機系統。指令集能操作來使得處理器：選擇一組本地配置數據；串接該組本地配置數據，并計算串接的數據的哈希值；通過使用作為密鑰的哈希值對密碼加密來生成加密的串；以及對加密的密碼編碼，并將加密的密碼存儲在存儲器中。

在本發明的一個實施例中，在軟件應用中對加密的密碼編碼。在本發明的另一實施例中，將加密的密碼存儲在配置文件中。

一段時間后，當處理器需要訪問密碼時，它對加密的串解碼以得到二進制密文，獲得該組本地配置數據，并計算哈希值以獲得重建的密鑰，使用重建的密鑰解密二進制密文以獲得密碼，并使用密碼訪問第二計算機。

附圖說明

圖1圖示根據本發明一方面的將密碼存儲在軟件應用中。

圖2圖示根據本發明一方面的將密碼存儲在配置文件中。

圖3圖示根據本發明一方面的通過SSL或通過TLS保護的密碼提交。

圖4圖示根據本發明一方面的在配置文件中的受保護的密碼。

圖5圖示根據本發明一方面的混亂的密碼。