描述了與憑證加密相關聯的示例。一種示例方法包括經由安全信道從本地進程接收加密請求。所述加密請求包括與所述本地進程相關聯的憑證。使用所述憑證來驗證所述本地進程是否被授權訪問加密函數。使用對執行所述方法的系統唯一的安全密鑰來執行所述加密請求中指定的所述加密函數。所述加密函數的結果被提供給所述本地進程。

技術領域

本公開涉及憑證加密。

背景技術

現代計算機系統依靠各種技術來維護系統和由系統傳輸的通信的安全性。在各種示例中，這些技術可以防止惡意應用程序損壞系統、攔截兩個可信操作系統之間的消息、竊取靜態數據等等。在一些示例中，秘密密鑰被用于促進對數據和/或消息進行加密。

發明內容

根據第一方面，本公開提供一種用于憑證加密的方法，包括：經由安全信道，從本地進程接收加密請求，其中，所述加密請求包括與所述本地進程相關聯的憑證并且標識數據字符串以及要對所述數據字符串執行的加密函數；通過使用所述憑證，驗證所述本地進程是否被授權訪問在所述加密請求中指定的加密函數；通過使用對執行所述方法的系統唯一的安全密鑰，來在所述數據字符串上執行在所述加密請求中指定的所述加密函數，其中，所述本地進程不能夠訪問所述安全密鑰；以及向所述本地進程提供所述加密函數的結果。

根據第二方面，本公開提供一種用于憑證加密的系統，包括：安全存儲器，用于存儲對所述系統唯一的安全密鑰；加密服務，用于經由安全信道接收來自進程的加密請求，其中所述加密請求包括與所述進程相關聯的憑證并且標識數據字符串以及要對所述數據字符串執行的加密函數，并且所述加密服務用于通過使用所述安全密鑰來執行所述加密函數，其中，所述安全密鑰僅能夠由所述加密服務訪問；以及授權模塊，用于接收與在所述系統上運行的所述進程相關聯的所述憑證、并基于所述憑證來確定所述進程是否被授權訪問所述加密服務。

根據第三方面，本公開提供一種存儲處理器可執行指令的非暫態計算機可讀介質，所述指令在被執行時控制處理器進行以下操作：經由安全信道接收加密請求，其中，所述加密請求標識與本地進程相關聯的憑證、數據字符串以及要對所述數據字符串執行的加密函數；基于與所述進程相關聯的憑證來驗證所述進程是否被授權訪問所述加密函數；當所述加密函數涉及對所述數據字符串進行加密時，將與所述進程相關聯的憑證附加到所述數據字符串；通過使用對其中嵌入了所述處理器的系統唯一的安全密鑰，來對所述數據字符串執行所述加密函數，其中，所述本地進程不能夠訪問所述安全密鑰；以及當所述加密函數涉及對所述數據字符串進行加密時，將從所述加密函數獲得的第一加密的字符串提供給所述進程；以及當所述加密函數涉及對所述數據字符串進行解密時，選擇性地將從所述加密函數獲得的解密的字符串提供給所述進程，其中，基于在對所述數據字符串進行解密時取得的憑證是否同與所述進程相關聯的憑證相匹配來選擇性地提供所述解密的字符串。

附圖說明

結合以下與附圖相結合的具體實施方式，可以更全面地理解本申請。

圖1展示了與憑證加密相關聯的示例系統。

圖2展示了與憑證加密相關聯的示例操作的流程圖。

圖3展示了與憑證加密相關聯的示例系統。

圖4展示了與憑證加密相關聯的示例操作的另一流程圖。

圖5展示了示例系統和方法以及等同物可以在其中進行操作的示例計算設備。

具體實施方式

描述了與憑證加密相關聯的系統、方法和等同物。如上所述，計算系統可以依靠秘密密鑰來防止惡意應用程序損壞系統、攔截消息和/或竊取數據。因此，期望防止秘密密鑰被損害、以及在密鑰被損害的情況下限制使用此密鑰可以訪問的數據。