在一些示例中，一種用于訪問設備的加密系統的密碼恢復密鑰的方法包括：將在密鑰管理系統處接收的設備身份映射到存儲在密鑰管理系統中的恢復密鑰；指定恢復密鑰鏈接到的至少一個設備相關操作；為設備生成經加密的消息，該經加密的消息包括恢復密鑰；以及將經加密的消息和經簽名的消息傳輸到設備。

背景技術

諸如計算平臺之類的端點設備例如可以使用各種各樣不同的操作系統（OS）,這些操作系統可以位于設備的本地存儲裝置上。這樣的本地存儲裝置可以用在設備的主安裝OS的引導（boot）周期期間提供的訪問來加密。

附圖說明

從以下結合附圖理解的詳細描述中，某些示例的各種特征和優點將顯而易見，附圖僅作為示例一起圖示了多個特征，并且其中：

圖1是根據示例的用于訪問設備的密碼恢復密鑰的方法的示意性表示；

圖2是根據示例的用于訪問設備的密碼恢復密鑰的方法的流程圖；以及

圖3是根據示例的密鑰/映像管理器系統的示意性表示。

具體實施方式

在以下描述中，出于解釋的目的，闡述了某些示例的許多特定細節。說明書中對“示例”或類似語言的引用意味著結合該示例描述的特定特征、結構或特性包括在至少那一個示例中，但不一定包括在其它示例中。

諸如以例如計算機、膝上型計算機或其它計算或智能裝置形式的用戶設備之類的端點設備可能能夠使用各種各樣不同的操作系統。一般而言，這樣的操作系統被提供在所討論的設備的本地存儲位置（諸如例如硬盤或固態驅動器）上。在設備引導時，可以使用作為加密機制的一部分提供的加密密鑰將本地存儲裝置從加密狀態解鎖。

在示例中，端點設備可以使用除了安裝在端點設備的本地存儲位置中的OS之外的OS、或者由另一個設備來引導。例如，在遠離端點設備的位置處的設備可以用于引導到端點設備，例如進入恢復狀態。在另一個示例中，可以使用不以其它方式形成安裝在端點設備上的OS的一部分的OS來引導端點設備。

當端點設備從另一個OS或設備引導時，除非提供加密密鑰，否則加密的驅動器保持鎖定。諸如例如微軟的bitlocker之類的磁盤加密機制通過使用包含OS引導的測量結果的平臺配置寄存器（PCR）將磁盤加密密鑰密封在受信平臺模塊（TPM）內來保護磁盤加密密鑰。因此，當使用適當的Windows引導機制時，解密本地存儲裝置的（一個或多個）密鑰變得可用。

用戶（端點）設備可能出于多個原因而變得不可操作或受損。例如，在設備的本地存儲裝置上提供的設備OS可能由于一般的文件系統或升級問題而變得被破壞，或者可能變得被惡意軟件感染。例如，操作系統不斷受到來自各種參與者（actor）的攻擊，這些參與者希望找到讓他們運行他們自己的軟件或惡意軟件的漏洞利用（exploit），所述軟件或惡意軟件諸如但不限于遠程訪問木馬、勒索軟件或加密貨幣礦工。還可能存在使端點設備受損、不可引導或不可使用的其它軟件或硬件問題。

在一些情況下，諸如當OS被破壞或可能受到惡意軟件感染時，解密磁盤并引導到替代的無盤引導映像以進行例如清理或恢復可能是有用的。然而，這樣的映像不容易訪問磁盤加密密鑰（例如bitlocker密鑰）。例如，在bitlocker的情況下，企業可以在具有適當訪問控制的活動目錄內保存設備的恢復密鑰，使得用戶和管理員可以訪問所述密鑰。對于消費者或小/中型企業等等，密鑰可以以受控方式保存于在線存儲系統內。然而，這些密鑰恢復系統的接口通常不允許恢復無盤引導映像的簡單自動化（easy automation），因為解密密鑰通常將由用戶在已經鍵入長字符串以使能訪問之后經由不同的系統來訪問。