管理在容器內所存儲的數據的設備和方法。容器可以與至少一個注冊用戶相關聯。容器內的數據可以由數據加密密鑰(DEK)加密。一種計算設備包括：包括密碼處理器的安全模塊、主處理器和存儲器。存儲器存儲指令，該指令在被執行時將處理器配置為：基于與容器相關聯的用戶機密來認證用戶，并且基于用戶機密來生成軟密鑰。該指令使密碼處理器生成包括密碼密鑰組件的安全生成器輸出，并且使用軟密鑰和密碼密鑰組件基于密鑰協商協議來生成強化用戶密鑰。該指令使處理器構造與強化用戶密鑰相關聯的未加密DEK，并且使用未加密DEK來解密數據的子集。

技術領域

本申請總體上涉及數據管理，并且具體地涉及管理在容器內所存儲的數據。

背景技術

計算設備可以被配置為保護在計算設備處所存儲的數據。所存儲的數據可以是特定用戶的秘密信息或專有信息，并且對所存儲的數據的訪問可能取決于對希望訪問所存儲的數據的用戶的身份的驗證。例如，計算設備可以要求用戶在操作計算設備之前以及在訪問或修改所存儲的數據之前進行認證。安全操作可以包括將所接收的用戶輸入與密碼列表進行比較。在另一示例中，安全操作可以包括使用與特定用戶相關聯的密碼密鑰來加密數據。

附圖說明

現在將通過示例的方式參考附圖，附圖示出了本申請的示例實施例，并且在附圖中：

圖1以簡化框圖的形式示出了根據本申請的示例的用于管理數據的計算設備；

圖2示出了根據本申請的示例的加密密鑰導出操作；

圖3以流程圖形式示出了根據本申請的示例的用于管理在容器內所存儲的數據的方法。

圖4示出了根據本申請的示例的強化用戶密鑰生成操作；以及

圖5以簡化框圖的形式示出了根據本申請的示例的電子設備。

在不同的圖中可以使用相似的附圖標記來表示相似的組件。

具體實施方式

在第一方面，本申請描述了一種管理在計算設備上所存儲的容器內的數據的方法。該容器可以與至少一個注冊用戶相關聯。容器內的數據可以由數據加密密鑰(DEK)加密并且被存儲為加密數據。該方法包括：基于與容器相關聯的用戶機密(secret)來認證用戶；基于用戶機密來生成軟密鑰；由除計算設備的主處理器以外的密碼處理器生成包括與認證用戶相關聯的密碼密鑰組件的安全生成器輸出；由密碼處理器使用軟密鑰和與認證用戶相關聯的密碼密鑰組件基于密鑰協商協議來生成強化用戶密鑰；構造與強化用戶密鑰相關聯的未加密DEK以用于訪問在容器內所存儲的數據的子集；以及使用未加密DEK來解密數據的子集。

在另一方面，本申請描述了一種管理在容器內所存儲的數據的計算設備。該容器可以與至少一個注冊用戶相關聯。容器內的數據可以由數據加密密鑰(DEK)加密并且被存儲為加密數據。該計算設備包括：包括密碼處理器的安全模塊；耦合到安全模塊的主處理器；以及耦合到處理器和密碼處理器的存儲器。存儲器可以存儲指令，該指令在被執行時將主處理器或密碼處理器中的至少一者配置為：基于與容器相關聯的用戶機密來認證用戶；基于用戶機密來生成軟密鑰；由密碼處理器生成包括與認證用戶相關聯的密碼密鑰組件的安全生成器輸出；由密碼處理器使用軟密鑰和與認證用戶相關聯的密碼密鑰組件基于密鑰協商協議來生成強化用戶密鑰；構造與強化用戶密鑰相關聯的未加密DEK以用于訪問在容器內所存儲的數據的子集；以及使用未加密DEK來解密數據的子集。

在又一方面，本申請描述了一種存儲處理器可讀指令的非瞬態計算機可讀存儲介質，該處理器可讀指令在被執行時將處理器配置為執行本文中描述的一個或多個方法。在這點上，術語“處理器”旨在包括能夠執行程序指令的所有類型的處理電路或芯片。

通過結合附圖對示例的以下描述的回顧，本領域普通技術人員將能夠理解本申請的其他方面和特征。