提供多個設備上的加密的方法、系統和計算機程序產品技術方案

所述的實施方案涉及提供在被配置為與服務器電通信的多個設備上的數據保護和加密的方法、系統和產品。具體地，所述方法、系統和產品可以自動且安全地在多個設備間同步用戶的文件加密/解密密鑰，在從服務器接收并處理重建用戶的文件加密/解密密鑰所需的信息之前，在每個設備上進行用戶認證。

Method, system and computer program product for providing encryption on a plurality of devices

The embodiment of the invention relates to a method, a system and a product for providing data protection and encryption on a plurality of devices configured to communicate with a server. Specifically, the method, system and products can be automatically and safely among a plurality of devices synchronize user file encryption / decryption key from the server to receive and process reconstruction of user's file encryption / decryption key information required before the user on each device certification.

【技術實現步驟摘要】
【國外來華專利技術】相關申請本申請要求申請號為62/011837、提交于2014年6月13日、題為“QUARANTINEDSECURITYSYSTEMSFORDATAPROTECTIONANDSYNCHRONIZATIONANDSHARINGOFENCRYPTEDFILES”的美國專利申請的優先權，在此通過引用方式將該美國專利申請的全部內容納入在本申請中。
本專利技術的實施方案總體涉及數據保護和加密，并且更具體地涉及用于加密的文件同步和加密的文件共享的方法。
技術介紹
隨著人們變得越來越依賴計算和互聯網技術，數據安全變得比以往任何時間更重要。隨著互聯網連接變得無處不在，通過使用云來進行數據的訪問(access)和分配變得相對簡單。為了享受云計算的益處，個人和公司通常將數據上傳到云服務器。這通常包括私有或機密數據，或者任何用戶想要保護的數據。如果缺乏保護，則會增加私有且重要的數據被不必要地暴露的機率。典型地，人們依賴于云服務提供商來確保他們數據的安全性。然而，云存儲可能會有許多相關聯的安全漏洞。在云安全聯盟的2013年度的報告(“Thenotoriousnine:Cloudcomputingtopthreatsin2013(2013年度臭名昭著的九個：云計算的頂級威脅)”，http://www.cloudsecurityalliance.org/topthreads)中，列出了包括數據泄露、數據丟失、企業內鬼以及共享技術問題等九個頂級安全威脅。這些數據安全問題是不希望的，并且會使云服務的發展變慢。減輕數據安全問題的一種方法是通過加密。例如，在將這些文件保存且存儲、上傳和/或傳送前，可以使用諸如WinZip和安全PDF的單機版工具來加密這些文件。沒有對應的解密密鑰的情況下，所加密的文件沒有任何意義。然而，使用諸如WinZip和安全PDF的單機版工具來加密文件夾中的多個文件有許多缺點。例如，可能需要用戶輸入密碼來加密每個文件；以及輸入對應的密碼來解密所加密的文件以便查看和/或修改。當文件數量增加時，這種方法變得過于繁雜并且不是用戶友好的。同時，如果使用不同的密碼來加密不同的文件，則用戶會容易混淆哪個密碼解密哪個文件。此外，這些示例的加密強度取決于用戶所選擇的密碼的強度如何。由于想出并記憶強隨機密碼中的困難的用戶體驗，用戶往往會選擇較弱的密碼，并且最終形成的加密通常會很弱。結果，使用單機版工具加密的文件可能仍舊容易被一些復雜的攻擊攻破。此外，如果忘記或丟失了密碼，則難以或者不可能從加密文件恢復原始的明文文件(plaintextfiles，純文本文件)。這實際上導致永久性的數據丟失。最后，當使用單機版工具來加密文件時，共享在一群人之間加密的文件會是繁雜的，并且通常需要使用側信道來交換密碼。
技術實現思路
根據本文所述的第一實施方案，提供了在被配置為與服務器進行電通信的多個設備上提供加密的方法，所述多個設備至少包含第一設備和第二設備。該方法可以包括為控制多個設備的第一用戶生成第一賬戶，其中第一賬戶在服務器的非易失性存儲器中存儲賬戶數據，并且賬戶數據包括第一用戶標識符和賬戶認證信息。該方法還能夠包括：對于多個設備中的每個設備，在該設備上安裝加密代理工具(agent，代理或代理客戶端)，并且在加密代理工具的控制下操作第一設備的處理器以隨機地生成多個密鑰指示符來：使用第二設備加密密鑰從多個密鑰指示符生成多個加密的密鑰指示符，每個加密的密鑰指示符與多個密鑰指示符中的密鑰指示符之一相對應；將多個加密的密鑰指示符傳送至服務器以防止將密鑰指示符暴露給服務器；基于多個密鑰指示符生成多個密鑰種子，其中對于每個密鑰種子，所述加密代理工具能夠操作來控制第一設備的處理器，以生成多個獨立的加密密鑰；并且基于多個密鑰種子將密鑰種子信息存儲在第一設備的非易失性存儲器中。該方法還可以包括：生成第一賬戶的密鑰狀態字符串，該密鑰狀態字符串包括基于多個加密的密鑰指示符生成的服務器密鑰指示符部分；將密鑰狀態字符串存儲在服務器的非易失性存儲器中；在第二設備處接收假定的(putative)認證信息；在安裝在第二設備上的加密代理工具的控制下操作第二設備的處理器，以基于假定的認證信息生成假定的服務器認證信息并將假定的服務器認證信息傳送至服務器；以及操作服務器的處理器，以將假定的服務器認證信息與賬戶認證信息相比較，并且在且僅在假定的服務器認證信息與賬戶認證信息相對應的情況下向第二設備提供對密鑰狀態字符串的訪問。該方法還可以包括，在加密代理工具的控制下操作第二設備的處理器，以：使用第二設備解密密鑰從密鑰狀態字符串中的多個加密的密鑰指示符確定多個密鑰指示符；基于多個密鑰指示符生成多個密鑰種子，其中對于每個密鑰種子，能夠操作加密代理工具來控制第二設備的處理器，以生成與第一設備相同的多個獨立的加密密鑰，而不用向第二設備提供密鑰種子、密鑰種子信息和加密密鑰中的任一種；以及基于多個密鑰種子將密鑰種子信息存儲在第二設備的非易失性存儲器上。在一些實施方案中，該方法可以包括通過以下方式生成多個密鑰種子：進一步操作服務器處理器來隨機地生成第一賬戶的服務器密鑰值，以將服務器密鑰值存儲在服務器的非易失性存儲器中，并將該服務器密鑰值傳送至第一設備；以及在加密代理工具的控制下操作第一設備的處理器，以基于服務器密鑰值和多個密鑰指示符生成多個密鑰種子；其中，服務器的處理器可被操作以，在且僅在假定的服務器認證信息與賬戶認證信息相對應的情況下，向第二設備提供對服務器密鑰值的訪問；并且第二設備的處理器可以被操作，以在加密代理工具的控制下，基于多個密鑰指示符和服務器密鑰值來生成多個密鑰種子。在一些實施方案中，該方法可以包括：在加密代理工具的控制下操作第一設備的處理器，以通過以下方式生成多個加密的密鑰指示符：限定第一驗證碼；基于第一驗證碼限定第二設備加密密鑰；以及使用第二設備加密密鑰加密多個密鑰指示符；其中第二設備解密密鑰可以通過以下方式生成，即在加密代理工具的控制下操作第二設備的處理器以限定第二驗證碼，并且基于第二驗證碼生成第二設備解密密鑰；并且所述第二驗證碼可以是所述第一驗證碼。在一些實施方案中，該方法可以包括：在加密代理工具的控制下操作第一設備的處理器，以基于第一驗證碼生成加密的服務器代碼，并將加密的服務器代碼傳送至服務器，以及將加密的服務器代碼存儲在第一賬戶的認證信息中，其中在第二設備處接收到的假定的認證信息可以是假定的驗證碼，所述假定的服務器認證信息可以是基于假定的驗證碼生成的假定的加密的服務器代碼，并且在且僅在假定的加密的服務器代碼與加密的服務器代碼匹配的情況下，所述假定的服務器認證信息才與賬戶認證信息對應。在一些實施方案中，該方法可以進一步包括：提供待加密且存儲至第一設備的文件；在加密代理工具的控制下操作第一設備的處理器，以使用密鑰信息從密鑰種子信息中導出加密密鑰中的一個；使用所導出的加密密鑰將文件加密并將加密的文件存儲到第一設備的非易失性存儲器中；以及將密鑰信息與加密的文件一起存儲到第一設備的非易失性存儲器中，其中可以在存儲之前使用第一驗證碼將密鑰種子信息加密。在一些實施方案中，所述方法可以進一步包括：在第二設備處接收加密的文件以及密鑰信息，以及在加密代理工具的控制下操作第二設備的處理器，本文檔來自技高網...

【技術保護點】
一種在被配置為與服務器電通信的多個設備上提供加密的方法，所述多個設備包括至少第一設備和第二設備，所述方法包括：為控制所述多個設備的第一用戶生成第一賬戶，其中所述第一賬戶在服務器的非易失性存儲器上存儲賬戶數據，所述賬戶數據包括第一用戶標識符和賬戶認證信息；對于所述多個設備中的每個設備，在該設備上安裝加密代理工具；在所述加密代理工具的控制下，操作所述第一設備的處理器以：隨機地生成多個密鑰指示符；使用第二設備加密密鑰，根據所述多個密鑰指示符生成多個加密的密鑰指示符，每個加密的密鑰指示符與所述多個密鑰指示符中的密鑰指示符之一相對應；將所述多個加密的密鑰指示符傳送至所述服務器，以防止所述密鑰指示符暴露于所述服務器；基于所述多個密鑰指示符生成多個密鑰種子，其中對于每個密鑰種子，所述加密代理工具能夠操作以控制所述第一設備的處理器來生成多個獨立的加密密鑰；以及將基于所述多個密鑰種子的密鑰種子信息存儲在第一設備的非易失性存儲器中；為所述第一賬戶生成密鑰狀態字符串，所述密鑰狀態字符串包括基于所述多個加密的密鑰指示符生成的服務器密鑰指示符部分；將所述密鑰狀態字符串存儲在所述服務器的非易失性存儲器中；在所述第二設備處接收假定的認證信息；在安裝在所述第二設備上的加密代理工具的控制下，操作所述第二設備的處理器，以基于假定的認證信息生成假定的服務器認證信息，并且將所述假定的服務器認證信息傳送至所述服務器；以及操作所述服務器的處理器，以將所述假定的服務器認證信息與賬戶認證信息相比較，并且在且僅在所述假定的服務器認證信息與所述賬戶認證信息相對應的情況下，提供所述第二設備對所述密鑰狀態字符串的訪問；在加密代理工具的控制下，操作所述第二設備的處理器以：使用第二設備解密密鑰，根據所述密鑰狀態字符串中的所述多個加密的密鑰指示符確定所述多個密鑰指示符；基于所述多個密鑰指示符生成所述多個密鑰種子，其中對于每個密鑰種子，所述加密代理工具能夠操作以控制所述第二設備的處理器生成與所述第一設備相同的多個獨立的加密密鑰，而不用向所述第二設備提供密鑰種子、密鑰種子信息和加密密鑰中的任一種；以及將基于所述多個密鑰種子的所述密鑰種子信息存儲在第二設備的非易失性存儲器中。...

【技術特征摘要】
【國外來華專利技術】2014.06.13 US 62/011,8371.一種在被配置為與服務器電通信的多個設備上提供加密的方法，所述多個設備包括至少第一設備和第二設備，所述方法包括：為控制所述多個設備的第一用戶生成第一賬戶，其中所述第一賬戶在服務器的非易失性存儲器上存儲賬戶數據，所述賬戶數據包括第一用戶標識符和賬戶認證信息；對于所述多個設備中的每個設備，在該設備上安裝加密代理工具；在所述加密代理工具的控制下，操作所述第一設備的處理器以：隨機地生成多個密鑰指示符；使用第二設備加密密鑰，根據所述多個密鑰指示符生成多個加密的密鑰指示符，每個加密的密鑰指示符與所述多個密鑰指示符中的密鑰指示符之一相對應；將所述多個加密的密鑰指示符傳送至所述服務器，以防止所述密鑰指示符暴露于所述服務器；基于所述多個密鑰指示符生成多個密鑰種子，其中對于每個密鑰種子，所述加密代理工具能夠操作以控制所述第一設備的處理器來生成多個獨立的加密密鑰；以及將基于所述多個密鑰種子的密鑰種子信息存儲在第一設備的非易失性存儲器中；為所述第一賬戶生成密鑰狀態字符串，所述密鑰狀態字符串包括基于所述多個加密的密鑰指示符生成的服務器密鑰指示符部分；將所述密鑰狀態字符串存儲在所述服務器的非易失性存儲器中；在所述第二設備處接收假定的認證信息；在安裝在所述第二設備上的加密代理工具的控制下，操作所述第二設備的處理器，以基于假定的認證信息生成假定的服務器認證信息，并且將所述假定的服務器認證信息傳送至所述服務器；以及操作所述服務器的處理器，以將所述假定的服務器認證信息與賬戶認證信息相比較，并且在且僅在所述假定的服務器認證信息與所述賬戶認證信息相對應的情況下，提供所述第二設備對所述密鑰狀態字符串的訪問；在加密代理工具的控制下，操作所述第二設備的處理器以：使用第二設備解密密鑰，根據所述密鑰狀態字符串中的所述多個加密的密鑰指示符確定所述多個密鑰指示符；基于所述多個密鑰指示符生成所述多個密鑰種子，其中對于每個密鑰種子，所述加密代理工具能夠操作以控制所述第二設備的處理器生成與所述第一設備相同的多個獨立的加密密鑰，而不用向所述第二設備提供密鑰種子、密鑰種子信息和加密密鑰中的任一種；以及將基于所述多個密鑰種子的所述密鑰種子信息存儲在第二設備的非易失性存儲器中。2.根據權利要求1所述的方法，其中：在所述第一設備上生成多個密鑰種子進一步包括：操作所述服務器的處理器，以隨機地為所述第一賬戶生成服務器密鑰值，將所述服務器密鑰值存儲在服務器的非易失性存儲器中，并且將所述服務器密鑰值傳送至所述第一設備；以及在加密代理工具的控制下，操作所述第一設備的處理器，以基于所述服務器密鑰值和所述多個密鑰指示符生成多個密鑰種子；其中：操作所述服務器的處理器，以在且僅在所述假定的服務器認證信息與所述賬戶認證信息相對應的情況下，為所述第二設備提供對服務器密鑰值的訪問；并且在所述加密代理工具的控制下，操作所述第二設備的處理器，以基于所述多個密鑰指示符和所述服務器密鑰值生成多個密鑰種子。3.根據權利要求1所述的方法，進一步包括：在所述加密代理工具的控制下，操作所述第一設備的處理器以通過以下方式生成多個加密的密鑰指示符：限定第一驗證碼；基于所述第一驗證碼，限定第二設備加密密鑰；以及使用所述第二設備加密密鑰加密多個密鑰指示符；其中：通過以下方式生成所述第二設備解密密鑰：在所述加密代理工具的控制下操作所述第二設備的處理器以限定第二驗證碼并基于所述第二驗證碼生成第二設備解密密鑰；并且所述第二驗證碼是所述第一驗證碼。4.根據權利要求3所述的方法，進一步包括：在加密代理工具的控制下，操作所述第一設備的處理器以：基于所述第一驗證碼生成加密的服務器代碼；并將所述加密的服務器代碼傳送至所述服務器；以及將所述加密的服務器代碼存儲在所述第一賬戶的認證信息中；其中：在所述第二設備處接收到的所述假定的認證信息是假定的驗證碼；所述假定的服務器認證信息是基于所述假定的驗證碼生成的假定的加密的服務器代碼；以及在且僅在所述假定的加密的服務器代碼與所述加密的服務器代碼匹配的情況下，所述假定的服務器認證信息與所述賬戶認證信息相對應。5.根據權利要求3所述的方法，進一步包括：提供待加密并存儲至所述第一設備的文件；在所述加密代理工具的控制下，操作所述第一設備的處理器，以使用密鑰信息從所述密鑰種子信息導出加密密鑰之一；使用導出的加密密鑰將所述文件加密并作為加密的文件存儲到所述第一設備的非易失性存儲器中；將密鑰信息和加密的文件一起存儲在所述第一設備的非易失性存儲器中；其中，所述密鑰種子信息在存儲之前使用第一驗證碼加密。6.根據權利要求5所述的方法，進一步包括：在第二設備處接收加密的文件和密鑰信息；并在所述加密代理工具的控制下，操作第二設備的處理器以：使用接收到的密鑰信息，從存儲在第二設備的非易失性存儲器中的密鑰種子信息導出加密密鑰；使用導出的加密密鑰將加密的文件解密。7.根據權利要求5所述的方法，其中，所述密鑰信息是在所述加密代理工具接收到待加密的文件的指示時被隨機選擇的。8.根據權利要求1所述的方法，進一步包括：在所述加密代理工具的控制下，操作第一設備的處理器以：限定第一驗證碼；基于所述第一驗證碼生成加密的本地碼；并且將所述加密的本地碼存儲在第一設備的非易失性存儲器中；隨后在所述第一設備處接收訪問文件的請求和本地假定的驗證碼；以及在所述加密代理工具的控制下，操作第一設備的處理器以：生成假定的加密的本地碼；將所述假定的加密的本地碼與加密的本地碼相比較，以確定所述本地假定的驗證碼是否是第一驗證碼；并且在且僅在所述假定的加密的本地碼與加密的本地碼匹配的情況下，提供對由所述加密代理工具加密的文件的訪問。9.根據權利要求3所述的方法，其中，存儲所述密鑰種子信息包括：使用第一驗證碼加密多個密鑰種子；以及將加密的多個密鑰種子存儲在所述第一設備的非易失性存儲器中。10.根據權利要求1所述的方法，其中，所述第一用戶包括多組用戶，所述多組用戶包括至少管理組用戶和第二組用戶，所述多組用戶中的每組用戶控制所述多個設備中的至少一個設備，其中所述管理組用戶控制所述第一設備，并且所述第二組用戶控制所述第二設備；對于所述多組用戶中的每組用戶，賬戶數據進一步包括用戶專用公鑰，其中每個用戶的用戶專用公鑰是基于存儲在所述多個設備中的對應設備的非易失性存儲器中的用戶專用私鑰生成的；所述第一設備的處理器在加密代理工具的控制下操作，以通過以下方式對于所述多組用戶中的每組用戶生成多個加密的密鑰指示符：使用該用戶的用戶專用公鑰生成多個用戶專用的加密的密鑰指示符；對于所述多組用戶中的每組用戶，第一賬戶的密鑰狀態字符串的服務器密鑰指示符部分進一步包括基于該組用戶的多個用戶專用的加密的密鑰指示符生成的用戶專用字符串部分；以及所述第二設備的處理器在所述加密代理工具的控制下操作以：使用第二設備私鑰，根據與所述第二組用戶相對應的服務器密鑰指示符部分的用戶專用部分中的多個用戶專用的加密的密鑰指示符確定多個密鑰指示符。11.根據權利要求10所述的方法，其中，對于多組用戶中的每組用戶，第一賬戶的賬戶認證信息包括用戶專用服務器加密代碼，每個用戶的所述用戶專用服務器加密代碼通過以下方式生成：在所述加密代理工具的控制下，操作所述多個設備中的與該用戶相對應的設備的處理器以：限定用戶專用驗證碼；基于所述用戶專用驗證碼生成用戶專用服務器加密代碼；并且將所述用戶專用服務器加密代碼傳送至所述服務器；以及將所述用戶專用服務器加密代碼存儲在所述第一賬戶的賬戶認證信息中。12.根據權利要求1所述的方法，其中，所述第一用戶包括多個用戶，所述多個用戶包括控制所述第一設備的管理用戶和控制所述第二設備的第二用戶，所述方法進一步包括通過以下方式將第二用戶授權傳送至第二用戶：從所述第一設備向所述服務器傳送第二用戶的第二用戶標識符；操作服務器的處理器，以基于所述第二用戶標識符和第二用戶密碼生成第二用戶注冊信息，將所述第二用戶注冊信息存儲在服務器的非易失性存儲器上，并將第二用戶服務器授權傳送至第二用戶；通過所述第二用戶接收所述第二用戶服務器授權，并且隨后在所述第二設備上安裝加密代理工具；在第二設備處接收假定的第二用戶密碼；在所述加密代理工具的控制下操作第二設備的處理器，以基于所述第二用戶標識符和假定的第二用戶密碼生成假定的第二用戶注冊信息，并將所述假定的第二用戶注冊信息傳送至所述服務器；操作所述服務器的處理器以：將所述假定的第二用戶注冊信息與存儲的第二用戶注冊信息相比較；僅在所述假定的第二用戶注冊信息與存儲的第二用戶注冊信息相對應的情況下，對第一賬戶認證第二設備；在所述加密代理工具的控制下，操作已認證的第二設備的處理器以：生成第二設備解密密鑰；基于所述第二設備解密密鑰生成第二設備加密密鑰；以及將第二設備加密密鑰傳送至服務器；在所述第一設備處，接收第二設備加密密鑰；以及在所述加密代理工具的控制下操作第一設備的處理器，以使用接收到的第二設備加密密鑰根據多個密鑰指示符生成多個加密的密鑰指示符。13.根據權利要求12所述的方法，其中，所述第二設備解密密鑰是第二用戶的用戶專用私鑰，所述用戶專用私鑰存儲在第二設備的非易失性存儲器中，并且所述第二設備加密密鑰是基于所述用戶專用私鑰生成的對應的用戶專用公鑰。14.根據權利要求1所述的方法，其中，所述第一用戶包括多個用戶，所述多個用戶包括控制第一設備的管理用戶和控制第二設備的第二用戶，所述方法進一步包括：向第一設備提供待加密的文件；在所述加密代理工具的控制下，操作第一設備的處理器以：使用密鑰信息從密鑰種子信息導出加密密鑰之一；并且使用導出的加密密鑰將文件加密為加密的文件；將加密的文件、密鑰信息和第二用戶授權傳送至第二用戶；通過第二用戶接收第二用戶授權，并且隨后在第二設備上安裝加密代理工具；在第二設備處接收加密的文件和密鑰信息；以及在加密代理工具的控制下，操作第二設備的處理器以：使用接收到的密鑰信息從存儲在第二設備的非易失性存儲器中的密鑰種子信息導出加密密鑰；以及使用導出的加密密鑰將加密的文件解密。15.根據權利要求1所述的方法，其中：所述第一用戶是控制所述多個設備的單個用戶；并且所述第一用戶標識符包括多個用戶別名標識符，每個用戶別名標識符共享賬戶認證信息。16.根據權利要求1所述的方法，其中：所述第一用戶包括多個用戶，每個用戶控制所述多個設備中的至少一個設備并且具有用戶專用標識符；以及對于所述多個用戶中的至少一個用戶，該用戶的用戶專用標識符包括多個用戶專用別名標識符，每個用戶專用別名標識符共享該用戶的賬戶認證信息。17.一種用于在多個設備上使用以對所述多個設備提供加密的計算機程序產品，所述多個設備被配置為與服務器電通信并且包括至少第一設備以及第二設備，所述第一設備具有第一...

【專利技術屬性】
技術研發人員：楊恩輝，于翔，孟津，
申請(專利權)人：百可德羅德公司，
類型：發明
國別省市：加拿大;CA