CN101588245B - 一种身份认证的方法、系统及存储设备 - Google Patents
一种身份认证的方法、系统及存储设备 Download PDFInfo
- Publication number
- CN101588245B CN101588245B CN200910150721XA CN200910150721A CN101588245B CN 101588245 B CN101588245 B CN 101588245B CN 200910150721X A CN200910150721X A CN 200910150721XA CN 200910150721 A CN200910150721 A CN 200910150721A CN 101588245 B CN101588245 B CN 101588245B
- Authority
- CN
- China
- Prior art keywords
- memory device
- main frame
- prestores
- key
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明实施例公开了一种身份认证的方法、系统及存储设备。其中方法实施例的实现可以为:当接收到主机的连接请求时,向所述主机发送请求认证消息;接收主机返回的所述请求认证消息的应答消息,所述应答消息中包括经所述主机利用主机中预存的密钥加密后的请求认证消息;通过预存的公钥对所述主机返回的所述应答消息进行认证;当认证通过时,接受所述主机的连接请求,否则,拒绝所述主机的连接请求。上述实施方式中主机保存有密钥,存储设备保存有公钥,从而实现了主机与存储设备的绑定;通过主机向存储设备发送保存的密钥,存储设备使用保存的公钥对上述密钥进行认证,提供了一种新的身份认证的方式,提高了存储设备的信息安全性。
Description
技术领域
本发明涉及存储技术领域,特别涉及一种身份认证的方法、系统及存储设备。
背景技术
随着互联网对网络安全带来的挑战,通过加拼(PIN)码、指纹、虹膜或者其他加密技术来证明用户身份的身份认证技术已经屡见不鲜。目前,为了防止盗窃存储设备中的数据,通常也采用加密的方式对访问存储设备的用户(主机)进行身份认证,然而,尽管现今加密技术日臻完善,但是盗窃存储设备中的数据的案例依然较多。
现有技术中对访问存储设备的用户进行身份认证一般采用如下方式进行:当存储设备与主机建立上电连接时,由主机向存储设备发送密码,该密码可以为PIN码、指纹、虹膜等;然后由存储设备验证该密码是否为预先设置的密码,如果是,则允许建立通信连接,否则,拒绝建立通信连接。
发明人在实现本发明的过程中发现现有技术中的这种身份认证方式较简单,信息安全性较差。
发明内容
本发明实施例提供了一种身份认证的方法、系统及存储设备,提高了存储设备的信息安全性。
根据本发明实施例的一方面,提供了一种身份认证的方法,包括:
当主机与存储设备建立了上电连接时,主机向存储设备发送连接请求;所述存储设备被设置为只能进行一次初始化操作、或者被设置控制初始化的权限;
主机接收所述存储设备发送的请求认证消息;
主机利用预存的密钥对所述请求认证消息进行处理后向所述存储设备返回所述请求认证消息的应答消息,所述应答消息中包括经所述密钥处理后的请求认证消息;所述预存的密钥存储在可信赖平台模块TPM中;
当所述存储设备利用在存储设备中预存的公钥对所述应答消息认证通过时,所述存储设备接受所述主机的连接请求,所述主机与所述存储设备建立通信连接;否则,所述存储设备拒绝所述主机的连接请求。
本发明实施例还提供了一种身份认证系统,包括存储设备和主机,其中:
存储设备,用于当接收到主机的连接请求时,向所述主机发送请求认证消息,并通过预存的公钥对所述主机返回的所述应答消息进行认证,当认证通过时,接受所述主机的连接请求,否则,拒绝所述主机的连接请求,所述应答消息中包括经所述主机利用主机中预存的密钥处理后的请求认证消息;所述存储设备被设置为只能进行一次初始化操作、或者被设置控制初始化的权限;
主机包括:发送单元,用于当主机与存储设备建立了上电连接时,向存储设备发送连接请求;
接收单元,用于接收所述存储设备发送的请求认证消息;
认证单元,用于利用预存的密钥对所述请求认证消息进行处理后向所述存储设备返回所述请求认证消息的应答消息,所述应答消息中包括经所述密钥处理后的请求认证消息;所述预存的密钥存储在可信赖平台模块TPM中;
通信连接单元,用于当所述存储设备利用在存储设备中预存的公钥对所述应答消息认证通过时,所述存储设备接受所述主机的连接请求,所述主机与所述存储设备建立通信连接。
由上述技术方案可以看出,由于主机中保存有密钥对中的密钥,存储设备中保存该密钥对中的公钥,从而通过密钥对实现了主机与存储设备的绑定,在主机访问存储设备的数据过程中,由存储设备向访问的主机发送请求认证消息,并通过存储设备中预存的公钥对该主机响应的应答消息中包含的主机中预存的密钥信息进行认证,使得只有拥有与存储设备中预存的公钥配对的密钥的主机才能对该存储设备进行访问,从而提高了访问存储设备的安全性,通过这种身份认证方式,提高了存储设备的信息安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1a为本发明实施例一提供的方法流程示意图;
图1b为本发明实施例一提供的另一方法流程示意图;
图2为本发明实施例二提供的方法流程示意图;
图3为本发明实施例二的固态硬盘结构示意图;
图4为本发明实施例三的存储设备结构示意图;
图5为本发明实施例四的主机结构示意图;
图6为本发明实施例四的另一主机结构示意图;
图7为本发明实施例五的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在详细介绍本发明实施例前,首先,介绍一下公钥和私钥。公钥和私钥是通过设定的加密算法得到的一个密钥对,公钥对外公开。密钥对可以是一个私钥对应一个公钥,使用时,如果用密钥对中的公钥加密数据,必须用密钥对中的私钥才能对该加密数据解密,反之亦然,否则解密将不会成功。密钥对也可以是一个私钥对应多个公钥,使用时,如果使用私钥对消息进行签名,必须用密钥对中的任意一个公钥对该签名进行验证,才能验证通过,反之亦然。通常私钥也可以被称为密钥。
在本发明实施例中,为了提高存储设备的安全性,将主机和存储设备通过密钥对进行绑定,访问存储设备的主机只能是保存有与存储设备中预存的公钥相对应的私钥的主机,从而可以提高存储设备的安全性。具体实施方式如下实施例所述。
如图1a所示,为本发明实施例提供的一种身份认证的方法,可以包括如下步骤:
步骤101a:当接收到主机的连接请求时,向上述主机发送请求认证消息;
具体地,当存储设备接收到主机的连接请求时,为了验证主机的合法身份,需要向该主机发送请求认证消息,该认证消息可以为任意生成的随机数信息,也可以为其他信息,对此本发明实施例不予限定。
步骤102a:接收主机返回的上述请求认证消息的应答消息,上述应答消息中包括经上述主机利用主机中预存的密钥处理后的请求认证消息;
具体的,主机在接收到请求认证消息后,需要利用预存在主机中的密钥对该请求认证消息进行处理,该处理可以是通过预存的密钥对该请求认证消息进行加密,也可以是通过预存的密钥对该请求认证消息进行签名,并将加密或签名后的请求认证消息向该存储设备返回。
步骤103a:通过预存的公钥对上述主机返回的上述应答消息进行认证;若认证通过,则进入步骤104a,否,则进入步骤105a;
具体的,当该应答消息中包含的是经主机利用主机中预存的密钥加密后的请求认证消息时,可以通过存储设备中预存的公钥对该主机返回的上述应答消息进行解密。由于使用密钥对中的密钥加密的数据必须由密钥对中的公钥才能进行解密,因此若存储设备通过预存的公钥对主机返回的加密后的请求认证消息解密成功,则反向证明了该主机中预存的密钥与存储设备中预存的公钥是一个密钥对,即该主机是与存储设备绑定的合法主机。
上述认证通过,可是使用公钥对应答消息解密成功;也可以是使用公钥对应答消息进行解密,得到解密后的信息与标准的信息进行比对,比对结果为相同。
同样的,当该应答消息中包含的是经主机利用预存的密钥签名后的请求认证消息时,可以通过存储设备中预存的公钥对该主机返回的上述应答消息中包含的签名进行认证。由于如果使用密钥对中的私钥对消息进行签名,必须用密钥对中的任意一个公钥对该签名进行验证,才能验证成功,因此当利用存储设备中预存的公钥对经主机预存的密钥签名进行验证通过时,可以证明该主机中预存的密钥与该存储设备中预存的公钥属于同一密钥对,即该主机是与该存储设备绑定的合法主机,有权访问该存储设备。
步骤104a:接受上述主机的连接请求,与该主机建立通信连接;
步骤105a:拒绝上述主机的连接请求;
上述实施方式步骤的的执行主体可以为存储设备,上述存储设备可以为固态硬盘或其他存储设备,本发明实施例对此不作限定。上述主机为可以使用存储设备的任意装置,例如个人电脑,服务器等,在此不作具体限定。在步骤104a中存储设备接收上述主机的连接请求后,与该主机建立通信连接,从而使该主机可以通过建立的通信连接访问该存储设备中存储的数据。
上述技术方案的执行可以与现有的身份认证同时使用,至于本方案流程与其它身份认证的流程的执行顺序不影响本发明实施例的实现。
可以理解的是,本领域技术人员可以知道,在上述对主机进行身份认证过程中,由存储设备向主机发送的请求认证消息也可以是一个通过存储设备中预存的公钥加密或签名后的密文信息,由于经过密钥对中的公钥处理的信息只能由该密钥对中唯一的私钥进行解密或验证成功,因此,如果该主机能对该密文信息成功解密或验证,则视该主机为合法主机,接收该主机的连接请求,否则视该主机为非法主机,拒绝该主机的连接请求。
上述技术方案中,主机中保存有密钥对中的密钥,存储设备中保存有密钥对中的公钥,从而实现了通过密钥对将主机与存储设备进行绑定;在主机访问存储设备的数据过程中,由存储设备向访问的主机发送请求认证消息,并通过存储设备中预存的公钥对该主机响应的应答消息中包含的主机中预存的密钥信息进行认证,使得只有拥有与存储设备中预存的公钥配对的密钥的主机才能对该存储设备进行访问,从而提高了访问存储设备的安全性,通过这种身份认证方式,提高了存储设备的信息安全性。
如图1b所示,与上述实施方式对应的,当主机要访问存储设备时,主机的执行步骤可以为:
步骤101b:向存储设备发送连接请求;
步骤102b:接收上述存储设备发送的请求认证消息;
具体地,上述认证消息可以为任意生成的随机数信息,也可以为其他信息,对此本发明实施例不予限定。
步骤103b:利用预存的密钥对上述请求认证消息进行处理后向上述存储设备返回上述请求认证消息的应答消息,上述应答消息中包括经上述密钥处理后的请求认证消息;
具体的,该主机可以通过利用预存的密钥对该请求认证消息进行处理后向该存储设备返回处理后信息的方式向存储设备进行认证,
上述处理同样可以为加密也可以为签名,可参考存储设备侧的方法说明,在此不再赘述。
步骤104b:当上述存储设备利用在存储设备中预存的公钥对上述应答消息认证通过时,与上述存储设备建立通信连接。
具体的,当该主机利用主机中预存的密钥对该请求认证消息进行加密时,存储设备可以通过预存的公钥对主机返回的上述应答消息解密。由于使用密钥对中的密钥加密的数据必须由密钥对中的公钥才能进行解密,因此若存储设备通过预存的公钥对主机返回的加密后的请求认证消息解密成功,则反向证明了该主机中预存的密钥与存储设备中预存的公钥是一个密钥对,即该主机是与存储设备绑定的合法主机,也就是说,只有主机接收到该存储设备认证通过的信息时,才能与该存储设备建立通信连接。
同样的,当该主机利用主机中预存的密钥对该请求认证消息进行签名时,存储设备可以通过预存的公钥对主机返回的上述应答消息中包含的签名进行认证。由于如果使用密钥对中的私钥对消息进行签名,必须用密钥对中的任意一个公钥对该签名进行验证,才能验证成功,因此当利用存储设备中预存的公钥对经主机预存的密钥签名进行验证通过时,可以证明该主机中预存的密钥与该存储设备中预存的公钥属于同一密钥对,即该主机是与该存储设备绑定的合法主机,有权访问该存储设备。
上述主机为可以使用存储设备的任意装置,例如个人电脑,服务器等,上述存储设备包括固态硬盘及其他存储介质。
上述技术方案中,主机中保存有密钥对中的密钥,存储设备中保存有密钥对中的公钥,从而实现了通过密钥对将主机与存储设备进行绑定,在主机访问存储设备的数据过程中,由存储设备向访问的主机发送请求认证消息,并通过存储设备中预存的公钥对该主机响应的应答消息中包含的主机中预存的密钥信息进行认证,使得只有拥有与存储设备中预存的公钥配对的密钥的主机才能对该存储设备进行访问,从而提高了访问存储设备的安全性,通过这种身份认证方式,提高了存储设备的信息安全性。
实施例二,本实施例将以固态硬盘向主机发送随机数的场景来对实施例一作进一步说明。
固态硬盘在使用前需要进行初始化,初始化的过程可以为:主机或者固态硬盘或者第三方设备生成公钥和密钥;将公钥存储在固态硬盘中,密钥存储在主机中。
由于密钥的存储需要有更高的安全度,这里可以通过在主机中集成可信赖平台模块(Trust Platform Module,TPM),通过TPM来存储该密钥的方式来完成。可以设置固态硬盘只能进行一次初始化操作,那么固态硬盘就只能与一台主机进行绑定;当然也可以设置采用某种方式来控制初始化的权限,从而实现与多台主机进行绑定,再此本发明实施例不予限定。
如图2所示,本本实施例中,将以应答消息中包括经主机中预存的密钥签名后的请求认证消息为例进行说明,身份认证的过程可以为:
步骤201:当固态硬盘与主机建立了上电连接时,主机可以向固态硬盘发送连接请求,请求建立通信连接;
步骤202:固态硬盘可以生成一组随机数,然后发送给上述主机;
步骤203:主机使用自身存储的密钥对上述随机数进行签名,然后将签名发送给固态硬盘;
步骤204:固态硬盘使用自身保存的公钥对签名进行验证;若验证成功,进入步骤205,否,则进入步骤206;
步骤205:接受上述连接请求,允许建立通信连接;
步骤206:拒绝连接请求,拒绝建立通信连接。
如图3所示,为图2所示身份认证过程中的固态硬盘内部结构,包括:随机数发生器301,高级精简指令运算集微处理器302(Advanced ReducedInstruction Set Computing Microprocessor,ARM),现场可编程门阵列303(FieldProgrammable Gate Array,FPGA),闪存(FLASH)阵列304,同步动态随机存取存储器305(Synchronous Dynamic random access memory,SDRAM),外部接口306;其中高级精简指令运算集微处理器302和现场可编程门阵列303可以任选其一,闪存阵列304,同步动态随机存取存储器305还可以任选,也可以为其它类型的存储模块;外部接口306为固态硬盘与主机的通信接口,可以为高级技术附加装置(Advanced Technology Attachmen,ATA)接口,并行ATA(parallelATA,PATA),串行ATA(SerialATA,SATA)等,在此不作限定。
随机数发生器301,用于生成随机数,生成随机数的方式可以采用预定的算法进行生成随机数;上述预定的算法可以为非对称密钥(RSA)算法;
高级精简指令运算集微处理器302、现场可编程门阵列303与随机数发生器301连接,用于采集随机数后,通过外部接口306发送到主机;主机使用私钥对上述随机数进行签名后返回签名,高级精简指令运算集微处理器302、现场可编程门阵列303使用公钥对签名进行验证。采集随机数的方式可以为:ARM(302)或者FPGA(303)通过串口连接随机数发生器301,固态硬盘上电后,先进行输入/输出(input/output,I/O)设备和外围等设备的初始化操作,中央处理器(Central Process Unit,CPU)开始运行,然后ARM/FPGA发送时钟信号给随机数发生器301,随机数发生器301收到信号后使用种子(seed)进行随机数的生成,接下来ARM/FPGA通过串口采集满足随机数发生器301时钟信号范围要求的随机数,使用公私钥对随机数进行相关操作。
闪存阵列304及同步动态随机存取存储器305均可以用于存储公钥,还可以用于存储其它用户数据。
上述实施例中,固态硬盘向主机发送随机数来请求认证,相比于使用固定的消息来请求认证具有更高的安全度;原因是:若使用固定的消息来请求认证,主机使用保存的密钥对该消息进行加密后发送应答消息,若上述应答消息被截获,那么在存储器被窃取后使用被截获的应答消息可以破解;而使用随机数的方式时候,那么主机使用保存的密钥对随机数进行加密后返回应答消息,若上述应答消息被截获,由于每次使用的随机数不一样,那么使用上述被截获的应答消息仍然不能实现破解,加大了破解的难度,从而提高了安全度。
实施例三,如图4所示,本发明实施例还提供了一种存储设备,包括:
发送单元401,用于当接收到主机的连接请求时,向上述主机发送请求认证消息;
上述认证消息可以为任意生成的随机数信息,也可以为其他信息,对此本发明实施例不予限定。
接收单元402,用于接收主机返回的上述请求认证消息的应答消息,上述应答消息中包括经上述主机利用主机中预存的密钥处理后的请求认证消息;
具体的,主机在接收到请求认证消息后,需要利用预存在主机中的密钥对该请求认证消息进行处理,并向该存储设备返回处理后的请求认证消息,作为请求认证消息的应答消息。
可以理解的是,如方法实施例所述,该主机利用预存在主机中的密钥对该请求认证消息进行处理,包括利用预存在主机中的密钥对该请求认证消息进行加密或签名。
认证单元403,用于通过预存的公钥对上述主机返回的上述应答消息进行认证;
可以理解的是,如方法实施例所述,当主机利用预存在主机中的密钥对该请求认证消息进行加密时,存储设备可以通过预存的公钥对上述主机返回的上述应答消息进行解密;当主机利用预存在主机中的密钥对该请求认证消息进行签名时,存储设备可以通过预存的公钥对上述主机返回的上述应答消息进行验证,通过验证来证明该主机中预存的密钥与存储设备中预存的公钥是否属于同一密钥对。
通信连接鉴权单元404,用于当上述认证单元通过认证时,接受上述主机的连接请求,否则,拒绝上述主机的连接请求。
可选地,上述接收单元402,还用于接收主机的连接请求。上述请求认证消息可以为随机数。
可以理解的是,本领域技术人员可以知道,在上述对主机进行身份认证过程中,由存储设备向主机发送的请求认证消息也可以是一个通过存储设备中预存的公钥加密或签名后的密文信息,由于经过密钥对中的公钥处理的信息只能由该密钥对中唯一的私钥进行解密或验证成功,因此,如果该主机能对该密文信息成功解密或验证,则视该主机为合法主机,接收该主机的连接请求,否则视该主机为非法主机,拒绝该主机的连接请求。
同样的,可以理解的是,存储设备向主机发送随机数来请求认证,相比于使用固定的消息来请求认证具有更高的安全度。
上述技术方案中,主机中保存有密钥对中的密钥,存储设备中保存有密钥对中的公钥,从而实现了通过密钥对将主机与存储设备进行绑定,在主机访问存储设备的数据过程中,由存储设备向访问的主机发送请求认证消息,并通过存储设备中预存的公钥对该主机响应的应答消息中包含的主机中预存的密钥信息进行认证,使得只有拥有与存储设备中预存的公钥配对的密钥的主机才能对该存储设备进行访问,从而提高了访问存储设备的安全性,通过这种身份认证方式,提高了存储设备的信息安全性。
上述技术方案的执行可以与现有的身份认证同时使用,至于本方案与其它身份认证的的执行顺序不影响本发明实施例的实现。
实施例四,如图5所示,本发明实施例还提供了一种主机,包括:
发送单元501,用于向存储设备发送连接请求;
接收单元502,用于接收上述存储设备发送的请求认证消息;
具体地,上述认证消息可以为任意生成的随机数信息,也可以为其他信息,对此本发明实施例不予限定。
认证单元503,用于利用预存的密钥对上述请求认证消息进行处理后向上述存储设备返回上述请求认证消息的应答消息,上述应答消息中包括经上述密钥处理后的请求认证消息;
具体的,该主机可以通过利用预存的密钥对该请求认证消息进行处理包括通过利用预存的密钥对该请求认证消息进行加密或签名。
通信连接单元504,用于当上述存储设备利用在存储设备中预存的公钥对上述应答消息认证通过时,与上述存储设备建立通信连接。
上述主机为可以使用存储设备的任意装置,例如个人电脑,服务器等,上述存储设备包括固态硬盘及其他存储介质。
可选地,如图6所示,上述认证单元503包括:
处理子单元601,用于利用预存的密钥对上述请求认证消息进行加密或对上述认证消息进行签名;
应答子单元602,用于向上述存储设备返回上述请求认证消息的应答消息,上述应答消息中包括经上述密钥加密或签名后的请求认证消息。
上述实施方案中,主机中保存有密钥对中的密钥,存储设备中保存有密钥对中的公钥,从而实现了通过密钥对将主机与存储设备进行绑定,在主机访问存储设备的数据过程中,由存储设备向访问的主机发送请求认证消息,并通过存储设备中预存的公钥对该主机响应的应答消息中包含的主机中预存的密钥信息进行认证,使得只有拥有与存储设备中预存的公钥配对的密钥的主机才能对该存储设备进行访问,从而提高了访问存储设备的安全性,通过这种身份认证方式,提高了存储设备的信息安全性。
上述技术方案的执行可以与现有的身份认证同时使用,至于本方案与其它身份认证的的执行顺序不影响本发明实施例的实现。
实施例五,如图7所示,本发明实施例还提供了一种身份认证系统,包括:
存储设备701,用于当接收到主机702的连接请求时,向上述主机702发送请求认证消息,并通过预存的公钥对上述主机702返回的上述应答消息进行认证,当认证通过时,接受上述主机702的连接请求,否则,拒绝上述主机702的连接请求,上述应答消息中包括经上述主机702利用主机702中预存的密钥处理后的请求认证消息;
具体地,上述认证消息可以为任意生成的随机数信息,也可以为其他信息,对此本发明实施例不予限定。
主机702,用于向存储设备701发送连接请求,并利用上述主机702中预存的密钥对上述存储设备701发送的请求认证消息进行处理,并向上述存储设备701发送上述请求认证消息的应答消息,上述应答消息中包括经上述密钥处理后的请求认证消息,当上述存储设备701利用在上述存储设备701中预存的公钥对上述应答消息认证通过时,与上述存储设备701建立通信连接。
具体地,主机702利用主机702中预存的密钥对存储设备701发送的请求认证消息进行处理包括:利用主机702中预存的密钥对存储设备701发送的请求认证消息进行加密或签名;
存储设备701通过预存的公钥对主机702返回的应答消息进行认证包括:通过存储设备701中预存的公钥对主机702返回的应答消息进行解密,或,通过存储设备701中预存的公钥对主机702返回的应答消息中包含的签名进行验证。
具体描述见上述方法实施例和装置实施例,此处不在赘述。
上述主机702为可以使用存储设备的任意装置,例如个人电脑,服务器等,上述存储设备701包括固态硬盘及其他存储介质。
上述实施例中,由于主机中保存有密钥对中的密钥,存储设备中保存该密钥对中的公钥,从而通过密钥对实现了主机与存储设备的绑定,在主机访问存储设备的数据过程中,由存储设备向访问的主机发送请求认证消息,并通过存储设备中预存的公钥对该主机响应的应答消息中包含的主机中预存的密钥信息进行认证,使得只有拥有与存储设备中预存的公钥配对的密钥的主机才能对该存储设备进行访问,从而提高了访问存储设备的安全性,通过这种身份认证方式,提高了存储设备的信息安全性。
上述技术方案的执行可以与现有的身份认证同时使用,至于本方案与其它身份认证的的执行顺序不影响本发明实施例的实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明实施例所提供的一种身份认证的方法、系统及存储设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (5)
1.一种身份认证方法,其特征在于,包括:
当主机与存储设备建立了上电连接时,主机向存储设备发送连接请求;所述存储设备被设置为只能进行一次初始化操作、或者被设置控制初始化的权限;
主机接收所述存储设备发送的请求认证消息;
主机利用预存的密钥对所述请求认证消息进行处理后向所述存储设备返回所述请求认证消息的应答消息,所述应答消息中包括经所述密钥处理后的请求认证消息;所述预存的密钥存储在可信赖平台模块TPM中;
当所述存储设备利用在存储设备中预存的公钥对所述应答消息认证通过时,所述存储设备接受所述主机的连接请求,所述主机与所述存储设备建立通信连接;否则,所述存储设备拒绝所述主机的连接请求。
2.根据权利要求1所述方法,其特征在于,所述应答消息中包括经密钥处理后的请求认证消息包括:所述应答消息包括经密钥加密或签名后的请求认证消息;
所述存储设备利用在存储设备中预存的公钥对所述应答消息认证通过包括:所述存储设备利用在存储设备中预存的公钥对所述应答消息解密成功;或所述存储设备利用在存储设备中预存的公钥对所述应答消息中包含的签名验证通过。
3.根据权利要求1或2所述方法,其特征在于,所述请求认证消息包括随机数。
4.一种身份认证系统,其特征在于,包括存储设备和主机,其中:
存储设备,用于当接收到主机的连接请求时,向所述主机发送请求认证消息,并通过预存的公钥对所述主机返回的所述应答消息进行认证,当认证通过时,接受所述主机的连接请求,否则,拒绝所述主机的连接请求,所述应答消息中包括经所述主机利用主机中预存的密钥处理后的请求认证消息;所述存储设备被设置为只能进行一次初始化操作、或者被设置控制初始化的权限;
主机包括:发送单元,用于当主机与存储设备建立了上电连接时,向存储设备发送连接请求;
接收单元,用于接收所述存储设备发送的请求认证消息;
认证单元,用于利用预存的密钥对所述请求认证消息进行处理后向所述存储设备返回所述请求认证消息的应答消息,所述应答消息中包括经所述密钥处理后的请求认证消息;所述预存的密钥存储在可信赖平台模块TPM中;
通信连接单元,用于当所述存储设备利用在存储设备中预存的公钥对所述应答消息认证通过时,所述存储设备接受所述主机的连接请求,所述主机与所述存储设备建立通信连接。
5.根据权利要求4所述系统,其特征在于,所述利用所述主机中预存的密钥对所述存储设备发送的请求认证消息进行处理包括:利用所述主机中预存的密钥对所述存储设备发送的请求认证消息进行加密或签名;
所述通过预存的公钥对所述主机返回的所述应答消息进行认证包括通过所述存储设备中预存的公钥对所述主机返回的所述应答消息进行解密,或,通过所述存储设备中预存的公钥对所述主机返回的所述应答消息中包含的签名进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910150721XA CN101588245B (zh) | 2009-06-24 | 2009-06-24 | 一种身份认证的方法、系统及存储设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910150721XA CN101588245B (zh) | 2009-06-24 | 2009-06-24 | 一种身份认证的方法、系统及存储设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101588245A CN101588245A (zh) | 2009-11-25 |
| CN101588245B true CN101588245B (zh) | 2012-01-04 |
Family
ID=41372323
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910150721XA Active CN101588245B (zh) | 2009-06-24 | 2009-06-24 | 一种身份认证的方法、系统及存储设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101588245B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102298505A (zh) * | 2010-06-28 | 2011-12-28 | 华中科技大学 | 一种基于fpga的系统中的硬盘数据管理装置及其管理硬盘数据的方法 |
| CN102594843A (zh) * | 2012-03-22 | 2012-07-18 | 中国农业银行股份有限公司 | 一种身份认证系统和方法 |
| CN103581201A (zh) * | 2013-11-15 | 2014-02-12 | 华为技术有限公司 | 认证授权方法和装置 |
| CN104406600A (zh) * | 2014-12-02 | 2015-03-11 | 百度在线网络技术(北京)有限公司 | 更新车载离线地图数据的方法、设备及系统 |
| CN106302527A (zh) * | 2016-09-27 | 2017-01-04 | 武汉磐固科技有限责任公司 | 移动个人健康监控方法及系统 |
| CN106411512A (zh) * | 2016-11-22 | 2017-02-15 | 北京奇虎科技有限公司 | 一种基于身份认证进行数据传输的设备及方法 |
| CN106850201B (zh) * | 2017-02-15 | 2019-11-08 | 济南晟安信息技术有限公司 | 智能终端多因子认证方法、智能终端、认证服务器及系统 |
| CN107392063B (zh) * | 2017-07-11 | 2019-05-28 | 深圳大普微电子科技有限公司 | 存储设备和主机的绑定、验证方法及系统 |
| CN107579999A (zh) * | 2017-10-17 | 2018-01-12 | 山东渔翁信息技术股份有限公司 | 数据来源设备的认证方法、装置和网络设备 |
| US11075906B2 (en) * | 2017-12-28 | 2021-07-27 | Shoppertrak Rct Corporation | Method and system for securing communications between a lead device and a secondary device |
| CN108537048B (zh) * | 2018-03-13 | 2021-08-17 | 超越科技股份有限公司 | 一种加密固态硬盘与授权计算机的安全关联方法及系统 |
| CN112118568B (zh) * | 2019-06-21 | 2022-02-25 | 华为技术有限公司 | 一种设备身份鉴权的方法及设备 |
| CN110765477A (zh) * | 2019-10-29 | 2020-02-07 | 四川九洲空管科技有限责任公司 | 一种用于arm+fpga架构中目标程序数据防窃取方法 |
| CN111654503A (zh) * | 2020-06-08 | 2020-09-11 | 工业和信息化部网络安全产业发展中心(工业和信息化部信息中心) | 一种远程管控方法、装置、设备及存储介质 |
| CN112215615A (zh) * | 2020-10-23 | 2021-01-12 | 和安科技创新有限公司 | 一种基于公私钥对业务进行安全授权的方法和系统 |
| CN112487380B (zh) * | 2020-12-16 | 2024-04-05 | 江苏国科微电子有限公司 | 一种数据交互方法、装置、设备及介质 |
| CN114978689A (zh) * | 2022-05-23 | 2022-08-30 | 江苏芯盛智能科技有限公司 | 存储设备远程管理方法、系统和存储设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1272648A (zh) * | 1999-04-30 | 2000-11-08 | 株式会社东芝 | 内容管理方法及内容管理装置 |
| CN1444386A (zh) * | 2001-12-31 | 2003-09-24 | 西安西电捷通无线网络通信有限公司 | 宽带无线ip系统移动终端的安全接入方法 |
| US20060095771A1 (en) * | 2004-11-02 | 2006-05-04 | Guido Appenzeller | Security device for cryptographic communications |
| CN101090316A (zh) * | 2006-06-16 | 2007-12-19 | 普天信息技术研究院 | 离线状态下存储卡与终端设备之间的身份认证方法 |
-
2009
- 2009-06-24 CN CN200910150721XA patent/CN101588245B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1272648A (zh) * | 1999-04-30 | 2000-11-08 | 株式会社东芝 | 内容管理方法及内容管理装置 |
| CN1444386A (zh) * | 2001-12-31 | 2003-09-24 | 西安西电捷通无线网络通信有限公司 | 宽带无线ip系统移动终端的安全接入方法 |
| US20060095771A1 (en) * | 2004-11-02 | 2006-05-04 | Guido Appenzeller | Security device for cryptographic communications |
| CN101090316A (zh) * | 2006-06-16 | 2007-12-19 | 普天信息技术研究院 | 离线状态下存储卡与终端设备之间的身份认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101588245A (zh) | 2009-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101588245B (zh) | 一种身份认证的方法、系统及存储设备 | |
| CN109309565B (zh) | 一种安全认证的方法及装置 | |
| US10243933B2 (en) | Data processing method and apparatus | |
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
| US8112787B2 (en) | System and method for securing a credential via user and server verification | |
| CN102164033B (zh) | 防止服务被攻击的方法、设备及系统 | |
| EP3522580A1 (en) | Credential provisioning | |
| US20190379542A1 (en) | Dongle for ciphering data | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| CN101297534A (zh) | 用于安全网络认证的方法和装置 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| TW201426383A (zh) | 身份驗證系統及方法 | |
| CN105162808A (zh) | 一种基于国密算法的安全登录方法 | |
| CN101420302A (zh) | 安全认证方法和设备 | |
| US11438316B2 (en) | Sharing encrypted items with participants verification | |
| CN106027251A (zh) | 一种身份证读卡终端与云认证平台数据传输方法和系统 | |
| CN101610150A (zh) | 第三方数字签名方法和数据传输系统 | |
| CN103888429A (zh) | 虚拟机启动方法、相关设备和系统 | |
| JP2018026631A (ja) | Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム | |
| CN113196703A (zh) | 保护计算机网络免受中间人攻击的系统和方法 | |
| Alzomai et al. | The mobile phone as a multi OTP device using trusted computing | |
| US20060053288A1 (en) | Interface method and device for the on-line exchange of content data in a secure manner | |
| CN105873043B (zh) | 一种用于移动终端的网络私匙的生成及应用方法及其系统 | |
| US11240661B2 (en) | Secure simultaneous authentication of equals anti-clogging mechanism |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220829 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |