CN102393836B - 移动存储器、移动存储器的访问控制方法及系统 - Google Patents
移动存储器、移动存储器的访问控制方法及系统 Download PDFInfo
- Publication number
- CN102393836B CN102393836B CN201110337851.1A CN201110337851A CN102393836B CN 102393836 B CN102393836 B CN 102393836B CN 201110337851 A CN201110337851 A CN 201110337851A CN 102393836 B CN102393836 B CN 102393836B
- Authority
- CN
- China
- Prior art keywords
- certificate
- user
- request
- mobile memory
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种移动存储器、移动存储器的访问控制方法及系统,属信息安全领域。该方法包括:移动存储器与文件信息显示装置连接后,接收由所述文件信息显示装置发送的认证请求;接收到所述认证请求后,移动存储器从其证书读写接口所连接的证书存储装置获取与所述认证请求对应的用户证书,并对所述用户证书进行认证;证书认证成功后,移动存储器对文件信息显示装置发送的文件访问请求进行访问控制。该方法避免了目前采用的静态口令进行用户身份认证,造成的移动存储装置访问控制的安全性较差的问题。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种移动存储器、移动存储器的访问控制方法及系统。
背景技术
随着移动存储器,尤其是以USB为接口的移动存储器(以下简称为U盘)的迅速普及,存储在U盘中的文件的安全性问题日益受到关注。
为了增强U盘的安全性,能够对U盘的文件访问操作进行控制的安全U盘已逐渐应用到军事、金融、商业等领域。安全U盘进行访问控制的基本原理是,用户在对安全U盘中的文件进行访问前,需要通过计算机终端向安全U盘发送认证口令(以下简称为口令),安全U盘对口令进行认证,认证通过后才允许对安全U盘进行文件读写等操作。
现有的安全U盘使用静态的认证口令对使用者进行身份认证,安全性较差。
发明内容
本发明实施方式提供一种移动存储器、移动存储器的访问控制系统及方法,可提高移动存储器访问的安全性,解决现有安全U盘使用静态的认证口令对使用者进行身份认证,安全性较差的问题。
本发明的目的是通过以下技术方案实现的:
本发明实施方式提供一种移动存储器的访问控制方法,该方法包括以下步骤:
移动存储器与文件信息显示装置连接后,接收由所述文件信息显示装置发送的认证请求;
接收到所述认证请求后,移动存储器从其证书读写接口所连接的证书存储装置获取与所述认证请求对应的用户证书,并对所述用户证书进行认证;
证书认证成功后,移动存储器接收文件信息显示装置发送的文件访问请求,确认所述文件访问请求的权限,按所述文件访问请求的权限对移动存储器进行相应的文件访问操作。
上述方法中,接收到所述认证请求后,移动存储器通过以下方式获取所述用户证书:
移动存储器向其证书读写接口所连接的证书存储装置发送证书获取请求;
证书存储装置接收到所述证书获取请求后,获取所述用户证书并将所述用户证书包含在证书获取响应中发送给移动存储器;
移动存储器从所述证书获取响应中获取所述用户证书。
上述方法中,接收到所述认证请求后,移动存储器通过以下方式获取所述用户证书:
所述认证请求中包含用户标识,移动存储器从所述认证请求中提取用户标识,将用户标识包含在向该移动存储器所连接的证书存储装置发送的证书获取请求中;
证书存储装置将与证书获取请求中的用户标识对应的用户证书包含在证书获取响应中发送给移动存储器;
移动存储器从所述证书获取响应中获取所述用户证书。
上述方法中,接收到所述认证请求后,移动存储器通过以下方式获取所述用户证书:
若所述认证请求中包含用户口令和用户标识,移动存储器对用户口令进行认证;
认证成功后,移动存储器从所述认证请求中提取用户标识,将用户标识包含在向该移动存储器所连接的证书存储装置发送的证书获取请求中;
证书存储装置将与证书获取请求中的用户标识对应的用户证书包含在证书获取响应中发送给移动存储器;
移动存储器从所述证书获取响应中获取所述用户证书。
上述方法中,所述证书存储装置中的用户证书由移动存储器通过以下方式生成:
移动存储器与证书管理装置连接后,接收证书管理装置发送的包含管理员口令的证书生成请求;
接收到证书生成请求后,移动存储器对证书生成请求中包含的管理员口令进行验证;
管理员口令验证成功后,移动存储器向与其证书读写接口连接的证书存储装置发送密钥生成请求,使证书存储装置在接收到密钥生成请求后,生成包含公钥和相应的私钥的密钥对;
接收证书存储装置发送的所生成的密钥对中的公钥,根据该公钥为对应的用户生成用户证书;
将生成的用户证书发送给证书存储装置进行存储。
上述方法中,若证书生成请求还包含用户标识,则移动存储器对证书生成请求中包含的管理员口令验证成功后,还执行以下操作:将用户标识和该用户对应的权限信息存储在移动存储器中。
上述方法中,所述证书存储装置中的用户证书由移动存储器通过以下方式生成:
移动存储器与证书管理装置连接后,接收证书管理装置发送的包含管理员口令的证书生成请求;
接收到证书生成请求后,移动存储器对证书生成请求中包含的管理员口令进行验证;
管理员口令验证成功后,移动存储器生成包含公钥和相应的私钥的密钥对,并向与其证书读写接口连接的证书存储装置发送包含所述密钥对或所述密钥对中的私钥的密钥对下载请求,使证书存储装置在接收到密钥对下载请求后,存储密钥对下载请求中包含的所述密钥对或所述密钥对中的私钥,并向移动存储器回复密钥对下载响应;
接收证书存储装置发送的所述密钥对下载响应,根据生成密钥对中的公钥为对应的用户生成用户证书;
将生成的用户证书发送给证书存储装置进行存储。
上述方法中,若证书生成请求还包含用户标识,则移动存储器对证书生成请求中包含的管理员口令验证成功后,还执行以下操作:将用户标识和该用户对应的权限信息存储在移动存储器中。
上述方法中,证书认证成功后,移动存储器通过以下方式接收由文件信息显示装置发送的文件访问请求:
证书认证成功后,移动存储器向文件信息显示装置发送证书认证响应,通知文件信息显示装置用户证书认证成功;
在文件信息显示装置确认用户证书认证成功后,向移动存储器发送文件访问请求;
移动存储器接收文件信息显示装置发送的文件访问请求。
上述方法中,所述移动存储器通过以下方式对文件信息显示装置发送的文件访问请求进行访问控制:
移动存储器接收文件信息显示装置发送的文件访问请求,确认所述文件访问请求的权限,按所述文件访问请求的权限对移动存储器进行相应的文件访问操作。
上述方法中,移动存储器通过以下方式确认所述文件访问请求的权限:
根据所述文件访问请求对应用户的权限信息,确认所述文件访问请求所允许进行的文件访问操作;其中,用户的权限信息为根据文件访问请求中、或认证请求中包含的用户标识从本地存储的用户权限信息中获取。
本发明实施方式提供一种移动存储器,该移动存储器包括:
主控模块、数据传输模块、存储模块和证书读写接口;其中,
所述数据传输模块与所述主控模块连接,用于连接文件信息显示装置,使所述主控模块与文件信息显示装置之间进行数据传输;
所述证书读写接口与所述主控模块连接,用于连接证书存储装置,使主控模块从证书存储装置存储的用户证书中获取对应的用户证书;
所述存储模块与所述主控模块连接,用于存储供主控模块访问操作的文件和从所连接的证书存储装置获取的用户证书以及用户的权限信息;
所述主控模块与所述数据传输模块、证书读写接口和存储模块连接,用于接收由文件信息显示装置经所述数据传输模块输入的认证请求,接收到认证请求后,通过证书读写接口从证书存储装置存储的用户证书中获取与认证请求对应的用户证书;并对获取到的用户证书进行认证,证书认证成功后,通过所述数据传输模块接收文件信息显示装置发送的文件访问请求,确认所述文件访问请求的权限,按所述文件访问请求的权限对存储模块中存储的文件进行相应的文件访问操作。
上述移动存储器,所述接收由文件信息显示装置经所述数据传输模块输入的认证请求中还包含用户标识;
所述主控模块,还用于提取认证请求中包含的用户标识,将用户标识包含在向所连接的证书存储装置发送的证书获取请求中;并在接收到证书存储装置发送的包含与用户标识对应的用户证书的证书获取响应后,从所述证书获取响应中获取所述用户证书;
或者,所述接收由文件信息显示装置经所述数据传输模块输入的认证请求中还包含用户口令和用户标识;
所述主控模块,还用于对认证请求中包含的用户口令进行认证;认证成功后,提取认证请求中包含的用户标识,将用户标识包含在向所连接的证书存储装置发送的证书获取请求中;并在接收到证书存储装置发送的包含与用户标识对应的用户证书的证书获取响应后,从所述证书获取响应中获取所述用户证书。
上述移动存储器,该移动存储器还包括:与所述主控模块连接的证书生成模块,用于与证书管理装置连接后,接收证书管理装置发送的包含管理员口令的证书生成请求;接收到证书生成请求后,对证书生成请求中包含的管理员口令进行验证;口令验证成功后,向所连接的证书存储装置发送密钥生成请求,使证书存储装置在接收到密钥生成请求后,生成包含公钥和相应的私钥的密钥对;接收证书存储装置发送的所生成的密钥对中的公钥,根据该公钥为对应的用户生成用户证书;将生成的用户证书发送给证书存储装置进行存储。
上述移动存储器,该移动存储器还包括:与所述主控模块连接的证书生成模块和密钥对生成模块;其中,
所述证书生成模块,用于与证书管理装置连接后,接收证书管理装置发送的包含管理员口令的证书生成请求;接收到证书生成请求后,对证书生成请求中包含的管理员口令进行验证;口令验证成功后,向所述密钥对生成模块发送生成密钥对请求;并在接收到所述密钥对生成模块生成的包含公钥和相应的私钥的密钥对后,向经证书读写接口连接的证书存储装置发送包含所述密钥对或所述密钥对中的私钥的密钥对下载请求,使证书存储装置在接收到密钥对下载请求后,存储密钥对下载请求中包含的所述密钥对或所述密钥对中的私钥,并向证书生成模块回复密钥对下载响应;接收证书存储装置发送的所述密钥对下载响应,根据生成密钥对中的公钥为对应的用户生成用户证书;将生成的用户证书发送给证书存储装置进行存储;
所述密钥对生成模块,用于在接收到所述证书生成模块发送的生成密钥对请求后,生成包含公钥和相应的私钥的密钥对,并将所述生成的密钥对回复至所述证书生成模块。
上述移动存储器,在对文件信息显示装置发送的文件访问请求进行访问控制时,
所述主控模块,用于通过所述数据传输模块接收文件信息显示装置发送的文件访问请求,确认所述文件访问请求的权限,按所述文件访问请求的权限对存储模块中存储的文件进行相应的文件访问操作。
上述移动存储器,在确认所述文件访问请求的权限时,
所述主控模块,还用于根据所述文件访问请求对应用户的权限信息,确认所述文件访问请求所允许进行的文件访问操作;其中,用户的权限信息为根据文件访问请求中、或认证请求中包含的用户标识从存储模块存储的用户权限信息中获取。
本发明实施方式进一步提供一种移动存储器的访问控制系统,该系统包括:
相互连接的移动存储器和文件信息显示装置,其中,所述移动存储器采用上述的移动存储器;
和连接在所述移动存储器的证书读写接口上的证书存储装置。
上述系统还包括:证书管理装置,与所述移动存储器连接。
由上述提供的技术方案可以看出,本发明实施方式的方法中,通过证书读写接口从证书存储装置中读取预先存储的由移动存储器颁发的用户证书,并对读取到用户证书进行认证,认证通过后才允许用户发出对该移动存储器的文件访问请求,并按该文件访问请求的操作权限进行相应的文件访问操作。避免了目前采用的静态口令进行用户身份认证,造成的移动存储装置访问控制的安全性较差的问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的移动存储器的结构示意图;
图2是本发明实施例的移动存储器的另一结构示意图;
图3为本发明实施例提供的移动存储器的访问控制系统的示意图;
图4为本发明实施例提供的第一方法实施例的流程图;
图5为本发明实施例提供的第二方法实施例的流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
本发明的要点在于:使移动存储器(例如U盘)具有CA(Certificate Authority,认证中心)的证书颁发及认证功能;并且移动存储器中需要设置有证书读写接口(USB接口或IC卡接口),移动存储器可以通过该接口与证书存储装置(例如,USB KEY或IC卡)进行交互,并将移动存储器生成的用户证书发送给证书存储装置进行保存。
证书生成后,移动存储器与文件信息显示装置(例如,个人电脑或专用的移动存储器显示装置,以下简称显示装置)进行连接,移动存储器通过证书读写接口从证书存储装置中读取用户证书,并对读取到的用户证书进行认证,认证通过后才允许用户通过显示装置对移动存储器进行相应安全级别的文件读写操作。
下面将结合附图和具体实施例对本发明实施例作进一步地详细描述。
第一装置实施例
图1是本发明实施例的移动存储器的结构示意图;如图1所示,该移动存储器包括:主控模块、数据传输模块、存储模块和证书读写接口;其中,
其中,数据传输模块与主控模块连接,用于连接文件信息显示装置,使主控模块与文件信息显示装置之间进行数据传输;
证书读写接口与主控模块连接,用于连接证书存储装置,使主控模块从证书存储装置存储的用户证书中获取对应的用户证书;
存储模块与主控模块连接,用于存储供主控模块访问操作的文件,该存储模块还可以用于存储从所连接的证书存储装置获取的用户证书;
主控模块与数据传输模块、证书读写接口和存储模块连接,用于接收由文件信息显示装置经所述数据传输模块输入的认证请求,接收到认证请求后,通过证书读写接口从证书存储装置获取其生成的与所述认证请求对应的用户证书;并对获取到的用户证书进行认证,证书认证成功后,对文件信息显示装置发送的文件访问请求进行访问控制。
在上述移动存储器接收的由文件信息显示装置经所述数据传输模块输入的认证请求中还包含用户标识时,主控模块还用于提取认证请求中包含的用户标识,将用户标识包含在向所连接的证书存储装置发送的证书获取请求中;并在接收到证书存储装置发送的包含与用户标识对应的用户证书的证书获取响应后,从所述证书获取响应中获取所述用户证书。
在上述移动存储器接收的由文件信息显示装置经所述数据传输模块输入的认证请求中还包含用户口令和用户标识时,主控模块还用于对认证请求中包含的用户口令进行认证;认证成功后,提取认证请求中包含的用户标识,将用户标识包含在向所连接的证书存储装置发送的证书获取请求中;并在接收到证书存储装置发送的包含与用户标识对应的用户证书的证书获取响应后,从所述证书获取响应中获取所述用户证书。
在移动存储器确认所述文件访问请求的权限时,主控模块还用于根据所述文件访问请求对应用户的权限信息,确认所述文件访问请求所允许进行的文件访问操作;其中,用户的权限信息为根据文件访问请求中、或认证请求中包含的用户标识从存储模块存储的用户权限信息中获取。
上述移动存储器还包括与主控模块连接的证书生成模块,用于与证书管理装置连接后,接收证书管理装置发送的包含管理员口令的证书生成请求;接收到证书生成请求后,对证书生成请求中包含的管理员口令进行验证;口令验证成功后,向所连接的证书存储装置发送密钥生成请求,使证书存储装置在接收到密钥生成请求后,生成包含公钥和相应的私钥的密钥对;接收证书存储装置发送的所生成的密钥对中的公钥,根据该公钥为对应的用户生成用户证书;将生成的用户证书发送给证书存储装置进行存储。
在上述移动存储器对文件信息显示装置发送的文件访问请求进行访问控制时,主控模块用于通过所述数据传输模块接收文件信息显示装置发送的文件访问请求,确认所述文件访问请求的权限,按所述文件访问请求的权限对存储模块中存储的文件进行相应的文件访问操作。
第二装置实施例
图2是本发明实施例的移动存储器的另一结构示意图;如图2所示,本实施例的移动存储器与第一装置实施例的不同之处在于:同时包括:与所述主控模块连接的证书生成模块和密钥对生成模块;
其中,证书生成模块用于与证书管理装置连接后,接收证书管理装置发送的包含管理员口令的证书生成请求;接收到证书生成请求后,对证书生成请求中包含的管理员口令进行验证;口令验证成功后,向所述密钥对生成模块发送生成密钥对请求;并在接收到所述密钥对生成模块生成的包含公钥和相应的私钥的密钥对后,向经证书读写接口连接的证书存储装置发送包含所述密钥对或所述密钥对中的私钥的密钥对下载请求,使证书存储装置在接收到密钥对下载请求后,存储密钥对下载请求中包含的所述密钥对或所述密钥对中的私钥,并向证书生成模块回复密钥对下载响应;接收证书存储装置发送的所述密钥对下载响应,根据生成密钥对中的公钥为对应的用户生成用户证书;将生成的用户证书发送给证书存储装置进行存储;
密钥对生成模块用于在接收到所述证书生成模块发送的生成密钥对请求后,生成包含公钥和相应的私钥的密钥对,并将所述生成的密钥对回复至所述证书生成模块。
第一系统实施例
图3是本发明实施例的移动存储器的访问控制系统结构示意图;如图3所示,该系统包含:证书管理装置、显示装置(即文件信息显示装置)、移动存储器和证书存储装置其中,证书管理装置和显示装置可以为同一装置,可统称为主机;其中,移动存储器与证书管理装置/显示装置之间可以采用USB接口进行数据传输;移动存储器与证书存储装置之间可以采用证书读写接口(USB接口或IC卡接口)进行数据传输。
第一方法实施例
图4是本发明移动存储器的访问控制方法第一实施例的流程图;如图4所示,该方法包括如下步骤:
证书生成阶段:
201,证书管理装置与移动存储器连接后,向移动存储器发送证书生成请求;
上述证书生成请求中包含:管理员口令(或称为证书管理口令),用户标识(可选)和用户的权限信息(可选)。
202,接收到证书生成请求后,移动存储器对管理员口令进行验证,验证成功后执行后续步骤。
203,移动存储器保存用户标识和对应的权限信息后,向与其连接的证书存储装置发送密钥生成请求。
204,接收到密钥生成请求后,证书存储装置生成密钥对(即公钥和相应的私钥)。
205,证书存储装置向移动存储器发送密钥生成响应;
密钥生成响应中包含密钥对中的公钥。
206,接收到证书存储装置发送的公钥后,移动存储器作为CA使用该公钥为对应的用户生成用户证书;
上述用户证书的具体格式可以参照X.509协议;其中,证书中的“主体名”字段可以是用户标识;证书存储装置发送的公钥包含在证书中的“主体公开密钥信息”字段中。
207,移动存储器将其生成的用户证书包含在证书下载请求中发送给证书存储装置;
证书下载请求中可以包含用户标识。
208,证书存储装置将接收到的用户证书和对应的私钥存储在安全存储区中。
可选地,证书存储装置可以将用户标识与用户证书和对应的私钥一并存储在安全存储区中。
209,证书存储装置向移动存储器发送证书下载响应,向移动存储器表明用户证书已成功存储。
210,移动存储器向证书管理装置发送证书生成响应,向证书管理装置表明用户证书已成功生成。
上述证书生成阶段可以是在移动存储器初次投入使用前或变更新的拥有者时,进行用户证书生成时使用。
在上述由移动存储器已生成用户证书的基础上,可通过下述步骤对移动存储器的访问操作进行控制。
读写阶段:
211,移动存储器与文件信息显示装置(以下简称显示装置)连接后,显示装置向移动存储器发送认证请求;
上述认证请求中包含:用户口令(可选,也可称为文件读写口令)和用户标识(可选)。
212,接收到显示装置发送的认证请求后,移动存储器提取其中包含的用户标识;如果认证请求中包含用户口令,移动存储器还应当对其进行验证;然后向与其相连的证书存储装置发送证书获取请求;
证书获取请求中可以包含:用户标识。
213,证书存储装置将与用户标识对应的用户证书(证书存储装置中可以存储多个用户证书),或本地存储的用户证书(证书存储装置中只能存储一个用户证书)包含在证书获取响应中发送给移动存储器;
除用户证书外,证书获取响应中还包含:使用对应的私钥生成的签名数据。
如果证书存储装置中没有与用户标识对应的用户证书,证书存储装置可以向移动存储器返回包含失败信息的响应消息。
214,接收到证书获取响应后,移动存储器作为CA对其中包含的用户证书进行认证;
对用户证书进行验证的方法为现有技术,本文不再赘述。
215,证书认证成功后,移动存储器向显示装置发送证书认证响应,以通知显示装置用户证书认证成功。
216,用户通过显示装置对移动存储器进行文件读写操作,显示装置向移动存储器发送对应的文件访问请求;
文件访问请求中可以包含:用户标识。
217,移动存储器对显示装置发送的文件访问请求进行权限控制,即根据对应用户的权限信息判断是否允许进行相应的文件访问请求;
用户权限信息可以根据文件访问请求中、或证书认证请求中包含的用户标识从本地存储的用户权限信息中获取。
第二方法实施例
图5是本发明移动存储器的访问控制方法第二实施例的流程图。如图5所示,本实施例与第一方法实施例的不同之处在于,本实施例由移动存储器生成密钥对,并将其中的私钥或密钥对发送给证书存储装置进行存储。上述第一方法实施例中的步骤203到步骤206相应调整为:
步骤203’,移动存储器保存用户标识和对应的权限信息后,生成密钥对(即公钥和相应的私钥)。
步骤204’,移动存储器向与其证书读写接口连接的证书存储装置发送密钥对下载请求(包含所述密钥对或所述密钥对中的私钥)。
步骤205’,证书存储装置在接收到密钥对下载请求后,存储密钥对下载请求中包含的所述密钥对或所述密钥对中的私钥。
步骤206’,证书存储装置向移动存储器回复密钥对下载响应。
步骤206,移动存储器接收证书存储装置发送的所述密钥对下载响应,根据生成密钥对中的公钥为对应的用户生成用户证书。
其它后续步骤与第一方法实施例基本相同。
综上所述,本发明实施例中通过使移动存储器与文件信息显示装置进行连接,移动存储器通过证书读写接口从证书存储装置中读取用户证书,并对读取到的用户证书进行认证,认证通过后才允许用户通过文件信息显示装置对移动存储器进行相应安全级别的文件读写操作。有效解决了目前采用的静态口令进行用户身份认证,造成的移动存储装置访问控制的安全性较差的问题。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (17)
1.一种移动存储器的访问控制方法,其特征在于,该方法包括以下步骤:
移动存储器与文件信息显示装置连接后,接收由所述文件信息显示装置发送的认证请求;
接收到所述认证请求后,移动存储器从其证书读写接口所连接的证书存储装置获取所述移动存储器生成的与所述认证请求对应的用户证书,并对所述用户证书进行认证,所述用户证书为所述证书存储装置中存储的多个用户证书或存储的唯一用户证书,所述认证为CA认证;
证书认证成功后,移动存储器对文件信息显示装置发送的文件访问请求进行访问控制,
所述移动存储器通过以下方式对文件信息显示装置发送的文件访问请求进行访问控制:
移动存储器接收文件信息显示装置发送的文件访问请求,确认所述文件访问请求的权限,按所述文件访问请求的权限对移动存储器进行相应的文件访问操作。
2.根据权利要求1所述的移动存储器的访问控制方法,其特征在于,
接收到所述认证请求后,移动存储器通过以下方式获取所述用户证书:
移动存储器向其证书读写接口所连接的证书存储装置发送证书获取请求;
证书存储装置接收到所述证书获取请求后,获取所述用户证书并将所述用户证书包含在证书获取响应中发送给移动存储器;
移动存储器从所述证书获取响应中获取所述用户证书。
3.根据权利要求1所述的移动存储器的访问控制方法,其特征在于,
接收到所述认证请求后,移动存储器通过以下方式获取所述用户证书:
所述认证请求中包含用户标识,移动存储器从所述认证请求中提取用户标识,将用户标识包含在向该移动存储器所连接的证书存储装置发送的证书获取请求中;
证书存储装置将与证书获取请求中的用户标识对应的用户证书包含在证书获取响应中发送给移动存储器;
移动存储器从所述证书获取响应中获取所述用户证书。
4.根据权利要求1所述的移动存储器的访问控制方法,其特征在于,
接收到所述认证请求后,移动存储器通过以下方式获取所述用户证书:
若所述认证请求中包含用户口令和用户标识,移动存储器对用户口令进行认证;
认证成功后,移动存储器从所述认证请求中提取用户标识,将用户标识包含在向该移动存储器所连接的证书存储装置发送的证书获取请求中;
证书存储装置将与证书获取请求中的用户标识对应的用户证书包含在证书获取响应中发送给移动存储器;
移动存储器从所述证书获取响应中获取所述用户证书。
5.根据权利要求1~4任一项所述的移动存储器的访问控制方法,其特征在于,
所述证书存储装置中的用户证书由移动存储器通过以下方式生成:
移动存储器与证书管理装置连接后,接收证书管理装置发送的包含管理员口令的证书生成请求;
接收到证书生成请求后,移动存储器对证书生成请求中包含的管理员口令进行验证;
管理员口令验证成功后,移动存储器向与其证书读写接口连接的证书存储装置发送密钥生成请求,使证书存储装置在接收到密钥生成请求后,生成包含公钥和相应的私钥的密钥对;
接收证书存储装置发送的所生成的密钥对中的公钥,根据该公钥为对应的用户生成用户证书;
将生成的用户证书发送给证书存储装置进行存储。
6.根据权利要求5所述的移动存储器的访问控制方法,其特征在于,
若证书生成请求还包含用户标识,则移动存储器对证书生成请求中包含的管理员口令验证成功后,还执行以下操作:将用户标识和该用户对应的权限信息存储在移动存储器中。
7.根据权利要求1~4任一项所述的移动存储器的访问控制方法,其特征在于,
所述证书存储装置中的用户证书由移动存储器通过以下方式生成:
移动存储器与证书管理装置连接后,接收证书管理装置发送的包含管理员口令的证书生成请求;
接收到证书生成请求后,移动存储器对证书生成请求中包含的管理员口令进行验证;
管理员口令验证成功后,移动存储器生成包含公钥和相应的私钥的密钥对,并向与其证书读写接口连接的证书存储装置发送包含所述密钥对或所述密钥对中的私钥的密钥对下载请求,使证书存储装置在接收到密钥对下载请求后,存储密钥对下载请求中包含的所述密钥对或所述密钥对中的私钥,并向移动存储器回复密钥对下载响应;
接收证书存储装置发送的所述密钥对下载响应,根据生成密钥对中的公钥为对应的用户生成用户证书;
将生成的用户证书发送给证书存储装置进行存储。
8.根据权利要求7所述的移动存储器的访问控制方法,其特征在于,
若证书生成请求还包含用户标识,则移动存储器对证书生成请求中包含的管理员口令验证成功后,还执行以下操作:将用户标识和该用户对应的权限信息存储在移动存储器中。
9.根据权利要求1所述的移动存储器的访问控制方法,其特征在于,
证书认证成功后,移动存储器通过以下方式接收由文件信息显示装置发送的文件访问请求:
证书认证成功后,移动存储器向文件信息显示装置发送证书认证响应,通知文件信息显示装置用户证书认证成功;
在文件信息显示装置确认用户证书认证成功后,向移动存储器发送文件访问请求;
移动存储器接收文件信息显示装置发送的文件访问请求。
10.根据权利要求1所述的移动存储器的访问控制方法,其特征在于,
移动存储器通过以下方式确认所述文件访问请求的权限:
根据所述文件访问请求对应用户的权限信息,确认所述文件访问请求所允许进行的文件访问操作;其中,用户的权限信息为根据文件访问请求中、或认证请求中包含的用户标识从本地存储的用户权限信息中获取。
11.一种移动存储器,其特征在于,该移动存储器包括:
主控模块、数据传输模块、存储模块和证书读写接口;其中,
所述数据传输模块与所述主控模块连接,用于连接文件信息显示装置,使所述主控模块与文件信息显示装置之间进行数据传输;
所述证书读写接口与所述主控模块连接,用于连接证书存储装置,使所述主控模块从证书存储装置存储的用户证书中获取对应的用户证书,所述用户证书为所述证书存储装置中存储的多个用户证书或存储的唯一用户证书;
所述存储模块与所述主控模块连接,用于存储供主控模块访问操作的文件;
所述主控模块与所述数据传输模块、证书读写接口和存储模块连接,用于接收由文件信息显示装置经所述数据传输模块输入的认证请求,接收到认证请求后,通过证书读写接口从证书存储装置获取所述移动存储器生成的与所述认证请求对应的用户证书;并对获取到的用户证书进行认证,证书认证成功后,对文件信息显示装置发送的文件访问请求进行访问控制,所述认证为CA认证;
在对文件信息显示装置发送的文件访问请求进行访问控制时,
所述主控模块,用于通过所述数据传输模块接收文件信息显示装置发送的文件访问请求,确认所述文件访问请求的权限,按所述文件访问请求的权限对存储模块中存储的文件进行相应的文件访问操作。
12.根据权利要求11所述的移动存储器,其特征在于,
所述接收由文件信息显示装置经所述数据传输模块输入的认证请求中还包含用户标识;
所述主控模块,还用于提取认证请求中包含的用户标识,将用户标识包含在向所连接的证书存储装置发送的证书获取请求中;并在接收到证书存储装置发送的包含与用户标识对应的用户证书的证书获取响应后,从所述证书获取响应中获取所述用户证书;
或者,所述接收由文件信息显示装置经所述数据传输模块输入的认证请求中还包含用户口令和用户标识;
所述主控模块,还用于对认证请求中包含的用户口令进行认证;认证成功后,提取认证请求中包含的用户标识,将用户标识包含在向所连接的证书存储装置发送的证书获取请求中;并在接收到证书存储装置发送的包含与用户标识对应的用户证书的证书获取响应后,从所述证书获取响应中获取所述用户证书。
13.根据权利要求11所述的移动存储器,其特征在于,
该移动存储器还包括:与所述主控模块连接的证书生成模块,用于与证书管理装置连接后,接收证书管理装置发送的包含管理员口令的证书生成请求;接收到证书生成请求后,对证书生成请求中包含的管理员口令进行验证;口令验证成功后,向所连接的证书存储装置发送密钥生成请求,使证书存储装置在接收到密钥生成请求后,生成包含公钥和相应的私钥的密钥对;接收证书存储装置发送的所生成的密钥对中的公钥,根据该公钥为对应的用户生成用户证书;将生成的用户证书发送给证书存储装置进行存储。
14.根据权利要求11所述的移动存储器,其特征在于,
该移动存储器还包括:与所述主控模块连接的证书生成模块和密钥对生成模块;其中,
所述证书生成模块,用于与证书管理装置连接后,接收证书管理装置发送的包含管理员口令的证书生成请求;接收到证书生成请求后,对证书生成请求中包含的管理员口令进行验证;口令验证成功后,向所述密钥对生成模块发送生成密钥对请求;并在接收到所述密钥对生成模块生成的包含公钥和相应的私钥的密钥对后,向经证书读写接口连接的证书存储装置发送包含所述密钥对或所述密钥对中的私钥的密钥对下载请求,使证书存储装置在接收到密钥对下载请求后,存储密钥对下载请求中包含的所述密钥对或所述密钥对中的私钥,并向证书生成模块回复密钥对下载响应;接收证书存储装置发送的所述密钥对下载响应,根据生成密钥对中的公钥为对应的用户生成用户证书;将生成的用户证书发送给证书存储装置进行存储;
所述密钥对生成模块,用于在接收到所述证书生成模块发送的生成密钥对请求后,生成包含公钥和相应的私钥的密钥对,并将所述生成的密钥对回复至所述证书生成模块。
15.根据权利要求11所述的移动存储器,其特征在于,
在确认所述文件访问请求的权限时,
所述主控模块,还用于根据所述文件访问请求对应用户的权限信息,确认所述文件访问请求所允许进行的文件访问操作;其中,用户的权限信息为根据文件访问请求中、或认证请求中包含的用户标识从存储模块存储的用户权限信息中获取。
16.一种移动存储器的访问控制系统,其特征在于,该系统包括:
相互连接的移动存储器和文件信息显示装置,其中,所述移动存储器采用上述权利要求11~15任一项所述的移动存储器;
和连接在所述移动存储器的证书读写接口上的证书存储装置。
17.根据权利要求16所述的移动存储器的访问控制系统,其特征在于,该系统还包括:
证书管理装置,与所述移动存储器连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110337851.1A CN102393836B (zh) | 2011-10-31 | 2011-10-31 | 移动存储器、移动存储器的访问控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110337851.1A CN102393836B (zh) | 2011-10-31 | 2011-10-31 | 移动存储器、移动存储器的访问控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102393836A CN102393836A (zh) | 2012-03-28 |
| CN102393836B true CN102393836B (zh) | 2015-01-07 |
Family
ID=45861164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110337851.1A Active CN102393836B (zh) | 2011-10-31 | 2011-10-31 | 移动存储器、移动存储器的访问控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102393836B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105915338B (zh) * | 2016-05-27 | 2018-12-28 | 北京中油瑞飞信息技术有限责任公司 | 生成密钥的方法和系统 |
| CN114091027B (zh) * | 2021-12-01 | 2023-08-29 | 海光信息技术股份有限公司 | 信息配置方法、数据访问方法及相关装置、设备 |
| CN114527933A (zh) * | 2022-01-06 | 2022-05-24 | 长江存储科技有限责任公司 | 存储器操作方法、存储器及存储系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101120352A (zh) * | 2004-12-21 | 2008-02-06 | 桑迪士克股份有限公司 | 具有通用内容控制的存储器系统 |
| CN101527633A (zh) * | 2008-12-31 | 2009-09-09 | 北京飞天诚信科技有限公司 | 智能密钥设备获取数字证书的系统及方法 |
| CN101714123A (zh) * | 2008-10-07 | 2010-05-26 | 谈剑锋 | 可保证信息安全的文件移动存储设备及其实现方法 |
| CN102223364A (zh) * | 2011-05-09 | 2011-10-19 | 飞天诚信科技股份有限公司 | 一种访问电子书数据的方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4112284B2 (ja) * | 2002-05-29 | 2008-07-02 | 富士通株式会社 | データベースアクセス制御方法およびデータベースアクセス制御プログラム |
| EP1719036B1 (en) * | 2004-01-06 | 2010-10-20 | Thomson Licensing | Secure porting of information from one device to another |
| CN101685665B (zh) * | 2008-09-28 | 2013-07-10 | 北京华旗资讯数码科技有限公司 | 一种移动存储装置及其连接器 |
-
2011
- 2011-10-31 CN CN201110337851.1A patent/CN102393836B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101120352A (zh) * | 2004-12-21 | 2008-02-06 | 桑迪士克股份有限公司 | 具有通用内容控制的存储器系统 |
| CN101714123A (zh) * | 2008-10-07 | 2010-05-26 | 谈剑锋 | 可保证信息安全的文件移动存储设备及其实现方法 |
| CN101527633A (zh) * | 2008-12-31 | 2009-09-09 | 北京飞天诚信科技有限公司 | 智能密钥设备获取数字证书的系统及方法 |
| CN102223364A (zh) * | 2011-05-09 | 2011-10-19 | 飞天诚信科技股份有限公司 | 一种访问电子书数据的方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| JP特开2003-345663A 2003.12.05 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102393836A (zh) | 2012-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104618116B (zh) | 一种协同数字签名系统及其方法 | |
| CN101765105B (zh) | 实现通信加密的方法和系统、移动终端 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| CN106452782A (zh) | 为终端设备生成安全通信信道的方法和系统 | |
| US11539524B1 (en) | Software credential token process, software, and device | |
| CN105376208B (zh) | 安全数据验证方法、系统与计算机可读取储存媒体 | |
| CN103916848B (zh) | 一种移动终端数据备份和恢复的方法及系统 | |
| CN104243461A (zh) | 一种移动终端网络安全认证的方法、sd全卡及移动终端 | |
| CN101808092B (zh) | 多证书共享方法、系统和智能卡 | |
| CN104301110A (zh) | 应用于智能终端的身份验证方法、身份验证设备和系统 | |
| CN103716292A (zh) | 一种跨域的单点登录的方法和设备 | |
| CN103853950A (zh) | 一种基于移动终端的认证方法及移动终端 | |
| CN101321068A (zh) | 实现双重身份认证的方法及装置 | |
| CN101771680B (zh) | 一种向智能卡写入数据的方法、系统以及远程写卡终端 | |
| CN103701977A (zh) | 便捷式电子设备、通信系统以及信息认证方法 | |
| CN106027250A (zh) | 一种身份证信息安全传输方法及系统 | |
| CN105100009A (zh) | 登陆控制系统、方法和装置 | |
| CN103905194A (zh) | 身份溯源认证方法及系统 | |
| EP3851983B1 (en) | Authorization method, auxiliary authorization component, management server and computer readable medium | |
| CN105405012A (zh) | 智能ic卡及支付处理方法 | |
| CN108768941B (zh) | 一种远程解锁安全设备的方法及装置 | |
| US8812857B1 (en) | Smart card renewal | |
| CN107819766B (zh) | 安全认证方法、系统及计算机可读存储介质 | |
| CN105704092A (zh) | 用户身份认证方法、装置和系统 | |
| CN103312511A (zh) | 信息确认系统及信息确认方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent for invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 102211 Beijing city Changping District Baishan town 100 Ge Road No. 9 Building No. 2 hospital Applicant after: Tendyron Technology Co., Ltd. Address before: 100083, B, block 17, golden building, No. 1810 Qinghua East Road, Beijing, Haidian District Applicant before: Beijing Tendyron Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |