CN108595987A - 权限访问管理方法以及相关装置 - Google Patents
权限访问管理方法以及相关装置 Download PDFInfo
- Publication number
- CN108595987A CN108595987A CN201810330392.6A CN201810330392A CN108595987A CN 108595987 A CN108595987 A CN 108595987A CN 201810330392 A CN201810330392 A CN 201810330392A CN 108595987 A CN108595987 A CN 108595987A
- Authority
- CN
- China
- Prior art keywords
- storage device
- access equipment
- command information
- access
- command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Abstract
本发明实施例公开一种权限访问管理方法、存储设备、访问设备,以及对应的计算机程序产品,可以有效地减少存储设备被破坏,增强存储设备的安全性。本发明实施例方法部分包括:存储设备接收访问设备发送的命令信息以及签名信息,其中,所述命令信息为所述访问设备触发所述存储设备执行对应操作的命令,所述签名信息为所述访问设备对所述命令信息进行数字签名后得到;所述存储设备对所述命令信息以及签名信息进行数字签名验证;当通过所述数字签名验证后,所述存储设备开放所述访问设备的访问权限。
Description
技术领域
本发明涉及存储设备安全技术领域,尤其涉及到一种权限访问管理方法、存储设备、访问设备以及计算机程序产品。
背景技术
存储设备是泛成用于存储数据或信息的设备,其在计算机领域中随处可见,对于数据的保护领域具有极大的应用,可想而知,对存储设备的访问权限管理也越来越重要。
目前,存储设备访问的权限管理实现是在操作系统层面,在存储设备端没有安全性,信息完整性的保障。举个简单例子,当主机设备(或操作系统)被攻击者入侵后,存储设备完全暴露于攻击者,从而导致存储设备数据容易被攻击者破坏,也就是说,目前的权限管理方法,易被非授权用户或病毒攻击,从而导致存储设备被破坏,存储设备安全性比较低。
发明内容
本发明实施例要解决的问题在于,提供一种权限访问管理方法以及相关装置,可以有效地减少存储设备被破坏,增强存储设备的安全性。
为解决上述问题,本发明提供以下技术方案:
本发明实施例第一方面提供了一种权限访问管理方法,所述方法包括:
存储设备接收访问设备发送的命令信息以及签名信息,其中,所述命令信息为所述访问设备触发所述存储设备执行对应操作的命令,所述签名信息为所述访问设备对所述命令信息进行数字签名后得到;
所述存储设备对所述命令信息以及签名信息进行数字签名验证;
当通过所述数字签名验证后,所述存储设备开放所述访问设备的访问权限。
在一些可能的实现中,所述存储设备开放所述访问设备的访问权限之后,所述方法还包括:
所述存储设备确定所述访问设备的命令权限;
所述存储设备确定所述命令信息对应的操作是否在所述访问设备的命令权限内;
若所述命令信息对应的操作是否在所述访问设备的命令权限内,则所述存储设备执行所述命令信息对应的操作命令。
在一些可能的实现中,当通过所述数字签名验证后,所述方法还包括:
所述存储设备对所述访问设备的命令权限进行配置。
在一些可能的实现中,所述存储设备对所述访问设备的命令权限包括以下可配置的权限:
所述存储设备对所述访问设备不可见;
所述存储设备对所述访问设备可见但不执行所述访问设备的任何命令;
所述存储设备对所述访问设备可见,但所述访问设备的每一种命令均需在所述访问设备的权限内才能执行;
所述存储设备对所述访问设备可见,但不执行所述访问设备的读写命令,只执行所述访问设备的管理命令;
所述存储设备对所述访问设备可见,但只执行所述访问设备的读命令,不执行所述访问设备的写命令及管理命令。
在一些可能的实现中,若所述命令信息对应的操作未在所述访问设备的权限内,所述存储设备向所述访问设备返回错误指示。
本发明实施例第二方面提供了一种权限访问管理方法,所述方法包括:
访问设备生成命令信息,所述命令信息为触发存储设备执行对应操作的命令;
所述访问设备对所述命令信息进行数字签名以得到摘要信息;
所述访问设备向存储设备发送所述命令信息以及签名信息,以使得所述存储设备对所述命令信息以及签名信息进行数字签名验证,并当通过所述数字签名验证后,开放所述访问设备的访问权限。
本发明实施例第三方面提供了一种存储设备,所述存储设备包括:
接收模块,用于接收访问设备发送的命令信息以及签名信息,其中,所述命令信息为所述访问设备触发所述存储设备执行对应操作的命令,所述签名信息为所述访问设备对所述命令信息进行数字签名后得到;
处理模块,用于对所述命令信息以及签名信息进行数字签名验证;当通过所述数字签名验证后,开放所述访问设备的访问权限。
在一些可能的实现中,所述处理模块还用于:
所述存储设备开放所述访问设备的访问权限之后,确定所述访问设备的命令权限;
确定所述命令信息对应的操作是否在所述访问设备的命令权限内;
若所述命令信息对应的操作是否在所述访问设备的命令权限内,则执行所述命令信息对应的操作命令。
在一些可能的实现中,所述处理模块还用于:
当通过所述数字签名验证后,对所述访问设备的命令权限进行配置。
在一些可能的实现中,所述存储设备对所述访问设备的命令权限包括以下可配置的权限:
所述存储设备对所述访问设备不可见;
所述存储设备对所述访问设备可见但不执行所述访问设备的任何命令;
所述存储设备对所述访问设备可见,但所述访问设备的每一种命令均需在所述访问设备的权限内才能执行;
所述存储设备对所述访问设备可见,但不执行所述访问设备的读写命令,只执行所述访问设备的管理命令;
所述存储设备对所述访问设备可见,但只执行所述访问设备的读命令,不执行所述访问设备的写命令及管理命令。
在一些可能的实现中,所述处理模块还用于:
若所述命令信息对应的操作未在所述访问设备的权限内,向所述访问设备返回错误指示。
在一些可能的实现中,所述处理模块还用于:
开放所述访问设备的访问权限之后,确定所述访问设备的权限;
确定所述命令信息对应的操作是否在所述访问设备的权限内;
若所述命令信息对应的操作是否在所述访问设备的权限内,则执行所述命令信息对应的操作命令。
本发明实施例第四方面提供了一种访问设备,所述访问设备包括:
处理模块,用于生成命令信息,所述命令信息为触发存储设备执行对应操作的命令;对所述命令信息进行数字签名以得到签名信息;
发送模块,用于向存储设备发送所述命令信息以及签名信息,以使得所述存储设备对所述命令信息以及签名信息进行数字签名验证,并当通过所述数字签名验证后,开放所述访问设备的访问权限。
本发明实施例第五方面提供了一种存储设备,所述存储设备包括存储器以及至少一个处理器,所述存储器与所述处理器连接;所述存储器存储有可被所述至少一个处理器所执行的计算机程序,所述计算机程序被所述至少一个处理器执行时能够执行前述第一方面以及第一方面各个实现中任一项所述存储设备所执行的方法。
本发明实施例第六方面提供了一种访问设备,所述访问设备包括存储器以及至少一个处理器,所述存储器与所述处理器连接;所述存储器存储有可被所述至少一个处理器所执行的计算机程序,所述计算机程序被所述至少一个处理器执行时能够执行前述第二方面以及第二方面各个实现中任一项所述访问设备所执行的方法。
本发明实施例第七方面提供了一种计算机程序产品,所述计算机程序产品能实现执行前述第一方面以及第一方面各个实现中任一项所述的方法。
本发明实施例第八方面提供了一种计算机程序产品,所述计算机程序产品能实现执行前述第二方面以及第二方面各个实现中任一项所述的方法。
由上述技术方案可以看出,本发明实施例第一方面提供了一种权限访问管理方法,在该方法中,存储设备接收访问设备发送的命令信息以及签名信息,其中,所述命令信息为所述访问设备触发所述存储设备执行对应操作的命令,所述签名信息为所述访问设备对所述命令信息进行数字签名后得到;所述存储设备对所述命令信息以及签名信息进行数字签名验证;当通过所述数字签名验证后,所述存储设备开放所述访问设备的访问权限。由此可见,本发明将命令信息完整性,一次性,以及身份的验证功能放在存储设备中实现,可以有效地减少存储设备被破坏,增强存储设备的安全性。
附图说明
为了便于理解本发明所提供的技术方案,本发明还对应提供了供于参考的说明书附图,需要说明的是,基于下述附图,本领域技术人员还可以结合说明书的描述得到其他附图。
图1为数字签名中的签名与解签名的过程示意图;
图2为本发明实施例一种权限访问管理方法一个流程示意图;
图3为本发明实施例一种存储设备一个实施例结构示意图;
图4为本发明实施例一种访问设备一个实施例结构示意图;
图5为本发明实施例一种计算机设备一个实施例结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于理解,首先对本发明实施例所涉及的一些概念或措辞进行描述:
数字签名:
如图1所示,这里以摘要算法为Hash算法为例进行说明,图1为数字签名中的签名与解签名验证的过程示意图。
数字签名是对非对称加密技术与数字摘要技术的综合运用,发送端利用摘要算法(如Hash算法),可以生成原文对应的信息摘要,并使用发送端的私钥对通信信息摘要进行签名,然后将签名后的签名信息与原文一起传输给接收端,接收端使用与发送端相同的Hash算法,对接收到的原文采用相同的方式产生信息摘要1,并与利用公钥解码被签名的签名信息得到信息摘要2,将与上述信息摘要1与信息摘要2进行对比,如果相同,则说明接收端接收到的原文是完整的,在传输过程中没有受到第三方的篡改,否则,说明原文已被第三方修改。其中,上述原文是指发送端需要向接收端发送的未签名过得原始信息。
其中,需要说明的是,上述私钥与公钥是通过非对称加密算法得到,也就是说,私钥与密钥是配对存在的,具体的,在本发明实施例中,私钥可以是任一字符串,示意性的,可以是一个256位的随机数作为私钥,而公钥则是利用非对称加密算法生成的私钥对应的公钥,具体此处不做限定。另外需要说明的是,本发明实施例中,上述非对称加密算法可以包括,但不局限于ed25519算法、RSA算法、DSA算法、Diffie-Hellman以及ECC算法,具体本发明实施例也不做限定。
由此可得,在数字签名中,对于每一个发送端而言,都有其特有的私钥,且都是对外界保密的,而通过私钥签名的相关信息,只能通过其对应的公钥来进行解码。因此,私钥可以代表私钥持有者的身份,可以通过私钥对应的公钥来对私钥拥有者的身份进行验证。通过数字签名,则能够确认通信内容是发送端签名并发送过来的,因为其他设备假冒不了消息发送端的签名,而不同的通信内容,摘要信息千差万别,通过摘要算法,还可以确保通信内容的完整性,如果通信内容在中途被篡改了,对应的数字签名也将发生改变。因此,因此数字签名能够验证通信内容的完整性以及发送端的身份。
在本发明实施例提供的权限访问管理方法应用于访问设备与存储设备之间,访问设备将上述数字签名应用至访问设备与存储设备之间的权限访问管理中,请参阅图2,图2为本发明实施例一种权限访问管理方法一个流程示意图,包括:
101、存储设备接收访问设备发送的命令信息以及签名信息。
在本发明实施例中,当访问设备需要访问存储设备,并使得存储设备执行某些操作时,访问设备可以生成上述某些操作对应的命令信息,并且使用数字签名技术对上述命令信息进行数字签名以获得上述签名信息,并将命令信息与签名信息发送给存储设备,而存储设备可以接收到访问设备发送的命令信息以及签名信息。
需要说明的是,访问设备使用数字签名技术对上述命令信息进行数字签名以获得上述签名信息,具体是指存储设备使用Hash运算后得到命令信息对应的摘要信息,并通过私钥签名后得到。
也就是说,所述命令信息为所述访问设备触发所述存储设备执行对应操作的命令,所述签名信息为所述访问设备对所述命令信息进行Hash运算,并通过私钥签名后得到的。
另外需要说明的是,上述命令信息可以包括,但不局限于:
使得存储设备可见或不可见的命令,执行存储设备的管理命令,执行读,执行写,用户权限设置,格式化等命令,具体不做限定。
102、所述存储设备对所述命令信息以及签名信息进行数字签名验证,当通过所述数字签名验证时,触发步骤103。
当存储设备接收到命令信息以及签名信息后,对上述命令信息以及签名信息进行数字签名验证,若通过数字签名验证,则执行步骤103。
103、所述存储设备开放所述访问设备的访问权限。
由上述技术方案可以看出,本发明实施例第一方面提供了一种权限访问管理方法,在该方法中,存储设备接收访问设备发送的命令信息以及签名信息,其中,所述命令信息为所述访问设备触发所述存储设备执行对应操作的命令,所述签名信息为所述访问设备对所述命令信息进行数字签名后得到;所述存储设备对所述命令信息以及签名信息进行数字签名验证;当通过所述数字签名验证后,所述存储设备开放所述访问设备的访问权限。由此可见,本发明将命令信息完整性,一次性,以及身份的验证功能放在存储设备中实现,可以有效地减少存储设备被破坏,增强存储设备的安全性。
本发明的一些实施例中,所述存储设备开放所述访问设备的访问权限之后,所述方法还包括:
所述存储设备确定所述访问设备的命令权限;
所述存储设备确定所述命令信息对应的操作是否在所述访问设备的命令权限内;
若所述命令信息对应的操作是否在所述访问设备的命令权限内,则所述存储设备执行所述命令信息对应的操作命令。
在本发明实施例的一些实施例中,当通过所述数字签名验证后,所述方法还包括:
所述存储设备对所述访问设备的命令权限进行配置。
在本发明的一些实施例中,所述存储设备对所述访问设备的命令权限包括以下可配置的命令权限:
所述存储设备对所述访问设备不可见;
所述存储设备对所述访问设备可见但不执行所述访问设备的任何命令;
所述存储设备对所述访问设备可见,但所述访问设备的每一种命令均需在所述访问设备的权限内才能执行;
所述存储设备对所述访问设备可见,但不执行所述访问设备的读写命令,只执行所述访问设备的管理命令;
所述存储设备对所述访问设备可见,但只执行所述访问设备的读命令,不执行所述访问设备的写命令及管理命令。
示意性的,举例说明,例如,在访问设备多用户的场景下,其中一个访问设备登陆时,存储设备基于数字签名验证进行用户权限管理,存储设备对非授权(未通过数字签名验证)用户(在操作系统级别)不可见。授权用户在通过数字签名验证后,可识别出与之对应的存储设备,并获得相应的访问(例如读写)权限。,比如每个人都看到一个D盘,但每个人的D盘都是自己独享的,并不是别人的D盘。
又例如,在多用户同时访问的场景下,根据用户权限控制不同用户对不同存储设备的访问,每个用户只有权限访问已授权的存储设备;当某个存储设备没有授权用户登录时,对用户并不可见。
需要说明的是,上述访问设备的权限在这里只是举例说明,但并不对本发明实施例造成限定,在实际应用中,可以根据实际应用情况进行配置。另外需要说明的是,上述可配置的命令可以是访问设备操作系统层面上的,也可以是访问设备硬件层面上的命令权限,具体此处不做限定。
在本发明的一些实施例中,若所述命令信息对应的操作未在所述访问设备的命令权限内,所述存储设备向所述访问设备返回错误指示。
在本发明的一些实施例中,存储设备会定期更新自身的配置信息,所述配置信息包括对已经通过数字签名验证的访问设备的记录信息,以及访问设备的命令权限等信息,具体此处不做限定。在本发明的一些实施例中,当访问设备通过数字签名验证后,存储设备更新自身的配置信息。例如,当操作系统重新扫描到该存储设备时,发现存储设备的配置信息的更新,则会相应的更新与该存储设备相关的参数。
本发明实施例中,提供了与上述权限访问管理方法相对应的存储设备以及访问设备,请参阅图3,图3为本发明实施例一种存储设备一个实施例结构示意图,包括:
接收模块201,用于接收访问设备发送的命令信息以及签名信息,其中,所述命令信息为所述访问设备触发所述存储设备执行对应操作的命令,所述签名信息为所述访问设备对所述命令信息进行数字签名后得到;
处理模块202,用于对所述命令信息以及签名信息进行数字签名验证;当通过所述数字签名验证后,开放所述访问设备的访问权限。
在一些可能的实现中,所述处理模块202还用于:
所述存储设备开放所述访问设备的访问权限之后,确定所述访问设备的权限;
确定所述命令信息对应的操作是否在所述访问设备的命令权限内;
若所述命令信息对应的操作是否在所述访问设备的命令权限内,则执行所述命令信息对应的操作命令。
在一些可能的实现中,所述处理模块202还用于:
当通过所述数字签名验证后,对所述访问设备的命令权限进行配置。
在一些可能的实现中,所述存储设备对所述访问设备的命令权限包括以下可配置的权限:
所述存储设备对所述访问设备不可见;
所述存储设备对所述访问设备可见但不执行所述访问设备的任何命令;
所述存储设备对所述访问设备可见,但所述访问设备的每一种命令均需在所述访问设备的权限内才能执行;
所述存储设备对所述访问设备可见,但不执行所述访问设备的读写命令,只执行所述访问设备的管理命令;
所述存储设备对所述访问设备可见,但只执行所述访问设备的读命令,不执行所述访问设备的写命令及管理命令。
在一些可能的实现中,所述处理模块202还用于:
若所述命令信息对应的操作未在所述访问设备的权限内,向所述访问设备返回错误指示。
在一些可能的实现中,所述处理模块202还用于:
开放所述访问设备的访问权限之后,确定所述访问设备的权限;
确定所述命令信息对应的操作是否在所述访问设备的权限内;
若所述命令信息对应的操作是否在所述访问设备的权限内,则执行所述命令信息对应的操作命令。
请参阅图4,图4为本发明实施例一种访问设备,所述访问设备包括:
处理模块301,用于生成命令信息,所述命令信息为触发存储设备执行对应操作的命令;对所述命令信息进行数字签名以得到签名信息;
发送模块302,用于向存储设备发送所述命令信息以及签名信息,以使得所述存储设备对所述命令信息以及签名信息进行数字签名验证,并当通过所述数字签名验证后,开放所述访问设备的访问权限。
由上述技术方案可以看出,本发明实施例提供了一种存储设备以及访问设备,存储设备接收访问设备发送的命令信息以及签名信息,其中,所述命令信息为所述访问设备触发所述存储设备执行对应操作的命令,所述签名信息为所述访问设备对所述命令信息进行数字签名后得到;所述存储设备对所述命令信息以及签名信息进行数字签名验证;当通过所述数字签名验证后,所述存储设备开放所述访问设备的访问权限。由此可见,本发明实施例将命令信息完整性,一次性,以及身份的验证功能放在存储设备中实现,可以有效地减少存储设备被破坏,增强存储设备的安全性。
应当说明的是,上述实施例中提供的存储设备或访问设备的所实现的功能或不走,和上述方法实施例中权限访问管理方法是基于相同的发明构思。因此,权限访问管理方法中各个具体实施例的步骤均可以由对应的访问设备或存储设备所执行,具体的功能也可以在上述权限访问管理方法中具有对应的方法步骤,在此不再赘述。
另外需要说明的是,本发明实施例还提供了一种计算机程序产品,该计算机程序产品被计算机设备执行时,可以实现本发明实施例中权限访问管理方法中访问设备或者存储设备的功能。
图5为本申请实施例提供的计算机设备的硬件结构示意图,该计算机设备可用于实现上述访问设备或存储设备的功能,该计算机设备包括:一个或多个处理器401以及存储器402。图5中以一个为例。其中,处理器401以及存储器402可以通过总线或者其他方式连接,图4中以通过总线连接为例。
存储器402作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,若计算机设备为存储设备,则可以存储上述存储设备的对应的程序指令/模块;若计算机设备为访问设备,则可以存储上述访问设备的对应的程序指令/模块;处理器401通过运行存储在存储器402中的非易失性软件程序、指令以及模块,从而执行访问设备或存储设备的各种功能应用以及数据处理,即实现上述方法实施例中访问设备或存储设备所实现的功能。
存储器402可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储访问设备或存储设备使用所获取的数据、命令等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器402可选包括相对于处理器401远程设置的存储器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述计算机设备可执行本申请实施例所提供的存储设备或访问设备所执行的方法,具备执行存储设备或访问设备功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请实施例所提供的权限访问管理方法,这里不重复赘述。
并且,以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
通过以上的实施方式的描述,本领域普通技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备、存储设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种权限访问管理方法,其特征在于,所述方法包括:
存储设备接收访问设备发送的命令信息以及签名信息,其中,所述命令信息为所述访问设备触发所述存储设备执行对应操作的命令,所述签名信息为所述访问设备对所述命令信息进行数字签名后得到的;
所述存储设备对所述命令信息以及签名信息进行数字签名验证;
当通过所述数字签名验证后,所述存储设备开放所述访问设备的访问权限。
2.根据权利要求1所述的方法,其特征在于,所述存储设备开放所述访问设备的访问权限之后,所述方法还包括:
所述存储设备确定所述访问设备的命令权限;
所述存储设备确定所述命令信息对应的操作是否在所述访问设备的命令权限内;
若所述命令信息对应的操作是否在所述访问设备的命令权限内,则所述存储设备执行所述命令信息对应的操作命令。
3.根据权利要求1或2所述的方法,其特征在于,当通过所述数字签名验证后,所述方法还包括:
所述存储设备对所述访问设备的命令权限进行配置。
4.根据权利要求3所述的方法,其特征在于,所述存储设备对所述访问设备的命令权限包括以下可配置的权限:
所述存储设备对所述访问设备不可见;
所述存储设备对所述访问设备可见但不执行所述访问设备的任何命令;
所述存储设备对所述访问设备可见,但所述访问设备的每一种命令均需在所述访问设备的权限内才能执行;
所述存储设备对所述访问设备可见,但不执行所述访问设备的读写命令,只执行所述访问设备的管理命令;
所述存储设备对所述访问设备可见,但只执行所述访问设备的读命令,不执行所述访问设备的写命令及管理命令。
5.根据权利要求2所述的方法,其特征在于,若所述命令信息对应的操作未在所述访问设备的命令权限内,所述存储设备向所述访问设备返回错误指示。
6.一种权限访问管理方法,其特征在于,所述方法包括:
访问设备生成命令信息,所述命令信息为触发存储设备执行对应操作的命令;
所述访问设备对所述命令信息进行数字签名以得到签名信息;
所述访问设备向存储设备发送所述命令信息以及签名信息,以使得所述存储设备对所述命令信息以及签名信息进行数字签名验证,并当通过所述数字签名验证后,开放所述访问设备的访问权限。
7.一种存储设备,其特征在于,所述存储设备包括:
接收模块,用于接收访问设备发送的命令信息以及签名信息,其中,所述命令信息为所述访问设备触发所述存储设备执行对应操作的命令,所述签名信息为所述访问设备对所述命令信息进行数字签名后得到;
处理模块,用于对所述命令信息以及签名信息进行数字签名验证;当通过所述数字签名验证后,开放所述访问设备的访问权限。
8.根据权利要求7所述的存储设备,其特征在于,所述处理模块还用于:
开放所述访问设备的访问权限之后,确定所述访问设备的命令权限;
确定所述命令信息对应的操作是否在所述访问设备的命令权限内;
若所述命令信息对应的操作是否在所述访问设备的命令权限内,则执行所述命令信息对应的操作命令。
9.一种访问设备,其特征在于,所述访问设备包括:
处理模块,用于生成命令信息,所述命令信息为触发存储设备执行对应操作的命令;并对所述命令信息进行数字签名以得到签名信息;
发送模块,用于向存储设备发送所述命令信息以及签名信息,以使得所述存储设备对所述命令信息以及签名信息进行数字签名验证,并当通过所述数字签名验证后,开放所述访问设备的访问权限。
10.一种计算机程序产品,其特征在于,所述计算机程序产品能实现执行权利要求1-6任一项方法所实现的功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810330392.6A CN108595987A (zh) | 2018-04-13 | 2018-04-13 | 权限访问管理方法以及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810330392.6A CN108595987A (zh) | 2018-04-13 | 2018-04-13 | 权限访问管理方法以及相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108595987A true CN108595987A (zh) | 2018-09-28 |
Family
ID=63622288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810330392.6A Pending CN108595987A (zh) | 2018-04-13 | 2018-04-13 | 权限访问管理方法以及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108595987A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111159097A (zh) * | 2019-12-09 | 2020-05-15 | 中山大学 | 一种片上访存保护系统及方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101789934A (zh) * | 2009-11-17 | 2010-07-28 | 北京飞天诚信科技有限公司 | 网上安全交易方法和系统 |
| CN101881997B (zh) * | 2009-05-04 | 2011-12-14 | 同方股份有限公司 | 一种可信安全移动存储装置 |
| CN102629403A (zh) * | 2012-03-14 | 2012-08-08 | 深圳市紫金支点技术股份有限公司 | 一种基于atm设备的u盘授权方法及系统 |
| CN105117963A (zh) * | 2007-12-21 | 2015-12-02 | 飞天诚信科技股份有限公司 | 基于数字签名的装置和方法 |
| CN106372541A (zh) * | 2016-08-22 | 2017-02-01 | 芜湖市振华戎科智能科技有限公司 | U盘安全加密管理方法 |
| CN106980800A (zh) * | 2017-03-29 | 2017-07-25 | 山东超越数控电子有限公司 | 一种加密固态硬盘认证分区的度量方法和系统 |
| CN107092838A (zh) * | 2017-03-30 | 2017-08-25 | 北京洋浦伟业科技发展有限公司 | 一种硬盘的安全访问控制方法及一种硬盘 |
| US9900159B2 (en) * | 2015-07-21 | 2018-02-20 | Micron Technology, Inc. | Solid state storage device with command and control access |
-
2018
- 2018-04-13 CN CN201810330392.6A patent/CN108595987A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105117963A (zh) * | 2007-12-21 | 2015-12-02 | 飞天诚信科技股份有限公司 | 基于数字签名的装置和方法 |
| CN101881997B (zh) * | 2009-05-04 | 2011-12-14 | 同方股份有限公司 | 一种可信安全移动存储装置 |
| CN101789934A (zh) * | 2009-11-17 | 2010-07-28 | 北京飞天诚信科技有限公司 | 网上安全交易方法和系统 |
| CN102629403A (zh) * | 2012-03-14 | 2012-08-08 | 深圳市紫金支点技术股份有限公司 | 一种基于atm设备的u盘授权方法及系统 |
| US9900159B2 (en) * | 2015-07-21 | 2018-02-20 | Micron Technology, Inc. | Solid state storage device with command and control access |
| CN106372541A (zh) * | 2016-08-22 | 2017-02-01 | 芜湖市振华戎科智能科技有限公司 | U盘安全加密管理方法 |
| CN106980800A (zh) * | 2017-03-29 | 2017-07-25 | 山东超越数控电子有限公司 | 一种加密固态硬盘认证分区的度量方法和系统 |
| CN107092838A (zh) * | 2017-03-30 | 2017-08-25 | 北京洋浦伟业科技发展有限公司 | 一种硬盘的安全访问控制方法及一种硬盘 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111159097A (zh) * | 2019-12-09 | 2020-05-15 | 中山大学 | 一种片上访存保护系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324146B (zh) | 对离线唯密文攻击的缓解 | |
| CN101488856B (zh) | 用于数字签名以及认证的系统及方法 | |
| US20170346851A1 (en) | Mutual authentication security system with detection and mitigation of active man-in-the-middle browser attacks, phishing, and malware and other security improvements. | |
| KR20190033580A (ko) | 블록체인 구현 방법 및 시스템 | |
| CN105117635B (zh) | 一种本地数据的安全保护系统和方法 | |
| CN108512848A (zh) | 防重放攻击的方法以及相关装置 | |
| Landwehr et al. | Privacy and cybersecurity: The next 100 years | |
| US10158613B1 (en) | Combined hidden dynamic random-access devices utilizing selectable keys and key locators for communicating randomized data together with sub-channels and coded encryption keys | |
| CN1322431C (zh) | 基于对称密钥加密保存和检索数据 | |
| CN109190401A (zh) | 一种Qemu虚拟可信根的数据存储方法、装置及相关组件 | |
| Nayak et al. | The InfoSec handbook: An introduction to information security | |
| Tøndel et al. | Threat modeling of AMI | |
| Cobb | Cryptography for dummies | |
| CN111008390A (zh) | 根密钥生成保护方法、装置、固态硬盘及存储介质 | |
| CN108737078A (zh) | 一种数据密码运算方法及数据密码服务器 | |
| CN108256351B (zh) | 文件处理方法和装置、存储介质及终端 | |
| CN109246148A (zh) | 报文处理方法、装置、系统、设备和计算机可读存储介质 | |
| CN108595987A (zh) | 权限访问管理方法以及相关装置 | |
| US10623384B2 (en) | Combined hidden dynamic random-access devices utilizing selectable keys and key locators for communicating randomized data together with sub-channels and coded encryption keys | |
| CN109302442A (zh) | 一种数据存储证明方法及相关设备 | |
| CN115567540A (zh) | 一种基于区块链技术的在线学习评价方法及系统 | |
| CN110391912B (zh) | 一种基于秘密共享机制的分布式评估决策方法及系统 | |
| CN103944726B (zh) | 操作请求处理系统 | |
| Richardson et al. | Secure software design | |
| Сальная | English for Information Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180928 |
|
| RJ01 | Rejection of invention patent application after publication |