发明内容
本申请提供了一种硬盘防伪的实现方法、硬盘及CA服务器,以保证硬盘可信。
本申请实施例提供了一种硬盘防伪的实现方法,包括:
在硬盘生产过程中,所述硬盘生成设备密钥;
所述硬盘将所述设备密钥中的公钥和硬盘信息传输至CA服务器;
所述硬盘获取所述CA服务器发送的防伪信息,所述防伪信息包括:授权生产密钥中的公钥以及根据所述设备密钥中的公钥和硬盘信息进行签名的数字证书;
所述硬盘保存所述防伪信息。
在一实施例中,所述硬盘的存储区包括可信数据存储区,所述硬盘在所述可信数据存储区生成并存储所述设备密钥,以及,在所述可信数据存储区保存所述防伪信息。
在一实施例中,所述硬盘信息包括所述硬盘的序列号。
在一实施例中,所述硬盘保存所述防伪信息之后,所述方法还包括:
所述硬盘接收所述CA服务器发送的鉴权请求,根据所述鉴权请求、设备密钥和防伪信息生成鉴权信息,发送至所述CA服务器,以证明所述硬盘可信。
在一实施例中,所述鉴权请求携带所述CA服务器生成的随机数,所述根据所述鉴权请求、设备密钥和防伪信息生成鉴权信息,发送至所述CA服务器,包括:
所述硬盘使用所述设备密钥中私钥对所述随机数进行签名,得到签名结果;
所述硬盘根据所述签名结果和所述防伪信息生成数字信封;
所述硬盘将所述数字信封发送至所述CA服务器。
本申请实施例还提供一种硬盘防伪的实现方法,包括:
在硬盘生产过程中,CA服务器获取所述硬盘生成的设备密钥中的公钥,以及所述硬盘的硬盘信息;
CA服务器使用授权生产密钥对所述硬盘信息和设备密钥中的公钥进行签名并制作成数字证书;
所述CA服务器向所述硬盘发送防伪信息,所述防伪信息包括:授权生产密钥中的公钥以及所述数字证书。
在一实施例中,所述CA服务器向所述硬盘发送防伪信息之后,所述方法还包括:
所述CA服务器向所述硬盘发送鉴权请求;
所述CA服务器获取所述硬盘发送的根据所述鉴权请求、设备密钥和防伪信息生成鉴权信息,根据所述鉴权信息进行鉴权,若鉴权通过,则确定所述硬盘可信。
在一实施例中,所述鉴权请求携带所述CA服务器生成的随机数,所述鉴权信息包括数字信封,所述数字信封根据所述防伪信息以及签名结果生成,所述签名结果根据所述设备密钥中私钥对所述随机数进行签名得到;所述根据所述鉴权信息进行鉴权,包括:
所述CA服务器使用所述授权生产密钥对所述数字证书进行验证,以及使用所述设备密钥中的公钥对所述签名结果进行验签,若验证和验签均通过,则鉴权通过。
本申请实施例还提供一种硬盘,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述硬盘防伪的实现方法。
本申请实施例还提供一种CA服务器,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述硬盘防伪的实现方法。
与相关技术相比,本申请包括:在硬盘生产过程中,所述硬盘生成设备密钥;所述硬盘将所述设备密钥中的公钥和硬盘信息传输至CA服务器;所述硬盘获取所述CA服务器发送的防伪信息,所述防伪信息包括:授权生产密钥中的公钥以及根据所述设备密钥中的公钥和硬盘信息进行签名的数字证书;所述硬盘保存所述防伪信息。本申请实施例中,硬盘生产时自身产生设备密钥,避免了密钥在传递过程中丢失和泄露,而且,采用数字证书进行可信认证不可修改,不可伪造,不可复制,安全性高,实用效果好。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的其他优点可通过在说明书、权利要求书以及附图中所描述的方案来实现和获得。
具体实施方式
本申请描述了多个实施例,但是该描述是示例性的,而不是限制性的,并且对于本领域的普通技术人员来说显而易见的是,在本申请所描述的实施例包含的范围内可以有更多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合,并在具体实施方式中进行了讨论,但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情况以外,任何实施例的任何特征或元件可以与任何其它实施例中的任何其他特征或元件结合使用,或可以替代任何其它实施例中的任何其他特征或元件。
本申请包括并设想了与本领域普通技术人员已知的特征和元件的组合。本申请已经公开的实施例、特征和元件也可以与任何常规特征或元件组合,以形成由权利要求限定的独特的发明方案。任何实施例的任何特征或元件也可以与来自其它发明方案的特征或元件组合,以形成另一个由权利要求限定的独特的发明方案。因此,应当理解,在本申请中示出和/或讨论的任何特征可以单独地或以任何适当的组合来实现。因此,除了根据所附权利要求及其等同替换所做的限制以外,实施例不受其它限制。此外,可以在所附权利要求的保护范围内进行各种修改和改变。
此外,在描述具有代表性的实施例时,说明书可能已经将方法和/或过程呈现为特定的步骤序列。然而,在该方法或过程不依赖于本文所述步骤的特定顺序的程度上,该方法或过程不应限于所述的特定顺序的步骤。如本领域普通技术人员将理解的,其它的步骤顺序也是可能的。因此,说明书中阐述的步骤的特定顺序不应被解释为对权利要求的限制。此外,针对该方法和/或过程的权利要求不应限于按照所写顺序执行它们的步骤,本领域技术人员可以容易地理解,这些顺序可以变化,并且仍然保持在本申请实施例的精神和范围内。
本申请实施例通过在生产中硬盘生成密钥以及向硬盘中写入数字证书的方法,来保证硬盘可信,不会被替换和伪造。本申请实施例的硬盘由于可被查询真伪,故可称为可信硬盘。
如图1所示,本申请实施例的硬盘防伪的实现方法,包括:
步骤101,在硬盘生产过程中,所述硬盘生成设备密钥。
其中,所述硬盘可以是固态硬盘。所述设备密钥可以包括非对称密钥对,例如RSA密钥对或SM2密钥对。
所述硬盘的存储区可以包括可信数据存储区和通用数据存储区,其中,可信数据存储区可以用于生成和存储用于防伪的数据,对用户不可见,以保证防伪数据的安全性。通用数据存储区可以用于存储用户数据。
在一实施例中,所述硬盘在所述可信数据存储区生成并存储所述设备密钥。
步骤102,所述硬盘将所述设备密钥中的公钥和硬盘信息传输至CA服务器。
所述硬盘信息可以包括所述硬盘的序列号。
所述硬盘可以通过与所述硬盘相连的客户端与CA服务器通讯。在生产过程中,所述客户端可以是指生产载具。
本步骤中,所述硬盘可以将所述设备密钥中的公钥导出给生产载具,所述生产载具将所述设备密钥中的公钥和硬盘信息传输至CA服务器。
步骤103,CA服务器使用授权生产密钥对所述硬盘信息和设备密钥中的公钥进行签名并制作成数字证书。
其中,授权生产密钥可以包括非对称密钥对,CA服务器使用授权生产密钥中的私钥对所述硬盘信息和设备密钥中的公钥进行签名。
步骤104,所述CA服务器向所述硬盘发送防伪信息,所述防伪信息包括:授权生产密钥中的公钥以及所述数字证书。
其中,所述CA服务器通过生产载具向所述硬盘发送防伪信息。
步骤105,所述硬盘获取并保存所述CA服务器发送的防伪信息。
其中,所述硬盘可以在所述可信数据存储区保存所述防伪信息。
如果需要对硬盘进行可信查询,如图2所示,所述方法还可包括:
步骤201,所述CA服务器向所述硬盘发送鉴权请求。
在一实施例中,所述CA服务器生成随机数,所述鉴权请求携带所述随机数。
所述CA服务器通过与所述硬盘相连的客户端向所述硬盘发送鉴权请求。
步骤202,所述硬盘根据所述鉴权请求、设备密钥和防伪信息生成鉴权信息,发送至所述CA服务器。
如图3所示,步骤202可以包括:
步骤301,所述硬盘使用所述设备密钥中私钥对所述随机数进行签名,得到签名结果。
步骤302,所述硬盘根据所述签名结果和所述防伪信息生成数字信封。
数字信封是指签名结果、防伪信息(包括授权生产密钥中的公钥以及数字证书),以及签名原文组成的一种格式。
步骤303,所述硬盘将所述数字信封发送至所述CA服务器。
其中,所述硬盘通过客户端将所述数字信封发送至所述CA服务器。
步骤203,所述CA服务器根据所述鉴权信息进行鉴权,若鉴权通过,则确定所述硬盘可信。
在一实施例中,所述CA服务器使用所述授权生产密钥对所述数字证书进行验证,若验证通过,则使用所述设备密钥中的公钥对所述签名结果进行验签,若验签通过,则鉴权通过,确定所述硬盘可信。
其中,所述CA服务器使用自身存储的授权生产密钥中的公钥与接收到的防伪信息中的公钥进行比对,若不一致则确定所述硬盘不可信;若一致,则使用所述授权生产密钥中的公钥对所述数字证书进行验证。
当验证不通过或验签不通过,则表示所述硬盘不可信。
本申请实施例中,硬盘生产时自身产生设备密钥,避免了密钥在传递过程中丢失和泄露,而且,采用数字证书进行可信认证不可修改,不可伪造,不可复制,安全性高,实用效果好。另外,硬盘采用可信数据存储区保存内部生成的设备密钥以及数字证书,保证了设备密钥和数字证书的安全。
下面分别针对硬盘和CA服务器进行阐述。
如图4所示,本申请实施例提供一种硬盘防伪的实现方法,应用于硬盘,包括:
步骤401,在硬盘生产过程中,所述硬盘生成设备密钥。
其中,所述硬盘可以是固态硬盘。所述设备密钥可以包括非对称密钥对,例如RSA密钥对或SM2密钥对。
所述硬盘的存储区可以包括可信数据存储区和通用数据存储区,其中,可信数据存储区可以用于生成和存储用于防伪的数据。通用数据存储区可以用于存储用户数据。
在一实施例中,所述硬盘在所述可信数据存储区生成并存储所述设备密钥。
步骤402,所述硬盘将所述设备密钥中的公钥和硬盘信息传输至CA服务器。
所述硬盘信息可以包括所述硬盘的序列号。
所述硬盘可以通过与所述硬盘相连的客户端与CA服务器通讯。在生产过程中,所述客户端可以是指生产载具。
本步骤中,所述硬盘可以将所述设备密钥中的公钥导出给生产载具,所述生产载具将所述设备密钥中的公钥和硬盘信息传输至CA服务器。
步骤403,所述硬盘获取所述CA服务器发送的防伪信息,所述防伪信息包括:授权生产密钥中的公钥以及根据所述设备密钥中的公钥和硬盘信息进行签名的数字证书。
其中,所述硬盘可以通过生产载具从所述CA服务器获取防伪信息。
步骤404,所述硬盘保存所述防伪信息。
其中,所述硬盘可以在所述可信数据存储区保存所述防伪信息。
如果需要对硬盘进行可信查询,在一实施例中,所述方法还包括:
所述硬盘接收所述CA服务器发送的鉴权请求,根据所述鉴权请求、设备密钥和防伪信息生成鉴权信息,发送至所述CA服务器,以证明所述硬盘可信。
参照图3,在一实施例中,所述鉴权请求携带所述CA服务器生成的随机数,所述硬盘根据所述鉴权请求、设备密钥和防伪信息生成鉴权信息,发送至所述CA服务器,包括:
步骤301,所述硬盘使用所述设备密钥中私钥对所述随机数进行签名,得到签名结果。
步骤302,所述硬盘根据所述签名结果和所述防伪信息生成数字信封。
数字信封是指签名结果、防伪信息(包括授权生产密钥中的公钥以及数字证书),以及签名原文组成的一种格式。
步骤303,所述硬盘将所述数字信封发送至所述CA服务器。
其中,所述硬盘通过客户端将所述数字信封发送至所述CA服务器。
本申请实施例中,硬盘生产时自身产生设备密钥,避免了密钥在传递过程中丢失和泄露,而且,采用数字证书进行可信认证不可修改,不可伪造,不可复制,安全性高,实用效果好。另外,硬盘采用可信数据存储区保存内部生成的设备密钥以及数字证书,保证了设备密钥和数字证书的安全。
如图5所示,本申请实施例提供一种硬盘防伪的实现方法,应用于CA服务器,包括:
步骤501,在硬盘生产过程中,CA服务器获取所述硬盘生成的设备密钥中的公钥,以及所述硬盘的硬盘信息。
所述硬盘信息可以包括所述硬盘的序列号。
所述CA服务器可以通过与所述硬盘相连的客户端与硬盘通讯。在生产过程中,所述客户端可以是指生产载具。
步骤502,CA服务器使用授权生产密钥对所述硬盘信息和设备密钥中的公钥进行签名并制作成数字证书。
其中,授权生产密钥可以包括非对称密钥对,CA服务器使用授权生产密钥中的私钥对所述硬盘信息和设备密钥中的公钥进行签名。
步骤503,所述CA服务器向所述硬盘发送防伪信息,所述防伪信息包括:授权生产密钥中的公钥以及所述数字证书。
其中,所述CA服务器通过生产载具向所述硬盘发送防伪信息。
如果需要对硬盘进行可信查询,如图6所示,所述方法还可包括:
步骤601,所述CA服务器向所述硬盘发送鉴权请求。
在一实施例中,所述CA服务器生成随机数,所述鉴权请求携带所述随机数。
所述CA服务器通过与所述硬盘相连的客户端向所述硬盘发送鉴权请求。
步骤602,所述CA服务器获取所述硬盘发送的根据所述鉴权请求、设备密钥和防伪信息生成鉴权信息,根据所述鉴权信息进行鉴权,若鉴权通过,则确定所述硬盘可信。
在一实施例中,所述鉴权信息包括数字信封,所述数字信封根据所述防伪信息以及签名结果生成,所述签名结果根据所述设备密钥中私钥对所述随机数进行签名得到;所述CA服务器使用所述授权生产密钥对所述数字证书进行验证,以及使用所述设备密钥中的公钥对所述签名结果进行验签,若验证和验签均通过,则鉴权通过。
其中,所述CA服务器使用自身存储的授权生产密钥中的公钥与接收到的防伪信息中的公钥进行比对,若不一致则确定所述硬盘不可信;若一致,则使用所述授权生产密钥中的公钥对所述数字证书进行验证。
当验证不通过或验签不通过,则表示所述硬盘不可信。
本申请实施例中,采用数字证书进行可信认证不可修改,不可伪造,不可复制,安全性高,实用效果好。
下面以一个应用实例进行说明。
参照图7,可信硬盘的生产过程包括:
1、可信硬盘在可信数据存储区生成并存储非对称密钥对K1(RSA密钥对或SM2密钥对)。
2、可信硬盘将K1中的公钥K1Pub导出给生产载具。
3、生产载具将K1Pub以及硬盘序列号传输给CA服务器。
4、CA服务器使用授权生产密钥M1对硬盘序列号和K1Pub进行签名并制作证书C1。
5、CA服务器将证书C1,授权生产密钥M1的公钥M1Pub下发给可信硬盘。
6、可信硬盘保存C1证书和M1Pub保存在可信数据存储区。
至此,可信硬盘生产完成。
出库时,可对硬盘进行防伪验证,包括如下步骤:
1、CA服务器生成随机数R1,将R1下发给硬盘。
2、硬盘使用K1对R1进行签名,得到签名结果S1,然后将S1,C1和M1Pub包装成数字信封P1。
3、硬盘将P1返回给CA服务器。
4、CA服务器收到P1后,使用本地保存的M1Pub与P1中的M1Pub对比,若一致,则使用该M1Pub对C1进行验证。若不一致或验证失败则显示硬盘不可信。
5、验证成功则使用C1中的公钥对S1进行验签,验签失败则显示硬盘不可信。
6、验签成功则硬盘可信验证完成,硬盘可信。
除了出库时对硬盘进行防伪验证,则实际应用时,也可以采用上述方法对可信硬盘进行验证。
本申请实施例还提供一种硬盘,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述硬盘防伪的实现方法。
本申请实施例还提供一种CA服务器,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述硬盘防伪的实现方法。
本申请实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行所述硬盘防伪的实现方法。
在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。