CN112487380B - 一种数据交互方法、装置、设备及介质 - Google Patents
一种数据交互方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN112487380B CN112487380B CN202011488080.1A CN202011488080A CN112487380B CN 112487380 B CN112487380 B CN 112487380B CN 202011488080 A CN202011488080 A CN 202011488080A CN 112487380 B CN112487380 B CN 112487380B
- Authority
- CN
- China
- Prior art keywords
- data
- ssd
- host
- random number
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 103
- 230000003993 interaction Effects 0.000 title claims abstract description 91
- 238000012795 verification Methods 0.000 claims abstract description 16
- 238000004590 computer program Methods 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 abstract description 6
- 230000009286 beneficial effect Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 6
- 238000013478 data encryption standard Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000000342 Monte Carlo simulation Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Abstract
本申请公开了一种数据交互方法,包括:和SSD进行身份认证;若SSD和主机均通过对方的身份认证,则对主机和SSD各自所产生的随机数进行运算生成会话密钥;利用会话密钥对目标数据进行加密,得到目标加密数据,并利用目标加密数据和SSD进行数据交互。显然,相较于现有技术而言,因为本申请所提供SSD与主机的数据交互方法中,增加了主机和SSD的身份校验过程以及传输数据的加密过程,所以,利用该方法就可以显著提高主机在和SSD进行数据交互时的安全性。相应的,本申请所提供的一种数据交互装置、设备及介质,同样具有上述有益效果。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种数据交互方法、装置、设备及介质。
背景技术
SSD(Solid State Disk,固态硬盘)因其具有读写速度快、低功耗、无噪音等优点,从而在市场在得到了较为广泛的应用。但是,在现有技术中,SSD在和主机通过SATA(SerialAdvanced Technology Attachment,串行硬盘)协议进行数据交互时,一般都是通过明文进行数据交互,这样就会导致SSD和主机的信息交互过程存在极大的安全隐患。目前,针对这一技术问题,还没有较为有效的解决办法。
由此可见,如何提高主机在和SSD进行数据交互时的安全性,是本领域技术人员亟待解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种数据交互方法、装置、设备及介质,以提高主机在和SSD进行数据交互时的安全性。其具体方案如下:
一种数据交互方法,应用于主机,包括:
和SSD进行身份认证;
若所述SSD和所述主机均通过对方的身份认证,则对所述主机和所述SSD各自所产生的随机数进行运算生成会话密钥;
利用所述会话密钥对目标数据进行加密,得到目标加密数据,并利用所述目标加密数据和所述SSD进行数据交互。
优选的,所述和SSD进行身份认证的过程,包括:
生成第一随机数,并对所述第一随机数进行签名与加密,分别得到第一签名数据和第一加密数据;
将所述第一签名数据和所述第一加密数据发送至所述SSD;其中,当所述SSD接收到所述第一签名数据和所述第一加密数据时,则对所述第一加密数据进行解密,得到第一解密数据,并利用所述第一签名数据对所述第一解密数据进行验签,若验签成功,则判定所述主机通过所述SSD的身份认证,生成第二随机数,并对所述第二随机数进行签名与加密,分别得到第二签名数据和第二加密数据,将所述第二签名数据和所述第二加密数据发送至所述主机;
当接收到所述第二签名数据和所述第二加密数据时,则对所述第二加密数据进行解密,得到第二解密数据,并利用所述第二签名数据对所述第二解密数据进行验签,若验签成功,则判定所述SSD通过所述主机的身份认证;
相应的,所述对所述主机和所述SSD各自所产生的随机数进行运算生成会话密钥的过程,包括:
对所述第一随机数和所述第二随机数进行运算生成所述会话密钥。
优选的,所述生成第一随机数的过程,包括:
利用物理噪声源生成所述第一随机数。
优选的,还包括:
预先利用SM2算法生成相互配对的第一公钥和第一私钥,并将所述第一公钥发送至所述SSD;
获取所述SSD的第二公钥;其中,所述第二公钥为所述SSD利用所述SM2算法所生成相互配对第二私钥与所述第二公钥中的公钥。
优选的,所述对所述第一随机数进行签名与加密,分别得到第一签名数据和第一加密数据的过程,包括:
利用所述第一私钥对所述第一随机数进行签名,得到所述第一签名数据,并利用所述第二公钥对所述第一随机数进行加密,得到所述第一加密数据;
相应的,所述对所述第一加密数据进行解密,得到第一解密数据,并利用所述第一签名数据对所述第一解密数据进行验签的过程,包括:
利用所述第二私钥对所述第一加密数据进行解密,得到所述第一解密数据,并利用所述第一公钥和所述第一签名数据对所述第一解密数据进行验签。
优选的,所述利用所述第一私钥对所述第一随机数进行签名,得到所述第一签名数据的过程,包括:
对所述第一随机数进行哈希运算,得到目标哈希值;
基于所述SM2算法,利用所述第一私钥对所述目标哈希值进行签名,得到所述第一签名数据;
相应的,所述利用所述第一签名数据对所述第一解密数据进行验签的过程,包括:
计算与所述第一签名数据相对应的目标随机数;
基于所述SM2算法,利用所述第一公钥判断所述目标随机数是否与所述第一随机数一致;
若是,则验签成功。
优选的,还包括:
当所述SSD接收到所述目标加密数据时,则对所述目标加密数据进行解密,得到目标解密数据,并利用HMAC算法对所述目标解密数据的完整性进行校验。
相应的,本发明还公开了一种数据交互装置,应用于主机,包括:
身份认证模块,用于和SSD进行身份认证;
密钥生成模块,用于当所述SSD和所述主机均通过对方的身份认证,则对所述主机和所述SSD各自所产生的随机数进行运算生成会话密钥;
数据发送模块,用于利用所述会话密钥对目标数据进行加密,得到目标加密数据,并利用所述目标加密数据和所述SSD进行数据交互。
相应的,本发明还公开了一种数据交互设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如前述所公开的一种数据交互方法的步骤。
相应的,本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前述所公开的一种数据交互方法的步骤。
可见,在本发明所提供的数据交互方法中,主机首先是和SSD进行身份认证,如果SSD和主机均通过对方的身份认证,则对主机和SSD各自所产生的随机数进行运算生成会话密钥,并利用会话密钥对目标数据进行加密,得到目标加密数据,然后,再利用目标加密数据和SSD进行数据交互。显然,相较于现有技术而言,因为本发明所提供SSD与主机的数据交互方法中,增加了主机和SSD的身份校验过程以及传输数据的加密过程,所以,利用该方法就可以显著提高主机在和SSD进行数据交互时的安全性。相应的,本发明所提供的一种数据交互装置、设备及介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种数据交互方法的流程图;
图2为本发明实施例所提供的主机与SSD进行数据交互时的示意图;
图3为本发明实施例所提供的一种数据交互装置的结构图;
图4为本发明实施例所提供的一种数据交互设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参见图1,图1为本发明实施例所提供的一种数据交互方法的流程图,该数据交互方法包括:
步骤S11:和SSD进行身份认证;
步骤S12:若SSD和主机均通过对方的身份认证,则对主机和SSD各自所产生的随机数进行运算生成会话密钥;
步骤S13:利用会话密钥对目标数据进行加密,得到目标加密数据,并利用目标加密数据和SSD进行数据交互。
在本实施例中,是提供了一种数据交互方法,通过该数据交互方法可以显著提高SSD在和主机进行数据交互时的安全性。在该数据交互方法中,是以主机为执行主体进行说明。
当主机在向SSD发送目标数据时,主机和SSD首先是对对方的身份进行身份认证,也即,主机需要判断SSD的身份是否合法,SSD需要判断主机的身份是否合法。如果SSD和主机均通过对方的身份认证,则说明SSD和主机的身份均合法,在此情况下,主机和SSD则对各自所生成的随机数进行运算,生成会话密钥,然后,主机再利用会话密钥对目标数据进行加密,得到目标加密数据,并利用目标加密数据和SSD进行数据交互。其中,主机利用目标加密数据和SSD进行数据交互,既包括主机利用目标加密数据向SSD写入数据,也包括主机利用目标加密数据从SSD中读取数据。
具体的,在实际应用中,主机在和SSD进行身份认证时,可以是通过预先所设置好的口令进行身份认证,也即,主机在和SSD进行数据交互之前,主机和SSD事先以约定好的预设口令进行身份认证,如果主机在和SSD进行数据交互时,主机可以向SSD出示预设口令,并且,SSD也可以向主机出示预设口令,则说明主机和SSD的身份均合法;或者,主机在和SSD进行身份认证时,还可以是通过持有预先约定好的密钥对进行身份认证,也即,主机在和SSD进行数据交互时,如果SSD能够利用自己持有的密钥将主机所发送的加密数据进行解密,则说明主机能够通过SSD的身份认证,如果主机能够利用自己持有的密钥将SSD所发送的加密数据进行解密,则说明SSD能够通过主机的身份认证。当然,在实际应用中,还可以利用其它的身份认证方法来对主机和SSD的身份进行认证,此处不作具体赘述。
能够想到的是,因为利用主机和SSD各自所生成的随机数来生成会话密钥,相比于其它会话密钥的生成方法而言,具有更高的安全系数,所以,在本实施例中,是利用主机和SSD各自所生成的随机数来生成会话密钥。
可以理解的是,相较于现有技术而言,因为本实施例所提供SSD与主机的数据交互方法中,不仅增加了主机和SSD的身份校验过程,而且,主机还对向SSD所发送的目标数据进行了加密,所以,利用该方法就可以显著提高主机在和SSD进行数据交互时的安全性。
需要说明的是,本实施例所提供的数据交互方法,适用于主机在和SSD以任意一种通信连接方式进行数据交互时的应用场景。比如:主机在和SSD是以SATA或PCIe(Peripheral Component Interconnect express,高速串行计算机扩展总线标准)或AHCI(Advanced Host Controller Interface,高级主机控制器接口)或NVMe(Non-VolatileMemory Express,非易失性内存主机控制器接口规范)进行数据交互时,均可以利用本申请所提供的方法来进一步保证主机在和SSD进行数据交互时的安全性。
可见,在本实施例所提供的数据交互方法中,主机首先是和SSD进行身份认证,如果SSD和主机均通过对方的身份认证,则对主机和SSD各自所产生的随机数进行运算生成会话密钥,并利用会话密钥对目标数据进行加密,得到目标加密数据,然后,再利用目标加密数据和SSD进行数据交互。显然,相较于现有技术而言,因为本实施例所提供SSD与主机的数据交互方法中,增加了主机和SSD的身份校验过程以及传输数据的加密过程,所以,利用该方法就可以显著提高主机在和SSD进行数据交互时的安全性。
基于上述实施例,本实施例对技术方案作进一步的说明与优化,作为一种优选的实施方式,上述步骤:和SSD进行身份认证的过程,包括:
生成第一随机数,并对第一随机数进行签名与加密,分别得到第一签名数据和第一加密数据;
将第一签名数据和第一加密数据发送至SSD;
其中,当SSD接收到第一签名数据和第一加密数据时,则对第一加密数据进行解密,得到第一解密数据,并利用第一签名数据对第一解密数据进行验签,若验签成功,则判定主机通过SSD的身份认证,生成第二随机数,并对第二随机数进行签名与加密,分别得到第二签名数据和第二加密数据,将第二签名数据和第二加密数据发送至主机;
当接收到第二签名数据和第二加密数据时,则对第二加密数据进行解密,得到第二解密数据,并利用第二签名数据对第二解密数据进行验签,若验签成功,则判定SSD通过主机的身份认证;
相应的,对主机和SSD各自所产生的随机数进行运算生成会话密钥的过程,包括:
对第一随机数和第二随机数进行运算生成会话密钥。
具体的,在本实施例中,当主机和SSD进行数据交互时,首先是生成第一随机数,并对第一随机数进行签名与加密,分别得到第一签名数据和第一加密数据,并将第一签名数据和第一加密数据发送至SSD。其中,主机可以利用蒙特卡罗法、冯诺依曼算法或者是其它算法来生成第一随机数。
当SSD接收到主机所发送的第一签名数据和第一加密数据时,首先会对第一加密数据进行解密,得到第一解密数据,也即,第一随机数,并利用第一签名数据对第一解密数据进行验签,如果验签成功的话,说明主机的身份合法,此时,SSD就会生成第二随机数,并会对第二随机数进行签名与加密,分别得到第二签名数据和第二加密数据,然后,会将第二签名数据和第二加密数据发送至主机。
当主机接收到第二签名数据和第二加密数据时,主机首先会对第二加密数据进行解密,得到第二解密数据,也即,第二随机数,并利用第二签名数据对第二解密数据进行验签,如果主机利用第二签名数据对第二解密数据验签成功的话,则说明SSD的身份合法,在此情况下,主机就会利用第一随机数和第二随机数生成会话密钥,也即,在主机和SSD的身份都合法的情况下,主机会根据SSD所生成的第一随机数和自身所生成的第二随机数协商出一个对目标数据进行加密的会话密钥。之后,再利用协商出的会话密钥对目标数据进行加密,得到目标加密数据,并利用目标加密数据和SSD进行数据交互。
能够想到的是,相比于现有技术中SSD在和主机进行数据交互是通过明文进行传输而言,因为通过本实施例所提供的数据交互方法,增加了SSD和主机身份相互校验的过程,以及在SSD和主机身份相互校验之后共同协商会话密钥,并利用会话密钥对传输数据进行加密的过程,所以,通过该方法就可以避免非法分子伪造身份与SSD进行数据交互的现象,由此就可以显著提高主机在和SSD进行数据交互时的安全性。
基于上述实施例,本实施例对技术方案作进一步的说明与优化,作为一种优选的实施方式,上述步骤:生成第一随机数的过程,包括:
利用物理噪声源生成第一随机数。
在本实施例中,主机是利用物理噪声源来生成第一随机数,因为物理噪声源是自然界中所存在的一种物理熵源,相比于利用计算机算法来生成随机数而言,能够有效避免随机数在产生过程中所具有的周期性和可预测性问题,所以,当利用物理噪声源来产生第一随机数时,就可以保证第一随机数在生成过程中的可靠性。需要说明的是,在实际应用中,SSD也可以利用物理噪声源来生成第二随机数,其生成过程与第一随机数的生成方法一致,此处不作具体赘述。
基于上述实施例,本实施例对技术方案作进一步的说明与优化,作为一种优选的实施方式,上述数据交互方法还包括:
预先利用SM2算法生成相互配对的第一公钥和第一私钥,并将第一公钥发送至SSD;
获取SSD的第二公钥;
其中,第二公钥为SSD利用SM2算法所生成相互配对第二私钥与第二公钥中的公钥。
可以理解的是,因为主机在生成第一随机数之后,需要对第一随机数进行签名与加密,所以,在本实施例中,为了保证后续流程的成功运行,是提供了一种对第一随机数进行签名与加密的具体实施方法。
具体的,主机在对第一随机数进行签名与加密之前,首先是利用SM2算法生成相互配对的第一公钥与第一私钥,然后,再将第一公钥发送至SSD;同理,SSD也需要利用SM2算法来生成相互配对的第二公钥与第二私钥,之后,SSD再将第二公钥发送至主机。也即,主机在与SSD进行数据交互之前,主机持有第一私钥和SSD所发送的第二公钥,而SSD持有第二私钥与主机所发送的第一公钥。
显然,因为SM2算法具有密码复杂度高、处理速度快和机器能耗小的优点,所以,通过本实施例所提供的技术方案,就可以相对提高第一公钥和第一私钥在生成过程中的生成速率。
作为一种优选的实施方式,上述步骤:对第一随机数进行签名与加密,分别得到第一签名数据和第一加密数据的过程,包括:
利用第一私钥对第一随机数进行签名,得到第一签名数据,并利用第二公钥对第一随机数进行加密,得到第一加密数据;
相应的,对第一加密数据进行解密,得到第一解密数据,并利用第一签名数据对第一解密数据进行验签的过程,包括:
利用第二私钥对第一加密数据进行解密,得到第一解密数据,并利用第一公钥和第一签名数据对第一解密数据进行验签。
在本实施例中,当主机持有自身所生成的第一私钥与SSD所发送的第二公钥,SSD持有自身所生成的第二私钥与主机所发送的第一公钥之后,主机会利用第一私钥对第一随机数进行签名,得到第一签名数据,并利用SSD所发送的第二公钥对第一随机数进行加密,得到第一加密数据。
那么,SSD为了与主机对第一随机数进行签名与加密的过程相适应,当SSD接收到主机所发送的第一签名数据和第一加密数据时,SSD会利用自身所生成的第二私钥对第一加密数据进行解密,得到第一解密数据,并会利用主机所发送的第一公钥和第一签名数据对第一解密数据进行验签。也即,当SSD利用第二私钥对第一加密数据进行解密之后,会得到第一随机数,同时,SSD会利用第一公钥对第一签名数据进行解密,如果解密得到的目标字符与第一随机数一致,则说明SSD对主机的验签成功。
作为一种优选的实施方式,上述步骤:利用第一私钥对第一随机数进行签名,得到第一签名数据的过程,包括:
对第一随机数进行哈希运算,得到目标哈希值;
基于SM2算法,利用第一私钥对目标哈希值进行签名,得到第一签名数据;
相应的,利用第一签名数据对第一解密数据进行验签的过程,包括:
计算与第一签名数据相对应的目标随机数;
基于SM2算法,利用第一公钥判断目标随机数是否与第一随机数一致;
若是,则验签成功。
在本实施例中,为了进一步增加非法破译者的难度,还对第一随机数进行了哈希运算,将第一随机数转换为与其相对应的目标哈希值。能够想到的是,当对第一随机数进行了哈希运算之后,非法分子在没有获得相应密钥的情况下,很难推测出主机所生成的第一随机数具体是什么字符串,在此情况下,也就很难对主机所发送的目标数据进行篡改,这样就可以显著提高主机在与SSD在进行数据交互时的安全性。
当主机对第一随机数进行哈希运算,得到目标哈希值之后,主机是基于SM2算法,利用第一私钥对目标哈希值进行签名,得到第一签名数据。能够想到的是,因为SM2算法不仅具有较强的抗攻击性,而且,SM2算法还具有资源消耗量小、加密速度快的优点,所以,当基于SM2算法,并利用第一私钥对目标哈希值进行签名时,就可以进一步保证第一签名数据的安全性。
相应的,当SSD接收到主机所发送的第一签名数据和第一加密数据时,就会先利用第二私钥对第一加密数据进行解密,得到第一解密数据,也即,第一随机数,之后,再会计算与第一签名数据相对应的目标随机数,同时基于SM2算法,利用第一公钥对目标随机数进行解密,然后,判断解密之后的随机数是否与第一随机数一致,如果一致,则说明主机的身份合法,并对主机的验签完毕。
显然,通过本实施例所提供的技术方案,可以进一步增加非法分子对主机和SSD进行数据交互时的破译难度。
作为一种优选的实施方式,上述步骤:利用第一随机数和第二随机数生成会话密钥的过程,包括:
基于SM4-ECB算法,利用第一随机数对第二随机数进行加密,得到会话密钥。
在本实施例中,是提供了一种SSD和主机协商会话密钥的具体实现方法,也即,当主机获取得到第一随机数和第二随机数之后,主机和SSD会将第一随机数作为密钥对第二随机数进行SM4-ECB加密,从而得到会话密钥。可以理解的是,因为SM4算法不仅具有较强的加密可靠性,而且,SM4相比于同类加密算法而言,还具有实现简单的优点,所以,当利用SM4-ECB算法来获取会话密钥时,就可以相对降低会话密钥的获取难度。
或者,在实际应用中,还可以以其它方式来对第一随机数和第二随机数进行运算来得到会话密钥,比如:MD5(MD5 Message-Digest Algorithm,消息摘要)算法、哈希算法、DES(Data Encryption Standard,数据加密标准)算法等等,此处不作具体赘述。
基于上述实施例,本实施例对技术方案作进一步的说明与优化,作为一种优选的实施方式,上述数据交互方法还包括:
当SSD接收到目标加密数据时,则对目标加密数据进行解密,得到目标解密数据,并利用HMAC算法对目标解密数据的完整性进行校验。
在本实施例中,当SSD接收到主机所发送的目标加密数据时,会对目标加密数据进行解密,得到目标解密数据,并会利用HMAC(Hash-based Message Authentication Code,散列消息鉴别码)算法来对目标解密数据进行校验,如果目标解密数据通过HMAC算法的校验,则说明目标解密数据是完整的,没有发生缺失或丢包的现象;如果目标解密数据没有通过HMAC算法的校验,则说明目标解密数据不完整,其在传输过程中发生了丢包或遭到非法分子篡改的现象,在此情况下,SSD就可以拒绝对目标解密数据进行响应。
显然,通过本实施例所提供的技术方案,就可以进一步提高主机在和SSD进行数据交互时的安全性与可靠性。
基于上述实施例所公开的技术内容,本实施例通过一个应用场景实施例对其进行详细说明。请参见图2,图2为本发明实施例所提供的主机与SSD进行数据交互时的示意图。
主机在生产时会在芯片内部预置一个SM2的身份密钥对,也即,第一公钥与第一私钥,该身份密钥对为主机的身份信任根,同理,SSD也会预先存储一个有关SM2的身份密钥对,也即,第二公钥和第二私钥。之后,SSD和主机会对对方身份密钥的公钥进行互导,以获取得到对方身份密钥对中的公钥,也即,主机获取SSD所持有的第二公钥,SSD获取主机所持有的第一公钥。
当主机获取到SSD所持有的第二公钥,SSD获取得到主机所持有的第一公钥之后,主机首先会产生一个随机数randomA,并对randomA进行签名后,得到签名A,然后,使用第二公钥对随机数randomA和签名A进行加密,得到第一加密数据,并将第一加密数据发送给SSD,也即,主机会向SSD发送安全通道建立请求。
当SSD接收到主机所发送的第一加密数据时,会对第一加密数据进行解密,获取随机数randomA和签名之后的随机数randomA,并使用第一公钥对SSD所发送的签名数据进行验签,如果验签通过,SSD会保存随机数randomA。同时,SSD会生成随机数randomB,并使用第二私钥对随机数randomB进行签名,得到签名B,然后,使用第一公钥对随机数randomA、随机数randomB和签名B进行加密,得到第二加密数据,并将第二加密数据发送给主机,也即,SSD相当于是对SSD所发送的安全通道建立请求进行了响应。
当主机接收到SSD所发送的第二加密数据时,会对第二加密数据进行解密,并比较解密之后的随机数是否与随机数randomA一致,以及使用第二公钥对签名B进行验签,如果验签通过。主机和SSD会将随机数randomA作为密钥对随机数randomB进行SM4-ECB加密,并将得到的密文作为主机和SSD进行数据交互时的会话密钥S。之后,主机和SSD就会利用协商好的会话密钥S进行数据传输,也即,相当于是在主机和SSD之间建立了可靠传输数据的安全通道。
请参见表1和表2,表1为现有技术中SSD的Security Set Password命令在不经过安全通道时,SSD与主机进行数据传输时的密钥均为明文,表2为利用本发明所提供方法建立安全通道后,SSD的Security Set Password命令在经过安全通道与主机进行数据交互时均为密文。
表1
Command:
Data content:
| Word | Description |
| 0 | 00H |
| 1..16 | KEY(32bytes)---此时KEY为明文 |
| 17 | User Identifier |
| 18..255 | Reserved |
表2
Command:
Data content:
| Word | Description |
| 0 | 00H |
| 1..16 | KEY-ENC(32bytes)---此时为采用会话密钥加密后的密文 |
| 17 | User Identifier |
| 18..33 | KEY-HMAC(32bytes)---KEY的HMAC值 |
| 34..255 | Reserved |
显然,相较于现有技术而言,因为本实施例所提供SSD与主机的数据交互方法中,增加了主机和SSD的身份校验过程以及传输数据的加密过程,所以,利用该方法就可以显著提高主机在和SSD进行数据交互时的安全性。
请参见图3,图3为本发明实施例所提供的一种数据交互装置的结构图,该数据交互装置包括:
身份认证模块21,用于和SSD进行身份认证;
密钥生成模块22,用于当SSD和主机均通过对方的身份认证,则对主机和SSD各自所产生的随机数进行运算生成会话密钥;
数据发送模块23,用于利用会话密钥对目标数据进行加密,得到目标加密数据,并利用目标加密数据和SSD进行数据交互。
本发明实施例所提供的一种数据交互装置,具有前述所公开的一种数据交互方法所具有的有益效果。
请参见图4,图4为本发明实施例所提供的一种数据交互设备的结构图,该数据交互设备包括:
存储器31,用于存储计算机程序;
处理器32,用于执行计算机程序时实现如前述所公开的一种数据交互方法的步骤。
本发明实施例所提供的一种数据交互设备,具有前述所公开的一种数据交互方法所具有的有益效果。
相应的,本发明实施例还公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如前述所公开的一种数据交互方法的步骤。
本发明实施例所提供的一种计算机可读存储介质,具有前述所公开的一种数据交互方法所具有的有益效果。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种数据交互方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种数据交互方法,其特征在于,应用于主机,包括:
和SSD进行身份认证;
若所述SSD和所述主机均通过对方的身份认证,则对所述主机和所述SSD各自所产生的随机数进行运算生成会话密钥;
利用所述会话密钥对目标数据进行加密,得到目标加密数据,并利用所述目标加密数据和所述SSD进行数据交互;
其中,和SSD进行身份认证的过程,包括:
生成第一随机数,并对所述第一随机数进行签名与加密,分别得到第一签名数据和第一加密数据;
将所述第一签名数据和所述第一加密数据发送至所述SSD;其中,当所述SSD接收到所述第一签名数据和所述第一加密数据时,则对所述第一加密数据进行解密,得到第一解密数据,并利用所述第一签名数据对所述第一解密数据进行验签,若验签成功,则判定所述主机通过所述SSD的身份认证,生成第二随机数,并对所述第二随机数进行签名与加密,分别得到第二签名数据和第二加密数据,将所述第二签名数据和所述第二加密数据发送至所述主机;
当接收到所述第二签名数据和所述第二加密数据时,则对所述第二加密数据进行解密,得到第二解密数据,并利用所述第二签名数据对所述第二解密数据进行验签,若验签成功,则判定所述SSD通过所述主机的身份认证;
相应的,所述对所述主机和所述SSD各自所产生的随机数进行运算生成会话密钥的过程,包括:
对所述第一随机数和所述第二随机数进行运算生成所述会话密钥。
2.根据权利要求1所述的数据交互方法,其特征在于,所述生成第一随机数的过程,包括:
利用物理噪声源生成所述第一随机数。
3.根据权利要求1所述的数据交互方法,其特征在于,还包括:
预先利用SM2算法生成相互配对的第一公钥和第一私钥,并将所述第一公钥发送至所述SSD;
获取所述SSD的第二公钥;其中,所述第二公钥为所述SSD利用所述SM2算法所生成相互配对第二私钥与所述第二公钥中的公钥。
4.根据权利要求3所述的数据交互方法,其特征在于,所述对所述第一随机数进行签名与加密,分别得到第一签名数据和第一加密数据的过程,包括:
利用所述第一私钥对所述第一随机数进行签名,得到所述第一签名数据,并利用所述第二公钥对所述第一随机数进行加密,得到所述第一加密数据;
相应的,所述对所述第一加密数据进行解密,得到第一解密数据,并利用所述第一签名数据对所述第一解密数据进行验签的过程,包括:
利用所述第二私钥对所述第一加密数据进行解密,得到所述第一解密数据,并利用所述第一公钥和所述第一签名数据对所述第一解密数据进行验签。
5.根据权利要求4所述的数据交互方法,其特征在于,所述利用所述第一私钥对所述第一随机数进行签名,得到所述第一签名数据的过程,包括:
对所述第一随机数进行哈希运算,得到目标哈希值;
基于所述SM2算法,利用所述第一私钥对所述目标哈希值进行签名,得到所述第一签名数据;
相应的,所述利用所述第一签名数据对所述第一解密数据进行验签的过程,包括:
计算与所述第一签名数据相对应的目标随机数;
基于所述SM2算法,利用所述第一公钥判断所述目标随机数是否与所述第一随机数一致;
若是,则验签成功。
6.根据权利要求1至5任一项所述的数据交互方法,其特征在于,还包括:
当所述SSD接收到所述目标加密数据时,则对所述目标加密数据进行解密,得到目标解密数据,并利用HMAC算法对所述目标解密数据的完整性进行校验。
7.一种数据交互装置,其特征在于,应用于主机,包括:
身份认证模块,用于和SSD进行身份认证;
密钥生成模块,用于当所述SSD和所述主机均通过对方的身份认证,则对所述主机和所述SSD各自所产生的随机数进行运算生成会话密钥;
数据发送模块,用于利用所述会话密钥对目标数据进行加密,得到目标加密数据,并利用所述目标加密数据和所述SSD进行数据交互;
其中,所述身份认证模块,具体用于:
生成第一随机数,并对所述第一随机数进行签名与加密,分别得到第一签名数据和第一加密数据;
将所述第一签名数据和所述第一加密数据发送至所述SSD;其中,当所述SSD接收到所述第一签名数据和所述第一加密数据时,则对所述第一加密数据进行解密,得到第一解密数据,并利用所述第一签名数据对所述第一解密数据进行验签,若验签成功,则判定所述主机通过所述SSD的身份认证,生成第二随机数,并对所述第二随机数进行签名与加密,分别得到第二签名数据和第二加密数据,将所述第二签名数据和所述第二加密数据发送至所述主机;
当接收到所述第二签名数据和所述第二加密数据时,则对所述第二加密数据进行解密,得到第二解密数据,并利用所述第二签名数据对所述第二解密数据进行验签,若验签成功,则判定所述SSD通过所述主机的身份认证;
相应的,所述对所述主机和所述SSD各自所产生的随机数进行运算生成会话密钥的过程,包括:
对所述第一随机数和所述第二随机数进行运算生成所述会话密钥。
8.一种数据交互设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的一种数据交互方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的一种数据交互方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011488080.1A CN112487380B (zh) | 2020-12-16 | 2020-12-16 | 一种数据交互方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011488080.1A CN112487380B (zh) | 2020-12-16 | 2020-12-16 | 一种数据交互方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112487380A CN112487380A (zh) | 2021-03-12 |
| CN112487380B true CN112487380B (zh) | 2024-04-05 |
Family
ID=74917343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011488080.1A Active CN112487380B (zh) | 2020-12-16 | 2020-12-16 | 一种数据交互方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112487380B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG10202105796SA (en) * | 2021-06-01 | 2021-07-29 | Flexxon Pte Ltd | Module and method for authenticating data transfer between a storage device and a host device |
| CN114205070A (zh) * | 2021-12-09 | 2022-03-18 | 梅州康立高科技有限公司 | 一种试剂包数据处理方法、系统及存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588245A (zh) * | 2009-06-24 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种身份认证的方法、系统及存储设备 |
| WO2012148812A2 (en) * | 2011-04-29 | 2012-11-01 | Lsi Corporation | Encrypted transport solid-state disk controller |
| CN106027473A (zh) * | 2016-01-21 | 2016-10-12 | 李明 | 身份证读卡终端与云认证平台数据传输方法和系统 |
| CN106326754A (zh) * | 2016-08-23 | 2017-01-11 | 记忆科技(深圳)有限公司 | 一种基于pcie接口实现的数据传输加密装置 |
| CN106453330A (zh) * | 2016-10-18 | 2017-02-22 | 深圳市金立通信设备有限公司 | 一种身份认证的方法和系统 |
| CN106603234A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种设备身份认证的方法、装置和系统 |
| WO2018076365A1 (zh) * | 2016-10-31 | 2018-05-03 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| CN109005028A (zh) * | 2018-11-02 | 2018-12-14 | 美的集团股份有限公司 | 密钥协商方法、云服务器、设备、存储介质以及系统 |
| CN109714167A (zh) * | 2019-03-15 | 2019-05-03 | 北京邮电大学 | 适用于移动应用签名的身份认证与密钥协商方法及设备 |
| GB202015541D0 (en) * | 2020-09-30 | 2020-11-11 | Nchain Holdings Ltd | Authentication system and method |
| CN112084472A (zh) * | 2020-08-13 | 2020-12-15 | 杭州电子科技大学 | 一种多用户安全存储的实时动态认证方法 |
| CN112527205A (zh) * | 2020-12-16 | 2021-03-19 | 江苏国科微电子有限公司 | 一种数据安全防护方法、装置、设备及介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11017098B2 (en) * | 2018-06-28 | 2021-05-25 | Seagate Technology Llc | Collection of uncorrelated entropy during a power down sequence |
-
2020
- 2020-12-16 CN CN202011488080.1A patent/CN112487380B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588245A (zh) * | 2009-06-24 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种身份认证的方法、系统及存储设备 |
| WO2012148812A2 (en) * | 2011-04-29 | 2012-11-01 | Lsi Corporation | Encrypted transport solid-state disk controller |
| CN103620690A (zh) * | 2011-04-29 | 2014-03-05 | Lsi公司 | 加密传输固态盘控制器 |
| CN106603234A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种设备身份认证的方法、装置和系统 |
| CN106027473A (zh) * | 2016-01-21 | 2016-10-12 | 李明 | 身份证读卡终端与云认证平台数据传输方法和系统 |
| CN106326754A (zh) * | 2016-08-23 | 2017-01-11 | 记忆科技(深圳)有限公司 | 一种基于pcie接口实现的数据传输加密装置 |
| CN106453330A (zh) * | 2016-10-18 | 2017-02-22 | 深圳市金立通信设备有限公司 | 一种身份认证的方法和系统 |
| WO2018076365A1 (zh) * | 2016-10-31 | 2018-05-03 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| CN109005028A (zh) * | 2018-11-02 | 2018-12-14 | 美的集团股份有限公司 | 密钥协商方法、云服务器、设备、存储介质以及系统 |
| CN109714167A (zh) * | 2019-03-15 | 2019-05-03 | 北京邮电大学 | 适用于移动应用签名的身份认证与密钥协商方法及设备 |
| CN112084472A (zh) * | 2020-08-13 | 2020-12-15 | 杭州电子科技大学 | 一种多用户安全存储的实时动态认证方法 |
| GB202015541D0 (en) * | 2020-09-30 | 2020-11-11 | Nchain Holdings Ltd | Authentication system and method |
| CN112527205A (zh) * | 2020-12-16 | 2021-03-19 | 江苏国科微电子有限公司 | 一种数据安全防护方法、装置、设备及介质 |
Non-Patent Citations (3)
| Title |
|---|
| 刘超.一种基于远程销毁和身份认证技术的安全固态硬盘设计与实现.《中国优秀硕士学位论文全文数据库 信息科技辑》.2017,(第03期),I137-304. * |
| 刘静,黄菊,赖英旭,秦华,曾伟.基于区块链的日志安全存储方法研究.《计算机科学》.2020,(第S2期),388-395. * |
| 田洪亮,张勇,许信辉,李超,邢春晓.可信固态硬盘:大数据安全的新基础.《计算机学报》.2016,(第01期),154-168. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112487380A (zh) | 2021-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347835B (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
| WO2020087805A1 (zh) | 基于双密值和混沌加密的可信测控网络认证方法 | |
| CN109040067B (zh) | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 | |
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| WO2018076365A1 (zh) | 密钥协商方法及装置 | |
| WO2022021992A1 (zh) | 一种基于NB-IoT通信的数据传输方法、系统及介质 | |
| CN103152366B (zh) | 获得终端权限的方法、终端及服务器 | |
| CN109361520B (zh) | 基于登录序号的物联网设备动态加密方法 | |
| CN105790938A (zh) | 基于可信执行环境的安全单元密钥生成系统及方法 | |
| CN107920052B (zh) | 一种加密方法及智能装置 | |
| WO2015161689A1 (zh) | 一种基于协商密钥的数据处理方法 | |
| CN105391734A (zh) | 一种安全登录系统及方法、登录服务器和认证服务器 | |
| US20160182230A1 (en) | Secure token-based signature schemes using look-up tables | |
| CN111181723B (zh) | 物联网设备间离线安全认证的方法和装置 | |
| CN106506453B (zh) | 基于快速匹配和完整性检测的电力大数据传输方法及系统 | |
| WO2016054905A1 (zh) | 一种数据处理方法 | |
| CN112487380B (zh) | 一种数据交互方法、装置、设备及介质 | |
| CN111327629B (zh) | 身份验证方法、客户端和服务端 | |
| CN111541716A (zh) | 一种数据传输的方法和相关装置 | |
| CN114900304B (zh) | 数字签名方法和装置、电子设备和计算机可读存储介质 | |
| CN113572741A (zh) | 一种基于国密sm2-sm3-sm4算法实现数据的安全传输的方法 | |
| CN105281902A (zh) | 一种基于移动终端的Web系统安全登录方法 | |
| CN111884814B (zh) | 一种用于智能终端防伪造的方法和系统 | |
| CN114553416A (zh) | 一种对应用程序接口做签名验签的数据加密处理方法 | |
| CN102404337A (zh) | 数据加密方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |