CN113536278A - 存储装置的鉴权方法及存储装置、鉴权端 - Google Patents

存储装置的鉴权方法及存储装置、鉴权端 Download PDF

Info

Publication number
CN113536278A
CN113536278A CN202010314089.4A CN202010314089A CN113536278A CN 113536278 A CN113536278 A CN 113536278A CN 202010314089 A CN202010314089 A CN 202010314089A CN 113536278 A CN113536278 A CN 113536278A
Authority
CN
China
Prior art keywords
information
verification
authentication
storage device
verification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010314089.4A
Other languages
English (en)
Other versions
CN113536278B (zh
Inventor
覃敏
钟孟辰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Longsys Electronics Co Ltd
Original Assignee
Shenzhen Longsys Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Longsys Electronics Co Ltd filed Critical Shenzhen Longsys Electronics Co Ltd
Priority to CN202010314089.4A priority Critical patent/CN113536278B/zh
Publication of CN113536278A publication Critical patent/CN113536278A/zh
Application granted granted Critical
Publication of CN113536278B publication Critical patent/CN113536278B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了存储装置的鉴权方法及存储装置、鉴权端,该方法包括:存储装置向鉴权端发送第一验证信息,以使鉴权端生成第二验证信息,并反馈第一验证信息和第二验证信息;对反馈的第一验证信息进行第一验证;在第一验证通过后,将反馈的第二验证信息发送给鉴权端,以使鉴权端对第二验证信息进行第二验证,并在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并反馈至存储装置;对鉴权信息进行解密,以利用鉴权信息对存储装置中存储的数据进行加密或解密。通过上述方式,将存储装置与鉴权端单独设置,避免一体化,解决了现有技术中一体设置时容易被破解的问题,提高了数据存储的安全性。

Description

存储装置的鉴权方法及存储装置、鉴权端
技术领域
本申请涉及数据存储与数据安全领域,特别是涉及一种存储装置的鉴权方法及存储装置、鉴权端。
背景技术
传统的加密移动硬盘,无论是采用密码键盘、指纹加密,或者PC(PersonalComputer,个人计算机)登录的方式,表面上看都需要验证用户身份后,才能访问加密的存储空间,实际上都存在着各种程度上的安全隐患。例如密码键盘,存在着密码容易泄露,一旦被窥视,数据不再安全;又例如指纹加密,存在着指纹可能被复制,或者指纹存在概率上误识别的可能,无法胜任极端的安全要求;又例如PC登录的方式,存在登录密码容易被病毒软件拦截,钩子拦截,USB(Universal Serial Bus,通用串行总线)数据伪造等风险。
发明内容
为了解决上述问题,本申请提供一种存储装置的鉴权方法及存储装置、鉴权端,将存储装置与鉴权端单独设置,避免一体化,解决了现有技术中一体设置时容易被破解的问题,通过存储装置与鉴权端的双向验证,保证存储装置与鉴权端的匹配。并且存储装置与鉴权端形成的通信通道使鉴权信息的传输更加安全可靠不可伪造,提高了数据存储的安全性。
本申请采用的一种技术方案是提供一种存储装置的鉴权方法,该存储装置的鉴权信息存储于鉴权端,该方法包括:存储装置向鉴权端发送第一验证信息,以使鉴权端生成第二验证信息,并反馈第一验证信息和第二验证信息;对反馈的第一验证信息进行第一验证;在第一验证通过后,将反馈的第二验证信息发送给鉴权端,以使鉴权端对第二验证信息进行第二验证,并在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并反馈至存储装置;对鉴权信息进行解密,以利用鉴权信息对存储装置中存储的数据进行加密或解密。
其中,存储装置向鉴权端发送第一验证信息,以使鉴权端生成第二验证信息,并反馈第一验证信息和第二验证信息,包括:存储装置利用公钥对第一验证信息进行加密形成第一加密信息;向鉴权端发送第一加密信息,以使鉴权端利用与公钥对应的私钥解密得到第一验证信息,并生成第二验证信息,利用私钥对第一验证信息和第二验证信息进行加密得到第二加密信息,并反馈第二加密信息。
其中,存储装置利用公钥对第一验证信息进行加密形成第一加密信息,包括:存储装置利用公钥对身份信息和第一验证信息进行加密形成第一加密信息;向鉴权端发送第一加密信息,以使鉴权端利用与公钥对应的私钥解密得到第一验证信息,并生成第二验证信息,利用私钥对第一验证信息和第二验证信息进行加密得到第二加密信息,并反馈第二加密信息,包括:向鉴权端发送第一加密信息,以使鉴权端利用与公钥对应的私钥解密得到身份信息和第一验证信息,并在对身份信息验证通过后,生成第二验证信息,利用私钥对第一验证信息和第二验证信息进行加密得到第二加密信息,并反馈第二加密信息。
其中,第一验证信息包括第一随机数和第二随机数,第二验证信息包括第三随机数;向鉴权端发送第一加密信息,以使鉴权端利用与公钥对应的私钥解密得到第一验证信息,并生成第二验证信息,利用私钥对第一验证信息和第二验证信息进行加密得到第二加密信息,并反馈第二加密信息,包括:向鉴权端发送第一加密信息,以使鉴权端利用与公钥对应的私钥解密得到第一随机数和第二随机数,并生成第三随机数,利用私钥对第一随机数和第三随机数进行加密得到第二加密信息,并反馈第二加密信息。
其中,对反馈的第一验证信息进行第一验证,包括:利用公钥对第二加密信息进行解密得到第一随机数和第三随机数;对第一随机数进行第一验证。
其中,在第一验证通过后,将反馈的第二验证信息发送给鉴权端,以使鉴权端对第二验证信息进行第二验证,并在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并反馈至存储装置,包括:在第一验证通过后,利用公钥对第三随机数加密得到第三加密信息,并发送给鉴权端,以使鉴权端对第三加密信息解密得到第三随机数并进行第二验证,并在第二验证通过后,利用第二随机数对鉴权信息进行加密得到第四加密信息,并反馈至存储装置。
其中,对鉴权信息进行解密,以利用鉴权信息对存储装置中存储的数据进行加密或解密,包括:利用第二随机数对第四加密信息解密得到鉴权信息;利用鉴权信息对存储装置中存储的数据进行加密或解密。
本申请采用的另一种技术方案是提供一种存储装置的鉴权方法,该存储装置的鉴权信息存储于鉴权端,该方法包括:鉴权端获取存储装置发送的第一验证信息,基于第一验证信息生成第二验证信息;向存储装置发送第一验证信息和第二验证信息,以使存储装置对第一验证信息进行第一验证,在第一验证通过后,反馈第二验证信息;对第二验证信息进行第二验证;在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并发送至存储装置,以使存储装置对鉴权信息进行解密,并利用鉴权信息对存储装置中存储的数据进行加密或解密。
其中,鉴权端获取存储装置发送的第一验证信息,基于第一验证信息生成第二验证信息,包括:鉴权端获取存储装置发送的第一加密信息,其中,第一加密信息为存储装置利用公钥对第一验证信息加密形成的;利用与公钥对应的私钥解密得到第一验证信息,并生成第二验证信息;利用私钥对第一验证信息和第二验证信息进行加密得到第二加密信息。
其中,第一加密信息为存储装置利用公钥对身份信息和第一验证信息进行加密形成的;利用与公钥对应的私钥解密得到第一验证信息,并生成第二验证信息,包括:利用与公钥对应的私钥解密得到身份信息和第一验证信息,并在对身份信息验证通过后,生成第二验证信息。
其中,第一验证信息包括第一随机数和第二随机数,第二验证信息包括第三随机数;利用与公钥对应的私钥解密得到第一验证信息,并生成第二验证信息,包括:利用与公钥对应的私钥解密得到第一随机数和第二随机数,并生成第三随机数;利用私钥对第一验证信息和第二验证信息进行加密得到第二加密信息,包括:利用私钥对第一随机数和第三随机数进行加密得到第二加密信息。
其中,向存储装置发送第一验证信息和第二验证信息,以使存储装置对第一验证信息进行第一验证,在第一验证通过后,反馈第二验证信息,包括:向存储装置发送第二加密信息,以使存储装置利用公钥对第二加密信息进行解密得到第一随机数和第三随机数,并对第一随机数进行第一验证,在第一验证通过后,利用公钥对第三随机数加密得到第三加密信息,并反馈第三加密信息。
其中,对第二验证信息进行第二验证,包括:利用私钥对第三加密信息进行解密得到第三随机数;对第三随机数进行第二验证。
其中,在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并发送至存储装置,以使存储装置对鉴权信息进行解密,并利用鉴权信息对存储装置中存储的数据进行加密或解密,包括:在第二验证通过后,利用第二随机数对鉴权信息进行加密得到第四加密信息,并发送至存储装置,以使存储装置利用第二随机数对第四加密信息进行解密得到鉴权信息,并利用鉴权信息对存储装置中存储的数据进行加密或解密。
本申请采用的另一种技术方案是提供一种存储装置,该存储装置包括处理器以及与处理器连接的存储器和通信模组;通信模组用于与鉴权端进行数据通信,存储器用于存储数据,处理器用于按照上述存储装置的鉴权方法对存储器中的数据进行加密或解密。
本申请采用的另一种技术方案是提供一种鉴权端,该鉴权端包括处理器以及与处理器连接的存储器和通信模组;通信模组用于与存储装置进行数据通信,存储器用于存储程序数据,处理器用于执行程序数据,以实现上述存储装置的鉴权方法。
本申请的有益效果是:区别于现有技术的情况,本申请的一种存储装置的鉴权方法,该存储装置的鉴权信息存储于鉴权端,该方法包括:存储装置向鉴权端发送第一验证信息,以使鉴权端生成第二验证信息,并反馈第一验证信息和第二验证信息;对反馈的第一验证信息进行第一验证;在第一验证通过后,将反馈的第二验证信息发送给鉴权端,以使鉴权端对第二验证信息进行第二验证,并在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并反馈至存储装置;对鉴权信息进行解密,以利用鉴权信息对存储装置中存储的数据进行加密或解密。通过上述方式,将存储装置与鉴权端单独设置,避免一体化,解决了现有技术中一体设置时容易被破解的问题,通过存储装置与鉴权端的双向验证,保证存储装置与鉴权端的匹配。并且存储装置与鉴权端形成的通信通道使鉴权信息的传输更加安全可靠不可伪造,提高了数据存储的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。其中:
图1是本申请提供的存储装置的鉴权方法第一实施例的流程示意图;
图2是本申请提供的存储装置与鉴权端的交互示意图;
图3是本申请提供的存储装置的鉴权方法第二实施例的流程示意图;
图4是本申请提供的存储装置的鉴权方法第三实施例的流程示意图;
图5是本申请提供的存储装置的鉴权方法第四实施例的流程示意图;
图6是本申请提供的存储装置一实施例的结构示意图;
图7是本申请提供的存储装置另一实施例的结构示意图;
图8为前壳体的结构示意图;
图9为电路板的结构示意图;
图10为硬盘的结构示意图;
图11为按照图7组装后的存储装置的结构示意图;
图12是本申请提供的鉴权端一实施例的结构示意图;
图13是本申请提供的鉴权端另一实施例的结构示意图;
图14为外壳的结构示意图;
图15为按照图12组装后的鉴权端的透视结构示意图;
图16是本申请提供的加密存储设备一实施例的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。可以理解的是,此处所描述的具体实施例仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部结构。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
参阅图1,图1是本申请提供的存储装置的鉴权方法第一实施例的流程示意图,该方法包括:
步骤11:存储装置向鉴权端发送第一验证信息,以使鉴权端生成第二验证信息,并反馈第一验证信息和第二验证信息。
在一些实施例中,存储装置可以是移动硬盘,也可以是利用硬盘盒结合普通硬盘形成。
在一些实施例中,存储装置和鉴权端上均设置有通信模组,利用通信模组之间连接以进行数据通信。通信连接的方式可以是蓝牙通信、RFID(Radio FrequencyIdentification,射频识别)。当存储装置与鉴权端之间的距离小于预设距离时,存储装置与鉴权端进行数据通信。如预设距离为0cm、0.5cm、1cm、10cm、50cm、100cm等。
进一步,存储装置上设置有第一通信接口,鉴权端有第二通信接口,第一通信接口与第二通信接口电连接。例如,鉴权端的第二通信接口直接插设于存储装置的第一通信接口上,以完成电连接;鉴权端的第二通信接口插设于数据线的一端,数据线的另一端插设于存储装置的第一通信接口上,以完成电连接。其中,当鉴权端拔出时,鉴权端与存储装置的通信连接断开。
其中,第一通信接口可以USB接口、TF卡接口、雷电接口,鉴权端的第二通信接口与第一通信接口相对应。
在一些实施例中,第一验证信息包括存储装置的序列号或者UID(UserIdentification,用户身份证明)。在存储装置与鉴权端通信连接时,存储装置向鉴权端发送第一验证信息以使鉴权端验证存储装置的序列号或者UID是否正确,若正确则生成第二验证信息,并反馈第一验证信息和第二验证信息。其中,第二验证信息包括鉴权端的序列号或者UID。
步骤12:对反馈的第一验证信息进行第一验证。
在一些实施例中,反馈的第一验证信息在传输过程中有可能被篡改,如在存储装置发送给鉴权端第一验证信息时,第一验证信息被其余恶意设备截获,并由恶意设备对存储装置反馈第一验证信息。此时,存储装置就处于不安全状态,因此,存储装置对反馈的第一验证信息进行验证,以确保接收到的验证信息来自与之匹配的鉴权端。
在一些实施例中,反馈的第一验证信息并不是存储装置发送的第一验证消息的所有内容,如存储装置发送的第一验证消息包括身份信息和验证信息,在鉴权端验证身份信息后,不必将身份信息再反馈至存储装置。
进一步,反馈的第一验证信息也不必须是全部的第一验证消息,如第一验证消息为一个128位的随机数,则反馈第一验证消息时,将128随机数的随机数拆分为两个64位的数字,拆分原则为直接将数字拆分,而不是将数值拆分,当接收任一个64位数字时,将其与那个128位的随机数进行匹配,若匹配上前64个数字或后64个数字,则确认第一验证通过。以一个6位数“123456”为例,将其拆分为“123”和“456”,即只进行位数的拆分。将“123”反馈给存储装置,存储装置验证发现与“123456”的前三个数字重合,则验证通过。
步骤13:在第一验证通过后,将反馈的第二验证信息发送给鉴权端,以使鉴权端对第二验证信息进行第二验证,并在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并反馈至存储装置。
在一些实施例中,反馈的第二验证信息在传输过程中有可能被篡改,如在鉴权端反馈给存储装置第二验证信息时,第二验证信息被其余恶意设备截获,并由恶意设备对鉴权端反馈第二验证信息。此时,鉴权端就处于不安全状态,因此,鉴权端对反馈的第二验证信息进行验证,以确保接收到的验证信息来自与之匹配的存储装置。
在一些实施例中,反馈的第二验证信息并不是鉴权端发送的第二验证消息的所有内容,如鉴权端发送的第二验证消息包括身份信息和验证信息,在存储装置验证身份信息后,不必将身份信息再反馈至鉴权端。
进一步,反馈的第二验证信息也不必须是全部的验证消息,如第二验证消息为一个128位的随机数,则反馈第二验证消息时,将128随机数的随机数拆分为两个64位的数字,拆分原则为直接将数字拆分,而不是将数值拆分,当接收任一个64位数字时,将其与那个128位的随机数进行匹配,若匹配上前64个数字或后64个数字,则确认第二验证通过。以一个6位数“123456”为例,将其拆分为“123”和“456”,即只进行位数的拆分。将“123”反馈给鉴权端,鉴权端验证发现与“123456”的前三个数字重合,则验证通过。
进一步,在第二验证通过后,利用之前接收到的第一验证消息对鉴权信息进行加密,并反馈至存储装置。其中,鉴权信息被用于存储装置对存储装置中存储的数据进行加密或解密。
步骤14:对鉴权信息进行解密,以利用鉴权信息对存储装置中存储的数据进行加密或解密。
在一些实施例中,存储装置利用之前已经生成的第一验证信息作为密钥将鉴权端发送的数据进行解密,以得到鉴权信息。然后存储装置利用鉴权信息对存储装置中存储的数据进行加密或解密。
参阅图2,图2是本申请提供的存储装置与鉴权端的交互示意图。
当存储装置与鉴权端建立通信连接后,存储装置发送第一验证信息至鉴权端,鉴权端在接收到第一验证信息后,对第一验证信息进行验证,在验证通过后生成第二验证信息。并将第一验证信息和第二验证信息发送至存储装置,存储装置对第一验证消息进行第一验证,在验证通过后,向鉴权端发送第二验证信息。鉴权端在接收到第二验证信息后对其进行第二验证,在第二验证通过后,利用第一验证对鉴权信息进行加密,将加密后的信息发送至存储装置。存储装置在接收到加密后的信息后对其进行解密得到鉴权信息,利用鉴权信息对存储装置中存储的数据进行加密或解密。
在一些实施例中,存储装置为加密移动硬盘,如加密移动机械硬盘、加密移动固态硬盘。在使用时配合鉴权端使用,通过与鉴权端实现上述方法后获取鉴权端提供的鉴权信息对存储的数据进行加密或解密。鉴权端和存储装置能够便于携带并提高了数据存储的安全性。
区别于现有技术的情况,本申请的一种存储装置的鉴权方法,该存储装置的鉴权信息存储于鉴权端,该方法包括:存储装置向鉴权端发送第一验证信息,以使鉴权端生成第二验证信息,并反馈第一验证信息和第二验证信息;对反馈的第一验证信息进行第一验证;在第一验证通过后,将反馈的第二验证信息发送给鉴权端,以使鉴权端对第二验证信息进行第二验证,并在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并反馈至存储装置;对鉴权信息进行解密,以利用鉴权信息对存储装置中存储的数据进行加密或解密。通过上述方式,将存储装置与鉴权端单独设置,避免一体化,解决了现有技术中一体设置时容易被破解的问题,通过存储装置与鉴权端的双向验证,保证存储装置与鉴权端的匹配。并且存储装置与鉴权端形成的通信通道使鉴权信息的传输更加安全可靠不可伪造,提高了数据存储的安全性。
参阅图3,图3是本申请提供的存储装置的鉴权方法第二实施例的流程示意图,该方法包括:
步骤31:存储装置利用公钥对第一验证信息进行加密形成第一加密信息。
其中,第一验证信息包括第一随机数和第二随机数。第一随机数和第二随机数的长度根据实际需要进行设置,如设置为32位、64位、128位、256位或512位。第一随机数和第二随机数的长度可以相同,也可以不相同。
在一些实施例中,步骤31还包括利用公钥对身份信息和第一验证信息进行加密形成第一加密信息。身份信息为存储装置的唯一序列号或者UID。
步骤32:向鉴权端发送第一加密信息,以使鉴权端利用与公钥对应的私钥解密得到第一验证信息,并生成第二验证信息,利用私钥对第一验证信息和第二验证信息进行加密得到第二加密信息,并反馈第二加密信息。
其中,存储装置的公钥和鉴权端的私钥可以通过匹配的非对称加密算法生成,如,RSA(RSA algorithm,RSA加密算法)、Elgamal、背包算法、ECC(椭圆曲线加密算法)。
在一些实施例中,当第一加密信息中包括身份信息和第一验证信息时,存储装置向鉴权端发送第一加密信息,以使鉴权端利用与公钥对应的私钥解密得到身份信息和第一验证信息,并在对身份信息验证通过后,生成第二验证信息,利用私钥对第一验证信息和第二验证信息进行加密得到第二加密信息,并反馈第二加密信息。
在对身份信息进行验证时,利用的是鉴权端已存储的身份信息进行匹配,如存储装置和鉴权端在出厂时已注入了对应的身份信息进行关联,以使在配对时能够通过身份信息的关联进行匹配。
在一些实施例中,向鉴权端发送第一加密信息,以使鉴权端利用与公钥对应的私钥解密得到第一随机数和第二随机数,并生成第三随机数,利用私钥对第一随机数和第三随机数进行加密得到第二加密信息,并反馈第二加密信息。
进一步,将第一随机数和第二随机数中选择第一随机数加密反馈,可以避免在传输过程中随机数被盗取,且被恶意设备用于向存储装置通信的风险。
步骤33:利用公钥对第二加密信息进行解密得到第一随机数和第三随机数。
由于存储装置的公钥与鉴权端的私钥为一对密钥,可以相互解密对方通过公钥或私钥加密的信息。
步骤34:对第一随机数进行第一验证。
在一些实施例中,由于存储装置中在之前已生成第一随机数,所以在此验证解密鉴权端发送的第二加密信息中的第一随机数,可以保证鉴权端的安全性。
步骤35:在第一验证通过后,利用公钥对第三随机数加密得到第三加密信息,并发送给鉴权端,以使鉴权端对第三加密信息解密得到第三随机数并进行第二验证,并在第二验证通过后,利用第二随机数对鉴权信息进行加密得到第四加密信息,并反馈至存储装置。
在第一验证通过后,保证了鉴权端的安全性,然后利用公钥对第三随机数加密得到第三加密信息,并发送给鉴权端,以使鉴权端对第三加密信息解密得到第三随机数并进行第二验证。鉴权端进行第二验证是为了保证存储装置的安全性,避免接收到恶意设备的信息。
进一步,第二验证主要是验证存储装置发送的第三加密信息是否与鉴权端发送的第三随机数一致,若一致,则可确定发送第三加密信息的设备为存储装置。
鉴权端使用第二随机数作为密钥,将鉴权信息加密得到第四加密信息,并反馈至存储装置。
步骤36:利用第二随机数对第四加密信息解密得到鉴权信息。
由于第二随机数是由存储装置产生的,且在上述的交互过程中仅仅只传输过一次,能够最大程度的保证其安全性和未被截获。
鉴权端使用第二随机数作为密钥,将鉴权信息加密得到第四加密信息以及存储装置利用第二随机数对第四加密信息解密得到鉴权信息的过程可以使用对称加密算法实现,将第二随机数作为密钥,以便于鉴权端和存储装置加密或解密。
进一步,使用的对称加密算法可以是AES(Advanced Encryption Standard,高级加密标准)、DES(Data Encryption Standard,数据加密标准)算法,3DES(Triple DataEncryption Algorithm,三重数据加密)算法,Blowfish算法,IDEA(International DataEncryption Algorithm,国际数据加密算法)算法、国密SM4算法。
步骤37:利用鉴权信息对存储装置中存储的数据进行加密或解密。
这里的鉴权信息也是一个密钥,用于对存储装置中存储的数据进行加密或解密。
在一些应用场景中,我们在设备端枚举为两个存储装置,一个是普通存储装置,不需要进行权限验证,数据不加密,速度更快;另外一个是本申请提供的存储装置,日常使用并不会上盘,感知不到,隐蔽度更高,只有当鉴权端与存储装置双向验证且存储装置获取到鉴权信息后才会使用该存储装置进行数据加密或解密。
在一些实施例中,鉴权端可以制作为U盘的形态,具有便携性和隐蔽性。鉴权端与存储装置通过Type-C插头进行连接,内部使用ISO7816协议通讯,通讯内容使用RSA非对称算法进行保护,避免被监听和篡改。鉴权端里保存了RSA算法所需的私钥,以及存储装置中数据加解密所需的鉴权信息,只有在鉴权端与存储装置之间进行双向验证通过后,鉴权端才会向存储装置提供这个鉴权信息。
在一些实施例中,鉴权端与存储装置根据实际的连接方式采用相应的通讯协议,如鉴权端与存储装置通过USB的方式连接,可采用USB1.1、USB2.0、USB3.0等通讯协议。
可以理解,鉴权端与存储装置之间的通讯协议根据实际需求进行设置,这里不做限制。
在一实施例中,存储装置和鉴权端在制造过程中,进行匹配和写入以上所述的公钥、私钥和鉴权信息,并且在所有密钥和鉴权信息分发后不留存档,根本上杜绝制造商可以进入的后门。
在本实施例中,通过将存储装置和鉴权端单独设置,在进行通信连接后,通过存储装置和鉴权端产生的随机数进行两次相互验证,避免在通讯过程被监听和篡改的危险,保证了存储装置和鉴权端的双向通信安全,且存储装置加密后的数据无法在没有鉴权端的情况下被读取,保证了数据的安全。
进一步,本实施例具有安全级别高,不存在现有技术条件下可以破解的可能性,即使知道所有的加解密流程和公钥存储位置,无法拿到鉴权端的情况下,不存在破解的可能性。并且鉴权信息的传输通道安全可靠不可伪造。另外,存储装置与鉴权端使用简单,无需预设密码,且适用的主机没有限制,相比传统指纹、键盘加密款,安全级别更高。
参阅图4,图4是本申请提供的存储装置的鉴权方法第三实施例的流程示意图,该方法包括:
步骤41:鉴权端获取存储装置发送的第一验证信息,基于第一验证信息生成第二验证信息。
在一些实施例中,存储装置可以是移动硬盘,也可以是利用硬盘盒结合普通硬盘形成。
在一些实施例中,存储装置和鉴权端上均设置有通信模组,利用通信模组之间连接以进行数据通信。通信连接的方式可以是蓝牙通信、RFID(Radio FrequencyIdentification,射频识别)。当存储装置与鉴权端之间的距离小于预设距离时,存储装置与鉴权端进行数据通信。如预设距离为0cm、0.5cm、1cm、10cm、50cm、100cm等。
其中,存储装置上设置有第一通信接口,鉴权端有第二通信接口,第一通信接口与第二通信接口电连接。例如,鉴权端的第二通信接口直接插设于存储装置的第一通信接口上,以完成电连接;鉴权端的第二通信接口插设于数据线的一端,数据线的另一端插设于存储装置的第一通信接口上,以完成电连接。其中,当鉴权端拔出时,鉴权端与存储装置10的通信连接断开。
其中,第一通信接口可以是USB接口、TF卡接口、雷电接口,鉴权端的第二通信接口与第一通信接口相对应。
在一些实施例中,第一验证信息包括存储装置的序列号或者UID(UserIdentification,用户身份证明)。在存储装置与鉴权端通信连接时,存储装置向鉴权端发送第一验证信息以使鉴权端验证存储装置的序列号或者UID是否正确,若正确则生成第二验证信息,并反馈第一验证信息和第二验证信息。
步骤42:向存储装置发送第一验证信息和第二验证信息,以使存储装置对第一验证信息进行第一验证,在第一验证通过后,反馈第二验证信息。
在一些实施例中,在鉴权端验证第一验证信息的数据正确后,向存储装置发送第一验证信息和第二验证信息,其中,第二验证信息包括鉴权端的序列号或者UID。
在一些实施例中,第一验证信息在向存储装置传输过程中有可能被篡改,如在存储装置发送给鉴权端第一验证信息时,第一验证信息被其余恶意设备截获,并由恶意设备对存储装置反馈第一验证信息。此时,存储装置就处于不安全状态,因此,存储装置对反馈的第一验证信息进行验证,以确保接收到的验证信息来自与之匹配的鉴权端。
在一些实施例中,向存储装置发送第一验证信息并不是存储装置发送的第一验证消息的所有内容,如存储装置发送的第一验证消息包括身份信息和验证信息,在鉴权端验证身份信息后,不必将身份信息再反馈至存储装置。
进一步,向存储装置发送第一验证信息也不必须是全部的第一验证消息,如第一验证消息为一个128位的随机数,则向存储装置发送第一验证信息时,将128随机数的随机数拆分为两个64位的数字,拆分原则为直接将数字拆分,而不是将数值拆分,当存储装置接收任一个64位数字时,将其与那个128位的随机数进行匹配,若匹配上前64个数字或后64个数字,则确认第一验证通过。以一个6位数“123456”为例,将其拆分为“123”和“456”,即只进行位数的拆分。将“123”反馈给存储装置,存储装置验证发现与“123456”的前三个数字重合,则验证通过,则向鉴权端反馈第二验证信息。
步骤43:对第二验证信息进行第二验证。
在一些实施例中,存储装置反馈的第二验证信息在传输过程中有可能被篡改,如在鉴权端反馈给存储装置第二验证信息时,第二验证信息被其余恶意设备截获,并由恶意设备对鉴权端反馈第二验证信息。此时,鉴权端就处于不安全状态,因此,鉴权端对第二验证信息进行验证,以确保接收到的验证信息来自与之匹配的存储装置。
在一些实施例中,存储装置反馈的第二验证信息并不是鉴权端发送的第二验证消息的所有内容,如鉴权端发送的第二验证消息包括身份信息和验证信息,在存储装置验证身份信息后,不必将身份信息再反馈至鉴权端。
进一步,存储装置反馈的第二验证信息也不必须是全部的验证消息,如第二验证消息为一个128位的随机数,则反馈第二验证消息时,将128随机数的随机数拆分为两个64位的数字,拆分原则为直接将数字拆分,而不是将数值拆分,当接收任一个64位数字时,将其与那个128位的随机数进行匹配,若匹配上前64个数字或后64个数字,则确认第二验证通过。以一个6位数“123456”为例,将其拆分为“123”和“456”,即只进行位数的拆分。将“123”反馈给鉴权端,鉴权端验证发现与“123456”的前三个数字重合,则验证通过。
步骤44:在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并发送至存储装置,以使存储装置对鉴权信息进行解密,并利用鉴权信息对存储装置中存储的数据进行加密或解密。
在第二验证通过后,利用之前接收到的第一验证消息对鉴权信息进行加密,并发送至存储装置,以使存储装置对鉴权信息进行解密,并利用鉴权信息对存储装置中存储的数据进行加密或解密。其中,鉴权信息被用于存储装置对存储装置中存储的数据进行加密或解密。
在一些实施例中,鉴权端与存储装置的交互可参阅图2,这里不做赘述。
在一些实施例中,存储装置为加密移动硬盘,如加密移动机械硬盘、加密移动固态硬盘。在使用时配合鉴权端使用,通过与鉴权端实现上述方法后获取鉴权端提供的鉴权信息对存储的数据进行加密或解密。鉴权端和存储装置能够便于携带并提高了数据存储的安全性。
区别于现有技术的情况,本申请的一种存储装置的鉴权方法,该存储装置的鉴权信息存储于鉴权端,该方法包括:鉴权端获取存储装置发送的第一验证信息,基于第一验证信息生成第二验证信息;向存储装置发送第一验证信息和第二验证信息,以使存储装置对第一验证信息进行第一验证,在第一验证通过后,反馈第二验证信息;对第二验证信息进行第二验证;在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并发送至存储装置,以使存储装置对鉴权信息进行解密,并利用鉴权信息对存储装置中存储的数据进行加密或解密。通过上述方式,将存储装置与鉴权端单独设置,避免一体化,解决了现有技术中一体设置时容易被破解的问题,通过存储装置与鉴权端的双向验证,保证存储装置与鉴权端的匹配。并且存储装置与鉴权端形成的通信通道使鉴权信息的传输更加安全可靠不可伪造,提高了数据存储的安全性。
参阅图5,图5是本申请提供的存储装置的鉴权方法第四实施例的流程示意图,该方法包括:
步骤51:鉴权端获取存储装置发送的第一加密信息。
其中,第一加密信息为存储装置利用公钥对第一验证信息加密形成的。
进一步,第一验证信息包括第一随机数和第二随机数。第一随机数和第二随机数的长度根据实际需要进行设置,如设置为32位、64位、128位、256位或512位。第一随机数和第二随机数的长度可以相同,也可以不相同。
在一些实施例中,第一加密信息还包括存储装置利用公钥对身份信息和第一验证信息进行加密形成第一加密信息。身份信息为存储装置的唯一序列号或者UID。
步骤52:利用与公钥对应的私钥解密得到第一验证信息,并生成第二验证信息。
其中,存储装置的公钥和鉴权端的私钥可以通过匹配的非对称加密算法生成,如,RSA(RSA algorithm,RSA加密算法)、Elgamal、背包算法、ECC(椭圆曲线加密算法)。
在一些实施例中,当第一加密信息中包括身份信息和第一验证信息时,鉴权端利用与公钥对应的私钥解密得到身份信息和第一验证信息,并在对身份信息验证通过后,生成第二验证信息。
在对身份信息进行验证时,利用的是鉴权端已存储的身份信息进行匹配,如存储装置和鉴权端在出厂时已注入了对应的身份信息进行关联,以使在配对时能够通过身份信息的关联进行匹配,在对身份信息验证通过后,生成第二验证信息。
步骤53:利用私钥对第一验证信息和第二验证信息进行加密得到第二加密信息。
在一些实施例中,当第一验证信息包括第一随机数和第二随机数,第二验证信息包括第三随机数时,利用与公钥对应的私钥解密得到第一随机数和第二随机数,并生成第三随机数,利用私钥对第一随机数和第三随机数进行加密得到第二加密信息。在其他实施例中,可以利用私钥对第二随机数和第三随机数进行加密得到第二加密信息。
步骤54:向存储装置发送第二加密信息,以使存储装置利用公钥对第二加密信息进行解密得到第一随机数和第三随机数,并对第一随机数进行第一验证,在第一验证通过后,利用公钥对第三随机数加密得到第三加密信息,并反馈第三加密信息。
由于存储装置的公钥与鉴权端的私钥为一对密钥,可以相互解密对方通过公钥或私钥加密的信息。
在一些实施例中,由于存储装置中在之前已生成第一随机数,所以在此验证解密鉴权端发送的第二加密信息中的第一随机数,可以保证鉴权端的安全性。在第一验证通过后,保证了鉴权端的安全性,然后存储装置利用公钥对第三随机数加密得到第三加密信息,反馈第三加密信息至鉴权端。
步骤55:利用私钥对第三加密信息进行解密得到第三随机数。
步骤56:对第三随机数进行第二验证。
鉴权端对第三加密信息解密得到第三随机数并进行第二验证。进行第二验证是为了保证存储装置的安全性,避免接收到恶意设备的信息。
进一步,第二验证主要是验证存储装置发送的第三加密信息是否与鉴权端发送的第三随机数一致,若一致,则可确定发送第三加密信息的设备为存储装置。
步骤57:在第二验证通过后,利用第二随机数对鉴权信息进行加密得到第四加密信息,并发送至存储装置,以使存储装置利用第二随机数对第四加密信息进行解密得到鉴权信息,并利用鉴权信息对存储装置中存储的数据进行加密或解密。
鉴权端使用第二随机数作为密钥,将鉴权信息加密得到第四加密信息,并发送至存储装置,以使存储装置利用第二随机数对第四加密信息进行解密得到鉴权信息,并利用鉴权信息对存储装置中存储的数据进行加密或解密。
由于第二随机数是由存储装置产生的,且在上述的交互过程中仅仅只传输过一次,能够最大程度的保证其安全性和未被截获。
鉴权端使用第二随机数作为密钥,将鉴权信息加密得到第四加密信息以及存储装置利用第二随机数对第四加密信息解密得到鉴权信息的过程可以使用对称加密算法实现,将第二随机数作为密钥,以便于鉴权端和存储装置加密或解密。
进一步,使用的对称加密算法可以是AES(Advanced Encryption Standard,高级加密标准)、DES(Data Encryption Standard,数据加密标准)算法,3DES(Triple DataEncryption Algorithm,三重数据加密)算法,Blowfish算法,IDEA(International DataEncryption Algorithm,国际数据加密算法)算法、国密SM4算法。
这里的鉴权信息也是一个密钥,用于对存储装置中存储的数据进行加密或解密。
在一些应用场景中,我们在设备端枚举为两个存储装置,一个是普通存储装置,不需要进行权限验证,数据不加密,速度更快;另外一个是本申请提供的存储装置,日常使用并不会上盘,感知不到,隐蔽度更高,只有当鉴权端与存储装置双向验证且存储装置获取到鉴权信息后才会使用该存储装置进行数据加密或解密。
在一些实施例中,鉴权端可以制作为U盘的形态,具有便携性和隐蔽性。鉴权端与存储装置通过Type-C插头进行连接,内部使用ISO7816协议通讯,通讯内容使用RSA非对称算法进行保护,避免被监听和篡改。鉴权端里保存了RSA算法所需的私钥,以及存储装置中数据加解密所需的鉴权信息,只有在鉴权端与存储装置之间进行双向验证通过后,鉴权端才会向存储装置提供这个鉴权信息。
在一些实施例中,鉴权端与存储装置根据实际的连接方式采用相应的通讯协议,如鉴权端与存储装置通过USB的方式连接,可采用USB1.1、USB2.0、USB3.0等通讯协议。
可以理解,鉴权端与存储装置之间的通讯协议根据实际需求进行设置,这里不做限制。
在本实施例中,通过将存储装置和鉴权端单独设置,在进行通信连接后,通过存储装置和鉴权端产生的随机数进行两次相互验证,避免在通讯过程被监听和篡改的危险,保证了存储装置和鉴权端的双向通信安全,且存储装置加密后的数据无法在没有鉴权端的情况下被读取,保证了数据的安全。
进一步,本实施例具有安全级别高,不存在现有技术条件下可以破解的可能性,即使知道所有的加解密流程和公钥存储位置,无法拿到鉴权端的情况下,不存在破解的可能性。并且鉴权信息的传输通道安全可靠不可伪造。另外,存储装置与鉴权端使用简单,无需预设密码,且适用的主机没有限制,相比传统指纹、键盘加密款,安全级别更高。
参阅图6,图6是本申请提供的存储装置一实施例的结构示意图,该存储装置60包括处理器61以及与处理器61连接的存储器62和通信模组63。
其中,通信模组63用于与鉴权端进行数据通信,存储器62用于存储数据,处理器用于控制通信模组63向鉴权端发送第一验证信息,以使鉴权端生成第二验证信息,并反馈第一验证信息和第二验证信息;对反馈的第一验证信息进行第一验证;在第一验证通过后,将反馈的第二验证信息发送给鉴权端,以使鉴权端对第二验证信息进行第二验证,并在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并反馈至存储装置;对鉴权信息进行解密,以利用鉴权信息对存储器中的数据进行加密或解密。
可以理解,处理器61用于执行程序数据,还用于实现上述任一实施例方法。
在一实施例中,处理器61包括一内置存储单元,用于存储程序数据,处理器61用于执行该程序数据时,实现上述任一实施例存储装置涉及的方法。
在一些实施例中,存储装置60为加密移动硬盘,如加密移动机械硬盘、加密移动固态硬盘。
参阅图7,图7本申请提供的存储装置另一实施例的结构示意图,存储装置70包括前壳体71、下壳体72、后壳体73、上壳体74、中框75、电路板76、硬盘77、减震元件78。
其中,电路板76与硬盘77连接。减震元件78设置于硬盘77两侧,然后将硬盘77与减震元件78设置于中框75内。减震元件78可以是硅胶材质,有较好的减震效果,保护硬盘。然后利用前壳体71、下壳体72、后壳体73、上壳体74拼接一容置腔体,将中框75、电路板76与硬盘77容置于该容置腔体内。
具体地,参阅图8,图8为前壳体的结构示意图,前壳体71包括第一开口711、第二开口712、底壁713和侧壁714。其中,底壁713和侧壁714围设形成一容置腔体,第一开口211、第二开口212设置于底壁213上。
参阅图9,图9为电路板的结构示意图,电路板76包括第一通信接口761、第二通信接口762、第一控制芯片763和第三通信接口764。其中,第一通信接口761与鉴权端通信连接,第二通信接口762与外部主机通信连接。第三通信接口764与硬盘77通信连接,用于与硬盘进行数据通信。第一控制芯片763与第一通信接口761、第二通信接口762、第三通信接口764电连接,用于控制第一通信接口761与鉴权端通信,以进行相互认证,并获取鉴权端传输的鉴权信息。在获取到鉴权信息后,控制第二通信接口762与外部主机进行数据通信,利用鉴权信息将与外部主机进行数据通信的数据进行加密,然后通过第三通信接口764传输至硬盘77进行存储,或者通过第三通信接口764与硬盘77通信得到硬盘77存储的加密数据,利用鉴权信息对加密数据进行解密,然后通过第二通信接口762传输至外部主机。
参阅图10,图10为硬盘的结构示意图,硬盘77包括第一通信接口772和电源接口771。
结合图8-图10,对前壳体、电路板、硬盘的连接关系进行说明:
前壳体71的第一开口711与电路板76的第一通信接口761适配、前壳体71的第二开口712与电路板76的第二通信接口762适配,第三通信接口764与硬盘77的第一通信接口772和硬盘77的电源接口771。
可以理解,硬盘77与上述实施例的存储器相同或相似。
将图7中前壳体71、下壳体72、后壳体73、上壳体74、中框75、电路板76、硬盘77、减震元件78进行组装,组装完成后的结构如图11所示的存储装置70。存储装置70可实现上述实施例中的方法步骤,且便于携带。
可以理解,存储装置70也可实现上述实施例中存储装置涉及的方法步骤,这里不再赘述。
参阅图12,图12本申请提供的鉴权端一实施例的结构示意图,该鉴权端120包括处理器121以及与处理器121连接的存储器122和通信模组123。
其中,通信模组123用于与存储装置进行数据通信,存储器122用于存储程序数据,处理器121用于执行程序数据,以实现以下的方法步骤:
鉴权端获取存储装置发送的第一验证信息,基于第一验证信息生成第二验证信息;向存储装置发送第一验证信息和第二验证信息,以使存储装置对第一验证信息进行第一验证,在第一验证通过后,反馈第二验证信息;对第二验证信息进行第二验证;在第二验证通过后,利用第一验证信息对鉴权信息进行加密,并发送至存储装置,以使存储装置对鉴权信息进行解密,并利用鉴权信息对存储装置中存储的数据进行加密或解密。
可以理解,处理器121用于执行程序数据,还用于实现上述任一实施例中鉴权端涉及的方法。
在一些实施例中,鉴权端120可以为智能卡、U盘等。
参阅图13,图13本申请提供的鉴权端另一实施例的结构示意图,鉴权端80包括帽盖81、外壳82、第二通信接口83、电路板84、后盖85、控制芯片86和存储器(图未示)。
其中,第二通信接口83、控制芯片86和存储器设置于电路板84上,具体地,该电路板84可以是一块矩形或正方形的PCB(Printed Circuit Board)板,第二通信接口83设置在该矩形或正方形PCB板的四个侧边中任一个上,第二通信接口83与第二控制芯片86电连接。
参阅图14对外壳82进行说明:外壳82包括第一容置腔体821和第二容置腔体822,第一容置腔体821和第二容置腔体822贯通,且与后盖85连接,用于容置控制芯片86、存储器、第二通信接口83和电路板88。
帽盖81与外壳82的第二容置腔体822可拆卸连接,在鉴权端80未使用时,帽盖81与外壳82处于连接状态,在鉴权端80使用时,帽盖81与外壳82处于拆卸状态,鉴权端80插设于存储装置,通过第二通信接口83与存储装置71连接。
将帽盖81、外壳82、第二通信接口83、电路板88、后盖85、控制芯片86、存储器(图未示)进行组装,组装后的形态如图15所示,图15为鉴权端80的透视结构示意图。
可以理解,鉴权端80的结构如上述实施例中的任一鉴权端,也可实现上述实施例中描述的内容,这里不再赘述。
参阅图16,图16是本申请提供的加密存储设备一实施例的结构示意图。加密存储设备90包括存储装置91和鉴权端92。图16中还包括数据线100,用于将存储装置91与外部主机相连接。图16所示为存储装置91和鉴权端92通信连接进行工作的示意图,在未工作时,鉴权端92从存储装置91上拔除,在鉴权端92拔出后,存储装置91的鉴权信息丢失,即使数据线100将存储装置91与外部主机相连接,存储装置91也无法与外部主机通信,并对通信数据进行加密或解密。
可以理解,存储装置91的结构如上述实施例中的任一存储装置,也可实现上述实施例中存储装置涉及的内容,这里不再赘述。
可以理解,鉴权端92的结构如上述实施例中的任一鉴权端,也可实现上述实施例中鉴权端涉及的内容,这里不再赘述。
在本申请所提供的几个实施方式中,应该理解到,所揭露的方法以及设备,可以通过其它的方式实现。例如,以上所描述的设备实施方式仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方式方案的目的。
另外,在本申请各个实施方式中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述其他实施方式中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施方式,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (16)

1.一种存储装置的鉴权方法,其特征在于,所述存储装置的鉴权信息存储于鉴权端,所述方法包括:
所述存储装置向鉴权端发送第一验证信息,以使所述鉴权端生成第二验证信息,并反馈所述第一验证信息和所述第二验证信息;
对反馈的所述第一验证信息进行第一验证;
在所述第一验证通过后,将反馈的所述第二验证信息发送给所述鉴权端,以使所述鉴权端对所述第二验证信息进行第二验证,并在第二验证通过后,利用所述第一验证信息对所述鉴权信息进行加密,并反馈至所述存储装置;
对所述鉴权信息进行解密,以利用所述鉴权信息对所述存储装置中存储的数据进行加密或解密。
2.根据权利要求1所述的方法,其特征在于,
所述存储装置向鉴权端发送第一验证信息,以使所述鉴权端生成第二验证信息,并反馈所述第一验证信息和所述第二验证信息,包括:
存储装置利用公钥对所述第一验证信息进行加密形成第一加密信息;
向鉴权端发送所述第一加密信息,以使所述鉴权端利用与所述公钥对应的私钥解密得到所述第一验证信息,并生成第二验证信息,利用私钥对所述第一验证信息和所述第二验证信息进行加密得到第二加密信息,并反馈所述第二加密信息。
3.根据权利要求2所述的方法,其特征在于,
所述存储装置利用公钥对所述第一验证信息进行加密形成第一加密信息,包括:
存储装置利用公钥对身份信息和所述第一验证信息进行加密形成第一加密信息;
所述向鉴权端发送所述第一加密信息,以使所述鉴权端利用与所述公钥对应的私钥解密得到所述第一验证信息,并生成第二验证信息,利用私钥对所述第一验证信息和所述第二验证信息进行加密得到第二加密信息,并反馈所述第二加密信息,包括:
向鉴权端发送所述第一加密信息,以使所述鉴权端利用与所述公钥对应的私钥解密得到所述身份信息和所述第一验证信息,并在对身份信息验证通过后,生成第二验证信息,利用私钥对所述第一验证信息和所述第二验证信息进行加密得到第二加密信息,并反馈所述第二加密信息。
4.根据权利要求2所述的方法,其特征在于,
所述第一验证信息包括第一随机数和第二随机数,所述第二验证信息包括第三随机数;
所述向鉴权端发送所述第一加密信息,以使所述鉴权端利用与所述公钥对应的私钥解密得到所述第一验证信息,并生成第二验证信息,利用私钥对所述第一验证信息和所述第二验证信息进行加密得到第二加密信息,并反馈所述第二加密信息,包括:
向鉴权端发送所述第一加密信息,以使所述鉴权端利用与所述公钥对应的私钥解密得到所述第一随机数和所述第二随机数,并生成第三随机数,利用所述私钥对所述第一随机数和所述第三随机数进行加密得到第二加密信息,并反馈所述第二加密信息。
5.根据权利要求4所述的方法,其特征在于,
所述对反馈的所述第一验证信息进行第一验证,包括:
利用所述公钥对所述第二加密信息进行解密得到所述第一随机数和所述第三随机数;
对所述第一随机数进行第一验证。
6.根据权利要求5所述的方法,其特征在于,
所述在所述第一验证通过后,将反馈的所述第二验证信息发送给所述鉴权端,以使所述鉴权端对所述第二验证信息进行第二验证,并在第二验证通过后,利用所述第一验证信息对所述鉴权信息进行加密,并反馈至所述存储装置,包括:
在所述第一验证通过后,利用所述公钥对所述第三随机数加密得到第三加密信息,并发送给鉴权端,以使所述鉴权端对所述第三加密信息解密得到第三随机数并进行第二验证,并在所述第二验证通过后,利用所述第二随机数对鉴权信息进行加密得到第四加密信息,并反馈至所述存储装置。
7.根据权利要求6所述的方法,其特征在于,
所述对所述鉴权信息进行解密,以利用所述鉴权信息对所述存储装置中存储的数据进行加密或解密,包括:
利用所述第二随机数对所述第四加密信息解密得到鉴权信息;
利用所述鉴权信息对所述存储装置中存储的数据进行加密或解密。
8.一种存储装置的鉴权方法,其特征在于,所述存储装置的鉴权信息存储于鉴权端,所述方法包括:
所述鉴权端获取所述存储装置发送的第一验证信息,基于所述第一验证信息生成第二验证信息;
向所述存储装置发送所述第一验证信息和所述第二验证信息,以使所述存储装置对所述第一验证信息进行第一验证,在所述第一验证通过后,反馈所述第二验证信息;
对所述第二验证信息进行第二验证;
在所述第二验证通过后,利用所述第一验证信息对所述鉴权信息进行加密,并发送至所述存储装置,以使所述存储装置对所述鉴权信息进行解密,并利用所述鉴权信息对所述存储装置中存储的数据进行加密或解密。
9.根据权利要求8所述的方法,其特征在于,
所述鉴权端获取所述存储装置发送的第一验证信息,基于所述第一验证信息生成第二验证信息,包括:
鉴权端获取所述存储装置发送的第一加密信息,其中,所述第一加密信息为所述存储装置利用公钥对所述第一验证信息加密形成的;
利用与所述公钥对应的私钥解密得到所述第一验证信息,并生成第二验证信息;
利用所述私钥对所述第一验证信息和所述第二验证信息进行加密得到第二加密信息。
10.根据权利要求9所述的方法,其特征在于,
所述第一加密信息为所述存储装置利用公钥对身份信息和所述第一验证信息进行加密形成的;
所述利用与所述公钥对应的私钥解密得到所述第一验证信息,并生成第二验证信息,包括:
利用与所述公钥对应的私钥解密得到所述身份信息和所述第一验证信息,并在对身份信息验证通过后,生成第二验证信息。
11.根据权利要求9所述的方法,其特征在于,
所述第一验证信息包括第一随机数和第二随机数,所述第二验证信息包括第三随机数;
所述利用与所述公钥对应的私钥解密得到所述第一验证信息,并生成第二验证信息,包括:
利用与所述公钥对应的私钥解密得到所述第一随机数和所述第二随机数,并生成第三随机数;
所述利用所述私钥对所述第一验证信息和所述第二验证信息进行加密得到第二加密信息,包括:
利用所述私钥对所述第一随机数和所述第三随机数进行加密得到第二加密信息。
12.根据权利要求11所述的方法,其特征在于,
所述向所述存储装置发送所述第一验证信息和所述第二验证信息,以使所述存储装置对所述第一验证信息进行第一验证,在所述第一验证通过后,反馈所述第二验证信息,包括:
向所述存储装置发送所述第二加密信息,以使所述存储装置利用所述公钥对所述第二加密信息进行解密得到所述第一随机数和所述第三随机数,并对所述第一随机数进行第一验证,在所述第一验证通过后,利用所述公钥对所述第三随机数加密得到第三加密信息,并反馈所述第三加密信息。
13.根据权利要求12所述的方法,其特征在于,
所述对所述第二验证信息进行第二验证,包括:
利用所述私钥对所述第三加密信息进行解密得到所述第三随机数;
对所述第三随机数进行第二验证。
14.根据权利要求13所述的方法,其特征在于,
所述在所述第二验证通过后,利用所述第一验证信息对所述鉴权信息进行加密,并发送至所述存储装置,以使所述存储装置对所述鉴权信息进行解密,并利用所述鉴权信息对所述存储装置中存储的数据进行加密或解密,包括:
在所述第二验证通过后,利用所述第二随机数对所述鉴权信息进行加密得到第四加密信息,并发送至所述存储装置,以使所述存储装置利用所述第二随机数对所述第四加密信息进行解密得到所述鉴权信息,并利用所述鉴权信息对所述存储装置中存储的数据进行加密或解密。
15.一种存储装置,其特征在于,所述存储装置包括处理器以及与所述处理器连接的存储器和通信模组;
所述通信模组用于与鉴权端进行数据通信,所述存储器用于存储数据,所述处理器用于按照如权利要求1-7任一项所述的方法对所述存储器中的数据进行加密或解密。
16.一种鉴权端,其特征在于,所述鉴权端包括处理器以及与所述处理器连接的存储器和通信模组;
所述通信模组用于与存储装置进行数据通信,所述存储器用于存储程序数据,所述处理器用于执行所述程序数据,以实现如权利要求8-14任一项所述的方法。
CN202010314089.4A 2020-04-20 2020-04-20 存储装置的鉴权方法及存储装置、鉴权端 Active CN113536278B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010314089.4A CN113536278B (zh) 2020-04-20 2020-04-20 存储装置的鉴权方法及存储装置、鉴权端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010314089.4A CN113536278B (zh) 2020-04-20 2020-04-20 存储装置的鉴权方法及存储装置、鉴权端

Publications (2)

Publication Number Publication Date
CN113536278A true CN113536278A (zh) 2021-10-22
CN113536278B CN113536278B (zh) 2023-10-13

Family

ID=78123693

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010314089.4A Active CN113536278B (zh) 2020-04-20 2020-04-20 存储装置的鉴权方法及存储装置、鉴权端

Country Status (1)

Country Link
CN (1) CN113536278B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124401A (zh) * 2021-11-02 2022-03-01 佛吉亚歌乐电子(丰城)有限公司 一种数据鉴权方法、装置、设备及存储介质
CN114329510A (zh) * 2021-11-16 2022-04-12 深圳市江波龙电子股份有限公司 一种数字授权方法、装置、终端设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107113315A (zh) * 2016-04-15 2017-08-29 深圳前海达闼云端智能科技有限公司 一种身份认证方法、终端及服务器
CN107306181A (zh) * 2016-04-18 2017-10-31 杭州云沣科技有限公司 鉴权系统及其鉴权信息的加密、验证方法与装置
CN108632042A (zh) * 2018-03-20 2018-10-09 如般量子科技有限公司 一种基于对称密钥池的类aka身份认证系统和方法
CN110061995A (zh) * 2019-04-24 2019-07-26 上海互啊佑智能科技有限公司 一种鼠标、身份认证系统、方法、装置和存储介质
CN110636503A (zh) * 2019-09-24 2019-12-31 中国联合网络通信集团有限公司 数据加密方法、装置、设备及计算机可读存储介质
CN110990827A (zh) * 2019-10-28 2020-04-10 上海隔镜信息科技有限公司 一种身份信息验证方法、服务器及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107113315A (zh) * 2016-04-15 2017-08-29 深圳前海达闼云端智能科技有限公司 一种身份认证方法、终端及服务器
CN107306181A (zh) * 2016-04-18 2017-10-31 杭州云沣科技有限公司 鉴权系统及其鉴权信息的加密、验证方法与装置
CN108632042A (zh) * 2018-03-20 2018-10-09 如般量子科技有限公司 一种基于对称密钥池的类aka身份认证系统和方法
CN110061995A (zh) * 2019-04-24 2019-07-26 上海互啊佑智能科技有限公司 一种鼠标、身份认证系统、方法、装置和存储介质
CN110636503A (zh) * 2019-09-24 2019-12-31 中国联合网络通信集团有限公司 数据加密方法、装置、设备及计算机可读存储介质
CN110990827A (zh) * 2019-10-28 2020-04-10 上海隔镜信息科技有限公司 一种身份信息验证方法、服务器及存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
王冠;李天亮;: "一种基于安全芯片的可信移动存储设备的双向认证机制", 计算机与应用化学, no. 05, pages 15 - 18 *
胡伟;慕德俊;刘航;李美峰;戴冠中;: "移动硬盘硬件加密的设计与实现", 计算机工程与应用, no. 22, pages 66 - 68 *
谷双双;夏鲁宁;贾世杰;: "一种加密硬盘的身份鉴别和密钥保护方案", 密码学报, no. 02, pages 30 - 40 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124401A (zh) * 2021-11-02 2022-03-01 佛吉亚歌乐电子(丰城)有限公司 一种数据鉴权方法、装置、设备及存储介质
CN114124401B (zh) * 2021-11-02 2023-11-17 佛吉亚歌乐电子(丰城)有限公司 一种数据鉴权方法、装置、设备及存储介质
CN114329510A (zh) * 2021-11-16 2022-04-12 深圳市江波龙电子股份有限公司 一种数字授权方法、装置、终端设备及存储介质

Also Published As

Publication number Publication date
CN113536278B (zh) 2023-10-13

Similar Documents

Publication Publication Date Title
CA2838763C (en) Credential authentication methods and systems
CN1913427B (zh) 用于加密智能卡pin输入的系统与方法
CN103152366B (zh) 获得终端权限的方法、终端及服务器
ES2970201T3 (es) Sistema de identificación personal con tarjeta sin contacto
US20050182934A1 (en) Method and apparatus for providing secure communications between a computer and a smart card chip
CN101483654A (zh) 实现认证及数据安全传输的方法及系统
CN103415855A (zh) 大容量存储设备存储器加密方法、系统及装置
JP4827684B2 (ja) 情報記憶装置
CN102947836A (zh) 存储设备、主机设备和使用双重加密方案在第一和第二存储设备之间传递密码的方法
CN103457922A (zh) 电子认证客户端系统及处理方法、电子认证系统及方法
CN112583787B (zh) 用于加密的设备和方法
CN113536278B (zh) 存储装置的鉴权方法及存储装置、鉴权端
JP3899365B1 (ja) 情報記憶装置
TW201608408A (zh) Usb儲存裝置之無線認證系統及方法
US20120124378A1 (en) Method for personal identity authentication utilizing a personal cryptographic device
CN101540675B (zh) 一种智能密钥设备与应用软件的通讯方法和系统
CN112487380A (zh) 一种数据交互方法、装置、设备及介质
CN110138736B (zh) 物联网多重动态随机加密的身份认证方法和装置及设备
CN102082669A (zh) 一种安全认证方法及装置
JP2015532565A (ja) データ交換、ポータブルユーザオブジェクト、およびデータをダウンロードするためのリモートデバイスを安全にするためのシステムおよび方法
US9536116B2 (en) Active component embedded in cable
CN105608775B (zh) 一种鉴权的方法、终端、门禁卡及sam卡
CN212322266U (zh) 存储装置、鉴权端及加密存储设备
CN100464337C (zh) 一种usb设备与主机进行安全通信的方法及装置
CN105740937A (zh) 一种高强度加密u盘、加密装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant