CN114978689A - 存储设备远程管理方法、系统和存储设备 - Google Patents
存储设备远程管理方法、系统和存储设备 Download PDFInfo
- Publication number
- CN114978689A CN114978689A CN202210561309.2A CN202210561309A CN114978689A CN 114978689 A CN114978689 A CN 114978689A CN 202210561309 A CN202210561309 A CN 202210561309A CN 114978689 A CN114978689 A CN 114978689A
- Authority
- CN
- China
- Prior art keywords
- authentication
- storage device
- remote management
- unlocking
- management device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims description 162
- 238000000034 method Methods 0.000 claims abstract description 59
- 238000004891 communication Methods 0.000 claims description 23
- 238000004422 calculation algorithm Methods 0.000 claims description 15
- 230000002457 bidirectional effect Effects 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 3
- 230000003993 interaction Effects 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 9
- 238000012795 verification Methods 0.000 description 8
- 238000009434 installation Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011900 installation process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明实施例公开了一种存储设备远程管理方法、系统和存储设备,该方法包括:存储设备接收远程管理设备发送的解锁指令,根据解锁指令,存储设备与远程管理设备进行解锁认证;在解锁认证通过后,解锁所述存储设备。本发明实施例通过远程管理设备与存储设备之间的交互,即可实现存储设备远程解锁,简化了解锁程序,且通过远程管理设备和存储设备的解锁认证后,再进行解锁,保证了存储设备的数据安全性。
Description
技术领域
本发明涉及数据安全领域,尤其涉及一种存储设备远程管理方法、系统和存储设备。
背景技术
随着用户对数据安全的需求日益提高,硬盘的安全问题成为了亟待解决的热点。目前市场上已有的安全硬盘方案主要有三种:第一种是自加密硬盘,数据在介质上以密文方式存储,但对外接口全部为明文,且不需要认证;第二种是基于BIOS或操作系统的认证方法,该方式与由BIOS或者操作系统接收认证口令,认证通过后将解锁密钥发送到存储设备,从而实现存储设备解锁;第三种是嵌入式用户无线认证系统,通过接收用户账号及口令来认证用户信息并解锁存储设备。
自加密硬盘通过内置加解密引擎对硬盘数据加密,用户无需认证即可使用硬盘,任何人都可以使用该硬盘,安全性很低。基于BIOS或操作系统的带认证加密硬盘,需要将认证系统集成在操作系统或者BIOS上。由于各个BIOS厂商的差异,认证系统集成在BIOS上基本无法实现。而认证系统集成在操作系统上,集成度太高,无法满足硬盘的通用性。并且认证系统集成于BIOS上,口令容易被恶意跳过。同时BIOS下发解锁口令到硬盘的过程中,解锁信息容易被截获。存在极大的安全风险。嵌入式用户无线认证模块通过一种数据安全系统接收用户口令实现身份验证,验证成功后通过内部加密引擎解锁硬盘,其中,硬盘安全仅仅依靠口令,并且口令相对简单,容易遭到暴力破解,一旦口令被破解或遗失,硬盘数据则暴露无遗,难以保证硬盘在使用过程中的安全性。
基于此,目前带认证的解锁方案,在每次解锁时都需要用户输入口令,当用户多次输入口令错误后,硬盘数据将会被清除或锁定,难以保证解锁的安全性。因此,如何设计一套存储设备解锁方法,以保证用户使用存储设备的数据安全性是亟需解决的问题。
发明内容
第一方面,本发明提供一种存储设备远程管理方法,所述管理方法应用于存储设备,所述管理方法包括:
接收远程管理设备发送的解锁指令;
根据所述解锁指令,所述存储设备与所述远程管理设备进行解锁认证;
在所述解锁认证通过后,所述存储设备解锁。
在可选的实施方式中,所述管理方法还包括:
所述存储设备和所述远程管理设备进行配对认证;
在所述配对认证通过后,所述配对认证通过的消息用以指示所述远程管理设备生成控制界面,其中,所述控制界面用于生成所述解锁指令。
在可选的实施方式中,所述解锁认证包括身份认证和凭证认证,所述存储设备与所述远程管理设备进行解锁认证,包括:
所述存储设备与所述远程管理设备进行身份认证和/或凭证认证;
所述解锁认证通过包括:所述身份认证或所述凭证认证的任意一种认证通过,或所述身份认证和所述凭证认证两种组合认证通过。
在可选的实施方式中,所述身份认证包括双向认证,所述存储设备与所述远程管理设备进行双向认证的步骤,包括:
生成身份凭证,获取存储设备私钥对所述身份凭证进行签名得到第一签名值;
将所述身份凭证和所述第一签名值发送给所述远程管理设备,以使得所述远程管理设备根据存储设备公钥对所述第一签名值进行第一签名认证,得到第一认证信息,并获取远程管理设备私钥对所述身份凭证进行签名得到第二签名值;
接收所述远程管理设备发送的第二签名值,并根据远程管理设备公钥对所述第二签名值进行第二签名认证,得到第二认证信息;
根据所述第一认证信息和所述第二认证信息得到双向认证信息。
在可选的实施方式中,在所述存储设备与所述远程管理设备进行双向认证之前,还包括:
生成存储设备公私钥对;
向所述远程管理设备发送所述存储设备公钥;
接收并存储所述远程管理设备所发送的远程管理设备公钥。
在可选的实施方式中,所述存储设备与所述远程管理设备进行凭证认证的步骤,包括:
接收所述远程管理设备发送的解锁凭证;
根据所述解锁凭证进行凭证认证。
在可选的实施方式中,在所述存储设备与所述远程管理设备进行凭证认证之前,还包括:
采用加密算法对所述解锁凭证进行第一加密计算,得到第一加密值并进行存储;
向所述远程管理设备发送所述解锁凭证;
所述根据所述解锁凭证进行凭证认证包括:
比较第二加密值与所存储的第一加密值是否一致,其中,所述第二加密值为采用所述加密算法对所述解锁凭证进行第二加密计算后所得到的加密值;
若一致,则确定所述凭证认证通过;
若不一致,则确定所述凭证认证不通过。
第二方面,本发明提供一种存储设备远程管理方法,所述管理方法应用于远程管理设备,所述管理方法包括:
响应触发指令,向所述存储设备发送解锁指令;
根据所述解锁指令,所述远程管理设备与所述存储设备进行解锁认证,以使得所述存储设备在所述解锁认证通过后,进行解锁操作。
第三方面,本发明提供一种存储设备远程管理系统,包括远程管理设备和存储设备;
所述远程管理设备用于响应触发指令,向所述存储设备发送解锁指令;
所述存储设备用于接收所述解锁指令,根据所述解锁指令,与所述远程管理设备进行解锁认证,在所述解锁认证通过后,进行解锁操作。
第四方面,本发明提供一种存储设备,包括控制模块和通信模块;
所述通信模块用于通信连接远程管理设备;
所述控制模块用于执行如前述的存储设备远程管理方法的步骤。
第五方面,本发明提供一种计算机存储介质,其存储有计算机程序,所述计算机程序被执行时,实施根据前述的存储设备远程管理方法。
本发明实施例具有如下有益效果:
本发明实施例所提供的存储设备远程管理方法和系统,第一方面,通过远程管理设备与存储设备之间的交互,无需依赖BISO或操作系统上集成的认证系统即可实现存储设备远程解锁,简化了解锁程序;第二方面,远程管理设备在初始化流程结束之后内部自动生成并存储解锁凭证,而后在远程解锁存储设备时,用户只需要通过远程管理设备发送内部所存储的解锁凭证,而不需要再额外输入解锁凭证,解决了用户频繁输入解锁凭证问题,保证了存储设备的易用性,从而无需担心多次输入解锁凭证错误后,存储设备中的数据将会被锁定或清除的问题,提高了用户体验效果,保证了存储设备的安全性。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对本发明保护范围的限定。在各个附图中,类似的构成部分采用类似的编号。
图1为本发明实施例中存储设备的一种结构示意图;
图2为本发明实施例中存储设备远程管理系统的一种结构示意图;
图3为本发明实施例中存储设备与远程管理设备之间的交互时序图;
图4为本发明实施例中存储设备初始化流程示意图;
图5为本发明实施例中远程管理设备初始化流程示意图;
图6为本发明实施例中存储设备与远程管理设备之间初始化阶段的交互示意图;
图7为本发明实施例中存储设备远程管理系统的实施方式示意图;
图8为本发明实施例中存储设备远程管理方法的实施方式示意图;
图9为本发明实施例中存储设备与远程管理设备之间远程解锁过程的交互示意图。
主要元件符号说明:10-存储设备;11-控制模块;12-通信模块;20-远程管理设备。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
在下文中,可在本发明的各种实施例中使用的术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合,并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。
此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
除非另有限定,否则在这里使用的所有术语(包括技术术语和科学术语)具有与本发明的各种实施例所属领域普通技术人员通常理解的含义相同的含义。术语(诸如在一般使用的词典中限定的术语)将被解释为具有与在相关技术领域中的语境含义相同的含义并且将不被解释为具有理想化的含义或过于正式的含义,除非在本发明的各种实施例中被清楚地限定。
BIOS程序:输入输出程序,固化在主机系统内部的一段程序,主机上电时,首先执行的一段程序,用来扫描连接在主机上的所有存储设备10,并加载存储设备10(硬盘)上引导程序的程序。
签名:基于非对称密钥算法的公钥数字签名。
验签:对公钥数字签名进行验证。
实施例
请参阅图1,本申请实施例提供一种存储设备10,包括控制模块11、通信模块12。
一并参阅图2,通信模块12用于通信连接远程管理设备20;控制模块11用于在接收到存储设备解锁请求后,验证与存储设备10建立通信连接关系的远程管理设备20的身份以进行存储设备解锁,实现对存储设备10的状态控制。且该通信模块12可设置在控制模块11的内部或外部,其具体设置位置在此不做限定。
示范性地,该存储设备10可为硬盘或其他具备存储功能的装置。
在一种可行的实施方式中,该存储设备10还包括主控芯片,该控制模块11可设置在主控芯片内部,例如,可作为主控芯片的功能模块,以固件形式存在,主控芯片用于实现该控制模块11的所有功能;或者,控制模块11还可以设置在主控芯片外部,作为一个实体处理芯片实现相应功能。
基于上述所提供的存储设备10的结构,如图2所示,本申请实施例还提供一种存储设备远程管理系统,包括远程管理设备20和具有上述结构的存储设备10,该远程管理设备20和存储设备10之间通过通信模块连接实现存储设备10的远程解锁。在本实施例中,远程管理设备20包括但不限于手机、平板、PC机等,该存储设备10包括但不限于硬盘、或其他具备存储功能的设备或装置。
具体地,如图3所示,以远程管理设备20为用户手机,以及具备硬盘的笔记本为例,并结合实际应用场景对该远程管理设备20和存储设备10对应执行的存储设备远程管理方法的实现逻辑进行说明。
示范性地,存储设备10中的控制模块11存储有控制模块状态表,该控制模块状态表中包含有控制模块11的三个状态,对应了存储设备10的生命周期;控制模块11可通过改变自身状态来控制存储设备10的生命周期,其中,控制模块状态表如下表1所示:
表1控制模块状态表
| 状态名称 | 值 |
| 系统安装 | 00 |
| 初始化 | 01 |
| 安全模式 | 10 |
其中,该系统安装状态对应系统安装流程,该流程为笔记本或服务器厂商提供系统安装功能,具体地,笔记本主机启动后,存储设备10上电,即硬盘上电,控制模块11进入系统安装状态;系统安装状态下可正常访问存储设备10,厂商安装操作系统;控制模块11将状态锁定为初始化状态。
用户在第一次使用笔记本时,即笔记本第一次开机时,笔记本中的硬盘处于锁定状态,硬盘和手机进行配对认证,在配对认证通过后,手机根据配对认证通过的消息生成控制界面,也即是,用户通过手机与硬盘之间建立通信连接后,手机与硬盘自动执行初始化流程,手机端生成相应的控制界面,而在完成对应的初始化流程后,手机端的控制界面还可以用于生成进入安全模式指令,以控制硬盘进入安全模式,例如,手机端的控制界面弹出确认进入安全模式按钮,用户点击手机端按钮确认进入安全模式,如果用户不进入安全模式,下次笔记本开机后依然会进入初始化流程,其中,安全模式是指存储设备被锁定,无法进行数据访问和存储操作。
如图3和图4所示,第一次开机时,笔记本主机通过预置的BIOS程序引导存储设备10进入初始化流程,存储设备10进入初始化流程时,存储设备10中的控制模块11可具体执行如下步骤:
S41,生成并存储存储设备公私钥对以及解锁凭证。
S42,向远程管理设备20发送解锁凭证及存储设备公钥。
S43,接收并存储远程管理设备20所发送的远程管理设备公钥。
在接收到远程管理设备20发送的进入安全模式指令,锁定存储设备10的状态为安全模式状态,以控制存储设备10进入安全模式。
且在第一次开机时,用户手机(远程管理设备20)也会相应进入初始化流程,如图3和图5所示,其具体执行以下步骤:
S51,生成并存储远程管理设备公私钥对。
S52,向存储设备10发送远程管理设备公钥。
S53,接收并存储存储设备10所发送的解锁凭证和存储设备公钥。
可以理解,初始化流程是远程管理设备20与控制模块11的初始化过程,具体地,如图6所示,存储设备10上电,笔记本主机通过BIOS程序引导加载控制模块程序进入初始化状态,控制模块11尝试通信连接远程管理设备20,即控制模块11通过通信模块12与远程管理设备20进行配对认证,在远程管理设备20与存储设备10成功建立通信连接后,远程管理设备20及控制模块11对应生成并存储自身非对称公私钥对,即远程管理设备公私钥对以及存储设备公私钥对;并且控制模块11生成一个解锁凭证,远程管理设备20和存储设备10交换双方认证密钥并存储。具体地,控制模块11向远程管理设备20发送解锁凭证及自身公钥(存储设备公钥),远程管理设备20向控制模块11发送自身公钥(远程管理设备公钥);而后,控制模块11存储远程管理设备公钥,远程管理设备20存储解锁凭证以及存储设备公钥。此后,远程管理设备20向存储设备10发送进入安全模式指令,该进入安全模式指令用于指示存储设备10进入安全模式,也即是,在存储设备10接收到该进入安全模式指令后,控制模块11将状态锁定为安全模式状态,以此完成远程管理设备20及存储设备10的初始化流程。
在此过程中,解锁凭证包括但不限于是随机数、指令、身份信息、设备信息、存储设备与远程管理设备交互的过程信息、无线通信模块配对过程中生成的身份凭证或密钥等。且存储设备10也可以在初始化流程中采用加密算法(例如,SM3杂凑算法)对解锁凭证进行第一加密计算,得到第一加密值;控制模块11存储第一加密值;该解锁凭证的第一加密值可用于后续的解锁凭证认证以解锁存储设备10。
在存储设备远程管理系统中,当存储设备10进入安全模式状态后,远程管理设备20可与存储设备10通信连接,以远程解锁存储设备10,如图7所示,可具体包括如下步骤:
S71,远程管理设备20响应触发指令,向存储设备10发送解锁指令。
S72,存储设备10接收解锁指令,根据解锁指令,与远程管理设备20进行解锁认证,在解锁认证通过后,进行解锁操作。
在具体实施例中,解锁认证包括但不限于身份认证和凭证认证,可根据这两种认证放方式中的其中一种认证方式或两种认证方式组合后所形成的认证方式来解锁存储设备10。其中,身份认证包括单向认证和双向认证两种认证方式。
值得注意的是,该存储设备10也可在通信连接远程管理设备20后直接进行解锁操作,或该远程管理设备20向存储设备10发送解锁凭证,存储设备10根据该解锁凭证直接进行解锁操作。
示范性地,单向认证包括存储设备10对远程管理设备20的单向认证,以及远程管理设备20对存储设备10的单向认证,而通过采用任意一种单向认证的认证方式都可以使得存储设备10进行解锁操作。
在一种可行的实施方式中,远程管理设备20对存储设备10的单向认证以解锁存储设备10的过程可具体包括如下步骤:远程管理设备20与存储设备10建立通信连接,以向存储设备10发送解锁指令;存储设备10接收远程管理设备20发送的解锁指令后生成并存储一个身份凭证,采用存储设备私钥对身份凭证进行签名,得到第一签名值;远程管理设备20接收到该身份凭证和第一签名值,采用所存储的存储设备公钥对该第一签名值进行第一签名认证,得到第一认证信息,即对身份凭证和第一签名值进行验签,当验签通过,则存储设备10直接解锁或远程管理设备20向存储设备10发送解锁凭证以使得存储设备10进行解锁操作。
示范性地,存储设备10对远程管理设备20的单向认证以解锁存储设备10的过程为,远程管理设备20在存储设备10处于安全模式状态时,与存储设备10建立通信连接,以向存储设备10发送包含解锁凭证的签名信息,即远程管理设备20对所存储的解锁凭证进行签名以生成并发送签名信息;存储设备10采用所存储的远程管理设备公钥对签名信息进行验签,当验签通过,则采用解锁凭证进行解锁。
双向认证的过程即在已通过一次单向认证的基础上,再反向进行一次单向认证的过程。示范性地,存储设备10生成身份凭证,并获取存储设备私钥对所述身份凭证进行签名得到第一签名值,将所述身份凭证和所述第一签名值发送给所述远程管理设备20;远程管理设备20根据存储设备公钥对接收到的第一签名值进行第一签名认证,得到第一认证信息,并获取远程管理设备私钥对接收到的身份凭证进行签名得到第二签名值,将第二签名值发送给存储设备10;存储设备10接收远程管理设备20发送的第二签名值,并根据远程管理设备公钥对所述第二签名值进行第二签名认证,得到第二认证信息;根据所述第一认证信息和所述第二认证信息得到双向认证信息,当第一认证信息和第二认证信息都为认证通过时,双向认证通过,则存储设备10可进行解锁操作。
凭证认证的过程为,远程管理设备20向存储设备10发送解锁凭证,存储设备10将内部所存储的解锁凭证与接收到的解锁凭证进行比对,若解锁凭证一致,则确定凭证认证通过;或者,远程管理设备20向存储设备10发送解锁凭证,存储设备10在接收到该解锁凭证后,采用加密算法计算该解锁凭证的第二加密值,将所存储的解锁凭证的第一加密值与该第二加密值进行比较,若加密值一致,则确定凭证认证通过,从而解锁存储设备10。
值得注意的是,在单向认证不通过、或双向认证不通过、或凭证认证不通过时,该存储设备10会锁定为锁定状态,以保证存储设备10及其存储数据的安全。
在一种可行的实施方式中,该存储设备远程管理系统的实现逻辑可具体包含以下时序流程:远程管理设备20在存储设备10处于安全模式状态时,与存储设备10建立通信连接,响应触发指令,向存储设备10发送解锁指令;存储设备10接收远程管理设备20发送的解锁指令,根据解锁指令,存储设备10与远程管理设备20进行解锁认证,并在解锁认证通过后,解锁存储设备10。
示范性地,当存储设备10在进入到安全模式状态,且接收到远程管理设备20所发送的解锁指令后,存储设备10进入到远程解锁流程,如图3和图8所示,具体可包括以下步骤:
S81,在存储设备10处于安全模式状态时,接收远程管理设备20发送的解锁指令。
S82,根据解锁指令,存储设备10与远程管理设备20进行双向认证。
S83,在双向认证通过后,存储设备10解锁。
具体地,在存储设备10处于安全模式状态时,远程管理设备20可通过蓝牙、WIFI等无线方式与存储设备10进行配对认证,在配对认证通过后,该远程管理设备20根据配对认通过的消息生成控制界面。也即是,用户手机可通过蓝牙与笔记本、笔记本硬盘建立通信连接,且在连接后,手机端生成控制界面,该控制界面包含显示笔记本硬盘当前状态界面,该状态界面以指示硬盘当前所处的状态为安全模式状态。
远程管理设备20响应触发指令,通过控制界面生成一个解锁指令,并向存储设备10发送该解锁指令,即手机端响应一个触发指令,来向笔记本的硬盘发送解锁指令。其中,该触发指令可为远程管理设备20发出,例如,手机端所显示的硬盘当前状态界面可设置有解锁按钮,当点击该解锁按钮时,即自动发出用于解锁硬盘的触发指令,手机端后台响应该触发指令,以向硬盘远程发送解锁指令。
硬盘在接收到该解锁指令后,硬盘控制模块11生成一个身份凭证,并采用存储设备私钥对该身份凭证进行数字签名,得到第一签名值,例如,签名过程可为,采用消息摘要算法和存储设备私钥并根据身份凭证生成第一签名值,而后向远程管理设备20发送第一签名值和身份凭证。
远程管理设备(如手机)20接收到该第一签名值和身份凭证后,采用在初始化流程结束后所存储的存储设备公钥对该第一签名值和身份凭证进行第一签名认证,即验签,得到第一认证信息。
该远程管理设备20对第一签名值的验签成功,即第一认证通过后,对远程管理设备20内部所存储的身份凭证进行数字签名,得到第二签名值,例如,签名过程可为,采用远程管理设备私钥和消息摘要算法对身份凭证生成第二签名值。而后将第二签名值发送给存储设备10。
当存储设备10接收到第二签名值后,采用内部所存储的远程管理设备公钥对第二签名值进行第二签名认证,得到第二认证信息。
在第二签名认证通过后,存储设备10向远程管理设备20发送双向认证成功的信息,即双向认证信息。而后该远程管理设备20再向存储设备10发送解锁凭证。
如图9所示,在单向认证或双向认证通过后,存储设备10接收到远程管理设备20发送的解锁凭证,则再采用加密算法计算解锁凭证对应的第二加密值,并将该第二加密值与内部所存储的第一加密值进行比较,若两个加密值一致,则解锁凭证认证通过,从而解锁存储设备10,即解锁硬盘。在另一个实施例中,也可以在远程管理设备20端对解锁凭证进行加密算法计算得到对应的第二加密值,然后将第二加密值发送给存储设备10与存储设备10内部所存储的第一加密值进行比较,若两个加密值一致,则解锁凭证认证通过。
而远程管理设备20在存储设备10解锁后,会接收并显示该存储设备10的解锁状态,即手机端的硬盘当前状态界面会显示硬盘的解锁状态。
在本实施例中,当远程管理设备20和存储设备10分别完成验签后,则可实现远程管理设备20与存储设备10的双向认证,且当远程管理设备20在对第一签名值的验签通过后,存储设备10才能接收到第二签名值以进行第二签名认证。
可以理解,该双向认证不通过或解锁凭证认证验证不通过时,则锁定存储设备10的状态为安全模式状态,并且,双向认证不通过的情况包括第一认证信息不通过,或第二认证信息不通过。
需要注意的是,在远程管理设备20和存储设备10的签名和验签过程中,其采用的消息摘要算法都是相同的消息摘要算法,且该消息摘要算法可选用MD、SHA、MAC系列中的任一消息摘要算法,在此不做限定。
在一种可行的实施方式中,在存储设备完成解锁后,即在笔记本的硬盘完成解锁后,将笔记本上的主机引导程序(BIOS程序)指向操作系统,以执行其他操作。
本实施例设计了一套存储设备远程管理系统及方法,第一方面,通过远程管理设备与存储设备之间的交互,无需依赖BISO或操作系统上集成的认证系统即可实现存储设备远程解锁,简化了解锁程序;第二方面,远程管理设备在初始化流程结束之后内部自动生成并存储解锁凭证,而后在远程解锁存储设备时,用户只需要通过远程管理设备发送内部所存储的解锁凭证,而不需要再额外输入解锁凭证,解决了用户频繁输入解锁凭证问题,保证了存储设备的易用性,从而无需担心多次输入解锁凭证错误后,存储设备中的数据将会被清除的问题,提高了用户体验效果;第三方面,通过非对称公私钥以实现远程管理设备和存储设备的解锁认证后,再通过解锁凭证进行解锁,因此其存储设备安全并不仅靠解锁凭证,进而无需担心密钥被破解或遗失时存储设备数据暴露的问题,保证了存储设备的安全性。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有机器可运行指令,计算机可运行指令在被处理器调用和运行时,计算机可运行指令促使处理器运行上述实施例的存储设备远程管理方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和结构图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,结构图和/或流程图中的每个方框、以及结构图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块或单元可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或更多个模块集成形成一个独立的部分。
功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是智能手机、个人计算机、服务器、或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
Claims (11)
1.一种存储设备远程管理方法,其特征在于,所述管理方法应用于存储设备,所述管理方法包括:
接收远程管理设备发送的解锁指令;
根据所述解锁指令,所述存储设备与所述远程管理设备进行解锁认证;
在所述解锁认证通过后,所述存储设备解锁。
2.根据权利要求1所述的存储设备远程管理方法,其特征在于,所述管理方法还包括:
所述存储设备和所述远程管理设备进行配对认证;
在所述配对认证通过后,所述配对认证通过的消息用以指示所述远程管理设备生成控制界面,其中,所述控制界面用于生成所述解锁指令。
3.根据权利要求1所述的存储设备远程管理方法,其特征在于,所述解锁认证包括身份认证和凭证认证,所述存储设备与所述远程管理设备进行解锁认证,包括:
所述存储设备与所述远程管理设备进行身份认证和/或凭证认证;
所述解锁认证通过包括:所述身份认证或所述凭证认证的任意一种认证通过,或所述身份认证和所述凭证认证两种组合认证通过。
4.根据权利要求3所述的存储设备远程管理方法,其特征在于,所述身份认证包括双向认证,所述存储设备与所述远程管理设备进行双向认证的步骤,包括:
生成身份凭证,获取存储设备私钥对所述身份凭证进行签名得到第一签名值;
将所述身份凭证和所述第一签名值发送给所述远程管理设备,以使得所述远程管理设备根据存储设备公钥对所述第一签名值进行第一签名认证,得到第一认证信息,并获取远程管理设备私钥对所述身份凭证进行签名得到第二签名值;
接收所述远程管理设备发送的第二签名值,并根据远程管理设备公钥对所述第二签名值进行第二签名认证,得到第二认证信息;
根据所述第一认证信息和所述第二认证信息得到双向认证信息。
5.根据权利要求4所述的存储设备远程管理方法,其特征在于,在所述存储设备与所述远程管理设备进行双向认证之前,还包括:
生成存储设备公私钥对;
向所述远程管理设备发送所述存储设备公钥;
接收并存储所述远程管理设备所发送的远程管理设备公钥。
6.根据权利要求3所述的存储设备远程管理方法,其特征在于,所述存储设备与所述远程管理设备进行凭证认证的步骤,包括:
接收所述远程管理设备发送的解锁凭证;
根据所述解锁凭证进行凭证认证。
7.根据权利要求6所述的存储设备远程管理方法,其特征在于,在所述存储设备与所述远程管理设备进行凭证认证之前,还包括:
采用加密算法对所述解锁凭证进行第一加密计算,得到第一加密值并进行存储;
向所述远程管理设备发送所述解锁凭证;
所述根据所述解锁凭证进行凭证认证包括:
比较第二加密值与所存储的第一加密值是否一致,其中,所述第二加密值为采用所述加密算法对所述解锁凭证进行第二加密计算后所得到的加密值;
若一致,则确定所述凭证认证通过;
若不一致,则确定所述凭证认证不通过。
8.一种存储设备远程管理方法,其特征在于,所述管理方法应用于远程管理设备,所述管理方法包括:
响应触发指令,向所述存储设备发送解锁指令;
根据所述解锁指令,所述远程管理设备与所述存储设备进行解锁认证,以使得所述存储设备在所述解锁认证通过后,进行解锁操作。
9.一种存储设备远程管理系统,其特征在于,包括远程管理设备和存储设备;
所述远程管理设备用于响应触发指令,向所述存储设备发送解锁指令;
所述存储设备用于接收所述解锁指令,根据所述解锁指令,与所述远程管理设备进行解锁认证,在所述解锁认证通过后,进行解锁操作。
10.一种存储设备,其特征在于,包括控制模块和通信模块;
所述通信模块用于通信连接远程管理设备;
所述控制模块用于执行如权利要求1-7中任一项所述的存储设备远程管理方法的步骤。
11.一种计算机存储介质,其特征在于,其存储有计算机程序,所述计算机程序被执行时,实施根据权利要求1-8中任一项所述的存储设备远程管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210561309.2A CN114978689A (zh) | 2022-05-23 | 2022-05-23 | 存储设备远程管理方法、系统和存储设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210561309.2A CN114978689A (zh) | 2022-05-23 | 2022-05-23 | 存储设备远程管理方法、系统和存储设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114978689A true CN114978689A (zh) | 2022-08-30 |
Family
ID=82984540
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210561309.2A Pending CN114978689A (zh) | 2022-05-23 | 2022-05-23 | 存储设备远程管理方法、系统和存储设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978689A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588245A (zh) * | 2009-06-24 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种身份认证的方法、系统及存储设备 |
| CN103797491A (zh) * | 2011-09-28 | 2014-05-14 | 惠普发展公司,有限责任合伙企业 | 对存储设备进行解锁 |
| CN103886234A (zh) * | 2014-02-27 | 2014-06-25 | 浙江诸暨奇创电子科技有限公司 | 一种基于加密硬盘的安全计算机及其数据安全控制方法 |
| CN104182363A (zh) * | 2014-04-30 | 2014-12-03 | 喻健 | 一种通过无线传输的方式解锁加密的存储装置 |
| US20160048465A1 (en) * | 2014-08-18 | 2016-02-18 | Innostor Technology Corporation | Wireless authentication system and method for universal serial bus storage device |
| CN106789024A (zh) * | 2016-12-30 | 2017-05-31 | 深圳市文鼎创数据科技有限公司 | 一种远程解锁方法、装置和系统 |
| CN109033848A (zh) * | 2018-06-25 | 2018-12-18 | 湖南国科微电子股份有限公司 | 存储数据安全运行方法及系统 |
| CN110807186A (zh) * | 2019-11-06 | 2020-02-18 | 杭州华澜微电子股份有限公司 | 一种存储设备安全存储的方法、装置、设备和存储介质 |
-
2022
- 2022-05-23 CN CN202210561309.2A patent/CN114978689A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588245A (zh) * | 2009-06-24 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种身份认证的方法、系统及存储设备 |
| CN103797491A (zh) * | 2011-09-28 | 2014-05-14 | 惠普发展公司,有限责任合伙企业 | 对存储设备进行解锁 |
| CN103886234A (zh) * | 2014-02-27 | 2014-06-25 | 浙江诸暨奇创电子科技有限公司 | 一种基于加密硬盘的安全计算机及其数据安全控制方法 |
| CN104182363A (zh) * | 2014-04-30 | 2014-12-03 | 喻健 | 一种通过无线传输的方式解锁加密的存储装置 |
| US20160048465A1 (en) * | 2014-08-18 | 2016-02-18 | Innostor Technology Corporation | Wireless authentication system and method for universal serial bus storage device |
| CN106789024A (zh) * | 2016-12-30 | 2017-05-31 | 深圳市文鼎创数据科技有限公司 | 一种远程解锁方法、装置和系统 |
| CN109033848A (zh) * | 2018-06-25 | 2018-12-18 | 湖南国科微电子股份有限公司 | 存储数据安全运行方法及系统 |
| CN110807186A (zh) * | 2019-11-06 | 2020-02-18 | 杭州华澜微电子股份有限公司 | 一种存储设备安全存储的方法、装置、设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102138283B1 (ko) | 하나의 장치를 이용하여 다른 장치를 언로크하는 방법 | |
| JP7248754B2 (ja) | 暗号を伴うデータセキュリティシステム | |
| CN111884806B (zh) | 用于认证用户或确保交互安全的系统和硬件认证令牌 | |
| US10548014B2 (en) | Method for automatic recognition between a mobile device and a motor vehicle, capable of functioning according to the BLE protocol | |
| US9071439B2 (en) | Method and apparatus for remote administration of cryptographic devices | |
| JP7194847B2 (ja) | デジタルキー、端末デバイス、及び媒体の同一性を認証する方法 | |
| US10536846B1 (en) | Secure optical data exchange for stand alone certificate authority device | |
| CN102184352A (zh) | 基于蓝牙设备认证的计算机系统自动防护方法 | |
| BRPI1100749A2 (pt) | método de autenticação de rede e dispositivo para implementar o mesmo | |
| CN102215221A (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
| JP2005235159A (ja) | セキュアリモートアクセスシステム | |
| WO2013123453A1 (en) | Data storage devices, systems, and methods | |
| CN104636682A (zh) | 一种基于硬件设备的密码管理系统及方法 | |
| CN115150180A (zh) | 存储设备管理方法、存储设备、管理设备及存储介质 | |
| WO2021111824A1 (ja) | 電子署名システム及び耐タンパ装置 | |
| EP3480718B1 (en) | System and method for facilitating authentication via a shortrange wireless token | |
| US11829481B2 (en) | Method of verifying the integrity of an electronic device, and a corresponding electronic device | |
| CN100476841C (zh) | 对企业硬盘进行密码集中管理的方法和系统 | |
| US11240369B2 (en) | Dedicated mobile device in support of secure optical data exchange with stand alone certificate authority | |
| JP7276235B2 (ja) | 認証システム | |
| CN114978689A (zh) | 存储设备远程管理方法、系统和存储设备 | |
| TWI633231B (zh) | Smart lock and smart lock control method | |
| US9917696B2 (en) | Secure key component and pin entry |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |