CN101853360A - 一种用于移动存储设备的认证*** - Google Patents
一种用于移动存储设备的认证*** Download PDFInfo
- Publication number
- CN101853360A CN101853360A CN200910081324A CN200910081324A CN101853360A CN 101853360 A CN101853360 A CN 101853360A CN 200910081324 A CN200910081324 A CN 200910081324A CN 200910081324 A CN200910081324 A CN 200910081324A CN 101853360 A CN101853360 A CN 101853360A
- Authority
- CN
- China
- Prior art keywords
- authentication
- storage device
- movable storage
- trusted
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种用于移动存储设备的认证***,涉及移动存储技术领域。本发明包括移动存储设备,对移动存储设备的认证经过包括可信计算机认证因素在内的两个或两个以上的认证因素的认证,可信计算机内设有电气接口二和TCM可信密码模块。移动存储设备包括:电气接口一、控制处理单元、密码学服务单元和数据存储单元。同现有技术相比,本发明由包括可信计算机认证因素在内的多个因素对移动存储设备进行认证,既保证了移动存储设备认证因素的可信性,又提高了认证的可靠度。
Description
技术领域
本发明涉及移动存储技术领域,特别是用于移动存储设备的认证***。
背景技术
当今时代,信息安全的重要性尤为突出,信息安全漏洞带来的隐患和威胁也越来越大。在金融、IT、数字版权、电子商务、电子政务等各个领域都涉及到信息安全保护问题。同时,这些领域也需要用到一些移动存储设备来存储或转移机密信息。但是,这种移动存储设备经常被处于不安全的应用环境,存储设备中存储的机密信息很容易被他人窃取,并用于非法用途,可能使个人、企业、单位,甚至是军队、国家面临着机密泄露的危险,造成不可估量的损失。通常的移动存储设备采用安全芯片的方案来保护机密数据,为了加强保护的力度,也有在移动存储设备上增加认证的,只有通过认证后,移动存储设备才可以被授权使用或进行下一步操作。
现有技术中,常使用的认证因素包括口令、密码等知识因素,USBKey、电子一次性口令生成器等占有因素,指纹、虹膜等生物特征因素,各个因素提供对用户的唯一标识。在移动存储设备中,通常采用单因素认证的机制,这种认证机制很容易被破解,引发移动存储设备的不合法授权。为了避免开放式环境下木马等攻击手段对用户身份的威胁,降低不合法的认证通过,国内外开始使用双重或多重身份认证手段,如口令+电子令牌的双因素认证方式,也有结合指纹识别、证书和身份令牌USBKey的多因素认证方式。这种多因素认证方式加强了认证的可靠性,但是作为移动存储设备的认证因素却无法保证它的可信性。
发明内容
针对上述现有技术中存在的问题,本发明的目的是提供一种用于移动存储设备的认证***。它由包括可信计算机认证因素在内的多个因素对移动存储设备进行认证,可信计算机认证保证了移动存储设备认证因素的可信性,多因素认证提高了认证的可靠性。
为了达到上述发明目的,本发明的技术方案以如下方式实现:
一种用于移动存储设备的认证***,其结构特点是,它包括移动存储设备,对移动存储设备的认证经过包括可信计算机认证因素在内的两个或两个以上的认证因素的认证,可信计算机内设有电气接口二和TCM(Trusted Cryptography Module)可信密码模块。移动存储设备包括:
电气接口一——与可信计算机中的电气接口二相互匹配,用于传递数据和读写信息;
控制处理单元——与电气接口一相互连接,提供访问控制、数据处理和数据传输服务,用于控制电气接口一的通信、提供认证协议、控制认证过程和结果;
密码学服务单元——与控制处理单元相互连接,用于提供密码学服务;
数据存储单元——与控制处理单元相互连接,存储信息或数据。
在上述认证***中,所述可信计算机认证因素基于将TCM可信密码模块作为可信根构建可信计算环境。
在上述认证***中,所述可信根包括可信度量根、可信报告根和可信存储根。
本发明由于采用了上述结构,将可信计算机作为移动存储设备的认证因素,确保了认证因素的可信性。同时,多因素认证机制保证移动存储设备认证的可靠性,在移动存储设备使用时达到了更高安全级别的认证要求。本发明认证***可应用于各个领域来保证授权人的合法性,经过本发明认证***认证后的移动存储设备与可信计算机联合使用,更可保证使用环境的可信性,能够实现移动存储设备内部存储数据的安全读写与删除、移动存储设备与其他设备的安全共享、授权使用的用户身份有效识别等。
下面结合附图和具体实施方式对本发明作进一步说明。
附图说明
图1为本发明结构示意图;
图2为本发明实施例中可信计算机可信度量***的结构示意图;
图3为本发明实施例中移动存储设备多因素认证示意图;
图4为本发明实施例中移动存储设备进行可信计算机认证的流程图;
图5为本发明实施例中移动存储设备进行口令认证的流程图;
图6为本发明实施例中移动存储设备进行指纹认证的流程图。
具体实施方式
参见图1,本发明中对移动存储设备的认证经过包括可信计算机认证因素在内的两个或两个以上的认证因素的认证,可信计算机认证因素基于将TCM可信密码模块作为可信根构建可信计算环境。可信根包括可信度量根、可信报告根和可信存储根。可信计算机内设有电气接口二和TCM可信密码模块。移动存储设备包括:
电气接口一——与可信计算机中的电气接口二相互匹配,用于传递数据和读写信息。
控制处理单元——与电气接口一相互连接,提供访问控制、数据处理和数据传输服务,用于控制电气接口一的通信、提供认证协议、控制认证过程和结果。
密码学服务单元——与控制处理单元相互连接,用于提供密码学服务;主要包括随机数生成器、摘要算法、加解密算法、数字签名算法和数字签名验证算法等。
数据存储单元——与控制处理单元相互连接,存储信息或数据。
本发明用于移动存储设备的认证***还包括除可信计算机以外的其他因素的认证。
参见图2,本发明实施例中内部嵌有TCM可信密码模块的可信计算机上构建的可信度量***包括下述内容:
可信计算机采用国产TCM可信密码模块作为可信根构建可信计算环境,整个可信计算环境包括TCM可信密码模块、可信BIOS(BasicInput and Output System)/EFI(Extended Firmware Interface)、可信启动装载程序(Boot Loader)、可信操作***内核(OS Kernel)和可信应用程序。可信应用程序可对本发明实施例的移动存储设备进行身份认证提供服务。
参见图3,本发明移动存储设备在被授权访问时要经过多因素认证。其中必要的认证因素为可信计算机认证,其他认证因素可为口令因素、指纹因素、虹膜因素、USBKey因素等各种因素。只有在各认证因素都按预设条件认证通过时,移动存储设备才可以被访问或操作。需要说明的是:该移动存储设备经过多重认证的顺序可根据需求任意设计安排。
参见图4、图5和图6,对本发明中的移动存储设备选取三种认证因素认证的方式,分别为可信计算机认证、口令认证和指纹认证。只有当这三种认证因素都认证通过后,移动存储设备才可以被授权使用或访问。
其中,可信计算机认证流程为:移动存储设备生成一段随机校验码,并使用随机校验码制作签名信息发送给可信计算机,可信计算机利用TCM可信密码模块验证签名的合法性,若不合法则认证失败;若合法,可信计算机使用移动存储设备证书公钥加密签名信息,发送给移动存储设备,移动存储设备收到该密文后,由控制处理单元调用密码学单元功能,用私钥解密该密文,并将解密后的信息与签名信息对比验证,若对比失败则认证失败,若对比成功则认证成功,可信计算机即完成对移动存储设备的认证。为了和TCM可信密码模块使用的密码算法相统一,移动存储设备中密码算法服务单元提供了随机数发生器、SMS4算法、ECC加密算法、SM3算法、ECC签名和签名认证算法,用以完成可信计算机对移动存储设备的认证。
口令认证流程为:移动存储设备通过电气接口发送口令认证请求;用户收到请求后,输入用户口令,该口令信息被传输给移动存储设备;移动存储设备的控制处理单元调用密码学服务单元以及数据存储单元功能,通过运算处理,验证用户口令的合法性。若合法,用户口令认证成功,若不合法,用户口令认证失败。
指纹认证流程为:移动存储设备发送指纹认证请求;用户收到请求后,通过指纹传感器模块刷入指纹信息,指纹信息特征值通过指纹传感器模块传送到控制处理单元,控制处理单元调用密码学服务单元以及数据存储单元功能,通过运算处理,验证用户指纹信息的合法性。若合法,指纹认证成功,若不合法,指纹认证失败。在本发明实施例中,移动存储设备可增加指纹传感器模块,用于指纹因素的认证。
上述实施例中用于移动存储设备的认证***,利用认证因素的可信性和多重性保证了认证的可信性和可靠性。通过本实施例的方法制造的移动存储设备,能够有效防止不合法的认证,满足机密信息存储的需要。同时,可根据实际使用需要,适当增加移动存储设备的模块,满足不同认证因素认证的需求。
应当说明的是:上述实施例仅用以说明本发明的技术方案,而非对其进行限制。尽管上述实施例对本发明做了详细的说明,本领域的普通技术人员应当理解:依据上述实施例所记载的技术方案进行修改,或对其中部分技术特征进行等同替换,并不使相应技术方案的本质脱离本发明所述技术方案的技术思路,都属于本发明的保护范围。
Claims (3)
1.一种用于移动存储设备的认证***,其特征在于,它包括移动存储设备,对移动存储设备的认证经过包括可信计算机认证因素在内的两个或两个以上的认证因素的认证,可信计算机内设有电气接口二和TCM可信密码模块,移动存储设备包括:
电气接口一——与可信计算机中的电气接口二相互匹配,用于传递数据和读写信息;
控制处理单元——与电气接口一相互连接,提供访问控制、数据处理和数据传输服务,用于控制电气接口一的通信、提供认证协议、控制认证过程和结果;
密码学服务单元——与控制处理单元相互连接,用于提供密码学服务;
数据存储单元——与控制处理单元相互连接,存储信息或数据。
2.根据权利要求1所述用于移动存储设备的认证***,其特征在于,所述可信计算机认证因素是基于将TCM可信密码模块作为可信根构建的可信计算环境。
3.根据权利要求1或2所述用于移动存储设备的认证***,其特征在于,所述可信根包括可信度量根、可信报告根和可信存储根。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910081324A CN101853360A (zh) | 2009-04-02 | 2009-04-02 | 一种用于移动存储设备的认证*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910081324A CN101853360A (zh) | 2009-04-02 | 2009-04-02 | 一种用于移动存储设备的认证*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101853360A true CN101853360A (zh) | 2010-10-06 |
Family
ID=42804841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910081324A Pending CN101853360A (zh) | 2009-04-02 | 2009-04-02 | 一种用于移动存储设备的认证*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101853360A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102202057A (zh) * | 2011-05-18 | 2011-09-28 | 株洲南车时代电气股份有限公司 | 一种移动存储器安全转储数据***及其方法 |
| CN102426635A (zh) * | 2011-10-31 | 2012-04-25 | 北京天地融科技有限公司 | 文件信息显示装置、显示方法及*** |
| CN105144656A (zh) * | 2013-04-26 | 2015-12-09 | 交互数字专利控股公司 | 用于实现要求的认证确保级别的多因素认证 |
| CN105426734A (zh) * | 2015-11-12 | 2016-03-23 | 山东超越数控电子有限公司 | 一种基于可信计算的身份认证方法及装置 |
| CN107451514A (zh) * | 2016-05-31 | 2017-12-08 | 展讯通信(上海)有限公司 | 一种生物特征信息认证的方法及装置 |
| CN108241798A (zh) * | 2017-12-22 | 2018-07-03 | 北京车和家信息技术有限公司 | 防止刷机的方法、装置及*** |
| CN108830070A (zh) * | 2014-02-28 | 2018-11-16 | Ncr公司 | 无人参与且安全的设备授权 |
| CN109902481A (zh) * | 2019-03-07 | 2019-06-18 | 北京深思数盾科技股份有限公司 | 一种用于加密设备的加密锁认证方法及加密设备 |
| CN112560011A (zh) * | 2021-02-07 | 2021-03-26 | 浙江地芯引力科技有限公司 | 一种基于加密芯片的外接适配设备安全认证***和方法 |
-
2009
- 2009-04-02 CN CN200910081324A patent/CN101853360A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102202057A (zh) * | 2011-05-18 | 2011-09-28 | 株洲南车时代电气股份有限公司 | 一种移动存储器安全转储数据***及其方法 |
| CN102202057B (zh) * | 2011-05-18 | 2013-11-27 | 株洲南车时代电气股份有限公司 | 一种移动存储器安全转储数据***及其方法 |
| CN102426635A (zh) * | 2011-10-31 | 2012-04-25 | 北京天地融科技有限公司 | 文件信息显示装置、显示方法及*** |
| CN102426635B (zh) * | 2011-10-31 | 2014-11-19 | 天地融科技股份有限公司 | 文件信息显示装置、显示方法及*** |
| CN105144656A (zh) * | 2013-04-26 | 2015-12-09 | 交互数字专利控股公司 | 用于实现要求的认证确保级别的多因素认证 |
| CN108830070A (zh) * | 2014-02-28 | 2018-11-16 | Ncr公司 | 无人参与且安全的设备授权 |
| CN105426734B (zh) * | 2015-11-12 | 2018-04-13 | 山东超越数控电子股份有限公司 | 一种基于可信计算的身份认证方法及装置 |
| CN105426734A (zh) * | 2015-11-12 | 2016-03-23 | 山东超越数控电子有限公司 | 一种基于可信计算的身份认证方法及装置 |
| CN107451514A (zh) * | 2016-05-31 | 2017-12-08 | 展讯通信(上海)有限公司 | 一种生物特征信息认证的方法及装置 |
| CN107451514B (zh) * | 2016-05-31 | 2020-08-18 | 展讯通信(上海)有限公司 | 一种生物特征信息认证的方法及装置 |
| CN108241798A (zh) * | 2017-12-22 | 2018-07-03 | 北京车和家信息技术有限公司 | 防止刷机的方法、装置及*** |
| CN108241798B (zh) * | 2017-12-22 | 2021-04-02 | 北京车和家信息技术有限公司 | 防止刷机的方法、装置及*** |
| CN109902481A (zh) * | 2019-03-07 | 2019-06-18 | 北京深思数盾科技股份有限公司 | 一种用于加密设备的加密锁认证方法及加密设备 |
| CN112560011A (zh) * | 2021-02-07 | 2021-03-26 | 浙江地芯引力科技有限公司 | 一种基于加密芯片的外接适配设备安全认证***和方法 |
| CN112560011B (zh) * | 2021-02-07 | 2021-06-01 | 浙江地芯引力科技有限公司 | 一种基于加密芯片的外接适配设备安全认证***和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10116453B2 (en) | Method for distributed trust authentication | |
| CN101853360A (zh) | 一种用于移动存储设备的认证*** | |
| CN102685110B (zh) | 一种基于指纹特征的通用用户注册认证方法及*** | |
| US8490164B2 (en) | User authentication method, user authenticating device and program product | |
| CN101051908B (zh) | 动态密码认证***及方法 | |
| CN101350723B (zh) | 一种USB Key设备及其实现验证的方法 | |
| US9112681B2 (en) | Method and apparatus for secure information transfer to support migration | |
| US10867058B2 (en) | Method and system for protecting secure computer systems from insider threats | |
| CN101452514B (zh) | 一种安全计算机的用户数据保护方法 | |
| US20160065378A1 (en) | Apparatus for Providing Puf-Based Hardware OTP and Method for Authenticating 2-Factor Using Same | |
| US8566952B1 (en) | System and method for encrypting data and providing controlled access to encrypted data with limited additional access | |
| JP2012044670A (ja) | バイオメトリック識別技術の利用に基づいたユーザー認証方法及び関連のアーキテクチャー | |
| CN103138939A (zh) | 云存储模式下基于可信平台模块的密钥使用次数管理方法 | |
| JP2015504222A (ja) | データ保護方法及びシステム | |
| CN103067390A (zh) | 一种基于人脸特征的用户注册认证方法和*** | |
| US20130088327A1 (en) | Template delivery type cancelable biometric authentication system and method therefor | |
| TWM623435U (zh) | 使用多安全層級驗證客戶身分與交易服務之系統 | |
| WO2010089723A1 (en) | A circuit, system, device and method of authenticating a communication session and encrypting data thereof | |
| Khan et al. | A brief review on cloud computing authentication frameworks | |
| CN201408424Y (zh) | 一种用于移动存储设备的认证装置 | |
| KR101221728B1 (ko) | 그래픽 otp 인증을 위한 인증처리서버 및 그 방법 | |
| KR101947408B1 (ko) | PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법 | |
| CN108243158A (zh) | 一种安全认证的方法和装置 | |
| Lee et al. | A study on a secure USB mechanism that prevents the exposure of authentication information for smart human care services | |
| RU2334272C1 (ru) | Устройство защиты от несанкционированного доступа к информации |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101006 |