CN102368773B - 移动存储器的访问控制方法、移动存储器及*** - Google Patents
移动存储器的访问控制方法、移动存储器及*** Download PDFInfo
- Publication number
- CN102368773B CN102368773B CN201110337782.4A CN201110337782A CN102368773B CN 102368773 B CN102368773 B CN 102368773B CN 201110337782 A CN201110337782 A CN 201110337782A CN 102368773 B CN102368773 B CN 102368773B
- Authority
- CN
- China
- Prior art keywords
- certificate
- mobile memory
- fileinfo
- user
- display unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种移动存储器的访问控制方法、移动存储器及***,属信息安全领域。该方法包括:移动存储器通过证书读写接口从证书存储装置存储的用户证书中获取用户证书;移动存储器使用预先存储的根证书对获取到的用户证书进行认证,认证成功后,移动存储器接收与其连接的文件信息显示装置发送的文件信息浏览请求,并提取与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示。该方法避免了目前采用的静态口令进行用户身份认证,造成的移动存储装置访问控制的安全性较差的问题。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种移动存储器的访问控制方法、移动存储器及***。
背景技术
随着移动存储器,尤其是以USB为接口的移动存储器(以下简称为U盘)的迅速普及,存储在U盘中的文件的安全性问题日益受到关注。
为了增强U盘的安全性,能够对U盘的文件访问操作进行控制的安全U盘已逐渐应用到军事、金融、商业等领域。安全U盘进行访问控制的基本原理是,用户在对安全U盘中的文件进行访问前,需要通过计算机终端向安全U盘发送认证口令(以下简称为口令),安全U盘对口令进行认证,认证通过后才允许对安全U盘进行文件读写等操作。
现有的安全U盘使用静态的认证口令对使用者进行身份认证,安全性较差。
发明内容
本发明实施方式的目的是提供一种移动存储器的访问控制方法、移动存储器及***,提高移动存储器访问的安全性,解决现有安全U盘使用静态的认证口令对使用者进行身份认证,安全性较差的问题。
本发明的目的是通过以下技术方案实现的:
本发明实施方式提供一种移动存储器的访问控制方法,该方法包括以下步骤:
移动存储器通过证书读写接口从证书存储装置存储的用户证书中获取用户证书;
移动存储器使用预先存储的根证书对获取到的用户证书进行认证,认证成功后,移动存储器接收与其连接的文件信息显示装置发送的文件信息浏览请求,并提取与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示。
上述方法中,在移动存储器通过证书读写接口从证书存储装置存储的用户证书中获取用户证书之前,还包括:所述移动存储器与文件信息显示装置连接,连接后接收文件信息显示装置发送的认证请求;接收到所述认证请求后执行所述获取用户证书的操作。
上述方法中,所述认证请求中包含证书存储器认证口令;
移动存储器通过以下方式经证书读写接口从证书存储装置存储的用户证书中获取用户证书:
移动存储器提取认证请求中的证书存储器认证口令,经证书读写接口向证书存储装置发送包含证书存储器认证口令的证书读取请求;
在证书存储装置对接收的证书读取请求中的证书存储器认证口令认证成功后,经证书读写接口将用户证书发送给移动存储器。
上述方法中,所述认证请求中包含用户名;
移动存储器通过证书读写接口从证书存储装置中获取的用户证书为与所述认证请求中包含的用户名对应的用户证书。
上述方法中,移动存储器通过以下方式从证书存储装置中获取与认证请求中的用户名对应的用户证书:
移动存储器读取证书存储装置中与用户名相对应的用户证书;或者移动存储器将证书存储装置中存储的所有用户证书读取至移动存储器中,并通过用户名选择对应的用户证书。
上述方法中,在移动存储器对获取到的用户证书认证成功后,还包括:
移动存储器获取本地存储的该用户对应的访问权限信息作为当前的访问权限。
上述方法中,在对获取到的用户证书进行认证之前,移动存储器还通过以下方式对证书存储装置的合法性进行验证:
接收证书存储装置发送的以下数据:证书存储装置使用其本地存储的与该用户证书所对应的私钥对原始数据进行签名生成的签名数据,以及所述原始数据;
移动存储器通过使用该用户证书所对应的公钥对接收到的签名数据以及所述原始数据进行验证,对该证书存储装置是否为该用户证书的合法拥有者进行确认。
上述方法中,文件信息显示装置发送文件信息浏览请求前,还包括以下步骤:
移动存储器与文件信息显示装置进行密钥协商,得到用于对文件信息进行加密和解密的传输密钥。
上述方法中,移动存储器接收文件信息显示装置发送的文件信息浏览请求后,还包括以下步骤:
移动存储器对该文件信息浏览请求进行分析,判断当前的访问权限是否允许进行对应的文件访问操作,若允许,则执行对应的文件访问操作;若不允许,则向文件信息显示装置返回禁止执行对应的文件访问操作的应答信息。
上述方法中,在移动存储器判断当前的访问权限为允许进行对应的文件访问操作后,还包括以下步骤:
移动存储器判断当前的文件访问操作是否需要进行口令认证,若需要,则向文件信息显示装置发送口令认证请求;
移动存储器接收文件信息显示装置回复的口令认证应答;口令认证应答中包含由用户通过文件信息显示装置输入的对应的文件操作口令;
移动存储器对口令认证应答中包含的文件操作口令进行认证,认证通过后再执行所述提取与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示的操作。
上述方法中,移动存储器通过以下方式将提取的与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示:
移动存储器用预先设置的传输密钥或与文件信息显示装置协商得到的传输密钥,对提取的与文件信息浏览请求对应的文件信息进行加密后,再发送至文件信息显示装置;
文件信息显示装置接收到文件信息后,用传输密钥对其进行解密,将解密后的文件信息在显示屏上进行显示。
本发明实施方式还提供一种移动存储器,该移动存储器包括:主控模块、数据传输模块、存储模块和证书读写接口;其中,
所述数据传输模块与所述主控模块连接,用于连接外部的文件信息显示装置,使所述主控模块与文件信息显示装置之间进行数据的传输;
所述存储模块与所述主控模块连接,用于存储供所述主控模块提取的文件信息和对用户证书进行认证用的根证书;
所述证书读写接口与所述主控模块连接,用于连接证书存储装置,使主控模块从证书存储装置存储的用户证书中获取用户证书;
所述主控模块与所述数据传输模块、证书读写接口和存储模块连接,用于通过证书读写接口从证书存储装置存储的用户证书中获取用户证书;使用从所述存储模块提取的根证书对获取到的用户证书进行认证,认证成功后,接收所连接的文件信息显示装置经所述数据传输模块输入的文件信息浏览请求,并从存储模块中提取与该文件信息浏览请求对应的文件信息后,通过所述数据传输模块发送至文件信息显示装置进行显示。
上述移动存储器,在所述主控模块通过证书读写接口从证书存储装置存储的用户证书中获取用户证书之前,
所述主控模块,还用于接收由连接后的文件信息显示装置经所述数据传输模块输入的认证请求。
上述移动存储器,所述接收的由文件信息显示装置经所述数据传输模块输入的认证请求中包含证书存储器认证口令;
所述主控模块,还用于提取认证请求中的证书存储器认证口令,经证书读写接口向证书存储装置发送包含证书存储器认证口令的证书读取请求;并在证书存储装置对接收的证书读取请求中的证书存储器认证口令认证成功后,接收由证书存储装置发送的用户证书。
上述移动存储器,所述接收的由文件信息显示装置经所述数据传输模块输入的认证请求中包含用户名;
所述主控模块,还用于通过证书读写接口从证书存储装置存储的用户证书中获取与所述认证请求中包含的用户名对应的用户证书。
上述移动存储器,在对获取到的用户证书进行认证之前,
所述主控模块,还用于接收证书存储装置发送的以下数据:证书存储装置使用其本地存储的与该用户证书所对应的私钥对原始数据进行签名生成的签名数据,以及所述原始数据;并通过使用该用户证书所对应的公钥对接收到的签名数据以及所述原始数据进行验证,对该证书存储装置是否为该用户证书的合法拥有者进行确认。
上述移动存储器,在对获取到的用户证书认证成功后,
所述主控模块,还用于将所述存储模块存储的该用户对应的访问权限信息作为当前的访问权限。
上述移动存储器,文件信息显示装置发送文件信息浏览请求前,
所述主控模块,还用于与文件信息显示装置进行密钥协商,得到用于对文件信息进行加密和解密的传输密钥。
上述移动存储器,在接收文件信息显示装置发送的文件信息浏览请求后,
所述主控模块,还用于对该文件信息浏览请求进行分析,判断当前的访问权限是否允许进行对应的文件访问操作,若允许,则执行对应的文件访问操作;若不允许,则向文件信息显示装置返回禁止执行对应的文件访问操作的应答信息。
上述移动存储器,在判断当前的访问权限为允许进行对应的文件访问操作后,
所述主控模块,还用于判断当前的文件访问操作是否需要进行口令认证,若需要,则向文件信息显示装置发送口令认证请求;在文件信息显示装置接收到口令认证请求后,接收文件信息显示装置回复的口令认证应答,口令认证应答中包含由用户通过文件信息显示装置输入的对应的文件操作口令;并对口令认证应答中包含的文件操作口令进行认证,认证通过后再执行提取与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示。
上述移动存储器,在将提取的与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示时,
所述主控模块,还用于用预先设置的传输密钥或与文件信息显示装置协商得到的传输密钥,对提取的与文件信息浏览请求对应的文件信息进行加密后,再发送至文件信息显示装置。
本发明实施方式进一步提供一种移动存储器的访问控制***,该***包括:
相互连接的移动存储器和文件信息显示装置,其中,所述移动存储器采用上述的移动存储器;
和连接在所述移动存储器的证书读写接口上的证书存储装置。
由上述本发明提供的技术方案可以看出,本发明实施方式的方法中,通过证书读写接口从证书存储装置中读取预先存储的由可信的CA颁发的用户证书,并使用根证书对读取到用户证书进行认证,认证通过后才允许用户通过文件信息显示装置对移动存储器进行相应的文件访问操作。避免了目前采用的静态口令进行用户身份认证,造成的移动存储装置访问控制的安全性较差的问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的移动存储器的访问控制方法流程图;
图2为本发明实施例提供的移动存储器的示意图;
图3为本发明实施例提供的移动存储器的访问控制***的示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
本发明的要点在于:在移动存储器(例如U盘)中预先存储一个或多个根证书(颁发者证书),每一根证书对应一个可信的CA(Certificate Authority,认证中心),并且移动存储器中设置有证书读写接口(USB接口或IC卡接口);移动存储器与文件信息显示装置(例如,个人电脑或专用的移动存储器显示装置,以下简称显示装置)连接后,通过证书读写接口从USB设备(例如,USB KEY)或IC卡(统称为证书存储装置)中读取预先存储的由上述可信的CA颁发的证书(可以称为用户证书),并使用根证书对读取到用户证书进行认证,认证通过后才允许用户通过显示装置对移动存储器进行相应安全级别的文件访问操作。
下面将结合附图对本发明实施例作进一步地详细描述。
第一方法实施例
图1是本发明移动存储器的访问控制方法流程图。如图1所示,该方法包括如下步骤:
101,移动存储器与显示装置连接后,显示装置显示用户认证界面,以提示用户输入用户名;
此外,可选地,用户还可以通过用户认证界面输入用于证书存储装置认证的静态口令(可以成为证书存储器认证口令)。
102,显示装置向移动存储器发送认证请求;
上述认证请求中可以包含用户名,以及证书存储器认证口令(可选)。
103,接收到显示装置发送的认证请求后,若认证请求中包含用户名,则移动存储器提取其中包含的用户名;
104,如果认证请求中包含证书存储器认证口令,移动存储器还应当提取认证请求中包含的证书存储器认证口令;
105,移动存储器通过证书读写接口从证书存储装置中读取用户证书;
本步骤中移动存储器可以仅读取证书存储装置中存储的用户证书(此时该移动存储器可以只属于单一用户,证书存储装置中只存储一个对应的用户证书),或移动存储器可以仅读取证书存储装置中与用户名相对应的用户证书(此时该移动存储器可以属于多个用户,证书存储装置中存储有对应于不同用户名的多个用户证书);在证书存储装置中存储有多个用户证书的情况下,也可以将证书存储装置中存储的所有用户证书都读取至移动存储器中,并通过用户名选择对应的用户证书。
当证书存储装置中存储有多个用户证书时,为了便于移动存储器读取/选择对应的用户证书,用户在用户认证界面中需要输入与用户证书的使用者标识信息相同的用户名。
为了提高安全性,如果认证请求中包含证书存储器认证口令,移动存储器在读取用户证书时,还应当将证书存储器认证口令发送给证书存储装置进行认证。具体地说,本步骤可以分为如下子步骤:
105a,移动存储器向证书存储装置发送证书读取请求;
证书读取请求中包含用户名和证书存储器认证口令。
105b,证书存储装置接收到移动存储器发送的证书读取请求后,对证书存储器认证口令进行认证;如果认证成功,则执行后续步骤;如果认证失败,则向移动存储器发送认证失败的应答消息,本子步骤结束。
证书存储装置可以通过将本地存储的证书存储器认证口令与证书读取请求中包含的证书存储器认证口令进行比较来进行证书存储器认证口令的认证。
此外,如果证书存储装置支持多用户,每一用户对应不同的证书存储器认证口令,证书存储装置还应当使用证书读取请求中的用户名在本地查找对应的证书存储器认证口令,并将其与证书读取请求中包含的证书存储器认证口令进行比较。
105c,认证通过后,证书存储装置根据证书读取请求中包含的用户名提取本地存储的对应的用户证书,并将其发送给移动存储器;
此外,为了证明证书存储装置的合法性,即证明该证书存储装置是用户证书的合法拥有者,在向移动存储器发送用户证书时,证书存储装置还需要使用本地存储的该用户证书所对应的用户的私钥对一段原始数据进行签名,生成签名数据,并将该原始数据与签名数据与用户证书一起发送给移动存储器。
106,移动存储器对读取到的用户证书进行认证,如果证书认证成功,则执行下一步,否则向显示装置发送认证失败的消息,本流程结束;
上述认证过程可以分为如下子步骤:
106a,移动存储器读取用户证书中的颁发者标识信息,并根据该信息获取对应的颁发者证书(即根证书);
106b,移动存储器从颁发者证书中读取该证书的公钥;
106c,移动存储器使用上述公钥对用户证书的证书签名字段进行验证,如果签名验证成功则表明证书认证成功,否则表明证书认证失败。
此外,除执行106a~106c对用户证书的合法性进行认证以外,为了验证证书存储装置的合法性,即验证该证书存储装置是用户证书的合法拥有者,移动存储器还可以执行如下的认证操作:
106d,移动存储器从用户证书中提取该用户证书的公钥;
106e,移动存储器使用用户证书的公钥对证书存储装置发送的签名数据进行解密,并通过将解密得到的数据与证书存储装置发送的原始数据进行对比,如果二者一致,则证明证书存储装置是用户证书的合法拥有者。
107,证书认证通过后,移动存储器获取本地存储的该用户对应的访问权限信息,并将其作为当前的访问权限。
访问权限可以分为多个等级,不同的访问权限等级可以对应不同的文件、和/或目录、和/或分区、和/或不同的文件操作(例如,读取文件,修改文件,删除文件,创建文件,浏览文件夹,创建文件夹,删除文件夹等)。
例如,可以将访问权限分为三级:高级、中级和低级;
对于访问权限为高级的用户,可以对所有分区的所有目录(文件夹)中的所有文件进行所有的文件访问操作;
对于访问权限为中级的用户,可以对特定分区/目录(文件夹)中的部分或全部文件进行读取、修改操作,并可以进行创建文件、浏览文件夹等文件访问操作;但不允许进行删除文件,删除文件夹等操作;
对于访问权限为低级的用户,只能对特定分区/目录(文件夹)中的部分文件进行读取操作。
108,证书认证成功后,移动存储器向显示装置发送认证应答,以通知显示装置/用户已通过认证,可以进行后续的密钥协商、文件浏览等操作;
109,移动存储器与显示装置进行密钥协商,得到用于对文件信息进行加密和解密的传输密钥。
上述密钥协商过程可以采用ECDH(椭圆曲线密码体制的Diffie-Hellman)算法实现,也可以采用现有技术中的其它密钥协商/交换算法实现。
本步骤为可选步骤。
110,显示装置在其显示屏上显示文件信息浏览操作界面,供用户启动文件信息浏览操作;
文件信息浏览操作界面可以是一段文字信息,例如:“按下X键后开始进行文件信息的浏览操作”,当用户按下指定按键后启动文件信息的浏览操作;文件信息浏览操作界面也可以是一个图标,当用户选择该图标后启动文件信息的浏览操作。
如果显示装置是个人电脑,上述文件信息浏览操作界面通常为个人电脑操作***提供的文件浏览器,例如资源管理器。
111,接收到用户通过键盘等输入设备输入的文件信息浏览指令后,显示装置向移动存储器发送相应的文件信息浏览请求;
上述文件信息浏览指令可以是:浏览磁盘中包含的磁盘分区、浏览磁盘分区中包含的文件或文件夹、显示文件信息等。
上述文件信息浏览请求中包含:分区信息,文件路径信息,文件名称,数据起始位置,数据结束位置(或数据长度)等信息。
上述分区信息用于指定移动存储器上的特定磁盘分区或者根分区;
例如,当移动存储器包含多个分区(例如,包含分区1和分区2)时,分区信息中包含分区1的标识则表示需要浏览分区1中的文件或文件夹;分区信息中包含根分区标识则表示需要浏览移动存储器中包含的各磁盘分区(即分区1和分区2)。
文件路径信息用于指定移动存储器的特定磁盘分区或者根分区中的文件夹;
例如,文件路径信息为“文件夹1\子文件夹2”表示需要浏览某一磁盘分区或根分区中“文件夹1”中的“子文件夹2”中的文件或文件夹。
文件名称用于指定移动存储器的特定磁盘分区或者根分区中某一文件路径中的特定文件的名称;
数据起始位置用于指定需要读取的某一文件的数据起始位置;
数据结束位置用于指定需要读取的某一文件的数据结束位置;
数据结束位置也可以由数据长度代替,即显示装置指定需要读取的文件的数据起始位置和数据长度,移动存储器根据上述信息确定显示装置需要读取的文件的数据结束位置。
112,接收到显示装置发送的文件信息浏览请求后,移动存储器对该文件信息浏览请求进行分析,判断当前的访问权限是否允许进行对应的文件访问操作,如果允许,则执行下一步;如果不允许,则向显示装置返回禁止执行对应的文件访问操作的应答信息,本流程结束。
113,移动存储器提取文件信息浏览请求对应的文件信息;
上述文件信息可以是:文件的全部或部分数据,也可以是某一分区或文件夹中包含的各文件的属性信息(例如,文件名称,文件大小等)。
114,移动存储器使用预先设置的传输密钥或步骤109中协商得到的传输密钥对提取的文件信息进行加密;
本步骤为可选步骤。
115,移动存储器将文件信息发送至显示装置。
116,显示装置接收到文件信息后,如果该文件信息已加密,则使用传输密钥对其进行解密,将解密的文件信息显示在显示屏上;如果文件信息未加密,则直接将其显示在显示屏上。
此后,当用户使用显示装置中的键盘等输入设备进行文件操作(例如,打开文件操作、翻页操作、浏览新的磁盘分区、浏览新文件夹),需要从移动存储器中读取新的文件信息时,显示装置与移动存储器重复执行步骤111至步骤116。
第二方法实施例
第二实施例与第一实施例的不同之处在于:第一实施例中移动存储器仅通过读取的用户证书进行权限管理;第二实施例中,对于特定的文件操作,例如文件打开操作,还可以要求用户输入对应的文件操作口令;上述文件操作口令可以是静态口令,也可以是动态口令(例如,OTP口令)。因此在步骤112~113之间还需要增加如下步骤:
A:移动存储器判断当前的文件访问操作是否需要进行口令认证,如果需要则执行步骤B;
需要进行口令认证的文件访问操作可以是特定类型的文件访问操作,例如,所有的打开文件操作,也可以是针对特定文件或文件夹(特定对象)执行的特定的文件访问操作,例如,对特定文件夹中的文件执行的打开文件操作需要进行口令认证。
B:移动存储器向显示装置发送口令认证请求;
C:显示装置提示用户输入相应的文件操作口令;
上述文件操作口令可以是预先设置的静态口令,也可以是动态口令(例如,OTP口令)。如果采用动态口令,用户需要通过令牌获取口令,移动存储器中需要设置与令牌对应的动态口令生成器,以便进行口令认证。
D:显示装置将用户输入的文件操作口令包含在口令认证应答中发送给移动存储器;
E:移动存储器对文件操作口令进行认证,认证通过后执行后续的文件操作。
第一装置实施例
图2是本发明移动存储器的示意图。如图2所示,该移动存储器包括:主控模块、数据传输模块、存储模块和证书读写接口;其中,
所述数据传输模块与所述主控模块连接,用于连接外部的文件信息显示装置,使所述主控模块与文件信息显示装置之间进行数据的传输;
所述存储模块与所述主控模块连接,用于存储供所述主控模块提取的文件信息和对用户证书进行认证用的颁发者证书(即根证书);
所述证书读写接口与所述主控模块连接,用于连接证书存储装置,使主控模块从证书存储装置存储的用户证书中获取用户证书;
所述主控模块与所述数据传输模块、证书读写接口和存储模块连接,用于接收由文件信息显示装置经所述数据传输模块输入的认证请求,接收到认证请求后,通过证书读写接口从证书存储装置存储的用户证书中获取用户证书;对获取到的用户证书进行认证,认证成功后,接收文件信息显示装置经所述数据传输模块输入的文件信息浏览请求,并从存储模块中提取与该文件信息浏览请求对应的文件信息后,通过所述数据传输模块发送至文件信息显示装置进行显示。
上述移动存储器中,所述接收的由文件信息显示装置经所述数据传输模块输入的认证请求中包含证书存储器认证口令;
所述主控模块,还用于提取认证请求中的证书存储器认证口令,经证书读写接口向证书存储装置发送包含证书存储器认证口令的证书读取请求;并在证书存储装置对接收的证书读取请求中的证书存储器认证口令认证成功后,接收由证书存储装置发送的用户证书。
上述移动存储器中,所述接收的由文件信息显示装置经所述数据传输模块输入的认证请求中包含用户名;
所述主控模块,还用于通过证书读写接口从证书存储装置存储的用户证书中获取与所述认证请求中包含的用户名对应的用户证书。
上述移动存储器中,在对获取到的用户证书进行认证之前,
所述主控模块,还用于接收证书存储装置发送的以下数据:证书存储装置使用其本地存储的与该用户证书所对应的私钥对原始数据进行签名生成的签名数据,以及所述原始数据;并通过使用该用户证书所对应的公钥对接收到的签名数据以及所述原始数据进行验证,对该证书存储装置是否为该用户证书的合法拥有者进行确认。具体可以是:从用户证书中提取该用户证书的公钥;在提取该用户证书的公钥后,使用用户证书的公钥对证书存储装置发送的签名数据进行解密,并通过将解密得到的数据与证书存储装置发送的签名用的原始数据进行对比,若二者一致,则确认证书存储装置是用户证书的合法拥有者。
上述移动存储器中,在对获取到的用户证书认证成功后,
所述主控模块,还用于将所述存储模块存储的该用户对应的访问权限信息作为当前的访问权限。
上述移动存储器中,文件信息显示装置发送文件信息浏览请求前,
所述主控模块,还用于与文件信息显示装置进行密钥协商,得到用于对文件信息进行加密和解密的传输密钥。
上述移动存储器,在接收文件信息显示装置发送的文件信息浏览请求后,
所述主控模块,还用于对该文件信息浏览请求进行分析,判断当前的访问权限是否允许进行对应的文件访问操作,若允许,则执行对应的文件访问操作;若不允许,则向文件信息显示装置返回禁止执行对应的文件访问操作的应答信息。
上述移动存储器中,在判断当前的访问权限为允许进行对应的文件访问操作后,
所述主控模块,还用于判断当前的文件访问操作是否需要进行口令认证,若需要,则向文件信息显示装置发送口令认证请求;在文件信息显示装置接收到口令认证请求后,接收文件信息显示装置回复的口令认证应答,口令认证应答中包含由用户通过文件信息显示装置输入的对应的文件操作口令;并对口令认证应答中包含的文件操作口令进行认证,认证通过后再执行提取与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示。
上述移动存储器,在将提取的与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示时,
所述主控模块,还用于用预先设置的传输密钥或与文件信息显示装置协商得到的传输密钥,对提取的与文件信息浏览请求对应的文件信息进行加密后,再发送至文件信息显示装置。
第一***实施例
图3是本发明移动存储器的访问控制***示意图。如图3所示,该***包括:移动存储器、文件信息显示装置和证书存储装置;其中,移动存储器采用上述第一装置实施例中给出的移动存储器;
移动存储器和文件信息显示装置相互连接,证书存储装置连接在移动存储器的证书读写接口上。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (18)
1.一种移动存储器的访问控制方法,其特征在于,该方法包括以下步骤:
移动存储器与文件信息显示装置连接,连接后接收文件信息显示装置发送的认证请求;
移动存储器接收到所述认证请求后,通过证书读写接口从证书存储装置存储的用户证书中获取用户证书;
移动存储器使用预先存储的根证书对获取到的用户证书进行认证,认证成功后,移动存储器接收与其连接的文件信息显示装置发送的文件信息浏览请求,并提取与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示;
其中,所述认证请求中包含证书存储器认证口令;
移动存储器通过以下方式经证书读写接口从证书存储装置存储的用户证书中获取用户证书:
移动存储器提取认证请求中的证书存储器认证口令,经证书读写接口向证书存储装置发送包含证书存储器认证口令的证书读取请求;
在证书存储装置对接收的证书读取请求中的证书存储器认证口令认证成功后,经证书读写接口将用户证书发送给移动存储器;
其中,移动存储器使用预先存储的根证书对获取到的用户证书进行认证包括:
移动存储器读取用户证书中的颁发者标识信息,并根据颁发者标识信息获取对应的颁发者证书;
移动存储器从颁发者证书中读取该证书的公钥;
移动存储器使用读取到的公钥对用户证书的证书签名字段进行验证,如果签名验证成功则表明证书认证成功,否则表明证书认证失败。
2.根据权利要求1所述的移动存储器的访问控制方法,其特征在于,
所述认证请求中包含用户名;
移动存储器通过证书读写接口从证书存储装置中获取的用户证书为与所述认证请求中包含的用户名对应的用户证书。
3.根据权利要求2所述的移动存储器的访问控制方法,其特征在于,
移动存储器通过以下方式从证书存储装置中获取与认证请求中的用户名对应的用户证书:
移动存储器读取证书存储装置中与用户名相对应的用户证书;或者移动存储器将证书存储装置中存储的所有用户证书读取至移动存储器中,并通过用户名选择对应的用户证书。
4.根据权利要求2所述的移动存储器的访问控制方法,其特征在于,
在移动存储器对获取到的用户证书认证成功后,还包括:
移动存储器获取本地存储的该用户对应的访问权限信息作为当前的访问权限。
5.根据权利要求1所述的移动存储器的访问控制方法,其特征在于,
在对获取到的用户证书进行认证之前,移动存储器还通过以下方式对证书存储装置的合法性进行验证:
接收证书存储装置发送的以下数据:证书存储装置使用其本地存储的与该用户证书所对应的私钥对原始数据进行签名生成的签名数据,以及所述原始数据;
移动存储器通过使用该用户证书所对应的公钥对接收到的签名数据以及所述原始数据进行验证,对该证书存储装置是否为该用户证书的合法拥有者进行确认。
6.根据权利要求1所述的移动存储器的访问控制方法,其特征在于,
文件信息显示装置发送文件信息浏览请求前,还包括以下步骤:
移动存储器与文件信息显示装置进行密钥协商,得到用于对文件信息进行加密和解密的传输密钥。
7.根据权利要求1所述的移动存储器的访问控制方法,其特征在于,
移动存储器接收文件信息显示装置发送的文件信息浏览请求后,还包括以下步骤:
移动存储器对该文件信息浏览请求进行分析,判断当前的访问权限是否允许进行对应的文件访问操作,若允许,则执行对应的文件访问操作;若不允许,则向文件信息显示装置返回禁止执行对应的文件访问操作的应答信息。
8.根据权利要求7所述的移动存储器的访问控制方法,其特征在于,
在移动存储器判断当前的访问权限为允许进行对应的文件访问操作后,还包括以下步骤:
移动存储器判断当前的文件访问操作是否需要进行口令认证,若需要,则向文件信息显示装置发送口令认证请求;
移动存储器接收文件信息显示装置回复的口令认证应答;口令认证应答中包含由用户通过文件信息显示装置输入的对应的文件操作口令;
移动存储器对口令认证应答中包含的文件操作口令进行认证,认证通过后再执行所述提取与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示的操作。
9.根据权利要求1或6所述的移动存储器的访问控制方法,其特征在于,
移动存储器通过以下方式将提取的与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示:
移动存储器用预先设置的传输密钥或与文件信息显示装置协商得到的传输密钥,对提取的与文件信息浏览请求对应的文件信息进行加密后,再发送至文件信息显示装置;
文件信息显示装置接收到文件信息后,用传输密钥对其进行解密,将解密后的文件信息在显示屏上进行显示。
10.一种移动存储器,其特征在于,该移动存储器包括:
主控模块、数据传输模块、存储模块和证书读写接口;其中,
所述数据传输模块与所述主控模块连接,用于连接外部的文件信息显示装置,使所述主控模块与文件信息显示装置之间进行数据的传输;
所述存储模块与所述主控模块连接,用于存储供所述主控模块提取的文件信息和对用户证书进行认证用的根证书;
所述证书读写接口与所述主控模块连接,用于连接证书存储装置,使主控模块从证书存储装置存储的用户证书中获取用户证书;
所述主控模块与所述数据传输模块、证书读写接口和存储模块连接,用于通过证书读写接口从证书存储装置存储的用户证书中获取用户证书;使用从所述存储模块提取的根证书对获取到的用户证书进行认证,认证成功后,接收所连接的文件信息显示装置经所述数据传输模块输入的文件信息浏览请求,并从存储模块中提取与该文件信息浏览请求对应的文件信息后,通过所述数据传输模块发送至文件信息显示装置进行显示;
在所述主控模块通过证书读写接口从证书存储装置存储的用户证书中获取用户证书之前,所述主控模块,还用于接收由连接后的文件信息显示装置经所述数据传输模块输入的认证请求;
其中,所述接收的由文件信息显示装置经所述数据传输模块输入的认证请求中包含证书存储器认证口令;
所述主控模块,还用于提取认证请求中的证书存储器认证口令,经证书读写接口向证书存储装置发送包含证书存储器认证口令的证书读取请求;并在证书存储装置对接收的证书读取请求中的证书存储器认证口令认证成功后,接收由证书存储装置发送的用户证书;
其中,主控模块使用从所述存储模块提取的根证书对获取到的用户证书进行认证包括:
主控模块读取用户证书中的颁发者标识信息,并根据颁发者标识信息获取对应的颁发者证书;
主控模块从颁发者证书中读取该证书的公钥;
主控模块使用读取到的公钥对用户证书的证书签名字段进行验证,如果签名验证成功则表明证书认证成功,否则表明证书认证失败。
11.根据权利要求10所述的移动存储器,其特征在于,
所述接收的由文件信息显示装置经所述数据传输模块输入的认证请求中包含用户名;
所述主控模块,还用于通过证书读写接口从证书存储装置存储的用户证书中获取与所述认证请求中包含的用户名对应的用户证书。
12.根据权利要求10所述的移动存储器,其特征在于,
在对获取到的用户证书进行认证之前,
所述主控模块,还用于接收证书存储装置发送的以下数据:证书存储装置使用其本地存储的与该用户证书所对应的私钥对原始数据进行签名生成的签名数据,以及所述原始数据;并通过使用该用户证书所对应的公钥对接收到的签名数据以及所述原始数据进行验证,对该证书存储装置是否为该用户证书的合法拥有者进行确认。
13.根据权利要求11所述的移动存储器,其特征在于,
在对获取到的用户证书认证成功后,
所述主控模块,还用于将所述存储模块存储的该用户对应的访问权限信息作为当前的访问权限。
14.根据权利要求10所述的移动存储器,其特征在于,
文件信息显示装置发送文件信息浏览请求前,
所述主控模块,还用于与文件信息显示装置进行密钥协商,得到用于对文件信息进行加密和解密的传输密钥。
15.根据权利要求10所述的移动存储器,其特征在于,
在接收文件信息显示装置发送的文件信息浏览请求后,
所述主控模块,还用于对该文件信息浏览请求进行分析,判断当前的访问权限是否允许进行对应的文件访问操作,若允许,则执行对应的文件访问操作;若不允许,则向文件信息显示装置返回禁止执行对应的文件访问操作的应答信息。
16.根据权利要求15所述的移动存储器,其特征在于,
在判断当前的访问权限为允许进行对应的文件访问操作后,
所述主控模块,还用于判断当前的文件访问操作是否需要进行口令认证,若需要,则向文件信息显示装置发送口令认证请求;在文件信息显示装置接收到口令认证请求后,接收文件信息显示装置回复的口令认证应答,口令认证应答中包含由用户通过文件信息显示装置输入的对应的文件操作口令;并对口令认证应答中包含的文件操作口令进行认证,认证通过后再执行提取与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示。
17.根据权利要求10或14所述的移动存储器,其特征在于,
在将提取的与该文件信息浏览请求对应的文件信息发送至文件信息显示装置进行显示时,
所述主控模块,还用于用预先设置的传输密钥或与文件信息显示装置协商得到的传输密钥,对提取的与文件信息浏览请求对应的文件信息进行加密后,再发送至文件信息显示装置。
18.一种移动存储器的访问控制***,其特征在于,该***包括:
相互连接的移动存储器和文件信息显示装置,其中,所述移动存储器采用上述权利要求10~17任一项所述的移动存储器;和连接在所述移动存储器的证书读写接口上的证书存储装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110337782.4A CN102368773B (zh) | 2011-10-31 | 2011-10-31 | 移动存储器的访问控制方法、移动存储器及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110337782.4A CN102368773B (zh) | 2011-10-31 | 2011-10-31 | 移动存储器的访问控制方法、移动存储器及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102368773A CN102368773A (zh) | 2012-03-07 |
CN102368773B true CN102368773B (zh) | 2014-04-09 |
Family
ID=45761323
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110337782.4A Active CN102368773B (zh) | 2011-10-31 | 2011-10-31 | 移动存储器的访问控制方法、移动存储器及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102368773B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104573554A (zh) * | 2014-12-30 | 2015-04-29 | 北京奇虎科技有限公司 | 加载安全密钥存储硬件的方法和浏览器客户端装置 |
CN105282738A (zh) * | 2015-11-24 | 2016-01-27 | 苏州铭冠软件科技有限公司 | 移动终端安全认证方法 |
CN106897636A (zh) * | 2017-02-28 | 2017-06-27 | 郑州云海信息技术有限公司 | 一种基于api hook的移动存储介质安全管理方法 |
CN112861156B (zh) * | 2021-02-26 | 2022-12-13 | 上海升途智能***有限公司 | 显示数据的安全通信方法、装置、电子设备及存储介质 |
CN113660091B (zh) * | 2021-07-28 | 2023-09-15 | 北京宝兰德软件股份有限公司 | 一种请求认证方法、装置、设备及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101120352A (zh) * | 2004-12-21 | 2008-02-06 | 桑迪士克股份有限公司 | 具有通用内容控制的存储器*** |
CN101908960A (zh) * | 2009-06-02 | 2010-12-08 | 上海科大智能科技股份有限公司 | 涉密电子文件的多重保密方法 |
CN102223364A (zh) * | 2011-05-09 | 2011-10-19 | 飞天诚信科技股份有限公司 | 一种访问电子书数据的方法及*** |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7519596B2 (en) * | 2004-03-30 | 2009-04-14 | Microsoft Corporation | Globally trusted credentials leveraged for server access control |
-
2011
- 2011-10-31 CN CN201110337782.4A patent/CN102368773B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101120352A (zh) * | 2004-12-21 | 2008-02-06 | 桑迪士克股份有限公司 | 具有通用内容控制的存储器*** |
CN101908960A (zh) * | 2009-06-02 | 2010-12-08 | 上海科大智能科技股份有限公司 | 涉密电子文件的多重保密方法 |
CN102223364A (zh) * | 2011-05-09 | 2011-10-19 | 飞天诚信科技股份有限公司 | 一种访问电子书数据的方法及*** |
Non-Patent Citations (2)
Title |
---|
附图1,2,19. |
附图3. |
Also Published As
Publication number | Publication date |
---|---|
CN102368773A (zh) | 2012-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12022282B2 (en) | Anonymous authentication and remote wireless token access | |
US20210344678A1 (en) | System for accessing data from multiple devices | |
US10142324B2 (en) | Method for reading attributes from an ID token | |
EP2442601B1 (en) | Method and system for automatically logging in client | |
EP4081921B1 (en) | Contactless card personal identification system | |
KR20170134631A (ko) | 사용자 인증 방법 및 장치, 및 웨어러블 디바이스 등록 방법 및 장치 | |
US9348768B2 (en) | Method for implementing encryption in storage card, and decryption method and device | |
JP2022501872A (ja) | 非接触カードの暗号化認証のためのシステムおよび方法 | |
CN102368773B (zh) | 移动存储器的访问控制方法、移动存储器及*** | |
CN101841418A (zh) | 手持多功能电子认证器及其服务*** | |
CN102368230A (zh) | 移动存储器的访问控制方法、移动存储器及*** | |
El Madhoun et al. | A cloud-based secure authentication protocol for contactless-nfc payment | |
US20230252451A1 (en) | Contactless card with multiple rotating security keys | |
US20210014682A1 (en) | Methods and systems for securing and utilizing a personal date store on a mobile device | |
KR20080112674A (ko) | 보안 기능을 가진 휴대용 저장장치를 이용한 서버 및사용자를 인증하는 장치, 시스템, 방법 및 기록매체 | |
KR20240024112A (ko) | 비접촉식 카드 통신 및 다중 디바이스 키 쌍 암호화 인증을 위한 시스템 및 방법 | |
CN104835038A (zh) | 一种联网支付装置及方法 | |
JP2022502891A (ja) | 非接触カードの暗号化認証のためのシステムおよび方法 | |
KR101666591B1 (ko) | 스마트 오티피 인증 시스템 및 방법 | |
CN102521164B (zh) | 移动存储器的访问控制方法、移动存储器及*** | |
KR20240023613A (ko) | 비접촉식 카드의 확장 가능한 암호화 인증을 위한 시스템 및 방법 | |
CN104113417A (zh) | 一种基于nfc的动态口令身份认证方法及*** | |
CN102426635B (zh) | 文件信息显示装置、显示方法及*** | |
US20220405766A1 (en) | Systems and methods for contactless card communication and key pair cryptographic authentication using distributed storage | |
KR20240061725A (ko) | 만 14세 미만 자녀의 명부 정보와 만 14세 미만 자녀별로 할당된 선불 카드 정보 사이의 매핑 정보를 이용하는 만 14세 미만 자녀의 금융 활동을 관리하기 위한 탈중앙화 신원증명 시스템 및 이를 위한 동작 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent for invention or patent application | ||
CB02 | Change of applicant information |
Address after: 102211 Beijing city Changping District Baishan town 100 Ge Road No. 9 Building No. 2 hospital Applicant after: Tendyron Technology Co., Ltd. Address before: 100083, B, block 17, golden building, No. 1810 Qinghua East Road, Beijing, Haidian District Applicant before: Beijing Tendyron Technology Co., Ltd. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |