CN110659522B - 存储介质安全认证方法、装置、计算机设备和存储介质 - Google Patents
存储介质安全认证方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN110659522B CN110659522B CN201910832815.9A CN201910832815A CN110659522B CN 110659522 B CN110659522 B CN 110659522B CN 201910832815 A CN201910832815 A CN 201910832815A CN 110659522 B CN110659522 B CN 110659522B
- Authority
- CN
- China
- Prior art keywords
- authentication
- storage medium
- abstract data
- registration
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种存储介质安全认证方法、装置、计算机设备和存储介质。方法包括:接收待认证存储介质的接入请求,获取认证口令以及待认证存储介质的设备标识,读取待认证存储介质的隐藏分区中的注册信息,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据,获取注册信息中的组合参数,根据组合参数,将认证口令与设备标识进行组合,生成认证摘要数据,根据注册摘要数据和认证摘要数据,进行安全认证,得到安全认证结果。安全认证的流程需要认证口令、设备标识、以及对加密摘要数据的解密三个条件同时满足才能够实现对存储介质安全认证,确保了存储介质的认证可靠性和及其存储数据的安全性。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种存储介质安全认证方法、装置、计算机设备和存储介质。
背景技术
随着计算机技术的发展,由于移动设备使用的便捷性和使用普遍性,移动存储介质作为信息交换的一种便捷介质,具有体积小、容量大的特点,如今已经得到广泛应用,是我们日常工作和生活中必不可少的工具,在日常工作和生活中,在涉及到数据交互的时候基本上都会使用到移动存储介质。例如U盘、移动硬盘、软盘、光盘、存储卡等,人们常通过移动存储介质在不同的主机***上进行数据交互。
而在交互过程中由于操作人员安全意识不强或主动攻击,移动存储设备连接主机可随意进行数据读写,容易导致信息泄密,具有较大的安全风险。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高存储介质安全性的存储介质安全认证方法、装置、计算机设备和存储介质。
一种存储介质安全认证方法,所述方法包括:
接收待认证存储介质的接入请求,获取认证口令以及所述待认证存储介质的设备标识;
读取所述待认证存储介质的隐藏分区中的注册信息,对所述注册信息中的加密摘要数据进行解密处理,得到注册摘要数据;
获取所述注册信息中的组合参数,根据组合参数,将所述认证口令与所述设备标识进行组合,生成认证摘要数据;
根据所述注册摘要数据和所述认证摘要数据,进行安全认证,得到安全认证结果。
在其中一个实施例中,所述对所述注册信息中的加密摘要数据进行解密处理,得到注册摘要数据包括:
获取所述注册信息中的非对称加密算法和签名摘要数据,,所述签名摘要数据为基于所述非对称加密算法,使用私有密钥对注册摘要数据进行签名得到的;
根据预先获取的公有密钥,基于所述非对称加密算法,对所述签名摘要数据进行验签,得到注册摘要数据。
在其中一个实施例中,所述获取所述注册信息中的组合参数,根据组合参数,将所述认证口令与所述设备标识进行组合,生成认证摘要数据包括:
获取所述注册信息中与所述认证摘要数据关联的密码杂凑函数;
将所述认证口令与所述设备标识进行组合,基于所述密码杂凑函数,对组合结果进行杂凑运算,生成认证摘要数据。
在其中一个实施例中,所述接收待认证存储介质的接入请求,获取认证口令以及所述待认证存储介质的设备标识之前,还包括:
确定待认证存储介质的隐藏分区,并进行注册;
将注册信息写入所述隐藏分区。
在其中一个实施例中,所述确定待认证存储介质的隐藏分区,并进行注册包括:
对待认证存储介质进行格式化分区,得到隐藏分区;
获取注册口令以及所述待认证存储介质的设备标识;
基于密码杂凑函数,将所述注册口令与所述设备标识进行组合,生成注册摘要数据;
基于非对称加密算法,使用私有密钥对所述注册摘要数据进行签名,得到签名摘要数据;
所述将注册信息写入所述隐藏分区包括:
将所述签名摘要数据、所述非对称加密算法以及所述密码杂凑函数,写入所述隐藏分区。
在其中一个实施例中,所述基于非对称加密算法,使用私有密钥对所述注册摘要数据进行签名,得到签名摘要数据之后,还包括:
确定与所述私有密钥对应的公有密钥;
根据预设的管控设备标识,将所述公有密钥发送至所述管控设备标识对应的存储介质读取设备。
在其中一个实施例中,所述根据所述注册摘要数据和所述认证摘要数据,进行安全认证,得到安全认证结果之后,还包括:
当所述安全认证结果为认证通过时,接入认证通过的存储介质;
当所述安全认证结果为认证失败时,不接入认证失败的存储介质,并推送认证失败提示。
一种存储介质安全认证装置,所述装置包括:
设备标识获取模块,用于接收待认证存储介质的接入请求,获取认证口令以及所述待认证存储介质的设备标识;
注册摘要数据获得模块,用于读取所述待认证存储介质的隐藏分区中的注册信息,对所述注册信息中的加密摘要数据进行解密处理,得到注册摘要数据;
认证摘要数据生成模块,用于获取所述注册信息中的组合参数,根据组合参数,将所述认证口令与所述设备标识进行组合,生成认证摘要数据;
安全认证模块,用于根据所述注册摘要数据和所述认证摘要数据,进行安全认证,得到安全认证结果。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收待认证存储介质的接入请求,获取认证口令以及所述待认证存储介质的设备标识;
读取所述待认证存储介质的隐藏分区中的注册信息,对所述注册信息中的加密摘要数据进行解密处理,得到注册摘要数据;
获取所述注册信息中的组合参数,根据组合参数,将所述认证口令与所述设备标识进行组合,生成认证摘要数据;
根据所述注册摘要数据和所述认证摘要数据,进行安全认证,得到安全认证结果。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收待认证存储介质的接入请求,获取认证口令以及所述待认证存储介质的设备标识;
读取所述待认证存储介质的隐藏分区中的注册信息,对所述注册信息中的加密摘要数据进行解密处理,得到注册摘要数据;
获取所述注册信息中的组合参数,根据组合参数,将所述认证口令与所述设备标识进行组合,生成认证摘要数据;
根据所述注册摘要数据和所述认证摘要数据,进行安全认证,得到安全认证结果。
上述存储介质安全认证方法、装置、计算机设备和存储介质,通过接收待认证存储介质的接入请求,获取认证口令,结合待认证存储介质的设备标识,并基于注册信息中的组合参数,得到认证摘要数据,同时,通过获取隐藏分区中的注册信息,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据,从而基于注册摘要数据和认证摘要数据进行安全认证,安全认证的流程需要认证口令、设备标识、以及对加密摘要数据的解密三个条件同时满足才能够实现安全认证,确保了存储介质的认证可靠性和及其存储数据的安全性。
附图说明
图1为一个实施例中存储介质安全认证方法的应用环境图;
图2为一个实施例中存储介质安全认证方法的流程示意图;
图3为一个实施例中图2中的步骤S204的子步骤的流程示意图;
图4为一个实施例中图2中的步骤S206的子步骤的流程示意图;
图5为另一个实施例中存储介质安全认证方法的流程示意图;
图6为另一个实施例中存储介质安全认证方法的流程示意图;
图7为一个应用实例中存储介质安全注册过程的流程示意图;
图8为一个应用实例中存储介质安全认证过程的流程示意图;
图9为一个实施例中存储介质安全认证装置的结构框图;
图10为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的存储介质安全认证方法,可以应用于如图1所示的应用环境中。用户将待认证存储介质102接入处理器104,处理器104接收待认证存储介质102的接入请求,获取认证口令以及待认证存储介质102的设备标识,然后读取待认证存储介质102的隐藏分区中的注册信息,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据,获取注册信息中的组合参数,根据组合参数,将认证口令与设备标识进行组合,生成认证摘要数据,根据注册摘要数据和认证摘要数据,进行安全认证,得到待认证存储介质102的安全认证结果。在一个实施例中,处理器104可以设置于具有存储介质接口的服务器,服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。在另一个实施例中,处理器104可以设置于终端,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备等具有存储介质接口的终端设备。例如,当待认证存储介质102为U盘(USB flash disk,USB闪存盘)时,处理器104可以是具有USB(Universal Serial Bus,通用串行总线)接口的计算机主机中的处理器,U盘可以通过主机的USB接口与主机中的处理器连接。
在一个实施例中,如图2所示,提供了一种存储介质安全认证方法,以该方法应用于图1中的处理器为例进行说明,包括步骤S202至S208。
S202,接收待认证存储介质的接入请求,获取认证口令以及待认证存储介质的设备标识。
存储介质是指存储介质是指存储数据的载体。比如软盘、光盘、DVD(DigitalVideo Disc,高密度数字视频光盘)、硬盘、闪存、U盘、CF(Compact Flash)卡、SD(SecureDigital Memory Card,安全数码卡)卡、MMC(MultiMediaCard,多媒体存储卡)卡、SM(SmartMedia)卡、记忆棒(Memory Stick)等。为避免存储介质的存储信息泄漏,在接入存储介质之前,需要对存储介质进行安全认证,当安全认证通过时,才能对存储介质进行正常读写操作,待认证存储介质是指已经***主机,还未开始进行安全认证的存储介质。处理器在接收到待认证存储介质的接入请求时,通过显示界面向显示终端发送认证口令输入提示信息,并接收用户输入的认证口令,在安全认证过程中,认证口令需要与待认证存储介质在注册时写入的注册口令保持一致,认证口令与注册口令的组成元素为字符串。待认证存储介质的设备标识是指存储介质的硬件ID,硬件ID是存储介质的身份标识,不同的存储介质具有不同的硬件ID。
S204,读取待认证存储介质的隐藏分区中的注册信息,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据。
隐藏分区是预先在注册存储介质时划分得到的,处理器和第三方服务器可在隐藏分区内写入注册信息。具体的,可以将存储介质的设备标识和注册口令通过预设的加密算法加密计算后写入隐藏分区中。处理器通过数据读取接口读取待认证存储介质的隐藏分区中写入注册信息。注册信息用于进行安全认证。加密摘要数据是在存储介质的注册过程中,将设备标识和注册口令通过预设的加密算法加密计算后得到的。存储介质的注册通过设置有存储介质注册流程的主机,即注册机来实现,注册机在注册过程中,对摘要数据进行加密处理,得到密钥对。用户可以根据实际需要对其他主机进行读取授权,具体的处理过程包括,在与注册机建立有链接关系的各主机中,根据实际需要对待授权主机进行选择,注册机将密钥信息,以及选择的主机对应的标识上传至服务器,服务器将密钥信息下发至选择的主机,确定能读取该注册存储介质的管控机。只有接收到密钥信息的管控机,才能根据密钥信息,对待认证存储介质的加密摘要数据进行解密处理,得到注册摘要数据。在实施例中,注册机可以作为管控机中的一个,即注册机既可以进行存储介质的注册,也可以进行存储介质的安全认证与读取。
S206,获取注册信息中的组合参数,根据组合参数,将认证口令与设备标识进行组合,生成认证摘要数据。
组合参数是指用于将认证口令与设备标识组合的组合方式依据。注册口令和设备标识之间的组合参数,与认证口令与设备标识之间的组合参数相同,以确保在认证口令与注册口令相同的条件下,得到的注册摘要数据与认证摘要数据也相同。在实施例中,组合参数可以是密码杂凑算法,密码杂凑算法是一种把任意长的输入消息串变化成固定长的输出串的一种函数,将输入数据输出成较短的固定长度杂凑值,这个过程是单向的,逆向操作难以完成,而且发生碰撞,即两个不同的输入产生相同的杂凑值发生的机率非常小,不容易被随意篡改攻击,确保了安全认证的可靠性和存储数据的安全性。
S208,根据注册摘要数据和认证摘要数据,进行安全认证,得到安全认证结果。
注册摘要数据通过解密处理得到,认证摘要数据通过实时组合得到,通过将注册摘要数据和认证摘要数据对比来进行安全认证,当注册摘要数据和认证摘要数据相同时,安全认证结果为认证通过,允许认证通过的存储介质接入,进行数据读写,当注册摘要数据和认证摘要数据不相同时,安全认证结果为认证失败,不允许认证失败的存储介质接入。
上述存储介质安全认证方法,通过接收待认证存储介质的接入请求,获取认证口令,结合待认证存储介质的设备标识,并基于注册信息中的组合参数,得到认证摘要数据,同时,通过获取隐藏分区中的注册信息,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据,从而基于注册摘要数据和认证摘要数据进行安全认证,安全认证的流程需要认证口令、设备标识、以及对加密摘要数据的解密三个条件同时满足才能够实现安全认证,确保了存储介质的认证可靠性和及其存储数据的安全性。
在一个实施例中,如图3所示,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据包括步骤S302至S304。
S302,获取注册信息中的非对称加密算法和签名摘要数据,签名摘要数据为基于非对称加密算法,使用私有密钥对注册摘要数据进行签名得到的。
S304,根据预先获取的公有密钥,基于非对称加密算法,对签名摘要数据进行验签,得到注册摘要数据。
非对称加密算法是指一种密钥的保密方法,非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将公钥公开,需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方;甲方再用自己私钥对加密后的信息进行解密。甲方可以使用自己的私钥对机密信息进行签名后再发送给乙方,乙方再用甲方发送的公钥对甲方发送的数据进行验签。在实施例中,注册机作为甲方,管控机作为乙方,注册机在对存储介质进行注册的时候,建立密钥对,密钥对包括私钥和公钥,并将公钥发送至管控机,以使的管控机能够根据接收到的公钥,以及注册信息中的非对称加密算法,对注册的存储介质中的签名摘要数据进行验签,得到注册摘要数据。在实施例中,非对称加密算法可以是国密SM2算法或RSA算法。
在一个实施例中,如图4所示,步骤S206,获取注册信息中的组合参数,根据组合参数,将认证口令与设备标识进行组合,生成认证摘要数据包括步骤S402至S404。
S402,获取注册信息中与认证摘要数据关联的密码杂凑函数。
S404,将认证口令与设备标识进行组合,基于密码杂凑函数,对组合结果进行杂凑运算,生成认证摘要数据。
密码杂凑函数是一种单向函数,由密码杂凑函数输出的结果,难以回推输入的数据。在隐藏区域写入的注册数据中,包括设备标识、认证摘要数据、用于生成认证摘要数据即与认证摘要数据关联的密码杂凑函数、以及用于对认证摘要数据进行签名处理的非对称加密算法。基于密码杂凑函数,将认证口令与设备标识进行组合,得到认证摘要数据,在实施例中,密码杂凑函数可选国密SM3算法或SHA-256算法。
在一个实施例中,如图5所示,以管控机为注册机为例,接收待认证存储介质的接入请求,获取认证口令以及待认证存储介质的设备标识之前,还包括步骤S110至S120。
S110,确定待认证存储介质的隐藏分区,并进行注册。
S120,将注册信息写入隐藏分区。
进行安全认证的存储介质,需要进行注册处理。可以通过将存储介质与注册机连接,进行注册。进行注册时,首先在存储介质的存储空间中划分隐藏分区,用于读写注册信息。
具体来说,如图6所示,S110,确定待认证存储介质的隐藏分区,并进行注册包括步骤S112至S118。
S112,对待认证存储介质进行格式化分区,得到隐藏分区。
S114,获取注册口令以及待认证存储介质的设备标识。
S116,将认证口令与所述设备标识进行组合,基于密码杂凑函数,对组合结果进行杂凑运算,生成认证摘要数据。
S118,基于非对称加密算法,使用私有密钥对注册摘要数据进行签名,得到签名摘要数据。
S120,将注册信息写入隐藏分区包括:
S122,将签名摘要数据、非对称加密算法以及密码杂凑函数,写入隐藏分区。
格式化是指对磁盘或磁盘中的分区(partition)进行初始化的一种操作,这种操作通常会导致现有的磁盘或分区中所有的文件被清除。隐藏分区内可以写入数据库文件,数据库文件用于存放注册信息。在实施例中,只有注册机才能对隐藏分区进行格式化处理,保证了注册信息的安全。比如,将存储介质的标识和注册口令通过预设的加密算法加密计算后写入隐藏分区中。以待认证存储介质的注册过程为例,在注册流程启动时,处理器通过注册机的显示设备,推送提示信息,提示用户输入注册口令,并识别存储介质的设备标识,通过设备标识和注册口令,基于预先确定的密码杂凑函数,以注册口令和设备标识作为输入,进行计算处理,得到注册摘要数据。然后基于预先选定的非对称加密算法,使用私有密钥对注册摘要数据进行签名,得到签名摘要数据,以及对应的公有密钥,将公有密钥发送至选定的管控机,以使得管控机能基于接收的公有密钥进行对签名摘要数据进行验签。注册机将签名摘要数据、非对称加密算法以及密码杂凑函数,写入隐藏分区,完成存储介质的注册。
在一个实施例中,基于非对称加密算法,使用私有密钥对注册摘要数据进行签名,得到签名摘要数据之后,还包括:
确定与私有密钥对应的公有密钥。
根据预设的管控设备标识,将公有密钥发送至管控设备标识对应的存储介质读取设备。
在使用非对称加密算法进行加密处理时,会生成密钥对,签名摘要数据对应的私有密钥,与私有密钥对应的为公有密钥,预设的管控设备标识,是指用户授权的用于读取存储介质的各设备的设备标识,通过将公有密钥发送至管控设备标识对应的存储介质读取设备,使得只有授权设备才能对签名摘要数据进行验签处理,确保存储数据的安全性。
在一个实施例中,根据注册摘要数据和认证摘要数据,进行安全认证,得到安全认证结果之后,还包括:
当安全认证结果为认证通过时,接入认证通过的存储介质。
当安全认证结果为认证失败时,不接入认证失败的存储介质,并推送认证失败提示。
在存储介质在接入主机使用时,必须通过安全认证过程,确认U盘为通过认证的安全U盘,通过密码杂凑函数和非对称加密算法确保认证过程的安全,防止误操作或黑客攻击。
在一个应用实例中,以存储设备为U盘为例,注册机负责U盘注册认证的过程,注册成功后视为已认证设备,未注册设备视为未认证设备。U盘注册认证的过程如图7所示,具体流程包括:检测到U盘***注册机,认证注册模块读取U盘的基本信息,如U盘的硬件ID、是否已划分隐藏分区,是否已存在注册信息文件以及所使用的加密算法。如未划分隐藏分区,则在U盘中划分隐藏分区,用于读写注册信息。如不存在注册信息,则进行注册处理,首先填写新注册口令P,将P与U盘的硬件ID组合后,使用密码杂凑算法,计算生成摘要D。其中密码杂凑算法可选国密SM3算法或SHA-256算法,然后将摘要D通过非对称算法进行签名,非对称算法可选国密SM2算法或RSA算法,并将签名和所使用的算法信息,包括密码杂凑算法和非对称算法,作为注册信息,写入U盘隐藏分区,认证注册完成。
管控机负责U盘验证认证的过程,已认证设备可以通过验证,允许接入主机。U盘验证认证的过程如图7所示,具体流程包括:检测到U盘***管控机,读取U盘的基本信息,如是否已划分隐藏分区,是否已存在注册信息文件,所使用的加密算法,以及U盘的硬件ID。如果已存在隐藏分区和注册信息文件,则要求输入口令P0,用于验证注册信息。将接收的用户输入口令P0和U盘的硬件ID组合后,使用密码杂凑算法计算生成摘要D0。然后将注册信息文件中的签名通过非对称算法验签,获取注册时的摘要D。对比D0和D的值,如果相同,则通过验证,认证验证完成。认证的流程需要口令一致、U盘硬件ID一致、以及签名时使用的非对称算法能够正确验签,若三者中有一个错误,就无法通过认证过程,保证了整个认证方法的安全性。
应该理解的是,虽然图2-8的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-8中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图9所示,提供了一种存储介质安全认证装置,包括:
设备标识获取模块902,用于接收待认证存储介质的接入请求,获取认证口令以及待认证存储介质的设备标识;
注册摘要数据获得模块904,用于读取待认证存储介质的隐藏分区中的注册信息,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据;
认证摘要数据生成模块906,用于获取注册信息中的组合参数,根据组合参数,将认证口令与设备标识进行组合,生成认证摘要数据;
安全认证模块908,用于根据注册摘要数据和认证摘要数据,进行安全认证,得到安全认证结果。
在其中一个实施例中,注册摘要数据获得模块904,还用于获取注册信息中的非对称加密算法和签名摘要数据,签名摘要数据为基于非对称加密算法,使用私有密钥对注册摘要数据进行签名得到的,根据预先获取的公有密钥,基于非对称加密算法,对签名摘要数据进行验签,得到注册摘要数据。
在其中一个实施例中,认证摘要数据生成模块906,还用于获取注册信息中与认证摘要数据关联的密码杂凑函数,将认证口令与设备标识进行组合,基于密码杂凑函数,对组合结果进行杂凑运算,生成认证摘要数据。
在其中一个实施例中,存储介质安全认证装置还包括注册模块,用于确定待认证存储介质的隐藏分区,并进行注册,将注册信息写入隐藏分区。
在其中一个实施例中,注册模块,还用于对待认证存储介质进行格式化分区,得到隐藏分区,获取注册口令以及待认证存储介质的设备标识,基于密码杂凑函数,将注册口令与设备标识进行组合,生成注册摘要数据,基于非对称加密算法,使用私有密钥对注册摘要数据进行签名,得到签名摘要数据,将签名摘要数据、非对称加密算法以及密码杂凑函数,写入隐藏分区。
在其中一个实施例中,存储介质安全认证装置还包括公有密钥发送模块,用于确定与私有密钥对应的公有密钥,根据预设的管控设备标识,将公有密钥发送至管控设备标识对应的存储介质读取设备。
在其中一个实施例中,安全认证模块908,还用于当安全认证结果为认证通过时,接入认证通过的存储介质,当安全认证结果为认证失败时,不接入认证失败的存储介质,并推送认证失败提示。
上述存储介质安全认证装置,通过接收待认证存储介质的接入请求,获取认证口令,结合待认证存储介质的设备标识,并基于注册信息中的组合参数,得到认证摘要数据,同时,通过获取隐藏分区中的注册信息,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据,从而基于注册摘要数据和认证摘要数据进行安全认证,安全认证的流程需要认证口令、设备标识、以及对加密摘要数据的解密三个条件同时满足才能够实现安全认证,确保了存储介质的认证可靠性和及其存储数据的安全性。
关于存储介质安全认证装置的具体限定可以参见上文中对于存储介质安全认证方法的限定,在此不再赘述。上述存储介质安全认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图10所示。该计算机设备包括通过***总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***和计算机程序。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种存储介质安全认证方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
接收待认证存储介质的接入请求,获取认证口令以及待认证存储介质的设备标识;
读取待认证存储介质的隐藏分区中的注册信息,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据;
获取注册信息中的组合参数,根据组合参数,将认证口令与设备标识进行组合,生成认证摘要数据;
根据注册摘要数据和认证摘要数据,进行安全认证,得到安全认证结果。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取注册信息中的非对称加密算法和签名摘要数据,签名摘要数据为基于非对称加密算法,使用私有密钥对注册摘要数据进行签名得到的;
根据预先获取的公有密钥,基于非对称加密算法,对签名摘要数据进行验签,得到注册摘要数据。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取注册信息中与认证摘要数据关联的密码杂凑函数;
将认证口令与设备标识进行组合,基于密码杂凑函数,对组合结果进行杂凑运算,生成认证摘要数据。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
确定待认证存储介质的隐藏分区,并进行注册;
将注册信息写入隐藏分区。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
对待认证存储介质进行格式化分区,得到隐藏分区;
获取注册口令以及待认证存储介质的设备标识;
基于密码杂凑函数,将注册口令与设备标识进行组合,生成注册摘要数据;
基于非对称加密算法,使用私有密钥对注册摘要数据进行签名,得到签名摘要数据;
将签名摘要数据、非对称加密算法以及密码杂凑函数,写入隐藏分区。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
确定与私有密钥对应的公有密钥;
根据预设的管控设备标识,将公有密钥发送至管控设备标识对应的存储介质读取设备。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当安全认证结果为认证通过时,接入认证通过的存储介质;
当安全认证结果为认证失败时,不接入认证失败的存储介质,并推送认证失败提示。
上述用于实现存储介质安全认证方法的计算机设备,通过接收待认证存储介质的接入请求,获取认证口令,结合待认证存储介质的设备标识,并基于注册信息中的组合参数,得到认证摘要数据,同时,通过获取隐藏分区中的注册信息,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据,从而基于注册摘要数据和认证摘要数据进行安全认证,安全认证的流程需要认证口令、设备标识、以及对加密摘要数据的解密三个条件同时满足才能够实现安全认证,确保了存储介质的认证可靠性和及其存储数据的安全性。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收待认证存储介质的接入请求,获取认证口令以及待认证存储介质的设备标识;
读取待认证存储介质的隐藏分区中的注册信息,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据;
获取注册信息中的组合参数,根据组合参数,将认证口令与设备标识进行组合,生成认证摘要数据;
根据注册摘要数据和认证摘要数据,进行安全认证,得到安全认证结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取注册信息中的非对称加密算法和签名摘要数据,签名摘要数据为基于非对称加密算法,使用私有密钥对注册摘要数据进行签名得到的;
根据预先获取的公有密钥,基于非对称加密算法,对签名摘要数据进行验签,得到注册摘要数据。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取注册信息中与认证摘要数据关联的密码杂凑函数;
将认证口令与设备标识进行组合,基于密码杂凑函数,对组合结果进行杂凑运算,生成认证摘要数据。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
确定待认证存储介质的隐藏分区,并进行注册;
将注册信息写入隐藏分区。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
对待认证存储介质进行格式化分区,得到隐藏分区;
获取注册口令以及待认证存储介质的设备标识;
基于密码杂凑函数,将注册口令与设备标识进行组合,生成注册摘要数据;
基于非对称加密算法,使用私有密钥对注册摘要数据进行签名,得到签名摘要数据;
将签名摘要数据、非对称加密算法以及密码杂凑函数,写入隐藏分区。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
确定与私有密钥对应的公有密钥;
根据预设的管控设备标识,将公有密钥发送至管控设备标识对应的存储介质读取设备。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
当安全认证结果为认证通过时,接入认证通过的存储介质;
当安全认证结果为认证失败时,不接入认证失败的存储介质,并推送认证失败提示。
上述用于实现存储介质安全认证方法的计算机可读存储介质,通过接收待认证存储介质的接入请求,获取认证口令,结合待认证存储介质的设备标识,并基于注册信息中的组合参数,得到认证摘要数据,同时,通过获取隐藏分区中的注册信息,对注册信息中的加密摘要数据进行解密处理,得到注册摘要数据,从而基于注册摘要数据和认证摘要数据进行安全认证,安全认证的流程需要认证口令、设备标识、以及对加密摘要数据的解密三个条件同时满足才能够实现安全认证,确保了存储介质的认证可靠性和及其存储数据的安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种存储介质安全认证方法,其特征在于,所述方法包括:
接收待认证存储介质的接入请求,获取认证口令以及所述待认证存储介质的设备标识;
读取所述待认证存储介质的隐藏分区中的注册信息,对所述注册信息中的加密摘要数据进行解密处理,得到注册摘要数据;
获取所述注册信息中的组合参数,根据组合参数,将获取的认证口令与获取的设备标识进行组合,生成认证摘要数据;
根据所述注册摘要数据和所述认证摘要数据,进行安全认证,得到安全认证结果;
所述对所述注册信息中的加密摘要数据进行解密处理,得到注册摘要数据包括:
获取所述注册信息中的非对称加密算法和签名摘要数据,所述签名摘要数据为基于所述非对称加密算法,使用私有密钥对注册摘要数据进行签名得到的;
根据预先获取与所述私有密钥对应的公有密钥,基于所述非对称加密算法,对所述签名摘要数据进行验签,得到注册摘要数据;
所述获取所述注册信息中的组合参数,根据组合参数,将获取的认证口令与获取的设备标识进行组合,生成认证摘要数据包括:
获取所述注册信息中与所述认证摘要数据关联的密码杂凑函数;
将获取的认证口令与获取的设备标识进行组合,基于所述密码杂凑函数,对组合结果进行杂凑运算,生成认证摘要数据。
2.根据权利要求1所述的方法,其特征在于,所述密码杂凑函数包括国密SM3算法或SHA-256算法。
3.根据权利要求1所述的方法,其特征在于,所述接收待认证存储介质的接入请求,获取认证口令以及所述待认证存储介质的设备标识之前,还包括:
确定待认证存储介质的隐藏分区,并进行注册;
将注册信息写入所述隐藏分区。
4.根据权利要求3所述的方法,其特征在于,所述确定待认证存储介质的隐藏分区,并进行注册包括:
对待认证存储介质进行格式化分区,得到隐藏分区;
获取注册口令以及所述待认证存储介质的设备标识;
基于密码杂凑函数,将所述注册口令与所述设备标识进行组合,生成注册摘要数据;
基于非对称加密算法,使用私有密钥对所述注册摘要数据进行签名,得到签名摘要数据;
所述将注册信息写入所述隐藏分区包括:
将所述签名摘要数据、所述非对称加密算法以及所述密码杂凑函数,写入所述隐藏分区。
5.根据权利要求4所述的方法,其特征在于,所述基于非对称加密算法,使用私有密钥对所述注册摘要数据进行签名,得到签名摘要数据之后,还包括:
确定与所述私有密钥对应的公有密钥;
根据预设的管控设备标识,将所述公有密钥发送至所述管控设备标识对应的存储介质读取设备。
6.根据权利要求1所述的方法,其特征在于,所述根据所述注册摘要数据和所述认证摘要数据,进行安全认证,得到安全认证结果之后,还包括:
当所述安全认证结果为认证通过时,接入认证通过的存储介质;
当所述安全认证结果为认证失败时,不接入认证失败的存储介质,并推送认证失败提示。
7.一种存储介质安全认证装置,其特征在于,所述装置包括:
设备标识获取模块,用于接收待认证存储介质的接入请求,获取认证口令以及所述待认证存储介质的设备标识;
注册摘要数据获得模块,用于读取所述待认证存储介质的隐藏分区中的注册信息,对所述注册信息中的加密摘要数据进行解密处理,得到注册摘要数据;
认证摘要数据生成模块,用于获取所述注册信息中的组合参数,根据组合参数,将获取的认证口令与获取的设备标识进行组合,生成认证摘要数据;
安全认证模块,用于根据所述注册摘要数据和所述认证摘要数据,进行安全认证,得到安全认证结果;
所述注册摘要数据获得模块,还用于获取所述注册信息中的非对称加密算法和签名摘要数据,所述签名摘要数据为基于所述非对称加密算法,使用私有密钥对注册摘要数据进行签名得到的;根据预先获取与所述私有密钥对应的公有密钥,基于所述非对称加密算法,对所述签名摘要数据进行验签,得到注册摘要数据;
所述认证摘要数据生成模块,还用于获取所述注册信息中与所述认证摘要数据关联的密码杂凑函数;将获取的认证口令与获取的设备标识进行组合,基于所述密码杂凑函数,对组合结果进行杂凑运算,生成认证摘要数据。
8.根据权利要求7所述的装置,其特征在于,所述安全认证模块,还用于当所述安全认证结果为认证通过时,接入认证通过的存储介质;当所述安全认证结果为认证失败时,不接入认证失败的存储介质,并推送认证失败提示。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910832815.9A CN110659522B (zh) | 2019-09-04 | 2019-09-04 | 存储介质安全认证方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910832815.9A CN110659522B (zh) | 2019-09-04 | 2019-09-04 | 存储介质安全认证方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110659522A CN110659522A (zh) | 2020-01-07 |
| CN110659522B true CN110659522B (zh) | 2020-11-10 |
Family
ID=69037869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910832815.9A Active CN110659522B (zh) | 2019-09-04 | 2019-09-04 | 存储介质安全认证方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110659522B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112231678A (zh) * | 2020-09-02 | 2021-01-15 | 网神信息技术(北京)股份有限公司 | 存储设备的权限处理方法、装置、电子设备及存储介质 |
| CN112613011B (zh) * | 2020-12-29 | 2024-01-23 | 北京天融信网络安全技术有限公司 | U盘***认证方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102750496A (zh) * | 2012-06-12 | 2012-10-24 | 南京师范大学 | 移动存储介质安全接入认证方法 |
| CN106341372A (zh) * | 2015-07-08 | 2017-01-18 | 阿里巴巴集团控股有限公司 | 终端的认证处理、认证方法及装置、*** |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100594504C (zh) * | 2007-08-09 | 2010-03-17 | 上海格尔软件股份有限公司 | 基于隐藏加密分区和pki技术的移动介质防泄密方法 |
| US8209744B2 (en) * | 2008-05-16 | 2012-06-26 | Microsoft Corporation | Mobile device assisted secure computer network communication |
| KR101615646B1 (ko) * | 2009-08-25 | 2016-04-27 | 삼성전자 주식회사 | 컴퓨터시스템, 그 제어방법과, 그 컴퓨터프로그램이 저장된 기록매체 |
| US9565169B2 (en) * | 2015-03-30 | 2017-02-07 | Microsoft Technology Licensing, Llc | Device theft protection associating a device identifier and a user identifier |
| CN108021816B (zh) * | 2017-12-05 | 2021-01-26 | Oppo广东移动通信有限公司 | 电子设备的测试方法、装置、存储介质及电子设备 |
| CN108537048B (zh) * | 2018-03-13 | 2021-08-17 | 超越科技股份有限公司 | 一种加密固态硬盘与授权计算机的安全关联方法及*** |
| CN110071799A (zh) * | 2019-04-09 | 2019-07-30 | 山东超越数控电子股份有限公司 | 一种加密存储密钥的生成保护方法,***,终端机及可读存储介质 |
-
2019
- 2019-09-04 CN CN201910832815.9A patent/CN110659522B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102750496A (zh) * | 2012-06-12 | 2012-10-24 | 南京师范大学 | 移动存储介质安全接入认证方法 |
| CN106341372A (zh) * | 2015-07-08 | 2017-01-18 | 阿里巴巴集团控股有限公司 | 终端的认证处理、认证方法及装置、*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110659522A (zh) | 2020-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109684790B (zh) | 软件启动方法、软件授权验证方法、设备和存储介质 | |
| TWI740409B (zh) | 使用密鑰之身份驗證 | |
| US8997198B1 (en) | Techniques for securing a centralized metadata distributed filesystem | |
| WO2020192406A1 (zh) | 数据存储、验证方法及装置 | |
| US20130145140A1 (en) | System and method for temporary secure boot of an electronic device | |
| EP2628133B1 (en) | Authenticate a fingerprint image | |
| WO2013107362A1 (zh) | 一种保护数据的方法和*** | |
| TWI724684B (zh) | 用於執行經過身分驗證的加密操作的方法、系統及裝置 | |
| CN109766731B (zh) | 基于固态硬盘的加密数据处理方法、装置和计算机设备 | |
| CN103888429A (zh) | 虚拟机启动方法、相关设备和*** | |
| CN110659522B (zh) | 存储介质安全认证方法、装置、计算机设备和存储介质 | |
| CN111401901A (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN116420145A (zh) | 基于多个组件的启动时间绑定的端点验证 | |
| US11423182B2 (en) | Storage device providing function of securely discarding data and operating method thereof | |
| JP2023542099A (ja) | 無線端末、及び無線端末のUbootモードにおけるインタフェースアクセス認証方法 | |
| CN105873043B (zh) | 一种用于移动终端的网络私匙的生成及应用方法及其*** | |
| US11610026B2 (en) | Module and method for authenticating data transfer between a storage device and a host device | |
| CN115766192A (zh) | 基于ukey的离线安全认证方法、装置、设备及介质 | |
| US11601285B2 (en) | Securely authorizing service level access to a backup system using a specialized access key | |
| CN114244565A (zh) | 密钥分发方法、装置、设备、存储介质和计算机程序产品 | |
| CN114547592A (zh) | 一种数据处理方法、装置及电子设备 | |
| CN108985079B (zh) | 数据验证方法和验证*** | |
| CN110401535B (zh) | 数字证书生成、安全通信、身份认证方法及装置 | |
| CN116305330B (zh) | 一种cpu硬件的安全管理方法 | |
| CN116647413B (zh) | 应用登录方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |