專利名稱:移動(dòng)存儲(chǔ)器、移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域,尤其涉及一種移動(dòng)存儲(chǔ)器、移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法及系統(tǒng)。
背景技術(shù):
隨著移動(dòng)存儲(chǔ)器,尤其是以USB為接口的移動(dòng)存儲(chǔ)器(以下簡(jiǎn)稱為U盤(pán))的迅速普及,存儲(chǔ)在U盤(pán)中的文件的安全性問(wèn)題日益受到關(guān)注。為了增強(qiáng)U盤(pán)的安全性,能夠?qū)盤(pán)的文件訪問(wèn)操作進(jìn)行控制的安全U盤(pán)已逐漸應(yīng)用到軍事、金融、商業(yè)等領(lǐng)域。安全U盤(pán)進(jìn)行訪問(wèn)控制的基本原理是,用戶在對(duì)安全U盤(pán)中的文件進(jìn)行訪問(wèn)前,需要通過(guò)計(jì)算機(jī)終端向安全U盤(pán)發(fā)送認(rèn)證口令(以下簡(jiǎn)稱為口令), 安全U盤(pán)對(duì)口令進(jìn)行認(rèn)證,認(rèn)證通過(guò)后才允許對(duì)安全U盤(pán)進(jìn)行文件讀寫(xiě)等操作?,F(xiàn)有的安全U盤(pán)使用靜態(tài)的認(rèn)證口令對(duì)使用者進(jìn)行身份認(rèn)證,安全性較差。
發(fā)明內(nèi)容
本發(fā)明實(shí)施方式提供一種移動(dòng)存儲(chǔ)器、移動(dòng)存儲(chǔ)器的訪問(wèn)控制系統(tǒng)及方法,可提高移動(dòng)存儲(chǔ)器訪問(wèn)的安全性,解決現(xiàn)有安全U盤(pán)使用靜態(tài)的認(rèn)證口令對(duì)使用者進(jìn)行身份認(rèn)證,安全性較差的問(wèn)題。本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的本發(fā)明實(shí)施方式提供一種移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,該方法包括以下步驟移動(dòng)存儲(chǔ)器與文件信息顯示裝置連接后,接收由所述文件信息顯示裝置發(fā)送的認(rèn)證請(qǐng)求;接收到所述認(rèn)證請(qǐng)求后,移動(dòng)存儲(chǔ)器從其證書(shū)讀寫(xiě)接口所連接的證書(shū)存儲(chǔ)裝置獲取與所述認(rèn)證請(qǐng)求對(duì)應(yīng)的用戶證書(shū),并對(duì)所述用戶證書(shū)進(jìn)行認(rèn)證;證書(shū)認(rèn)證成功后,移動(dòng)存儲(chǔ)器接收文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求,確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限,按所述文件訪問(wèn)請(qǐng)求的權(quán)限對(duì)移動(dòng)存儲(chǔ)器進(jìn)行相應(yīng)的文件訪問(wèn)操作。上述方法中,接收到所述認(rèn)證請(qǐng)求后,移動(dòng)存儲(chǔ)器通過(guò)以下方式獲取所述用戶證書(shū)移動(dòng)存儲(chǔ)器向其證書(shū)讀寫(xiě)接口所連接的證書(shū)存儲(chǔ)裝置發(fā)送證書(shū)獲取請(qǐng)求;證書(shū)存儲(chǔ)裝置接收到所述證書(shū)獲取請(qǐng)求后,獲取所述用戶證書(shū)并將所述用戶證書(shū)包含在證書(shū)獲取響應(yīng)中發(fā)送給移動(dòng)存儲(chǔ)器;移動(dòng)存儲(chǔ)器從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū)。上述方法中,接收到所述認(rèn)證請(qǐng)求后,移動(dòng)存儲(chǔ)器通過(guò)以下方式獲取所述用戶證書(shū)所述認(rèn)證請(qǐng)求中包含用戶標(biāo)識(shí),移動(dòng)存儲(chǔ)器從所述認(rèn)證請(qǐng)求中提取用戶標(biāo)識(shí),將用戶標(biāo)識(shí)包含在向該移動(dòng)存儲(chǔ)器所連接的證書(shū)存儲(chǔ)裝置發(fā)送的證書(shū)獲取請(qǐng)求中;
證書(shū)存儲(chǔ)裝置將與證書(shū)獲取請(qǐng)求中的用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū)包含在證書(shū)獲取響應(yīng)中發(fā)送給移動(dòng)存儲(chǔ)器;移動(dòng)存儲(chǔ)器從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū)。上述方法中,接收到所述認(rèn)證請(qǐng)求后,移動(dòng)存儲(chǔ)器通過(guò)以下方式獲取所述用戶證書(shū)若所述認(rèn)證請(qǐng)求中包含用戶口令和用戶標(biāo)識(shí),移動(dòng)存儲(chǔ)器對(duì)用戶口令進(jìn)行認(rèn)證;認(rèn)證成功后,移動(dòng)存儲(chǔ)器從所述認(rèn)證請(qǐng)求中提取用戶標(biāo)識(shí),將用戶標(biāo)識(shí)包含在向該移動(dòng)存儲(chǔ)器所連接的證書(shū)存儲(chǔ)裝置發(fā)送的證書(shū)獲取請(qǐng)求中;證書(shū)存儲(chǔ)裝置將與證書(shū)獲取請(qǐng)求中的用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū)包含在證書(shū)獲取響應(yīng)中發(fā)送給移動(dòng)存儲(chǔ)器;移動(dòng)存儲(chǔ)器從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū)。上述方法中,所述證書(shū)存儲(chǔ)裝置中的用戶證書(shū)由移動(dòng)存儲(chǔ)器通過(guò)以下方式生成移動(dòng)存儲(chǔ)器與證書(shū)管理裝置連接后,接收證書(shū)管理裝置發(fā)送的包含管理員口令的證書(shū)生成請(qǐng)求;接收到證書(shū)生成請(qǐng)求后,移動(dòng)存儲(chǔ)器對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令進(jìn)行驗(yàn)證;管理員口令驗(yàn)證成功后,移動(dòng)存儲(chǔ)器向與其證書(shū)讀寫(xiě)接口連接的證書(shū)存儲(chǔ)裝置發(fā)送密鑰生成請(qǐng)求,使證書(shū)存儲(chǔ)裝置在接收到密鑰生成請(qǐng)求后,生成包含公鑰和相應(yīng)的私鑰的密鑰對(duì);接收證書(shū)存儲(chǔ)裝置發(fā)送的所生成的密鑰對(duì)中的公鑰,根據(jù)該公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū);將生成的用戶證書(shū)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行存儲(chǔ)。上述方法中,若證書(shū)生成請(qǐng)求還包含用戶標(biāo)識(shí),則移動(dòng)存儲(chǔ)器對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令驗(yàn)證成功后,還執(zhí)行以下操作將用戶標(biāo)識(shí)和該用戶對(duì)應(yīng)的權(quán)限信息存儲(chǔ)在移動(dòng)存儲(chǔ)器中。上述方法中,所述證書(shū)存儲(chǔ)裝置中的用戶證書(shū)由移動(dòng)存儲(chǔ)器通過(guò)以下方式生成移動(dòng)存儲(chǔ)器與證書(shū)管理裝置連接后,接收證書(shū)管理裝置發(fā)送的包含管理員口令的證書(shū)生成請(qǐng)求;接收到證書(shū)生成請(qǐng)求后,移動(dòng)存儲(chǔ)器對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令進(jìn)行驗(yàn)證;管理員口令驗(yàn)證成功后,移動(dòng)存儲(chǔ)器生成包含公鑰和相應(yīng)的私鑰的密鑰對(duì),并向與其證書(shū)讀寫(xiě)接口連接的證書(shū)存儲(chǔ)裝置發(fā)送包含所述密鑰對(duì)或所述密鑰對(duì)中的私鑰的密鑰對(duì)下載請(qǐng)求,使證書(shū)存儲(chǔ)裝置在接收到密鑰對(duì)下載請(qǐng)求后,存儲(chǔ)密鑰對(duì)下載請(qǐng)求中包含的所述密鑰對(duì)或所述密鑰對(duì)中的私鑰,并向移動(dòng)存儲(chǔ)器回復(fù)密鑰對(duì)下載響應(yīng);接收證書(shū)存儲(chǔ)裝置發(fā)送的所述密鑰對(duì)下載響應(yīng),根據(jù)生成密鑰對(duì)中的公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū);將生成的用戶證書(shū)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行存儲(chǔ)。上述方法中,若證書(shū)生成請(qǐng)求還包含用戶標(biāo)識(shí),則移動(dòng)存儲(chǔ)器對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令驗(yàn)證成功后,還執(zhí)行以下操作將用戶標(biāo)識(shí)和該用戶對(duì)應(yīng)的權(quán)限信息存儲(chǔ)在移動(dòng)存儲(chǔ)器中。上述方法中,證書(shū)認(rèn)證成功后,移動(dòng)存儲(chǔ)器通過(guò)以下方式接收由文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求證書(shū)認(rèn)證成功后,移動(dòng)存儲(chǔ)器向文件信息顯示裝置發(fā)送證書(shū)認(rèn)證響應(yīng),通知文件信息顯示裝置用戶證書(shū)認(rèn)證成功;在文件信息顯示裝置確認(rèn)用戶證書(shū)認(rèn)證成功后,向移動(dòng)存儲(chǔ)器發(fā)送文件訪問(wèn)請(qǐng)求;移動(dòng)存儲(chǔ)器接收文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求。上述方法中,所述移動(dòng)存儲(chǔ)器通過(guò)以下方式對(duì)文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)控制移動(dòng)存儲(chǔ)器接收文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求,確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限,按所述文件訪問(wèn)請(qǐng)求的權(quán)限對(duì)移動(dòng)存儲(chǔ)器進(jìn)行相應(yīng)的文件訪問(wèn)操作。上述方法中,移動(dòng)存儲(chǔ)器通過(guò)以下方式確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限根據(jù)所述文件訪問(wèn)請(qǐng)求對(duì)應(yīng)用戶的權(quán)限信息,確認(rèn)所述文件訪問(wèn)請(qǐng)求所允許進(jìn)行的文件訪問(wèn)操作;其中,用戶的權(quán)限信息為根據(jù)文件訪問(wèn)請(qǐng)求中、或認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí)從本地存儲(chǔ)的用戶權(quán)限信息中獲取。本發(fā)明實(shí)施方式提供一種移動(dòng)存儲(chǔ)器,該移動(dòng)存儲(chǔ)器包括主控模塊、數(shù)據(jù)傳輸模塊、存儲(chǔ)模塊和證書(shū)讀寫(xiě)接口 ;其中,所述數(shù)據(jù)傳輸模塊與所述主控模塊連接,用于連接文件信息顯示裝置,使所述主控模塊與文件信息顯示裝置之間進(jìn)行數(shù)據(jù)傳輸;所述證書(shū)讀寫(xiě)接口與所述主控模塊連接,用于連接證書(shū)存儲(chǔ)裝置,使主控模塊從證書(shū)存儲(chǔ)裝置存儲(chǔ)的用戶證書(shū)中獲取對(duì)應(yīng)的用戶證書(shū);所述存儲(chǔ)模塊與所述主控模塊連接,用于存儲(chǔ)供主控模塊訪問(wèn)操作的文件和從所連接的證書(shū)存儲(chǔ)裝置獲取的用戶證書(shū)以及用戶的權(quán)限信息;所述主控模塊與所述數(shù)據(jù)傳輸模塊、證書(shū)讀寫(xiě)接口和存儲(chǔ)模塊連接,用于接收由文件信息顯示裝置經(jīng)所述數(shù)據(jù)傳輸模塊輸入的認(rèn)證請(qǐng)求,接收到認(rèn)證請(qǐng)求后,通過(guò)證書(shū)讀寫(xiě)接口從證書(shū)存儲(chǔ)裝置存儲(chǔ)的用戶證書(shū)中獲取與認(rèn)證請(qǐng)求對(duì)應(yīng)的用戶證書(shū);并對(duì)獲取到的用戶證書(shū)進(jìn)行認(rèn)證,證書(shū)認(rèn)證成功后,通過(guò)所述數(shù)據(jù)傳輸模塊接收文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求,確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限,按所述文件訪問(wèn)請(qǐng)求的權(quán)限對(duì)存儲(chǔ)模塊中存儲(chǔ)的文件進(jìn)行相應(yīng)的文件訪問(wèn)操作。上述移動(dòng)存儲(chǔ)器,所述接收由文件信息顯示裝置經(jīng)所述數(shù)據(jù)傳輸模塊輸入的認(rèn)證請(qǐng)求中還包含用戶標(biāo)識(shí);所述主控模塊,還用于提取認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí),將用戶標(biāo)識(shí)包含在向所連接的證書(shū)存儲(chǔ)裝置發(fā)送的證書(shū)獲取請(qǐng)求中;并在接收到證書(shū)存儲(chǔ)裝置發(fā)送的包含與用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū)的證書(shū)獲取響應(yīng)后,從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū);或者,所述接收由文件信息顯示裝置經(jīng)所述數(shù)據(jù)傳輸模塊輸入的認(rèn)證請(qǐng)求中還包含用戶口令和用戶標(biāo)識(shí);所述主控模塊,還用于對(duì)認(rèn)證請(qǐng)求中包含的用戶口令進(jìn)行認(rèn)證;認(rèn)證成功后,提取認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí),將用戶標(biāo)識(shí)包含在向所連接的證書(shū)存儲(chǔ)裝置發(fā)送的證書(shū)獲取請(qǐng)求中;并在接收到證書(shū)存儲(chǔ)裝置發(fā)送的包含與用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū)的證書(shū)獲取響應(yīng)后,從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū)。上述移動(dòng)存儲(chǔ)器,該移動(dòng)存儲(chǔ)器還包括與所述主控模塊連接的證書(shū)生成模塊,用于與證書(shū)管理裝置連接后,接收證書(shū)管理裝置發(fā)送的包含管理員口令的證書(shū)生成請(qǐng)求;接收到證書(shū)生成請(qǐng)求后,對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令進(jìn)行驗(yàn)證;口令驗(yàn)證成功后,向所連接的證書(shū)存儲(chǔ)裝置發(fā)送密鑰生成請(qǐng)求,使證書(shū)存儲(chǔ)裝置在接收到密鑰生成請(qǐng)求后,生成包含公鑰和相應(yīng)的私鑰的密鑰對(duì);接收證書(shū)存儲(chǔ)裝置發(fā)送的所生成的密鑰對(duì)中的公鑰, 根據(jù)該公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū);將生成的用戶證書(shū)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行存儲(chǔ)。上述移動(dòng)存儲(chǔ)器,該移動(dòng)存儲(chǔ)器還包括與所述主控模塊連接的證書(shū)生成模塊和密鑰對(duì)生成模塊;其中,所述證書(shū)生成模塊,用于與證書(shū)管理裝置連接后,接收證書(shū)管理裝置發(fā)送的包含管理員口令的證書(shū)生成請(qǐng)求;接收到證書(shū)生成請(qǐng)求后,對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令進(jìn)行驗(yàn)證;口令驗(yàn)證成功后,向所述密鑰對(duì)生成模塊發(fā)送生成密鑰對(duì)請(qǐng)求;并在接收到所述密鑰對(duì)生成模塊生成的包含公鑰和相應(yīng)的私鑰的密鑰對(duì)后,向經(jīng)證書(shū)讀寫(xiě)接口連接的證書(shū)存儲(chǔ)裝置發(fā)送包含所述密鑰對(duì)或所述密鑰對(duì)中的私鑰的密鑰對(duì)下載請(qǐng)求,使證書(shū)存儲(chǔ)裝置在接收到密鑰對(duì)下載請(qǐng)求后,存儲(chǔ)密鑰對(duì)下載請(qǐng)求中包含的所述密鑰對(duì)或所述密鑰對(duì)中的私鑰,并向證書(shū)生成模塊回復(fù)密鑰對(duì)下載響應(yīng);接收證書(shū)存儲(chǔ)裝置發(fā)送的所述密鑰對(duì)下載響應(yīng),根據(jù)生成密鑰對(duì)中的公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū);將生成的用戶證書(shū)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行存儲(chǔ);所述密鑰對(duì)生成模塊,用于在接收到所述證書(shū)生成模塊發(fā)送的生成密鑰對(duì)請(qǐng)求后,生成包含公鑰和相應(yīng)的私鑰的密鑰對(duì),并將所述生成的密鑰對(duì)回復(fù)至所述證書(shū)生成模塊。上述移動(dòng)存儲(chǔ)器,在對(duì)文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)控制時(shí),所述主控模塊,用于通過(guò)所述數(shù)據(jù)傳輸模塊接收文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求,確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限,按所述文件訪問(wèn)請(qǐng)求的權(quán)限對(duì)存儲(chǔ)模塊中存儲(chǔ)的文件進(jìn)行相應(yīng)的文件訪問(wèn)操作。上述移動(dòng)存儲(chǔ)器,在確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限時(shí),所述主控模塊,還用于根據(jù)所述文件訪問(wèn)請(qǐng)求對(duì)應(yīng)用戶的權(quán)限信息,確認(rèn)所述文件訪問(wèn)請(qǐng)求所允許進(jìn)行的文件訪問(wèn)操作;其中,用戶的權(quán)限信息為根據(jù)文件訪問(wèn)請(qǐng)求中、或認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí)從存儲(chǔ)模塊存儲(chǔ)的用戶權(quán)限信息中獲取。本發(fā)明實(shí)施方式進(jìn)一步提供一種移動(dòng)存儲(chǔ)器的訪問(wèn)控制系統(tǒng),該系統(tǒng)包括相互連接的移動(dòng)存儲(chǔ)器和文件信息顯示裝置,其中,所述移動(dòng)存儲(chǔ)器采用上述的移動(dòng)存儲(chǔ)器;和連接在所述移動(dòng)存儲(chǔ)器的證書(shū)讀寫(xiě)接口上的證書(shū)存儲(chǔ)裝置。上述系統(tǒng)還包括證書(shū)管理裝置,與所述移動(dòng)存儲(chǔ)器連接。由上述提供的技術(shù)方案可以看出,本發(fā)明實(shí)施方式的方法中,通過(guò)證書(shū)讀寫(xiě)接口從證書(shū)存儲(chǔ)裝置中讀取預(yù)先存儲(chǔ)的由移動(dòng)存儲(chǔ)器頒發(fā)的用戶證書(shū),并對(duì)讀取到用戶證書(shū)進(jìn)行認(rèn)證,認(rèn)證通過(guò)后才允許用戶發(fā)出對(duì)該移動(dòng)存儲(chǔ)器的文件訪問(wèn)請(qǐng)求,并按該文件訪問(wèn)請(qǐng)求的操作權(quán)限進(jìn)行相應(yīng)的文件訪問(wèn)操作。避免了目前采用的靜態(tài)口令進(jìn)行用戶身份認(rèn)證, 造成的移動(dòng)存儲(chǔ)裝置訪問(wèn)控制的安全性較差的問(wèn)題。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他附圖。圖1為本發(fā)明實(shí)施例提供的移動(dòng)存儲(chǔ)器的結(jié)構(gòu)示意圖;圖2是本發(fā)明實(shí)施例的移動(dòng)存儲(chǔ)器的另一結(jié)構(gòu)示意圖;圖3為本發(fā)明實(shí)施例提供的移動(dòng)存儲(chǔ)器的訪問(wèn)控制系統(tǒng)的示意圖;圖4為本發(fā)明實(shí)施例提供的第一方法實(shí)施例的流程圖;圖5為本發(fā)明實(shí)施例提供的第二方法實(shí)施例的流程圖。
具體實(shí)施例方式下面結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明的保護(hù)范圍。本發(fā)明的要點(diǎn)在于使移動(dòng)存儲(chǔ)器(例如U盤(pán))具有CA(Certificate Authority, 認(rèn)證中心)的證書(shū)頒發(fā)及認(rèn)證功能;并且移動(dòng)存儲(chǔ)器中需要設(shè)置有證書(shū)讀寫(xiě)接口(USB接口或IC卡接口),移動(dòng)存儲(chǔ)器可以通過(guò)該接口與證書(shū)存儲(chǔ)裝置(例如,USB KEY或IC卡)進(jìn)行交互,并將移動(dòng)存儲(chǔ)器生成的用戶證書(shū)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行保存。證書(shū)生成后,移動(dòng)存儲(chǔ)器與文件信息顯示裝置(例如,個(gè)人電腦或?qū)S玫囊苿?dòng)存儲(chǔ)器顯示裝置,以下簡(jiǎn)稱顯示裝置)進(jìn)行連接,移動(dòng)存儲(chǔ)器通過(guò)證書(shū)讀寫(xiě)接口從證書(shū)存儲(chǔ)裝置中讀取用戶證書(shū),并對(duì)讀取到的用戶證書(shū)進(jìn)行認(rèn)證,認(rèn)證通過(guò)后才允許用戶通過(guò)顯示裝置對(duì)移動(dòng)存儲(chǔ)器進(jìn)行相應(yīng)安全級(jí)別的文件讀寫(xiě)操作。下面將結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明實(shí)施例作進(jìn)一步地詳細(xì)描述。第一裝置實(shí)施例圖1是本發(fā)明實(shí)施例的移動(dòng)存儲(chǔ)器的結(jié)構(gòu)示意圖;如圖1所示,該移動(dòng)存儲(chǔ)器包括主控模塊、數(shù)據(jù)傳輸模塊、存儲(chǔ)模塊和證書(shū)讀寫(xiě)接口 ;其中,其中,數(shù)據(jù)傳輸模塊與主控模塊連接,用于連接文件信息顯示裝置,使主控模塊與文件信息顯示裝置之間進(jìn)行數(shù)據(jù)傳輸;證書(shū)讀寫(xiě)接口與主控模塊連接,用于連接證書(shū)存儲(chǔ)裝置,使主控模塊從證書(shū)存儲(chǔ)裝置存儲(chǔ)的用戶證書(shū)中獲取對(duì)應(yīng)的用戶證書(shū);存儲(chǔ)模塊與主控模塊連接,用于存儲(chǔ)供主控模塊訪問(wèn)操作的文件,該存儲(chǔ)模塊還可以用于存儲(chǔ)從所連接的證書(shū)存儲(chǔ)裝置獲取的用戶證書(shū);主控模塊與數(shù)據(jù)傳輸模塊、證書(shū)讀寫(xiě)接口和存儲(chǔ)模塊連接,用于接收由文件信息顯示裝置經(jīng)所述數(shù)據(jù)傳輸模塊輸入的認(rèn)證請(qǐng)求,接收到認(rèn)證請(qǐng)求后,通過(guò)證書(shū)讀寫(xiě)接口從證書(shū)存儲(chǔ)裝置獲取其生成的與所述認(rèn)證請(qǐng)求對(duì)應(yīng)的用戶證書(shū);并對(duì)獲取到的用戶證書(shū)進(jìn)行認(rèn)證,證書(shū)認(rèn)證成功后,對(duì)文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)控制。在上述移動(dòng)存儲(chǔ)器接收的由文件信息顯示裝置經(jīng)所述數(shù)據(jù)傳輸模塊輸入的認(rèn)證請(qǐng)求中還包含用戶標(biāo)識(shí)時(shí),主控模塊還用于提取認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí),將用戶標(biāo)識(shí)包含在向所連接的證書(shū)存儲(chǔ)裝置發(fā)送的證書(shū)獲取請(qǐng)求中;并在接收到證書(shū)存儲(chǔ)裝置發(fā)送的包含與用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū)的證書(shū)獲取響應(yīng)后,從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū)。在上述移動(dòng)存儲(chǔ)器接收的由文件信息顯示裝置經(jīng)所述數(shù)據(jù)傳輸模塊輸入的認(rèn)證請(qǐng)求中還包含用戶口令和用戶標(biāo)識(shí)時(shí),主控模塊還用于對(duì)認(rèn)證請(qǐng)求中包含的用戶口令進(jìn)行認(rèn)證;認(rèn)證成功后,提取認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí),將用戶標(biāo)識(shí)包含在向所連接的證書(shū)存儲(chǔ)裝置發(fā)送的證書(shū)獲取請(qǐng)求中;并在接收到證書(shū)存儲(chǔ)裝置發(fā)送的包含與用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū)的證書(shū)獲取響應(yīng)后,從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū)。在移動(dòng)存儲(chǔ)器確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限時(shí),主控模塊還用于根據(jù)所述文件訪問(wèn)請(qǐng)求對(duì)應(yīng)用戶的權(quán)限信息,確認(rèn)所述文件訪問(wèn)請(qǐng)求所允許進(jìn)行的文件訪問(wèn)操作;其中,用戶的權(quán)限信息為根據(jù)文件訪問(wèn)請(qǐng)求中、或認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí)從存儲(chǔ)模塊存儲(chǔ)的用戶權(quán)限信息中獲取。上述移動(dòng)存儲(chǔ)器還包括與主控模塊連接的證書(shū)生成模塊,用于與證書(shū)管理裝置連接后,接收證書(shū)管理裝置發(fā)送的包含管理員口令的證書(shū)生成請(qǐng)求;接收到證書(shū)生成請(qǐng)求后, 對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令進(jìn)行驗(yàn)證;口令驗(yàn)證成功后,向所連接的證書(shū)存儲(chǔ)裝置發(fā)送密鑰生成請(qǐng)求,使證書(shū)存儲(chǔ)裝置在接收到密鑰生成請(qǐng)求后,生成包含公鑰和相應(yīng)的私鑰的密鑰對(duì);接收證書(shū)存儲(chǔ)裝置發(fā)送的所生成的密鑰對(duì)中的公鑰,根據(jù)該公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū);將生成的用戶證書(shū)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行存儲(chǔ)。在上述移動(dòng)存儲(chǔ)器對(duì)文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)控制時(shí),主控模塊用于通過(guò)所述數(shù)據(jù)傳輸模塊接收文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求,確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限,按所述文件訪問(wèn)請(qǐng)求的權(quán)限對(duì)存儲(chǔ)模塊中存儲(chǔ)的文件進(jìn)行相應(yīng)的文件訪問(wèn)操作。第二裝置實(shí)施例圖2是本發(fā)明實(shí)施例的移動(dòng)存儲(chǔ)器的另一結(jié)構(gòu)示意圖;如圖2所示,本實(shí)施例的移動(dòng)存儲(chǔ)器與第一裝置實(shí)施例的不同之處在于同時(shí)包括與所述主控模塊連接的證書(shū)生成模塊和密鑰對(duì)生成模塊;其中,證書(shū)生成模塊用于與證書(shū)管理裝置連接后,接收證書(shū)管理裝置發(fā)送的包含管理員口令的證書(shū)生成請(qǐng)求;接收到證書(shū)生成請(qǐng)求后,對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令進(jìn)行驗(yàn)證;口令驗(yàn)證成功后,向所述密鑰對(duì)生成模塊發(fā)送生成密鑰對(duì)請(qǐng)求;并在接收到所述密鑰對(duì)生成模塊生成的包含公鑰和相應(yīng)的私鑰的密鑰對(duì)后,向經(jīng)證書(shū)讀寫(xiě)接口連接的證書(shū)存儲(chǔ)裝置發(fā)送包含所述密鑰對(duì)或所述密鑰對(duì)中的私鑰的密鑰對(duì)下載請(qǐng)求,使證書(shū)存儲(chǔ)裝置在接收到密鑰對(duì)下載請(qǐng)求后,存儲(chǔ)密鑰對(duì)下載請(qǐng)求中包含的所述密鑰對(duì)或所述密鑰對(duì)中的私鑰,并向證書(shū)生成模塊回復(fù)密鑰對(duì)下載響應(yīng);接收證書(shū)存儲(chǔ)裝置發(fā)送的所述密鑰對(duì)下載響應(yīng),根據(jù)生成密鑰對(duì)中的公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū);將生成的用戶證書(shū)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行存儲(chǔ);
密鑰對(duì)生成模塊用于在接收到所述證書(shū)生成模塊發(fā)送的生成密鑰對(duì)請(qǐng)求后,生成包含公鑰和相應(yīng)的私鑰的密鑰對(duì),并將所述生成的密鑰對(duì)回復(fù)至所述證書(shū)生成模塊。第一系統(tǒng)實(shí)施例圖3是本發(fā)明實(shí)施例的移動(dòng)存儲(chǔ)器的訪問(wèn)控制系統(tǒng)結(jié)構(gòu)示意圖;如圖3所示,該系統(tǒng)包含證書(shū)管理裝置、顯示裝置(即文件信息顯示裝置)、移動(dòng)存儲(chǔ)器和證書(shū)存儲(chǔ)裝置其中,證書(shū)管理裝置和顯示裝置可以為同一裝置,可統(tǒng)稱為主機(jī);其中,移動(dòng)存儲(chǔ)器與證書(shū)管理裝置/顯示裝置之間可以采用USB接口進(jìn)行數(shù)據(jù)傳輸;移動(dòng)存儲(chǔ)器與證書(shū)存儲(chǔ)裝置之間可以采用證書(shū)讀寫(xiě)接口(USB接口或IC卡接口)進(jìn)行數(shù)據(jù)傳輸。第一方法實(shí)施例圖4是本發(fā)明移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法第一實(shí)施例的流程圖;如圖4所示,該方法包括如下步驟證書(shū)牛成階段201,證書(shū)管理裝置與移動(dòng)存儲(chǔ)器連接后,向移動(dòng)存儲(chǔ)器發(fā)送證書(shū)生成請(qǐng)求;上述證書(shū)生成請(qǐng)求中包含管理員口令(或稱為證書(shū)管理口令),用戶標(biāo)識(shí)(可選)和用戶的權(quán)限信息(可選)。202,接收到證書(shū)生成請(qǐng)求后,移動(dòng)存儲(chǔ)器對(duì)管理員口令進(jìn)行驗(yàn)證,驗(yàn)證成功后執(zhí)行后續(xù)步驟。203,移動(dòng)存儲(chǔ)器保存用戶標(biāo)識(shí)和對(duì)應(yīng)的權(quán)限信息后,向與其連接的證書(shū)存儲(chǔ)裝置發(fā)送密鑰生成請(qǐng)求。204,接收到密鑰生成請(qǐng)求后,證書(shū)存儲(chǔ)裝置生成密鑰對(duì)(即公鑰和相應(yīng)的私鑰)。205,證書(shū)存儲(chǔ)裝置向移動(dòng)存儲(chǔ)器發(fā)送密鑰生成響應(yīng);密鑰生成響應(yīng)中包含密鑰對(duì)中的公鑰。206,接收到證書(shū)存儲(chǔ)裝置發(fā)送的公鑰后,移動(dòng)存儲(chǔ)器作為CA使用該公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū);上述用戶證書(shū)的具體格式可以參照X. 509協(xié)議;其中,證書(shū)中的“主體名”字段可以是用戶標(biāo)識(shí);證書(shū)存儲(chǔ)裝置發(fā)送的公鑰包含在證書(shū)中的“主體公開(kāi)密鑰信息”字段中。207,移動(dòng)存儲(chǔ)器將其生成的用戶證書(shū)包含在證書(shū)下載請(qǐng)求中發(fā)送給證書(shū)存儲(chǔ)裝置;證書(shū)下載請(qǐng)求中可以包含用戶標(biāo)識(shí)。208,證書(shū)存儲(chǔ)裝置將接收到的用戶證書(shū)和對(duì)應(yīng)的私鑰存儲(chǔ)在安全存儲(chǔ)區(qū)中。可選地,證書(shū)存儲(chǔ)裝置可以將用戶標(biāo)識(shí)與用戶證書(shū)和對(duì)應(yīng)的私鑰一并存儲(chǔ)在安全存儲(chǔ)區(qū)中。209,證書(shū)存儲(chǔ)裝置向移動(dòng)存儲(chǔ)器發(fā)送證書(shū)下載響應(yīng),向移動(dòng)存儲(chǔ)器表明用戶證書(shū)已成功存儲(chǔ)。210,移動(dòng)存儲(chǔ)器向證書(shū)管理裝置發(fā)送證書(shū)生成響應(yīng),向證書(shū)管理裝置表明用戶證書(shū)已成功生成。上述證書(shū)生成階段可以是在移動(dòng)存儲(chǔ)器初次投入使用前或變更新的擁有者時(shí),進(jìn)行用戶證書(shū)生成時(shí)使用。在上述由移動(dòng)存儲(chǔ)器已生成用戶證書(shū)的基礎(chǔ)上,可通過(guò)下述步驟對(duì)移動(dòng)存儲(chǔ)器的訪問(wèn)操作進(jìn)行控制。讀寫(xiě)階段211,移動(dòng)存儲(chǔ)器與文件信息顯示裝置(以下簡(jiǎn)稱顯示裝置)連接后,顯示裝置向移動(dòng)存儲(chǔ)器發(fā)送認(rèn)證請(qǐng)求;上述認(rèn)證請(qǐng)求中包含用戶口令(可選,也可稱為文件讀寫(xiě)口令)和用戶標(biāo)識(shí)(可選)。212,接收到顯示裝置發(fā)送的認(rèn)證請(qǐng)求后,移動(dòng)存儲(chǔ)器提取其中包含的用戶標(biāo)識(shí); 如果認(rèn)證請(qǐng)求中包含用戶口令,移動(dòng)存儲(chǔ)器還應(yīng)當(dāng)對(duì)其進(jìn)行驗(yàn)證;然后向與其相連的證書(shū)存儲(chǔ)裝置發(fā)送證書(shū)獲取請(qǐng)求;證書(shū)獲取請(qǐng)求中可以包含用戶標(biāo)識(shí)。213,證書(shū)存儲(chǔ)裝置將與用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū)(證書(shū)存儲(chǔ)裝置中可以存儲(chǔ)多個(gè)用戶證書(shū)),或本地存儲(chǔ)的用戶證書(shū)(證書(shū)存儲(chǔ)裝置中只能存儲(chǔ)一個(gè)用戶證書(shū))包含在證書(shū)獲取響應(yīng)中發(fā)送給移動(dòng)存儲(chǔ)器;除用戶證書(shū)外,證書(shū)獲取響應(yīng)中還包含使用對(duì)應(yīng)的私鑰生成的簽名數(shù)據(jù)。如果證書(shū)存儲(chǔ)裝置中沒(méi)有與用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū),證書(shū)存儲(chǔ)裝置可以向移動(dòng)存儲(chǔ)器返回包含失敗信息的響應(yīng)消息。214,接收到證書(shū)獲取響應(yīng)后,移動(dòng)存儲(chǔ)器作為CA對(duì)其中包含的用戶證書(shū)進(jìn)行認(rèn)證;對(duì)用戶證書(shū)進(jìn)行驗(yàn)證的方法為現(xiàn)有技術(shù),本文不再贅述。215,證書(shū)認(rèn)證成功后,移動(dòng)存儲(chǔ)器向顯示裝置發(fā)送證書(shū)認(rèn)證響應(yīng),以通知顯示裝置用戶證書(shū)認(rèn)證成功。216,用戶通過(guò)顯示裝置對(duì)移動(dòng)存儲(chǔ)器進(jìn)行文件讀寫(xiě)操作,顯示裝置向移動(dòng)存儲(chǔ)器發(fā)送對(duì)應(yīng)的文件訪問(wèn)請(qǐng)求;文件訪問(wèn)請(qǐng)求中可以包含用戶標(biāo)識(shí)。217,移動(dòng)存儲(chǔ)器對(duì)顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求進(jìn)行權(quán)限控制,即根據(jù)對(duì)應(yīng)用戶的權(quán)限信息判斷是否允許進(jìn)行相應(yīng)的文件訪問(wèn)請(qǐng)求;用戶權(quán)限信息可以根據(jù)文件訪問(wèn)請(qǐng)求中、或證書(shū)認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí)從本地存儲(chǔ)的用戶權(quán)限信息中獲取。第二方法實(shí)施例圖5是本發(fā)明移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法第二實(shí)施例的流程圖。如圖5所示,本實(shí)施例與第一方法實(shí)施例的不同之處在于,本實(shí)施例由移動(dòng)存儲(chǔ)器生成密鑰對(duì),并將其中的私鑰或密鑰對(duì)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行存儲(chǔ)。上述第一方法實(shí)施例中的步驟203到步驟 206相應(yīng)調(diào)整為步驟203’,移動(dòng)存儲(chǔ)器保存用戶標(biāo)識(shí)和對(duì)應(yīng)的權(quán)限信息后,生成密鑰對(duì)(即公鑰和相應(yīng)的私鑰)。步驟204,,移動(dòng)存儲(chǔ)器向與其證書(shū)讀寫(xiě)接口連接的證書(shū)存儲(chǔ)裝置發(fā)送密鑰對(duì)下載請(qǐng)求(包含所述密鑰對(duì)或所述密鑰對(duì)中的私鑰)。步驟205’,證書(shū)存儲(chǔ)裝置在接收到密鑰對(duì)下載請(qǐng)求后,存儲(chǔ)密鑰對(duì)下載請(qǐng)求中包含的所述密鑰對(duì)或所述密鑰對(duì)中的私鑰。
步驟206’,證書(shū)存儲(chǔ)裝置向移動(dòng)存儲(chǔ)器回復(fù)密鑰對(duì)下載響應(yīng)。步驟206,移動(dòng)存儲(chǔ)器接收證書(shū)存儲(chǔ)裝置發(fā)送的所述密鑰對(duì)下載響應(yīng),根據(jù)生成密鑰對(duì)中的公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū)。其它后續(xù)步驟與第一方法實(shí)施例基本相同。綜上所述,本發(fā)明實(shí)施例中通過(guò)使移動(dòng)存儲(chǔ)器與文件信息顯示裝置進(jìn)行連接,移動(dòng)存儲(chǔ)器通過(guò)證書(shū)讀寫(xiě)接口從證書(shū)存儲(chǔ)裝置中讀取用戶證書(shū),并對(duì)讀取到的用戶證書(shū)進(jìn)行認(rèn)證,認(rèn)證通過(guò)后才允許用戶通過(guò)文件信息顯示裝置對(duì)移動(dòng)存儲(chǔ)器進(jìn)行相應(yīng)安全級(jí)別的文件讀寫(xiě)操作。有效解決了目前采用的靜態(tài)口令進(jìn)行用戶身份認(rèn)證,造成的移動(dòng)存儲(chǔ)裝置訪問(wèn)控制的安全性較差的問(wèn)題。以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明披露的技術(shù)范圍內(nèi),可輕易想到的變化或替換, 都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求書(shū)的保護(hù)范圍為準(zhǔn)。
1權(quán)利要求
1.一種移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,其特征在于,該方法包括以下步驟移動(dòng)存儲(chǔ)器與文件信息顯示裝置連接后,接收由所述文件信息顯示裝置發(fā)送的認(rèn)證請(qǐng)求;接收到所述認(rèn)證請(qǐng)求后,移動(dòng)存儲(chǔ)器從其證書(shū)讀寫(xiě)接口所連接的證書(shū)存儲(chǔ)裝置獲取其生成的與所述認(rèn)證請(qǐng)求對(duì)應(yīng)的用戶證書(shū),并對(duì)所述用戶證書(shū)進(jìn)行認(rèn)證;證書(shū)認(rèn)證成功后,移動(dòng)存儲(chǔ)器對(duì)文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)控制。
2.根據(jù)權(quán)利要求1所述的移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,其特征在于, 接收到所述認(rèn)證請(qǐng)求后,移動(dòng)存儲(chǔ)器通過(guò)以下方式獲取所述用戶證書(shū) 移動(dòng)存儲(chǔ)器向其證書(shū)讀寫(xiě)接口所連接的證書(shū)存儲(chǔ)裝置發(fā)送證書(shū)獲取請(qǐng)求;證書(shū)存儲(chǔ)裝置接收到所述證書(shū)獲取請(qǐng)求后,獲取所述用戶證書(shū)并將所述用戶證書(shū)包含在證書(shū)獲取響應(yīng)中發(fā)送給移動(dòng)存儲(chǔ)器;移動(dòng)存儲(chǔ)器從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū)。
3.根據(jù)權(quán)利要求1所述的移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,其特征在于, 接收到所述認(rèn)證請(qǐng)求后,移動(dòng)存儲(chǔ)器通過(guò)以下方式獲取所述用戶證書(shū)所述認(rèn)證請(qǐng)求中包含用戶標(biāo)識(shí),移動(dòng)存儲(chǔ)器從所述認(rèn)證請(qǐng)求中提取用戶標(biāo)識(shí),將用戶標(biāo)識(shí)包含在向該移動(dòng)存儲(chǔ)器所連接的證書(shū)存儲(chǔ)裝置發(fā)送的證書(shū)獲取請(qǐng)求中;證書(shū)存儲(chǔ)裝置將與證書(shū)獲取請(qǐng)求中的用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū)包含在證書(shū)獲取響應(yīng)中發(fā)送給移動(dòng)存儲(chǔ)器;移動(dòng)存儲(chǔ)器從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū)。
4.根據(jù)權(quán)利要求1所述的移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,其特征在于, 接收到所述認(rèn)證請(qǐng)求后,移動(dòng)存儲(chǔ)器通過(guò)以下方式獲取所述用戶證書(shū) 若所述認(rèn)證請(qǐng)求中包含用戶口令和用戶標(biāo)識(shí),移動(dòng)存儲(chǔ)器對(duì)用戶口令進(jìn)行認(rèn)證;認(rèn)證成功后,移動(dòng)存儲(chǔ)器從所述認(rèn)證請(qǐng)求中提取用戶標(biāo)識(shí),將用戶標(biāo)識(shí)包含在向該移動(dòng)存儲(chǔ)器所連接的證書(shū)存儲(chǔ)裝置發(fā)送的證書(shū)獲取請(qǐng)求中;證書(shū)存儲(chǔ)裝置將與證書(shū)獲取請(qǐng)求中的用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū)包含在證書(shū)獲取響應(yīng)中發(fā)送給移動(dòng)存儲(chǔ)器;移動(dòng)存儲(chǔ)器從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū)。
5.根據(jù)權(quán)利要求1 4任一項(xiàng)所述的移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,其特征在于, 所述證書(shū)存儲(chǔ)裝置中的用戶證書(shū)由移動(dòng)存儲(chǔ)器通過(guò)以下方式生成移動(dòng)存儲(chǔ)器與證書(shū)管理裝置連接后,接收證書(shū)管理裝置發(fā)送的包含管理員口令的證書(shū)生成請(qǐng)求;接收到證書(shū)生成請(qǐng)求后,移動(dòng)存儲(chǔ)器對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令進(jìn)行驗(yàn)證; 管理員口令驗(yàn)證成功后,移動(dòng)存儲(chǔ)器向與其證書(shū)讀寫(xiě)接口連接的證書(shū)存儲(chǔ)裝置發(fā)送密鑰生成請(qǐng)求,使證書(shū)存儲(chǔ)裝置在接收到密鑰生成請(qǐng)求后,生成包含公鑰和相應(yīng)的私鑰的密鑰對(duì);接收證書(shū)存儲(chǔ)裝置發(fā)送的所生成的密鑰對(duì)中的公鑰,根據(jù)該公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū);將生成的用戶證書(shū)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行存儲(chǔ)。
6.根據(jù)權(quán)利要求5所述的移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,其特征在于,若證書(shū)生成請(qǐng)求還包含用戶標(biāo)識(shí),則移動(dòng)存儲(chǔ)器對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令驗(yàn)證成功后,還執(zhí)行以下操作將用戶標(biāo)識(shí)和該用戶對(duì)應(yīng)的權(quán)限信息存儲(chǔ)在移動(dòng)存儲(chǔ)器中。
7.根據(jù)權(quán)利要求1 4任一項(xiàng)所述的移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,其特征在于, 所述證書(shū)存儲(chǔ)裝置中的用戶證書(shū)由移動(dòng)存儲(chǔ)器通過(guò)以下方式生成移動(dòng)存儲(chǔ)器與證書(shū)管理裝置連接后,接收證書(shū)管理裝置發(fā)送的包含管理員口令的證書(shū)生成請(qǐng)求;接收到證書(shū)生成請(qǐng)求后,移動(dòng)存儲(chǔ)器對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令進(jìn)行驗(yàn)證; 管理員口令驗(yàn)證成功后,移動(dòng)存儲(chǔ)器生成包含公鑰和相應(yīng)的私鑰的密鑰對(duì),并向與其證書(shū)讀寫(xiě)接口連接的證書(shū)存儲(chǔ)裝置發(fā)送包含所述密鑰對(duì)或所述密鑰對(duì)中的私鑰的密鑰對(duì)下載請(qǐng)求,使證書(shū)存儲(chǔ)裝置在接收到密鑰對(duì)下載請(qǐng)求后,存儲(chǔ)密鑰對(duì)下載請(qǐng)求中包含的所述密鑰對(duì)或所述密鑰對(duì)中的私鑰,并向移動(dòng)存儲(chǔ)器回復(fù)密鑰對(duì)下載響應(yīng);接收證書(shū)存儲(chǔ)裝置發(fā)送的所述密鑰對(duì)下載響應(yīng),根據(jù)生成密鑰對(duì)中的公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū);將生成的用戶證書(shū)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行存儲(chǔ)。
8.根據(jù)權(quán)利要求7所述的移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,其特征在于,若證書(shū)生成請(qǐng)求還包含用戶標(biāo)識(shí),則移動(dòng)存儲(chǔ)器對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令驗(yàn)證成功后,還執(zhí)行以下操作將用戶標(biāo)識(shí)和該用戶對(duì)應(yīng)的權(quán)限信息存儲(chǔ)在移動(dòng)存儲(chǔ)器中。
9.根據(jù)權(quán)利要求1所述的移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,其特征在于,證書(shū)認(rèn)證成功后,移動(dòng)存儲(chǔ)器通過(guò)以下方式接收由文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求證書(shū)認(rèn)證成功后,移動(dòng)存儲(chǔ)器向文件信息顯示裝置發(fā)送證書(shū)認(rèn)證響應(yīng),通知文件信息顯示裝置用戶證書(shū)認(rèn)證成功;在文件信息顯示裝置確認(rèn)用戶證書(shū)認(rèn)證成功后,向移動(dòng)存儲(chǔ)器發(fā)送文件訪問(wèn)請(qǐng)求; 移動(dòng)存儲(chǔ)器接收文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求。
10.根據(jù)權(quán)利要求1所述的移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,其特征在于,所述移動(dòng)存儲(chǔ)器通過(guò)以下方式對(duì)文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)控制移動(dòng)存儲(chǔ)器接收文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求,確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限,按所述文件訪問(wèn)請(qǐng)求的權(quán)限對(duì)移動(dòng)存儲(chǔ)器進(jìn)行相應(yīng)的文件訪問(wèn)操作。
11.根據(jù)權(quán)利要求10所述的移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法,其特征在于, 移動(dòng)存儲(chǔ)器通過(guò)以下方式確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限根據(jù)所述文件訪問(wèn)請(qǐng)求對(duì)應(yīng)用戶的權(quán)限信息,確認(rèn)所述文件訪問(wèn)請(qǐng)求所允許進(jìn)行的文件訪問(wèn)操作;其中,用戶的權(quán)限信息為根據(jù)文件訪問(wèn)請(qǐng)求中、或認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí)從本地存儲(chǔ)的用戶權(quán)限信息中獲取。
12.—種移動(dòng)存儲(chǔ)器,其特征在于,該移動(dòng)存儲(chǔ)器包括 主控模塊、數(shù)據(jù)傳輸模塊、存儲(chǔ)模塊和證書(shū)讀寫(xiě)接口 ;其中,所述數(shù)據(jù)傳輸模塊與所述主控模塊連接,用于連接文件信息顯示裝置,使所述主控模塊與文件信息顯示裝置之間進(jìn)行數(shù)據(jù)傳輸;所述證書(shū)讀寫(xiě)接口與所述主控模塊連接,用于連接證書(shū)存儲(chǔ)裝置,使所述主控模塊從證書(shū)存儲(chǔ)裝置存儲(chǔ)的用戶證書(shū)中獲取對(duì)應(yīng)的用戶證書(shū);所述存儲(chǔ)模塊與所述主控模塊連接,用于存儲(chǔ)供主控模塊訪問(wèn)操作的文件;所述主控模塊與所述數(shù)據(jù)傳輸模塊、證書(shū)讀寫(xiě)接口和存儲(chǔ)模塊連接,用于接收由文件信息顯示裝置經(jīng)所述數(shù)據(jù)傳輸模塊輸入的認(rèn)證請(qǐng)求,接收到認(rèn)證請(qǐng)求后,通過(guò)證書(shū)讀寫(xiě)接口從證書(shū)存儲(chǔ)裝置獲取其生成的與所述認(rèn)證請(qǐng)求對(duì)應(yīng)的用戶證書(shū);并對(duì)獲取到的用戶證書(shū)進(jìn)行認(rèn)證,證書(shū)認(rèn)證成功后,對(duì)文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)控制。
13.根據(jù)權(quán)利要求12所述的移動(dòng)存儲(chǔ)器,其特征在于,所述接收由文件信息顯示裝置經(jīng)所述數(shù)據(jù)傳輸模塊輸入的認(rèn)證請(qǐng)求中還包含用戶標(biāo)識(shí);所述主控模塊,還用于提取認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí),將用戶標(biāo)識(shí)包含在向所連接的證書(shū)存儲(chǔ)裝置發(fā)送的證書(shū)獲取請(qǐng)求中;并在接收到證書(shū)存儲(chǔ)裝置發(fā)送的包含與用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū)的證書(shū)獲取響應(yīng)后,從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū);或者,所述接收由文件信息顯示裝置經(jīng)所述數(shù)據(jù)傳輸模塊輸入的認(rèn)證請(qǐng)求中還包含用戶口令和用戶標(biāo)識(shí);所述主控模塊,還用于對(duì)認(rèn)證請(qǐng)求中包含的用戶口令進(jìn)行認(rèn)證;認(rèn)證成功后,提取認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí),將用戶標(biāo)識(shí)包含在向所連接的證書(shū)存儲(chǔ)裝置發(fā)送的證書(shū)獲取請(qǐng)求中;并在接收到證書(shū)存儲(chǔ)裝置發(fā)送的包含與用戶標(biāo)識(shí)對(duì)應(yīng)的用戶證書(shū)的證書(shū)獲取響應(yīng)后, 從所述證書(shū)獲取響應(yīng)中獲取所述用戶證書(shū)。
14.根據(jù)權(quán)利要求12所述的移動(dòng)存儲(chǔ)器,其特征在于,該移動(dòng)存儲(chǔ)器還包括與所述主控模塊連接的證書(shū)生成模塊,用于與證書(shū)管理裝置連接后,接收證書(shū)管理裝置發(fā)送的包含管理員口令的證書(shū)生成請(qǐng)求;接收到證書(shū)生成請(qǐng)求后, 對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令進(jìn)行驗(yàn)證;口令驗(yàn)證成功后,向所連接的證書(shū)存儲(chǔ)裝置發(fā)送密鑰生成請(qǐng)求,使證書(shū)存儲(chǔ)裝置在接收到密鑰生成請(qǐng)求后,生成包含公鑰和相應(yīng)的私鑰的密鑰對(duì);接收證書(shū)存儲(chǔ)裝置發(fā)送的所生成的密鑰對(duì)中的公鑰,根據(jù)該公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū);將生成的用戶證書(shū)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行存儲(chǔ)。
15.根據(jù)權(quán)利要求12所述的移動(dòng)存儲(chǔ)器,其特征在于,該移動(dòng)存儲(chǔ)器還包括與所述主控模塊連接的證書(shū)生成模塊和密鑰對(duì)生成模塊;其中,所述證書(shū)生成模塊,用于與證書(shū)管理裝置連接后,接收證書(shū)管理裝置發(fā)送的包含管理員口令的證書(shū)生成請(qǐng)求;接收到證書(shū)生成請(qǐng)求后,對(duì)證書(shū)生成請(qǐng)求中包含的管理員口令進(jìn)行驗(yàn)證;口令驗(yàn)證成功后,向所述密鑰對(duì)生成模塊發(fā)送生成密鑰對(duì)請(qǐng)求;并在接收到所述密鑰對(duì)生成模塊生成的包含公鑰和相應(yīng)的私鑰的密鑰對(duì)后,向經(jīng)證書(shū)讀寫(xiě)接口連接的證書(shū)存儲(chǔ)裝置發(fā)送包含所述密鑰對(duì)或所述密鑰對(duì)中的私鑰的密鑰對(duì)下載請(qǐng)求,使證書(shū)存儲(chǔ)裝置在接收到密鑰對(duì)下載請(qǐng)求后,存儲(chǔ)密鑰對(duì)下載請(qǐng)求中包含的所述密鑰對(duì)或所述密鑰對(duì)中的私鑰,并向證書(shū)生成模塊回復(fù)密鑰對(duì)下載響應(yīng);接收證書(shū)存儲(chǔ)裝置發(fā)送的所述密鑰對(duì)下載響應(yīng),根據(jù)生成密鑰對(duì)中的公鑰為對(duì)應(yīng)的用戶生成用戶證書(shū);將生成的用戶證書(shū)發(fā)送給證書(shū)存儲(chǔ)裝置進(jìn)行存儲(chǔ);所述密鑰對(duì)生成模塊,用于在接收到所述證書(shū)生成模塊發(fā)送的生成密鑰對(duì)請(qǐng)求后,生成包含公鑰和相應(yīng)的私鑰的密鑰對(duì),并將所述生成的密鑰對(duì)回復(fù)至所述證書(shū)生成模塊。
16.根據(jù)權(quán)利要求12所述的移動(dòng)存儲(chǔ)器,其特征在于,在對(duì)文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)控制時(shí),所述主控模塊,用于通過(guò)所述數(shù)據(jù)傳輸模塊接收文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求,確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限,按所述文件訪問(wèn)請(qǐng)求的權(quán)限對(duì)存儲(chǔ)模塊中存儲(chǔ)的文件進(jìn)行相應(yīng)的文件訪問(wèn)操作。
17.根據(jù)權(quán)利要求16所述的移動(dòng)存儲(chǔ)器,其特征在于,在確認(rèn)所述文件訪問(wèn)請(qǐng)求的權(quán)限時(shí),所述主控模塊,還用于根據(jù)所述文件訪問(wèn)請(qǐng)求對(duì)應(yīng)用戶的權(quán)限信息,確認(rèn)所述文件訪問(wèn)請(qǐng)求所允許進(jìn)行的文件訪問(wèn)操作;其中,用戶的權(quán)限信息為根據(jù)文件訪問(wèn)請(qǐng)求中、或認(rèn)證請(qǐng)求中包含的用戶標(biāo)識(shí)從存儲(chǔ)模塊存儲(chǔ)的用戶權(quán)限信息中獲取。
18.—種移動(dòng)存儲(chǔ)器的訪問(wèn)控制系統(tǒng),其特征在于,該系統(tǒng)包括相互連接的移動(dòng)存儲(chǔ)器和文件信息顯示裝置,其中,所述移動(dòng)存儲(chǔ)器采用上述權(quán)利要求12 17任一項(xiàng)所述的移動(dòng)存儲(chǔ)器;和連接在所述移動(dòng)存儲(chǔ)器的證書(shū)讀寫(xiě)接口上的證書(shū)存儲(chǔ)裝置。
19.根據(jù)權(quán)利要求18所述的移動(dòng)存儲(chǔ)器的訪問(wèn)控制系統(tǒng),其特征在于,該系統(tǒng)還包括 證書(shū)管理裝置,與所述移動(dòng)存儲(chǔ)器連接。
全文摘要
本發(fā)明公開(kāi)了一種移動(dòng)存儲(chǔ)器、移動(dòng)存儲(chǔ)器的訪問(wèn)控制方法及系統(tǒng),屬信息安全領(lǐng)域。該方法包括移動(dòng)存儲(chǔ)器與文件信息顯示裝置連接后,接收由所述文件信息顯示裝置發(fā)送的認(rèn)證請(qǐng)求;接收到所述認(rèn)證請(qǐng)求后,移動(dòng)存儲(chǔ)器從其證書(shū)讀寫(xiě)接口所連接的證書(shū)存儲(chǔ)裝置獲取與所述認(rèn)證請(qǐng)求對(duì)應(yīng)的用戶證書(shū),并對(duì)所述用戶證書(shū)進(jìn)行認(rèn)證;證書(shū)認(rèn)證成功后,移動(dòng)存儲(chǔ)器對(duì)文件信息顯示裝置發(fā)送的文件訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)控制。該方法避免了目前采用的靜態(tài)口令進(jìn)行用戶身份認(rèn)證,造成的移動(dòng)存儲(chǔ)裝置訪問(wèn)控制的安全性較差的問(wèn)題。
文檔編號(hào)G06F12/14GK102393836SQ20111033785
公開(kāi)日2012年3月28日 申請(qǐng)日期2011年10月31日 優(yōu)先權(quán)日2011年10月31日
發(fā)明者李東聲 申請(qǐng)人:北京天地融科技有限公司