专利名称:一种移动存储设备和身份认证方法
技术领域:
本发明涉及一种移动存储设备和身份认证方法,特别涉及一种将与移动存储设备无线配对连接的数码设备上的特定信息作为密钥对移动存储设备内的数据进行安全保护的方法。
背景技术:
随着移动存储设备的日益普及,各类数据能够更方便的存在其中方便交換,在给使用者带来便捷性的同时也存在着极大的数据安全隐患,已经发生了多起因为用户的移动存储设备丢失或被人非法访问而导致机密数据的泄露,给使用者和公司以及政府带来了相当大的损失。也因此,不少厂商相继推出了多种带有一定安全功能的存储设备,但市场现有的加密存储设备的用户认证方式绝大多数都使用的密码验证,密码设置简单的话容易破解,设置复杂的话毎次使用都很相当麻烦,也更容易导致使用者忘记密码;另外通过生物识别技术的主要是指纹验证和人脸识别方式,存在识别率低,容易复制仿冒的问题,也给使用人带来了太多不便。而随着手机特别是智能手机的日益普及,每个人身上基本都会带有手机或者其他的便携数码设备,而这些便携数码设备上大多数都具有蓝牙或者wifi等无线连接功能,因此,可以通过无线连接手机将手机内的某些信息作为移动存储类设备进行安全认证时的密钥,能够实现自动认证用户的效果。
发明内容
本发明要解决的技术问题是提供ー种新型移动存储设备,通过移动存储设备上的无线连接获取到配对的便携数码设备上的某些认证信息作为移动存储设备密钥的身份验证方法,不再需要用户手动输入密码等方式来自动验证用户身份,并可以使用便携数码设备对移动存储设备上的数据访问进行控制和访问。为了解决上述问题,本发明提供一种移动存储设备和身份认证方法,包括所述的移动存储设备中带有无线连接単元,密钥验证单元,数据存储単元;所述身份认证方法包括所述移动存储设备启动存储设备上无线连接単元的配对连接操作,与带有使用同样无线连接协议的无线连接単元的数码设备进行连接,移动存储设备中的密码验证单元从已配对连接的数码设备上获取相关认证信息,将获取的相关认证信息选择存入密钥验证单元作为对比认证信息,带有对比认证信息的配对数码设备作为认证数码设备;移动存储设备启动后,开启移动存储设备上的无线连接単元,查找连接周边使用同样无线连接协议的数码设备,移动存储设备上的密钥验证单元从无线连接单元获得所连接数码设备上的相关认证信息;密钥验证单元判断从连接数码设备上所获得的认证信息与密钥验证单元内的对比认证信息是否一致;密钥验证单元根据认证信息的对比结果要求数据存储单元对所存储的相应数据进行对应操作。上述方案中,使用移动存储设备上的硬件按钮启动移动存储设备上无线连接単元的配对操作;通过安装在移动存储设备上的相关程序启动无线配对単元的配对操作;存储设备连接电脑时,使用安装在电脑端的配对程序开启无线连接単元与认证数码设备的配对操作。上述方案中,所述数据存储单元包含数据加解密模块,根据密钥验证单元提供的对应密钥由数据加解密模块对存储単元内的特定数据或分区执行加解密操作;所述数据加解密模块包括专门的硬件加解密芯片,还包括运行在数据存储単元内的加解密软件程序。上述方案中,所述移动存储设备中的密钥验证单元从无线连接单元取得当前所连接数码设备的认证信息进行比对,若所获得的认证信息与密钥验证单元内对比认证信息相一致,密钥验证单元向数据存储単元提供正确密钥供数据存储単元对存储的特定数据进行加解密处理,或密钥验证单元通知数据存储単元允许移动存储设备所连接的电脑或认证数码设备访问数据存储単元内的对应分区数据,或通知数据存储単元在移动存储设备所连接的电脑上执行存储单元内的对应程序;若判断结果不一致或存储设备没有获得连接数码设备的认证信息,则密钥验证单元不向数据存储単元提供正确密钥,数据存储单元不对存储在其中的特定数据进行解密处理,或通知数据存储単元关闭更改存储单元的相应数据分区禁止对其访问,或通知数据存储単元在移动存储设备所连接的电脑上执行存储单元内的对应程序。上述方案中,所述移动存储设备的数据存储単元分为存储公开访问数据的公共区和存储机密数据的机密区,公共区数据直接由所连接的电脑或认证数码设备访问,所述特定数据为存入机密区的数据,通过加解密模块进行加密处理,由密钥管理単元提供密钥对特定数据进行解密。上述方案中,更改移动存储设备密钥单元内的对比认证信息操作时,其包括的步骤为步骤a :移动存储设备重新启动配对操作;步骤b :移动存储设备上的密钥管理単元通知数据存储单元对特定数据或机密区进行数据清除操作;步骤c :移动存储设备上的密钥管理単元清空存储的对比认证信息;步骤d :移动存储设备的无线连接单元从新配对的数码设备上获得相关认证信息,传递给密钥管理単元;步骤e :移动存储设备上的密钥管理单元将重新获得的配对数码设备上的相关认证信息作为对比认证信息存入密钥管理単元。 上述方案中,认证数码设备通过开启关闭自身与移动存储设备无线连接的操作实现对移动存储设备数据存储単元内相应数据分区和特定数据的访问控制;通过安装在认证数码设备上的应用程序实现对移动存储设备数据存储単元内相应数据分区和特定数据的访问控制 。上述方案中,移动存储设备上的无线连接単元在连接到认证数码设备上后,监测无线信号強度信息,在不符合预设的无线信号强度范围值时通知密钥管理単元,通知数据存储单元执行对应操作。上述方案中,所述密钥验证单元从认证数码设备上获得的相关认证信息包括唯一设备标识符信息,认证数码设备上无线连接単元的设备mac地址,预先制定的字符串信息,认证数码设备的頂EI信息。上述方案中,所述移动存储设备包括U盘,U盾,移动硬盘,硬盘,SD卡,ID卡,固态硬盘等移动存储设备;所述数码设备包括带有无线连接単元的手机、笔记本电脑、平板电脑、MP3、MP4、数码相机、GPS、路由器、ID卡;所述移动存储设备和数码设备的无线连接単元所使用的无线连接技术包括蓝牙,WIFI,RFID,WirelessUSB及其他无线连接技术。技术效果本发明实现了ー种通过无线连接自动识别用户身份并使用便携数码设备实现对移动存储设备进行控制操作的移动存储设备,用户不再需要手动输入密码信息对身份进行认证,只需要携帯与移动存储设备绑定的那些数码设备便可自动实现对存储设备中的数据加解密。
图1是本发明中移动存储设备的身份认证方法工作流程图;图2是本发明中移动存储设备与数码设备配对获取预存认证信息工作流程图;图3是本发明中移动存储设备根据无线信号强度进行数据保护的工作流程图;图4是以本发明中移动存储设备作为手机安全认证设备Usb-key时的认证工作流程图不例;图5是以本发明中移动存储设备作为电脑安全认证设备Usb-key时的认证工作流程图不例;图6是本发明中移动存储设备的结构示意图示例;
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。如图1所示,为本发明的移动存储设备进行身份认证的流程示意图,所描述步骤如下步骤101 :用户的移动存储设备连接电脑进行启动或者不连接电脑而通过内置电池启动;步骤102 :移动存储设备打开存储上的无线连接単元,并转入步骤104 ;步骤103 :移动存储设备同时开启数据存储単元中的公共区数据访问;步骤104 :移动存储设备上的无线连接単元判断是否与周边的数码设备建立配对连接,如果建立了连接,转入步骤106,如果未连接,转入步骤105 ;步骤105 :移动存储设备上的无线连接単元未于周边的数码设备建立无线连接,则不对数据存储単元的机密区数据进行开启或解密工作;步骤106 :移动存储设备上的无线连接単元通过与周边数码设备建立了无线连接,密钥管理单元从建立连接的数码设备上获取相关认证信息,认证信息可以是该数码设备的唯一标识符或者由数码设备上传递的特定数据值等信息;步骤107 :密钥验证单元将从所连接数码设备上获得的相关认证信息与储存在密钥验证単元的对比认证信息进行比较,如果比对结果不一致,转入步骤108,如果比对结果一致,转入步骤109 ;步骤108 :密钥验证单元对比从所连接数码设备上获得的相关认证信息与预存的对比认证信息结果不一致,密钥验证单元通知数据存储単元不开启机密区的数据访问和解密;步骤109 :密钥验证单元对比从所连接数码设备上获得的相关认证信息与预存的对比认证信息结果相一致,密钥验证单元发送正确密钥给数据存储单元的加解密模块,并转入步骤110 ;步骤110 :数据存储単元中的加解密模块收到从密钥验证单元发送的正确密钥后,开启对数据存储单元中的机密区数据的访问,并对存入机密区的数据进行解密工作。图2是本发明中移动存储设备与数码设备配对获取预存认证信息工作流程图,所描述步骤如下步骤201 :移动存储设备通过连接电脑时由电脑端的程序或者存储设备上的硬件按钮启动移动存储设备上的无线连接単元的配对操作,转入步骤202 ;步骤202 :密钥验证单元向数据存储单元发出对数据存储单元机密区数据的数据擦除请求,数据存储単元对 机密区数据进行数据擦除操作,防止有人使用重新配对的操作获得机密区迆数据,并转入步骤203 ;步骤203 :密钥认证单元清除预先存储在认证单元内的对比认证信息,并转入步骤 204 ;步骤204 :移动存储设备上的无线连接単元与所选择的数码设备建立配对连接,并转入步骤205 ;步骤205 :移动存储设备上的密钥验证单元从建立配对连接的数码设备上获得相关认证信息,认证信息可以是该数码设备的唯一标识符或者由数码设备上传递的特定数据值等信息。并转入步骤206;步骤206 :移动存储设备上的密钥认证单元将从配对数码设备上获得的相关认证信息存入密钥验证单元内,作为对比认证信息使用。图3是本发明中移动存储设备根据无线信号强度进行数据保护的工作流程图;所描述步骤如下步骤301 已认证数码设备和移动存储设备通过密钥认证单元认证,建立配对连接,并转入步骤302 ;步骤302 :移动存储上的无线连接単元检测与已认证数码设备间的无线连接信号強度,转入步骤303 ;步骤303 :无线连接単元将所获得的连接信号強度值传递给密钥验证单元,并转入步骤304 ;
步骤304 :密钥验证单元将所获得的无线信号强度值与预设的无线信号连接强度值进行比较,如果所获得的信号強度值大于预设值,转入步骤306,如果所获得信号强度值低于预设值,转入步骤305 ;步骤305 :密钥验证单元获得的无线信号连接强度值大于预设值,则保持对数据存储单元机密区的访问和对机密文件的解密;步骤306 :密钥验证单元获得的无线信号连接强度值低于预设值,密钥验证单元通知数据存储単元关闭对机密区的访问;图4是以本发明中移动存储设备作为手机安全认证设备Usb-key时的认证工作流程图示例,所描述步骤如下 步骤401 :使用Usb-key上的硬件按钮开启Usb-Key.并转入步骤402 ; 步骤402 =Usb-Key开启自身的无线连接单元,并转入步骤403 ;步骤403 =Usb-Key试图与附近使用同样无线连接协议的手机进行配对连接,如成功与手机建立连接,转入步骤404,如未能成功与手机建立连接或与手机建立的无线连接断开,则转入步骤405 ;步骤404 Usb-Key上的无线连接单元与附近手机建立了无线连接,Usb-Key上的密钥管理单元从建立连接的手机上获取相关认证信息,认证信息可以是该手机的某ー设备唯一标识符或者手机頂EI码或者手机号码或事先协商的认证信息等可以对手机进行唯一标示的信息。并转入步骤406;步骤405 :无线连接単元未能与手机建立连接或者与已建立连接的手机断开无线连接,则Usb-Key上的密钥验证单元通知数据存储単元不对外传递安全证书和用户私钥;步骤406 :密钥验证单元将从配对手机上所获得的认证信息与密钥验证单元中的预存认证信息进行比较,如果对比信息一致,转入步骤407,如果对比信息不一致,转入步骤405 ;步骤407 :对比信息一致,Usb-Key上的密钥验证单元认可所连接手机为认证手机,并转入步骤408 ;步骤408 :在Usb-Key端输入用户ロ令信息,并转入步骤409 ;步骤409 :与密钥验证单元中预存的用户ロ令进行比较,如果比对结果一致,转入410,如果比对结果不一致,转入步骤405 ;步骤410 =Usb-Key中的密钥验证单元将存储在数据管理单元中的安全证书和用户私钥等信息无线传递给手机,由手机端对应软件进行接收,并转入步骤411 ;步骤411 :结束Usb-Key端的用户验证过程,完成用户安全认证。图5是以本发明中移动存储设备作为电脑安全认证设备Usb-key时的认证工作流程图示例,流程图步骤如下步骤501 :将Usb-Key插入电脑端USB端ロ,启动Usb-Key,转入步骤502。步骤502 :启动Usb-Key上的无线连接单元,转入步骤503。步骤503 =Usb-Key试图与附近使用同样无线连接协议的手机进行配对连接,如成功与手机建立连接,转入步骤504,如未能成功与手机建立连接或与手机建立的无线连接断开,则转入步骤505。步骤504 Usb-Key上的无线连接单元与附近手机建立了无线连接,Usb-Key上的密钥管理单元从建立连接的手机上获取相关认证信息,认证信息可以是该手机的某ー设备唯一标识符或者手机頂EI码或者手机号码或事先协商的认证信息等可以对手机进行唯一标示的信息。并转入步骤506。步骤505 Usb-Key上的无线连接单元未能与手机建立连接或者与已建立连接的手机断开无线连接,则Usb-Key上的密钥验证单元不向所连接电脑端的相应认证软件发送安全证书或解密密钥,用户验证失败,Usb-Key所连接电脑的相应认证软件将根据预设禁止用户使用电脑。步骤506 :密钥验证单元将从配对手机上所获得的认证信息与密钥验证单元中的预存认证信息进行比较,如果对比信息一致,转入步骤507,如果对比信息不一致,转入步骤505。步骤507 :对比信息一致,Usb-Key上的密钥验证单元认可所连接手机为认证手机,密钥验证单元向所连接电脑端的相应软件发送解密密钥或ロ令信息,并转入步骤508。步骤508 :完成用户安全认证,用户可以根据设定权限使用Usb-key所连接的电脑。图6以U盘移动存储设备为例阐述产品结构示图,在U盘601内安装有无线连接单元603,数据存储单元604,加解密模块605,密钥验证单元606,U盘601通过U盘的USB端ロ 602连接电脑后,U盘601内的无线连接单元603将所连接的数码设备的相关认证信息传递给与密钥验证单元606进行验证,密钥验证单元验证无误后,将解密密钥传递给加解密模块605,由加解密模块605连接数据存储単元604,通过解密密钥控制数据存储単元机密区的开启和数据解密。解密后通过电脑USB ロ连接可以让电脑查看U盘机区的数据。
以上所述仅为本发明的较佳实施例,并非用以限制本发明,凡在本发明的精神和原则之内, 所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种移动存储设备和身份认证方法,其中所述的移动存储设备中带有无线连接单元,密钥验证单元,数据存储单元;所述身份认证方法包括 所述移动存储设备启动存储设备上无线连接单元的配对连接操作,与使用同样无线连接协议的数码设备进行连接; 移动存储设备中的密码验证单元从已连接的数码设备上获取相关认证信息,将获取的相关认证信息选择存入密钥验证单元作为对比认证信息,带有对比认证信息的配对数码设备作为认证数码设备; 移动存储设备完成配对再次启动后,开启移动存储设备上的无线连接单元,查找连接周边使用同样无线连接协议的数码设备,移动存储设备上的密钥验证单元从无线连接单元获得所连接数码设备上的相关认证信息; 密钥验证单元判断从连接数码设备上所获得的认证信息与密钥验证单元内的对比认证信息是否一致; 密钥验证单元根据认证信息的对比结果要求数据存储单元对所存储的相应数据进行对应操作。
2.如权利要求1所述的移动存储设备和身份认证方法,其特征在于,使用移动存储设备上的硬件按钮启动移动存储设备上无线连接单元的配对操作;通过安装在移动存储设备上的相关程序启动无线连接单元的配对操作;存储设备连接电脑时,使用安装在电脑端的配对程序开启无线连接单元与认证数码设备的配对操作。
3.如权利要求1所述的移动存储设备和身份认证方法,其特征在于,所述移动存储设备的数据存储单元包含数据加解密模块,根据密钥验证单元提供的对应密钥由数据加解密模块对存储单元内的特定数据或分区执行加解密操作;所述数据加解密模块包括专门的硬件加解密芯片,还包括运行在数据存储单元内的加解密软件程序。
4.如权利要求1所述的移动存储设备和身份认证方法,其特征在于,所述移动存储设备中的密钥验证单元从无线连接单元取得当前所连接数码设备的认证信息进行比对,若所获得的认证信息与密钥验证单元内对比认证信息相一致,密钥验证单元向数据存储单元提供正确密钥供数据存储单元对存储的特定数据进行加解密处理,或密钥验证单元通知数据存储单元允许移动存储设备所连接的电脑或认证数码设备访问数据存储单元内的对应分区数据,或通知数据存储单元在移动存储设备所连接的电脑上执行存储单元内的对应程序;若判断结果不一致或存储设备没有获得数码设备的认证信息,则密钥验证单元不向数据存储单元提供正确密钥,数据存储单元不对存储在其中的特定数据进行解密处理,或通知数据存储单元关闭更改存储单元的相应数据分区禁止对其访问,或通知数据存储单元在移动存储设备所连接的电脑上执行存储单元内的对应程序。
5.如权利要求1所述的移动存储设备和身份认证方法,其特征在于,所述移动存储设备的数据存储单元分为存储公开访问数据的公共区和存储机密数据的机密区,公共区数据直接由所连接的电脑或认证数码设备访问,所述特定数据为存入机密区的数据,通过加解密模块进行加密处理,由密钥管理单元提供密钥对特定数据进行解密。
6.如权利要求1所述的移动存储设备和身份认证方法,其特征在于,更改移动存储设备密钥单元内的对比认证信息操作时,其包括的步骤为 步骤a :移动存储设备重新启动配对操作;步骤b:移动存储设备上的密钥管理单元通知数据存储单元对特定数据或机密区进行数据清除操作; 步骤C :移动存储设备上的密钥管理单元清空存储的对比认证信息; 步骤d:移动存储设备的无线连接单元从新配对的数码设备上获得相关认证信息,传递给密钥管理单元; 步骤e :移动存储设备上的密钥管理单元将重新获得的配对数码设备上的相关认证信息作为对比认证信息存入密钥管理单元。
7.如权利要求1所述的移动存储设备和身份认证方法,其特征在于,认证数码设备通过开启关闭自身与移动存储设备无线连接的操作实现对移动存储设备数据存储单元内相应数据分区和特定数据的访问控制;通过安装在认证数码设备上的应用程序实现对移动存储设备数据存储单元内相应数据分区和特定数据的访问控制。
8.如权利要求1所述的移动存储设备和身份认证方法,其特征在于,移动存储设备上的无线连接单元在连接到认证数码设备上后,监测无线信号强度信息,在不符合预设的无线信号强度范围值时通知密钥管理单元,密钥管理单元发送相应命令给数据存储单元执行对应操作。
9.如权利要求1所述的移动存储设备和身份认证方法,其特征在于,所述密钥验证单元从认证数码设备上获得的相关认证信息包括唯一设备标识符信息,认证数码设备上无线连接单元的设备mac地址,预先制定的字符串信息,认证数码设备的MEI信息。
10.如权利要求1所述的移动存储设备和身份认证方法,其特征在于,所述移动存储设备包括U盘,U盾,Usb-Key,移动硬盘,硬盘,SD卡,ID卡,固态硬盘等移动存储设备;所述数码设备包括带有无线连接单元的手机、笔记本电脑、平板电脑、MP3、MP4、数码相机、GPS、路由器、ID卡;所述移动存储设备和数码设备的无线连接单元所使用的无线连接技术包括Bluetooth, WIFI, RFID, WirelessUSB 及其他无线连接技术。
全文摘要
本发明涉及一种移动存储设备和身份认证方法,特别涉及一种将与移动存储设备无线配对连接的数码设备上的特定信息作为密钥对移动存储设备内的数据进行安全保护的方法,不再需要用户手动输入密码等方式来自动验证用户身份,并可以使用便携数码设备对移动存储设备上的数据进行控制和访问。
文档编号H04W12/06GK103037370SQ20121043412
公开日2013年4月10日 申请日期2012年11月5日 优先权日2012年11月5日
发明者李明 申请人:李明