一种存储设备的访问控制方法及系统与流程

本申请涉及计算机领域，特别涉及一种存储设备的访问控制方法及系统。

背景技术：

存储设备上存储的数据可以包含各种类型的数据，如用户应用程序参数、个人私密数据和医疗记录、审核以及安全日志，甚至还包括用户访问应用程序所需的凭据。很明显，针对这些数据应该设置访问限制，保证它们的访问安全。

但如何实现存储设备上的数据的访问安全成为问题。

技术实现要素：

为解决上述技术问题，本申请实施例提供一种存储设备的访问控制方法及系统，以达到实现存储设备上数据的访问安全的目的，技术方案如下：

一种存储设备的访问控制方法，包括：

访问控制设备接收请求设备的数据访问请求；

所述访问控制设备将所述数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统；

所述硬件密码系统利用所述数据访问请求对应数据的解密密钥，对所述存储设备上存储的相应加密数据进行解密，得到解密后的数据，并将所述解密后的数据发送至所述访问控制设备，所述相应加密数据为所述硬件密码系统预先对所述数据访问请求对应数据加密后的数据；

所述访问控制设备将所述解密后的数据发送至所述请求设备。

优选的，所述访问控制设备接收请求设备的数据访问请求之后，所述访问控制设备将所述数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统之前，还包括：

所述访问控制设备判断所述请求设备是否为预设实体列表内记录的设备；

若是，执行所述访问控制设备将所述数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统的步骤。

优选的，所述访问控制设备接收请求设备的数据访问请求之后，还包括：

所述访问控制设备利用所述数据访问请求对应数据的解密密钥与授权计算设备建立通信；

所述访问控制设备发送所述数据访问请求中包含的所述请求设备信息至所述授权计算设备；

所述授权计算设备利用所述请求设备信息和所述数据访问请求对应数据的解密密钥，对所述数据访问请求进行访问授权计算，得到访问授权计算结果；

若所述访问授权计算结果为允许访问，所述授权计算设备发送允许访问指示至所述访问控制设备。

优选的，还包括：

所述访问控制设备接收上位机发送的第一可执行指令和第二可执行指令；

所述访问控制设备运行所述第一可执行指令，执行以下步骤：擦除存储在所述存储设备上的数据；

所述访问控制设备运行所述第二可执行指令，执行以下步骤：擦除所述访问控制设备上存储的密码信息。

优选的，还包括：

所述访问控制设备接收所述上位机发送的第三可执行指令和第四可执行指令；

所述访问控制设备运行所述第三可执行指令，执行以下步骤：完成自身的更新；

所述访问控制设备运行所述第四可执行指令，执行以下步骤：将访问控制逻辑和算法替换为指定的访问控制逻辑和算法。

一种存储设备的访问控制系统，包括：访问控制设备和存储设备的硬件密码系统；

所述访问控制设备，用于接收请求设备的数据访问请求，将所述数据访问请求对应数据的解密密钥发送至所述硬件密码系统，并将所述硬件密码系统发送的解密后的数据发送至所述请求设备；

所述硬件密码系统，用于利用所述数据访问请求对应数据的解密密钥，对所述存储设备上存储的相应加密数据进行解密，得到解密后的数据，并将所述解密后的数据发送至所述访问控制设备，所述相应加密数据为所述硬件密码系统预先对所述数据访问请求对应数据加密后的数据。

优选的，所述访问控制设备还用于判断所述请求设备是否为预设实体列表内记录的设备，若是，执行所述访问控制设备将所述数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统的步骤。

优选的，还包括：授权计算设备；

所述访问控制设备，还用于利用所述数据访问请求对应数据的解密密钥与所述授权计算设备建立通信，发送所述数据访问请求中包含的所述请求设备信息至所述授权计算设备；

所述授权计算设备，用于利用所述请求设备信息和所述数据访问请求对应数据的解密密钥，对所述数据访问请求进行访问授权计算，得到访问授权计算结果，若所述访问授权计算结果为允许访问，所述授权计算设备发送允许访问指示至所述访问控制设备。

优选的，所述访问控制设备，还用于接收上位机发送的第一可执行指令和第二可执行指令，并运行所述第一可执行指令，执行以下步骤：擦除存储在所述存储设备上的数据，并运行所述第二可执行指令，执行以下步骤：擦除所述访问控制设备上存储的密码信息。

优选的，所述访问控制设备，还用于接收所述上位机发送的第三可执行指令和第四可执行指令，并运行所述第三可执行指令，执行以下步骤：完成自身的更新，并运行所述第四可执行指令，执行以下步骤：将访问控制逻辑和算法替换为指定的访问控制逻辑和算法。

与现有技术相比，本申请的有益效果为：

在本申请中，在存储设备上存储的数据为加密数据的基础上，访问控制设备通过接收请求设备的数据访问请求，且只将数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统，硬件密码系统只有利用正确的解密密钥才能对存储设备上存储的相应加密数据进行解密，得到解密后的数据，再将解密后的数据发送至访问控制设备，由访问控制设备将解密后的数据发送至请求设备，实现存储设备上数据的访问安全。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本申请提供的存储设备的访问控制方法的一种流程图；

图2是本申请提供的存储设备的访问控制方法的另一种流程图；

图3是本申请提供的存储设备的访问控制方法的再一种流程图；

图4是本申请提供的存储设备的访问控制方法的再一种流程图；

图5是本申请提供的存储设备的访问控制方法的再一种流程图；

图6是本申请提供的存储设备的访问控制系统的一种逻辑结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

实施例一

请参见图1，其示出了本申请提供的存储设备的访问控制方法的一种流程图，可以包括以下步骤：

步骤s11：访问控制设备接收请求设备的数据访问请求。

在本实施例中，数据访问请求中包含有需要访问的数据的信息。

步骤s12：所述访问控制设备将所述数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统。

所述访问控制设备根据数据访问请求中需要访问的数据的信息来确定数据访问请求对应数据的解密密钥，并将解密密钥发送至存储设备的硬件密码系统。其中，数据访问请求对应数据即请求设备所要访问的数据。

步骤s13：所述硬件密码系统利用所述数据访问请求对应数据的解密密钥，对所述存储设备上存储的相应加密数据进行解密，得到解密后的数据，并将所述解密后的数据发送至所述访问控制设备。

所述相应加密数据为所述硬件密码系统预先对所述数据访问请求对应数据加密后的数据。具体的，访问控制设备可以预先发送存储设备中的各个数据的加密密钥至硬件密码系统，硬件密码系统则根据各个加密密钥对存储设备中的各个数据进行加密，得到加密数据。

步骤s14：所述访问控制设备将所述解密后的数据发送至所述请求设备。

在本申请中，在存储设备上存储的数据为加密数据的基础上，访问控制设备通过接收请求设备的数据访问请求，且只将数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统，硬件密码系统只有利用正确的解密密钥才能对存储设备上存储的相应加密数据进行解密，得到解密后的数据，再将解密后的数据发送至访问控制设备，由访问控制设备将解密后的数据发送至请求设备，实现存储设备上数据的访问安全。

在本实施例中，在图1示出的存储设备的访问控制方法的基础上扩展出另外一种存储设备的访问控制方法，请参见图2，可以包括以下步骤：

步骤s21：访问控制设备接收请求设备的数据访问请求。

步骤s21与图1示出的存储设备的访问控制方法中的步骤s11相同，在此不再详述步骤s21的具体执行过程。

步骤s22：所述访问控制设备判断所述请求设备是否为预设实体列表内记录的设备。

若是，执行步骤s23，若否，结束流程。

在本实施例中，预设实体列表包括多个实体设备的信息。访问控制设备具体通过判断预设实体列表内是否存在所述请求设备的信息，来判断请求设备是否为预设实体列表内记录的设备。

步骤s23：所述访问控制设备将所述数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统。

步骤s24：所述硬件密码系统利用所述数据访问请求对应数据的解密密钥，对所述存储设备上存储的相应加密数据进行解密，得到解密后的数据，并将所述解密后的数据发送至所述访问控制设备。

所述相应加密数据为所述硬件密码系统预先对所述数据访问请求对应数据加密后的数据。

步骤s25：所述访问控制设备将所述解密后的数据发送至所述请求设备。

步骤s23-s25与图1示出的存储设备的访问控制方法中的步骤s12-s14一一对应，在此不再详述步骤s23-s25的具体执行过程。

在本实施例中，访问控制设备通过设置预设实体列表来限制不在预设实体列表中的请求设备对存储设备上的数据的访问，进一步确保了存储设备上的数据的访问安全。

在本实施例中，在图1示出的存储设备的访问控制方法的基础上扩展出另外一种存储设备的访问控制方法，请参见图3，可以包括以下步骤：

步骤s31：访问控制设备接收请求设备的数据访问请求。

步骤s32：所述访问控制设备利用所述数据访问请求对应数据的解密密钥与授权计算设备建立通信。

步骤s33：所述访问控制设备发送所述数据访问请求中包含的所述请求设备信息至所述授权计算设备。

步骤s34：所述授权计算设备利用所述请求设备信息和所述数据访问请求对应数据的解密密钥，对所述数据访问请求进行访问授权计算，得到访问授权计算结果。

步骤s35：若所述访问授权计算结果为允许访问，所述授权计算设备发送允许访问指示至所述访问控制设备。

步骤s36：所述访问控制设备将所述数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统。

步骤s37：所述硬件密码系统利用所述数据访问请求对应数据的解密密钥，对所述存储设备上存储的相应加密数据进行解密，得到解密后的数据，并将所述解密后的数据发送至所述访问控制设备。

所述相应加密数据为所述硬件密码系统预先对所述数据访问请求对应数据加密后的数据。

步骤s38：所述访问控制设备将所述解密后的数据发送至所述请求设备。

步骤s36-s38与图1示出的存储设备的访问控制方法中的步骤s12-s14一一对应，在此不再详述步骤s36-s38的具体执行过程。

在本实施例中，通过授权计算设备进行访问授权计算，来指示请求设备是否有权访问存储设备上的数据，进一步提高了存储设备上的数据的访问安全性。

在本实施例中，在图1示出的存储设备的访问控制方法的基础上扩展出另外一种存储设备的访问控制方法，请参见图4，可以包括以下步骤：

步骤s41：访问控制设备接收请求设备的数据访问请求。

步骤s42：所述访问控制设备将所述数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统。

步骤s43：所述硬件密码系统利用所述数据访问请求对应数据的解密密钥，对所述存储设备上存储的相应加密数据进行解密，得到解密后的数据，并将所述解密后的数据发送至所述访问控制设备。

所述相应加密数据为所述硬件密码系统预先对所述数据访问请求对应数据加密后的数据。

步骤s44：所述访问控制设备将所述解密后的数据发送至所述请求设备。

步骤s41-s44与图1示出的存储设备的访问控制方法中的步骤s11-s14一一对应，在此不再详述步骤s41-s44的具体执行过程。

步骤s45：所述访问控制设备接收上位机发送的第一可执行指令和第二可执行指令。

步骤s46：所述访问控制设备运行所述第一可执行指令，执行以下步骤：擦除存储在所述存储设备上的数据。

步骤s47：所述访问控制设备运行所述第二可执行指令，执行以下步骤：擦除所述访问控制设备上存储的密码信息。

密码信息具体可以包括加密密钥和解密密钥。

在本实施例中，通过运行第一可执行指令和第二可执行指令，擦除存储在所述存储设备上的数据和擦除所述访问控制设备上存储的密码信息，使得存储设备上的数据以及存储设备上使用密码信息加密的数据是不可读取且不可访问的，进一步提高存储设备上的数据的访问烦请性。

其中，访问控制设备能够基于自身确定的指令或基于从外部设备(如授权计算设备)远程接收的指令来激活第一可执行指令和第二可执行指令。

在本实施例中，同样需要对访问控制设备本身进行管理，具体管理的实施方式可以参见图5，可以包括以下步骤：

步骤s51：访问控制设备接收请求设备的数据访问请求。

步骤s52：所述访问控制设备将所述数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统。

步骤s53：所述硬件密码系统利用所述数据访问请求对应数据的解密密钥，对所述存储设备上存储的相应加密数据进行解密，得到解密后的数据，并将所述解密后的数据发送至所述访问控制设备。

所述相应加密数据为所述硬件密码系统预先对所述数据访问请求对应数据加密后的数据。

步骤s54：所述访问控制设备将所述解密后的数据发送至所述请求设备。

步骤s51-s54与图1示出的存储设备的访问控制方法中的步骤s11-s14一一对应，在此不再详述步骤s51-s54的具体执行过程。

步骤s55：所述访问控制设备接收所述上位机发送的第三可执行指令和第四可执行指令。

步骤s56：所述访问控制设备运行所述第三可执行指令，执行以下步骤：完成自身的更新。

步骤s57：所述访问控制设备运行所述第四可执行指令，执行以下步骤：将访问控制逻辑和算法替换为指定的访问控制逻辑和算法。

步骤s55-s57示出的过程为对访问控制设备本身进行管理的过程，保证访问控制设备能够正常稳定的运行。

与上述方法实施例相对应，本实施例提供了一种存储设备的访问控制系统，请参见图6，存储设备的访问控制系统包括：访问控制设备11和存储设备的硬件密码系统12。

所述访问控制设备11，用于接收请求设备的数据访问请求，将所述数据访问请求对应数据的解密密钥发送至所述硬件密码系统12，并将所述硬件密码系统12发送的解密后的数据发送至所述请求设备。

所述硬件密码系统12，用于利用所述数据访问请求对应数据的解密密钥，对所述存储设备上存储的相应加密数据进行解密，得到解密后的数据，并将所述解密后的数据发送至所述访问控制设备11，所述相应加密数据为所述硬件密码系统12预先对所述数据访问请求对应数据加密后的数据。

在本实施例中，所述访问控制设备11还用于判断所述请求设备是否为预设实体列表内记录的设备，若是，执行所述访问控制设备11将所述数据访问请求对应数据的解密密钥发送至存储设备的硬件密码系统12的步骤。

图6示出的存储设备的访问控制系统还可以包括：授权计算设备。

其中，所述访问控制设备11，还用于利用所述数据访问请求对应数据的解密密钥与所述授权计算设备建立通信，发送所述数据访问请求中包含的所述请求设备信息至所述授权计算设备；

所述授权计算设备，用于利用所述请求设备信息和所述数据访问请求对应数据的解密密钥，对所述数据访问请求进行访问授权计算，得到访问授权计算结果，若所述访问授权计算结果为允许访问，所述授权计算设备发送允许访问指示至所述访问控制设备11。

在本实施例中，所述访问控制设备11，还用于接收上位机发送的第一可执行指令和第二可执行指令，并运行所述第一可执行指令，执行以下步骤：擦除存储在所述存储设备上的数据，并运行所述第二可执行指令，执行以下步骤：擦除所述访问控制设备11上存储的密码信息。

在本实施例中，所述访问控制设备11，还用于接收所述上位机发送的第三可执行指令和第四可执行指令，并运行所述第三可执行指令，执行以下步骤：完成自身的更新，并运行所述第四可执行指令，执行以下步骤：将访问控制逻辑和算法替换为指定的访问控制逻辑和算法。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本申请所提供的一种存储设备的访问控制方法及系统进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。