移动存储设备、存储系统和存储方法与流程

本申请实施例涉及存储领域，并且更具体地，涉及一种移动存储设备、存储系统和存储方法。

背景技术：

移动存储器作为一种常见的外置存储设备，已被广泛应用在各个领域当中，用以实现数据存储功能。为了实现数据安全，移动存储器可以通过如下方式a和方式b两种方式进行数据加密。在方式a中，移动存储器与主机(比如电脑)连接后，在主机上安装特定软件并运行之，用户通过该特定软件输入密码后方可访问移动存储器上的数据，然而，在一些工作环境中，是不允许随意在主机上安装其他软件的。在方式b中，移动存储器上集成有指纹传感器或键盘，移动存储器与主机连接后，用户在移动存储器上输入了正确的指纹或者密码，才能从主机访问移动存储器上的数据，然而，在移动存储器上集成指纹传感器或键盘，会增大移动存储器的体积，不适用于体积越来越小的移动存储器。

技术实现要素：

本申请实施例提供了一种移动存储设备、存储系统和存储方法，通过将安全密钥输入接口设置在外置的安全设备(如个人智能终端)上，避免了在主机设备上安装特定软件或在移动存储设备上集成安全密钥输入装置，从而提升了移动存储设备中安全功能的通用性并减小了移动存储设备的体积。

第一方面，提供了一种移动存储设备，包括：

安全模块、无线通信模块、控制模块和存储介质；其中，

所述控制模块用于通过所述无线通信模块接收安全设备发送的安全密钥，控制所述安全模块存储所述安全密钥，以及控制所述移动存储设备向主机设备发送第一指令，其中，所述安全密钥用于访问所述存储介质中的数据，所述第一指令指示所述移动存储设备能够挂载到所述主机设备的文件系统。

在一种可能的实现方式中，所述控制模块还用于通过所述无线通信模块接收所述安全设备发送的第一密钥，根据所述安全密钥校验所述第一密钥，以及根据校验结果确定是否向所述主机设备发送所述第一指令。

在一种可能的实现方式中，在所述第一密钥校验成功的情况下，

所述控制模块还用于通过所述无线通信模块接收所述安全设备发送的第二密钥，以及控制所述安全模块将所述安全密钥更新为所述第二密钥。

在一种可能的实现方式中，在所述移动存储设备挂载到所述主机设备的文件系统上之后，

所述控制模块用于控制所述安全模块根据所述安全密钥对所述主机设备写入所述存储介质的数据进行加密，以及控制所述安全模块根据所述安全密钥对所述主机设备从所述存储介质中读出的数据进行解密。

在一种可能的实现方式中，所述存储介质用于存储基于所述安全密钥加密之后的数据。

在一种可能的实现方式中，所述控制模块还用于根据会话密钥解密从所述安全设备处接收的密钥。

在一种可能的实现方式中，所述会话密钥为基于所述移动存储设备与所述安全设备之间的无线通信协议确定的。

在一种可能的实现方式中，所述无线通信模块还用于在所述移动存储设备上电后广播所述移动存储设备的设备信息，以建立与所述安全设备之间的无线通信连接。

在一种可能的实现方式中，所述移动存储设备与所述主机设备之间通过有线接口进行通信。

在一种可能的实现方式中，所述安全密钥为生物特征。

在一种可能的实现方式中，所述移动存储设备为u盘或者移动硬盘。

在一种可能的实现方式中，所述安全设备包括以下中的至少一种：

可穿戴设备、移动终端设备。

第二方面，提供了一种存储系统，包括：

安全设备；以及

第一方面或第一方面的任意可能的实现方式中的移动存储设备。

第三方面，提供了一种存储系统，包括：

主机设备和安全设备；以及

第一方面或第一方面的任意可能的实现方式中的移动存储设备。

第四方面，提供了一种存储方法，应用于包括移动存储设备、主机设备和安全设备的存储系统，所述移动存储设备与所述安全设备之间通过无线方式通信，所述方法包括：

所述移动存储设备接收所述安全设备发送的安全密钥，并存储所述安全密钥，所述安全密钥用于访问所述移动存储设备中存储的数据；

所述移动存储设备向所述主机设备发送第一指令，所述第一指令用于指示所述移动存储设备能够挂载到所述主机设备的文件系统。

在一种可能的实现方式中，所述方法还包括：

所述移动存储设备接收所述安全设备发送的第一密钥；

所述移动存储设备根据所述安全密钥校验所述第一密钥，以及根据校验结果确定是否向所述主机设备发送所述第一指令。

在一种可能的实现方式中，在所述第一密钥校验成功的情况下，所述方法还包括：

所述移动存储设备接收所述安全设备发送的第二密钥；

所述移动存储设备将所述安全密钥更新为所述第二密钥。

在一种可能的实现方式中，在所述移动存储设备挂载到所述主机设备的文件系统上之后，所述方法还包括：

所述移动存储设备根据所述安全密钥对所述主机设备写入的数据进行加密，以及根据所述安全密钥对所述主机设备读出的数据进行解密。

在一种可能的实现方式中，所述方法还包括：

所述移动存储设备根据会话密钥解密从所述安全设备处接收的密钥。

在一种可能的实现方式中，所述会话密钥为基于所述移动存储设备与所述安全设备之间的无线通信协议确定的。

在一种可能的实现方式中，所述方法还包括：

所述移动存储设备在上电之后广播所述移动存储设备的设备信息，以建立与所述安全设备之间的无线通信连接。

在一种可能的实现方式中，所述移动存储设备与所述主机设备之间通过有线接口进行通信。

在一种可能的实现方式中，所述安全密钥为生物特征。

在一种可能的实现方式中，所述移动存储设备为u盘或者移动硬盘。

在一种可能的实现方式中，所述安全设备包括以下中的至少一种：

可穿戴设备、移动终端设备。

第五方面，提供了一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行上述第四方面及其任一可能的实现方式中的存储方法。

第六方面，提供了一种包括指令的计算机程序产品，当计算机运行所述计算机程序产品的所述指令时，所述计算机执行上述第四方面及其任一可能的实现方式中的存储方法。

基于上述技术方案，移动存储设备可以通过无线通信方式从安全设备处接收安全密钥，以基于安全密钥实现对移动存储设备中数据的加密与解密。通过将安全密钥输入接口设置在外置的安全设备上，避免了在主机设备上安装用于输入安全密钥的特定软件，也避免了在移动存储设备上集成安全密钥输入装置，从而提升了移动存储设备中安全功能的通用性并减小了移动存储设备的体积。

附图说明

图1是本申请实施例的移动存储设备的示意性结构图。

图2是本申请实施例的一种存储系统的示意性图。

图3是本申请实施例的一种移动存储设备与主控设备和安全设备之间通信的示意性图。

图4是本申请实施例的一种存储系统的示意性框图。

图5是本申请实施例的存储方法的示意性流程图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

需要说明的是，为便于说明，在本申请的实施例中，相同的附图标记表示相同的部件，并且为了简洁，不同实施例中，省略对相同部件的详细说明。

图1是本申请实施例的移动存储设备100的示意性结构图。如图1所示，该移动存储设备100包括安全模块110、无线通信模块120、控制模块130和存储介质140。

在本申请实施例中，如图2所示，移动存储设备100、主控设备200和安全设备300可以构成一存储系统。

具体地，该控制模块130用于通过该无线通信模块120接收安全设备300发送的安全密钥，控制该安全模块110存储该安全密钥，以及控制该移动存储设备100向主机设备200发送第一指令，其中，该安全密钥用于访问该存储介质140中的数据，该第一指令用于指示该移动存储设备100能够挂载到该主机设备200的文件系统。

在本申请实施例中，移动存储设备通过无线通信方式从安全设备处获取安全密钥，也即将安全密钥的输入接口设置在了安全设备上，避免了在主机设备上安装用于输入安全密钥的特定软件，也避免了在移动存储设备上集成安全密钥输入装置，从而提升了移动存储设备中安全功能的通用性并减小了移动存储设备的体积。另外，安全设备作为移动存储设备的一个外置设备，可以实现便携性，同时为移动存储设备提供更多的整机设计空间，也能避免因布局安全密钥输入装置而破坏移动存储设备的整机完整性，提升用户体验。

进一步地，在本申请实施例中，该安全密钥用于访问该存储介质140中的数据，也就是说，该存储介质140中存储的是基于该安全密钥加密之后的数据。从而可以避免攻击者直接从存储介质140中盗窃有效数据。

需要说明的是，该安全设备300具有无线通信能力。也即，该安全设备300也具有类似于无线通信模块120的通信模块。另外，该移动存储设备100可以与该安全设备300配合使用，以实现安全密钥的输入。

可选地，该安全设备300可以是一些能够验证用户合法性的设备，以确保该安全设备300输出的安全密钥的安全性。例如，该安全设备300为手机，用户首先需要获取访问手机的权限，然后才能通过手机向移动存储设备发送安全密钥。

需要说明的是，在该移动存储设备100挂载到该主机设备200的文件系统之后，该主机设备200可以对该移动存储设备100执行读写操作，或者，该主机设备200可以访问该移动存储设备100中的数据。

可选地，在该主机设备200接收到该第一指令之后，该主机设备200可以控制或者触发该移动存储设备100挂载到该主机设备200的文件系统。

可选地，在本申请实施例中，该移动存储设备100可以是闪存、移动硬盘、软盘、可擦写光盘、读卡器可以读写的存储卡等。

例如，该移动存储设备100为u盘或者移动硬盘。

需要说明的是，本申请实施例中的移动存储设备100也可以称之为移动存储器。

可选地，在本申请实施例中，该安全密钥可以为生物特征，也可以是一些其他的密码。

可选地，该生物特征包括但不限于指纹、虹膜、脸、耳、掌纹、手掌静脉、语音、脑电波等。

可选地，在本申请实施例中，该控制模块130还用于通过该无线通信模块120接收该安全设备300发送的第一密钥，根据该安全密钥校验该第一密钥，以及根据校验结果确定是否向该主机设备200发送该第一指令。

具体地，若该第一密钥与该安全密钥相同，即该第一密钥校验成功，该控制模块130确定向该主机设备200发送该第一指令；若该第一密钥与该安全密钥不相同，即该第一密钥校验失败，该控制模块130确定不向该主机设备200发送该第一指令。

可选地，若该控制模块130确定向该主机设备200发送该第一指令，该控制模块130还用于控制该移动存储设备100向该主机设备200发送该第一指令。

需要说明的是，该第一密钥与该安全密钥为相同类型的密钥，例如，该第一密钥与该安全密钥同为生物特征。

也就是说，在本申请实施例中，如果是第一次使用移动存储设备，用户通过安全设备输入的安全密钥会被存储在移动存储设备内置的安全模块中；然后移动存储设备将向主机设备发起可以挂载到主机设备文件系统的信号(第一指令)。如果不是第一次使用移动存储设备，用户通过安全设备输入的密钥会与移动存储设备内置的安全模块中存储的安全密钥进行校验，如果校验成功，移动存储设备将向主机设备发起可以挂载到主机设备的文件系统的信号(第一指令)。

可选地，在本申请实施例中，在该第一密钥校验成功的情况下，

该控制模块130还用于通过该无线通信模块120接收该安全设备300发送的第二密钥，以及控制该安全模块110将该安全密钥更新为该第二密钥。

需要说明的是，该第二密钥与该安全密钥可以为相同类型的密钥，例如，该第二密钥与该安全密钥同为生物特征；该第二密钥与该安全密钥也可以为不同类型的密钥，例如，该安全密钥为生物特征，该第二密钥为密码。

可选地，在本申请实施例中，在该移动存储设备100挂载到该主机设备200的文件系统上之后，该控制模块130用于控制该安全模块110根据该安全密钥对该主机设备200写入该存储介质140的数据进行加密，以及控制该安全模块110根据该安全密钥对该主机设备200从该存储介质140中读出的数据进行解密。

可选地，在本申请实施例中，移动存储设备100与安全设备300之间采用无线方式进行通信，具体采用的无线技术可以是2.4ghz、蓝牙、zigbee、无线保真(wireless-fidelity，wi-fi)、3g、4g、5g通信、以及后续演进的无线通信技术等，另外，也可以是一些其他的无线通信技术，本申请对此并不限定。

可选地，在本申请实施例中，该移动存储设备100中的控制模块130可以是一个微控制单元(microcontrolunit，mcu)。

可选地，在本申请实施例中，该移动存储设备100中的安全模块110可以具有一定的存储能力，例如，该安全模块可以存储安全密钥。另外，该移动存储设备100中的安全模块110还可以具有一定的处理能力，例如该安全模块110基于控制模块130的控制对主机设备200写入的数据进行加密，以及基于控制模块130的控制对主机设备200读出的数据进行解密。

可选地，在本申请实施例中，该控制模块130还用于根据会话密钥解密从该安全设备300处接收的密钥。也就是说，该安全设备300可以根据该会话密钥对向该移动存储设备100发送的密钥进行加密，以确保密钥安全。

需要说明的是，从该安全设备300处接收的密钥可以是安全密钥、第一密钥和第二密钥中的至少一种。

可选地，该会话密钥为基于该移动存储设备100与该安全设备300之间的无线通信协议确定的。另外，该会话密钥也可以是该移动存储设备100与该安全设备300协商确定的或者预先约定的。

可选地，在本申请实施例中，该无线通信模块120还用于在该移动存储设备100上电后广播该移动存储设备100的设备信息，以建立与该安全设备300之间的无线通信连接。

例如，该移动存储设备100的设备信息为该移动存储设备100的标识。

可选地，在本申请实施例中，该移动存储设备100与该主机设备200之间通过有线接口进行通信。从而可以确保该移动存储设备100与该主机设备200之间通信安全性和传输速率，提升用户体验。

可选地，该有线接口为usb接口。

例如，如图3所示，移动存储设备100与主机设备200之间通过有线接口进行通信，移动存储设备100与安全设备300之间通过无线通信方式进行通信。

可选地，该移动存储设备100与该主机设备200之间也可以通过无线通信方式进行通信。例如，该移动存储设备100可以通过该无线通信模块120向该主机设备200发送该第一指令。

本申请实施例中的主机设备200可以是平板电脑、笔记本电脑、台式机电脑、游戏设备、车载电子设备、智能家电或穿戴式智能设备等便携式或移动计算设备，以及电子数据库、汽车、银行自动柜员机(automatedtellermachine，atm)等其他电子设备。另外，本申请实施例中的主机设备200也可以是虚拟主机或者虚拟服务器等。

可选地，在本申请实施例中，该安全设备300包括以下中的至少一种：

可穿戴设备、移动终端设备。

也就是说，本申请实施例中的安全设备300可以是一些具有无线通信功能的设备，例如无线鼠标、无线键盘、穿戴式智能设备、移动终端设备，例如手机。另外，该安全设备300也可以是具有无线通信功能的其他设备。

可选地，该无线鼠标和/或该无线键盘可以具有生物特征采集功能。

上述穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能首饰等设备。

在一些实施例中，主机设备200可以通过如下步骤1至步骤5访问移动存储设备100中的存储介质140。

1、用户将移动存储设备100与主机设备200通过有线接口连接，该移动存储设备100上电后自动广播无线信号，该无线信号携带该移动存储设备100的设备信息，例如，该移动存储设备100的标识；

2、安全设备300在检测到该无线信号之后，通过该无线信号与该移动存储设备100建立无线连接，用户在该安全设备300输入安全密钥之后，该安全设备300将该安全密钥通过无线通信方式发送给该移动存储设备100；

3、如果是第一次使用该移动存储设备100，用户输入的安全密钥会被存储在该移动存储设备100内置的安全模块110中，然后，该移动存储设备100将向主机设备200发起可以挂载到该主机设备200文件系统的信号；

4、如果不是第一次使用该移动存储设备100，用户输入的安全密钥会与该移动存储设备100内置安全模块110中的安全密钥进行校验，如果校验成功，该移动存储设备100将向该主机设备200发起可以挂载到该主机设备200文件系统的信号；

5、在该主机设备200将该移动存储设备100挂载到文件系统中之后，用户可以从该主机设备200上访问该移动存储设备100中的数据。

用户从主机设备200上访问移动存储设备100中的数据具体可以是：

a)主机设备200向移动存储设备100写入的未加密数据，都会被移动存储设备100内置安全模块110用安全密钥加密后再写入到移动存储设备100的存储介质140中；

b)主机设备200要从移动存储设备100中读出的数据，都会被移动存储设备100从存储介质140中读出后，再经过内置安全模块110用安全密钥解密为未加密数据。

可选地，本申请实施例提供了一种如图2所示的存储系统。

可选地，本申请实施例还提供了一种存储系统，如图4所示，该存储系统包括如图2所示的安全设备300和移动存储设备100。也即，该移动存储设备100与该安全设备300配套形成一存储系统。

图5是本申请实施例的存储方法500的示意性流程图。该存储方法500用于包括移动存储设备、主机设备和安全设备的存储系统，该移动存储设备与该安全设备之间通过无线方式通信。

如图5所示，该方法500包括：

s510，该移动存储设备接收该安全设备发送的安全密钥，并存储该安全密钥，该安全密钥用于访问该移动存储设备中存储的数据；

s520，该移动存储设备向该主机设备发送第一指令，该第一指令用于指示该移动存储设备能够挂载到该主机设备的文件系统。

可选地，该方法500还包括：

该移动存储设备接收该安全设备发送的第一密钥；

该移动存储设备根据该安全密钥校验该第一密钥，以及根据校验结果确定是否向该主机设备发送该第一指令。

可选地，在该第一密钥校验成功的情况下，该方法500还包括：

该移动存储设备接收该安全设备发送的第二密钥；

该移动存储设备将该安全密钥更新为该第二密钥。

可选地，在该移动存储设备挂载到该主机设备的文件系统上之后，该方法500还包括：

该移动存储设备根据该安全密钥对该主机设备写入的数据进行加密，以及根据该安全密钥对该主机设备读出的数据进行解密。

可选地，该方法500还包括：

该移动存储设备根据会话密钥解密从该安全设备处接收的密钥。

可选地，该会话密钥为基于该移动存储设备与该安全设备之间的无线通信协议确定的。

可选地，该方法500还包括：

该移动存储设备在上电之后广播该移动存储设备的设备信息，以建立与该安全设备之间的无线通信连接。

可选地，该移动存储设备与该主机设备之间通过有线接口进行通信。

可选地，该安全密钥为生物特征。

可选地，该移动存储设备为u盘或者移动硬盘。

可选地，该安全设备包括以下中的至少一种：

可穿戴设备、移动终端设备。

在本申请实施例中，移动存储设备可以通过无线通信方式从安全设备处接收安全密钥，以基于安全密钥实现对移动存储设备中数据的加密与解密。通过将安全密钥输入接口设置在外置的安全设备上，避免了在主机设备上安装用于输入安全密钥的特定软件，也避免了在移动存储设备上集成安全密钥输入装置，从而提升了移动存储设备中安全功能的通用性并减小了移动存储设备的体积。

需要说明的是，在本申请实施例中，移动存储设备中的控制模块可以包含随机存取存储器(randomaccessmemory，ram)，该ram用于控制程序的运行，例如，在该ram控制程序运行时，该控制模块可以执行上述方法500中由移动存储设备执行的操作。

应理解，本申请实施例中的具体的例子只是为了帮助本领域技术人员更好地理解本申请实施例，而非限制本申请实施例的范围。

应理解，在本申请实施例中，“第一”和“第二”仅为了区分不同的对象，但并不对本申请实施例的范围构成限制。

应理解，在本申请实施例和所附权利要求书中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请实施例。例如，在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“上述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

应理解，本申请实施例的移动存储设备中的控制模块可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过控制模块中的硬件的集成逻辑电路或者软件形式的指令完成。上述的控制模块可以是通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于移动存储设备，控制模块读取存储介质中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例的移动存储设备可以是非易失性存储器，非易失性存储器可以是只读存储器(read-onlymemory，rom)、可编程只读存储器(programmablerom，prom)、可擦除可编程只读存储器(erasableprom，eprom)、电可擦除可编程只读存储器(electricallyeprom，eeprom)或闪存。应注意，本文描述的系统和方法的移动存储设备旨在包括但不限于这些和任意其它适合类型的存储器。

本申请实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行方法实施例的内容。

本申请实施例还提出了一种计算机程序，该计算机程序包括指令，当该计算机程序被计算机执行时，使得计算机可以执行方法实施例的内容。

本申请实施例还提供了一种芯片，该芯片包括输入输出接口、至少一个处理器、至少一个存储器和总线，该至少一个存储器用于存储指令，该至少一个处理器用于调用该至少一个存储器中的指令，以执行方法实施例的内容。

需要说明的是，在不冲突的前提下，本申请描述的各个实施例和/或各个实施例中的技术特征可以任意的相互组合，组合之后得到的技术方案也应落入本申请的保护范围。

应理解，本申请实施例中的具体的例子只是为了帮助本领域技术人员更好地理解本申请实施例，而非限制本申请实施例的范围，本领域技术人员可以在上述实施例的基础上进行各种改进和变形，而这些改进或者变形均落在本申请的保护范围内。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。