本公开涉及数据存储设备。数据端口通过数据信道在主机计算机系统和数据存储设备之间传输数据。设备通过不同于数据信道的无线通信信道重复地广播通告分组。每个通告分组包括随机值和基于随机值和身份密钥计算的消息认证码。身份密钥能够由待连接设备在数据信道和通信信道的带外靠近数据存储设备读取。身份密钥使得待连接设备能够基于随机值和身份密钥来验证消息认证码,从而认证数据存储设备。从而认证数据存储设备。从而认证数据存储设备。
【技术实现步骤摘要】
【国外来华专利技术】无线安全协议
[0001]本公开涉及一种无线安全协议。
技术介绍
[0002]蓝牙标准由于其易于将设备彼此配对而获得了广泛的普及。具体地,对于具有低安全性要求的应用,诸如将媒体播放器或电话连接到无线头戴式受话器,蓝牙是选择的解决方案。
[0003]然而,对具有高安全性要求的应用存在一些担忧。例如,在一些应用场景中,管理器设备将以无线方式连接到数据存储设备,诸如连接到可经由通用串行总线(USB)连接到主机计算机系统的外部硬盘驱动器(HDD)或固态驱动器(SSD)。如果管理器设备诸如移动电话将以无线方式连接到此类设备以执行管理员任务,则重要的是该连接是安全的,以防止存储在数据存储设备上的数据的未授权访问、损坏或丢失。当前的蓝牙标准令人担忧,尤其是与隐私相关。希望管理器设备不需要在未知数据存储设备被认证之前与该数据存储设备共享私有信息,诸如密钥、设备信息等。例如,如果恶意设备可集成模拟有效数据存储设备并与管理器设备成功配对以获得关于管理器设备的信息的近场通信(NFC)芯片,则将是不期望的。
技术实现思路
[0004]本公开涉及安全协议,该安全协议基于身份密钥从服务器到客户端的带外通信。身份密钥随后可用于保护通信信道,并且随后可由服务器使用链接到能够由客户端访问的根证书的证书来认证。因此,在认证服务器之前,客户端和服务器不需要共享任何私有信息。
[0005]更具体地,在建立连接之前,服务器使用身份密钥和随机值计算消息认证码(MAC)。随机值与MAC一起被发送到客户端。客户端可以基于随机值和在带外获得的身份密钥重新计算MAC。响应于确定所接收的MAC与重新计算的MAC匹配,客户端已经认证了服务器。需注意,在服务器或客户端不必提供任何私有信息的情况下,这种初始认证是可能的。由于MAC使用身份密钥来计算,因此只有附近的用户设备才能重新计算MAC。对于所有其他设备,通告分组看起来是随机的。在多个服务器发送通告分组并且多个身份密钥可用的情况下,客户端可以尝试每个身份密钥并尝试重新计算MAC。如果匹配,则客户端已确定匹配的身份密钥用于具有匹配MAC的设备。
[0006]本文公开了一种数据存储设备,该数据存储设备包括数据路径、数据存储库和访问控制器。数据路径包括:数据端口,该数据端口被配置为通过数据信道在主机计算机系统和数据存储设备之间传输数据,其中数据存储设备被配置为向主机计算机系统注册为块数据存储设备;非易失性存储介质,所述非易失性存储介质被配置为存储加密的用户内容数据;和加密引擎,该加密引擎连接在数据端口和存储介质之间,并且被配置为响应于来自主机计算机系统的请求而使用加密密钥对存储在存储介质上的加密的用户内容数据进行解
密。数据存储库被配置为存储身份密钥。访问控制器被配置为通过不同于数据信道的无线通信信道重复地广播通告分组,每个通告分组包括随机值和基于随机值和身份密钥计算的消息认证码。身份密钥能够由待连接设备在数据信道和通信信道的带外靠近数据存储设备读取。身份密钥被配置为使得待连接设备能够基于随机值和身份密钥来验证消息认证码,从而认证数据存储设备。
[0007]在一些实施方案中,数据存储库被进一步配置为存储数据存储设备证书,该数据存储设备证书被配置为加密地链接到能够由待连接设备访问的根证书;并且访问控制器被进一步配置为计算由数据存储设备证书验证的签名,以及将数据存储设备证书和签名发送到待连接设备,以使得待连接设备能够认证数据存储设备。
[0008]在一些实施方案中,证书包括身份密钥的散列值以将证书绑定到数据存储设备,身份密钥能够在带外从该数据存储设备读取。
[0009]在一些实施方案中,根证书能够由待连接设备通过安装在待连接设备上的应用程序访问,所述应用程序来自与根证书加密地相关联的已认证提供方。
[0010]在一些实施方案中,随机均匀地选择广播通告分组的通告地址。
[0011]在一些实施方案中,每个通告分组还包括数据存储设备的服务标识符,并且其中基于随机值、身份密钥和服务标识符来计算消息认证码。
[0012]在一些实施方案中,访问控制器被进一步配置为通过无线通信信道从待连接设备接收第一随机数值;生成第二随机数值并通过无线通信信道广播第二随机数值;使用密钥导出函数从身份密钥、第一随机数值和第二随机数值导出加密密钥;以及使用加密密钥保护与待连接设备的无线通信信道。
[0013]在一些实施方案中,通信信道是蓝牙低功耗。
[0014]在一些实施方案中,身份密钥能够由待连接设备通过附连到数据存储设备的快速响应(QR)码或通过集成在数据存储设备中的近场通信(NFC)标签读取。
[0015]本文公开了一种包括处理器和存储器的客户端设备,该存储器包括指令,该指令能够由处理器执行以执行以下操作:在无线通信信道的带外从服务器接收身份密钥;接收由所述服务器通过所述无线通信信道广播的通告分组,所述通告分组包括随机值和由所述服务器设备基于所述随机值和所述身份密钥计算的消息认证码;基于所述随机值和所述身份密钥来验证所述消息认证码,从而认证所述服务器;以及在认证服务器时,基于身份密钥生成加密密钥以保护与服务器设备的无线通信信道。
[0016]在一些实施方案中,存储器还包括能够由处理器执行以访问加密地链接到服务器的证书的根证书的指令。
[0017]本文公开了一种用于保护待连接客户端设备与服务器设备之间的无线通信信道的方法。该方法包括重复执行以下步骤:生成随机值;基于随机值和身份密钥来计算消息认证码,身份密钥能够由待连接客户端设备在无线通信信道的带外靠近服务器设备读取,身份密钥使得客户端设备能够基于随机值和身份密钥验证消息认证码,从而认证服务器设备;以及通过无线通信信道广播通告分组,该通告分组包括随机值和基于随机值和身份密钥计算的消息认证码。
[0018]在一些实施方案中,该方法还包括响应于从客户端设备接收到连接请求,将由服务器设备发出的服务器证书发送到客户端设备,该服务器证书包括身份密钥的散列值以将
证书绑定到服务器设备,身份密钥能够在带外从该服务器设备读取。
[0019]在一些实施方案中,服务器证书加密地链接到能够由客户端设备访问的根证书上。
[0020]在一些实施方案中,该方法还包括:计算签名;以及响应于从客户端设备接收到连接请求,将签名发送到客户端设备。
[0021]在一些实施方案中,通过使用私有密钥计算签名来由服务器证书验证签名,该私有密钥由服务器证书验证。
[0022]在一些实施方案中,服务器证书包括与私有密钥对应的公共密钥,以用于验证签名。
[0023]在一些实施方案中,该方法还包括计算身份密钥的散列、从客户端设备接收的随机数以及随机值;以及基于身份密钥计算散列的签名并由服务器证书验证。
[0024]在一些实施方案中,认证服务器设备包括从服务器设备接收由服务器设备发出的服务器证书和由服务器设备基于身份密钥计算并由服务器证书验证的签名;对照根证书验证所述服务器证书;对照所述服务器证书验证本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种数据存储设备,所述数据存储设备包括数据路径、数据存储库和访问控制器,其中:所述数据路径包括:数据端口,所述数据端口被配置为通过数据信道在主机计算机系统和所述数据存储设备之间传输数据,其中所述数据存储设备被配置为向所述主机计算机系统注册为块数据存储设备;非易失性存储介质,所述非易失性存储介质被配置为存储加密的用户内容数据;和加密引擎,所述加密引擎连接在所述数据端口和所述存储介质之间,并且被配置为响应于来自所述主机计算机系统的请求而使用加密密钥对存储在所述存储介质上的所述加密的用户内容数据进行解密;所述数据存储库被配置为存储身份密钥;所述访问控制器被配置为:通过不同于所述数据信道的无线通信信道重复地广播通告分组,每个通告分组包括随机值和基于所述随机值和所述身份密钥计算的消息认证码;并且所述身份密钥能够由待连接设备在所述数据信道和所述通信信道的带外靠近所述数据存储设备读取,所述身份密钥被配置为使得所述待连接设备能够基于所述随机值和所述身份密钥来验证所述消息认证码,从而验证所述数据存储设备。2.根据权利要求1所述的数据存储设备,其中:所述数据存储库被进一步配置为存储数据存储设备证书,所述数据存储设备证书被配置为加密地链接到能够由所述待连接设备访问的根证书;并且所述访问控制器被进一步配置为:计算由所述数据存储设备证书验证的签名;以及将所述数据存储设备证书和所述签名发送到所述待连接设备,以使得所述待连接设备能够认证所述数据存储设备。3.根据权利要求2所述的数据存储设备,其中所述证书包括所述身份密钥的散列值以将所述证书绑定到所述数据存储设备,所述身份密钥能够在带外从所述数据存储设备读取。4.根据权利要求2所述的数据存储设备,其中:所述根证书能够由所述待连接设备通过安装在所述待连接设备上的应用程序访问,所述应用程序来自与所述根证书加密地相关联的已认证提供方。5.根据权利要求1所述的数据存储设备,其中随机均匀地选择所述广播通告分组的所述通告地址。6.根据权利要求1所述的数据存储设备,其中:每个通告分组还包括所述数据存储设备的服务标识符;并且基于所述随机值、所述身份密钥和所述服务标识符来计算所述消息认证码。7.根据权利要求1所述的数据存储设备,其中所述访问控制器被进一步配置为:通过所述无线通信信道从所述待连接设备接收第一随机数值;生成第二随机数值;通过所述无线通信信道广播所述第二随机数值;使用密钥导出函数从所述身份密钥、所述第一随机数值和所述第二随机数值导出加密
密钥;以及使用所述加密密钥保护与所述待连接设备的所述无线通信信道。8.根据权利要求1所述的数据存储设备,其中所述通信信道为蓝牙低功耗。9.根据权利要求1所述的数据存储设备,其中所述身份密钥能够由所述待连接设备通过附连到所述数据存储设备的快速响应(QR)码或通过集成在所述数据存储设备中的近场通信(NFC)标签读取。10.一种包括处理器和存储器的客户端设备,所述存储器包括能够由所述处理器执行的指令,所述指令用于:在无线通信信道的带外从服务器接收身份密钥;接收由所述服务器通过所述无线通信信道...
【专利技术属性】
技术研发人员:B,
申请(专利权)人:西部数据技术公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。