[发明专利]用于验证和数据加密的方法和设备

说明书

技术领域

本申请一般涉及设备验证；更具体涉及用于验证和数据加密的方法和设备。

背景技术

微软公司的IEEE 1667Password Silo验证协议要求希望访问存储在设备上的数据的主机和该设备都向彼此证明其知道正在被验证的密码。根据1667协议，这是通过使每一方为另一方提供随机询问，然后返回结合了密码的另一方的询问的散列。为了使得设备证实主机知道正确的密码，设备本身还必须知道和存储密码的拷贝。对大多数未加密产品来说这是合理的条件：由于用户的数据未加密，所以设备可以将密码的拷贝存储在非易失性存储器中，其中密码的拷贝只是比用户的数据更安全一点。

然而，至少数据加密产品的密码、数据加密密钥(DEK)和已加密数据本身必须是安全的。如果设计产品使得访问凭证仅仅与用户驻存在一起，那么设备本身必须不含有可用于访问用户的数据的任何密码或密钥。实际上，窃贼应该不能够分解和分析设备，并且不能发现能够使他或她解密存储的加密数据的必要信息。而且，在主机和设备之间监听的闯入者应该不能够捕获在主机和设备之间交换的任何信息，该消息使设备稍后验证他或她和允许其解密设备存储的加密数据。

发明内容

本发明解决了如何加密和解密设备验证信息的技术问题。

根据一个实施例，本发明提供一种配置为保护密码和验证主机设备的存储设备，所述存储设备包含：非易失性存储介质；耦接至至少一个主机设备的接口，和处理器，所述处理器工作用以：通过与所述至少一个主机设备的接口接收访问存储在所述非易失性存储介质中的数据所需的第一输入密码、生成第一数字、组合所述第一输入密码和所述第一数字、基于所述第一输入密码和所述第一数字的组合生成密钥、利用所述密钥加密接收的第一输入密码、将已加密的第一输入密码和第一数字存储在所述非易失性介质中，通过所述接口接收验证请求，响应于接收的验证请求，通过所述接口向所述至少一个主机设备提供包含所述第一数字的应答，所述密钥是利用所述第一数字生成的；通过所述接口接收所述至少一个主机设备计算的第二数字，所述第二数字是基于提供给所述至少一个主机设备的所述第一数字和第二输入密码的加密组合计算的；以及如果所述第二数字成功地解密所述已加密的第一输入密码，那么验证所述至少一个主机设备。

根据一个实施例，本发明提供一种配置为验证主机设备的存储设备，所述存储设备包含：非易失性存储介质；耦接至至少一个主机设备的接口，和处理器，所述处理器工作用于：通过与所述至少一个主机设备的接口接收验证请求；从所述非易失性存储介质读取第一数字；响应于接收的验证请求，通过所述接口向所述至少一个主机设备提供包含所述第一数字的应答，密钥是利用所述第一数字生成的；通过所述接口接收所述至少一个主机设备计算的第二数字，所述第二数字是基于提供给所述至少一个主机设备的所述第一数字和第二输入密码的加密组合计算的；从所述存储设备读取已经利用第一输入密码和所述第一数字的加密组合加密的第一已加密的第一输入密码；以及如果所述第二数字成功地解密第一已加密的第一输入密码就验证所述至少一个主机。

根据一个实施例，本发明提供一种用于存储设备保护密码和验证主机设备的方法，所述方法包含：通过与至少一个主机设备的接口接收访问存储在所述存储设备上的数据所需的第一输入密码；生成第一数字；组合所述第一输入密码和所述第一数字；基于所述第一输入密码和所述第一数字的组合确定密钥；利用所述密钥加密至少所述第一输入密码；以及将加密的第一输入密码和所述第一数字存储在所述存储设备中；通过所述接口接收验证请求；从所述存储设备读取第一数字；响应于接收的验证请求，通过所述接口向所述至少一个主机设备提供包含所述第一数字的应答，所述密钥是利用所述第一数字生成的；通过所述接口接收所述至少一个主机设备计算的第二数字，所述第二数字是基于提供给所述至少一个主机设备的所述第一数字和第二输入密码的加密组合计算的，从所述存储设备读取所述加密的第一输入密码；以及如果所述第二数字成功地解密所述加密的第一输入密码，那么验证所述至少一个主机设备。