[发明专利]无线安全协议

权利要求书

1.一种数据存储设备，所述数据存储设备包括数据路径、数据存储库和访问控制器，其中：

所述数据路径包括：

数据端口，所述数据端口被配置为通过数据信道在主机计算机系统和所述数据存储设备之间传输数据，其中所述数据存储设备被配置为向所述主机计算机系统注册为块数据存储设备；

非易失性存储介质，所述非易失性存储介质被配置为存储加密的用户内容数据；和

加密引擎，所述加密引擎连接在所述数据端口和所述存储介质之间，并且被配置为响应于来自所述主机计算机系统的请求而使用加密密钥对存储在所述存储介质上的所述加密的用户内容数据进行解密；所述数据存储库被配置为存储身份密钥；所述访问控制器被配置为：

通过不同于所述数据信道的无线通信信道重复地广播通告分组，每个通告分组包括随机值和基于所述随机值和所述身份密钥计算的消息认证码；并且

所述身份密钥能够由待连接设备在所述数据信道和所述通信信道的带外靠近所述数据存储设备读取，所述身份密钥被配置为使得所述待连接设备能够基于所述随机值和所述身份密钥来验证所述消息认证码，从而验证所述数据存储设备。

2.根据权利要求1所述的数据存储设备，其中：

所述数据存储库被进一步配置为存储数据存储设备证书，所述数据存储设备证书被配置为加密地链接到能够由所述待连接设备访问的根证书；并且

所述访问控制器被进一步配置为：

计算由所述数据存储设备证书验证的签名；以及

将所述数据存储设备证书和所述签名发送到所述待连接设备，以使得所述待连接设备能够认证所述数据存储设备。

3.根据权利要求2所述的数据存储设备，其中所述证书包括所述身份密钥的散列值以将所述证书绑定到所述数据存储设备，所述身份密钥能够在带外从所述数据存储设备读取。

4.根据权利要求2所述的数据存储设备，其中：

所述根证书能够由所述待连接设备通过安装在所述待连接设备上的应用程序访问，所述应用程序来自与所述根证书加密地相关联的已认证提供方。

5.根据权利要求1所述的数据存储设备，其中随机均匀地选择所述广播通告分组的所述通告地址。

6.根据权利要求1所述的数据存储设备，其中：

每个通告分组还包括所述数据存储设备的服务标识符；并且

基于所述随机值、所述身份密钥和所述服务标识符来计算所述消息认证码。

7.根据权利要求1所述的数据存储设备，其中所述访问控制器被进一步配置为：

通过所述无线通信信道从所述待连接设备接收第一随机数值；

生成第二随机数值；

通过所述无线通信信道广播所述第二随机数值；

使用密钥导出函数从所述身份密钥、所述第一随机数值和所述第二随机数值导出加密密钥；以及

使用所述加密密钥保护与所述待连接设备的所述无线通信信道。

8.根据权利要求1所述的数据存储设备，其中所述通信信道为蓝牙低功耗。

9.根据权利要求1所述的数据存储设备，其中所述身份密钥能够由所述待连接设备通过附连到所述数据存储设备的快速响应(QR)码或通过集成在所述数据存储设备中的近场通信(NFC)标签读取。

10.一种包括处理器和存储器的客户端设备，所述存储器包括能够由所述处理器执行的指令，所述指令用于：

在无线通信信道的带外从服务器接收身份密钥；

接收由所述服务器通过所述无线通信信道广播的通告分组，所述通告分组包括随机值和由所述服务器设备基于所述随机值和所述身份密钥计算的消息认证码；

基于所述随机值和所述身份密钥来验证所述消息认证码，从而认证所述服务器；以及

在认证所述服务器时，基于所述身份密钥生成加密密钥以保护与所述服务器设备的所述无线通信信道。