一种存储设备的安全认证方法、装置、设备及介质与流程

1.本发明涉及安全认证领域，特别涉及一种存储设备的安全认证方法、装置、设备及介质。


背景技术：

2.对于绝大部分移动存储设备，通常只支持全盘的权限控制，要么全盘锁定，要么全盘解锁。并且，在实际的用户场景使用中，主机可能处于不同的环境中(比如公司的安全内网区域、公共外网区域)，安全内网区域往往安全级别更高，某些特殊的敏感文件只能在安全内网中流转，不允许在外网中获取到。但当前的大多数移动存储设备，只要用户知道了解锁口令，移动存储设备并不能主动区分所处区域，导致任何环境中都能读取到移动存储设备内存储的文件，只能通过额外的操作(比如由特殊软件对内网文件进行加密)来确保文件的安全性。另外，当前移动存储设备一般只支持用户输入口令的方式来对其进行解锁，在用户常用的安全设备上，每次插入都需要再执行一次口令解锁操作，虽然确保了数据的安全，但易用性来说就会大打折扣。


技术实现要素：

3.有鉴于此，本发明的目的在于提供一种存储设备的安全认证方法、装置、设备及介质，能够通过对存储设备进行分区，实现分区级别的权限控制；通过主机的环境信息实现对不同分区的解锁，保证数据安全性；通过设置白名单可以实现对分区的自动解锁，提高存储设备的易用性。其具体方案如下：
4.第一方面，本技术提供了一种存储设备的安全认证方法，应用于与存储设备配套的解锁工具，包括：
5.获取主机的环境信息，并采集主机信息；
6.基于所述环境信息从所述存储设备的所有分区中确定出对应的允许解锁分区，并从所述存储设备的参数区读取与所述允许解锁分区对应的分区白名单，以及判断所述主机信息是否存在于所述分区白名单；
7.若存在，则对所述允许解锁分区进行自动解锁，若不存在，则对所述允许解锁分区进行口令解锁。
8.可选的，所述基于所述环境信息从所述存储设备的所有分区中确定出对应的允许解锁分区，并从所述存储设备的参数区读取与所述允许解锁分区对应的分区白名单，以及判断所述主机信息是否存在于所述分区白名单，包括：
9.若所述环境信息为内网环境信息，则基于所述内网环境信息从所述存储设备的所有分区中确定出对应的交换区和保密区，并从所述存储设备的参数区读取与所述交换区对应的交换区白名单和与所述保密区对应的保密区白名单，以及分别判断所述主机信息是否存在于所述交换区白名单和所述保密区白名单中。
10.可选的，所述基于所述环境信息从所述存储设备的所有分区中确定出对应的允许
解锁分区，并从所述存储设备的参数区读取与所述允许解锁分区对应的分区白名单，以及判断所述主机信息是否存在于所述分区白名单，包括：
11.若所述环境信息为外网环境信息，则基于所述外网环境信息从所述存储设备的所有分区中确定出对应的交换区，并从所述存储设备的参数区读取与所述交换区对应的交换区白名单，以及判断所述主机信息是否存在于所述交换区白名单中。
12.可选的，所述对所述允许解锁分区进行口令解锁之后，还包括：
13.从所述存储设备获取与所述允许解锁分区对应的当前标识位图，并基于所述当前标识位图选取目标未使用标识，以及基于所述主机信息计算对应的特征信息；
14.利用所述特征信息和所述目标未使用标识对所述当前标识位图进行更新，得到新的当前标识位图；
15.利用所述主机信息和所述新的当前标识位图对所述分区白名单进行更新，以得到新的分区白名单。
16.可选的，对所述允许解锁分区进行口令解锁或自动解锁之后，还包括：
17.从所述分区白名单中选择待删除主机信息和对应的待删除标识，以得到待删除标识位图；
18.基于所述待删除标识位图从与所述允许解锁分区对应的当前标识位图中删除对应的标识，得到新的当前标识位图；
19.利用所述新的当前标识位图从所述分区白名单中删除对应的目标删除主机信息，以得到新的分区白名单。
20.可选的，所述对所述允许解锁分区进行自动解锁，包括：
21.获取当前日期，并基于所述当前日期判断所述分区白名单中的与所述主机信息对应的失效日期是否已超期；
22.若已超期，则对所述允许解锁分区进行口令解锁；
23.若未超期，则基于所述主机信息计算特征信息，并利用所述特征信息以及所述分区白名单中的与所述主机信息对应的解锁标识对所述允许解锁分区进行自动解锁。
24.可选的，所述对所述允许解锁分区进行口令解锁，包括：
25.利用与所述允许解锁分区对应的默认口令解锁标识以及与所述默认口令解锁标识对应的默认解锁口令对所述允许解锁分区进行口令解锁。
26.第二方面，本技术提供了一种存储设备的安全认证装置，应用于与存储设备配套的解锁工具，包括：
27.信息获取模块，用于获取主机的环境信息，并采集主机信息；
28.白名单读取模块，用于基于所述环境信息从所述存储设备的所有分区中确定出对应的允许解锁分区，并从所述存储设备的参数区读取与所述允许解锁分区对应的分区白名单，以及判断所述主机信息是否存在于所述分区白名单；
29.解锁模块，用于若所述主机信息存在于所述分区白名单，则对所述允许解锁分区进行自动解锁，若所述主机信息不存在于所述分区白名单，则对所述允许解锁分区进行口令解锁。
30.第三方面，本技术提供了一种电子设备，包括：
31.存储器，用于保存计算机程序；
32.处理器，用于执行所述计算机程序以实现前述的存储设备的安全认证方法。
33.第四方面，本技术提供了一种计算机可读存储介质，用于保存计算机程序，所述计算机程序被处理器执行时实现前述的存储设备的安全认证方法。
34.本技术中，获取主机的环境信息，并采集主机信息；基于所述环境信息从所述存储设备的所有分区中确定出对应的允许解锁分区，并从所述存储设备的参数区读取与所述允许解锁分区对应的分区白名单，以及判断所述主机信息是否存在于所述分区白名单；若存在，则对所述允许解锁分区进行自动解锁，若不存在，则对所述允许解锁分区进行口令解锁。由此可见，本技术通过对存储设备进行分区，可以实现分区级别的权限控制，并通过根据主机的环境信息确定对应的允许解锁分区，实现在不同主机环境下对不同分区的解锁操作，保证数据的安全性，以及满足多场景需求；另外，本技术通过设置分区白名单，对存在于分区白名单中的主机信息，可以实现对相应分区的自动解锁，无需每次都手动输入口令进行解锁，提高存储设备的易用性，以及提高用户的使用感。
附图说明
35.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
36.图1为本技术公开的一种存储设备的安全认证方法流程图；
37.图2为本技术公开的一种存储设备的分区示意图；
38.图3为本技术公开的一种具体的存储设备的安全认证方法流程图；
39.图4为本技术公开的另一种具体的存储设备的安全认证方法流程图；
40.图5为本技术公开的一种存储设备的安全认证装置结构示意图；
41.图6为本技术公开的一种电子设备结构图。
具体实施方式
42.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
43.目前市场上的移动存储设备通常只支持全盘的身份控制，并且不能主动区分主机所处环境，导致任何环境中都能读取到移动存储设备内存储的文件，同时通常只支持口令解锁的方式对移动存储设备进行解锁。为此，本技术提供了一种存储设备的安全认证方法，通过对存储设备进行分区，实现分区级别的权限控制；通过主机的环境信息实现对不同分区的解锁，保证数据安全性；通过设置白名单可以实现对分区的自动解锁，提高存储设备的易用性。
44.参见图1所示，本发明实施例公开了一种存储设备的安全认证方法，应用于与存储设备配套的解锁工具，包括：
45.步骤s11、获取主机的环境信息，并采集主机信息。
46.本实施例中，存储设备可以为移动ssd(solid state disk，固态硬盘)存储设备，并且每个存储设备会配套一个解锁工具，该解锁工具位于主机中，通过对存储设备固件进行修改，可以对存储设备进行分区。如图2所示，移动存储设备包括公共区、交换区、保密区和参数区，其中，公共区、交换区和保密区为用户可使用区域，公共区用于存放公共的只读文件，默认为只读；交换区默认为锁定状态，在内网环境或者外网环境下都能解锁；保密区也默认为锁定状态，只有在内网环境下才能解锁；参数区为移动存储设备的内部存储区域，外部并不可见，用于存放配置信息。需要说明的是，公共区无需解锁即可读取内部存放的数据，当交换区和保密区均未解锁时，处于未分配、不可读写状态，也即交换区和保密区均处于锁定态；当只对交换区解锁后，保密区依然处于未分配、不可读写状态，交换区处于解锁态；当只对保密区解锁后，交换区依然处于未分配、不可读写状态，保密区处于解锁态；当对交换区和保密区均进行解锁后，交换区和保密区均处于解锁态。
47.本实施例中，当解锁工具检测到存储设备插入时，由于对存储设备中的不同分区解锁时对应的环境信息不一样，因此需要先检查当前主机所处的环境信息。主机环境分为内网环境和外网环境，并且内网环境和外网环境的区分有多种方式，如采用网络局域网的区分、特定软件查询等，对于区分方式在此不作限定，只需根据自身现有的内网和外网的区分方式并将其转换成sdk(software development kit，软件开发工具包)，以供解锁工具调用即可。具体的，解锁工具通过调用软件开发工具包对当前主机所处环境进行查询，以得到对应的环境信息，并采集主机信息。
48.步骤s12、基于所述环境信息从所述存储设备的所有分区中确定出对应的允许解锁分区，并从所述存储设备的参数区读取与所述允许解锁分区对应的分区白名单，以及判断所述主机信息是否存在于所述分区白名单。
49.本实施例中，当软件开发工具包返回的环境信息为内网环境时，交换区和保密区都可以解锁；当软件开发工具包返回的环境信息为外网环境时，只能对交换区进行解锁。并且，在基于环境信息确定出对应的允许解锁分区之后，通过存储设备中设置的特殊接口可以从本地的参数区中读取与允许解锁分区对应的分区白名单，该分区白名单中包括主机信息、对应的解锁标识id、以及失效日期等。通过判断主机信息是否存在于分区白名单，可以确定对允许解锁分区的解锁方式。
50.步骤s13、若存在，则对所述允许解锁分区进行自动解锁，若不存在，则对所述允许解锁分区进行口令解锁。
51.本实施例中，存储设备中的交换区和保密区均支持多个解锁口令进行解锁，每个解锁口令有自己的解锁标识id，分区支持“解锁标识id+解锁口令”的方式对分区进行解锁。例如，交换区支持11个解锁口令进行解锁，将与默认口令解锁标识id＝0对应的默认解锁口令作为默认的需要以输入方式进行解锁的口令，将解锁标识id＝1～10用于交换区白名单使用，此时的解锁口令即为基于主机信息计算的特征信息。在主机信息不存在于交换区白名单时，用户只能通过解锁工具以输入口令的方式对交换区进行解锁，即使用“默认口令解锁标识id＝0+默认解锁口令”的方式解锁。需要说明的是，交换区和保密区有各自独立的分区白名单。
52.本实施例中，若主机信息存在于与允许解锁分区对应的分区白名单，则对该允许解锁分区进行自动解锁，具体步骤包括获取当前日期，并基于所述当前日期判断所述分区
白名单中的与所述主机信息对应的失效日期是否已超期；若已超期，则对所述允许解锁分区进行口令解锁；若未超期，则基于所述主机信息计算特征信息，并利用所述特征信息以及所述分区白名单中的与所述主机信息对应的解锁标识对所述允许解锁分区进行自动解锁。可以理解的是，在获取到与允许解锁分区对应的分区白名单之后，从分区白名单中确定出与主机信息对应的失效日期，比较当前日期和失效日期，确定是否已经超期，如果已经超期，则对允许解锁分区进行口令解锁。如果未超期，则对允许解锁分区进行自动解锁，具体的，需要从分区白名单中获取与主机信息对应的解锁标识id，利用哈希算法并基于主机信息计算对应的特征信息，该特征信息即为与解锁标识id对应的解锁口令，最后利用解锁标识id和解锁口令即可完成对允许解锁分区的自动解锁。
53.本实施例中，若主机信息不存在于与允许解锁分区对应的分区白名单，则对该允许解锁分区进行口令解锁，具体步骤包括利用与所述允许解锁分区对应的默认口令解锁标识以及与所述默认口令解锁标识对应的默认解锁口令对所述允许解锁分区进行口令解锁。可以理解的是，通过解锁工具使用输入默认口令解锁标识和默认解锁口令的方式对允许解锁分区进行口令解锁。
54.本实施例中，根据环境信息确定对应的允许解锁分区，以及根据与允许解锁分区对应的分区白名单确定对应的解锁方式具体有两种实施方式。在第一种具体实施方式中，若所述环境信息为内网环境信息，则基于所述内网环境信息从所述存储设备的所有分区中确定出对应的交换区和保密区，并从所述存储设备的参数区读取与所述交换区对应的交换区白名单和与所述保密区对应的保密区白名单，以及分别判断所述主机信息是否存在于所述交换区白名单和所述保密区白名单中。可以理解的是，解锁工具unlock-tool调用软件开发工具包host-sdk对主机环境进行查询，并获取软件开发工具包host-sdk返回的环境信息，以及采集主机信息。若环境信息为内网环境信息，则确定对应的允许解锁分区为保密区和交换区，并从移动ssd存储设备的参数区中读取与保密区对应的保密区白名单以及与交换区对应的交换区白名单trust_host_set，判断主机信息是否存在于保密区白名单以及判断主机信息是否存在于交换区白名单。若主机信息不存在于保密区白名单和/或交换区白名单，则利用与保密区对应的默认口令解锁标识+默认解锁口令对保密区进行口令解锁，和/或利用与交换区对应的默认口令解锁标识+默认解锁口令对交换区进行口令解锁。若主机信息存在于保密区白名单，则获取保密区白名单中与主机信息对应的保密区的解锁标识id和失效日期，并基于当前日期判断失效日期是否已经超期，若已超期，则对保密区进行口令解锁；若未超期，则根据主机信息计算特征信息hash_local，并将特征信息hash_local作为与保密区的解锁标识id对应的解锁口令，利用保密区的解锁标识id+解锁口令hash_local对保密区进行自动解锁。若主机信息存在于交换区白名单，则对交换区进行自动解锁的步骤与对保密区进行自动解锁的步骤类似。
55.在第二种具体实施方式中，若所述环境信息为外网环境信息，则基于所述外网环境信息从所述存储设备的所有分区中确定出对应的交换区，并从所述存储设备的参数区读取与所述交换区对应的交换区白名单，以及判断所述主机信息是否存在于所述交换区白名单中。可以理解的是，解锁工具unlock-tool调用软件开发工具包host-sdk对主机环境进行查询，并获取软件开发工具包host-sdk返回的环境信息，以及采集主机信息。若环境信息为外网环境信息，则确定对应的允许解锁分区仅为交换区，并从移动ssd存储设备的参数区中
读取与交换区对应的交换区白名单trust_host_set，判断主机信息是否存在于交换区白名单。若主机信息不存在于交换区白名单，则利用与交换区对应的默认口令解锁标识+默认解锁口令对交换区进行口令解锁。若主机信息存在于交换区白名单，则获取交换区白名单中与主机信息对应的交换区的解锁标识id和失效日期，并基于当前日期判断失效日期是否已经超期，若已超期，则对交换区进行口令解锁；若未超期，则根据主机信息计算特征信息hash_local，并将特征信息hash_local作为与交换区的解锁标识id对应的解锁口令，利用交换区的解锁标识id+解锁口令hash_local对交换区进行自动解锁。
56.由此可见，本技术通过对存储设备进行分区，可以实现分区级别的权限控制，并通过根据主机的环境信息确定对应的允许解锁分区，实现在不同主机环境下对不同分区的解锁操作，保证数据的安全性，以及满足多场景需求；另外，本技术通过设置分区白名单，对存在于分区白名单中的主机信息，可以实现对相应分区的自动解锁，无需每次都手动输入口令进行解锁，提高存储设备的易用性，以及提高用户的使用感。
57.基于前一实施例可知，本技术描述了存储设备的内外网解锁的整体过程，接下来，本技术将对如何新增分区白名单进行详细阐述。参见图3所示，本发明实施例公开了一种分区白名单的新增过程，应用于与存储设备配套的解锁工具，包括：
58.步骤s21、从所述存储设备获取与允许解锁分区对应的当前标识位图，并基于所述当前标识位图选取目标未使用标识，以及基于主机信息计算对应的特征信息。
59.本实施例中，解锁工具unlock-tool在调用软件开发工具包获取主机所处的环境信息之后，获取主机信息，并根据环境信息确定出移动ssd存储设备对应的允许解锁分区，然后从移动ssd存储设备的参数区中读取与允许解锁分区对应的分区白名单trust_host_set，其中，分区白名单中记录了已添加的主机信息、解锁标识id和失效日期等。判断主机信息是否存在于分区白名单，若主机信息不存在于分区白名单，则利用“默认口令解锁标识id＝0+默认解锁口令”对允许解锁分区(交换区或保密区)进行口令解锁。并在解锁成功后，触发新增分区白名单操作，先向移动ssd存储设备发送针对当前标识位图id bitmap的查询请求，以获取移动ssd存储设备返回的当前标识位图id bitmap。根据当前标识位图id bitmap选取未分配id，也即目标未使用标识id，以及利用哈希算法对主机信息进行计算，以得到特征信息hash_local，其中，主机信息包括主机的硬件信息和软件信息。需要说明的是，本实施例将标识位图id bitmap的大小设置为4字节，若指定解锁标识id＝0为默认口令解锁标识，解锁标识id＝1～10为自动解锁标识，并且除了默认口令解锁标识id＝0之外，该允许解锁分区对应的分区白名单中已经添加了2个白名单设备，对应的自动解锁标识为id＝1和id＝2，则此时该允许解锁分区可支持3个解锁标识id进行解锁，即id＝0，1，2，并且，由于标识位图id bitmap中的一个bit表示一个解锁标识id，则需要将标识位图中的bit0、bit1、bit2均置为1，其余bit均置为0，也即已使用标识的bit为1，未使用标识的bit为0，此时标识位图id bitmap等于7。
60.步骤s22、利用所述特征信息和所述目标未使用标识对所述当前标识位图进行更新，得到新的当前标识位图。
61.本实施例中，将特征信息hash_local和目标未使用标识id发送至移动ssd存储设备，移动ssd存储设备将特征信息作为与该目标未使用标识id对应的解锁口令，并将目标未使用标识标记为目标已使用标识，同时利用目标已使用标识对当前标识位图id bitmap进
行更新，得到新的当前标识位图。例如，目标已使用标识id＝3，当前标识位图为7，也即当前标识位图中的bit0、bit1、bit2均为1，其余bit均为0，利用目标已使用标识id＝3对当前标识位图进行更新之后，新的当前标识位图中的bit0、bit1、bit2、bit3均为1，其余bit均为0，此时新的当前标识位图等于15。
62.步骤s23、利用所述主机信息和所述新的当前标识位图对分区白名单进行更新，以得到新的分区白名单。
63.本实施例中，解锁工具利用本机的主机信息、新的当前标识位图中的目标已使用标识id、以及对应的失效日期对与允许解锁分区对应的分区白名单进行更新，也即将本机加入分区白名单中，从而得到新的分区白名单trust_host_set。
64.本实施例中，通过特殊接口将新的分区白名单发送至移动ssd存储设备，以便移动ssd存储设备将新的分区白名单写入参数区中，实现对参数区中原本存储的分区白名单的更新操作，并将分区白名单更新成功的信息返回至解锁工具，然后通过解锁工具刷新移动存储设备的分区信息。
65.由此可见，本技术通过设置分区白名单，并实现对分区白名单的新增操作，可以对存在于分区白名单中的主机信息，利用解锁工具实现对相应分区的自动解锁，从而无需用户每次都手动输入口令进行解锁，提高了存储设备的易用性，以及提高了用户的使用感。
66.基于前一实施例可知，本技术描述了分区白名单的新增过程，接下来，本技术将对如何删除分区白名单进行详细阐述。参见图4所示，本发明实施例公开了一种分区白名单的删除过程，应用于与存储设备配套的解锁工具，包括：
67.步骤s31、从分区白名单中选择待删除主机信息和对应的待删除标识，以得到待删除标识位图。
68.本实施例中，解锁工具在对允许解锁分区进行自动解锁或者口令解锁之后，根据从移动ssd存储设备的参数区读取的与允许解锁分区对应的分区白名单trust_host_set，生成主机列表信息，并从主机列表信息中选择想要删除的主机信息以及对应的待删除标识id，生成待删除标识位图，其中，用户可以根据自身需求选择想要删除的主机信息，或者是某些主机信息已经不可信需要进行删除。
69.步骤s32、基于所述待删除标识位图从与允许解锁分区对应的当前标识位图中删除对应的标识，得到新的当前标识位图。
70.本实施例中，将待删除标识位图发送至移动ssd存储设备，以便移动ssd存储设备根据待删除标识位图从与允许解锁分区对应的当前标识位图中删除对应的标识id，以得到新的当前标识位图。例如，若该允许解锁分区支持4个解锁标识id＝0、1、2、3进行解锁，则当前标识位图中的bit0、bit1、bit2、bit3均为1，其余bit均为0，也即当前标识位图等于15；若选择的待删除标识为id＝2、3，则待删除标识位图中的bit2、bit3均为1，其余bit均为0，也即待删除标识位图等于12，从当前标识位图中删除待删除标识位图中的标识之后，得到的新的当前标识位图中的bit0、bit1均为1，其余bit均为0，也即新的当前标识位图等于3。
71.步骤s33、利用所述新的当前标识位图从所述分区白名单中删除对应的目标删除主机信息，以得到新的分区白名单。
72.本实施例中，在得到新的当前标识位图之后，解锁工具会发送针对新的当前标识位图id bitmap的查询请求至移动ssd存储设备，以便从移动ssd存储设备中读取新的当前
标识位图id bitmap，并根据新的当前标识位图id bitmap从分区白名单trust_host_set中删除对应的主机信息、标识id以及失效日期，从而得到新的分区白名单trust_host_set。另外，除了上述方式之外，还可以直接通过待删除标识位图从分区白名单中删除对应的主机信息、标识id以及失效日期，得到新的分区白名单。
73.本实施例中，通过特殊接口将新的分区白名单trust_host_set发送至移动ssd存储设备，以便移动ssd存储设备将新的分区白名单写入参数区，以对参数区中原本存储的分区白名单进行更新，并将分区白名单更新成功的信息返回至解锁工具，然后通过解锁工具进行刷新，获取移动ssd存储设备的当前分区状态信息。
74.由此可见，本技术通过设置分区白名单，并实现对分区白名单的删除操作，以对不可信的主机信息进行删除，可以保证存储设备中数据的安全性，并对存在于分区白名单中的主机信息，利用解锁工具实现对相应分区的自动解锁，从而无需用户每次都手动输入口令进行解锁，提高了存储设备的易用性，以及提高了用户的使用感。
75.参见图5所示，本发明实施例公开了一种存储设备的安全认证装置，应用于与存储设备配套的解锁工具，包括：
76.信息获取模块11，用于获取主机的环境信息，并采集主机信息；
77.白名单读取模块12，用于基于所述环境信息从所述存储设备的所有分区中确定出对应的允许解锁分区，并从所述存储设备的参数区读取与所述允许解锁分区对应的分区白名单，以及判断所述主机信息是否存在于所述分区白名单；
78.解锁模块13，用于若所述主机信息存在于所述分区白名单，则对所述允许解锁分区进行自动解锁，若所述主机信息不存在于所述分区白名单，则对所述允许解锁分区进行口令解锁。
79.由此可见，本技术通过对存储设备进行分区，可以实现分区级别的权限控制，并通过根据主机的环境信息确定对应的允许解锁分区，实现在不同主机环境下对不同分区的解锁操作，保证数据的安全性，以及满足多场景需求；另外，本技术通过设置分区白名单，对存在于分区白名单中的主机信息，可以实现对相应分区的自动解锁，无需每次都手动输入口令进行解锁，提高存储设备的易用性，以及提高用户的使用感。
80.在一些具体实施例中，所述白名单读取模块12，具体可以包括：
81.内网白名单读取单元，用于若所述环境信息为内网环境信息，则基于所述内网环境信息从所述存储设备的所有分区中确定出对应的交换区和保密区，并从所述存储设备的参数区读取与所述交换区对应的交换区白名单和与所述保密区对应的保密区白名单，以及分别判断所述主机信息是否存在于所述交换区白名单和所述保密区白名单中。
82.在一些具体实施例中，所述白名单读取模块12，具体可以包括：
83.外网白名单读取单元，用于若所述环境信息为外网环境信息，则基于所述外网环境信息从所述存储设备的所有分区中确定出对应的交换区，并从所述存储设备的参数区读取与所述交换区对应的交换区白名单，以及判断所述主机信息是否存在于所述交换区白名单中。
84.在一些具体实施例中，所述存储设备的安全认证装置，还可以包括：
85.标识位图获取单元，用于从所述存储设备获取与所述允许解锁分区对应的当前标识位图，并基于所述当前标识位图选取目标未使用标识，以及基于所述主机信息计算对应
的特征信息；
86.标识位图更新单元，用于利用所述特征信息和所述目标未使用标识对所述当前标识位图进行更新，得到新的当前标识位图；
87.白名单更新单元，用于利用所述主机信息和所述新的当前标识位图对所述分区白名单进行更新，以得到新的分区白名单。
88.在一些具体实施例中，所述存储设备的安全认证装置，还可以包括：
89.待删除标识位图获取单元，用于从所述分区白名单中选择待删除主机信息和对应的待删除标识，以得到待删除标识位图；
90.标识删除单元，用于基于所述待删除标识位图从与所述允许解锁分区对应的当前标识位图中删除对应的标识，得到新的当前标识位图；
91.白名单删除单元，用于利用所述新的当前标识位图从所述分区白名单中删除对应的目标删除主机信息，以得到新的分区白名单。
92.在一些具体实施例中，所述解锁模块13，具体可以包括：
93.日期判断单元，用于获取当前日期，并基于所述当前日期判断所述分区白名单中的与所述主机信息对应的失效日期是否已超期；
94.第一口令解锁单元，用于若已超期，则对所述允许解锁分区进行口令解锁；
95.自动解锁单元，用于若未超期，则基于所述主机信息计算特征信息，并利用所述特征信息以及所述分区白名单中的与所述主机信息对应的解锁标识对所述允许解锁分区进行自动解锁。
96.在一些具体实施例中，所述解锁模块13，具体可以包括：
97.第二口令解锁单元，用于利用与所述允许解锁分区对应的默认口令解锁标识以及与所述默认口令解锁标识对应的默认解锁口令对所述允许解锁分区进行口令解锁。
98.进一步的，本技术实施例还公开了一种电子设备，图6是根据一示例性实施例示出的电子设备20结构图，图中的内容不能认为是对本技术的使用范围的任何限制。
99.图6为本技术实施例提供的一种电子设备20的结构示意图。该电子设备20，具体可以包括：至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的存储设备的安全认证方法中的相关步骤。另外，本实施例中的电子设备20具体可以为电子计算机。
100.本实施例中，电源23用于为电子设备20上的各硬件设备提供工作电压；通信接口24能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。
101.另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源可以包括操作系统221、计算机程序222等，存储方式可以是短暂存储或者永久存储。
102.其中，操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222，其可以是windows server、netware、unix、linux等。计算机程序222除了包括能够用于
完成前述任一实施例公开的由电子设备20执行的存储设备的安全认证方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。
103.进一步的，本技术还公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的存储设备的安全认证方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容，在此不再进行赘述。
104.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
105.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
106.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
107.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
108.以上对本技术所提供的技术方案进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。

技术特征：
1.一种存储设备的安全认证方法，其特征在于，应用于与存储设备配套的解锁工具，包括：获取主机的环境信息，并采集主机信息；基于所述环境信息从所述存储设备的所有分区中确定出对应的允许解锁分区，并从所述存储设备的参数区读取与所述允许解锁分区对应的分区白名单，以及判断所述主机信息是否存在于所述分区白名单；若存在，则对所述允许解锁分区进行自动解锁，若不存在，则对所述允许解锁分区进行口令解锁。2.根据权利要求1所述的存储设备的安全认证方法，其特征在于，所述基于所述环境信息从所述存储设备的所有分区中确定出对应的允许解锁分区，并从所述存储设备的参数区读取与所述允许解锁分区对应的分区白名单，以及判断所述主机信息是否存在于所述分区白名单，包括：若所述环境信息为内网环境信息，则基于所述内网环境信息从所述存储设备的所有分区中确定出对应的交换区和保密区，并从所述存储设备的参数区读取与所述交换区对应的交换区白名单和与所述保密区对应的保密区白名单，以及分别判断所述主机信息是否存在于所述交换区白名单和所述保密区白名单中。3.根据权利要求1所述的存储设备的安全认证方法，其特征在于，所述基于所述环境信息从所述存储设备的所有分区中确定出对应的允许解锁分区，并从所述存储设备的参数区读取与所述允许解锁分区对应的分区白名单，以及判断所述主机信息是否存在于所述分区白名单，包括：若所述环境信息为外网环境信息，则基于所述外网环境信息从所述存储设备的所有分区中确定出对应的交换区，并从所述存储设备的参数区读取与所述交换区对应的交换区白名单，以及判断所述主机信息是否存在于所述交换区白名单中。4.根据权利要求1所述的存储设备的安全认证方法，其特征在于，所述对所述允许解锁分区进行口令解锁之后，还包括：从所述存储设备获取与所述允许解锁分区对应的当前标识位图，并基于所述当前标识位图选取目标未使用标识，以及基于所述主机信息计算对应的特征信息；利用所述特征信息和所述目标未使用标识对所述当前标识位图进行更新，得到新的当前标识位图；利用所述主机信息和所述新的当前标识位图对所述分区白名单进行更新，以得到新的分区白名单。5.根据权利要求1所述的存储设备的安全认证方法，其特征在于，对所述允许解锁分区进行口令解锁或自动解锁之后，还包括：从所述分区白名单中选择待删除主机信息和对应的待删除标识，以得到待删除标识位图；基于所述待删除标识位图从与所述允许解锁分区对应的当前标识位图中删除对应的标识，得到新的当前标识位图；利用所述新的当前标识位图从所述分区白名单中删除对应的目标删除主机信息，以得到新的分区白名单。
6.根据权利要求1所述的存储设备的安全认证方法，其特征在于，所述对所述允许解锁分区进行自动解锁，包括：获取当前日期，并基于所述当前日期判断所述分区白名单中的与所述主机信息对应的失效日期是否已超期；若已超期，则对所述允许解锁分区进行口令解锁；若未超期，则基于所述主机信息计算特征信息，并利用所述特征信息以及所述分区白名单中的与所述主机信息对应的解锁标识对所述允许解锁分区进行自动解锁。7.根据权利要求1至6任一项所述的存储设备的安全认证方法，其特征在于，所述对所述允许解锁分区进行口令解锁，包括：利用与所述允许解锁分区对应的默认口令解锁标识以及与所述默认口令解锁标识对应的默认解锁口令对所述允许解锁分区进行口令解锁。8.一种存储设备的安全认证装置，其特征在于，应用于与存储设备配套的解锁工具，包括：信息获取模块，用于获取主机的环境信息，并采集主机信息；白名单读取模块，用于基于所述环境信息从所述存储设备的所有分区中确定出对应的允许解锁分区，并从所述存储设备的参数区读取与所述允许解锁分区对应的分区白名单，以及判断所述主机信息是否存在于所述分区白名单；解锁模块，用于若所述主机信息存在于所述分区白名单，则对所述允许解锁分区进行自动解锁，若所述主机信息不存在于所述分区白名单，则对所述允许解锁分区进行口令解锁。9.一种电子设备，其特征在于，包括：存储器，用于保存计算机程序；处理器，用于执行所述计算机程序以实现如权利要求1至7任一项所述的存储设备的安全认证方法。10.一种计算机可读存储介质，其特征在于，用于保存计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的存储设备的安全认证方法。

技术总结
本申请公开了一种存储设备的安全认证方法、装置、设备及介质，涉及安全认证领域，包括：通过与存储设备配套的解锁工具获取主机的环境信息，并采集主机信息；基于环境信息从存储设备的所有分区中确定对应的允许解锁分区，并从存储设备的参数区读取与允许解锁分区对应的分区白名单，判断主机信息是否存在于分区白名单；若存在则对允许解锁分区进行自动解锁，若不存在则对允许解锁分区进行口令解锁。本申请通过对存储设备进行分区，实现分区级别的权限控制；通过主机的环境信息实现对不同分区的解锁，保证数据安全性；通过设置白名单可以实现对分区的自动解锁，提高存储设备的易用性。提高存储设备的易用性。提高存储设备的易用性。


技术研发人员：曾伟
受保护的技术使用者：成都芯盛集成电路有限公司
技术研发日：2023.06.25
技术公布日：2023/9/22