[发明专利]基于通信网络的存储系统访问授权方法

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种授权方法，具体地说是一种基于通信网络的存储系统访问授权方法。

背景技术

现代企业的信息系统除了需要利用防火墙和防病毒产品抵御外部威胁外，数据加密也已经成为保护企业信息资产的主要工具。利用数据加密解决方案可保护笔记本电脑、工作站和服务器等设备的存储系统数据的安全。在没有经过授权的情况下，存储系统会处于加密保护状态，即使将其连接至网络或其它设备也无法存取该存储系统数据。采用存储系统数据加密技术的计算机设备，其存储系统上的所有数据将被保护起来，机密数据泄露的风险大大降低。

每个存储系统加密产品都需要一个密钥来加密存储系统中的数据，常见的存储系统数据加密技术采用的访问授权方法通常有两种：基于文件的授权方法和基于密码的授权方法。

基于文件的授权方法在对存储系统进行加密时，将某个文件作为加密存储系统的密钥文件的种子，若没有此文件或存储有此文件的媒介（如USB存储设备或智能卡），将无法解除文件系统加密；基于密码的授权方法，在输入正确的授权密码后，可以解除文件系统的加密。在现有的两种授权方法中，独立于授权终端系统的授权设备（如存储有密钥文件的智能卡或USB存储设备），在授权设备丢失损坏或者没有随身携带的情况下，将导致授权失败，可能影响正常企业业务的进行或外出办公人员远程办公；采用密码的授权方法，虽然在使用过程中不会受到解密授权设备的限制，但密码需要定期更换和规范管理，亦可能因密码泄露造成企业信息资产安全受到威胁。

由此可知，现有授权方法对文件密钥/密码的管理和使用一直是信息安全保护方法中的薄弱环节。因此，数据加密技术在保护企业信息资产的同时，还需要为使用者提供安全且方便的授权方式，以此来降低因为用户网上冲浪、社会交际导致的密码泄露所带来的风险。

发明内容

针对上述问题，申请人进行了改进研究，提供一种基于通信网络的存储系统访问授权方法，利用通信设备、被授权计算机、授权服务器作为替代密码、授权设备或作为现有授权设备的补充，在确保授权机制安全性的同时将使用的便利性最大化。

本发明的技术方案如下：按照权利要求修改

一种基于通信网络的存储系统访问授权方法，将被授权计算机与授权服务器之间的互联网络隔离，并在两者之间设置第三方设备，所述第三方设备作为发送授权请求码和接收授权码的中间设备，其通过独立于互联网络的通信网络与被授权计算机及授权服务器进行授权过程以及接收授权过程的信息交互。 

其进一步的技术方案为：包括请求授权过程以及接收授权过程，具体步骤如下：

请求授权过程依次执行以下步骤：

1）在被授权用户端设备上运行授权请求码生成程序； 

2）授权请求码生成程序根据用户输入的身份识别密码验证用户身份的合法性；若身份识别密码验证结果表明该用户不符合请求授权的用户身份，则授权过程终止；

3）授权请求码生成程序生成授权请求码；

4）授权请求码通过近距离传输技术或用户输入至通信设备；

5）被授权用户端通信设备将授权请求码通过通信网络发送至授权服务器；

6）授权服务器端设备接收到通信设备发送的授权请求码；

7）授权服务器端设备验证发送授权请求码的通信设备的合法性；若验证检测结果表明该通信设备不合法，则授权过程终止；

8）授权服务器验证授权请求码的合法性；若验证检测结果表明该授权请求码不合法，则授权过程终止；

9）授权请求码通过验证后，授权服务器根据授权请求码生成授权码；

10）授权服务器端设备将授权码发送至发送相应请求的被授权用户端通信设备；

接收授权过程依次执行以下步骤：

11）被授权用户端通信设备接收到授权服务器发送的授权码；

12）授权码通过近距离传输技术或者用户输入至被授权用户端；

13）被授权用户端验证授权码的合法性；

14）若授权码验证成功，用户获得与被授权用户端设备连接的存储系统的访问许可；

15）若验证检测结果表明该授权码不合法，则授权失败。

其进一步的技术方案为：所述步骤10之后还包括如下步骤：10’）授权服务器记录此次访问请求。

其进一步的技术方案为：所述步骤3和步骤9生成授权请求码和授权码的过程中，被授权终端的硬件设备特征、用户身份信息以及当前时间都将作为生成算法的输入变量。