Nas设备的授权方法、装置、nas设备和服务器的制造方法

Nas设备的授权方法、装置、nas设备和服务器的制造方法
【专利摘要】本发明公开了一种NAS设备的授权方法、装置、NAS设备和服务器。该方法包括：接收服务器发送的可度量日志；判断所述可度量日志是否可信；若判断出所述可度量日志可信时，生成授权成功信息；将所述授权成功信息发送给服务器。本发明中NAS设备通过判断可度量日志是否可信来判定服务器是否有权访问NAS设备，保证了在服务器被攻陷的情况下NAS设备中存储的重要数据依然受到保护，从而提高了NAS设备的安全性。
【专利说明】NAS设备的授权方法、装置、NAS设备和服务器

【技术领域】
[0001]本发明涉及信息安全【技术领域】，特别涉及一种NAS设备的授权方法、装置、NAS设备和服务器。

【背景技术】
[0002]网络接入服务器(Network Access Server，简称:NAS)设备是远程访问接入设备。NAS技术是一种采用直接与网络介质相连的特殊设备实现数据存储的机制。由于NAS设备都分配有IP地址，所以客户端通过充当数据网关的服务器可以对其进行存取访问，甚至在某些情况下无需任何中间介质客户端也可以直接访问NAS设备。NAS设备能够满足希望降低存储成本但又无法承受存储区域网络(Network Access Server，简称:SAN)昂贵价格的中小企业的需求，具有相当好的性能价格比。
[0003]现有技术中，客户端通常通过服务器访问NAS设备，在IP网络中当入侵者利用漏洞攻陷服务器后，NAS设备中存储的重要数据将完全暴露在入侵者面前，从而严重影响了NAS设备的安全性。


【发明内容】

[0004]本发明提供一种NAS设备的授权方法、装置、NAS设备和服务器，用于提高NAS设备的安全性。
[0005]为实现上述目的，本发明提供了一种NAS设备的授权方法，包括:
[0006]接收服务器发送的可度量日志；
[0007]判断所述可度量日志是否可信；
[0008]若判断出所述可度量日志可信时，生成授权成功信息；
[0009]将所述授权成功信息发送给服务器。
[0010]可选地，所述根据判断所述可度量日志是否可信包括:
[0011 ] 根据预先存储的可信安全规则判断可度量日志是否可信。
[0012]可选地，还包括:
[0013]接收所述服务器发送的散列信息；
[0014]对所述可度量日志进行哈希运算生成哈希值；
[0015]比较所述哈希值与所述散列信息是否一致；
[0016]若比较出所述哈希值与所述散列信息一致时执行所述判断所述可度量日志是否可信的步骤。
[0017]可选地，还包括:
[0018]接收所述服务器发送的会话授权随机数；
[0019]比较自身生成的会话授权随机数和所述服务器发送的会话授权随机数一致；
[0020]若比较出自身生成的会话授权随机数和所述服务器发送的会话授权随机数一致时，执行所述对所述可度量日志进行哈希运算生成哈希值的步骤。
[0021]为实现上述目的，本发明提供了一种NAS设备的授权装置，包括:
[0022]第一接收模块，用于接收服务器发送的可度量日志；
[0023]判断模块，用于判断所述可度量日志是否可信；
[0024]生成模块，用于若所述判断模块判断出所述可度量日志可信时，生成授权成功信息;
[0025]第一发送模块，用于将所述授权成功信息发送给服务器。
[0026]可选地，所述判断模块具体用于根据预先存储的可信安全规则判断可度量日志是否可信。
[0027]可选地，还包括:运算模块和第一比较模块；
[0028]所述第一接收模块还用于接收所述服务器发送的散列信息；
[0029]所述运算模块，用于对所述可度量日志进行哈希运算生成哈希值；
[0030]所述第一比较模块，用于比较所述哈希值与所述散列信息是否一致，若比较出所述哈希值与所述散列信息一致时触发所述判断模块。
[0031]可选地，还包括:第二比较模块；
[0032]所述第一接收模块还用于接收所述服务器发送的会话授权随机数；
[0033]所述第二比较模块，用于比较自身生成的会话授权随机数和所述服务器发送的会话授权随机数一致，若比较出自身生成的会话授权随机数和所述服务器发送的会话授权随机数一致时触发所述运算模块。
[0034]为实现上述目的，本发明提供了一种NAS设备的授权装置，包括:
[0035]第二发送模块，用于向NAS设备发送可度量日志，以供所述NAS设备判断所述可度量日志是否可信，若判断出所述可度量日志可信时生成授权成功信息；
[0036]第二接收模块，用于接收所述NAS设备发送的授权成功信息。
[0037]为实现上述目的，本发明提供了一种NAS设备，包括:上述NAS设备的授权装置。
[0038]为实现上述目的，本发明提供了一种服务器，包括:上述NAS设备的授权装置。
[0039]本发明具有以下有益效果:
[0040]本发明提供的NAS设备的授权方法、装置、NAS设备和服务器的技术方案中，接收服务器发送的可度量日志，若判断可度量日志可信时生成授权成功信息，本发明中NAS设备通过判断可度量日志是否可信来判定服务器是否有权访问NAS设备，保证了在服务器被攻陷的情况下NAS设备中存储的重要数据依然受到保护，从而提高了 NAS设备的安全性。

【专利附图】

【附图说明】
[0041]图1为本发明实施例一提供的一种NAS设备的授权方法的流程图；
[0042]图2为本发明实施例二提供的一种NAS设备的授权方法的流程图；
[0043]图3为本发明实施例三提供的一种NAS设备的授权装置的结构示意图；
[0044]图4为本发明实施例四提供的一种NAS设备的授权装置的结构示意图。

【具体实施方式】
[0045]为使本领域的技术人员更好地理解本发明的技术方案，下面结合附图对本发明提供的NAS设备的授权方法、装置、NAS设备和服务器进行详细描述。
[0046]图1为本发明实施例一提供的一种NAS设备的授权方法的流程图，如图1所示，该方法包括:
[0047]步骤101、接收服务器发送的可度量日志。
[0048]本实施例中的各步骤可以由NAS设备执行。
[0049]步骤102、判断可度量日志是否可信，若是则执行步骤103，若否则执行步骤105。
[0050]具体地，步骤102可包括:根据预先存储的可信安全规则判断可度量日志是否可信。
[0051]步骤103、生成授权成功信息。
[0052]步骤104、将授权成功信息发送给服务器，流程结束。
[0053]步骤105、生成授权失败信息，并将授权失败信息发送给服务器。
[0054]本实施例提供的NAS设备的授权方法的技术方案中，接收服务器发送的可度量日志，若判断可度量日志可信时生成授权成功信息，本实施例中NAS设备通过判断可度量日志是否可信来判定服务器是否有权访问NAS设备，保证了在服务器被攻陷的情况下NAS设备中存储的重要数据依然受到保护，从而提高了 NAS设备的安全性。
[0055]图2为本发明实施例二提供的一种NAS设备的授权方法的流程图，如图2所示，该方法包括:
[0056]步骤201、客户端通过用户私钥对用户名和会话标识进行加密处理，生成第一加密信息。
[0057]用户名可以为用户ID，第一加密信息可表示为“{User_ID| | SIDli^key—1”，其中，“USer_ID”为用户名，“SID”为会话标识，“lUcey—1”为用户私钥。
[0058]步骤202、客户端将第一加密信息发送给服务器。
[0059]步骤203、服务器通过用户公钥对第一加密信息进行解密处理得出用户名和会话标识，并根据用户名查询用户是否注册，若查询出用户已注册时生成第一会话密钥随机数，通过用户公钥对第一会话密钥随机数进行加密处理生成第一加密随机数，并通过服务器私钥对第一加密随机数和会话标识进行加密处理生成第二加密信息。
[0060]第二加密信息可以表不为“{nonce_SK| |u_key| | SID} s_key \ 其中，“nonce_SK”为第一会话密钥随机数，“u_key”为用户公钥。
[0061]步骤204、服务器将第二加密信息发送给客户端。
[0062]步骤205、客户端通过服务器公钥对第二加密信息进行解密处理得出第一加密随机数和会话标识，通过用户私钥对第一加密随机数进行解密处理得出第一会话密钥随机数，生成第二会话密钥随机数，根据第一会话密钥随机数、第二会话密钥随机数和会话标识生成会话密钥，对第一会话密钥随机数和会话标识进行哈希运算生成散列值，通过会话密钥对用户名和用户口令进行加密处理得出密文信息，通过服务器公钥对第二会话密钥随机数进行加密处理得出第二加密随机数，通过用户私钥对第二加密随机数、会话标识、散列值和密文信息进行加密处理生成第三加密信息。
[0063]具体地，客户端可通过伪随机数生成函数PRGF对第一会话密钥随机数、第二会话密钥随机数和会话标识进行计算处理，生成会话密钥。具体地可通过下述公式计算:SK =PRGF (nonce_SK, nonce_SK_U, SID)，其中，nonce_SK 为第一会话密钥随机数，nonce_SK_U 为第二会话密钥随机数，SID为会话标识，“SK”为会话密钥。
[0064]具体地，客户端可对第二会话密钥随机数和会话标识进行哈希运算生成散列值。具体可通过如下公式计算:Cme= HMAC_SHA1 SK(nonce_SK, SID)。其中，HMAC_SHA1SK为哈希函数，CM。为散列值。
[0065]第三加密信息可以表示为“ {{nonce_SK_U}s_key SID CMAC User_ID User_PWD} SK} u.key-1 ”，第二加密随机数可以表示为“ {nonCe_SK_U} s_key”，密文信息可以表示为 “ {User_ID | | User_PWD} SK”，其中，“User_PWD” 为用户口令。
[0066]步骤206、客户端将第三加密信息发送给服务器。
[0067]步骤207、服务器通过用户公钥对第三加密信息进行解密处理得出第二加密随机数、会话标识、散列值和密文信息，通过服务器私钥对第二加密随机数进行解密处理得出第二会话密钥随机数，对第二会话密钥随机数和会话标识进行哈希运算生成散列值，并将生成的散列值与客户端发送的散列值进行比较，若生成的散列值与客户端发送的散列值一致时根据第一会话密钥随机数、第二会话密钥随机数和会话标识生成会话密钥，根据生成的会话密钥对密文信息进行解密处理得出用户名和用户口令，通过用户名和用户口令对客户端进行身份验证，验证成功后执行步骤208。
[0068]步骤208、服务器通过服务器私钥对服务器平台标识和NAS设备公钥进行加密处理，生成第四加密信息。
[0069]第四加密信息可以表示为“ {Plat_ID NAS_key} s—key—1”，其中，“Plat_ID”为服务器平台标识，“NAS_key”为NAS设备公钥。
[0070]其中，服务器平台标识用于标识服务器，以使NAS设备获知是服务器平台标识的服务器发送的第四加密信息。该服务器平台标识作为可选项，在实际应用中也可以不采用。
[0071]步骤209、服务器将第四加密信息发送给NAS设备。
[0072]本步骤中，服务器向NAS设备发送第四加密信息，以便于向NAS设备申请授权。
[0073]步骤210、NAS设备生成会话授权随机数，并通过NAS设备私钥对会话授权随机数和服务器公钥进行加密处理生成第五加密信息。
[0074]第五加密信息可以表不为“{nonce_NAS | s_key} Nas_key u’，其中，“nonce_NAS”为会话授权随机数，Natkey—1为NAS设备私钥。
[0075]本实施例中，在生成第五加密信息的过程中采用服务器公钥的目的是为了增加密码计算因子，从而增加第五加密信息的复杂度。服务器公钥作为可选项，在实际应用中也可以不米用。
[0076]本步骤中，NAS设备在接收到步骤209发送的第四加密信息后，可通过服务器公钥对第四加密信息进行解密处理得出服务器平台标识和NAS设备公钥，从而获知服务器申请授权。
[0077]步骤211、NAS设备将第五加密信息发送给服务器。
[0078]NAS设备向服务器发送第五加密信息，以实现对服务器进行回复。
[0079]步骤212、服务器通过NAS设备公钥对第五加密信息进行解密得出会话授权随机数和服务器公钥，通过服务器私钥对会话授权随机数和散列信息进行加密处理，通过NAS设备公钥对服务器平台标识加密处理后的会话授权随机数和散列信息和预先存储的可度量日志进行加密处理得出加密数据，通过服务器私钥对加密数据进行加密处理生成第六加密信息。
[0080]第六加密信息可以表示为“{{{PCR | | nonce_NAS} s_key_11 | SML | | Plat_ID} Nas_key} s—key—1”，其中，“PCR”为散列信息，“SML”为可度量日志。
[0081]步骤213、服务器将第六加密信息发送给NAS设备。
[0082]步骤214、NAS设备通过服务器公钥对第六加密信息进行解密处理得出加密数据，通过NAS设备私钥对加密数据进行解密得出可度量日志和加密处理后的会话授权随机数和散列信息，通过服务器公钥对加密处理后的会话授权随机数和散列信息进行解密处理得出会话授权随机数和散列信息，比较自身生成的会话授权随机数和服务器发送的会话授权随机数，若比较出自身生成的会话授权随机数和服务器发送的会话授权随机数一致则对可度量日志进行哈希运算生成哈希值，比较哈希值与散列信息是否一致，若比较出哈希值与散列信息一致则根据预先存储的安全规则判断可度量日志是否可信，若判断出可度量日志可信时生成授权成功信息，通过服务器公钥对授权成功信息进行加密处理，并通过NAS设备私钥对加密处理后的授权成功信息进行加密处理生成第七加密信息。
[0083]第七加密信息可以表示为“ {{succ} s_key} Nas.key^1 ”，其中，“ succ ”为授权成功信息。
[0084]若自身生成的会话授权随机数和服务器发送的会话授权随机数一致时，表明发送信息的服务器是合法的，从而有效防止了信息重放攻击。
[0085]安全规则可存储于预先设置的安全规则库中，当NAS设备需要根据安全规则判断可度量日志是否可信时，可调用安全规则库中相应的安全规则。根据预先存储的安全规则判断可度量日志是否可信具体可以为:比较可度量日志与安全规则是否一致，其中，比较可度量日志与安全规则是否一致即为根据安全规则对判断可度量日志进行安全评估。若比较出可度量日志与安全规则一致则表明可度量日志可信。若可度量日志可信则表明允许服务器访问NAS设备。
[0086]本步骤中，若哈希值与散列信息一致，则表明可度量日志未被篡改，进而可执行后续的根据预先存储的安全规则判断可度量日志是否可信的步骤。
[0087]步骤215、NAS设备将第七加密信息发送给服务器。
[0088]步骤216、服务器通过NAS设备公钥对第七加密信息进行解密处理得出通过服务器公钥加密处理后的授权成功信息，通过服务器私钥对通过服务器公钥加密处理后的授权成功信息进行解密处理得出授权成功信息，通过用户公钥对授权成功信息进行加密处理，并通过服务器私钥对加密处理后的授权成功信息进行加密处理生成第八加密信息。
[0089]本步骤中，服务器接收到授权成功信息后可以访问NAS设备。
[0090]步骤217、服务器将第八加密信息发送给客户端。
[0091]步骤218、客户端通过服务器公钥对第八加密信息进行解密处理得出通过用户公钥加密处理后的授权成功信息，通过用户私钥对通过用户公钥加密处理后的授权成功信息进行解密处理得出授权成功信息。
[0092]本步骤中，客户端获得授权成功信息后，可以通过服务器访问NAS设备。
[0093]本实施例提供的NAS设备的授权方法的技术方案中，接收服务器发送的可度量日志，若判断可度量日志可信时生成授权成功信息，本实施例中NAS设备通过判断可度量日志是否可信来判定服务器是否有权访问NAS设备，保证了在服务器被攻陷的情况下NAS设备中存储的重要数据依然受到保护，从而提高了 NAS设备的安全性。本实施例提供的技术方案可有效确保接入NAS设备的服务器从启动到运行过程均是安全可信的。客户端、服务器和NAS设备之间发送的信息均是加密信息，因此无论是授权过程还是数据信息传输过程均是加密的，中间人不可见，从而进一步确保了 NAS设备的安全性。
[0094]图3为本发明实施例三提供的一种NAS设备的授权装置的结构示意图，如图3所示，该装置包括:第一接收模块11、判断模块12、生成模块13和第一发送模块14。
[0095]第一接收模块11用于接收服务器发送的可度量日志；判断模块12用于判断所述可度量日志是否可信；生成模块13用于若判断模块12判断出所述可度量日志可信时，生成授权成功信息；第一发送模块14用于将所述授权成功信息发送给服务器。
[0096]本实施例中，判断模块12具体用于根据预先存储的可信安全规则判断可度量日志是否可信。
[0097]进一步地，该装置还可以包括:运算模块15和第一比较模块16。
[0098]第一接收模块11还用于接收所述服务器发送的散列信息。运算模块15用于对所述可度量日志进行哈希运算生成哈希值；第一比较模块16用于比较所述哈希值与所述散列信息是否一致，若比较出所述哈希值与所述散列信息一致时触发所述判断模块12，由判断模块12继续执行判断所述可度量日志是否可信的步骤。
[0099]进一步地，该装置还可以包括:第二比较模块17。第一接收模块11还用于接收所述服务器发送的会话授权随机数；第二比较模块17用于比较自身生成的会话授权随机数和所述服务器发送的会话授权随机数一致，若比较出自身生成的会话授权随机数和所述服务器发送的会话授权随机数一致时触发所述运算模块15，由运算模块15继续执行对所述可度量日志进行哈希运算生成哈希值的步骤。
[0100]本实施例提供的NAS设备的授权装置可用于实现上述实施例一或者实施例二提供的NAS设备的授权方法。
[0101]本实施例提供的NAS设备的授权装置的技术方案中，接收服务器发送的可度量日志，若判断可度量日志可信时生成授权成功信息，本实施例中NAS设备通过判断可度量日志是否可信来判定服务器是否有权访问NAS设备，保证了在服务器被攻陷的情况下NAS设备中存储的重要数据依然受到保护，从而提高了 NAS设备的安全性。
[0102]图4为本发明实施例四提供的一种NAS设备的授权装置的结构示意图，如图4所示，该装置包括:第二发送模块21和第二接收模块22。
[0103]第二发送模块21用于向NAS设备发送可度量日志，以供所述NAS设备判断所述可度量日志是否可信，若判断出所述可度量日志可信时生成授权成功信息；第二接收模块22用于接收所述NAS设备发送的授权成功信息。
[0104]本实施例提供的NAS设备的授权装置可用于实现上述实施例一或者实施例二提供的NAS设备的授权方法。
[0105]本发明实施例五提供了一种NAS设备，该NAS设备包括:NAS设备的授权装置。其中，NAS设备的授权装置可采用上述实施例三提供的NAS设备的授权装置，此处不再赘述。
[0106]本实施例提供的NAS设备可用于实现上述实施例一或者实施例二提供的NAS设备的授权方法。
[0107]本实施例提供的NAS设备的授权装置的技术方案中，接收服务器发送的可度量日志，若判断可度量日志可信时生成授权成功信息，本实施例中NAS设备通过判断可度量日志是否可信来判定服务器是否有权访问NAS设备，保证了在服务器被攻陷的情况下NAS设备中存储的重要数据依然受到保护，从而提高了 NAS设备的安全性。
[0108]本发明实施例六提供了一种服务器，该服务器包括:NAS设备的授权装置。其中，NAS设备的授权装置可采用上述实施例四提供的NAS设备的授权装置，此处不再赘述。
[0109]本实施例提供的服务器可用于实现上述实施例一或者实施例二提供的NAS设备的授权方法。
[0110]本实施例提供的NAS设备的授权装置的技术方案中，向NAS设备发送可度量日志，以供所述NAS设备判断所述可度量日志是否可信，若判断出所述可度量日志可信时生成授权成功信息，本实施例中NAS设备通过判断可度量日志是否可信来判定服务器是否有权访问NAS设备，保证了在服务器被攻陷的情况下NAS设备中存储的重要数据依然受到保护，从而提尚了 NAS设备的安全性。
[0111]可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。
【权利要求】
1.一种NAS设备的授权方法，其特征在于，包括: 接收服务器发送的可度量日志； 判断所述可度量日志是否可信； 若判断出所述可度量日志可信时，生成授权成功信息； 将所述授权成功信息发送给服务器。
2.根据权利要求1所述的NAS设备的授权方法，其特征在于，所述根据判断所述可度量日志是否可信包括: 根据预先存储的可信安全规则判断可度量日志是否可信。
3.根据权利要求1所述的NAS设备的授权方法，其特征在于，还包括: 接收所述服务器发送的散列信息； 对所述可度量日志进行哈希运算生成哈希值； 比较所述哈希值与所述散列信息是否一致； 若比较出所述哈希值与所述散列信息一致时执行所述判断所述可度量日志是否可信的步骤。
4.根据权利要求2所述的NAS设备的授权方法，其特征在于，还包括: 接收所述服务器发送的会话授权随机数； 比较自身生成的会话授权随机数和所述服务器发送的会话授权随机数一致； 若比较出自身生成的会话授权随机数和所述服务器发送的会话授权随机数一致时，执行所述对所述可度量日志进行哈希运算生成哈希值的步骤。
5.—种NAS设备的授权装置，其特征在于，包括: 第一接收模块，用于接收服务器发送的可度量日志； 判断模块，用于判断所述可度量日志是否可信； 生成模块，用于若所述判断模块判断出所述可度量日志可信时，生成授权成功信息； 第一发送模块，用于将所述授权成功信息发送给服务器。
6.根据权利要求5所述的NAS设备的授权装置，其特征在于，所述判断模块具体用于根据预先存储的可信安全规则判断可度量日志是否可信。
7.根据权利要求5所述的NAS设备的授权装置，其特征在于，还包括:运算模块和第一比较模块； 所述第一接收模块还用于接收所述服务器发送的散列信息； 所述运算模块，用于对所述可度量日志进行哈希运算生成哈希值； 所述第一比较模块，用于比较所述哈希值与所述散列信息是否一致，若比较出所述哈希值与所述散列信息一致时触发所述判断模块。
8.根据权利要求6所述的NAS设备的授权装置，其特征在于，还包括:第二比较模块； 所述第一接收模块还用于接收所述服务器发送的会话授权随机数； 所述第二比较模块，用于比较自身生成的会话授权随机数和所述服务器发送的会话授权随机数一致，若比较出自身生成的会话授权随机数和所述服务器发送的会话授权随机数一致时触发所述运算模块。
9.一种NAS设备的授权装置，其特征在于，包括: 第二发送模块，用于向NAS设备发送可度量日志，以供所述NAS设备判断所述可度量日志是否可信，若判断出所述可度量日志可信时生成授权成功信息； 第二接收模块，用于接收所述NAS设备发送的授权成功信息。
10.一种NAS设备，其特征在于，包括:权利要求1至8任一所述的NAS设备的授权装置。
11.一种服务器，其特征在于，包括:权利要求9所述的NAS设备的授权装置。
【文档编号】H04L29/08GK104468595SQ201410779311
【公开日】2015年3月25日 申请日期:2014年12月15日 优先权日:2014年12月15日
【发明者】江海昇, 邹起辰, 宋劲松 申请人:中电长城网际系统应用有限公司