访问数据存储设备的制作方法

专利名称：访问数据存储设备的制作方法
技术领域：
本申请涉及计算机存储设备领域，尤其涉及有选择地访问计算机 存储设备的领域。
2.
背景技术：
主处理机系统可使用存储设备保存和检索数据，存储设备包含多 个主机接口装置(主机适配器)、磁盘驱动器、及磁盘接口装置(磁
盘适配器)。例如，这样的存储设备可由马萨诸塞州Hopkinton的伊 姆西公司提供，且其在授权给Yanai等的美国专利5， 206， 939、授权 给Galtzur等的美国专利5， 778， 394、授权给Vishlitzky等的美国 专利5， 845， 147、及授权给0fek等的美国专利5， 857， 208中公开。 主机系统通过多个随其提供的通道访问存储设备。主机系统通过存储 设备通道提供数据和访问控制信息，存储设备也通过通道提供数据给 主机系统。主机系统不直接寻址存储设备的磁盘驱动器，而是访问对 主机系统表现为多个逻辑巻的装置。逻辑巻可以也可不对应于实际的 磁盘驱动器。
在一些情形下，必须访问计算机存储设备以对计算机存储设备进 行维护和/或重配置。然而，由于能够执行维护和/或重配置所需要的 访问类型与使恶意用户能损害计算机存储设备和/或删除或破坏其上 保存的数据的访问类型一样，能够限制具有执行计算机存储设备维护 和/或重配置所需要的访问类型的特定用户是有用的。实现此的一种 方式是通过密码保护计算机存储设备并仅向被允许对计算机存储设 备进行维护和/或重配置的那些用户提供密码。然而，在某些时候， 可能需要取消先前有权访问的部分用户的访问权。例如，为维护存储 设备的公司工作的用户可能离开该公司。此外，授权用户可能不注意地(或其它方式)将密码泄漏给恶意用户，该恶意用户继而使用所述 密码访问存储设备并损害所述存储设备和/或摧毁或破坏数据。
解决该困难的一种方式是将每一存储设备(例如经通信线缆、因 特网等)连接到中央安全设备，该中央安全设备管理所有存储设备的 安全/访问并重配置和取消使能访问存储设备的用户密码。在需要取 消用户访问权的情形下或在授权用户已泄漏密码的情形下，连接到存 储设备的中央安全设备可改变/取消生效密码然后将变化通知给授权 用户。然而，这样的中央安全设备由于一些原因不实用，其中之一是 由于很难将所有存储设备连接到中央安全设备。
希望解决在用于访问安全设备的密码需要被改变/取消时出现的 安全问题，而不必提供到存储设备的远程连接。

发明内容
根据本发明，限制对设备的访问包括获取用户的密码短语，获取 所述用户的访问凭证，获取所述用户的PIN值，使用随所述设备提供 的秘密密钥至少单向加密所述访问凭证和所述PIN，如果单向加密的 结果等于所述密码短语则允许访问所述设备，及如果单向加密的结果 不等于所述密码短语则拒绝对所述设备的访问。所述设备可以是存储 设备。所述访问凭证可包括识别用户及该用户的角色的用户名。所述 访问凭证可包括允许访问的时间段。限制对设备的访问还可包括，在 允许访问之后，随后响应于当前日期和时间大于允许访问的时间段而 取消访问。限制对设备的访问还可包括获取当前日期和时间的时间/ 日期数据指示并使用所述秘密密钥单向加密所述时间/日期数据及所
述访问凭证和所述PIN。限制对设备的访问还可包括，在允许访问之
后，随后响应于当前日期和时间大于允许访问的时间段而取消访问。
获取密码短语可包括用户呈现至少下述之一智能卡、记忆棒、软盘
和CD,或可包括用户键入所述密码短语。限制对设备的访问还可包 括获取所要访问的设备的设备ID指示并使用所述秘密密钥单向加密所述设备ID及所述访问凭证和所述PIN。所述秘密密钥可提供在防 篡改硬件中的器件处。
进一步根据本发明，对用户构造有权访问设备的密码短语包括获
取识别用户的用户名，获取所述用户的PIN，获取对所述设备的预期
访问时间，获取识别所述设备的标识符，及使用秘密密钥单向加密所
述用户名、PIN、预期访问时间和标识符以提供所述密码短语。所述
设备可以是存储设备。对用户构造有权访问设备的密码短语可包括将 所述密码短语保存在计算机可读介质中。计算机可读介质可以是下述
之一智能卡、记忆棒、软盘和CD。具有计算机可执行指令的计算
机可读介质可用于执行在此所述的步骤。
进一步根据本发明，计算机存储设备包括多个磁盘驱动器、连接 到所述磁盘驱动器的多个磁盘适配器、连接到所述多个磁盘适配器的 存储器、连接到所述磁盘适配器和所述存储器的多个主机适配器，所 述主机适配器与主计算机通信以在磁盘驱动器和连接到存储器的服 务处理机导控器之间发送和接收数据及通过下述行为限制对存储设
备的访问获取用户的密码短语，获取所述用户的访问凭证，获取所 述用户的PIN值，使用随所述存储设备提供的秘密密钥至少单向加密
所述访问凭证和所述PIN，如果单向加密的结果等于所述密码短语则
允许访问所述设备，及如果单向加密的结果不等于所述密码短语则拒 绝对所述设备的访问。所述访问凭证可包括识别用户及该用户的角色 的用户名和/或可包括允许访问的时间段。
进一步根据本发明，计算机可读介质具有执行在此所述的任何步 骤的计算机可执行指令。
进一步根据本发明，系统具有执行在此所述的任何步骤的至少一 处理器。


图1为连同在此描述的系统一起使用的、连接到具有服务处理机 的数据存储设备的多个主机的示意图。图2为根据在此描述的系统的存储设备、内存、多个导控器及通 信模块的示意图。
图3为根据在此描述的系统的提供为服务处理机导控器的一部 分的安全模块的图示。
图4为根据在此描述的系统，在确定是否准许用户访问存储设备
时由安全模块执行的处理的流程图。
图5为根据在此描述的系统的安全模块的组件的图示。
图6为根据在此描述的系统，在确定用户是否已提供适当的有权
访问存储设备的密码短语时执行的步骤的流程图。
图7为根据在此描述的系统，对用户产生有权访问存储设备的密
码短语所执行的步骤的流程图。
具体实施例方式
参考图1，示图20示出了连接到数据存储设备24的多个主机 22a-22c。数据存储设备24包括内部内存26，如本文别处所述，其 有助于存储设备24的运行。数据存储设备还包括多个主机适配器 (HA) 28a-28c，其处理主机22a_22c和存储设备24之间的读和写数 据。尽管示图20示出主机22a-22c中的每一个分别连接到HA 28a-28c 之一，本领域技术人员应当意识到，HA 28a-28c中的一个或多个可 连接到其它主机。
存储设备24可包括一个或多个RDF适配器单元(RA) 32a-32c。 RA 32a-32c连接到RDF链路34并与HA 28a-28c类似，但用于在存 储设备24及同样连接到RDF链路34的其它存储设备(未示出)之间 传送数据。除RDF链路34之外，存储设备24还可连接到另外的RDF 链路(未示出)。
存储设备24还可包括一个或多个磁盘36a-36c，每一磁盘包含 保存在存储设备24上的不同数据部分。磁盘36a-36c中的每一个可 连接到多个磁盘适配器单元(DA) 38a-38c中的相应磁盘适配器单元， 其向相应磁盘36a-36c提供数据并从相应磁盘36a-36c接收数据。应注意，在一些实施例中， 一个以上磁盘将由一个DA服务是可能的，
及一个以上DA服务一个磁盘也是可能的。
存储设备24中对应于磁盘36a-36c的逻辑存储空间可被细分为 多个巻或逻辑设备。逻辑设备可以也可不对应于磁盘36a-36c的物理 存储空间。因而，例如，磁盘36a可包含多个逻辑设备，或者，单一 逻辑设备可跨两个磁盘36a、 36b。主机22a-22c可被配置成独立于 磁盘36a-36c上的逻辑设备位置访问逻辑设备的任何组合。
一个或多个内部逻辑数据通路存在于DA 38a-38c、 HA 28a-28c、 RA 32a-32c和内存26之间。在一些实施例中，可使用一个或多个内 部总线和/或通信模块。在一些实施例中，内存26可用于帮助数据在 DA 38a-38c、 HA 28a-28c和RA 32a-32c之间传送。内存26可包含 将由DA 38a-38c、 HA 28a-28c和RA 32a-32c中的一个或多个执行的 任务，及包含用于从磁盘36a-36c中的一个或多个取回的数据的高速 缓存。内存26的使用将在下文中详细描述。
存储设备24还可包括与存储设备24的组件通信并控制这些组件 以修改其配置的服务处理机导控器42。例如，所述服务处理机导控 器42可用于配置本地及远程数据镜像，可访问不同系统功能如磁盘 擦除，及通常可相当彻底和完全地访问存储设备24及其组件以有助 于维护、配置等。
服务处理机导控器42可连同调制解调器连接提供，这使能通过 服务处理机导控器42远程访问存储设备24。使用所述调制解调器连 接，使远处的技术人员可对存储设备24进行维护、重配置等工作。 在这里所示的实施例中，将调制解调器连接加人服务处理机42限于 存储设备24的制造。当然，其它访问规则也是可能的，例如使可能 通过所述调制解调器连接访问多个可信用户。
服务处理机导控器42可连接到服务处理机44，所述服务处理机 44与服务处理机导控器42连接以进行访问从而使能维护、重配置存 储设备24。在这里所示的实施例中，服务处理机44可使用运行 Window^操作系统的传统膝上型计算机实施。服务处理机44可以任何适当的方式连接到服务处理机导控器42，如通过传统的数据通信 手段。在一些实施例中，安全的、防篡改的连接可使用在服务处理机
44和服务处理机导控器42之间。服务处理机44可内建在存储设备 24中，从而对服务处理机44的访问需要访问存储设备24 (例如，经 加锁柜)。在一些实施例中，所述调制解调器连接可通过服务处理机 44提供，而不是通过服务处理机导控器42提供。
如图1中所示，存储设备24可提供为连接到主机22a-22c的独 立设备，或者，存储设备24可以是包括多个其它存储设备及路由器、 网络连接等的存储区网络(SAN)的一部分。所述存储设备可连接到 SAN结构和/或可以是SAN结构的一部分。在此描述的系统可使用软 件、硬件、和/或软件和硬件的结合实施，其中软件可保存在适当的 存储介质中并由 一个或多个处理器执行。
参考图2，存储设备24被示为具有连接到内存26的多个导控器 52a-52c。每一导控器52a-52c表示HA 28a-28c、 RA 32a-32c、 DA 38a-38c或服务处理机导控器42之一。在这里公开的实施例中，可 以有高达64个导控器连接到内存26。当然，对于其它实施例，可使 用更高或更低最大数量的导控器。
存储设备24包括可选通信模块(CM) 54，其在导控器52a-52c 之间提供备选通信路径。每一导控器52a-52c可连接到CM54，使得 导控器52a-52c中的任一导控器可向导控器52a-52c中的任何其它导 控器发送消息和/或数据，而不需要经过内存26。 CM54可使用传统 MUX/路由器技术实施，其中导控器52a-52c中的发送导控器提供适当 的地址以使消息和/或数据将由导控器52a-52c中的预定接收导控器 接收。CM54的部分或全部功能可使用一个或多个导控器52a-52c实 施，例如，使得导控器52a-52c可与每一导控器52a-52c上提供的互 连功能直接互连。此外，导控器52a-52c中的发送导控器能够同时向 所有其它导控器52a-52c传播消息。
参考图3,服务处理机导控器42更详细地示为包括安全模块62。 当然，除安全模块62之外，服务处理机导控器42还可包含提供不同于安全的功能的其它组件。然而，在此讨论的焦点在于安全模块62，
因而服务处理机导控器42的其它组件未被示出。安全模块62限制从 调制解调器连接和/或服务处理机44的连接传出的连接对存储设备 24的访问。因此，或通过调制解调器连接或通过到服务处理机导控 器42的服务处理机连接进行的所有维护、重配置等命令及系统査询 均通过安全模块62及由安全模块审査。
在这里的实施例中，安全模块62可使用处理器及适当的软件实 施。然而，本领域的一般技术人员应意识到，在本文别处描述的安全 模块62功能可使用计算机软件和/或硬件的任何适当组合进行实施。 还应注意，安全模块62不必须实施在服务处理机导控器42内，而是 可实施在存储设备24的任何适当的接入点处，如服务处理机44。当 然，如果安全模块62实施在不是调制解调器连接的接入点的用户接 入点处，则需要对调制解调器连接提供单独的安全性设备，或者，调 制解调器连接被使得通过服务处理机44。还应注意，安全模块62可
使用操作系统安全系统如111^0^ 操作系统的内置安全特征或结合
其实施。在一些实施例中，被编码在密码短语(本文别处所述)中的 用户名与用户用以登录计算机操作系统的用户名相同。
应注意，用户还可被提供以特定角色，其控制用户访问存储设备 24的类型和程度。在一些情况下，可能希望向用户提供有限的访问， 而在其它情况下，可能需要给予用户广泛的访问以能执行给予用户的 任务。所述角色可被编码在密码短语中，使得，当用户呈现所述密码 短语时，该用户与访问存储设备有关的角色也被确定。因而，应当理 解，在适当时，在此提及的用户名也可包括可选的用户角色。
参考图4，流程图80示出了在授权和取消对存储设备24的访问 时安全模块62所执行的步骤。处理开始于第一歩骤82，提示用户提 供访问凭证。在这里的实施例中，访问凭证包括用户密码短语及识别 该用户的用户名。密码短语和/或用户名可由用户人工输入(例如由 用户在服务处理机44处键入)，或通过一些其它手段提供给安全模 块62，如软盘、CD、智能卡、记忆棒等。用户名使安全模块62能仅准予用户名所确定的用户访问。在这里的实施例中，如本文别处详细 描述的，用户名可被编码在密码短语中。
在步骤82之后是步骤84，提示用户提供个人身份号(PIN)。 在这里的实施例中，PIN也被编码在密码短语中并用作在未授权用户 获得密码短语和用户名并对存储设备24进行未授权访问时进行保护 的一种检验。如本文别处所述，在没有适当的PIN值时，用户不能访 问存储设备24。 PIN保护免受未授权访问，因为获得用户名和密码短 语的未授权用户不可获得PIN， PIN仅由授权用户(及可能发出密码 短语的实体)知道。密码短语和PIN的结合可视为二元密码，因为其 既包括用户所具有的(密码短语)又包括用户所知道的(PIN)。
在步骤84之后是测试步骤86，安全模块62确定在步骤82、 84 输入的密码短语、用户名和PIN对于准予用户名所确定的用户访问存 储设备24是否可接受。在步骤86执行的处理将在本文别处详细讨论。 如果在测试步骤86确定用户不应被准予访问，则控制从测试步骤86 转到测试步骤88，确定用户是否应被允许重试一次。在一些情况下， 系统可允许用户重试一定次数(例如3次)以考虑用户错误键入其 PIN的可能性或由于某种原因其它信息如用户名和/或密码短语被错 误输入的可能性。重试的次数及是否准予任何重试基于该系统采用的 安全规则。
如图测试步骤88确定用户被允许重试，则控制从测试步骤88转 回到步骤82，重新提示用户提供访问凭证。否则，如果测试步骤88 确定不允许用户重试，则控制从测试步骤88转到步骤92，执行访问 错误处理。在步骤92执行的处理取决于系统采用的规则，例如可包 括向用户显示消息并要求在用户可尝试再次访问系统之前需要过一 定时间才行。当然，在步骤92可执行与系统采用的规则一致的任何 其它类型的访问错误处理，如果有的话。在步骤92之后，处理结束。
如果在测试步骤86确定在步骤82、 84提供的访问凭证和PIN可 接受，则控制从测试步骤86转到步骤94，系统进入该用户的访问授 权状态。在系统处于访问授权状态的同时，允许用户通过服务处理机导控器42 (或通过对安全模块62提供的任何接入点)访问存储设备 24。在一些实施例中，在系统在步骤94进入访问状态之后，需要用 户分别地登录系统然后登录用户希望使用的任何应用程序。在这些实 施例中，在步骤94进入访问状态可以是允许用户登录系统的先兆。 在其它实施例中，在步骤94进入访问状态是登录过程的一部分，从 而在步骤94进入访问状态之后用户不必分别地登录系统及应用程 序。
在步骤94之后是测试步骤96，确定系统是否已超时。在这里的 实施例中，在用户在步骤94已进入访问状态之后如果已经过一定量 的空闲时间则系统超时。提供超时防止授权用户访问存储设备24但 随后忘记退出从而向未授权用户提供访问存储设备24的机会的情 形。在这里的实施例中，在服务处理机44处没有用户键盘输入己达 15分钟之后系统超时，当然也可使用其它超时值。
在这里的实施例中，在步骤96也可出现另一类型的超时。另一 类型的超时涉及部分密码短语，其可包括表明用户的允许服务时间 (允许的访问时间)的信息。也就是说，密码短语可表明用户仅允许 在第一时间和第二时间之间访问存储设备24。例如，用户仅被允许 在自特定日期开始的24或48小时时间段内访问存储设备24。已达 该时间段已消逝，则用户不再被允许访问存储设备24，即使用户具 有有效凭证及有效PIN也不行。因此，对于密码短语包括用户被允许 访问存储设备24的时限的实施例，在步骤96的测试可表示确定允许 用户访问的时间是否已消逝。
在一些实施例中，不使用上述的另一类型的超时，从而， 一旦用 户登录系统并保持使用，则用户不退出访问状态。当然，如本文别处 所述，即使不使用另一类型的超时， 一旦用户登录系统，仍然可能使 用时间条件首先确定是否准予用户访问。
如果在测试步骤96确定尚未发生超时，则控制从测试步骤96转 到测试步骤98，确定用户是否己退出系统。如果没有，则控制转回到测试步骤96确定是否已发生超时。因此，在用户访问系统的同时， 系统持续确定用户是否己超时或是否已退出。
如果在测试步骤96确定已发生超时或在测试步骤98确定用户已 退出，则控制从步骤96或步骤98转到步骤102，系统退出访问状态。 一旦在步骤102系统已退出访问状态，用户不再有权访问存储设备 24。在一些实施例中，用户可被允许重新建立访问，而在其它实施例 中则不允许这样做。在访问状态与用户登录或退出系统联系的实施例 中，在步骤102退出访问状态表示用户退出系统的一部分(如退出操 作系统)。在步骤102之后，处理结束。
参考图5，图120示出了可用于执行步骤86的测试即确定用户 是否应被准予访问的安全模块62的组件。访问测试模块122接收密 码短语、用户名(可能及用户角色)、PIN及其它信息以产生表明对 应于用户名的特定用户是否应被准予访问的结果。访问测试模块122 还接收秘密密钥124、存储设备ID126及来自时间和日期模块128的 时间和日期。
秘密密钥124可以除服务处理机导控器42 (或容纳安全模块62 的设备)和/或其它授权设备/用户之外不允许其它设备/用户访问秘 密密钥124的方式保存在存储设备24内。不期望呈现密码短语的用 户可直接访问秘密密钥。在这里的实施例中，秘密密钥124可使用位 于存储设备24内的防篡改硬件保存。在一些实施例中，由制造商提 供的每一不同的存储设备可具有独一无二的秘密密钥。在其它实施例 中，来自一制造商的所有存储设备可具有相同的秘密密钥。在其它实 施例中， 一组存储设备可具有相同的秘密密钥，而其它存储设备具有 不同的秘密密钥。秘密密钥的分发是安全策略决定。共享相同秘密密 钥的存储设备越多，越容易管理系统。然而，对不同的存储设备提供 不同的秘密密钥增加系统提供的安全等级。如本文别处所述，秘密密 钥124也为产生用户密码短语的实体知道，在这里的实施例中，所述 实体可以是存储设备24的制造商或管理存储设备24的维护/重配置 的其它实体。标识符126可用于唯一地确定存储设备24以防止仅被授权访问 特定存储设备的用户(不注意地或其它方式)访问其它存储设备。在 一些实施例中，每一存储设备可被提供以独特的标识符。在其它实施 例中， 一组存储设备可共享标识符，从而，例如，在单一场所的多个 存储设备可具有相同的标识符。在这里的实施例中，标识符126还是 由存储设备24的制造商发出的存储设备24的序号。
时间和日期模块128可用于获得当前时间和日期并将该信息提 供给访问测试模块122。在这里的实施例中，时间和日期模块128访 问多个公知网站之一以获得时间信息。显然，时间和日期模块128可 从任何来源获得时间信息，包括存储设备24的内部时钟。然而，在 保证来自时间和日期模块128的信息的准确度的情况下，系统更安 全，因为确保时间和日期信息防止未授权用户在试图使用"旧"密码 短语时修改用于存储设备24的系统时间和日期信息。有多种公知机 制可用于帮助确保来自时间和日期模块128的时间和信息准确。
参考图6，流程图140示出了为确定是否准予用户访问而由访问 测试模块122执行的步骤。处理开始于第一步骤142，访问测试模块 122获取与存储设备24相关联的秘密密钥。如本文别处所述，与存 储设备相关联的秘密密钥可保存在存储设备24内提供的防篡改硬件 中。在步骤142之后是步骤144，访问测试模块122获取存储设备24 的ID。在步骤144之后是步骤146，访问测试模块122从日期和时间 模块128获取当前日期和时间。如本文别处所述，提高日期和时间的 可靠性将提高系统的安全性。
在步骤146之后是步骤148，访问测试模块122获取密码短语、 用户名(可能及角色)和PIN。在这里的实施例中，用户可呈现包含 密码短语(可能及角色)的存储介质如智能卡或存储器，也可人工将 用户名和PIN键入服务处理机44或其它适当设备中。在其它实施例 中，除使用存储介质提供密码短语和/或用户名之外或代替这种手段， 用户还可人工键入密码短语和/或用户名。在其它实施例中，用户可 仅键入PIN。在步骤148之后是步骤152，使用秘密密钥、ID、日期和时间、 用户名(可能及角色)和PIN进行单向加密。在这里的实施例中，在 步骤152进行的单向加密是单向数学函数，其从一组特定的输入值产 生确定的输出值使得数学上难以(如果不是不可能的话)在仅给出输 出值的情况下探知输入值。因此，获得密码短语的未授权用户不可能 使用密码短语探知秘密密钥或编码在密码短语内的任何其它信息。
有大量类型的单向加密函数可使用，包括ID、日期和时间、用 户名(可能及角色)、和使用秘密密钥的PIN的加密，ID、日期和时 间、用户名(可能及角色)、PIN及秘密密钥的加密，某些类型的单 向散列函数，数字签名等。在此描述的系统与所使用的单向加密函数 的具体类型无关，只要单向加密l)使能验证构造密码短语的实体拥 有秘密密钥及2)秘密密钥不可从密码短语探知(或至少部分探知) 即可。应注意，对于在此提供的系统，除了秘密密钥被加密在密码短 语中或用于加密密码短语之外，用户不被给予秘密密钥。
在步骤152之后是测试步骤154，确定在步骤152执行的单向加 密的结果是否等于所述密码短语。如果否，则控制转到步骤156，访 问测试模块返回表明用户不能访问的指示符。在步骤156之后，处理 结束。另一方面，如果在测试步骤154确定在步骤152执行的散列结 果等于密码短语，则控制从测试步骤154转到步骤158，访问测试模 块122返回表明对应于在步骤148提供的用户名的用户被准予访问存 储设备24的指示符。如果使用了角色，则在步骤158提供的指示符 还表明用户的角色。在步骤158之后，处理结束。
在这里的实施例中，系统可将在步骤146获得的时间和日期值舍 入到最近的日子。类似地，密码短语可被编码以舍入到最近日子的时 间和日期值。这样，可能使在步骤146获得的时间值等于编码在密码 短语内的时间值。当然，也可使用不同的舍入，从而例如时间值可被 舍入到最近的周、最近的两天时间段等。此外，可能用预期服务时间 (而不是当前时间)编码密码短语，使得当用户将密码短语呈现给存 储设备24时，编码在密码短语中的时间能与服务时间匹配。还应注意，在步骤146获得的时间可结合上面参考图4的流程图80所述的 步骤96的超时测试一起使用，以确定允许访问的时间是否已结束。 在步骤158之后，处理结束。
参考图7，流程图170示出了产生用户访问存储设备24的密码 短语所执行的步骤。在这里的实施例中，密码短语可由存储设备24 的制造商产生并按需提供给用户。还可能使不同于制造商的实体负责 存储设备24的维护/重配置，因而负责产生密码短语。在时间值包括 在密码短语中的实施例中，用户被给予已将允许用户访问存储设备 24的时间编码于其中的密码短语。
处理开始于第一步骤172，输入用户名。在步骤172输入用户名 可通过任何适当的手段进行，包括使用户键入其用户名或通过访问包 含用户名的授权用户数据库。如果采用角色，则用户的角色也可在步 骤172输入。在步骤172之后是步骤174，输入存储设备24的预期 访问时间。如本文别处所述，预期访问时间可被编码在密码短语中， 从而所述密码短语使仅能在指定的时间访问存储设备24而不是在任 何时间。在步骤174之后是步骤176，输入存储设备24的ID。在步 骤176之后是步骤178，输入秘密密钥。在这里的实施例中，产生密 码短语的实体(例如，存储设备24的制造商)保持与存储设备24处 所提供相同的秘密密钥。与存储设备24处的秘密密钥一样，在产生 密码短语的位置处的秘密密钥可使用防篡改硬件、受保护计算机等进 行某些形式的保护以免遭未授权访问/修改。
在步骤178之后是步骤182，输入PIN。在这里的实施例中，希 望访问的用户在用户每次访问存储设备时可选择其自己的PIN。在其 它实施例中，可能以自动方式赋予PIN值然后将所赋予的PIN值报告 给用户。在步骤182之后是步骤184，产生密码短语。在步骤184产 生密码短语涉及使用与访问测试模块122测试密码短语的有效性所 使用的单向加密函数相同(或类似)的函数。例如，在单向散列函数 用于访问测试模块122测试密码短语的实施例中，在步骤184同样的 单向散列函数可用于产生密码短语。应注意，可能使用不同于访问测试模块测试密码短语所使用的函 数产生密码短语。应注意，还可能使用不同的密钥用于产生和测试。 例如，使用公钥/私钥对，可能使用私钥产生密码短语(通过使用私 钥数字签署除密钥之外的密码短语数据)，然后在存储设备处使用相 应的公钥验证所述密码短语。这样做的好处在于在存储设备24处不
需要特殊的秘密密钥存储条件，因为存储设备24可使用非秘密公钥
验证数字签名。
在步骤184之后是可选步骤186，密码短语被保存在计算机可读 存储介质中，如智能卡、软盘、CD、记忆棒、或任何其它适当的计算 机可读存储介质。当然，由于密码短语仅仅是一组数字/符号，总是 可能简单地将密码短语报告给用户并在用户请求访问时使用户在存 储设备24键入密码短语。然而，如果执行步骤186，则用户可具有 保存在计算机可读存储介质上的密码短语的副本，当用户希望访问时 用户可将其呈现给存储设备24。还应注意，可能在步骤186将密码 短语保存在计算机可读存储介质上，且仍然需要用户在存储设备24 键入所述密码短语。在这种情况下，计算机可读存储介质可简单地用 于在用户丢失或忘记密码短语时提供密码短语的永久副本的目的。在 步骤186之后，处理结束。应注意，如果未执行步骤186，则在步骤 184之后，处理结束。
可能提供在此描述的系统的其它实施例，其仅编码在此所示的编 码在密码短语中的信息的子集。例如，可能省略ID和/或省略访问时 间和/或省略用户名等。此外，还可能将未在图7的流程图170中提 及的另外的信息编码在密码短语中。任何可能的另外的信息均可添加 到密码短语中。可被添加的另外的信息的类型包括位置信息、表明将 由用户进行的服务的本质的信息等。
在本发明已结合多个实施例进行描述的同时，对其的修改对本领 域技术人员而言是显而易见的。因而，本发明的精神和范围在下面的 权利要求书中提出。
1权利要求
1、限制访问设备的方法，包括获取用户的密码短语；获取所述用户的访问凭证；获取所述用户的PIN值；使用随所述设备提供的秘密密钥至少单向加密所述访问凭证和所述PIN；如果单向加密的结果等于所述密码短语则允许访问所述设备；及如果单向加密的结果不等于所述密码短语则拒绝对所述设备的访问。
2、 根据权利要求1的方法，其中所述设备是存储设备。
3、 根据权利要求1的方法，其中所述访问凭证包括识别用户及 该用户的角色的用户名。
4、 根据权利要求1的方法，其中所述访问凭证包括允许访问的 时间段。
5、 根据权利要求4的方法，还包括在允许访问之后，随后响应于当前日期和时间大于允许访问的时 间段而取消访问。
6、 根据权利要求1的方法，还包括获取当前日期和时间的时间/日期数据指示；及 使用所述秘密密钥单向加密所述时间/日期数据及所述访问凭证 和所述PIN。
7、 根据权利要求6的方法，还包括在允许访问之后，随后响应于当前日期和时间大于允许访问的时 间段而取消访问。
8、 根据权利要求1的方法，其中获取密码短语包括用户呈现至少下述之一智能卡、记忆棒、软盘和CD。
9、 根据权利要求1的方法，还包括 获取所要访问的设备的设备ID指示；及使用所述秘密密钥单向加密所述设备ID及所述访问凭证和所述PIN。
10、计算机可读介质，其具有用于执行权利要求1所述步骤的计算机可执行指令。
全文摘要
限制对设备的访问包括获取用户的密码短语，获取所述用户的访问凭证，获取所述用户的PIN值，使用随所述设备提供的秘密密钥至少单向加密所述访问凭证和所述PIN。如果单向加密的结果等于所述密码短语则允许访问所述设备。如果单向加密的结果不等于所述密码短语则拒绝对所述设备的访问。所述设备可以是存储设备。所述访问凭证可包括识别用户及该用户的角色的用户名。所述访问凭证可包括允许访问的时间段。随后响应于当前日期和时间大于允许访问的时间段可取消访问。
文档编号G06F21/00GK101410846SQ200780011007
公开日2009年4月15日 申请日期2007年3月27日 优先权日2006年3月31日
发明者D·J·艾伦, D·弗兰根, H·布里阿特兹, R·阿尔兰, Y·阿茨蒙尼 申请人:伊姆西公司