CN113449317A - 对数据进行加密处理的方法及控制设备 - Google Patents
对数据进行加密处理的方法及控制设备 Download PDFInfo
- Publication number
- CN113449317A CN113449317A CN202010508075.6A CN202010508075A CN113449317A CN 113449317 A CN113449317 A CN 113449317A CN 202010508075 A CN202010508075 A CN 202010508075A CN 113449317 A CN113449317 A CN 113449317A
- Authority
- CN
- China
- Prior art keywords
- data
- hard disk
- memory
- key
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种对数据进行加密处理的方法及控制设备。由于加密硬盘只能对写入硬盘的数据进行加密,而对于从控制设备将数据传输至硬盘的过程中及没有加密功能的硬盘无法保证其中的数据的安全性。本发明实施例通过在控制设备中设置加密芯片,在控制设备接收到数据时,会通知保密芯片对所述数据进行加密,所述控制设备再将所述加密后的数据写入所述硬盘中。这样,在数据存储至硬盘之前就通过所述控制设备进行加密,从而保证了控制设备将数据传输至硬盘的过程中及没有加密功能的硬盘所存储数据的安全性。
Description
技术领域
本申请涉及存储领域,尤其涉及一种对数据进行加密处理的方法及控制设备。
背景技术
为了保证数据的安全,通常通过加密硬盘对数据进行保护。加密硬盘为具有加密功能的硬盘,对于存储至硬盘的数据,通过硬盘中设置的加密功能对其加密后存储,从而保证数据的安全。通过加密硬盘对数据进行保护的具体实现为当数据下发到硬盘后,硬盘通过加密算法对数据进行加密,并将加密后的数据保存在硬盘中。加密硬盘需要硬盘支持加密功能,所以成本比较高,另外,由于在将数据从阵列控制器传输至硬盘时,没有进行加密,所以增加了数据泄露的风险。
发明内容
本发明提供一种对数据进行加密处理方法及控制设备,利用硬盘外的控制设备对存储至硬盘的数据进行加密,不但保证存储在硬盘中的数据的安全,还可以保证数据传输至硬盘的过程中的安全。
本发明实施例第一方面提供一种控制设备。所述控制设备连接至硬盘,并用于访问所述硬盘。所述控制设备包括处理单元和保密芯片。所述处理单元在接收到数据(例如写I/O请求中携带的数据)后,通知所述保密芯片对所述数据进行处理。所述保密芯片用于对所述数据进行加密,所述处理单元再将所述加密后的数据写入所述硬盘中。
在数据写入所述硬盘前,所述控制设备对所述数据进行加密,这样,对于不支持加密功能的普通硬盘也可以保证数据的安全,另外,也可以保证控制设备将数据传输至硬盘的过程中数据的安全。
可选地,在本发明实施例第一方面的一种实现方式中,所述控制设备还包括存储器,所述处理单元还用于将接收的所述数据存储至所述存储器中,所述保密芯片还用于从所述存储器中获取所述数据,并且将加密后的数据写入所述存储器。
可选地,在本发明实施例第一方面的一种实现方式中,所述存储器是缓存,所述缓存、所述处理单元、及所述保密芯片通过内部总线连接。
当所述保密芯片与所述缓存和处理单元通过内部总线集成在一起时,所述保密芯片可以从所述缓存中获取所述加密数据,这样,可以提升数据的加密速度。
可选地,在本发明实施例第一方面的一种实现方式中,所述控制设备还包括内存,所述内存与所述处理单元通过外部总线连接。所述处理单元会将接收的数据同时存储至缓存及内存,在缓存中的数据满了之后,可以将缓存中的一些热度比较低的待处理的数据(例如待加密的数据或者待解密的数据)淘汰掉,这样就会导致有些待处理数据只存储在内存中,在缓存中的待处理数据处理完之后,所述保密芯片会从所述内存中获取所述待处理的数据进行处理。
由于缓存的空间有限,在缓存的空间不足时,可以只在缓存中保存热度比较高的待处理数据,在缓存中的待处理数据处理完成之后,再从内存中获取待处理数据,不但可以热度比较高的待处理数据的快速处理,也可以通过内存补充缓存空间不足的情况。
可选地,在本发明实施例第一方面的一种实现方式中,所述存储器是内存,所述内存、所述处理单元、及所述保密芯片通过外部总线连接,即所述保密芯片与所述处理单元及所述内存独立设置。
可选地,在本发明实施例第一方面的一种实现方式中,所述处理单元通过将所述保密芯片中的寄存器置为有效位通知所述保密芯片有待处理的数据处理。
通过设置寄存器的有效位的方式,可以高效的通知所述保密芯片处理待处理的数据。
可选地,在本发明实施例第一方面的一种实现方式中,所述接收的数据被携带在写I/O 请求中;所述处理单元还用于获取密钥,将所述密钥添加在所述写I/O请求中;所述处理单元将所述添加密钥后的写I/O请求存储至所述存储器中;所述保密芯片获取所述添加密钥后的写I/O请求,解析出所述密钥和所述数据。
通过将秘钥携带在写I/O请求中传输给加密芯片,方便秘钥传输,且提高传输效率。
可选地,在本发明实施例第一方面的一种实现方式中,所述获取的密钥是所述数据被写入的硬盘所对应的密钥,所述控制设备还连接有其他硬盘,每个硬盘对应不同的密钥。
不同硬盘采用不同的秘钥,可以提高数据的安全性。
可选地,在本发明实施例第一方面的一种实现方式中,所述控制设备还用于与其他控制设备通信,所述其他控制设备连接至所述硬盘,用于对所述硬盘进行访问,所述控制设备还用于将所述密钥发送给所述其他控制设备。
通过将同一硬盘的秘钥传输给多个控制器,可以使多个控制器对同一硬盘的保密数据进行访问。
可选地,在本发明实施例第一方面的一种实现方式中,所述控制器获取所述硬盘的秘钥的方式为:获取所述硬盘的标识,将所述硬盘的标识发送至秘钥管理服务器,所述管理服务器根据所述硬盘的标识生成所述秘钥,并将所生成的秘钥传输至所述控制器。
可选地,在本发明实施例第一方面的一种实现方式中,所述秘钥存储在集群配置数据库中,所述控制器从所述集群配置数据库中获取所述秘钥。
可选地,在本发明实施例第一方面的一种实现方式中,如果有硬盘发生故障,为了能继续使用故障硬盘中的数据,则将故障硬盘的数据拷贝至一个新的硬盘,由于新的硬盘中的数据是从故障硬盘拷贝过来的,所以数据是通过故障盘的标识加密的,为了使拷贝数据能够被正常访问,所述控制设备还用于从配置界面读取新盘的SN,并建立新盘的SN与故障盘的SN的映射关系。
这样,用户在读取新盘的数据时,根据所述新盘的SN获取故障盘的SN,再根据故障盘的 SN获取故障盘的秘钥,并利用所述秘钥读取新盘中的数据。
可选的,在本发明实施例第一方面的一种实现方式中,如果硬盘发生故障,且其中的数据也没有拷贝到其他硬盘继续使用时,则CPU删除其他控制设置中所述故障硬盘的秘钥。
可选地,在本发明实施例第一方面的一种实现方式中,当硬盘下电后,所述控制设备会将下电的硬盘的磁盘对象设置为无效,所述磁盘对象中记录有所述硬盘的秘钥,并通知其他控制器将下电的硬盘的磁盘对象设置为无效,当所下电的硬盘重新上电后,所述第一控制器读取所下电的硬盘的标识,并根据所述标识匹配到磁盘对象后,激活所述磁盘对象,并通知其他控制器也激活所述磁盘对象。
这样,重新上电后的硬盘可以继续使用下电前的秘钥。
本发明实施例第二方面提供一种数据加密方法,所述方法应用于本发明实施例第一方面的控制设备,所述加密方法各步骤分别由所述控制设备的处理单元与保密芯片执行,所述处理单元和保密芯片所执行的具体步骤可参考第一方面所提供的各种实现方式中的描述的各项功能,在此不再赘述。
本发明实施例第三方面提供一种存储阵列。所述存储阵列包括第一控制器、第二控制器、及硬盘,所述第一控制器及所述第二控制器用于访问所述硬盘。所述第一控制器用于获取所述硬盘的秘钥并存储,所述秘钥用于对写IO请求所携带的数据进行加密处理,及将所述硬盘的秘钥发送至所述第二控制器。
通过将同一硬盘的秘钥传输给多个控制器,可以使多个控制器对同一硬盘的保密数据进行访问。
可选地,在本发明实施例一种可能的实现方式中,所述硬盘的秘钥与所述存储阵列中其他硬盘的秘钥不同。
可选地,在本发明实施例一种可能的实现方式中,所述第一控制器获取所述硬盘的标识,将所述硬盘的标识发送至秘钥管理服务器,所述第一控制器接收所述秘钥管理服务器根据所述硬盘的标识生成的秘钥。
可选地,在本发明实施例一种可能的实现方式中,所述秘钥存储在集群配置数据库中,所述第一控制器从所述集群配置数据库中获取所述秘钥并存储。
本发明实施例第四方面提供一种在存储阵列中设置秘钥的方法,应用于本发明实施例第三方面所提供各存储阵列,所述方法由所述存储阵列的第一控制器执行,所述方法各步骤所执行的功能请参考本发明实施例第但方面提供的存储阵列的第一控制器所执行的功能,在此不再赘述。
本发明实施例第五方面提供一种为存储阵列设置保密功能的方法,由所述存储阵列的控制器执行,所述方法包括:提供多个硬盘;从所述多个硬盘选择一个或多个目标硬盘;为所述选择的目标硬盘设置保密功能,所述保密功能包括对待写入所述目标硬盘的数据进行加密。
通过在存储阵列中设置保密功能,对于不支持加密功能的普通硬盘也可以保证数据的安全,另外,也可以保证控制设备将数据传输至硬盘的过程中数据的安全。
可选地,在本发明实施例第五方面提供的一种实现方式中,所述方法还包括:为设置了保密功能的硬盘添加保密标记。
本发明实施例第六方面提供一种为存储阵列设置保密功能的装置,所述装置提供设置界面,所述界面包括:多个硬盘标识;选择功能,供用户从所述多个硬盘选择一个或多个目标硬盘,及保密功能,供用户为所述选择的目标硬盘设置保密功能,所述保密功能包括对待写入所述目标硬盘的数据进行加密。
通过在存储阵列中设置保密功能,对于不支持加密功能的普通硬盘也可以保证数据的安全,另外,也可以保证控制设备将数据传输至硬盘的过程中数据的安全。
本发明实施例第七方面提供一种控制设备,所述控制设备连接至硬盘,并用于访问所述硬盘。所述控制设备包括处理单元和保密芯片。所述处理单元在接收到读I/O请求时,从硬盘中读取所述读I/O请求所读取的数据后,通知所述保密芯片对所述数据进行处理。所述保密芯片用于对所述数据进行解密,解密后的数据传输至所述处理单元。
所述控制设备从所述硬盘读取的是加密的数据,把所述加密数据读取到所述控制设备后再对所述数据进行解密,这样可以保证控制设备从硬盘读取数据的过程中数据的安全。
本发明实施例第七方面提供一种控制设备为对读IO请求从所述硬盘中读取的加密数据进行解密。解密过程为加密过程的逆过程,待解密的数据和第一方面提供的控制设备中的待加密数据都存储在所述缓存或内存或缓存及内存中,关于保密芯片对所述待解密数据的处理与待加密数据的处理除了对数据本身加密和解密的不同外,其他处理都基本相同,所以关于第七方面提供的控制设备对对读IO请求所读取数据的处理的各种实现方式请参考第一方面提供控制设备对数据进行加密的各种实现方式,在此不再赘述。
本发明实施例第八方面提供一种数据解密方法,所述方法应用于本发明实施例第八方面的控制设备,所述加密方法各步骤分别由所述控制设备的处理单元与保密芯片执行,所述处理单元和保密芯片所执行的具体步骤可参考第八方面所提供的各种实现方式中的描述的各项功能,在此不再赘述。
本发明实施例第九方面提供一种加密芯片,与存储器连接,所述加密芯片包括处理核及加密核,所述处理核用于从所述存储器中获取所述数据,并将所获取的数据传输至所述加密核进行加密,所述加密核对所述数据进行加密后返回至所述处理核,所述处理核将加密后的数据存储至所述存储器。
本发明实施例第十方面提供一种处理单元,所述处理单元连接至加密芯片及存储器,所述存储器中存储有程序指令,所述处理单元执行所述程序执行指令以执行一下步骤:接收数据,并通知所述保密芯片对所述数据进行处理,接收保密芯片加密后的数据,将所述加密后的数据写入硬盘中。
本发明实施例第十一方面提供一种存储阵列,所述存储阵列包括本发明实施例第一方面各实现方式中提供的控制设备及硬盘,所述控制设备连接至所述硬盘,并访问所述硬盘。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明实施例所提供的存储阵列的结构示意图。
图2为本发明第一实施例提供的第一控制器的结构的示意图。
图3为本发明图2中的第一控制器内各个元件之间的连接示意图。
图4a及图4b为为图1中所述存储阵列设置保密功能的用户界面的示意图。
图5为为图1所示的存储阵列设置保密功能的方法的流程图。
图6为基于图2级图3所示的第一控制器结构对数据进行保密处理的方法的流程图。
图7及图8为本发明第二实施例提供的第一控制器的结构的示意图。
图9为基于图7及图8所示的第一控制器结构对数据进行保密处理的方法的流程图。
图10为本发明实施例提供的一种保密装置的功能模块图。
图11为本发明实施例应用于服务器时的系统架构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
目前,虽然可以通过加密硬盘对数据进行安全存储,但是由于加密硬盘成本比较高,很多用户会选择不具备加密功能的普通硬盘,这样无法保证所存储数据的安全。另外,即使是加密硬盘,只有数据存储至硬盘后才能对其进行加密,而数据存储至硬盘的过程中,数据并没有被加密,从而无法保证数据传输过程中的安全。
本发明实施例所提供的技术方案首先会通过硬盘外的控制器对存储至硬盘的数据进行加密,然后将加密后的数据发送至硬盘存储,这样,即使是不具备加密功能的普通硬盘,也可存储加密数据,另外,也可以保证数据传输至硬盘的过程中的安全性。
本发明实施例可应用于任何可以将数据存储至硬盘的设备中,例如服务器或者存储阵列,本发明实施例首先以应用于存储阵列为例进行说明。
存储阵列包括至少一个控制器,在图1的示例中,以两个控制器为例进行说明。
如图1所示,所述存储阵列100包括第一控制器101、第二控制器102、及硬盘框103。其中,第一控制器101为主控制器,用于与秘钥管理服务器200或者主机(图未示)进行交互,以对所述存储阵列100进行管理或者为所述存储阵列100设置相关参数,同时也可以处理访问所述硬盘框103的I/O请求。所述第二控制器102为从控制器,不具备管理功能,主要用于处理访问所述硬盘框103的I/O请求。所示第一控制器和101和所述第二控制器102均可访问所述硬盘框 103。
所述硬盘框103包括多个硬盘104,所述硬盘104用于存储从第一控制器101或者所述第二控制器102传输的数据。
由于存储阵列100中的各控制器的结构相同,下文仅以所述第一控制器101为例进行说明。
基于控制器的不同结构,本发明提供两种实施例,下面先介绍第一种实施例中所述第一控制器101的结构。
如图2所示,在第一种实施例中,所述第一控制器101包括中央处理器(centralprocessing unit,CPU)201及内存202,所述CPU201和所述内存202通过外部总线205连接,所述外部总线用于连接第一控制器101中的主要组件,例如可以是周边装置互连高速(peripheral component interconnect express,PCIe)总线、外围设备互联(peripheralcomponent interconnect express,PCI)总线等。所述CPU201包括保密芯片203及处理芯片204,所述保密芯片203及所述处理芯片204通过内部总线206连接在一起,即所述保密芯片203 集成于所述CPU201中,所述内部总线用于连接集成于所述CPU201的元件,例如可以是集成电路总线(Inter-Integrated Circuit,I2C)总线。
所述处理芯片204用于执行内存202中存储的程序指令,已实现所述程序指令所提供的功能,并对从主机300接收的I/O请求进行处理,以将主机300的数据存储至硬盘框103或者为主机300从硬盘框103中读取数据。
所述内存202用于存储处理芯片204运行过程中需要的数据,例如程序指令及缓存所述处理芯片204与主机交互时产生的数据。本发明实施例中,所述程序指令包括操作系统及保密程序,所述操作系统为保证所述第一控制器正常运行的程序指令,所述保密程序为所述存储阵列100提供数据保密处理的功能,包括为硬盘框中的硬盘进行保密功能的设置、对存储至所述硬盘框103的数据进行加密、以及对从所述硬盘框103读取的数据进行解密等。关于处理芯片 204运行所述保密程序实现的具体功能请参考图5及图6的流程图的描述。
所述保密芯片203及所述处理芯片204集成后的结构如图3所示,所述处理芯片204包括至少一个CPU核2041,每个CPU核包括缓存(cache)2042。所述处理核2041在接收到IO请求后,将所述IO请求对应的数据同时存储至所述缓存2042及所述内存202。当所述缓存2042中的数据满了之后,则将所述缓存2042中的低热度的数据根据缓存淘汰算法淘汰,为新接收到的IO请求腾出空间。由于所述内存202中还存储有一份所述I/O请求,则从缓存中淘汰的数据还可以从所述内存202中获取。所述内存202还包括保密区2021及普通区2022。所述保密区2021用于存储待加密或者待解密数据,所述普通区2022用于存储普通数据及操作系统等,所述普通数据也就是不需要加密或者解密的数据。
所述保密芯片203包括至少一个管理核2031、及至少一个保密核2033,所述管理核2031 同时连接至内存202及处理芯片的缓存2042。在系统上电时,所述保密芯片203的驱动软件会为每个管理核2031设置能够访问的缓存2042的地址,及所述内存2021的保密区2021的地址。对于其中一个缓存2042,所述驱动软件会设置为每个管理核2031可以访问所述缓存2042的全部地址,也可以设置为每个管理核2031只访问所述缓存2042一部分地址,且各管理核2031所访问的所述缓存2042地址不重叠。对于内存2021的保密区2021,所述驱动软件会设置为每个管理核2031可以访问所述保密区2021的全部地址,也可以设置为每个管理核2031只访问所述保密区2021的一部分地址,且各管理核2031所访问的所述保密区2021地址不重叠。
在本发明实施例的一些实现方式中,所述保密核2033和所述管理核2031也可以是一个处理核,同时具备所述保密核2033核所述管理核2031的功能。
处理芯片204结合所述保密芯片203对I/O请求对应的数据进行保密处理,所述保密处理包括对写I/O请求中携带的数据进行加密及对读I/O请求从硬盘框103中读取的数据进行解密,具体请参考图6的描述。
在用户申请到使用存储阵列100的授权(license)之后,即通过客户终端(图未示)登录到存储阵列100设置自己的磁盘域。用户在进行身份验证之后,即可进入图4所示的界面20,点击创建磁盘域的按钮21,然后进入图4b所示的界面42。在图4b所示的界面42中,用户首先对磁盘域进行命名,例如在界面提供的磁盘域名输入栏43中输入域名diskdomin 1,然后在硬盘选择框44中选择diskdomin 1的归属硬盘,例如选择disk1、disk2、disk3、及disk4,最后可以在是否保密的选择框45中选择“是”以选择对对访问磁盘域diskdomin 1中的硬盘disk1、 disk2、disk3、及disk4的IO请求进行保密处理。在选择了是之后,存储阵列100的在第一控制器101(主控制器)会在磁盘域diskdomin 1的设置信息中增加保密功能的标记。所述保密处理即为对写入所述硬盘域中的硬盘的数据进行加密处理,对从所述硬盘域中的硬盘中读取的数据进行解密处理。
如果是通过加密硬盘对数据进行保密,由于硬盘自身具有保密功能,则无需在此选择是否对磁盘域中的硬盘进行保密。
在用户点击完成按钮46后,触发存储阵列100中的第一控制器101执行图5所示的流程,以对存储阵列100的保密功能进行设置。
步骤S501,所述第一控制器101获取归属于所述磁盘域的多个硬盘(为方便描述,下文中简称硬盘,即下文中的硬盘均指所述磁盘域中的硬盘)的标识,所述标识唯一标识每个硬盘,例如可以为硬盘的序列号(Serial Number)。
步骤S502,当获取每个硬盘的标识后,所述第一控制器101将每个硬盘的标识发送至秘钥管理服务器200,所述秘钥管理服务器200根据每个硬盘的标识为每个硬盘生成秘钥,并将所生成的秘钥传输至所述第一控制器101。
步骤S503,所述第一控制器101将所述秘钥存储在所述第一控制器101中。
在存储阵列100上电后,所述第一控制器101作为主控制器会读取每个硬盘的相关参数,例如硬盘标识、容量、型号等,并在内存202中为每个硬盘104生成一个硬盘对象记录这些参数,当所述第一控制器101获取了每个硬盘104的秘钥后,则将每个硬盘104的秘钥记录在其对应的硬盘对象中。
上述通过硬盘的标识确定硬盘的秘钥只是本发明实施例的一种实现方式,在其他实现方式中,也可以通过其他方式生成每个硬盘的秘钥,例如为每个硬盘随机生成一个秘钥等。另外,在一些实现方式中,也可以多个硬盘公用一个秘钥。
为了方便获取秘钥,在本发明实施例中,还将所述每个硬盘的秘钥存储在集群配置数据库(Cluster Configure Data Base,CCDB)中。所述集群配置数据库用于存储所述存储阵列 100的配置数据。这样,在所述存储阵列100下次启动时,可以直接从所述CCDA中获取每个硬盘的秘钥,而不需要从秘钥管理服务器200中获取,从而提高了秘钥获取的效率。将秘钥存储在CCDB中只是举例说明,在实际应用中,也可以将所述秘钥存储在所述存储阵列100的本地的其他位置,只要保证所述存储阵列100能够在本地获取所述秘钥即可。
在本发明实施例中,为了保证所述秘钥的安全,可以通过随机化算法对所述秘钥生成掩码,然后将生成掩码后的秘钥保存在内存202中。
步骤S504,所述第一控制器101将所述秘钥同步到所述第二控制器102中。
由于所述第一控制器101和所述第二控制器102访问的是同一磁盘域的硬盘,所以所述第一控制器101和所述第二控制器102需要通过同样的秘钥对同一硬盘104进行加密,所以所述第一控制器101在获取所述秘钥后,需要将所述秘钥同步到所述第二控制器102中。
所述第二控制器102在存储所述秘钥前也可以通过随机化算法对所述秘钥生成掩码,并将每个硬盘104的秘钥记录在在每个硬盘104对应的硬盘对象中。
通过以上流程,即可实现对所述存储阵列100的保密功能的设置。
根据图5中的描述可知,对于可以访问同一硬盘104的第一控制器101及第二控制器102,存储有硬盘104的秘钥,这样,第一控制器101及第二控制器102都可以利用所述秘钥对访问所述硬盘104的I/O请求进行保密处理,这样,在第一控制器101对写入所述硬盘104的数据进行加密后存储至所述硬盘104后,所述第二控制器可以从硬盘104中读取所述第一控制器101写入所述硬盘104的数据,并利用所述第二控制器102中存储的所述硬盘104的秘钥对所读取的数据进行解密,从而使存储阵列中的多个控制器对同一硬盘中的数据进行处理。
在为存储阵列100设置好保密功能后,每次在存储阵列100上电启动时或者系统升级时,第一控制器101从CCDB中获取硬盘104的秘钥,在将所获取的秘钥存储至第一控制器101的同时,还将所获取的秘钥同步至存储阵列100中的其他控制器,例如第二控制器102中,以便后续对同一硬盘的数据使用相同的秘钥进行加密或解密。
在存储阵列100运行过程中,如果第二控制器102掉电后又重新上电,则第二控制器102 会从第一控制器101获取硬盘104的秘钥。
当磁盘域中有新的硬盘接入后,第一控制器101读取新的硬盘的标识,并将新的硬盘的标识发送至秘钥管理核200生成秘钥。秘钥管理核200对新的硬盘的生成秘钥后,将所述秘钥发送至所述第一控制器101进行存储,并将所述新的硬盘的秘钥同步至其他控制器。
当磁盘域中有硬盘104下电后,所述第一控制器101会将下电的硬盘104的磁盘对象设置为无效,并通知其他控制器将下电的硬盘101的磁盘对象设置为无效,当所下电的硬盘104重新上电后,所述第一控制器101读取所下电的硬盘104的标识,并根据所述标识匹配到磁盘对象后,激活所述磁盘对象,并通知其他控制器也激活所述磁盘对象。这样,重新上电后的硬盘可以继续使用下电前的秘钥。
在所述存储阵列100只包括一个控制器的实施例中,则无需执行步骤S504。
本发明实施例中,在所述存储阵列100包括多个控制器时,业务主机与所述存储阵列100 之间存在多条路径,在发送I/O请求时,业务主机可根据多路径软件设置的选路算法选择下发所述I/O请求的路径,将所述I/O请求下发至所述存储阵列100中的其中一个控制器。在将数据下发至任意一个控制器后,控制器对I/O请求对应的数据进行保密处理。在本发明实施例中,各控制器对数据保密处理的方法相同,在此仅以第一控制器101为例进行说明。
如图6所示,为第一实施例中第一控制器101对所接收到的I/O请求进行保密处理的方法的流程图。
步骤S601,所述第一控制器101的处理芯片204接收主机发送I/O请求,所述I/O请求中携带逻辑磁盘标识及逻辑块地址(Logical Block Address,LBA)。
所述逻辑磁盘为基于所述硬盘104构成的,一般有两种构成方式,一种为通过多个独立的硬盘构成一个逻辑磁盘,所述第一控制器101中会记录构成所述逻辑磁盘的硬盘的标识。另外一种为通过每个硬盘中的一部分(分条)构成一个逻辑磁盘,所述第一控制器101会记录分条所在的硬盘的标识及分条在所述硬盘中的地址空间。
步骤S602,所述处理芯片204确定是否需要对所述I/O请求对应的数据进行保密处理,如果需要进行保密处理,则对所述I/O请求设置保密标记。
所述处理芯片204根据用户的设置确定所述I/O请求是否需要进行保密处理。如果用户在图4b所示的界面的是否保密选择框25中选择了“是”,则处理芯片204对所述I/O请求设置保密标记。
所述保密标记包括加密标记和解密标记。如果所述I/O请求为写请求,则所述处理芯片204 给所述I/O请求设置加密标记,如果所述I/O请求为读请求,则所述处理芯片204给所述I/O请求设置解密标记。在具体实现中,例如可以通过“0”表示加密标记,通过“1”表示解密标记,并将相应的标记添加在I/O请求的结构体中。
在本发明的其他实施例中,也可以默认对所有数据进行保密,如果默认对所有数据都进行保密处理,则不需要执行步骤S602。
步骤S603,所述处理芯片204根据所述I/O请求中携带的逻辑磁盘标识及逻辑块地址,确定所述I/O请求所访问的硬盘104。
当所述逻辑磁盘由多个独立的硬盘104构成时,则根据所述逻辑磁盘标识即可确定构成所述逻辑磁盘的多个硬盘104,根据所述LBA地址可以确定所述I/O请求中的待写数据所要写入的硬盘及硬盘地址。
当所述逻辑磁盘是由硬盘104中的分条构成时,则根据所述逻辑磁盘标识确定构成所述逻辑磁盘的分条所在的硬盘,根据所述LBA地址确定所述I/O请求中的待写数据所要存储的硬盘及硬盘地址。
步骤S604,所述处理芯片204在确定了所述I/O请求所访问的硬盘后,判断所述I/O请求中是否携带有保密标记。
步骤S605,如果所述I/O请求中没有携带保密标记,则所述处理芯片204将所述I/O请求缓存至所述缓存2042及所述内存202的普通区2022中。
如果没有携带保密标记,则处理芯片204不需要对所述I/O请求对应的数据进行保密处理。当所述I/O请求为写请求时,则所述处理芯片204直接将所述IO请求存储至所述缓存2042及所述内存202的普通区,后续所述处理芯片204根据内存的淘汰算法将所述I/O请求中携带的待写数据写入对应的硬盘104中。
当所述I/O请求为读请求时,则所述处理芯片204先执行所述读请求,获取所述读请求所读取的数据,并将所读取的数据添加至所述读请求的结构体中,然后将所述读请求存储至所述缓存2042及所述内存202中,并返回读取完成的指令给主机300。
步骤S606,如果所述I/O请求中携带保密标记,所述处理芯片204从内存202中获取所述I/O 请求所访问硬盘对应的秘钥。
如上文所述,在内存202中存储有每个硬盘的磁盘对象,用于存储硬盘104的相关参数,包括秘钥,所以在确定了所述I/O请求所访问的硬盘104后,即可从所述硬盘对象中获取所述I/O请求所访问的硬盘104的秘钥。
在本发明实施的一种实现方式中,将所述秘钥添加至所述I/O请求中,并将所述添加了秘钥的IO请求同时存储至所述缓存2042及内存202的保密区2021。
当所述I/O请求为读请求时,所述处理芯片204首先执行所述读请求读取所述I/O请求所读取的数据,然后将读取的数据及所读取数据所在的硬盘对应的秘钥添加至所述读请求中,并将所述读请求存储至所述缓存2042及内存202中。
当所述I/O请求为写请求时,所述处理器将所述写请求中的待写数据写入的硬盘对应的秘钥添加至所述写请求中,并将所述写请求存储至所述缓存2042及内存202中。
在本发明实施的一种实现方式中,也可以不添加所述秘钥至所述I/O请求中,只需记录所述读请求或者写请求对应的秘钥即可。
步骤S607,所述处理芯片204通知所述保密芯片203对具有保密标记的I/O请求对应的数据进行保密处理。
所述处理芯片204在接收到具有保密标记的I/O请求后,会将所述保密芯片2034中的寄存器2034置为有效位。如果所述寄存器2034已经被置为有效位,则维持所述有效位不变,如果所述寄存器2034为无效位,则改变所述无效位为有效位。当所述缓存2042及内存202中的待处理I/O请求被处理完时,则所述处理芯片204将所述寄存器2034置为无效位。
步骤S608,所述保密芯片203的管理核2031根据所述处理芯片的通知首先去所述缓存2042 中查找所述缓存2042中是否有待处理的I/O请求,所述待处理的I/O请求为对应的数据需要进行保密处理的I/O请求。如果所述缓存2042中有待处理的I/O请求,则执行步骤S609。如果所述缓存2042中没有待处理的IO请求,则执行步骤S613。
所述管理核2031会周期性的去侦测所述寄存器2034是否为有效位,如果是有效位则说明还有待处理的I/O请求,则所述管理核2031会首先去所述缓存2042中查找所述缓存2042中是否有待处理的I/O请求。因为所述保密芯片203集成于所述CPU201,所以所述保密芯片203中的管理核2031可以直接访问所述缓存2042,以确定所述缓存2042中是否有待处理的I/O请求。由于缓存2042的访问速度高于内存202,首先确定缓存2042中是否有待处理的I/O请求可以提升待处理I/O请求的获取速度。
步骤S609,所述管理核2031从所述缓存2042中获取所述待处理I/O请求,并将所述待处理的I/O请求传输至所述保密核2033。
当所述待处理I/O请求中携带有秘钥时,则所述管理核2031只需要所述缓存2042中获取所述待处理I/O请求即可,如果所述待处理I/O请求中没有携带秘钥,则所述管理核2031在获取所述待处理I/O请求的同时还需要获取其对应的秘钥。
步骤S610,所述保密核2033获取所述待处理I/O请求对应秘钥,并利用所述秘钥对所述待处理I/O请求对应的数据进行保密处理,并将经过保密处理的I/O请求返回给管理核2031。
在进行保密处理时,所述保密核2033首先从所述待处理的IO请求中获取保密标记,然后确定所述保密标记为加密标记还是解密标记,如果是加密标记,则对所述待处理I/O请求中的数据进行加密处理,如果是解密标记,则对所述待处理I/O请求中的数据进行解密处理。
所述保密核2033用经过保密处理的数据替代所述待处理I/O请求中的数据,即完成对所述待处理I/O请求的保密处理,并将经过保密处理的I/O请求返回给管理核2031。
步骤S611,所述管理核2031将经过保密处理I/O请求存储至所述待处理I/O请求的位置。
对于从缓存2042中获取的所述待处理I/O请求,所述管理核2031会用经过保密处理I/O请求替换缓存2042中原来存储的所述待处理I/O请求,同时替换内存202中存储的与所述待处理 I/O请求相同的I/O请求。如前文所述,由于处理芯片204在将所述待处理I/O请求写入缓存时,也同时会在内存202中写入所述待处理I/O请求,所以缓存2042和内存202中的所述待处理I/O 请求需要同时替换为所述经过保密处理I/O请求。
步骤S612,所述处理芯片204对所述经过加密处理的I/O请求进行处理。
对于所述经过保密处理I/O请求中还携带有秘钥的,所述处理芯片204会从所述经过保密处理I/O请求中删除所述秘钥。对于经过保密处理的读请求,所述处理芯片204返回数据读取完成的指令至主机300。对于经过保密处理的写请求,所述处理芯片204返回数据写完成的指令至主机300,所述处理芯片204后续通过内存202中的淘汰算法将所述内存202中经过加密的数据存储至所述硬盘104中。
步骤S613,如果在步骤S608中,所述保密芯片203没有从所述缓存2042中获取所述待处理的IO请求,所述管理核2031从所述内存202的保密区2021中获取所述待处理的I/O请求,并将所述待处理的I/O请求传输至所述保密核2033,然后所述保密核2033执行所述步骤S610及S611 以对所述待处理的I/O进行保密处理。
对于步骤S611,由于只有内存202中存储有所述待处理I/O请求,则只需要用所述经过保密处理I/O请求替换内存202中的所述待处理I/O请求即可。
图6的流程图主要描述了第一种实施例中通过集成于CPU201的保密芯片203对待处理I/O 请求对应的数据进行保密处理的过程。在本发明中,还提供了第二种实施例,在第二种实施例中,在第一控制器101中,保密芯片独立于所述CPU,与所述CPU通过外部总线连接,具体结构如图7及图8所示。
图7所示的第一控制器101包括CPU701、内存702、及保密芯片703,所述CPU701、所述保密芯片703、及内存702均通过外部总线704连接,所述内存702的结构与第一实施例中的结构相同,在此不再赘述。
如图8所示,在本实施例中,所述CPU701中不包括保密芯片703,而是与保密芯片701通过外部总线704连接。所述CPU701中的元件CPU核2041与缓存2042与第一实施例中的相同,在此也不再赘述。
与第一实施例相比,由于所述保密芯片701中的管理核7031通过外部总线704与所述 CPU701连接,所以所述管理核7031不能直接访问所述CPU701的缓存7042,而只能从内存702 中获取待处理I/O请求,具体请参考图9所示的流程图的描述。
如图9所示,为第二实施例中第一控制器101对所接收到的I/O请求进行保密处理的方法的流程图。图9中的步骤S801~S807与图6中的步骤S601~S607只有执行主体不同,图6中的步骤 S601~S607的执行主体为图3中的处理芯片204,而图9中的步骤S801~S807的执行主体为图9中的CPU701。在图6中,由于保密芯片203与处理芯片204集成于CPU201,所以保密芯片203可以通过CPU201内的内部总线访问处理芯片204中的缓存2042。这样,保密芯片203的管理核2034在确定有待处理I/O请求时,会执行步骤S608,判断缓存2042中是否有待处理I/O请求,当缓存 2042中有待处理I/O请求时,则执行步骤S609,即首先从缓存2042中获取待处理I/O请求进行保密处理。然而在第二实施例中,由于所述保密芯片703通过外部总线704与CPU701连接,所以,所述保密芯片703无法从缓存7042中获取待处理I/O请求,而只能从内存702中获取待处理I/O 请求,即在图9所示的实施例中,无需执行图6中的步骤S608和S609。图9中的步骤S808至S811 用于从内存702中获取待处理I/O请求,并对所获取的需要进行保密处理的I/O请求进行保密处理,分别与图6中的步骤S613、S610、S611、S612相同,在此不再赘述。
由于第二实施例中无法从CPU701的缓存7042中获取待处理I/O请求,所以保密处理的效率比第一实施例低。
如图10所示,为本发明实施例提供的一种保密装置1000的功能模块图。所述保密装置1000 应用于图1所示的存储阵列100。所述保密装置1000包括设置模块1001、接收模块1002及保密模块1003。所述设置模块1001用于为所述存储阵列100设置保密功能,具体设置方法请参考图 5所示的流程图中的各个步骤的相关描述。所述接收模块1002用于接收I/O请求,为所接收的 I/O请求设置保密标记,并确定所述I/O请求所访问的硬盘,具体请参考图6的步骤S601至S603 的描述或者图8中的步骤S801至S803的描述,在此不再赘述。所述保密模块1003用于对设置了保密标记的I/O请求对应的数据进行保密处理,进行保密处理的具体过程请参考图6中的步骤 S604~S607及S612或者图8中的步骤S804~S807及S811的相关描述,在此不再赘述。
在本发明第一实施例及第二实施例中,为了保证保密芯片对数据保密的可靠性,可以周期性的对保密芯片的可靠性进行验证。具体做法为,将预设的数据分别通过保密芯片的保密核和加密软件进行加密,将经保密核加密的数据和加密软件加密的数据进行比较,若两者的数据多次不一致,则说明保密核故障,需要进行隔离。
在存储阵列运行过程中,如果有硬盘发生故障,为了能继续使用故障硬盘中的数据,则将故障硬盘的数据拷贝至一个新的硬盘,由于新的硬盘中的数据是从故障硬盘拷贝过来的,所以数据是通过故障盘的标识加密的,为了使拷贝数据能够被正常访问,所以,可以将新盘的SN模拟为故障盘的SN,具体做法为:用户在配置界面读取新盘的SN,并建立新盘的SN与故障盘的SN的映射关系。这样,用户在读取新盘的数据时,根据所述新盘的SN获取故障盘的SN,再根据故障盘的SN获取故障盘的秘钥,并利用所述秘钥读取新盘中的数据。
如果硬盘发生故障,且其中的数据也没有拷贝到其他硬盘继续使用时,则CPU删除CCDB 及各个控制器中所述故障硬盘的秘钥。
在本发明实施例中,所述加密芯片可以是个单独的半导体芯片,也可以跟其他电路一起集成为一个半导体芯片,例如,可以跟其他电路(如编解码电路、硬件加速电路或各种总线和接口电路)构成一个SoC(片上系统),或者也可以作为一个ASIC的内置处理器集成在所述 ASIC当中,该集成了处理器的ASIC可以单独封装或者也可以跟其他电路封装在一起。该加密芯片除了包括用于执行软件指令以进行运算或处理的核外,还可进一步包括必要的硬件加速器,如现场可编程门阵列(field programmable gate array,FPGA)、PLD(可编程逻辑器件)、或者实现专用逻辑运算的逻辑电路。
上文主要介绍了本发明实施例应用于存储阵列的场景,对于应用于服务器的场景,请参考图11的描述,图11所示的服务器1101作为独立的设备连接至硬盘框1102,硬盘框1102包括多个硬盘1103。服务器1101用于访问硬盘框1102中的硬盘1103。在将数据存储至硬盘框1102 中的硬盘1103之前,所述服务器1101中的控制器(图未示)对所述数据进行加密,并将加密后的数据传输至所述硬盘框1102。所述服务器1101中的控制器对数据加密的过程与存储阵列 100中的第一控制器101对数据加密的过程相同,在此不再赘述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (24)
1.一种控制设备,所述控制设备连接至硬盘,并用于访问所述硬盘,其特征在于,所述控制设备包括处理单元和保密芯片;
所述处理单元用于接收数据,并通知所述保密芯片对所述数据进行处理;
所述保密芯片用于对所述数据进行加密;
所述处理单元还用于将所述加密后的数据写入所述硬盘中。
2.根据权利要求1所述的控制设备,其特征在于,还包括存储器;
所述处理单元还用于将接收的所述数据存储至所述存储器中;
所述保密芯片还用于从所述存储器中获取所述数据,并且将加密后的数据写入所述存储器。
3.根据权利要求2所述的控制设备,其特征在于,所述存储器是缓存,所述缓存、所述处理单元、及所述保密芯片通过内部总线连接。
4.根据权利要求3所述的控制设备,其特征在于,所述控制设备还包括内存,所述内存与所述处理单元通过外部总线连接;所述内存存储有待处理数据,所述待处理数据为待加密数据或待解密数据;
所述保密芯片在对所述数据进行加密之后还用于:判断所述缓存中是否存储有所述待处理的数据,如果有,则所述保密芯片从所述缓存中获取所述待处理的数据进行处理,如果没有,则所述保密芯片从所述内存中获取所述待处理的数据进行处理。
5.根据权利要求2所述的控制设备,其特征在于,所述存储器是内存,所述内存、所述处理单元、及所述保密芯片通过外部总线连接。
6.根据权利要求2至5任一项所述的控制设备,其特征在于,所述处理单元在通知所述保密芯片对所述数据进行处理时具体用于:将所述保密芯片中的寄存器置为有效位,所述有效位用于指示所述存储器中存储有待处理的数据。
7.根据权利要求2所述的控制设备,其特征在于,所述接收的数据被携带在写I/O请求中;
所述处理单元还用于获取密钥,将所述密钥添加在所述写I/O请求中;
所述处理单元在将所述接收的数据存储至所述存储器时,具体用于,将所述添加密钥后的写I/O请求存储至所述存储器中;
所述保密芯片在从所述存储器中获取所述数据时,具体用于,获取所述添加密钥后的写I/O请求,解析出所述密钥和所述数据。
8.根据权利要求7所述的控制设备,其特征在于,所述获取的密钥是所述数据被写入的硬盘所对应的密钥,所述控制设备还连接有其他硬盘,每个硬盘对应不同的密钥。
9.根据权利要求7或8所述的控制设备,其特征在于,所述控制设备还用于与其他控制设备通信,所述其他控制设备连接至所述硬盘,用于对所述硬盘进行访问;
所述控制设备还用于将所述密钥发送给所述其他控制设备。
10.一种数据处理方法,其特征在于,应用于控制设备,所述控制设备连接至硬盘,并用于访问所述硬盘,所述控制设备包括处理单元和保密芯片,所述方法包括:
所述处理单元接收数据,并通知所述保密芯片对所述数据进行处理;
所述保密芯片对所述数据进行加密;
所述处理单元将所述加密后的数据写入所述硬盘中。
11.根据权利要求10所述的方法,其特征在于,所述控制设备还包括存储器,
所述方法还包括:
所述处理单元将接收的所述数据存储至所述存储器中;
所述保密芯片从所述存储器中获取所述数据,并且将加密后的数据写入所述存储器。
12.根据权利要求11所述的方法,其特征在于,所述存储器是缓存,所述缓存、所述处理单元、及所述保密芯片通过内部总线连接。
13.根据权利要求12所述的方法,其特征在于,所述控制设备还包括内存,所述内存与所述处理单元通过外部总线连接;所述内存存储有待处理数据,所述待处理数据为待加密数据或待解密数据;
在所述保密芯片在对所述数据进行加密之后,所述方法还包括:
判断所述缓存中是否存储有所述待处理的数据;
如果有,则所述保密芯片从所述缓存中获取所述待处理的数据进行处理;
如果没有,则所述保密芯片从所述内存中获取所述待处理的数据进行处理。
14.根据权利要求11所述的方法,其特征在于,所述存储器是内存,所述内存、所述处理单元、及所述保密芯片通过外部总线连接。
15.根据权利要求11至14任一项所述的方法,其特征在于,所述处理单元通知所述保密芯片对所述数据进行处理包括:
所述处理单元将所述保密芯片中的寄存器置为有效位,所述有效位用于指示所述存储器中存储有待处理的数据。
16.根据权利要求11所述的方法,其特征在于,所述接收的数据被携带在写I/O请求中,所述方法还包括:
所述处理单元获取密钥,将所述密钥添加在所述写I/O请求中;
所述处理单元将所述接收的数据存储至所述存储器包括:
所述处理单元将所述添加密钥后的写I/O请求存储至所述存储器中;
所述保密芯片从所述存储器中获取所述数据包括:
所述保密芯片获取所述添加密钥后的写I/O请求,解析出所述密钥和所述数据。
17.根据权利要求16所述的方法,其特征在于,所述获取的密钥是所述数据被写入的硬盘所对应的密钥,所述控制设备还连接有其他硬盘,每个硬盘对应不同的密钥。
18.根据权利要求16或17所述的方法,其特征在于,所述控制设备还用于与其他控制设备通信,所述其他控制设备连接至所述硬盘,用于对所述硬盘进行访问,所述方法还包括:
所述控制设备将所述密钥发送给所述其他控制设备。
19.一种在存储阵列,包括第一控制器、第二控制器、及硬盘,所述第一控制器及所述第二控制器用于访问所述硬盘,其特征在于,
所述第一控制器用于获取所述硬盘的秘钥并存储,所述秘钥用于对写IO请求所携带的数据进行加密处理,及将所述硬盘的秘钥发送至所述第二控制器。
20.如权利要求19所述的存储阵列,其特征在于,所述硬盘的秘钥与所述存储阵列中其他硬盘的秘钥不同。
21.一种在存储阵列中设置秘钥的方法,其特征在于,所述存储阵列包括第一控制器、第二控制器、及硬盘,所述第一控制器及所述第二控制器用于访问所述硬盘,所述方法包括:
所述第一控制器获取所述硬盘的秘钥并存储,所述秘钥用于对写IO请求所携带的数据进行加密处理;
所述第一控制器将所述硬盘的秘钥发送至所述第二控制器。
22.一种为存储阵列设置保密功能的方法,由所述存储阵列的控制器执行,所述方法包括:
提供多个硬盘;
从所述多个硬盘选择一个或多个目标硬盘;
为所述选择的目标硬盘设置保密功能,所述保密功能包括对待写入所述目标硬盘的数据进行加密。
23.如权利要求22所述的方法,还包括:为设置了保密功能的硬盘添加保密标记。
24.一种为存储阵列设置保密功能的装置,所述装置提供设置界面,所述界面包括:
多个硬盘标识;
选择功能,供用户从所述多个硬盘选择一个或多个目标硬盘;
保密功能,供用户为所述选择的目标硬盘设置保密功能,所述保密功能包括对待写入所述目标硬盘的数据进行加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2021/077265 WO2021190218A1 (zh) | 2020-03-27 | 2021-02-22 | 对数据进行加密处理的方法及控制设备 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010230677X | 2020-03-27 | ||
| CN202010230677 | 2020-03-27 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113449317A true CN113449317A (zh) | 2021-09-28 |
Family
ID=77808407
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010508075.6A Pending CN113449317A (zh) | 2020-03-27 | 2020-06-05 | 对数据进行加密处理的方法及控制设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113449317A (zh) |
| WO (1) | WO2021190218A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113923005A (zh) * | 2021-09-30 | 2022-01-11 | 惠州Tcl移动通信有限公司 | 一种写入数据的方法及系统 |
| CN114065240A (zh) * | 2021-11-10 | 2022-02-18 | 南京信易达计算技术有限公司 | 一种基于国产ai芯片架构的存储加密系统及控制方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1101024C (zh) * | 1999-08-13 | 2003-02-05 | 王本中 | 一种计算机硬盘加密装置 |
| CN1304915C (zh) * | 2004-01-16 | 2007-03-14 | 西北工业大学 | 计算机硬盘数据加密方法及其装置 |
| JP4698982B2 (ja) * | 2004-04-06 | 2011-06-08 | 株式会社日立製作所 | 暗号処理を行うストレージシステム |
| CN104217180B (zh) * | 2014-09-07 | 2017-03-15 | 杭州华澜微电子股份有限公司 | 一种加密存储盘 |
| CN107994989A (zh) * | 2017-12-11 | 2018-05-04 | 建荣集成电路科技(珠海)有限公司 | 一种数据加密系统、加密方法、加密芯片及存储装置 |
-
2020
- 2020-06-05 CN CN202010508075.6A patent/CN113449317A/zh active Pending
-
2021
- 2021-02-22 WO PCT/CN2021/077265 patent/WO2021190218A1/zh active Application Filing
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113923005A (zh) * | 2021-09-30 | 2022-01-11 | 惠州Tcl移动通信有限公司 | 一种写入数据的方法及系统 |
| CN113923005B (zh) * | 2021-09-30 | 2024-04-09 | 惠州Tcl移动通信有限公司 | 一种写入数据的方法及系统 |
| CN114065240A (zh) * | 2021-11-10 | 2022-02-18 | 南京信易达计算技术有限公司 | 一种基于国产ai芯片架构的存储加密系统及控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021190218A1 (zh) | 2021-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109844751B (zh) | 用于提供信息隔离的方法和处理器 | |
| TWI740409B (zh) | 使用密鑰之身份驗證 | |
| CN102208001B (zh) | 硬件支持的虚拟化密码服务 | |
| US20170277898A1 (en) | Key management for secure memory address spaces | |
| JP6414863B2 (ja) | 仮想化システムにおける暗号復号方法および装置、およびシステム | |
| JP4782871B2 (ja) | デバイスアクセス制御プログラム、デバイスアクセス制御方法および情報処理装置 | |
| US20070136606A1 (en) | Storage system with built-in encryption function | |
| JP2005523519A (ja) | 要求元マスタidおよびデータ・アドレスを用いて統合システム内でのデータ・アクセスを限定する制御機能 | |
| CN110928646A (zh) | 一种访问共享内存的方法、装置、处理器和计算机系统 | |
| CN110447032A (zh) | 管理程序与虚拟机之间的存储器页转换监测 | |
| KR20160125987A (ko) | 프로세싱 시스템 내 정보의 암호 보호 | |
| WO2000057290A1 (fr) | Processeur d'informations | |
| WO2006031030A1 (en) | Method and apparatus for searching for rights objects stored in portable storage device using object identifier | |
| WO2021190218A1 (zh) | 对数据进行加密处理的方法及控制设备 | |
| CN112433817A (zh) | 信息配置方法、直接存储访问方法及相关装置 | |
| US11615207B2 (en) | Security processor configured to authenticate user and authorize user for user data and computing system including the same | |
| US20230094564A1 (en) | Method and system for processing medical data | |
| CN111881490A (zh) | 与外置加密芯片融合应用nvme存储设备的共享数据保护方法 | |
| US7949137B2 (en) | Virtual disk management methods | |
| WO2021144659A1 (en) | Memory based encryption | |
| CN114296873B (zh) | 一种虚拟机镜像保护方法、相关器件、芯片及电子设备 | |
| US11423182B2 (en) | Storage device providing function of securely discarding data and operating method thereof | |
| US20200389325A1 (en) | In-vehicle-function access control system, in-vehicle apparatus, and in-vehicle-function access control method | |
| US20230179418A1 (en) | Storage controller and method of operating electronic system | |
| CN115994389A (zh) | 一种基于risc-v架构的硬件内存加密系统及其应用 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |