CN107590395B - 适用于云环境的多层数据加密方法、装置、设备及系统 - Google Patents

适用于云环境的多层数据加密方法、装置、设备及系统 Download PDF

Info

Publication number
CN107590395B
CN107590395B CN201710698743.4A CN201710698743A CN107590395B CN 107590395 B CN107590395 B CN 107590395B CN 201710698743 A CN201710698743 A CN 201710698743A CN 107590395 B CN107590395 B CN 107590395B
Authority
CN
China
Prior art keywords
data
disk
logical disk
user side
cloud environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710698743.4A
Other languages
English (en)
Other versions
CN107590395A (zh
Inventor
李祉岐
孙磊
尹琴
张亮
庞天宇
王思宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Siji Network Security Beijing Co ltd
State Grid Corp of China SGCC
Beijing China Power Information Technology Co Ltd
Information and Telecommunication Branch of State Grid Shaanxi Electric Power Co Ltd
Electric Power Research Institute of State Grid Shanghai Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Beijing China Power Information Technology Co Ltd
Information and Telecommunication Branch of State Grid Shaanxi Electric Power Co Ltd
Electric Power Research Institute of State Grid Shanghai Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Beijing China Power Information Technology Co Ltd, Information and Telecommunication Branch of State Grid Shaanxi Electric Power Co Ltd, Electric Power Research Institute of State Grid Shanghai Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201710698743.4A priority Critical patent/CN107590395B/zh
Publication of CN107590395A publication Critical patent/CN107590395A/zh
Application granted granted Critical
Publication of CN107590395B publication Critical patent/CN107590395B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)

Abstract

本发明公开了一种适用于云环境的多层数据加密方法,包括:接收用户端发出的云硬盘申请,并验证所述用户端是否具有操作权限;当所述用户端具有操作权限时,根据所述云硬盘申请生成逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端;将所述逻辑磁盘格式化后向所述逻辑磁盘中写入数据,同时向所述逻辑磁盘对应的多个物理磁盘发出所述数据的写入请求;将所述数据分割成多个数据块离散化随机存储到多个所述的物理磁盘中。本发明所述适用于云环境的多层数据加密方法,提供了用户数据在云环境中的多层防护体系;在任意一层被攻破的情况下,都有相应机制保证泄密的数据不可读,不能进行逆向解密,从而保证用户数据的安全。

Description

适用于云环境的多层数据加密方法、装置、设备及系统
技术领域
本发明涉及信息安全技术领域,特别是指一种适用于云环境的多层数据加密方法、装置、设备及系统。
背景技术
云计算因具有资源利用率高、节约成本等诸多优点而将成为未来的主流计算模式。然而,包括隐私保护在内的数据安全存储问题却成为云计算推广的巨大障碍。当云环境中的数据卷,物理层数据盘被盗用后,其未做任何加密的数据将面临泄密的风险。云计算的租用商业模式和其采用的两种关键技术——虚拟化技术和多租户技术是云存储存在诸多安全问题甚至安全悖论的根本原因。
当前环境中,用户为了保护自己的数据安全,对于云计算环境中的云磁盘中的关键数据进行了加密存储。这种应用层面的加密面对黑客的暴力破解等手段面前明显不足。由于虚拟化技术可能的虚拟机逃逸漏洞,使没有任何保护的用户数据卷直接暴露在被攻陷的虚拟机面前。另外,物理磁盘的丢失或者被盗窃也会导致用户数据的泄漏。
发明内容
有鉴于此,本发明的目的在于提出一种适用于云环境的多层数据加密方法、装置及系统,使得在未经授权的情况下,即使数据被盗取也无法正确得读取出来,从而保证云环境下数据的安全性。
基于上述目的本发明提供的一种适用于云环境的多层数据加密方法,包括:
接收用户端发出的云硬盘申请,并验证所述用户端是否具有操作权限;
当所述用户端具有操作权限时,根据所述云硬盘申请生成逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端;
将所述逻辑磁盘格式化后向所述逻辑磁盘中写入数据,同时向所述逻辑磁盘对应的多个物理磁盘发出所述数据的写入请求;
将所述数据分割成多个数据块离散化随机存储到多个所述的物理磁盘中。
进一步的,所述根据所述云硬盘申请生成逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端,包括:
从所述云环境的数据存储池中划分符合所述云硬盘申请条件的所述逻辑磁盘;
采用第一安全证书对所述逻辑磁盘进行加密;
将加密后的所述逻辑磁盘挂载给计算虚拟化主机,所述计算虚拟化主机为云环境中使用虚拟化技术将计算能力进行虚拟化管理的物理服务器;
所述计算虚拟化主机获取与所述第一安全证书对应的第一授权证书,使用所述第一授权证书对加密后的所述逻辑磁盘解密得到所述逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端。
进一步的,所述将所述数据分割成数据块离散化随机存储到多个所述物理磁盘中,包括:
采用条带化技术将所述物理磁盘的存储空间划分为多个数据块空间,同时将所述数据分割成多个数据块,将多个所述的数据块随机存储于所述物理磁盘的多个所述的数据块空间中;
采用多副本技术将所述数据的多个副本存储在至少两个所述物理磁盘中;
采用纠删码技术对所述数据块进行存储。
进一步的,所述将所述数据分割成数据块离散化随机存储到多个所述物理磁盘中之后,采用第二安全证书对所述物理磁盘进行加密。
进一步的,适用于云环境的多层数据加密方法还包括:
接收用户端发送的数据清除申请,清除所述物理磁盘以及所述逻辑磁盘中存储的所述数据;
从用户端卸载所述逻辑磁盘,并释放所述逻辑磁盘的存储空间。
进一步的,所述验证所述用户端是否具有操作权限,包括:
解析所述云硬盘申请,获取所述用户端的授权证书;
判断所述授权证书与所述云环境预先设置的认证证书是否匹配;
若匹配,则所述用户端具有操作权限。
进一步的,所述将所述数据分割成多个数据块离散化随机存储到多个所述的物理磁盘中,包括:采用改进的增强性哈希算法保证所述数据块在存储时的离散性;所述增强性哈希算法包括在标准的离散算法的基础上通过引入随机因子。
本发明还公开了一种适用于云环境的多层数据加密装置,包括:
接收模块,用于接收用户端发出的云硬盘申请,并验证所述用户端是否具有操作权限;
生成模块,用于当所述用户端具有操作权限时,根据所述云硬盘申请生成逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端;
写入模块,用于将所述逻辑磁盘格式化后向所述逻辑磁盘中写入数据,同时向所述逻辑磁盘对应的多个物理磁盘发出所述数据的写入请求;
存储模块,用于将所述数据分割成多个数据块离散化随机存储到多个所述的物理磁盘中。
本发明还公开了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任意一项所述的方法。
本发明还公开了一种适用于云环境的多层数据加密系统,包括用户端、云端,其特征在于,还包括:如上述所述的适用于云环境的多层数据加密装置;或,如上述所述的计算机设备。
从上面所述可以看出,本发明提供的一种适用于云环境的多层数据加密方法,提供了用户数据在云环境中的多层防护体系;在任意一层被攻破的情况下,都有相应机制保证泄密的数据不可读,不能进行逆向解密,从而保证用户数据的安全;在云环境的数据安全解决方案中,增加了对国密加密算法的支持,符合国家对于信息化系统安全的相关要求。
附图说明
图1为本发明实施例一种适用于云环境的多层数据加密方法的流程图;
图2为本发明实施例一种适用于云环境的多层数据加密装置的结构。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
附图1为本发明实施例一种适用于云环境的多层数据加密方法的流程图。本发明实施例公开一种适用于云环境的多层数据加密方法,包括:
S100,接收用户端发出的云硬盘申请,并验证所述用户端是否具有操作权限。
优选的,步骤S100进一步包括:
S101,解析所述云硬盘申请,获取所述用户端的授权证书;
S102,判断所述授权证书与所述云环境预先设置的认证证书是否匹配;
S103,若匹配,则所述用户端具有操作权限。
本发明实施例所述云环境采用分布式存储系统。在所述分布式存储系统中,系统内部的服务之间、外部用户端与内部系统之间的访问、管理操作等均需要使用认证证书进行认证。认证证书具有细粒度的权限控制,并支持过期时间设置。所述分布式存储系统支持以各对象的权限为输入创建指定授权的认证证书,用户端使用相应的授权证书才能获得相应的授权,例如挂载、读出、写入、允许更新配置等。当用户端向云环境发出云硬盘申请时,云环境需验证该用户端是否有访问云环境的权限,同时还需验证该用户端是否有在云环境的操作权限,即在云环境的数据存储池中创建数据卷,也就是划分逻辑磁盘的权限。所述数据卷是从数据存储池中划分出来的逻辑磁盘;通常数据卷是由用户创建的,并用于存储用户的应用和数据。所述认证证书从安全证书服务器获取。使用认证证书保障了用户端申请创建的数据卷的合法读写。
本实施例细化了分布式存储系统中授权部分设计,修改完善了分布式存储系统与安全证书服务器的交互,提高了安全服务的等级。
S200,当所述用户端具有操作权限时,根据所述云硬盘申请生成逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端。
优选的,步骤S200中所述根据所述云硬盘申请生成逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端,进一步包括:
S201,从所述云环境的数据存储池中划分符合所述云硬盘申请条件的所述逻辑磁盘。分布式存储系统接收到用户端发送的云硬盘申请信息后,在加密的数据存储池中划分出符合云硬盘申请信息符合的逻辑磁盘,所述云硬盘申请条件包括用户申请的云硬盘的大小。
S202,采用第一安全证书对所述逻辑磁盘进行加密。采用从安全证书服务器获取的所述第一安全证书对划分出的逻辑磁盘进行加密。
S203,将加密后的所述逻辑磁盘挂载给计算虚拟化主机,其中所述计算虚拟化主机为云环境中使用虚拟化技术将计算能力进行虚拟化管理的物理服务器。
S204,所述计算虚拟化主机获取与所述第一安全证书对应的第一授权证书,使用所述第一授权证书对加密后的所述逻辑磁盘解密得到所述逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端。计算虚拟化主机从安全证书服务器中取得所述第一授权证书,对加密后的逻辑磁盘进行解密,再挂载给相应的所述用户端的虚拟机使用。
通过对逻辑磁盘的加密,使得其它未授权的虚拟机对分配给指定用户端虚拟机的逻辑磁盘不具有可读性,无法正常识别数据文件,从而保证了数据文件的安全性。任意的第三方在非法截取到加密的逻辑磁盘的访问信息后,在脱离云计算环境不能对该逻辑磁盘进行逆向解密。
S300,将所述逻辑磁盘格式化后向所述逻辑磁盘中写入数据,同时向所述逻辑磁盘对应的多个物理磁盘发出所述数据的写入请求。
当所述逻辑磁盘被挂载到用户端后,用户端在自己的虚拟机中发现所述逻辑磁盘,之后用户端对所述逻辑磁盘进行格式化。格式化完成后,用户可以通过用户端向格式化后的所述逻辑磁盘中写入数据,同时,分布式存储系统会将该数据同时发送给所述逻辑磁盘对应的物理磁盘进行存储。
在一个优选的实施例中,所述逻辑磁盘至少对应两个不同的物理磁盘。较佳的,所述物理磁盘来源于不同的PC服务器,从而保证数据在存储时的离散性。
S400,将所述数据分割成多个数据块离散化随机存储到多个所述的物理磁盘中。
优选的,为了保证数据安全,分布式存储系统在将用户端写入的数据存储到物理磁盘时,采用条带化、多副本、纠删码等技术手段将数据进行离散化,再持久化到数据磁盘上。所述将数据离散化存储到数据磁盘上进一步包括:
采用条带化技术将所述物理磁盘的存储空间划分为整齐的多个数据块空间,同时将用户所述数据也按照同样的数据块空间大小分割成多个数据块,之后将多个所述的数据块随机存储于所述物理磁盘的多个所述的数据块空间中,即将任意一个数据块随机存储到任意一个存储虚拟化主机的任意一个物理磁盘的任意一个数据块空间中,从而保证数据的离散性。所述存储虚拟化主机为使用分布式存储软件的存储能力进行集群化管理的物理服务器。进一步的,采用改进的增强性哈希算法保证数据块存储的离散性;所述增强性哈希算法包括在标准的离散算法的基础上通过引入随机因子。
采用多副本技术将所述数据的多个副本存储在多个所述物理磁盘中。三副本模式下数据的可用性达到了7个,从而保障数据的可用性和读写性能。
采用纠删码技术对所述数据块进行存储,从而来节约存储空间。使用K+M的纠删码可以在M个数据块损坏的情况下正常恢复数据。
数据离散化存储使得存储在物理磁盘上的数据不再具有可读性,从单个磁盘中不能还原用户的完整数据信息,从而保证用户信息的安全。
在本发明的另一个实施例中,所述将所述数据分割成数据块离散化随机存储到多个所述物理磁盘中之后,采用第二安全证书对所述物理磁盘进行加密。可选的,采用第二安全证书对所述物理磁盘进行加密可以在将数据存储到物理磁盘之前,即可以在初始化物理磁盘时采用第二安全证书对所述物理磁盘进行加密。
为加强数据存储的安全性,避免单个物理磁盘被盗带来的可能损失,使用第二安全证书对单个物理磁盘进行加密,使得物理磁盘上的数据脱离分布式存储系统后不具有可读取性,在没有获得与第二安全证书对应的授权证书的情况下不能进行逆向解密。
本发明实施例在分布式存储中内置了安全证书服务器,可对分布式存储中的准备加入存储资源池中的物理磁盘启用加密。安全证书服务器默认采用AES等国际通用加密算法进行加密,并提供国密SM4加密算法的技术支持能力。在初始化物理磁盘时,可以先申请安全证书对物理磁盘进行加密。作为一个具体的实施例,在初始化磁盘时使用如下命令完成加密:
--dmcrypt dmcrypt_key_dir/path/to/dmcrypt-keys
作为本发明的另一个实施例,当用户完全使用完云硬盘之后,会将其从用户端的云主机上卸载,并发出销毁命令,云环境将分配给用户端的逻辑磁盘进行回收,并进行彻底清除,具体包括:
云环境接收用户端发送的数据清除申请,清除所述物理磁盘以及所述逻辑磁盘中存储的全部数据。从用户端卸载所述逻辑磁盘,并释放所述逻辑磁盘的存储空间。
云环境中回收的逻辑磁盘要进行彻底删除,确保磁盘不上保留用户的任何可用数据块。本发明实施例在逻辑磁盘回收阶段加入了数据强制清除的支持,将全部数据块置零后再清除,防止意外泄密。
本发明实施例所述一种适用于云环境的多层数据加密方法,针对现有云计算环境下云共享模式所带来的数据安全挑战入手,设计了云操作系统中的完善的数据安全防护机制;提供了用户数据在云环境中从物理磁盘上的原始数据,向上到逻辑磁盘的加密以及增强性的安全防护,再到用户对于逻辑磁盘的访问控制的多层防护体系;在任意一层被攻破的情况下,都有相应机制保证泄密的数据不可读,不能进行逆向解密,从而保证用户数据的安全;相比于云环境中传统的安全解决方案,能够满足高安全等级云平台的数据安全设计要求;此外,在云环境的数据安全解决方案中,增加了对国密加密算法的支持,符合国家对于信息化系统安全的相关要求。
另一方面,本发明实施例还公开了一种适用于云环境的多层数据加密装置。附图2为本发明实施例一种适用于云环境的多层数据加密装置的结构示意图。所述适用于云环境的多层数据加密装置具体包括:
接收模块10,用于接收用户端发出的云硬盘申请,并验证所述用户端是否具有操作权限。
优选的,所述接收模块10还用于实现:解析所述云硬盘申请,获取所述用户端的授权证书;判断所述授权证书与所述云环境预先设置的认证证书是否匹配;若匹配,则所述用户端具有操作权限。
生成模块11,用于当所述用户端具有操作权限时,根据所述云硬盘申请生成逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端。
优选的,所述生成模块11还用于实现:从所述云环境的数据存储池中划分符合所述云硬盘申请条件的所述逻辑磁盘;采用第一安全证书对所述逻辑磁盘进行加密;将加密后的所述逻辑磁盘挂载给计算虚拟化主机,其中所述计算虚拟化主机为云环境中使用虚拟化技术将计算能力进行虚拟化管理的物理服务器;所述计算虚拟化主机获取与所述第一安全证书对应的第一授权证书,使用所述第一授权证书对加密后的所述逻辑磁盘解密得到所述逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端。
写入模块12,用于将所述逻辑磁盘格式化后向所述逻辑磁盘中写入数据,同时向所述逻辑磁盘对应的多个物理磁盘发出所述数据的写入请求。
存储模块13,用于将所述数据分割成多个数据块离散化随机存储到多个所述的物理磁盘中。
优选的,所述适用于云环境的多层数据加密装置还包括物理磁盘加密模块14,用于在将所述数据分割成数据块离散化随机存储到多个所述物理磁盘中之后,采用第二安全证书对所述物理磁盘进行加密。
优选的,所述适用于云环境的多层数据加密装置还包括回收模块15,用于当云环境接收用户端发送的数据清除申请,清除所述物理磁盘以及所述逻辑磁盘中存储的全部数据;从用户端卸载所述逻辑磁盘,并释放所述逻辑磁盘的存储空间。
上述实施例的装置用于实现前述实施例中相应的适用于云环境的多层数据加密,并且具有相应的方法实施例的有益效果,在此不再赘述。
又一方面,本发明实施例还公开了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述方法实施例中所述的种适用于云环境的多层数据加密方法。
上述实施例的装置用于实现前述实施例中相应的适用于云环境的多层数据加密,并且具有相应的方法实施例的有益效果,在此不再赘述。
最后,本发明实施例公开了一种适用于云环境的多层数据加密系统,包括用户端、云端,还包括:如前述实施例所述的适用于云环境的多层数据加密装置;或,如前述实施例所述的计算机设备。
上述实施例的装置用于实现前述实施例中相应的适用于云环境的多层数据加密,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种适用于云环境的多层数据加密方法,其特征在于,包括:
接收用户端发出的云硬盘申请,并验证所述用户端是否具有操作权限;
当所述用户端具有操作权限时,根据所述云硬盘申请生成逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端;
将所述逻辑磁盘格式化后向所述逻辑磁盘中写入数据,同时向所述逻辑磁盘对应的多个物理磁盘发出所述数据的写入请求;
将所述数据分割成多个数据块离散化随机存储到多个所述的物理磁盘中;
其中,所述根据所述云硬盘申请生成逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端,包括:
从所述云环境的数据存储池中划分符合所述云硬盘申请条件的所述逻辑磁盘;
采用第一安全证书对所述逻辑磁盘进行加密;
将加密后的所述逻辑磁盘挂载给计算虚拟化主机,所述计算虚拟化主机为云环境中使用虚拟化技术将计算能力进行虚拟化管理的物理服务器;
所述计算虚拟化主机获取与所述第一安全证书对应的第一授权证书,使用所述第一授权证书对加密后的所述逻辑磁盘解密得到所述逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端;
所述将所述数据分割成数据块离散化随机存储到多个所述物理磁盘中之后,采用第二安全证书对所述物理磁盘进行加密。
2.根据权利要求1所述的适用于云环境的多层数据加密方法,其特征在于,所述将所述数据分割成数据块离散化随机存储到多个所述物理磁盘中,包括:
采用条带化技术将所述物理磁盘的存储空间划分为多个数据块空间,同时将所述数据分割成多个数据块,将多个所述的数据块随机存储于所述物理磁盘的多个所述的数据块空间中;
采用多副本技术将所述数据的多个副本存储在至少两个所述物理磁盘中;
采用纠删码技术对所述数据块进行存储。
3.根据权利要求1所述的适用于云环境的多层数据加密方法,其特征在于,适用于云环境的多层数据加密方法还包括:
接收用户端发送的数据清除申请,清除所述物理磁盘以及所述逻辑磁盘中存储的所述数据;
从用户端卸载所述逻辑磁盘,并释放所述逻辑磁盘的存储空间。
4.根据权利要求1所述的适用于云环境的多层数据加密方法,其特征在于,所述验证所述用户端是否具有操作权限,包括:
解析所述云硬盘申请,获取所述用户端的第三授权证书;
判断所述第三授权证书与所述云环境预先设置的认证证书是否匹配;
若匹配,则所述用户端具有操作权限。
5.根据权利要求1所述的适用于云环境的多层数据加密方法,其特征在于,所述将所述数据分割成多个数据块离散化随机存储到多个所述的物理磁盘中,包括:采用改进的增强性哈希算法保证所述数据块在存储时的离散性;所述增强性哈希算法包括在标准的离散算法的基础上通过引入随机因子。
6.一种适用于云环境的多层数据加密装置,其特征在于,包括:
接收模块,用于接收用户端发出的云硬盘申请,并验证所述用户端是否具有操作权限;
生成模块,用于当所述用户端具有操作权限时,根据所述云硬盘申请生成逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端;
写入模块,用于将所述逻辑磁盘格式化后向所述逻辑磁盘中写入数据,同时向所述逻辑磁盘对应的多个物理磁盘发出所述数据的写入请求;
存储模块,用于将所述数据分割成多个数据块离散化随机存储到多个所述的物理磁盘中;
其中,所述根据所述云硬盘申请生成逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端,包括:
从所述云环境的数据存储池中划分符合所述云硬盘申请条件的所述逻辑磁盘;
采用第一安全证书对所述逻辑磁盘进行加密;
将加密后的所述逻辑磁盘挂载给计算虚拟化主机,所述计算虚拟化主机为云环境中使用虚拟化技术将计算能力进行虚拟化管理的物理服务器;
所述计算虚拟化主机获取与所述第一安全证书对应的第一授权证书,使用所述第一授权证书对加密后的所述逻辑磁盘解密得到所述逻辑磁盘,并将所述逻辑磁盘挂载给所述用户端;
所述将所述数据分割成数据块离散化随机存储到多个所述物理磁盘中之后,采用第二安全证书对所述物理磁盘进行加密。
7.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任意一项所述的方法。
8.一种适用于云环境的多层数据加密系统,包括用户端、云端,其特征在于,还包括:如权利要求6所述的适用于云环境的多层数据加密装置;或,如权利要求7所述的计算机设备。
CN201710698743.4A 2017-08-15 2017-08-15 适用于云环境的多层数据加密方法、装置、设备及系统 Active CN107590395B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710698743.4A CN107590395B (zh) 2017-08-15 2017-08-15 适用于云环境的多层数据加密方法、装置、设备及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710698743.4A CN107590395B (zh) 2017-08-15 2017-08-15 适用于云环境的多层数据加密方法、装置、设备及系统

Publications (2)

Publication Number Publication Date
CN107590395A CN107590395A (zh) 2018-01-16
CN107590395B true CN107590395B (zh) 2020-06-02

Family

ID=61042433

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710698743.4A Active CN107590395B (zh) 2017-08-15 2017-08-15 适用于云环境的多层数据加密方法、装置、设备及系统

Country Status (1)

Country Link
CN (1) CN107590395B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108733323B (zh) * 2018-05-24 2021-12-21 云宏信息科技股份有限公司 数据盘自助格式化方法及装置
CN109032799A (zh) * 2018-07-25 2018-12-18 郑州云海信息技术有限公司 存储资源管理方法、装置、设备及可读存储介质
CN108958666A (zh) * 2018-07-26 2018-12-07 浪潮电子信息产业股份有限公司 一种数据处理方法及主控芯片
CN110837479B (zh) * 2018-08-17 2023-09-01 华为云计算技术有限公司 数据处理方法、相关设备及计算机存储介质
CN110515539B (zh) * 2019-07-22 2022-05-17 平安科技(深圳)有限公司 基于云存储的云磁盘挂载方法、装置、设备和存储介质
CN110795033A (zh) * 2019-10-18 2020-02-14 苏州浪潮智能科技有限公司 一种存储管理方法、系统、电子设备及存储介质
CN112532577B (zh) * 2020-10-22 2022-12-27 苏州浪潮智能科技有限公司 一种镜像创建云硬盘证书校验方法、装置及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103577763A (zh) * 2012-07-24 2014-02-12 鸿富锦精密工业(深圳)有限公司 具数据保护功能的移动终端设备及数据保护方法
CN106453384B (zh) * 2016-11-09 2023-05-16 鹤荣育 一种安全云盘系统及其安全加密方法

Also Published As

Publication number Publication date
CN107590395A (zh) 2018-01-16

Similar Documents

Publication Publication Date Title
CN107590395B (zh) 适用于云环境的多层数据加密方法、装置、设备及系统
US11368299B2 (en) Self-encryption drive (SED)
TWI540453B (zh) 以區段映射表為基礎之快速資料加密策略順從
JP5281074B2 (ja) 情報セキュリティ装置および情報セキュリティシステム
CN102855452B (zh) 基于加密组块的快速数据加密策略遵从
EP3103048B1 (en) Content item encryption on mobile devices
WO2021164166A1 (zh) 一种业务数据保护方法、装置、设备及可读存储介质
JP2008257691A (ja) ストレージデバイスのデータ暗号化およびデータアクセスのシステムおよび方法
US9071581B2 (en) Secure storage with SCSI storage devices
KR20110055510A (ko) 보안 저장 장치에 저장된 디지털 컨텐츠의 백업
JP2008072717A (ja) 埋込認証を有するハードディスク・ストリーミング暗号操作
US20180260151A1 (en) Data Storage Device and Operating Method Therefor
US10346319B1 (en) Separate cryptographic keys for protecting different operations on data
US9935768B2 (en) Processors including key management circuits and methods of operating key management circuits
US10733306B2 (en) Write-only limited-read filesystem
KR20120007012A (ko) 콘텐츠의 적응적 보호를 위한 메모리 장치 및 방법
US11423182B2 (en) Storage device providing function of securely discarding data and operating method thereof
KR101203804B1 (ko) 보안 이동형 저장장치 및 그 제어 방법
TWI789291B (zh) 用於認證在儲存裝置和主機裝置之間的資料傳輸之模組和方法
US20220123932A1 (en) Data storage device encryption
CN114064525A (zh) 存储器系统、存储器系统的控制方法以及信息处理系统
CN105512575A (zh) 云平台虚拟磁盘加密方法及系统
CN112784321A (zh) 磁盘资安系统
Jung Study on the Design and Implementation of Secure USB Platform via Virtual Disk

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant after: STATE GRID CORPORATION OF CHINA

Applicant after: BEIJING GUODIANTONG NETWORK TECHNOLOGY Co.,Ltd.

Applicant after: State Grid Shaanxi Electric Power Company Information and Communication Co.

Applicant after: ELECTRIC POWER SCIENCE INSTITUTE, STATE GRID SHANGHAI ELECTRIC POWER Co.

Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant before: State Grid Corporation of China

Applicant before: BEIJING GUODIANTONG NETWORK TECHNOLOGY Co.,Ltd.

Applicant before: State Grid Shaanxi Electric Power Company Information and Communication Co.

Applicant before: ELECTRIC POWER SCIENCE INSTITUTE, STATE GRID SHANGHAI ELECTRIC POWER Co.

CB02 Change of applicant information
TA01 Transfer of patent application right

Effective date of registration: 20190712

Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant after: STATE GRID CORPORATION OF CHINA

Applicant after: BEIJING CHINA POWER INFORMATION TECHNOLOGY Co.,Ltd.

Applicant after: State Grid Shaanxi Electric Power Company Information and Communication Co.

Applicant after: ELECTRIC POWER SCIENCE INSTITUTE, STATE GRID SHANGHAI ELECTRIC POWER Co.

Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant before: State Grid Corporation of China

Applicant before: BEIJING GUODIANTONG NETWORK TECHNOLOGY Co.,Ltd.

Applicant before: State Grid Shaanxi Electric Power Company Information and Communication Co.

Applicant before: ELECTRIC POWER SCIENCE INSTITUTE, STATE GRID SHANGHAI ELECTRIC POWER Co.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20200908

Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Co-patentee after: BEIJING CHINA POWER INFORMATION TECHNOLOGY Co.,Ltd.

Patentee after: STATE GRID CORPORATION OF CHINA

Co-patentee after: State Grid Shaanxi Electric Power Company Information and Communication Co.

Co-patentee after: ELECTRIC POWER SCIENCE INSTITUTE, STATE GRID SHANGHAI ELECTRIC POWER Co.

Co-patentee after: STATE GRID SIJI NETWORK SECURITY (BEIJING) Co.,Ltd.

Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Co-patentee before: BEIJING CHINA POWER INFORMATION TECHNOLOGY Co.,Ltd.

Patentee before: STATE GRID CORPORATION OF CHINA

Co-patentee before: State Grid Shaanxi Electric Power Company Information and Communication Co.

Co-patentee before: ELECTRIC POWER SCIENCE INSTITUTE, STATE GRID SHANGHAI ELECTRIC POWER Co.

TR01 Transfer of patent right