CN107749862A - 一种数据加密集中存储方法、服务器、用户终端及系统 - Google Patents
一种数据加密集中存储方法、服务器、用户终端及系统 Download PDFInfo
- Publication number
- CN107749862A CN107749862A CN201711182544.4A CN201711182544A CN107749862A CN 107749862 A CN107749862 A CN 107749862A CN 201711182544 A CN201711182544 A CN 201711182544A CN 107749862 A CN107749862 A CN 107749862A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- data
- server
- data key
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种数据加密集中存储方法、服务器、用户终端及系统,其中所述方法包括:根据用户空间映射表,将分配给用户终端的存储空间进行网络映射至用户终端,在所述用户终端映射形成网络映射存储空间,以供所述用户终端通过所述网络映射存储空间对数据进行存储或读取操作;根据所述用户终端对应的数据密钥,加密所述用户终端请求存储的数据,并存储加密后的数据;或者,根据所述用户终端对应的数据密钥,解密所述用户终端请求读取的数据,并读取解密后的数据。本发明通过硬件加密的方式实现了数据的加密集中存储,所有用户通过终端接入,终端不进行本地数据存储而是将数据全部存储在服务器上,提高了数据的可靠性,可以有效保证数据安全。
Description
技术领域
本发明涉及数据存储领域,更具体地,涉及一种数据加密集中存储方法、服务器、用户终端及系统。
背景技术
随着我国信息化发展进程加快,信息化覆盖面扩大,信息安全问题也随之增多,数据存储和保护的需求与日俱增。目前,主要的数据存储方式有:1)本地硬盘存储方式;2)远程集中存储方式。
在采用本地硬盘存储方式进行数据存储时,经常会出现由于终端设备内存空间有限,数据无法存储或存储缓慢的问题,并且还会影响终端设备的运行速度。同时,对于采用本地硬盘存储方式的终端设备,由于每个终端的硬盘上均存有大量的数据,终端间的数据传输、终端设备本身的使用,都极易遭受到病毒攻击,对于军工企业等数据安全等级要求高的企业,采用终端本地硬盘存储数据是非常不安全的,越来越多的企业开始采用集中存储方式对数据进行存储。在采用集中存储方式存储数据时,本地终端设备由于不用于本地数据存储,从而可以减轻终端设备的运行负担,同时集中存储的方式,更加便于数据管理和使用。
但是在采用集中存储方式存储数据时,如何保证数据存储的安全性和可靠性,使得数据既便于管理又能防止泄密成为亟待解决的问题。
发明内容
为了解决现有数据集中存储方式所存在的安全性和可靠性问题,本发明提供一种数据加密集中存储方法、服务器、用户终端及系统。
根据本发明的一个方面,提供一种数据加密集中存储方法,包括:
S1,根据服务器存储的用户空间映射表,将所述服务器分配给用户终端的存储空间进行网络映射至用户终端,在所述用户终端映射形成网络映射存储空间,以供所述用户终端通过所述网络映射存储空间对数据进行存储或读取操作;
S2,根据所述服务器存储的所述用户终端对应的数据密钥,加密所述用户终端请求存储的数据,并存储加密后的数据;或者,
根据所述服务器存储的所述用户终端对应的数据密钥,解密所述用户终端请求读取的数据,并读取解密后的数据。
其中,所述步骤S1之前,还包括:
从所述用户终端获取所述用户终端中存储的第一数据密钥,生成所述用户终端对应的数据密钥存储于所述服务器中。
其中,所述生成所述用户终端对应的数据密钥存储于所述服务器中的步骤进一步包括:
获取存储于所述服务器中的所述用户终端对应的第二数据密钥;
根据所述第一数据密钥与第二数据密钥,生成所述用户终端对应的数据密钥并存储于所述服务器中。
其中,从所述用户终端获取所述用户终端中存储的第一数据密钥的步骤之前,还包括:
S0,获取用户终端的用户身份信息,根据所述用户身份信息对所述用户终端进行身份认证。
其中,所述步骤S0之前,还包括:
根据请求注册的用户终端输入的用户身份信息生成所述用户终端对应的数据密钥;
将所述用户终端对应的数据密钥发送至所述请求注册的用户终端进行存储;或者,
将所述用户终端对应的数据密钥分解为第一数据密钥和第二数据密钥,所述第一数据密钥发送至所述请求注册的用户终端进行存储,所述第二数据密钥存储在所述服务器中。
其中,所述步骤S0之前,还包括:
根据请求注册的用户终端输入的用户身份信息,为所述请求注册的用户终端分配存储空间,并将所述存储空间和用户身份信息间的映射关系更新到所述服务器中,生成所述用户空间映射表。
根据本发明的另一个方面,提供一种数据加密集中存储方法,包括:
接收服务器下发的与用户身份信息相对应的数据密钥并将所述数据密钥进行存储;
向所述服务器发送携带有用户身份信息的身份认证请求;
将存储的所述数据密钥发送给服务器,以供服务器获取用户终端对应的数据密钥;
通过服务器在用户终端映射形成的网络映射存储空间进行数据存储或读取操作。
根据本发明的另一个方面,提供一种服务器,包括:加密存储硬件,第一处理器和第一总线;
所述第一处理器和加密存储硬件通过所述第一总线完成相互间的通信;
所述加密存储硬件中存储有可被所述第一处理器执行的存储管理程序,所述第一处理器调用所述存储管理程序,以执行如上所述的数据加密集中存储方法。
其中,所述加密存储硬件包括:第一硬盘和加密芯片,
所述第一硬盘,用于存储所述用户终端对应的数据密钥、用户空间映射表,以及所述存储管理程序;
所述加密芯片与所述第一硬盘连接,用于响应所述用户终端的数据读写操作请求,对所述用户终端请求存储至所述第一硬盘的数据进行加密,或者,对所述用户终端请求从所述第一硬盘中读取的数据进行解密。
其中,所述第一硬盘包括:主控芯片和存储芯片,所述主控芯片与所述加密芯片连接;
所述主控芯片,用于接收所述处理器传送的数据操作指令并将所述数据操作指令传送给所述存储芯片;
所述存储芯片,用于根据接收的所述数据操作指令的逻辑地址确定所述数据操作指令对应的用户终端的第二数据密钥,并发送至所述加密芯片;相应地,
所述加密芯片还用于:
将所述第二数据密钥与获取的预先存储在所述用户终端中的第一数据密钥进行合成以生成用户终端对应的数据密钥。
根据本发明的另一个方面,提供一种用户终端,包括:用户身份UKey,所述用户身份UKey用于存储用户身份信息、与所述用户身份信息相对应的数据密钥以及可被调用的程序指令,所述用户身份UKey调用所述程序指令以执行如上所述的数据加密集中存储方法。
根据本发明的另一个方面,提供一种用户终端,包括:存储器、第二处理器和第二总线,所述第二处理器和存储器通过所述第二总线完成相互间的通信;
所述存储器存储有用户身份信息、与所述用户身份信息相对应的数据密钥和可被所述第二处理器执行的程序指令,所述第二处理器调用所述存储器中的程序指令,以执行如上所述的数据加密集中存储方法。
根据本发明的又一个方面,提供一种数据加密集中存储系统,包括:如上所述的服务器和至少一个如上所述的用户终端。
本发明提出的一种数据加密集中存储方法、服务器、用户终端及系统,通过集中存储数据的方式,所有的用户终端通过网络映射存储空间进行数据的存储或读取操作,其用户终端本地不进行数据存储,数据全部集中存储在服务器上,所有的数据操作均是通过服务器处理的,更好的实现了数据的集中化管理,保证了数据存储的安全性和高效性,有效减轻了用户终端数据运行的负担,更加有利于对数据的使用和管理;同时,通过设置的加密芯片以及数据密钥的分开存储,提高了数据的可靠性,有效地保证了服务器中所存储数据的安全性,服务器中所有的数据操作均需要经过加密芯片,保证了数据操作的安全性和稳定性。
附图说明
图1为本发明一实施例提供的一种数据加密集中存储方法的流程示意图;
图2为根据本发明另一实施例提供的一种数据加密集中存储方法的流程示意图;
图3为根据本发明另一实施例提供的一种服务器的结构示意图;
图4为根据本发明另一实施例提供的加密存储硬件的结构示意图;
图5为根据本发明另一实施例提供的加密存储硬件的结构示意图;
图6为根据本发明另一实施例提供的写数据命令的数据流向示意图;
图7为根据本发明另一实施例提供的一种用户终端的结构示意图;
图8为根据本发明另一实施例提供的一种用户终端的结构示意图;
图9为根据本发明又一实施例提供的一种数据加密集中存储系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他的实施例,都属于本发明保护的范围。
如图1所示,为本发明一实施例提供的一种数据加密集中存储方法的流程示意图,包括:
S1,根据服务器存储的用户空间映射表,将所述服务器分配给用户终端的存储空间进行网络映射至用户终端,在所述用户终端映射形成网络映射存储空间,以供所述用户终端通过所述网络映射存储空间对数据进行存储或读取操作;
S2,根据所述服务器存储的所述用户终端对应的数据密钥,加密所述用户终端请求存储的数据,并存储加密后的数据;或者,
根据所述服务器存储的所述用户终端对应的数据密钥,解密所述用户终端请求读取的数据,并读取解密后的数据。
具体地,S1中,用户空间映射表用于表示用户终端的用户身份信息与服务器预先分配给用户终端的存储空间之间的映射关系,当服务器获知了用户终端的用户身份信息之后,就可以通过查询所述用户空间映射表获得服务器预先为该用户终端分配的存储空间,并将所述存储空间通过网络映射至用户终端本地,生成网络映射存储空间。用户终端通过所述网络映射存储空间进行数据的存储或读取操作,实现了用户终端在本地进行数据的存储或读取操作,却不在本地存储任何数据,所有数据均存储在服务器中。
S2中,服务器中还存储有用户终端对应的数据密钥,当服务器接到用户终端发送的数据存储或读取命令时,通过该数据密钥对用户终端请求存储的数据进行加密后存储,或者,通过该数据密钥对用户终端请求读取的数据进行解密后读出,从而保证了数据存储的安全。
本发明实施例提供的一种数据加密集中存储方法,终端设备通过网络映射存储空间进行数据的存储或读取操作,本地不进行数据存储,数据全部加密集中存储在服务器上,提高了数据的可靠性,可以有效保证数据安全,并且可以减轻终端设备的运行负担,同时集中加密存储的方式,更加便于数据的管理和使用。
本发明另一实施例,在上述实施例的基础上,所述步骤S1之前,还包括:
从所述用户终端获取所述用户终端中存储的第一数据密钥,生成所述用户终端对应的数据密钥存储于所述服务器中。
具体地,为了实现对数据的加密存储,需要服务器预先获知用户终端所对应的数据密钥,而该数据密钥的获取方式为:服务器首先从所述用户终端获取所述用户终端中存储的第一数据密钥,然后生成所述用户终端对应的数据密钥存储于所述服务器中。
本发明实施例中用户终端中存储的第一数据密钥即为该用户终端最终所对应的数据密钥,服务器根据该数据密钥对用户终端请求存储的数据进行加密或对用户终端请求读取的数据进行解密,只要用户终端所对应的数据密钥不能够被获取,就可让数据变成不可读取的状态,保证了数据的安全性,这种加密集中存储方法既方便数据管理又能有效防止泄密,极大地提高了数据存储的可靠性和安全性。
本发明另一实施例,在上述实施例的基础上,所述生成所述用户终端对应的数据密钥存储于所述服务器中的步骤进一步包括:
获取存储于所述服务器中的所述用户终端对应的第二数据密钥;
根据所述第一数据密钥与第二数据密钥,生成所述用户终端对应的数据密钥并存储于所述服务器中。
具体地,本发明实施例中用户终端所对应的数据密钥由两个部分组成,一部分存储于用户终端中,另一部分存储于服务器中,服务器首先获取所述用户终端中存储的第一数据密钥,然后从本地获取该用户终端所对应的第二数据密钥,并将所述第一数据密钥与第二数据密钥进行合成后存储,合成后的数据密钥即为该用户终端所对应的数据密钥。
本发明实施例提供的一种数据加密集中存储方法,服务器需要将从用户终端获取的一部分数据密钥与其本地存储的该用户终端所对应的另一部分密钥进行合成后获得数据密钥,然后根据该数据密钥对用户请求存储或读取的数据进行加密或解密,由于终端设备所对应的数据密钥获取方式更加复杂,从而进一步地提升了数据操作的安全性和可靠性。
基于上述各实施例,从所述用户终端获取所述用户终端中存储的第一数据密钥的步骤之前,还包括:
S0,获取用户终端的用户身份信息,根据所述用户身份信息对所述用户终端进行身份认证。
具体地,只有合法用户终端才能够对数据进行操作,因此,在用户终端接入服务器时,需要对用户终端进行身份认证。当需要对用户进行身份认证时,服务器首先会判断是否接受到用户终端发送的身份认证请求,若服务器接收到用户终端发送的身份认证请求,则根据身份认证请求中所携带的用户身份信息对所述用户终端进行身份认证。身份认证的具体过程为:根据所述用户身份信息查询该用户终端是否已经进行过注册,若该用户终端已经注册过,则可以判断获知该用户终端是合法用户,身份认证通过。
只有在用户终端身份认证合格后,服务器才会获得用户终端所对应的数据密钥,服务器中存储的数据才会变成可操作的状态。
基于上述各实施例,所述步骤S0之前,还包括:
根据请求注册的用户终端输入的用户身份信息生成所述用户终端对应的数据密钥;
将所述用户终端对应的数据密钥发送至所述请求注册的用户终端进行存储;或者,
将所述用户终端对应的数据密钥分解为第一数据密钥和第二数据密钥,所述第一数据密钥发送至所述请求注册的用户终端进行存储,所述第二数据密钥存储在所述服务器中。
具体地,只有合法用户终端才能够对数据进行操作,因此在用户终端接入服务器之前,需要对用户终端进行注册使之成为合法用户。注册的具体过程如下:当服务器接收到用户终端的注册请求时,会提示用户输入身份信息,服务器根据用户输入的身份信息,通过密钥生成工具生成该用户终端对应的数据密钥,对所述用户终端所对应的数据密钥有两种方式进行保存:1)直接将密钥生成工具所生成的数据密钥发送至请求注册的用户终端进行存储;2)将密钥生成工具所生成的用户密钥分为两部分进行存储,一部分发送至用户终端中存储,一部分存储在服务器本地。
基于上述各实施例,所述步骤S0之前,还包括:
根据请求注册的用户终端输入的用户身份信息,为所述请求注册的用户终端分配存储空间,并将所述存储空间和用户身份信息间的映射关系更新到所述服务器中,生成所述用户空间映射表。
具体地,服务器按照物理分配的方式预先为注册用户终端分配好存储空间,将磁盘按照一定的单元首先划分成多个小磁盘空间,例如把10T硬盘,按照10G单元,划分为1000个小磁盘空间,然后为用户终端分配N个小磁盘空间,若用户要100G,则分配10个小磁盘空间,成为一个100G的用户磁盘;每当注册一个用户终端时,服务器就会为该用户终端分配磁盘空间,并将该用户终端的身份信息与磁盘空间的对应关系进行保存,每当一个用户终端进行了注册,就更新一次用户空间映射表,最终生成了反映所有注册用户终端与存储空间间的对应关系的用户空间映射表。当获知用户终端的身份信息之后,通过查询用户空间映射表就可以获得服务器为该用户终端分配的磁盘空间。
基于上述各实施例,在所述步骤S2之后,还包括:
当接收到用户终端的注销请求时,将所述用户身份信息、所述用户终端所对应的存储空间、所述第二数据密钥、所述存储空间和用户身份信息间的映射关系进行擦除,并擦除所述用户终端所对应的数据密钥。
即当服务器接收到用户终端的注销请求时,会将该用户终端的相关信息全部擦除,以保证数据安全,并释放磁盘存储空间。服务器中存储的该用户终端的相关信息包括:用户身份信息、该用户终端所对应的存储空间、该用户终端所对应的第二数据密钥、所述存储空间和用户身份信息间的映射关系以及该用户终端所对应的数据密钥。
本发明实施例所提供的一种数据加密集中存储方法,通过对用户注销进行管理,进一步地提升了数据安全。
如图2所示,为本发明另一实施例提供的一种数据加密集中存储方法的流程示意图,包括:
S21,接收服务器下发的与用户身份信息相对应的数据密钥并将所述数据密钥进行存储;
S22,向所述服务器发送携带有用户身份信息的身份认证请求;
S23,将存储的所述数据密钥发送给服务器,以供服务器获取用户终端对应的数据密钥;
S24,通过服务器在用户终端映射形成的网络映射存储空间进行数据存储或读取操作。
具体地,用户终端接收服务器下发的与用户身份信息相对应的数据密钥并将所述数据密钥进行存储,然后当需要进行数据操作时,向所述服务器发送携带有用户身份信息的身份认证请求,在身份认证通过后,将本地存储的所述数据密钥发送给服务器,以供服务器获取用户终端对应的数据密钥,最后,通过服务器在用户终端映射形成的网络映射存储空间进行数据存储或读取操作。
本发明实施例所提供的数据加密集中存储方法,用户终端中存储有与其身份信息相对应的数据密钥,并通过本地的网络映射存储空间对数据进行操作不进行本地数据存储,数据全部加密集中存储在服务器上,提高了数据的可靠性,可以有效保证数据安全。
如图3所示,为本发明另一实施例提供的一种服务器的结构示意图,包括:加密存储硬件1,第一处理器2和第一总线3;
所述第一处理器2和加密存储硬件1通过所述第一总线3完成相互间的通信;
所述加密存储硬件1中存储有可被所述处理器执行的存储管理程序,所述第一处理器2调用所述存储管理程序,以执行如上述各实施例所述的数据加密集中存储方法,例如包括:S1,根据服务器存储的用户空间映射表,将所述服务器分配给用户终端的存储空间进行网络映射至用户终端,在所述用户终端映射形成网络映射存储空间,以供所述用户终端通过所述网络映射存储空间对数据进行存储或读取操作;S2,根据所述服务器存储的所述用户终端对应的数据密钥,加密所述用户终端请求存储的数据,并存储加密后的数据;或者,根据所述服务器存储的所述用户终端对应的数据密钥,解密所述用户终端请求读取的数据,并读取解密后的数据。
基于上述实施例,所述加密存储硬件1包括:第一硬盘和加密芯片,
所述第一硬盘,用于存储所述用户终端对应的数据密钥、用户空间映射表,以及所述存储管理程序;
所述加密芯片与所述第一硬盘连接,用于响应所述用户终端的数据读写操作请求,对所述用户终端请求存储至所述第一硬盘的数据进行加密,或,对所述用户终端请求从所述第一硬盘中读取的数据进行解密。
具体地,加密存储硬件为在现有固态硬盘或机械硬盘的基础上增加了加密芯片,即采用硬件加密方式,对用户终端请求的数据进行加密或解密,提高了数据可靠性,保证了数据安全。
基于上述实施例,如图4所示,加密存储硬件1具体包括:第一硬盘21和加密芯片22,
其中,所述第一硬盘21包括主控芯片211和存储芯片212,
所述主控芯片211通过SATA接口接收所述第一处理器2传送的数据操作指令并将所述数据操作指令传送给所述存储芯片212;
所述存储芯片212则根据所接收到的数据操作指令的逻辑地址确定所述数据操作指令对应的用户终端的用户身份信息,并读取所述用户身份信息所对应的第二数据密钥后发送给加密芯片22;
所述加密芯片22设置于所述第一硬盘21中,通过集成在所述加密芯片22内部的MMC接口与所述第一硬盘的主控芯片211连接,所述加密芯片22除了用于响应所述用户终端的数据读写操作请求,对所述用户终端请求存储至所述第一硬盘的数据进行加密,或,对所述用户终端请求从所述第一硬盘中读取的数据进行解密,还用于:
将所述第二数据密钥与所获取到的预先存储在所述用户终端中的第一数据密钥进行合成以生成用户终端对应的数据密钥,并根据合成后的数据密钥对用户请求的数据进行加密或解密。
本实施中的加密存储硬件1为SATA固态硬盘,通过MMC接口在现有固态硬盘的主控芯片上连接加密芯片,将加密芯片设置在固态硬盘中,所述第一硬盘21即为现有固态硬盘。数据操作命令包括:读数据命令和写数据命令。另外,在上述结构的基础上,若加USB-SATA桥接芯片,所述加密存储硬件1还可直接实现加密USB移动硬盘的功能。数据在读写过程中的加密和解密全部由加密存储硬件1的加密芯片22完成,具有速度快、可靠性高的优点。
加密存储硬件的结构还有如图5所示的实现方式,加密存储硬件1具体包括:第二硬盘31、加密芯片22和SATA-SATA桥接芯片33,其中,所述加密芯片22位于所述第二硬盘31外,通过SATA-SATA桥接芯片33与所述第二硬盘31连接,实现了独立的加密桥。所述第二硬盘31可以是固态硬盘,也可以是机械硬盘,使得传统的机械硬盘和固态硬盘均可作为加密存储硬件使用。
图4和图5两种实现方案下的加密存储硬件所实现的功能是相同的,即实现数据的加密存储,所有对数据的操作都需经过加密芯片的处理。下面以图4的加密存储硬件结构为例,结合数据的读写过程对加密存储硬件的处理过程进行详细说明。
用户请求存储数据:第一处理器2通过SATA接口发送写数据命令给加密存储硬件1;主控芯片211接收到写数据命令,将该写数据命令发送给存储芯片212;存储芯片212接受到写数据命令,先把用户请求存储的数据写入加密芯片22的缓冲区中,并根据所述写数据命令的逻辑地址确认用户终端的用户身份信息,读取该用户终端所对应的第二数据密钥发送至加密芯片22的缓冲区中;加密芯片22根据所述第二数据密钥,和第一处理器2发送给加密芯片22的预先存储在用户终端上的第一数据密钥,进行密钥合成,并根据合成后的数据密钥对用户请求存储的数据进行加密;存储芯片212再将加密后的用户请求的数据进行存储。如图6所示,为写数据命令的数据流向示意图,图6中的虚箭头表示一次写数据命令的数据流向过程。
用户请求读取数据:第一处理器2发送读数据命令至加密存储硬件1,主控芯片211接收到该读数据命令将其发送至存储芯片212;存储芯片212在接收到读数据命令后,将用户请求读取的数据取出发送至加密芯片22的缓冲区中,然后根据该读数据命令的逻辑地址确定用户终端的用户身份信息,读取该用户所终端所对应的第二数据密钥发送至加密芯片22的缓冲区中,由加密芯片22根据所述第二数据密钥和第一处理器2发送的预先存储在所述用户终端上的第一数据密钥进行密钥合成,再根据合成后的数据密钥对用户请求读取的数据进行解密;然后存储芯片212将解密后的数据从加密芯片22读出,传送给第一处理器2,第一处理器2将解密后的数据通过网络映射存储空间映射至用户终端。
本发明实施例所提供的一种服务器,其存储硬件在现有固态硬盘或机械硬盘的基础上增加了加密芯片,通过硬件加密的方式实现了对数据的加密操作,极大地提高了数据存储的可靠性。
如图7所示,为本发明另一实施例提供一种的用户终端,包括:用户身份UKey 71,所述用户身份UKey 71用于存储用户身份信息、与所述用户身份信息相对应的数据密钥以及可被调用的程序指令,所述用户身份UKey 71调用所述程序指令以执行如上所述的数据加密集中存储方法。
具体地,本实施例中用户终端主要由用户身份UKey 71和终端设备72构成。
其中,终端设备72具体可以为一台基于嵌入式Linux或Windows的终端设备,其硬件配置远低于一台普通PC,由显示器、键盘、鼠标、CPU、RAM、DOM(Disk On Module)和网卡组成。可以采用瘦客户机方案,本地有一个小的固态硬盘,用于安装操作系统(可以是windows或者linux,以及国产操作系统)和应用软件(如办公软件,专业软件等),用户只执行系统及固定的应用。
所述用户身份UKey 71通过USB接口与所述终端设备相连,用于存储用户身份信息和与所述用户身份信息相对应的数据密钥,从图7中可以获知,用户身份Ukey 71主要由控制芯片和存储芯片构成,用户的身份信息存放于用户身份Ukey 71的存储芯片中,并可由终端设备72读取。当需要对用户进行身份认证时,终端设备72提请用户插入用户身份UKey 71并读取用户身份UKey 71中存储的用户身份信息,该用户身份信息经过加密处理送往服务器进行认证,即用户身份UKey自动与服务器的存储管理程序进行握手,向所述存储管理程序发送身份认证请求,在服务器端完成解密和认证工作,结果返回给用户所请求的应用服务。
在身份认证通过后,用户身份Ukey 71将存储的与其身份信息相对应的数据密钥发送给服务器,以供服务器将所述数据密钥发送给加密存储硬件的加密芯片。并且,服务器会将分配给所述用户终端的存储空间通过网络映射至用户终端本地,生成网络映射存储空间,以供用户进行数据的存储和读取操作,在用户终端本地不存储任何数据,数据都存储至服务器的加密存储硬件中,从而实现数据的集中存储。
如图8所示,为本发明另一实施例提供的一种用户终端的结构示意图,包括:存储器81、第二处理器82和第二总线83,
所述第二处理器82和存储器81通过所述第二总线83完成相互间的通信;
所述存储器81存储有用户身份信息、与所述用户身份信息相对应的数据密钥和可被所述第二处理器82执行的程序指令,所述第二处理器82调用所述存储器81中的程序指令,以执行如上所述的数据加密集中存储方法,包括:S21,接收服务器下发的与用户身份信息相对应的数据密钥并将所述数据密钥进行存储;S22,向所述服务器发送携带有用户身份信息的身份认证请求;S23,将存储的所述数据密钥发送给服务器,以供服务器获取用户终端对应的数据密钥;S24,通过服务器在用户终端映射形成的网络映射存储空间进行数据存储或读取操作。
如图9所示,为本发明又一实施例提供的一种数据加密集中存储系统的结构示意图,包括:如上所述的服务器91和至少一个如上所述的用户终端92。
其中,所述服务器91和用户终端92同上述各实施例所述,在此不在赘述。在该系统中,用户终端92通过网络访问服务器资源,应用程序运行于服务器91上,服务器91仅将运行结果传递给用户终端92,减轻了网络负载,用户的数据资料全部存储在服务器91上,信息数据实现了集中化存储,也加强了可维护性,用户终端92也可以访问服务器91的其他资源,如打印机、网络通道等,能充分有效的利用设备资源,大大降低了系统软件的维护成本。
本发明实施例所提供的一种数据加密集中存储系统,采用集中存储数据的方式,所有用户通过终端接入,终端设备通过网络映射存储空间进行数据的存储或读取操作,不进行本地数据存储,数据全部加密集中存储在服务器上,提高了数据的可靠性,可以有效保证数据安全,并且可以减轻终端设备的运行负担,同时集中加密存储的方式,更加便于数据的管理和使用。
最后,本发明实施例仅为较佳的实施方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种数据加密集中存储方法,其特征在于,包括:
S1,根据服务器存储的用户空间映射表,将所述服务器分配给用户终端的存储空间进行网络映射至用户终端,在所述用户终端映射形成网络映射存储空间,以供所述用户终端通过所述网络映射存储空间对数据进行存储或读取操作;
S2,根据所述服务器存储的所述用户终端对应的数据密钥,加密所述用户终端请求存储的数据,并存储加密后的数据;或者,
根据所述服务器存储的所述用户终端对应的数据密钥,解密所述用户终端请求读取的数据,并读取解密后的数据。
2.根据权利要求1所述的方法,其特征在于,所述步骤S1之前,还包括:
从所述用户终端获取所述用户终端中存储的第一数据密钥,生成所述用户终端对应的数据密钥存储于所述服务器中。
3.根据权利要求2所述的方法,其特征在于,所述生成所述用户终端对应的数据密钥存储于所述服务器中的步骤进一步包括:
获取存储于所述服务器中的所述用户终端对应的第二数据密钥;
根据所述第一数据密钥与第二数据密钥,生成所述用户终端对应的数据密钥并存储于所述服务器中。
4.根据权利要求2所述的方法,其特征在于,从所述用户终端获取所述用户终端中存储的第一数据密钥的步骤之前,还包括:
S0,获取用户终端的用户身份信息,根据所述用户身份信息对所述用户终端进行身份认证。
5.根据权利要求4所述的方法,其特征在于,所述步骤S0之前,还包括:
根据请求注册的用户终端输入的用户身份信息生成所述用户终端对应的数据密钥;
将所述用户终端对应的数据密钥发送至所述请求注册的用户终端进行存储;或者,
将所述用户终端对应的数据密钥分解为第一数据密钥和第二数据密钥,所述第一数据密钥发送至所述请求注册的用户终端进行存储,所述第二数据密钥存储在所述服务器中。
6.根据权利要求4所述的方法,其特征在于,所述步骤S0之前,还包括:
根据请求注册的用户终端输入的用户身份信息,为所述请求注册的用户终端分配存储空间,并将所述存储空间和用户身份信息间的映射关系更新到所述服务器中,生成所述用户空间映射表。
7.一种数据加密集中存储方法,其特征在于,包括:
接收服务器下发的与用户身份信息相对应的数据密钥并将所述数据密钥进行存储;
向所述服务器发送携带有用户身份信息的身份认证请求;
将存储的所述数据密钥发送给服务器,以供服务器获取用户终端对应的数据密钥;
通过服务器在用户终端映射形成的网络映射存储空间进行数据存储或读取操作。
8.一种服务器,其特征在于,包括:加密存储硬件,第一处理器和第一总线;
所述第一处理器和加密存储硬件通过所述第一总线完成相互间的通信;
所述加密存储硬件中存储有可被所述第一处理器执行的存储管理程序,所述第一处理器调用所述存储管理程序,以执行如权利要求1-6任一所述的方法。
9.根据权利要求8所述的服务器,其特征在于,所述加密存储硬件包括:第一硬盘和加密芯片,
所述第一硬盘,用于存储所述用户终端对应的数据密钥、用户空间映射表,以及所述存储管理程序;
所述加密芯片与所述第一硬盘连接,用于响应所述用户终端的数据读写操作请求,对所述用户终端请求存储至所述第一硬盘的数据进行加密,或者,对所述用户终端请求从所述第一硬盘中读取的数据进行解密。
10.根据权利要求9所述的服务器,其特征在于,所述第一硬盘包括:主控芯片和存储芯片,所述主控芯片与所述加密芯片连接;
所述主控芯片,用于接收所述处理器传送的数据操作指令并将所述数据操作指令传送给所述存储芯片;
所述存储芯片,用于根据接收的所述数据操作指令的逻辑地址确定所述数据操作指令对应的用户终端的第二数据密钥,并发送至所述加密芯片;相应地,
所述加密芯片还用于:
将所述第二数据密钥与获取的预先存储在所述用户终端中的第一数据密钥进行合成以生成用户终端对应的数据密钥。
11.一种用户终端,其特征在于,包括:用户身份UKey,所述用户身份UKey用于存储用户身份信息、与所述用户身份信息相对应的数据密钥以及可被调用的程序指令,所述用户身份UKey调用所述程序指令以执行如权利要求7所述的方法。
12.一种用户终端,其特征在于,包括:存储器、第二处理器和第二总线,所述第二处理器和存储器通过所述第二总线完成相互间的通信;
所述存储器存储有用户身份信息、与所述用户身份信息相对应的数据密钥和可被所述处理器执行的程序指令,所述第二处理器调用所述存储器中的程序指令,以执行如权利要求7所述的方法。
13.一种数据加密集中存储系统,其特征在于,包括:如权利要求9或10所述的服务器和至少一个如权利要求11或12所述的用户终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711182544.4A CN107749862A (zh) | 2017-11-23 | 2017-11-23 | 一种数据加密集中存储方法、服务器、用户终端及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711182544.4A CN107749862A (zh) | 2017-11-23 | 2017-11-23 | 一种数据加密集中存储方法、服务器、用户终端及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107749862A true CN107749862A (zh) | 2018-03-02 |
Family
ID=61252028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711182544.4A Pending CN107749862A (zh) | 2017-11-23 | 2017-11-23 | 一种数据加密集中存储方法、服务器、用户终端及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107749862A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110516457A (zh) * | 2019-08-27 | 2019-11-29 | 上海集成电路研发中心有限公司 | 一种数据存储方法及读取方法、存储设备 |
| CN110750206A (zh) * | 2018-07-24 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及系统 |
| CN112073194A (zh) * | 2020-09-10 | 2020-12-11 | 四川长虹电器股份有限公司 | 一种抵抗密钥泄露的安全管理方法 |
| CN112654989A (zh) * | 2020-03-18 | 2021-04-13 | 华为技术有限公司 | 数据保存方法、数据访问方法及相关装置、设备 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773994A (zh) * | 2005-10-28 | 2006-05-17 | 广东省电信有限公司研究院 | 一种数据安全存储业务的实现方法 |
| CN101594360A (zh) * | 2009-07-07 | 2009-12-02 | 清华大学 | 局域网系统和维护局域网信息安全的方法 |
| CN101739531A (zh) * | 2008-11-24 | 2010-06-16 | 英属开曼群岛商康帝国际科技股份有限公司 | 使用多重密钥表单来加强数据加密的方法与系统 |
| WO2011076463A1 (en) * | 2009-12-23 | 2011-06-30 | International Business Machines Corporation | Deduplication of encrypted data |
| CN102123143A (zh) * | 2011-01-21 | 2011-07-13 | 宁波市胜源技术转移有限公司 | 一种用于网络中数据安全存储的方法 |
| CN102158852A (zh) * | 2011-04-22 | 2011-08-17 | 中兴通讯股份有限公司 | 终端、终端数据存储方法及系统 |
| CN102214127A (zh) * | 2010-11-15 | 2011-10-12 | 上海安纵信息科技有限公司 | 一种基于操作系统虚拟化原理的数据集中存储及备份方法 |
| CN103279717A (zh) * | 2013-06-19 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 文档的操作方法及装置 |
| CN103678174A (zh) * | 2012-09-11 | 2014-03-26 | 联想(北京)有限公司 | 数据安全方法、存储装置和数据安全系统 |
| CN103916477A (zh) * | 2014-04-09 | 2014-07-09 | 曙光云计算技术有限公司 | 用于云环境的数据存储方法和装置、及下载方法和装置 |
| CN104885093A (zh) * | 2012-12-12 | 2015-09-02 | 思杰系统有限公司 | 基于加密的数据访问管理 |
| CN105827669A (zh) * | 2015-01-04 | 2016-08-03 | 中国移动通信集团江苏有限公司 | 一种终端虚拟存储的方法、设备和系统 |
-
2017
- 2017-11-23 CN CN201711182544.4A patent/CN107749862A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773994A (zh) * | 2005-10-28 | 2006-05-17 | 广东省电信有限公司研究院 | 一种数据安全存储业务的实现方法 |
| CN101739531A (zh) * | 2008-11-24 | 2010-06-16 | 英属开曼群岛商康帝国际科技股份有限公司 | 使用多重密钥表单来加强数据加密的方法与系统 |
| CN101594360A (zh) * | 2009-07-07 | 2009-12-02 | 清华大学 | 局域网系统和维护局域网信息安全的方法 |
| WO2011076463A1 (en) * | 2009-12-23 | 2011-06-30 | International Business Machines Corporation | Deduplication of encrypted data |
| CN102214127A (zh) * | 2010-11-15 | 2011-10-12 | 上海安纵信息科技有限公司 | 一种基于操作系统虚拟化原理的数据集中存储及备份方法 |
| CN102123143A (zh) * | 2011-01-21 | 2011-07-13 | 宁波市胜源技术转移有限公司 | 一种用于网络中数据安全存储的方法 |
| CN102158852A (zh) * | 2011-04-22 | 2011-08-17 | 中兴通讯股份有限公司 | 终端、终端数据存储方法及系统 |
| CN103678174A (zh) * | 2012-09-11 | 2014-03-26 | 联想(北京)有限公司 | 数据安全方法、存储装置和数据安全系统 |
| CN104885093A (zh) * | 2012-12-12 | 2015-09-02 | 思杰系统有限公司 | 基于加密的数据访问管理 |
| CN103279717A (zh) * | 2013-06-19 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 文档的操作方法及装置 |
| CN103916477A (zh) * | 2014-04-09 | 2014-07-09 | 曙光云计算技术有限公司 | 用于云环境的数据存储方法和装置、及下载方法和装置 |
| CN105827669A (zh) * | 2015-01-04 | 2016-08-03 | 中国移动通信集团江苏有限公司 | 一种终端虚拟存储的方法、设备和系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110750206A (zh) * | 2018-07-24 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及系统 |
| CN110750206B (zh) * | 2018-07-24 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及系统 |
| CN110516457A (zh) * | 2019-08-27 | 2019-11-29 | 上海集成电路研发中心有限公司 | 一种数据存储方法及读取方法、存储设备 |
| CN110516457B (zh) * | 2019-08-27 | 2023-03-14 | 上海集成电路研发中心有限公司 | 一种数据存储方法及读取方法、存储设备 |
| CN112654989A (zh) * | 2020-03-18 | 2021-04-13 | 华为技术有限公司 | 数据保存方法、数据访问方法及相关装置、设备 |
| CN112073194A (zh) * | 2020-09-10 | 2020-12-11 | 四川长虹电器股份有限公司 | 一种抵抗密钥泄露的安全管理方法 |
| CN112073194B (zh) * | 2020-09-10 | 2021-06-22 | 四川长虹电器股份有限公司 | 一种抵抗密钥泄露的安全管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10650167B2 (en) | Trusted computing | |
| US9626497B2 (en) | Sharing USB key by multiple virtual machines located at different hosts | |
| CN110176987B (zh) | 一种设备认证的方法、装置、设备和计算机存储介质 | |
| CN106063218B (zh) | 虚拟化系统中加解密的方法、装置和系统 | |
| EP0752635B1 (en) | System and method to transparently integrate private key operations from a smart card with host-based encryption services | |
| KR101608510B1 (ko) | 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법 | |
| US7596695B2 (en) | Application-based data encryption system and method thereof | |
| AU2010256810B2 (en) | Workgroup key wrapping for community of interest membership authentication | |
| US10666647B2 (en) | Access to data stored in a cloud | |
| US9948668B2 (en) | Secure host communications | |
| US20160188896A1 (en) | Secure host interactions | |
| CN107749862A (zh) | 一种数据加密集中存储方法、服务器、用户终端及系统 | |
| US9547773B2 (en) | Secure event log management | |
| CN106575342A (zh) | 包括关系数据库的内核程序、以及用于执行所述程序的方法和装置 | |
| JP2011048661A (ja) | 仮想サーバ暗号化システム | |
| CN113806777A (zh) | 文件访问的实现方法及装置、存储介质及电子设备 | |
| CN103413100A (zh) | 文档安全防范系统 | |
| CN107302524A (zh) | 一种云计算环境下的密文数据共享系统 | |
| CN114372242A (zh) | 密文数据的处理方法、权限管理服务器和解密服务器 | |
| CN105279453A (zh) | 一种支持分离存储管理的文件分区隐藏系统及其方法 | |
| US11438177B2 (en) | Secure distribution of cryptographic certificates | |
| JP5485452B1 (ja) | 鍵管理システム、鍵管理方法、ユーザ端末、鍵生成管理装置、及びプログラム | |
| CN112199431B (zh) | 一种基于元数据进行数据共享的方法及数据共享系统 | |
| JP2019071552A (ja) | 暗号通信方法、暗号通信システム、鍵発行装置、プログラム | |
| CN100574191C (zh) | 局域网内Direct Client系统认证的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180302 |
|
| RJ01 | Rejection of invention patent application after publication |