CN108268802A - 一种加密混合存储的方法和系统 - Google Patents
一种加密混合存储的方法和系统 Download PDFInfo
- Publication number
- CN108268802A CN108268802A CN201711385665.9A CN201711385665A CN108268802A CN 108268802 A CN108268802 A CN 108268802A CN 201711385665 A CN201711385665 A CN 201711385665A CN 108268802 A CN108268802 A CN 108268802A
- Authority
- CN
- China
- Prior art keywords
- data
- encryption
- storage
- write
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种加密混合存储的方法,其包括以下步骤:系统接收到上层应用输入的写入IO请求,若所写数据满足缓存要求,则将所述数据写入具有加密功能的存储设备,并以密文形式保存;若所写数据不满足缓存要求,则将所述数据加密并将所述密文数据写入普通存储设备。一种加密混合存储的系统,其包括:接收请求模块和数据判断模块。本发明提供的加密混合存储的方法和系统,结合具有加密功能的SSD和HDD,构建一个具有加密功能的混合存储系统,利用SSD的加密功能为混合存储系统进行数据加解密,使得没有加密功能的HDD硬盘保存的也是密文数据,提高了混合存储系统的数据安全性,广泛应用于通信领域。
Description
技术领域
本发明涉及通信领域,具体为加密混合存储的方法和系统。
背景技术
Flashcache具有三种模式:write-back、write-through和write-aroud,通常使用的缓存模式为write-back模式和write-through模式。
SSD(Soild-State-Drive,固态硬盘)做为一种新型存储装置越来越多的被运用到各类电子信息产品、计算机、服务器等设备中,其应用范围越来越广泛。其存储的信息安全问题也受到了越来越多的关注,因此多家存储厂商在SSD的基础上开发了加密功能,对保存在SSD上的数据进行加密。
鉴于SSD和磁盘在价格、容量、寿命等方面具有各自的优势,越来越多应用倾向于用SSD和磁盘构建大容量、高性能和低价格的混合存储系统。由于通常SSD带有加密功能,能够针对保存在该SSD中的数据进行加解密,而HDD不具有数据加密功能,因此基于带有加密功能的SSD和HDD组成的混合存储系统并不能对整个混合存储提供数据加密功能。因此,该技术有必要进行改进。
发明内容
为了解决上述技术问题,本发明的目的是提供一种加密混合存储的方法和系统。
本发明所采用的技术方案是:
本发明提供一种加密混合存储的方法,其包括以下步骤:
系统接收到上层应用输入的写入IO数据请求后,将所述数据写入具有加密功能的存储设备,并以密文形式保存;
当需要把数据从加密存储设备迁移到普通存储设备时,系统通过在读取数据时携带标识,从加密存储设备读取对应数据的密文,并把密文写入到普通存储设备。
作为该技术方案的改进,所述当需要把数据从加密存储设备迁移到普通存储设备时,其包括当加密混合存储采用write-back模式,系统判断所写数据是否满足存储的缓存要求;若满足,则将所述数据写入具有加密功能的存储设备,并以密文形式保存;若所写数据不满足缓存要求,则将所述数据加密并将所述密文数据写入普通存储设备。
作为该技术方案的改进,所述系统将所述密文保存至普通存储设备,并返回写入成功至上层应用。
作为该技术方案的改进,当系统接收到上层应用输入的读取IO数据请求时,若读取的数据位于具有加密功能的存储设备,则系统通过加密存储设备获取对应的明文并返回至上层应用。
进一步地,当系统接收到上层应用输入的读取IO请求时,若读取的数据位于普通存储设备,则系统从普通存储设备读取密文,并通过加密存储设备解密后再返回至上层应用。
进一步地,对于write-back模式,当缓存盘中的脏数据超过系统阈值或数据缓存位置存在冲突时,系统读取对应数据的密文数据,并将所述密文数据写入普通存储设备。
进一步地,所述缓存盘为具有加密功能的存储设备。
进一步地,所述系统包括普通存储设备和具有加密功能的存储设备。
另一方面,本发明还提供一种加密混合存储的系统,其包括:
接收请求模块,用于执行步骤系统接收到上层应用输入的写入IO数据请求后,将所述数据写入具有加密功能的存储设备,并以密文形式保存;
判断及数据处理模块,用于执行步骤当需要把数据从加密存储设备迁移到普通存储设备时,系统通过在读取数据时携带标识,从加密存储设备读取对应数据的密文,并把密文写入到普通存储设备。
本发明的有益效果是:本发明提供的加密混合存储的方法和系统,结合具有加密功能的SSD和HDD,构建一个具有加密功能的混合存储系统,利用SSD的加密功能为混合存储系统进行数据加解密,使得没有加密功能的HDD硬盘保存的也是密文数据,提高了混合存储系统的数据安全性。
附图说明
下面结合附图对本发明的具体实施方式作进一步说明:
图1是本发明加密混合盘的第一实施例的示意图;
图2是本发明加密混合盘的第二实施例的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明提供一种加密混合存储的方法,其包括以下步骤:
系统接收到上层应用输入的写入IO数据请求后,将所述数据写入具有加密功能的存储设备,并以密文形式保存;
当需要把数据从加密存储设备迁移到普通存储设备时,系统通过在读取数据时携带标识,从加密存储设备读取对应数据的密文,并把密文写入到普通存储设备。
作为该技术方案的改进,所述当需要把数据从加密存储设备迁移到普通存储设备时,其包括当加密混合存储采用write-back模式,系统判断所写数据是否满足存储的缓存要求;若满足,则将所述数据写入具有加密功能的存储设备,并以密文形式保存;若所写数据不满足缓存要求,则将所述数据加密并将所述密文数据写入普通存储设备。
作为该技术方案的改进,所述系统将所述密文保存至普通存储设备,并返回写入成功至上层应用。
作为该技术方案的改进,当系统接收到上层应用输入的读取IO数据请求时,若读取的数据位于具有加密功能的存储设备,则系统通过加密存储设备获取对应的明文并返回至上层应用。
进一步地,当系统接收到上层应用输入的读取IO请求时,若读取的数据位于普通存储设备,则系统从普通存储设备读取密文,并通过加密存储设备解密后再返回至上层应用。
进一步地,对于write-back模式,当缓存盘中的脏数据超过系统阈值或数据缓存位置存在冲突时,系统读取对应数据的密文数据,并将所述密文数据写入普通存储设备。
进一步地,所述缓存盘为具有加密功能的存储设备。
进一步地,所述系统包括普通存储设备和具有加密功能的存储设备。
作为一实施例,本方案中的具有加密功能的SSD具有IO级别的加解密功能,能够针对用户下发的每一个IO数据独立进行加密或者解密。用户在下发读、写IO时,通过携带flag,能够针对性的对该IO数据进行加解密操作。其中flag可以通过修改用户读、写IO的LBA地址,例如把flag标识加到LBA超过容量的高bit位地址来实现。
本方案通过将数据携带flag标记,加密SSD能够识别出对应IO是否需要加密后再保存,以及需要读取数据的明文还是密文,进而实现基于IO级别的数据加解密。
参照图1,基于加密SSD和HDD构建的write-through模式的混合加密系统,其IO处理如图1所示。
对于只读缓存模式,SSD只保存HDD热点数据的副本;
对于写IO,数据通过SSD加密后,需要把密文数据保存在SSD的同时写入一份数据到磁盘。
对于读IO,如果SSD命中,直接从SSD读出明文数据,如果SSD没有命中,需要把HDD的密文数据搬移到SSD,解码后获得明文数据。
写流程:先把明文数据写入SSD,然后通过传入flag读取对应数据的密文数据,再把密文数据写入HDD。
读流程:需要分为以下两种情况处理
读的数据缓存在SSD设备中,直接从SSD读取对应数据的明文返回;
读的数据没有缓存在SSD设备中,首先需要将密文数据从磁盘上读取上来,然后携带flag把密文数据写入到SSD中,该flag通知SSD写入的是密文数据不需要加密,然后再携带flag从SSD中将数据解密后的明文读取出来,并返回。
优选的,一种基于SSD加密功能的加密混合存储方法,其包含以下步骤:
a.基于带有加密功能的存储设备和普通存储构建成一个混合存储系统;
b.上层应用写入IO时:
先写入具有加密功能的存储设备,以密文的方式保存;
通过携带标识,从具有加密功能的存储设备读取该IO的对应密文:
把对应密文保存在普通存储设备中,再通知上层应用写入成功。
c.上层应用读取IO时:
如果读取的数据位于具有加密功能的存储设备,直接通过加密存储设备获取对应的明文并返回;
如果读取的数据位于普通存储设备,从普通存储设备读取密文,通过加密存储设备解密后再返回给上层应用。
参照图2,是本发明第二实施例的基于加密SSD和HDD构建一write-back模式的混合加密系统,其IO处理为:
对于读写缓存模式,数据先写入SSD,再基于热度信息把部分数据迁移到HDD;
对于写IO,直接写入SSD,如果SSD没有空闲空间或者数据缓存位置冲突,把部分密文数据迁移到HDD后再写入SSD,或者直接把该数据加密后写入HDD。
对于读IO,如果SSD命中,从SSD读出对应的明文数据,如果SSD没有命中,需要把HDD的密文数据搬移到SSD,解码后获得明文数据。
定期检查SSD的剩余空间,如果超过阈值,需要进行数据搬移,并把部分数据的密文搬移到HDD。
写流程:写流程分为以下两种情况:
写的数据满足缓存要求,直接把数据写入加密SSD;
写的数据不满足缓存的要求(如缓存空间满,或者其他原因等),此时则把部分密文数据迁移到HDD后再写入SSD,或者直接把该数据加密后写入HDD;
读流程:读流程是分为以下两种情况:
读的数据缓存在SSD设备中,数据可能是之前已经缓存的数据(缓存到SSD中的),此时可以直接通过SSD读取明文数据;
读的数据没有缓存在SSD设备中,首先需要将密文数据从磁盘上读取上来,然后携带flag将该密文数据写入到SSD中,该flag通知SSD写入的是密文数据不需要加密,然后再携带flag从SSD中将数据解密后的明文读取出来,并返回。
当SSD中的脏数据超过阈值,需要进行数据回写时,把SSD中的脏数据同步到HDD硬盘时,首先通过传入flag读取对应数据的密文数据,然后把该密文数据写入HDD硬盘。
优选的,一种基于SSD加密功能的加密混合存储方法,其包含以下步骤:
a.基于带有加密功能的存储设备作为缓存盘和普通存储设备构建成一个混合存储系统;
b.上层应用写入IO时:
如果写的数据满足缓存要求,写入具有加密功能的存储设备,以密文的方式保存;
写的数据不满足缓存的要求,则把部分密文数据迁移到HDD后再写入SSD或者直接把该数据加密后写入HDD;
c.上层应用读取IO时:
如果读取的数据位于具有加密功能的存储设备,直接通过加密存储设备获取对应的明文并返回;
如果读取的数据位于普通存储设备,从普通存储设备读取密文,通过加密存储设备解密后再返回给上层应用。
d.当缓存盘中的脏数据超过阈值,把缓存盘中的脏数据同步到普通存储设备时,首先读取对应数据的密文数据,然后把该密文数据写入普通存储设备。
另一方面,本发明还提供一种加密混合存储的系统,其包括:
接收请求模块,用于执行步骤系统接收到上层应用输入的写入IO数据请求后,将所述数据写入具有加密功能的存储设备,并以密文形式保存;
判断及数据处理模块,用于执行步骤当需要把数据从加密存储设备迁移到普通存储设备时,系统通过在读取数据时携带标识,从加密存储设备读取对应数据的密文,并把密文写入到普通存储设备。
本发明也可以适用于加密SSD和不带加密功能的SSD组成的混合系统。
本发明提供的加密混合存储的方法和系统,结合具有加密功能的SSD和HDD,构建一个具有加密功能的混合存储系统,利用SSD的加密功能为混合存储系统进行数据加解密,使得没有加密功能的HDD硬盘保存的也是密文数据,提高了混合存储系统的数据安全性。
以上是对本发明的较佳实施进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (9)
1.一种加密混合存储的方法,其特征在于,其包括以下步骤:
系统接收到上层应用输入的写入IO数据请求后,将所述数据写入具有加密功能的存储设备,并以密文形式保存;
当需要把数据从加密存储设备迁移到普通存储设备时,系统通过在读取数据时携带标识,从加密存储设备读取对应数据的密文,并把密文写入到普通存储设备。
2.根据权利要求1所述的加密混合存储的方法,其特征在于:所述当需要把数据从加密存储设备迁移到普通存储设备时,其包括当加密混合存储采用write-back模式,系统判断所写数据是否满足存储的缓存要求;若满足,则将所述数据写入具有加密功能的存储设备,并以密文形式保存;若所写数据不满足缓存要求,则将所述数据加密并将所述密文数据写入普通存储设备。
3.根据权利要求1或2所述的加密混合存储的方法,其特征在于:
所述系统将所述密文保存至普通存储设备,并返回写入成功至上层应用。
4.根据权利要求3所述的加密混合存储的方法,其特征在于:当系统接收到上层应用输入的读取IO数据请求时,若读取的数据位于具有加密功能的存储设备,则系统通过加密存储设备获取对应的明文并返回至上层应用。
5.根据权利要求3所述的加密混合存储的方法,其特征在于:当系统接收到上层应用输入的读取IO请求时,若读取的数据位于普通存储设备,则系统从普通存储设备读取密文,并通过加密存储设备解密后再返回至上层应用。
6.根据权利要求2所述的加密混合存储的方法,其特征在于:对于write-back模式,当缓存盘中的脏数据超过系统阈值或数据缓存位置存在冲突时,系统读取对应数据的密文数据,并将所述密文数据写入普通存储设备。
7.根据权利要求6所述的加密混合存储的方法,其特征在于:所述缓存盘为具有加密功能的存储设备。
8.根据权利要求1所述的加密混合存储的方法,其特征在于:所述系统包括普通存储设备和具有加密功能的存储设备。
9.一种加密混合存储的系统,其特征在于,其包括:
接收请求模块,用于执行步骤系统接收到上层应用输入的写入IO数据请求后,将所述数据写入具有加密功能的存储设备,并以密文形式保存;
判断及数据处理模块,用于执行步骤当需要把数据从加密存储设备迁移到普通存储设备时,系统通过在读取数据时携带标识,从加密存储设备读取对应数据的密文,并把密文写入到普通存储设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711385665.9A CN108268802A (zh) | 2017-12-20 | 2017-12-20 | 一种加密混合存储的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711385665.9A CN108268802A (zh) | 2017-12-20 | 2017-12-20 | 一种加密混合存储的方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108268802A true CN108268802A (zh) | 2018-07-10 |
Family
ID=62772406
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711385665.9A Pending CN108268802A (zh) | 2017-12-20 | 2017-12-20 | 一种加密混合存储的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108268802A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110929303A (zh) * | 2019-11-29 | 2020-03-27 | 江苏芯盛智能科技有限公司 | 数据处理方法、装置、系统和固态硬盘 |
CN113448488A (zh) * | 2020-03-25 | 2021-09-28 | 群联电子股份有限公司 | 数据转移方法与存储器存储装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102054137A (zh) * | 2009-11-10 | 2011-05-11 | 美信集成产品公司 | 用于集成微控制器和外部存储系统的块加密安全 |
CN102591593A (zh) * | 2011-12-28 | 2012-07-18 | 华为技术有限公司 | 一种混合存储模式的切换方法、装置及系统 |
CN104111898A (zh) * | 2014-05-26 | 2014-10-22 | 中国能源建设集团广东省电力设计研究院 | 基于多维数据相似性的混合存储系统及数据管理方法 |
CN104679661A (zh) * | 2013-11-27 | 2015-06-03 | 阿里巴巴集团控股有限公司 | 混合存储的控制方法及混合存储系统 |
CN105678190A (zh) * | 2016-03-01 | 2016-06-15 | 福建省闽保信息技术股份有限公司 | 数据封存审计系统 |
CN105893541A (zh) * | 2016-03-31 | 2016-08-24 | 中国科学院软件研究所 | 一种基于混合存储的流式数据自适应持久化方法及系统 |
-
2017
- 2017-12-20 CN CN201711385665.9A patent/CN108268802A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102054137A (zh) * | 2009-11-10 | 2011-05-11 | 美信集成产品公司 | 用于集成微控制器和外部存储系统的块加密安全 |
CN102591593A (zh) * | 2011-12-28 | 2012-07-18 | 华为技术有限公司 | 一种混合存储模式的切换方法、装置及系统 |
CN104679661A (zh) * | 2013-11-27 | 2015-06-03 | 阿里巴巴集团控股有限公司 | 混合存储的控制方法及混合存储系统 |
CN104111898A (zh) * | 2014-05-26 | 2014-10-22 | 中国能源建设集团广东省电力设计研究院 | 基于多维数据相似性的混合存储系统及数据管理方法 |
CN105678190A (zh) * | 2016-03-01 | 2016-06-15 | 福建省闽保信息技术股份有限公司 | 数据封存审计系统 |
CN105893541A (zh) * | 2016-03-31 | 2016-08-24 | 中国科学院软件研究所 | 一种基于混合存储的流式数据自适应持久化方法及系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110929303A (zh) * | 2019-11-29 | 2020-03-27 | 江苏芯盛智能科技有限公司 | 数据处理方法、装置、系统和固态硬盘 |
CN113448488A (zh) * | 2020-03-25 | 2021-09-28 | 群联电子股份有限公司 | 数据转移方法与存储器存储装置 |
CN113448488B (zh) * | 2020-03-25 | 2023-10-13 | 群联电子股份有限公司 | 数据转移方法与存储器存储装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9324361B2 (en) | Protecting stored data from traffic analysis | |
US9342466B2 (en) | Multiple volume encryption of storage devices using self encrypting drive (SED) | |
CN100541456C (zh) | 一种用于使用凭证的存储器保护和安全性的方法和系统 | |
CN101542498B (zh) | 信息处理装置及方法 | |
US9779264B2 (en) | Method, server and computer program for security management in database | |
US20190327087A1 (en) | Techniques for securing and controlling access to data | |
CN104424016B (zh) | 用于自加密驱动器的虚拟带集中 | |
KR101047213B1 (ko) | 암호화 장치, 암호화 방법 및 컴퓨터 판독가능한 기록 매체 | |
CN101644996A (zh) | 索引数据的存储方法和存储控制装置 | |
CN104050103B (zh) | 一种用于数据恢复的缓存替换方法与系统 | |
US8843768B2 (en) | Security-enabled storage controller | |
US20190102322A1 (en) | Cross-domain security in cryptographically partitioned cloud | |
CN102930224A (zh) | 硬盘数据写入、读取方法及装置 | |
CN106933747A (zh) | 基于多流的数据存储系统和数据存储方法 | |
CN101877246A (zh) | 加密u盘实现方法 | |
CN106713334B (zh) | 虚拟存储卷的加密方法、解密方法、访问方法以及装置 | |
CN105630965A (zh) | 一种移动终端闪存介质上用户空间安全删除文件系统及方法 | |
CN108268802A (zh) | 一种加密混合存储的方法和系统 | |
CN105700830B (zh) | 一种支持worm存储的固态硬盘主控、固态硬盘及worm存储方法 | |
GB2373597A (en) | Restricted data access | |
US20070283169A1 (en) | Method for controlling file access on computer systems | |
Li et al. | Tasecure: Temperature-aware secure deletion scheme for solid state drives | |
CN102160038A (zh) | 管理非易失性磁盘高速缓存的方法和设备 | |
CN106788994A (zh) | 适用于云存储系统的密钥更新方法 | |
CN107145793B (zh) | 一种基于文件双缓存的文件权限管理的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |