CN110619237B - 数据存储方法、装置、计算机设备以及存储介质 - Google Patents
数据存储方法、装置、计算机设备以及存储介质 Download PDFInfo
- Publication number
- CN110619237B CN110619237B CN201910747571.4A CN201910747571A CN110619237B CN 110619237 B CN110619237 B CN 110619237B CN 201910747571 A CN201910747571 A CN 201910747571A CN 110619237 B CN110619237 B CN 110619237B
- Authority
- CN
- China
- Prior art keywords
- storage
- encrypted
- key
- data
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉一种数据存储方法、装置、计算机设备和存储介质。方法包括:服务器首先获取存储请求,而后查找加密存储设备对应Ukey;并将权限密钥发送至加密存储设备,发送存储消息至加密存储设备,存储消息携带待存储数据以及存储指令,存储指令用于控制加密存储设备对待存储数据进行加密,并将加密后的待存储数据存储至加密存储设备或非加密存储设备。本申请的数据存储方法通过控制加密存储设备对数据进行加密,而后将其保存至加密存储设备或非加密存储设备,加密存储过程无需使用新的存储芯片,能有效降低加密存储的复杂度,提高加密存储的存储效率。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种数据存储方法、装置、计算机设备以及存储介质。
背景技术
存储是指根据不同的应用环境通过采取合理、安全、有效的方式将数据保存到某些介质上并能保证有效的访问,总的来讲可以包含两个方面的含义:一方面它是数据临时或长期驻留的物理媒介;另一方面,它是保证数据完整安全存放的方式或行为。
存储一般可以通过移动存储设备来实现,在移动存储设备领域,目前市场有部分加密的移动硬盘,也有部分SSD(Solid State Drive,固态驱动器)盘。
目前对于有加密需求的非加密移动存储设备,可以使用专用的加密芯片进行加密,又额外提高了数据存储过程的复杂度。
发明内容
基于此,有必要针对现有技术使用专用的加密芯片进行加密,额外提高了数据存储过程复杂度的问题,提供一种可以降低数据加密存储过程复杂度的数据存储方法、装置、计算机设备以及存储介质。
一种数据存储方法,所述方法包括:
获取存储请求,所述存储请求包括请求的存储设备以及待存储数据,所述存储设备包括加密存储设备或加密存储设备和非加密存储设备;
查找所述加密存储设备对应Ukey;
将权限密钥发送至所述加密存储设备,所述权限密钥为通过所述Ukey生成的与所述加密存储设备对应的权限密钥;
发送存储消息至所述加密存储设备,所述存储消息携带待存储数据以及存储指令,所述存储指令用于控制所述加密存储设备对所述待存储数据进行加密,并将加密后的所述待存储数据存储至所述加密存储设备或所述非加密存储设备。
在其中一个实施例中,将权限密钥发送至所述加密存储设备存储设备之前包括:
确定所述Ukey与所述加密存储设备的临时密钥,通过所述Ukey生成随机密钥,根据所述加密存储设备的序列号以及所述随机密钥,生成权限密钥;
通过所述临时密钥将所述权限密钥加密后发送至所述加密存储设备。
在其中一个实施例中,所述查找所述加密存储设备对应Ukey之前还包括:
根据所述加密存储设备的电子签名信息判定所述加密存储设备是否与Ukey绑定;
当所述加密存储设备处于与Ukey绑定的状态时,随机生成临时密钥,并将所述临时密钥发送至所述加密存储设备与所述加密存储设备绑定的Ukey;
当所述加密存储设备不处于与Ukey绑定的状态时,查找未处于绑定状态的Ukey,通过交换所述加密存储设备与所述未处于绑定状态的Ukey的CA证书,对所述加密存储设备与所述未处于绑定状态的Ukey进行身份认证,绑定所述加密存储设备与所述未处于绑定状态的Ukey,随机生成临时密钥,并将所述临时密钥发送至所述加密存储设备与所述加密存储设备绑定的Ukey。
在其中一个实施例中,所述发送存储消息至所述加密存储设备包括:
当接收到所述加密存储设备反馈的认证通过消息时,根据所述请求的存储设备生成存储指令;
根据待存储数据以及所述存储指令,生成存储消息;
将所述存储消息发送至所述加密存储设备。
一种数据存储方法,应用于加密存储设备,所述方法包括:
接收服务器发送的权限密钥,所述权限密钥由对应的Ukey生成;
接收所述服务器发送的存储消息,所述存储消息携带待存储数据以及存储指令;
根据所述存储指令加密所述待存储数据;
根据所述存储指令存储加密后的所述待存储数据至所述存储指令指定的存储设备,所述存储设备包括当前加密存储设备或非加密存储设备。
在其中一个实施例中,所述获取所述服务器发送的存储消息之前,还包括:
确定与当前存储进程对应的临时密钥;
通过所述临时密钥解密所述权限密钥,当所述权限密钥内序列号与已存的序列号相同时,判定通过认证,反馈认证通过信号至所述服务器。
在其中一个实施例中,所述根据所述存储指令加密所述待存储数据包括:
当所述存储指令指定的存储设备为当前加密存储设备时,通过预设I/O密钥加密所述待存储数据;
当所述存储指令指定的存储设备为非加密存储设备时,通过所述权限密钥加密所述待存储数据。
一种数据存储装置,所述装置包括:
请求获取模块,用于获取存储请求,所述存储请求包括请求的存储设备以及待存储数据,所述存储设备包括加密存储设备或加密存储设备和非加密存储设备;
设备查找模块,用于查找所述加密存储设备对应Ukey;
密钥发送模块,用于将权限密钥发送至所述加密存储设备,所述权限密钥为通过所述Ukey生成的与所述加密存储设备对应的权限密钥;
数据发送模块,用于发送存储消息至所述加密存储设备,所述存储消息携带待存储数据以及存储指令,所述存储指令用于控制所述加密存储设备对所述待存储数据进行加密,并将加密后的所述待存储数据存储至所述加密存储设备或所述非加密存储设备。
一种数据存储装置,所述装置包括:
密钥解密模块,用于接收服务器发送的权限密钥,所述权限密钥由对应的Ukey生成;
数据接收模块,用于接收所述服务器发送的存储消息,所述存储消息携带待存储数据以及存储指令;
数据加密模块,用于根据所述存储指令加密所述待存储数据;
数据存储模块,用于根据所述存储指令存储加密后的所述待存储数据至所述存储指令指定的存储设备,所述存储设备包括当前加密存储设备或非加密存储设备。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取存储请求,所述存储请求包括请求的存储设备以及待存储数据,所述存储设备包括加密存储设备或加密存储设备和非加密存储设备;
查找所述加密存储设备对应Ukey;
将权限密钥发送至所述加密存储设备,所述权限密钥为通过所述Ukey生成的与所述加密存储设备对应的权限密钥;
发送存储消息至所述加密存储设备,所述存储消息携带待存储数据以及存储指令,所述存储指令用于控制所述加密存储设备对所述待存储数据进行加密,并将加密后的所述待存储数据存储至所述加密存储设备或所述非加密存储设备。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收服务器发送的权限密钥,所述权限密钥由对应的Ukey生成;
接收所述服务器发送的存储消息,所述存储消息携带待存储数据以及存储指令;
根据所述存储指令加密所述待存储数据;
根据所述存储指令存储加密后的所述待存储数据至所述存储指令指定的存储设备,所述存储设备包括当前加密存储设备或非加密存储设备。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取存储请求,所述存储请求包括请求的存储设备以及待存储数据,所述存储设备包括加密存储设备或加密存储设备和非加密存储设备;
查找所述加密存储设备对应Ukey;
将权限密钥发送至所述加密存储设备,所述权限密钥为通过所述Ukey生成的与所述加密存储设备对应的权限密钥;
发送存储消息至所述加密存储设备,所述存储消息携带待存储数据以及存储指令,所述存储指令用于控制所述加密存储设备对所述待存储数据进行加密,并将加密后的所述待存储数据存储至所述加密存储设备或所述非加密存储设备。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收服务器发送的权限密钥,所述权限密钥由对应的Ukey生成;
接收所述服务器发送的存储消息,所述存储消息携带待存储数据以及存储指令;
根据所述存储指令加密所述待存储数据;
根据所述存储指令存储加密后的所述待存储数据至所述存储指令指定的存储设备,所述存储设备包括当前加密存储设备或非加密存储设备。
上述数据存储方法、装置、计算机设备以及存储介质,服务器首先获取存储请求,而后查找加密存储设备对应Ukey;并将权限密钥发送至加密存储设备,发送存储消息至加密存储设备,存储消息携带待存储数据以及存储指令,存储指令用于控制加密存储设备对待存储数据进行加密,并将加密后的待存储数据存储至加密存储设备或非加密存储设备。本申请的数据存储方法通过控制加密存储设备对数据进行加密,而后将其保存至加密存储设备或非加密存储设备,加密存储过程无需使用新的存储芯片,能有效降低加密存储的复杂度,提高加密存储的存储效率。
附图说明
图1为一个实施例中数据存储方法的应用环境图;
图2为一个实施例中数据存储方法的流程示意图;
图3为一个实施例中图2的步骤S250的子流程示意图;
图4为另一个实施例中数据存储方法的流程示意图;
图5为一个实施例中数据存储装置的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的数据存储方法,可以应用于如图1所示的应用环境中,其中,存储管理服务器104通过网络与终端102以及多个存储设备106进行通信,存储设备包括了加密存储设备和非加密存储设备,存储管理服务器104可以接收终端102提供的包括待存储数据的存储请求,并查找加密存储设备对应Ukey;而后通过Ukey生成与存储设备对应的权限密钥,将权限密钥发送至加密存储设备;而后存储管理服务器104发送携带待存储数据以及存储指令的存储消息至加密存储设备;加密存储设备加密待存储数据;而后根据存储指令存储加密后的待存储数据至存储指令指定的存储设备,存储设备包括当前加密存储设备或非加密存储设备。终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑。
如图2所示,在其中一个实施例中,本申请的数据存储方法,通过存储管理服务器实现,具体包括以下步骤:
S210,获取存储请求,存储请求包括请求的存储设备以及待存储数据,存储设备包括加密存储设备或加密存储设备和非加密存储设备。
存储请求是指向存储管理服务器请求将待存储数据存储到制定的目标存储设备的请求,存储请求包括了请求的存储设备以及所需要存储的内容,此外,此存储请求还隐含了对数据加密的要求,即将待存储数据加密后再保存至目标存储设备。请求的存储设备包括了加密存储设备或加密存储设备和非加密存储设备,当请求的存储设备仅包括加密存储设备时,即表明该存储请求希望将待存储数据保存至该加密存储设备。当请求的存储设备包括加密存储设备和非加密存储设备时,即表明该存储请求希望通过加密存储设备对待存储数据进行加密,而后将其保存至该非加密存储设备。
S230,查找加密存储设备对应Ukey。
Ukey是一种通过USB(Universal Serial Bus,通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。Ukey是对现行的网络安全体系是一个极为有力的补充,通过中国信息安全测评认证中心认证的网络安全产品。基于可信计算机及智能卡技术把易用性,便携性和最高级别的安全性带给了使用Microsoft IE或NetscapeNavigator进行Web访问,在线交易(购物,付款),收发电子邮件,在线聊天交友及表单签名,文件数字签名等操作的用户,保证用户在ukey下的操作不可篡改,抵赖。ukey最大的特点就是安全性高,技术规范一致性强,操作系统兼容性好,携带使用灵活。每个加密存储设备都有与其对应的Ukey,而各个Ukey由存储管理服务器进行管理。
S250,将权限密钥发送至加密存储设备,权限密钥为通过Ukey生成的与加密存储设备对应的权限密钥。
权限密钥用于激活加密存储设备,此外权限秘钥还可以进行认证以及加密等操作。存储管理服务器可以通过与加密存储设备对应的Ukey来生成激活存储设备的权限密钥,而后通过将权限密钥发送给加密存储设备来激活加密存储设备进行加密存储。在其中一个实施例中,当加密存储设备接收到存储管理服务器发送的权限密钥时,会对权限密钥进行认证,当通过认证时,会向存储管理服务器反馈一个认证通过消息,存储管理服务器通过认证通过消息来判断是否进行后续动作。
S270,发送存储消息至加密存储设备,存储消息携带待存储数据以及存储指令,存储指令用于控制加密存储设备对待存储数据进行加密,并将加密后的待存储数据存储至加密存储设备或非加密存储设备。
存储指令根据用户端的存储请求对应的存储设备来生成。当存储管理服务器发送完权限密钥之后,会将包含待存储数据与存储指令的存储消息发送至加密存储设备,通过存储指令控制加密存储设备来对待存储数据进行加密存储,存储过程具体可以先是加密存储设备根据存储指令对待存储数据进行加密,并将加密后的待存储数据存储至加密存储设备或非加密存储设备。具体存储位置由存储指令制定。其中加密存储设备可以是一个包含有剩余密钥空间的SSD加密盘,而非加密存储设备则是一个SSD非加密盘,存储管理服务器依据各个SSD盘的序列号对其进行管理。
上述数据存储方法,服务器首先获取存储请求,而后查找加密存储设备对应Ukey;并将权限密钥发送至加密存储设备,发送存储消息至加密存储设备,存储消息携带待存储数据以及存储指令,存储指令用于控制加密存储设备对待存储数据进行加密,并将加密后的待存储数据存储至加密存储设备或非加密存储设备。本申请的数据存储方法通过控制加密存储设备对数据进行加密,而后将其保存至加密存储设备或非加密存储设备,加密存储过程无需使用新的存储芯片,能有效降低加密存储的复杂度,提高加密存储的存储效率。
如图3所示,在其中一个实施例中,步骤S250包括:
S252,确定Ukey与加密存储设备的临时密钥,通过Ukey生成随机密钥,根据加密存储设备的序列号以及随机密钥,生成权限密钥。
S254,通过临时密钥将权限密钥加密后发送至加密存储设备。
存储管理服务器首先确定Ukey与加密存储设备在本次存储过程中约定的临时密钥,而后通过Ukey产生随机密钥,通过临时密钥将存储设备的序列号以及随机密钥加密,生成加密后的权限密钥,在其中一个实施例中,可以将存储设备的序列号存储在其对应的Ukey内。在生成权限秘钥后可以将该加密后的权限密钥发送至加密存储设备,激活存储设备的存储进程。该临时密钥具有时效性以及随机性,当存储设备断电之后,需要使用新的临时密钥进行认证,Ukey与存储设备可以提前约定一个临时密钥,用于保证权限密钥传输过程中的保密性以及可溯源性。
在其中一个实施例中,S230之前还包括:
根据加密存储设备的电子签名信息判定加密存储设备是否与Ukey绑定。
当加密存储设备处于与Ukey绑定的状态时,随机生成临时密钥,并将临时密钥发送至加密存储设备与加密存储设备绑定的Ukey。
当加密存储设备不处于与Ukey绑定的状态时,查找未处于绑定状态的Ukey,通过交换加密存储设备与未处于绑定状态的Ukey的CA证书,对加密存储设备与未处于绑定状态的Ukey进行身份认证,绑定加密存储设备与未处于绑定状态的Ukey,随机生成临时密钥,并将临时密钥发送至加密存储设备与加密存储设备绑定的Ukey。
首先需要判定是否与Ukey与用户指定的加密存储设备绑定,当存在与加密存储设备绑定的Ukey时,可以直接完成认证,并生成临时密钥,当不存在时,需要先完成绑定工作再生成临时密钥。而绑定的过程,可以通过交换CA证书来实现,加密存储设备和Ukey各自拥有向CA机构申请的CA证书,可以通过交换各自的证书完成身份认证;权限密钥由Ukey生成存储并注入到SSD中,权限密钥传输中采用SSD和Ukey临时协商的密钥对权限密钥加密并进行数字签名。提高数据传输过程的安全性。
在其中一个实施例中,S270包括:
当接收到加密存储设备反馈的认证通过消息时,根据请求的存储设备生成存储指令;
根据待存储数据以及存储指令,生成存储消息;
将存储消息发送至加密存储设备。
当存储设备接收到存储管理服务器发送的权限密钥时,会对权限密钥进行认证,当通过认证时,会向存储管理服务器反馈一个认证通过消息,当存储管理服务器接收到认证通过消息时,可以根据请求的存储设备生成存储指令,而后根据存储指令与待存储数据生成存储消息,而后将存储消息发送给到指定的加密存储设备,加密存储设备可以解析存储消息,获得待存储数据以及存储指令,而后存储设备可以根据存储指令来存储待存储数据。通过对权限秘钥的认证,可以提高数据加密存储过程的安全性。
如图4所示,本申请还提供了一种数据存储方法,该数据存储方法应用于加密存储设备,方法包括:
S410,接收服务器发送的权限密钥,权限密钥由对应的Ukey生成。
S430,接收服务器发送的存储消息,存储消息携带待存储数据以及存储指令。
S450,根据存储指令加密待存储数据。
S470,根据存储指令存储加密后的待存储数据至存储指令指定的存储设备,存储设备包括当前加密存储设备或非加密存储设备。
其中加密存储区可以是一个包含有剩余密钥空间的SSD加密盘,而非加密存储区则是一个SSD非加密盘,存储管理服务器依据各个SSD盘的序列号对其进行管理。存储设备与存储管理服务器管理的各个Ukey存在对应关系,存储管理服务器可以通过对应的Ukey来生成对应权限密钥,并通过权限密钥来激活当前的加密存储设备。加密存储设备接收存储管理服务器发送的权限密钥,将权限密钥存储至加密存储区,而后激活加密存储进程,而后获取存储管理服务器发送的存储消息,通过解析存储消息获得存储指令和待存储数据,当获取到待存储数据后,根据存储指令制定的存储设备对待存储数据进行加密后,将加密后的待存储数据保存至存储指令指定的存储设,完成数据加密工作。
上述数据存储方法,存储设备首先接收服务器发送的权限密钥;接收服务器发送的存储消息,存储消息携带待存储数据以及存储指令;根据存储指令加密待存储数据;根据存储指令存储加密后的待存储数据至存储指令指定的存储设备,存储设备包括当前加密存储设备或非加密存储设备。本申请的数据存储方法通过加密存储设备的来对数据进行加密,而后将其保存到加密存储设备或者是非加密存储区,加密存储过程无需使用新的存储芯片,能有效降低加密存储的复杂度,提高加密存储的存储效率。
在其中一个实施例中,S430之前包括:
确定与当前存储进程对应的临时密钥;
通过临时密钥解密权限密钥,当权限密钥内序列号与已存的序列号相同时,判定通过认证,反馈认证通过信号至服务器。
每次存储过程中,Ukey与存储设备都会预先约定一个随机的临时密钥,该密钥由存储管理服务器生成,分别发送至Ukey与存储设备,当存储设备上电重新激活时,双方需要再次协商生成一个新的临时密钥。将Ukey中的权限密钥加密传输到存储设备中后,可以通过该临时密钥将加密传输的权限密钥解密,若解密成功且权限密钥中携带的存储设备序列号与存储设备中存储的一致,则加密存储功能被激活,开始进行加密存储。通过临时密钥对数据进行加密,可以进一步保证存储过程过的安全性。
在其中一个实施例中,S450包括:
当存储指令指定的存储设备为当前加密存储设备时,通过预设I/O密钥加密待存储数据;
当存储指令指定的存储设备为非加密存储设备时,通过权限密钥加密待存储数据。
用户指定的存储设备可以为加密存储设备或者非加密存储设备,当用户指定的存储设备,即当存储指令指定的存储设备为当前加密存储设备时,可以通过当前加密存储设备内部的I/O密钥来对待存储数据进行加密,而后将其保存至当前的加密存储设备内,而当存储指令指定的存储设备为其他的非加密存储设备时,可以通过权限密钥来对待存储数据进行加密,并将其保存至非加密存储设备内。保证加密存储的有效性,同时在解密数据时,也可以根据对应密钥进行相应的解密,提高数据存储与取用过程的安全性。
在其中一个实施例中,本申请的数据存储方法包括:获取存储请求,存储请求包括请求的存储设备以及待存储数据,存储设备包括加密存储设备或加密存储设备和非加密存储设备。根据加密存储设备的电子签名信息判定加密存储设备是否与Ukey绑定;当加密存储设备处于与Ukey绑定的状态时,随机生成临时密钥,并将临时密钥发送至加密存储设备与加密存储设备绑定的Ukey;当加密存储设备不处于与Ukey绑定的状态时,查找未处于绑定状态的Ukey,通过交换加密存储设备与未处于绑定状态的Ukey的CA证书,对加密存储设备与未处于绑定状态的Ukey进行身份认证,绑定加密存储设备与未处于绑定状态的Ukey,随机生成临时密钥,并将临时密钥发送至加密存储设备与加密存储设备绑定的Ukey。查找加密存储设备对应Ukey;确定Ukey与加密存储设备的临时密钥,通过Ukey生成随机密钥,根据加密存储设备的序列号以及随机密钥,生成权限密钥;通过临时密钥将权限密钥加密后发送至加密存储设备。加密存储设备接收服务器发送的权限密钥。确定与当前存储进程对应的临时密钥;通过临时密钥解密权限密钥,当权限密钥内序列号与已存的序列号相同时,判定通过认证,反馈认证通过信号至服务器。存储管理服务器接收加密存储设备反馈的认证通过消息,发送存储消息至加密存储设备,存储消息携带待存储数据以及存储指令,存储指令用于控制加密存储设备对待存储数据进行加密,并将加密后的待存储数据存储至加密存储设备或非加密存储设备。加密存储设备获取服务器发送的存储消息,存储消息携带待存储数据以及存储指令;当存储指令指定的存储设备为当前加密存储设备时,通过预设I/O密钥加密待存储数据;当存储指令指定的存储设备为非加密存储设备时,通过权限密钥加密待存储数据。根据存储指令存储加密后的待存储数据至存储指令指定的存储设备,存储设备包括当前加密存储设备或非加密存储设备。
应该理解的是,虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-4中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
如图5所示,本申请还提供一种数据存储装置,装置包括:
请求获取模块210,用于获取存储请求,存储请求包括请求的存储设备以及待存储数据,存储设备包括加密存储设备或加密存储设备和非加密存储设备;
设备查找模块230,用于查找加密存储设备对应Ukey;
密钥发送模块250,用于将权限密钥发送至加密存储设备,权限密钥为通过Ukey生成的与加密存储设备对应的权限密钥;
数据发送模块270,用于发送存储消息至加密存储设备,存储消息携带待存储数据以及存储指令,存储指令用于控制加密存储设备对待存储数据进行加密,并将加密后的待存储数据存储至加密存储设备或非加密存储设备。
在其中一个实施例中,密钥发送模块250用于确定Ukey与加密存储设备的临时密钥,通过Ukey生成随机密钥,根据加密存储设备的序列号以及随机密钥,生成权限密钥;通过临时密钥将权限密钥加密后发送至加密存储设备。
在其中一个实施例中,还包括临时密钥生成模块,用于根据加密存储设备的电子签名信息判定加密存储设备是否与Ukey绑定;当加密存储设备处于与Ukey绑定的状态时,随机生成临时密钥,并将临时密钥发送至加密存储设备与加密存储设备绑定的Ukey;当加密存储设备不处于与Ukey绑定的状态时,查找未处于绑定状态的Ukey,通过交换加密存储设备与未处于绑定状态的Ukey的CA证书,对加密存储设备与未处于绑定状态的Ukey进行身份认证,绑定加密存储设备与未处于绑定状态的Ukey,随机生成临时密钥,并将临时密钥发送至加密存储设备与加密存储设备绑定的Ukey。
在其中一个实施例中,数据发送模块270用于当接收到加密存储设备反馈的认证通过消息时,根据请求的存储设备生成存储指令;根据待存储数据以及存储指令,生成存储消息;将存储消息发送至加密存储设备。
本申请还提供另一种数据存储装置,装置包括:
密钥解密模块,用于接收服务器发送的权限密钥,权限密钥由对应的Ukey生成;
数据接收模块,用于接收服务器发送的存储消息,存储消息携带待存储数据以及存储指令;
数据加密模块,用于根据存储指令加密待存储数据;
数据存储模块,用于根据存储指令存储加密后的待存储数据至存储指令指定的存储设备,存储设备包括当前加密存储设备或非加密存储设备。
在其中一个实施例中,对比认证模块用于确定与当前存储进程对应的临时密钥;通过临时密钥解密权限密钥,当权限密钥内序列号与已存的序列号相同时,判定通过认证,反馈认证通过信号至服务器。
在其中一个实施例中,数据加密模块用于当存储指令指定的存储设备为当前加密存储设备时,通过预设I/O密钥加密待存储数据;当存储指令指定的存储设备为非加密存储设备时,通过权限密钥加密待存储数据。
关于数据存储装置的具体限定可以参见上文中对于数据存储方法的限定,在此不再赘述。上述数据存储装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据存储方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取存储请求,存储请求包括请求的存储设备以及待存储数据,存储设备包括加密存储设备或加密存储设备和非加密存储设备;
查找加密存储设备对应Ukey;
将权限密钥发送至加密存储设备,权限密钥为通过Ukey生成的与加密存储设备对应的权限密钥;
发送存储消息至加密存储设备,存储消息携带待存储数据以及存储指令,存储指令用于控制加密存储设备对待存储数据进行加密,并将加密后的待存储数据存储至加密存储设备或非加密存储设备。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:确定Ukey与加密存储设备的临时密钥,通过Ukey生成随机密钥,根据加密存储设备的序列号以及随机密钥,生成权限密钥;通过临时密钥将权限密钥加密后发送至加密存储设备。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:根据加密存储设备的电子签名信息判定加密存储设备是否与Ukey绑定;当加密存储设备处于与Ukey绑定的状态时,随机生成临时密钥,并将临时密钥发送至加密存储设备与加密存储设备绑定的Ukey;当加密存储设备不处于与Ukey绑定的状态时,查找未处于绑定状态的Ukey,通过交换加密存储设备与未处于绑定状态的Ukey的CA证书,对加密存储设备与未处于绑定状态的Ukey进行身份认证,绑定加密存储设备与未处于绑定状态的Ukey,随机生成临时密钥,并将临时密钥发送至加密存储设备与加密存储设备绑定的Ukey。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当接收到加密存储设备反馈的认证通过消息时,根据请求的存储设备生成存储指令;
根据待存储数据以及存储指令,生成存储消息;将存储消息发送至加密存储设备。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
接收服务器发送的权限密钥,权限密钥由对应的Ukey生成;
接收服务器发送的存储消息,存储消息携带待存储数据以及存储指令;
根据存储指令加密待存储数据;
根据存储指令存储加密后的待存储数据至存储指令指定的存储设备,存储设备包括当前加密存储设备或非加密存储设备。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:确定与当前存储进程对应的临时密钥;通过临时密钥解密权限密钥,当权限密钥内序列号与已存的序列号相同时,判定通过认证,反馈认证通过信号至服务器。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当存储指令指定的存储设备为当前加密存储设备时,通过预设I/O密钥加密待存储数据;当存储指令指定的存储设备为非加密存储设备时,通过权限密钥加密待存储数据。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取存储请求,存储请求包括请求的存储设备以及待存储数据,存储设备包括加密存储设备或加密存储设备和非加密存储设备;
查找加密存储设备对应Ukey;
将权限密钥发送至加密存储设备,权限密钥为通过Ukey生成的与加密存储设备对应的权限密钥;
发送存储消息至加密存储设备,存储消息携带待存储数据以及存储指令,存储指令用于控制加密存储设备对待存储数据进行加密,并将加密后的待存储数据存储至加密存储设备或非加密存储设备。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:确定Ukey与加密存储设备的临时密钥,通过Ukey生成随机密钥,根据Ukey内存储的加密存储设备的序列号以及随机密钥,生成权限密钥;通过临时密钥将权限密钥加密后发送至加密存储设备。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:根据加密存储设备的电子签名信息判定加密存储设备是否与Ukey绑定;当加密存储设备处于与Ukey绑定的状态时,随机生成临时密钥,并将临时密钥发送至加密存储设备与加密存储设备绑定的Ukey;当加密存储设备不处于与Ukey绑定的状态时,查找未处于绑定状态的Ukey,通过交换加密存储设备与未处于绑定状态的Ukey的CA证书,对加密存储设备与未处于绑定状态的Ukey进行身份认证,绑定加密存储设备与未处于绑定状态的Ukey,随机生成临时密钥,并将临时密钥发送至加密存储设备与加密存储设备绑定的Ukey。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当接收到加密存储设备反馈的认证通过消息时,根据请求的存储设备生成存储指令;
根据待存储数据以及存储指令,生成存储消息;将存储消息发送至加密存储设备。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收服务器发送的权限密钥,权限密钥由对应的Ukey生成;
接收服务器发送的存储消息,存储消息携带待存储数据以及存储指令;
根据存储指令加密待存储数据;
根据存储指令存储加密后的待存储数据至存储指令指定的存储设备,存储设备包括当前加密存储设备或非加密存储设备。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:确定与当前存储进程对应的临时密钥;通过临时密钥解密权限密钥,当权限密钥内序列号与已存的序列号相同时,判定通过认证,反馈认证通过信号至服务器。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当存储指令指定的存储设备为当前加密存储设备时,通过预设I/O密钥加密待存储数据;当存储指令指定的存储设备为非加密存储设备时,通过权限密钥加密待存储数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (11)
1.一种数据存储方法,通过存储管理服务器实现,所述方法包括:
获取存储请求,所述存储请求包括请求的存储设备以及待存储数据,所述存储设备包括加密存储设备和非加密存储设备;
查找所述加密存储设备对应Ukey;
将权限密钥发送至所述加密存储设备进行认证,所述权限密钥为通过所述Ukey生成的与所述加密存储设备对应的权限密钥;
发送存储消息至所述加密存储设备,所述存储消息携带待存储数据以及存储指令,所述存储指令用于控制所述加密存储设备对所述待存储数据进行加密,并将加密后的所述待存储数据存储至所述非加密存储设备;
所述将权限密钥发送至所述加密存储设备之前包括:
确定所述Ukey与所述加密存储设备的临时密钥,通过所述Ukey生成随机密钥,根据所述加密存储设备的序列号以及所述随机密钥,生成权限密钥,所述临时密钥具有时效性以及随机性;
将权限密钥发送至所述加密存储设备包括:
通过所述临时密钥将所述权限密钥加密后发送至所述加密存储设备。
2.根据权利要求1所述的方法,其特征在于,所述加密存储设备包括包含有剩余密钥空间的SSD加密盘,非加密存储设备包括SSD非加密盘。
3.根据权利要求1所述的方法,其特征在于,所述查找所述加密存储设备对应Ukey之前还包括:
根据所述加密存储设备的电子签名信息判定所述加密存储设备是否与Ukey绑定;
当所述加密存储设备处于与Ukey绑定的状态时,随机生成临时密钥,并将所述临时密钥发送至所述加密存储设备与所述加密存储设备绑定的Ukey;
当所述加密存储设备不处于与Ukey绑定的状态时,查找未处于绑定状态的Ukey,通过交换所述加密存储设备与所述未处于绑定状态的Ukey的CA证书,对所述加密存储设备与所述未处于绑定状态的Ukey进行身份认证,绑定所述加密存储设备与所述未处于绑定状态的Ukey,随机生成临时密钥,并将所述临时密钥发送至所述加密存储设备与所述加密存储设备绑定的Ukey。
4.根据权利要求1所述的方法,其特征在于,所述发送存储消息至所述加密存储设备包括:
当接收到所述加密存储设备反馈的认证通过消息时,根据所述请求的存储设备生成存储指令;
根据待存储数据以及所述存储指令,生成存储消息;
将所述存储消息发送至所述加密存储设备。
5.一种数据存储方法,应用于加密存储设备,所述方法包括:
接收服务器发送的权限密钥,并对所述权限密钥进行认证,所述权限密钥由对应的Ukey生成;
接收所述服务器发送的存储消息,所述存储消息携带待存储数据以及存储指令;
根据所述存储指令加密所述待存储数据;
根据所述存储指令存储加密后的所述待存储数据至所述存储指令指定的存储设备,所述存储设备为非加密存储设备;
所述权限密钥的生成过程包括:
确定所述Ukey与所述加密存储设备的临时密钥,通过所述Ukey生成随机密钥,根据所述加密存储设备的序列号以及所述随机密钥,生成权限密钥,所述临时密钥具有时效性以及随机性;
所述接收服务器发送的权限密钥包括:
接收服务器发送的通过所述临时密钥加密后的权限密钥。
6.根据权利要求5所述的方法,其特征在于,所述接收所述服务器发送的存储消息之前,还包括:
确定与当前存储进程对应的临时密钥;
通过所述临时密钥解密所述权限密钥,当所述权限密钥内序列号与已存的序列号相同时,判定通过认证,反馈认证通过信号至所述服务器。
7.根据权利要求5所述的方法,其特征在于,所述根据所述存储指令加密所述待存储数据包括:
通过所述权限密钥加密所述待存储数据。
8.一种数据存储装置,其特征在于,所述装置包括:
请求获取模块,用于获取存储请求,所述存储请求包括请求的存储设备以及待存储数据,所述存储设备包括加密存储设备和非加密存储设备;
设备查找模块,用于查找所述加密存储设备对应Ukey;
密钥发送模块,用于将权限密钥发送至所述加密存储设备进行认证,所述权限密钥为通过所述Ukey生成的与所述加密存储设备对应的权限密钥;
数据发送模块,用于发送存储消息至所述加密存储设备,所述存储消息携带待存储数据以及存储指令,所述存储指令用于控制所述加密存储设备对所述待存储数据进行加密,并将加密后的所述待存储数据存储至所述非加密存储设备
所述密钥发送模块具体用于:确定所述Ukey与所述加密存储设备的临时密钥,通过所述Ukey生成随机密钥,根据所述加密存储设备的序列号以及所述随机密钥,生成权限密钥,所述临时密钥具有时效性以及随机性;通过所述临时密钥将所述权限密钥加密后发送至所述加密存储设备。
9.一种数据存储装置,其特征在于,所述装置包括:
密钥解密模块,用于接收服务器发送的权限密钥,并对所述权限密钥进行认证,所述权限密钥由对应的Ukey生成;
数据接收模块,用于接收所述服务器发送的存储消息,所述存储消息携带待存储数据以及存储指令;
数据加密模块,用于根据所述存储指令加密所述待存储数据;
数据存储模块,用于根据所述存储指令存储加密后的所述待存储数据至所述存储指令指定的存储设备,所述存储设备为非加密存储设备;
所述权限密钥的生成过程包括:确定所述Ukey与所述加密存储设备的临时密钥,通过所述Ukey生成随机密钥,根据所述加密存储设备的序列号以及所述随机密钥,生成权限密钥,所述临时密钥具有时效性以及随机性;
所述密钥解密模块用于:接收服务器发送的通过所述临时密钥加密后的权限密钥。
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4或5至7中任一项所述方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4或5至7中任一项所述的方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910747571.4A CN110619237B (zh) | 2019-08-14 | 2019-08-14 | 数据存储方法、装置、计算机设备以及存储介质 |
| PCT/CN2020/104462 WO2021027526A1 (zh) | 2019-08-14 | 2020-07-24 | 数据存储方法、装置、计算机设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910747571.4A CN110619237B (zh) | 2019-08-14 | 2019-08-14 | 数据存储方法、装置、计算机设备以及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110619237A CN110619237A (zh) | 2019-12-27 |
| CN110619237B true CN110619237B (zh) | 2022-08-26 |
Family
ID=68921893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910747571.4A Active CN110619237B (zh) | 2019-08-14 | 2019-08-14 | 数据存储方法、装置、计算机设备以及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110619237B (zh) |
| WO (1) | WO2021027526A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110619237B (zh) * | 2019-08-14 | 2022-08-26 | 江苏芯盛智能科技有限公司 | 数据存储方法、装置、计算机设备以及存储介质 |
| CN112654989B (zh) * | 2020-03-18 | 2022-01-28 | 华为技术有限公司 | 数据保存方法、数据访问方法及相关装置、设备 |
| CN112804494A (zh) * | 2021-01-13 | 2021-05-14 | 广州穗能通能源科技有限责任公司 | 电力施工现场监控方法、系统和存储介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101312453B (zh) * | 2007-05-21 | 2011-11-02 | 联想(北京)有限公司 | 用户终端及其登录网络服务系统的方法 |
| CN101686127A (zh) * | 2008-09-24 | 2010-03-31 | 北京创原天地科技有限公司 | 一种新型的USBKey安全调用方法和USBKey装置 |
| CN104252375B (zh) * | 2013-06-25 | 2017-07-28 | 国际商业机器公司 | 用于位于不同主机的多个虚拟机共享USB Key的方法和系统 |
| CN104951409B (zh) * | 2015-06-12 | 2019-03-08 | 中国科学院信息工程研究所 | 一种基于硬件的全盘加密系统及加密方法 |
| US9871787B2 (en) * | 2016-02-23 | 2018-01-16 | Assured Information Security, Inc. | Authentication processing for a plurality of self-encrypting storage devices |
| CN206348799U (zh) * | 2016-09-19 | 2017-07-21 | 爱国者安全科技(北京)有限公司 | 加密存储装置和安全存储系统 |
| CN108133155A (zh) * | 2017-12-29 | 2018-06-08 | 北京联想核芯科技有限公司 | 数据加密存储方法及装置 |
| CN109711207B (zh) * | 2018-12-29 | 2020-10-30 | 杭州宏杉科技股份有限公司 | 一种数据加密方法及装置 |
| CN110619237B (zh) * | 2019-08-14 | 2022-08-26 | 江苏芯盛智能科技有限公司 | 数据存储方法、装置、计算机设备以及存储介质 |
-
2019
- 2019-08-14 CN CN201910747571.4A patent/CN110619237B/zh active Active
-
2020
- 2020-07-24 WO PCT/CN2020/104462 patent/WO2021027526A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| CN110619237A (zh) | 2019-12-27 |
| WO2021027526A1 (zh) | 2021-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107743133B (zh) | 移动终端及其基于可信安全环境的访问控制方法和系统 | |
| US11909884B2 (en) | Secure distributed information system for public device authentication | |
| US9673975B1 (en) | Cryptographic key splitting for offline and online data protection | |
| US10341091B2 (en) | Secure memory storage | |
| CN108322451B (zh) | 数据处理方法、装置、计算机设备和存储介质 | |
| CN110619237B (zh) | 数据存储方法、装置、计算机设备以及存储介质 | |
| CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
| US8953805B2 (en) | Authentication information generating system, authentication information generating method, client apparatus, and authentication information generating program for implementing the method | |
| CN109768979B (zh) | 数据加密传输方法、装置、计算机设备和存储介质 | |
| TWI724684B (zh) | 用於執行經過身分驗證的加密操作的方法、系統及裝置 | |
| CN111401901B (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN109347813B (zh) | 物联网设备登录方法、系统、计算机设备和存储介质 | |
| CN103888429A (zh) | 虚拟机启动方法、相关设备和系统 | |
| CN114070614A (zh) | 身份认证方法、装置、设备、存储介质和计算机程序产品 | |
| CN114329541A (zh) | 数据加密方法、装置、设备及存储介质 | |
| CN111327591A (zh) | 基于区块链的数据传输方法、系统及存储介质 | |
| CN112087417B (zh) | 终端权限控制方法、装置、计算机设备和存储介质 | |
| CN110659522B (zh) | 存储介质安全认证方法、装置、计算机设备和存储介质 | |
| CN107070648B (zh) | 一种密钥保护方法及pki系统 | |
| CN105072136A (zh) | 一种基于虚拟驱动的设备间安全认证方法和系统 | |
| CN111385266B (zh) | 数据共享方法、装置、计算机设备和存储介质 | |
| CN113645183A (zh) | 数据加密传输方法、系统、计算机设备及存储介质 | |
| CN113595742A (zh) | 数据传输方法、系统、计算机设备和存储介质 | |
| CN110401535B (zh) | 数字证书生成、安全通信、身份认证方法及装置 | |
| CN105227562A (zh) | 基于身份验证的关键业务数据传输中介设备及其使用方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |