CN112632593B - 数据存储方法、数据处理方法、设备以及存储介质 - Google Patents
数据存储方法、数据处理方法、设备以及存储介质 Download PDFInfo
- Publication number
- CN112632593B CN112632593B CN202110252925.5A CN202110252925A CN112632593B CN 112632593 B CN112632593 B CN 112632593B CN 202110252925 A CN202110252925 A CN 202110252925A CN 112632593 B CN112632593 B CN 112632593B
- Authority
- CN
- China
- Prior art keywords
- data
- encrypted
- account
- ciphertext
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种数据存储方法、数据处理方法、设备以及存储介质,数据存储方法包括:获取来自第二终端的待加密数据和第一加密账号;基于待加密数据,在加密芯片中生成与其相对应的第一密钥,以及第一数据密文和第一密钥密文,其中,第一数据密文由加密芯片利用第一密钥加密待加密数据而得到,第一密钥密文由加密芯片利用第一授权账号加密第一密钥而得到;将第一数据密文和第一密钥密文关联存储至存储器中;将第一密钥密文、第一加密账号和第一授权账号的对应关系存储至加密芯片中。实现对特定用户需要存储的数据进行加密,并安全地将该数据存储到加密存储设备内,且提高了不同用户同时使用加密存储设备的数据的安全性。
Description
技术领域
本申请涉及数据存储和处理技术领域,尤其涉及一种数据存储方法、数据处理方法、设备以及存储介质。
背景技术
随着智能设备的普及应用,智能设备会获取到越来越多的私人数据,比如智能门锁的开关门记录,智能摄像头的摄录内容,虽然智能设备带来了便利和高效,但同时也大大增加了数据安全的风险。目前数据安全已成为人们密切关注的问题,尤其是涉及到隐私数据、技术、财务等机密数据,这些机密数据更需要被安全的保护。现有技术中智能设备一般直接将数据存储在本地的存储设备中,一旦智能设备被别人获取,将能够直接查看对应的数据,造成数据泄露。发明人经过分析发现,即使使用加密存储设备存储数据,现有技术中的加密存储设备也仅是对数据进行简单加密,但同一加密存储设备中的数据可以被不同的用户使用,严重影响不同用户使用同一加密存储设备时的数据安全性。
发明内容
针对现有技术中存在的上述技术问题,本申请提供了一种数据存储方法、数据处理方法、设备以及存储介质,其能够对特定用户需要存储的数据进行加密,并安全地将该数据存储到加密存储设备内。
本申请提供了一种数据存储方法,应用于加密存储设备,所述加密存储设备包括加密芯片和存储器,所述方法包括:
获取来自第二终端的待加密数据和第一加密账号,所述第一加密账号是所述加密芯片预先为特定用户生成的账号;
基于所述待加密数据,在所述加密芯片中生成与其相对应的第一密钥,以及第一数据密文和第一密钥密文,其中,所述第一数据密文由所述加密芯片利用所述第一密钥加密所述待加密数据而得到,所述第一密钥密文由所述加密芯片利用第一授权账号加密所述第一密钥而得到;
将所述第一数据密文和所述第一密钥密文关联存储至存储器中;
将所述第一密钥密文、所述第一加密账号和所述第一授权账号的对应关系存储至所述加密芯片中。
本申请还提供了一种数据处理方法,应用于加密存储设备,所述加密存储设备包括加密芯片和存储器,所述方法包括:
获取来自第三终端的数据标识和第二加密账号,所述数据标识用于指示的第二数据密文,所述第二数据密文由所述加密芯片利用第二密钥加密待加密数据而得到;
利用存储在加密芯片中的至少一条密钥密文和加密账号的对应关系、所述第二数据密文对应的第二密钥密文,以及所述第二加密账号进行认证;其中,所述第二密钥密文由所述加密芯片加密所述第二密钥而得到,所述第二数据密文和所述第二密钥密文关联存储在存储器中;
如果所述认证通过,则利用存储在加密芯片中的至少一条密钥密文和授权账号的对应关系,确定与所述第二加密账号对应的第二授权账号;
利用所述第二授权账号和所述第二密钥密文,在加密芯片中解密所述第二数据密文。
本申请还提供了一种数据存储设备,包括加密存储设备,所述加密存储设备包括加密芯片、存储器和处理器,
所述处理器配置为:获取来自第二终端的待加密数据和第一加密账号,所述第一加密账号是所述加密芯片预先为特定用户生成的账号;
所述加密芯片配置为:基于所述待加密数据,生成与其相对应的第一密钥,以及第一数据密文和第一密钥密文,其中,所述第一数据密文由所述加密芯片利用所述第一密钥加密所述待加密数据而得到,所述第一密钥密文由所述加密芯片利用第一授权账号加密所述第一密钥而得到;存储所述第一密钥密文、所述第一加密账号和所述第一授权账号的对应关系;
所述处理器还配置为:将所述第一数据密文和所述第一密钥密文关联存储至存储器中。
本申请还提供了一种数据处理设备,包括加密存储设备,所述加密存储设备包括加密芯片、存储器和处理器,
所述处理器配置为:获取来自第三终端的数据标识和第二加密账号,所述数据标识用于指示的第二数据密文,所述第二数据密文由所述加密芯片利用第二密钥加密待加密数据而得到;
所述加密芯片配置为:利用存储在加密芯片中的至少一条密钥密文和加密账号的对应关系、所述第二数据密文对应的第二密钥密文,以及所述第二加密账号进行认证;其中,所述第二密钥密文由所述加密芯片加密所述第二密钥而得到,所述第二数据密文和所述第二密钥密文关联存储在所述存储器中;
如果所述认证通过,则利用存储在加密芯片中的至少一条密钥密文和授权账号的对应关系,确定与所述第二加密账号对应的第二授权账号;
利用所述第二授权账号和所述第二密钥密文,解密所述第二数据密文。
本申请还提供了一种存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述数据存储方法的步骤。
与现有技术相比,本申请实施例的有益效果在于:本申请通过预先为特定用户生成第一加密账号,以及在加密芯片中生成与待加密数据对应的第一密钥、第一数据密文和第一密钥密文,实现对待加密数据的加密以及每个用户都有与其对应的第一加密账号,并将所述第一密钥密文、所述第一加密账号和所述第一授权账号的对应关系存储起来,使得加密存储设备对待加密数据加密存储后,只有具有第一加密账号的特定用户才能够查看待加密数据,也就是,具有权限的特定用户才能够查看被加密存储的待加密数据,而没有权限的用户及时拥有上述加密存储设备也无法查看与第一加密账号相关的待加密数据,实现了多个用户可以使用同一加密存储设备,且不同用户存储的待加密数据是相互隔离的,提高了不同用户同时使用加密存储设备的数据的安全性。
附图说明
在不一定按比例绘制的附图中,相同的附图标记可以在不同的视图中描述相似的部件。具有字母后缀或不同字母后缀的相同附图标记可以表示相似部件的不同实例。附图大体上通过举例而不是限制的方式示出各种实施例,并且与说明书以及权利要求书一起用于对所公开的实施例进行说明。在适当的时候,在所有附图中使用相同的附图标记指代同一或相似的部分。这样的实施例是例证性的,而并非旨在作为本装置或方法的穷尽或排他实施例。
图1为本申请实施例加密存储设备与服务器、第一终端和第二终端的连接架构示意图;
图2为本申请实施例数据存储方法的流程图;
图3为本申请实施例数据处理方法的流程图;
图4为本申请实施例加密存储设备的结构示意图。
图中的附图标记所表示的构件:
101-加密存储设备;102-第一终端;103-服务器;104-第二终端;201-加密芯片;202-存储器;203-处理器。
具体实施方式
此处参考附图描述本发明的各种方案以及特征。
本申请的方案采用包括加密芯片和存储器的加密存储设备,并在此基础上改变了加密存储设备存储数据和读取数据的方法,主要包括:1)在存储数据之前增加了绑定加密存储设备和用户的步骤,使加密存储设备在加密芯片中为该特定用户生成对应的加密账号;2)在存储数据的过程中改变了加密和存储的方式,使用密钥来加密待加密的数据,使用授权账号来加密密钥,并将数据密文和密钥密文关联存储在存储器中,将加密账号、授权账号和密钥密文的关联关系存储在加密芯片中;3)在读取数据的过程中增加了利用加密账号进行认证的步骤,使得某个已绑定的用户需要从加密存储设备中读取某个数据时,需要利用加密芯片中的信息进行认证,通过认证才能读取且只能读取该用户自己的数据。采用这样的方式可以提高了加密存储设备中存储的数据的安全性。尤其是,在绑定阶段在存储器中为该特定用户分配特定的存储区域,在存储阶段将数据密文和密钥密文关联存储在自己的区域中,在读取阶段则只能从特定用户自己的存储区域中去读取数据,从而提高了不同用户使用同一个加密存储设备时数据的安全性。
为便于理解,以下将首先将介绍本申请实施例中的数据存储和处理方法所应用的一个示例性的系统,然后分别对数据存储之前的加密存储设备与用户的绑定过程、向加密存储设备中存储数据的过程,以及从加密存储设备中读取数据的过程作说明。
图1是本申请实施例提供的一个示例性的系统架构示意图。本申请提供的方法可以应用在该系统中。该系统中的交互端可以包括位于终端侧的加密存储设备、第一终端102和第二终端104,以及位于服务器侧的服务器103。
加密存储设备可以是存储卡或者存储盘等,加密存储设备与终端(例如第一终端102、第二终端104等)可以通过数据线进行连接,也可通过无线网络进行连接,本申请对此不做具体限定。
第一终端102可以分别与服务器103和加密存储设备连接。第一终端102可以包括但不限于诸如手机、平板电脑、个人计算机(Personal Computer,PC)、可穿戴设备、增强现实(augmented reality,AR)/虚拟现实(virtual reality,VR)设备、个人数字助理(Personal Digital Assistant,PDA)等终端设备,本申请对于第一终端102的具体产品形态/类型不作限定。
示例性地,第一终端102上可以安装有客户端,该客户端可以是用于管理加密存储设备的应用程序。第一终端102的用户可以通过在客户端进行操作,来将加密存储设备与用户进行绑定、读取加密存储设备中的数据等。
第二终端104可为智能手机、智能摄像头、智能门锁、智能空气净化器以及其他产生的数据需要被保护的设备。需要说明的是,第二终端104与第一终端102可以是不同的终端,也可以是同一个终端,本申请对此不作限定。
示例性地,第二终端104上也可以安装有客户端,该客户端可以是用于管理加密存储设备的应用程序。第二终端104的用户可以通过在客户端进行操作,来将需要存储的数据发送给加密存储设备等。需要说明的是,第二终端104上的客户端与第一终端102上的客户端可以相同,也可以存在区别,本申请对此不作限定。
服务器103可以是独立的物理服务器,可以是多个物理服务器构成的服务器集群,也可以是云服务器或者云计算服务中心,还可以是物理服务器和云服务器的结合。本申请对于这些服务器的具体产品形态不作限定。
应理解,上述第一终端102、第二终端104和服务器103之间的通讯连接,可以是直接通信连接,也可以是通过其他设备或模块实现间接的通信连接,本申请对此不作限定。
在加密存储设备与用户绑定的阶段,用户可以在第一终端102的客户端上操作,以便将某个加密存储设备与该用户绑定起来。
在一些实施例中,绑定的过程可以包括步骤S111至步骤S114,这些步骤可以由加密存储设备,或加密存储设备中的处理器来执行。
步骤S111:在第一终端102获取的第一用户账号通过服务器103的验证的情况下,接收来自所述第一终端102的所述第一用户账号。
步骤S112:为所述第一用户账号生成对应的第一加密账号。
步骤S113:将所述第一加密账号发送给第一终端102,以绑定所述第一用户账号和所述第一加密账号。
步骤S114:在存储器中为所述第一用户账号确定对应的存储区域。
第一终端102上应加载有与加密存储设备101对应的管理应用,可理解为上述安装在第一终端102上的客户端。
用户在第一终端102的客户端上输入此前为其创建的第一用户账号以及密码来登录服务器103。在用户输入的第一用户账号通过验证的情况下,即当前客户端用户为合法用户,则将第一用户账号发送给该用户指定的加密存储设备101。如果第一用户账号以及密码无法通过服务器103的验证,说明当前客户端用户为非法用户,则第一终端102不会将第一用户账号发送给任何加密存储设备。
在一种实现方式中,如果当前第一终端102的客户端用户为合法用户,则客户端上可以显示该用户可以使用的一个或多个加密存储设备的设备标识。示例性地,第一终端102的客户端可以搜索局域网内的加密存储设备,然后显示允许被该用户使用的一个或多个加密存储设备的设备标识。第一终端102的客户端用户可以选择设备标识来指定后续想要用来存储数据的加密存储设备。
加密存储设备101在接收到第一用户账号之后,在加密芯片中为第一用户账号生成对应的第一加密账号,并将第一加密账号发送给客户端。客户端接收来自加密存储设备101的第一加密账号,实现绑定第一用户账号与第一加密账号、加密存储设备101的设备标识。上述第一用户账号与第一加密账号、加密存储设备101的设备标识之间的绑定关系可被存储在服务器103中。
可选地,在接收到第一用户账号之后,加密存储设备101还会在存储器中为该第一用户账号分配一个对应的存储区域。加密存储设备101的存储器中可以存在多个这样的存储区域,每个存储区域都具有对应的用户,只有对应的用户才能够使用该存储区域。
本申请提供了一种数据存储方法,应用于加密存储设备101,所述加密存储设备101包括处理器、加密芯片和存储器,如图2所示,所述方法包括步骤S101至步骤S104。
步骤S101:获取来自第二终端104的待加密数据和第一加密账号,所述第一加密账号是所述加密芯片预先为特定用户生成的账号。
第二终端104与第一终端102可为同一终端,也可为不同的终端,第二终端104上可加载有与加密存储设备的管理应用,可理解为上述第二终端104上的客户端。
具体地,用户在第二终端104客户端上登陆其预先创建好的账号(例如第一用户账号),服务器103基于用户登陆的账号向第二终端104发送预先为特定用户(例如第一用户账号所标识的用户)生成的加密账号(例如前述的为第一用户账号生成的第一加密账号),也即已经与该用户绑定的加密存储设备为该用户所生成的加密账号。
示例性地,服务器103可以发送绑定设备列表给客户端,其中包括至少一条数据,每条数据可以包括:与第一用户账号对应的加密存储设备的设备标识,以及该加密存储设备为第一用户生成的加密账号。应理解,其中可以包括前述的第一加密账号,以及其他已绑定的存储设备所生成的加密账号。
用户可以在第二终端104客户端上从上述绑定设备列表中选择想要存储数据的加密存储设备(例如加密存储设备101)。然后第二终端104客户端将该用户登陆时的账号(例如第一用户账号)、第一加密账号以及待加密的数据,发送给该被指定的加密存储设备。
示例性地,第二终端104客户端可以先将该用户登陆时的账号(例如第一用户账号)发送给加密存储设备101。加密存储设备101接收用户登陆时的账号,并记录下目前正在使用的账号。加密存储设备101的处理器可生成一个数据地址,该数据地址用于指示与所述第一用户账号对应的存储区域内的一个存储空间。加密存储设备101将该数据地址发送给第二终端104,第二终端104客户端则通过HTTP请求将第一加密账号与待加密数据发送到该数据地址。
步骤S102:基于所述待加密数据,在所述加密芯片中生成与其相对应的第一密钥,以及第一数据密文和第一密钥密文,其中,所述第一数据密文由所述加密芯片利用所述第一密钥加密所述待加密数据而得到,所述第一密钥密文由所述加密芯片利用第一授权账号加密所述第一密钥而得到。
步骤S103:将所述第一数据密文和所述第一密钥密文关联存储至存储器中。
具体地,加密存储设备101的处理器在接收待加密数据和第一加密账号后,通过加密芯片生成与待加密数据对应的第一密钥和第一授权账号,加密芯片利用第一密钥加密待加密数据生成第一数据密文,以及利用第一授权账号加密第一密钥生成上述第一密钥密文,上述第一数据密文和第一密钥密文是具有关联性的,都是基于第一加密账号和上传的待加密数据生成的,将第一数据密文和第一密钥密文关联存储在加密存储设备101的存储器中,实现上传的待加密数据能够被加密存储设备101采用与第一加密账号相关的第一数据密文和第一密钥密文进行加密,从而保证待加密数据的安全性。
需要说明的是,针对来自第二终端104的不同的待加密数据,加密芯片可以分别生成不同的加密密钥。针对不同的加密密钥,加密芯片可以分别生成不同的授权账号,并利用授权账号来对对应的加密密钥加密。采用这样的方式有利于对不同的数据进行单独管理,有利于提高数据的安全性。
步骤S104:将所述第一密钥密文、所述第一加密账号和所述第一授权账号的对应关系存储至所述加密芯片中。
具体地,加密存储设备101的处理器在接收待加密数据和第一加密账号后,通过加密芯片生成与待加密数据对应的第一密钥和第一授权账号,并利用第一授权账号加密第一密钥生成上述第一密钥密文,可见,第一密钥密文、第一加密账号和第一授权账号是具有对应关系的。将第一密钥密文、第一加密账号和第一授权账号的对应关系存储到加密芯片中,以便后续在用户需要读取加密存储设备中的数据时用于进行认证和解密。示例性地,每个密钥密文具有唯一的密钥密文ID,加密芯片可以关联存储加密ID、授权ID和密钥密文ID。
本申请通过预先为特定用户生成第一加密账号,使得加密存储设备在保存数据的时候能够保存与其绑定过的用户传输的数据,而不会处理未绑定过的用户想传输的数据。通过在加密芯片中生成与待加密数据对应的第一密钥、第一数据密文和第一密钥密文,将所述第一数据密文和所述第一密钥密文关联存储至存储器中,并将所述第一密钥密文、所述第一加密账号和所述第一授权账号的对应关系存储起来,使得加密存储设备101对待加密数据加密存储后,只有具有第一加密账号的特定用户才能够查看待加密数据。当某个用户需要读取加密存储设备中的某个数据时,首先,该用户需要登录到服务器103上,当服务器103验证了用户合法的用户,该用户才能获取到此前绑定过的加密存储设备所生成的加密账号。其次,该加密账号和用户想要读取的数据,需要通过加密存储设备中加密芯片的认证,才能够解密相应的数据。也就是,具有权限的特定用户才能够查看被加密存储的待加密数据,而没有权限的用户即使拥有上述加密存储设备101也无法查看与第一加密账号相关的待加密数据,实现了多个用户可以使用同一加密存储设备101,且不同用户存储的待加密数据是相互隔离的,提高了不同用户同时使用加密存储设备101的数据的安全性。
在一些实施例中,所述第一加密账号与第一用户账号预先绑定,所述第一用户账号用于指示所述特定用户,第一用户账号即为特定用户预先在客户端上创建的账号,在特定用户创建第一用户账号后,加密存储设备101的加密芯片为该第一用户账号生成与其对应的上述第一加密账号,也就是上述第一加密账号与第一用户账号预先绑定。
进一步地,步骤S103:将所述第一数据密文和所述第一密钥密文关联存储至存储器中,包括:将所述第一数据密文和所述第一密钥密文关联存储至与所述第一用户账号对应的存储区域内,其中,所述存储器包括至少一个存储区域,每个所述存储区域各自对应一个用户账号。
具体地,在加密存储设备101的存储器中具有多个存储区域,多个存储区域之间是相互隔离的,且每个存储区域有对应的一个用户账号,当特定用户在客户端上登陆上述第一用户账号时,获取到的待加密数据只能被加密上传在与之对应的一个存储区域内,而不能将待加密数据上传在其他存储区域内,实现了多个用户可以同时使用加密存储设备101进行加密存储数据,保证多个用户账号分别存储的数据之间的独立性和安全性,只能将数据上传到与用户账号对应的存储区域内,有效地提高了数据的安全性。
在一些实施例中,所述获取来自第二终端104的待加密数据和第一加密账号,包括步骤S201至步骤S202。
步骤S201:在第二终端104获取的第一用户账号通过服务器103的验证的情况下,接收来自所述第二终端104的所述第一用户账号。
步骤S202:生成与待加密数据对应的数据地址,所述数据地址用于指示与所述第一用户账号对应的存储区域内的一个存储空间。
具体地,用户在客户端上输入第一用户账号后,服务器103对第一用户账号进行验证,具体通过服务器103上存储的第一用户账号对输入的第一用户账号进行认证,当认证通过的情况下,加密存储设备101的处理器可生成与待加密数据相应的数据地址,并将数据地址存储在与该第一用户账号对应的存储器的存储区域内。由于待加密数据占用的空间比较大,因此设置上述数据地址能够直接指示存储该待加密数据的且与第一用户账号对应的存储空间。
进一步地,将所述第一数据密文和所述第一密钥密文关联存储至与所述第一用户账号对应的存储区域内的步骤,包括步骤S301至步骤S302。
步骤S301:将所述第一数据密文存储在所述数据地址所指示的存储空间中。
步骤S302:在所述存储区域内关联存储所述数据地址以及所述密钥密文。
具体地,上述数据地址能够指示对应的存储空间,上述第一数据密文被存储至该数据地址指示的存储空间,而第一密钥密文与该数据地址则被关联存储在第一用户账号对应的存储区域中,以通过该数据地址直接找到与第一密钥密文对应的数据密文。也就是说,虽然存储第一密钥密文与数据地址的存储空间与存储第一数据密文的存储空间都在第一用户账号对应的存储区域中,但是二者是不同的存储空间。示例性地,在某一个用户账号对应的存储区域中可能存储了多个数据密文,每个数据密文可以对应该存储区域中的一个存储空间,而这多个数据密文对应的第一密钥密文和数据地址,则可以被存储在同一个存储空间之内。可选地,该空间内还可以存储有与数据地址对应的数据密文的名称和数据标识,这些数据可以存储在一个数据列表中。这样,当被服务器103验证通过的第一用户账号被第一终端102发送给加密存储设备后,加密存储设备可以快速地将该用户账号对应的数据列表返回给第一终端102,以便第一终端102的用户可以看到第一用户账号的存储区域中存储的数据的名称等信息,方便用户选择想要读取的数据。在用户选择了想要读取的数据之后,第一终端102可以将数据标识和加密账号发送给加密存储设备。加密存储设备的处理器可以不直接将数据标识对应的密钥密文和对应的数据密文发送给加密芯片,而是先将对应的密钥密文发送给加密芯片,待密钥密文和加密账号被加密芯片认证通过之后,再根据密钥密文对应的数据地址去获取数据密文,发送给加密芯片解密。采用这样的实现方式有助于提高加密存储设备的处理效率。
本申请还提供了一种数据处理方法,应用于加密存储设备101,所述加密存储设备101包括处理器、加密芯片和存储器,如图3所示,所述数据处理方法包括步骤S401至步骤S404。
步骤S401:获取来自第三终端的数据标识和第二加密账号,所述数据标识用于指示的第二数据密文,所述第二数据密文由所述加密芯片利用第二密钥加密待加密数据而得到。
具体地,上述第三终端可与第一终端102为同一终端,也可为不同的终端,用户可以将加密存储设备101与第一终端102连接以加密上传待加密数据,在需要读取,例如查看或下载上述待加密数据时,可以将加密存储设备101与另一终端连接,也就是第三终端,或仍在上传时的终端上操作,也就是第一终端102,该第三终端与第一终端102上均加载有与加密存储设备101对应的管理应用即可,本申请对此不做具体限定。
具体地,服务器103根据用户输入的第二用户账号和密码,确定该第二用户账号和密码是否通过验证,如果通过验证,说明当前用户是合法用户,则将与第二用户账号对应的第二加密账号发送给第三终端。用户在第三终端上选择需要读取的与第二数据密文对应数据标识,并将该数据标识与第二加密账号一起发送给加密存储设备101。加密存储设备101利用第二加密账号对用户的身份进行认证。
在一种实现方式中,在第二用户账号和密码通过服务器103的验证之后,服务器103将已经与第二用户账号绑定过的加密存储设备的设备标识以及对应的加密账号都发送给第三终端。第三终端的用户可以根据设备标识,在其中选择一个想要读取数据的加密存储设备,再将用户选择的这个设备对应的加密账号(例如第二加密账号)发送给该设备。
在一种实现方式中,第三终端并不直接将第二加密账号发送给用户选定的加密存储设备,而是先将第二用户账号发送给该加密存储设备。该加密存储设备可以在自己的存储器中查找与该第二用户账号对应的存储区域,然后将存储区域中的数据列表发送给第三终端,以便第三终端的用户能够了解选定的加密存储设备上具体有哪些该用户可以读取的数据。第三终端的用户可以在数据列表中选择想要读取的数据(例如第二数据密文),然后将该数据的数据标识以及第二加密账号发送给加密存储设备,以便加密存储设备的加密芯片进行后续的认证步骤。
步骤S402:利用存储在加密芯片中的至少一条密钥密文和第二加密账号的对应关系、所述第二数据密文对应的第二密钥密文,以及所述第二加密账号进行认证;其中,所述第二密钥密文由所述加密芯片加密所述第二密钥而得到,所述第二数据密文和所述第二密钥密文关联存储在存储器中。
步骤S403:如果所述认证通过,则利用存储在加密芯片中的至少一条密钥密文和授权账号的对应关系,确定与所述第二加密账号对应的第二授权账号。
具体地,加密存储设备101获取到第二加密账号和数据标识后,处理器在第二用户账号对应的存储区域中查找到该数据标识对应的密钥密文(即第二密钥密文)。然后处理器将第二密钥密文与第二加密账号一起发送给加密芯片。在加密芯片中存储的多条密钥密文和加密账号的对应关系。加密芯片在其中查找是否存在一条对应关系是与第二密钥密文和第二加密账号一致的。如果存在,则加密芯片认为该第二密钥密文与第二加密账号通过认证。如果加密芯片中已存储的对应关系中,不存在任何一条对应关系是与本次接收到的第二密钥密文与第二加密账号一致的,则加密芯片认为该第二密钥密文与第二加密账号未通过认证。在认证通过后,加密芯片确定与第二加密账号对应的第二授权账号,若未通过加密芯片的认证,则无法利用第二授权账号对第二密钥密文进行解密,也就是无法解密第二数据密文。
步骤S404:利用所述第二授权账号和所述第二密钥密文,在加密芯片中解密所述第二数据密文。
具体地,加密存储设备101在其加密芯片确定于第二加密账号对应的第二授权账号后,使用第二授权账号对第二密钥密文进行解密,生成对应的第二密钥明文,加密芯片再使用密钥明文对第二数据密文进行解密从而生成解密后的数据,将解密后的数据生成的数据地址发送给第三终端,第三终端在接收到与第二数据密文对应的数据地址后可进行查看或下载被存储的数据。
需要说明的是,上述存储解密后的数据的数据地址可以是临时数据地址,即解密后的数据被临时存放在一个存储空间中,当第三终端读取了该数据之后,该临时数据地址所指示的存储空间中存放的数据可以被清除,以便提高加密存储设备的安全性。
具体地,上述查看或下载之前加密存储好的数据时,通过与第二用户账号相关的第二加密账号以及第二授权账号对第二数据密文进行解密,从而在服务器103认证了第三终端当前用户的身份之后,由加密存储设备中的加密芯片再对加密账号以及用户选择的数据所对应的密钥密文认证,再进行解密的技术方案,能够有效地保护用户的数据隐私,只有有权限的特定用户才能够查看或下载之前该特定用户加密存储的数据,而没有权限的用户即使拥有上述加密存储设备101也无法查看或下载与第二加密账号相关的待加密数据,实现了多个用户可以使用同一加密存储设备101,且不同用户存储的待加密数据是相互隔离的,提高了不同用户同时使用加密存储设备101的数据的安全性。
此外,由于第一密钥密文、第一加密账号和第一授权账号被存储在加密芯片中,从硬件上保证了第一加密账号和第一授权账号的安全性。存储器中仅存储了第一数据密文和第一密钥密文,即便攻击者攻破了加密存储设备,也仅能从存储器中获得密文,仅能了解到不同存储区域对应的用户账号,而无法直接从加密芯片中获得第一加密账号和第一授权账号,进而无法解密得到第一密钥和数据的明文。即便攻击者仿冒向加密芯片发送加密账号,由于其无法了解加密芯片中已经存储的对应关系,其指定的密钥密文和仿冒的加密账号也很难通过加密芯片的认证,因而也难以使加密芯片对其指定的数据解密。
在一些实施例中,所述第二加密账号与第二用户账号预先绑定,所述第二用户账号用于指示特定用户,第二用户账号即为特定用户预先在客户端上创建的账号,在特定用户创建第二用户账号后,加密存储设备101的加密芯片为该第二用户账号生成与其对应的上述第二加密账号,也就是上述第二加密账号与第二用户账号预先绑定。
进一步地,所述存储器包括至少一个存储区域,每个所述存储区域各自对应一个用户账号;所述第二数据密文和所述第二密钥密文关联存储在与所述第二用户账号对应的存储区域内。
具体地,在加密存储设备101的存储器中具有多个存储区域,多个存储区域之间是相互隔离的,且每个存储区域有对应的一个用户账号,当特定用户在客户端上登陆上述第二用户账号时,获取到的待加密数据只能被加密上传在与之对应的一个存储区域内,而不能将待加密数据上传在其他存储区域内,实现了多个用户可以同时使用加密存储设备101进行加密存储数据,保证多个用户账号分别存储的数据之间的独立性和安全性,只能将数据上传到与用户账号对应的存储区域内,有效地提高了数据的安全性。
在一些实施例中,步骤S401:在获取来自第三终端的数据标识和第二加密账号之前,还包括步骤S411至步骤S412。
步骤S411:在第三终端获取的第二用户账号通过服务器103的验证的情况下,接收来自所述第三终端的所述第二用户账号。
步骤S412:将所述第二用户账号对应的存储区域内与数据密文对应的数据列表发送给所述第三终端;其中,所述数据标识用于指示所述数据列表中的任一数据。
具体地,用户在客户端上输入其创建的第二用户账号,在用户输入的第二用户账号通过验证的情况下,将第二用户账号发送给特定用户指定的加密存储设备101,加密存储设备101的存储器的存储区域内有上述数据列表,数据列表内列有与多个数据密文对应的数据标识,用户在数据列表中选择指示第二数据密文的数据标识,以进行后续对第二数据密文的解密操作。上述数据列表能够将与多个数据密文对应的数据标识清晰展示给用户,以便于用户直观地获取其加密存储过的数据。
本申请还提供了一种数据存储设备,数据存储设备包括加密存储设备101,如图4所示,所述加密存储设备101包括处理器203、加密芯片201和存储器202。
进一步地,所述处理器203配置为:获取来自第二终端104的待加密数据和第一加密账号,所述第一加密账号是所述加密芯片201预先为特定用户生成的账号;所述加密芯片201配置为:基于所述待加密数据,生成与其相对应的第一密钥,以及第一数据密文和第一密钥密文,其中,所述第一数据密文由所述加密芯片201利用所述第一密钥加密所述待加密数据而得到,所述第一密钥密文由所述加密芯片201利用第一授权账号加密所述第一密钥而得到;存储所述第一密钥密文、所述第一加密账号和所述第一授权账号的对应关系;所述处理器203还配置为:将所述第一数据密文和所述第一密钥密文关联存储至存储器202中。
本申请通过预先为特定用户生成第一加密账号,使得加密存储设备在保存数据的时候能够保存与其绑定过的用户传输的数据,而不会处理未绑定过的用户想传输的数据。通过在加密芯片201中生成与待加密数据对应的第一密钥、第一数据密文和第一密钥密文,将所述第一数据密文和所述第一密钥密文关联存储至存储器202中,并将所述第一密钥密文、所述第一加密账号和所述第一授权账号的对应关系存储起来,使得加密存储设备101对待加密数据加密存储后,只有具有第一加密账号的特定用户才能够查看待加密数据。当某个用户需要读取加密存储设备中的某个数据时,首先,该用户需要登录到服务器103上,当服务器103验证了用户合法的用户,该用户才能获取到此前绑定过的加密存储设备所生成的加密账号。其次,该加密账号和用户想要读取的数据,需要通过加密存储设备中加密芯片201的认证,才能够解密相应的数据。也就是,具有权限的特定用户才能够查看被加密存储的待加密数据,而没有权限的用户即使拥有上述加密存储设备101也无法查看与第一加密账号相关的待加密数据,实现了多个用户可以使用同一加密存储设备101,且不同用户存储的待加密数据是相互隔离的,提高了不同用户同时使用加密存储设备101的数据的安全性。
在一些实施例中,所述第一加密账号与第一用户账号预先绑定,所述第一用户账号用于指示所述特定用户;所述加密芯片201还配置为:将所述第一数据密文和所述第一密钥密文关联存储至与所述第一用户账号对应的存储区域内,其中,所述存储器202包括至少一个存储区域,每个所述存储区域各自对应一个用户账号。
在一些实施例中,所述加密芯片201还配置为:在获取来自第二终端104的待加密数据和第一加密账号的步骤之前,还包括:在第一终端102获取的第一用户账号通过服务器103的验证的情况下,接收来自所述第一终端102的所述第一用户账号;为所述第一用户账号生成对应的第一加密账号;将所述第一加密账号发送给第一终端102,以绑定所述第一用户账号和所述第一加密账号;在存储器202中为所述第一用户账号确定对应的存储区域。
在一些实施例中,所述加密芯片201还配置为:在第二终端104获取的第一用户账号通过服务器103的验证的情况下,接收来自所述第二终端104的所述第一用户账号;生成与待加密数据对应的数据地址,所述数据地址用于指示与所述第一用户账号对应的存储区域内的一个存储空间;将所述第一数据密文和所述第一密钥密文关联存储至与所述第一用户账号对应的存储区域内的步骤,包括:将所述第一数据密文存储在所述数据地址所指示的存储空间中;在所述存储区域内关联存储所述数据地址以及所述密钥密文。
本申请还提供了一种数据处理设备,数据处理设备包括加密存储设备101,所述加密存储设备101包括处理器、加密芯片和存储器。
进一步地,所述处理器配置为:获取来自第三终端的数据标识和第二加密账号,所述数据标识用于指示的第二数据密文,所述第二数据密文由所述加密芯片利用第二密钥加密待加密数据而得到;所述加密芯片配置为:利用存储在加密芯片中的至少一条密钥密文和加密账号的对应关系、所述第二数据密文对应的第二密钥密文,以及所述第二加密账号进行认证;其中,所述第二密钥密文由所述加密芯片加密所述第二密钥而得到,所述第二数据密文和所述第二密钥密文关联存储在所述存储器中;如果所述认证通过,则利用存储在加密芯片中的至少一条密钥密文和授权账号的对应关系,确定与所述第二加密账号对应的第二授权账号;利用所述第二授权账号和所述第二密钥密文,解密所述第二数据密文。
具体地,上述第三终端可与第一终端102为同一终端,也可为不同的终端,用户可以将加密存储设备101与第一终端102连接以加密上传待加密数据,在需要读取,例如查看或下载上述待加密数据时,可以将加密存储设备101与另一终端连接,也就是第三终端,或仍在上传时的终端上操作,也就是第一终端102,该第三终端与第一终端102上均加载有与加密存储设备101对应的管理应用即可,本申请对此不做具体限定。
具体地,服务器103根据用户输入的第二用户账号和密码,确定该第二用户账号和密码是否通过验证,如果通过验证,说明当前用户是合法用户,则将与第二用户账号对应的第二加密账号发送给第三终端。用户在第三终端上选择需要读取的与第二数据密文对应数据标识,并将该数据标识与第二加密账号一起发送给加密存储设备101。加密存储设备101利用第二加密账号对用户的身份进行认证。
具体地,加密存储设备101获取到第二加密账号和数据标识后,处理器在第二用户账号对应的存储区域中查找到该数据标识对应的密钥密文(即第二密钥密文)。然后处理器将第二密钥密文与第二加密账号一起发送给加密芯片。在加密芯片中存储的多条密钥密文和加密账号的对应关系。加密芯片在其中查找是否存在一条对应关系是与第二密钥密文和第二加密账号一致的。如果存在,则加密芯片认为该第二密钥密文与第二加密账号通过认证。如果加密芯片中已存储的对应关系中,不存在任何一条对应关系是与本次接收到的第二密钥密文与第二加密账号一致的,则加密芯片认为该第二密钥密文与第二加密账号未通过认证。在认证通过后,加密芯片确定与第二加密账号对应的第二授权账号,若未通过加密芯片的认证,则无法利用第二授权账号对第二密钥密文进行解密,也就是无法解密第二数据密文。具体地,加密存储设备101在其加密芯片确定于第二加密账号对应的第二授权账号后,使用第二授权账号对第二密钥密文进行解密,生成对应的第二密钥明文,加密芯片再使用密钥明文对第二数据密文进行解密从而生成解密后的数据,将解密后的数据生成的数据地址发送给第三终端,第三终端在接收到与第二数据密文对应的数据地址后可进行查看或下载被存储的数据。
需要说明的是,上述存储解密后的数据的数据地址可以是临时数据地址,即解密后的数据被临时存放在一个存储空间中,当第三终端读取了该数据之后,该临时数据地址所指示的存储空间中存放的数据可以被清除,以便提高加密存储设备的安全性。
具体地,上述查看或下载之前加密存储好的数据时,通过与第二用户账号相关的第二加密账号以及第二授权账号对第二数据密文进行解密,从而在服务器103认证了第三终端当前用户的身份之后,由加密存储设备中的加密芯片再对加密账号以及用户选择的数据所对应的密钥密文认证,再进行解密的技术方案,能够有效地保护用户的数据隐私,只有有权限的特定用户才能够查看或下载之前该特定用户加密存储的数据,而没有权限的用户即使拥有上述加密存储设备101也无法查看或下载与第二加密账号相关的待加密数据,实现了多个用户可以使用同一加密存储设备101,且不同用户存储的待加密数据是相互隔离的,提高了不同用户同时使用加密存储设备101的数据的安全性。
此外,由于第一密钥密文、第一加密账号和第一授权账号被存储在加密芯片中,从硬件上保证了第一加密账号和第一授权账号的安全性。存储器中仅存储了第一数据密文和第一密钥密文,即便攻击者攻破了加密存储设备,也仅能从存储器中获得密文,仅能了解到不同存储区域对应的用户账号,而无法直接从加密芯片中获得第一加密账号和第一授权账号,进而无法解密得到第一密钥和数据的明文。即便攻击者仿冒向加密芯片发送加密账号,由于其无法了解加密芯片中已经存储的对应关系,其指定的密钥密文和仿冒的加密账号也很难通过加密芯片的认证,因而也难以使加密芯片对其指定的数据解密。
在一些实施例中,所述第二加密账号与第二用户账号预先绑定,所述第二用户账号用于指示特定用户;所述加密芯片还配置为:所述存储器包括至少一个存储区域,每个所述存储区域各自对应一个用户账号;所述第二数据密文和所述第二密钥密文关联存储在与所述第二用户账号对应的存储区域内。
在一些实施例中,所述加密芯片还配置为:在获取来自第三终端的数据标识和第二加密账号之前,还包括:在第三终端获取的第二用户账号通过服务器103的验证的情况下,接收来自所述第三终端的所述第二用户账号;将所述第二用户账号对应的存储区域内与数据密文对应的数据列表发送给所述第三终端;其中,所述数据标识用于指示所述数据列表中的任一数据。
应理解,本申请实施例中的数据存储设备和数据处理设备仅仅是逻辑上的划分,在实际应用中,二者可以指同一个设备,也可以指不同设备,本申请对此不作限定。在实际应用中,数据存储设备中的加密存储设备和数据处理设备中的加密存储设备可以由同一个设备来实现,也可以由不同设备来实现,本申请对此也不作限定。
本申请还提供了一种存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述数据存储方法的步骤。
注意,根据本申请的各个实施例中的各个单元,可以实现为存储在存储器上的计算机可执行指令,由处理器执行时可以实现相应的步骤;也可以实现为具有相应逻辑计算能力的硬件;也可以实现为软件和硬件的组合(固件)。在一些实施例中,处理器可以实现为FPGA、ASIC、DSP芯片、SOC(片上系统)、MPU(例如但不限于Cortex)、等中的任何一种。处理器可以通信地耦合到存储器并且被配置为执行存储在其中的计算机可执行指令。存储器可以包括只读存储器(ROM)、闪存、随机存取存储器(RAM)、诸如同步DRAM(SDRAM)或Rambus DRAM的动态随机存取存储器(DRAM)、静态存储器(例如,闪存、静态随机存取存储器)等,其上以任何格式存储计算机可执行指令。计算机可执行指令可以被处理器访问,从ROM或者任何其他合适的存储位置读取,并加载到RAM中供处理器执行,以实现根据本申请各个实施例的无线通信方法。
应当注意的是,在本申请的系统的各个部件中,根据其要实现的功能而对其中的部件进行了逻辑划分,但是,本申请不受限于此,可以根据需要对各个部件进行重新划分或者组合,例如,可以将一些部件组合为单个部件,或者可以将一些部件进一步分解为更多的子部件。
本申请的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本申请实施例的系统中的一些或者全部部件的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本申请的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。另外,本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
此外,尽管已经在本文中描述了示例性实施例,其范围包括任何和所有基于本申请的具有等同元件、修改、省略、组合(例如,各种实施例交叉的方案)、改编或改变的实施例。权利要求书中的元件将被基于权利要求中采用的语言宽泛地解释,并不限于在本说明书中或本申请的实施期间所描述的示例,其示例将被解释为非排他性的。因此,本说明书和示例旨在仅被认为是示例,真正的范围和精神由以下权利要求以及其等同物的全部范围所指示。
以上描述旨在是说明性的而不是限制性的。例如,上述示例(或其一个或更多方案)可以彼此组合使用。例如本领域普通技术人员在阅读上述描述时可以使用其它实施例。另外,在上述具体实施方式中,各种特征可以被分组在一起以简单化本申请。这不应解释为一种不要求保护的公开的特征对于任一权利要求是必要的意图。相反,本申请的主题可以少于特定的公开的实施例的全部特征。从而,以下权利要求书作为示例或实施例在此并入具体实施方式中,其中每个权利要求独立地作为单独的实施例,并且考虑这些实施例可以以各种组合或排列彼此组合。本申请的范围应参照所附权利要求以及这些权利要求赋权的等同形式的全部范围来确定。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (8)
1.一种数据存储方法,其特征在于,应用于加密存储设备,所述加密存储设备包括加密芯片和存储器,所述方法包括:
获取来自第二终端的待加密数据和第一加密账号,所述第一加密账号是所述加密芯片预先为特定用户生成的账号;
基于所述待加密数据,在所述加密芯片中生成与其相对应的第一密钥,以及第一数据密文和第一密钥密文,其中,所述第一数据密文由所述加密芯片利用所述第一密钥加密所述待加密数据而得到,所述第一密钥密文由所述加密芯片利用第一授权账号加密所述第一密钥而得到;
将所述第一数据密文和所述第一密钥密文关联存储至存储器中;
将所述第一密钥密文、所述第一加密账号和所述第一授权账号的对应关系存储至所述加密芯片中;其中,
所述第一加密账号与第一用户账号预先绑定,所述第一用户账号用于指示所述特定用户;
将所述第一数据密文和所述第一密钥密文关联存储至存储器中的步骤,包括:
将所述第一数据密文和所述第一密钥密文关联存储至与所述第一用户账号对应的存储区域内,其中,所述存储器包括至少一个存储区域,每个所述存储区域各自对应一个用户账号。
2.根据权利要求1所述的方法,其特征在于,在获取来自第二终端的待加密数据和第一加密账号的步骤之前,还包括:
在第一终端获取的第一用户账号通过服务器的验证的情况下,接收来自所述第一终端的所述第一用户账号;
为所述第一用户账号生成对应的第一加密账号;
将所述第一加密账号发送给第一终端,以绑定所述第一用户账号和所述第一加密账号;
在存储器中为所述第一用户账号确定对应的存储区域。
3.根据权利要求1所述的方法,其特征在于,所述获取来自第二终端的待加密数据和第一加密账号,包括:
在第二终端获取的第一用户账号通过服务器的验证的情况下,接收来自所述第二终端的所述第一用户账号;
生成与待加密数据对应的数据地址,所述数据地址用于指示与所述第一用户账号对应的存储区域内的一个存储空间;
将所述第一数据密文和所述第一密钥密文关联存储至与所述第一用户账号对应的存储区域内的步骤,包括:
将所述第一数据密文存储在所述数据地址所指示的存储空间中;
在所述存储区域内关联存储所述数据地址以及所述密钥密文。
4.一种数据处理方法,其特征在于,应用于加密存储设备,所述加密存储设备包括加密芯片和存储器,所述方法包括:
获取来自第三终端的数据标识和第二加密账号,所述数据标识用于指示的第二数据密文,所述第二数据密文由所述加密芯片利用第二密钥加密待加密数据而得到;
利用存储在加密芯片中的至少一条密钥密文和加密账号的对应关系、所述第二数据密文对应的第二密钥密文,以及所述第二加密账号进行认证;其中,所述第二密钥密文由所述加密芯片加密所述第二密钥而得到,所述第二数据密文和所述第二密钥密文关联存储在存储器中;
如果所述认证通过,则利用存储在加密芯片中的至少一条密钥密文和授权账号的对应关系,确定与所述第二加密账号对应的第二授权账号;
利用所述第二授权账号和所述第二密钥密文,在加密芯片中解密所述第二数据密文;其中
所述第二加密账号与第二用户账号预先绑定,所述第二用户账号用于指示特定用户;
所述存储器包括至少一个存储区域,每个所述存储区域各自对应一个用户账号;所述第二数据密文和所述第二密钥密文关联存储在与所述第二用户账号对应的存储区域内。
5.根据权利要求4所述的方法,其特征在于,在获取来自第三终端的数据标识和第二加密账号之前,还包括:
在第三终端获取的第二用户账号通过服务器的验证的情况下,接收来自所述第三终端的所述第二用户账号;
将所述第二用户账号对应的存储区域内与数据密文对应的数据列表发送给所述第三终端;
其中,所述数据标识用于指示所述数据列表中的任一数据。
6.一种数据存储设备,其特征在于,包括加密存储设备,所述加密存储设备包括加密芯片、存储器和处理器,
所述处理器配置为:获取来自第二终端的待加密数据和第一加密账号,所述第一加密账号是所述加密芯片预先为特定用户生成的账号;
所述加密芯片配置为:基于所述待加密数据,生成与其相对应的第一密钥,以及第一数据密文和第一密钥密文,其中,所述第一数据密文由所述加密芯片利用所述第一密钥加密所述待加密数据而得到,所述第一密钥密文由所述加密芯片利用第一授权账号加密所述第一密钥而得到;存储所述第一密钥密文、所述第一加密账号和所述第一授权账号的对应关系;
所述处理器还配置为:将所述第一数据密文和所述第一密钥密文关联存储至存储器中;其中
所述第一加密账号与第一用户账号预先绑定,所述第一用户账号用于指示所述特定用户;
所述加密芯片还配置为:将所述第一数据密文和所述第一密钥密文关联存储至与所述第一用户账号对应的存储区域内,其中,所述存储器包括至少一个存储区域,每个所述存储区域各自对应一个用户账号。
7.一种数据处理设备,其特征在于,包括加密存储设备,所述加密存储设备包括加密芯片、存储器和处理器,
所述处理器配置为:获取来自第三终端的数据标识和第二加密账号,所述数据标识用于指示的第二数据密文,所述第二数据密文由所述加密芯片利用第二密钥加密待加密数据而得到;
所述加密芯片配置为:利用存储在加密芯片中的至少一条密钥密文和加密账号的对应关系、所述第二数据密文对应的第二密钥密文,以及所述第二加密账号进行认证;其中,所述第二密钥密文由所述加密芯片加密所述第二密钥而得到,所述第二数据密文和所述第二密钥密文关联存储在所述存储器中;
如果所述认证通过,则利用存储在加密芯片中的至少一条密钥密文和授权账号的对应关系,确定与所述第二加密账号对应的第二授权账号;
利用所述第二授权账号和所述第二密钥密文,解密所述第二数据密文;其中,
所述第二加密账号与第二用户账号预先绑定,所述第二用户账号用于指示特定用户;
所述加密芯片还配置为:所述存储器包括至少一个存储区域,每个所述存储区域各自对应一个用户账号;所述第二数据密文和所述第二密钥密文关联存储在与所述第二用户账号对应的存储区域内。
8.一种存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110252925.5A CN112632593B (zh) | 2021-03-09 | 2021-03-09 | 数据存储方法、数据处理方法、设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110252925.5A CN112632593B (zh) | 2021-03-09 | 2021-03-09 | 数据存储方法、数据处理方法、设备以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112632593A CN112632593A (zh) | 2021-04-09 |
CN112632593B true CN112632593B (zh) | 2021-05-25 |
Family
ID=75297624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110252925.5A Active CN112632593B (zh) | 2021-03-09 | 2021-03-09 | 数据存储方法、数据处理方法、设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112632593B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113225336A (zh) * | 2021-05-06 | 2021-08-06 | 安谋科技(中国)有限公司 | 信息加密传输方法、加解密装置、可读介质以及电子设备 |
CN115391849A (zh) * | 2021-05-24 | 2022-11-25 | 荣耀终端有限公司 | 保存密文的方法和装置 |
CN114006695B (zh) * | 2021-10-28 | 2024-02-02 | 杭州海康威视数字技术股份有限公司 | 硬盘数据保护方法、装置、可信平台芯片及电子设备 |
CN114531230B (zh) * | 2021-12-31 | 2024-01-23 | 华能信息技术有限公司 | 基于工业互联网的数据防泄漏系统及方法 |
CN114172650B (zh) * | 2022-02-14 | 2022-05-17 | 北京安盟信息技术股份有限公司 | 一种云计算环境下多用户密钥安全隔离方法及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5298394B2 (ja) * | 2009-09-02 | 2013-09-25 | 独立行政法人情報通信研究機構 | 二機能付きidベース暗号化方法及び暗号システム |
CN101771699A (zh) * | 2010-01-06 | 2010-07-07 | 华南理工大学 | 一种提高SaaS应用安全性的方法及系统 |
US9009487B2 (en) * | 2010-11-19 | 2015-04-14 | International Business Machines Corporation | Device archiving of past cluster binding information on a broadcast encryption-based network |
US10237070B2 (en) * | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
-
2021
- 2021-03-09 CN CN202110252925.5A patent/CN112632593B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN112632593A (zh) | 2021-04-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112632593B (zh) | 数据存储方法、数据处理方法、设备以及存储介质 | |
CN107743133B (zh) | 移动终端及其基于可信安全环境的访问控制方法和系统 | |
US10404670B2 (en) | Data security service | |
US7231526B2 (en) | System and method for validating a network session | |
CA2899027C (en) | Data security service | |
CN106452770B (zh) | 一种数据加密方法、解密方法、装置和系统 | |
US20040098591A1 (en) | Secure hardware device authentication method | |
CN112671779B (zh) | 基于DoH服务器的域名查询方法、装置、设备及介质 | |
CN110690956B (zh) | 双向认证方法及系统、服务器和终端 | |
CN103246850A (zh) | 文件处理方法和装置 | |
JP2006523995A (ja) | 認可証明書におけるユーザ・アイデンティティのプライバシ | |
CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
CN112995144A (zh) | 文件处理方法、系统、可读存储介质及电子设备 | |
CN106789963B (zh) | 非对称白盒密码加密方法和装置及设备 | |
CN110138558B (zh) | 会话密钥的传输方法、设备及计算机可读存储介质 | |
KR102131976B1 (ko) | 사용자 단말 장치 및 이에 의한 개인 정보 제공 방법 | |
JP2024501326A (ja) | アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード | |
CN110807210B (zh) | 一种信息处理方法、平台、系统及计算机存储介质 | |
CN110955909B (zh) | 个人数据保护方法及区块链节点 | |
KR20130085537A (ko) | 암호화된 파일 접근 시스템 및 그 방법 | |
CN116204903A (zh) | 一种财务数据安全管理方法、装置、电子设备及存储介质 | |
CN108985079B (zh) | 数据验证方法和验证系统 | |
CN106789074B (zh) | 一种Java卡的应用身份验证方法及验证系统 | |
Chang et al. | A dependable storage service system in cloud environment | |
CN110263553B (zh) | 基于公钥验证的数据库访问控制方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder |
Address after: 100193 510-3, floor 5, building 5, courtyard 10, northwest Wangdong Road, Haidian District, Beijing Patentee after: Abies Spruce (Beijing) Technology Co.,Ltd. Address before: 100193 C5-4-1, 5th floor, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee before: Abies Spruce (Beijing) Technology Co.,Ltd. |
|
CP02 | Change in the address of a patent holder |