CN113326526B - 一种数据访问方法、装置、设备及存储介质 - Google Patents
一种数据访问方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113326526B CN113326526B CN202110700387.1A CN202110700387A CN113326526B CN 113326526 B CN113326526 B CN 113326526B CN 202110700387 A CN202110700387 A CN 202110700387A CN 113326526 B CN113326526 B CN 113326526B
- Authority
- CN
- China
- Prior art keywords
- data
- block
- target
- physical
- data block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种数据访问方法、装置、设备及存储介质,包括:加载物理系统盘中的内核模块文件,以利用所述内核模块文件中的原始系统明文数据启动物理终端的操作系统;获取针对所述原始系统明文数据中的目标系统数据块的修改请求,并将所述修改请求中的修改数据发送至预先创建的虚拟系统盘;通过所述虚拟系统盘对所述修改数据进行加密,并将得到的第一加密数据块保存至预先创建的第一物理存储区。本申请的上述数据访问方法可以在操作系统正常启动的情况下,实现对所述原始系统明文数据的修改数据进行加密保护,有效的提高了数据的安全性。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种数据访问方法、装置、设备及存储介质。
背景技术
现阶段随着信息技术应用创新产业的不断建设,数据安全越来越被人们广为重视。目前利用物理系统盘中的系统数据启动操作系统之后,用户针对系统数据的修改数据也是被写入物理系统盘的。由于在操作系统启动之前无法进行数据解密操作,从而使得上述物理系统盘中的数据需要以明文形式进行保存,否则无法成功启动操作系统。
虽然通过现有的上层文件系统访问物理系统盘时,能够借助一些工具实现一定程度的安全访问控制和实时监测,但是,依然会存在一些安全漏洞,比如,基于上层文件系统的访问控制容易被物理磁盘读写工具从物理磁盘的读写绕过,从而使得物理系统盘中的系统修改数据得不到安全保护。
发明内容
有鉴于此,本发明的目的在于提供一种数据访问方法、装置、设备及存储介质,能够在操作系统顺利启动的情况下,实现对物理终端中系统数据的修改数据进行加密保护,提高数据的安全性。其具体方案如下:
本申请的第一方面提供了一种数据访问方法,包括:
加载物理系统盘中的内核模块文件,以利用所述内核模块文件中的原始系统明文数据启动物理终端的操作系统;
获取针对所述原始系统明文数据中的目标系统数据块的修改请求,并将所述修改请求中的修改数据发送至预先创建的虚拟系统盘;
通过所述虚拟系统盘对所述修改数据进行加密,并将得到的第一加密数据块保存至预先创建的第一物理存储区。
可选的,所述将得到的所述第一加密数据块保存至预先创建的第一物理存储区,包括:
确定所述第一加密数据块在所述第一物理存储区的存储位置,并将所述第一加密数据块保存至所述存储位置。
可选的,所述确定所述第一加密数据块在所述第一物理存储区的存储位置,并将所述第一加密数据块保存至所述存储位置,包括:
根据所述修改请求在所述第一物理存储区域中申请对应的目标存储块;
将所述第一加密数据块保存至所述目标存储块,并记录所述目标系统数据块的块号与所述目标存储块的块号之间的映射关系。
可选的,所述的数据访问方法,还包括:
获取携带有所述目标系统数据块的块号的读取请求;
利用所述读取请求中所述目标系统数据块的块号,检索当前是否已记录有与所述目标系统数据块的块号对应的目标映射关系;
如果检索到当前已记录有所述目标映射关系,则利用所述目标映射关系和所述目标系统数据块的块号,从所述第一物理存储区中读取出位于所述目标存储块的所述第一加密数据块并发送至所述虚拟系统盘,并通过所述虚拟系统盘对所述第一加密数据块进行解密,然后将解密后数据发送至请求发起方;
如果没有检索到当前已记录有所述目标映射关系,则利用所述目标系统数据块的块号,直接从所述物理系统盘中读取出所述目标系统数据块。
可选的,所述的数据访问方法,还包括:
获取用户数据写入请求,并将所述用户数据写入请求中的写入数据发送至预先创建的虚拟加密盘;
通过所述虚拟加密盘对所述写入数据进行加密,并将得到的第二加密数据保存至预先创建的第二物理存储区。
可选的,所述的数据访问方法,还包括:
获取针对所述第二加密数据的读取请求,然后将所述第二物理存储区中的所述第二加密数据发送至所述虚拟加密盘;
通过所述虚拟加密盘对所述第二加密数据进行解密,并将解密后数据发送至请求发起方。
可选的,所述通过所述虚拟加密盘对所述写入数据进行加密,包括:
通过所述虚拟加密盘,获取密钥管理服务器发送的加密密钥,并利用所述加密密钥对所述写入数据进行加密,以得到所述第二加密数据;
相应的,所述通过所述虚拟加密盘对所述第二加密数据进行解密,包括:
通过所述虚拟加密盘,并利用本地硬件指纹信息生成解密密钥,然后利用所述解密密钥对所述第二加密数据进行解密。
本申请的第二方面提供了一种数据访问装置,包括:
操作系统启动模块,用于加载物理系统盘中的内核模块文件,以利用所述内核模块文件中的原始系统明文数据启动物理终端的操作系统;
数据发送模块,用于获取针对所述原始系统明文数据中的目标系统数据块的修改请求,并将所述修改请求中的修改数据发送至预先创建的虚拟系统盘;
数据加密模块,用于通过所述虚拟系统盘对所述修改数据进行加密,并将得到的第一加密数据块保存至预先创建的第一物理存储区。
本申请的第三方面提供了一种电子设备,所述电子设备包括处理器和存储器;其中所述存储器用于存储计算机程序,所述计算机程序由所述处理器加载并执行以实现前述数据访问方法。
本申请的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述数据访问方法。
本申请中,通过加载物理系统盘中的内核模块文件,并利用所述内核模块文件中的原始系统明文数据启动物理终端的操作系统,然后获取针对所述原始系统明文数据中的目标系统数据块的修改请求,并将所述修改请求中的修改数据发送至预先创建的虚拟系统盘,最后通过所述虚拟系统盘对所述修改数据进行加密,并将得到的第一加密数据块保存至预先创建的第一物理存储区。所述内核模块文件中的原始系统明文数据可以保证所述操作系统的顺利启动,并且利用所述虚拟系统盘可以将所述修改数据加密存储在所述第一物理存储区。因此本申请的上述数据访问方法可以实现在操作系统正常启动的情况下,对所述原始系统明文数据的修改数据进行加密保护,有效的提高了数据的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种数据访问方法流程图;
图2为本申请提供的一种具体的数据访问方法流程图;
图3为本申请提供的一种具体的数据访问方法流程图;
图4为本申请提供的一种具体的数据访问方法流程图;
图5为本申请提供的一种具体的数据访问方法示意图;
图6为本申请提供的一种数据访问装置结构示意图;
图7为本申请提供的一种数据访问电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有技术中,在利用物理系统盘中的系统数据启动操作系统之后,用户针对系统数据的修改数据也是被写入物理系统盘的。由于在操作系统启动之前无法进行数据解密操作,因而使得存储在上述物理系统盘的修改数据需要以明文形式进行保存。为了克服上述技术问题,本申请提供了一种数据访问方法,能够在正常启动操作系统的情况下,实现对上述系统数据的修改数据进行加密存储。
图1为本申请实施例提供的一种数据访问方法流程图。参见图1所示,该数据访问方法包括:
S11:加载物理系统盘中的内核模块文件,以利用所述内核模块文件中的原始系统明文数据启动物理终端的操作系统。
本实施例中,首先物理终端加载物理系统盘中的内核模块文件,然后通过内核模块文件中存储的原始系统明文数据启动物理终端的操作系统。可以理解的是,为保证所述物理系统盘内的内核模块的顺利加载,上述原始系统明文数据需要以明文的形式在所述物理系统盘内保存,以保证所述物理系统盘内的内核模块文件顺利加载,进而启动所述物理终端的操作系统。
S12:获取针对所述原始系统明文数据中的目标系统数据块的修改请求,并将所述修改请求中的修改数据发送至预先创建的虚拟系统盘。
本实施例中,文件系统获取针对所述原始系统明文数据中的需要修改的目标系统数据块的修改请求,并将所述修改请求中携带的修改数据发送至预先创建的虚拟系统盘。所述原始系统明文数据以系统数据块的形式存储在上述物理系统盘,并且所述系统数据块在所述物理系统盘中存在对应的块号,所述系统数据块的块号表征其在所述物理系统盘的存储位置。可以理解的是,所述修改请求中可以携带所述目标系统数据块的块号,以便基于所述块号确定所述目标系统数据块在所述物理系统盘的存储位置。
S13:通过所述虚拟系统盘对所述修改数据进行加密,并将得到的第一加密数据块保存至预先创建的第一物理存储区。
本实施例中,通过所述虚拟系统盘对所述修改数据进行加密,所述虚拟系统盘将对所述修改数据加密后得到的所述第一加密数据块发送至预先创建的第一物理存储区,所述第一物理存储区保存所述第一加密数据块。可以理解的是,当所述目标系统数据块未经过修改时,所述第一物理存储区不存在与所述目标系统数据块对应的目标存储块。因而需要根据所述修改请求在所述第一物理存储区中申请对应的目标存储块,并将所述第一加密数据块保存到所述目标存储块中。所述目标存储块在所述第一物理存储区中存在对应的块号,所述目标存储块的块号表征该目标存储块在所述第一物理存储区的存储位置。相应的,记录所述目标系统数据块的块号和所述目标存储块的块号之间的映射关系,以便当再次获取携带有所述目标系统数据块的块号和所述修改数据的修改请求时,基于所述映射关系可以检索到对应的所述目标存储块的块号,进而通过所述目标存储块的块号确定相应的再次修改后得到的数据块的存储位置,并将再次修改后得到的数据块加密保存至所述目标存储块中。
可见,本申请实施例,通过加载物理系统盘中的内核模块文件,并利用所述内核模块文件中的原始系统明文数据启动物理终端的操作系统,然后获取针对所述原始系统明文数据中的目标系统数据块的修改请求,并将所述修改请求中的修改数据发送至预先创建的虚拟系统盘,最后通过所述虚拟系统盘对所述修改数据进行加密,并将得到的第一加密数据块保存至预先创建的第一物理存储区。所述内核模块中的原始系统明文数据可以保证所述操作系统顺利开启,并且利用所述虚拟系统盘可以将所述修改数据加密存储在所述第一物理存储区。因而本实施例提供的数据访问方法可以在操作系统顺利启动的情况下,实现对存储在物理终端中针对原始系统明文数据的修改数据进行加密保护,有效提高了数据的安全性。
图2为本申请实施例提供的一种具体的数据访问方法流程图。参见图3所示,该数据访问方法包括:
S21:获取携带有所述目标系统数据块的块号的读取请求。
本实施例中,文件系统获取携带有所述原始系统明文数据中的目标系统数据块的块号的读取请求。可以理解的是,所述原始系统明文数据以系统数据块的形式存储在所述物理系统盘中,每一个系统数据块都有对应的块号,所述系统数据块的块号表征所述系统数据块在所述物理系统盘中的存储位置。
S22:利用所述读取请求中所述目标系统数据块的块号,检索当前是否已记录有与所述目标系统数据块的块号对应的目标映射关系。
本实施例中,所述目标系统数据块的块号表征所述目标系统数据块在所述第一物理存储区的位置,通过检索当前是否有与所述目标系统数据块的块号对应的目标映射关系,可以判断所述目标系统数据块是否经过修改。可以理解的是,所述目标映射关系为所述目标系统数据块的块号与所述目标存储块的块号之间的映射关系。
S23:如果检索到当前已记录有所述目标映射关系,则利用所述目标映射关系和所述目标系统数据块的块号,从所述第一物理存储区中读取出位于所述目标存储块的所述第一加密数据块并发送至所述虚拟系统盘,并通过所述虚拟系统盘对所述第一加密数据块进行解密,然后将解密后数据发送至请求发起方。
本实施例中,如果检索到当前已记录有所述目标映射关系,则表示所述目标系统数据块经过修改,因而可以根据所述目标映射关系确定出所述目标系统数据块在所述第一物理存储区中对应的目标存储块的块号,然后再利用所述目标系统数据块的块号,从所述第一物理存储区中读取保存于所述目标存储块的所述第一加密数据块,并将所述第一加密数据块发送至所述虚拟系统盘。
例如,假设文件系统获取到了携带有系统数据块A1的块号A1的读取请求,然后利用块号A1检索当前是否已记录有与块号A1对应的映射关系,并假设最终检索到当前已记录有与块号A1对应的映射关系A1-B1,则表明系统数据块A1在此之前已经过修改,并且相应的修改数据被加密保存至第一物理存储区的存储块B1,因此,通过读取第一物理存储区的存储块B1中的加密数据,即可得到与系统数据块A1对应的修改数据。
S24:如果没有检索到当前已记录有所述目标映射关系,则利用所述目标系统数据块的块号,直接从所述物理系统盘中读取出所述目标系统数据块。
本实施例中,如果没有检索到当前已记录有所述目标映射关系,则表示所述目标系统数据块未经过修改,则利用所述目标系统数据块的块号,可以直接从所述物理系统盘中读取出所述目标系统数据块。因为所述目标系统数据块中的数据为明文数据,所以无需对所述数据进行解密,可直接读取。
进一步的,所述映射关系具体的表现形式可以为修改记录表,所述修改记录表用于记录所述目标系统数据块的块号与所述目标存储块的块号之间的映射关系。可以理解的是,若所述目标系统数据块的块号没有对应的目标存储块的块号,则表示该系统数据块未经过修改,因而可以根据所述目标系统数据块的块号,直接从所述物理系统盘中读取出所述目标系统数据块。若所述目标系统数据块的块号存在对应的目标存储块的块号,则基于所述修改记录表记录的映射关系和所述目标系统数据块的块号,可以确定对应的目标存储块在所述第一物理存储区的位置,以便从所述第一物理存储区中读取保存在所述目标存储块的所述第一加密数据块,并将所述第一加密数据块发送至所述虚拟系统盘,进而完成相应的读取操作。
可见,本申请实施例,通过获取携带有所述目标系统数据块的块号的读取请求,然后利用所述读取请求中所述目标系统数据块的块号,检索当前是否已记录有与所述目标系统数据块的块号对应的目标映射关系。如果检索到当前已记录有所述目标映射关系,则利用所述目标映射关系和所述目标系统数据块的块号,从所述第一物理存储区中读取出位于所述目标存储块的所述第一加密数据块并发送至所述虚拟系统盘,并通过所述虚拟系统盘对所述第一加密数据块进行解密,然后将解密后数据发送至请求发起方。如果没有检索到当前已记录有所述目标映射关系,则利用所述目标系统数据块的块号,直接从所述物理系统盘中读取出所述目标系统数据块。通过预设的虚拟系统盘对存储在第一物理存储区的第一加密数据进行解密读取,提高了数据访问过程的安全性,进而使得数据的机密性得到了保障。
图4为本申请实施例提供的一种具体的数据访问方法流程图。参见图4所示,该数据访问方法包括:
S31:获取用户数据写入请求,并将所述用户数据写入请求中的写入数据发送至预先创建的虚拟加密盘。
本实施例中,在物理终端预先创建了一个用于对用户数据进行加密和解密管理的虚拟加密盘,当用户想要对用户数据进行写入时,可以向文件系统发送相应的用户数据写入请求,所述用户数据写入请求携带有相应的写入数据,文件系统获取到用户数据写入请求之后,将上述用户数据写入请求携带的写入数据发送至预先创建的虚拟加密盘。可以理解的是,上述用户数据可以为用户的照片、视频、文字等,用户可以通过文件系统将上述用户数据发送至所述虚拟加密盘。
S32:通过所述虚拟加密盘对所述写入数据进行加密,并将得到的第二加密数据保存至预先创建的第二物理存储区。
本实施例中,通过所述虚拟加密盘对所述写入数据进行加密,然后所述虚拟加密盘将所述第二加密数据保存至预先创建的第二物理存储区,以使得所述第二物理存储区存储的用户数据为密文,进而实现对所述用户数据的加密保护。可以理解的是,通过所述虚拟加密盘对所述写入数据进行加密之前,可以获取密钥管理服务器发送的加密密钥,并利用所述加密密钥对所述写入数据进行加密,以得到所述第二加密数据。需要指出的是,写入数据可以使用国产密码算法SM4进行加密。
可见,本申请实施例通过预设的虚拟加密盘对存储在物理终端的用户数据进行加密,以使得存储在物理终端的用户数据为密文数据,进一步保护了用户的敏感数据,提高了数据的安全性。
图5为本申请实施例提供的一种具体的数据访问方法流程图。参见图5所示,该数据访问方法包括:
S41:获取针对所述第二加密数据的读取请求,然后将所述第二物理存储区中的所述第二加密数据发送至所述虚拟加密盘。
本实施例中,在文件系统获取所述第二加密数据的读取请求后,基于所述读取请求将对应的存储在所第二物理存储区的第二加密数据发送至所述虚拟加密盘。可以理解的是,所述读取请求携带着所述第二加密数据在所述第二物理存储区中的存储地址信息,所述存储地址信息可以为所述第二加密数据在所述第二物理存储区中的块号。因而根据所述第二加密数据在所述第二物理存储区中的块号可以确定所述第二加密数据的存储位置,进而实现对所述第二加密数据的读取。
S42:通过所述虚拟加密盘对所述第二加密数据进行解密,并将解密后数据发送至请求发起方。
本实施例中,通过所述虚拟加密盘对所述第二加密数据进行解密,可以利用本地硬件指纹信息生成解密密钥,然后利用所述解密密钥对所述第二加密数据进行解密。本实施例中,获取到所述解密密钥之前,可以先获取用户发起的携带有待验证信息的解密请求,如果所述待验证信息与预设的合法信息相一致,则可以基于本地硬件指纹信息生成解密密钥。
在一种具体实施方式中,上述基于本地硬件指纹信息生成解密密钥的过程,具体可以包括:利用密钥生成算法,对本地硬件指纹信息和所述待验证信息进行处理,以生成解密密钥。可以理解的是,增加所述待验证信息后生成的解密密钥更加复杂,因而提高了对所述解密密钥的破解难度,使得存储在物理终端的用户数据的安全性得到了进一步保障。
在另一种具体实施方式中,上述基于本地硬件指纹信息生成解密密钥的过程,具体可以包括:利用密钥生成算法,仅对本地硬件指纹信息进行处理,以生成解密密钥。可以理解的是,仅对所述本地硬件指纹信息进行处理得到的解密密钥的生成速度更快,进而使得对加密存储在所述物理终端的用户数据的解密过程效率更高。
可见,本申请实施例,通过预设的虚拟加密盘对存储所述第二物理存储区的第二加密数据进行解密,进而实现对加密存储的用户数据的读取操作。所述用户数据加密存储在所述第二物理存储区,进一步保护了用户的敏感数据,提高了数据的安全性。
参见图5所示下面以某款应用国产操作系统的物理终端的数据访问过程为例,进一步对本申请中的数据访问方法进行说明。
通过加载物理系统盘中的内核模块文件中,并利用所述内核模块文件中的原始系统明文数据启动物理终端的国产操作系统。在启动所述物理终端的国产操作系统之后,驱动预先创建的虚拟系统盘和虚拟加密盘,并启动所述物理终端的文件系统。通过文件系统获取用户发送的针对所述原始系统明文数据中的目标系统数据块的修改请求,并将所述修改请求中的修改数据发送至上述虚拟系统盘。通过所述虚拟系统盘对所述修改数据进行加密,当所述目标系统数据块未经过修改时,根据所述修改请求在所述第一物理存储区域中申请对应的目标存储块,然后将所述第一加密数据块保存至所述目标存储块,并记录所述目标系统数据块的块号与所述目标存储块的块号之间的映射关系。当再次对所述目标存储块进行修改时,将相应的第一加密数据块重定向并加密存储的相应的目标存储块内。当用户想要读取所述第一加密数据时,文件系统获取到获取携带有所述目标系统数据块的块号的读取请求,然后利用所述读取请求中携带的所述目标系统数据块的块号,检索当前是否已记录有与所述目标系统数据块的块号对应的目标映射关系,如果检索到当前已记录有所述目标映射关系,则利用所述目标映射关系和所述目标系统数据块的块号,从所述第一物理存储区中读取出位于所述目标存储块的所述第一加密数据块并发送至所述虚拟系统盘,并通过所述虚拟系统盘对所述第一加密数据块进行解密,然后将解密后数据发送至请求发起方。如果没有检索到当前已记录有所述目标映射关系,则利用所述目标系统数据块的块号,直接从所述物理系统盘中读取出所述目标系统数据块,进而实现相应的读取操作。
当用户想要写入相应的用户数据,文件系统获取用户数据写入请求,并将所述用户数据写入请求中的写入数据发送至预先创建的虚拟加密盘,通过所述虚拟加密盘对所述写入数据进行加密,并将得到的第二加密数据保存至预先创建的第二物理存储区,以完成相应的写入操作。当用户想要读取相应的用户数据,文件系统获取针对所述第二加密数据的读取请求,然后将所述第二物理存储区中的所述第二加密数据发送至所述虚拟加密盘,然后通过所述虚拟加密盘对所述第二加密数据进行解密,并将解密后数据发送至请求发起方,以完成相应的读取操作。所述用户数据在所述物理终端的硬盘中以密文的形式存储,当用户想要写入或读取所述用户数据时,可以通过所述虚拟加密盘进行自动加密和解密。但是离开所述物理终端的使用环境,存储在所述硬盘中加密的数据无法自动解密,因而可以实现对所述用户数据进行透明加密,进而提高了所述用户数据的安全性。
可见,物理终端通过利用所述虚拟系统盘将所述修改数据加密存储在所述第一物理存储区,并且利用所述虚拟加密盘将用户数据加密存储在所述第二物理存储区。当终端电脑的硬盘被拔取后读取数据时,读取到硬盘中的所述第一物理存储区和所述第二物理存储区中的数据均为密文数据,从而进一步提升了对数据的全盘保护力度。
参见图6所示,本申请实施例还相应公开了一种数据访问装置,包括:
操作系统启动模块11,用于加载物理系统盘中的内核模块文件,以利用所述内核模块文件中的原始系统明文数据启动物理终端的操作系统;
数据发送模块12,用于获取针对所述原始系统明文数据中的目标系统数据块的修改请求,并将所述修改请求中的修改数据发送至预先创建的虚拟系统盘;
数据加密模块13,用于通过所述虚拟系统盘对所述修改数据进行加密,并将得到的第一加密数据块保存至预先创建的第一物理存储区。
可见,本申请实施例通过加载物理系统盘中的内核模块文件,并利用所述内核模块文件中的原始系统明文数据启动物理终端的操作系统,然后获取针对所述原始系统明文数据中的目标系统数据块的修改请求,并将所述修改请求中的修改数据发送至预先创建的虚拟系统盘,最后通过所述虚拟系统盘对所述修改数据进行加密,并将得到的第一加密数据块保存至预先创建的第一物理存储区。所述内核模块文件中的原始系统明文数据可以保证所述操作系统的顺利启动,并且利用所述虚拟系统盘可以将所述修改数据加密存储在所述第一物理存储区,可以实现在操作系统正常启动的情况下,对所述原始系统明文数据的修改数据进行加密保护,有效提高了物理终端的数据安全性。
在一些具体实施例中,所述数据加密模块13,具体包括:
数据存储子模块,用于确定所述第一加密数据块在所述第一物理存储区的存储位置,并将所述第一加密数据块保存至所述存储位置。
在一些具体实施例中,所述数据存储子模块,具体包括:
存储块申请单元,用于根据所述修改请求在所述第一物理存储区域中申请对应的目标存储块;
数据块保存单元,用于将所述第一加密数据块保存至所述目标存储块,并记录所述目标系统数据块的块号与所述目标存储块的块号之间的映射关系。
在一些具体实施例中,所述数据访问装置还包括:
请求获取模块,用于获取携带有所述目标系统数据块的块号的读取请求;
映射关系检索模块,用于利用所述读取请求中所述目标系统数据块的块号,检索当前是否已记录有与所述目标系统数据块的块号对应的目标映射关系;
第一数据处理模块,用于如果检索到当前已记录有所述目标映射关系,则利用所述目标映射关系和所述目标系统数据块的块号,从所述第一物理存储区中读取出位于所述目标存储块的所述第一加密数据块并发送至所述虚拟系统盘,并通过所述虚拟系统盘对所述第一加密数据块进行解密,然后将解密后数据发送至请求发起方;
第二数据处理模块,用于如果没有检索到当前已记录有所述目标映射关系,则利用所述目标系统数据块的块号,直接从所述物理系统盘中读取出所述目标系统数据块。
在一些具体实施例中,所述数据访问装置还包括:
写入数据发送模块,用于获取用户数据写入请求,并将所述用户数据写入请求中的写入数据发送至预先创建的虚拟加密盘;
写入数据加密模块,用于通过所述虚拟加密盘对所述写入数据进行加密,并将得到的第二加密数据保存至预先创建的第二物理存储区。
在一些具体实施例中,所述数据访问装置还包括:
第二加密数据发送模块,用于获取针对所述第二加密数据的读取请求,然后将所述第二物理存储区中的所述第二加密数据发送至所述虚拟加密盘;
第二加密数据解密模块,用于通过所述虚拟加密盘对所述第二加密数据进行解密,并将解密后数据发送至请求发起方。
在一些具体实施例中,所述写入数据加密模块具体包括:
密钥加密单元,用于通过所述虚拟加密盘,获取密钥管理服务器发送的加密密钥,并利用所述加密密钥对所述写入数据进行加密,以得到所述第二加密数据。
在一些具体实施例中,所述第二加密数据解密模块具体包括:
密钥解密单元,用于通过所述虚拟加密盘,并利用本地硬件指纹信息生成解密密钥,然后利用所述解密密钥对所述第二加密数据进行解密。
进一步的,本申请实施例还提供了一种电子设备。图7是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图7为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的数据访问方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的数据访问方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请实施例还公开了一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器加载并执行时,实现前述任一实施例公开的数据访问方法步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的数据访问方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种数据访问方法,其特征在于,包括:
加载物理系统盘中的内核模块文件,以利用所述内核模块文件中的原始系统明文数据启动物理终端的操作系统;
获取针对所述原始系统明文数据中的目标系统数据块的修改请求,并将所述修改请求中的修改数据发送至预先创建的虚拟系统盘;
通过所述虚拟系统盘对所述修改数据进行加密,并将得到的第一加密数据块保存至预先创建的第一物理存储区;
所述将得到的所述第一加密数据块保存至预先创建的第一物理存储区,包括:
确定所述第一加密数据块在所述第一物理存储区的存储位置,并将所述第一加密数据块保存至所述存储位置;
所述确定所述第一加密数据块在所述第一物理存储区的存储位置,并将所述第一加密数据块保存至所述存储位置,包括:
根据所述修改请求在所述第一物理存储区域中申请对应的目标存储块;
将所述第一加密数据块保存至所述目标存储块,并记录所述目标系统数据块的块号与所述目标存储块的块号之间的映射关系。
2.根据权利要求1所述的数据访问方法,其特征在于,还包括:
获取携带有所述目标系统数据块的块号的读取请求;
利用所述读取请求中所述目标系统数据块的块号,检索当前是否已记录有与所述目标系统数据块的块号对应的目标映射关系;
如果检索到当前已记录有所述目标映射关系,则利用所述目标映射关系和所述目标系统数据块的块号,从所述第一物理存储区中读取出位于所述目标存储块的所述第一加密数据块并发送至所述虚拟系统盘,并通过所述虚拟系统盘对所述第一加密数据块进行解密,然后将解密后数据发送至请求发起方;
如果没有检索到当前已记录有所述目标映射关系,则利用所述目标系统数据块的块号,直接从所述物理系统盘中读取出所述目标系统数据块。
3.根据权利要求1至2任一项所述的数据访问方法,其特征在于,还包括:
获取用户数据写入请求,并将所述用户数据写入请求中的写入数据发送至预先创建的虚拟加密盘;
通过所述虚拟加密盘对所述写入数据进行加密,并将得到的第二加密数据保存至预先创建的第二物理存储区。
4.根据权利要求3所述的数据访问方法,其特征在于,还包括:
获取针对所述第二加密数据的读取请求,然后将所述第二物理存储区中的所述第二加密数据发送至所述虚拟加密盘;
通过所述虚拟加密盘对所述第二加密数据进行解密,并将解密后数据发送至请求发起方。
5.根据权利要求4所述的数据访问方法,其特征在于,所述通过所述虚拟加密盘对所述写入数据进行加密,包括:
通过所述虚拟加密盘,获取密钥管理服务器发送的加密密钥,并利用所述加密密钥对所述写入数据进行加密,以得到所述第二加密数据;
相应的,所述通过所述虚拟加密盘对所述第二加密数据进行解密,包括:
通过所述虚拟加密盘,并利用本地硬件指纹信息生成解密密钥,然后利用所述解密密钥对所述第二加密数据进行解密。
6.一种数据访问装置,其特征在于,包括:
操作系统启动模块,用于加载物理系统盘中的内核模块文件,以利用所述内核模块文件中的原始系统明文数据启动物理终端的操作系统;
数据发送模块,用于获取针对所述原始系统明文数据中的目标系统数据块的修改请求,并将所述修改请求中的修改数据发送至预先创建的虚拟系统盘;
数据加密模块,用于通过所述虚拟系统盘对所述修改数据进行加密,并将得到的第一加密数据块保存至预先创建的第一物理存储区;
所述将得到的所述第一加密数据块保存至预先创建的第一物理存储区,包括:
确定所述第一加密数据块在所述第一物理存储区的存储位置,并将所述第一加密数据块保存至所述存储位置;
所述确定所述第一加密数据块在所述第一物理存储区的存储位置,并将所述第一加密数据块保存至所述存储位置,包括:
根据所述修改请求在所述第一物理存储区域中申请对应的目标存储块;
将所述第一加密数据块保存至所述目标存储块,并记录所述目标系统数据块的块号与所述目标存储块的块号之间的映射关系。
7.一种电子设备,其特征在于,所述电子设备包括处理器和存储器;其中所述存储器用于存储计算机程序,所述计算机程序由所述处理器加载并执行以实现如权利要求1至5任一项所述的数据访问方法。
8.一种计算机可读存储介质,其特征在于,用于存储计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至5任一项所述的数据访问方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110700387.1A CN113326526B (zh) | 2021-06-23 | 2021-06-23 | 一种数据访问方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110700387.1A CN113326526B (zh) | 2021-06-23 | 2021-06-23 | 一种数据访问方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113326526A CN113326526A (zh) | 2021-08-31 |
CN113326526B true CN113326526B (zh) | 2023-04-25 |
Family
ID=77424448
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110700387.1A Active CN113326526B (zh) | 2021-06-23 | 2021-06-23 | 一种数据访问方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113326526B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116566750B (zh) * | 2023-07-11 | 2023-10-27 | 北京数牍科技有限公司 | 信息发送方法、装置、设备及计算机存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100536473C (zh) * | 2006-11-09 | 2009-09-02 | 华中科技大学 | 一种用于nas存储系统的加密读写方法 |
US7908476B2 (en) * | 2007-01-10 | 2011-03-15 | International Business Machines Corporation | Virtualization of file system encryption |
CN102214127B (zh) * | 2010-11-15 | 2013-01-09 | 上海安纵信息科技有限公司 | 一种基于操作系统虚拟化原理的数据集中存储及备份方法 |
CN103020537B (zh) * | 2011-09-22 | 2015-07-22 | 腾讯科技(深圳)有限公司 | 数据加密方法和装置、数据解密方法和装置 |
CN104636685A (zh) * | 2015-02-25 | 2015-05-20 | 山东超越数控电子有限公司 | 一种龙芯硬件平台上的linux操作系统保护方法 |
CN110826099A (zh) * | 2019-10-30 | 2020-02-21 | 上海华元创信软件有限公司 | 适用于嵌入式实时操作系统的安全存储方法及系统 |
-
2021
- 2021-06-23 CN CN202110700387.1A patent/CN113326526B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN113326526A (zh) | 2021-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9740639B2 (en) | Map-based rapid data encryption policy compliance | |
US10951406B2 (en) | Preventing encryption key recovery by a cloud provider | |
US6378071B1 (en) | File access system for efficiently accessing a file having encrypted data within a storage device | |
EP2751735B1 (en) | Encrypted chunk-based rapid data encryption policy compliance | |
US20100217977A1 (en) | Systems and methods of security for an object based storage device | |
US20100169672A1 (en) | Encryption program operation management system and program | |
US8595493B2 (en) | Multi-phase storage volume transformation | |
US9098713B2 (en) | Clipboard protection system in DRM environment and recording medium in which program for executing method in computer is recorded | |
CN103699854A (zh) | 数据存储方法、数据访问方法及存储设备 | |
CN115758420B (zh) | 文件访问控制方法、装置、设备及介质 | |
JP2022103117A (ja) | 暗号化データを保存するための方法及び設備 | |
CN113326526B (zh) | 一种数据访问方法、装置、设备及存储介质 | |
US8782798B2 (en) | Method and apparatus for protecting data using a virtual environment | |
US8924733B2 (en) | Enabling access to removable hard disk drives | |
JP2009064055A (ja) | 計算機システム及びセキュリティ管理方法 | |
US20140289517A1 (en) | Methods and apparatuses for securing tethered data | |
JP2004326260A (ja) | データ書き込み方法およびデータ読み込み方法と、これらを用いたデータ記録装置 | |
KR101016126B1 (ko) | 데이터 암호화 시스템 및 그 방법 | |
JP2001154919A (ja) | 情報記憶媒体内情報隠蔽方法、暗号化方法、暗号化システム及び情報記憶媒体 | |
JP6919484B2 (ja) | 暗号通信方法、暗号通信システム、鍵発行装置、プログラム | |
JP4613487B2 (ja) | 電子機器、情報処理システム、情報処理装置および方法、プログラム、並びに記録媒体 | |
JP4659032B2 (ja) | 移動型格納装置においてオブジェクトの位置情報を用いて権利オブジェクトを検索する方法および装置 | |
CN114968935A (zh) | 文件操作方法、装置、设备、可读存储介质 | |
JP5539024B2 (ja) | データ暗号化装置およびその制御方法 | |
JP2016111420A (ja) | データ利用制御システム及び方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |