CN113382029A - 文件数据处理方法及装置 - Google Patents

文件数据处理方法及装置 Download PDF

Info

Publication number
CN113382029A
CN113382029A CN202010162436.6A CN202010162436A CN113382029A CN 113382029 A CN113382029 A CN 113382029A CN 202010162436 A CN202010162436 A CN 202010162436A CN 113382029 A CN113382029 A CN 113382029A
Authority
CN
China
Prior art keywords
data
file system
encryption
file
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010162436.6A
Other languages
English (en)
Inventor
张亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN202010162436.6A priority Critical patent/CN113382029A/zh
Publication of CN113382029A publication Critical patent/CN113382029A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/172Caching, prefetching or hoarding of files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Abstract

本申请公开了一种文件数据处理方法及装置。其中,该方法应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,包括:获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将上述加密数据存储至与上述写入请求对应的目标位置。本申请解决了现有的文件数据处理方式中,存在对文件数据进行加密处理时处理效率和安全性较低的技术问题。

Description

文件数据处理方法及装置
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种文件数据处理方法及装置。
背景技术
基于数据存储安全性的考虑,云服务器上的文件存储系统可以将密钥的管理和使用分离,首先,在密钥管理上可以引入KMS等第三方密钥管理系统来保证安全性,文件存储本身只保存密文密钥;其次,在对文件内容进行加密时,可以采用多种加密方案:一种是整体加密方式,传统的文件加密多采用文件整体加密方式实现,该加密方式虽然实现简单,但是每次读写文件时都需要对整个文件内容进行加密解密处理,因此只适用于小型文件(例如,文档、图片等)加密的场景,该加密方式对大型文件(例如,视频、安装包等)时的处理效率则非常差;另一种是分块加密的方式,但该分块加密方式会对写入性能和文件数据的组织管理带来很大挑战。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种文件数据处理方法及装置,以至少解决现有的文件数据处理方式中,存在对文件数据进行加密处理时处理效率和安全性较低的技术问题。
根据本申请实施例的一个方面,提供了一种文件数据处理方法,上述方法应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,上述方法包括:获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将上述加密数据存储至与上述写入请求对应的目标位置。
根据本申请实施例的另一方面,还提供了一种文件数据处理方法,上述方法应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,上述方法包括:获取读取请求,其中,上述读取请求中携带的信息包括:用户标识、待访问文件存储系统的文件系统标识以及待读取的数据范围;基于上述用户标识和上述文件系统标识确定待使用的加密信息;根据上述加密信息对上述待读取的数据范围内的多个数据段进行解密处理,得到解密数据;将上述解密数据返回至客户端。
根据本申请实施例的另一方面,还提供了一种文件数据处理装置,上述装置应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,上述装置包括:获取模块,用于获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;确定模块,用于基于上述用户标识和上述文件系统标识确定待使用的加密信息;加密模块,用于采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;存储模块,用于将上述加密数据存储至与上述写入请求对应的目标位置。
根据本申请实施例的另一方面,还提供了一种文件数据处理装置,上述装置应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,上述装置包括:获取单元,用于获取读取请求,其中,上述读取请求中携带的信息包括:用户标识、待访问文件存储系统的文件系统标识以及待读取的数据范围;确定单元,用于基于上述用户标识和上述文件系统标识确定待使用的加密信息;解密单元,用于根据上述加密信息对上述待读取的数据范围内的多个数据段进行解密处理,得到解密数据;返回单元,用于将上述解密数据返回至客户端。
根据本申请实施例的另一方面,还提供了一种存储介质,上述存储介质包括存储的程序,其中,在上述程序运行时控制上述存储介质所在设备执行任意一项上述的文件数据处理方法。
根据本申请实施例的另一方面,还提供了一种计算机设备,包括存储器和处理器,上述处理器用于运行上述存储器中存储的程序,其中,上述程序运行时执行任意一项上述的文件数据处理方法。
根据本申请实施例的另一方面,还提供了一种文件数据处理系统,包括:处理器;以及存储器,与上述处理器连接,用于为上述处理器提供处理以下处理步骤的指令:获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将上述加密数据存储至与上述写入请求对应的目标位置。
在本申请实施例中,通过获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将上述加密数据存储至与上述写入请求对应的目标位置。
容易注意到的是,本申请实施例基于获取到的写入请求中携带的用户标识和待访问文件存储系统的文件系统标识,确定对当前写入的用户数据进行加密处理所使用的加密信息,并采用该加密信息对该用户数据进行加密处理,进而得到对应的加密数据并将该加密数据存储至与获取到的写入请求对应的目标位置。
由此,本申请实施例达到了提高对文件数据进行加密处理的数据安全性和数据处理效率的目的,从而实现了降低文件系统的系统消耗的技术效果,进而解决了现有的文件数据处理方式中,存在对文件数据进行加密处理时处理效率和安全性较低的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种用于实现文件数据处理方法的计算机终端(或移动设备)的硬件结构框图;
图2是根据本申请实施例的一种文件数据处理方法的流程图;
图3是根据本申请实施例的一种可选的文件数据处理方法的流程图;
图4是根据本申请实施例的另一种文件数据处理方法的流程图;
图5是根据本申请实施例的另一种可选的文件数据处理方法的流程图;
图6是根据本发明实施例的一种文件数据处理装置的结构示意图;
图7是根据本发明实施例的另一种文件数据处理装置的结构示意图;
图8是根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
KMS:密钥管理服务(Key Management Service,简称:KMS)是一款安全、易用的管理类服务。
AES:密码学中的高级加密标准(Advanced Encryption Standard,AES)。
Meta:是HTML语言head区的一个辅助性标签,位于文档的头部,不包含任何内容,标签的属性定义与文档相关联的名称/值对。
实施例1
根据本申请实施例,还提供了一种文件数据处理方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例1所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现文件数据处理方法的计算机终端(或移动设备)的硬件结构框图。如图1所示,计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的文件数据处理方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的文件数据处理方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
在本技术领域中,在引导上传用户数据至云服务器时,由于有些用户数据需要更高的安全性,因而就需要为该用户数据提供加密功能,基于用户设置或者自动生成的密码对该用户数据进行加密处理后再持久化存储;并且,还可以再结合传输加密的方式(在传输过程中将数据加密,在用户客户端接收到数据时再解密),为该用户数据提供全链路的数据加密能力。
在上述运行环境下,本申请提供了如图2所示的一种文件数据处理方法,图2是根据本申请实施例的一种文件数据处理方法的流程图,如图2所示,上述文件数据处理方法,可以应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,包括以下方法步骤:
步骤S202,获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;
步骤S204,基于上述用户标识和上述文件系统标识确定待使用的加密信息;
步骤S206,采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;
步骤S208,将上述加密数据存储至与上述写入请求对应的目标位置。
在本申请实施例中,通过获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将上述加密数据存储至与上述写入请求对应的目标位置。
容易注意到的是,本申请实施例基于获取到的写入请求中携带的用户标识和待访问文件存储系统的文件系统标识,确定对当前写入的用户数据进行加密处理所使用的加密信息,并采用该加密信息对该用户数据进行加密处理,进而得到对应的加密数据并将该加密数据存储至与获取到的写入请求对应的目标位置。
由此,本申请实施例达到了提高对文件数据进行加密处理的数据安全性和数据处理效率的目的,从而实现了降低文件系统的系统消耗的技术效果,进而解决了现有的文件数据处理方式中,存在对文件数据进行加密处理时处理效率和安全性较低的技术问题。
可选的,上述写入请求可以但不限于为将用户数据写入至云服务器的请求,该写入请求中携带的信息可以但不限于包括:用户标识和待访问文件存储系统的文件系统标识,该用户标识和待访问文件存储系统的文件系统标识可以用于确定待使用的加密信息;可选的,上述加密信息包括以下至少之一:待使用的加密算法、加密密钥。
可选的,在本申请实施例中,可以根据用户设置选择待使用的加密算法,还可以但不限于采用分段加密的方式,对当前写入的用户数据进行切分处理之后,采用上述加密信息对分段的用户数据进行并行加密处理得到加密数据,并将该加密数据存储至与写入请求对应的目标位置,进而可以达到提高对用户数据进行加密处理的数据安全性和数据处理效率的目的,并且可以实现降低文件系统的系统消耗的技术效果。
在一种可选的实施例中,上述加密信息至少包括:待使用的加密算法,基于上述用户标识和上述文件系统标识确定上述加密信息包括:
步骤S302,基于上述用户标识和上述文件系统标识获取文件系统的元数据信息;
步骤S304,从上述元数据信息中确定上述加密算法。
可选的,上述加密算法可以但不限于为AES对称加密算法,例如,AES128加密算法、AES192加密算法、AES256加密算法,该加密算法可以通过将明文的用户数据拆分成若干明文块,并按照选择的填充方式开填充最后一个明文块,每个明文块利用AES加密器和密钥进行加密成密文块,拼接所有的密文块得到加密数据。
在上述可选的实施例中,在获取写入请求中携带的用户标识和待访问文件存储系统的文件系统标识之后,可以基于上述用户标识和上述文件系统标识获取文件系统的元数据信息;由于该文件系统的元数据信息中保存有密文密钥和加密算法等信息,进而可以从该文件系统的元数据信息中确定对用户数据进行加密处理所待使用的加密算法。
可选的,由于文件系统的设置级别不同,因而可以为每个文件系统设置不同的加密算法和加密密钥。
在一种可选的实施例中,上述加密信息还包括:加密密钥,基于上述用户标识和上述文件系统标识确定上述加密信息包括:
步骤S402,基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中获取上述加密密钥,或者,如果基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中未获取到上述加密密钥,则向第三方密钥管理系统获取上述加密密钥,其中,上述加密密钥是通过上述第三方密钥管理系统对上述文件系统本地存储的密文密钥进行解密得到的明文密钥。
可选的,上述加密密钥可以但不限于为明文密钥,即通过上述第三方密钥管理系统对上述文件系统本地存储的密文密钥进行解密得到的明文密钥。上述第三方密钥管理系统可以为KMS密钥管理服务系统,该第三方密钥管理系统作为一种可信的外部密钥管理系统,可以采用HTTPS协议保证托管的加密密钥在存储和传输过程中均是安全可靠的。
作为一种可选的实施例,一方面,为了降低系统消耗和延时,该文件系统本地仅存储密文密钥,并不持久化存储用户数据的明文密钥,另一方面,为了避免频繁的请求第三方密钥管理系统的KMS密钥管理服务,该文件系统可以在本地缓存中缓存该明文密钥。
在本申请实施例中,由于该文件系统并不持久化存储用户数据的明文密钥,故该用户数据的数据安全性可以得到保障,即使文件系统被攻击者攻破的情况下,攻击者也只能拿到加密后的用户数据以及密文密钥,无法解密出明文密钥以及明文的用户数据。
因而,在本申请实施例中的加密信息还包括加密密钥的情况下,可以基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中获取上述加密密钥,或者,如果基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中未获取到上述加密密钥,即,该加密密钥不存在于该文件系统的本地缓存中,则向第三方密钥管理系统获取上述加密密钥。
在一种可选的实施例中,上述加密信息还包括:加密密钥,基于上述用户标识和上述文件系统标识确定上述加密信息包括:
步骤S502,基于上述用户标识和上述文件系统标识获取预先在上述文件系统本地生成并在上述文件系统本地进行加密存储的上述加密密钥。
在本申请可选的实施例中,文件系统可以请求第三方密钥管理系统(例如,KMS密钥管理服务系统)的KMS密钥管理服务,但事实上为了避免频繁的请求第三方密钥管理系统的KMS密钥管理服务,或者在没有KMS密钥管理服务的情况下,还可以使用文件系统本地生成并存储的加密密钥进行文件数据的加解密操作。进而在获取写入请求中携带的用户标识和待访问文件存储系统的文件系统标识之后,可以基于上述用户标识和上述文件系统标识,获取预先在文件系统本地生成并加密存储的加密密钥。
可选的,在本申请实施例中,基于安全性的设计要求,该文件系统可以借助第三方密钥管理系统对上述文件系统本地存储的密文密钥进行解密得到该加密密钥。或者在没有第三方密钥管理系统提供KMS密钥管理服务的情况下,该文件系统可以根据预置的加密算法对文件系统本地的明文密钥进行加密后在本地进行存储;还可以获取客户端为用户提供预设通信接口(例如,HTTPS接口)中用户上传的数据密钥,并在文件系统本地对该数据密钥进行加密后得到加密密钥并在本地存储。
需要说明的是,本申请实施例中,为了降低文件系统的系统开销,加密解密算法可以使用专用的加解密硬件进行实现。
在一种可选的实施例中,上述加密信息还包括:加密密钥,基于上述用户标识和上述文件系统标识确定上述加密信息包括:
步骤S602,基于上述用户标识和上述文件系统标识获取客户端通过预设通信接口预先上传至上述文件系统并在上述文件系统本地进行加密存储的上述加密密钥。
可选的,上述预设通信接口可以但不限于为HTTPS接口,需要说明的是,HTTPS超文本传输协议是一种安全的HTTP通道,即在HTTP协议的基础上增加加密传输和身份认证的网络传输协议。
在本申请实施例中,基于安全性的设计要求,在没有第三方密钥管理系统提供KMS密钥管理服务的情况下,该文件系统可以获取客户端为用户提供的预设通信接口中,用户上传的数据密钥,并在文件系统本地对该数据密钥进行加密后得到加密密钥并在本地存储。
在一种可选的实施例中,采用上述加密信息对上述用户数据进行加密处理,得到上述加密数据包括:
步骤S702,按照预设长度将上述用户数据切分为多个数据段;
步骤S704,采用上述加密信息对上述多个数据段进行并行加密处理,得到上述加密数据。
可选的,由于在对用户数据进行改动和读取时,对全部文件内容做加密和解密的方式只适用于小文件,且导致文件系统的性能损耗较高和CPU资源浪费;因而在本申请实施例中采用对用户数据进行分段加密的方式,按照预设长度将上述用户数据切分为多个数据段,采用上述加密信息对上述多个数据段进行并行加密处理,得到上述加密数据。
在本申请实施例中,采用对用户数据进行分段加密的方式,可以有效降低文件系统在对用户数据进行加密处理时的性能损耗,提升文件系统的数据读写效率。
在一种可选的实施例中,将上述加密数据存储至上述目标位置包括:
步骤S802,检查上述加密数据中是否存在不符合与上述目标位置对应的数据对齐规则的第一部分数据;
步骤S804,如果存在,则对上述第一部分数据进行合并处理,得到合并数据,并将上述合并数据与上述加密数据中除上述第一部分数据之外的第二部分数据存储至上述目标位置;如果不存在,则直接将上述加密数据存储至上述目标位置。
作为一种可选的实施例,由于文件系统对加密数据的处理是随机读写的,在写入加密数据至目标位置时,如果写入的加密数据存在与目标位置对应的数据对齐规则不符合的第一部分数据,则可能会存在系统性能问题,因而在本申请实施例中可以对不对齐的第一部分数据进行合并处理,并将得到的合并数据与上述加密数据中除上述第一部分数据之外的第二部分数据存储至上述目标位置。
由于本申请实施例中仅需要对不对齐的第一部分数据进行合并处理,而不需要对整个数据块进行合并处理,可以实现将需要合并处理的数据范围最小化,降低了文件系统的系统开销和写入延时。
以下通过一种可选的实施例对本申请提供的文件处理方法实施例进行阐明,图3是根据本申请实施例的一种可选的文件数据处理方法的流程图,如图3所示,上述可选的文件数据处理方法,可以应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,具体以下方法步骤实现:
步骤S902,获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;
步骤S904,基于上述用户标识和上述文件系统标识确定待使用的加密信息;
步骤S906,按照预设长度将上述用户数据切分为多个数据段;
步骤S908,采用上述加密信息对上述多个数据段进行并行加密处理,得到上述加密数据;
步骤S910,检查上述加密数据中是否存在不符合与上述目标位置对应的数据对齐规则的第一部分数据;
其中,在上述步骤S910中,如果检查结果指示存在,则执行步骤S912,如果检查结果指示不存在,则执行步骤S914。
步骤S912,对上述第一部分数据进行合并处理,得到合并数据,并将上述合并数据与上述加密数据中除上述第一部分数据之外的第二部分数据存储至上述目标位置。
步骤S914,直接将上述加密数据存储至上述目标位置。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例2
根据本申请实施例,还提供了一种文件数据处理方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在与实施例1中相同或相似的运行环境下,本申请提供了如图4所示的另一种文件数据处理方法,图4是根据本申请实施例的另一种文件数据处理方法的流程图,如图4所示,上述文件数据处理方法可以应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,包括以下方法步骤:
步骤S1002,获取读取请求,其中,上述读取请求中携带的信息包括:用户标识、待访问文件存储系统的文件系统标识以及待读取的数据范围;
步骤S1004,基于上述用户标识和上述文件系统标识确定待使用的加密信息;
步骤S1006,根据上述加密信息对上述待读取的数据范围内的多个数据段进行解密处理,得到解密数据;
步骤S1008,将上述解密数据返回至客户端。
在本申请实施例中,通过获取读取请求,其中,上述读取请求中携带的信息包括:用户标识、待访问文件存储系统的文件系统标识以及待读取的数据范围;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对上述待读取的数据范围内的多个数据段进行解密处理,得到解密数据;将上述解密数据返回至客户端。
容易注意到的是,本申请实施例基于获取到的读取请求中携带的用户标识和待访问文件存储系统的文件系统标识,确定对用户数据进行解密处理所使用的加密信息,并采用该加密信息对上述待读取的数据范围内的多个数据段进行解密处理,进而得到对应的解密数据并将该解密数据返回至客户端。
由此,本申请实施例达到了提高对加密数据进行解密处理的数据安全性和数据处理效率的目的,从而实现了降低文件系统的系统消耗的技术效果,进而解决了现有的文件数据处理方式中,存在对加密数据进行解密处理时处理效率和安全性较低的技术问题。
可选的,上述读取请求可以但不限于为读取云服务器写入中的文件数据的请求,该读取请求中携带的信息可以但不限于包括:用户标识、待访问文件存储系统的文件系统标识以及待读取的数据范围,该用户标识和待访问文件存储系统的文件系统标识可以用于确定待使用的加密信息。
可选的,上述加密信息包括以下至少之一:加密时使用的加密算法、加密时使用的加密密钥。
可选的,在本申请实施例中,在对用户数据进行加密处理时,可以根据用户设置选择待使用的加密算法,还可以但不限于采用分段加密的方式,对当前写入的用户数据进行切分处理之后,采用上述加密信息对分段的用户数据进行并行加密处理得到加密数据,并将该加密数据存储至与写入请求对应的目标位置。
因而,在对该加密数据进行解密处理时,可以根据基于上述用户标识和上述文件系统标识确定的加密信息,对上述待读取的数据范围内的多个数据段进行解密处理,得到解密数据,进而将上述解密数据返回至客户端,由此,可以达到提高对加密数据进行解密处理的数据安全性和数据处理效率的目的,并且可以实现降低文件系统的系统消耗的技术效果。
在一种可选的实施例中,上述加密信息至少包括:待使用的加密算法,基于上述用户标识和上述文件系统标识确定上述加密信息包括:
步骤S1102,基于上述用户标识和上述文件系统标识获取文件系统的元数据信息;
步骤S1104,从上述元数据信息中确定上述加密算法。
可选的,上述加密算法可以但不限于为AES对称加密算法,例如,AES128加密算法、AES192加密算法、AES256加密算法,该加密算法可以通过将明文的用户数据拆分成若干明文块,并按照选择的填充方式开填充最后一个明文块,每个明文块利用AES加密器和密钥进行加密成密文块,拼接所有的密文块得到加密数据。
在上述可选的实施例中,在获取写入请求中携带的用户标识和待访问文件存储系统的文件系统标识之后,可以基于上述用户标识和上述文件系统标识获取文件系统的元数据信息;由于该文件系统的元数据信息中保存有密文密钥和加密算法等信息,进而可以从该文件系统的元数据信息中确定对用户数据进行加密处理所待使用的加密算法。
可选的,由于文件系统的设置级别不同,因而可以为每个文件系统设置不同的加密算法和加密密钥。
在一种可选的实施例中,上述加密信息还包括:加密密钥,基于上述用户标识和上述文件系统标识确定上述加密信息包括:
步骤S1202,基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中获取上述加密密钥,或者,如果基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中未获取到上述加密密钥,则向第三方密钥管理系统获取上述加密密钥,其中,上述加密密钥是通过上述第三方密钥管理系统对上述文件系统本地存储的密文密钥进行解密得到的明文密钥。
可选的,上述加密密钥可以但不限于为明文密钥,即通过上述第三方密钥管理系统对上述文件系统本地存储的密文密钥进行解密得到的明文密钥。上述第三方密钥管理系统可以为KMS密钥管理服务系统,该第三方密钥管理系统作为一种可信的外部密钥管理系统,可以采用HTTPS协议保证托管的加密密钥在存储和传输过程中均是安全可靠的。
作为一种可选的实施例,一方面,为了降低系统消耗和延时,该文件系统本地仅存储密文密钥,并不持久化存储用户数据的明文密钥,另一方面,为了避免频繁的请求第三方密钥管理系统的KMS密钥管理服务,该文件系统可以在本地缓存中缓存该明文密钥。
在本申请实施例中,由于该文件系统并不持久化存储用户数据的明文密钥,故该用户数据的数据安全性可以得到保障,即使文件系统被攻击者攻破的情况下,攻击者也只能拿到加密后的用户数据以及密文密钥,无法解密出明文密钥以及明文的用户数据。
因而,在本申请实施例中的加密信息还包括加密密钥的情况下,可以基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中获取上述加密密钥,或者,如果基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中未获取到上述加密密钥,即,该加密密钥不存在于该文件系统的本地缓存中,则向第三方密钥管理系统获取上述加密密钥。
在一种可选的实施例中,上述加密信息还包括:加密密钥,基于上述用户标识和上述文件系统标识确定上述加密信息包括:
步骤S1302,基于上述用户标识和上述文件系统标识获取预先在上述文件系统本地生成并在上述文件系统本地进行加密存储的上述加密密钥。
在本申请可选的实施例中,文件系统可以请求第三方密钥管理系统(例如,KMS密钥管理服务系统)的KMS密钥管理服务,但事实上为了避免频繁的请求第三方密钥管理系统的KMS密钥管理服务,或者在没有KMS密钥管理服务的情况下,还可以使用文件系统本地生成并存储的加密密钥进行文件数据的加解密操作。进而在获取写入请求中携带的用户标识和待访问文件存储系统的文件系统标识之后,可以基于上述用户标识和上述文件系统标识,获取预先在文件系统本地生成并加密存储的加密密钥。
可选的,在本申请实施例中,基于安全性的设计要求,该文件系统可以借助第三方密钥管理系统对上述文件系统本地存储的密文密钥进行解密得到该加密密钥。或者在没有第三方密钥管理系统提供KMS密钥管理服务的情况下,该文件系统可以根据预置的加密算法对文件系统本地的明文密钥进行加密后在本地进行存储;还可以获取客户端为用户提供预设通信接口(例如,HTTPS接口)中用户上传的数据密钥,并在文件系统本地对该数据密钥进行加密后得到加密密钥并在本地存储。
需要说明的是,本申请实施例中,为了降低文件系统的系统开销,加密解密算法可以使用专用的加解密硬件进行实现。
在一种可选的实施例中,上述加密信息还包括:加密密钥,基于上述用户标识和上述文件系统标识确定上述加密信息包括:
步骤S1402,基于上述用户标识和上述文件系统标识获取客户端通过预设通信接口预先上传至上述文件系统并在上述文件系统本地进行加密存储的上述加密密钥。
可选的,上述预设通信接口可以但不限于为HTTPS接口,需要说明的是,HTTPS超文本传输协议是一种安全的HTTP通道,在HTTP协议的基础上增加加密传输和身份认证的网络传输协议。
在本申请实施例中,基于安全性的设计要求,在没有第三方密钥管理系统提供KMS密钥管理服务的情况下,该文件系统可以获取客户端为用户提供的预设通信接口中,用户上传的数据密钥,并在文件系统本地对该数据密钥进行加密后得到加密密钥并在本地存储。
在一种可选的实施例中,图5是根据本申请实施例的另一种可选的文件数据处理方法的流程图,如图5所示,根据上述加密信息对上述多个数据段进行解密处理,得到上述解密数据包括:
步骤S1502,获取上述加密信息对应的解密信息;
步骤S1504,采用上述解密信息对上述多个数据段进行并行解密处理,得到上述解密数据。
可选的,由于在对用户数据进行改动和读取时,对全部文件内容做加密和解密的方式只适用于小文件,且导致文件系统的性能损耗较高和CPU资源浪费;因而在本申请实施例中采用对用户数据进行分段加密的方式,按照预设长度将上述用户数据切分为多个数据段,采用上述加密信息对上述多个数据段进行并行加密处理,得到上述加密数据。因而,在根据上述加密信息对上述多个数据段进行解密处理时,可以获取上述加密信息对应的解密信息,采用上述解密信息对上述多个数据段进行并行解密处理,得到上述解密数据。
在本申请实施例中,采用对用户数据进行分段加密和解密的方式,可以有效降低文件系统在对用户数据进行加密和解密处理时的性能损耗,提升文件系统的数据读写效率。
此外,仍需要说明的是,本实施例的可选或优选实施方式可以参见实施例1中的相关描述,此处不再赘述。
实施例3
根据本申请实施例,还提供了一种用于实施上述文件数据处理方法的装置实施例,该文件数据处理装置可以应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,图6是根据本发明实施例的一种文件数据处理装置的结构示意图,如图6所示,该装置600包括:获取模块602、确定模块604、加密模块606和存储模块608,其中:
获取模块602,用于获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;确定模块604,用于基于上述用户标识和上述文件系统标识确定待使用的加密信息;加密模块606,用于采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;存储模块608,用于将上述加密数据存储至与上述写入请求对应的目标位置。
此处需要说明的是,上述获取模块602、确定模块604、加密模块606和存储模块608对应于实施例1中的步骤S202至步骤S208,四个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例1提供的计算机终端10中。
此外,仍需要说明的是,本实施例的可选或优选实施方式可以参见实施例1和2中的相关描述,此处不再赘述。
实施例4
根据本申请实施例,还提供了另一种用于实施上述文件数据处理方法的装置实施例,该文件数据处理装置可以应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,图7是根据本发明实施例的另一种文件数据处理装置的结构示意图,如图7所示,该装置700包括:获取单元702、确定单元704、解密单元706和返回单元708,其中:
获取单元702,用于获取读取请求,其中,上述读取请求中携带的信息包括:用户标识、待访问文件存储系统的文件系统标识以及待读取的数据范围;确定单元704,用于基于上述用户标识和上述文件系统标识确定待使用的加密信息;解密单元706,用于根据上述加密信息对上述待读取的数据范围内的多个数据段进行解密处理,得到解密数据;返回单元708,用于将上述解密数据返回至客户端。
此处需要说明的是,上述获取单元702、确定单元704、解密单元706和返回单元708对应于实施例2中的步骤S1002至步骤S1006,四个单元与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例2所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例1提供的计算机终端10中。
此外,仍需要说明的是,本实施例的可选或优选实施方式可以参见实施例1和2中的相关描述,此处不再赘述。
实施例5
根据本申请实施例,还提供了一种文件数据处理系统的实施例,该系统可用于执行实施例1或2中任一种可选的文件数据处理方法,还可以用于执行实施例3或4中任一种可选的文件数据处理装置,该系统包括:
处理器;以及存储器,与上述处理器连接,用于为上述处理器提供处理以下处理步骤的指令:获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将上述加密数据存储至与上述写入请求对应的目标位置。
在本申请实施例中,通过获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将上述加密数据存储至与上述写入请求对应的目标位置。
容易注意到的是,本申请实施例基于获取到的写入请求中携带的用户标识和待访问文件存储系统的文件系统标识,确定对当前写入的用户数据进行加密处理所使用的加密信息,并采用该加密信息对该用户数据进行加密处理,进而得到对应的加密数据并将该加密数据存储至与获取到的写入请求对应的目标位置。
由此,本申请实施例达到了提高对文件数据进行加密处理的数据安全性和数据处理效率的目的,从而实现了降低文件系统的系统消耗的技术效果,进而解决了现有的文件数据处理方式中,存在对文件数据进行加密处理时处理效率和安全性较低的技术问题。
此外,仍需要说明的是,本实施例的可选或优选实施方式可以参见实施例1和2中的相关描述,此处不再赘述。
实施例6
根据本申请实施例,还提供了提供一种计算机终端的实施例,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的文件数据处理方法中以下步骤的程序代码:获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将上述加密数据存储至与上述写入请求对应的目标位置。
可选地,图8是根据本申请实施例的一种计算机终端的结构框图,如图8所示,该计算机终端800可以包括:一个或多个(图中仅示出一个)处理器802、存储器804、以及外设接口806。
其中,存储器可用于存储软件程序以及模块,如本申请实施例中的文件数据处理方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的文件数据处理方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将上述加密数据存储至与上述写入请求对应的目标位置。
可选的,上述处理器还可以执行如下步骤的程序代码:基于上述用户标识和上述文件系统标识获取文件系统的元数据信息;从上述元数据信息中确定上述加密算法。
可选的,上述处理器还可以执行如下步骤的程序代码:基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中获取上述加密密钥,或者,如果基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中未获取到上述加密密钥,则向第三方密钥管理系统获取上述加密密钥,其中,上述加密密钥是通过上述第三方密钥管理系统对上述文件系统本地存储的密文密钥进行解密得到的明文密钥。
可选的,上述处理器还可以执行如下步骤的程序代码:基于上述用户标识和上述文件系统标识获取预先在上述文件系统本地生成并在上述文件系统本地进行加密存储的上述加密密钥。
可选的,上述处理器还可以执行如下步骤的程序代码:基于上述用户标识和上述文件系统标识获取客户端通过预设通信接口预先上传至上述文件系统并在上述文件系统本地进行加密存储的上述加密密钥。
可选的,上述处理器还可以执行如下步骤的程序代码:按照预设长度将上述用户数据切分为多个数据段;采用上述加密信息对上述多个数据段进行并行加密处理,得到上述加密数据。
可选的,上述处理器还可以执行如下步骤的程序代码:检查上述加密数据中是否存在不符合与上述目标位置对应的数据对齐规则的第一部分数据;如果存在,则对上述第一部分数据进行合并处理,得到合并数据,并将上述合并数据与上述加密数据中除上述第一部分数据之外的第二部分数据存储至上述目标位置;如果不存在,则直接将上述加密数据存储至上述目标位置。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:获取读取请求,其中,上述读取请求中携带的信息包括:用户标识、待访问文件存储系统的文件系统标识以及待读取的数据范围;基于上述用户标识和上述文件系统标识确定待使用的加密信息;根据上述加密信息对上述待读取的数据范围内的多个数据段进行解密处理,得到解密数据;将上述解密数据返回至客户端。
可选的,上述处理器还可以执行如下步骤的程序代码:基于上述用户标识和上述文件系统标识获取文件系统的元数据信息;从上述元数据信息中确定上述加密算法。
可选的,上述处理器还可以执行如下步骤的程序代码:基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中获取上述加密密钥,或者,如果基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中未获取到上述加密密钥,则向第三方密钥管理系统获取上述加密密钥,其中,上述加密密钥是通过上述第三方密钥管理系统对上述文件系统本地存储的密文密钥进行解密得到的明文密钥。
可选的,上述处理器还可以执行如下步骤的程序代码:基于上述用户标识和上述文件系统标识获取预先在上述文件系统本地生成并在上述文件系统本地进行加密存储的上述加密密钥。
可选的,上述处理器还可以执行如下步骤的程序代码:基于上述用户标识和上述文件系统标识获取客户端通过预设通信接口预先上传至上述文件系统并在上述文件系统本地进行加密存储的上述加密密钥。
可选的,上述处理器还可以执行如下步骤的程序代码:获取上述加密信息对应的解密信息;采用上述解密信息对上述多个数据段进行并行解密处理,得到上述解密数据。
采用本申请实施例,提供了一种文件数据处理的方案。通过获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将上述加密数据存储至与上述写入请求对应的目标位置。
由此,本申请实施例达到了提高对文件数据进行加密处理的数据安全性和数据处理效率的目的,从而实现了降低文件系统的系统消耗的技术效果,进而解决了现有的文件数据处理方式中,存在对文件数据进行加密处理时处理效率和安全性较低的技术问题。
本领域普通技术人员可以理解,图8所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图8其并不对上述电子装置的结构造成限定。例如,计算机终端800还可包括比图8中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图8所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例7
根据本申请实施例,还提供了提供一种存储介质的实施例,可选地,在本实施例中,上述存储介质可以用于保存上述实施例1或2所提供的文件数据处理方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取写入请求,其中,上述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于上述用户标识和上述文件系统标识确定待使用的加密信息;采用上述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将上述加密数据存储至与上述写入请求对应的目标位置。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:基于上述用户标识和上述文件系统标识获取文件系统的元数据信息;从上述元数据信息中确定上述加密算法。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中获取上述加密密钥,或者,如果基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中未获取到上述加密密钥,则向第三方密钥管理系统获取上述加密密钥,其中,上述加密密钥是通过上述第三方密钥管理系统对上述文件系统本地存储的密文密钥进行解密得到的明文密钥。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:基于上述用户标识和上述文件系统标识获取预先在上述文件系统本地生成并在上述文件系统本地进行加密存储的上述加密密钥。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:基于上述用户标识和上述文件系统标识获取客户端通过预设通信接口预先上传至上述文件系统并在上述文件系统本地进行加密存储的上述加密密钥。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:按照预设长度将上述用户数据切分为多个数据段;采用上述加密信息对上述多个数据段进行并行加密处理,得到上述加密数据。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:检查上述加密数据中是否存在不符合与上述目标位置对应的数据对齐规则的第一部分数据;如果存在,则对上述第一部分数据进行合并处理,得到合并数据,并将上述合并数据与上述加密数据中除上述第一部分数据之外的第二部分数据存储至上述目标位置;如果不存在,则直接将上述加密数据存储至上述目标位置。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取读取请求,其中,上述读取请求中携带的信息包括:用户标识、待访问文件存储系统的文件系统标识以及待读取的数据范围;基于上述用户标识和上述文件系统标识确定待使用的加密信息;根据上述加密信息对上述待读取的数据范围内的多个数据段进行解密处理,得到解密数据;将上述解密数据返回至客户端。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:基于上述用户标识和上述文件系统标识获取文件系统的元数据信息;从上述元数据信息中确定上述加密算法。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中获取上述加密密钥,或者,如果基于上述用户标识和上述文件系统标识从上述文件系统的本地缓存中未获取到上述加密密钥,则向第三方密钥管理系统获取上述加密密钥,其中,上述加密密钥是通过上述第三方密钥管理系统对上述文件系统本地存储的密文密钥进行解密得到的明文密钥。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:基于上述用户标识和上述文件系统标识获取预先在上述文件系统本地生成并在上述文件系统本地进行加密存储的上述加密密钥。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:基于上述用户标识和上述文件系统标识获取客户端通过预设通信接口预先上传至上述文件系统并在上述文件系统本地进行加密存储的上述加密密钥。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取上述加密信息对应的解密信息;采用上述解密信息对上述多个数据段进行并行解密处理,得到上述解密数据。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (18)

1.一种文件数据处理方法,所述方法应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,所述方法包括:
获取写入请求,其中,所述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;
基于所述用户标识和所述文件系统标识确定待使用的加密信息;
采用所述加密信息对当前写入的用户数据进行加密处理,得到加密数据;
将所述加密数据存储至与所述写入请求对应的目标位置。
2.根据权利要求1所述的方法,其特征在于,所述加密信息至少包括:待使用的加密算法,基于所述用户标识和所述文件系统标识确定所述加密信息包括:
基于所述用户标识和所述文件系统标识获取文件系统的元数据信息;
从所述元数据信息中确定所述加密算法。
3.根据权利要求2所述的方法,其特征在于,所述加密信息还包括:加密密钥,基于所述用户标识和所述文件系统标识确定所述加密信息包括:
基于所述用户标识和所述文件系统标识从所述文件系统的本地缓存中获取所述加密密钥,或者,如果基于所述用户标识和所述文件系统标识从所述文件系统的本地缓存中未获取到所述加密密钥,则向第三方密钥管理系统获取所述加密密钥,其中,所述加密密钥是通过所述第三方密钥管理系统对所述文件系统本地存储的密文密钥进行解密得到的明文密钥。
4.根据权利要求2所述的方法,其特征在于,所述加密信息还包括:加密密钥,基于所述用户标识和所述文件系统标识确定所述加密信息包括:
基于所述用户标识和所述文件系统标识获取预先在所述文件系统本地生成并在所述文件系统本地进行加密存储的所述加密密钥。
5.根据权利要求2所述的方法,其特征在于,所述加密信息还包括:加密密钥,基于所述用户标识和所述文件系统标识确定所述加密信息包括:
基于所述用户标识和所述文件系统标识获取客户端通过预设通信接口预先上传至所述文件系统并在所述文件系统本地进行加密存储的所述加密密钥。
6.根据权利要求1所述的方法,其特征在于,采用所述加密信息对所述用户数据进行加密处理,得到所述加密数据包括:
按照预设长度将所述用户数据切分为多个数据段;
采用所述加密信息对所述多个数据段进行并行加密处理,得到所述加密数据。
7.根据权利要求1所述的方法,其特征在于,将所述加密数据存储至所述目标位置包括:
检查所述加密数据中是否存在不符合与所述目标位置对应的数据对齐规则的第一部分数据;
如果存在,则对所述第一部分数据进行合并处理,得到合并数据,并将所述合并数据与所述加密数据中除所述第一部分数据之外的第二部分数据存储至所述目标位置;如果不存在,则直接将所述加密数据存储至所述目标位置。
8.一种文件数据处理方法,所述方法应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,所述方法包括:
获取读取请求,其中,所述读取请求中携带的信息包括:用户标识、待访问文件存储系统的文件系统标识以及待读取的数据范围;
基于所述用户标识和所述文件系统标识确定待使用的加密信息;
根据所述加密信息对所述待读取的数据范围内的多个数据段进行解密处理,得到解密数据;
将所述解密数据返回至客户端。
9.根据权利要求8所述的方法,其特征在于,所述加密信息至少包括:待使用的加密算法,基于所述用户标识和所述文件系统标识确定所述加密信息包括:
基于所述用户标识和所述文件系统标识获取文件系统的元数据信息;
从所述元数据信息中确定所述加密算法。
10.根据权利要求9所述的方法,其特征在于,所述加密信息还包括:加密密钥,基于所述用户标识和所述文件系统标识确定所述加密信息包括:
基于所述用户标识和所述文件系统标识从所述文件系统的本地缓存中获取所述加密密钥,或者,如果基于所述用户标识和所述文件系统标识从所述文件系统的本地缓存中未获取到所述加密密钥,则向第三方密钥管理系统获取所述加密密钥,其中,所述加密密钥是通过所述第三方密钥管理系统对所述文件系统本地存储的密文密钥进行解密得到的明文密钥。
11.根据权利要求9所述的方法,其特征在于,所述加密信息还包括:加密密钥,基于所述用户标识和所述文件系统标识确定所述加密信息包括:
基于所述用户标识和所述文件系统标识获取预先在所述文件系统本地生成并在所述文件系统本地进行加密存储的所述加密密钥。
12.根据权利要求9所述的方法,其特征在于,所述加密信息还包括:加密密钥,基于所述用户标识和所述文件系统标识确定所述加密信息包括:
基于所述用户标识和所述文件系统标识获取客户端通过预设通信接口预先上传至所述文件系统并在所述文件系统本地进行加密存储的所述加密密钥。
13.根据权利要求8所述的方法,其特征在于,根据所述加密信息对所述多个数据段进行解密处理,得到所述解密数据包括:
获取所述加密信息对应的解密信息;
采用所述解密信息对所述多个数据段进行并行解密处理,得到所述解密数据。
14.一种文件数据处理装置,其特征在于,所述装置应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,所述装置包括:
获取模块,用于获取写入请求,其中,所述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;
确定模块,用于基于所述用户标识和所述文件系统标识确定待使用的加密信息;
加密模块,用于采用所述加密信息对当前写入的用户数据进行加密处理,得到加密数据;
存储模块,用于将所述加密数据存储至与所述写入请求对应的目标位置。
15.一种文件数据处理装置,其特征在于,所述装置应用于云端的文件存储系统,每个文件存储系统分别采用不同的加密方式,所述装置包括:
获取单元,用于获取读取请求,其中,所述读取请求中携带的信息包括:用户标识、待访问文件存储系统的文件系统标识以及待读取的数据范围;
确定单元,用于基于所述用户标识和所述文件系统标识确定待使用的加密信息;
解密单元,用于根据所述加密信息对所述待读取的数据范围内的多个数据段进行解密处理,得到解密数据;
返回单元,用于将所述解密数据返回至客户端。
16.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至13中任意一项所述的文件数据处理方法。
17.一种计算机设备,包括存储器和处理器,所述处理器用于运行所述存储器中存储的程序,其中,所述程序运行时执行权利要求1至13中任意一项所述的文件数据处理方法。
18.一种文件数据处理系统,其特征在于,包括:
处理器;以及
存储器,与所述处理器连接,用于为所述处理器提供处理以下处理步骤的指令:获取写入请求,其中,所述写入请求中携带的信息包括:用户标识和待访问文件存储系统的文件系统标识;基于所述用户标识和所述文件系统标识确定待使用的加密信息;采用所述加密信息对当前写入的用户数据进行加密处理,得到加密数据;将所述加密数据存储至与所述写入请求对应的目标位置。
CN202010162436.6A 2020-03-10 2020-03-10 文件数据处理方法及装置 Pending CN113382029A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010162436.6A CN113382029A (zh) 2020-03-10 2020-03-10 文件数据处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010162436.6A CN113382029A (zh) 2020-03-10 2020-03-10 文件数据处理方法及装置

Publications (1)

Publication Number Publication Date
CN113382029A true CN113382029A (zh) 2021-09-10

Family

ID=77569527

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010162436.6A Pending CN113382029A (zh) 2020-03-10 2020-03-10 文件数据处理方法及装置

Country Status (1)

Country Link
CN (1) CN113382029A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114327285A (zh) * 2021-12-30 2022-04-12 南京中孚信息技术有限公司 数据存储方法、装置、设备及存储介质
CN116150786A (zh) * 2023-01-10 2023-05-23 深圳技术大学 基于指令密匙自行设定的u盘文件加密系统
WO2023134392A1 (zh) * 2022-01-14 2023-07-20 华为云计算技术有限公司 云存储设备的数据读取和写入方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101594227A (zh) * 2008-05-30 2009-12-02 华为技术有限公司 数据加密和解密的方法、装置及通信系统
US9076004B1 (en) * 2014-05-07 2015-07-07 Symantec Corporation Systems and methods for secure hybrid third-party data storage
CN106919850A (zh) * 2015-12-25 2017-07-04 腾讯科技(深圳)有限公司 一种文件加密、解密方法和装置
US20180102902A1 (en) * 2016-10-11 2018-04-12 BicDroid Inc. Methods, systems and computer program products for data protection by policing processes accessing encrypted data
CN108021333A (zh) * 2016-11-03 2018-05-11 阿里巴巴集团控股有限公司 随机读写数据的系统、装置及方法
CN108833336A (zh) * 2018-04-18 2018-11-16 北京百度网讯科技有限公司 数据处理方法、装置、计算机设备及存储介质
CN110460563A (zh) * 2018-05-08 2019-11-15 北京京东尚科信息技术有限公司 数据加密、解密方法及装置、系统、可读介质和电子设备
US20190394021A1 (en) * 2018-06-20 2019-12-26 University Of Central Florida Research Foundation, Inc. System, secure processor and method for restoration of a secure persistent memory

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101594227A (zh) * 2008-05-30 2009-12-02 华为技术有限公司 数据加密和解密的方法、装置及通信系统
US9076004B1 (en) * 2014-05-07 2015-07-07 Symantec Corporation Systems and methods for secure hybrid third-party data storage
CN106919850A (zh) * 2015-12-25 2017-07-04 腾讯科技(深圳)有限公司 一种文件加密、解密方法和装置
US20180102902A1 (en) * 2016-10-11 2018-04-12 BicDroid Inc. Methods, systems and computer program products for data protection by policing processes accessing encrypted data
CN108021333A (zh) * 2016-11-03 2018-05-11 阿里巴巴集团控股有限公司 随机读写数据的系统、装置及方法
CN108833336A (zh) * 2018-04-18 2018-11-16 北京百度网讯科技有限公司 数据处理方法、装置、计算机设备及存储介质
CN110460563A (zh) * 2018-05-08 2019-11-15 北京京东尚科信息技术有限公司 数据加密、解密方法及装置、系统、可读介质和电子设备
US20190394021A1 (en) * 2018-06-20 2019-12-26 University Of Central Florida Research Foundation, Inc. System, secure processor and method for restoration of a secure persistent memory

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114327285A (zh) * 2021-12-30 2022-04-12 南京中孚信息技术有限公司 数据存储方法、装置、设备及存储介质
WO2023134392A1 (zh) * 2022-01-14 2023-07-20 华为云计算技术有限公司 云存储设备的数据读取和写入方法及系统
CN116150786A (zh) * 2023-01-10 2023-05-23 深圳技术大学 基于指令密匙自行设定的u盘文件加密系统
CN116150786B (zh) * 2023-01-10 2023-11-28 深圳技术大学 基于指令密匙自行设定的u盘文件加密系统

Similar Documents

Publication Publication Date Title
EP3657376A1 (en) Hybrid-cloud data storage method and apparatus, related device, and cloud system
US9037870B1 (en) Method and system for providing a rotating key encrypted file system
CN113364760A (zh) 一种数据加密处理方法、装置、计算机设备及存储介质
CN113382029A (zh) 文件数据处理方法及装置
CN107786331B (zh) 数据处理方法、装置、系统及计算机可读存储介质
CN109905474B (zh) 基于区块链的数据安全共享方法和装置
CN110971398A (zh) 数据处理方法、装置及系统
US10341305B2 (en) Encrypted communications method and communications terminal, and computer storage medium
CN112910869B (zh) 对数据信息进行加密和解密的方法、装置以及存储介质
CN113572743B (zh) 数据加密、解密方法、装置、计算机设备和存储介质
CN110598429B (zh) 数据加密存储和读取的方法、终端设备及存储介质
CN109862103B (zh) 基于区块链的文件数据安全共享方法和装置
CN112257088B (zh) 一种文件缓存加密系统、设备及存储介质
CN108810022A (zh) 一种加密方法、解密方法及装置
CN103699854A (zh) 数据存储方法、数据访问方法及存储设备
CN111427860B (zh) 分布式存储系统及其数据处理方法
CN109302425B (zh) 身份认证方法及终端设备
CN113726772A (zh) 实现在线问诊会话的方法、装置、设备及存储介质
CN109600631B (zh) 视频文件的加密及公布方法与装置
CN110401689B (zh) 文件管理方法、装置及存储介质
CN111866864A (zh) 基于无线ap实现针对云平台证书的加密存储及安全使用管理的方法、装置及存储介质
CN110912683B (zh) 密码存储方法及装置、密码验证方法及装置
EP4084484B1 (en) Method and device for encryption of video stream, communication equipment, and storage medium
CN115909560A (zh) 数据加密方法、解密方法及门锁系统
CN111343150B (zh) 一种基于区块链的交易数据传输方法、系统及相关组件

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40059836

Country of ref document: HK