WO2016202089A1 - 一种远端存储设备的数据加密方法、装置及系统 - Google Patents

Abstract

一种远端存储设备的数据加密方法、装置及系统，该方法包括：存储网关获取存储在所述远端存储设备的未加密数据；所述存储网关将所述未加密数据进行分块，得到至少两个数据块；所述存储网关根据预设加密规则对至少一个数据块进行加密；所述存储网关将加密后的数据发送给所述远端存储设备进行存储。

Description

一种远端存储设备的数据加密方法、装置及系统 技术领域

本申请涉及但不限于信息技术中的信息安全领域，尤其是一种远端存储设备的数据加密方法、装置及系统。

背景技术

存储网关指利用服务器等设备实现不同存储之间的协议转换，以便实现对多个品牌、类型的存储的访问。存储网关的主要功能是支持不同网络存储设备的协议要求，并将所有的存储设备进行统一的管理。随着存储系统由本地直连向着网络化和分布式的方向发展，并被网络上的众多计算机共享，使存储系统变得更易受攻击，数据被窃取、篡改或破坏等存储安全事件日趋增长，且已知的泄密数据仅为冰山一角。

为增强数据存储的安全性和存储网关的可靠性，满足用户不断增长的信息安全需求，存储加密技术应运而生。在可信存储安全体系中，利用技术手段把文件变为乱码(加密)存储，在使用文件的时候，用相同或不同的手段还原(解密)。当前的可信存储网关加密技术普遍采用基于文件系统加密的方式，即在操作系统的文件系统层对数据进行加密、解密操作。其基本原理是基于驱动分层架构，增加一层完成数据加密、解密的过滤驱动层，在应用程序读写过程实时对数据进行加解密。基于文件系统的加密方式在没有密码情况下，看到的文件内容是一堆乱码，对于安全性等级要求一般的存储系统来说，这种基于文件系统的加密方式可以很大程度上保护数据，将传统的明文方式存放在存储设备中的数据变成密文方式存放。然而当前存储系统安全事件逐渐上升，如果磁盘被黑客拿到或者磁盘本身带有后门，可以通过分析磁盘分区、解析文件系统super block(超级块，其中包含文件卷的控制信息部分)，进而获取文件系统的元数据，因为文件系统本身是没有加密的，这样黑客可能分析文件名称、属性、修改时间等一系列信息，这就导致了基于文件系统加密的存储网关依然有安全隐患。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本文提供了一种远端存储设备的数据加密方法、装置及系统，解决了相关技术中存储网关对远端存储设备的数据使用系统文件的方式进行加密容易被解密的问题。

一种远端存储设备的数据加密方法，包括：

存储网关获取存储在所述远端存储设备的未加密数据；

所述存储网关将所述未加密数据进行分块，得到至少两个数据块；

所述存储网关根据预设加密规则对所述至少两个数据块中的至少一个数据块进行加密；

所述存储网关将加密后的数据发送给所述远端存储设备进行存储。

可选地，所述存储网关根据预设加密规则对所述至少两个数据块中的至少一个数据块进行加密包括：所述存储网关根据预设加密规则对所述至少两个数据块中的全部数据块进行加密。

可选地，所述存储网关将所述未加密数据进行分块包括：所述存储网关根据预设块数对所述未加密数据平均分块或随机分块；或者，所述存储网关根据预设数据块大小对所述未加密数据进行分块。

可选地，所述存储网关根据预设加密规则对所述至少两个数据块中的全部数据块进行加密包括：所述存储网关对所述全部数据块根据硬件加密方式、软件加密方式和混合加密方式中的至少一种方式进行加密。

可选地，所述硬件加密方式包括：所述存储网关通过可信密码模块TCM模块对所述全部数据块进行加密；

所述软件加密方式包括：所述存储网关通过3DES算法、AES算法、SM1算法、SM2算法、SM3算法及SM4算法中的至少一种算法对所述全部数据块进行加密；

所述混合加密方式包括：所述存储网关采用硬件设备保存密钥，采用软件加密方式对所述全部数据块进行加密。

可选地，所述存储网关根据预设加密规则对所述至少两个数据块中的全部数据块进行加密还包括：所述存储网关对所述全部数据块使用不同的加密方式进行加密。

一种远端存储设备的数据加密装置，包括：

数据获取模块，设置为存储网关获取存储在所述远端存储设备的未加密数据；

数据分块模块，设置为将所述未加密数据进行分块，得到至少两个数据块；

数据加密模块，设置为根据预设加密规则对所述至少两个数据块中的至少一个数据块进行加密；

数据发送模块，设置为将加密后的数据发送给所述远端存储设备进行存储。

可选地，所述数据加密模块根据预设加密规则对所述至少两个数据块中的至少一个数据块进行加密包括：根据预设加密规则对全部数据块进行加密。

可选地，所述数据分块模块包括：第一分块子模块和/或第二分块子模块；

所述第一分块子模块，设置为根据预设块数对所述未加密数据平均分块或随机分块；

所述第二分块子模块，设置为根据预设数据块大小对所述未加密数据进行分块。

可选地，所述数据加密模块包括：硬件加密子模块、软件加密子模块和混合加密子模块；

所述硬件加密子模块，设置为对所述全部数据块根据硬件加密方式进行加密；

所述软件加密子模块，设置为对所述全部数据块根据软件加密方式进行加密；

所述混合加密子模块，设置为对所述全部数据块根据混合加密方式进行加密。

可选地，所述硬件加密方式包括：通过可信密码模块TCM模块对所述全部数据块进行加密；

所述软件加密方式包括：通过3DES算法、AES算法、SM1算法、SM2算法、SM3算法及SM4算法中的至少一种算法对所述全部数据块进行加密；

所述混合加密方式包括：采用硬件设备保存密钥，采用软件加密方式对所述全部数据块进行加密。

可选地，所述数据加密模块根据预设加密规则对所述至少两个数据块中的全部数据块进行加密包括：所述存储网关对所述全部数据块使用不同的加密方式进行加密。

一种远端存储设备的数据加密系统，包括存储网关及远端存储设备，所述存储网关包括如上述任一实施例所述的远端存储设备的数据加密装置；所述远端存储设备包括通信模块及存储模块，所述通信模块设置为对未加密数据进行发送，并接收加密后的数据；所述存储模块设置为将接收到的加密后的数据进行存储。

一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现上述的远端存储设备的数据加密方法。

本发明实施例方案通过基于块的数据加密方式，对需要存入存储设备的未加密用户数据进行加密，避免了当前基于文件系统加密的数据加密方式的缺陷，有效地提高存储网关的安全性能。

附图概述

图1本发明实施例一提供的远端存储设备的数据加密方法的流程示意图；

图2本发明实施例一提供的通过存储网关中的TCM模块(硬件加密方式)加密方式对远端存储设备的数据加密的方法流程示意图；

图3为本发明实施例一提供的通过存储网关中的软件运行SM2加密方式对远端存储设备的数据加密的方法流程示意图；

图4为本发明实施例一提供的通过存储网关中的混合加密方式对远端存储设备的数据加密的方法流程示意图；

图5为本发明实施例二提供的远端存储设备的数据加密装置的结构示意图。

本发明的实施方式

下面结合附图对本发明的实施方式进行描述。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。实施例一：

请参考图1所示，一种远端存储设备的数据加密方法包括步骤S101～ S104：

S101：存储网关获取存储在所述远端存储设备的未加密数据；

存储网关在接收远端存储设备中的未加密数据前，需要先发送未加密数据读取请求给远端存储设备，用于请求远端存储设备将其存储的未加密数据发送给存储网关；例如，所述存储网关可以通过FC SAN(采用光纤通道的存储局域网络)或者IP SAN(采用iSCSI协议的存储局域网络)的方式接收远端存储设备中的未加密数据。

S102：存储网关将所述未加密数据进行分块，得到至少两个数据块；块大小的划分可以是随机分割，也可以是固定大小的块，或者其他块大小的划分方式。

S103：存储网关根据预设加密规则对所述至少两个数据块中的至少一个数据块进行加密；即对至少一个数据块进行基于块的加密；所述基于块的加密方式中，只需要在至少一个数据块中进行加密，可以是对需要加密的所有数据块使用相同的密钥进行加密，也可以是对需要加密的所有数据块不使用相同的密钥进行加密。

S104：存储网关将加密后的数据发送给所述远端存储设备进行存储。同样地，所述存储网关可以通过FC SAN或者IP SAN的方式，将加密后的数据发送给远端存储设备进行存储。

可选地，在步骤S103中，所述存储网关按照预设加密规则对所述至少两个数据块中的至少一个数据块进行加密包括：所述存储网关根据预设加密规则对所述至少两个数据块中的全部数据块进行加密。

可选地，在步骤S102中，所述存储网关将所述未加密数据进行分块包括：所述存储网关根据预设块数对所述未加密数据平均分块或随机分块；如，存储网关将数据块平均分成10块，或者所述存储网关将数据块随机分成10块等；

可选地，所述存储网关将所述未加密数据进行分块还包括：所述存储网关根据预设数据块大小对所述未加密数据进行分块；如，所述存储网关先将所有接收到的数据按照顺序随机分成m个大小为1-8字节的数据块，所述m为正整数；如，在本实施例中数据块的大小是采用长度固定为4字节的数据块大小进行分块；在另一些实施例中，数据块的大小可以按照1-8字节递增 再递减的方式对数据块进行分块，直到将加密数据分块完成；

可选地，所述存储网关根据预设加密规则对所述至少两个数据块中的全部数据块进行加密包括：所述存储网关对所述全部数据块根据硬件加密方式、软件加密方式和混合加密方式中的至少一种方式进行加密；

可选地，所述硬件加密方式包括：所述存储网关通过可信密码模块TCM模块对全部数据块进行加密。

所述软件加密方式包括：所述存储网关通过3DES算法、AES算法、SM1算法、SM2算法、SM3算法及SM4算法中的至少一种算法进行加密。

所述混合加密方式包括：所述存储网关采用硬件设备保存密钥，采用软件加密方式对数据块进行加密。

可选地，所述存储网关根据预设加密规则对所述至少两个数据块中的全部数据块进行加密还包括：所述存储网关对所述全部数据块中的多个数据块使用不同的加密方式进行加密。

下面分别从使用硬件加密方式、软件加密方式及混合加密方式对数据块进行加密的方法进行说明，如图2所示，本实施例通过存储网关中的TCM模块(硬件加密方式)加密方式对远端存储设备的数据加密的方法包括步骤S201～S204：

S201：存储网关通过SCSI的方式读取远端存储设备中的未加密数据.

S202：存储网关将接收到的未加密数据分成长度固定的数据块。

可选地，本实施例中块的大小是采用长度固定为4字节的数据块大小：所述TCM模块先将所有接收到的数据按照顺序，分成m个大小为4字节的数据块。

S203：存储网关通过TCM模块，对全部m个数据块进行基于块的加密。

可选地，本实施例中的m个数据块采用相同的密钥进行数据加密。

S204：存储网关将加密后的数据发送给远端存储设备进行存储。

可选地，所述存储网关通过(FCSAN或者IPSAN)SCSI命令方式，将加密过的数据发送给远端存储设备进行存储。

如图3所示，本实施例通过存储网关中的软件运行SM2加密方式对远端存储设备的数据加密的方法包括步骤S301～S304：

S301：存储网关通过SCSI的方式读取远端存储设备中的未加密数据。

S302：存储网关将接收到的未加密数据随机分成长度不固定的数据块。

可选地，本实施例中块的大小是采用长度不固定的数据块大小：所述存储网关先将所有接收到的数据按照顺序，随机分成m个大小为1-8字节的数据块。

S303：存储网关通过加密软件运行SM2加密算法，对接收到的未加密数据进行基于块的加密。

可选地，本实施例中的m个数据块采用不同的密钥进行数据加密。

S304：所述存储网关将加密后的数据发送给远端存储设备进行存储。

可选地，所述存储网关通过(FCSAN或者IPSAN)SCSI命令方式，将加密过的数据发送给远端存储设备进行存储。

如图4所示，本实施例通过混合加密方式对远端存储设备的数据加密的方法包括步骤S401～S404：

S401：存储网关通过SCSI的方式读取远端存储设备中的未加密数据。

S402：存储网关将接收到的未加密数据随机分成长度不固定的数据块。

可选地，本实施例中块的大小是采用长度不固定的数据块大小：所述存储网关先将所有接收到的数据按照顺序，随机分成m个大小为1-8字节的数据块。

S403：存储网关通过TPM芯片保存密钥，通过软件运行SM3加密算法，对接收到的未加密数据进行基于块的加密；

可选地，本实施例中的m个数据块采用相同的密钥进行数据加密。

S404：存储网关将加密后的数据发送给远端存储设备进行存储。

可选地，所述存储网关通过(FCSAN或者IPSAN)SCSI命令方式，将加密过的数据发送给远端存储设备进行存储。

实施例二：

请参考图5所示，本实施例提供的远端存储设备的数据加密装置50包括：数据获取模块501、数据分块模块502、数据加密模块503和数据发送模块504；

所述数据获取模块501，设置为获取存储在所述远端存储设备的未加密数据。

所述数据分块模块502，设置为将所述未加密数据进行分块，得到至少两个数据块。

所述数据加密模块503，设置为根据预设加密规则对所述至少两个数据块中的至少一个数据块进行加密。

可选地，所述数据加密模块503根据预设加密规则对所述至少两个数据块中的至少一个数据块进行加密包括：根据预设加密规则对所述至少两个数据块中的全部数据块进行加密。

所述数据发送模块504，设置为将加密后的数据发送给所述远端存储设备进行存储。

可选地，所述数据分块模块502包括：第一分块子模块和/或第二分块子模块；

所述第一分块子模块，设置为根据预设块数对所述未加密数据平均分块或随机分块。

所述第二分块子模块，设置为根据预设数据块大小对所述未加密数据进行分块。

所述数据加密模块503包括：硬件加密子模块、软件加密子模块和混合加密子模块。

硬件加密子模块，设置为对所述全部数据块根据硬件加密方式进行加密。

软件加密子模块，设置为对所述全部数据块根据软件加密方式进行加密。

混合加密子模块，设置为对所述全部数据块根据混合加密方式进行加密。

所述硬件加密方式包括：通过TCM模块对全部数据块进行加密。

所述软件加密方式包括：通过3DES算法、AES算法、SM1算法、SM2算法、SM3算法及SM4算法中的至少一种算法进行加密。

所述混合加密方式包括：采用硬件设备保存密钥，采用软件加密方式对数据块进行加密。

所述数据加密模块503根据预设加密规则对所述至少两个数据块中的全部数据块进行加密包括：所述存储网关对所述全部数据块使用不同的加密方式进行加密。

一种远端存储设备的数据加密系统，包括存储网关及远端存储设备。

所述存储网关包括如上述任一实施例所述的远端存储设备的数据加密装 置。

所述远端存储设备包括通信模块及存储模块，所述通信模块设置为对未加密数据进行发送，并接收加密后的数据；所述存储模块设置为将接收到的加密后的数据进行存储。

本发明实施例方案提了一种远端存储设备的数据加密方法、装置及系统，该方法包括：通过存储网关获取需要存储在所述远端存储设备的未加密数据，并对其进行分块，再将分块后的数据进行基于块的加密，最后将加密后的数据发送给远端存储设备进行存储。本发明实施例方案通过基于块的数据加密方式，对需要存入存储设备的未加密用户数据进行加密，避免了当前基于文件系统加密的数据加密方式的缺陷，有效地提高存储网关的安全性能。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

本发明实施例方案通过基于块的数据加密方式，对需要存入存储设备的未加密用户数据进行加密，避免了当前基于文件系统加密的数据加密方式的缺陷，有效地提高存储网关的安全性能。

Claims (14)

1. 一种远端存储设备的数据加密方法，包括：

   存储网关获取存储在所述远端存储设备的未加密数据；

   所述存储网关将所述未加密数据进行分块，得到至少两个数据块；

   所述存储网关根据预设加密规则对所述至少两个数据块中的至少一个数据块进行加密；

   所述存储网关将加密后的数据发送给所述远端存储设备进行存储。
2. 如权利要求1所述的远端存储设备的数据加密方法，其中，所述存储网关根据预设加密规则对所述至少两个数据块中的至少一个数据块进行加密包括：所述存储网关根据预设加密规则对所述至少两个数据块中的全部数据块进行加密。
3. 如权利要求2所述的远端存储设备的数据加密方法，其中，所述存储网关将所述未加密数据进行分块包括：所述存储网关根据预设块数对所述未加密数据进行平均分块或随机分块；或者，所述存储网关根据预设数据块大小对所述未加密数据进行分块。
4. 如权利要求2所述的远端存储设备的数据加密方法，其中，所述存储网关根据预设加密规则对所述至少两个数据块中的全部数据块进行加密包括：所述存储网关对所述全部数据块根据硬件加密方式、软件加密方式和混合加密方式中的至少一种方式进行加密。
5. 如权利要求4所述的远端存储设备的数据加密方法，其中，

   所述硬件加密方式包括：所述存储网关通过可信密码模块TCM模块对所述全部数据块进行加密；

   所述软件加密方式包括：所述存储网关通过3DES算法、AES算法、SM1算法、SM2算法、SM3算法及SM4算法中的至少一种算法对所述全部数据块进行加密；

   所述混合加密方式包括：所述存储网关采用硬件设备保存密钥，采用软件加密方式对所述全部数据块进行加密。
6. 如权利要求2-5任一项所述的远端存储设备的数据加密方法，所述存储网关根据预设加密规则对所述至少两个数据块中的全部数据块进行加密还包括：所述存储网关对所述全部数据块使用不同的加密方式进行加密。
7. 一种远端存储设备的数据加密装置，包括：

   数据获取模块，设置为获取存储在所述远端存储设备的未加密数据；

   数据分块模块，设置为将所述未加密数据进行分块，得到至少两个数据块；

   数据加密模块，设置为根据预设加密规则对所述至少两个数据块中的至少一个数据块进行加密；

   数据发送模块，设置为将加密后的数据发送给所述远端存储设备进行存储。
8. 如权利要求7所述的远端存储设备的数据加密装置，其中，所述数据加密模块根据预设加密规则对所述至少两个数据块中的至少一个数据块进行加密包括：根据预设加密规则对所述至少两个数据块中的全部数据块进行加密。
9. 如权利要求8所述的远端存储设备的数据加密装置，其中，所述数据分块模块包括：第一分块子模块和/或第二分块子模块；

   所述第一分块子模块，设置为根据预设块数对所述未加密数据平均分块或随机分块；

   所述第二分块子模块，设置为根据预设数据块大小对所述未加密数据进行分块。
10. 如权利要求8所述的远端存储设备的数据加密装置，其中，所述数据加密模块包括：硬件加密子模块、软件加密子模块和混合加密子模块；

    所述硬件加密子模块，设置为对所述全部数据块根据硬件加密方式进行加密；

    所述软件加密子模块，设置为对所述全部数据块根据软件加密方式进行加密；

    所述混合加密子模块，设置为对所述全部数据块根据混合加密方式进行加密。
11. 如权利要求10所述的远端存储设备的数据加密装置，其中，

    所述硬件加密方式包括：通过可信密码模块TCM模块对所述全部数据块进行加密；

    所述软件加密方式包括：通过3DES算法、AES算法、SM1算法、SM2 算法、SM3算法及SM4算法中的至少一种算法对所述全部数据块进行加密；

    所述混合加密方式包括：采用硬件设备保存密钥，采用软件加密方式对所述全部数据块进行加密。
12. 如权利要求8-11任一项所述的远端存储设备的数据加密装置，其中，所述数据加密模块根据预设加密规则对所述至少两个数据块中的全部数据块进行加密包括：所述存储网关对所述全部数据块使用不同的加密方式进行加密。
13. 一种远端存储设备的数据加密系统，包括存储网关及远端存储设备，所述存储网关包括如权利要求7-12任一项所述的远端存储设备的数据加密装置；所述远端存储设备包括通信模块及存储模块，所述通信模块设置为对未加密数据进行发送，并接收加密后的数据；所述存储模块设置为将接收到的加密后的数据进行存储。
14. 一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现权利要求1至6任一项所述的远端存储设备的数据加密方法。

Images