WO2020011121A1

WO2020011121A1 - 数据处理方法和存储设备

Info

Publication number: WO2020011121A1
Application number: PCT/CN2019/095017
Authority: WO
Inventors: 黎剑坤; 尚宁
Original assignee: 深圳大普微电子科技有限公司
Priority date: 2018-07-13
Filing date: 2019-07-08
Publication date: 2020-01-16
Also published as: CN109214204A; US20210117110A1; CN109214204B

Abstract

一种数据处理方法和存储设备，用于提高存储设备上存储的数据的安全性。所述数据处理方法，包括：存储设备获取主机发送的数据处理指令（501），所述数据处理指令用于对所述存储设备上存储的数据进行操作；所述存储设备判断所述数据处理指令是否符合预设的数据破坏规则（502）；若所述数据处理指令符合所述预设的数据破坏规则，则所述存储设备执行预设处理策略，以保护所述存储设备上存储的数据（503）。这样，通过在存储设备上对来至主机的数据处理指令进行识别判断，若识别出数据处理指令符合预设的数据破坏规则，则存储设备执行预设处理策略，以保护所述存储设备上存储的数据，从而提高存储设备上存储的数据的安全性。

Description

数据处理方法和存储设备

本申请要求于2018年07月13日提交中国专利局、申请号为201810767233.2、发明名称为“数据处理方法和存储设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及信息存储领域，尤其涉及一种数据处理方法和存储设备。

背景技术

目前，对存储设备上的数据破坏行为的识别方案，主要是在主机上的操作系统层识别。即用户通过主机对存储设备上的数据进行操作时，主机的操作系统判断用户的操作是否为数据破坏行为。若用户的操作为数据破坏行为，则主机执行预设的数据保护操作。

在上述方案中，存储设备的安全性通常需要主机的操作系统保护，如果离开了操作系统的控制，或操作系统的权限被恶意用户控制，存储设备将完全失去安全保护。

可见，现有的在主机的操作系统层面的解决方案有如下问题：

1.当存储设备离开了当前的工作环境，操作系统层的保护就会失效；

2.当操作系统层的权限被恶意用户或病毒控制，存储设备上的数据会失去保护。

发明内容

针对上述技术问题，本发明实施例提供了一种数据处理方法和存储设备，用于提高存储设备上存储的数据的安全性。

本发明实施例的第一方面提供一种数据处理方法，包括：

存储设备获取主机发送的数据处理指令，所述数据处理指令用于对所述存储设备上存储的数据进行操作；

所述存储设备判断所述数据处理指令是否符合预设的数据破坏规则；

若所述数据处理指令符合所述预设的数据破坏规则，则所述存储设备执行预设处理策略，以保护所述存储设备上存储的数据。

可选地，所述数据处理指令为写命令；

所述存储设备判断所述数据处理指令是否符合预设的数据破坏规则，包括：

所述存储设备判断所述写命令是否命中只读数据区域，所述只读数据区域为所述存储设备上预设的存放操作系统预设文件的区域；

所述若所述数据处理指令符合所述预设的数据破坏规则，则所述存储设备执行预设处理策略，包括：

若所述写命令命中所述只读数据区域，则所述存储设备执行预设处理策略。

可选地，所述数据处理指令为写命令；

所述存储设备判断所述写命令是否命中监控数据区域，且所述写命令是否为快速格式化行为，所述监控数据区域为所述存储设备上预设的存放预设文件的区域；

若所述写命令命中所述监控数据区域，且所述写命令为快速格式化行为，则所述存储设备执行预设处理策略。

可选地，所述存储设备为固态硬盘，所述数据处理指令为删除命令，

所述预设的数据破坏规则为命中关键数据区域、删除区域包括预设的文件类型、删除数据量大于预设数据量中的其中之一；

其中，所述关键数据区域为所述存储设备上预设的区域，所述删除区域为所述删除命令删除的区域，所述删除数据量为所述删除命令删除的数据量。

可选地，所述预设处理策略包括上报告警、将所述存储设备上被所述数据处理指令破坏的数据进行备份、所述存储设备禁止执行所述主机的在所述数据处理指令之后的指令、和所述存储设备进入全盘只读状态中的其中之一。

可选地，所述存储设备获取主机发送的数据处理指令，包括：

存储设备在未授权状态下，获取主机发送的数据处理指令。

可选地，所述存储设备获取主机发送的数据处理指令之前，所述方法还包括：

存储设备获取目标主机发送的加密设置指令，所述加密设置指令为所述目标主机使用私钥对设置指令进行签名得到的命令；

当使用预存的公钥对所述加密设置指令验证通过时，所述存储设备根据所述设置指令，确定预设的数据破坏规则和待使用的预设处理策略。

本发明实施例第二方面提供了一种存储设备，包括：

获取单元，用于获取主机发送的数据处理指令，所述数据处理指令用于对所述存储设备上存储的数据进行操作；

判断单元，用于判断所述数据处理指令是否符合预设的数据破坏规则；

执行单元，用于若所述数据处理指令符合所述预设的数据破坏规则，则执行预设处理策略，以保护所述存储设备上存储的数据。

可选地，所述数据处理指令为写命令；

所述判断单元，还用于判断所述写命令是否命中只读数据区域，所述只读数据区域为所述存储设备上预设的存放操作系统预设文件的区域；

所述执行单元，还用于若所述写命令命中所述只读数据区域，则执行预设处理策略。

可选地，所述数据处理指令为写命令；

所述判断单元，还用于判断所述写命令是否命中监控数据区域，且所述写命令是否为快速格式化行为，所述监控数据区域为所述存储设备上预设的存放预设文件的区域；

所述执行单元，还用于若所述写命令命中所述监控数据区域，且所述写命令为快速格式化行为，则执行预设处理策略。

可选地，所述获取单元，还用于在未授权状态下，获取主机发送的数据处理指令。

可选地，所述存储设备还包括设置单元；

所示获取单元，还用于获取目标主机发送的加密设置指令，所述加密设置指令为所述目标主机使用私钥对设置指令进行签名得到的命令；

所示设置单元，用于当使用预存的公钥对所述加密设置指令验证通过时，根据所述设置指令，确定预设的数据破坏规则和待使用的预设处理策略。

本发明实施例提供的技术方案中，存储设备获取主机发送的数据处理指令，数据处理指令用于对存储设备上存储的数据进行操作。存储设备判断数据处理指令是否符合预设的数据破坏规则。若数据处理指令符合预设的数据破坏规则，则存储设备执行预设处理策略，以保护存储设备上存储的数据。因此相对于现有技术，本发明实施例通过在存储设备上对来至主机的数据处理指令进行识别判断，若识别出数据处理指令符合预设的数据破坏规则，则存储设备执行预设处理策略，以保护存储设备上存储的数据，从而提高存储设备上存储的数据的安全性。

附图说明

图1为本发明一实施例提供的数字签名过程示意图；

图2为本发明另一实施例提供的密钥对的产生过程示意图；

图3为本发明另一实施例提供的单向密码散列函数生成私钥的过程示意图；

图4为本发明另一实施例提供的一种数据处理方法涉及的使用场景图；

图5为本发明另一实施例提供的一种数据处理方法的流程图；

图6为图5所示数据处理方法的逻辑空间示意图；

图7为图5所示数据处理方法的一具体实现方法的操作场景图；

图8为图5所示数据处理方法的一具体实现方法的流程图；

图9为图5所示数据处理方法的另一具体实现方法的流程图；

图10为本发明另一实施例提供的一种存储设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了准确理解本发明实施例的数据处理方法和存储设备，下面对本发明实施例的数据处理方法和存储设备涉及到的一些术语进行介绍。

1、数字签名。

数字签名指只有信息发送者的私钥才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。

数字签名是非对称密钥加密技术与数字摘要技术的应用。其主要作用是保证信息传输的完整性、发送者的身份认证、以及防止交易中的抵赖发生。

如图1所示，数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用哈希(HASH)函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。

数字签名是个加密的过程，数字签名验证是个解密的过程。

数字签名算法至少应该满足下述三个条件：

1)接收者能够核实发送者对报文的签名；

2)发送者事后不能抵赖对其报文的签名；

3)接收者无法伪造对报文的签名。

2、非对称加密技术。

非对称加密技术需要两个密钥：公开密钥(publickey，简称公钥)和私有密钥(privatekey，简称私钥)。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以非对称加密技术的算法叫作非对称加密算法。

其中，密钥对的产生过程，可参阅图2。私钥的生成可通过单向密码散列函数(cryptographic hash)实现，其中，单向密码散列函数生成私钥的过程如图3所示。

3、固态硬盘

固态硬盘(Solid State Drive)用固态电子存储芯片阵列而制成的硬盘，由控制单元和存储单元(例如闪存(FLASH)芯片、动态随机存取存储器(Dynamic Random Access Memory，DRAM)芯片)组成。

4、删除命令

删除命令也称为Trim命令。目前串行高级技术附件(Serial Advanced Technology Attachment，SATA)、非易失性内存主机控制器接口规范(Non-Volatile Memory express，NVME)等协议均支持Trim命令，其目的是为了优化固态硬盘读写的效率及稳定性。Trim命令用于通知固态存储设备要擦除哪些数据。具体为，当相关的数据可以被覆盖时，主机的操作系统会发给固态硬盘(Solid State Drives，SSD)一个Trim指令，以使SSD控制器在主机开始删除和再次写入操作之间的时间窗，执行安全擦除操作。因为在写入操作过程中不用花时间去擦除原本的数据，SSD的写入速度得到提高。

5、格式化

在存储设备对低级格式化、高级格式化(包括格式化，快速格式化)行为的检查操作如下：

格式化命令会在当前分区的文件分配表中将分区上的每一个扇区标记为空闲可用(即删除所有文件数据)，同时系统将扫描硬盘以检查是否有坏扇区，扫描过程中会为每一个扇区打上可用标记。扫描过程花费的时间是整个格式化时间的大头。格式化除了抹去数据，还会对硬盘进行检测，所以时间较长。

快速格式化只从分区文件分配表中做扇区的空闲标记，而不扫描磁盘以检查是否有坏扇区。快速格式化是仅对硬盘数据文件的头部和尾部做抹除动作(即重写引导记录)，而没有实际把数据从硬盘中删除。因此其操作速度很快就可完成。

低级格式化则是把包括主引导记录(Main Boot Record，MBR)，或GUID磁盘分区表(GPT，GUID Partition Table)及磁盘引导区在内的所有逻辑空间上的数据删除。

上述三种格式化的区别在于：

1)低级格式化，删除所有逻辑空间上的数据；

2)格式化：清除硬盘上的有效数据、生成引导区(DBR区(DOS BOOT RECORD)即操作系统引导记录区)信息、初始化文件分配表(File Allocation Table，FAT)、标注逻辑坏道等。

3)快速格式化：重写引导记录，不检测磁盘坏簇，FAT表(除坏簇记录以外)所有表项清零，根目录表清空，数据区不变。

因此，本发明实施例的方法和设备能够得出检测上述格式化的策略：

1)删除全盘或下发标准协议支持的低级格式化命令，对应低级格式化行为；

2)大量删除数据，对应格式化行为；

3)重新将FAT表(除坏簇记录以外)清零，对应快速格式化。

其中，FAT文件系统将逻辑盘的空间大致划分为三部分，依次是DBR 及保留扇区、文件分配表区(FAT1、FAT2)、数据区(DATA区)。DBR只占一个扇区，之后还留有31个保留扇区。文件分配表区紧跟在DBR及保留扇区后。因此，FAT表的位置可定位。

图4为本发明实施例提供的一种数据处理方法涉及的使用场景图。如图4所示，本发明实施例的数据处理方法涉及主机和存储设备。主机和存储设备可以进行通信，以进行数据交互。

主机可以为手机、平板电脑、个人计算机等设备，用户可以对主机进行操作，例如控制主机发送指令。

存储设备可以为机械硬盘、固态硬盘等存储设备，该存储设备上可以设有存储控制系统。存储设备可用于进行数据的存储，存储设备和主机可以将各自的数据进行交互传送。

存储设备可以设置在主机上，也可以和主机分离设置，例如存储设备为安装在笔记本电脑上的硬盘，或者存储设备为移动硬盘。

图5为本发明实施例提供的一种数据处理方法的流程图，图5所示的方法可应用于图4所示实施例的存储设备上。

可以理解，本发明实施例的方法的应用领域包括但不局限于刑侦取证、文件误删、财政商务数据保护等领域。

参阅图5，本发明实施例的数据处理方法包括：

步骤501：存储设备获取主机发送的数据处理指令。

其中，数据处理指令用于对存储设备上存储的数据进行操作。该数据处理指令例如可以为写命令、或删除命令等。

用户对主机进行操作，控制主机向存储设备发送数据处理指令，以对存储设备上存储的数据进行操作。

可以理解，本发明实施例的存储设备可以是固态硬盘，也可以是机械硬盘，本发明实施例对此不作具体限定。

可选地，存储设备获取主机发送的数据处理指令的步骤，具体包括：存储设备在未授权状态下，获取主机发送的数据处理指令。其中，未授权状态为存储设备需要对获取的数据处理指令进行识别的状态。例如，存储设备使用预存的公钥对获取的数据处理指令进行验证，验证通过则执行该数据处理指令，或者对数据处理指令进行识别。若验证不通过，则不对该数据处理指令进行处理，或进行报警操作。

步骤502：存储设备判断数据处理指令是否符合预设的数据破坏规则。若数据处理指令符合预设的数据破坏规则，则执行步骤503。

预设的数据破坏规则为对存储设备上存储的数据进行破坏的操作规则。在存储设备上预设有数据破坏规则，若数据处理指令符合该数据破坏规则，则数据处理指令为数据破坏操作，否则不符合。

若数据处理指令符合预设的数据破坏规则，则存储设备执行预设处理策略，以保护存储设备上存储的数据。若数据处理指令不符合数据破坏规则，则存储设备可执行该数据处理指令。

步骤503：存储设备执行预设处理策略，以保护存储设备上存储的数据。

当数据处理指令符合数据破坏规则时，存储设备执行预设处理策略，以保护存储设备上存储的数据。

该预设处理策略为存储设备上预设的一些操作，用于保护存储设备上存储的数据，以避免数据处理指令对数据的破坏。

可选地，预设处理策略包括上报告警、将存储设备上被数据处理指令破坏的数据进行备份、存储设备禁止执行主机的在数据处理指令之后的指令、和存储设备进入全盘只读状态中的其中之一。

例如，将被破坏数据进行备份，或者，禁止后续操作执行，等待特权用户处理，后者，存储设备全盘只读，等待特权用户处理。

在本发明的一些实施例中，为了赋予用户更多的权限，以方便用户的使用，本发明实施例的方法还包括对存储设备使用的预设规则进行设定，例如，在存储设备获取主机发送的数据处理指令的步骤之前，本发明实施例的方法还包括：存储设备获取目标主机发送的加密设置指令，其中，加密设置指令为目标主机使用私钥对设置指令进行签名得到的命令。当使用预存的公钥对加密设置指令验证通过时，存储设备根据设置指令，确定预设的数据破坏规则和待使用的预设处理策略。

这样，具有和存储设备上预存的公钥对应的私钥的用户，即可对存储设备上的步骤502的数据破坏规则和步骤503的预设处理策略提前进行设定。以及，实现了用户在预设处理策略时，需首先通过数字签名验证，确认身份。

具体来说，可以是，主机的操作系统安装成功后，特权用户通过了数字签名的验证，则可以对存储设备的下述方面进行预设：

1)关键数据区域；

2)关键文件类型(其中，关键类型的文件不应被删除，否则任务是破坏行为)；

3)对破坏行为的处理策略。

其中，关键数据区域可以包括只读数据区域和监控数据区域。详细来说，只读数据区域通常选取系统文件夹。系统文件夹指的是存放操作系统主要文件的文件夹，一般在安装操作系统过程中自动创建并将相关文件放在对应的文件夹中，这些文件直接影响系统的正常运行，多数都不允许随意改变。如果此类文件夹被损坏或丢失，将会导致系统不能正常运行，甚至导致系统崩溃。只读数据区域上存储的文件例如为：Windows的Windows目录，Linux的boot目录、$Kernel_version/kernel/drivers等等。监控数据区域通常选取主引导区、引导区、FAT表。主引导记录(MBR，Main Boot Record)是位于磁盘最前边的一段引导(Loader)代码。FAT表也是可定位的(在上文已经介绍)。

如图6所示，在未授权的情况下，只读数据区域不接受非读IO命令。监控数据区域只接受读写IO命令，并且存储设备会判断写命令是否企图将其重新初始化(即(除坏簇记录以外)所有表项清零)。

在操作系统安装成功后，系统文件夹和重要数据所在的逻辑地址就确定下来，如图7所示，具有私钥的用户，通过目标主机向存储设备下发加密设置指令，以使当使用预存的公钥对加密设置指令验证通过时，存储设备根据设置指令将关键数据区域预设到存储设备上。

可以理解，关于识别数据处理指令是否符合数据破坏规则有多种具体的实现方式，本发明实施例对此不作具体限定。下面即对此进行举例说明。

其中，在一些实施例中，用户可预先确定数据破坏规则，例如操作存储设备从下述示例的数据破坏规则中确定待用的数据破坏规则。

示例一：数据处理指令为写命令。其中，该写命令可以命中关键数据区域，在本发明实施例中关键数据区域可以包括只读数据区域和监控数据区域。

针对只读数据区域，在本发明实施例的一个具体实现方式中，步骤502具体包括：存储设备判断写命令是否命中只读数据区域，该只读数据区域为存储设备上预设的存放操作系统预设文件的区域；相应地，若数据处理指令符合预设的数据破坏规则，则存储设备执行预设处理策略则具体包括：若写命令命中只读数据区域，则存储设备执行预设处理策略。

针对监控数据区域，在本发明实施例的另一个具体实现方式中，步骤502具体包括：存储设备判断写命令是否命中监控数据区域，且写命令是否为快速格式化行为，该监控数据区域为存储设备上预设的存放预设文件的区域。相应地，若数据处理指令符合预设的数据破坏规则，则存储设备执行预设处理策略，具体包括：若写命令命中监控数据区域，且写命令为快速格式化行为，则存储设备执行预设处理策略。

例如，如图8所示，在一具体实现方式中，本发明实施例的方法包括：

步骤801：在未授权状态下，存储设备获取主机发送的写命令；

步骤802：存储设备判断该写命令是否命中只读数据区域；若写命令命中只读数据区域，则执行步骤806，否则执行步骤803。

步骤803：存储设备判断该写命令是否命中监控数据区域。若写命令命中监控数据区域，则执行步骤804，否则执行步骤805。

步骤804：存储设备判断写命令是否为快速格式化行为。若写命令为快速格式化行为，则执行步骤806，否则执行步骤805。

步骤805：执行写命令。

步骤806：存储设备执行预设处理策略。

步骤807：记录安全事件日志。

上述步骤执行完成后，存储设备可向主机返回执行结果。

示例二：存储设备为固态硬盘，数据处理指令为删除命令。在本实现方式中，预设的数据破坏规则为命中关键数据区域、删除区域包括预设的文件类型、删除数据量大于预设数据量中的其中之一；其中，关键数据区域为存储设备上预设的区域，删除区域为删除命令删除的区域，删除数据量为删除命令删除的数据量。

例如，存储设备在收到删除命令后，对被删除区域的逻辑地址进行检查，若发现与文件系统关键区域重叠，则执行特权用户预设的应对措施；例如，禁止用户进一步的操作，上报告警，等待管理员进行处理；删除命令的一次删除数据的长度超过了预设的长度，则执行特权用户预设的应对措施；删除命令要删除的数据中包含预设的系统文件及特殊文件，或上述文件一次被删除时，则执行特权用户预设的应对措施。以及，对低级格式化，格式化行为(或者其他的用户可能会用来破坏数据的方法)进行实时监测，若发现上述行为则执行特权用户预设的应对措施。

这样，删除命令(Trim命令)的处理过程中，存储设备根据删除命令对应的文件类型、数据区域、和删除长度等可识别出多种破坏行为，如删除长度过长(大量删除文件，或低级格式化)；删除关键数据区域(破坏系统文件)等。

例如，如图9所示，在一具体实现方式中，本发明实施例的方法包括：

步骤901：在未授权状态下，存储设备获取主机发送的删除命令。

步骤902：存储设备判断删除命令是否命中关键数据区域。若删除命令命中关键数据区域，则执行步骤906，否则执行步骤903。

步骤903：存储设备判断删除命令删除的删除区域是否包括预设的文件类型。若删除区域包括预设的文件类型，则执行步骤906，否则执行步骤904。

步骤904：存储设备判断删除命令的删除数据量是否大于预设数据量。若删除数据量大于预设数据量，则执行步骤906，否则执行步骤905。

步骤905：存储设备执行删除命令。

步骤906：存储设备执行预设处理策略。

步骤907：记录安全事件日志。

上述步骤执行完成后，存储设备可向主机返回执行结果。

这样，本发明实施例的方法通过对写命令或删除(Trim)命令的地址或内容进行检查，实现对各种格式化、破坏行为的识别。若识别出破坏行为，则执行特权用户预设的预设处理策略，以保护存储设备上存储的数据，并将该事件记录到安全日志内。否则，正常执行该命令。

可选地，在存储设备执行预设处理策略时，存储设备可以将删除命令删除的数据进行备份，此时，在预设规则的允许下，当特权用户需要操作被删除数据时，需要先通过数字签名验证，确认身份。

另外，在本发明实施例中，可依据监测结果触发存储备份策略的变化和安全事件的记录。

本发明实施例的方法在存储设备内部实现，针对目前操作系统层对数据提供保护的方案所存在的问题，提供了一系列的对数据破坏行为的有效的识别策略。以及由特权用户在数字签名的保护下，将选定的处理策略预设到存储设备中。这样，存储设备当识别出数据破坏行为时，执行特权用户预设的预设处理策略。从而，本发明实施例的方法创造性建立存储设备端的数据安全机制，不依赖于操作系统层的保护。以及，通过数字签名的身份验证，提高产品整体的安全性。另外，存储设备通过提供安全告警机制，及时通知系统管理员采取相应措施。从而，提高了数据安全性，即使存储设备被转移或操作系统层的保护完全失效，数据在存储设备中依然安全。

综上所述，存储设备获取主机发送的数据处理指令，数据处理指令用于对存储设备上存储的数据进行操作。存储设备判断数据处理指令是否符合预设的数据破坏规则。若数据处理指令符合预设的数据破坏规则，则存储设备执行预设处理策略，以保护存储设备上存储的数据。因此相对于现有技术，本发明实施例通过在存储设备上对来至主机的数据处理指令进行识别判断，若识别出数据处理指令符合预设的数据破坏规则，则存储设备执行预设处理策略，以保护存储设备上存储的数据，从而提高存储设备上存储的数据的安全性。

图10为本发明实施例提供的一种存储设备的结构示意图，该存储设备可用于执行上述图5所示的数据处理方法。图10所示的存储设备可集成到图4所示的存储设备上，

参阅图10，本发明实施例的存储设备包括：

获取单元1001，用于获取主机发送的数据处理指令，数据处理指令用于对存储设备上存储的数据进行操作；

判断单元1002，用于判断数据处理指令是否符合预设的数据破坏规则；

执行单元1003，用于若数据处理指令符合预设的数据破坏规则，则执行预设处理策略，以保护存储设备上存储的数据。

可选地，数据处理指令为写命令；

判断单元1002，还用于判断写命令是否命中只读数据区域，只读数据区域为存储设备上预设的存放操作系统预设文件的区域；

执行单元1003，还用于若写命令命中只读数据区域，则执行预设处理策略。

可选地，数据处理指令为写命令；

判断单元1002，还用于判断写命令是否命中监控数据区域，且写命令是否为快速格式化行为，监控数据区域为存储设备上预设的存放预设文件的区域；

执行单元1003，还用于若写命令命中监控数据区域，且写命令为快速格式化行为，则执行预设处理策略。

可选地，存储设备为固态硬盘，数据处理指令为删除命令，

预设的数据破坏规则为命中关键数据区域、删除区域包括预设的文件类型、删除数据量大于预设数据量中的其中之一；

其中，关键数据区域为存储设备上预设的区域，删除区域为删除命令删除的区域，删除数据量为删除命令删除的数据量。

可选地，获取单元1001，还用于在未授权状态下，获取主机发送的数据处理指令。

可选地，存储设备还包括设置单元1004；

所示获取单元1001，还用于获取目标主机发送的加密设置指令，加密设置指令为目标主机使用私钥对设置指令进行签名得到的命令；

所示设置单元1004，用于当使用预存的公钥对加密设置指令验证通过时，根据设置指令，确定预设的数据破坏规则和待使用的预设处理策略。

综上所述，获取单元1001获取主机发送的数据处理指令，数据处理指令用于对存储设备上存储的数据进行操作；判断单元1002判断数据处理指令是否符合预设的数据破坏规则；若数据处理指令符合预设的数据破坏规则，则执行单元1003执行预设处理策略，以保护存储设备上存储的数据。这样，通过在存储设备上对来至主机的数据处理指令进行识别判断，若识别出数据处理指令符合预设的数据破坏规则，则存储设备执行预设处理策略，以保护存储设备上存储的数据，从而提高存储设备上存储的数据的安全性。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

一种数据处理方法，其特征在于，包括：

存储设备获取主机发送的数据处理指令，所述数据处理指令用于对所述存储设备上存储的数据进行操作；

所述存储设备判断所述数据处理指令是否符合预设的数据破坏规则；

若所述数据处理指令符合所述预设的数据破坏规则，则所述存储设备执行预设处理策略，以保护所述存储设备上存储的数据。
根据权利要求1所述的方法，其特征在于，

所述数据处理指令为写命令；

所述存储设备判断所述数据处理指令是否符合预设的数据破坏规则，包括：

所述存储设备判断所述写命令是否命中只读数据区域，所述只读数据区域为所述存储设备上预设的存放操作系统预设文件的区域；

所述若所述数据处理指令符合所述预设的数据破坏规则，则所述存储设备执行预设处理策略，包括：

若所述写命令命中所述只读数据区域，则所述存储设备执行预设处理策略。
根据权利要求1所述的方法，其特征在于，

所述数据处理指令为写命令；

所述存储设备判断所述数据处理指令是否符合预设的数据破坏规则，包括：

所述存储设备判断所述写命令是否命中监控数据区域，且所述写命令是否为快速格式化行为，所述监控数据区域为所述存储设备上预设的存放预设文件的区域；

所述若所述数据处理指令符合所述预设的数据破坏规则，则所述存储设备执行预设处理策略，包括：

若所述写命令命中所述监控数据区域，且所述写命令为快速格式化行为，则所述存储设备执行预设处理策略。
根据权利要求1所述的方法，其特征在于，

所述存储设备为固态硬盘，所述数据处理指令为删除命令，

所述预设的数据破坏规则为命中关键数据区域、删除区域包括预设的文件类型、删除数据量大于预设数据量中的其中之一；

其中，所述关键数据区域为所述存储设备上预设的区域，所述删除区域为所述删除命令删除的区域，所述删除数据量为所述删除命令删除的数据量。
根据权利要求1所述的方法，其特征在于，

所述预设处理策略包括上报告警、将所述存储设备上被所述数据处理指令破坏的数据进行备份、所述存储设备禁止执行所述主机的在所述数据处理指令之后的指令、和所述存储设备进入全盘只读状态中的其中之一。
根据权利要求1所述的方法，其特征在于，

所述存储设备获取主机发送的数据处理指令，包括：

存储设备在未授权状态下，获取主机发送的数据处理指令。
根据权利要求1所述的方法，其特征在于，

所述存储设备获取主机发送的数据处理指令之前，所述方法还包括：

存储设备获取目标主机发送的加密设置指令，所述加密设置指令为所述目标主机使用私钥对设置指令进行签名得到的命令；

当使用预存的公钥对所述加密设置指令验证通过时，所述存储设备根据所述设置指令，确定预设的数据破坏规则和待使用的预设处理策略。
一种存储设备，其特征在于，包括：

获取单元，用于获取主机发送的数据处理指令，所述数据处理指令用于对所述存储设备上存储的数据进行操作；

判断单元，用于判断所述数据处理指令是否符合预设的数据破坏规则；

执行单元，用于若所述数据处理指令符合所述预设的数据破坏规则，则执行预设处理策略，以保护所述存储设备上存储的数据。
根据权利要求8所述的存储设备，其特征在于，

所述数据处理指令为写命令；

所述判断单元，还用于判断所述写命令是否命中只读数据区域，所述只读数据区域为所述存储设备上预设的存放操作系统预设文件的区域；

所述执行单元，还用于若所述写命令命中所述只读数据区域，则执行预设处理策略。
根据权利要求8所述的存储设备，其特征在于，

所述数据处理指令为写命令；

所述判断单元，还用于判断所述写命令是否命中监控数据区域，且所述写命令是否为快速格式化行为，所述监控数据区域为所述存储设备上预设的存放预设文件的区域；

所述执行单元，还用于若所述写命令命中所述监控数据区域，且所述写命令为快速格式化行为，则执行预设处理策略。