CN109711207B - 一种数据加密方法及装置 - Google Patents
一种数据加密方法及装置 Download PDFInfo
- Publication number
- CN109711207B CN109711207B CN201811641242.3A CN201811641242A CN109711207B CN 109711207 B CN109711207 B CN 109711207B CN 201811641242 A CN201811641242 A CN 201811641242A CN 109711207 B CN109711207 B CN 109711207B
- Authority
- CN
- China
- Prior art keywords
- storage
- key
- disk space
- storage device
- ciphertext data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请提供一种数据加密方法及装置,该方法包括:接收写请求后,解析所述写请求中的目标数据;依据本设备唯一的存储密钥,对所述目标数据进行加密,获得第一密文数据;将所述第一密文数据写入第一磁盘空间。由于存储设备在接收到目标数据后,立即通过唯一的存储密钥对目标数据进行加密,使得目标数据在存储设备内部以密文形式存在,提高了存储安全性;在存储设备内部执行业务时,降低了存储设备内部加密成本、时间消耗,提高了存储设备的处理效率。
Description
技术领域
本申请涉及存储领域,特别涉及一种数据加密方法及装置。
背景技术
数据是信息***的基石,为实现数据的安全存储和传输,存储***对写入磁盘的数据进行加密,使得数据以密文的形式保存在磁盘中。在这种情况下,即便数据被盗,也不会被解析。
在相关技术中,可在磁盘接口处或磁盘内部添加物理加密模块,该物理加密模块实际可以是加密芯片,数据通过该物理加密模块加密后,写入磁盘的即为密文数据。其中,每个磁盘被设置独有的存储密钥,物理加密模块与存储密钥管理服务器交互以获取该物理加密模块对应磁盘的存储密钥,进而可根据该存储密钥对写入磁盘的数据进行加密,对读出磁盘的数据进行解密。
发明内容
有鉴于此,本申请提供一种数据加密方法及装置,用以在加密成本较低的情况下,提高存储安全性。
具体地,本申请是通过如下技术方案实现的:
一种数据加密方法,应用于存储***的第一存储设备,包括:
接收写请求后,解析所述写请求中的目标数据;
依据本设备唯一的存储密钥,对所述目标数据进行加密,获得第一密文数据;
将所述第一密文数据写入第一磁盘空间。
在所述数据加密方法中,所述方法还包括:
基于预设的业务执行策略,确定与所述第一磁盘空间存在业务关系的第二磁盘空间;
将所述第一密文数据写入所述第二磁盘空间。
在所述数据加密方法中,所述存储***包括至少两个存储设备,所述存储***中各存储设备共用相同的存储密钥;所述第二磁盘空间位于所述存储***的第二存储设备上;
所述将所述第一密文数据写入所述第二磁盘空间,包括:
将所述第一密文数据发送至所述第二存储设备,以由所述第二存储设备将所述第一密文数据写入所述第二磁盘空间。
在所述数据加密方法中,所述存储***包括至少两个存储设备,所述存储***的各存储设备的存储密钥不同;
所述方法还包括:
基于预设的业务执行策略,确定与所述第一磁盘空间存在业务关系的第二磁盘空间;其中,所述第二磁盘空间位于所述存储***的第二存储设备上;
依据本设备的存储密钥对所述第一密文数据进行解密,获得所述目标数据;
依据预设的传输密钥对所述目标数据进行加密,获得传输密文数据;
将所述传输密文数据发送至所述第二存储设备,以由所述第二存储设备依据所述传输密钥对所述传输密文数据解密、并依据自身唯一的存储密钥对解密得到的目标数据进行加密、将加密后的第二密文数据写入至所述第二磁盘空间。
在所述数据加密方法中,所述存储***的各存储设备共享所述传输密钥;或者,
所述存储***中任意两个存储设备形成传输关系,每一传输关系预配置独立的传输密钥。
在所述数据加密方法中,所述方法还包括:
接收所述第二存储设备发送的第三密文数据;其中,所述第三密文数据写入至所述第二存储设备的第三磁盘空间,与所述第三磁盘空间存在业务关系的第四磁盘空间在本设备上;
将所述第三密文数据写入所述第四磁盘空间。
在所述数据加密方法中,所述方法还包括:
接收所述第二存储设备发送的传输密文数据;其中,所述传输密文数据中的目标数据经加密后,写入至所述第二存储设备的第三磁盘空间,与所述第三磁盘空间存在业务关系的第四磁盘空间在本设备上;
依据所述传输密钥对所述传输密文数据进行解密,获得目标数据;
依据本设备唯一的存储密钥对所述目标数据进行加密,并将加密得到的第四密文数据写入至所述第四磁盘空间。
在所述数据加密方法中,所述存储***包括密钥管理服务器;在第一次依据所述存储密钥对所述目标数据进行加密前,所述方法还包括:
向所述密钥管理服务器发送密钥获取请求,以由所述密钥管理服务器返回本设备的存储密钥。
在所述数据加密方法中,所述存储***包括密钥管理服务器;在第一次依据所述传输密钥对所述目标数据进行加密前,所述方法还包括:
向所述密钥管理服务器发送密钥获取请求,以由所述密钥管理服务器返回所述传输密钥。
一种数据加密装置,应用于存储***的第一存储设备,包括:
解析单元,用于接收写请求后,解析所述写请求中的目标数据;
加密单元,用于依据本设备唯一的存储密钥,对所述目标数据进行加密,获得第一密文数据;
处理单元,用于将所述第一密文数据写入第一磁盘空间。
在本申请实施例中,第一存储设备接收到写请求后,可依据本设备唯一的存储密钥,对写请求中的目标数据进行加密,获得第一密文数据,然后将第一密文数据写入第一磁盘空间;
由于存储设备在接收到目标数据后,立即通过唯一的存储密钥对目标数据进行加密,使得目标数据在存储设备内部以密文形式存在,提高了存储安全性;在存储设备内部执行业务时,降低了存储设备内部加密成本、时间消耗,提高了存储设备的处理效率。
附图说明
图1是本申请示出的一种存储***的架构示意图;
图2是本申请示出的一种数据加密方法的流程图;
图3是本申请示出的另一种存储***的架构示意图;
图4是本申请示出的又一种存储***的架构示意图;
图5是本申请示出的一种数据加密装置的实施例框图;
图6是本申请示出的一种数据加密装置的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,为本申请示出的一种存储***的架构示意图,如图1所示,存储***中存储设备的各个硬盘分别存在对应的物理加密模块(图1中的“Encrypte”),该物理加密模块可以位于磁盘接口处或磁盘内部。每个磁盘被设置独有的存储密钥,存储设备在向任一磁盘写入数据时,需通过该磁盘的物理加密模块和存储密钥对数据进行加密,然后将密文数据写入至磁盘。
当存储***对已写入磁盘的数据进行业务处理时,必须对数据进行一次解密和一次加密。其中,上述业务可以包括复制、镜像、克隆、快照等。
如图1所示,若存储设备将磁盘1中的数据镜像至磁盘2,首先需将磁盘1中读出的密文数据进行解密,然后将解密得到的明文数据传输至磁盘2。接着,依据磁盘2的存储密钥对该明文数据加密后得到新的密文数据,进而将新的密文数据写入到磁盘2中。
存储***内部的解密和加密处理增加了处理业务的时间消耗,并且占有存储***的处理资源,降低了存储***整体的处理效率。
为解决上述问题,本申请提出一种数据加密方法,用以更合理地对数据进行加密。参见图2,为本申请示出的一种数据加密方法的流程图,该方法应用于存储***的第一存储设备,包括以下步骤:
步骤201:接收写请求后,解析所述写请求中的目标数据。
步骤202:依据本设备唯一的存储密钥,对所述目标数据进行加密,获得第一密文数据。
其中,上述第一存储设备的入口处安装有物理加密模块。
第一存储设备接收到写请求后,解析得到上述写请求中的目标数据后,可马上依据本设备唯一的存储密钥,对目标数据进行加密。
参见图3,为本申请示出的另一种存储***的架构示意图,如图3所示,存储设备的物理加密模块(图3的“Encrypte”)安装于设备入口处,使得存储设备可马上就接收到的目标数据进行加密处理。
在加密完成后,第一存储设备内部的目标数据以密文形式存在,即第一密文数据。
作为一种实施例,上述存储***包括密钥管理服务器。上述第一存储设备在第一次依据上述存储密钥对上述目标数据进行加密前,首先可向上述密钥管理服务器发送密钥获取请求。
该密钥管理服务器接收到该密钥获取请求后,可向上述第一存储设备返回存储密钥,使得第一存储设备可依据该存储密钥进行加密、解密处理。
第一存储设备获取到存储密钥后,后续可直接根据该存储密钥对接收到的数据进行加密和解密,无需再向密钥管理服务器获取存储密钥。
步骤203:将所述第一密文数据写入第一磁盘空间。
在获得第一密文数据后,第一存储设备可根据上述写请求指示的存储地址,将上述第一密文数据直接写入至该存储地址指示的第一磁盘空间。
由于第一存储设备通过唯一的存储密钥对写入各个磁盘的目标数据进行加密,可直接向任一磁盘写入已加密的第一密文数据,降低了加密的繁琐程度。
在本申请实施例中,存储***中可基于不同的应用需求而预配置业务执行策略,该业务执行策略指示存储设备对写入存储***的目标数据执行复制、镜像、克隆、快照等业务。
需要指出的是,上述第一存储设备可能是在加密得到第一密文数据后,将该第一密文数据写入上述第一磁盘空间前,对该第一密文数据执行相应的业务;也有可能是已经将第一密文数据写入上述第一磁盘空间后,对该第一密文数据执行相应的业务。本申请对此不作限定。
上述第一存储设备可基于上述业务执行策略,确定与上述第一磁盘空间存在业务关系的第二磁盘空间。比如:若业务执行策略指示镜像业务,则需根据预设的存储镜像关系,确定与第一磁盘空间对应的第二磁盘空间。
进一步地,上述第一存储设备可将上述第一密文数据写入上述第二磁盘空间。
在示出的一种实施方式中,上述存储***包括至少两个存储设备,且存储***中各存储设备共用相同的存储密钥;
当第一存储设备基于上述业务执行策略,确定出的上述第二磁盘空间在存储***的第二存储设备上时,上述第一存储设备可将上述第一密文数据发送至上述第二存储设备,以由上述第二存储设备将上述第一密文数据写入至本地的第二磁盘空间。
参见图4,为本申请示出的又一种存储***的架构示意图,如图4所示,存储设备1、存储设备2、存储设备3和存储设备4构成存储***。存储***中各存储设备共用相同的存储密钥。当存储设备1确定与本地的第一磁盘空间存在业务关系的第二磁盘空间位于存储设备2时,存储设备1可通过后端网络将第一密文数据发送至存储设备2。存储设备2可将该第一密文数据直接写入本地的第二磁盘空间。
由于存储***的各存储设备共用相同的存储密钥,存储设备之间可直接传输已加密的目标数据,减少了不必要的解密及加密步骤,既节约了存储***处理业务的时间消耗,也减少了对处理资源的占用,进而提升了存储***整体的处理效率。
此外,目标数据以密文形式在存储***内部传输,提高了传输安全性。
在本申请实施例中,存储***的各存储设备都有可能接收到其它存储设备发送的密文数据。第一存储设备同样会接收到其它存储设备在执行业务时发送的密文数据。
当存储***的第二存储设备将第三密文数据写入至自身的第三磁盘空间后,该第二存储设备确定出与第三磁盘空间存在业务关系的第四磁盘空间在第一存储设备上。因此,第二存储设备可将上述第三密文数据发送至第一存储设备。
上述第一存储设备接收到该第三密文数据后,可直接将上述第三密文数据写入上述第四磁盘空间。
在示出的另一种实施方式中,上述存储***包括至少两个存储设备,且存储***中各存储设备的存储密钥不同。
当第一存储设备对目标数据执行业务时,基于上述业务执行策略,确定出与第一磁盘空间存在业务关系的第二磁盘空间;其中,上述第二磁盘空间位于上述存储***的第二存储设备上。
由于目标数据已经被加密为第一密文数据,而第一存储设备与第二存储设备的存储密钥不同,因此,第一存储设备无法直接将第一密文数据传输至第二存储设备。
在这种情况下,第一存储设备首先可依据本设备的存储密钥对上述第一密文数据进行解密,获得上述目标数据。
需要指出的是,当各存储设备的存储密钥不同时,为避免以明文形式在各存储设备之间传输数据,可引入传输密钥。
第一存储设备可依据预设的传输密钥对上述目标数据进行加密,获得传输密文数据。进一步地,第一存储设备将上述传输密文数据发送至上述第二存储设备。
上述第二存储设备可依据上述传输密钥对上述传输密文数据解密,然后依据自身唯一的存储密钥对解密得到的目标数据进行加密,得到第二密文数据。进一步地,上述第二存储设备可将加密后的第二密文数据写入至上述第二磁盘空间。
仍旧参见图4,存储***中各存储设备分别使用不同的存储密钥。当存储设备1确定与本地的第一磁盘空间存在业务关系的第二磁盘空间位于存储设备2时,存储设备1可对第一密文数据解密得到目标数据,然后依据传输密钥将目标数据加密得到传输密文数据,进而将该传输密文数据发送至存储设备2。存储设备2依据传输密钥对该传输密文数据解密得到目标数据,然后依据自身的存储密钥对该目标数据加密后,写入本地的第二磁盘空间。
作为一种实施例,上述存储***的各存储设备共享上述传输密钥。在这种实施例中,整个存储***只需要唯一的传输密钥即可。
作为另一种实施例,上述存储***中任一两个存储设备形成传输关系,每一传输关系预配置独立的传输密钥。以图4为例,存储设备1可分别与存储设备2、存储设备3、存储设备4形成3个传输关系,存储设备2又可与存储设备3、存储设备4形成2个传输关系,以此类推,整个存储***中有6个传输关系,分别配置独立的传输密钥。在这种实施例中,整个存储***需配置多个传输密钥,可进一步提高数据传输的安全性。
其中,上述传输密钥可预先配置在各存储设备上,或者,保存在密钥管理服务器中。
若由密钥管理服务器保存传输密钥,则上述第一存储设备在第一次依据上述传输密钥对上述目标数据进行加密前,需先上述密钥管理服务器发送密钥获取请求。
该密钥管理服务器接收到该密钥获取请求后,可向上述第一存储设备返回传输密钥。使得第一存储设备可依据该传输密钥进行加密、解密处理。
第一存储设备获取到传输密钥后,后续可直接根据该传输密钥对接收到的数据进行加密和解密,无需再向密钥管理服务器获取传输密钥。
在这种实施方式中,第一存储设备同样会接收到其它存储设备在执行业务时发送的密文数据。
当存储***的第二存储设备将目标数据加密后,写入自身的第三磁盘空间,该第二存储设备确定出与第三磁盘空间存在业务关系的第四磁盘空间在上述第一存储设备上。因此,第二存储设备可将依据传输密钥对目标数据加密后,将传输密文数据发送至第一存储设备。
上述第一存储设备接收上述传输密文数据后,可依据传输密钥对该传输密文数据进行解密,获得目标数据。
进一步地,上述第一存储设备可依据本设备唯一的存储密钥对上述目标数据进行加密,然后将加密得到的第四密文数据写入至上述第四磁盘空间。
综上所述,在本申请实施例中,第一存储设备接收到写请求后,可依据本设备唯一的存储密钥,对写请求中的目标数据进行加密,获得第一密文数据,然后将第一密文数据写入第一磁盘空间;
由于存储设备在接收到目标数据后,立即通过唯一的存储密钥对目标数据进行加密,使得目标数据在存储设备内部以密文形式存在,提高了存储安全性;在存储设备内部执行业务时,降低了存储设备内部加密成本、时间消耗,提高了存储设备的处理效率;
当存储设备执行业务时涉及其它存储设备时,一种情况下,存储***内各存储设备共享相同的存储密钥,因此,目标数据在存储***中始终以密文形式存在,提高了存储安全性,减少了不必要的解密及加密步骤,既节约了存储***处理业务的时间消耗,也减少了对处理资源的占用,进而提升了存储***整体的处理效率;
另一种情况下,存储***内各存储设备使用独立的存储密钥,此时,互相传输密文数据的存储设备仍共享传输密钥,因此,在实现成本较低的情况下,进一步提高存储安全性和传输安全性。
与前述数据加密方法的实施例相对应,本申请还提供了数据加密装置的实施例。
参见图5,为本申请示出的一种数据加密装置的实施例框图:
如图5所示,该数据加密装置50,包括:
解析单元510,用于接收写请求后,解析所述写请求中的目标数据;
加密单元520,用于依据本设备唯一的存储密钥,对所述目标数据进行加密,获得第一密文数据;
处理单元530,用于将所述第一密文数据写入第一磁盘空间。
在本例中,所述处理单元530,进一步用于:
基于预设的业务执行策略,确定与所述第一磁盘空间存在业务关系的第二磁盘空间;
将所述第一密文数据写入所述第二磁盘空间。
在本例中,所述存储***包括至少两个存储设备,所述存储***中各存储设备共用相同的存储密钥;所述第二磁盘空间位于所述存储***的第二存储设备上;
所述处理单元530,进一步用于:
将所述第一密文数据发送至所述第二存储设备,以由所述第二存储设备将所述第一密文数据写入所述第二磁盘空间。
在本例中,所述存储***包括至少两个存储设备,所述存储***的各存储设备的存储密钥不同;
所述处理单元530,进一步用于:
基于预设的业务执行策略,确定与所述第一磁盘空间存在业务关系的第二磁盘空间;其中,所述第二磁盘空间位于所述存储***的第二存储设备上;
依据本设备的存储密钥对所述第一密文数据进行解密,获得所述目标数据;
依据预设的传输密钥对所述目标数据进行加密,获得传输密文数据;
将所述传输密文数据发送至所述第二存储设备,以由所述第二存储设备依据所述传输密钥对所述传输密文数据解密、并依据自身唯一的存储密钥对解密得到的目标数据进行加密、将加密后的第二密文数据写入至所述第二磁盘空间。
在本例中,所述存储***的各存储设备共享所述传输密钥;或者,
所述存储***中任意两个存储设备形成传输关系,每一传输关系预配置独立的传输密钥。
在本例中,所述处理单元530,进一步用于:
接收所述第二存储设备发送的第三密文数据;其中,所述第三密文数据写入至所述第二存储设备的第三磁盘空间,与所述第三磁盘空间存在业务关系的第四磁盘空间在本设备上;
将所述第三密文数据写入所述第四磁盘空间。
在本例中,所述处理单元530,进一步用于:
接收所述第二存储设备发送的传输密文数据;其中,所述传输密文数据中的目标数据经加密后,写入至所述第二存储设备的第三磁盘空间,与所述第三磁盘空间存在业务关系的第四磁盘空间在本设备上;
依据所述传输密钥对所述传输密文数据进行解密,获得目标数据;
依据本设备唯一的存储密钥对所述目标数据进行加密,并将加密得到的第四密文数据写入至所述第四磁盘空间。
在本例中,所述存储***包括密钥管理服务器;在第一次依据所述存储密钥对所述目标数据进行加密前,所述装置还包括:
获取单元540(图中未示出),用于向所述密钥管理服务器发送密钥获取请求,以由所述密钥管理服务器返回本设备的存储密钥。
在本例中,所述存储***包括密钥管理服务器;在第一次依据所述传输密钥对所述目标数据进行加密前,所述装置还包括:
获取单元540(图中未示出),用于向所述密钥管理服务器发送密钥获取请求,以由所述密钥管理服务器返回所述传输密钥。
本申请数据加密装置的实施例可以应用在第一存储设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在第一存储设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图6所示,为本申请数据加密装置所在第一存储设备的一种硬件结构图,除了图6所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的第一存储设备通常根据该数据加密装置的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种数据加密方法,应用于存储***的第一存储设备,其特征在于,所述存储***还包括密钥管理服务器,包括:
接收写请求后,解析所述写请求中的目标数据;
向所述密钥管理服务器发送密钥获取请求,以由所述密钥管理服务器返回本设备的存储密钥,并将返回的本设备的存储密钥保存在所述第一存储设备的入口处安装的物理加密模块中;
依据本设备唯一的存储密钥,对所述目标数据进行加密,获得第一密文数据;
将所述第一密文数据写入第一磁盘空间;
基于预设的存储业务执行策略,确定与所述第一磁盘空间存在存储业务关系的第二磁盘空间;
将所述第一密文数据写入所述第二磁盘空间。
2.根据权利要求1所述的方法,其特征在于,所述存储***包括至少两个存储设备,所述存储***中各存储设备共用相同的存储密钥;所述第二磁盘空间位于所述存储***的第二存储设备上;
所述将所述第一密文数据写入所述第二磁盘空间,包括:
将所述第一密文数据发送至所述第二存储设备,以由所述第二存储设备将所述第一密文数据写入所述第二磁盘空间。
3.根据权利要求1所述的方法,其特征在于,所述存储***包括至少两个存储设备,所述存储***的各存储设备的存储密钥不同;
所述方法还包括:
基于预设的业务执行策略,确定与所述第一磁盘空间存在业务关系的第二磁盘空间;其中,所述第二磁盘空间位于所述存储***的第二存储设备上;
依据本设备的存储密钥对所述第一密文数据进行解密,获得所述目标数据;
依据预设的传输密钥对所述目标数据进行加密,获得传输密文数据;
将所述传输密文数据发送至所述第二存储设备,以由所述第二存储设备依据所述传输密钥对所述传输密文数据解密、并依据自身唯一的存储密钥对解密得到的目标数据进行加密、将加密后的第二密文数据写入至所述第二磁盘空间。
4.根据权利要求3所述的方法,其特征在于,所述存储***的各存储设备共享所述传输密钥;或者,
所述存储***中任意两个存储设备形成传输关系,每一传输关系预配置独立的传输密钥。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
接收所述第二存储设备发送的第三密文数据;其中,所述第三密文数据写入至所述第二存储设备的第三磁盘空间,与所述第三磁盘空间存在业务关系的第四磁盘空间在本设备上;
将所述第三密文数据写入所述第四磁盘空间。
6.根据权利要求3所述的方法,其特征在于,所述方法还包括:
接收所述第二存储设备发送的传输密文数据;其中,所述传输密文数据中的目标数据经加密后,写入至所述第二存储设备的第三磁盘空间,与所述第三磁盘空间存在业务关系的第四磁盘空间在本设备上;
依据所述传输密钥对所述传输密文数据进行解密,获得目标数据;
依据本设备唯一的存储密钥对所述目标数据进行加密,并将加密得到的第四密文数据写入至所述第四磁盘空间。
7.根据权利要求3所述的方法,其特征在于,所述存储***包括密钥管理服务器;在第一次依据所述传输密钥对所述目标数据进行加密前,所述方法还包括:
向所述密钥管理服务器发送密钥获取请求,以由所述密钥管理服务器返回所述传输密钥。
8.一种数据加密装置,应用于存储***的第一存储设备,其特征在于,所述存储***还包括密钥管理服务器,包括:
解析单元,用于接收写请求后,解析所述写请求中的目标数据;
加密单元,用于依据本设备唯一的存储密钥,对所述目标数据进行加密,获得第一密文数据;
获取单元,向所述密钥管理服务器发送密钥获取请求,以由所述密钥管理服务器返回本设备的存储密钥,并将返回的本设备的存储密钥保存在所述第一存储设备的入口处安装的物理加密模块中;
处理单元,用于将所述第一密文数据写入第一磁盘空间;基于预设的存储业务执行策略,确定与所述第一磁盘空间存在存储业务关系的第二磁盘空间;
将所述第一密文数据写入所述第二磁盘空间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641242.3A CN109711207B (zh) | 2018-12-29 | 2018-12-29 | 一种数据加密方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641242.3A CN109711207B (zh) | 2018-12-29 | 2018-12-29 | 一种数据加密方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109711207A CN109711207A (zh) | 2019-05-03 |
| CN109711207B true CN109711207B (zh) | 2020-10-30 |
Family
ID=66259603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811641242.3A Active CN109711207B (zh) | 2018-12-29 | 2018-12-29 | 一种数据加密方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109711207B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110619237B (zh) * | 2019-08-14 | 2022-08-26 | 江苏芯盛智能科技有限公司 | 数据存储方法、装置、计算机设备以及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000048357A1 (en) * | 1999-02-12 | 2000-08-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for enabling encrypted communication |
| CN101022455A (zh) * | 2006-12-26 | 2007-08-22 | 北京大学 | 一种Web通信加密方法 |
| CN103745170A (zh) * | 2014-01-02 | 2014-04-23 | 浙江云巢科技有限公司 | 磁盘数据的处理方法及装置 |
| CN106713334A (zh) * | 2016-12-31 | 2017-05-24 | 云宏信息科技股份有限公司 | 虚拟存储卷的加密方法、解密方法、访问方法以及装置 |
| CN107330337A (zh) * | 2017-07-19 | 2017-11-07 | 腾讯科技(深圳)有限公司 | 混合云的数据存储方法、装置、相关设备及云*** |
| CN107809314A (zh) * | 2017-12-01 | 2018-03-16 | 浙江九州量子信息技术股份有限公司 | 一种基于量子共享密钥数据加密方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130173906A1 (en) * | 2011-12-29 | 2013-07-04 | Eric T. Obligacion | Cloning storage devices through secure communications links |
| TWI646425B (zh) * | 2017-04-11 | 2019-01-01 | 精品科技股份有限公司 | 虛擬磁碟之防護系統 |
| CN109101198B (zh) * | 2018-08-28 | 2020-07-10 | 北京明朝万达科技股份有限公司 | 移动存储设备的磁盘控制方法和装置 |
-
2018
- 2018-12-29 CN CN201811641242.3A patent/CN109711207B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000048357A1 (en) * | 1999-02-12 | 2000-08-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for enabling encrypted communication |
| CN101022455A (zh) * | 2006-12-26 | 2007-08-22 | 北京大学 | 一种Web通信加密方法 |
| CN103745170A (zh) * | 2014-01-02 | 2014-04-23 | 浙江云巢科技有限公司 | 磁盘数据的处理方法及装置 |
| CN106713334A (zh) * | 2016-12-31 | 2017-05-24 | 云宏信息科技股份有限公司 | 虚拟存储卷的加密方法、解密方法、访问方法以及装置 |
| CN107330337A (zh) * | 2017-07-19 | 2017-11-07 | 腾讯科技(深圳)有限公司 | 混合云的数据存储方法、装置、相关设备及云*** |
| CN107809314A (zh) * | 2017-12-01 | 2018-03-16 | 浙江九州量子信息技术股份有限公司 | 一种基于量子共享密钥数据加密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109711207A (zh) | 2019-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10409990B2 (en) | Encryption and decryption method and apparatus in virtualization system, and system | |
| CN103051664B (zh) | 一种云存储***的文件管理方法、装置及该云存储*** | |
| CN100587677C (zh) | 数据处理设备和数据处理方法 | |
| CN1889426B (zh) | 一种实现网络安全存储与访问的方法及*** | |
| US9769654B2 (en) | Method of implementing a right over a content | |
| US10943020B2 (en) | Data communication system with hierarchical bus encryption system | |
| US11030119B2 (en) | Storage data encryption and decryption apparatus and method | |
| CN109726575B (zh) | 一种数据加密方法及装置 | |
| CN106796763B (zh) | 秘密计算***、中继装置、它们的方法、及记录介质 | |
| CN110637301A (zh) | 减少虚拟机中敏感数据的泄密 | |
| CN111741268B (zh) | 视频的传输方法、装置、服务器、设备和介质 | |
| US9444622B2 (en) | Computing platform with system key | |
| CN116662941B (zh) | 信息加密方法、装置、计算机设备和存储介质 | |
| CN112088376A (zh) | 一种文件存储方法、装置及存储介质 | |
| CN109711207B (zh) | 一种数据加密方法及装置 | |
| CN116226940B (zh) | 一种基于pcie的数据安全处理方法以及数据安全处理*** | |
| US8589690B2 (en) | Information processing apparatus, server apparatus, medium recording information processing program and information processing method | |
| CN116366289A (zh) | 无人机遥感数据的***方法及装置 | |
| JP2021530009A (ja) | 暗号化されたデータに対するセキュアな動作 | |
| CN114629644A (zh) | 数据加密方法、存储介质、计算机程序产品和电子设备 | |
| CN109684860B (zh) | 一种基于业务关系的数据加密方法及装置 | |
| US11550927B2 (en) | Storage data encryption/decryption apparatus and method | |
| CN111339578A (zh) | 一种密钥存取方法、装置、***、设备和存储介质 | |
| CN113094212B (zh) | 一种视频备份方法、装置及视频备份*** | |
| CN113783835B (zh) | 一种口令分享方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |