本发明涉及网络存储技术领域,更具体地说,涉及一种数据存储加密的方法及装置。
背景技术:
在内网中存储的数据,通常以明文形式存储在磁盘阵列中,或是基于数据信息的恢复和适用性存储在NAS及SAN等硬件设备中。
为了保证存储的数据的安全性,现有技术中通常是通过管理员对数据的管理实现的,即管理员通过其账号及密码登录上述存储设备之后,可以对存储设备中的全部信息进行获取;而当某个用户请求对某部分数据进行访问时,需要经过管理员来实现。但是,如果非法用户获取到管理员的账号及密码,则可以通过登录存储设备获取全部数据,可见这种技术方案大大降低了数据安全性。
综上所述,现有技术中对于数据进行存储的技术方案存在数据安全性较低的问题。
技术实现要素:
本发明的目的是提供一种数据存储加密的方法及装置,以解决现有技术中对于数据进行存储的技术方案存在的数据安全性较低的问题。
为了实现上述目的,本发明提供如下技术方案:
一种数据存储加密的方法,包括:
接收用户端发送的身份认证请求,对所述身份认证请求进行认证,并在认证通过后接收所述用户端发送的数据访问请求;
如果所述数据访问请求为数据上传请求,则对所述数据上传请求携带的待上传数据进行加密后发送至网络存储设备;
如果所述数据访问请求为数据获取请求,则判断所述用户端对所述数据获取请求对应的待获取数据是否具有访问权限,如果是,则由所述网络存储设备中获取所述待获取数据并对其进行解密后发送至所述用户端。
优选的,对所述数据上传请求携带的待上传数据进行加密之前,还包括:
对所述待上传数据进行哈希计算,得到对应的数据标识;
对应的,获取所述待获取数据并对其进行解密之后,还包括:
对解密后的所述待获取数据进行哈希计算,得到对应的数据标识,并确定该数据标识与发送所述待获取数据时对其进行计算得到的数据标识是否一致,如果是,则将解密后的所述待获取数据发送至所述用户端。
优选的,发送所述待上传数据及所述待获取数据,包括:
基于CIFS协议发送所述待上传数据及所述待获取数据。
优选的,对所述身份认证请求进行认证并认证通过之后,还包括:
基于所述身份认证请求确定所述用户端是否为管理用户端,如果是,则接收所述管理用户端发送的系统设置请求,并基于所述系统设置请求进行对应的系统设置,如果否,则接收所述用户端发送的数据访问请求。
优选的,还包括:
如果对所述身份认证请求的认证未通过,则发送对应的认证失败信息至所述管理用户端。
一种数据存储加密的装置,包括:
认证模块,用于接收用户端发送的身份认证请求,对所述身份认证请求进行认证,并在认证通过后接收所述用户端发送的数据访问请求;
加密模块,用于如果所述数据访问请求为数据上传请求,则对所述数据上传请求携带的待上传数据进行加密后发送至网络存储设备;
解密模块,用于如果所述数据访问请求为数据获取请求,则判断所述用户端对所述数据获取请求对应的待获取数据是否具有访问权限,如果是,则由所述网络存储设备中获取所述待获取数据并对其进行解密后发送至所述用户端。
优选的,所述加密模块还包括:
第一计算单元,用于对所述待上传数据进行哈希计算,得到对应的数据标识;
对应的,所述解密模块还包括:
第二计算单元,用于对解密后的所述待获取数据进行哈希计算,得到对应的数据标识,并确定该数据标识与发送所述待获取数据时对其进行计算得到的数据标识是否一致,如果是,则指示所述解密模块将解密后的所述待获取数据发送至所述用户端。
优选的,所述加密模块及所述解密模块均包括:
发送单元,用于基于CIFS协议发送所述待上传数据或所述待获取数据。
优选的,所述认证模块还包括:
认证单元,用于基于所述身份认证请求确定所述用户端是否为管理用户端,如果是,则接收所述管理用户端发送的系统设置请求,并基于所述系统设置请求进行对应的系统设置,如果否,则接收所述用户端发送的数据访问请求。
优选的,还包括:
告警模块,用于如果对所述身份认证请求的认证未通过,则发送对应的认证失败信息至所述管理用户端。
本发明提供了一种数据存储加密的方法及装置,其中该方法包括:接收用户端发送的身份认证请求,对所述身份认证请求进行认证,并在认证通过后接收所述用户端发送的数据访问请求;如果所述数据访问请求为数据上传请求,则对所述数据上传请求携带的待上传数据进行加密后发送至网络存储设备;如果所述数据访问请求为数据获取请求,则判断所述用户端对所述数据获取请求对应的待获取数据是否具有访问权限,如果是,则由所述网络存储设备中获取所述待获取数据并对其进行解密后发送至所述用户端。通过本申请公开的上述技术方案,在对用户端发送的身份认证请求通过认证之后,才接收其数据访问请求并实现对应的操作,由此,保证了网络存储设备中数据进行访问的终端的合法性,一定程度上保证了数据安全性;并且对待上传数据加密后上传至网络存储设备,只有在用户端对待获取数据具有访问权限时才对待获取数据解密后发送至用户端;由此,其他终端即使能够访问网络存储设备中的数据,由于其为加密数据,也无法获取到真正的数据,从而进一步保证了数据安全性;另外,即使非法用户获取到任一用户端的身份认证请求并通过该身份认证请求通过认证,也只能获取该用户端对应的数据,而无法获取到网络存储设备中的全部数据,从而更进一步的保证了数据安全性;可见,本申请公开的上述技术方案大大提高了网络存储设备中存储的数据的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种数据存储加密的方法的流程图;
图2为本发明实施例提供的一种数据存储加密的装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,其示出了本发明实施例提供的一种数据存储加密的方法的流程图,可以包括:
S11:接收用户端发送的身份认证请求,对身份认证请求进行认证,并在认证通过后接收用户端发送的数据访问请求。
其中,身份认证请求可以包括用户端对应的用户账号,由此,查询预先存储的被授权的用户账号中是否存在该身份认证请求中携带的用户账号,如果是,则确定该用户端的认证通过,否则,则确定该用户端的认证未通过,并拒绝其访问网络存储设备中的数据。当然,也可以根据实际需要进行其他认证设置,如身份认证请求包括登录密码,如果该登录密码正确则确定该用户端的认证通过等,均在本发明的保护范围之内。
S12:如果数据访问请求为数据上传请求,则对数据上传请求携带的待上传数据进行加密后发送至网络存储设备。
如果数据访问请求为数据上传请求,则对数据上传请求携带的待上传数据进行加密并发送至网络存储设备中存储。其中,对待上传数据的加密可以根据实际需要选取不同的加密方式,如可以利用密钥对该待上传数据进行加密,也可以利用公钥对待上传数据进行加密等,均在本发明的保护范围之内。而网络存储设备可以是NAS、SAN等,当然也可以根据实际需要进行其他设定,均在本发明的保护范围之内。
S13:如果数据访问请求为数据获取请求,则判断用户端对数据获取请求对应的待获取数据是否具有访问权限,如果是,则由网络存储设备中获取待获取数据并对其进行解密后发送至用户端。
如果数据访问请求为数据获取请求,则判断用户端对数据获取请求对应的待获取数据是否具有访问权限,通常情况下,如果待获取数据为该用户端上传的,则其对该待获取数据具有访问权限,或者得到了上传待获取数据的用户端的授权,也对该待获取数据具有访问权限,当然,还可以根据实际需要进行其他设置,均在本发明的保护范围之内。
当用户端对待获取数据具有访问权限时,才进行获取待获取数据及解密发送的步骤,其中,待获取数据在上传时称为待上传数据,待获取数据及待上传数据中的“待获取”及“待上传”仅仅代表需要对数据进行的操作,也就是待上传数据被上传至网络存储设备中之后当需要被获取时则为待获取数据。而对待获取数据的解密与对待上传数据的加密对应,具体来说,如果利用密钥对待上传数据进行加密,则对对应待获取数据解密时直接利用该密钥对其进行解密即可,如果利用公钥对待上传数据进行加密,则对对应待获取数据解密时利用与公钥对应的私钥对其进行解密,当然还可以根据实际需要进行其他设置,均在本发明的保护范围之内。而上述加解密对用户端是透明的,方便使用。
通过本申请公开的上述技术方案,在对用户端发送的身份认证请求通过认证之后,才接收其数据访问请求并实现对应的操作,由此,保证了网络存储设备中数据进行访问的终端的合法性,一定程度上保证了数据安全性;并且对待上传数据加密后上传至网络存储设备,只有在用户端对待获取数据具有访问权限时才对待获取数据解密后发送至用户端;由此,其他终端即使能够访问网络存储设备中的数据,由于其为加密数据,也无法获取到真正的数据,从而进一步保证了数据安全性;另外,即使非法用户获取到任一用户端的身份认证请求并通过该身份认证请求通过认证,也只能获取该用户端对应的数据,而无法获取到网络存储设备中的全部数据,从而更进一步的保证了数据安全性;可见,本申请公开的上述技术方案大大提高了网络存储设备中存储的数据的安全性。
本发明实施例提供的一种数据存储加密的方法,对数据上传请求携带的待上传数据进行加密之前,还可以包括:
对待上传数据进行哈希计算,得到对应的数据标识;
对应的,获取待获取数据并对其进行解密之后,还包括:
对解密后的待获取数据进行哈希计算,得到对应的数据标识,并确定该数据标识与发送待获取数据时对其进行计算得到的数据标识是否一致,如果是,则将解密后的待获取数据发送至用户端。
其中,对数据实现的哈希计算可以通过对应的方程式对数据进行计算,生成对应的数据摘要的代码,不同的数据得到的数据摘要的代码时不相同的。
通过对待上传数据进行哈希计算得到数据标识,并将与该待上传数据对应的待获取数据进行加密计算得到数据标识,如果上述两个数据标识一致,则说明数据上传后未发生变化,则将其发送至用户端,否则,则说明数据上传后发生了变化,则将对应的数据发生变化的信息发送至管理用户端,已由管理用户做出对应的操作。
本发明实施例提供的一种数据存储加密的方法,发送待上传数据及待获取数据,可以包括:
基于CIFS协议发送待上传数据及待获取数据。
其中,基于CIFS协议实现的可以不仅仅包括上述待上传数据及待获取数据的发送,还可以包括任意请求的发送,而基于CIFS协议实现的发送的发送者可以包括本发明实施例提供的一种数据存储加密的方法的执行主体,也可以包括用户端及网络存储设备,即本发明实施例中对于数据的通信均可以基于CIFS实现。从而便于实现,且使得网络共享更加灵活。
本发明实施例提供的一种数据存储加密的方法,对身份认证请求进行认证并认证通过之后,还可以包括:
基于身份认证请求确定用户端是否为管理用户端,如果是,则接收管理用户端发送的系统设置请求,并基于系统设置请求进行对应的系统设置,如果否,则接收用户端发送的数据访问请求。
通过对用户端是否为管理用户端的判断,可以区别开管理用户及普通用户的权限,其中,管理用户可以通过管理用户端发送系统设置请求,以实现对应的系统设置,此处的系统设置可以包括上述加解密的具体实现方式等,而普通用户端无法实现系统设置,从而保证了不同用户端的权限的区分,进一步保证了数据的安全性。
本发明实施例提供的一种数据存储加密的方法,还可以包括:
如果对身份认证请求的认证未通过,则发送对应的认证失败信息至管理用户端。
通过将认证失败信息发送至管理用户端,可以告知管理用户出现的认证失败的情况及认证失败的用户端,以由管理用户端实现对应的操作,如当管理用户端确定出认证失败的用户端为非法用户端时,禁止与其进行通信等,从而进一步保证了数据的安全性。
本发明实施例还提供了一种数据存储加密的装置,如图2所示,可以包括:
认证模块11,用于接收用户端发送的身份认证请求,对身份认证请求进行认证,并在认证通过后接收用户端发送的数据访问请求;
加密模块12,用于如果数据访问请求为数据上传请求,则对数据上传请求携带的待上传数据进行加密后发送至网络存储设备;
解密模块13,用于如果数据访问请求为数据获取请求,则判断用户端对数据获取请求对应的待获取数据是否具有访问权限,如果是,则由网络存储设备中获取待获取数据并对其进行解密后发送至用户端。
本发明实施例提供的一种数据存储加密的装置部署在网络存储设备和用户端之间,能够完成对网络存储设备中数据的加密存储及安全共享,同时对于用户端完全透明,方便使用。
本发明实施例提供的一种数据存储加密的装置,加密模块还可以包括:
第一计算单元,用于对待上传数据进行哈希计算,得到对应的数据标识;
对应的,解密模块还包括:
第二计算单元,用于对解密后的待获取数据进行哈希计算,得到对应的数据标识,并确定该数据标识与发送待获取数据时对其进行计算得到的数据标识是否一致,如果是,则指示解密模块将解密后的待获取数据发送至用户端。
本发明实施例提供的一种数据存储加密的装置,加密模块及解密模块均可以包括:
发送单元,用于基于CIFS协议发送待上传数据或待获取数据。
本发明实施例提供的一种数据存储加密的装置,认证模块还可以包括:
认证单元,用于基于身份认证请求确定用户端是否为管理用户端,如果是,则接收管理用户端发送的系统设置请求,并基于系统设置请求进行对应的系统设置,如果否,则接收用户端发送的数据访问请求。
本发明实施例提供的一种数据存储加密的装置,还可以包括:
告警模块,用于如果对身份认证请求的认证未通过,则发送对应的认证失败信息至管理用户端。
本发明实施例提供的一种数据存储加密的装置中相关部分的说明请参见本发明实施例提供的一种数据存储加密的方法中对应部分的详细说明,在此不再赘述。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。