NAS加密存储系统与方法与流程

nas加密存储系统与方法
技术领域
1.本发明涉及数据处理技术领域，尤其涉及一种nas加密存储系统与方法。


背景技术：

2.nas(network attached storage，网络附属存储)是一种文件级的计算机数据存储网络服务器。nas包括存储器件和文件服务。存储器件(如磁盘阵列)作为提供数据存储的设备，为文件服务提供存储功能；文件服务通常配置为提供文件服务的设备，由网络用户设备通过网络协议(如tcp/ip)和应用程序(如网络文件系统nfs或者通用internet文件系统cifs)来进行文件访问。
3.计算机和互联网是现代企事业单位的管理和运作离不开的重要工具。在企事业单位进行日常运作时，将会产生日常办公文件、图纸文件等企业业务数据资料以及个人的许多文档资料。上述数据一般都存放在工作人员的电脑和服务器上，存在不易备份、不易共享、安全级别低和难以扩展升级等诸多问题。nas利用集中化的网络文件访问机制和共享来解决这些问题，从而达到减少系统管理成本，提供数据备份和恢复的功能的目的。
4.在一些对安全需求比较高的企事业单位，还需要nas提供保护信息安全和数据安全的功能。通常包括两方面：一是数据本身的安全，指采用现代密码算法对数据进行保护，如数据保密、数据完整性、双向强身份认证等；二是数据防护的安全，指采用现代信息存储手段对数据进行主动保护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。
5.传统的nas中，存储器件直接连接在文件服务上作为其存储设备，由文件服务在网络环境中提供文件服务。用户通过网络协议和应用程序将文件访问的请求发送到文件服务。文件服务通过文件服务程序将这些请求解析为本地文件i/o(input/output，即输入输出)，最后将这些文件i/o执行到存储器件中。文件服务可以在执行文件i/o的过程中对文件进行加解密，使得存储在存储器件中的文件为加密数据。通过这样的方式可以避免被入侵者获取文件明文数据，有效保护文件的数据安全。
6.但现有技术在使用nas的过程中，存在的问题是：在某些场景下，存储器件所部署的位置或存储器件本身并不可信，若如传统nas中直接将存储器件接入用户及数据明文所在的可信区间，将存在明文信息泄露的风险。


技术实现要素：

7.有鉴于此，本发明的目的是为了克服现有技术中的不足，提供一种nas加密存储系统与方法。
8.本发明提供如下技术方案：
9.第一方面，本公开实施例中提供了一种nas加密存储系统，所述系统包括第一子系统、第二子系统、专用隔离硬件和存储器件；
10.所述第一子系统和所述第二子系统分别与所述专用隔离硬件通过系统总线相连接；
11.所述第一子系统用于将用户的文件访问请求转换成第一i/o请求，并将所述第一i/o请求转换成第一专用隔离硬件帧，发送至所述专用隔离硬件；
12.所述专用隔离硬件用于接收所述第一专用隔离硬件帧，并进行加密、透传处理，生成第二专用隔离硬件帧；
13.所述第二子系统用于读取所述第二专用隔离硬件帧，并转换成第二i/o请求，落实i/o操作至所述存储器件中；
14.所述存储器件用于落实所述第二i/o请求的i/o操作，将产生的第一i/o响应依次通过所述第二子系统、所述专用隔离硬件返回给所述第一子系统，并将产生的文件访问响应返回给所述用户。
15.进一步地，所述第一子系统中包括文件服务和文件系统抽象模块，所述文件系统抽象模块包括i/o截获层、第一i/o协议转换层、第一帧格式转换层和第一驱动层；
16.所述文件服务用于将所述用户的文件访问请求转换成所述第一i/o请求；
17.所述i/o截获层用于提供i/o接口，以截获所述第一i/o请求；
18.所述第一i/o协议转换层用于将所述第一i/o请求的参数进行序列化，并根据请求类型封装成对应的载荷类型的第一i/o协议帧；
19.所述第一帧格式转换层用于依据所述第一i/o协议帧的载荷类型添加专用隔离硬件帧头，转换成所述第一专用隔离硬件帧；
20.所述第一驱动层用于将所述第一专用隔离硬件帧发送至所述专用隔离硬件。
21.进一步地，所述第二子系统包括i/o实现模块，所述i/o实现模块包括第二驱动层、第二帧格式转换层、第二i/o协议转换层和存储映射层；
22.所述第二驱动层用于读取所述第二专用隔离硬件帧，并通过所述第二帧格式转换层和所述第二i/o协议转换层转换成所述第二i/o请求；
23.所述存储映射层用于依据所述第二i/o请求对所述存储器件进行i/o调用，并将所述第二i/o请求的i/o操作落实至所述存储器件。
24.进一步地，所述第二子系统还用于将所述第一i/o响应转换成第三专用隔离硬件帧，并发送至所述专用隔离硬件；
25.所述专用隔离硬件还用于接收所述第三专用隔离硬件帧，并根据帧的载荷类型进行解密、透传处理，生成第四专用隔离硬件帧；
26.所述第一子系统还用于读取所述第四专用隔离硬件帧，并转换成所述文件访问响应，以响应所述用户的文件访问请求。
27.进一步地，所述第二i/o协议转换层还用于将所述第一i/o响应的参数进行序列化，并根据响应类型封装成对应的载荷类型的第二i/o协议帧；
28.所述第二帧格式转换层还用于依据所述第二i/o协议帧的载荷类型添加专用隔离硬件帧头，转换成所述第三专用隔离硬件帧；
29.所述第二驱动层还用于将所述第三专用隔离硬件帧发送至所述专用隔离硬件。
30.进一步地，所述第一驱动层还用于读取所述第四专用隔离硬件帧，并通过所述第一帧格式转换层、所述i/o协议转换层和所述i/o截获层转换成所述第二i/o响应，返回至所述文件服务；
31.所述文件服务还用于根据所述第二i/o响应，生成所述文件访问响应，响应所述用
户的文件访问请求。
32.第二方面，本公开实施例中提供了一种nas加密存储方法，应用于nas加密存储系统，所述系统包括第一子系统、第二子系统、专用隔离硬件和存储器件，所述第一子系统和所述第二子系统分别与所述专用隔离硬件通过系统总线相连接；所述方法包括：
33.通过所述第一子系统接收用户的文件访问请求，将所述文件访问请求转换成第一i/o请求，并将所述第一i/o请求转换成第一专用隔离硬件帧，发送至所述专用隔离硬件；
34.通过所述专用隔离硬件接收所述第一专用隔离硬件帧，并进行加密、透传处理，生成第二专用隔离硬件帧；
35.通过所述第二子系统读取所述第二专用隔离硬件帧，并转换成第二i/o请求，落实i/o操作至所述存储器件中；
36.所述第二子系统依据所述第二i/o请求对所述存储器件进行i/o调用，将产生的第一i/o响应通过所述专用隔离硬件返回给所述第一子系统，并将产生的文件访问响应返回给所述用户。
37.进一步地，所述第一子系统包括文件服务和文件系统抽象模块，所述通过所述第一子系统接收用户通过应用程序进行文件操作产生的文件访问请求，将所述文件访问请求转换成第一i/o请求，并将所述第一i/o请求转换成第一专用隔离硬件帧，发送至所述专用隔离硬件，包括：
38.通过所述文件服务接收所述用户通过应用程序进行文件操作产生的文件访问请求；
39.通过所述文件系统抽象模块截获所述文件访问请求并转换成第一i/o请求，将所述第一i/o请求的参数进行序列化，根据请求类型封装成对应的载荷类型的第一i/o协议帧，依据所述第一i/o协议帧的载荷类型添加专用隔离硬件帧头，转换成所述第一专用隔离硬件帧并发送至所述专用隔离硬件。
40.进一步地，所述第二子系统依据所述第二i/o请求，对所述存储器件进行i/o调用，将产生的第一i/o响应依次通过所述第二子系统、所述专用隔离硬件返回给所述第一子系统，并将产生的文件访问响应返回给所述用户，包括：
41.所述第二子系统依据所述第二i/o请求，对所述存储器件进行i/o调用，产生第一i/o响应，并将所述第一i/o响应转换成第三专用隔离硬件帧，发送至所述专用隔离硬件；
42.通过所述专用隔离硬件接收所述第三专用隔离硬件帧，并根据帧的载荷类型进行解密、透传处理，生成第四专用隔离硬件帧；
43.通过所述第一子系统读取所述第四专用隔离硬件帧，并转换成所述文件访问响应，以响应所述用户的文件访问请求。
44.进一步地，所述第二子系统包括i/o实现模块，所述第二子系统依据所述第二i/o请求，对所述存储器件进行i/o调用，产生第一i/o响应，并将所述第一i/o响应转换成第三专用隔离硬件帧，发送至所述专用隔离硬件，包括：
45.所述i/o实现模块依据所述第二i/o请求，对所述存储器件进行i/o调用，产生第一i/o响应，并将所述第一i/o响应的参数进行序列化，根据响应类型封装成对应的载荷类型的第二i/o协议帧，依据所述第二i/o协议帧的载荷类型添加专用隔离硬件帧头，转换成所述第三专用隔离硬件帧并发送至所述专用隔离硬件。
46.本技术的实施例具有如下优点：
47.本技术实施例提供的nas加密存储系统，所述系统包括第一子系统、第二子系统、专用隔离硬件和存储器件；所述第一子系统和所述第二子系统分别与所述专用隔离硬件通过系统总线相连接；所述第一子系统用于将用户的文件访问请求转换成第一i/o请求，并将所述第一i/o请求转换成第一专用隔离硬件帧，发送至所述专用隔离硬件；所述专用隔离硬件用于接收所述第一专用隔离硬件帧，并进行加密、透传处理，生成第二专用隔离硬件帧；所述第二子系统用于读取所述第二专用隔离硬件帧，并转换成第二i/o请求，落实i/o操作至所述存储器件中；所述存储器件用于落实所述第二i/o请求的i/o操作，将产生的第一i/o响应依次通过所述第二子系统、所述专用隔离硬件返回给所述第一子系统，并将产生的文件访问响应返回给所述用户。通过上述系统对i/o请求和i/o响应进行私有协议封装，使用专用隔离硬件进行传输，并在传输过程中进行加解密操作，保证了密文和明文不会出现在同一系统环境中，有效隔离了可信区和不可信区，提供了严密的数据安全防护。
48.为使本发明的上述目的、特征和优点能更明显和易懂，下文特举较佳实施例，并配合所附附图，做详细说明如下。
附图说明
49.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。在各个附图中，类似的构成部分采用类似的编号。
50.图1示出了本技术实施例提供的一种nas加密存储系统的结构示意图；
51.图2示出了本技术实施例提供的一种文件系统抽象模块的结构示意图；
52.图3示出了本技术实施例提供的一种i/o实现模块的结构示意图；
53.图4示出了本技术实施例提供的一种nas加密存储方法的流程图。
54.主要元器件符号说明：
55.1-第一子系统；11-文件服务；12-文件系统抽象模块；121-i/o截获层；122-第一i/o协议转换层；123-第一帧格式转换层；124-第一驱动层；2-专用隔离硬件；3-第二子系统；31-i/o实现模块；311-第二驱动层；312-第二帧格式转换层；313-第二i/o协议转换层；314-存储映射层；4-存储器件。
具体实施方式
56.下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。
57.需要说明的是，当元件被称为“固定于”另一个元件，它可以直接在另一个元件上或者也可以存在居中的元件。当一个元件被认为是“连接”另一个元件，它可以是直接连接到另一个元件或者可能同时存在居中元件。相反，当元件被称作“直接在”另一元件“上”时，不存在中间元件。本文所使用的术语“垂直的”、“水平的”、“左”、“右”以及类似的表述只是为了说明的目的。
58.在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
59.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
60.除非另有定义，本文所使用的所有的技术和科学术语与属于本技术的技术领域的技术人员通常理解的含义相同。本文中在模板的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
61.实施例1
62.如图1所示，为本技术实施例中的一种nas加密存储系统的结构示意图，其系统包括第一子系统1、第二子系统3、专用隔离硬件2和存储器件4。
63.所述第一子系统1和所述第二子系统3分别与所述专用隔离硬件2通过系统总线相连接。
64.在本实施例中，第一子系统1、第二子系统3为两套独立的硬件平台，分别运行单独的系统。专用隔离硬件2为具有数据加解密、数据传输等功能的定制的印制电路板，以系统总线的形式部署。其中第一子系统1、第二子系统3分别与专用隔离硬件2通过系统总线相连接。存储器件4可以为san存储、nas存储或das存储等，本技术实施例对此不作限定。
65.所述第一子系统1用于将用户的文件访问请求转换成第一i/o请求，并将所述第一i/o请求转换成第一专用隔离硬件帧，发送至所述专用隔离硬件2。
66.具体地，如图2所示，所述第一子系统中包括文件服务11和文件系统抽象模块12，所述文件系统抽象模块12包括i/o截获层121、第一i/o协议转换层122、第一帧格式转换层123和第一驱动层124。其中，当用户通过文件服务11的应用程序(如nfs、cifs、ftp等)访问文件服务11时会产生文件访问请求，所述文件服务11用于将所述用户的文件访问请求转换成所述第一i/o请求，所述i/o截获层121用于提供i/o接口，以截获所述第一i/o请求；所述第一i/o协议转换层122用于将所述第一i/o请求的参数进行序列化，并根据请求类型封装成对应的载荷类型的第一i/o协议帧；所述第一帧格式转换层123用于依据所述第一i/o协议帧的载荷类型添加专用隔离硬件帧头，转换成所述第一专用隔离硬件帧；所述第一驱动层124用于将所述第一专用隔离硬件帧发送至所述专用隔离硬件。
67.文件系统抽象模块12通过i/o截获的方式重新定向文件服务的i/o，可以适配绝大多数现有的文件服务，适用广泛，降低了开发难度。
68.所述专用隔离硬件2用于接收所述第一专用隔离硬件帧，并根据帧的载荷类型进行加密、透传处理，生成第二专用隔离硬件帧。
69.进一步地，专用隔离硬件2通过系统总线接收所述第一专用隔离硬件帧，并识别帧头中的信息，将包含文件数据的帧中的数据部分进行加密、透传处理，生成第二专用隔离硬
件帧，不包含文件数据的帧则不进行加密、透传处理。
70.通过对i/o请求和响应进行私有协议封装，使用专用隔离硬件2进行传输，并在传输过程中进行加密操作，保证了密文和明文不会出现在同一系统环境中，有效隔离了可信区和不可信区，提供了严密的数据安全防护。
71.所述第二子系统3用于读取所述第二专用隔离硬件帧，并转换成第二i/o请求，落实i/o操作至所述存储器件4中。
72.进一步地，如图3所示，所述第二子系统3包括i/o实现模块31，所述i/o实现模块31包括第二驱动层311、第二帧格式转换层312、第二i/o协议转换层313和存储映射层314；所述第二驱动层311用于通过系统总线读取所述第二专用隔离硬件帧，并通过所述第二帧格式转换层312和所述第二i/o协议转换层313转换成所述第二i/o请求；所述存储映射层314用于依据所述第二i/o请求，在存储器件4提供的文件系统中或使用存储器件4提供的i/o接口，对所述存储器件4进行i/o调用，并将所述第二i/o请求的i/o操作落实至所述存储器件4。
73.通过i/o实现模块31将用户进行文件操的i/o请求实现到存储器件4中，以实现对存储器件4的i/o调用，产生i/o响应返回给用户。
74.所述存储器件4用于提供i/o接口以进行i/o调用，并将产生的第一i/o响应依次通过所述第二子系统3、所述专用隔离硬件2和所述第一子系统1返回给所述用户。
75.进一步地，如图3所示，所述第二子系统3还用于将所述第一i/o响应转换成第三专用隔离硬件帧，并发送至所述专用隔离硬件2。其中，第二i/o协议转换层313还用于将i/o调用产生的第一i/o响应的参数进行序列化，并根据响应类型封装成对应的载荷类型的第二i/o协议帧；所述第二帧格式转换层312还用于依据所述第二i/o协议帧的载荷类型添加专用隔离硬件帧头，转换成所述第三专用隔离硬件帧；所述第二驱动层311还用于将所述第三专用隔离硬件帧发送至所述专用隔离硬件2。
76.所述专用隔离硬件2还用于通过系统总线接收所述第三专用隔离硬件帧，并识别帧头中的信息，将包含文件数据的帧中的数据部分进行解密、透传处理，生成第四专用隔离硬件帧，不包含文件数据的帧则不进行解密、透传处理。
77.更进一步的，如图2所示，所述第一子系统1还用于读取所述专用隔离硬件2中的第四专用隔离硬件帧，并转换成文件访问响应，以响应所述用户的文件访问请求。其中，第一子系统1中文件系统抽象模块12的第一驱动层124还用于通过系统总线读取所述专用隔离硬件中的第四专用隔离硬件帧，并通过所述第一帧格式转换层123、所述第一i/o协议转换层122和所述i/o截获层121转换成所述第二i/o响应，返回至所述文件服务11；所述文件服务11还用于根据所述第二i/o响应，生成文件访问响应，响应所述用户的文件访问请求。
78.本技术实施例的存储器件适应多种后端存储类型，支持直接使用原有的nas存储的多种文件服务(如nfs、cifs等)、san存储和das存储作为存储器件，拥有较高的适配性和较低的迁移成本。
79.本技术实施例提供的nas加密存储系统，所述系统包括第一子系统1、第二子系统3、专用隔离硬件2和存储器件4；所述第一子系统1和所述第二子系统3分别与所述专用隔离硬件2通过系统总线相连接；所述第一子系统1用于将用户的文件访问请求转换成第一i/o请求，并将所述第一i/o请求转换成第一专用隔离硬件帧，发送至所述专用隔离硬件2；所述
专用隔离硬件2用于接收所述第一专用隔离硬件帧，并根据帧的载荷类型进行加密、透传处理，生成第二专用隔离硬件帧；所述第二子系统3用于读取所述第二专用隔离硬件帧，并转换成第二i/o请求，落实i/o操作至所述存储器件4中；所述存储器件4用于提供i/o接口以进行i/o调用，将产生的第一i/o响应依次通过所述第二子系统3、所述专用隔离硬件2返回给所述第一子系统1，并将产生的文件访问响应返回给所述用户。通过上述系统对i/o请求和i/o响应进行私有协议封装，使用专用隔离硬件进行传输，并在传输过程中进行加解密操作，保证了密文和明文不会出现在同一系统环境中，有效隔离了可信区和不可信区，提供了严密的数据安全防护。
80.实施例2
81.如图4所示，为本技术实施例中的一种nas加密存储方法的流程图，本技术实施例提供的nas加密存储方法，应用于nas加密存储系统，所述系统包括第一子系统、第二子系统、专用隔离硬件和存储器件，所述第一子系统和所述第二子系统分别与所述专用隔离硬件通过系统总线相连接；所述方法包括以下步骤：
82.步骤s110，通过所述第一子系统接收用户的文件访问请求，将所述文件访问请求转换成第一i/o请求，并将所述第一i/o请求转换成第一专用隔离硬件帧，发送至所述专用隔离硬件。
83.具体地，所述第一子系统包括文件服务和文件系统抽象模块，所述文件系统抽象模块包括i/o截获层、第一i/o协议转换层、第一帧格式转换层和第一驱动层。用户通过应用程序(如cifs客户端)进行文件操作，应用程序产生文件访问请求，并通过网络协议发送到所述文件服务。通过文件服务接收用户的文件访问请求，将会调用i/o截获层提供的i/o接口，生成第一i/o请求；第一i/o协议转换层根据第一i/o请求的参数进行序列化，根据请求类型封装成对应的载荷类型的第一i/o协议帧，第一帧格式转换层依据所述第一i/o协议帧的载荷类型，添加专用隔离硬件帧头，转换成所述第一专用隔离硬件帧，并通过第一驱动层发送至所述专用隔离硬件。
84.第一子系统的文件系统抽象模块通过i/o截获的方式重新定向文件服务的i/o，可以适配绝大多数现有的文件服务，适用广泛，降低了开发难度。
85.步骤s120，通过所述专用隔离硬件接收所述第一专用隔离硬件帧，并进行加密、透传处理，生成第二专用隔离硬件帧。
86.进一步地，专用隔离硬件接收到第一专用隔离硬件帧后，识别帧头中的信息，根据帧的载荷类型，将包含文件数据的帧中的数据部分进行加密、透传处理，生成第二专用隔离硬件帧，不包含文件数据的帧则不进行加密、透传处理。
87.通过对i/o请求进行私有协议封装，使用专用隔离硬件进行传输，并在传输过程中进行加密操作，保证了密文和明文不会出现在同一系统环境中，有效隔离了可信区和不可信区，提供了严密的数据安全防护。
88.步骤s130，通过所述第二子系统读取所述第二专用隔离硬件帧，并转换成第二i/o请求，落实i/o操作至所述存储器件中。
89.具体地，所述第二子系统包括i/o实现模块，所述i/o实现模块包括第二驱动层、第二帧格式转换层、第二i/o协议转换层和存储映射层。i/o实现模块通过第二驱动层从专用隔离硬件中读取第二专用隔离硬件帧，通过第二帧格式转换层和第二i/o协议转换层转换
成第二i/o请求。存储映射层在存储器件对应的文件系统中或使用存储器件提供的i/o接口，进行i/o调用，将文件操作的第二i/o请求的i/o操作落实至存储器件中。
90.通过将文件操作的第二i/o请求的i/o操作落实至存储器件中，拥有较高的适配性和较低的迁移成本。
91.步骤s140，所述第二子系统依据所述第二i/o请求对所述存储器件进行i/o调用，将产生的第一i/o响应通过所述专用隔离硬件返回给所述第一子系统，并将产生的文件访问响应返回给所述用户。
92.进一步地，所述i/o实现模块使用所述存储器件提供的i/o接口对所述存储器件进行i/o调用，产生第一i/o响应。第二i/o协议转换层将所述第一i/o响应的参数进行序列化，根据响应类型封装成对应的载荷类型的第二i/o协议帧。第二帧格式转换层依据所述第二i/o协议帧的载荷类型添加专用隔离硬件帧头，转换成所述第三专用隔离硬件帧，并通过第二驱动层发送至所述专用隔离硬件。
93.所述专用隔离硬件接收到所述第三专用隔离硬件帧后，识别帧头中的信息，根据帧的载荷类型，将包含文件数据的帧中的数据部分进行解密、透传处理，生成第四专用隔离硬件帧，不包含文件数据的帧则不进行解密、透传处理。
94.所述第一子系统的文件系统抽象模块通过第一驱动层读取到第四专用隔离硬件帧后，通过第一帧格式转换层和第一i/o协议转换层转换成第二i/o响应。第一i/o截获层所述第二i/o响应返回给文件服务，文件服务根据i/o调用结果，生成文件访问响应，响应所述用户的文件访问请求。
95.通过对i/o响应进行私有协议封装，使用专用隔离硬件进行传输，并在传输过程中进行解密操作，保证了密文和明文不会出现在同一系统环境中，有效隔离了可信区和不可信区，提供了严密的数据安全防护。
96.本技术实施例提供的nas加密存储方法，应用于nas加密存储系统，所述系统包括第一子系统、第二子系统、专用隔离硬件和存储器件，所述第一子系统和所述第二子系统分别与所述专用隔离硬件通过系统总线相连接；所述方法包括：通过所述第一子系统接收用户通过应用程序进行文件操作产生的文件访问请求，将所述文件访问请求转换成第一i/o请求，并将所述第一i/o请求转换成第一专用隔离硬件帧，发送至所述专用隔离硬件；通过所述专用隔离硬件接收所述第一专用隔离硬件帧，并进行加密，生成第二专用隔离硬件帧；通过所述第二子系统读取所述第二专用隔离硬件帧，并转换成第二i/o请求，落实i/o操作至所述存储器件中；所述第二子系统依据所述第二i/o请求对所述存储器件进行i/o调用，将产生的第一i/o响应通过所述专用隔离硬件返回给所述第一子系统，并将产生的文件访问响应返回给所述用户。通过上述方法对i/o请求和i/o响应进行私有协议封装，使用专用隔离硬件进行传输，并在传输过程中进行加解密操作，保证了密文和明文不会出现在同一系统环境中，有效隔离了可信区和不可信区，提供了严密的数据安全防护。
97.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和结构图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的
可执行指令。也应当注意，在作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，结构图和/或流程图中的每个方框、以及结构图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
98.另外，在本发明各个实施例中的各功能模块或单元可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或更多个模块集成形成一个独立的部分。
99.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是智能手机、个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
100.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。