一种磁盘数据访问方法、装置、设备及存储介质

技术领域

本发明涉及国密算法技术领域，特别涉及一种磁盘数据访问方法、装置、设备及存储介质。

背景技术

随着社会公众的密码安全意识的进一步增强，但是国际上通用密码算法存在破解风险，而操作系统和芯片大部分都是国外产品和技术，所以对于国产自主密码技术保障数据安全的呼吁也与日俱增。传统的磁盘加密技术在使用过程中主要对磁盘全盘进行加密，对于多用户操作无法区分权限，导致其它用户同样能读取磁盘数据；同时每次读写数据时都需要身份验证密钥来解密，会减慢计算机速度；还存在遗失密钥而无法解密导致数据丢失的情况。因此，如何提高磁盘数据访问的安全性是需要解决的。

发明内容

有鉴于此，本发明的目的在于提供一种磁盘数据访问方法、装置、设备及存储介质，能够提高磁盘数据访问的安全性。其具体方案如下：

第一方面，本申请公开了一种磁盘数据访问方法，包括：

获取目标用户针对目标磁盘数据的数据访问请求，并利用预设密钥管理服务器和所述数据访问请求对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限；

若所述目标用户拥有所述数据访问权限，则通过所述预设密钥管理服务器获取所述目标磁盘数据对应的访问密钥；

基于预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据进行加解密操作以得到处理后数据，以便基于所述处理后数据完成磁盘数据访问操作；其中，所述预设虚拟加密磁盘为基于dm-crypt架构创建的虚拟磁盘。

可选的，所述利用预设密钥管理服务器和所述数据访问请求对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限，包括：

利用预设密钥管理服务器和所述数据访问请求中的国密算法证书对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限。

可选的，所述若所述目标用户拥有所述数据访问权限，则通过所述预设密钥管理服务器获取所述目标磁盘数据对应的访问密钥，包括：

若所述目标用户拥有所述数据访问请求中的磁盘数据写请求，则通过所述预设密钥管理服务器和所述磁盘数据写请求获取所述目标磁盘数据对应的访问密钥。

可选的，所述基于预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据进行加解密操作以得到处理后数据，以便基于所述处理后数据完成磁盘数据访问操作，包括：

基于预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据进行加密操作以得到加密后数据，以便将所述加密后数据写入目标磁盘的对应位置。

可选的，所述将所述加密后数据写入目标磁盘的对应位置之后，还包括：

利于所述预设虚拟加密磁盘对所述加密后数据进行哈希计算以得到所述加密后数据对应的标准校验值，并将所述标准校验值存储至预设加密校验磁盘；所述预设加密校验磁盘为基于dm-crypt架构创建的虚拟磁盘。

可选的，所述若所述目标用户拥有所述数据访问权限，则通过所述预设密钥管理服务器获取所述目标磁盘数据对应的访问密钥，包括：

若所述目标用户拥有所述数据访问请求中的磁盘数据读请求，则通过所述预设密钥管理服务器和所述磁盘数据读请求获取所述目标磁盘数据对应的访问密钥。

可选的，所述基于预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据进行加解密操作以得到处理后数据，以便基于所述处理后数据完成磁盘数据访问操作，包括：

基于预设虚拟加密磁盘、所述访问密钥从目标磁盘中读取所述目标磁盘数据；

利用所述虚拟加密磁盘对所述目标磁盘数据进行哈希计算以得到所述目标磁盘数据对应的当前校验值；

判断所述当前校验值与预设加密校验磁盘中所述目标磁盘数据对应的标准校验值是否一致；

若一致，则基于所述预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据及进行解密操作以得到解密后数据并读取所述解密后数据。

第二方面，本申请公开了一种磁盘数据访问装置，包括：

访问请求获取模块，用于获取目标用户针对目标磁盘数据的数据访问请求，并利用预设密钥管理服务器和所述数据访问请求对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限；

密钥获取模块，用于若所述目标用户拥有所述数据访问权限，则通过所述预设密钥管理服务器获取所述目标磁盘数据对应的访问密钥；

数据访问模块，用于基于预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据及进行加解密操作以得到处理后数据，以便对所述处理后数据进行磁盘数据访问操作；其中，所述预设虚拟加密磁盘为基于dm-crypt架构创建的虚拟磁盘。

第三方面，本申请公开了一种电子设备，包括：

存储器，用于保存计算机程序；

处理器，用于执行所述计算机程序以实现前述的磁盘数据访问方法。

第四方面，本申请公开了一种计算机可读存储介质，用于保存计算机程序，所述计算机程序被处理器执行时实现前述的磁盘数据访问方法。

可见，本申请中，首先获取目标用户针对目标磁盘数据的数据访问请求，并利用预设密钥管理服务器和所述数据访问请求对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限；若所述目标用户拥有所述数据访问权限，则通过所述预设密钥管理服务器获取所述目标磁盘数据对应的访问密钥；基于预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据进行加解密操作以得到处理后数据，以便基于所述处理后数据完成磁盘数据访问操作；其中，所述预设虚拟加密磁盘为基于dm-crypt架构创建的虚拟磁盘。这样一来，通过创建虚拟数据存储盘结合国密算法构建起密码模块，通过密码模块来实现对物理磁盘中数据的读写操作，确保数据在使用过程中自动进行加解密对于应用来说不会感知到加解密及完整性校验操作，同时能够杜绝因磁盘丢失或非法用户文件拷贝等原因导致的数据泄密以及非法修改文件的操作。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请公开的一种磁盘数据访问方法流程图；

图2为本申请公开的一种具体的磁盘数据写入方法流程图；

图3为本申请公开的一种具体的磁盘数据写入方法流程图；

图4为本申请公开的一种具体的磁盘数据读取方法流程图；

图5为本申请公开的一种具体的磁盘数据读取方法流程图；

图6为本申请公开的一种磁盘数据访问装置结构示意图；

图7为本申请公开的一种电子设备结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

传统的磁盘加密技术在使用过程中主要对磁盘全盘进行加密，对于多用户操作无法区分权限，导致其它用户同样能读取磁盘数据；同时每次读写数据时都需要身份验证密钥来解密，会减慢计算机速度；还存在遗失密钥而无法解密导致数据丢失的情况。本实施例将具体介绍一种不会减慢计算机速度，还可以保护数据安全的磁盘数据访问方法。

参见图1所示，本申请实施例公开了一种磁盘数据访问方法，包括：

步骤S11：获取目标用户针对目标磁盘数据的数据访问请求，并利用预设密钥管理服务器和所述数据访问请求对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限。

本实施例中，获取目标用户针对目标磁盘数据的数据访问请求，并利用预设密钥管理服务器和所述数据访问请求对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限。其中，所述数据访问请求包括磁盘数据写请求和磁盘数据读请求。所述利用预设密钥管理服务器和所述数据访问请求对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限，包括：利用预设密钥管理服务器和所述数据访问请求中的国密算法证书对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限。即首先在应用层前端界面通过SM2国密证书Key登录实现身份鉴别，应用侧调用身份认证安全网关对证书和签名信息进行解析，以判断所述目标用户是否拥有数据访问权限。

步骤S12：若所述目标用户拥有所述数据访问权限，则通过所述预设密钥管理服务器获取所述目标磁盘数据对应的访问密钥。

本实施例中，若所述目标用户拥有所述数据访问权限，则通过所述预设密钥管理服务器获取所述目标磁盘数据对应的访问密钥。即，身份认证后，根据业务数据从数据库中检索并解密数据加密密钥；检索到后使用客户端会话密钥加密形成数据加密密钥密文。

步骤S13：基于预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据进行加解密操作以得到处理后数据，以便基于所述处理后数据完成磁盘数据访问操作；其中，所述预设虚拟加密磁盘为基于dm-crypt架构创建的虚拟磁盘。

本实施例中，在获取到所述访问密钥之后，可以在预设虚拟加密磁盘中，使用预设国密算法和所述访问密钥对所述目标磁盘数据进行加解密操作，以得到处理后数据，然后对所述处理后数据完成数据访问操作。其中所述国密算法可以是SM4算法。需要说明的是，所述虚拟加密磁盘为基于dm-crypt架构创建的虚拟磁盘。虚拟存储盘用于对加密数据的存储，确保数据的机密性。而且，采用dm-crypt架构创建虚拟盘，加密速度快，易用性强，使用范围广，提供的内核密码应用编程接口实现了透明加密功能。

可见，本实施例中，首先获取目标用户针对目标磁盘数据的数据访问请求，并利用预设密钥管理服务器和所述数据访问请求对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限；若所述目标用户拥有所述数据访问权限，则通过所述预设密钥管理服务器获取所述目标磁盘数据对应的访问密钥；基于预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据进行加解密操作以得到处理后数据，以便基于所述处理后数据完成磁盘数据访问操作；其中，所述预设虚拟加密磁盘为基于dm-crypt架构创建的虚拟磁盘。这样一来，通过创建虚拟数据存储盘结合国密算法构建起密码模块，通过密码模块来实现对物理磁盘中数据的读写操作，确保数据在使用过程中自动进行加解密对于应用来说不会感知到加解密及完整性校验操作，同时能够杜绝因磁盘丢失或非法用户文件拷贝等原因导致的数据泄密以及非法修改文件的操作。

上述实施例介绍了一种不会减慢计算机速度，还可以保护数据安全的磁盘数据访问方法。本实施例将对磁盘数据写入的过程进行具体的介绍。

参见图2所示，本申请实施例公开了一种具体的磁盘数据访问方法，包括：

步骤S21：获取目标用户针对目标磁盘数据的数据访问请求，并利用预设密钥管理服务器和所述数据访问请求对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限。

步骤S22：若所述目标用户拥有所述数据访问请求中的磁盘数据写请求，则通过所述预设密钥管理服务器和所述磁盘数据写请求获取所述目标磁盘数据对应的访问密钥。

本实施例中，身份认证后，若所述目标用户拥有所述数据访问请求中的磁盘数据写请求，则根据业务数据从数据库中检索并解密数据加密密钥；检索到后使用客户端会话密钥加密形成数据加密密钥密文。

步骤S23：基于预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据进行加密操作以得到加密后数据，以便将所述加密后数据写入目标磁盘的对应位置。

本实施例中，在获取到所述访问密钥之后，可以在预设虚拟加密磁盘中，使用预设国密算法和所述访问密钥对所述目标磁盘数据进行加密操作，以得到加密后数据，然后对所述加密后数据写入至目标磁盘中。此时，所述目标磁盘数据是未进行加密操作的明文数据。其中，所述国密算法可以是SM4算法。需要说明的是，所述虚拟加密磁盘为基于dm-crypt架构创建的虚拟磁盘。虚拟存储盘用于对加密数据的存储，确保数据的机密性。而且，采用dm-crypt架构创建虚拟盘，加密速度快，易用性强，使用范围广，提供的内核密码应用编程接口实现了透明加密功能。

步骤S24：利于所述预设虚拟加密磁盘对所述加密后数据进行哈希计算以得到所述加密后数据对应的标准校验值，并将所述标准校验值存储至预设加密校验磁盘；所述预设加密校验磁盘为基于dm-crypt架构创建的虚拟磁盘。

本实施例中，在通过使用SM4算法对待写数据进行加密保护并存储到物理磁盘后，将待写数据进行hamc计算后的校验值存储到预设加密校验盘中进行完整性保护。需要进行说明的是，所述预设加密校验磁盘为基于dm-crypt架构创建的虚拟磁盘。进一步的，用户访问加密磁盘时，在通信层面通过身份认证并去的密钥后建立安全通道，使用SM4算法对待写数据进行存储加密。

其中，关于上述步骤S21的具体过程可以参考前述实施例公开的相应内容，在此不再进行赘述。

可见，如图3所示，使用磁盘加密技术主要作用于操作系统内核层对磁盘进行加密以保障其内部数据的安全性，当系统向磁盘上写入数据时，会先加密要写入的数据，然后再写入磁盘。通过采用dm-crypt框架创建虚拟磁盘技术、国密算法进行数据加解密、密钥管理服务器对于密钥的认证和分发管理，能够保障磁盘安全，有效解决数据传输、存储、处理、使用等安全问题。

上述实施例对磁盘数据写入的过程进行了具体的介绍。本实施例将对磁盘数据读取的过程进行具体介绍。

参见图4所示，本申请实施例公开了一种具体的磁盘数据访问方法，包括：

步骤S31：获取目标用户针对目标磁盘数据的数据访问请求，并利用预设密钥管理服务器和所述数据访问请求对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限；

步骤S32：若所述目标用户拥有所述数据访问请求中的磁盘数据读请求，则通过所述预设密钥管理服务器和所述磁盘数据读请求获取所述目标磁盘数据对应的访问密钥。

本实施例中，身份认证后，若所述目标用户拥有所述数据访问请求中的磁盘数据读请求，则根据业务数据从数据库中检索并解密数据加密密钥；检索到后使用客户端会话密钥加密形成数据加密密钥密文。

步骤S33：基于预设虚拟加密磁盘、所述访问密钥从目标磁盘中读取所述目标磁盘数据，并利用所述虚拟加密磁盘对所述目标磁盘数据进行哈希计算以得到所述目标磁盘数据对应的当前校验值。

本实施例中，将所述目标磁盘数据从目标磁盘中读取出来。此时，所述目标磁盘数据为加密后的磁盘数据。将所述目标磁盘数据读取出后，基于所述虚拟加密磁盘对所述目标磁盘数据进行哈希计算以得到所述目标磁盘数据对应的当前校验值。

步骤S34：判断所述当前校验值与预设加密校验磁盘中所述目标磁盘数据对应的标准校验值是否一致，若一致，则基于所述预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据及进行解密操作以得到解密后数据并读取所述解密后数据。

本实施例中，在得到所述目标磁盘数据对应的当前校验值后，可以从预设加密校验磁盘中读取所述目标磁盘数据对应的标准校验值。然后判断所述当前校验值与预设加密校验磁盘中所述目标磁盘数据对应的标准校验值是否一致，若一致，则基于所述预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据及进行解密操作以得到解密后数据并读取所述解密后数据。若不一致则返回解密错误等提示信息。

其中，关于上述步骤S31的具体过程可以参考前述实施例公开的相应内容，在此不再进行赘述。

可见，如图5所示，在需要读取加密存储的数据时，业务系统将发送密钥请求；密码模块确认密钥后，采用SM4加密算法解密加密数据，将加密数据进行hamc计算获取校验值，并从虚拟校验盘的分区对应位置读取校验值，比较校验值的是否一致；若一致则返回数据明文给业务系统；若不一致则返回解密错误等提示信息。这样一来，通过创建虚拟校验盘，存储数据校验值，在读取时，先进行校验值的比对，可以确保校验数据完整性以及数据机密性。

参考图6所述，本申请实施例还相应公开了一种磁盘数据访问装置，包括：

访问请求获取模块11，用于获取目标用户针对目标磁盘数据的数据访问请求，并利用预设密钥管理服务器和所述数据访问请求对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限；

密钥获取模块12，用于若所述目标用户拥有所述数据访问权限，则通过所述预设密钥管理服务器获取所述目标磁盘数据对应的访问密钥；

数据访问模块13，用于基于预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据及进行加解密操作以得到处理后数据，以便对所述处理后数据进行磁盘数据访问操作；其中，所述预设虚拟加密磁盘为基于dm-crypt架构创建的虚拟磁盘。

这样一来，通过创建虚拟数据存储盘结合国密算法构建起密码模块，通过密码模块来实现对物理磁盘中数据的读写操作，确保数据在使用过程中自动进行加解密对于应用来说不会感知到加解密及完整性校验操作，同时能够杜绝因磁盘丢失或非法用户文件拷贝等原因导致的数据泄密以及非法修改文件的操作。

在一些具体的实施例中，所述访问请求获取模块11，具体可以包括：

证书验证单元，用于利用预设密钥管理服务器和所述数据访问请求中的国密算法证书对所述目标用户进行身份验证，以判断所述目标用户是否拥有数据访问权限。

在一些具体的实施例中，所述密钥获取模块12，具体可以用于若所述目标用户拥有所述数据访问请求中的磁盘数据写请求，则通过所述预设密钥管理服务器和所述磁盘数据写请求获取所述目标磁盘数据对应的访问密钥。

在一些具体的实施例中，所述数据访问模块13，具体可以包括：

数据写入单元，用于基于预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据进行加密操作以得到加密后数据，以便将所述加密后数据写入目标磁盘的对应位置。

在一些具体的实施例中，所述磁盘数据访问装置，还可以包括：

校验值存储模块，用于利于所述预设虚拟加密磁盘对所述加密后数据进行哈希计算以得到所述加密后数据对应的标准校验值，并将所述标准校验值存储至预设加密校验磁盘；所述预设加密校验磁盘为基于dm-crypt架构创建的虚拟磁盘。

在一些具体的实施例中，所述密钥获取模块12，具体可以用于若所述目标用户拥有所述数据访问请求中的磁盘数据读请求，则通过所述预设密钥管理服务器和所述磁盘数据读请求获取所述目标磁盘数据对应的访问密钥。

在一些具体的实施例中，所述数据访问模块13，具体可以包括：

数据读取单元，用于基于预设虚拟加密磁盘、所述访问密钥从目标磁盘中读取所述目标磁盘数据；

校验值计算单元，用于利用所述虚拟加密磁盘对所述目标磁盘数据进行哈希计算以得到所述目标磁盘数据对应的当前校验值；

校验值比对单元，用于判断所述当前校验值与预设加密校验磁盘中所述目标磁盘数据对应的标准校验值是否一致；

解密后数据读取单元，用于若一致，则基于所述预设虚拟加密磁盘、所述访问密钥和预设国密算法对所述目标磁盘数据及进行解密操作以得到解密后数据并读取所述解密后数据。

进一步的，本申请实施例还公开了一种电子设备，图7是根据一示例性实施例示出的电子设备20结构图，图中的内容不能认为是对本申请的使用范围的任何限制。

图7为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20，具体可以包括：至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的磁盘数据访问方法中的相关步骤。另外，本实施例中的电子设备20具体可以为电子计算机。

本实施例中，电源23用于为电子设备20上的各硬件设备提供工作电压；通信接口24能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。

另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源可以包括操作系统221、计算机程序222等，存储方式可以是短暂存储或者永久存储。

其中，操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222，其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的磁盘数据访问方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。

进一步的，本申请还公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的磁盘数据访问方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容，在此不再进行赘述。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本申请所提供的技术方案进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。