本發(fā)明涉及磁盤數(shù)據(jù)加解密技術(shù)領(lǐng)域，尤其涉及一種針對磁盤數(shù)據(jù)存儲區(qū)的加解密方法及系統(tǒng)。

背景技術(shù)：

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展、網(wǎng)絡(luò)應(yīng)用的不斷豐富，網(wǎng)絡(luò)中產(chǎn)生的數(shù)據(jù)呈爆炸式增長，并且數(shù)據(jù)的種類多種多樣，給數(shù)據(jù)的管理、分析帶來了巨大的挑戰(zhàn)。因此針對海量數(shù)據(jù)的研究逐漸形成熟，并提出了大數(shù)據(jù)的概念。大數(shù)據(jù)具有4個顯著特征，即數(shù)據(jù)量巨大、數(shù)據(jù)結(jié)構(gòu)豐富、增長速度快和價值密度低，因此需要使用具有針對性的解決方案來處理大數(shù)據(jù)，由于安全機制是海量數(shù)據(jù)存儲的基礎(chǔ)問題，因此安全機制將成為大數(shù)據(jù)處理中亟待解決的問題，也將是未來網(wǎng)絡(luò)健康發(fā)展的必要條件。

但是，海量數(shù)據(jù)存儲中數(shù)據(jù)安全問題性一直有待提高。Hadoop增加了節(jié)點訪問權(quán)限的控制機制來提高安全性；商用Hadoop系統(tǒng)針對安全問題引入SSL等機制提供安全交互信道；Hadoop領(lǐng)域的先驅(qū)公司Cloudera發(fā)布了企業(yè)級Hadoop系統(tǒng)，面向政府部門的網(wǎng)絡(luò)安全和欺詐檢測應(yīng)用提供安全保證；OpenStack Swift體系框架提供數(shù)據(jù)安全存儲加密插件以提高系統(tǒng)的安全性。并且工信部也針對網(wǎng)絡(luò)用戶的信息安全提出明確的保護標準，未來的互聯(lián)網(wǎng)及其數(shù)據(jù)分析應(yīng)用都將圍繞數(shù)據(jù)安全開展，因此安全機制將成為大數(shù)據(jù)處理中亟待解決的問題，也將是未來網(wǎng)絡(luò)健康發(fā)展的必要條件。

由此可見，安全機制是海量數(shù)據(jù)存儲的基礎(chǔ)問題，是影響Hadoop等海量數(shù)據(jù)處理應(yīng)用的關(guān)鍵因素，已經(jīng)逐漸成為大數(shù)據(jù)解決方案中首要考慮的重點和難點。

技術(shù)實現(xiàn)要素：

本發(fā)明目的是克服上述現(xiàn)有技術(shù)存在的不足，提出一種針對磁盤數(shù)據(jù)存儲區(qū)的加解密方法及系統(tǒng)，實現(xiàn)對磁盤上數(shù)據(jù)存儲區(qū)的加解密處理，而對磁盤的啟動扇區(qū)、磁盤文件系統(tǒng)的超級快扇區(qū)以及文件信息扇區(qū)不做加解密處理實現(xiàn)了高效的磁盤加解密框架，提高海量數(shù)據(jù)存儲的安全性。

為了實現(xiàn)上述目的，一方面，本發(fā)明提供了一種針對磁盤數(shù)據(jù)存儲區(qū)的加解密系統(tǒng)，該系統(tǒng)包括加密扇區(qū)初始化模塊、加密算法配置模塊和數(shù)據(jù)加解密模塊；其中，加密扇區(qū)初始化模塊用于根據(jù)磁盤分區(qū)容量以及文件系統(tǒng)特征確定加解密扇區(qū)的位置；加密算法配置模塊用于設(shè)置所述加解密系統(tǒng)使用的加密算法；數(shù)據(jù)加解密模塊用于根據(jù)加密算法對寫入磁盤數(shù)據(jù)存儲區(qū)的文件數(shù)據(jù)進行加密，或者對由磁盤數(shù)據(jù)存儲區(qū)讀取的文件數(shù)據(jù)進行解密。

另一方面，本發(fā)明提供了一種針對磁盤數(shù)據(jù)存儲區(qū)的加解密方法，該方法包括以下步驟：

步驟一、根據(jù)磁盤分區(qū)容量以及文件系統(tǒng)特征確定加解密扇區(qū)的位置；

步驟二、設(shè)置加解密系統(tǒng)使用的加密算法；

步驟三、根據(jù)加密算法對寫入磁盤數(shù)據(jù)存儲區(qū)的文件數(shù)據(jù)進行加密，或者對由磁盤數(shù)據(jù)存儲區(qū)讀取的文件數(shù)據(jù)進行解密。

本發(fā)明提供的針對磁盤數(shù)據(jù)存儲區(qū)的加解密方法及系統(tǒng)，將磁盤上的數(shù)據(jù)塊扇區(qū)與磁盤的非數(shù)據(jù)塊扇區(qū)區(qū)分開，保證加密和解密操作都只針對數(shù)據(jù)存儲區(qū)，實現(xiàn)高效的磁盤加解密框架，來提高海量數(shù)據(jù)存儲的安全性。

附圖說明

為了更清楚地說明本發(fā)明實施例的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其它的附圖。

圖1為本發(fā)明實施例提供的一種針對磁盤數(shù)據(jù)存儲區(qū)的加解密系統(tǒng)的結(jié)構(gòu)示意圖；

圖2為本發(fā)明實施例提供的一種針對磁盤數(shù)據(jù)存儲區(qū)的加解密系統(tǒng)接口的結(jié)構(gòu)示意圖；

圖3為本發(fā)明實施例提供的一種針對磁盤數(shù)據(jù)存儲區(qū)的加解密方法流程示意圖。

具體實施方式

下面通過附圖和實施例，對本發(fā)明的技術(shù)方案做進一步的詳細描述。

圖1為本發(fā)明實施例提供的一種針對磁盤數(shù)據(jù)存儲區(qū)的加解密系統(tǒng)的結(jié)構(gòu)示意圖。如圖1所示，本系統(tǒng)包括加密扇區(qū)初始化模塊112、加密算法配置模塊118和數(shù)據(jù)加解密模塊119。

加密扇區(qū)初始化模塊112根據(jù)磁盤分區(qū)容量以及文件系統(tǒng)特征來確定加密扇區(qū)位置的邊界。

優(yōu)選地，當磁盤存在超級塊(super block)信息時，采用第一種計算方法來確定數(shù)據(jù)塊扇區(qū)的位置，將磁盤上的數(shù)據(jù)塊扇區(qū)與盤的啟動扇區(qū)、磁盤文件系統(tǒng)的超級快扇區(qū)以及文件信息扇區(qū)區(qū)分開；或者當磁盤不存在超級塊信息時，采用第二種計算方法來確定數(shù)據(jù)塊扇區(qū)的位置，將磁盤上的數(shù)據(jù)塊扇區(qū)與盤的啟動扇區(qū)、磁盤文件系統(tǒng)的超級快扇區(qū)以及文件信息扇區(qū)區(qū)分開，保證加密和解密操作都只針對數(shù)據(jù)存儲區(qū)，其中，第一種計算方法與第二種計算方法的區(qū)別在于：FREE_BLK的取值不同，具體為：

對于含有super block的塊組group，數(shù)據(jù)區(qū)起始位置FREE_BLK典型值為1539，而對于不含super block的塊組group，數(shù)據(jù)區(qū)起始位置FREE_BLK典型值為514；

對于在Linux文件系統(tǒng)中的每一個group，待加密的數(shù)據(jù)block為BLK，則BLK需滿足公式：

FREE_BLK+GRP*32768≤BLK≤(GRP+1)*32768-1 (1)

其中，GRP為group的編號，從0開始；FREE_BLK為每個group中第一個可以使用的數(shù)據(jù)block，32768是Linux文件系統(tǒng)創(chuàng)建時為每個group分配的block數(shù)量。

對于典型的EXT2/3/4文件系統(tǒng)，一個block對應(yīng)磁盤設(shè)備的8個扇區(qū)(sector)，所以待加密的數(shù)據(jù)扇區(qū)SECTOR需滿足公式：

FREE_BLK*8+GRP*262144≤SECTOR≤(GRP+1)*262144-8 (2)

其中，262144是EXT2/3/4文件系統(tǒng)創(chuàng)建時為每個group分配的block數(shù)量。

由于物理磁盤的開頭部分包含有分區(qū)表等系統(tǒng)關(guān)鍵信息，公式(2)應(yīng)該把每個分區(qū)的起始扇區(qū)START_SECTOR也考慮進來，則得到最終公式為：

FREE_BLK*8+GRP*262144+START_SECTOR≤

SECTOR≤(GRP+1)*262144-8+START_SECTOR (3)

加密算法配置模塊118用于設(shè)置所述加解密系統(tǒng)使用的加密算法。

數(shù)據(jù)加解密模塊119用于獲取用戶對磁盤的讀寫請求，解析出讀寫請求中指定的磁盤扇區(qū)和數(shù)據(jù)，判斷指定的磁盤扇區(qū)是否是數(shù)據(jù)塊扇區(qū)，如果是數(shù)據(jù)塊扇區(qū)則進行加解密處理。對解析出的用戶數(shù)據(jù)，根據(jù)加密算法對寫入磁盤數(shù)據(jù)存儲區(qū)的文件數(shù)據(jù)進行加密，或者對由磁盤數(shù)據(jù)存儲區(qū)讀取的文件數(shù)據(jù)進行解密。

本發(fā)明實施例實現(xiàn)對磁盤上數(shù)據(jù)存儲區(qū)的加解密處理，而對磁盤的啟動扇區(qū)、磁盤文件系統(tǒng)的超級快扇區(qū)以及文件信息扇區(qū)不做加解密處理，實現(xiàn)了高效的磁盤加解密框架。

圖2為本發(fā)明實施例提供的一種針對磁盤數(shù)據(jù)存儲區(qū)的加解密系統(tǒng)接口的結(jié)構(gòu)示意圖。如圖3所示，本加解密系統(tǒng)接口包括：磁盤126、數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109。其中，

磁盤126包括非數(shù)據(jù)區(qū)128(由啟動扇區(qū)、超級塊扇區(qū)和文件信息扇區(qū)組成)和多個數(shù)據(jù)塊扇區(qū)組成的數(shù)據(jù)存儲區(qū)127。

數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109包括加密扇區(qū)初始化模塊112、加密算法配置模塊118和數(shù)據(jù)加解密模塊119，其中，加密算法配置模塊118包括用戶配置接口113、加密函數(shù)庫115和加密配置文件117。

用戶101調(diào)用加密扇區(qū)初始化模塊112和加密算法配置模塊118對磁盤126進行初始化，其過程如下：

用戶101向加密算法配置模塊118中的用戶配置接口113發(fā)出調(diào)用請求，在加密函數(shù)庫115中選擇加密算法，并將選擇結(jié)果寫入加密配置文件117中。

加密扇區(qū)初始化模塊112向磁盤126發(fā)出讀取磁盤文件系統(tǒng)信息的請求，磁盤126上每個分區(qū)文件系統(tǒng)的啟動扇區(qū)、超級塊扇區(qū)、文件信息扇區(qū)以及數(shù)據(jù)塊扇區(qū)的位置信息，將讀取結(jié)果返回給加密扇區(qū)初始化模塊112，通過讀取結(jié)果返回給加密扇區(qū)初始化模塊112，加密扇區(qū)初始化模塊112根據(jù)文件系統(tǒng)特征計算出所有待加密的數(shù)據(jù)塊扇區(qū)位置，并把結(jié)果通過寫請求記錄到加密配置文件117。

其中，加密扇區(qū)初始化模塊112對于有記錄文件系統(tǒng)的詳細信息的超級塊信息和沒有超級塊信息的一系列扇區(qū)的塊組分別采用文件系統(tǒng)中FREE_BLK取值不同的兩種計算方法來確定數(shù)據(jù)塊扇區(qū)的位置，將磁盤126上的數(shù)據(jù)塊扇區(qū)與磁盤的啟動扇區(qū)、磁盤文件系統(tǒng)的超級塊扇區(qū)以及文件信息扇區(qū)區(qū)分開，保證加密和解密操作都只針對數(shù)據(jù)存儲區(qū)。

數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109完成對磁盤126的初始化后，將獲取用戶101向磁盤126發(fā)起的讀寫請求，并解析出讀寫請求中的磁盤扇區(qū)107和數(shù)據(jù)106。然后通過數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109對磁盤126上的數(shù)據(jù)進行加解密操作。

數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109獲取用戶101的寫請求，對寫入磁盤126的數(shù)據(jù)進行加密的工作步驟是：

用戶101向磁盤126發(fā)起調(diào)用，產(chǎn)生寫請求。

數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109獲取寫請求，解析出寫請求中的磁盤扇區(qū)107和數(shù)據(jù)106。

數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109判斷磁盤扇區(qū)107是否為數(shù)據(jù)塊扇區(qū)，如果磁盤扇區(qū)107是待加解密的數(shù)據(jù)塊扇區(qū)，則數(shù)據(jù)加解密模塊119根據(jù)加密配置文件117中指定的加密算法，選取加密函數(shù)庫115中對應(yīng)的加密算法，將寫請求中的數(shù)據(jù)106加密，并根據(jù)寫請求中的磁盤扇區(qū)107尋找磁盤126上對應(yīng)的數(shù)據(jù)存儲區(qū)127，將加密后的數(shù)據(jù)106通過寫入請求發(fā)送給磁盤126。磁盤126返回寫入結(jié)果給數(shù)據(jù)加解密模塊119，數(shù)據(jù)加解密模塊119返回數(shù)據(jù)寫結(jié)果給用戶101。

若磁盤扇區(qū)107是非數(shù)據(jù)區(qū)128，則寫入流程跳過數(shù)據(jù)加解密模塊119，直接與磁盤126交互。

數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109獲取用戶101的讀請求，對由磁盤126讀取數(shù)據(jù)進行解密的工作步驟是：

用戶101向磁盤126發(fā)起調(diào)用，產(chǎn)生讀請求。

數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109獲取讀請求，解析出讀請求中的磁盤扇區(qū)107和數(shù)據(jù)106。

數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109根據(jù)讀請求中的磁盤扇區(qū)107尋找磁盤126上對應(yīng)的扇區(qū)，發(fā)起讀取請求，磁盤126將讀取請求結(jié)果返回給數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109。然后數(shù)據(jù)存儲區(qū)加解密系統(tǒng)109判斷磁盤扇區(qū)107是否是待解密的數(shù)據(jù)塊扇區(qū)，如果是數(shù)據(jù)塊扇區(qū)，數(shù)據(jù)加解密模塊119根據(jù)全局加密配置文件117中指定的加密算法，選取加密函數(shù)庫115中對應(yīng)的加密算法，對磁盤126返回的數(shù)據(jù)解密，并將數(shù)據(jù)讀取結(jié)果返回給用戶101；如果磁盤扇區(qū)107是非數(shù)據(jù)區(qū)128，則讀取流程跳過數(shù)據(jù)加解密模塊119，將讀取請求結(jié)果直接返回給用戶101。

本發(fā)明實施例每次更改磁盤的加密算法和初始化加解密扇區(qū)時，都需要 首先執(zhí)行一次加密扇區(qū)初始化模塊112和加密算法配置模塊118對磁盤126進行初始化的過程，然后循環(huán)執(zhí)行數(shù)據(jù)加解密模塊119對磁盤126讀取的數(shù)據(jù)進行解密，對寫入的數(shù)據(jù)加密的過程。

本發(fā)明實施例實現(xiàn)對磁盤上數(shù)據(jù)存儲區(qū)的加解密處理，而對磁盤的啟動扇區(qū)、磁盤文件系統(tǒng)的超級快扇區(qū)以及文件信息扇區(qū)不做加解密處理，實現(xiàn)了高效的磁盤加解密框架。

圖3為本發(fā)明實施例提供的一種針對磁盤數(shù)據(jù)存儲區(qū)的加解密方法對寫入和讀取磁盤數(shù)據(jù)存儲區(qū)的數(shù)據(jù)進行加解密處理的流程圖。如圖3所示，該方法包括步驟S301-S303：

步驟S301、根據(jù)磁盤分區(qū)容量以及文件系統(tǒng)特征確定加解密扇區(qū)的位置

優(yōu)選的，當磁盤存在超級塊信息時，采用第一種計算方法來確定數(shù)據(jù)塊扇區(qū)的位置，將磁盤上的數(shù)據(jù)塊扇區(qū)與盤的啟動扇區(qū)、磁盤文件系統(tǒng)的超級快扇區(qū)以及文件信息扇區(qū)區(qū)分開；或者

當磁盤不存在超級塊信息時，采用第二種計算方法來確定數(shù)據(jù)塊扇區(qū)的位置，將磁盤上的數(shù)據(jù)塊扇區(qū)與盤的啟動扇區(qū)、磁盤文件系統(tǒng)的超級快扇區(qū)以及文件信息扇區(qū)區(qū)分開。

步驟S302、設(shè)置加解密系統(tǒng)使用的加密算法。

步驟S303、根據(jù)加密算法對寫入磁盤數(shù)據(jù)存儲區(qū)的文件數(shù)據(jù)進行加密，或者對由磁盤數(shù)據(jù)存儲區(qū)讀取的文件數(shù)據(jù)進行解密。

在一個例子中，獲取用戶對磁盤的讀寫請求，解析出讀寫請求中指定的磁盤扇區(qū)和數(shù)據(jù)，判斷指定的磁盤扇區(qū)是否是數(shù)據(jù)塊扇區(qū)，如果是數(shù)據(jù)塊扇區(qū)則進行加解密處理；對解析出的用戶數(shù)據(jù)，根據(jù)相應(yīng)的加密算法對讀取的數(shù)據(jù)進行解密，對寫入的數(shù)據(jù)加密。

優(yōu)選的，對于寫請求，判斷寫入的扇區(qū)是否是數(shù)據(jù)塊扇區(qū)，如果是數(shù)據(jù)扇區(qū)，根據(jù)相應(yīng)的加密算法對寫入磁盤的明文數(shù)據(jù)進行加密，并將密文寫入指定的磁盤扇區(qū)；如果不是數(shù)據(jù)扇區(qū)，則將用戶數(shù)據(jù)直接寫入到相應(yīng)的磁盤 扇區(qū)；或者對于讀請求，判斷讀取的扇區(qū)是否是數(shù)據(jù)塊扇區(qū)，如果是數(shù)據(jù)扇區(qū)，根據(jù)相應(yīng)的加密算法對讀取的密文數(shù)據(jù)進行解密，并返回明文給用戶；如果不是數(shù)據(jù)扇區(qū)，則直接將讀取的數(shù)據(jù)返回給用戶。

需要說明的是，在每次更改磁盤的加密算法和初始化加密扇區(qū)時需要首先執(zhí)行一次步驟S301和步驟S302，然后循環(huán)執(zhí)行步驟303。

本發(fā)明實施例實現(xiàn)對磁盤上數(shù)據(jù)存儲區(qū)的加解密處理，而對磁盤的啟動扇區(qū)、磁盤文件系統(tǒng)的超級快扇區(qū)以及文件信息扇區(qū)不做加解密處理，實現(xiàn)了高效的磁盤加解密框架。

專業(yè)人員應(yīng)該還可以進一步意識到，結(jié)合本文中所公開的實施例描述的各示例的單元及算法步驟，能夠以電子硬件、計算機軟件或者二者的結(jié)合來實現(xiàn)，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實現(xiàn)所描述的功能，但是這種實現(xiàn)不應(yīng)認為超出本發(fā)明的范圍。

以上所述的具體實施方式，對本發(fā)明的目的、技術(shù)方案和有益效果進行了進一步詳細說明，所應(yīng)理解的是，以上所述僅為本發(fā)明的具體實施方式而已，并不用于限定本發(fā)明的保護范圍，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。