數(shù)據(jù)存儲方法及安全裝置����、數(shù)據(jù)存儲系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡安全技術領域,特別涉及一種數(shù)據(jù)存儲方法及安全裝置、數(shù)據(jù)存儲系統(tǒng)���。
【背景技術】
[0002]云存儲的興起為用戶不斷增長的存儲需求提供了較好的解決方案����,混合云是云計算的主要模式和發(fā)展方向�����。
[0003]混合云融合了公有云和私有云的特點��,用戶可在私有云端完成相應的數(shù)據(jù)處理業(yè)務�����,將目標數(shù)據(jù)從私有云端發(fā)送至公有云端以進行存儲���;為了提高數(shù)據(jù)的安全性�����,通常會使用云服務提供商提供的數(shù)據(jù)安全保護措施���,即通過用戶在私有云端設置相應的用戶口令以生成用戶秘鑰,利用生成的用戶秘鑰對目標數(shù)據(jù)進行加密�,將加密后的目標數(shù)據(jù)以及生成的用戶秘鑰同時存儲至公有云端。
[0004]在上述技術方案中���,入侵者只要成功獲取相應的用戶口令或者成功入侵公有云端����,即可獲取存儲在公有云端的用戶秘鑰���,進而通過用戶秘鑰解密出目標數(shù)據(jù)��;因此����,目標數(shù)據(jù)的安全性較低�。
【發(fā)明內(nèi)容】
[0005]有鑒于此,本發(fā)明提供了一種數(shù)據(jù)存儲方法及安全裝置�、數(shù)據(jù)存儲系統(tǒng),可提高目標數(shù)據(jù)的安全性��。
[0006]第一方面��,本發(fā)明提供了一種數(shù)據(jù)存儲方法����,包括:
[0007]S0:獲取與自身綁定的私有云端的第一啟動信息���、用戶密鑰以及該用戶密鑰的保護密鑰,利用所述保護密鑰對所述用戶密鑰進行加密����,并存儲所述第一啟動信息、所述保護密鑰和加密后的用戶密鑰�����;
[0008]S1:接收存儲指令�,所述存儲指令攜帶有目標數(shù)據(jù)以及與自身綁定的私有云端的第二啟動信息;
[0009]S2:生成攜帶有所述第二啟動信息的授權指令�,所述授權指令用于指示利用所述保護秘鑰解密所述用戶秘鑰的操作;
[0010]S3:當所述第二啟動信息與所述第一啟動信息相同時�,根據(jù)所述授權指令,利用所述保護秘鑰解密出用戶秘鑰�����,并通過所述用戶秘鑰加密所述目標數(shù)據(jù)���,將加密后的目標數(shù)據(jù)發(fā)送至所述公有云端以進行存儲���。
[0011]進一步的����,
[0012]所述獲取與自身綁定的私有云端的第一啟動信息�,包括:確定與自身綁定的私有云端需要進行完整性檢測的目標裝置���;
[0013]計算所述目標裝置的第一特征值�,將所述第一特征值作為與自身綁定的私有云端的第一啟動信息��;
[0014]所述第二啟動信息包括:所述目標裝置的第二特征值�����。
[0015]進一步的�����,所述確定與自身綁定的私有云端需要進行完整性檢測的目標裝置��,包括:
[0016]將與自身綁定的私有云端包括的如下裝置中的至少一個確定為需要進行完整性檢測的目標裝置:基本輸入輸出系統(tǒng)B1S�����、主引導記錄MBR、操作系統(tǒng)內(nèi)核OS Kernel ο
[0017]進一步的����,所述步驟S1之前進一步包括:
[0018]獲取第一授權值,并存儲所述第一授權值��。
[0019]進一步的�,還包括:
[0020]獲取第二授權值;
[0021]判斷所述第二授權值與所述第一授權值是否相同��,如果相同����,則通過所述保護秘鑰解密出用戶秘鑰,并通過所述用戶秘鑰加密所述目標數(shù)據(jù)���,將加密后的目標數(shù)據(jù)發(fā)送至公有云端以進行存儲
[0022]第二方面����,本發(fā)明提供了一種安全裝置����,包括:
[0023]第一獲取單元,用于獲取與自身綁定的私有云端的第一啟動信息����、用戶密鑰以及該用戶密鑰的保護密鑰��;
[0024]加密單元���,用于利用所述保護密鑰對所述用戶密鑰進行加密�;
[0025]存儲單元,用于存儲所述第一啟動信息�、所述保護密鑰和加密后的用戶密鑰;
[0026]第二獲取單元����,用于接收存儲指令,所述存儲指令攜帶有目標數(shù)據(jù)以及與自身綁定的私有云端的第二啟動信息����;
[0027]授權單元,用于生成攜帶所述第二啟動信息的授權指令���,所述授權指令用于指示利用所述保護秘鑰解密所述用戶秘鑰的操作���;
[0028]處理單元,用于當所述第二啟動信息與所述第一啟動信息相同時����,根據(jù)所述授權指令��,通過所述保護秘鑰解密出用戶秘鑰���,并通過所述用戶秘鑰加密所述目標數(shù)據(jù),將加密后的目標數(shù)據(jù)發(fā)送至所述公有云端以進行存儲����。
[0029]進一步的,所述第一獲取單元包括:
[0030]確定子單元���,用于確定與自身綁定的私有云端需要進行完整性檢測的目標裝置�����;
[0031]計算子單元���,用于計算所述目標裝置的第一特征值,將所述第一特征值作為與自身綁定的私有云端的第一啟動信息��。
[0032]進一步的�����,
[0033]所述確定子單元,用于將與自身綁定的私有云端包括的如下裝置中的至少一個確定為需要進行完整性檢測的目標裝置:基本輸入輸出系統(tǒng)B1S����、主引導記錄MBR、操作系統(tǒng)內(nèi)核 OS Kernel ο
[0034]進一步的���,還包括:
[0035]第三獲取單元���,用于獲取第一授權值��,獲取第二授權值�����;
[0036]所述存儲單元���,進一步用于存儲所述第一授權值����;
[0037]所述處理單元���,進一步用于判斷所述第二授權值與所述第一授權值是否相同��,如果相同���,則通過所述保護秘鑰解密出用戶秘鑰��,并通過所述用戶秘鑰加密所述目標數(shù)據(jù)����,將加密后的目標數(shù)據(jù)發(fā)送至公有云端以進行存儲���。
[0038]第三方面�����,本發(fā)明提供了一種數(shù)據(jù)存儲系統(tǒng)����,包括:
[0039]上述第二方面中任一所述的安全裝置��;
[0040]公有云端����,用于接收并存儲所述安全裝置發(fā)送的加密后的目標數(shù)據(jù)���;
[0041]私有云端,用于向所述安全裝置發(fā)送第一啟動信息以及存儲指令����,所述存儲指令攜帶有目標數(shù)據(jù)以及所述私有云端的第二啟動信息。
[0042]本發(fā)明提供了一種數(shù)據(jù)存儲方法及安全裝置�、數(shù)據(jù)存儲系統(tǒng),通過設置安全裝置�����,該安全裝置中存儲了與該安全裝置綁定的私有云端的第一啟動信息��,保護秘鑰以及通過該保護秘鑰加密后的用戶秘鑰����,當接收到攜帶目標數(shù)據(jù)以及與自身綁定的私有云端的第二啟動信息時���,生成相應的授權指令�,如果第二啟動信息與第一啟動信息相同��,即表明當前私有云平臺的完整性未收到破壞��,進而根據(jù)授權指令,通過存儲在安全裝置中的保護秘鑰解密出用戶秘鑰�,并通過該用戶秘鑰加密目標數(shù)據(jù),將加密后的目標數(shù)據(jù)發(fā)送至公有云端以進行存儲�����;如此���,實現(xiàn)了加密后的目標數(shù)據(jù)和用戶秘鑰分離存儲���,并將安全裝置和對應的私有云端進行綁定以對用戶秘鑰進行保護,相應的����,只有通過對應的安全裝置和完整性未受到破壞的私有云端才可對加密后的目標數(shù)據(jù)進行解密;即提高了目標數(shù)據(jù)的安全性�。
【附圖說明】
[0043]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹��,顯而易見地��,下面描述中的附圖是本發(fā)明的一些實施例�����,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下���,還可以根據(jù)這些附圖獲得其他的附圖�。
[0044]圖1是本發(fā)明一實施例提供的一種數(shù)據(jù)存儲方法的流程圖����;
[0045]圖2是本發(fā)明一實施例提供的另一種數(shù)據(jù)存儲方法的流程圖;
[0046]圖3是本發(fā)明一實施例提供的一種安全裝置的結構圖�����;
[0047]圖4是本發(fā)明一實施例提供的另一種安全裝置的結構圖�;
[0048]圖5是本發(fā)明實施例提供的一種數(shù)據(jù)存儲系統(tǒng)的結構圖。
【具體實施方式】
[0049]為使本發(fā)明實施例的目的���、技術方案和優(yōu)點更加清楚���,下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚�����、完整地描述���,顯然�����,所描述的實施例是本發(fā)明一部分實施例��,而不是全部的實施例�,基于本發(fā)明中的實施例����,本領域普通技術人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍���。
[0050]如圖1所示���,本發(fā)明實施例提供了一種數(shù)據(jù)存儲方法,該方法可以包括以下步驟:
[0051]S0:獲取與自身綁定的私有云端的第一啟動信息��、用戶密鑰以及該用戶密鑰的保護密鑰����,利用所述保護密鑰對所述用戶密鑰進行加密,并存儲所述第一啟動信息���、所述保護密鑰和加密后的用戶密鑰���;還包括:
[0052]S1:接收存儲指令��,所述存儲指令攜帶有目標數(shù)據(jù)以及與自身綁定的私有云端的第二啟動信息�;
[0053]S2:生成攜帶有所述第二啟動信息的授權指令����,所述授權指令用于指示利用所述保護秘鑰解密所述用戶秘鑰的操作;
[0054]S3:當所述第二啟動信息與所述第一啟動信息相同時�,根據(jù)所述授權指令,利用所述保護秘鑰解密出用戶秘鑰����,并通過所述用戶秘鑰加密所述目標數(shù)據(jù),將加密后的目標數(shù)據(jù)發(fā)送至所述公有云端以進行存儲��。
[0055]本發(fā)明一實施例中���,通過設置安全裝置����,該安全裝置中存儲了與該安全裝置綁定的私有云端的第一啟動信息��,保護秘鑰以及通過該保護秘鑰加密后的用戶秘鑰��,當接收到攜帶目標數(shù)據(jù)以及與自身綁定的私有云端的第二啟動信息時��,生成相應的授權指令�,如果第二啟動信息與第一啟動信息相同,即表明當前私有云平臺的完整性未收到破壞����,進而根據(jù)授權指令,通過存儲在安全裝置中的保護秘鑰解密出用戶秘鑰���,并通過該用戶秘鑰加密目標數(shù)據(jù)����,將加密后的目標數(shù)據(jù)發(fā)送至公有云端以進行存儲�;如此,實現(xiàn)了加密后的目