数据加密方法及系统技术方案

本发明专利技术公开一种数据加密方法及系统，属于信息安全技术领域。用于网络附加存储NAS系统，NAS系统包括多个文件系统，方法包括：获取第一文件系统的文件系统加密密钥；为第一文件系统中的第一文件生成文件密钥序列号；根据第一文件系统的文件系统加密密钥和第一文件的文件密钥序列号为第一文件生成文件加密密钥；当检测到对第一文件的写入指令时，根据第一文件的文件加密密钥对写入数据加密得到写入数据对应的密文。本发明专利技术能够解决同一文件系统中数据采用同一密钥存储，数据的安全性较低，且数据的管理粒度过大，无法实现文件系统中单独文件的管理的问题，达到文件级数据加密的效果，提高数据的安全性，实现单独文件的管理。

【技术实现步骤摘要】

本专利技术涉及信息安全
，特别涉及一种数据加密方法及系统。
技术介绍
随着互联网信息技术的发展，信息的存储安全越来越重要。以网络附加存储(英文：NetworkAttachedStorage，简称：NAS)系统为例，NAS中通常可以包括多个文件系统(英文：FileSystem，简称：FS)，每个FS中的数据使用同一密钥加密，且NAS系统通常采用对称加密算法对数据进行加密，在对称加密算法中，数据的加密和解密使用同一密钥。当在NAS系统上创建文件系统时，NAS系统自动为该文件系统分配文件系统密钥标识(英文：FileSystemKeyIDentity，简称：FS_Key_ID)，同时，NAS系统为该文件系统申请对应的文件系统加密密钥(英文：FileSystemKey，简称：FS_Key)，当需要向文件系统中写入数据时，NAS系统使用文件系统对应的FS_Key对写入的数据加密，并将加密得到的密文存储至存储池(英文：StoragePool)；当需要从文件系统中读取数据时，NAS系统先从StoragePool中读取密文，然后使用FS_Key对读取到的密文进行解密得到数据，再将解密得到的数据明文传输至请求读取该数据的模块；当需要对文件系统进行数据销毁时，NAS系统直接将该文件系统对应的FS_Key删除。在实现本专利技术的过程中，专利技术人发现现有技术至少存在以下问题：NAS系统中同一文件系统中的数据采用同一密钥存储，数据的安全性较低，且数据的管理粒度过大，无法实现文件系统中单独文件的管理。
技术实现思路
为了解决现有技术中NAS系统中数据的安全性较低，且数据的管理粒度过大，无法实现文件系统中单独文件的管理的问题，本专利技术提供了一种数据加密方法及系统。所述技术方案如下：第一方面，提供一种数据加密方法，用于网络附加存储NAS系统，所述NAS系统包括多个文件系统，所述方法包括：获取第一文件系统的文件系统加密密钥，所述第一文件系统为所述多个文件系统中的任意一个文件系统；为所述第一文件系统中的第一文件生成与所述第一文件唯一对应的文件密钥序列号；根据所述第一文件系统的文件系统加密密钥和所述第一文件的文件密钥序列号为所述第一文件生成与所述第一文件唯一对应的文件加密密钥；当检测到对所述第一文件的写入指令时，根据所述第一文件的文件加密密钥对所述写入指令中的写入数据加密得到所述写入数据对应的密文。结合第一方面，在第一方面的第一种可能的实施方式中，所述第一文件包括：文件结构、文件密钥序列号和文件密文，所述根据所述第一文件的文件加密密钥对所述写入指令中的写入数据加密得到所述写入数据对应的密文之后，所述方法还包括：当检测到对所述第一文件的删除指令时，检测预设的第一文件系统的属性选项是否指示销毁所述第一文件；当所述预设的第一文件系统的属性选项指示销毁所述第一文件时，删除所述第一文件的文件结构和所述第一文件的文件密钥序列号；当所述预设的第一文件系统的属性选项指示不销毁所述第一文件时，删除所述第一文件的文件结构。结合第一方面，在第一方面的第二种可能的实施方式中，所述第一文件包括：文件结构、文件密钥序列号和文件密文，所述根据所述第一文件的文件加密密钥对所述写入指令中的写入数据加密得到所述写入数据对应的密文之后，所述方法还包括：当检测到对所述第一文件的删除指令时，删除所述第一文件的文件结构。结合第一方面，在第一方面的第三种可能的实施方式中，所述第一文件包括：文件结构、文件密钥序列号和文件密文，在所述根据所述第一文件系统的文件系统加密密钥和所述第一文件的文件密钥序列号为所述第一文件生成与所述第一文件唯一对应的文件加密密钥之后，所述方法还包括：更新所述第一文件的文件密钥序列号；根据所述第一文件系统的文件系统加密密钥和更新后的所述第一文件的文件密钥序列号生成所述第一文件的新的文件加密密钥；根据所述第一文件的文件加密密钥对所述第一文件的文件密文进行解密得到所述第一文件的文件内容，所述文件密文为所述第一文件的文件内容通过所述第一文件的文件加密密钥加密得到的；根据所述第一文件的新的文件加密密钥对所述文件内容进行加密，得到更新后的第一文件的文件密文。结合第一方面，或是第一方面的第一种可能的实施方式，或是第一方面的第二种可能的实施方式，或是第一方面的第三种可能的实施方式，在第一方面的第四种可能的实施方式中，所述获取第一文件系统的文件系统加密密钥，包括：当检测到在所述NAS系统内创建所述第一文件系统的指令时，为所述第一文件系统生成文件系统密钥标识；向密钥管理服务器KMS发送所述第一文件系统的文件系统密钥标识，以便于所述KMS根据所述第一文件系统的文件系统密钥标识生成与所述第一文件系统唯一对应的文件系统加密密钥；接收所述KMS发送的与所述第一文件系统唯一对应的文件系统加密密钥。结合第一方面，或是第一方面的第一种可能的实施方式，或是第一方面的第二种可能的实施方式，或是第一方面的第三种可能的实施方式，在第一方面的第五种可能的实施方式中，所述获取第一文件系统的文件系统加密密钥，包括：在所述NAS系统上电时，获取所述第一文件系统的文件系统密钥标识，所述第一文件系统的文件系统密钥标识为在所述NAS系统内创建所述第一文件系统时生成的；向密钥管理服务器KMS发送所述第一文件系统的文件系统密钥标识，以便于所述KMS根据所述第一文件系统的文件系统密钥标识查询与所述第一文件系统唯一对应的文件系统加密密钥；接收所述KMS发送的与所述第一文件系统唯一对应的文件系统加密密钥。结合第一方面，在第一方面的第六种可能的实施方式中，所述为第一文件系统中的第一文件生成与所述第一文件唯一对应的文件密钥序列号，包括：当检测到所述第一文件的创建指令时，为所述第一文件生成与所述第一文件唯一对应的文件密钥序列号；或者，当检测到所述第一文件的首次打开指令时，为所述第一文件生成与所述第一文件唯一对应的文件密钥序列号。结合第一方面，在第一方面的第七种可能的实施方式中，所述第一文件包括：文件结构、文件密钥序列号和文件密文，所述根据所述第一文件的文件加密密钥对所述写入指令中的写入数据加密得到所述写入数据对应的密文之后，所述方法还包括：当检测到对所述第一文件的读取指令时，在所述第一文件的文件密文中获取所述读取指令对应的密文，所述读取指令对应的密文是根据所述第一文件本文档来自技高网...

【技术保护点】
一种数据加密方法，其特征在于，用于网络附加存储NAS系统，所述NAS系统包括多个文件系统，所述方法包括：获取第一文件系统的文件系统加密密钥，所述第一文件系统为所述多个文件系统中的任意一个文件系统；为所述第一文件系统中的第一文件生成与所述第一文件唯一对应的文件密钥序列号；根据所述第一文件系统的文件系统加密密钥和所述第一文件的文件密钥序列号为所述第一文件生成与所述第一文件唯一对应的文件加密密钥；当检测到对所述第一文件的写入指令时，根据所述第一文件的文件加密密钥对所述写入指令中的写入数据加密得到所述写入数据对应的密文。

【技术特征摘要】
1.一种数据加密方法，其特征在于，用于网络附加存储NAS系统，所述
NAS系统包括多个文件系统，所述方法包括：
获取第一文件系统的文件系统加密密钥，所述第一文件系统为所述多个文
件系统中的任意一个文件系统；
为所述第一文件系统中的第一文件生成与所述第一文件唯一对应的文件密
钥序列号；
根据所述第一文件系统的文件系统加密密钥和所述第一文件的文件密钥序
列号为所述第一文件生成与所述第一文件唯一对应的文件加密密钥；
当检测到对所述第一文件的写入指令时，根据所述第一文件的文件加密密
钥对所述写入指令中的写入数据加密得到所述写入数据对应的密文。
2.根据权利要求1所述的方法，其特征在于，所述第一文件包括：文件结
构、文件密钥序列号和文件密文，
所述根据所述第一文件的文件加密密钥对所述写入指令中的写入数据加密
得到所述写入数据对应的密文之后，所述方法还包括：
当检测到对所述第一文件的删除指令时，检测预设的第一文件系统的属性
选项是否指示销毁所述第一文件；
当所述预设的第一文件系统的属性选项指示销毁所述第一文件时，删除所
述第一文件的文件结构和所述第一文件的文件密钥序列号；
当所述预设的第一文件系统的属性选项指示不销毁所述第一文件时，删除
所述第一文件的文件结构。
3.根据权利要求1所述的方法，其特征在于，所述第一文件包括：文件结
构、文件密钥序列号和文件密文，
所述根据所述第一文件的文件加密密钥对所述写入指令中的写入数据加密
得到所述写入数据对应的密文之后，所述方法还包括：
当检测到对所述第一文件的删除指令时，删除所述第一文件的文件结构。
4.根据权利要求1所述的方法，其特征在于，所述第一文件包括：文件结
构、文件密钥序列号和文件密文，
在所述根据所述第一文件系统的文件系统加密密钥和所述第一文件的文件
密钥序列号为所述第一文件生成与所述第一文件唯一对应的文件加密密钥之
后，所述方法还包括：
更新所述第一文件的文件密钥序列号；
根据所述第一文件系统的文件系统加密密钥和更新后的所述第一文件的文
件密钥序列号生成所述第一文件的新的文件加密密钥；
根据所述第一文件的文件加密密钥对所述第一文件的文件密文进行解密得
到所述第一文件的文件内容，所述文件密文为所述第一文件的文件内容通过所
述第一文件的文件加密密钥加密得到的；
根据所述第一文件的新的文件加密密钥对所述文件内容进行加密，得到更
新后的第一文件的文件密文。
5.根据权利要求1至4任意一项权利要求所述的方法，其特征在于，所述
获取第一文件系统的文件系统加密密钥，包括：
当检测到在所述NAS系统内创建所述第一文件系统的指令时，为所述第一

\t文件系统生成文件系统密钥标识；
向密钥管理服务器KMS发送所述第一文件系统的文件系统密钥标识，以便
于所述KMS根据所述第一文件系统的文件系统密钥标识生成与所述第一文件系
统唯一对应的文件系统加密密钥；
接收所述KMS发送的与所述第一文件系统唯一对应的文件系统加密密钥。
6.根据权利要求1至4任意一项权利要求所述的方法，其特征在于，所述
获取第一文件系统的文件系统加密密钥，包括：
在所述NAS系统上电时，获取所述第一文件系统的文件系统密钥标识，所
述第一文件系统的文件系统密钥标识为在所述NAS系统内创建所述第一文件系
统时生成的；
向密钥管理服务器KMS发送所述第一文件系统的文件系统密钥标识，以便
于所述KMS根据所述第一文件系统的文件系统密钥标识查询与所述第一文件系
统唯一对应的文件系统加密密钥；
接收所述KMS发送的与所述第一文件系统唯一对应的文件系统加密密钥。
7.根据权利要求1所述的方法，其特征在于，所述为第一文件系统中的第
一文件生成与所述第一文件唯一对应的文件密钥序列号，包括：
当检测到所述第一文件的创建指令时，为所述第一文件生成与所述第一文
件唯一对应的文件密钥序列号；
或者，
当检测到所述第一文件的首次打开指令时，为所述第一文件生成与所述第
一文件唯一对应的文件密钥序列号。
8.根据权利要求1所述的方法，其特征在于，所述第一文件包括：文件结
构、文件密钥序列号和文件密文，
所述根据所述第一文件的文件加密密钥对所述写入指令中的写入数据加密
得到所述写入数据对应的密文之后，所述方法还包括：
当检测到对所述第一文件的读取指令时，在所述第一文件的文件密文中获
取所述读取指令对应的密文，所述读取指令对应的密文是根据所述第一文件的
文件加密密钥加密得到的；
根据所述第一文件的文件加密密钥对所述读取指令对应的密文进行解密得
到读取数据。
9....

【专利技术属性】
技术研发人员：刘遵一，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44