存储数据保护方法及装置制造方法及图纸

技术编号:22565423 阅读:19 留言:0更新日期:2019-11-16 12:09
一种存储数据保护方法及装置。本发明专利技术根据数据的存储地址、存储数据的系统所对应的特征信息计算出加解密调整值,并在数据存储和读取的过程中分别根据该加解密调整值对待存储或需读取的数据进行加密和解密,在不同系统之间实现数据的隔离保护。加密和解密过程中,本发明专利技术通过对系统所对应的特征信息的设计,通过加密和解密计算,能够利用同一套加密解密装置实现对多个主机或多个系统的存储资源保护。每一个主机、系统的不同地址都能够获得不同的加解密调整值,得到不同的明密文对应关系,从而保护不同系统间数据的私密性,大大增强数据的安全性。

Storage data protection methods and devices

A storage data protection method and device. The invention calculates the encryption and decryption adjustment value according to the storage address of the data and the corresponding characteristic information of the system storing the data, and encrypts and decrypts the data to be stored or to be read according to the encryption and decryption adjustment value in the process of data storage and reading respectively, so as to realize the data isolation protection between different systems. In the process of encryption and decryption, the invention can use the same set of encryption and decryption device to protect the storage resources of multiple hosts or systems through the design of the corresponding feature information of the system and the calculation of encryption and decryption. Each host and different address of the system can get different encryption and decryption adjustment values, and get different corresponding relations of ciphertext, so as to protect the privacy of data between different systems and greatly enhance the security of data.

【技术实现步骤摘要】
存储数据保护方法及装置
本专利技术涉及信息安全领域,具体而言涉及一种数据保护方法及装置。
技术介绍
现在的芯片和系统中,数据存储的需求越来越大,存储的安全性需求也与日俱增。很多系统都存在多个主机系统,每个主机系统又分别有自己对应的私有存储空间。对于一个系统中存在多个主机的这种情况,存储介质出于成本考虑往往需要在多个主机之间共享。也就是说,每个主机都可以访问该存储介质,各个主机之间的区别仅仅在于对存储空间的读取过程。因此,不同系统之间数据的隔离和保护显得格外重要。而对于单一主机,由于现在的很多主机都支持虚拟化,虚拟化后,一个主机也可以运行多个主机系统,这些主机系统拥有各自的计算资源和存储资源,互不干扰,各主机系统所运行的软件也可以独立开发,不需要考虑其他主机系统的存在。这样的系统,其应用的场景和实现的功能更丰富,也更复杂。但同时,由于实际存在多个主机或者多个主机系统同时运行,每个主机或者主机系统都需要保证其私有资源的独立性。需要限制其他主机或主机系统对其私有资源的读写。现有技术中,虽然可以对这些私有资源采用对称加密算法进行加密存储,但是由于多个主机系统之间存在访问对方私有数据的可能,一旦这种加密方式被知晓,非法读取发生,会对多主机系统的数据保护带来严重威胁。
技术实现思路
本专利技术针对现有技术的不足,提供一种基于对称加密算法的存储数据保护方法及装置,可以大大提升多主机系统数据存储的安全性,保护多主机系统中各系统数据的安全性,防止私有数据被非法获取。本专利技术具体采用如下技术方案。首先,为实现上述目的,提出一种存储数据保护方法,其在接收到任意系统的存储访问请求信号后,进行以下步骤:根据数据的存储地址、存储数据的系统所对应的特征信息进行调整值生成运算获得加解密调整值;根据加解密调整值以及密钥对待存储的数据进行加密运算获得密文;将所述密文存储至存储介质中对应该存储地址的空间。可选的,上述存储数据保护方法,其中,接收到任意系统的数据读取信号时,进行以下步骤:根据数据的存储地址、读取数据的系统所对应的特征信息进行调整值生成运算获得加解密调整值;根据加解密调整值以及密钥对该存储地址中的数据进行解密运算获得明文;将所述明文输出至该系统。可选的,上述存储数据保护方法,其中,系统所对应的特征信息包括:信号所对应系统的系统身份标识和/或该系统的用户自定义数据;其中,每一个系统的系统身份标识唯一对应该系统;所述系统的用户自定义数据包括用户自己定义的公开数据、用户自己保密的秘密数据、或该系统的系统参数,如CPU个数,内存大小等。可选的,上述存储数据保护方法,其中,所述调整值生成运算用于对非固定长度的特征信息以及存储地址的组合进行单向的加密,输出固定长度的加密结果作为加解密调整值。可选的,上述存储数据保护方法,所述调整值生成运算包括消息摘要运算,如,SM3运算、SHAKE运算、KASUMI-f9运算、SNOW3G运算、CRC32-IEEE802.3运算、Michael-MIC运算、Poly1305运算、HMAC运算、MD4运算、MD5运算。或者所述调整值生成运算包括可选择包括上述消息摘要运算或对称加解密运算,如,AES运算、3DES运算、SM4运算、RC4运算、Chacha20运算、CMAC运算,中的任一或其组合;根据加解密调整值以及密钥对待存储的数据所进行的加密运算包括分组加密运算和线性运算;所述调整值生成运算输出的加解密调整值与分组加密运算分组大小相同,以便于后续进行异或等线性运算。可选的,上述存储数据保护方法,其中,所述加密运算步骤包括:将待存储的数据与加解密调整值线性运算,获得加密过程数据;将所述加密过程数据根据密钥进行对称加密计算;将对称加密计算的结果与加解密调整值线性运算,获得所述密文。所述解密运算步骤包括:将该存储地址中的数据与加解密调整值进行加密运算过程中线性运算的逆运算,获得解密过程数据;将所述解密过程数据根据密钥进行对称解密计算;将对称解密计算的结果与加解密调整值进行加密运算过程中线性运算的逆运算,获得所述明文。这里的线性运算,是有限域中加减乘除运算,其中加法和乘法满足交换、结合和分配规律,线性计算时可逆的,例如对于线性运算函数Y=F(X,N),则存在对应该函数的逆函数为X=F-1(Y,N),其中,N是函数参数。可选的,上述存储数据保护方法,其中,所述对称加密运算,包括:DES,3DES,AES,SM4等加密算法及其组合;所述解密运算为对称解密运算,包括:DES,3DES,AES,SM4等的解密算法及其组合。可选的,上述存储数据保护方法,其中,所述密钥由易失性存储单元或非易失性存储单元生成;选择易失性存储生成所述密钥时,所述系统所对应的特征信息还可进一步包括有随机数。一种存储数据保护装置,其连接不同系统以及至少一个存储介质,其包括:调整值生成运算模块,能够接收来自不同系统的数据的存储地址、存储数据的系统所对应的特征信息,对其进行调整值生成运算以输出加解密调整值;数据存储模块,连接所述调整值生成运算模块的输出端,用于在接收到所述任意系统的存储访问请求信号后,根据加解密调整值以及密钥对待存储的数据进行加密运算获得密文,而后将所述密文存储至存储介质中对应该存储地址的空间;数据读取模块,连接所述调整值生成运算模块的输出端,用于在接收到任意系统的数据读取信号时,根据加解密调整值以及密钥对该存储地址中的数据进行解密运算获得明文,而后将所述明文输出至该系统。可选的,上述存储数据保护装置,其中,所述调整值生成运算模块包括分别对应连接所述数据存储模块和所述数据读取模块的两个,所述两个调整值生成运算模块分别独立根据所述数据的存储地址、存储数据的系统所对应的特征信息为所述数据存储模块或所述数据读取模块提供加解密调整值。或者,所述数据存储模块和所述数据读取模块共用同一调整值生成运算模块。只要所述调整值生成运算模块之间的运算过程相同,所述调整值生成运算模块的数量不限,可根据装置性能参数要求自由选择。有益效果本专利技术根据数据的存储地址、存储数据的系统所对应的特征信息计算出加解密调整值,并在数据存储和读取的过程中分别根据该加解密调整值对待存储或需读取的数据进行加密和解密,在不同系统之间实现数据的隔离保护。加密和解密过程中,本专利技术通过对系统所对应的特征信息的设计,通过加密和解密计算,能够利用同一套加密解密装置实现对多个主机或多个系统的存储资源保护。每一个主机、系统的不同地址都能够获得不同密钥进行加解密,由此,能够大大增强数据的安全性。进一步,本专利技术中所采用的调整值生成运算+加解密运算的方式,两个步骤可并行进行,将对存储效率的影响降至最低。其中的调整值生成运算,可将特征信息设计为包括信号所对应系统的系统身份标识和/或该系统的用户自定义数据的形式,进一步增加与其他系统的区分度,增加反向获得加密数据的难度。此外,对于使用非易失性存储的应用,本专利技术在每次复位之后可以加载真随机数,这样可以在每次复位后即便加解密相同的数据,其所获得的密文结果也不同。系统当发本文档来自技高网...

【技术保护点】
1.一种存储数据保护方法,其特征在于,接收到任意系统的存储访问请求信号后,进行以下步骤:/n根据数据的存储地址、存储数据的系统所对应的特征信息进行调整值生成运算获得加解密调整值;/n根据加解密调整值以及密钥对待存储的数据进行加密运算获得密文;/n将所述密文存储至存储介质中对应该存储地址的空间。/n

【技术特征摘要】
1.一种存储数据保护方法,其特征在于,接收到任意系统的存储访问请求信号后,进行以下步骤:
根据数据的存储地址、存储数据的系统所对应的特征信息进行调整值生成运算获得加解密调整值;
根据加解密调整值以及密钥对待存储的数据进行加密运算获得密文;
将所述密文存储至存储介质中对应该存储地址的空间。


2.如权利要求1所述的存储数据保护方法,其特征在于,接收到任意系统的数据读取信号时,进行以下步骤:
根据数据的存储地址、读取数据的系统所对应的特征信息进行调整值生成运算获得加解密调整值;
根据加解密调整值以及密钥对该存储地址中的数据进行解密运算获得明文;
将所述明文输出至该系统。


3.如权利要求2所述的存储数据保护方法,其特征在于,系统所对应的特征信息包括:信号所对应系统的系统身份标识和/或该系统的用户自定义数据;其中,每一个系统的系统身份标识唯一对应该系统;所述系统的用户自定义数据包括用户自己定义的公开数据、用户自己保密的秘密数据、或该系统的系统参数。


4.如权利要求2所述的存储数据保护方法,其特征在于,所述调整值生成运算用于对非固定长度的特征信息以及存储地址的组合进行单向运算,输出加密运算所需长度的加密结果作为加解密调整值。


5.如权利要求2所述的存储数据保护方法,其特征在于,所述调整值生成运算包括消息摘要运算、对称加解密运算中的任一或组合;
根据加解密调整值以及密钥对待存储的数据所进行的加密运算包括分组加密运算和线性运算;
所述调整值生成运算输出的加解密调整值与分组加密运算分组大小相同。


6.如权利要求2所述的存储数据保护方法,其特征在于,所述加密运算步骤包括:
将待存储的数据与加解密调整值线性计算,...

【专利技术属性】
技术研发人员:朱华沈晓
申请(专利权)人:南京芯驰半导体科技有限公司
类型:发明
国别省市:江苏;32

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1