数据处理方法技术

本发明专利技术涉及计算机技术领域，公开了一种数据处理方法

【技术实现步骤摘要】
Key
，简称
DEK
）
。
然后，获取数据操作指令，根据数据操作指令，利用第一
DEK
对目标数据执行与数据操作指令对应的操作，在该过程中，因为第一
PIN
码和第一
eDEK
等均存储于硬盘中，而且是与存储控制卡对应的多个硬盘中每一个硬盘均存储有相同的备份
。
相当于第一
PIN
码和第一
eDEK
等都是单位存储空间为单位进行管理，并存储在硬盘中的某个预设存储位置
。
相较于相关技术中将
PIN
码存储在自加密盘，并利用
PIN
码对数据加解密的方式而言，本申请的方案无需使用自加密硬盘存
PIN
码，成本更低
。
而且，并非是每一块硬盘对应一个
PIN
码，所以
PIN
码管理上将会更加简便
。
再者，无需依赖主键实现秘钥的管理和访问鉴权
。
而且
PIN
码和
eDEK
存放于硬盘上的好处还在于，如果存储控制卡发生损坏，依然可以依据硬盘中的
PIN
码和
eDEK
来获取相应数据，不会导致秘钥随着卡损坏而丢失，进而使得数据丢失的情况发生
。
[0007]在一种可选的实施方式中，对第一个人识别密码进行验证，包括：从任一硬盘的预设存储位置获取与目标单位存储空间标识信息对应的第一加密盐；利用第一身份验证秘钥，通过第二加解密引擎对第一加密盐进行解密，获取第一盐；利用第一加解密引擎，对第一个人识别密码和第一盐进行加密处理，获取第一加密的个人识别密码；将第一加密的个人识别密码与从任一硬盘的预设存储位置获取的第二加密的个人识别密码进行匹配；当匹配成功时，确定对第一个人识别密码验证成功
。
[0008]具体的，从任一硬盘的预设存储位置获取与目标单位存储空间标识信息对应的第一加密盐，然后利用第一
AK
，通过第二加解密引擎对第一加密盐进行解密，获取第一盐
。
然后，利用第一加解密引擎，对第一
PIN
码和第一盐进行加密处理，获取第一加密的个人识别密码（
Encrypted PIN
，简称
ePIN
）
。
然后将第一
ePIN
码与从任一硬盘的预设存储位置获取的第二
ePIN
码进行匹配，验证第一
ePIN
码是否合法，如果匹配成功，则说明对第一
ePIN
码的验证成功，否则失败
。
[0009]在这个过程中，对第一
PIN
码的验证是“正向验证”，也即是先获取第一加密盐，然后利用第一
AK
对第一加密盐进行解密后，获取第一盐
。
然后利用第一盐和第一
PIN
码进行加密处理，获取第一
ePIN。
再将第一
ePIN
与预设存储位置存储的第二
ePIN
进行匹配
。
这个过程中，正是因为有随机数（第一盐）的存在，所以即使其他人在知道第二
ePIN
的前提下，也无法反推出第一
PIN
，因此，只能正向进行验证第一
PIN
的合法性，无法通过“反推”的方式获取第一
PIN。
验证方式将会更加有效，也增加安全
。
[0010]在一种可选的实施方式中，该方法还包括：在对第一个人识别密码验证成功后，获取第二个人识别密码，第二个人识别密码为第一个人识别密码更改后的个人识别密码；利用第一加解密引擎对第二个人识别密码进行秘钥派生，获取与第二个人识别密码对应的第二身份验证秘钥；随机生成一个第二盐；利用第一加解密引擎，对第二盐和第二个人识别密码进行加密处理，获取第三加
密的个人识别密码；利用第二身份验证秘钥，通过第二加解密引擎对第二盐进行加密，获取第二加密盐，以及，利用第二身份验证秘钥，通过第二加解密引擎对第一数据加密秘钥进行加密，获取第二加密的数据加密秘钥；将第三加密的个人识别密码
、
第二加密盐，以及第二加密的数据加密秘钥存储至每一个硬盘中，并覆盖掉每一个硬盘中之前已存储的加密的个人识别密码
、
第一加密盐，以及第一加密的数据加密秘钥
。
[0011]具体的，在某些情况下，需要对
PIN
码进行更改，而为了保证原
DEK
不发生改变的情况下，实现对
PIN
码的更新，则需要首先验证原始
PIN
码的合法性，如果验证成功的情况下，则可以获取新的
PIN
码，也即是第二
PIN
码
。
然后利用第一加解密引擎对第二
PIN
码进行秘钥派生，获取第二
AK。
并随机生成一个新的盐，也即是第二盐
。
然后利用第一加解密引擎，对第二盐和第二
PIN
码进行加密处理，获取第三
ePIN
码
。
利用第二
AK
，通过第二加解密引擎对第二盐进行加密，获取第二加密盐，以及利用第二
AK
，通过对第二加解密引擎对第一
DEK
进行加密，获取第二
eDEK
，最终将第三
ePIN、
第二
AK
，以及第二
eDEK
下刷到每一个硬盘中，并覆盖到之前已经存储的旧的
eDEK、
旧的
ePIN
，以及旧的加密盐等，如此一来，后续依然可以通过第三
ePIN、
第二
eDEK
，以及第二
AK
反推出第一
DEK
，进而对数据进行解密
。
[0012]在一种可选的实施方式中，该方法还包括：在对第一个人识别密码验证成功后，随机生成第二数据加密秘钥；利用第一身份验证秘钥，通过第二加解密引擎对第二数据加密秘钥进行加密，获取第三加密的数据加密秘钥；将第三加密的数据加密秘钥更新到每一个硬盘中，并覆盖掉每一个硬盘中之前已存储的加密的数据加密秘钥
。
[0013]具体的，为了对数据进行快速擦除，可以在验证第一
PIN
码成功后，随机生成第二
DEK
，然后利用第一
AK
，通过第二加解密引擎对第二
DEK
进行加密，获取第三
eDEK。
并将第三
eDEK
更新到每一个硬盘中，并覆盖掉每一个硬盘中之前已经存储的
eDEK。
通过该方式，在通过第三
eDEK
和其他数据在进行“反推”获取本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种数据处理方法，其特征在于，所述方法由存储控制卡执行，所述方法包括：获取第一个人识别密码和目标单位存储空间标识信息；通过第一加解密引擎对所述第一个人识别密码进行秘钥派生，获取与所述第一个人识别密码对应的第一身份验证秘钥；对所述第一个人识别密码进行验证；在对所述第一个人识别密码验证成功后，从任一硬盘的预设存储位置获取与所述目标单位存储空间标识信息对应的第一加密的数据加密秘钥，其中，所述硬盘为与所述存储控制卡对应的多个硬盘中的任一个硬盘；利用所述第一身份验证秘钥，通过第二加解密引擎对所述第一加密的数据加密秘钥进行解密，获取第一数据加密秘钥；获取数据操作指令；根据所述数据操作指令，利用所述第一数据加密秘钥，对目标数据执行与所述数据操作指令对应的操作
。2.
根据权利要求1所述的方法，其特征在于，所述对所述第一个人识别密码进行验证，包括：从任一所述硬盘的预设存储位置获取与所述目标单位存储空间标识信息对应的第一加密盐；利用所述第一身份验证秘钥，通过第二加解密引擎对所述第一加密盐进行解密，获取第一盐；利用所述第一加解密引擎，对所述第一个人识别密码和所述第一盐进行加密处理，获取第一加密的个人识别密码；将所述第一加密的个人识别密码与从任一所述硬盘的预设存储位置获取的第二加密的个人识别密码进行匹配；当匹配成功时，确定对所述第一个人识别密码验证成功
。3.
根据权利要求1或2所述的方法，其特征在于，所述方法还包括：在对所述第一个人识别密码验证成功后，获取第二个人识别密码，所述第二个人识别密码为所述第一个人识别密码更改后的个人识别密码；利用所述第一加解密引擎对所述第二个人识别密码进行秘钥派生，获取与所述第二个人识别密码对应的第二身份验证秘钥；随机生成一个第二盐；利用所述第一加解密引擎，对所述第二盐和所述第二个人识别密码进行加密处理，获取第三加密的个人识别密码；利用所述第二身份验证秘钥，通过所述第二加解密引擎对所述第二盐进行加密，获取第二加密盐，以及，利用所述第二身份验证秘钥，通过所述第二加解密引擎对所述第一数据加密秘钥进行加密，获取第二加密的数据加密秘钥；将所述第三加密的个人识别密码
、
所述第二加密盐，以及所述第二加密的数据加密秘钥存储至每一个所述硬盘中，并覆盖掉每一个所述硬盘中之前已存储的加密的个人识别密码
、
第一加密盐，以及第一加密的数据加密秘钥
。
4.
根据权利要求1或2所述的方法，其特征在于，所述方法还包括：在对所述第一个人识别密码验证成功后，随机生成第二数据加密秘钥；利用所述第一身份验证秘钥，通过所述第二加解密引擎对所述第二数据加密秘钥进行加密，获取第三加密的数据加密秘钥；将所述第三加密的数据加密秘钥更新到每一个所述硬盘中，并覆盖掉每一个所述硬盘中之前已存储的加密的数据加密秘钥
。5.
根据权利要求1或2所述的方法，其特征在于，所述方法还包括：获取第三个人识别密码；通过所述第一加解密引擎对所述第三个人识别密码进行秘钥派生，获取与所述第三个人识别密码对应的第四身份验证秘钥；随机生成第三盐；通过所述第一加解密引擎对所述第三个人识别密码和所述第三盐进行加密处理，获取第三加密的个人识别密码；随机生成第三数据加密秘钥；利用所述第四身份验证秘钥，通过所述第二加解密引擎对所述第三数据加密秘钥进行加密，获取第四加密的数据加密秘钥；以及，利用所述第四身份验证秘钥，通过所述第二加解密引擎对所述第...

【专利技术属性】
技术研发人员：王江，孙华锦，李树青，李幸远，
申请(专利权)人：苏州元脑智能科技有限公司，
类型：发明
国别省市：