技術領域

本發明提供一種數據安全存儲系統及方法，屬于信息安全技術領域。

背景技術

在大規模分布式存儲系統中，數據安全問題至關重要。從存儲系統層面上，采用認證、口令等多種方式保護數據的可靠性和安全性，此項技術已經相對成熟；而從用戶體驗層面上，由于客戶端讀取、上傳、存儲的數據均為明文數據，因而仍然存在數據安全隱患。

塊存儲是指在硬件或軟件上將磁盤映射給主機進行數據存儲的載體。磁盤空間中存儲的數據是以數據塊的方式存儲于對應的地址塊內。若對塊存儲以磁盤為單位進行加密操作，當某個地址塊內的數據需要進行修改時，必須先擦除整個地址塊內的數據，再把修改后的數據重新寫入該地址塊內，而且，欲讀取地址塊內的部分數據時，也需要先將整個地址塊內的數據讀取出來，再讀取出其中的部分數據，需要對地址塊內的部分數據進行操作(如，加、解密處理)時，數據讀寫效率不高。

發明內容

鑒于上述原因，本發明的目的在于提供一種數據安全存儲系統及方法，客戶端讀/寫的數據均以密文形式存儲，且讀寫數據無需對整個塊存儲區進行操作，提高數據處理效率，保證客戶端數據安全可靠性。

為實現上述目的，本發明采用以下技術方案：

一種數據安全存儲方法，包括：

將密文塊存儲區劃分為若干預定大小的小塊存儲區；

對明文數據進行加密，將密文數據保存于密文塊存儲區的特定地址塊內，

從密文塊存儲區的特定地址塊內讀取密文數據，將密文數據解密生成明文數據。

根據讀請求及所述小塊存儲區的大小，確定所述特定地址塊，該讀請求包括指定的首地址、指定的數據長度。

根據寫請求及所述小塊存儲區的大小，確定所述特定地址塊，該寫請求包括指定的首地址、明文數據、明文數據長度。

所述指定的首地址為第N小塊存儲區的起始地址，從該起始地址開始讀取至所述指定的數據長度后對應于第M小塊存儲區的結束地址，則直接從所述指定的首地址讀取指定的數據長度的密文數據。

所述指定的首地址是第N小塊存儲區的起始地址，從該起始地址讀取所述指定的數據長度后未對應于第M小塊存儲區的結束地址，則從所述指定的首地址開始至第M小塊存儲區的結束地址，讀取獲得密文數據，對該密文數據進行解密生成明文數據，在生成的明文數據基礎上，從所述指定的首地址開始至指定的數據長度，獲得明文數據。

所述指定的首地址未對應第N小塊存儲區的起始地址，從所述指定的首地址讀取指定的數據長度后對應于第M小塊存儲區的結束地址，則從第N小塊存儲區的起始地址開始至第M小塊存儲區的結束地址，讀取獲得密文數據，對該密文數據進行解密生成明文數據，在生成的明文數據基礎上，從所述指定的首地址開始至指定的數據長度，獲得明文數據。

所述指定的首地址未對應第N小塊存儲區的起始地址，從所述指定的首地址開始讀取指定的數據長度后未對應于第M小塊存儲區的結束地址，則從第N小塊存儲區的起始地址開始至第M小塊存儲區的結束地址，讀取獲得密文數據，對密文數據進行解密生成明文數據，在生成的明文數據基礎上，從所述指定的首地址開始至指定的數據長度，獲得要讀取的明文數據。

所述指定的首地址為第N小塊存儲區的起始地址，從該起始地址開始至所述明文數據長度后對應于第M小塊存儲區的結束地址，則直接對明文數據進行加密生成密文數據，從所述指定的首地址開始保存該密文數據。

所述指定的首地址是第N小塊存儲區的起始地址，從所述指定的首地址開始至所述明文數據長度后的尾地址未對應于第M小塊存儲區的結束地址，則首先讀取出第M小塊存儲區的密文數據，對該密文數據進行解密，生成原始明文數據，將所述明文數據與尾地址到第M小塊存儲區的結束地址之間的原始明文數據依序拼接，然后加密生成密文數據，從所述指定的首地址到第M小塊存儲區的結束地址，保存該密文數據。

所述指定的首地址未對應第N小塊存儲區的起始地址，從所述指定的首地址開始至所述明文數據長度后的尾地址對應于第M小塊存儲區的結束地址，則首先讀取出第N小塊存儲區的密文數據，對該密文數據進行解密，生成原始明文數據，將第N小塊存儲區的起始地址到首地址之間的原始明文數據與所述明文數據依序拼接，加密生成密文數據，從第N小塊存儲區的起始地址到第M小塊存儲區的結束地址，保存該密文數據。