本公開公開了一種安全存儲系統、方法和計算機系統，所述系統包括：接收模塊，用于接收用戶口令；和加解密模塊，用于：基于接收的用戶口令生成保護密鑰；基于真隨機數和主密鑰生成加解密密鑰；利用所生成的加解密密鑰來加密要存儲的數據；以及利用所生成的保護密鑰來加密加解密密鑰。本公開提出的安全存儲系統、方法和計算機系統通過基于接收的用戶口令來對對數據進行加解密的加解密密鑰進行加密和解密，既提供用戶身份認證的安全訪問機制，又對用戶的數據提供高性能的加密保護。

技術領域

本公開涉及數據存儲，更具體地，本公開涉及一種基于國密加密引擎實現的安全存儲系統、方法和計算機系統。

背景技術

隨著云計算和大數據的發展，用戶數據的存儲安全越來越重要。用戶數據包括用戶的重要文件及其一些私密影像信息等，用戶既希望很方便將數據存儲于云平臺，又希望數據的訪問控制權只限于自己，而平臺的運營方無權訪問。云計算平臺的安全存儲系統的目標是實現高效可控的網絡云存儲系統，為用戶的應用及數據提供安全的存儲服務和實用的性能保證。云存儲的安全問題，主要涉及兩個方面：一是身份認證和訪問控制問題，即資源的訪問控制權；二是數據的加密存儲和性能問題。

在現有技術中，云存儲主要關注的是數據的加密存儲和性能問題，而沒有關注身份認證和訪問控制問題。而對數據的加密存儲和性能的研究主要集中在加密算法的研究上，而沒有注意加解密密鑰的保護。另外，目前應用于服務器的數據安全存儲技術雖然有很多，有基于硬件實現的，也有基于軟件實現的，但是基于CPU(片上)的國密加密引擎實現方案還沒有。

在現有技術中，云平臺的安全存儲方法主要分為兩類：一是通過服務器利用軟算法(如OPENSSL)或內置加密卡、或者外部利用加密機來完成對用戶的數據的加密；二是通過客戶端利用軟件或硬件裝置先對數據進行加密，然后再將加密的數據傳輸到服務器進行存儲。采用第一種方法，即采用服務器中的軟算法進行加解密，占用CPU的計算資源，影響存儲性能；采用加密卡或者加密機方式提供安全服務，成本高，非一體并且會帶來安全風險，容易被IO監聽或旁路，并且會受到IO通道的瓶頸限制，影響性能。采用第二種方法，即先在客戶端完成加密，然后再將加密的數據傳輸到服務器進行存儲，性能低，影響用戶體驗。

發明內容

鑒于上述情況，本公開提供了一種基于國密加密引擎實現安全存儲的系統、方法和計算機系統，以及用于安全讀取數據的系統、方法和計算機系統。

根據本公開的一方面，提供了一種安全存儲系統，該安全存儲系統包括：接收模塊，用于接收用戶口令；和加解密模塊，用于：基于接收的用戶口令生成保護密鑰；基于真隨機數和主密鑰生成加解密密鑰；利用所生成的加解密密鑰來加密要存儲的數據；以及，利用所生成的保護密鑰來加密所述加解密密鑰。

根據本公開的另一方面，提供了一種安全存儲方法，該方法包括：接收用戶口令；基于接收的用戶口令生成保護密鑰；基于真隨機數和主密鑰生成加解密密鑰；利用所生成的加解密密鑰來加密要存儲的數據；以及利用所生成的保護密鑰來加密所述加解密密鑰。

根據本公開的另一方面，提供了一種用于安全存儲的計算機系統，該計算機系統包括：處理器；和存儲器，其上存儲有指令，當所述指令由所述處理器運行時使得所述處理器執行如上所述的安全存儲方法。

根據本公開的另一方面，提供了一種用于安全讀取數據的系統，該用于安全讀取數據的系統包括：接收模塊，用于接收用戶口令；加解密模塊，用于：基于接收的用戶口令生成保護密鑰，利用所生成的保護密鑰來解密加解密密鑰，利用所解密的加解密密鑰來解密加密的要讀取的數據；和輸出模塊，用于輸出所解密的數據。

根據本公開的又一方面，提供了一種用于安全讀取數據的方法，該方法包括：接收用戶口令；基于接收的用戶口令生成保護密鑰；利用所生成的保護密鑰來解密加解密密鑰；利用所解密的加解密密鑰來解密加密的要讀取的數據；以及輸出所解密的數據。