本發明涉及網絡存儲技術領域，更具體地說，涉及一種數據存儲加密的方法及裝置。

背景技術：

在內網中存儲的數據，通常以明文形式存儲在磁盤陣列中，或是基于數據信息的恢復和適用性存儲在NAS及SAN等硬件設備中。

為了保證存儲的數據的安全性，現有技術中通常是通過管理員對數據的管理實現的，即管理員通過其賬號及密碼登錄上述存儲設備之后，可以對存儲設備中的全部信息進行獲取；而當某個用戶請求對某部分數據進行訪問時，需要經過管理員來實現。但是，如果非法用戶獲取到管理員的賬號及密碼，則可以通過登錄存儲設備獲取全部數據，可見這種技術方案大大降低了數據安全性。

綜上所述，現有技術中對于數據進行存儲的技術方案存在數據安全性較低的問題。

技術實現要素：

本發明的目的是提供一種數據存儲加密的方法及裝置，以解決現有技術中對于數據進行存儲的技術方案存在的數據安全性較低的問題。

為了實現上述目的，本發明提供如下技術方案：

一種數據存儲加密的方法，包括：

接收用戶端發送的身份認證請求，對所述身份認證請求進行認證，并在認證通過后接收所述用戶端發送的數據訪問請求；

如果所述數據訪問請求為數據上傳請求，則對所述數據上傳請求攜帶的待上傳數據進行加密后發送至網絡存儲設備；

如果所述數據訪問請求為數據獲取請求，則判斷所述用戶端對所述數據獲取請求對應的待獲取數據是否具有訪問權限，如果是，則由所述網絡存儲設備中獲取所述待獲取數據并對其進行解密后發送至所述用戶端。

優選的，對所述數據上傳請求攜帶的待上傳數據進行加密之前，還包括：

對所述待上傳數據進行哈希計算，得到對應的數據標識；

對應的，獲取所述待獲取數據并對其進行解密之后，還包括：

對解密后的所述待獲取數據進行哈希計算，得到對應的數據標識，并確定該數據標識與發送所述待獲取數據時對其進行計算得到的數據標識是否一致，如果是，則將解密后的所述待獲取數據發送至所述用戶端。

優選的，發送所述待上傳數據及所述待獲取數據，包括：

基于CIFS協議發送所述待上傳數據及所述待獲取數據。

優選的，對所述身份認證請求進行認證并認證通過之后，還包括：

基于所述身份認證請求確定所述用戶端是否為管理用戶端，如果是，則接收所述管理用戶端發送的系統設置請求，并基于所述系統設置請求進行對應的系統設置，如果否，則接收所述用戶端發送的數據訪問請求。

優選的，還包括：

如果對所述身份認證請求的認證未通過，則發送對應的認證失敗信息至所述管理用戶端。

一種數據存儲加密的裝置，包括：

認證模塊，用于接收用戶端發送的身份認證請求，對所述身份認證請求進行認證，并在認證通過后接收所述用戶端發送的數據訪問請求；

加密模塊，用于如果所述數據訪問請求為數據上傳請求，則對所述數據上傳請求攜帶的待上傳數據進行加密后發送至網絡存儲設備；

解密模塊，用于如果所述數據訪問請求為數據獲取請求，則判斷所述用戶端對所述數據獲取請求對應的待獲取數據是否具有訪問權限，如果是，則由所述網絡存儲設備中獲取所述待獲取數據并對其進行解密后發送至所述用戶端。

優選的，所述加密模塊還包括：

第一計算單元，用于對所述待上傳數據進行哈希計算，得到對應的數據標識；

對應的，所述解密模塊還包括：

第二計算單元，用于對解密后的所述待獲取數據進行哈希計算，得到對應的數據標識，并確定該數據標識與發送所述待獲取數據時對其進行計算得到的數據標識是否一致，如果是，則指示所述解密模塊將解密后的所述待獲取數據發送至所述用戶端。

優選的，所述加密模塊及所述解密模塊均包括：

發送單元，用于基于CIFS協議發送所述待上傳數據或所述待獲取數據。

優選的，所述認證模塊還包括：

認證單元，用于基于所述身份認證請求確定所述用戶端是否為管理用戶端，如果是，則接收所述管理用戶端發送的系統設置請求，并基于所述系統設置請求進行對應的系統設置，如果否，則接收所述用戶端發送的數據訪問請求。

優選的，還包括：

告警模塊，用于如果對所述身份認證請求的認證未通過，則發送對應的認證失敗信息至所述管理用戶端。

本發明提供了一種數據存儲加密的方法及裝置，其中該方法包括：接收用戶端發送的身份認證請求，對所述身份認證請求進行認證，并在認證通過后接收所述用戶端發送的數據訪問請求；如果所述數據訪問請求為數據上傳請求，則對所述數據上傳請求攜帶的待上傳數據進行加密后發送至網絡存儲設備；如果所述數據訪問請求為數據獲取請求，則判斷所述用戶端對所述數據獲取請求對應的待獲取數據是否具有訪問權限，如果是，則由所述網絡存儲設備中獲取所述待獲取數據并對其進行解密后發送至所述用戶端。通過本申請公開的上述技術方案，在對用戶端發送的身份認證請求通過認證之后，才接收其數據訪問請求并實現對應的操作，由此，保證了網絡存儲設備中數據進行訪問的終端的合法性，一定程度上保證了數據安全性；并且對待上傳數據加密后上傳至網絡存儲設備，只有在用戶端對待獲取數據具有訪問權限時才對待獲取數據解密后發送至用戶端；由此，其他終端即使能夠訪問網絡存儲設備中的數據，由于其為加密數據，也無法獲取到真正的數據，從而進一步保證了數據安全性；另外，即使非法用戶獲取到任一用戶端的身份認證請求并通過該身份認證請求通過認證，也只能獲取該用戶端對應的數據，而無法獲取到網絡存儲設備中的全部數據，從而更進一步的保證了數據安全性；可見，本申請公開的上述技術方案大大提高了網絡存儲設備中存儲的數據的安全性。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據提供的附圖獲得其他的附圖。

圖1為本發明實施例提供的一種數據存儲加密的方法的流程圖；

圖2為本發明實施例提供的一種數據存儲加密的裝置的結構示意圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

請參閱圖1，其示出了本發明實施例提供的一種數據存儲加密的方法的流程圖，可以包括：

S11：接收用戶端發送的身份認證請求，對身份認證請求進行認證，并在認證通過后接收用戶端發送的數據訪問請求。

其中，身份認證請求可以包括用戶端對應的用戶賬號，由此，查詢預先存儲的被授權的用戶賬號中是否存在該身份認證請求中攜帶的用戶賬號，如果是，則確定該用戶端的認證通過，否則，則確定該用戶端的認證未通過，并拒絕其訪問網絡存儲設備中的數據。當然，也可以根據實際需要進行其他認證設置，如身份認證請求包括登錄密碼，如果該登錄密碼正確則確定該用戶端的認證通過等，均在本發明的保護范圍之內。

S12：如果數據訪問請求為數據上傳請求，則對數據上傳請求攜帶的待上傳數據進行加密后發送至網絡存儲設備。

如果數據訪問請求為數據上傳請求，則對數據上傳請求攜帶的待上傳數據進行加密并發送至網絡存儲設備中存儲。其中，對待上傳數據的加密可以根據實際需要選取不同的加密方式，如可以利用密鑰對該待上傳數據進行加密，也可以利用公鑰對待上傳數據進行加密等，均在本發明的保護范圍之內。而網絡存儲設備可以是NAS、SAN等，當然也可以根據實際需要進行其他設定，均在本發明的保護范圍之內。

S13：如果數據訪問請求為數據獲取請求，則判斷用戶端對數據獲取請求對應的待獲取數據是否具有訪問權限，如果是，則由網絡存儲設備中獲取待獲取數據并對其進行解密后發送至用戶端。

如果數據訪問請求為數據獲取請求，則判斷用戶端對數據獲取請求對應的待獲取數據是否具有訪問權限，通常情況下，如果待獲取數據為該用戶端上傳的，則其對該待獲取數據具有訪問權限，或者得到了上傳待獲取數據的用戶端的授權，也對該待獲取數據具有訪問權限，當然，還可以根據實際需要進行其他設置，均在本發明的保護范圍之內。

當用戶端對待獲取數據具有訪問權限時，才進行獲取待獲取數據及解密發送的步驟，其中，待獲取數據在上傳時稱為待上傳數據，待獲取數據及待上傳數據中的“待獲取”及“待上傳”僅僅代表需要對數據進行的操作，也就是待上傳數據被上傳至網絡存儲設備中之后當需要被獲取時則為待獲取數據。而對待獲取數據的解密與對待上傳數據的加密對應，具體來說，如果利用密鑰對待上傳數據進行加密，則對對應待獲取數據解密時直接利用該密鑰對其進行解密即可，如果利用公鑰對待上傳數據進行加密，則對對應待獲取數據解密時利用與公鑰對應的私鑰對其進行解密，當然還可以根據實際需要進行其他設置，均在本發明的保護范圍之內。而上述加解密對用戶端是透明的，方便使用。

通過本申請公開的上述技術方案，在對用戶端發送的身份認證請求通過認證之后，才接收其數據訪問請求并實現對應的操作，由此，保證了網絡存儲設備中數據進行訪問的終端的合法性，一定程度上保證了數據安全性；并且對待上傳數據加密后上傳至網絡存儲設備，只有在用戶端對待獲取數據具有訪問權限時才對待獲取數據解密后發送至用戶端；由此，其他終端即使能夠訪問網絡存儲設備中的數據，由于其為加密數據，也無法獲取到真正的數據，從而進一步保證了數據安全性；另外，即使非法用戶獲取到任一用戶端的身份認證請求并通過該身份認證請求通過認證，也只能獲取該用戶端對應的數據，而無法獲取到網絡存儲設備中的全部數據，從而更進一步的保證了數據安全性；可見，本申請公開的上述技術方案大大提高了網絡存儲設備中存儲的數據的安全性。

本發明實施例提供的一種數據存儲加密的方法，對數據上傳請求攜帶的待上傳數據進行加密之前，還可以包括：

對待上傳數據進行哈希計算，得到對應的數據標識；

對應的，獲取待獲取數據并對其進行解密之后，還包括：

對解密后的待獲取數據進行哈希計算，得到對應的數據標識，并確定該數據標識與發送待獲取數據時對其進行計算得到的數據標識是否一致，如果是，則將解密后的待獲取數據發送至用戶端。

其中，對數據實現的哈希計算可以通過對應的方程式對數據進行計算，生成對應的數據摘要的代碼，不同的數據得到的數據摘要的代碼時不相同的。

通過對待上傳數據進行哈希計算得到數據標識，并將與該待上傳數據對應的待獲取數據進行加密計算得到數據標識，如果上述兩個數據標識一致，則說明數據上傳后未發生變化，則將其發送至用戶端，否則，則說明數據上傳后發生了變化，則將對應的數據發生變化的信息發送至管理用戶端，已由管理用戶做出對應的操作。

本發明實施例提供的一種數據存儲加密的方法，發送待上傳數據及待獲取數據，可以包括：

基于CIFS協議發送待上傳數據及待獲取數據。

其中，基于CIFS協議實現的可以不僅僅包括上述待上傳數據及待獲取數據的發送，還可以包括任意請求的發送，而基于CIFS協議實現的發送的發送者可以包括本發明實施例提供的一種數據存儲加密的方法的執行主體，也可以包括用戶端及網絡存儲設備，即本發明實施例中對于數據的通信均可以基于CIFS實現。從而便于實現，且使得網絡共享更加靈活。

本發明實施例提供的一種數據存儲加密的方法，對身份認證請求進行認證并認證通過之后，還可以包括：

基于身份認證請求確定用戶端是否為管理用戶端，如果是，則接收管理用戶端發送的系統設置請求，并基于系統設置請求進行對應的系統設置，如果否，則接收用戶端發送的數據訪問請求。

通過對用戶端是否為管理用戶端的判斷，可以區別開管理用戶及普通用戶的權限，其中，管理用戶可以通過管理用戶端發送系統設置請求，以實現對應的系統設置，此處的系統設置可以包括上述加解密的具體實現方式等，而普通用戶端無法實現系統設置，從而保證了不同用戶端的權限的區分，進一步保證了數據的安全性。

本發明實施例提供的一種數據存儲加密的方法，還可以包括：

如果對身份認證請求的認證未通過，則發送對應的認證失敗信息至管理用戶端。

通過將認證失敗信息發送至管理用戶端，可以告知管理用戶出現的認證失敗的情況及認證失敗的用戶端，以由管理用戶端實現對應的操作，如當管理用戶端確定出認證失敗的用戶端為非法用戶端時，禁止與其進行通信等，從而進一步保證了數據的安全性。

本發明實施例還提供了一種數據存儲加密的裝置，如圖2所示，可以包括：

認證模塊11，用于接收用戶端發送的身份認證請求，對身份認證請求進行認證，并在認證通過后接收用戶端發送的數據訪問請求；

加密模塊12，用于如果數據訪問請求為數據上傳請求，則對數據上傳請求攜帶的待上傳數據進行加密后發送至網絡存儲設備；

解密模塊13，用于如果數據訪問請求為數據獲取請求，則判斷用戶端對數據獲取請求對應的待獲取數據是否具有訪問權限，如果是，則由網絡存儲設備中獲取待獲取數據并對其進行解密后發送至用戶端。

本發明實施例提供的一種數據存儲加密的裝置部署在網絡存儲設備和用戶端之間，能夠完成對網絡存儲設備中數據的加密存儲及安全共享，同時對于用戶端完全透明，方便使用。

本發明實施例提供的一種數據存儲加密的裝置，加密模塊還可以包括：

第一計算單元，用于對待上傳數據進行哈希計算，得到對應的數據標識；

對應的，解密模塊還包括：

第二計算單元，用于對解密后的待獲取數據進行哈希計算，得到對應的數據標識，并確定該數據標識與發送待獲取數據時對其進行計算得到的數據標識是否一致，如果是，則指示解密模塊將解密后的待獲取數據發送至用戶端。

本發明實施例提供的一種數據存儲加密的裝置，加密模塊及解密模塊均可以包括：

發送單元，用于基于CIFS協議發送待上傳數據或待獲取數據。

本發明實施例提供的一種數據存儲加密的裝置，認證模塊還可以包括：

認證單元，用于基于身份認證請求確定用戶端是否為管理用戶端，如果是，則接收管理用戶端發送的系統設置請求，并基于系統設置請求進行對應的系統設置，如果否，則接收用戶端發送的數據訪問請求。

本發明實施例提供的一種數據存儲加密的裝置，還可以包括：

告警模塊，用于如果對身份認證請求的認證未通過，則發送對應的認證失敗信息至管理用戶端。

本發明實施例提供的一種數據存儲加密的裝置中相關部分的說明請參見本發明實施例提供的一種數據存儲加密的方法中對應部分的詳細說明，在此不再贅述。

對所公開的實施例的上述說明，使本領域技術人員能夠實現或使用本發明。對這些實施例的多種修改對本領域技術人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發明的精神或范圍的情況下，在其它實施例中實現。因此，本發明將不會被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。