申请/专利权人：云宏信息科技股份有限公司;航天云宏技术有限公司

申请日：2016-12-31

公开（公告）日：2020-11-17

公开（公告）号：CN106713334B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101);H04L29/08(20060101)

优先权：

专利状态码：有效-授权

法律状态：2020.11.17#授权;2017.06.16#实质审查的生效;2017.05.24#公开

摘要：本发明公开了一种虚拟存储卷的加密方法、解密方法、访问方法以及对应的装置，其应用于虚拟存储卷上，该加密方法包括以下步骤：获取用户加密请求，该用户加密请求包括用户的信息和存储卷的信息；根据所述存储卷的信息读取该存储卷对应的元数据区域所存储的元数据；通过加密算法将元数据转换为元数据密文；根据用户的信息以及存储卷的信息生成第一认证信息；将元数据密文、第一认证信息以及密级标识存储于对应的元数据区域，从而完成对存储卷的加密操作。通过本发明可以保证数据的安全性；相对于现有技术中的整体加密的存储卷可大大提高访问加密存储卷的时效性。

主权项：1.一种虚拟存储卷的加密方法，其特征在于，虚拟存储卷的数据存储格式包括元数据区域和用户数据区，所述元数据区域包括元数据信息区和预留区，所述元数据信息区用于存储元数据，所述元数据是指与存储卷的信息相关的数据；所述用户数据区用于存储用户数据；该加密方法包括以下步骤：S11：获取用户加密请求，该用户加密请求包括用户的信息和存储卷的信息；S12：根据所述存储卷的信息读取该存储卷对应的元数据区域所存储的元数据；S13：通过加密算法将所述存储卷对应的元数据区域所存储的元数据转换为元数据密文；S14：根据用户的信息以及存储卷的信息生成第一认证信息；S15：将元数据密文、第一认证信息以及密级标识存储于对应的元数据区域，从而完成对存储卷的加密操作；其中所述密级标识用于识别存储卷的数据，是由系统预设的。

全文数据：虚拟存储卷的加密方法、解密方法、访问方法以及装置技术领域[0001]本发明涉及数据的处理，尤其涉及虚拟存储的数据处理。背景技术[0002]在云计算技术领域中，存储资源通过虚拟化技术，在虚拟存储的方式通过给虚拟机使用，存储资源可以是普通的本地硬盘、光纤存储、NFS网络存储、ISCSI网络存储或其它的分布式存储等，然后通过存储卷挂载的方式给到虚拟机使用，这些存储卷以通用的虚拟磁盘格式进行存储，在存储卷中除存储用户数据外，还保留记录虚拟磁盘的大小、类型、组织形式等元数据信息。除通过挂载给虚拟机的方式访问存储卷外，还可以通过网络或本地拷贝的方式，将虚拟存储卷拷贝到其它地方，用虚拟磁盘工具解析出虚拟存储卷中的内容。[0003]但是，在云计算、虚拟化等领域内，一般来说虚拟机的磁盘以镜像文件、逻辑盘或网络块等虚拟存储的形式进行存储，而这些存储卷为往往以通用的虚拟磁盘格式进行明文存储，存在数据被盗取、非法篡改等安全隐患。一个登陆用户可以挂载云系统内的所有虚拟机的虚拟磁盘进行查看或修改，存在极大的错误使用及信息泄露的安全风险。另外，在加密处理时，一般采用对整个文件或整个数据块的方式进行加密，该加密方式需要在每次读写用户数据的时候都进行加解密处理，导致资源消耗巨大，严重影响系统的整体性能。采用上加密方式，在用户认证管理方面，一般是将用户的认证信息保存到特定的数据库中，一般出现密钥或数据库丟失，将直接导致用户无法访问数据等问题。发明内容[0004]为了克服现有技术的不足，本发明的目的之一在于提供一种虚拟存储卷的加密方法，其能够解决现有技术中对虚拟存储卷的加密处理存在资源消耗巨大，影响系统的整体性能的问题。[0005]本发明的目的之一采用以下技术方案实现：[0006]本发明提供了一种虚拟存储卷的加密方法，虚拟存储卷的数据存储格式包括元数据区域和用户数据区，所述元数据区域包括元数据信息区和预留区，所述元数据信息区用于存储元数据，所述元数据是指与存储卷的信息相关的数据;所述用户数据区用于存储用户数据;该加密方法包括以下步骤：[0007]S11:获取用户加密请求，该用户加密请求包括用户的信息和存储卷的信息；[0008]S12:根据所述存储卷的信息读取该存储卷对应的元数据区域所存储的元数据；[0009]S13:通过加密算法将所述存储卷对应的元数据区域所存储的元数据转换为元数据密文；[0010]S14:根据用户的信息以及存储卷的信息生成第一认证信息；[0011]S15:将元数据密文、第一认证信息以及密级标识存储于对应的元数据区域，从而完成对存储卷的加密操作;其中所述密级标识用于识别存储卷的数据，是由系统预设的。[0012]优选地，所述加密算法为译码本、DES加密算法、3DES加密算法、RC2加密算法、RC4加密算法、国际数据加密算法IDEA、高级加密算法AES中的任意一种。[0013]为了克服现有技术的不足，本发明的目的之二在于提供一种虚拟存储卷的加密装置，其能够解决现有技术中对虚拟存储卷的加密处理存在资源消耗巨大，影响系统的整体性能的问题。[0014]本发明的目的之二采用以下技术方案实现：[0015]本发明提供了一种虚拟存储卷的加密装置，包括：[0016]请求获取模块，用于获取用户加密请求，该用户加密请求包括用户的信息和存储卷的信息；[0017]元数据获取模块，用于根据所述存储卷的信息读取该存储卷对应的元数据区域所存的元数据；[0018]加密模块，用于通过加密算法将所述存储卷对应的元数据区域所存储的元数据转换为元数据密文；[0019]认证信息生成模块，用于根据用户的信息以及存储卷的信息生成第一认证信息；[0020]存储模块，用于将元数据密文、第一认证信息以及密级标识存储于对应的元数据区域，从而完成对存储卷的加密操作;其中所述密级标识用于识别存储卷的数据，是由系统预设的。[0021]为了克服现有技术的不足，本发明的目的之三在于提供一种虚拟存储卷的解密方法，其能够解决现有技术中对虚拟存储卷的解密处理存在资源消耗巨大，影响系统的整体性能的问题。[0022]本发明的目的之三采用以下技术方案实现：[0023]本发明还提供了一种虚拟存储卷的解密方法，其应用于如前述虚拟存储卷的加密方法进行加密处理后的虚拟存储卷，该解密方法包括以下步骤：[0024]S21:获取用户解密请求，所述用户解密请求包括用户的信息和存储卷的信息；[0025]S23:根据用户的信息与存储卷的信息生成第二认证信息；[0026]S24:读取存储卷中的第一认证信息，并判断所述第一认证信息与第二认证信息是否一致，当一致时，执行S25;[0027]S25:获取存储卷的元数据密文，通过加密算法将元数据密文转换为元数据，然后将元数据写入到存储卷对应的元数据区域，同时清除存储卷中所存储的密级标识和第一认证信息。[0028]优选地，所述步骤S21与S23之间还包括S22:根据存储卷的信息查找对应的存储卷，并读取该存储卷中存储的密级标识;然后判断该密级标识是否与系统预设的密级标识一致，若一致，则执行S23;若不一致，则返回或退出。[0029]为了克服现有技术的不足，本发明的目的之四在于提供一种虚拟存储卷的解密装置，其能够解决现有技术中对虚拟存储卷的解密处理存在资源消耗巨大，影响系统的整体性能的问题。[0030]本发明的目的之四采用以下技术方案实现：[0031]本发明还提供了一种虚拟存储卷的解密装置，包括：[0032]请求获取模块，用于获取用户解密请求，所述用户解密请求包括用户的信息和存储卷的信息；[0033]认证信息生成模块，用于根据用户的信息与存储卷的信息生成第二认证信息；[0034]认证模块，用于读取存储卷中的第一认证信息，并判断所述第一认证信息与第二认证信息是否一致，当一致时，执行解密模块；[0035]解密模块，用于获取存储卷的元数据密文，通过加密算法将元数据密文转换为元数据，然后将元数据写入到存储卷对应的元数据区域，同时清除存储卷中所存储的密级标识和第一认证信息。[0036]为了克服现有技术的不足，本发明的目的之五在于提供一种虚拟存储卷的访问方法，其能够解决现有技术中对虚拟存储卷的访问处理速度慢、效率低下等问题。[0037]本发明的目的之五采用以下技术方案实现：[0038]本发明还提供了一种虚拟存储卷的访问方法，该访问方法应用于如前所述虚拟存储卷的加密方法进行加密处理的存储卷上，包括以下步骤：[0039]S31:获取用户访问请求，所述用户访问请求包括用户的信息和存储卷的信息；[0040]S32:根据所述存储卷的信息读取对应的存储卷的元数据区域中的数据得到该存储卷的密级标识，并根据该密级标识判断该存储卷是否为加密卷，若否，则直接对存储卷进行读写操作;若是，则执行S33;[0041]S33:根据用户访问请求对存储卷执行对应的操作。[0042]优选地，包括:所述S33具体为:当用户访问请求为读操作时：[0043]首先根据用户的信息和存储卷的信息生成第二认证信息，并判断所述第二认证信息与存储卷中的第一认证信息是否一致;若一致，则读取存储卷的元数据密文，并根据加密算法将所述元数据密文转换为元数据返回给用户；[0044]当用户访问请求为写操作时:首先根据用户的信息和存储卷的信息生成第一认证信息，然后将待写入的元数据通过加密算法转换为元数据密文，然后将密级标识、元数据密文、第一认证信息一并存储于存储卷对应的元数据区域。[0045]为了克服现有技术的不足，本发明的目的之六在于提供一种虚拟存储卷的访问装置，其能够解决现有技术中对虚拟存储卷的访问处理速度慢、效率低下等问题。[0046]本发明的目的之六采用以下技术方案实现：[0047]本发明还提供了一种虚拟存储卷的访问装置，包括：[0048]请求获取模块，用于获取用户访问请求，所述用户访问请求包括用户的信息和存储卷的信息；[0049]判断模块，用于根据所述存储卷的信息读取对应的存储卷的元数据区域中的数据得到该存储卷的密级标识，并根据该密级标识判断该存储卷是否为加密卷，若否，则直接对存储卷进行读写操作;若是，则执行处理模块；[0050]处理模块，用于根据用户访问请求对存储卷执行对应的操作。[0051]优选地，所述处理模块具体为:当用户访问请求为读操作时：[0052]根据用户的信息和存储卷的信息生成第二认证信息，并判断所述第二认证信息与存储卷中的第一认证信息是否一致;若一致，则读取存储卷的元数据密文，并根据加密算法将所述元数据密文转换为元数据返回给用户；[0053]当用户访问请求为写操作时:首先根据用户的信息和存储卷的信息生成第一认证信息，然后将待写入的元数据通过加密算法转换为元数据密文，然后将密级标识、元数据密又、弟一认证佞息一并存储于存储卷对应的元数据区域。[0054]相比现有技术，本发明的有益效果在于:本发明在加密解密处理过程中，由于只处理元数据部分，因此，加密处理的速度很快，几乎瞬间完成;并且，通过本发明的加密处理，虚拟存储卷在系统外无法挂载，也无法通过常规虚拟磁盘工具解析加密卷的内容，保证了数据的安全性;而且在系统内部，在使用加密卷前，需要执行认证判断，如果认证无法通过，则无法访问加密卷，在系统内部保持其使用者的数据安全。同时，在访问处理时，也大大提高了系统的处理效率。附图说明[0055]图1为本发明提供的一存储卷的数据存储格式示意图；[0056]图2为本发明提供的虚拟存储卷的加密方法的流程图；[0057]图3为本发明提供的虚拟存储卷的加密装置的模块图；[0058]图4为本发明提供的虚拟存储卷的解密方法的流程图；[0059]图5为本发明提供的虚拟存储卷的解密装置的模块图；[0060]图6为本发明提供的虚拟存储卷的访问方法的流程图；[0061]图7为本发明提供的虚拟存储卷的访问方法的模块图。具体实施方式[0062]下面，结合附图以及具体实施方式，对本发明做进一步描述：[0063]如图1至7所示，本发明是针对虚拟存储卷中的数据处理，一般来说，对于存储卷来说，其包括元数据信息区、预留区和用户数据区，元数据信息区包括存储卷格式标识、对应格式版本、创建时间戳、存储卷大小、当前已使用空间、唯一标识、校验信息等非用户数据。预留区是存储卷中预留的空间、正常情况下不会使用。而用户数据区是存储用户数据的地方。将元数据信息区和预留区一起称为元数据区域，g卩非用户区。当用户在访问存储卷中的数据时，就是访问的用户数据区所存储的数据。[0064]而本发明所提供的虚拟存储卷的加密方法就是利用了预留区的空间来存储用户的认证信息，这样在加密时，既不影响数据的存储，也会使得用户的认证信息丢失或泄露等情况的发生。另外，在加密处理时只处理元数据区域包括元数据信息区和预留区），因此，在加密的处理速度就非常快、大大提高加密的效率。[0065]如图1所示，本发明提供了一种虚拟存储的加密方法，该方法包括以下步骤：[0066]S11:获取用户加密请求，该用户加密请求包括用户的信息和存储卷的信息。[0067]其中，所述用户的信息包括用户id，存储卷的信息包括存储卷id。这里的用户id可用来识别用户的身份，而存储卷id是用来识别存储卷的，也即是系统可通过用户加密请求，获取用户需要对哪个存储卷进行加密处理。[0068]s12:根据所述存储卷的信息读取该存储卷对应的元数据区域所存储的元数据。[0069]其中，当系统接收到用户对某个存储卷进行加密处理的指令后，首先根据存储卷id读取该存储卷对应的元数据区域所存储的元数据，由于元数据区域包括元数据信息区和预留区，预留区内不存储任何的数据，因此，元数据也即是元数据信息区所存储的数据，包括存储卷格式标识、对应格式版本、创建时间戳、存储卷大小、当前已使用空间、唯一标识、校验信息等数据。[0070]S13:通过加密算法将所述存储卷对应的元数据区域所存储的元数据转换为元数据密文。[0071]所述加密算法可采用现有的比较成熟的加密算法，比如译码本、DES加密算法、3DES加密算法、RC2加密算法、RC4加密算法、国际数据加密算法IDEA、高级加密算法AES等等。由于加密算法是比较成熟的技术手段，本文不在详细介绍。通过加密算法将元数据转换为元数据密文。本发明中的加密处理是以元数据为单位，可大大提高加密处理时的效率，不像现有的那样需要对整个存储卷中的所有数据一并处理从而严重影响到系统的性能。[0072]S14:根据用户的信息以及对应的存储卷的信息生成第一认证信息。[0073]将元数据转换为元数据密文后，再生成对应的第一认证信息。也即是，根据用户的信息以及存储卷的信息生成第一认证信息，从而可分别区分不同的存储卷，也即是将用户与存储卷之间形成一一对应的关系。[0074]S15:将元数据密文、第一认证信息以及密级标识存储于对应的元数据区域，从而使得存储卷变为加密卷，完成对存储卷的加密。其中，所述密级标识为系统预设的，用于识别的数据，比如编号、文本、字符串或其他数据。[0075]对元数据加密后，将元数据密文、第一认证信息以及系统分配的密级标识一并存储于对应的元数据区域，也即是元数据信息区和预留区。在加密前，预留区是不存储数据的，本发明就是利用这一点，将加密处理后的第一认证信息、密级标识等信息存储在预留区里，这样既不会造成用户数据区的数据的改变;而且将认证信息也存储在存储卷中，认证信息也不会丢失或泄露。通过本发明提供的加密方法处理后的加密卷，对于每个元数据都具有对应的元数据密文、第一认证信息以及密级标识。[0076]本发明还提供了具体的一实例来说明上述加密方法，例如：[0077]在加密处理的时候，系统会为每个存储卷预先准备一个特定的数据串A，用于设置密级标识，如:例字符串："XXXXXXX"。[0078]首先系统获取用户加密请求，来请求系统执行加密处理，该加密请求中包括用户id、请求加密处理的存储卷id等信息。[0079]然后根据存储卷id查找到对应的存储卷，然后读取该存储卷中对应的元数据区域所存储的元数据B，比如图中的元数据B1、元数据B2。[0080]然后利用加密算法将元数据B转换为元数据密文C。加密算法可采用des对称加密算法。比如图中对应的元数据密文C1和元数据密文C2。[0081]再将用户id与存储卷id组成一组数据D，然后利用单项散列算法生成第一认证消息E。[0082]最后将密级标识A、元数据密文C、第一认证信息E—并写入存储卷，覆盖原来的元数据区域形成加密卷，完成加密操作。其中在将密集标识A、元数据密文C和第一认证信息E存储元数据区域时，需要保证三者都写入成功，若出现其中一个写入失败，就要重新写入，从而保证数据的一致性。三者的写入顺序可以采用密级标识、元数据密文、认证信息的顺序写入到元数据区域。[0083]通过该加密方法进行处理后的虚拟存储卷，由于不知道加密算法，虚拟存储卷在系统外无法挂载，也无法通过常规虚拟磁盘工具解析加密卷的内容。另外，加密卷在通过认证后，使用与普通存储卷一致，但底层存储卷内容始终保持密文状态，即使在使用过程中，存储卷从底层被非法拷贝盗窃，由于不知道系统的加密算法或认证机制，仍然无法获取到明文信息。在系统内部，在使用加密卷前，需要执行认证判断，如果认证无法通过，则无法访问加密卷，在系统内部保持其使用者的数据安全。[0084]本发明还提供了一种与虚拟存储卷的加密方法相对应的加密装置，其包括：t〇〇85]请求获取模块，用于获取用户加密请求，该用户加密请求包括用户的信息和存储卷的信息；[0086]元数据获取模块，用于根据所述存储卷的信息读取该存储卷对应的元数据区域所存的元数据；[0087]加密模块，用于通过加密算法将所述存储卷对应的元数据区域所存储的元数据转换为元数据密文；[0088]认证信息生成模块，用于根据用户的信息以及存储卷的信息生成第一认证信息；[0089]存储模块，用于将元数据密文、第一认证信息以及密级标识存储于对应的元数据区域，从而完成对存储卷的加密操作;其中所述密级标识用于识别存储卷的数据，是由系统预设的。[0090]本发明还提供了一种虚拟存储卷的解密方法，该解密方法与加密方法是反向的处理过程。该解密方法包括以下步骤：[0091]S21:获取用户解密请求，所述用户解密请求包括用户的信息和存储卷的信息；[0092]S22:根据存储卷的信息查找对应的存储卷，并读取该存储卷的密级标识，当密级标识为系统预设的密级标识时，执行S23:[0093]S23:通过根据用户的信息与存储卷的信息生成第二认证信息；[0094]S24:读取存储卷中的第一认证信息，并判断所述第一认证信息与第二认证信息是否一致，当一致时，执行S25;[0095]S25:获取存储卷的元数据密文，通过加密算法将元数据密文转换为元数据，最后将元数据写入到存储卷对应的元数据区域，同时清除存储卷中所存储的密级标识与第一认证信息。[0096]本发明还提供了一实例，来说明解密方法，其包括以下步骤：[0097]首先获取用户解密存储卷，该用户解密请求包括用户id、存储卷id等。[0098]然后根据存储卷id查找对应的存储卷，并读取存储卷得到第一密级标识A1。[0099]将该第一密级标识A1与系统预设的密级标识A作对比，若相同，则说明该存储卷为加密卷，可以执行解密操作;若不同，则说明该存储卷不是加密卷，或者该用户没有访问权限等，退出或结束操作。[0100]然后根据用户id及存储卷id组成一组数据F，然后利用单项散列算法生成第二认证消息G;[0101]再从存储卷中读取第一认证消息E，判断第二认证消息G与第一认证信息E是否相同，如果不同，则请求处理失败，退出或结束操作；[0102]当第一认证信息E和第二认证信息G相同，则说明该加密卷可执行解密操作，读取存储卷中的元数据密文H，通过des对称加密算法对元数据密文H进行解密，得到元数据I。[0103]然后将元数据I写入存储卷对应的元数据区域，同时清除存储卷中的密级标识A1及第一认证信息E。这样就完成了加密卷的解密操作。[0104]本发明还提供了一种与虚拟存储卷的解密方法相对应的解密装置，其包括：[0105]请求获取模块，用于获取用户解密请求，所述用户解密请求包括用户的信息和存储卷的信息；[0106]认证信息生成模块，用于根据用户的信息与存储卷的信息生成第二认证信息；[0107]认证模块，用于读取存储卷中的第一认证信息，并判断所述第一认证信息与第二认证信息是否一致，当一致时，执行解密模块；[0108]解密模块，用于获取存储卷的元数据密文，通过加密算法将元数据密文转换为元数据，然后将元数据写入到存储卷对应的元数据区域，同时清除存储卷中所存储的密级标识和第一认证信息。[0109]本发明还提供了一种虚拟存储卷的访问方法，该访问方法应用于如前所述的虚拟存储卷的加密方法进行加密处理后的虚拟存储卷，其包括以下步骤：[0110]S31:获取用户访问请求，所述用户访问请求包括用户的信息和存储卷的信息；[0111]S32:根据所述存储卷的信息读取对应的存储卷的元数据区域中的数据得到该存储卷的密级标识，判断该存储卷是否为加密卷，若不是，则直接对存储卷进行读写操作;若是，则执行S33。[0112]S33:根据用户访问请求对存储卷执行对应的操作。[0113]优选地，该访问请求包括对存储卷的读操作和写操作两种情况，因此，所述S33具体还包括：[0114]当用户访问请求为读操作时：[0115]根据用户的信息和存储卷的信息生成第二认证信息，并判断所述第二认证信息与存储卷中的第一认证信息是否一致;若一致，则读取存储卷的元数据密文，并根据加密算法将所述元数据密文转换为元数据返回给用户。也即是对存储卷中的元数据密文进行解密后返回给用户。[0116]当用户访问请求为写操作时:首先根据用户的信息和存储卷的信息生成第一认证信息，然后将待写入的元数据通过加密算法转换为元数据密文，然后将密级标识、元数据密文、第一认证信息一并存储于存储卷对应的元数据区域。也即是，首先对待写入的元数据转换为元数据密文后在进行存储。其中待写入的元数据是指用户将用户数据存储到对应的存储卷时，所生成的数据。比如用户数据需要存储在存储卷的哪个数据区，其大小是多少，占用存储卷的空间是多少等数据。[0117]本发明同样提供了一种虚拟存储卷的访问方法的实例，其包括以下步骤：[0118]首先系统获取用户访问请求，用户访问请求包括用户id和存储卷id。[0119]然后根据所述存储卷id读取对应的存储卷，得到密级标识;如果该密级标识与预设的密级标识不同（如加密时设置密级标识为A，则说明该存储卷不是加密卷，可直接挂载存储卷给用户进行访问，若相同：[0120]如果用户访问是读操作，首先根据用户id及存储卷id组成一组数据J，然后利用单项散列算法生成第二认证消息;然后判断所述第二认证信息与存储卷中存储的认证信息是否一致，若一致，则从存储卷中读取对应的元数据密文，再通过加密算法将元数据密文转换为元数据，返回给用户访问。[0121]如果用户访问是写操作，首先根据用户id及存储卷id组成一组数据J，然后利用单项散列算法生成第一认证消息。[0122]然后根据加密算法将待写入的元数据转换为元数据密文，最后将密级标识、元数据密文以及第一认证信息一并写入到存储卷对应的位置上。[0123]本发明中所指的第一认证信息均为加密操作时所生成的认证信息，该第一认证信息与密级标识、元数据密文一并存储于存储卷中；而第二认证信息是在解密操作时所生成的认证信息，其是用于执行认证判断，比如验证用户的身份。[0124]本发明还提供了一种与虚拟存储卷的访问方法相对应的访问装置，其包括：[0125]请求获取模块，用于获取用户访问请求，所述用户访问请求包括用户的信息和存储卷的信息；[0126]判断模块，用于根据所述存储卷的信息读取对应的存储卷的元数据区域中的数据得到该存储卷的密级标识，并根据该密级标识判断该存储卷是否为加密卷，若不是，则直接对存储卷进行读写操作;若是，则执行处理模块；[0127]处理模块，用于根据用户访问请求对存储卷执行对应的操作。[0128]优选地，所述处理模块具体为：当用户访问请求为读操作时：[0129]根据用户的信息和存储卷的信息生成第二认证信息，并判断所述第二认证信息与存储卷中的第一认证信息是否一致;若一致，则读取存储卷的元数据密文，并根据加密算法将所述元数据密文转换为元数据返回给用户；[0130]当用户访问请求为写操作时:首先根据用户的信息和存储卷的信息生成第一认证信息，然后将待写入的元数据通过加密算法转换为元数据密文，然后将密级标识、元数据密文、第一认证信息一并存储于存储卷对应的元数据区域。[0131]对本领域的技术人员来说，可根据以上描述的技术方案以及构思，做出其它各种相应的改变以及形变，而所有的这些改变以及形变都应该属于本发明权利要求的保护范围之内。

权利要求：1.一种虚拟存储卷的加密方法，其特征在于，虚拟存储卷的数据存储格式包括元数据区域和用户数据区，所述元数据区域包括元数据信息区和预留区，所述元数据信息区用于存储元数据，所述元数据是指与存储卷的信息相关的数据;所述用户数据区用于存储用户数据;该加密方法包括以下步骤：S11:获取用户加密请求，该用户加密请求包括用户的信息和存储卷的信息；S12:根据所述存储卷的信息读取该存储卷对应的元数据区域所存储的元数据；S13:通过加密算法将所述存储卷对应的元数据区域所存储的元数据转换为元数据密文；S14:根据用户的信息以及存储卷的信息生成第一认证信息；S15:将元数据密文、第一认证信息以及密级标识存储于对应的元数据区域，从而完成对存储卷的加密操作;其中所述密级标识用于识别存储卷的数据，是由系统预设的。2.如权利要求1所述虚拟存储卷的加密方法，其特征在于，所述加密算法为译码本、DES加密算法、3DES加密算法、RC2加密算法、RC4加密算法、国际数据加密算法IDEA、高级加密算法AES中的任意一种。3.—种虚拟存储卷的加密装置，其特征在于，包括：请求获取模块，用于获取用户加密请求，该用户加密请求包括用户的信息和存储卷的信息；元数据获取模块，用于根据所述存储卷的信息读取该存储卷对应的元数据区域所存的兀数据；加密模块，用于通过加密算法将所述存储卷对应的元数据区域所存储的元数据转换为元数据密文；认证信息生成模块，用于根据用户的信息以及存储卷的信息生成第一认证信息；存储模块，用于将元数据密文、第一认证信息以及密级标识存储于对应的元数据区域，从而完成对存储卷的加密操作;其中所述密级标识用于识别存储卷的数据，是由系统预设的。4.一种虚拟存储卷的解密方法，其特征在于，其应用于如权利要求1所述虚拟存储卷的加密方法进行加密处理后的虚拟存储卷，该解密方法包括以下步骤：S21:获取用户解密请求，所述用户解密请求包括用户的信息和存储卷的信息；S23:根据用户的信息与存储卷的信息生成第二认证信息；S24:读取存储卷中的第一认证信息，并判断所述第一认证信息与第二认证信息是否一致，当一致时，执行S25;S25:获取存储卷的元数据密文，通过加密算法将元数据密文转换为元数据，然后将元数据写入到存储卷对应的元数据区域，同时清除存储卷中所存储的密级标识和第一认证信息。5.如权利要求4所述虚拟存储卷的解密方法，其特征在于，所述步骤S21与S23之间还包括S22:根据存储卷的信息查找对应的存储卷，并读取该存储卷中存储的密级标识;然后判断该密级标识是否与系统预设的密级标识一致，若一致，则执行S23;若不一致，则返回或退出。6.—种虚拟存储卷的解密装置，其特征在于，包括：请求获取模块，用于获取用户解密请求，所述用户解密请求包括用户的信息和存储卷的信息；认证信息生成模块，用于根据用户的信息与存储卷的信息生成第二认证信息；认证模块，用于读取存储卷中的第一认证信息，并判断所述第一认证信息与第二认证信息是否一致，当一致时，执行解密模块；解密模块，用于获取存储卷的元数据密文，通过加密算法将元数据密文转换为元数据，然后将元数据写入到存储卷对应的元数据区域，同时清除存储卷中所存储的密级标识和第一认证信息。7.—种虚拟存储卷的访问方法，该访问方法应用于如权利要求1所述虚拟存储卷的加密方法进行加密处理的存储卷上，其特征在于，包括以下步骤：S31:获取用户访问请求，所述用户访问请求包括用户的信息和存储卷的信息；S32:根据所述存储卷的信息读取对应的存储卷的元数据区域中的数据得到该存储卷的密级标识，并根据该密级标识判断该存储卷是否为加密卷，若否，则直接对存储卷进行读写操作;若是，则执行S33;S33:根据用户访问请求对存储卷执行对应的操作。8.如权利要求7所述虚拟存储卷的访问方法，其特征在于，包括：所述S33具体为：当用户访问请求为读操作时：根据用户的信息和存储卷的信息生成第二认证信息，并判断所述第二认证信息与存储卷中的第一认证信息是否一致;若一致，则读取存储卷的元数据密文，并根据加密算法将所述元数据密文转换为元数据返回给用户；当用户访问请求为写操作时：首先根据用户的信息和存储卷的信息生成第一认证信息，然后将待写入的元数据通过加密算法转换为元数据密文，然后将密级标识、元数据密文、第一认证信息一并存储于存储卷对应的元数据区域。9.一种虚拟存储卷的访问装置，其特征在于，包括：请求获取模块，用于获取用户访问请求，所述用户访问请求包括用户的信息和存储卷的信息；判断模块，用于根据所述存储卷的信息读取对应的存储卷的元数据区域中的数据得到该存储卷的密级标识，并根据该密级标识判断该存储卷是否为加密卷，若否，则直接对存储卷进行读写操作;若是，则执行处理模块；处理模块，用于根据用户访问请求对存储卷执行对应的操作。1〇•如权利要求9所述虚拟存储的访问装置，其特征在于，所述处理模块具体为：当用户访问请求为读操作时：根据用户的信息和存储卷的信息生成第二认证信息，并判断所述第二认证信息与存储卷中的第一认证信息是否一致;若一致，则读取存储卷的元数据密文，并根据加密算法将所述元数据密文转换为元数据返回给用户；当用户访问请求为写操作时：首先根据用户的信息和存储卷的信息生成第一认证信息，然后将待写入的元数据通过加密算法转换为元数据密文，然后将密级标识、元数据密文、第一认证信息一并存储于存储卷对应的元数据区域。

百度查询： 云宏信息科技股份有限公司;航天云宏技术有限公司 虚拟存储卷的加密方法、解密方法、访问方法以及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD