本申请属于数据处理,具体涉及一种数据处理方法、电子设备、存储介质及计算机程序产品。
背景技术:
1、随着数据安全需求的日益增长,人们对数据保护的关注度逐步提升,加密存储设备逐渐成为企业和个人保护数据安全的重要工具。其中,加密存储设备主要是通过对其存储数据进行加密存储,以实现数据保护。例如,加密存储设备包括加密固态硬盘(solidstate disk,ssd)设备、加密芯片设备等具有加密功能的非易失性存储器设备。而敏感数据是加密存储设备的重要数据,其主要包括存储数据的加密密钥、设备访问用户的身份验证数据等。敏感数据对维护加密存储设备的安全性和功能性至关重要。
2、目前,通常将敏感数据存储至加密存储设备的非易失性存储器上,以防止加密存储设备因异常断电等原因导致敏感数据丢失、损坏等。然而,加密存储设备的硬件单元可能存在暴力拆解,而导致硬件单元的存储内容泄露的问题。因而,存储于硬件单元的敏感数据具有泄露风险。显然,如何保障敏感数据的存储安全性,成为亟须解决的问题。
技术实现思路
1、本申请实施例的目的是提供一种数据处理方法、电子设备、存储介质及计算机程序产品,能够解决目前加密存储设备的敏感数据存在泄露风险的问题。
2、为了解决上述技术问题,本申请是这样实现的:
3、第一方面,本申请实施例提供了一种数据处理方法,应用于加密存储设备;所述方法包括:
4、在所述加密存储设备上电时,生成第一密钥分量;
5、获取所述加密存储设备存储的第二密钥分量;
6、根据所述第一密钥分量和所述第二密钥分量运算生成主密钥,向所述加密存储设备的内存写入所述主密钥;
7、采用所述主密钥对所述加密存储设备的敏感数据进行加密处理,得到敏感数据密文,向所述加密存储设备的硬件存储单元写入所述敏感数据密文;
8、响应于敏感数据读取操作,采用所述主密钥对所述敏感数据密文进行解密处理,得到所述敏感数据,向所述内存写入所述敏感数据。
9、第二方面,本申请实施例提供了一种电子设备,所述电子设备包括:处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第一方面所述的数据处理方法。
10、第三方面,本申请实施例提供了一种可读存储介质,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现第一方面所述的数据处理方法。
11、第四方面,本申请实施例提供了一种芯片,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行程序或指令,实现如第一方面所述的数据处理方法。
12、第五方面,本申请实施例提供了一种计算机程序产品,包括计算机程序/指令,所述计算机程序/指令被处理器执行时实现如第一方面所述的数据处理方法。
13、本申请实施例中,加密存储设备可以在上电时生成第一密钥分量,并根据第一密钥分量和存储的第二密钥分量生成主密钥,进而采用主密钥对加密存储设备的敏感数据进行加密处理,得到敏感数据密文,向加密存储设备的硬件存储单元写入敏感数据密文。该技术方案中,主密钥存储于加密存储设备的内存。响应于敏感数据读取操作,可以采用内存中的主密钥对敏感数据密文进行解密处理,以得到敏感数据。由于用于生成主密钥的第一密钥分量是加密存储设备在每次上电时随机生成的,且因内存的断电自动销毁特性,内存中的主密钥也会在加密存储设备出现断电时被自动销毁。因此,主密钥具有较高的安全性,泄露风险较低,进而利用主密钥加密敏感数据,可以有效提升敏感数据的存储安全性。
1.一种数据处理方法,其特征在于,应用于加密存储设备;所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述敏感数据密文包括:数据密钥密文和加密密钥密文;所述内存中敏感数据包括:所述数据密钥密文以及采用所述主密钥对所述加密密钥密文解密后的密钥加密密钥,所述密钥加密密钥是根据录入用户的用户凭证数据生成的;所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述敏感数据包括多个所述数据密钥密文,每个所述数据密钥密文解密后的数据加密密钥用于:对所述硬件存储单元中不同的存储地址段的存储数据进行加密;所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述敏感数据密文还包括权限控制数据密文,所述敏感数据还包括权限控制数据,所述权限控制数据至少指示所述录入用户可访问的存储地址段;
5.根据权利要求4所述的方法,其特征在于,所述权限控制数据包括:密钥加密密钥、数据密钥密文和存储地址段的对应关系,所述密钥加密密钥用于对对应的数据密钥密文加解密,所述数据密钥密文解密后的数据加密密钥用于对对应的存储地址段的存储数据加解密;所述根据所述权限控制数据,确定所述第一用户可访问的第一地址段,包括:
6.根据权利要求3所述的方法,其特征在于,所述敏感数据密文还包括访问范围数据密文,所述敏感数据还包括访问范围数据,所述访问范围数据至少指示所述加密存储设备的硬件存储单元中存储地址段对应的访问用户;
7.根据权利要求6所述的方法,其特征在于,所述访问范围数据包括:密钥加密密钥、数据密钥密文和存储地址段的对应关系,所述密钥加密密钥用于对对应的数据密钥密文加解密,所述数据密钥密文解密后的数据加密密钥用于对对应的存储地址段的存储数据加解密;所述根据所述访问范围数据,确定所述第一用户可访问的第一地址段,包括:
8.根据权利要求1所述的方法,其特征在于,所述敏感数据密文包括:多个数据密文段,每个所述数据密文段包括敏感子数据密文和所述敏感子数据密文解密后的数据的目标散列值;
9.根据权利要求8所述的方法,其特征在于,所述敏感数据密文包括:密钥管理数据段、权限控制数据段和访问范围数据段,所述密钥管理数据段包括:数据密钥密文、加密密钥密文以及第一散列值,所述第一散列值为数据加密密钥和密钥加密密钥的散列值;所述权限控制数据段包括:权限控制数据密文以及第二散列值,所述第二散列值为权限控制数据的散列值;所述访问范围数据段包括:访问范围数据密文和第三散列值,所述第三散列值为访问范围数据的散列值;
10.根据权利要求4所述的方法,其特征在于,所述方法还包括:
11.根据权利要求10所述的方法,其特征在于,所述生成所述权限控制数据,包括:
12.根据权利要求10所述的方法,其特征在于,所述获取第二用户的用户凭证数据和权限控制信息,包括:
13.根据权利要求3所述的方法,其特征在于,所述方法还包括:
14.根据权利要求13所述的方法,其特征在于,所述访问范围信息还指示每个所述存储地址段的访问用户类别;所述方法还包括:
15.根据权利要求13所述的方法,其特征在于,所述获取所述加密存储设备的硬件存储单元的访问范围信息,包括:
16.根据权利要求9所述的方法,其特征在于,所述访问范围数据密文是采用分组加密算法,利用所述主密钥对所述访问范围数据进行加密后的数据;所述权限控制数据密文是采用分组加密算法,利用所述主密钥对所述权限控制数据进行加密后的数据;所述数据密钥密文是采用分组加密算法,利用所述密钥加密密钥对所述数据加密密钥进行加密后的数据;所述加密密钥密文是采用分组加密算法,利用所述主密钥对所述密钥加密密钥进行加密后的数据;所述敏感子数据密文对应的散列值是采用哈希算法,根据所述敏感数据中对应的所述敏感子数据计算得到的数据。
17.根据权利要求16所述的方法,其特征在于,所述加密存储设备包括:数据加解密模块,所述数据加解密模块包括第一运算单元和第二运算单元;
18.根据权利要求1所述的方法,其特征在于,所述加密存储设备包括:第一硬件单元和第二硬件单元,所述第二密钥分量存储于所述第一硬件单元;所述方法还包括:
19.根据权利要求2所述的方法,其特征在于,所述用户凭证数据包括以下至少一项:用户账号的密码、用户的个人识别码pin、用户录入的生物识别信息。
20.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述存储器上存储有指令,所述处理器在执行所述指令时实现如权利要求1至19任一所述的方法。
21.一种可读存储介质,其特征在于,所述可读存储介质上存储有程序或指令,所述程序或指令被处理器执行时实现权利要求1至19任一所述的方法。
22.一种计算机程序产品,包括计算机程序/指令,其特征在于,所述计算机程序/指令被处理器执行时实现如权利要求1至19任一所述的方法。
