[发明专利]一种数据存储方法、装置和计算设备

说明书

本发明公开了一种数据存储方法，包括：采用数据密钥对待存储的数据进行加密，生成数据密文；采用第一密钥对数据密钥进行加密，生成数据密钥密文；将第二密钥、数据密文、数据密钥密文关联存储，其中，第二密钥与第一密钥具有对应关系。本发明一并公开了相应的数据存储装置和计算设备。

技术领域

本发明涉及数据存储技术领域，尤其涉及一种数据存储方法、装置和计算设备。

背景技术

在云存储服务中，用户可以将数据上传至云服务器进行存储。为了保证用户数据的安全，防止因云服务器程序故障或黑客入侵等原因而造成数据泄露，数据需要以加密的方式存储于云服务器中。

一种现有的数据加密方式是，云服务端存储有每个用户所对应的主密钥(CMK)。当用户上传数据时，采用该用户的主密钥对数据进行加密并存储加密后的数据。一方面，该方法仍存在数据泄露的风险，若服务端所存储的主密钥列表泄露，他人即可采用主密钥来解密相应的用户数据，从而造成用户数据泄露。另一方面，在该方法中，只要用户具有服务端的数据访问权限，即可对数据进行解密，无法进行主密钥权限管理，不够灵活，适用场景有限。

发明内容

为此，本发明提供一种数据存储方法、装置和计算设备，以力图解决或至少缓解上面存在的问题。

根据本发明的一个方面，提供一种数据存储方法，包括：采用数据密钥对待存储的数据进行加密，生成数据密文；采用第一密钥对所述数据密钥进行加密，生成数据密钥密文；将所述数据密文和所述数据密钥密文与第二密钥关联存储，其中，所述第二密钥与所述第一密钥具有对应关系。

根据本发明的另一个方面，提供一种数据存储装置，包括：加密模块，适于采用数据密钥对待存储的数据进行加密，生成数据密文；以及采用第一密钥对所述数据密钥进行加密，生成数据密钥密文；存储模块，适于将所述数据密文和所述数据密钥密文与第二密钥关联存储，其中，所述第二密钥与所述第一密钥具有对应关系。根据本发明的一个方面，提供一种计算设备，包括：至少一个处理器；和存储有程序指令的存储器，其中，所述程序指令被配置为适于由所述至少一个处理器执行，所述程序指令包括用于执行如上所述的数据存储方法的指令。

根据本发明的又一个方面，提供一种存储有程序指令的可读存储介质，当所述程序指令被计算设备读取并执行时，使得所述计算设备执行如上所述的数据存储方法。

本发明的技术方案采用了双重加密的机制，在加密时，采用数据密钥对待存储的数据进行加密，生成数据密文；采用第一密钥对数据密钥进行加密，生成数据密钥密文；将数据密文、数据密钥密文与第二密钥关联存储，其中，第二密钥与第一密钥具有对应关系。这样，即使关联存储的第二密钥、数据密文、数据密钥密文一起泄露，他人也无法根据这些信息恢复出第一密钥，进而无法采用第一密钥恢复出数据密钥，无法采用数据密钥对数据密文进行解密，从而保证了用户数据安全。

在解密时，服务端根据第一密钥与第二密钥的对应关系，得出相应的目标第一密钥；进而采用该目标第一密钥对目标数据密钥密文进行解密，得到目标数据密钥；最后采用目标数据密钥对待访问的数据密文进行解密，得到待访问的数据明文。

进一步地，在本发明的技术方案中，一个用户可以具有多个权限标识(即主密钥)，每个权限标识对应于不同存储空间的加密数据存储和访问权限，从而实现了权限管理，使得用户可以根据不同的实际应用场景选择合适的权限标识，更加灵活地存储数据。具体地，当用户对数据进行加密存储时，需要指定一个权限标识，将权限标识与数据密文、数据密钥密文、第二密钥关联存储；相应地，当用户对数据进行解密访问时，也需要指定一个权限标识，当用户指定的权限标识与待访问的数据所对应的权限标识一致时，才允许用户对数据进行解密访问。此外，服务端仅存储有用户与权限标识的关联关系，即使该关联关系一并泄露，也无法为获取第一密钥提供任何帮助，从而进一步保证了用户数据的安全。