[发明专利]一种数据加密方法及装置

说明书

本申请提供一种数据加密方法及装置，该方法包括：启用第一LUN的加密功能，获取所述第一LUN的第一存储密钥；针对本地的逻辑地址映射表中记录所述第一LUN中的目标数据的每一逻辑地址映射表项，从该逻辑地址映射表项的逻辑地址中读取目标数据；根据所述第一存储密钥将读取到的该目标数据加密为第一密文数据；将该第一密文数据写入到该逻辑地址映射表项的逻辑地址中。通过本申请技术方案，可方便灵活地对需要加密的存储空间进行管理，从而可与涉及加密的业务进行适配，也避免了存储空间的浪费，提高了存储空间的利用率。

技术领域

本申请涉及存储领域，特别涉及一种数据加密方法及装置。

背景技术

数据是信息系统的基石，为实现数据的安全存储和传输，存储系统对写入磁盘的数据进行加密，使得数据以密文的形式保存在磁盘中。在这种情况下，即便数据被盗，也不会被解析。

在相关技术中，可在磁盘接口处或磁盘内部添加物理加密模块，该物理加密模块实际可以是加密芯片，数据通过该物理加密模块加密后，写入磁盘的即为密文数据。其中，每个磁盘被设置独有的存储密钥，物理加密模块与存储密钥管理服务器交互以获取该物理加密模块对应磁盘的存储密钥，进而可根据该存储密钥对写入磁盘的数据进行加密，对读出磁盘的数据进行解密。

发明内容

有鉴于此，本申请提供一种数据加密方法及装置，用以更方便灵活地对需要加密的存储空间进行管理，避免存储空间的浪费，提高存储空间的利用率和业务灵活性。

具体地，本申请是通过如下技术方案实现的：

一种数据加密方法，应用于存储系统中的存储设备，所述存储系统的各个LUN分别对应不同的存储密钥，包括：

启用第一LUN的加密功能，获取所述第一LUN的第一存储密钥；

针对本地的逻辑地址映射表中记录所述第一LUN中的目标数据的每一逻辑地址映射表项，从该逻辑地址映射表项的逻辑地址中读取目标数据；

根据所述第一存储密钥将读取到的该目标数据加密为第一密文数据；

将该第一密文数据写入到该逻辑地址映射表项的逻辑地址中。

在所述数据加密方法中，所述存储系统包括密钥管理服务器；所述获取所述第一LUN的第一存储密钥，包括：

向所述密钥管理服务器发送密钥获取请求，已由所述密钥管理服务器依据该密钥获取请求中的LUN标识返回所述第一存储密钥。

在所述数据加密方法中，在启用所述第一LUN的加密功能后，所述方法还包括：

接收针对所述第一LUN的写请求，解析得到所述写请求中的待写入数据；

基于所述第一存储密钥对所述待写入数据进行加密，获得第一密文数据；

将该第一密文数据写入至所述写请求指示的逻辑地址中，并在所述逻辑地址映射表中添加与该第一密文数据对应的逻辑地址映射表项。

在所述数据加密方法中，所述方法还包括：

为所述第一密文数据对应的逻辑地址映射表项添加加密标识。

在所述数据加密方法中，所述方法还包括：

接收到针对所述第一LUN的读请求，基于所述读请求中的逻辑地址查找所述逻辑地址映射表，确定对应的逻辑地址映射表项；

检查该逻辑地址映射表项是否包括所述加密标识；

若是，读取所述逻辑地址映射表项记录的第一密文数据，基于所述第一存储密钥对所述第一密文数据进行解密，并返回解密后的目标数据；

若否，直接读取所述逻辑地址映射表项记录的目标数据，并返回所述目标数据。