CN106161402B - 基于云环境的加密机密钥注入系统、方法及装置 - Google Patents
基于云环境的加密机密钥注入系统、方法及装置 Download PDFInfo
- Publication number
- CN106161402B CN106161402B CN201510195062.7A CN201510195062A CN106161402B CN 106161402 B CN106161402 B CN 106161402B CN 201510195062 A CN201510195062 A CN 201510195062A CN 106161402 B CN106161402 B CN 106161402B
- Authority
- CN
- China
- Prior art keywords
- key
- encryption equipment
- equipment
- virtual
- subsystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
Abstract
本申请公开了一种基于云环境的加密机密钥注入系统,一种用于加密机的密钥注入方法及装置、一种在云端托管加密机的方法及装置。其中,所述系统包括:至少一个密钥注入子系统、以及位于云端的加密机托管子系统;密钥注入子系统和加密机托管子系统通过各自的量子密钥分发设备相连;量子密钥分发设备用于在与之相连的密钥生成设备和加密机之间协商共享密钥对;密钥生成设备用于生成虚拟加密设备的根密钥分量、以及采用协商好的共享密钥加密传输至承载虚拟加密设备的加密机;加密机用于根据接收的根密钥分量合成虚拟加密设备的根密钥,并存储根密钥。采用上述系统,实现了加密机根密钥的远程安全注入,云用户无需手动插卡,简化了密钥注入的操作过程。
Description
技术领域
本申请涉及加密机技术领域,具体涉及一种基于云环境的加密机密钥注入系统。本申请同时涉及一种用于加密机的密钥注入方法及相应装置,以及一种在云端托管加密机的方法及相应装置。
背景技术
加密机是传统保障数据隐私的一种很好的方法,其主要功能之一是密钥存储功能,加密机在很多领域,特别是银行业得到了广泛的应用。银行业的密钥体系标准为三层密钥体系:ansi x9.17,该体系对不同层级密钥的功能做了严格的使用限制,第一层是加密机主密钥(Master Key,也称根密钥),第二层是银行主密钥(Bank Master Key,也称用户主密钥),第三层是工作密钥,也称用户工作密钥或者用户数据密钥。
其中,加密机根密钥由三个成分(也称分量)组成,存放在硬件加密机内,用于保护存储在加密机外的各种密钥和关键数据的加密密钥。用户主密钥的作用是加密在通讯线路上需要传递的工作密钥,该密钥处于加密机根密钥的加密保护之下或直接保存在硬件加密机中。用户工作密钥的作用是加密各种不同的数据,从而实现数据的保密、信息的认证,以及数字签名等功能,该密钥处于用户主密钥的加密保护之下或直接保存在硬件加密机中。
加密机在使用之前需要先注入根密钥,加密机通常附带一组IC卡(包括A卡、B卡和C卡),在启动前,管理人员将A卡插入加密机相应的插槽中,通过加密机面板菜单或厂商提供的管理程序注入根密钥3个分量,每个分量为32个十六进制数。之后,保存根密钥至A卡、B卡,再注入用户主密钥,完成相关操作后,保存用户主密钥至C卡。对于不同的加密机来说,上述密钥注入过程可能会有差异,但是都需要执行人工插卡的操作才能够完成。
此外,随着云计算的长足发展,云用户的数据存储、计算及应用日益云化,如何保障云用户的敏感数据以及关键应用的安全性,是公有云必须要妥善解决的重大问题。而前面介绍的加密机是传统保障数据隐私的一种很好的方法,因此出现了加密机云化的需求,即:很多云用户采用加密机托管的方式,将加密机托管在云提供商的托管区内,以保护自己在相应云上业务数据的隐私问题。
传统的通过手工插卡注入密钥的方式,对于加密机设备比较少、且加密机放置于企业内部是可行的。但在公有云中,加密机通常放置在远离客户建筑物的地方托管,且设备数量大大增加,仍采用传统方式就暴露出很多缺陷:一方面云用户需要远道跑到云提供商托管区来插卡注入密钥,操作步骤繁琐、费时费力;另一方面,由于各类云用户在云托管区的进出,导致云提供商管理效率低下,而且存在安全隐患,降低云用户对在云端托管加密机的信任度。
发明内容
本申请实施例提供一种基于云环境的加密机密钥注入系统,以解决现有的手工插卡方式导致的密钥注入操作步骤繁琐、以及为云端管理带来安全隐患的问题。本申请实施例还提供一种用于加密机的密钥注入方法及装置,以及一种用于在云端托管加密机的方法及装置。
本申请提供一种基于云环境的加密机密钥注入系统,包括:
至少一个密钥注入子系统、以及位于云端的加密机托管子系统;所述加密机托管子系统包括:承载云用户托管的虚拟加密设备的加密机,以及与所述加密机相连的量子密钥分发设备;所述密钥注入子系统包括:密钥生成设备,以及与所述密钥生成设备相连的量子密钥分发设备;
其中,所述密钥注入子系统和所述加密机托管子系统通过各自的量子密钥分发设备相连;所述量子密钥分发设备用于在与之相连的密钥生成设备和加密机之间协商共享密钥对;所述密钥生成设备用于生成所述虚拟加密设备的根密钥分量、以及采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;所述加密机用于根据接收的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
可选的,所述密钥注入子系统的数量为1;
相应的,所述密钥注入子系统的密钥生成设备具体用于,按照预先设定的根密钥分量数目为所述虚拟加密设备生成相应数目的根密钥分量,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机。
可选的,所述密钥注入子系统包括:位于云端的管理子系统、或者位于客户端的用户子系统。
可选的,所述密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数;每个密钥注入子系统中的密钥生成设备具体用于,生成所述虚拟加密设备的一个根密钥分量;所述加密机还用于,生成所述虚拟加密设备的一个根密钥分量;
相应的,所述加密机用于根据接收的根密钥分量合成所述虚拟加密设备的根密钥具体是指,所述加密机根据从每个密钥注入子系统接收的根密钥分量,以及其生成的根密钥分量,合成所述虚拟加密设备的根密钥。
可选的,所述预先设定的根密钥分量数目为3,所述密钥注入子系统的数量为2,所述密钥注入子系统包括:位于云端的管理子系统和位于客户端的用户子系统;所述管理子系统包括:量子密钥分发设备和用于承担所述密钥生成设备功能的管理设备;所述用户子系统包括:量子密钥分发设备和用于承担所述密钥生成设备功能的终端设备。
可选的,所述用户子系统的终端设备还用于生成用户主密钥,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;
相应的,所述加密机还用于,将接收的所述用户主密钥作为所述虚拟加密设备的用户主密钥存储。
可选的,所述用户子系统的终端设备还用于生成用户工作密钥,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;
相应的,所述加密机还用于,将接收的所述用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
可选的,所述用户子系统的量子密钥分发设备包括:在云端租赁的量子密钥分发设备。
可选的,所述加密机托管子系统的量子密钥分发设备和所述管理子系统的量子密钥分发设备通过具有量子密钥中继功能的路由设备相连。
可选的,所述量子密钥分发设备包括:具有数据加解密功能的量子加密机。
可选的,所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥具体是指,所述加密机采用基于门限密钥共享机制的秘密重构算法实现所述合成操作。
可选的,所述系统还包括:维护子系统;所述维护子系统用于,对所述加密机承载的虚拟加密设备进行初始授权、以及对所述加密机的故障监控及维护。
可选的,所述用户托管的虚拟加密设备为所述加密机。
此外,本申请还提供一种用于加密机的密钥注入方法,所述方法在上述基于云环境的加密机密钥注入系统中实施,包括:
密钥注入子系统的密钥生成设备和加密机托管子系统的加密机通过各自的量子密钥分发设备协商共享密钥对,其中,所述加密机承载云用户托管的待注入根密钥的虚拟加密设备;
所述密钥生成设备生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
可选的,所述密钥注入子系统的数量为1;
相应的,所述密钥生成设备生成所述虚拟加密设备的根密钥分量是指,所述密钥生成设备按照预先设定的根密钥分量数目生成所述虚拟加密设备的根密钥分量。
可选的,所述密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数;
相应的,所述密钥注入子系统的密钥生成设备和加密机托管子系统的加密机通过各自的量子密钥分发设备协商共享密钥对包括:每个密钥注入子系统的密钥生成设备和所述加密机分别通过各自的量子密钥分发设备协商彼此之间的共享密钥对;
所述密钥生成设备生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机,包括:每个密钥注入子系统的密钥生成设备分别生成所述虚拟加密设备的一个根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
所述方法还包括:所述加密机生成所述虚拟加密设备的一个根密钥分量;
所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥具体是指,所述加密机根据从每个密钥注入子系统接收的根密钥分量、以及其生成的根密钥分量合成所述虚拟加密设备的根密钥。
可选的,所述预先设定的根密钥分量数目为3,所述密钥注入子系统的数量为2,所述密钥注入子系统包括:位于云端的管理子系统和位于客户端的用户子系统;所述管理子系统中的密钥生成设备为管理设备;所述用户子系统中的密钥生成设备为终端设备。
可选的,所述方法还包括:
所述终端设备生成用户主密钥,并采用协商好的共享密钥加密传输至所述加密机;
所述加密机将接收的用户主密钥作为所述虚拟加密设备的用户主密钥存储。
可选的,所述方法还包括:
所述终端设备生成用户工作密钥,并采用协商好的共享密钥加密传输至所述加密机;
所述加密机将接收的用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
可选的,在所述管理设备和加密机通过各自的量子密钥分发设备协商共享密钥对的步骤之前,执行下述操作:
在所述管理设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本方法的执行。
可选的,在所述终端设备和加密机通过各自的量子密钥分发设备协商共享密钥对的步骤之前,执行下述操作:
在所述终端设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本方法的执行。
可选的,所述身份认证采用如下方式实现:
请求认证方设备向对端设备发送身份认证请求,所述请求中携带所述请求验证方设备的私钥签名身份证书;
所述对端设备接收所述身份认证请求后,采用对应于所述请求认证方设备的公钥解密所述私钥签名身份证书,若成功,则所述请求认证方设备通过身份认证。
可选的,所述加密机采用基于门限密钥共享机制的秘密重构算法合成所述虚拟加密设备的根密钥。
相应的,本申请还提供一种用于加密机的密钥注入装置,所述装置部署在上述基于云环境的加密机密钥注入系统中,包括:
共享密钥对协商单元,用于密钥注入子系统的密钥生成设备和加密机托管子系统的加密机通过各自的量子密钥分发设备协商共享密钥对,其中,所述加密机承载云用户托管的待注入根密钥的虚拟加密设备;
分量生成传输单元,用于所述密钥生成设备生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
根密钥合成单元,用于所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
可选的,所述密钥注入子系统的数量为1;
相应的,所述分量生成传输单元具体用于,所述密钥生成设备按照预先设定的根密钥分量数目生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机。
可选的,所述密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数;
相应的,所述共享密钥对协商单元包括与所述密钥注入子系统的数量相同的共享密钥对协商子单元;所述每个子单元分别用于,不同密钥注入子系统的密钥生成设备和所述加密机分别通过各自的量子密钥分发设备协商彼此之间的共享密钥对;
所述分量生成传输单元包括与所述密钥注入子系统的数量相同的分量生成传输子单元;所述每个子单元分别用于,不同密钥注入子系统的密钥生成设备分别生成所述虚拟加密设备的一个根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
所述装置还包括:加密机分量生成单元,用于所述加密机生成所述虚拟加密设备的一个根密钥分量;
所述根密钥合成单元具体用于,加密机根据从每个分量生成传输子单元接收的根密钥分量、以及所述加密机分量生成单元生成的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
可选的,所述预先设定的根密钥分量数目为3,所述密钥注入子系统的数量为2,所述密钥注入子系统包括:位于云端的管理子系统和位于客户端的用户子系统;所述管理子系统中的密钥生成设备为管理设备;所述用户子系统中的密钥生成设备为终端设备;
所述共享密钥对协商单元包括两个共享密钥对协商子单元:对应于管理子系统的第一共享密钥对协商子单元、和对应于用户子系统的第二共享密钥对协商子单元;
所述分量生成传输单元包括两个分量生成传输子单元:对应于管理子系统的第一分量生成传输子单元、和对应于用户子系统的第二分量生成传输子单元。
可选的,所述装置还包括:
用户主密钥生成传输单元,用于所述终端设备生成用户主密钥,并采用协商好的共享密钥加密传输至所述加密机;
用户主密钥存储单元,用于所述加密机将接收的用户主密钥作为所述虚拟加密设备的用户主密钥存储。
可选的,所述装置还包括:
用户工作密钥生成传输单元,用于所述终端设备生成用户工作密钥,并采用协商好的共享密钥加密传输至所述加密机;
用户工作密钥存储单元,用于所述加密机将接收的用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
可选的,所述装置还包括:
第一身份认证单元,用于在触发所述第一共享密钥对协商子单元工作之前,在所述管理设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本装置的工作。
可选的,所述装置还包括:
第二身份认证单元,用于在触发所述第二共享密钥对协商子单元工作之前,在所述终端设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本装置的工作。
可选的,所述第一身份认证单元和所述第二身份认证单元具体用于采用以下方式进行身份认证:
请求认证方设备向对端设备发送身份认证请求,所述请求中携带所述请求验证方设备的私钥签名身份证书;所述对端设备接收所述身份认证请求后,采用对应于所述请求认证方设备的公钥解密所述私钥签名身份证书,若成功,则所述请求认证方设备通过身份认证。
可选的,所述根密钥合成单元具体用于,所述加密机采用基于门限密钥共享机制的秘密重构算法合成所述虚拟加密设备的根密钥,并存储所述根密钥。
此外,本申请还提供一种在云端托管加密机的方法,包括:
云用户通过终端设备向位于云端的管理设备发送加密机托管请求;
所述管理设备根据接收到的请求,为所述云用户分配在云端托管的虚拟加密设备,所述虚拟加密设备由加密机承载;
采用上述用于加密机的密钥注入方法向所述加密机中注入所述虚拟加密设备的根密钥。
可选的,在所述云用户通过终端设备向位于云端的管理设备发送加密机托管请求之前,执行下述初始化操作:
由相应管理者为所述管理设备、以及终端设备预置用于身份认证的公私钥对、和身份证书;
由加密机设备厂商为加密机中承载的虚拟加密设备预置用于身份认证的公私钥对、身份证书、以及设备标识。
可选的,在所述管理设备为所述云用户分配在云端托管的虚拟加密设备之后,执行下述操作:
所述管理设备将所述虚拟加密设备的设备标识发送给所述终端设备;
所述终端设备根据接收到的设备标识,向加密机设备厂商验证所述虚拟加密设备的合法性;若所述虚拟加密设备通过所述合法性验证,则执行所述向所述加密机中注入所述虚拟加密设备的根密钥的步骤。
可选的,在所述管理设备为所述云用户分配在云端托管的虚拟加密设备之后,执行下述操作:
所述管理设备与所述终端设备通过各自的量子密钥分发设备协商共享密钥对;
相应的,所述管理设备将所述虚拟加密设备的设备标识发送给所述终端设备是指,所述管理设备采用协商好的共享密钥加密所述设备标识,并将加密后的设备标识发送给所述终端设备;
所述终端设备根据接收到的设备标识,向加密机设备厂商验证所述虚拟加密设备的合法性是指,所述终端设备采用协商好的共享密钥对接收到的设备标识解密,并用解密后的设备标识执行所述验证操作。
相应的,本申请还提供一种在云端托管加密机的装置,包括:
托管请求发送单元,用于云用户通过终端设备向位于云端的管理设备发送加密机托管请求;
托管设备分配单元,用于所述管理设备根据接收到的请求,为所述云用户分配在云端托管的虚拟加密设备,所述虚拟加密设备由加密机承载;
根密钥注入单元,用于采用上述用于加密机的密钥注入装置向所述加密机中注入所述虚拟加密设备的根密钥。
可选的,所述装置包括:初始化单元,用于在触发所述托管请求发送单元工作之前执行初始化操作;所述初始化单元包括:
管理及终端设备初始化子单元,用于由相应管理者为所述管理设备、以及终端设备预置用于身份认证的公私钥对、和身份证书;
虚拟加密设备初始化子单元,用于由加密机设备厂商为加密机中承载的虚拟加密设备预置用于身份认证的公私钥对、身份证书、以及设备标识。
可选的,所述装置包括:
设备标识发送单元,用于在所述托管设备分配单元完成分配虚拟加密设备的操作后,所述管理设备将所述虚拟加密设备的设备标识发送给所述终端设备;
设备合法性验证单元,用于所述终端设备利用接收到的设备标识,向加密机设备厂商验证所述虚拟加密设备的合法性;若所述虚拟加密设备通过所述合法性验证,则触发所述根密钥注入单元工作。
可选的,所述装置包括:
共享密钥协商单元,用于在所述托管设备分配单元完成分配虚拟加密设备的操作后,所述管理设备与所述终端设备通过各自的量子密钥分发设备协商共享密钥对;
相应的,所述设备标识发送单元具体用于,管理设备采用协商好的共享密钥加密所述设备标识,并将加密后的设备标识发送给所述终端设备;
所述设备合法性验证单元具体用于,所述终端设备采用协商好的共享密钥对接收到的设备标识解密,并用解密后的设备标识执行所述验证操作。
与现有技术相比,本申请具有以下优点:
本申请提供的基于云环境的加密机密钥注入系统、以及基于该系统的密钥注入方法,将量子密钥技术与加密机云化技术有机结合起来,在根密钥分量生成方与承载用户托管的虚拟加密设备的加密机之间,利用量子密钥分发协议协商出共享密钥对,根密钥分量生成方利用共享密钥将根密钥分量加密传输至加密机中,由加密机合成虚拟加密设备的根密钥。通过上述方式,改变了传统的手工插卡注入根密钥的方式,实现了加密机根密钥的远程注入,而且由量子密码的特性保证了远程注入过程的安全性,从而不仅免除了云用户进出托管区手动插卡的必要,简化了密钥注入的操作过程,而且便于云提供商对托管区进行管理,提升云用户对在云端托管加密机的信任度。
附图说明
图1是本申请实施例提供的基于云环境的加密机密钥注入系统的系统架构图;
图2是本申请的一种用于加密机的密钥注入方法的实施例的流程图;
图3是本申请的一种用于加密机的密钥注入装置的实施例的示意图;
图4是本申请的一种在云端托管加密机的方法的实施例的流程图;
图5是本申请的一种在云端托管加密机的装置的实施例的示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是,本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此,本申请不受下面公开的具体实施的限制。
在本申请中,提供了一种基于云环境的加密机密钥注入系统,一种用于加密机的密钥注入方法及相应装置,以及一种在云端托管加密机的方法及相应装置。在下面的实施例中逐一进行详细说明。
本实施例提供的基于云环境的加密机密钥注入系统包括:至少一个密钥注入子系统、以及位于云端的加密机托管子系统。所述密钥注入子系统包括:密钥生成设备,以及与所述密钥生成设备相连的量子密钥分发设备;所述加密机托管子系统包括:承载云用户托管的虚拟加密设备的加密机,以及与所述加密机相连的量子密钥分发设备。其中,所述密钥注入子系统和所述加密机托管子系统通过各自的量子密钥分发设备相连。
需要说明的是,云用户在云端托管的可以是物理加密机(即本申请所述的加密机),也可以是由加密机承载的虚拟加密设备,即:多个云用户可以共享一台加密机,而共享同一台加密机的每个云用户拥有独立的虚拟加密设备。也可以这样理解,当一台加密机仅分配给一个云用户时,那么云用户在云端托管的虚拟加密设备就是所述加密机。由于上述两种托管方式的差异并不影响本申请技术方案的实施,因此为了便于描述,在本文的实施例中不对上述两种情况加以区分,而是统一采用了云用户在云端托管虚拟加密设备的表述方式。
在上述系统架构的基础上,如果所述系统仅包括一个密钥注入子系统,所述密钥注入子系统和加密机托管子系统中的量子密钥分发设备,用于在与之相连的密钥生成设备和承载虚拟加密设备的加密机之间,采用量子密钥分发协议(例如BB84协议)协商共享密钥对;所述密钥生成设备用于按照预先设定的根密钥分量(也称为根密钥成分)数目,生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;所述加密机用于用协商好的共享密钥对接收的各根密钥分量解密,用解密后的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。在具体实施时,所述密钥注入子系统可以是位于云端的管理子系统,也可以是位于客户端的用户子系统。
采用上述实施方式,一方面,云用户不用再跑到加密机托管区执行手动插卡操作,实现了虚拟加密设备根密钥的远程注入;另一方面,由于量子密钥作为量子力学和密码学的交叉产物,其安全性基于量子力学原理保证,与攻击者的计算能力和存储能力无关,因此充分地保证了密钥远程注入过程的安全性。
在上述实施方式的基础上,为了进一步保证虚拟加密设备的根密钥的安全性,同时也考虑到云用户对云供应商的信任,本实施例还提供一种优选实施方式:所述密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数;每个密钥注入子系统中的密钥生成设备具体用于生成所述虚拟加密设备的一个根密钥分量;所述加密机负责生成所述虚拟加密设备的一个根密钥分量,并根据从每个密钥注入子系统接收的根密钥分量、以及其生成的根密钥分量,合成所述虚拟加密设备的根密钥。
下面结合应用比较普及的传统加密机密钥体系,例如金融加密机密钥体系,对本系统的上述优选实施方式作详细说明。由于传统加密机密钥体系由三层组成:根密钥、用户主密钥和用户工作密钥,其中根密钥由三个分量组成。因此本系统包括2个密钥注入子系统:位于云端的管理子系统和位于客户端的用户子系统,所述管理子系统包括:量子密钥分发设备和用于承担所述密钥生成设备功能的管理设备;所述用户子系统包括:量子密钥分发设备和用于承担所述密钥生成设备功能的终端设备。
请参考附图1,其为本实施例提供的基于云环境的加密机密钥注入系统的系统架构图,其中,管理子系统也可以称作云提供商加密机托管平台管理中心,该子系统包括两台管理设备,不仅负责对加密机的安全监控、鉴别、授权托管、审计等,还可以生成根密钥分量并远程注入到承载虚拟加密设备的加密机中,所述管理子系统中还包括与上述管理设备相连的量子密钥分发设备1和2;加密机托管子系统也可以称作加密机托管区,包括承载虚拟加密设备的加密机A和加密机B,以及与上述设备相连的量子密钥分发设备3、4、5和6;本系统架构图中还包括云用户甲、乙分别所在的两个用户子系统,各用户子系统除了包括终端设备外,还分别包括各自的量子密钥分发设备7或8。所述云用户甲以及云用户乙可以是使用云服务的个人,也可以是使用云服务的企业。
在一个具体的例子中,加密机A中承载了云用户甲在云端托管的、待注入根密钥的虚拟加密设备,并且由管理子系统中的第一管理设备负责向所述虚拟加密设备注入一个根密钥分量。具体说,量子密钥分发设备1和3用于,在管理子系统中的第一管理设备和加密机托管子系统中的加密机A之间协商共享密钥对;所述第一管理设备用于通过云提供商管理员的操作或者通过安装的密钥生成及管理程序生成所述虚拟加密设备的第一根密钥分量,并用协商好的共享密钥加密传输至加密机A;加密机A用协商好的同样的共享密钥进行解密,从而获取管理子系统注入的所述第一根密钥分量。
同样的道理,量子密钥分发设备5和7用于,在用户甲的终端设备与加密机A之间协商共享密钥对;用户甲的终端设备用于通过用户甲的操作或者通过安装的密钥生成及管理程序生成所述虚拟加密设备的第二根密钥分量,并用已经协商好的共享密钥加密传输至加密机A;加密机A用协商好的同样的共享密钥进行解密,从而获取用户子系统注入的所述第二根密钥分量。
加密机A用于通过自带的密钥生成模块或者工具随机生成所述虚拟加密设备的第三根密钥分量;加密机A还用于根据管理子系统和用户子系统注入的第一根密钥分量、第二根密钥分量,以及其自己生成的第三根密钥分量,合成所述虚拟加密设备的根密钥。加密机A可以采用不同的算法合成所述根密钥,例如,可以用所述三个密钥分量通过模2加的方式、或者按位异或的方式合成所述根密钥,也可以采用更为复杂的方式,例如,采用基于门限密钥共享机制的秘密重构算法合成所述根密钥。
通过上面的描述可以看出,由于采用了由云提供商管理子系统、云用户子系统以及加密机分别生成根密钥分量、并由加密机进行合成的方式,相当于将生成根密钥分量的权利分散化,即使出现任意一方泄漏根密钥分量的情况,也不会危及到云用户在云端的业务以及数据的安全,从而在提高安全性的同时提升云用户对云提供商的信任度。
进一步地,由于传统加密机密钥体系中通常还包括用户主密钥,本实施例提供的上述优选实施方式中,还可以将所述用户主密钥保存在加密机中。具体说,所述用户子系统的终端设备还用于通过云用户的操作或者通过安装的密钥生成及管理程序生成用户主密钥,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;相应的,所述加密机还用于,将接收到的所述用户主密钥作为所述虚拟加密设备的用户主密钥存储。
同理,由于传统加密机密钥体系中通常还包括用户工作密钥,本实施例提供的上述优选实施方式中,还可以将所述用户工作密钥保存在加密机中。具体说,所述用户子系统的终端设备还用于通过云用户的操作或者通过安装的密钥生成及管理程序生成用户工作密钥,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;相应的,所述加密机还用于,将接收到的所述用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
需要说明的是,上述实施例描述的密钥生成设备(包括管理设备或者终端设备)将根密钥分量或者其他密钥,加密传输至承载虚拟加密设备的加密机,在具体实施时通常包括两种方式:如果量子密钥分发设备不具有数据加解密功能,那么密钥生成设备根据量子密钥分发设备向其提供的协商好的量子密钥,对根密钥分量或者其他密钥进行加密,然后通过密钥生成设备和加密机之间的经典信道传输至加密机,由加密机执行解密操作;如果量子密钥分发设备具有数据加解密功能,即:量子密钥分发设备是量子加密机,那么密钥生成设备可以将根密钥分量或者其他密钥发送给与其相连的量子密钥分发设备,由量子密钥分发设备用协商好的量子密钥进行加密,并通过经典信道传输至加密机一侧的量子密钥分发设备,由该量子密钥分发设备执行解密操作,并将解密后的根密钥分量或者其他密钥发送给加密机。
在上面描述的实施方式中,所述用户子系统拥有自己的量子密钥分发设备,在其他实施方式中,用户子系统也可以租赁云端的量子密钥分发设备,也就是说用户子系统的量子密钥分发设备的物理位置不是位于客户端一侧,而是位于云端。这种情况下,终端设备可以通过VPN方式登录量子密钥分发设备,实现相应的操作,例如获取协商好的共享密钥或者向其发送待注入的根密钥分量或者用户主密钥等,同样也可以实现本申请技术方案的远程注入功能。
此外,图1仅仅是本申请提出的加密机密钥注入系统的一个示意性的系统架构图,在具体实施方式中,还可以做多种变更。例如,所述管理子系统中的管理设备的数量、以及加密机托管子系统中的加密机的数量都可以根据具体需求进行配置;所述管理子系统和所述加密机托管子系统可以处于云端的同一个网络域中,也可以处于不同的网络域中,两者的量子密钥分发设备可以通过具有量子密钥中继功能的路由设备相连,采用这种远程操作方式,可以提升加密机托管子系统的安全运营及云用户对云提供商的信任。再如,作为一个完备的系统,还可以包括维护子系统,所述维护子系统主要用于,由加密机设备厂商对加密机承载的虚拟加密设备进行初始授权、以及对加密机的故障监控及维护等,当然在具体实施中,也可以由管理子系统承担所述维护子系统的上述功能。
综上所述,本实施例提供的基于云环境的加密机密钥注入系统,将量子密钥技术与加密机云化技术有机结合起来,改变了传统的手工插卡注入根密钥的方式,实现了加密机根密钥的远程注入,而且由量子密码的特性保证了远程注入过程的安全性,从而不仅免除了云用户进出托管区手动插卡的必要,简化了密钥注入的操作过程,而且便于云提供商对托管区进行管理,提升云用户对在云端托管加密机的信任度。特别是,如果由一个以上密钥注入子系统以及加密机共同参与根密钥分量的生成过程,不仅可以提升根密钥的安全性、还可以进一步提升云用户对云提供商的信任度。
在上述实施例中提供了一种基于云环境的加密机密钥注入系统,在此基础上,本申请还提供一种用于加密机的密钥注入方法,所述方法在上述基于云环境的加密机密钥注入系统中实施。在描述本实施例之前,先对本技术方案作简要说明。
对于由加密机承载的待注入根密钥的虚拟加密设备,为了实现其根密钥的远程安全注入,本方法包括以下步骤:
1)密钥注入子系统的密钥生成设备和加密机托管子系统的加密机通过各自的量子密钥分发设备协商共享密钥对,其中,所述加密机承载云用户托管的待注入根密钥的虚拟加密设备;
2)所述密钥生成设备生成所述虚拟加密设备的根密钥分量、并采用协商好的共享密钥加密传输至所述加密机;
3)所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥、并存储所述根密钥。
在本方法的实施过程中,可以仅由一个密钥注入子系统(例如:位于云端的管理子系统或者位于客户端的用户子系统)按照预先设定的根密钥分量数目生成对应于所述虚拟加密设备的全部根密钥分量、并用协商好的共享密钥将所述全部分量加密传输至承载所述虚拟加密设备的加密机,由加密机根据接收到的、解密后的所述全部分量合成所述虚拟加密设备的根密钥并存储。
在本方法的实施过程中,也可以由一个以上密钥注入子系统以及加密机共同参与根密钥分量的生成,在这种情况下,由加密机根据接收到的来自不同密钥注入子系统的根密钥分量以及自己生成的根密钥分量,合成所述根密钥。
为了提升根密钥的安全性以及云用户对云提供商的信任,本实施例重点描述后一种实施方式。采用这种方式,密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数,上述步骤1)至3)也可以相应地进行细化,每个密钥注入子系统内的、负责生成根密钥分量的密钥生成设备都与加密机进行量子密钥协商,每个密钥注入子系统的所述密钥生成设备都生成一个根密钥分量并加密传输至加密机,同时增加由加密机生成一个根密钥分量的步骤,并由加密机根据上述根密钥分量合成为所述虚拟加密设备的根密钥。
进一步地,由于目前传统加密机密钥体系应用比较普及,因此本实施例以传统加密机的密钥体系为例,描述本技术方案的具体实施方式。在传统加密机密钥体系中根密钥分量数目为3,相应的,在实施本方法的系统中包括两个密钥注入子系统,分别为:位于云端的管理子系统和位于客户端的用户子系统;所述管理子系统中的密钥生成设备为管理设备;所述用户子系统中的密钥生成设备为终端设备。
请参考图2,其为本申请提供的一种用于加密机的密钥注入方法的实施例的流程图,本实施例与之前提供的基于云环境的加密机密钥注入系统的实施例内容相同的部分不再赘述,下面重点描述不同之处。本申请提供的用于加密机的密钥注入方法包括:
步骤201:管理设备和加密机通过各自的量子密钥分发设备协商共享密钥对,所述加密机承载云用户托管的待注入根密钥的虚拟加密设备。
为了保证密钥协商过程以及后续根密钥分量注入过程的安全性,在执行本步骤的量子密钥协商之前,可以先在管理设备和虚拟加密设备之间进行双向身份认证。
具体说,管理设备向承载虚拟加密设备的加密机发送身份认证请求,所述请求中携带所述管理设备的私钥签名身份证书,加密机接收到所述身份认证请求后,采用对应于所述管理设备的公钥解密所述私钥签名身份证书,若成功,则说明所述管理设备的身份是合法的。同样的道理,所述加密机也可以向所述管理设备发送其承载的虚拟加密设备的私钥签名身份证书,所述管理设备采用同样的方法对虚拟加密设备的身份进行验证。在上述双向身份认证过程中,如果任一方身份认证失败,则结束本方法的执行。
上面给出了基于公私钥对的身份认证方式,在其他实施方式中,也可以采用其他方式进行身份认证。例如加密机可以向管理设备发送所述虚拟加密设备的设备标识(例如,由设备厂商预置的序列号),管理设备利用该设备标识对虚拟加密设备进行身份验证。所述管理设备和虚拟加密设备的公私钥对和身份证书、以及设备标识等信息可以预置在所述设备中,也可以预先存储在相应设备的专属加密机中。
如果管理设备和虚拟加密设备都通过了对方的身份认证,那么管理设备和承载所述虚拟加密设备的加密机就可以通过各自的量子密钥分发设备,按照量子密钥分发协议,例如:BB84协议,协商共享密钥对。
步骤202:管理设备生成虚拟加密设备的第一根密钥分量,并采用协商好的共享密钥加密传输至所述加密机。
管理设备可以通过云提供商管理员的操作或者通过安装的密钥生成及管理程序生成虚拟加密设备的第一根密钥分量,并采用在步骤201中协商好的共享密钥加密传输至所述加密机,其中数据加解密功能可以由相应的管理设备或加密机完成,也可以由量子密钥分发设备完成,详细说明请参见之前提供的基于云环境的加密机密钥注入系统的实施例中的相关描述。
步骤203:终端设备和加密机通过各自的量子密钥分发设备协商共享密钥对。
同步骤201类似,在执行本步骤的量子密钥协商之前,可以先在终端设备和虚拟加密设备之间进行双向身份认证,具体处理流程请参见步骤201中的说明。如果终端设备和虚拟加密设备都通过了对方的身份认证,那么终端设备和承载所述虚拟加密设备的加密机就可以通过各自的量子密钥分发设备,按照量子密钥分发协议,例如:BB84协议,协商共享密钥对。
步骤204:终端设备生成虚拟加密设备的第二根密钥分量,并采用协商好的共享密钥加密传输至所述加密机。
终端设备可以通过云用户的操作或者通过安装的密钥生成及管理程序生成虚拟加密设备的第二根密钥分量,并采用在步骤203中协商好的共享密钥加密传输至所述加密机,其中数据加解密功能可以由相应的终端设备或加密机完成,也可以由量子密钥分发设备完成,详细说明请参见之前提供的基于云环境的加密机密钥注入系统的实施例中的相关描述。
步骤205:加密机生成所述虚拟加密设备的第三根密钥分量。
加密机可以通过自带的密钥生成模块或者工具随机生成所述虚拟加密设备的第三根密钥分量。
步骤206:加密机根据接收的第一根密钥分量、第二根密钥分量以及自己生成的第三根密钥分量,合成所述虚拟加密设备的根密钥,并存储所述根密钥。
加密机可以采用预先设定的算法完成本步骤的合成根密钥的操作,并将合成的根密钥作为其承载的所述虚拟加密设备的根密钥存储,关于合成算法的说明请参见之前提供的基于云环境的加密机密钥注入系统的实施例中的相关描述。
通过上述步骤201至206,实现了根密钥的远程注入。进一步地,本方法还可以实现用户主密钥和用户工作密钥的远程注入。具体说,在本步骤后还可以执行以下操作:
1)所述终端设备生成用户主密钥,并采用协商好的共享密钥加密传输至所述加密机;所述加密机将接收的用户主密钥作为所述虚拟加密设备的用户主密钥存储。
2)所述终端设备生成用户工作密钥,并采用协商好的共享密钥加密传输至所述加密机;所述加密机将接收的用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
通过上面的描述可以看出,本方法的核心在于,由密钥注入子系统的密钥生成设备生成所述虚拟加密设备的根密钥分量,并采用通过量子密钥分发设备协商好的共享密钥加密传输至加密机,由加密机合成所述虚拟加密设备的根密钥,从而实现了根密钥的远程安全注入,免除了云用户进出托管区手动插卡的必要,简化了密钥注入的操作过程。特别是,如果由一个以上密钥注入子系统以及加密机共同参与根密钥分量的生成过程,不仅可以提升根密钥的安全性、还可以进一步提升云用户对云提供商的信任度。
在上述的实施例中,提供了一种用于加密机的密钥注入方法,与之相对应的,本申请还提供一种用于加密机的密钥注入装置。请参看图3,其为本申请的一种用于加密机的密钥注入装置的实施例的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本实施例的一种用于加密机的密钥注入装置,包括:第一共享密钥对协商单元301,用于管理设备和加密机通过各自的量子密钥分发设备协商共享密钥对;第一分量生成传输单元302,用于管理设备生成虚拟加密设备的第一根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;第二共享密钥对协商单元303,用于终端设备和加密机通过各自的量子密钥分发设备协商共享密钥对;第二分量生成传输单元304,用于终端设备生成虚拟加密设备的第二根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;加密机分量生成单元305,用于所述加密机生成所述虚拟加密设备的第三根密钥分量;根密钥合成单元306,用于加密机根据从每个分量生成传输单元接收的根密钥分量、以及所述加密机分量生成单元生成的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
可选的,所述装置还包括:
用户主密钥生成传输单元,用于所述终端设备生成用户主密钥,并采用协商好的共享密钥加密传输至所述加密机;
用户主密钥存储单元,用于所述加密机将接收的用户主密钥作为所述虚拟加密设备的用户主密钥存储。
可选的,所述装置还包括:
用户工作密钥生成传输单元,用于所述终端设备生成用户工作密钥,并采用协商好的共享密钥加密传输至所述加密机;
用户工作密钥存储单元,用于所述加密机将接收的用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
可选的,所述装置还包括:
第一身份认证单元,用于在触发所述第一共享密钥对协商单元工作之前,在所述管理设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本装置的工作。
可选的,所述装置还包括:
第二身份认证单元,用于在触发所述第二共享密钥对协商单元工作之前,在所述终端设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本装置的工作。
可选的,所述第一身份认证单元和所述第二身份认证单元具体用于采用以下方式进行身份认证:
请求认证方设备向对端设备发送身份认证请求,所述请求中携带所述请求验证方设备的私钥签名身份证书;所述对端设备接收所述身份认证请求后,采用对应于所述请求认证方设备的公钥解密所述私钥签名身份证书,若成功,则所述请求认证方设备通过身份认证。
可选的,所述根密钥合成单元具体用于,所述加密机采用基于门限密钥共享机制的秘密重构算法合成所述虚拟加密设备的根密钥,并存储所述根密钥。
在上述实施例中提供了一种基于云环境的加密机密钥注入系统和一种用于加密机的密钥注入方法,在此基础上,本申请还提供一种在云端托管加密机的方法。请参考图4,其为本申请的一种在云端托管加密机的方法实施例的流程图,本实施例与上述实施例内容相同的部分不再赘述,下面重点描述不同之处。本申请提供的在云端托管加密机的方法包括:
步骤401:云用户通过终端设备向位于云端的管理设备发送加密机托管请求。
随着云用户的数据以及业务向云端的迁移,云用户通常也希望在云端拥有自己的加密机,并通过在加密机中存储的密钥对云端存储的其他密钥或者业务数据提供可靠的保护。在上述需求背景下,云提供商可以在云端提供加密机托管服务,云用户则可以根据需要通过终端设备向位于云端的管理设备发送加密机托管请求。
为了便于在后续操作过程中执行与身份认证相关的安全性操作,在云用户通过终端设备向位于云端的管理设备发送加密机托管请求之前,可以执行下述系统初始化操作:
由云提供商管理员为所述管理设备预置用于身份认证的公私钥对、和身份证书;由云用户(包括使用云服务的企业的管理员)为其终端设备预置用于身份认证的公私钥对、和身份证书;由加密机设备厂商为加密机中承载的虚拟加密设备预置用于身份认证的公私钥对、身份证书、以及设备标识。上述公钥是对外公开的,私钥用于签名身份证书。上述与身份认证相关的预置信息可以保存在相应设备专属的加密机中,也可以采用其他方式存储,在执行后续步骤时,可以采用上述身份认证信息对参与操作的设备身份进行验证(请参见步骤403)。
步骤402:管理设备根据接收到的请求,为所述云用户分配在云端托管的虚拟加密设备,所述虚拟加密设备由加密机承载。
管理设备根据接收到的加密机托管请求,为云用户分配相应加密机。管理设备为云用户分配的可以是拥有独立物理空间的加密机,也可以是由加密机承载的虚拟加密设备,即:多个云用户可以共享一台加密机,而共享同一加密机的每个云用户拥有独立的虚拟加密设备。在具体实施时,上述两种分配方式并不影响本技术方案的实施,为了便于描述,本实施例统一采用虚拟加密设备的表述方式。
通常管理设备在完成上述分配操作后,可以向所述终端设备发送已分配完毕的应答,并同时向终端设备发送所述虚拟加密设备的设备标识,以便于云用户在日后随时监管分配给其的虚拟加密设备的使用情况及安全状况。所述虚拟加密设备的设备标识是指,加密机设备厂商在系统初始化阶段为每个可供分配的虚拟加密设备预置的、用于唯一标识虚拟加密设备的标识信息,例如:序列号。
所述终端设备接收所述设备标识信息后,可以向加密机设备厂商验证所述虚拟加密设备的合法性。此处列举两种可以采用的验证方式:所述终端设备向相应的加密机设备厂商发送验证请求,并携带所述待验证的设备标识,所述加密机设备厂商执行验证操作后向终端设备反馈所述验证结果;通过所述终端设备访问加密机设备厂商提供的用于进行设备认证的网站、并根据所述设备标识进行查询。若所述加密机设备厂商反馈的验证结果或者查询结果表明,所述虚拟加密设备通过所述合法性验证,则可以执行后续步骤403向所述加密机中注入所述虚拟加密设备的根密钥;否则,终端设备可以通知管理设备所述虚拟加密设备未通过合法性验证,并且不继续执行后续注入根密钥的步骤。
需要说明的是,作为一种优选实施方式,为了保证所述设备标识信息的安全性,所述管理设备可以在向终端设备发送设备标识之前,与所述终端设备通过各自的量子密钥分发设备协商共享密钥对;然后管理设备采用协商好的共享密钥加密所述设备标识,并将加密后的设备标识发送给所述终端设备。相应的,所述终端设备采用协商好的共享密钥解密接收到的设备标识,并用解密后的设备标识执行所述验证操作。
步骤403:向所述加密机中远程注入所述虚拟加密设备的根密钥。
本步骤采用本申请提供的用于加密机的密钥注入方法完成所述根密钥的注入操作,具体描述请参见相应实施例中的说明,此处不再赘述。
需要说明的是,如果在上述步骤402中根据云用户的需求,为云用户分配了一个以上虚拟加密设备,那么在本步骤中可以采用远程注入的方式依次为每个虚拟加密设备注入根密钥。
本实施例提供的在云端托管加密机的方法,提出了一种实现加密机云化的技术方案,云用户通过终端设备向云端的管理设备发送加密机托管请求,就可以在云端托管虚拟加密设备,并且通过远程注入的方式实现根密钥的注入操作。由此可见,本方法提供了加密机云化的一种新思路,不仅方便云用户在云端托管虚拟加密设备,而且免除了云用户进出托管区手动插卡的必要,简化了密钥注入的操作过程,便于云提供商对托管区进行管理,提升云用户对在云端托管加密机的信任度。
在上述的实施例中,提供了一种在云端托管加密机的方法,与之相对应的,本申请还提供一种在云端托管加密机的装置。请参看图5,其为本申请的一种在云端托管加密机的装置的实施例的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本实施例的一种在云端托管加密机的装置,包括:托管请求发送单元501,用于云用户通过终端设备向位于云端的管理设备发送加密机托管请求;托管设备分配单元502,用于所述管理设备根据接收到的请求,为所述云用户分配在云端托管的虚拟加密设备,所述虚拟加密设备由加密机承载;根密钥注入单元503,用于采用上述用于加密机的密钥注入装置,向所述加密机中远程注入所述虚拟加密设备的根密钥。
可选的,所述装置包括:初始化单元,用于在触发所述托管请求发送单元工作之前执行初始化操作;该单元包括:
管理及终端设备初始化子单元,用于由相应管理者为所述管理设备、以及终端设备预置用于身份认证的公私钥对、和身份证书;
虚拟加密设备初始化子单元,用于由加密机设备厂商为加密机中承载的虚拟加密设备预置用于身份认证的公私钥对、身份证书、以及设备标识。
可选的,所述装置包括:
设备标识发送单元,用于在所述托管设备分配单元完成分配虚拟加密设备的操作后,所述管理设备将所述虚拟加密设备的设备标识发送给所述终端设备;
设备合法性验证单元,用于所述终端设备利用接收到的设备标识,向加密机设备厂商验证所述虚拟加密设备的合法性;若所述虚拟加密设备通过所述合法性验证,则触发所述根密钥注入单元工作。
可选的,所述装置包括:
共享密钥协商单元,用于在所述托管设备分配单元完成分配虚拟加密设备的操作后,所述管理设备与所述终端设备通过各自的量子密钥分发设备协商共享密钥对;
相应的,所述设备标识发送单元具体用于,管理设备采用协商好的共享密钥加密所述设备标识,并将加密后的设备标识发送给所述终端设备;
所述设备合法性验证单元具体用于,所述终端设备采用协商好的共享密钥对接收到的设备标识解密,并用解密后的设备标识执行所述验证操作。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
Claims (41)
1.一种基于云环境的加密机密钥注入系统,其特征在于,包括:至少一个密钥注入子系统、以及位于云端的加密机托管子系统;所述加密机托管子系统包括:承载云用户托管的虚拟加密设备的加密机,以及与所述加密机相连的量子密钥分发设备;所述密钥注入子系统包括:密钥生成设备,以及与所述密钥生成设备相连的量子密钥分发设备;
其中,所述密钥注入子系统和所述加密机托管子系统通过各自的量子密钥分发设备相连;所述量子密钥分发设备用于在与之相连的密钥生成设备和加密机之间协商共享密钥对;所述密钥生成设备用于生成所述虚拟加密设备的根密钥分量、以及采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;所述加密机用于根据接收的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
2.根据权利要求1所述的基于云环境的加密机密钥注入系统,其特征在于,所述密钥注入子系统的数量为1;
相应的,所述密钥注入子系统的密钥生成设备具体用于,按照预先设定的根密钥分量数目为所述虚拟加密设备生成相应数目的根密钥分量,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机。
3.根据权利要求2所述的基于云环境的加密机密钥注入系统,其特征在于,所述密钥注入子系统包括:位于云端的管理子系统、或者位于客户端的用户子系统。
4.根据权利要求1所述的基于云环境的加密机密钥注入系统,其特征在于,所述密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数;每个密钥注入子系统中的密钥生成设备具体用于,生成所述虚拟加密设备的一个根密钥分量;所述加密机还用于,生成所述虚拟加密设备的一个根密钥分量;
相应的,所述加密机用于根据接收的根密钥分量合成所述虚拟加密设备的根密钥具体是指,所述加密机根据从每个密钥注入子系统接收的根密钥分量,以及其生成的根密钥分量,合成所述虚拟加密设备的根密钥。
5.根据权利要求4所述的基于云环境的加密机密钥注入系统,其特征在于,所述预先设定的根密钥分量数目为3,所述密钥注入子系统的数量为2,所述密钥注入子系统包括:位于云端的管理子系统和位于客户端的用户子系统;所述管理子系统包括:量子密钥分发设备和用于承担所述密钥生成设备功能的管理设备;所述用户子系统包括:量子密钥分发设备和用于承担所述密钥生成设备功能的终端设备。
6.根据权利要求5所述的基于云环境的加密机密钥注入系统,其特征在于,所述用户子系统的终端设备还用于生成用户主密钥,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;
相应的,所述加密机还用于,将接收的所述用户主密钥作为所述虚拟加密设备的用户主密钥存储。
7.根据权利要求6所述的基于云环境的加密机密钥注入系统,其特征在于,所述用户子系统的终端设备还用于生成用户工作密钥,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;
相应的,所述加密机还用于,将接收的所述用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
8.根据权利要求5所述的基于云环境的加密机密钥注入系统,其特征在于,所述用户子系统的量子密钥分发设备包括:在云端租赁的量子密钥分发设备。
9.根据权利要求5所述的基于云环境的加密机密钥注入系统,其特征在于,所述加密机托管子系统的量子密钥分发设备和所述管理子系统的量子密钥分发设备通过具有量子密钥中继功能的路由设备相连。
10.根据权利要求1-9任一所述的基于云环境的加密机密钥注入系统,其特征在于,所述量子密钥分发设备包括:具有数据加解密功能的量子加密机。
11.根据权利要求1-9任一所述的基于云环境的加密机密钥注入系统,其特征在于,所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥具体是指,所述加密机采用基于门限密钥共享机制的秘密重构算法实现所述合成操作。
12.根据权利要求1-9任一所述的基于云环境的加密机密钥注入系统,其特征在于,所述系统还包括:维护子系统;所述维护子系统用于,对所述加密机承载的虚拟加密设备进行初始授权、以及对所述加密机的故障监控及维护。
13.根据权利要求1-9任一所述的基于云环境的加密机密钥注入系统,其特征在于,所述用户托管的虚拟加密设备为所述加密机。
14.一种用于加密机的密钥注入方法,其特征在于,所述方法在如权利要求1所述的基于云环境的加密机密钥注入系统中实施,包括:
密钥注入子系统的密钥生成设备和加密机托管子系统的加密机通过各自的量子密钥分发设备协商共享密钥对,其中,所述加密机承载云用户托管的待注入根密钥的虚拟加密设备;
所述密钥生成设备生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
15.根据权利要求14所述的用于加密机的密钥注入方法,其特征在于,所述密钥注入子系统的数量为1;
相应的,所述密钥生成设备生成所述虚拟加密设备的根密钥分量是指,所述密钥生成设备按照预先设定的根密钥分量数目生成所述虚拟加密设备的根密钥分量。
16.根据权利要求14所述的用于加密机的密钥注入方法,其特征在于,所述密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数;
相应的,所述密钥注入子系统的密钥生成设备和加密机托管子系统的加密机通过各自的量子密钥分发设备协商共享密钥对包括:每个密钥注入子系统的密钥生成设备和所述加密机分别通过各自的量子密钥分发设备协商彼此之间的共享密钥对;
所述密钥生成设备生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机,包括:每个密钥注入子系统的密钥生成设备分别生成所述虚拟加密设备的一个根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
所述方法还包括:所述加密机生成所述虚拟加密设备的一个根密钥分量;
所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥具体是指,所述加密机根据从每个密钥注入子系统接收的根密钥分量、以及其生成的根密钥分量合成所述虚拟加密设备的根密钥。
17.根据权利要求16所述的用于加密机的密钥注入方法,其特征在于,所述预先设定的根密钥分量数目为3,所述密钥注入子系统的数量为2,所述密钥注入子系统包括:位于云端的管理子系统和位于客户端的用户子系统;所述管理子系统中的密钥生成设备为管理设备;所述用户子系统中的密钥生成设备为终端设备。
18.根据权利要求17所述的用于加密机的密钥注入方法,其特征在于,还包括:
所述终端设备生成用户主密钥,并采用协商好的共享密钥加密传输至所述加密机;
所述加密机将接收的用户主密钥作为所述虚拟加密设备的用户主密钥存储。
19.根据权利要求18所述的用于加密机的密钥注入方法,其特征在于,还包括:
所述终端设备生成用户工作密钥,并采用协商好的共享密钥加密传输至所述加密机;
所述加密机将接收的用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
20.根据权利要求17所述的用于加密机的密钥注入方法,其特征在于,在所述管理设备和加密机通过各自的量子密钥分发设备协商共享密钥对的步骤之前,执行下述操作:
在所述管理设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本方法的执行。
21.根据权利要求17所述的用于加密机的密钥注入方法,其特征在于,在所述终端设备和加密机通过各自的量子密钥分发设备协商共享密钥对的步骤之前,执行下述操作:
在所述终端设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本方法的执行。
22.根据权利要求20或21所述的用于加密机的密钥注入方法,其特征在于,所述身份认证采用如下方式实现:
请求认证方设备向对端设备发送身份认证请求,所述请求中携带所述请求验证方设备的私钥签名身份证书;
所述对端设备接收所述身份认证请求后,采用对应于所述请求认证方设备的公钥解密所述私钥签名身份证书,若成功,则所述请求认证方设备通过身份认证。
23.根据权利要求14-21任一所述的用于加密机的密钥注入方法,其特征在于,所述加密机采用基于门限密钥共享机制的秘密重构算法合成所述虚拟加密设备的根密钥。
24.一种用于加密机的密钥注入装置,其特征在于,所述装置部署在如权利要求1所述的基于云环境的加密机密钥注入系统中,包括:
共享密钥对协商单元,用于密钥注入子系统的密钥生成设备和加密机托管子系统的加密机通过各自的量子密钥分发设备协商共享密钥对,其中,所述加密机承载云用户托管的待注入根密钥的虚拟加密设备;
分量生成传输单元,用于所述密钥生成设备生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
根密钥合成单元,用于所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
25.根据权利要求24所述的用于加密机的密钥注入装置,其特征在于,所述密钥注入子系统的数量为1;
相应的,所述分量生成传输单元具体用于,所述密钥生成设备按照预先设定的根密钥分量数目生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机。
26.根据权利要求24所述的用于加密机的密钥注入装置,其特征在于,所述密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数;
相应的,所述共享密钥对协商单元包括与所述密钥注入子系统的数量相同的共享密钥对协商子单元;每个子单元分别用于,不同密钥注入子系统的密钥生成设备和所述加密机分别通过各自的量子密钥分发设备协商彼此之间的共享密钥对;
所述分量生成传输单元包括与所述密钥注入子系统的数量相同的分量生成传输子单元;每个子单元分别用于,不同密钥注入子系统的密钥生成设备分别生成所述虚拟加密设备的一个根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
所述装置还包括:加密机分量生成单元,用于所述加密机生成所述虚拟加密设备的一个根密钥分量;
所述根密钥合成单元具体用于,加密机根据从每个分量生成传输子单元接收的根密钥分量、以及所述加密机分量生成单元生成的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
27.根据权利要求26所述的用于加密机的密钥注入装置,其特征在于,所述预先设定的根密钥分量数目为3,所述密钥注入子系统的数量为2,所述密钥注入子系统包括:位于云端的管理子系统和位于客户端的用户子系统;所述管理子系统中的密钥生成设备为管理设备;所述用户子系统中的密钥生成设备为终端设备;
所述共享密钥对协商单元包括两个共享密钥对协商子单元:对应于管理子系统的第一共享密钥对协商子单元、和对应于用户子系统的第二共享密钥对协商子单元;
所述分量生成传输单元包括两个分量生成传输子单元:对应于管理子系统的第一分量生成传输子单元、和对应于用户子系统的第二分量生成传输子单元。
28.根据权利要求27所述的用于加密机的密钥注入装置,其特征在于,还包括:
用户主密钥生成传输单元,用于所述终端设备生成用户主密钥,并采用协商好的共享密钥加密传输至所述加密机;
用户主密钥存储单元,用于所述加密机将接收的用户主密钥作为所述虚拟加密设备的用户主密钥存储。
29.根据权利要求28所述的用于加密机的密钥注入装置,其特征在于,还包括:
用户工作密钥生成传输单元,用于所述终端设备生成用户工作密钥,并采用协商好的共享密钥加密传输至所述加密机;
用户工作密钥存储单元,用于所述加密机将接收的用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
30.根据权利要求27所述的用于加密机的密钥注入装置,其特征在于,还包括:
第一身份认证单元,用于在触发所述第一共享密钥对协商子单元工作之前,在所述管理设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本装置的工作。
31.根据权利要求30所述的用于加密机的密钥注入装置,其特征在于,还包括:
第二身份认证单元,用于在触发所述第二共享密钥对协商子单元工作之前,在所述终端设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本装置的工作。
32.根据权利要求31所述的用于加密机的密钥注入装置,其特征在于,所述第一身份认证单元和所述第二身份认证单元具体用于采用以下方式进行身份认证:
请求认证方设备向对端设备发送身份认证请求,所述请求中携带所述请求验证方设备的私钥签名身份证书;所述对端设备接收所述身份认证请求后,采用对应于所述请求认证方设备的公钥解密所述私钥签名身份证书,若成功,则所述请求认证方设备通过身份认证。
33.根据权利要求24-31任一所述的用于加密机的密钥注入装置,其特征在于,所述根密钥合成单元具体用于,所述加密机采用基于门限密钥共享机制的秘密重构算法合成所述虚拟加密设备的根密钥,并存储所述根密钥。
34.一种在云端托管加密机的方法,其特征在于,包括:
云用户通过终端设备向位于云端的管理设备发送加密机托管请求;
所述管理设备根据接收到的请求,为所述云用户分配在云端托管的虚拟加密设备,所述虚拟加密设备由加密机承载;
采用如权利要求14所述的方法向所述加密机中注入所述虚拟加密设备的根密钥。
35.根据权利要求34所述的在云端托管加密机的方法,其特征在于,在所述云用户通过终端设备向位于云端的管理设备发送加密机托管请求之前,执行下述初始化操作:
由相应管理者为所述管理设备、以及终端设备预置用于身份认证的公私钥对、和身份证书;
由加密机设备厂商为加密机中承载的虚拟加密设备预置用于身份认证的公私钥对、身份证书、以及设备标识。
36.根据权利要求35所述的在云端托管加密机的方法,其特征在于,在所述管理设备为所述云用户分配在云端托管的虚拟加密设备之后,执行下述操作:
所述管理设备将所述虚拟加密设备的设备标识发送给所述终端设备;
所述终端设备根据接收到的设备标识,向加密机设备厂商验证所述虚拟加密设备的合法性;若所述虚拟加密设备通过所述合法性验证,则执行所述向所述加密机中注入所述虚拟加密设备的根密钥的步骤。
37.根据权利要求36所述的在云端托管加密机的方法,其特征在于,在所述管理设备为所述云用户分配在云端托管的虚拟加密设备之后,执行下述操作:
所述管理设备与所述终端设备通过各自的量子密钥分发设备协商共享密钥对;
相应的,所述管理设备将所述虚拟加密设备的设备标识发送给所述终端设备是指,所述管理设备采用协商好的共享密钥加密所述设备标识,并将加密后的设备标识发送给所述终端设备;
所述终端设备根据接收到的设备标识,向加密机设备厂商验证所述虚拟加密设备的合法性是指,所述终端设备采用协商好的共享密钥对接收到的设备标识解密,并用解密后的设备标识执行所述验证操作。
38.一种在云端托管加密机的装置,其特征在于,包括:
托管请求发送单元,用于云用户通过终端设备向位于云端的管理设备发送加密机托管请求;
托管设备分配单元,用于所述管理设备根据接收到的请求,为所述云用户分配在云端托管的虚拟加密设备,所述虚拟加密设备由加密机承载;
根密钥注入单元,用于采用如权利要求24所述的装置向所述加密机中注入所述虚拟加密设备的根密钥。
39.根据权利要求38所述的在云端托管加密机的装置,其特征在于,包括:初始化单元,用于在触发所述托管请求发送单元工作之前执行初始化操作;所述初始化单元包括:
管理及终端设备初始化子单元,用于由相应管理者为所述管理设备、以及终端设备预置用于身份认证的公私钥对、和身份证书;
虚拟加密设备初始化子单元,用于由加密机设备厂商为加密机中承载的虚拟加密设备预置用于身份认证的公私钥对、身份证书、以及设备标识。
40.根据权利要求39所述的在云端托管加密机的装置,其特征在于,包括:
设备标识发送单元,用于在所述托管设备分配单元完成分配虚拟加密设备的操作后,所述管理设备将所述虚拟加密设备的设备标识发送给所述终端设备;
设备合法性验证单元,用于所述终端设备利用接收到的设备标识,向加密机设备厂商验证所述虚拟加密设备的合法性;若所述虚拟加密设备通过所述合法性验证,则触发所述根密钥注入单元工作。
41.根据权利要求40所述的在云端托管加密机的装置,其特征在于,包括:
共享密钥协商单元,用于在所述托管设备分配单元完成分配虚拟加密设备的操作后,所述管理设备与所述终端设备通过各自的量子密钥分发设备协商共享密钥对;
相应的,所述设备标识发送单元具体用于,管理设备采用协商好的共享密钥加密所述设备标识,并将加密后的设备标识发送给所述终端设备;
所述设备合法性验证单元具体用于,所述终端设备采用协商好的共享密钥对接收到的设备标识解密,并用解密后的设备标识执行所述验证操作。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510195062.7A CN106161402B (zh) | 2015-04-22 | 2015-04-22 | 基于云环境的加密机密钥注入系统、方法及装置 |
| TW104128123A TWI715537B (zh) | 2015-04-22 | 2015-08-27 | 基於雲環境的加密機金鑰注入系統、方法及裝置 |
| EP16800453.9A EP3286867B1 (en) | 2015-04-22 | 2016-04-19 | Method, apparatus, and system for cloud-based encryption machine key injection |
| KR1020177032484A KR20170139570A (ko) | 2015-04-22 | 2016-04-19 | 클라우드 기반 암호화 기계 키 주입을 위한 방법, 장치 및 시스템 |
| PCT/US2016/028280 WO2016190990A2 (en) | 2015-04-22 | 2016-04-19 | Method, apparatus, and system for cloud-based encryption machine key injection |
| JP2017554889A JP6797828B2 (ja) | 2015-04-22 | 2016-04-19 | クラウドベースの暗号化マシン鍵インジェクションの方法、装置、及びシステム |
| US15/134,105 US10305688B2 (en) | 2015-04-22 | 2016-04-20 | Method, apparatus, and system for cloud-based encryption machine key injection |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510195062.7A CN106161402B (zh) | 2015-04-22 | 2015-04-22 | 基于云环境的加密机密钥注入系统、方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106161402A CN106161402A (zh) | 2016-11-23 |
| CN106161402B true CN106161402B (zh) | 2019-07-16 |
Family
ID=57148139
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510195062.7A Active CN106161402B (zh) | 2015-04-22 | 2015-04-22 | 基于云环境的加密机密钥注入系统、方法及装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10305688B2 (zh) |
| EP (1) | EP3286867B1 (zh) |
| JP (1) | JP6797828B2 (zh) |
| KR (1) | KR20170139570A (zh) |
| CN (1) | CN106161402B (zh) |
| TW (1) | TWI715537B (zh) |
| WO (1) | WO2016190990A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499851A (zh) * | 2022-01-30 | 2022-05-13 | 重庆长安汽车股份有限公司 | 一种基于端云一体化实现安全灌装根密钥的方法 |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106953732B (zh) * | 2017-03-10 | 2020-02-07 | 南方城墙信息安全科技有限公司 | 芯片卡的密钥管理系统及方法 |
| CN108809906B (zh) * | 2017-05-03 | 2020-07-07 | 腾讯科技(深圳)有限公司 | 数据处理方法、系统及装置 |
| CN109561047B (zh) | 2017-09-26 | 2021-04-13 | 安徽问天量子科技股份有限公司 | 基于密钥异地存储的加密数据存储系统及方法 |
| CN107844707B (zh) * | 2017-10-30 | 2020-12-29 | 深圳市雪球科技有限公司 | 一种卡数据管理方法以及卡数据管理系统 |
| CN108572861A (zh) * | 2018-04-26 | 2018-09-25 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟可信根的保护方法、系统、设备及存储介质 |
| CN109067527B (zh) * | 2018-08-31 | 2020-12-22 | 苏州科达科技股份有限公司 | 一种量子加密通信方法、通信终端和计算机可读存储介质 |
| CN109299618B (zh) * | 2018-09-20 | 2020-06-16 | 如般量子科技有限公司 | 基于量子密钥卡的抗量子计算云存储方法和系统 |
| CN109688141A (zh) * | 2018-12-27 | 2019-04-26 | 杭州翼兔网络科技有限公司 | 一种生理参数数据加密传输方法 |
| CN109728908B (zh) * | 2019-03-18 | 2021-10-15 | 南方电网调峰调频发电有限公司信息通信分公司 | 一种基于量子安全移动存储介质的密钥管理方法 |
| CN110011794B (zh) * | 2019-04-11 | 2021-08-13 | 北京智芯微电子科技有限公司 | 密码机密钥属性的测试方法 |
| CN110519238B (zh) * | 2019-08-08 | 2021-11-12 | 北京安御道合科技有限公司 | 一种基于密码技术的物联网安全系统和通信方法 |
| CN112367160B (zh) * | 2019-09-01 | 2023-09-26 | 成都量安区块链科技有限公司 | 一种虚拟量子链路服务方法与装置 |
| CN110690960B (zh) * | 2019-09-01 | 2022-02-22 | 成都量安区块链科技有限公司 | 一种中继节点的路由服务方法与装置 |
| CN110837634B (zh) * | 2019-10-24 | 2023-10-27 | 杭州安存网络科技有限公司 | 基于硬件加密机的电子签章方法 |
| KR102222080B1 (ko) * | 2020-02-24 | 2021-03-04 | 한국전자통신연구원 | 양자 개체 인증 장치 및 방법 |
| AU2021299194A1 (en) * | 2020-06-29 | 2023-01-05 | Illumina, Inc. | Temporary cloud provider credentials via secure discovery framework |
| KR102592873B1 (ko) * | 2020-07-03 | 2023-10-25 | 한국전자통신연구원 | 양자 키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법 |
| CN111865589B (zh) * | 2020-08-14 | 2023-09-08 | 国科量子通信网络有限公司 | 实现移动通信量子加密传输的量子通信加密系统及其方法 |
| CN114117458A (zh) * | 2020-08-29 | 2022-03-01 | 华为技术有限公司 | 密钥使用方法及相关产品 |
| CN112769805A (zh) * | 2020-12-31 | 2021-05-07 | 普华诚信信息技术有限公司 | 云密码管理方法、系统和存储介质 |
| US11895234B2 (en) * | 2021-09-30 | 2024-02-06 | Juniper Networks, Inc. | Delayed quantum key-distribution |
| CN114070640B (zh) * | 2021-11-25 | 2024-02-06 | 航天新通科技有限公司 | 一种安全通信方法及系统 |
| CN114244506B (zh) * | 2021-12-10 | 2024-04-02 | 问天鼎讯量子科技(无锡)有限公司 | 一种量子密钥的快速同步的方法及系统 |
| US11791994B1 (en) * | 2022-03-31 | 2023-10-17 | Juniper Networks, Inc. | Quantum cryptography in an internet key exchange procedure |
| CN114531238B (zh) * | 2022-04-24 | 2022-07-19 | 中电信量子科技有限公司 | 基于量子密钥分发的密钥安全充注方法及系统 |
| CN115865350B (zh) * | 2023-02-27 | 2023-05-05 | 合肥工业大学 | 一种基于量子安全的车云服务系统 |
| CN116527259B (zh) * | 2023-07-03 | 2023-09-19 | 中电信量子科技有限公司 | 基于量子密钥分发网络的跨域身份认证方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1848142A2 (en) * | 2006-04-19 | 2007-10-24 | Nec Corporation | Secret communications system and channel control method |
| CN201830272U (zh) * | 2010-09-17 | 2011-05-11 | 安徽问天量子科技股份有限公司 | 基于量子密钥的网络加密机 |
| CN103825741A (zh) * | 2014-01-24 | 2014-05-28 | 安徽云盾信息技术有限公司 | 一种加密设备生产过程中注入带签名的证书的解决方法 |
Family Cites Families (143)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5515438A (en) * | 1993-11-24 | 1996-05-07 | International Business Machines Corporation | Quantum key distribution using non-orthogonal macroscopic signals |
| JP2001285285A (ja) * | 2000-03-30 | 2001-10-12 | Murata Mach Ltd | 認証方法及び認証システム |
| JP4849710B2 (ja) * | 2000-10-06 | 2012-01-11 | パナソニック株式会社 | 暗号鍵配布方法及びその装置 |
| US6931128B2 (en) * | 2001-01-16 | 2005-08-16 | Microsoft Corporation | Methods and systems for generating encryption keys using random bit generators |
| US7068790B1 (en) * | 2001-08-31 | 2006-06-27 | Bbn Technologies Corp. | Systems and methods for path set-up in a quantum key distribution network |
| US20060222180A1 (en) * | 2002-10-15 | 2006-10-05 | Elliott Brig B | Chip-scale transmitter for quantum cryptography |
| US7627126B1 (en) * | 2002-10-15 | 2009-12-01 | Bbn Technologies Corp. | Systems and methods for implementing path length control for quantum cryptographic systems |
| US20050190921A1 (en) * | 2002-10-15 | 2005-09-01 | Bbnt Solutions Llc | Systems and methods for framing quantum cryptographic links |
| JP2004272770A (ja) * | 2003-03-11 | 2004-09-30 | Sony Corp | ネットワーク機器の中継装置の管理システム,ネットワーク機器の中継装置,認証サーバ,更新サーバ,およびネットワーク機器の中継装置の管理方法 |
| US7706535B1 (en) * | 2003-03-21 | 2010-04-27 | Bbn Technologies Corp. | Systems and methods for implementing routing protocols and algorithms for quantum cryptographic key transport |
| US7430295B1 (en) * | 2003-03-21 | 2008-09-30 | Bbn Technologies Corp. | Simple untrusted network for quantum cryptography |
| US7983422B2 (en) * | 2003-07-25 | 2011-07-19 | Hewlett-Packard Development Company, L.P. | Quantum cryptography |
| US7519814B2 (en) * | 2003-09-15 | 2009-04-14 | Trigence Corp. | System for containerization of application sets |
| JP4604045B2 (ja) * | 2003-11-13 | 2010-12-22 | マジック テクノロジーズ,インコーポレーテッド | 古典的なビット暗号化を有するqkd |
| US7697693B1 (en) * | 2004-03-09 | 2010-04-13 | Bbn Technologies Corp. | Quantum cryptography with multi-party randomness |
| JP2005260614A (ja) * | 2004-03-12 | 2005-09-22 | Dainippon Printing Co Ltd | 暗号装置 |
| US7646873B2 (en) * | 2004-07-08 | 2010-01-12 | Magiq Technologies, Inc. | Key manager for QKD networks |
| JP2006121524A (ja) * | 2004-10-22 | 2006-05-11 | Toshiba Solutions Corp | 公開鍵暗号装置 |
| US20090169015A1 (en) * | 2005-01-24 | 2009-07-02 | Inter-Univ Res Ins Corp / Res Org Of Info And Syst | Quantum key distribution method, communication system, and communication device |
| GB0512229D0 (en) * | 2005-06-16 | 2005-07-27 | Hewlett Packard Development Co | Quantum key distribution apparatus & method |
| GB2427317B (en) * | 2005-06-16 | 2010-05-19 | Hewlett Packard Development Co | Quantum key distribution apparatus & method |
| US20070076887A1 (en) * | 2005-09-30 | 2007-04-05 | Nortel Networks Limited | Double phase encoding quantum key distribution |
| US7889868B2 (en) * | 2005-09-30 | 2011-02-15 | Verizon Business Global Llc | Quantum key distribution system |
| WO2007055683A2 (en) * | 2005-11-04 | 2007-05-18 | The Board Of Trustees Of The Leland Stanford Junior University | Differential phase shift keying quantum key distribution |
| US20070130455A1 (en) * | 2005-12-06 | 2007-06-07 | Elliott Brig B | Series encryption in a quantum cryptographic system |
| US20070133798A1 (en) * | 2005-12-14 | 2007-06-14 | Elliott Brig B | Quantum cryptography on a multi-drop optical network |
| US8082443B2 (en) * | 2006-01-09 | 2011-12-20 | Bbnt Solutions Llc. | Pedigrees for quantum cryptography |
| JP5078035B2 (ja) * | 2006-03-06 | 2012-11-21 | 国立大学法人 奈良先端科学技術大学院大学 | 量子暗号通信方法 |
| JP2007274300A (ja) * | 2006-03-31 | 2007-10-18 | Hitachi Information & Communication Engineering Ltd | 共通鍵暗号通信における同期処理方法 |
| JP5196093B2 (ja) * | 2006-04-20 | 2013-05-15 | 日本電気株式会社 | 光通信装置およびそれを用いた量子暗号鍵配布システム |
| US8239680B2 (en) * | 2006-07-26 | 2012-08-07 | Japan Science And Technology Agency | Secret communication method and secret communication device thereof |
| US7539314B2 (en) * | 2006-08-14 | 2009-05-26 | Magiq Technologies, Inc. | Frame synchronization method for QKD systems |
| US8213616B2 (en) * | 2006-09-18 | 2012-07-03 | Georgia Tech Research Corporation | Systems and methods for providing opportunistic security for physical communication channels |
| US8213607B2 (en) * | 2006-10-18 | 2012-07-03 | Qualcomm Incorporated | Method for securely extending key stream to encrypt high-entropy data |
| US20080144836A1 (en) * | 2006-12-13 | 2008-06-19 | Barry Sanders | Distributed encryption authentication methods and systems |
| US7577257B2 (en) * | 2006-12-21 | 2009-08-18 | Verizon Services Operations, Inc. | Large scale quantum cryptographic key distribution network |
| EP2122900A4 (en) * | 2007-01-22 | 2014-07-23 | Spyrus Inc | PORTABLE DATA ENCRYPTION DEVICE WITH CONFIGURABLE SAFETY FUNCTIONS AND METHOD FOR FILING ENCRYPTION |
| JP2008203548A (ja) * | 2007-02-20 | 2008-09-04 | Oki Electric Ind Co Ltd | 二次双曲線群を使用する鍵生成方法、復号方法、署名検証方法、鍵ストリーム生成方法および装置。 |
| WO2009003189A1 (en) * | 2007-06-27 | 2008-12-31 | Acresso Software, Inc. | A method and system for software virtualization directly from an installation package |
| US8718485B2 (en) * | 2007-07-13 | 2014-05-06 | Nec Corporation | Quantum key distribution system, optical transmitter, optical modulation control circuit, and optical modulation control method |
| US8667482B2 (en) * | 2007-08-10 | 2014-03-04 | Microsoft Corporation | Automated application modeling for application virtualization |
| US9323519B2 (en) * | 2007-08-31 | 2016-04-26 | Red Hat, Inc. | Packaging an application |
| JP5013521B2 (ja) * | 2007-09-05 | 2012-08-29 | 独立行政法人情報通信研究機構 | 量子暗号通信装置及び方法 |
| US7853020B2 (en) * | 2007-09-19 | 2010-12-14 | Mogiq Technologies, Inc. | Systems and methods for enhanced quantum key formation using an actively compensated QKD system |
| WO2009054894A1 (en) * | 2007-10-23 | 2009-04-30 | Bvp Holding, Inc. | Multi-directional body swing, turn and twist trainer with interchangeable and adjustable attachments |
| US8855316B2 (en) * | 2008-01-25 | 2014-10-07 | Qinetiq Limited | Quantum cryptography apparatus |
| GB0801395D0 (en) * | 2008-01-25 | 2008-03-05 | Qinetiq Ltd | Network having quantum key distribution |
| JP5598762B2 (ja) * | 2008-03-07 | 2014-10-01 | 日本電気株式会社 | 仮想マシンパッケージ生成システム、仮想マシンパッケージ生成方法および仮想マシンパッケージ生成プログラム |
| US9575774B2 (en) * | 2008-04-25 | 2017-02-21 | Vmware, Inc. | Linking virtualized application namespaces at runtime |
| GB0809045D0 (en) * | 2008-05-19 | 2008-06-25 | Qinetiq Ltd | Quantum key distribution involving moveable key device |
| KR100983008B1 (ko) * | 2008-05-30 | 2010-09-20 | 한국전자통신연구원 | 양자 암호 시스템 및 양자 암호 키의 분배 방법 |
| US8862633B2 (en) * | 2008-05-30 | 2014-10-14 | Novell, Inc. | System and method for efficiently building virtual appliances in a hosted environment |
| US8694989B1 (en) * | 2008-07-17 | 2014-04-08 | Apple Inc. | Virtual installation environment |
| US20110055585A1 (en) * | 2008-07-25 | 2011-03-03 | Kok-Wah Lee | Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering |
| US8572580B2 (en) * | 2008-07-28 | 2013-10-29 | Microsoft Corporation | Computer application packages with customizations |
| GB0819665D0 (en) * | 2008-10-27 | 2008-12-03 | Qinetiq Ltd | Quantum key dsitribution |
| GB0822254D0 (en) * | 2008-12-05 | 2009-01-14 | Qinetiq Ltd | Method of performing authentication between network nodes |
| GB0822253D0 (en) * | 2008-12-05 | 2009-01-14 | Qinetiq Ltd | Method of establishing a quantum key for use between network nodes |
| WO2010067551A1 (ja) * | 2008-12-10 | 2010-06-17 | 日本電気株式会社 | 秘匿通信ネットワークにおける共有乱数管理方法および管理システム |
| KR101252757B1 (ko) * | 2008-12-22 | 2013-04-11 | 한국전자통신연구원 | 편광부호화 양자 암호 시스템 |
| US10698923B2 (en) * | 2009-06-11 | 2020-06-30 | Talari Networks, Inc. | Methods and apparatus for providing adaptive private network database schema migration and management processes |
| SE534384C2 (sv) * | 2009-07-03 | 2011-08-02 | Kelisec Ab | Förfarande för att alstra en krypterings-/dekrypteringsnyckel |
| GB0917060D0 (en) * | 2009-09-29 | 2009-11-11 | Qinetiq Ltd | Methods and apparatus for use in quantum key distribution |
| TWI517653B (zh) * | 2009-11-16 | 2016-01-11 | Arm科技有限公司 | 電子裝置及密碼材料供應之方法 |
| US20110126197A1 (en) * | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for controlling cloud and virtualized data centers in an intelligent workload management system |
| US8627426B2 (en) * | 2010-04-26 | 2014-01-07 | Vmware, Inc. | Cloud platform architecture |
| US8555377B2 (en) * | 2010-04-29 | 2013-10-08 | High Cloud Security | Secure virtual machine |
| US8433070B2 (en) * | 2010-05-17 | 2013-04-30 | Raytheon Bbn Technologies Corp. | Systems and methods for stabilization of interferometers for quantum key distribution |
| US9002009B2 (en) * | 2010-06-15 | 2015-04-07 | Los Alamos National Security, Llc | Quantum key distribution using card, base station and trusted authority |
| US8483394B2 (en) * | 2010-06-15 | 2013-07-09 | Los Alamos National Security, Llc | Secure multi-party communication with quantum key distribution managed by trusted authority |
| GB201020424D0 (en) * | 2010-12-02 | 2011-01-19 | Qinetiq Ltd | Quantum key distribution |
| US20120246634A1 (en) * | 2011-03-23 | 2012-09-27 | Dell Products L.P. | Portable virtual applications |
| WO2012139174A1 (en) * | 2011-04-15 | 2012-10-18 | Quintessencelabs Pty Ltd | Qkd key management system |
| GB2491896A (en) * | 2011-06-17 | 2012-12-19 | Univ Bruxelles | Secret key generation |
| US8862741B1 (en) * | 2011-06-23 | 2014-10-14 | Amazon Technologies, Inc. | Layered machine images |
| FR2977116A1 (fr) * | 2011-06-27 | 2012-12-28 | France Telecom | Procede de fourniture de service d'execution de logiciel a la demande |
| EP2745212B1 (en) * | 2011-08-19 | 2020-12-30 | Quintessencelabs Pty Ltd | Virtual zeroisation system and method |
| JP5624526B2 (ja) * | 2011-08-26 | 2014-11-12 | 株式会社東芝 | 鍵共有装置、鍵共有方法および鍵共有プログラム |
| US8897449B1 (en) * | 2011-09-12 | 2014-11-25 | Quantum Valley Investment Fund LP | Quantum computing on encrypted data |
| US9509506B2 (en) * | 2011-09-30 | 2016-11-29 | Los Alamos National Security, Llc | Quantum key management |
| US10019235B2 (en) * | 2011-09-30 | 2018-07-10 | Los Alamos National Security, Llc | Quantum random number generators |
| US8953790B2 (en) * | 2011-11-21 | 2015-02-10 | Broadcom Corporation | Secure generation of a device root key in the field |
| US9519472B2 (en) * | 2011-11-23 | 2016-12-13 | Red Hat, Inc. | Automation of virtual machine installation by splitting an installation into a minimal installation and customization |
| US9047133B2 (en) * | 2012-03-02 | 2015-06-02 | Vmware, Inc. | Single, logical, multi-tier application blueprint used for deployment and management of multiple physical applications in a cloud environment |
| US9052961B2 (en) * | 2012-03-02 | 2015-06-09 | Vmware, Inc. | System to generate a deployment plan for a cloud infrastructure according to logical, multi-tier application blueprint |
| US9184912B2 (en) * | 2012-04-17 | 2015-11-10 | The Boeing Company | Secure quantum authentication system |
| US8693691B2 (en) * | 2012-05-25 | 2014-04-08 | The Johns Hopkins University | Embedded authentication protocol for quantum key distribution systems |
| US9348652B2 (en) * | 2012-07-02 | 2016-05-24 | Vmware, Inc. | Multi-tenant-cloud-aggregation and application-support system |
| JP5694247B2 (ja) * | 2012-07-17 | 2015-04-01 | 株式会社東芝 | 鍵生成装置、通信方法および通信システム |
| CA2883313C (en) * | 2012-08-30 | 2020-06-16 | Los Alamos National Security, Llc | Multi-factor authentication using quantum communication |
| JP2014103514A (ja) * | 2012-11-19 | 2014-06-05 | Toshiba Corp | 通信装置、通信システムおよびプログラム |
| US9189285B2 (en) * | 2012-12-14 | 2015-11-17 | Microsoft Technology Licensing, Llc | Scalable services deployment |
| JP6076752B2 (ja) * | 2013-01-22 | 2017-02-08 | 株式会社東芝 | 通信装置、通信システムおよびプログラム |
| ES2632784T3 (es) * | 2013-01-25 | 2017-09-15 | LEONARDO S.p.A | Sistema de distribución de clave criptográfica cuántica que incluye dos dispositivos periféricos y una fuente óptica |
| US9036817B1 (en) * | 2013-03-22 | 2015-05-19 | The Boeing Company | Network communications using quantum key distribution |
| JP6054224B2 (ja) * | 2013-03-25 | 2016-12-27 | 株式会社東芝 | 通信装置、通信システム、通信方法およびプログラム |
| WO2015023332A2 (en) * | 2013-05-23 | 2015-02-19 | Gridcom Technologies, Inc. | Incorruptible public key using quantum cryptography for secure wired and wireless communications |
| TWI487308B (zh) * | 2013-05-29 | 2015-06-01 | 國立成功大學 | 量子通訊方法 |
| JP6157974B2 (ja) * | 2013-07-31 | 2017-07-05 | 株式会社東芝 | 送信機、受信機、量子鍵配送(QKD;QuantumKeyDistribution)システム及び量子鍵配送方法 |
| JP6115387B2 (ja) * | 2013-07-31 | 2017-04-19 | 沖電気工業株式会社 | 量子鍵配送用受信器及び単一光子検出器の使用方法 |
| JP6230322B2 (ja) * | 2013-08-01 | 2017-11-15 | 株式会社東芝 | 通信装置、鍵共有方法、プログラムおよび通信システム |
| US9350550B2 (en) * | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| CN104518866B (zh) * | 2013-09-30 | 2016-06-29 | 科大国盾量子技术股份有限公司 | 一种量子密钥分发终端和系统 |
| US10291399B2 (en) * | 2013-09-30 | 2019-05-14 | Traid National Security, LLC | Quantum-secured communications overlay for optical fiber communications networks |
| US9087205B2 (en) * | 2013-10-11 | 2015-07-21 | Sap Se | Shared encrypted storage |
| CN103580872B (zh) * | 2013-11-11 | 2016-12-07 | 北京华大智宝电子系统有限公司 | 一种用于密钥生成与管理的系统及方法 |
| JP6165646B2 (ja) * | 2014-01-30 | 2017-07-19 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
| JP6359285B2 (ja) * | 2014-02-17 | 2018-07-18 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
| JP6211963B2 (ja) * | 2014-03-18 | 2017-10-11 | 株式会社東芝 | 受信機、送信機、通信システムおよび通信方法 |
| JP6169028B2 (ja) * | 2014-03-18 | 2017-07-26 | 株式会社東芝 | 通信装置、通信システムおよび通信方法 |
| JP6203093B2 (ja) * | 2014-03-19 | 2017-09-27 | 株式会社東芝 | 通信システム、通信装置、通信方法およびプログラム |
| US9767317B1 (en) * | 2014-03-25 | 2017-09-19 | Amazon Technologies, Inc. | System to provide cryptographic functions to a markup language application |
| US9747091B1 (en) * | 2014-03-31 | 2017-08-29 | Amazon Technologies, Inc. | Isolated software installation |
| US8990809B1 (en) * | 2014-06-23 | 2015-03-24 | Flexera Software Llc | Creating a virtual appliance using existing installation manifest |
| WO2016046222A1 (en) * | 2014-09-26 | 2016-03-31 | British Telecommunications Public Limited Company | Secure virtualised data volumes |
| US9965307B2 (en) * | 2014-10-06 | 2018-05-08 | Vmware, Inc. | Building virtual appliances |
| KR101776137B1 (ko) * | 2014-10-30 | 2017-09-19 | 에스케이 텔레콤주식회사 | 양자 키 분배 시스템에서 복수의 장치에 키를 공급하는 장치 및 방법 |
| JP6400441B2 (ja) * | 2014-11-19 | 2018-10-03 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
| US9747136B2 (en) * | 2014-12-09 | 2017-08-29 | Vmware, Inc. | Methods and systems that allocate cost of cluster resources in virtual data centers |
| CN105871538B (zh) * | 2015-01-22 | 2019-04-12 | 阿里巴巴集团控股有限公司 | 量子密钥分发系统、量子密钥分发方法及装置 |
| US20160234009A1 (en) * | 2015-02-08 | 2016-08-11 | Wenhua Li | Chaotic Baseband Modulation Hopping Based Post-Quantum Physical-Layer Encryption |
| JP2016171530A (ja) * | 2015-03-13 | 2016-09-23 | 株式会社東芝 | 通信装置、通信方法、プログラムおよび通信システム |
| JP6400513B2 (ja) * | 2015-03-18 | 2018-10-03 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送方法およびプログラム |
| US9619270B2 (en) * | 2015-06-27 | 2017-04-11 | Vmware, Inc. | Remote-direct-memory-access-based virtual machine live migration |
| US10147110B2 (en) * | 2015-06-29 | 2018-12-04 | Vmware, Inc. | Methods and systems to evaluate cost driver and virtual data center costs |
| US10243815B2 (en) * | 2015-06-29 | 2019-03-26 | Vmware, Inc. | Methods and systems to evaluate data center resource allocation costs |
| US9619261B2 (en) * | 2015-06-29 | 2017-04-11 | Vmware, Inc. | Method and system for anticipating demand for a computational resource by containers running above guest operating systems within a distributed, virtualized computer system |
| US10031768B2 (en) * | 2015-06-30 | 2018-07-24 | Vmware, Inc. | Host-gateway-facilitated aggregation of host-computer clusters |
| US9910657B2 (en) * | 2015-09-16 | 2018-03-06 | International Business Machines Corporation | Installing software where operating system prerequisites are unmet |
| US9672074B2 (en) * | 2015-10-19 | 2017-06-06 | Vmware, Inc. | Methods and systems to determine and improve cost efficiency of virtual machines |
| US11263006B2 (en) * | 2015-11-24 | 2022-03-01 | Vmware, Inc. | Methods and apparatus to deploy workload domains in virtual server racks |
| US10313479B2 (en) * | 2015-11-24 | 2019-06-04 | Vmware, Inc. | Methods and apparatus to manage workload domains in virtual server racks |
| US20170161101A1 (en) * | 2015-12-04 | 2017-06-08 | Vmware, Inc. | Modularized automated-application-release-management subsystem |
| US10157044B2 (en) * | 2015-12-04 | 2018-12-18 | Vmware, Inc. | Automated application-release-management subsystem |
| US11265202B2 (en) * | 2015-12-04 | 2022-03-01 | Vmware, Inc. | Integrated automated application deployment |
| US20170161057A1 (en) * | 2015-12-04 | 2017-06-08 | Vmware, Inc. | Plug-in-based artifact-management subsystem |
| US10116675B2 (en) * | 2015-12-08 | 2018-10-30 | Vmware, Inc. | Methods and systems to detect anomalies in computer system behavior based on log-file sampling |
| US9916092B2 (en) * | 2015-12-09 | 2018-03-13 | Vmware, Inc. | Methods and systems to allocate physical data-storage costs to logical disks |
| US10320891B2 (en) * | 2016-01-25 | 2019-06-11 | Vmware, Inc. | Node selection for message redistribution in an integrated application-aware load balancer incorporated within a distributed-service-application-controlled distributed computer system |
| US10992739B2 (en) * | 2016-01-25 | 2021-04-27 | Vmware, Inc. | Integrated application-aware load balancer incorporated within a distributed-service-application-controlled distributed computer system |
| US10255092B2 (en) * | 2016-02-09 | 2019-04-09 | Airwatch Llc | Managed virtual machine deployment |
| EP3220574B1 (en) * | 2016-03-14 | 2020-04-22 | Kabushiki Kaisha Toshiba | Quantum key distribution device, quantum key distribution system and quantum key distribution method |
| US10671951B2 (en) * | 2016-03-21 | 2020-06-02 | Vmware, Inc. | Methods and systems to determine container costs and attribute container costs to applications |
-
2015
- 2015-04-22 CN CN201510195062.7A patent/CN106161402B/zh active Active
- 2015-08-27 TW TW104128123A patent/TWI715537B/zh active
-
2016
- 2016-04-19 WO PCT/US2016/028280 patent/WO2016190990A2/en unknown
- 2016-04-19 EP EP16800453.9A patent/EP3286867B1/en active Active
- 2016-04-19 JP JP2017554889A patent/JP6797828B2/ja active Active
- 2016-04-19 KR KR1020177032484A patent/KR20170139570A/ko unknown
- 2016-04-20 US US15/134,105 patent/US10305688B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1848142A2 (en) * | 2006-04-19 | 2007-10-24 | Nec Corporation | Secret communications system and channel control method |
| CN201830272U (zh) * | 2010-09-17 | 2011-05-11 | 安徽问天量子科技股份有限公司 | 基于量子密钥的网络加密机 |
| CN103825741A (zh) * | 2014-01-24 | 2014-05-28 | 安徽云盾信息技术有限公司 | 一种加密设备生产过程中注入带签名的证书的解决方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499851A (zh) * | 2022-01-30 | 2022-05-13 | 重庆长安汽车股份有限公司 | 一种基于端云一体化实现安全灌装根密钥的方法 |
| CN114499851B (zh) * | 2022-01-30 | 2023-05-26 | 重庆长安汽车股份有限公司 | 一种基于端云一体化实现安全灌装根密钥的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016190990A2 (en) | 2016-12-01 |
| JP6797828B2 (ja) | 2020-12-09 |
| EP3286867B1 (en) | 2020-12-09 |
| EP3286867A2 (en) | 2018-02-28 |
| US10305688B2 (en) | 2019-05-28 |
| JP2018518090A (ja) | 2018-07-05 |
| KR20170139570A (ko) | 2017-12-19 |
| TWI715537B (zh) | 2021-01-11 |
| WO2016190990A3 (en) | 2017-02-09 |
| TW201638824A (zh) | 2016-11-01 |
| EP3286867A4 (en) | 2018-04-18 |
| US20160315768A1 (en) | 2016-10-27 |
| CN106161402A (zh) | 2016-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106161402B (zh) | 基于云环境的加密机密钥注入系统、方法及装置 | |
| CN105871538B (zh) | 量子密钥分发系统、量子密钥分发方法及装置 | |
| WO2021184968A1 (zh) | 共享集群密钥的方法及装置 | |
| WO2021184882A1 (zh) | 验证合约的方法及装置 | |
| US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
| CN104486307B (zh) | 一种基于同态加密的分权密钥管理方法 | |
| CN101515319B (zh) | 密钥处理方法、密钥密码学服务系统和密钥协商方法 | |
| CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
| CN107959566A (zh) | 量子数据密钥协商系统及量子数据密钥协商方法 | |
| CN103534976A (zh) | 数据安全的保护方法、服务器、主机及系统 | |
| US20220327530A1 (en) | Digital signature generation using a cold wallet | |
| JP2016502377A (ja) | 安全計算を用いて安全性を提供する方法 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| CN109194523A (zh) | 隐私保护的多方诊断模型融合方法及系统、云端服务器 | |
| CN101771699A (zh) | 一种提高SaaS应用安全性的方法及系统 | |
| CN102244575A (zh) | 增值税网上报税数据安全传输系统及方法 | |
| US20210105136A1 (en) | Method for securing a data exchange in a distributed infrastructure | |
| CN109981255A (zh) | 密钥池的更新方法和系统 | |
| CN109257347A (zh) | 适于银企间数据交互的通信方法和相关装置、存储介质 | |
| CN111865609A (zh) | 一种基于国密算法的私有云平台数据加解密系统 | |
| CN103916363A (zh) | 加密机的通讯安全管理方法和系统 | |
| CN113645195A (zh) | 基于cp-abe和sm4的密文访问控制系统及方法 | |
| CN110493177B (zh) | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 | |
| CN110519222B (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| CN111756530B (zh) | 量子服务移动引擎系统、网络架构及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1230356 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Fu Yingfang Inventor after: Liu Shuanlin Inventor before: Fu Yingfang Inventor before: Liu Shuanlin |