CN107800537B - 基于量子密钥分配技术的加密数据库系统及方法、存储方法及查询方法 - Google Patents

基于量子密钥分配技术的加密数据库系统及方法、存储方法及查询方法 Download PDF

Info

Publication number
CN107800537B
CN107800537B CN201711205844.XA CN201711205844A CN107800537B CN 107800537 B CN107800537 B CN 107800537B CN 201711205844 A CN201711205844 A CN 201711205844A CN 107800537 B CN107800537 B CN 107800537B
Authority
CN
China
Prior art keywords
data
key
encryption
decryption
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711205844.XA
Other languages
English (en)
Other versions
CN107800537A (zh
Inventor
韩正甫
王剑锋
苗春华
尹凯
张奇
陈传亮
黄敦锋
尹家卫
刘云
朱文正
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Asky Quantum Technology Co Ltd
Original Assignee
Anhui Asky Quantum Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Asky Quantum Technology Co Ltd filed Critical Anhui Asky Quantum Technology Co Ltd
Priority to CN201711205844.XA priority Critical patent/CN107800537B/zh
Publication of CN107800537A publication Critical patent/CN107800537A/zh
Application granted granted Critical
Publication of CN107800537B publication Critical patent/CN107800537B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Electromagnetism (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于量子密钥分配技术的加密数据库系统,基于量子密钥分配技术的加密数据库系统,包括加密数据库服务模块和密钥存储服务模块;所述加密数据库服务模块包括:数据预处理装置、数据特征处理装置、数据加解密控制装置、密文数据存储装置和第一量子密钥分发装置;所述密钥存储服务模块包括:密钥加解密控制装置、数据加解密密钥存储装置、数据特征值存储装置和第二量子密钥分发装置。本发明还公开了一种加密数据库存储方法,以及一种加密数据库查询方法。本发明既能实现数据库中每个数据段使用独立的密钥加密成密文数据,又能实现数据防篡改。

Description

基于量子密钥分配技术的加密数据库系统及方法、存储方法 及查询方法
技术领域
本发明涉及信息安全相关领域的数据库安全存储技术,尤其涉及一种基于量子密钥分配技术的加密数据库系统及方法、存储方法及查询方法。
背景技术
数据库是数据存储普遍采用的方法,目前,为了保障数据库安全,普遍采用数据库加密,对明文数据加密存储,实现上采用列解密,加密用的密钥与加密后的密文数据仍存在同一个数据库中。然而该方法仍存有弊端,一方面数据加密密钥重复使用,密钥容易被泄露或破解,另一方面加密密钥与加密后的密文数据没有分离,如果数据存储系统被非法访问,密钥很容易被攻击者找到。且单纯采用加密的方式无法解决密文数据被篡改的风险。
根据专利申请号201710880316.8的专利《一种基于密钥异地存储的加密数据存储装置及方法》所述,该专利实现了密钥异地存储的方法,实现了加密密钥与数据库密文数据安全分离。本专利进一步提出在数据库中使用数据段加密的方法和使用数据特征查询的方法等,实现加密数据库存储和查询服务。
发明内容
本发明所要解决的技术问题是针对上述现有技术的不足,提供一种基于量子密钥分配技术的加密数据库系统及方法、存储方法及查询方法,本发明既能实现数据库中每个数据段使用独立的密钥加密成密文数据,又能实现解密数据的加密。
为实现上述技术目的,本发明采取的技术方案为:
基于量子密钥分配技术的加密数据库系统,其特征在于:包括加密数据库服务模块和密钥存储服务模块;所述加密数据库服务模块包括:数据预处理装置、数据特征处理装置、数据加解密控制装置、密文数据存储装置和第一量子密钥分发装置;所述密钥存储服务模块包括:密钥加解密控制装置、数据加解密密钥存储装置、数据特征值存储装置和第二量子密钥分发装置;
所述数据加解密控制装置分别与数据特征处理装置、密文数据存储装置和第一量子密钥分发装置通信连接,所述数据特征处理装置与数据预处理装置通信连接;所述密钥加解密控制装置分别与数据加解密密钥存储装置、数据特征值存储装置和第二量子密钥分发装置通信连接;所述数据加解密控制装置与密钥加解密控制装置之间通信连接;所述第一量子密钥分发装置与第二量子密钥分发装置之间通信连接;
所述数据预处理装置用于接收输入或查询请求,并对输入或者请求进行预处理;所述数据特征处理装置,用于处理数据并生成数据特征值;所述数据加解密控制装置,用于控制第一量子密钥分发装置生成量子密钥和处理密文数据加解密;所述密文数据存储装置,用于存储经过数据加解密控制装置加密后的数据;
所述第一量子密钥分发装置和第二量子密钥分发装置,用于产生一对量子密钥;
所述密钥加解密控制装置用于控制第二量子密钥分发装置生成量子密钥和处理密钥数据加解密;所述数据特征值存储装置用于存储数据特征值;所述数据加解密密钥存储装置,用于存储数据的加解密密钥。
进一步的,所述预处理包括对不同数据库操作和数据格式转换。
为实现上述技术目的,本发明采取的另一种技术方案是:加密数据库存储方法,数据库中每个数据段使用独立的密钥加密成密文数据,具体步骤如下:
步骤1:生成数据特征值:输入数据经数据预处理装置处理后形成待存储数据,数据特征处理装置将输入的待存储数据,使用单向不可逆算法生成数据特征值,数据特征处理装置将包含待存储数据、数据特征值的加密存储请求发送至数据加解密控制装置,等待数据存储结果;
步骤2:发送密钥分配请求:数据加解密控制装置接收数据加密存储请求,将包含数据特征值的密钥分配请求发送至密钥加解密控制装置;
步骤3:存储数据特征值:密钥加解密控制装置接收密钥分配请求,控制第一量子密钥分发装置和第二量子密钥分发装置提供一对相同的量子密钥;密钥加解密控制装置生成唯一标记ID;密钥加解密控制装置将包含数据特征值、标记ID的内容存储到数据特征值存储装置中;
步骤4:存储数据加密密钥:密钥加解密控制装置从第二量子密钥分发装置获取量子密钥,量子密钥即为数据加密密钥;密钥加解密控制装置将包含标记ID和数据加密密钥的内容存储到数据加解密密钥存储装置中;密钥加解密控制装置将包含标记ID的密钥分配响应发送至数据加解密控制装置;
步骤5:加密并存储数据:数据加解密控制装置接收密钥分配响应,从第一量子密钥分发装置获取相同量子密钥,该量子密钥即为数据加密密钥;数据加解密控制装置将待存储数据进行加密生成密文数据;数据加解密控制装置将包含标记ID、密文数据的内容存储到密文数据存储装置中;数据加解密控制装置返回数据存储结果。
为实现上述技术目的,本发明采取的另一种技术方案是:加密数据库查询方法,其特征在于包括以下步骤:
步骤1:生成数据特征值:输入数据经数据预处理装置处理后形成待查询数据,数据特征处理装置将输入的待查询数据,使用相同的单向不可逆算法生成查询数据特征值,将包含查询数据特征值、查询字段值的查询请求发送至数据加解密控制装置,等待查询结果;
步骤2:发送密钥分配请求;数据加解密控制装置接收查询请求,将包含查询数据特征值、查询字段值的密钥分配请求发送至密钥加解密控制装置;
步骤3:获取查询字段的数据特征值和解密密钥;密钥加解密控制装置接收密钥分配请求,控制第一量子密钥分发装置和第二量子密钥分发装置提供一对相同的量子密钥;密钥加解密控制装置根据查询数据特征值条件,在数据特征值存储装置中查询,得到标记ID和查询字段值对应的数据特征值;密钥加解密控制装置根据标记ID和查询字段值在数据加解密密钥存储装置中查询,得到查询字段值对应的解密密钥;密钥加解密控制装置使用量子密钥将解密密钥加密形成密文解密密钥;密钥加解密控制装置将包含标记ID、查询字段值对应的数据特征值、查询字段值对应的密文解密密钥的密钥分配响应发送至数据加解密控制装置;
步骤4:解密查询字段的密文数据;数据加解密控制装置接收密钥分配响应,从第一量子密钥分发装置获取相同量子密钥,使用该量子密钥还原密文解密密钥得到数据解密密钥;数据加解密控制装置根据标记ID和查询字段值在密文数据存储装置中查询,获得查询字段值对应的密文数据;数据加解密控制装置使用解密密钥将密文数据解密得到明文数据;
步骤5:校验查询字段的密文数据;数据加解密控制装置将明文数据使用相同的单向不可逆算法生成数据特征值,与密钥分配响应中查询字段值对应的数据特征值进行对比,校验数据是否被篡改;数据加解密控制装置返回明文数据,即查询结果。
进一步的,使用数据特征值替代标记ID,密文数据库中数据段内容包含数据特征值和密文数据,数据加解密密钥数据库中数据段内容包含数据特征值和解密密钥。
为实现上述技术目的,本发明采取的另一种技术方案是:基于量子加密技术的加密数据库系统,其特征在于:包括数据安全控制装置、密文数据存储装置、数据特征存储装置、数据前置处理装置、第一量子密钥分发装置、第二量子密钥分发装置、密钥处理装置、密钥存储装置、秘密查询前置处理装置和密文密钥发送装置;数据安全控制装置分别与秘密查询前置处理装置、数据前置处理装置、密文数据存储装置、第一量子密钥分发装置连接;密钥存储装置分别与密文数据存储装置、数据特征存储装置、密文密钥发送装置和第二量子密钥分发装置连接。
为实现上述技术目的,本发明采取的另一种技术方案是:加密数据库方法,其特征在于包括以下步骤:
步骤1:秘密查询前置处理装置接收查询请求,根据输入查询条件,进行预处理,将查询条件转换成特征值,发送以特征值为查询条件的查询请求至数据安全控制装置;
步骤2:数据安全控制装置根据接收查询请求,将请求转发至密钥处理装置;
步骤3:密钥处理装置接收请求后,通过特征查询从数据特征存储装置获取标记ID;密钥处理装置发送量子密钥控制指令至量子密钥分发装置,密钥处理装置与数据安全控制装置分别从对应的量子密钥分发装置获取对称密钥;
步骤4:密钥处理装置将标记ID通过量子密钥加密后送至数据安全控制装置,密钥处理装置根据标记ID获取数据解密密钥,再将数据解密密钥用量子密钥加密形成密文密钥,并通过密文密钥发送装置发送至秘密查询前置处理装置;
步骤5:数据安全控制装置接收密文标记ID,通过量子密钥解密后得到明文标记ID,依据标记ID获取密文数据,再将密文数据通过量子密钥加密形成二次加密密文数据,该二次加密密文数据发送至秘密查询前置处理装置;密文数据存储装置用于存储密钥;
步骤6:秘密查询前置处理装置将密文密钥和二次加密密文数据进行处理,获得查询结果。
进一步的,秘密查询步骤使用以下加解密公式:(EE⊕EKey)=(EData⊕Kq)⊕(KData⊕Kq)=(EData⊕KData)=Data;
Data表示数据内容,KData表示数据加密密钥,EData表示加密Data的加密结果,Data与KData等长,存在等式EData=(Data⊕KData),即Data=(EData⊕KData);Kq表示查询加密密钥,EKey表示加密KData的加密密钥,EE表示加密EData的加密结果,KKey与Data等长,存在等式EE=(EData⊕Kq),即EData=(EE⊕Kq),且存在等式EKey=(KData⊕Kq)且KData=(EKey⊕Kq);(Data⊕KData)表示数据“一次一密”加密,(EData⊕Kq)表示查询密文结果再“一次一密”加密,(KData⊕Kq)表示解密密钥“一次一密”加密。
为实现上述技术目的,本发明采取的另一种技术方案是:基于量子加密技术的加密数据库系统,其特征在于:包括数据存储装置、数据特征存储装置、数据备份存储装置、数据后处理装置、数据校验处理装置、第一量子密钥分发装置和第二量子密钥分发装置;数据后处理装置分别与数据存储装置和第一量子密钥分发装置连接;数据校验处理装置分别与数据特征存储装置、数据备份存储装置和第二量子密钥分发装置连接。
本发明的有益效果有:1.加密数据库的数据段级加密,每个数据段使用独立的加密密钥,具有提高加密数据库加密强度的效益;2、数据库条件查询,转换成数据库特征值查询,实现数据库内部密文查询的效益;3.密文数据解密后,计算解密结果的数据特征值,与密文数据的原明文数据特征值进行对比,判断解密结果是否为原明文数据,具有解密数据加密的效益;4、分配标记ID进行数据特征值、加解密密钥、密文数据三者之间一一对应关系,标记ID每次使用过后,进行更新,具有优化密文数据库查询效率和防止恶意统计ID信息的效益。
附图说明
图1为本发明实施例1的系统结构示意图。
图2为本发明实施例1的数据关系示意图。
图3为本发明实施例1的密文数据存储中密文数据段数据格式示意图。
图4为本发明实施例4的系统结构示意图。
图5为本发明实施例6的系统结构示意图。
图6为本发明实施例6的数据关系示意图。
具体实施方式
以下结合具体实施例,进一步阐述本发明。这些实施例仅用于说明本发明而不用于限制本发明的范围。下列实施例中未注明具体条件的实验方法,通常按照常规条件或按照制造厂商所建议的条件。除非另行定义,文中所使用的所有专业与科学用语与本领域熟练人员所熟悉的意义相同。此外,任何与所记载内容相似或均等的方法及材料皆可应用于本发明方法中。文中所述的较佳实施方法与材料仅作示范之用。
实施例1
参见图1,本基于量子密钥分配技术的加密数据库系统,包括加密数据库服务模块和密钥存储服务模块;所述加密数据库服务模块包括:数据预处理装置、数据特征处理装置、数据加解密控制装置、密文数据存储装置和第一量子密钥分发装置;所述密钥存储服务模块包括:密钥加解密控制装置、数据加解密密钥存储装置、数据特征值存储装置和第二量子密钥分发装置;
所述数据加解密控制装置分别与数据特征处理装置、密文数据存储装置和第一量子密钥分发装置通信连接,所述数据特征处理装置与数据预处理装置通信连接;所述密钥加解密控制装置分别与数据加解密密钥存储装置、数据特征值存储装置和第二量子密钥分发装置通信连接;所述数据加解密控制装置与密钥加解密控制装置之间通信连接;所述第一量子密钥分发装置与第二量子密钥分发装置之间通信连接;
所述数据预处理装置用于接收输入或查询请求,并对输入或者请求进行预处理;所述数据特征处理装置,用于处理数据并生成数据特征值;所述数据加解密控制装置,用于控制第一量子密钥分发装置生成量子密钥和处理密文数据加解密;所述密文数据存储装置,用于存储经过数据加解密控制装置加密后的数据;所述第一量子密钥分发装置和第二量子密钥分发装置,用于产生一对量子密钥;
所述密钥加解密控制装置用于控制第二量子密钥分发装置生成量子密钥和处理密钥数据加解密;所述数据特征值存储装置用于存储数据特征值;所述数据加解密密钥存储装置,用于存储数据的加解密密钥。所述预处理包括对不同数据库操作和数据格式转换。
参见图2,数据特征存储数据库中的数据特征表、数据加解密密钥存储的数据库中的密钥库和密文数据存储数据库中的密文数据表,三者之间字段一致,通过标记ID一一对应;所述特征数据库,是由原数据记录通过单向不可逆函数(如hash、MD5)生成对应字段内容的数据特征值;在进行数据库查询过程中,查询条件数据经过同样单向不可逆函数处理后,在数据特征表进行特征值匹配,匹配成功得到对应ID值,根据ID值在密文数据库中查询密文,根据ID值在密钥数据库中查询密钥,最后,用查询出的密钥解密查询出的密文得到想要的明文结果。
根据以上描述,本实施例中基于量子加密技术的加密数据库系统的加密步骤如下:
步骤1:数据安全控制装置设定数据加密算法、加密强度,如设定数据特征值计算采用Hash算法、数据加密算法采用AES算法;
步骤2:数据前置处理装置接收信息存储请求,根据输入待存储的数据,进行预处理,将待存储数据转换成数据安全控制装置可识别的数据结构;例如,存储一名为“李四”的工程师信息,按照姓名为李四,身份为工程师,生成一条信息记录和存储的指令;
步骤3:数据安全控制装置根据接收存储记录的指令,按字段进行特征值生成,还生成唯一存储标记ID,还向量子密钥分发装置和密钥处理装置发送量子密钥生成控制指令;
步骤4:数据安全控制装置和密钥处理装置共同控制量子密钥分发装置产生量子密钥,并获取对称密钥,该对称密钥用来加密待存储的数据和加密标记ID;数据安全控制装置将数据进行加密处理,将密文数据和标记ID作为一条记录存储到密文存储装置,将数据特征值和标记ID作为一条记录存储到数据特征存储装置;数据安全控制装置将密文标记ID发送至密钥处理装置;
步骤5:密钥处理装置接收密文标记ID,解密后得到标记ID,然后将对称密钥和标记ID作为一条记录存储密钥数据库;
步骤6:数据安全控制装置返回操作结果至数据前置处理装置,数据前置处理装置响应信息存储请求处理结果。
根据以上描述,本实施例1中基于量子加密技术的加密数据库系统的解密步骤如下:
步骤1:数据前置处理装置接收信息查询请求,根据输入查询条件,进行预处理,将查询条件转换成数据安全控制装置可识别的数据结构;
步骤2:数据安全控制装置根据接收查询指令,将查询条件生成特征值,按照特征值查询条件在数据特征存储装置中查询对应记录,获取对应查询记录的标记ID值;
步骤3:数据安全控制装置向量子密钥分发装置和密钥处理装置发送量子密钥生成控制指令,数据安全控制装置和密钥处理装置共同控制量子密钥分发装置产生量子密钥,并获取对称密钥,该对称密钥用来加密密钥和加密标记ID;数据安全控制装置将密文标记ID发送至密钥处理装置;
步骤4:密钥处理装置接收密文标记ID,解密后得到标记ID,查询并获取该标记ID对应的密钥,将密钥加密后发送至数据安全控制装置;
步骤5:数据安全控制装置接收密钥的密文,解密后获得密钥,根据标记ID号从密文数据存储装置中获取相应的密文数据,解密密文数据;
进一步,使用数据特征值作为标记ID,如图3所示,数据库数据加密过程中,将数据特征值与密文数据共同存储在一个数据段中;数据库数据解密过程中,按照数据段格式进行解析处理,获得数据段的数据特征值和密文数据,将数据特征按照标记ID处理方法,获得密文数据解密密钥,最终完成数据解密。
实施例2
本加密数据库存储方法,采用实施例1中的基于量子密钥分配技术的加密数据库系统,数据库中每个数据段使用独立的密钥加密成密文数据,具体步骤如下:
步骤1:生成数据特征值:输入数据经数据预处理装置处理后形成待存储数据,数据特征处理装置将输入的待存储数据,使用单向不可逆算法生成数据特征值,数据特征处理装置将包含待存储数据、数据特征值的加密存储请求发送至数据加解密控制装置,等待数据存储结果;
步骤2:发送密钥分配请求:数据加解密控制装置接收数据加密存储请求,将包含数据特征值的密钥分配请求发送至密钥加解密控制装置;
步骤3:存储数据特征值:密钥加解密控制装置接收密钥分配请求,控制第一量子密钥分发装置和第二量子密钥分发装置提供一对相同的量子密钥;密钥加解密控制装置生成唯一标记ID;密钥加解密控制装置将包含数据特征值、标记ID的内容存储到数据特征值存储装置中;
步骤4:存储数据加密密钥:密钥加解密控制装置从第二量子密钥分发装置获取量子密钥,量子密钥即为数据加密密钥;密钥加解密控制装置将包含标记ID和数据加密密钥的内容存储到数据加解密密钥存储装置中;密钥加解密控制装置将包含标记ID的密钥分配响应发送至数据加解密控制装置;
步骤5:加密并存储数据:数据加解密控制装置接收密钥分配响应,从第一量子密钥分发装置获取相同量子密钥,该量子密钥即为数据加密密钥;数据加解密控制装置将待存储数据进行加密生成密文数据;数据加解密控制装置将包含标记ID、密文数据的内容存储到密文数据存储装置中;数据加解密控制装置返回数据存储结果。
实施例3
本加密数据库查询方法,采用实施例1中的基于量子密钥分配技术的加密数据库系统,包括以下步骤:
步骤1:生成数据特征值:输入数据经数据预处理装置处理后形成待查询数据,数据特征处理装置将输入的待查询数据,使用相同的单向不可逆算法生成查询数据特征值,将包含查询数据特征值、查询字段值的查询请求发送至数据加解密控制装置,等待查询结果;
步骤2:发送密钥分配请求;数据加解密控制装置接收查询请求,将包含查询数据特征值、查询字段值的密钥分配请求发送至密钥加解密控制装置;
步骤3:获取查询字段的数据特征值和解密密钥;密钥加解密控制装置接收密钥分配请求,控制第一量子密钥分发装置和第二量子密钥分发装置提供一对相同的量子密钥;密钥加解密控制装置根据查询数据特征值条件,在数据特征值存储装置中查询,得到标记ID和查询字段值对应的数据特征值;密钥加解密控制装置根据标记ID和查询字段值在数据加解密密钥存储装置中查询,得到查询字段值对应的解密密钥;密钥加解密控制装置使用量子密钥将解密密钥加密形成密文解密密钥;密钥加解密控制装置将包含标记ID、查询字段值对应的数据特征值、查询字段值对应的密文解密密钥的密钥分配响应发送至数据加解密控制装置;
步骤4:解密查询字段的密文数据;数据加解密控制装置接收密钥分配响应,从第一量子密钥分发装置获取相同量子密钥,使用该量子密钥还原密文解密密钥得到数据解密密钥;数据加解密控制装置根据标记ID和查询字段值在密文数据存储装置中查询,获得查询字段值对应的密文数据;数据加解密控制装置使用解密密钥将密文数据解密得到明文数据;
步骤5:校验查询字段的密文数据;数据加解密控制装置将明文数据使用相同的单向不可逆算法生成数据特征值,与密钥分配响应中查询字段值对应的数据特征值进行对比,校验数据是否被篡改;数据加解密控制装置返回明文数据,即查询结果。
进一步的,使用数据特征值替代标记ID,密文数据库中数据段内容包含数据特征值和密文数据,数据加解密密钥数据库中数据段内容包含数据特征值和解密密钥。
实施例4
参见图4,本基于量子加密技术的加密数据库系统,包括数据安全控制装置、密文数据存储装置、数据特征存储装置、数据前置处理装置、第一量子密钥分发装置、第二量子密钥分发装置、密钥处理装置、密钥存储装置、秘密查询前置处理装置和密文密钥发送装置;
数据安全控制装置用于根据接收查询请求,将请求转发至密钥处理装置;秘密查询前置处理装置用于接收查询请求,根据输入查询条件,进行预处理,将查询条件转换成特征值,发送以特征值为查询条件的查询请求至数据安全控制装置;密钥处理装置用于在接收请求后,通过特征查询从数据特征存储装置获取标记ID;密钥处理装置还用于发送量子密钥控制指令至第一量子密钥分发装置和第二量子密钥分发装置,密钥处理装置与数据安全控制装置分别从对应的量子密钥分发装置获取对称密钥;密钥处理装置还用于将标记ID通过量子密钥加密后送至数据安全控制装置并根据标记ID获取数据解密密钥将数据解密密钥用量子密钥加密形成密文密钥,以及通过密文密钥发送装置发送至秘密查询前置处理装置;数据安全控制装置接收密文标记ID,通过量子密钥解密后得到明文标记ID,依据标记ID获取密文数据,再将密文数据通过量子密钥加密形成二次加密密文数据,该二次加密密文数据发送至秘密查询前置处理装置;密文数据存储装置用于存储密钥;秘密查询前置处理装置将密文密钥和二次加密密文数据进行处理,获得查询结果。
实施例5
本实施例5中的加密数据库方法采用实施例4中的基于量子加密技术的加密数据库系统,包括以下步骤:
步骤1:秘密查询前置处理装置接收查询请求,根据输入查询条件,进行预处理,将查询条件转换成特征值,发送以特征值为查询条件的查询请求至数据安全控制装置;
步骤2:数据安全控制装置根据接收查询请求,将请求转发至密钥处理装置;
步骤3:密钥处理装置接收请求后,通过特征查询从数据特征存储装置获取标记ID;密钥处理装置发送量子密钥控制指令至量子密钥分发装置,密钥处理装置与数据安全控制装置分别从对应的量子密钥分发装置获取对称密钥;
步骤4:密钥处理装置将标记ID通过量子密钥加密后送至数据安全控制装置,密钥处理装置根据标记ID获取数据解密密钥,再将数据解密密钥用量子密钥加密形成密文密钥,并通过密文密钥发送装置发送至秘密查询前置处理装置;
步骤5:数据安全控制装置接收密文标记ID,通过量子密钥解密后得到明文标记ID,依据标记ID获取密文数据,再将密文数据通过量子密钥加密形成二次加密密文数据,该二次加密密文数据发送至秘密查询前置处理装置;密文数据存储装置用于存储密钥;
步骤6:秘密查询前置处理装置将密文密钥和二次加密密文数据进行处理,获得查询结果。
图4所示的加密数据库方法是图1所示加密数据库方法的改进,增加秘密查询前置处理装置,使第三发无法接触加密数据库中的密文和密钥数据。
本实施例5中,秘密查询步骤使用以下加解密公式:(EE⊕EKey)=(EData⊕Kq)⊕(KData⊕Kq)=(EData⊕KData)=Data;
假设1:Data表示数据内容,KData表示数据加密密钥,EData表示加密Data的加密结果,Data与KData等长,存在等式EData=(Data⊕KData),即Data=(EData⊕KData);
假设2:Kq表示查询加密密钥,EKey表示加密KData的加密密钥,EE表示加密EData的加密结果,KKey与Data等长,存在等式EE=(EData⊕Kq),即EData=(EE⊕Kq),且存在等式EKey=(KData⊕Kq)且KData=(EKey⊕Kq);
根据假设1和假设2,得到(EE⊕EKey)=(EData⊕Kq)⊕(KData⊕Kq)=(EData⊕KData)=Data;
因此,根据以上公式过程,(Data⊕KData)表示数据“一次一密”加密,(EData⊕Kq)表示查询密文结果再“一次一密”加密,(KData⊕Kq)表示解密密钥“一次一密”加密。
实施例6
参见图5,本基于量子加密技术的加密数据库系统包括数据存储装置、数据特征存储装置、数据备份存储装置、数据后处理装置、数据校验处理装置、第一量子密钥分发装置和第二量子密钥分发装置;请补充各装置作用及本发明的工作工程;
参见图6,数据存储装置和数据特征存储装置存储的数据记录通过ID一一对应;所述特征数据库,是由原数据记录,通过单向不可逆函数(如hash、MD5)生成对应字段内容的数据特征值;如当标记ID为332的数据被篡改后,该条数据记录经过同样单向不可逆函数处理后,所生成数据特征与原数据特征不一致,从而发现数据被篡改,可通过备份数据进行恢复。

Claims (6)

1.基于量子密钥分配技术的加密数据库系统的加密数据库存储方法,所述基于量子密钥分配技术的加密数据库系统包括加密数据库服务模块和密钥存储服务模块;所述加密数据库服务模块包括:数据预处理装置、数据特征处理装置、数据加解密控制装置、密文数据存储装置和第一量子密钥分发装置;所述密钥存储服务模块包括:密钥加解密控制装置、数据加解密密钥存储装置、数据特征值存储装置和第二量子密钥分发装置;
所述数据加解密控制装置分别与数据特征处理装置、密文数据存储装置和第一量子密钥分发装置通信连接,所述数据特征处理装置与数据预处理装置通信连接;所述密钥加解密控制装置分别与数据加解密密钥存储装置、数据特征值存储装置和第二量子密钥分发装置通信连接;所述数据加解密控制装置与密钥加解密控制装置之间通信连接;所述第一量子密钥分发装置与第二量子密钥分发装置之间通信连接;
所述数据预处理装置用于接收输入或查询请求,并对输入或者请求进行预处理;所述数据特征处理装置,用于处理数据并生成数据特征值;所述数据加解密控制装置,用于控制第一量子密钥分发装置生成量子密钥和处理密文数据加解密;所述密文数据存储装置,用于存储经过数据加解密控制装置加密后的数据;
所述第一量子密钥分发装置和第二量子密钥分发装置,用于产生一对量子密钥;
所述密钥加解密控制装置用于控制第二量子密钥分发装置生成量子密钥和处理密钥数据加解密;所述数据特征值存储装置用于存储数据特征值;所述数据加解密密钥存储装置,用于存储数据的加解密密钥;
其特征在于:数据库中每个数据段使用独立的密钥加密成密文数据,具体步骤如下:
步骤1:生成数据特征值:输入数据经数据预处理装置处理后形成待存储数据,数据特征处理装置将输入的待存储数据,使用单向不可逆算法生成数据特征值,数据特征处理装置将包含待存储数据、数据特征值的加密存储请求发送至数据加解密控制装置,等待数据存储结果;
步骤2:发送密钥分配请求:数据加解密控制装置接收数据加密存储请求,将包含数据特征值的密钥分配请求发送至密钥加解密控制装置;
步骤3:存储数据特征值:密钥加解密控制装置接收密钥分配请求,控制第一量子密钥分发装置和第二量子密钥分发装置提供一对相同的量子密钥;密钥加解密控制装置生成唯一标记ID;密钥加解密控制装置将包含数据特征值、标记ID的内容存储到数据特征值存储装置中;
步骤4:存储数据加密密钥:密钥加解密控制装置从第二量子密钥分发装置获取量子密钥,量子密钥即为数据加密密钥;密钥加解密控制装置将包含标记ID和数据加密密钥的内容存储到数据加解密密钥存储装置中;密钥加解密控制装置将包含标记ID的密钥分配响应发送至数据加解密控制装置;
步骤5:加密并存储数据:数据加解密控制装置接收密钥分配响应,从第一量子密钥分发装置获取相同量子密钥,该量子密钥即为数据加密密钥;数据加解密控制装置将待存储数据进行加密生成密文数据;数据加解密控制装置将包含标记ID、密文数据的内容存储到密文数据存储装置中;数据加解密控制装置返回数据存储结果。
2.根据权利要求1所述的基于量子密钥分配技术的加密数据库系统的加密数据库存储方法,其特征在于:所述预处理包括对不同数据库操作和数据格式转换。
3.基于量子密钥分配技术的加密数据库系统的加密数据库查询方法,
所述基于量子密钥分配技术的加密数据库系统包括加密数据库服务模块和密钥存储服务模块;所述加密数据库服务模块包括:数据预处理装置、数据特征处理装置、数据加解密控制装置、密文数据存储装置和第一量子密钥分发装置;所述密钥存储服务模块包括:密钥加解密控制装置、数据加解密密钥存储装置、数据特征值存储装置和第二量子密钥分发装置;
所述数据加解密控制装置分别与数据特征处理装置、密文数据存储装置和第一量子密钥分发装置通信连接,所述数据特征处理装置与数据预处理装置通信连接;所述密钥加解密控制装置分别与数据加解密密钥存储装置、数据特征值存储装置和第二量子密钥分发装置通信连接;所述数据加解密控制装置与密钥加解密控制装置之间通信连接;所述第一量子密钥分发装置与第二量子密钥分发装置之间通信连接;
所述数据预处理装置用于接收输入或查询请求,并对输入或者请求进行预处理;所述数据特征处理装置,用于处理数据并生成数据特征值;所述数据加解密控制装置,用于控制第一量子密钥分发装置生成量子密钥和处理密文数据加解密;所述密文数据存储装置,用于存储经过数据加解密控制装置加密后的数据;
所述第一量子密钥分发装置和第二量子密钥分发装置,用于产生一对量子密钥;
所述密钥加解密控制装置用于控制第二量子密钥分发装置生成量子密钥和处理密钥数据加解密;所述数据特征值存储装置用于存储数据特征值;所述数据加解密密钥存储装置,用于存储数据的加解密密钥;
其特征在于包括以下步骤:
步骤1:生成数据特征值:输入数据经数据预处理装置处理后形成待查询数据,数据特征处理装置将输入的待查询数据,使用相同的单向不可逆算法生成查询数据特征值,将包含查询数据特征值、查询字段值的查询请求发送至数据加解密控制装置,等待查询结果;
步骤2:发送密钥分配请求;数据加解密控制装置接收查询请求,将包含查询数据特征值、查询字段值的密钥分配请求发送至密钥加解密控制装置;
步骤3:获取查询字段的数据特征值和解密密钥;密钥加解密控制装置接收密钥分配请求,控制第一量子密钥分发装置和第二量子密钥分发装置提供一对相同的量子密钥;密钥加解密控制装置根据查询数据特征值条件,在数据特征值存储装置中查询,得到标记ID和查询字段值对应的数据特征值;密钥加解密控制装置根据标记ID和查询字段值在数据加解密密钥存储装置中查询,得到查询字段值对应的解密密钥;密钥加解密控制装置使用量子密钥将解密密钥加密形成密文解密密钥;密钥加解密控制装置将包含标记ID、查询字段值对应的数据特征值、查询字段值对应的密文解密密钥的密钥分配响应发送至数据加解密控制装置;
步骤4:解密查询字段的密文数据;数据加解密控制装置接收密钥分配响应,从第一量子密钥分发装置获取相同量子密钥,使用该量子密钥还原密文解密密钥得到数据解密密钥;数据加解密控制装置根据标记ID和查询字段值在密文数据存储装置中查询,获得查询字段值对应的密文数据;数据加解密控制装置使用解密密钥将密文数据解密得到明文数据;
步骤5:校验查询字段的密文数据;数据加解密控制装置将明文数据使用相同的单向不可逆算法生成数据特征值,与密钥分配响应中查询字段值对应的数据特征值进行对比,校验数据是否被篡改;数据加解密控制装置返回明文数据,即查询结果。
4.根据权利要求3所述的基于量子密钥分配技术的加密数据库系统的加密数据库查询方法,其特征在于:使用数据特征值替代标记ID,密文数据库中数据段内容包含数据特征值和密文数据,数据加解密密钥数据库中数据段内容包含数据特征值和解密密钥。
5.基于量子加密技术的加密数据库系统的加密数据库方法,所述基于量子加密技术的加密数据库系统包括数据安全控制装置、密文数据存储装置、数据特征存储装置、数据前置处理装置、第一量子密钥分发装置、第二量子密钥分发装置、密钥处理装置、密钥存储装置、秘密查询前置处理装置和密文密钥发送装置;数据安全控制装置分别与秘密查询前置处理装置、数据前置处理装置、密文数据存储装置、第一量子密钥分发装置连接;密钥存储装置分别与密文数据存储装置、数据特征存储装置、密文密钥发送装置和第二量子密钥分发装置连接
其特征在于包括以下步骤:
步骤1:秘密查询前置处理装置接收查询请求,根据输入查询条件,进行预处理,将查询条件转换成特征值,发送以特征值为查询条件的查询请求至数据安全控制装置;
步骤2:数据安全控制装置根据接收查询请求,将请求转发至密钥处理装置;
步骤3:密钥处理装置接收请求后,通过特征查询从数据特征存储装置获取标记ID;密钥处理装置发送量子密钥控制指令至量子密钥分发装置,密钥处理装置与数据安全控制装置分别从对应的量子密钥分发装置获取对称密钥;
步骤4:密钥处理装置将标记ID通过量子密钥加密后送至数据安全控制装置,密钥处理装置根据标记ID获取数据解密密钥,再将数据解密密钥用量子密钥加密形成密文密钥,并通过密文密钥发送装置发送至秘密查询前置处理装置;
步骤5:数据安全控制装置接收密文标记ID,通过量子密钥解密后得到明文标记ID,依据标记ID获取密文数据,再将密文数据通过量子密钥加密形成二次加密密文数据,该二次加密密文数据发送至秘密查询前置处理装置;密文数据存储装置用于存储密钥;
步骤6:秘密查询前置处理装置将密文密钥和二次加密密文数据进行处理,获得查询结果。
6.根据权利要求5所述的基于量子加密技术的加密数据库系统的加密数据库方法,其特征在于:
秘密查询步骤使用以下加解密公式:(EE⊕EKey)=(EData⊕Kq)⊕(KData⊕Kq)=(EData⊕KData)=Data;
Data表示数据内容,KData表示数据加密密钥,EData表示加密Data的加密结果,Data与KData等长,存在等式EData=(Data⊕KData),即Data=(EData⊕KData);Kq表示查询加密密钥,EKey表示加密KData的加密密钥,EE表示加密EData的加密结果,KKey与Data等长,存在等式EE=(EData⊕Kq),即EData=(EE⊕Kq),且存在等式EKey=(KData⊕Kq)且KData=(EKey⊕Kq);(Data⊕KData)表示数据“一次一密”加密,(EData⊕Kq)表示查询密文结果再“一次一密”加密,(KData⊕Kq)表示解密密钥“一次一密”加密。
CN201711205844.XA 2017-11-27 2017-11-27 基于量子密钥分配技术的加密数据库系统及方法、存储方法及查询方法 Active CN107800537B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711205844.XA CN107800537B (zh) 2017-11-27 2017-11-27 基于量子密钥分配技术的加密数据库系统及方法、存储方法及查询方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711205844.XA CN107800537B (zh) 2017-11-27 2017-11-27 基于量子密钥分配技术的加密数据库系统及方法、存储方法及查询方法

Publications (2)

Publication Number Publication Date
CN107800537A CN107800537A (zh) 2018-03-13
CN107800537B true CN107800537B (zh) 2022-11-08

Family

ID=61535784

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711205844.XA Active CN107800537B (zh) 2017-11-27 2017-11-27 基于量子密钥分配技术的加密数据库系统及方法、存储方法及查询方法

Country Status (1)

Country Link
CN (1) CN107800537B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108573445A (zh) * 2018-04-24 2018-09-25 深圳市元征科技股份有限公司 金融风险控制方法以及电子设备
CN109587170B (zh) * 2018-12-29 2020-11-17 如般量子科技有限公司 基于多个公共非对称密钥池的抗量子计算云存储方法和系统
CN112187449B (zh) * 2019-07-01 2022-03-08 北京国盾量子信息技术有限公司 一种量子数据库查询方法、加解密方法及系统
CN112187448B (zh) * 2019-07-01 2023-04-07 北京国盾量子信息技术有限公司 一种数据加密方法及系统
CN111475822B (zh) * 2020-03-04 2023-07-07 科大国盾量子技术股份有限公司 一种基于数据库的量子密钥管理方法及装置
CN114896620A (zh) * 2022-07-07 2022-08-12 安徽华典大数据科技有限公司 一种基于量子加密数据库索引方法、设备及存储介质
CN116451257B (zh) * 2023-04-18 2024-01-02 北京白龙马云行科技有限公司 一种数据库数据的加密方法、系统、电子设备

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105471584B (zh) * 2015-12-04 2019-02-22 长春大学 一种基于量子密钥加密的身份认证方法
CN107370725A (zh) * 2017-06-21 2017-11-21 西安电子科技大学 一种云环境下通用加密数据库的存取方法及系统
CN207543120U (zh) * 2017-11-27 2018-06-26 安徽问天量子科技股份有限公司 基于量子密钥分配技术的加密数据库系统

Also Published As

Publication number Publication date
CN107800537A (zh) 2018-03-13

Similar Documents

Publication Publication Date Title
CN107800537B (zh) 基于量子密钥分配技术的加密数据库系统及方法、存储方法及查询方法
US8712041B2 (en) Content protection apparatus and content encryption and decryption apparatus using white-box encryption table
US10937339B2 (en) Digital cryptosystem with re-derivable hybrid keys
US9608822B2 (en) Method for generating an HTML document that contains encrypted files and the code necessary for decrypting them when a valid passphrase is provided
CN109067814B (zh) 媒体数据加密方法、系统、设备及存储介质
JPH0934356A (ja) 低帯域幅暗号モジュールを持つ高帯域幅暗号システム
CN113347143B (zh) 一种身份验证方法、装置、设备及存储介质
CN101707767A (zh) 一种数据传输方法及设备
CN103236934A (zh) 一种云存储安全控制的方法
CN104038336A (zh) 一种基于3des的数据加密方法
CN115632880A (zh) 一种基于国密算法的可靠数据传输及存储的方法及系统
CN112187757A (zh) 多链路隐私数据流转系统及方法
CN103051459A (zh) 安全卡的交易密钥的管理方法和装置
CN107682303B (zh) 个人敏感信息加密查询系统及方法
CN100461199C (zh) 一种对数字内容进行加密和解密的方法和系统
CN102056156B (zh) 将计算机数据安全下载至移动终端的方法及系统
CN112187449B (zh) 一种量子数据库查询方法、加解密方法及系统
CN109726584B (zh) 云数据库密钥管理系统
CN100561913C (zh) 一种访问密码设备的方法
US11019042B1 (en) Data assisted key switching in hybrid cryptography
CN106972928B (zh) 一种堡垒机私钥管理方法、装置及系统
CN113032802B (zh) 一种数据安全存储方法及系统
CN107196928A (zh) 一种高安全性的云锁加密方法、云锁管理系统和云锁
CN207543120U (zh) 基于量子密钥分配技术的加密数据库系统
CN105791301A (zh) 一种面向多用户组群信密分离的密钥分发管理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Han Zhengfu

Inventor after: Zhu Wenzheng

Inventor after: Wang Jianfeng

Inventor after: Miao Chunhua

Inventor after: Yin Kai

Inventor after: Zhang Qi

Inventor after: Chen Chuanliang

Inventor after: Huang Dunfeng

Inventor after: Yin Jiawei

Inventor after: Liu Yun

Inventor before: Wang Jianfeng

GR01 Patent grant
GR01 Patent grant