CN109787965B - 基于多个非对称密钥池的抗量子计算云存储方法和系统 - Google Patents
基于多个非对称密钥池的抗量子计算云存储方法和系统 Download PDFInfo
- Publication number
- CN109787965B CN109787965B CN201811638171.1A CN201811638171A CN109787965B CN 109787965 B CN109787965 B CN 109787965B CN 201811638171 A CN201811638171 A CN 201811638171A CN 109787965 B CN109787965 B CN 109787965B
- Authority
- CN
- China
- Prior art keywords
- key
- defense
- file
- public
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于多个非对称密钥池的抗量子计算云存储方法和系统,包括服务器和用户端,配置密钥卡的用户端将用文件密钥加密的数据文件及加密的文件密钥上传服务器;服务器接收来自用户端的利用文件密钥加密的数据文件、加密的个人密钥、加密的数据密钥及用于生成防御公钥的防御公私钥指针随机数;用户端下载加密的个人密钥、防御公私钥指针随机数以及利用文件密钥加密的数据文件,并结合己方密钥卡获得数据文件。服务器端无法接触到用户端各类密钥及明文数据文件,且服务器存储的个人密钥与数据密钥均使用防御公钥进行了进一步加密,使用仅对密钥卡公开的公钥对文件密钥进行加密,密钥卡的设置大大降低被恶意软件窃取密钥的可能性。
Description
技术领域
本发明涉及云存储领域,尤其涉及一种基于非对称密钥池的抗量子计算云存储方法和系统。
背景技术
随着科技的发展,云存储已经越来越成为一种趋势,各种云存储技术层出不穷,为了保证云存储数据的安全,通常会利用各种加密方法来保证数据的安全性,例如,可以通过非对称密钥加密来保证数据的安全性,非对称密钥加密需要使用不同的密钥来分别完成加密和解密操作,一个公开发布,即公钥,另一个由用户自己秘密保存,即私钥。信息发送者用公钥去加密,而信息接收者用私钥去解密;或者信息发送者用私钥去加密,而信息接收者用公钥去解密。
由于云存储中多采用共享存储,这使得服务商需要对私钥进行控制,导致私钥的安全性较低。公开号为CN103236934A,发明名称为“一种云存储安全控制的方法”的发明专利文献,公开了一种用于解决私钥安全性较低的问题的方法。该发明使用两种不同的加密方式对用户的私钥进行加密并分别存储。
正如大多数人所了解的,量子计算机在密码破解上有着巨大潜力。当今主流的非对称(公钥)加密算法,如RSA加密算法,大多数都是基于大整数的因式分解或者有限域上的离散指数的计算这两个数学难题。他们的破解难度也就依赖于解决这些问题的效率。传统计算机上,要求解这两个数学难题,花费时间为指数时间(即破解时间随着公钥长度的增长以指数级增长),这在实际应用中是无法接受的。而为量子计算机量身定做的秀尔算法可以在多项式时间内(即破解时间随着公钥长度的增长以k次方的速度增长,其中k为与公钥长度无关的常数)进行整数因式分解或者离散对数计算,从而为RSA、离散对数加密算法的破解提供可能。
当前企业或事业单位有时有数据上云的需求,而公有云一般不容易受这些单位信任,被认为信息安全可能有问题,或者密钥容易被黑客所获得并破解,因此造成了公有云客户对数据上云有后顾之忧。
现有技术存在的问题:
(1)在云服务器上进行密钥存储有一定的危险性。公有云客户对数据上云有后顾之忧。
(2)公开号为CN103236934A,发明名称为“一种云存储安全控制的方法”的发明专利文献,使用用户公钥对文件密钥进行加密,由于量子计算机能快速通过公钥得到对应的私钥,因此该方案很容易被量子计算机破解。
发明内容
基于此,有必要针对上述问题,提供一种基于多个非对称密钥池的抗量子计算云存储方法和系统。
一种基于多个非对称密钥池的抗量子计算云存储方法,包括用户端将利用文件密钥加密的数据文件上传至服务器,其特征在于,所述用户端配置有密钥卡,所述文件密钥是利用密钥卡内发生器生成,且所述用户端将所述文件密钥以加密形式上传至所述服务器;
所述文件密钥加密方式为使用身份公钥加密文件密钥得到个人密钥,以及使用文件特征值加密文件密钥得到数据密钥;所述用户端将使用防御公钥加密的个人密钥、使用防御公钥加密的数据密钥分别作为加密形式的文件密钥发送至所述服务器。
当前有很多存储云服务,其中包括很多公有云。本实施例中,存储云的服务器简称为服务器,成员所使用的存储云客户端为用户端。
本实施例中用户端为接入存储云的设备,可为移动终端,或为固定终端。用户端均配备有密钥卡,密钥卡的颁发方为密钥卡的主管方,一般为某企业或事业单位的管理部门;密钥卡被颁发方为密钥卡的主管方所管理的成员,一般为某企业或事业单位的各级员工,其使用用户端进行云端数据存取。用户端首先到密钥卡的主管方申请开户。当用户端进行注册登记获批后,将得到密钥卡(具有唯一的密钥卡ID)。密钥卡存储了客户注册登记信息,还内置有身份认证协议,至少包括密钥生成算法以及认证函数,或其他与身份认证相关的算法。
在其中一个实施例中,所述用户端有一个或多个,各用户端配置的密钥卡中存储有相同的密钥池,所述密钥池包括防御非对称密钥池、身份非对称密钥池,所述防御非对称密钥池、所述身份非对称密钥池均包括公钥区及私钥区,上传数据文件的用户端通过己方的密钥卡内发生器生成文件密钥以加密数据文件,下载数据文件的用户端利用来自服务器的真随机数结合己方的密钥池相应解出文件密钥以解密出数据文件。
密钥卡中的用户侧密钥都下载自同一个量子网络服务站,且对同一个密钥卡的主管方来说,其颁发的每个密钥卡中存储的密钥池是完全一致的。优选为,密钥卡中存储的密钥池大小可以是1G、2G、4G、8G、16G、32G、64G、128G、256G、512G、1024G、2048G、4096G等等。其容量取决于主管方对安全的要求,容量越大安全性越高。本实施例中,密钥卡的密钥区如图2所示,分为防御非对称密钥池(公钥/私钥)、身份非对称密钥池(公钥)以及身份非对称密钥(私钥)。其中,防御非对称密钥池的公钥与私钥一一对应,身份非对称密钥池的公钥区拥有本组织所有用户的公钥,身份非对称密钥池的私钥区存储本用户端的私钥。
在其中一个实施例中,所述身份公钥加密文件密钥得到个人密钥的生成方法包括:将身份公钥指针随机数结合身份公钥指针函数得到身份公钥指针,利用该身份公钥指针从所述密钥卡中提取对应的身份公钥,该身份公钥结合文件密钥得到所述个人密钥。
在其中一个实施例中,用于加密所述个人密钥及所述数据密钥的防御公钥的生成方法包括:将防御公私钥指针随机数结合防御公钥指针函数得到防御公钥指针,利用该防御公钥指针从所述密钥卡中提取对应的防御公钥;所述用户端还将所述防御公私钥指针随机数发送至所述服务器。
在其中一个实施例中,所述用户端将数据文件的Hash值上传至所述服务器,所述Hash值作为所示服务器是否进行去重的标识。
一种基于多个非对称密钥池的抗量子计算云存储方法,包括服务器接收并存储来自用户端利用文件密钥加密的数据文件,所述服务器还接收并存储来自用户端的加密的个人密钥和加密的数据密钥;
所述个人密钥的加密方式为使用身份公钥加密所述文件密钥得到个人密钥,使用防御公钥加密所述个人密钥得到所述加密的个人密钥;
所述数据密钥的加密方式为使用文件特征值加密文件密钥得到数据密钥;使用防御公钥加密的所述数据密钥得到所述加密的数据密钥。
在其中一个实施例中,所述服务器接收并存储用于生成所述防御公钥的防御公私钥指针随机数,所述防御公私钥指针随机数由密钥卡生成。
在其中一个实施例中,所述服务器还接收并存储来自所述用户端的数据文件的Hash值,其中所述数据文件的Hash值作为服务器是否进行去重的指示标识;
当服务器依据所述指示标识判断去重时,所述服务器向所述用户端发送数据密钥;
当服务器依据所述指示标识判断不需去重时,接收并存储来自所述用户端的数据文件的Hash值。
一种基于多个非对称密钥池的抗量子计算云存储系统,包括服务器和用户端,用户端将利用文件密钥加密的数据文件上传至服务器,所述用户端配置有密钥卡,所述文件密钥是利用密钥卡内发生器生成,且所述用户端将所述文件密钥以加密形式上传至所述服务器;
所述文件密钥加密方式为使用身份公钥加密文件密钥得到个人密钥,以及使用文件特征值加密文件密钥得到数据密钥;所述用户端将使用防御公钥加密的个人密钥、使用防御公钥加密的数据密钥分别作为加密形式的文件密钥发送至所述服务器;
所述服务器接收并存储来自用户端的利用文件密钥加密的数据文件、加密的个人密钥、加密的数据密钥以及用于生成所述防御公钥和防御私钥的防御公私钥指针随机数;
用户端下载加密的个人密钥、防御公私钥指针随机数以及利用文件密钥加密的数据文件,用户端在己方所配置的密钥卡中利用所述防御公私钥指针随机数提取防御私钥,利用所述防御私钥解密加密的个人密钥,根据身份私钥解密所述个人密钥获得文件密钥,进而获得数据文件。
在其中一个实施例中,所述防御私钥的生成方法包括:将防御公私钥指针随机数结合防御私钥指针函数得到防御私钥指针,利用该防御私钥指针从所述密钥卡中提取对应的防御私钥。
上述一种基于多个非对称密钥池的抗量子计算云存储方法和系统,包括服务器和用户端,用户端配置有密钥卡,用户端将利用文件密钥加密的数据文件及加密的文件密钥上传至服务器;服务器接收并存储来自用户端的利用文件密钥加密的数据文件、加密的个人密钥、加密的数据密钥以及用于生成防御公钥和防御私钥的防御公私钥指针随机数;用户端下载加密的个人密钥、防御公私钥指针随机数以及利用文件密钥加密的数据文件,并结合己方密钥卡获得数据文件。服务器端无法接触到用户端各类密钥(公钥、私钥、文件密钥等)以及明文数据文件,服务器上存储的个人密钥与数据密钥为使用不同方法加密的文件密钥,且服务器上存储的个人密钥与数据密钥均使用防御公钥进行了进一步加密,使用仅对密钥卡公开的公钥对文件密钥进行加密,且使用密钥卡存储公钥,密钥卡是独立的硬件隔离设备,大大降低被恶意软件或恶意操作窃取密钥的可能性,由于量子计算机无法得到用户公钥,于是也无法得到对应的私钥,因此该方案不容易被量子计算机破解。
附图说明
图1为本发明实施例提供的云存储系统的结构示意图;
图2为本发明实施例提供的用户端的密钥区结构示意图;
图3为本发明实施例提供的防御非对称密钥池存储方式流程图;
图4为本发明实施例提供的身份非对称密钥池存储方式流程图;
图5为本发明实施例提供的防御公私钥读取方式流程图;
图中(a)部分为防御公钥读取方式流程图;
图中(b)部分为防御私钥读取方式流程图。
图6为本发明实施例提供的身份公钥读取方式流程图
图7为本发明实施例1提供的不需去重的存储方法时序图;
图8为本发明实施例1提供的需要去重的存储方法时序图;
图9为本发明实施例提供的服务器的某文件存储区的示意图;
图10为本发明实施例2提供的读取方法的时序图。
具体实施方式
以下步骤中,在各用户端涉及的多处操作,都在匹配的密钥卡中进行。
一种基于多个非对称密钥池的抗量子计算云存储系统,包括服务器和用户端,用户端将利用文件密钥加密的数据文件上传至服务器,所述用户端配置有密钥卡,所述文件密钥是利用密钥卡内发生器生成,且所述用户端将所述文件密钥以加密形式上传至所述服务器;
所述文件密钥加密方式为使用身份公钥加密文件密钥得到个人密钥,以及使用文件特征值加密文件密钥得到数据密钥;所述用户端将使用防御公钥加密的个人密钥、使用防御公钥加密的数据密钥分别作为加密形式的文件密钥发送至所述服务器。
所述服务器接收并存储来自用户端的利用文件密钥加密的数据文件、加密的个人密钥、加密的数据密钥以及用于生成所述防御公钥和防御私钥的防御公私钥指针随机数;
用户端下载加密的个人密钥、防御公私钥指针随机数以及利用文件密钥加密的数据文件,用户端在己方所配置的密钥卡中利用所述防御公私钥指针随机数提取防御私钥,利用所述防御私钥解密加密的个人密钥,根据身份私钥解密所述个人密钥获得文件密钥,进而获得数据文件;其中所述防御私钥为用户端自身的私钥。
图1为本发明实施例提供的云存储系统的结构示意图,用户端包括:
Hash值计算模块,用于计算新用户的数据文件的Hash值,将此Hash值上传给服务器,以供服务器判断模块判断已存储数据文件中是否存在具有相同Hash值的数据文件。
密钥生成模块,用于在服务器的判断模块判断的结果为否时,由该用户端匹配的密钥卡中的随机数发生器生成文件密钥kf。
在用户端的密钥生成模块还有用于存储公钥的防御非对称密钥池和身份非对称密钥池。防御非对称密钥池(公钥)表示为DPKP,防御非对称密钥池(私钥)表示为DSKP,身份非对称密钥池(公钥)表示为IPKP,身份非对称密钥(私钥)表示为ISK。
防御非对称密钥池的存储方式如图3所示,文字描述如下:对某个用户随机取防御公私钥指针随机数rd,rd结合特定的防御公钥指针函数fpp得到防御公钥指针pp并从防御非对称密钥池DPKP中的对应位置存入该用户的防御公钥pk;rd结合特定的防御私钥指针函数fsp得到防御私钥指针sp并从防御非对称密钥池DSKP中的对应位置存入该用户的防御私钥sk。pk和sk是成对的公私钥对。
身份非对称密钥池的存储方式如图4所示,文字描述如下:对某个用户随机取身份公钥指针随机数rk,结合特定的身份公钥指针函数frkp得到身份公钥指针rkp并从相应的身份非对称密钥池IPKP中的对应位置存入该用户的身份公钥krk。
加解密模块,用于利用文件密钥对数据文件进行加密;以及利用两种不同加密方式对文件密钥kf进行加密形成个人密钥和数据密钥;其中,以用户身份私钥为解密密钥对个人密钥进行解密后可以获得文件密钥kf;以加密前的数据文件的特征值为解密密钥对数据密钥进行解密后可以获得文件密钥kf。
服务器包括:
存储模块,用于存储文件的Hash值、加密后的数据文件、加密的个人密钥和加密的数据密钥;
判断模块,用于去重判断,在存储用户的数据文件前,判断已存储数据文件中是否存在相同的数据文件并通知密钥授权模块;若判断结果为是,则通知密钥授权模块向用户端发送加密的数据密钥,若判断结果为否,则将收到的Hash值发送给存储模块保存。
密钥授权模块,用于在判断模块判断的结果为是时,向用户端发送加密的数据密钥,在判断模块判断的结果为否时,向用户端发送无相同数据文件的信息。
密钥授权模块又分为发送子模块和接收子模块。发送子模块用于发送数据密钥或信息,接收子模块用于接收到来自用户端的所述用户的个人密钥、数据密钥以及加密后的数据文件,将其发送给存储模块保存。
以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
实施例1:
步骤1.1.用户端将数据文件的Hash值上传至服务器:用户端上传数据文件之前,先计算出数据文件的Hash值,并将该Hash值上传至服务器。服务器为了减轻存储压力,将对文件进行密文去重,即鉴别重复文件。
步骤1.2.服务器鉴别重复文件:服务器对文件的Hash值进行考虑来鉴别重复文件,即如果两份文件具有相同的Hash值则认为有相同的数据文件需要去重。若服务器判断不需要去重,服务器保存收到的这个Hash值并执行步骤1.3。若需要去重,服务器执行步骤1.4。
本领域技术人员可以理解,在某些情况下,同一用户可能会先后上传同一数据文件,那么在该用户期待再次上传已上传数据文件时,服务器端如果判断该数据文件来源于同一用户,将不执行任何操作。
步骤1.3.若服务器不需要去重,将文件存储在云服务器上的时序图如图7所示,文字描述如下:
步骤1.3.1服务器通知用户端生成随机数:服务器保存收到的Hash值后,将服务器不存在具有相同数据文件的信息发送给用户端。以下将该用户端标识为用户端1,用户端1的身份标识为ID1,以此类推。
步骤1.3.2用户端1处理信息并将需要存储在服务器上的内容发送给服务器:用户端1收到服务器不存在具有相同的数据文件的信息后,用户端1根据所匹配的真随机数发生器生成文件密钥kf。
得到文件密钥kf后,用户端1使用文件密钥kf加密数据文件得到密文kff,加密算法可为对称加密算法;
用户端1使用身份公钥krk1加密文件密钥kf得到个人密钥1。本专利明文身份公钥不公开,仅公开身份公钥指针随机数。由身份公钥指针随机数rk得到身份公钥krk的过程如图6所示,文字描述如下:
使用自己的身份公钥指针随机数rk结合特定的身份公钥指针函数frkp得到身份公钥指针rkp,然后从相应的身份非对称密钥池IPKP中的对应位置取出身份公钥krk。
用户端1生成文件特征值,并使用文件特征值加密文件密钥kf得到数据密钥;文件特征值的计算方法为预定义的算法,可以是但不限于Hash计算、文件压缩或其他文件特征计算算法;
得到密文,数据密钥和个人密钥1后,用户端1通过r0得到pk0,过程如图5(a)所示,文字描述如下:
r0结合特定的防御公钥指针函数fpp得到防御公钥指针pp,然后从相应的防御非对称密钥池DPKP中的对应位置取出防御公钥pk0。
使用pk0加密数据密钥。再由用户端1的防御公私钥指针随机数r1得到防御公钥pk1,过程如图5(a)所示,文字描述与上文相同。使用pk1加密个人密钥1。
用户端1将密文、r0、用pk0加密的数据密钥、ID1、r1以及用pk1加密的个人密钥1发送至服务器。
步骤1.3.3服务器保存相应信息:服务器将收到的密文、r0、用pk0加密的数据密钥、ID1、r1以及用pk1加密的个人密钥1进行保存。
步骤1.4.若服务器需要去重,将文件存储在云服务器上的时序图如图8所示,文字描述如下:
步骤1.4.1服务器向用户端发送数据密钥:服务器将r0和使用pk0加密的该文件的数据密钥发送给用户端。以下将该用户端标识为用户端2,用户端2的身份标识为ID2。
步骤1.4.2用户端2处理信息并将需要存储在服务器上的内容发送给服务器:用户端2收到信息后,根据r0得到sk0,过程如图5(b)所示,文字描述如下:
r0结合特定的防御私钥指针函数fsp得到防御私钥指针sp,然后从相应的防御非对称密钥池DSKP中的对应位置取出防御私钥sk0。
使用sk0解密得到数据密钥,根据数据文件生成文件特征值,并使用文件特征值解密数据密钥得到文件密钥kf。
用户端2根据身份公钥指针随机数rk得到身份公钥krk,具体过程如图6所示。使用身份公钥加密文件密钥kf得到个人密钥2,由r2得到pk2后使用pk2加密个人密钥2,并将ID2、r2以及使用pk2加密的个人密钥2发送给服务器。
步骤1.4.3服务器保存相应信息:服务器收到ID2、r2以及使用pk2加密的个人密钥2后进行保存。
n个用户上传同一个文件后,该文件的存储区如图9所示,存储有文件的Hash值,使用文件密钥加密文件得到的文件密文,r0和使用pk0加密的数据密钥,ID(1~n)、r(1~n)和使用pk(1~n)加密的个人密钥(1~n)。
实施例2:
图10为本发明实施例提供的一种文件读取方法的时序图。
步骤2.1.用户端上传自己的ID和数据文件Hash值:以用户端n为例,用户端将IDn和想要读取的文件的Hash值上传至服务器。
步骤2.2.服务器将相应信息发送至用户端:服务器收到文件Hash值后,找到与该Hash值对应的文件的存储区,将密文、IDn、rn和使用pkn加密的个人密钥n发送至用户端。
步骤2.3.用户端得到文件密钥:用户端通过防御公私钥指针随机数rn提取出防御私钥skn,具体步骤如图5(b)所示,使用skn解密得到个人密钥n,然后使用身份私钥解密个人密钥n得到文件密钥kf。
步骤2.4.用户端得到数据文件:用户端使用文件密钥解密从服务器得到的密文,得到数据文件,完成对服务器文件的读取。
本发明云存储全过程中,服务器端都无法接触到用户端各类密钥(公钥、私钥、文件密钥等)以及明文数据文件。不仅如此,服务器上存储的个人密钥与数据密钥为使用不同方法加密的文件密钥,且服务器上存储的个人密钥与数据密钥均使用防御公钥进行了进一步加密。本专利使用仅对密钥卡公开的公钥对文件密钥进行加密,且使用密钥卡存储公钥,密钥卡是独立的硬件隔离设备,被恶意软件或恶意操作窃取密钥的可能性大大降低。由于量子计算机无法得到用户公钥,于是也无法得到对应的私钥,因此该方案不容易被量子计算机破解。
以上公开的仅为本发明的实施例,但是本发明并非局限于此,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。显然这些改动和变型均应属于本发明要求的保护范围保护内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对本发明构成任何特殊限制。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种基于多个非对称密钥池的抗量子计算云存储方法,包括用户端将利用文件密钥加密的数据文件上传至服务器,其特征在于,所述用户端配置有密钥卡,所述文件密钥是利用密钥卡内发生器生成,且所述用户端将所述文件密钥以加密形式上传至所述服务器;
所述文件密钥的加密方式为使用身份公钥加密文件密钥得到个人密钥,以及使用文件特征值加密文件密钥得到数据密钥;所述用户端将使用防御公钥加密的个人密钥、使用防御公钥加密的数据密钥分别作为加密形式的文件密钥发送至所述服务器;
所述密钥卡中存储有密钥池,所述密钥池包括防御非对称密钥池和身份非对称密钥池,所述防御非对称密钥池的公钥与私钥一一对应,所述身份非对称密钥池的公钥区拥有本组织所有用户的公钥,所述身份非对称密钥池的私钥区存储本用户端的私钥;
所述身份公钥加密文件密钥得到个人密钥的生成方法包括:将身份公钥指针随机数结合身份公钥指针函数得到身份公钥指针,利用该身份公钥指针从所述密钥卡中提取对应的身份公钥,该身份公钥结合文件密钥得到所述个人密钥;
用于加密所述个人密钥的防御公钥的生成方法包括:将防御公私钥指针随机数结合防御公钥指针函数得到防御公钥指针,利用该防御公钥指针从所述密钥卡中提取对应的防御公钥;所述用户端还将所述防御公私钥指针随机数发送至所述服务器。
2.根据权利要求1所述的基于多个非对称密钥池的抗量子计算云存储方法,其特征在于,所述用户端有一个或多个,各用户端配置的密钥卡中存储有相同的密钥池,所述密钥池包括防御非对称密钥池、身份非对称密钥池,所述防御非对称密钥池、所述身份非对称密钥池均包括公钥区及私钥区,上传数据文件的用户端通过己方的密钥卡内发生器生成文件密钥以加密数据文件,下载数据文件的用户端利用来自服务器的真随机数结合己方的密钥池相应解出文件密钥以解密出数据文件。
3.根据权利要求1所述的基于多个非对称密钥池的抗量子计算云存储方法,其特征在于,用于加密所述数据密钥的防御公钥的生成方法包括:将防御公私钥指针随机数结合防御公钥指针函数得到防御公钥指针,利用该防御公钥指针从所述密钥卡中提取对应的防御公钥;所述用户端还将所述防御公私钥指针随机数发送至所述服务器。
4.根据权利要求1所述的基于多个非对称密钥池的抗量子计算云存储方法,其特征在于,所述用户端将数据文件的Hash值上传至所述服务器,所述Hash值作为所示服务器是否进行去重的标识。
5.一种基于多个非对称密钥池的抗量子计算云存储方法,包括服务器接收并存储来自用户端利用文件密钥加密的数据文件,其特征在于,所述服务器还接收并存储来自用户端的加密的个人密钥和加密的数据密钥;
所述个人密钥的加密方式为使用身份公钥加密所述文件密钥得到个人密钥,使用防御公钥加密所述个人密钥得到所述加密的个人密钥;
所述数据密钥的加密方式为使用文件特征值加密文件密钥得到数据密钥;使用防御公钥加密的所述数据密钥得到所述加密的数据密钥;
密钥卡中存储有密钥池,所述密钥池包括防御非对称密钥池和身份非对称密钥池,所述防御非对称密钥池的公钥与私钥一一对应,所述身份非对称密钥池的公钥区拥有本组织所有用户的公钥,所述身份非对称密钥池的私钥区存储本用户端的私钥;
所述身份公钥加密文件密钥得到个人密钥的生成方法包括:将身份公钥指针随机数结合身份公钥指针函数得到身份公钥指针,利用该身份公钥指针从所述密钥卡中提取对应的身份公钥,该身份公钥结合文件密钥得到所述个人密钥;
用于加密所述个人密钥的防御公钥的生成方法包括:将防御公私钥指针随机数结合防御公钥指针函数得到防御公钥指针,利用该防御公钥指针从所述密钥卡中提取对应的防御公钥;所述用户端还将所述防御公私钥指针随机数发送至所述服务器。
6.根据权利要求5所述的基于多个非对称密钥池的抗量子计算云存储方法,其特征在于,所述服务器接收并存储用于生成所述防御公钥的防御公私钥指针随机数,所述防御公私钥指针随机数由密钥卡生成。
7.根据权利要求5所述的基于多个非对称密钥池的抗量子计算云存储方法,其特征在于,所述服务器还接收并存储来自所述用户端的数据文件的Hash值,其中所述数据文件的Hash值作为服务器是否进行去重的指示标识;
当服务器依据所述指示标识判断去重时,所述服务器向所述用户端发送数据密钥;
当服务器依据所述指示标识判断不需去重时,接收并存储来自所述用户端的数据文件的Hash值。
8.一种基于多个非对称密钥池的抗量子计算云存储系统,包括服务器和用户端,其特征在于,
用户端将利用文件密钥加密的数据文件上传至服务器,所述用户端配置有密钥卡,所述文件密钥是利用密钥卡内发生器生成,且所述用户端将所述文件密钥以加密形式上传至所述服务器;
所述文件密钥的加密方式为使用身份公钥加密文件密钥得到个人密钥,以及使用文件特征值加密文件密钥得到数据密钥;所述用户端将使用防御公钥加密的个人密钥、使用防御公钥加密的数据密钥分别作为加密形式的文件密钥发送至所述服务器;
所述服务器接收并存储来自用户端的利用文件密钥加密的数据文件、加密的个人密钥、加密的数据密钥以及用于生成所述防御公钥和防御私钥的防御公私钥指针随机数;
用户端下载加密的个人密钥、防御公私钥指针随机数以及利用文件密钥加密的数据文件,用户端在己方所配置的密钥卡中利用所述防御公私钥指针随机数提取防御私钥,利用所述防御私钥解密加密的个人密钥,根据身份私钥解密所述个人密钥获得文件密钥,进而获得数据文件;
所述密钥卡中存储有密钥池,所述密钥池包括防御非对称密钥池和身份非对称密钥池,所述防御非对称密钥池的公钥与私钥一一对应,所述身份非对称密钥池的公钥区拥有本组织所有用户的公钥,所述身份非对称密钥池的私钥区存储本用户端的私钥;
所述身份公钥加密文件密钥得到个人密钥的生成方法包括:将身份公钥指针随机数结合身份公钥指针函数得到身份公钥指针,利用该身份公钥指针从所述密钥卡中提取对应的身份公钥,该身份公钥结合文件密钥得到所述个人密钥;
用于加密所述个人密钥的防御公钥的生成方法包括:将防御公私钥指针随机数结合防御公钥指针函数得到防御公钥指针,利用该防御公钥指针从所述密钥卡中提取对应的防御公钥;所述用户端还将所述防御公私钥指针随机数发送至所述服务器。
9.根据权利要求8所述的基于多个非对称密钥池的抗量子计算云存储系统,其特征在于,所述防御私钥的生成方法包括:将防御公私钥指针随机数结合防御私钥指针函数得到防御私钥指针,利用该防御私钥指针从所述密钥卡中提取对应的防御私钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811638171.1A CN109787965B (zh) | 2018-12-29 | 2018-12-29 | 基于多个非对称密钥池的抗量子计算云存储方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811638171.1A CN109787965B (zh) | 2018-12-29 | 2018-12-29 | 基于多个非对称密钥池的抗量子计算云存储方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109787965A CN109787965A (zh) | 2019-05-21 |
| CN109787965B true CN109787965B (zh) | 2021-02-02 |
Family
ID=66499029
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811638171.1A Active CN109787965B (zh) | 2018-12-29 | 2018-12-29 | 基于多个非对称密钥池的抗量子计算云存储方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109787965B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791321A (zh) * | 2016-05-03 | 2016-07-20 | 西南石油大学 | 一种具有抗密钥泄露特性的云存储数据公共审计方法 |
| CN108985099A (zh) * | 2018-07-31 | 2018-12-11 | 如般量子科技有限公司 | 一种基于公共密钥池的代理云存储安全控制方法和系统 |
| CN108989033A (zh) * | 2018-07-31 | 2018-12-11 | 如般量子科技有限公司 | 一种基于公共密钥池的云存储安全控制方法和系统 |
| CN109104276A (zh) * | 2018-07-31 | 2018-12-28 | 如般量子科技有限公司 | 一种基于密钥池的云存储安全控制方法和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571321A (zh) * | 2010-12-30 | 2012-07-11 | 中国移动通信集团公司 | 一种数据加密传输的方法和设备 |
| CN106209739B (zh) * | 2015-05-05 | 2019-06-04 | 科大国盾量子技术股份有限公司 | 云存储方法及系统 |
| CN105357001B (zh) * | 2015-12-10 | 2018-08-07 | 安徽问天量子科技股份有限公司 | 量子密钥动态分发的管理方法及系统 |
| CN108173881A (zh) * | 2018-02-23 | 2018-06-15 | 苏州汉辰数字科技有限公司 | 一种量子流数据块的随机存储方法与系统 |
-
2018
- 2018-12-29 CN CN201811638171.1A patent/CN109787965B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791321A (zh) * | 2016-05-03 | 2016-07-20 | 西南石油大学 | 一种具有抗密钥泄露特性的云存储数据公共审计方法 |
| CN108985099A (zh) * | 2018-07-31 | 2018-12-11 | 如般量子科技有限公司 | 一种基于公共密钥池的代理云存储安全控制方法和系统 |
| CN108989033A (zh) * | 2018-07-31 | 2018-12-11 | 如般量子科技有限公司 | 一种基于公共密钥池的云存储安全控制方法和系统 |
| CN109104276A (zh) * | 2018-07-31 | 2018-12-28 | 如般量子科技有限公司 | 一种基于密钥池的云存储安全控制方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109787965A (zh) | 2019-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109150519B (zh) | 基于公共密钥池的抗量子计算云存储安全控制方法和系统 | |
| CN109151053B (zh) | 基于公共非对称密钥池的抗量子计算云存储方法和系统 | |
| US10785019B2 (en) | Data transmission method and apparatus | |
| CN109104276B (zh) | 一种基于密钥池的云存储安全控制方法和系统 | |
| US9432346B2 (en) | Protocol for controlling access to encryption keys | |
| CN108985099B (zh) | 一种基于公共密钥池的代理云存储安全控制方法和系统 | |
| CN108989033B (zh) | 一种基于公共密钥池的云存储安全控制方法和系统 | |
| CN109194466A (zh) | 一种基于区块链的云端数据完整性检测方法及系统 | |
| CN110519046B (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
| CN108352015A (zh) | 用于基于区块链的系统结合钱包管理系统的安全多方防遗失存储和加密密钥转移 | |
| US20110145576A1 (en) | Secure method of data transmission and encryption and decryption system allowing such transmission | |
| CN110969431B (zh) | 区块链数字币私钥的安全托管方法、设备和系统 | |
| US11316671B2 (en) | Accelerated encryption and decryption of files with shared secret and method therefor | |
| CN109495251B (zh) | 基于密钥卡的抗量子计算智能家庭云存储方法和系统 | |
| CN109951513B (zh) | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 | |
| US20150113283A1 (en) | Protecting credentials against physical capture of a computing device | |
| CN109347923B (zh) | 基于非对称密钥池的抗量子计算云存储方法和系统 | |
| CN104852949A (zh) | 基于混合加密机制的云存储数据管理方法和系统 | |
| CN109787747B (zh) | 基于多个非对称密钥池的抗量子计算多重加密云存储方法和系统 | |
| CN110868291A (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
| CN109299618B (zh) | 基于量子密钥卡的抗量子计算云存储方法和系统 | |
| CN110365472B (zh) | 基于非对称密钥池对的量子通信服务站数字签名方法、系统 | |
| CN109687960B (zh) | 基于多个公共非对称密钥池的抗量子计算代理云存储方法和系统 | |
| CN109412788B (zh) | 基于公共密钥池的抗量子计算代理云存储安全控制方法和系统 | |
| CN109302283B (zh) | 基于公共非对称密钥池的抗量子计算代理云存储方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |