CN110650011A - 基于量子密钥的加密存储方法和加密存储卡 - Google Patents
基于量子密钥的加密存储方法和加密存储卡 Download PDFInfo
- Publication number
- CN110650011A CN110650011A CN201911040457.4A CN201911040457A CN110650011A CN 110650011 A CN110650011 A CN 110650011A CN 201911040457 A CN201911040457 A CN 201911040457A CN 110650011 A CN110650011 A CN 110650011A
- Authority
- CN
- China
- Prior art keywords
- key
- encrypted
- data
- quantum
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于量子密钥的加密存储方法和加密存储卡,一种基于量子密钥的加密存储方法,包括:对加密存储访问者进行身份认证;接收通过身份认证的访问者发送的待存储数据;使用预设加密算法和会话密钥进行加密,得到加密的待存储数据,会话密钥由量子随机数产生后使用设备密钥或密钥加密密钥加密后存储在隐藏存储区中,设备秘钥或密钥加密密钥由主密钥加密,主密钥由量子随机数产生的量子密钥生成并定期替换;将加密的待存储数据存储至加密存储区。本发明公开的基于量子密钥的加密存储方法和加密存储卡,提高了存储设备数据存储的安全性。
Description
技术领域
本发明实施例涉及存储技术,尤其涉及一种基于量子密钥的加密存储方法和加密存储卡。
背景技术
随着大数据时代的到来,以及智能移动终端的普及,移动终端的数据安全越来越重要,但针对移动终端数据的安全存储却缺乏有效的方法和措施。
目前的移动终端大都具有外部存储卡的卡槽,能够通过外部存储卡扩展移动终端的存储空间。而外部存储卡可以通过加密措施对存储的数据进行加密保护,常用的加密存储卡例如包括加密SD卡等。由于加密SD卡体积小巧,便于携带,且不需要改变移动终端的硬件架构,因而日益成为移动终端的重要安全防护装置。
加密存储卡主要是采用内置的随机数发生器产生随机数,基于该随机数生成密钥对数据进行加密的。但目前的加密存储卡的随机数发生器为基于电子噪声的硬件随机数发生器或者内置的软件随机数生成器。基于电子噪声的硬件随机数发生器生成随机数的速率较低,且真随性来源不清,而软件随机数生成器本质上是伪随机数,且随机数生成速率同样较低。因此目前的加密存储卡的加密密钥被破解的风险较高。
发明内容
本发明提供一种基于量子密钥的加密存储方法和加密存储卡,提高了存储设备数据存储的安全性。
第一方面,本发明实施例提供一种基于量子密钥的加密存储方法,包括:
对加密存储访问者进行身份认证;
接收通过身份认证的访问者发送的待存储数据;
使用预设加密算法和会话密钥进行加密,得到加密的待存储数据,会话密钥由量子随机数产生后使用设备密钥或密钥加密密钥加密后存储在隐藏存储区中,设备秘钥或密钥加密密钥由主密钥加密,主密钥由量子随机数产生的量子密钥生成并定期替换;
将加密的待存储数据存储至加密存储区。
在第一方面一种可能的实现方式中,对加密存储访问者进行身份认证,包括:
接收加密存储访问者发送的身份证书,身份证书是加密存储访问者从量子密钥加密存储卡证书服务器获取的,身份证书与设备秘钥分别是非对称秘钥中的公钥和私钥;
使用设备秘钥对随机生成的量子随机数进行加密得到第一密文;
向加密存储访问者发送第一密文;
接收加密存储访问者发送的解密后的第一密文,解密后的第一密文是加密存储访问存储者使用身份证书对第一密文解密后得到的;
将解密后的第一密文与随机生成的量子随机数进行对比,若相同则确定加密存储访问者通过认证。
在第一方面一种可能的实现方式中,对加密存储访问者进行身份认证之后,还包括:
接收通过身份认证的访问者发送的数据读取请求;
使用预设解密算法和会话密钥对加密存储区中的数据进行解密,得到解密的待读取数据;
将解密的待读取数据存储至普通存储区;
将普通存储区中的待读取数据发送给访问者。
在第一方面一种可能的实现方式中量子随机数由量子随机数芯片生成。
第二方面,本发明实施例还提供了一种基于量子密钥的加密存储卡,包括:
量子随机数芯片区、身份认证区、安全芯片区、隐藏存储区和加密存储区;
量子随机数芯片区用于生成量子随机数;
身份认证区用于对加密存储访问者进行身份认证;
安全芯片区用于接收通过身份认证的访问者发送的待存储数据,使用预设加密算法和会话密钥进行加密,得到加密的待存储数据,会话密钥由量子随机数产生后使用设备密钥或密钥加密密钥加密后存储在隐藏存储区中,设备秘钥或密钥加密密钥由主密钥加密,主密钥由量子随机数产生的量子密钥生成并定期替换;将加密的待存储数据存储至加密存储区;
加密存储区用于存储加密的待存储数据;
隐藏存储区用于存储设备秘钥、秘钥加密秘钥和会话秘钥。
在第二方面一种可能的实现方式中,身份认证区具体用于接收加密存储访问者发送的身份证书,身份证书是加密存储访问者从量子密钥加密存储卡证书服务器获取的,身份证书与设备秘钥分别是非对称秘钥中的公钥和私钥;使用设备秘钥对量子随机数芯片区随机生成的量子随机数进行加密得到第一密文;向加密存储访问者发送第一密文;接收加密存储访问者发送的解密后的第一密文,解密后的第一密文是加密存储访问存储者使用身份证书对第一密文解密后得到的;将解密后的第一密文与随机生成的量子随机数进行对比,若相同则确定加密存储访问者通过认证。
在第二方面一种可能的实现方式中,该存储卡还包括:普通存储区;
安全芯片区用于接收通过身份认证的访问者发送的数据读取请求,使用预设解密算法和会话密钥对加密存储区中的数据进行解密,得到解密的待读取数据;将解密的待读取数据存储至普通存储区;
普通存储区用于存储解密的待读取数据,将普通存储区中的待读取数据发送给访问者。
在第二方面一种可能的实现方式中,隐藏存储区,还用于存储具有隐藏属性的加密的待存储数据。
在第二方面一种可能的实现方式中,量子随机数芯片区包括量子噪声源、测量及数据采集模块和量子随机数提取模块;
量子噪声源用于产生量子噪声,包括由激光器芯片的相位噪声或者自发辐射噪声产生;
测量及数据采集模块用于采集量子噪声源产生的量子噪声;
量子随机数提取模块用于从测量及数据采集模块采集的量子噪声中提取量子随机数。
在第二方面一种可能的实现方式中,安全芯片区用于存储至少一种加解密算法、身份证书的私钥。
本发明实施例提供的基于量子密钥的加密存储方法和加密存储卡,首先对加密存储访问者进行身份认证,接着接收通过身份认证的访问者发送的待存储数据,然后使用预设加密算法和会话密钥进行加密,得到加密的待存储数据,其中,会话密钥由量子随机数产生后使用设备密钥或密钥加密密钥加密后存储在隐藏存储区中,设备秘钥或密钥加密密钥由主密钥加密,主密钥由量子随机数产生的量子密钥生成并定期替换,最后将加密的待存储数据存储至加密存储区,由于采用了基于量子密钥的密钥对数据进行了三层加密,大大提高了数据存储的安全性,并且在数据存储前采用了身份验证机制,从而进一步提高了数据存储的安全性。
附图说明
图1为本发明实施例提供的基于量子密钥的加密存储方法的流程图;
图2为本发明实施例提供的基于量子密钥的加密存储方法的密钥结构示意图;
图3为本发明实施例提供的基于量子密钥的加密存储方法中量子随机数芯片的结构示意图;
图4为本发明实施例提供的另一基于量子密钥的加密存储方法的流程图;
图5为本发明实施例提供的基于量子密钥的加密存储卡的结构示意图;
图6为本发明实施例提供的另一基于量子密钥的加密存储卡的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
图1为本发明实施例提供的基于量子密钥的加密存储方法的流程图,如图1所示,本实施例提供的基于量子密钥的加密存储方法包括:
步骤S101,对加密存储访问者进行身份认证。
本实施例提供的基于量子密钥的加密存储方法应用于对存储设备的加密,特别是便携存储设备。由于存储设备可能与其他各种设备进行连接,提供数据存储服务,因此可能对存储设备的安全性和存储设备中数据的安全性产生影响。而目前常用的加密存储设备,所采用的秘钥都是基于伪随机数生成的,导致安全性不高。
而在本实施例中,采用基于量子随机数的量子密钥对存储设备进行加密,从而确保存储的安全性。首先,存储设备具有身份认证机制,即对加密存储访问和进行身份认证。加密存储访问者即为向存储设备发送待存储数据的其他设备或者需要从存储设备中读取数据的设备。为了确保存储设备中数据的安全性,首先需要对加密存储访问者进行身份认证,这里的身份认证可以采用身份证书、登录用户名加密码或者其他任一种身份认证方式进行认证,总之需要确定加密存储访问者是否为具有访问存储设备权限的访问者。
在一实施例中,对加密存储访问者进行身份认证,包括:接收加密存储访问者发送的身份证书,身份证书是加密存储访问者从量子密钥加密存储卡证书服务器获取的,身份证书与设备秘钥分别是非对称秘钥中的公钥和私钥;使用设备秘钥对随机生成的量子随机数进行加密得到第一密文;向加密存储访问者发送第一密文;接收加密存储访问者发送的解密后的第一密文,解密后的第一密文是加密存储访问存储者使用身份证书对第一密文解密后得到的;将解密后的第一密文与随机生成的量子随机数进行对比,若相同则确定加密存储访问者通过认证。
量子密钥加密存储卡证书服务器可以设置于网络侧,用于存储基于量子密钥加密的存储设备的身份证书,身份证书与存储设备中的设备秘钥分别是非对称秘钥中的公钥和私钥。当加密存储访问者需要访问存储设备时,首先从量子密钥加密存储卡证书服务器获取身份证书,然后向存储设备发送该身份证书,那么访问者相当于得到了公钥。存储设备接收到身份证书后,可以查询到与身份证书对应的设备密钥。然后存储设备使用设备密钥对随机生成的量子随机数进行加密得到第一密文,也即存储设备使用私钥对随机生成的量子随机数进行了加密。接着存储设备向访问者发送第一密文,访问者使用身份证书对第一密文进行解密,也即使用公钥对第一密文进行解密,得到解密后的第一密文,然后向存储设备发送解密后的第一密文。由于身份证书与设备密钥为非对称密钥中的公钥和私钥,那么若访问者获取的身份证书正确,那么解密后的第一密文应该与存储设备中随机生成的量子随机数相同。因此存储设备将解密后的第一密文与随机生成的量子随机数进行对比,若相同则确定加密存储访问者通过认证,并可以继续对存储设备进行后续数据存储或读取处理,若访问者未通过认证,则存储设备将拒绝访问者的后续请求。
步骤S102,接收通过身份认证的访问者发送的待存储数据。
当加密存储访问者通过身份认证后,若加密存储访问者需要将数据存储在存储设备中,那么需要将待存储数据发送至存储设备。
步骤S103,使用预设加密算法和会话密钥进行加密,得到加密的待存储数据,会话密钥由量子随机数产生后使用设备密钥或密钥加密密钥加密后存储在隐藏存储区中,设备秘钥或密钥加密密钥由主密钥加密,主密钥由量子随机数产生的量子密钥生成并定期替换。
为了确保存储设备中存储的数据的安全性,存储设备需要对接收到的待存储数据进行加密,在本实施例中,采用基于量子随机数的密钥对待存储设备进行加密,由于量子随机数是真随机数,从而能够确保存储设备中所存储的数据的安全性。
具体地,存储设备使用预设加密算法和会话密钥对待存储数据进行加密,得到加密的待存储数据。其中预设加密算法可以为任一种国密或国际加密算法,例如SM1、SM3、SM4、AES、DES、3DES、SHA、RSA、一次一密加密算法等。而会话密钥由量子随机数产生后使用设备密钥或密钥加密密钥加密后存储在隐藏存储区中,设备秘钥或密钥加密密钥由主密钥加密,主密钥由量子随机数产生的量子密钥生成并定期替换。也就是说,对待存储数据进行加密所使用的会话密钥是经过了两层加密的,首先会话密钥是由量子随机数产生后使用设备密钥或密钥加密密钥加密的,其本身具有量子随机数的特性,又进行了加密。其次设备秘钥或密钥加密密钥又是由主密钥加密的,也就是说,对会话密钥进行加密所使用的密钥同样是经过加密的,而主密钥也是由量子随机数产生的量子密钥生成并定期替换的。这样会话密钥就经过了两层的加密,且每层加密都具有量子密钥的特性,是通过真随机数生成的量子密钥进行的加密,被破解的难度大大提高。另外,主密钥还是会定期更换的,这样进一步提高了加密的待存储设备的安全性,即使某一次对待存储设备进行加密所使用的会话密钥、设备密钥或密钥加密密钥泄露,也不会对存储设备中的数据安全性产生影响。由主密钥、设备密钥或密钥加密秘钥、会话密钥组成的三层加密方式,且各种密钥都是基于量子密钥生成的,实现了对待存储数据的安全保护。
图2为本发明实施例提供的基于量子密钥的加密存储方法的密钥结构示意图,如图2所示,本发明提供的密钥为三层密钥结构,第一层为主密钥,第二层为设备秘钥或密钥加密密钥,第三层为会话密钥。主密钥对设备秘钥或密钥加密密钥进行加密,设备秘钥或密钥加密密钥对会话密钥进行加密,主密钥隐藏于两层密钥之下,不被外部感知,从而能够提高密钥的安全性。而传统的加密存储卡中,由于没有清晰的密钥结构,密钥的管理和使用较为混乱,泄露的风险较高。
进一步地,量子随机数可以由量子随机数芯片生成,量子随机数芯片可以包括量子噪声源、测量及数据采集模块和量子随机数提取模块。量子噪声源用于产生量子噪声,包括由激光器芯片的相位噪声或者自发辐射噪声产生;测量及数据采集模块用于采集量子噪声源产生的量子噪声;量子随机数提取模块用于从测量及数据采集模块采集的量子噪声中提取量子随机数。
图3为本发明实施例提供的基于量子密钥的加密存储方法中量子随机数芯片的结构示意图,如图3所示,量子随机数芯片包括量子噪声源31、测量及数据采集模块32、量子随机数提取模块33。
另外,会话密钥、设备密钥或密钥加密密钥都是存储于隐藏存储区的,外部设备无法获知隐藏存储区的存在,从而确保会话密钥、设备密钥或密钥加密密钥的安全性。
步骤S104,将加密的待存储数据存储至加密存储区。
在得到加密的待存储数据后,即可将加密的待存储数据存储至加密存储区。加密存储区为存储设备中为数据设置的安全存储区域,其他设备无法直接读取加密存储区中的数据,只有经过相应的解密手段对加密存储区中的数据进行解密处理后才能获取数据。由于对数据存储进行了身份认证,并进行了三层基于量子密钥的密钥加密,保证了数据的安全存储,大大提高了数据存储的安全性。
本实施例提供的基于量子密钥的加密存储方法和加密存储卡,首先对加密存储访问者进行身份认证,接着接收通过身份认证的访问者发送的待存储数据,然后使用预设加密算法和会话密钥进行加密,得到加密的待存储数据,其中,会话密钥由量子随机数产生后使用设备密钥或密钥加密密钥加密后存储在隐藏存储区中,设备秘钥或密钥加密密钥由主密钥加密,主密钥由量子随机数产生的量子密钥生成并定期替换,最后将加密的待存储数据存储至加密存储区,由于采用了基于量子密钥的密钥对数据进行了三层加密,大大提高了数据存储的安全性,并且在数据存储前采用了身份验证机制,从而进一步提高了数据存储的安全性。
图4为本发明实施例提供的另一基于量子密钥的加密存储方法的流程图,如图4所示,本实施例提供的基于量子密钥的加密存储方法包括:
步骤S401,对加密存储访问者进行身份认证。
图1所示实施例提供了对基于量子密钥的存储设备进行数据存储的加密存储的具体方法,在本实施例中,对基于量子密钥的存储设备的数据读取方法进行进一步说明。
首先,当加密存储访问者需要读取存储设备中存储的数据时,首先需要进行身份验证,身份验证的过程与步骤S101相同。
步骤S402,接收通过身份认证的访问者发送的数据读取请求。
当加密存储访问者通过身份认证后,若加密存储访问者需要读取存储设备中存储的数据,那么将接收到通过身份认证的访问者发送的数据读取请求。
步骤S403,使用预设解密算法和会话密钥对加密存储区中的数据进行解密,得到解密的待读取数据。
由于存储设备中的数据存储于加密存储区,访问者无法直接读取数据,因此存储设备在接收到数据读取请求后,首先在加密存储区中查询到访问者需要读取的数据,然后使用预设解密算法和会话密钥对加密存储区中的数据进行解密,得到解密的待读取数据。其中预设解密算法与对数据进行加密所使用的加密算法相同,会话密钥也与对数据进行加密所使用的会话密钥相同,那么将得到解密的待读取数据。
步骤S404,将解密的待读取数据存储至普通存储区。
在得到解密的待读取数据后,可以将待读取数据存储至存储设备的普通存储区。存储设备的普通存储区中的数据是经过解密的,那么访问者可以直接从普通存储区中读取数据,或者可以对普通存储区中的数据进行修改或其他处理。另外,存储设备中的普通存储区还可以直接存储无需进行加密的数据。也就是说,存储设备可以同时设置加密存储区和普通存储区,加密存储区和普通存储区都具有直接存储数据的能力。在进行数据存储时,就可以根据访问者的需求,选择是否对数据进行加密存储,若访问者选择对数据进行加密存储,则根据步骤S103-步骤S104的方法进行加密存储,而若访问者不选择对数据进行加密存储,则可以直接将访问者发送的待存储数据存储在普通存储区,那么只要是通过身份验证的访问者就可以直接读取普通存储区中的数据,而无需经过步骤S403-步骤S404的处理。在存储设备中同时设置加密存储区和普通存储区,可以使存储设备满足用户的个性化、多样化数据存储需求。
步骤S405,将普通存储区中的待读取数据发送给访问者。
在将解密的待读取数据存储至普通存储区后,即可相应访问者发送的数据读取请求,将普通存储区中的待读取数据发送给访问者,从而完成存储设备的数据读取过程。
图5为本发明实施例提供的基于量子密钥的加密存储卡的结构示意图,如图5所示,本实施例提供的基于量子密钥的加密存储卡包括:
量子随机数芯片区51、身份认证区52、安全芯片区53、隐藏存储区54和加密存储区55。
量子随机数芯片区51用于生成量子随机数;身份认证区52用于对加密存储访问者进行身份认证;安全芯片区53用于接收通过身份认证的访问者发送的待存储数据,使用预设加密算法和会话密钥进行加密,得到加密的待存储数据,会话密钥由量子随机数产生后使用设备密钥或密钥加密密钥加密后存储在隐藏存储区54中,设备秘钥或密钥加密密钥由主密钥加密,主密钥由量子随机数产生的量子密钥生成并定期替换;将加密的待存储数据存储至加密存储区55;加密存储区55用于存储加密的待存储数据;隐藏存储区54用于存储设备秘钥、秘钥加密秘钥和会话秘钥。
主密钥用于保护存储卡中设备密钥和密钥加密密钥的安全,包括传输、存储、备份、恢复等。主密钥存储在安全芯片区53中,不能以明文的方式出现在存储卡之外。主密钥由卡内的量子随机数芯片区51产生的量子密钥生成并定期进行替换。
设备密钥是存储卡的身份密钥,用于使用存储卡的设备验证存储卡的身份。存储卡的设备密钥为签名密钥对,是非对称密钥。签名密钥对由存储卡的安全芯片区51结合存储卡的设备参数(比如设备ID,序列号等)产生,其公钥能被导出,由外部量子密钥加密存储卡证书服务器签发身份证书。身份证书的私钥保存在安全芯片区51的证书存储空间,由主密钥进行加密保护。
密钥加密密钥用来保护会话密钥在存储过程中的安全性,由量子随机数芯片51产生的量子随机数生成和更新,由主密钥进行加密保护并存储在隐藏存储区54。
会话密钥由存储卡内的量子随机数芯片51产生,使用设备密钥或者密钥加密密钥加密后存储在隐藏存储区54中,用于对被加密存储的数据进行加密保护。
本实施例提供的基于量子密钥的加密存储卡用于实现图1所示实施例的数据加密存储方法,其实现原理和技术效果已经在图1所示实施例中进行了说明,此处不再赘述。
进一步地,身份认证区52具体用于接收加密存储访问者发送的身份证书,身份证书是加密存储访问者从量子密钥加密存储卡证书服务器获取的,身份证书与设备秘钥分别是非对称秘钥中的公钥和私钥;使用设备秘钥对量子随机数芯片区随机生成的量子随机数进行加密得到第一密文;向加密存储访问者发送第一密文;接收加密存储访问者发送的解密后的第一密文,解密后的第一密文是加密存储访问存储者使用身份证书对第一密文解密后得到的;将解密后的第一密文与随机生成的量子随机数进行对比,若相同则确定加密存储访问者通过认证。
进一步地,基于量子密钥的加密存储卡还包括普通存储区;安全芯片区53用于接收通过身份认证的访问者发送的数据读取请求,使用预设解密算法和会话密钥对加密存储区55中的数据进行解密,得到解密的待读取数据;将解密的待读取数据存储至普通存储区;普通存储区用于存储解密的待读取数据,将普通存储区中的待读取数据发送给访问者。
进一步地,隐藏存储区54,还用于存储具有隐藏属性的加密的待存储数据。
进一步地,量子随机数芯片区51包括量子噪声源、测量及数据采集模块和量子随机数提取模块;量子噪声源用于产生量子噪声,包括由激光器芯片的相位噪声或者自发辐射噪声产生;测量及数据采集模块用于采集量子噪声源产生的量子噪声;量子随机数提取模块用于从测量及数据采集模块采集的量子噪声中提取量子随机数。
进一步地,安全芯片区53用于存储至少一种加解密算法、身份证书的私钥。
图6为本发明实施例提供的另一基于量子密钥的加密存储卡的结构示意图,如图6所示,本实施例提供的基于量子密钥的加密存储卡包括:
量子随机数芯片区51、身份认证区52、安全芯片区53、隐藏存储区54和加密存储区55、普通存储区56。其中加密存储区55和隐藏存储区54均具有加密属性,可以统称为量子加密存储区。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述异构链路数据转译和分发设备的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种基于量子密钥的加密存储方法,其特征在于,包括:
对加密存储访问者进行身份认证;
接收通过身份认证的访问者发送的待存储数据;
使用预设加密算法和会话密钥进行加密,得到加密的待存储数据,所述会话密钥由量子随机数产生后使用设备密钥或密钥加密密钥加密后存储在隐藏存储区中,所述设备秘钥或密钥加密密钥由主密钥加密,所述主密钥由量子随机数产生的量子密钥生成并定期替换;
将所述加密的待存储数据存储至加密存储区。
2.根据权利要求1所述的方法,其特征在于,所述对加密存储访问者进行身份认证,包括:
接收所述加密存储访问者发送的身份证书,所述身份证书是所述加密存储访问者从量子密钥加密存储卡证书服务器获取的,所述身份证书与所述设备秘钥分别是非对称秘钥中的公钥和私钥;
使用所述设备秘钥对随机生成的量子随机数进行加密得到第一密文;
向所述加密存储访问者发送所述第一密文;
接收所述加密存储访问者发送的解密后的第一密文,所述解密后的第一密文是所述加密存储访问存储者使用所述身份证书对所述第一密文解密后得到的;
将所述解密后的第一密文与所述随机生成的量子随机数进行对比,若相同则确定所述加密存储访问者通过认证。
3.根据权利要求1或2所述的方法,其特征在于,所述对加密存储访问者进行身份认证之后,还包括:
接收通过身份认证的访问者发送的数据读取请求;
使用预设解密算法和所述会话密钥对加密存储区中的数据进行解密,得到解密的待读取数据;
将所述解密的待读取数据存储至普通存储区;
将所述普通存储区中的待读取数据发送给所述访问者。
4.根据权利要求1或2所述的方法,其特征在于,所述量子随机数由量子随机数芯片生成。
5.一种基于量子密钥的加密存储卡,其特征在于,包括:
量子随机数芯片区、身份认证区、安全芯片区、隐藏存储区和加密存储区;
所述量子随机数芯片区用于生成量子随机数;
所述身份认证区用于对加密存储访问者进行身份认证;
所述安全芯片区用于接收通过身份认证的访问者发送的待存储数据,使用预设加密算法和会话密钥进行加密,得到加密的待存储数据,所述会话密钥由量子随机数产生后使用设备密钥或密钥加密密钥加密后存储在隐藏存储区中,所述设备秘钥或密钥加密密钥由主密钥加密,所述主密钥由量子随机数产生的量子密钥生成并定期替换;将所述加密的待存储数据存储至加密存储区;
所述加密存储区用于存储加密的待存储数据;
所述隐藏存储区用于存储所述设备秘钥、所述秘钥加密秘钥和所述会话秘钥。
6.根据权利要求5所述的加密存储卡,其特征在于,所述身份认证区具体用于接收所述加密存储访问者发送的身份证书,所述身份证书是所述加密存储访问者从量子密钥加密存储卡证书服务器获取的,所述身份证书与所述设备秘钥分别是非对称秘钥中的公钥和私钥;使用所述设备秘钥对所述量子随机数芯片区随机生成的量子随机数进行加密得到第一密文;向所述加密存储访问者发送所述第一密文;接收所述加密存储访问者发送的解密后的第一密文,所述解密后的第一密文是所述加密存储访问存储者使用所述身份证书对所述第一密文解密后得到的;将所述解密后的第一密文与所述随机生成的量子随机数进行对比,若相同则确定所述加密存储访问者通过认证。
7.根据权利要求5或6所述的加密存储卡,其特征在于,还包括:普通存储区;
所述安全芯片区用于接收通过身份认证的访问者发送的数据读取请求,使用预设解密算法和会话密钥对加密存储区中的数据进行解密,得到解密的待读取数据;将所述解密的待读取数据存储至普通存储区;
所述普通存储区用于存储所述解密的待读取数据,将所述普通存储区中的待读取数据发送给所述访问者。
8.根据权利要求5或6所述的加密存储卡,其特征在于,所述隐藏存储区,还用于存储具有隐藏属性的加密的待存储数据。
9.根据权利要求5或6所述的加密存储卡,其特征在于,所述量子随机数芯片区包括量子噪声源、测量及数据采集模块和量子随机数提取模块;
所述量子噪声源用于产生量子噪声,包括由激光器芯片的相位噪声或者自发辐射噪声产生;
所述测量及数据采集模块用于采集所述量子噪声源产生的量子噪声;
所述量子随机数提取模块用于从所述测量及数据采集模块采集的量子噪声中提取量子随机数。
10.根据权利要求5或6所述的加密存储卡,其特征在于,所述安全芯片区用于存储至少一种加解密算法、身份证书的私钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911040457.4A CN110650011A (zh) | 2019-10-29 | 2019-10-29 | 基于量子密钥的加密存储方法和加密存储卡 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911040457.4A CN110650011A (zh) | 2019-10-29 | 2019-10-29 | 基于量子密钥的加密存储方法和加密存储卡 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110650011A true CN110650011A (zh) | 2020-01-03 |
Family
ID=69013788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911040457.4A Pending CN110650011A (zh) | 2019-10-29 | 2019-10-29 | 基于量子密钥的加密存储方法和加密存储卡 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110650011A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865590A (zh) * | 2020-08-28 | 2020-10-30 | 国科量子通信网络有限公司 | 金融领域基于量子保密通信技术的工作密钥分发系统及其应用方法 |
| CN111953487A (zh) * | 2020-08-14 | 2020-11-17 | 苏州浪潮智能科技有限公司 | 一种密钥管理系统 |
| CN112632571A (zh) * | 2020-12-04 | 2021-04-09 | 翰顺联电子科技(南京)有限公司 | 数据加密方法、解密方法与装置及存储装置 |
| CN113067699A (zh) * | 2021-03-04 | 2021-07-02 | 深圳科盾量子信息科技有限公司 | 基于量子密钥的数据共享方法、装置和计算机设备 |
| CN114697008A (zh) * | 2020-12-30 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 基于量子安全sim卡的通信系统及方法、量子安全sim卡、密钥服务平台 |
| CN115834239A (zh) * | 2022-12-26 | 2023-03-21 | 南京喜悦科技股份有限公司 | 一种基于国密算法的信息安全处理系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103176917A (zh) * | 2011-12-21 | 2013-06-26 | 群联电子股份有限公司 | 储存装置保护系统及其储存装置上锁与解锁方法 |
| CN106789052A (zh) * | 2017-03-28 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子通信网络的远程密钥颁发系统及其使用方法 |
| CN107769912A (zh) * | 2016-08-16 | 2018-03-06 | 广东国盾量子科技有限公司 | 一种量子密钥芯片及基于量子密钥芯片的加解密方法 |
| CN109448203A (zh) * | 2018-12-26 | 2019-03-08 | 江苏亨通问天量子信息研究院有限公司 | 智能锁的控制方法、装置、系统和智能锁 |
| CN110188564A (zh) * | 2019-07-09 | 2019-08-30 | 江苏亨通问天量子信息研究院有限公司 | 基于量子密钥加密的移动数据存储终端 |
| US20190312720A1 (en) * | 2016-12-20 | 2019-10-10 | Pax Computer Technology (Shenzhen) Co., Ltd | Method for remotely acquiring secret key, pos terminal and storage medium |
-
2019
- 2019-10-29 CN CN201911040457.4A patent/CN110650011A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103176917A (zh) * | 2011-12-21 | 2013-06-26 | 群联电子股份有限公司 | 储存装置保护系统及其储存装置上锁与解锁方法 |
| CN107769912A (zh) * | 2016-08-16 | 2018-03-06 | 广东国盾量子科技有限公司 | 一种量子密钥芯片及基于量子密钥芯片的加解密方法 |
| US20190312720A1 (en) * | 2016-12-20 | 2019-10-10 | Pax Computer Technology (Shenzhen) Co., Ltd | Method for remotely acquiring secret key, pos terminal and storage medium |
| CN106789052A (zh) * | 2017-03-28 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子通信网络的远程密钥颁发系统及其使用方法 |
| CN109448203A (zh) * | 2018-12-26 | 2019-03-08 | 江苏亨通问天量子信息研究院有限公司 | 智能锁的控制方法、装置、系统和智能锁 |
| CN110188564A (zh) * | 2019-07-09 | 2019-08-30 | 江苏亨通问天量子信息研究院有限公司 | 基于量子密钥加密的移动数据存储终端 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953487A (zh) * | 2020-08-14 | 2020-11-17 | 苏州浪潮智能科技有限公司 | 一种密钥管理系统 |
| WO2022033122A1 (zh) * | 2020-08-14 | 2022-02-17 | 苏州浪潮智能科技有限公司 | 一种密钥管理系统 |
| CN111953487B (zh) * | 2020-08-14 | 2022-04-22 | 苏州浪潮智能科技有限公司 | 一种密钥管理系统 |
| CN111865590A (zh) * | 2020-08-28 | 2020-10-30 | 国科量子通信网络有限公司 | 金融领域基于量子保密通信技术的工作密钥分发系统及其应用方法 |
| CN112632571A (zh) * | 2020-12-04 | 2021-04-09 | 翰顺联电子科技(南京)有限公司 | 数据加密方法、解密方法与装置及存储装置 |
| CN112632571B (zh) * | 2020-12-04 | 2024-04-09 | 翰顺联电子科技(南京)有限公司 | 数据加密方法、解密方法与装置及存储装置 |
| CN114697008A (zh) * | 2020-12-30 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 基于量子安全sim卡的通信系统及方法、量子安全sim卡、密钥服务平台 |
| CN114697008B (zh) * | 2020-12-30 | 2024-03-12 | 科大国盾量子技术股份有限公司 | 基于量子安全sim卡的通信系统及方法、量子安全sim卡、密钥服务平台 |
| CN113067699A (zh) * | 2021-03-04 | 2021-07-02 | 深圳科盾量子信息科技有限公司 | 基于量子密钥的数据共享方法、装置和计算机设备 |
| CN115834239A (zh) * | 2022-12-26 | 2023-03-21 | 南京喜悦科技股份有限公司 | 一种基于国密算法的信息安全处理系统及方法 |
| CN115834239B (zh) * | 2022-12-26 | 2023-10-20 | 南京喜悦科技股份有限公司 | 一种基于国密算法的信息安全处理系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324143B (zh) | 数据传输方法、电子设备及存储介质 | |
| US20220191012A1 (en) | Methods For Splitting and Recovering Key, Program Product, Storage Medium, and System | |
| CN110650011A (zh) | 基于量子密钥的加密存储方法和加密存储卡 | |
| US11349675B2 (en) | Tamper-resistant and scalable mutual authentication for machine-to-machine devices | |
| US20150213278A1 (en) | Secure credential unlock using trusted execution environments | |
| CN106452770B (zh) | 一种数据加密方法、解密方法、装置和系统 | |
| KR20140126787A (ko) | PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법 | |
| US11424919B2 (en) | Protecting usage of key store content | |
| CN111526007B (zh) | 一种随机数生成方法及系统 | |
| CN112565265A (zh) | 物联网终端设备间的认证方法、认证系统及通讯方法 | |
| CN111193743A (zh) | 一种存储系统的身份认证方法、系统及相关装置 | |
| CN111401901A (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN113722741A (zh) | 数据加密方法及装置、数据解密方法及装置 | |
| CN117376002A (zh) | 一种生物特征认证方法以及认证系统 | |
| CN111628864A (zh) | 一种使用sim卡进行密钥安全恢复的方法 | |
| US11463251B2 (en) | Method for secure management of secrets in a hierarchical multi-tenant environment | |
| CN115801232A (zh) | 一种私钥保护方法、装置、设备及存储介质 | |
| CN115455497A (zh) | 一种计算机硬盘数据加密系统及方法 | |
| KR101947408B1 (ko) | PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법 | |
| CN113872986A (zh) | 配电终端认证方法、系统、装置、计算机设备和存储介质 | |
| KR20190002388A (ko) | PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법 | |
| CN114491481B (zh) | 一种基于fpga的安全计算方法及装置 | |
| CN112769560B (zh) | 一种密钥管理方法和相关装置 | |
| JP2013179473A (ja) | アカウント生成管理システム、アカウント生成管理サーバ、アカウント生成管理方法及びアカウント生成管理プログラム | |
| CN113162766B (zh) | 一种密钥分量的密钥管理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |