CN111143870B - 一种分布式加密存储装置、系统及加解密方法 - Google Patents
一种分布式加密存储装置、系统及加解密方法 Download PDFInfo
- Publication number
- CN111143870B CN111143870B CN201911399937.XA CN201911399937A CN111143870B CN 111143870 B CN111143870 B CN 111143870B CN 201911399937 A CN201911399937 A CN 201911399937A CN 111143870 B CN111143870 B CN 111143870B
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- data
- decryption
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/004—Error avoidance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1464—Management of the backup or restore process for networked environments
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种分布式加密存储装置、系统及加解密方法,属于计算机技术与信息安全及分布式技术领域,解决数据信息加密存储问题,装置包括密钥管理单元和至少一个数据加解密单元;所述密钥管理单元生成用于数据加密的第一密钥和对第一密钥加密后的第二密钥,与每个数据加解密单元分别建立通信连接,进行密钥信息的双向互传;数据加解密单元存储第二密钥,采用第一密钥对数据进行的加密或解密操作。本发明提供了对用户透明的分布式加密存储方法,着重解决数据信息集中存储时造成的泄露隐患以及明文存储造成的窃取攻击等问题,实现了亿级数据的分布式安全加密存储,有效保护了用户海量数据信息的安全。
Description
技术领域
本发明涉及计算机技术与信息安全及分布式技术领域,尤其是一种分布式加密存储装置、系统及加解密方法。
背景技术
近年来,随着互联网技术、数字化技术的快速发展,以云计算、人工智能、5G网络为代表的新一代信息技术正驱动着数字经济的飞速发展,对海量高清数据存储的需求量巨大。但是随着越来越多的海量数据信息的产生,这些海量数据可能包含企业的商业机密、个人的隐私信息等重要的机密信息,若这些海量数据信息在存储时发生泄露事件的话,将会为企业和个人造成不可估量的损失。各行业、部门也陆续提出了针对亿级海量数据信息分布式安全存储的需求,目的是保证海量数据信息不被非法窃取和篡改。
为满足呈爆炸式增长的海量数据的安全存储的要求,当前海量数据信息存储主要采用以下几种方式处理:(1)要求用户将海量数据信息集中存储在单个计算机中,实现用户海量数据的集中式存储;(2)要求用户利用数据加解密算法对存储的海量数据进行加解密操作,并对加密时使用的密钥进行管理,完成海量数据信息的加密存储;等等。由此可见,当前海量数据信息安全存储存在如下缺陷:(1)有的方式,利用集中式存储方式对海量数据信息进行存储,但是因海量数据都集中存储在大型主机上,一旦主机出现故障,那么整个系统中存储的数据将不再安全,海量数据信息将全部暴露;(2)有的方式,无法确保存储的海量数据信息的机密性;(3)有的方式,利用国际加密方式对海量数据进行加密操作,保证数据存储的安全性,但是没有考虑加密算法国产化的情况,当国际算法被破译时,利用算法加密的海量数据信息将不再安全;(4)有的方式,在数据存储过程中使用加密算法对海量数据信息进行加密操作,并安全存储,但是用户需要持有加密使用的密钥信息,一旦攻破持有的密钥信息,存储的海量数据信息将不再安全;(5)上述方式,在实际使用中均存在着海量数据信息泄露隐患,无法对用户海量数据信息进行有效的保护。
发明内容
鉴于上述的分析,本发明旨在提供一种分布式加密存储装置、系统及加解密方法,避免集中存储时造成的单点故障,同时又能够有效保障海量数据信息加密存储的安全。
本发明的目的主要是通过以下技术方案实现的:
本发明公开了一种分布式加密存储装置,其特征在于,包括密钥管理单元和至少一个数据加解密单元;
当进行数据加密时,所述数据加解密单元用于向所述密钥管理单元发送待加密数据的数据标识;所述密钥管理单元生成与所述数据标识对应的第一密钥,并对第一密钥加密得到第二密钥;所述密钥管理单元集中保存数据标识与第二密钥的对应关系,将所述第二密钥分别发送到对应的所述数据加解密单元;所述数据加解密单元存储所述第二密钥,并将所述第二密钥发回所述密钥管理单元进行解密得到第一密钥;所述数据加解密单元采用第一密钥对待加密数据进行加密;
当对加密数据进行解密读取时,所述数据加解密单元将存储的与加密数据的数据标识对应的第二密钥发送到所述密钥管理单元进行解密后得到所需的第一密钥;采用第一密钥对数据进行解密。
进一步地,所述密钥管理单元包括密钥分发单元、密钥加密管理单元、密钥库;
所述密钥分发单元,用于建立所述加解密单元与所述密钥加密管理单元之间的密钥信息互传信道;生成与所述加解密单元发送的要加密的数据标识对应的第一密钥;
所述密钥加密管理单元,用于从所述密钥库中获取公私钥对,缓存私钥,采用公钥对第一密钥进行加密得到第二密钥,通过所述密钥分发单元将第二密钥发送到所述加解密单元;
所述密钥库用于存储公私钥对。
进一步地,所述密钥分发单元,还用于将接收到的所述加解密单元发来的第二密钥,转发给所述密钥加密管理单元;
所述密钥加密管理单元,还用于采用缓存的与第二密钥相对的私钥对第二密钥进行解密得到第一密钥;再经所述密钥分发单元将所述第一密钥转发到数据加解密单元。
进一步地,密钥分发单元包括密钥生成模块、第一索引模块和分发模块;
所述密钥生成模块,用于生成与所述数据标识对应的第一密钥;
分发模块,用于建立所述加解密单元与所述密钥加密管理单元间的密钥信息互传信道,进行密钥的分发或转发;
第一索引模块,用于建立并存储所述第二密钥和数据标识的映射关系。
进一步地,所述分发模块建立的互传信道包括加密信道和普通信道;
所述加密信道,包括在密钥分发单元和密钥加密管理单元之间用于传输第一密钥的信道,从密钥分发单元向数据加解密单元转发第一密钥的信道。
进一步地,所述密钥加密管理单元包括密钥加解密模块、密钥缓存区及第二索引模块;
所述密钥加解密模块,用于获取公私钥对,采用非对称加密算法对第一密钥进行加/解密操作;
所述密钥缓存区,用于缓存非对称加密算法中使用的私钥;
第二索引模块,用于建立第一密钥、加密第一密钥的公私钥对、及所述公私钥对在密钥库内的存储位置之间的映射关系。
进一步地,所述密钥库包括两个用于存储公私钥对的密钥存储模块,采用双机热备的冗余机制。
进一步地,所述数据加解密单元包括密钥存储模块和加解密模块;
加解密模块,用于运用对称加密算法,使用所述第一密钥,对写入或读出的数据进行加、解密操作;
密钥存储模块,用于存储所述第二密钥,当加解密模块执行加/解密操作时,密钥存储模块为加解密模块提供相应的解密后的第一密钥。
本发明还公开了一种分布式加密存储系统,包括客户端、管理设备和存储设备,在所述管理设备中包括如权利要求1-8任一所述的分布式加密存储装置的密钥管理单元;在所述存储设备中包括如权利要求1-8任一所述的分布式加密存储装置的数据加解密单元。
本发明还公开了一种分布式加密存储的加解密方法,其特征在于,包括以下步骤:
数据加密步骤:数据加解密单元发送要加密数据的数据标识到密钥分发单元;所述密钥分发单元生成与数据标识对应的第一密钥,发送给密钥加密管理单元进行加密得到第二密钥;再通过密钥分发单元将第二密钥分发到数据加解密单元进行存储;数据加解密单元将存储的所述第二密钥通过密钥分发单元再转发到密钥加密管理单元进行解密得到对应的第一密钥;所述第一密钥通过密钥分发单元转发至数据加密单元,进行数据加密;
数据解密步骤:数据加解密单元向密钥分发单元发送密钥请求,寻找加密数据对应的密钥;密钥分发单元通过索引检索到相应的密钥存储位置后发送至数据加解密单元;数据加解密单元根据所述位置信息从密钥存储模块模块中提取对应的第二密钥,经密钥分发单元转发至密钥加密管理单元进行解密得到第一密钥;所述第一密钥通过密钥分发单元转发至数据加密单元,进行数据解密。
本发明有益效果如下:
本发明结合密码学和分布式存储,以保护呈爆炸式增长的海量数据信息为目的,提供了对用户透明的分布式加密存储方法,着重解决亿级海量数据信息集中存储时造成的泄露隐患以及明文存储造成的窃取攻击等问题,实现了亿级数据的分布式安全加密存储,有效保护了用户海量数据信息的安全。
在本发明中采用分布存储、集中索引的存储结构,保证海量数据信息分布存储在不同的存储设备,有效抵制单点故障;用户无需对加密算法中的密钥进行管理,整个加解密过程中对用户来说是透明的。通过密钥管理单元生成、分发、管理密钥。
而且可以基于“自主可控”原则,立足于国产密码算法,采用国密算法中SM4算法对写入磁盘中的数据进行加密,并利用SM2算法对SM4算法的密钥进行加密,从而保证了数据及密钥存储的安全性。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本发明实施例一中的分布式加密存储装置原理示意图;
图2为本发明实施例二中的分布式加密存储系统原理示意图;
图3为本发明实施例三中的分布式加密方法流程图;
图4为本发明实施例三中的分布式解密方法流程图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理。
实施例一
本实施例公开了一种分布式加密存储装置,如图1所示,
包括密钥管理单元和至少一个数据加解密单元;
所述密钥管理单元与每个数据加解密单元分别建立通信连接,用于进行双向信息互传,实现数据的加密或解密操作;
当进行数据加密时,所述数据加解密单元分别向所述密钥管理单元发送要加密数据的数据标识;所述密钥管理单元生成与所述数据标识对应的第一密钥,并对第一密钥加密得到第二密钥;所述密钥管理单元集中保存数据标识与第二密钥的对应关系,将所述第二密钥分别发送到对应的所述数据加解密单元;所述数据加解密单元存储所述第二密钥,并将所述第二密钥发回所述密钥管理单元进行解密得到第一密钥;所述数据加解密单元采用第一密钥对要加密数据进行加密;
当对加密数据进行解密时,所述数据加解密单元将存储的与加密数据的数据标识对应的第二密钥发送到所述密钥管理单元进行解密后得到所需的第一密钥;采用第一密钥对数据进行解密。
数据加解密单元设置才存储器中,当数据加解密单元为多个时,可采用分布式结构对分布式存储在多个存储器中的数据进行加/解密。在分布式结构中,通过对用于数据加/解密的第一密钥进行加密得到的第二密钥进行分布式存储在对应的数据加解密单元中,在密钥管理单元中集中保存密钥索引关系,确保了密钥的安全性,从而保证了加/解密的可靠性。
具体的,所述密钥管理单元包括密钥分发单元、密钥加密管理单元、密钥库;
所述密钥分发单元,用于建立所述加解密单元与所述密钥加密管理单元之间的密钥信息互传信道;生成与所述加解密单元发送的要加密的数据标识对应的第一密钥;
所述密钥加密管理单元,用于从所述密钥库中获取公私钥对,缓存私钥,采用公钥对第一密钥进行加密得到第二密钥,通过所述密钥分发单元将第二密钥发送到所述加解密单元;
所述密钥库用于存储公私钥对。
进一步地,数据加/解密时,所述密钥分发单元接收到所述数据加解密单元发送的要用于数据加/解密的第二密钥,转发给所述密钥加密管理单元;
所述密钥加密管理单元,采用缓存的与第二密钥相对的私钥对第二密钥进行解密得到第一密钥;再经所述密钥分发单元转发到数据加解密单元进行数据加/解密。
更具体的,密钥分发单元包括密钥生成模块、第一索引模块和分发模块;
所述密钥生成模块,用于生成与所述数据标识对应的第一密钥;
分发模块,用于建立所述加解密单元与所述密钥加密管理单元间的密钥信息互传信道,进行密钥的分发或转发;
优选的,所述分发模块建立的互传信道包括加密信道和普通信道;
所述加密信道包括在密钥分发单元和密钥加密管理单元之间用于传输第一密钥的信道,从密钥分发单元向数据加解密单元转发第一密钥的信道。通过加密信道传递第一密钥确保了密钥的安全性,防止了泄露隐患。对第二密钥的互传,由于已经经过加密,因此可以采用普通信道进行互传;而本实施例采用的信道加密方法可以为现有的任一中加密方法,并不对本申请的保护范围造成影响。
第一索引模块,用于建立并存储所述第二密钥和数据标识的映射关系。所述映射关系集中存储于所述密钥管理单元中,便于每个分布式数据加解密单元的连接访问,建立数据与第二密钥的对应关系。
进一步地,所述密钥加密管理单元包括密钥加解密模块、密钥缓存区及第二索引模块;
所述密钥加解密模块,用于获取公私钥对,采用非对称加密算法对第一密钥进行加/解密操作;采用非对称加密算法比对称加密算法安全性更好。
优选的,为了确保海量数据的信息安全,实现“自主可控”,可以采用国密的非对称加密算法,对第一密钥进行加/解密,例如SM2加密算法。
所述密钥缓存区,用于缓存非对称加密算法中使用的私钥;为对第二密钥进行解密的过程提供便利;
第二索引模块,用于建立第一密钥、加密第一密钥的公私钥对、及所述公私钥对在密钥库内的存储位置之间的映射关系。
所述密钥库包括两个用于存储非对称加密算法使用的公私钥对的密钥存储模块,采用双机热备的冗余机制,保证密钥供给不间断。
进一步地,所述数据加解密单元包括密钥存储模块和加解密模块;
加解密模块,用于运用对称加密算法,使用所述第一密钥,对写入或读出的数据进行加、解密操作;采用对称加密算法简单快捷,密钥较短,且破译困难。
密钥存储模块,用于存储所述第二密钥,当加解密模块执行加/解密操作时,密钥存储模块为加解密模块提供相应的解密后的第一密钥。
优选的,为了确保海量数据的信息安全,实现“自主可控”,可以采用国密的对称加密算法,对数据进行加/解密,例如SM4加密算法。
综上所述,本实施例结合密码学和分布式存储,以保护呈爆炸式增长的海量数据信息为目的,提供了对用户透明的分布式加密存储,着重解决亿级海量数据信息集中存储时造成的泄露隐患以及明文存储造成的窃取攻击等问题,实现了亿级数据的分布式安全加密存储,有效保护了用户海量数据信息的安全。
而且采用分布存储、集中索引的存储结构,保证海量数据信息分布存储在不同的存储设备,有效抵制单点故障;用户无需对加密算法中的密钥进行管理,整个加解密过程中对用户来说是透明的。通过密钥管理单元生成、分发、管理密钥。
并且可以立足于国产密码算法,采用国密算法中SM4算法对写入磁盘中的数据进行加密,并利用SM2算法对SM4算法的密钥进行加密,从而保证了数据及密钥存储的安全性。
实施例二
本实施例公开了一种分布式加密存储系统,如图2所示,包括客户端、管理设备和存储设备;
其中,
客户端,用于发出数据的读写请求,与管理设备进行交互,获取数据的存储位置信息;与存储设备交互,将数据块进行分布式存储。
管理设备,包括索引单元、负载均衡单元和如实施例一中所述的密钥管理单元。
管理设备负责存储整个分布式加密存储系统中数据存储映射表的位置信息;协调管理存储设备之间负载均衡,保证数据块的均衡分布存储;配置副本策略,确定副本存储位置;客户端发出读写请求时能够快速检索出映射表所在存储设备位置;对加密过程中使用的第一密钥和第二密钥的生成、分发、存储进行管理。
多个存储设备组合形成分布式集群,每个存储设备包含索引单元、数据存储单元备份单元和如实施例一中所述的数据加解密单元。
所述存储设备,用于建立数据与存储位置的关系映射表;对数据进行加解密操作;负责存储实际的数据块,存储数据的映射表,执行数据块的读写操作;执行副本策略,对实际存储的数据进行备份操作。
本实施例的分布式加密存储系统还包括互联网络,用于连接客户端、管理设备和存储设备。在网络传输过程中,为保证信息的机密性、完整性,传输的信息均保证以密文的形式进行加密保护传输,或者利用安全传输协议进行传输,防止信息被非法获取或使用。
相比于现有技术,本实施例的有益效果与实施例一的有益效果相同,在此不一一赘述。
实施例三
本实施例公开一种使用如上述实施例中的分布式加密存储装置的加解密方法,包括以下步骤:
数据加密步骤:数据加解密单元发送要加密数据的数据标识到密钥分发单元;所述密钥分发单元生成与数据标识对应的第一密钥,发送给密钥加密管理单元进行加密得到第二密钥;再通过密钥分发单元将第二密钥分发到数据加解密单元进行存储;数据加解密单元将存储的所述第二密钥通过密钥分发单元再转发到密钥加密管理单元进行解密得到对应的第一密钥;所述第一密钥通过密钥分发单元转发至数据加密单元,进行数据加密。数据加密的流程图如图3所示。
数据解密步骤:数据加解密单元向密钥分发单元发送密钥请求,寻找加密数据对应的密钥;密钥分发单元通过索引检索到相应的密钥存储位置后发送至数据加解密单元;数据加解密单元根据所述位置信息从密钥存储模块模块中提取对应的第二密钥,经密钥分发单元转发至密钥加密管理单元进行解密得到第一密钥;所述第一密钥通过密钥分发单元转发至数据加密单元,进行数据解密。数据解密的流程图如图4所示。
相比于现有技术,本实施例的有益效果与实施例一的有益效果相同,在此不一一赘述。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种分布式加密存储装置,其特征在于,包括密钥管理单元和至少一个数据加解密单元;
当进行数据加密时,所述数据加解密单元用于向所述密钥管理单元发送待加密数据的数据标识;所述密钥管理单元生成与所述数据标识对应的第一密钥,并对第一密钥加密得到第二密钥;所述密钥管理单元集中保存数据标识与第二密钥的对应关系,将所述第二密钥分别发送到对应的所述数据加解密单元;所述数据加解密单元存储所述第二密钥,并将所述第二密钥发回所述密钥管理单元进行解密得到第一密钥;所述数据加解密单元采用第一密钥对待加密数据进行加密;
当对加密数据进行解密读取时,所述数据加解密单元将存储的与加密数据的数据标识对应的第二密钥发送到所述密钥管理单元进行解密后得到所需的第一密钥;采用第一密钥对数据进行解密;
数据加解密单元设置在存储器中,当数据加解密单元为多个时,采用分布式结构对分布式存储在多个存储器中的数据进行加/解密;在分布式结构中,通过对用于数据加/解密的第一密钥进行加密得到的第二密钥进行分布式存储在对应的数据加解密单元中,在密钥管理单元中集中保存密钥索引关系。
2.根据权利要求1所述的分布式加密存储装置,其特征在于,所述密钥管理单元包括密钥分发单元、密钥加密管理单元、密钥库;
所述密钥分发单元,用于建立所述加解密单元与所述密钥加密管理单元之间的密钥信息互传信道;生成与所述加解密单元发送的要加密的数据标识对应的第一密钥;
所述密钥加密管理单元,用于从所述密钥库中获取公私钥对,缓存私钥,采用公钥对第一密钥进行加密得到第二密钥,通过所述密钥分发单元将第二密钥发送到所述加解密单元;
所述密钥库用于存储公私钥对。
3.根据权利要求2所述的分布式加密存储装置,其特征在于,所述密钥分发单元,还用于将接收到的所述加解密单元发来的第二密钥,转发给所述密钥加密管理单元;
所述密钥加密管理单元,还用于采用缓存的与第二密钥相对的私钥对第二密钥进行解密得到第一密钥;再经所述密钥分发单元将所述第一密钥转发到数据加解密单元。
4.根据权利要求2或3所述的分布式加密存储装置,其特征在于,密钥分发单元包括密钥生成模块、第一索引模块和分发模块;
所述密钥生成模块,用于生成与所述数据标识对应的第一密钥;
分发模块,用于建立所述加解密单元与所述密钥加密管理单元间的密钥信息互传信道,进行密钥的分发或转发;
第一索引模块,用于建立并存储所述第二密钥和数据标识的映射关系。
5.根据权利要求4所述的分布式加密存储装置,其特征在于,所述分发模块建立的互传信道包括加密信道和普通信道;
所述加密信道,包括在密钥分发单元和密钥加密管理单元之间用于传输第一密钥的信道,从密钥分发单元向数据加解密单元转发第一密钥的信道。
6.根据权利要求2或3所述的分布式加密存储装置,其特征在于,所述密钥加密管理单元包括密钥加解密模块、密钥缓存区及第二索引模块;
所述密钥加解密模块,用于获取公私钥对,采用非对称加密算法对第一密钥进行加/解密操作;
所述密钥缓存区,用于缓存非对称加密算法中使用的私钥;
第二索引模块,用于建立第一密钥、加密第一密钥的公私钥对、及所述公私钥对在密钥库内的存储位置之间的映射关系。
7.根据权利要求2或3所述的分布式加密存储装置,其特征在于,所述密钥库包括两个用于存储公私钥对的密钥存储模块,采用双机热备的冗余机制。
8.根据权利要求2或3所述的分布式加密存储装置,其特征在于,所述数据加解密单元包括密钥存储模块和加解密模块;
加解密模块,用于运用对称加密算法,使用所述第一密钥,对写入或读出的数据进行加、解密操作;
密钥存储模块,用于存储所述第二密钥,当加解密模块执行加/解密操作时,密钥存储模块为加解密模块提供相应的解密后的第一密钥。
9.一种分布式加密存储系统,包括客户端、管理设备和存储设备,其特征在于,在所述管理设备中包括如权利要求1-8任一所述的分布式加密存储装置的密钥管理单元;在所述存储设备中包括如权利要求1-8任一所述的分布式加密存储装置的数据加解密单元。
10.一种基于权利要求1-8任一项所述的分布式加密存储装置的分布式加密存储的加解密方法,其特征在于,包括以下步骤:
数据加密步骤:数据加解密单元发送要加密数据的数据标识到密钥分发单元;所述密钥分发单元生成与数据标识对应的第一密钥,发送给密钥加密管理单元进行加密得到第二密钥;再通过密钥分发单元将第二密钥分发到数据加解密单元进行存储;数据加解密单元将存储的所述第二密钥通过密钥分发单元再转发到密钥加密管理单元进行解密得到对应的第一密钥;所述第一密钥通过密钥分发单元转发至数据加密单元,进行数据加密;
数据解密步骤:数据加解密单元向密钥分发单元发送密钥请求,寻找加密数据对应的密钥;密钥分发单元通过索引检索到相应的密钥存储位置后发送至数据加解密单元;数据加解密单元根据所述位置信息从密钥存储模块模块中提取对应的第二密钥,经密钥分发单元转发至密钥加密管理单元进行解密得到第一密钥;所述第一密钥通过密钥分发单元转发至数据加密单元,进行数据解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911399937.XA CN111143870B (zh) | 2019-12-30 | 2019-12-30 | 一种分布式加密存储装置、系统及加解密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911399937.XA CN111143870B (zh) | 2019-12-30 | 2019-12-30 | 一种分布式加密存储装置、系统及加解密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111143870A CN111143870A (zh) | 2020-05-12 |
| CN111143870B true CN111143870B (zh) | 2022-05-13 |
Family
ID=70522173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911399937.XA Active CN111143870B (zh) | 2019-12-30 | 2019-12-30 | 一种分布式加密存储装置、系统及加解密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111143870B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822021B (zh) * | 2020-12-30 | 2022-10-21 | 中国农业银行股份有限公司 | 一种密钥管理方法和相关装置 |
| CN113507435A (zh) * | 2021-06-01 | 2021-10-15 | 武汉天喻信息产业股份有限公司 | 数据传输方法及系统 |
| CN113645235A (zh) * | 2021-08-10 | 2021-11-12 | 中国银行股份有限公司 | 分布式数据加解密系统及加解密方法 |
| CN113704210A (zh) * | 2021-09-03 | 2021-11-26 | 维沃移动通信有限公司 | 数据共享方法和电子设备 |
| CN115422570B (zh) * | 2022-11-07 | 2023-02-03 | 北京数盾信息科技有限公司 | 一种分布式存储的数据处理方法及系统 |
| CN116975884A (zh) * | 2023-06-30 | 2023-10-31 | 萍乡逗花科技有限公司 | 一种数据安全存储方法及装置 |
Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431455A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 可实现无线局域网的保密通信的方法 |
| CN102739689A (zh) * | 2012-07-16 | 2012-10-17 | 四川师范大学 | 一种用于云存储系统的文件数据传输装置和方法 |
| CN102855292A (zh) * | 2010-05-31 | 2013-01-02 | 广西大学 | 密文全文检索系统的安全覆盖网构建方法及对应的全文检索方法 |
| CN103049466A (zh) * | 2012-05-14 | 2013-04-17 | 深圳市朗科科技股份有限公司 | 一种基于分布式密文存储的全文检索方法及系统 |
| CN103455734A (zh) * | 2006-05-03 | 2013-12-18 | 苹果公司 | 与设备无关的密码信息管理 |
| CN103581196A (zh) * | 2013-11-13 | 2014-02-12 | 上海众人网络安全技术有限公司 | 分布式文件透明加密方法及透明解密方法 |
| CN103595730A (zh) * | 2013-11-28 | 2014-02-19 | 中国科学院信息工程研究所 | 一种密文云存储方法和系统 |
| CN103685162A (zh) * | 2012-09-05 | 2014-03-26 | 中国移动通信集团公司 | 文件存储和共享方法 |
| CN103853943A (zh) * | 2014-02-18 | 2014-06-11 | 优视科技有限公司 | 程序保护方法及装置 |
| CN105320896A (zh) * | 2015-10-21 | 2016-02-10 | 成都卫士通信息产业股份有限公司 | 一种云存储加密以及其密文检索方法与系统 |
| CN105915332A (zh) * | 2016-07-04 | 2016-08-31 | 广东工业大学 | 一种云存储加密及去重复方法及其系统 |
| CN106936579A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 基于可信第三方代理的云存储数据存储及读取方法 |
| CN108234501A (zh) * | 2018-01-11 | 2018-06-29 | 北京国电通网络技术有限公司 | 一种基于量子密钥融合的虚拟电厂安全通信方法 |
| CN108777677A (zh) * | 2018-05-18 | 2018-11-09 | 上海小蚁科技有限公司 | 云存储数据安全保护方法及装置、存储介质、摄像头、计算设备 |
| CN108810022A (zh) * | 2018-07-18 | 2018-11-13 | 郑州云海信息技术有限公司 | 一种加密方法、解密方法及装置 |
| CN109302393A (zh) * | 2018-09-28 | 2019-02-01 | 方信息科技(上海)有限公司 | 一种加密存储系统及方法 |
| CN109361663A (zh) * | 2018-10-10 | 2019-02-19 | 中航信托股份有限公司 | 一种访问加密数据的相关方法、系统和相关装置 |
| CN109495497A (zh) * | 2018-12-11 | 2019-03-19 | 西安邮电大学 | 基于信誉度动态管理及国产密码算法隐私信息加密传输方法 |
| CN109842506A (zh) * | 2017-11-27 | 2019-06-04 | 财付通支付科技有限公司 | 密钥管理系统容灾处理方法、装置、系统和存储介质 |
| CN109902494A (zh) * | 2019-01-24 | 2019-06-18 | 北京融链科技有限公司 | 数据加密存储方法、装置,以及文件存储系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9621524B2 (en) * | 2013-12-16 | 2017-04-11 | Sophos Limited | Cloud-based key management |
-
2019
- 2019-12-30 CN CN201911399937.XA patent/CN111143870B/zh active Active
Patent Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103455734A (zh) * | 2006-05-03 | 2013-12-18 | 苹果公司 | 与设备无关的密码信息管理 |
| CN101431455A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 可实现无线局域网的保密通信的方法 |
| CN102855292A (zh) * | 2010-05-31 | 2013-01-02 | 广西大学 | 密文全文检索系统的安全覆盖网构建方法及对应的全文检索方法 |
| CN103049466A (zh) * | 2012-05-14 | 2013-04-17 | 深圳市朗科科技股份有限公司 | 一种基于分布式密文存储的全文检索方法及系统 |
| CN102739689A (zh) * | 2012-07-16 | 2012-10-17 | 四川师范大学 | 一种用于云存储系统的文件数据传输装置和方法 |
| CN103685162A (zh) * | 2012-09-05 | 2014-03-26 | 中国移动通信集团公司 | 文件存储和共享方法 |
| CN103581196A (zh) * | 2013-11-13 | 2014-02-12 | 上海众人网络安全技术有限公司 | 分布式文件透明加密方法及透明解密方法 |
| CN103595730A (zh) * | 2013-11-28 | 2014-02-19 | 中国科学院信息工程研究所 | 一种密文云存储方法和系统 |
| CN103853943A (zh) * | 2014-02-18 | 2014-06-11 | 优视科技有限公司 | 程序保护方法及装置 |
| CN105320896A (zh) * | 2015-10-21 | 2016-02-10 | 成都卫士通信息产业股份有限公司 | 一种云存储加密以及其密文检索方法与系统 |
| CN106936579A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 基于可信第三方代理的云存储数据存储及读取方法 |
| CN105915332A (zh) * | 2016-07-04 | 2016-08-31 | 广东工业大学 | 一种云存储加密及去重复方法及其系统 |
| CN109842506A (zh) * | 2017-11-27 | 2019-06-04 | 财付通支付科技有限公司 | 密钥管理系统容灾处理方法、装置、系统和存储介质 |
| CN108234501A (zh) * | 2018-01-11 | 2018-06-29 | 北京国电通网络技术有限公司 | 一种基于量子密钥融合的虚拟电厂安全通信方法 |
| CN108777677A (zh) * | 2018-05-18 | 2018-11-09 | 上海小蚁科技有限公司 | 云存储数据安全保护方法及装置、存储介质、摄像头、计算设备 |
| CN108810022A (zh) * | 2018-07-18 | 2018-11-13 | 郑州云海信息技术有限公司 | 一种加密方法、解密方法及装置 |
| CN109302393A (zh) * | 2018-09-28 | 2019-02-01 | 方信息科技(上海)有限公司 | 一种加密存储系统及方法 |
| CN109361663A (zh) * | 2018-10-10 | 2019-02-19 | 中航信托股份有限公司 | 一种访问加密数据的相关方法、系统和相关装置 |
| CN109495497A (zh) * | 2018-12-11 | 2019-03-19 | 西安邮电大学 | 基于信誉度动态管理及国产密码算法隐私信息加密传输方法 |
| CN109902494A (zh) * | 2019-01-24 | 2019-06-18 | 北京融链科技有限公司 | 数据加密存储方法、装置,以及文件存储系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111143870A (zh) | 2020-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111143870B (zh) | 一种分布式加密存储装置、系统及加解密方法 | |
| CN106330868B (zh) | 一种高速网络加密存贮密钥管理系统及方法 | |
| CN108259169B (zh) | 一种基于区块链云存储的文件安全分享方法及系统 | |
| CN101983385B (zh) | 跨越数据中心对存储区域网加密密钥的分布 | |
| US8855318B1 (en) | Master key generation and distribution for storage area network devices | |
| CN103179114B (zh) | 一种云存储中的数据细粒度访问控制方法 | |
| CN109561047B (zh) | 基于密钥异地存储的加密数据存储系统及方法 | |
| US9698979B2 (en) | QKD key management system | |
| CN106789052B (zh) | 一种基于量子通信网络的远程密钥颁发系统及其使用方法 | |
| CN105100076A (zh) | 一种基于USB Key的云数据安全系统 | |
| CN109194523A (zh) | 隐私保护的多方诊断模型融合方法及系统、云端服务器 | |
| CN110162998B (zh) | 基于用户群的身份加密等值测试方法、装置、系统及介质 | |
| US9071589B1 (en) | Encryption key management for storage area network devices | |
| CN111274599A (zh) | 一种基于区块链的数据共享方法及相关装置 | |
| CN105871902A (zh) | 数据加密及隔离系统 | |
| WO2012161417A1 (ko) | 클라우드 컴퓨팅 환경에서의 접근 권한 분산 관리 장치 및 그 방법 | |
| CN106712943A (zh) | 一种安全存储系统 | |
| CN103220293A (zh) | 一种文件保护方法及装置 | |
| CN201919030U (zh) | 一种网络文件存储及管理系统 | |
| CN113541935A (zh) | 一种支持密钥托管的加密云存储方法、系统、设备、终端 | |
| JP5133850B2 (ja) | ストレージノード用再暗号化システム及びネットワークストレージ | |
| CN113836553B (zh) | 一种密码算法动态重构的分布式存储数据保护方法 | |
| CN205792703U (zh) | 数据加密及隔离系统 | |
| US20220147640A1 (en) | Secure secret sharing storage system using cloud service | |
| CN109726584B (zh) | 云数据库密钥管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |