CN113572600B - 一种量子密钥安全存储系统 - Google Patents
一种量子密钥安全存储系统 Download PDFInfo
- Publication number
- CN113572600B CN113572600B CN202110714796.7A CN202110714796A CN113572600B CN 113572600 B CN113572600 B CN 113572600B CN 202110714796 A CN202110714796 A CN 202110714796A CN 113572600 B CN113572600 B CN 113572600B
- Authority
- CN
- China
- Prior art keywords
- encryption
- key
- unit
- database
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims description 20
- 238000000034 method Methods 0.000 abstract description 22
- 230000008569 process Effects 0.000 description 10
- 150000003839 salts Chemical class 0.000 description 10
- MIVWVMMAZAALNA-IJLUTSLNSA-N SCB2 Chemical compound CCCCCCC[C@@H](O)[C@H]1[C@H](CO)COC1=O MIVWVMMAZAALNA-IJLUTSLNSA-N 0.000 description 3
- MIVWVMMAZAALNA-UHFFFAOYSA-N SCB2 Natural products CCCCCCCC(O)C1C(CO)COC1=O MIVWVMMAZAALNA-UHFFFAOYSA-N 0.000 description 3
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种量子密钥安全存储系统,包括主控单元、硬件加密单元、软件加密单元、密钥存储单元和数据库,其中:所述主控单元控制硬件加密单元对原始密钥进行加密得到第一加密密钥,所述第一加密密钥key1通过密钥存储单元存储到所述数据库中同时回传给主控单元,由主控单元通过网络接口将第一加密密钥传key1送给软件加密单元;软件加密单元进行软件加密形成第二密钥key2。本发明中主要采用硬件加密和软件数据库加密存储相结合的方法对量子密钥进行安全存储,原始密钥先采用硬件加密,经过硬件加密后进一步软件数据库加密处理,通过硬件加密、软件数据库存储加密的方法提高密钥存储安全性。
Description
技术领域
本发明涉及量子信息处理与量子密钥加密和存储领域,具体涉及一种量子密钥安全存储系统。
背景技术
信息安全的保证就依赖于对密钥的保护,而随机数产生的密钥一般属于明文,且模拟电路设计的真随机数产生器往往速度比较慢,所以对于产生的密钥需要进行安全存储。
传统的量子密钥安全存储一般采用软加密或者硬件加密其中一种方法,无论是硬加密还是软加密都有一定的缺陷,单一的加密方法相对来说都是比较容易被破解的。
根据《CN106529651A一种采用双重加密算法的射频卡片》的现有双重加密方法,该方法将加密数据存储在flash里面,flash擦写次数少(10000次)。
根据《CN108259162A一种密钥存储方法》的现有密钥存储方法,该方法只采用算法变换对密钥进行处理,加密度相对不高。
因此,需要对现有技术进行改进提高量子密钥存储的安全性能。
发明内容
为了解决上述技术问题,提出了一种提高量子密钥的安全性能的量子密钥安全存储系统。
为实现上述目的,本发明采取的技术方案如下:一种量子密钥安全存储系统,包括硬件加密模块、上位机、软件加密单元以及密钥存储单元和数据库,其中:
所述主控单元控制硬件加密单元对原始密钥进行加密得到第一加密密钥key1,所述第一加密密钥key1通过密钥存储单元存储到所述数据库中同时回传给所述主控单元,由主控单元通过网络接口将第一加密密钥传key1传送给上位机;
所述上位机接收到第一加密密钥key1后访问所述数据库,并通过软件加密单元调用数据库中的加密函数对所述第一加密密钥key1进行二次加密处理得到第二加密密钥key2,同时将第二加密信息key2通过密钥存储单元存储到所述数据库中。
优选地,还包括软件解密单元和硬件解密单元,其中:
软件解密单元通过调用解密函数对加密信息进行解密,解密后的信息传给上位机,上位机通过接口传输给所述主控单元,所述主控单元控制硬件解密单元将信息再次解密,获得原始密钥。
优选地,所述主控单元内设置状态机用于对硬件加密单元的进行逻辑控制,控制加密单元对原始密钥进行加密,所述硬件加密单元通过接口调用SCB2专用算法对原始密钥进行加密。
优选地,所述软件加密单元通过SQL语句调用Mysql数据库里的ENCODE()加密函数对第一加密密钥进行加密处理。
优选地,所述第二加密密钥Key2通过SQL插入语句存入数据库中。
优选地,所述第二加密密钥Key2采用二进制字符串表示,以BLOB类型存储。
优选地,所述密钥存储单元通INSERT INTO语句对第二加密密钥Key2进行存储.
优选地,所述Key2存储时先通过HEX()函数将Key2十六进制化,再存入数据库的varchar列中。
优选地,还包括查询模块,所述查询模块使用SELECT语句查找数据。
本发明有益的技术效果:本发明中主要采用硬件加密和软件数据库加密存储相结合的方法对量子密钥进行安全存储,原始密钥先采用硬件加密,经过硬件加密后进一步软件数据库加密处理。通过硬加密和软加密双重加密提高了加密强度,而数据库存储密钥解决了随机数产生密钥慢需要存储等待的问题,同时也解决硬件加密存储容量小无法存储太多密钥的问题。所以硬件加密、软件数据库存储加密的方法可以实现密钥安全存储。
附图说明
图1为本发明的量子密钥加密的整体结构框图;
图2为本发明加密过程的流程图;
图3为本发明解密过程的流程图;
图4为本发明加密过程的详细流程图;
图5为本发明量子密钥存储过程的详细流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例对本发明进行进一步详细说明,但本发明要求保护的范围并不局限于下述具体实施例。
如图1-5所示,一种量子密钥安全存储系统,包括主控单元,硬件加密单元、上位机、软件加密单元、密钥存储单元和数据库,其中:
主控单元采用FPGA主控单元;
所述主控单元控制硬件加密单元对原始密钥key进行加密得到第一加密密钥key1,原始密钥key采用密钥生成器生成;所述第一加密密钥key1通过密钥存储单元存储到所述数据库中同时回传给所述主控单元,由主控单元通过网络接口将第一加密密钥传key1传送给上位机,网络接口为以太网IP接口。
其中FPGA主控单元包括FPGA核心芯片,FPGA核心芯片采用EP4CGX系列芯片。硬件加密模块包括硬件加密芯片,硬件加密芯片采用SSX30系列芯片型号,硬件加密芯片支持SCB2专用算法,最高加解密速度可达1.4Gbps,调用该算法时,需要通过硬件加密芯片的接口进行调用。
所述FPGA主控单元内设置状态机用于对硬件加密单元的进行逻辑控制,控制硬件加密单元对原始密钥进行加密key,所述硬件加密单元通过接口调用SCB2专用算法对原始密钥key进行加密得到第一加密密钥key1。
主控单元通过网络接口将第一加密密钥传key1传送给上位机,上位机通过软件加密单元访问数据库,调用数据库中的加密函数对所述第一加密密钥key1进行二次加密处理得到第二加密密钥key2,同时将第二加密密钥key2通过密钥存储单元存储到所述数据库中(其中Key1不需要存储,得到Key2之后Key1自动销毁)将第二加密密钥key2存储到密钥存储单元提高了密钥安全性,同时对密钥进行存储解决了随机数产生密钥慢的问题同时也解决硬件加密存储容量小的问题。
所述软件加密单元通过SQL(SQL语言是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统)语句调用所述数据库,本实施例中数据库采用Mysql数据库(Mysql是一种开放源代码的关系型数据库管理系统,Mysql数据库使用最常用的数据库管理语言--结构化查询语言(SQL)进行数据库管理)中的ENCODE()加密函数和DECODE()解密函数对加密密钥进行加密和解密处理。
优选地,还包括软件解密单元和硬件解密单元,其中:
软件解密单元通过调用解密函数对加密信息进行解密,解密后的信息传给上位机,上位机通过接口传输给所述主控单元,所述主控单元控制硬件解密单元将信息再次解密,获得原始密钥。
密钥的使用包括解密过程,解密过程中包括软件解密单元和硬件解密单元,其中:
软件解密单元通过调用解密函数DECODE()对加密信息进行解密,解密后的信息传给上位机,上位机通过接口传输给所述主控单元,所述主控单元控制硬件解密单元将信息再次解密,获得原始密钥。
优选地,将所述第一加密密钥Key1命名为Name,通过SQL插入语句将Key2存入数据库中。
具体地,所述软件加密单元加密过程如下:
使用ENCODE()函数处理,其语句如下:
ENCODE('Key1','salt')
其中Key1为待加密字符串,salt为密钥,表示函数ENCODE()通过密钥salt将Key1加密。
软件加密的得到的结果第二加密密钥Key2是一个二进制字符串,以BLOB类型存储,
所述解密模块通过DECODE()函数进行解密,其语句如下:
DECODE(Datakey,'salt');
其中Datakey为已加密的二进制串,salt为加密时自定义的密钥。
所述密钥存储单元通INSERT INTO语句对第二加密密钥Key2进行存储,存储过程如下:
使用SQL插入加密语句进行存储,语句内容如下:
INSERT INTO Keytab(username,Datakey)VALUES('Name',HEX(ENCODE('Key1','salt')))
其中Name的密码是Key1,salt是自定义的密钥,因为ENCODE('Key1','salt')加密完的结果Key2是BLOB类型的在存储时需转换,通过HEX()函数将Key2十六进制化,再存入数据库的varchar列。使用INSERT INTO语句可以将存储的数据插入指定的Keytab存储表中特定的username列和Datakey列。
插入结果可简单描述如下表1Keytab存储表:
表1 Keytab存储表
0 | 1 | 2 | 3 | 4 |
1 | username | Address | Datakey | other |
2 | Name | Key2 | ||
3 | ... | ... | ... | ... |
通过上述语句是把数据存储在自己设定username和Datakey的数据列里。
优选地,还包括查询模块,所述查询模块使用SELECT语句;当使用密钥加密数据时需要通过SQL查询语句查找插入的数据,首先找出Key1。
SQL查询解密语句如下:
SELECT DECODE(UNHEX(Datakey,'salt'))FROM keytab WHERE username='Name';
使用SELECT DECODE语句可以根据需要查询指定Keytab存储表中某一特定数据Name。在解密时需调用UNHEX()函数取出插入时转化为十六进制的Key2,通过UNHEX()函数在用解密函数DECODE()处理得到Key1。从语句中可见只有同时知道Name和Salt的人才能解密出Key1,进一步提高了密钥安全性。
插入结果可简单描述如下表1Keytab存储表:
表1 Keytab存储表
0 | 1 | 2 | 3 | 4 |
1 | username | Address | Datakey | other |
2 | Name | Key2 | ||
3 | ... | ... | ... | ... |
通过上述语句是把数据存储在自己设定username和Datakey的数据列里。
通过Select查询语句查询Keytab表里的username和Datakey根据需要读取Name和key2。
根据上述说明书的揭示和教导,本发明所属领域的技术人员还可以对上述实施方式进行变更和修改。因此,本发明并不局限于上面揭示和描述的具体实施方式,对发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对发明构成任何限制。
Claims (8)
1.一种量子密钥安全存储系统,其特征在于,包括主控单元、硬件加密单元、上位机、软件加密单元以及密钥存储单元和数据库,其中:
所述主控单元控制硬件加密单元对原始密钥进行加密得到第一加密密钥key1,所述第一加密密钥key1通过密钥存储单元存储到所述数据库中同时回传给所述主控单元,由主控单元通过网络接口将第一加密密钥key1传送给上位机;
所述上位机接收到第一加密密钥key1后访问所述数据库,并通过软件加密单元调用数据库中的加密函数对所述第一加密密钥key1进行二次加密处理得到第二加密密钥key2,同时将第二加密密钥key2通过密钥存储单元存储到所述数据库中;
还包括软件解密单元和硬件解密单元,其中:
软件解密单元通过调用解密函数对加密信息进行解密,解密后的信息传给上位机,上位机通过接口传输给所述主控单元,所述主控单元控制硬件解密单元将信息再次解密,获得原始密钥。
2.如权利要求1所述的一种量子密钥安全存储系统,其特征在于,所述主控单元内设置状态机用于对硬件加密单元的进行逻辑控制,控制所述硬件加密单元对原始密钥进行加密,所述硬件加密单元通过接口调用软件算法对原始密钥进行加密。
3.如权利要求2所述的一种量子密钥安全存储系统,其特征在于,所述软件加密单元通过调用数据库里的加密函数对第一加密密钥进行加密处理。
4.如权利要求1所述的一种量子密钥安全存储系统,其特征在于:所述第二加密密钥Key2通过插入语句存入数据库中。
5.如权利要求1所述的一种量子密钥安全存储系统,其特征在于:所述第一加密密钥Key1和第二加密密钥Key2采用二进制字符串表示,以BLOB类型存储。
6.如权利要求1所述的一种量子密钥安全存储系统,其特征在于,所述密钥存储单元通加密语句对第二加密密钥Key2进行存储。
7.如权利要求1所述的一种量子密钥安全存储系统,其特征在于,所述Key2存储时先通过函数将Key2十六进制化,再存入数据库中。
8.如权利要求1所述的一种量子密钥安全存储系统,其特征在于,还包括查询模块,所述查询模块使用语句查找数据。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2020116181727 | 2020-12-31 | ||
CN202011618172 | 2020-12-31 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113572600A CN113572600A (zh) | 2021-10-29 |
CN113572600B true CN113572600B (zh) | 2024-03-01 |
Family
ID=78162812
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110714796.7A Active CN113572600B (zh) | 2020-12-31 | 2021-06-26 | 一种量子密钥安全存储系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113572600B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN200953248Y (zh) * | 2006-09-20 | 2007-09-26 | 北京中乐华建科技有限公司 | 指纹加密杀毒u盘 |
CN101064812A (zh) * | 2006-04-24 | 2007-10-31 | 深圳Tcl新技术有限公司 | 对hdcp的密钥进行再加密的方法 |
CN101145230A (zh) * | 2006-09-15 | 2008-03-19 | 汉王科技股份有限公司 | 加密签名板及复合加密签名的方法 |
CN101833629A (zh) * | 2009-03-11 | 2010-09-15 | 南京理工大学 | 软件区域授权加密方法及其实现装置 |
US9735962B1 (en) * | 2015-09-30 | 2017-08-15 | EMC IP Holding Company LLC | Three layer key wrapping for securing encryption keys in a data storage system |
CN107247891A (zh) * | 2017-04-20 | 2017-10-13 | 江苏林洋能源股份有限公司 | 一种采用混合加密算法实现对软件发放控制的方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB0813298D0 (en) * | 2008-07-19 | 2008-08-27 | Univ St Andrews | Multipad encryption |
-
2021
- 2021-06-26 CN CN202110714796.7A patent/CN113572600B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101064812A (zh) * | 2006-04-24 | 2007-10-31 | 深圳Tcl新技术有限公司 | 对hdcp的密钥进行再加密的方法 |
CN101145230A (zh) * | 2006-09-15 | 2008-03-19 | 汉王科技股份有限公司 | 加密签名板及复合加密签名的方法 |
CN200953248Y (zh) * | 2006-09-20 | 2007-09-26 | 北京中乐华建科技有限公司 | 指纹加密杀毒u盘 |
CN101833629A (zh) * | 2009-03-11 | 2010-09-15 | 南京理工大学 | 软件区域授权加密方法及其实现装置 |
US9735962B1 (en) * | 2015-09-30 | 2017-08-15 | EMC IP Holding Company LLC | Three layer key wrapping for securing encryption keys in a data storage system |
CN107247891A (zh) * | 2017-04-20 | 2017-10-13 | 江苏林洋能源股份有限公司 | 一种采用混合加密算法实现对软件发放控制的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113572600A (zh) | 2021-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112800088B (zh) | 基于双向安全索引的数据库密文检索系统及方法 | |
US11144663B2 (en) | Method and system for search pattern oblivious dynamic symmetric searchable encryption | |
US9977918B2 (en) | Method and system for verifiable searchable symmetric encryption | |
US11366918B1 (en) | Methods and apparatus for encrypted indexing and searching encrypted data | |
CN105787387B (zh) | 一种数据库加密方法及该加密数据库查询方法 | |
US8375224B2 (en) | Data masking with an encrypted seed | |
CN106161006B (zh) | 一种数字加密算法 | |
US20100169665A1 (en) | Method for indexing encrypted column | |
CN102855448B (zh) | 一种字段级数据库加密装置 | |
CN107609418A (zh) | 文本数据的脱敏方法、装置、存储设备以及计算机设备 | |
CN107070660A (zh) | 一种区块链加密射频芯片的存储设计方法 | |
CN103049466A (zh) | 一种基于分布式密文存储的全文检索方法及系统 | |
CN101162493A (zh) | 维护数据库安全的方法和系统 | |
US11082205B2 (en) | Methods for securing data | |
CN106934301A (zh) | 一种支持密文数据操作的关系型数据库安全外包数据处理方法 | |
US20210091945A1 (en) | Key Processing Method and Apparatus | |
CN106874516A (zh) | 一种云存储中基于kcb树和布隆过滤器的高效密文检索方法 | |
WO2024131137A1 (zh) | 敏感信息处理方法、装置、电子设备和存储介质 | |
CN115865448A (zh) | 一种数据自加密装置和方法 | |
CN113572600B (zh) | 一种量子密钥安全存储系统 | |
CN103414555A (zh) | 阵列基于io块加密的密钥管理方法 | |
CN116089928A (zh) | 一种统一密码资源管理方法 | |
CN107423631A (zh) | 一种数据库加解密方法和装置 | |
JP2004326260A (ja) | データ書き込み方法およびデータ読み込み方法と、これらを用いたデータ記録装置 | |
CN107579987A (zh) | 一种服务器云端诊断系统规则库二级加密、访问方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |