CN114679272B - 一种使用量子密钥加密的云存储系统及方法 - Google Patents

一种使用量子密钥加密的云存储系统及方法 Download PDF

Info

Publication number
CN114679272B
CN114679272B CN202210585983.4A CN202210585983A CN114679272B CN 114679272 B CN114679272 B CN 114679272B CN 202210585983 A CN202210585983 A CN 202210585983A CN 114679272 B CN114679272 B CN 114679272B
Authority
CN
China
Prior art keywords
ciphertext
key
cloud storage
file
quantum key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210585983.4A
Other languages
English (en)
Other versions
CN114679272A (zh
Inventor
董智超
郑韶辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Quantum Technologies Co ltd
Original Assignee
Zhejiang Quantum Technologies Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Quantum Technologies Co ltd filed Critical Zhejiang Quantum Technologies Co ltd
Priority to CN202210585983.4A priority Critical patent/CN114679272B/zh
Publication of CN114679272A publication Critical patent/CN114679272A/zh
Application granted granted Critical
Publication of CN114679272B publication Critical patent/CN114679272B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

一种使用量子密钥加密的云存储系统,包括:用于提供量子密钥分发、管理和基于量子密钥的陷门函数算法服务的密钥管理子系统;用于向用户终端提供密文存储以及密文检索服务的云存储中心;用于向使用者提供文件的密文存储和检索的操作界面的用户终端。与现有技术相比,本发明通过在用户终端将数据加密后上传,解决了云存储环境下用户隐私泄露问题;通过使用SSE方案实现了云存储环境下的密文存储和密文检索,创新的在SSE方案中采用了量子密钥分发技术,解决了传统SSE方案密钥安全性问题,和密钥管理难题;通过在索引创建和关键字检索过程中使用基于量子密钥的带陷门的哈希函数使得同一个关键字每次生成的密文不同,解决了检索过程中的隐私泄露问题。

Description

一种使用量子密钥加密的云存储系统及方法
技术领域
本发明涉及数据安全存储技术领域,特别涉及一种使用量子密钥加密的云存储系统及方法。
背景技术
随着云服务产业的逐渐发展的一种网络服务,大量的个人用户和企业选择将他们的数据和业务迁移到云中,以节省数据管理和本地系统维护的成本。但是由于云中的数据无法像本地数据一样直接被用户控制,用户无法有效地检查数据的安全性和一致性。虽然云服务提供商会严格按照签订的协议规划执行用户需求,但是也并非完全诚实可信。于是有些系统选择把用户本地数据加密后再上传到云端,通过加密敏感数据,从而避免云服务器和恶意用户的攻击,起到保护用户数据安全和用户隐私的目的,但是密文数据限制了云服务器的检索功能,阻碍了云服务器弹性伸缩、管理便捷等特点的发挥,所以产生了可搜索加密(SE)技术。
密文检索有两种方法,一种是对称可搜索加密(Symmetric SearchableEncryption,简称SSE),另一种是公钥可搜索加密(Public Key Encryption with KeywordSearch,简称 PEKS)。其中,SSE方案建立索引和查询过程时间开销很小,因此具有很好的搜索效率和实用性,但是由于对称算法复杂的密钥分发和管理问题,导致在云计算环境下面向多用户场景时,大多采用了基于非对称算法的PEKS方案。
此外,在现有算法的密文检索过程中,很容易泄露文件和查询关键字之间的关系,导致系统容易遭受文件注入攻击的威胁。
综上,现有云存储系统主要存在以下几个问题:
1)采用明文方式的云存储系统,存在用户数据安全问题,容易泄露用户隐私数据;
2)采用密文方式的云存储系统,限制了云服务器的检索功能;
3)现有密文检索技术PEKS开销较大,SSE方案又存在密钥分发和管理问题;
4)密文检索过程容易泄露信息。
发明内容
本发明提出了一种使用量子密钥加密的云存储系统及方法,以解决现有技术中云存储系统用户数据安全和用户隐私保护问题,现有SSE方案密钥的安全分发与管理难的问题,以及密文检索过程容易泄露信息的技术性缺陷。
本发明的技术方案是这样实现的:
一种使用量子密钥加密的云存储系统,包括:
密钥管理子系统KMS,密钥管理子系统KMS提供量子密钥管理服务,密钥管理子系统KMS还提供基于量子密钥的陷门函数算法服务,同时将量子密钥作为陷门函数的关键参数参与陷门运算;
云存储中心CSC,云存储中心CSC用于存储用户终端UC上传的密文文件数据,以及向用户终端UC提供密文检索服务;
用户终端UC,用于与使用者进行交互,提供文件的密文上传、下载、检索操作界面。
优选地,密钥管理子系统KMS包括:
QKD网络,所述QKD网络包括若干个QKD设备节点,所述QKD网络用于协商生成量子密钥;
密钥管理程序KMP,所述密钥管理程序KMP用于管理量子密钥;
密文算法程序CAP,所述密文算法程序CAP使用量子密钥基于陷门函数将输入明文变为密文。
优选地,所述密钥管理程序KMP用于对QKD网络协商的量子密钥进行统一管理,提 供量子密钥的操作接口,并向用户终端UC提供量子密钥服务,管理的量子密钥K包含两个组 成部分,量子密钥标识KID和;量子密钥值KV,表示为
Figure 876644DEST_PATH_IMAGE001
优选地,所述密文算法程序CAP管理一个数据字典D和一个密文加密密钥EK,所述密文加密密钥EK包括密文加密公钥HK和陷门信息TK。
优选地,所述密文算法程序CAP包含陷门函数算法,陷门函数算法输入信息包括陷 门信息TK、来源于数字字典的数据项
Figure 27396DEST_PATH_IMAGE002
、与数据项对应的量子密钥
Figure 299109DEST_PATH_IMAGE003
、临时获取的量子密 钥
Figure 969125DEST_PATH_IMAGE004
,陷门函数算法输出信息包括与数据项
Figure 693498DEST_PATH_IMAGE005
对应的密文数据
Figure 146476DEST_PATH_IMAGE006
优选地,所述云存储中心CSC包括:
QKD接入设备,所述QKD接入设备用于和密钥管理子系统KMS建立量子保密通信链路;
分布式存储网络DSN,所述分布式存储网络DSN存储由用户终端UC上传的密文文件EF;
云存储管理程序CSP,所述云存储管理程序CSP用于维护用户终端UC上传的密文关键字EW、密文文件标签FH与密文文件EF的索引关系;
优选地,所述云存储管理程序CSP采用倒排索引表IIT用于管理密文关键字EW、密文文件标签FH与密文文件EF之间的索引关系,倒排索引表IIT中的索引与分布式存储网络DSN中存储的密文文件存储位置一一对应。
优选地,所述倒排索引表IIT中存储的索引值是通过陷门哈希函数算法计算出的哈希值,陷门哈希函数算法的输入包括密钥管理子系统KMS公布的密文加密公钥HK、用户终端UC上传的密文关键字W、用户终端UC上传的临时密钥标识KID所对应的密钥值KV。
优选地,所述用户终端UC为一个客户端程序,可兼容多种类型的操作系统,操作系统包括但不限于Windows、Linux、Mac OS、Android、IOS中的一种,用户终端UC通过HTTPS协议与密钥管理子系统KMS、云存储中心CSC建立通信。
本发明还提供了一种使用量子密钥加密的云存储方法,包括以下步骤:
1)密文存储:
11)对所选择的文件进行扫描生成关键字列表
Figure 662908DEST_PATH_IMAGE007
和文件标签L;
12)请求密钥管理子系统KMS对关键字列表W和文件标签L执行基于量子密钥的陷 门函数TR生成密文关键字列表
Figure 877727DEST_PATH_IMAGE008
和密文文件标签
Figure 214030DEST_PATH_IMAGE009
13)使用从密钥管理子系统KMS中获取到的量子密钥K加密文件F得到密文文件EF;
14)将密文关键字列表EW、密文文件标签FH和密文文件EF一同上传给云存储中心CSC;
15)云存储中心CSC中的分布式存储网络存储密文文件EF,并使用关键字列表EW和密文文件标签FH通过陷门哈希函数算法计算出索引、存入倒排索引表IIT,并关联到分布式存储网络中存储的密文文件EF;
2)密文检索:
21)所述用户终端UC向云存储中心CSC发起的密文检索请求,用于查找云存储中心 CSC中存储的包含对应关键字的所有文件,得到检索关键字列表
Figure 470699DEST_PATH_IMAGE010
22)请求密钥管理子系统KMS对检索关键字列表W执行陷门函数TR生成密文检索关 键字列表
Figure 451425DEST_PATH_IMAGE011
23)使用密文检索关键字列表EW构建密文检索请求并发送给云存储中心CSC;
24)从云存储中心CSC中获得符合要求的密文标签索引集合
Figure 463243DEST_PATH_IMAGE012
, 选择下载密文文件EF;
25)从密文文件EF中分理出密钥标识KID,分离后的密文文件EF变为文件密文
Figure 162209DEST_PATH_IMAGE013
, 从密钥管理子系统KMS中根据密钥标识KID查询到对应的密钥值KV,解密得到文件F。
优选地,所述云存储中心CSC还可以执行多个关键字的联合查询。
与现有技术相比,本发明有以下有益效果:
本发明通过在客户端将数据加密后上传云端,解决了云存储环境下用户数据安全和用户隐私保护问题;
本发明通过使用SSE方案解决了云存储的密文检索问题,基于SSE方案的云存储不仅支持密文存储还支持基于密文的检索;
本发明通过使用量子密钥分发与量子密钥管理技术,解决了传统SSE方案密钥的安全分发与管理难的问题,量子密钥分发替代固定密钥解决密钥分发问题,同时统一的量子密钥管理子系统解决了多终端场景下的密钥存储、使用、获取、销毁等管理难题;
本发明通过在索引创建和密文检索过程中联合使用基于量子密钥的陷门函数和陷门哈希函数,通过陷门函数将检索的关键字变成密文,且对于同样的关键字每次的密文均不同,解决了查询关键字的隐私泄露问题。
附图说明
图1为本发明使用量子密钥加密的云存储系统的组成结构图;
图2为本发明密钥管理子系统的组成结构图;
图3为本发明云存储中心的组成结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明进行清楚、完整地描述。
如图1所示,一种使用量子密钥加密的云存储方法及系统,主要组成部分包括:密钥管理子系统KMS,云存储中心CSC和至少一个用户终端UC。密钥管理子系统KMS主要负责向用户终端UC提供量子密钥管理服务,密钥管理子系统KMS还向用户终端UC提供包括变色龙哈希函数在内的密码学算法服务。云存储中心CSC主要负责存储存储用户终端UC上传的密文文件数据,云存储中心CSC还向用户终端UC提供密文检索服务。所述用户终端UC主要负责与使用者进行交互,提供文件的密文上传、下载、检索操作界面。
如图2所示,所述密钥管理子系统KMS由QKD网络、密钥管理程序KMP和密文算法程序CAP组成。所述QKD网络负责协商生成量子密钥,密钥管理程序KMP负责管理量子密钥,密文算法程序CAP使用量子密钥基于变色龙哈希的陷门函数将输入明文变为密文。
所述QKD网络包含若干个QKD设备节点,且各个QKD设备节点间采用包括但不限于BB84、B92、EPR量子密钥分发协议持续进行密钥协商。
所述密钥管理程序KMP对QKD网络协商的量子密钥进行统一管理,提供量子密钥包 括存储、分发、销毁的操作接口,并向用户终端UC提供量子密钥服务,所管理的量子密钥K包 含两个组成部分,分别为密钥标识KID和密钥值KV,可表示为
Figure 718174DEST_PATH_IMAGE014
所述密文算法程序CAP管理一个数据字典D和一对密文加密密钥EK,所述数据字典 D采用表结构存储,表中的每项都由数据d和量子密钥标识KID组成,可表示为
Figure 678040DEST_PATH_IMAGE015
,与密钥标识KID对应的密钥值KV存储在密钥管理程序 KMP中,所述密文加密密钥EK是非对称密钥,由公钥HK和私钥TK组成,可表示为
Figure 736126DEST_PATH_IMAGE016
,其中,TK也叫做陷门信息。
所述密文算法程序CAP包含一个变色龙哈希陷门函数算法。算法的输入参数来源 包括:数据字典D中的一个数据项
Figure 312600DEST_PATH_IMAGE017
;与密钥标识
Figure 911072DEST_PATH_IMAGE018
对应的密钥值
Figure 600810DEST_PATH_IMAGE019
;陷 门信息TK;从密钥管理子系统KMS中临时获取的量子密钥
Figure 220011DEST_PATH_IMAGE020
。算法的输出包 括与数据
Figure 188841DEST_PATH_IMAGE021
对应的密文数据
Figure 794266DEST_PATH_IMAGE022
。定义陷门函数TR,用公式表示为:
Figure 728724DEST_PATH_IMAGE023
如图3所示,所述云存储中心CSC由QKD接入设备、分布式存储网络DSN和云存储管理程序CSP组成。所述QKD接入设备用于和密钥管理子系统KMS建立量子保密通信链路,分布式存储网络DSN存储由用户终端UC上传的密文文件EF,云存储管理程序CSP维护用户终端UC上传的密文关键字EW与密文文件EF的索引关系。
云存储管理程序CSP中含有一张倒排索引表IIT用于管理密文关键字EW与密文文 件EF之间的索引关系,所述倒排索引表IIT采用表结构存储,表中的每一项都包含两个元 素,一个是密文关键字索引wh,另一个是包含该关键字的全部文件的密文标签索引集合
Figure 128613DEST_PATH_IMAGE024
。设倒排索引表IIT中存储n条数据,且每条数据中包含的密文标签集合 为
Figure 414100DEST_PATH_IMAGE025
,则倒排索引表IIT可表示为
Figure 557637DEST_PATH_IMAGE026
, 且密文标签索引集合
Figure 785749DEST_PATH_IMAGE024
中的元素fh与分布式存储网络DSN中存储的密文 文件存储位置一一对应。
倒排索引表IIT中的密文关键字索引wh和密文标签索引集合
Figure 746752DEST_PATH_IMAGE027
中的元素fh是一个哈希值,该哈希值采用变色龙哈希函数算法CH计算。算法的输入参数包 括:密钥管理子系统KMS公布的密文加密密钥EK中的公钥HK;用户终端UC上传的密文关键字 w;用户终端UC上传的临时密钥标识KID所对应的KV。算法的输出是一个哈希值h。定义变色 龙哈希函数CH,用公式表示为:
Figure 129323DEST_PATH_IMAGE028
所述用户终端UC是一个客户端程序,兼容多种类型的操作系统,包括但不限于Windows、Linux、Mac OS、Android、IOS中的一种,用户终端UC通过HTTPS协议与密钥管理子系统KMS、云存储中心CSC建立通信。
所述用户终端UC向云存储中心CSC上传文件时需要对文件进行处理,其处理过程为:
1)对所选择的文件进行扫描生成关键字列表
Figure 201184DEST_PATH_IMAGE029
和文件标签L;
其次,请求密钥管理子系统KMS对关键字列表W和文件标签L执行陷门函数TR生成 密文关键字列表
Figure 985601DEST_PATH_IMAGE030
和密文文件标签
Figure 524029DEST_PATH_IMAGE031
2)使用从密钥管理子系统KMS中获取到的量子密钥
Figure 784109DEST_PATH_IMAGE032
加密文件F得到 密文文件EF,公式为
Figure 767984DEST_PATH_IMAGE033
,其中ENC为对称加密函数,支持的算法包括 但不限于SM1、SM4、AES,“||”符号为拼接运算符;
3)将密文关键字列表EW、密文文件标签FH和密文文件EF一同上传给云存储中心CSC。
所述用户终端UC向云存储中心CSC发起的密文检索请求,用于查找云存储中心CSC中存储的包含某个关键字的所有文件,还可以执行多个关键字的联合查询,其执行过程为:
1)得到检索关键字列表
Figure 531540DEST_PATH_IMAGE034
2)请求密钥管理子系统KMS对关键字列表W执行陷门函数TR生成密文关键字列表
Figure 240870DEST_PATH_IMAGE035
3)使用密文关键字列表构建密文检索请求并发送给云存储中心CSC;
4)从云存储中心CSC中获得符合要求的密文标签索引集合
Figure 863613DEST_PATH_IMAGE036
, 选择下载密文文件EF;
5)从密文文件EF中分理出密钥标识KID,分离后的密文文件EF变为文件密文
Figure 277277DEST_PATH_IMAGE037
,从 密钥管理子系统KMS中根据密钥标识KID查询到对应的密钥值KV,解密得到文件F,公式为
Figure 36285DEST_PATH_IMAGE038
,其中DEC为对称解密函数,支持的算法包括但不限于SM1、SM4、AES。
如图 3所示,为本发明实施例,具体实施步骤如下:
本发明公开了一种使用量子密钥加密的云存储方法及系统如图一所示,具体实施步骤如下:
步骤1,部署密钥管理子系统KMS,密钥管理子系统KMS管理若干QKD设备组成的QKD网络。
步骤2,部署云存储中心CSC,安装QKD接入设备并建设到密钥管理子系统KMS中QKD网络的量子保密通信链路。
步骤3,准备一个用户终端UC,设为UC_A,且UC_A到密钥管理子系统KMS和UC_A到云存储中心CSC的通信链路畅通。
步骤4,准备另一个用户终端UC,设为UC_B,且UC_B到密钥管理子系统KMS和UC_B到云存储中心CSC的通信链路畅通。
步骤5,初始化密钥管理子系统KMS,创建数据字典D,初始时为空,创建一对密文加 密密钥
Figure 509992DEST_PATH_IMAGE039
陷门信息。
步骤6,初始化云存储中心CSC中的倒排索引表IIT,初始为空。
步骤7,使用UC_A选择需要上传到云存储中心CSC中存储的本地文件F。
步骤8,UC_A扫描文件F,生成关键字列表
Figure 584477DEST_PATH_IMAGE040
,同时为文件生成文件标签L。
步骤9,UC_A向密钥管理子系统KMS发送密文生成请求,请求内容包含关键字列表W;
步骤10,密钥管理子系统KMS的密文算法程序CAP遍历关键字列表W查询
Figure 536253DEST_PATH_IMAGE041
是否在 数据字典D中;
步骤11,如果
Figure 212085DEST_PATH_IMAGE041
不在数据字典D中,则向密钥管理程序KMP请求生成一个新的量子 密钥
Figure 466480DEST_PATH_IMAGE042
,并在字典中创建一个新项
Figure 922869DEST_PATH_IMAGE043
步骤12,如果
Figure 553701DEST_PATH_IMAGE041
在数据字典D中,则直接查找到项
Figure 411936DEST_PATH_IMAGE044
步骤13,根据
Figure 601347DEST_PATH_IMAGE045
到密钥管理程序KMP中查询得到
Figure 279453DEST_PATH_IMAGE046
,向密钥管理程序KMP请 求生成一个量子密钥
Figure 448397DEST_PATH_IMAGE047
,执行陷门函数TR,得到
Figure 833242DEST_PATH_IMAGE048
步骤14,重复步骤10到12步直到关键字列表W遍历结束;
步骤15,返回密文关键字列表
Figure 819652DEST_PATH_IMAGE049
给UC_A;
步骤16,UC_A向密钥管理子系统KMS发送的密文生成请求,请求内容为文件标签L;
步骤17,按步骤10到12过程查询数据字典,返回密文文件标签列表
Figure 860421DEST_PATH_IMAGE050
步骤18,UC_A向密钥管理子系统KMS请求量子密钥,密钥管理子系统KMS返回
Figure 131258DEST_PATH_IMAGE051
给UC_A;
步骤19,UC_A加密选择的本地文件F得到密文文件
Figure 698506DEST_PATH_IMAGE052
步骤20,UC_A发起上传请求,将{EW, EL, EF}发送给云存储中心CSC;
步骤21,云存储中心CSC使用关键字列表EW与密文文件EL中的量子密钥标识KID向 密钥管理子系统KMS查询
Figure 731184DEST_PATH_IMAGE053
Figure 649462DEST_PATH_IMAGE054
步骤22,云存储中心CSC调用变色龙哈希函数CH,计算关键字密文索引
Figure 160208DEST_PATH_IMAGE055
步骤23,云存储中心CSC调用变色龙哈希函数CH,计算密文文件标签索引
Figure 581963DEST_PATH_IMAGE056
步骤24,根据关键字密文索引WH与fh存在的直接关联关系,更新关键字密文索引WH与密文文件标签索引fh到倒排索引表IIT中;
步骤25,UC_B向密钥管理子系统KMS发送的密文生成请求,请求内容为关键字列表
Figure 785542DEST_PATH_IMAGE057
步骤26,密钥管理子系统KMS的密文算法程序CAP遍历关键字列表W查询
Figure 925536DEST_PATH_IMAGE058
是否在 数据字典D中;
步骤27,如果
Figure 4088DEST_PATH_IMAGE059
不在数据字典D中,则向密钥管理程序KMP请求生成一个新的量子 密钥
Figure 218032DEST_PATH_IMAGE060
,并在字典中创建一个新项
Figure 717147DEST_PATH_IMAGE061
步骤28,如果
Figure 954224DEST_PATH_IMAGE059
在数据字典D中,则直接查找到项
Figure 931407DEST_PATH_IMAGE062
步骤29,根据
Figure 468699DEST_PATH_IMAGE063
到密钥管理程序KMP中查询得到
Figure 138715DEST_PATH_IMAGE064
,向密钥管理程序KMP请 求生成一个量子密钥
Figure 444448DEST_PATH_IMAGE065
,执行陷门函数TR,得到
Figure 100688DEST_PATH_IMAGE066
步骤30,重复步骤10到12步直到关键字列表W遍历结束;
步骤31,返回密文关键字列表
Figure 617120DEST_PATH_IMAGE067
给UC_B;
步骤32,UC_B向云存储中心CSC发起密文检索请求,将密文关键字列表
Figure 333404DEST_PATH_IMAGE068
传递给 云存储中心CSC;
步骤33,云存储中心CSC根据
Figure 935286DEST_PATH_IMAGE069
向密钥管理子系统KMS查询
Figure 129638DEST_PATH_IMAGE070
步骤34,云存储中心CSC调用变色龙哈希函数CH,计算关键字密文索引
Figure 500577DEST_PATH_IMAGE071
步骤35,云存储中心CSC使用
Figure 683034DEST_PATH_IMAGE072
查询倒排索引表IIT中是否存在对应的索引;
步骤36,如果不存在则返回查询失败,过程结束;
步骤37,如果存在则根据关键字密文索引
Figure 382000DEST_PATH_IMAGE072
索引查到全部相关密文文件EF;
步骤38,用户终端UC从密文文件EF列表中选择下载一个EF,并根据公式
Figure 770256DEST_PATH_IMAGE073
,得到文件密文
Figure 871067DEST_PATH_IMAGE074
和密钥标识
Figure 788208DEST_PATH_IMAGE075
步骤39,根据密钥标识
Figure 240049DEST_PATH_IMAGE075
向密钥管理子系统KMS查询到密钥值KV7;
步骤40,用户终端解密还原文件明文
Figure 166416DEST_PATH_IMAGE076
综合本发明的结构与具体过程可知,通过在客户端将数据加密后上传云端,解决了云存储环境下用户数据安全和用户隐私保护问题。例如网盘曾发生过用户数据泄露的事件,而采用密文上传则可以解决此类问题。
通过使用SSE方案解决了云存储的密文检索问题。例如,云存储的普通密文文件由于经过加密变换无法进行检索,而云服务的优势在于海量数据检索能力,基于SSE方案的云存储不仅支持密文存储还支持基于密文的检索。
通过使用量子密钥分发与量子密钥管理技术,解决了传统SSE方案密钥的安全分发与管理难的问题。例如,传统SSE方案的密钥通常采用固定密钥,安全性不高,多终端应用场景下的密钥管理也是难题,量子密钥分发技术可以替代固定密钥解决密钥分发问题,同时统一的量子密钥管理子系统解决了多终端场景下的密钥存储、使用、获取、销毁等管理难题。
通过在密文检索过程中使用变色龙陷门哈希函数,解决了查询关键字隐私泄露问题,例如,传统关键字检索方案,每次传递相同的关键字,通过多个关键字分析很容易得到密文文件的关键信息,通过变色龙哈希函数将检索的关键字变成密文,且对于同样的关键字每次的密文均不同,解决了关键字的隐私泄露问题。

Claims (8)

1.一种使用量子密钥加密的云存储系统,其特征在于,包括:
密钥管理子系统,密钥管理子系统提供量子密钥管理服务,密钥管理子系统还提供基于量子密钥的陷门函数算法服务,同时将量子密钥作为陷门函数的关键参数参与陷门运算;
云存储中心,云存储中心用于存储用户终端上传的密文文件数据,以及向用户终端供密文检索服务;
用户终端,用于与使用者进行交互,提供文件的密文上传、下载、检索操作界面,
所述云存储中心包括:
QKD接入设备,所述QKD接入设备用于和密钥管理子系统建立量子保密通信链路;
分布式存储网络,所述分布式存储网络存储由用户终端上传的密文文件;
云存储管理程序,所述云存储管理程序用于维护用户终端上传的密文关键字、密文文件标签与密文文件的索引关系,
所述云存储管理程序采用倒排索引表管理密文关键字、密文文件标签与密文文件之间的索引关系,倒排索引表中的索引与分布式存储网络中存储的密文文件存储位置一一对应,
所述倒排索引表中存储的索引值是通过陷门哈希函数算法计算出的哈希值,陷门哈希函数算法的输入包括密钥管理子系统公布的密文加密公钥、用户终端上传的密文关键字列表或密文文件标签、用户终端上传的临时量子密钥标识所对应的量子密钥值。
2.如权利要求1所述的使用量子密钥加密的云存储系统,其特征在于,密钥管理子系统包括:
QKD网络,所述QKD网络包括若干个QKD设备节点,所述QKD网络用于协商生成量子密钥;
密钥管理程序,所述密钥管理程序用于管理量子密钥;
密文算法程序,所述密文算法程序使用量子密钥通过陷门函数将输入明文变为密文。
3.如权利要求2所述的使用量子密钥加密的云存储系统,其特征在于,所述密钥管理程序用于对QKD网络协商的量子密钥进行统一管理,提供量子密钥操作接口,并向用户终端UC提供量子密钥服务。
4.如权利要求3所述的使用量子密钥加密的云存储系统,其特征在于,所述密文算法程序管理一个数据字典和一个密文加密密钥,所述密文加密密钥包含密文加密公钥和陷门信息。
5.如权利要求3所述的使用量子密钥加密的云存储系统,其特征在于,所述密文算法程序包含基于量子密钥的陷门函数算法,陷门函数算法输入信息包括陷门信息、来源于数字字典的数据项、与数据项对应的量子密钥、临时获取的量子密钥,陷门函数算法输出信息包括与数据项对应的密文数据。
6.如权利要求1所述的使用量子密钥加密的云存储系统,其特征在于,所述用户终端为一个客户端程序。
7.一种使用量子密钥加密的云存储方法,其特征在于,包括以下步骤:
1)密文存储:
11)对所选择的文件进行扫描生成关键字列表和文件标签;
12)请求密钥管理子系统对关键字列表和文件标签执行基于量子密钥的陷门函数,生成密文关键字列表和密文文件标签;
13)使用从密钥管理子系统中获取到的量子密钥,加密文件,得到密文文件;
14)将密文关键字列表、密文文件标签和密文文件一同上传给云存储中心;
15)云存储中心存储密文文件到分布式存储网络,并使用密文关键字列表和密文文件标签通过陷门哈希函数算法计算出索引、存入倒排索引表中,将索引关联到分布式存储网络中存储的密文文件;
2)密文检索:
21)用户终端向云存储中心发起的密文检索请求,用于查找云存储中心中存储的包含对应关键字的所有文件,得到检索关键字列表;
22)用户终端请求密钥管理子系统对检索关键字列表执行基于量子密钥的陷门函数,生成密文检索关键字列表;
23)使用密文检索关键字列表构建密文检索请求并发送给云存储中心;
24)用户终端从云存储中心中获得符合要求的密文标签索引集合,选择下载密文标签索引集合中的密文文件;
25)从密文文件中分理出量子密钥标识,分离后的密文文件变为文件密文和量子密钥标识,从密钥管理子系统中根据量子密钥标识查询到对应的量子密钥值,解密得到文件。
8.如权利要求7所述的使用量子密钥加密的云存储方法,其特征在于,所述云存储中心还可以执行多个关键字的联合查询。
CN202210585983.4A 2022-05-27 2022-05-27 一种使用量子密钥加密的云存储系统及方法 Active CN114679272B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210585983.4A CN114679272B (zh) 2022-05-27 2022-05-27 一种使用量子密钥加密的云存储系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210585983.4A CN114679272B (zh) 2022-05-27 2022-05-27 一种使用量子密钥加密的云存储系统及方法

Publications (2)

Publication Number Publication Date
CN114679272A CN114679272A (zh) 2022-06-28
CN114679272B true CN114679272B (zh) 2022-09-20

Family

ID=82080119

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210585983.4A Active CN114679272B (zh) 2022-05-27 2022-05-27 一种使用量子密钥加密的云存储系统及方法

Country Status (1)

Country Link
CN (1) CN114679272B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116132048A (zh) * 2023-01-04 2023-05-16 扬州大学 一种适用于医疗物联网场景下用户隐私数据安全共享的方法
CN117318942B (zh) * 2023-11-29 2024-02-13 江苏微知量子科技有限公司 一种结合量子安全技术的分布式存储系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107704768A (zh) * 2017-09-14 2018-02-16 上海海事大学 一种密文的多关键字分级安全检索方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7646873B2 (en) * 2004-07-08 2010-01-12 Magiq Technologies, Inc. Key manager for QKD networks
CN106209739B (zh) * 2015-05-05 2019-06-04 科大国盾量子技术股份有限公司 云存储方法及系统
CN107959567B (zh) * 2016-10-14 2021-07-27 阿里巴巴集团控股有限公司 数据存储方法、数据获取方法、装置及系统
CN106789044B (zh) * 2017-02-20 2019-12-27 西南石油大学 标准模型下格上云存储密文数据公钥可搜索加密方法
CN106803784B (zh) * 2017-03-30 2020-11-27 福州大学 安全多媒体云存储中基于格的多用户模糊可搜索加密方法
CN107171792A (zh) * 2017-06-05 2017-09-15 北京邮电大学 一种虚拟密钥池及量子密钥资源的虚拟化方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107704768A (zh) * 2017-09-14 2018-02-16 上海海事大学 一种密文的多关键字分级安全检索方法

Also Published As

Publication number Publication date
CN114679272A (zh) 2022-06-28

Similar Documents

Publication Publication Date Title
Li et al. A hybrid cloud approach for secure authorized deduplication
CN114679272B (zh) 一种使用量子密钥加密的云存储系统及方法
US8812877B2 (en) Database encryption system, method, and program
Yang et al. Achieving efficient and privacy-preserving cross-domain big data deduplication in cloud
Salam et al. Implementation of searchable symmetric encryption for privacy-preserving keyword search on cloud storage
Liu et al. Multi-user searchable encryption with coarser-grained access control in hybrid cloud
CN109995505B (zh) 一种雾计算环境下数据安全去重系统及方法、云存储平台
CN108881195A (zh) 基于云环境的数据安全共享方法和装置
US11296879B2 (en) Encrypted search
US20100169321A1 (en) Method and apparatus for ciphertext indexing and searching
US9971904B2 (en) Method and system for range search on encrypted data
KR101979267B1 (ko) 클라우드 저장 기반 암호화 시스템 및 방법
CN103873236A (zh) 一种可搜索加密方法及设备
KR102290605B1 (ko) 메시지 송신 시스템, 통신 단말, 서버 장치, 메시지 송신 방법 및 프로그램
CN109063496A (zh) 一种数据处理的方法及装置
CN113836571B (zh) 基于云和区块链的医疗数据拥有终端位置匹配方法及系统
CN106874379B (zh) 一种面向密文云存储的多维区间检索方法与系统
Yan et al. Secure and efficient big data deduplication in fog computing
CN109672525B (zh) 一种具有前向索引的可搜索公钥加密方法及系统
CN110098924A (zh) 支持可搜索透明加密的层级密钥技术
JP7217844B1 (ja) 秘匿検索システムおよび秘匿検索方法
CN115510490A (zh) 一种非密钥共享的加密数据查询方法、装置、系统及设备
CN109214198A (zh) 一种可加密搜索的安全云文档系统
Silambarasan et al. Attribute-based convergent encryption key management for secure deduplication in cloud
CN113239367A (zh) 一种核电网络化协同计算环境下的标识数据加密存取方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant