CN117318942B - 一种结合量子安全技术的分布式存储系统 - Google Patents
一种结合量子安全技术的分布式存储系统 Download PDFInfo
- Publication number
- CN117318942B CN117318942B CN202311607356.7A CN202311607356A CN117318942B CN 117318942 B CN117318942 B CN 117318942B CN 202311607356 A CN202311607356 A CN 202311607356A CN 117318942 B CN117318942 B CN 117318942B
- Authority
- CN
- China
- Prior art keywords
- data
- quantum
- quantum security
- distributed storage
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003860 storage Methods 0.000 title claims abstract description 163
- 238000005516 engineering process Methods 0.000 title claims abstract description 26
- 238000009826 distribution Methods 0.000 claims abstract description 16
- 230000005540 biological transmission Effects 0.000 claims abstract description 12
- 239000011159 matrix material Substances 0.000 claims description 51
- 238000011084 recovery Methods 0.000 claims description 16
- 238000004364 calculation method Methods 0.000 claims description 6
- 230000002776 aggregation Effects 0.000 claims description 2
- 238000004220 aggregation Methods 0.000 claims description 2
- 238000005336 cracking Methods 0.000 abstract description 6
- 238000004891 communication Methods 0.000 description 13
- 238000000034 method Methods 0.000 description 9
- 238000013500 data storage Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 3
- 238000000586 desensitisation Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012797 qualification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/70—Photonic quantum communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/004—Arrangements for detecting or preventing errors in the information received by using forward error control
- H04L1/0056—Systems characterized by the type of code used
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Optics & Photonics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种结合量子安全技术的分布式存储系统,涉及数据安全技术领域,量子安全服务平台,用于提供量子安全密钥和算法管理;客户端,用于通过量子安全服务平台签发的量子安全UKey、量子密钥分发网络进行身份认证以及数据的加密传输过程;应用主机,用于从量子安全服务平台获取量子安全密钥,解密客户端访问数据并建立量子安全通道,权限由量子安全服务平台提供的Ukey密钥进行统一管理;分布式存储服务端,包括分布式存储处理器和多个存储节点。本发明所述的一种结合量子安全技术的分布式存储系统,使用量子安全密钥对用户数据进行加密,提高数据的安全性,以抗目前已知超级计算中心和即将到来的量子超级计算机的暴力破解。
Description
技术领域
本发明涉及量子加密存储技术领域,特别涉及一种结合量子安全技术的分布式存储系统。
背景技术
分布式存储是一种数据存储技术,通过网络使用企业中的服务器节点上的存储介质,并将这些分散的存储资源构成一个虚拟的存储设备,数据被分散地存储在各个服务器的存储介质;该技术极大提高了存储并发性能与存储系统物理可靠性。
传统的网络存储系统使用集中存储服务器来存储所有数据。存储服务器成为系统性能的瓶颈,也是可靠性和安全性的焦点,无法满足大规模存储应用的需求。分布式网络存储系统采用可扩展的系统结构,使用多个存储服务器共享存储负载,利用位置服务器定位存储信息,不仅提高了系统的可靠性,可用性和访问效率,而且易于扩展。
但在上述技术方案实施的过程中,发现至少存在如下技术问题:
1)分布式存储在应用主机计算节点与存储节点之间是明文传送,存在数据被旁路窃听的泄露危险;
2)实际应用中,分布式存储方案假设应用主机计算节点与存储节点之间是封闭式完全可信网络,限制了分布式存储跨广域网使用的可能性;
3)目前跨数据中心之间的数据保护,采用数据异步传输方案,传输过程中的数据安全依靠数据中心之间的安全措施,主流是基于公私密钥的算法,没有抵抗量子计算破解的能力;
为此,我们提出一种结合量子安全技术的分布式存储系统,通过将量子信息领域的数据加密和安全传输技术与之相结合,克服了分布式存储在逻辑安全技术领域的短板;为信息化应用在国密、军队、金融、医疗、政务等高安全要求领域的敏感数据存储提供了高强度技术支撑。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种结合量子安全技术的分布式存储系统,解决现有的数据存储方法在使用时,存在数据被旁路窃听的泄露危险的技术问题。
(二)技术方案
为实现以上目的,本发明通过以下技术方案予以实现:
一种结合量子安全技术的分布式存储系统,该存储系统包括:
量子安全服务平台,用于提供量子安全密钥和算法管理;
客户端,用于通过量子安全服务平台签发的量子安全UKey、量子密钥分发网络进行身份认证以及数据的加密传输过程;
应用主机,用于从量子安全服务平台获取量子安全密钥,解密客户端访问数据并建立量子安全通道,权限由量子安全服务平台提供的Ukey密钥进行统一管理;
分布式存储服务端,包括分布式存储处理器和多个存储节点;其中,分布式存储处理器用于根据应用主机提供的数据、量子安全服务平台提供的量子随机数,以及存储节点的数量,将客户端提供的且经应用主机加密的数据分解为多份,并分发至存储节点进行存储。
优选的,所述分布式存储处理器还用于在若干个存储节点的磁盘出现损坏或数据无法读取的情况下,从状态正常的存储节点的磁盘中读取加密的数据,解密后进行恢复计算,计算出恢复后的数据后根据分布式策略重新使用量子安全密钥加密后,分布式存储到正常存储节点。
优选的,所述分布式存储处理器还用于在应用主机需要提取数据时,选择存储节点中的多份加密的数据,解密后进行数据聚合,并通过应用主机提交给客户端。
优选的,所述量子安全服务平台向应用主机提供量子安全密钥;
其中,量子安全服务平台外接有量子安全密钥源,量子安全密钥源包括量子随机数发生器生成的单点型量子随机数密钥,以及量子密钥分发网络生成的端到端的量子密钥。
优选的,所述量子安全服务平台将量子安全密钥分发至客户端,应用主机,分布式存储处理器以及存储节点;
其中,所述量子安全服务平台还为分布式存储服务端提供量子随机数。
优选的,所述分布式存储系统还用于执行如下步骤以进行分布式存储:
S1:分布式存储处理器接收到待存储数据后,将待存储数据分为n组相同大小的数据集;
S2:将n组数据集竖向组合构成维度为k*n的元数据矩阵,基于RS纠删码的编码原理,生成冗余数据矩阵,冗余数据矩阵的维度为(k+r)*n,所述冗余数据矩阵上方维度为k*n的子矩阵与元数据矩阵相同,下方r*n的子矩阵为冗余子矩阵;
S3:将冗余数据矩阵的每相邻两列分为一组,每一组的两列数据中,将第一列数据的前k个元数据,分为r-1部分,并将所述r-1部分中的数据分别与第二列数据的后r-1个备份数据进行xor运算;
S4:将步骤S3得到的数据按照每一行分组存放在k+r个存储节点。
优选的,所述分布式存储系统还用于执行如下步骤以进行数据恢复:
S5:当某个存储元数据的存储节点的数据被损坏时,从其它存储节点获取剩余k-1个元数据中属于第二数据列的元数据,以及第二数据列的第一个备份数据q1,以及之前利用被损坏数据进行xor运算得到的备份数据q2,以及该备份数据q2中所用到的其它属于第一数据列的数据q3;
S6:利用k-1个元数据和第一个备份数据q1,基于RS纠删码原理,恢复出被损坏存储节点中属于第二数据列的数据;
S7:基于所有的第二数据列的数据计算出对应备份数据q2的冗余数据矩阵中的数据,并将该数据与备份数据q2,以及数据q3进行xor运算,得到第一数据列的数据,进而完成数据的恢复。
(三)有益效果
1、使用量子安全密钥对用户数据进行加密,提高数据的安全性;量子安全密钥可以抗目前已知超级计算中心和即将到来的量子计算机的暴力破解;不仅可以避免数据明文传输导致的数据泄露,还可以在开放的不可信网络中进行传输,便于分布式存储跨广域网使用;
2、使用纠删码等技术对用户数据进行分片,数据分片存储在多个数据中心;单个数据中心无法恢复完整数据(同时收集所有数据中心的数据分片,并破解量子安全密钥,才可破解数据),结合量子安全加密的功能,确保用户数据的私密性;整体安全强度远高于最强安全等级的数据中心;
3、采用量子安全模式进行通信,密钥更新频率提升,密钥的安全性由量子物理特性保障,破解密文的计算时间远大于信息脱敏时间要求;
4、基于纠删码的特性,数据分片后具有N+M的冗余性;M个存储单元数据中心数据的损毁或意外,能够采用其它部分分片数据恢复;
以上功能及特性:降低了用户敏感数据存储对数据中心的安全资质、性能等方面的要求;可选择多个数据云(例如开放式的阿里云、腾讯云、具有一定量子安全能力的数据云,以及用户私有云等),对数据进行安全加密存储和灾备。
附图说明
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,以下以本发明的较佳实施例并配合附图详细说明如后。
图1为本发明实施例中冗余数据矩阵二次编码示意图;
图2为本发明实施例中结合量子安全技术的分布式存储系统部署示意图。
具体实施方式
本申请实施例通过提供一种结合量子安全技术的分布式存储系统,解决现有的数据存储方法在使用时,存在数据被旁路窃听的泄露危险的技术问题,在使用量子安全密钥对用户数据进行加密,提高数据的安全性;量子安全密钥可以抗目前已知超级计算中心和即将到来的量子超级计算机的暴力破解;使用纠删码等技术对用户数据进行分片,数据分片存储在多个数据中心;单个数据中心无法恢复完整数据(同时收集所有数据中心的数据分片,并破解量子安全密钥,才可破解数据),结合量子安全加密的功能,确保用户数据的私密性;整体安全强度远高于最强安全等级的数据中心;采用量子安全模式进行通信,密钥更新频率提升,密钥的安全性由量子物理特性保障,破解密文的计算时间远大于信息脱敏时间要求;基于纠删码的特性,数据分片后具有N+M的冗余性;M个存储单元数据中心数据的损毁或意外,能够采用其它部分分片数据恢复;以上功能及特性:降低了用户敏感数据存储对数据中心的安全资质、性能等方面的要求;可选择多个数据云(例如开放式的阿里云、腾讯云、具有一定量子安全能力的数据云,以及用户私有云等),对数据进行安全加密存储和灾备。
该存储系统包括:
量子安全服务平台,用于提供量子安全密钥和算法管理;
客户端,用于通过量子安全服务平台签发的量子安全UKey、量子密钥分发网络进行身份认证以及数据的加密传输过程;
应用主机,用于从量子安全服务平台获取量子安全密钥,解密客户端访问数据并建立量子安全通道,权限由量子安全服务平台提供的Ukey密钥进行统一管理;
分布式存储服务端,包括分布式存储处理器和多个存储节点;其中,分布式存储处理器用于根据应用主机提供的数据、量子安全服务平台提供的量子随机数,以及存储节点的数量,将客户端提供的且经应用主机加密的数据分解为多份,并分发至存储节点进行存储。
在一些示例中,所述分布式存储处理器还用于在若干个存储节点的磁盘出现损坏或数据无法读取的情况下,从状态正常的存储节点的磁盘中读取加密的数据,解密后进行恢复计算,计算出恢复后的数据后根据分布式策略重新使用量子安全密钥加密后,分布式存储到正常存储节点。
在一些示例中,所述分布式存储处理器还用于在应用主机需要提取数据时,选择存储节点中的多份加密的数据,解密后进行数据聚合,并通过应用主机提交给客户端。
在一些示例中,所述量子安全服务平台向应用主机提供量子安全密钥;
其中,量子安全服务平台外接有量子安全密钥源,量子安全密钥源包括量子随机数发生器生成的单点型量子随机数密钥,以及量子密钥分发网络生成的端到端的量子密钥。
在一些示例中,所述量子安全服务平台将量子安全密钥分发至客户端,应用主机,分布式存储处理器以及存储节点;
其中,所述量子安全服务平台还为分布式存储服务端提供量子随机数。
所述分布式存储系统还用于执行如下步骤以进行分布式存储:
S1:分布式存储处理器接收到待存储数据后,将待存储数据分为n组相同大小的数据集;
S2:将n组数据集竖向组合构成维度为k*n的元数据矩阵,基于RS纠删码的编码原理,生成冗余数据矩阵,冗余数据矩阵的维度为(k+r)*n,所述冗余数据矩阵上方维度为k*n的子矩阵与元数据矩阵相同,下方r*n的子矩阵为冗余子矩阵;
S3:将冗余数据矩阵的每相邻两列分为一组,每一组的两列数据中,将第一列数据的前k个元数据,分为r-1部分,并将所述r-1部分中的数据分别与第二列数据的后r-1个备份数据进行xor运算;
S4:将步骤S3得到的数据按照每一行分组存放在k+r个存储节点。
所述分布式存储系统还用于执行如下步骤以进行数据恢复:
S5:当某个存储元数据的存储节点的数据被损坏时,从其它存储节点获取剩余k-1个元数据中属于第二数据列的元数据,以及第二数据列的第一个备份数据q1,以及之前利用被损坏数据进行xor运算得到的备份数据q2,以及该备份数据q2中所用到的其它属于第一数据列的数据q3;
S6:利用k-1个元数据和第一个备份数据q1,基于RS纠删码原理,恢复出被损坏存储节点中属于第二数据列的数据;
S7:基于所有的第二数据列的数据计算出对应备份数据q2的冗余数据矩阵中的数据,并将该数据与备份数据q2,以及数据q3进行xor运算,得到第一数据列的数据,进而完成数据的恢复。
实施例
本申请实施例中的技术方案为解决现有的数据存储方法在使用时,存在数据被旁路窃听的泄露危险的技术问题,总体思路如下:
针对现有技术中存在的问题,本发明提供一种结合量子安全技术的分布式存储系统,给出了量子安全分布式存储方案,将量子安全技术融和到分布式存储架构中,解决了应用计算节点与存储节点之间“明文通信”带来的安全隐患;帮助分布式存储可以跨远程“安全隐患”链路实现真正的分布式存储;将存储的数据块使用量子安全密钥进行加密,提升存储数据的安全性。
参见图2,结合量子安全技术的分布式存储系统包括客户端、应用主机、分布式存储服务端和量子安全服务平台四个子系统。
客户端通过量子安全服务平台签发的量子安全UKey、量子密钥分发网络进行身份认证以及数据的加密传输过程,大大提升了用户终端设备的安全性,以及数据传输过程的安全性。结合量子安全技术的分布式存储系统可以包括多个客户端,参见图2,图2中用户A和用户Z即表示分布式存储系统中的不同客户端。
量子安全分布式存储的应用主机形态为传统服务器,目前支持业界主流(国际通用或国产)的操作系统和芯片。
应用主机从量子安全服务平台获取量子安全密钥,解密客户端访问数据并建立量子安全通道。
同一用户组的用户可以对该组维护的数据进行组操作,其权限由量子安全服务平台提供的Ukey密钥进行统一管理。
具体来讲,客户端可以将待存储的数据、Ukey密钥利用量子安全密钥加密后发送至应用主机,应用主机利用量子安全密钥解密后,验证Ukey密钥,通过验证后,确定该客户端具有进行分布式存储的权限,即建立量子安全通道,将待存储的数据通过量子安全通道发送至分布式存储服务端。
分布式存储服务端包括分布式存储处理器和多个存储节点;分布式存储处理器的功能主要包括:
用于根据应用主机提供的数据、量子安全服务平台提供的量子随机数,以及存储节点的数量,将客户端提供的且经应用主机加密的数据分解为多份,并分发至存储节点进行存储;
在应用主机需要提取数据时,可选择存储节点中的多份加密的数据,解密后进行数据聚合,并通过应用主机提交给客户端;
在若干个存储节点的磁盘出现损坏或数据无法读取的情况下,从状态正常的存储节点的磁盘中读取加密的数据,解密后进行恢复计算,计算出恢复后的数据后根据分布式策略重新使用量子安全密钥加密后,分布式存储到正常存储节点。
量子安全服务平台提供量子安全密钥和算法管理。
量子安全服务平台向应用主机提供量子安全密钥;应用主机将客户端提交的数据采用获取的量子安全密钥进行加密,并通过“一次一密”等保护机制安全转发给分布式存储服务端进行分布式存储处理;并可根据用户需求及用户权限,将存储的数据提供给用户。
参见图2,量子安全服务平台外接有量子安全密钥源,量子安全密钥源可以是量子随机数发生器生成的单点型量子随机数密钥,以及量子密钥分发网络生成的端到端的量子密钥。量子密钥分发网络可以经量子密钥分发设备与量子安全服务平台连接。量子安全服务平台的功能主要包括为应用主机制备、发布量子安全密钥UKey,并提供应用主机的身份认证功能;为分布式存储处理器提供量子安全密钥,从而为数据进行量子安全加密;此外,量子安全服务平台还能够为分布式存储处理器提供量子随机数,为分布式存储中的纠删码技术等提供随机参数。
量子安全服务平台可以将量子安全密钥分发至客户端,应用主机,分布式存储处理器以及存储节点,以实现各个环节的量子安全传输与存储等功能。
本方案中,参见图2,利用一种纠删码技术实现对待存储数据的分布式存储,使其具有一定的容灾能力,同时,对存储数据两两分组,将每一组中第一个数据集的其中一个元数据存储至第二个数据集中,进而在恢复数据时,可以减少数据的下载量,降低了对于通信带宽的要求,进而降低了量子密钥的需求数量。具体步骤如下:
S1:分布式存储处理器接收到待存储数据后,将待存储数据分为n组相同大小的数据集(n为偶数);
S2:将n组数据集竖向组合构成维度为k*n的元数据矩阵,基于RS纠删码的编码原理,生成冗余数据矩阵,冗余数据矩阵为(k+r)*n,其上方k*n的子矩阵与元数据矩阵相同,下方r*n的子矩阵为冗余子矩阵;
其中,k为冗余数据矩阵上方子矩阵的行数,r为冗余子矩阵的行数,n为元数据矩阵的列数,k、r和n可以根据实际情况来确定。
例子:以k=10,r=4,n=2举例,左侧为编码矩阵乘以中间的元数据矩阵,得到最右侧的冗余数据矩阵,其中,a1…a10为第一组元数据,b1…b10为第二组元数据,f1(a),f2(a),f3(a),f4(a),f1(b),f2(b),f3(b),f4(b)构成冗余子矩阵。编码矩阵上方为单元子矩阵,下方为编码子矩阵,其中的数值可以根据具体设计的函数来确定。编码矩阵可以存放在一个安全性较好的存储节点中。
S3:将冗余数据矩阵的每相邻两列分为一组,每一组的两列数据中,将第一列数据(称为第一数据列)的前k个元数据,分为r-1部分,并将所述r-1部分中的数据分别与第二列数据(称为第二数据列)的后r-1个备份数据进行xor运算;
例:参见图1,左侧为冗余数据矩阵,将其中左侧第一列的数据分别与第二列数据的后3个备份数据进行xor运行,得到右侧的矩阵。
S4:将S3得到的数据按照每一行分组存放在k+r个存储节点;
例:参见图1,将其二次编码后的右侧矩阵中a1和b1一同存放在一个存储节点,将a2和b2一同存放在一个存储节点,其余的数据依次类推。
恢复数据过程:
S5:当某个存储元数据的存储节点的数据被损坏时,从其它存储节点获取剩余k-1个元数据中属于第二数据列的元数据,以及第二数据列的第一个备份数据q1,以及之前利用被损坏数据进行xor运算得到的备份数据q2,以及该备份数据q2中所用到的其它属于第一数据列的数据q3;
例子:例如第一个存储节点损坏,导致a1和b1丢失,可以获取其余9个元数据中属于第二数据列的元数据如b2,b3……b10,以及第二数据列的第一个备份数据f1(b),以及利用被损坏数据a1运算得到的备份数据f2(b)⊕a1⊕a2⊕a3,以及该备份数据中用到的其它属于第一数据列的数据a2,a3。
S6:利用k-1个元数据和第一个备份数据q1,基于RS纠删码原理,恢复出被损坏存储节点中属于第二数据列的数据;
例子:利用元数据b2,b3……b10,以及备份数据f1(b),基于RS纠删码原理恢复出被损坏的第一个存储节点中属于第二数据列的数据b1。
S7:基于所有的第二数据列的数据计算出对应备份数据q2的冗余数据矩阵中的数据,并将该数据与备份数据q2,以及数据q3进行xor运算,得到第一数据列的数据,进而完成数据的恢复。
例子:利用所有第二数据列的数据b1…b10计算出f2(b),具体可以利用编码时的编码矩阵来计算,然后将f2(b)以及a2,a3与进行xor运算,得到a1,进而完成丢失数据的恢复。
原始的RS纠删码数据恢复过程中,需要使用k*l个数据,而该方案使用的数据量级为k*l/2,节约了恢复数据所需要下载的数据量,降低了对于通信带宽的要求,对于硬件成本较高的量子通信方式,可以大大降低其通信负荷和硬件成本。
量子密钥分发是一种不可窃听、不可破译,是一种无条件安全的密钥协商方式。量子安全通信主要分为两步:
1)通过量子信道进行量子安全密钥分发。通信双方通过量子安全密钥分发获取一对完全随机且只有通信双方知道的量子安全密钥,在这一步中,只产生和分发密钥。
2)通过传统信道进行密文传递。利用获得的量子密钥,发送方把信息进行加密变成一段密文,接收方将收到的密文解密,进而实现通信的完全保密。
可见,量子保密通信生成的,就是传统加密通信中的“密钥”,也就是所谓的量子密钥分发(QKD:Quantum key distribution)。
最后应说明的是:显然,上述实施例仅仅是为清楚地说明本发明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明的保护范围之中。
Claims (5)
1.一种结合量子安全技术的分布式存储系统,其特征在于,该存储系统包括:
量子安全服务平台,用于提供量子安全密钥和算法管理;
客户端,用于通过量子安全服务平台签发的量子安全UKey、量子密钥分发网络进行身份认证以及数据的加密传输过程;
应用主机,用于从量子安全服务平台获取量子安全密钥,解密客户端访问数据并建立量子安全通道,权限由量子安全服务平台提供的Ukey密钥进行统一管理;
分布式存储服务端,包括分布式存储处理器和多个存储节点;其中,分布式存储处理器用于根据应用主机提供的数据、量子安全服务平台提供的量子随机数,以及存储节点的数量,将客户端提供的且经应用主机加密的数据分解为多份,并分发至存储节点进行存储;
所述分布式存储系统还用于执行如下步骤以进行分布式存储:
S1:分布式存储处理器接收到待存储数据后,将待存储数据分为n组相同大小的数据集;
S2:将n组数据集竖向组合构成维度为k*n的元数据矩阵,基于RS纠删码的编码原理,生成冗余数据矩阵,冗余数据矩阵的维度为(k+r)*n,所述冗余数据矩阵上方维度为k*n的子矩阵与元数据矩阵相同,下方r*n的子矩阵为冗余子矩阵;
S3:将冗余数据矩阵的每相邻两列分为一组,每一组的两列数据中,将第一列数据的前k个元数据,分为r-1部分,并将所述r-1部分中的数据分别与第二列数据的后r-1个备份数据进行xor运算;
S4:将步骤S3得到的数据按照每一行分组存放在k+r个存储节点;
所述分布式存储系统还用于执行如下步骤以进行数据恢复:
S5:当某个存储元数据的存储节点的数据被损坏时,从其它存储节点获取剩余k-1个元数据中属于第二数据列的元数据,以及第二数据列的第一个备份数据q1,以及之前利用被损坏数据进行xor运算得到的备份数据q2,以及该备份数据q2中所用到的其它属于第一数据列的数据q3;
S6:利用k-1个元数据和第一个备份数据q1,基于RS纠删码原理,恢复出被损坏存储节点中属于第二数据列的数据;
S7:基于所有的第二数据列的数据计算出对应备份数据q2的冗余数据矩阵中的数据,并将该数据与备份数据q2,以及数据q3进行xor运算,得到第一数据列的数据,进而完成数据的恢复。
2.如权利要求1所述的一种结合量子安全技术的分布式存储系统,其特征在于:所述分布式存储处理器还用于在若干个存储节点的磁盘出现损坏或数据无法读取的情况下,从状态正常的存储节点的磁盘中读取加密的数据,解密后进行恢复计算,计算出恢复后的数据后根据分布式策略重新使用量子安全密钥加密后,分布式存储到正常存储节点。
3.如权利要求1所述的一种结合量子安全技术的分布式存储系统,其特征在于:所述分布式存储处理器还用于在应用主机需要提取数据时,选择存储节点中的多份加密的数据,解密后进行数据聚合,并通过应用主机提交给客户端。
4.如权利要求1所述的一种结合量子安全技术的分布式存储系统,其特征在于:所述量子安全服务平台向应用主机提供量子安全密钥;
其中,量子安全服务平台外接有量子安全密钥源,量子安全密钥源包括量子随机数发生器生成的单点型量子随机数密钥,以及量子密钥分发网络生成的端到端的量子密钥。
5.如权利要求1所述的一种结合量子安全技术的分布式存储系统,其特征在于:所述量子安全服务平台将量子安全密钥分发至客户端,应用主机,分布式存储处理器以及存储节点;
其中,所述量子安全服务平台还为分布式存储服务端提供量子随机数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311607356.7A CN117318942B (zh) | 2023-11-29 | 2023-11-29 | 一种结合量子安全技术的分布式存储系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311607356.7A CN117318942B (zh) | 2023-11-29 | 2023-11-29 | 一种结合量子安全技术的分布式存储系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117318942A CN117318942A (zh) | 2023-12-29 |
CN117318942B true CN117318942B (zh) | 2024-02-13 |
Family
ID=89260706
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311607356.7A Active CN117318942B (zh) | 2023-11-29 | 2023-11-29 | 一种结合量子安全技术的分布式存储系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117318942B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107769913A (zh) * | 2016-08-16 | 2018-03-06 | 广东国盾量子科技有限公司 | 一种基于量子UKey的通信方法及系统 |
CN112436936A (zh) * | 2020-11-11 | 2021-03-02 | 安徽量安通信息科技有限公司 | 一种具备量子加密功能的云存储方法及系统 |
CN114679272A (zh) * | 2022-05-27 | 2022-06-28 | 浙江九州量子信息技术股份有限公司 | 一种使用量子密钥加密的云存储系统及方法 |
CN116032499A (zh) * | 2021-10-25 | 2023-04-28 | 科大国盾量子技术股份有限公司 | 分布式云文件存储方法、系统及其用户端和云端设备 |
CN116418485A (zh) * | 2021-12-29 | 2023-07-11 | 科大国盾量子技术股份有限公司 | 基于量子密码服务平台的量子密钥充注方法、系统及组件 |
CN116502726A (zh) * | 2023-06-28 | 2023-07-28 | 深圳市爱云信息科技有限公司 | 基于量子芯片的数据存储系统及方法 |
CN117111854A (zh) * | 2023-09-07 | 2023-11-24 | 家家云科技(深圳)有限公司 | 一种基于分布式加密存储的数据存储方法、装置及介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11936778B2 (en) * | 2020-03-30 | 2024-03-19 | QuSecure, Inc. | Systems and methods of post-quantum security management |
-
2023
- 2023-11-29 CN CN202311607356.7A patent/CN117318942B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107769913A (zh) * | 2016-08-16 | 2018-03-06 | 广东国盾量子科技有限公司 | 一种基于量子UKey的通信方法及系统 |
CN112436936A (zh) * | 2020-11-11 | 2021-03-02 | 安徽量安通信息科技有限公司 | 一种具备量子加密功能的云存储方法及系统 |
CN116032499A (zh) * | 2021-10-25 | 2023-04-28 | 科大国盾量子技术股份有限公司 | 分布式云文件存储方法、系统及其用户端和云端设备 |
CN116418485A (zh) * | 2021-12-29 | 2023-07-11 | 科大国盾量子技术股份有限公司 | 基于量子密码服务平台的量子密钥充注方法、系统及组件 |
CN114679272A (zh) * | 2022-05-27 | 2022-06-28 | 浙江九州量子信息技术股份有限公司 | 一种使用量子密钥加密的云存储系统及方法 |
CN116502726A (zh) * | 2023-06-28 | 2023-07-28 | 深圳市爱云信息科技有限公司 | 基于量子芯片的数据存储系统及方法 |
CN117111854A (zh) * | 2023-09-07 | 2023-11-24 | 家家云科技(深圳)有限公司 | 一种基于分布式加密存储的数据存储方法、装置及介质 |
Non-Patent Citations (3)
Title |
---|
Long-Term Secure Distributed Storage Using Quantum Key Distribution Network With Third-Party Verification;MIKIO FUJIWARA 等;《IEEE Transactions on Quantum Engineering》;正文第1-11页 * |
Quantum-secure fault-tolerant distributed cloud storage system;Chun-Li Ma 等;《AIP Advances》;正文第1-6页 * |
Unbreakable distributed storage with quantum key distribution network and password-authenticated secret sharing;M. Fujiwara 等;《SCIENTIFIC REPORTS》;正文第1-8页 * |
Also Published As
Publication number | Publication date |
---|---|
CN117318942A (zh) | 2023-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110677487B (zh) | 一种支持隐私和完整性保护的外包数据去重云存储方法 | |
CN106330868B (zh) | 一种高速网络加密存贮密钥管理系统及方法 | |
US9589148B2 (en) | Systems and methods for securing data in motion | |
CN111523133B (zh) | 一种区块链与云端数据协同共享方法 | |
KR102656403B1 (ko) | 보안 통신에 사용하기 위한 키 생성 | |
CN110690957A (zh) | 基于联盟链和隐式证书的抗量子计算私钥备份、挂失及恢复方法及系统 | |
Kapusta et al. | Data protection by means of fragmentation in distributed storage systems | |
CN108769036B (zh) | 基于云系统的数据处理系统和处理方法 | |
WO2017126571A1 (ja) | 暗号文管理方法、暗号文管理装置及びプログラム | |
CN112202808B (zh) | 一种基于云计算的数据安全管理系统 | |
CN117318942B (zh) | 一种结合量子安全技术的分布式存储系统 | |
CN108494552B (zh) | 支持高效收敛密钥管理的云存储数据去重方法 | |
CN116032499A (zh) | 分布式云文件存储方法、系统及其用户端和云端设备 | |
AU2015264961A1 (en) | Systems and Methods for Securing Data | |
Keerthana et al. | Slicing, Tokenization, and Encryption Based Combinational Approach to Protect Data-at-Rest in Cloud Using TF-Sec Model | |
CN110912688A (zh) | 基于联盟链的抗量子计算私钥备份、挂失及恢复方法及系统 | |
Sengupta et al. | Data vaporizer-towards a configurable enterprise data storage framework in public cloud | |
Xiong et al. | Secure secret sharing with adaptive bandwidth in distributed cloud storage systems | |
Li et al. | A secure and reliable hybrid model for cloud-of-clouds storage systems | |
CN113360315A (zh) | 一种数据中心 | |
Rawat et al. | Hyper-Space: Blockchain-based Decentralized Cloud Storage System | |
EP2375626A1 (en) | Data storage | |
Kanthan | Privacy Preserving and Auto Regeneration of Data in Cloud Servers Using Seed Block Algorithm | |
Zhang et al. | Threshold Secret Sharing and Symmetric Encryption Algorithm-Based Hybrid Protection Framework for Enterprise Privacy | |
Nour-Eddine et al. | How can we design a cost-effective model that ensures a high level of data integrity protection? |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |