TW201740305A - 資料加密方法、資料解密方法、裝置及系統 - Google Patents

資料加密方法、資料解密方法、裝置及系統 Download PDF

Info

Publication number
TW201740305A
TW201740305A TW106107244A TW106107244A TW201740305A TW 201740305 A TW201740305 A TW 201740305A TW 106107244 A TW106107244 A TW 106107244A TW 106107244 A TW106107244 A TW 106107244A TW 201740305 A TW201740305 A TW 201740305A
Authority
TW
Taiwan
Prior art keywords
key
encryption
data
label
decryption
Prior art date
Application number
TW106107244A
Other languages
English (en)
Other versions
TWI750157B (zh
Inventor
Peng Yuan
Zhi-Qiang Wang
Original Assignee
Alibaba Group Services Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Services Ltd filed Critical Alibaba Group Services Ltd
Publication of TW201740305A publication Critical patent/TW201740305A/zh
Application granted granted Critical
Publication of TWI750157B publication Critical patent/TWI750157B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本發明公開了一種資料加密方法及裝置,同時公開了一種資料解密方法及裝置,一種金鑰儲存方法及裝置,一種金鑰提供方法及裝置,一種資料加密系統,以及另一種資料加密方法。其中,所述資料加密方法,包括:接收針對待儲存資料的加密請求;採用預設方式選取金鑰、以及用於標識所述金鑰的金鑰標籤;用所述金鑰對所述加密請求攜帶的資料加密;輸出加密後的資料以及所述金鑰標籤,以將上述資訊對應儲存於存放裝置;其中,所述金鑰是從用於儲存加密解密單元與金鑰管理中心執行量子金鑰分發操作產生的金鑰序列的金鑰池中獲取的。採用本方法,可以保障金鑰分發過程的安全性;而且可以靈活地採用不同的金鑰對資料進行加密,有效地保障了資料儲存的安全性。

Description

資料加密方法、資料解密方法、裝置及系統
本發明涉及資料加密技術,具體涉及一種資料加密方法及裝置。本發明同時涉及一種資料解密方法及裝置,一種金鑰儲存方法及裝置,一種金鑰提供方法及裝置,一種資料加密系統,以及另一種資料加密方法。
隨著資料種類以及數量的日益增多,為了避免公司資料、客戶資料等敏感性資料因為洩露而引發的損失,資料儲存加密技術得到了較為普遍的應用,成為保護資料安全性的有效方法。資料儲存加密技術通常是指,在將資料寫入存放裝置之前採用特定技術為資料加密,從而確保存放在存放裝置上的資料的安全性,相應的,在讀取已儲存資料時則採用相應技術為資料解密。
資料儲存加密技術按照實現手段可以分為主機軟體加密、加密儲存安全交換機、嵌入式專門加密設備以及基於存放裝置本身的加密機制等方法,各種方法的邏輯架構中通常都包括加密解密單元、以及金鑰管理中心。其中加密解密單元通常是指,對待儲存的資料利用固定金鑰進行加 密、對讀取的已儲存資料採用固定金鑰進行解密的功能單元;金鑰管理中心通常是指,負責儲存金鑰、以及對金鑰進行更換等管理操作的功能單元。一般情況下,加密解密單元中的金鑰是不會輕易去改變的,只有在遇到金鑰洩露或者有重大的洩露風險的情況的時候才會更新金鑰,例如:透過金鑰管理中心和加密解密單元透過非對稱加密演算法建立加密安全傳輸通道、將新的金鑰傳給加密解密單元;或者是由專門的管理維護人員透過拷貝等方式去現場手動更新金鑰。而且更新金鑰後需要做好對歷史金鑰及歷史資料的管理,以免造成存放裝置中的歷史資料無法解密,導致資料損失。
上述資料儲存加密技術,存在以下缺陷:
1)由於加密解密單元使用的金鑰通常都是固定的,會增加資料被暴力破解的可能性,而且一旦金鑰發生洩露,整個儲存的資料都將面臨被竊讀的危險,從而導致資料的安全性無法得到保障。
2)設置或者更換金鑰的過程(即:金鑰分發過程)存在安全隱患,例如:採用非對稱加密演算法更新金鑰存在傳輸過程被竊聽、演算法被破解的風險,而人工更新則存在惡意洩露的危險。
3)每次更換金鑰之後,為了避免歷史資料損失,管理維護人員都要額外執行對歷史金鑰及資料的妥善處理,操作複雜。
本發明實施例提供一種資料加密方法和裝置,以解決現有的資料儲存加密技術無法保障資料儲存、金鑰分發的安全性、以及金鑰更換操作複雜的問題。本發明實施例還提供一種資料解密方法和裝置,一種金鑰儲存方法,一種金鑰提供方法,一種資料加密系統,以及另一種資料加密方法。
本發明提供一種資料加密方法,包括:接收針對待儲存資料的加密請求;採用預設方式選取金鑰、以及用於標識所述金鑰的金鑰標籤;用所述金鑰對所述加密請求攜帶的資料加密;輸出加密後的資料以及所述金鑰標籤,以將上述資訊對應儲存於存放裝置;其中,所述金鑰是從加密解密單元的金鑰池獲取的、且與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同,所述金鑰池用於儲存加密解密單元與金鑰管理中心執行量子金鑰分發操作產生的金鑰序列;用於標識所述金鑰的金鑰標籤與金鑰管理中心相同。
可選的,所述採用預設方式選取金鑰、以及用於標識所述金鑰的金鑰標籤,包括:判斷是否需要更換金鑰;若是,從所述金鑰池中獲取金鑰,所述金鑰與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同; 並獲取用於標識所述金鑰的、且與金鑰管理中心相同的金鑰標籤;否則,採用上一次執行加密操作所用的金鑰、以及相應的金鑰標籤。
可選的,所述判斷是否需要更換金鑰,包括:根據是否接收到金鑰更換指令,判斷是否需要更換金鑰;或者,根據預設的金鑰更換策略,判斷是否需要更換金鑰。
可選的,所述預設的金鑰更換策略,包括:按照預設的時間間隔更換金鑰;或者,針對每次接收到的加密請求更換金鑰。
可選的,所述從所述金鑰池中獲取金鑰,所述金鑰與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同,包括:按照預設方式從所述金鑰池中獲取金鑰;向金鑰管理中心發送金鑰更換同步請求、以觸發金鑰管理中心獲取相同的金鑰。
可選的,在按照預設方式從所述金鑰池中獲取金鑰之後,執行下述操作:採用預設演算法計算所述金鑰的散列值;所述向金鑰管理中心發送金鑰更換同步請求,包括:向金鑰管理中心發送至少包含所述散列值的金鑰更換同步請求。
可選的,所述獲取用於標識所述金鑰的、且與金鑰管 理中心相同的金鑰標籤,採用以下方式實現:採用與金鑰管理中心相同的演算法產生用於標識所述金鑰的金鑰標籤;或者,採用與金鑰管理中心交互確認由任一方產生的金鑰標籤的方式,獲取用於標識所述金鑰的金鑰標籤。
相應的,本發明還提供一種資料加密裝置,包括:加密請求接收單元,用於接收針對待儲存資料的加密請求;金鑰及標籤選取單元,用於採用預設方式選取金鑰、以及用於標識所述金鑰的金鑰標籤;所述金鑰是從加密解密單元的金鑰池獲取的、且與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同,所述金鑰池用於儲存加密解密單元與金鑰管理中心執行量子金鑰分發操作產生的金鑰序列;用於標識所述金鑰的金鑰標籤與金鑰管理中心相同;資料加密單元,用於用所述金鑰對所述加密請求攜帶的資料加密;加密資料及標籤輸出單元,用於輸出加密後的資料以及所述金鑰標籤,以將上述資訊對應儲存於存放裝置。
可選的,所述金鑰及標籤選取單元包括:金鑰更換判斷子單元,用於判斷是否需要更換金鑰;新金鑰及標籤獲取子單元,用於當所述金鑰更換判斷子單元的輸出為是時,從所述金鑰池中獲取金鑰,所述金 鑰與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同;並獲取用於標識所述金鑰的、且與金鑰管理中心相同的金鑰標籤;舊金鑰及標籤採用子單元,用於當所述金鑰更換判斷子單元的輸出為否時,採用上一次執行加密操作所用的金鑰、以及相應的金鑰標籤。
其中,所述新金鑰及標籤獲取子單元包括:新金鑰獲取子單元,用於當所述金鑰更換判斷子單元的輸出為是時,從所述金鑰池中獲取金鑰,所述金鑰與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同;新標籤獲取子單元,用於獲取用於標識所述金鑰的、且與金鑰管理中心相同的金鑰標籤;可選的,所述金鑰更換判斷子單元具體用於,根據是否接收到金鑰更換指令,判斷是否需要更換金鑰;或者,根據預設的金鑰更換策略,判斷是否需要更換金鑰。
可選的,所述新金鑰獲取子單元包括:金鑰池金鑰獲取子單元,用於按照預設方式從所述金鑰池中獲取金鑰;金鑰更換同步請求發送子單元,用於向金鑰管理中心發送金鑰更換同步請求、以觸發金鑰管理中心獲取相同的金鑰。
可選的,所述新標籤獲取子單元具體用於,採用與金鑰管理中心相同的演算法產生用於標識所述金鑰的金鑰標 籤;或者,採用與金鑰管理中心交互確認由任一方產生的金鑰標籤的方式,獲取用於標識所述金鑰的金鑰標籤。
此外,本發明還提供一種資料解密方法,包括:接收針對已儲存資料的解密請求;根據所述解密請求攜帶的金鑰標籤,從金鑰管理中心獲取相應的金鑰;用所述金鑰對所述解密請求攜帶的資料解密;將解密後的資料返回給所述解密請求的請求方。
可選的,所述根據所述解密請求攜帶的金鑰標籤,從金鑰管理中心獲取相應的金鑰,包括:向金鑰管理中心發送金鑰獲取請求,所述請求中攜帶從所述解密請求中提取的金鑰標籤;從金鑰管理中心返回的應答中獲取與所述金鑰標籤對應的金鑰。
可選的,所述從金鑰管理中心返回的應答中獲取與所述金鑰標籤對應的金鑰,包括:從金鑰管理中心返回的應答中提取加密後的金鑰;採用與金鑰管理中心相同的金鑰對所述加密後的金鑰解密,並將解密後的金鑰作為與所述金鑰標籤對應的金鑰。
可選的,在向金鑰管理中心發送金鑰獲取請求之前,執行下述操作:採用對稱加密演算法,對從所述解密請求中提取的金鑰標籤加密; 相應的,在向金鑰管理中心發送的金鑰獲取請求中攜帶的是加密後的金鑰標籤。
可選的,在向金鑰管理中心發送金鑰獲取請求之前,包括:從加密解密單元的金鑰池中獲取金鑰,所述金鑰與透過發送金鑰獲取同步請求觸發金鑰管理中心獲取的金鑰相同;並將獲取的金鑰作為對從應答中提取的金鑰解密所採用的金鑰、或者對從應答中提取的金鑰解密以及對金鑰標籤加密所採用的金鑰;其中,所述金鑰池用於儲存加密解密單元與金鑰管理中心執行量子金鑰分發操作產生的金鑰序列。
可選的,在用所述金鑰對所述解密請求攜帶的資料解密之後,還包括:刪除所述金鑰。
相應的,本發明還提供一種資料解密裝置,包括:解密請求接收單元,用於接收針對已儲存資料的解密請求;金鑰獲取單元,用於根據所述解密請求攜帶的金鑰標籤,從金鑰管理中心獲取相應的金鑰;資料解密單元,用於用所述金鑰對所述解密請求攜帶的資料解密;解密資料返回單元,用於將解密後的資料返回給所述解密請求的請求方。
可選的,所述金鑰獲取單元包括: 獲取請求發送子單元,用於向金鑰管理中心發送金鑰獲取請求,所述請求中攜帶從所述解密請求中提取的金鑰標籤;應答金鑰獲取子單元,用於從金鑰管理中心返回的應答中獲取與所述金鑰標籤對應的金鑰。
可選的,所述應答金鑰獲取子單元,包括:加密金鑰提取子單元,用於從金鑰管理中心返回的應答中提取加密後的金鑰;金鑰解密子單元,用於採用與金鑰管理中心相同的金鑰對所述加密後的金鑰解密,並將解密後的金鑰作為與所述金鑰標籤對應的金鑰。
可選的,所述裝置包括:金鑰標籤加密單元,用於在觸發所述金鑰獲取單元之前,採用對稱加密演算法,對從所述解密請求中提取的金鑰標籤加密;所述獲取請求發送子單元具體用於,向金鑰管理中心發送攜帶加密後的金鑰標籤的金鑰獲取請求。
此外,本發明還提供一種金鑰儲存方法,包括:接收加密解密單元發送的金鑰更換同步請求;從金鑰管理中心的金鑰池中獲取與加密解密單元相同的金鑰,所述金鑰池用於儲存金鑰管理中心與加密解密單元執行量子金鑰分發操作產生的金鑰序列;獲取用於標識所述金鑰的、且與加密解密單元相同的金鑰標籤; 將所述金鑰和所述金鑰標籤對應儲存於金鑰資料庫中。
可選的,所述從金鑰管理中心的金鑰池中獲取與加密解密單元相同的金鑰,包括:按照預設的、與加密解密單元相同的方式從金鑰池中獲取金鑰。
可選的,所述金鑰更換同步請求中攜帶請求方所選金鑰的散列值;在所述按照預設的、與加密解密單元相同的方式從金鑰池中獲取金鑰之後,還包括:採用預設演算法計算所述金鑰的散列值;比較計算得到的散列值與所述金鑰更換同步請求中攜帶的散列值是否一致,若一致,則視為所述金鑰與加密解密單元獲取的金鑰相同。
可選的,所述獲取用於標識所述金鑰的、且與加密解密單元相同的金鑰標籤,包括:採用與加密解密單元相同的演算法產生用於標識所述金鑰的金鑰標籤;或者,採用與加密解密單元交互確認由任一方產生的金鑰標籤的方式,獲取用於標識所述金鑰的金鑰標籤。
相應的,本發明還提供一種金鑰儲存裝置,包括:金鑰更換同步請求接收單元,用於接收加密解密單元發送的金鑰更換同步請求;金鑰池金鑰獲取單元,用於從金鑰管理中心的金鑰池 中獲取與加密解密單元相同的金鑰,所述金鑰池用於儲存金鑰管理中心與加密解密單元執行量子金鑰分發操作產生的金鑰序列;金鑰標籤獲取單元,用於獲取用於標識所述金鑰的、且與加密解密單元相同的金鑰標籤;金鑰及標籤儲存單元,用於將所述金鑰和所述金鑰標籤對應儲存於金鑰資料庫中。
可選的,所述金鑰池金鑰獲取單元,具體用於按照預設的、與加密解密單元相同的方式從金鑰池中獲取金鑰。
可選的,所述金鑰標籤獲取單元,具體用於採用與加密解密單元相同的演算法產生用於標識所述金鑰的金鑰標籤;或者,採用與加密解密單元交互確認由任一方產生的金鑰標籤的方式,獲取用於標識所述金鑰的金鑰標籤。
此外,本發明還提供一種金鑰提供方法,包括:接收加密解密單元發送的金鑰獲取請求;根據所述金鑰獲取請求攜帶的金鑰標籤查詢金鑰資料庫,獲取與所述金鑰標籤對應的金鑰;將獲取的金鑰返回給加密解密單元。
可選的,在所述將獲取的金鑰返回給加密解密單元之前,執行下述操作:採用對稱加密演算法,對所述獲取的金鑰加密;相應的,返回給加密解密單元的金鑰為:加密後的金鑰。
可選的,所述根據所述金鑰獲取請求攜帶的金鑰標籤 查詢金鑰資料庫,獲取與所述金鑰標籤對應的金鑰,包括:從所述金鑰獲取請求中提取加密後的金鑰標籤;採用與加密解密單元相同的金鑰對所述加密後的金鑰標籤解密;根據解密後的金鑰標籤查詢金鑰資料庫,獲取與所述金鑰標籤對應的金鑰。
可選的,在接收加密解密單元發送的金鑰獲取請求之前,包括:根據接收到的金鑰獲取同步請求,從金鑰管理中心的金鑰池中獲取與加密解密單元相同的金鑰;並將獲取的金鑰作為對從金鑰資料庫獲取的金鑰加密所採用的金鑰、或者對從金鑰資料庫獲取的金鑰加密以及對金鑰標籤解密所採用的金鑰;其中,所述金鑰池用於儲存金鑰管理中心與加密解密單元執行量子金鑰分發操作產生的金鑰序列。
相應的,本發明還提供一種金鑰提供裝置,包括:金鑰獲取請求接收單元,用於接收加密解密單元發送的金鑰獲取請求;金鑰查詢單元,用於根據所述金鑰獲取請求攜帶的金鑰標籤查詢金鑰資料庫,獲取與所述金鑰標籤對應的金鑰;金鑰返回單元,用於將獲取的金鑰返回給加密解密單元。
可選的,所述裝置還包括:金鑰加密單元,用於在觸發金鑰返回單元之前,採用對稱加密演算法,對所述獲取的金鑰加密;相應的,所述金鑰返回單元,具體用於將加密後的金鑰返回給加密解密單元。
可選的,所述金鑰查詢單元包括:金鑰標籤提取子單元,用於從所述金鑰獲取請求中提取加密後的金鑰標籤;金鑰標籤解密子單元,用於採用與加密解密單元相同的金鑰對所述加密後的金鑰標籤解密;資料庫查詢子單元,用於根據解密後的金鑰標籤查詢金鑰資料庫,獲取與所述金鑰標籤對應的金鑰。
此外,本發明還提供一種資料加密系統,包括:根據上述任意一項所述的資料加密裝置,根據上述任意一項所述的資料解密裝置,根據上述任意一項所述的金鑰提供裝置,以及用於執行量子金鑰分發操作的一對量子金鑰分發引擎裝置。
此外,本發明還提供另一種資料加密方法,包括:接收針對待儲存資料的加密請求;採用預設方式選取金鑰、以及用於標識所述金鑰的金鑰標籤;用所述金鑰對所述加密請求攜帶的資料加密;輸出加密後的資料以及所述金鑰標籤,以將上述資訊對應儲存於存放裝置。
可選的,所述金鑰是從加密解密單元的金鑰池獲取的,所述金鑰池用於儲存加密解密單元與金鑰管理中心執行量子金鑰分發操作產生的金鑰序列。
與現有技術相比,本發明具有以下優點:本發明提供的資料加密方法,接收針對待儲存資料的加密請求後,用基於預設方式選取的金鑰的對待儲存資料加密,並輸出加密後的資料、以及所選金鑰的金鑰標籤,以便將這兩項資訊對應儲存於存放裝置中。其中,所述金鑰是從加密解密單元的金鑰池獲取的、且與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同,所述金鑰池用於儲存加密解密單元與金鑰管理中心執行量子金鑰分發操作產生的金鑰序列;用於標識所述金鑰的金鑰標籤與金鑰管理中心相同。
本發明提供的上述方法,採用量子金鑰分發技術實現金鑰管理中心與加密解密單元之間的金鑰分發,基於量子力學原理保障金鑰分發過程的安全性;而且在執行資料加密操作時,採用的是基於預設方式選取的金鑰、而不是固定金鑰,從而可以靈活地採用不同的金鑰對資料進行加密,有效地保障了資料儲存的安全性;同時針對所使用的金鑰引入了金鑰標籤,透過與金鑰管理中心維護相同金鑰及金鑰標籤、以及在存放裝置上將加密後資料與金鑰標籤對應儲存,從而在採用不同金鑰對資料加密的同時,可以保證讀取資料時執行正確的解密操作,而且省卻了管理維護人員在金鑰變更時維護歷史金鑰及資料的額外操作,大 大簡化金鑰更換的操作流程。
301‧‧‧加密請求接收單元
302‧‧‧金鑰及標籤選取單元
303‧‧‧資料加密單元
304‧‧‧加密資料及標籤輸出單元
501‧‧‧金鑰更換同步請求接收單元
502‧‧‧金鑰池金鑰獲取單元
503‧‧‧金鑰標籤獲取單元
504‧‧‧金鑰及標籤儲存單元
701‧‧‧解密請求接收單元
702‧‧‧金鑰獲取單元
703‧‧‧資料解密單元
704‧‧‧解密資料返回單元
901‧‧‧金鑰獲取請求接收單元
902‧‧‧金鑰查詢單元
903‧‧‧金鑰返回單元
1001‧‧‧加密解密設備
1001-1‧‧‧資料加密裝置
1001-2‧‧‧資料解密裝置
1001-3‧‧‧量子金鑰分發引擎裝置
1002‧‧‧金鑰管理中心設備
1002-1‧‧‧金鑰儲存裝置
1002-2‧‧‧金鑰提供裝置
1002-3‧‧‧量子金鑰分發引擎裝置
圖1是本發明的一種資料加密方法的實施例的流程圖;圖2是本發明實施例提供的採用預設方式選取金鑰、以及用於標識所述金鑰的金鑰標籤的處理流程圖;圖3是本發明的一種資料加密裝置的實施例的示意圖;圖4是本發明的一種金鑰儲存方法的實施例的流程圖;圖5是本發明的一種金鑰儲存裝置的實施例的示意圖;圖6是本發明的一種資料解密方法的實施例的流程圖;圖7是本發明的一種資料解密裝置的實施例的示意圖;圖8是本發明的一種金鑰提供方法的實施例的流程圖;圖9是本發明的一種金鑰提供裝置的實施例的示意圖;圖10是本發明的一種資料加密系統的示意圖;圖11是本發明的另一種資料加密方法的實施例的流程圖。
在下面的描述中闡述了很多具體細節以便於充分理解本發明。但是,本發明能夠以很多不同於在此描述的其它方式來實施,本領域技術人員可以在不違背本發明內涵的情況下做類似推廣,因此,本發明不受下面公開的具體實施的限制。
在本發明的技術方案中,量子金鑰分發操作,是指收發雙方量子設備遵循量子金鑰分發協定,經過原始金鑰協商、金鑰篩選和糾錯、隱私放大等處理流程後,雙方產生相同的隨機金鑰序列的操作過程;金鑰序列,是指由若干金鑰比特組成的序列;金鑰池,是指儲存執行量子金鑰分發操作產生的金鑰序列的記憶體區域;金鑰標籤,是指用於區分不同金鑰的標識資訊,其形式可以為數值、或者字串等;金鑰更換同步請求,是指加密解密單元發送給金鑰中心的、用於觸發金鑰中心從其金鑰池中獲取與加密解密單元相同金鑰的請求。
在本發明中,分別提供了一種資料加密方法及裝置,一種資料解密方法及裝置,一種金鑰儲存方法及裝置,一種金鑰提供方法及裝置,一種資料加密系統,以及另一種資料加密方法。在下面的實施例中逐一進行詳細說明。
現有的資料儲存加密實現方案中,通常包括加密解密單元和金鑰管理中心,由於加密解密單元通常採用固定金鑰對待儲存資料加密,而且在面臨金鑰洩露風險時,在金鑰管理中心和加密解密單元透過非對稱加密演算法進行金 鑰更新、或者進行人工更新後,還需要管理維護人員執行額外的維護處理,因此不僅資料儲存、金鑰分發的安全性得不到保障、而且金鑰更換操作複雜。
本發明提供的技術方案,包括:資料加密方法、資料解密方法、金鑰儲存方法、以及金鑰提供方法,透過引入量子金鑰分發技術、以及金鑰標籤,解決了現有技術存在的上述問題。
本發明提供的技術方案,在金鑰管理中心和加密解密單元中分別添加量子金鑰分發引擎,透過執行量子金鑰分發協議在金鑰管理中心和加密解密單元產生相同的金鑰序列,並儲存在各自的金鑰池中;當需要對待儲存資料加密時,加密解密單元用從自己的金鑰池中獲取的金鑰進行加密,並輸出加密後的資料以及金鑰標籤,以便對應儲存在存放裝置上,金鑰管理中心則將與加密解密單元同步獲取的相同金鑰以及金鑰標籤儲存在金鑰資料庫中;當需要對已儲存資料解密時,加密解密單元根據已儲存資料的金鑰標籤向金鑰管理中心獲取金鑰,並用獲取的金鑰執行解密操作。
其中,所述量子金鑰分發引擎執行的量子金鑰分發協議包括BB84、B91、B92協議,以及後來為提高成碼率提出的Continuous variable QKD、DSP-QKP、SARG等協議。遵循量子金鑰分發協議的量子金鑰分發過程如下所述:其中一方(以下簡稱Alice)隨機地產生一組二進位資料串,根據資料串選擇原始向量製備相應編碼的量子 態,並透過量子通道發送給另一方(以下簡稱Bob),Bob接收到量子態後隨機選擇測量原始向量進行測量;隨後,Bob透過經典通道公開自己的測量原始向量,從而雙方篩選出原始向量相同的原始金鑰;最後雙方透過估計誤碼率、糾錯、隱私放大等處理獲取到無條件安全的金鑰序列。
在本技術方案中,金鑰管理中心和加密解密單元中的量子金鑰分發引擎,採用預設方式,例如:連續地、或者定時地,執行量子金鑰分發協議,從而產生相同的金鑰序列,並儲存在各自的金鑰池中。
由於本技術方案引入了量子金鑰分發技術,從而基於量子力學原理保障金鑰分發過程的安全性;進一步地,由於引入了金鑰標籤,因此可以採用不同的金鑰對待儲存資料加密,實現金鑰使用細微性的多樣化,一方面保證資料儲存的安全性,令一方面簡化了金鑰更換的操作流程。
下面對本發明提供的各實施例逐一進行說明。為了便於描述,在以下的實施例中,將實施資料加密方法的模組稱為資料加密模組,將實施資料解密方法的模組稱為資料解密模組,將實施金鑰儲存方法的模組稱為金鑰儲存模組,將實施金鑰提供方法的模組稱為金鑰提供模組。
金鑰管理中心包括:金鑰儲存模組、金鑰提供模組、以及量子金鑰分發引擎模組,加密解密單元包括:資料加密模組、資料解密模組、以及量子金鑰分發引擎模組。其中,資料加密模組輸出的金鑰更換同步請求,具體由金鑰 管理中心的金鑰儲存模組接收並處理,資料解密模組輸出的金鑰獲取請求(以及金鑰獲取同步請求),具體由金鑰管理中心的金鑰提供模組接收並處理。
參考圖1,其為本發明的一種資料加密方法的實施例的流程圖,所述方法包括如下步驟:
步驟101、接收針對待儲存資料的加密請求。
前端主機或者伺服器輸出的資料,通常會經過拆分、壓縮等資料處理後,經由加密解密單元的資料儲存加密模組進行加密處理。例如:前端主機或者伺服器輸出的資料,由執行上述資料處理操作的功能單元進行必要處理後,所述功能單元可以透過調用預設介面或者發送消息等方式觸發資料加密模組對待儲存資料加密,資料加密模組就會相應接收到針對待儲存資料的加密請求,所述請求中至少攜帶待儲存資料。
步驟102、採用預設方式選取金鑰、以及用於標識所述金鑰的金鑰標籤。
本實施例的核心在於,加密解密單元與金鑰管理中心透過各自的量子金鑰分發引擎執行量子金鑰分發操作產生金鑰序列,並儲存在各自的金鑰池中。對待儲存資料加密時,則可以採用加密解密單元金鑰池中的金鑰進行加密。具體到每一次的資料加密操作,可以選用上一次執行加密操作所使用的金鑰、該金鑰也是從金鑰池中獲取的,即,用舊金鑰執行本次加密操作,也可以重新從金鑰池中獲取金鑰,即,用更換後的新金鑰執行本次加密操作。
不難理解,如果存放裝置中所儲存的加密資料使用的是相同金鑰的話,一旦金鑰洩露,會造成所有資料的洩露。然而如果存放裝置中的加密資料不是採用相同金鑰加密的話,那麼洩露的金鑰只能破解洩露的金鑰對應的加密資料,會大大降低危害性。金鑰更換的時間細微性越小,資料的安全性越高。因此本步驟透過預設方式選取用於加密的金鑰、而不是固定使用相同的金鑰,從而消除了使用相同金鑰加密的弊端,有助於提高資料儲存的安全性。本步驟的具體實施可以包括步驟102-1至步驟102-4,下面結合圖2作進一步說明。
步驟102-1、判斷是否需要更換金鑰,若是,執行步驟102-2,否則,執行步驟102-4。
可以採用不同的方式判斷是否需要更換金鑰。下面給出兩種實施方式:
(一)根據預設的金鑰更換策略進行判斷。
所述預設的金鑰更換策略可以是:按照預設的時間間隔更換金鑰。例如:預設的時間間隔為5秒,在具體實施時則可以設置計時器的超時時間為5秒,如果發生計時器超時事件,則判定需要更換金鑰(並在更換金鑰後重定計時器),否則不需要更換。
所述預設的金鑰更換策略,也可以是:針對每次接收到的加密請求更換金鑰,這也是本實施例提供的優選實施方式。針對每次加密請求中攜帶的資料都採用更換後的金鑰進行加密,即:實現對資料的“一存一密”,從而可以 提供更高安全等級的加密服務,即使出現某一金鑰洩露的情況,被破解的也只是用這個金鑰加密的資料,不會造成其他的資料洩露。
上述列舉了兩種金鑰更換策略,在實際實施時,還可以預先設定其他的金鑰更換策略,此處不再贅述。透過設置不同的金鑰更換策略,可以實現金鑰使用的不同細微性,為提高資料儲存的安全性提供保障。
(二)根據是否接收到金鑰更換指令進行判斷。
具體實施時,也可以將根據預設的金鑰更換策略決定是否更換金鑰的功能從資料儲存加密模組剝離出來,由其他模組或者單元依據預設的金鑰更換策略進行決策,並發送相應的金鑰更換指令。在這種情況下,如果資料儲存加密模組接收到金鑰更換指令、則判定需要更換金鑰,否則不需要。
例如:金鑰更換指令可以由發送加密請求的功能單元發送,如果步驟101接收到的加密請求中攜帶了金鑰更換指令,則判定需要更換金鑰,否則不需要。
步驟102-2、從加密解密單元的金鑰池中獲取金鑰,所述金鑰與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同。
執行到本步驟,說明需要更換金鑰,因此本步驟可以從加密解密單元的金鑰池中獲取金鑰,考慮到後續通常會有對加密資料的解密需求,因此從金鑰池中獲取金鑰的操作應該與金鑰管理中心同步,從而金鑰管理中心可以儲存 相應的金鑰資訊以便執行解密操作。
具體實現可以是:按照預設方式從加密解密單元的金鑰池中獲取金鑰;向金鑰管理中心發送金鑰更換同步請求、以觸發金鑰管理中心獲取相同的金鑰。所述預設方式可以是:從所述金鑰池儲存的、尚未使用的金鑰序列的第一個金鑰比特開始,截取預設長度的金鑰,並在金鑰池中將該金鑰標識為已使用。金鑰管理中心也採用同樣的方式從其金鑰池中截取金鑰,從而雙方獲取了相同的金鑰。
優選地,在按照預設方式從所述金鑰池中獲取金鑰之後,還可以採用預設演算法計算所述金鑰的散列值,並在向金鑰管理中心發送的金鑰更換同步請求中包含所述散列值,從而金鑰管理中心可以透過比對散列值,驗證雙方選取的金鑰的確是相同的。在具體實施過程中,如果出現不一致的現象,則雙方可以透過協商重新選取金鑰。
在具體實施時,本步驟也可以按照隨機方式從所述金鑰池中選取金鑰,並在發送給金鑰管理中心的金鑰更換同步請求中攜帶選取金鑰的具體方式,例如:選取的位置、金鑰長度等,以供金鑰管理中心獲取相同的金鑰。
步驟102-3、獲取用於標識所述金鑰的、且與金鑰管理中心相同的金鑰標籤。
由於在步驟102-2中選取了金鑰,考慮到對加密資料的解密需求,需要獲取用於標識所述金鑰的金鑰標識、並且與金鑰管理中心儲存的相應資訊一致。例如:選取的金鑰為key1,金鑰標識為key_ID1,那麼在金鑰管理中心儲 存的key1的金鑰標識也是key_ID1,從而金鑰管理中心可以根據金鑰標識為解密操作提供正確的金鑰,保證解密操作的正確執行。
獲取與金鑰管理中心相同的金鑰標識,可以採用多種方式實現,在此列舉兩種:
(一)採用與金鑰管理中心相同的演算法產生用於標識所述金鑰的金鑰標籤。例如:採用遞增計數器產生用於標識所述金鑰的金鑰標籤,遞增計數器的初始值設置為0,每次更換金鑰,則將計數器的數值加1,並用執行累加操作後的計數器數值作為金鑰標籤,金鑰管理中心也採用相同的演算法產生金鑰標籤。
(二)採用與金鑰管理中心交互確認由任一方產生的金鑰標籤的方式,獲取用於標識所述金鑰的金鑰標籤。例如:可以採用預設演算法產生用於標識所述金鑰的金鑰標籤,然後將金鑰標籤發送給金鑰管理中心,從而金鑰管理中心也就獲取了同樣的金鑰標籤。或者,接收由金鑰管理中心產生並發送的金鑰標籤,也是可以的。
至此,透過步驟102-2和步驟102-3從金鑰池中選取了新的金鑰、並且獲取了用於標識所述金鑰的金鑰標籤,在再次更換金鑰之前的資料加密操作,都可以使用該金鑰。
需要說明的是,在步驟102-1判斷出需要更換金鑰的情況下,還可以刪除上一次執行加密操作所用的金鑰、以及相應的金鑰標籤,採用這種方式,不僅可以減少對儲存 空間的佔用,而且由於不在加密解密單元中儲存金鑰,而是由金鑰管理中心集中管理,可以減少金鑰洩露的機率。
步驟102-4、採用上一次執行加密操作所用的金鑰、以及相應的金鑰標籤。
執行到本步驟,說明不需要更換金鑰,因此可以繼續採用上一次執行加密操作所用的金鑰、以及相應的金鑰標籤。
至此,透過步驟102-1至步驟102-4對選取金鑰以及金鑰標籤的實施方式進行了描述,在本實施例給出的上述實施方式中需要先判斷是否需要更換金鑰,然後再執行相應的操作,在具體實施時也可以對上述實施方式進行變更,例如:對於固定採用“一存一密”的應用場景,可以直接從加密解密單元的金鑰池中獲取金鑰,並向金鑰管理中心發送金鑰更換同步請求,也是可以的。
步驟103、用所述金鑰對所述加密請求攜帶的資料加密。
在步驟102中已經選取了金鑰,本步驟可以採用對稱加密演算法,利用所選金鑰對步驟101接收到的加密請求攜帶的資料加密。所述對稱加密演算法包括:RC2、RC4、DES(Data Encryption Standard)、3DES、或AES(Advanced Encryption Standard)演算法等。
步驟104、輸出加密後的資料以及所述金鑰標籤,以將上述資訊對應儲存於存放裝置。
完成加密操作後,將加密後的資料以及加密所用金鑰 的金鑰標籤一併輸出,以將這兩項資訊對應儲存於存放裝置上。在具體實施時,可以直接輸出到存放裝置,也可以輸出給負責與存放裝置介面的其他功能單元,由其他功能單元完成將加密後的資料及金鑰標籤寫入存放裝置的功能。
綜上所述,本實施例提供的資料加密方法,採用量子金鑰分發技術實現金鑰管理中心與金鑰加密解密單元之間的金鑰分發,基於量子力學原理保障金鑰分發過程的安全性;而且執行資料加密操作時,採用的是基於預設方式選取的金鑰、而不是固定金鑰,從而可以靈活地採用不同的金鑰對資料進行加密,有效地保障了資料儲存的安全性;同時針對所使用的金鑰引入了金鑰標籤,透過與金鑰管理中心維護相同金鑰及金鑰標籤、以及在存放裝置上將加密後資料與金鑰標籤對應儲存,從而在採用不同金鑰對資料加密的同時,可以保證讀取資料時執行正確的解密操作,而且省卻了管理維護人員在金鑰變更時維護歷史金鑰及資料的額外操作,大大簡化金鑰更換的操作流程。
在上述的實施例中,提供了一種資料加密方法,與之相對應的,本發明還提供一種資料加密裝置。請參看圖3,其為本發明的一種資料加密裝置的實施例的示意圖。由於裝置實施例基本相似於方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。
本實施例的一種資料加密裝置,包括:加密請求接收 單元301,用於接收針對待儲存資料的加密請求;金鑰及標籤選取單元302,用於採用預設方式選取金鑰、以及用於標識所述金鑰的金鑰標籤;所述金鑰是從加密解密單元的金鑰池獲取的、且與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同,所述金鑰池用於儲存加密解密單元與金鑰管理中心執行量子金鑰分發操作產生的金鑰序列;用於標識所述金鑰的金鑰標籤與金鑰管理中心相同;資料加密單元303,用於採用對稱加密演算法,用所述金鑰對所述加密請求攜帶的資料加密;加密資料及標籤輸出單元304,用於輸出加密後的資料以及所述金鑰標籤,以將上述資訊對應儲存於存放裝置。
可選的,所述金鑰及標籤選取單元包括:金鑰更換判斷子單元,用於判斷是否需要更換金鑰;新金鑰及標籤獲取子單元,用於當所述金鑰更換判斷子單元的輸出為是時,從所述金鑰池中獲取金鑰,所述金鑰與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同;並獲取用於標識所述金鑰的、且與金鑰管理中心相同的金鑰標籤;舊金鑰及標籤採用子單元,用於當所述金鑰更換判斷子單元的輸出為否時,採用上一次執行加密操作所用的金鑰、以及相應的金鑰標籤。
其中,所述新金鑰及標籤獲取子單元包括:新金鑰獲取子單元,用於當所述金鑰更換判斷子單元的輸出為是時,從所述金鑰池中獲取金鑰,所述金鑰與透 過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同;新標籤獲取子單元,用於獲取用於標識所述金鑰的、且與金鑰管理中心相同的金鑰標籤;可選的,所述金鑰更換判斷子單元具體用於,根據是否接收到金鑰更換指令,判斷是否需要更換金鑰;或者,根據預設的金鑰更換策略,判斷是否需要更換金鑰。
可選的,所述新金鑰獲取子單元包括:金鑰池金鑰獲取子單元,用於按照預設方式從所述金鑰池中獲取金鑰;金鑰更換同步請求發送子單元,用於向金鑰管理中心發送金鑰更換同步請求、以觸發金鑰管理中心獲取相同的金鑰。
可選的,所述新標籤獲取子單元具體用於,採用與金鑰管理中心相同的演算法產生用於標識所述金鑰的金鑰標籤;或者,採用與金鑰管理中心交互確認由任一方產生的金鑰標籤的方式,獲取用於標識所述金鑰的金鑰標籤。
此外,本發明還提供一種金鑰儲存方法,請參考圖4,其為本發明提供的金鑰儲存方法的實施例的流程圖,本實施例與上述方法實施例步驟相同的部分不再贅述,下面重點描述不同之處。本實施例的一種金鑰儲存方法包括如下步驟:
步驟401、接收加密解密單元發送的金鑰更換同步請求。
加密解密單元的資料儲存加密模組接收到針對待儲存資料的加密請求、並且需要更換金鑰時,會向金鑰管理中心發送金鑰更換同步請求,金鑰管理中心的金鑰管理模組就會接收到該請求。
步驟402、從金鑰管理中心的金鑰池中獲取與加密解密單元相同的金鑰,所述金鑰池用於儲存金鑰管理中心與加密解密單元執行量子金鑰分發操作產生的金鑰序列。
金鑰管理中心的金鑰池中,儲存了金鑰管理中心的量子金鑰分發引擎與加密解密單元的量子金鑰分發引擎執行量子金鑰分發操作產生的金鑰序列。
本步驟可以按照預設的、與加密解密單元相同的方式從金鑰管理中心的金鑰池中獲取金鑰。例如:從所述金鑰池儲存的、尚未使用的金鑰序列的第一個金鑰比特開始,截取預設長度的金鑰,並在金鑰池中將該金鑰標識為已使用。由於加密解密單元也採用相同方式從其金鑰池中獲取金鑰,因此雙方可以獲取相同的金鑰。
優選地,如果在所述金鑰更換同步請求中攜帶了金鑰的散列值,那麼在按照上述方式從所述金鑰池中獲取金鑰之後,還可以採用與加密解密單元相同的預設演算法計算所述金鑰的散列值,並比較計算得到的散列值與所述金鑰更換同步請求中攜帶的散列值是否一致,若一致,則視為所述金鑰與加密解密單元獲取的、用於執行加密操作的金鑰相同,從而驗證了雙方選取的金鑰的確是相同的。在具體實施過程中,一旦出現不一致的現象,則雙方可以重新 協商選取金鑰。
在具體實施時,本步驟也可以根據所述金鑰更換同步請求中攜帶的金鑰選取位置、金鑰長度等資訊,從金鑰池中獲取金鑰;也可以採用其他方式從金鑰池中獲取金鑰,只要能夠與加密解密單元獲取相同的金鑰就都是可以的。
步驟403、獲取用於標識所述金鑰的、且與加密解密單元相同的金鑰標籤。
本步驟可以採用與加密解密單元相同的演算法產生用於標識所述金鑰的金鑰標籤;或者,採用與加密解密單元交互確認由任一方產生的金鑰標籤的方式,獲取用於標識所述金鑰的金鑰標籤。
步驟404、將所述金鑰和所述金鑰標籤對應儲存於金鑰資料庫中。
本步驟將步驟402獲取的金鑰、以及步驟403獲取的金鑰標籤對應儲存於金鑰資料庫中,從而將加密解密單元執行資料加密操作所用的金鑰儲存下來,並且透過金鑰標籤與被儲存資料之間建立關聯。當需要執行解密操作時,就可以根據金鑰標籤從金鑰資料庫中獲取相應的金鑰。
至此,透過上述步驟401-404,對本實施例提供的金鑰儲存方法的實施方式進行了說明。透過上面的描述可以看出,由於根據接收到的金鑰更換同步請求,獲取了與加密解密單元相同的金鑰和金鑰標籤,並且對應儲存在金鑰資料庫中,從而確保與被加密資料對應的金鑰被儲存下來、並且可以基於金鑰標籤進行查詢,從而為正確地執行 解密操作提供資料保障。
在上述的實施例中,提供了一種金鑰儲存方法,與之相對應的,本發明還提供一種金鑰儲存裝置。請參看圖5,其為本發明的一種金鑰儲存裝置的實施例的示意圖。由於裝置實施例基本相似於方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。
本實施例的一種金鑰儲存裝置,包括:金鑰更換同步請求接收單元501,用於接收加密解密單元發送的金鑰更換同步請求;金鑰池金鑰獲取單元502,用於從金鑰管理中心的金鑰池中獲取與加密解密單元相同的金鑰,所述金鑰池用於儲存金鑰管理中心與加密解密單元執行量子金鑰分發操作產生的金鑰序列;金鑰標籤獲取單元503,用於獲取用於標識所述金鑰的、且與加密解密單元相同的金鑰標籤;金鑰及標籤儲存單元504,用於將所述金鑰和所述金鑰標籤對應儲存於金鑰資料庫中。
可選的,所述金鑰池金鑰獲取單元,具體用於按照預設的、與加密解密單元相同的方式從金鑰池中獲取金鑰。
可選的,所述金鑰標籤獲取單元,具體用於採用與加密解密單元相同的演算法產生用於標識所述金鑰的金鑰標籤;或者,採用與加密解密單元交互確認由任一方產生的金鑰標籤的方式,獲取用於標識所述金鑰的金鑰標籤。
此外,本發明還提供一種資料解密方法,請參考圖6,其為本發明提供的一種資料解密方法的實施例的流程 圖,本實施例與上述方法實施例步驟相同的部分不再贅述,下面重點描述不同之處。本實施例的一種資料解密方法包括如下步驟:
步驟601、接收針對已儲存資料的解密請求。
根據應用程式或者使用者對已儲存在存放裝置上的資料的讀取需求,與存放裝置之間有存取介面的功能單元通常會從存放裝置上讀取被請求的資料,然後透過調用預設介面或者發送消息等方式觸發資料解密模組執行解密操作,資料解密模組就會相應接收到針對已儲存資料的解密請求。所述解密請求中不僅攜帶待解密的資料、而且還攜帶加密所述資料所用金鑰的金鑰標籤。
步驟602、根據所述解密請求攜帶的金鑰標籤,從金鑰管理中心獲取相應的金鑰。
從金鑰管理中心獲取金鑰的操作步驟為:向金鑰管理中心發送金鑰獲取請求,所述請求中攜帶從所述解密請求中提取的金鑰標籤;金鑰管理中心透過查找金鑰資料庫獲取對應於所述金鑰標籤的金鑰,並返回包含所述金鑰的應答,本步驟則可以從返回的應答中獲取與所述金鑰標籤對應的金鑰。
優選地,為了保證在應答中攜帶的金鑰的安全性,金鑰管理中心通常會將對應於所述金鑰標籤的金鑰採用對稱加密演算法加密後返回,因此從金鑰管理中心返回的應答中獲取與所述金鑰標籤對應的金鑰的步驟可以包括:先從金鑰管理中心返回的應答中提取加密後的金鑰,然後採用 與金鑰管理中心相同的金鑰對所述加密後的金鑰解密,並將解密後的金鑰作為與所述金鑰標籤對應的金鑰。
進一步優選地,在對從金鑰資料庫獲取的金鑰加密、以及對從應答中提取的金鑰解密的操作中,金鑰管理中心與資料儲存解密模組可以採用預設的相同金鑰執行所需的加解密操作,也可以採用從金鑰池中獲取相同金鑰的優選實施方式,即:本步驟在向金鑰管理中心發送金鑰獲取請求之前,可以從加密解密單元的金鑰池中獲取金鑰、所述金鑰與透過發送金鑰獲取同步請求觸發金鑰管理中心獲取的金鑰相同,並將獲取的金鑰作為對從應答中提取的金鑰解密所採用的金鑰。採用這種方式,相當於構建了量子安全傳輸通道,能夠進一步保證金鑰傳輸過程的安全性。
此外,為了保證金鑰獲取請求攜帶的金鑰標籤的安全性,資料儲存解密模組可以在向金鑰管理中心發送金鑰獲取請求之前,採用對稱加密演算法,對從所述解密請求中提取的金鑰標籤加密,相應的,在向金鑰管理中心發送的金鑰獲取請求中攜帶加密後的金鑰標籤。
同樣的道理,為了進一步保證金鑰標籤傳輸的安全性,本步驟可以採用在向金鑰管理中心發送金鑰獲取請求之前、從金鑰池中獲取的金鑰對金鑰標籤加密,相應的,金鑰管理中心也採用從其金鑰池中同步獲取的相同金鑰對接收到的金鑰標籤解密。
步驟603、用所述金鑰對所述解密請求攜帶的資料解密。
步驟602獲取的金鑰,是步驟601接收到的解密請求所攜帶的資料的加密金鑰,因此本步驟可以根據該金鑰對所述資料進行解密,從而可以還原出加密前的資料,即:明文。
優選地,在完成解密操作後,可以刪除所述從金鑰管理中心獲取的金鑰。採用這種方式,不僅可以減少對儲存空間的佔用,而且由於不在加密解密單元中儲存金鑰、而是由金鑰管理中心集中管理,可以減少金鑰洩露的機率。
步驟604、將解密後的資料返回給所述解密請求的請求方。
將解密後的資料返回給請求方,所述請求方可以對解密後的資料進行必要的處理,例如:拼接、解壓縮等,並將處理後的資料返回給需要讀取資料的應用程式或者使用者。
至此,透過上述步驟601-604,對本實施例提供的資料解密方法的實施方式進行了說明。透過上面的描述可以看出,由於根據與已儲存資料對應儲存的金鑰標籤,從金鑰管理中心獲取了相應的金鑰,因此雖然在存放裝置上儲存的資料是採用不同金鑰加密的,本方法依然可以執行正確的解密操作,從而在採用不同加密金鑰保障資料安全性的同時,避免了因為無法解密造成的資料損失。
在上述的實施例中,提供了一種資料解密方法,與之相對應的,本發明還提供一種資料解密裝置。請參看圖7,其為本發明的一種資料解密裝置的實施例的示意圖。 由於裝置實施例基本相似於方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。
本實施例的一種資料解密裝置,包括:解密請求接收單元701,用於接收針對已儲存資料的解密請求;金鑰獲取單元702,用於根據所述解密請求攜帶的金鑰標籤,從金鑰管理中心獲取相應的金鑰;資料解密單元703,用於用所述金鑰對所述解密請求攜帶的資料解密;解密資料返回單元704,用於將解密後的資料返回給所述解密請求的請求方。
可選的,所述金鑰獲取單元包括:獲取請求發送子單元,用於向金鑰管理中心發送金鑰獲取請求,所述請求中攜帶從所述解密請求中提取的金鑰標籤;應答金鑰獲取子單元,用於從金鑰管理中心返回的應答中獲取與所述金鑰標籤對應的金鑰。
可選的,所述應答金鑰獲取子單元,包括:加密金鑰提取子單元,用於從金鑰管理中心返回的應答中提取加密後的金鑰;金鑰解密子單元,用於採用與金鑰管理中心相同的金鑰對所述加密後的金鑰解密,並將解密後的金鑰作為與所述金鑰標籤對應的金鑰。
可選的,所述裝置包括:金鑰標籤加密單元,用於在觸發所述金鑰獲取單元之 前,採用對稱加密演算法,對從所述解密請求中提取的金鑰標籤加密;所述獲取請求發送子單元具體用於,向金鑰管理中心發送攜帶加密後的金鑰標籤的金鑰獲取請求。
此外,本發明還提供一種金鑰提供方法,請參考圖8,其為本發明提供的一種金鑰提供方法的實施例的流程圖,本實施例與上述方法實施例步驟相同的部分不再贅述,下面重點描述不同之處。本實施例的一種金鑰提供方法包括如下步驟:
步驟801、接收加密解密單元發送的金鑰獲取請求。
當加密解密單元的資料解密模組接收到解密請求後,向金鑰管理中心發送金鑰獲取請求,金鑰管理中心的金鑰提供模組就會接收到該請求。所述請求中攜帶了與待解密資料對應儲存於存放裝置上的金鑰標籤。
步驟802、根據所述金鑰獲取請求攜帶的金鑰標籤查詢金鑰資料庫,獲取與所述金鑰標籤對應的金鑰。
本步驟根據金鑰獲取請求攜帶的金鑰標籤查詢金鑰資料庫,例如透過執行SQL語句進行查詢,獲取與所述金鑰標籤對應的金鑰,即:加密解密單元所需的、用於執行解密操作的金鑰。
優選地,為了保證金鑰獲取請求中攜帶的金鑰標籤的安全性,加密解密單元通常會將在金鑰獲取請求中攜帶的金鑰標籤加密,因此本步驟可以:從所述金鑰獲取請求中提取加密後的金鑰標籤;採用與加密解密單元相同的金鑰 對所述加密後的金鑰標籤解密;根據解密後的金鑰標籤查詢金鑰資料庫,獲取與所述金鑰標籤對應的金鑰。
進一步優選地,在接收加密解密單元發送的金鑰獲取請求之前,可以根據接收到的金鑰獲取同步請求,從金鑰管理中心的金鑰池中獲取與加密解密單元相同的金鑰;並將獲取的金鑰作為對金鑰標籤解密所採用的金鑰。採用這種方式,能夠進一步保證金鑰標籤傳輸的安全性。
步驟803、將獲取的金鑰返回給加密解密單元。
本步驟可以將獲取的金鑰返回給所述金鑰獲取請求的請求方,即:加密解密單元,以供加密解密單元執行解密操作。
優選地,為了保證所述金鑰在傳輸過程中的安全性,可以在將獲取的金鑰返回給加密解密單元之前,採用對稱加密演算法,對所述獲取的金鑰加密;相應的,返回給加密解密單元的金鑰為:加密後的金鑰。
進一步優選地,在接收加密解密單元發送的金鑰獲取請求之前,可以根據接收到的金鑰獲取同步請求,從金鑰管理中心的金鑰池中獲取與加密解密單元相同的金鑰;並將獲取的金鑰作為對從金鑰資料庫獲取的金鑰加密所採用的金鑰。採用這種方式,能夠進一步保證金鑰傳輸過程的安全性。
同樣的道理,如果在步驟801中接收到進一步保證金鑰標籤傳輸的安全性,本步驟可以採用上述從金鑰池中獲取的金鑰對金鑰標籤加密,相應的,金鑰管理中心也採用 從其金鑰池中同步獲取的相同金鑰對接收到的金鑰標籤解密。
至此,透過上述步驟801-803,對本實施例提供的金鑰提供方法的實施方式進行了說明。透過上面的描述可以看出,本方法能夠根據金鑰獲取請求攜帶的金鑰標籤為加密解密單元提供所需的金鑰,從而為加密解密單元執行正確的解密操作提供了保障。
在上述的實施例中,提供了一種金鑰提供方法,與之相對應的,本發明還提供一種金鑰提供裝置。請參看圖9,其為本發明的一種金鑰提供裝置的實施例的示意圖。由於裝置實施例基本相似於方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。
本實施例的一種金鑰提供裝置,包括:金鑰獲取請求接收單元901,用於接收加密解密單元發送的金鑰獲取請求;金鑰查詢單元902,用於根據所述金鑰獲取請求攜帶的金鑰標籤查詢金鑰資料庫,獲取與所述金鑰標籤對應的金鑰;金鑰返回單元903,用於將獲取的金鑰返回給加密解密單元。
可選的,所述裝置包括:金鑰加密單元,用於在觸發金鑰返回單元之前,採用對稱加密演算法,對所述獲取的金鑰加密;相應的,所述金鑰返回單元,具體用於將加密後的金鑰返回給加密解密單元。
可選的,所述金鑰查詢單元包括:金鑰標籤提取子單元,用於從所述金鑰獲取請求中提取加密後的金鑰標籤;金鑰標籤解密子單元,用於採用與加密解密單元相同的金鑰對所述加密後的金鑰標籤解密;資料庫查詢子單元,用於根據解密後的金鑰標籤查詢金鑰資料庫,獲取與所述金鑰標籤對應的金鑰。
此外,本發明還提供一種資料加密系統,如圖10所示,所述系統包括資料加密裝置1001-1、資料解密裝置1001-2、金鑰儲存裝置1002-1、金鑰提供裝置1002-2、以及用於執行量子金鑰分發操作的一對量子金鑰分發引擎裝置1001-3和1002-3。
在具體實施時,所述資料加密裝置1001-1、資料解密裝置1001-2、以及量子金鑰分發引擎裝置1001-3可以部署於加密解密設備1001,所述金鑰儲存裝置1002-1、金鑰提供裝置1002-2、以及量子金鑰分發引擎裝置1002-3可以部署於金鑰管理中心設備1002。金鑰管理中心設備中還可以包括金鑰資料庫。
下面對本系統的各個裝置的相互協作方式作簡要說明:所述一對量子金鑰分發引擎裝置透過執行量子金鑰分發協議獲取相同的金鑰序列,並儲存在各自的金鑰池中;資料加密裝置接收資料加密請求後,透過向金鑰儲存裝置發送金鑰更換同步請求的方式,與對方從各自金鑰池中獲取相同金鑰,並且獲取相同的金鑰標籤;資料加密裝置用 獲取的金鑰對待儲存資料加密,並將加密資料以及相應的金鑰標籤輸出、以便對應儲存於存放裝置中,金鑰儲存裝置則將獲取的金鑰及相應的金鑰標籤儲存在金鑰資料庫中;資料解密裝置接收對加密資料的解密請求後,向金鑰提供裝置發送金鑰獲取請求,金鑰提供裝置根據金鑰獲取請求中攜帶的金鑰標籤查詢金鑰資料庫、獲取相應的金鑰,並返回給資料解密裝置,資料解密裝置用返回的金鑰對加密資料解密,從而得到解密後的資料。
在上面的描述中,資料加密裝置執行了金鑰更換操作,在具體實施中,資料加密裝置如果判定無需執行金鑰更換操作,則可以直接採用上一次執行加密操作所用的金鑰及相應的金鑰標籤,在這種情況下,資料加密裝置不向金鑰儲存裝置發送金鑰更換同步請求,雙方無需執行從各自金鑰池中獲取相同金鑰、以及獲取相同的金鑰標籤的操作。
此外,本發明還提供另一種資料加密方法,所述方法通常在加密解密單元實施。請參考圖11,其為本發明提供的另一種資料加密方法的實施例的流程圖,本實施例與上述方法實施例步驟相同的部分不再贅述,下面重點描述不同之處。本實施例的一種資料加密方法包括如下步驟:
步驟1101、接收針對待儲存資料的加密請求。
本步驟的具體實施方式,可以參見之前提供的資料加密方法實施例中的步驟101的描述。
步驟1102、採用預設方式選取金鑰、以及用於標識所 述金鑰的金鑰標籤。
本步驟可以按照預設的方式判斷是否需要更換金鑰,若需要,則可以從預設的金鑰集合中獲取金鑰以及相應的金鑰標籤,若不需要,則可以採用上一次執行加密操作所用的金鑰、以及相應的金鑰標籤。
所述金鑰集合可以是由管理維護人員在加密解密單元預先配置的,也可以是由金鑰管理中心產生併發送給加密解密單元的。所述金鑰集合中包括兩個或者兩個以上的金鑰條目,每個金鑰條目中包含金鑰和相應的金鑰標籤。
優選地,為了保障金鑰分發過程的安全性,金鑰管理中心和加密解密單元中分別引入量子金鑰分發引擎,這一對量子金鑰分發引擎採用預設方式,例如:連續地、或者定時地,執行量子金鑰分發協議,從而產生相同的金鑰序列,並儲存在各自的金鑰池中。
採用上述優選實施方式,本步驟可以先按照預設方式判斷是否需要更換金鑰,若需要,則可以從加密解密單元的金鑰池中獲取金鑰,並採用預設方式獲取所述金鑰的金鑰標籤(例如,採用預設演算法產生所述金鑰標籤),並將所述金鑰和金鑰標籤對應儲存、以供解密時使用;若不需要,則採用上一次執行加密操作所用的金鑰、以及相應的金鑰標籤。
步驟1103、用所述金鑰對所述加密請求攜帶的資料加密。
本步驟的具體實施方式,可以參見之前提供的資料加 密方法實施例中的步驟103的描述。
步驟1104、輸出加密後的資料以及所述金鑰標籤,以將上述資訊對應儲存於存放裝置。
本步驟的具體實施方式,可以參見之前提供的資料加密方法實施例中的步驟104的描述。
綜上所述,本實施例提供的資料加密方法,在執行資料加密操作時,採用的是基於預設方式選取的金鑰、而不是固定金鑰,從而可以靈活地採用不同的金鑰對資料進行加密,有效地保障了資料儲存的安全性;同時針對所使用的金鑰引入了金鑰標籤,以便在存放裝置上將加密後資料與金鑰標籤對應儲存,從而在採用不同金鑰對資料加密的同時,可以保證讀取資料時執行正確的解密操作,而且省卻了管理維護人員在金鑰變更時維護歷史金鑰及資料的額外操作,大大簡化金鑰更換的操作流程。
本發明雖然以較佳實施例公開如上,但其並不是用來限定本發明,任何本領域技術人員在不脫離本發明的精神和範圍內,都可以做出可能的變動和修改,因此本發明的保護範圍應當以本發明申請專利範圍所界定的範圍為準。
在一個典型的配置中,計算設備包括一個或多個處理器(CPU)、輸入/輸出介面、網路介面和記憶體。
記憶體可能包括電腦可讀媒體中的非永久性記憶體,隨機存取記憶體(RAM)和/或非易失性記憶體等形式,如唯讀記憶體(ROM)或快閃記憶體(flash RAM)。記憶體是電腦可讀媒體的示例。
1、電腦可讀媒體包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現資訊儲存。資訊可以是電腦可讀指令、資料結構、程式的模組或其他資料。電腦的儲存媒體的例子包括,但不限於相變記憶體(PRAM)、靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、其他類型的隨機存取記憶體(RAM)、唯讀記憶體(ROM)、電可擦除可程式設計唯讀記憶體(EEPROM)、快閃記憶體或其他記憶體技術、唯讀光碟唯讀記憶體(CD-ROM)、數位多功能光碟(DVD)或其他光學儲存、磁盒式磁帶,磁帶磁磁片儲存或其他磁性存放裝置或任何其他非傳輸媒體,可用於儲存可以被計算設備存取的資訊。按照本文中的界定,電腦可讀媒體不包括非暫存電腦可讀媒體(transitory media),如調變的資料信號和載波。
2、本領域技術人員應明白,本發明的實施例可提供為方法、系統或電腦程式產品。因此,本發明可採用完全硬體實施例、完全軟體實施例或結合軟體和硬體方面的實施例的形式。而且,本發明可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存媒體(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。

Claims (27)

  1. 一種資料加密方法,其特徵在於,包括:接收針對待儲存資料的加密請求;採用預設方式選取金鑰、以及用於標識該金鑰的金鑰標籤;用該金鑰對該加密請求攜帶的資料加密;輸出加密後的資料以及該金鑰標籤,以將上述資訊對應儲存於存放裝置;其中,該金鑰是從加密解密單元的金鑰池獲取的、且與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同,該金鑰池用於儲存加密解密單元與金鑰管理中心執行量子金鑰分發操作產生的金鑰序列;用於標識該金鑰的金鑰標籤與金鑰管理中心相同。
  2. 根據申請專利範圍第1項的資料加密方法,其特徵在於,該採用預設方式選取金鑰、以及用於標識該金鑰的金鑰標籤,包括:判斷是否需要更換金鑰;若是,從該金鑰池中獲取金鑰,該金鑰與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同;並獲取用於標識該金鑰的、且與金鑰管理中心相同的金鑰標籤;否則,採用上一次執行加密操作所用的金鑰、以及相應的金鑰標籤。
  3. 根據申請專利範圍第2項的資料加密方法,其 中,該判斷是否需要更換金鑰,包括:根據是否接收到金鑰更換指令,判斷是否需要更換金鑰;或者,根據預設的金鑰更換策略,判斷是否需要更換金鑰。
  4. 根據申請專利範圍第3項的資料加密方法,其中,該預設的金鑰更換策略,包括:按照預設的時間間隔更換金鑰;或者,針對每次接收到的加密請求更換金鑰。
  5. 根據申請專利範圍第2項的資料加密方法,其中,該從該金鑰池中獲取金鑰,該金鑰與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同,包括:按照預設方式從該金鑰池中獲取金鑰;向金鑰管理中心發送金鑰更換同步請求、以觸發金鑰管理中心獲取相同的金鑰。
  6. 根據申請專利範圍第5項的資料加密方法,其中,在按照預設方式從該金鑰池中獲取金鑰之後,執行下述操作:採用預設演算法計算該金鑰的散列值;該向金鑰管理中心發送金鑰更換同步請求,包括:向金鑰管理中心發送至少包含該散列值的金鑰更換同步請求。
  7. 根據申請專利範圍第2項的資料加密方法,其中,該獲取用於標識該金鑰的、且與金鑰管理中心相同的金鑰標籤,採用以下方式實現: 採用與金鑰管理中心相同的演算法產生用於標識該金鑰的金鑰標籤;或者,採用與金鑰管理中心交互確認由任一方產生的金鑰標籤的方式,獲取用於標識該金鑰的金鑰標籤。
  8. 一種資料加密裝置,其特徵在於,包括:加密請求接收單元,用於接收針對待儲存資料的加密請求;金鑰及標籤選取單元,用於採用預設方式選取金鑰、以及用於標識該金鑰的金鑰標籤;該金鑰是從加密解密單元的金鑰池獲取的、且與透過發送金鑰更換同步請求觸發金鑰管理中心獲取的金鑰相同,該金鑰池用於儲存加密解密單元與金鑰管理中心執行量子金鑰分發操作產生的金鑰序列;用於標識該金鑰的金鑰標籤與金鑰管理中心相同;資料加密單元,用於用該金鑰對該加密請求攜帶的資料加密;加密資料及標籤輸出單元,用於輸出加密後的資料以及該金鑰標籤,以將上述資訊對應儲存於存放裝置。
  9. 一種資料解密方法,其特徵在於,包括:接收針對已儲存資料的解密請求;根據該解密請求攜帶的金鑰標籤,從金鑰管理中心獲取相應的金鑰;用該金鑰對該解密請求攜帶的資料解密;將解密後的資料返回給該解密請求的請求方。
  10. 根據申請專利範圍第9項的資料解密方法,其中,該根據該解密請求攜帶的金鑰標籤,從金鑰管理中心獲取相應的金鑰,包括:向金鑰管理中心發送金鑰獲取請求,該請求中攜帶從該解密請求中提取的金鑰標籤;從金鑰管理中心返回的應答中獲取與該金鑰標籤對應的金鑰。
  11. 根據申請專利範圍第10項的資料解密方法,其中,該從金鑰管理中心返回的應答中獲取與該金鑰標籤對應的金鑰,包括:從金鑰管理中心返回的應答中提取加密後的金鑰;採用與金鑰管理中心相同的金鑰對該加密後的金鑰解密,並將解密後的金鑰作為與該金鑰標籤對應的金鑰。
  12. 根據申請專利範圍第11項的資料解密方法,其中,在向金鑰管理中心發送金鑰獲取請求之前,執行下述操作:採用對稱加密演算法,對從該解密請求中提取的金鑰標籤加密;相應的,在向金鑰管理中心發送的金鑰獲取請求中攜帶的是加密後的金鑰標籤。
  13. 根據申請專利範圍第11或12項的資料解密方法,其中,在向金鑰管理中心發送金鑰獲取請求之前,包括:從加密解密單元的金鑰池中獲取金鑰,該金鑰與透過 發送金鑰獲取同步請求觸發金鑰管理中心獲取的金鑰相同;並將獲取的金鑰作為對從應答中提取的金鑰解密所採用的金鑰、或者對從應答中提取的金鑰解密以及對金鑰標籤加密所採用的金鑰;其中,該金鑰池用於儲存加密解密單元與金鑰管理中心執行量子金鑰分發操作產生的金鑰序列。
  14. 一種資料解密裝置,其特徵在於,包括:解密請求接收單元,用於接收針對已儲存資料的解密請求;金鑰獲取單元,用於根據該解密請求攜帶的金鑰標籤,從金鑰管理中心獲取相應的金鑰;資料解密單元,用於用該金鑰對該解密請求攜帶的資料解密;解密資料返回單元,用於將解密後的資料返回給該解密請求的請求方。
  15. 一種金鑰儲存方法,其特徵在於,包括:接收加密解密單元發送的金鑰更換同步請求;從金鑰管理中心的金鑰池中獲取與加密解密單元相同的金鑰,該金鑰池用於儲存金鑰管理中心與加密解密單元執行量子金鑰分發操作產生的金鑰序列;獲取用於標識該金鑰的、且與加密解密單元相同的金鑰標籤;將該金鑰和該金鑰標籤對應儲存於金鑰資料庫中。
  16. 根據申請專利範圍第15項的金鑰儲存方法,其 中,該從金鑰管理中心的金鑰池中獲取與加密解密單元相同的金鑰,包括:按照預設的、與加密解密單元相同的方式從金鑰池中獲取金鑰。
  17. 根據申請專利範圍第16項的金鑰儲存方法,其中,該金鑰更換同步請求中攜帶請求方所選金鑰的散列值;在該按照預設的、與加密解密單元相同的方式從金鑰池中獲取金鑰之後,還包括:採用預設演算法計算該金鑰的散列值;比較計算得到的散列值與該金鑰更換同步請求中攜帶的散列值是否一致,若一致,則視為該金鑰與加密解密單元獲取的金鑰相同。
  18. 根據申請專利範圍第15項的金鑰儲存方法,其中,該獲取用於標識該金鑰的、且與加密解密單元相同的金鑰標籤,包括:採用與加密解密單元相同的演算法產生用於標識該金鑰的金鑰標籤;或者,採用與加密解密單元交互確認由任一方產生的金鑰標籤的方式,獲取用於標識該金鑰的金鑰標籤。
  19. 一種金鑰儲存裝置,其特徵在於,包括:金鑰更換同步請求接收單元,用於接收加密解密單元發送的金鑰更換同步請求;金鑰池金鑰獲取單元,用於從金鑰管理中心的金鑰池 中獲取與加密解密單元相同的金鑰,該金鑰池用於儲存金鑰管理中心與加密解密單元執行量子金鑰分發操作產生的金鑰序列;金鑰標籤獲取單元,用於獲取用於標識該金鑰的、且與加密解密單元相同的金鑰標籤;金鑰及標籤儲存單元,用於將該金鑰和該金鑰標籤對應儲存於金鑰資料庫中。
  20. 一種金鑰提供方法,其特徵在於,包括:接收加密解密單元發送的金鑰獲取請求;根據該金鑰獲取請求攜帶的金鑰標籤查詢金鑰資料庫,獲取與該金鑰標籤對應的金鑰;將獲取的金鑰返回給加密解密單元。
  21. 根據申請專利範圍第20項的金鑰提供方法,其中,在該將獲取的金鑰返回給加密解密單元之前,執行下述操作:採用對稱加密演算法,對該獲取的金鑰加密;相應的,返回給加密解密單元的金鑰為:加密後的金鑰。
  22. 根據申請專利範圍第21項的金鑰提供方法,其中,該根據該金鑰獲取請求攜帶的金鑰標籤查詢金鑰資料庫,獲取與該金鑰標籤對應的金鑰,包括:從該金鑰獲取請求中提取加密後的金鑰標籤;採用與加密解密單元相同的金鑰對該加密後的金鑰標籤解密; 根據解密後的金鑰標籤查詢金鑰資料庫,獲取與該金鑰標籤對應的金鑰。
  23. 根據申請專利範圍第21或22項的金鑰提供方法,其中,在接收加密解密單元發送的金鑰獲取請求之前,包括:根據接收到的金鑰獲取同步請求,從金鑰管理中心的金鑰池中獲取與加密解密單元相同的金鑰;並將獲取的金鑰作為對從金鑰資料庫獲取的金鑰加密所採用的金鑰、或者對從金鑰資料庫獲取的金鑰加密以及對金鑰標籤解密所採用的金鑰;其中,該金鑰池用於儲存金鑰管理中心與加密解密單元執行量子金鑰分發操作產生的金鑰序列。
  24. 一種金鑰提供裝置,其特徵在於,包括:金鑰獲取請求接收單元,用於接收加密解密單元發送的金鑰獲取請求;金鑰查詢單元,用於根據該金鑰獲取請求攜帶的金鑰標籤查詢金鑰資料庫,獲取與該金鑰標籤對應的金鑰;金鑰返回單元,用於將獲取的金鑰返回給加密解密單元。
  25. 一種資料加密系統,其特徵在於,包括:根據申請專利範圍第8項的資料加密裝置.根據申請專利範圍第14項的資料解密裝置.根據申請專利範圍第19項的金鑰儲存裝置.根據申請專利範圍第24項的金鑰提供裝置、以及用於執行量子金鑰分發操作的一對量子金鑰分發引擎 裝置。
  26. 一種資料加密方法,其特徵在於,包括:接收針對待儲存資料的加密請求;採用預設方式選取金鑰、以及用於標識該金鑰的金鑰標籤;用該金鑰對該加密請求攜帶的資料加密;輸出加密後的資料以及該金鑰標籤,以將上述資訊對應儲存於存放裝置。
  27. 根據申請專利範圍第26項的資料加密方法,其特徵在於,該金鑰是從加密解密單元的金鑰池獲取的,該金鑰池用於儲存加密解密單元與金鑰管理中心執行量子金鑰分發操作產生的金鑰序列。
TW106107244A 2016-05-06 2017-03-06 資料加密方法、資料解密方法、裝置及系統 TWI750157B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201610298847.1 2016-05-06
CN201610298847.1A CN107347058B (zh) 2016-05-06 2016-05-06 数据加密方法、数据解密方法、装置及系统

Publications (2)

Publication Number Publication Date
TW201740305A true TW201740305A (zh) 2017-11-16
TWI750157B TWI750157B (zh) 2021-12-21

Family

ID=60242653

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106107244A TWI750157B (zh) 2016-05-06 2017-03-06 資料加密方法、資料解密方法、裝置及系統

Country Status (7)

Country Link
US (2) US10693635B2 (zh)
EP (1) EP3453135B1 (zh)
JP (1) JP7073268B2 (zh)
KR (1) KR102432299B1 (zh)
CN (1) CN107347058B (zh)
SG (1) SG11201808947XA (zh)
TW (1) TWI750157B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108259471A (zh) * 2017-12-27 2018-07-06 新华三技术有限公司 专有信息的加密方法、解密方法、装置及处理设备
TWI738333B (zh) * 2019-12-11 2021-09-01 大陸商支付寶(杭州)信息技術有限公司 保護隱私安全的多方聯合進行特徵評估的方法及裝置
TWI787974B (zh) * 2020-11-27 2022-12-21 中國銀聯股份有限公司 動態金鑰生成方法和系統

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018033079A (ja) * 2016-08-26 2018-03-01 株式会社東芝 通信装置、通信システム及び通信方法
CN109561047B (zh) * 2017-09-26 2021-04-13 安徽问天量子科技股份有限公司 基于密钥异地存储的加密数据存储系统及方法
CN107896148A (zh) * 2017-12-25 2018-04-10 北京天融信网络安全技术有限公司 一种加解密数据的方法及系统
CN108768636B (zh) * 2018-05-31 2021-02-19 上海万向区块链股份公司 一种利用多方协同恢复私钥的方法
CN109560920A (zh) * 2018-07-02 2019-04-02 安徽安申信息科技有限责任公司 一种基于量子加密和解密的存储系统
CN108965279A (zh) * 2018-07-04 2018-12-07 北京车和家信息技术有限公司 数据处理方法、装置、终端设备及计算机可读存储介质
CN108965302B (zh) * 2018-07-24 2021-10-15 苏州科达科技股份有限公司 媒体数据传输系统、方法、装置及存储介质
CN110768787B (zh) * 2018-07-27 2022-12-13 中国移动通信集团吉林有限公司 一种数据加密、解密方法及装置
CN108833100B (zh) * 2018-07-27 2021-07-20 江苏亨通问天量子信息研究院有限公司 信息验证方法、发送端系统、接收端系统及验证端系统
US11153085B2 (en) * 2018-10-30 2021-10-19 EMC IP Holding Company LLC Secure distributed storage of encryption keys
CN109218451A (zh) * 2018-11-14 2019-01-15 郑州云海信息技术有限公司 一种分布式集群系统的数据传输方法、装置、设备及介质
CN109547198B (zh) * 2018-11-16 2020-03-10 南京钟山虚拟现实技术研究院有限公司 网络传输视频文件的系统
CN111224772B (zh) * 2018-11-23 2022-12-02 中兴通讯股份有限公司 数据处理方法、装置及计算机可读存储介质
US11178117B2 (en) * 2018-12-18 2021-11-16 International Business Machines Corporation Secure multiparty detection of sensitive data using private set intersection (PSI)
CN109905229B (zh) * 2019-01-17 2023-05-05 如般量子科技有限公司 基于群组非对称密钥池的抗量子计算Elgamal加解密方法和系统
EP3918749A4 (en) 2019-01-28 2022-10-26 Knectiq Inc. SYSTEM AND METHOD FOR SECURE TRANSFER OF ELECTRONIC DATA
CN110138750A (zh) * 2019-04-23 2019-08-16 上海数据交易中心有限公司 配置文件的加密方法、装置及系统、存储介质、终端
KR102285885B1 (ko) 2019-05-22 2021-08-05 주식회사 디지트로그 무선 데이터 통신용 대칭형 양자 암호화 키 기반 암호화 장치
US11240024B2 (en) * 2019-07-29 2022-02-01 EMC IP Holding Company LLC Cryptographic key management using key proxies and generational indexes
CN110417552A (zh) * 2019-08-06 2019-11-05 中国工商银行股份有限公司 基于量子缠绕的安全通讯方法及系统
GB2589312B (en) * 2019-11-08 2022-03-30 Arqit Ltd Quantum-safe networking
KR102609577B1 (ko) 2019-11-11 2023-12-05 주식회사 케이티 양자 암호키 관리 장치, 방법 및 컴퓨터 프로그램
US11223470B1 (en) 2020-03-06 2022-01-11 Wells Fargo Bank, N.A. Post-quantum cryptography side chain
US11995194B1 (en) 2020-03-06 2024-05-28 Wells Fargo Bank, N.A. Self-contained encrypted data and decryption application for third party data storage and data dissemination
CN111490874B (zh) * 2020-04-16 2022-09-06 广东纬德信息科技股份有限公司 一种配网安全防护方法、系统、装置及存储介质
CN113824551B (zh) * 2020-06-19 2024-04-09 中创为(成都)量子通信技术有限公司 一种应用于安全存储系统的量子密钥分发方法
GB2599066A (en) * 2020-07-22 2022-03-30 Arqit Ltd Quantum-safe payment system
KR102666218B1 (ko) 2020-09-02 2024-05-14 주식회사 케이티 양자 암호키 관리 장치, 방법 및 시스템
KR102609578B1 (ko) 2020-10-14 2023-12-05 주식회사 케이티 양자 암호키 관리 장치, 방법 및 컴퓨터 프로그램
KR20220049208A (ko) 2020-10-14 2022-04-21 주식회사 케이티 양자 암호키 분배 방법 및 장치
CN112464235A (zh) * 2020-11-26 2021-03-09 西京学院 一种计算机网络安全控制系统及控制方法
CN112564901B (zh) * 2020-12-08 2023-08-25 三维通信股份有限公司 密钥的生成方法和系统、存储介质及电子装置
CN112398651B (zh) * 2021-01-12 2023-03-14 南京易科腾信息技术有限公司 一种量子保密通信方法、装置、电子设备以及存储介质
US11418331B1 (en) * 2021-02-25 2022-08-16 EMC IP Holding Company LLC Importing cryptographic keys into key vaults
US11928365B2 (en) * 2021-03-09 2024-03-12 EMC IP Holding Company LLC Logical storage device access using datastore-level keys in an encrypted storage environment
US20230027422A1 (en) * 2021-07-24 2023-01-26 Zeroproof, Llc Systems, apparatus, and methods for generation, packaging, and secure distribution of symmetric quantum cypher keys
JP2023042903A (ja) * 2021-09-15 2023-03-28 株式会社東芝 通信装置、通信方法および通信システム
CN113757909B (zh) * 2021-11-08 2022-02-08 国网浙江省电力有限公司绍兴供电公司 基于量子加密技术的空调集群控制方法
CN114117494B (zh) * 2021-11-30 2024-06-14 国网重庆市电力公司电力科学研究院 一种加密型数据标注系统及其使用方法
CN114401132A (zh) * 2022-01-13 2022-04-26 平安普惠企业管理有限公司 数据加密方法、装置、设备及存储介质
CN114584368A (zh) * 2022-03-02 2022-06-03 上海图灵智算量子科技有限公司 基于量子真随机数的智能家居保密通信系统及控制方法
CN114900338B (zh) * 2022-04-20 2023-07-21 岚图汽车科技有限公司 一种加密解密方法、装置、设备和介质
CN115694815B (zh) * 2023-01-03 2023-03-28 国网天津市电力公司电力科学研究院 一种配电终端的通信加密方法和装置
CN116800423B (zh) * 2023-08-28 2023-11-03 长沙盈芯半导体科技有限公司 基于rfid的数据采集及双重加密解密数据保护方法和装置

Family Cites Families (182)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08505019A (ja) 1992-12-24 1996-05-28 ブリテイッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー 量子暗号を使用したキー分配用システムおよび方法
US5307410A (en) 1993-05-25 1994-04-26 International Business Machines Corporation Interferometric quantum cryptographic key distribution system
US6151676A (en) 1997-12-24 2000-11-21 Philips Electronics North America Corporation Administration and utilization of secret fresh random numbers in a networked environment
US6263437B1 (en) 1998-02-19 2001-07-17 Openware Systems Inc Method and apparatus for conducting crypto-ignition processes between thin client devices and server devices over data networks
US6505247B1 (en) 1998-08-21 2003-01-07 National Instruments Corporation Industrial automation system and method for efficiently transferring time-sensitive and quality-sensitive data
JP3646561B2 (ja) 1999-05-12 2005-05-11 日本電気株式会社 量子暗号を用いた鍵配布方法
JP2001268535A (ja) * 2000-03-15 2001-09-28 Nec Corp インターネット放送課金システム
US8677505B2 (en) 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
EP1484690A1 (en) 2002-02-14 2004-12-08 Hironori Wakayama Authenticating method
JP4153375B2 (ja) 2003-06-19 2008-09-24 日本電信電話株式会社 共通鍵同期方法および共通鍵同期装置
US8850179B2 (en) 2003-09-15 2014-09-30 Telecommunication Systems, Inc. Encapsulation of secure encrypted data in a deployable, secure communication system allowing benign, secure commercial transport
US7266847B2 (en) * 2003-09-25 2007-09-04 Voltage Security, Inc. Secure message system with remote decryption service
US7299354B2 (en) 2003-09-30 2007-11-20 Intel Corporation Method to authenticate clients and hosts to provide secure network boot
US20090193184A1 (en) 2003-12-02 2009-07-30 Super Talent Electronics Inc. Hybrid 2-Level Mapping Tables for Hybrid Block- and Page-Mode Flash-Memory System
WO2005060139A2 (en) 2003-12-17 2005-06-30 General Dynamics Advanced Information Systems, Inc. Secure quantum key distribution using entangled photons
US7644278B2 (en) 2003-12-31 2010-01-05 International Business Machines Corporation Method for securely creating an endorsement certificate in an insecure environment
US7181011B2 (en) 2004-05-24 2007-02-20 Magiq Technologies, Inc. Key bank systems and methods for QKD
US7484099B2 (en) 2004-07-29 2009-01-27 International Business Machines Corporation Method, apparatus, and product for asserting physical presence with a trusted platform module in a hypervisor environment
US20060056630A1 (en) 2004-09-13 2006-03-16 Zimmer Vincent J Method to support secure network booting using quantum cryptography and quantum key distribution
US7489781B2 (en) 2004-10-29 2009-02-10 Research In Motion Limited Secure peer-to-peer messaging invitation architecture
US7386655B2 (en) 2004-12-16 2008-06-10 Sandisk Corporation Non-volatile memory and method with improved indexing for scratch pad and update blocks
US9191198B2 (en) 2005-06-16 2015-11-17 Hewlett-Packard Development Company, L.P. Method and device using one-time pad data
JP4755689B2 (ja) 2005-07-27 2011-08-24 インターナショナル・ビジネス・マシーンズ・コーポレーション 正規受信者への安全なファイル配信のためのシステムおよび方法
US7885412B2 (en) 2005-09-29 2011-02-08 International Business Machines Corporation Pre-generation of generic session keys for use in communicating within communications environments
US7694134B2 (en) * 2005-11-11 2010-04-06 Computer Associates Think, Inc. System and method for encrypting data without regard to application
ES2327428T3 (es) 2005-12-23 2009-10-29 Alcatel Lucent Control de admision de recursos para peticiones de reserva activadas por cliente y activadas por red.
US8082443B2 (en) 2006-01-09 2011-12-20 Bbnt Solutions Llc. Pedigrees for quantum cryptography
EP2016701A4 (en) 2006-04-25 2012-04-25 Stephen Laurence Boren DYNAMIC DISTRIBUTED KEY SYSTEM AND METHOD FOR MANAGING IDENTITY, AUTHENTICATION OF SERVERS, DATA SECURITY AND PREVENTING ATTACKS OF MIDDLE MAN
US20130227286A1 (en) 2006-04-25 2013-08-29 Andre Jacques Brisson Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
US9002018B2 (en) 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
JP4923842B2 (ja) * 2006-08-14 2012-04-25 富士通株式会社 データ復号装置およびデータ暗号化装置
US7783882B2 (en) * 2006-09-07 2010-08-24 International Business Machines Corporation Recovering remnant encrypted data on a removable storage media
US20080063206A1 (en) * 2006-09-07 2008-03-13 Karp James M Method for altering the access characteristics of encrypted data
US8418235B2 (en) 2006-11-15 2013-04-09 Research In Motion Limited Client credential based secure session authentication method and apparatus
US8213602B2 (en) 2006-11-27 2012-07-03 Broadcom Corporation Method and system for encrypting and decrypting a transport stream using multiple algorithms
US20080165973A1 (en) 2007-01-09 2008-07-10 Miranda Gavillan Jose G Retrieval and Display of Encryption Labels From an Encryption Key Manager
WO2008147577A2 (en) 2007-01-22 2008-12-04 Spyrus, Inc. Portable data encryption device with configurable security functionality and method for file encryption
US20080219449A1 (en) 2007-03-09 2008-09-11 Ball Matthew V Cryptographic key management for stored data
WO2008128212A1 (en) 2007-04-12 2008-10-23 Ncipher Corporation Ltd. Method and system for identifying and managing encryption keys
US8402278B2 (en) * 2007-04-13 2013-03-19 Ca, Inc. Method and system for protecting data
GB2450869B (en) 2007-07-09 2012-04-25 Hewlett Packard Development Co Establishing a trust relationship between computing entities
US8111828B2 (en) * 2007-07-31 2012-02-07 Hewlett-Packard Development Company, L.P. Management of cryptographic keys for securing stored data
US20090125444A1 (en) * 2007-08-02 2009-05-14 William Cochran Graphical user interface and methods of ensuring legitimate pay-per-click advertising
CN101106455B (zh) 2007-08-20 2010-10-13 北京飞天诚信科技有限公司 身份认证的方法和智能密钥装置
US9323901B1 (en) * 2007-09-28 2016-04-26 Emc Corporation Data classification for digital rights management
US8917247B2 (en) 2007-11-20 2014-12-23 Samsung Electronics Co., Ltd. External device identification method and apparatus in a device including a touch spot, and computer-readable recording mediums having recorded thereon programs for executing the external device identification method in a device including a touch spot
US8824684B2 (en) 2007-12-08 2014-09-02 International Business Machines Corporation Dynamic, selective obfuscation of information for multi-party transmission
GB0801395D0 (en) 2008-01-25 2008-03-05 Qinetiq Ltd Network having quantum key distribution
US20090204812A1 (en) 2008-02-13 2009-08-13 Baker Todd M Media processing
US20090262684A1 (en) 2008-04-18 2009-10-22 Amit Khetawat Method and Apparatus for Home Node B Registration using HNBAP
JP2009265159A (ja) 2008-04-22 2009-11-12 Nec Corp 秘匿通信ネットワークにおける共有乱数管理方法および管理システム
US8838990B2 (en) 2008-04-25 2014-09-16 University Of Colorado Board Of Regents Bio-cryptography: secure cryptographic protocols with bipartite biotokens
GB0809044D0 (en) 2008-05-19 2008-06-25 Qinetiq Ltd Multiplexed QKD
WO2010022274A1 (en) 2008-08-20 2010-02-25 Esther Finale LLC Data packet generator for generating passcodes
GB0819665D0 (en) 2008-10-27 2008-12-03 Qinetiq Ltd Quantum key dsitribution
KR101540798B1 (ko) 2008-11-21 2015-07-31 삼성전자 주식회사 가상화 환경에서 보안 정보를 제공하기 위한 장치 및 방법
US9438574B2 (en) 2008-12-30 2016-09-06 Avago Technologies General Ip (Singapore) Pte. Ltd. Client/server authentication over Fibre channel
KR101803244B1 (ko) 2009-02-04 2017-11-29 데이터 시큐어리티 시스템즈 솔루션스 피티이 엘티디 2-요소 인증을 위해 정적 암호를 변경하는 시스템
US8194858B2 (en) * 2009-02-19 2012-06-05 Physical Optics Corporation Chaotic cipher system and method for secure communication
US8077047B2 (en) 2009-04-16 2011-12-13 Ut-Battelle, Llc Tampering detection system using quantum-mechanical systems
US8266433B1 (en) * 2009-04-30 2012-09-11 Netapp, Inc. Method and system for automatically migrating encryption keys between key managers in a network storage system
GB0917060D0 (en) 2009-09-29 2009-11-11 Qinetiq Ltd Methods and apparatus for use in quantum key distribution
US8700893B2 (en) 2009-10-28 2014-04-15 Microsoft Corporation Key certification in one round trip
US8789166B2 (en) 2009-10-30 2014-07-22 Feitian Technologies Co., Ltd. Verification method and system thereof
KR101314210B1 (ko) 2009-11-24 2013-10-02 한국전자통신연구원 사용자 인증 양자 키 분배 방법
WO2011068784A1 (en) 2009-12-01 2011-06-09 Azuki Systems, Inc. Method and system for secure and reliable video streaming with rate adaptation
KR101351012B1 (ko) 2009-12-18 2014-01-10 한국전자통신연구원 다자간 양자 통신에서의 사용자 인증 방법 및 장치
US8418259B2 (en) 2010-01-05 2013-04-09 Microsoft Corporation TPM-based license activation and validation
GB201000288D0 (en) 2010-01-11 2010-02-24 Scentrics Information Security System and method of enforcing a computer policy
NL2005862C2 (en) 2010-01-22 2011-12-15 Ebo Paul Dieben Communication system.
US8719923B1 (en) * 2010-02-05 2014-05-06 Netapp, Inc. Method and system for managing security operations of a storage server using an authenticated storage module
US8850554B2 (en) 2010-02-17 2014-09-30 Nokia Corporation Method and apparatus for providing an authentication context-based session
US8984588B2 (en) 2010-02-19 2015-03-17 Nokia Corporation Method and apparatus for identity federation gateway
US8892820B2 (en) 2010-03-19 2014-11-18 Netapp, Inc. Method and system for local caching of remote storage data
WO2011141040A1 (en) 2010-05-14 2011-11-17 Siemens Aktiengesellschaft Method of group key generation and management for generic object oriented substantiation events model
WO2011151734A2 (en) 2010-06-03 2011-12-08 Morrigan Partners Limited Secure communication systems, methods, and devices
US9002009B2 (en) 2010-06-15 2015-04-07 Los Alamos National Security, Llc Quantum key distribution using card, base station and trusted authority
US20120032781A1 (en) 2010-08-09 2012-02-09 Electronics And Telecommunications Research Institute Remote personal authentication system and method using biometrics
EP2418584A1 (en) 2010-08-13 2012-02-15 Thomson Licensing Method and apparatus for storing at least two data streams into an array of memories, or for reading at least two data streams from an array of memories
US8917631B2 (en) 2010-08-23 2014-12-23 Ortsbo Inc. System and method for sharing information between two or more devices
JP5362117B2 (ja) * 2010-08-24 2013-12-11 三菱電機株式会社 暗号化装置、暗号化システム、暗号化方法及び暗号化プログラム
US8505083B2 (en) 2010-09-30 2013-08-06 Microsoft Corporation Remote resources single sign on
JP5682212B2 (ja) * 2010-10-06 2015-03-11 ソニー株式会社 量子暗号通信装置と量子暗号通信方法および量子暗号通信システム
GB201020424D0 (en) 2010-12-02 2011-01-19 Qinetiq Ltd Quantum key distribution
US8839134B2 (en) 2010-12-24 2014-09-16 Intel Corporation Projection interface techniques
CN103608829A (zh) 2011-01-18 2014-02-26 舍德Ip有限责任公司 用于基于编码完整性进行计算机化协商的系统和方法
US9531758B2 (en) 2011-03-18 2016-12-27 Zscaler, Inc. Dynamic user identification and policy enforcement in cloud-based secure web gateways
EP2697931B1 (en) 2011-04-15 2017-12-13 Quintessencelabs Pty Ltd Qkd key management system
CN102281136B (zh) * 2011-07-28 2015-04-29 中国电力科学研究院 用于电动汽车智能充电网络安全通信的量子密钥分配系统
CN103733650A (zh) 2011-07-29 2014-04-16 3M创新有限公司 允许自动关联和连接的无线呈现系统
IL221286B (en) 2011-08-05 2018-01-31 Selex Sistemi Integrati Spa Cryptographic key distribution system
WO2013026086A1 (en) 2011-08-19 2013-02-28 Quintessencelabs Pty Ltd Virtual zeroisation system and method
US9509506B2 (en) 2011-09-30 2016-11-29 Los Alamos National Security, Llc Quantum key management
US8751800B1 (en) * 2011-12-12 2014-06-10 Google Inc. DRM provider interoperability
CN103188665B (zh) * 2011-12-31 2016-01-27 中国移动通信集团北京有限公司 提高接收广告的手机的安全性的系统、方法及装置
US9008308B2 (en) 2012-02-08 2015-04-14 Vixs Systems, Inc Container agnostic decryption device and methods for use therewith
US8302152B1 (en) 2012-02-17 2012-10-30 Google Inc. Location-based security system for portable electronic device
WO2013124541A1 (en) 2012-02-24 2013-08-29 Nokia Corporation Method and apparatus for dynamic server|client controlled connectivity logic
US9100825B2 (en) 2012-02-28 2015-08-04 Verizon Patent And Licensing Inc. Method and system for multi-factor biometric authentication based on different device capture modalities
JP2013205604A (ja) * 2012-03-28 2013-10-07 Toshiba Corp 通信装置および鍵管理方法
US9130742B2 (en) 2012-03-30 2015-09-08 California Institute Of Technology Key agreement in wireless networks with active adversaries
US20130262873A1 (en) 2012-03-30 2013-10-03 Cgi Federal Inc. Method and system for authenticating remote users
US9183136B2 (en) 2012-05-16 2015-11-10 Hitachi, Ltd. Storage control apparatus and storage control method
US9307564B2 (en) 2012-05-18 2016-04-05 Qualcomm Incorporated Automatic device-to-device connection control by environmental information
KR20150031245A (ko) * 2012-05-23 2015-03-23 유니버시티 오브 리드스 보안 통신
US8693691B2 (en) 2012-05-25 2014-04-08 The Johns Hopkins University Embedded authentication protocol for quantum key distribution systems
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US10171454B2 (en) 2012-08-23 2019-01-01 Alejandro V. Natividad Method for producing dynamic data structures for authentication and/or password identification
CA2883313C (en) 2012-08-30 2020-06-16 Los Alamos National Security, Llc Multi-factor authentication using quantum communication
CN102801530B (zh) 2012-09-04 2015-08-26 飞天诚信科技股份有限公司 一种基于声音传输的认证方法
US8610730B1 (en) 2012-09-19 2013-12-17 Google Inc. Systems and methods for transferring images and information from a mobile computing device to a computer monitor for display
US20140104137A1 (en) 2012-10-16 2014-04-17 Google Inc. Systems and methods for indirectly associating logical and physical display content
US9294267B2 (en) 2012-11-16 2016-03-22 Deepak Kamath Method, system and program product for secure storage of content
CN103034603B (zh) 2012-12-07 2014-06-18 天津瑞发科半导体技术有限公司 多通道闪存卡控制装置及其控制方法
US9129100B2 (en) 2012-12-13 2015-09-08 Huawei Technologies Co., Ltd. Verification code generation and verification method and apparatus
US8990550B1 (en) 2012-12-27 2015-03-24 Emc Corporation Methods and apparatus for securing communications between a node and a server based on hardware metadata gathered by an in-memory process
US8869303B2 (en) 2013-02-16 2014-10-21 Mikhail Fleysher Method and system for generation of dynamic password
US9374376B2 (en) 2013-02-27 2016-06-21 The Boeing Company Anti-hacking system for quantum communication
CN104036780B (zh) 2013-03-05 2017-05-24 阿里巴巴集团控股有限公司 一种人机识别方法及系统
US9747456B2 (en) 2013-03-15 2017-08-29 Microsoft Technology Licensing, Llc Secure query processing over encrypted data
WO2014141074A1 (en) 2013-03-15 2014-09-18 Ologn Technologies Ag Systems, methods and apparatuses for remote attestation
CN104903909B (zh) 2013-03-15 2018-07-31 甲骨文国际公司 在应用之间计算机内受保护的通信的方法及设备
CN105308616B (zh) 2013-04-18 2018-07-17 费思康有限公司 文件安全方法及其设备
WO2014174657A1 (ja) 2013-04-26 2014-10-30 日立マクセル株式会社 投写型映像表示装置
US9282093B2 (en) 2013-04-30 2016-03-08 Microsoft Technology Licensing, Llc Synchronizing credential hashes between directory services
CN104243143B (zh) * 2013-06-08 2017-03-29 科大国盾量子技术股份有限公司 一种基于量子密钥分配网络的移动保密通信方法
US10560265B2 (en) 2013-06-08 2020-02-11 Quantumctek Co., Ltd. Mobile secret communications method based on quantum key distribution network
CN103491531B (zh) * 2013-08-23 2016-07-06 中国科学技术大学 在电力系统WiMAX无线通信网中使用量子密钥提高电力信息传输安全性的方法
JP6098439B2 (ja) 2013-08-28 2017-03-22 日亜化学工業株式会社 波長変換部材、発光装置、及び発光装置の製造方法
KR102074329B1 (ko) 2013-09-06 2020-02-06 삼성전자주식회사 데이터 저장 장치 및 그것의 데이터 처리 방법
EP3706364B1 (en) 2013-09-23 2021-04-21 Samsung Electronics Co., Ltd. Security management method and security management device in home network system
US20150095987A1 (en) 2013-10-01 2015-04-02 Certify Global LLC Systems and methods of verifying an authentication using dynamic scoring
DK3063919T3 (da) * 2013-10-28 2017-11-06 Sepior Aps System og fremgangsmåde til håndtering af fortrolige data
KR101479117B1 (ko) * 2013-10-30 2015-01-07 에스케이 텔레콤주식회사 양자 키 분배 프로토콜을 구현함에 있어 더블 버퍼링 방식을 이용한 원시 키 생성 방법 및 장치
KR20150054505A (ko) 2013-11-12 2015-05-20 건국대학교 산학협력단 홈 가전기기들에 대한 관리 서비스를 제공하는 클라우드 기반의 데이터 서버 및 홈 가전기기들에 대한 관리 서비스 제공 방법
US9684780B2 (en) 2013-11-25 2017-06-20 Yingjie Liu Dynamic interactive identity authentication method and system
US9448924B2 (en) 2014-01-08 2016-09-20 Netapp, Inc. Flash optimized, log-structured layer of a file system
US20150207926A1 (en) 2014-01-23 2015-07-23 Microsoft Corporation Entity-linked reminder notifications
CN106170944B (zh) 2014-01-31 2019-11-26 快普特奥姆特里有限公司 确保系统通信安全的方法、安全通信设备、公钥服务器
JP6359285B2 (ja) 2014-02-17 2018-07-18 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
US9509502B2 (en) 2014-03-13 2016-11-29 Intel Corporation Symmetric keying and chain of trust
JP6203093B2 (ja) 2014-03-19 2017-09-27 株式会社東芝 通信システム、通信装置、通信方法およびプログラム
JP6223884B2 (ja) 2014-03-19 2017-11-01 株式会社東芝 通信装置、通信方法およびプログラム
US20150288517A1 (en) 2014-04-04 2015-10-08 Ut-Battelle, Llc System and method for secured communication
US9331875B2 (en) 2014-04-04 2016-05-03 Nxgen Partners Ip, Llc System and method for communication using orbital angular momentum with multiple layer overlay modulation
US9830467B1 (en) * 2014-04-14 2017-11-28 Michael Harold System, method and apparatus for securely storing data on public networks
US9083739B1 (en) 2014-05-29 2015-07-14 Shape Security, Inc. Client/server authentication using dynamic credentials
US9531692B2 (en) 2014-09-19 2016-12-27 Bank Of America Corporation Method of securing mobile applications using distributed keys
CN105553648B (zh) 2014-10-30 2019-10-29 阿里巴巴集团控股有限公司 量子密钥分发、隐私放大及数据传输方法、装置及系统
KR101776137B1 (ko) 2014-10-30 2017-09-19 에스케이 텔레콤주식회사 양자 키 분배 시스템에서 복수의 장치에 키를 공급하는 장치 및 방법
CN105827397B (zh) 2015-01-08 2019-10-18 阿里巴巴集团控股有限公司 基于可信中继的量子密钥分发系统、方法及装置
CN104657099B (zh) 2015-01-15 2019-04-12 小米科技有限责任公司 屏幕投射方法、装置及系统
CN105871538B (zh) 2015-01-22 2019-04-12 阿里巴巴集团控股有限公司 量子密钥分发系统、量子密钥分发方法及装置
CN105991285B (zh) 2015-02-16 2019-06-11 阿里巴巴集团控股有限公司 用于量子密钥分发过程的身份认证方法、装置及系统
WO2016145037A1 (en) 2015-03-09 2016-09-15 University Of Houston System Methods and apparatuses for authentication in quantum key distribution and/or quantum data communication
US20160283124A1 (en) 2015-03-25 2016-09-29 Kabushiki Kaisha Toshiba Multi-streamed solid state drive
US9760281B2 (en) 2015-03-27 2017-09-12 Intel Corporation Sequential write stream management
CN104780040A (zh) * 2015-04-06 2015-07-15 安徽问天量子科技股份有限公司 基于量子密码的手持设备加密方法及系统
US9667600B2 (en) 2015-04-06 2017-05-30 At&T Intellectual Property I, L.P. Decentralized and distributed secure home subscriber server device
CN105337726A (zh) * 2015-04-06 2016-02-17 安徽问天量子科技股份有限公司 基于量子密码的端对端手持设备加密方法及系统
US9710667B2 (en) * 2015-04-09 2017-07-18 American Express Travel Related Services Company, Inc. System and method for online key rotation
US10013177B2 (en) 2015-04-20 2018-07-03 Hewlett Packard Enterprise Development Lp Low write amplification in solid state drive
US9696935B2 (en) 2015-04-24 2017-07-04 Kabushiki Kaisha Toshiba Storage device that secures a block for a stream or namespace and system having the storage device
CN106209739B (zh) * 2015-05-05 2019-06-04 科大国盾量子技术股份有限公司 云存储方法及系统
US9578008B2 (en) 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US9804786B2 (en) 2015-06-04 2017-10-31 Seagate Technology Llc Sector translation layer for hard disk drives
CN106301769B (zh) 2015-06-08 2020-04-10 阿里巴巴集团控股有限公司 量子密钥输出方法、存储一致性验证方法、装置及系统
US9801219B2 (en) 2015-06-15 2017-10-24 Microsoft Technology Licensing, Llc Pairing of nearby devices using a synchronized cue signal
US10348704B2 (en) 2015-07-30 2019-07-09 Helder Silvestre Paiva Figueira Method for a dynamic perpetual encryption cryptosystem
US11398915B2 (en) 2016-08-26 2022-07-26 Samsung Electronics Co., Ltd. Apparatus and method for two-way authentication
US9923717B2 (en) 2015-10-07 2018-03-20 International Business Machines Corporation Refresh of shared cryptographic keys
CN105553654B (zh) * 2015-12-31 2019-09-03 广东信鉴信息科技有限公司 密钥信息处理方法和装置、密钥信息管理系统
CN107086908B (zh) 2016-02-15 2021-07-06 阿里巴巴集团控股有限公司 一种量子密钥分发方法及装置
CN107086907B (zh) 2016-02-15 2020-07-07 阿里巴巴集团控股有限公司 用于量子密钥分发过程的密钥同步、封装传递方法及装置
US10198215B2 (en) 2016-06-22 2019-02-05 Ngd Systems, Inc. System and method for multi-stream data write
US10321182B2 (en) 2016-09-13 2019-06-11 Dvdo, Inc. System and method for real-time transfer and presentation multiple internet of things (IoT) device information on an electronic device based on casting and slinging gesture command
CN106375840A (zh) 2016-09-30 2017-02-01 努比亚技术有限公司 一种屏幕投影设备、移动终端及屏幕投影连接方法
US20180262907A1 (en) 2017-03-10 2018-09-13 International Business Machines Corporation Location based authentication verification for internet of things
US10432395B2 (en) 2017-10-04 2019-10-01 The Boeing Company Recipient-driven data encryption
JP7048289B2 (ja) 2017-12-08 2022-04-05 キオクシア株式会社 情報処理装置および方法
CN110647288A (zh) 2018-06-26 2020-01-03 上海宝存信息科技有限公司 数据储存装置及其快取分流方法
KR20200076946A (ko) 2018-12-20 2020-06-30 삼성전자주식회사 스토리지 장치의 데이터 기입 방법 및 이를 수행하는 스토리지 장치

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108259471A (zh) * 2017-12-27 2018-07-06 新华三技术有限公司 专有信息的加密方法、解密方法、装置及处理设备
TWI738333B (zh) * 2019-12-11 2021-09-01 大陸商支付寶(杭州)信息技術有限公司 保護隱私安全的多方聯合進行特徵評估的方法及裝置
TWI787974B (zh) * 2020-11-27 2022-12-21 中國銀聯股份有限公司 動態金鑰生成方法和系統

Also Published As

Publication number Publication date
EP3453135B1 (en) 2021-05-19
US10693635B2 (en) 2020-06-23
TWI750157B (zh) 2021-12-21
US20170324550A1 (en) 2017-11-09
JP2019516266A (ja) 2019-06-13
KR102432299B1 (ko) 2022-08-11
EP3453135A2 (en) 2019-03-13
KR20190004263A (ko) 2019-01-11
JP7073268B2 (ja) 2022-05-23
SG11201808947XA (en) 2018-11-29
CN107347058A (zh) 2017-11-14
CN107347058B (zh) 2021-07-23
US20200280437A1 (en) 2020-09-03
EP3453135A4 (en) 2019-10-23
US11658814B2 (en) 2023-05-23

Similar Documents

Publication Publication Date Title
TWI750157B (zh) 資料加密方法、資料解密方法、裝置及系統
CA3066678C (en) Processing data queries in a logically sharded data store
US20210099287A1 (en) Cryptographic key generation for logically sharded data stores
US20190318356A1 (en) Offline storage system and method of use
US10439804B2 (en) Data encrypting system with encryption service module and supporting infrastructure for transparently providing encryption services to encryption service consumer processes across encryption service state changes
US9122888B2 (en) System and method to create resilient site master-key for automated access
US7912223B2 (en) Method and apparatus for data protection
EP3598714A1 (en) Method, device, and system for encrypting secret key
JP6348004B2 (ja) 暗号化データ管理システム、プロキシサーバ、暗号化データ管理方法およびコンピュータプログラム
JP2014119486A (ja) 秘匿検索処理システム、秘匿検索処理方法、および秘匿検索処理プログラム
AU2017440029B2 (en) Cryptographic key generation for logically sharded data stores
WO2018017168A2 (en) System and method for encryption and decryption based on quantum key distribution
TWI597960B (zh) 金鑰分裂技術
CN105656866A (zh) 数据加密方法及系统
JP7086163B1 (ja) データ処理システム
Patwary et al. A Prototype of a Secured File Storing and Sharing System for Cloud Storage Infrastructure
JP2009181545A (ja) 属性情報更新要求装置、属性情報更新要求方法、及び属性情報更新要求プログラム