TWI554073B - 供加密檔案和/或通訊協定之多重加密方法與系統 - Google Patents
供加密檔案和/或通訊協定之多重加密方法與系統 Download PDFInfo
- Publication number
- TWI554073B TWI554073B TW103125731A TW103125731A TWI554073B TW I554073 B TWI554073 B TW I554073B TW 103125731 A TW103125731 A TW 103125731A TW 103125731 A TW103125731 A TW 103125731A TW I554073 B TWI554073 B TW I554073B
- Authority
- TW
- Taiwan
- Prior art keywords
- unit
- key
- encryption
- keys
- storage unit
- Prior art date
Links
Description
本發明涉及一種多重加密之方法與系統,特別是關於能讓使用者所輸入之各種檔案、通訊協定進行多重加密後具有較高之機密性並能有效分配加密過程所使用之系統硬體資源。本發明係採用高階加密標準(Advanced Encryption Standard)金鑰分別將檔案、通訊協定進行加密至少一次,並將該回合所產生之金鑰與初始向量分別於不同位置進行儲存。此外,於進行亂數之產生後,將亂數分別排列為金鑰與初始向量,藉以增加金鑰與初始向量之複雜度。
現今,在智慧型移動裝置(如智慧型手機和智慧型平板)之作業系統、「私有雲(Private Cloud)、公有雲(Public Cloud)、混合雲(Hybrid Cloud)之雲端系統」、GPS定位系統、手機基頻OS系統與SIM卡OS系統中、RFID、無線感測器網路(Wireless Sensor Network)、有線路由器(Router)及無線路由器(Wireless Router)、軟體定義網路(SDN)、系統單晶片(SoC)、企業數位著作權管理(Enterprise Digital Rights Management)、視訊壓縮、電力線網路傳輸、網路電話等軟體層次與硬體結構上,存在極易被外部訊號干擾、破壞、監聽、網路攻擊;通話記錄、訊息記錄、下載資料、照片、影像、收集定位資料等個人資訊隱私洩漏;金融安全、網路流量等等的問
題。因此,世界各地的政府、企業、甚至個人會採用加密技術,如高階加密標準(Advanced Encryption Standard,AES),來予以加密保護機密數據之傳輸、處理和儲存。
高階加密標準係為對稱金鑰加密法中之一種,且經過安全性、成本、演算法實作特性的分別考量,例如:實際安全性、隨機性、強固性、授權要求、計算效率、記憶體需求、演算法之彈性、軟硬體適用性、簡易性,成為美國聯邦政府認可的一種區塊加密標準。此外,AES加密標準係可在32、64位元的CPU上有效地優化運作。因此,高階加密標準由美國國家標準與技術研究院(NIST)於2001年11月26日發佈於FIPS PUB 197,並在2002年5月26日成為有效的標準。現今,高階加密標準已成為對稱金鑰加密中公認安全的演算法之一。然而,AES加密過程中只產生了一把金鑰,一旦金鑰遺失,與金鑰有關之密文極可能有被破解。
現今常用的另一演算法為公開金鑰加密法,係使用兩把金鑰,即,一把公開金鑰與一把私密金鑰,一把公開金鑰。所有使用者都知道公鑰,以供對訊息加密或是驗證簽章;私鑰只有特定接收者擁有,供對訊息解密或簽署(或產生)簽章。由於兩把金鑰為非對稱金鑰,故加密或驗證簽章的一方,無法解密或產生簽章,所以又稱為非對稱式加密法中。然而,由於需執行兩種金鑰之加解密流程與傳輸,公開金鑰加密法執行速度比AES加密法緩慢許多。此外,礙於硬體上的限制,公開金鑰加密法無法在短時間內加密大量檔案與通訊協定。然而,非對稱密鑰的算法需依賴於隨機數字產生器所產生之優質隨機數字,如非確定性真正隨機數字(nondeterministic true random number)。本發明係以軟體的的形式一從網路信
號源(多重量子訊號源)、數位訊號源與類比訊號源解決此問題。
因此,如何在因全球化的趨勢,而加速協同化、精益化、服務化與智慧化的資訊流動,以至於造成資訊無所不在、人人皆可分享的超高速和多工的數位時代,所產生之駭客惡意入侵、病毒感染、權限控管、加解密式自攜裝置、私有雲和公有雲之資訊安全問題,將是現今及未來資訊安全所要面臨的重要議題。
有鑑與此,本發明提供一種多重加密之方法與系統,係能同時加密大量資訊,且在加密過程中針對每一檔案、通訊協定產生相對應之複數個金鑰與初始向量,並將該等金鑰與該等初始向量分別進行儲存。此外,利用AES加密流程對CPU系統排程擁有極佳的可優化性之特點,有效克服現今加解密技術中硬體速度與軟體排程間最佳化的問題。本發明也可有效應用在資訊安全領域。即使使用者密碼遭竊取或外洩或主機遭到駭客入侵或內部人員竊取資料,每一檔案、通訊協定也有多重之金鑰保護並無法立即解密。同樣的,本發明亦可應用在私有雲(Private Cloud)、公有雲(Public Cloud)、混合雲(Hybrid Cloud)之雲端系統、GPS定位系統、手機基頻OS系統與SIM卡OS系統中、RFID、無線感測器網路(Wireless Sensor Network)、有線路由器(Router)及無線路由器(Wireless Router)、軟體定義網路(SDN)、系統單晶片(SoC)等軟體層次與硬體結構上,進行本發明多重加解密之步驟。藉此,大幅提高政府、銀行、國防、企業、組織的專利技術、營業祕密的保護及醫療院所的資訊安全之機密性(Confidentiality)、真實性(Authenticity)、可控性(Controllability)、可用性(Availability)、完整性(Integrity)、不可抵賴性(Non-repudiation)。
為達解決前述問題如金鑰儲存管理、隨機數字隨機性不足與信號傳輸安全,本發明提供一種多重加密之方法與系統,該方法包括:A:藉由一資料輸入單元傳輸一檔案、一通訊協定中至少一者;B:以一多重亂數產生單元產生複數個亂數;C:分別藉由一多重金鑰產生單元與一初始向量產生單元分別將該等亂數排列為至少一金鑰與至少一初始向量;D:藉由一加密單元將來自該資料輸入單元之該檔案和/或該通訊協定與分別來自該多重金鑰產生單元與該初始向量產生單元之該金鑰與該初始向量進行符合高等加密標準模式之運算,並產生一加密檔案和/或加密通訊協定;E:將該金鑰與該初始向量分別傳輸至一第一儲存單元與一第二儲存單元儲存;以及F:重複前述B-D步驟至少一次,進行至少多一次加密,並產生另一金鑰與另一初始向量。
本發明另提供一種多重加密之系統,包括:一資料輸入單元,其係用於傳輸一檔案、一通訊協定中至少一者;一多重亂數產生單元,其係供產生複數個亂數;一多重亂數產生單元,其係用於產生複數個亂數;一多重金鑰產生單元,其係用於將該等亂數排列為一金鑰;一初始向量產生單元,其係用於將該等亂數排列為一初始向量;一加密單元,其係供接收由該資料輸入單元傳輸之該檔案和/或通訊協定
後,將該檔案和/或通訊協定與該金鑰與該初始向量進行符合高等加密標準模式運算,並產生一加密檔案和/或通訊協定;以及一第一儲存單元與一第二儲存單元,其係分別供儲存至少一該金鑰與至少一該初始向量。
實施時,於前述系統與方法中,該多重亂數產生單元、該多重金鑰產生單元、該初始向量產生單元、該第一儲存單元、該第二儲存單元、該加密單元中至少其中一者為虛擬機器(Virtual machine)或積體電路(integrated circuit)。
實施時,於前述系統與方法中,其中於D步驟中與於該加密單元中進行之加密方式係包括以下至少一者:AES-ECB(金鑰長度:128,192,256)、CBC(金鑰長度:128,192,256)、CTR(金鑰長度:128,192,256)、CCM(金鑰長度:128,192,256)、OFB(金鑰長度:128,192,256)、GCM(金鑰長度:128,192,256)、CFB 1(金鑰長度:128,192,256)、CFB 8(金鑰長度:128,192,256)與CFB 128(金鑰長度:128,192,256)。
實施時,於前述系統與方法中,該第一儲存單元、該第二儲存單元係包括複數個次單元。
實施時,於前述方法中,於前述步驟D中更包括以下步驟:D1:藉由一切割單元,分別將該金鑰與該初始向量切割成複數個多重次金鑰與複數個次初始向量,並將該等多重次金鑰與該等次初始向量傳輸至該等次單元分別進行儲存;以及D2:將該等次金鑰與該等次初始向量分別傳輸至該第一儲存單元與該第二儲存單元儲存。
實施時,於前述系統中,更包括一切割單元;該切割單元係分別將該金鑰與該初始向量切割成複數個多重次金鑰與複數個次初始向量後,並將該等多重次金鑰與該等次初始向量傳輸至該等次單元分別進行儲存。
實施時,於前述系統與方法中,該亂數來自類比訊號源、數位訊號源與網路訊號源中至少一者。
為進一步了解本發明,以下舉較佳之實施例,配合圖式、圖號,將本發明之具體構成內容及其所達成的功效詳細說明如下。
11‧‧‧資料輸入單元
12‧‧‧加密單元
13‧‧‧多重亂數產生單元
14‧‧‧多重金鑰產生單元
15‧‧‧初始向量產生單元
16‧‧‧第一儲存單元
17‧‧‧第二儲存單元
18‧‧‧切割單元
21‧‧‧類比訊號源
22‧‧‧數位訊號源
23‧‧‧網路訊號源
131‧‧‧多重亂數產生次單元
第1圖係為本發明實施例之亂數產生單元之系統示意圖。
第2圖係為本發明實施例之加密系統之系統示意圖。
第3圖至第3A圖係為本發明多重加密方法之流程圖。
本發明揭示一種多重加密之系統,請參考第2圖,前述系統包括提供一資料輸入單元11、一加密單元12、一多重亂數產生單元13、一多重金鑰產生單元14、一初始向量產生單元15、一第一儲存單元16、一第二儲存單元17、一切割單元18。其中該資料輸入單元11係連接於該加密單元12;該多重亂數產生單元13系連接於該多重金鑰產生單元14、該初始向量產生單元15;該多重金鑰產生單元14與該初始向量產生單元15係連接於該切割單元18,且皆連接於該加密單元12;該切割單元18則連接於該第一儲存單元16與第二儲存單元17;其中該多重亂數產生單元13更包括一多重亂數產生次單
元131。該資料輸入單元11係可為一資料輸入裝置,供將一般3C產品如電腦、智慧型手機、傳真機、掃描器、攝影設備與錄影設備中之檔案、通訊協定傳輸至該加密單元12中;其中該加密單元12、該多重亂數產生單元13、該多重金鑰產生單元14、該初始向量產生單元15、第一儲存單元16、該第二儲存單元17、該切割單元18係可為個人裝置如電腦、平板電腦、智慧型手機等,亦可擴大為伺服器之規模、或縮小為一虛擬機器(Virtual machine),以供單人或多人上線時進行大量資料多重加密及運算之用。
本發明揭示一種多重加密之方法,包括:A:藉由一資料輸入單元傳輸一檔案、一通訊協定中至少一者;B:以一多重亂數產生單元產生至少一亂數;C:分別藉由一多重金鑰產生單元與一初始向量產生單元分別將該等亂數排列為至少一金鑰與至少一初始向量;D:藉由一加密單元將來自該資料輸入單元之該檔案和/或該通訊協定與分別來自該多重金鑰產生單元與該初始向量產生單元之該金鑰與該初始向量進行符合高等加密標準模式之運算,並產生一加密檔案和/或加密通訊協定;E:將該金鑰與該初始向量分別傳輸至一第一儲存單元與一第二儲存單元儲存;以及F:重複前述B-D步驟至少一次,進行至少多一次加密,並產生另一金鑰與另一初始向量。
以下將詳述本發明之方法:
步驟A:從該資料輸入單元11傳輸一檔案、通訊協定至該加密單元12,在傳
輸至該加密單元12之前,本發明係可依照檔案、通訊協定閱讀權限,設置複數個依照使用者權限之資料夾,以防資料被他人竊取或誤讀取。而該檔案、通訊協定係可為一般微軟作業系統,IOS系統,LINUX系統之文字檔包括Notepad、Word、Powerpoint、Excel、iWork、Pages、Numbers、Keynote、Writer、Calc、Impress、Draw、Math的軟體可讀寫格式;影像檔(BMP、GIF、JPEG、JPG、SVG、TIFF、TIF、PNG、YUV、EPS的格式)。
步驟B:如第1圖所示,於一實施例中,以一多重亂數產生單元13,藉由類比訊號源21、數位訊號源或網路訊號源23產生至少一亂數。於一實施例中,類比訊號源21、數位訊號源22、網路訊號源23係被設定為可分別產生一亂數。類比訊號源21、數位訊號源22、網路訊號源23分別皆具有至少一信號輸入端,其中類比訊號源21係包括電腦硬體如:風扇散熱器、主機板上之電路中的雜訊所產生之類比訊號;數位訊號源係為由系統管理員所架設之電腦主機中所執行的至少一演算法所產生;網路訊號源係為來自網路或內部服務器的應用程式介面(Application Programming Interface)之資訊,包括線上即時量子隨機源(二進制、十六進制、單元8、單元16)。因為在量子物理學理論中,任何測量皆會擾亂數據的量測,但量子隨機源能保證隨機數字是在同一時間與同一空間中唯一的數字。因此,隨機數字將是獨一無二的。如果隨機種子是唯一的,隨機數字亦將是非確定性的隨機數(non-deterministic random number)。如果隨機種子不是唯一的,所有的隨機數可輕易經由未來發展出的排序或
推測技術反推而得。例如,量子計算和雲計算也能確保加密數據和通訊協定不會經由任何儀器而被竊聽或破解,藉以確保當類比訊號源21、數位訊號源22、網路訊號源23中之一者故障時,訊號來源可持續不中斷。
當多重亂數產生單元13接收以上三種訊號來源後,其中類比訊號會藉由一類比/數位轉換器將前述類比訊號轉換成數位訊號後,再藉由一亂數函式轉換成亂數輸出;而前述數位訊號源與網路訊號源則分別藉由不同之亂數函式直接轉換成亂數輸出,其中前述亂數函式係為符合是美國國家標準協會(ANSI)之函式。前述輸出後之三種相異來源之亂數係經由多重亂數產生單元13加以組合成複數個亂數。當網際網路或區域網路中斷時,由於經由網際網路或區域網路傳輸之網路訊號源與數位訊號源將無法運作,此時訊號來源將調整成為三個類比訊號,前述三個類比訊號藉由類比/數位轉換器將前述類比訊號轉換成三個數位訊號後,再分別藉由不同之亂數函式,將被轉換為數位訊號之三個類比訊號轉換成亂數,繼續維持亂數產生之步驟。
於另一實施例中,多重亂數產生單元13之訊號來源係可由類比訊號源21、數位訊號源22、網路訊號源23三者作搭配,例如除了前述之一類比訊號源21、一數位訊號源22、一網路訊號源23外;亦可為兩類比訊號源21、一數位訊號源22;兩類比訊號源21、一網路訊號源23;兩數位訊號源22、一類比訊號源21;兩數位訊號源22、一網路訊號源23;兩網路訊號源23、一類比訊號源21;兩網路訊號
源23、一數位訊號源22;三類比訊號源21、三數位訊號源22或三網路訊號源23,藉以增加產生亂數組合之複雜度。
於另一實施例中,亦可將前述類比訊號源21、數位訊號源22、網路訊號源23中之任兩者來進行訊號產生。於另一實施例中,前述類比訊號源21、數位訊號源22、網路訊號源23信號輸入之數量係可分別具有一個以上,搭配前述類比訊號源21、數位訊號源22、網路訊號源23組合之複雜度,藉此大幅提升亂數產生過程中之複雜性。
於另一實施例中,類比訊號源21、數位訊號源22、網路訊號源23係分別為一虛擬機器(virtual machine)或積體電路(integrated circuit)而進行前述亂數產生之步驟,其中輸入數位訊號源之信號亦來自另一虛擬機器)或積體電路,且於此虛擬機器(或積體電路)中係運行/嵌入複數個演算法。
步驟C:請參考第2圖,以該多重亂數產生單元13提供複數個亂數。於該多重亂數產生單元13中,係先藉由至少一虛擬機器或積體電路分別運行或嵌入如Linux等作業系統軟體,將CPU之硬體資源分配為複數個彼此獨立之多重亂數產生次單元131。接著,再使該等複數個多重亂數產生次單元131分別使用複數個彼此獨立、位元數相異且規則相異之亂數產生演算法分別進行亂數之產生。產生該等亂數後,藉由該多重金鑰產生單元14與該初始向量產生單元15分別將該等亂數依照由系統管理員設定之排列規則進行排列,其中將該等亂數排列為金鑰與初始向量之排列規則亦為相異,將該等亂數分別排列為一金鑰與一初
始向量。該金鑰限制為128、192、或256位元,而該初始向量之長度則與明文之長度相同。之後,將該金鑰與該初始向量分別傳輸至該加密單元12。
步驟D:於該加密單元12中,將該檔案、通訊協定、該金鑰與該初始向量進行例如符合高等加密標準(AES)的密文區塊鏈結模式(Cipher Block Chaining,CBC)之加密流程,其中加密方式亦可包括以下至少一者:AES-ECB(金鑰長度:128,192,256)、CBC(金鑰長度:128,192,256)、CTR(金鑰長度:128,192,256)、CCM(金鑰長度:128,192,256)、OFB(金鑰長度:128,192,256)、GCM(金鑰長度:128,192,256)、CFB 1(金鑰長度:128,192,256)、CFB 8(金鑰長度:128,192,256)與CFB 128(金鑰長度:128,192,256)。第一個區塊明文(J1)中的每一位元先與前述步驟所產生之該初始向量做XOR運算後,再利用前述步驟產生之該金鑰進行區塊加密程序,即得到第一個區塊密文(X1);而第二個區塊明文(J2)需先與第一個區塊密文(X1)作XOR運算後,再利用前述步驟產生之該金鑰進行區塊加密程序,即可得到第二個區塊的密文(X2)。亦即每次區塊在加密之前,皆需與上一個明文的密文做XOR運算,然後再藉由該金鑰進行加密,依此流程依序進行,最後再將每一加密後之密文串接在一起,即產生一加密檔案、通訊協定。
步驟E1:藉由一切割單元18,分別依照系統管理員所設定之切割規則將該金鑰與該初始向量切割成複數個多重次金鑰與複數個次初始向量。
步驟E2:將前述步驟產生之該等多重次金鑰與該等次初始向量分別傳輸至
第一儲存單元16與一第二儲存單元17儲存。本發明係為了資訊安全的考量而將該第一儲存單元16、該第二儲存單元17設置於兩台不同伺服器,也可將該第一儲存單元16、該第二儲存單元17設置在同一台伺服器或虛擬機器以便於管理,其中該第一儲存單元16、該第二儲存單元17之伺服器硬碟也使用以下至少一者:ECB(金鑰長度:128,192,256)、CBC(金鑰長度:128,192,256)、CTR(金鑰長度:128,192,256)、CCM(金鑰長度:128,192,256)、OFB(金鑰長度:128,192,256)、GCM(金鑰長度:128,192,256)、CFB 1(金鑰長度:128,192,256)、CFB 8(金鑰長度:128,192,256)與CFB 128(金鑰長度:128,192,256)進行加密,藉以進一步增強該初始向量儲存與金鑰儲存之安全性。此外,該第一儲存單元16、該第二儲存單元17係包括複數個次單元,係供將該等多重次金鑰與該等次初始向量分別進行儲存。即,該第一儲存單元16與該第二儲存單元亦可為複數個該等次單元所形成之集合,該等次單元可為小型之伺服器、個人電腦、私人雲或公共雲。
步驟F:重複前述B-E步驟至少一次。該多重亂數產生單元13先進行亂數產生步驟,再藉由該多重金鑰產生單元14與該初始向量產生單元15分別將該等亂數依照系統管理員所設定之排列規則(每一回合金鑰與初始向量之排列規則皆相異)排列為另一金鑰與另一初始向量。之後,於該加密單元12中將該前一次加密後之檔案、通訊協定進行至少多一次符合以下至少一者:AES-ECB(金鑰長度:128,192,256)、CBC(金鑰長度:128,192,256)、CTR(金鑰長度:128,192,
256)、CCM(金鑰長度:128,192,256)、OFB(金鑰長度:128,192,256)、GCM(金鑰長度:128,192,256)、CFB 1(金鑰長度:128,192,256)、CFB 8(金鑰長度:128,192,256)與CFB 128(金鑰長度:128,192,256)加密標準之加密,藉以產生一經由二次加密之檔案、通訊協定,再將本回合新產生之金鑰與初始向量分別傳輸至該第一儲存單元16、該第二儲存單元17儲存。本步驟為本發明之重要技術特徵。
對於經由前述加密流程所產生之加密檔案與通訊協定之解密流程詳述如下:首先,將第二加密回合之複數個該多重次金鑰與該複數個次初始向量分別從該第一儲存單元16、該第二儲存單元17中之次單元分別存取出。依照系統管理者於第二加密回合中所設定之切割規則,將該第二加密回合之多重次金鑰與該第二加密回合之次初始向量進行重組,再藉由該第二加密回合之金鑰與該第二加密回合之初始向量單元,進行一系列前述步驟C之解密反運算,得到一經過一次解密之檔案、通訊協定。以此類推,再進行第一加密回合步驟之解密流程後,才可得到原始之明文。由此可知,若使用者需閱讀該經由二次加密之檔案、通訊協定,則需要前述兩回合步驟產生之兩組初始向量單元及金鑰,使用者才可閱讀原始檔案、通訊協定之內容。因此,步驟E係為本發明之重要技術特徵。在現今硬體設備不斷進步的情況下,配合AES加密流程程式碼與32位元、64位元之CPU硬體系統程式碼之高度優化性,本發明理論上係可再重複前述B-D步驟三次甚至以上,藉此產生更多另一回合之金鑰與初始向量單元,藉此大幅增加檔案、通訊協定解密之難度,大幅增強檔案、通訊協定之安全性。
此外,每一次當該資料輸入單元11、該加密單元12、該多重
亂數產生單元13、該多重金鑰產生單元14、該初始向量產生單元15、該第一儲存單元16、該第二儲存單元17、該切割單元18執行動作時,均會被記錄下來。再,在前述A到E步驟中之該資料輸入單元11、該加密單元12、該多重亂數產生單元13、該多重金鑰產生單元14、該初始向量產生單元15、該第一儲存單元16、該第二儲存單元17、該切割單元18間的連線均以SSL加密及符合公鑰加密標準之通訊協定。
本發明之多重加密系統與其方法係可應用於GPS定位系統中。藉由將太空衛星群單元、地面監控單元與GPS接收機單元間之傳輸訊號進行本發明之多重AES加密,大幅降低GPS定位系統因為被外部訊號干擾或破壞與受到網路攻擊,而造成許多機密資料或個人資料的損失。
本發明之多重加密系統與其方法係可應用於現今之通訊系統。當手機通話、發簡訊或於無線網路時,將經由基頻OS且符合GSM、UMTS、LTE通訊協定之訊號利用軟體進行本發明之AES多重加解密。也可將本發明之系統與其方法藉由邏輯閘等裝置布局在手機之積體電路中。同樣的,SIM Card OS系統中執行之軟體系統中也可將訊號進行本發明多重加密知步驟,或於SIM卡上設置邏輯閘,藉以將本發明之AES多重加密方法與系統植入SIM卡本身,大幅增加現今手機通訊時的資訊安全。
本發明亦可應用在符合無線數據通訊技術標準之長期演進技術(Long Term Evolution,4G LTE)之信號傳輸。LTE是應用於現今智慧型手機及數據卡終端的高速無線通訊標準,該標準基於GSM、EDGE、UMTS、HSPA網路技術,並使用調變技術如數位訊號處理(DSP)技術,大幅提升網路之容量及傳輸速度。本發明係可將上述LTE傳輸過程中之訊號進行本發明之
多重加密,並可依照訊號之機密等級作分級,分別進行一次到多次的AES加密,藉此大幅提升未來4G時代的通訊安全。
因此,本發明具有以下之優點:
1、本發明利用AES加密流程耗費硬體資源較少之優點,藉由多重加密之方法與系統,讓政府、銀行、國防、企業、組織、醫療院所等單位可以在短時間內大量加密過去、現在、未來的機密資料至自有之資料儲存系統中。
2、透過多重加密之方式,將每一檔案、通訊協定進行多回合之加密,並將相對應之多組金鑰、初始向量儲存在分別不同之位置,即使其中一位置之資料遭到外洩,也無法立即竊取檔案、通訊協定內容,藉此大幅增加檔案、通訊協定被破解之難度及提升檔案、通訊協定之安全性。因此,本發明對輸入之檔案、通訊協定係有以下防禦:檔案、通訊協定全文之AES-256bit加密、複數個金鑰與複數個初始向量分別在不同位置儲存。
3、藉由切割單元將該金鑰與該初始向量切割成複數個金鑰次單元與初始向量次單元,即使儲存位置遭到入侵,也在短時間也無法找到每一檔案、通訊協定之切割規則,藉此多增加另一道防禦。
4、本發明之多重亂數的產生係藉由至少一虛擬機器或積體電路分別執行不同之多重亂數程式,藉以避免使用相同或少數之亂數產生程式,且大幅增加亂數之不規則性。此外,經由多重金鑰產生單元與初始向量產生單元分別依照相異之排列規則將亂數分別進行排列,藉以提升金鑰與初始向量本身之複雜度。
5、本發明之應用層面極廣,除了應用在政府、銀行、國防、企業、組織、醫療院所外,增加其資訊安全的保護外,也可應用在電子通訊、電子商務、個資安全、智慧型手機應用軟體(app)等領域。
6、本發明係藉由類比訊號源、數位訊號源、網路訊號源而產生至少一亂數,配合前述三種訊號源的變化,藉此使亂數的產生達到不重複且完全隨機。
以上所述乃是本發明之具體實施例及所運用之技術手段,根據本文的揭露或教導可衍生推導出許多的變更與修正,仍可視為本發明之構想所作之等效改變,其所產生之作用仍未超出說明書及圖式所涵蓋之實質精神,均應視為在本發明之技術範疇之內,合先陳明。
綜上所述,依上文所揭示之內容,本發明之多重加密之方法與系統確可達到發明之預期目的,提供一種供加密檔案和/或通訊協定之多重加密方法與系統,極具產業上利用之價值,爰依法提出發明專利申請。
11‧‧‧資料輸入單元
12‧‧‧加密單元
13‧‧‧多重亂數產生單元
14‧‧‧多重金鑰產生單元
15‧‧‧初始向量產生單元
16‧‧‧第一儲存單元
17‧‧‧第二儲存單元
18‧‧‧切割單元
131‧‧‧多重亂數產生次單元
Claims (10)
- 一種多重加密之方法,其係用於將一檔案和/或於一通訊協定下的封包進行多重加密並產生複數個金鑰,該方法包括:A:藉由一資料輸入單元傳輸一檔案、於一通訊協定下的封包中至少一者;B:以一多重亂數產生單元產生複數個亂數;C:分別藉由一多重金鑰產生單元與一初始向量產生單元分別將該等亂數排列為複數個彼此相異之金鑰與初始向量;D:藉由一加密單元將來自該資料輸入單元之該檔案和/或該於通訊協定下的封包與分別來自該多重金鑰產生單元與該初始向量產生單元之該等金鑰中之一者與該等初始向量中之一者進行符合高等加密標準模式之運算,並產生一加密檔案和/或一於通訊協定下之加密封包;E:將該金鑰與該初始向量分別傳輸至一第一儲存單元與一第二儲存單元儲存;以及F:重複前述B-D步驟至少一次,是以與於前次相異之金鑰與初始向量進行至少多一次加密,而產生另一金鑰與另一初始向量。
- 如申請專利範圍第1項所述之多重加密方法,其中該多重亂數產生單元、該多重金鑰產生單元、該初始向量產生單元、該第一儲存單元、該第二儲存單元、該加密單元中至少其中一者為虛擬機器(Virtual machine)或積體電路(integrated circuit)。
- 如申請專利範圍第1項所述之多重加密方法,其中於D步驟中之加密方式係包括以下至少一者:AES-ECB(金鑰長度:128,192,256)、CBC(金鑰 長度:128,192,256)、CTR(金鑰長度:128,192,256)、CCM(金鑰長度:128,192,256)、OFB(金鑰長度:128,192,256)、GCM(金鑰長度:128,192,256)、CFB 1(金鑰長度:128,192,256)、CFB 8(金鑰長度:128,192,256)及CFB 128(金鑰長度:128,192,256)。
- 如申請專利範圍第1項所述之多重加密方法,其中於D步驟中更包括以下步驟:D1:藉由一切割單元,分別將每一該金鑰與每一該初始向量切割成複數個多重次金鑰與複數個次初始向量;以及D2:將該等多重次金鑰與該等次初始向量分別傳輸至該第一儲存單元與該第二儲存單元進行儲存。
- 如申請專利範圍第1項所述之多重加密方法,其中於步驟B中,該亂數來自類比訊號源、數位訊號源與網路訊號源中至少一者。
- 一種多重加密系統,其係用於將一檔案、通訊協定進行多重加密並產生複數個金鑰,該系統包括:一資料輸入單元,其係用於傳輸一檔案、於一通訊協定下的封包中之至少一者;一多重亂數產生單元,其係供產生複數個亂數;一多重金鑰產生單元,其係用於將該等亂數排列為複數個彼此相異之金鑰;一初始向量產生單元,其係用於將該等亂數排列為複數個彼此相異之初始向量,其中該複數個彼此相異之初始向量是與該等金鑰相異;一加密單元,其係供接收由該資料輸入單元傳輸之該檔案和/或該於通訊協 定下的封包後,將該檔案和/或該於通訊協定下的封包與該等金鑰及該等初始向量進行符合高等加密標準模式之運算,並產生一加密檔案和/或一於通訊協定下的加密封包;以及一第一儲存單元與一第二儲存單元,其係分別供儲存該等金鑰與該等初始向量。
- 如申請專利範圍第6項所述之多重加密系統,其中該多重亂數產生單元、該多重金鑰產生單元、該初始向量產生單元、該第一儲存單元、該第二儲存單元、該加密單元中至少其中一者為虛擬機器(Virtual machine)或積體電路(integrated circuit)。
- 如申請專利範圍第6項所述之多重加密系統,其中於該加密單元之加密方式係包括以下至少一者:AES-ECB(金鑰長度:128,192,256)、CBC(金鑰長度:128,192,256)、CTR(金鑰長度:128,192,256)、CCM(金鑰長度:128,192,256)、OFB(金鑰長度:128,192,256)、GCM(金鑰長度:128,192,256)、CFB 1(金鑰長度:128,192,256)、CFB 8(金鑰長度:128,192,256)及CFB 128(金鑰長度:128,192,256)。
- 如申請專利範圍第6項所述之多重加密系統,更包括一切割單元,且該第一儲存單元、該第二儲存單元分別包括複數個次單元;該切割單元係分別將該金鑰與該初始向量切割成複數個多重次金鑰與複數個次初始向量後,並將該等多重次金鑰與該等次初始向量傳輸至該等次單元分別進行儲存。
- 如申請專利範圍第6項所述之多重加密系統,其中每一該亂數係來自類比訊號源、數位訊號源與網路訊號源中至少一者。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW103125731A TWI554073B (zh) | 2014-07-28 | 2014-07-28 | 供加密檔案和/或通訊協定之多重加密方法與系統 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW103125731A TWI554073B (zh) | 2014-07-28 | 2014-07-28 | 供加密檔案和/或通訊協定之多重加密方法與系統 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201605217A TW201605217A (zh) | 2016-02-01 |
TWI554073B true TWI554073B (zh) | 2016-10-11 |
Family
ID=55809757
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW103125731A TWI554073B (zh) | 2014-07-28 | 2014-07-28 | 供加密檔案和/或通訊協定之多重加密方法與系統 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI554073B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113486097B (zh) * | 2021-06-21 | 2023-03-24 | 上海百秋新网商数字科技有限公司 | 大数据导出方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020141593A1 (en) * | 2000-12-11 | 2002-10-03 | Kurn David Michael | Multiple cryptographic key linking scheme on a computer system |
US7660902B2 (en) * | 2000-11-20 | 2010-02-09 | Rsa Security, Inc. | Dynamic file access control and management |
US20120173865A1 (en) * | 2010-12-29 | 2012-07-05 | Viswanathan Swaminathan | System And Method For Generating Multiple Protected Content Formats Without Redundant Encryption Of Content |
CN103067170A (zh) * | 2012-12-14 | 2013-04-24 | 深圳国微技术有限公司 | 一种基于ext2文件系统的加密文件系统、加密方法及解密方法 |
TW201404107A (zh) * | 2012-04-02 | 2014-01-16 | Univ Tokyo Science Foundation | 加密裝置、解密裝置、加密方法、解密方法、以及程式 |
-
2014
- 2014-07-28 TW TW103125731A patent/TWI554073B/zh not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7660902B2 (en) * | 2000-11-20 | 2010-02-09 | Rsa Security, Inc. | Dynamic file access control and management |
US20020141593A1 (en) * | 2000-12-11 | 2002-10-03 | Kurn David Michael | Multiple cryptographic key linking scheme on a computer system |
US20120173865A1 (en) * | 2010-12-29 | 2012-07-05 | Viswanathan Swaminathan | System And Method For Generating Multiple Protected Content Formats Without Redundant Encryption Of Content |
TW201404107A (zh) * | 2012-04-02 | 2014-01-16 | Univ Tokyo Science Foundation | 加密裝置、解密裝置、加密方法、解密方法、以及程式 |
CN103067170A (zh) * | 2012-12-14 | 2013-04-24 | 深圳国微技术有限公司 | 一种基于ext2文件系统的加密文件系统、加密方法及解密方法 |
Also Published As
Publication number | Publication date |
---|---|
TW201605217A (zh) | 2016-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10341094B2 (en) | Multiple encrypting method and system for encrypting a file and/or a protocol | |
Bhardwaj et al. | Security algorithms for cloud computing | |
CN105306194B (zh) | 供加密档案和/或通讯协定的多重加密方法与系统 | |
CN104253694A (zh) | 一种用于网络数据传输的保密方法 | |
CN108347404A (zh) | 一种身份认证方法及装置 | |
CN104270242A (zh) | 一种用于网络数据加密传输的加解密装置 | |
Shepherd et al. | EmLog: tamper-resistant system logging for constrained devices with TEEs | |
CN111008094B (zh) | 一种数据恢复方法、设备和系统 | |
CN204180095U (zh) | 一种用于网络数据加密传输的加解密装置 | |
CN113055376A (zh) | 一种区块链数据保护系统 | |
Sharma et al. | Analysis of AES Encryption with ECC | |
CN107493287A (zh) | 工控网络数据安全系统 | |
Hussien et al. | Scheme for ensuring data security on cloud data storage in a semi-trusted third party auditor | |
Shirole et al. | Review paper on data security in cloud computing environment | |
TWI554073B (zh) | 供加密檔案和/或通訊協定之多重加密方法與系統 | |
Whelihan et al. | Shamrock: a synthesizable high assurance cryptography and key management coprocessor | |
Vennela et al. | Performance analysis of cryptographic algorithms for cloud security | |
Pilla et al. | A new authentication protocol for hardware-based authentication systems in an iot environment | |
Jain et al. | Novel hybrid cryptography for confidentiality, integrity, authentication | |
Altarawneh | A strong combination of cryptographic techniques to secure cloud-hosted data | |
Patel | A survey on security techniques used for confidentiality in cloud computing | |
Narula et al. | A Novel Review on Healthcare Data Encryption Techniques | |
Kamal et al. | Comparative Analysis of Various Elliptic Curve Cryptography Algorithms for Handheld Devices | |
JP2014220668A (ja) | 送信側装置および受信側装置 | |
Gupta et al. | A Review Paper of Data Security in Cloud Computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |