TWI715537B - 基於雲環境的加密機金鑰注入系統、方法及裝置 - Google Patents

基於雲環境的加密機金鑰注入系統、方法及裝置 Download PDF

Info

Publication number
TWI715537B
TWI715537B TW104128123A TW104128123A TWI715537B TW I715537 B TWI715537 B TW I715537B TW 104128123 A TW104128123 A TW 104128123A TW 104128123 A TW104128123 A TW 104128123A TW I715537 B TWI715537 B TW I715537B
Authority
TW
Taiwan
Prior art keywords
key
encryption
encryption machine
virtual
subsystem
Prior art date
Application number
TW104128123A
Other languages
English (en)
Other versions
TW201638824A (zh
Inventor
付穎芳
劉拴林
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201638824A publication Critical patent/TW201638824A/zh
Application granted granted Critical
Publication of TWI715537B publication Critical patent/TWI715537B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Electromagnetism (AREA)
  • Databases & Information Systems (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

本發明公開了一種基於雲環境的加密機金鑰注入系統,一種用於加密機的金鑰注入方法及裝置、一種在雲端託管加密機的方法及裝置。其中,所述系統包括:至少一個金鑰注入子系統、以及位於雲端的加密機託管子系統;金鑰注入子系統和加密機託管子系統通過各自的量子金鑰分發設備相連;量子金鑰分發設備用於在與之相連的金鑰產生設備和加密機之間協商共用金鑰對;金鑰產生設備用於產生虛擬加密設備的根金鑰分量、以及採用協商好的共用金鑰加密傳輸至承載虛擬加密設備的加密機;加密機用於根據接收的根金鑰分量合成虛擬加密設備的根金鑰,並儲存根金鑰。採用上述系統,實現了加密機根金鑰的遠端安全注入,雲用戶無需手動插卡,簡化了金鑰注入的操作過程。

Description

基於雲環境的加密機金鑰注入系統、方法及裝置
本發明係關於加密機技術領域,具體係關於一種基於雲環境的加密機金鑰注入系統。本發明同時關於一種用於加密機的金鑰注入方法及相應裝置,以及一種在雲端託管加密機的方法及相應裝置。
加密機是傳統保障資料隱私的一種很好的方法,其主要功能之一是金鑰儲存功能,加密機在很多領域,特別是銀行業得到了廣泛的應用。銀行業的金鑰體系標準為三層金鑰體系:ansi x9.17,該體系對不同層級金鑰的功能做了嚴格的使用限制,第一層是加密機主金鑰(Master Key,也稱根金鑰),第二層是銀行主金鑰(Bank Master Key,也稱用戶主金鑰),第三層是工作金鑰,也稱用戶工作金鑰或者用戶資料金鑰。
其中,加密機根金鑰由三個成分(也稱分量)組成,存放在硬體加密機內,用於保護儲存在加密機外的各種金鑰和關鍵資料的加密金鑰。用戶主金鑰的作用是加密在通訊線路上需要傳遞的工作金鑰,該金鑰處於加密機根金鑰 的加密保護之下或直接保存在硬體加密機中。用戶工作金鑰的作用是加密各種不同的資料,從而實現資料的保密、資訊的認證,以及數位簽章等功能,該金鑰處於用戶主金鑰的加密保護之下或直接保存在硬體加密機中。
加密機在使用之前需要先注入根金鑰,加密機通常附帶一組IC卡(包括A卡、B卡和C卡),在啟動前,管理人員將A卡插入加密機相應的插槽中,通過加密機面板功能表或廠商提供的管理程式注入根金鑰3個分量,每個分量為32個十六進位數。之後,保存根金鑰至A卡、B卡,再注入用戶主金鑰,完成相關操作後,保存用戶主金鑰至C卡。對於不同的加密機來說,上述金鑰注入過程可能會有差異,但是都需要執行人工插卡的操作才能夠完成。
此外,隨著雲計算的長足發展,雲用戶的資料儲存、計算及應用日益雲化,如何保障雲用戶的敏感性資料以及關鍵應用的安全性,是公有雲必須要妥善解決的重大問題。而前面介紹的加密機是傳統保障資料隱私的一種很好的方法,因此出現了加密機雲化的需求,即:很多雲用戶採用加密機託管的方式,將加密機託管在雲提供商的託管區內,以保護自己在相應雲上業務資料的隱私問題。
傳統的通過手工插卡注入金鑰的方式,對於加密機設備比較少、且加密機放置於企業內部是可行的。但在公有雲中,加密機通常放置在遠離客戶建築物的地方託管,且設備數量大大增加,仍採用傳統方式就暴露出很多缺陷: 一方面雲用戶需要遠道跑到雲提供商託管區來插卡注入金鑰,操作步驟繁瑣、費時費力;另一方面,由於各類雲用戶在雲託管區的進出,導致雲提供商管理效率低下,而且存在安全隱患,降低雲用戶對在雲端託管加密機的信任度。
本發明實施例提供一種基於雲環境的加密機金鑰注入系統,以解決現有的手工插卡方式導致的金鑰注入操作步驟繁瑣、以及為雲端管理帶來安全隱患的問題。本發明實施例還提供一種用於加密機的金鑰注入方法及裝置,以及一種用於在雲端託管加密機的方法及裝置。
本發明提供一種基於雲環境的加密機金鑰注入系統,包括: 至少一個金鑰注入子系統、以及位於雲端的加密機託管子系統;所述加密機託管子系統包括:承載雲用戶託管的虛擬加密設備的加密機,以及與所述加密機相連的量子金鑰分發設備;所述金鑰注入子系統包括:金鑰產生設備,以及與所述金鑰產生設備相連的量子金鑰分發設備; 其中,所述金鑰注入子系統和所述加密機託管子系統通過各自的量子金鑰分發設備相連;所述量子金鑰分發設備用於在與之相連的金鑰產生設備和加密機之間協商共用金鑰對;所述金鑰產生設備用於產生所述虛擬加密設備的根金鑰分量、以及採用協商好的共用金鑰加密傳輸至承載 所述虛擬加密設備的加密機;所述加密機用於根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
可選的,所述金鑰注入子系統的數量為1;相應的,所述金鑰注入子系統的金鑰產生設備具體用於,按照預先設定的根金鑰分量數目為所述虛擬加密設備產生相應數目的根金鑰分量,並採用協商好的共用金鑰加密傳輸至承載所述虛擬加密設備的加密機。
可選的,所述金鑰注入子系統包括:位於雲端的管理子系統、或者位於客戶端的用戶子系統。
可選的,所述金鑰注入子系統的數量為小於預先設定的根金鑰分量數目的最大整數;每個金鑰注入子系統中的金鑰產生設備具體用於,產生所述虛擬加密設備的一個根金鑰分量;所述加密機還用於,產生所述虛擬加密設備的一個根金鑰分量;相應的,所述加密機用於根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰具體是指,所述加密機根據從每個金鑰注入子系統接收的根金鑰分量,以及其產生的根金鑰分量,合成所述虛擬加密設備的根金鑰。
可選的,所述預先設定的根金鑰分量數目為3,所述金鑰注入子系統的數量為2,所述金鑰注入子系統包括:位於雲端的管理子系統和位於客戶端的用戶子系統;所述管理子系統包括:量子金鑰分發設備和用於承擔所述金鑰產生設備功能的管理設備;所述用戶子系統包括:量子金 鑰分發設備和用於承擔所述金鑰產生設備功能的終端設備。
可選的,所述用戶子系統的終端設備還用於產生用戶主金鑰,並採用協商好的共用金鑰加密傳輸至承載所述虛擬加密設備的加密機;相應的,所述加密機還用於,將接收的所述用戶主金鑰作為所述虛擬加密設備的用戶主金鑰儲存。
可選的,所述用戶子系統的終端設備還用於產生用戶工作金鑰,並採用協商好的共用金鑰加密傳輸至承載所述虛擬加密設備的加密機;相應的,所述加密機還用於,將接收的所述用戶工作金鑰作為所述虛擬加密設備的用戶工作金鑰儲存。
可選的,所述用戶子系統的量子金鑰分發設備包括:在雲端租賃的量子金鑰分發設備。
可選的,所述加密機託管子系統的量子金鑰分發設備和所述管理子系統的量子金鑰分發設備通過具有量子金鑰中繼功能的路由設備相連。
可選的,所述量子金鑰分發設備包括:具有資料加解密功能的量子加密機。
可選的,所述加密機根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰具體是指,所述加密機採用基於門限金鑰共用機制的秘密重構演算法實現所述合成操作。
可選的,所述系統還包括:維護子系統;所述維護子系統用於,對所述加密機承載的虛擬加密設備進行初始授 權、以及對所述加密機的故障監控及維護。
可選的,所述用戶託管的虛擬加密設備為所述加密機。
此外,本發明還提供一種用於加密機的金鑰注入方法,所述方法在上述基於雲環境的加密機金鑰注入系統中實施,包括:金鑰注入子系統的金鑰產生設備和加密機託管子系統的加密機通過各自的量子金鑰分發設備協商共用金鑰對,其中,所述加密機承載雲用戶託管的待注入根金鑰的虛擬加密設備;所述金鑰產生設備產生所述虛擬加密設備的根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機;所述加密機根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
可選的,所述金鑰注入子系統的數量為1;相應的,所述金鑰產生設備產生所述虛擬加密設備的根金鑰分量是指,所述金鑰產生設備按照預先設定的根金鑰分量數目產生所述虛擬加密設備的根金鑰分量。
可選的,所述金鑰注入子系統的數量為小於預先設定的根金鑰分量數目的最大整數;相應的,所述金鑰注入子系統的金鑰產生設備和加密機託管子系統的加密機通過各自的量子金鑰分發設備協商共用金鑰對包括:每個金鑰注入子系統的金鑰產生設備和所述加密機分別通過各自的量子金鑰分發設備協商彼此之 間的共用金鑰對;所述金鑰產生設備產生所述虛擬加密設備的根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機,包括:每個金鑰注入子系統的金鑰產生設備分別產生所述虛擬加密設備的一個根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機;所述方法還包括:所述加密機產生所述虛擬加密設備的一個根金鑰分量;所述加密機根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰具體是指,所述加密機根據從每個金鑰注入子系統接收的根金鑰分量、以及其產生的根金鑰分量合成所述虛擬加密設備的根金鑰。
可選的,所述預先設定的根金鑰分量數目為3,所述金鑰注入子系統的數量為2,所述金鑰注入子系統包括:位於雲端的管理子系統和位於客戶端的用戶子系統;所述管理子系統中的金鑰產生設備為管理設備;所述用戶子系統中的金鑰產生設備為終端設備。
可選的,所述方法還包括:所述終端設備產生用戶主金鑰,並採用協商好的共用金鑰加密傳輸至所述加密機;所述加密機將接收的用戶主金鑰作為所述虛擬加密設備的用戶主金鑰儲存。
可選的,所述方法還包括:所述終端設備產生用戶工作金鑰,並採用協商好的共 用金鑰加密傳輸至所述加密機;所述加密機將接收的用戶工作金鑰作為所述虛擬加密設備的用戶工作金鑰儲存。
可選的,在所述管理設備和加密機通過各自的量子金鑰分發設備協商共用金鑰對的步驟之前,執行下述操作:在所述管理設備和所述加密機承載的虛擬加密設備之間進行雙向身份認證;若任一方身份認證失敗,則結束本方法的執行。
可選的,在所述終端設備和加密機通過各自的量子金鑰分發設備協商共用金鑰對的步驟之前,執行下述操作:在所述終端設備和所述加密機承載的虛擬加密設備之間進行雙向身份認證;若任一方身份認證失敗,則結束本方法的執行。
可選的,所述身份認證採用如下方式實現:請求認證方設備向對端設備發送身份認證請求,所述請求中攜帶所述請求驗證方設備的私密金鑰簽名身份證書;所述對端設備接收所述身份認證請求後,採用對應於所述請求認證方設備的公開金鑰解密所述私密金鑰簽名身份證書,若成功,則所述請求認證方設備通過身份認證。
可選的,所述加密機採用基於門限金鑰共用機制的秘密重構演算法合成所述虛擬加密設備的根金鑰。
相應的,本發明還提供一種用於加密機的金鑰注入裝置,所述裝置部署在上述基於雲環境的加密機金鑰注入系 統中,包括:共用金鑰對協商單元,用於金鑰注入子系統的金鑰產生設備和加密機託管子系統的加密機通過各自的量子金鑰分發設備協商共用金鑰對,其中,所述加密機承載雲用戶託管的待注入根金鑰的虛擬加密設備;分量產生傳輸單元,用於所述金鑰產生設備產生所述虛擬加密設備的根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機;根金鑰合成單元,用於所述加密機根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
可選的,所述金鑰注入子系統的數量為1;相應的,所述分量產生傳輸單元具體用於,所述金鑰產生設備按照預先設定的根金鑰分量數目產生所述虛擬加密設備的根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機。
可選的,所述金鑰注入子系統的數量為小於預先設定的根金鑰分量數目的最大整數;相應的,所述共用金鑰對協商單元包括與所述金鑰注入子系統的數量相同的共用金鑰對協商子單元;所述每個子單元分別用於,不同金鑰注入子系統的金鑰產生設備和所述加密機分別通過各自的量子金鑰分發設備協商彼此之間的共用金鑰對;所述分量產生傳輸單元包括與所述金鑰注入子系統的 數量相同的分量產生傳輸子單元;所述每個子單元分別用於,不同金鑰注入子系統的金鑰產生設備分別產生所述虛擬加密設備的一個根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機;所述裝置還包括:加密機分量產生單元,用於所述加密機產生所述虛擬加密設備的一個根金鑰分量;所述根金鑰合成單元具體用於,加密機根據從每個分量產生傳輸子單元接收的根金鑰分量、以及所述加密機分量產生單元產生的根金鑰分量合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
可選的,所述預先設定的根金鑰分量數目為3,所述金鑰注入子系統的數量為2,所述金鑰注入子系統包括:位於雲端的管理子系統和位於客戶端的用戶子系統;所述管理子系統中的金鑰產生設備為管理設備;所述用戶子系統中的金鑰產生設備為終端設備;所述共用金鑰對協商單元包括兩個共用金鑰對協商子單元:對應於管理子系統的第一共用金鑰對協商子單元、和對應於用戶子系統的第二共用金鑰對協商子單元;所述分量產生傳輸單元包括兩個分量產生傳輸子單元:對應於管理子系統的第一分量產生傳輸子單元、和對應於用戶子系統的第二分量產生傳輸子單元。
可選的,所述裝置還包括:用戶主金鑰產生傳輸單元,用於所述終端設備產生用戶主金鑰,並採用協商好的共用金鑰加密傳輸至所述加密 機;用戶主金鑰儲存單元,用於所述加密機將接收的用戶主金鑰作為所述虛擬加密設備的用戶主金鑰儲存。
可選的,所述裝置還包括:用戶工作金鑰產生傳輸單元,用於所述終端設備產生用戶工作金鑰,並採用協商好的共用金鑰加密傳輸至所述加密機;用戶工作金鑰儲存單元,用於所述加密機將接收的用戶工作金鑰作為所述虛擬加密設備的用戶工作金鑰儲存。
可選的,所述裝置還包括:第一身份認證單元,用於在觸發所述第一共用金鑰對協商子單元工作之前,在所述管理設備和所述加密機承載的虛擬加密設備之間進行雙向身份認證;若任一方身份認證失敗,則結束本裝置的工作。
可選的,所述裝置還包括:第二身份認證單元,用於在觸發所述第二共用金鑰對協商子單元工作之前,在所述終端設備和所述加密機承載的虛擬加密設備之間進行雙向身份認證;若任一方身份認證失敗,則結束本裝置的工作。
可選的,所述第一身份認證單元和所述第二身份認證單元具體用於採用以下方式進行身份認證:請求認證方設備向對端設備發送身份認證請求,所述請求中攜帶所述請求驗證方設備的私密金鑰簽名身份證書;所述對端設備接收所述身份認證請求後,採用對應於 所述請求認證方設備的公開金鑰解密所述私密金鑰簽名身份證書,若成功,則所述請求認證方設備通過身份認證。
可選的,所述根金鑰合成單元具體用於,所述加密機採用基於門限金鑰共用機制的秘密重構演算法合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
此外,本發明還提供一種在雲端託管加密機的方法,包括:雲用戶通過終端設備向位於雲端的管理設備發送加密機託管請求;所述管理設備根據接收到的請求,為所述雲用戶分配在雲端託管的虛擬加密設備,所述虛擬加密設備由加密機承載;採用上述用於加密機的金鑰注入方法向所述加密機中注入所述虛擬加密設備的根金鑰。
可選的,在所述雲用戶通過終端設備向位於雲端的管理設備發送加密機託管請求之前,執行下述初始化操作:由相應管理者為所述管理設備、以及終端設備預置用於身份認證的公私密金鑰對、和身份證書;由加密機設備廠商為加密機中承載的虛擬加密設備預置用於身份認證的公私密金鑰對、身份證書、以及設備標識。
可選的,在所述管理設備為所述雲用戶分配在雲端託管的虛擬加密設備之後,執行下述操作:所述管理設備將所述虛擬加密設備的設備標識發送給 所述終端設備;所述終端設備根據接收到的設備標識,向加密機設備廠商驗證所述虛擬加密設備的合法性;若所述虛擬加密設備通過所述合法性驗證,則執行所述向所述加密機中注入所述虛擬加密設備的根金鑰的步驟。
可選的,在所述管理設備為所述雲用戶分配在雲端託管的虛擬加密設備之後,執行下述操作:所述管理設備與所述終端設備通過各自的量子金鑰分發設備協商共用金鑰對;相應的,所述管理設備將所述虛擬加密設備的設備標識發送給所述終端設備是指,所述管理設備採用協商好的共用金鑰加密所述設備標識,並將加密後的設備標識發送給所述終端設備;所述終端設備根據接收到的設備標識,向加密機設備廠商驗證所述虛擬加密設備的合法性是指,所述終端設備採用協商好的共用金鑰對接收到的設備標識解密,並用解密後的設備標識執行所述驗證操作。
相應的,本發明還提供一種在雲端託管加密機的裝置,包括:託管請求發送單元,用於雲用戶通過終端設備向位於雲端的管理設備發送加密機託管請求;託管設備分配單元,用於所述管理設備根據接收到的請求,為所述雲用戶分配在雲端託管的虛擬加密設備,所述虛擬加密設備由加密機承載; 根金鑰注入單元,用於採用上述用於加密機的金鑰注入裝置向所述加密機中注入所述虛擬加密設備的根金鑰。
可選的,所述裝置包括:初始化單元,用於在觸發所述託管請求發送單元工作之前執行初始化操作;所述初始化單元包括:管理及終端設備初始化子單元,用於由相應管理者為所述管理設備、以及終端設備預置用於身份認證的公私密金鑰對、和身份證書;虛擬加密設備初始化子單元,用於由加密機設備廠商為加密機中承載的虛擬加密設備預置用於身份認證的公私密金鑰對、身份證書、以及設備標識。
可選的,所述裝置包括:設備標識發送單元,用於在所述託管設備分配單元完成分配虛擬加密設備的操作後,所述管理設備將所述虛擬加密設備的設備標識發送給所述終端設備;設備合法性驗證單元,用於所述終端設備利用接收到的設備標識,向加密機設備廠商驗證所述虛擬加密設備的合法性;若所述虛擬加密設備通過所述合法性驗證,則觸發所述根金鑰注入單元工作。
可選的,所述裝置包括:共用金鑰協商單元,用於在所述託管設備分配單元完成分配虛擬加密設備的操作後,所述管理設備與所述終端設備通過各自的量子金鑰分發設備協商共用金鑰對;相應的,所述設備標識發送單元具體用於,管理設備 採用協商好的共用金鑰加密所述設備標識,並將加密後的設備標識發送給所述終端設備;所述設備合法性驗證單元具體用於,所述終端設備採用協商好的共用金鑰對接收到的設備標識解密,並用解密後的設備標識執行所述驗證操作。
與現有技術相比,本發明具有以下優點:本發明提供的基於雲環境的加密機金鑰注入系統、以及基於該系統的金鑰注入方法,將量子金鑰技術與加密機雲化技術有機結合起來,在根金鑰分量產生方與承載用戶託管的虛擬加密設備的加密機之間,利用量子金鑰分發協議協商出共用金鑰對,根金鑰分量產生方利用共用金鑰將根金鑰分量加密傳輸至加密機中,由加密機合成虛擬加密設備的根金鑰。通過上述方式,改變了傳統的手工插卡注入根金鑰的方式,實現了加密機根金鑰的遠端注入,而且由量子密碼的特性保證了遠端注入過程的安全性,從而不僅免除了雲用戶進出託管區手動插卡的必要,簡化了金鑰注入的操作過程,而且便於雲提供商對託管區進行管理,提升雲用戶對在雲端託管加密機的信任度。
301‧‧‧第一共用金鑰對協商單元
302‧‧‧第一分量產生傳輸單元
303‧‧‧第二共用金鑰對協商單元
304‧‧‧第二分量產生傳輸單元
305‧‧‧加密機分量產生單元
306‧‧‧根金鑰合成單元
501‧‧‧託管請求發送單元
502‧‧‧託管設備分配單元
503‧‧‧根金鑰注入單元
圖1是本發明實施例提供的基於雲環境的加密機金鑰注入系統的系統架構圖;圖2是本發明的一種用於加密機的金鑰注入方法的實施例的流程圖; 圖3是本發明的一種用於加密機的金鑰注入裝置的實施例的示意圖;圖4是本發明的一種在雲端託管加密機的方法的實施例的流程圖;圖5是本發明的一種在雲端託管加密機的裝置的實施例的示意圖。
在下面的描述中闡述了很多具體細節以便於充分理解本發明。但是,本發明能夠以很多不同於在此描述的其它方式來實施,本領域技術人員可以在不違背本發明內涵的情況下做類似推廣,因此,本發明不受下面公開的具體實施的限制。
在本發明中,提供了一種基於雲環境的加密機金鑰注入系統,一種用於加密機的金鑰注入方法及相應裝置,以及一種在雲端託管加密機的方法及相應裝置。在下面的實施例中逐一進行詳細說明。
本實施例提供的基於雲環境的加密機金鑰注入系統包括:至少一個金鑰注入子系統、以及位於雲端的加密機託管子系統。所述金鑰注入子系統包括:金鑰產生設備,以及與所述金鑰產生設備相連的量子金鑰分發設備;所述加密機託管子系統包括:承載雲用戶託管的虛擬加密設備的加密機,以及與所述加密機相連的量子金鑰分發設備。其中,所述金鑰注入子系統和所述加密機託管子系統通過各 自的量子金鑰分發設備相連。
需要說明的是,雲用戶在雲端託管的可以是物理加密機(即本發明所述的加密機),也可以是由加密機承載的虛擬加密設備,即:多個雲用戶可以共用一台加密機,而共用同一台加密機的每個雲用戶擁有獨立的虛擬加密設備。也可以這樣理解,當一台加密機僅分配給一個雲用戶時,那麼雲用戶在雲端託管的虛擬加密設備就是所述加密機。由於上述兩種託管方式的差異並不影響本發明技術方案的實施,因此為了便於描述,在本文的實施例中不對上述兩種情況加以區分,而是統一採用了雲用戶在雲端託管虛擬加密設備的表述方式。
在上述系統架構的基礎上,如果所述系統僅包括一個金鑰注入子系統,所述金鑰注入子系統和加密機託管子系統中的量子金鑰分發設備,用於在與之相連的金鑰產生設備和承載虛擬加密設備的加密機之間,採用量子金鑰分發協定(例如BB84協定)協商共用金鑰對;所述金鑰產生設備用於按照預先設定的根金鑰分量(也稱為根金鑰成分)數目,產生所述虛擬加密設備的根金鑰分量,並採用協商好的共用金鑰加密傳輸至承載所述虛擬加密設備的加密機;所述加密機用於用協商好的共用金鑰對接收的各根金鑰分量解密,用解密後的根金鑰分量合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。在具體實施時,所述金鑰注入子系統可以是位於雲端的管理子系統,也可以是位於客戶端的用戶子系統。
採用上述實施方式,一方面,雲用戶不用再跑到加密機託管區執行手動插卡操作,實現了虛擬加密設備根金鑰的遠端注入;另一方面,由於量子金鑰作為量子力學和密碼學的交叉產物,其安全性基於量子力學原理保證,與攻擊者的計算能力和儲存能力無關,因此充分地保證了金鑰遠端注入過程的安全性。
在上述實施方式的基礎上,為了進一步保證虛擬加密設備的根金鑰的安全性,同時也考慮到雲用戶對雲供應商的信任,本實施例還提供一種較佳實施方式:所述金鑰注入子系統的數量為小於預先設定的根金鑰分量數目的最大整數;每個金鑰注入子系統中的金鑰產生設備具體用於產生所述虛擬加密設備的一個根金鑰分量;所述加密機負責產生所述虛擬加密設備的一個根金鑰分量,並根據從每個金鑰注入子系統接收的根金鑰分量、以及其產生的根金鑰分量,合成所述虛擬加密設備的根金鑰。
下面結合應用比較普及的傳統加密機金鑰體系,例如金融加密機金鑰體系,對本系統的上述較佳實施方式作詳細說明。由於傳統加密機金鑰體系由三層組成:根金鑰、用戶主金鑰和用戶工作金鑰,其中根金鑰由三個分量組成。因此本系統包括2個金鑰注入子系統:位於雲端的管理子系統和位於客戶端的用戶子系統,所述管理子系統包括:量子金鑰分發設備和用於承擔所述金鑰產生設備功能的管理設備;所述用戶子系統包括:量子金鑰分發設備和用於承擔所述金鑰產生設備功能的終端設備。
請參考附圖1,其為本實施例提供的基於雲環境的加密機金鑰注入系統的系統架構圖,其中,管理子系統也可以稱作雲提供商加密機託管平台管理中心,該子系統包括兩台管理設備,不僅負責對加密機的安全監控、鑒別、授權託管、審計等,還可以產生根金鑰分量並遠端注入到承載虛擬加密設備的加密機中,所述管理子系統中還包括與上述管理設備相連的量子金鑰分發設備1和2;加密機託管子系統也可以稱作加密機託管區,包括承載虛擬加密設備的加密機A和加密機B,以及與上述設備相連的量子金鑰分發設備3、4、5和6;本系統架構圖中還包括雲用戶甲、乙分別所在的兩個用戶子系統,各用戶子系統除了包括終端設備外,還分別包括各自的量子金鑰分發設備7或8。所述雲用戶甲以及雲用戶乙可以是使用雲服務的個人,也可以是使用雲服務的企業。
在一個具體的例子中,加密機A中承載了雲用戶甲在雲端託管的、待注入根金鑰的虛擬加密設備,並且由管理子系統中的第一管理設備負責向所述虛擬加密設備注入一個根金鑰分量。具體說,量子金鑰分發設備1和3用於,在管理子系統中的第一管理設備和加密機託管子系統中的加密機A之間協商共用金鑰對;所述第一管理設備用於通過雲提供商管理員的操作或者通過安裝的金鑰產生及管理程式產生所述虛擬加密設備的第一根金鑰分量,並用協商好的共用金鑰加密傳輸至加密機A;加密機A用協商好的同樣的共用金鑰進行解密,從而獲取管理子系統注入的所 述第一根金鑰分量。
同樣的道理,量子金鑰分發設備5和7用於,在用戶甲的終端設備與加密機A之間協商共用金鑰對;用戶甲的終端設備用於通過用戶甲的操作或者通過安裝的金鑰產生及管理程式產生所述虛擬加密設備的第二根金鑰分量,並用已經協商好的共用金鑰加密傳輸至加密機A;加密機A用協商好的同樣的共用金鑰進行解密,從而獲取用戶子系統注入的所述第二根金鑰分量。
加密機A用於通過自帶的金鑰產生模組或者工具隨機產生所述虛擬加密設備的第三根金鑰分量;加密機A還用於根據管理子系統和用戶子系統注入的第一根金鑰分量、第二根金鑰分量,以及其自己產生的第三根金鑰分量,合成所述虛擬加密設備的根金鑰。加密機A可以採用不同的演算法合成所述根金鑰,例如,可以用所述三個金鑰分量通過模2加的方式、或者按位元異或的方式合成所述根金鑰,也可以採用更為複雜的方式,例如,採用基於門限金鑰共用機制的秘密重構演算法合成所述根金鑰。
通過上面的描述可以看出,由於採用了由雲提供商管理子系統、雲用戶子系統以及加密機分別產生根金鑰分量、並由加密機進行合成的方式,相當於將產生根金鑰分量的權利分散化,即使出現任意一方洩漏根金鑰分量的情況,也不會危及到雲用戶在雲端的業務以及資料的安全,從而在提高安全性的同時提升雲用戶對雲提供商的信任度。
進一步地,由於傳統加密機金鑰體系中通常還包括用戶主金鑰,本實施例提供的上述較佳實施方式中,還可以將所述用戶主金鑰保存在加密機中。具體說,所述用戶子系統的終端設備還用於通過雲用戶的操作或者通過安裝的金鑰產生及管理程式產生用戶主金鑰,並採用協商好的共用金鑰加密傳輸至承載所述虛擬加密設備的加密機;相應的,所述加密機還用於,將接收到的所述用戶主金鑰作為所述虛擬加密設備的用戶主金鑰儲存。
同理,由於傳統加密機金鑰體系中通常還包括用戶工作金鑰,本實施例提供的上述較佳實施方式中,還可以將所述用戶工作金鑰保存在加密機中。具體說,所述用戶子系統的終端設備還用於通過雲用戶的操作或者通過安裝的金鑰產生及管理程式產生用戶工作金鑰,並採用協商好的共用金鑰加密傳輸至承載所述虛擬加密設備的加密機;相應的,所述加密機還用於,將接收到的所述用戶工作金鑰作為所述虛擬加密設備的用戶工作金鑰儲存。
需要說明的是,上述實施例描述的金鑰產生設備(包括管理設備或者終端設備)將根金鑰分量或者其他金鑰,加密傳輸至承載虛擬加密設備的加密機,在具體實施時通常包括兩種方式:如果量子金鑰分發設備不具有資料加解密功能,那麼金鑰產生設備根據量子金鑰分發設備向其提供的協商好的量子金鑰,對根金鑰分量或者其他金鑰進行加密,然後通過金鑰產生設備和加密機之間的經典通道傳輸至加密機,由加密機執行解密操作;如果量子金鑰分發 設備具有資料加解密功能,即:量子金鑰分發設備是量子加密機,那麼金鑰產生設備可以將根金鑰分量或者其他金鑰發送給與其相連的量子金鑰分發設備,由量子金鑰分發設備用協商好的量子金鑰進行加密,並通過經典通道傳輸至加密機一側的量子金鑰分發設備,由該量子金鑰分發設備執行解密操作,並將解密後的根金鑰分量或者其他金鑰發送給加密機。
在上面描述的實施方式中,所述用戶子系統擁有自己的量子金鑰分發設備,在其他實施方式中,用戶子系統也可以租賃雲端的量子金鑰分發設備,也就是說用戶子系統的量子金鑰分發設備的物理位置不是位於客戶端一側,而是位於雲端。這種情況下,終端設備可以通過VPN方式登錄量子金鑰分發設備,實現相應的操作,例如獲取協商好的共用金鑰或者向其發送待注入的根金鑰分量或者用戶主金鑰等,同樣也可以實現本發明技術方案的遠端注入功能。
此外,圖1僅僅是本發明提出的加密機金鑰注入系統的一個示意性的系統架構圖,在具體實施方式中,還可以做多種變更。例如,所述管理子系統中的管理設備的數量、以及加密機託管子系統中的加密機的數量都可以根據具體需求進行配置;所述管理子系統和所述加密機託管子系統可以處於雲端的同一個網路域中,也可以處於不同的網路域中,兩者的量子金鑰分發設備可以通過具有量子金鑰中繼功能的路由設備相連,採用這種遠端操作方式,可 以提升加密機託管子系統的安全運營及雲用戶對雲提供商的信任。再如,作為一個完備的系統,還可以包括維護子系統,所述維護子系統主要用於,由加密機設備廠商對加密機承載的虛擬加密設備進行初始授權、以及對加密機的故障監控及維護等,當然在具體實施中,也可以由管理子系統承擔所述維護子系統的上述功能。
綜上所述,本實施例提供的基於雲環境的加密機金鑰注入系統,將量子金鑰技術與加密機雲化技術有機結合起來,改變了傳統的手工插卡注入根金鑰的方式,實現了加密機根金鑰的遠端注入,而且由量子密碼的特性保證了遠端注入過程的安全性,從而不僅免除了雲用戶進出託管區手動插卡的必要,簡化了金鑰注入的操作過程,而且便於雲提供商對託管區進行管理,提升雲用戶對在雲端託管加密機的信任度。特別是,如果由一個以上金鑰注入子系統以及加密機共同參與根金鑰分量的產生過程,不僅可以提升根金鑰的安全性、還可以進一步提升雲用戶對雲提供商的信任度。
在上述實施例中提供了一種基於雲環境的加密機金鑰注入系統,在此基礎上,本發明還提供一種用於加密機的金鑰注入方法,所述方法在上述基於雲環境的加密機金鑰注入系統中實施。在描述本實施例之前,先對本技術方案作簡要說明。
對於由加密機承載的待注入根金鑰的虛擬加密設備,為了實現其根金鑰的遠端安全注入,本方法包括以下步 驟:1)金鑰注入子系統的金鑰產生設備和加密機託管子系統的加密機通過各自的量子金鑰分發設備協商共用金鑰對,其中,所述加密機承載雲用戶託管的待注入根金鑰的虛擬加密設備;2)所述金鑰產生設備產生所述虛擬加密設備的根金鑰分量、並採用協商好的共用金鑰加密傳輸至所述加密機;3)所述加密機根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰、並儲存所述根金鑰。
在本方法的實施過程中,可以僅由一個金鑰注入子系統(例如:位於雲端的管理子系統或者位於客戶端的用戶子系統)按照預先設定的根金鑰分量數目產生對應於所述虛擬加密設備的全部根金鑰分量、並用協商好的共用金鑰將所述全部分量加密傳輸至承載所述虛擬加密設備的加密機,由加密機根據接收到的、解密後的所述全部分量合成所述虛擬加密設備的根金鑰並儲存。
在本方法的實施過程中,也可以由一個以上金鑰注入子系統以及加密機共同參與根金鑰分量的產生,在這種情況下,由加密機根據接收到的來自不同金鑰注入子系統的根金鑰分量以及自己產生的根金鑰分量,合成所述根金鑰。
為了提升根金鑰的安全性以及雲用戶對雲提供商的信任,本實施例重點描述後一種實施方式。採用這種方式, 金鑰注入子系統的數量為小於預先設定的根金鑰分量數目的最大整數,上述步驟1)至3)也可以相應地進行細化,每個金鑰注入子系統內的、負責產生根金鑰分量的金鑰產生設備都與加密機進行量子金鑰協商,每個金鑰注入子系統的所述金鑰產生設備都產生一個根金鑰分量並加密傳輸至加密機,同時增加由加密機產生一個根金鑰分量的步驟,並由加密機根據上述根金鑰分量合成為所述虛擬加密設備的根金鑰。
進一步地,由於目前傳統加密機金鑰體系應用比較普及,因此本實施例以傳統加密機的金鑰體系為例,描述本技術方案的具體實施方式。在傳統加密機金鑰體系中根金鑰分量數目為3,相應的,在實施本方法的系統中包括兩個金鑰注入子系統,分別為:位於雲端的管理子系統和位於客戶端的用戶子系統;所述管理子系統中的金鑰產生設備為管理設備;所述用戶子系統中的金鑰產生設備為終端設備。
請參考圖2,其為本發明提供的一種用於加密機的金鑰注入方法的實施例的流程圖,本實施例與之前提供的基於雲環境的加密機金鑰注入系統的實施例內容相同的部分不再贅述,下面重點描述不同之處。本發明提供的用於加密機的金鑰注入方法包括: 步驟201:管理設備和加密機通過各自的量子金鑰分發設備協商共用金鑰對,所述加密機承載雲用戶託管的待注入根金鑰的虛擬加密設備。
為了保證金鑰協商過程以及後續根金鑰分量注入過程的安全性,在執行本步驟的量子金鑰協商之前,可以先在管理設備和虛擬加密設備之間進行雙向身份認證。
具體說,管理設備向承載虛擬加密設備的加密機發送身份認證請求,所述請求中攜帶所述管理設備的私密金鑰簽名身份證書,加密機接收到所述身份認證請求後,採用對應於所述管理設備的公開金鑰解密所述私密金鑰簽名身份證書,若成功,則說明所述管理設備的身份是合法的。同樣的道理,所述加密機也可以向所述管理設備發送其承載的虛擬加密設備的私密金鑰簽名身份證書,所述管理設備採用同樣的方法對虛擬加密設備的身份進行驗證。在上述雙向身份認證過程中,如果任一方身份認證失敗,則結束本方法的執行。
上面給出了基於公私密金鑰對的身份認證方式,在其他實施方式中,也可以採用其他方式進行身份認證。例如加密機可以向管理設備發送所述虛擬加密設備的設備標識(例如,由設備廠商預置的序號),管理設備利用該設備標識對虛擬加密設備進行身份驗證。所述管理設備和虛擬加密設備的公私密金鑰對和身份證書、以及設備標識等資訊可以預置在所述設備中,也可以預先儲存在相應設備的專屬加密機中。
如果管理設備和虛擬加密設備都通過了對方的身份認證,那麼管理設備和承載所述虛擬加密設備的加密機就可以通過各自的量子金鑰分發設備,按照量子金鑰分發協 議,例如:BB84協議,協商共用金鑰對。
步驟202:管理設備產生虛擬加密設備的第一根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機。
管理設備可以通過雲提供商管理員的操作或者通過安裝的金鑰產生及管理程式產生虛擬加密設備的第一根金鑰分量,並採用在步驟201中協商好的共用金鑰加密傳輸至所述加密機,其中資料加解密功能可以由相應的管理設備或加密機完成,也可以由量子金鑰分發設備完成,詳細說明請參見之前提供的基於雲環境的加密機金鑰注入系統的實施例中的相關描述。
步驟203:終端設備和加密機通過各自的量子金鑰分發設備協商共用金鑰對。
同步驟201類似,在執行本步驟的量子金鑰協商之前,可以先在終端設備和虛擬加密設備之間進行雙向身份認證,具體處理流程請參見步驟201中的說明。如果終端設備和虛擬加密設備都通過了對方的身份認證,那麼終端設備和承載所述虛擬加密設備的加密機就可以通過各自的量子金鑰分發設備,按照量子金鑰分發協議,例如:BB84協議,協商共用金鑰對。
步驟204:終端設備產生虛擬加密設備的第二根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機。
終端設備可以通過雲用戶的操作或者通過安裝的金鑰產生及管理程式產生虛擬加密設備的第二根金鑰分量,並採用在步驟203中協商好的共用金鑰加密傳輸至所述加密 機,其中資料加解密功能可以由相應的終端設備或加密機完成,也可以由量子金鑰分發設備完成,詳細說明請參見之前提供的基於雲環境的加密機金鑰注入系統的實施例中的相關描述。
步驟205:加密機產生所述虛擬加密設備的第三根金鑰分量。
加密機可以通過自帶的金鑰產生模組或者工具隨機產生所述虛擬加密設備的第三根金鑰分量。
步驟206:加密機根據接收的第一根金鑰分量、第二根金鑰分量以及自己產生的第三根金鑰分量,合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
加密機可以採用預先設定的演算法完成本步驟的合成根金鑰的操作,並將合成的根金鑰作為其承載的所述虛擬加密設備的根金鑰儲存,關於合成演算法的說明請參見之前提供的基於雲環境的加密機金鑰注入系統的實施例中的相關描述。
通過上述步驟201至206,實現了根金鑰的遠端注入。進一步地,本方法還可以實現用戶主金鑰和用戶工作金鑰的遠端注入。具體說,在本步驟後還可以執行以下操作:
1)所述終端設備產生用戶主金鑰,並採用協商好的共用金鑰加密傳輸至所述加密機;所述加密機將接收的用戶主金鑰作為所述虛擬加密設備的用戶主金鑰儲存。
2)所述終端設備產生用戶工作金鑰,並採用協商好 的共用金鑰加密傳輸至所述加密機;所述加密機將接收的用戶工作金鑰作為所述虛擬加密設備的用戶工作金鑰儲存。
通過上面的描述可以看出,本方法的核心在於,由金鑰注入子系統的金鑰產生設備產生所述虛擬加密設備的根金鑰分量,並採用通過量子金鑰分發設備協商好的共用金鑰加密傳輸至加密機,由加密機合成所述虛擬加密設備的根金鑰,從而實現了根金鑰的遠端安全注入,免除了雲用戶進出託管區手動插卡的必要,簡化了金鑰注入的操作過程。特別是,如果由一個以上金鑰注入子系統以及加密機共同參與根金鑰分量的產生過程,不僅可以提升根金鑰的安全性、還可以進一步提升雲用戶對雲提供商的信任度。
在上述的實施例中,提供了一種用於加密機的金鑰注入方法,與之相對應的,本發明還提供一種用於加密機的金鑰注入裝置。請參看圖3,其為本發明的一種用於加密機的金鑰注入裝置的實施例的示意圖。由於裝置實施例基本相似於方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。
本實施例的一種用於加密機的金鑰注入裝置,包括:第一共用金鑰對協商單元301,用於管理設備和加密機通過各自的量子金鑰分發設備協商共用金鑰對;第一分量產生傳輸單元302,用於管理設備產生虛擬加密設備的第一根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加 密機;第二共用金鑰對協商單元303,用於終端設備和加密機通過各自的量子金鑰分發設備協商共用金鑰對;第二分量產生傳輸單元304,用於終端設備產生虛擬加密設備的第二根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機;加密機分量產生單元305,用於所述加密機產生所述虛擬加密設備的第三根金鑰分量;根金鑰合成單元306,用於加密機根據從每個分量產生傳輸單元接收的根金鑰分量、以及所述加密機分量產生單元產生的根金鑰分量合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
可選的,所述裝置還包括:用戶主金鑰產生傳輸單元,用於所述終端設備產生用戶主金鑰,並採用協商好的共用金鑰加密傳輸至所述加密機;用戶主金鑰儲存單元,用於所述加密機將接收的用戶主金鑰作為所述虛擬加密設備的用戶主金鑰儲存。
可選的,所述裝置還包括:用戶工作金鑰產生傳輸單元,用於所述終端設備產生用戶工作金鑰,並採用協商好的共用金鑰加密傳輸至所述加密機;用戶工作金鑰儲存單元,用於所述加密機將接收的用戶工作金鑰作為所述虛擬加密設備的用戶工作金鑰儲存。
可選的,所述裝置還包括:第一身份認證單元,用於在觸發所述第一共用金鑰對 協商單元工作之前,在所述管理設備和所述加密機承載的虛擬加密設備之間進行雙向身份認證;若任一方身份認證失敗,則結束本裝置的工作。
可選的,所述裝置還包括:第二身份認證單元,用於在觸發所述第二共用金鑰對協商單元工作之前,在所述終端設備和所述加密機承載的虛擬加密設備之間進行雙向身份認證;若任一方身份認證失敗,則結束本裝置的工作。
可選的,所述第一身份認證單元和所述第二身份認證單元具體用於採用以下方式進行身份認證:請求認證方設備向對端設備發送身份認證請求,所述請求中攜帶所述請求驗證方設備的私密金鑰簽名身份證書;所述對端設備接收所述身份認證請求後,採用對應於所述請求認證方設備的公開金鑰解密所述私密金鑰簽名身份證書,若成功,則所述請求認證方設備通過身份認證。
可選的,所述根金鑰合成單元具體用於,所述加密機採用基於門限金鑰共用機制的秘密重構演算法合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
在上述實施例中提供了一種基於雲環境的加密機金鑰注入系統和一種用於加密機的金鑰注入方法,在此基礎上,本發明還提供一種在雲端託管加密機的方法。請參考圖4,其為本發明的一種在雲端託管加密機的方法實施例的流程圖,本實施例與上述實施例內容相同的部分不再贅述,下面重點描述不同之處。本發明提供的在雲端託管加 密機的方法包括:步驟401:雲用戶通過終端設備向位於雲端的管理設備發送加密機託管請求。
隨著雲用戶的資料以及業務向雲端的遷移,雲用戶通常也希望在雲端擁有自己的加密機,並通過在加密機中儲存的金鑰對雲端儲存的其他金鑰或者業務資料提供可靠的保護。在上述需求背景下,雲提供商可以在雲端提供加密機託管服務,雲用戶則可以根據需要通過終端設備向位於雲端的管理設備發送加密機託管請求。
為了便於在後續操作過程中執行與身份認證相關的安全性操作,在雲用戶通過終端設備向位於雲端的管理設備發送加密機託管請求之前,可以執行下述系統初始化操作:由雲提供商管理員為所述管理設備預置用於身份認證的公私密金鑰對、和身份證書;由雲用戶(包括使用雲服務的企業的管理員)為其終端設備預置用於身份認證的公私密金鑰對、和身份證書;由加密機設備廠商為加密機中承載的虛擬加密設備預置用於身份認證的公私密金鑰對、身份證書、以及設備標識。上述公開金鑰是對外公開的,私密金鑰用於簽名身份證書。上述與身份認證相關的預置資訊可以保存在相應設備專屬的加密機中,也可以採用其他方式儲存,在執行後續步驟時,可以採用上述身份認證資訊對參與操作的設備身份進行驗證(請參見步驟403)。
步驟402:管理設備根據接收到的請求,為所述雲用戶分配在雲端託管的虛擬加密設備,所述虛擬加密設備由加密機承載。
管理設備根據接收到的加密機託管請求,為雲用戶分配相應加密機。管理設備為雲用戶分配的可以是擁有獨立物理空間的加密機,也可以是由加密機承載的虛擬加密設備,即:多個雲用戶可以共用一台加密機,而共用同一加密機的每個雲用戶擁有獨立的虛擬加密設備。在具體實施時,上述兩種分配方式並不影響本技術方案的實施,為了便於描述,本實施例統一採用虛擬加密設備的表述方式。
通常管理設備在完成上述分配操作後,可以向所述終端設備發送已分配完畢的應答,並同時向終端設備發送所述虛擬加密設備的設備標識,以便於雲用戶在日後隨時監管分配給其的虛擬加密設備的使用情況及安全狀況。所述虛擬加密設備的設備標識是指,加密機設備廠商在系統初始化階段為每個可供分配的虛擬加密設備預置的、用於唯一標識虛擬加密設備的標識資訊,例如:序號。
所述終端設備接收所述設備標識資訊後,可以向加密機設備廠商驗證所述虛擬加密設備的合法性。此處列舉兩種可以採用的驗證方式:所述終端設備向相應的加密機設備廠商發送驗證請求,並攜帶所述待驗證的設備標識,所述加密機設備廠商執行驗證操作後向終端設備回饋所述驗證結果;通過所述終端設備訪問加密機設備廠商提供的用於進行設備認證的網站、並根據所述設備標識進行查詢。 若所述加密機設備廠商回饋的驗證結果或者查詢結果表明,所述虛擬加密設備通過所述合法性驗證,則可以執行後續步驟403向所述加密機中注入所述虛擬加密設備的根金鑰;否則,終端設備可以通知管理設備所述虛擬加密設備未通過合法性驗證,並且不繼續執行後續注入根金鑰的步驟。
需要說明的是,作為一種較佳實施方式,為了保證所述設備標識資訊的安全性,所述管理設備可以在向終端設備發送設備標識之前,與所述終端設備通過各自的量子金鑰分發設備協商共用金鑰對;然後管理設備採用協商好的共用金鑰加密所述設備標識,並將加密後的設備標識發送給所述終端設備。相應的,所述終端設備採用協商好的共用金鑰解密接收到的設備標識,並用解密後的設備標識執行所述驗證操作。
步驟403:向所述加密機中遠端注入所述虛擬加密設備的根金鑰。
本步驟採用本發明提供的用於加密機的金鑰注入方法完成所述根金鑰的注入操作,具體描述請參見相應實施例中的說明,此處不再贅述。
需要說明的是,如果在上述步驟402中根據雲用戶的需求,為雲用戶分配了一個以上虛擬加密設備,那麼在本步驟中可以採用遠端注入的方式依次為每個虛擬加密設備注入根金鑰。
本實施例提供的在雲端託管加密機的方法,提出了一 種實現加密機雲化的技術方案,雲用戶通過終端設備向雲端的管理設備發送加密機託管請求,就可以在雲端託管虛擬加密設備,並且通過遠端注入的方式實現根金鑰的注入操作。由此可見,本方法提供了加密機雲化的一種新思路,不僅方便雲用戶在雲端託管虛擬加密設備,而且免除了雲用戶進出託管區手動插卡的必要,簡化了金鑰注入的操作過程,便於雲提供商對託管區進行管理,提升雲用戶對在雲端託管加密機的信任度。
在上述的實施例中,提供了一種在雲端託管加密機的方法,與之相對應的,本發明還提供一種在雲端託管加密機的裝置。請參看圖5,其為本發明的一種在雲端託管加密機的裝置的實施例的示意圖。由於裝置實施例基本相似於方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。
本實施例的一種在雲端託管加密機的裝置,包括:託管請求發送單元501,用於雲用戶通過終端設備向位於雲端的管理設備發送加密機託管請求;託管設備分配單元502,用於所述管理設備根據接收到的請求,為所述雲用戶分配在雲端託管的虛擬加密設備,所述虛擬加密設備由加密機承載;根金鑰注入單元503,用於採用上述用於加密機的金鑰注入裝置,向所述加密機中遠端注入所述虛擬加密設備的根金鑰。
可選的,所述裝置包括:初始化單元,用於在觸發所 述託管請求發送單元工作之前執行初始化操作;該單元包括:管理及終端設備初始化子單元,用於由相應管理者為所述管理設備、以及終端設備預置用於身份認證的公私密金鑰對、和身份證書;虛擬加密設備初始化子單元,用於由加密機設備廠商為加密機中承載的虛擬加密設備預置用於身份認證的公私密金鑰對、身份證書、以及設備標識。
可選的,所述裝置包括:設備標識發送單元,用於在所述託管設備分配單元完成分配虛擬加密設備的操作後,所述管理設備將所述虛擬加密設備的設備標識發送給所述終端設備;設備合法性驗證單元,用於所述終端設備利用接收到的設備標識,向加密機設備廠商驗證所述虛擬加密設備的合法性;若所述虛擬加密設備通過所述合法性驗證,則觸發所述根金鑰注入單元工作。
可選的,所述裝置包括:共用金鑰協商單元,用於在所述託管設備分配單元完成分配虛擬加密設備的操作後,所述管理設備與所述終端設備通過各自的量子金鑰分發設備協商共用金鑰對;相應的,所述設備標識發送單元具體用於,管理設備採用協商好的共用金鑰加密所述設備標識,並將加密後的設備標識發送給所述終端設備;所述設備合法性驗證單元具體用於,所述終端設備採 用協商好的共用金鑰對接收到的設備標識解密,並用解密後的設備標識執行所述驗證操作。
本發明雖然以較佳實施例公開如上,但其並不是用來限定本發明,任何本領域技術人員在不脫離本發明的精神和範圍內,都可以做出可能的變動和修改,因此本發明的保護範圍應當以本發明權利要求所界定的範圍為准。
在一個典型的配置中,計算設備包括一個或多個處理器(CPU)、輸入/輸出介面、網路介面和記憶體。
記憶體可能包括電腦可讀介質中的非永久性記憶體,隨機存取記憶體(RAM)和/或非易失性記憶體等形式,如唯讀記憶體(ROM)或快閃記憶體(flash RAM)。記憶體是電腦可讀介質的示例。
1、電腦可讀介質包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現資訊儲存。資訊可以是電腦可讀指令、資料結構、程式的模組或其他資料。電腦的儲存介質的例子包括,但不限於相變記憶體(PRAM)、靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、其他類型的隨機存取記憶體(RAM)、唯讀記憶體(ROM)、電可擦除可程式設計唯讀記憶體(EEPROM)、快閃記憶體或其他記憶體技術、唯讀光碟唯讀記憶體(CD-ROM)、數位多功能光碟(DVD)或其他光學儲存、磁盒式磁帶,磁帶磁磁片儲存或其他磁性存放裝置或任何其他非傳輸介質,可用於儲存可以被計算設備存取的資訊。按照本文中的界定,電腦可 讀介質不包括非暫存電腦可讀媒體(transitory media),如調變的資料信號和載波。
2、本領域技術人員應明白,本發明的實施例可提供為方法、系統或電腦程式產品。因此,本發明可採用完全硬體實施例、完全軟體實施例或結合軟體和硬體方面的實施例的形式。而且,本發明可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存介質(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。

Claims (41)

  1. 一種基於雲環境並將產生根金鑰分量的權利分散化的加密機金鑰注入系統,其中,所述加密機金鑰注入系統包括:至少一個金鑰注入子系統、以及位於雲端的加密機託管子系統;所述加密機託管子系統包括:承載雲用戶託管的虛擬加密設備的加密機,以及與所述加密機相連的量子金鑰分發設備;所述金鑰注入子系統包括:金鑰產生設備,以及與所述金鑰產生設備相連的量子金鑰分發設備;其中,所述金鑰注入子系統和所述加密機託管子系統通過各自的量子金鑰分發設備相連;所述量子金鑰分發設備用於在與之相連的金鑰產生設備和加密機之間協商共用金鑰對;所述金鑰產生設備用於產生所述虛擬加密設備的根金鑰分量、以及採用協商好的共用金鑰加密傳輸至承載所述虛擬加密設備的加密機;所述加密機用於根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
  2. 如申請專利範圍第1項所述的基於雲環境的加密機金鑰注入系統,其中,所述金鑰注入子系統的數量為1;相應的,所述金鑰注入子系統的金鑰產生設備具體用於,按照預先設定的根金鑰分量數目為所述虛擬加密設備產生相應數目的根金鑰分量,並採用協商好的共用金鑰加密傳輸至承載所述虛擬加密設備的加密機。
  3. 如申請專利範圍第2項所述的基於雲環境的加密機金鑰注入系統,其中,所述金鑰注入子系統包括:位於雲端的管理子系統、或者位於客戶端的用戶子系統。
  4. 如申請專利範圍第1項所述的基於雲環境的加密機金鑰注入系統,其中,所述金鑰注入子系統的數量為小於預先設定的根金鑰分量數目的最大整數;每個金鑰注入子系統中的金鑰產生設備具體用於,產生所述虛擬加密設備的一個根金鑰分量;所述加密機還用於,產生所述虛擬加密設備的一個根金鑰分量;相應的,所述加密機用於根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰具體是指,所述加密機根據從每個金鑰注入子系統接收的根金鑰分量,以及其產生的根金鑰分量,合成所述虛擬加密設備的根金鑰。
  5. 如申請專利範圍第4項所述的基於雲環境的加密機金鑰注入系統,其中,所述預先設定的根金鑰分量數目為3,所述金鑰注入子系統的數量為2,所述金鑰注入子系統包括:位於雲端的管理子系統和位於客戶端的用戶子系統;所述管理子系統包括:量子金鑰分發設備和用於承擔所述金鑰產生設備功能的管理設備;所述用戶子系統包括:量子金鑰分發設備和用於承擔所述金鑰產生設備功能的終端設備。
  6. 如申請專利範圍第5項所述的基於雲環境的加密機金鑰注入系統,其中,所述用戶子系統的終端設備還用於產生用戶主金鑰,並採用協商好的共用金鑰加密傳輸至 承載所述虛擬加密設備的加密機;相應的,所述加密機還用於,將接收的所述用戶主金鑰作為所述虛擬加密設備的用戶主金鑰儲存。
  7. 如申請專利範圍第6項所述的基於雲環境的加密機金鑰注入系統,其中,所述用戶子系統的終端設備還用於產生用戶工作金鑰,並採用協商好的共用金鑰加密傳輸至承載所述虛擬加密設備的加密機;相應的,所述加密機還用於,將接收的所述用戶工作金鑰作為所述虛擬加密設備的用戶工作金鑰儲存。
  8. 如申請專利範圍第5項所述的基於雲環境的加密機金鑰注入系統,其中,所述用戶子系統的量子金鑰分發設備包括:在雲端租賃的量子金鑰分發設備。
  9. 如申請專利範圍第5項所述的基於雲環境的加密機金鑰注入系統,其中,所述加密機託管子系統的量子金鑰分發設備和所述管理子系統的量子金鑰分發設備通過具有量子金鑰中繼功能的路由設備相連。
  10. 如申請專利範圍第1至9項中任一項所述的基於雲環境的加密機金鑰注入系統,其中,所述量子金鑰分發設備包括:具有資料加解密功能的量子加密機。
  11. 如申請專利範圍第1至9項中任一項所述的基於雲環境的加密機金鑰注入系統,其中,所述加密機根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰具體是指,所述加密機採用基於門限金鑰共用機制的秘密重構演算法實現所述合成操作。
  12. 如申請專利範圍第1至9項中任一項所述的基於雲環境的加密機金鑰注入系統,其中,所述系統還包括:維護子系統;所述維護子系統用於,對所述加密機承載的虛擬加密設備進行初始授權、以及對所述加密機的故障監控及維護。
  13. 如申請專利範圍第1至9項中任一項所述的基於雲環境的加密機金鑰注入系統,其中,所述用戶託管的虛擬加密設備為所述加密機。
  14. 一種用於加密機的金鑰注入方法,其中,所述方法在如申請專利範圍第1項所述的基於雲環境並將產生根金鑰分量的權利分散化的加密機金鑰注入系統中實施,包括:金鑰注入子系統的金鑰產生設備和加密機託管子系統的加密機通過各自的量子金鑰分發設備協商共用金鑰對,其中,所述加密機承載雲用戶託管的待注入根金鑰的虛擬加密設備;所述金鑰產生設備產生所述虛擬加密設備的根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機;所述加密機根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
  15. 如申請專利範圍第14項所述的用於加密機的金鑰注入方法,其中,所述金鑰注入子系統的數量為1;相應的,所述金鑰產生設備產生所述虛擬加密設備的根金鑰分量是指,所述金鑰產生設備按照預先設定的根金 鑰分量數目產生所述虛擬加密設備的根金鑰分量。
  16. 如申請專利範圍第14項所述的用於加密機的金鑰注入方法,其中,所述金鑰注入子系統的數量為小於預先設定的根金鑰分量數目的最大整數;相應的,所述金鑰注入子系統的金鑰產生設備和加密機託管子系統的加密機通過各自的量子金鑰分發設備協商共用金鑰對包括:每個金鑰注入子系統的金鑰產生設備和所述加密機分別通過各自的量子金鑰分發設備協商彼此之間的共用金鑰對;所述金鑰產生設備產生所述虛擬加密設備的根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機,包括:每個金鑰注入子系統的金鑰產生設備分別產生所述虛擬加密設備的一個根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機;所述方法還包括:所述加密機產生所述虛擬加密設備的一個根金鑰分量;所述加密機根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰具體是指,所述加密機根據從每個金鑰注入子系統接收的根金鑰分量、以及其產生的根金鑰分量合成所述虛擬加密設備的根金鑰。
  17. 如申請專利範圍第16項所述的用於加密機的金鑰注入方法,其中,所述預先設定的根金鑰分量數目為3,所述金鑰注入子系統的數量為2,所述金鑰注入子系統包括:位於雲端的管理子系統和位於客戶端的用戶子系 統;所述管理子系統中的金鑰產生設備為管理設備;所述用戶子系統中的金鑰產生設備為終端設備。
  18. 如申請專利範圍第17項所述的用於加密機的金鑰注入方法,其中,還包括:所述終端設備產生用戶主金鑰,並採用協商好的共用金鑰加密傳輸至所述加密機;所述加密機將接收的用戶主金鑰作為所述虛擬加密設備的用戶主金鑰儲存。
  19. 如申請專利範圍第18項所述的用於加密機的金鑰注入方法,其中,還包括:所述終端設備產生用戶工作金鑰,並採用協商好的共用金鑰加密傳輸至所述加密機;所述加密機將接收的用戶工作金鑰作為所述虛擬加密設備的用戶工作金鑰儲存。
  20. 如申請專利範圍第17項所述的用於加密機的金鑰注入方法,其中,在所述管理設備和加密機通過各自的量子金鑰分發設備協商共用金鑰對的步驟之前,執行下述操作:在所述管理設備和所述加密機承載的虛擬加密設備之間進行雙向身份認證;若任一方身份認證失敗,則結束本方法的執行。
  21. 如申請專利範圍第17項所述的用於加密機的金鑰注入方法,其中,在所述終端設備和加密機通過各自的量子金鑰分發設備協商共用金鑰對的步驟之前,執行下述 操作:在所述終端設備和所述加密機承載的虛擬加密設備之間進行雙向身份認證;若任一方身份認證失敗,則結束本方法的執行。
  22. 如申請專利範圍第20或21項所述的用於加密機的金鑰注入方法,其中,所述身份認證採用如下方式實現:請求認證方設備向對端設備發送身份認證請求,所述請求中攜帶所述請求驗證方設備的私密金鑰簽名身份證書;所述對端設備接收所述身份認證請求後,採用對應於所述請求認證方設備的公開金鑰解密所述私密金鑰簽名身份證書,若成功,則所述請求認證方設備通過身份認證。
  23. 如申請專利範圍第14至21項中任一項所述的用於加密機的金鑰注入方法,其中,所述加密機採用基於門限金鑰共用機制的秘密重構演算法合成所述虛擬加密設備的根金鑰。
  24. 一種用於加密機的金鑰注入裝置,其中,所述裝置部署在如申請專利範圍第1項所述的基於雲環境並將產生根金鑰分量的權利分散化的加密機金鑰注入系統中,包括:共用金鑰對協商單元,用於金鑰注入子系統的金鑰產生設備和加密機託管子系統的加密機通過各自的量子金鑰分發設備協商共用金鑰對,其中,所述加密機承載雲用戶 託管的待注入根金鑰的虛擬加密設備;分量產生傳輸單元,用於所述金鑰產生設備產生所述虛擬加密設備的根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機;根金鑰合成單元,用於所述加密機根據接收的根金鑰分量合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
  25. 如申請專利範圍第24項所述的用於加密機的金鑰注入裝置,其中,所述金鑰注入子系統的數量為1;相應的,所述分量產生傳輸單元具體用於,所述金鑰產生設備按照預先設定的根金鑰分量數目產生所述虛擬加密設備的根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機。
  26. 如申請專利範圍第24項所述的用於加密機的金鑰注入裝置,其中,所述金鑰注入子系統的數量為小於預先設定的根金鑰分量數目的最大整數;相應的,所述共用金鑰對協商單元包括與所述金鑰注入子系統的數量相同的共用金鑰對協商子單元;所述每個子單元分別用於,不同金鑰注入子系統的金鑰產生設備和所述加密機分別通過各自的量子金鑰分發設備協商彼此之間的共用金鑰對;所述分量產生傳輸單元包括與所述金鑰注入子系統的數量相同的分量產生傳輸子單元;所述每個子單元分別用於,不同金鑰注入子系統的金鑰產生設備分別產生所述虛 擬加密設備的一個根金鑰分量,並採用協商好的共用金鑰加密傳輸至所述加密機;所述裝置還包括:加密機分量產生單元,用於所述加密機產生所述虛擬加密設備的一個根金鑰分量;所述根金鑰合成單元具體用於,加密機根據從每個分量產生傳輸子單元接收的根金鑰分量、以及所述加密機分量產生單元產生的根金鑰分量合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
  27. 如申請專利範圍第26項所述的用於加密機的金鑰注入裝置,其中,所述預先設定的根金鑰分量數目為3,所述金鑰注入子系統的數量為2,所述金鑰注入子系統包括:位於雲端的管理子系統和位於客戶端的用戶子系統;所述管理子系統中的金鑰產生設備為管理設備;所述用戶子系統中的金鑰產生設備為終端設備;所述共用金鑰對協商單元包括兩個共用金鑰對協商子單元:對應於管理子系統的第一共用金鑰對協商子單元、和對應於用戶子系統的第二共用金鑰對協商子單元;所述分量產生傳輸單元包括兩個分量產生傳輸子單元:對應於管理子系統的第一分量產生傳輸子單元、和對應於用戶子系統的第二分量產生傳輸子單元。
  28. 如申請專利範圍第27項所述的用於加密機的金鑰注入裝置,其中,還包括:用戶主金鑰產生傳輸單元,用於所述終端設備產生用戶主金鑰,並採用協商好的共用金鑰加密傳輸至所述加密 機;用戶主金鑰儲存單元,用於所述加密機將接收的用戶主金鑰作為所述虛擬加密設備的用戶主金鑰儲存。
  29. 如申請專利範圍第28項所述的用於加密機的金鑰注入裝置,其中,還包括:用戶工作金鑰產生傳輸單元,用於所述終端設備產生用戶工作金鑰,並採用協商好的共用金鑰加密傳輸至所述加密機;用戶工作金鑰儲存單元,用於所述加密機將接收的用戶工作金鑰作為所述虛擬加密設備的用戶工作金鑰儲存。
  30. 如申請專利範圍第27項所述的用於加密機的金鑰注入裝置,其中,還包括:第一身份認證單元,用於在觸發所述第一共用金鑰對協商子單元工作之前,在所述管理設備和所述加密機承載的虛擬加密設備之間進行雙向身份認證;若任一方身份認證失敗,則結束本裝置的工作。
  31. 如申請專利範圍第30項所述的用於加密機的金鑰注入裝置,其中,還包括:第二身份認證單元,用於在觸發所述第二共用金鑰對協商子單元工作之前,在所述終端設備和所述加密機承載的虛擬加密設備之間進行雙向身份認證;若任一方身份認證失敗,則結束本裝置的工作。
  32. 如申請專利範圍第30或31項所述的用於加密機的金鑰注入裝置,其中,所述第一身份認證單元和所述第 二身份認證單元具體用於採用以下方式進行身份認證:請求認證方設備向對端設備發送身份認證請求,所述請求中攜帶所述請求驗證方設備的私密金鑰簽名身份證書;所述對端設備接收所述身份認證請求後,採用對應於所述請求認證方設備的公開金鑰解密所述私密金鑰簽名身份證書,若成功,則所述請求認證方設備通過身份認證。
  33. 如申請專利範圍第24至31項中任一項所述的用於加密機的金鑰注入裝置,其中,所述根金鑰合成單元具體用於,所述加密機採用基於門限金鑰共用機制的秘密重構演算法合成所述虛擬加密設備的根金鑰,並儲存所述根金鑰。
  34. 一種在雲端託管加密機的方法,其中,包括:雲用戶通過終端設備向位於雲端的管理設備發送加密機託管請求;所述管理設備根據接收到的請求,為所述雲用戶分配在雲端託管的虛擬加密設備,所述虛擬加密設備由加密機承載;採用如申請專利範圍第14項所述的方法向所述加密機中注入所述虛擬加密設備的根金鑰。
  35. 如申請專利範圍第34項所述的在雲端託管加密機的方法,其中,在所述雲用戶通過終端設備向位於雲端的管理設備發送加密機託管請求之前,執行下述初始化操作:由相應管理者為所述管理設備、以及終端設備預置用 於身份認證的公私密金鑰對、和身份證書;由加密機設備廠商為加密機中承載的虛擬加密設備預置用於身份認證的公私密金鑰對、身份證書、以及設備標識。
  36. 如申請專利範圍第35項所述的在雲端託管加密機的方法,其中,在所述管理設備為所述雲用戶分配在雲端託管的虛擬加密設備之後,執行下述操作:所述管理設備將所述虛擬加密設備的設備標識發送給所述終端設備;所述終端設備根據接收到的設備標識,向加密機設備廠商驗證所述虛擬加密設備的合法性;若所述虛擬加密設備通過所述合法性驗證,則執行所述向所述加密機中注入所述虛擬加密設備的根金鑰的步驟。
  37. 如申請專利範圍第36項所述的在雲端託管加密機的方法,其中,在所述管理設備為所述雲用戶分配在雲端託管的虛擬加密設備之後,執行下述操作:所述管理設備與所述終端設備通過各自的量子金鑰分發設備協商共用金鑰對;相應的,所述管理設備將所述虛擬加密設備的設備標識發送給所述終端設備是指,所述管理設備採用協商好的共用金鑰加密所述設備標識,並將加密後的設備標識發送給所述終端設備;所述終端設備根據接收到的設備標識,向加密機設備廠商驗證所述虛擬加密設備的合法性是指,所述終端設備 採用協商好的共用金鑰對接收到的設備標識解密,並用解密後的設備標識執行所述驗證操作。
  38. 一種在雲端託管加密機的裝置,其中,包括:託管請求發送單元,用於雲用戶通過終端設備向位於雲端的管理設備發送加密機託管請求;託管設備分配單元,用於所述管理設備根據接收到的請求,為所述雲用戶分配在雲端託管的虛擬加密設備,所述虛擬加密設備由加密機承載;根金鑰注入單元,用於採用如申請專利範圍第24項所述的裝置向所述加密機中注入所述虛擬加密設備的根金鑰。
  39. 如申請專利範圍第38項所述的在雲端託管加密機的裝置,其中,包括:初始化單元,用於在觸發所述託管請求發送單元工作之前執行初始化操作;所述初始化單元包括:管理及終端設備初始化子單元,用於由相應管理者為所述管理設備、以及終端設備預置用於身份認證的公私密金鑰對、和身份證書;虛擬加密設備初始化子單元,用於由加密機設備廠商為加密機中承載的虛擬加密設備預置用於身份認證的公私密金鑰對、身份證書、以及設備標識。
  40. 如申請專利範圍第39項所述的在雲端託管加密機的裝置,其中,包括:設備標識發送單元,用於在所述託管設備分配單元完 成分配虛擬加密設備的操作後,所述管理設備將所述虛擬加密設備的設備標識發送給所述終端設備;設備合法性驗證單元,用於所述終端設備利用接收到的設備標識,向加密機設備廠商驗證所述虛擬加密設備的合法性;若所述虛擬加密設備通過所述合法性驗證,則觸發所述根金鑰注入單元工作。
  41. 如申請專利範圍第40項所述的在雲端託管加密機的裝置,其中,包括:共用金鑰協商單元,用於在所述託管設備分配單元完成分配虛擬加密設備的操作後,所述管理設備與所述終端設備通過各自的量子金鑰分發設備協商共用金鑰對;相應的,所述設備標識發送單元具體用於,管理設備採用協商好的共用金鑰加密所述設備標識,並將加密後的設備標識發送給所述終端設備;所述設備合法性驗證單元具體用於,所述終端設備採用協商好的共用金鑰對接收到的設備標識解密,並用解密後的設備標識執行所述驗證操作。
TW104128123A 2015-04-22 2015-08-27 基於雲環境的加密機金鑰注入系統、方法及裝置 TWI715537B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510195062.7A CN106161402B (zh) 2015-04-22 2015-04-22 基于云环境的加密机密钥注入系统、方法及装置
CN201510195062.7 2015-04-22

Publications (2)

Publication Number Publication Date
TW201638824A TW201638824A (zh) 2016-11-01
TWI715537B true TWI715537B (zh) 2021-01-11

Family

ID=57148139

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104128123A TWI715537B (zh) 2015-04-22 2015-08-27 基於雲環境的加密機金鑰注入系統、方法及裝置

Country Status (7)

Country Link
US (1) US10305688B2 (zh)
EP (1) EP3286867B1 (zh)
JP (1) JP6797828B2 (zh)
KR (1) KR20170139570A (zh)
CN (1) CN106161402B (zh)
TW (1) TWI715537B (zh)
WO (1) WO2016190990A2 (zh)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106953732B (zh) * 2017-03-10 2020-02-07 南方城墙信息安全科技有限公司 芯片卡的密钥管理系统及方法
CN108809906B (zh) * 2017-05-03 2020-07-07 腾讯科技(深圳)有限公司 数据处理方法、系统及装置
CN109561047B (zh) 2017-09-26 2021-04-13 安徽问天量子科技股份有限公司 基于密钥异地存储的加密数据存储系统及方法
CN107844707B (zh) * 2017-10-30 2020-12-29 深圳市雪球科技有限公司 一种卡数据管理方法以及卡数据管理系统
CN108572861A (zh) * 2018-04-26 2018-09-25 浪潮(北京)电子信息产业有限公司 一种虚拟可信根的保护方法、系统、设备及存储介质
CN109067527B (zh) * 2018-08-31 2020-12-22 苏州科达科技股份有限公司 一种量子加密通信方法、通信终端和计算机可读存储介质
CN109299618B (zh) * 2018-09-20 2020-06-16 如般量子科技有限公司 基于量子密钥卡的抗量子计算云存储方法和系统
CN109688141A (zh) * 2018-12-27 2019-04-26 杭州翼兔网络科技有限公司 一种生理参数数据加密传输方法
CN109728908B (zh) * 2019-03-18 2021-10-15 南方电网调峰调频发电有限公司信息通信分公司 一种基于量子安全移动存储介质的密钥管理方法
CN110011794B (zh) * 2019-04-11 2021-08-13 北京智芯微电子科技有限公司 密码机密钥属性的测试方法
CN110519238B (zh) * 2019-08-08 2021-11-12 北京安御道合科技有限公司 一种基于密码技术的物联网安全系统和通信方法
CN112367160B (zh) * 2019-09-01 2023-09-26 成都量安区块链科技有限公司 一种虚拟量子链路服务方法与装置
CN110690960B (zh) * 2019-09-01 2022-02-22 成都量安区块链科技有限公司 一种中继节点的路由服务方法与装置
CN110837634B (zh) * 2019-10-24 2023-10-27 杭州安存网络科技有限公司 基于硬件加密机的电子签章方法
KR102222080B1 (ko) * 2020-02-24 2021-03-04 한국전자통신연구원 양자 개체 인증 장치 및 방법
WO2022005914A1 (en) * 2020-06-29 2022-01-06 Illumina, Inc. Temporary cloud provider credentials via secure discovery framework
KR102592873B1 (ko) * 2020-07-03 2023-10-25 한국전자통신연구원 양자 키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법
CN111865589B (zh) * 2020-08-14 2023-09-08 国科量子通信网络有限公司 实现移动通信量子加密传输的量子通信加密系统及其方法
CN114117458A (zh) * 2020-08-29 2022-03-01 华为技术有限公司 密钥使用方法及相关产品
CN112769805A (zh) * 2020-12-31 2021-05-07 普华诚信信息技术有限公司 云密码管理方法、系统和存储介质
US11895234B2 (en) * 2021-09-30 2024-02-06 Juniper Networks, Inc. Delayed quantum key-distribution
CN114070640B (zh) * 2021-11-25 2024-02-06 航天新通科技有限公司 一种安全通信方法及系统
CN114244506B (zh) * 2021-12-10 2024-04-02 问天鼎讯量子科技(无锡)有限公司 一种量子密钥的快速同步的方法及系统
CN114499851B (zh) * 2022-01-30 2023-05-26 重庆长安汽车股份有限公司 一种基于端云一体化实现安全灌装根密钥的方法
US11791994B1 (en) * 2022-03-31 2023-10-17 Juniper Networks, Inc. Quantum cryptography in an internet key exchange procedure
CN114531238B (zh) * 2022-04-24 2022-07-19 中电信量子科技有限公司 基于量子密钥分发的密钥安全充注方法及系统
CN115865350B (zh) * 2023-02-27 2023-05-05 合肥工业大学 一种基于量子安全的车云服务系统
CN116527259B (zh) * 2023-07-03 2023-09-19 中电信量子科技有限公司 基于量子密钥分发网络的跨域身份认证方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1848142A2 (en) * 2006-04-19 2007-10-24 Nec Corporation Secret communications system and channel control method
US20130083926A1 (en) * 2011-09-30 2013-04-04 Los Alamos National Security, Llc Quantum key management
TW201445902A (zh) * 2013-05-29 2014-12-01 Univ Nat Cheng Kung 量子通訊方法

Family Cites Families (143)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5515438A (en) * 1993-11-24 1996-05-07 International Business Machines Corporation Quantum key distribution using non-orthogonal macroscopic signals
JP2001285285A (ja) * 2000-03-30 2001-10-12 Murata Mach Ltd 認証方法及び認証システム
JP4849710B2 (ja) * 2000-10-06 2012-01-11 パナソニック株式会社 暗号鍵配布方法及びその装置
US6931128B2 (en) * 2001-01-16 2005-08-16 Microsoft Corporation Methods and systems for generating encryption keys using random bit generators
US7068790B1 (en) * 2001-08-31 2006-06-27 Bbn Technologies Corp. Systems and methods for path set-up in a quantum key distribution network
US7627126B1 (en) * 2002-10-15 2009-12-01 Bbn Technologies Corp. Systems and methods for implementing path length control for quantum cryptographic systems
US20050190921A1 (en) * 2002-10-15 2005-09-01 Bbnt Solutions Llc Systems and methods for framing quantum cryptographic links
US20060222180A1 (en) * 2002-10-15 2006-10-05 Elliott Brig B Chip-scale transmitter for quantum cryptography
JP2004272770A (ja) * 2003-03-11 2004-09-30 Sony Corp ネットワーク機器の中継装置の管理システム,ネットワーク機器の中継装置,認証サーバ,更新サーバ,およびネットワーク機器の中継装置の管理方法
US7430295B1 (en) * 2003-03-21 2008-09-30 Bbn Technologies Corp. Simple untrusted network for quantum cryptography
US7706535B1 (en) * 2003-03-21 2010-04-27 Bbn Technologies Corp. Systems and methods for implementing routing protocols and algorithms for quantum cryptographic key transport
US7983422B2 (en) * 2003-07-25 2011-07-19 Hewlett-Packard Development Company, L.P. Quantum cryptography
US7519814B2 (en) * 2003-09-15 2009-04-14 Trigence Corp. System for containerization of application sets
JP4604045B2 (ja) * 2003-11-13 2010-12-22 マジック テクノロジーズ,インコーポレーテッド 古典的なビット暗号化を有するqkd
US7697693B1 (en) * 2004-03-09 2010-04-13 Bbn Technologies Corp. Quantum cryptography with multi-party randomness
JP2005260614A (ja) * 2004-03-12 2005-09-22 Dainippon Printing Co Ltd 暗号装置
US7646873B2 (en) * 2004-07-08 2010-01-12 Magiq Technologies, Inc. Key manager for QKD networks
JP2006121524A (ja) * 2004-10-22 2006-05-11 Toshiba Solutions Corp 公開鍵暗号装置
US20090169015A1 (en) * 2005-01-24 2009-07-02 Inter-Univ Res Ins Corp / Res Org Of Info And Syst Quantum key distribution method, communication system, and communication device
GB2427317B (en) * 2005-06-16 2010-05-19 Hewlett Packard Development Co Quantum key distribution apparatus & method
GB0512229D0 (en) * 2005-06-16 2005-07-27 Hewlett Packard Development Co Quantum key distribution apparatus & method
US7889868B2 (en) * 2005-09-30 2011-02-15 Verizon Business Global Llc Quantum key distribution system
US20070076887A1 (en) * 2005-09-30 2007-04-05 Nortel Networks Limited Double phase encoding quantum key distribution
JP4759697B2 (ja) * 2005-11-04 2011-08-31 ボード オブ トラスティーズ オブ ザ レランド スタンフォード ジュニア ユニバーシティ 差動位相シフト変調量子鍵配送
US20070130455A1 (en) * 2005-12-06 2007-06-07 Elliott Brig B Series encryption in a quantum cryptographic system
US20070133798A1 (en) * 2005-12-14 2007-06-14 Elliott Brig B Quantum cryptography on a multi-drop optical network
US8082443B2 (en) * 2006-01-09 2011-12-20 Bbnt Solutions Llc. Pedigrees for quantum cryptography
JP5078035B2 (ja) * 2006-03-06 2012-11-21 国立大学法人 奈良先端科学技術大学院大学 量子暗号通信方法
JP2007274300A (ja) * 2006-03-31 2007-10-18 Hitachi Information & Communication Engineering Ltd 共通鍵暗号通信における同期処理方法
JP5196093B2 (ja) * 2006-04-20 2013-05-15 日本電気株式会社 光通信装置およびそれを用いた量子暗号鍵配布システム
JP4885960B2 (ja) * 2006-07-26 2012-02-29 独立行政法人科学技術振興機構 秘密通信方法及びその秘密通信装置
US7539314B2 (en) * 2006-08-14 2009-05-26 Magiq Technologies, Inc. Frame synchronization method for QKD systems
WO2008036633A2 (en) * 2006-09-18 2008-03-27 Georgia Tech Research Corporation Systems and methods for providing opportunistic security for physical communication channels
US8213607B2 (en) * 2006-10-18 2012-07-03 Qualcomm Incorporated Method for securely extending key stream to encrypt high-entropy data
US20080144836A1 (en) * 2006-12-13 2008-06-19 Barry Sanders Distributed encryption authentication methods and systems
US7577257B2 (en) * 2006-12-21 2009-08-18 Verizon Services Operations, Inc. Large scale quantum cryptographic key distribution network
US20080263363A1 (en) * 2007-01-22 2008-10-23 Spyrus, Inc. Portable Data Encryption Device with Configurable Security Functionality and Method for File Encryption
JP2008203548A (ja) * 2007-02-20 2008-09-04 Oki Electric Ind Co Ltd 二次双曲線群を使用する鍵生成方法、復号方法、署名検証方法、鍵ストリーム生成方法および装置。
US8464245B2 (en) * 2007-06-27 2013-06-11 Flexera Software Llc Method and system for software virtualization directly from an installation package
WO2009011255A1 (ja) * 2007-07-13 2009-01-22 Nec Corporation 量子暗号鍵配付システム、光送信器、光変調制御回路、および光変調制御方法
US8667482B2 (en) * 2007-08-10 2014-03-04 Microsoft Corporation Automated application modeling for application virtualization
US9323519B2 (en) * 2007-08-31 2016-04-26 Red Hat, Inc. Packaging an application
JP5013521B2 (ja) * 2007-09-05 2012-08-29 独立行政法人情報通信研究機構 量子暗号通信装置及び方法
US7853020B2 (en) * 2007-09-19 2010-12-14 Mogiq Technologies, Inc. Systems and methods for enhanced quantum key formation using an actively compensated QKD system
US7722514B2 (en) * 2007-10-23 2010-05-25 Bvp Holding, Inc. Multi-directional body swing, turn and twist trainer with interchangeable and adjustable attachments
WO2009093036A2 (en) * 2008-01-25 2009-07-30 Qinetiq Limited Quantum cryptography apparatus
GB0801395D0 (en) * 2008-01-25 2008-03-05 Qinetiq Ltd Network having quantum key distribution
JP5598762B2 (ja) * 2008-03-07 2014-10-01 日本電気株式会社 仮想マシンパッケージ生成システム、仮想マシンパッケージ生成方法および仮想マシンパッケージ生成プログラム
EP2274674A1 (en) * 2008-04-25 2011-01-19 VMWare, Inc. Linking virtualized application namespaces at runtime
GB0809045D0 (en) * 2008-05-19 2008-06-25 Qinetiq Ltd Quantum key distribution involving moveable key device
KR100983008B1 (ko) * 2008-05-30 2010-09-20 한국전자통신연구원 양자 암호 시스템 및 양자 암호 키의 분배 방법
US8862633B2 (en) * 2008-05-30 2014-10-14 Novell, Inc. System and method for efficiently building virtual appliances in a hosted environment
US8694989B1 (en) * 2008-07-17 2014-04-08 Apple Inc. Virtual installation environment
US20110055585A1 (en) * 2008-07-25 2011-03-03 Kok-Wah Lee Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering
US8572580B2 (en) * 2008-07-28 2013-10-29 Microsoft Corporation Computer application packages with customizations
GB0819665D0 (en) * 2008-10-27 2008-12-03 Qinetiq Ltd Quantum key dsitribution
GB0822254D0 (en) * 2008-12-05 2009-01-14 Qinetiq Ltd Method of performing authentication between network nodes
GB0822253D0 (en) * 2008-12-05 2009-01-14 Qinetiq Ltd Method of establishing a quantum key for use between network nodes
WO2010067551A1 (ja) * 2008-12-10 2010-06-17 日本電気株式会社 秘匿通信ネットワークにおける共有乱数管理方法および管理システム
KR101252757B1 (ko) * 2008-12-22 2013-04-11 한국전자통신연구원 편광부호화 양자 암호 시스템
US10698923B2 (en) * 2009-06-11 2020-06-30 Talari Networks, Inc. Methods and apparatus for providing adaptive private network database schema migration and management processes
SE534384C2 (sv) * 2009-07-03 2011-08-02 Kelisec Ab Förfarande för att alstra en krypterings-/dekrypteringsnyckel
GB0917060D0 (en) * 2009-09-29 2009-11-11 Qinetiq Ltd Methods and apparatus for use in quantum key distribution
WO2011058533A2 (en) * 2009-11-16 2011-05-19 Discretix Technologies Ltd. Methods circuits devices and systems for provisioning of cryptographic data to one or more electronic devices
US20110126197A1 (en) * 2009-11-25 2011-05-26 Novell, Inc. System and method for controlling cloud and virtualized data centers in an intelligent workload management system
US8627426B2 (en) * 2010-04-26 2014-01-07 Vmware, Inc. Cloud platform architecture
US8555377B2 (en) * 2010-04-29 2013-10-08 High Cloud Security Secure virtual machine
US8433070B2 (en) * 2010-05-17 2013-04-30 Raytheon Bbn Technologies Corp. Systems and methods for stabilization of interferometers for quantum key distribution
US8483394B2 (en) * 2010-06-15 2013-07-09 Los Alamos National Security, Llc Secure multi-party communication with quantum key distribution managed by trusted authority
US9002009B2 (en) * 2010-06-15 2015-04-07 Los Alamos National Security, Llc Quantum key distribution using card, base station and trusted authority
CN201830272U (zh) * 2010-09-17 2011-05-11 安徽问天量子科技股份有限公司 基于量子密钥的网络加密机
GB201020424D0 (en) * 2010-12-02 2011-01-19 Qinetiq Ltd Quantum key distribution
US20120246634A1 (en) * 2011-03-23 2012-09-27 Dell Products L.P. Portable virtual applications
EP2697931B1 (en) * 2011-04-15 2017-12-13 Quintessencelabs Pty Ltd Qkd key management system
GB2491896A (en) * 2011-06-17 2012-12-19 Univ Bruxelles Secret key generation
US8862741B1 (en) * 2011-06-23 2014-10-14 Amazon Technologies, Inc. Layered machine images
FR2977116A1 (fr) * 2011-06-27 2012-12-28 France Telecom Procede de fourniture de service d'execution de logiciel a la demande
WO2013026086A1 (en) * 2011-08-19 2013-02-28 Quintessencelabs Pty Ltd Virtual zeroisation system and method
JP5624526B2 (ja) * 2011-08-26 2014-11-12 株式会社東芝 鍵共有装置、鍵共有方法および鍵共有プログラム
US8897449B1 (en) * 2011-09-12 2014-11-25 Quantum Valley Investment Fund LP Quantum computing on encrypted data
US10019235B2 (en) * 2011-09-30 2018-07-10 Los Alamos National Security, Llc Quantum random number generators
US8953790B2 (en) * 2011-11-21 2015-02-10 Broadcom Corporation Secure generation of a device root key in the field
US9519472B2 (en) * 2011-11-23 2016-12-13 Red Hat, Inc. Automation of virtual machine installation by splitting an installation into a minimal installation and customization
US9047133B2 (en) * 2012-03-02 2015-06-02 Vmware, Inc. Single, logical, multi-tier application blueprint used for deployment and management of multiple physical applications in a cloud environment
US9052961B2 (en) * 2012-03-02 2015-06-09 Vmware, Inc. System to generate a deployment plan for a cloud infrastructure according to logical, multi-tier application blueprint
US9184912B2 (en) * 2012-04-17 2015-11-10 The Boeing Company Secure quantum authentication system
US8693691B2 (en) * 2012-05-25 2014-04-08 The Johns Hopkins University Embedded authentication protocol for quantum key distribution systems
US9348652B2 (en) * 2012-07-02 2016-05-24 Vmware, Inc. Multi-tenant-cloud-aggregation and application-support system
JP5694247B2 (ja) * 2012-07-17 2015-04-01 株式会社東芝 鍵生成装置、通信方法および通信システム
WO2014035696A2 (en) * 2012-08-30 2014-03-06 Los Alamos National Security, Llc Multi-factor authentication using quantum communication
JP2014103514A (ja) * 2012-11-19 2014-06-05 Toshiba Corp 通信装置、通信システムおよびプログラム
US9189285B2 (en) * 2012-12-14 2015-11-17 Microsoft Technology Licensing, Llc Scalable services deployment
JP6076752B2 (ja) * 2013-01-22 2017-02-08 株式会社東芝 通信装置、通信システムおよびプログラム
EP2949072B1 (en) * 2013-01-25 2017-04-12 LEONARDO S.p.A. Quantum cryptographic key distribution system including two peripheral devices and an optical source
US9036817B1 (en) * 2013-03-22 2015-05-19 The Boeing Company Network communications using quantum key distribution
JP6054224B2 (ja) * 2013-03-25 2016-12-27 株式会社東芝 通信装置、通信システム、通信方法およびプログラム
CA2913007C (en) * 2013-05-23 2021-06-08 Qubitekk, Inc. Incorruptible public key using quantum cryptography for secure wired and wireless communications
JP6157974B2 (ja) * 2013-07-31 2017-07-05 株式会社東芝 送信機、受信機、量子鍵配送(QKD;QuantumKeyDistribution)システム及び量子鍵配送方法
JP6115387B2 (ja) * 2013-07-31 2017-04-19 沖電気工業株式会社 量子鍵配送用受信器及び単一光子検出器の使用方法
JP6230322B2 (ja) * 2013-08-01 2017-11-15 株式会社東芝 通信装置、鍵共有方法、プログラムおよび通信システム
US9350550B2 (en) * 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
CN104518866B (zh) * 2013-09-30 2016-06-29 科大国盾量子技术股份有限公司 一种量子密钥分发终端和系统
US10291399B2 (en) * 2013-09-30 2019-05-14 Traid National Security, LLC Quantum-secured communications overlay for optical fiber communications networks
US9087205B2 (en) * 2013-10-11 2015-07-21 Sap Se Shared encrypted storage
CN103580872B (zh) * 2013-11-11 2016-12-07 北京华大智宝电子系统有限公司 一种用于密钥生成与管理的系统及方法
CN103825741B (zh) * 2014-01-24 2017-03-15 安徽云盾信息技术有限公司 一种加密设备生产过程中注入带签名的证书的解决方法
JP6165646B2 (ja) * 2014-01-30 2017-07-19 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
JP6359285B2 (ja) * 2014-02-17 2018-07-18 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
JP6169028B2 (ja) * 2014-03-18 2017-07-26 株式会社東芝 通信装置、通信システムおよび通信方法
JP6211963B2 (ja) * 2014-03-18 2017-10-11 株式会社東芝 受信機、送信機、通信システムおよび通信方法
JP6203093B2 (ja) * 2014-03-19 2017-09-27 株式会社東芝 通信システム、通信装置、通信方法およびプログラム
US9767317B1 (en) * 2014-03-25 2017-09-19 Amazon Technologies, Inc. System to provide cryptographic functions to a markup language application
US9747091B1 (en) * 2014-03-31 2017-08-29 Amazon Technologies, Inc. Isolated software installation
US8990809B1 (en) * 2014-06-23 2015-03-24 Flexera Software Llc Creating a virtual appliance using existing installation manifest
WO2016046222A1 (en) * 2014-09-26 2016-03-31 British Telecommunications Public Limited Company Secure virtualised data volumes
US9965307B2 (en) * 2014-10-06 2018-05-08 Vmware, Inc. Building virtual appliances
KR101776137B1 (ko) * 2014-10-30 2017-09-19 에스케이 텔레콤주식회사 양자 키 분배 시스템에서 복수의 장치에 키를 공급하는 장치 및 방법
JP6400441B2 (ja) * 2014-11-19 2018-10-03 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
US9747136B2 (en) * 2014-12-09 2017-08-29 Vmware, Inc. Methods and systems that allocate cost of cluster resources in virtual data centers
CN105871538B (zh) * 2015-01-22 2019-04-12 阿里巴巴集团控股有限公司 量子密钥分发系统、量子密钥分发方法及装置
US20160234009A1 (en) * 2015-02-08 2016-08-11 Wenhua Li Chaotic Baseband Modulation Hopping Based Post-Quantum Physical-Layer Encryption
JP2016171530A (ja) * 2015-03-13 2016-09-23 株式会社東芝 通信装置、通信方法、プログラムおよび通信システム
JP6400513B2 (ja) * 2015-03-18 2018-10-03 株式会社東芝 量子鍵配送装置、量子鍵配送方法およびプログラム
US9619270B2 (en) * 2015-06-27 2017-04-11 Vmware, Inc. Remote-direct-memory-access-based virtual machine live migration
US10147110B2 (en) * 2015-06-29 2018-12-04 Vmware, Inc. Methods and systems to evaluate cost driver and virtual data center costs
US10243815B2 (en) * 2015-06-29 2019-03-26 Vmware, Inc. Methods and systems to evaluate data center resource allocation costs
US9619261B2 (en) * 2015-06-29 2017-04-11 Vmware, Inc. Method and system for anticipating demand for a computational resource by containers running above guest operating systems within a distributed, virtualized computer system
US10031768B2 (en) * 2015-06-30 2018-07-24 Vmware, Inc. Host-gateway-facilitated aggregation of host-computer clusters
US9910657B2 (en) * 2015-09-16 2018-03-06 International Business Machines Corporation Installing software where operating system prerequisites are unmet
US9672074B2 (en) * 2015-10-19 2017-06-06 Vmware, Inc. Methods and systems to determine and improve cost efficiency of virtual machines
US11263006B2 (en) * 2015-11-24 2022-03-01 Vmware, Inc. Methods and apparatus to deploy workload domains in virtual server racks
US10313479B2 (en) * 2015-11-24 2019-06-04 Vmware, Inc. Methods and apparatus to manage workload domains in virtual server racks
US20170161101A1 (en) * 2015-12-04 2017-06-08 Vmware, Inc. Modularized automated-application-release-management subsystem
US20170161057A1 (en) * 2015-12-04 2017-06-08 Vmware, Inc. Plug-in-based artifact-management subsystem
US11265202B2 (en) * 2015-12-04 2022-03-01 Vmware, Inc. Integrated automated application deployment
US10157044B2 (en) * 2015-12-04 2018-12-18 Vmware, Inc. Automated application-release-management subsystem
US10116675B2 (en) * 2015-12-08 2018-10-30 Vmware, Inc. Methods and systems to detect anomalies in computer system behavior based on log-file sampling
US9916092B2 (en) * 2015-12-09 2018-03-13 Vmware, Inc. Methods and systems to allocate physical data-storage costs to logical disks
US10992739B2 (en) * 2016-01-25 2021-04-27 Vmware, Inc. Integrated application-aware load balancer incorporated within a distributed-service-application-controlled distributed computer system
US10320891B2 (en) * 2016-01-25 2019-06-11 Vmware, Inc. Node selection for message redistribution in an integrated application-aware load balancer incorporated within a distributed-service-application-controlled distributed computer system
US10255092B2 (en) * 2016-02-09 2019-04-09 Airwatch Llc Managed virtual machine deployment
EP3220574B1 (en) * 2016-03-14 2020-04-22 Kabushiki Kaisha Toshiba Quantum key distribution device, quantum key distribution system and quantum key distribution method
US10671951B2 (en) * 2016-03-21 2020-06-02 Vmware, Inc. Methods and systems to determine container costs and attribute container costs to applications

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1848142A2 (en) * 2006-04-19 2007-10-24 Nec Corporation Secret communications system and channel control method
US20130083926A1 (en) * 2011-09-30 2013-04-04 Los Alamos National Security, Llc Quantum key management
TW201445902A (zh) * 2013-05-29 2014-12-01 Univ Nat Cheng Kung 量子通訊方法

Also Published As

Publication number Publication date
EP3286867B1 (en) 2020-12-09
WO2016190990A2 (en) 2016-12-01
TW201638824A (zh) 2016-11-01
US10305688B2 (en) 2019-05-28
WO2016190990A3 (en) 2017-02-09
EP3286867A4 (en) 2018-04-18
CN106161402A (zh) 2016-11-23
US20160315768A1 (en) 2016-10-27
CN106161402B (zh) 2019-07-16
KR20170139570A (ko) 2017-12-19
JP6797828B2 (ja) 2020-12-09
JP2018518090A (ja) 2018-07-05
EP3286867A2 (en) 2018-02-28

Similar Documents

Publication Publication Date Title
TWI715537B (zh) 基於雲環境的加密機金鑰注入系統、方法及裝置
RU2715163C1 (ru) Способ, устройство и система передачи данных
CN104170312B (zh) 用于使用硬件安全引擎通过网络进行安全通信的方法和设备
US9467430B2 (en) Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware
CN104639516B (zh) 身份认证方法、设备及系统
US8953790B2 (en) Secure generation of a device root key in the field
WO2017020452A1 (zh) 认证方法和认证系统
US20140112470A1 (en) Method and system for key generation, backup, and migration based on trusted computing
US10205598B2 (en) Temporal key generation and PKI gateway
CN103701919A (zh) 远程登录方法与系统
US11831753B2 (en) Secure distributed key management system
WO2015158172A1 (zh) 一种用户身份识别卡
CN107104795B (zh) Rsa密钥对和证书的注入方法、架构及系统
CN103516524A (zh) 安全验证方法和系统
TWI476629B (zh) Data security and security systems and methods
CN110716724B (zh) 基于fpga实现隐私区块链的方法及装置
JP2001134534A (ja) 認証代行方法、認証代行サービスシステム、認証代行サーバ装置及びクライアント装置
EP4016921A1 (en) Certificate management method and apparatus
Fourar-Laidi A smart card based framework for securing e-business transactions in distributed systems
JP2021040278A (ja) 鍵管理システム、署名装置、鍵管理方法及びプログラム
Vanitha et al. An aggregate key based cryptosystem for secure data sharing in cloud computing