CN106209739B - 云存储方法及*** - Google Patents
云存储方法及*** Download PDFInfo
- Publication number
- CN106209739B CN106209739B CN201510225113.6A CN201510225113A CN106209739B CN 106209739 B CN106209739 B CN 106209739B CN 201510225113 A CN201510225113 A CN 201510225113A CN 106209739 B CN106209739 B CN 106209739B
- Authority
- CN
- China
- Prior art keywords
- key
- cloud storage
- quantum
- quantum key
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N10/00—Quantum computing, i.e. information processing based on quantum-mechanical phenomena
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Electromagnetism (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Condensed Matter Physics & Semiconductors (AREA)
- Computational Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种云存储方法及***,通过终端侧的QKD***与至少一个云服务器侧的QKD***通过量子网络产生至少一个量子密钥;云存储客户端通过预设的加密算法将至少一个量子密钥处理生成组合密钥。基于上述方法,使得量子密钥分配技术与云存储技术相结合,利用云存储的分布式特点和量子密钥分配易于产生大量随机数密钥且密钥不易被窃听的天然优势,使得恶意攻击者无法获取量子密钥进而不能破解组合密钥,极大地保障了云存储的数据安全性。
Description
技术领域
本发明涉及云存储技术领域,尤其涉及一种云存储方法及***。
背景技术
云存储是一个以数据存取和管理为核心的云计算***,该***具有如下两方面的优势,一方面,用户可以在任何时间、任何地方、透过任何可连网的装置连接到云存储,能够非常方便地进行数据的存取操作;另一方面,用户无需在本地投资建立数据中心或专用远程站点来维护和管理数据,利用云存储便可获得大量低成本的存储空间。基于上述两方面的优势,近年来,云存储技术得到了快速发展,越来越多的用户选择使用云存储。
用户在利用云存储时,一般将数据通过密钥进行加密后再上传给云服务器侧,但是,用户很难保证用户文件加密的无条件安全性,在云服务器侧和路径传输上同时存在安全风险。现有技术中,多采用将密钥进行分割处理的方法,以增大恶意攻击者破解加密方式的难度,以提高数据安全性。比如,用户将一个用于加密数据的密钥K基于数学算法分割成N份成分密钥,N份成分密钥包括一个主成分密钥和N-1份成分密钥,主成分密钥拥有其他各个成分密钥的信息,然后将主成分密钥发送给云存储客户端保存,将其余各个成分密钥分别发送到不同的云存储服务器上保存,当用户需要用原有密钥K对数据进行解密时,用户获取各个云存储服务器上的成分密钥,再结合主成分密钥便可恢复出原有密钥K。
但是,上述将密钥进行分割处理的方法,主成分密钥在发送给云存储客户端时,成分密钥在发送给云存储服务器时,容易遭到恶意攻击者的窃听,而且,上述方法是基于数学算法的,随着数学的进步和计算机技术的飞速发展,将导致用于加密数据的密钥K易被破解,最终导致云存储面临严重的数据安全性。
发明内容
有鉴于此,本发明提供了一种云存储方法及***,以克服现有技术中将密钥进行分割处理的方法,由于主成分密钥在发送给云存储客户端时,成分密钥在发送给云存储服务器时,容易遭到恶意攻击者的窃听,而且,上述方法是基于数学算法的,随着数学的进步和计算机技术的飞速发展,将导致用于加密数据的密钥K易被破解,最终导致云存储面临严重的数据安全性的问题。
为实现上述目的,本发明提供如下技术方案:
一种云存储方法,应用于云存储***的终端侧,所述终端侧包括一个云存储客户端、一个密钥管理终端和一个量子密钥分配QKD***,所述方法包括:
所述QKD***与至少一个云服务器侧的QKD***通过量子网络产生至少一个量子密钥;
所述QKD***将所述至少一个量子密钥发送至所述密钥管理终端进行保存;
所述云存储客户端从所述密钥管理终端中获得所述至少一个量子密钥,并通过预设的加密算法将所述至少一个量子密钥处理生成组合密钥。
优选的,在所述云存储客户端从所述密钥管理终端中获得所述至少一个量子密钥,并通过预设的加密算法将所述至少一个量子密钥处理生成组合密钥之后,所述方法还包括:
所述云存储客户端利用所述组合密钥加密待存储的明文数据生成密文数据;
所述云存储客户端将所述密文数据发送给云服务器侧以进行存储;
所述终端侧删除所述至少一个量子密钥以及所述组合密钥。
优选的,所述方法还包括:
所述云存储客户端向云服务器侧发送用于请求下载所述密文数据以及所述至少一个量子密钥的下载请求;
所述云存储客户端接收云服务器侧反馈的所述密文数据以及所述至少一个量子密钥;
所述云存储客户端通过预设的加密算法将所述至少一个量子密钥处理生成所述组合密钥;
所述云存储客户端利用所述组合密钥对所述密文数据进行解密。
优选的,所述方法还包括:
所述云存储客户端通知云服务器侧删除所述至少一个量子密钥和所述密文数据。
优选的,在所述云存储客户端利用所述组合密钥加密待存储的明文数据生成密文数据之前,所述方法还包括:
所述云存储客户端预先为所述待存储的明文数据添加数据标签;
所述云存储客户端将所述数据标签发送给所述至少一个云服务器侧,以便所述至少一个云服务器侧用所述数据标签对所述至少一个量子密钥进行标识。
优选的,所述云存储客户端从云服务器侧下载所述至少一个量子密钥,具体包括:
所述云存储客户端向所有的云服务器侧发送所述数据标签;
所述云存储客户端接收用所述数据标签对量子密钥标识的云服务器侧发送的所述至少一个量子密钥。
一种云存储方法,应用于云存储***的云服务器侧,所述云服务器侧包括一个云存储服务器,所述云存储服务器连接一个密钥管理终端,所述密钥管理终端连接一个量子密钥分配QKD***,所述方法包括:
所述QKD***与至少一个终端侧的QKD***通过量子网络产生至少一个量子密钥;
所述QKD***将所述至少一个量子密钥发送至所述密钥管理终端进行保存。
优选的,所述方法还包括:
当所述云存储服务器接收到终端侧发送的密文数据之后,将所述密文数据进行保存。
优选的,所述方法还包括:
当所述云存储服务器接收到终端侧发送的用于请求下载所述密文数据以及所述至少一个量子密钥的下载请求之后,将所述密文数据以及所述至少一个量子密钥反馈给终端侧,其中,所述至少一个量子密钥是利用除所述至少一个量子密钥之外的其他的与所述终端侧共享的量子密钥进行加密传输的。
一种云存储***,所述***包括:
通过量子网络和经典网络连接的至少一个终端侧以及至少一个云服务器侧,所述至少一个终端侧和所述至少一个云服务器侧用于执行以上所述的云存储方法。
经由上述的技术方案可知,与现有技术相比,本发明公开了一种云存储方法及***,通过终端侧的QKD***与至少一个云服务器侧的QKD***通过量子网络产生至少一个量子密钥;云存储客户端通过预设的加密算法将至少一个量子密钥处理生成组合密钥。基于上述方法,使得量子密钥分配技术与云存储技术相结合,利用云存储的分布式特点和量子密钥分配易于产生大量随机数密钥且密钥不易被窃听的天然优势,使得恶意攻击者无法获取量子密钥进而不能破解组合密钥,极大地保障了云存储的数据安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例一公开的一种云存储方法具体流程示意图;
图2为本发明实施例二公开的一种云存储方法的具体流程示意图;
图3为本发明实施例三公开的一种云存储方法的具体流程示意图;
图4为本发明实施例四公开的一种云存储方法具体流程示意图;
图5为本发明实施例五公开的一种云存储***的具体结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,这仅仅是描述本发明的实施例中对相同属性的对象在描述时所采用的区分方式。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、***、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
由背景技术可知,现有技术中将密钥进行分割处理的方法,主成分密钥在发送给云存储客户端时,成分密钥在发送给云存储服务器时,容易遭到恶意攻击者的窃听,而且,上述方法是基于数学算法的,随着数学的进步和计算机技术的飞速发展,将导致用于加密数据的密钥K易被破解,最终导致云存储面临严重的数据安全性。
为此,本发明公开了一种云存储方法及***,通过终端侧的QKD***与至少一个云服务器侧的QKD***通过量子网络产生至少一个量子密钥;云存储客户端通过预设的加密算法将至少一个量子密钥处理生成组合密钥。基于上述方法,使得量子密钥分配技术与云存储技术相结合,利用云存储的分布式特点和量子密钥分配易于产生大量随机数密钥且密钥不易被窃听的天然优势,使得恶意攻击者无法获取量子密钥进而不能破解组合密钥,极大地保障了云存储的数据安全性。
下面将通过具体实施例对本发明公开的云存储方法及***进行详细说明。
实施例一
请参阅附图1,为本发明实施例一公开的一种云存储方法的具体流程示意图,该方法应用于云存储***的终端侧,所述终端侧包括一个云存储客户端、一个密钥管理终端和一个量子密钥分配(Quantum Key Distribution,QKD)***,所述云存储客户端可以为手机、电脑或其他专用云存储客户端等等,该云存储客户端连接一个密钥管理终端,所述密钥管理终端连接一个QKD***,此时,所述密钥管理终端与所述QKD***是彼此独立的,需要说明的是,所述密钥管理终端也可以集成在所述QKD***中,对此,本实施例不做任何限制。该方法具体包括如下步骤:
S101:终端侧的QKD***与至少一个云服务器侧的QKD***通过量子网络产生至少一个量子密钥。
终端侧在决定与哪个或哪几个云服务器侧产生量子密钥之后,通过自身的QKD***与上述哪个或哪几个云服务器侧的QKD***通过量子网络产生量子密钥。
目前,基于量子密钥分配技术已能搭建大规模的量子网络,比如通过量子集控站、光交换机和量子通信服务器可实现多个量子密钥收发一体机(即QKD***)间量子密钥的分配,在本实施例中,可以通过上述量子网络产生量子密钥,也可以采用其他形式的量子网络产生量子密钥,对此,本实施例不做任何限制。
S102:终端侧的QKD***将所述至少一个量子密钥发送至所述密钥管理终端进行保存。
需要说明的是,在终端侧通过自身的QKD***与至少一个云服务器侧的QKD***通过量子网络产生至少一个量子密钥之后,终端侧需要将所述至少一个量子密钥存储在自身的密钥管理终端中。
S103:所述云存储客户端从所述密钥管理终端中获得所述至少一个量子密钥,并通过预设的加密算法将所述至少一个量子密钥处理生成组合密钥。
预设的加密算法可以为现有的各种加密算法,比如异或、相加等,对此,本实施例不做任何限制。
本实施例公开了一种云存储方法,通过终端侧的QKD***与至少一个云服务器侧的QKD***通过量子网络产生至少一个量子密钥;云存储客户端通过预设的加密算法将至少一个量子密钥处理生成组合密钥。基于上述方法,使得量子密钥分配技术与云存储技术相结合,利用云存储的分布式特点和量子密钥分配易于产生大量随机数密钥且密钥不易被窃听的天然优势,使得恶意攻击者无法获取量子密钥进而不能破解组合密钥,极大地保障了云存储的数据安全性。
实施例二
请参阅附图2,为本发明实施例二公开的一种云存储方法的具体流程示意图,该方法应用于云存储***的终端侧,所述终端侧包括一个云存储客户端、一个密钥管理终端和一个QKD***,所述云存储客户端可以为手机、电脑或其他专用云存储客户端等等,该云存储客户端连接一个密钥管理终端,所述密钥管理终端连接一个QKD***,此时,所述密钥管理终端与所述QKD***是彼此独立的,需要说明的是,所述密钥管理终端也可以集成在所述QKD***中,对此,本实施例不做任何限制。该方法具体包括如下步骤:
S201:终端侧的QKD***与至少一个云服务器侧的QKD***通过量子网络产生至少一个量子密钥。
S202:终端侧的QKD***将所述至少一个量子密钥发送至所述密钥管理终端进行保存。
S203:所述云存储客户端从所述密钥管理终端中获得所述至少一个量子密钥,并通过预设的加密算法将所述至少一个量子密钥处理生成组合密钥。
需要说明的是,本实施例中步骤S201~S203与实施例一中步骤S101~S103为相似步骤,本实施例不再赘述,具体请参见实施例一中的相关描述。
S204:所述云存储客户端利用所述组合密钥加密待存储的明文数据生成密文数据。
S205:所述云存储客户端将所述密文数据发送给云服务器侧以进行存储。
S206:终端侧删除所述至少一个量子密钥以及所述组合密钥。
需要说明的是,在云存储客户端将密文数据发送给云服务器侧存储之后,将控制或指示其所在的终端侧的相应部件将至少一个量子密钥及组合密钥删除,以释放终端侧的资源。
在本实施例中,公开的云存储方法具体包括如何通过量子密钥产生组合密钥,以及利用组合密钥加密数据进行云存储,在利用组合密钥加密数据并将加密后的数据进行云存储后,将终端侧保存的至少一个量子密钥及组合密钥删除,能够释放终端侧原本用于管理密钥的资源以做他用,进而能够提高终端侧的资源利用率。
实施例三
请参阅附图3,为本发明实施例三公开的一种云存储方法的具体流程示意图,该方法应用于云存储***的终端侧,所述终端侧包括一个云存储客户端、一个密钥管理终端和一个QKD***,所述云存储客户端可以为手机、电脑或其他专用云存储客户端等等,该云存储客户端连接一个密钥管理终端,所述密钥管理终端连接一个QKD***,此时,所述密钥管理终端与所述QKD***是彼此独立的,需要说明的是,所述密钥管理终端也可以集成在所述QKD***中,对此,本实施例不做任何限制。该方法具体包括如下步骤:
S301:终端侧的QKD***与至少一个云服务器侧的QKD***通过量子网络产生至少一个量子密钥。
S302:终端侧的QKD***将所述至少一个量子密钥发送至所述密钥管理终端进行保存。
S303:所述云存储客户端从所述密钥管理终端中获得所述至少一个量子密钥,并通过预设的加密算法将所述至少一个量子密钥处理生成组合密钥。
S304:所述云存储客户端利用所述组合密钥加密待存储的明文数据生成密文数据。
可选的,云存储客户端可以预先为所述待存储的明文数据添加数据标签,所述数据标签包括能够表明待存储的明文数据的属性的信息,比如文件名,对此,本实施例不做任何限制。并且,云存储客户端将所述数据标签发送给所述至少一个云服务器侧,以便所述至少一个云服务器侧用所述数据标签对所述至少一个量子密钥进行标识。
S305:所述云存储客户端将所述密文数据发送给云服务器侧以进行存储。
S306:终端侧删除所述至少一个量子密钥以及所述组合密钥。
需要说明的是,本实施例中步骤S301~S306与实施例二中步骤S201~S206为相似步骤,本实施例不再赘述,具体请参见实施例二中的相关描述。
S307:所述云存储客户端向云服务器侧发送用于请求下载所述密文数据以及所述至少一个量子密钥的下载请求。
可选的,如果云存储客户端不知道所述至少一个量子密钥存储在哪些云服务器侧,则可向所有的云服务器侧发送所述数据标签,如果某一云服务器侧之前收到过该数据标签,则将用该数据标签标识的量子密钥反馈给终端侧。
S308:所述云存储客户端接收云服务器侧反馈的所述密文数据以及所述至少一个量子密钥。
需要说明的是,当云服务器侧收到所述用于请求下载所述密文数据以及所述至少一个量子密钥的下载请求之后,将所述密文数据以及所述至少一个量子密钥反馈给终端侧,其中,所述至少一个量子密钥是云服务器侧利用除所述至少一个量子密钥之外的其他的与所述终端侧共享的量子密钥进行加密传输的。即,终端侧是通过QKD安全通道下载存储在各个云服务器侧的所述至少一个量子密钥的,即使恶意攻击者监听所有的数据通道,也无法得到密钥信息,因而无法获得明文数据。
进一步需要说明的是,所述至少一个量子密钥中并不包含除所述至少一个量子密钥之外的其他的在云服务器侧与终端侧之间共享的量子密钥,所述至少一个量子密钥是用来生成组合密钥以加密待存储的明文数据的,而除所述至少一个量子密钥之外的其他的在云服务器侧与终端侧之间共享的量子密钥是为了在终端侧下载所述至少一个量子密钥时加密所述至少一个量子密钥的。除所述至少一个量子密钥之外的其他的在云服务器侧与终端侧之间共享的量子密钥可以和所述至少一个量子密钥同时生成,也可以在终端侧下载所述至少一个量子密钥时再生成,对此,本实施例不做任何限制。
S309:所述云存储客户端通过预设的加密算法将所述至少一个量子密钥处理生成所述组合密钥。
S310:所述云存储客户端利用所述组合密钥对所述密文数据进行解密。
需要说明的是,在对所述密文数据进行解密之后,云存储客户端可以通知云服务器侧删除所述至少一个量子密钥和所述密文数据。
在本实施例中,公开的云存储方法具体包括如何通过量子密钥产生组合密钥、利用组合密钥加密数据进行云存储以及如何进行云读取,该方法相对于前面两个实施例来说,更加全面。在利用组合密钥加密数据并将加密后的数据进行云存储后,将终端侧保存的至少一个量子密钥及组合密钥删除,能够释放终端侧原本用于管理密钥的资源以做他用,进而能够提高终端侧的资源利用率。在云读取时,直接从云服务器侧读取所述至少一个量子密钥,并且,在读取的过程中,利用除所述至少一个量子密钥之外的其他的在云服务器侧与终端侧之间共享的量子密钥进行加密传输,能够保证所述至少一个量子密钥在传输的过程中不容易被监听,进而保证密钥的高度安全性。
实施例四
请参阅附图4,为本发明实施例四公开的一种云存储方法具体流程示意图,该方法应用于云存储***的云服务器侧,所述云服务器侧包括一个云存储服务器,所述云存储服务器连接一个密钥管理终端,所述密钥管理终端连接一个QKD***,所述方法包括:
S401:所述QKD***与至少一个终端侧的QKD***通过量子网络产生至少一个量子密钥。
S402:所述QKD***将所述至少一个量子密钥发送至所述密钥管理终端进行保存。
需要说明的是,当终端侧需要获取明文数据时,则从云服务器侧的密钥管理终端中读取所述至少一个量子密钥以解密密文数据。
当所述云存储服务器接收到终端侧发送的密文数据之后,将所述密文数据进行保存。
当所述云存储服务器接收到终端侧发送的用于请求下载所述密文数据以及所述至少一个量子密钥的下载请求之后,将所述密文数据以及所述至少一个量子密钥反馈给终端侧,其中,所述至少一个量子密钥是利用除所述至少一个量子密钥之外的其他的与所述终端侧共享的量子密钥进行加密传输的。
实施例五
请参阅附图5,为本发明实施例五公开的一种云存储***的具体结构示意图,该云存储***具体包括:
通过量子网络和经典网络连接的至少一个云服务器侧a以及至少一个终端侧b,需要说明的是,所述终端侧b能够执行实施例一~实施例三中任意一个实施例所描述的云存储方法,所述云服务器侧a能够执行实施例四所描述的云存储方法。
其中,每个云服务器侧a包括一个云存储服务器、一个密钥管理终端和一个QKD***,每个终端侧b包括一个云存储客户端、一个密钥管理终端和一个QKD***。具体的,在图5中,有N个云服务器侧a,有1个终端侧b,第1个云服务器侧a包括一个云存储服务器-1,一个密钥管理终端-1和一个QKD***-1,第2个云服务器侧a包括一个云存储服务器-2,一个密钥管理终端-2和一个QKD***-2,第3个云服务器侧a包括一个云存储服务器-3,一个密钥管理终端-3和一个QKD***-3,……,第N个云服务器侧a包括一个云存储服务器-N,一个密钥管理终端-N和一个QKD***-N,而终端侧b包括一个云存储客户端,一个密钥管理终端-0和一个QKD***-0。
需要说明的是,在利用上述***进行云存储业务的时候,一个终端侧b的QKD***(如图5中的QKD***-0)与至少一个云服务器侧a(如图5中的第1~N个云服务器侧a中的一个或多个)的QKD***之间通过所述量子网络产生量子密钥,所述量子密钥分别存储在与一个终端侧的QKD***相连的密钥管理终端以及与至少一个云服务器侧的QKD***分别相连的至少一个密钥管理终端中,所述量子密钥用于通过预设的加密算法处理生成组合密钥以加密待存储的明文数据生成密文数据,所述量子密钥及所述密文数据的传输通过所述经典网络执行。
以图5中的QKD***-0与QKD***-1之间通过量子网络产生量子密钥为例,产生后的量子密钥分别存储在密钥管理终端-0和密钥管理终端-1中。
进一步需要说明的是,QKD技术基于“海森堡测不准原理”和“量子不可复制原理”,使用每比特单光子传输随机数,由此发送端和接收端能够产生并共享随机数密钥。原理上,对QKD过程的任何窃听都必然会被发现。以常用的光量子通信方案为例,量子信息由单光子的量子状态承载;而单光子是光能量变化的最小单元,也可以说是组成光的最基本单元,已不可再分,窃听者不能通过分割光子来窃听信息;“量子不可复制原理”决定了未知单光子状态不能被精确复制,因此窃听者也不能通过截获并复制光子状态来窃听信息;“海森堡测不准原理”则决定了对未知单光子状态的测量必然会对其状态产生扰动,通信者就可以利用这一点发现窃听。因此,一个终端侧b的QKD***(如图5中的QKD***-0)与至少一个云服务器侧a(如图5中的第1~N个云服务器侧a中的一个或多个)的QKD***之间通过所述量子网络产生量子密钥具有无条件安全性。
本实施例公开了一种云存储***,所述***包括:通过量子网络和经典网络连接的至少一个云服务器侧以及至少一个终端侧;每个云服务器侧包括一个云存储服务器、一个密钥管理终端和一个QKD***;每个终端侧包括一个云存储客户端、一个密钥管理终端和一个QKD***;一个终端侧的QKD***与至少一个云服务器侧的QKD***之间通过量子网络产生量子密钥,量子密钥用于通过预设的加密算法处理生成组合密钥以加密待存储的明文数据生成密文数据。基于上述***,使得量子密钥分配技术与云存储技术相结合,利用云存储的分布式特点和量子密钥分配易于产生大量随机数密钥的天然优势,极大地保障了云存储的数据安全性。
本发明公开的云存储方法及***,充分利用云服务器侧的资源优势,将加密密钥分散在各个云服务器侧存储,终端侧无需保存相应的密钥信息,且这些云服务器侧随机散落在全国甚至世界的各个地方,想要窃取信息的恶意攻击者并没有如此大的能力去找到这些云服务器侧,即使找到也没有如此大的权利要求每个云服务器侧都提供出信息;而且,采用组合多个加密密钥的方法对明文数据进行加密,而每个加密密钥则是通过QKD技术在终端侧和不同的云服务器侧间独立分发的,每个加密密钥都具有无条件安全性,因此密文数据也可以具有直至无条件安全的高度安全性;进一步的,终端侧通过QKD安全通道下载存储在各个云服务器侧的加密密钥,即使恶意攻击者监听所有的数据通道,也无法得到密钥信息,因而无法获得明文数据。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本发明而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
综上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照上述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对上述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种云存储方法,其特征在于,应用于云存储***的终端侧,所述终端侧包括一个云存储客户端、一个密钥管理终端和一个量子密钥分配QKD***,所述方法包括:
所述QKD***与至少一个云服务器侧的QKD***通过量子网络产生至少一个量子密钥;
所述QKD***将所述至少一个量子密钥发送至所述密钥管理终端进行保存;
所述云存储客户端从所述密钥管理终端中获得所述至少一个量子密钥,并通过预设的加密算法将所述至少一个量子密钥处理生成组合密钥;
所述云存储客户端利用所述组合密钥加密待存储的明文数据生成密文数据;
所述云存储客户端将所述密文数据发送给云服务器侧以进行存储;
所述终端侧删除所述至少一个量子密钥以及所述组合密钥;
所述云存储客户端向云服务器侧发送用于请求下载所述密文数据以及所述至少一个量子密钥的下载请求;
所述云存储客户端接收云服务器侧反馈的所述密文数据以及所述至少一个量子密钥;
所述云存储客户端通过预设的加密算法将所述至少一个量子密钥处理生成所述组合密钥;
所述云存储客户端利用所述组合密钥对所述密文数据进行解密。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述云存储客户端通知云服务器侧删除所述至少一个量子密钥和所述密文数据。
3.根据权利要求1或2所述的方法,其特征在于,在所述云存储客户端利用所述组合密钥加密待存储的明文数据生成密文数据之前,所述方法还包括:
所述云存储客户端预先为所述待存储的明文数据添加数据标签;
所述云存储客户端将所述数据标签发送给所述至少一个云服务器侧,以便所述至少一个云服务器侧用所述数据标签对所述至少一个量子密钥进行标识。
4.根据权利要求3所述的方法,其特征在于,所述云存储客户端从云服务器侧下载所述至少一个量子密钥,具体包括:
所述云存储客户端向所有的云服务器侧发送所述数据标签;
所述云存储客户端接收用所述数据标签对量子密钥标识的云服务器侧发送的所述至少一个量子密钥。
5.一种云存储方法,其特征在于,应用于云存储***的云服务器侧,所述云服务器侧包括一个云存储服务器,所述云存储服务器连接一个密钥管理终端,所述密钥管理终端连接一个量子密钥分配QKD***,所述方法包括:
所述QKD***与至少一个终端侧的QKD***通过量子网络产生至少一个量子密钥;
所述QKD***将所述至少一个量子密钥发送至所述密钥管理终端进行保存;
当所述云存储服务器接收到终端侧发送的密文数据之后,将所述密文数据进行保存;
当所述云存储服务器接收到终端侧发送的用于请求下载所述密文数据以及所述至少一个量子密钥的下载请求之后,将所述密文数据以及所述至少一个量子密钥反馈给终端侧,
其中,从终端侧发送的所述密文数据是利用通过预设的加密算法将至少一个量子密钥处理而生成的组合密钥对明文数据加密后的密文数据,接收到下载请求之后反馈给终端侧的所述至少一个量子密钥是与生成组合密钥所使用的量子密钥对应的量子密钥。
6.根据权利要求5所述的方法,其特征在于,接收到下载请求之后反馈给终端侧的所述至少一个量子密钥是利用除所述至少一个量子密钥之外的其他的与所述终端侧共享的量子密钥进行加密传输的。
7.一种云存储***,其特征在于,所述***包括:
通过量子网络和经典网络连接的至少一个终端侧以及至少一个云服务器侧,所述至少一个终端侧用于执行权利要求1至4中任意一项所述的云存储方法,所述至少一个云服务器侧用于执行权利要求5或6中任意一项所述的云存储方法。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510225113.6A CN106209739B (zh) | 2015-05-05 | 2015-05-05 | 云存储方法及*** |
| PCT/CN2016/081072 WO2016177332A1 (zh) | 2015-05-05 | 2016-05-05 | 云存储方法及*** |
| JP2017535338A JP6416402B2 (ja) | 2015-05-05 | 2016-05-05 | クラウドストレージ方法及びシステム |
| EP16789326.2A EP3293934B1 (en) | 2015-05-05 | 2016-05-05 | Cloud storage method and system |
| US15/571,186 US10581599B2 (en) | 2015-05-05 | 2016-05-05 | Cloud storage method and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510225113.6A CN106209739B (zh) | 2015-05-05 | 2015-05-05 | 云存储方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106209739A CN106209739A (zh) | 2016-12-07 |
| CN106209739B true CN106209739B (zh) | 2019-06-04 |
Family
ID=57218131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510225113.6A Active CN106209739B (zh) | 2015-05-05 | 2015-05-05 | 云存储方法及*** |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10581599B2 (zh) |
| EP (1) | EP3293934B1 (zh) |
| JP (1) | JP6416402B2 (zh) |
| CN (1) | CN106209739B (zh) |
| WO (1) | WO2016177332A1 (zh) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330851B (zh) * | 2015-07-10 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 基于云服务的移动终端安全信息获取、下发方法和装置 |
| CN107347058B (zh) | 2016-05-06 | 2021-07-23 | 阿里巴巴集团控股有限公司 | 数据加密方法、数据解密方法、装置及*** |
| CN108123795B (zh) * | 2016-11-28 | 2020-01-10 | 广东国盾量子科技有限公司 | 量子密钥芯片的发行方法、应用方法、发行平台及*** |
| CN106888084B (zh) * | 2017-01-04 | 2021-02-19 | 浙江神州量子网络科技有限公司 | 一种量子堡垒机***及其认证方法 |
| CN108667608B (zh) | 2017-03-28 | 2021-07-27 | 阿里巴巴集团控股有限公司 | 数据密钥的保护方法、装置和*** |
| CN108667773B (zh) | 2017-03-30 | 2021-03-12 | 阿里巴巴集团控股有限公司 | 网络防护***、方法、装置及服务器 |
| CN108737079B (zh) * | 2017-04-14 | 2021-05-07 | 广东国盾量子科技有限公司 | 分布式量子密钥管理***及方法 |
| CN107094076B (zh) * | 2017-04-14 | 2018-09-25 | 江苏亨通问天量子信息研究院有限公司 | 基于量子真随机数的保密通信方法及通信*** |
| CN108736981A (zh) | 2017-04-19 | 2018-11-02 | 阿里巴巴集团控股有限公司 | 一种无线投屏方法、装置及*** |
| CN107562384A (zh) * | 2017-09-07 | 2018-01-09 | 中国电子科技集团公司第三十研究所 | 一种基于量子随机数的数据擦除方法 |
| CN109561047B (zh) * | 2017-09-26 | 2021-04-13 | 安徽问天量子科技股份有限公司 | 基于密钥异地存储的加密数据存储***及方法 |
| CN107659569A (zh) * | 2017-09-28 | 2018-02-02 | 韩洪慧 | 一种基于在线授权获取用户信息的控制方法及其*** |
| CN109994115B (zh) | 2018-01-03 | 2023-07-07 | 阿里巴巴集团控股有限公司 | 通讯方法及装置、数据处理方法及设备 |
| CN109150835B (zh) * | 2018-07-20 | 2021-05-04 | 国科量子通信网络有限公司 | 云端数据存取的方法、装置、设备及计算机可读存储介质 |
| CN109299618B (zh) * | 2018-09-20 | 2020-06-16 | 如般量子科技有限公司 | 基于量子密钥卡的抗量子计算云存储方法和*** |
| CN109450620B (zh) | 2018-10-12 | 2020-11-10 | 创新先进技术有限公司 | 一种移动终端中共享安全应用的方法及移动终端 |
| CN109787965B (zh) * | 2018-12-29 | 2021-02-02 | 如般量子科技有限公司 | 基于多个非对称密钥池的抗量子计算云存储方法和*** |
| US11038852B2 (en) | 2019-02-08 | 2021-06-15 | Alibaba Group Holding Limited | Method and system for preventing data leakage from trusted network to untrusted network |
| GB2581528B (en) * | 2019-02-22 | 2022-05-18 | Toshiba Kk | A method, a communication network and a node for exchanging a cryptographic key |
| CN110048833B (zh) * | 2019-03-04 | 2021-10-29 | 全球能源互联网研究院有限公司 | 基于量子卫星密钥网络的电力业务加密方法及装置 |
| US11137923B2 (en) | 2019-07-18 | 2021-10-05 | Alibaba Group Holding Limited | Method and system for data reduction in a storage infrastructure to support a high-ration thin-provisioned service |
| US11228431B2 (en) * | 2019-09-20 | 2022-01-18 | General Electric Company | Communication systems and methods for authenticating data packets within network flow |
| CN110891066B (zh) * | 2019-12-03 | 2022-03-01 | 重庆交通大学 | 一种基于同态加密方案的代理型匿名通信方法 |
| US11429519B2 (en) | 2019-12-23 | 2022-08-30 | Alibaba Group Holding Limited | System and method for facilitating reduction of latency and mitigation of write amplification in a multi-tenancy storage drive |
| CN111277572A (zh) * | 2020-01-13 | 2020-06-12 | 深圳市赛为智能股份有限公司 | 云存储安全去重方法、装置、计算机设备及存储介质 |
| US11995194B1 (en) | 2020-03-06 | 2024-05-28 | Wells Fargo Bank, N.A. | Self-contained encrypted data and decryption application for third party data storage and data dissemination |
| US11223470B1 (en) | 2020-03-06 | 2022-01-11 | Wells Fargo Bank, N.A. | Post-quantum cryptography side chain |
| CN111130782B (zh) * | 2020-03-31 | 2020-08-28 | 北京中创为南京量子通信技术有限公司 | 一种量子密钥分发组网方法及*** |
| CN111698252B (zh) * | 2020-06-11 | 2021-04-30 | 邦尼集团有限公司 | 云平台数据加密传输方法及*** |
| CN112436936B (zh) * | 2020-11-11 | 2022-11-01 | 安徽量安通信息科技有限公司 | 一种具备量子加密功能的云存储方法及*** |
| CN113111372B (zh) * | 2021-05-06 | 2023-09-22 | 安徽华典大数据科技有限公司 | 一种基于量子秘钥加密的终端数据上云***及上云方法 |
| CN114679272B (zh) * | 2022-05-27 | 2022-09-20 | 浙江九州量子信息技术股份有限公司 | 一种使用量子密钥加密的云存储***及方法 |
| CN115113821B (zh) * | 2022-07-07 | 2023-05-12 | 北京算讯科技有限公司 | 基于量子加密的5g大数据算力服务*** |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2913770B2 (ja) | 1990-05-31 | 1999-06-28 | 株式会社エヌ・ティ・ティ・データ | 暗号化通信方式 |
| JPH09130618A (ja) | 1995-11-01 | 1997-05-16 | Brother Ind Ltd | ファクシミリ装置 |
| US7068790B1 (en) * | 2001-08-31 | 2006-06-27 | Bbn Technologies Corp. | Systems and methods for path set-up in a quantum key distribution network |
| US7515716B1 (en) * | 2004-02-26 | 2009-04-07 | Bbn Technologies Corp. | Systems and methods for reserving cryptographic key material |
| CN101099328B (zh) | 2004-11-11 | 2011-05-18 | 塞尔蒂卡姆公司 | 定制的静态Diffie-Helman群 |
| WO2007123869A2 (en) | 2006-04-18 | 2007-11-01 | Magiq Technologies, Inc. | Key management and user authentication for quantum cryptography networks |
| US8892887B2 (en) | 2006-10-10 | 2014-11-18 | Qualcomm Incorporated | Method and apparatus for mutual authentication |
| CN201430596Y (zh) * | 2009-07-10 | 2010-03-24 | 陕西理工学院 | 可扩展多用户量子密钥分配网络*** |
| GB0917060D0 (en) | 2009-09-29 | 2009-11-11 | Qinetiq Ltd | Methods and apparatus for use in quantum key distribution |
| US10348693B2 (en) | 2009-12-15 | 2019-07-09 | Microsoft Technology Licensing, Llc | Trustworthy extensible markup language for trustworthy computing and data services |
| ES2386627B1 (es) | 2010-10-22 | 2013-06-11 | Telefónica, S.A. | Método y sistema para la cogeneración asíncrona y no notificada de claves simétricas secretas criptográficas en ubicaciones espacialmente distantes a traves de un sistema distribuido. |
| WO2012139174A1 (en) * | 2011-04-15 | 2012-10-18 | Quintessencelabs Pty Ltd | Qkd key management system |
| CN103490891B (zh) * | 2013-08-23 | 2016-09-07 | 中国科学技术大学 | 一种电网ssl vpn中密钥更新和使用的方法 |
| WO2015056236A1 (en) | 2013-10-17 | 2015-04-23 | Andre Keith Joubert | A method of generating key arrays of random numbers and encryption |
| CN103763099B (zh) * | 2014-02-13 | 2017-04-19 | 国家电网公司 | 一种基于量子密钥分配技术的电力安全通信网络 |
| US9331875B2 (en) * | 2014-04-04 | 2016-05-03 | Nxgen Partners Ip, Llc | System and method for communication using orbital angular momentum with multiple layer overlay modulation |
-
2015
- 2015-05-05 CN CN201510225113.6A patent/CN106209739B/zh active Active
-
2016
- 2016-05-05 EP EP16789326.2A patent/EP3293934B1/en active Active
- 2016-05-05 US US15/571,186 patent/US10581599B2/en active Active
- 2016-05-05 WO PCT/CN2016/081072 patent/WO2016177332A1/zh unknown
- 2016-05-05 JP JP2017535338A patent/JP6416402B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016177332A1 (zh) | 2016-11-10 |
| US20180351734A1 (en) | 2018-12-06 |
| JP2018500843A (ja) | 2018-01-11 |
| EP3293934A4 (en) | 2019-01-02 |
| US10581599B2 (en) | 2020-03-03 |
| EP3293934A1 (en) | 2018-03-14 |
| JP6416402B2 (ja) | 2018-10-31 |
| CN106209739A (zh) | 2016-12-07 |
| EP3293934B1 (en) | 2020-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106209739B (zh) | 云存储方法及*** | |
| US11316677B2 (en) | Quantum key distribution node apparatus and method for quantum key distribution thereof | |
| US8732462B2 (en) | Methods and apparatus for secure data sharing | |
| CN109891423B (zh) | 使用多个控制机构的数据加密控制 | |
| CN112740615B (zh) | 多方计算的密钥管理 | |
| CN103427998A (zh) | 一种面向互联网数据分发的身份验证和数据加密方法 | |
| US20180115535A1 (en) | Blind En/decryption for Multiple Clients Using a Single Key Pair | |
| CN110708291B (zh) | 分布式网络中数据授权访问方法、装置、介质及电子设备 | |
| Mangla et al. | Secure data transmission using quantum cryptography in fog computing | |
| TWI422241B (zh) | 頻譜授權以及相關的通訊方法和裝置 | |
| CN113193958B (zh) | 一种量子密钥服务方法与*** | |
| KR20180136625A (ko) | 양자난수와 의사난수를 결합한 보안 인증 기술을 이용한 cctv 영상방범 시스템 | |
| CN104796411A (zh) | 一种数据在云端和移动端安全传输存储及使用的方法 | |
| Yang | A quantum secure direct communication protocol without quantum memories | |
| CN103384233B (zh) | 一种代理转换的方法、装置和*** | |
| CN104284237A (zh) | 视频传输方法及*** | |
| Döring et al. | Post-Quantum Cryptography key exchange to extend a high-security QKD platform into the mobile 5G/6G networks | |
| KR101812311B1 (ko) | 사용자 단말 및 속성 재암호 기반의 사용자 단말 데이터 공유 방법 | |
| EP3367609B1 (en) | Recovering a key in a secure manner | |
| EP3166040B1 (en) | Data encryption system | |
| CN111314287A (zh) | 一种公钥加密通信方式和装置 | |
| CN110650121A (zh) | 基于分布式***的流媒体数据保密*** | |
| WO2017122950A1 (ko) | 암복호화 장치 및 방법 | |
| KR20180109652A (ko) | 양자난수와 의사난수를 결합한 보안 인증 cctv 영상방범 시스템 | |
| CN106685911B (zh) | 一种数据处理方法及鉴权服务器、客户端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |