The invention discloses a data encryption method and device, the device and decryption method and device for data and open, a key storage method, a key method and device, a data encryption system, and a data encryption method. Among them, the data encryption method includes: receiving for the encryption of stored data request; use the default selection key and key used to label the key; request carries on the encryption of data encryption with the output key; the encrypted data and the key to the information label. The corresponding stored in a storage device; wherein, the key is to get the key from the storage pool of encryption and decryption unit and key management center key sequence of quantum key distribution generated in operation. By this method, can guarantee the security of key distribution process; it can be flexibly using different keys for data encryption, to effectively guarantee the security of data storage.
【技术实现步骤摘要】
数据加密方法、数据解密方法、装置及系统
本申请涉及数据加密技术,具体涉及一种数据加密方法及装置。本申请同时涉及一种数据解密方法及装置,一种密钥存储方法及装置,一种密钥提供方法及装置,一种数据加密系统,以及另一种数据加密方法。
技术介绍
随着数据种类以及数量的日益增多,为了避免公司数据、客户数据等敏感数据因为泄露而引发的损失,数据存储加密技术得到了较为普遍的应用,成为保护数据安全性的有效方法。数据存储加密技术通常是指,在将数据写入存储设备之前采用特定技术为数据加密,从而确保存放在存储设备上的数据的安全性,相应的,在读取已存储数据时则采用相应技术为数据解密。数据存储加密技术按照实现手段可以分为主机软件加密、加密存储安全交换机、嵌入式专门加密设备以及基于存储设备本身的加密机制等方法,各种方法的逻辑架构中通常都包括加密解密单元、以及密钥管理中心。其中加密解密单元通常是指,对待存储的数据利用固定密钥进行加密、对读取的已存储数据采用固定密钥进行解密的功能单元;密钥管理中心通常是指,负责存储密钥、以及对密钥进行更换等管理操作的功能单元。一般情况下,加密解密单元中的密钥是不会轻易去改变的,只有在遇到密钥泄露或者有重大的泄露风险的情况的时候才会更新密钥,例如:通过密钥管理中心和加密解密单元通过非对称加密算法建立加密安全传输通道、将新的密钥传给加密解密单元;或者是由专门的管理维护人员通过拷贝等方式去现场手动更新密钥。而且更新密钥后需要做好对历史密钥及历史数据的管理,以免造成存储设备中的历史数据无法解密,导致数据损失。上述数据存储加密技术,存在以下缺陷:1)由于加密解密单元使用 ...
【技术保护点】
一种数据加密方法,其特征在于,包括:接收针对待存储数据的加密请求;采用预设方式选取密钥、以及用于标识所述密钥的密钥标签;用所述密钥对所述加密请求携带的数据加密;输出加密后的数据以及所述密钥标签,以将上述信息对应存储于存储设备;其中,所述密钥是从加密解密单元的密钥池获取的、且与通过发送密钥更换同步请求触发密钥管理中心获取的密钥相同,所述密钥池用于存储加密解密单元与密钥管理中心执行量子密钥分发操作生成的密钥序列;用于标识所述密钥的密钥标签与密钥管理中心相同。
【技术特征摘要】
1.一种数据加密方法,其特征在于,包括:接收针对待存储数据的加密请求;采用预设方式选取密钥、以及用于标识所述密钥的密钥标签;用所述密钥对所述加密请求携带的数据加密;输出加密后的数据以及所述密钥标签,以将上述信息对应存储于存储设备;其中,所述密钥是从加密解密单元的密钥池获取的、且与通过发送密钥更换同步请求触发密钥管理中心获取的密钥相同,所述密钥池用于存储加密解密单元与密钥管理中心执行量子密钥分发操作生成的密钥序列;用于标识所述密钥的密钥标签与密钥管理中心相同。2.根据权利要求1所述的数据加密方法,其特征在于,所述采用预设方式选取密钥、以及用于标识所述密钥的密钥标签,包括:判断是否需要更换密钥;若是,从所述密钥池中获取密钥,所述密钥与通过发送密钥更换同步请求触发密钥管理中心获取的密钥相同;并获取用于标识所述密钥的、且与密钥管理中心相同的密钥标签;否则,采用上一次执行加密操作所用的密钥、以及相应的密钥标签。3.根据权利要求2所述的数据加密方法,其特征在于,所述判断是否需要更换密钥,包括:根据是否接收到密钥更换指令,判断是否需要更换密钥;或者,根据预设的密钥更换策略,判断是否需要更换密钥。4.根据权利要求3所述的数据加密方法,其特征在于,所述预设的密钥更换策略,包括:按照预设的时间间隔更换密钥;或者,针对每次接收到的加密请求更换密钥。5.根据权利要求2所述的数据加密方法,其特征在于,所述从所述密钥池中获取密钥,所述密钥与通过发送密钥更换同步请求触发密钥管理中心获取的密钥相同,包括:按照预设方式从所述密钥池中获取密钥;向密钥管理中心发送密钥更换同步请求、以触发密钥管理中心获取相同的密钥。6.根据权利要求5所述的数据加密方法,其特征在于,在按照预设方式从所述密钥池中获取密钥之后,执行下述操作:采用预设算法计算所述密钥的散列值;所述向密钥管理中心发送密钥更换同步请求,包括:向密钥管理中心发送至少包含所述散列值的密钥更换同步请求。7.根据权利要求2所述的数据加密方法,其特征在于,所述获取用于标识所述密钥的、且与密钥管理中心相同的密钥标签,采用以下方式实现:采用与密钥管理中心相同的算法生成用于标识所述密钥的密钥标签;或者,采用与密钥管理中心交互确认由任一方生成的密钥标签的方式,获取用于标识所述密钥的密钥标签。8.一种数据加密装置,其特征在于,包括:加密请求接收单元,用于接收针对待存储数据的加密请求;密钥及标签选取单元,用于采用预设方式选取密钥、以及用于标识所述密钥的密钥标签;所述密钥是从加密解密单元的密钥池获取的、且与通过发送密钥更换同步请求触发密钥管理中心获取的密钥相同,所述密钥池用于存储加密解密单元与密钥管理中心执行量子密钥分发操作生成的密钥序列;用于标识所述密钥的密钥标签与密钥管理中心相同;数据加密单元,用于用所述密钥对所述加密请求携带的数据加密;加密数据及标签输出单元,用于输出加密后的数据以及所述密钥标签,以将上述信息对应存储于存储设备。9.一种数据解密方法,其特征在于,包括:接收针对已存储数据的解密请求;根据所述解密请求携带的密钥标签,从密钥管理中心获取相应的密钥;用所述密钥对所述解密请求携带的数据解密;将解密后的数据返回给所述解密请求的请求方。10.根据权利要求9所述的数据解密方法,其特征在于,所述根据所述解密请求携带的密钥标签,从密钥管理中心获取相应的密钥,包括:向密钥管理中心发送密钥获取请求,所述请求中携带从所述解密请求中提取的密钥标签;从密钥管理中心返回的应答中获取与所述密钥标签对应的密钥。11.根据权利要求10所述的数据解密方法,其特征在于,所述从密钥管理中心返回的应答中获取与所述密钥标签对应的密钥,包括:从密钥管理中心返回的应答中提取加密后的密钥;采用与密钥管理中心相同的密钥对所述加密后的密钥解密,并将解密后的密钥作为与所述密钥标签对应的密钥。12.根据权利要求11所述的数据解密方法,其特征在于,在向密钥管理中心发送密钥获取请求之前,执行下述操作:采用对称加密算法,对从所述解密请求中提取的密钥标签加密;相应的,在向密钥管理中心发送的密钥获取请求中携带的是加密后的密钥标签。13.根据权利要求11或12所述的数据解密方法,其特征在于,在向密钥管理中心发送密钥获取请求之前,包括:从加密解密单元的密钥池中获取密钥,所述密钥与通过发送密钥获取同步请求触发密钥管理中心获取的密钥相同;并将获取的密钥作为对从应答中提取的密钥解密所采用的密钥、或者对从应答中提取的密钥解密以及对密钥标签加密所采用的密钥;其中,所述密钥池用于存储加密解密单元与密钥管理中心执行量子密钥分发操作...
【专利技术属性】
技术研发人员:原鹏,王志强,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。