本发明专利技术提供一种应用于安全存储系统的量子密钥分发方案及装置,该安全存储管理系统包括量子密钥分发系统、安全存储管理中心和安全存储网关,量子密钥分发系统负责量子密钥的分发,使用量子密钥对用户存储数据进行加密保护,用户数据存储效率高,安全性高。安全存储管理中心负责密钥的管理,安全存储网关负责利用分发的密钥,对数据进行完整性校验及加解密操作。安全存储网关和存储设备上均不存储密钥信息,只是被动地接收分发的密钥,极大限度地增强了数据的安全性。强了数据的安全性。
【技术实现步骤摘要】
一种应用于安全存储系统的量子密钥分发方案及装置
[0001]本专利技术涉及安全存储
,尤其涉及一种应用于安全存储系统的量子密钥分发方案及装置。
技术介绍
[0002]目前,对大容量数据存储和快速读写、便捷操作的需求,使得网络化存储产品成为热点,存储网关应时而生。网关,又名网间连接器、协议转换器,在网络层以上实现网络互连,是一种网络存储设备,对用户身份认证要求尤为严格,对存储数据的机密性和完整性保障尤为重要。
[0003]随着社会信息化建设的不断发展,各个行业、企事业单位利用计算机系统和计算机网络技术进行关键业务数据的存储和处理等更加频繁,存储的数据量也呈指数级增长。目前常规的存储技术依靠各种磁盘阵列作为数据存储设备,且数据本身没有实施安全保护措施,或者即使数据存储设备上的数据进行了安全保护措施比如加密处理,将数据和密钥一起存储在数据存储设备上,在使用过程中仍然存在极大的数据安全风险。
[0004]为保证用户存储数据的安全性和完整性,亟需研发一种可行的、可靠的密钥分发方法。
技术实现思路
[0005]本专利技术提供一种应用于安全存储系统的量子密钥分发方案及装置,以解决现有技术中用户存储数据的安全性和完整性问题。
[0006]为实现上述技术目的,本专利技术使用以下技术方法:
[0007]一种应用于安全存储系统的量子密钥分发方案及装置,所述安全存储系统包括量子密钥分发系统、安全存储管理中心和安全存储网关,所述量子密钥分发系统负责量子密钥的分发,所述安全存储管理中心负责密钥的管理,所述安全存储网关负责利用分发的密钥,对数据进行完整性校验及加解密操作,所述安全存储管理中心和安全存储网关均内置有加密卡。
[0008]进一步地,所述量子密钥分发流程为:
[0009]1、对安全存储中心和安全存储网关的加密卡进行初始化,得到主密钥MK;
[0010]2、安全存储网关上线或者安全存储网关在安全管理中心注册;
[0011]3、安全存储管理中心发起量子密钥请求,量子密钥分发系统同步下发量子密钥QkeyA至安全存储管理中心和安全存储网关;
[0012]4、使用量子密钥QkeyA作为密钥加密密钥KEK,并设置有效期;
[0013]5、若是注册,安全存储管理中心再次向量子密钥分发系统发起量子密钥请求,量子密钥分发系统同步下发量子密钥QkeyB至安全存储管理中心和安全存储网关;
[0014]6、若是上线则安全存储管理中心直接读取已存储于数据库中密文形式的数据加密密钥并调用加密卡API解密,获取数据加密密钥明文QkeyB,并对齐进行hamc校验,若校验
不一致则执行步骤5重新获取QkeyB;
[0015]7、安全存储管理中心使用主密钥MK调用加密卡API对QkeyB进行加密运算,得到密文CiphertextA;
[0016]8、安全存储管理中心检查密钥加密密钥KEK是否过期,若过期则重复步骤3和步骤4重新获取QkeyA,若未过期则使用QkeyA调用加密卡API对CiphertextA进行加密运算,获得密文CiphertextB,然后通过基于HTTPS的REST API接口下发密文CiphertextB至安全存储网关;
[0017]9、安全存储网关接收到密文CiphertextB,调用加密卡的API,使用密钥加密密钥KEK进行解密运算得到CiphertextA;
[0018]10、安全存储网关调用加密卡API,使用主密钥MK进行解密运算获得QkeyB
’
;
[0019]11、若是注册安全存储网关比对QkeyB
’
与QkeyB,若不一致则返回失败消息,重新进行密钥分发;若二者一致,量子密钥QkeyB作为数据加密密钥DEK。若是上线直接将量子密钥QkeyB作为数据加密密钥DEK。密钥分发过程安全完整,至此完成密钥分发。
[0020]进一步地,所述量子密钥分发系统包括密钥生成模块、密钥分发模块和数据通信模块,所述量子密钥分发模块主要用于实现量子密钥在安全存储网关和安全存储管理中心之间的同步分发。
[0021]进一步地,所述安全存储管理中心包括数据通信模块、第一加解密模块和数据加密密钥分发模块,所述第一加解密模块通过调用加密卡API实现数据加解密,量子密钥作为所述数据加密密钥,完成安全存储网关和安全存储管理中心之间数据加密密钥的分发。
[0022]进一步地,所述安全存储网关包括数据通信模块和第二加解密模块,所述第二加解密模块通过调用加密卡API实现数据加解密。
[0023]进一步地,所述数据通信模块包括安全存储网关与安全存储管理中心之间的第一通信模块,安全存储网关与量子密钥分发系统之间的第二通信模块以及安全存储管理中心与量子密钥分发系统之间的第三通信模块,所述第一通信模块使用基于HTTPS的REST API接口;所述第二通信模块和第三通信模块均使用socket套接字通信。
[0024]本专利技术提供的一种安全存储系统的密钥分发方法具有以下优点:
[0025]1、使用量子密钥对用户存储数据进行加密保护,使用户数据存储效率高,安全性高;
[0026]2、安全存储管理中心和安全存储网关都内置加密卡,采用三级密钥结构体制,层层向下加密,安全性更高;
[0027]3、存储数据和数据加密密钥DEK分离存储,防止数据和密钥同时丢失,其安全性更高;
[0028]4、数据存储过程中进行了密钥防篡改验证,保障安全存储管理中心和安全存储网关接收量子密钥的量子密钥的真实性;
[0029]5、系统的整个密钥分发过程自动完成,无需用户参与,有效避免因用户干预而带来的人为泄露风险。
附图说明
[0030]为了更清楚地说明本专利技术实施例的技术方法,下面将对实施例中所需要使用的附
图作简单地介绍。应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0031]图1为本专利技术的安全存储系统的密钥分发的流程示意图;
[0032]图2本专利技术的安全存储系统的结构示意图;
具体实施方式
[0033]为使本专利技术实施例的目的、技术方法和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方法进行描述。显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。
[0034]因此,以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围,而是仅仅表示本专利技术的选定实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0035]下面结合附图对本专利技术做进一步详细说明。
[0036]请参阅图1和图2,一种应用于安全本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种应用于安全存储系统的量子密钥分发方案及装置,其特征在于,所述安全存储系统包括量子密钥分发系统、安全存储管理中心和安全存储网关,所述量子密钥分发系统负责量子密钥的分发,所述安全存储管理中心负责密钥的管理,所述安全存储网关负责利用分发的密钥,对数据进行完整性校验及加解密操作,所述安全存储管理中心和安全存储网关均内置有加密卡。2.根据权利要求1所述的一种应用于安全存储系统的量子密钥分发方案及装置,其特征在于,所述量子密钥分发流程为:(1)对安全存储中心和安全存储网关的加密卡进行初始化,得到主密钥MK;(2)安全存储网关上线或者安全存储网关在安全管理中心注册;(3)安全存储管理中心发起量子密钥请求,量子密钥分发系统同步下发量子密钥QkeyA至安全存储管理中心和安全存储网关;(4)使用量子密钥QkeyA作为密钥加密密钥KEK,并设置有效期;(5)若是注册安全存储管理中心再次向量子密钥分发系统发起量子密钥请求,量子密钥分发系统同步下发量子密钥QkeyB至安全存储管理中心和安全存储网关;(6)若是上线则安全存储管理中心直接读取已存储于数据库中密文形式的数据加密密钥并调用加密卡API解密,获取数据加密密钥明文QkeyB,并对齐进行hamc校验,若校验不一致则执行步骤(5)重新获取QkeyB。(7)安全存储管理中心使用主密钥MK调用加密卡API对QkeyB进行加密运算,得到密文CiphertextA;(8)安全存储管理中心检查密钥加密密钥KEK是否过期,若过期则重复步骤(3)和步骤(4)重新获取QkeyA,若未过期则使用QkeyA调用加密卡API对CiphertextA进行加密运算,获...
【专利技术属性】
技术研发人员:ꢀ五一IntClH零四L九零八,
申请(专利权)人:中创为成都量子通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。