一种基于可用密钥流的实时流数据保护方法及装置制造方法及图纸

本公开实施例涉及数据加密领域，提供一种基于可用密钥流的实时流数据保护方法及装置，方法包括：初始化长度阈值，生成长度为长度阈值的密钥流数据将其存储至密钥存储空间；实时监测可用密钥流长度；响应于接收到发送端的待加密流数据，读取与待加密流数据等长的密钥流；将密钥流与待加密流数据异或得到加密流数据；监测到可用密钥流长度低于阈值下限时提高密钥流生成速率，将生成的新密钥流数据存储至密钥存储空间直至可用密钥流长度达到阈值；监测到可用密钥流长度高于阈值上限时降低密钥流生成速率，将生成的新密钥流数据存储至密钥存储空间直至可用密钥流长度低至阈值；将加密流数据发送至发送端。本公开实施例可缩短实时流数据的加密时延。流数据的加密时延。流数据的加密时延。

【技术实现步骤摘要】
一种基于可用密钥流的实时流数据保护方法及装置


[0001]本公开涉及数据加密保护
，特别涉及一种基于可用密钥流的实时流数据保护方法及装置。

技术介绍

[0002]随着互联网技术的发展和用户需求的驱动，实时流数据体量逐渐增大，尤其是近几年，实时流媒体应用更是得到广泛使用，例如实时视频会议、远程监管和教学、远程医疗等。流媒体数据中携带大量敏感信息，如背景元素、医疗数据、对话内容等。然而，现有技术难以保证流媒体资源不被非法用户窃取，数据一旦被窃取，会造成敏感信息泄露、隐私数据泄露等安全问题。
[0003]目前，数据加密技术是防止数据泄露的必要方式之一。然而，对实时流数据进行加密处理，势必会增大实时流数据的传输时延，这对流媒体数据、网络监控数据等实时流数据应用而言是一个不小的挑战。特别的，对于一些资源受限的终端，如个人计算机、通用串行总线(Universal Serial Bus，USB)设备等。实时流数据量大，对时延要求更为严格。因此，基于数据加密技术的实时数据保护变得更加困难。

技术实现思路

[0004]本公开旨在至少解决现有技术中存在的问题之一，提供一种基于可用密钥流的实时流数据保护方法及装置。
[0005]本公开的一个方面，提供了一种基于可用密钥流的实时流数据保护方法，所述方法包括：
[0006]初始化长度阈值，生成长度与所述长度阈值相等的密钥流数据，将所述密钥流数据存储至密钥存储空间；
[0007]对所述密钥存储空间的可用密钥流长度进行实时监测，其中，所述可用密钥流长度用于指示所述密钥存储空间中未被读取过的密钥流数据的长度；
[0008]响应于接收到发送端发送的待加密流数据，根据所述待加密流数据的长度，从所述密钥存储空间中读取长度与所述待加密流数据的长度相等的密钥流数据作为密钥流；
[0009]利用所述密钥流对所述待加密流数据进行异或运算，得到加密流数据；
[0010]监测到所述可用密钥流长度低于阈值下限Thresh1时，提高密钥流生成速率，将生成的新的密钥流数据存储至所述密钥存储空间，直至所述可用密钥流长度达到阈值Thresh2；监测到所述可用密钥流长度高于阈值上限Thresh3时，降低密钥流生成速率，将生成的新的密钥流数据存储至所述密钥存储空间，直至所述可用密钥流长度低至所述阈值Thresh2；其中，Thresh1<Thresh2<Thresh3；
[0011]将所述加密流数据发送至所述发送端。
[0012]可选地，所述初始化长度阈值，包括：
[0013]获取所述阈值下限Thresh1和所述阈值上限Thresh3；
[0014]将所述阈值Thresh2的值设置为所述阈值下限Thresh1和所述阈值上限Thresh3的平均值；
[0015]将所述阈值Thresh2的值作为所述长度阈值。
[0016]可选地，所述对所述密钥存储空间的可用密钥流长度进行实时监测，包括：
[0017]初始化参数：获取密钥流长度N、输出长度为N的密钥流数据所需要的时间T(N)，确定N的最小值使密钥流的吞吐率throughput满足throughput<N/T(N)，利用公式计算等待时间T
interval
；
[0018]在所述初始化参数完成且throughput不为0时，进入密钥流读取及控制过程：
[0019]响应于所述可用密钥流长度处于(Thresh1,Thresh3)之间，直接从生成的密钥流数据中读取长度为N的密钥流数据，利用计时器进行计时，在时间间隔达到T
interval
时，计算所述可用密钥流长度，并进入下一个长度为N的密钥流数据的读取过程；
[0020]响应于所述可用密钥流长度小于等于Thresh1，关闭所述计时器，重复从生成的密钥流数据中读取长度为N的密钥流数据，计算所述可用密钥流长度，直至所述可用密钥流长度大于等于Thresh2；
[0021]响应于所述可用密钥流长度大于等于Thresh3，重复利用所述计时器进行计时，停止从生成的密钥流数据中读取密钥流数据，当时间间隔达到T
interval
时，重复计算所述可用密钥流长度，直至所述可用密钥流长度小于等于Thresh2，停止计时。
[0022]可选地，所述计算所述可用密钥流长度，包括：
[0023]采用下式(1)计算所述可用密钥流长度：
[0024][0025]其中，availabileSize表示所述可用密钥流长度，totalSize表示所述密钥存储空间的大小，P1表示指向所述密钥存储空间中未被读取过的第一个密钥流数据的指针，P2表示指向所述密钥存储空间中用于存储所述新的密钥流数据的起始存储地址的指针。
[0026]可选地，所述可用密钥流长度availabileSize的取值范围为[N,2N]；和/或，所述密钥存储空间的大小为3N。
[0027]可选地，所述阈值下限Thresh1的取值为N(1+2σ
T(N)
/T(N))，所述阈值上限Thresh3的取值为2N(1
‑
2σ
T(N)
)/T(N))，其中，σ
T(N)
表示T(N)的标准差。
[0028]可选地，所述方法还包括：
[0029]基于计数器模式生成密钥流数据，生成的密钥流数据组成下式(2)所示的密钥流keystream：
[0030]keystream＝{E(K,IV),E(K,IV+1),E(K,IV+2),
…
,E(K,IV+N
‑
1)}(2)
[0031]其中，K表示所述计数器模式中的加密密钥，IV表示计数的初始向量，E(K,IV+x_IV)表示在所述计数器模式下对K和IV+x_IV进行加密得到的密钥流数据，x_IV为整数且满足x_IV∈[0,N
‑
1]。
[0032]可选地，所述方法还包括：
[0033]根据预设时间段内待加密流数据的吞吐率，调整所述长度阈值，使密钥流的吞吐率与待加密流数据的吞吐率达到平衡。
[0034]本公开的另一个方面，提供了一种基于可用密钥流的实时流数据保护装置，所述装置包括流量控制模块、加密模块、发送模块，其中，
[0035]所述流量控制模块，用于初始化长度阈值，生成长度与所述长度阈值相等的密钥流数据，将所述密钥流数据存储至密钥存储空间；对所述密钥存储空间的可用密钥流长度进行实时监测，其中，所述可用密钥流长度用于指示所述密钥存储空间中未被读取过的密钥流数据的长度；响应于接收到发送端发送的待加密流数据，根据所述待加密流数据的长度，从所述密钥存储空间中读取长度与所述待加密流数据的长度相等的密钥流数据作为密钥流；
[0036]所述加密模块，用于利用所述密钥流对所述待加密流数据进行异或运算，得到加密流数据；
[0037]所述流量本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可用密钥流的实时流数据保护方法，其特征在于，所述方法包括：初始化长度阈值，生成长度与所述长度阈值相等的密钥流数据，将所述密钥流数据存储至密钥存储空间；对所述密钥存储空间的可用密钥流长度进行实时监测，其中，所述可用密钥流长度用于指示所述密钥存储空间中未被读取过的密钥流数据的长度；响应于接收到发送端发送的待加密流数据，根据所述待加密流数据的长度，从所述密钥存储空间中读取长度与所述待加密流数据的长度相等的密钥流数据作为密钥流；利用所述密钥流对所述待加密流数据进行异或运算，得到加密流数据；监测到所述可用密钥流长度低于阈值下限Thresh1时，提高密钥流生成速率，将生成的新的密钥流数据存储至所述密钥存储空间，直至所述可用密钥流长度达到阈值Thresh2；监测到所述可用密钥流长度高于阈值上限Thresh3时，降低密钥流生成速率，将生成的新的密钥流数据存储至所述密钥存储空间，直至所述可用密钥流长度低至所述阈值Thresh2；其中，Thresh1<Thresh2<Thresh3；将所述加密流数据发送至所述发送端。2.根据权利要求1所述的方法，其特征在于，所述初始化长度阈值，包括：获取所述阈值下限Thresh1和所述阈值上限Thresh3；将所述阈值Thresh2的值设置为所述阈值下限Thresh1和所述阈值上限Thresh3的平均值；将所述阈值Thresh2的值作为所述长度阈值。3.根据权利要求2所述的方法，其特征在于，所述对所述密钥存储空间的可用密钥流长度进行实时监测，包括：初始化参数：获取密钥流长度N、输出长度为N的密钥流数据所需要的时间T(N)，确定N的最小值使密钥流的吞吐率throughput满足throughput<N/T(N)，利用公式计算等待时间T
interval
；在所述初始化参数完成且throughput不为0时，进入密钥流读取及控制过程：响应于所述可用密钥流长度处于(Thresh1,Thresh3)之间，直接从生成的密钥流数据中读取长度为N的密钥流数据，利用计时器进行计时，在时间间隔达到T
interval
时，计算所述可用密钥流长度，并进入下一个长度为N的密钥流数据的读取过程；响应于所述可用密钥流长度小于等于Thresh1，关闭所述计时器，重复从生成的密钥流数据中读取长度为N的密钥流数据，计算所述可用密钥流长度，直至所述可用密钥流长度大于等于Thresh2；响应于所述可用密钥流长度大于等于Thresh3，重复利用所述计时器进行计时，停止从生成的密钥流数据中读取密钥流数据，当时间间隔达到T
interval
时，重复计算所述可用密钥流长度，直至所述可用密钥流长度小于等于Thresh2，停止计时。4.根据权利要求3所述的方法，其特征在于，所述计算所述可用密钥流长度，包括：采用下式(1)计算所述可用密钥流长度：
其中，availabileSize表示所述可用密钥流长度，totalSize表示所述密钥存储空间的大小，P1表示指向所述密钥存储空间中未被读取过的第一个密钥流数据的指针，P2表示指向所述密钥存储空间中用于存储所述新的密钥流数据的起始存储地址的指针。5.根据权利要求4所述的方法，其特征在于，所述可用密钥流长度availabileSize的取值范围为[N,2N]；和/或，所述密钥存储空间的大小为3N。6.根据权利要求5所述的方法，其特征在于，所述阈值下限Thresh1的取值...

【专利技术属性】
技术研发人员：常欢，吴鹏一，张淯舒，张峰，
申请(专利权)人：中国电子科技集团公司信息科学研究院，
类型：发明
国别省市：