本發(fā)明涉及云存儲技術領域,尤其涉及一種云存儲方法及系統(tǒng)。
背景技術:
云存儲是一個以數(shù)據(jù)存取和管理為核心的云計算系統(tǒng),該系統(tǒng)具有如下兩方面的優(yōu)勢,一方面,用戶可以在任何時間、任何地方、透過任何可連網(wǎng)的裝置連接到云存儲,能夠非常方便地進行數(shù)據(jù)的存取操作;另一方面,用戶無需在本地投資建立數(shù)據(jù)中心或?qū)S眠h程站點來維護和管理數(shù)據(jù),利用云存儲便可獲得大量低成本的存儲空間?;谏鲜鰞煞矫娴膬?yōu)勢,近年來,云存儲技術得到了快速發(fā)展,越來越多的用戶選擇使用云存儲。
用戶在利用云存儲時,一般將數(shù)據(jù)通過密鑰進行加密后再上傳給云服務器側(cè),但是,用戶很難保證用戶文件加密的無條件安全性,在云服務器側(cè)和路徑傳輸上同時存在安全風險?,F(xiàn)有技術中,多采用將密鑰進行分割處理的方法,以增大惡意攻擊者破解加密方式的難度,以提高數(shù)據(jù)安全性。比如,用戶將一個用于加密數(shù)據(jù)的密鑰K基于數(shù)學算法分割成N份成分密鑰,N份成分密鑰包括一個主成分密鑰和N-1份成分密鑰,主成分密鑰擁有其他各個成分密鑰的信息,然后將主成分密鑰發(fā)送給云存儲客戶端保存,將其余各個成分密鑰分別發(fā)送到不同的云存儲服務器上保存,當用戶需要用原有密鑰K對數(shù)據(jù)進行解密時,用戶獲取各個云存儲服務器上的成分密鑰,再結合主成分密鑰便可恢復出原有密鑰K。
但是,上述將密鑰進行分割處理的方法,主成分密鑰在發(fā)送給云存儲客戶端時,成分密鑰在發(fā)送給云存儲服務器時,容易遭到惡意攻擊者的竊聽,而且,上述方法是基于數(shù)學算法的,隨著數(shù)學的進步和計算機技術的飛速發(fā)展,將導致用于加密數(shù)據(jù)的密鑰K易被破解,最終導致云存儲面臨嚴重的數(shù)據(jù)安全性。
技術實現(xiàn)要素:
有鑒于此,本發(fā)明提供了一種云存儲方法及系統(tǒng),以克服現(xiàn)有技術中將密鑰進行分割處理的方法,由于主成分密鑰在發(fā)送給云存儲客戶端時,成分密鑰在發(fā)送給云存儲服務器時,容易遭到惡意攻擊者的竊聽,而且,上述方法是基于數(shù)學算法的,隨著數(shù)學的進步和計算機技術的飛速發(fā)展,將導致用于加密數(shù)據(jù)的密鑰K易被破解,最終導致云存儲面臨嚴重的數(shù)據(jù)安全性的問題。
為實現(xiàn)上述目的,本發(fā)明提供如下技術方案:
一種云存儲方法,應用于云存儲系統(tǒng)的終端側(cè),所述終端側(cè)包括一個云存儲客戶端、一個密鑰管理終端和一個量子密鑰分配QKD系統(tǒng),所述方法包括:
所述QKD系統(tǒng)與至少一個云服務器側(cè)的QKD系統(tǒng)通過量子網(wǎng)絡產(chǎn)生至少一個量子密鑰;
所述QKD系統(tǒng)將所述至少一個量子密鑰發(fā)送至所述密鑰管理終端進行保存;
所述云存儲客戶端從所述密鑰管理終端中獲得所述至少一個量子密鑰,并通過預設的加密算法將所述至少一個量子密鑰處理生成組合密鑰。
優(yōu)選的,在所述云存儲客戶端從所述密鑰管理終端中獲得所述至少一個量子密鑰,并通過預設的加密算法將所述至少一個量子密鑰處理生成組合密鑰之后,所述方法還包括:
所述云存儲客戶端利用所述組合密鑰加密待存儲的明文數(shù)據(jù)生成密文數(shù)據(jù);
所述云存儲客戶端將所述密文數(shù)據(jù)發(fā)送給云服務器側(cè)以進行存儲;
所述終端側(cè)刪除所述至少一個量子密鑰以及所述組合密鑰。
優(yōu)選的,所述方法還包括:
所述云存儲客戶端向云服務器側(cè)發(fā)送用于請求下載所述密文數(shù)據(jù)以及所述至少一個量子密鑰的下載請求;
所述云存儲客戶端接收云服務器側(cè)反饋的所述密文數(shù)據(jù)以及所述至少一個量子密鑰;
所述云存儲客戶端通過預設的加密算法將所述至少一個量子密鑰處理生成所述組合密鑰;
所述云存儲客戶端利用所述組合密鑰對所述密文數(shù)據(jù)進行解密。
優(yōu)選的,所述方法還包括:
所述云存儲客戶端通知云服務器側(cè)刪除所述至少一個量子密鑰和所述密文數(shù)據(jù)。
優(yōu)選的,在所述云存儲客戶端利用所述組合密鑰加密待存儲的明文數(shù)據(jù)生成密文數(shù)據(jù)之前,所述方法還包括:
所述云存儲客戶端預先為所述待存儲的明文數(shù)據(jù)添加數(shù)據(jù)標簽;
所述云存儲客戶端將所述數(shù)據(jù)標簽發(fā)送給所述至少一個云服務器側(cè),以便所述至少一個云服務器側(cè)用所述數(shù)據(jù)標簽對所述至少一個量子密鑰進行標識。
優(yōu)選的,所述云存儲客戶端從云服務器側(cè)下載所述至少一個量子密鑰,具體包括:
所述云存儲客戶端向所有的云服務器側(cè)發(fā)送所述數(shù)據(jù)標簽;
所述云存儲客戶端接收用所述數(shù)據(jù)標簽對量子密鑰標識的云服務器側(cè)發(fā)送的所述至少一個量子密鑰。
一種云存儲方法,應用于云存儲系統(tǒng)的云服務器側(cè),所述云服務器側(cè)包括一個云存儲服務器,所述云存儲服務器連接一個密鑰管理終端,所述密鑰管理終端連接一個量子密鑰分配QKD系統(tǒng),所述方法包括:
所述QKD系統(tǒng)與至少一個終端側(cè)的QKD系統(tǒng)通過量子網(wǎng)絡產(chǎn)生至少一個量子密鑰;
所述QKD系統(tǒng)將所述至少一個量子密鑰發(fā)送至所述密鑰管理終端進行保存。
優(yōu)選的,所述方法還包括:
當所述云存儲服務器接收到終端側(cè)發(fā)送的密文數(shù)據(jù)之后,將所述密文數(shù)據(jù)進行保存。
優(yōu)選的,所述方法還包括:
當所述云存儲服務器接收到終端側(cè)發(fā)送的用于請求下載所述密文數(shù)據(jù)以及所述至少一個量子密鑰的下載請求之后,將所述密文數(shù)據(jù)以及所述至少一 個量子密鑰反饋給終端側(cè),其中,所述至少一個量子密鑰是利用除所述至少一個量子密鑰之外的其他的與所述終端側(cè)共享的量子密鑰進行加密傳輸?shù)摹?/p>
一種云存儲系統(tǒng),所述系統(tǒng)包括:
通過量子網(wǎng)絡和經(jīng)典網(wǎng)絡連接的至少一個終端側(cè)以及至少一個云服務器側(cè),所述至少一個終端側(cè)和所述至少一個云服務器側(cè)用于執(zhí)行以上所述的云存儲方法。
經(jīng)由上述的技術方案可知,與現(xiàn)有技術相比,本發(fā)明公開了一種云存儲方法及系統(tǒng),通過終端側(cè)的QKD系統(tǒng)與至少一個云服務器側(cè)的QKD系統(tǒng)通過量子網(wǎng)絡產(chǎn)生至少一個量子密鑰;云存儲客戶端通過預設的加密算法將至少一個量子密鑰處理生成組合密鑰?;谏鲜龇椒ǎ沟昧孔用荑€分配技術與云存儲技術相結合,利用云存儲的分布式特點和量子密鑰分配易于產(chǎn)生大量隨機數(shù)密鑰且密鑰不易被竊聽的天然優(yōu)勢,使得惡意攻擊者無法獲取量子密鑰進而不能破解組合密鑰,極大地保障了云存儲的數(shù)據(jù)安全性。
附圖說明
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)提供的附圖獲得其他的附圖。
圖1為本發(fā)明實施例一公開的一種云存儲方法具體流程示意圖;
圖2為本發(fā)明實施例二公開的一種云存儲方法的具體流程示意圖;
圖3為本發(fā)明實施例三公開的一種云存儲方法的具體流程示意圖;
圖4為本發(fā)明實施例四公開的一種云存儲方法具體流程示意圖;
圖5為本發(fā)明實施例五公開的一種云存儲系統(tǒng)的具體結構示意圖。
具體實施方式
下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行 清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
本發(fā)明的說明書和權利要求書及上述附圖中的術語“第一”、“第二”等是用于區(qū)別類似的對象,而不必用于描述特定的順序或先后次序。應該理解這樣使用的術語在適當情況下可以互換,這僅僅是描述本發(fā)明的實施例中對相同屬性的對象在描述時所采用的區(qū)分方式。此外,術語“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含,以便包含一系列單元的過程、方法、系統(tǒng)、產(chǎn)品或設備不必限于那些單元,而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設備固有的其它單元。
由背景技術可知,現(xiàn)有技術中將密鑰進行分割處理的方法,主成分密鑰在發(fā)送給云存儲客戶端時,成分密鑰在發(fā)送給云存儲服務器時,容易遭到惡意攻擊者的竊聽,而且,上述方法是基于數(shù)學算法的,隨著數(shù)學的進步和計算機技術的飛速發(fā)展,將導致用于加密數(shù)據(jù)的密鑰K易被破解,最終導致云存儲面臨嚴重的數(shù)據(jù)安全性。
為此,本發(fā)明公開了一種云存儲方法及系統(tǒng),通過終端側(cè)的QKD系統(tǒng)與至少一個云服務器側(cè)的QKD系統(tǒng)通過量子網(wǎng)絡產(chǎn)生至少一個量子密鑰;云存儲客戶端通過預設的加密算法將至少一個量子密鑰處理生成組合密鑰?;谏鲜龇椒?,使得量子密鑰分配技術與云存儲技術相結合,利用云存儲的分布式特點和量子密鑰分配易于產(chǎn)生大量隨機數(shù)密鑰且密鑰不易被竊聽的天然優(yōu)勢,使得惡意攻擊者無法獲取量子密鑰進而不能破解組合密鑰,極大地保障了云存儲的數(shù)據(jù)安全性。
下面將通過具體實施例對本發(fā)明公開的云存儲方法及系統(tǒng)進行詳細說明。
實施例一
請參閱附圖1,為本發(fā)明實施例一公開的一種云存儲方法的具體流程示意圖,該方法應用于云存儲系統(tǒng)的終端側(cè),所述終端側(cè)包括一個云存儲客戶端、 一個密鑰管理終端和一個量子密鑰分配(Quantum Key Distribution,QKD)系統(tǒng),所述云存儲客戶端可以為手機、電腦或其他專用云存儲客戶端等等,該云存儲客戶端連接一個密鑰管理終端,所述密鑰管理終端連接一個QKD系統(tǒng),此時,所述密鑰管理終端與所述QKD系統(tǒng)是彼此獨立的,需要說明的是,所述密鑰管理終端也可以集成在所述QKD系統(tǒng)中,對此,本實施例不做任何限制。該方法具體包括如下步驟:
S101:終端側(cè)的QKD系統(tǒng)與至少一個云服務器側(cè)的QKD系統(tǒng)通過量子網(wǎng)絡產(chǎn)生至少一個量子密鑰。
終端側(cè)在決定與哪個或哪幾個云服務器側(cè)產(chǎn)生量子密鑰之后,通過自身的QKD系統(tǒng)與上述哪個或哪幾個云服務器側(cè)的QKD系統(tǒng)通過量子網(wǎng)絡產(chǎn)生量子密鑰。
目前,基于量子密鑰分配技術已能搭建大規(guī)模的量子網(wǎng)絡,比如通過量子集控站、光交換機和量子通信服務器可實現(xiàn)多個量子密鑰收發(fā)一體機(即QKD系統(tǒng))間量子密鑰的分配,在本實施例中,可以通過上述量子網(wǎng)絡產(chǎn)生量子密鑰,也可以采用其他形式的量子網(wǎng)絡產(chǎn)生量子密鑰,對此,本實施例不做任何限制。
S102:終端側(cè)的QKD系統(tǒng)將所述至少一個量子密鑰發(fā)送至所述密鑰管理終端進行保存。
需要說明的是,在終端側(cè)通過自身的QKD系統(tǒng)與至少一個云服務器側(cè)的QKD系統(tǒng)通過量子網(wǎng)絡產(chǎn)生至少一個量子密鑰之后,終端側(cè)需要將所述至少一個量子密鑰存儲在自身的密鑰管理終端中。
S103:所述云存儲客戶端從所述密鑰管理終端中獲得所述至少一個量子密鑰,并通過預設的加密算法將所述至少一個量子密鑰處理生成組合密鑰。
預設的加密算法可以為現(xiàn)有的各種加密算法,比如異或、相加等,對此,本實施例不做任何限制。
本實施例公開了一種云存儲方法,通過終端側(cè)的QKD系統(tǒng)與至少一個云服務器側(cè)的QKD系統(tǒng)通過量子網(wǎng)絡產(chǎn)生至少一個量子密鑰;云存儲客戶端通過預設的加密算法將至少一個量子密鑰處理生成組合密鑰?;谏鲜龇椒?,使得量子密鑰分配技術與云存儲技術相結合,利用云存儲的分布式特點和量子密鑰分配易于產(chǎn)生大量隨機數(shù)密鑰且密鑰不易被竊聽的天然優(yōu)勢,使得惡 意攻擊者無法獲取量子密鑰進而不能破解組合密鑰,極大地保障了云存儲的數(shù)據(jù)安全性。
實施例二
請參閱附圖2,為本發(fā)明實施例二公開的一種云存儲方法的具體流程示意圖,該方法應用于云存儲系統(tǒng)的終端側(cè),所述終端側(cè)包括一個云存儲客戶端、一個密鑰管理終端和一個QKD系統(tǒng),所述云存儲客戶端可以為手機、電腦或其他專用云存儲客戶端等等,該云存儲客戶端連接一個密鑰管理終端,所述密鑰管理終端連接一個QKD系統(tǒng),此時,所述密鑰管理終端與所述QKD系統(tǒng)是彼此獨立的,需要說明的是,所述密鑰管理終端也可以集成在所述QKD系統(tǒng)中,對此,本實施例不做任何限制。該方法具體包括如下步驟:
S201:終端側(cè)的QKD系統(tǒng)與至少一個云服務器側(cè)的QKD系統(tǒng)通過量子網(wǎng)絡產(chǎn)生至少一個量子密鑰。
S202:終端側(cè)的QKD系統(tǒng)將所述至少一個量子密鑰發(fā)送至所述密鑰管理終端進行保存。
S203:所述云存儲客戶端從所述密鑰管理終端中獲得所述至少一個量子密鑰,并通過預設的加密算法將所述至少一個量子密鑰處理生成組合密鑰。
需要說明的是,本實施例中步驟S201~S203與實施例一中步驟S101~S103為相似步驟,本實施例不再贅述,具體請參見實施例一中的相關描述。
S204:所述云存儲客戶端利用所述組合密鑰加密待存儲的明文數(shù)據(jù)生成密文數(shù)據(jù)。
S205:所述云存儲客戶端將所述密文數(shù)據(jù)發(fā)送給云服務器側(cè)以進行存儲。
S206:終端側(cè)刪除所述至少一個量子密鑰以及所述組合密鑰。
需要說明的是,在云存儲客戶端將密文數(shù)據(jù)發(fā)送給云服務器側(cè)存儲之后,將控制或指示其所在的終端側(cè)的相應部件將至少一個量子密鑰及組合密鑰刪除,以釋放終端側(cè)的資源。
在本實施例中,公開的云存儲方法具體包括如何通過量子密鑰產(chǎn)生組合密鑰,以及利用組合密鑰加密數(shù)據(jù)進行云存儲,在利用組合密鑰加密數(shù)據(jù)并將加密后的數(shù)據(jù)進行云存儲后,將終端側(cè)保存的至少一個量子密鑰及組合密 鑰刪除,能夠釋放終端側(cè)原本用于管理密鑰的資源以做他用,進而能夠提高終端側(cè)的資源利用率。
實施例三
請參閱附圖3,為本發(fā)明實施例三公開的一種云存儲方法的具體流程示意圖,該方法應用于云存儲系統(tǒng)的終端側(cè),所述終端側(cè)包括一個云存儲客戶端、一個密鑰管理終端和一個QKD系統(tǒng),所述云存儲客戶端可以為手機、電腦或其他專用云存儲客戶端等等,該云存儲客戶端連接一個密鑰管理終端,所述密鑰管理終端連接一個QKD系統(tǒng),此時,所述密鑰管理終端與所述QKD系統(tǒng)是彼此獨立的,需要說明的是,所述密鑰管理終端也可以集成在所述QKD系統(tǒng)中,對此,本實施例不做任何限制。該方法具體包括如下步驟:
S301:終端側(cè)的QKD系統(tǒng)與至少一個云服務器側(cè)的QKD系統(tǒng)通過量子網(wǎng)絡產(chǎn)生至少一個量子密鑰。
S302:終端側(cè)的QKD系統(tǒng)將所述至少一個量子密鑰發(fā)送至所述密鑰管理終端進行保存。
S303:所述云存儲客戶端從所述密鑰管理終端中獲得所述至少一個量子密鑰,并通過預設的加密算法將所述至少一個量子密鑰處理生成組合密鑰。
S304:所述云存儲客戶端利用所述組合密鑰加密待存儲的明文數(shù)據(jù)生成密文數(shù)據(jù)。
可選的,云存儲客戶端可以預先為所述待存儲的明文數(shù)據(jù)添加數(shù)據(jù)標簽,所述數(shù)據(jù)標簽包括能夠表明待存儲的明文數(shù)據(jù)的屬性的信息,比如文件名,對此,本實施例不做任何限制。并且,云存儲客戶端將所述數(shù)據(jù)標簽發(fā)送給所述至少一個云服務器側(cè),以便所述至少一個云服務器側(cè)用所述數(shù)據(jù)標簽對所述至少一個量子密鑰進行標識。
S305:所述云存儲客戶端將所述密文數(shù)據(jù)發(fā)送給云服務器側(cè)以進行存儲。
S306:終端側(cè)刪除所述至少一個量子密鑰以及所述組合密鑰。
需要說明的是,本實施例中步驟S301~S306與實施例二中步驟S201~S206為相似步驟,本實施例不再贅述,具體請參見實施例二中的相關描述。
S307:所述云存儲客戶端向云服務器側(cè)發(fā)送用于請求下載所述密文數(shù)據(jù)以及所述至少一個量子密鑰的下載請求。
可選的,如果云存儲客戶端不知道所述至少一個量子密鑰存儲在哪些云服務器側(cè),則可向所有的云服務器側(cè)發(fā)送所述數(shù)據(jù)標簽,如果某一云服務器側(cè)之前收到過該數(shù)據(jù)標簽,則將用該數(shù)據(jù)標簽標識的量子密鑰反饋給終端側(cè)。
S308:所述云存儲客戶端接收云服務器側(cè)反饋的所述密文數(shù)據(jù)以及所述至少一個量子密鑰。
需要說明的是,當云服務器側(cè)收到所述用于請求下載所述密文數(shù)據(jù)以及所述至少一個量子密鑰的下載請求之后,將所述密文數(shù)據(jù)以及所述至少一個量子密鑰反饋給終端側(cè),其中,所述至少一個量子密鑰是云服務器側(cè)利用除所述至少一個量子密鑰之外的其他的與所述終端側(cè)共享的量子密鑰進行加密傳輸?shù)?。即,終端側(cè)是通過QKD安全通道下載存儲在各個云服務器側(cè)的所述至少一個量子密鑰的,即使惡意攻擊者監(jiān)聽所有的數(shù)據(jù)通道,也無法得到密鑰信息,因而無法獲得明文數(shù)據(jù)。
進一步需要說明的是,所述至少一個量子密鑰中并不包含除所述至少一個量子密鑰之外的其他的在云服務器側(cè)與終端側(cè)之間共享的量子密鑰,所述至少一個量子密鑰是用來生成組合密鑰以加密待存儲的明文數(shù)據(jù)的,而除所述至少一個量子密鑰之外的其他的在云服務器側(cè)與終端側(cè)之間共享的量子密鑰是為了在終端側(cè)下載所述至少一個量子密鑰時加密所述至少一個量子密鑰的。除所述至少一個量子密鑰之外的其他的在云服務器側(cè)與終端側(cè)之間共享的量子密鑰可以和所述至少一個量子密鑰同時生成,也可以在終端側(cè)下載所述至少一個量子密鑰時再生成,對此,本實施例不做任何限制。
S309:所述云存儲客戶端通過預設的加密算法將所述至少一個量子密鑰處理生成所述組合密鑰。
S310:所述云存儲客戶端利用所述組合密鑰對所述密文數(shù)據(jù)進行解密。
需要說明的是,在對所述密文數(shù)據(jù)進行解密之后,云存儲客戶端可以通知云服務器側(cè)刪除所述至少一個量子密鑰和所述密文數(shù)據(jù)。
在本實施例中,公開的云存儲方法具體包括如何通過量子密鑰產(chǎn)生組合密鑰、利用組合密鑰加密數(shù)據(jù)進行云存儲以及如何進行云讀取,該方法相對于前面兩個實施例來說,更加全面。在利用組合密鑰加密數(shù)據(jù)并將加密后的數(shù)據(jù)進行云存儲后,將終端側(cè)保存的至少一個量子密鑰及組合密鑰刪除,能夠釋放終端側(cè)原本用于管理密鑰的資源以做他用,進而能夠提高終端側(cè)的資 源利用率。在云讀取時,直接從云服務器側(cè)讀取所述至少一個量子密鑰,并且,在讀取的過程中,利用除所述至少一個量子密鑰之外的其他的在云服務器側(cè)與終端側(cè)之間共享的量子密鑰進行加密傳輸,能夠保證所述至少一個量子密鑰在傳輸?shù)倪^程中不容易被監(jiān)聽,進而保證密鑰的高度安全性。
實施例四
請參閱附圖4,為本發(fā)明實施例四公開的一種云存儲方法具體流程示意圖,該方法應用于云存儲系統(tǒng)的云服務器側(cè),所述云服務器側(cè)包括一個云存儲服務器,所述云存儲服務器連接一個密鑰管理終端,所述密鑰管理終端連接一個QKD系統(tǒng),所述方法包括:
S401:所述QKD系統(tǒng)與至少一個終端側(cè)的QKD系統(tǒng)通過量子網(wǎng)絡產(chǎn)生至少一個量子密鑰。
S402:所述QKD系統(tǒng)將所述至少一個量子密鑰發(fā)送至所述密鑰管理終端進行保存。
需要說明的是,當終端側(cè)需要獲取明文數(shù)據(jù)時,則從云服務器側(cè)的密鑰管理終端中讀取所述至少一個量子密鑰以解密密文數(shù)據(jù)。
當所述云存儲服務器接收到終端側(cè)發(fā)送的密文數(shù)據(jù)之后,將所述密文數(shù)據(jù)進行保存。
當所述云存儲服務器接收到終端側(cè)發(fā)送的用于請求下載所述密文數(shù)據(jù)以及所述至少一個量子密鑰的下載請求之后,將所述密文數(shù)據(jù)以及所述至少一個量子密鑰反饋給終端側(cè),其中,所述至少一個量子密鑰是利用除所述至少一個量子密鑰之外的其他的與所述終端側(cè)共享的量子密鑰進行加密傳輸?shù)摹?/p>
實施例五
請參閱附圖5,為本發(fā)明實施例五公開的一種云存儲系統(tǒng)的具體結構示意圖,該云存儲系統(tǒng)具體包括:
通過量子網(wǎng)絡和經(jīng)典網(wǎng)絡連接的至少一個云服務器側(cè)a以及至少一個終端側(cè)b,需要說明的是,所述終端側(cè)b能夠執(zhí)行實施例一~實施例三中任意一個實施例所描述的云存儲方法,所述云服務器側(cè)a能夠執(zhí)行實施例四所描述的云存儲方法。
其中,每個云服務器側(cè)a包括一個云存儲服務器、一個密鑰管理終端和一個QKD系統(tǒng),每個終端側(cè)b包括一個云存儲客戶端、一個密鑰管理終端和一個QKD系統(tǒng)。具體的,在圖5中,有N個云服務器側(cè)a,有1個終端側(cè)b,第1個云服務器側(cè)a包括一個云存儲服務器-1,一個密鑰管理終端-1和一個QKD系統(tǒng)-1,第2個云服務器側(cè)a包括一個云存儲服務器-2,一個密鑰管理終端-2和一個QKD系統(tǒng)-2,第3個云服務器側(cè)a包括一個云存儲服務器-3,一個密鑰管理終端-3和一個QKD系統(tǒng)-3,……,第N個云服務器側(cè)a包括一個云存儲服務器-N,一個密鑰管理終端-N和一個QKD系統(tǒng)-N,而終端側(cè)b包括一個云存儲客戶端,一個密鑰管理終端-0和一個QKD系統(tǒng)-0。
需要說明的是,在利用上述系統(tǒng)進行云存儲業(yè)務的時候,一個終端側(cè)b的QKD系統(tǒng)(如圖5中的QKD系統(tǒng)-0)與至少一個云服務器側(cè)a(如圖5中的第1~N個云服務器側(cè)a中的一個或多個)的QKD系統(tǒng)之間通過所述量子網(wǎng)絡產(chǎn)生量子密鑰,所述量子密鑰分別存儲在與一個終端側(cè)的QKD系統(tǒng)相連的密鑰管理終端以及與至少一個云服務器側(cè)的QKD系統(tǒng)分別相連的至少一個密鑰管理終端中,所述量子密鑰用于通過預設的加密算法處理生成組合密鑰以加密待存儲的明文數(shù)據(jù)生成密文數(shù)據(jù),所述量子密鑰及所述密文數(shù)據(jù)的傳輸通過所述經(jīng)典網(wǎng)絡執(zhí)行。
以圖5中的QKD系統(tǒng)-0與QKD系統(tǒng)-1之間通過量子網(wǎng)絡產(chǎn)生量子密鑰為例,產(chǎn)生后的量子密鑰分別存儲在密鑰管理終端-0和密鑰管理終端-1中。
進一步需要說明的是,QKD技術基于“海森堡測不準原理”和“量子不可復制原理”,使用每比特單光子傳輸隨機數(shù),由此發(fā)送端和接收端能夠產(chǎn)生并共享隨機數(shù)密鑰。原理上,對QKD過程的任何竊聽都必然會被發(fā)現(xiàn)。以常用的光量子通信方案為例,量子信息由單光子的量子狀態(tài)承載;而單光子是光能量變化的最小單元,也可以說是組成光的最基本單元,已不可再分,竊聽者不能通過分割光子來竊聽信息;“量子不可復制原理”決定了未知單光子狀態(tài)不能被精確復制,因此竊聽者也不能通過截獲并復制光子狀態(tài)來竊聽信息;“海森堡測不準原理”則決定了對未知單光子狀態(tài)的測量必然會對其狀態(tài)產(chǎn)生擾動,通信者就可以利用這一點發(fā)現(xiàn)竊聽。因此,一個終端側(cè)b的QKD系統(tǒng)(如圖5中的QKD系統(tǒng)-0)與至少一個云服務器側(cè)a(如圖5中的第1~N個云服務器側(cè)a中的一個或多個)的QKD系統(tǒng)之間通過所述量子網(wǎng)絡產(chǎn)生量子 密鑰具有無條件安全性。
本實施例公開了一種云存儲系統(tǒng),所述系統(tǒng)包括:通過量子網(wǎng)絡和經(jīng)典網(wǎng)絡連接的至少一個云服務器側(cè)以及至少一個終端側(cè);每個云服務器側(cè)包括一個云存儲服務器、一個密鑰管理終端和一個QKD系統(tǒng);每個終端側(cè)包括一個云存儲客戶端、一個密鑰管理終端和一個QKD系統(tǒng);一個終端側(cè)的QKD系統(tǒng)與至少一個云服務器側(cè)的QKD系統(tǒng)之間通過量子網(wǎng)絡產(chǎn)生量子密鑰,量子密鑰用于通過預設的加密算法處理生成組合密鑰以加密待存儲的明文數(shù)據(jù)生成密文數(shù)據(jù)?;谏鲜鱿到y(tǒng),使得量子密鑰分配技術與云存儲技術相結合,利用云存儲的分布式特點和量子密鑰分配易于產(chǎn)生大量隨機數(shù)密鑰的天然優(yōu)勢,極大地保障了云存儲的數(shù)據(jù)安全性。
本發(fā)明公開的云存儲方法及系統(tǒng),充分利用云服務器側(cè)的資源優(yōu)勢,將加密密鑰分散在各個云服務器側(cè)存儲,終端側(cè)無需保存相應的密鑰信息,且這些云服務器側(cè)隨機散落在全國甚至世界的各個地方,想要竊取信息的惡意攻擊者并沒有如此大的能力去找到這些云服務器側(cè),即使找到也沒有如此大的權利要求每個云服務器側(cè)都提供出信息;而且,采用組合多個加密密鑰的方法對明文數(shù)據(jù)進行加密,而每個加密密鑰則是通過QKD技術在終端側(cè)和不同的云服務器側(cè)間獨立分發(fā)的,每個加密密鑰都具有無條件安全性,因此密文數(shù)據(jù)也可以具有直至無條件安全的高度安全性;進一步的,終端側(cè)通過QKD安全通道下載存儲在各個云服務器側(cè)的加密密鑰,即使惡意攻擊者監(jiān)聽所有的數(shù)據(jù)通道,也無法得到密鑰信息,因而無法獲得明文數(shù)據(jù)。
本說明書中各個實施例采用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似部分互相參見即可。對于實施例公開的裝置而言,由于其與實施例公開的方法相對應,所以描述的比較簡單,相關之處參見方法部分說明即可。
另外需說明的是,以上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可 以分布到多個網(wǎng)絡單元上。可以根據(jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的。另外,本發(fā)明提供的裝置實施例附圖中,模塊之間的連接關系表示它們之間具有通信連接,具體可以實現(xiàn)為一條或多條通信總線或信號線。本領域普通技術人員在不付出創(chuàng)造性勞動的情況下,即可以理解并實施。
通過以上的實施方式的描述,所屬領域的技術人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件的方式來實現(xiàn),當然也可以通過專用硬件包括專用集成電路、專用CPU、專用存儲器、專用元器件等來實現(xiàn)。一般情況下,凡由計算機程序完成的功能都可以很容易地用相應的硬件來實現(xiàn),而且,用來實現(xiàn)同一功能的具體硬件結構也可以是多種多樣的,例如模擬電路、數(shù)字電路或?qū)S秒娐返取5?,對本發(fā)明而言更多情況下軟件程序?qū)崿F(xiàn)是更佳的實施方式?;谶@樣的理解,本發(fā)明的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品存儲在可讀取的存儲介質(zhì)中,如計算機的軟盤,U盤、移動硬盤、只讀存儲器(ROM,Read-Only Memory)、隨機存取存儲器(RAM,Random Access Memory)、磁碟或者光盤等,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務器,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述的方法。
綜上所述,以上實施例僅用以說明本發(fā)明的技術方案,而非對其限制;盡管參照上述實施例對本發(fā)明進行了詳細的說明,本領域的普通技術人員應當理解:其依然可以對上述各實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替換;而這些修改或者替換,并不使相應技術方案的本質(zhì)脫離本發(fā)明各實施例技術方案的精神和范圍。