知財求人 - 知財ポータルサイト「IP Force」
特許6952189キーリモートストレージに基盤する暗号化データ記憶システム及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6952189
(24)【登録日】2021年9月29日
(45)【発行日】2021年10月20日
(54)【発明の名称】キーリモートストレージに基盤する暗号化データ記憶システム及び方法
(51)【国際特許分類】
H04L 9/08 20060101AFI20211011BHJP
【FI】
H04L9/00 601C
H04L9/00 601E
【請求項の数】10
【全頁数】21
(21)【出願番号】特願2020-518668(P2020-518668)
(86)(22)【出願日】2018年7月23日
(65)【公表番号】特表2020-535771(P2020-535771A)
(43)【公表日】2020年12月3日
(86)【国際出願番号】CN2018096702
(87)【国際公開番号】WO2019062298
(87)【国際公開日】20190404
【審査請求日】2020年3月26日
(31)【優先権主張番号】201710880316.8
(32)【優先日】2017年9月26日
(33)【優先権主張国】CN
(73)【特許権者】
【識別番号】520106426
【氏名又は名称】安徽問天量子科技股▲ふん▼有限公司
【氏名又は名称原語表記】ANHUI ASKY QUANTUM TECHNOLOGY CO., LTD.
(74)【代理人】
【識別番号】100217434
【弁理士】
【氏名又は名称】万野 秀人
(72)【発明者】
【氏名】ハン・ジェンフ
(72)【発明者】
【氏名】ワン・ジャンフェン
(72)【発明者】
【氏名】ミャオ・チュンファ
(72)【発明者】
【氏名】イン・カイ
(72)【発明者】
【氏名】リュー・ジンジン
(72)【発明者】
【氏名】リュー・ユン
【審査官】
中里 裕正
(56)【参考文献】
【文献】
国際公開第2016/177332(WO,A1)
【文献】
米国特許出願公開第2016/0226846(US,A1)
【文献】
中国特許出願公開第106789052(CN,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
JSTPlus/JMEDPlus/JST7580(JDreamIII)
IEEE Xplore
(57)【特許請求の範囲】
【請求項1】
キー制御センターと、
第1のキー制御装置と、キー記憶装置と、第1の量子キー配布装置と、を含むキーリモートストレージシステムと、
第2のキー制御装置と、データ暗号化・復号化記憶装置と、第2の量子キー配布装置と、を含むデータ暗号化・復号化記憶システムと、
を含み、
前記キー制御センターは第1のキー制御装置と通信可能に接続され、
前記キー制御センターは第2のキー制御装置と通信可能に接続され、
前記第1の量子キー配布装置は第2の量子キー配布装置と量子通信可能に接続され、
前記第1のキー制御装置はキー記憶装置及び第1の量子キー配布装置のそれぞれと通信可能に接続され、
前記キー記憶装置は第1の量子キー配布装置と通信可能に接続され、
前記第2のキー制御装置はデータ暗号化・復号化記憶装置及び第2の量子キー配布装置のそれぞれと通信可能に接続され、
前記データ暗号化・復号化記憶装置は第2の量子キー配布装置と通信可能に接続され、
前記データ暗号化・復号化記憶装置は、入力されたデータに応じて、前記第2のキー制御装置に暗号化請求をフィードバックし、前記第2のキー制御装置が前記キー制御センターに前記暗号化請求をフィードバックし、
前記キー制御センターは、前記第2のキー制御装置からフィードバックされた前記暗号化請求を受信し、前記暗号化請求が前記キー制御センターにより認証・許可された後、前記キー制御センターは、前記第1のキー制御装置及び前記第2のキー制御装置に制御情報を送信し、
前記第1のキー制御装置は、前記制御情報を前記第1の量子キー配布装置に送信し、前記第2のキー制御装置は、前記制御情報を前記第2の量子キー配布装置に送信し、
前記第1の量子キー配布装置と前記第2の量子キー配布装置との間において、量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第1の量子キー及び第2の量子キーと呼び、前記第1の量子キー配布装置は生成された前記第1の量子キーを前記キー記憶装置に送信し、前記第2の量子キー配布装置は生成された前記第2の量子キーを前記データ暗号化・復号化記憶装置に送信し、
前記キー記憶装置は前記第1の量子キーを記憶し、前記第1の量子キーをTkと標記し、前記データ暗号化・復号化記憶装置は前記第2の量子キーにより入力されたデータを暗号化して、暗号文データを得て、前記データ暗号化・復号化記憶装置は、前記暗号文データをTdと標記し、前記暗号文データを暗号文データ記憶装置に出力し、
前記キー記憶装置は、前記第1のキー制御装置により前記第1の量子キーがTkと標記された結果を前記キー制御センターにフィードバックし、前記データ暗号化・復号化記憶装置は、前記第2のキー制御装置により前記暗号文データがTdと標記された結果を前記キー制御センターにフィードバックする、
ことを特徴とする、キーリモートストレージに基盤する暗号化データ記憶システム。
第1のキー制御装置と、キー記憶装置と、第1の量子キー配布装置と、を含むキーリモートストレージシステムと、
第2のキー制御装置と、データ暗号化・復号化記憶装置と、第2の量子キー配布装置と、を含むデータ暗号化・復号化記憶システムと、
を含み、
前記キー制御センターは第1のキー制御装置と通信可能に接続され、
前記キー制御センターは第2のキー制御装置と通信可能に接続され、
前記第1の量子キー配布装置は第2の量子キー配布装置と量子通信可能に接続され、
前記第1のキー制御装置はキー記憶装置及び第1の量子キー配布装置のそれぞれと通信可能に接続され、
前記キー記憶装置は第1の量子キー配布装置と通信可能に接続され、
前記第2のキー制御装置はデータ暗号化・復号化記憶装置及び第2の量子キー配布装置のそれぞれと通信可能に接続され、
前記データ暗号化・復号化記憶装置は第2の量子キー配布装置と通信可能に接続され、
前記データ暗号化・復号化記憶装置は、入力されたデータに応じて、前記第2のキー制御装置に暗号化請求をフィードバックし、前記第2のキー制御装置が前記キー制御センターに前記暗号化請求をフィードバックし、
前記キー制御センターは、前記第2のキー制御装置からフィードバックされた前記暗号化請求を受信し、前記暗号化請求が前記キー制御センターにより認証・許可された後、前記キー制御センターは、前記第1のキー制御装置及び前記第2のキー制御装置に制御情報を送信し、
前記第1のキー制御装置は、前記制御情報を前記第1の量子キー配布装置に送信し、前記第2のキー制御装置は、前記制御情報を前記第2の量子キー配布装置に送信し、
前記第1の量子キー配布装置と前記第2の量子キー配布装置との間において、量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第1の量子キー及び第2の量子キーと呼び、前記第1の量子キー配布装置は生成された前記第1の量子キーを前記キー記憶装置に送信し、前記第2の量子キー配布装置は生成された前記第2の量子キーを前記データ暗号化・復号化記憶装置に送信し、
前記キー記憶装置は前記第1の量子キーを記憶し、前記第1の量子キーをTkと標記し、前記データ暗号化・復号化記憶装置は前記第2の量子キーにより入力されたデータを暗号化して、暗号文データを得て、前記データ暗号化・復号化記憶装置は、前記暗号文データをTdと標記し、前記暗号文データを暗号文データ記憶装置に出力し、
前記キー記憶装置は、前記第1のキー制御装置により前記第1の量子キーがTkと標記された結果を前記キー制御センターにフィードバックし、前記データ暗号化・復号化記憶装置は、前記第2のキー制御装置により前記暗号文データがTdと標記された結果を前記キー制御センターにフィードバックする、
ことを特徴とする、キーリモートストレージに基盤する暗号化データ記憶システム。
【請求項2】
前記データ暗号化・復号化記憶システムは、暗号文データ記憶装置をさらに含み、
前記暗号文データ記憶装置は前記データ暗号化・復号化記憶装置と通信可能に接続され、
前記データ暗号化・復号化記憶装置は、
データを入力するための入力端と、
前記データ暗号化・復号化記憶装置により暗号化又は復号化処理された後のデータを出力するための出力端と、を含む、
ことを特徴とする、請求項1に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
前記暗号文データ記憶装置は前記データ暗号化・復号化記憶装置と通信可能に接続され、
前記データ暗号化・復号化記憶装置は、
データを入力するための入力端と、
前記データ暗号化・復号化記憶装置により暗号化又は復号化処理された後のデータを出力するための出力端と、を含む、
ことを特徴とする、請求項1に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
【請求項3】
前記第1の量子キー配布装置と第2の量子キー配布装置とは、いずれも量子キー振り分け端末を採用している、
ことを特徴とする、請求項1に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
ことを特徴とする、請求項1に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
【請求項4】
前記キーリモートストレージシステムとデータ暗号化・復号化記憶システムとは、いずれも1つ又は複数であり、
1つ又は複数の前記キーリモートストレージシステムはキー制御センターと通信可能に接続され、
1つ又は複数のキーリモートストレージシステとデータ暗号化・復号化記憶システムとは、空間的に離れて記憶される、いわゆるリモートストレージを行う、
ことを特徴とする、請求項1に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
1つ又は複数の前記キーリモートストレージシステムはキー制御センターと通信可能に接続され、
1つ又は複数のキーリモートストレージシステとデータ暗号化・復号化記憶システムとは、空間的に離れて記憶される、いわゆるリモートストレージを行う、
ことを特徴とする、請求項1に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
【請求項5】
第1の光量子交換装置と、第2の光量子交換装置と、をさらに含み、
1つ又は複数の前記キーリモートストレージシステムにおける第1の量子キー配布装置は、いずれも光ファイバーを介して第1の光量子交換装置に接続され、
1つ又は複数の前記データ暗号化・復号化記憶システムにおける第2の量子キー配布装置は、いずれも光ファイバーを介して第2の光量子交換装置に接続され、
第1の光量子交換装置は光ファイバーを介して第2の光量子交換装置と量子通信可能に接続される、
ことを特徴とする、請求項4に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
1つ又は複数の前記キーリモートストレージシステムにおける第1の量子キー配布装置は、いずれも光ファイバーを介して第1の光量子交換装置に接続され、
1つ又は複数の前記データ暗号化・復号化記憶システムにおける第2の量子キー配布装置は、いずれも光ファイバーを介して第2の光量子交換装置に接続され、
第1の光量子交換装置は光ファイバーを介して第2の光量子交換装置と量子通信可能に接続される、
ことを特徴とする、請求項4に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
【請求項6】
第1の光量子波長分割多重化装置と、第2の光量子波長分割多重化装置と、をさらに含み、
1つ又は複数の前記キーリモートストレージシステムにおける第1の量子キー配布装置は、いずれも光ファイバーを介して第1の光量子波長分割多重化装置に接続され、
1つ又は複数の前記データ暗号化・復号化記憶システムにおける第2の量子キー配布装置は、いずれも光ファイバーを介して第2の光量子波長分割多重化装置に接続され、
前記第1の光量子波長分割多重化装置は光ファイバーを介して第2の光量子波長分割多重化装置と量子通信可能に接続される、
ことを特徴とする、請求項4に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
1つ又は複数の前記キーリモートストレージシステムにおける第1の量子キー配布装置は、いずれも光ファイバーを介して第1の光量子波長分割多重化装置に接続され、
1つ又は複数の前記データ暗号化・復号化記憶システムにおける第2の量子キー配布装置は、いずれも光ファイバーを介して第2の光量子波長分割多重化装置に接続され、
前記第1の光量子波長分割多重化装置は光ファイバーを介して第2の光量子波長分割多重化装置と量子通信可能に接続される、
ことを特徴とする、請求項4に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
【請求項7】
バックアップ暗号文データ記憶装置を含む暗号文データバックアップ記憶システムをさらに含み、
前記暗号文データ記憶装置は、前記暗号文データバックアップ記憶システムにおけるバックアップ暗号文データ記憶装置と通信可能に接続され、
前記暗号文データバックアップ記憶システムにおけるバックアップ暗号文データ記憶装置と暗号文データ記憶装置とは、空間的に離れて記憶される、いわゆるリモートストレージを行い、
前記暗号文データ記憶装置と前記キーリモートストレージシステムにおけるキー記憶装置とは、空間的に離れて記憶される、いわゆるリモートストレージを行う、
ことを特徴とする、請求項1に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
前記暗号文データ記憶装置は、前記暗号文データバックアップ記憶システムにおけるバックアップ暗号文データ記憶装置と通信可能に接続され、
前記暗号文データバックアップ記憶システムにおけるバックアップ暗号文データ記憶装置と暗号文データ記憶装置とは、空間的に離れて記憶される、いわゆるリモートストレージを行い、
前記暗号文データ記憶装置と前記キーリモートストレージシステムにおけるキー記憶装置とは、空間的に離れて記憶される、いわゆるリモートストレージを行う、
ことを特徴とする、請求項1に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
【請求項8】
キーバックアップ記憶装置を含むキーリモートバックアップ記憶システムをさらに含み、
前記キーバックアップ記憶装置は前記キー記憶装置と通信可能に接続され、
前記キーバックアップ記憶装置とキー記憶装置とは、空間的に離れて記憶される、いわゆるリモートストレージを行う、
ことを特徴とする、請求項1又は7に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
前記キーバックアップ記憶装置は前記キー記憶装置と通信可能に接続され、
前記キーバックアップ記憶装置とキー記憶装置とは、空間的に離れて記憶される、いわゆるリモートストレージを行う、
ことを特徴とする、請求項1又は7に記載のキーリモートストレージに基盤する暗号化データ記憶システム。
【請求項9】
キー記憶システムとデータ暗号化・復号化記憶システムとが、いずれも量子キー配布技術を採用してデータ暗号化記憶を実現することを含み、
前記量子キー配布技術を採用してデータ暗号化記憶を実現することは、具体的に、
データ暗号化・復号化記憶装置は、入力されたデータに応じて、第2のキー制御装置に暗号化請求をフィードバックし、第2のキー制御装置がキー制御センターに暗号化請求をフィードバックする、ステップ1と、
キー制御センターは、第2のキー制御装置からフィードバックされた暗号化請求を受信し、暗号化請求がキー制御センターにより認証・許可された後、キー制御センターは、第1のキー制御装置及び第2のキー制御装置に制御情報を送信する、ステップ2と、
第1のキー制御装置は、制御情報を第1の量子キー配布装置に送信し、第2のキー制御装置は、制御情報を第2の量子キー配布装置に送信する、ステップ3と、
第1の量子キー配布装置と第2の量子キー配布装置との間において、量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第1の量子キー及び第2の量子キーと呼び、第1の量子キー配布装置は生成された第1の量子キーをキー記憶装置に送信し、第2の量子キー配布装置は生成された第2の量子キーをデータ暗号化・復号化記憶装置に送信する、ステップ4と、
キー記憶装置は第1の量子キーを記憶し、第1の量子キーをTkと標記し、データ暗号化・復号化記憶装置は第2の量子キーにより入力されたデータを暗号化して、暗号文データを得て、データ暗号化・復号化記憶装置は、暗号文データをTdと標記し、暗号文データを暗号文データ記憶装置に出力する、ステップ5と、
キー記憶装置は、第1のキー制御装置により第1の量子キーがTkと標記された結果をキー制御センターにフィードバックし、データ暗号化・復号化記憶装置は、第2のキー制御装置により暗号文データがTdと標記された結果をキー制御センターにフィードバックする、ステップ6と、を含む、
ことを特徴とする、キーリモートストレージに基盤する暗号化データ記憶方法。
前記量子キー配布技術を採用してデータ暗号化記憶を実現することは、具体的に、
データ暗号化・復号化記憶装置は、入力されたデータに応じて、第2のキー制御装置に暗号化請求をフィードバックし、第2のキー制御装置がキー制御センターに暗号化請求をフィードバックする、ステップ1と、
キー制御センターは、第2のキー制御装置からフィードバックされた暗号化請求を受信し、暗号化請求がキー制御センターにより認証・許可された後、キー制御センターは、第1のキー制御装置及び第2のキー制御装置に制御情報を送信する、ステップ2と、
第1のキー制御装置は、制御情報を第1の量子キー配布装置に送信し、第2のキー制御装置は、制御情報を第2の量子キー配布装置に送信する、ステップ3と、
第1の量子キー配布装置と第2の量子キー配布装置との間において、量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第1の量子キー及び第2の量子キーと呼び、第1の量子キー配布装置は生成された第1の量子キーをキー記憶装置に送信し、第2の量子キー配布装置は生成された第2の量子キーをデータ暗号化・復号化記憶装置に送信する、ステップ4と、
キー記憶装置は第1の量子キーを記憶し、第1の量子キーをTkと標記し、データ暗号化・復号化記憶装置は第2の量子キーにより入力されたデータを暗号化して、暗号文データを得て、データ暗号化・復号化記憶装置は、暗号文データをTdと標記し、暗号文データを暗号文データ記憶装置に出力する、ステップ5と、
キー記憶装置は、第1のキー制御装置により第1の量子キーがTkと標記された結果をキー制御センターにフィードバックし、データ暗号化・復号化記憶装置は、第2のキー制御装置により暗号文データがTdと標記された結果をキー制御センターにフィードバックする、ステップ6と、を含む、
ことを特徴とする、キーリモートストレージに基盤する暗号化データ記憶方法。
【請求項10】
前記量子キー配布技術を採用してデータ暗号化記憶を実現することは、
データ暗号化・復号化記憶装置は、入力された暗号文データの標記Tdに応じて、復号化請求を第2のキー制御装置にフィードバックし、第2のキー制御装置は、復号化請求をキー制御センターにフィードバックする、ステップ1と、
キー制御センターはTdと標記された暗号文データの復号化請求を受信し、復号化請求がキー制御センターにより認証・許可された後、キー制御センターは第1のキー制御装置及び第2のキー制御装置に制御情報を送信する、ステップ2と、
第1のキー制御装置は、制御情報を第1の量子キー配布装置に送信し、第1のキー制御装置は暗号文データの標記Tdに応じて、キー記憶装置内からTkと標記された第1の量子キーを取り出し、第1のキー制御装置はTkと標記された第1の量子キーを復号化請求の復号化キーとする、ステップ3と、
第2のキー制御装置は制御情報を第2の量子キー配布装置に送信する、ステップ4と、
第1の量子キー配布装置と第2の量子キー配布装置との間において、量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第3の量子キー及び第4の量子キーと呼び、第1の量子キー配布装置は生成された第3の量子キーを第1のキー制御装置に送信し、第2の量子キー配布装置は生成された第4の量子キーを第2のキー制御装置に送信する、ステップ5と、
第1のキー制御装置は、第3の量子キー及び復号化キーを暗号化処理することで暗号文を形成し、第1のキー制御装置は暗号文を第2のキー制御装置に送信する、ステップ6と、
第2のキー制御装置は、第3の量子キーと同じ第4の量子キーに応じて暗号文を復号化処理することで復号化キーを復号化し、第2のキー制御装置は復号化キーをデータ暗号化・復号化記憶装置に送信する、ステップ7と、
データ暗号化・復号化記憶装置は、復号化キーに応じて、入力されたTdと標記された暗号文データを復号化処理し、復号化処理後のデータを出力する、ステップ8と、
データ暗号化・復号化記憶装置は、第2のキー制御装置により復号化結果をキー制御センターにフィードバックする、ステップ9と、をさらに含む、
ことを特徴とする、請求項9に記載のキーリモートストレージに基盤する暗号化データ記憶方法。
データ暗号化・復号化記憶装置は、入力された暗号文データの標記Tdに応じて、復号化請求を第2のキー制御装置にフィードバックし、第2のキー制御装置は、復号化請求をキー制御センターにフィードバックする、ステップ1と、
キー制御センターはTdと標記された暗号文データの復号化請求を受信し、復号化請求がキー制御センターにより認証・許可された後、キー制御センターは第1のキー制御装置及び第2のキー制御装置に制御情報を送信する、ステップ2と、
第1のキー制御装置は、制御情報を第1の量子キー配布装置に送信し、第1のキー制御装置は暗号文データの標記Tdに応じて、キー記憶装置内からTkと標記された第1の量子キーを取り出し、第1のキー制御装置はTkと標記された第1の量子キーを復号化請求の復号化キーとする、ステップ3と、
第2のキー制御装置は制御情報を第2の量子キー配布装置に送信する、ステップ4と、
第1の量子キー配布装置と第2の量子キー配布装置との間において、量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第3の量子キー及び第4の量子キーと呼び、第1の量子キー配布装置は生成された第3の量子キーを第1のキー制御装置に送信し、第2の量子キー配布装置は生成された第4の量子キーを第2のキー制御装置に送信する、ステップ5と、
第1のキー制御装置は、第3の量子キー及び復号化キーを暗号化処理することで暗号文を形成し、第1のキー制御装置は暗号文を第2のキー制御装置に送信する、ステップ6と、
第2のキー制御装置は、第3の量子キーと同じ第4の量子キーに応じて暗号文を復号化処理することで復号化キーを復号化し、第2のキー制御装置は復号化キーをデータ暗号化・復号化記憶装置に送信する、ステップ7と、
データ暗号化・復号化記憶装置は、復号化キーに応じて、入力されたTdと標記された暗号文データを復号化処理し、復号化処理後のデータを出力する、ステップ8と、
データ暗号化・復号化記憶装置は、第2のキー制御装置により復号化結果をキー制御センターにフィードバックする、ステップ9と、をさらに含む、
ことを特徴とする、請求項9に記載のキーリモートストレージに基盤する暗号化データ記憶方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報伝送と記憶、並びに情報安全分野に関し、具体的には、キーリモートストレージに基盤する暗号化データ記憶システム及び方法に関する。
【背景技術】
【0002】
情報は、社会の発展にとって重要な戦略資源であり、国家安全から個人のプライバシー保護のあらゆる方面に至るまで、すべてが情報安全に関係ある。ここで、デジタル技術の進みに伴って、情報をデータに変換して記憶したり伝送したりすることは、情報の転送や使用中において最も重要な2つの段階であり、これらの2つの段階においては、情報データが盗聴されたり盗み取られたりする安全リスクが存在するので、情報データを如何に安全的に保護するかは、永遠の課題である。
【0003】
データ記憶分野においては、現在のデータ量の蓄積やデータ応用の大幅な広がりに伴って、パソコン、企業のサーバー、及びストレージセンターに加えて、各地のビッグデータ記憶・演算センター、クラウド記憶・クラウド演算センターの数や規模も爆発的に増加している。これらのセンターの出現により、データサービスのコストは大幅に低下され、応用もより一層便利になり、データ記憶の民衆の日常的な生活への普及を進めている。現在、データ記憶には、平文記憶と暗号化記憶という2つの方式があり、その内、最も多く利用されているデータ記憶方式は平文記憶という記憶方式である。しかし、平文記憶方式は便利であるが、データが公開的なので、他人に漏れたり盗み取られたりする問題があり、既に深刻な社会問題になっている。特に、ある重要なデータにとって、そのリスクは極大になり、他人に漏れてしまうと、巨大なる損害に繋がり、ひいては、取り戻すことができない損害を起こす。例えば、国家地理マッピング情報などがその一例である。一方、データ記憶において厳しい安全管理技術を適用して安全リスクを低下させ、データの安全性を向上させてもよい。現在、主に2種類の技術が用いられているが、その一つはシステムの保安を強化する技術であり、もう一つはデータを暗号文に暗号化して記憶する方法を採用する技術である。データ暗号化記憶の場合、記憶されたデータ内容が盗み取られたとしても、キーさえ盗み取られていなければ、データを盗み取った者はやはりそれらの暗号文を解読することができず、情報自体は安全になる。しかしながら、これらの2種類の技術は、侵入システムに侵入する難易度を向上し、データを解読する難易度を向上させたことに過ぎない。特に、複雑で大きいデータ記憶システムや欠陥のある記憶システムにおいては、依然としてデータが盗み取られたり解読されたりするリスクが存在し、且つ、データのバックアップ、災難対備、マルチライブ等に応用するには不便であり、データの安全性も依然として確実に保障できない。
【0004】
現在、認証を受けたユーザの正常的な使用を保障するために、暗号化記憶データの暗号化と復号化キーとはデータベース内に記憶されていなければならなく、少なくとも同一の安全エリア内に記憶する必要がある。このようなキー記憶方法は、キーが伝送中に盗み取られることを防止でき、情報の漏洩を防止できる。しかし、データメモリやデータベースは外部のユーザー用端末と繋がる必要があり、原則的には、外部接続の任意の端末であってもウィルス等のパスワード盗取手段を利用して当該パスワードを盗取することができるので、データ安全に重大なリスクをもたらしている。
【0005】
原則的には、暗号化・復号化キーと暗号文データとを分離して記憶し、且つ、キーを厳格に安全を保障できる場所に記憶する方が、データベースの安全を最適に保障できる。しかし、現在のデータベース暗号化は、いずれもパスワード手段を採用している。パスワード技術には、二種類がある。その一種類は、対称キーに基盤しており、その安全伝送や振り分け問題は未だに解決できない。もう一種類においてよく使われる非対称パスワード技術は数学難題に基づくものである。このようなキー体系は、原則的には、公開的にキーを振り分けることができるが、その安全性は証明されておらず、且つ、スーパーコンピューターや量子コンピューターに攻撃されるリスクがある。特に、量子コンピューターの攻撃に弱い。
【発明の概要】
【0006】
本発明が解決しようとする技術的課題は、上記の従来技術の問題に鑑みて、キーリモートストレージに基盤する暗号化データ記憶システム及び方法を提供することにある。このキーリモートストレージに基盤する暗号化データ記憶システム及び方法は、従来技術がこれまで解決できなかった如何に暗号化キーと暗号文データとを安全に分離して記憶するかの課題を解決した。本発明は、構造化や非構造化のデータメモリ、データベース記憶、データバックアップ、クラウド記憶及びクラウド演算中のキー安全リモートストレージと暗号文データ暗号化・復号化記憶の問題を解決できる。暗号化キー量は、記憶データより数倍も小さいことが可能なので、リモートストレージやキーベース(キー記憶装置)の管理は、データを厳格に管理することより、その難易度が低い。従って、各種類の構造化や非構造化のデータメモリ及びデータベース、クラウド記憶及びクラウド演算の記憶と演算中の安全問題を効果的に解決できる。
【0007】
上記の目的を達成するために、本発明の態様は、キーリモートストレージに基盤する暗号化データ記憶システムであって、キー制御センターと、
第1のキー制御装置と、キー記憶装置と、第1の量子キー配布装置と、を含むキーリモートストレージシステムと、
第2のキー制御装置と、データ暗号化・復号化記憶装置と、第2の量子キー配布装置と、を含むデータ暗号化・復号化記憶システムと、
を含み、
前記キー制御センターは第1のキー制御装置と通信可能に接続され、
前記キー制御センターは第2のキー制御装置と通信可能に接続され、
前記第1の量子キー配布装置は第2の量子キー配布装置と量子通信可能に接続され、
前記第1のキー制御装置はキー記憶装置及び第1の量子キー配布装置のそれぞれと通信可能に接続され、
前記キー記憶装置は第1の量子キー配布装置と通信可能に接続され、
前記第2のキー制御装置はデータ暗号化・復号化記憶装置及び第2の量子キー配布装置のそれぞれと通信可能に接続され、
前記データ暗号化・復号化記憶装置は第2の量子キー配布装置と通信可能に接続される。
【0008】
本発明のさらに改善された技術案として、前記データ暗号化・復号化記憶システムは、暗号文データ記憶装置をさらに含み、前記暗号文データ記憶装置は前記データ暗号化・復号化記憶装置と通信可能に接続され、前記データ暗号化・復号化記憶装置は、データを入力するための入力端と、前記データ暗号化・復号化記憶装置により暗号化又は復号化処理された後のデータを出力するための出力端と、を含む。
【0009】
本発明のさらに改善された技術案として、前記第1の量子キー配布装置と第2の量子キー配布装置とは、いずれも量子キー振り分け端末を採用している。
【0010】
本発明のさらに改善された技術案として、前記キーリモートストレージシステムとデータ暗号化・復号化記憶システムとは、いずれも1つ又は複数であり、1つ又は複数の前記キーリモートストレージシステムはキー制御センターと通信可能に接続され、1つ又は複数のキーリモートストレージシステとデータ暗号化・復号化記憶システムとは、空間的に離れて記憶される、いわゆるリモートストレージを行う。
【0011】
本発明のさらに改善された技術案として、第1の光量子交換装置と、第2の光量子交換装置と、をさらに含み、1つ又は複数の前記キーリモートストレージシステムにおける第1の量子キー配布装置は、いずれも光ファイバーを介して第1の光量子交換装置に接続され、1つ又は複数の前記データ暗号化・復号化記憶システムにおける第2の量子キー配布装置は、いずれも光ファイバーを介して第2の光量子交換装置に接続され、第1の光量子交換装置は光ファイバーを介して第2の光量子交換装置と量子通信可能に接続される。
【0012】
本発明のさらに改善された技術案として、第1の光量子波長分割多重化装置と、第2の光量子波長分割多重化装置と、をさらに含み、1つ又は複数の前記キーリモートストレージシステムにおける第1の量子キー配布装置は、いずれも光ファイバーを介して第1の光量子波長分割多重化装置に接続され、1つ又は複数の前記データ暗号化・復号化記憶システムにおける第2の量子キー配布装置は、いずれも光ファイバーを介して第2の光量子波長分割多重化装置に接続され、前記第1の光量子波長分割多重化装置は光ファイバーを介して第2の光量子波長分割多重化装置と量子通信可能に接続される。
【0013】
本発明のさらに改善された技術案として、バックアップ暗号文データ記憶装置を含む暗号文データバックアップ記憶システムをさらに含み、前記暗号文データ記憶装置は、前記暗号文データバックアップ記憶システムにおけるバックアップ暗号文データ記憶装置と通信可能に接続され、前記暗号文データバックアップ記憶システムにおけるバックアップ暗号文データ記憶装置と暗号文データ記憶装置とは、空間的に離れて記憶される、いわゆるリモートストレージを行い、前記暗号文データ記憶装置と前記キーリモートストレージシステムにおけるキー記憶装置とは、空間的に離れて記憶される、いわゆるリモートストレージを行う。
【0014】
本発明のさらに改善された技術案として、キーバックアップ記憶装置を含むキーリモートバックアップ記憶システムをさらに含み、前記キーバックアップ記憶装置は前記キー記憶装置と通信可能に接続され、前記キーバックアップ記憶装置とキー記憶装置とは、空間的に離れて記憶される、いわゆるリモートストレージを行う。
【0015】
上記の目的を達成するために、本発明の他の態様は、キーリモートストレージに基盤する暗号化データ記憶方法であって、前記キー記憶システムとデータ暗号化・復号化記憶システムとが、いずれも量子キー配布技術を採用してデータ暗号化記憶を実現することを含む。
【0016】
本発明のさらに改善された技術案として、前記量子キー配布技術を採用してデータ暗号化記憶を実現することは、具体的に、データ暗号化・復号化記憶装置は、入力されたデータに応じて、第2のキー制御装置に暗号化請求をフィードバックし、第2のキー制御装置がキー制御センターに暗号化請求をフィードバックする、ステップ1と、キー制御センターは、第2のキー制御装置からフィードバックされた暗号化請求を受信し、暗号化請求がキー制御センターにより認証・許可された後、キー制御センターは、第1のキー制御装置及び第2のキー制御装置に制御情報を送信する、ステップ2と、
第1のキー制御装置は、制御情報を第1の量子キー配布装置に送信し、第2のキー制御装置は、制御情報を第2の量子キー配布装置に送信する、ステップ3と、
第1の量子キー配布装置と第2の量子キー配布装置との間において、量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第1の量子キー及び第2の量子キーと呼び、第1の量子キー配布装置は生成された第1の量子キーをキー記憶装置に送信し、第2の量子キー配布装置は生成された第2の量子キーをデータ暗号化・復号化記憶装置に送信する、ステップ4と、
キー記憶装置は第1の量子キーを記憶し、第1の量子キーをTkと標記し、データ暗号化・復号化記憶装置は第2の量子キーにより入力されたデータを暗号化して、暗号文データを得て、データ暗号化・復号化記憶装置は、暗号文データをTdと標記し、暗号文データを暗号文データ記憶装置に出力する、ステップ5と、
キー記憶装置は、第1のキー制御装置により第1の量子キーがTkと標記された結果をキー制御センターにフィードバックし、データ暗号化・復号化記憶装置は、第2のキー制御装置により暗号文データがTdと標記された結果をキー制御センターにフィードバックする、ステップ6と、を含む。
【0017】
本発明のさらに改善された技術案として、前記量子キー配布技術を採用してデータ暗号化記憶を実現することは、データ暗号化・復号化記憶装置は、入力された暗号文データの標記Tdに応じて、復号化請求を第2のキー制御装置にフィードバックし、第2のキー制御装置は、復号化請求をキー制御センターにフィードバックする、ステップ1と、キー制御センターはTdと標記された暗号文データの復号化請求を受信し、復号化請求がキー制御センターにより認証・許可された後、キー制御センターは第1のキー制御装置及び第2のキー制御装置に制御情報を送信する、ステップ2と、
第1のキー制御装置は、制御情報を第1の量子キー配布装置に送信し、第1のキー制御装置は暗号文データの標記Tdに応じて、キー記憶装置内からTkと標記された第1の量子キーを取り出し、第1のキー制御装置はTkと標記された第1の量子キーを復号化請求の復号化キーとする、ステップ3と、
第2のキー制御装置は制御情報を第2の量子キー配布装置に送信する、ステップ4と、
第1の量子キー配布装置と第2の量子キー配布装置との間において、量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第3の量子キー及び第4の量子キーと呼び、第1の量子キー配布装置は生成された第3の量子キーを第1のキー制御装置に送信し、第2の量子キー配布装置は生成された第4の量子キーを第2のキー制御装置に送信する、ステップ5と、
第1のキー制御装置は、第3の量子キー及び復号化キーを暗号化処理することで暗号文を形成し、第1のキー制御装置は暗号文を第2のキー制御装置に送信する、ステップ6と、
第2のキー制御装置は第3の量子キーと同じ第4の量子キーに応じて暗号文を復号化処理することで復号化キーを復号化し、第2のキー制御装置は復号化キーをデータ暗号化・復号化記憶装置に送信する、ステップ7と、
データ暗号化・復号化記憶装置は復号化キーに応じて、入力されたTdと標記された暗号文データを復号化処理し、復号化処理後のデータを出力する、ステップ8と、
データ暗号化・復号化記憶装置は第2のキー制御装置により復号化結果をキー制御センターにフィードバックする、ステップ9と、をさらに含む。
【0018】
本発明は以下のような有益な効果を奏する。
【0019】
1.本発明において、キー記憶装置とデータ暗号化・復号化記憶装置とが異なるシステム内に設けられているので、本発明は、量子技術により安全で確実にキーリモートストレージシステムとデータ暗号化・復号化記憶システムとを任意的な距離に離れるようにすることで、暗号化・復号化キーとデータとをリモートで個別に記憶できる。一方の場所に記憶されたデータ内容が盗まれたとしても、他方の場所のキーさえ盗まれていなければ、データを盗取した者はやはりそれらの暗号文を解読できず、情報自体は安全である。従って、同じ地点に記憶されたデータと暗号化・復号化キーとがともに盗まれることを防止でき、暗号化・復号化キーの伝送中に無条件に安全を保障でき、データ記憶の安全性を向上させる。これは、従来のパスワード技術によっては、実現できなかった。
【0020】
2.本発明は、構造性データベース、非構造性データベース、クラウド安全や災難対備データ等を暗号化して保護する技術に広く用いられることができ、データベース記憶、アクセス、クラウド記憶及び演算、災難対備及びデータ伝送中に存在するデータ安全問題を解決して、データ安全防護レベルを向上させることができる。
【0021】
3.本発明のキー記憶端(キー記憶装置)は、体積が小さく、電力消耗が小さく、より高いレベルの安全防護を容易に設置でき、その分、データ記憶の安全レベルを向上させる。
【0022】
4.本発明に係るキー記憶端(キー記憶装置)とデータ記憶端(データ暗号化・復号化記憶システム)はリモートストレージを行い、距離は任意的に制御でき、データ記憶の安全性や災難対備、安全防護の利用の便利性を総合的に向上させ、データ安全防護のコストを低下させている。
【0023】
5.本発明の最適化された態様は、データ内容がアクセス又は変更された後、以前のキーを新規のキーに交換でき、データは改めて暗号化記憶ができ、暗号化キーの更新メカニズムは、データ記憶の安全性をさらに増加させる。
【図面の簡単な説明】
【0024】
【発明を実施するための形態】
【0025】
以下においては、本発明の具体的な実施例を図1から図10により詳細に説明する。記述された実施例は、本発明の一部の実施例のみであり、全部の実施例ではないことを指摘しておく。本発明における実施例に基づいて、当業者が進歩性に値する労働なしで得られた全ての他の実施例は、いずれも本発明の保護範囲に含まれる。
【0026】
図1を参照すると、本発明は、キー制御センター1と、キーリモートストレージシステム2と、データ暗号化・復号化記憶システム3とを含むキーリモートストレージに基盤する暗号化データ記憶システムを提供する。
【0027】
前記キー制御センター1は、管理及び安全制御決裁情報入力を含み、前記キーリモートストレージシステム2は、第1のキー制御装置4と、キー記憶装置5と、第1の量子キー配布装置6とを含み、前記データ暗号化・復号化記憶システム3は、第2のキー制御装置7と、データ暗号化・復号化記憶装置9と、第2の量子キー配布装置8とを含み、前記キー制御センター1は第1のキー制御装置4と通信可能に接続され、前記キー制御センター1は第2のキー制御装置7と通信可能に接続され、前記第1の量子キー配布装置6は第2の量子キー配布装置8と量子通信可能に接続され、前記第1のキー制御装置4はキー記憶装置5及び第1の量子キー配布装置6のそれぞれと通信可能に接続され、前記キー記憶装置5は第1の量子キー配布装置6と通信可能に接続され、前記第2のキー制御装置7はデータ暗号化・復号化記憶装置9及び第2の量子キー配布装置8のそれぞれと通信可能に接続され、前記データ暗号化・復号化記憶装置9は第2の量子キー配布装置8と通信可能に接続される。キーリモートストレージシステム2とデータ暗号化・復号化記憶システム3との間の物理的距離は任意の距離に設定できる。
【0028】
前記データ暗号化・復号化記憶システム3は、暗号文データ記憶装置10をさらに含み、前記暗号文データ記憶装置10は前記データ暗号化・復号化記憶装置9と通信可能に接続され、前記データ暗号化・復号化記憶装置9は入力端と出力端とを含み、前記データ暗号化・復号化記憶装置9の入力端はデータを入力するためのものであり、前記データ暗号化・復号化記憶装置9の出力端は、前記データ暗号化・復号化記憶装置9により暗号化または復号化処理された後的データを出力するためのものである。
【0029】
前記第1の量子キー配布装置6と第2の量子キー配布装置8とは、いずれも量子キー振り分け端末(QKD)を採用している。
【0030】
前記キーリモートストレージシステム2とデータ暗号化・復号化記憶システム3とは、いずれも1つ又は複数であり、1つ又は複数の前記キーリモートストレージシステム2はキー制御センター1と通信可能に接続され、1つ又は複数のキーリモートストレージシステム2とデータ暗号化・復号化記憶システム3とはリモートストレージを行う。
【0031】
本発明は、第1の光量子交換装置と、第2の光量子交換装置と、をさらに含み、1つ又は複数の前記キーリモートストレージシステム2における第1の量子キー配布装置6は、いずれも光ファイバーを介して第1の光量子交換装置に接続され、1つ又は複数の前記データ暗号化・復号化記憶システム3における第2の量子キー配布装置8は、いずれも光ファイバーを介して第2の光量子交換装置に接続され、第1の光量子交換装置は、光ファイバーを介して第2の光量子交換装置と量子通信可能に接続される。
【0032】
本発明は、第1の光量子波長分割多重化装置と、第2の光量子波長分割多重化装置と、をさらに含み、1つ又は複数の前記キーリモートストレージシステム2における第1の量子キー配布装置6は、いずれも光ファイバーを介して第1の光量子波長分割多重化装置に接続され、1つ又は複数の前記データ暗号化・復号化記憶システム3における第2の量子キー配布装置8は、いずれも光ファイバーを介して第2の光量子波長分割多重化装置に接続され、前記第1の光量子波長分割多重化装置は光ファイバーを介して第2の光量子波長分割多重化装置と量子通信可能に接続される。
【0033】
本発明は、暗号文データバックアップ記憶システム17をさらに含み、前記暗号文データバックアップ記憶システム17はバックアップ暗号文データ記憶装置18を含み、前記暗号文データ記憶装置10は前記暗号文データバックアップ記憶システム17におけるバックアップ暗号文データ記憶装置18と通信可能に接続され、前記暗号文データバックアップ記憶システム17におけるバックアップ暗号文データ記憶装置18と暗号文データ記憶装置10とはリモートストレージを行い、前記暗号文データ記憶装置10と前記キーリモートストレージシステム2におけるキー記憶装置5とはリモートストレージを行い、前記リモートストレージとは、個々の記憶装置が空間的に離れて記憶を行うことをいう。
【0034】
本発明は、キーリモートバックアップ記憶システム27をさらに含み、前記キーリモートバックアップ記憶システム27は、キーバックアップ記憶装置を含み、前記キーバックアップ記憶装置は前記キー記憶装置5と通信可能に接続され、前記キーバックアップ記憶装置とキー記憶装置5とはリモートストレージを行う。
【0035】
本発明のキーリモートストレージに基盤する暗号化データ記憶方法は、前記キー記憶システムとデータ暗号化・復号化記憶システムとが、いずれも量子キー配布技術を採用してデータ暗号化記憶を実現することを含む。
【0036】
前記量子キー配布技術を採用してデータ暗号化記憶を実現することは、具体的に、暗号化ステップと復号化ステップとを含み、システム暗号化ステップと復号化ステップとは、いずれも任意の装置により起動でき、前記任意の装置には、キー制御センター、いずれのキーリモートストレージシステム及びデータ暗号化・復号化記憶システムが含まれ、第1の種類の典型的な作動ステップは、以下の通りである。前記暗号化ステップは、データ暗号化・復号化記憶装置9は入力されたデータに応じて、暗号化請求を第2のキー制御装置7にフィードバックし、第2のキー制御装置7は、暗号化請求をキー制御センター1にフィードバックする、ステップ1と、
キー制御センター1は第2のキー制御装置7によりフィードバックされた暗号化請求を受信し、暗号化請求がキー制御センター1により認証・許可された後、キー制御センター1は第1のキー制御装置4及び第2のキー制御装置7に制御情報を送信する、ステップ2と、
第1のキー制御装置4は制御情報を第1の量子キー配布装置6に送信し、第2のキー制御装置7は制御情報を第2の量子キー配布装置8に送信する、ステップ3と、
第1の量子キー配布装置6と第2の量子キー配布装置8との間において量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第1の量子キー及び第2の量子キーと呼び、第1の量子キー配布装置6は生成された第1の量子キーをキー記憶装置5に送信し、第2の量子キー配布装置8は生成された第2の量子キーをデータ暗号化・復号化記憶装置9に送信する、ステップ4と、
キー記憶装置5は第1の量子キーを記憶し、第1の量子キーをTkと標記し、データ暗号化・復号化記憶装置9は入力されたデータを第2の量子キーにより暗号化して、暗号文データを得て、データ暗号化・復号化記憶装置9は暗号文データをTdと標記し、暗号文データ記憶装置10に出力する、ステップ5と、
キー記憶装置5は第1のキー制御装置4により第1の量子キーTkがと標記された結果をキー制御センター1にフィードバックし、データ暗号化・復号化記憶装置9は第2のキー制御装置7により暗号文データがTdと標記された結果をキー制御センター1にフィードバックし、キー制御センター1は暗号化請求処理結果を標記する、ステップ6と、を含む。
【0037】
前記復号化ステップは、データ暗号化・復号化記憶装置9は入力された暗号文データの標記Tdに応じて、復号化請求を第2のキー制御装置7にフィードバックし、第2のキー制御装置7は復号化請求をキー制御センター1にフィードバックする、ステップ1と、
キー制御センター1はTdと標記された暗号文データの復号化請求を受信し、復号化請求がキー制御センター1により認証・許可された後、キー制御センター1は第1のキー制御装置4及び第2のキー制御装置7に制御情報を送信する、ステップ2と、
第1のキー制御装置4は制御情報を第1の量子キー配布装置6に送信し、第1のキー制御装置4は暗号文データの標記Tdに応じて、キー記憶装置5内からTkと標記された第1の量子キーを取り出し、第1のキー制御装置4はTkと標記された第1の量子キーを復号化請求の復号化キーとする、ステップ3と、
第2のキー制御装置7は制御情報を第2の量子キー配布装置8に送信する、ステップ4と、
第1の量子キー配布装置6と第2の量子キー配布装置8との間において、量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第3の量子キー及び第4の量子キーと呼び、第1の量子キー配布装置6は生成された第3の量子キーを第1のキー制御装置4に送信し、第2の量子キー配布装置8は生成された第4の量子キーを第2のキー制御装置7に送信する、ステップ5と、
第1のキー制御装置4は第3の量子キー及び復号化キーに対して一回一パスワードの暗号化処理を行って暗号文を形成し、第1のキー制御装置4は暗号文を第2のキー制御装置7に送信する、ステップ6と、
第2のキー制御装置7は第3の量子キーと同じ第4の量子キーに応じて暗号文に対して一回一パスワードの復号化処理を行って復号化キーを復号化し、第2のキー制御装置7は復号化キーをデータ暗号化・復号化記憶装置9に送信する、ステップ7と、
データ暗号化・復号化記憶装置9は復号化キーに応じて入力されたTdと標記された暗号文データを復号化処理し、復号化処理後のデータを出力する、ステップ8と、
データ暗号化・復号化記憶装置9は第2のキー制御装置7により復号化結果をキー制御センター1にフィードバックし、キー制御センター1は復号化請求処理結果を標記する、ステップ9と、を含む。
【0038】
なお、第2の種類の典型的な作動ステップは以下の通りである。前記暗号化ステップは、キー制御センター1は暗号化請求を受信し、暗号化請求がキー制御センター1により認証・許可された後、キー制御センター1は第1のキー制御装置4及び第2のキー制御装置7に制御情報を送信する、ステップ1と、
第1のキー制御装置4は制御情報を第1の量子キー配布装置6に送信し、第2のキー制御装置7は制御情報を第2の量子キー配布装置8に送信する、ステップ2と、
第1の量子キー配布装置6と第2の量子キー配布装置8との間において、量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第1の量子キー及び第2の量子キーと呼び、第1の量子キー配布装置6は生成された第1の量子キーをキー記憶装置5に送信し、第2の量子キー配布装置8は生成された第2の量子キーをデータ暗号化・復号化記憶装置9に送信する、ステップ3と、
キー記憶装置5は第1の量子キーを記憶し、第1の量子キーをTkと標記し、データ暗号化・復号化記憶装置9は入力されたデータを第2の量子キーにより暗号化して、暗号文データを得て、データ暗号化・復号化記憶装置9は暗号文データをTdと標記し、暗号文データ記憶装置10に出力する、ステップ5と、
キー記憶装置5は第1のキー制御装置4により第1の量子キーがTkと標記された結果をキー制御センター1にフィードバックし、データ暗号化・復号化記憶装置9は第2のキー制御装置7により暗号文データがTdと標記された結果をキー制御センター1にフィードバックする、ステップ6と、を含む。
【0039】
前記復号化ステップは、キー制御センター1はTdと標記された暗号文データの復号化請求を受信し、復号化請求がキー制御センター1により認証・許可された後、キー制御センター1は第1のキー制御装置4及び第2のキー制御装置7に制御情報を送信する、ステップ1と、
第1のキー制御装置4は制御情報を第1の量子キー配布装置6に送信し、第1のキー制御装置4は暗号文データの標記Tdに応じて、キー記憶装置5内からTkと標記された第1の量子キーを取り出し、第1のキー制御装置4はTkと標記された第1の量子キーを復号化請求の復号化キーとする、ステップ2と、
第2のキー制御装置7は制御情報を第2の量子キー配布装置8に送信する、ステップ3と、
第1の量子キー配布装置6と第2の量子キー配布装置8との間において、量子通信により1組の同じ量子キーを生成し、当該組の同じ量子キーをそれぞれ第3の量子キー及び第4の量子キーと呼び、第1の量子キー配布装置6は生成された第3の量子キーを第1のキー制御装置4に送信し、第2の量子キー配布装置8は生成された第4の量子キーを第2のキー制御装置7に送信する、ステップ4と、
第1のキー制御装置4は第3の量子キー及び復号化キーを暗号化処理(一回一パスワード)して暗号文を形成し、第1のキー制御装置4は暗号文を第2のキー制御装置7に送信する、ステップ5と、
第2のキー制御装置7は第3の量子キーと同じ第4の量子キーに応じて暗号文を復号化処理(一回一パスワード)して復号化キーを復号化し、第2のキー制御装置7は復号化キーをデータ暗号化・復号化記憶装置9に送信する、ステップ6と、
データ暗号化・復号化記憶装置9は復号化キーに応じて入力されたTdと標記された暗号文データを復号化処理し、復号化処理後のデータを出力する、ステップ7と、
データ暗号化・復号化記憶装置9は第2のキー制御装置7により復号化結果をキー制御センター1にフィードバックする、ステップ8と、を含む。
【0040】
以下、8つの具体的な実施例により上記のキーリモートストレージに基盤する暗号化データ記憶システムを具体的に応用する。
【0041】
実施例1図2を参照すると、図2は、キーリモートストレージシステム2とデータ暗号化・復号化記憶システム3とがデータベースシステムに応用される基本的な構成のみを示している。つまり、データベース暗号化記憶及びアクセスと、データベース安全バックアップを構築する基本的な安全原理を示している。キーリモートストレージに基盤する暗号化データ記憶システム及びデータベースシステムにおいて各種類の安全制御装置の組み合わせを完成し、データの安全性を向上させる。具体的な構成は以下の通りである。
【0042】
このキーリモートストレージに基盤する暗号化データ記憶システムはデータベース応用システムに含まれる。データベース応用システムとは、構造化データベース応用システム、又は、非構造化データベース応用システム、又は、クラウド記憶応用システムを言う。システム全体の構成には、制御センター、キーリモートストレージシステム2、データ暗号化・復号化記憶システム3、データ安全記憶システム15及び暗号文データバックアップ記憶システム17が含まれる。
【0043】
制御センターは、キー制御センター1及びデータベース制御センターを含み、データ安全記憶システム15は、安全管理端末11、業務端末12、安全防護装置13、データ制御装置14、暗号文データ記憶装置10(ここで、暗号文データ記憶装置10はデータ暗号化・復号化記憶システム3内に設けられてもよい)及びバックアップデータ配布装置16を含み、キー制御センター1は、キーリモートストレージシステム2、データ暗号化・復号化記憶システム3及び安全防護装置13のそれぞれと通信可能に接続される。安全防護装置13は、安全管理端末11、業務端末12及びデータ暗号化・復号化記憶システム3のそれぞれと通信可能に接続され、データ暗号化・復号化記憶システム3におけるデータ暗号化・復号化記憶装置9は暗号文データ記憶装置10と通信可能に接続される。
【0044】
安全管理端末11とは、データベースに対して総括的に管理及び制御を行うプラットフォームを意味し、データベース管理システムを含む。業務端末12とは、作業者に業務処理のために提供されるプラットフォームを意味し、業務処理システム、データ業務知能端末を含む。安全防護装置13とは、安全防護方法及び装置を意味し、ファイアウォール装置、侵入検知装置、ウイルス防護装置、バグスキャン装置、安全監査装置を含み、伝統的な安全技術により、システム安全防護のレベルを向上させる。暗号文データバックアップ記憶システム17はバックアップ暗号文データ記憶装置18を含み、バックアップ暗号文データ記憶装置18は暗号文データをバックアップして、データ伝送過程がポイントツーポイントで安全になるようにするとともに、データ耐災害性のために安値なバックアップ方式を提供する。
【0045】
キー制御センター1はキーリモートストレージシステム2及びデータ暗号化・復号化記憶システム3を作動するように制御し、具体的な暗号化方法及び復号化方法は図1に構成された暗号化方法及び復号化方法と同様である。
【0046】
実施例2図3を参照すると、図3は、キーリモートストレージに基盤する暗号化データ記憶システムがデータベースダブルライブに応用される基本的な構成及び原理のみを示している。キーリモートストレージに基盤する暗号化データ記憶システムとデータベースダブルライブシステム暗号化装置との組み合わせを完成し、データベースダブルライブシステムの安全性を大幅に向上させるとともに、ダブルライブデータベース応用の高い信頼性を向上させる。具体的な構成は以下の通りである。
【0047】
このキーリモートストレージに基盤する暗号化データ記憶システムのデータベースダブルライブシステムであって、データベース応用システムは、構造化データベース応用システム、又は、非構造化データベース応用システム、又は、クラウド記憶応用システムのダブルライブ又はマルチライブデータベースシステムであってもよい。システムの構成には、制御センター、キーリモートストレージシステム2、ダブルライブデータベースの第1の記憶システム19及びダブルライブデータベースの第2の記憶システム20が含まれる。
【0048】
制御センターは、キー制御センター1及びダブルライブデータベース制御センターを含み、ダブルライブデータベースの第1の記憶システム19は、第1のデータ暗号化・復号化記憶システム21及び第1のデータ同期装置23を含み、ダブルライブデータベースの第2の記憶システムは、第2のデータ暗号化・復号化記憶システム22及び第2のデータ同期装置24を含み、第1のデータ暗号化・復号化記憶システム21及び第2のデータ暗号化・復号化記憶システム22は同様なシステムである。さらに、第1のデータ暗号化・復号化記憶システム21及び第2のデータ暗号化・復号化記憶システム22は、図3のデータベースダブルライブのような実施例である。データベースマルチライブを実施する際に、データ暗号化・復号化記憶システム3は複数であってもよい。第1のデータ同期装置23及び第2のデータ同期装置24は同様なシステムである。
【0049】
制御センターにおけるキー制御センター1はダブルライブデータベースの第1の記憶システム19における第1のデータ暗号化・復号化記憶システム21と通信可能に接続され、ダブルライブデータベースの第2の記憶システム20における第2のデータ暗号化・復号化記憶システム22はキーリモートストレージシステム2と通信可能に接続され、キーリモートストレージシステム2は、いずれも第1のデータ暗号化・復号化記憶システム21及び第2のデータ暗号化・復号化記憶システム22と互いに量子通信可能に接続され、第1のデータ同期装置23と第2のデータ同期装置24との間は通信可能に接続され、第1のデータ同期装置23は第1のデータ暗号化・復号化記憶システム21における暗号文データ記憶装置10と通信可能に接続され、第2のデータ同期装置24は第2のデータ暗号化・復号化記憶システム22における暗号文データ記憶システムと通信可能に接続され、制御センターにおけるキー制御センター1は、第1のデータ暗号化・復号化記憶システム21、第2のデータ暗号化・復号化記憶システム22及びキーリモートストレージシステム2を作動するように制御し、具体的な暗号化方法及び復号化方法は図1に構成された暗号化方法及び復号化方法と同様である。
【0050】
実施例3図4を参照すると、図4は、キーリモートストレージに基盤する暗号化データ記憶システムがダブルキーリモートストレージシステム2に適用される基本的な構成及び原理のみを示している。キー多地点リモートストレージを実現し、キー記憶効率及び安全性を保障している。このダブルキーリモートストレージシステム2は、キー制御センター1、データ安全記憶システム15、第1のキーリモートストレージシステム25及び第2のキーリモートストレージシステム26を含み、データ安全記憶システム15はデータ暗号化・復号化記憶システム3を含む。
【0051】
キー制御センター1はデータ暗号化・復号化記憶システム3、第1のキーリモートストレージシステム25及び第2のキーリモートストレージシステム26が作動するように制御し、具体的な暗号化方法及び復号化方法は図1に構成された暗号化方法及び復号化方法とほぼ同様であり、暗号化・復号化キー請求を行う時、キー制御センター1がキー記憶安全策略、記憶最適化策略及びキー標記Tkに応じて、第1のキーリモートストレージシステム25又は第2のキーリモートストレージシステム26とインタラクティブを行うことを定める点において異なる。同様に、キーリモートストレージシステム2は複数であってもよく、マルチキーリモートストレージの最適化をさらに向上させる。
【0052】
実施例4図5を参照すると、図5は、キーリモートストレージに基盤する暗号化データ記憶システムのキーリモートバックアップ記憶システム27の基本的な構成及び原理のみを示しており、キーリモートストレージバックアップを実現し、キー記憶の信頼性及びロバスト性を向上させる。
【0053】
本実施例は、キー制御センター1、キーリモートストレージシステム2、キーリモートバックアップ記憶システム27及びデータ暗号化・復号化記憶システム3を含み、キーリモートバックアップ記憶システム27はキーリモートストレージシステム2の構成及び装置と同様であり、キー制御センター1は、データ暗号化・復号化記憶システム3、キーリモートストレージシステム2及びキーリモートバックアップ記憶システム27が作動するように制御し、具体的な暗号化方法及び復号化方法は図1に構成された暗号化方法及び復号化方法とほぼ同様であり、暗号化・復号化キー請求を行う時、キー制御センター1がバックアップキー記憶安全及び最適化策略に応じて、制御指令を同様にキーリモートバックアップ記憶システム27に送信し、キーリモートストレージシステム2における第1の量子キー配布装置6、キーリモートバックアップ記憶システム27における量子キー配布装置及びデータ暗号化・復号化記憶システム3における量子キー配布装置が量子通信により3つの同じ量子キーを生成して、データ暗号化・復号化過程を完成する点において異なる。同様に、キーリモートバックアップ記憶システム27は複数であってもよく、マルチバックアップキーリモートストレージの最適化をさらに向上させる。
【0054】
実施例5図6を参照すると、図6は、キーリモートストレージに基盤するデータ暗号化・復号化記憶装置9がクラウドデータベース安全記憶システムに適用される基本的な構成及び原理のみを示しており、クラウドデータベース安全記憶を実現している。
【0055】
基本的な構造は、キー制御センター1、キーリモートストレージシステム2及びクラウドデータ安全記憶システムを含み、クラウドデータ安全記憶システムは、データ暗号化・復号化記憶システム3、クラウド記憶サービス装置28及びクラウド記憶装置29を含み、クラウド記憶装置29はデータ暗号化・復号化記憶システム3におけるデータ暗号化・復号化記憶装置9と通信可能に接続され、クラウド記憶サービス装置28はクラウドデータ分散システム及びクラウドデータ模擬記憶ビューを含み、クラウド記憶サービス装置28は、クラウドサービスデータ処理を完成する。前記クラウド記憶装置29は、クラウドメモリ装置を含み、データボトムレイヤーの記憶及び管理を完成する。キー制御センター1は、データ暗号化・復号化記憶システム3及びキーリモートストレージシステム2が作動するように制御し、具体的な暗号化方法及び復号化方法は図1に構成された暗号化方法及び復号化方法と同様である。クラウド記憶サービス装置28がデータをデータ暗号化・復号化記憶装置9に送信すると、図1に構成された暗号化方法及び復号化方法により、最終的には、暗号文データをクラウド記憶装置29に送信して、クラウドデータ暗号化安全記憶過程を完成する。
【0056】
実施例6図7を参照すると、図7は、キーリモートストレージに基盤する暗号化データ記憶システムが分散式データベース安全記憶システムに適用される基本的な構成及び原理のみを示しており、分散式データベース安全記憶を実現する。
【0057】
この分散式データベース安全記憶システムは、キー制御センター1、キーリモートストレージシステム2、分散式データ暗号化・復号化記憶システム30、分散式記憶システム31を含み、分散式データ暗号化・復号化記憶システム30は、データ暗号化・復号化記憶システム3及び分散式記憶サービスエンジン装置32を含み、分散式記憶サービス装置4は、第1の分散式記憶装置33、第2の分散式記憶装置34、第3の分散式記憶装置35を含み、分散式記憶サービスエンジン装置32はデータ暗号化・復号化記憶システム3におけるデータ暗号化・復号化装置と通信可能に接続され、分散式記憶システム31はデータ暗号化・復号化記憶システム3と通信可能に接続され、前記分散式記憶サービスエンジン装置32はデータベース解析、実行、最適化合併装置を含み、前記分散式記憶システム31には、1つ又は複数の分散式記憶装置が含まれており、キー制御センター1は、データ暗号化・復号化記憶システム3におけるデータ暗号化・復号化装置及びキーリモートストレージシステム2が作動するように制御し、具体的な暗号化方法及び復号化方法は図1に構成された暗号化方法及び復号化方法と同様である。分散式記憶サービスエンジン装置32がデータをデータ暗号化・復号化記憶システム3に送信すると、図1に構成された暗号化方法及び復号化方法により、最終的には、暗号文データを分散式記憶システム31における分散式記憶装置に送信して、分散式データ暗号化安全記憶過程を完成する。
【0058】
実施例7図8を参照すると、図8は、他のキーリモートストレージに基盤する暗号化データ記憶システムが分散式データベース安全記憶システムに適用される基本的な構成及び原理のみを示しており、分散式データベース安全記憶を実現する。
【0059】
この分散式データベース安全記憶システムは、キー制御センター1、キーリモートストレージシステム2、第1の分散式記憶システム36、第2の分散式記憶システム37を含み、第1の分散式記憶システム36は、第1のデータ暗号化・復号化記憶システム21を含み、第2の分散式記憶システム37は、第2のデータ暗号化・復号化記憶システム22を含み、第1のデータ暗号化・復号化記憶システム21及び第2のデータ暗号化・復号化記憶システム22における暗号文データ記憶装置は分散式記憶装置である。
【0060】
この分散式データベース安全記憶システムは、3つ又は複数の分散式記憶システムを含んでもよく、個々の分散式記憶システムがデータ記憶又は読み取りを行う時、具体的な暗号化方法及び復号化方法は図1に構成された暗号化方法及び復号化方法と同様である。
【0061】
実施例8図9を参照すると、図9は、キーリモートストレージシステム2及びデータ暗号化・復号化記憶システム3が3つのデータ記憶端において運用されることのみを示している。つまり、3つの記憶端間において互いに信頼できる場合に、記憶端同士の間においてデータ安全を保障する構造を構築する原理を示している。当該構造はキーリモートストレージ及びデータ暗号化・復号化記憶装置9とデータベースバックアップ装置との組み合わせを完成し、データの安全性及びデータベースバックアップの信頼性を大幅に向上させるとともに、量子キー配布装置の数を減少させ、配置のコストを節約している。具体的な構成は以下の通りである。
【0062】
図9は、3ポイントデータベース暗号化応用及びキーバックアップシステムを示しており、データベース応用システムは構造化データベース応用システム、又は、非構造化データベース応用システム、又は、クラウド記憶応用システムであってもよく、システムの構成には、キー制御センター1、A端記憶システム38、B端記憶システム39及びC端記憶システム40が含まれる。
【0063】
A端記憶システム38は、A量子キー配布装置、Aキーデータ暗号化・復号化記憶装置、Cキー記憶装置、A暗号文データ記憶装置、Bバックアップ暗号文データ記憶装置を含み、B端記憶システム39は、B量子キー配布装置、Bキーデータ暗号化・復号化記憶装置、Aキー記憶装置、B暗号文データ記憶装置及びCバックアップ暗号文データ記憶装置を含み、C端記憶システム40は、C量子キー配布装置、Cキーデータ暗号化・復号化記憶装置、Bキー記憶装置、C暗号文データ記憶装置及びAバックアップ暗号文データ記憶装置を含み、前記A端、B端、C端における量子キー配布装置同士は、いずれも量子通信により接続され、AB、AC、BCの任意の2ポイント間の量子キー配布を形成し、それらは互いに干渉又は影響しない。前記A端記憶システム38におけるBバックアップ暗号文データ記憶装置はB端記憶システム39におけるB暗号文データ記憶装置に通信により接続され、A端記憶システム38でのB暗号文データ記憶装置のバックアップを実現する。前記B端記憶システム39におけるCバックアップ暗号文データ記憶装置はC端記憶システム40におけるC暗号文データ記憶装置と通信可能に接続され、B端記憶システム39でのC暗号文データ記憶装置のバックアップを実現する。前記C端記憶システム40におけるAバックアップ暗号文データ記憶装置はA端記憶システム38におけるA暗号文データ記憶装置と通信可能に接続され、C端記憶システム40でのA暗号文データ記憶装置のバックアップを実現する。
【0064】
A端記憶システム38におけるAキーデータ暗号化・復号化記憶装置、B端記憶システム39におけるBキーデータ暗号化・復号化記憶装置、C端記憶システム40におけるCキーデータ暗号化・復号化記憶装置は、いずれも図1のデータ暗号化・復号化記憶装置9から派生されたものである。つまり、データ暗号化・復号化記憶装置9の元に、復号化キー記憶装置5を追加しており、且つ、通信により接続される。当該通信接続は安全エリア内に制限され、物理的に独立な記憶装置に配置されて、他の装備と物理的に離間されている。A端記憶システム38におけるAキーデータ暗号化・復号化記憶装置中のデータ暗号化・復号化記憶装置9は、Aデータを暗号化し、暗号化された暗号文データをA暗号文データ記憶装置に記憶し、A暗号文データ記憶装置中の暗号文データは、さらに、通信によりC端記憶システム40におけるAバックアップ暗号文データ記憶装置にバックアップされ、Aデータの復号化キーはB端記憶システム39におけるAキー記憶装置(つまり、図1のキーリモートストレージシステム2におけるキー記憶装置5)に記憶される。同様に、B端記憶システム39におけるBキーデータ暗号化・復号化記憶装置中のデータ暗号化・復号化記憶装置9はBデータを暗号化し、暗号化された暗号文データをB暗号文データ記憶装置に記憶し、B暗号文データ記憶装置中の暗号文データは、さらに、通信によりA端キーリモートストレージシステム2におけるBバックアップ暗号文データ記憶装置にバックアップされ、Bデータの復号化キーはC端記憶システム40におけるBキー記憶装置に記憶される。同様に、C端記憶システム40におけるCキーデータ暗号化・復号化記憶装置中のデータ暗号化・復号化記憶装置9は、データを暗号化し、暗号化された暗号文データをC暗号文データ記憶装置に記憶し、C暗号文データ記憶装置中の暗号文データは、さらに、通信によりB端記憶システム39におけるCバックアップ暗号文データ記憶装置にバックアップされ、Cデータの復号化キーは、A端記憶システム38におけるCキー記憶装置に記憶される。
【0065】
A端記憶システム38におけるCキー記憶装置、B端記憶システム39におけるAキー記憶装置、C端記憶システム40におけるBキー記憶装置は、いずれも図1のキーリモートストレージシステム2に属し、3ポイント間のキーリモートストレージ及びデータベース暗号化の方法を実現している。つまり、Aデータ復号化キーは、B端エリアに記憶され、Bデータ復号化キーはC端エリアに記憶され、Cデータ復号化キーはA端エリアに記憶される。この方法は、データベース記憶の安全性を向上させることに有利で、A、B、Cの3ポイントにおいて記憶安全システムを構築するコストを低減させることにも有利である。本実施例は、キー制御センター1により、総合的に、キー制御装置によりA量子キー配布装置、B量子キー配布装置及びC量子キー配布装置のそれぞれを作動するように制御する。
【0066】
図10を参照すると、キー制御センター1は、業務配布ユニット42、システム運転監視報告ユニット41、システム業務決裁ユニット44、システム安全策略制御ユニット43、通信ユニット45を含み、システム安全策略制御ユニット43は、予め安全策略を設けて置き、実時間的に管理制御決裁入力に応答して、決裁データを形成し、システム運転監視報告ユニット41及びシステム業務決裁ユニット44の業務処理請求に応答する。前記管理制御決裁入力は、管理人により関連規定や業務要求に応じて管理制御決裁を指示する。前記業務処理請求は、キーリモートストレージシステム2及びデータ暗号化・復号化記憶システム3が連動して運転することで生成され、システム状態報告、プロセス制御請求、処理結果報告等のメッセージが含まれる。
【0067】
以上の実施例から分かるように、本発明は安全で確実に暗号化・復号化キーとデータとをリモートで個別に記憶することを実現し、暗号化・復号化キーの伝送中において無条件に安全を保障でき、データ記憶の安全性を向上させる。これらは、従来のパスワード技術により実現できなかったことである。本発明は、構造性データベース、非構造性データベース、クラウド安全及び災難対備データ等を暗号化保護する技術に広く用いられて、データベース記憶、アクセス、クラウド記憶及び演算、災難対備及びデータ伝送中に存在するデータ安全問題を解決して、データ安全防護のレベルを向上させることができる。本発明のキー記憶端(キーリモートストレージシステム2)は、体積が小さく、電力消耗が小さく、高いレベルの安全防護を容易に行うことができ、その分、データ記憶の安全レベルを向上させる。本発明のキー記憶端(キーリモートストレージシステム2)及びデータ記憶端(データ暗号化・復号化記憶システム3)リモートストレージは、距離を任意的に制御でき、総合的にデータ記憶の安全性、災難対備防治の容易性を向上させ、且つ、データ安全防護のコストを低減させる。本発明の最適化された態様は、データ内容がアクセス又は変更された後、以前のキーを新規のキーに交換でき、データは再び暗号化記憶され、暗号化キーの更新メカニズムを提供し、データ記憶の安全性をさらに向上させる。
【0068】
本発明は、現在の量子暗号化ネットの暗号化伝送システムと比較して、以下の点で区別される。
【0069】
1.本発明において、データを保護するために用いられるキーはリモートに記憶されており、後者がネット伝送チャネルにおいてデータストリームを保護するために用いられるキーはローカルに記憶されている。
【0070】
2.本発明は、好ましくは、データ記憶分野に用いられ、特に、データ暗号化記憶のために安全で信頼できる暗号化キーを提供し、暗号文データアクセスのために安全で信頼できる復号化キーを提供する。そのうち、後者はデータ伝送分野に用いられ、データストリームのために伝送中に秘密が漏洩されることを防止するメカニズムを提供する。
【0071】
3.本発明は、好ましくは、データバックアップに用いられ、データ記憶端(データ暗号化・復号化記憶システム3)の暗号文データは任意的にバックアップでき、バックアップデータストリームの安全性は情報伝送チャネルと関係なく、ポイントツーポイントのデータストリームの高い安全性を保障できる。後者はデータの“最後の1キロ”の伝送安全を保障し難く、ポイントツーポイントのデータストリームの安全性は十分ではない。
【0072】
本発明の保護範囲は、以上の実施の形態を含むが、それらに限られない。本発明の保護範囲は、請求の範囲により示され、本技術に対して施された当業者が容易に想到できる置き換え、変形、及び改善は、全てが本発明の保護範囲に含まれる。