专利 基于密钥屏蔽的数据存储安全管理方法

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202210799934.0 (22)申请日 2022.07.06 (71)申请人中国人民解放军陆军军医大学第一附属医院地址 400038 重庆市沙坪坝区高滩岩正街 30号 (72)发明人蒙国学　袁驰　程坤　贾锋　左锋　 (74)专利代理机构重庆青飞知识产权代理有限公司 50283 专利代理师彭启龙 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) G06F 17/16(2006.01) G06F 17/12(2006.01) (54)发明名称基于密钥屏蔽的数据存储安全管理方法 (57)摘要本发明涉及一种基于密钥屏蔽的数据存储安全管理方法，属于信息技术领域，包括以下步骤： S1、密钥服务器收集量子安全密码系统的成员公钥，然后密钥服务器生成成员的秘密向量； S2、密钥服务器发送使用成员公钥加密的成员秘密向量；每个成员使用其私钥解密接收到的私密消息，以提取其秘密向量； S3、密钥服务器生成 TEK并求解线性系统，以广播消息的形式发送线性系统解； S4、每个成员都将通过使用自己的秘密向量打开安全锁从而获得流量加密密钥TEK。本方法能够实现数据存储的安全和提高存储数据本身的安全性，有效提高数据的读写性能，并且使得数据安全操作的性能比当前的标准实现有所提高。权利要求书2页说明书4页附图1页 CN 115130125 A 2022.09.30 CN 115130125 A 1.一种基于密钥屏蔽的数据存储安全管理方法，其特征在于：发送方与所有有效接收方共享一个加密密钥，称为流量加密密钥TEK，一旦收到由TEK加密的加密邮件，只有持有 TEK的有效收件人才能解密收到的邮件；该方法具体包括以下步骤： S1、密钥服务器收集量子安全密码系统的成员公钥[pk1…pkn]，然后密钥服务器生成成员的秘密向量[A1…An]； S2、密钥服务器发送使用成员公钥加密的成员秘密向量每个成员使用其私钥(ski)解密接收到的私密消息，以提取其秘密向量(Ai)； S3、密钥服务器生成TEK并求解线性系统；密钥服务器以广播消息的形式发送线性系统解[x1…xn]； S4、每个成员都将通过使用自己的秘密向量打开安全锁从而获得流量加密密钥TEK。 2.根据权利要求1所述的一种基于密钥屏蔽的数据存储安全管理方法，其特征在于：在步骤S2中，秘密向量[A1…An]由q个非零随机数组成，每一个都是AL位， AL表示密钥屏蔽构建块(Ai)所需位强度的安全参数；秘密向量比特长度为AL＝AL×q，其中AL大于共享密钥TEKL的长度；每个元素ai,j至少为aL位长度并满足如下式子：为了使密钥屏蔽方案免受暴力攻击，需要确保矩阵A带宽大于1，确保在TEK上发起暴力攻击比在Ai上更容易。 3.根据权利要求2所述的一种基于密钥屏蔽的数据存储安全管理方法，其特征在于：在步骤S3中，通过以下方程显示线性系统A ×X＝B作为密钥的分布方案： X表示将公开共享的安全锁， B是共享TEK的向量， A是秘密矩阵，其中每行Ai＝[Ai， 1······· Ai， n]分配给一个成员，一旦成员拥有自己的秘密向量Ai，密钥中心就会生成TEK并解决系统问题；密钥中心求解线性系统，并将解[x1…xn]发送给每个人。每个成员将使用其秘密向量(Ai)获得共享密钥(Ai×X＝TEK)。 4.根据权利要求3所述的一种基于密钥屏蔽的数据存储安全管理方法，其特征在于：在本方法中，密钥屏蔽确保新成员不应学习以前使用的TEK密钥和秘密向量A，一旦成员加入，重新设置密钥的过程将开始刷新旧TEK，并为受影响的成员集重新生成新的秘密向量，因此，加入的成员不知道旧TEK和秘密向量Ai。 5.根据权利要求4所述的一种基于密钥屏蔽的数据存储安全管理方法，其特征在于：线性方程组的解的数量有三种可能：无解、唯一解或者无穷多个解，只有具有唯一解的线性系统有用，因此系统必须满足几个条件，以确保独特的解决方案；秘密系数矩阵A应为：平方矩阵、线性无关、可逆、非奇异且行列式不为零。 6.根据权利要求5所述的一种基于密钥屏蔽的数据存储安全管理方法，其特征在于：在步骤S4中，每个成员使用其秘密向量来获得TEK，具体通过以下表达式：权　利　要　求　书 1/2 页 2 CN 115130125 A 2只有知道Ai才能提取TEK，一旦识别出受损成员，密钥屏蔽就会对秘密向量以及共享密钥TEK进行更改以确保前向保密性。权　利　要　求　书 2/2 页 3 CN 115130125 A 3

专利 基于密钥屏蔽的数据存储安全管理方法

专利基于密钥屏蔽的数据存储安全管理方法