技術(shù)領(lǐng)域

本發(fā)明屬于計(jì)算機(jī)存儲(chǔ)安全領(lǐng)域，具體涉及一種用于密文存儲(chǔ)的分布式密鑰管理方法。該方法將有效的管理分布式環(huán)境下的各個(gè)加密存儲(chǔ)設(shè)備的密鑰，它不僅具有易擴(kuò)展性、可用性、密鑰的獨(dú)立性等特點(diǎn)，而且能達(dá)到向前和向后的安全性及訪問控制的效果。

背景技術(shù)

傳統(tǒng)的數(shù)據(jù)存儲(chǔ)一般采取文件形式的存儲(chǔ)，當(dāng)文件需要加密處理時(shí)，不同的文件加密，需要的密鑰不同。那么當(dāng)大量的文件需要加密時(shí)，會(huì)產(chǎn)生大量的密鑰，這樣會(huì)對密鑰管理造成巨大的困難。

所以我們必須采取另外的一種加密存儲(chǔ)方式，現(xiàn)有的虛擬磁盤技術(shù)能夠很好的解決這一點(diǎn)。通過將一塊內(nèi)存虛擬成磁盤，然后對這個(gè)磁盤的所有寫入操作都通過某特定的算法和密鑰進(jìn)行加密，同時(shí)對這個(gè)磁盤的讀取操作使用同樣的算法和密鑰進(jìn)行解密，那么在該程序運(yùn)行時(shí)，操作系統(tǒng)和用戶自己都可以看到正確的數(shù)據(jù)，而在這個(gè)程序不工作時(shí)，無論是誰去企圖讀這個(gè)磁盤都只能看到被加密的數(shù)據(jù)。這種特點(diǎn)使得這種磁盤可以存放各種不同的機(jī)密文件，而這些文件的加密算法和密鑰都是相同的，極大的減輕了密鑰管理的負(fù)擔(dān)。

現(xiàn)在，虛擬磁盤的技術(shù)已經(jīng)十分成熟，在單機(jī)環(huán)境下，已有廣泛的運(yùn)用。但是我們想要將這種技術(shù)得到最大化的運(yùn)用，就必須和分布式發(fā)生聯(lián)系。也就是說，我們將虛擬磁盤技術(shù)運(yùn)用到分布式環(huán)境中，以此來為用戶提供更安全可靠的服務(wù)。用戶向服務(wù)器發(fā)出請求，請求存儲(chǔ)自己需要安全存儲(chǔ)的數(shù)據(jù)文件。服務(wù)器得到請求后，通過計(jì)算分配用戶的密鑰以及存儲(chǔ)分區(qū)，然后將用戶文件分配存儲(chǔ)到后端存儲(chǔ)器的虛擬盤上的某個(gè)分區(qū)上。同時(shí)，服務(wù)器記錄下用戶文件存儲(chǔ)的元數(shù)據(jù)信息、加密密鑰、路徑等等信息，這樣用戶可以隨時(shí)讀取自己的文件。

分布式環(huán)境下的文件加密存儲(chǔ)就必須考慮到網(wǎng)絡(luò)密鑰管理。因?yàn)槊總€(gè)存儲(chǔ)節(jié)點(diǎn)的加密密鑰是不一樣的，同時(shí)還要考慮到新的存儲(chǔ)節(jié)點(diǎn)的加入、舊的存儲(chǔ)節(jié)點(diǎn)的退出等情形下密鑰的變動(dòng)處理。另外，密鑰更新也是需要解決的問題。所以，該分布式密鑰管理方法采用動(dòng)態(tài)分組式的密鑰管理方式。該密鑰管理方案容易擴(kuò)展，分組后每個(gè)組密鑰只影響它所在的分組，有效避免了1-affects-n問題。大部分的加密采用對稱加密算法，資源消耗少。

密鑰管理方法的理論背景是數(shù)論中的中國剩余定理。中國剩余定理的形式描述為：若有一定數(shù)量的兩兩互質(zhì)的正整數(shù)u₁，u₂，...，u_m，則對于任意整數(shù)k₁，k₂，...，k_m，聯(lián)立一次同余方程組

X≡k₁(mod?u₁)

X≡k_n(mod?u_n)

對模u₁，u₂，...，u_m有唯一解。這個(gè)唯一解，可以根據(jù)公式得到：

X=Σi=1mkiMiMi′(modM)]]>

其中，M＝u₁...u_m，M_i＝M/u_i，M_iM_i’互為模u_i的乘法逆元素。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種用于密文存儲(chǔ)的分布式密鑰管理方法，該方法可以實(shí)現(xiàn)對分布式配置的密文數(shù)據(jù)的密鑰信息的管理和保護(hù)，既具有密鑰高安全性管理的特點(diǎn)，又具有高網(wǎng)絡(luò)數(shù)據(jù)訪問效率、低系統(tǒng)性能影響的優(yōu)點(diǎn)。

本發(fā)明提供的一種用于密文存儲(chǔ)的分布式密鑰管理方法，包括密鑰分發(fā)過程和密鑰更新過程；

所述密鑰分發(fā)過程包括下述步驟(A1)～(A8)：