本發明公開了一種基于密鑰異地存儲的加密數據存儲系統及方法，包括密鑰控制中心、密鑰異地存儲系統和數據加解密存儲系統，密鑰異地存儲系統包括第一密鑰控制裝置、密鑰存儲裝置和第一量子密鑰分發裝置，數據加解密存儲系統包括第二密鑰控制裝置、數據加解密存儲裝置和第二量子密鑰分發裝置，第一量子密鑰分發裝置與第二量子密鑰分發裝置量子通信連接，第一密鑰控制裝置分別與密鑰存儲裝置和第一量子密鑰分發裝置通信連接，第二密鑰控制裝置分別與數據加解密存儲裝置和第二量子密鑰分發裝置通信連接；本發明可以安全可靠地將密鑰異地存儲系統和數據加解密存儲系統設為任意距離分離，從而實現加解密密鑰與數據異地分開安全存儲。

技術領域

本發明涉及信息傳輸和存儲及信息安全領域，具體涉及一種基于密鑰異地存儲的加密數據存儲系統及方法。

背景技術

信息是社會發展的重要戰略資源，上至國家安全，下至個人隱私保護的各個層面無不與信息安全有關。其中，在數字技術的推動下，信息轉化成數據的進行存儲和流動傳輸是信息流轉和使用過程中至關重要的兩個環節，在這兩個環節中，信息數據存在被竊聽和竊取的安全威脅，因此如何保護信息數據安全是永恒重要的話題。

數據存儲領域中，隨著當前數據量的積累和數據應用的大幅度拓展，除個人電腦、企事業單位服務器和存儲中心外，各地大數據存儲和計算中心，云存儲和云計算中心的數量和規模上都呈現出爆發式增長態勢。這些中心的出現，使數據服務成本大幅度降低、應用起來也更加方便快捷，推動數據存儲走入了大眾日常生活。目前，數據存儲有兩種方式，即明文存儲和加密存儲兩種，當前應用最多的數據存儲方式是明文存儲，這種存儲方式，方便快捷，但數據是公開的，泄露和被盜的問題與日劇增，已經成為一個嚴重的社會問題，特別是一些重要的數據，風險極大，一旦泄露不僅則損失巨大。甚至是不可彌補的，例如國家地理測繪信息等；另一種是對數據存儲嚴格的安全管控技術來降低安全風險，提高數據安全性，目前采用兩種技術，一種是加固系統的安全防護技術，另一種即是采用將數據加密成密文存儲加密的辦法技術；數據加密存儲，即使存儲的數據內容被盜，只要密鑰未被竊取，竊取者還是無法讀懂那些密文，從而信息本身還是安全的，然而這兩種技術，只是提高了入侵系統的難度，增加了破解數據的難度，特別在復雜、較大的數據存儲系統中，或在有漏洞的存儲系統中，數據依然有被盜取和破解的風險，且在數據的備份、災備、多活等應用方面帶來不便，數據的安全性依然沒有得到很好的保障。

當前，為了合法用戶的正常使用，加密存儲數據的加密和解密密鑰不得不存儲在數據庫內，至少是同一個安全區內，這樣的密鑰存儲方法能防止密鑰傳輸過程中被竊，從而防止信息的泄露。但是，由于數據存儲器和數據庫必須與外界用戶終端相連，原則上，外連的任何終端都可以利用木馬等竊密手段，竊取此密碼，從而給數據安全帶來重大風險。

原則上，只有將加解密密鑰與密文數據分開存儲，并把密鑰存儲在一個嚴格保證安全的地方，數據庫的安全才能達到最好的保障。但是，當前的數據庫加密都只采取密碼手段，密碼技術有兩類，一類基于對稱密鑰，其安全傳輸分配問題一直無法解決，另一類常用的非對稱密碼技術基于數學難題，這種密鑰體系原則上可以公開分配密鑰，但其安全性沒有得到證明，且面臨著超級電子計算機和量子計算機的攻擊風險，尤其無法抗拒量子計算機的攻擊。

發明內容

本發明所要解決的技術問題是針對上述現有技術的不足提供一種基于密鑰異地存儲的加密數據存儲系統及方法，本基于密鑰異地存儲的加密數據存儲系統及方法解決了現有技術一直無法解決如何對加密密鑰與密文數據進行安全分離存儲的問題，本發明可以解決結構化和非結構化的數據存儲器、數據庫存儲、數據備份、云存儲和云計算過程中的密鑰安全異地存儲和密文數據加解密存儲問題，由于加密密鑰量可以比存儲數據小很多倍，異地存儲和管理密鑰庫(密鑰存儲裝置)比嚴格管理數據難度要小很多，因此能有效地解決各類結構化和非結構化的數據存儲器和數據庫、云存儲和云計算的存儲和計算過程中的安全問題。

為實現上述技術目的，本發明采取的技術方案為：