面向云存儲的量子密鑰管理系統

張建國

（1安徽科大擎天科技有限公司 安徽 合肥 230000）

（2安徽建筑大學電子信息工程學院 安徽 合肥 230601）

0 引言

隨著我國不斷向全面建成法治國家的目標邁進，集實時音視頻攝錄、定位、存儲功能于一身的執法記錄儀廣泛應用于公檢法等部門。執法者隨身攜帶的記錄儀，能夠對執法過程中進行動態、靜態的現場情況數字化記錄，有力保障了執法的公開性和透明性[1]。但是目前大多數的執法記錄儀只是將采集的各種數據進行記錄并在本地存儲。這樣分布零散的本地存儲，不僅大大增加了存儲和管理的成本，也使得執法機關難以對數據統合并且進行有效的分析和處理[2-3]。此外，將數據存儲在本地，其安全性和容災性非常差，有可能因為本地的存儲故障而導致關鍵的執法依據被損毀。

云存儲和云計算作為一種網絡應用的新型模式，能夠整合互聯網中分布的資源并且對數據進行存儲和計算，具有很強大的數據管理和運算能力[4]。相較于傳統的存儲方式，云存儲技術對數據儲存的本地硬件要求更低、存儲容量更大、保護數據安全的容災機制更健全，并且能夠利用互聯網實現數據的遠距離共享，以此來提升執法數據的處理效率效果[5]。因此，將執法記錄儀采集的數據上傳到云端進行統一管理是目前大勢所趨。

為保障云端數據的安全，傳統的安全廠商一般提供加密技術。但是隨著計算機技術的飛速發展，以計算復雜度為依托的傳統加密技術終究會因為算力的提高而變得不再可靠[6]。因此，基于上述原因，我們提出了以量子加密為依托的面向云端數據存儲的量子密鑰管理系統。該系統涉及量子加密、量子密鑰分發、密鑰更新、用戶身份認證、訪問控制等過程。通過對數據傳輸信道采用量子加密，對于云端密鑰管理系統采用量子密鑰更新管理訪問權限等處理方法來建立一套更加安全的密鑰管理機制，從而實現云端數據存儲的機密性和可靠性，提高用戶對于云端存儲數據的管理支配能為，保障云端公共安全數據庫的可靠性和安全性[7-8]。

1 密碼學基礎

1.1 傳統密碼學

1.1.1 對稱加密算法

傳統的加密通信過程如下：（1）發送方將要發送的明文通過加密算法和密鑰編制成密文；（2）通過數據傳輸通道，發送方將加密好的密文發送給接收方；（3）接收方用解密算法和密鑰把密文翻譯還原成明文。

因此，在加密通信過程中，“密鑰”是非常重要的。密鑰需要傳輸給接收方，但是在傳輸過程會面臨密鑰泄露的問題。

1.1.2 非對稱加密算法

非對稱加密是在對稱加密的基礎上提出的，有效地解決了對稱加密的問題。非對稱加密是利用一些函數的數學特性，例如有些函數根據其參數計算函數值是比較容易的，但是根據函數值很難逆推其參數。非對稱加密一般用公鑰進行加密，用私鑰進行解密，為了保證通信數據的安全，在通信時只傳輸公鑰。然而，非對稱加密算法是建立在一個理想的情況下的，即加密函數的反函數很難獲得[9]。但是，隨著計算機技術的不斷發展和算力的提高，用更快的計算速度快速暴力破解將會直接威脅到這種加密技術。從長遠來看，隨著計算機算力的不斷提高，這種單純依靠計算復雜度的加密技術會逐漸變得不再安全。

1.2 量子密碼學

量子加密是一個新的加密思路。它是一種不可竊聽、不可破譯，是一種理論上無條件安全的通信加密方式。量子加密通信主要分為兩步：（1）通過量子信道進行量子密鑰分發。通信雙方通過量子密鑰分發獲取一對完全隨機且只有通信雙方知道的量子密鑰，在這一步中，只產生和分發密鑰。（2）通過傳統信道進行密文傳遞。利用獲得的量子密鑰，發送方把信息進行加密變成一段密文，接收方將收到的密文解密，進而實現通信的完全保密[10]。

由此可見，量子加密保護的就是傳統加密通信中的“密鑰”。因此，在加密過程中，對密鑰的管理是整個云存儲加密的核心。

1.3 量子密鑰分發

接下來介紹一下量子加密密鑰的分發過程。

量子是物理界最小的基本單位，比如光的最小單位“光量子”，就是一種量子。在量子通信中，使用光子的偏振態（也可以是光子的相位信息）傳遞信息。光子的偏振見圖1。

單光子被調制到指定偏振角度，接收端通過一個偏振分波器將光子進行分束。然后在D1和D2處放置兩個探測器。

其中：D1檢測到單光子的概率為：

D2檢測到單光子的概率為:

接收端：如果偏振基和發送端相同，則能準確測量；如果不同，會隨機分配到某一個接收器。量子態邏輯見表3。

表3 量子態邏輯

下面結合一個具體的過程來介紹，量子通信偏振態過程，見圖3。

（1）Alice隨機生成密鑰。

（2）Alice隨機選擇偏振基。

（3）Alice根據偏振基調制單光子信號，見圖2。

（4）Bob隨機選擇的偏振基，用于接收。

（5）如表3所示，Bob根據單光子偏振態測量轉換出的密鑰比特，可以看出當Alice和Bob選同一偏振基時，可以測的正確的密鑰比特；當兩人選擇不同偏振基時，會測出不正確的密鑰比特。

（6）Bob通過普通信道將自己選擇的基發送給Alice。

（7）Alice將正確的基選擇的子集通過普通信道送給Bob。

（8）Alice和Bob把相同基選擇對應的密鑰，選擇一段公布（y所示）。如果在出現的序列中出現了不同，說明有人在竊聽，則這次通信作廢。如果沒有不同，則相同基選擇對應密鑰未公布的部分作為最終的密鑰bit。

在上述過程中，進行了兩次公布，第1次公布的是雙方隨機選擇的基組的情況，基組一樣的就認為是要保留的；第2次公布是保留下來的數據的一部分；然后進行數據公布，如果發現公布出來的那一部分雙方有很大差異，就說明有人竊聽，由此量子加密的安全性得以保障[11-12]。

2 量子密鑰管理系統

2.1 密鑰管理

密鑰管理是指對密鑰從生成到撤銷的整個過程進行的管理。包括整個云環境的系統初始化、數據文件傳輸到云端需要進行加密時密鑰的產生、存儲和備份，以及當密鑰過期后密鑰的恢復，當數據權限變更后密鑰的更新和數據刪除后密鑰的銷毀等過程，共同組成了密鑰管理的整個流程[13-14]，見圖4。

在密鑰管理的整個流程中，主要有密鑰生成和分配、存儲、備份和恢復、密鑰更新、撤銷等具體過程。

其中，關于密鑰的生成，為了保證生成密鑰的安全性，本文的密鑰都是基于屬性基（身份識別、生物信息）生成密鑰，由于每個用戶的屬性基都不同，所以其密鑰算法雖然公開，但是由于系統端隱藏用戶信息，因此攻擊者因缺乏必要條件而無法破解生成的密鑰。

密鑰存儲時，在本系統中所產生的過程密鑰和根密鑰都統一存儲在私有云的量子密鑰管理器當中，通過量子加密信道與公有云連接。既方便密鑰的分發管理，又通過量子加密的手段保護了存儲的密鑰的安全性[15]。

當用戶的權限發生變化時，需要對相應的授權密鑰及時更新。由于量子密鑰的生成開銷較大，為了避免重復生成量子密鑰，本文通過計算該文件存儲的根密鑰派生矩陣來生成新的權限下發密鑰，以此來達到降低密鑰開銷的目的。

2.2 系統組成

2.2.1 方案設計架構

本文的方案設計架構見圖5，整個系統主要有4個部分。

（1）用戶端：即云存儲的用戶，所有云端存儲的數據都是先由用戶進行上傳。用戶端在注冊的時候會根據本地屬性生成本地屬性基，進而進行身份驗證。

（2）公有云：公有云用來具體的存儲用戶的數據和文件。即公有云用來存儲加密的數據，并且提供密文搜索服務。

（3）量子密鑰管理器：一般部署在私有云上，由弱相干態光源生成量子密鑰，并且負責存儲和分發量子密鑰。

（4）私有云：通過驗證用戶的屬性基確定用戶身份，并且在文件加密和搜索期間分擔用戶的計算開銷。例如計算索引表、計算Hash函數用以判斷文件完整性、對數據文件進行加密解密等[16]。

本方案所涉及的應用場景見圖5，用戶端將數據流通過私有云加密后存儲在公有云中。當用戶將數據上傳并存儲到公有云端時，數據的加解密過程如下。

Step 1：在身份和權限認證通過后，用戶將明文數據發送到私有云。

Step 2：量子密鑰管理器生成數據加密密鑰，私有云生成相應的文件索引，并將已加密的數據存儲到公有云。

Step 3：當用戶請求云端數據時，首先將數據請求上傳到私有云。

Step 4：私有云接到數據請求后，根據量子密鑰管理器中存儲的文件根密鑰信息計算索引表后，向公有云轉發數據請求。

Step 5：公共云根據上傳的索引表找到所存儲的數據后，將加密的數據下發給私有云。

Step 6：私有云用量子密鑰管理器保存的密鑰計算出解密密鑰并解密數據后，將明文數據發送給用戶。

2.2.2 密鑰設計

為了保證云端數據的安全，同時降低數據管理的開銷，本文提出了以下幾種密鑰，用于管理和加密數據。

（1）根密鑰Mk：在量子密鑰管理器中產生，在新用戶注冊時，由系統自動隨即采集該用戶屬性基信息，并且通過計算得到一個用于該用戶后續整個密鑰管理周期的基礎密鑰。當用戶需要數據加密時，由根密鑰結合派生算法來計算密鑰加密密鑰；當用戶注銷時，徹底刪除此密鑰。

（2）用戶密鑰Uk：由系統分配給用戶的專屬密鑰，用于計算該用戶的權限信息，當用戶權限變更時需要更新該密鑰。

（3）數據加密密鑰Dk：用于對上傳的明文數據進行加密，由根密鑰Mk派生而來。

（4）密鑰加密密鑰：該密鑰是基于SM4算法的對稱密鑰，保存在量子密鑰管理器中，當進行數據加解密時，由其提供密鑰索引。

2.3 密鑰管理方案設計

一般來說，將數據存儲在云端時，先計算要上傳的文件的大小，再將大的文件分成幾個部分，分別上傳存儲。為了保證數據安全，同一個文件的每個部分使用不同的密鑰進行加密。為了保證文件的連貫性，這幾個部分還要建立安全索引。因此，當要存儲的文件較大時，直接導致密鑰開銷幾何倍數增長。此外，為了提高系統的安全性，本文所用的密鑰大多數都是量子密鑰，而量子密鑰的生成成本一般密鑰更大。因此，為了重復大量的生成數據加解密量子密鑰，本文利用密鑰派生的算法，根據根密鑰和用戶屬性基動態計算出需要的加解密密鑰。

2.3.1 密鑰的分發過程

在本系統中，數據的加解密都是在私有云上完成，具體分為數據上傳時的加密過程和數據下載時的解密過程，見圖6。

數據加密上傳時，密鑰分發的步驟如下。

（1）用戶A請求上傳數據，私有云端量子密鑰管理器根據用戶A注冊時生成的根密鑰分別將公鑰KUKMS和KUA公開并保存對應的私鑰。

（2）客戶端將密鑰請求以及明文密碼箱發送到私有云中的量子密鑰管理器。

（3）量子密鑰管理器基于密碼箱配置生成量子密鑰并通過量子信道發送到私有云客戶端。

（4）客戶端則使用量子密鑰管理器派生計算的量子密鑰加密相應的數據文件，將加密后的密碼箱和密文數據存儲到公有云。

數據下載時，密鑰分發步驟如下。

（1）用戶請求下載數據時，私有云在接收到用戶請求后向量子密鑰管理器申請對應的數據解密量子密鑰。

（2）量子密鑰管理器在驗證通過用戶的身份信息（用戶屬性基）后，向公有云請求對應密文數據的加密密碼箱，并使用保存在量子密鑰管理器的加密私鑰解密密碼箱。

（3）量子密鑰管理器通過判斷密碼箱中的訪問權限列表來控制用戶的訪問權限。如果訪問權限不匹配，則拒絕用戶的數據申請。訪問權限匹配后，則量子密鑰管理器將派生計算相應的解密密鑰，并發送到私有云，進行云端數據的解密操作。

（4）私有云收到密鑰后解密數據密文，將明文數據文件通過量子信道發送給用戶。

2.3.2 密鑰派生計算

本文的密鑰分發方案中，數據加密密鑰是由用戶的根密鑰矩陣派生計算而來，密鑰矩陣中的每個值都是由系統根據用戶的屬性基進行采樣得到，具有很高的安全性。

本方案的所有數據加密葉子節點的密鑰值都是通過根密鑰Uk計算得到，密鑰矩陣中第x行第y列的密鑰值由以下公式計算得出：

在式（3）中，Uk為根密鑰，H()表示用戶屬性基的采樣算法，‖是串聯運算符號。密鑰矩陣的行數M和列數N作為密碼箱的配置，其形式如下：

首先根據密碼箱的配置，可以知道派生矩陣的大小和形狀，再根據式（4）即可知道矩陣具體數值，最后由派生矩陣進行加解密密鑰的計算。以此生成的每個密鑰直接用于數據加密，每個計算節點為不同文件塊派生加密密鑰。這種基于矩陣形式的派生密鑰，把密鑰樹的深度降為兩層，當加密密鑰需求量大時，只需存儲和管理根密鑰以及派生配置矩陣就可以高效生成為大量數據加密的加密密鑰，以此達到減輕密鑰分發開銷的目的。

2.4 密鑰更新設計

在云環境下，為了防止密鑰長時間不更換而被盜竊，通常同一個用戶的權限也是經常變更的。為了防止由于權限變更產生的系統安全漏洞，當用戶權限變更時，其相應的密鑰也要及時更新。為了降低密鑰更新的開銷，本文設計一個基于CRT的密鑰更新方案，以達到降低密鑰更新成本的目的。

給定s個素數n1，n2，…，ns和一個秘密值cr，E為加密函數，D為解密函數，CRT通過使用用戶權限認證密鑰k1，k2，…，ks生成s個隨機值EK1（cr），EK2（cr），…，EKs（cr）。然后，CRT解以下同余方程組的解進而求出數據所有者已經計算好的密碼值xr。

系統在計算上述方程時，主要步驟如下：

（1）先求M=n1n2…ns=nimi；其中，Mi=ni，（i=1,2，…s）。

（2）由Mi ′Mi ≡1（modni）（i=1,2，…s）求出Mi ′。

（3）計算x=（∑sri=1EKi（cr）·MI）modM，（i=1,2，…s）。

通過CRT的解得到同余方程組的解后，將計算出的xr和數據所有者在加密數據時計算的xr做對比。如果用戶被授權，即計算的xr的值和所有者在加密時數據的xr的值相同，則權限驗證通過，服務器將加密的數據轉發給用戶。采用這種方法，可以經過計算直接發放密鑰，不需要來回認證，當用戶量較大的時候，能夠大大減輕授權密鑰開銷。

基于上述的CRT權限計算方法，為了科學和安全的管理用戶的權限授予和業務申請，本文的量子密鑰更新管理的流程見圖7。

首先，當用戶進行云端業務申請時，云端會對該用戶的身份查驗。如果在私有云獲取到的用戶的身份屬性和用戶本身的身份屬性匹配，則開始驗證用戶的權限。否則就查看保存在量子密鑰管理器的授權密鑰是否被竊取。根據量子的不可復制性，當量子密鑰發生變化時，則意味著密鑰可能被竊取，需要重新頒發新的授權密鑰。

當用戶通過身份驗證后，數據所有者在私有云端生成身份驗證密鑰并且計算其秘密值，然后并將該值發送給云端。由云端根據用數據所有者上傳的資料對授權密鑰進行更新，然后再下發給業務申請者，實現業務授權。

最后，得到授權的用戶向公有云發送業務請求。公有云收到查詢請求時，在數據庫中查找到保存的加密數據，并將該數據和加密數據的密碼配置箱一同下發給數據請求者的私有云端，進行數據解密。

3 安全性分析

本文提出的量子密鑰管理系統在傳統的密鑰管理的基礎上引入了目前新興的量子加密技術。整個系統的數據安全主要由兩部分共同保證：首先是由量子信道進行明文傳輸，保證客戶端和私有云之間數據傳輸的絕對安全；其次是設置在私有云中的量子密鑰管理器來負責管理整個系統的密鑰生命周期[17]。

3.1 備份容災機制

量子密鑰管理器在生成一個密鑰時會將其索引值導出到多個基類Ukey中，當根密鑰丟失或者損壞時，可以根據備份在多個Ukey中的秘密值重新合成原根密鑰，有效保證了系統容災性能，提高整個系統的安全性和可靠性。

3.2 傳輸信道安全

用戶端和私有云之間以量子信道進行密鑰的通信。首先建立量子信道，保護數據傳輸過程中不被非法竊取或者篡改；然后在量子信道中進行用戶與私有云之間的數據傳輸。鑒于量子通信的高度保密性和量子信道的可靠性，大大減輕了數據在傳輸過程中被截取和篡改的風險。

3.3 身份認證

在私有云端配置了基于用戶的屬性基過濾機制，私有云端只接受用戶注冊時屬性基列表中有記錄的主機提出的連接或者數據請求，未在注冊表的名單上的非法主機的所有請求都會被駁回，以此來保證系統不被匿名攻擊者偽裝成用戶端進行攻擊。

3.4 會話過程中的密鑰協商

量子密鑰在每次數據通道建立時通過協商機制由量子密鑰管理器生成，并在數據通道斷開后進行銷毀，系統只保存建立數據鏈路的根密鑰。在會話成功建立后，系統會根據根密鑰重新計算加密密鑰，并配合量子加密對所有后續傳輸的報文進行加密，以此保證了系統不會因數據加解密密鑰丟失而造成通信數據泄露的情況。

本文提出的解決方案所涉及的數據都是先在私有云加密好后存儲在公共云中。公有云中的數據即使被竊取，黑客也只能獲取密文數據，無法解析這些數據。要想進一步解密數據，還需要獲取到該用戶的根密鑰和全部的屬性基信息。這對于攻擊者來講是非常困難的。因此可以利用完善的密鑰更新系統及時更新密鑰，來保證系統和數據的安全性[18]。

4 展望與總結

4.1 總結

近年來，隨著國家積極倡導法治中國建設，執法記錄儀越來越普遍地應用于公檢法領域，有效地保證了執法過程的透明性。將警用執法記錄儀數據上傳到云端，既方便了數據的分析和處理，提升追溯問題時的效率；又可以對執法的關鍵證據進行保存。為了保障云端數據安全，本文結合了量子加密技術和云存儲密鑰管理技術進行研究。具體內容如下。

（1）本文分析了現有方案中密鑰存儲管理的不足，提出一個基于量子密鑰派生計算的解決方案。該方案不用直接存儲量子加密密鑰，而是采用密鑰矩陣進行派生計算，由此可以不需要保存管理每個數據文件的加密密鑰，大大節省了量子密鑰的派發開銷。

（2）設計一種基于CRT的量子密鑰更新方案，可以更加安全和高效地管理量子密鑰的分發和更新。如果用戶權限變更，則由云端對用戶身份進行重新認證，認證通過后更新用戶的授權密鑰。以此來保障用戶權限的安全授予，進而確保用戶權限不會被非法竊用，保護云端數據的安全。

4.2 研究展望

云環境下存儲數據的安全性管理涉及多方面，密鑰的分發、存儲和更新只是其中的一部分。要確保云環境下數據安全，要深入研究的地方還很多。目前，隨著許多專家學者的不斷研究，密鑰管理技術越來越被廣泛應用。本文創新性地將目前新興的量子通信技術應用到云端密鑰管理系統，有效保障了云端量子密鑰的安全性能。但是隨著研究的深入，量子密鑰的制備成本較高是一個無法回避的問題。因為在現實環境下，可用的標準單光子源幾乎是不存在的。所以我們通常使用弱相干光進行替代。雖然現在通過法拉第-邁克爾遜干涉系統能夠制備出有效的量子密鑰，但是其密鑰的生成成本還是高于普通密鑰。因此，如何有效提高量子密鑰的利用率將是今后研究的重點。