CN109861813B - 基于非对称密钥池的抗量子计算https通信方法和系统 - Google Patents
基于非对称密钥池的抗量子计算https通信方法和系统 Download PDFInfo
- Publication number
- CN109861813B CN109861813B CN201910027028.7A CN201910027028A CN109861813B CN 109861813 B CN109861813 B CN 109861813B CN 201910027028 A CN201910027028 A CN 201910027028A CN 109861813 B CN109861813 B CN 109861813B
- Authority
- CN
- China
- Prior art keywords
- key
- digital certificate
- certificate
- public key
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于非对称密钥池的抗量子计算HTTPS通信方法和系统,方法包括:在服务器端进行的如下步骤:获取证书授权中心颁发的数字证书,并向客户端发送该数字证书,所述数字证书中记载有服务器的公钥指针随机数;在客户端进行的如下步骤:获取证书授权中心颁发的与所述数字证书相匹配的根数字证书;依据所述根数字证书对服务器发送的数字证书进行验证;根据验证通过的数字证书中记载的服务器的公钥指针随机数,在所述非对称密钥池中获取服务器公钥;利用服务器公钥对随机生成的共享密钥进行加密,向服务器发送加密结果以进行密钥协商;与服务器利用所述共享密钥进行HTTPS通信。本发明提高通信的安全性,防止被量子计算机破解。
Description
技术领域
本发明涉及安全通信领域,尤其是一种基于非对称密钥池的抗量子计算HTTPS通信方法和系统。
背景技术
HTTPS是指安全套接字层超文本传输协议,用于解决HTTP协议明文传输信息的缺陷。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之前的通信加密。HTTPS协议需要到CA申请一个用于证明服务器用途类型的证书。证书包含一对公私钥,该证书只有用于对应的服务器的时候,客户端才信任此主机。服务器和客户端之间的所有通信,都是加密的。
目前传统的通信加密和传输安全,都是依赖于复杂的数学算法。即由于目前计算机的计算能力所限,来不及在所需的时间段内计算出结果,因此可以说现在的数字密码体系是安全的。但是这种安全性已经越来越受到量子计算机的威胁。例如,针对经典密码学中的非对称密钥算法,存在专用的量子计算机算法(shor算法等)进行破解。在计算能力强大的量子计算机面前,即便是再高级的保密通信,只要是通过当前的通信手段,都会面临被破译和窃听的可能。因此,建立实际可用的整套量子通信网络方案已经是迫在眉睫的刚需。
正如大多数人所了解的,量子计算机在密码破解上有着巨大潜力。当今主流的非对称(公钥)加密算法,如RSA加密算法,大多数都是基于大整数的因式分解或者有限域上的离散对数的计算这两个数学难题。他们的破解难度也就依赖于解决这些问题的效率。在传统计算机上求解这两个数学难题,花费时间为指数时间(即破解时间随着公钥长度的增长以指数级增长),这在实际应用中是无法接受的。而为量子计算机量身定做的秀尔算法可以在多项式时间内(即破解时间随着公钥长度的增长以k次方的速度增长,其中k为与公钥长度无关的常数)进行整数因式分解或者离散对数计算,从而为RSA、离散对数加密算法的破解提供可能。
现有技术存在的问题:
(1)由于量子计算机能快速通过公钥得到对应的私钥,因此现有的建立在公私钥基础之上的HTTPS通信方法容易被量子计算机破解。
(2)现有技术中,基于公私钥的数字签名的输入和输出均可被敌方所知,在量子计算机存在的情况下,可能被推导出私钥,导致建立在公私钥基础之上的HTTPS通信系统被量子计算机破解。
发明内容
本发明提供了一种基于非对称密钥池的抗量子计算HTTPS通信方法和系统,降低被量子计算机破解的风险,保证通信过程的安全性。
一种基于非对称密钥池的抗量子计算HTTPS通信方法,参与方包括服务器、证书授权中心以及客户端,所述客户端配置有密钥卡,密钥卡内存储有非对称密钥池,所述非对称密钥池内包含证书授权中心公钥以及各服务器公钥;
所述抗量子计算HTTPS通信方法,包括:
在服务器端进行的如下步骤:
获取证书授权中心颁发的数字证书,并向客户端发送该数字证书,所述数字证书中记载有服务器的公钥指针随机数;
在客户端进行的如下步骤:
获取证书授权中心颁发的与所述数字证书相匹配的根数字证书;
依据所述根数字证书对服务器发送的数字证书进行验证;
根据验证通过的数字证书中记载的服务器的公钥指针随机数,在所述非对称密钥池中获取服务器公钥;
利用服务器公钥对随机生成的共享密钥进行加密,向服务器发送加密结果以进行密钥协商;
与服务器利用所述共享密钥进行HTTPS通信。
以下还提供了若干可选方式,但并不作为对上述总体方案的额外限定,仅仅是进一步的增补或优选,在没有技术或逻辑矛盾的前提下,各可选方式可单独针对上述总体方案进行组合,还可以是多个可选方式之间进行组合。
可选地,所述数字证书和根数字证书分别采用证书授权中心的私钥进行数字签名,该数字签名采用真随机数进行加密,所述真随机数采用证书授权中心的私钥进行加密。
可选地,所述根数字证书和客户端的密钥卡中均存储有证书授权中心的公钥指针随机数,客户端获取根数字证书后,对根数字证书的有效性进行验证,验证过程包括:
验证密钥卡中证书授权中心的公钥指针随机数与根数字证书中证书授权中心的公钥指针随机数是否一致,若一致,则进行下一步;
根据证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
利用证书授权中心公钥对根数字证书中加密的真随机数进行解密,得到真随机数;
利用真随机数解密得到根数字证书的数字签名;
利用证书授权中心公钥解密根数字证书的数字签名得到根数字证书的原文摘要,若该原文摘要与根据根数字证书记载信息计算得到的原文摘要一致,则进行下一步;
验证根数字证书是否在有效期内。
可选地,客户端依据根数字证书对服务器发送的数字证书进行验证的过程包括:
根据根数字证书中证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
利用证书授权中心公钥对数字证书中加密的真随机数进行解密,得到真随机数;
利用真随机数解密得到数字证书的数字签名;
利用证书授权中心公钥解密数字证书的数字签名得到数字证书的原文摘要,若该原文摘要与根据数字证书记载信息计算得到的原文摘要一致,则进行下一步;
验证数字证书是否在有效期内。
可选地,所述密钥协商包括在服务器端进行的如下步骤:服务器接收共享密钥的加密结果,并利用服务器的私钥解密该加密结果得到所述共享密钥。
本发明还提供了一种基于非对称密钥池的抗量子计算HTTPS通信系统,参与方包括服务器、证书授权中心以及客户端,所述客户端配置有密钥卡,密钥卡内存储有非对称密钥池,所述非对称密钥池内包含证书授权中心公钥以及各服务器公钥;
所述抗量子计算HTTPS通信系统,包括:
设置在服务器端的第一模块,该第一模块用于获取证书授权中心颁发的数字证书,并向客户端发送该数字证书,所述数字证书中记载有服务器的公钥指针随机数;
设置在客户端的第二模块,该第二模块包括:
获取模块,用于获取证书授权中心颁发的与所述数字证书相匹配的根数字证书;
验证模块,用于依据所述根数字证书对服务器发送的数字证书进行验证;
服务器公钥提取模块,用于根据验证通过的数字证书中记载的服务器的公钥指针随机数,在所述非对称密钥池中获取服务器公钥;
密钥协商模块,用于利用服务器公钥对随机生成的共享密钥进行加密,向服务器发送加密结果以进行密钥协商;
通信模块,用于与服务器利用所述共享密钥进行HTTPS通信。
以下还提供了若干可选方式,但并不作为对上述总体方案的额外限定,仅仅是进一步的增补或优选,在没有技术或逻辑矛盾的前提下,各可选方式可单独针对上述总体方案进行组合,还可以是多个可选方式之间进行组合。
可选地,还包括设置在证书授权中心的:
签名模块,用于采用证书授权中心的私钥分别对所述数字证书和根数字证书分别进行数字签名;
加密模块,用于采用真随机数对数字签名进行加密,采用证书授权中心的私钥对所述真随机数进行加密。
可选地,所述根数字证书和客户端的密钥卡中均存储有证书授权中心的公钥指针随机数,客户端设有根数字证书验证模块,用于获取根数字证书后,对根数字证书的有效性进行验证,所述根数字证书验证模块包括:
第一子模块,用于验证密钥卡中证书授权中心的公钥指针随机数与根数字证书中证书授权中心的公钥指针随机数是否一致;
第二子模块,用于根据证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
第三子模块,用于利用证书授权中心公钥对根数字证书中加密的真随机数进行解密,得到真随机数;
第四子模块,用于利用真随机数解密得到根数字证书的数字签名;
第五子模块,用于利用证书授权中心公钥解密根数字证书的数字签名得到根数字证书的原文摘要,判断该原文摘要与根据根数字证书记载信息计算得到的原文摘要是否一致;
第六子模块,用于验证根数字证书是否在有效期内。
可选地,所述验证模块包括:
证书授权中心公钥提取模块,用于根据根数字证书中证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
真随机数获取模块,用于利用证书授权中心公钥对数字证书中加密的真随机数进行解密,得到真随机数;
数字签名获取模块,用于利用真随机数解密得到数字证书的数字签名;
原文摘要比较模块,用于利用证书授权中心公钥解密数字证书的数字签名得到数字证书的原文摘要,判断该原文摘要与根据数字证书记载信息计算得到的原文摘要是否一致;
有效期验证模块,用于验证数字证书是否在有效期内。
本发明还提供了一种基于非对称密钥池的抗量子计算HTTPS通信系统,参与方包括服务器、证书授权中心以及客户端,所述客户端配置有密钥卡,密钥卡内存储有非对称密钥池,所述非对称密钥池内包含证书授权中心公钥以及各服务器公钥;
各参与方包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现所述的基于非对称密钥池的抗量子计算HTTPS通信方法。
本发明中,客户端、服务器以及证书授权中心(即CA机构)均配备有密钥卡,使用密钥卡存储密钥,密钥卡是独立的硬件设备,被恶意软件或恶意操作窃取密钥的可能性大大降低。同时,客户端利用抗量子计算公钥结合所述非对称密钥池提取所需成员的公钥,保证量子计算机无法得到用户公钥,进而无法得到对应的私钥,因此降低被量子计算机破解的风险。另外,基于公私钥的数字签名被真随机数密钥进一步加密,形成加密的数字签名,即使在量子计算机存在的情况下,也难以被推导出私钥,因此该方案不容易被量子计算机破解。
附图说明
图1为本发明实施例提供的HTTPS建立过程流程图;
图2为HTTPS客户端密钥卡密钥区的结构示意图;
图3为本发明实施例提供的公钥存储方式流程图;
图4为本发明实施例提供的公钥读取方式流程图;
图5为本发明实施例提供的CA证书的具体内容。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了更好地描述和说明本申请的实施例,可参考一幅或多幅附图,但用于描述附图的附加细节或示例不应当被认为是对本申请的发明创造、目前所描述的实施例或优选方式中任何一者的范围的限制。
应该理解的是,除非本文中有明确的说明,各步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
一种基于非对称密钥池的抗量子计算HTTPS通信方法,参与方包括服务器、证书授权中心(即CA机构)以及客户端,所述客户端配置有密钥卡,密钥卡内存储有非对称密钥池,所述非对称密钥池内包含证书授权中心公钥以及各服务器公钥;
所述抗量子计算HTTPS通信方法,包括:
在服务器端进行的如下步骤:
获取证书授权中心颁发的数字证书,并向客户端发送该数字证书,所述数字证书中记载有服务器的公钥指针随机数;
在客户端进行的如下步骤:
获取证书授权中心颁发的与所述数字证书相匹配的根数字证书;
依据所述根数字证书对服务器发送的数字证书进行验证;
根据验证通过的数字证书中记载的服务器的公钥指针随机数,在所述非对称密钥池中获取服务器公钥;
利用服务器公钥对随机生成的共享密钥进行加密,向服务器发送加密结果以进行密钥协商;
与服务器利用所述共享密钥进行HTTPS通信。
在其中一个实施例中,所述数字证书和根数字证书分别采用证书授权中心的私钥进行数字签名,该数字签名采用真随机数进行加密,所述真随机数采用证书授权中心的私钥进行加密。
在其中一个实施例中,所述根数字证书和客户端的密钥卡中均存储有证书授权中心的公钥指针随机数,客户端获取根数字证书后,对根数字证书的有效性进行验证,验证过程包括:
验证密钥卡中证书授权中心的公钥指针随机数与根数字证书中证书授权中心的公钥指针随机数是否一致,若一致,则进行下一步;
根据证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
利用证书授权中心公钥对根数字证书中加密的真随机数进行解密,得到真随机数;
利用真随机数解密得到根数字证书的数字签名;
利用证书授权中心公钥解密根数字证书的数字签名得到根数字证书的原文摘要,若该原文摘要与根据根数字证书记载信息计算得到的原文摘要一致,则进行下一步;
验证根数字证书是否在有效期内。
在其中一个实施例中,客户端依据根数字证书对服务器发送的数字证书进行验证的过程包括:
根据根数字证书中证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
利用证书授权中心公钥对数字证书中加密的真随机数进行解密,得到真随机数;
利用真随机数解密得到数字证书的数字签名;
利用证书授权中心公钥解密数字证书的数字签名得到数字证书的原文摘要,若该原文摘要与根据数字证书记载信息计算得到的原文摘要一致,则进行下一步;
验证数字证书是否在有效期内。
在其中一个实施例中,所述密钥协商包括在服务器端进行的如下步骤:服务器接收共享密钥的加密结果,并利用服务器的私钥解密该加密结果得到所述共享密钥。
通信方法的过程结合图详述如下:
HTTPS客户端的密钥卡结构如图2所示,带有非对称密钥池和CA公钥指针随机数(即证书授权中心的公钥指针随机数)。如果CA有多个,则CA公钥指针随机数也有多个。其中,非对称密钥池中包含所有成员的公钥,包括CA公钥以及各服务器公钥。
向非对称密钥池中存储公钥的方式如图3所示,具体步骤如下:对某个用户随机取公钥指针随机数PKR(即公钥的存储位置参数),结合特定的公钥指针函数FPOS得到公钥指针PKPOS,并在相应的非对称密钥池PKP中的对应位置存入该用户的公钥PK。
读取密钥方式如图4所示,方式与存储密钥方式相同。公布公钥指针随机数PKR作为抗量子计算公钥。
CA以及各服务器密钥卡中不含有非对称密钥池,仅包含各自公钥、私钥和公钥指针随机数,且仅公开公钥指针随机数。
本实施例为HTTPS建立过程,具体流程如图1所示,文字描述如下:
准备工作(对应图1中的prepare1~4):
在客户端向服务器发起请求前,还有一些准备工作要做,即向CA证书颁发机构获取数字证书。
1.服务器将自己的公钥指针随机数和身份信息通过人工拷贝等安全方式传给CA(Certificate Authority)机构;
2.CA机构生成CA证书(即数字证书):CA机构颁发的CA证书为抗量子计算数字证书,结构如图5所示。证书信息包括证书的版本号、序列号及有效期等;颁发者即CA(证书授权中心),持有者即证书用户;颁发者信息即颁发者的名称,持有者信息即持有者的名称、支持的公钥算法以及公钥指针随机数;颁发者数字签名即CA数字签名,还包括签名算法;对该签名要进行加密,由CA匹配的密钥卡生成一个真随机数R,设证书前三项(即证书信息、颁发者信息、持有者信息)为M,M的摘要为MD,签名为使用CA的私钥对MD进行数字签名算法,可表示为MS={MD}SKCA,加密签名为使用R对签名进行加密,可表示为{R}SKCA+{MS}R。
3.将数字证书颁发给申请者(服务器)。
4.客户端(比如常用的浏览器),为了安全性,会内置一份CA根证书,它用于检验其他数字证书。CA根证书(即根数字证书)是CA的自签名证书,颁发者与持有者都为CA。结构如图5所示,与上文描述的CA证书的区别在于持有者信息也为CA的信息,公钥指针随机数为CA的公钥指针随机数。
5.验证CA根证书:客户端收到CA根证书后,会对其有效性进行验证。
5.1验证CA公钥指针随机数是否相等:客户端从密钥卡中取出CA的公钥指针随机数,与CA根证书中的公钥指针随机数进行对比,若相等则进行下一步。
5.2验证CA签名:根据CA的公钥指针随机数在密钥卡中的非对称密钥池中取出PKCA,具体步骤如图4所示,文字描述与上文相同。获得PKCA后,对{R}SKCA解密得到真随机数R,然后使用R解密得到签名,使用PKCA解密签名得到MD。对CA根证书的证书信息、颁发者信息、持有者信息计算摘要得到MD’,对比MD和MD’是否相等,若相等则进行下一步。
5.3验证有效期:验证CA根证书是否在有效期内,若验证通过,则将CA根证书设置为受信任证书。
连接过程(对应图1中的1~5):
1.客户端发起请求:客户端通过三次握手,建立TCP连接。
2.服务器发送数字证书:服务器向客户端发送从CA机构处获取的CA证书。
3.客户端通过根证书对CA证书进行验证:用户在使用普通数字证书前,一般已事先下载安装了CA根证书,验证了其有效性,并设置为受信任证书。
使用由CA根证书中获得的CA公钥指针随机数得到PKCA,使用PKCA对CA证书进行验证,使用PKCA对{R}SKCA解密得到真随机数R,然后使用R解密得到签名,使用PKCA解密签名得到MD。对CA根证书的证书信息、颁发者信息、持有者信息计算摘要得到MD’,对比MD和MD’是否相等,若相等则验证CA证书是否在有效期内,若验证通过,则将信任该CA证书。
4.生成对称密钥并加密发送至服务器:客户端信任该CA证书后,根据S的公钥指针随机数(即服务器的公钥指针随机数)在密钥卡中的非对称密钥池中取出PKS,具体步骤如图4所示,文字描述与上文相同。根据匹配的密钥卡生成随机密钥K(即共享密钥),再使用PKS加密该随机密钥K发送至服务器。
5.服务器获取对称密钥:服务器使用自己的私钥SKS解密获得随机密钥K。然后服务器和客户端都获取了由客户端生成的随机密钥K,可用该随机密钥进行HTTPS通信。
在其中一个实施例中,基于非对称密钥池的抗量子计算HTTPS通信系统,参与方包括服务器、证书授权中心以及客户端,所述客户端配置有密钥卡,密钥卡内存储有非对称密钥池,所述非对称密钥池内包含证书授权中心公钥以及各服务器公钥;
所述抗量子计算HTTPS通信系统,包括:
设置在服务器端的第一模块,该第一模块用于获取证书授权中心颁发的数字证书,并向客户端发送该数字证书,所述数字证书中记载有服务器的公钥指针随机数;
设置在客户端的第二模块,该第二模块包括:
获取模块,用于获取证书授权中心颁发的与所述数字证书相匹配的根数字证书;
验证模块,用于依据所述根数字证书对服务器发送的数字证书进行验证;
服务器公钥提取模块,用于根据验证通过的数字证书中记载的服务器的公钥指针随机数,在所述非对称密钥池中获取服务器公钥;
密钥协商模块,用于利用服务器公钥对随机生成的共享密钥进行加密,向服务器发送加密结果以进行密钥协商;
通信模块,用于与服务器利用所述共享密钥进行HTTPS通信。
在其中一个实施例中,还包括设置在证书授权中心的:
签名模块,用于采用证书授权中心的私钥分别对所述数字证书和根数字证书分别进行数字签名;
加密模块,用于采用真随机数对数字签名进行加密,采用证书授权中心的私钥对所述真随机数进行加密。
在其中一个实施例中,所述根数字证书和客户端的密钥卡中均存储有证书授权中心的公钥指针随机数,客户端设有根数字证书验证模块,用于获取根数字证书后,对根数字证书的有效性进行验证,所述根数字证书验证模块包括:
第一子模块,用于验证密钥卡中证书授权中心的公钥指针随机数与根数字证书中证书授权中心的公钥指针随机数是否一致;
第二子模块,用于根据证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
第三子模块,用于利用证书授权中心公钥对根数字证书中加密的真随机数进行解密,得到真随机数;
第四子模块,用于利用真随机数解密得到根数字证书的数字签名;
第五子模块,用于利用证书授权中心公钥解密根数字证书的数字签名得到根数字证书的原文摘要,判断该原文摘要与根据根数字证书记载信息计算得到的原文摘要是否一致;
第六子模块,用于验证根数字证书是否在有效期内。
在其中一个实施例中,所述验证模块包括:
证书授权中心公钥提取模块,用于根据根数字证书中证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
真随机数获取模块,用于利用证书授权中心公钥对数字证书中加密的真随机数进行解密,得到真随机数;
数字签名获取模块,用于利用真随机数解密得到数字证书的数字签名;
原文摘要比较模块,用于利用证书授权中心公钥解密数字证书的数字签名得到数字证书的原文摘要,判断该原文摘要与根据数字证书记载信息计算得到的原文摘要是否一致;
有效期验证模块,用于验证数字证书是否在有效期内。
关于基于非对称密钥池的抗量子计算HTTPS通信系统的具体限定可以参见上文中对于基于非对称密钥池的抗量子计算HTTPS通信方法的限定,在此不再赘述。上述各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,即一种基于非对称密钥池的抗量子计算HTTPS通信系统,该计算机设备可以是终端,其内部结构可以包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现基于非对称密钥池的抗量子计算HTTPS通信方法,该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
在其中一个实施例中,提供一种基于非对称密钥池的抗量子计算HTTPS通信系统,参与方包括服务器、证书授权中心以及客户端,所述客户端配置有密钥卡,密钥卡内存储有非对称密钥池,所述非对称密钥池内包含证书授权中心公钥以及各服务器公钥;
各参与方包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现权利要求1~5任一项所述的基于非对称密钥池的抗量子计算HTTPS通信方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明的保护范围应以所附权利要求为准。
Claims (8)
1.基于非对称密钥池的抗量子计算HTTPS通信方法,其特征在于,参与方包括服务器、证书授权中心以及客户端,所述客户端配置有密钥卡,密钥卡内存储有非对称密钥池,所述非对称密钥池内包含证书授权中心公钥以及各服务器公钥;
所述抗量子计算HTTPS通信方法,包括:
在服务器端进行的如下步骤:
获取证书授权中心颁发的数字证书,并向客户端发送该数字证书,所述数字证书中记载有服务器的公钥指针随机数;
在客户端进行的如下步骤:
获取证书授权中心颁发的与所述数字证书相匹配的根数字证书;
所述根数字证书和客户端的密钥卡中均存储有证书授权中心的公钥指针随机数;
依据所述根数字证书对服务器发送的数字证书进行验证,验证的过程包括;
验证密钥卡中证书授权中心的公钥指针随机数与根数字证书中证书授权中心的公钥指针随机数是否一致,若一致,则进行下一步;
根据证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
利用证书授权中心公钥对根数字证书中加密的真随机数进行解密,得到真随机数;
利用真随机数解密得到根数字证书的数字签名;
利用证书授权中心公钥解密根数字证书的数字签名得到根数字证书的原文摘要,若该原文摘要与根据根数字证书记载信息计算得到的原文摘要一致,则进行下一步;
验证根数字证书是否在有效期内;
根据验证通过的数字证书中记载的服务器的公钥指针随机数,在所述非对称密钥池中获取服务器公钥;
利用服务器公钥对随机生成的共享密钥进行加密,向服务器发送加密结果以进行密钥协商;
与服务器利用所述共享密钥进行HTTPS通信。
2.如权利要求1所述的基于非对称密钥池的抗量子计算HTTPS通信方法,其特征在于,所述数字证书和根数字证书分别采用证书授权中心的私钥进行数字签名,该数字签名采用真随机数进行加密,所述真随机数采用证书授权中心的私钥进行加密。
3.如权利要求2所述的基于非对称密钥池的抗量子计算HTTPS通信方法,其特征在于,客户端依据根数字证书对服务器发送的数字证书进行验证的过程包括:
根据根数字证书中证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
利用证书授权中心公钥对数字证书中加密的真随机数进行解密,得到真随机数;
利用真随机数解密得到数字证书的数字签名;
利用证书授权中心公钥解密数字证书的数字签名得到数字证书的原文摘要,若该原文摘要与根据数字证书记载信息计算得到的原文摘要一致,则进行下一步;
验证数字证书是否在有效期内。
4.如权利要求1所述的基于非对称密钥池的抗量子计算HTTPS通信方法,其特征在于,所述密钥协商包括在服务器端进行的如下步骤:
服务器接收共享密钥的加密结果,并利用服务器的私钥解密该加密结果得到所述共享密钥。
5.基于非对称密钥池的抗量子计算HTTPS通信系统,其特征在于,参与方包括服务器、证书授权中心以及客户端,所述客户端配置有密钥卡,密钥卡内存储有非对称密钥池,所述非对称密钥池内包含证书授权中心公钥以及各服务器公钥;
所述抗量子计算HTTPS通信系统,包括:
设置在服务器端的第一模块,该第一模块用于获取证书授权中心颁发的数字证书,并向客户端发送该数字证书,所述数字证书中记载有服务器的公钥指针随机数;
设置在客户端的第二模块,该第二模块包括:
获取模块,用于获取证书授权中心颁发的与所述数字证书相匹配的根数字证书;
所述根数字证书和客户端的密钥卡中均存储有证书授权中心的公钥指针随机数;
验证模块,用于依据所述根数字证书对服务器发送的数字证书进行验证,验证的过程包括;
第一子模块,用于验证密钥卡中证书授权中心的公钥指针随机数与根数字证书中证书授权中心的公钥指针随机数是否一致;
第二子模块,用于根据证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
第三子模块,用于利用证书授权中心公钥对根数字证书中加密的真随机数进行解密,得到真随机数;
第四子模块,用于利用真随机数解密得到根数字证书的数字签名;
第五子模块,用于利用证书授权中心公钥解密根数字证书的数字签名得到根数字证书的原文摘要,判断该原文摘要与根据根数字证书记载信息计算得到的原文摘要是否一致;
第六子模块,用于验证根数字证书是否在有效期内;
服务器公钥提取模块,用于根据验证通过的数字证书中记载的服务器的公钥指针随机数,在所述非对称密钥池中获取服务器公钥;
密钥协商模块,用于利用服务器公钥对随机生成的共享密钥进行加密,向服务器发送加密结果以进行密钥协商;
通信模块,用于与服务器利用所述共享密钥进行HTTPS通信。
6.如权利要求5所述的基于非对称密钥池的抗量子计算HTTPS通信系统,其特征在于,还包括设置在证书授权中心的:
签名模块,用于采用证书授权中心的私钥分别对所述数字证书和根数字证书分别进行数字签名;
加密模块,用于采用真随机数对数字签名进行加密,采用证书授权中心的私钥对所述真随机数进行加密。
7.如权利要求6所述的基于非对称密钥池的抗量子计算HTTPS通信系统,其特征在于,所述验证模块包括:
证书授权中心公钥提取模块,用于根据根数字证书中证书授权中心的公钥指针随机数在所述非对称密钥池中取出证书授权中心公钥;
真随机数获取模块,用于利用证书授权中心公钥对数字证书中加密的真随机数进行解密,得到真随机数;
数字签名获取模块,用于利用真随机数解密得到数字证书的数字签名;
原文摘要比较模块,用于利用证书授权中心公钥解密数字证书的数字签名得到数字证书的原文摘要,判断该原文摘要与根据数字证书记载信息计算得到的原文摘要是否一致;
有效期验证模块,用于验证数字证书是否在有效期内。
8.基于非对称密钥池的抗量子计算HTTPS通信系统,其特征在于,参与方包括服务器、证书授权中心以及客户端,所述客户端配置有密钥卡,密钥卡内存储有非对称密钥池,所述非对称密钥池内包含证书授权中心公钥以及各服务器公钥;
各参与方包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现权利要求1~4任一项所述的基于非对称密钥池的抗量子计算HTTPS通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910027028.7A CN109861813B (zh) | 2019-01-11 | 2019-01-11 | 基于非对称密钥池的抗量子计算https通信方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910027028.7A CN109861813B (zh) | 2019-01-11 | 2019-01-11 | 基于非对称密钥池的抗量子计算https通信方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109861813A CN109861813A (zh) | 2019-06-07 |
| CN109861813B true CN109861813B (zh) | 2021-08-10 |
Family
ID=66894690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910027028.7A Active CN109861813B (zh) | 2019-01-11 | 2019-01-11 | 基于非对称密钥池的抗量子计算https通信方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109861813B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110557367B (zh) * | 2019-07-16 | 2021-10-22 | 如般量子科技有限公司 | 基于证书密码学的抗量子计算保密通信的密钥更新方法和系统 |
| CN110572788B (zh) * | 2019-07-16 | 2022-08-09 | 如般量子科技有限公司 | 基于非对称密钥池和隐式证书的无线传感器通信方法和系统 |
| CN111770092B (zh) * | 2020-06-29 | 2021-06-29 | 华中科技大学 | 一种数控系统网络安全架构和安全通信方法及系统 |
| CN112003843A (zh) * | 2020-08-12 | 2020-11-27 | 中电科技(北京)有限公司 | 国产bmc服务器ssl认证方法及装置 |
| CN112073401B (zh) * | 2020-08-28 | 2022-05-10 | 苏州浪潮智能科技有限公司 | 一种基于HTTPS协议web应用自动更新证书的方法、程序及介质 |
| CN114629651A (zh) * | 2020-12-14 | 2022-06-14 | 南京如般量子科技有限公司 | 一种基于ca的抗量子计算通信方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102948131A (zh) * | 2010-04-21 | 2013-02-27 | 思杰系统有限公司 | 用于经由wan设备分离代理ssl的系统和方法 |
| CN105515766A (zh) * | 2015-12-16 | 2016-04-20 | 浙江神州量子网络科技有限公司 | 一种量子密钥在stunnel中的应用方法 |
| CN106612176A (zh) * | 2016-12-16 | 2017-05-03 | 中国电子科技集团公司第三十研究所 | 一种基于量子真随机数协商密钥协商系统及协商方法 |
| CN107404461A (zh) * | 2016-05-19 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 数据安全传输方法、客户端及服务端方法、装置及系统 |
| CN107800682A (zh) * | 2016-08-30 | 2018-03-13 | 株式会社和冠 | 用传输层安全在签名装置与主机间的数据认证和安全传输 |
| CN108494811A (zh) * | 2018-06-27 | 2018-09-04 | 深圳市思迪信息技术股份有限公司 | 数据传输安全认证方法及装置 |
| CN109150519A (zh) * | 2018-09-20 | 2019-01-04 | 如般量子科技有限公司 | 基于公共密钥池的抗量子计算云存储安全控制方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10511591B2 (en) * | 2017-05-08 | 2019-12-17 | Amazon Technologies, Inc. | Generation of shared secrets using pairwise implicit certificates |
-
2019
- 2019-01-11 CN CN201910027028.7A patent/CN109861813B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102948131A (zh) * | 2010-04-21 | 2013-02-27 | 思杰系统有限公司 | 用于经由wan设备分离代理ssl的系统和方法 |
| CN105515766A (zh) * | 2015-12-16 | 2016-04-20 | 浙江神州量子网络科技有限公司 | 一种量子密钥在stunnel中的应用方法 |
| CN107404461A (zh) * | 2016-05-19 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 数据安全传输方法、客户端及服务端方法、装置及系统 |
| CN107800682A (zh) * | 2016-08-30 | 2018-03-13 | 株式会社和冠 | 用传输层安全在签名装置与主机间的数据认证和安全传输 |
| CN106612176A (zh) * | 2016-12-16 | 2017-05-03 | 中国电子科技集团公司第三十研究所 | 一种基于量子真随机数协商密钥协商系统及协商方法 |
| CN108494811A (zh) * | 2018-06-27 | 2018-09-04 | 深圳市思迪信息技术股份有限公司 | 数据传输安全认证方法及装置 |
| CN109150519A (zh) * | 2018-09-20 | 2019-01-04 | 如般量子科技有限公司 | 基于公共密钥池的抗量子计算云存储安全控制方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 安全与可靠云存储密码技术研究;王玉秀;《中国优秀硕士学位论文期刊全文数据库》;20180215;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109861813A (zh) | 2019-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109756500B (zh) | 基于多个非对称密钥池的抗量子计算https通信方法和系统 | |
| US11757662B2 (en) | Confidential authentication and provisioning | |
| CN109861813B (zh) | 基于非对称密钥池的抗量子计算https通信方法和系统 | |
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
| CN108111301B (zh) | 基于后量子密钥交换实现ssh协议的方法及其系统 | |
| CN109309565B (zh) | 一种安全认证的方法及装置 | |
| CN110535628B (zh) | 通过证书签发进行多方安全计算的方法及装置 | |
| CN114651421B (zh) | 使用临时密钥的传输层安全中的正向安全 | |
| EP2173055A1 (en) | A method, a system, a client and a server for key negotiating | |
| CN110213044B (zh) | 基于多个非对称密钥池的抗量子计算https签密通信方法和系统 | |
| US9185111B2 (en) | Cryptographic authentication techniques for mobile devices | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN110958209B (zh) | 基于共享密钥的双向认证方法及系统、终端 | |
| CN112087428B (zh) | 一种基于数字证书的抗量子计算身份认证系统及方法 | |
| CN112104453A (zh) | 一种基于数字证书的抗量子计算数字签名系统及签名方法 | |
| CN110557367B (zh) | 基于证书密码学的抗量子计算保密通信的密钥更新方法和系统 | |
| CN113411187A (zh) | 身份认证方法和系统、存储介质及处理器 | |
| CN110519225B (zh) | 基于非对称密钥池和证书密码学的抗量子计算https通信方法和系统 | |
| KR20080005344A (ko) | 인증서버가 사용자단말기를 인증하는 시스템 | |
| CN114374522B (zh) | 一种可信设备认证方法、装置、计算机设备及存储介质 | |
| KR20070035342A (ko) | 패스워드 기반의 경량화된 상호 인증 방법 | |
| TW200803392A (en) | Method, device, server arrangement, system and computer program products for securely storing data in a portable device | |
| JP2011250335A (ja) | 効率的相互認証方法,プログラム,及び装置 | |
| KR20170087120A (ko) | 무인증서 공개키 암호 시스템 및 수신 단말기 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |