CN110519046B - 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 - Google Patents

基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 Download PDF

Info

Publication number
CN110519046B
CN110519046B CN201910631611.9A CN201910631611A CN110519046B CN 110519046 B CN110519046 B CN 110519046B CN 201910631611 A CN201910631611 A CN 201910631611A CN 110519046 B CN110519046 B CN 110519046B
Authority
CN
China
Prior art keywords
key
service station
parameter
message
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910631611.9A
Other languages
English (en)
Other versions
CN110519046A (zh
Inventor
富尧
钟一民
杨羽成
邱雅剑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ruban Quantum Technology Co Ltd
Original Assignee
Ruban Quantum Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ruban Quantum Technology Co Ltd filed Critical Ruban Quantum Technology Co Ltd
Priority to CN201910631611.9A priority Critical patent/CN110519046B/zh
Publication of CN110519046A publication Critical patent/CN110519046A/zh
Application granted granted Critical
Publication of CN110519046B publication Critical patent/CN110519046B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及一种基于一次性非对称密钥对和QKD的量子通信服务站密钥协商方法和系统,本发明中,使用的密钥卡是独立的硬件隔离设备。公钥、私钥和其他相关参数均存储在密钥卡中的数据安全区,被恶意软件或恶意操作窃取密钥的可能性大大降低,也不会被量子计算机获取并破解。由于在经典网络中均无涉及公私钥及算法参数的传递,因此非对称密钥被破解的风险很低,另外,服务站与服务站之间采用QKD进行密钥共享,所以消息的安全性得到极大的保障。密钥卡保障了通信双方的通信安全,也极大的提高了身份认证的安全性。

Description

基于一次性非对称密钥对和QKD的量子通信服务站密钥协商 方法和系统
技术领域
本申请涉及安全通信技术领域,特别是涉及基于一次性非对称密钥对和QKD的量子通信服务站密钥协商方法和系统。
背景技术
迅速发展的Internet给人们的生活、工作带来了巨大的方便,人们可以坐在家里通过Internet收发电子邮件、打电话、进行网上购物、银行转账等活动。同时网络信息安全也逐渐成为一个潜在的巨大问题。一般来说网络信息面临着以下几种安全隐患:网络信息被窃取、信息被篡改、攻击者假冒信息、恶意破坏等。
其中身份认证是其中一种保护人们网络信息的一种手段。身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
而当前确保身份认证成功的主要是依靠密码技术,而在如今的密码学领域中,主要有两种密码系统,一是对称密钥密码系统,即加密密钥和解密密钥使用同一个。另一个是公开密钥密码系统,即加密密钥和解密密钥不同,其中一个可以公开。目前大部分的身份认证使用算法的主要依靠公钥密码体系。
公开密钥加密系统采用的加密钥匙(公钥)和解密钥匙(私钥)是不同的。由于加密钥匙是公开的,密钥的分配和管理就很简单,公开密钥加密系统还能够很容易地实现数字签名。
自公钥加密问世以来,学者们提出了许多种公钥加密方法,它们的安全性都是基于复杂的数学难题。根据所基于的数学难题来分类,有以下三类系统目前被认为是安全和有效的:大整数因子分解系统(代表性的有RSA)、离散对数系统(代表性的有DSA)和椭圆离散对数系统(ECC)。
但是随着量子计算机的发展,经典非对称密钥加密算法将不再安全,无论加解密还是密钥交换方法,量子计算机都可以通过公钥计算得到私钥,因此目前常用的非对称密钥将在量子时代变得不堪一击。目前量子密钥分发设备QKD可确保协商的密钥无法被获取。但是QKD主要用于量子干线,客户端设备到量子通信服务站依旧为经典网络,因此依靠非对称算法很难保证身份认证过程的安全。
由于量子计算机的潜在威胁,现有基于对称密钥池进行身份认证的方案,利用量子通信服务站与量子密钥卡之间的对称密钥池进行身份认证,放弃使用公钥密码学,以避免身份认证系统被量子计算机破解。
现有技术存在的问题:
1.现有基于对称密钥池进行身份认证的方案,量子通信服务站与量子密钥卡之间使用对称密钥池,其容量巨大,对量子通信服务站的密钥存储带来压力;
2.现有基于对称密钥池进行身份认证的方案,由于对称密钥池密钥容量巨大,量子通信服务站不得不将密钥加密存储于普通存储介质例如硬盘内,而无法存储于量子通信服务站的密钥卡内;
3.现有基于对称密钥池进行身份认证的方案,由于对称密钥池密钥容量巨大,给密钥备份造成麻烦;
4.现有基于对称密钥池进行身份认证的方案,每个客户端的密钥卡需要存储大量密钥,对客户端的密钥卡有较大存储需求,提高了客户端密钥卡的成本。
发明内容
基于此,有必要针对上述技术问题,提供一种能够减少服务站存储数据量的基于一次性非对称密钥对和QKD的量子通信服务站密钥协商方法。
本申请公开了基于一次性非对称密钥对和QKD的量子通信服务站密钥协商方法,所述量子通信服务站密钥协商方法包括:
客户端生成第一参数并计算得到第一参数认证参数,利用自身存储的第一一次性公钥和客户端私钥生成第一密钥,生成第一消息并将所述第一消息发送给第一服务站,所述第一消息包括所述第一参数哈希值和第一密钥;
所述第一服务站获取所述第一消息后生成站间认证参数,与第二服务站加密通信获取站间密钥,生成包含的第二消息,所述第二消息包括所述第一消息和所述站间认证参数,所述第二消息的至少一部分利用所述站间密钥加密;将所述第二消息发送给所述第二服务站;
所述第二服务站存储有新一次性私钥和旧一次性私钥,获取、解密所述第二消息后利用所述新一次性私钥验证所述第一参数认证参数,若验证失败,则利用所述旧一次性私钥验证所述第一参数认证参数;验证所述第一参数认证参数后,生成第二参数并计算得到第二参数认证参数,生成第二一次性公钥和第二一次性私钥,生成协商密钥;将新一次性私钥存储为旧一次性私钥,将第二一次性私钥储存为新一次性私钥,生成第三消息,所述第三消息包括所述第二一次性公钥,所述协商密钥,所述第二参数,所述第二参数认证参数以及所述站间认证参数;将所述第三消息发送给所述第一服务站;
所述第一服务站获取、解密所述第三消息后验证所述站间认证参数;生成第四消息并将所述第四消息发送给所述客户端,所述第四消息包括所述第二一次性公钥,所述协商密钥,所述第二参数,所述站间认证参数以及所述第二参数认证参数;所述第四消息的至少一部分利用所述协商密钥加密;
所述客户端获取、解密、验证所述第四消息后,信任所述协商密钥并利用所述协商密钥验证并信任所述第二一次性公钥,将所述第二一次性公钥存储为第一一次性公钥;生成第五消息并向所述第一服务站发送所述第五消息,所述第五消息包括利用所述协商密钥,第一参数认证参数以及站间认证参数三者制作的认证码;
所述第一服务站获取、解密所述第五消息后,利用所述协商密钥验证认证码后确认所述协商密钥。
优选的,量子通信服务站密钥协商方法还包括:
所述第一服务站确认所述协商密钥后,生成第六消息并发送给所述第二服务站,所述第六消息包括:利用所述站间密钥,站间认证参数,第二参数认证参数三者制作的第二认证码;
所述第二服务站获取、解密所述第六消息后验证所述第二认证码。
优选的,所述第五消息和第六消息内均还包括利用客户端私钥对所述第一参数和第二参数的第一签名,所述第二服务站验证所述第一签名后将所述旧一次性私钥置为无效值。
优选的,所述客户端和/或所述第一服务站将所述协商密钥拆分为消息加解密钥和消息认证密钥。
优选的,所述第一参数由所述客户端利用自身生成的第一随机数进行预设运算得到,所述第二参数由所述第二服务站利用自身生成的第二随机数进行预设运算得到。
优选的,所述第一参数认证参数包括利用所述第一参数进行哈希运算得到的第一参数哈希值,利用客户端私钥和第一参数计算得到了第一参数签名;所述第二参数认证参数包括利用所述第二参数进行哈希运算得到的第二参数哈希值,利用第一一次性私钥和第二参数计算得到了第二参数签名。
本申请还公开了一种客户端设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中所述量子通信服务站密钥协商方法中的客户端的步骤。
本申请还公开了一种第一服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中所述量子通信服务站密钥协商方法中的第一服务站的步骤。
本申请还公开了一种第二服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中所述量子通信服务站密钥协商方法中的第二服务站的步骤。
本申请还公开了基于一次性非对称密钥对和QKD的量子通信服务站密钥协商系统,包括设有客户端,第一服务站,第二服务站以及通信网络;所述客户端配置有客户端密钥卡,所述客户端密钥卡内存储有服务站一次性公钥,主客户端公钥以及客户端私钥;所述第一服务站,第二服务站均配置有服务站密钥卡,所述服务站密钥卡内存储有服务站一次性私钥池,客户端公钥池;
所述客户端,第一服务站,第二服务站通过所述通信网络实现上述技术方案中所述量子通信服务站密钥协商方法的步骤。
本发明中,使用的密钥卡是独立的硬件隔离设备。公钥、私钥和其他相关参数均存储在密钥卡中的数据安全区,被恶意软件或恶意操作窃取密钥的可能性大大降低,也不会被量子计算机获取并破解。由于在经典网络中均无涉及公私钥及算法参数的传递,因此非对称密钥被破解的风险很低,另外,服务站与服务站之间采用QKD进行密钥共享,所以消息的安全性得到极大的保障。密钥卡保障了通信双方的通信安全,也极大的提高了身份认证的安全性。
同时一次性非对称密钥池解决了对称密钥池给量子通信服务站带来密钥存储压力,降低了存储成本。例如,原先用户的对称密钥池大小均为1G,用户个数为N,则量子通信服务站需要存储N G的密钥池,而如果存储一次性非对称密钥池,在用户个数为N的情况下,量子通信服务站只需要存储N个用户对应的N个一次性私钥及N个前次的一次性私钥的密钥池。而对于客户端来说,每个客户端的密钥卡不再需要存储大量密钥,对客户端的密钥卡没有较大存储需求,从而降低了客户端密钥卡的成本。本专利的一次性密钥对仅使用一次,且每次认证流程均更换为新的密钥对,能极大提升系统安全性,但并未增加存储量和密钥分配的工作量。
附图说明
图1为本发明中服务站密钥卡的密钥池分布示意图;
图2为本发明中客户端密钥卡的密钥分布示意图;
图3为实施例中的结构示意图;
图4为实施例中的密钥协商流程图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。其中本申请中的服务站在未做特殊说明的情况下均为量子通信服务站,本申请中的各名称以字母和数字组合为准,例如Q,服务站Q,服务站在下文表示同一含义,即服务站Q;再例如一次性私钥SKQA,SKQA,服务站私钥SKQA在下文中表示同一含义,即一次性私钥SKQA,其余名称同理。
本发明实现场景为在一个基于非对称密钥体系下的任意一个客户端与服务站进行相互的身份认证。本发明的密钥体系中每个成员都具有密钥卡,其中服务站密钥卡可存储大数据量的密钥;密钥卡也具备处理信息的能力。本发明中,客户端与服务站的本地系统中都存在相应需求的算法。
密钥卡的描述可见申请号为“201610843210.6”的专利。当为移动终端时,密钥卡优选为密钥SD卡;当为固定终端时,密钥卡优选为密钥USBkey或主机密钥板卡。
与申请号为“201610843210.6”的专利相比,密钥卡的颁发机制有所类似。本专利的密钥卡颁发方为密钥卡的主管方,一般为群组的管理部门,例如某企业或事业单位的管理部门;密钥卡被颁发方为密钥卡的主管方所管理的成员,一般为某企业或事业单位的各级员工。客户端首先到密钥卡的主管方申请开户。当客户端进行注册登记获批后,将得到密钥卡(具有唯一的密钥卡ID)。密钥卡存储了客户注册登记信息。
密钥卡从智能卡技术上发展而来,是结合了密码学技术、硬件安全隔离技术、量子物理学技术(搭载量子随机数发生器的情况下)的身份认证和加解密产品。密钥卡的内嵌芯片和操作系统可以提供密钥的安全存储和密码算法等功能。由于其具有独立的数据处理能力和良好的安全性,密钥卡成为私钥和密钥池的安全载体。每一个密钥卡都有硬件PIN码保护,PIN码和硬件构成了用户使用密钥卡的两个必要因素。即所谓“双因子认证”,用户只有同时取得保存了相关认证信息的密钥卡和用户PIN码,才可以登录系统。即使用户的PIN码被泄露,只要用户持有的密钥卡不被盗取,合法用户的身份就不会被仿冒;如果用户的密钥卡遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。总之,密钥卡使得密钥等绝密信息不以明文形式出现在主机的磁盘及内存中,从而能有效保证绝密信息的安全。
本发明中,密钥卡分为服务站密钥卡和客户端密钥卡。服务站密钥卡密钥区结构如图1所示,主要存储有客户端公钥池和服务站一次性私钥池。客户端密钥卡密钥区结构如图2所示,主要存储有服务站一次性公钥和客户端的公私钥对。所述密钥卡均由密钥管理服务器颁发。
密钥管理服务器在颁发密钥卡之前选择Diffie-Hellman算法。密钥管理服务器根据客户端的数量产生相应数量并符合该算法规范的数作为私钥和公钥。密钥管理服务器产生相应数量的ID,并选取相应数量的公私钥对,取其中的公钥与ID进行组合得到ID/公钥,以ID/公钥的形式写入到同一文件中形成公钥池文件,即上述客户端公钥池。同时,密钥管理服务器将对应的私钥也以相同的方式写入到文件中形成私钥池文件,即客户端私钥池。客户端私钥池中各私钥的ID与客户端公钥池中对应的公钥的ID相同。密钥管理服务器再次产生大量的符合该算法规范的数作为私钥和公钥。密钥管理服务器将公私钥分别写入到两个文件内形成服务站公钥池和服务站私钥池。服务站公钥池内的公钥与服务站私钥池中相同位置的私钥对应。密钥管理服务器将颁发的首个密钥卡定义为服务站密钥卡,并将服务站私钥池和客户端公钥池以及相关算法参数写入密钥卡的密钥区。密钥管理服务器后续颁发的密钥卡均为客户端密钥卡。密钥管理服务器随机数选取一个未分配的ID分配给密钥卡,并从客户端公钥池和客户端私钥池取相同ID的公私钥与服务站公钥写入密钥卡的密钥区,相关参数一起写入到密钥卡内。由于服务站私钥池中的私钥在后续认证流程中均只使用一次,所以服务站私钥池也称为一次性私钥池。由于客户端密钥卡中的服务站公钥在后续认证流程中均只使用一次,所以服务站公钥也称为服务站一次性公钥。
本文所述随机数,均为真随机数,优选为量子随机数。
本申请公开了基于一次性非对称密钥对和QKD的量子通信服务站密钥协商方法,所述量子通信服务站密钥协商方法包括:
客户端生成第一参数并计算得到第一参数认证参数,利用自身存储的第一一次性公钥和客户端私钥生成第一密钥,生成第一消息并将所述第一消息发送给第一服务站,所述第一消息包括所述第一参数哈希值和第一密钥;
所述第一服务站获取所述第一消息后生成站间认证参数,与第二服务站加密通信获取站间密钥,生成包含的第二消息,所述第二消息包括所述第一消息和所述站间认证参数,所述第二消息的至少一部分利用所述站间密钥加密;将所述第二消息发送给所述第二服务站;
所述第二服务站存储有新一次性私钥和旧一次性私钥,获取、解密所述第二消息后利用所述新一次性私钥验证所述第一参数认证参数,若验证失败,则利用所述旧一次性私钥验证所述第一参数认证参数;验证所述第一参数认证参数后,生成第二参数并计算得到第二参数认证参数,生成第二一次性公钥和第二一次性私钥,生成协商密钥;将新一次性私钥存储为旧一次性私钥,将第二一次性私钥储存为新一次性私钥,生成第三消息,所述第三消息包括所述第二一次性公钥,所述协商密钥,所述第二参数,所述第二参数认证参数以及所述站间认证参数;将所述第三消息发送给所述第一服务站;
所述第一服务站获取、解密所述第三消息后验证所述站间认证参数;生成第四消息并将所述第四消息发送给所述客户端,所述第四消息包括所述第二一次性公钥,所述协商密钥,所述第二参数,所述站间认证参数以及所述第二参数认证参数;所述第四消息的至少一部分利用所述协商密钥加密;
所述客户端获取、解密、验证所述第四消息后,信任所述协商密钥并利用所述协商密钥验证并信任所述第二一次性公钥,将所述第二一次性公钥存储为第一一次性公钥;生成第五消息并向所述第一服务站发送所述第五消息,所述第五消息包括利用所述协商密钥,第一参数认证参数以及站间认证参数三者制作的认证码;
所述第一服务站获取、解密所述第五消息后,利用所述协商密钥验证认证码后确认所述协商密钥。
优选的,量子通信服务站密钥协商方法还包括:
所述第一服务站确认所述协商密钥后,生成第六消息并发送给所述第二服务站,所述第六消息包括:利用所述站间密钥,站间认证参数,第二参数认证参数三者制作的第二认证码;
所述第二服务站获取、解密所述第六消息后验证所述第二认证码。
优选的,所述第五消息和第六消息内均还包括利用客户端私钥对所述第一参数和第二参数的第一签名,所述第二服务站验证所述第一签名后将所述旧一次性私钥置为无效值。
优选的,所述客户端和/或所述第一服务站将所述协商密钥拆分为消息加解密钥和消息认证密钥。
优选的,所述第一参数由所述客户端利用自身生成的第一随机数进行预设运算得到,所述第二参数由所述第二服务站利用自身生成的第二随机数进行预设运算得到。
优选的,所述第一参数认证参数包括利用所述第一参数进行哈希运算得到的第一参数哈希值,利用客户端私钥和第一参数计算得到了第一参数签名;所述第二参数认证参数包括利用所述第二参数进行哈希运算得到的第二参数哈希值,利用第一一次性私钥和第二参数计算得到了第二参数签名。
本申请还公开了一种客户端设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中所述量子通信服务站密钥协商方法中的客户端的步骤。
本申请还公开了一种第一服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中所述量子通信服务站密钥协商方法中的第一服务站的步骤。
本申请还公开了一种第二服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中所述量子通信服务站密钥协商方法中的第二服务站的步骤。
本申请还公开了基于一次性非对称密钥对和QKD的量子通信服务站密钥协商系统,包括设有客户端,第一服务站,第二服务站以及通信网络;所述客户端配置有客户端密钥卡,所述客户端密钥卡内存储有服务站一次性公钥,主客户端公钥以及客户端私钥;所述第一服务站,第二服务站均配置有服务站密钥卡,所述服务站密钥卡内存储有服务站一次性私钥池,客户端公钥池;
所述客户端,第一服务站,第二服务站通过所述通信网络实现上述技术方案中所述量子通信服务站密钥协商方法的步骤。
系统说明
本实施例的场景如图3所示,本图中,包括客户端A、量子通信服务站QA和量子通信服务站QB,简称为服务站QA和服务站QB。QA和QB分别带有各自的密钥管理服务器。QA和QB有QKD通道。客户端A配有客户端密钥卡,量子通信服务站QA和量子通信服务站QB配有服务站密钥卡。上述客户端A归属于量子通信服务站QA,即A的密钥卡由QA的密钥管理服务器所颁发。
根据Diffie-Hellman协议,定义一个大素数p和一个数g,g为模p的原根,g和p均为Diffie-Hellman协议的参数。以客户端A和服务站QA为例,客户端A根据匹配的密钥卡产生真随机大整数SKA作为客户端A的DH私钥,通过计算得到DH公钥PKA=gSKA mod p。设A的身份标识符为IDA。服务站QA根据匹配的密钥卡找到与IDA对应的真随机大整数SKQA作为服务站QA用于与A对接的DH私钥,通过计算得到服务站QA用于与A对接的DH公钥PKQA=gSKQA modp。
根据Diffie-Hellman协议,PKQASKA mod p=PKASKQA mod p。下文中,省略了mod p的部分,使用PKQASKA指代PKQASKA mod p,其余同理。
服务站中的一次性私钥池为保证认证流程安全性,带有附加的存储结构,即每个单元的存储格式为一次性私钥和前次的一次性私钥,初始情况下,前次的一次性私钥存储的是无效值,例如0。服务站可以根据IDA从一次性私钥池中找到PKQA对应的一次性私钥SKQA和前次的一次性私钥SKQAold。
本实施例实现客户端A与服务站QB进行通信。具体流程如图4所示,文字描述如下:
步骤1:客户端A向服务站QB发起协商密钥请求。
客户端A根据匹配的密钥卡中的随机数发生器生成随机数x,计算X=gx,进一步计算得到HASH(X),HASH(X)表示对X进行摘要计算。客户端A从己方密钥区中提取出服务站的一次性公钥PKQA,计算KA=PKQASKA。使用私钥SKA对X进行签名得到SIGN(X,SKA),SIGN(X,SKA)表示对X以SKA为私钥进行离散对数签名。使用KA加密X及其签名,再连同IDA和HASH(X)一起作为M1发送至服务站QB。M1可表示为IDA||HASH(X)||{X||SIGN(X,SKA)}KA。
步骤2:服务站QB将密钥协商请求发送至服务站QA。
服务站QB收到M1后,得到IDA,发现IDA并非隶属于本服务站的成员。因此服务站QB与服务站QA通过QKD协商获得密钥KQ,该KQ带有KID,KQ可表示为Kreq+Kresp+KS+Kmac。服务站QB根据匹配的密钥卡中的随机数发生器生成随机数NQB,与IDQB、M1一起作为M2_0,可表示为IDQB||NQB||M1。使用Kreq对M2_0计算消息认证码MAC(M2_0,Kreq)。其中MAC(m,k)表示以m为消息、以k为密钥的消息认证码。使用Kreq加密M2_0及其消息认证码,再连同KID一起作为M2发送至服务站QA。M2可表示为KID||{M2_0||MAC(M2_0,Kreq)}Kreq。
步骤3:服务站QA制作TICKET并发送至服务站QB。
服务站QA收到M2后,根据KID找到KQ。使用Kreq解得M2_0,对其消息认证码进行验证后,令本次密钥协商的会话ID即SESSID=IDQB||NQB||IDA||HASH(X)。服务站QA根据IDA从己方密钥区的一次性私钥池中取出与PKQA对应的一次性私钥SKQA,同时取出客户端A的公钥PKA,计算KA=PKASKQA。使用KA解密得到X及其签名。使用PKA对签名进行验证。
若验证成功,则进入步骤3-1。
若验证失败,则进入步骤3-2。
步骤3-1:
服务站QA根据匹配的密钥卡中的随机数生成器生成随机数y,计算Y=gy,进一步计算得到HASH(Y)。根据获得的X即gx,计算KAQ=Xy
取随机数SKQA’,计算PKQA’=gSKQA’。令MT=KS||IDQB||PKQA’,
使用SKQA对Y进行签名得到SIGN(Y,SKQA),使用KA对Y及其签名进行加密。
使用SKQA对MT、Y以及X进行签名得到SIGN(MT||Y||X,SKQA),使用KAQ对这个签名以及MT进行加密。
组成的票据TA可表示为
{Y||SIGN(Y,SKQA)}KA||{MT||SIGN(MT||Y||X,SKQA)}KAQ。
令M3_0=SESSID||HASH(Y)||TA。使用Kresp对M3_0计算消息认证码得到MAC(M3_0,Kresp),再使用Kresp加密M3_0及其消息认证码,连同KID一起作为M3发送至服务站QB。M3可表示为KID||{M3_0,MAC(M3_0,Kresp)}Kresp。
服务站QA将原先的SKQA存入到SKQAold的存储区,将SKQA’作为新的一次性私钥保存在SKQA的存储区。
步骤3-2:
若验证失败,服务站QA从己方密钥区的一次性私钥池中取出与PKQA对应的前次的一次性私钥SKQAold,并确定SKQAold是否为有效值。如果SKQAold为无效值则流程结束。如果SKQAold为有效值则计算KAold=PKASKQAold。使用KAold对{X||SIGN(X,SKA)}KA解密得到X||SIGN(X,SKA),再使用PKA对签名进行验证。验证失败则流程结束。验证通过进行下一步。
服务站QA生成随机数y,计算Y=gy,进一步计算得到HASH(Y)。根据获得的X即gx,计算KAQ=Xy
取随机数SKQA’,计算PKQA’=gSKQA’。令MT=KS||IDQB||PKQA’,
使用SKQAold对Y进行签名得到SIGN(Y,SKQAold),使用KAold对Y及其签名进行加密。
使用SKQAold对MT、Y以及X进行签名得到SIGN(MT||Y||X,SKQAold),使用KAQ对这个签名以及MT进行加密。
组成的票据TA’可表示为{Y||SIGN(Y,SKQAold)}KAold||{MT||SIGN(MT||Y||X,SKQAold)}KAQ。
令M3_0’=SESSID||HASH(Y)||TA’。使用Kresp对M3_0’计算消息认证码得到MAC(M3_0’,Kresp),再使用Kresp加密M3_0’及其消息认证码,连同KID一起作为M3’发送至服务站QB。M3’可表示为
KID||{M3_0’,MAC(M3_0’,Kresp)}Kresp。
服务站QA将SKQA’作为新的一次性私钥保存在SKQA的存储区。
步骤4:服务站QB认证QA并转发票据。
服务站QB接收到服务站QA的回复信息M3后,根据KID找到KQ。使用Kresp解得M3_0;若收到的消息为M3’,则使用Kresp解得M3_0’。对M3_0或M3_0’的消息认证码进行验证后,验证SESSID中NQB与本地NQB是否相等,若相等,则对服务站QA认证通过。
服务站QB使用KS对HASH(X)、NQB以及IDQB制作消息认证码MACQA,可表示为MACQA=MAC(HASH(X)||NQB||IDQB,KS)。服务站QB将SESSID、TA以及MACQA组成M4发送至客户端A。M4可表示为SESSID||TA||MACQA。同理,若收到的消息为M3’,服务站QB将SESSID、TA’以及MACQA组成M4’发送至客户端A。M4’可表示为SESSID||TA’||MACQA。
步骤5:客户端A与服务站QB进行双向消息认证。
若客户端A收到M4,则进入步骤5-1;
若客户端A收到M4’,则进入步骤5-2;
步骤5-1:
客户端A收到M4后,使用KA解密Y及其签名SIGN(Y,SKQA),使用PKQA验证Y的签名后,计算KAQ=Yx。使用KAQ解密TA后得到MT及其签名SIGN(MT||Y||X,SKQA),使用PKQA验证这个签名后,完成客户端A对服务站QA的验证。
客户端A由MT得到KS。使用KS对MACQA进行验证。验证通过后,即客户端A对服务站QB验证通过,且确认协商密钥为KS,确认PKQA’是新的一次性公钥。
客户端A使用KS对HASH(X)和NQB制作消息认证码MACAQ,可表示为MACAQ=MAC(HASH(X)||NQB,KS)。使用SKA对X、Y进行签名得到SIGN(X||Y,SKA),再使用KAQ加密这个签名得到SIGNA,SIGNA可表示为{SIGN(X||Y,SKA)}KAQ。将SESSID、MACAQ以及SIGNA作为M5发送至服务站QB。M5可表示为SESSID||MACAQ||SIGNA。
客户端A将MT中的PKQA’作为新的一次性公钥保存在PKQA的存储区。
步骤5-2:
客户端A收到M4’后,使用KA解密Y及其签名SIGN(Y,SKQAold),使用PKQA验证Y的签名后,计算KAQ=Yx。使用KAQ解密TA’后得到MT’及其签名SIGN(MT||Y||X,SKQAold),使用PKQA验证这个签名后,完成客户端A对服务站QA的验证。
客户端A由MT得到KS。使用KS对MACQA进行验证。验证通过后,即客户端A对服务站QB验证通过,且确认协商密钥为KS,确认PKQA’是新的一次性公钥。
客户端A使用KS对HASH(X)和NQB制作消息认证码MACAQ,可表示为MACAQ=MAC(HASH(X)||NQB,KS)。使用SKA对X、Y进行签名得到SIGN(X||Y,SKA),再使用KAQ加密这个签名得到SIGNA,SIGNA可表示为{SIGN(X||Y,SKA)}KAQ。将SESSID、MACAQ以及SIGNA作为M5发送至服务站QB。M5可表示为SESSID||MACAQ||SIGNA。
客户端A将MT中的PKQA’作为新的一次性公钥保存在PKQA的存储区。
步骤6:服务站QB验证客户端A并将消息认证码发送至服务站QA。
服务站QB收到M5后,使用KS对HASH(X)、NQB计算出MACAQ’,与MACAQ对比,若相等则完成对客户端A的消息认证,且确认协商密钥为KS。
服务站QB使用Kmac对NQB、HASH(Y)制作消息认证码MACQB,可表示为MACQB=MAC(NQB||HASH(Y),Kmac)。将MACQB与SESSID、KID、SIGNA一起作为M6发送至服务站QA。M6可表示为
SESSID||KID||MACQB||SIGNA。
服务站QA收到M6后,使用Kmac验证MACQB,验证通过后,完成对服务站QB的认证。使用KAQ解密SIGNA得到SIGN(X||Y,SKA),使用客户端A的公钥PKA验证该签名。验证通过后,完成对客户端A的认证。至此,服务站QA对客户端A以及服务站QB认证通过,确认A与QB的会话建立完成,并记录该事件。服务站QA确认客户端A已经收到一次性公钥,因此服务站QA将SKQAold置为无效值。
客户端A与服务站QB可利用密钥KS进行消息加解密和消息认证。优选为,将KS拆分成KSE和KSA,分别作为消息加解密和消息认证密钥。
本发明中,使用的密钥卡是独立的硬件隔离设备。公钥、私钥和其他相关参数均存储在密钥卡中的数据安全区,被恶意软件或恶意操作窃取密钥的可能性大大降低,也不会被量子计算机获取并破解。由于在经典网络中均无涉及公私钥及算法参数的传递,因此非对称密钥被破解的风险很低,另外,服务站与服务站之间采用QKD进行密钥共享,所以消息的安全性得到极大的保障。密钥卡保障了通信双方的通信安全,也极大的提高了身份认证的安全性。
同时一次性非对称密钥池解决了对称密钥池给量子通信服务站带来密钥存储压力,降低了存储成本。例如,原先用户的对称密钥池大小均为1G,用户个数为N,则量子通信服务站需要存储N G的密钥池,而如果存储一次性非对称密钥池,在用户个数为N的情况下,量子通信服务站只需要存储N个用户对应的N个一次性私钥及N个前次的一次性私钥的密钥池。而对于客户端来说,每个客户端的密钥卡不再需要存储大量密钥,对客户端的密钥卡没有较大存储需求,从而降低了客户端密钥卡的成本。本专利的一次性密钥对仅使用一次,且每次认证流程均更换为新的密钥对,能极大提升系统安全性,但并未增加存储量和密钥分配的工作量。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (9)

1.基于一次性非对称密钥对和QKD的量子通信服务站密钥协商方法,其特征在于,利用客户端、第一服务站、第二服务站以及通信网络实施;所述客户端配置有客户端密钥卡,所述客户端密钥卡内存储有服务站一次性公钥,主客户端公钥以及客户端私钥;所述第一服务站、第二服务站均配置有服务站密钥卡,所述服务站密钥卡内存储有服务站一次性私钥池、客户端公钥池,所述量子通信服务站密钥协商方法包括:
客户端生成第一参数x并计算得到第一参数认证参数X,客户端利用客户端私钥、以及自身存储的源于服务站的第一一次性公钥PKQA生成第一密钥KA,生成第一消息M1并将所述第一消息M1发送给第一服务站,所述第一消息M1包括客户端身份IDA、所述第一参数哈希值HASH(X)和第一密钥KA;
所述第一服务站获取所述第一消息M1后得到客户端身份IDA,根据客户端身份IDA发现并非本服务部成员;所述第一服务站生成站间认证参数KID,并与第二服务站通过量子密钥分发QKD协商获得站间密钥Kreq,所述第一服务站生成随机数NQB,将所述随机数NQB、第一服务站身份IDQB、以及第一消息M1一起作为M2_0;所述第一服务站利用站间密钥Kreq对M2_0计算获得以M2_0为消息、以站间密钥Kreq为密钥的消息认证码MAC(M2_0,Kreq),使用站间密钥Kreq加密M2_0及其消息认证码MAC(M2_0,Kreq),连同站间认证参数KID一起作为第二消息M2;将所述第二消息发送给所述第二服务站;
所述第二服务站收到第二消息M2后根据站间认证参数KID找到站间密钥Kreq,使得站间密钥Kreq解密获得M2_0,对其消息认证码进行验证后,所述第二服务站根据IDA从己方密钥区的一次性私钥池中取出与第一一次性公钥PKQA对应的第二服务站的新一次性私钥SKQA,所述第二服务站取出客户端的公钥PKA,生成密钥解密得到第一参数认证参数X,使用公钥PKA验证所述第一参数认证参数X,若验证失败,则所述第二服务站从己方密钥区的一次性私钥池中取出与第一一次性公钥PKQA前次对应的旧一次性私钥SKQAold,利用所述旧一次性私钥SKQAold验证所述第一参数认证参数X;验证所述第一参数认证参数X后,生成第二参数y并计算得到第二参数认证参数Y,生成第二一次性公钥和第二一次性私钥,生成协商密钥KS;将新一次性私钥存储SKQA为旧一次性私钥SKQAold,将第二一次性私钥储存为新一次性私钥,生成第三消息M3,所述第三消息M3包括所述第二一次性公钥,所述协商密钥KS,所述第二参数y,所述第二参数认证参数Y以及所述站间认证参数KID;将所述第三消息M3发送给所述第一服务站;
所述第一服务站获取、解密所述第三消息M3后验证所述站间认证参数KID;生成第四消息M4并将所述第四消息M4发送给所述客户端,所述第四消息包括所述第二一次性公钥,所述协商密钥KS,所述第二参数y,第二参数认证参数Y、所述站间认证参数KID、以及消息认证码MACQA;所述消息认证码MACQA等于(HASH(X)||NQB||IDQB,KS),其中HASH(X)为第一参数哈希值,NQB第一服务站生成的随机数,IDQB为第一服务站身份,KS为所述协商密钥;
所述客户端获取、解密、验证所述第四消息后,信任所述协商密钥并利用所述协商密钥验证并信任所述第二一次性公钥,将所述第二一次性公钥存储为第一一次性公钥;生成第五消息并向所述第一服务站发送所述第五消息,所述第五消息包括利用所述协商密钥,第一参数认证参数以及站间认证参数三者制作的认证码;
所述第一服务站获取、解密所述第五消息后,利用所述协商密钥验证认证码后确认所述协商密钥。
2.如权利要求1所述的量子通信服务站密钥协商方法,其特征在于,量子通信服务站密钥协商方法还包括:
所述第一服务站确认所述协商密钥后,生成第六消息并发送给所述第二服务站,所述第六消息包括:利用所述站间密钥,站间认证参数,第二参数认证参数三者制作的第二认证码;
所述第二服务站获取、解密所述第六消息后验证所述第二认证码。
3.如权利要求2所述的量子通信服务站密钥协商方法,其特征在于,
所述第五消息和第六消息内均还包括利用客户端私钥对所述第一参数和第二参数的第一签名,所述第二服务站验证所述第一签名后将所述旧一次性私钥置为无效值。
4.如权利要求1所述的量子通信服务站密钥协商方法,其特征在于,所述客户端和/或所述第一服务站将所述协商密钥拆分为消息加解密钥和消息认证密钥。
5.如权利要求1所述的量子通信服务站密钥协商方法,其特征在于,所述第一参数由所述客户端利用自身生成的第一随机数进行预设运算得到,所述第二参数由所述第二服务站利用自身生成的第二随机数进行预设运算得到。
6.如权利要求1所述的量子通信服务站密钥协商方法,其特征在于,所述第一参数认证参数包括利用所述第一参数进行哈希运算得到的第一参数哈希值,利用客户端私钥和第一参数计算得到了第一参数签名;所述第二参数认证参数包括利用所述第二参数进行哈希运算得到的第二参数哈希值,利用第一一次性私钥和第二参数计算得到了第二参数签名。
7.一种客户端设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1中所述量子通信服务站密钥协商方法中的客户端的步骤。
8.一种第一服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1中所述量子通信服务站密钥协商方法中的第一服务站的步骤。
9.一种第二服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1中所述量子通信服务站密钥协商方法中的第二服务站的步骤。
CN201910631611.9A 2019-07-12 2019-07-12 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 Active CN110519046B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910631611.9A CN110519046B (zh) 2019-07-12 2019-07-12 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910631611.9A CN110519046B (zh) 2019-07-12 2019-07-12 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统

Publications (2)

Publication Number Publication Date
CN110519046A CN110519046A (zh) 2019-11-29
CN110519046B true CN110519046B (zh) 2023-10-13

Family

ID=68623431

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910631611.9A Active CN110519046B (zh) 2019-07-12 2019-07-12 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统

Country Status (1)

Country Link
CN (1) CN110519046B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110971403A (zh) * 2019-12-02 2020-04-07 南京如般量子科技有限公司 一种基于秘密共享公钥池的抗量子计算区块链系统和交易方法
CN111211910B (zh) * 2019-12-30 2023-04-14 南京如般量子科技有限公司 基于秘密共享公钥池的抗量子计算ca及证书颁发系统及其颁发和验证方法
CN111314083B (zh) * 2020-01-21 2023-04-07 南京如般量子科技有限公司 基于秘密共享和非对称密码学的量子保密通信系统和方法
CN111314074A (zh) * 2020-02-25 2020-06-19 南京如般量子科技有限公司 基于秘密共享和时间戳的量子保密通信密钥分发和协商系统
CN112054852B (zh) * 2020-08-11 2022-03-18 如般量子科技有限公司 一种基于卫星的天空地一体化量子通信系统
CN112800439B (zh) * 2020-12-02 2022-02-08 中国电子科技集团公司第三十研究所 一种面向安全存储的密钥管理协议设计方法及系统
CN112702332B (zh) * 2020-12-21 2022-09-16 张华� 一种连锁密钥交换方法、客户端、服务器及系统
CN112822177B (zh) * 2020-12-30 2023-09-19 中国长城科技集团股份有限公司 数据传输方法、装置、设备和存储介质
CN116527259B (zh) * 2023-07-03 2023-09-19 中电信量子科技有限公司 基于量子密钥分发网络的跨域身份认证方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017188895A1 (en) * 2016-04-27 2017-11-02 Huawei International Pte. Ltd. Method and system for authentication with asymmetric key
CN109450623A (zh) * 2018-10-16 2019-03-08 如般量子科技有限公司 基于非对称密钥池的抗量子计算密钥协商方法
CN109495244A (zh) * 2018-10-16 2019-03-19 如般量子科技有限公司 基于对称密钥池的抗量子计算密钥协商方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7069435B2 (en) * 2000-12-19 2006-06-27 Tricipher, Inc. System and method for authentication in a crypto-system utilizing symmetric and asymmetric crypto-keys

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017188895A1 (en) * 2016-04-27 2017-11-02 Huawei International Pte. Ltd. Method and system for authentication with asymmetric key
CN109450623A (zh) * 2018-10-16 2019-03-08 如般量子科技有限公司 基于非对称密钥池的抗量子计算密钥协商方法
CN109495244A (zh) * 2018-10-16 2019-03-19 如般量子科技有限公司 基于对称密钥池的抗量子计算密钥协商方法

Also Published As

Publication number Publication date
CN110519046A (zh) 2019-11-29

Similar Documents

Publication Publication Date Title
CN110519046B (zh) 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统
US11621833B2 (en) Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system
CN110138548B (zh) 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统
CN110380859B (zh) 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统
CN110535626B (zh) 基于身份的量子通信服务站保密通信方法和系统
CN112351037B (zh) 用于安全通信的信息处理方法及装置
CN110505055B (zh) 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统
CN110380845B (zh) 基于群组对称密钥池的量子保密通信联盟链交易方法、系统、设备
CN109921905B (zh) 基于私钥池的抗量子计算密钥协商方法和系统
CN109905229B (zh) 基于群组非对称密钥池的抗量子计算Elgamal加解密方法和系统
CN110098925B (zh) 基于非对称密钥池对和随机数的量子通信服务站密钥协商方法和系统
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
CN110737915A (zh) 基于联盟链和隐式证书的抗量子计算匿名身份识别方法及系统
CN110557248A (zh) 基于无证书密码学的抗量子计算签密的密钥更新方法和系统
CN110365472B (zh) 基于非对称密钥池对的量子通信服务站数字签名方法、系统
JP2010231404A (ja) 秘密情報管理システム、秘密情報管理方法、および秘密情報管理プログラム
CN110519222B (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统
CN110176989B (zh) 基于非对称密钥池的量子通信服务站身份认证方法和系统
CN110266483B (zh) 基于非对称密钥池对和qkd的量子通信服务站密钥协商方法、系统、设备
CN110740034A (zh) 基于联盟链的qkd网络认证密钥生成方法及系统
CN110086627B (zh) 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和系统
CN110113152B (zh) 基于非对称密钥池对和数字签名的量子通信服务站密钥协商方法和系统
CN115412236A (zh) 一种密钥管理和密码计算的方法、加密方法及装置
CN110138547B (zh) 基于非对称密钥池对和序列号的量子通信服务站密钥协商方法和系统
CN110176997B (zh) 一种量子通信服务站aka密钥协商方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant