CN107404461A - 数据安全传输方法、客户端及服务端方法、装置及系统 - Google Patents
数据安全传输方法、客户端及服务端方法、装置及系统 Download PDFInfo
- Publication number
- CN107404461A CN107404461A CN201610339148.7A CN201610339148A CN107404461A CN 107404461 A CN107404461 A CN 107404461A CN 201610339148 A CN201610339148 A CN 201610339148A CN 107404461 A CN107404461 A CN 107404461A
- Authority
- CN
- China
- Prior art keywords
- client
- service end
- key
- identity
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 153
- 238000000034 method Methods 0.000 title claims abstract description 97
- 238000013459 approach Methods 0.000 claims abstract description 16
- 230000004044 response Effects 0.000 claims description 71
- 238000010200 validation analysis Methods 0.000 claims description 60
- 238000003860 storage Methods 0.000 claims description 51
- 238000013507 mapping Methods 0.000 claims description 29
- 238000012795 verification Methods 0.000 claims description 11
- 238000012360 testing method Methods 0.000 claims description 7
- 230000001360 synchronised effect Effects 0.000 claims description 5
- 235000013399 edible fruits Nutrition 0.000 claims description 2
- 238000004422 calculation algorithm Methods 0.000 abstract description 15
- 230000008569 process Effects 0.000 abstract description 15
- 238000005516 engineering process Methods 0.000 abstract description 13
- 230000008901 benefit Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 108091006146 Channels Proteins 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000010010 raising Methods 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 230000005610 quantum mechanics Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/08—Randomization, e.g. dummy operations or using noise
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Abstract
本申请公开了一种数据安全传输方法,同时公开了一种用于数据安全传输的服务端方法及装置,一种用于数据安全传输的客户端方法及装置,以及一种数据安全传输系统。所述数据安全传输方法,包括:客户端发送对服务端的访问请求;服务端接收所述访问请求后,与客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取相同的第一密钥,作为各自的数据加密密钥;客户端与服务端利用各自的数据加密密钥进行数据安全传输。本申请提供的上述方法,充分利用了量子密钥分发技术的优越性,有效避免了非对称密钥交换算法所具有的分发安全隐患、以及效率低下的问题,能够安全、高效地实现数据加密密钥的协商过程,为数据安全传输提供有力保障。
Description
技术领域
本申请涉及数据安全技术,具体涉及一种数据安全传输方法。本申请同时涉及一种用于数据安全传输的服务端方法及装置,一种用于数据安全传输的客户端方法及装置,以及一种数据安全传输系统。
背景技术
随着Internet技术的发展,近些年基于WEB服务进行的商务活动日益频繁,大量数据在客户端与服务端之间传输,为了保障数据传输的安全性,特别是为了保障网络交易、网络支付、网络银行等金融领域的敏感信息的安全传输,通常采用非对称密钥交换算法在客户端与服务端之间进行数据加密密钥(对称密钥)的协商(也称分发),然后双方再基于数据加密密钥进行数据的安全传输。
以HTTPS协议为例,在进行数据安全传输之前,客户端和服务端通常要进行密钥协商,客户端将其生成的随机密码串(也称PreMasterKey)采用服务端的公钥加密后传输给服务端,服务端采用私钥解密后获取随机密码串,随后双方基于已获取的随机密码串、采用相同的算法生成会话密钥,双方采用会话密钥实现后续的数据安全传输。
不难看出,非对称密钥交换算法是现有客户端/服务端架构下保障数据安全传输的基石,但是基于非对称密钥交换算法的数据传输过程存在以下问题:
1)数据加密密钥分发过程耗时长。因为非对称加密算法的复杂性、导致加密和解密的速度通常都比较慢,仍以HTTPS协议为例,在一次完全的TLS握手过程中,密钥交换时的非对称解密计算量占整个握手过程的90%以上,CPU计算资源消耗较大,导致整个数据加密密钥分发过程耗时长、效率低。
2)数据加密密钥存在被泄露的风险。对于非对称密钥交换算法来说,其安全性比对称加密算法高、难以破解,但是随着云计算、量子计算等在计算能力方面的飞速提高,可以在多项式时间内解决大数分解等难题,提高破解成功的概率,导致数据加密密钥存在被破解的风险,基于数据加密密钥传输的数据的安全性自然也无法得到保障。
发明内容
本申请实施例提供一种数据安全传输方法,以解决现有基于客户端/服务端架构的数据安全传输技术存在的数据加密密钥分发过程耗时长、以及安全性低的问题。本申请实施例还提供一种用数据安全传输的服务端方法和装置,一种用于数据安全传输的客户端方法及装置,以及一种数据安全传输系统。
本申请提供一种数据安全传输方法,包括:
客户端发送对服务端的访问请求;
服务端接收所述访问请求后,与客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取相同的第一密钥,作为各自的数据加密密钥;
客户端与服务端利用各自的数据加密密钥进行数据安全传输。
可选的,在所述服务端接收所述访问请求后,包括:
所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥,执行身份验证操作,并当所述身份验证操作的结果为通过时,执行所述服务端与所述客户端获取各自的数据加密密钥的步骤。
可选的,所述访问请求的内容包含:所述客户端的客户端标识;
所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥,执行身份验证操作,包括:
所述服务端根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;至少根据查找得到的身份密钥计算散列值,作为用于证实服务端身份的服务端验证信息;将至少包含所述服务端验证信息的响应信息发送给所述客户端;
所述客户端接收所述服务端返回的响应信息;采用与所述服务端计算服务端验证信息相同的方式,至少根据存储的身份密钥计算散列值;将计算得到的散列值与接收到的响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
可选的,在客户端发送对服务端的访问请求之前,包括:所述客户端至少根据存储的身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息;
所述客户端发送对服务端的访问请求是指,客户端发送包含所述客户端的客户端标识,以及所述客户端验证信息的访问请求;
所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥,执行身份验证操作,包括:所述服务端根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;采用与所述客户端计算客户端验证信息相同的方式,至少根据查找得到的身份密钥计算散列值;将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
可选的,在客户端发送对服务端的访问请求之前,包括:所述客户端读取存储的身份密钥;用所述身份密钥作为对称密钥、对采用预设方式生成的动态数值进行加密,得到用于验证所述服务端身份的密文;
所述客户端发送对服务端的访问请求是指,发送至少包含所述客户端的客户端标识、以及所述密文的访问请求;
所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥,执行身份验证操作,包括:
所述服务端根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;用查找得到的身份密钥对所述访问请求包含的密文解密,获取解密后的动态数值;至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值,作为用于证实服务端身份的服务端验证信息;将包含所述服务端的服务端标识以及所述服务端验证信息的响应信息发送给所述客户端;
所述客户端接收所述服务端返回的响应信息;采用与所述服务端计算服务端验证信息相同的方式,至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值;将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
可选的,在客户端读取存储的身份密钥之后,还包括:根据所述客户端的客户端标识以及所述身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息;
所述客户端发送的访问请求的内容还包含:所述客户端验证信息;
所述服务端在身份密钥映射关系表中查找对应的身份密钥之后,还包括:采用与所述客户端计算客户端验证信息相同的方式,根据接收到的访问请求包含的客户端标识以及查找得到的身份密钥计算散列值;将计算得到的散列值与接收到的访问请求包含的客户端验证信息进行比对,并在比对结果一致时,执行用查找得到的身份密钥对所述访问请求包含的密文解密,获取解密后的动态数值的步骤。
可选的,所述服务端至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值,包括:所述服务端根据所述访问请求包含的客户端标识,获取与所述客户端同步更新的种子数值;根据所述服务端的服务端标识、所述解密后的动态数值以及所述种子数值计算散列值;
所述客户端至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值,包括:根据所述响应信息包含的服务端标识,获取与所述服务端同步更新的种子数值;根据所述响应信息包含的服务端标识、所述生成的动态数值以及所述种子数值计算散列值。
可选的,所述服务端与所述客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取的信息还包括:相同的第二密钥;
所述方法还包括:所述客户端与所述服务端分别用所述第二密钥更新各自存储的所述客户端的身份密钥。
可选的,所述服务端与所述客户端分别从双方执行量子密钥分发操作生成的密钥序列中、至少获取相同的第一密钥,包括:
所述服务端与所述客户端执行量子密钥分发操作,生成相同的密钥序列;
所述服务端与所述客户端按照预先确定的获取方式,从各自生成的所述密钥序列中分别获取所述第一密钥。
可选的,所述客户端与服务端利用各自的数据加密密钥进行数据安全传输,包括:
所述服务端将利用数据加密密钥加密后的数据发送给所述客户端,所述客户端利用数据加密密钥对来自所述服务端的密文解密、以获取明文数据;和/或,
所述客户端将利用数据加密密钥加密后的数据发送给所述服务端,所述服务端利用数据加密密钥对来自所述客户端的密文解密、以获取明文数据。
可选的,所述方法应用于基于Web服务的数据传输应用场景中。
此外,本申请还提供一种用于数据安全传输的服务端方法,包括:
接收来自客户端的访问请求;
采用与所述客户端预先确定的获取方式,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥;
利用所述数据加密密钥与所述客户端进行数据安全传输。
可选的,在所述接收来自客户端的访问请求后,包括:
基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,并当所述身份验证操作的结果为通过时,执行获取数据加密密钥的步骤;其中,所述对应于所述客户端的身份密钥与所述客户端存储的身份密钥相同。
可选的,所述基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,包括:
根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;
至少根据查找得到的身份密钥计算散列值,作为用于证实服务端身份的服务端验证信息;
将至少包含所述服务端验证信息的响应信息发送给所述客户端;并在通过所述客户端的验证后,判定所述身份验证操作的结果为通过。
可选的,所述基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,包括:
根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;
采用与所述客户端计算客户端验证信息相同的方式,至少根据查找得到的身份密钥计算散列值;
将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
可选的,所述基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,包括:
根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;
用查找得到的身份密钥、对所述访问请求包含的用于验证服务端身份的密文解密,获取解密后的动态数值;
至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值,作为用于证实服务端身份的服务端验证信息;
将包含所述服务端的服务端标识以及所述服务端验证信息的响应信息发送给所述客户端,并在通过所述客户端的验证后,判定所述身份验证操作的结果为通过。
可选的,在身份密钥映射关系表中查找对应的身份密钥之后,还包括:
采用与所述客户端计算客户端验证信息相同的方式,根据所述访问请求包含的客户端标识以及查找得到的身份密钥计算散列值;
将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对,并在比对结果一致时,执行用查找得到的身份密钥、对所述访问请求包含的用于验证服务端身份的密文解密,获取解密后的动态数值的步骤。
可选的,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取的信息还包括:第二密钥;
所述方法还包括:用所述第二密钥更新本地存储的对应于所述客户端的身份密钥。
相应的,本申请还提供一种用于数据安全传输的服务端装置,包括:
访问请求接收单元,用于接收来自客户端的访问请求;
服务端数据加密密钥获取单元,用于采用与所述客户端预先确定的获取方式,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥;
服务端安全传输单元,用于利用所述数据加密密钥与所述客户端进行数据安全传输。
可选的,所述装置还包括:
服务端身份验证单元,用于在所述访问请求接收单元接收访问请求后,基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,并当所述身份验证操作的结果为通过时,触发所述服务端数据加密密钥获取单元工作;其中,所述对应于所述客户端的身份密钥与所述客户端存储的身份密钥相同。
可选的,所述服务端数据加密密钥获取单元,具体用于采用与所述客户端预先确定的获取方式,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取作为数据加密密钥的第一密钥、以及第二密钥;
所述装置还包括:服务端身份密钥更新单元,用于用所述第二密钥更新本地存储的对应于所述客户端的身份密钥。
此外,本申请还提供一种用于数据安全传输的客户端方法,包括:
发送对服务端的访问请求;
采用与所述服务端预先确定的获取方式,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥;
利用所述数据加密密钥与所述服务端进行数据安全传输。
可选的,在发送对服务端的访问请求之后,包括:
基于本地存储的身份密钥执行身份验证操作,并当所述身份验证操作的结果为通过时,执行获取数据加密密钥的步骤;其中,所述本地存储的身份密钥与所述服务端存储的对应于所述客户端的身份密钥相同。
可选的,所述访问请求的内容包含:所述客户端的客户端标识;
所述基于本地存储的身份密钥执行身份验证操作,包括:
接收所述服务端返回的响应信息;
采用与所述服务端计算服务端验证信息相同的方式,至少根据本地存储的身份密钥计算散列值;
将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
可选的,在发送对服务端的访问请求之前,包括:
至少根据存储的身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息;
所述发送对服务端的访问请求是指,发送包含所述客户端的客户端标识,以及所述客户端验证信息的访问请求;
所述基于本地存储的身份密钥执行身份验证操作,包括:判断基于本地存储的身份密钥生成的所述客户端验证信息是否通过所述服务端的验证,若是,判定所述身份验证操作的结果为通过。
可选的,在发送对服务端的访问请求之前,包括:
读取本地存储的身份密钥;
用所述身份密钥作为对称密钥、对采用预设方式生成的动态数值进行加密,得到用于验证所述服务端身份的密文;
所述发送对服务端的访问请求是指,发送至少包含所述客户端的客户端标识、以及所述密文的访问请求;
所述基于本地存储的身份密钥执行身份验证操作,包括:
接收所述服务端返回的响应信息;
采用与所述服务端计算服务端验证信息相同的方式,至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值;
将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
可选的,在读取存储的身份密钥之后,在发送对服务端的访问请求之前,还包括:根据所述客户端的客户端标识以及所述身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息;
所述发送对服务端的访问请求是指,发送包含所述客户端的客户端标识、所述客户端验证信息、以及所述密文的访问请求。
可选的,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取的信息还包括:第二密钥;
所述方法还包括:用所述第二密钥更新所述本地存储的身份密钥。
相应的,本申请还提供一种用于数据安全传输的客户端装置,包括:
访问请求发送单元,用于发送对服务端的访问请求;
客户端数据加密密钥获取单元,用于采用与所述服务端预先确定的获取方式,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥;
客户端安全传输单元,用于利用所述数据加密密钥与所述服务端进行数据安全传输。
可选的,所述装置还包括:
客户端身份验证单元,用于当所述访问请求发送单元发送访问请求后,基于本地存储的身份密钥执行身份验证操作,并当所述身份验证操作的结果为通过时,触发所述客户端数据加密密钥获取单元工作;其中,所述本地存储的身份密钥与所述服务端存储的对应于所述客户端的身份密钥相同。
可选的,所述客户端数据加密密钥获取单元,具体用于采用与所述服务端预先确定的获取方式,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取作为数据加密密钥的第一密钥、以及第二密钥;
所述装置还包括:客户端身份密钥更新单元,用于用所述第二密钥更新所述本地存储的身份密钥。
此外,本申请还提供一种数据安全传输系统,包括:根据上述任意一项所述的用于数据安全传输的服务端装置,和根据上述任意一项所述的用于数据安全传输的客户端装置。
与现有技术相比,本申请具有以下优点:
本申请提供的数据安全传输方法,客户端发送对服务端的访问请求;服务端接收所述访问请求后,与客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取相同的第一密钥,作为各自的数据加密密钥;客户端与服务端利用各自的数据加密密钥进行数据安全传输。本申请提供的数据安全传输方法,充分利用了量子密钥分发技术的优越性,客户端和服务端从执行量子密钥分发操作生成的相同密钥序列中选取相同密钥作为数据加密密钥,有效避免了非对称密钥交换算法所具有的分发安全隐患、以及解密耗时长、效率低下的问题,能够安全、高效地实现数据加密密钥的协商过程,为数据安全传输提供有力保障。
附图说明
图1是本申请的一种数据安全传输方法的实施例的流程图;
图2是本申请实施例提供的基于客户端密钥对服务端身份进行验证的处理流程图;
图3是本申请实施例提供的基于客户端密钥对客户端身份进行验证的处理流程图;
图4是本申请实施例提供的基于客户端密钥依次对客户端身份及服务端身份进行验证的处理流程图;
图5是本申请的一种用于数据安全传输的服务端方法的实施例的流程图;
图6是本申请的一种用于数据安全传输的服务端装置的实施例的示意图;
图7是本申请的一种用于数据安全传输的客户端方法的实施例的流程图;
图8是本申请的一种用于数据安全传输的客户端装置的实施例的示意图;
图9是本申请的一种数据安全传输系统的实施例的示意图;
图10是本申请实施例提供的数据安全传输系统的交互流程示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是,本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此,本申请不受下面公开的具体实施的限制。
在本申请中,分别提供了一种数据安全传输方法,一种用于数据安全传输的服务端方法及装置,一种用于数据安全传输的客户端方法及装置,以及一种数据安全传输系统,在下面的实施例中逐一进行详细说明。
在本申请的技术方案中,量子密钥分发操作是指,参与量子密钥分发操作的双方遵循量子密钥分发协议,经过原始密钥协商、密钥筛选和纠错、隐私放大等处理流程后,双方生成相同的随机密钥序列的操作过程;密钥序列,是指由若干密钥比特组成的序列;数据加密密钥是指,用于对数据进行加解密操作的对称密钥。
参考图1,其为本申请的一种数据安全传输方法的实施例的流程图,所述方法包括如下步骤:
步骤101、客户端发送对服务端的访问请求。
服务端通常可以为客户端提供各种服务、以满足服务端的需求,以Web服务端为例,可以为客户端提供信息检索服务、金融服务等。当用户或者某个应用需要使用服务端提供的服务时,可以向客户端发送指令并提供待访问服务端的相关信息,例如:服务端的地址信息等,从而客户端根据接收到的指令发送对服务端的访问请求。
步骤102、服务端接收所述访问请求后,与客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取相同的第一密钥,作为各自的数据加密密钥。
服务端接收所述访问请求后,为了保障数据的安全传输,服务端与客户端通常可以执行密钥协商操作,以使双方获取相同的数据加密密钥。在本实施例中,所述客户端与所述服务端没有采用常规的非对称密钥交换算法,而是分别从双方执行量子密钥分发操作生成的相同密钥序列中获取相同的第一密钥,作为各自的数据加密密钥。
所述量子密钥分发操作是指,参与密钥分发操作的双方遵循量子密钥分发协议生成相同的密钥序列的过程,所述量子密钥分发协议包括BB84、B91、B92协议等。量子密钥分发操作的基本过程如下所述:其中一方(简称Alice)随机地产生一组二进制数据串,根据数据串选择基矢制备相应编码的量子态,并通过量子信道发送给另一方(简称Bob),Bob接收到量子态后随机选择测量基矢进行测量;随后,Bob通过经典信道公开自己的测量基矢,从而双方筛选出基矢相同的原始密钥;最后双方通过估计误码率、纠错、隐私放大等处理获取到无条件安全的相同的密钥序列。
具体到本实施例,在所述服务端接收所述访问请求后,双方可以启动量子密钥分发过程,通过在量子信道传输量子态、以及利用经典信道交互协商等操作,最终双方获取相同的密钥序列,并采用双方预先确定的获取方式,分别从所述密钥序列中获取相同的第一密钥。
例如:双方都从各自生成的密钥序列的首个密钥比特开始,截取相同长度的密钥比特,从而双方获取相同的第一密钥;或者,由其中一方先从所述密钥序列中选取出第一密钥,然后将选取方式,例如:选取长度、选取位置等信息,通知给另一方,从而另一方也可以采用相同方式从自己的密钥序列中选取相同的第一密钥。
在具体实施时,如果所述服务端与所述客户端各自具有用于存储双方执行量子密钥分发操作生成的密钥序列的密钥池,那么双方可以先判断各自密钥池中是否还存在尚未使用、且满足长度要求的密钥序列,若有,则双方可以采用预先确定的获取方式从所述密钥池中获取相同的第一密钥,若没有再启动量子密钥分发过程也是可以的。
通过上述操作,所述客户端和所述服务端获取了相同的第一密钥,并分别将获取的第一密钥作为各自的数据加密密钥。此后,所述客户端和所述服务端就可以执行步骤103,利用各自的数据加密密钥进行数据安全传输。
将本实施例获取数据加密密钥的方式与现有技术进行对比,不难看出:现有的基于客户端/服务端架构的传输技术(例如基于HTTPS的传输技术),为了保证数据的安全传输,通常采用非对称密钥交换算法进行数据加密密钥的协商,存在耗时长、易被破解等缺陷;而在本实施例中,所述客户端和所述服务端从执行量子密钥分发操作生成的相同密钥序列中选取数据加密密钥,从而基于量子力学的基本原理,保证了数据加密密钥协商过程的安全性,而且由于不需要执行非对称解密过程,因此可以大幅减少计算耗时,提升协商数据加密密钥的效率。
在具体实施时,为了满足不同应用场景对安全传输的不同需求、通常可以先对客户端和/或服务端的身份进行验证,并在身份合法的情况下进行数据安全传输。现有基于客户端/服务端架构的传输技术为了实现基于非对称密钥交换算法的密钥协商过程,通常采用数字证书,一方面可以在服务端发送的数字证书中携带公钥信息,另一方面也可以利用数字证书进行身份验证。而采用基于数字证书的身份验证方法,需要额外增加对电子证书的管理和维护成本。
针对这一问题,本实施例提供的数据安全传输方法,在采用量子密钥分发技术完成数据加密密钥协商过程的基础上,还提供基于客户端身份密钥进行身份验证的优选实施方式,即:在本步骤102中,所述客户端和所述服务端可以基于各自存储的、所述客户端的相同身份密钥,先执行身份验证操作,并当所述身份验证操作的结果为通过时,双方再基于量子密钥分发技术获取各自的数据加密密钥。
其中,所述客户端存储的身份密钥、以及所述服务端存储的对应于所述客户端的身份密钥,可以是人工预先设置的,也可以是由特定服务器或者机构分发的,或者仅在所述服务端一侧预置后、由所述服务端主动推送或者基于所述客户端的请求发送给所述客户端,只要所述服务端存储的、对应于所述客户端的身份密钥,与所述客户端存储的身份密钥相同,就同样可以实现本申请的技术方案。
具体实施时,所述客户端可以在本地存储自己的客户端标识和身份密钥,服务端可以在身份密钥映射关系表中,存储可与其进行数据安全传输的各客户端(包括:本实施例所述的客户端)的客户端标识以及相应的身份密钥,从而可以根据来自客户端的访问请求中包含的客户端标识,通过在表中查找,获取相应的身份密钥。此处给出一个身份密钥映射关系表的示例:
| 客户端标识 | ID_A | ID_B | ID_C | ID_F | ID_G | ...... |
| 身份密钥 | IDA_Key | IDB_Key | IDC_Key | IDF_Key | IDG_Key | ...... |
下面结合具体的例子,给出三种进行身份验证的实施方式。为了便于描述,此处作以下说明:本实施例中所述客户端的客户端标识用ID_C表示,所述客户端的身份密钥用IDC_Key表示,所述服务端的服务端标识用ID_S表示;hash()为散列函数,也称哈希函数;hash(A,B)表示计算A和B的散列值,通常是指计算A和B以字符串形式拼接后得到的字符串的散列值;Enkey(r)表示用密钥key对数值r进行对称加密后获取的密文。
(一)验证服务端的身份
在采用本实施方式的一个具体例子中,请参见图2,所述客户端发送的访问请求中包含:所述客户端的客户端标识ID_C。在服务端接收访问请求后,双方执行以下身份验证操作:
1)服务端向客户端提供用于证实服务端身份的服务端验证信息。
所述服务端根据接收到的访问请求包含的客户端标识ID_C,在身份密钥映射关系表中查找对应的身份密钥IDC_Key,然后根据查找得到的身份密钥计算散列值hash(IDC_Key),作为用于证实服务端身份的服务端验证信息,最后将包含所述服务端验证信息的响应信息发送给所述客户端,即,向所述客户端发送{hash(IDC_Key)}。
2)客户端验证服务端的身份。
所述客户端接收所述服务端返回的响应信息后,采用与所述服务端计算服务端验证信息相同的方式(例如,双方可以预先设定计算服务端验证信息的方式),根据在本地存储的身份密钥计算散列值hash(IDC_Key),然后将计算得到的散列值与接收到的响应信息包含的服务端验证信息进行比对。两者相同,即,双方计算出来的散列值相同,那么在所述客户端一侧可以得出以下结论:所述服务端在其身份密钥映射关系表中存储的对应于所述客户端的身份密钥,与所述客户端存储的身份密钥一致,说明所述服务端的身份合法,因此判定本步骤执行的身份验证操作的结果为通过。具体实施时,所述客户端可以将所述身份验证操作的结果发送给所述服务端,从而所述服务端也可以获取本步骤身份验证操作的结果。
需要说明的是,在上述例子中,所述服务端仅根据IDC_Key计算作为服务端验证信息的散列值,在其他实施方式中,所述服务端也可以根据其他预设参数以及IDC_Key计算作为服务端验证信息的散列值,并且在发送的响应信息中不仅包含所述服务端验证信息,还包含参与计算的所述参数,那么客户端接收响应信息后,就可以采用与所述服务端相同的方式计算散列值,即:根据所述响应信息包含的参数以及存储的IDC_Key计算散列值。例如:所述服务端计算Hash(ID_S,IDC_Key)作为服务端验证信息,并向所述客户端发送响应信息{ID_S,hash(ID_S,IDC_Key)},所述客户端则根据所述响应信息包含的参数以及存储的IDC_Key计算散列值、并进行比对。
(二)验证客户端的身份
在采用本实施方式的一个具体例子中,请参见图3,所述客户端在发送访问请求之前,可以根据存储的身份密钥计算散列值hash(ID_C,IDC_Key),作为用于证实所述客户端身份的客户端验证信息。所述客户端在发送给所述服务端的访问请求中,包含所述客户端的客户端标识,以及所述客户端验证信息,即:向所述服务端发送{ID_C,hash(ID_C,IDC_Key)};
在本步骤中,所述服务端接收所述客户端发送的访问请求后,首先根据所述访问请求包含的客户端标识ID_C,在身份密钥映射关系表中查找对应的身份密钥IDC_Key,然后采用与所述客户端计算客户端验证信息相同的方式,根据所述访问请求包含的客户端标识ID_C以及查找得到的身份密钥计算散列值hash(ID_C,IDC_Key),最后,将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对。两者相同,即,双方计算出来的散列值相同,那么在所述服务端一侧可以得出如下结论:所述客户端存储的身份密钥,与身份密钥映射关系表中存储的对应于所述客户端的身份密钥相同,说明所述客户端的身份合法,因此可以判定本步骤执行的身份验证操作的结果为通过。具体实施时,所述服务端可以将所述身份验证操作的结果发送给所述客户端,从而所述客户端也可以获取本步骤身份验证操作的结果。
需要说明的是,在上述例子中,所述客户端根据ID_C和IDC_Key计算作为客户端验证信息的散列值。在其它实施方式中,所述客户端也可以仅计算IDC_Key的散列值,即,用hash(IDC_Key)作为所述客户端验证信息,那么所述服务端可以根据访问请求中包含的ID_C,查找对应的IDC_Key,并计算散列值hash(IDC_Key),然后将计算得到的散列值与访问请求中包含的客户端验证信息进行比对,也同样是可以的。
(三)双方依次验证对方的身份
在采用本实施方式的一个具体例子中,请参见图4,所述客户端在发送访问请求之前,首先读取在本地存储的身份密钥IDC_Key,根据所述客户端的客户端标识以及所述身份密钥计算散列值hash(ID_C,IDC_Key),作为用于证实所述客户端身份的客户端验证信息,然后用所述身份密钥作为对称密钥、对采用预设方式生成的动态数值r进行加密,得到用于验证所述服务端身份的密文EnIDC_Key(r),此处所述采用预设方式生成动态数值r,可以是采用随机方式生成随机数r,也可以采用预设的函数或者算法生成r,只要每次生成的r值是动态变化的即可。由于引入了动态数值r,可以防止重放攻击,从而保证对所述服务端身份验证的准确性。
所述客户端在发送给服务端的访问请求中,包含所述客户端的客户端标识ID_C、所述客户端验证信息hash(ID_C,IDC_Key)、以及所述密文EnIDC_Key(r),即:向所述服务端发送{ID_C,hash(ID_C,IDC_Key),EnIDC_Key(r)};
在服务端接收访问请求后,双方在本步骤中执行以下身份验证操作:
1)所述服务端验证所述客户端的身份
所述服务端首先根据所述访问请求包含的客户端标识ID_C,在身份密钥映射关系表中查找对应的身份密钥IDC_Key,然后采用与所述客户端计算客户端验证信息相同的方式,计算散列值hash(ID_C,IDC_Key),最后将计算得到的散列值与接收到的访问请求包含的客户端验证信息进行比对。两者相同,说明所述客户端的身份合法。
所述服务端在成功验证所述客户端身份的合法性后,进一步生成服务端验证信息并发送给客户端进行验证,具体说,所述服务端可以用查找得到的身份密钥IDC_Key,采用与所述客户端加密动态数值r所采用的加密算法相应的解密算法,对所述访问请求包含的密文解密,获取解密后的动态数值r,然后根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值hash(ID_S,r),作为用于证实服务端身份的服务端验证信息,最后将包含所述服务端的服务端标识以及所述服务端验证信息的响应信息发送给所述客户端,即:向所述客户端发送{ID_S,hash(ID_S,r)}。
2)所述客户端验证所述服务端的身份
所述客户端接收所述服务端返回的响应信息后,采用与所述服务端计算服务端验证信息相同的方式,根据所述响应信息包含的服务端标识、以及在发送访问请求之前已生成的动态数值r计算散列值hash(ID_S,r),然后将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对。两者相同,即,双方计算出来的散列值相同,那么在所述客户端一侧可以得出以下结论:所述服务端在其身份密钥映射关系表中存储的对应于所述客户端的身份密钥、与所述客户端自己存储的身份密钥一致,从而所述服务端才能够对接收到的访问请求中包含的密文进行正确解密、并进一步计算出正确的散列值,说明所述服务端的身份合法。
至此,所述客户端通过了所述服务端的身份验证,所述服务端也通过了所述客户端的身份验证,因此可以判定在本步骤中执行的身份验证操作的结果为通过。具体实施时,所述客户端可以将所述身份验证操作的结果发送给所述服务端,从而所述服务端也可以获取本步骤身份验证操作的结果。
优选地,为了进一步保障对所述服务端身份验证的准确性,所述服务端在完成对所述客户端的身份验证后,还可以在计算服务端验证信息时引入与所述客户端同步更新的种子数值n,同样所述客户端在验证所述服务端的身份时也利用与所述服务端同步更新的种子数值n进行相关计算。
其中,所述种子数值是所述客户端与所述服务端各自存储、且同步更新的共享数值,所述客户端可以将所述服务端的服务端标识、与两者之间维护的种子数值在所述客户端本地对应存储,同样所述服务端也可以将所述客户端的客户端标识与两者之间维护的种子数值在所述服务端本地对应存储。双方可以采用相同的预设方式同步更新各自维护的种子数值,保证种子数值的一致性和动态性。例如:可以采用双方交互次数的统计值作为各自维护的种子数值。
上述优选实施方式具体可以这样实现:所述服务端根据所述访问请求包含的客户端标识ID_C,获取与所述客户端同步更新的种子数值n,然后计算hash(ID_S,r+n)作为服务端验证信息;所述客户端在验证所述服务端的身份时,根据所述响应信息包含的服务端标识,获取本地存储的、与所述服务端同步更新的种子数值n,然后根据所述响应信息包含的服务端标识、已生成的r,以及所述种子数值n,计算散列值hash(ID_S,r+n),并将计算得到的散列值与接收到的服务端验证信息进行比对。比对结果一致,说明所述服务端不仅具有正确的IDC_Key,而且具有与所述客户端相同的种子数值,因此说明所述服务端身份合法。采用这种优选实施方式,相当于增加了验证条件,可以进一步保证对服务端身份验证的准确性。
至此,对双方依次验证对方身份的实施方式进行了描述。在具体实施时,也可以基于相同的原理,对上述实施方式进行变更,例如,也可以仅对所述服务端的身份进行验证,在这种情况下,所述客户端可以不生成客户端验证信息。
通过上述(一)~(三),对客户端与服务端基于各自存储的、所述客户端的相同身份密钥执行身份验证操作的实施方式进行了说明。在具体实施时,也可以在上述实施方式的基础上进行变更,只要依据是否具有正确的客户端身份密钥进行身份验证,就同样在本申请的保护范围之内。
现有基于客户端/服务端架构的数据安全传输技术在进行身份验证时,通常采用基于数字证书的验证方式,以基于HTTPS的数据传输为例,服务端需要将自己的数字证书发送给客户端,客户端根据数字证书验证服务端身份是否合法,同样服务端如需验证客户端身份,也需要客户端提供自己的数字证书。为了实现上述目的,服务端(和客户端)通常需要申请数字证书、并由专门的数字证书认证机构(CA)通过严格的审核之后予以颁发,整个过程操作繁琐。而本实施例给出的基于客户端身份密钥的身份验证方式,由于不需要使用数字证书,因此减免了针对数字证书的申请、管理等维护成本。
通过上述描述可以看出,本实施例给出的身份验证方案是基于合法客户端和合法服务端具有针对所述客户端的相同的身份密钥这一原理,为了进一步保证身份验证的准确性,所述客户端和所述服务端可以对各自存储的所述客户端的身份密钥进行动态更新,但是如果采用常规的动态更新方法(例如,所述服务端重新生成所述客户端的身份密钥,并将重新生成的身份密钥推送给所述客户端)通常存在安全隐患,因此本实施例还提供利用量子密钥分发技术对身份密钥进行更新的优选实施方式。
采用所述优选实施方式,在步骤102中,所述服务端与所述客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取的信息不仅仅包括相同的第一密钥,还包括:相同的第二密钥,并且所述服务端用获取的第二密钥更新其存储的、与所述客户端对应的身份密钥,例如,更新身份密钥映射关系表中,与所述客户端的客户端标识对应存储的身份密钥;所述客户端用获取的第二密钥更新其存储的身份密钥,从而双方同步更新了各自存储的、所述客户端的身份密钥,从而在双方的下一轮交互中(即:所述客户端再次发起对所述服务端的访问请求后的交互过程)双方可以使用更新后的客户端密钥进行身份验证。由于双方用从执行量子密钥分发操作生成的密钥序列中获取的第二密钥更新各自存储的客户端密钥,一方面可以基于量子力学原理保证第二密钥的安全分发,而且由于实现了对客户端密钥的动态更新,可以进一步保证身份验证的准确性,保障数据传输的安全性。
在具体实施时,在所述服务端接收来自所述客户端的访问请求后,双方可以启动量子密钥分发过程获取相同的密钥序列,并按照预先确定的获取方式从各自的密钥序列中获取第一密钥和第二密钥。例如:双方生成的密钥序列为{000111000101110011000011101},可以选取前8个密钥比特{00011100}为第一密钥,即:数据加密密钥,选取随后的8个密钥比特{01011100}为第二密钥,所述服务端用{01011100}更新其本地存储的所述客户端的身份密钥,所述客户端用{01011100}更新其本地存储的身份密钥。
获取第一密钥和第二密钥的具体方式(例如:位置、长度等)可以是所述客户端和所述服务端预先设定的,也可以是由其中一方选取之后,将其采用的选取方式告知另一方,从而另一方也采用相同的方式获取第一密钥和第二密钥。
具体实施时,如果所述服务端和所述客户端各自具有用于存储双方执行量子密钥分发操作生成的密钥序列的密钥池,那么双方也可以从各自的密钥池中获取第一密钥和第二密钥,基本原理和上述过程类似,此处不再赘述。
步骤103、客户端与服务端利用各自的数据加密密钥进行数据安全传输。
执行到本步骤时,所述客户端和所述服务端已经获取了相同的数据加密密钥,因此可以进行数据安全传输。具体说:所述服务端采用对称加密算法,利用数据加密密钥对数据加密,然后将加密后的密文发送给所述客户端,所述客户端则采用与所述服务端相对应的解密算法,利用数据加密密钥对来自所述服务端的密文解密、以获取明文数据;或者,类似的,所述客户端将利用数据加密密钥加密后的数据发送给所述服务端,所述服务端利用数据加密密钥对来自所述客户端的密文解密、以获取明文数据。
此外,为了进一步保证数据传输过程的安全性,所述客户端和所述服务端也可以在数据传输过程中携带身份验证信息、以供对方验证。下面针对上述(三)中描写的客户端和服务端在获取数据加密密钥之前分别验证了对方身份为例,对数据传输过程携带身份验证信息的实施方式进行说明,为了便于举例,所述客户端和所述服务端所采用的数据加密密钥用h表示,待发送的数据用data表示。
1)所述服务端发送数据,所述客户端接收数据
所述服务端先利用所述数据加密密钥对待发送数据加密,得到密文,然后根据所述服务端的服务端标识、以及已查找得到的身份密钥计算散列值(在获取数据加密密钥之前的身份验证操作中已查找得到的),作为服务端数据包验证信息,将包含所述服务端的服务端标识、所述服务端数据包验证信息、以及所述密文的数据包发送给所述客户端。例如:所述服务端向所述客户端发送{ID_S,hash(ID_S,IDC_Key),Enh(data)}。
所述客户端接收来自所述服务端的数据包后,采用与所述服务端计算服务端数据包验证信息相同的方式,根据所述数据包所包含的服务端标识、以及已读取的身份密钥(在获取数据加密密钥之前的身份验证操作中已读取的)计算散列值,然后将计算得到的散列值与所述数据包中携带的服务端数据包验证信息进行比对,并在比对结果一致的情况下,利用所述数据加密密钥对所述数据包中的密文解密,以获取所述服务端发送的明文数据。
2)所述客户端发送数据,所述服务端接收数据
类似的,所述客户端先利用所述数据加密密钥对待发送数据加密,得到密文,然后根据所述客户端的客户端标识、以及已读取的身份密钥计算散列值,作为用于证实客户端身份的客户端数据包验证信息,将包含所述客户端的客户端标识、所述客户端数据包验证信息、以及所述密文的数据包发送给所述服务端。例如:所述客户端向所述服务端发送{ID_C,hash(ID_C,IDC_Key),Enh(data)}。
所述服务端接收来自所述客户端的数据包后,采用与所述客户端计算客户端数据包验证信息相同的方式,根据所述数据包所包含的客户端标识、以及已查找得到的身份密钥计算散列值,然后将计算得到的散列值与所述数据包中携带的客户端数据包验证信息进行比对,并在比对结果一致的情况下,利用所述数据加密密钥对所述数据包中的密文解密,以获取所述客户端发送的明文数据。
至此,通过步骤101-103,对本实施例提供的数据安全传输方法的实施方式进行了描述。在具体实施时,所述方法可以应用于基于Web服务的数据传输应用场景中,所述服务端可以为Web服务端,所述客户端可以为Web客户端,可以用本实施例提供的基于量子密钥的密钥协商方案替换HTTPS协议中的密钥协商处理流程,从而改善客户端和服务端之间进行密钥协商的安全性和性能;进一步的,也可以用本实施例提供的基于身份密钥的身份验证方案替换HTTPS协议中的身份验证相关处理流程,从而可以减少数字证书的维护成本。
综上所述,本实施例提供的数据安全传输方法,充分利用了量子密钥分发技术的优越性,客户端和服务端从执行量子密钥分发操作生成的相同密钥序列中选取相同密钥作为数据加密密钥,有效避免了非对称密钥交换算法所具有的分发安全隐患、以及解密耗时长、效率低下的问题,能够安全、高效地实现数据加密密钥的协商过程,为数据安全传输提供有力保障。
此外,本申请还提供一种用于数据安全传输的服务端方法,请参考图5,其为本申请提供的用于数据安全传输的服务端方法的实施例的流程图,本实施例与上述方法实施例步骤相同的部分不再赘述,下面重点描述不同之处。本实施例的一种用于数据安全传输的服务端方法包括如下步骤:
步骤501、接收来自客户端的访问请求。
步骤502、采用与所述客户端预先确定的获取方式,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥。
可以执行以下操作获取第一密钥:与所述客户端执行量子密钥分发操作,生成与所述客户端相同的密钥序列;采用与所述客户端预先确定的获取方式,从所述密钥序列中获取所述第一密钥,作为数据加密密钥。
优选地,在获取数据加密密钥之前,可以基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,并当所述身份验证操作的结果为通过时,执行获取数据加密密钥的步骤;其中,所述对应于所述客户端的身份密钥与所述客户端存储的身份密钥相同。下面给出身份验证操作的三种实施方式。
(一)所述基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,可以包括:根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;至少根据查找得到的身份密钥计算散列值,作为用于证实服务端身份的服务端验证信息;将至少包含所述服务端验证信息的响应信息发送给所述客户端;并在通过所述客户端的验证后,判定所述身份验证操作的结果为通过。
(二)所述基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,可以包括:根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;采用与所述客户端计算客户端验证信息相同的方式,至少根据查找得到的身份密钥计算散列值;将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
(三)所述基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,可以包括:根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;用查找得到的身份密钥、对所述访问请求包含的用于验证服务端身份的密文解密,获取解密后的动态数值;至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值,作为用于证实服务端身份的服务端验证信息;将包含所述服务端的服务端标识以及所述服务端验证信息的响应信息发送给所述客户端,并在通过所述客户端的验证后,判定所述身份验证操作的结果为通过。
在身份密钥映射关系表中查找对应的身份密钥之后,还包括:采用与所述客户端计算客户端验证信息相同的方式,根据所述访问请求包含的客户端标识以及查找得到的身份密钥计算散列值;将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对,并在比对结果一致时,执行用查找得到的身份密钥、对所述访问请求包含的用于验证服务端身份的密文解密,获取解密后的动态数值的步骤。
所述至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值,包括:根据所述访问请求包含的客户端标识,获取与所述客户端同步更新的种子数值;根据所述服务端的服务端标识、所述解密后的动态数值以及所述种子数值计算散列值。
上面(一)~(三)给出了身份验证操作的三种实施方式,当身份验证操作的结果为通过时,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥。优选地,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取的信息还包括:第二密钥;所述服务端用所述第二密钥更新本地存储的对应于所述客户端的身份密钥。
步骤503、利用所述数据加密密钥与所述客户端进行数据安全传输。
本步骤包括:将利用所述数据加密密钥加密后的数据发送给所述客户端;和/或,利用所述数据加密密钥对来自所述客户端的密文解密、以获取明文数据。
至此,通过上述步骤501-503,对本实施提供的用于数据安全传输的服务端方法的实施方式进行了说明。
在上述的实施例中,提供了一种用于数据安全传输的服务端方法,与之相对应的,本申请还提供一种用于数据安全传输的服务端装置。请参看图6,其为本申请的一种用于数据安全传输的服务端装置的实施例的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本实施例的一种用于数据安全传输的服务端装置,包括:访问请求接收单元601,用于接收来自客户端的访问请求;服务端数据加密密钥获取单元602,用于采用与所述客户端预先确定的获取方式,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥;服务端安全传输单元603,用于利用所述数据加密密钥与所述客户端进行数据安全传输。
可选的,所述装置还包括:
服务端身份验证单元,用于在所述访问请求接收单元接收访问请求后,基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,并当所述身份验证操作的结果为通过时,触发所述服务端数据加密密钥获取单元工作;其中,所述对应于所述客户端的身份密钥与所述客户端存储的身份密钥相同。
可选的,所述服务端身份验证单元包括:
密钥查找子单元,用于根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;
第一服务端验证信息计算子单元,用于至少根据查找得到的身份密钥计算散列值,作为用于证实服务端身份的服务端验证信息;
第一响应信息发送及结果判定子单元,用于将至少包含所述服务端验证信息的响应信息发送给所述客户端,并在通过所述客户端的验证后,判定所述身份验证操作的结果为通过。
可选的,所述服务端身份验证单元包括:
密钥查找子单元,用于根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;
服务端第一散列值计算子单元,用于采用与所述客户端计算客户端验证信息相同的方式,至少根据查找得到的身份密钥计算散列值;
服务端散列值比对及结果判定子单元,用于将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
可选的,所述服务端身份验证单元包括:
密钥查找子单元,用于根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;
动态数值解密子单元,用于用查找得到的身份密钥、对所述访问请求包含的用于验证服务端身份的密文解密,获取解密后的动态数值;
第二服务端验证信息计算子单元,用于至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值,作为用于证实服务端身份的服务端验证信息;
第二响应信息发送及结果判定子单元,用于将包含所述服务端的服务端标识以及所述服务端验证信息的响应信息发送给所述客户端,并在通过所述客户端的验证后,判定所述身份验证操作的结果为通过。
可选的,所述服务端身份验证单元还包括:
服务端第二散列值计算子单元,用于在所述密钥查找子单元工作后,采用与所述客户端计算客户端验证信息相同的方式,根据所述访问请求包含的客户端标识以及查找得到的身份密钥计算散列值;
散列值比对子单元,用于将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对,并在比对结果一致时,触发所述动态数值解密子单元工作。
可选的,所述第二服务端验证信息计算子单元,包括:
服务端种子数值获取子单元,用于根据所述访问请求包含的客户端标识,获取与所述客户端同步更新的种子数值;
服务端散列值计算执行子单元,用于根据所述服务端的服务端标识、所述解密后的动态数值以及所述种子数值计算散列值,作为用于证实服务端身份的服务端验证信息。
可选的,所述服务端数据加密密钥获取单元,具体用于采用与所述客户端预先确定的获取方式,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取作为数据加密密钥的第一密钥、以及第二密钥;
所述装置还包括:服务端身份密钥更新单元,用于用所述第二密钥更新本地存储的对应于所述客户端的身份密钥。
可选的,所述服务端数据加密密钥获取单元包括:
服务端量子密钥分发子单元,用于与所述客户端执行量子密钥分发操作,生成与所述客户端相同的密钥序列;
服务端第一密钥获取子单元,用于采用与所述客户端预先确定的获取方式,从所述密钥序列中获取所述第一密钥,作为数据加密密钥。
可选的,所述服务端安全传输单元,具体用于将利用所述数据加密密钥加密后的数据发送给所述客户端;和/或,利用所述数据加密密钥对来自所述客户端的密文解密、以获取明文数据。
此外,本申请还提供一种用于数据安全传输的客户端方法,请参考图7,其为本申请提供的用于数据安全传输的客户端方法的实施例的流程图,本实施例与上述方法实施例步骤相同的部分不再赘述,下面重点描述不同之处。本实施例的一种用于数据安全传输的客户端方法包括如下步骤:
步骤701、发送对服务端的访问请求。
步骤702、采用与所述服务端预先确定的获取方式,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥。
可以执行以下操作获取第一密钥:与所述服务端执行量子密钥分发操作,生成与所述服务端相同的密钥序列;采用与所述服务端预先确定的获取方式,从所述密钥序列中获取所述第一密钥,作为数据加密密钥。
优选地,在发送对服务端的访问请求之后,可以基于本地存储的身份密钥执行身份验证操作,并当所述身份验证操作的结果为通过时,执行获取数据加密密钥的步骤;其中,所述本地存储的身份密钥与所述服务端存储的对应于所述客户端的身份密钥相同。下面给出身份验证操作的三种实施方式。
(一)所述访问请求的内容包含:所述客户端的客户端标识。所述基于本地存储的身份密钥执行身份验证操作,包括:接收所述服务端返回的响应信息;采用与所述服务端计算服务端验证信息相同的方式,至少根据本地存储的身份密钥计算散列值;将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
(二)在发送对服务端的访问请求之前,至少根据存储的身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息;所述发送对服务端的访问请求是指,发送包含所述客户端的客户端标识,以及所述客户端验证信息的访问请求。所述基于本地存储的身份密钥执行身份验证操作,包括:判断基于本地存储的身份密钥生成的所述客户端验证信息是否通过所述服务端的验证,若是,判定所述身份验证操作的结果为通过。
(三)在发送对服务端的访问请求之前,读取本地存储的身份密钥;用所述身份密钥作为对称密钥、对采用预设方式生成的动态数值进行加密,得到用于验证所述服务端身份的密文。所述发送对服务端的访问请求是指,发送至少包含所述客户端的客户端标识、以及所述密文的访问请求。所述基于本地存储的身份密钥执行身份验证操作,包括:接收所述服务端返回的响应信息;采用与所述服务端计算服务端验证信息相同的方式,至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值;将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
在读取存储的身份密钥之后,在发送对服务端的访问请求之前,还包括:根据所述客户端的客户端标识以及所述身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息。所述发送对服务端的访问请求是指,发送包含所述客户端的客户端标识、所述客户端验证信息、以及所述密文的访问请求。
所述至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值,包括:根据所述响应信息包含的服务端标识,获取与所述服务端同步更新的种子数值;根据所述响应信息包含的服务端标识、所述生成的动态数值以及所述种子数值计算散列值。
上面(一)~(三)给出了身份验证操作的三种实施方式,当身份验证操作的结果为通过时,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥。优选地,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取的信息还包括:第二密钥;所述客户端用所述第二密钥更新本地存储的身份密钥。
步骤703、利用所述数据加密密钥与所述服务端进行数据安全传输。
本步骤包括:利用所述数据加密密钥对来自所述服务端的密文解密、以获取明文数据;和/或,将利用所述数据加密密钥加密后的数据发送给所述服务端。
至此,通过上述步骤701-703,对本实施提供的用于数据安全传输的客户端方法的实施方式进行了说明。
在上述的实施例中,提供了一种用于数据安全传输的客户端方法,与之相对应的,本申请还提供一种用于数据安全传输的客户端装置。请参看图8,其为本申请的一种用于数据安全传输的客户端装置的实施例的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本实施例的一种用于数据安全传输的客户端装置,包括:访问请求发送单元,用于发送对服务端的访问请求801;客户端数据加密密钥获取单元802,用于采用与所述服务端预先确定的获取方式,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥;客户端安全传输单元803,用于利用所述数据加密密钥与所述服务端进行数据安全传输。
可选的,所述装置还包括:
客户端身份验证单元,用于当所述访问请求发送单元发送访问请求后,基于本地存储的身份密钥执行身份验证操作,并当所述身份验证操作的结果为通过时,触发所述客户端数据加密密钥获取单元工作;其中,所述本地存储的身份密钥与所述服务端存储的对应于所述客户端的身份密钥相同。
可选的,所述访问请求发送单元,具体用于发送包含所述客户端的客户端标识的访问请求;
所述客户端身份验证单元包括:
响应信息接收单元,用于接收所述服务端返回的响应信息;
客户端第一散列值计算子单元,用于采用与所述服务端计算服务端验证信息相同的方式,至少根据本地存储的身份密钥计算散列值;
客户端第一散列值比对及结果判定子单元,用于将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
可选的,所述装置还包括:
第一客户端验证信息计算单元,用于至少根据存储的身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息,并触发所述访问请求发送单元工作;
所述访问请求发送单元具体用于,发送包含所述客户端的客户端标识,以及所述客户端验证信息的访问请求;
所述客户端身份验证单元,具体用于判断基于本地存储的身份密钥生成的所述客户端验证信息是否通过所述服务端的验证,若是,判定所述身份验证操作的结果为通过。
可选的,所述装置还包括:
身份密钥读取单元,用于读取本地存储的身份密钥;
动态数值加密单元,用于用所述身份密钥作为对称密钥、对采用预设方式生成的动态数值进行加密,得到用于验证所述服务端身份的密文,并触发所述访问请求发送单元工作;
所述访问请求发送单元,具体用于发送至少包含所述客户端的客户端标识、以及所述密文的访问请求;
所述客户端身份验证单元,包括:
响应信息接收子单元,用于接收所述服务端返回的响应信息;
客户端第二散列值计算子单元,用于采用与所述服务端计算服务端验证信息相同的方式,至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值;
客户端第二散列值比对及结果判定子单元,用于将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
可选的,所述装置还包括:
第二客户端验证信息计算单元,用于在所述身份密钥读取单元工作之后,根据所述客户端的客户端标识以及所述身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息,并触发所述动态数值加密单元工作;
所述访问请求发送单元,具体用于发送包含所述客户端的客户端标识、所述客户端验证信息、以及所述密文的访问请求。
可选的,所述客户端第二散列值计算子单元包括:
客户端种子数值获取子单元,用于根据所述响应信息包含的服务端标识,获取与所述服务端同步更新的种子数值;
客户端散列值计算执行子单元,用于根据所述响应信息包含的服务端标识、所述生成的动态数值以及所述种子数值计算散列值。
可选的,所述客户端数据加密密钥获取单元,具体用于采用与所述服务端预先确定的获取方式,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取作为数据加密密钥的第一密钥、以及第二密钥;
所述装置还包括:客户端身份密钥更新单元,用于用所述第二密钥更新所述本地存储的身份密钥。
可选的,所述客户端数据加密密钥获取单元,包括:
客户端量子密钥分发子单元,用于与所述服务端执行量子密钥分发操作,生成与所述服务端相同的密钥序列;
客户端第一密钥获取子单元,用于采用与所述服务端预先确定的获取方式,从所述密钥序列中获取所述第一密钥,作为数据加密密钥。
可选的,所述客户端安全传输单元,具体用于利用所述数据加密密钥对来自所述服务端的密文解密、以获取明文数据;和/或,将利用所述数据加密密钥加密后的数据发送给所述服务端。
此外,本申请还提供一种数据安全传输系统,请参见图9,其为本申请的一种数据安全传输系统的实施例的示意图,所述系统包括用于数据安全传输的服务端装置901(简称服务端装置)、用于数据安全传输的客户端装置902(简称客户端装置)。在具体实施时,所述客户端装置通常部署在客户端设备上,所述服务端设备通常部署在服务器上。
下面举例说明本实施例中所述数据安全传输系统的基本处理流程,请参见图10,所述基本处理流程包括以下3个步骤:
1)所述客户端装置向所述服务端装置发送访问请求;
2)所述客户端装置与所述服务端装置通过执行量子密钥分发操作,获取相同的第一密钥,作为各自的数据加密密钥;
3)所述客户端装置与所述服务端装置利用各自的数据加密密钥进行数据安全传输。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
Claims (32)
1.一种数据安全传输方法,其特征在于,包括:
客户端发送对服务端的访问请求;
服务端接收所述访问请求后,与客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取相同的第一密钥,作为各自的数据加密密钥;
客户端与服务端利用各自的数据加密密钥进行数据安全传输。
2.根据权利要求1所述的数据安全传输方法,其特征在于,在所述服务端接收所述访问请求后,包括:
所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥,执行身份验证操作,并当所述身份验证操作的结果为通过时,执行所述服务端与所述客户端获取各自的数据加密密钥的步骤。
3.根据权利要求2所述的数据安全传输方法,其特征在于,所述访问请求的内容包含:所述客户端的客户端标识;
所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥,执行身份验证操作,包括:
所述服务端根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;至少根据查找得到的身份密钥计算散列值,作为用于证实服务端身份的服务端验证信息;将至少包含所述服务端验证信息的响应信息发送给所述客户端;
所述客户端接收所述服务端返回的响应信息;采用与所述服务端计算服务端验证信息相同的方式,至少根据存储的身份密钥计算散列值;将计算得到的散列值与接收到的响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
4.根据权利要求2所述的数据安全传输方法,其特征在于,在客户端发送对服务端的访问请求之前,包括:所述客户端至少根据存储的身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息;
所述客户端发送对服务端的访问请求是指,客户端发送包含所述客户端的客户端标识,以及所述客户端验证信息的访问请求;
所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥,执行身份验证操作,包括:所述服务端根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;采用与所述客户端计算客户端验证信息相同的方式,至少根据查找得到的身份密钥计算散列值;将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
5.根据权利要求2所述的数据安全传输方法,其特征在于,在客户端发送对服务端的访问请求之前,包括:所述客户端读取存储的身份密钥;用所述身份密钥作为对称密钥、对采用预设方式生成的动态数值进行加密,得到用于验证所述服务端身份的密文;
所述客户端发送对服务端的访问请求是指,发送至少包含所述客户端的客户端标识、以及所述密文的访问请求;
所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥,执行身份验证操作,包括:
所述服务端根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;用查找得到的身份密钥对所述访问请求包含的密文解密,获取解密后的动态数值;至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值,作为用于证实服务端身份的服务端验证信息;将包含所述服务端的服务端标识以及所述服务端验证信息的响应信息发送给所述客户端;
所述客户端接收所述服务端返回的响应信息;采用与所述服务端计算服务端验证信息相同的方式,至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值;将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
6.根据权利要求5所述的数据安全传输方法,其特征在于,在客户端读取存储的身份密钥之后,还包括:根据所述客户端的客户端标识以及所述身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息;
所述客户端发送的访问请求的内容还包含:所述客户端验证信息;
所述服务端在身份密钥映射关系表中查找对应的身份密钥之后,还包括:采用与所述客户端计算客户端验证信息相同的方式,根据接收到的访问请求包含的客户端标识以及查找得到的身份密钥计算散列值;将计算得到的散列值与接收到的访问请求包含的客户端验证信息进行比对,并在比对结果一致时,执行用查找得到的身份密钥对所述访问请求包含的密文解密,获取解密后的动态数值的步骤。
7.根据权利要求5或6所述的数据安全传输方法,其特征在于,所述服务端至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值,包括:所述服务端根据所述访问请求包含的客户端标识,获取与所述客户端同步更新的种子数值;根据所述服务端的服务端标识、所述解密后的动态数值以及所述种子数值计算散列值;
所述客户端至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值,包括:根据所述响应信息包含的服务端标识,获取与所述服务端同步更新的种子数值;根据所述响应信息包含的服务端标识、所述生成的动态数值以及所述种子数值计算散列值。
8.根据权利要求2-6任一项所述的数据安全传输方法,其特征在于,所述服务端与所述客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取的信息还包括:相同的第二密钥;
所述方法还包括:所述客户端与所述服务端分别用所述第二密钥更新各自存储的所述客户端的身份密钥。
9.根据权利要求1所述的数据安全传输方法,其特征在于,所述服务端与所述客户端分别从双方执行量子密钥分发操作生成的密钥序列中、至少获取相同的第一密钥,包括:
所述服务端与所述客户端执行量子密钥分发操作,生成相同的密钥序列;
所述服务端与所述客户端按照预先确定的获取方式,从各自生成的所述密钥序列中分别获取所述第一密钥。
10.根据权利要求1所述的用于数据安全传输的服务端方法,其特征在于,所述客户端与服务端利用各自的数据加密密钥进行数据安全传输,包括:
所述服务端将利用数据加密密钥加密后的数据发送给所述客户端,所述客户端利用数据加密密钥对来自所述服务端的密文解密、以获取明文数据;和/或,
所述客户端将利用数据加密密钥加密后的数据发送给所述服务端,所述服务端利用数据加密密钥对来自所述客户端的密文解密、以获取明文数据。
11.根据权利要求1所述的数据安全传输的服务端方法,其特征在于,所述方法应用于基于Web服务的数据传输应用场景中。
12.一种用于数据安全传输的服务端方法,其特征在于,包括:
接收来自客户端的访问请求;
采用与所述客户端预先确定的获取方式,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥;
利用所述数据加密密钥与所述客户端进行数据安全传输。
13.根据权利要求12所述的用于数据安全传输的服务端方法,其特征在于,在所述接收来自客户端的访问请求后,包括:
基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,并当所述身份验证操作的结果为通过时,执行获取数据加密密钥的步骤;其中,所述对应于所述客户端的身份密钥与所述客户端存储的身份密钥相同。
14.根据权利要求13所述的用于数据安全传输的服务端方法,其特征在于,所述基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,包括:
根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;
至少根据查找得到的身份密钥计算散列值,作为用于证实服务端身份的服务端验证信息;
将至少包含所述服务端验证信息的响应信息发送给所述客户端;并在通过所述客户端的验证后,判定所述身份验证操作的结果为通过。
15.根据权利要求13所述的用于数据安全传输的服务端方法,其特征在于,所述基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,包括:
根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;
采用与所述客户端计算客户端验证信息相同的方式,至少根据查找得到的身份密钥计算散列值;
将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
16.根据权利要求13所述的用于数据安全传输的服务端方法,其特征在于,所述基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,包括:
根据所述访问请求包含的客户端标识,在身份密钥映射关系表中查找对应的身份密钥;
用查找得到的身份密钥、对所述访问请求包含的用于验证服务端身份的密文解密,获取解密后的动态数值;
至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值,作为用于证实服务端身份的服务端验证信息;
将包含所述服务端的服务端标识以及所述服务端验证信息的响应信息发送给所述客户端,并在通过所述客户端的验证后,判定所述身份验证操作的结果为通过。
17.根据权利要求16所述的用于数据安全传输的服务端方法,其特征在于,在身份密钥映射关系表中查找对应的身份密钥之后,还包括:
采用与所述客户端计算客户端验证信息相同的方式,根据所述访问请求包含的客户端标识以及查找得到的身份密钥计算散列值;
将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对,并在比对结果一致时,执行用查找得到的身份密钥、对所述访问请求包含的用于验证服务端身份的密文解密,获取解密后的动态数值的步骤。
18.根据权利要求13-17任一项所述的用于数据安全传输的服务端方法,其特征在于,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取的信息还包括:第二密钥;
所述方法还包括:用所述第二密钥更新本地存储的对应于所述客户端的身份密钥。
19.一种用于数据安全传输的服务端装置,其特征在于,包括:
访问请求接收单元,用于接收来自客户端的访问请求;
服务端数据加密密钥获取单元,用于采用与所述客户端预先确定的获取方式,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥;
服务端安全传输单元,用于利用所述数据加密密钥与所述客户端进行数据安全传输。
20.根据权利要求19所述的用于数据安全传输的服务端装置,其特征在于,还包括:
服务端身份验证单元,用于在所述访问请求接收单元接收访问请求后,基于本地存储的对应于所述客户端的身份密钥,执行身份验证操作,并当所述身份验证操作的结果为通过时,触发所述服务端数据加密密钥获取单元工作;其中,所述对应于所述客户端的身份密钥与所述客户端存储的身份密钥相同。
21.根据权利要求20所述的用于数据安全传输的服务端装置,其特征在于,所述服务端数据加密密钥获取单元,具体用于采用与所述客户端预先确定的获取方式,从与所述客户端执行量子密钥分发操作生成的密钥序列中获取作为数据加密密钥的第一密钥、以及第二密钥;
所述装置还包括:服务端身份密钥更新单元,用于用所述第二密钥更新本地存储的对应于所述客户端的身份密钥。
22.一种用于数据安全传输的客户端方法,其特征在于,包括:
发送对服务端的访问请求;
采用与所述服务端预先确定的获取方式,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥;
利用所述数据加密密钥与所述服务端进行数据安全传输。
23.根据权利要求22所述的用于数据安全传输的客户端方法,其特征在于,在发送对服务端的访问请求之后,包括:
基于本地存储的身份密钥执行身份验证操作,并当所述身份验证操作的结果为通过时,执行获取数据加密密钥的步骤;其中,所述本地存储的身份密钥与所述服务端存储的对应于所述客户端的身份密钥相同。
24.根据权利要求23所述的用于数据安全传输的客户端方法,其特征在于,所述访问请求的内容包含:所述客户端的客户端标识;
所述基于本地存储的身份密钥执行身份验证操作,包括:
接收所述服务端返回的响应信息;
采用与所述服务端计算服务端验证信息相同的方式,至少根据本地存储的身份密钥计算散列值;
将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
25.根据权利要求23所述的用于数据安全传输的客户端方法,其特征在于,在发送对服务端的访问请求之前,包括:
至少根据存储的身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息;
所述发送对服务端的访问请求是指,发送包含所述客户端的客户端标识,以及所述客户端验证信息的访问请求;
所述基于本地存储的身份密钥执行身份验证操作,包括:判断基于本地存储的身份密钥生成的所述客户端验证信息是否通过所述服务端的验证,若是,判定所述身份验证操作的结果为通过。
26.根据权利要求23所述的用于数据安全传输的客户端方法,其特征在于,在发送对服务端的访问请求之前,包括:
读取本地存储的身份密钥;
用所述身份密钥作为对称密钥、对采用预设方式生成的动态数值进行加密,得到用于验证所述服务端身份的密文;
所述发送对服务端的访问请求是指,发送至少包含所述客户端的客户端标识、以及所述密文的访问请求;
所述基于本地存储的身份密钥执行身份验证操作,包括:
接收所述服务端返回的响应信息;
采用与所述服务端计算服务端验证信息相同的方式,至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值;
将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对,并在比对结果一致时,判定所述身份验证操作的结果为通过。
27.根据权利要求26所述的用于数据安全传输的客户端方法,其特征在于,在读取存储的身份密钥之后,在发送对服务端的访问请求之前,还包括:根据所述客户端的客户端标识以及所述身份密钥计算散列值,作为用于证实所述客户端身份的客户端验证信息;
所述发送对服务端的访问请求是指,发送包含所述客户端的客户端标识、所述客户端验证信息、以及所述密文的访问请求。
28.根据权利要求23-27任一项所述的用于数据安全传输的客户端方法,其特征在于,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取的信息还包括:第二密钥;
所述方法还包括:用所述第二密钥更新所述本地存储的身份密钥。
29.一种用于数据安全传输的客户端装置,其特征在于,包括:
访问请求发送单元,用于发送对服务端的访问请求;
客户端数据加密密钥获取单元,用于采用与所述服务端预先确定的获取方式,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取第一密钥,作为数据加密密钥;
客户端安全传输单元,用于利用所述数据加密密钥与所述服务端进行数据安全传输。
30.根据权利要求29所述的用于数据安全传输的客户端装置,其特征在于,还包括:
客户端身份验证单元,用于当所述访问请求发送单元发送访问请求后,基于本地存储的身份密钥执行身份验证操作,并当所述身份验证操作的结果为通过时,触发所述客户端数据加密密钥获取单元工作;其中,所述本地存储的身份密钥与所述服务端存储的对应于所述客户端的身份密钥相同。
31.根据权利要求30所述的用于数据安全传输的客户端装置,其特征在于,所述客户端数据加密密钥获取单元,具体用于采用与所述服务端预先确定的获取方式,从与所述服务端执行量子密钥分发操作生成的密钥序列中获取作为数据加密密钥的第一密钥、以及第二密钥;
所述装置还包括:客户端身份密钥更新单元,用于用所述第二密钥更新所述本地存储的身份密钥。
32.一种数据安全传输系统,其特征在于,包括:根据上述权利要求19所述的用于数据安全传输的服务端装置,以及根据上述权利要求29所述的用于数据安全传输的客户端装置。
Priority Applications (8)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610339148.7A CN107404461B (zh) | 2016-05-19 | 2016-05-19 | 数据安全传输方法、客户端及服务端方法、装置及系统 |
| TW106107246A TWI721122B (zh) | 2016-05-19 | 2017-03-06 | 資料安全傳輸方法、客戶端及服務端方法、裝置及系統 |
| US15/588,462 US10439806B2 (en) | 2016-05-19 | 2017-05-05 | Method and system for secure data transmission |
| JP2018555211A JP2019517184A (ja) | 2016-05-19 | 2017-05-08 | 安全なデータ伝送のための方法及びシステム |
| EP17799879.6A EP3459202A4 (en) | 2016-05-19 | 2017-05-08 | PROCESS AND SYSTEM FOR SAFE DATA TRANSMISSION |
| KR1020187033013A KR20190005878A (ko) | 2016-05-19 | 2017-05-08 | 보안 데이터 송신을 위한 방법 및 시스템 |
| PCT/US2017/031606 WO2017200791A1 (en) | 2016-05-19 | 2017-05-08 | Method and system for secure data transmission |
| SG11201808991WA SG11201808991WA (en) | 2016-05-19 | 2017-05-08 | Method and system for secure data transmission |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610339148.7A CN107404461B (zh) | 2016-05-19 | 2016-05-19 | 数据安全传输方法、客户端及服务端方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107404461A true CN107404461A (zh) | 2017-11-28 |
| CN107404461B CN107404461B (zh) | 2021-01-26 |
Family
ID=60331065
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610339148.7A Active CN107404461B (zh) | 2016-05-19 | 2016-05-19 | 数据安全传输方法、客户端及服务端方法、装置及系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10439806B2 (zh) |
| EP (1) | EP3459202A4 (zh) |
| JP (1) | JP2019517184A (zh) |
| KR (1) | KR20190005878A (zh) |
| CN (1) | CN107404461B (zh) |
| SG (1) | SG11201808991WA (zh) |
| TW (1) | TWI721122B (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234501A (zh) * | 2018-01-11 | 2018-06-29 | 北京国电通网络技术有限公司 | 一种基于量子密钥融合的虚拟电厂安全通信方法 |
| CN108737412A (zh) * | 2018-05-15 | 2018-11-02 | 福建天晴数码有限公司 | 一种实现数据请求的方法及终端 |
| CN109150835A (zh) * | 2018-07-20 | 2019-01-04 | 国科量子通信网络有限公司 | 云端数据存取的方法、装置、设备及计算机可读存储介质 |
| CN109413076A (zh) * | 2018-11-06 | 2019-03-01 | 北京奇虎科技有限公司 | 域名解析方法及装置 |
| CN109756500A (zh) * | 2019-01-11 | 2019-05-14 | 如般量子科技有限公司 | 基于多个非对称密钥池的抗量子计算https通信方法和系统 |
| CN109861813A (zh) * | 2019-01-11 | 2019-06-07 | 如般量子科技有限公司 | 基于非对称密钥池的抗量子计算https通信方法和系统 |
| WO2019140554A1 (zh) * | 2018-01-16 | 2019-07-25 | Oppo广东移动通信有限公司 | 一种数据验证方法、网络设备、ue及计算机存储介质 |
| CN110086627A (zh) * | 2019-04-22 | 2019-08-02 | 如般量子科技有限公司 | 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和系统 |
| CN110225049A (zh) * | 2019-06-20 | 2019-09-10 | 哈工大机器人湖州国际创新研究院 | 数据传输方法、客户端和服务器 |
| CN110365746A (zh) * | 2019-06-24 | 2019-10-22 | 广州艾帝西信息科技有限公司 | 一种信息传送方法及系统 |
| CN110417552A (zh) * | 2019-08-06 | 2019-11-05 | 中国工商银行股份有限公司 | 基于量子缠绕的安全通讯方法及系统 |
| CN110505531A (zh) * | 2019-07-02 | 2019-11-26 | 杭州海康威视数字技术股份有限公司 | 一种媒体数据传输系统、方法及装置 |
| CN110601838A (zh) * | 2019-10-24 | 2019-12-20 | 国网山东省电力公司信息通信公司 | 一种基于量子密钥的身份认证方法、装置及系统 |
| CN110838920A (zh) * | 2019-11-20 | 2020-02-25 | 北京航空航天大学 | web系统中无需存储口令相关信息的口令认证与密钥协商协议 |
| CN110839240A (zh) * | 2018-08-17 | 2020-02-25 | 阿里巴巴集团控股有限公司 | 一种建立连接的方法及装置 |
| CN111132150A (zh) * | 2019-12-31 | 2020-05-08 | 中科曙光国际信息产业有限公司 | 一种保护数据的方法、装置、存储介质和电子设备 |
| CN111200599A (zh) * | 2019-12-28 | 2020-05-26 | 浪潮电子信息产业股份有限公司 | 一种访问认证方法、装置、设备及可读存储介质 |
| CN113595722A (zh) * | 2021-06-28 | 2021-11-02 | 阿里巴巴新加坡控股有限公司 | 量子安全密钥同步方法、装置、电子设备和存储介质 |
| CN115292332A (zh) * | 2022-10-09 | 2022-11-04 | 北京珞安科技有限责任公司 | 防火墙运行数据储存方法、系统、存储介质及客户端 |
| WO2023221920A1 (zh) * | 2022-05-16 | 2023-11-23 | 卡奥斯工业智能研究院(青岛)有限公司 | 访问关系的建立方法、装置、电子设备及存储介质 |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107959566A (zh) * | 2016-10-14 | 2018-04-24 | 阿里巴巴集团控股有限公司 | 量子数据密钥协商系统及量子数据密钥协商方法 |
| US20180123782A1 (en) * | 2016-10-27 | 2018-05-03 | Motorola Solutions, Inc. | Method for secret origination service to distribute a shared secret |
| US10382562B2 (en) * | 2016-11-04 | 2019-08-13 | A10 Networks, Inc. | Verification of server certificates using hash codes |
| SG10201700811VA (en) * | 2017-02-01 | 2018-09-27 | Huawei Int Pte Ltd | System and method for efficient and secure communications between devices |
| US10785193B2 (en) * | 2017-03-30 | 2020-09-22 | Seagate Technology Llc | Security key hopping |
| US10587732B2 (en) * | 2017-04-13 | 2020-03-10 | International Business Machines Corporation | Secure client-server communication |
| US10966091B1 (en) * | 2017-05-24 | 2021-03-30 | Jonathan Grier | Agile node isolation using packet level non-repudiation for mobile networks |
| US10771439B2 (en) * | 2017-06-28 | 2020-09-08 | Microsoft Technology Licensing, Llc | Shielded networks for virtual machines |
| US11303361B2 (en) * | 2018-01-15 | 2022-04-12 | National University Of Singapore | Single photons source and key distribution |
| CN108388946B (zh) * | 2018-01-29 | 2021-08-17 | 湘潭大学 | 一种基于盲量子计算的两方量子计算方法 |
| KR102028098B1 (ko) * | 2018-01-29 | 2019-10-02 | 한국전자통신연구원 | 양자암호통신 인증 장치 및 방법 |
| US11343087B1 (en) | 2018-03-09 | 2022-05-24 | Wells Fargo Bank, N.A. | Systems and methods for server-side quantum session authentication |
| US10855454B1 (en) | 2018-03-09 | 2020-12-01 | Wells Fargo Bank, N.A. | Systems and methods for quantum session authentication |
| US10728029B1 (en) | 2018-03-09 | 2020-07-28 | Wells Fargo Bank, N.A. | Systems and methods for multi-server quantum session authentication |
| US10812258B1 (en) * | 2018-03-09 | 2020-10-20 | Wells Fargo Bank, N.A. | Systems and methods for quantum session authentication |
| US11025416B1 (en) * | 2018-03-09 | 2021-06-01 | Wells Fargo Bank, N.A. | Systems and methods for quantum session authentication |
| CN108173654B (zh) * | 2018-03-13 | 2020-06-23 | 成都信息工程大学 | 一种基于半量子技术的两方密钥协商方法及系统 |
| US11190349B1 (en) | 2018-08-20 | 2021-11-30 | Wells Fargo Bank, N.A. | Systems and methods for providing randomness-as-a-service |
| US10855457B1 (en) | 2018-08-20 | 2020-12-01 | Wells Fargo Bank, N.A. | Systems and methods for single chip quantum random number generation |
| US11095439B1 (en) | 2018-08-20 | 2021-08-17 | Wells Fargo Bank, N.A. | Systems and methods for centralized quantum session authentication |
| US10552120B1 (en) | 2018-08-20 | 2020-02-04 | Wells Fargo Bank, N.A. | Systems and methods for single chip quantum random number generation |
| US10540146B1 (en) | 2018-08-20 | 2020-01-21 | Wells Fargo Bank, N.A. | Systems and methods for single chip quantum random number generation |
| US11240013B1 (en) * | 2018-08-20 | 2022-02-01 | Wells Fargo Bank, N.A. | Systems and methods for passive quantum session authentication |
| US10855453B1 (en) | 2018-08-20 | 2020-12-01 | Wells Fargo Bank, N.A. | Systems and methods for time-bin quantum session authentication |
| CN110868374A (zh) * | 2018-08-27 | 2020-03-06 | 京东方科技集团股份有限公司 | 安全认证方法、服务器及客户端设备 |
| CN109286446B (zh) * | 2018-09-25 | 2019-12-20 | 苏州大学 | 基于ghz态的联合远程制备六比特团簇态的方法 |
| CN109688115B (zh) * | 2018-12-11 | 2022-09-13 | 北京数盾信息科技有限公司 | 一种数据安全传输系统 |
| EP3674934A1 (en) * | 2018-12-26 | 2020-07-01 | Thales Dis France SA | Biometric acquisition system and method |
| CN109728905B (zh) * | 2019-01-11 | 2021-04-06 | 如般量子科技有限公司 | 基于非对称密钥池的抗量子计算mqv密钥协商方法和系统 |
| CN109687962B (zh) * | 2019-01-15 | 2021-04-06 | 如般量子科技有限公司 | 基于私钥池的抗量子计算mqv密钥协商方法和系统 |
| US11343672B2 (en) | 2019-02-20 | 2022-05-24 | Coretigo Ltd. | Secure communication encryption and decryption mechanism in a wireless communication system |
| US20230094432A1 (en) * | 2019-04-05 | 2023-03-30 | Global Id Sa | Method, electronic identity object, and terminal for recognizing and/or identifying a user |
| CN110138547B (zh) * | 2019-04-22 | 2023-09-01 | 如般量子科技有限公司 | 基于非对称密钥池对和序列号的量子通信服务站密钥协商方法和系统 |
| CN110176997B (zh) * | 2019-05-15 | 2023-03-10 | 如般量子科技有限公司 | 一种量子通信服务站aka密钥协商方法和系统 |
| CN110380859B (zh) * | 2019-05-30 | 2022-10-14 | 如般量子科技有限公司 | 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统 |
| CN110365472B (zh) * | 2019-05-30 | 2023-08-04 | 如般量子科技有限公司 | 基于非对称密钥池对的量子通信服务站数字签名方法、系统 |
| US11218472B2 (en) * | 2019-07-01 | 2022-01-04 | Steve Rosenblatt | Methods and systems to facilitate establishing a connection between an access-seeking device and an access granting device |
| CN110493177B (zh) * | 2019-07-02 | 2021-08-31 | 如般量子科技有限公司 | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 |
| KR20240013292A (ko) | 2019-07-12 | 2024-01-30 | 에도패스, 엘엘씨 | 데이터 보호 및 복구 시스템 및 방법 |
| CN110505224B (zh) * | 2019-08-20 | 2022-05-20 | 佛山市禅信通科技有限公司 | 一种楼宇通信系统及其通信方法 |
| US11271747B2 (en) * | 2019-09-16 | 2022-03-08 | Lawrence Livermore National Security, Llc | Optical authentication of images |
| US11228431B2 (en) * | 2019-09-20 | 2022-01-18 | General Electric Company | Communication systems and methods for authenticating data packets within network flow |
| WO2021056069A1 (en) * | 2019-09-25 | 2021-04-01 | Commonwealth Scientific And Industrial Research Organisation | Cryptographic services for browser applications |
| US20210119787A1 (en) * | 2019-10-17 | 2021-04-22 | Cable Television Laboratories, Inc. | Quantum key distribution and management in passive optical networks |
| AU2019101343B4 (en) * | 2019-11-05 | 2020-04-16 | Anson, Mark Rodney Mr | A computer system implemented method for generating a symmetric encryption key for encrypting and decrypting secure data |
| US20230308267A1 (en) | 2020-10-08 | 2023-09-28 | Tamagawa University and Tamagawa Academy | Signal processing system |
| EP4037247A1 (en) | 2021-01-27 | 2022-08-03 | Terra Quantum AG | Method and system for quantum key distribution |
| EP4047861A1 (en) * | 2021-02-18 | 2022-08-24 | Terra Quantum AG | Method and system for quantum key distribution |
| EP4068677B1 (en) * | 2021-03-31 | 2023-06-07 | Deutsche Telekom AG | Method and system for creating a quantum secured encryption key |
| KR102345419B1 (ko) * | 2021-07-27 | 2021-12-30 | 대아티아이 (주) | 양자암호통신기술을 적용한 철도관제 내부 통신 시스템 및 그 운영 방법 |
| CN114785421A (zh) * | 2022-04-24 | 2022-07-22 | 矩阵时光数字科技有限公司 | 一种基于量子加密的im离线消息处理方法 |
| CN114844720B (zh) * | 2022-06-06 | 2023-06-02 | 湖南五凌电力科技有限公司 | 一种物联数据加密传输方法、系统、服务端及客户端 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005076520A1 (ja) * | 2004-02-10 | 2005-08-18 | Mitsubishi Denki Kabushiki Kaisha | 量子鍵配送方法および通信装置 |
| CN103338448A (zh) * | 2013-06-07 | 2013-10-02 | 国家电网公司 | 一种基于量子密钥分发的无线局域网安全通信方法 |
| CN105357001A (zh) * | 2015-12-10 | 2016-02-24 | 安徽问天量子科技股份有限公司 | 量子密钥动态分发的管理方法及系统 |
| CN105553648A (zh) * | 2014-10-30 | 2016-05-04 | 阿里巴巴集团控股有限公司 | 量子密钥分发、隐私放大及数据传输方法、装置及系统 |
Family Cites Families (91)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU674198B2 (en) | 1992-12-24 | 1996-12-12 | British Telecommunications Public Limited Company | System and method for key distribution using quantum cryptography |
| US5307410A (en) | 1993-05-25 | 1994-04-26 | International Business Machines Corporation | Interferometric quantum cryptographic key distribution system |
| US6151676A (en) * | 1997-12-24 | 2000-11-21 | Philips Electronics North America Corporation | Administration and utilization of secret fresh random numbers in a networked environment |
| US6505247B1 (en) | 1998-08-21 | 2003-01-07 | National Instruments Corporation | Industrial automation system and method for efficiently transferring time-sensitive and quality-sensitive data |
| US8677505B2 (en) | 2000-11-13 | 2014-03-18 | Digital Doors, Inc. | Security system with extraction, reconstruction and secure recovery and storage of data |
| EP1484690A1 (en) | 2002-02-14 | 2004-12-08 | Hironori Wakayama | Authenticating method |
| US8850179B2 (en) | 2003-09-15 | 2014-09-30 | Telecommunication Systems, Inc. | Encapsulation of secure encrypted data in a deployable, secure communication system allowing benign, secure commercial transport |
| US7299354B2 (en) | 2003-09-30 | 2007-11-20 | Intel Corporation | Method to authenticate clients and hosts to provide secure network boot |
| US7831048B2 (en) | 2003-12-17 | 2010-11-09 | General Dynamics Advanced Information Systems, Inc. | Secure quantum key distribution using entangled photons |
| US7644278B2 (en) | 2003-12-31 | 2010-01-05 | International Business Machines Corporation | Method for securely creating an endorsement certificate in an insecure environment |
| US7181011B2 (en) | 2004-05-24 | 2007-02-20 | Magiq Technologies, Inc. | Key bank systems and methods for QKD |
| US7484099B2 (en) | 2004-07-29 | 2009-01-27 | International Business Machines Corporation | Method, apparatus, and product for asserting physical presence with a trusted platform module in a hypervisor environment |
| US20060056630A1 (en) | 2004-09-13 | 2006-03-16 | Zimmer Vincent J | Method to support secure network booting using quantum cryptography and quantum key distribution |
| US9191198B2 (en) | 2005-06-16 | 2015-11-17 | Hewlett-Packard Development Company, L.P. | Method and device using one-time pad data |
| US7885412B2 (en) | 2005-09-29 | 2011-02-08 | International Business Machines Corporation | Pre-generation of generic session keys for use in communicating within communications environments |
| ATE433630T1 (de) | 2005-12-23 | 2009-06-15 | Alcatel Lucent | Ressourcen-zugangskontrolle für kunden-gesteuerte und netzwerk-gesteuerte abfragen |
| US8082443B2 (en) | 2006-01-09 | 2011-12-20 | Bbnt Solutions Llc. | Pedigrees for quantum cryptography |
| CN101479984B (zh) | 2006-04-25 | 2011-06-08 | 斯蒂芬·L.·博伦 | 用于身份管理、验证服务器、数据安全和防止中间人攻击的动态分发密钥系统和方法 |
| US20130227286A1 (en) | 2006-04-25 | 2013-08-29 | Andre Jacques Brisson | Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud |
| US8418235B2 (en) | 2006-11-15 | 2013-04-09 | Research In Motion Limited | Client credential based secure session authentication method and apparatus |
| US8213602B2 (en) | 2006-11-27 | 2012-07-03 | Broadcom Corporation | Method and system for encrypting and decrypting a transport stream using multiple algorithms |
| US20080165973A1 (en) | 2007-01-09 | 2008-07-10 | Miranda Gavillan Jose G | Retrieval and Display of Encryption Labels From an Encryption Key Manager |
| WO2008147577A2 (en) | 2007-01-22 | 2008-12-04 | Spyrus, Inc. | Portable data encryption device with configurable security functionality and method for file encryption |
| US20080219449A1 (en) | 2007-03-09 | 2008-09-11 | Ball Matthew V | Cryptographic key management for stored data |
| WO2008128212A1 (en) | 2007-04-12 | 2008-10-23 | Ncipher Corporation Ltd. | Method and system for identifying and managing encryption keys |
| US8111828B2 (en) | 2007-07-31 | 2012-02-07 | Hewlett-Packard Development Company, L.P. | Management of cryptographic keys for securing stored data |
| CN101106455B (zh) | 2007-08-20 | 2010-10-13 | 北京飞天诚信科技有限公司 | 身份认证的方法和智能密钥装置 |
| US9323901B1 (en) | 2007-09-28 | 2016-04-26 | Emc Corporation | Data classification for digital rights management |
| GB0801395D0 (en) * | 2008-01-25 | 2008-03-05 | Qinetiq Ltd | Network having quantum key distribution |
| US20090204812A1 (en) | 2008-02-13 | 2009-08-13 | Baker Todd M | Media processing |
| US8838990B2 (en) | 2008-04-25 | 2014-09-16 | University Of Colorado Board Of Regents | Bio-cryptography: secure cryptographic protocols with bipartite biotokens |
| GB0809044D0 (en) | 2008-05-19 | 2008-06-25 | Qinetiq Ltd | Multiplexed QKD |
| CN105468963A (zh) | 2008-08-20 | 2016-04-06 | 韦尔普罗有限责任公司 | 用于生成密码的数据包发生器 |
| GB0819665D0 (en) | 2008-10-27 | 2008-12-03 | Qinetiq Ltd | Quantum key dsitribution |
| US9438574B2 (en) | 2008-12-30 | 2016-09-06 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Client/server authentication over Fibre channel |
| CA2751138C (en) | 2009-02-04 | 2018-06-19 | Data Security Systems Solutions Pte Ltd | Transforming static password systems to become 2-factor authentication |
| US8194858B2 (en) | 2009-02-19 | 2012-06-05 | Physical Optics Corporation | Chaotic cipher system and method for secure communication |
| US8077047B2 (en) | 2009-04-16 | 2011-12-13 | Ut-Battelle, Llc | Tampering detection system using quantum-mechanical systems |
| GB0917060D0 (en) | 2009-09-29 | 2009-11-11 | Qinetiq Ltd | Methods and apparatus for use in quantum key distribution |
| US8700893B2 (en) | 2009-10-28 | 2014-04-15 | Microsoft Corporation | Key certification in one round trip |
| WO2011050745A1 (zh) | 2009-10-30 | 2011-05-05 | 北京飞天诚信科技有限公司 | 认证方法及系统 |
| KR101314210B1 (ko) | 2009-11-24 | 2013-10-02 | 한국전자통신연구원 | 사용자 인증 양자 키 분배 방법 |
| WO2011068784A1 (en) | 2009-12-01 | 2011-06-09 | Azuki Systems, Inc. | Method and system for secure and reliable video streaming with rate adaptation |
| KR101351012B1 (ko) | 2009-12-18 | 2014-01-10 | 한국전자통신연구원 | 다자간 양자 통신에서의 사용자 인증 방법 및 장치 |
| US8850554B2 (en) | 2010-02-17 | 2014-09-30 | Nokia Corporation | Method and apparatus for providing an authentication context-based session |
| US8984588B2 (en) | 2010-02-19 | 2015-03-17 | Nokia Corporation | Method and apparatus for identity federation gateway |
| US8892820B2 (en) | 2010-03-19 | 2014-11-18 | Netapp, Inc. | Method and system for local caching of remote storage data |
| US9002009B2 (en) | 2010-06-15 | 2015-04-07 | Los Alamos National Security, Llc | Quantum key distribution using card, base station and trusted authority |
| US8917631B2 (en) | 2010-08-23 | 2014-12-23 | Ortsbo Inc. | System and method for sharing information between two or more devices |
| GB201020424D0 (en) | 2010-12-02 | 2011-01-19 | Qinetiq Ltd | Quantum key distribution |
| US8839134B2 (en) | 2010-12-24 | 2014-09-16 | Intel Corporation | Projection interface techniques |
| CN103608829A (zh) | 2011-01-18 | 2014-02-26 | 舍德Ip有限责任公司 | 用于基于编码完整性进行计算机化协商的系统和方法 |
| US9531758B2 (en) | 2011-03-18 | 2016-12-27 | Zscaler, Inc. | Dynamic user identification and policy enforcement in cloud-based secure web gateways |
| US9698979B2 (en) | 2011-04-15 | 2017-07-04 | Quintessencelabs Pty Ltd. | QKD key management system |
| US20140141725A1 (en) | 2011-07-29 | 2014-05-22 | Ronald D. Jesme | Wireless presentation system allowing automatic association and connection |
| ES2509816T3 (es) | 2011-08-05 | 2014-10-20 | Selex Es S.P.A. | Sistema para la distribución de claves criptográficas |
| EP2745212B1 (en) | 2011-08-19 | 2020-12-30 | Quintessencelabs Pty Ltd | Virtual zeroisation system and method |
| US9509506B2 (en) | 2011-09-30 | 2016-11-29 | Los Alamos National Security, Llc | Quantum key management |
| US9008308B2 (en) | 2012-02-08 | 2015-04-14 | Vixs Systems, Inc | Container agnostic decryption device and methods for use therewith |
| CN104145466A (zh) | 2012-02-24 | 2014-11-12 | 诺基亚公司 | 用于动态服务器/客户端控制的连通性逻辑的方法和装置 |
| US9130742B2 (en) | 2012-03-30 | 2015-09-08 | California Institute Of Technology | Key agreement in wireless networks with active adversaries |
| US8693691B2 (en) | 2012-05-25 | 2014-04-08 | The Johns Hopkins University | Embedded authentication protocol for quantum key distribution systems |
| US10171454B2 (en) | 2012-08-23 | 2019-01-01 | Alejandro V. Natividad | Method for producing dynamic data structures for authentication and/or password identification |
| ES2912265T3 (es) | 2012-08-30 | 2022-05-25 | Triad Nat Security Llc | Autenticación multifactor utilizando comunicación cuántica |
| CN102801530B (zh) | 2012-09-04 | 2015-08-26 | 飞天诚信科技股份有限公司 | 一种基于声音传输的认证方法 |
| US9294267B2 (en) | 2012-11-16 | 2016-03-22 | Deepak Kamath | Method, system and program product for secure storage of content |
| US8869303B2 (en) | 2013-02-16 | 2014-10-21 | Mikhail Fleysher | Method and system for generation of dynamic password |
| US9374376B2 (en) | 2013-02-27 | 2016-06-21 | The Boeing Company | Anti-hacking system for quantum communication |
| CN104036780B (zh) | 2013-03-05 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 一种人机识别方法及系统 |
| US9747456B2 (en) | 2013-03-15 | 2017-08-29 | Microsoft Technology Licensing, Llc | Secure query processing over encrypted data |
| JP6144338B2 (ja) | 2013-04-26 | 2017-06-07 | 日立マクセル株式会社 | 投写型映像表示装置 |
| US9282093B2 (en) | 2013-04-30 | 2016-03-08 | Microsoft Technology Licensing, Llc | Synchronizing credential hashes between directory services |
| CN104243143B (zh) * | 2013-06-08 | 2017-03-29 | 科大国盾量子技术股份有限公司 | 一种基于量子密钥分配网络的移动保密通信方法 |
| US20150095987A1 (en) | 2013-10-01 | 2015-04-02 | Certify Global LLC | Systems and methods of verifying an authentication using dynamic scoring |
| US9684780B2 (en) | 2013-11-25 | 2017-06-20 | Yingjie Liu | Dynamic interactive identity authentication method and system |
| CN106170944B (zh) * | 2014-01-31 | 2019-11-26 | 快普特奥姆特里有限公司 | 确保系统通信安全的方法、安全通信设备、公钥服务器 |
| JP6359285B2 (ja) | 2014-02-17 | 2018-07-18 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
| JP6169028B2 (ja) * | 2014-03-18 | 2017-07-26 | 株式会社東芝 | 通信装置、通信システムおよび通信方法 |
| JP6223884B2 (ja) * | 2014-03-19 | 2017-11-01 | 株式会社東芝 | 通信装置、通信方法およびプログラム |
| US9331875B2 (en) | 2014-04-04 | 2016-05-03 | Nxgen Partners Ip, Llc | System and method for communication using orbital angular momentum with multiple layer overlay modulation |
| US20150288517A1 (en) | 2014-04-04 | 2015-10-08 | Ut-Battelle, Llc | System and method for secured communication |
| CN104092536B (zh) * | 2014-05-24 | 2018-02-16 | 中国人民解放军信息工程大学 | 便于硬件实现的量子密钥分发中的信息协调方法 |
| US9083739B1 (en) | 2014-05-29 | 2015-07-14 | Shape Security, Inc. | Client/server authentication using dynamic credentials |
| KR101776137B1 (ko) | 2014-10-30 | 2017-09-19 | 에스케이 텔레콤주식회사 | 양자 키 분배 시스템에서 복수의 장치에 키를 공급하는 장치 및 방법 |
| CN105827397B (zh) | 2015-01-08 | 2019-10-18 | 阿里巴巴集团控股有限公司 | 基于可信中继的量子密钥分发系统、方法及装置 |
| CN104657099B (zh) | 2015-01-15 | 2019-04-12 | 小米科技有限责任公司 | 屏幕投射方法、装置及系统 |
| CN105871538B (zh) | 2015-01-22 | 2019-04-12 | 阿里巴巴集团控股有限公司 | 量子密钥分发系统、量子密钥分发方法及装置 |
| CN105991285B (zh) | 2015-02-16 | 2019-06-11 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及系统 |
| WO2016145037A1 (en) | 2015-03-09 | 2016-09-15 | University Of Houston System | Methods and apparatuses for authentication in quantum key distribution and/or quantum data communication |
| US9667600B2 (en) | 2015-04-06 | 2017-05-30 | At&T Intellectual Property I, L.P. | Decentralized and distributed secure home subscriber server device |
| US10348704B2 (en) | 2015-07-30 | 2019-07-09 | Helder Silvestre Paiva Figueira | Method for a dynamic perpetual encryption cryptosystem |
-
2016
- 2016-05-19 CN CN201610339148.7A patent/CN107404461B/zh active Active
-
2017
- 2017-03-06 TW TW106107246A patent/TWI721122B/zh active
- 2017-05-05 US US15/588,462 patent/US10439806B2/en active Active
- 2017-05-08 JP JP2018555211A patent/JP2019517184A/ja active Pending
- 2017-05-08 SG SG11201808991WA patent/SG11201808991WA/en unknown
- 2017-05-08 EP EP17799879.6A patent/EP3459202A4/en not_active Withdrawn
- 2017-05-08 KR KR1020187033013A patent/KR20190005878A/ko unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005076520A1 (ja) * | 2004-02-10 | 2005-08-18 | Mitsubishi Denki Kabushiki Kaisha | 量子鍵配送方法および通信装置 |
| CN103338448A (zh) * | 2013-06-07 | 2013-10-02 | 国家电网公司 | 一种基于量子密钥分发的无线局域网安全通信方法 |
| CN105553648A (zh) * | 2014-10-30 | 2016-05-04 | 阿里巴巴集团控股有限公司 | 量子密钥分发、隐私放大及数据传输方法、装置及系统 |
| CN105357001A (zh) * | 2015-12-10 | 2016-02-24 | 安徽问天量子科技股份有限公司 | 量子密钥动态分发的管理方法及系统 |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11233639B2 (en) * | 2018-01-11 | 2022-01-25 | Beijing Guodian Tong Network Technology Co., Ltd | Method and device for quantum key fusion-based virtual power plant security communication and medium |
| CN108234501A (zh) * | 2018-01-11 | 2018-06-29 | 北京国电通网络技术有限公司 | 一种基于量子密钥融合的虚拟电厂安全通信方法 |
| WO2019140554A1 (zh) * | 2018-01-16 | 2019-07-25 | Oppo广东移动通信有限公司 | 一种数据验证方法、网络设备、ue及计算机存储介质 |
| CN108737412A (zh) * | 2018-05-15 | 2018-11-02 | 福建天晴数码有限公司 | 一种实现数据请求的方法及终端 |
| CN108737412B (zh) * | 2018-05-15 | 2021-06-25 | 福建天晴数码有限公司 | 一种实现数据请求的方法及终端 |
| CN109150835A (zh) * | 2018-07-20 | 2019-01-04 | 国科量子通信网络有限公司 | 云端数据存取的方法、装置、设备及计算机可读存储介质 |
| CN110839240B (zh) * | 2018-08-17 | 2022-07-05 | 阿里巴巴集团控股有限公司 | 一种建立连接的方法及装置 |
| CN110839240A (zh) * | 2018-08-17 | 2020-02-25 | 阿里巴巴集团控股有限公司 | 一种建立连接的方法及装置 |
| CN109413076B (zh) * | 2018-11-06 | 2022-11-29 | 北京奇虎科技有限公司 | 域名解析方法及装置 |
| CN109413076A (zh) * | 2018-11-06 | 2019-03-01 | 北京奇虎科技有限公司 | 域名解析方法及装置 |
| CN109861813A (zh) * | 2019-01-11 | 2019-06-07 | 如般量子科技有限公司 | 基于非对称密钥池的抗量子计算https通信方法和系统 |
| CN109756500A (zh) * | 2019-01-11 | 2019-05-14 | 如般量子科技有限公司 | 基于多个非对称密钥池的抗量子计算https通信方法和系统 |
| CN109861813B (zh) * | 2019-01-11 | 2021-08-10 | 如般量子科技有限公司 | 基于非对称密钥池的抗量子计算https通信方法和系统 |
| CN109756500B (zh) * | 2019-01-11 | 2021-02-02 | 如般量子科技有限公司 | 基于多个非对称密钥池的抗量子计算https通信方法和系统 |
| CN110086627A (zh) * | 2019-04-22 | 2019-08-02 | 如般量子科技有限公司 | 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和系统 |
| CN110086627B (zh) * | 2019-04-22 | 2023-08-04 | 如般量子科技有限公司 | 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和系统 |
| CN110225049A (zh) * | 2019-06-20 | 2019-09-10 | 哈工大机器人湖州国际创新研究院 | 数据传输方法、客户端和服务器 |
| CN110365746A (zh) * | 2019-06-24 | 2019-10-22 | 广州艾帝西信息科技有限公司 | 一种信息传送方法及系统 |
| CN110505531B (zh) * | 2019-07-02 | 2021-04-16 | 杭州海康威视数字技术股份有限公司 | 一种媒体数据传输系统、方法及装置 |
| CN110505531A (zh) * | 2019-07-02 | 2019-11-26 | 杭州海康威视数字技术股份有限公司 | 一种媒体数据传输系统、方法及装置 |
| CN110417552A (zh) * | 2019-08-06 | 2019-11-05 | 中国工商银行股份有限公司 | 基于量子缠绕的安全通讯方法及系统 |
| CN110601838A (zh) * | 2019-10-24 | 2019-12-20 | 国网山东省电力公司信息通信公司 | 一种基于量子密钥的身份认证方法、装置及系统 |
| CN110838920A (zh) * | 2019-11-20 | 2020-02-25 | 北京航空航天大学 | web系统中无需存储口令相关信息的口令认证与密钥协商协议 |
| CN111200599A (zh) * | 2019-12-28 | 2020-05-26 | 浪潮电子信息产业股份有限公司 | 一种访问认证方法、装置、设备及可读存储介质 |
| CN111132150A (zh) * | 2019-12-31 | 2020-05-08 | 中科曙光国际信息产业有限公司 | 一种保护数据的方法、装置、存储介质和电子设备 |
| CN113595722A (zh) * | 2021-06-28 | 2021-11-02 | 阿里巴巴新加坡控股有限公司 | 量子安全密钥同步方法、装置、电子设备和存储介质 |
| CN113595722B (zh) * | 2021-06-28 | 2023-11-07 | 阿里巴巴新加坡控股有限公司 | 量子安全密钥同步方法、装置、电子设备和存储介质 |
| WO2023221920A1 (zh) * | 2022-05-16 | 2023-11-23 | 卡奥斯工业智能研究院(青岛)有限公司 | 访问关系的建立方法、装置、电子设备及存储介质 |
| CN115292332A (zh) * | 2022-10-09 | 2022-11-04 | 北京珞安科技有限责任公司 | 防火墙运行数据储存方法、系统、存储介质及客户端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107404461B (zh) | 2021-01-26 |
| US10439806B2 (en) | 2019-10-08 |
| EP3459202A1 (en) | 2019-03-27 |
| TW201742399A (zh) | 2017-12-01 |
| TWI721122B (zh) | 2021-03-11 |
| KR20190005878A (ko) | 2019-01-16 |
| JP2019517184A (ja) | 2019-06-20 |
| SG11201808991WA (en) | 2018-11-29 |
| EP3459202A4 (en) | 2019-12-04 |
| US20170338951A1 (en) | 2017-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107404461A (zh) | 数据安全传输方法、客户端及服务端方法、装置及系统 | |
| CN109922077B (zh) | 一种基于区块链的身份认证方法及其系统 | |
| CN107959567B (zh) | 数据存储方法、数据获取方法、装置及系统 | |
| CN106101068B (zh) | 终端通信方法及系统 | |
| US10447669B2 (en) | System and method for key exchange based on authentication information | |
| CN105307165B (zh) | 基于移动应用的通信方法、服务端和客户端 | |
| CN107359998B (zh) | 一种便携式智能口令管理体制的建立与操作方法 | |
| JP2019507510A (ja) | 情報及び階層的で決定性の暗号化鍵のセキュアな交換のための共通秘密の決定 | |
| CN106301769A (zh) | 量子密钥输出方法、存储一致性验证方法、装置及系统 | |
| CN113691502B (zh) | 通信方法、装置、网关服务器、客户端及存储介质 | |
| CN105721153A (zh) | 基于认证信息的密钥交换系统及方法 | |
| JPWO2019093478A1 (ja) | 鍵交換装置、鍵交換システム、鍵交換方法、及び鍵交換プログラム | |
| Jalil et al. | A secure and efficient public auditing system of cloud storage based on BLS signature and automatic blocker protocol | |
| CN108200014A (zh) | 利用智能密钥装置访问服务器的方法、装置及系统 | |
| CN110545285A (zh) | 一种基于安全芯片的物联网终端安全认证方法 | |
| EP3509246B1 (en) | Key exchange method and key exchange system | |
| CN113204757A (zh) | 一种信息交互方法、装置和系统 | |
| Sasikumar et al. | Modeling and simulation of a novel secure quantum key distribution (SQKD) for ensuring data security in cloud environment | |
| Al‐Balasmeh et al. | Framework of data privacy preservation and location obfuscation in vehicular cloud networks | |
| Olumide et al. | A hybrid encryption model for secure cloud computing | |
| CN110138558A (zh) | 会话密钥的传输方法、设备及计算机可读存储介质 | |
| CN106230840B (zh) | 一种高安全性的口令认证方法 | |
| CN109816525A (zh) | 一种数据处理方法及其装置、介质、终端 | |
| US11451518B2 (en) | Communication device, server device, concealed communication system, methods for the same, and program | |
| Ramprasath et al. | Protected Data Sharing using Attribute Based Encryption for Remote Data Checking in Cloud Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Fu Yingfang Inventor after: Liu Shuanlin Inventor before: Fu Yingfang Inventor before: Liu Shuanlin |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |