CN107911214A - 基于量子终端的握手方法及装置 - Google Patents
基于量子终端的握手方法及装置 Download PDFInfo
- Publication number
- CN107911214A CN107911214A CN201711147263.5A CN201711147263A CN107911214A CN 107911214 A CN107911214 A CN 107911214A CN 201711147263 A CN201711147263 A CN 201711147263A CN 107911214 A CN107911214 A CN 107911214A
- Authority
- CN
- China
- Prior art keywords
- communication ends
- key
- quantum terminal
- quantum
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于量子终端的握手方法及装置,其中方法包括:第一通信端和第二通信端分别从量子终端获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并分别将主密钥保存在Session对象中;第一通信端与第二通信端初次握手完成后,当再次进行握手时,第一通信端和第二通信端分别从各自的Session对象中获取主密钥,生成各自的密钥对。第一通信端和第二通信端从量子终端获取安全密钥,生成主密钥后保存在Session中,当需要Session重用时,第一通信端和第二通信端分别从Session对象中获取各自的主密钥进行使用,而不需要与量子终端进行通信,减少了对量子通信线路的负载。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种基于量子终端的握手方法及装置。
背景技术
随着人类社会步入信息化,人们之间的交往越来越频繁,人们对信息的需求与日俱增,信息的获取和发布已经深入到每个人的日常生活中。但与此同时,各种信息泄露以及非法获取信息的事件不断发生,这就使得信息安全日益成为人们关注的焦点。
20世纪以来量子力学的发展使人类对物质的研究进入了微观领域,并且发现了量子力学的两大原理,即量子不确定性原理和量子不可克隆原理。量子不可确定性原理表明一个位置的量子态无法被精确的测量,量子不可克隆原理表明人们无法对一个未知的量子态进行复制。这两大原理共同保证了未知量子态在传输的过程中不可能被第三方窃取到其所携带的信息。于是,把量子力学和密码学相结合,得到了由物理定律保证的,具有绝对安全性的量子密码学。目前,量子密码学的应用以量子密钥交换为主。
现有技术中,通过量子密码机产生主密钥,客户端或服务器获取到各自的主密钥,然后在客户端或服务器根据各自的主密钥通过密钥生成函数生成密钥对;再通过协议消息进行密钥交换。然而,上述技术方案中,每次需要用到主密钥时都需要从量子密码机获取,加大了对量子通信线路的负载。
发明内容
有鉴于此,本发明实施例提供了一种基于量子终端的握手方法及装置,解决现有技术中量子通信线路负载大的问题。
本发明第一方面提供了一种基于量子终端的握手方法,包括以下步骤:
第一通信端和第二通信端分别从量子终端获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并分别将主密钥保存在Session对象中;
所述第一通信端与所述第二通信端初次握手完成后,当再次进行握手时,所述第一通信端和所述第二通信端分别从各自的Session对象中获取主密钥,生成各自的密钥对。
可选地,第一通信端和第二通信端分别从量子终端获取安全密钥包括:
所述第一通信端从第一量子终端获取第一安全密钥;
所述第二通信端从第二量子终端获取第二安全密钥。
可选地,所述第一通信端与所述第二通信端进行握手过程中,
所述第一通信端通过密码交换信息将所述第一量子终端的属性信息发送至所述第二通信端;
所述第二通信端通过密码交换信息将所述第二量子终端的属性信息发送至所述第一通信端。
可选地,所述第一通信端与所述第二通信端进行握手过程中,
所述第一通信端向所述第二通信端发送第一问候消息,所述第一问候消息包括协议版本、随机数和所述第一通信端所支持的加密算法套件;
所述第二通信端向所述第一通信端回应第二问候消息,所述第二问候信息包括选择的协议版本、选择的加密算法套件以及随机数。
可选地,所述第一通信端利用所述选择的加密算法套件将其主密钥生成密钥对;
所述第二通信端利用所述选择的加密算法套件将其主密钥生成密钥对。
本发明第二方面提供了一种基于量子终端的握手装置,包括:
第一生成单元和第二生成单元,所述第一生成单元设置在第一通信端上,所述第二生成单元设置在第二通信端上,分别用于从量子终端获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并分别将主密钥保存在Session对象中;
第一获取单元和第二获取单元,所述第一获取单元设置在第一通信端上,所述第二获取单元设置在第二通信端上,分别用于在所述第一通信端与所述第二通信端初次握手完成后再次进行握手时,从对应Session对象中获取主密钥,生成各自的密钥对。
可选地,所述第一生成单元包括:第一获取模块,用于从第一量子终端获取第一安全密钥;
所述第二生成单元包括:第二获取模块,用于从第二量子终端获取第二安全密钥。
可选地,还包括:第一发送单元,设置在所述第一通信端上,用于通过密码交换信息将所述第一量子终端的属性信息发送至所述第二通信端;
第二发送单元,设置在所述第二通信端上,用于通过密码交换信息将所述第二量子终端的属性信息发送至所述第一通信端。
可选地,还包括:第三发送单元,设置在所述第一通信端上,用于向所述第二通信端发送第一问候消息,所述第一问候消息包括协议版本、随机数和所述第一通信端所支持的加密算法套件;
第四发送单元,设置在所述第二通信端上,用于向所述第一通信端回应第二问候消息,所述第二问候信息包括选择的协议版本、选择的加密算法套件以及随机数。
可选地,所述第一生成单元包括:第一生成模块,用于利用所述选择的加密算法套件将其主密钥生成密钥对;
所述第二生成单元包括:第二生成模块,利用所述选择的加密算法套件将其主密钥生成密钥对。
本发明提供的技术方案,具有如下优点:
1.本发明实施例提供的基于量子终端的握手方法,包括:第一通信端和第二通信端分别从量子终端获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并分别将主密钥保存在Session对象中;第一通信端与第二通信端初次握手完成后,当再次进行握手时,第一通信端和第二通信端分别从各自的Session对象中获取主密钥,生成各自的密钥对。第一通信端和第二通信端从量子终端获取安全密钥,生成主密钥后保存在Session中,当需要Session重用时,第一通信端和第二通信端分别从Session对象中获取各自的主密钥进行使用,而不需要与量子终端进行通信,减少了对量子通信线路的负载。
2.本发明实施例提供的基于量子终端的握手方法,其中,第一通信端从第一量子终端获取第一安全密钥,第二通信端从第二量子终端获取第二安全密钥;即第一通信端和第二通信端分别从对应的量子终端获取安全密钥,提高了密钥的安全性,且能够提高第一通信端和第二通信端之间的握手效率。
3.本发明实施例提供的基于量子终端的握手方法,其中,第一通信端和第二通信端分别通过密码交换消息将各自所连接的量子终端的属性信息发送给对方;即第一通信端和第二通信端在密码交换消息中仅仅是对各自所连接的量子终端的属性信息进行交换,并不涉及密码交换,从而能够提高密钥的安全性。
4.本发明实施例提供的基于量子终端的握手方法,第一通信端和第二通信端在握手过程中,双方还进行协议版本、加密算法套件的协商,保证了信息传输的可靠性。
5.本发明实施例提供的基于量子终端的握手装置,通过从量子终端中获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并分别将主密钥保存在Session对象中;第一通信端与第二通信端初次握手完成后,当再次进行握手时,第一通信端和第二通信端分别从各自的Session对象中获取主密钥,生成各自的密钥对。第一通信端和第二通信端从量子终端获取安全密钥,生成主密钥后保存在Session中,当需要Session重用时,第一通信端和第二通信端分别从Session对象中获取各自的主密钥进行使用,而不需要与量子终端进行通信,减少了对量子通信线路的负载。
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了本发明实施例的应用场景;
图2示出了本发明实施例1中基于量子终端的握手方法的一个具体示意的流程图;
图3示出了本发明实施例2中基于量子终端的握手方法的一个具体示意的流程图;
图4示出了本发明实施例3中基于量子终端的握手方法的一个具体示意的流程图;
图5示出了本发明实施例4中基于量子终端的握手方法的一个具体示意的流程图;
图6示出了本发明实施例5中基于量子终端的握手方法的一个具体示意的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明实施例中基于量子终端的握手方法的应用场景。其中,第一通信端和第二通信端之间进行信息交互,第一通信端与第一量子终端连接,第二通信端与第二量子终端连接。可选地,第一通信端和第二通信端也可以与同一个量子终端连接。
本领域技术人员应当理解的是,量子密钥分发(Quantum Key Distribution,简称为QKD),量子终端用于连接该量子终端的通信端的认证以及产生密钥,并在两个量子终端之间进行密钥协商,最终协商出的密钥分别发送给对应的第一通信端和第二通信端,即第一通信端和第二通信端从各自对应的量子终端中获取的安全密钥相同。
实施例1
本实施例提供一种基于量子终端的握手方法,可用于握手装置中。如图2所示,该握手方法包括以下步骤:
步骤S11,第一通信端和第二通信端分别从量子终端获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并将主密钥保存在Session对象中。
当第一通信端和第二通信端分别与各自对应的第一量子终端和第二量子终端连接时,第一量子终端和第二量子终端进行密钥协商后,生成共享密钥,第一通信端从第一量子终端获取安全密钥(即该共享密钥),第二通信端从第二量子终端获取安全密钥(即该共享密钥)。通信端从各自对应的量子终端获取安全密钥,由于量子终端之间进行了密钥协商,增加了密钥的安全性,因此,通信端从量子终端获取的安全密钥的安全性较高。
当第一通信端和第二通信端与同一个量子终端连接时,量子终端生成密钥后,并不需要进行密钥协商,第一通信端和第二通信端即从给量子终端中获取安全密钥。通信端通过从同一量子终端获取安全密钥,即省去了密钥协商步骤,使得密钥的分发效率大大提高。
第一通信端和第二通信端获取安全密钥之后,由安全密钥分别生成各自的主密钥,然后由主密钥生个各自的密钥对,并将主密钥保存在各自的会话对象(Session对象)中,以便于下次使用主密钥时从Session对象中直接获取,而不需要再次与量子终端进行通信,减小了量子终端通信线路的负载。
步骤S12,第一通信端与第二通信端初次握手完成后,当再次进行握手时,第一通信端和第二通信端分别从各自的Session对象中获取主密钥,生成各自的密钥对。
在第一通信端与第二通信端初次握手完成后,进入应用层数据传输阶段。当第一通信端和第二通信端需要再次进行握手时,第一通信端和第二通信端只需分别从各自的Session对象中获取各自的主密钥,生成各自的密钥对即可完成再次握手,而并不需要量子终端生成共享密钥,第一通信端和第二通信端获取该共享密钥。即量子终端生成共享密钥仅发生在第一通信端和第二通信端初次握手阶段。
通过第一通信端和第二通信端与量子终端的交互,增加了密钥的安全性;此外,第一通信端和第二通信端从量子终端获取安全密钥之后,分别保存在各自的Session对象中,便于再次握手时使用,减小了对量子通信线路的负载。
实施例2
本实施例提供一种基于量子终端的握手方法,可用于握手装置中。其中,第一通信端与第一量子终端连接,第二通信端与第二量子终端连接。本实施例中,第一通信端和第二通信端之间的通信协议选自但不限于传输层安全协议(Transport Layer Security,简称为TLS)。如图3所示,该握手方法包括以下步骤:
步骤S21,第一通信端和第二通信端分别从量子终端获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并将主密钥保存在Session对象中。
第一量子终端和第二量子终端分别生成密钥,经过密钥协商后,形成共享密钥,分别用于第一通信端和第二通信端使用。具体地,该步骤包括:
步骤S211,第二通信端通过密码交换信息将第二量子终端的属性信息发送至第一通信端,第一通信端从第一量子终端获取第一安全密钥。
第二通信端向第一通信端发送服务端密码交换信息(ServerKeyExchange),该消息中包含第二通信端从第二量子终端获取安全密钥所必需的参数,该参数包括第二量子终端的属性信息,例如第二量子终端的ID、IP等信息。即第二通信端通过ServerKeyExchange消息,将第二量子终端的属性信息发送给第一通信终端。
第一通信端利用接收到第二通信端从第二量子终端获取安全密钥所必需的参数,以及自身从第一量子终端获取安全密钥所必须的参数,从第一量子终端获取安全密钥。
具体地,第一量子终端在接收到第一通信端发起的申请密钥的请求后,在第一量子终端和第二量子终端之间进行密钥请求同步,第一量子终端和第二量子终端分别生成密钥,利用第一量子终端以及第二量子终端的属性信息,例如ID、IP等信息进行密钥协商,最终协商出一个共享密钥。
因此,第一通信端从第一量子终端获取安全密钥之前,需要获知第一量子终端和第二量子终端的ID、IP信息。即第一通信端从第一量子终端中获取到安全密钥至少具备两个条件:(1)第一通信端从第一量子终端获取安全密钥所必需的第一量子终端的属性信息;(2)第二通信端从第二量子终端获取安全密钥所必需的第二量子终端的属性信息。具备上述的两个条件后,第一通信端才能够从第一量子终端中获取到安全密钥。
第一通信端在具备上述两个条件之后,向第一量子终端发送读取密钥请求,第一量子终端向第一通信端返回安全密钥,即返回第一量子终端和第二量子终端协商出的共享密钥。
步骤S212,第一通信端利用安全密钥生成主密钥以及所需的密钥对,并将主密钥保存在Session对象中。
第一通信端在获取到安全密钥后,利用密钥生成函数生成主密钥,并将主密钥保存在Session对象中;再利用主密钥使用密钥生成函数扩展出第一通信端与第二通信端之间通信所需的密钥对。优选地,密钥生成函数使用基于国密算法SM3的PRF函数。
步骤S213,第一通信端通过密码交换信息将第一量子终端的属性信息发送至第二通信端,第二通信端从第二量子终端获取第二安全密钥。
第一通信端向第二通信端发送客户端密码交换信息(ClientKeyExchange),该消息中包含第一通信端从第一量子终端获取安全密钥所必需的参数,该参数包括第一量子终端的属性信息,例如第一量子终端的ID、IP等信息。即第一通信端通过ClientKeyExchange消息,将第一量子终端的属性信息发送给第二通信终端。
第二通信端利用接收到的第一通信端从第一量子终端获取安全密钥所必需的参数,以及自身从第二量子终端获取安全密钥所必须的参数,从第二量子终端获取安全密钥。
具体地,第二通信端从第二量子终端获取安全密钥之前,需要获知第一量子终端和第二量子终端的ID、IP信息。即第二通信端从第二量子终端中获取到安全密钥至少具备两个条件:(1)第一通信端从第一量子终端获取安全密钥所必需的第一量子终端的属性信息;(2)第二通信端从第二量子终端获取安全密钥所必需的第二量子终端的属性信息。具备上述的两个条件后,第二通信端才能够从第二量子终端中获取到安全密钥。
第二通信端在具备上述两个条件之后,向第二量子终端发送读取密钥请求,第二量子终端向第二通信端返回安全密钥,即返回第一量子终端和第二量子终端协商出的共享密钥。
其中,第二通信端并不需要向第二量子终端发送申请密钥请求,在第一通信端向第一量子终端发送申请密钥请求时,第一量子终端和第二量子终端进行密钥的同步,从而可以省略第二通信端向第二量子终端发送申请密钥请求的步骤。
步骤S214,第二通信端利用安全密钥生成主密钥以及所需的密钥对,并将主密钥保存在Session对象中。
第二通信端在获取到安全密钥后,利用密钥生成函数生成主密钥,并将主密钥保存在Session对象中;再利用主密钥使用密钥生成函数扩展出第一通信端与第二通信端之间通信所需的密钥对。优选地,密钥生成函使用基于国密算法SM3的PRF函数。
步骤S22,第一通信端与第二通信端初次握手完成后,当再次进行握手时,第一通信端和第二通信端分别从各自的Session对象中获取主密钥,生成各自的密钥对。
与实施例1步骤S12相同,在此不再赘述。
本实施例中,第一通信端和第二通信端分别通过密码交换消息将各自所连接的量子终端的属性信息发送给对方;即第一通信端和第二通信端在密码交换消息中仅仅是对各自所连接的量子终端的属性信息进行交换,并不涉及密钥交换,从而能够提高密钥的安全性。
实施例3
本实施例提供一种基于量子终端的握手方法,可用于握手装置中。本实施例中,第一通信端和第二通信端之间的通信协议选自但不限于传输层安全协议(Transport LayerSecurity,简称为TLS)。如图4所示,该方法包括以下步骤:
步骤S31,第一通信端向第二通信端发送第一问候消息。
第一通信端向第二通信终端发送第一问候消息(ClientHello),该ClientHello消息中包括第一通信端自身所支持的通信协议版本、加密算法套件,以及用于生成主密钥时候使用的随机数,该随机数的使用可以为生成主密钥增加一些随机因子,从而能够保证主密钥的安全性。
步骤S32,第二通信端向第一通信端回应第二问候消息。
第二通信端向第一通信终端发送第二问候消息(ServerHello),该ServerHello消息中包括第二通信端选择的,第一通信端和第二通信端双方都支持的通信协议版本、加密算法套件以及随机数。例如,第一通信端和第二通信端协商出的加密算法套件中的密钥生成函数为基于国密算法SM3的PRF函数。
步骤S33,第一通信端和第二通信端分别从量子终端获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并将主密钥保存在Session对象中。与实施例2的步骤S21相同,在此不再赘述。
步骤S34,第一通信端与第二通信端初次握手完成后,当再次进行握手时,第一通信端和第二通信端分别从各自的Session对象中获取主密钥,生成各自的密钥对。与实施例2的步骤S22相同,在此不再赘述。
此外,在第一通信端向第二通信端发送第一问候消息的步骤之前,还包括:第一通信端和第二通信端向第二量子终端分别向对应的量子终端发送认证请求,并接受对应量子终端发送的认证通过消息。即第一通信端和第二通信端在进行信息交互之前,分别向各自的量子终端进行安全认证,该安全认证是基于量子终端厂商的API进行的。
第一通信端和第二通信端在握手过程中,双方还进行通信协议版本、加密算法套件的协商,保证了信息传输的可靠性。
实施例4
本实施例提供一种基于量子终端的握手方法的具体实施方式,可用于握手装置中。本实施例中,第一通信端和第二通信端之间的通信协议为传输层安全协议(TransportLayer Security,简称为TLS),第一通信端为客户端,第二通信端为服务器。
在第一通信端和第二通信端进行信息交互之前,第一通信端和第二通信端向第二量子终端分别向对应的量子终端发送认证请求,并接受对应量子终端发送的认证通过消息。即第一通信端和第二通信端在进行信息交互之前,分别向各自的量子终端进行安全认证,该安全认证是基于量子终端厂商的API进行的。
如图5所示,该握手方法包括如下步骤:
步骤1,客户端向服务器发送ClientHello消息。
其中,ClientHello消息中包括第一通信端自身所支持的通信协议版本、加密算法套件,以及用于生成主密钥时候使用的随机数。
步骤2,服务器向客户端依次发送SeverHello、SeverKeyExchange,以及服务器问候结束消息(SeverHelloDone)。
其中,SeverHello消息中包括服务器选择的,客户端和服务器双方都支持的通信协议版本、加密算法套件以及随机数。
SeverKeyExchange消息中包含服务器从第二量子终端获取安全密钥所必需的参数,该参数包括服务器的属性信息,例如第二量子终端的ID、IP等信息。
SeverHelloDone消息表示服务器的问候结束。
步骤3,客户端向第一量子终端发送申请密钥请求。
在第一量子终端和第二量子终端之间保证密钥同步,一方面可以省略服务器向第二量子终端发送申请密钥请求的步骤;另一方面,能够保证第一量子终端和第二量子终端之间的密钥同步。
步骤4,客户端向第一量子终端发送读取密钥请求。
步骤5,客户端从第一量子终端读取安全密钥。
步骤6,客户端向服务器发送ClientKeyExchange、改变密钥规范消息(ChangeCipherSpec)以及完成消息(Finished)。
其中,ClientKeyExchange消息中包含第一通信端从第一量子终端获取安全密钥所必需的参数,该参数包括第一量子终端的属性信息。
ChangeCipherSpec消息表示客户端通知服务器改变密钥规范,并将密钥规范拷贝到当前连接的状态之中。
Finished消息用于表示客户端握手成功。
步骤7、服务器向第二量子终端发起读取密钥请求。
步骤8,服务器从第二量子终端中读取密钥。
步骤9,服务器向客户端发送ChangeCipherSpec以及Finished。
其中,ChangeCipherSpec消息表示服务器通知客户端改变密钥规范,并将密钥规范拷贝到当前连接的状态之中。
Finished用于表示服务器握手成功。
步骤10,客户端向服务器发送程序数据(Application)。
步骤11,服务器向客户端发送程序数据(Application)。
至此,标志着客户端与服务器进入应用层数据传输阶段。
实施例5
本实施例提供一种基于量子终端的握手方法中,第一通信端和第二通信端需要进行Session重用握手的过程。其中,第一通信端和第二通信端之间的通信协议为传输层安全协议(Transport Layer Security,简称为TLS)。第一通信端表示客户端,第二通信端表示服务器。如图6所示,该方法包括以下步骤:
步骤1,客户端向服务器发送ClientHello消息。其中,ClientHello消息中包括第一通信端自身所支持的通信协议版本、加密算法套件,以及用于生成主密钥时候使用的随机数。
步骤2,服务器向客户端发送SeverHello,以及SeverHelloDone消息。
其中,SeverHello消息中包括服务器选择的,客户端和服务器双方都支持的通信协议版本、加密算法套件以及随机数。
SeverHelloDone消息表示服务器的问候结束。
步骤3,客户端向服务器发送ClientKeyExchange、ChangeCipherSpec以及Finished。
客户端从Session对象中的主密钥中导出此次会话的密钥对,并通过ClientKeyExchange消息发送给服务器。
ChangeCipherSpec消息表示客户端通知服务器改变密钥规范,并将密钥规范拷贝到当前连接的状态之中。
Finished消息用于表示客户端握手成功。
步骤4,服务器向客户端发送ChangeCipherSpec以及Finished消息。
ChangeCipherSpec消息表示客户端通知服务器改变密钥规范,并将密钥规范拷贝到当前连接的状态之中。
Finished消息用于表示客户端握手成功。
步骤5,客户端向服务器发送程序数据(Application)。
步骤6,服务器向客户端发送程序数据(Application)。
至此,标志着客户端与服务器进入应用层数据传输阶段。
当客户端与服务器需要Session重用时,客户端与服务器均不需要与量子终端进行通信,直接从保存在各自的Session对象中导出密钥对,从而能够减小对量子终端的压力。
实施例6
本实施例提供一种基于量子终端的握手装置,可用于执行实施例1至实施例5中的基于量子终端的握手方法。具体包括:
第一生成单元和第二生成单元,第一生成单元设置在第一通信端上,第二生成单元设置在第二通信端上,分别用于从量子终端获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并分别将主密钥保存在Session对象中。
第一获取单元和第二获取单元,第一获取单元设置在第一通信端上,第二获取单元设置在第二通信端上,分别用于在第一通信端与第二通信端初次握手完成后再次进行握手时,从对应Session对象中获取主密钥,生成各自的密钥对。
本实施例中,基于量子终端的握手装置,通过从量子终端中获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并分别将主密钥保存在Session对象中;第一通信端与第二通信端初次握手完成后,当再次进行握手时,第一通信端和第二通信端分别从各自的Session对象中获取主密钥,生成各自的密钥对。第一通信端和第二通信端从量子终端获取安全密钥,生成主密钥后保存在Session中,当需要Session重用时,第一通信端和第二通信端分别从Session对象中获取各自的主密钥进行使用,而不需要与量子终端进行通信,减少了对量子通信线路的负载。
优选地,第一通信端为服务器,第二通信端为客户端;或者第一通信端为客户端,第二通信端为服务器。
作为本实施例的一种可选实施方式,其中,
第一生成单元包括:第一获取模块,用于从第一量子终端获取第一安全密钥;
第二生成单元包括:第二获取模块,用于从第二量子终端获取第二安全密钥。
作为本实施例的另一种可选实施方式,该握手装置还包括:
第一发送单元,设置在第一通信端上,用于通过密码交换信息将第一量子终端的属性信息发送至第二通信端;
第二发送单元,设置在第二通信端上,用于通过密码交换信息将第二量子终端的属性信息发送至第一通信端。
作为本实施例的另一种可选实施方式,该握手装置还包括:
第三发送单元,设置在第一通信端上,用于向第二通信端发送第一问候消息,第一问候消息包括协议版本、随机数和第一通信端所支持的加密算法套件。
第四发送单元,设置在第二通信端上,用于向第一通信端回应第二问候消息,第二问候信息包括选择的协议版本、选择的加密算法套件以及随机数。
作为本实施例的另一种可选实施方式,其中,
第一生成单元还包括:第一生成模块,用于利用选择的加密算法套件将其主密钥生成密钥对;
第二生成单元还包括:第二生成模块,利用选择的加密算法套件将其主密钥生成密钥对。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种基于量子终端的握手方法,其特征在于,包括以下步骤:
第一通信端和第二通信端分别从量子终端获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并分别将主密钥保存在Session对象中;
所述第一通信端与所述第二通信端初次握手完成后,当再次进行握手时,所述第一通信端和所述第二通信端分别从各自的Session对象中获取主密钥,生成各自的密钥对。
2.根据权利要求1所述的握手方法,其特征在于,第一通信端和第二通信端分别从量子终端获取安全密钥包括:
所述第一通信端从第一量子终端获取第一安全密钥;
所述第二通信端从第二量子终端获取第二安全密钥。
3.根据权利要求2所述的握手方法,其特征在于,所述第一通信端与所述第二通信端进行握手过程中,
所述第一通信端通过密码交换信息将所述第一量子终端的属性信息发送至所述第二通信端;
所述第二通信端通过密码交换信息将所述第二量子终端的属性信息发送至所述第一通信端。
4.根据权利要求1-3任一项所述的握手方法,其特征在于,所述第一通信端与所述第二通信端进行握手过程中,
所述第一通信端向所述第二通信端发送第一问候消息,所述第一问候消息包括协议版本、随机数和所述第一通信端所支持的加密算法套件;
所述第二通信端向所述第一通信端回应第二问候消息,所述第二问候信息包括选择的协议版本、选择的加密算法套件以及随机数。
5.根据权利要求4所述的握手方法,其特征在于,
所述第一通信端利用所述选择的加密算法套件将其主密钥生成密钥对;
所述第二通信端利用所述选择的加密算法套件将其主密钥生成密钥对。
6.一种基于量子终端的握手装置,其特征在于,包括:
第一生成单元和第二生成单元,所述第一生成单元设置在第一通信端上,所述第二生成单元设置在第二通信端上,分别用于从量子终端获取安全密钥,分别生成各自的主密钥以及所需的密钥对,并分别将主密钥保存在Session对象中;
第一获取单元和第二获取单元,所述第一获取单元设置在第一通信端上,所述第二获取单元设置在第二通信端上,分别用于在所述第一通信端与所述第二通信端初次握手完成后再次进行握手时,从对应Session对象中获取主密钥,生成各自的密钥对。
7.根据权利要求6所述的握手装置,其特征在于,
所述第一生成单元包括:第一获取模块,用于从第一量子终端获取第一安全密钥;
所述第二生成单元包括:第二获取模块,用于从第二量子终端获取第二安全密钥。
8.根据权利要求6或7所述的握手装置,其特征在于,还包括:
第一发送单元,设置在所述第一通信端上,用于通过密码交换信息将所述第一量子终端的属性信息发送至所述第二通信端;
第二发送单元,设置在所述第二通信端上,用于通过密码交换信息将所述第二量子终端的属性信息发送至所述第一通信端。
9.根据权利要求6至8中任一项所述的握手装置,其特征在于,还包括:
第三发送单元,设置在所述第一通信端上,用于向所述第二通信端发送第一问候消息,所述第一问候消息包括协议版本、随机数和所述第一通信端所支持的加密算法套件;
第四发送单元,设置在所述第二通信端上,用于向所述第一通信端回应第二问候消息,所述第二问候信息包括选择的协议版本、选择的加密算法套件以及随机数。
10.根据权利要求9所述的握手装置,其特征在于,
所述第一生成单元包括:第一生成模块,用于利用所述选择的加密算法套件将其主密钥生成密钥对;
所述第二生成单元包括:第二生成模块,利用所述选择的加密算法套件将其主密钥生成密钥对。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711147263.5A CN107911214B (zh) | 2017-11-17 | 2017-11-17 | 基于量子终端的握手方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711147263.5A CN107911214B (zh) | 2017-11-17 | 2017-11-17 | 基于量子终端的握手方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107911214A true CN107911214A (zh) | 2018-04-13 |
| CN107911214B CN107911214B (zh) | 2020-09-08 |
Family
ID=61846182
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711147263.5A Active CN107911214B (zh) | 2017-11-17 | 2017-11-17 | 基于量子终端的握手方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107911214B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111756529A (zh) * | 2019-03-28 | 2020-10-09 | 广东国盾量子科技有限公司 | 一种量子会话密钥分发方法及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050063547A1 (en) * | 2003-09-19 | 2005-03-24 | Audrius Berzanskis | Standards-compliant encryption with QKD |
| CN101183419A (zh) * | 2007-12-07 | 2008-05-21 | 武汉达梦数据库有限公司 | 基于会话的数据库存储加密方法 |
| US7430295B1 (en) * | 2003-03-21 | 2008-09-30 | Bbn Technologies Corp. | Simple untrusted network for quantum cryptography |
| CN104021335A (zh) * | 2014-06-05 | 2014-09-03 | 中国人民解放军国防科学技术大学 | 基于可扩展密码服务框架的密码服务方法 |
| CN104660602A (zh) * | 2015-02-14 | 2015-05-27 | 山东量子科学技术研究院有限公司 | 一种量子密钥传输控制方法及系统 |
| CN104660603A (zh) * | 2015-02-14 | 2015-05-27 | 山东量子科学技术研究院有限公司 | IPSec VPN中扩展使用量子密钥的方法及系统 |
| CN104702611A (zh) * | 2015-03-15 | 2015-06-10 | 西安电子科技大学 | 一种保护安全套接层会话密钥的设备及方法 |
| CN105049201A (zh) * | 2015-08-18 | 2015-11-11 | 安徽问天量子科技股份有限公司 | 基于量子密码的移动设备保密通信系统及方法 |
-
2017
- 2017-11-17 CN CN201711147263.5A patent/CN107911214B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7430295B1 (en) * | 2003-03-21 | 2008-09-30 | Bbn Technologies Corp. | Simple untrusted network for quantum cryptography |
| US20050063547A1 (en) * | 2003-09-19 | 2005-03-24 | Audrius Berzanskis | Standards-compliant encryption with QKD |
| CN101183419A (zh) * | 2007-12-07 | 2008-05-21 | 武汉达梦数据库有限公司 | 基于会话的数据库存储加密方法 |
| CN104021335A (zh) * | 2014-06-05 | 2014-09-03 | 中国人民解放军国防科学技术大学 | 基于可扩展密码服务框架的密码服务方法 |
| CN104660602A (zh) * | 2015-02-14 | 2015-05-27 | 山东量子科学技术研究院有限公司 | 一种量子密钥传输控制方法及系统 |
| CN104660603A (zh) * | 2015-02-14 | 2015-05-27 | 山东量子科学技术研究院有限公司 | IPSec VPN中扩展使用量子密钥的方法及系统 |
| CN104702611A (zh) * | 2015-03-15 | 2015-06-10 | 西安电子科技大学 | 一种保护安全套接层会话密钥的设备及方法 |
| CN105049201A (zh) * | 2015-08-18 | 2015-11-11 | 安徽问天量子科技股份有限公司 | 基于量子密码的移动设备保密通信系统及方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111756529A (zh) * | 2019-03-28 | 2020-10-09 | 广东国盾量子科技有限公司 | 一种量子会话密钥分发方法及系统 |
| CN111756529B (zh) * | 2019-03-28 | 2023-05-19 | 广东国盾量子科技有限公司 | 一种量子会话密钥分发方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107911214B (zh) | 2020-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102833253B (zh) | 建立客户端与服务器安全连接的方法及服务器 | |
| JP6613909B2 (ja) | 相互認証方法、認証装置および認証プログラム | |
| CN104756458B (zh) | 用于保护通信网络中的连接的方法和设备 | |
| CN105993146B (zh) | 用于与客户端设备建立安全会话的方法和装置 | |
| CN103338215B (zh) | 基于国密算法建立tls通道的方法 | |
| JP6145806B2 (ja) | 即時通信方法及びシステム | |
| CN108390851A (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
| CN104580189A (zh) | 一种安全通信系统 | |
| CN105871797A (zh) | 客户端与服务器进行握手的方法、装置及系统 | |
| CN104639534A (zh) | 网站安全信息的加载方法和浏览器装置 | |
| CN104580190A (zh) | 安全浏览器的实现方法和安全浏览器装置 | |
| CN112116472B (zh) | 区块链跨链交易模型、方法 | |
| CN113347010B (zh) | 基于ssl-tls协议的双向认证方法、系统 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
| CN106685983A (zh) | 一种基于ssl协议的数据还原方法与装置 | |
| CN102510387A (zh) | 一种安全传输层协议tls握手方法和装置及ttp | |
| CN110690969B (zh) | 一种多方协同完成双向ssl/tls认证的方法和系统 | |
| CN110213247A (zh) | 一种提高推送信息安全性的方法及系统 | |
| CN111541776A (zh) | 一种基于物联网设备的安全通信装置及系统 | |
| CN109995739A (zh) | 一种信息传输方法、客户端、服务器及存储介质 | |
| CN110022317A (zh) | 基于图形的信息传输方法、系统及装置 | |
| CN113507358A (zh) | 通信系统、认证方法、电子设备及存储介质 | |
| CN113595722B (zh) | 量子安全密钥同步方法、装置、电子设备和存储介质 | |
| CN114173328A (zh) | 密钥交换方法、装置、电子设备 | |
| CN107911214A (zh) | 基于量子终端的握手方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |