CN108123795A - 量子密钥芯片的发行方法、应用方法、发行平台及系统 - Google Patents
量子密钥芯片的发行方法、应用方法、发行平台及系统 Download PDFInfo
- Publication number
- CN108123795A CN108123795A CN201611070527.7A CN201611070527A CN108123795A CN 108123795 A CN108123795 A CN 108123795A CN 201611070527 A CN201611070527 A CN 201611070527A CN 108123795 A CN108123795 A CN 108123795A
- Authority
- CN
- China
- Prior art keywords
- quantum key
- key
- ssl vpn
- chip
- quantum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种量子密钥芯片的发行方法、应用方法、发行平台及系统,方法包括:量子密钥发行平台将量子密钥注入量子密钥芯片,并将量子密钥芯片的ID与使用该量子密钥芯片的用户的ID进行一一对应绑定,量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;量子密钥为量子密钥发行平台与密钥分发中心KDC预先协商获得;量子密钥发行平台将量子密钥的标识信息发送给KDC,以使KDC将标识信息与标识信息对应的量子密钥进行绑定。使得KDC能够对量子密钥进行有效管理便于应用。将芯片与SSL VPN接入方式相结合,提升量子密钥在移动终端应用的便利。解决传统SSL VPN通过非对称算法存在的隐患。
Description
技术领域
本发明涉及量子通信技术领域,尤其涉及一种量子密钥芯片的发行方法、应用方法、发行平台及系统。
背景技术
随着互联网数据技术的进步和商务模式的发展,在互联网技术蓬勃发展的今天,利用信息化技术和网络技术,可以帮助用户提升业务流程和实施业务响应。同时,业务信息网络化也带来了安全威胁,业务本身的商业数据、企业客户的敏感数据等一旦被泄露,将带来难以估计的损失。而通信或存储的信息被篡改,更会带来严重的后果。因此,业务信息化过程中的安全性问题至关重要。
目前在传统的计算机领域,可以通过安全套接层虚拟专用网络(SSL VPN,SecureSocket Layer Virtual Private Network)构建安全的业务网络,满足点对网的安全应用需求。然而,SSL VPN技术始终是建立在非对称密钥体系之上的,在非对称密钥算法已经在预期未来实现破解的情况下,现有的SSL VPN技术构建的安全网络也将面临被破解的潜在威胁。
发明内容
为了解决现有技术中存在的以上技术问题,本发明提供一种量子密钥芯片的发行方法、应用方法、发行平台及系统,能够避免非对称密钥被破解时的通信安全问题,使通信更加安全。
本发明实施例提供一种量子密钥芯片的发行方法,包括:
量子密钥发行平台将量子密钥注入量子密钥芯片,并将所述量子密钥芯片的ID与使用该量子密钥芯片的用户的ID进行一一对应绑定,所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;所述量子密钥为所述量子密钥发行平台与密钥分发中心KDC预先协商获得;
所述量子密钥发行平台将所述量子密钥的标识信息发送给所述KDC,以使所述KDC将所述标识信息与所述标识信息对应的量子密钥进行绑定。
优选地,所述量子密钥发行平台与KDC预先协商获得量子密钥,具体包括:
所述量子密钥发行平台与连接自己的第一量子密钥管理终端建立对应关系,所述密钥分发中心KDC与连接自己的第二量子密钥管理终端建立对应关系;
所述量子密钥发行平台和KDC协商导出量子密钥的数目,所述量子密钥发行平台从所述KDC获得第二量子密钥管理终端的ID,并将所述第一量子密钥管理终端的ID告知所述KDC;
所述量子密钥发行平台和KDC分别向自己对应的量子密钥管理终端请求并接收已协商的数目的量子密钥;所述量子密钥由所述第一量子密钥管理终端发送给所述量子密钥发行平台,且所述量子密钥由所述第二量子密钥管理终端发送给所述KDC。
本发明实施例还提供一种量子密钥芯片的应用方法,应用于安全套接层虚拟专用网络SSL VPN通信系统,该系统包括:客户端SSL VPN、服务器端SSL VPN、密钥分发中心KDC和量子密钥芯片;
当所述客户端SSL VPN与服务器端SSL VPN进行量子密钥协商正常时,该方法包括:
所述客户端SSL VPN从所述量子密钥芯片中获取第一随机数,并将所述第一随机数发送给所述服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
所述客户端SSL VPN与所述服务器端SSL VPN协商将所述量子密钥芯片中的量子密钥作为预主密钥,并将所述量子密钥芯片中的作为预主密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSL VPN,以使所述服务器端SSL VPN利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC中获取量子密钥作为预主密钥;所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;所述KDC预先将所述标识信息与所述标识信息对应的量子密钥进行绑定;
所述客户端SSL VPN与所述服务器端SSL VPN利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥。
优选地,所述客户端SSL VPN利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥,具体包括:
所述客户端SSL VPN从所述量子密钥芯片获得作为预主密钥的量子密钥,利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥;
或,
所述客户端SSL VPN将所述第二随机数和预先约定的算法告知所述量子密钥芯片,并接收所述量子密钥芯片返回的会话密钥,所述会话密钥由所述量子密钥芯片由作为预主密钥的量子密钥、所述第一随机数、所述第二随机数和预先约定的算法计算获得。
优选地,当所述客户端SSL VPN与服务器端SSL VPN进行量子密钥协商异常时,该方法包括:
所述客户端SSL VPN将产生的第一随机数发送给服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
所述客户端SSL VPN与所述服务器端SSL VPN进行预主密钥的协商;
所述客户端SSL VPN与所述服务器端SSL VPN利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
优选地,还包括:所述客户端SSL VPN或量子密钥芯片利用会话密钥对应用数据进行加密和/或解密。
本发明实施例还提供一种量子密钥芯片的应用方法,应用于安全套接层虚拟专用网络SSL VPN通信系统,该系统包括:客户端SSL VPN、服务器端SSL VPN、密钥分发中心KDC和量子密钥芯片;
当所述客户端SSL VPN与服务器端SSL VPN进行量子密钥协商正常时,该方法包括:
所述客户端SSL VPN与所述服务器端SSL VPN协商将所述量子密钥芯片中的量子密钥作为会话密钥;
将所述量子密钥芯片中的作为会话密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSL VPN,以使所述服务器端SSL VPN利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC中获取量子密钥作为会话密钥;所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;所述KDC预先将所述标识信息与所述标识信息对应的量子密钥进行绑定。
优选地,当所述客户端SSL VPN与服务器端SSL VPN进行量子密钥协商异常时,该方法包括:
所述客户端SSL VPN将产生的第一随机数发送给服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
所述客户端SSL VPN与所述服务器端SSL VPN进行预主密钥的协商;
所述客户端SSL VPN与所述服务器端SSL VPN利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
优选地,还包括:
所述客户端SSL VPN或量子密钥芯片利用会话密钥对应用数据进行加密和/或解密。
本发明实施例还提供一种发行平台,包括:注入单元、绑定单元和发送单元;
所述注入单元,用于将量子密钥注入量子密钥芯片;所述量子密钥为预先与密钥分发中心KDC协商获得;
所述绑定单元,用于将所述量子密钥芯片的ID与使用该量子密钥芯片的用户的ID进行一一对应绑定,所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;
所述发送单元,用于将所述量子密钥的标识信息发送给所述KDC,以使所述KDC将所述标识信息与所述标识信息对应的量子密钥进行绑定。
本发明实施例还提供一种量子密钥应用系统,包括:量子密钥芯片、客户端SSLVPN、服务器端SSL VPN和密钥分发中心KDC;
所述客户端SSL VPN,用于确定与服务器端SSL VPN进行量子密钥协商正常时,从所述量子密钥芯片中获取第一随机数,并将所述第一随机数发送给所述服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;与所述服务器端SSL VPN协商将所述量子密钥芯片中的量子密钥作为预主密钥,将所述量子密钥芯片中的作为预主密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSL VPN;
所述量子密钥芯片,用于产生所述第一随机数;
所述服务器端SSL VPN,用于利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC中获取量子密钥作为预主密钥;
所述KDC,用于预先将所述标识信息与所述标识信息对应的量子密钥进行绑定;所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;
所述客户端SSL VPN与所述服务器端SSL VPN还用于利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥。
优选地,所述客户端SSL VPN利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥,具体为:
所述客户端SSL VPN用于从所述量子密钥芯片获得作为预主密钥的量子密钥,利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥;
或,
所述客户端SSL VPN用于将所述第二随机数和预先约定的算法告知所述量子密钥芯片;所述量子密钥芯片用于利用所述作为预主密钥的量子密钥、所述第一随机数、所述第二随机数和预先约定的算法计算获得会话密钥;将所述会话密钥发送给所述客户端SSLVPN。
优选地,
所述客户端SSL VPN还用于,确定客户端SSL VPN与服务器端SSL VPN进行量子密钥协商异常时,将产生的第一随机数发送给所述服务器端SSL VPN;
所述服务器端SSL VPN将产生的第二随机数发送给所述客户端SSL VPN;
所述客户端SSL VPN与所述服务器端SSL VPN用于进行预主密钥的协商;
所述客户端SSL VPN与所述服务器端SSL VPN用于利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
优选地,所述客户端SSL VPN,还用于利用会话密钥对应用数据进行加密和/或解密;
或,
所述量子密钥芯片,还用于利用会话密钥对应用数据进行加密和/或解密。
本发明实施例还提供一种量子密钥应用系统,包括:量子密钥芯片、客户端SSLVPN、服务器端SSL VPN和密钥分发中心KDC;
所述客户端SSL VPN,用于确定与服务器端SSL VPN进行量子密钥协商正常时,与所述服务器端SSL VPN协商将所述量子密钥芯片中的量子密钥作为会话密钥;将所述量子密钥芯片中的作为会话密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSL VPN;
所述服务器端SSL VPN,用于利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC中获取量子密钥作为会话密钥;
所述KDC,用于预先将所述标识信息与所述标识信息对应的量子密钥进行绑定;所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息。
优选地,
所述客户端SSL VPN,还用于确定与服务器端SSL VPN进行量子密钥协商异常时,将产生的第一随机数发送给所述服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
所述客户端SSL VPN与所述服务器端SSL VPN还用于进行预主密钥的协商;
所述客户端SSL VPN与所述服务器端SSL VPN还用于利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
优选地,
所述客户端SSL VPN,还用于利用会话密钥对应用数据进行加密和/或解密;
或,
所述量子密钥芯片,还用于利用会话密钥对应用数据进行加密和/或解密。
与现有技术相比,本发明至少具有以下优点:
本发明提供的发行方法,将量子密钥注入量子密钥芯片中,并利用量子密钥芯片的ID和/或用户的ID作为量子密钥的标识信息,使得KDC能够对量子密钥进行有效管理,便于后续量子密钥芯片的具体应用。此外,由于量子密钥芯片便于携带和易于使用,因此,可以将量子密钥芯片与SSL VPN这种点对端的接入方式相结合,有效提升了量子密钥在移动终端的应用的便利。其中移动终端可以为手机、PAD等移动设备。由于量子密钥的安全等级比较高,因此解决了传统SSL VPN系统通过非对称算法存在的安全隐患。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明提供的量子密钥芯片的发行方法实施例一流程图;
图2为本发明提供的量子密钥芯片的发行方法信令图;
图3为本发明提供的发行方法的场景示意图;
图4为本发明提供的量子密钥芯片的应用方法实施例一流程图;
图5为本发明提供的应用方法实施例一对应的信令图;
图6为本发明提供的量子密钥芯片的应用方法实施例二流程图;
图7为本发明提供的应用方法实施例二对应的信令图;
图8为本发明提供的发行平台示意图;
图9为本发明提供的量子密钥应用系统实施例一示意图;
图10为本发明提供的典型应用场景图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
发行方法实施例一:
参见图1,该图为本发明提供的量子密钥芯片的发行方法实施例一流程图。
本实施例提供的量子密钥芯片的发行方法,包括:
S101:量子密钥发行平台将量子密钥注入量子密钥芯片,并将所述量子密钥芯片的ID与使用该量子密钥芯片的用户的ID进行一一对应绑定,所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;所述量子密钥为所述量子密钥发行平台与密钥分发中心(KDC,Key Distribution Center)预先协商获得;
可以理解的是,量子密钥发行平台和KDC协商的量子密钥为共享量子密钥,即量子密钥发行平台和KDC拥有相同数量相同内容的量子密钥。
量子密钥芯片最终是发行给用户使用的,因此,量子密钥芯片与用户的ID一一对应,发行时还可以设置预设PIN码,用户使用量子密钥芯片时,需要输入预设PIN码以验证用户是否合法。
量子密钥芯片中的量子密钥可以用量子密钥芯片的ID标识,也可以利用用户的ID标识,也可以利用量子密钥芯片的ID和用户的ID联合标识。
S102:所述量子密钥发行平台将所述量子密钥的标识信息发送给所述KDC,以使所述KDC将所述标识信息与所述标识信息对应的量子密钥进行绑定。
由于KDC中可能保存很多量子密钥,因此,KDC需要利用量子密钥的标识信息来查找该标识信息对应的量子密钥。
本实施例提供的发行方法,将量子密钥注入量子密钥芯片中,并利用量子密钥芯片的ID和/或用户的ID作为量子密钥的标识信息,使得KDC能够对量子密钥进行有效管理,便于后续量子密钥芯片的具体应用。此外,由于量子密钥芯片便于携带和易于使用,因此,可以将量子密钥芯片与SSLVPN这种点对端的接入方式相结合,有效提升了量子密钥在移动终端的应用的便利。其中移动终端可以为手机、PAD等移动设备。由于量子密钥的安全等级比较高,因此解决了传统SSL VPN系统通过非对称算法存在的安全隐患。
发行方法实施例二:
参见图2,该图为本发明提供的量子密钥芯片的发行方法信令图。
需要说明的是,量子密钥发行平台和KDC可以对应相同的量子密钥管理终端,也可以对应不同的量子密钥管理终端,下面以对应不同的量子密钥管理终端为例进行介绍。当量子密钥发行平台和KDC对应相同的量子密钥管理终端时,原理相同。
S1:所述量子密钥发行平台与连接自己的第一量子密钥管理终端建立对应关系,所述密钥分发中心KDC与连接自己的第二量子密钥管理终端建立对应关系;利用已经建立的对应关系,KDC与量子密钥发行平台分别向与其相连的量子密钥管理终端进行身份认证。
需要说明的是,对量子密钥管理终端进行身份认证不是必须的步骤,仅是为了提高安全性。
S2:KDC与量子密钥发行平台协商导出量子密钥的数目,所述量子密钥发行平台从所述KDC获得第二量子密钥管理终端的ID,并将所述第一量子密钥管理终端的ID告知所述KDC;
S3:KDC与量子密钥发行平台协商完成后,分别向与其相连的量子密钥管理终端请求量子密钥。
即KDC向第二量子密钥管理终端请求量子密钥,量子密钥发行平台向第一量子密钥管理终端请求量子密钥。
S4:KDC和量子密钥发行平台分别接收对应的量子密钥管理终端返回的量子密钥。
优选地,量子密钥管理终端进行密钥池检测,检测密钥池中剩余的量子密钥量是否满足需求,若满足则可直接返回已协商数目的量子密钥;如不满足,可返回通知信息由KDC和量子密钥发行平台重新协商导出的量子密钥的数目,也可等待密钥池中的量子密钥数目满足需求时,再返回相应数目的量子密钥。
S5:量子密钥发行平台将量子密钥注入量子密钥芯片,并将所述量子密钥芯片的ID与使用该量子密钥芯片的用户的ID进行一一对应绑定,所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息。
需要说明的是,量子密钥发行平台将量子密钥的标识信息发送给KDC,KDC将量子密钥的标识信息与对应的量子密钥进行绑定并存储,以便于后续使用量子密钥芯片时查找对应的量子密钥。
另外,量子密钥发行平台还设置量子密钥芯片的PIN码,用于用户使用量子密钥芯片时的合法性验证。
通常,量子密钥管理终端存储的量子密钥是以与其共享该量子密钥的量子密钥管理终端的设备ID来进行标识的。因此,KDC与量子密钥发行平台通过协商导出量子密钥的数目、双方量子密钥管理终端的设备ID,可以根据设备ID分别向与其相连的量子密钥管理终端请求并获取相应数量的共享量子密钥。
需要说明的是,以上是以KDC和量子密钥发行平台对应不同的量子密钥管理终端进行说明的,当KDC和量子密钥发行平台对应同一个量子密钥管理终端时,可以由该量子密钥管理终端将量子密钥发给KDC,并将量子密钥拷贝一份发送给量子密钥发行平台。
为了更好地理解以上实施例提供的方法,下面结合其应用场景进行进一步的说明,具体参见图3,该图为本发明提供的发行方法的场景示意图。
从区域上划分为内部网络和外部网络,SSL VPN作为外部网络访问内部网络的边界设备。
可以理解的是,量子密钥芯片发行后是给用户使用的,因此外部网络中的量子密钥芯片是发行后用户使用的。内部网络中的量子密钥芯片与外部网络中的量子密钥芯片是同一个,为了方便理解,将量子密钥芯片放在内部网络了解发行的过程。
内部网络需部署应用服务器(例如Web服务器、OA管理系统、邮件服务器等)、服务器端SSL VPN、KDC、量子密钥管理终端、量子密钥分发(QKD,Quantum Key Distribution)系统和量子密钥发行平台,另量子密钥芯片作为移动设备,由内部网络发行后派发给用户。
主要功能说明:
SSL VPN:负责边界的认证接入,内部网络的边界入口;
QKD系统:通过量子网络,生成量子密钥;
量子密钥管理终端:负责获取并保存QKD系统生成的量子密钥;
KDC:负责与量子密钥发行平台协商,完成从量子密钥管理终端导出量子密钥的动作,并登记量子密钥的标识信息,绑定和维护量子密钥与量子密钥芯片的对应关系;量子密钥的标识信息可以为量子密钥芯片的ID和/或用户的ID。
量子密钥发行平台:与KDC进行量子密钥导出协商,完成量子密钥芯片的发行,将量子密钥导入到量子密钥芯片,将量子密钥芯片的ID与用户的ID进行一一对应绑定。
量子密钥芯片:承载量子密钥,并与用户一一绑定。
需要说明的是,KDC、量子密钥发行平台、量子密钥管理终端和QKD可以独立存在,也可整合在一起。
下面结合附图介绍基于以上实施例提供发行方法发行的量子密钥芯片的应用方法。
应用方法实施例一:
参见图4,该图为本发明提供的量子密钥芯片的应用方法实施例一流程图。
本实施例提供的量子密钥芯片的应用方法,应用于安全套接层虚拟专用网络SSLVPN通信系统,该系统包括:客户端SSL VPN、服务器端SSL VPN、密钥分发中心KDC和量子密钥芯片;
当所述客户端SSL VPN与服务器端SSL VPN进行量子密钥协商正常时,该方法包括:
S401:所述客户端SSL VPN从所述量子密钥芯片中获取第一随机数,并将所述第一随机数发送给所述服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
S402:所述客户端SSL VPN与所述服务器端SSL VPN协商将所述量子密钥芯片中的量子密钥作为预主密钥,并将所述量子密钥芯片中的作为预主密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSL VPN,以使所述服务器端SSL VPN利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC中获取量子密钥作为预主密钥;所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;所述KDC预先将所述标识信息与所述标识信息对应的量子密钥进行绑定;
S403:所述客户端SSL VPN与所述服务器端SSL VPN利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥。
所述客户端SSL VPN利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥,具体包括:
所述客户端SSL VPN从所述量子密钥芯片获得作为预主密钥的量子密钥,利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥;
或,
所述客户端SSL VPN将所述第二随机数和预先约定的算法告知所述量子密钥芯片,并接收所述量子密钥芯片返回的会话密钥,所述会话密钥由所述量子密钥芯片由作为预主密钥的量子密钥、所述第一随机数、所述第二随机数和预先约定的算法计算获得。
本实施例中是由量子密钥芯片提供第一随机数和预主密钥。此种方式下,可以充分利用量子密钥的高安全特性,有利于提高预主密钥的更新频率,从而整体提升原有SSL协议的安全性。
以上提供的方法是当客户端SSL VPN与服务器端SSL VPN进行量子密钥协商正常时,可以利用量子密钥芯片来产生第一随机数,将量子密钥芯片中的量子密钥作为预主密钥,但是,当客户端SSL VPN与服务器端SSL VPN进行量子密钥协商异常时,则不能利用量子密钥芯片中的量子密钥作为预主密钥,因此,可以利用SSL协议中原有的协商机制进行预主密钥的协商。即参考以下SSL协议的协商机制:
当所述客户端SSL VPN与服务器端SSL VPN进行量子密钥协商异常时,该方法包括:
所述客户端SSL VPN将产生的第一随机数发送给服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
所述客户端SSL VPN与所述服务器端SSL VPN进行预主密钥的协商;
所述客户端SSL VPN与所述服务器端SSL VPN利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
本实施例中当协商量子密钥出现问题时,可以利用保留的原有的SSL协议中预主密钥的协商机制,即存在两种预主密钥源,当量子密钥作为预主密钥出现问题时,可以使用SSL协议原有协商机制的预主密钥,从而实现对原有SSL协议的有效兼容。并且优选使用量子密钥作为预主密钥。具体可以参见图5所示的应用方法实施例一对应的信令图。需要说明的是,用户使用量子密钥芯片时需要进行合法性校验,例如,可以通过发行时预设的PIN码,当校验合法时才向用户开放应用权限。可以理解的是,合法性校验也可以利用其他方式实现。例如,利用生物特征进行合法性校验,如通过指纹校验用户的合法性。
另外,还包括:所述客户端SSL VPN或量子密钥芯片利用会话密钥对应用数据进行加密和/或解密。
会话密钥的计算以及应用数据的加密和/或解密可在量子密钥芯片中完成;量子密钥芯片也可只作为提供者,提供量子密钥和随机数给客户端SSL VPN,由客户端SSL VPN自行完成会话密钥的计算和/或应用数据的加密解密。
应用方法实施例二:
参见图6,该图为本发明提供的量子密钥芯片的应用方法实施例二流程图。
本实施例提供的量子密钥芯片的应用方法,应用于安全套接层虚拟专用网络SSLVPN通信系统,该系统包括:客户端SSL VPN、服务器端SSL VPN、密钥分发中心KDC和量子密钥芯片;
当所述客户端SSL VPN与服务器端SSL VPN进行量子密钥协商正常时,该方法包括:
S601:所述客户端SSL VPN与所述服务器端SSL VPN协商将所述量子密钥芯片中的量子密钥作为会话密钥;
S602:将所述量子密钥芯片中的作为会话密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSL VPN,以使所述服务器端SSL VPN利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC中获取量子密钥作为会话密钥;所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;所述KDC预先将所述标识信息与所述标识信息对应的量子密钥进行绑定。
本实施例中是将量子密钥芯片中的量子密钥直接作为会话密钥。此种方式下,可以充分利用量子密钥的高安全特性,有利于提高会话密钥的更新频率,从而整体提升原有SSL协议的安全性。
以上提供的方法是当客户端SSL VPN与服务器端SSL VPN进行量子密钥协商正常时,可以利用量子密钥芯片中的量子密钥直接作为会话密钥,但是,当客户端SSL VPN与服务器端SSL VPN进行量子密钥协商异常时,则不能利用量子密钥芯片中的量子密钥作为会话密钥,因此,可以利用SSL协议中原有的协商机制进行预主密钥的协商,进行会话密钥的计算。即参考以下SSL协议的协商机制:
当所述客户端SSL VPN与服务器端SSL VPN进行量子密钥协商异常时,该方法包括:
所述客户端SSL VPN将产生的第一随机数发送给服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
所述客户端SSL VPN与所述服务器端SSL VPN进行预主密钥的协商;
所述客户端SSL VPN与所述服务器端SSL VPN利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
本实施例中当协商量子密钥出现问题时,可以利用保留的原有的SSL协议中预主密钥的协商机制,进行会话密钥的计算,即存在两种会话密钥源,当量子密钥作为会话密钥出现问题时,可以使用SSL协议原有协商机制的预主密钥,进行会话密钥的计算,从而实现对原有SSL协议的有效兼容。并且优选使用量子密钥作为会话密钥。具体可以参见图7所示的应用方法实施例二对应的信令图。与图5相同的部分不再赘述。
另外,还包括:
所述客户端SSL VPN或量子密钥芯片利用会话密钥对应用数据进行加密和/或解密。
会话密钥的计算以及应用数据的加密和/或解密可在量子密钥芯片中完成;量子密钥芯片也可只作为提供者,提供量子密钥给客户端SSL VPN,由客户端SSL VPN利用会话密钥对应用数据进行加密和/或解密。
基于以上实施例提供的一种量子密钥芯片的发行方法及应用方法,本发明还提供一种发行平台,下面结合附图进行详细的介绍。
参见图8,该图为本发明提供的发行平台示意图。
本实施例提供的发行平台,包括:注入单元801、绑定单元802和发送单元803;
所述注入单元801,用于将量子密钥注入量子密钥芯片;所述量子密钥为预先与密钥分发中心KDC协商获得;
所述绑定单元802,用于将所述量子密钥芯片的ID与使用该量子密钥芯片的用户的ID进行一一对应绑定,所述量子密钥芯片的ID和/或用户的ID均可作为该量子密钥芯片中的量子密钥的标识信息;
所述发送单元803,用于将所述量子密钥的标识信息发送给所述KDC,以使所述KDC将所述标识信息与所述标识信息对应的量子密钥进行绑定。
本实施例提供的发行平台,将量子密钥注入量子密钥芯片中,并利用量子密钥芯片的ID和/或用户的ID作为量子密钥的标识信息,使得KDC能够对量子密钥进行有效管理,便于后续量子密钥芯片的具体应用。此外,由于量子密钥芯片便于携带和易于使用,因此,可以将量子密钥芯片与SSL VPN这种点对端的接入方式相结合,有效提升了量子密钥在移动终端的应用的便利。其中移动终端可以为手机、PAD等移动设备。由于量子密钥的安全等级比较高,因此解决了传统SSL VPN系统通过非对称算法存在的安全隐患。
可以理解的是,该发行平台即为其他实施例中描述的量子密钥发行平台。
应用系统实施例一:
参见图9,该图为本发明提供的量子密钥应用系统实施例一示意图。
本实施例提供的量子密钥应用系统,包括:量子密钥芯片901、客户端SSL VPN902、服务器端SSL VPN903和密钥分发中心KDC904;
所述客户端SSL VPN902,用于确定与服务器端SSL VPN903进行量子密钥协商正常时,从所述量子密钥芯片901中获取第一随机数,并将所述第一随机数发送给所述服务器端SSL VPN903,并接收所述服务器端SSL VPN903发送的第二随机数;与所述服务器端SSLVPN903协商将所述量子密钥芯片901中的量子密钥作为预主密钥,将所述量子密钥芯片901中的作为预主密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSLVPN903;
所述量子密钥芯片901,用于产生所述第一随机数;
所述服务器端SSL VPN903,用于利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC904中获取量子密钥作为预主密钥;
所述KDC904,用于预先将所述标识信息与所述标识信息对应的量子密钥进行绑定;所述量子密钥芯片901的ID和/或用户的ID作为该量子密钥芯片901中的量子密钥的标识信息;
所述客户端SSL VPN902与所述服务器端SSL VPN903还用于利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥。
所述客户端SSL VPN902利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥,具体为:
所述客户端SSL VPN902用于从所述量子密钥芯片901获得作为预主密钥的量子密钥,利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥;
或,
所述客户端SSL VPN902用于将所述第二随机数和预先约定的算法告知所述量子密钥芯片901;所述量子密钥芯片901用于利用所述作为预主密钥的量子密钥、所述第一随机数、所述第二随机数和预先约定的算法计算获得会话密钥;将所述会话密钥发送给所述客户端SSL VPN902。
本实施例中是由量子密钥芯片901提供第一随机数和预主密钥。此种方式下,可以充分利用量子密钥的高安全特性,有利于提高预主密钥的更新频率,从而整体提升原有SSL协议的安全性。
以上提供的系统是当客户端SSL VPN902与服务器端SSL VPN903进行量子密钥协商正常时,可以利用量子密钥芯片901来产生第一随机数,将量子密钥芯片901中的量子密钥作为预主密钥,但是,当客户端SSL VPN902与服务器端SSL VPN903进行量子密钥协商异常时,则不能利用量子密钥芯片901中的量子密钥作为预主密钥,因此,可以利用SSL协议中原有的协商机制进行预主密钥的协商。
即,
所述客户端SSL VPN902还用于,确定与服务器端SSL VPN903进行量子密钥协商异常时,将产生的第一随机数发送给服务器端SSL VPN903;
所述服务器端SSL VPN903将产生的第二随机数发送给所述客户端SSL VPN902;
所述客户端SSL VPN902与所述服务器端SSL VPN903用于进行预主密钥的协商;
所述客户端SSL VPN902与所述服务器端SSL VPN903用于利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
本实施例中当协商量子密钥出现问题时,可以利用保留的原有的SSL协议中预主密钥的协商机制,即存在两种预主密钥源,当量子密钥作为预主密钥出现问题时,可以使用SSL协议原有协商机制的预主密钥,从而实现对原有SSL协议的有效兼容。并且优选使用量子密钥作为预主密钥。
另外,所述客户端SSL VPN902,还用于利用会话密钥对应用数据进行加密和/或解密;
或,
所述量子密钥芯片901,还用于利用会话密钥对应用数据进行加密和/或解密。
会话密钥的计算以及应用数据的加密和/或解密可在量子密钥芯片901中完成;量子密钥芯片901也可只作为提供者,提供量子密钥和随机数给客户端SSL VPN902,由客户端SSL VPN902自行完成会话密钥的计算和/或应用数据的加密解密。
应用系统实施例二:
本实施例提供的量子密钥应用系统,包括:量子密钥芯片、客户端SSL VPN、服务器端SSL VPN和密钥分发中心KDC;
所述客户端SSL VPN,用于确定与服务器端SSL VPN进行量子密钥协商正常时,与所述服务器端SSL VPN协商将所述量子密钥芯片中的量子密钥作为会话密钥;将所述量子密钥芯片中的作为会话密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSL VPN;
所述服务器端SSL VPN,用于利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC中获取量子密钥作为会话密钥;
所述KDC,用于预先将所述标识信息与所述标识信息对应的量子密钥进行绑定;所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息。
本实施例中是将量子密钥芯片中的量子密钥直接作为会话密钥。此种方式下,可以充分利用量子密钥的高安全特性,有利于提高会话密钥的更新频率,从而整体提升原有SSL协议的安全性。
以上提供的方法是当客户端SSL VPN与服务器端SSL VPN进行量子密钥协商正常时,可以利用量子密钥芯片中的量子密钥直接作为会话密钥,但是,当客户端SSL VPN与服务器端SSL VPN进行量子密钥协商异常时,则不能利用量子密钥芯片中的量子密钥作为会话密钥,因此,可以利用SSL协议中原有的协商机制进行预主密钥的协商,进行会话密钥的计算。
所述客户端SSL VPN,还用于确定与服务器端SSL VPN进行量子密钥协商异常时,将产生的第一随机数发送给服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
所述客户端SSL VPN与所述服务器端SSL VPN还用于进行预主密钥的协商;
所述客户端SSL VPN与所述服务器端SSL VPN还用于利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
另外,所述客户端SSL VPN,还用于利用会话密钥对应用数据进行加密和/或解密;
或,
所述量子密钥芯片,还用于利用会话密钥对应用数据进行加密和/或解密。
利用量子密钥芯片对应用数据进行加密和/或解密可以提高安全性。
下面结合图10介绍本发明以上所有实施例的一个具体应用场景。
其中,应用服务器集中在总公司,KDC也部署在总公司,总公司和子公司之间通过量子网络可生成量子密钥,当使用量子密钥发行平台发行量子密钥芯片时,量子密钥一份存储在量子密钥芯片中,相同的一份由KDC存储和管理。当用户在公网,可以利用量子密钥芯片通过客户端SSL VPN接入总公司的服务器端SSL VPN,进而访问应用服务器。
这样承载量子密钥的量子密钥芯片便于携带和易于使用,很好的与SSL VPN这种点到端的接入方式相结合,提升了量子密钥在移动设备端应用的便利性。并且,量子密钥芯片的ID与用户的ID一一绑定,将用户的ID等级提升,同时量子密钥安全存储在量子密钥芯片中,可在芯片内对数据进行加密和解密,整体地提升了系统的安全防护等级。并且,客户端SSL VPN与量子密钥芯片有机结合,支持原有的协商过程,也扩展支持量子密钥芯片的接入,保持了系统的兼容性和适应性。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明技术方案范围情况下,都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。
Claims (17)
1.一种量子密钥芯片的发行方法,其特征在于,包括:
量子密钥发行平台将量子密钥注入量子密钥芯片,并将所述量子密钥芯片的ID与使用该量子密钥芯片的用户的ID进行一一对应绑定,所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;所述量子密钥为所述量子密钥发行平台与密钥分发中心KDC预先协商获得;
所述量子密钥发行平台将所述量子密钥的标识信息发送给所述KDC,以使所述KDC将所述标识信息与所述标识信息对应的量子密钥进行绑定。
2.根据权利要求1所述的量子密钥芯片的发行方法,其特征在于,所述量子密钥发行平台与KDC预先协商获得量子密钥,具体包括:
所述量子密钥发行平台与连接自己的第一量子密钥管理终端建立对应关系,所述密钥分发中心KDC与连接自己的第二量子密钥管理终端建立对应关系;
所述量子密钥发行平台和KDC协商导出量子密钥的数目,所述量子密钥发行平台从所述KDC获得第二量子密钥管理终端的ID,并将所述第一量子密钥管理终端的ID告知所述KDC;
所述量子密钥发行平台和KDC分别向自己对应的量子密钥管理终端请求并接收已协商的数目的量子密钥;所述量子密钥由所述第一量子密钥管理终端发送给所述量子密钥发行平台,且所述量子密钥由所述第二量子密钥管理终端发送给所述KDC。
3.一种量子密钥芯片的应用方法,其特征在于,应用于安全套接层虚拟专用网络SSLVPN通信系统,该系统包括:客户端SSL VPN、服务器端SSL VPN、密钥分发中心KDC和量子密钥芯片;
当所述客户端SSL VPN与服务器端SSL VPN进行量子密钥协商正常时,该方法包括:
所述客户端SSL VPN从所述量子密钥芯片中获取第一随机数,并将所述第一随机数发送给所述服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
所述客户端SSL VPN与所述服务器端SSL VPN协商将所述量子密钥芯片中的量子密钥作为预主密钥,并将所述量子密钥芯片中的作为预主密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSL VPN,以使所述服务器端SSL VPN利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC中获取量子密钥作为预主密钥;所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;所述KDC预先将所述标识信息与所述标识信息对应的量子密钥进行绑定;
所述客户端SSL VPN与所述服务器端SSL VPN利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥。
4.根据权利要求3所述的量子密钥芯片的应用方法,其特征在于,所述客户端SSL VPN利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥,具体包括:
所述客户端SSL VPN从所述量子密钥芯片获得作为预主密钥的量子密钥,利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥;
或,
所述客户端SSL VPN将所述第二随机数和预先约定的算法告知所述量子密钥芯片,并接收所述量子密钥芯片返回的会话密钥,所述会话密钥由所述量子密钥芯片由作为预主密钥的量子密钥、所述第一随机数、所述第二随机数和预先约定的算法计算获得。
5.根据权利要求3或4所述的量子密钥芯片的应用方法,其特征在于,当所述客户端SSLVPN与服务器端SSL VPN进行量子密钥协商异常时,该方法包括:
所述客户端SSL VPN将产生的第一随机数发送给服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
所述客户端SSL VPN与所述服务器端SSL VPN进行预主密钥的协商;
所述客户端SSL VPN与所述服务器端SSL VPN利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
6.根据权利要求3所述的量子密钥芯片的应用方法,其特征在于,还包括:所述客户端SSL VPN或量子密钥芯片利用会话密钥对应用数据进行加密和/或解密。
7.一种量子密钥芯片的应用方法,其特征在于,应用于安全套接层虚拟专用网络SSLVPN通信系统,该系统包括:客户端SSL VPN、服务器端SSL VPN、密钥分发中心KDC和量子密钥芯片;
当所述客户端SSL VPN与服务器端SSL VPN进行量子密钥协商正常时,该方法包括:
所述客户端SSL VPN与所述服务器端SSL VPN协商将所述量子密钥芯片中的量子密钥作为会话密钥;
将所述量子密钥芯片中的作为会话密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSL VPN,以使所述服务器端SSL VPN利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC中获取量子密钥作为会话密钥;所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;所述KDC预先将所述标识信息与所述标识信息对应的量子密钥进行绑定。
8.根据权利要求7所述的量子密钥芯片的应用方法,其特征在于,当所述客户端SSLVPN与服务器端SSL VPN进行量子密钥协商异常时,该方法包括:
所述客户端SSL VPN将产生的第一随机数发送给服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
所述客户端SSL VPN与所述服务器端SSL VPN进行预主密钥的协商;
所述客户端SSL VPN与所述服务器端SSL VPN利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
9.根据权利要求7所述的量子密钥芯片的应用方法,其特征在于,还包括:
所述客户端SSL VPN或量子密钥芯片利用会话密钥对应用数据进行加密和/或解密。
10.一种发行平台,其特征在于,包括:注入单元、绑定单元和发送单元;
所述注入单元,用于将量子密钥注入量子密钥芯片;所述量子密钥为预先与密钥分发中心KDC协商获得;
所述绑定单元,用于将所述量子密钥芯片的ID与使用该量子密钥芯片的用户的ID进行一一对应绑定,所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;
所述发送单元,用于将所述量子密钥的标识信息发送给所述KDC,以使所述KDC将所述标识信息与所述标识信息对应的量子密钥进行绑定。
11.一种量子密钥应用系统,其特征在于,包括:量子密钥芯片、客户端SSL VPN、服务器端SSL VPN和密钥分发中心KDC;
所述客户端SSL VPN,用于确定与服务器端SSL VPN进行量子密钥协商正常时,从所述量子密钥芯片中获取第一随机数,并将所述第一随机数发送给所述服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;与所述服务器端SSL VPN协商将所述量子密钥芯片中的量子密钥作为预主密钥,将所述量子密钥芯片中的作为预主密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSL VPN;
所述量子密钥芯片,用于产生所述第一随机数;
所述服务器端SSL VPN,用于利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC中获取量子密钥作为预主密钥;
所述KDC,用于预先将所述标识信息与所述标识信息对应的量子密钥进行绑定;所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息;
所述客户端SSL VPN与所述服务器端SSL VPN还用于利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥。
12.根据权利要求11所述的量子密钥应用系统,其特征在于,所述客户端SSL VPN利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥,具体为:
所述客户端SSL VPN用于从所述量子密钥芯片获得作为预主密钥的量子密钥,利用所述第一随机数、第二随机数和作为预主密钥的量子密钥通过预先约定的算法获得会话密钥;
或,
所述客户端SSL VPN用于将所述第二随机数和预先约定的算法告知所述量子密钥芯片;所述量子密钥芯片用于利用所述作为预主密钥的量子密钥、所述第一随机数、所述第二随机数和预先约定的算法计算获得会话密钥;将所述会话密钥发送给所述客户端SSL VPN。
13.根据权利要求11或12所述的量子密钥应用系统,其特征在于,
所述客户端SSL VPN还用于,确定客户端SSL VPN与服务器端SSL VPN进行量子密钥协商异常时,将产生的第一随机数发送给所述服务器端SSL VPN;
所述服务器端SSL VPN将产生的第二随机数发送给所述客户端SSL VPN;
所述客户端SSL VPN与所述服务器端SSL VPN用于进行预主密钥的协商;
所述客户端SSL VPN与所述服务器端SSL VPN用于利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
14.根据权利要求11所述的量子密钥应用系统,其特征在于,所述客户端SSL VPN,还用于利用会话密钥对应用数据进行加密和/或解密;
或,
所述量子密钥芯片,还用于利用会话密钥对应用数据进行加密和/或解密。
15.一种量子密钥应用系统,其特征在于,包括:量子密钥芯片、客户端SSL VPN、服务器端SSL VPN和密钥分发中心KDC;
所述客户端SSL VPN,用于确定与服务器端SSL VPN进行量子密钥协商正常时,与所述服务器端SSL VPN协商将所述量子密钥芯片中的量子密钥作为会话密钥;将所述量子密钥芯片中的作为会话密钥的量子密钥的索引以及量子密钥的标识信息发送给所述服务器端SSL VPN;
所述服务器端SSL VPN,用于利用所述量子密钥的索引以及量子密钥的标识信息从所述KDC中获取量子密钥作为会话密钥;
所述KDC,用于预先将所述标识信息与所述标识信息对应的量子密钥进行绑定;所述量子密钥芯片的ID和/或用户的ID作为该量子密钥芯片中的量子密钥的标识信息。
16.根据权利要求15所述的量子密钥应用系统,其特征在于,
所述客户端SSL VPN,还用于确定与服务器端SSL VPN进行量子密钥协商异常时,将产生的第一随机数发送给所述服务器端SSL VPN,并接收所述服务器端SSL VPN发送的第二随机数;
所述客户端SSL VPN与所述服务器端SSL VPN还用于进行预主密钥的协商;
所述客户端SSL VPN与所述服务器端SSL VPN还用于利用所述第一随机数、第二随机数和预主密钥通过预先约定的算法获得会话密钥。
17.根据权利要求15所述的量子密钥应用系统,其特征在于,
所述客户端SSL VPN,还用于利用会话密钥对应用数据进行加密和/或解密;
或,
所述量子密钥芯片,还用于利用会话密钥对应用数据进行加密和/或解密。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611070527.7A CN108123795B (zh) | 2016-11-28 | 2016-11-28 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
| JP2019548511A JP2019537402A (ja) | 2016-11-28 | 2017-11-22 | 量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステム |
| EP17874729.1A EP3547600B1 (en) | 2016-11-28 | 2017-11-22 | Method for issuing quantum key chip, application method, issuing platform and system |
| US16/464,579 US11362818B2 (en) | 2016-11-28 | 2017-11-22 | Method for issuing quantum key chip, application method, issuing platform and system |
| PCT/CN2017/112256 WO2018095322A1 (zh) | 2016-11-28 | 2017-11-22 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611070527.7A CN108123795B (zh) | 2016-11-28 | 2016-11-28 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108123795A true CN108123795A (zh) | 2018-06-05 |
| CN108123795B CN108123795B (zh) | 2020-01-10 |
Family
ID=62194787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611070527.7A Active CN108123795B (zh) | 2016-11-28 | 2016-11-28 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11362818B2 (zh) |
| EP (1) | EP3547600B1 (zh) |
| JP (1) | JP2019537402A (zh) |
| CN (1) | CN108123795B (zh) |
| WO (1) | WO2018095322A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108809632A (zh) * | 2017-04-28 | 2018-11-13 | 广东国盾量子科技有限公司 | 一种量子安全套接层装置及系统 |
| CN109728908A (zh) * | 2019-03-18 | 2019-05-07 | 南方电网调峰调频发电有限公司信息通信分公司 | 一种基于量子安全移动存储介质的密钥管理方法 |
| CN113285803A (zh) * | 2021-06-24 | 2021-08-20 | 中电信量子科技有限公司 | 一种基于量子安全密钥的邮件传输系统和传输方法 |
| CN113630407A (zh) * | 2021-08-02 | 2021-11-09 | 中电信量子科技有限公司 | 使用对称密码技术增强mqtt协议传输安全的方法和系统 |
| CN113810187A (zh) * | 2021-10-13 | 2021-12-17 | 国科量子通信网络有限公司 | 一种高速量子密钥分发系统及方法 |
| CN113852460A (zh) * | 2021-09-16 | 2021-12-28 | 国科量子通信网络有限公司 | 一种基于量子密钥增强工作密钥安全性的实现方法和系统 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965344B (zh) * | 2018-09-30 | 2020-12-08 | 国网江苏省电力有限公司南京供电分公司 | 一种用于异地数据安全备份的系统及方法 |
| US11228431B2 (en) * | 2019-09-20 | 2022-01-18 | General Electric Company | Communication systems and methods for authenticating data packets within network flow |
| CN113595722B (zh) * | 2021-06-28 | 2023-11-07 | 阿里巴巴新加坡控股有限公司 | 量子安全密钥同步方法、装置、电子设备和存储介质 |
| CN113691313A (zh) * | 2021-07-04 | 2021-11-23 | 河南国科量子通信网络有限公司 | 一种星地一体量子密钥链路虚拟化应用服务系统 |
| CN113536362B (zh) * | 2021-09-16 | 2021-12-03 | 中科问天量子科技(天津)有限公司 | 一种基于安全芯片载体的量子密钥管理方法及系统 |
| CN113922956A (zh) * | 2021-10-09 | 2022-01-11 | 天翼物联科技有限公司 | 基于量子密钥的物联网数据交互方法、系统、设备及介质 |
| CN114499842B (zh) * | 2021-12-31 | 2023-06-30 | 华南师范大学 | 一种基于强化学习的qkd网络密钥资源预分配方法 |
| CN118540163A (zh) * | 2024-07-25 | 2024-08-23 | 中电信量子信息科技集团有限公司 | 国密ssl vpn协议的抗量子安全增强方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201830272U (zh) * | 2010-09-17 | 2011-05-11 | 安徽问天量子科技股份有限公司 | 基于量子密钥的网络加密机 |
| CN105357001A (zh) * | 2015-12-10 | 2016-02-24 | 安徽问天量子科技股份有限公司 | 量子密钥动态分发的管理方法及系统 |
| WO2016118359A1 (en) * | 2015-01-22 | 2016-07-28 | Alibaba Group Holding Limited | Method, apparatus, and system for quantum key distribution |
| WO2016177332A1 (zh) * | 2015-05-05 | 2016-11-10 | 科大国盾量子技术股份有限公司 | 云存储方法及系统 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5889941A (en) * | 1996-04-15 | 1999-03-30 | Ubiq Inc. | System and apparatus for smart card personalization |
| JP2004013560A (ja) * | 2002-06-07 | 2004-01-15 | Victor Co Of Japan Ltd | 認証システム、通信端末及びサーバ |
| JP4883273B2 (ja) * | 2006-01-11 | 2012-02-22 | 日本電気株式会社 | 乱数品質管理装置および管理方法 |
| JP2007288694A (ja) * | 2006-04-19 | 2007-11-01 | Nec Corp | 秘匿通信システムおよびチャネル制御方法 |
| US20080298583A1 (en) * | 2007-05-31 | 2008-12-04 | Lucent Technologies Inc. | System and method of quantum encryption |
| US9350708B2 (en) * | 2010-06-01 | 2016-05-24 | Good Technology Corporation | System and method for providing secured access to services |
| JP5575248B2 (ja) * | 2010-08-24 | 2014-08-20 | 三菱電機株式会社 | 通信端末、通信システム、通信方法及び通信プログラム |
| US9698979B2 (en) * | 2011-04-15 | 2017-07-04 | Quintessencelabs Pty Ltd. | QKD key management system |
| JP5624526B2 (ja) * | 2011-08-26 | 2014-11-12 | 株式会社東芝 | 鍵共有装置、鍵共有方法および鍵共有プログラム |
| JP2014068313A (ja) * | 2012-09-27 | 2014-04-17 | Toshiba Corp | 通信方法、アプリケーション装置、プログラム及び通信システム |
| US10560265B2 (en) * | 2013-06-08 | 2020-02-11 | Quantumctek Co., Ltd. | Mobile secret communications method based on quantum key distribution network |
| CN108156180B (zh) | 2013-06-08 | 2021-04-09 | 科大国盾量子技术股份有限公司 | 一种基于Android智能移动终端的通信密钥分配方法 |
| US9350550B2 (en) * | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| US20150288517A1 (en) * | 2014-04-04 | 2015-10-08 | Ut-Battelle, Llc | System and method for secured communication |
| CN105553648B (zh) * | 2014-10-30 | 2019-10-29 | 阿里巴巴集团控股有限公司 | 量子密钥分发、隐私放大及数据传输方法、装置及系统 |
| CN106411521B (zh) * | 2015-07-31 | 2020-02-18 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及系统 |
| CN106470101B (zh) * | 2015-08-18 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及系统 |
| CN106470104B (zh) * | 2015-08-20 | 2020-02-07 | 阿里巴巴集团控股有限公司 | 用于生成共享密钥的方法、装置、终端设备及系统 |
| US9781081B1 (en) * | 2015-10-02 | 2017-10-03 | Amazon Technologies, Inc. | Leveraging transport-layer cryptographic material |
| CN106656907B (zh) * | 2015-10-28 | 2021-03-02 | 阿里巴巴集团控股有限公司 | 用于认证的方法、装置、终端设备及系统 |
| US20170222803A1 (en) * | 2016-02-02 | 2017-08-03 | Kabushiki Kaisha Toshiba | Communication device, cryptographic communication system, cryptographic communication method, and computer program product |
-
2016
- 2016-11-28 CN CN201611070527.7A patent/CN108123795B/zh active Active
-
2017
- 2017-11-22 EP EP17874729.1A patent/EP3547600B1/en active Active
- 2017-11-22 JP JP2019548511A patent/JP2019537402A/ja active Pending
- 2017-11-22 US US16/464,579 patent/US11362818B2/en active Active
- 2017-11-22 WO PCT/CN2017/112256 patent/WO2018095322A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201830272U (zh) * | 2010-09-17 | 2011-05-11 | 安徽问天量子科技股份有限公司 | 基于量子密钥的网络加密机 |
| WO2016118359A1 (en) * | 2015-01-22 | 2016-07-28 | Alibaba Group Holding Limited | Method, apparatus, and system for quantum key distribution |
| WO2016177332A1 (zh) * | 2015-05-05 | 2016-11-10 | 科大国盾量子技术股份有限公司 | 云存储方法及系统 |
| CN105357001A (zh) * | 2015-12-10 | 2016-02-24 | 安徽问天量子科技股份有限公司 | 量子密钥动态分发的管理方法及系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108809632A (zh) * | 2017-04-28 | 2018-11-13 | 广东国盾量子科技有限公司 | 一种量子安全套接层装置及系统 |
| CN109728908A (zh) * | 2019-03-18 | 2019-05-07 | 南方电网调峰调频发电有限公司信息通信分公司 | 一种基于量子安全移动存储介质的密钥管理方法 |
| CN109728908B (zh) * | 2019-03-18 | 2021-10-15 | 南方电网调峰调频发电有限公司信息通信分公司 | 一种基于量子安全移动存储介质的密钥管理方法 |
| CN113285803A (zh) * | 2021-06-24 | 2021-08-20 | 中电信量子科技有限公司 | 一种基于量子安全密钥的邮件传输系统和传输方法 |
| CN113285803B (zh) * | 2021-06-24 | 2022-03-11 | 中电信量子科技有限公司 | 一种基于量子安全密钥的邮件传输系统和传输方法 |
| CN113630407A (zh) * | 2021-08-02 | 2021-11-09 | 中电信量子科技有限公司 | 使用对称密码技术增强mqtt协议传输安全的方法和系统 |
| CN113852460A (zh) * | 2021-09-16 | 2021-12-28 | 国科量子通信网络有限公司 | 一种基于量子密钥增强工作密钥安全性的实现方法和系统 |
| CN113852460B (zh) * | 2021-09-16 | 2023-10-13 | 国科量子通信网络有限公司 | 一种基于量子密钥增强工作密钥安全性的实现方法和系统 |
| CN113810187A (zh) * | 2021-10-13 | 2021-12-17 | 国科量子通信网络有限公司 | 一种高速量子密钥分发系统及方法 |
| CN113810187B (zh) * | 2021-10-13 | 2023-12-01 | 国科量子通信网络有限公司 | 一种高速量子密钥分发系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210067331A1 (en) | 2021-03-04 |
| US11362818B2 (en) | 2022-06-14 |
| EP3547600B1 (en) | 2022-07-20 |
| WO2018095322A1 (zh) | 2018-05-31 |
| EP3547600A1 (en) | 2019-10-02 |
| EP3547600A4 (en) | 2020-04-29 |
| JP2019537402A (ja) | 2019-12-19 |
| CN108123795B (zh) | 2020-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108123795A (zh) | 量子密钥芯片的发行方法、应用方法、发行平台及系统 | |
| RU2501081C2 (ru) | Многофакторная защита контента | |
| Zissis et al. | Addressing cloud computing security issues | |
| US7975312B2 (en) | Token passing technique for media playback devices | |
| US20140112470A1 (en) | Method and system for key generation, backup, and migration based on trusted computing | |
| CN109040045A (zh) | 一种基于密文策略属性基加密的云存储访问控制方法 | |
| CN109117660B (zh) | 一种基于区块链和智能合约的数据共享方法及系统 | |
| CN108880800B (zh) | 基于量子保密通信的配用电通信系统及方法 | |
| CN105791272A (zh) | 一种物联网中的安全通信方法及装置 | |
| US8578452B2 (en) | Method for securely creating a new user identity within an existing cloud account in a cloud computing system | |
| CN103973736A (zh) | 一种数据共享的方法及装置 | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| CN106060078B (zh) | 应用于云平台的用户信息加密方法、注册方法及验证方法 | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| CN108989290A (zh) | 一种在外网中实现服务器网络访问限制的控制方法及控制装置 | |
| CN107404472A (zh) | 用户发起的加密密钥的迁移 | |
| CN109587101A (zh) | 一种数字证书管理方法、装置及存储介质 | |
| Zhou et al. | EverSSDI: blockchain-based framework for verification, authorisation and recovery of self-sovereign identity using smart contracts | |
| CN101686127A (zh) | 一种新型的USBKey安全调用方法和USBKey装置 | |
| CN103516523A (zh) | 一种基于云存储的数据加密体系架构 | |
| CN113704210A (zh) | 数据共享方法和电子设备 | |
| CN107689957A (zh) | 一种数字证书管理方法、电子设备、存储介质 | |
| CN109587100A (zh) | 一种云计算平台用户认证处理方法及系统 | |
| CN103577769A (zh) | 文件内容安全管理方法及管理系统 | |
| CN106487505B (zh) | 密钥管理、获取方法及相关装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |