CN110519223A - 基于非对称密钥对的抗量子计算数据隔离方法和系统 - Google Patents
基于非对称密钥对的抗量子计算数据隔离方法和系统 Download PDFInfo
- Publication number
- CN110519223A CN110519223A CN201910632123.XA CN201910632123A CN110519223A CN 110519223 A CN110519223 A CN 110519223A CN 201910632123 A CN201910632123 A CN 201910632123A CN 110519223 A CN110519223 A CN 110519223A
- Authority
- CN
- China
- Prior art keywords
- service station
- client
- key
- file
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种基于非对称密钥对的抗量子计算数据隔离方法和系统,本发明中,使用的密钥卡是独立的硬件隔离设备。公钥、私钥和其他相关参数均存储在密钥卡中的数据安全区,被恶意软件或恶意操作窃取密钥的可能性大大降低,也不会被量子计算机获取并破解。由于在经典网络中均无涉及公私钥及算法参数的明文传递,因此非对称密钥被破解的风险很低。密钥卡保障了通信双方在群组中的通信安全,也极大提高了数字签名的安全性,从而实现了抗量子计算的数据隔离系统。
Description
技术领域
本申请涉及安全通信技术领域,特别是涉及基于非对称密钥对的抗量子计算数据隔离方法和系统。
背景技术
当前互联网通信技术快速发展,企业及政府等单位都有内部信息系统,他们对信息的安全性要求极高,尤其是商业机密、无形资产等重要数据。为此,他们采取各种举措加强信息保护防止信息泄漏。然而由于政企等单位的业务拓展、信息化程度提高等,与互联网的数据交互日益频繁,为保证其内部网络系统及外部网络成员的信息安全,必须控制好这些数据信息,对其采取严格的控制措施,一种方法是参考国家涉密计算机管理规定将内部网与外部网进行物理隔离,进而保障数据的安全。
内网相对而言是安全的,能阻挡大部分来自外网的黑客袭击。由于外网环境复杂存在许多不安全的因素,比如病毒文件或病毒感染的文件等非法文件的输入,时刻威胁着内网的安全。用户在使用外网的同时,需要访问内网,则可能会导致互联网上的不安全的因素通过外部网络成员作为中继点进入内网,直接威胁内网的信息安全。当内部网络系统与外部网络做隔离处理后,一些信息的传递就会受到影响,继而出现办公效率低等问题。因此必须在内网和外网之间采取相应的技术手段和管理措施,防范非法文件的传播。然而如何既能将内外网络隔离,又能实现内外网络的信息系统数据安全交换,成为信息安全领域一个重大课题。
因此为了确保网络的安全,可搭建数据隔离系统,对于从内部网络转发到外部网络或从外部网络转发到内部网络的数据通过数据隔离系统对数据进行鉴别筛选或数字签名,使得离开内网的资料被外部网络成员所认可,外网发到内网的资料也被内部网络成员所认可。
随着量子计算机的发展,经典非对称加密算法将不再安全,无论是认证、签名还是加解密领域。由于量子计算机的潜在威胁,现有基于量子通信服务站与量子密钥卡的数字签名方案,可用于内外网隔离的文件签名。该方法利用量子通信服务站与量子密钥卡之间的对称密钥池对内外网设备传输的文件进行签名,以避免非法文件在内外网之间传输,同时用量子密钥卡保证了用于签名的对称密钥的安全性,降低了被量子计算机被破解的可能性。
现有技术中,还可以使用非对称密钥池的方法来实现抗量子计算的数字签名。该方法将所有用户的公钥搜集起来形成非对称密钥池,然后将非对称密钥池分别存入多个密钥卡内,各密钥卡还拥有各自的私钥,同时使用对称密钥加密签名的方式,实现抗量子计算的数字签名,可用于内外网隔离的文件签名。该方法利用所有成员共享的非对称密钥池对内外网设备传输的文件进行签名,以避免非法文件在内外网之间传输,同时用密钥卡保证了用于签名的非对称密钥的安全性,降低了被量子计算机被破解的可能性。
现有技术存在的问题:
1、现有基于对称密钥池进行抗量子计算数字签名的方案,量子通信服务站与量子密钥卡之间使用对称密钥池,其容量巨大,对量子通信服务站的密钥存储带来压力。由于对称密钥池密钥容量巨大,量子通信服务站不得不将密钥加密存储于普通存储介质例如硬盘内,而无法存储于量子通信服务站的密钥卡内。由于对称密钥池密钥容量巨大,给密钥备份造成麻烦。因此,如果将对称密钥池应用于内外网的数据隔离场景,将对数据隔离服务站的密钥存储带来问题,即存储容量大、存储不够安全、密钥备份困难等;
2、现有基于非对称密钥池进行抗量子计算数字签名的方案,所有成员使用同一个非对称密钥池进行数字签名验证。该方法需要搜集所有成员的公钥,而且未对重要成员和普通成员的密钥卡进行区分,给信息安全造成隐患。例如有恶意人员对安全性稍低的普通成员密钥卡进行破解攻击,将可能造成所有成员包括重要成员的公钥泄露,导致整个系统被攻破。因此,如果将非对称密钥池直接应用于内外网的数据隔离场景,将对作为重要成员的数据隔离服务站带来密钥泄露的风险。
发明内容
基于此,有必要针对上述技术问题,提供一种能够减少服务站存储数据量的基于非对称密钥对的抗量子计算数据隔离方法。
本申请公开了基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端和第一服务站之间,所述抗量子计算数据隔离方法包括:
客户端利用客户端私钥和文件F形成第一签名FS,生成为真随机数的第一加密参数FK,利用第一加密参数FK加密第一签名FS生成第一加密包,利用客户端私钥加密第一加密参数FK生成第二加密包,生成发送给第一服务站的第一信息,所述第一信息括第一收发成员信息,所述第一加密包,所述第二加密包以及文件F;
服务站获取、解密所述第一信息后验证所述第一签名FS,若验证失败,隔离所述文件F;若验证成功,将所述文件F按照所述第一收发成员信息转发。
本申请公开了基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端、第一服务站以及第二服务站之间,所述抗量子计算数据隔离方法包括:
客户端利用客户端私钥和文件F形成第一签名FS,生成为真随机数的第一加密参数FK,利用第一加密参数FK加密第一签名FS生成第一加密包,利用客户端私钥加密第一加密参数FK生成第二加密包,生成发送给第二服务站的第二信息,所述第二信息括第二收发成员信息,所述第一加密包,所述第二加密包以及文件F;
所述第二服务站获取所述第二信息后,根据第二收发成员信息向所述第一服务站通过QKD加密发送客户端设备信息;
所述第一服务站获取所述客户端设备信息后将自身存储的客户端公钥通过QKD加密发送给所述第二服务站;
所述第二服务站获取所述客户端公钥后,解密所述第二信息后验证所述第一签名FS,若验证失败,隔离所述文件F;若验证成功,将所述文件F按照所述第二收发成员信息转发。
本申请公开了基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端和第一服务站之间,所述抗量子计算数据隔离方法包括:
第一服务站获取需要转发文件F和客户端设备信息,生成第一加密参数FK,利用客户端设备信息从自身存储中取出第一服务站私钥SKQA,利用所述第一服务站私钥SKQA和文件F生成第二签名,利用第一加密参数FK对所述第二签名生成第三加密包,利用所述第一服务站私钥SKQA和第一加密参数FK生成第四加密包;生成发送给客户端的第三信息,所述第三信息括第三收发成员信息,所述第三加密包,所述第四加密包以及文件F;
客户端获取、解密所述第三信息后验证所述第二签名,若验证失败,隔离所述文件F;若验证成功,接受所述文件F。
本申请公开了基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端、第一服务站以及第二服务站之间,所述抗量子计算数据隔离方法包括:
所述第二服务站获取第四收发成员信息和文件F;根据所述第四收发成员信息将所述文件F和客户端设备信息通过QKD加密发送至所述第一服务站;
所述第一服务站获取、解密后生成第一加密参数FK,利用客户端设备信息从自身存储中取出第一服务站私钥SKQA,利用所述第一服务站私钥SKQA和文件F生成第二签名,利用第一加密参数FK对所述第二签名生成第三加密包,利用所述第一服务站私钥SKQA和第一加密参数FK生成第四加密包;生成发送给客户端的第四信息,所述第四信息括第四收发成员信息,所述第三加密包,所述第四加密包以及文件F;
客户端获取、解密所述第四信息后验证所述第二签名,若验证失败,隔离所述文件F;若验证成功,接受所述文件F。
本申请公开了一种客户端设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中所述抗量子计算数据隔离方法的中的客户端的步骤。
优选的,所述客户端配置有客户端密钥卡,所述客户端密钥卡内存储有服务站公钥,客户端公钥以及客户端私钥。
本申请公开了一种第一服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中任一项中所述抗量子计算数据隔离方法的中的服务站的步骤。
优选的,所述第一服务站配置有第一服务站密钥卡,所述第一服务站密钥卡内存储有第一服务站私钥池,客户端公钥池。
本申请公开了一种第二服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中任一项中所述抗量子计算数据隔离方法的中的服务站的步骤。
优选的,所述第二服务站配置有第二服务站密钥卡,所述第二服务站密钥卡内存储有第二服务站私钥池,客户端公钥池。
本发明中,使用的密钥卡是独立的硬件隔离设备。公钥、私钥和其他相关参数均存储在密钥卡中的数据安全区,被恶意软件或恶意操作窃取密钥的可能性大大降低,也不会被量子计算机获取并破解。由于在经典网络中均无涉及公私钥及算法参数的明文传递,因此非对称密钥被破解的风险很低。密钥卡保障了通信双方在群组中的通信安全,也极大提高了数字签名的安全性,从而实现了抗量子计算的数据隔离系统。
同时,非对称密钥对解决了对称密钥池给数据隔离服务站带来密钥存储压力,降低了存储成本。例如,原先用户的对称密钥池大小均为1G,用户个数为N,则数据隔离服务站需要存储NG的密钥池;而如果存储非对称密钥对,用户端存储密钥仅为3个,数据隔离服务站对应地只需要存储2N大小的密钥池。因此本专利改进了抗量子计算外网接入系统的密钥管理系统,大大缩减了存储量。
同时,本专利中利用客户端与数据隔离服务站之间的非对称密钥对的签名验证机制,不需要将拥有所有成员公钥的公钥池置于客户端密钥卡中,仅将公钥池置于数据隔离服务站中;且每个数据隔离服务站仅拥有己方客户端的公钥,而不拥有非己方客户端的公钥。假如有恶意人员对安全性稍低的普通成员密钥卡进行破解攻击,将只影响该普通成员相关的密钥安全,而不会影响其他用户的密钥安全。而数据隔离装置作为系统中的重要成员,其密钥卡为安全级别高、保护措施强的硬件隔离装置,被恶意人员进行破解攻击的可能性极小。因此非对称密钥对的机制使得密钥安全风险被控制在某个客户端,而不会影响整个系统。因此,本发明的非对称密钥池对的机制降低了整个系统被破解的风险,最终提升了内外网数据隔离系统的数据安全性。
附图说明
图1为本发明数据隔离系统示意图;
图2为本发明内外网场景示意图;
图3为数据隔离服务站密钥卡的密钥池示意图;
图4为应用客户端密钥卡的密钥池示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。其中本申请中的服务站在未做特殊说明的情况下均为量子通信服务站,本申请中的各名称以字母和数字组合为准,例如Q,服务站Q,服务站在下文表示同一含义,即服务站Q;再例如第一密钥KR1,KR1,真随机数KR1,第一密钥在下文中表示同一含义,即第一密钥KR1,其余名称同理。
本申请公开了基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端和第一服务站之间,所述抗量子计算数据隔离方法包括:
客户端利用客户端私钥和文件F形成第一签名FS,生成为真随机数的第一加密参数FK,利用第一加密参数FK加密第一签名FS生成第一加密包,利用客户端私钥加密第一加密参数FK生成第二加密包,生成发送给第一服务站的第一信息,所述第一信息括第一收发成员信息,所述第一加密包,所述第二加密包以及文件F;
服务站获取、解密所述第一信息后验证所述第一签名FS,若验证失败,隔离所述文件F;若验证成功,将所述文件F按照所述第一收发成员信息转发。
本申请公开了基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端、第一服务站以及第二服务站之间,所述抗量子计算数据隔离方法包括:
客户端利用客户端私钥和文件F形成第一签名FS,生成为真随机数的第一加密参数FK,利用第一加密参数FK加密第一签名FS生成第一加密包,利用客户端私钥加密第一加密参数FK生成第二加密包,生成发送给第二服务站的第二信息,所述第二信息括第二收发成员信息,所述第一加密包,所述第二加密包以及文件F;
所述第二服务站获取所述第二信息后,根据第二收发成员信息向所述第一服务站通过QKD加密发送客户端设备信息;
所述第一服务站获取所述客户端设备信息后将自身存储的客户端公钥通过QKD加密发送给所述第二服务站;
所述第二服务站获取所述客户端公钥后,解密所述第二信息后验证所述第一签名FS,若验证失败,隔离所述文件F;若验证成功,将所述文件F按照所述第二收发成员信息转发。
本申请公开了基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端和第一服务站之间,所述抗量子计算数据隔离方法包括:
第一服务站获取需要转发文件F和客户端设备信息,生成第一加密参数FK,利用客户端设备信息从自身存储中取出第一服务站私钥SKQA,利用所述第一服务站私钥SKQA和文件F生成第二签名,利用第一加密参数FK对所述第二签名生成第三加密包,利用所述第一服务站私钥SKQA和第一加密参数FK生成第四加密包;生成发送给客户端的第三信息,所述第三信息括第三收发成员信息,所述第三加密包,所述第四加密包以及文件F;
客户端获取、解密所述第三信息后验证所述第二签名,若验证失败,隔离所述文件F;若验证成功,接受所述文件F。
本申请公开了基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端、第一服务站以及第二服务站之间,所述抗量子计算数据隔离方法包括:
所述第二服务站获取第四收发成员信息和文件F;根据所述第四收发成员信息将所述文件F和客户端设备信息通过QKD加密发送至所述第一服务站;
所述第一服务站获取、解密后生成第一加密参数FK,利用客户端设备信息从自身存储中取出第一服务站私钥SKQA,利用所述第一服务站私钥SKQA和文件F生成第二签名,利用第一加密参数FK对所述第二签名生成第三加密包,利用所述第一服务站私钥SKQA和第一加密参数FK生成第四加密包;生成发送给客户端的第四信息,所述第四信息括第四收发成员信息,所述第三加密包,所述第四加密包以及文件F;
客户端获取、解密所述第四信息后验证所述第二签名,若验证失败,隔离所述文件F;若验证成功,接受所述文件F。
本申请公开了一种客户端设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中所述抗量子计算数据隔离方法的中的客户端的步骤。
优选的,所述客户端配置有客户端密钥卡,所述客户端密钥卡内存储有服务站公钥,客户端公钥以及客户端私钥。
本申请公开了一种第一服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中任一项中所述抗量子计算数据隔离方法的中的服务站的步骤。
优选的,所述第一服务站配置有第一服务站密钥卡,所述第一服务站密钥卡内存储有第一服务站私钥池,客户端公钥池。
本申请公开了一种第二服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述技术方案中任一项中所述抗量子计算数据隔离方法的中的服务站的步骤。
优选的,所述第二服务站配置有第二服务站密钥卡,所述第二服务站密钥卡内存储有第二服务站私钥池,客户端公钥池。
本发明实现场景为在一个基于非对称密钥体系下的外网设备与内网中的数据隔离服务站的数据签名及验证。本发明的密钥体系中每个对象都具有密钥卡,其中数据隔离服务站的密钥卡可存储大数据量的密钥。本发明中,外网设备和数据隔离服务站的密钥卡中都存在相应需求的算法。
密钥卡的描述可见申请号为“201610843210.6”的专利。当为移动终端时,密钥卡优选为密钥SD卡;当为固定终端时,密钥卡优选为密钥USBkey或主机密钥板卡。
与申请号为“201610843210.6”的专利相比,密钥卡的颁发机制有所类似。本专利的密钥卡颁发方为密钥卡的主管方,一般为管理部门,例如某企业或事业单位的管理部门;密钥卡被颁发方为密钥卡的主管方所管理的成员,一般为某企业或事业单位的各级员工。用户端首先到密钥卡的主管方申请开户。当用户端进行注册登记获批后,将得到密钥卡(具有唯一的密钥卡ID)。密钥卡存储了客户注册登记信息。同一数据隔离服务站下的客户端密钥卡中的服务站公钥都下载自同一个密钥管理服务,且其颁发的每个客户端密钥卡中存储的服务站公钥是各不相同的。
密钥卡从智能卡技术上发展而来,是结合了真随机数发生器(优选为量子随机数发生器)、密码学技术、硬件安全隔离技术的身份认证和加解密产品。密钥卡的内嵌芯片和操作系统可以提供密钥的安全存储和密码算法等功能。由于其具有独立的数据处理能力和良好的安全性,密钥卡成为私钥和密钥池的安全载体。每一个密钥卡都有硬件PIN码保护,PIN码和硬件构成了用户使用密钥卡的两个必要因素,即所谓“双因子认证”,用户只有同时取得保存了相关认证信息的密钥卡和用户PIN码,才可以登录系统。即使用户的PIN码被泄露,只要用户持有的密钥卡不被盗取,合法用户的身份就不会被仿冒;如果用户的密钥卡遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。
本发明中,密钥卡分为服务站密钥卡和客户端密钥卡。如图3中,服务站密钥卡的密钥区主要存储有客户端公钥池、服务站私钥池;如图4中,客户端密钥卡的密钥区主要存储有服务站公钥和客户端一对公私钥对。所述密钥卡均由密钥管理服务颁发。
密钥管理服务可以部署于数据隔离服务站内部,也可以是独立于数据隔离服务站的不联网系统。
密钥管理服务在颁发密钥卡之前选择指定算法并建立相应的算法系统,本专利实施例为RSA非对称密钥算法系统。密钥管理服务根据客户端的数量产生相应数量并符合该算法规范的数作为私钥和公钥。密钥管理服务产生相应数量的ID,并选取相应数量的公私钥对,取其中的公钥与ID进行组合得到ID/公钥,以ID/公钥的形式写入到同一文件中形成第一公钥池文件。同时,密钥管理服务将对应的私钥也以相同的方式写入到文件中形成第一私钥池文件。第一私钥池文件中各私钥的ID与第一公钥池文件中对应的公钥的ID相同。密钥管理服务再次产生同样数量的符合该算法规范的数作为私钥和公钥,并根据前述方法形成第二公钥池文件和第二私钥池文件,且该二个文件中的ID与前二个文件中的ID相等。
密钥管理服务首先将多个ID分别分配给多个客户端密钥卡,然后根据密钥卡ID,将该ID对应的第一公钥池文件中的公钥、第一私钥池文件中的私钥、第二公钥池文件中的公钥存储到客户端密钥卡,分别作为客户端公钥、客户端私钥、服务站公钥。密钥管理服务将相关算法参数写入密钥卡的密钥区。
密钥管理服务将第一公钥池文件写入到服务站密钥卡内,形成客户端公钥池。密钥管理服务将第二私钥池文件写入到服务站密钥卡内,形成服务站私钥池。密钥管理服务将相关算法参数写入密钥卡的密钥区。
本发明如图1为一种基于密钥卡的数据隔离系统,包括与内网连接的抗量子计算数据隔离服务站。抗量子计算数据隔离服务站采用密钥板卡作为硬件接入卡连接外部网络设备。硬件接入卡对外通过外网连接客户端,硬件接入卡对内通过外设总线连接CPU;所述CPU通过网卡连接内网。外网与内网的连接以抗量子计算数据隔离服务站作为安全边界。
一个数据隔离服务站对应管理一个内网区域,如需要将多个内网区域相连,则数据隔离服务站带有量子密钥分发功能,可以实现多个数据隔离服务站之间的密钥分发。密钥分发装置即QKD设备,可以部署于硬件接入卡内部,或者以安全连接方式与硬件接入卡的接口相连接。
本发明实施例即涉及多个内网区域相连的场景,主要涉及三类对象,即数据隔离服务站、应用客户端和应用服务器,如图2所示。为方便描述三类对象,设数据隔离服务站分别为QA和QB,其ID为IDQA和IDQB;设应用客户端为A,其ID为IDA;设应用服务器分别为SA和SB,其ID为IDSA和IDSB。应用客户端A归属于数据隔离服务站QA,即应用客户端A的密钥卡内部的服务站公钥对应为数据隔离服务站QA的密钥卡。设传输的文件为F,且文件F已加密。
实施例1
本实施例实现为外网设备通过己方数据隔离服务站向内网设备发送文件的场景,主要表现为数据隔离服务站实现对外网设备发送的文件进行签名验证。具体过程如下:
步骤1:应用客户端A向数据隔离服务站QA发送文件
应用客户端A取出自身私钥SKA,利用私钥SKA对文件F签名得到文件签名FS。应用客户端A产生一个真随机数FK。应用客户端A利用FK对FS进行对称加密得到{FS}FK。应用客户端A利用私钥SKA对FK进行加密得到{FK}SKA。应用客户端将RA、{FS}FK、{FK}SKA组成加密签名FSK=RA||{FS}FK||{FK}SKA,RA包含有A所在数据隔离服务站QA的信息IDQA、应用客户端A自身信息IDA和应用服务器信息IDSA。
应用客户端A将文件F和加密签名FSK发送至数据隔离服务站QA。
步骤2:数据隔离服务站QA验证签名并转发文件
数据隔离服务站QA收到文件F和加密签名FSK。数据隔离服务站QA根据FSK中RA包含的应用客户端A的信息IDA从客户端公钥池中取出相应的客户端公钥PKA。利用客户端公钥PKA对{FK}SKA解密得到FK,并利用FK对{FS}FK进行对称解密得到签名FS。数据隔离服务站QA利用客户端公钥PKA对签名FS进行验证。若通过,则进行下一步操作;否则,认证该文件为非法文件,文件传输失败。
验证通过后,数据隔离服务站QA根据IDSA将文件F传输至内网的应用服务器SA。
步骤3:应用服务器SA接收文件
实施例2
本实施例实现为外网设备通过非己方数据隔离服务站向内网设备发送文件的场景,主要表现为数据隔离服务站实现对外网设备发送的文件进行签名验证。具体过程如下:
步骤1:应用客户端A向数据隔离服务站QB发送文件
应用客户端A取出自身私钥SKA,利用私钥SKA对文件F签名得到文件签名FS。应用客户端A产生一个真随机数FK。应用客户端A利用FK对FS进行对称加密得到{FS}FK。应用客户端A利用私钥SKA对FK进行加密得到{FK}SKA。应用客户端将RA、{FS}FK、{FK}SKA组成加密签名FSK=RA||{FS}FK||{FK}SKA,RA包含有A所在数据隔离服务站QA的信息IDQA、应用客户端A自身信息IDA和应用服务器IDSB。
应用客户端A将文件F和加密签名FSK发送至数据隔离服务站QB。
步骤2:数据隔离服务站QB向数据隔离服务站QA请求公钥
数据隔离服务站QB收到文件F和加密签名FSK后,根据RA中的数据隔离服务站信息IDQA,向数据隔离服务站QA发送带有IDA信息的公钥请求。该公钥请求使用双方数据隔离服务站下QKD设备协商的密钥进行加密和消息认证。
步骤3:数据隔离服务站QA返回应用客户端A的公钥
数据隔离服务站QA收到来自数据隔离服务站QB的请求后,利用QKD协商的密钥对请求进行解密并消息认证。验证通过后,数据隔离服务站QA根据请求中的IDA从己方密钥卡的用户公钥池中取出应用客户端A的对应公钥PKA。将公钥PKA加密并消息认证后发送至数据隔离服务站QB。
步骤4:数据隔离服务站QB验证签名并转发文件
数据隔离服务站QB收到应用客户端公钥应答消息后,将消息解密并消息认证得到应用客户端A的公钥PKA。数据隔离服务站QB利用客户端公钥PKA对{FK}SKA解密得到FK,并利用FK对{FS}FK进行对称解密得到签名FS。数据隔离服务站QA利用客户端公钥PKA对签名FS进行验证。若通过,则进行下一步操作;否则,认证该文件为非法文件,文件传输失败。
验证通过后,数据隔离服务站QB根据IDSB将文件F传输至内网的应用服务器SB。
步骤5:应用服务器SB接收文件
实施例3
本实施例实现为内网设备通过数据隔离服务站向己方所属外网设备发送文件的场景,主要表现为外网设备实现对数据隔离服务站发送的文件进行签名验证。具体过程如下:
步骤1:应用服务器SA发送文件
处于内网的应用服务器SA将目标应用客户端A的信息IDA和文件F发送至数据隔离服务站QA。
步骤2:数据隔离服务站QA转发文件至应用客户端A
数据隔离服务站QA收到来自内网的应用服务器SA的文件F和目标客户端的信息IDA。数据隔离服务站QA产生一个真随机数FK。数据隔离服务站根据IDA从服务站私钥池中取出IDA所对应的服务站私钥SKQA。利用SKQA对文件F进行签名得到FS。数据隔离服务站QA利用FK对FS进行对称加密得到{FS}FK。利用服务站私钥SKQA对FK进行加密得到{FK}SKQA。数据隔离服务站QA将RA、{FS}FK、{FK}SKQA组成加密签名FSK=RA||{FS}FK||{FK}SKQA,RA包含有数据隔离服务站QA的信息IDQA和应用客户端A的信息IDA。
数据隔离服务站QA将文件F和加密签名FSK发送至应用客户端A。
步骤3:应用客户端A接收文件并认证
应用客户端A收到文件F和加密签名FSK。客户端A取出对应的服务站公钥PKQA。利用PKQA对{FK}SKQA解密得到FK,并利用FK对{FS}FK进行对称解密得到签名FS。应用客户端A利用PKQA对签名FS进行验证。若通过,则文件为合法文件;否则,判定该文件为非法文件,文件传输失败。
实施例4
本实施例实现为内网设备通过数据隔离服务站向另一数据隔离服务站所属的外网设备发送文件的场景,主要表现为外网设备实现对己方数据隔离服务站发送的文件进行签名验证。具体过程如下:
步骤1:应用服务器SB发送文件
处于内网的应用服务器SB将A所在数据隔离服务站QA的信息IDQA、目标应用客户端A的信息IDA和文件F发送至数据隔离服务站QB。
步骤2:数据隔离服务站QB转发文件至数据隔离服务站QA
数据隔离服务站QB收到来自内网的应用服务器的文件F、目标客户端A的信息IDA和A所在数据隔离服务站QA的信息IDQA。数据隔离服务站QB将文件F和目标客户端信息IDA打包加密发送至数据隔离服务站QA,加密方式通过量子服务站下的QKD设备协商得到对称密钥进行加密并消息认证。
步骤3:数据隔离服务站QA转发文件
数据隔离服务站QA收到消息后解密并消息认证得到文件F和目标客户端信息IDA。产生一个真随机数FK。数据隔离服务站QA从服务站私钥池中取出IDA所对应的服务站私钥SKQA。利用SKQA对文件F进行签名得到FS。数据隔离服务站QA利用FK对FS进行对称加密得到{FS}FK。数据隔离服务站QA利用服务站私钥SKQA对FK进行加密得到{FK}SKQA。数据隔离服务站QA将RA、{FS}FK、{FK}SKQA组成加密签名FSK=RA||{FS}FK||{FK}SKQA,RA包含有数据隔离服务站QA的信息IDQA和应用客户端A的信息IDA。
数据隔离服务站QA将文件和加密签名FSK发送至应用客户端A。
步骤4:应用客户端A对文件进行认证
应用客户端A收到来自数据隔离服务站QA的文件F和加密签名FSK。应用客户端A取出服务站公钥PKQA,利用PKQA对{FK}SKQA解密得到FK,并利用FK对{FS}FK对称解密得到签名FS。应用客户端A利用PKQA对签名FS进行验证。若通过,则文件为合法文件;否则,判定该文件为非法文件,文件传输失败。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端和第一服务站之间,其特征在于,所述抗量子计算数据隔离方法包括:
客户端利用客户端私钥和文件F形成第一签名FS,生成为真随机数的第一加密参数FK,利用第一加密参数FK加密第一签名FS生成第一加密包,利用客户端私钥加密第一加密参数FK生成第二加密包,生成发送给第一服务站的第一信息,所述第一信息括第一收发成员信息,所述第一加密包,所述第二加密包以及文件F;
服务站获取、解密所述第一信息后验证所述第一签名FS,若验证失败,隔离所述文件F;若验证成功,将所述文件F按照所述第一收发成员信息转发。
2.基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端、第一服务站以及第二服务站之间,其特征在于,所述抗量子计算数据隔离方法包括:
客户端利用客户端私钥和文件F形成第一签名FS,生成为真随机数的第一加密参数FK,利用第一加密参数FK加密第一签名FS生成第一加密包,利用客户端私钥加密第一加密参数FK生成第二加密包,生成发送给第二服务站的第二信息,所述第二信息括第二收发成员信息,所述第一加密包,所述第二加密包以及文件F;
所述第二服务站获取所述第二信息后,根据第二收发成员信息向所述第一服务站通过QKD加密发送客户端设备信息;
所述第一服务站获取所述客户端设备信息后将自身存储的客户端公钥通过QKD加密发送给所述第二服务站;
所述第二服务站获取所述客户端公钥后,解密所述第二信息后验证所述第一签名FS,若验证失败,隔离所述文件F;若验证成功,将所述文件F按照所述第二收发成员信息转发。
3.基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端和第一服务站之间,其特征在于,所述抗量子计算数据隔离方法包括:
第一服务站获取需要转发文件F和客户端设备信息,生成第一加密参数FK,利用客户端设备信息从自身存储中取出第一服务站私钥SKQA,利用所述第一服务站私钥SKQA和文件F生成第二签名,利用第一加密参数FK对所述第二签名生成第三加密包,利用所述第一服务站私钥SKQA和第一加密参数FK生成第四加密包;生成发送给客户端的第三信息,所述第三信息括第三收发成员信息,所述第三加密包,所述第四加密包以及文件F;
客户端获取、解密所述第三信息后验证所述第二签名,若验证失败,隔离所述文件F;若验证成功,接受所述文件F。
4.基于非对称密钥对的抗量子计算数据隔离方法,实施在客户端、第一服务站以及第二服务站之间,其特征在于,所述抗量子计算数据隔离方法包括:
所述第二服务站获取第四收发成员信息和文件F;根据所述第四收发成员信息将所述文件F和客户端设备信息通过QKD加密发送至所述第一服务站;
所述第一服务站获取、解密后生成第一加密参数FK,利用客户端设备信息从自身存储中取出第一服务站私钥SKQA,利用所述第一服务站私钥SKQA和文件F生成第二签名,利用第一加密参数FK对所述第二签名生成第三加密包,利用所述第一服务站私钥SKQA和第一加密参数FK生成第四加密包;生成发送给客户端的第四信息,所述第四信息括第四收发成员信息,所述第三加密包,所述第四加密包以及文件F;
客户端获取、解密所述第四信息后验证所述第二签名,若验证失败,隔离所述文件F;若验证成功,接受所述文件F。
5.一种客户端设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项中所述抗量子计算数据隔离方法的中的客户端的步骤。
6.如权利要求5所述的客户端设备,其特征在于,所述客户端配置有客户端密钥卡,所述客户端密钥卡内存储有服务站公钥,客户端公钥以及客户端私钥。
7.一种第一服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项中所述抗量子计算数据隔离方法的中的服务站的步骤。
8.如权利要求7所述的第一服务站设备,其特征在于,所述第一服务站配置有第一服务站密钥卡,所述第一服务站密钥卡内存储有第一服务站私钥池,客户端公钥池。
9.一种第二服务站设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求2或4任一项中所述抗量子计算数据隔离方法的中的服务站的步骤。
10.如权利要求9所述的第二服务站设备,其特征在于,所述第二服务站配置有第二服务站密钥卡,所述第二服务站密钥卡内存储有第二服务站私钥池,客户端公钥池。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910632123.XA CN110519223B (zh) | 2019-07-12 | 2019-07-12 | 基于非对称密钥对的抗量子计算数据隔离方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910632123.XA CN110519223B (zh) | 2019-07-12 | 2019-07-12 | 基于非对称密钥对的抗量子计算数据隔离方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110519223A true CN110519223A (zh) | 2019-11-29 |
| CN110519223B CN110519223B (zh) | 2023-05-05 |
Family
ID=68623301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910632123.XA Active CN110519223B (zh) | 2019-07-12 | 2019-07-12 | 基于非对称密钥对的抗量子计算数据隔离方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110519223B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011077995A (ja) * | 2009-10-01 | 2011-04-14 | Nec Corp | 量子暗号鍵配付システム |
| CN106452740A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法 |
| CN109889329A (zh) * | 2019-01-11 | 2019-06-14 | 如般量子科技有限公司 | 基于量子密钥卡的抗量子计算智能家庭量子通信方法和系统 |
| CN109951513A (zh) * | 2019-01-11 | 2019-06-28 | 如般量子科技有限公司 | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 |
-
2019
- 2019-07-12 CN CN201910632123.XA patent/CN110519223B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011077995A (ja) * | 2009-10-01 | 2011-04-14 | Nec Corp | 量子暗号鍵配付システム |
| CN106452740A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法 |
| CN109889329A (zh) * | 2019-01-11 | 2019-06-14 | 如般量子科技有限公司 | 基于量子密钥卡的抗量子计算智能家庭量子通信方法和系统 |
| CN109951513A (zh) * | 2019-01-11 | 2019-06-28 | 如般量子科技有限公司 | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110519223B (zh) | 2023-05-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10154021B1 (en) | Securitization of temporal digital communications with authentication and validation of user and access devices | |
| Anderson et al. | Programming Satan's computer | |
| CN109687959B (zh) | 密钥安全管理系统和方法、介质和计算机程序 | |
| TWI497336B (zh) | 用於資料安全之裝置及電腦程式 | |
| US6073237A (en) | Tamper resistant method and apparatus | |
| CN100580657C (zh) | 分布式单一注册服务 | |
| Fumy et al. | Principles of key management | |
| NO326037B1 (no) | Databekreftelsesmetode og apparat | |
| CN101815091A (zh) | 密码提供设备、密码认证系统和密码认证方法 | |
| CN110519046A (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
| CN109981255A (zh) | 密钥池的更新方法和系统 | |
| US20140258718A1 (en) | Method and system for secure transmission of biometric data | |
| TWM623435U (zh) | 使用多安全層級驗證客戶身分與交易服務之系統 | |
| EP1081891A2 (en) | Autokey initialization of cryptographic devices | |
| CN110505055A (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| JP2009272737A (ja) | 秘匿認証システム | |
| CN109347923A (zh) | 基于非对称密钥池的抗量子计算云存储方法和系统 | |
| CN110365472B (zh) | 基于非对称密钥池对的量子通信服务站数字签名方法、系统 | |
| CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 | |
| CN110176989A (zh) | 基于非对称密钥池的量子通信服务站身份认证方法和系统 | |
| CN110519222A (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| CN109889489A (zh) | 一种用于对发票数据进行在线或离线安全传输的方法及系统 | |
| Dandash et al. | Fraudulent Internet Banking Payments Prevention using Dynamic Key. | |
| CN104820807B (zh) | 一种智能卡数据处理方法 | |
| JP6819146B2 (ja) | 認証システム、認証側装置及びセキュリティシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |