CN110808827A - 基于量子加密的空中发证方法及系统 - Google Patents

Abstract

本发明涉及空中发证技术领域，尤其涉及一种基于量子加密的空中发证方法及系统；方法包括步骤：提供用于传输证书响应消息的信道；采用量子密钥分发对内含加密密钥的证书响应消息进行量子信号控制密钥的分发，并检测信道误码率；当误码率超过了误码阈值，则表示信道中间存在窃听者；此时报警，停止量子信号控制密钥分发；并控制已分发有量子信号控制密钥的证书响应消息停止响应传输，以确保信道传输安全。本发明所公开的基于量子加密的空中发证方法及系统，保证了密钥的理论上的绝对安全，进而保证空中发证过程中，对证书下发的链路进行安全保护，保障证书的安全下发。

Description

基于量子加密的空中发证方法及系统

技术领域

本发明涉及空中发证技术领域，尤其涉及一种基于量子加密的空中发证方法及系统。

背景技术

当前在进行数字证书管理时，主要采用离线人工手动管理方式进行，数字证书制发管理流程复杂，对实现空中发证的需求强烈。

中国专利CN201410240120.9提出了一种移动终端数字证书电子签名方法，其是利用公钥和私钥特征，在不违背电子签名法规定之私钥在用户终端中产生，私钥不离开用户终端，私钥不经网络传输等原则的前提下，私钥自加密后丢弃私钥、本地离散存储、云端用保存公钥和证书等策略确保私钥不会在本地遭破解；在传输层，采用双密钥、一次一密等策略确保重要信息在网络传输时不会遭截获破译；与利用与发卡银行的接口对证书申请人进行身份核实，继承银行柜台对用户个人身份的核验结果，实现在本系统中远程在线发证；即能确保申请证书、签发证书、保存证书、使用证书的各个环节安全，又能够防止黑客木马窃取证书文件，防止网络抓包解析，防止抓屏截获密码，防止软件反编译获悉算法。

而实现空中发证如何保证证书的安全下发，传统的方案采用中，对证书响应消息中携带的加密私钥应采用签名公钥和临时对称密钥进行加密保护等。但传统的临时对称密钥分发方式无法防止第三方对临时对称密钥的的窃听，从而威胁证书的安全。

因此，为了解决上述问题，急需发明一种新的基于量子加密的空中发证方法。

发明内容

本发明的目的在于：提供一种基于量子加密的空中发证方法及系统，对于PKI系统生成的临时对称密钥，由传统的密钥分发技术，改为基于量子的密钥分发技术，保障证书响应消息的安全。

本发明提供了下述方案：

一种基于量子加密的空中发证方法，包括以下步骤：

提供用于传输证书响应消息的信道；

采用量子密钥分发对内含加密密钥的证书响应消息进行量子信号控制密钥的分发，并检测信道误码率；

当误码率超过了误码阈值，则表示信道中间存在窃听者；此时报警，停止量子信号控制密钥分发；并控制已分发有量子信号控制密钥的证书响应消息停止响应传输，以确保信道传输安全。

优选地，所述的基于量子加密的空中发证方法还包括：

对证书申请过程中的通信消息进行加密传输，保证通信过程中信息的安全性，防止用户信息泄露。

优选地，证书响应消息中携带的加密私钥采用由终端密码模块生成的签名公钥和PKI终端临时生成的对称密钥进行加密保护；PKI终端生成的临时对称密钥，采用基于量子的密钥分发，保障证书响应消息的安全。

优选地，所述的基于量子加密的空中发证方法还包括：

空中发证客户端采集生物特征和终端信息；

空中发证客户端调用终端的密码模块请求生成签名密钥对后，组装生成符合国密局要求的数字证书申请；

空中发证客户端向空中发证服务器发送证书请求消息。

优选地，所述的基于量子加密的空中发证方法还包括：

空中发证服务器调用身份认证识别服务器对收到的生物特征信息进行识别认证，确认证书申请者的真实身份；

空中发证服务器请求PKI终端对本次证书申请操作进行审核，如果用户具有数字证书的权限，则批准本次证书申请；

空中发证服务器提交证书申请至PKI终端。

优选地，所述的基于量子加密的空中发证方法还包括：

PKI终端生成加密密钥对和对应的加密数字证书，并按国密局相关标准要求对加密私钥进行加密保护，生成移动警务签名数字证书和加密数字证书，组成并返回最终的证书响应消息至空中发证服务器；

空中发证服务器将证书响应信息通过终端密码模块生成的签名公钥和PKI终端临时生成的对称密钥发送至空中发证客户端。

进一步地，本发明还提供了一种基于量子加密的空中发证系统，包括：

KPI终端，用于采用量子密钥分发对证书响应消息中的加密密钥进行加密，根据“测量塌缩理论”，窃听者的存在会引入额外误码；当误码率超过了阈值，就表示信道中间存在窃听者，此时警报响起，停止密钥分发，已分发密钥丢弃不用，从而保证密钥的理论上的绝对安全，进而保证空中发证过程中，对证书下发的链路进行安全保护，保障证书的安全下发。

优选地，所述的基于量子加密的空中发证系统，还包括：

空中发证客户端，用于采集生物特征和终端信息；调用终端的密码模块请求生成签名密钥对后，组装生成符合国密局要求的数字证书申请；并向空中发证服务器发送证书请求消息。

优选地，所述的基于量子加密的空中发证系统还包括：

空中发证服务器用于调用身份认证识别服务器对收到的生物特征信息进行识别认证，确认证书申请者的真实身份；请求PKI终端对本次证书申请操作进行审核，如果用户具有数字证书的权限，则批准本次证书申请；并提交证书申请至PKI终端。

优选地，PKI终端还用于生成加密密钥对和对应的加密数字证书，并按国密局相关标准要求对加密私钥进行加密保护，生成移动警务签名数字证书和加密数字证书，组成并返回最终的证书响应消息至空中发证服务器；

空中发证服务器还用于将证书响应信息通过终端密码模块生成的签名公钥和PKI终端临时生成的对称密钥发送至空中发证客户端。

本发明产生的有益效果：

本发明所公开的基于量子加密的空中发证方法及系统，方法包括步骤：提供用于传输证书响应消息的信道；采用量子密钥分发对内含加密密钥的证书响应消息进行量子信号控制密钥的分发，并检测信道误码率；当误码率超过了误码阈值，则表示信道中间存在窃听者；此时报警，停止量子信号控制密钥分发；并控制已分发有量子信号控制密钥的证书响应消息停止响应传输，以确保信道传输安全；采用量子密钥分发对证书响应消息中的加密密钥进行加密，根据“测量塌缩理论”，窃听者的存在会引入额外误码；当误码率超过了阈值，就表示信道中间存在窃听者，此时警报响起，停止密钥分发，已分发密钥丢弃不用，从而保证密钥的理论上的绝对安全，进而保证空中发证过程中，对证书下发的链路进行安全保护，保障证书的安全下发。

附图说明

图1为本发明的基于量子加密的空中发证方法的流程框图。

图2为本发明的基于量子加密的空中发证系统的结构框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整地传达给本领域的技术人员。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非被特定定义，否则不会用理想化或过于正式的含义来解释。

参见图1所示，一种基于量子加密的空中发证方法，包括以下步骤：

提供用于传输证书响应消息的信道；

采用量子密钥分发对内含加密密钥的证书响应消息进行量子信号控制密钥的分发，并检测信道误码率；

当误码率超过了误码阈值，则表示信道中间存在窃听者；此时报警，停止量子信号控制密钥分发；并控制已分发有量子信号控制密钥的证书响应消息停止响应传输，以确保信道传输安全。

所述的基于量子加密的空中发证方法还包括：

对证书申请过程中的通信消息进行加密传输，保证通信过程中信息的安全性，防止用户信息泄露。

证书响应消息中携带的加密私钥采用由终端密码模块生成的签名公钥和PKI终端临时生成的对称密钥进行加密保护；PKI终端生成的临时对称密钥，采用基于量子的密钥分发，保障证书响应消息的安全。

所述的基于量子加密的空中发证方法还包括：

空中发证客户端采集生物特征和终端信息；

空中发证客户端调用终端的密码模块请求生成签名密钥对后，组装生成符合国密局要求的数字证书申请；

空中发证客户端向空中发证服务器发送证书请求消息。

所述的基于量子加密的空中发证方法还包括：

空中发证服务器调用身份认证识别服务器对收到的生物特征信息进行识别认证，确认证书申请者的真实身份；

空中发证服务器请求PKI终端对本次证书申请操作进行审核，如果用户具有数字证书的权限，则批准本次证书申请；

空中发证服务器提交证书申请至PKI终端。

所述的基于量子加密的空中发证方法还包括：

PKI终端生成加密密钥对和对应的加密数字证书，并按国密局相关标准要求对加密私钥进行加密保护，生成移动警务签名数字证书和加密数字证书，组成并返回最终的证书响应消息至空中发证服务器；

空中发证服务器将证书响应信息通过终端密码模块生成的签名公钥和PKI终端临时生成的对称密钥发送至空中发证客户端。

参见图2所示，一种基于量子加密的空中发证系统，包括：

KPI终端，用于采用量子密钥分发对证书响应消息中的加密密钥进行加密，根据“测量塌缩理论”，窃听者的存在会引入额外误码；当误码率超过了阈值，就表示信道中间存在窃听者，此时警报响起，停止密钥分发，已分发密钥丢弃不用，从而保证密钥的理论上的绝对安全，进而保证空中发证过程中，对证书下发的链路进行安全保护，保障证书的安全下发。

所述的基于量子加密的空中发证系统，还包括：

空中发证客户端，用于采集生物特征和终端信息；调用终端的密码模块请求生成签名密钥对后，组装生成符合国密局要求的数字证书申请；并向空中发证服务器发送证书请求消息。

所述的基于量子加密的空中发证系统还包括：

空中发证服务器用于调用身份认证识别服务器对收到的生物特征信息进行识别认证，确认证书申请者的真实身份；请求PKI终端对本次证书申请操作进行审核，如果用户具有数字证书的权限，则批准本次证书申请；并提交证书申请至PKI终端。

优选地，PKI终端还用于生成加密密钥对和对应的加密数字证书，并按国密局相关标准要求对加密私钥进行加密保护，生成移动警务签名数字证书和加密数字证书，组成并返回最终的证书响应消息至空中发证服务器；

空中发证服务器还用于将证书响应信息通过终端密码模块生成的签名公钥和PKI终端临时生成的对称密钥发送至空中发证客户端。

本实施例中所示基于量子加密的空中发证方法及系统，方法包括步骤：采用量子密钥分发对证书响应消息中的加密密钥进行加密，根据“测量塌缩理论”，窃听者的存在会引入额外误码；当误码率超过了阈值，就表示信道中间存在窃听者，此时警报响起，停止密钥分发，已分发密钥丢弃不用，从而保证密钥的理论上的绝对安全，进而保证空中发证过程中，对证书下发的链路进行安全保护，保障证书的安全下发。

本实施例中所示基于量子加密的空中发证方法及系统，将采用量子密钥分发的的方式，通过量子密钥分发的理论绝对安全性来保证线路的安全不被第三方窃听，量子密钥分发的的安全性由量子力学的物理原理保障，理论安全性已经得到了严格的数学证明。

本实施例中所示基于量子加密的空中发证方法及系统，通过量子密钥分发来保证密钥理论上的安全，其中一个最重要的，也是最独特的性质是：如果有第三方试图窃听，则通信的双方便会察觉。这种性质基于量子力学的基本原理：任何对量子系统的测量都会对系统产生干扰。第三方试图窃听，必须用某种方式测量它，而这些测量就会带来可察觉的异常。通过量子叠加态或量子纠缠态来传输信息，通信系统便可以检测是否存在窃听。当窃听低于一定标准，一个有安全保障的密钥就可以产生了。量子密钥分发的安全性基于量子力学的基本原理，而传统密码学是基于某些数学算法的计算复杂度。传统密码学无法察觉窃听，也就无法保证密钥的安全性。

本实施例中所示基于量子加密的空中发证方法及系统，通过传统方法进行证书下发，对于证书响应消息中的加密密钥的加密，其链路存在被第三方窃听的可能性。针对上述问题，对于证书响应消息中的加密密钥的加密，采用基于量子密钥分发技术，根据“测量塌缩理论”(对量子态进行测量将会改变最初的量子态)，窃听者的存在会引入额外误码。“比如，无窃听者存在时，误码率为0；受截取重发攻击时，误码率为25％。当误码率超过了阈值，就表示信道中间存在窃听者。此时警报响起，停止密钥分发，已分发密钥丢弃不用。从而保证密钥的理论上的绝对安全，进而保证空中发证过程中，对证书下发的链路进行安全保护，保障证书的安全下发。

1)本实施例中所示基于量子加密的空中发证方法及系统，其工作过程为：移动警务终端侧的空中发证客户端采集身份证信息、人像等生物特征和终端信息等；

2)空中发证客户端调用终端的密码模块请求生成签名密钥对后，组装生成符合国密局要求的数字证书申请；

3)空中发证客户端发送证书请求消息(消息中包含步骤1采集的身份证信息、人像等生物特征信息等信息，以及步骤2中生成的证书申请)；

4)空中发证服务调用身份认证识别服务对收到的身份证信息和人像等生物特征信息进行识别认证，确认证书申请者的真实身份；

5)空中发证服务请求PKI系统对本次证书申请操作进行审核，如果用户具有数字证书的权限，则批准本次证书申请；

6)空中发证服务器提交证书申请至PKI系统；

7)PKI生成加密密钥对和对应的加密数字证书，并按国密局相关标准要求对加密私钥进行加密保护，生成移动警务签名数字证书和加密数字证书，组成并返回最终的证书响应消息至空中发证服务器；

空中发证服务器将证书响应(包含签名证书和加密证书，受保护的加密密钥对)通过终端密码模块生成的签名公钥和PKI系统临时生成的对称密钥通过发送至空中发证客户端。

本实施例中所示基于量子加密的空中发证方法及系统，证书申请过程中的主要消息包括：证书申请消息和用户证书响应消息。证书申请过程中的通信消息应实现加密传输，保证通信过程中信息的安全性，防止用户信息泄露。证书响应消息中携带的加密私钥应采用由终端密码模块生成的签名公钥和PKI系统临时生成的对称密钥进行加密保护等。对于PKI系统生成的临时对称密钥，由传统的密钥分发技术，改为基于量子的密钥分发技术，保障证书响应消息的安全。

本实施例中所示基于量子加密的空中发证方法及系统，对于PKI系统生成的临时对称密钥，由传统的密钥分发技术，改为基于量子的密钥分发技术，保障证书响应消息的安全。根据量子的“测量塌缩理论”，来保障量子密钥分发中，分发的密钥达到理论的绝对安全，从而保障空中发证系统中，证书响应消息的绝对安全。

对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于量子加密的空中发证方法，其特征在于：包括以下步骤：

提供用于传输证书响应消息的信道；

采用量子密钥分发对内含加密密钥的证书响应消息进行量子信号控制密钥的分发，并检测信道误码率；

当误码率超过了误码阈值，则表示信道中间存在窃听者；此时报警，停止量子信号控制密钥分发；并控制已分发有量子信号控制密钥的证书响应消息停止响应传输，以确保信道传输安全。

2.根据权利要求1所述的基于量子加密的空中发证方法，其特征在于：还包括：

对证书申请过程中的通信消息进行加密传输，保证通信过程中信息的安全性，防止用户信息泄露。

3.根据权利要求2所述的基于量子加密的空中发证方法，其特征在于：证书响应消息中携带的加密私钥采用由终端密码模块生成的签名公钥和PKI终端临时生成的对称密钥进行加密保护；PKI终端生成的临时对称密钥，采用基于量子的密钥分发，保障证书响应消息的安全。

4.根据权利要求3所述的基于量子加密的空中发证方法，其特征在于：还包括：

空中发证客户端采集生物特征和终端信息；

空中发证客户端调用终端的密码模块请求生成签名密钥对后，组装生成符合国密局要求的数字证书申请；

空中发证客户端向空中发证服务器发送证书请求消息。

5.根据权利要求4所述的基于量子加密的空中发证方法，其特征在于：还包括：

空中发证服务器调用身份认证识别服务器对收到的生物特征信息进行识别认证，确认证书申请者的真实身份；

空中发证服务器请求PKI终端对本次证书申请操作进行审核，如果用户具有数字证书的权限，则批准本次证书申请；

空中发证服务器提交证书申请至PKI终端。

6.根据权利要求5所述的基于量子加密的空中发证方法，其特征在于：还包括：

PKI终端生成加密密钥对和对应的加密数字证书，并按国密局相关标准要求对加密私钥进行加密保护，生成移动警务签名数字证书和加密数字证书，组成并返回最终的证书响应消息至空中发证服务器；

空中发证服务器将证书响应信息通过终端密码模块生成的签名公钥和PKI终端临时生成的对称密钥发送至空中发证客户端。

7.一种基于量子加密的空中发证系统，其特征在于：包括：

KPI终端，用于采用量子密钥分发对证书响应消息中的加密密钥进行加密，根据“测量塌缩理论”，窃听者的存在会引入额外误码；当误码率超过了阈值，就表示信道中间存在窃听者，此时警报响起，停止密钥分发，已分发密钥丢弃不用，从而保证密钥的理论上的绝对安全，进而保证空中发证过程中，对证书下发的链路进行安全保护，保障证书的安全下发。

8.根据权利要求7所述的基于量子加密的空中发证系统，其特征在于：还包括：

空中发证客户端，用于采集生物特征和终端信息；调用终端的密码模块请求生成签名密钥对后，组装生成符合国密局要求的数字证书申请；并向空中发证服务器发送证书请求消息。

9.根据权利要求8所述的基于量子加密的空中发证系统，其特征在于：还包括：

空中发证服务器用于调用身份认证识别服务器对收到的生物特征信息进行识别认证，确认证书申请者的真实身份；请求PKI终端对本次证书申请操作进行审核，如果用户具有数字证书的权限，则批准本次证书申请；并提交证书申请至PKI终端。

10.根据权利要求9所述的基于量子加密的空中发证系统，其特征在于：PKI终端还用于生成加密密钥对和对应的加密数字证书，并按国密局相关标准要求对加密私钥进行加密保护，生成移动警务签名数字证书和加密数字证书，组成并返回最终的证书响应消息至空中发证服务器；

空中发证服务器还用于将证书响应信息通过终端密码模块生成的签名公钥和PKI终端临时生成的对称密钥发送至空中发证客户端。

Images