CN112039670A - 后量子增强加密通道构建方法、装置及系统 - Google Patents
后量子增强加密通道构建方法、装置及系统 Download PDFInfo
- Publication number
- CN112039670A CN112039670A CN202010975337.XA CN202010975337A CN112039670A CN 112039670 A CN112039670 A CN 112039670A CN 202010975337 A CN202010975337 A CN 202010975337A CN 112039670 A CN112039670 A CN 112039670A
- Authority
- CN
- China
- Prior art keywords
- random number
- quantum
- server
- post
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明提供了一种后量子增强加密通道构建方法、装置及系统,所述方法包含:通过后量子算法生成后量子公私钥对,通过后量子公钥和基于非对称算法获得的客户端公钥证书于服务端获得服务端公钥证书及服务端通过后量子公钥加密后的第三随机数;通过后量子私钥对第三随机数解密,并根据第三随机数和随机生成的第四随机数建验证码;将所述验证码与通过服务端公钥证书加密后的第四随机数提供至服务端进行校验,并根据服务端反馈的校验结果与服务端建立加密通道。
Description
技术领域
本发明涉及信息安全领域,可应用于金融领域和其他领域,尤指一种后量子增强加密通道构建方法、装置及系统。
背景技术
目前,网络行为已经渗透到社会生活的每个领域,无论是网上银行、电子商务、电子邮件还是即时消息服务,密码技术无时无刻不在保护着用户的信息安全。密码技术作为网络安全的根基,如果当前普遍运用的密码系统遭到根本性威胁,所有网络活动的安全性无疑都将面临严峻的挑战。金融行业的信息安全直接关系着国家经济命脉的正常运行,而密码算法被普遍认为是信息安全领域的核心技术。金融业不仅要给客户提供可信服务环境,也必须能够确保交易信息的准确性和安全性。现代主流密码算法都是建立在公认的科学数学原理上,具有抵抗经典计算机攻击的优良安全特性。事实上,具有强大密码破解能力的量子计算机近年来已经不断取得实质性进展,量子计算发展的长期目标是一种通用的、高容错的量子计算机(100量子比特以上),近期目标则是一种在特定问题上超过现行最强大常规计算机的中型量子计算机,这将首次验证量子霸权或量子优势。事实上,具有强大密码破解能力的量子计算机近年来已经不断取得实质性进展,研究者们普遍认为应该尽早部署能够抵御这种威胁的后量子密码技术,从而将信息网络系统面临的总体风险降至最低。
量子计算主要是对公钥密码算法安全性存在较大的影响,对于对称密码和哈希函数影响不大。对于公钥密码算法,量子计算机安全性的影响包括:完全攻破目前广泛使用的公钥密码算法。增加密钥长度作用有限。需要全新的公钥密码算法。如何应对量子计算机带来的安全威胁,达到抗量子的安全通信通道,是业内亟需解决一大问题。
发明内容
本发明目的在于提供一种后量子增强加密通道构建方法、装置及系统,以应对量子计算对现代通信及金融基础设施安全的威胁,予以降低潜在的风险。
为达上述目的,本发明所提供的一种后量子增强加密通道构建方法,具体包含:通过后量子算法生成后量子公私钥对,通过后量子公钥和基于非对称算法获得的客户端公钥证书于服务端获得服务端公钥证书及服务端通过后量子公钥加密后的第三随机数;通过后量子私钥对第三随机数解密,并根据第三随机数和随机生成的第四随机数建验证码;将所述验证码与通过服务端公钥证书加密后的第四随机数提供至服务端进行校验,并根据服务端反馈的校验结果与服务端建立加密通道。
在上述后量子增强加密通道构建方法中,优选的,通过后量子公钥和基于非对称算法获得的客户端公钥证书于服务端获得服务端公钥证书及服务端通过后量子公钥加密后的第三随机数还包含:将后量子公钥、客户端公钥证书和随机生成的第一随机数提供至服务端;接收服务端在对客户端公钥证书验证通过后反馈的服务端公钥证书、第二随机数和服务端通过后量子公钥加密的第三随机数。
在上述后量子增强加密通道构建方法中,优选的,根据第三随机数和随机生成的第四随机数建验证码还包含:根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;根据所述密钥生成对应的验证码。
本发明还提供一种后量子增强加密通道构建方法,所述方法包含:接收客户端提供的基于后量子算法生成后量子公钥;通过后量子公钥加密随机生成的第三随机数,将服务端公钥证书和加密后的第三随机数反馈至客户端;接收客户端提供的验证码和加密后的第四随机数,通过服务端私钥证书解密所述第四随机数;根据第三随机数和第四随机数校验所述验证码,当校验通过后,反馈校验结果至客户端并与客户端建立加密通道。
在上述后量子增强加密通道构建方法中,优选的,接收客户端提供的基于后量子算法生成后量子公钥还包含:接收客户端提供的基于非对称算法获得的客户端公钥证书,并验证所述客户端公钥证书的有效性;当验证通过后接收客户端提供的第一随机数及后量子公钥。
在上述后量子增强加密通道构建方法中,优选的,将服务端公钥证书和加密后的第三随机数反馈至客户端还包含:随机生成的第二随机数,将第二随机数、服务端公钥证书和加密后的第三随机数反馈至客户端。
在上述后量子增强加密通道构建方法中,优选的,根据第三随机数和第四随机数校验所述验证码包含:根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;通过所述密钥校验所述验证码。
本发明还提供一种后量子增强加密通道构建装置,所述装置包含客户端请求模块、客户端计算模块和客户端构建模块;所述客户端请求模块用于通过后量子算法生成后量子公私钥对,通过后量子公钥和基于非对称算法获得的客户端公钥证书于服务端获得服务端公钥证书及服务端通过后量子公钥加密后的第三随机数;所述客户端计算模块用于通过后量子私钥对第三随机数解密,并根据第三随机数和随机生成的第四随机数建验证码;所述客户端构件模块用于将所述验证码与通过服务端公钥证书加密后的第四随机数提供至服务端进行校验,并根据服务端反馈的校验结果与服务端建立加密通道。
在上述后量子增强加密通道构建装置中,优选的,所述客户端请求模块包含发送单元和接收单元;所述发送单元用于将后量子公钥、客户端公钥证书和随机生成的第一随机数提供至服务端;所述接收单元用于接收服务端在对客户端公钥证书验证通过后反馈的服务端公钥证书、第二随机数和服务端通过后量子公钥加密的第三随机数。
在上述后量子增强加密通道构建装置中,优选的,所述客户端计算模块包含密钥混合单元,所述密钥混合单元用于根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;根据所述密钥生成对应的验证码。
本发明还提供一种后量子增强加密通道构建装置,所述装置包含服务端分析模块和服务端校验模块;所述服务端分析模块用于接收客户端提供的基于后量子算法生成后量子公钥;通过后量子公钥加密随机生成的第三随机数,将服务端公钥证书和加密后的第三随机数反馈至客户端;所述服务端校验模块用于接收客户端提供的验证码和加密后的第四随机数,通过服务端私钥证书解密所述第四随机数;根据第三随机数和第四随机数校验所述验证码,当校验通过后,反馈校验结果至客户端并与客户端建立加密通道。
在上述后量子增强加密通道构建装置中,优选的,所述服务端分析模块还包含验证单元,所述验证单元能用于接收客户端提供的基于非对称算法获得的客户端公钥证书,并验证所述客户端公钥证书的有效性;当验证通过后接收客户端提供的第一随机数及后量子公钥。
在上述后量子增强加密通道构建装置中,优选的,所述服务端分析模块还包含:随机生成的第二随机数,将第二随机数、服务端公钥证书和加密后的第三随机数反馈至客户端。
在上述后量子增强加密通道构建装置中,优选的,所述服务端校验模块还包含密钥混合单元,所述密钥混合单元用于根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;通过所述密钥校验所述验证码。
本发明还提供一种后量子增强加密通道构建系统,所述系统包含客户端和服务端;所述客户端通过后量子算法和非对称算法分别生成后量子公私钥对和客户端公私钥证书,将后量子公钥和客户端公钥证书提供至服务端;所述服务端通过后量子公钥加密随机生成的第三随机数,将服务端公钥证书和加密后的第三随机数反馈至客户端;所述客户端通过后量子私钥对第三随机数解密,根据第三随机数和随机生成的第四随机数建验证码;以及,将所述验证码与通过服务端公钥证书加密后的第四随机数提供至服务端进行校验;所述服务端通过服务端私钥证书解密所述第四随机数,根据第三随机数和第四随机数校验所述验证码;以及,当校验通过后,反馈校验结果至客户端;所述客户端根据服务端反馈的校验结果与服务端建立加密通道。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述方法的计算机程序。
本发明的有益技术效果在于:采用混合方案,该方案同时基于非对称算法和某个候选的后量子密钥协商算法得到两个不同会话密钥,然后将两者混合推导出最终的会话密钥,由此可以显著降低潜在的风险;同时最终量子计算机成为现实时,它不可能直接攻破后量子部分的密钥,因此金融通信满足安全需求;不仅实现机密数据抗量子的前向安全,而且突破后量子密码应用的难点,为同业提供参考。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1为本发明一实施例所提供的后量子增强加密通道构建方法的流程示意图;
图2为本发明一实施例所提供的服务端公钥证书获取流程示意图;
图3为本发明一实施例所提供的后量子增强加密通道构建方法的原理示意图;
图4为本发明一实施例所提供的后量子增强加密通道构建方法的流程示意图;
图5为本发明一实施例所提供的证书验证流程示意图;
图6为本发明一实施例所提供的后量子增强加密通道构建装置的结构示意图;
图7为本发明一实施例所提供的后量子增强加密通道构建装置的结构示意图;
图8为本发明一实施例所提供的后量子增强加密通道构建系统的结构示意图;
图9为本发明一实施例所提供的后量子增强加密通道构建系统的交互流程示意图;
图10为本发明一实施例所提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
传统的非对称加密算法在面对量子计算机时,存在前向攻击的风险,亦即攻击者可以把当前密钥协商过程的消息存储下来,等到量子计算机成为现实时,再对历史数据进行恢复,从而导致信息外泄;为克服该问题,请参考图1所示,本发明所提供的一种后量子增强加密通道构建方法,具体包含:
S101通过后量子算法生成后量子公私钥对,通过后量子公钥和基于非对称算法获得的客户端公钥证书于服务端获得服务端公钥证书及服务端通过后量子公钥加密后的第三随机数;
S102通过后量子私钥对第三随机数解密,并根据第三随机数和随机生成的第四随机数建验证码;
S103将所述验证码与通过服务端公钥证书加密后的第四随机数提供至服务端进行校验,并根据服务端反馈的校验结果与服务端建立加密通道。
以此,将非对称算法和后量子算法相结合,使得传统密钥通信的基础上进一步引入后量子算法计算的密钥因子,从而使得量子计算机应用时,即使破解非对称算法的密钥也无法推导后量子部分的密钥因子,保障通信安全。
为提高通信交互的信息安全,请参考图2所示,在本发明一实施例中,通过后量子公钥和基于非对称算法获得的客户端公钥证书于服务端获得服务端公钥证书及服务端通过后量子公钥加密后的第三随机数还包含:
S201将后量子公钥、客户端公钥证书和随机生成的第一随机数提供至服务端;
S202接收服务端在对客户端公钥证书验证通过后反馈的服务端公钥证书、第二随机数和服务端通过后量子公钥加密的第三随机数。
由此进一步引用第一和第二随机数,以便在后续的根据第三随机数和随机生成的第四随机数建验证码步骤中进一步执行:根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;根据所述密钥生成对应的验证码。从而有效提高加密数据破解难度;在该实施例中,所述基于非对称算法可为现有的SM2国密证书双向认证方法中引用的密钥证书生成方法,本领域相关技术人员在实际使用时,也可在客户端与服务端交互步骤中补入多个随机数采用后量子公钥、客户端公钥证书或服务端公钥证书予以加密交互,提高后续密钥的生成因素,本发明在此并不做过多限制。
通过上述实施例,使得本发明所提供的后量子增强加密通道构建方法基于原有SM2国密证书双向认证的基础上,引入了后量子算法,协商出会话一个密钥因子,参与导出最终的对称密钥;这样可以显著降低潜在的风险,如果最终量子计算机成为通用产品,虽然它可能攻破SM2,它不可能直接攻破后量子部分的因子,因此具备抗量子攻击的前向安全性;具体原理可参考图3所示,其中上侧框图为现有计算中的加密方式,下侧为本发明一实施例所提供的后量子增强加密通道构建方法的加密方式,利用SM2加抗量子密码的方式予以加密来增强抗量子特性。
请参考图4所示,本发明还提供一种后量子增强加密通道构建方法,所述方法包含:
S401接收客户端提供的基于后量子算法生成后量子公钥;
S402通过后量子公钥加密随机生成的第三随机数,将服务端公钥证书和加密后的第三随机数反馈至客户端;
S403接收客户端提供的验证码和加密后的第四随机数,通过服务端私钥证书解密所述第四随机数;
S404根据第三随机数和第四随机数校验所述验证码,当校验通过后,反馈校验结果至客户端并与客户端建立加密通道。
再请参考图5所示,在上述实施例中,接收客户端提供的基于后量子算法生成后量子公钥还可包含:
S501接收客户端提供的基于非对称算法获得的客户端公钥证书,并验证所述客户端公钥证书的有效性;
S502当验证通过后接收客户端提供的第一随机数及后量子公钥。
基于上述实施例中,后续步骤将服务端公钥证书和加密后的第三随机数反馈至客户端还可包含:随机生成的第二随机数,将第二随机数、服务端公钥证书和加密后的第三随机数反馈至客户端;以便验证码生成环节中可根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;通过所述密钥校验所述验证码。
在上述实施例中,服务端主要执行配合客户端进行加密验证,其首先利用客户端提供的公钥证书予以验证签名有效性和有效期,当两者皆满足预设要求时,即可采用客户端提供的后量子公钥加密本地随机生成的一随机数(第三随机数),再将加密后的第三随机数和,一随机生成的第二随机数和服务端公钥证书提供给客户端进行验证;当再次收到客户端提供的验证码和加密后的第四随机数时,利用服务端私钥证书解密所述第四随机数,并重复客户端类型的步骤,即根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥,采用密钥验证客户端提供的验证码,在比对一致或相符的情况下与客户端完成安全通信约定,即建立加密通道。值得说明的是,在该实施例中,所述随机数数量也可如上述实施例一致,设置多个以提高通信安全,本发明在此并不做进一步限定。
请参考图6所示,本发明还提供一种后量子增强加密通道构建装置,所述装置包含客户端请求模块、客户端计算模块和客户端构建模块;所述客户端请求模块用于通过后量子算法生成后量子公私钥对,通过后量子公钥和基于非对称算法获得的客户端公钥证书于服务端获得服务端公钥证书及服务端通过后量子公钥加密后的第三随机数;所述客户端计算模块用于通过后量子私钥对第三随机数解密,并根据第三随机数和随机生成的第四随机数建验证码;所述客户端构件模块用于将所述验证码与通过服务端公钥证书加密后的第四随机数提供至服务端进行校验,并根据服务端反馈的校验结果与服务端建立加密通道。
在上述实施例中,所述客户端请求模块包含发送单元和接收单元;所述发送单元用于将后量子公钥、客户端公钥证书和随机生成的第一随机数提供至服务端;所述接收单元用于接收服务端在对客户端公钥证书验证通过后反馈的服务端公钥证书、第二随机数和服务端通过后量子公钥加密的第三随机数。在本发明另一实施例中,所述客户端计算模块包含密钥混合单元,所述密钥混合单元用于根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;根据所述密钥生成对应的验证码。
以此,将非对称算法和后量子算法相结合,使得传统密钥通信的基础上进一步引入后量子算法计算的密钥因子,从而使得量子计算机应用时,即使破解非对称算法的密钥也无法推导后量子部分的密钥因子,保障通信安全。
请参考图7所示,本发明还提供一种后量子增强加密通道构建装置,所述装置包含服务端分析模块和服务端校验模块;所述服务端分析模块用于接收客户端提供的基于后量子算法生成后量子公钥;通过后量子公钥加密随机生成的第三随机数,将服务端公钥证书和加密后的第三随机数反馈至客户端;所述服务端校验模块用于接收客户端提供的验证码和加密后的第四随机数,通过服务端私钥证书解密所述第四随机数;根据第三随机数和第四随机数校验所述验证码,当校验通过后,反馈校验结果至客户端并与客户端建立加密通道。
在上述实施例中,所述服务端分析模块还可包含验证单元,所述验证单元能用于接收客户端提供的基于非对称算法获得的客户端公钥证书,并验证所述客户端公钥证书的有效性;当验证通过后接收客户端提供的第一随机数及后量子公钥。进一步的,所述服务端分析模块还可包含:随机生成的第二随机数,将第二随机数、服务端公钥证书和加密后的第三随机数反馈至客户端。在另一实施例中,所述服务端校验模块还包含密钥混合单元,所述密钥混合单元用于根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;通过所述密钥校验所述验证码。
通过上述实施例,使得本发明所提供的后量子增强加密通道构建方法基于原有SM2国密证书双向认证的基础上,引入了后量子算法,协商出会话一个密钥因子,参与导出最终的对称密钥;这样可以显著降低潜在的风险,如果最终量子计算机成为通用产品,虽然它可能攻破SM2,它不可能直接攻破后量子部分的因子,因此具备抗量子攻击的前向安全性。
请参考图8所示,本发明还提供一种后量子增强加密通道构建系统,所述系统包含客户端和服务端;所述客户端通过后量子算法和非对称算法分别生成后量子公私钥对和客户端公私钥证书,将后量子公钥和客户端公钥证书提供至服务端;所述服务端通过后量子公钥加密随机生成的第三随机数,将服务端公钥证书和加密后的第三随机数反馈至客户端;所述客户端通过后量子私钥对第三随机数解密,根据第三随机数和随机生成的第四随机数建验证码;以及,将所述验证码与通过服务端公钥证书加密后的第四随机数提供至服务端进行校验;所述服务端通过服务端私钥证书解密所述第四随机数,根据第三随机数和第四随机数校验所述验证码;以及,当校验通过后,反馈校验结果至客户端;所述客户端根据服务端反馈的校验结果与服务端建立加密通道。
具体的,请参考图9所示,在实际工作中,本发明所提供的后量子增强加密通道构建系统在传统双向SSL协议基础上,引入后量子算法,亦即在协商过程中增加后量子密钥因子协商,予以实现类SSL协议,具体流程如下:
客户端发送随机数R1和客户端SM2加密公钥证书;同时产生临时后量子公私钥对,并发送后量子公钥;
服务端保存R1,验证客户端证书(签名/有效期);接收后量子公钥,产生R3,并用后量子公钥加密R3;产生随机数R2;返回服务端SM2加密公钥证书、随机数R2和R3的密文;
客户端保存R2,验证服务端证书;用后量子私钥解密R3;产生随机数R4(预主密钥);并用服务端证书中的公钥加密R4;应用R1、R2、R3、R4生成密钥K,使用K产生验证码C,发送密文R4和C。
服务端证书私钥解密R4,计算K值,校验验证码C,返回协商结果。
客户端与服务端已准备好安全通信,约定好在后续的通信中使用加密模式。
加密数据,客户端和服务器开始在安全通信通道上进行加密信息的交换了。
值得说明的是,在上述实施例中,所谓的第一随机数R1、第二随机数R2、第三随机数R3和第四随机数R4仅为予以区别各随机数的生成时间及位置,并非予以区别各随机数的表现形式及生成原理;本领域相关技术人员可根据实际需要任一设置其排序名称,本发明对其并不做进一步限定。另,在以上实施例中,所引用的后量子算法代码逻辑如下:
产生后量子公私钥对:
nt pqc_kem_hm_genkeypair(unsigned char*pk,unsigned long long*pk_len,
unsigned char*sk,unsigned long long*sk_len);
后量子公钥加密:
int pqc_kem_hm_encrypt(const unsigned char*pk,unsigned long long pk_len,
const unsigned char*msg,unsigned long long msg_len,
unsigned char*cipher,unsigned long long*cipher_len);
后量子私钥解密:
int pqc_kem_hm_decrypt(const unsigned char*sk,unsigned long long sk_len,
const unsigned char*cipher,unsigned long long cipher_len,
unsigned char*msg,unsigned long long*msg_len);
当然,因实际情况及需求不同,本领域相关技术人员也可根据实际需要选择设定上述后量子算法使用方式即具体逻辑,本发明对此并不做任何限定。
本发明的有益技术效果在于:采用混合方案,该方案同时基于非对称算法和某个候选的后量子密钥协商算法得到两个不同会话密钥,然后将两者混合推导出最终的会话密钥,由此可以显著降低潜在的风险;同时最终量子计算机成为现实时,它不可能直接攻破后量子部分的密钥,因此金融通信满足安全需求;不仅实现机密数据抗量子的前向安全,而且突破后量子密码应用的难点,为同业提供参考。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述方法的计算机程序。
如图10所示,该电子设备600还可以包括:通信模块110、输入单元120、音频处理单元130、显示器160、电源170。值得注意的是,电子设备600也并不是必须要包括图10中所示的所有部件;此外,电子设备600还可以包括图10中没有示出的部件,可以参考现有技术。
如图10所示,中央处理器100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器100接收输入并控制电子设备600的各个部件的操作。
其中,存储器140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器100可执行该存储器140存储的该程序,以实现信息存储或处理等。
输入单元120向中央处理器100提供输入。该输入单元120例如为按键或触摸输入装置。电源170用于向电子设备600提供电力。显示器160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器140还可以是某种其它类型的装置。存储器140包括缓冲存储器141(有时被称为缓冲器)。存储器140可以包括应用/功能存储部142,该应用/功能存储部142用于存储应用程序和功能程序或用于通过中央处理器100执行电子设备600的操作的流程。
存储器140还可以包括数据存储部143,该数据存储部143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器140的驱动程序存储部144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块110即为经由天线111发送和接收信号的发送机/接收机110。通信模块(发送机/接收机)110耦合到中央处理器100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)110还经由音频处理器130耦合到扬声器131和麦克风132,以经由扬声器131提供音频输出,并接收来自麦克风132的音频输入,从而实现通常的电信功能。音频处理器130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器130还耦合到中央处理器100,从而使得可以通过麦克风132能够在本机上录音,且使得可以通过扬声器131来播放本机上存储的声音。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种后量子增强加密通道构建方法,其特征在于,所述方法包含:
通过后量子算法生成后量子公私钥对,通过后量子公钥和基于非对称算法获得的客户端公钥证书于服务端获得服务端公钥证书及服务端通过后量子公钥加密后的第三随机数;
通过后量子私钥对第三随机数解密,并根据第三随机数和随机生成的第四随机数建验证码;
将所述验证码与通过服务端公钥证书加密后的第四随机数提供至服务端进行校验,并根据服务端反馈的校验结果与服务端建立加密通道。
2.根据权利要求1所述的后量子增强加密通道构建方法,其特征在于,通过后量子公钥和基于非对称算法获得的客户端公钥证书于服务端获得服务端公钥证书及服务端通过后量子公钥加密后的第三随机数还包含:
将后量子公钥、客户端公钥证书和随机生成的第一随机数提供至服务端;
接收服务端在对客户端公钥证书验证通过后反馈的服务端公钥证书、第二随机数和服务端通过后量子公钥加密的第三随机数。
3.根据权利要求2所述的后量子增强加密通道构建方法,其特征在于,根据第三随机数和随机生成的第四随机数建验证码还包含:
根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;
根据所述密钥生成对应的验证码。
4.一种后量子增强加密通道构建方法,其特征在于,所述方法包含:
接收客户端提供的基于后量子算法生成后量子公钥;
通过后量子公钥加密随机生成的第三随机数,将服务端公钥证书和加密后的第三随机数反馈至客户端;
接收客户端提供的验证码和加密后的第四随机数,通过服务端私钥证书解密所述第四随机数;
根据第三随机数和第四随机数校验所述验证码,当校验通过后,反馈校验结果至客户端并与客户端建立加密通道。
5.根据权利要求4所述的后量子增强加密通道构建方法,其特征在于,接收客户端提供的基于后量子算法生成后量子公钥还包含:
接收客户端提供的基于非对称算法获得的客户端公钥证书,并验证所述客户端公钥证书的有效性;
当验证通过后接收客户端提供的第一随机数及后量子公钥。
6.根据权利要求5所述的后量子增强加密通道构建方法,其特征在于,将服务端公钥证书和加密后的第三随机数反馈至客户端还包含:
随机生成的第二随机数,将第二随机数、服务端公钥证书和加密后的第三随机数反馈至客户端。
7.根据权利要求6所述的后量子增强加密通道构建方法,其特征在于,根据第三随机数和第四随机数校验所述验证码包含:
根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;
通过所述密钥校验所述验证码。
8.一种后量子增强加密通道构建装置,其特征在于,所述装置包含客户端请求模块、客户端计算模块和客户端构建模块;
所述客户端请求模块用于通过后量子算法生成后量子公私钥对,通过后量子公钥和基于非对称算法获得的客户端公钥证书于服务端获得服务端公钥证书及服务端通过后量子公钥加密后的第三随机数;
所述客户端计算模块用于通过后量子私钥对第三随机数解密,并根据第三随机数和随机生成的第四随机数建验证码;
所述客户端构件模块用于将所述验证码与通过服务端公钥证书加密后的第四随机数提供至服务端进行校验,并根据服务端反馈的校验结果与服务端建立加密通道。
9.根据权利要求8所述的后量子增强加密通道构建装置,其特征在于,所述客户端请求模块包含发送单元和接收单元;
所述发送单元用于将后量子公钥、客户端公钥证书和随机生成的第一随机数提供至服务端;
所述接收单元用于接收服务端在对客户端公钥证书验证通过后反馈的服务端公钥证书、第二随机数和服务端通过后量子公钥加密的第三随机数。
10.根据权利要求9所述的后量子增强加密通道构建装置,其特征在于,所述客户端计算模块包含密钥混合单元,所述密钥混合单元用于根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;根据所述密钥生成对应的验证码。
11.一种后量子增强加密通道构建装置,其特征在于,所述装置包含服务端分析模块和服务端校验模块;
所述服务端分析模块用于接收客户端提供的基于后量子算法生成后量子公钥;通过后量子公钥加密随机生成的第三随机数,将服务端公钥证书和加密后的第三随机数反馈至客户端;
所述服务端校验模块用于接收客户端提供的验证码和加密后的第四随机数,通过服务端私钥证书解密所述第四随机数;根据第三随机数和第四随机数校验所述验证码,当校验通过后,反馈校验结果至客户端并与客户端建立加密通道。
12.根据权利要求11所述的后量子增强加密通道构建装置,其特征在于,所述服务端分析模块还包含验证单元,所述验证单元能用于接收客户端提供的基于非对称算法获得的客户端公钥证书,并验证所述客户端公钥证书的有效性;当验证通过后接收客户端提供的第一随机数及后量子公钥。
13.根据权利要求12所述的后量子增强加密通道构建装置,其特征在于,所述服务端分析模块还包含:
随机生成的第二随机数,将第二随机数、服务端公钥证书和加密后的第三随机数反馈至客户端。
14.根据权利要求13所述的后量子增强加密通道构建装置,其特征在于,所述服务端校验模块还包含密钥混合单元,所述密钥混合单元用于根据第一随机数、第二随机数、第三随机数和第四随机数生成密钥;通过所述密钥校验所述验证码。
15.一种后量子增强加密通道构建系统,其特征在于,所述系统包含客户端和服务端;
所述客户端通过后量子算法和非对称算法分别生成后量子公私钥对和客户端公私钥证书,将后量子公钥和客户端公钥证书提供至服务端;
所述服务端通过后量子公钥加密随机生成的第三随机数,将服务端公钥证书和加密后的第三随机数反馈至客户端;
所述客户端通过后量子私钥对第三随机数解密,根据第三随机数和随机生成的第四随机数建验证码;以及,将所述验证码与通过服务端公钥证书加密后的第四随机数提供至服务端进行校验;
所述服务端通过服务端私钥证书解密所述第四随机数,根据第三随机数和第四随机数校验所述验证码;以及,当校验通过后,反馈校验结果至客户端;
所述客户端根据服务端反馈的校验结果与服务端建立加密通道。
16.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一所述方法。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至7任一所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010975337.XA CN112039670B (zh) | 2020-09-16 | 2020-09-16 | 后量子增强加密通道构建方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010975337.XA CN112039670B (zh) | 2020-09-16 | 2020-09-16 | 后量子增强加密通道构建方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112039670A true CN112039670A (zh) | 2020-12-04 |
| CN112039670B CN112039670B (zh) | 2023-06-06 |
Family
ID=73589505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010975337.XA Active CN112039670B (zh) | 2020-09-16 | 2020-09-16 | 后量子增强加密通道构建方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112039670B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022206183A1 (en) * | 2021-03-30 | 2022-10-06 | International Business Machines Corporation | Post-quantum cryptography secured execution environments for edge devices |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190116035A1 (en) * | 2017-10-17 | 2019-04-18 | Comsats Institute Of Information Technology | Post-Quantum Cryptographic Communication Protocol |
| CN110224829A (zh) * | 2019-06-14 | 2019-09-10 | 深圳职业技术学院 | 基于矩阵的后量子加密方法及装置 |
| CN110519226A (zh) * | 2019-07-16 | 2019-11-29 | 如般量子科技有限公司 | 基于非对称密钥池和隐式证书的量子通信服务端保密通信方法和系统 |
-
2020
- 2020-09-16 CN CN202010975337.XA patent/CN112039670B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190116035A1 (en) * | 2017-10-17 | 2019-04-18 | Comsats Institute Of Information Technology | Post-Quantum Cryptographic Communication Protocol |
| CN110224829A (zh) * | 2019-06-14 | 2019-09-10 | 深圳职业技术学院 | 基于矩阵的后量子加密方法及装置 |
| CN110519226A (zh) * | 2019-07-16 | 2019-11-29 | 如般量子科技有限公司 | 基于非对称密钥池和隐式证书的量子通信服务端保密通信方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 潘峰;: "后量子密码体制在信息安全等级保护中的运用分析", 信息与电脑(理论版) * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022206183A1 (en) * | 2021-03-30 | 2022-10-06 | International Business Machines Corporation | Post-quantum cryptography secured execution environments for edge devices |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112039670B (zh) | 2023-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10142107B2 (en) | Token binding using trust module protected keys | |
| US10003465B2 (en) | System and method of encrypting authentication information | |
| CN108199835B (zh) | 一种多方联合私钥解密方法 | |
| EP3841702B1 (en) | Method, user device, management device, storage medium and computer program product for key management | |
| CN102547688B (zh) | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 | |
| WO2014107977A1 (zh) | 密钥保护方法和系统 | |
| JP2011125020A (ja) | 非証明書公開キーインフラストラクチャーに基づく、安全なクライアント・サーバー間の通信を設計するシステムおよび方法 | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| US9712519B2 (en) | Efficient encryption, escrow and digital signatures | |
| CN111429138A (zh) | 区块链节点数据安全交互方法及第一交互节点 | |
| CN102857479A (zh) | 网络通讯的加密方法和系统 | |
| CN109767218A (zh) | 区块链证书处理方法及系统 | |
| CN110380859B (zh) | 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN112118098B (zh) | 后量子安全增强数字信封方法、装置及系统 | |
| US7971234B1 (en) | Method and apparatus for offline cryptographic key establishment | |
| CN111049738B (zh) | 基于混合加密的电子邮件数据安全保护方法 | |
| CN115065472A (zh) | 基于多密钥加密解密的安全芯片加密解密方法及装置 | |
| CN114389860B (zh) | 语音通信方法、客户端、服务端、电子设备及存储介质 | |
| CN111654503A (zh) | 一种远程管控方法、装置、设备及存储介质 | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
| CN114139176A (zh) | 一种基于国密的工业互联网核心数据的保护方法及系统 | |
| WO2020042023A1 (zh) | 一种即时通信的数据加密方法及装置 | |
| CN112039670B (zh) | 后量子增强加密通道构建方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |