CN112865965B - 一种基于量子密钥的列车业务数据处理方法及系统 - Google Patents

一种基于量子密钥的列车业务数据处理方法及系统 Download PDF

Info

Publication number
CN112865965B
CN112865965B CN202110141676.2A CN202110141676A CN112865965B CN 112865965 B CN112865965 B CN 112865965B CN 202110141676 A CN202110141676 A CN 202110141676A CN 112865965 B CN112865965 B CN 112865965B
Authority
CN
China
Prior art keywords
key
sata
locomotive
quantum
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110141676.2A
Other languages
English (en)
Other versions
CN112865965A (zh
Inventor
左美向
王震
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Liangantong Information Technology Co ltd
Original Assignee
Anhui Liangantong Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Liangantong Information Technology Co ltd filed Critical Anhui Liangantong Information Technology Co ltd
Priority to CN202110141676.2A priority Critical patent/CN112865965B/zh
Publication of CN112865965A publication Critical patent/CN112865965A/zh
Application granted granted Critical
Publication of CN112865965B publication Critical patent/CN112865965B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出了一种基于量子密钥的列车业务数据处理方法及系统,包括:机车客户端接收来自机车的业务数据处理请求后,调用SATA密码模块进入启动业务数据加密进程;SATA密码模块自行判断是否存在有效的静态会话密钥对和应用密钥对,若不存在,进入SATA密码模块自检模式,若存在,对业务数据进行加密并签名运算,将加密后的第一加密数据由机车客户端发送至机车服务端,机车服务端调用量子安全服务平台对第一加密数据进行解密,将解密后的数据密文返回至机车服务端,由机车服务端对业务数据进行相应处理。本发明实现列车运行生产数据从车端到业务后台间数据加密传输,从而为机车运行控制、状态采集及敏感数据传输提供全面的密码防护。

Description

一种基于量子密钥的列车业务数据处理方法及系统
技术领域
本发明属于量子加密领域,具体涉及一种基于量子密钥的列车业务数据处理方法及系统。
背景技术
当前,网络信息安全现状日趋严峻,安全威胁逐渐由以破坏为目标,转向以窃取数据为目标。国家相关法律法规逐渐完善,监管更加严格,数据安全相关标准及管理办法正在制定中。密码作为信息安全技术的核心技术和基础支撑,也是保护数据安全的关键技术。而现有密码技术,伴随量子计算的发展带来的威胁,让量子保密通信技术及应用受到广泛关注。其中,量子密钥分发及量子随机数发生器技术能够提高密码核心的密钥安全级别,并能够应对未来量子计算对现有非对称密码体系的威胁,其推广得到国家大力支持。
现有机车通信系统通常采用国际通用密码算法(如RSA、AES、SHA系列等)及配套国际标准密码卡来实现通信及调度安全,安全强度及安全性得不到保证。
发明内容
本发明的目的在于针对现有技术的不足之处,提出了一种基于量子密钥的列车业务数据处理方法及系统。基于SATA密码模块的机车数据采集及通信系统,为业务数据提供机密性、完整性、真实性及不可否认性共四个方面的密码功能,为机车运行控制、状态采集及敏感数据传输提供全面的密码防护。
根据本发明的实施例,本发明提出了一种基于量子密钥的列车业务数据处理方法,所述方法包括:
机车客户端接收来自机车的业务数据处理请求后,调用SATA密码模块进入启动业务数据加密进程;
所述SATA密码模块自行判断是否存在有效的静态会话密钥对和应用密钥对,如果不存在,则进入SATA密码模块自检模式,如果存在,则对业务数据进行加密并签名运算,然后将加密后的第一加密数据由机车客户端发送至机车服务端,所述机车服务端调用量子安全服务平台对所述第一加密数据进行解密,将解密后的数据密文返回至机车服务端,由机车服务端对所述业务数据进行相应处理。
进一步的,调用SATA密码模块进入启动业务数据加密进程步骤之前还包括SATA密码模块的密钥注册步骤,具体为:
所述量子安全服务平台接收所述SATA密码模块的量子密钥注册请求,首先读取SATA密码模块设备信息,并解析SATA密码模块的设备编号;其次,初始SATA密码模块设备化接口,所述SATA密码模块在设备内部生成设备签名密钥对,输出签名密钥对的公钥明文,并存储公私钥对;
所述量子安全服务平台将所述设备编号和设备签名公钥明文发送给所述量子安全服务平台的密钥管理系统服务端,所述量子安全服务平台密钥管理系统服务端产生服务端公私钥对、SM2加密密钥对、静态会话密钥、应用密钥对,用SATA密码模块的设备签名公钥加密SM2加密密钥对以及服务端公钥以形成第二加密数据,返回给所述量子安全服务平台密钥管理系统前端,同时将产生的所有密钥加密保存在数据库中;
将所述第二加密数据发送给SATA密码模块,使用SATA密码模块设备签名密钥对的私钥解密加密密钥对及服务端公钥的密文,将加密密钥对、服务端公钥明文存储在SATA密码模块中,完成密钥注册。
进一步的,调用SATA密码模块进入启动业务数据加密进程步骤之前,密钥注册完成之后还包括SATA密码模块的密钥更新步骤。
进一步的,如果不存在有效的静态会话密钥对和应用密钥对,则进入SATA密码模块自检模式,还包括:
所述SATA密码模块检查是否存在有效的加密密钥对,如果没有则返回失败;如果有,所述SATA密码模块建立与所述量子安全服务平台的会话密钥协商进程,对所述业务数据使用协商的会话密钥进行加密,然后将业务数据密文返回给机车服务端,机车服务端调用量子安全平台服务进行解密,将数据明文返回给机车服务端对所述业务数据进行相应处理。
进一步的,如果不存在有效的静态会话密钥对和应用密钥对,则进入SATA密码模块自检模式,还包括:
所述SATA密码模块自检是否完成注册,如果没有注册则返回失败,如果已经注册,提取SATA模块的设备信息,并使用签名私钥对设备信息进行签名,将设备信息以及签名数据发送至密钥代理Agent;
所述密钥代理Agent将设备信息和签名数据由密钥代理服务端发送至量子安全服务平台,量子安全服务平台对接收到的签名数据用SATA密码模块的设备签名公钥进行验签,验签通过后检查设备注册状态,如果出现异常或失败,则直接向密钥代理服务端返回对应错误码,密钥代理服务端向密钥代理Agent响应对应错误码;
如果没有出现异常,所述量子安全服务平台从数据库获取静态会话密钥、应用密钥对,用加密密钥对中的公钥加密静态会话密钥及应用密钥对,再用量子安全服务平台的密钥管理系统服务端的私钥对加密数据进行签名,将加密数据和签名数据由密钥代理服务端下发给密钥代理Agent;
密钥代理Agent调用SATA密码模块,用机车服务端公钥进行验签,验签通过后,SATA密码模块用加密密钥对中的私钥解密并存储静态会话密钥及应用密钥对。
进一步的,所述业务数据处理方法还包括SATA密码模块的注销步骤,具体为:
当SATA密码模块停止使用或异常情况下需要销毁终端密钥时,通过复位以销毁SATA密码模块中的密钥,所述量子安全服务平台密钥管理系统服务端强制删除下线的密码模块密钥信息。
进一步的,会话密钥对为对称密钥,应用密钥对为非对称密钥。
进一步的,所述方法还包括SATA密码模块初始化的步骤,具体为:
所述SATA密码模块创建容器,生成机车客户端的签名公私钥对,并将公钥发送至机车服务端;
所述机车服务端生成机车客户端用户标识,并调用量子随机数发生器QRNG产生的随机数生成加密公私钥对,机车服务端与量子安全服务平台存储量子对称密钥,所述机车服务端用量子对称密钥加密私钥对,将所述用户标识、加密公钥明文、加密私钥密文发送至机车客户端;
所述机车客户端将加密公私钥对导入容器,并将SATA密码模块的设备标识修改为用户标识,完成SATA密码模块初始化。
进一步的,所述括SATA密码模块初始化的步骤还包括,当所述量子对称密钥的剩余量小于总存储量时,通过调用QRNG产生量子随机数产生量子对称密钥,由加密公钥加密发送至SATA密码模块的容器中以完成量子对称密钥的更新。
根据本发明的实施例,本发明还提出了一种基于量子密钥的列车业务数据处理系统,所述系统包括:机车客户端、机车服务端、SATA模块以及量子安全服务平台,以执行上述的列车业务数据处理方法。
本发明通过在业务后台部署量子安全服务平台,业务后台调用平台服务接口,列车工控机安装加密模块,和车端进行对接,实现列车运行生产数据从车端到业务后台间数据加密传输。量子安全服务平台使用量子随机数发生器作为随机数源,各类密钥均调用量子随机数产生,提高密钥的安全级别。本发明的系统支持接入量子密钥分发网络,实现远距离业务节点间数据的安全传输。
本发明提出的基于量子密钥的列车业务数据处理方法及系统基于微服务架构,能对不同操作系统的上层业务安全接口和下层硬件密码设备指令进行定制开发。本发明的系统对接量子网络,提供统一的密钥服务。本方案后续可扩展为全方位的应用安全解决方案,为业务系统实现高性能、统一且容易理解的安全接口,让应用安全人员方便调用,而无需解决复杂的安全问题,降低应用安全实现成本。
附图说明
图1为本发明提出的基于量子密钥的列车业务数据处理方法流程图
图2为本发明提出的基于量子密钥的列车业务数据处理方法一实施例图
具体实施方式
为便于理解,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,根据本发明的实施例,本发明提出了一种基于量子密钥的列车业务数据处理方法,所述方法包括:
步骤S101.机车客户端接收来自机车的业务数据处理请求后,调用SATA密码模块进入启动业务数据加密进程;
步骤S102.所述SATA密码模块自行判断是否存在有效的静态会话密钥对和应用密钥对,如果不存在,进入步骤S103,否则进入步骤S104。
步骤S103.进入SATA密码模块自检模式。
步骤S104.则对业务数据进行加密并签名运算,然后将加密后的第一加密数据由机车客户端发送至机车服务端,所述机车服务端调用量子安全服务平台对所述第一加密数据进行解密,将解密后的数据密文返回至机车服务端,由机车服务端对所述业务数据进行相应处理。
根据本发明的实施例,本发明的SATA模块采用标准SATA物理接口,并自定义信号意义及排序,其管脚包括了USB差分信号传输、模块复位信号、模块状态信号、模块密钥销毁信号等。支持初始状态及就绪状态,用户首次拿到的SATA密码为初始状态,其内部写入标准结构的设备信息,使用前需要使用密码管理工具生成密钥,将密码模块的状态迁移至就绪状态。密码模块的用户分为管理员和操作员,管理员拥有密码模块操作的所有权限,主要完成设备密钥的生成,密钥加密密钥和会话密钥的安装、备份和恢复等密钥管理工作,操作员可以生成用户密钥,主要完成涉及用户业务的国密标准API接口的调用。
本发明的SATA密码模块硬件结构包括SSX1707安全芯片、USB总线上的浪涌抑制芯片、共模电感以及电源管理芯片等。SATA密码模块以背板的形式固定在CPCI卡上,通过SATA物理接口和CPCI卡连接,运行USB总线协议。
本发明的SATA密码模块采用了三级密钥管理机制:
第一级密钥
保护密钥用于对ECC密钥对私钥的加密。私钥访问控制码、设备序列号和32字节的随机数混合和做SM3运算,其结果作为保护密钥。
第二级密钥
密码模块位于初始状态时,管理员登录后可生成设备密钥,私钥使用保护密钥加密存储。设备密钥不向用户业务开放,仅用于密钥管理流程中的设备级认证和数据加解密。
密码模块部署到用户终端后,用户以操作员身份登录,可生成用户密钥。用户密钥用户用户业务数据的处理时的身份认证和数据加解密。
密钥加密密钥由密钥管理中心产生,使用设备密钥加密。密钥加密密钥密文下发到用户终端后,用户要以管理员身份导入该密钥。
第三级密钥:会话密钥
会话密钥主要用于用户数据加解密运算和MAC计算,一次会话更换一次会话密钥,导出设备时使用密钥加密密钥加密导出,导入设备时使用密钥加密密钥解密导入。会话密钥的产生、传输和使用过程中,均没有以明文方式出现在SATA密码模块外。
本发明提出的基于量子密钥的列车业务数据处理方法,将SATA模块部署到列车中,形成基于列车客户端、列车服务端以及SATA模块的TCP/IP协议的数据通信模型。
在SATA模块应用到列车业务数据处理过程中,包括SATA密码模块的密钥注册步骤,具体为:
量子安全服务平台接收SATA密码模块的量子密钥注册请求,首先读取SATA密码模块设备信息,并解析SATA密码模块的设备编号;其次,初始SATA密码模块设备化接口,SATA密码模块在设备内部生成设备签名密钥对,输出签名密钥对的公钥明文,并存储公私钥对;
量子安全服务平台将设备编号和设备签名公钥明文发送给量子安全服务平台的密钥管理系统服务端,量子安全服务平台密钥管理系统服务端产生服务端公私钥对、SM2加密密钥对、静态会话密钥、应用密钥对,用SATA密码模块的设备签名公钥加密SM2加密密钥对以及服务端公钥以形成第二加密数据,返回给量子安全服务平台密钥管理系统前端,同时将产生的所有密钥加密保存在数据库中;
将第二加密数据发送给SATA密码模块,使用SATA密码模块设备签名密钥对的私钥解密加密密钥对及服务端公钥的密文,将加密密钥对、服务端公钥明文存储在SATA密码模块中,完成密钥注册。
在本发明中,密钥注册完成之后还包括SATA密码模块的密钥更新。
在步骤S103中,如果不存在有效的静态会话密钥对和应用密钥对,则进入SATA密码模块自检模式,包括:
SATA密码模块检查是否存在有效的加密密钥对,如果没有则返回失败;如果有,SATA密码模块建立与量子安全服务平台的会话密钥协商进程,对业务数据使用协商的会话密钥进行加密,然后将业务数据密文返回给机车服务端,机车服务端调用量子安全平台服务进行解密,将数据明文返回给机车服务端对业务数据进行相应处理。
在步骤S103中,如果不存在有效的静态会话密钥对和应用密钥对,则进入SATA密码模块自检模式,还包括:
SATA密码模块自检是否完成注册,如果没有注册则返回失败,如果已经注册,提取SATA模块的设备信息,并使用签名私钥对设备信息进行签名,将设备信息以及签名数据发送至密钥代理Agent;
密钥代理Agent将设备信息和签名数据由密钥代理服务端发送至量子安全服务平台,量子安全服务平台对接收到的签名数据用SATA密码模块的设备签名公钥进行验签,验签通过后检查设备注册状态,如果出现异常或失败,则直接向密钥代理服务端返回对应错误码,密钥代理服务端向密钥代理Agent响应对应错误码;
如果没有出现异常,量子安全服务平台从数据库获取静态会话密钥、应用密钥对,用加密密钥对中的公钥加密静态会话密钥及应用密钥对,再用量子安全服务平台的密钥管理系统服务端的私钥对加密数据进行签名,将加密数据和签名数据由密钥代理服务端下发给密钥代理Agent;
密钥代理Agent调用SATA密码模块,用机车服务端公钥进行验签,验签通过后,SATA密码模块用加密密钥对中的私钥解密并存储静态会话密钥及应用密钥对。
本发明中,业务数据处理方法还包括SATA密码模块的注销步骤,具体为:
当SATA密码模块停止使用或异常情况下需要销毁终端密钥时,通过复位以销毁SATA密码模块中的密钥,量子安全服务平台密钥管理系统服务端强制删除下线的密码模块密钥信息。
在本发明中,会话密钥对为对称密钥,应用密钥对为非对称密钥。
如图2所示,本发明中,业务数据处理方法还包括SATA密码模块初始化的步骤,具体为:
SATA密码模块创建容器,生成机车客户端的签名公私钥对,并将公钥发送至机车服务端;
机车服务端生成机车客户端用户标识,并调用量子随机数发生器QRNG产生的随机数生成加密公私钥对,机车服务端与量子安全服务平台存储量子对称密钥,机车服务端用量子对称密钥加密私钥对,将用户标识、加密公钥明文、加密私钥密文发送至机车客户端;
机车客户端将加密公私钥对导入容器,并将SATA密码模块的设备标识修改为用户标识,完成SATA密码模块初始化。
当量子对称密钥的剩余量小于总存储量时,通过调用QRNG产生量子随机数产生量子对称密钥,由加密公钥加密发送至SATA密码模块的容器中以完成量子对称密钥的更新。
根据本发明的实施例,本发明还提出了一种基于量子密钥的列车业务数据处理系统,系统包括:机车客户端、机车服务端、SATA模块以及量子安全服务平台,以执行上述的列车业务数据处理方法。
对于本领域技术人员而言,显然本发明实施例不限于上述示范性实施例的细节,而且在不背离本发明实施例的精神或基本特征的情况下,能够以其他的具体形式实现本发明实施例。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明实施例的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明实施例内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统、装置或终端权利要求中陈述的多个单元、模块或装置也可以由同一个单元、模块或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施方式仅用以说明本发明实施例的技术方案而非限制,尽管参照以上较佳实施方式对本发明实施例进行了详细说明,本领域的普通技术人员应当理解,可以对本发明实施例的技术方案进行修改或等同替换都不应脱离本发明实施例的技术方案的精神和范围。

Claims (6)

1.一种基于量子密钥的列车业务数据处理方法,其特征在于,所述方法包括:
机车客户端接收来自机车的业务数据处理请求后,调用SATA密码模块进入启动业务数据加密进程;
所述SATA密码模块自行判断是否存在有效的静态会话密钥对和应用密钥对,如果不存在,则进入SATA密码模块自检模式,如果存在,则对业务数据进行加密并签名运算,然后将加密后的第一加密数据由机车客户端发送至机车服务端,所述机车服务端调用量子安全服务平台对所述第一加密数据进行解密,将解密后的数据密文返回至机车服务端,由机车服务端对所述业务数据进行相应处理;
调用SATA密码模块进入启动业务数据加密进程步骤之前还包括SATA密码模块的密钥注册步骤,具体为:
所述量子安全服务平台接收所述SATA密码模块的量子密钥注册请求,首先读取SATA密码模块设备信息,并解析SATA密码模块的设备编号;其次,初始SATA密码模块设备化接口,所述SATA密码模块在设备内部生成设备签名密钥对,输出签名密钥对的公钥明文,并存储公私钥对;
所述量子安全服务平台将所述设备编号和设备签名公钥明文发送给所述量子安全服务平台的密钥管理系统服务端,所述量子安全服务平台密钥管理系统服务端产生服务端公私钥对、SM2加密密钥对、静态会话密钥、应用密钥对,用SATA密码模块的设备签名公钥加密SM2加密密钥对以及服务端公钥以形成第二加密数据,返回给所述量子安全服务平台密钥管理系统前端,同时将产生的所有密钥加密保存在数据库中;
将所述第二加密数据发送给SATA密码模块,使用SATA密码模块设备签名密钥对的私钥解密加密密钥对及服务端公钥的密文,将加密密钥对、服务端公钥明文存储在SATA密码模块中,完成密钥注册;
调用SATA密码模块进入启动业务数据加密进程步骤之前,密钥注册完成之后还包括SATA密码模块的密钥更新步骤;
如果不存在有效的静态会话密钥对和应用密钥对,则进入SATA密码模块自检模式,还包括:
所述SATA密码模块检查是否存在有效的加密密钥对,如果没有则返回失败;如果有,所述SATA密码模块建立与所述量子安全服务平台的会话密钥协商进程,对所述业务数据使用协商的会话密钥进行加密,然后将业务数据密文返回给机车服务端,机车服务端调用量子安全平台服务进行解密,将数据明文返回给机车服务端对所述业务数据进行相应处理;
如果不存在有效的静态会话密钥对和应用密钥对,则进入SATA密码模块自检模式,还包括:
所述SATA密码模块自检是否完成注册,如果没有注册则返回失败,如果已经注册,提取SATA模块的设备信息,并使用签名私钥对设备信息进行签名,将设备信息以及签名数据发送至密钥代理Agent;
所述密钥代理Agent将设备信息和签名数据由密钥代理服务端发送至量子安全服务平台,量子安全服务平台对接收到的签名数据用SATA密码模块的设备签名公钥进行验签,验签通过后检查设备注册状态,如果出现异常或失败,则直接向密钥代理服务端返回对应错误码,密钥代理服务端向密钥代理Agent响应对应错误码;
如果没有出现异常,所述量子安全服务平台从数据库获取静态会话密钥、应用密钥对,用加密密钥对中的公钥加密静态会话密钥及应用密钥对,再用量子安全服务平台的密钥管理系统服务端的私钥对加密数据进行签名,将加密数据和签名数据由密钥代理服务端下发给密钥代理Agent;
密钥代理Agent调用SATA密码模块,用机车服务端公钥进行验签,验签通过后,SATA密码模块用加密密钥对中的私钥解密并存储静态会话密钥及应用密钥对。
2.如权利要求1所述的基于量子密钥的列车业务数据处理方法,其特征在于,所述业务数据处理方法还包括SATA密码模块的注销步骤,具体为:
当SATA密码模块停止使用或异常情况下需要销毁终端密钥时,通过复位以销毁SATA密码模块中的密钥,所述量子安全服务平台密钥管理系统服务端强制删除下线的密码模块密钥信息。
3.如权利要求2所述的基于量子密钥的列车业务数据处理方法,其特征在于,会话密钥对为对称密钥,应用密钥对为非对称密钥。
4.如权利要求3所述的基于量子密钥的列车业务数据处理方法,其特征在于,所述方法还包括SATA密码模块初始化的步骤,具体为:
所述SATA密码模块创建容器,生成机车客户端的签名公私钥对,并将公钥发送至机车服务端;
所述机车服务端生成机车客户端用户标识,并调用量子随机数发生器QRNG产生的随机数生成加密公私钥对,机车服务端与量子安全服务平台存储量子对称密钥,所述机车服务端用量子对称密钥加密私钥对,将所述用户标识、加密公钥明文、加密私钥密文发送至机车客户端;
所述机车客户端将加密公私钥对导入容器,并将SATA密码模块的设备标识修改为用户标识,完成SATA密码模块初始化。
5.如权利要求4所述的基于量子密钥的列车业务数据处理方法,其特征在于,所述括SATA密码模块初始化的步骤还包括,当所述量子对称密钥的剩余量小于总存储量时,通过调用QRNG产生量子随机数产生量子对称密钥,由加密公钥加密发送至SATA密码模块的容器中以完成量子对称密钥的更新。
6.一种基于量子密钥的列车业务数据处理系统,其特征在于,所述系统包括:机车客户端、机车服务端、SATA密码模块以及量子安全服务平台,以执行如权利要求1-5任一所述的列车业务数据处理方法。
CN202110141676.2A 2021-02-02 2021-02-02 一种基于量子密钥的列车业务数据处理方法及系统 Active CN112865965B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110141676.2A CN112865965B (zh) 2021-02-02 2021-02-02 一种基于量子密钥的列车业务数据处理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110141676.2A CN112865965B (zh) 2021-02-02 2021-02-02 一种基于量子密钥的列车业务数据处理方法及系统

Publications (2)

Publication Number Publication Date
CN112865965A CN112865965A (zh) 2021-05-28
CN112865965B true CN112865965B (zh) 2022-11-01

Family

ID=75986052

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110141676.2A Active CN112865965B (zh) 2021-02-02 2021-02-02 一种基于量子密钥的列车业务数据处理方法及系统

Country Status (1)

Country Link
CN (1) CN112865965B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102326137B1 (ko) * 2021-06-30 2021-11-15 대아티아이 (주) 양자암호화 통신기술을 적용한 고속철도 관제시스템 및 그 운영 방법
CN113706170A (zh) * 2021-08-26 2021-11-26 国科量子通信网络有限公司 量子智能服务码防伪系统
CN114398688A (zh) * 2021-12-29 2022-04-26 江苏亨通问天量子信息研究院有限公司 一种基于量子加密盒子的通信系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104077243A (zh) * 2014-07-10 2014-10-01 王爱华 Sata硬盘设备加密方法及系统
CN206922808U (zh) * 2017-03-02 2018-01-23 浙江神州量子网络科技有限公司 一种基于量子加密的智能汽车通信系统以及量子车载终端

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10095981B1 (en) * 2017-03-22 2018-10-09 Accenture Global Solutions Limited Multi-state quantum optimization engine
US10855451B1 (en) * 2017-08-02 2020-12-01 Seagate Technology Llc Removable circuit for unlocking self-encrypting data storage devices
CN110753321A (zh) * 2018-07-24 2020-02-04 上汽通用五菱汽车股份有限公司 一种车载tbox与云服务器的安全通信方法
CN110768938A (zh) * 2018-07-27 2020-02-07 上海汽车集团股份有限公司 一种车辆安全通信方法及装置
CN109657502A (zh) * 2018-12-11 2019-04-19 于哲 一种基于国产密码算法的sata桥接实时传输加密系统及方法
CN109688585B (zh) * 2018-12-28 2023-10-13 卡斯柯信号有限公司 应用于列车监控系统的车地无线通信加密方法与装置
CN109948390A (zh) * 2019-04-13 2019-06-28 北京京投亿雅捷交通科技有限公司 一种轨道交通国密读写器
CN111212400B (zh) * 2020-01-14 2022-12-30 南京如般量子科技有限公司 基于秘密共享和移动终端的抗量子计算车联网系统及其认证方法
CN112257119B (zh) * 2020-10-20 2022-10-28 河北素数信息安全有限公司 一种身份认证方法及用于保证加密装置安全的保护方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104077243A (zh) * 2014-07-10 2014-10-01 王爱华 Sata硬盘设备加密方法及系统
CN206922808U (zh) * 2017-03-02 2018-01-23 浙江神州量子网络科技有限公司 一种基于量子加密的智能汽车通信系统以及量子车载终端

Also Published As

Publication number Publication date
CN112865965A (zh) 2021-05-28

Similar Documents

Publication Publication Date Title
CN112865965B (zh) 一种基于量子密钥的列车业务数据处理方法及系统
CN106656503B (zh) 密钥存储方法、数据加解密方法、电子签名方法及其装置
CN109361668A (zh) 一种数据可信传输方法
CN110519309B (zh) 数据传输方法、装置、终端、服务器及存储介质
CN112000975A (zh) 一种密钥管理系统
CN112702318A (zh) 一种通讯加密方法、解密方法、客户端及服务端
CN102986161B (zh) 用于对应用进行密码保护的方法和系统
CN111131278A (zh) 数据处理方法及装置、计算机存储介质、电子设备
CN112685786B (zh) 一种金融数据加密、解密方法、系统、设备及存储介质
CN105099705A (zh) 一种基于usb协议的安全通信方法及其系统
WO2023151427A1 (zh) 量子密钥传输方法、装置及系统
CN112765626A (zh) 基于托管密钥授权签名方法、装置、系统及存储介质
CN111435390A (zh) 一种配电终端运维工具安全防护方法
CN111654503A (zh) 一种远程管控方法、装置、设备及存储介质
CN110611679A (zh) 一种数据传输方法、装置、设备及系统
CN114139176A (zh) 一种基于国密的工业互联网核心数据的保护方法及系统
CN109792380B (zh) 一种传递密钥的方法、终端及系统
CN114978769B (zh) 单向导入装置、方法、介质、设备
CN111092860A (zh) 一种医疗数据安全交互传输模块
CN113722726B (zh) 基于软硬件协同的加解密方法及系统
CN115333732A (zh) 一种物联网设备防克隆结构与方法
CN118054901B (zh) 基于密钥标识快速传递的网络通信方法及存储装置
CN114095156B (zh) 一种轨道交通移动终端数据保护方法
CN118300905B (zh) 基于保密认证模式的密文传输方法、装置、设备及介质
CN115544583B (zh) 一种服务器密码机的数据处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant