CN113691373B - 一种基于联盟区块链的抗量子密钥托管系统及方法 - Google Patents

一种基于联盟区块链的抗量子密钥托管系统及方法 Download PDF

Info

Publication number
CN113691373B
CN113691373B CN202110965782.2A CN202110965782A CN113691373B CN 113691373 B CN113691373 B CN 113691373B CN 202110965782 A CN202110965782 A CN 202110965782A CN 113691373 B CN113691373 B CN 113691373B
Authority
CN
China
Prior art keywords
key
escrow
ess
node
contract
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110965782.2A
Other languages
English (en)
Other versions
CN113691373A (zh
Inventor
徐士伟
孙奥
蔡晓雯
程文静
杜乐
王芹
李国亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Donghu Big Data Technology Co ltd
Huazhong Agricultural University
Original Assignee
Wuhan Donghu Big Data Trading Center Co ltd
Huazhong Agricultural University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Donghu Big Data Trading Center Co ltd, Huazhong Agricultural University filed Critical Wuhan Donghu Big Data Trading Center Co ltd
Priority to CN202110965782.2A priority Critical patent/CN113691373B/zh
Publication of CN113691373A publication Critical patent/CN113691373A/zh
Application granted granted Critical
Publication of CN113691373B publication Critical patent/CN113691373B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于联盟区块链的抗量子密钥托管系统及方法,系统包括:发送方节点发送秘密数据M给接收方节点之前,离线协商好会话密钥SK;发送节点调用发送方合约,基于会话密钥SK对发送的秘密数据M进行加密得到加密数据C;接收方节点调用接收方合约,基于会话密钥SK对接收的加密数据C进行解密得到秘密数据M;发送方节点还调用托管合约,用抗量子公私钥对中的公钥生成托管共享密钥ESS,用托管共享密钥ESS对秘密数据M进行加密得到C';托管节点调用托管合约,基于抗量子公私钥对中的私钥得到托管共享密钥ESS;监管节点调用托管合约,基于托管节点得到的托管共享密钥ESS对C'进行解密,解决了现有基于联盟区块链的密钥托管系统不能抵抗量子计算机攻击的问题。

Description

一种基于联盟区块链的抗量子密钥托管系统及方法
技术领域
本发明涉及计算信息安全技术领域,尤其涉及一种基于联盟区块链的抗量子密钥托管系统及方法。
背景技术
联盟区块链已广泛用于不同场景中,成为了跨公司和跨组织的主要解决方案。作为分布式账本,联盟区块链具有显著优势,例如更好的安全性(尤其是数据完整性),更高的透明度,更强的可跟踪性等。一方面,鉴于其透明性和可追溯性的内在特征,在部署和运行区块链系统时,联盟区块链上数据的机密性很容易受到侵犯。因此,用户一般选择通过加密,来保护上传数据的机密性。另一方面,联盟区块链上的监管方则要求对用户上传的加密数据进行安全审计,在跨组织监督和管理的场景下,联盟区块链的这种需求异常强烈。例如,在金融监管和司法取证等特定环境下,普通用户希望通过加密保持其链上数据的机密性,但是监管方则希望对链上的加密数据进行监管。
一些联盟区块链例如Hyperledger Fabric(开源区块链分布式账本)和 Quorum,提供私有通道或对等网络,未经许可的参与者无法访问该通道保护的相关资源和数据。但是,私有通道不支持对加密数据的安全监管。
密钥托管是一种允许授权实体(如政府官员)在特定条件下(如获得法院许可后)可以获得并解密被加密数据的方法。因此,密钥托管为联盟区块链提供了一个兼顾数据机密性保护和数据安全监管的解决方案。
在经典的密钥托管系统中都严重依赖于非对称加密和解密算法来保护和恢复会话密钥(该会话密钥被用于进一步加密链上数据)。然而,由于量子计算机的快速发展,传统的非对称密码体系(如:RSA、ECDSA、ECIES) 在量子计算机的攻击下都会遭到毁灭性的打击,因此抗量子密码的研究和应用非常值得关注。在大量的关于抗量子密码的研究项目和标准化倡议中,国际标准和技术研究所(NIST)提出了抗量子公钥密码系统标准化,其中包括公钥加密/密钥封装机制和数字签名算法,目前正处于第三轮,预计在2021 年至2022年期间提交第一批国际标准草案。
由于NIST只提供了所有相关抗量子算法的KEM(密钥封装机制)模式,而不是非对称加解密算法,因此我们的系统是基于抗量子KEM来设计的。比较具有代表性的KEM有BIKE、HQC、NTRU等等。其中大部分的KEM基于四个数学方法来构造:1.格(Lattice-based)2.编码(Code-based)3.多变量(Multivariate-based)4.哈希(Hash-based)。它们都具有较好的安全性和性能,至少达到了AES-128的安全性。
密钥托管可以同时满足数据机密性保护和数据监管的要求。但是现有的技术缺少对传递信息的机密性保护,也无法抵抗量子计算机的攻击,名称为“一种区块链密钥托管方法及装置(公开号CN111339549A)”的中国发明专利申请公开了一种区块链密钥托管方法及装置,应用提供的一种区块链密钥托管方法及装置可以通过将区块链上需要保存的密钥存储于多个参与者来实现对密钥托管保护,防止密钥过于集中,被恶意攻击者恢复;在名称为“一种基于区块链的密钥扫码签名系统(公开号CN109886679A)”的中国发明申请公开一种基于区块链的密钥扫码签名系统,包括:管理模块,用于公私密钥对的创建、命名与签名记录管理;扫码模块,用于私钥对交易及对合约的部署与调用的私钥签名;备份模块,用于公私密钥对的备份与安全保护;托管模块,用于将密钥存储在浏览器端,完成密钥签名托管。该系统提供了一种便利的公私钥对在浏览器端托管的方法,通过一次扫码签名的方式,帮助用户更便捷的完成短时间内多笔交易的密钥签名托管的操作。但是在以上两个方案中,都没有采用抗量子计算的密码来实现。
发明内容
本发明针对现有技术中存在的技术问题,提供一种基于联盟区块链的抗量子密钥托管系统及方法,支持使用抗量子密码来进行密钥托管,用来在联盟区块链上提供了一个兼顾数据机密性保护和数据安全监管的密钥托管解决方案,解决了现有基于联盟区块链的密钥托管系统不能抵抗量子计算机攻击的问题。
根据本发明的第一方面,提供了一种基于联盟区块链的抗量子密钥托管系统,包括:数据共享组织、托管组织和监管组织;
所述托管组织包括托管节点,所述监管组织包括监管节点,所述托管节点和所述监管节点安装有发送方合约和托管合约;所述托管合约为每一个托管方各生成一对抗量子公私钥对;
所述数据共享组织包括发送方节点和接收方节点,所述发送方节点和接收方节点分别安装有发送方合约和接收方合约;所述发送方节点发送秘密数据M给所述接收方节点之前,离线协商好会话密钥SK;
所述发送方节点调用所述发送方合约,基于所述会话密钥SK对发送的所述秘密数据M进行加密得到加密数据C;所述接收方节点调用所述接收方合约,基于所述会话密钥SK对接收的所述加密数据C进行解密得到秘密数据M;
所述发送方节点还调用所述托管合约,用所述抗量子公私钥对中的公钥生成托管共享密钥ESS,用所述托管共享密钥ESS对所述秘密数据M进行加密得到C';
所述托管节点调用所述托管合约,基于所述抗量子公私钥对中的私钥得到所述托管共享密钥ESS;
所述监管节点调用所述托管合约,基于所述托管节点得到的所述托管共享密钥ESS对C'进行解密。
在上述技术方案的基础上,本发明还可以作出如下改进。
可选的,所述系统中区块链上的数据通过Key ID进行访问;
所述发送方节点发送秘密数据M给所述接收方节点之前,离线协商好所述发送方节点上传的数据的密钥和所述抗量子公私钥对中的公钥的 Key ID分别为SD key和EAPKkeys。
可选的,所述发送方节点调用所述发送方合约对发送的所述秘密数据M 进行加密的过程包括:
使用所述会话密钥SK对所述秘密数据M通过AES加密算法进行对称加密得到加密数据C,记为C=SEncSK(M),其中SEnc表示所述AES加密算法。
可选的,所述接收方节点调用所述接收方合约对接收的所述加密数据C 进行解密的过程包括:
所述接收方节点使用所述会话密钥SK通过AES解密算法解密所述加密数据C得到所述秘密数据M,记为M=SDecSK(C),SDec表示所述AES解密算法。
可选的,所述托管节点的数量为两个,托管节点一和托管节点二调用所述托管合约各生成一对抗量子公私钥对pubKey1/privKey1和pubKey2/ privKey2;pubKey1和pubKey2为所述抗量子公私钥对中的公钥,privKey1和privKey2所述抗量子公私钥对中的私钥;所述托管共享密钥ESS包括:托管共享密钥ESS1和ESS2
可选的,所述发送方节点调用所述托管合约对所述秘密数据M进行加密的过程包括:
所述发送方节点调用所述托管合约对所述公钥pubKey1和pubKey2执行封装操作,生成两个托管共享密钥ESS1和ESS2和两个密文CT1和CT2;所述 CT1和CT2分别用来封装ESS1和ESS2
所述发送方节点使用ESS使用AES加密算法加密所述秘密数据M得到 C'=SEncESS(M);其中ESS=ESS1⊕ESS2,SEnc表示所述AES加密算法;
所述发送方节点上传数据到区块链的链上数据库,所述发送方节点上传的数据包括C、C'、CT1和CT2
可选的,所述托管节点基于所述抗量子公私钥对中的私钥得到两个托管共享密钥ESS1和ESS2的过程包括:
所述托管节点一和托管节点二分别调用所述托管合约,根据存储在区块链上的CT1和CT2以及存储在各自离线数据库里的privKey1和privKey2分别恢复所述托管共享密钥ESS1和ESS2
ESS1=Decap(privKey1,CT1);
ESS2=Decap(privKey2,CT2);
Decap为所述托管合约中的实现恢复共享密钥的函数。
可选的,所述监管节点对C'进行解密的过程包括:
所述监管节点调用所述托管合约,对所述托管共享密钥ESS1和ESS2进行异或操作得到ESS,然后调用所述发送方合约得到C',基于函数C'= SEncESS(M)和得到的所述ESS对称解密C'得到所述秘密数据M。
根据本发明的第二方面,提供一种基于联盟区块链的抗量子密钥托管方法,包括:步骤1,建立区块链网络,启动所有的节点并在各个节点上安装对应的智能合约;获取离线协商好的所述发送方节点上传的数据的密钥和所述抗量子公私钥对中的公钥的Key ID;调用托管合约为每个托管方各生成一对所述抗量子公私钥对;
步骤2,所述发送方节点从离线私有数据库中读出所述秘密数据M;
步骤3,所述发送方节点调用所述发送方合约对发送的所述秘密数据M 进行加密;所述发送方节点调用所述托管合约,用所述抗量子公私钥对中的公钥生成托管共享密钥ESS,用所述托管共享密钥ESS对所述秘密数据M进行加密得到C';
步骤4,所述接收方节点调用所述接收方合约对接收的所述加密数据C 进行解密;
步骤5,所述托管节点调用所述托管合约,基于所述抗量子公私钥对中的私钥得到所述托管共享密钥ESS;所述监管节点调用所述托管合约,基于所述托管节点得到的所述托管共享密钥ESS对C'进行解密得到所述秘密数据 M。
本发明提供的一种基于联盟区块链的抗量子密钥托管系统及方法,在不依赖任何加密芯片的保护下,基于智能合约为联盟区块链设计了一种密钥托管系统,可以用于跨链下的数据机密性保护和数据安全监管。该系统主要基于智能合约,不依赖于联盟区块链的底层。该系统与当前N IST国际标准抗量子公钥加解密/密钥封装算法结合,不依赖于传统的非对称加解密算法,能够抵抗量子计算机对密码算法的攻击。
附图说明
图1为本发明提供的一种基于联盟区块链的抗量子密钥托管系统的实施例的交互示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
图1为本发明提供的一种基于联盟区块链的抗量子密钥托管系统的实施例的交互示意图,如图1所示,该系统包括:数据共享组织、托管组织和监管组织;智能合约包括:发送方合约、接收方合约和托管合约。
托管组织包括托管节点,监管组织包括监管节点,托管节点和监管节点安装有发送方合约和托管合约;托管合约为每一个托管方各生成一对抗量子公私钥对。
数据共享组织包括发送方节点和接收方节点,用来传递会话消息和将会话密钥托管给托管组织,发送方节点和接收方节点分别安装有发送方合约和接收方合约;发送方节点发送秘密数据M给接收方节点之前,离线协商好会话密钥SK。
发送方节点调用发送方合约,基于会话密钥SK对发送的秘密数据M进行加密得到加密数据C;接收方节点调用接收方合约,基于会话密钥SK对接收的加密数据C进行解密得到秘密数据M。
发送方节点还调用托管合约,用抗量子公私钥对中的公钥生成托管共享密钥ESS,用托管共享密钥ESS对秘密数据M进行加密得到C'。
当需要公开交换的秘密数据时,托管节点调用托管合约,基于抗量子公私钥对中的私钥得到托管共享密钥ESS;监管节点调用托管合约,基于托管节点得到的托管共享密钥ESS对C'进行解密。
秘密数据M被托管给托管节点,而监管节点可以从托管节点获得恢复的秘密数据M。
本发明将最新的抗量子密码与联盟区块链相结合,使该系统支持使用抗量子密码来进行密钥托管,用来在联盟区块链上提供了一个兼顾数据机密性保护和数据安全监管的密钥托管解决方案,解决了现有基于联盟区块链的密钥托管系统不能抵抗量子计算机攻击的问题。
实施例1
本发明提供的实施例1为本发明提供的一种基于联盟区块链的抗量子密钥托管系统的实施例,结合图1可知,该实施例包括:数据共享组织、托管组织和监管组织;智能合约包括:发送方合约、接收方合约和托管合约。
发送方合约包括生成发送方数据和获得发送方数据两个函数。生成发送方数据函数的功能是生成并上传发送方需要传递的数据;获得发送方数据函数的功能是从链上数据库读取发送方数据。
接收方合约包括解密函数,功能是读取链上秘密数据并解密。
托管合约包括生成密钥对、获得公钥、恢复共享密钥和解密四个函数。生成密钥对函数的功能是为托管代理方生成一对抗量子公私钥对,并且上传公钥,将私钥存储在离线数据库中。获得公钥函数的功能是从链上读取托管代理方的公钥。恢复共享密钥的函数功能是恢复共享密钥将其作为交换秘密数据的加密密钥。解密函数的功能是解密由共享密钥加密的秘密数据。
系统包括:数据共享组织、托管组织和监管组织;系统中区块链上的数据通过KeyID(密钥标识键)进行访问。
发送方节点发送秘密数据M给接收方节点之前,离线协商好发送方节点上传的数据的密钥和抗量子公私钥对中的公钥的Key ID分别为SD key和 EAPK keys。
即具体实施过程中,区块链上一个“发送-接受-监管”会话需要预先对发送方数据的密钥和托管代理方的公钥的Key ID(表示为SD key和 EAPKkeys)进行离线协商,类似于分别绑定到发送方链码和托管合约的成员变量。即接收方节点、托管节点和监管节点可以通过Key ID为SD key访问发送方节点发出的数据,发送方节点可以通过Key ID为EAPKkeys访问抗量子公私钥对中的公钥。图1中,EAPK表示托管代理方公钥,ESS表示托管共享密钥。
托管组织包括托管节点,监管组织包括监管节点,托管节点和监管节点安装有发送方合约和托管合约;托管合约为每一个托管方各生成一对抗量子公私钥对。
数据共享组织包括发送方节点和接收方节点,发送方节点和接收方节点分别安装有发送方合约和接收方合约。
发送方节点发送秘密数据M给接收方节点之前,离线协商好会话密钥 SK。
发送方节点调用发送方合约,基于会话密钥SK对发送的秘密数据M进行加密得到加密数据C;接收方节点调用接收方合约,基于会话密钥SK对接收的得到的加密数据C进行解密得到秘密数据M。
在一种可能的实施例方式中,发送方节点调用发送方合约对发送的秘密数据M进行加密的过程包括:
使用会话密钥SK对秘密数据M通过AES(Advanced Encryption Standard,高级加密标准)加密算法进行对称加密得到加密数据C(记为C=SEncSK (M)),其中SEnc表示AES加密算法。
接收方节点调用接收方合约对接收的- 加密数据 C 进行解密的过程包括:
接收方节点使用会话密钥SK通过AES解密算法解密加密数据C得到秘密数据M(记为M=SDecSK(C)),其中SDec表示所述AES解密算法。
发送方节点调用托管合约,用抗量子公私钥对中的公钥生成托管共享密钥ESS,用托管共享密钥ESS对秘密数据M进行加密得到C'。
在一种可能的实施例方式中,托管节点的数量为两个,托管节点一和托管节点二调用托管合约各生成一对抗量子公私钥对pubKey1/privKey1和 pubKey2/privKey2;pubKey1和pubKey2为抗量子公私钥对中的公钥, privKey1和privKey2抗量子公私钥对中的私钥;托管共享密钥ESS包括:托管共享密钥ESS1和ESS2
可以理解的是,抗量子公私钥对用来托管和恢复发送方节点和托管节点之间的共享密钥,将pubKey1和pubKey2以EAPKkeys为Key ID存储在链上,与托管合约绑定。
在一种可能的实施例方式中,发送方节点调用托管合约对秘密数据M进行加密的过程包括:
发送方节点调用托管合约对公钥pubKey1和pubKey2执行封装操作,生成两个托管共享密钥ESS1和ESS2和两个密文CT1和CT2;CT1和CT2分别用来封装ESS1和ESS2
发送方节点使用ESS使用AES加密算法加密秘密数据M得到C'(记为 C'=SEncESS(M);其中ESS=ESS1⊕ESS2,即ESS为ESS1和ESS2异或的结果),SEnc表示所述AES加密算法。
发送方节点上传数据到区块链的链上数据库,发送方节点上传的数据包括C、C'、CT1和CT2
可以理解的是,该上传的数据以SD key作为主键,SD key与发送方合约相绑定。
托管节点调用托管合约,基于抗量子公私钥对中的私钥得到托管共享密钥ESS。
在一种可能的实施例方式中,托管节点基于抗量子公私钥对中的私钥得到两个托管共享密钥ESS1和ESS2的过程包括:
托管节点一和托管节点二分别调用托管合约,根据存储在区块链上的 CT1和CT2以及存储在各自离线数据库里的privKey1和privKey2分别恢复托管共享密钥ESS1和ESS2
ESS1=Decap(privKey1,CT1)。
ESS2=Decap(privKey2,CT2)。
Decap为托管合约中的实现恢复共享密钥的函数。
具体实施中,可以将托管共享密钥ESS1和ESS2分别存储在对应的私有数据集1和私有数据集2中,可以理解的是,ESS1和ESS2在各个私有数据集中对应的KeyID分别为ESS key1和ESS key2
监管节点调用托管合约,基于托管节点得到的托管共享密钥ESS对C' 进行解密。
在一种可能的实施例方式中,监管节点对C'进行解密的过程包括:
监管节点调用托管合约,对托管共享密钥ESS1和ESS2进行异或操作得到 ESS,然后调用发送方合约得到C',基于函数C'=SEncESS(M)和得到的ESS 对称解密C'得到秘密数据M。
可以理解的是,基于背景技术中的缺陷,本发明实施例提出了一种基于联盟区块链的抗量子密钥托管系统,为了提供数据机密性保护功能,对于发送方传递的消息都使用了AES算法并根据预先协商好的会话密钥来进行数据加密;为了提供数据监管功能,为每个托管代理组织都生成了抗量子公私钥对用来加密和恢复所协商的会话密钥。除了保护数据机密性和数据监管,系统还设置了检查智能合约版本号,来防止恶意修改智能合约和伪造已安装链码。另外由于只存在有一个托管代理方时会出现托管代理方不可信的情况,该系统设置了两个托管组织,每个托管组织包含一个托管节点。而为了防止两个托管节点互相读取为监管节点准备的链上数据,该系统设置了两个私有数据集(记为私有数据集1和私有数据集2)用于对两个托管节点实施数据隔离。
实施例2
本发明提供的实施例2为本发明提供的一种基于联盟区块链的抗量子密钥托管方法的实施例,结合图1,首先建立区块链网络,在节点上安装需要的智能合约。发送方节点根据提前商议好的会话密钥将消息使用链码通过 AES算法进行加密上传至区块链,接收方节点从链码上下载加密数据进行解密。每一个托管节点会调用托管合约生成一对抗量子公私钥对用来托管和恢复发送方节点和托管节点之间的共享密钥。
具体的,该方法的实施例包括:
步骤1,初始化。
具体可以包括:建立区块链网络,启动所有的节点并在各个节点上安装对应的智能合约;即在发送方和接收方节点上安装发送方合约和接收方合约,在托管节点和监管节点上安装发送方合约和托管合约。
获取离线协商好的发送方节点上传的数据的密钥和抗量子公私钥对中的公钥的Key ID;离线协商好发送方节点上传的数据的密钥和抗量子公私钥对中的公钥的Key ID分别为SD key和EAPK keys。
调用托管合约为每个托管方各生成一对抗量子公私钥对。
调用托管合约为每一个托管方各生成一对抗量子公私钥对(表示为 pubKey1/privKey1和pubKey2/privKey2)用来托管和恢复发送方节点和托管节点之间的共享密钥。将pubKey1和pubKey2以EAPKkeys为Key ID存储在链上,与托管合约绑定。将privKey1和privKey2放在离线的数据库中。
步骤2,准备秘密数据。
具体可以包括:发送方节点从离线私有数据库(如:MySQL)中读出秘密数据M,并准备进行密钥托管过程。
步骤3,生成和上传加密秘密数据和被托管的密钥。
具体可以包括:发送方节点调用发送方合约对发送的秘密数据M进行加密;发送方节点调用托管合约,用抗量子公私钥对中的公钥生成托管共享密钥ESS,用托管共享密钥ESS对秘密数据M进行加密得到C'。
步骤4,下载和解密加密数据C。
具体可以包括:接收方节点调用接收方合约对接收的加密数据C进行解密得到秘密数据M:M=SDecSK(C)。
步骤5,恢复托管共享密钥ESS,解密C'得到秘密数据M。
具体可以包括:托管节点调用托管合约,基于抗量子公私钥对中的私钥得到托管共享密钥ESS;监管节点调用托管合约,基于托管节点得到的托管共享密钥ESS对C'进行解密得到秘密数据M。
可以理解的是,本发明提供的一种基于联盟区块链的抗量子密钥托管方法与前述各实施例提供的基于联盟区块链的抗量子密钥托管系统相对应,基于联盟区块链的抗量子密钥托管方法的相关技术特征可参考基于联盟区块链的抗量子密钥托管系统的相关技术特征,在此不再赘述。
本发明实施例提供的一种基于联盟区块链的抗量子密钥托管系统及方法,在不依赖任何加密芯片的保护下,基于智能合约为联盟区块链设计了一种密钥托管系统,可以用于跨链下的数据机密性保护和数据安全监管。该系统主要基于智能合约,不依赖于联盟区块链的底层。该系统与当前NIST国际标准抗量子公钥加解密/密钥封装算法结合,不依赖于传统的非对称加解密算法,能够抵抗量子计算机对密码算法的攻击。
需要说明的是,在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其它实施例的相关描述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包括这些改动和变型在内。

Claims (5)

1.一种基于联盟区块链的抗量子密钥托管系统,其特征在于,所述系统包括:数据共享组织、托管组织和监管组织;
所述托管组织包括托管节点,所述监管组织包括监管节点,所述托管节点和所述监管节点安装有发送方合约和托管合约;所述托管合约为每一个托管方各生成一对抗量子公私钥对;
所述数据共享组织包括发送方节点和接收方节点,所述发送方节点和接收方节点分别安装有发送方合约和接收方合约;所述发送方节点发送秘密数据M给所述接收方节点之前,离线协商好会话密钥SK;
所述发送方节点调用所述发送方合约,基于所述会话密钥SK对发送的所述秘密数据M进行加密得到加密数据C;所述接收方节点调用所述接收方合约,基于所述会话密钥SK对接收的所述加密数据C进行解密得到秘密数据M;
所述发送方节点还调用所述托管合约,用所述抗量子公私钥对中的公钥生成托管共享密钥ESS,用所述托管共享密钥ESS对所述秘密数据M进行加密得到C';
所述托管节点调用所述托管合约,基于所述抗量子公私钥对中的私钥得到所述托管共享密钥ESS;
所述监管节点调用所述托管合约,基于所述托管节点得到的所述托管共享密钥ESS对C'进行解密;
所述托管节点的数量为两个,托管节点一和托管节点二调用所述托管合约各生成一对抗量子公私钥对pubKey1/privKey1和pubKey2/privKey2;pubKey1和pubKey2为所述抗量子公私钥对中的公钥,privKey1和privKey2所述抗量子公私钥对中的私钥;所述托管共享密钥ESS包括:托管共享密钥ESS1和ESS2
所述发送方节点调用所述托管合约对所述秘密数据M进行加密的过程包括:
所述发送方节点调用所述托管合约对所述公钥pubKey1和pubKey2执行封装操作,生成两个托管共享密钥ESS1和ESS2和两个密文CT1和CT2;所述CT1和CT2分别用来封装ESS1和ESS2
所述发送方节点使用ESS使用AES加密算法加密所述秘密数据M得到C',C'=SEncESS(M);其中ESS=ESS1⊕ESS2,SEnc表示所述的AES加密算法;
所述发送方节点上传数据到区块链的链上数据库,所述发送方节点上传的数据包括C、C'、CT1和CT2
所述托管节点基于所述抗量子公私钥对中的私钥得到两个托管共享密钥ESS1和ESS2的过程包括:
所述托管节点一和托管节点二分别调用所述托管合约,根据存储在区块链上的CT1和CT2以及存储在各自离线数据库里的privKey1和privKey2分别恢复所述托管共享密钥ESS1和ESS2
ESS1=Decap(privKey1,CT1);
ESS2=Decap(privKey2,CT2);
Decap为所述托管合约中的实现恢复共享密钥的函数;
所述监管节点对C'进行解密的过程包括:
所述监管节点调用所述托管合约,对所述托管共享密钥ESS1和ESS2进行异或操作得到ESS,然后调用所述发送方合约得到C',基于函数C'=SEncESS(M)和得到的所述ESS对称解密C'得到所述秘密数据M。
2.根据权利要求1所述的系统,其特征在于,所述系统中区块链上的数据通过Key ID进行访问;
所述发送方节点发送秘密数据M给所述接收方节点之前,离线协商好所述发送方节点上传的数据的密钥和所述抗量子公私钥对中的公钥的Key ID分别为SD key和EAPK keys。
3.根据权利要求1所述的系统,其特征在于,所述发送方节点调用所述发送方合约对发送的所述秘密数据M进行加密的过程包括:
使用所述会话密钥SK对所述秘密数据M通过AES加密算法进行对称加密得到加密数据C,记为C=SEncSK(M),其中SEnc表示所述的AES加密算法。
4.根据权利要求3所述的系统,其特征在于,所述接收方节点调用所述接收方合约对接收的所述加密数据C进行解密的过程包括:
所述接收方节点使用所述会话密钥SK通过AES解密算法解密所述加密数据C得到所述秘密数据M,记为M=SDecSK(C),其中SDec表示所述AES解密算法。
5.一种基于权利要求1-4任一项所述的基于联盟区块链的抗量子密钥托管系统的托管方法,其特征在于,所述方法包括:
步骤1,建立区块链网络,启动所有的节点并在各个节点上安装对应的智能合约;获取离线协商好的所述发送方节点上传的数据的密钥和所述抗量子公私钥对中的公钥的KeyID;调用托管合约为每个托管方各生成一对所述抗量子公私钥对;
步骤2,所述发送方节点从离线私有数据库中读出所述秘密数据M;
步骤3,所述发送方节点调用所述发送方合约对发送的所述秘密数据M进行加密得到加密数据C;所述发送方节点调用所述托管合约,用所述抗量子公私钥对中的公钥生成托管共享密钥ESS,用所述托管共享密钥ESS对所述秘密数据M进行加密得到C';
步骤4,所述接收方节点调用所述接收方合约,对接收的所述加密数据C进行解密得到秘密数据M;
步骤5,所述托管节点调用所述托管合约,基于所述抗量子公私钥对中的私钥得到所述托管共享密钥ESS;所述监管节点调用所述托管合约,基于所述托管节点得到的所述托管共享密钥ESS对C'进行解密得到所述秘密数据M。
CN202110965782.2A 2021-08-20 2021-08-20 一种基于联盟区块链的抗量子密钥托管系统及方法 Active CN113691373B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110965782.2A CN113691373B (zh) 2021-08-20 2021-08-20 一种基于联盟区块链的抗量子密钥托管系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110965782.2A CN113691373B (zh) 2021-08-20 2021-08-20 一种基于联盟区块链的抗量子密钥托管系统及方法

Publications (2)

Publication Number Publication Date
CN113691373A CN113691373A (zh) 2021-11-23
CN113691373B true CN113691373B (zh) 2022-06-10

Family

ID=78581256

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110965782.2A Active CN113691373B (zh) 2021-08-20 2021-08-20 一种基于联盟区块链的抗量子密钥托管系统及方法

Country Status (1)

Country Link
CN (1) CN113691373B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115473639B (zh) * 2022-09-14 2024-09-24 南京首传信安科技有限公司 一种基于国密技术的抗量子计算方法及设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107623569A (zh) * 2017-09-30 2018-01-23 矩阵元技术(深圳)有限公司 基于秘密共享技术的区块链密钥托管和恢复方法、装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10992469B2 (en) * 2015-07-14 2021-04-27 Fmr Llc Seed splitting and firmware extension for secure cryptocurrency key backup, restore, and transaction signing platform apparatuses, methods and systems
US11282076B2 (en) * 2018-12-14 2022-03-22 American Express Travel Related Services Company, Inc. Transaction account data maintenance using blockchain
CN110690957B (zh) * 2019-10-18 2023-03-07 如般量子科技有限公司 抗量子计算私钥备份、挂失及恢复方法及系统
CN111884805B (zh) * 2020-06-24 2023-08-01 易联众信息技术股份有限公司 基于区块链及分布式身份的数据托管方法及系统
CN112003707A (zh) * 2020-08-25 2020-11-27 湖南宸瀚信息科技有限责任公司 一种抗量子计算攻击的区块链数字签名加密方法及系统
CN112054898B (zh) * 2020-08-27 2022-10-25 中信银行股份有限公司 用户私钥的备份与恢复方法、装置及电子设备

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107623569A (zh) * 2017-09-30 2018-01-23 矩阵元技术(深圳)有限公司 基于秘密共享技术的区块链密钥托管和恢复方法、装置

Also Published As

Publication number Publication date
CN113691373A (zh) 2021-11-23

Similar Documents

Publication Publication Date Title
US20230396426A1 (en) Communication network with cryptographic key management for symmetric cryptography
US9852300B2 (en) Secure audit logging
JP3560439B2 (ja) 暗号キーの回復を実行する装置
EP2697931B1 (en) Qkd key management system
US20170070340A1 (en) Homomorphically-created symmetric key
CN111130757A (zh) 一种基于区块链的多云cp-abe访问控制方法
US6535607B1 (en) Method and apparatus for providing interoperability between key recovery and non-key recovery systems
CN109547218B (zh) 一种改进bip协议的联盟链节点秘钥分配及备份系统
Sasi et al. A general comparison of symmetric and asymmetric cryptosystems for WSNs and an overview of location based encryption technique for improving security
TWI597960B (zh) 金鑰分裂技術
US7894608B2 (en) Secure approach to send data from one system to another
Harini et al. A novel security mechanism using hybrid cryptography algorithms
US20240097894A1 (en) Threshold key exchange
CN114095170A (zh) 数据处理方法、装置、系统及计算机可读存储介质
Kroll et al. Secure protocols for accountable warrant execution
CN113225302A (zh) 一种基于代理重加密的数据共享系统及方法
CN118540164A (zh) 互联网密钥交换协议的抗量子安全增强方法
CN113691373B (zh) 一种基于联盟区块链的抗量子密钥托管系统及方法
US11550933B2 (en) Enhanced security systems and methods using a hybrid security solution
US20240063999A1 (en) Multi-party cryptographic systems and methods
US20240114025A1 (en) Modification of device behavior for use in secure networking
KR102328896B1 (ko) 제3자 위탁 운영 시스템에 대한 암호키 배포 및 복구 방법
Whelihan et al. Shamrock: a synthesizable high assurance cryptography and key management coprocessor
Basu et al. Secured hierarchical secret sharing using ECC based signcryption
Contiu Applied Cryptographic Access Control for Untrusted Cloud Storage

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 430000 No.1 Shizishan street, Hongshan District, Wuhan City, Hubei Province

Patentee after: HUAZHONG AGRICULTURAL University

Country or region after: China

Patentee after: Wuhan Donghu Big Data Technology Co.,Ltd.

Address before: 430000 No.1 Shizishan street, Hongshan District, Wuhan City, Hubei Province

Patentee before: HUAZHONG AGRICULTURAL University

Country or region before: China

Patentee before: WUHAN DONGHU BIG DATA TRADING CENTER Co.,Ltd.