CN113852460B - 一种基于量子密钥增强工作密钥安全性的实现方法和系统 - Google Patents
一种基于量子密钥增强工作密钥安全性的实现方法和系统 Download PDFInfo
- Publication number
- CN113852460B CN113852460B CN202111089517.9A CN202111089517A CN113852460B CN 113852460 B CN113852460 B CN 113852460B CN 202111089517 A CN202111089517 A CN 202111089517A CN 113852460 B CN113852460 B CN 113852460B
- Authority
- CN
- China
- Prior art keywords
- key
- secure access
- service data
- access server
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种基于量子密钥增强工作密钥安全性的实现方法和系统,所述方法包括:由安全接入客户端与安全接入服务端建立SSL VPN通道;所述安全接入客户端与所述安全接入服务端基于SSL VPN通道进行会话并同步工作密钥参数信息,根据所述工作密钥参数信息并采用预设的密钥生成算法生成工作密钥;所述安全接入客户端与所述安全接入服务端基于会话标识从量子密钥服务器中获取量子密钥;所述安全接入客户端与所述安全接入服务端分别将工作密钥与量子密钥基于预设的融合算法运算得到新的工作密钥;所述安全接入客户端与所述安全接入服务端分别采用新的工作密钥进行业务数据加密传输。本发明通过对工作密钥融合量子密钥,以增强现有工作密钥的安全性。
Description
技术领域
本发明涉及量子通信技术领域,尤其涉及一种基于量子密钥增强工作密钥安全性的实现方法和系统。
背景技术
传统的SSL VPN客户端与服务端建立握手之后,在业务数据传输过程中通过工作密钥对数据进行加解密,可以理解,工作密钥是核心所在,但在量子计算机普及时代,量子计算强大的计算能力及强大的信息处理能力,在很大程度上会对现有的基于数学算法获取的工作密钥产生威胁,致使工作密钥很容易被破解。
为了应对量子计算机和量子算法带给经典密码体制的潜在威胁,人们开始研究能够对抗量子计算攻击的新型密码算法,量子密码体制就是在这种背景下应运而生的。量子密码是经典密码理论和量子力学基本原理相结合而产生的新型密码体制。与经典密码系统不同,量子密码系统以量子态作为信息载体,依据物理规律而设计,其安全性由量子力学基本特性所保证,与攻击者计算能力的大小无关。因此如何在不更改现有SSL VPN通信协议的基础上,通过量子密码体系增强工作密钥的安全性是当前亟待解决的问题。
发明内容
基于上述,有必要提供一种基于量子密钥增强工作密钥安全性的实现方法和系统,通过对工作密钥融合量子密钥,以增强现有工作密钥的安全性。
本发明提出一种基于量子密钥增强工作密钥安全性的实现方法,所述方法包括:
步骤1,由安全接入客户端与安全接入服务端建立SSL VPN通道;
步骤2,所述安全接入客户端与所述安全接入服务端基于SSL VPN通道进行会话并同步工作密钥参数信息,根据所述工作密钥参数信息并采用预设的密钥生成算法生成工作密钥;
步骤3,所述安全接入客户端与所述安全接入服务端基于会话标识从量子密钥服务器中获取量子密钥;
步骤4,所述安全接入客户端与所述安全接入服务端分别将工作密钥与量子密钥基于预设的融合算法运算得到新的工作密钥;
步骤5,所述安全接入客户端与所述安全接入服务端分别采用新的工作密钥进行业务数据加密传输。
基于上述,上述步骤2,具体包括:
步骤2-1,安全接入客户端发送第一消息,第一消息内容包括安全接入客户端生成的随机数,会话标识及协议相关参数;
步骤2-2,安全接入服务端收到安全接入客户端的第一消息,做出回应,并返回第二消息,所述第二消息内容包含安全接入服务端生成的随机数,会话标识及协议相关参数;
步骤2-3,安全接入服务端发送安全接入服务端的证书信息给安全接入客户端;
步骤2-4,安全接入客户端读取安全接入服务端的证书信息并从中解析获得安全接入服务端的加密公钥;
步骤2-5,安全接入服务端发送第一密钥交换消息给安全接入客户端,该第一密钥交换消息包含安全接入客户端生成的随机数、安全接入服务端生成的随机数;
步骤2-6,安全接入客户端根据上述步骤2-5获取的第一密钥交换消息,在本地生成预主密钥;
步骤2-7,安全接入客户端发送第二密钥交换消息给安全接入服务端,该第二密钥交换消息是采用上述步骤2-4获取的安全接入服务端的加密公钥对上述步骤2-6生成的预主密钥加密得到的;
步骤2-8,安全接入服务端获取第二密钥交换消息,并采用自己的加密私钥进行解密获取明文的预主密钥;
步骤2-9,安全接入客户端与安全接入服务端分别根据安全接入客户端生成的随机数、安全接入服务端生成的随机数以及预主密钥,并经过预设的密钥生成算法生成主密钥;
步骤2-10,安全接入客户端与安全接入服务端分别根据安全接入客户端生成的随机数、安全接入服务端生成的随机数以及主密钥,并经过预设的密钥生成算法生成工作密钥。
基于上述,所述工作密钥参数信息至少包括安全接入客户端生成的随机数、安全接入服务端生成的随机数。
基于上述,会话标识是由安全接入客户端和安全接入服务端基于同一资源库和同一算法计算而来,相同的资源库及相同的算法以使安全接入客户端和安全接入服务端获取的会话标识一致。
基于上述,预设的密钥生成算法为伪随机函数。
基于上述,预设的融合算法为异或算法。
基于上述,上述步骤5,具体包括:
步骤5-1,由业务客户端生成第一业务数据并转交给安全接入客户端,通过新的工作密钥进行加密得到第一业务数据密文,然后将第一业务数据密文上传给安全接入服务端;
步骤5-2,由安全接入服务端采用新的工作密钥对第一业务数据密文进行解密还原得到明文的第一业务数据,并将第一业务数据转发给业务服务器进行业务处理;
步骤5-3,由业务服务器产生的第二业务数据并转交给安全接入服务端,通过新的工作密钥进行加密得到第二业务数据密文,然后将第二业务数据密文下发给安全接入客户端;
步骤5-4,由安全接入客户端采用新的工作密钥对第二业务数据密文进行解密还原得到明文的第二业务数据,并将第二业务数据转发给业务客户端进行执行业务。
基于上述,在上述步骤1之后,所述方法还包括:
由安全接入客户端与安全接入服务端进行双向身份认证,待完成双向身份认证后,由安全接入客户端与安全接入服务端分别执行生成工作密钥的流程。
本发明第二方面还提出一种基于量子密钥增强工作密钥安全性的实现系统,所述实现系统包括:安全接入客户端、安全接入服务端以及量子密钥服务器;所述安全接入客户端与所述安全接入服务端建立SSL VPN通道,并分别与量子密钥服务器进行通信连接;
所述安全接入客户端与所述安全接入服务端基于SSL VPN通道进行会话并同步工作密钥参数信息,根据所述工作密钥参数信息并采用预设的密钥生成算法生成工作密钥;所述安全接入客户端与所述安全接入服务端基于会话标识从量子密钥服务器中获取量子密钥;所述安全接入客户端与所述安全接入服务端分别将工作密钥与量子密钥基于预设的融合算法运算得到新的工作密钥;所述安全接入客户端与所述安全接入服务端分别采用新的工作密钥进行业务数据加密传输。
基于上述,所述实现系统还包括业务客户端和业务服务器;
所述业务客户端,用于生成第一业务数据并转交给安全接入客户端,通过新的工作密钥进行加密得到第一业务数据密文,然后将第一业务数据密文上传给安全接入服务端;由安全接入服务端采用新的工作密钥对第一业务数据密文进行解密还原得到明文的第一业务数据,并将第一业务数据转发给业务服务器进行业务处理;
所述业务服务器用于产生的第二业务数据并转交给安全接入服务端,通过新的工作密钥进行加密得到第二业务数据密文,然后将第二业务数据密文下发给安全接入客户端;由安全接入客户端采用新的工作密钥对第二业务数据密文进行解密还原得到明文的第二业务数据,并将第二业务数据转发给业务客户端进行执行业务。
本发明提出的基于量子密钥增强工作密钥安全性的实现方法和系统,首先由安全接入客户端与安全接入服务端按照预设的密钥生成算法生成工作密钥,由于密钥生成算法都是基于数学公式组成的,如果直接使用该工作密钥进行业务数据加解密传输,则较容易被不法第三方借助量子计算进行破解,进而给导致通信双方传输信息的泄露;本发明在工作密钥的基础上进一步融合量子密钥,由于量子密钥具有抗量子攻击特性,通过融合后的新的工作密钥也具有抗量子攻击的能力,可以有效避免不法第三方借助量子计算进行破解密钥的行为,采用融合后的工作密钥对业务数据进行加密,可以有效提升了通信业务数据传输的安全性。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出了本发明一种基于量子密钥增强工作密钥安全性的实现方法的流程图;
图2示出了本发明的安全接入客户端与安全接入服务端生成新的工作密钥的流程图;
图3示出了本发明一种基于量子密钥增强工作密钥安全性的实现系统的框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
如图1所示,本发明第一方面提出一种基于量子密钥增强工作密钥安全性的实现方法,所述方法包括:
步骤1,由安全接入客户端与安全接入服务端建立SSL VPN通道;
步骤2,所述安全接入客户端与所述安全接入服务端基于SSL VPN通道进行会话并同步工作密钥参数信息,根据所述工作密钥参数信息并采用预设的密钥生成算法生成工作密钥;
步骤3,所述安全接入客户端与所述安全接入服务端基于会话标识从量子密钥服务器中获取量子密钥;
步骤4,所述安全接入客户端与所述安全接入服务端分别将工作密钥与量子密钥基于预设的融合算法运算得到新的工作密钥;
步骤5,所述安全接入客户端与所述安全接入服务端分别采用新的工作密钥进行业务数据加密传输。
本发明的实现方法在工作密钥的基础上进一步融合量子密钥,由于量子密钥具有抗量子攻击特性,通过融合后的新的工作密钥也具有抗量子攻击的能力,可以有效避免不法第三方借助量子计算进行破解密钥的行为,采用融合后的工作密钥对业务数据进行加密,可以有效提升了通信业务数据传输的安全性。
进一步的,上述步骤2,具体包括:
步骤2-1,安全接入客户端发送第一消息,第一消息内容包括安全接入客户端生成的随机数,会话标识及协议相关参数;
步骤2-2,安全接入服务端收到安全接入客户端的第一消息,做出回应,并返回第二消息,所述第二消息内容包含安全接入服务端生成的随机数,会话标识及协议相关参数;
步骤2-3,安全接入服务端发送安全接入服务端的证书信息给安全接入客户端;
步骤2-4,安全接入客户端读取安全接入服务端的证书信息并从中解析获得安全接入服务端的加密公钥;
步骤2-5,安全接入服务端发送第一密钥交换消息给安全接入客户端,该第一密钥交换消息包含安全接入客户端生成的随机数、安全接入服务端生成的随机数;
步骤2-6,安全接入客户端根据上述步骤2-5获取的第一密钥交换消息,在本地生成预主密钥;
步骤2-7,安全接入客户端发送第二密钥交换消息给安全接入服务端,该第二密钥交换消息是采用上述步骤2-4获取的安全接入服务端的加密公钥对上述步骤2-6生成的预主密钥加密得到的;
步骤2-8,安全接入服务端获取第二密钥交换消息,并采用自己的加密私钥进行解密获取明文的预主密钥;
步骤2-9,安全接入客户端与安全接入服务端分别根据安全接入客户端生成的随机数、安全接入服务端生成的随机数以及预主密钥,并经过预设的密钥生成算法生成主密钥;
步骤2-10,安全接入客户端与安全接入服务端分别根据安全接入客户端生成的随机数、安全接入服务端生成的随机数以及主密钥,并经过预设的密钥生成算法生成工作密钥。
本发明在生成工作密钥时,首先由通信双方生成随机数,然后基于双方的随时数进行一轮协商得到预主密钥,稍后进一步基于预主密钥进行二轮协商得到主密钥,最后基于所述主密钥进行三轮协商得到工作密钥,由此可知,最终形成的工作密钥是基于多轮协商得到的,且每一轮的密钥环环相扣,缺少任何一轮的协商参数数据,均无法协商得到最终的工作密钥,从而增强了工作密钥的应对传统通信攻击的破解难度。
可以理解,虽然SSL VPN在协议上分析目前已经相对非常安全。但是量子计算机被大量使用时,如果安全接入客户端和安全接入服务端交互过程中被第三方程序监听或者攻击,那么上述计算中使用的客户端随机数、服务端随机数、预主密钥都可被截取,那么工作密钥也将不安全,经过通道加密的数据都将不安全。鉴于此,本发明使用量子密钥对工作密钥的安全性进行增强,即使客户端的随机数、服务端的随机数、预主密钥都被截取,但是基于量子密钥分发的真随机性和绝对安全等特性,工作密钥也很难被破解,从而保障数据的安全性。进一步的,所述工作密钥参数信息至少包括安全接入客户端生成的随机数、安全接入服务端生成的随机数。
工作密钥参数信息应当包括代表通信双方唯一身份的标识信息,在本实施例中,该标识信息则是各自生成的随机数,由于随时数是有随机源生成的,不同时刻生成的两个随机数也不尽相同,从而可以使工作密钥基于不同的业务进行更新,进一步确保传输数据的安全性。
进一步的,会话标识是由安全接入客户端和安全接入服务端基于同一资源库和同一算法计算而来,相同的资源库及相同的算法以使安全接入客户端和安全接入服务端获取的会话标识一致。
通过会话标识可以将通信双方建立绑定关系,在会话标识的限定下,发送方发送的业务数据只能发送给具有相同会话标识的接收方。同时,由于量子密钥服务器在分发量子密钥给通信双方时,可以基于相同会话标识的通信双方分发相同的量子密钥,以确保后续融合后的新的工作密钥相一致。
进一步的,预设的密钥生成算法为伪随机函数。预设的融合算法为异或算法。但不限于此。
通过伪随机函数能够生成类似随机数的密钥,进一步增强了生成密钥的不规律性,降低破解的风险。通过异或算法能够使量子密钥与工作密钥融合更加充分。
进一步的,上述步骤5,具体包括:
步骤5-1,由业务客户端生成第一业务数据并转交给安全接入客户端,通过新的工作密钥进行加密得到第一业务数据密文,然后将第一业务数据密文上传给安全接入服务端;
步骤5-2,由安全接入服务端采用新的工作密钥对第一业务数据密文进行解密还原得到明文的第一业务数据,并将第一业务数据转发给业务服务器进行业务处理;
步骤5-3,由业务服务器产生的第二业务数据并转交给安全接入服务端,通过新的工作密钥进行加密得到第二业务数据密文,然后将第二业务数据密文下发给安全接入客户端;
步骤5-4,由安全接入客户端采用新的工作密钥对第二业务数据密文进行解密还原得到明文的第二业务数据,并将第二业务数据转发给业务客户端进行执行业务。
在安全接入客户端与安全接入服务端协商完新的工作密钥后,即可采用新的工作密钥对需要传输的业务数据进行加密,从而确保数据的机密性。
进一步的,在上述步骤1之后,所述方法还包括:
由安全接入客户端与安全接入服务端进行双向身份认证,待完成双向身份认证后,由安全接入客户端与安全接入服务端分别执行生成工作密钥的流程。
安全接入客户端与安全接入服务端在进行协商工作密钥之前,首先进行双向身份认证,进一步确保安全接入客户端与安全接入服务端都是相对合法有效的。
为了进一步说明本发明的实现方法,图2示出了本发明的安全接入客户端与安全接入服务端生成新的工作密钥的流程图。
①安全接入客户端发送hello消息,消息内容主要包括安全接入客户端生成的随机数,会话标识及协议相关的参数。会话标识是安全接入客户端和安全接入服务端使用同一资源库使用同一算法计算而来,相同的资源库及相同的算法保证安全接入客户端和安全接入服务端获取的会话标识一致。
②安全接入服务端收到安全接入客户端的hello消息,做出回应。回应的消息内容主要包含安全接入服务端生成的随机数,会话标识及相关的参数。会话标识是安全接入客户端和安全接入服务端使用同一资源库使用同一算法计算而来,相同的资源库及相同的算法保证安全接入客户端和安全接入服务端获取的会话标识一致。所以步骤①和步骤②生成的会话标识相同。
③安全接入服务端发送安全接入服务端的证书信息。
④安全接入客户端读取安全接入服务端的证书信息并解析获得安全接入服务端的加密公钥。
⑤安全接入服务端发送密钥交换消息,该消息包含安全接入客户端随机数、安全接入服务端随机数。
⑥安全接入客户端根据步骤⑤获取的数据,在本地生成预主密钥。
⑦安全接入客户端发送密钥交换消息,该消息是将步骤⑥生成的预主密钥用步骤④获取的安全接入服务端加密公钥加密后进行发送。
⑧安全接入服务端获取预主密钥:安全接入服务端收到加密的预主密钥使用本地的加密私钥进行解密获取明文的预主密钥。
⑨安全接入客户端、安全接入服务端根据步骤①或步骤②获取的安全接入客户端随机数和安全接入服务端随机数及步骤⑦和步骤⑧获取的预主密钥经过PRF(伪随机函数)生成主密钥。
⑩安全接入客户端、安全接入服务端根据步骤①或步骤②获取的安全接入客户端随机数和安全接入服务端随机数、步骤⑨获取的主密钥,经过PRF(伪随机函数)生成工作密钥。
安全接入客户端和安全接入服务端分别通过步骤①和步骤②生成的会话标识去量子密钥服务器获取对应的量子密钥,因为会话标识的唯一性,所以安全接入客户端和安全接入服务端获取的量子密钥是一致的。
安全接入客户端和安全接入服务端分别将步骤/>获取的量子密钥和步骤⑩获取的工作密钥进行运算,生成被量子密钥保护的新的工作密钥。
可以理解,图2中的步骤①至步骤⑩对应于图1中的步骤2;图2中的步骤对应于图1中的步骤3,图2中的步骤/>对应于图1中的步骤4。
如图3所示,本发明第二方面还提出一种基于量子密钥增强工作密钥安全性的实现系统,所述实现系统包括:安全接入客户端、安全接入服务端以及量子密钥服务器;所述安全接入客户端与所述安全接入服务端建立SSL VPN通道,并分别与量子密钥服务器进行通信连接;
所述安全接入客户端与所述安全接入服务端基于SSL VPN通道进行会话并同步工作密钥参数信息,根据所述工作密钥参数信息并采用预设的密钥生成算法生成工作密钥;所述安全接入客户端与所述安全接入服务端基于会话标识从量子密钥服务器中获取量子密钥;所述安全接入客户端与所述安全接入服务端分别将工作密钥与量子密钥基于预设的融合算法运算得到新的工作密钥;所述安全接入客户端与所述安全接入服务端分别采用新的工作密钥进行业务数据加密传输。
本发明的实现系统在工作密钥的基础上进一步融合量子密钥,由于量子密钥具有抗量子攻击特性,通过融合后的新的工作密钥也具有抗量子攻击的能力,可以有效避免不法第三方借助量子计算进行破解密钥的行为,采用融合后的工作密钥对业务数据进行加密,可以有效提升了通信业务数据传输的安全性。
进一步的,所述实现系统还包括业务客户端和业务服务器;
所述业务客户端,用于生成第一业务数据并转交给安全接入客户端,通过新的工作密钥进行加密得到第一业务数据密文,然后将第一业务数据密文上传给安全接入服务端;由安全接入服务端采用新的工作密钥对第一业务数据密文进行解密还原得到明文的第一业务数据,并将第一业务数据转发给业务服务器进行业务处理;
所述业务服务器用于产生的第二业务数据并转交给安全接入服务端,通过新的工作密钥进行加密得到第二业务数据密文,然后将第二业务数据密文下发给安全接入客户端;由安全接入客户端采用新的工作密钥对第二业务数据密文进行解密还原得到明文的第二业务数据,并将第二业务数据转发给业务客户端进行执行业务。
在安全接入客户端与安全接入服务端协商完新的工作密钥后,即可采用新的工作密钥对需要传输的业务数据进行加密,从而确保数据的机密性。
本发明提出的基于量子密钥增强工作密钥安全性的实现方法和系统,首先由安全接入客户端与安全接入服务端按照预设的密钥生成算法生成工作密钥,由于密钥生成算法都是基于数学公式组成的,如果直接使用该工作密钥进行业务数据加解密传输,则较容易被不法第三方借助量子计算进行破解,进而给导致通信双方传输信息的泄露;本发明在工作密钥的基础上进一步融合量子密钥,由于量子密钥具有抗量子攻击特性,通过融合后的新的工作密钥也具有抗量子攻击的能力,可以有效避免不法第三方借助量子计算进行破解密钥的行为,采用融合后的工作密钥对业务数据进行加密,可以有效提升了通信业务数据传输的安全性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (8)
1.一种基于量子密钥增强工作密钥安全性的实现方法,其特征在于,所述方法包括:
步骤1,由安全接入客户端与安全接入服务端建立SSL VPN通道;
步骤2,所述安全接入客户端与所述安全接入服务端基于SSL VPN通道进行会话并同步工作密钥参数信息,根据所述工作密钥参数信息并采用预设的密钥生成算法生成工作密钥;
步骤3,所述安全接入客户端与所述安全接入服务端基于会话标识从量子密钥服务器中获取量子密钥;
步骤4,所述安全接入客户端与所述安全接入服务端分别将工作密钥与量子密钥基于预设的融合算法运算得到新的工作密钥;
步骤5,所述安全接入客户端与所述安全接入服务端分别采用新的工作密钥进行业务数据加密传输;
其中所述预设的融合算法为异或算法;
上述步骤2,具体包括:
步骤2-1,安全接入客户端发送第一消息,第一消息内容包括安全接入客户端生成的随机数,会话标识及协议相关参数;
步骤2-2,安全接入服务端收到安全接入客户端的第一消息,做出回应,并返回第二消息,所述第二消息内容包含安全接入服务端生成的随机数,会话标识及协议相关参数;
步骤2-3,安全接入服务端发送安全接入服务端的证书信息给安全接入客户端;
步骤2-4,安全接入客户端读取安全接入服务端的证书信息并从中解析获得安全接入服务端的加密公钥;
步骤2-5,安全接入服务端发送第一密钥交换消息给安全接入客户端,该第一密钥交换消息包含安全接入客户端生成的随机数、安全接入服务端生成的随机数;
步骤2-6,安全接入客户端根据上述步骤2-5获取的第一密钥交换消息,在本地生成预主密钥;
步骤2-7,安全接入客户端发送第二密钥交换消息给安全接入服务端,该第二密钥交换消息是采用上述步骤2-4获取的安全接入服务端的加密公钥对上述步骤2-6生成的预主密钥加密得到的;
步骤2-8,安全接入服务端获取第二密钥交换消息,并采用自己的加密私钥进行解密获取明文的预主密钥;
步骤2-9,安全接入客户端与安全接入服务端分别根据安全接入客户端生成的随机数、安全接入服务端生成的随机数以及预主密钥,并经过预设的密钥生成算法生成主密钥;
步骤2-10,安全接入客户端与安全接入服务端分别根据安全接入客户端生成的随机数、安全接入服务端生成的随机数以及主密钥,并经过预设的密钥生成算法生成工作密钥。
2.根据权利要求1所述的一种基于量子密钥增强工作密钥安全性的实现方法,所述工作密钥参数信息至少包括安全接入客户端生成的随机数、安全接入服务端生成的随机数。
3.根据权利要求1所述的一种基于量子密钥增强工作密钥安全性的实现方法,会话标识是由安全接入客户端和安全接入服务端基于同一资源库和同一算法计算而来,相同的资源库及相同的算法以使安全接入客户端和安全接入服务端获取的会话标识一致。
4.根据权利要求1所述的一种基于量子密钥增强工作密钥安全性的实现方法,预设的密钥生成算法为伪随机函数。
5.根据权利要求1所述的一种基于量子密钥增强工作密钥安全性的实现方法,上述步骤5,具体包括:
步骤5-1,由业务客户端生成第一业务数据并转交给安全接入客户端,通过新的工作密钥进行加密得到第一业务数据密文,然后将第一业务数据密文上传给安全接入服务端;
步骤5-2,由安全接入服务端采用新的工作密钥对第一业务数据密文进行解密还原得到明文的第一业务数据,并将第一业务数据转发给业务服务器进行业务处理;
步骤5-3,由业务服务器产生的第二业务数据并转交给安全接入服务端,通过新的工作密钥进行加密得到第二业务数据密文,然后将第二业务数据密文下发给安全接入客户端;
步骤5-4,由安全接入客户端采用新的工作密钥对第二业务数据密文进行解密还原得到明文的第二业务数据,并将第二业务数据转发给业务客户端进行执行业务。
6.根据权利要求1所述的一种基于量子密钥增强工作密钥安全性的实现方法,在上述步骤1之后,所述方法还包括:由安全接入客户端与安全接入服务端进行双向身份认证,待完成双向身份认证后,由安全接入客户端与安全接入服务端分别执行生成工作密钥的流程。
7.一种在权利要求1-6任一方法中应用的基于量子密钥增强工作密钥安全性的实现系统,其特征在于,所述实现系统包括:安全接入客户端、安全接入服务端以及量子密钥服务器;所述安全接入客户端与所述安全接入服务端建立SSL VPN通道,并分别与量子密钥服务器进行通信连接;
所述安全接入客户端与所述安全接入服务端基于SSL VPN通道进行会话并同步工作密钥参数信息,根据所述工作密钥参数信息并采用预设的密钥生成算法生成工作密钥;所述安全接入客户端与所述安全接入服务端基于会话标识从量子密钥服务器中获取量子密钥;所述安全接入客户端与所述安全接入服务端分别将工作密钥与量子密钥基于预设的融合算法运算得到新的工作密钥;所述安全接入客户端与所述安全接入服务端分别采用新的工作密钥进行业务数据加密传输。
8.根据权利要求7所述的一种基于量子密钥增强工作密钥安全性的实现系统,其特征在于,所述实现系统还包括业务客户端和业务服务器;
所述业务客户端,用于生成第一业务数据并转交给安全接入客户端,通过新的工作密钥进行加密得到第一业务数据密文,然后将第一业务数据密文上传给安全接入服务端;由安全接入服务端采用新的工作密钥对第一业务数据密文进行解密还原得到明文的第一业务数据,并将第一业务数据转发给业务服务器进行业务处理;
所述业务服务器用于产生的第二业务数据并转交给安全接入服务端,通过新的工作密钥进行加密得到第二业务数据密文,然后将第二业务数据密文下发给安全接入客户端;由安全接入客户端采用新的工作密钥对第二业务数据密文进行解密还原得到明文的第二业务数据,并将第二业务数据转发给业务客户端进行执行业务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111089517.9A CN113852460B (zh) | 2021-09-16 | 2021-09-16 | 一种基于量子密钥增强工作密钥安全性的实现方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111089517.9A CN113852460B (zh) | 2021-09-16 | 2021-09-16 | 一种基于量子密钥增强工作密钥安全性的实现方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113852460A CN113852460A (zh) | 2021-12-28 |
CN113852460B true CN113852460B (zh) | 2023-10-13 |
Family
ID=78974455
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111089517.9A Active CN113852460B (zh) | 2021-09-16 | 2021-09-16 | 一种基于量子密钥增强工作密钥安全性的实现方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113852460B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114465720A (zh) * | 2022-01-25 | 2022-05-10 | 中国工商银行股份有限公司 | 密钥迁移方法及装置、存储介质和电子设备 |
CN115277186A (zh) * | 2022-07-26 | 2022-11-01 | 北京国领科技有限公司 | 一种在国密IPSec传输加密中融合量子密钥的方法 |
CN115348085B (zh) * | 2022-08-12 | 2023-06-02 | 长江量子(武汉)科技有限公司 | 一种基于量子加密的防疫管理方法及防疫终端 |
CN115190154B (zh) * | 2022-08-12 | 2024-05-24 | 长江量子(武汉)科技有限公司 | 一种基于量子加密的车联网系统和车载终端 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017200791A1 (en) * | 2016-05-19 | 2017-11-23 | Alibaba Group Holding Limited | Method and system for secure data transmission |
CN108123795A (zh) * | 2016-11-28 | 2018-06-05 | 广东国盾量子科技有限公司 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
CN109639407A (zh) * | 2018-12-28 | 2019-04-16 | 浙江神州量子通信技术有限公司 | 一种基于量子网络对信息进行加密和解密的方法 |
CN109995739A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种信息传输方法、客户端、服务器及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11177946B2 (en) * | 2019-06-21 | 2021-11-16 | Verizon Patent And Licensing Inc. | Quantum entropy distributed via software defined perimeter connections |
-
2021
- 2021-09-16 CN CN202111089517.9A patent/CN113852460B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017200791A1 (en) * | 2016-05-19 | 2017-11-23 | Alibaba Group Holding Limited | Method and system for secure data transmission |
CN108123795A (zh) * | 2016-11-28 | 2018-06-05 | 广东国盾量子科技有限公司 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
CN109995739A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种信息传输方法、客户端、服务器及存储介质 |
CN109639407A (zh) * | 2018-12-28 | 2019-04-16 | 浙江神州量子通信技术有限公司 | 一种基于量子网络对信息进行加密和解密的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113852460A (zh) | 2021-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113852460B (zh) | 一种基于量子密钥增强工作密钥安全性的实现方法和系统 | |
CN103618610B (zh) | 一种基于智能电网中能量信息网关的信息安全算法 | |
KR100811419B1 (ko) | 공개키 암호화를 이용하는 인증 프로토콜에서의서비스거부공격에 대한 방어 방법 | |
CN110932851B (zh) | 一种基于pki的多方协同运算的密钥保护方法 | |
JP2017063432A (ja) | 証明書不要公開鍵基盤に基づく安全なクライアント・サーバ通信プロトコルを設計するシステムと方法 | |
CN110048849B (zh) | 一种多层保护的会话密钥协商方法 | |
CN111275202A (zh) | 一种面向数据隐私保护的机器学习预测方法及系统 | |
CN101651539A (zh) | 更新及分配加密密钥 | |
CN113806772A (zh) | 基于区块链的信息加密传输方法及装置 | |
CN112637136A (zh) | 加密通信方法及系统 | |
CN113242122B (zh) | 一种基于dh和rsa加密算法的加密方法 | |
CN111988299A (zh) | 一种客户端和服务器可信链接的建立方式 | |
CN112332986B (zh) | 一种基于权限控制的私有加密通信方法及系统 | |
CN115499250B (zh) | 一种数据加密方法及装置 | |
CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
CN114338239A (zh) | 一种数据加密传输的方法及其系统 | |
CN112702332B (zh) | 一种连锁密钥交换方法、客户端、服务器及系统 | |
CN111224968B (zh) | 一种随机选择中转服务器的安全通信方法 | |
CN116743372A (zh) | 基于ssl协议的量子安全协议实现方法及系统 | |
CN116961893A (zh) | 一种端到端的安全加密通信管理方法、系统及可存储介质 | |
CN114401084B (zh) | 一种基于密文变换的第三方随机数传递方法 | |
CN115694922A (zh) | 在国产cpu和os下的文件传输加密方法及设备 | |
CN114070570A (zh) | 一种电力物联网的安全通信方法 | |
CN111404899B (zh) | 一种适用于一轮三方密钥协商的密码逆向防火墙方法 | |
CN114422114B (zh) | 基于多时间服务器的时控性加密方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |