CN114205084B - 基于量子密钥的电子邮件多操作加密方法及装置 - Google Patents
基于量子密钥的电子邮件多操作加密方法及装置 Download PDFInfo
- Publication number
- CN114205084B CN114205084B CN202210141621.6A CN202210141621A CN114205084B CN 114205084 B CN114205084 B CN 114205084B CN 202210141621 A CN202210141621 A CN 202210141621A CN 114205084 B CN114205084 B CN 114205084B
- Authority
- CN
- China
- Prior art keywords
- group
- receiving end
- information
- identity information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种基于量子密钥的电子邮件多操作加密方法及装置,包括:服务端根据初始发送端发送的入网认证请求和组创建请求生成相应的第一组信息和第一组标识;服务端响应于初始发送端发送的第一组标识生成第一组合密钥;服务端根据初始发送端的邮件发送请求和第一组标识,调取相应的第一组合密钥对目标邮件加密后,将加密后的目标邮件与第一组标识共同发送至一次接收端;服务端根据一次接收端的转发请求获取一次接收端的身份信息生成第二组标识,将第二组标识发送至一次接收端;服务端响应于一次接收端发送的第二组标识生成第二组合密钥;服务端调取相应的第二组合密钥对目标邮件加密,将加密后的目标邮件与第二组标识共同发送至二次接收端。
Description
技术领域
本发明涉及加密技术领域,尤其涉及一种基于量子密钥的电子邮件多操作加密方法及装置。
背景技术
随着量子保密通信技术的应用推广,提出了一些基于量子保密通信的安全邮件加密技术,比如基于量子密钥分发QKD安全邮件加密技术、基于量子安全密钥的邮件传输技术等。
有关基于量子密钥分发QKD安全邮件加密技术,量子密钥公共云服务平台从量子密钥分发QKD设备获取量子密钥并存储; 待进行邮件传输的客户端A和客户端B之间协商生成配对验证码;所述客户端A和客户端B向量子密钥公共云服务平台发送下载量子密钥的请求消息;量子密钥公共云服务平台接收客户端A 和客户端B所发送的下载量子密钥的请求消息,并匹配验证码,配对成功则分发量子密钥并进入下一步,配对失败则提示配对错误;客户端A对邮件加密并发送给公共邮件服务器,客户端B从公共邮件服务器接收已加密的邮件并解密。
有关基于量子安全密钥的邮件传输技术,通过统一的量子密钥管理平台获取密钥,每封邮件采用唯一的邮件号进行标记,发件人采用预定方案根据邮件号向量子密钥管理平台申请密钥,量子密钥管理平台保存邮件号与密钥对应关系。发件人将邮件加密,同时将邮件号携带在邮件中,发送到邮件服务器。收件人收取邮件,根据邮件号申请对应密钥,对邮件进行解密。
基于量子密钥的邮件加密技术主要考虑了邮件加密问题,但是没有关注邮件实际使用过程中回复、转发等时新增收件人的情况,需要量子密钥管理平台增加额外的功能支持,导致该量子密钥管理平台需要对一封邮件配置多个量子密钥,增大了量子密钥管理平台的负荷。
发明内容
本发明实施例提供一种基于量子密钥的电子邮件多操作加密方法及装置,能够在邮件的转发操作时,不再需要量子密钥管理平台发送新的量子密钥即可对电子邮件的密钥进行更新,提高了邮件转发的效率。
本发明实施例的第一方面,提供一种于量子密钥的电子邮件多次加密方法,包括:
服务端根据初始发送端发送的入网认证请求和组创建请求生成相应的第一组信息和第一组标识,将所述第一组标识发送至所述初始发送端,所述第一组信息中包括至少一个一次接收端的身份信息,所述第一组信息和第一组标识对应设置;
服务端响应于初始发送端发送的第一组标识调取量子密钥,基于所述量子密钥和第一组信息生成第一组合密钥;
服务端根据初始发送端的邮件发送请求和第一组标识,调取相应的第一组合密钥对目标邮件加密后,将加密后的目标邮件与第一组标识共同发送至一次接收端;
服务端根据一次接收端的转发请求获取一次接收端的身份信息,生成第二组标识,将所述第二组标识发送至所述一次接收端,若所述一次接收端具有转发权限则获取二次接收端的身份信息,根据所述二次接收端的身份信息对所述第一组信息更新得到第二组信息;
服务端响应于一次接收端发送的第二组标识,基于所述量子密钥和更新后的第二组信息生成第二组合密钥;
服务端根据一次接收端的邮件转发请求和第二组标识,调取相应的第二组合密钥对目标邮件加密,将加密后的目标邮件与第二组标识共同发送至二次接收端。
可选地,在第一方面的一种可能实现方式中,服务端根据初始发送端发送的入网认证请求和组创建请求生成相应的第一组信息和第一组标识,将所述第一组标识发送至所述初始发送端,所述第一组信息中包括至少一个一次接收端的身份信息包括:
所述组创建请求包括至少一个一次接收端的转发权限信息,所述转发权限信息是指一次接收端具有对初始发送端的目标邮件进行转发的转发权限;
根据一次接收端的转发权限信息将一次接收端分为第一类权限的身份信息和第二类权限的身份信息,所述第二类权限的身份信息为不具有转发权限的身份信息;
服务端根据一次接收端的转发请求获取一次接收端的身份信息,若所述一次接收端具有转发权限则获取二次接收端的身份信息包括:
若判定转发请求所对应的身份信息为第一类权限的身份信息,则获取二次接收端的身份信息,所述第一类权限为具有对目标邮件的转发权限。
可选地,在第一方面的一种可能实现方式中,服务端响应于初始发送端发送的第一组标识调取量子密钥,基于所述量子密钥和第一组信息生成第一组合密钥包括:
通过以下公式生成第一组合密钥的第一部分,包括:
将所述第一组合密钥的第一部分和量子密钥组合得到第一组合密钥。
可选地,在第一方面的一种可能实现方式中,还包括:
在安全介质管理软件中的第一密钥存储模块对所述第一组合密钥进行存储;
当服务端接收到一次接收端发送的第一组标识后,若判定所述一次接收端的身份信息位于所述第一组信息之内,则将所述第一组标识对应的第一组合密钥发送至所述一次接收端;
一次接收端基于所述第一组合密钥对所述目标邮件解密。
可选地,在第一方面的一种可能实现方式中,一次接收端基于所述第一组合密钥对所述目标邮件解密包括:
一次接收端调取所述第一组合密钥的第一部分对所述目标邮件解密进行一次解密;
若一次解密通过,则获取所述量子密钥对所述目标邮件二次解密;
若二次解密通过,则所述目标邮件完成解密进行展示。
可选地,在第一方面的一种可能实现方式中,根据所述二次接收端的身份信息对所述第一组信息更新得到第二组信息包括:
可选地,在第一方面的一种可能实现方式中,服务端响应于一次接收端发送的第二组标识,基于所述量子密钥和更新后的第二组信息生成更新后的第二组合密钥包括:
对二次接收端的身份信息量化处理,使得量化处理后的身份信息为数值;
通过以下公式生成第二组合密钥的第一部分,包括:
将所述第二组合密钥的第一部分和量子密钥组合得到第二组合密钥。
可选地,在第一方面的一种可能实现方式中,在安全介质管理软件中的第二密钥存储模块对所述第二组合密钥进行存储;
当服务端接收到二次接收端发送的第二组标识后,若判定所述二次接收端的身份信息位于所述第二组信息之内,则将所述第二组标识对应的第二组合密钥发送至所述二次接收端;
二次接收端基于所述第二组合密钥对所述目标邮件解密。
可选地,在第一方面的一种可能实现方式中,所述初始发送端与所述一次接收端为不同的终端。
本发明实施例的第二方面,提供一种基于量子密钥的电子邮件多操作加密装置,包括:
发送请求模块,用于使服务端根据初始发送端发送的入网认证请求和组创建请求生成相应的第一组信息和第一组标识,将所述第一组标识发送至所述初始发送端,所述第一组信息中包括至少一个一次接收端的身份信息,所述第一组信息和第一组标识对应设置;
第一生成模块,用于使服务端响应于初始发送端发送的第一组标识调取量子密钥,基于所述量子密钥和第一组信息生成第一组合密钥;
邮件发送模块,用于使服务端根据初始发送端的邮件发送请求和第一组标识,调取相应的第一组合密钥对目标邮件加密后,将加密后的目标邮件与第一组标识共同发送至一次接收端;
转发请求模块,用于使服务端根据一次接收端的转发请求获取一次接收端的身份信息生成第二组标识,将所述第二组标识发送至所述一次接收端,若所述一次接收端具有转发权限,则获取二次接收端的身份信息,根据所述二次接收端的身份信息对所述第一组信息更新得到第二组信息;
第二生成模块,用于使服务端响应于一次接收端发送的第二组标识,基于所述量子密钥和更新后的第二组信息生成第二组合密钥;
邮件转发模块,服务端根据一次接收端的邮件转发请求和第二组标识,调取相应的第二组合密钥对目标邮件加密,将加密后的目标邮件与第二组标识共同发送至二次接收端。
本发明实施例的第三方面,提供一种可读存储介质,所述可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用于实现本发明第一方面及第一方面各种可能设计的所述方法。
本发明提供的一种基于量子密钥的电子邮件多操作加密方法及装置,能够在生成密钥时,根据不同的身份信息的操作得到不同的密钥,对密钥更新的同时不会改变量子密钥。使得对于同一个目标邮件,在初次发送和再次转发时的组合密钥并不相同,但是初次发送和再次转发时的量子密钥时相同的。进而降低了量子密钥分发密钥时的数量,虽然降低了量子密钥分发的数量,但是并不会使目标邮件在初次发送和再次转发时造成不安全的情况,该种方式对外较为安全,对内也具有一定的安全性,使得初始发送端并无法对一次接收端转发的目标邮件进行解析,通过量子密钥和普通密钥共同组合的方式,完成对外、对内的加密传输。
本发明提供的技术方案,在生成第一组合密钥和第二组合密钥时会根据一次接收端、二次接收端的身份信息得到,使得每次目标邮件的密钥生成都与其发送、转发场景具有一定的关联性,并且本发明在计算第二组合密钥会根据一次接收端、二次接收端的不同采取不同的权重值,即使一次接收端、二次接收端中的身份信息完全相同,也会因为各自的权重不同而能够进行有效的区分,进而保障了第一组合密钥和第二组合密钥之间的差异性。
附图说明
图1为基于量子密钥的电子邮件多操作加密方法的第一种实施方式的流程图;
图2为基于量子密钥的电子邮件多操作加密方法的第二种实施方式的流程图;
图3为基于量子密钥的电子邮件多操作加密装置的第一种实施方式的流程图;
图4为基于量子密钥的电子邮件多操作加密系统的第一种实施方式的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
应当理解,在本发明的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,在本发明中,“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本发明中,“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含,“包含A、B或C”是指包含A、B、C三者之一,“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。
应当理解,在本发明中,“与A对应的B”、“与A相对应的B”、“A与B相对应”或者“B与A相对应”,表示B与A相关联,根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其他信息确定B。A与B的匹配,是A与B的相似度大于或等于预设的阈值。
取决于语境,如在此所使用的“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
如图1所示,本发明提供一种基于量子密钥的电子邮件多操作加密方法,电子邮件多次加密方法具体包括:
步骤S110、服务端根据初始发送端发送的入网认证请求和组创建请求生成相应的第一组信息和第一组标识,将所述第一组标识发送至所述初始发送端,所述第一组信息中包括至少一个一次接收端的身份信息,所述第一组信息和第一组标识对应设置。本发明中的初始发送端可以是手机、电脑等具有邮件收发功能的装置。本发明中的初始发送端是邮件的初始创建人,即第一次编辑该邮件的行为人。其中,初始发送端与所述一次接收端为不同的终端。
组创建请求为初始发送端在每次新发送一个邮件时,都会向服务端发送组创建请求,此时服务端会根据组创建请求创建生成组的服务,并根据组创建请求中所对应的收件人信息得到第一组信息,该收件人信息即是初始发送端想要发送至某个收件人的收件人信息,本发明中缩成该收件人信息为一次接收端的身份信息,身份信息可以是ID,例如说10023487、KL56S147等等。第一组标识可以认为是与第一组信息对应的信息,通过第一组标识可以快速确定相对应的第一组信息,本发明中的服务端在生成第一组信息和第一组标识后,服务端会对第一组信息进行存储,服务端会将第一组标识发送至初始发送端。
当初始发送端接收到服务端发送的第一组标识后,证明服务端已经就初始发送端本次的邮件发送认证、创建完成,可以进行邮件发送并调取量子密钥,如果初始发送端将第一组标识发送至服务端,则证明初始发送端确实具有邮件发送的需求。
如图2所示,步骤S110具体包括:
步骤S1101、所述组创建请求包括至少一个一次接收端的转发权限信息,所述转发权限信息是指一次接收端具有对初始发送端的目标邮件进行转发的转发权限。
本发明在进行组创建请求时,会根据实际对目标邮件的控制情况对目标邮件设置转发权限,即存在某些一次接收端可以对该目标邮件进行转发,某些一次接收端不可以对该目标邮件转发,本发明中的一次接收端具有转发权限信息则证明其可以对目标邮件进行转发。
步骤S1102、根据一次接收端的转发权限信息将一次接收端分为第一类权限的身份信息和第二类权限的身份信息,所述第二类权限的身份信息为不具有转发权限的身份信息。
本发明会根据转发权限信息的不同对所有的一次接收端进行分类,将能够对目标邮件进行转发的一次接收端分为第一类权限的身份信息,将不能够对目标邮件进行转发的一次接收端分为第二类权限的身份信息。通过将一次接收端进行分类,方便服务端对一次接收端的不同权限进行统计。
服务端根据一次接收端的转发请求获取一次接收端的身份信息,若所述一次接收端具有转发权限则获取二次接收端的身份信息包括:
步骤S1103、若判定转发请求所对应的身份信息为第一类权限的身份信息,则获取二次接收端的身份信息,所述第一类权限为具有对目标邮件的转发权限。当存在某一个一次接收端需要对目标邮件进行转发时,服务端会根据发送该转发请求的一次接收端的身份信息进行判断,当发送该转发请求的一次接收端的身份信息为第一类权限的身份信息时,则证明其具有转发权限,此时会获取二次接收端的身份信。
通过以上方式,使得初始发送端在进行邮件发送时即对收件人(一次接收端)进行了限定,限定相应的一次接收端可以对目标邮件进行转发,或者是限定相应的一次接收端不可以对目标邮件进行转发,提高了本发明中目标邮件的适用场景功能,使得对目标邮件的转发进行了限定。
判断转发请求所对应的身份信息为第二类权限的身份信息,则向发送该转发请求的一次接收端发送拒绝转发请求,此时具有第二类权限的身份信息的一次接收端无法对目标邮件进行转发。
步骤S120、服务端响应于初始发送端发送的第一组标识调取量子密钥,基于所述量子密钥和第一组信息生成第一组合密钥,将所述第一组标识发送至所述初始发送端。服务端根据初始发送端的第一组标识调取量子密钥,该量子密码可以是量子密钥管理平台随机生成的。
在步骤S120的一种可能的实施方式中,步骤S120具体包括:
对所述一次接收端的身份信息量化处理,使得集合中的所有身份信息都是数
值。在实际的场景中,不同的身份信息可能会具有不同的ID,ID中可能会存在字母,例如说
Y、O、U等字母。本发明会对字母进行量化,例如说将Y、O、U统一量化为一个固定的数字1、2、3
等等。通过以上方式,使得集合中每个一次终端所对应的身份信息都是数值,能够进行后
续的计算。
通过以下公式生成第一组合密钥的第一部分,包括:
其中,为为第一组合密钥的第一部分,为集合中第个身份信息量化后的数
值,为集合中身份信息的数量。通过可以对第一组信息中所有一次接收端对应的
身份信息量化处理的数值进行求和运算得到第一组信息所对应的求和值,并且将第一组信
息所对应的求和值与身份信息的总数量进行相除得到一个平均值,该种方式计算的第一组
合密钥的第一部分即与所有一次接收端存在一定的关联,又不是完全因为某一个一次接收
端而生成第一组合密钥的第一部分。保障了第一组合密钥生成的随机性和有缘性。
将所述第一组合密钥的第一部分和量子密钥组合得到第一组合密钥。本发明在得到第一组合密钥时,会将第一部分和量子密钥组合,可以这样认为,本发明中的第一组合密钥包括了第一部分和量子密钥组合,通过第一部分和量子密钥组合能够对发送的目标邮件进行解密。
步骤S130、服务端根据初始发送端的邮件发送请求和第一组标识,调取相应的第一组合密钥对目标邮件加密后,将加密后的目标邮件与第一组标识共同发送至一次接收端。
服务端在接收到邮件发送请求后,证明此时的初始发送端需要发送目标邮件,此时需要根据初始发送端发送的第一组标识确定相应的第一组合密钥,第一组标识可以是一串字符、文本。服务端基于第一组合密钥对目标邮件进行加密,并且将加密后的目标邮件发送与第一组标识共同发送至一次接收端。
一次接收端在接收到第一组标识和目标邮件后,可以将第一组标识发送至服务端,服务端调取相应的第一组合密钥发送至一次接收端,一次接收端基于第一组合密钥对加密后的目标邮件进行解密,查看目标邮件的内容。
本发明提供的技术方案,还包括:
在安全介质管理软件中的第一密钥存储模块对所述第一组合密钥进行存储。
当服务端接收到一次接收端发送的第一组标识后,若判定所述一次接收端的身份信息位于所述第一组信息之内,则将所述第一组标识对应的第一组合密钥发送至所述一次接收端。
一次接收端基于所述第一组合密钥对所述目标邮件解密。
其中,一次接收端基于所述第一组合密钥对所述目标邮件解密包括:
一次接收端调取所述第一组合密钥的第一部分对所述目标邮件解密进行一次解密;
若一次解密通过,则获取所述量子密钥对所述目标邮件二次解密;
若二次解密通过,则所述目标邮件完成解密进行展示。
本发明会对目标邮件进行两次解密,第一次解密是通过第一组合密钥的第一部分对目标邮件进行解密,第二次解密是通过量子密钥对目标邮件进行解密,当目标邮件为初次发送的邮件时,第一次解密是第一组合密钥的第一部分。
部分一次接收端在查看目标邮件的内容后,可能会具有转发的请求,此时一次接收端会对目标邮件进行编辑并向服务端发送转发请求。
步骤S140、服务端根据一次接收端的转发请求获取一次接收端的身份信息生成第二组标识,将所述第二组标识发送至所述一次接收端,若所述一次接收端具有转发权限则获取二次接收端的身份信息,根据所述二次接收端的身份信息对所述第一组信息更新得到第二组信息。
由于目标邮件已经被初始发送端进行了限定,即存在部分一次接收端可以对邮件进行转发,部分一次接收端不可以对邮件进行转发,所以当存在部分一次接收端需要对目标邮件进行转发、发送转发请求时,会对一次接收端是否具有转发权限进行判断。若所述一次接收端具有转发权限则获取二次接收端的身份信息,根据所述二次接收端的身份信息对所述第一组信息更新得到第二组信息,此时的第二组信息中包括了二次接收端的身份信息。
在一个可能的实施方式中,步骤S140具体包括:
获取二次接收端的身份信息,将所述二次接收端的身份信息添加至所述集合
中,对所述集合更新得到第二组信息的集合,为第个二次接收端的身份信息。二次接收端可能是多个,所以二次接收端的身份信息也可能
是多个,二次接收端的身份信息也可能是其ID,在本发明中,每个一次接收端、二次接收端
的ID都是唯一的。
本发明会将第二组标识发送至一次接收端,目的是让一次接收端对目标邮件中添加相应的第二组标识,通过第二组标识调取相应的第二组合密钥。
步骤S150、服务端响应于一次接收端发送的第二组标识基于所述量子密钥和更新后的第二组信息生成第二组合密钥。
本发明提供的技术方案,步骤S150具体包括:
对二次接收端的身份信息量化处理,使得量化处理后的身份信息为数值。在实际的场景中,不同的身份信息可能会具有不同的ID,ID中可能会存在字母,例如说Y、O、U等字母。本发明会对字母进行量化,例如说将Y、O、U统一量化为一个固定的数字1、2、3等等。通过以上方式,使得二次终端所对应的身份信息都是数值,能够进行后续的计算。
通过以下公式生成第二组合密钥的第一部分,包括:
其中,为第二组合密钥,为一次接收端的身份信息的权重值,为二次接收端的
身份信息的权重值,为第个二次接收端的身份信息量化后的数值,为集合中身份信
息的数量。通过可以对第二组信息中所有二次接收端对应的身份信息量化处理的数
值进行求和运算,得到第二组信息中二次接收端所对应的求和值。本发明会将一次接收端
的求和值与二次接收端的求和值相加处理,将相加处理后的值与所有身份信息的总数量相
比得到平均值,根据该平均值得到第二组合密钥,该种方式计算的第二组合密钥的第一部
分即与所有一次接收端、二次接收端存在一定的关联,又不是完全因为某一个一次接收端、
二次接收端而生成第二组合密钥的第二部分。保障了第一组合密钥生成的随机性和有缘
性。
将所述第二组合密钥的第一部分和量子密钥组合得到第二组合密钥。本发明在得到第二组合密钥时,会将第一部分和量子密钥组合,可以这样认为,本发明中的第二组合密钥包括了第二部分和量子密钥组合,通过第二部分和量子密钥组合能够对二次转发的目标邮件进行解密。
在本发明中,目标邮件发送时的第一组合密钥和目标邮件转发时的第二组合密钥并不相同。但是第一组合密钥和第二组合密钥的量子密钥组合是相同的,进而保障了对目标邮件进行转发和发送是不同的密码,但是量子密钥组合只需要调取一次就可以,降低了量子密钥分发的数量,减少了密钥管理平台的数据处理量。
步骤S160、服务端根据一次接收端的邮件转发请求和第二组标识,调取相应的第二组合密钥对目标邮件加密,将加密后的目标邮件与第二组标识共同发送至二次接收端。
服务端会根据一次接收端的邮件转发请求和第二组标识调取相应的第二组合密钥,通过第二组合密钥对目标邮件加密,将加密后的目标邮件与第二组标识共同发送至二次接收端,实现对转发的目标邮件进行再次加密的目的。
本发明提供的技术方案,还包括:
在安全介质管理软件中的第二密钥存储模块对所述第二组合密钥进行存储。
当服务端接收到二次接收端发送的第二组标识后,若判定所述二次接收端的身份信息位于所述第二组信息之内,则将所述第二组标识对应的第二组合密钥发送至所述二次接收端。
二次接收端基于所述第二组合密钥对所述目标邮件解密。
本发明提供的技术方案,在判断二次接收端的身份信息位于所述第二组信息之内时,证明其实所转发的目标邮件的目标收件人,此时需要将第二组标识对应的第二组合密钥发送至二次接收端,使得二次接收端能够根据第二组合密钥对目标邮件进行解密,使二次接收端查看目标邮件。
本发明提供的技术方案,如图3所示,还提供一种基于量子密钥的电子邮件多操作加密装置,包括:
发送请求模块,用于使服务端根据初始发送端发送的入网认证请求和组创建请求生成相应的第一组信息和第一组标识,将所述第一组标识发送至所述初始发送端,所述第一组信息中包括至少一个一次接收端的身份信息,所述第一组信息和第一组标识对应设置;
第一生成模块,用于使服务端响应于初始发送端发送的第一组标识调取量子密钥,基于所述量子密钥和第一组信息生成第一组合密钥,将所述第一组标识发送至所述初始发送端;
邮件发送模块,用于使服务端根据初始发送端的邮件发送请求和第一组标识,调取相应的第一组合密钥对目标邮件加密后,将加密后的目标邮件与第一组标识共同发送至一次接收端;
转发请求模块,用于使服务端根据一次接收端的转发请求获取一次接收端的身份信息生成第二组标识,将所述第二组标识发送至所述一次接收端,若所述一次接收端具有转发权限则获取二次接收端的身份信息,根据所述二次接收端的身份信息对所述第一组信息更新得到第二组信息;
第二生成模块,用于使服务端响应于一次接收端发送的第二组标识基于所述量子密钥和更新后的第二组信息生成第二组合密钥;
邮件转发模块,服务端根据一次接收端的邮件转发请求和第二组标识,调取相应的第二组合密钥对目标邮件加密,将加密后的目标邮件与第二组标识共同发送至二次接收端。
在一个可能的实施例中,如图4所示,本发明还提供一种基于量子组密钥的电子邮件多操作加密系统,包括服务端以及与所述服务端连接的一次接收端和二次接收端。
服务端包括密码服务平台,以及分别与所述密码服务平台连接的量子保密通讯网络、解密邮件服务器、邮件服务器、安全介质管理软件以及安全介质。一次接收端和二次接收端可以是安全邮件客户端。其中“量子保密通信网络”和“邮件服务器”为现有技术部分,在此不再赘述。
密码服务平台负责与量子保密通信网络通信,完成量子密钥的获取以及管理,本专利主要涉及电子邮件的加密,因此主要描述密码服务平台组密钥管理相关的实现。
密码服务平台通过https向外提供接口服务,主要包含组创建、组密钥申请、组成员更新等接口,密码服务平台为每一个组分配一个位置标识(组ID)。安全邮件客户端通过密码服务平台提供的接口服务实现组创建、组密钥申请和组权限管理。
安全介质采用UKey作为介质,安全邮件客户端通过注册过的安全介质完成与密码服务平台的认证和组密钥申请等操作。只有注册过的安全介质才能访问密码服务平台提供的接口服务。
安全介质管理软件主要完成安全介质向密码服务平台的注册,包含身份认证密钥的生成、安全介质量子密钥充注、安全介质信息上报等。
安全邮件客户端为整个系统的核心关键部件,主要通过密码服务平台提供的接口实现组的创建、管理、组密钥的申请;实现对邮件的加解密以及邮件权限管理。
解密邮件服务器主要为域外收件人提供解密服务,域外收件人收到邮件后通过点击链接,连接到解密邮件服务器,解密邮件服务器进行邮件解密并展示给域外收件人。
安全介质连接安全介质管理软件所在计算机,安全介质管理软件连接安全介质并生成身份认证公私钥对,将公钥和安全介质ID上报给密码服务平台,安全介质管理软件通过https访问密码服务平台,从密码服务平台获取量子密钥并调用安全介质接口写入安全介质,作为组密钥加密密钥。
安全介质连接安全介质管理软件所在计算机,安全邮件客户端撰写邮件,并填入收件人信息,设置收件人是否可以回复时新增收件人或转发,点击“发送”,此时完成与密码服务平台的入网认证,完成入网认证后开始申请创建组,申请创建组将收件人作为组成员,连同收件人权限提交至密码服务平台,密码服务平台创建组并将组成员以及权限等信息进行保存,并向安全邮件客户端返回创建的组标识。
创建组后,根据组标识向密码服务平台申请组密钥,使用申请到的组密钥对邮件进行加密,加密后进行Base64编码,并重新设置邮件体,修改邮件头新增邮件消息内容类型,标识该邮件为加密邮件,并将组标识携带在邮件头中,执行邮件发送流程。
接收邮件后,邮件以密文方式存储,当查看邮件时解析邮件头获取加密标识和组标识,如果加密标识标记该邮件为加密邮件,则根据组标识向密码服务平台申请组密钥,对邮件体进行base64解码,然后调用解密接口使用组密钥进行解密,解密后展示邮件内容。
收件人收到邮件后,在回复时新增加收件人或者转发到新的收件人,在点击“发送”后,首先通过更新组成员指令向密码服务平台发起更新组成员的申请,密码服务平台根据最初创建组时收件人权限判断当前发件人是否有更新组成员的权限,并将结果返回给安全邮件客户端,安全邮件客户端接收到密码服务平台的返回后,如果当前发送人无权限则进行提示,否则发送邮件。
当收件人为域外收件人时,收件人通过点击邮件中的链接地址,链接到解密邮件服务器,解密邮件服务器获取邮件中的组标识、收件人信息,解密邮件服务器将收件人信息作为账号向密码服务平台发起入网认证,入网认证通过后根据组标识,申请组密钥,申请组密钥后解密邮件服务器对邮件进行解密,解密以后通过浏览器返回邮件明文。
其中,可读存储介质可以是计算机存储介质,也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如,可读存储介质耦合至处理器,从而使处理器能够从该可读存储介质读取信息,且可向该可读存储介质写入信息。当然,可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(ApplicationSpecific Integrated Circuits,简称:ASIC)中。另外,该ASIC可以位于用户设备中。当然,处理器和可读存储介质也可以作为分立组件存在于通信设备中。可读存储介质可以是只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本发明还提供一种程序产品,该程序产品包括执行指令,该执行指令存储在可读存储介质中。设备的至少一个处理器可以从可读存储介质读取该执行指令,至少一个处理器执行该执行指令使得设备实施上述的各种实施方式提供的方法。
在上述终端或者服务器的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.基于量子密钥的电子邮件多操作加密方法,其特征在于,包括:
服务端根据初始发送端发送的入网认证请求和组创建请求生成相应的第一组信息和第一组标识,将所述第一组标识发送至所述初始发送端,所述第一组信息中包括至少一个一次接收端的身份信息,所述第一组信息和第一组标识对应设置;
所述组创建请求包括至少一个一次接收端的转发权限信息,所述转发权限信息是指一次接收端具有对初始发送端的目标邮件进行转发的转发权限;
根据一次接收端的转发权限信息,将一次接收端的身份信息分为第一类权限的身份信息和第二类权限的身份信息,所述第二类权限的身份信息为不具有转发权限的身份信息;
服务端响应于初始发送端发送的第一组标识调取量子密钥,基于所述量子密钥和第一组信息生成第一组合密钥;
服务端根据初始发送端的邮件发送请求和第一组标识,调取相应的第一组合密钥对目标邮件加密后,将加密后的目标邮件与第一组标识共同发送至一次接收端;
服务端根据一次接收端的转发请求获取一次接收端的身份信息,生成第二组标识,将所述第二组标识发送至所述一次接收端,若所述一次接收端具有转发权限则获取二次接收端的身份信息,根据所述二次接收端的身份信息对所述第一组信息更新得到第二组信息;
服务端响应于一次接收端发送的第二组标识,基于所述量子密钥和更新后的第二组信息生成第二组合密钥;
服务端根据一次接收端的邮件转发请求和第二组标识,调取相应的第二组合密钥对目标邮件加密,将加密后的目标邮件与第二组标识共同发送至二次接收端。
2.根据权利要求1所述的基于量子密钥的电子邮件多操作加密方法,其特征在于,
服务端根据一次接收端的转发请求获取一次接收端的身份信息,若所述一次接收端具有转发权限则获取二次接收端的身份信息包括:
若判定转发请求所对应的身份信息为第一类权限的身份信息,则获取二次接收端的身份信息,所述第一类权限为具有对目标邮件的转发权限。
4.根据权利要求1所述的基于量子密钥的电子邮件多操作加密方法,其特征在于,还包括:
在安全介质管理软件中的第一密钥存储模块对所述第一组合密钥进行存储;
当服务端接收到一次接收端发送的第一组标识后,若判定所述一次接收端的身份信息位于所述第一组信息之内,则将所述第一组标识对应的第一组合密钥发送至所述一次接收端;
一次接收端基于所述第一组合密钥对所述目标邮件解密。
5.根据权利要求4所述的基于量子密钥的电子邮件多操作加密方法,其特征在于,
一次接收端基于所述第一组合密钥对所述目标邮件解密包括:
一次接收端调取所述第一组合密钥的第一部分对所述目标邮件进行一次解密;
若一次解密通过,则获取所述量子密钥对所述目标邮件二次解密;
若二次解密通过,则所述目标邮件完成解密进行展示。
8.根据权利要求7所述的基于量子密钥的电子邮件多操作加密方法,其特征在于,
在安全介质管理软件中的第二密钥存储模块对所述第二组合密钥进行存储;
当服务端接收到二次接收端发送的第二组标识后,若判定所述二次接收端的身份信息位于所述第二组信息之内,则将所述第二组标识对应的第二组合密钥发送至所述二次接收端;
二次接收端基于所述第二组合密钥对所述目标邮件解密。
9.根据权利要求1所述的基于量子密钥的电子邮件多操作加密方法,其特征在于,
所述初始发送端与所述一次接收端为不同的终端。
10.基于量子密钥的电子邮件多操作加密装置,其特征在于,包括:
发送请求模块,用于使服务端根据初始发送端发送的入网认证请求和组创建请求生成相应的第一组信息和第一组标识,将所述第一组标识发送至所述初始发送端,所述第一组信息中包括至少一个一次接收端的身份信息,所述第一组信息和第一组标识对应设置;
所述组创建请求包括至少一个一次接收端的转发权限信息,所述转发权限信息是指一次接收端具有对初始发送端的目标邮件进行转发的转发权限;
根据一次接收端的转发权限信息,将一次接收端的身份信息分为第一类权限的身份信息和第二类权限的身份信息,所述第二类权限的身份信息为不具有转发权限的身份信息;
第一生成模块,用于使服务端响应于初始发送端发送的第一组标识调取量子密钥,基于所述量子密钥和第一组信息生成第一组合密钥;
邮件发送模块,用于使服务端根据初始发送端的邮件发送请求和第一组标识,调取相应的第一组合密钥对目标邮件加密,将加密后的目标邮件与第一组标识共同发送至一次接收端;
转发请求模块,用于使服务端根据一次接收端的转发请求获取一次接收端的身份信息生成第二组标识,将所述第二组标识发送至所述一次接收端,若所述一次接收端具有转发权限,则获取二次接收端的身份信息,根据所述二次接收端的身份信息对所述第一组信息更新得到第二组信息;
第二生成模块,用于使服务端响应于一次接收端发送的第二组标识,基于所述量子密钥和更新后的第二组信息生成第二组合密钥;
邮件转发模块,服务端根据一次接收端的邮件转发请求和第二组标识,调取相应的第二组合密钥对目标邮件加密,将加密后的目标邮件与第二组标识共同发送至二次接收端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210141621.6A CN114205084B (zh) | 2022-02-16 | 2022-02-16 | 基于量子密钥的电子邮件多操作加密方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210141621.6A CN114205084B (zh) | 2022-02-16 | 2022-02-16 | 基于量子密钥的电子邮件多操作加密方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114205084A CN114205084A (zh) | 2022-03-18 |
CN114205084B true CN114205084B (zh) | 2022-05-17 |
Family
ID=80645475
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210141621.6A Active CN114205084B (zh) | 2022-02-16 | 2022-02-16 | 基于量子密钥的电子邮件多操作加密方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114205084B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115348233A (zh) * | 2022-08-25 | 2022-11-15 | 浙江启明量子信息技术有限公司 | 一种标准邮件系统透明加密方法、介质及计算机设备 |
CN115632779B (zh) * | 2022-12-22 | 2023-03-28 | 国网天津市电力公司电力科学研究院 | 一种基于配电网的量子加密通信方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114024689A (zh) * | 2022-01-05 | 2022-02-08 | 华中科技大学 | 一种基于后量子和身份标识的电子邮件收发方法和系统 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019178559A1 (en) * | 2018-03-15 | 2019-09-19 | Medici Ventures, Inc. | Splitting encrypted key and encryption key used to encrypt key into key components allowing assembly with subset of key components to decrypt encrypted key |
KR102218884B1 (ko) * | 2018-11-28 | 2021-02-24 | 주식회사 이와이엘 | 블록체인 기반의 양자 엔트로피 소스를 이용한 사용자 인증 방법 및 시스템 |
CN109951381B (zh) * | 2019-04-24 | 2021-03-12 | 长春大学 | 一种基于量子密钥公共云服务平台的邮件安全传输方法 |
US11139963B2 (en) * | 2019-09-12 | 2021-10-05 | General Electric Company | Communication systems and methods |
CN110493010B (zh) * | 2019-09-24 | 2022-03-15 | 南京邮电大学 | 基于量子数字签名的邮件系统的邮件收发方法 |
US11563725B2 (en) * | 2020-05-08 | 2023-01-24 | Brian Wane | Using keyboard app to encrypt e-mail and other digital data |
CN113285803B (zh) * | 2021-06-24 | 2022-03-11 | 中电信量子科技有限公司 | 一种基于量子安全密钥的邮件传输系统和传输方法 |
CN113452687B (zh) * | 2021-06-24 | 2022-12-09 | 中电信量子科技有限公司 | 基于量子安全密钥的发送邮件的加密方法和系统 |
CN113346995B (zh) * | 2021-06-24 | 2022-12-09 | 中电信量子科技有限公司 | 基于量子安全密钥的邮件传输过程中防篡改的方法和系统 |
-
2022
- 2022-02-16 CN CN202210141621.6A patent/CN114205084B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114024689A (zh) * | 2022-01-05 | 2022-02-08 | 华中科技大学 | 一种基于后量子和身份标识的电子邮件收发方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114205084A (zh) | 2022-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11394561B2 (en) | Digital transaction signing for multiple client devices using secured encrypted private keys | |
US7580980B2 (en) | Email system restoring recipient identifier based on identifier-for-disclosure for establishing communication between sender and recipient | |
US11943350B2 (en) | Systems and methods for re-using cold storage keys | |
CN114205084B (zh) | 基于量子密钥的电子邮件多操作加密方法及装置 | |
CN113508563A (zh) | 基于区块链的安全电子邮件系统 | |
US20080065878A1 (en) | Method and system for encrypted message transmission | |
US20040236953A1 (en) | Method and device for transmitting an electronic message | |
CN105637802B (zh) | 密钥装置、密钥云系统、解密方法、以及程序 | |
CN111130798B (zh) | 一种请求鉴权方法及相关设备 | |
CN113067823B (zh) | 邮件用户身份认证和密钥分发方法、系统、设备及介质 | |
CN117118754B (zh) | 物联网设备的信息交互管理方法、装置、设备及介质 | |
CN113961893A (zh) | 基于区块链的用户登录方法、装置、电子设备及存储介质 | |
CN112765626A (zh) | 基于托管密钥授权签名方法、装置、系统及存储介质 | |
CN114244530A (zh) | 资源访问方法及装置、电子设备、计算机可读存储介质 | |
KR101379711B1 (ko) | 전화번호를 이용한 파일 암호화 및 복호화 방법 | |
CN108234126B (zh) | 用于远程开户的系统和方法 | |
US20230208619A1 (en) | Method to request sensitive data from a recipient and to establish a secure communication with the recipient | |
CN112491840B (zh) | 信息修改方法、装置、计算机设备及存储介质 | |
CN114866317A (zh) | 多方的数据安全计算方法、装置、电子设备和存储介质 | |
CN116155483A (zh) | 区块链签名机安全设计方法及签名机 | |
CN114186998A (zh) | 一种基于区块链隐私通讯方法 | |
CN111835734A (zh) | 信息处理方法、装置、电子设备、服务器及存储介质 | |
CN112785240A (zh) | 电子邮件的处理方法、装置、计算机可读介质及电子设备 | |
CN110691068A (zh) | 云服务器登录系统、方法及装置 | |
CN114244616B (zh) | 登录验证方法、登录验证系统、电子设备以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |