CN114826593A - 量子安全的数据传输方法及数字证书认证系统 - Google Patents

量子安全的数据传输方法及数字证书认证系统 Download PDF

Info

Publication number
CN114826593A
CN114826593A CN202210738126.3A CN202210738126A CN114826593A CN 114826593 A CN114826593 A CN 114826593A CN 202210738126 A CN202210738126 A CN 202210738126A CN 114826593 A CN114826593 A CN 114826593A
Authority
CN
China
Prior art keywords
certificate
key
server
user terminal
quantum
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210738126.3A
Other languages
English (en)
Other versions
CN114826593B (zh
Inventor
王琳
周飞
高洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jinan Institute of Quantum Technology
Original Assignee
Jinan Institute of Quantum Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan Institute of Quantum Technology filed Critical Jinan Institute of Quantum Technology
Priority to CN202210738126.3A priority Critical patent/CN114826593B/zh
Publication of CN114826593A publication Critical patent/CN114826593A/zh
Application granted granted Critical
Publication of CN114826593B publication Critical patent/CN114826593B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种量子安全的数据传输方法及数字证书认证系统,其在服务器CA与服务器RA之间分发共享量子密钥CR,在服务器RA之间分发共享量子密钥RR,服务器CA签发数字证书并借助共享量子密钥CR将数字证书加密发给服务器RA,服务器RA将数字证书发给用户终端并在其与服务器RA之间分发密钥Rand;将会话密钥加密发给发送方用户终端,接收方的服务器RA利用密钥Rand将会话密钥加密地发给接收方用户终端,以便其利用数字证书对传输数据生成签名信息,利用会话密钥将签名信息、公钥证书和传输数据加密地传给接收方用户终端以验证发送方的签名信息。由此提高用户之间业务传输的安全性。

Description

量子安全的数据传输方法及数字证书认证系统
技术领域
本发明涉及量子通信及信息安全领域,尤其涉及一种量子安全的数据传输方法及数字证书认证系统。
背景技术
为保证数据传输的安全性,常见的一种解决方案是在通信过程中引入数字证书来为通信双方提供电子认证。现有的数字证书认证系统主要包括证书签发服务器CA、证书注册服务器RA和密钥管理服务器KMC,如图1所示。在这种数字证书认证系统中,不同服务器之间的数据传输主要为密钥和数字证书等关键数据,目前使用SSL协议对这些数据传输过程进行安全保护,而SSL协议基于非对称密码算法体系,随着计算能力的提升,面临被破解的风险,容易造成密钥和数字证书等关键数据的泄露,对用户的数据安全产生威胁。
发明内容
针对现有技术中存在的上述问题,本发明公开了一种量子安全的数据传输方法及数字证书认证系统。
具体而言,本发明的第一方面涉及一种量子安全的数据传输方法,其包括密钥分发步骤、证书签发步骤和数据传输步骤;
在密钥分发步骤中,在证书签发服务器CA与证书注册服务器RA之间分发共享量子密钥CR,在证书注册服务器RA两两之间分发共享量子密钥RR;
在证书签发步骤中,证书签发服务器CA响应于证书注册服务器RA的证书请求,签发数字证书并借助共享量子密钥CR以加密方式将数字证书发送给证书注册服务器RA;证书注册服务器RA将数字证书下发给用户终端,并在证书注册服务器RA与用户终端之间分发共享量子密钥Rand;
在数据传输步骤中,用于发送方的证书注册服务器RA借助其与发送方用户终端之间的共享量子密钥Rand以加密方式将会话密钥发送给发送方用户终端,用于接收方的证书注册服务器RA借助其与接收方用户终端之间的共享量子密钥Rand以加密方式将会话密钥发送给接收方用户终端;发送方用户终端利用数字证书对传输数据生成签名信息,并借助会话密钥以加密方式将签名信息、公钥证书和传输数据传输给接收方用户终端;接收方用户终端利用公钥证书验证发送方的签名信息。
进一步地,会话密钥为用于发送方的证书注册服务器RA与用于接收方的证书注册服务器RA之间的共享量子密钥RR;以及/或者,通过使证书注册服务器RA获得和存储量子随机数Rand,并将量子随机数Rand充注给用户终端,实现证书注册服务器RA与用户终端之间共享量子密钥Rand。
进一步地,密钥分发步骤还包括在证书签发服务器CA与密钥管理服务器KMC之间分发共享量子密钥CK的步骤;并且,
证书签发步骤还包括密钥管理服务器KMC响应于证书签发服务器CA的加密密钥请求,借助共享量子密钥CK以加密方式将加密密钥对发送给证书签发服务器CA的步骤。
进一步地,证书签发步骤还包括用户终端向证书注册服务器RA发送注册证书请求和身份信息的步骤;以及,证书注册服务器RA对用户终端的身份信息进行验证,并在验证通过后生成证书请求,借助共享量子密钥CR以加密方式将证书请求发送给证书签发服务器CA的步骤。
优选地,所述共享量子密钥Rand为器件无关量子随机数,以及/或者,所述加密方式为一字一密异或加密。
本发明的第二方面涉及一种量子安全的数字证书认证系统,其包括量子密钥分发网络和数字证书认证网络;
所述量子密钥分发网络包括多个量子密钥分发节点;
所述数字证书认证网络包括密钥管理服务器KMC、证书签发服务器CA和证书注册服务器RA,其中,所述密钥管理服务器KMC、证书签发服务器CA和证书注册服务器RA分别部署于相应的量子密钥分发节点中以获取量子密钥;
所述量子密钥分发网络被设置用于在证书签发服务器CA与证书注册服务器RA之间分发共享量子密钥CR,以及在证书注册服务器RA两两之间分发共享量子密钥RR;
所述证书签发服务器CA被设置用于响应证书注册服务器RA的证书请求,签发数字证书并借助共享量子密钥CR以加密方式将数字证书发送给证书注册服务器RA;
所述证书注册服务器RA被设置用于将数字证书充注给用户终端,获得并将量子密钥Rand充注给用户终端以作为其与用户终端之间的共享量子密钥Rand,以及借助共享量子密钥Rand以加密方式将会话密钥充注给用户终端;
所述用户终端被设置成,作为发送方利用数字证书对传输数据生成签名信息,并借助会话密钥以加密方式将签名信息、公钥证书和传输数据传输给接收方;或者作为接收方利用会话密钥从接收到的数据中获得签名信息、公钥证书和传输数据明文,并利用公钥证书验证签名信息。
进一步地,所述量子密钥分发网络还被设置用于在证书签发服务器CA与密钥管理服务器KMC之间分发共享量子密钥CK;并且,
所述密钥管理服务器KMC被设置用于响应证书签发服务器CA的加密密钥请求,借助共享量子密钥CK以加密方式将加密密钥对发送给证书签发服务器CA。
进一步地,所述证书注册服务器RA还被设置用于验证用户终端的身份信息,并在验证通过后生成证书请求,借助共享量子密钥CR以加密方式将证书请求发送给证书签发服务器CA。
进一步地,本发明的数字证书认证系统还包括量子随机数服务器,所述量子随机数服务器被设置用于生成量子随机数Rand,并将量子随机数Rand作为量子密钥Rand发送给证书注册服务器RA;以及/或者,
所述会话密钥为用于发送方的证书注册服务器RA与用于接收方的证书注册服务器RA之间的共享量子密钥RR。
优选地,所述用户终端为UKey、TF卡或IC智能卡;以及/或者,所述加密方式为一字一密异或加密。
通过在传统数字证书认证网络中的CA、RA、KMC等服务器端部署量子密钥分发设备,使用高安全性的量子密钥分发技术为CA和RA之间、CA和KMC之间分发共享量子密钥,使用量子密钥对CA和RA之间、CA和KMC之间的数据传输进行加密保护,可以提高数据传输的安全性。同时,在为用户安全的发放数字证书的同时,也可以为用户终端充注量子密钥,用户之间在进行数据传输时,可将量子密钥与数字证书融合使用,用数字证书进行签名验证,用量子密钥加密数字证书和要传输的数据。因此,与现有技术相比,本发明不仅使数字证书的传递得到量子密钥的加密保护,在传输数据的加密上也采用了具有更高安全性的量子密钥,可大大提高用户之间数据传输的安全性。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的说明。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需使用的附图作简单地介绍,显而易见,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图来获得其他的附图。
图1示意性地示出了现有的数字证书认证系统;
图2示出了根据本发明的量子安全的数据传输方法及数字证书认证系统的一种示例。
具体实施方式
在下文中,本发明的示例性实施例将参照附图来详细描述。下面的实施例以举例的方式提供,以便充分传达本发明的精神给本发明所属领域的技术人员。因此,本发明不限于本文公开的实施例。
图2示出了根据本发明的量子安全的数据传输方法及数字证书认证系统。
如图所示,数字证书认证系统包括量子密钥分发网络和数字证书认证网络。
量子密钥分发网络包括多个量子密钥分发节点,用于根据量子密钥分发协议在量子密钥分发节点之间分发共享量子密钥。例如,在图2的示例中,可以借助量子密钥分发设备1、2、3和4,分别在量子密钥分发节点1与2之间、量子密钥分发节点2与3之间、量子密钥分发节点2与4之间、量子密钥分发节点3与4之间分发共享量子密钥。
数字证书认证网络包括密钥管理服务器KMC、证书签发服务器CA和证书注册服务器RA。
在本发明中,数字证书认证网络中的各个服务器可以分别部署在相应量子密钥分发节点内。例如在图2的示例中,密钥管理服务器KMC部署在量子密钥分发节点1内,并连接量子密钥分发设备1以能够从中获取量子密钥;证书签发服务器CA部署在量子密钥分发节点2内,并连接量子密钥分发设备2以能够从中获取量子密钥;证书注册服务器RA 1部署在量子密钥分发节点3内,并连接量子密钥分发设备3以能够从中获取量子密钥;同时,证书注册服务器RA 2部署在量子密钥分发节点4内,并连接量子密钥分发设备4以能够从中获取量子密钥。
因此,借助量子密钥分发网络,可以在数字证书认证网络中各服务器两两之间分发共享量子密钥,使得为数字证书认证网络之间的数据传输提供量子安全成为可能。
例如,在图2的示例中,可以借助量子密钥分发网络,分别在证书签发服务器CA与密钥管理服务器KMC之间分发共享量子密钥CK,在证书签发服务器CA与证书注册服务器RA之间分发共享量子密钥CR,在证书注册服务器RA两两之间(诸如RA服务器1与2之间)分发共享量子密钥RR。
当用户终端连接证书注册服务器RA,向其提交注册证书请求和身份信息时,证书注册服务器RA对用户身份信息进行验证,并在验证通过后生成相应的证书请求,借助其与证书签发服务器CA之间的共享量子密钥CR,对证书请求进行加密后发送给证书签发服务器CA。
本领域技术人员知晓,证书签发服务器CA可以服务于多个证书注册服务器RA,例如图2中的RA服务器1和RA服务器2;每个证书注册服务器RA也可以服务于一个或多个用户终端,例如在图2中,RA服务器1服务于用户终端1和用户终端2,RA服务器2服务于用户终端3和用户终端4。
证书签发服务器CA在接收到加密的证书请求之后,可以对证书注册服务器RA进行身份验证,并在身份验证通过后利用其与相应证书注册服务器RA之间的共享量子密钥CR进行解密,得到证书请求的明文。
在用户终端申请加密证书时,证书签发服务器CA向密钥管理服务器KMC提交加密密钥请求,以申请加密密钥对。优选地,证书签发服务器CA可以借助其与密钥管理服务器KMC之间的共享量子密钥CK,以加密方式将加密密钥请求发送给密钥管理服务器KMC。
密钥管理服务器KMC在接收到加密密钥请求之后,可以根据加密密钥请求从密钥库中提取相应的加密密钥对,并借助共享量子密钥CK对加密密钥对进行加密后发送给证书签发服务器CA。
证书签发服务器CA在接收到加密的加密密钥对之后,可以利用相同的共享量子密钥CK对其进行解密,得到加密密钥对的明文。因此,可以借助加密密钥对生成数字证书,并借助证书签发服务器CA与证书注册服务器RA之间的共享量子密钥CR对数字证书进行加密后发送给相应的证书注册服务器RA。
证书注册服务器RA在接收到加密的数字证书之后,可以利用相同的共享量子密钥CR对其进行解密,得到数字证书的明文,并将其下发给相应的用户终端。
在本发明中,证书注册服务器RA还同时向用户终端充注量子密钥Rand,作为两者之间的共享量子密钥,用于会话密钥的加密传输。因此,数字证书认证系统中还可以设置有量子随机数服务器,用于连接证书注册服务器RA以为其提供量子随机数Rand,作为量子密钥使用。例如,在图2的示例中,分别在量子密钥分发节点3和4中部署有量子随机数服务器1和2,以分别连接RA服务器1和2。
在优选示例中,量子随机数服务器被设置用于生成器件无关量子随机数。
作为示例,用户终端可以(但不限于)为UKey、TF卡或IC智能卡等。
如果某一用户终端(即发送方,例如图2中的用户终端1)向另一用户终端(即接收方,例如图2中的用户终端3)发起建立安全连接请求以进行数据传输,其中,连接请求可以包括发送方用户终端接入的证书注册服务器RA的信息和用户终端的身份信息,接收方用户终端则对发送方用户终端的身份信息进行验证,并在验证通过后返回其接入的证书注册服务器RA的信息和用户终端的身份信息。
因此,发送方和接收方可以分别向其接入的证书注册服务器RA申请会话密钥。用于发送方和接收方的证书注册服务器RA根据会话密钥申请,通过量子密钥分发过程获取用于发送方的证书注册服务器RA(例如RA服务器1)与用于接收方的证书注册服务器RA(例如RA服务器2)之间的共享量子密钥RR,并将其用作会话密钥。用于发送方的证书注册服务器RA(例如RA服务器1)借助其与发送方用户终端之间的共享量子密钥Rand,以加密方式将共享量子密钥RR发送至发送方用户终端中;相应地,用于接收方的证书注册服务器RA(例如RA服务器2)借助其与接收方用户终端之间的共享量子密钥Rand,以加密方式将共享量子密钥RR发送至发送方用户终端中。由此,实现会话密钥在发送方和接收方之间的安全分发。
在完成发送方和接收方之间会话密钥的分发之后,发送方用户终端可以利用数字证书对传输数据生成签名信息,然后借助会话密钥以加密方式将签名信息、公钥证书和传输数据传输给接收方用户终端。
接收方用户终端在接收到加密数据之后,可以借助相同的会话密钥对其进行解密,获得签名信息、公钥证书和传输数据的明文,并利用公钥证书对接收到的签名信息进行验证。由此,借助会话密钥,以量子安全的方式实现所需要的数据传输。
至此,本领域技术人员容易认识到,本发明同时还公开了一种尤其适合结合上述数字证书认证系统实现的数据传输方法。
根据本发明的数据传输方法可以包括密钥分发步骤、证书签发步骤和数据传输步骤。
密钥分发步骤用于借助量子密钥分发网络,在数字证书认证网络中各服务器之间分发共享量子密钥。例如,在证书签发服务器CA与证书注册服务器RA之间分发共享量子密钥CR,在证书注册服务器RA两两之间分发共享量子密钥RR,以及在证书签发服务器CA与密钥管理服务器KMC之间分发共享量子密钥CK。
证书签发步骤用于借助共享量子密钥,以量子安全的方式向用户终端签发数字证书。
具体而言,在证书签发步骤中,首先由用户终端向其接入的证书注册服务器RA发送注册证书请求和身份信息。
证书注册服务器RA在对用户终端身份信息验证通过之后,生成证书请求,并借助共享量子密钥CR以加密方式将证书请求发送给证书签发服务器CA。
证书签发服务器CA在对证书注册服务器RA的身份验证通过之后,
响应于证书请求,签发数字证书,并借助共享量子密钥CR以加密方式将数字证书发送给证书注册服务器RA。
当用户终端申请加密证书时,证书签发服务器CA还可以向密钥管理服务器KMC提交加密密钥请求,以申请加密密钥对。优选地,证书签发服务器CA可以借助其与密钥管理服务器KMC之间的共享量子密钥CK,以加密方式将加密密钥请求发送给密钥管理服务器KMC。
密钥管理服务器KMC在接收到加密密钥请求之后,从密钥库中提取相应的加密密钥对,并借助共享量子密钥CK对加密密钥对进行加密后发送给证书签发服务器CA。
证书签发服务器CA在接收到加密的加密密钥对之后,利用相同的共享量子密钥CK对其进行解密,得到加密密钥对的明文,并借助加密密钥对生成数字证书。
证书注册服务器RA在接收到数字证书之后,将其下发给用户终端,同时还在证书注册服务器RA与用户终端之间分发共享量子密钥Rand。
作为优选示例,证书注册服务器RA可以从量子随机数服务器中获得和存储量子随机数Rand,并将量子随机数Rand充注给用户终端,由此实现证书注册服务器RA与用户终端之间共享量子密钥Rand的分发。其中,量子随机数Rand优选为器件无关量子随机数。
数据传输步骤用于实现发送方以量子安全的方式向接收方传输数据。
具体而言,在数据传输步骤中,发送方和接收方首先就身份信息及其接入的证书注册服务器RA的信息进行相互交互和验证。
在验证通过之后,借助量子密钥分发过程,在用于发送方的证书注册服务器RA与用于接收方的证书注册服务器RA之间分发共享量子密钥RR。此时,证书注册服务器RA将被用作数据传输过程中的会话密钥使用。
在将会话密钥发送给用户终端时,用于发送方的证书注册服务器RA借助其与发送方用户终端之间的共享量子密钥Rand,以加密方式将会话密钥发送给发送方用户终端;相应地,用于接收方的证书注册服务器RA也借助其与接收方用户终端之间的共享量子密钥Rand,以加密方式将会话密钥发送给接收方用户终端。
此时,发送方用户终端可以利用数字证书对传输数据生成签名信息,并借助会话密钥以加密方式将签名信息、公钥证书和传输数据传输给接收方用户终端。
接收方用户终端则可以借助会话密钥获得名信息、公钥证书和传输数据的明文,并利用公钥证书验证发送方的签名信息。
综上可知,在本发明的数据传输方法和数字证书认证系统中,融合了量子安全体系和非对称密钥体系的优势,兼有量子安全的保密性和非对称体系的不可抵赖性,提高了用户之间业务传输的安全性。
其中,由于量子密钥的密钥源来自量子随机数,比基于算法和噪声源等技术的传统随机数具有更高的安全性,尤其是器件无关量子随机数,是基于量子力学内禀随机性的随机数,具有不可预测性,被认为是安全性最高的随机数。而基于量子力学的量子密钥分发技术,因量子态具有不可克隆、不确定性和测量塌缩的特性,所以保证了密钥分发过程不可被有效地窃听。因此,通过利用以安全方式分发的量子密钥,对通信双方的数据传输进行加密,不再需要依赖非对称密钥加密传输密钥,因此也就不存在非对称加密算法带来的加密效率低的问题。此时,还允许采用一字一密异或的加密方式,使得能够实现最高等级的安全性。
进一步地,通过在传统数字证书认证网络中的CA、RA、KMC等服务器端部署量子密钥分发设备,使用高安全性的量子密钥分发技术为CA和RA之间、CA和KMC之间分发共享量子密钥,使用量子密钥对CA和RA之间、CA和KMC之间的数据传输进行加密保护,可以提高数据传输的安全性。同时,在为用户安全的发放数字证书的同时,也可以为用户终端充注量子密钥,用户之间在进行数据传输时,可将量子密钥与数字证书融合使用,用数字证书进行签名验证,用量子密钥加密数字证书和要传输的数据。因此,与现有技术相比,本发明不仅使数字证书的传递得到量子密钥的加密保护,在传输数据的加密上也采用了具有更高安全性的量子密钥,可大大提高用户之间数据传输的安全性。
尽管前面结合附图通过具体实施例对本发明进行了说明,但是,本领域技术人员容易认识到,上述实施例仅仅是示例性的,用于说明本发明的原理,其并不会对本发明的范围造成限制,本领域技术人员可以对上述实施例进行各种组合、修改和等同替换,而不脱离本发明的精神和范围。

Claims (10)

1.一种量子安全的数据传输方法,其包括密钥分发步骤、证书签发步骤和数据传输步骤;
在密钥分发步骤中,在证书签发服务器CA与证书注册服务器RA之间分发共享量子密钥CR,在证书注册服务器RA两两之间分发共享量子密钥RR;
在证书签发步骤中,证书签发服务器CA响应于证书注册服务器RA的证书请求,签发数字证书并借助共享量子密钥CR以加密方式将数字证书发送给证书注册服务器RA;证书注册服务器RA将数字证书下发给用户终端,并在证书注册服务器RA与用户终端之间分发共享量子密钥Rand;
在数据传输步骤中,用于发送方的证书注册服务器RA借助其与发送方用户终端之间的共享量子密钥Rand以加密方式将会话密钥发送给发送方用户终端,用于接收方的证书注册服务器RA借助其与接收方用户终端之间的共享量子密钥Rand以加密方式将会话密钥发送给接收方用户终端;发送方用户终端利用数字证书对传输数据生成签名信息,并借助会话密钥以加密方式将签名信息、公钥证书和传输数据传输给接收方用户终端;接收方用户终端利用公钥证书验证发送方的签名信息。
2.如权利要求1所述的数据传输方法,其中:
会话密钥为用于发送方的证书注册服务器RA与用于接收方的证书注册服务器RA之间的共享量子密钥RR;或者,通过使证书注册服务器RA获得和存储量子随机数Rand,并将量子随机数Rand充注给用户终端,实现证书注册服务器RA与用户终端之间共享量子密钥Rand。
3.如权利要求1所述的数据传输方法,其中,密钥分发步骤还包括在证书签发服务器CA与密钥管理服务器KMC之间分发共享量子密钥CK的步骤;并且,
证书签发步骤还包括密钥管理服务器KMC响应于证书签发服务器CA的加密密钥请求,借助共享量子密钥CK以加密方式将加密密钥对发送给证书签发服务器CA的步骤。
4.如权利要求1所述的数据传输方法,其中,证书签发步骤还包括:
用户终端向证书注册服务器RA发送注册证书请求和身份信息的步骤;以及,
证书注册服务器RA对用户终端的身份信息进行验证,并在验证通过后生成证书请求,借助共享量子密钥CR以加密方式将证书请求发送给证书签发服务器CA的步骤。
5.如权利要求1-4中任一项所述的数据传输方法,其中,所述共享量子密钥Rand为器件无关量子随机数,以及/或者,所述加密方式为一字一密异或加密。
6.一种量子安全的数字证书认证系统,其包括量子密钥分发网络和数字证书认证网络;
所述量子密钥分发网络包括多个量子密钥分发节点;
所述数字证书认证网络包括密钥管理服务器KMC、证书签发服务器CA和证书注册服务器RA,其中,所述密钥管理服务器KMC、证书签发服务器CA和证书注册服务器RA分别部署于相应的量子密钥分发节点中以获取量子密钥;
所述量子密钥分发网络被设置用于在证书签发服务器CA与证书注册服务器RA之间分发共享量子密钥CR,以及在证书注册服务器RA两两之间分发共享量子密钥RR;
所述证书签发服务器CA被设置用于响应证书注册服务器RA的证书请求,签发数字证书并借助共享量子密钥CR以加密方式将数字证书发送给证书注册服务器RA;
所述证书注册服务器RA被设置用于将数字证书下发给用户终端,获得并将量子密钥Rand充注给用户终端以作为其与用户终端之间的共享量子密钥Rand,以及借助共享量子密钥Rand以加密方式将会话密钥发送给用户终端;
所述用户终端被设置成,作为发送方利用数字证书对传输数据生成签名信息,并借助会话密钥以加密方式将签名信息、公钥证书和传输数据传输给接收方;或者作为接收方利用会话密钥从接收到的数据中获得签名信息、公钥证书和传输数据明文,并利用公钥证书验证签名信息。
7.如权利要求6所述的数字证书认证系统,其中,所述量子密钥分发网络还被设置用于在证书签发服务器CA与密钥管理服务器KMC之间分发共享量子密钥CK;并且,
所述密钥管理服务器KMC被设置用于响应证书签发服务器CA的加密密钥请求,借助共享量子密钥CK以加密方式将加密密钥对发送给证书签发服务器CA。
8.如权利要求6所述的数字证书认证系统,其中,所述证书注册服务器RA还被设置用于验证用户终端的身份信息,并在验证通过后生成证书请求,借助共享量子密钥CR以加密方式将证书请求发送给证书签发服务器CA。
9.如权利要求6所述的数字证书认证系统,其还包括量子随机数服务器,所述量子随机数服务器被设置用于生成量子随机数Rand,并将量子随机数Rand作为量子密钥Rand发送给证书注册服务器RA;以及/或者,
所述会话密钥为用于发送方的证书注册服务器RA与用于接收方的证书注册服务器RA之间的共享量子密钥RR。
10.如权利要求6-9中任一项所述的数字证书认证系统,其中,所述用户终端为UKey、TF卡或IC智能卡;以及/或者,所述加密方式为一字一密异或加密。
CN202210738126.3A 2022-06-28 2022-06-28 量子安全的数据传输方法及数字证书认证系统 Active CN114826593B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210738126.3A CN114826593B (zh) 2022-06-28 2022-06-28 量子安全的数据传输方法及数字证书认证系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210738126.3A CN114826593B (zh) 2022-06-28 2022-06-28 量子安全的数据传输方法及数字证书认证系统

Publications (2)

Publication Number Publication Date
CN114826593A true CN114826593A (zh) 2022-07-29
CN114826593B CN114826593B (zh) 2022-09-16

Family

ID=82522462

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210738126.3A Active CN114826593B (zh) 2022-06-28 2022-06-28 量子安全的数据传输方法及数字证书认证系统

Country Status (1)

Country Link
CN (1) CN114826593B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115242785A (zh) * 2022-09-22 2022-10-25 长江量子(武汉)科技有限公司 桌面云服务器与终端安全通信方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190379536A1 (en) * 2018-06-11 2019-12-12 Korea Institute Of Science And Technology Certificated quantum cryptography system and method
CN112104453A (zh) * 2020-08-06 2020-12-18 如般量子科技有限公司 一种基于数字证书的抗量子计算数字签名系统及签名方法
CN114091055A (zh) * 2021-11-04 2022-02-25 深圳天通信息科技有限公司 一种量子加密信息传输系统
CN114205076A (zh) * 2021-11-18 2022-03-18 广东电网有限责任公司 基于数字证书的量子密钥分发系统
US20220141039A1 (en) * 2020-11-02 2022-05-05 International Business Machines Corporation Certificate based security using post quantum cryptography

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190379536A1 (en) * 2018-06-11 2019-12-12 Korea Institute Of Science And Technology Certificated quantum cryptography system and method
CN112104453A (zh) * 2020-08-06 2020-12-18 如般量子科技有限公司 一种基于数字证书的抗量子计算数字签名系统及签名方法
US20220141039A1 (en) * 2020-11-02 2022-05-05 International Business Machines Corporation Certificate based security using post quantum cryptography
CN114091055A (zh) * 2021-11-04 2022-02-25 深圳天通信息科技有限公司 一种量子加密信息传输系统
CN114205076A (zh) * 2021-11-18 2022-03-18 广东电网有限责任公司 基于数字证书的量子密钥分发系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115242785A (zh) * 2022-09-22 2022-10-25 长江量子(武汉)科技有限公司 桌面云服务器与终端安全通信方法

Also Published As

Publication number Publication date
CN114826593B (zh) 2022-09-16

Similar Documents

Publication Publication Date Title
CN106357649A (zh) 用户身份认证系统和方法
CN108650028B (zh) 基于量子通信网络与真随机数的多次身份认证系统和方法
CA2886849A1 (en) A secure mobile electronic payment system where only the bank has the key, distributed key handshakes, one way and two way authentication distributed key processes and setting up a dynamic distributed key server
CN111756529B (zh) 一种量子会话密钥分发方法及系统
CN113114460B (zh) 一种基于量子加密的配电网信息安全传输方法
CN113612605A (zh) 使用对称密码技术增强mqtt协议身份认证方法、系统和设备
CN108964896B (zh) 一种基于群组密钥池的Kerberos身份认证系统和方法
CN113079022B (zh) 一种基于sm2密钥协商机制的安全传输方法和系统
CN108600152B (zh) 基于量子通信网络的改进型Kerberos身份认证系统和方法
CN111080299B (zh) 一种交易信息的防抵赖方法及客户端、服务器
CN108964895B (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法
CN106713236A (zh) 一种基于cpk标识认证的端对端身份认证及加密方法
CN112165386B (zh) 一种基于ecdsa的数据加密方法及系统
CN114826593B (zh) 量子安全的数据传输方法及数字证书认证系统
CN113676448A (zh) 一种基于对称秘钥的离线设备双向认证方法和系统
US20210051006A1 (en) Blind key generator and exchange
CN111245611B (zh) 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统
CN108965266B (zh) 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法
CN114928503B (zh) 一种安全通道的实现方法及数据传输方法
CN111682936B (zh) 一种基于物理不可克隆函数的Kerberos鉴权方法
CN111526131B (zh) 基于秘密共享和量子通信服务站的抗量子计算的电子公文传输方法和系统
CN116318637A (zh) 设备安全入网通信的方法和系统
CN109067705B (zh) 基于群组通信的改进型Kerberos身份认证系统和方法
CN112822015A (zh) 信息传输方法及相关装置
CN112069487A (zh) 一种基于物联网的智能设备网络通讯安全实现方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant