CN115314191A - 融合密钥应用方法及系统 - Google Patents
融合密钥应用方法及系统 Download PDFInfo
- Publication number
- CN115314191A CN115314191A CN202210810581.XA CN202210810581A CN115314191A CN 115314191 A CN115314191 A CN 115314191A CN 202210810581 A CN202210810581 A CN 202210810581A CN 115314191 A CN115314191 A CN 115314191A
- Authority
- CN
- China
- Prior art keywords
- key
- service
- quantum
- application system
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种融合密钥应用方法及系统。该方法包括:融合密钥应用系统接收来自业务系统的业务密钥生成请求,其中业务密钥生成请求中携带密钥类型;所述融合密钥应用系统根据所述密钥类型生成业务密钥和与该业务密钥对应的密钥ID。通过本发明,融合密钥应用系统对来自业务系统的密钥生成请求,一方面能够融合多种密钥类型,便于应用根据实际需要进行选择;另一方面,不直接传输密钥与密钥因子,可以避免在后续的数据传输过程中因密钥被窃取而导致数据的泄露,能让应用更加方便、安全地使用密钥,因此,可以解决相关技术中如何为应用提供多种密钥种类的问题,达到提高跨区域间应用数据安全传输的可靠性、稳定性的效果。
Description
技术领域
本发明实施例涉及量子保密通信领域,具体而言,涉及一种融合密钥应用方法及系统。
背景技术
量子密钥分发(QKD)是基于量子的不可分割特性以及量子态不可克隆定理来建立的。量子是能量的最小单元,其不可分割性是指无法通过窃取单量子的一部分并测量其状态,量子态测不准原理使得无法获得任意单量子的多个精确一致拷贝,基于这样的量子特性,窃听会造成误码率提升而可被感知。所以,基于量子密钥分发,密钥将无法被窃听和破解,可在物理原理上提供保证通信安全的成对密钥。
随着QKD网络部署规模扩大和用户对高安全密码产品的需求增长,用户对QKD网络的应用服务接入需求将不断扩张。将多个点对点QKD网络连接起来组成的量子密钥分发网络可以提供多用户、长距离的密钥服务。
如何为应用提供多种密钥种类,以适应应用的各种使用场景是目前相关技术需要解决的问题。
发明内容
本发明实施例提供了一种融合密钥应用方法及系统,以至少解决相关技术中如何为应用提供多种密钥种类的问题。
根据本发明的一个实施例,提供了一种融合密钥应用方法,包括:融合密钥应用系统接收来自业务系统的业务密钥生成请求,其中所述业务密钥生成请求中携带密钥类型;所述融合密钥应用系统根据所述密钥类型生成业务密钥和与所述业务密钥对应的密钥ID。
在一个示例性实施例中,融合密钥应用系统根据所述密钥类型生成所述业务密钥和与所述业务密钥对应的密钥ID,包括:在所述密钥类型为经典密钥类型的情况下,所述融合密钥应用系统生成第一业务密钥及与所述第一业务密钥对应的第一密钥ID;在所述密钥类型为量子密钥类型的情况下,所述融合密钥应用系统从量子密钥分发网络获取量子密钥,或从量子密钥库中检索获取量子密钥,并从所述量子密钥中拆分出第二业务密钥,基于所述第二业务密钥并根据规则生成第二密钥ID。
在一个示例性实施例中,其中,在所述密钥类型为经典密钥类型的情况下,所述业务密钥生成请求中还携带至少以下信息之一:密钥算法、密钥长度、对端节点信息。
在一个示例性实施例中,所述融合密钥应用系统根据所述密钥类型生成业务密钥和与所述业务密钥对应的密钥ID之后,还包括:将所述密钥ID、密钥名称、密钥材料、密钥类型、密钥算法以及密钥长度写入业务密钥表,并将所述密钥ID返回至所述业务系统。
在一个示例性实施例中,所述融合密钥应用系统从量子密钥库中检索获取量子密钥,包括:所述融合密钥应用系统根据所述对端节点信息从量子密钥库中检索相对应的量子密钥;其中,所述量子密钥为所述融合密钥系统根据系统策略配置而触发生成的。
在一个示例性实施例中,在所述融合密钥应用系统从所述量子密钥库中检索不到相对应的量子密钥的情况下,所述融合密钥应用系统触发量子密钥生成流程以获取所述量子密钥。
在一个示例性实施例中,其中,生成量子密钥的过程中,所述融合密钥应用系统记录对端节点信息到本地节点信息表中。
在一个示例性实施例中,根据规则生成第二密钥ID,包括:将量子密钥、量子会话、密钥标识信息通过杂凑算法生成hash值,再拼接密码算法和密钥长度标识信息生成密钥ID。
在一个示例性实施例中,所述融合密钥应用系统根据所述密钥类型生成业务密钥和与所述业务密钥对应的密钥ID之后,还包括:所述融合密钥应用系统将所述业务密钥和与所述业务密钥对应的密钥ID返回至所述业务系统;或,所述融合密钥应用系统将与所述业务密钥对应的密钥ID返回至所述业务系统。
在一个示例性实施例中,还包括:所述融合密钥应用系统接收所述业务系统发送的业务数据,基于所述业务密钥对所述业务数据进行加密,并将得到的加密业务数据以及与所述业务密钥对应的密钥ID返回至所述业务系统。
根据本发明的另一个实施例,提供了一种融合密钥应用系统,包括:第一接收模块,用于第一接收来自业务系统的业务密钥生成请求,其中所述业务密钥生成请求中携带密钥类型;生成模块,用于根据所述密钥类型生成业务密钥和与所述业务密钥对应的密钥ID。
在一个示例性实施例中,所述的融合密钥应用系统还包括:所述生成模块,包括:第一生成单元,用于在所述密钥类型为经典密钥类型的情况下,生成第一业务密钥及与所述第一业务密钥对应的第一密钥ID;第二生成单元,用于在所述密钥类型为量子密钥类型的情况下,从量子密钥分发网络获取量子密钥,或从量子密钥库中检索获取所述量子密钥,并从所述量子密钥中拆分出第二业务密钥,基于所述第二业务密钥并根据规则生成第二密钥ID。
在一个示例性实施例中,还包括:第二接收模块,用于接收所述业务系统发送的业务数据;加密模块,用于基于所述业务密钥对所述业务数据进行加密,并将得到的加密业务数据以及与所述业务密钥对应的密钥ID返回至所述业务系统。
根据本发明的又一个实施例,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明的上述实施例,融合密钥应用系统对来自业务系统的密钥生成请求,是根据密钥类型来生成密钥与密钥ID,一方面能够融合多种密钥类型,便于应用根据实际需要进行选择;另一方面,不直接传输密钥与密钥因子,可以避免在后续的数据传输过程中因密钥被窃取而导致数据的泄露,能让应用更加方便、安全地使用密钥,因此,可以解决相关技术中如何为应用提供多种密钥种类的问题,达到提高跨区域间应用数据安全传输的可靠性、稳定性的效果。
附图说明
图1是本发明实施例的运行融合密钥应用方法的计算机终端的硬件结构框图;
图2是根据本发明实施例的融合密钥应用方法的流程图;
图3是根据本发明实施例的融合密钥应用系统的结构框图;
图4是根据本发明另一实施例的融合密钥应用系统的结构框图;
图5是根据本发明又一实施例的融合密钥应用系统的结构框图;
图6是根据本发明实施例的融合密钥应用系统功能网络架构的示意图;
图7是根据本发明实施例的量子密钥生成流程的示意图;
图8是根据本发明实施例的业务密钥生成流程的示意图;
图9是根据本发明实施例的两点间敏感数据加密传输示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明的实施例。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例中所提供的方法实施例可以在计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本发明实施例的运行融合密钥应用方法的计算机终端的硬件结构框图。如图1所示,计算机终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器(Central Processing Unit,MCU)或可编程逻辑器件(Field Programmable Gate Array,FPGA)等的处理装置)和用于存储数据的存储器104,其中,上述计算机终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述计算机终端的结构造成限定。例如,计算机终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的融合密钥应用方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种融合密钥应用方法,该方法运行在上述的计算机终端中,图2是根据本发明实施例的融合密钥应用方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,融合密钥应用系统接收来自业务系统的业务密钥生成请求,其中业务密钥生成请求中携带密钥类型;
具体地,密钥类型可以是量子密钥、经典对称密钥或非对称密钥等。
在本实施例中,融合密钥应用系统接收密钥生成请求之后,还可包括:验证客户端服务合法性和验证客户端用户合法性,并在密钥类型为量子密钥时,还需验证对端节点信息的合法性。
步骤S204,融合密钥应用系统根据密钥类型生成业务密钥和与所述业务密钥对应的密钥ID;
具体地,在本实施例中,融合密钥融合系统在接收到密钥生成请求后,先判断密钥类型是经典密钥还是量子密钥。
在密钥类型为经典密钥类型的情况下,融合密钥应用系统生成第一业务密钥及与该第一业务密钥对应的第一密钥ID;在密钥类型为量子密钥类型的情况下,融合密钥应用系统从量子密钥分发网络获取量子密钥,或从量子密钥库中检索获取与对端节点设备信息相对应的量子密钥,并从量子密钥中拆分出第二业务密钥,基于第二业务密钥并根据规则生成第二密钥ID。
在本实施例中,在密钥类型为经典密钥类型的情况下,业务密钥生成请求中还携带至少以下信息之一:密钥算法、密钥长度、对端节点信息。
在本实施例中,融合密钥应用系统可将密钥ID、密钥名称、密钥材料、密钥类型、密钥算法以及密钥长度写入业务密钥表,并将密钥ID返回至业务系统。
融合密钥应用系统根据对端节点信息从量子密钥库中检索相对应的量子密钥;
其中,量子密钥为融合密钥系统根据系统策略配置而触发生成的。
在本实施例中,在该融合密钥应用系统从量子密钥库中检索不到相对应的量子密钥的情况下,融合密钥应用系统触发量子密钥生成流程以获取量子密钥。
在本实施例中,在密钥的生成过程中,融合密钥应用系可将对端节点信息记录到本地节点信息表中,后续可通过监控密钥策略和节点信息表来自动触发生成量子密钥的申请。
在本实施例中,可根据规则来生成第二密钥ID,其中,密钥ID生成规则可以为:将量子密钥、量子会话、密钥标识信息通过杂凑算法生成hash值,再拼接密码算法和密钥长度标识信息生密钥ID。
在一个示例性实施例中,还包括:融合密钥应用系统将业务密钥和与业务密钥对应的密钥ID返回至业务系统;或,融合密钥应用系统将与业务密钥对应的密钥ID返回至业务系统。
在一个示例性实施例中,还包括:融合密钥应用系统接收业务系统发送的业务数据,基于业务密钥对业务数据进行加密,并将得到的加密业务数据以及与业务密钥对应的密钥ID返回至业务系统。
通过本实施例的上述步骤,融合密钥应用系统对来自业务系统的密钥生成请求,是根据密钥类型来生成密钥ID,一方面能够融合多种密钥类型,便于应用的适配工作;另一方面,不直接生成密钥,而是生成密钥ID,可以避免在后续的数据传输过程中因密钥被窃取而导致密钥和数据的泄露,能让应用更加方便、安全地使用量子密钥,因此,可以解决相关技术中如何让应用更加方便、安全地使用量子密钥,且减少应用的适配工作的问题,提高了跨区域间应用数据安全传输的可靠性、稳定性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器(Read-Only Memory/Random Access Memory,ROM/RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种融合密钥应用装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本发明实施例的融合密钥应用系统的结构框图,如图3所示,该系统包括:第一接收模块10和生成模块20。
第一接收模块10,用于接收来自业务系统的业务密钥生成请求,其中业务密钥生成请求中携带密钥类型。
生成模块20,用于根据所述密钥类型生成密钥ID业务密钥和与该业务密钥对应的密钥ID。
图4是根据本发明另一实施例的融合密钥应用系统的结构框图,如图4所示,的融合密钥应用系统,除包括图3的所有模块外,生成模块20还包括:
第一生成单元21,用于在密钥类型为经典密钥类型的情况下,生成第一业务密钥及与第一业务密钥对应的第一密钥ID;
第二生成单元22,用于在密钥类型为量子密钥类型的情况下,从量子密钥分发网络获取量子密钥,或从量子密钥库中检索获取量子密钥,并从量子密钥中拆分出第二业务密钥,基于第二业务密钥并根据规则生成第二密钥ID。
图5是根据本发明又一实施例的融合密钥应用系统的结构框图,如图5所示的融合密钥应用系统,除包括图4的所有模块外,还包括:
第二接收模块30,用于接收所述业务系统发送的业务数据;
加密模块40,用于基于所述业务密钥对所述业务数据进行加密,并将得到的加密业务数据以及与所述业务密钥对应的密钥ID返回至所述业务系统。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
为便于对本发明所提供的技术方案的理解,下面将结合具体场景的实施例进行详细的阐述。
本实施例提供了一种基于QKD网络的融合密钥应用系统500,该系统能适应应用的各种使用场景,实现量子密钥与经典密码的融合,以提供丰富的密钥种类与服务。
在本实施例中,从QKD网络中获取量子密钥,使用硬件密码模块(HSM)保护密钥安全的高可用、可扩展的基础设施类密码系统,融合量子密钥与经典密码,支持包括对称密钥、非对称密钥、秘密数据等多种对象的统一管理,提供完善的密钥生命周期管理功能,并提供基于用户的密钥体系及密钥策略,满足多用户多业务系统的密钥管理需求。融合密钥应用系统500作为密钥资产、敏感信息和数据访问控制的核心管理服务,可实现融合量子密钥业务系统加密、数据库加密、磁盘加密及密钥统一管理等功能。
如图6所示,在本实施例中,融合密钥应用系统500可与QKD网络400、业务系统100、存储系统200和数据库服务300进行数据交互。其中,该融合密钥应用系统500包括:管理控制台51、接口服务52、密钥服务53、硬件密码模块(HSM)54、存储服务55、管控服务56以及QKDAGT 57。需要说明的是,本实施例中融合密钥应用系统500的功能模块划分与前文实施例并不完全相同。
具体地,管理控制台51主要用来对融合密钥应用系统500进行配置管理,包括系统配置、业务用户和组管理、认证管理、人员权限管理、策略管理、安全审计等。
接口服务52提供了完善的常用密码算法功能调用接口,不同的客户信息系统能够基于统一的密码接口规范调用各项密码资源,实现加密/解密、密钥产生及生命周期管理等基础密码运算功能。
密钥服务53是融合密钥应用系统500的核心服务,主要负责完成量子及经典密钥的生命周期管理和密码运算等功能,通过此服务模块完成密钥的整个生命周期管理以及量子密钥与经典密码的融合。包含数据接收处理、身份认证、密钥生命周期管理和密码运算等功能子模块,提供对密钥的生成、存储、注销、归档、恢复、销毁、更新等生命周期管理操作,根据业务用户发起的管理操作对密钥执行相应的处理。密钥生成功能从QKD网络400获取量子密钥,密钥服务模块53调用量子密钥库根据相应对端业务节点获取最终业务用户密钥,生成后采用系统加密密钥进行加密保护;密钥下发模块主要判断密钥状态、密钥授权策略、业务用户身份等信息,认证通过后对用户密钥加密后返回;密码运算服务模块提供敏感加解密、生成随机数等业务运算功能。其中,密钥服务模块53在功能上包含了上述实施例中的生成模块20的功能
硬件密码模块(HSM)54为融合密钥应用系统500提供底层硬件密码服务支撑的能力,为上层服务提供基础的密码运算和主密钥加密保护的能力。
存储服务55提供融合密钥应用系统500数据存储功能,使用关系型数据库作为数据载体,提供量子密钥库、业务密钥库、系统配置信息、用户信息、服务配置、白名单配置、日志存储等数据存储能力。
管控服务56主要完成融合密钥应用系统500内部的管理控制类操作,包括密钥类操作和系统管理类操作。密钥类操作包括量子密钥定时申请,业务密钥定时激活、注销、销毁等;系统管理类操作包括监控密钥管理服务状态,同步系统时间等功能。其中,管控服务模块56在功能上包含了上述实施例中的接收模块的功能。
QKDAGT57主要完成与量子QKD网络的对接,处理量子密钥的生成申请以及节点间的路由处理。
下面将对量子密钥和融合业务密钥的生成过程进行详细描述。
(1)量子密钥生成
图7是根据本发明实施例的量子密钥生成流程的示意图,以数据交互两点间的量子密钥生成为例,在业务系统调用本地节点的融合密钥应用系统申请数据中心间的业务密钥时,当申请的业务密钥类型为量子密钥时,还需要先生成量子密钥,如图7所示,量子密钥生成过程包括如下步骤:
步骤S701,本地节点的管控服务(A)发起生成量子密钥流程。
在一些实施例中,本地节点的管控服务(A)因接收量子密钥生成请求而发起生成量子密钥流程;或,本地节点的密钥服务调用管控服务(A)申请量子密钥,管控服务(A)根据该调用监控密钥策略和节点信息表而发起生成量子密钥流程。
步骤S702,本地节点的管控服务(A)调用本地节点的QKDAGT(A)接口,并将对端节点信息、密钥标识发送至本地节点的QKDAGT(A)接口,以请求生成量子密钥。
步骤S703,本地节点的QKDAGT(A)在成功接收到对端节点信息、密钥标识后,向本地节点的管控服务(A)响应接收成功。
步骤S704,本地节点的QKDAGT(A)将生成量子密钥的请求发送至QKD网络,以调用QKD网络生成量子密钥。
步骤S705,QKD网络根据本地节点的QKDAGT(A)发送的生成量子密钥请求生成量子密钥。
在一些实施例中,本地节点的QKDAGT(A)成功接收了生成量子密钥的请求后,调用QKD网络生成量子密钥,向QKD网络发送生成量子密钥请求,QKD网络接收请求后根据本端节点信息和对端节点信息生成量子密钥。
步骤S706,QKD网络将生成的量子密钥发送给本地节点的QKDAGT(A)。
同时,QKD网络还将生成的量子密钥推送到对端节点的QKDAGT(B),如步骤S706’所示;其中,图7中的管控服务(B)为对端节点的管控服务。
步骤S707,本地节点的QKDAGT(A)调用本地节点的导入密钥接口,将量子密钥、量子会话、密钥标识以及节点信息发送至本地节点管控服务(A)中,同时,在对端节点也做相类似的操作,可参照步骤S707’。
步骤S708,本地节点的管控服务(A)将接收到的量子密钥导入量子密钥库中。同时,在对端节点也做相类似的操作,可参照步骤S708’。
步骤S709,本地节点的管控服务(A)成功将量子密钥导入了量子密钥库后,向本地节点的QKDAGT(A)响应导入成功。同样地,对端节点也做相类似的操作,可参照步骤S709’。
在本实施例中,量子密钥的生成过程中,本地节点的管控服务(A)记录对端节点信息到本地节点信息表中,以便融合密钥应用系统后续可根据配置的密钥策略自动触发量子密钥的申请。
(2)融合业务密钥生成
图8是根据本发明实施例的业务密钥生成流程的示意图。如图8所示,业务系统调用融合密钥应用系统申请业务密钥生成,并携带密钥类型,算法,密钥长度等信息,密钥类型可选择是量子密钥或经典对称密钥或非对称密钥,如果是量子密钥,还可以携带量子设备对端节点信息。
具体地,业务密钥的生成流程包括如下步骤:
步骤S801,业务系统向融合密钥系统发送业务密钥生成请求。
在一些实施例中,业务密钥生成请求中还携带着至少以下之一的信息:对端节点信息、密钥名称、密钥类型、算法以及密钥长度等信息。
步骤S802,融合密钥系统的密钥服务的业务模块接收到业务密钥生成请求后,验证客户端服务合法性、验证客户端用户合法性。
步骤S803,验证对端节点信息合法性。
步骤S804,业务模块将业务密钥生成请求发送至密钥服务的密钥模块,以生成业务密钥。
步骤S805,密钥模块接收到业务密钥生成请求后判断密钥类型,其中,密钥类型包括经典密钥类型和量子密钥类型。
步骤S806,在密钥类型为量子密钥类型的情况下,融合密钥应用系统根据对端节点信息从量子密钥库中检索相对应的量子密钥。
步骤S807,根据密钥类型,生成唯一的密钥ID。
在一些实施例中,在密钥类型为量子密钥类型的情况下,如果能够从量子密钥库中检索到相对应的量子密钥,融合密钥应用系统直接从量子密钥库中获取的量子密钥;如果从量子密钥库中检索不到相对应的量子密钥,融合密钥应用系统触发生成量子密钥流程以获取量子密钥,最终从获取的量子密钥中拆分生成第二业务密钥,基于第二业务密钥生成唯一的第二密钥ID。
在密钥类型为经典密钥类型的情况下,融合密钥应用系统生成一个唯一的第一密钥ID。
步骤S808,将生成的密钥ID、业务密钥名称、密钥材料、密钥类型、算法、密钥长度等信息写入业务密钥表中。
步骤S809,密钥模块将业务密钥名称、密钥ID返回至业务模块。
步骤S810,融合密钥系统(即业务模块)向业务系统发送业务密钥生成成功消息,并将密钥名称和密钥ID返回至业务系统。
在一些实施例中,密钥模块将密钥名称、密钥ID等信息返回至业务模块,业务模块在将密钥名称、密钥ID返回至业务系统,并提示业务系统业务密钥生成成功。
在本实施例中,融合密钥应用系统成功处理密钥生成请求后,如果申请的密钥类型是经典密钥,融合密钥应用系统将自动生成唯一密钥ID,并将密钥ID、密钥名称、密钥材料、密钥类型、算法、长度等信息写入业务密钥表然后返回密钥ID给业务系统。
在本实施例中,如果申请的密钥类型是量子密钥,融合密钥应用系统先根据量子设备对端节点信息从量子密钥库中检索到相应的量子密钥,然后根据密钥长度将量子密钥拆分成业务密钥,再根据统一的规则自动生成业务密钥ID。业务密钥ID生成规则可以按以下方式:将量子密钥元数据信息通过算法生成hash值,再加上算法和密钥长度标识等信息统一生成;
具体地,一种密钥ID示例如下:
821b60cfe4e5730ab2ac78b80d9c57e91a52feb15b84a2e8b78aba137cb8881f0601。
在本实施中,通过上述规则的密钥ID可在两点间另外一点查询到相同的量子密钥,进而生成相同的业务密钥。
下面将针对如何基于所生成的密钥ID对业务系统端运算数据进行加解密,以实现两点间敏感数据加密安全传输进行详细描述。
在本实施中,业务系统调用融合密钥应用系统密钥运算服务加密/解密接口,并对传入的敏感数据进行加解密运算。图9是根据本发明实施例的两点间敏感数据加密传输示意图,如图9所示,该敏感数据加密传输包括如下步骤:
步骤S901,数据中心DC1端的业务系统调用加密接口,并向DC1端的融合密钥应用系统发送密钥ID和待加密数据。
步骤S902,DC1端的融合密钥应用系统验证客户端身份的合法性、验证密钥状态、策略等信息。
步骤S903,DC1端的融合密钥应用系统从业务密钥库查询业务密钥,并解析密钥ID查询密钥材料。
步骤S904,DC1端的融合密钥应用系统根据业务密钥的加密算法在服务端对敏感数据加密。
步骤S905,DC1端的融合密钥应用系统返回敏感数据的密文至DC1的业务系统。
步骤S906,DC1端的业务系统将敏感数据的密文和密钥ID发送至DC2端的业务系统。
在一些实施例中,可实现将量子密钥与经典密钥的加密算法融合,然后将加密后的密文返回DC1端的业务系统,业务系统将密文数据和密钥ID发送到数据中心DC2。
步骤S907,DC2端的业务系统调用解密接口,并向DC2端的融合密钥应用系统发送密钥ID和待解密数据。
步骤S908,DC2端的融合密钥应用系统验证客户端身份的合法性、验证密钥状态、策略等信息。
步骤S909,DC2端的融合密钥应用系统从业务密钥库查询业务密钥,并解析密钥ID查询密钥材料。
步骤S910,DC2端的融合密钥应用系统在服务端采用密钥ID对应算法对敏感数据解密,以获取敏感数据的明文。
步骤S911,DC2端的融合密钥应用系统将敏感数据的明文返回至DC2端的业务系统。
在一些实施例中,DC2端的融合密钥应用系统验证客户端身份的合法性、验证密钥状态、策略等信息后,从量子密钥库查询业务密钥,解析密钥ID查询密钥材料,将在服务端对敏感数据解密后的明文返回给DC2端的业务系统。
在本实施例中,基于QKD网络的融合密钥应用方法及系统从QKD网络中获取量子密钥,融合量子密钥与经典密码,基于量子密钥赋予的高安全性,满足了多用户多业务系统不同的密钥管理需求。融合密钥应用系统作为密钥资产、敏感信息和数据访问控制的核心管理服务,可实现融合量子密钥业务系统加密、数据库加密、磁盘加密及密钥统一管理等功能,有效扩大了量子保密通信的使用场景,构建新一代密码基础设施。
本发明的实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种融合密钥应用方法,其特征在于,包括:
融合密钥应用系统接收来自业务系统的业务密钥生成请求,其中所述业务密钥生成请求中携带密钥类型;
所述融合密钥应用系统根据所述密钥类型生成业务密钥和与所述业务密钥对应的密钥ID。
2.根据权利要求1所述的方法,其特征在于,融合密钥应用系统根据所述密钥类型生成所述业务密钥和与所述业务密钥对应的密钥ID,包括以下之一:
在所述密钥类型为经典密钥类型的情况下,所述融合密钥应用系统生成第一业务密钥及与所述第一业务密钥对应的第一密钥ID;
在所述密钥类型为量子密钥类型的情况下,所述融合密钥应用系统从量子密钥分发网络获取量子密钥,或从量子密钥库中检索获取量子密钥,并从所述量子密钥中拆分出第二业务密钥,基于所述第二业务密钥并根据规则生成第二密钥ID。
3.根据权利要求2所述的方法,其特征在于,其中,在所述密钥类型为量子密钥类型的情况下,所述业务密钥生成请求中还携带至少以下信息之一:密钥算法、密钥长度、对端节点信息。
4.根据权利要求3所述的方法,其特征在于,所述融合密钥应用系统根据所述密钥类型生成业务密钥和与所述业务密钥对应的密钥ID之后,还包括:
将所述密钥ID、密钥名称、密钥材料、密钥类型、密钥算法以及密钥长度写入业务密钥表,并将所述密钥ID返回至所述业务系统。
5.根据权利要求3所述的方法,其特征在于,所述融合密钥应用系统从量子密钥库中检索获取量子密钥,包括:
所述融合密钥应用系统根据所述对端节点信息从量子密钥库中检索相对应的量子密钥;
其中,所述量子密钥为所述融合密钥系统根据系统策略配置而触发生成的。
6.根据权利要求5所述的方法,其特征在于,其中,
在所述融合密钥应用系统从所述量子密钥库中检索不到相对应的量子密钥的情况下,所述融合密钥应用系统触发量子密钥生成流程以获取所述量子密钥。
7.根据权利要求6所述的方法,其特征在于,其中,在生成量子密钥的过程中,所述融合密钥应用系统记录对端节点信息到本地节点信息表中。
8.根据权利要求2所述的方法,其特征在于,根据规则生成第二密钥ID,包括:
将所述量子密钥、量子会话、密钥标识信息通过杂凑算法生成hash值,再拼接密码算法和密钥长度标识信息生成密钥ID。
9.根据权利要求1所述的方法,其特征在于,所述融合密钥应用系统根据所述密钥类型生成业务密钥和与所述业务密钥对应的密钥ID之后,还包括:
所述融合密钥应用系统将所述业务密钥和与所述业务密钥对应的密钥ID返回至所述业务系统;或,
所述融合密钥应用系统将与所述业务密钥对应的密钥ID返回至所述业务系统。
10.根据权利要求1所述的方法,其特征在于,还包括:
所述融合密钥应用系统接收所述业务系统发送的业务数据,基于所述业务密钥对所述业务数据进行加密,并将得到的加密业务数据以及与所述业务密钥对应的密钥ID返回至所述业务系统。
11.一种融合密钥应用系统,其特征在于,包括:
第一接收模块,用于接收来自业务系统的业务密钥生成请求,其中所述业务密钥生成请求中携带密钥类型;
生成模块,用于根据所述密钥类型生成业务密钥和与所述业务密钥对应的密钥ID。
12.根据权利要求11所述的系统,其特征在于,所述生成模块,包括:
第一生成单元,用于在所述密钥类型为经典密钥类型的情况下,生成第一业务密钥及与所述第一业务密钥对应的第一密钥ID;
第二生成单元,用于在所述密钥类型为量子密钥类型的情况下,从量子密钥分发网络获取量子密钥,或从量子密钥库中检索获取所述量子密钥,并从所述量子密钥中拆分出第二业务密钥,基于所述第二业务密钥并根据规则生成第二密钥ID。
13.根据权利要求11所述的系统,其特征在于,还包括:
第二接收模块,用于接收所述业务系统发送的业务数据;
加密模块,用于基于所述业务密钥对所述业务数据进行加密,并将得到的加密业务数据以及与所述业务密钥对应的密钥ID返回至所述业务系统。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现所述权利要求1至10任一项中所述的方法的步骤。
15.一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现所述权利要求1至10中所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210810581.XA CN115314191A (zh) | 2022-07-11 | 2022-07-11 | 融合密钥应用方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210810581.XA CN115314191A (zh) | 2022-07-11 | 2022-07-11 | 融合密钥应用方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115314191A true CN115314191A (zh) | 2022-11-08 |
Family
ID=83855997
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210810581.XA Pending CN115314191A (zh) | 2022-07-11 | 2022-07-11 | 融合密钥应用方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115314191A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115913787A (zh) * | 2023-02-16 | 2023-04-04 | 国网浙江省电力有限公司 | 适用于电力数据的文件加解密传输方法 |
-
2022
- 2022-07-11 CN CN202210810581.XA patent/CN115314191A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115913787A (zh) * | 2023-02-16 | 2023-04-04 | 国网浙江省电力有限公司 | 适用于电力数据的文件加解密传输方法 |
| CN115913787B (zh) * | 2023-02-16 | 2023-05-16 | 国网浙江省电力有限公司 | 适用于电力数据的文件加解密传输方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108235805B (zh) | 账户统一方法、装置及存储介质 | |
| CN110489996B (zh) | 一种数据库数据安全管理方法及系统 | |
| CN108270739B (zh) | 一种管理加密信息的方法及装置 | |
| EP2767029B1 (en) | Secure communication | |
| CN110572258B (zh) | 一种云密码计算平台及计算服务方法 | |
| CA2619420A1 (en) | Distributed single sign-on service | |
| JPH1127253A (ja) | 鍵回復システム、鍵回復装置、鍵回復プログラムを記憶した記憶媒体、および鍵回復方法 | |
| CN112291071B (zh) | 一种适用于零信任网络的密码管理方法及系统 | |
| JP3362780B2 (ja) | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 | |
| CN100514333C (zh) | 一种数据库安全访问方法和系统 | |
| CN112671735B (zh) | 一种基于区块链和重加密的数据加密分享系统及方法 | |
| CN109347839A (zh) | 集中式密码管理方法、装置、电子设备及计算机存储介质 | |
| CN115314321B (zh) | 基于区块链无需安全通道的可搜索加密方法 | |
| JP4875781B1 (ja) | データ分散保管システム | |
| CN111917711B (zh) | 数据访问方法、装置、计算机设备和存储介质 | |
| CN104767766A (zh) | 一种Web Service接口验证方法、Web Service服务器、客户端 | |
| CN114629713B (zh) | 身份验证方法、装置及系统 | |
| CN115314191A (zh) | 融合密钥应用方法及系统 | |
| CN114079921B (zh) | 会话密钥的生成方法、锚点功能网元以及系统 | |
| CN110166460B (zh) | 业务帐号的注册方法和装置、存储介质、电子装置 | |
| CN107317823A (zh) | 一种云存储系统中的加密方法和系统 | |
| CN112398818B (zh) | 一种软件激活方法及其相关装置 | |
| CN115348077A (zh) | 一种虚拟机加密方法、装置、设备、存储介质 | |
| CN114357537A (zh) | 设备授权控制方法、装置、存储介质及电子设备 | |
| CN109922042B (zh) | 遗失设备的子密钥管理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |