CN116208330A - 一种基于量子加密的工业互联网云边协同数据安全传输方法及系统 - Google Patents

一种基于量子加密的工业互联网云边协同数据安全传输方法及系统 Download PDF

Info

Publication number
CN116208330A
CN116208330A CN202310201436.6A CN202310201436A CN116208330A CN 116208330 A CN116208330 A CN 116208330A CN 202310201436 A CN202310201436 A CN 202310201436A CN 116208330 A CN116208330 A CN 116208330A
Authority
CN
China
Prior art keywords
quantum
key
quantum key
edge server
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310201436.6A
Other languages
English (en)
Inventor
叶炜
於建江
王文海
方分分
俞斌腾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Quantum Technologies Co ltd
Zhejiang University ZJU
Original Assignee
Zhejiang Quantum Technologies Co ltd
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Quantum Technologies Co ltd, Zhejiang University ZJU filed Critical Zhejiang Quantum Technologies Co ltd
Priority to CN202310201436.6A priority Critical patent/CN116208330A/zh
Publication of CN116208330A publication Critical patent/CN116208330A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种基于量子加密的工业互联网云边协同数据安全传输方法及系统,包括量子密码服务平台、量子边缘服务器、业务云平台和业务终端设备。本发明可以增加工业互联网业务数据传输的安全性,减少量子密码服务平台的管理和运算压力,对于终端减少量子密钥申请的时间成本,使通信双方及时、安全地通信。

Description

一种基于量子加密的工业互联网云边协同数据安全传输方法 及系统
技术领域
本发明涉及量子保密通信领域,具体涉及一种基于量子加密的工业互联网云边协同数据安全传输方法及系统。
背景技术
工业互联网将各种传感设备、终端设备接入互联网,实现对设备和过程的智能化感知、识别和管理。工业互联网将用户端的大量信息传输到云平台,利用云平台强大的计算能力对其进行处理,再将处理结果反馈用户端,减少用户端的处理负担。由于传统的云计算系统存在固有的局限性,比如,不能满足实时控制、网络流量负荷重、云端数据隐私安全无法得到保障等等。而新兴的边缘计算技术刚好能为物联网设备提供边缘智能服务,构建小型的边缘数据中心,可以满足相关行业在数字化的快速联接、实时业务、数据优化、应用智能、数据安全与隐私保护等方面的关键需求。
边缘服务器具有一定的数据处理和存储能力,但是终端设备由于成本的限制使其性能也有限,尤其是开放的移动无线网络本身也存在很多风险,使得工业互联网中的设备更容易遭受黑客或者非法用户的入侵以及其它攻击,黑客有可能窥探终端设备、边缘服务器与云平台间正在传输的数据,甚至可能控制用户端设备,给生命、财产带来重大损失,必须确保物联网信息传输的安全性。
量子加密技术是密码学与量子力学相结合的产物,量子保密通信是结合量子密钥分配技术和经典密码学技术的安全通信解决方案,量子密钥分配技术可以在空间分离的用户之间共享安全的量子密钥,其安全性由量子力学的基本原理保证,具有信息论安全性。
鉴于由云平台、边缘服务器、终端设备组成的工业互联网场景,要保证三者之间的信息安全传输,就需要在云平台和边缘服务器,边缘服务器和终端设备都建立量子加密的安全通信网络,保证工业互联网云边协同数据的安全传输。
发明内容
本发明的第一个目的是提供一种基于量子加密的工业互联网云边协同数据安全传输系统,提高其业务数据传输的安全性。为此,本发明采用以下技术方案:
一种基于量子加密的工业互联网云边协同数据安全传输系统,其特征在于,包括:量子密码服务平台、量子边缘服务器、业务云平台和业务终端设备:
所述量子密码服务平台包括:
量子QKD网络模块,用于对接量子QKD网络,从量子QKD网络获取量子密钥,
量子密钥资源池模块,用于量子密钥资源池的管理,
用户/权限管理模块,用于平台用户、终端设备的管理,身份认证,
量子密钥服务模块,用于对业务云平台提供量子密钥服务,
量子密钥模块:用于量子密钥同步的处理,量子密钥管理和量子密钥派生等安全策略同步模块:用于安全策略同步的处理,
终端设备信息同步模块:用于终端设备身份信息同步的处理;
所述量子边缘服务器包括:
量子QKD网络模块:对接量子QKD网络,从量子QKD网络获取量子密钥,
量子密钥资源池模块:用于量子密钥资源池的管理,
用户/权限管理模块:用于终端设备的管理,身份认证,
量子密钥服务模块:用于对终端设备提供量子密钥服务,
量子密钥模块:用于量子密钥同步的处理,量子密钥管理和量子密钥派生等安全策略同步模块:用于安全策略同步的处理,
终端设备信息同步模块:用于终端设备身份信息同步的处理;
所述业务云平台包括:
量子加密模块:用于完成与量子密码服务平台的身份认证,获取量子密钥。
对业务数据的量子加解密;
所述业务终端设备包括:
量子加密模块:用于完成与量子边缘服务器的身份认证,获取量子密钥。对业务数据的量子加解密。
其中,量子密码服务平台对系统内的量子密钥资源池、安全策略和终端设备身份信息进行统一管理。量子边缘服务器对自身量子密钥资源池、安全策略和所属终端设备身份信息进行管理。量子密钥资源池中每个量子密钥K包含两个组成部分,密钥标识KID和密钥值KV,可表示为K=<KID,KV>。量子密钥资源池可表示为D={<〖KID〗_i,〖KV〗_i>,0≤i≤表个数}。
量子密码服务平台的量子密钥资源池分为第一量子密钥资源池和第二量子密钥资源池;量子边缘服务器的量子密钥资源池分为第一量子密钥缓存池、第一量子密钥资源池、第二量子密钥缓存池和第二量子密钥资源池;其中,第一量子密钥资源池中密钥直接用于业务数据加密,第二量子密钥资源池中密钥用于量子密钥派生。
本发明的第二个目的是提供一种基于量子加密的工业互联网云边协同数据安全传输方法,提高其业务数据传输的安全性。为此,本发明采用以下技术方案:
一种基于量子加密的工业互联网云边协同数据安全传输方法,其特征在于采用上述的基于量子加密的工业互联网云边协同数据安全传输系统,其中:
量子密码服务平台对整套系统的密钥资源池、安全策略、设备身份信息进行统一管理;
量子边缘服务器对所属的终端设备进行设备身份管理、安全策略管理、量子密钥资源池管理和量子密钥分发管理;
量子密钥资源池通过量子QKD网络在量子密码服务平台与量子边缘服务器完成同步;
量子密码服务平台统一管理安全策略,包括加密安全等级、密钥派生机制、密钥更新机制,安全策略通过已同步的量子密钥加密后同步到量子边缘服务器;
终端设备在量子边缘服务器进行注册;量子边缘服务器将终端设备身份信息通过已同步的量子密钥加密后同步到量子密码服务平台;
终端设备向量子边缘服务器申请获取量子密钥,量子边缘服务器根据业务安全策略,将量子密钥分发到终端设备。
终端设备根据业务安全等级要求,加密业务数据直接传输到业务云平台,或者终端设备加密业务数据传输到量子边缘服务器,量子边缘服务器汇聚处理数据再加密传输到业务云平台;
业务云平台调用量子密码服务平台获取量子密钥解密业务数据密文。
进一步地,采用以下具体步骤:
步骤S1:量子密钥通过量子QKD网络在量子密码服务平台与量子边缘服务器完成同步;
步骤S2:量子密码服务平台统一管理安全策略,包括加密安全等级、密钥派生机制、密钥更新机制,安全策略通过已同步的量子密钥加密后同步到边缘量子服务器;
步骤S3:终端设备在量子边缘服务器进行注册;量子边缘服务器将终端设备身份信息通过已同步的量子密钥加密后同步到量子密码服务平台;
步骤S4:终端设备到量子边缘服务器完成身份认证,终端设备根据业务加密安全等级要求向量子边缘服务器申请获取量子密钥,量子边缘服务器根据业务安全等级和安全策略,一类安全等级直接从第一量子密钥资源池取出量子密钥或者二类安全等级从第二量子密钥资源池派生出量子密钥,将量子密钥分发到终端设备;
步骤S5:终端设备根据一类安全等级直接用接收的量子密钥加密业务数据成密文直接安全传输到业务云平台;终端设备根据二类安全等级用接收的量子密钥加密业务数据成密文安全传输到量子边缘服务器,量子边缘服务器解密终端设备的业务数据密文,得到业务数据明文,对业务数据进行处理;处理后的业务数据通过第一量子密钥资源池量子密钥加密成密文后安全传输到业务云平台;
步骤S6:业务云平台调用量子密码服务平台接口获取量子密钥,并在本地解密业务数据密文,得到业务数据明文。
至此完成终端设备经量子边缘服务器到业务云平台协同的数据安全传输。
上述方法可以增加工业互联网业务数据传输的安全性,减少量子密码服务平台的管理和运算压力,对于终端减少量子密钥申请的时间成本,使通信双方及时、安全地通信。
附图说明
图1为本发明所提供的安全传输系统的逻辑架构图。
图2为本发明的终端设备的内部模块的组成示意图。
图3为业务云平台的内部模块的组成示意图。
图4为量子边缘服务器的内部模块的组成示意图。
图5为量子密码服务平台内部模块的组成示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明做更详细、深入的具体描述。基于本发明的实施,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照附图。本发明提供的一种基于量子加密的工业互联网云边协同数据安全传输系统,包括:量子密码服务平台、量子边缘服务器、业务云平台和业务终端设备:
所述量子密码服务平台包括:
量子QKD网络模块,用于对接量子QKD网络,从量子QKD网络获取量子密钥,
量子密钥资源池模块,用于量子密钥资源池的管理,
用户/权限管理模块,用于平台用户、终端设备的管理,身份认证,
量子密钥服务模块,用于对业务云平台提供量子密钥服务,
量子密钥模块:用于量子密钥同步的处理,量子密钥管理和量子密钥派生等安全策略同步模块:用于安全策略同步的处理,
终端设备信息同步模块:用于终端设备身份信息同步的处理;
所述量子边缘服务器包括:
量子QKD网络模块:对接量子QKD网络,从量子QKD网络获取量子密钥,
量子密钥资源池模块:用于量子密钥资源池的管理,
用户/权限管理模块:用于终端设备的管理,身份认证,
量子密钥服务模块:用于对终端设备提供量子密钥服务,
量子密钥模块:用于量子密钥同步的处理,量子密钥管理和量子密钥派生等安全策略同步模块:用于安全策略同步的处理,
终端设备信息同步模块:用于终端设备身份信息同步的处理;
所述业务云平台包括:
量子加密模块:用于完成与量子密码服务平台的身份认证,获取量子密钥。
对业务数据的量子加解密;
所述业务终端设备包括:
量子加密模块:用于完成与量子边缘服务器的身份认证,获取量子密钥。对业务数据的量子加解密。
其中,量子密码服务平台对系统内的量子密钥资源池、安全策略和终端设备身份信息进行统一管理。量子边缘服务器对自身量子密钥资源池、安全策略和所属终端设备身份信息进行管理。量子密钥资源池中每个量子密钥K包含两个组成部分,密钥标识KID和密钥值KV,可表示为K=<KID,KV>。量子密钥资源池可表示为D={<〖KID〗_i,〖KV〗_i>,0≤i≤表个数}。
量子密码服务平台的量子密钥资源池分为第一量子密钥资源池和第二量子密钥资源池;量子边缘服务器的量子密钥资源池分为第一量子密钥缓存池、第一量子密钥资源池、第二量子密钥缓存池和第二量子密钥资源池;其中,第一量子密钥资源池中密钥直接用于业务数据加密,第二量子密钥资源池中密钥用于量子密钥派生。
本发明的基于量子加密的工业互联网云边协同数据安全传输方法,采用上述的基于量子加密的工业互联网云边协同数据安全传输系统,其中:
量子密码服务平台对整套系统的密钥资源池、安全策略、设备身份信息进行统一管理;
量子边缘服务器对所属的终端设备进行设备身份管理、安全策略管理、量子密钥资源池管理和量子密钥分发管理;
量子密钥资源池通过量子QKD网络在量子密码服务平台与量子边缘服务器完成同步;
量子密码服务平台统一管理安全策略,包括加密安全等级、密钥派生机制、密钥更新机制,安全策略通过已同步的量子密钥加密后同步到量子边缘服务器;
终端设备在量子边缘服务器进行注册;量子边缘服务器将终端设备身份信息通过已同步的量子密钥加密后同步到量子密码服务平台;
终端设备向量子边缘服务器申请获取量子密钥,量子边缘服务器根据业务安全策略,将量子密钥分发到终端设备。
终端设备根据业务安全等级要求,加密业务数据直接传输到业务云平台,或者终端设备加密业务数据传输到量子边缘服务器,量子边缘服务器汇聚处理数据再加密传输到业务云平台;
业务云平台调用量子密码服务平台获取量子密钥解密业务数据密文。
进一步地,采用以下具体步骤:
步骤S1:量子密钥通过量子QKD网络在量子密码服务平台与量子边缘服务器完成同步;
步骤S2:量子密码服务平台统一管理安全策略,包括加密安全等级、密钥派生机制、密钥更新机制,安全策略通过已同步的量子密钥加密后同步到边缘量子服务器;
步骤S3:终端设备在量子边缘服务器进行注册;量子边缘服务器将终端设备身份信息通过已同步的量子密钥加密后同步到量子密码服务平台;
步骤S4:终端设备到量子边缘服务器完成身份认证,终端设备根据业务加密安全等级要求向量子边缘服务器申请获取量子密钥,量子边缘服务器根据业务安全等级和安全策略,一类安全等级直接从第一量子密钥资源池取出量子密钥或者二类安全等级从第二量子密钥资源池派生出量子密钥,将量子密钥分发到终端设备;
步骤S5:终端设备根据一类安全等级直接用接收的量子密钥加密业务数据成密文直接安全传输到业务云平台;终端设备根据二类安全等级用接收的量子密钥加密业务数据成密文安全传输到量子边缘服务器,量子边缘服务器解密终端设备的业务数据密文,得到业务数据明文,对业务数据进行处理;处理后的业务数据通过第一量子密钥资源池量子密钥加密成密文后安全传输到业务云平台;
步骤S6:业务云平台调用量子密码服务平台接口获取量子密钥,并在本地解密业务数据密文,得到业务数据明文。
至此完成终端设备经量子边缘服务器到业务云平台协同的数据安全传输。
根据以上方法,本发明先同步量子密钥,再同步安全策略,同步安全策略时采用已同步的量子密钥加密。终端设备在量子边缘服务器注册,并同步到量子密码服务平台,采用已同步的量子密钥加密。其中,步骤S2和S3没有先后要求。
其中,步骤S1的量子密钥资源池通过量子QKD网络在量子密码服务平台与量子边缘服务器完成同步,具体包括以下步骤:
S11:量子边缘服务器向量子密码服务平台请求同步量子密钥资源池;
S12:量子密码服务平台返回响应,包含第一量子密钥资源池总量大小FT、最低阈值FL,第二量子密钥资源池总量大小ST、最低阈值SL;
S13:当量子边缘服务器第一量子密钥资源池密钥总量小于FL,则进行第一量子密钥资源池同步,直到第一量子密钥资源池密钥总量为FT为止,查询第一量子密钥缓存池是否存在待同步确认的量子密钥,存在则执行步骤S14,不存在则量子边缘服务器向量子QKD网络获取M个量子密钥,并存入第一量子密钥缓存池;
S14:量子边缘服务器将M个量子密钥的KID和M个对应量子密钥KV的加盐校验值发送给量子密码服务平台;
S15:量子密码服务平台从对应量子边缘服务器的第一量子密钥资源池查询是否存在该M个量子密钥的KID,存在其中N个,比较密钥的加盐校验值,相同则将对应N的KID发送给量子边缘服务器,N≤M;若不存在,则量子密码服务平台向量子QKD网络获取M个量子密钥为KID的量子密钥;实际从量子QKD网络获取到N个量子密钥,将N个量子密钥的KID和KV存入对应量子边缘服务器的第一量子密钥资源池,比较密钥的加盐校验值,相同则并将对应N的KID发送给量子边缘服务器,N≤M;
S16:量子边缘服务器收到N个KID,则将第一量子密钥缓存池迁移到第一量子密钥资源池;
S17:当量子边缘服务器第二量子密钥资源池密钥总量小于SL,则进行第二量子密钥资源池同步,直到第二量子密钥资源池密钥总量为ST为止;查询第二量子密钥缓存池是否存在待同步确认的量子密钥,存在则执行步骤S18;不存在则量子边缘服务器向量子QKD网络获取M个量子密钥,并存入第二量子密钥缓存池;
S18:量子边缘服务器将M个量子密钥的KID和M个对应量子密钥KV的加盐校验值发送给量子密码服务平台;
S19:量子密码服务平台从对应量子边缘服务器的第二量子密钥资源池查询是否存在该M个量子密钥的KID,存在其中N个,比较密钥的加盐校验值,相同则将对应N的KID发送给量子边缘服务器,N≤M。若不存在,则量子密码服务平台向量子QKD网络获取M个量子密钥为KID的量子密钥;实际从量子QKD网络获取到N个量子密钥,将N个量子密钥的KID和KV存入对应量子边缘服务器的第二量子密钥资源池,比较密钥的加盐校验值,相同则并将对应N的KID发送给量子边缘服务器,N≤M;
S110:量子边缘服务器收到N个KID,则将第二量子密钥缓存池迁移到第二量子密钥资源池。
其中,步骤S2的量子密码服务平台统一管理安全策略,包括加密安全等级、密钥派生机制、密钥更新机制,安全策略通过已同步的量子密钥加密后同步到量子边缘服务器,具体包括以下步骤:
S21:量子边缘服务器向量子密码服务平台请求同步安全策略;
S22:量子密码服务平台将安全策略采用第一量子密钥资源池中的量子密钥加密成密文后传输到量子边缘服务器,其中安全策略主要包括:加密安全等级、密钥更新机制、密钥派生机制;
S23:量子边缘服务器根据KID从第一量子密钥资源池中找出解密密钥,对密文解密并将安全策略存储于本地。
其中,步骤S3的终端设备在量子边缘服务器进行注册;量子边缘服务器将终端设备身份信息通过已同步的量子密钥加密后同步到量子密码服务平台,具体包括以下步骤:
S31:终端设备向量子边缘服务器进行注册;
S32:量子边缘服务器通过量子密钥模块生成两个量子密钥,包括身份量子密钥和密钥加密量子密钥,同时生成终端设备名;每个终端设备身份信息包含设备名DeviceName和身份量子密钥Ki和密钥加密量子密钥Ke;将设备信息返回给终端设备;
S33:量子边缘服务器从第一量子密钥资源池选取量子密钥,将设备身份信息通过量子密钥加密成密文后传输到量子密码服务平台完成同步;
S34:量子密码服务平台根据KID从第一量子密钥资源池选取解密密钥,对设备身份信息密文进去解密并存储终端设备身份信息。
其中,步骤S4的终端设备到量子边缘服务器完成身份认证,终端设备根据业务加密安全等级要求向量子边缘服务器获取量子密钥,量子边缘服务器根据业务安全等级和安全策略,一类安全等级直接从第一量子密钥资源池取出量子密钥或者二类安全等级从第二量子密钥资源池派生出量子密钥,并返回给终端设备,具体包括以下步骤:
S41:终端设备通过设备名和身份量子密钥向量子边缘服务器完成双向认证。终端设备向量子边缘服务器获取量子密钥,请求参数包括加密安全等级;
S42:量子边缘服务器根据业务加密安全等级,一类安全等级则直接从第一量子密钥资源池选取未使用的量子密钥,并用终端设备密钥加密量子密钥加密返回给设备终端;二类安全等级则从第二量子密钥资源池选取量子密钥,根据密钥派生机制派生出业务量子密钥,并用终端设备密钥加密量子密钥加密返回给设备终端;
S43:设备终端接收到量子边缘服务器返回的密文信息,使用密钥加密量子密钥解密,得到业务量子密钥。
其中,步骤S5的终端设备根据一类安全等级直接用接收的量子密钥加密业务数据成密文直接安全传输到业务云平台;终端设备根据二类安全等级用接收的量子密钥加密业务数据成密文安全传输到量子边缘服务器,量子边缘服务器解密终端设备的业务数据密文,得到业务数据明文,对业务数据进行处理;处理后的业务数据通过第一量子密钥资源池量子密钥加密成密文后安全传输到业务云平台,具体包括以下步骤:
S51:终端设备根据业务安全等级要求,一类安全等级要求则执行S52,二类安全等级要求则执行S53;
S52:终端设备直接用接收的量子密钥加密业务数据成密文直接安全传输到业务云平台;
S53:终端设备用接收的量子密钥加密业务数据成密文安全传输到量子边缘服务器,量子边缘服务器解密终端设备的业务数据密文,得到业务数据明文,对业务数据进行处理;处理后的业务数据通过第一量子密钥资源池量子密钥加密成密文后安全传输到业务云平台。
其中,步骤S6的业务云平台调用量子密码服务平台接口获取量子密钥,并在本地解密业务数据密文,得到业务数据明文,具体包括以下步骤:
S61:业务云平台通过平台用户名和身份量子密钥向量子密码服务平台完成双向认证;业务云平台向量子密码服务平台获取指定KID量子密钥,量子密码服务平台根据KID从第一量子密钥资源池查询该量子密钥,并用平台密钥加密量子密钥加密成密文返回给业务云平台;
S62:业务云平台利用平台密钥加密量子密钥解密密文得到量子密钥。并用改量子密钥解密业务数据密文,得到业务数据明文。
其中,在步骤S1中,保证量子边缘服务器和量子密码服务平台同步的量子密钥严格一致同时尽可能少的泄露密钥值信息,量子边缘服务器将M个量子密钥的KID和M个对应量子密钥KV的加盐校验值HKey发送给量子密码服务平台,校验值采用加盐散列函数,HKey=SM3(KID||KV||salt||N),其中KID表示量子密钥的密钥标识,KV标识量子密钥的密钥值,salt表示盐值,为一个8字节长度固定数字,N表示此次同步过程中密钥的序列,从1开始,到M结束。
其中,在步骤S2中,量子密码服务平台统一管理安全策略,包括加密安全等级、密钥派生机制、密钥更新机制,并通过已同步的量子密钥加密后同步到边缘量子服务器。其中加密安全等级主要分为一类安全等级和二类安全等级,相应的一类安全等级直接采用第一量子密钥资源池中密钥,二类安全等级采用经过第二量子密钥资源池中密钥派生而成的密钥。密钥派生机制选用基于盐值、业务类型和业务加密安全等级的密钥派生函数KDF实现方式。密钥更新机制选用按时间更新机制或按密钥加密次数更新机制。
优选地,在步骤S4中,终端设备向量子边缘服务器请求量子密钥时,提供业务加密安全等级,分为一类安全等级和二类安全等级。一类安全等级则直接从第一量子密钥资源池选取未使用的量子密钥,二类安全等级则从第二量子密钥资源池选取量子密钥,根据密钥派生机制派生出业务量子密钥。密钥派生采用派生函数KDF实现,通常使用一个原始密钥和其他参数得到派生密钥。派生密钥DK=KDF(K,Salt,c,dkLen,Text1,Text2),KDF使用一个伪随机函数PRF来派生密钥。RPF的一个实例采用HMAC-SM3算法。K表示原始量子密钥,Salt表示盐值,为一个8字节长度固定数字,c表示迭代次数,dkLen表示派生密钥的长度,Text1表示业务类型,表明生成密钥的用途,Text2表示业务加密安全等级。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关领域的普遍技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变形,因此所有等同的技术方案也属于本发明的范畴。

Claims (10)

1.一种基于量子加密的工业互联网云边协同数据安全传输系统,其特征在于包括:量子密码服务平台、量子边缘服务器、业务云平台和业务终端设备:
所述量子密码服务平台包括:
量子QKD网络模块,用于对接量子QKD网络,从量子QKD网络获取量子密钥,
量子密钥资源池模块,用于量子密钥资源池的管理,
用户/权限管理模块,用于平台用户、终端设备的管理,身份认证,
量子密钥服务模块,用于对业务云平台提供量子密钥服务,
量子密钥模块:用于量子密钥同步的处理,量子密钥管理和量子密钥派生等安全策略同步模块:用于安全策略同步的处理,
终端设备信息同步模块:用于终端设备身份信息同步的处理;
所述量子边缘服务器包括:
量子QKD网络模块:对接量子QKD网络,从量子QKD网络获取量子密钥,
量子密钥资源池模块:用于量子密钥资源池的管理,
用户/权限管理模块:用于终端设备的管理,身份认证,
量子密钥服务模块:用于对终端设备提供量子密钥服务,
量子密钥模块:用于量子密钥同步的处理,量子密钥管理和量子密钥派生等安全策略同步模块:用于安全策略同步的处理,
终端设备信息同步模块:用于终端设备身份信息同步的处理;
所述业务云平台包括:
量子加密模块:用于完成与量子密码服务平台的身份认证,获取量子密钥;对业务数据的量子加解密;
所述业务终端设备包括:
量子加密模块:用于完成与量子边缘服务器的身份认证,获取量子密钥,对业务数据的量子加解密。
2.如权利要求1所述的基于量子加密的工业互联网云边协同数据安全传输系统,其特征在于量子密码服务平台对系统内的量子密钥资源池、安全策略和终端设备身份信息进行统一管理;量子边缘服务器对所属的量子密钥资源池、安全策略和所属的终端设备身份信息进行管理;量子密钥资源池中每个量子密钥K包含两个组成部分,密钥标识KID和密钥值KV,表示为K=<KID,KV>;量子密钥资源池表示为D={<〖KID〗_i,〖KV〗_i>,0≤i≤表个数}。
3.如权利要求1所述的基于量子加密的工业互联网云边协同数据安全传输系统,其特征在于量子密码服务平台的量子密钥资源池分为第一量子密钥资源池和第二量子密钥资源池;量子边缘服务器的量子密钥资源池分为第一量子密钥缓存池、第一量子密钥资源池、第二量子密钥缓存池和第二量子密钥资源池;其中,第一量子密钥资源池中密钥直接用于业务数据加密,第二量子密钥资源池中密钥用于量子密钥派生。
4.一种基于量子加密的工业互联网云边协同数据安全传输方法,其特征在于采用权利要求3所述的基于量子加密的工业互联网云边协同数据安全传输系统,其中:
量子密码服务平台对整套系统的密钥资源池、安全策略、设备身份信息进行统一管理;
量子边缘服务器对所属的终端设备进行设备身份管理、安全策略管理、量子密钥资源池管理和量子密钥分发管理;
量子密钥资源池通过量子QKD网络在量子密码服务平台与量子边缘服务器完成同步;
量子密码服务平台统一管理安全策略,包括加密安全等级、密钥派生机制、密钥更新机制,安全策略通过已同步的量子密钥加密后同步到量子边缘服务器;
终端设备在量子边缘服务器进行注册;量子边缘服务器将终端设备身份信息通过已同步的量子密钥加密后同步到量子密码服务平台;
终端设备向量子边缘服务器申请获取量子密钥,量子边缘服务器根据业务安全策略,将量子密钥分发到终端设备;
终端设备根据业务安全等级要求,加密业务数据直接传输到业务云平台,或者终端设备加密业务数据传输到量子边缘服务器,量子边缘服务器汇聚处理数据再加密传输到业务云平台;
业务云平台调用量子密码服务平台获取量子密钥解密业务数据密文。
5.如权利要求4所述的数据安全传输方法,其特征在于采用以下具体步骤:
步骤S1:量子密钥通过量子QKD网络在量子密码服务平台与量子边缘服务器完成同步;
步骤S2:量子密码服务平台统一管理安全策略,包括加密安全等级、密钥派生机制、密钥更新机制,安全策略通过已同步的量子密钥加密后同步到量子边缘服务器;
步骤S3:终端设备在量子边缘服务器进行注册;量子边缘服务器将终端设备身份信息通过已同步的量子密钥加密后同步到量子密码服务平台;
步骤S4:终端设备到量子边缘服务器完成身份认证,终端设备根据业务加密安全等级要求向量子边缘服务器申请获取量子密钥,量子边缘服务器根据业务安全等级和安全策略,一类安全等级直接从第一量子密钥资源池取出量子密钥或者二类安全等级从第二量子密钥资源池派生出量子密钥,将量子密钥分发到终端设备;
步骤S5:终端设备根据一类安全等级直接用接收的量子密钥加密业务数据成密文直接安全传输到业务云平台;终端设备根据二类安全等级用接收的量子密钥加密业务数据成密文安全传输到量子边缘服务器,量子边缘服务器解密终端设备的业务数据密文,得到业务数据明文,对业务数据进行处理;处理后的业务数据通过第一量子密钥资源池量子密钥加密成密文后安全传输到业务云平台;
步骤S6:业务云平台调用量子密码服务平台接口申请获取量子密钥,并在本地解密业务数据密文,得到业务数据明文。
6.如权利要求5所述的数据安全传输方法,其特征在于步骤S1采用以下具体步骤:
S11:量子边缘服务器向量子密码服务平台请求同步量子密钥资源池;
S12:量子密码服务平台返回响应,包含第一量子密钥资源池总量大小FT、最低阈值FL,第二量子密钥资源池总量大小ST、最低阈值SL;
S13:当量子边缘服务器第一量子密钥资源池密钥总量小于FL,则进行第一量子密钥资源池同步,直到第一量子密钥资源池密钥总量为FT为止,查询第一量子密钥缓存池是否存在待同步确认的量子密钥,存在则执行步骤S14,不存在则量子边缘服务器向量子QKD网络获取M个量子密钥,并存入第一量子密钥缓存池;
S14:量子边缘服务器将M个量子密钥的KID和M个对应量子密钥KV的加盐校验值发送给量子密码服务平台;
S15:量子密码服务平台从对应量子边缘服务器的第一量子密钥资源池查询是否存在该M个量子密钥的KID,存在其中N个,比较密钥的加盐校验值,相同则将对应N的KID发送给量子边缘服务器,N≤M;若不存在,则量子密码服务平台向量子QKD网络获取M个量子密钥为KID的量子密钥;实际从量子QKD网络获取到N个量子密钥,将N个量子密钥的KID和KV存入对应量子边缘服务器的第一量子密钥资源池,比较密钥的加盐校验值,相同则并将对应N的KID发送给量子边缘服务器,N≤M;
S16:量子边缘服务器收到N个KID,则将第一量子密钥缓存池迁移到第一量子密钥资源池;
S17:当量子边缘服务器第二量子密钥资源池密钥总量小于SL,则进行第二量子密钥资源池同步,直到第二量子密钥资源池密钥总量为ST为止;查询第二量子密钥缓存池是否存在待同步确认的量子密钥,存在则执行步骤S18;不存在则量子边缘服务器向量子QKD网络获取M个量子密钥,并存入第二量子密钥缓存池;
S18:量子边缘服务器将M个量子密钥的KID和M个对应量子密钥KV的加盐校验值发送给量子密码服务平台;
S19:量子密码服务平台从对应量子边缘服务器的第二量子密钥资源池查询是否存在该M个量子密钥的KID,存在其中N个,比较密钥的加盐校验值,相同则将对应N的KID发送给量子边缘服务器,N≤M;若不存在,则量子密码服务平台向量子QKD网络获取M个量子密钥为KID的量子密钥;实际从量子QKD网络获取到N个量子密钥,将N个量子密钥的KID和KV存入对应量子边缘服务器的第二量子密钥资源池,比较密钥的加盐校验值,相同则并将对应N的KID发送给量子边缘服务器,N≤M;
S110:量子边缘服务器收到N个KID,则将第二量子密钥缓存池迁移到第二量子密钥资源池。
7.如权利要求5所述的数据安全传输方法,其特征在于步骤S2采用以下具体步骤:
S21:量子边缘服务器向量子密码服务平台请求同步安全策略;
S22:量子密码服务平台将安全策略采用第一量子密钥资源池中的量子密钥加密成密文后传输到量子边缘服务器,其中安全策略主要包括:加密安全等级、密钥更新机制、密钥派生机制;
S23:量子边缘服务器根据KID从第一量子密钥资源池中找出解密密钥,对密文解密并将安全策略存储于本地。
8.如权利要求5所述的数据安全传输方法,其特征在于步骤S3采用以下具体步骤:
S31:终端设备向量子边缘服务器进行注册;
S32:量子边缘服务器通过量子密钥模块生成两个量子密钥,包括身份量子密钥和密钥加密量子密钥,同时生成终端设备名;每个终端设备身份信息包含设备名DeviceName和身份量子密钥Ki和密钥加密量子密钥Ke;将设备信息返回给终端设备;
S33:量子边缘服务器从第一量子密钥资源池选取量子密钥,将设备身份信息通过量子密钥加密成密文后传输到量子密码服务平台完成同步;
S34:量子密码服务平台根据KID从第一量子密钥资源池选取解密密钥,对设备身份信息密文进去解密并存储终端设备身份信息。
9.如权利要求5所述的数据安全传输方法,其特征在于步骤S4采用以下具体步骤:
S41:终端设备通过设备名和身份量子密钥向量子边缘服务器完成双向认证;终端设备向量子边缘服务器获取量子密钥,请求参数包括加密安全等级;
S42:量子边缘服务器根据业务加密安全等级,一类安全等级则直接从第一量子密钥资源池选取未使用的量子密钥,并用终端设备密钥加密量子密钥加密返回给设备终端;二类安全等级则从第二量子密钥资源池选取量子密钥,根据密钥派生机制派生出业务量子密钥,并用终端设备密钥加密量子密钥加密返回给设备终端;
S43:设备终端接收到量子边缘服务器返回的密文信息,使用密钥加密量子密钥解密,得到业务量子密钥。
10.如权利要求5所述的数据安全传输方法,其特征在于步骤S3采用以下具体步骤:
S51:终端设备根据业务安全等级要求,一类安全等级要求则执行S52,二类安全等级要求则执行S53;
S52:终端设备直接用接收的量子密钥加密业务数据成密文直接安全传输到业务云平台;
S53:终端设备用接收的量子密钥加密业务数据成密文安全传输到量子边缘服务器,量子边缘服务器解密终端设备的业务数据密文,得到业务数据明文,对业务数据进行处理;处理后的业务数据通过第一量子密钥资源池量子密钥加密成密文后安全传输到业务云平台。
CN202310201436.6A 2023-02-23 2023-02-23 一种基于量子加密的工业互联网云边协同数据安全传输方法及系统 Pending CN116208330A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310201436.6A CN116208330A (zh) 2023-02-23 2023-02-23 一种基于量子加密的工业互联网云边协同数据安全传输方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310201436.6A CN116208330A (zh) 2023-02-23 2023-02-23 一种基于量子加密的工业互联网云边协同数据安全传输方法及系统

Publications (1)

Publication Number Publication Date
CN116208330A true CN116208330A (zh) 2023-06-02

Family

ID=86509256

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310201436.6A Pending CN116208330A (zh) 2023-02-23 2023-02-23 一种基于量子加密的工业互联网云边协同数据安全传输方法及系统

Country Status (1)

Country Link
CN (1) CN116208330A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116980122A (zh) * 2023-07-31 2023-10-31 长春吉大正元信息技术股份有限公司 一种量子密钥分发管理系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116980122A (zh) * 2023-07-31 2023-10-31 长春吉大正元信息技术股份有限公司 一种量子密钥分发管理系统
CN116980122B (zh) * 2023-07-31 2024-05-24 长春吉大正元信息技术股份有限公司 一种量子密钥分发管理系统

Similar Documents

Publication Publication Date Title
CN111355745B (zh) 基于边缘计算网络架构的跨域身份认证方法
CN109495274B (zh) 一种去中心化智能锁电子钥匙分发方法及系统
CN103763319B (zh) 一种移动云存储轻量级数据安全共享方法
US20170244687A1 (en) Techniques for confidential delivery of random data over a network
CN108040056B (zh) 基于物联网的安全医疗大数据系统
CN110247767B (zh) 雾计算中可撤销的属性基外包加密方法
CN103179114A (zh) 一种云存储中的数据细粒度访问控制方法
CN108809636B (zh) 基于群组型量子密钥卡实现成员间消息认证的通信系统
CN113360925A (zh) 电力信息物理系统中可信数据的存储和访问方法及系统
WO2017061950A1 (en) Data security system and method for operation thereof
CN113645195B (zh) 基于cp-abe和sm4的云病历密文访问控制系统及方法
CN109525388B (zh) 一种密钥分离的组合加密方法及系统
CN105721146B (zh) 一种面向云存储基于smc的大数据共享方法
CN108632251A (zh) 基于云计算数据服务的可信认证方法及其加密算法
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
CN111586023B (zh) 一种认证方法、设备和存储介质
CN101699890A (zh) 一种3g-wlan认证方法
CN110212991B (zh) 量子无线网络通信系统
Zhang et al. Cerberus: Privacy-preserving computation in edge computing
CN116208330A (zh) 一种基于量子加密的工业互联网云边协同数据安全传输方法及系统
CN110933052A (zh) 一种边缘环境基于时间域的加密及其策略更新方法
KR102539418B1 (ko) Puf 기반 상호 인증 장치 및 방법
CN114866244A (zh) 基于密文分组链接加密的可控匿名认证方法、系统及装置
CN114285557A (zh) 通信加密方法、系统和装置
Dini et al. Distributed storage protection in wireless sensor networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination