CN212660188U - 客户端、服务端抗量子计算内网接入装置及内网接入系统 - Google Patents
客户端、服务端抗量子计算内网接入装置及内网接入系统 Download PDFInfo
- Publication number
- CN212660188U CN212660188U CN202021228133.1U CN202021228133U CN212660188U CN 212660188 U CN212660188 U CN 212660188U CN 202021228133 U CN202021228133 U CN 202021228133U CN 212660188 U CN212660188 U CN 212660188U
- Authority
- CN
- China
- Prior art keywords
- quantum
- intranet
- access device
- intranet access
- resistant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本实用新型公开了客户端、服务端抗量子计算内网接入装置及内网接入系统,客户端抗量子计算内网接入装置和服务端抗量子计算内网接入装置均包括中央处理模块、存储模块、通信模块、身份信息区和加密模块,其中,客户端抗量子计算内网接入装置为终端设备连入内网提供接口,服务端抗量子计算内网接入装置为内网服务器接入内网提供接口;抗量子计算内网接入系统包括用户端、客户端抗量子计算内网接入装置、内网服务器、服务端抗量子计算内网接入装置,用户端和内网服务器分别通过相应的抗量子计算内网接入装置接入内网。有益效果:本实用新型不仅可以实现抗量子计算的内网办公系统,而且成本低、不存在对称密钥管理问题。
Description
技术领域
本实用新型涉及内网接入安全领域,具体来说,涉及客户端、服务端抗量子计算内网接入装置及内网接入系统。
背景技术
互联网的迅速普及,局域网应用已成为企业发展中必不可少的一部分。然而,在感受网络所带来的便利的同时,也面临着各种各样的进攻和威胁:机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵……,有些企业建立了相应的局域网络安全系统,并制定了相应的网络安全使用制度。
虽然大多数企业都非常重视局域网网安全管理问题,网络安防投入也不断增加,但是局域网安全问题却仍然严峻。虽然确保了各种计算机、终端、网络节点及数据库的设备安全,但是在网络信道方面依然存在漏洞。目前虽然有相应的密码技术确保传输消息的安全性和准确性,但是大部分都是依靠非对称密钥体系实现的。
现在,各国都在发展量子计算机。作为下一代计算机,量子计算机有着非常大的优势。量子计算机强大的运算能力和独特的算法会让现在的非对称密码系统彻底崩溃。所以,随着量子计算机的飞速发展,现有非对称密码体系将面临巨大的通信安全风险。在现有网络中的消息传输、认证、密钥协商、数字证书的安全性都将变得脆弱不堪。因此目前,市面上也有了基于密钥卡等加密方式实现的信息安全。
对于保密要求极高的单位,比如军队,国安局等,需要在内网信道上也确保信息安全,但是传统的加密手段并不能满足抗量子计算的能力。
以下为现有技术存在的问题:
1)、现有内网办公系统无法抗量子计算;
2)、现有基于量子保密通信的抗量子计算系统可用于内网办公系统,但对用户来说成本过高、对称密钥管理复杂;
3)、现有基于非对称密钥池的抗量子计算系统可用于内网办公系统,但需要将所有成员的公钥生成非对称密钥池后存储到各密钥卡中,增加了客户端密钥卡的存储成本;
4)、现有基于非对称密钥池的抗量子计算系统可用于内网办公系统,但改变了传统内网办公系统的整体流程和数据结构,导致内网办公系统切换到抗量子计算方案的成本过高。
针对相关技术中的问题,目前尚未提出有效的解决方案。
实用新型内容
针对相关技术中的问题,本实用新型提出的客户端、服务端抗量子计算内网接入装置及内网接入系统,以克服现有相关技术所存在的上述技术问题。
为此,本实用新型采用的具体技术方案如下:
客户端抗量子计算内网接入装置,包括:第一中央处理模块,以及分别连接第一中央模块的第一存储模块、第一通信模块、第一身份信息区和第一加密模块;
其中,所述第一中央处理模块用于接收所述第一通信模块的通信信息,并将所接收到的信息进行运算处理;
所述第一中央处理模块还用于调用所述第一身份信息区和所述第一加密模块以实现对消息内容的加解密及认证处理;
所述第一存储模块提供数据存储区域,该数据存储区域用于存储所述客户端抗量子计算内网接入装置中的数据;
所述第一通信模块为客户端抗量子计算内网接入装置连接各类设备提供通信接口及将该客户端抗量子计算内网接入装置接入内网,以实现对消息的传输与接收;
所述第一身份信息区用于存储该客户端抗量子计算内网接入装置及所有内网中抗量子计算内网接入装置的身份信息;
所述第一加密模块用于实现对该客户端抗量子计算内网接入装置消息的加解密及验证处理,且所述第一加密模块包含与加解密及验证相对应的密码算法电路,同时所述第一加密模块还存储有与加解密及验证相对应的无法输出的公私钥。
进一步的,所述第一中央处理模块至少包含第一芯片CPU和第一随机存取存储器RAM。
进一步的,所述第一通信模块包括网络接口和网络功能,且所述第一通信模块的网络通信方式包括网口通信或无线通信中至少一种,所述无线通信至少包括WiFi模式。
本实用新型还提出服务端抗量子计算内网接入装置,包括:第二中央处理模块,以及分别连接第二中央模块的第二存储模块、第二通信模块、第二身份信息区和第二加密模块;
其中,所述第二中央处理模块用于接收所述第二通信模块的通信信息,并将所接收到的信息进行运算处理;
所述第二中央处理模块还用于调用所述第二身份信息区和所述第二加密模块以实现对消息内容的加解密及认证处理;
所述第二存储模块提供数据存储区域,该数据存储区域用于存储所述服务端抗量子计算内网接入装置中的数据;
所述第二通信模块为服务端抗量子计算内网接入装置连接各类设备提供通信接口及将该服务端抗量子计算内网接入装置接入内网,以实现对消息的传输与接收;
所述第二身份信息区用于存储该服务端抗量子计算内网接入装置及所有内网中抗量子计算内网接入装置的身份信息;
所述第二加密模块用于实现对该服务端抗量子计算内网接入装置消息的加解密及验证处理,且所述第二加密模块包含与加解密及验证相对应的密码算法电路,同时所述第二加密模块还存储有与加解密及验证相对应的无法输出的公私钥。
进一步的,所述第二中央处理模块至少包含第二芯片CPU和第二随机存取存储器RAM。
进一步的,所述第二通信模块包括网络接口和网络功能,且所述第二通信模块的网络通信方式为网口通信。
本实用新型另提出一种抗量子计算内网接入系统,包括:用户端、所述的客户端抗量子计算内网接入装置、内网服务器、所述的服务端抗量子计算内网接入装置,所述用户端和所述内网服务器分别通过所述客户端抗量子计算内网接入装置和所述服务端抗量子计算内网接入装置接入内网;
进一步的,所述抗量子计算内网接入装置包括位于存储模块中的配置模块,所述配置模块用于所述抗量子计算内网接入装置的管理员对接入设备进行绑定和准入许可。
进一步的,所述绑定的方式包括MAC地址绑定、机型绑定、主机名绑定中至少一种,所述准入许可的方式包括用户名密码登录、UKEY登录、生物认证登录中至少一种。
进一步的,所述内网服务器还包括用于颁发抗量子计算内网接入装置的密钥管理服务器。
本实用新型的有益效果为:
1)本实用新型通过设计作为内网入口的抗量子计算内网接入装置,对接入设备进行绑定和准入许可,并且所有抗量子计算内网接入装置之间的通信均被对称密钥保护,从而可以实现抗量子计算的内网办公系统。
2)本实用新型通过不采用基于量子保密通信的抗量子计算系统,从而有效地降低了用户的成本,且不存在对称密钥管理问题。
3)本实用新型通过不需要将所有成员的公钥生成非对称密钥池后存储到各接入装置中,有效地解决了因需要将所有成员的公钥生成非对称密钥池后存储到各密钥卡中而导致客户端密钥卡存储成本增加的问题,从而有效地降低了接入装置的存储成本。
4)本实用新型通过不改变传统内网办公系统的整体流程和数据结构,有效地避免了因改变传统内网办公系统的整体流程和数据结构而导致内网办公系统切换到抗量子计算方案的成本过高的问题,从而有效地控制了内网办公系统切换到抗量子计算方案的成本。
附图说明
为了更清楚地说明本实用新型实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本实用新型的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本实用新型抗量子计算内网接入装置的结构模块图;
图2为本实用新型抗量子计算内网接入装置及抗量子计算内网接入系统的组网示意图;
图3为本实用新型抗量子计算内网接入装置及抗量子计算内网接入系统的通信示意图。
具体实施方式
为进一步说明各实施例,本实用新型提供有附图,这些附图为本实用新型揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理,配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本实用新型的优点。
应当理解的是,在技术上可行的情况下,以上针对不同实施例所列举的技术特征可以相互组合,从而形成本实用新型范围内的另外的实施例。此外,本实用新型所述的特定示例和实施例是非限制性的,并且可以对以上所阐述的结构、步骤、顺序做出相应修改而不脱离本实用新型的保护范围。
本实用新型的实现原理如下:
设立基于ID密码学的密钥颁发服务器KMS,密钥颁发服务器KMS为抗量子计算内网接入装置KT(包括客户端抗量子计算内网接入装置KTU和服务端抗量子计算内网接入装置KTUS)颁发公私钥对。
密钥管理服务器KMS颁发抗量子计算内网接入装置KT之前会建立一套基于ID密钥学系统参数,建立原理如下:
(1)设q为大素数,生成G1和G2,G1和G2分别为q阶加法循环群和乘法循环群。映射
成为双线性映射。随机选择G1的生成元P;
(2)定义hash函数H1:{0,1}*→G1 *;
(3)设定其他系统参数ad_paras;
(4)随机地取
作为该算法系统的主密钥,s仅保存在密钥管理服务器KMS,计算系统公钥Ppub=s·P。
所述算法参数为
密钥管理服务器KMS颁发抗量子计算内网接入装置KT时,会生成唯一编码作为抗量子计算内网接入装置KT的ID,存储在身份信息区,以及将该抗量子计算内网接入装置KT在办公系统中的身份信息以及所有部署同一内网的抗量子计算内网接入装置的身份信息一并存储在身份信息区。密钥管理服务器KMS为该抗量子计算内网接入装置KT产生相应的公私钥对PK=H1(ID||TC),SK=s*PK,其中TC为当前时间,例如当天的日期。公私钥对PK/SK和算法参数
将被存储在加密模块。
通过上述原理,客户端抗量子计算内网接入装置和服务端抗量子计算内网接入装置,就可以在每次接入时选择当前时间段密钥数据计算双方接入时的对称密钥,实现抗量子接入。
为实现上述原理,本实用新型提出的技术方案如下:
图1为本实用新型实施例提供的抗量子计算内网接入装置的结构示意图。如图1所示,抗量子计算内网接入装置包括中央处理模块,以及分别连接中央模块的存储模块、通信模块、身份信息区和加密模块,中央处理模块至少包含有CPU芯片和RAM(随机存取存储器),存储模块为抗量子计算内网接入装置提供数据存储区域。
其中,中央处理模块与通信模块连接。中央处理模块用于处理、计算来自通信模块的信息,以及调用身份信息区和加密模块实现消息内容的加解密及认证。
其中,通信模块用于抗量子计算内网接入装置连入内网以及提供各类设备连接抗量子计算内网接入装置提供通信接口。通信模块包括网络接口和网络功能。网络通信方式包括网口通信和无线通信,无线通信包括WiFi模式。
其中,加密模块存储有相应的公私钥,且无法输出。加密模块包含相应的密码算法电路,用于实现抗量子计算内网接入装置的消息加解密及验证处理,保障了抗量子计算内网接入装置的通信安全。
其中,身份信息区用于存储抗量子计算内网接入装置的身份信息,身份信息包括有该抗量子计算内网接入装置的身份信息和所有内网中抗量子计算内网接入装置的身份信息。
其中,本实用新型抗量子计算内网接入装置分为客户端型和服务端型,客户端型抗量子计算内网接入装置为终端设备连入内网提供接口,服务端型抗量子计算内网接入装置为内网服务器接入内网提供接口。服务端型抗量子计算内网接入装置的通信模块的网络通信方式仅为网口通信。
具体的,为了方便理解上述技术方案,以下就客户端型和服务端型的抗量子计算内网接入装置进行具体说明:
客户端抗量子计算内网接入装置,包括:第一中央处理模块,以及分别连接第一中央模块的第一存储模块、第一通信模块、第一身份信息区和第一加密模块;
其中,所述第一中央处理模块用于接收所述第一通信模块的通信信息,并将所接收到的信息进行运算处理;
所述第一中央处理模块还用于调用所述第一身份信息区和所述第一加密模块以实现对消息内容的加解密及认证处理;
所述第一存储模块提供数据存储区域,该数据存储区域用于存储所述客户端抗量子计算内网接入装置中的数据;
所述第一通信模块为客户端抗量子计算内网接入装置连接各类设备提供通信接口及将该客户端抗量子计算内网接入装置接入内网,以实现对消息的传输与接收;
所述第一身份信息区用于存储该客户端抗量子计算内网接入装置及所有内网中抗量子计算内网接入装置的身份信息;
所述第一加密模块用于实现对该客户端抗量子计算内网接入装置消息的加解密及验证处理,且所述第一加密模块包含与加解密及验证相对应的密码算法电路,同时所述第一加密模块还存储有与加解密及验证相对应的无法输出的公私钥。
服务端抗量子计算内网接入装置,包括:第二中央处理模块,以及分别连接第二中央模块的第二存储模块、第二通信模块、第二身份信息区和第二加密模块;
其中,所述第二中央处理模块用于接收所述第二通信模块的通信信息,并将所接收到的信息进行运算处理;
所述第二中央处理模块还用于调用所述第二身份信息区和所述第二加密模块以实现对消息内容的加解密及认证处理;
所述第二存储模块提供数据存储区域,该数据存储区域用于存储所述服务端抗量子计算内网接入装置中的数据;
所述第二通信模块为服务端抗量子计算内网接入装置连接各类设备提供通信接口及将该服务端抗量子计算内网接入装置接入内网,以实现对消息的传输与接收;
所述第二身份信息区用于存储该服务端抗量子计算内网接入装置及所有内网中抗量子计算内网接入装置的身份信息;
所述第二加密模块用于实现对该服务端抗量子计算内网接入装置消息的加解密及验证处理,且所述第二加密模块包含与加解密及验证相对应的密码算法电路,同时所述第二加密模块还存储有与加解密及验证相对应的无法输出的公私钥。
进一步的,所述客户端抗量子计算内网接入装置的所述第一中央处理模块至少包含第一芯片CPU和第一随机存取存储器RAM;相应的,所述服务端抗量子计算内网接入装置的所述第二中央处理模块至少包含第二芯片CPU和第二随机存取存储器RAM。
进一步的,所述第一通信模块包括网络接口和网络功能,且所述第一通信模块的网络通信方式包括网口通信或无线通信中至少一种,所述无线通信至少包括WiFi模式;相应的,所述第二通信模块包括网络接口和网络功能,且所述第二通信模块的网络通信方式为网口通信。
为了方便更好地理解本实用新型的上述技术方案,下面对本实用新型各模块间工作关系做进一步阐述:
本实用新型抗量子计算内网接入装置实现内网接入时消息加密功能的各个模块间流程如下:
(1)由接入内网的设备传输消息至抗量子计算内网接入装置,消息包括但不仅限时间戳、消息内容和待消息认证内容。
(2)通信模块将消息传输至中央处理模块。中央处理模块将根据消息的发送地址找到对应的抗量子计算内网接入装置的身份编号。中央处理模块将目标抗量子计算内网接入装置的身份编号输入至加密模块,利用加密模块计算得到两个抗量子计算内网接入装置间的协商密钥并临时存储在加密模块内。
(3)中央处理模块将时间戳输入加密模块内,利用加密模块临时存储的协商密钥计算得到第一消息认证码并临时存储在加密模块内。
(4)中央处理模块从身份信息区取出自身的身份信息,将消息内容和自身的身份信息输入至加密模块内。加密模块利用第一消息认证码作为对称密钥,通过对称密码功能单元对消息内容和自身的身份信息加密得到密文并输出密文至中央处理模块。
(5)中央处理模块将时间戳、消息内容和自身身份信息作为待消息认证内容输入至安全芯片内。加密模块利用第一消息认证码作为对称密钥,对待消息认证内容即上述的计算得到第二消息认证码并输出至中央处理模块。
(6)中央处理模块将密文和第二消息认证码重新打包得到处理后消息,输入至通信模块,由通信模块发送至指定网络地址。
本实用新型抗量子计算内网接入装置实现消息解密认证时各个模块间关系如下:
(1)由通信模块接收到消息传输至抗量子计算内网接入装置的中央处理模块进行消息处理,待处理消息包括但不仅限时间戳、发送方抗量子计算内网接入装置的身份编号、密文和待验证消息认证码。
(2)中央处理模块将发送方抗量子计算内网接入装置的身份编号输入至加密模块,利用加密模块计算得到两个抗量子计算内网接入装置间的协商密钥并临时存储在加密模块内。
(3)中央处理模块将时间戳输入加密模块内,利用加密模块内临时存储的协商密钥计算得到本地消息认证码并临时存储在加密模块内。
(4)中央处理模块将密文输入至加密模块内。加密模块利用本地消息认证码作为对称密钥,对密文解密得到消息内容并输出至中央处理模块。中央处理模块根据消息内容中的发送方抗量子计算内网接入装置的身份编号从自身的身份存储区取出对应的身份信息,将取出的身份信息与消息中的身份信息进行校验。
(5)中央处理模块将待验证消息认证码和消息认证内容输入至加密模块内。加密模块利用本地消息认证码作为对称密钥,通过消息认证码功能单元对待验证消息认证码进行验证并将验证结果输出至中央处理模块。
(6)若验证结果为成功,则中央处理模块将消息内容重新打包得到处理后消息,传输至通信模块,由通信模块将该处理后消息发送至连接该抗量子计算内网接入装置的指定设备端;若验证结果为失败,则此消息为非法消息。
如图2所示,本实用新型还提出了一种抗量子计算内网接入系统,包括:用户端、所述的客户端抗量子计算内网接入装置、内网服务器、所述的服务端抗量子计算内网接入装置,所述用户端和所述内网服务器分别通过所述客户端抗量子计算内网接入装置和所述服务端抗量子计算内网接入装置接入内网;
使用时,内网接入装置的管理员通过内网接入装置的配置模块对接入设备进行绑定和准入许可,配置模块位于存储模块中,绑定的方式为MAC地址绑定、机型绑定、主机名绑定等,准入许可的方式为用户名密码登录、UKEY登录、生物认证登录等,内网接入装置的管理员通过绑定和准入许可,使得非法用户无法接入内网;其中,内网服务器包括用于颁发抗量子计算内网接入装置的密钥管理服务器。
如图3所示为本实用新型的实施例提供的通信示意图,参与内网接入通信的角色包括用户端U、内网服务器US、客户端型抗量子计算内网接入装置KTU和服务端型抗量子计算内网接入装置KTUS,其中内网服务器包括密钥管理服务器KMS。客户端型抗量子计算内网接入装置KTU的ID/私钥/公钥分别为IDU/SKU/PKU,其中SKU=s*PKU;服务端型抗量子计算内网接入装置KTUS的ID/私钥/公钥分别为IDUS/SKUS/PKUS,其中SKUS=s*PKUS。
为了方便理解本实用新型的上述技术方案,以下就本实用新型在实际过程中的抗量子计算内网接入装置KT之间产生对称密钥的方式、用户端通过抗量子计算内网接入装置与内网服务器的通信方式及抗量子计算内网接入装置更新密钥方式进行详细说明。
(一)、抗量子计算内网接入装置KT之间产生对称密钥的方式如下:
设一方为A,抗量子计算内网接入装置A中存储的公私钥为PKA/SKA;另一方为B,抗量子计算内网接入装置B中存储的公私钥为PKB/SKB。抗量子计算内网接入装置A和B在知道对方ID的情况下分别计算得到对方的公钥PKB和PKA。抗量子计算内网接入装置A产生对称密钥
抗量子计算内网接入装置B产生对称密钥
因为
因此KAB=KBA成立。
(二)用户端通过抗量子计算内网接入装置与内网服务器的通信方式如下:
(1)用户端向服务器发送消息
用户端U产生一个时间戳,设为T1。设发送消息内容为MSG1,用户端U打包得到T1||MSG1。用户端U将T1||MSG1发送至本地(即用户端所连接的)的抗量子计算内网接入装置KTU。
抗量子计算内网接入装置KTU根据消息包中消息接收方的地址寻得其设备连接的抗量子计算内网接入装置KTUS的身份编号IDUS,并计算得到该抗量子计算内网接入装置KTUS的公钥PKUS=H1(IDUS||TC)并结合自身私钥计算得到对称密钥KIDU-IDUS。抗量子计算内网接入装置KTU计算得到K1=MAC(T1,KIDU-IDUS)。抗量子计算内网接入装置KTU利用K1对消息包进行加密化处理得到IDU||IDUS||T1||{UINFO||MSG1}K1||MAC(T1||UINFO||MSG1,K1)。其中,UINFO为抗量子计算内网接入装置KTU的身份信息,{m}k格式表示为用密钥k对内容m进行对称加密得到的密文;MAC(m,k)表示为使用密钥k对内容m进行MAC计算得到的消息认证码。
抗量子计算内网接入装置KTU将加密处理后的消息包IDU||IDUS||T1||{UINFO||MSG1}K1||MAC(T1||UINFO||MSG1,K1)发送至服务器US所连接的抗量子计算内网接入装置KTUS。
抗量子计算内网接入装置KTUS接收到来自抗量子计算内网接入装置KTU的消息包。抗量子计算内网接入装置KTUS根据IDU生成对应的公钥PKU=H1(IDU||TC),并结合本地私钥生成对称密钥KIDUS-IDU,从而计算得到K1=MAC(T1,KIDUS-IDU)。抗量子计算内网接入装置KTUS利用K1对消息包解密并消息认证后得到IDU||IDUS||T1||MSG1||UINFO。抗量子计算内网接入装置KTUS根据IDU从本地的身份信息区取得对应的身份信息UINFO’,对比UINFO’和UINFO,如果不同,则该消息为非法来源消息;否则,则将T1||MSG1打包并发送至指定服务器。
(2)服务器向用户端发送消息
服务器US产生一个时间戳,设为T2,设发送消息内容为MSG2,服务器US打包得到T2||MSG2。服务器US将T2||MSG2发送至本地(即服务器所连接的)的抗量子计算内网接入装置KTUS。
抗量子计算内网接入装置KTUS根据消息包中消息接收方的地址寻得其设备连接的抗量子计算内网接入装置KTU的身份编号IDU,并计算得到该抗量子计算内网接入装置KTU的公钥PKU=H1(IDU||TC),并结合自身私钥计算得到对称密钥KIDUS-IDU。抗量子计算内网接入装置KTUS计算得到K2=MAC(T2,IDU||TC)。抗量子计算内网接入装置KTUS利用K2对消息包进行加密化处理得到IDUS||IDU||T2||{SINFO||MSG2}K2||MAC(T2||SINFO||MSG2,K2)。其中,SINFO表示抗量子计算内网接入装置KTUS的身份信息。
抗量子计算内网接入装置KTUS将加密处理后的消息包IDUS||IDU||T2||{SINFO||MSG2}K2||MAC(T2||SINFO||MSG2,K2)发送至用户端U所连接的抗量子计算内网接入装置KTU。
抗量子计算内网接入装置KTU接收到来自抗量子计算内网接入装置KTUS的消息包。抗量子计算内网接入装置KTU根据IDUS生成对应的公钥PKUS=H1(IDUS||T2),并结合本地私钥生成对称密钥KIDU-IDUS,从而计算得到K2=MAC(T2,KIDU-IDUS)。抗量子计算内网接入装置KTU利用K2对消息包解密并消息认证后将IDUS||IDU||T2||MSG2||SINFO。抗量子计算内网接入装置KTU根据IDUS从本地的身份信息区取得对应的身份信息SINFO’,对比SINFO’和SINFO,如果不同,则该消息为非法来源消息;否则,则将T2||MSG2打包并发送至指定用户端。
(三)抗量子计算内网接入装置更新密钥方式如下所示:
当TC发生改变,抗量子计算内网接入装置在接入内网系统的第一时间或者在指定的密钥更新时间会向密钥管理服务器发送密钥更新的请求,请求中包含有前次密钥的时间TCBefore。
密钥管理服务器KMS根据抗量子计算内网接入装置KT的身份编号IDUP和当前时间TCNew为其计算得到新的私钥SKNew,其中SKNew=s*PKNew,PKNew=H1(IDUP||TCNew),同时计算得到该抗量子计算内网接入装置KT的旧私钥SKBefore。密钥管理服务器KMS利用新旧私钥进行按位异或得到SKNew⊕SKBefore。密钥管理服务器KMS将TCBefore||TCNew||PKNew||SKNew||⊕SKBefore发送至本地(即密钥管理服务器所连接的)的抗量子计算内网接入装置KTKMS。抗量子计算内网接入装置KTKMS根据TCBefore和IDUP计算得到密钥更新的抗量子计算内网接入装置的当前公钥PKBefore。将PKBefore和自身私钥生成对称密钥KIDKMS-IDU,并结合TCBefore得到K3=MAC(TCBefore,KIDKMS-IDU)。打包消息得到IDKMS||IDU||TCBefore||{TCNew||SKNew⊕SKBefore}K3||MAC(TCBefore||TCNew||SKNew⊕SKBefore||KMSINFO,K3)。其中,KMSINFO表示为密钥管理服务器所连接的抗量子计算内网接入装置的身份信息。抗量子计算内网接入装置KTKMS将消息IDKMS||IDU||TCBefore||{TCNew||SKNew⊕SKBefore}K3||MAC(TCBefore||TCNew||SKNew⊕SKBefore||KMSINFO,K3)发送至密钥更新的抗量子计算内网接入装置KT。抗量子计算内网接入装置KT解密认证后,更新装置内的公私钥。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.客户端抗量子计算内网接入装置,其特征在于,包括:第一中央处理模块,以及分别连接第一中央模块的第一存储模块、第一通信模块、第一身份信息区和第一加密模块;
其中,所述第一中央处理模块用于接收所述第一通信模块的通信信息,并将所接收到的信息进行运算处理;
所述第一中央处理模块还用于调用所述第一身份信息区和所述第一加密模块以实现对消息内容的加解密及认证处理;
所述第一存储模块提供数据存储区域,该数据存储区域用于存储所述客户端抗量子计算内网接入装置中的数据;
所述第一通信模块为客户端抗量子计算内网接入装置连接各类设备提供通信接口及将该客户端抗量子计算内网接入装置接入内网,以实现对消息的传输与接收;
所述第一身份信息区用于存储该客户端抗量子计算内网接入装置及所有内网中抗量子计算内网接入装置的身份信息;
所述第一加密模块用于实现对该客户端抗量子计算内网接入装置消息的加解密及验证处理,且所述第一加密模块包含与加解密及验证相对应的密码算法电路,同时所述第一加密模块还存储有与加解密及验证相对应的无法输出的公私钥。
2.根据权利要求1所述的客户端抗量子计算内网接入装置,其特征在于,所述第一中央处理模块至少包含第一芯片CPU和第一随机存取存储器RAM。
3.根据权利要求1所述的客户端抗量子计算内网接入装置,其特征在于,所述第一通信模块包括网络接口和网络功能,且所述第一通信模块的网络通信方式包括网口通信或无线通信中至少一种,所述无线通信至少包括WiFi模式。
4.服务端抗量子计算内网接入装置,其特征在于,包括:第二中央处理模块,以及分别连接第二中央模块的第二存储模块、第二通信模块、第二身份信息区和第二加密模块;
其中,所述第二中央处理模块用于接收所述第二通信模块的通信信息,并将所接收到的信息进行运算处理;
所述第二中央处理模块还用于调用所述第二身份信息区和所述第二加密模块以实现对消息内容的加解密及认证处理;
所述第二存储模块提供数据存储区域,该数据存储区域用于存储所述服务端抗量子计算内网接入装置中的数据;
所述第二通信模块为服务端抗量子计算内网接入装置连接各类设备提供通信接口及将该服务端抗量子计算内网接入装置接入内网,以实现对消息的传输与接收;
所述第二身份信息区用于存储该服务端抗量子计算内网接入装置及所有内网中抗量子计算内网接入装置的身份信息;
所述第二加密模块用于实现对该服务端抗量子计算内网接入装置消息的加解密及验证处理,且所述第二加密模块包含与加解密及验证相对应的密码算法电路,同时所述第二加密模块还存储有与加解密及验证相对应的无法输出的公私钥。
5.根据权利要求4所述的服务端抗量子计算内网接入装置,其特征在于,所述第二中央处理模块至少包含第二芯片CPU和第二随机存取存储器RAM。
6.根据权利要求4所述的服务端抗量子计算内网接入装置,其特征在于,所述第二通信模块包括网络接口和网络功能,且所述第二通信模块的网络通信方式为网口通信。
7.一种抗量子计算内网接入系统,其特征在于,包括:用户端、如权利要求1至3任意一项所述的客户端抗量子计算内网接入装置、内网服务器、如权利要求4至6任意一项所述的服务端抗量子计算内网接入装置,所述用户端和所述内网服务器分别通过所述客户端抗量子计算内网接入装置和所述服务端抗量子计算内网接入装置接入内网。
8.根据权利要求7所述的一种抗量子计算内网接入系统,其特征在于,所述抗量子计算内网接入装置包括位于存储模块中的配置模块,所述配置模块用于所述抗量子计算内网接入装置的管理员对接入设备进行绑定和准入许可。
9.根据权利要求8所述的一种抗量子计算内网接入系统,其特征在于,所述绑定的方式包括MAC地址绑定、机型绑定、主机名绑定中至少一种,所述准入许可的方式包括用户名密码登录、UKEY登录、生物认证登录中至少一种。
10.根据权利要求7所述的一种抗量子计算内网接入系统,其特征在于,所述内网服务器还包括用于颁发抗量子计算内网接入装置的密钥管理服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202021228133.1U CN212660188U (zh) | 2020-06-29 | 2020-06-29 | 客户端、服务端抗量子计算内网接入装置及内网接入系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202021228133.1U CN212660188U (zh) | 2020-06-29 | 2020-06-29 | 客户端、服务端抗量子计算内网接入装置及内网接入系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN212660188U true CN212660188U (zh) | 2021-03-05 |
Family
ID=74759967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202021228133.1U Active CN212660188U (zh) | 2020-06-29 | 2020-06-29 | 客户端、服务端抗量子计算内网接入装置及内网接入系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN212660188U (zh) |
-
2020
- 2020-06-29 CN CN202021228133.1U patent/CN212660188U/zh active Active
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4527358B2 (ja) | 鍵供託を使用しない、認証された個別暗号システム | |
| US4956863A (en) | Cryptographic method and apparatus for public key exchange with authentication | |
| US8510558B2 (en) | Identity based authenticated key agreement protocol | |
| US7814320B2 (en) | Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks | |
| Tseng et al. | A chaotic maps-based key agreement protocol that preserves user anonymity | |
| CN103354498A (zh) | 一种基于身份的文件加密传输方法 | |
| CN104270249A (zh) | 一种从无证书环境到基于身份环境的签密方法 | |
| CN101022455A (zh) | 一种Web通信加密方法 | |
| US11870891B2 (en) | Certificateless public key encryption using pairings | |
| CN111416706B (zh) | 基于秘密共享的量子保密通信系统及其通信方法 | |
| CN110535626B (zh) | 基于身份的量子通信服务站保密通信方法和系统 | |
| CN104301108A (zh) | 一种从基于身份环境到无证书环境的签密方法 | |
| CN110113150A (zh) | 基于无证书环境的可否认认证的加密方法和系统 | |
| CN110519226B (zh) | 基于非对称密钥池和隐式证书的量子通信服务端保密通信方法和系统 | |
| Shieh et al. | An authentication protocol without trusted third party | |
| CN112804659B (zh) | 一种车联网安全通信方法 | |
| CN112187451B (zh) | 抗量子计算的通信方法、装置、设备及存储介质 | |
| CN110519214B (zh) | 基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法、系统、设备 | |
| KR100456624B1 (ko) | 이동 통신망에서의 인증 및 키 합의 방법 | |
| CN212115340U (zh) | 一种抗量子计算加密装置和抗量子计算加密通信系统 | |
| CN212660188U (zh) | 客户端、服务端抗量子计算内网接入装置及内网接入系统 | |
| CN113014376B (zh) | 一种用户与服务器之间安全认证的方法 | |
| CN109787772B (zh) | 基于对称密钥池的抗量子计算签密方法和系统 | |
| Hwang | Scheme for secure digital mobile communications based on symmetric key cryptography | |
| CN114448638B (zh) | 基于见证者的量子保密通信网络密钥管理通信方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |