JP2019537402A - 量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステム - Google Patents
量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステム Download PDFInfo
- Publication number
- JP2019537402A JP2019537402A JP2019548511A JP2019548511A JP2019537402A JP 2019537402 A JP2019537402 A JP 2019537402A JP 2019548511 A JP2019548511 A JP 2019548511A JP 2019548511 A JP2019548511 A JP 2019548511A JP 2019537402 A JP2019537402 A JP 2019537402A
- Authority
- JP
- Japan
- Prior art keywords
- quantum key
- key
- ssl vpn
- side ssl
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本発明は、量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステムを提供する。方法は、量子鍵発行プラットフォームが量子鍵を量子鍵チップに注入し、量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられることと、量子鍵発行プラットフォームが鍵配布センターKDCと予め交渉することで量子鍵を取得することと、KDCが識別情報と識別情報に対応する量子鍵とをバインディングするように、量子鍵発行プラットフォームが量子鍵の識別情報をKDCに送信することとを含む。KDCは、適用を容易にするように量子鍵を効果的に管理できるようにする。チップとSSLVPNアクセス方式を組み合わせて、モバイル端末における量子鍵の適用の利便性を向上させる。非対称アルゴリズムによる従来のSSL VPNのセキュリティリスクは解決された。
Description
本出願は、2016年11月28日に中国特許庁に提出された、出願番号が201611070527.7であって、発明の名称が「量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステム」である中国特許出願の優先権を主張するものであり、その全内容を本出願に参照により援用する。
本発明は、量子通信技術分野に関し、特に、量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステムに関する。
インターネットデータ技術の進歩とビジネスモデルの発展に伴い、インターネット技術が急成長している今日では、情報化技術とネットワーク技術を使用することで、ユーザーがビジネスプロセスを改善し、ビジネス応答を実施するのに役立つことができる。同時に、ビジネス情報ネットワーク化はセキュリティ上の脅威ももたらし、ビジネス自体のビジネスデータや企業顧客の機密データなどが漏洩すると、計り知れない損失が発生することになる。通信又は保存された情報は改ざんされると、より深刻な結果をもたらす。従って、ビジネス情報化の過程におけるセキュリティの問題は非常に重要である。
現在、伝統的なコンピュータ分野では、セキュアソケットレイヤ バーチャルプライベートネットワーク(SSL VPN、SecureSocket Layer Virtual Private Network)によって安全なビジネスネットワークを構築することによって、ポイントツーネットワークの安全な適用の要件を満たすことができる。しかしながら、SSLVPN技術は、非対称鍵システムに基づいて構築されているため、非対称鍵アルゴリズムが将来的に解読されると予想される場合に、既存のSSLVPN技術によって構築されたセキュリティネットワークも、クラッキングされる可能性がある。
本発明は、従来技術に存在している上記の技術的問題を解決するために、非対称鍵が解読された際の通信セキュリティ問題を回避し、通信をより安全にすることができる、量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステムを提供する。
本発明実施例は、量子鍵チップの発行方法を提供し、
量子鍵発行プラットフォームが、量子鍵を量子鍵チップに注入し、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記量子鍵発行プラットフォームが鍵配布センターKDCと予め交渉することで前記量子鍵が取得されることと、
前記KDCが前記識別情報と前記識別情報に対応する量子鍵とをバインディングするように、前記量子鍵発行プラットフォームが前記量子鍵の識別情報を前記KDCに送信することと、を含む。
量子鍵発行プラットフォームが、量子鍵を量子鍵チップに注入し、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記量子鍵発行プラットフォームが鍵配布センターKDCと予め交渉することで前記量子鍵が取得されることと、
前記KDCが前記識別情報と前記識別情報に対応する量子鍵とをバインディングするように、前記量子鍵発行プラットフォームが前記量子鍵の識別情報を前記KDCに送信することと、を含む。
好ましくは、前記量子鍵発行プラットフォームがKDCと予め交渉することで量子鍵を取得することは、具体的には、
前記量子鍵発行プラットフォームが、自分に接続された第1の量子鍵管理端末と対応関係を確立し、前記鍵配布センターKDCが、自分に接続された第2の量子鍵管理端末と対応関係を確立することと、
前記量子鍵発行プラットフォームとKDCは、導出される量子鍵の数を交渉し、前記量子鍵発行プラットフォームが前記KDCから第2の量子鍵管理端末のIDを取得し、前記第1の量子鍵管理端末のIDを前記KDCに通知することと、
前記量子鍵発行プラットフォームとKDCは、それぞれ、交渉した数の量子鍵を自分に対応する量子鍵管理端末に要求して受信し、前記量子鍵が前記第1の量子鍵管理端末によって前記量子鍵発行プラットフォームに送信されると共に、前記量子鍵が前記第2の量子鍵管理端末によって前記KDCに送信されることと、を含む。
前記量子鍵発行プラットフォームが、自分に接続された第1の量子鍵管理端末と対応関係を確立し、前記鍵配布センターKDCが、自分に接続された第2の量子鍵管理端末と対応関係を確立することと、
前記量子鍵発行プラットフォームとKDCは、導出される量子鍵の数を交渉し、前記量子鍵発行プラットフォームが前記KDCから第2の量子鍵管理端末のIDを取得し、前記第1の量子鍵管理端末のIDを前記KDCに通知することと、
前記量子鍵発行プラットフォームとKDCは、それぞれ、交渉した数の量子鍵を自分に対応する量子鍵管理端末に要求して受信し、前記量子鍵が前記第1の量子鍵管理端末によって前記量子鍵発行プラットフォームに送信されると共に、前記量子鍵が前記第2の量子鍵管理端末によって前記KDCに送信されることと、を含む。
本発明実施例はセキュアソケットレイヤバーチャルプライベートネットワークSSLVPN通信システムに適用される量子鍵チップの適用方法をさらに提供し、当該システムは、クライアント側SSLVPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNが前記サーバー側SSL VPNと交渉して、前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をプリマスター鍵として取得するようにし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCが予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングすることと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、を含む。
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNが前記サーバー側SSL VPNと交渉して、前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をプリマスター鍵として取得するようにし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCが予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングすることと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、を含む。
好ましくは、前記クライアント側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵を利用して、予め約束したアルゴリズムによって、セッション鍵を取得することは、具体的には、
前記クライアント側SSL VPNが前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップから返されたセッション鍵を受信し、前記セッション鍵が、プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムとから前記量子鍵チップによって計算されること、を含む。
前記クライアント側SSL VPNが前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップから返されたセッション鍵を受信し、前記セッション鍵が、プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムとから前記量子鍵チップによって計算されること、を含む。
好ましくは、前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が異常である場合に、当該方法は、
前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、を含む。
前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、を含む。
好ましくは、前記クライアント側SSL VPN又は量子鍵チップがセッション鍵を利用して適用データを暗号化及び/又は復号化することをさらに含む。
本発明の実施例は、セキュアソケットレイヤバーチャルプライベートネットワークSSL VPN通信システムに適用される量子鍵チップの適用方法をさらに提供し、当該システムは、クライアント側SSL VPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが前記サーバー側SSLVPNと交渉して、前記量子鍵チップにおける量子鍵をセッション鍵として使用することと、
前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得し、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCが予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングすることと、を含む。
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが前記サーバー側SSLVPNと交渉して、前記量子鍵チップにおける量子鍵をセッション鍵として使用することと、
前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得し、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCが予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングすることと、を含む。
好ましくは、前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が異常である場合に、当該方法は、
前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、を含む。
前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、を含む。
好ましくは、前記クライアント側SSL VPN又は量子鍵チップがセッション鍵を利用して適用データを暗号化及び/又は復号化することをさらに含む。
本発明実施例は、発行プラットフォームをさらに提供し、
鍵配布センターKDCと予め交渉することで取得された量子鍵を量子鍵チップに注入するための注入ユニットと、
前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられるバインディングユニットと、
前記KDCが前記識別情報と前記識別情報に対応する量子鍵をバインディングするように、前記量子鍵の識別情報を前記KDCに送信するための送信ユニットと、を含む。
鍵配布センターKDCと予め交渉することで取得された量子鍵を量子鍵チップに注入するための注入ユニットと、
前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられるバインディングユニットと、
前記KDCが前記識別情報と前記識別情報に対応する量子鍵をバインディングするように、前記量子鍵の識別情報を前記KDCに送信するための送信ユニットと、を含む。
本発明実施例は、量子鍵チップと、クライアント側SSL VPNと、サーバー側SSL VPNと、鍵配布センターKDCとを含む量子鍵適用システムをさらに提供し、
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵交渉が正常であると確定した場合に、前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSLVPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信し、前記サーバー側SSL VPNと交渉して前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記量子鍵チップは、前記第1の乱数を生成し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して、前記KDCから量子鍵をセッション鍵として取得し、
前記KDCは、前記識別情報と前記識別情報に対応する量子鍵を予めバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによってセッション鍵を取得する。
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵交渉が正常であると確定した場合に、前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSLVPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信し、前記サーバー側SSL VPNと交渉して前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記量子鍵チップは、前記第1の乱数を生成し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して、前記KDCから量子鍵をセッション鍵として取得し、
前記KDCは、前記識別情報と前記識別情報に対応する量子鍵を予めバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによってセッション鍵を取得する。
好ましくは、前記クライアント側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することは、具体的には、
前記クライアント側SSL VPNが前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが、前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップが、前記プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムを利用してセッション鍵を算出し、前記セッション鍵を前記クライアント側SSLVPNに送信することである。
前記クライアント側SSL VPNが前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが、前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップが、前記プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムを利用してセッション鍵を算出し、前記セッション鍵を前記クライアント側SSLVPNに送信することである。
好ましくは、
前記クライアント側SSL VPNはさらに、クライアント側SSL VPNとサーバー側SSLVPNによって実行される量子鍵の交渉が異常であると確定した場合に、生成された第1の乱数を前記サーバー側SSLVPNに送信し、
前記サーバー側SSL VPNは、生成された第2の乱数を前記クライアント側SSL VPNに送信し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
前記クライアント側SSL VPNはさらに、クライアント側SSL VPNとサーバー側SSLVPNによって実行される量子鍵の交渉が異常であると確定した場合に、生成された第1の乱数を前記サーバー側SSLVPNに送信し、
前記サーバー側SSL VPNは、生成された第2の乱数を前記クライアント側SSL VPNに送信し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
好ましくは、前記クライアント側SSL VPNはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化するか、
又は、前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
又は、前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
本発明実施例は、量子鍵チップと、クライアント側SSL VPNと、サーバー側SSL VPNと、鍵配布センターKDCとを含む量子鍵適用システムをさらに提供し、
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵の交渉が正常であると確定した場合に、前記サーバー側SSLVPNと交渉して前記量子鍵チップにおける量子鍵をセッション鍵とし、前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得し、
前記KDCは予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられる。
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵の交渉が正常であると確定した場合に、前記サーバー側SSLVPNと交渉して前記量子鍵チップにおける量子鍵をセッション鍵とし、前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得し、
前記KDCは予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられる。
好ましくは、
前記クライアント側SSL VPNはさらに、サーバー側SSL VPNとの量子鍵の交渉が異常であると確定した場合に、生成された第1の乱数を前記サーバー側SSLVPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
前記クライアント側SSL VPNはさらに、サーバー側SSL VPNとの量子鍵の交渉が異常であると確定した場合に、生成された第1の乱数を前記サーバー側SSLVPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
好ましくは、
前記クライアント側SSL VPNはさらに、セッション鍵を利用して、適用データを暗号化及び/又は復号化するか、
又は、前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
前記クライアント側SSL VPNはさらに、セッション鍵を利用して、適用データを暗号化及び/又は復号化するか、
又は、前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
従来の技術と比べると、本発明は少なくとも以下の利点を有する。即ち、
本発明によって提供される発行方法は、量子鍵を量子鍵チップに注入し、量子鍵チップのID及び/又はユーザーのIDを量子鍵の識別情報として使用するので、KDCは、後続の量子鍵チップの特定の適用を容易にするように、量子鍵を効果的に管理できるようにする。また、量子鍵チップは、持ち運びが簡単で使いやすいので、量子鍵チップをSSLVPNのようなポイントツーエンドのアクセス方式と組み合わせて、モバイル端末における量子鍵の適用の利便性を効果的に向上させることができる。その中、モバイル端末は携帯電話、PADなどのモバイル装置であり得る。量子鍵のセキュリティレベルは比較的高いため、非対称アルゴリズムによる従来のSSLVPNシステムのセキュリティリスクは解決された。
本発明によって提供される発行方法は、量子鍵を量子鍵チップに注入し、量子鍵チップのID及び/又はユーザーのIDを量子鍵の識別情報として使用するので、KDCは、後続の量子鍵チップの特定の適用を容易にするように、量子鍵を効果的に管理できるようにする。また、量子鍵チップは、持ち運びが簡単で使いやすいので、量子鍵チップをSSLVPNのようなポイントツーエンドのアクセス方式と組み合わせて、モバイル端末における量子鍵の適用の利便性を効果的に向上させることができる。その中、モバイル端末は携帯電話、PADなどのモバイル装置であり得る。量子鍵のセキュリティレベルは比較的高いため、非対称アルゴリズムによる従来のSSLVPNシステムのセキュリティリスクは解決された。
以下、本出願の実施例又は従来の技術における技術的解決策をより明確に説明するために、実施例又は従来技術の説明で使用する図面について簡単に説明する。明らかに、以下の説明における図面は、本願に記載されたいくつかの実施例に過ぎず、当業者にとっては、創造的な労力を払うことなく、これらの図面から他の図面を得ることもできる。
以下、当業者が本発明の解決策をよりよく理解できるようにするために、本発明の実施例における添付の図面を参照しながら、本発明の実施例における技術的解決策を明確かつ完全に説明する。記載された実施例は本発明の実施例の一部に過ぎず、全ての実施例ではないことは明らかである。創造的な努力なしに本発明の実施例に基づいて当業者によって得られる他の全ての実施例は、本発明の範囲内である。
発行方法実施例一:
図1を参照すると、当該図は、本発明による量子鍵チップの発行方法実施例一のフローチャートである。
本実施例によって提供される量子鍵チップの発行方法は、以下のことを含む。
S101:量子鍵発行プラットフォームは、量子鍵を量子鍵チップに注入し、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記量子鍵発行プラットフォームが鍵配布センター(KDC、KeyDistribution Center)と予め交渉することで前記量子鍵が取得される。
S101:量子鍵発行プラットフォームは、量子鍵を量子鍵チップに注入し、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記量子鍵発行プラットフォームが鍵配布センター(KDC、KeyDistribution Center)と予め交渉することで前記量子鍵が取得される。
量子鍵発行プラットフォームとKDCとが交渉した量子鍵は共有量子鍵である、即ち、量子鍵発行プラットフォームとKDCが同じ内容の量子鍵を同数持っていることは理解すべきである。
量子鍵チップは最終的にユーザーに発行されるので、量子鍵チップはユーザーのIDと1対1で対応し、発行時に予め設定されたPINコードも設定することができ、ユーザーが量子鍵チップを使用する時に、ユーザーが正当であるかどうかを検証するために、予め設定されたPINコードを入力する必要がある。
量子鍵チップにおける量子鍵は、量子鍵チップのIDによって識別されてもよく、ユーザーのIDによって識別されてもよく、量子鍵チップのIDとユーザーのIDによって共同で識別されてもよい。
S102:前記量子鍵発行プラットフォームは、前記量子鍵の識別情報を前記KDCに送信し、前記KDCが前記識別情報と前記識別情報に対応する量子鍵をバインディングするようにする。
KDCに多くの量子鍵が格納される可能性があるので、KDCは、量子鍵の識別情報を利用して当該識別情報に対応する量子鍵を見つける必要がある。
本実施例による発行方法は、量子鍵を量子鍵チップに注入し、量子鍵チップのID及び/又はユーザーのIDを量子鍵の識別情報として使用するので、KDCは、後続の量子鍵チップの特定の適用を容易にするように、量子鍵を効果的に管理できるようにする。また、量子鍵チップは、持ち運びが簡単で使いやすいので、量子鍵チップをSSLVPNのようなポイントツーエンドのアクセス方式と組み合わせて、モバイル端末における量子鍵の適用の利便性を効果的に向上させることができる。その中、モバイル端末は携帯電話、PADなどのモバイル装置であってよい。量子鍵のセキュリティレベルが比較的高いため、非対称アルゴリズムによる従来のSSLVPNシステムのセキュリティリスクは解決された。
発行方法実施例二:
図2を参照すると、当該図は本発明による量子鍵チップの発行方法のシグナリング図である。
なお、量子鍵発行プラットフォームとKDCは、同一の量子鍵管理端末に対応してもよいし、異なる量子鍵管理端末に対応してもよい。以下、異なる量子鍵管理端末に対応することを例として説明する。量子鍵発行プラットフォームとKDCが同一の量子鍵管理端末に対応する場合に、原理も同様である。
S1:前記量子鍵発行プラットフォームは、自分に接続された第1の量子鍵管理端末と対応関係を確立し、前記鍵配布センターKDCは、自分に接続された第2の量子鍵管理端末と対応関係を確立し、確立された対応関係を利用して、KDCと量子鍵発行プラットフォームは、それぞれ自分に接続された量子鍵管理端末に対して身元認証を行う。
なお、量子鍵管理端末に対して身元認証を行うことは必須なステップではなく、セキュリティを向上させるためであることに留意されたい。
S2:KDCと量子鍵発行プラットフォームは導出される量子鍵の数を交渉し、前記量子鍵発行プラットフォームは前記KDCから第2の量子鍵管理端末のIDを取得し、前記第1の量子鍵管理端末のIDを前記KDCに通知する。
S3:KDCと量子鍵発行プラットフォームは、交渉した後、それぞれ自分に接続された量子鍵管理端末に量子鍵を要求する。
即ち、KDCは第2の量子鍵管理端末に量子鍵を要求し、量子鍵発行プラットフォームは、第1の量子鍵管理端末に量子鍵を要求する。
S4:KDCと量子鍵発行プラットフォームはそれぞれ、対応する量子鍵管理端末から返された量子鍵を受信する。
好ましくは、量子鍵管理端末は、鍵プール内の残りの量子鍵の量が要件を満たすかどうかを検出するための鍵プール検出を行い、満たす場合、交渉した数の量子鍵を直接返すことができ、満たさない場合、通知情報を返して、導出される量子鍵の数についてKDCと量子鍵発行プラットフォームによって再交渉することができ、鍵プール内の量子鍵の数が要件を満たすまで待って、対応する数の量子鍵を返すこともできる。
S5:量子鍵発行プラットフォームは、量子鍵を量子鍵チップに注入し、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられる。
なお、量子鍵発行プラットフォームは、量子鍵の識別情報をKDCに送信し、KDCは、後に量子鍵チップを使用するときに対応する量子鍵を見つけるために、量子鍵の識別情報と対応する量子鍵とをバインディングして記憶することに留意されたい。
また、量子鍵発行プラットフォームは、ユーザーが量子鍵チップを使用する際の正当性検証用の量子鍵チップのPINコードも設定する。
一般的に、量子鍵管理端末に記憶される量子鍵は、当該量子鍵が共有されている量子鍵管理端末の装置IDによって識別される。そのため、KDCと量子鍵発行プラットフォームは、導出される量子鍵の数、両方の量子鍵管理端末の装置IDを交渉することで、装置IDによって、それぞれ自分に接続された量子鍵管理端末に対して対応する数の共有量子鍵を要求し取得することができる。
なお、以上、KDCと量子鍵発行プラットフォームが異なる量子鍵管理端末に対応することについて説明した。KDCと量子鍵発行プラットフォームが同一の量子鍵管理端末に対応する際に、当該量子鍵管理端末によって、量子鍵をKDCに送信し、量子鍵のコピーを量子鍵発行プラットフォームに送信することができる。
上記の実施例によって提供される方法をよりよく理解するために、以下、適用場面と併せてさらに説明し、詳細については、本発明による発行方法の場面の概略図である図3を参照する。
地域から内部ネットワークと外部ネットワークに分け、SSL VPNは外部ネットワークが内部ネットワークにアクセスする境界装置として使用される。
量子鍵チップは発行された後ユーザーによって使用されるので、外部ネットワークにおける量子鍵チップは発行された後にユーザーによって使用される。内部ネットワークにおける量子鍵チップと外部ネットワークにおける量子鍵チップは同一であり、理解の便宜上、量子鍵チップは内部ネットワークに入れて、発行の過程を説明する。
内部ネットワークでは、適用サーバー(例えば、Webサーバー、OA管理システム、メールサーバーなど)、サーバー側SSLVPN、KDC、量子鍵管理端末、量子鍵配布(QKD、Quantum Key Distribution)システム、及び量子鍵発行プラットフォームを配置する必要があり、また、量子鍵チップはモバイル装置として、内部ネットワークによって発行された後にユーザーに配布される。
主な機能の説明:
SSL VPN:境界の認証アクセスを担当し、内部ネットワークの境界エントリである。
SSL VPN:境界の認証アクセスを担当し、内部ネットワークの境界エントリである。
QKDシステム:量子ネットワークによって、量子鍵を生成する。
量子鍵管理端末: QKDシステムによって生成された量子鍵を取得し格納することを担当する。
KDC:量子鍵発行プラットフォームとの交渉を担当し、量子鍵管理端末から量子鍵を導出する動作を完成し、量子鍵の識別情報を登録し、量子鍵と量子鍵チップとの対応関係をバインディング及び維持し、量子鍵の識別情報が量子鍵チップのID及び/又はユーザーのIDであってもよい。
量子鍵発行プラットフォーム:量子鍵の導出をKDCと交渉し、量子鍵チップの発行を完成し、量子鍵を量子鍵チップに導入し、量子鍵チップのIDとユーザーのIDを1対1の対応でバインディングする。
量子鍵チップ:量子鍵を搭載し、ユーザーと1対1でバインディングする。
なお、KDC、量子鍵発行プラットフォーム、量子鍵管理端末、及びQKDは独立して存在してもよいし、統合されてもよいことに留意されたい。
以下、添付の図面を参照しながら、上記の実施例による発行方法に基づいて発行された量子鍵チップの適用方法を説明する。
適用方法実施例一:
図4を参照すると、当該図は本発明による量子鍵チップの適用方法実施例一のフローチャートである。
本実施例による量子鍵チップの適用方法は、セキュアソケットレイヤバーチャルプライベートネットワークSSLVPN通信システムに適用され、当該システムは、クライアント側SSL VPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、当該方法は、以下のことを含む。
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、当該方法は、以下のことを含む。
S401:前記クライアント側SSL VPNは、前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信する。
S402:前記クライアント側SSL VPNは、前記サーバー側SSLVPNと交渉して、前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をプリマスター鍵として取得し、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCは予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングする。
S403:前記クライアント側SSL VPNと前記サーバー側SSL VPNは、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
前記クライアント側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することは、具体的には、
前記クライアント側SSL VPNが前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップから返されたセッション鍵を受信し、前記セッション鍵は、前記量子鍵チップによってプリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムから計算されることを含む。
前記クライアント側SSL VPNが前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップから返されたセッション鍵を受信し、前記セッション鍵は、前記量子鍵チップによってプリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムから計算されることを含む。
本実施例では、第1の乱数とプリマスター鍵は量子鍵チップによって提供される。このようにして、量子鍵の高度なセキュリティ機能を十分に活用することができ、プレマスター鍵の更新頻度を向上させ、それによって元のSSLプロトコル全体のセキュリティを向上させるのに有益である。
上記方法は、クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、量子鍵チップを使用して第1の乱数を生成し、量子鍵チップにおける量子鍵をプリマスター鍵として使用することであるが、クライアント側SSLVPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、量子鍵チップにおける量子鍵をプリマスター鍵として使用することができないため、プリマスター鍵の交渉は、SSLプロトコルにおける元の交渉メカニズムを利用して実行することができる。即ち、以下のSSLプロトコルの交渉メカニズムを参照する。
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、当該方法は、
前記クライアント側SSL VPNは、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、プリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することとを含む。
前記クライアント側SSL VPNは、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、プリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することとを含む。
本実施例では、量子鍵を交渉する際に問題が発生する場合に、保留される元のSSLプロトコルにおけるプリマスター鍵の交渉メカニズムを利用することができ、つまり、2種類のプリマスター鍵ソースがある。量子鍵がプリマスター鍵として問題が発生する場合に、SSLプロトコルの元の交渉メカニズムのプリマスター鍵を利用することで、元のSSLプロトコルとの効果的な互換性を達成することができる。そして、量子鍵をプリマスター鍵として使用するのが好ましい。詳細については、図5に示す適用方法実施例一に対応するシグナリング図を参照することができる。なお、ユーザーが量子鍵チップを使用する際に正当性検証が必要であり、例えば、発行時に予め設定されたPINコードを使用して、検証が正当である場合のみにユーザーに適用権限を開くことができる。正当検証は他の方法でも実施できる。例えば、指紋によるユーザーの正当性の検証など、正当性検証にバイオメトリクスを利用する。
また、前記クライアント側SSL VPN又は量子鍵チップがセッション鍵を利用して適用データを暗号化及び/又は復号化することをさらに含む。
セッション鍵の計算及び適用データの暗号化及び/又は復号化は量子鍵チップで完成でき、量子鍵チップは、量子鍵と乱数をクライアント側SSLVPNに提供するプロバイダとして使用するだけであり、セッション鍵の計算及び/又は適用データの暗号化と復号化は、クライアント側SSLVPN自身によって完成されてもよい。
適用方法実施例二:
図6を参照すると、当該図は本発明による量子鍵チップの適用方法実施例二のフローチャートである。
本実施例による量子鍵チップの適用方法は、セキュアソケットレイヤバーチャルプライベートネットワークSSLVPN通信システムに適用され、当該システムは、クライアント側SSL VPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、当該方法は、以下のことを含む。
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、当該方法は、以下のことを含む。
S601:前記クライアント側SSL VPNは前記サーバー側SSL VPNと交渉して、前記量子鍵チップにおける量子鍵をセッション鍵として使用する。
S602:前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSL VPNに送信することで、前記サーバー側SSL VPNは前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得し、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCは予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングする。
本実施例では、量子鍵チップにおける量子鍵をそのままセッション鍵として使用する。このようにして、量子鍵の高度なセキュリティ機能を十分に活用することができ、これはプレマスター鍵の更新頻度を向上させ、元のSSLプロトコル全体のセキュリティを向上させるのに有益である。
上記方法は、クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、量子鍵チップにおける量子鍵をそのままセッション鍵として使用することができることである。しかし、クライアント側SSLVPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、量子鍵チップにおける量子鍵をプリマスター鍵として使用することができないため、SSLプロトコルにおける元の交渉メカニズムを利用して、プリマスター鍵の交渉を実行して、セッション鍵の計算を行うことができる。即ち、以下のSSLプロトコルの交渉メカニズムを参照する。
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、当該方法は、
前記クライアント側SSL VPNは、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNとが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して予め約束したアルゴリズムによって、セッション鍵を取得することとを含む。
前記クライアント側SSL VPNは、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNとが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して予め約束したアルゴリズムによって、セッション鍵を取得することとを含む。
本実施例では、量子鍵を交渉する際に問題が発生する場合に、保留される元のSSLプロトコルにおけるプリマスター鍵の交渉メカニズムを利用してセッション鍵を計算することができ、つまり、2種類のプリマスター鍵ソースがある。量子鍵がプリマスター鍵として問題が発生する場合に、SSLプロトコルのオリジナルの交渉メカニズムのプリマスター鍵を利用して、セッション鍵の計算を実行することで、元のSSLプロトコルとの効果的な互換性を達成することができる。そして、量子鍵をプリマスター鍵として使用するのが好ましい。詳細については、図7に示す適用方法実施例二に対応するシグナリング図を参照することができる。図5と同じ部分については説明を省略する。
また、前記クライアント側SSL VPN又は量子鍵チップがセッション鍵を利用して適用データを暗号化及び/又は復号化することをさらに含む。
セッション鍵の計算及び適用データの暗号化及び/又は復号化は、量子鍵チップで完成でき、量子鍵チップは、量子鍵をクライアント側SSLVPNに提供するプロバイダとして使用するだけであり、セッション鍵の計算及び/又は適用データの暗号化と復号化は、クライアント側SSLVPN自身によって完成されてもよい。
本発明は、上記の実施例によって提供される量子鍵チップの発行方法及び適用方法に基づいて、発行プラットフォームをさらに提供し、以下、添付の図面を参照しながら詳細に説明する。
図8を参照して、当該図は本発明による発行プラットフォームの概略図である。
本実施例によって提供される発行プラットフォームは、注入ユニット801と、バインディングユニット802と、送信ユニット803とを含む。
前記注入ユニット801は、予め鍵配布センターKDCと交渉することで取得された量子鍵を量子鍵チップに注入する。
前記バインディングユニット802は、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDはいずれも当該量子鍵チップにおける量子鍵の識別情報として用いることができる。
前記送信ユニット803は、前記量子鍵の識別情報を前記KDCに送信し、前記KDCが前記識別情報と前記識別情報に対応する量子鍵をバインディングするようにする。
本実施例による発行プラットフォームは、量子鍵を量子鍵チップに注入し、量子鍵チップのID及び/又はユーザーのIDを量子鍵の識別情報として使用するので、KDCは、後続の量子鍵チップの特定の適用を容易にするように、量子鍵を効果的に管理できるようにする。また、量子鍵チップは、持ち運びが簡単で使いやすいので、量子鍵チップをSSLVPNのようなポイントツーエンドのアクセス方式と組み合わせて、モバイル端末における量子鍵の適用の利便性を効果的に向上させることができる。その中、モバイル端末は携帯電話、PADなどのモバイル装置であってもよい。量子鍵のセキュリティレベルは比較的高いため、非対称アルゴリズムによる従来のSSLVPNシステムのセキュリティリスクは解決された。
当該発行プラットフォームは、他の実施例では説明した量子鍵発行プラットフォームである。
適用システム実施例一:
図9を参照すると、当該図は本発明による量子鍵適用システム実施例一の概略図である。
本実施例による量子鍵適用システムは、量子鍵チップ901と、クライアント側SSL VPN902と、サーバー側SSL VPN903と、鍵配布センターKDC904とを含む。
前記クライアント側SSL VPN902は、サーバー側SSL VPN903との量子30鍵交渉が正常であると確定した場合に、前記量子鍵チップ901から第1の乱数を取得し、前記第1の乱数を前記サーバー側SSLVPN903に送信し、前記サーバー側SSL VPN903によって送信される第2の乱数を受信し、前記サーバー側SSL VPN903と交渉して前記量子鍵チップ901における量子鍵をプリマスター鍵として使用し、前記量子鍵チップ901におけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPN903に送信する。
前記量子鍵チップ901は、前記第1の乱数を生成する。
前記サーバー側SSL VPN903は、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDC904からプリマスター鍵とする量子鍵を取得する。
前記KDC904は、前記識別情報と前記識別情報に対応する量子鍵を予めバインディングし、前記量子鍵チップ901のID及び/又はユーザーのIDが量子鍵チップ901における量子鍵の識別情報として用いられる。
前記クライアント側SSL VPN902と前記サーバー側SSL VPN903はさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
前記クライアント側SSL VPN902が前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することは、具体的には、
前記クライアント側SSL VPN902が、前記量子鍵チップ901からプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPN902が、前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップ901に通知し、前記量子鍵チップ901が、前記プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムとを利用してセッション鍵を計算し、前記セッション鍵を前記クライアント側SSLVPN902に送信する。
前記クライアント側SSL VPN902が、前記量子鍵チップ901からプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPN902が、前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップ901に通知し、前記量子鍵チップ901が、前記プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムとを利用してセッション鍵を計算し、前記セッション鍵を前記クライアント側SSLVPN902に送信する。
本実施例では、第1の乱数とプリマスター鍵は量子鍵チップ901によって提供される。このようにして、量子鍵の高度なセキュリティ機能を十分に活用することができ、これはプレマスター鍵の更新頻度を向上させ、元のSSLプロトコル全体のセキュリティを向上させるのに有益である。
上記システムは、クライアント側SSL VPN902とサーバー側SSL VPN903によって実行される量子鍵交渉が正常である場合に、量子鍵チップ901を利用して第1の乱数を生成し、量子鍵チップ901における量子鍵をプリマスター鍵として使用することができるが、クライアント側SSLVPN902とサーバー側SSL VPN903によって実行される量子鍵交渉が異常である場合に、量子鍵チップ901における量子鍵をプリマスター鍵として使用することができないため、SSLプロトコルにおける元の交渉メカニズムを利用してプリマスター鍵の交渉を実行することができる。
即ち、
前記クライアント側SSL VPN902はさらに、サーバー側SSL VPN903との量子鍵交渉が異常であると確定した場合に、生成された第1の乱数をサーバー側SSLVPN903に送信し、
前記サーバー側SSL VPN903は、生成された第2の乱数を前記クライアント側SSL VPN902に送信し、
前記クライアント側SSL VPN902と前記サーバー側SSL VPN903は、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPN902と前記サーバー側SSL VPN903は、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
前記クライアント側SSL VPN902はさらに、サーバー側SSL VPN903との量子鍵交渉が異常であると確定した場合に、生成された第1の乱数をサーバー側SSLVPN903に送信し、
前記サーバー側SSL VPN903は、生成された第2の乱数を前記クライアント側SSL VPN902に送信し、
前記クライアント側SSL VPN902と前記サーバー側SSL VPN903は、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPN902と前記サーバー側SSL VPN903は、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
本実施例では、量子鍵を交渉する際に問題が発生する場合に、保留される元のSSLプロトコルにおけるプリマスター鍵の交渉メカニズムを利用することができ、つまり、2種類のプリマスター鍵ソースがある。量子鍵がプリマスター鍵として使用される際に問題が発生する場合に、SSLプロトコルの元の交渉メカニズムのプリマスター鍵を利用することで、元のSSLプロトコルとの効果的な互換性を達成することができる。そして、量子鍵をプリマスター鍵として使用するのが好ましい。
また、前記クライアント側SSL VPN902はさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化するか、
又は、
前記量子鍵チップ901はさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
又は、
前記量子鍵チップ901はさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
セッション鍵の計算及び適用データの暗号化及び/又は復号化は、量子鍵チップ901で完成でき、量子鍵チップ901は、量子鍵と乱数をクライアント側SSLVPN902に提供するプロバイダとして使用するだけであり、セッション鍵の計算及び/又は適用データの暗号化と復号化は、クライアント側SSLVPN902自身によって完成されてもよい。
適用システム実施例二:
本実施例による量子鍵適用システムは、量子鍵チップと、クライアント側SSLVPNと、サーバー側SSL VPNと、鍵配布センターKDCとを含む。
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵交渉が正常であると確定した場合に、前記サーバー側SSLVPNと交渉して前記量子鍵チップにおける量子鍵をセッション鍵とし、前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信する。
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得する。
前記KDCは、前記識別情報と前記識別情報に対応する量子鍵を予めバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられる。
本実施例では、量子鍵チップにおける量子鍵をそのままセッション鍵として使用する。このようにして、量子鍵の高度なセキュリティ機能を十分に活用することができ、これはプレマスター鍵の更新頻度を向上させ、元のSSLプロトコル全体のセキュリティを向上させるのに有益である。。
上記方法は、クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、量子鍵チップにおける量子鍵をそのままセッション鍵として使用することができるが、クライアント側SSLVPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、量子鍵チップにおける量子鍵をセッション鍵として使用することができないため、SSLプロトコルにおける元の交渉メカニズムを利用して、プリマスター鍵の交渉を実行して、セッション鍵の計算を実行することができる。
前記クライアント側SSL VPNはさらに、サーバー側SSL VPNとの量子鍵交渉が異常であると確定した場合に、生成された第1の乱数をサーバー側SSLVPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信する。
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、プリマスター鍵の交渉を行う。
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
また、前記クライアント側SSL VPNはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化するか、
又は、
前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
又は、
前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
量子鍵チップを利用して適用データを暗号化及び/又は復号化することによって、セキュリティを向上させることができる。
本発明の上記の全ての実施例の特定の適用場面を、図10を参照して以下に説明する。
なお、適用サーバーは本社に集中し、KDCも本社に配置され、本社と子会社との間で量子ネットワークを介して量子鍵を生成することができる。量子鍵発行プラットフォームを使用して量子鍵チップが発行されるときに、量子鍵が量子鍵チップに記憶され、同じ量子鍵がKDCによって記憶及び管理される。ユーザーが公衆ネットワーク上にある場合に、量子鍵チップを利用してクライアント側SSL VPNによって本社のサーバー側SSL VPNにアクセスすることによって、適用サーバーにアクセスすることができる。
このような量子鍵を搭載する量子鍵チップは持ち運びが簡単で使いやすく、SSLVPNのようなポイントツーエンドのアクセス方式とうまく組み合わされて、モバイル機器側における量子鍵の適用の利便性を向上させる。また、量子鍵チップのIDとユーザーのIDが1対1でバインディングされ、ユーザーのIDレベルを上げている。同時に、量子鍵は量子鍵チップに安全に記憶され、チップ内でデータを暗号化及び復号化することができ、それによってシステム全体のセキュリティ保護レベルを向上させる。さらに、クライアント側SSLVPNと量子鍵チップは有機的に結合されていることで、元の交渉過程をサポートしながら、量子鍵チップへのアクセスのサポートも拡張し、システムの互換性と適応性が維持される。
上記の説明は、本発明の好ましい実施形態にすぎず、本発明を限定することを決して意図するものではない。以上、発明を実施するための好ましい実施例について説明を行ったが、本発明はこれらに限定されるものではない。当業者であれば、本発明の技術的解決策の範囲から逸脱することなく、上記の方法と技術内容を使用して、本発明の技術的解決策に対して多くの可能な変形および修正を行うことができ、或いは同等の変形、同等の実施例に修正することができる。したがって、本発明の技術的解決法から逸脱しないものであれば、本発明の技術的思想に従って上述の実施形態になされた任意の簡単な修正、均等な変更、及び修正も、依然として本発明の技術的解決策の保護範囲内にある。
Claims (17)
- 量子鍵チップの発行方法であって、
量子鍵発行プラットフォームが量子鍵を量子鍵チップに注入し、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記量子鍵発行プラットフォームが鍵配布センターKDCと予め交渉することで前記量子鍵が取得されることと、
前記量子鍵発行プラットフォームが前記量子鍵の識別情報をKDCに送信して、前記KDCが前記識別情報と前記識別情報に対応する量子鍵とをバインディングするようにすることと、
を含むことを特徴とする量子鍵チップの発行方法。 - 前記量子鍵発行プラットフォームがKDCと予め交渉することで量子鍵を取得することは、具体的には、
前記量子鍵発行プラットフォームが、自分に接続された第1の量子鍵管理端末と対応関係を確立し、前記鍵配布センターKDCが、自分に接続された第2の量子鍵管理端末と対応関係を確立することと、
前記量子鍵発行プラットフォームとKDCが導出される量子鍵の数を交渉し、前記量子鍵発行プラットフォームが前記KDCから第2の量子鍵管理端末のIDを取得し、前記第1の量子鍵管理端末のIDを前記KDCに通知することと、
前記量子鍵発行プラットフォームとKDCとがそれぞれ、交渉した数の量子鍵を、自分に対応する量子鍵管理端末に要求して受信し、前記量子鍵は、前記第1の量子鍵管理端末が前記量子鍵発行プラットフォームに送信すると共に、前記量子鍵は、前記第2の量子鍵管理端末が前記KDCに送信することと、
を含むことを特徴とする請求項1に記載の量子鍵チップの発行方法。 - セキュアソケットレイヤバーチャルプライベートネットワークSSL VPN通信システムに適用される量子鍵チップの適用方法であって、当該システムは、クライアント側SSLVPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが、前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSLVPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNが、前記サーバー側SSL VPNと交渉して、前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をプリマスター鍵として取得するようにし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCは前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングすることと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNとは、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵を利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、
を含むことを特徴とする量子鍵チップの適用方法。 - 前記クライアント側SSL VPNが、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することは、具体的には、
前記クライアント側SSL VPNが、前記量子鍵チップから、プリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが、前記第2の乱数と予め約束したアルゴリズムとを前記量子鍵チップに通知して、前記量子鍵チップから返されたセッション鍵を受信し、前記セッション鍵は、プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムとから前記量子鍵チップによって計算されること、
を含むことを特徴とする請求項3に記載の量子鍵チップの適用方法。 - 前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、当該方法は、
前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、
を含むことを特徴とする請求項3又は4に記載の量子鍵チップの適用方法。 - 前記クライアント側SSL VPN又は量子鍵チップが、セッション鍵を利用して、適用データを暗号化及び/又は復号化することをさらに含むことを特徴とする請求項3に記載の量子鍵チップの適用方法。
- セキュアソケットレイヤバーチャルプライベートネットワークSSL VPN通信システムに適用される量子鍵チップの適用方法であって、当該システムは、クライアント側SSLVPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが前記サーバー側SSL VPNと交渉して、前記量子鍵チップにおける量子鍵をセッション鍵とし、前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得するようにし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCが前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングすること、
を含むことを特徴とする量子鍵チップの適用方法。 - 前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、当該方法は、
前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、
を含むことを特徴とする請求項7に記載の量子鍵チップの適用方法。 - 前記クライアント側SSL VPN又は量子鍵チップが、セッション鍵を利用して、適用データを暗号化及び/又は復号化することを、さらに含むことを特徴とする請求項7に記載の量子鍵チップの適用方法。
- 発行プラットフォームであって、
鍵配布センターKDCと予め交渉することで取得された量子鍵を量子鍵チップに注入するための注入ユニットと、
前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられるバインディングユニットと、
前記KDCが前記識別情報と前記識別情報に対応する量子鍵をバインディングするように、前記量子鍵の識別情報を前記KDCに送信するための送信ユニットと、
を含むことを特徴とする発行プラットフォーム。 - 量子鍵チップと、クライアント側SSL VPNと、サーバー側SSLVPNと、鍵配布センターKDCとを含む量子鍵適用システムであって、
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵交渉が正常であると確定した場合、前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信し、前記サーバー側SSLVPNと交渉して前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記量子鍵チップは、前記第1の乱数を生成し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して、前記KDCから量子鍵をプリマスター鍵として取得し、
前記KDCは、前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する、
ことを特徴とする量子鍵適用システム。 - 前記クライアント側SSL VPNが、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して予め約束したアルゴリズムによってセッション鍵を取得することは、具体的には、
前記クライアント側SSL VPNが、前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが、前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップが、前記プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数、予め約束したアルゴリズムとを利用してセッション鍵を算出し、前記セッション鍵を前記クライアント側SSLVPNに送信する、
ことを特徴とする請求項11に記載の量子鍵適用システム。 - 前記クライアント側SSL VPNは、さらに、クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が異常であると確定した場合、生成された第1の乱数を前記サーバー側SSLVPNに送信し、
前記サーバー側SSL VPNは、生成された第2の乱数を前記クライアント側SSL VPNに送信し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する、
ことを特徴とする請求項11又は12に記載の量子鍵適用システム。 - 前記クライアント側SSL VPNはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化するか、
又は、
前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する、
ことを特徴とする請求項11に記載の量子鍵適用システム。 - 量子鍵チップと、クライアント側SSL VPNと、サーバー側SSLVPNと、鍵配布センターKDCとを含む量子鍵適用システムであって、
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵の交渉が正常であると確定した場合に、前記サーバー側SSL VPNと交渉して前記量子鍵チップにおける量子鍵をセッション鍵とし、前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して、前記KDCから量子鍵をセッション鍵として取得し、
前記KDCは、前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングし、前記量子鍵チップのID 及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられる、
ことを特徴とする量子鍵適用システム。 - 前記クライアント側SSL VPNはさらに、サーバー側SSL VPNとの量子鍵の交渉が異常であると確定した場合に、生成された第1の乱数を前記サーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する、
ことを特徴とする請求項15に記載の量子鍵適用システム。 - 前記クライアント側SSL VPNはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化するか、
又は、
前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する、
ことを特徴とする請求項15に記載の量子鍵適用システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611070527.7 | 2016-11-28 | ||
| CN201611070527.7A CN108123795B (zh) | 2016-11-28 | 2016-11-28 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
| PCT/CN2017/112256 WO2018095322A1 (zh) | 2016-11-28 | 2017-11-22 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2019537402A true JP2019537402A (ja) | 2019-12-19 |
Family
ID=62194787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019548511A Pending JP2019537402A (ja) | 2016-11-28 | 2017-11-22 | 量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11362818B2 (ja) |
| EP (1) | EP3547600B1 (ja) |
| JP (1) | JP2019537402A (ja) |
| CN (1) | CN108123795B (ja) |
| WO (1) | WO2018095322A1 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108809632B (zh) * | 2017-04-28 | 2021-06-15 | 广东国盾量子科技有限公司 | 一种量子安全套接层装置及系统 |
| CN108965344B (zh) * | 2018-09-30 | 2020-12-08 | 国网江苏省电力有限公司南京供电分公司 | 一种用于异地数据安全备份的系统及方法 |
| CN109728908B (zh) * | 2019-03-18 | 2021-10-15 | 南方电网调峰调频发电有限公司信息通信分公司 | 一种基于量子安全移动存储介质的密钥管理方法 |
| US11228431B2 (en) * | 2019-09-20 | 2022-01-18 | General Electric Company | Communication systems and methods for authenticating data packets within network flow |
| CN113285803B (zh) * | 2021-06-24 | 2022-03-11 | 中电信量子科技有限公司 | 一种基于量子安全密钥的邮件传输系统和传输方法 |
| CN113595722B (zh) * | 2021-06-28 | 2023-11-07 | 阿里巴巴新加坡控股有限公司 | 量子安全密钥同步方法、装置、电子设备和存储介质 |
| CN113691313A (zh) * | 2021-07-04 | 2021-11-23 | 河南国科量子通信网络有限公司 | 一种星地一体量子密钥链路虚拟化应用服务系统 |
| CN113630407B (zh) * | 2021-08-02 | 2022-12-27 | 中电信量子科技有限公司 | 使用对称密码技术增强mqtt协议传输安全的方法和系统 |
| CN113536362B (zh) * | 2021-09-16 | 2021-12-03 | 中科问天量子科技(天津)有限公司 | 一种基于安全芯片载体的量子密钥管理方法及系统 |
| CN113852460B (zh) * | 2021-09-16 | 2023-10-13 | 国科量子通信网络有限公司 | 一种基于量子密钥增强工作密钥安全性的实现方法和系统 |
| CN113922956A (zh) * | 2021-10-09 | 2022-01-11 | 天翼物联科技有限公司 | 基于量子密钥的物联网数据交互方法、系统、设备及介质 |
| CN113810187B (zh) * | 2021-10-13 | 2023-12-01 | 国科量子通信网络有限公司 | 一种高速量子密钥分发系统及方法 |
| CN114499842B (zh) * | 2021-12-31 | 2023-06-30 | 华南师范大学 | 一种基于强化学习的qkd网络密钥资源预分配方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004013560A (ja) * | 2002-06-07 | 2004-01-15 | Victor Co Of Japan Ltd | 認証システム、通信端末及びサーバ |
| US20110166999A1 (en) * | 1996-04-15 | 2011-07-07 | Tushie David R | System and apparatus for smart card personalization |
| WO2012025987A1 (ja) * | 2010-08-24 | 2012-03-01 | 三菱電機株式会社 | 通信端末、通信システム、通信方法及び通信プログラム |
| JP2014068313A (ja) * | 2012-09-27 | 2014-04-17 | Toshiba Corp | 通信方法、アプリケーション装置、プログラム及び通信システム |
| JP2016528756A (ja) * | 2013-06-08 | 2016-09-15 | クァンタムシーテック カンパニー,リミテッド | アンドロイド携帯情報処理端末に基づく通信キーの配布方法 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4883273B2 (ja) * | 2006-01-11 | 2012-02-22 | 日本電気株式会社 | 乱数品質管理装置および管理方法 |
| JP2007288694A (ja) * | 2006-04-19 | 2007-11-01 | Nec Corp | 秘匿通信システムおよびチャネル制御方法 |
| US20080298583A1 (en) * | 2007-05-31 | 2008-12-04 | Lucent Technologies Inc. | System and method of quantum encryption |
| US9350708B2 (en) * | 2010-06-01 | 2016-05-24 | Good Technology Corporation | System and method for providing secured access to services |
| CN201830272U (zh) * | 2010-09-17 | 2011-05-11 | 安徽问天量子科技股份有限公司 | 基于量子密钥的网络加密机 |
| US9698979B2 (en) * | 2011-04-15 | 2017-07-04 | Quintessencelabs Pty Ltd. | QKD key management system |
| JP5624526B2 (ja) * | 2011-08-26 | 2014-11-12 | 株式会社東芝 | 鍵共有装置、鍵共有方法および鍵共有プログラム |
| US10560265B2 (en) * | 2013-06-08 | 2020-02-11 | Quantumctek Co., Ltd. | Mobile secret communications method based on quantum key distribution network |
| US9350550B2 (en) * | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| US20150288517A1 (en) * | 2014-04-04 | 2015-10-08 | Ut-Battelle, Llc | System and method for secured communication |
| CN105553648B (zh) * | 2014-10-30 | 2019-10-29 | 阿里巴巴集团控股有限公司 | 量子密钥分发、隐私放大及数据传输方法、装置及系统 |
| CN105871538B (zh) * | 2015-01-22 | 2019-04-12 | 阿里巴巴集团控股有限公司 | 量子密钥分发系统、量子密钥分发方法及装置 |
| CN106209739B (zh) | 2015-05-05 | 2019-06-04 | 科大国盾量子技术股份有限公司 | 云存储方法及系统 |
| CN106411521B (zh) * | 2015-07-31 | 2020-02-18 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及系统 |
| CN106470101B (zh) * | 2015-08-18 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及系统 |
| CN106470104B (zh) * | 2015-08-20 | 2020-02-07 | 阿里巴巴集团控股有限公司 | 用于生成共享密钥的方法、装置、终端设备及系统 |
| US9781081B1 (en) * | 2015-10-02 | 2017-10-03 | Amazon Technologies, Inc. | Leveraging transport-layer cryptographic material |
| CN106656907B (zh) * | 2015-10-28 | 2021-03-02 | 阿里巴巴集团控股有限公司 | 用于认证的方法、装置、终端设备及系统 |
| CN105357001B (zh) * | 2015-12-10 | 2018-08-07 | 安徽问天量子科技股份有限公司 | 量子密钥动态分发的管理方法及系统 |
| US20170222803A1 (en) * | 2016-02-02 | 2017-08-03 | Kabushiki Kaisha Toshiba | Communication device, cryptographic communication system, cryptographic communication method, and computer program product |
-
2016
- 2016-11-28 CN CN201611070527.7A patent/CN108123795B/zh active Active
-
2017
- 2017-11-22 JP JP2019548511A patent/JP2019537402A/ja active Pending
- 2017-11-22 EP EP17874729.1A patent/EP3547600B1/en active Active
- 2017-11-22 US US16/464,579 patent/US11362818B2/en active Active
- 2017-11-22 WO PCT/CN2017/112256 patent/WO2018095322A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110166999A1 (en) * | 1996-04-15 | 2011-07-07 | Tushie David R | System and apparatus for smart card personalization |
| JP2004013560A (ja) * | 2002-06-07 | 2004-01-15 | Victor Co Of Japan Ltd | 認証システム、通信端末及びサーバ |
| WO2012025987A1 (ja) * | 2010-08-24 | 2012-03-01 | 三菱電機株式会社 | 通信端末、通信システム、通信方法及び通信プログラム |
| JP2014068313A (ja) * | 2012-09-27 | 2014-04-17 | Toshiba Corp | 通信方法、アプリケーション装置、プログラム及び通信システム |
| JP2016528756A (ja) * | 2013-06-08 | 2016-09-15 | クァンタムシーテック カンパニー,リミテッド | アンドロイド携帯情報処理端末に基づく通信キーの配布方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3547600A1 (en) | 2019-10-02 |
| US11362818B2 (en) | 2022-06-14 |
| CN108123795B (zh) | 2020-01-10 |
| WO2018095322A1 (zh) | 2018-05-31 |
| CN108123795A (zh) | 2018-06-05 |
| US20210067331A1 (en) | 2021-03-04 |
| EP3547600B1 (en) | 2022-07-20 |
| EP3547600A4 (en) | 2020-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2019537402A (ja) | 量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステム | |
| US20210367795A1 (en) | Identity-Linked Authentication Through A User Certificate System | |
| US10855668B2 (en) | Wireless device authentication and service access | |
| US9847882B2 (en) | Multiple factor authentication in an identity certificate service | |
| US20190173873A1 (en) | Identity verification document request handling utilizing a user certificate system and user identity document repository | |
| WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
| US9137017B2 (en) | Key recovery mechanism | |
| TW201701226A (zh) | 電子處方操作方法、裝置及系統 | |
| CN104917741B (zh) | 一种基于usbkey的明文文档公网安全传输系统 | |
| WO2019109852A1 (zh) | 一种数据传输方法及系统 | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| TW200828944A (en) | Simplified management of authentication credientials for unattended applications | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| JP5992535B2 (ja) | 無線idプロビジョニングを実行するための装置及び方法 | |
| KR20200044117A (ko) | 디지털 인증서 관리 방법 및 장치 | |
| WO2013044766A1 (zh) | 无卡终端的业务访问方法及设备 | |
| WO2019000596A1 (zh) | 一种接入鉴权方法及装置 | |
| CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
| CN114036472A (zh) | 基于联盟链的Kerberos及PKI安全域间的跨域认证方法 | |
| CN106877996B (zh) | Pki域内的用户访问ibc域内的资源的认证密钥协商方法 | |
| US20240121083A1 (en) | Secure restoration of private key | |
| Li et al. | OMA DRM-Based Key Management Protocol for IPTV | |
| CN118381609A (zh) | 一种多类型量子安全密钥提供方法及装置 | |
| Lin et al. | Improved Key Distributed Storage Mechanism Based on Android System | |
| Abd-Alrazzaq | Improvement Public Key Kerberos Using Identity-Based Signcryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190626 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190527 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200625 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200901 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201201 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210531 |