TWI738835B - 資料安全保障系統及方法、裝置 - Google Patents

資料安全保障系統及方法、裝置 Download PDF

Info

Publication number
TWI738835B
TWI738835B TW106126104A TW106126104A TWI738835B TW I738835 B TWI738835 B TW I738835B TW 106126104 A TW106126104 A TW 106126104A TW 106126104 A TW106126104 A TW 106126104A TW I738835 B TWI738835 B TW I738835B
Authority
TW
Taiwan
Prior art keywords
trusted
server
management
user terminal
certificate
Prior art date
Application number
TW106126104A
Other languages
English (en)
Other versions
TW201814578A (zh
Inventor
付穎芳
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201814578A publication Critical patent/TW201814578A/zh
Application granted granted Critical
Publication of TWI738835B publication Critical patent/TWI738835B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0855Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

本案公開了一種資料安全保障系統及方法、裝置。其中,該方法包括:伺服器接收可信用戶終端集群中的可信用戶終端發送的密鑰協商請求,其中,該密鑰協商請求中攜帶有所述可信用戶終端的簽章憑證;所述伺服器依據所述可信用戶終端的簽章憑證驗證所述可信用戶終端的合法性;在驗證合法的情況下,所述伺服器向所述可信用戶終端發送攜帶有所述伺服器的簽章憑證的回應;在所述可信用戶終端依據所述伺服器的簽章憑證驗證所述伺服器合法的情況下,所述伺服器與所述可信用戶終端協商共用的量子密鑰,以及使用所述量子密鑰與所述可信用戶終端進行資料交互。

Description

資料安全保障系統及方法、裝置
本案係關於資料傳輸安全領域,具體而言,關於一種資料安全保障系統及方法、裝置。
加密機一直是解決資料隱私的一個很好方法,隨著用戶資料儲存、計算及應用的雲化,加密機雲化也隨之成了需求。即很多用戶採用密碼機託管的方式,將實體密碼機託管在雲提供商的託管區內,來保護自己相應雲上業務資料的隱私問題。如下對加密機功能闡述如下: 加密機前台API是給應用系統提供的加密開發介面,應用系統透過把加密機前台API使用加密的加密服務,加密機前台API是以標準C庫的形式提供。目前加密機前台API支援的標準介面有:PKCS#11、Bsafe、CDSA等。
基於量子密鑰的網路加密機是在現有的虛擬私人網路絡體系中,增加量子密鑰注入模組,透過網路口,或者USB口,或者Console口等任何可以進行資料通信介面與量子密鑰分發設備相連,建立密鑰讀取通道,然後在這條通道上讀取量子密鑰分發設備的密鑰,量子密鑰分發設備之間透過量子光纖通道傳輸密鑰。量子虛擬私人網路絡 (例如,圖1中的VPN 1和VPN 2)向量子密鑰分發設備發送密鑰請求,從量子密鑰分發設備得到密鑰後,量子虛擬私人網路絡雙方進行密鑰同步,確定獲取的密鑰是相同的密鑰對,如果同步正確,用獲取的密鑰對通信資料進行加密、解密。藉由量子力學特性,量子密鑰傳輸過程是無法被攻破的。採用量子密鑰對資料進行加密,實行一次一密的加密方式,保障資料絕對安全。
可信計算能夠在計算運算的同時進行安全防護,使計算結果總是與預期一致,計算全程可測可控,不被干擾。
目前可信計算有國內可信平台控制模組(Trusted Platform Control Module,TPCM)和國際TCG標準組織的可信平台模組(Trusted Platform Module,TPM)兩種技術路線。
可信計算的核心要素是可信鏈與可信根,TCG規範中的可信平台模組(Trusted Platform Module,TPM)是可信計算平台的硬體可信根,TPM是提供受保護的安全儲存、密碼運算能力的安全晶片。TPM透過實體方式與計算平台相連並透過外部匯流排連接到CPU上,例如PC機平台上採取直接固化在主機板上的方式並透過LPC匯流排連接。
TCG規範中給出了對可信(trusted)的定義:一個實體一直以一種可預期的方式為特定的目標運行。可信計算的核心機制是透過信任鏈機制構建可信計算環境,目前運行實體是否可信是建立系統前一運行過程是否可信的基礎上。基於這種信任關係,如果系統從一個初始的信任根出 發,在平台計算環境的每一次轉換時,這種信任可以透過傳遞的方式維持下去,從而在計算平台上建立了一級驗證一級,一級信任一級的可信鏈,該計算環境就始終是可信的,它就能夠被本地用戶或遠端實體信任。
可信計算的關鍵技術包括可信度量,可信報告,可信儲存和可信網路連接等幾部分。
在計算平台的運行控制傳遞過程中,可信根TPCM判斷其下一級執行代碼的真實性和完整性是否被篡改,如果沒有,系統將運行控制權傳遞到下一級可信執行代碼,系統的可信範圍因擴大到下一級功能代碼;同理,這種系統控制權不斷傳遞,就可以實現信任鏈的建立和傳遞過程,最終實現系統範圍可信構建。一個完整的系統可信傳遞過程要從可信根開始,系統控制權順序由可信平台控制模組傳遞到可信的BIOS,再傳遞到可信的作業系統裝載器,從可信的作業系統裝載器傳遞到可信的作業系統,再從可信的作業系統傳遞到可信的應用。
傳統的金融加密和基於量子的網路加密,存在如下不足:僅能對計算節點的運行環境、用戶的行為進行度量(比如系統安全啟動關鍵環節代碼的完整性度量、應用軟體的啟動代碼的度量、行為度量等);因此無法保證端到端用戶的平台可信及用戶的身份可信,因而無法保證用戶平台資料的儲存安全。
基於傳統加解密技術,密碼學中利用私密密鑰密碼機制和公開密鑰密碼機制保證通信中身份資訊的安全性、 完整性、不可否認性和抵抗身份冒充攻擊。在公開密鑰基礎設施中主要應用以公開密鑰密碼機制為基礎的數位簽章技術實現身份認證,典型的數位簽章演算法有RSA演算法、ECC演算法、DSA演算法、EIGamal演算法等,這些演算法基於計算複雜度來保證經典認證系統的安全性,這在量子計算及雲計算環境中有被破解的風險。而傳統加密機和可信計算採用的還是傳統的加解密演算法,因此無法保證用戶敏感性資料(包括用戶的密鑰)的傳輸安全。
針對上述的問題,目前尚未提出有效的解決方案。
本案實施例提供了一種資料安全保障系統及方法、裝置,以至少解決密鑰相關技術中無法同時兼顧通信的用戶之間的用戶身份和平台身份的識別,密鑰及資料的傳輸安全和儲存安全的解決方案的技術問題。
根據本案實施例的一個方面,提供了一種資料安全保障系統,包括:可信用戶終端集群、伺服器以及包括n個可信管控節點的可信授權中心,其中,所述可信授權中心與所述可信用戶終端集群相連,所述伺服器與所述可信授權中心連接;所述可信授權中心的可信管控節點之間透過量子密鑰協商的方式得到所述可授權中心的私密密鑰,並共用所述私密密鑰;所述伺服器與所述可信授權中心的可信管控節點之間透過量子密鑰協商獲取通信雙方的密鑰;所述可信用戶終端集群,用於使用與所述伺服器協商的量 子密鑰與所述伺服器進行資料交互。
根據本案實施例的另一方面,還提供了一種資料安全保障的實現方法,所述方法應用於以上所述的資料安全保障系統,所述方法包括:伺服器接收可信用戶終端集群中的可信用戶終端發送的密鑰協商請求,其中,該密鑰協商請求中攜帶有所述可信用戶終端的簽章憑證;所述伺服器依據所述可信用戶終端的簽章憑證驗證所述可信用戶終端的合法性;在驗證合法的情況下,所述伺服器向所述可信用戶終端發送攜帶有所述伺服器的簽章憑證的回應;在所述可信用戶終端依據所述伺服器的簽章憑證驗證所述伺服器合法的情況下,所述伺服器與所述可信用戶終端協商共用的量子密鑰,以及使用所述量子密鑰與所述可信用戶終端進行資料交互。
根據本案實施例的另一方面,還提供了一種資料安全保障的實現方法,所述方法應用於以上所述的資料安全保障系統,所述方法包括:可信用戶終端集群中的可信用戶終端向伺服器發送密鑰協商請求,其中,該密鑰協商請求中攜帶有所述可信用戶終端的簽章憑證;在所述伺服器依據所述可信用戶終端的簽章憑證驗證所述可信用戶終端合法的情況下,所述可信用戶終端接收來自所述伺服器的回應,其中,該響應中攜帶有所述伺服器的簽章憑證;所述可信用戶終端依據所述伺服器的簽章憑證驗證所述伺服器的合法性;在驗證所述伺服器合法的情況下,所述可信用戶終端與所述伺服器協商共用的量子密鑰,以及使用所述 量子密鑰與所述伺服器進行資料交互。
根據本案實施例的另一方面,還提供了一種資料安全保障的實現方法,該方法應用於以上所述的資料安全保障系統,所述方法包括:所述可信授權中心的指定可信管控節點產生私密密鑰,並透過量子密鑰協商的方式將所述私密密鑰共用至所述可信授權中心中的其他可信管控節點,其中,該其他可信管控節點為除所述指定可信管控節點之外的可信管控節點。
根據本案實施例的另一方面,還提供了一種資料安全保障的實現裝置,應用於伺服器,所述裝置包括:接收模組,用於接收可信用戶終端集群中的可信用戶終端發送的密鑰協商請求,其中,該密鑰協商請求中攜帶有所述可信用戶終端的簽章憑證;驗證模組,用於依據所述可信用戶終端的簽章憑證驗證所述可信用戶終端的合法性;發送模組,用於在驗證合法的情況下,所述伺服器向所述可信用戶終端發送攜帶有所述伺服器的簽章憑證的回應;交互模組,用於在所述可信用戶終端依據所述伺服器的簽章憑證驗證所述伺服器合法的情況下,與所述可信用戶終端協商共用的量子密鑰,以及使用所述量子密鑰與所述可信用戶終端進行資料交互。
根據本案實施例的另一方面,還提供了一種資料安全保障的實現裝置,應用於可信用戶終端集群中的可信用戶終端,所述裝置包括:發送模組,用於向伺服器發送密鑰協商請求,其中,該密鑰協商請求中攜帶有所述可信用戶 終端的簽章憑證;接收模組,用於在所述伺服器依據所述可信用戶終端的簽章憑證驗證所述可信用戶終端合法的情況下,接收來自所述伺服器的回應,其中,該響應中攜帶有所述伺服器的簽章憑證;驗證模組,用於依據所述伺服器的簽章憑證驗證所述伺服器的合法性;交互模組,用於在驗證所述伺服器合法的情況下,與所述伺服器協商共用的量子密鑰,以及使用所述量子密鑰與所述伺服器進行資料交互。
根據本案實施例的另一方面,還提供了一種資料安全保障的實現裝置,該裝置應用於可信授權中心的指定可信管控節點,所述裝置包括:產生模組,用於產生私密密鑰;共用模組,用於透過量子密鑰協商的方式將所述私密密鑰共用至所述可信授權中心中的其他可信管控節點,其中,該其他可信管控節點為除所述指定可信管控節點之外的可信管控節點。
在本案實施例中,由於伺服器與可信授權中心之間以及可信用戶終端與伺服器之間可以進行量子密鑰協商,因此,可以保證交互通信雙方密鑰的分發安全及資料傳輸安全,另外,基於可信計算的驗證可以保證平台及用戶身份識別保證通信雙方身份的合法性;以及保證交互雙方的環境可信及雙方的行為可信,進而實現了可信計算與量子密鑰分發網路的融合,解決了密鑰相關技術中無法同時兼顧通信的用戶之間的用戶身份和平台身份的識別,密鑰及資料的傳輸安全和儲存安全的解決方案的技術問題。
20‧‧‧可信用戶終端
22‧‧‧伺服器
24‧‧‧可信管控節點
40‧‧‧電腦終端
60‧‧‧接收模組
62‧‧‧驗證模組
64‧‧‧發送模組
80‧‧‧發送模組
82‧‧‧接收模組
84‧‧‧驗證模組
86‧‧‧交互模組
404‧‧‧記憶體
406‧‧‧傳輸裝置
1002‧‧‧產成模組
1004‧‧‧共用模組
402a-402n‧‧‧處理器
此處所說明的附圖用來提供對本案的進一步理解,構成本案的一部分,本案的示意性實施例及其說明用於解釋本案,並不構成對本案的不當限定。在附圖中:圖1為根據相關技術的一種基於量子密鑰的網路加密機的實現原理示意圖;圖2a為根據本案實施例的一種資料安全保障系統的結構示意圖;圖2b為根據本案實施例的一種可選的資料安全保障系統的結構示意圖;圖3為根據本案可選實施例的資料傳輸流程示意圖;圖4為根據本案實施例的電腦終端的結構示意圖;圖5為根據本案實施例的資料安全保障的實現方法的流程圖;圖6為根據本案實施例的資料安全保障的實現裝置的結構方塊圖;圖7為根據本案實施例的另一資料安全保障的實現方法的流程圖;圖8為根據本案實施例的另一資料安全保障的實現裝置的結構方塊圖;圖9為根據本案實施例的資料安全保障的實現方法的流程圖;圖10為根據本案實施例的資料安全保障的實現裝置的結構方塊圖。
為了使本技術領域的人員更好地理解本案方案,下面將結合本案實施例中的附圖,對本案實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本案一部分的實施例,而不是全部的實施例。基於本案中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本案保護的範圍。
需要說明的是,本案的說明書和權利要求書及上述附圖中的術語“第一”、“第二”等是用於區別類似的物件,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本案的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
首先,在對本案實施例進行描述的過程中出現的部分名詞或術語適用於如下解釋:量子密鑰,通信雙方採用量子密鑰分發協定(例如BB84協定,B92協定等)協商得到的密鑰。
實施例1
在傳統的金融加密和可信計算的應用場景中,往往基於計算複雜度來保證經典認證系統的安全性,這在量子計算及雲計算環境中有被破解的風險。並且,傳統加密機和可信計算的應用場景中採用的也是傳統的加解密演算法,因此無法保證用戶敏感性資料(包括用戶的密鑰)的傳輸安全;在對計算節點的運行環境、用戶的行為進行動態度量,因此無法保證端到端用戶的平台可信及用戶的身份可信,因而無法保證用戶平台資料的儲存安全。針對上述問題,本實施例提供了一種資料安全保障系統,該系統中融合了可信計算和量子密鑰分發網路的優點,具體如下:圖2a為根據本案實施例的一種可選的資料安全保障系統的結構示意圖。如圖2a所示,該系統包括:可信用戶終端集群中的可信用戶終端20、伺服器集群中的伺服器22以及包括n個可信管控節點24的可信授權中心,其中,上述可信授權中心與上述可信用戶終端集群(又稱為用戶群或可信用戶群)中的可信用戶終端20相連,上述伺服器22與上述可信授權中心連接;其中,可信授權中心的可信管控節點24之間透過量子密鑰協商的方式得到上述可授權中心的私密密鑰,並共用上述私密密鑰;在一個可選實施例中,上述可信管控節點24之間透過以下方式共用上述私密密鑰:上述可信管控節點24中的指定可信管控節點將上述私密密鑰分割為n份子私密密鑰,並將n-1份子私密密鑰透過量子密鑰加密傳輸給n-1個上述可信管控節點。可選 地,上述伺服器22可以為應用伺服器。
需要說明的是伺服器22可以為多個,即可以為伺.服器集群。
可選地,上述指定可信管控節點,還用於透過該指定可信管控節點中的可信晶片模組產生上述私密密鑰,並儲存至上述指定可信管控節點中的可信晶片模組。這樣,便可以實現量子通信與可信計算的融合,實現用戶密鑰的安全可控及安全儲存。
可選地,可信用戶終端,還用於將與上述伺服器協商確定的上述量子密鑰導入上述可信用戶終端的可信晶片模組,或者,將使用可信儲存密鑰加密後的所述量子密鑰儲存至所述終端的外接設備;上述伺服器,還用於將與上述可信終端協商確定的上述量子密鑰導入上述伺服器的可信晶片模組中或者將使用可信儲存密鑰加密後的所述量子密鑰儲存至所述伺服器的外接設備。
其中,上述指定可信管控節點可以透過以下之一方式確定,但不限於此:從n個上述可信管控節點中隨機選擇一個可信管控節點;從n個上述可信管控節點中選擇優先順序最高的可信管控節點。
上述伺服器22與上述可信授權中心的可信管控節點24之間透過量子密鑰協商獲取通信雙方的密鑰;上述可信用戶終端集群中的可信用戶終端20,用於使用與上述伺服器協商的量子密鑰與上述伺服器進行資料交互。可選地,可信用戶終端集群分有量子密鑰分發設備的 可信用戶終端集群和無量子密鑰分發設備的可信用戶終端集群。有量子密鑰分發設備的可信用戶群是指具有量子密鑰分發設備,且終端實現了可信計算技術功能;無量子密鑰分發設備的可信用戶群是指無量子密鑰分發設備,但其終端實現了可信計算技術功能(帶硬體可信晶片的或無可信晶片但類比了可信);需要說明的是,無量子密鑰分發設備的可信用戶終端集群也可以為租用量子密鑰分發設備的可信用戶。
可選地,伺服器22,還用於向上述n個可信管控節點24中的t個可信管控節點申請上述子私密密鑰;上述t個可信管控節點透過與上述伺服器22協商確定的量子密鑰將上述子私密密鑰加密傳輸至上述伺服器22,其中,t為小於或等於n的正整數。
可選地,伺服器22,還用於使用上述伺服器與上述可信管控節點協商確定的上述量子密鑰對上述子私密密鑰進行解密,並使用解密後的上述子私密密鑰產生上述伺服器的私密密鑰,將產生的私密密鑰導入至上述伺服器的可信晶片模組,以及使用上述產生的私密密鑰產生上述伺服器的簽章憑證。
可選地,上述子私密密鑰為基於上述可信管控節點的身份標識和上述伺服器所屬可信計算平台的平台資訊確定的。可選地,上述平台資訊包括但不限於:可信平台控制模組TPCM標識或可信平台模組TPM標識;上述平台資訊還可以包括平台配置暫存器PCR值,但不限於此。
其中,可信用戶終端集群中的可信用戶終端20,用於向上述伺服器發送密鑰協商請求,其中,該密鑰協商請求中攜帶有上述可信用戶終端的可信證書及可信度量報告;上述伺服器22,還用於依據上述可信證書及可信度量報告驗證上述可信用戶終端的身份及上述可信用戶終端所屬可信計算平台的合法性;以及在驗證合法的情況下,向上述可信用戶終端發送攜帶有上述伺服器的可信證書及可信度量報告的回應;上述可信用戶終端,還用於依據上述回應中攜帶的上述伺服器的可信證書及可信度量報告,驗證上述伺服器的身份及可信計算平台的合法性;並在合法的情況下,與上述伺服器協商與上述伺服器共用的量子密鑰,以及使用上述量子密鑰與上述伺服器進行資料交互。
作為一個可選實施例,上述可信用戶終端集群中的可信用戶終端、伺服器以及上述可信管控節點中均設置有可信晶片模組;或者,上述可信用戶終端集群中的可信用戶終端、伺服器以及上述可信管控節點中均設置有具有可信晶片模組的軟體模組。
以下基於量子通信和可信計算的資料安全服務模式,以雲環境服務為例,詳細說明:如圖2b所示,用於實現業務的實體包括:雲提供商、有量子密鑰分發設備的用戶群(即可信用戶終端集群)和第三方權威機構(如果可信CA證書由第三方權威機構頒發的話);其中雲提供商包含雲管控平台和雲的各種軟硬資源池; 雲提供商的可信伺服器、可信加密機、可信管控節點(用做管控的可信伺服器)均具有可信晶片模組,實現了可信動態度量、可信儲存等可信計算技術功能的伺服器或加密機;用戶群分有量子密鑰分發設備的可信用戶群和無量子密鑰分發設備的可信用戶群。有量子密鑰分發設備的可信用戶群是指具有量子密鑰分發設備,且終端實現了可信計算技術功能;無量子密鑰分發設備的可信用戶群是指無量子密鑰分發設備,但其終端實現了可信計算技術功能(帶硬體可信晶片的或無可信晶片但類比可信),但是,該無量子密鑰分發設備的可信用戶群可以租用量子密鑰分發設備;其中,本實施例中的資料安全保障系統中的上述業務實體主要有兩類資料通信交互過程:有量子密鑰分發設備的可信用戶群與雲上承載資料資源的可信伺服器交互;雲提供商的不同應用伺服器集群之間的資料交互;在上面提及的兩類資料通信交互中,圖2b中所示的量子密鑰分發網為提到的兩類通信服務中所牽涉到不同形狀的線條(如圖2b中所示),其含義分別是:實線表示含有量子通道的通信通道;虛線表示專線加密的經典通道;有無量子密鑰分發設備的用戶群與雲提供商可信伺服器之間,可信管控節點與用戶的資料資原始伺服器或其加密機之間,及雲提供商各應用伺服器之間均可透過量子密鑰分 發網路協商獲得雙方通信的密鑰;用戶群可以透過量子密鑰分發網路對其租用或代管的雲加密機進行雲加密機密鑰初始化;應用伺服器、資料資源等伺服器與可信管控節點伺服器之間可透過量子密鑰分發網路協商獲取通信密鑰,以便對其進行可信初始密鑰的更新配置。
該服務模式中,也包含其它可信路由器、可信交互機等可信網路設備,可信接入層代理伺服器等。為了圖的簡潔性,將其忽略未在圖2b中示出。
基於量子密鑰分發設備,保證交互通信雙方密鑰的分發安全及資料傳輸安全,基於可信計算的平台及用戶身份識別保證通信雙方身份的合法性;基於可信計算的環境度量及行為度量保證交互雙方的環境可信及雙方的行為可信;其中,雲可信授權中心初始化的過程如下:假設雲可信授權中心具有權威的可信證書,公私密密鑰對;其可信證書,公私密密鑰對可以從外界更權威的CA機構獲取,也可以是自身以“三權分立”的方式產生。其中,從更權威的CA機構獲取可信證書,必須是權威CA機構對其平台的資訊、以及其身份相關資訊進行合法驗證後,才頒發其可信CA證書;其中,所謂“三權分立”是指雲可信授權中心由n個可信管控節點管控,雲可信授權中心的公開密鑰公開給這n個可信管控節點及對雲提供商的其它節點公開,而將其對應的私密密鑰,透過管控中心的量子密鑰分發網路,由n個可信管控節點以量子 通信的方式秘密共用這個私密密鑰,這n個可信管控節點合起來也稱可信授權中心;其中,所述量子通信方式是指n個可信管控節點之間透過量子通信BB84協議彼此已協商出一對共用的量子密鑰;管控中心的n個可信管控節點透過量子密鑰協商得到管控中心私密密鑰的子私密密鑰;雲可信授權中心的公開密鑰和私密密鑰S可以由管控中心其中的任意一個也可以是根據某權值推選出威望最高的可信管控節點,透過其可信(TPCM或TPM)平台產生,並將雲可信授權中心的私密密鑰秘密分割成n份s i(i=1,…,n),將n-1份透過量子密鑰加密傳輸給n-1個可信管控節點;這n份子私密密鑰被導入,儲存到各自相應設備平台的可信晶片模組裡。
雲可信授權中心的n個可信管控節點以及欲接入雲的帶可信晶片的伺服器節點,均透過TPCM或TPM晶片,產生基於身份與平台相綁定的合法證書,和相應的公私密密鑰對。
其中,雲伺服器接入雲平台初始化的過程如下:雲伺服器接入到雲平台,需得向雲管控平台的n個可信管控節點中的t個節點提出申請,管控中心的t個節點和伺服器接入點之間會透過用戶身份和平台身份綁定的合法證書來證明彼此身份的合法性;彼此身份驗證合法後,t個可信管控節點按公式1各自向申請者頒發基於其身份ID(UID)、平台ID(TPM ID 或者TPCM ID )、時間戳記的子私密密鑰S ur ,公式1中的身份ID,平 台ID,由可信管控節點基於請求接入的伺服器節點的身份資訊及平台資訊(平台資訊包括晶片的唯一標識及PCR值等平台相關資訊),透過演算法計算出的ID號;子私密密鑰S ur 被被請求的可信管控節點用其與請求的伺服器接入點之間已協商好的量子通信密鑰加密傳輸給請求的伺服器接入點。(注:公式以國際標準符合TPM為例,如果是參與國內可信晶片,TPM ID 替換為TPCM ID ,後續公式中所涉及的符合TPM ID ,都可以用TPCM ID 替換)。
Figure 106126104-A0202-12-0017-13
i=1……n;r=1……t,i r 表示n個中的任意t個;其中,expire_time表示時間戳記。例如,i=3,t=1,表示3個節點當中任選的一個節點,該符號
Figure 106126104-A0202-12-0017-14
表示分享給這個節點的子私密密鑰。
請求的伺服器接入點獲取t份私密密鑰,用其相應的共用量子密鑰解密後,按公式2演算法合成自己的私密密鑰s u ,將私密密鑰s u 導入到可信晶片,並用合成的私密密鑰產生自己的簽章憑證;
Figure 106126104-A0202-12-0017-1
其中,X是拉格朗日插值函數(Lagrange interpolation function)的未知數,可以令其等於1,2,3……。
基於圖2a和圖2b所示架構,本實施例中提供了一種基於量子密鑰&可信計算的傳輸密鑰協商流程,以某一量子密鑰可信用戶C與雲提供商伺服器S的之間的密鑰協商為例(雲提供商),圖3為根據本案可選實施例的資料傳輸流程示意圖,如圖3所示包括以下處理過程:步驟S302,量子密鑰可信用戶C攜帶其可信證書及可信度量報告向雲提供商伺服器S發起密鑰協商請求;步驟S304,S依據C的證書及度量報告,驗證其身份及平台的合法性,如合法則執行步驟S306,,否則流程終止;步驟S306,S攜帶其可信證書及可信度量報告回應C請求;步驟S308,C依據S的證書及度量報告,驗證其身份及平台的合法性,如合法則執行步驟S310,,否則流程終止;步驟S310,C與S基於BB84協議協商彼此共用的量子密鑰;步驟S312(312’),C與S各自將協商好的量子密鑰導入到可信晶片當中;步驟S314,後續C與S就可以利用協商好的量子密鑰就敏感性資料進行安全交互,在交互過程中,利用共用量子密鑰加密的各自平台資訊,以保證資料傳輸安全及身 份、平台合法性。
綜上所述,基於量子密鑰分發設備,可以保證交互通信雙方密鑰的分發安全及資料傳輸安全,基於可信計算的平台及用戶身份識別保證通信雙方身份的合法性;基於可信計算的環境度量及行為度量保證交互雙方的環境可信及雙方的行為可信。
實施例2
根據本案實施例,還提供了一種資料安全保障的實現方法的方法實施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組電腦可執行指令的電腦系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的循序執行所示出或描述的步驟。
本案實施例一所提供的方法實施例可以在移動終端、電腦終端或者類似的運算裝置中執行。圖4示出了一種用於實現資料安全保障的實現方法的電腦終端(或移動設備)的硬體結構方塊圖。如圖4所示,電腦終端40(或移動設備40)可以包括一個或多個(圖中採用402a、402b,……,402n來示出)處理器402(處理器402可以包括但不限於微處理器MCU或可程式設計邏輯器件FPGA等的處理裝置)、用於儲存資料的記憶體404、以及用於通信功能的傳輸模組406。除此以外,還可以包括:顯示器、輸入/輸出介面(I/O介面)、通用序列匯流排 (USB)埠(可以作為I/O介面的埠中的一個埠被包括)、網路介面、電源和/或相機。本領域普通技術人員可以理解,圖4所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,電腦終端40還可包括比圖4中所示更多或者更少的元件,或者具有與圖4所示不同的配置。
應當注意到的是上述一個或多個處理器402和/或其他資料處理電路在本文中通常可以被稱為“資料處理電路”。該資料處理電路可以全部或部分的體現為軟體、硬體、韌體或其他任意組合。此外,資料處理電路可為單個獨立的處理模組,或全部或部分的結合到電腦終端40(或移動設備)中的其他元件中的任意一個內。如本案實施例中所涉及到的,該資料處理電路作為一種處理器控制(例如與介面連接的可變電阻終端路徑的選擇)。
記憶體404可用於儲存應用軟體的軟體程式以及模組,如本案實施例中的資料安全保障的實現方法對應的程式指令/資料儲存裝置,處理器402透過運行儲存在記憶體404內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的應用程式的漏洞檢測方法。記憶體404可包括高速隨機記憶體,還可包括非易失性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非易失性固態記憶體。在一些實例中,記憶體404可進一步包括相對於處理器402遠端設置的記憶體,這些遠端存放器可以透過網路連接至電腦終端40。上述網路的實例 包括但不限於互聯網、企業內部網、局域網、移動通信網及其組合。
傳輸裝置406用於經由一個網路接收或者發送資料。上述的網路具體實例可包括電腦終端40的通信供應商提供的無線網路。在一個實例中,傳輸裝置406包括一個網路介面卡(Network Interface Controller,NIC),其可透過基站與其他網路設備相連從而可與互聯網進行通訊。在一個實例中,傳輸裝置406可以為射頻(Radio Frequency,RF)模組,其用於透過無線方式與互聯網進行通訊。
顯示器可以例如觸控式螢幕式的液晶顯示器(LCD),該液晶顯示器可使得用戶能夠與電腦終端40(或移動設備)的用戶介面進行交互。
本實施例提供一種資料安全保障的實現方法,該方法運行於上述電腦終端上,該電腦終端可以為實施例1中所述的伺服器22,但不限於此。圖5為根據本案實施例的資料安全保障的實現方法的流程圖。如圖5所示,該流程包括:
步驟S502,伺服器接收可信用戶終端集群中的可信用戶終端發送的密鑰協商請求,其中,該密鑰協商請求中攜帶有上述可信用戶終端的簽章憑證;
步驟S504,伺服器依據上述可信用戶終端的簽章憑證驗證上述可信用戶終端的合法性;可選地,上述可信用戶終端的簽章憑證為依據上述可信用戶終端的可信證書及可信度量報告產生;上述伺服器的簽章憑證為依據上述伺服 器的可信證書及可信度量報告產生。
步驟S506,在驗證合法的情況下,上述伺服器向上述可信用戶終端發送攜帶有上述伺服器的簽章憑證的回應;可選地,上述伺服器的簽章憑證可以透過以下方式產生,但不限於此,該產生過程可以在上述伺服器向上述可信用戶終端發送攜帶有上述伺服器的簽章憑證的回應之前執行,具體地:伺服器與可信授權中心的可信管控節點之間進行雙方身份驗證,其中,該可信授權中心包括n個具有可信晶片模組的可信管控節點;在雙方身份驗證合法的情況下,上述伺服器接收上述可信管控節點透過量子密鑰加密發送的上述可信授權中心的子私密密鑰,其中,該子私密密鑰為將上述可信授權中心的私密密鑰分割為n份得到的子私密密鑰;伺服器使用上述子私密密鑰產生上述伺服器的簽章憑證。上述可信授權中心的私密密鑰為上述可信授權中心中的指定可信管控節點透過該指定可信管控節點中的可信晶片模組產生的。
可選地,上述伺服器與上述可信用戶終端協商共用的量子密鑰之後,上述伺服器將上述量子密鑰儲存至上述伺服器中的可信晶片模組中或者將使用可信儲存密鑰加密後的上述量子密鑰儲存至上述伺服器的外接設備;和/或,上述可信用戶終端將上述量子密鑰儲存至上述可信用戶終端中的可信晶片模組中或者將使用可信儲存密鑰加密後的上述量子密鑰儲存至上述可信用戶終端的外接設備。這樣便實現了可信計算和量子通信的融合。
步驟S508,在上述可信用戶終端依據上述伺服器的簽章憑證驗證上述伺服器合法的情況下,上述伺服器與上述可信用戶終端協商共用的量子密鑰,以及使用上述量子密鑰與上述可信用戶終端進行資料交互。
需要說明的是,本實施例中的優選實施方式可以參見實施例1中的相關描述,此處不再贅述。
需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本案並不受所描述的動作順序的限制,因為依據本案,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬於優選實施例,所涉及的動作和模組並不一定是本案所必須的。
透過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的方法可藉由軟體加必需的通用硬體平台的方式來實現,當然也可以透過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本案的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,電腦,伺服器,或者網路設備等)執行本案各個實施例所述的方法。
實施例3
根據本案實施例,還提供了一種用於實施上述資料安全保障的實現方法的裝置,該應用於伺服器,該伺服器的具體結構或功能可以參見實施例1和2中的相關描述,此處不再贅述。圖6為根據本案實施例的資料安全保障的實現裝置的結構方塊圖,如圖6所示,該裝置包括:接收模組60,用於接收可信用戶終端集群中的可信用戶終端發送的密鑰協商請求,其中,該密鑰協商請求中攜帶有所述可信用戶終端的簽章憑證;驗證模組62,用於依據所述可信用戶終端的簽章憑證驗證所述可信用戶終端的合法性;發送模組64,用於在驗證合法的情況下,所述伺服器向所述可信用戶終端發送攜帶有所述伺服器的簽章憑證的回應;交互模組66,用於在所述可信用戶終端依據所述伺服器的簽章憑證驗證所述伺服器合法的情況下,與所述可信用戶終端協商共用的量子密鑰,以及使用所述量子密鑰與所述可信用戶終端進行資料交互。
需要說明的是,上述各個模組是可以透過軟體或硬體的形式體現的,對於後者,可以表現為以下實現形式,但不限於此:上述各個模組以任意組合的形式分別位於不同的處理器中;或者,上述各個模組位於同一處理器中。
需要說明的是,本實施例中的優選實施方式可以參見實施例1和2中的相關描述,此處不再贅述。
實施例4
本實施例還提供另外一種資料安全保障的實現方法,圖7為根據本案實施例的另一資料安全保障的實現方法的流程圖。如圖7所示,該流程包括以下處理步驟:步驟S702,可信用戶終端集群中的可信用戶終端向伺服器發送密鑰協商請求,其中,該密鑰協商請求中攜帶有上述可信用戶終端的簽章憑證;步驟S704,在上述伺服器依據上述可信用戶終端的簽章憑證驗證上述可信用戶終端合法的情況下,可信用戶終端接收來自上述伺服器的回應,其中,該響應中攜帶有上述伺服器的簽章憑證;步驟S706,可信用戶終端依據上述伺服器的簽章憑證驗證上述伺服器的合法性;步驟S708,在驗證上述伺服器合法的情況下,可信用戶終端與上述伺服器協商共用的量子密鑰,以及使用上述量子密鑰與上述伺服器進行資料交互。
需要說明的是,本實施例中的優選實施方式可以參見實施例1和2中的相關描述,此處不再贅述。
實施例5
本實施例提供一種資料安全保障的實現裝置,該裝置應用於可信用戶終端集群中的可信用戶終端,如圖8所示,該裝置包括:發送模組80,用於向伺服器發送密鑰協商請求,其 中,該密鑰協商請求中攜帶有所述可信用戶終端的簽章憑證;接收模組82,用於在所述伺服器依據所述可信用戶終端的簽章憑證驗證所述可信用戶終端合法的情況下,接收來自所述伺服器的回應,其中,該響應中攜帶有所述伺服器的簽章憑證;驗證模組84,用於依據所述伺服器的簽章憑證驗證所述伺服器的合法性;交互模組86,用於在驗證所述伺服器合法的情況下,與所述伺服器協商共用的量子密鑰,以及使用所述量子密鑰與所述伺服器進行資料交互。
需要說明的是,上述各個模組是可以透過軟體或硬體的形式體現的,對於後者,可以表現為以下實現形式,但不限於此:上述各個模組以任意組合的形式分別位於不同的處理器中;或者,上述各個模組位於同一處理器中。
需要說明的是,本實施例中的優選實施方式可以參見實施例1和2中的相關描述,此處不再贅述。
實施例6
本實施例提供另外一種資料安全保障的實現方法,該方法應用於實施例1中所示的資料安全保障系統,如圖9所示,上述方法包括:
步驟S902,可信授權中心的指定可信管控節點產生私密密鑰;可選地,該步驟可以透過以下方式實現,但不限 於此:上述指定可信管控節點透過上述指定可信管控節點中的可信晶片模組產生上述私密密鑰,並儲存至上述可信晶片模組。
步驟S904,透過量子密鑰協商的方式將上述私密密鑰共用至上述可信授權中心中的其他可信管控節點,其中,該其他可信管控節點為除上述指定可信管控節點之外的可信管控節點。可選地,該步驟可以表現為以下實現過程,但不限於此:上述指定可信管控節點將上述私密密鑰分割為n份子私密密鑰,並將n-1份子私密密鑰透過量子密鑰加密傳輸給n-1個可信管控節點。
需要說明的是,本實施例中的優選實施方式可以參見實施例1和2中的相關描述此處不再贅述。
實施例7
本實施例提供另外一種資料安全保障的實現裝置,用於實現實施例6中所示方法,該裝置應用於可信授權中心的指定可信管控節點,如圖10所示,該裝置包括:產生模組1002,用於產生私密密鑰;共用模組1004,用於透過量子密鑰協商的方式將上述私密密鑰共用至上述可信授權中心中的其他可信管控節點,其中,該其他可信管控節點為除上述指定可信管控節點之外的可信管控節點。
需要說明的是,上述各個模組是可以透過軟體或硬體的形式體現的,對於後者,可以表現為以下實現形式,但 不限於此:上述各個模組以任意組合的形式分別位於不同的處理器中;或者,上述各個模組位於同一處理器中。
需要說明的是,本實施例中的優選實施方式可以參見實施例1和2中的相關描述,此處不再贅述。
實施例8
本案的實施例還提供了一種儲存媒體。可選地,在本實施例中,上述儲存媒體可以用於保存上述實施例2所提供的資料安全保障的實現方法所執行的程式碼。
可選地,在本實施例中,上述儲存媒體可以位於電腦網路中電腦終端群中的任意一個電腦終端中,或者位於移動終端群中的任意一個移動終端中。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:伺服器接收可信用戶終端集群中的可信用戶終端發送的密鑰協商請求,其中,該密鑰協商請求中攜帶有所述可信用戶終端的簽章憑證;所述伺服器依據所述可信用戶終端的簽章憑證驗證所述可信用戶終端的合法性;在驗證合法的情況下,所述伺服器向所述可信用戶終端發送攜帶有所述伺服器的簽章憑證的回應;在所述可信用戶終端依據所述伺服器的簽章憑證驗證所述伺服器合法的情況下,所述伺服器與所述可信用戶終端協商共用的量子密鑰,以及使用所述量子密鑰與所述可信用戶終端進行資料交互。
實施例9
本案的實施例還提供了一種儲存媒體。可選地,在本實施例中,上述儲存媒體可以用於保存上述實施例4所提供的資料安全保障的實現方法所執行的程式碼。
在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:可信用戶終端集群中的可信用戶終端向伺服器發送密鑰協商請求,其中,該密鑰協商請求中攜帶有所述可信用戶終端的簽章憑證;在所述伺服器依據所述可信用戶終端的簽章憑證驗證所述可信用戶終端合法的情況下,所述可信用戶終端接收來自所述伺服器的回應,其中,該響應中攜帶有所述伺服器的簽章憑證;所述可信用戶終端依據所述伺服器的簽章憑證驗證所述伺服器的合法性;在驗證所述伺服器合法的情況下,所述可信用戶終端與所述伺服器協商共用的量子密鑰,以及使用所述量子密鑰與所述伺服器進行資料交互。
實施例10
本案的實施例還提供了一種儲存媒體。可選地,在本實施例中,上述儲存媒體可以用於保存上述實施例6所提供的資料安全保障的實現方法所執行的程式碼。
在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:可信授權中心的指定可信管控節點產生私密密鑰;透過量子密鑰協商的方式將上述私密密鑰共用至上述可信授權中心中的其他可信管控節點,其中,該其他 可信管控節點為除上述指定可信管控節點之外的可信管控節點。
上述本案實施例序號僅僅為了描述,不代表實施例的優劣。
在本案的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
在本案所提供的幾個實施例中,應該理解到,所揭露的技術內容,可透過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或元件可以結合或者可以集成到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是透過一些介面,單元或模組的間接耦合或通信連接,可以是電性或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是實體單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本案各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨實體存在,也可以兩個或兩個以上單元整合在一個單元中。上述整合的單 元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
所述整合的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個電腦可讀取儲存媒體中。基於這樣的理解,本案的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台電腦設備(可為個人電腦、伺服器或者網路設備等)執行本案各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:USB碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、行動硬碟、磁碟或者光碟等各種可以儲存程式碼的媒體。
以上所述僅是本案的較佳實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本案原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本案的保護範圍。

Claims (9)

  1. 一種用於保障資料和計算安全性的系統,包括:選擇構件,用於由伺服器從形成可信授權中心的複數個可信管控節點中選擇該等可信管控節點的子組;傳輸構件,用於由所述伺服器向每個所述所選擇的可信管控節點傳輸業務請求,其中所述業務請求包括綁定到與所述伺服器相關聯的第一可信計算模組的第一證書;第一接收構件,用於由所述伺服器從每個所述所選擇的可信管控節點接收回應,所述回應包括綁定到與所述所選擇的可信管控節點相關聯的第二可信計算模組的第二證書,從而促使所述伺服器與每個所述所選擇的可信管控節點之間的交互驗證;第二接收構件,用於由所述伺服器從每個所述所選擇的可信管控節點接收子密鑰,其中所述子密鑰由所述所選擇的可信管控節點基於以下產生:與所述可信授權中心相關聯的私密密鑰的份額,所述伺服器的身份,與所述伺服器相關聯的所述第一可信計算模組的唯一標識,以及與所述伺服器相關聯的所述第一可信計算模組的平台配置暫存器PCR值;和產生構件,用於由所述伺服器基於從所述可信授權中心的所述可信管控節點的所選擇子組接收的一組子密鑰來產生伺服器特定私密密鑰。
  2. 如申請專利範圍第1項所述的系統,其中形成所述可信授權中心的所述複數個可信管控節點使用秘密共用方案共用私密密鑰。
  3. 如申請專利範圍第1項所述的系統,還包括:建立構件,用於使用量子密鑰分發過程在所述伺服器和所述可信授權中心之間建立安全的通信通道。
  4. 如申請專利範圍第1項所述的系統,還包括:第二產生構件,用於基於所述伺服器特定私密密鑰產生可信證書;和發送構件,用於將所述可信證書發送給用戶,以允許該用戶驗證所述伺服器。
  5. 一種用於保障資料和計算安全性的方法,所述方法包括:由伺服器從形成可信授權中心的複數個可信管控節點中選擇該等可信管控節點的子組;由所述伺服器向每個所述所選擇的可信管控節點傳輸業務請求,其中所述業務請求包括綁定到與所述伺服器相關聯的第一可信計算模組的第一證書;由所述伺服器從每個所述所選擇的可信管控節點接收回應,所述回應包括綁定到與所述所選擇的可信管控節點相關聯的第二可信計算模組的第二證書,從而促使所述伺 服器與每個所述所選擇的可信管控節點之間的交互驗證;由所述伺服器從每個所述所選擇的可信管控節點接收子密鑰,其中所述子密鑰由所述所選擇的可信管控節點基於以下產生:與所述可信授權中心相關聯的私密密鑰的份額,所述伺服器的身份,與所述伺服器相關聯的所述第一可信計算模組的唯一標識,以及與所述伺服器相關聯的所述第一可信計算模組的平台配置暫存器PCR值;和由所述伺服器基於從所述可信授權中心的所述可信管控節點的所選擇子組接收的一組子密鑰來產生伺服器特定私密密鑰。
  6. 如申請專利範圍第5項的方法,其中形成所述可信授權中心的所述複數個可信管控節點使用秘密共用方案共用私密密鑰。
  7. 如申請專利範圍第5項的方法,還包括:使用量子密鑰分發過程在所述伺服器和所述可信授權中心之間建立安全的通信通道。
  8. 如申請專利範圍第5項的方法,還包括:基於所述伺服器特定私密密鑰產生可信證書;和將所述可信證書發送給用戶,以允許該用戶驗證所述伺服器。
  9. 一種用於接收可信證書的電腦實現方法,所述方法包括:由雲計算環境中的實體向可信授權中心發送證書請求,其中所述可信授權中心包括使用秘密共用方案共用與所述雲計算環境相關聯的私密密鑰的一組可信管控節點,其中每個可信管控節點被配置為將該私密密鑰的份額儲存在與所述可信管控節點相關聯的第一可信計算模組中,且其中發送所述證書請求包括從該組可信管控節點中選擇所述可信管控節點的子組,並向每個選擇的可信管控節點發送業務請求,其中所述業務請求包括綁定到與所述實體相關聯的第二可信計算模組的第一證書;由所述實體從每個所述所選擇的可信管控節點接收回應,所述回應包括綁定到與所述所選擇的可信管控節點相關聯的第一可信計算模組的第二證書,從而促使所述實體與每個所述所選擇的可信管控節點之間的交互驗證;從每個所述所選擇的可信管控節點接收子密鑰,其中所述子密鑰由所述可信管控節點基於以下產生:與所述實體相關聯的身份資訊,與所述實體相關聯的所述第二可信計算模組的唯一標識,所述第二可信計算模組的平台配置暫存器PCR值,以及儲存在所述第一可信計算模組的所述私密密鑰的份額;基於從所述可信授權中心的所述可信管控節點的所選擇子組接收的一組子密鑰來產生實體特定私密密鑰;從所述實體特定私密密鑰獲取可信證書。
TW106126104A 2016-10-14 2017-08-02 資料安全保障系統及方法、裝置 TWI738835B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610899985.5A CN107959656B (zh) 2016-10-14 2016-10-14 数据安全保障系统及方法、装置
??201610899985.5 2016-10-14
CN201610899985.5 2016-10-14

Publications (2)

Publication Number Publication Date
TW201814578A TW201814578A (zh) 2018-04-16
TWI738835B true TWI738835B (zh) 2021-09-11

Family

ID=61904199

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106126104A TWI738835B (zh) 2016-10-14 2017-08-02 資料安全保障系統及方法、裝置

Country Status (5)

Country Link
US (1) US10855452B2 (zh)
JP (1) JP7011646B2 (zh)
CN (1) CN107959656B (zh)
TW (1) TWI738835B (zh)
WO (1) WO2018071191A2 (zh)

Families Citing this family (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6957482B2 (ja) 2016-02-23 2021-11-02 エヌチェーン ホールディングス リミテッドNchain Holdings Limited ブロックチェーンベースにおけるエンティティのセキュアな移転のための方法およびシステム
EP4274154A3 (en) * 2016-02-23 2023-12-20 nChain Licensing AG Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system
KR20180114942A (ko) 2016-02-23 2018-10-19 엔체인 홀딩스 리미티드 분산형 해시 테이블 및 블록체인을 사용하여 컴퓨터 소프트웨어를 보호하기 위한 방법 및 시스템
BR112018016826A2 (pt) 2016-02-23 2018-12-26 Nchain Holdings Ltd método e sistema de controle implementados por blockchain
CN108781161B (zh) 2016-02-23 2021-08-20 区块链控股有限公司 用于控制和分发数字内容的区块链实现的方法
JP6511201B1 (ja) 2016-02-23 2019-05-15 エヌチェーン ホールディングス リミテッドNchain Holdings Limited ブロックチェーンにより施行される洗練された取引のためのレジストリ及び自動管理方法
BR112018016810A2 (pt) 2016-02-23 2018-12-26 nChain Holdings Limited método e sistema implementado por computador para criptografia de dados em um dispositivo eletrônico, dispositivo eletrônico e programa de computador
EP3259725B1 (en) 2016-02-23 2020-06-10 Nchain Holdings Limited Universal tokenisation system for blockchain-based cryptocurrencies
EP3764589A1 (en) 2016-02-23 2021-01-13 Nchain Holdings Limited Agent-based turing complete transactions integrating feedback within a blockchain system
CN109314636B (zh) 2016-02-23 2022-01-11 区块链控股有限公司 用于从区块链中安全提取数据的密码方法和系统
CA3014727A1 (en) 2016-02-23 2017-08-31 nChain Holdings Limited Method and system for efficient transfer of cryptocurrency associated with a payroll on a blockchain that leads to an automated payroll method and system based on smart contracts
CA3010116A1 (en) 2016-02-23 2017-08-31 nChain Holdings Limited Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys
CN116934328A (zh) 2016-02-23 2023-10-24 区块链控股有限公司 用于经由区块链控制资产有关的动作的系统及方法
EP3420515B1 (en) 2016-02-23 2023-05-10 nChain Licensing AG Blockchain-based exchange with tokenisation
CN110414244B (zh) * 2018-04-28 2023-07-21 阿里巴巴集团控股有限公司 加密卡、电子设备及加密服务方法
US11164182B2 (en) * 2018-05-17 2021-11-02 Conio Inc. Methods and systems for safe creation, custody, recovery, and management of a digital asset
CN110677250B (zh) 2018-07-02 2022-09-02 阿里巴巴集团控股有限公司 密钥和证书分发方法、身份信息处理方法、设备、介质
CN110795774B (zh) 2018-08-02 2023-04-11 阿里巴巴集团控股有限公司 基于可信高速加密卡的度量方法、设备和系统
CN110795742B (zh) 2018-08-02 2023-05-02 阿里巴巴集团控股有限公司 高速密码运算的度量处理方法、装置、存储介质及处理器
CN110874478B (zh) 2018-08-29 2023-05-02 阿里巴巴集团控股有限公司 密钥处理方法及装置、存储介质和处理器
CN109299618B (zh) * 2018-09-20 2020-06-16 如般量子科技有限公司 基于量子密钥卡的抗量子计算云存储方法和系统
US11240025B2 (en) 2018-11-09 2022-02-01 Ares Technologies, Inc. Systems and methods for distributed key storage
CN109462476B (zh) * 2018-11-23 2021-10-08 成都卫士通信息产业股份有限公司 密钥协商方法、装置、终端及计算机可读存储介质
CN110046507B (zh) * 2018-12-12 2024-02-06 创新先进技术有限公司 形成可信计算集群的方法及装置
CN109905360B (zh) * 2019-01-07 2021-12-03 平安科技(深圳)有限公司 数据验证方法及终端设备
US11310040B2 (en) * 2019-03-01 2022-04-19 Parallel Wireless, Inc. Quantum cipher based on phase inversion
CN110022204B (zh) * 2019-03-20 2022-03-18 中国电子科技集团公司第三十研究所 基于内容真随机化分割增强文件保密通信安全性的方法
CN111756529B (zh) * 2019-03-28 2023-05-19 广东国盾量子科技有限公司 一种量子会话密钥分发方法及系统
CN111756675B (zh) * 2019-03-28 2023-04-07 钉钉控股(开曼)有限公司 数据处理方法、装置、设备和系统
US11424918B2 (en) 2019-05-03 2022-08-23 Quantumxchange, Inc. Method of operation of a trusted node software in a quantum key distribution system
US11411722B2 (en) * 2019-05-03 2022-08-09 Quantumxchange, Inc. Method of operation of a quantum key controller
CN110334515B (zh) * 2019-07-05 2021-05-14 北京可信华泰信息技术有限公司 一种基于可信计算平台生成度量报告的方法及装置
CN110321695B (zh) * 2019-07-11 2021-07-20 成都卫士通信息产业股份有限公司 大数据系统密码服务方法、装置
US11038699B2 (en) 2019-08-29 2021-06-15 Advanced New Technologies Co., Ltd. Method and apparatus for performing multi-party secure computing based-on issuing certificate
CN110535628B (zh) * 2019-08-29 2020-07-17 阿里巴巴集团控股有限公司 通过证书签发进行多方安全计算的方法及装置
CN112367124B (zh) * 2019-09-01 2022-07-15 成都量安区块链科技有限公司 一种量子中继节点虚拟化方法与装置
CN110690960B (zh) * 2019-09-01 2022-02-22 成都量安区块链科技有限公司 一种中继节点的路由服务方法与装置
US11228431B2 (en) * 2019-09-20 2022-01-18 General Electric Company Communication systems and methods for authenticating data packets within network flow
CN110830242A (zh) * 2019-10-16 2020-02-21 聚好看科技股份有限公司 一种密钥生成、管理方法和服务器
US11915314B2 (en) 2019-11-22 2024-02-27 Conio Inc. Method and apparatus for a blockchain-agnostic safe multi-signature digital asset management
CN113132323B (zh) * 2019-12-31 2022-11-18 华为技术有限公司 一种通信方法及装置
US11366897B1 (en) 2020-01-17 2022-06-21 Wells Fargo Bank, N.A. Systems and methods for layered quantum computing detection
US11334667B1 (en) 2020-01-17 2022-05-17 Wells Fargo Bank, N.A. Systems and methods for disparate quantum computing threat detection
CN111314083B (zh) * 2020-01-21 2023-04-07 南京如般量子科技有限公司 基于秘密共享和非对称密码学的量子保密通信系统和方法
CN111490871A (zh) * 2020-03-13 2020-08-04 南京南瑞国盾量子技术有限公司 一种基于量子密钥云的sm9密钥认证方法、系统及存储介质
DE102020109246B4 (de) * 2020-04-02 2021-10-21 Deutsche Telekom Ag Nutzung quantensicherer Schlüssel mit Endgeräteeinrichtungen
US10951404B1 (en) * 2020-06-09 2021-03-16 Quantropi Inc. Methods and systems for digital message encoding and signing
US20220006654A1 (en) * 2020-07-02 2022-01-06 EMC IP Holding Company LLC Method to establish an application level ssl certificate hierarchy between master node and capacity nodes based on hardware level certificate hierarchy
CN114362926B (zh) * 2020-09-30 2024-04-09 如般量子科技有限公司 基于密钥池的量子保密通信网络密钥管理通信系统及方法
CN114430328A (zh) * 2020-10-14 2022-05-03 中国移动通信有限公司研究院 密钥协商方法、装置、设备及存储介质
CN112311542B (zh) * 2020-11-17 2023-06-20 国网福建省电力有限公司信息通信分公司 一种满足电力业务隔离需求的量子保密通信系统及方法
US11632246B2 (en) * 2020-12-30 2023-04-18 International Business Machines Corporation Hybrid key derivation to secure data
CN112866998B (zh) * 2021-01-26 2023-06-16 国网福建省电力有限公司泉州供电公司 基于可信计算的5g切片配置数据安全保护方法
US11641347B2 (en) 2021-03-10 2023-05-02 Quantropi Inc. Quantum-safe cryptographic methods and systems
CN114362928B (zh) * 2021-03-23 2023-11-24 长春大学 一种用于多节点间加密的量子密钥分发与重构方法
US11689375B2 (en) * 2021-05-21 2023-06-27 International Business Machines Corporation Data in transit protection with exclusive control of keys and certificates across heterogeneous distributed computing environments
EP4099611B1 (de) * 2021-05-31 2024-01-10 Deutsche Telekom AG Erzeugung quantensicherer schlüssel in einem netzwerk
US11915325B2 (en) 2021-06-09 2024-02-27 Bank Of America Corporation Quantum enabled resource activity investigation and response tool
US20230017231A1 (en) * 2021-07-17 2023-01-19 International Business Machines Corporation Securely executing software based on cryptographically verified instructions
CN113824718B (zh) * 2021-09-18 2022-11-25 国科量子通信网络有限公司 一种量子网络接入安全中间件平台系统
WO2023078639A1 (en) * 2021-11-05 2023-05-11 Universität Hamburg Quantum-secured communication
CN114089674A (zh) * 2021-11-22 2022-02-25 安徽健坤通信股份有限公司 一种基于量子身份认证的云终端管控系统
US11722499B1 (en) * 2022-02-05 2023-08-08 Uab 360 It Optimized messaging in a mesh network
CN114666103B (zh) * 2022-03-04 2023-08-15 阿里巴巴(中国)有限公司 可信度量装置、设备、系统及可信身份认证方法
WO2024068938A1 (en) * 2022-09-30 2024-04-04 Utimaco Management Gmbh Securely obtaining an electronic key

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060026693A1 (en) * 2004-07-29 2006-02-02 International Business Machines Corporation Method, apparatus, and product for asserting physical presence with a trusted platform module in a hypervisor environment
WO2013026086A1 (en) * 2011-08-19 2013-02-28 Quintessencelabs Pty Ltd Virtual zeroisation system and method
WO2014035696A2 (en) * 2012-08-30 2014-03-06 Los Alamos National Security, Llc Multi-factor authentication using quantum communication
US20160248581A1 (en) * 2015-01-08 2016-08-25 Alibaba Group Holding Limited Quantum key distribution system, method and apparatus based on trusted relay

Family Cites Families (103)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2152628C (en) 1992-12-24 1999-02-02 Paul David Townsend System and method for key distribution using quantum cryptography
US5307410A (en) 1993-05-25 1994-04-26 International Business Machines Corporation Interferometric quantum cryptographic key distribution system
US6151676A (en) 1997-12-24 2000-11-21 Philips Electronics North America Corporation Administration and utilization of secret fresh random numbers in a networked environment
US6505247B1 (en) 1998-08-21 2003-01-07 National Instruments Corporation Industrial automation system and method for efficiently transferring time-sensitive and quality-sensitive data
US8677505B2 (en) 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
WO2003069489A1 (fr) 2002-02-14 2003-08-21 Tanaka, Yoshiki Procede d'authentification
US8850179B2 (en) 2003-09-15 2014-09-30 Telecommunication Systems, Inc. Encapsulation of secure encrypted data in a deployable, secure communication system allowing benign, secure commercial transport
US7299354B2 (en) 2003-09-30 2007-11-20 Intel Corporation Method to authenticate clients and hosts to provide secure network boot
WO2005060139A2 (en) 2003-12-17 2005-06-30 General Dynamics Advanced Information Systems, Inc. Secure quantum key distribution using entangled photons
US7644278B2 (en) 2003-12-31 2010-01-05 International Business Machines Corporation Method for securely creating an endorsement certificate in an insecure environment
US7181011B2 (en) 2004-05-24 2007-02-20 Magiq Technologies, Inc. Key bank systems and methods for QKD
US7646873B2 (en) 2004-07-08 2010-01-12 Magiq Technologies, Inc. Key manager for QKD networks
US20060056630A1 (en) 2004-09-13 2006-03-16 Zimmer Vincent J Method to support secure network booting using quantum cryptography and quantum key distribution
US9191198B2 (en) 2005-06-16 2015-11-17 Hewlett-Packard Development Company, L.P. Method and device using one-time pad data
US7885412B2 (en) 2005-09-29 2011-02-08 International Business Machines Corporation Pre-generation of generic session keys for use in communicating within communications environments
DE602005014879D1 (de) 2005-12-23 2009-07-23 Alcatel Lucent Ressourcen-Zugangskontrolle für Kunden-gesteuerte und Netzwerk-gesteuerte Abfragen
US8082443B2 (en) 2006-01-09 2011-12-20 Bbnt Solutions Llc. Pedigrees for quantum cryptography
WO2007121587A1 (en) 2006-04-25 2007-11-01 Stephen Laurence Boren Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks
US20130227286A1 (en) 2006-04-25 2013-08-29 Andre Jacques Brisson Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
JP2010503252A (ja) 2006-08-31 2010-01-28 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピューティング・プラットフォームの証明
US8418235B2 (en) 2006-11-15 2013-04-09 Research In Motion Limited Client credential based secure session authentication method and apparatus
US8213602B2 (en) 2006-11-27 2012-07-03 Broadcom Corporation Method and system for encrypting and decrypting a transport stream using multiple algorithms
US20080165973A1 (en) 2007-01-09 2008-07-10 Miranda Gavillan Jose G Retrieval and Display of Encryption Labels From an Encryption Key Manager
EP2122900A4 (en) 2007-01-22 2014-07-23 Spyrus Inc PORTABLE DATA ENCRYPTION DEVICE WITH CONFIGURABLE SAFETY FUNCTIONS AND METHOD FOR FILING ENCRYPTION
US20080219449A1 (en) 2007-03-09 2008-09-11 Ball Matthew V Cryptographic key management for stored data
EP2140593A1 (en) 2007-04-12 2010-01-06 NCipher Corporation Limited Method and system for identifying and managing encryption keys
GB2450869B (en) * 2007-07-09 2012-04-25 Hewlett Packard Development Co Establishing a trust relationship between computing entities
US8111828B2 (en) 2007-07-31 2012-02-07 Hewlett-Packard Development Company, L.P. Management of cryptographic keys for securing stored data
CN101106455B (zh) 2007-08-20 2010-10-13 北京飞天诚信科技有限公司 身份认证的方法和智能密钥装置
US9323901B1 (en) 2007-09-28 2016-04-26 Emc Corporation Data classification for digital rights management
US20090204812A1 (en) 2008-02-13 2009-08-13 Baker Todd M Media processing
US8838990B2 (en) 2008-04-25 2014-09-16 University Of Colorado Board Of Regents Bio-cryptography: secure cryptographic protocols with bipartite biotokens
GB0809044D0 (en) 2008-05-19 2008-06-25 Qinetiq Ltd Multiplexed QKD
US8351408B2 (en) 2008-08-20 2013-01-08 Daigle Mark R Data packet generator for generating passcodes
MY147120A (en) 2008-09-10 2012-10-31 Mimos Berhad Method of integrating quantum key distribution with internet key exchange protocol
GB0819665D0 (en) 2008-10-27 2008-12-03 Qinetiq Ltd Quantum key dsitribution
US9438574B2 (en) 2008-12-30 2016-09-06 Avago Technologies General Ip (Singapore) Pte. Ltd. Client/server authentication over Fibre channel
CN102308515B (zh) 2009-02-04 2015-01-28 数码安信有限公司 转换静态密码系统以变为二因素认证
US8194858B2 (en) 2009-02-19 2012-06-05 Physical Optics Corporation Chaotic cipher system and method for secure communication
US8077047B2 (en) 2009-04-16 2011-12-13 Ut-Battelle, Llc Tampering detection system using quantum-mechanical systems
GB0917060D0 (en) 2009-09-29 2009-11-11 Qinetiq Ltd Methods and apparatus for use in quantum key distribution
US8700893B2 (en) 2009-10-28 2014-04-15 Microsoft Corporation Key certification in one round trip
WO2011050745A1 (zh) 2009-10-30 2011-05-05 北京飞天诚信科技有限公司 认证方法及系统
KR101314210B1 (ko) 2009-11-24 2013-10-02 한국전자통신연구원 사용자 인증 양자 키 분배 방법
WO2011068784A1 (en) 2009-12-01 2011-06-09 Azuki Systems, Inc. Method and system for secure and reliable video streaming with rate adaptation
KR101351012B1 (ko) 2009-12-18 2014-01-10 한국전자통신연구원 다자간 양자 통신에서의 사용자 인증 방법 및 장치
US8418259B2 (en) 2010-01-05 2013-04-09 Microsoft Corporation TPM-based license activation and validation
US8850554B2 (en) 2010-02-17 2014-09-30 Nokia Corporation Method and apparatus for providing an authentication context-based session
US8984588B2 (en) 2010-02-19 2015-03-17 Nokia Corporation Method and apparatus for identity federation gateway
US8892820B2 (en) 2010-03-19 2014-11-18 Netapp, Inc. Method and system for local caching of remote storage data
US9002009B2 (en) 2010-06-15 2015-04-07 Los Alamos National Security, Llc Quantum key distribution using card, base station and trusted authority
US8917631B2 (en) 2010-08-23 2014-12-23 Ortsbo Inc. System and method for sharing information between two or more devices
US8505083B2 (en) * 2010-09-30 2013-08-06 Microsoft Corporation Remote resources single sign on
GB201020424D0 (en) 2010-12-02 2011-01-19 Qinetiq Ltd Quantum key distribution
US8839134B2 (en) 2010-12-24 2014-09-16 Intel Corporation Projection interface techniques
CN103608829A (zh) 2011-01-18 2014-02-26 舍德Ip有限责任公司 用于基于编码完整性进行计算机化协商的系统和方法
US9531758B2 (en) 2011-03-18 2016-12-27 Zscaler, Inc. Dynamic user identification and policy enforcement in cloud-based secure web gateways
US9698979B2 (en) 2011-04-15 2017-07-04 Quintessencelabs Pty Ltd. QKD key management system
CN103733650A (zh) 2011-07-29 2014-04-16 3M创新有限公司 允许自动关联和连接的无线呈现系统
EP2555466B1 (en) 2011-08-05 2014-07-02 SELEX ES S.p.A. System for distributing cryptographic keys
US9509506B2 (en) * 2011-09-30 2016-11-29 Los Alamos National Security, Llc Quantum key management
US9066117B2 (en) 2012-02-08 2015-06-23 Vixs Systems, Inc Container agnostic encryption device and methods for use therewith
EP2817941A4 (en) 2012-02-24 2015-10-21 Nokia Technologies Oy METHOD AND DEVICE FOR A DYNAMIC SERVICE CLIENTS-CONTROLLED CONNECTIVITY LOGIC
US9130742B2 (en) 2012-03-30 2015-09-08 California Institute Of Technology Key agreement in wireless networks with active adversaries
US8693691B2 (en) 2012-05-25 2014-04-08 The Johns Hopkins University Embedded authentication protocol for quantum key distribution systems
US10171454B2 (en) 2012-08-23 2019-01-01 Alejandro V. Natividad Method for producing dynamic data structures for authentication and/or password identification
CN102801530B (zh) 2012-09-04 2015-08-26 飞天诚信科技股份有限公司 一种基于声音传输的认证方法
CN102946313B (zh) * 2012-10-08 2016-04-06 北京邮电大学 一种用于量子密钥分配网络的用户认证模型和方法
JP2014078185A (ja) 2012-10-12 2014-05-01 Sony Corp 情報処理システムおよび方法、並びに情報処理端末
US9294267B2 (en) 2012-11-16 2016-03-22 Deepak Kamath Method, system and program product for secure storage of content
CN103856477B (zh) * 2012-12-06 2018-01-02 阿里巴巴集团控股有限公司 一种可信计算系统及相应的认证方法和设备
CN103034603B (zh) 2012-12-07 2014-06-18 天津瑞发科半导体技术有限公司 多通道闪存卡控制装置及其控制方法
US8990550B1 (en) * 2012-12-27 2015-03-24 Emc Corporation Methods and apparatus for securing communications between a node and a server based on hardware metadata gathered by an in-memory process
US8869303B2 (en) 2013-02-16 2014-10-21 Mikhail Fleysher Method and system for generation of dynamic password
US9374376B2 (en) 2013-02-27 2016-06-21 The Boeing Company Anti-hacking system for quantum communication
CN104036780B (zh) 2013-03-05 2017-05-24 阿里巴巴集团控股有限公司 一种人机识别方法及系统
US9747456B2 (en) 2013-03-15 2017-08-29 Microsoft Technology Licensing, Llc Secure query processing over encrypted data
US10541980B2 (en) 2013-04-18 2020-01-21 Facecon Co., Ltd. File security method and apparatus for same
US20160080708A1 (en) 2013-04-26 2016-03-17 Hitachi Maxell, Ltd. Projection-type video display device
US9282093B2 (en) 2013-04-30 2016-03-08 Microsoft Technology Licensing, Llc Synchronizing credential hashes between directory services
CN103491531B (zh) * 2013-08-23 2016-07-06 中国科学技术大学 在电力系统WiMAX无线通信网中使用量子密钥提高电力信息传输安全性的方法
US20150095987A1 (en) 2013-10-01 2015-04-02 Certify Global LLC Systems and methods of verifying an authentication using dynamic scoring
US9684780B2 (en) 2013-11-25 2017-06-20 Yingjie Liu Dynamic interactive identity authentication method and system
US20150207926A1 (en) 2014-01-23 2015-07-23 Microsoft Corporation Entity-linked reminder notifications
US9531537B2 (en) 2014-01-31 2016-12-27 Cryptometry Limited System and method for performing secure communications
US9747450B2 (en) 2014-02-10 2017-08-29 Facebook, Inc. Attestation using a combined measurement and its constituent measurements
JP6359285B2 (ja) 2014-02-17 2018-07-18 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
JP6203093B2 (ja) 2014-03-19 2017-09-27 株式会社東芝 通信システム、通信装置、通信方法およびプログラム
US9331875B2 (en) 2014-04-04 2016-05-03 Nxgen Partners Ip, Llc System and method for communication using orbital angular momentum with multiple layer overlay modulation
US20150288517A1 (en) 2014-04-04 2015-10-08 Ut-Battelle, Llc System and method for secured communication
US9083739B1 (en) 2014-05-29 2015-07-14 Shape Security, Inc. Client/server authentication using dynamic credentials
JP6399821B2 (ja) 2014-06-23 2018-10-03 キヤノン株式会社 情報処理装置、情報処理方法、およびコンピュータプログラム
CN105553648B (zh) 2014-10-30 2019-10-29 阿里巴巴集团控股有限公司 量子密钥分发、隐私放大及数据传输方法、装置及系统
KR101776137B1 (ko) 2014-10-30 2017-09-19 에스케이 텔레콤주식회사 양자 키 분배 시스템에서 복수의 장치에 키를 공급하는 장치 및 방법
CN104657099B (zh) 2015-01-15 2019-04-12 小米科技有限责任公司 屏幕投射方法、装置及系统
CN105871538B (zh) * 2015-01-22 2019-04-12 阿里巴巴集团控股有限公司 量子密钥分发系统、量子密钥分发方法及装置
CN105991285B (zh) 2015-02-16 2019-06-11 阿里巴巴集团控股有限公司 用于量子密钥分发过程的身份认证方法、装置及系统
US10848303B2 (en) 2015-03-09 2020-11-24 University Of Houston System Methods and apparatuses for authentication in quantum key distribution and/or quantum data communication
US9667600B2 (en) 2015-04-06 2017-05-30 At&T Intellectual Property I, L.P. Decentralized and distributed secure home subscriber server device
US9578008B2 (en) 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US10348704B2 (en) 2015-07-30 2019-07-09 Helder Silvestre Paiva Figueira Method for a dynamic perpetual encryption cryptosystem
US11398915B2 (en) 2016-08-26 2022-07-26 Samsung Electronics Co., Ltd. Apparatus and method for two-way authentication
US9923717B2 (en) * 2015-10-07 2018-03-20 International Business Machines Corporation Refresh of shared cryptographic keys

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060026693A1 (en) * 2004-07-29 2006-02-02 International Business Machines Corporation Method, apparatus, and product for asserting physical presence with a trusted platform module in a hypervisor environment
WO2013026086A1 (en) * 2011-08-19 2013-02-28 Quintessencelabs Pty Ltd Virtual zeroisation system and method
WO2014035696A2 (en) * 2012-08-30 2014-03-06 Los Alamos National Security, Llc Multi-factor authentication using quantum communication
US20160248581A1 (en) * 2015-01-08 2016-08-25 Alibaba Group Holding Limited Quantum key distribution system, method and apparatus based on trusted relay

Also Published As

Publication number Publication date
CN107959656B (zh) 2021-08-31
JP7011646B2 (ja) 2022-01-26
TW201814578A (zh) 2018-04-16
WO2018071191A3 (en) 2019-06-06
US20180109377A1 (en) 2018-04-19
WO2018071191A2 (en) 2018-04-19
CN107959656A (zh) 2018-04-24
JP2019531630A (ja) 2019-10-31
US10855452B2 (en) 2020-12-01

Similar Documents

Publication Publication Date Title
TWI738835B (zh) 資料安全保障系統及方法、裝置
TWI738836B (zh) 量子資料密鑰協商系統及量子資料密鑰協商方法
US11271730B2 (en) Systems and methods for deployment, management and use of dynamic cipher key systems
US10142107B2 (en) Token binding using trust module protected keys
CN109479049B (zh) 用于密钥供应委托的系统、设备和方法
JP3999655B2 (ja) レベル化された機密保護があるアクセス制御のための方法及び装置
TWI734854B (zh) 資訊安全的驗證方法、裝置和系統
WO2018071244A1 (en) Method and system for secure data storage and retrieval
KR102469979B1 (ko) 제1 애플리케이션과 제2 애플리케이션 사이의 상호 대칭 인증을 위한 방법
Wang et al. EIDM: A ethereum-based cloud user identity management protocol
US11853438B2 (en) Providing cryptographically secure post-secrets-provisioning services
CN110874478A (zh) 密钥处理方法及装置、存储介质和处理器
Zerrouki et al. PUF-based mutual authentication and session key establishment protocol for IoT devices
Lounis et al. D2D-MAP: A drone to drone authentication protocol using physical unclonable functions
Mao et al. BTAA: Blockchain and TEE Assisted Authentication for IoT Systems
Shahidinejad et al. An All-Inclusive Taxonomy and Critical Review of Blockchain-Assisted Authentication and Session Key Generation Protocols for IoT
Khashan et al. Innovative energy-efficient proxy Re-encryption for secure data exchange in Wireless sensor networks
CN117176353A (zh) 处理数据的方法及装置
Ashraf et al. Lightweight and authentic symmetric session key cryptosystem for client–server mobile communication
Lawson et al. Effectiveness of the NIZKP protocol for authentication in IoT environment
TWI804179B (zh) 量子安全金鑰交換方案
Barman et al. Cryptanalysis and improvement of three-factor-based confidentiality-preserving remote user authentication scheme in multi-server environment
Román et al. Post-quantum Secure Communication with IoT Devices Using Kyber and SRAM Behavioral and Physical Unclonable Functions
CN117375910A (zh) 一种基于不可信云fpga的可信通信方法及系统
JP2008278144A (ja) アクセス制御装置及びユーザ端末及びプログラム