【技术实现步骤摘要】
量子数据密钥协商系统及量子数据密钥协商方法
本申请涉及量子数据密钥协商技术,具体涉及一种量子数据密钥协商系统。本申请同时涉及一种量子数据密钥协商方法、另一种量子数据密钥协商方法、一种数据处理系统、一种数据处理方法、以及一种用于云服务网络系统的密钥注入方法。
技术介绍
量子密码作为量子力学和密码学的交叉产物,其安全性由量子力学基本原理保证(未知量子态的测不准原理、测量坍缩原理、不可克隆原理),与攻击者的计算能力和存储能力无关,被证明具有无条件安全性和对窃听者的可检测性。基于量子密码的上述特点,出现了BB84等量子密钥分发协议,具有数据保密通信需求的双方,可以采用实现了该协议的量子密钥分发设备经过原始密钥协商、密钥筛选、误码率估计、数据协调、隐私放大等阶段,最终得到无条件安全的共享量子密钥串。具有数据保密通信需求的双方在完成上述量子密钥分发操作的基础上,通常还要通过量子数据密钥协商过程,分别从各自的共享量子密钥串中获取某些特定的位作为双方共享的量子数据密钥,以便进行数据保密传输,即:其中一方采用量子数据密钥对数据加密后发送给另一方,另一方接收数据后也采用同样的量子数据密钥执行解密操作,从而还原原始数据。现有技术在进行量子数据密钥协商时,通常仅对双方身份进行验证,而不对双方的平台信息(即:软硬件环境)进行验证,导致量子数据密钥协商过程存在一定的安全隐患。
技术实现思路
本申请实施例提供一种量子数据密钥协商系统,以消除现有的量子数据密钥协商技术由于没有对双方平台可信性进行验证而导致的安全隐患。本申请实施例还提供一种量子数据密钥协商方法,另一种量子数据密钥协商方法,一种 ...
【技术保护点】
一种量子数据密钥协商系统,其特征在于,包括:具有共享量子密钥串的第一设备和第二设备、以及授权中心,其中,所述第一设备和第二设备彼此之间、以及与授权中心之间通信连接,所述第一设备和第二设备以及授权中心分别具有可信计算平台;所述授权中心,用于分别根据所述第一设备和第二设备的授权请求,对相应请求方的身份与平台的可信性进行验证,并在验证通过后基于授权中心的系统私钥为相应请求方提供相应信息,以供相应请求方获取基于其身份与平台信息的私钥及可信证书;所述第一设备和第二设备,分别用于向对方发送至少包含可信证书的验证请求、并利用对方发送的验证请求中的信息对对方身份与平台的可信性进行验证;并在双方均通过验证后,通过协商从各自的共享量子密钥串中获取量子数据密钥。
【技术特征摘要】
1.一种量子数据密钥协商系统,其特征在于,包括:具有共享量子密钥串的第一设备和第二设备、以及授权中心,其中,所述第一设备和第二设备彼此之间、以及与授权中心之间通信连接,所述第一设备和第二设备以及授权中心分别具有可信计算平台;所述授权中心,用于分别根据所述第一设备和第二设备的授权请求,对相应请求方的身份与平台的可信性进行验证,并在验证通过后基于授权中心的系统私钥为相应请求方提供相应信息,以供相应请求方获取基于其身份与平台信息的私钥及可信证书;所述第一设备和第二设备,分别用于向对方发送至少包含可信证书的验证请求、并利用对方发送的验证请求中的信息对对方身份与平台的可信性进行验证;并在双方均通过验证后,通过协商从各自的共享量子密钥串中获取量子数据密钥。2.根据权利要求1所述的系统,其特征在于,所述第一设备和第二设备分别向对方发送的验证请求中,还包含各自的可信度量报告。3.根据权利要求1所述的系统,其特征在于,所述授权中心包括至少两个通信连接的管控节点,各管控节点分别具有可信计算平台;所述管控节点之一,用于将所述授权中心的系统私钥根据门限密钥共享机制拆分成n个系统子私钥,n与管控节点的数目一致,并将其中n-1个系统子私钥分别分发给不同的管控节点;还用于根据接收到的授权请求,对相应请求方的身份与平台的可信性进行验证,并在验证通过后基于自己持有的系统子私钥向相应请求方颁发基于其身份与平台信息的子私钥及子证书;所述管控节点中的其他节点,用于根据接收到的授权请求,对相应请求方的身份与平台的可信性进行验证,并在验证通过后基于自己持有的系统子私钥向相应请求方颁发基于其身份与平台信息的子私钥及子证书;所述第一设备和第二设备,分别具体用于向预定数量的管控节点发送授权请求,并根据管控节点颁发的子私钥及子证书,采用所述门限密钥共享机制合成基于各自身份与平台信息的私钥及可信证书。4.根据权利要求1所述的系统,其特征在于,所述第一设备和第二设备,还分别用于将获取的基于各自身份与平台信息的私钥及可信证书存储在各自可信计算平台提供的可信存储空间中。5.根据权利要求1所述的系统,其特征在于,所述授权中心为一集中管控节点,具体用于分别根据第一设备和第二设备的授权请求,对相应请求方的身份与平台的可信性进行验证,并在验证通过后基于系统私钥为相应的请求方颁发基于其身份与平台信息的私钥及可信证书。6.根据权利要求1所述的系统,其特征在于,所述第一设备和第二设备,分别具体用于在双方均通过验证后,通过协商从各自的共享量子密钥串中获取两个或者两个以上量子数据密钥。7.根据权利要求6所述的系统,其特征在于,所述第一设备,具体用于向所述第二设备发送协商消息,所述协商消息中至少包含指示第二设备从其共享量子密钥串中获取两个或者两个以上量子数据密钥的参数信息,并在接收到所述第二设备的确认应答后,从自己的共享量子密钥串中获取与所述参数信息对应的量子数据密钥;所述第二设备,具体用于根据接收到的协商消息包含的参数信息,从自己的共享量子密钥串中获取相应的量子数据密钥,并向所述第一设备返回确认应答。8.根据权利要求7所述的系统,其特征在于,所述参数信息包括:量子数据密钥的数量、量子数据密钥的固定长度、以及第一个量子数据密钥的起始量子密钥比特标识;或者,至少两个参数组,每个参数组中包含相应量子数据密钥的起始量子密钥比特标识,或者,所述起始量子密钥比特标识及长度信息。9.根据权利要求7所述的系统,其特征在于,所述参数信息包括:至少两个参数组,每个参数组中包含相应量子数据密钥的起始量子密钥比特标识及长度信息,且至少存在两个参数组指定的量子数据密钥具有重叠部分,使得所述参数信息指定的量子数据密钥的总长度大于双方各自具有的共享量子密钥串的长度。10.根据权利要求1-9任一项所述的系统,其特征在于,所述量子数据密钥协商系统部署于云服务网络系统中;所述云服务网络系统包括:云提供商子系统,和云用户子系统;所述授权中心部署于云提供商子系统;所述第一设备和第二设备分别为:云提供商子系统中的业务设备、云用户子系统中的终端设备;或者,云用户子系统中的终端设备、云提供商子系统中的业务设备;或者,云提供商子系统中的不同业务设备。11.一种量子数据密钥协商方法,其特征在于,本方法所涉及的第一设备和第二设备、以及授权中心分别具有可信计算平台,所述第一设备和第二设备分别预先根据授权中心基于系统私钥提供的相应信息、获取了基于各自身份与平台信息的私钥及可信证书;所述方法包括:所述第一设备和第二设备分别向对方发送至少包含可信证书的验证请求,并利用对方发送的验证请求中的信息对对方身份与平台的可信性进行验证;若所述第一设备和第二设备均通过验证,则双方通过协商从各自的共享量子密钥串中获取量子数据密钥。12.根据权利要求11所述的方法,其特征在于,所述第一设备和第二设备分别向对方发送的验证请求中,还包含各自的可信度量报告。13.根据权利要求11所述的方法,其特征在于,在所述第一设备和第二设备分别向对方发送验证请求之前,包括:所述第一设备和第二设备分别向所述授权中心发送授权请求,所述授权请求中携带各自的身份信息和平台信息;所述第一设备和第二设备,分别根据所述授权中心在验证相应请求方的身份与平台可信性后、基于所述系统私钥返回的相应信息,获取基于各自身份与平台信息的私钥及可信证书。14.根据权利要求13所述的方法,其特征在于,所述授权中心包括至少两个管控节点,各管控节点分别具有可信计算平台;在所述第一设备和第二设备分别向所述授权中心发送授权请求之前,包括:所述管控节点之一,将所述授权中心的系统私钥根据门限密钥共享机制拆分成n个系统子私钥,n与管控节点的数目一致,并将其中n-1个系统子私钥分别分发给不同的管控节点;所述第一设备和第二设备分别向所述授权中心发送授权请求,包括:所述第一设备和第二设备分别向预定数量的管控节点发送授权请求;所述第一设备和第二设备,分别根据所述授权中心在验证相应请求方的身份与平台可信性后、基于所述系统私钥返回的相应信息,获取基于各自身份与平台信息的私钥及可信证书,包括:接收到相应授权请求的管控节点,根据相应请求方的授权请求,对相应请求方的身份与平台的可信性进行验证,并在验证通过后基于自己持有的系统子私钥向相应请求方颁发基于其身份与平台信息的子私钥及子证书;所述第一设备和第二设备分别根据管控节点颁发的子私钥以及子证书,采用所述门限密钥共享机制合成基于各自身份与平台信息的私钥以及可信证书。15.根据权利要求13所述的方法,其特征在于,所述授权中心为一集中管控节点;所述第一设备和第二设备,分别根据所述授权中心在验证相应请求方的身份与平台可信性后、基于所述系统私钥返回的相应信息,获取基于各自身份与平台信息的私钥及可信证书,包括:所述授权中心,分别根据所述第一设备和第二设备的授权请求,对相应请求方的身份与平台的可信性进行验证,并在验证通过后基...
【专利技术属性】
技术研发人员:付颖芳,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。