数据安全传输方法、客户端及服务端方法、装置及系统制造方法及图纸

本申请公开了一种数据安全传输方法，同时公开了一种用于数据安全传输的服务端方法及装置，一种用于数据安全传输的客户端方法及装置，以及一种数据安全传输系统。所述数据安全传输方法，包括：客户端发送对服务端的访问请求；服务端接收所述访问请求后，与客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取相同的第一密钥，作为各自的数据加密密钥；客户端与服务端利用各自的数据加密密钥进行数据安全传输。本申请提供的上述方法，充分利用了量子密钥分发技术的优越性，有效避免了非对称密钥交换算法所具有的分发安全隐患、以及效率低下的问题，能够安全、高效地实现数据加密密钥的协商过程，为数据安全传输提供有力保障。

【技术实现步骤摘要】
数据安全传输方法、客户端及服务端方法、装置及系统
本申请涉及数据安全技术，具体涉及一种数据安全传输方法。本申请同时涉及一种用于数据安全传输的服务端方法及装置，一种用于数据安全传输的客户端方法及装置，以及一种数据安全传输系统。
技术介绍
随着Internet技术的发展，近些年基于WEB服务进行的商务活动日益频繁，大量数据在客户端与服务端之间传输，为了保障数据传输的安全性，特别是为了保障网络交易、网络支付、网络银行等金融领域的敏感信息的安全传输，通常采用非对称密钥交换算法在客户端与服务端之间进行数据加密密钥(对称密钥)的协商(也称分发)，然后双方再基于数据加密密钥进行数据的安全传输。以HTTPS协议为例，在进行数据安全传输之前，客户端和服务端通常要进行密钥协商，客户端将其生成的随机密码串(也称PreMasterKey)采用服务端的公钥加密后传输给服务端，服务端采用私钥解密后获取随机密码串，随后双方基于已获取的随机密码串、采用相同的算法生成会话密钥，双方采用会话密钥实现后续的数据安全传输。不难看出，非对称密钥交换算法是现有客户端/服务端架构下保障数据安全传输的基石，但是基于非对称密钥交换算法的数据传输过程存在以下问题：1)数据加密密钥分发过程耗时长。因为非对称加密算法的复杂性、导致加密和解密的速度通常都比较慢，仍以HTTPS协议为例，在一次完全的TLS握手过程中，密钥交换时的非对称解密计算量占整个握手过程的90％以上，CPU计算资源消耗较大，导致整个数据加密密钥分发过程耗时长、效率低。2)数据加密密钥存在被泄露的风险。对于非对称密钥交换算法来说，其安全性比对称加密算法高、难以破解，但是随着云计算、量子计算等在计算能力方面的飞速提高，可以在多项式时间内解决大数分解等难题，提高破解成功的概率，导致数据加密密钥存在被破解的风险，基于数据加密密钥传输的数据的安全性自然也无法得到保障。
技术实现思路
本申请实施例提供一种数据安全传输方法，以解决现有基于客户端/服务端架构的数据安全传输技术存在的数据加密密钥分发过程耗时长、以及安全性低的问题。本申请实施例还提供一种用数据安全传输的服务端方法和装置，一种用于数据安全传输的客户端方法及装置，以及一种数据安全传输系统。本申请提供一种数据安全传输方法，包括：客户端发送对服务端的访问请求；服务端接收所述访问请求后，与客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取相同的第一密钥，作为各自的数据加密密钥；客户端与服务端利用各自的数据加密密钥进行数据安全传输。可选的，在所述服务端接收所述访问请求后，包括：所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥，执行身份验证操作，并当所述身份验证操作的结果为通过时，执行所述服务端与所述客户端获取各自的数据加密密钥的步骤。可选的，所述访问请求的内容包含：所述客户端的客户端标识；所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥，执行身份验证操作，包括：所述服务端根据所述访问请求包含的客户端标识，在身份密钥映射关系表中查找对应的身份密钥；至少根据查找得到的身份密钥计算散列值，作为用于证实服务端身份的服务端验证信息；将至少包含所述服务端验证信息的响应信息发送给所述客户端；所述客户端接收所述服务端返回的响应信息；采用与所述服务端计算服务端验证信息相同的方式，至少根据存储的身份密钥计算散列值；将计算得到的散列值与接收到的响应信息包含的服务端验证信息进行比对，并在比对结果一致时，判定所述身份验证操作的结果为通过。可选的，在客户端发送对服务端的访问请求之前，包括：所述客户端至少根据存储的身份密钥计算散列值，作为用于证实所述客户端身份的客户端验证信息；所述客户端发送对服务端的访问请求是指，客户端发送包含所述客户端的客户端标识，以及所述客户端验证信息的访问请求；所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥，执行身份验证操作，包括：所述服务端根据所述访问请求包含的客户端标识，在身份密钥映射关系表中查找对应的身份密钥；采用与所述客户端计算客户端验证信息相同的方式，至少根据查找得到的身份密钥计算散列值；将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对，并在比对结果一致时，判定所述身份验证操作的结果为通过。可选的，在客户端发送对服务端的访问请求之前，包括：所述客户端读取存储的身份密钥；用所述身份密钥作为对称密钥、对采用预设方式生成的动态数值进行加密，得到用于验证所述服务端身份的密文；所述客户端发送对服务端的访问请求是指，发送至少包含所述客户端的客户端标识、以及所述密文的访问请求；所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥，执行身份验证操作，包括：所述服务端根据所述访问请求包含的客户端标识，在身份密钥映射关系表中查找对应的身份密钥；用查找得到的身份密钥对所述访问请求包含的密文解密，获取解密后的动态数值；至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值，作为用于证实服务端身份的服务端验证信息；将包含所述服务端的服务端标识以及所述服务端验证信息的响应信息发送给所述客户端；所述客户端接收所述服务端返回的响应信息；采用与所述服务端计算服务端验证信息相同的方式，至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值；将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对，并在比对结果一致时，判定所述身份验证操作的结果为通过。可选的，在客户端读取存储的身份密钥之后，还包括：根据所述客户端的客户端标识以及所述身份密钥计算散列值，作为用于证实所述客户端身份的客户端验证信息；所述客户端发送的访问请求的内容还包含：所述客户端验证信息；所述服务端在身份密钥映射关系表中查找对应的身份密钥之后，还包括：采用与所述客户端计算客户端验证信息相同的方式，根据接收到的访问请求包含的客户端标识以及查找得到的身份密钥计算散列值；将计算得到的散列值与接收到的访问请求包含的客户端验证信息进行比对，并在比对结果一致时，执行用查找得到的身份密钥对所述访问请求包含的密文解密，获取解密后的动态数值的步骤。可选的，所述服务端至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值，包括：所述服务端根据所述访问请求包含的客户端标识，获取与所述客户端同步更新的种子数值；根据所述服务端的服务端标识、所述解密后的动态数值以及所述种子数值计算散列值；所述客户端至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值，包括：根据所述响应信息包含的服务端标识，获取与所述服务端同步更新的种子数值；根据所述响应信息包含的服务端标识、所述生成的动态数值以及所述种子数值计算散列值。可选的，所述服务端与所述客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取的信息还包括：相同的第二密钥；所述方法还包括：所述客户端与所述服务端分别用所述第二密钥更新各自存储的所述客户端的身份密钥。可选的，所述服务端与所述客户端分别从双方执行量子密钥分发操作生成的密钥序列中、至少获取相同的第一密钥，包括：所述服务端与所述客户端执行量子密钥分发操作，生成相同的密钥序列；所述服务端与所述客户端按照预先确定的获取本文档来自技高网...

【技术保护点】
一种数据安全传输方法，其特征在于，包括：客户端发送对服务端的访问请求；服务端接收所述访问请求后，与客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取相同的第一密钥，作为各自的数据加密密钥；客户端与服务端利用各自的数据加密密钥进行数据安全传输。

【技术特征摘要】
1.一种数据安全传输方法，其特征在于，包括：客户端发送对服务端的访问请求；服务端接收所述访问请求后，与客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取相同的第一密钥，作为各自的数据加密密钥；客户端与服务端利用各自的数据加密密钥进行数据安全传输。2.根据权利要求1所述的数据安全传输方法，其特征在于，在所述服务端接收所述访问请求后，包括：所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥，执行身份验证操作，并当所述身份验证操作的结果为通过时，执行所述服务端与所述客户端获取各自的数据加密密钥的步骤。3.根据权利要求2所述的数据安全传输方法，其特征在于，所述访问请求的内容包含：所述客户端的客户端标识；所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥，执行身份验证操作，包括：所述服务端根据所述访问请求包含的客户端标识，在身份密钥映射关系表中查找对应的身份密钥；至少根据查找得到的身份密钥计算散列值，作为用于证实服务端身份的服务端验证信息；将至少包含所述服务端验证信息的响应信息发送给所述客户端；所述客户端接收所述服务端返回的响应信息；采用与所述服务端计算服务端验证信息相同的方式，至少根据存储的身份密钥计算散列值；将计算得到的散列值与接收到的响应信息包含的服务端验证信息进行比对，并在比对结果一致时，判定所述身份验证操作的结果为通过。4.根据权利要求2所述的数据安全传输方法，其特征在于，在客户端发送对服务端的访问请求之前，包括：所述客户端至少根据存储的身份密钥计算散列值，作为用于证实所述客户端身份的客户端验证信息；所述客户端发送对服务端的访问请求是指，客户端发送包含所述客户端的客户端标识，以及所述客户端验证信息的访问请求；所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥，执行身份验证操作，包括：所述服务端根据所述访问请求包含的客户端标识，在身份密钥映射关系表中查找对应的身份密钥；采用与所述客户端计算客户端验证信息相同的方式，至少根据查找得到的身份密钥计算散列值；将计算得到的散列值与所述访问请求包含的客户端验证信息进行比对，并在比对结果一致时，判定所述身份验证操作的结果为通过。5.根据权利要求2所述的数据安全传输方法，其特征在于，在客户端发送对服务端的访问请求之前，包括：所述客户端读取存储的身份密钥；用所述身份密钥作为对称密钥、对采用预设方式生成的动态数值进行加密，得到用于验证所述服务端身份的密文；所述客户端发送对服务端的访问请求是指，发送至少包含所述客户端的客户端标识、以及所述密文的访问请求；所述客户端与所述服务端基于各自存储的、所述客户端的相同身份密钥，执行身份验证操作，包括：所述服务端根据所述访问请求包含的客户端标识，在身份密钥映射关系表中查找对应的身份密钥；用查找得到的身份密钥对所述访问请求包含的密文解密，获取解密后的动态数值；至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值，作为用于证实服务端身份的服务端验证信息；将包含所述服务端的服务端标识以及所述服务端验证信息的响应信息发送给所述客户端；所述客户端接收所述服务端返回的响应信息；采用与所述服务端计算服务端验证信息相同的方式，至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值；将计算得到的散列值与所述响应信息包含的服务端验证信息进行比对，并在比对结果一致时，判定所述身份验证操作的结果为通过。6.根据权利要求5所述的数据安全传输方法，其特征在于，在客户端读取存储的身份密钥之后，还包括：根据所述客户端的客户端标识以及所述身份密钥计算散列值，作为用于证实所述客户端身份的客户端验证信息；所述客户端发送的访问请求的内容还包含：所述客户端验证信息；所述服务端在身份密钥映射关系表中查找对应的身份密钥之后，还包括：采用与所述客户端计算客户端验证信息相同的方式，根据接收到的访问请求包含的客户端标识以及查找得到的身份密钥计算散列值；将计算得到的散列值与接收到的访问请求包含的客户端验证信息进行比对，并在比对结果一致时，执行用查找得到的身份密钥对所述访问请求包含的密文解密，获取解密后的动态数值的步骤。7.根据权利要求5或6所述的数据安全传输方法，其特征在于，所述服务端至少根据所述服务端的服务端标识以及所述解密后的动态数值计算散列值，包括：所述服务端根据所述访问请求包含的客户端标识，获取与所述客户端同步更新的种子数值；根据所述服务端的服务端标识、所述解密后的动态数值以及所述种子数值计算散列值；所述客户端至少根据所述响应信息包含的服务端标识以及所述生成的动态数值计算散列值，包括：根据所述响应信息包含的服务端标识，获取与所述服务端同步更新的种子数值；根据所述响应信息包含的服务端标识、所述生成的动态数值以及所述种子数值计算散列值。8.根据权利要求2-6任一项所述的数据安全传输方法，其特征在于，所述服务端与所述客户端分别从双方执行量子密钥分发操作生成的相同密钥序列中获取的信息还包括：相同的第二密钥；所述方法还包括：所述客户端与所述服务端分别用所述第二密钥更新各自存储的所述客户端的身份密钥。9.根据权利要求1所述的数据安全传输方法，其特征在于，所述服务端与所述客户端分别从双方执行量子密钥分发操作生成的密钥序列中、至少获取相同的第一密钥，包括：所述服务端与所述客户端执行量子密钥分发操作，生成相同的密钥序列；所述服务端与所述客户端按照预先确定的获取方式，从各自生成的所述密钥序列中分别获取所述第一密钥。10.根据权利要求1所述的用于数据安全传输的服务端方法，其特征在于，所述客户端与服务端利用各自的数据加密密钥进行数据安全传输，包括：所述服务端将利用数据加密密钥加密后的数据发送给所述客户端，所述客户端利用数据加密密钥对来自所述服务端的密文解密、以获取明文数据；和/或，所述客户端将利用数据加密密钥加密后的数据发送给所述服务端，所述服务端利用数据加密密钥对来自所述客户端的密文解密、以获取明文数据。11.根据权利要求1所述的数据安全传输的服务端方法，其特征在于，所述方法应用于基于Web服务的数据传输应用场景中。12.一种用于数据安全传输的服务端方法，其特征在于，包括：接收来自客户端的访问请求；采用与所述客户端预先确定的获取方式，从与所述客户端执行量子密钥分发操作生成的密钥序列中获取第一密钥，作为数据加密密钥；利用所述数据加密密钥与所述客户端进行数据安全传输。13.根据权利要求12所述的用于数据安全传输的服务端方法，其特征在于，在所述接收来自客户端的访问请求后，包括：基于本地存储的对应于所述客户端的身份密钥，执行身份验证操作，并当所述身份验证操作的结果为通过时，执行获取数据加密密钥的步骤；其中，所述对应于所述客户端的身份密钥与所述客户端存储的身份密钥相同。14.根据权利要求13所述的用于数据安全传输的服务端方法，其特征在于，所述基于本地存储的对应于所述客户端的身份密钥，执行身份验证操作，包括：根据所述访问请求包含的客户端标识，在身份密钥映射关系表中查找对应的身份密钥；至少根据查找得到的身份密钥计算散列值，作为用于证实服务端身份的服务端验证信息；将至少包含所述服务端验证信息的响应信息发送给所述客户端；并在通过所述客户端的验证后，判定所述身份验证操作的结果为通过。15.根据权利要求13所述的用于数据安全传输的服务端方法，其特征在于，所述基于本地存储的对应于所述客户端的身份密钥，执行身份验证操作，包括：根据所述访问请求包...

【专利技术属性】
技术研发人员：付颖芳，刘栓林，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY