基于多个非对称密钥池的抗量子计算HTTPS通信方法和系统技术方案

本发明专利技术公开了一种基于非对称密钥池的抗量子计算HTTPS通信方法和系统，方法包括：在服务器端进行的如下步骤：获取证书授权中心颁发的数字证书，并向客户端发送该数字证书，所述数字证书中记载有服务器的公钥指针随机数；在客户端进行的如下步骤：获取证书授权中心颁发的与所述数字证书相匹配的根数字证书；依据所述根数字证书对服务器发送的数字证书进行验证；根据验证通过的数字证书中记载的服务器的公钥指针随机数，在所述非对称密钥池中获取服务器公钥；利用服务器公钥对随机生成的共享密钥进行加密，向服务器发送加密结果以进行密钥协商；与服务器利用所述共享密钥进行HTTPS通信。本发明专利技术提高通信的安全性，防止被量子计算机破解。

Anti-Quantum Computing HTTPS Communication Method and System Based on Multiple Asymmetric Key Pools

【技术实现步骤摘要】
基于多个非对称密钥池的抗量子计算HTTPS通信方法和系统
本专利技术涉及安全通信领域，尤其是一种基于多个非对称密钥池的抗量子计算HTTPS通信方法和系统。
技术介绍
HTTPS是指安全套接字层超文本传输协议，用于解决HTTP协议明文传输信息的缺陷。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之前的通信加密。HTTPS协议需要到CA申请一个用于证明服务器用途类型的证书。证书包含一对公私钥，该证书只有用于对应的服务器的时候，客户端才信任此主机。服务器和客户端之间的所有通信，都是加密的。目前传统的通信加密和传输安全，都是依赖于复杂的数学算法。即由于目前计算机的计算能力所限，来不及在所需的时间段内计算出结果，因此可以说现在的数字密码体系是安全的。但是这种安全性已经越来越受到量子计算机的威胁。例如，针对经典密码学中的非对称密钥算法，存在专用的量子计算机算法(shor算法等)进行破解。在计算能力强大的量子计算机面前，即便是再高级的保密通信，只要是通过当前的通信手段，都会面临被破译和窃听的可能。因此，建立实际可用的整套量子通信网络方案已经是迫在眉睫的刚需。正如大多数人所了解的，量子计算机在密码破解上有着巨大潜力。当今主流的非对称(公钥)加密算法，如RSA加密算法，大多数都是基于大整数的因式分解或者有限域上的离散对数的计算这两个数学难题。他们的破解难度也就依赖于解决这些问题的效率。在传统计算机上求解这两个数学难题，花费时间为指数时间(即破解时间随着公钥长度的增长以指数级增长)，这在实际应用中是无法接受的。而为量子计算机量身定做的秀尔算法可以在多项式时间内(即破解时间随着公钥长度的增长以k次方的速度增长，其中k为与公钥长度无关的常数)进行整数因式分解或者离散对数计算，从而为RSA、离散对数加密算法的破解提供可能。现有技术存在的问题：(1)由于量子计算机能快速通过公钥得到对应的私钥，因此现有的建立在公私钥基础之上的HTTPS通信方法容易被量子计算机破解。(2)现有技术中，基于公私钥的数字签名的输入和输出均可被敌方所知，在量子计算机存在的情况下，可能被推导出私钥，导致建立在公私钥基础之上的HTTPS通信系统被量子计算机破解。
技术实现思路
本专利技术提供了一种基于多个非对称密钥池的抗量子计算HTTPS通信方法和系统，降低被量子计算机破解的风险，保证通信过程的安全性。基于多个非对称密钥池的抗量子计算HTTPS通信方法，参与方包括服务器、证书授权中心以及客户端，各参与方均配置有密钥卡，各密钥卡内均存储有防御公钥非对称密钥池、防御私钥非对称密钥池、身份公钥非对称密钥池和证书授权中心的身份公钥指针随机数，客户端的密钥卡内还存储有用户身份公钥指针随机数；所述抗量子计算HTTPS通信方法，包括：在服务器端进行的如下步骤：获取证书授权中心颁发的数字证书，并向客户端发送该数字证书，所述数字证书中记载有服务器的身份公钥指针随机数；在客户端进行的如下步骤：获取证书授权中心颁发的与所述数字证书相匹配的根数字证书；依据所述根数字证书对服务器发送的数字证书进行验证；根据验证通过的数字证书中记载的服务器的身份公钥指针随机数，在所述身份公钥非对称密钥池中获取服务器公钥；随机生成一个共享密钥和一个防御公私钥指针随机数，利用防御公私钥指针随机数生成防御公钥和防御私钥；依次利用服务器公钥和防御公钥对共享密钥进行加密，并对加密结果进行签名，向服务器发送加密结果、防御公私钥指针随机数和签名以进行密钥协商；与服务器利用所述共享密钥进行HTTPS通信。以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。可选地，所述数字证书和根数字证书分别利用证书授权中心的私钥进行数字签名，然后进行如下加密传输过程：利用证书授权中心的密钥卡随机生成防御公私钥指针随机数；将所述防御公私钥指针随机数结合防御公钥指针函数生成防御公钥指针；依据防御公钥指针从防御公钥非对称密钥池中提取防御公钥；利用所述防御公钥对数字签名进行加密；传输所述加密结果和防御公私钥指针随机数。可选地，客户端获取根数字证书后，对根数字证书的有效性进行验证，验证过程包括：验证密钥卡中证书授权中心的身份公钥指针随机数与根数字证书中证书授权中心的身份公钥指针随机数是否一致，若一致，则进行下一步；将根数字证书中记载的防御公私钥指针随机数结合防御私钥指针函数生成防御私钥指针；利用防御私钥指针从防御私钥非对称密钥池中提取防御私钥；利用防御私钥解密得到根数字证书的数字签名；根据证书授权中心的身份公钥指针随机数在身份公钥非对称密钥池中取出证书授权中心的身份公钥；利用证书授权中心的身份公钥解密数字签名得到根数字证书的原文摘要，若该原文摘要与根据根数字证书记载信息计算得到的原文摘要一致，则进行下一步；验证根数字证书是否在有效期内。可选地，客户端依据根数字证书对服务器发送的数字证书进行验证的过程包括：将数字证书中的防御公私钥指针随机数结合防御私钥指针函数生成防御私钥指针；利用防御私钥指针从防御私钥非对称密钥池中提取防御私钥；利用防御私钥解密得到数字证书的数字签名；利用根数字证书中的证书授权中心的身份公钥指针随机数在身份公钥非对称密钥池中取出证书授权中心的身份公钥；利用证书授权中心的身份公钥解密数字签名得到数字证书的原文摘要，若该原文摘要与根据数字证书记载信息计算得到的原文摘要一致，则进行下一步；验证数字证书是否在有效期内。可选地，所述密钥协商包括在服务器端进行的如下步骤：接收加密结果、防御公私钥指针随机数和签名；利用防御公私钥指针随机数在防御公钥非对称密钥池和防御私钥非对称密钥池分别提取防御公钥和防御私钥；使用防御公钥验证加密结果和签名是否匹配，若匹配，则进行下一步；依次采用防御私钥和服务器私钥解密得到共享密钥。本专利技术还提供了一种基于多个非对称密钥池的抗量子计算HTTPS通信系统，参与方包括服务器、证书授权中心以及客户端，各参与方均配置有密钥卡，各密钥卡内均存储有防御公钥非对称密钥池、防御私钥非对称密钥池、身份公钥非对称密钥池和证书授权中心的身份公钥指针随机数，客户端的密钥卡内还存储有用户身份公钥指针随机数；所述抗量子计算HTTPS通信系统，包括：设置在服务器端的第一模块，用于获取证书授权中心颁发的数字证书，并向客户端发送该数字证书，所述数字证书中记载有服务器的身份公钥指针随机数；设置在客户端的第二模块，该第二模块包括：获取模块，用于获取证书授权中心颁发的与所述数字证书相匹配的根数字证书；验证模块，用于依据所述根数字证书对服务器发送的数字证书进行验证；服务器公钥提取模块，用于根据验证通过的数字证书中记载的服务器的身份公钥指针随机数，在所述身份公钥非对称密钥池中获取服务器公钥；密钥生成模块，用于随机生成一个共享密钥和一个防御公私钥指针随机数，利用防御公私钥指针随机数生成防御公钥和防御私钥；密钥协商模块，用于依次利用服务器公钥和防御公钥对共享密钥进行加密，并对加密结果进行签名，向服务器发送加密结果、防御公私钥指针随机数和签名以进行本文档来自技高网...

【技术保护点】
1.基于多个非对称密钥池的抗量子计算HTTPS通信方法，其特征在于，参与方包括服务器、证书授权中心以及客户端，各参与方均配置有密钥卡，各密钥卡内均存储有防御公钥非对称密钥池、防御私钥非对称密钥池、身份公钥非对称密钥池和证书授权中心的身份公钥指针随机数，客户端的密钥卡内还存储有用户身份公钥指针随机数；所述抗量子计算HTTPS通信方法，包括：在服务器端进行的如下步骤：获取证书授权中心颁发的数字证书，并向客户端发送该数字证书，所述数字证书中记载有服务器的身份公钥指针随机数；在客户端进行的如下步骤：获取证书授权中心颁发的与所述数字证书相匹配的根数字证书；依据所述根数字证书对服务器发送的数字证书进行验证；根据验证通过的数字证书中记载的服务器的身份公钥指针随机数，在所述身份公钥非对称密钥池中获取服务器公钥；随机生成一个共享密钥和一个防御公私钥指针随机数，利用防御公私钥指针随机数生成防御公钥和防御私钥；依次利用服务器公钥和防御公钥对共享密钥进行加密，并对加密结果进行签名，向服务器发送加密结果、防御公私钥指针随机数和签名以进行密钥协商；与服务器利用所述共享密钥进行HTTPS通信。

【技术特征摘要】
1.基于多个非对称密钥池的抗量子计算HTTPS通信方法，其特征在于，参与方包括服务器、证书授权中心以及客户端，各参与方均配置有密钥卡，各密钥卡内均存储有防御公钥非对称密钥池、防御私钥非对称密钥池、身份公钥非对称密钥池和证书授权中心的身份公钥指针随机数，客户端的密钥卡内还存储有用户身份公钥指针随机数；所述抗量子计算HTTPS通信方法，包括：在服务器端进行的如下步骤：获取证书授权中心颁发的数字证书，并向客户端发送该数字证书，所述数字证书中记载有服务器的身份公钥指针随机数；在客户端进行的如下步骤：获取证书授权中心颁发的与所述数字证书相匹配的根数字证书；依据所述根数字证书对服务器发送的数字证书进行验证；根据验证通过的数字证书中记载的服务器的身份公钥指针随机数，在所述身份公钥非对称密钥池中获取服务器公钥；随机生成一个共享密钥和一个防御公私钥指针随机数，利用防御公私钥指针随机数生成防御公钥和防御私钥；依次利用服务器公钥和防御公钥对共享密钥进行加密，并对加密结果进行签名，向服务器发送加密结果、防御公私钥指针随机数和签名以进行密钥协商；与服务器利用所述共享密钥进行HTTPS通信。2.如权利要求1所述的基于多个非对称密钥池的抗量子计算HTTPS通信方法，其特征在于，所述数字证书和根数字证书分别利用证书授权中心的私钥进行数字签名，然后进行如下加密传输过程：利用证书授权中心的密钥卡随机生成防御公私钥指针随机数；将所述防御公私钥指针随机数结合防御公钥指针函数生成防御公钥指针；依据防御公钥指针从防御公钥非对称密钥池中提取防御公钥；利用所述防御公钥对数字签名进行加密；传输所述加密结果和防御公私钥指针随机数。3.如权利要求2所述的基于多个非对称密钥池的抗量子计算HTTPS通信方法，其特征在于，客户端获取根数字证书后，对根数字证书的有效性进行验证，验证过程包括：验证密钥卡中证书授权中心的身份公钥指针随机数与根数字证书中证书授权中心的身份公钥指针随机数是否一致，若一致，则进行下一步；将根数字证书中记载的防御公私钥指针随机数结合防御私钥指针函数生成防御私钥指针；利用防御私钥指针从防御私钥非对称密钥池中提取防御私钥；利用防御私钥解密得到根数字证书的数字签名；根据证书授权中心的身份公钥指针随机数在身份公钥非对称密钥池中取出证书授权中心的身份公钥；利用证书授权中心的身份公钥解密数字签名得到根数字证书的原文摘要，若该原文摘要与根据根数字证书记载信息计算得到的原文摘要一致，则进行下一步；验证根数字证书是否在有效期内。4.如权利要求2所述的基于多个非对称密钥池的抗量子计算HTTPS通信方法，其特征在于，客户端依据根数字证书对服务器发送的数字证书进行验证的过程包括：将数字证书中的防御公私钥指针随机数结合防御私钥指针函数生成防御私钥指针；利用防御私钥指针从防御私钥非对称密钥池中提取防御私钥；利用防御私钥解密得到数字证书的数字签名；利用根数字证书中的证书授权中心的身份公钥指针随机数在身份公钥非对称密钥池中取出证书授权中心的身份公钥；利用证书授权中心的身份公钥解密数字签名得到数字证书的原文摘要，若该原文摘要与根据数字证书记载信息计算得到的原文摘要一致，则进行下一步；验证数字证书是否在有效期内。5.如权利要求1所述的基于多个非对称密钥池的抗量子计算HTTPS通信方法，其特征在于，所述密钥协商包括在服务器端进行的如下步骤：接收加密结果、防御公私钥指针随机数和签名；利用防御公私钥指针随机数在防御公钥非对称密钥池和防御私钥非对称密钥池分别提取防御公钥和防御私钥；使用防御公钥验证加密结果和签名是否匹配，若匹配，则进行下一步；依次采用防御私钥和服务器私钥解密得到共享密钥。6.基于多个非对称密钥池的抗量子计算HTTPS通信系统，其特征在于，参与方包括服务器、证书授权中心以及客户端，各参与方均配置有密钥卡，各密钥卡内均存储有防御公钥非对称密钥池、防御私钥非对称密钥池、身份公钥非对称密钥池和证书授权中心的身份公钥指针随机数...

【专利技术属性】
技术研发人员：富尧，钟一民，杨羽成，
申请(专利权)人：如般量子科技有限公司，
类型：发明
国别省市：浙江,33