一种量子安全的数据加密方法、加密设备及存储介质技术

本申请实施例提供一种量子安全的数据加密方法、加密设备及存储介质。在本申请实施例中，采用模块化的方式将量子安全的能力融合到现有的加密设备中，在保持加密设备的原始功能的前提下，为现有的加密设备增加了量子安全的能力，且对加密设备原始功能没有影响；将量子密钥与原始密钥进行混合后，产生会话密钥，并使用会话密钥进行数据加密，可实现量子安全技术与经典密码学的合理融合，使用多级密钥进行数据加密，在不降低任何现有安全性的前提下加持量子安全能力，为现有的加密设备赋予更高的密码敏捷性。密码敏捷性。密码敏捷性。

【技术实现步骤摘要】
一种量子安全的数据加密方法、加密设备及存储介质


[0001]本申请涉及数据安全
，尤其涉及一种量子安全的数据加密方法、加密设备及存储介质。

技术介绍

[0002]加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备，加密机和主机之间可使用TCP/IP协议通信。加密机在银行、银联、第三方支付等金融机构广泛使用，主要用来加解密银行卡密码，计算交易MAC，保证交易中敏感数据的安全等。
[0003]但是，随着量子计算技术的发展，加密机的安全性也受到了威胁，因此，亟需为加密机加持抗量子攻击的能力。

技术实现思路

[0004]本申请的多个方面提供一种量子安全的数据加密方法、加密设备及存储介质，用以提高加密设备的安全性。
[0005]本申请实施例提供一种量子安全的数据加密方法，适用于加密设备，所述加密设备中部署有量子安全密钥组件，所述方法包括：响应于数据加密请求，与对端协商针对第一会话的原始密钥；利用本端的量子安全密钥组件确定所述第一会话对应的量子密钥，其中，所述量子密钥为本端和对端之间基于各自的量子安全密钥组件进行量子密钥协商而产生的；将所述第一会话对应的原始密钥和量子密钥进行混合，以获得所述第一会话的会话密钥；使用所述第一会话的会话密钥对所述第一会话期间的数据进行加密。
[0006]本申请实施例还提供一种加密设备，包括存储器、处理器、原始密钥组件和量子安全密钥组件；所述存储器用于存储一条或多条计算机指令；所述处理器与所述存储器、所述原始密钥组件和所述量子安全密钥组件耦合，用于执行所述一条或多条计算机指令，以用于：响应于数据加密请求，与对端协商针对第一会话的原始密钥；利用本端的量子安全密钥组件确定所述第一会话对应的量子密钥，其中，所述量子密钥为本端和对端之间基于各自的量子安全密钥组件进行量子密钥协商而产生的；将所述第一会话对应的原始密钥和量子密钥进行混合，以获得所述第一会话的会话密钥；使用所述第一会话的会话密钥对所述第一会话期间的数据进行加密。
[0007]本申请实施例还提供一种存储计算机指令的计算机可读存储介质，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行前述的数据加密方法。
[0008]在本申请实施例中，采用模块化的方式将量子安全的能力融合到现有的加密设备中，在保持加密设备的原始功能的前提下，为现有的加密设备增加了量子安全的能力，且对加密设备原始功能没有影响；将量子密钥与原始密钥进行混合后，产生会话密钥，并使用会话密钥进行数据加密，可实现量子安全技术与经典密码学的合理融合，在不降低任何现有安全性的前提下加持量子安全能力，为现有的加密设备赋予更高的密码敏捷性。
附图说明
[0009]此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1为本申请一示例性实施例提供的一种加密设备的结构示意图；图2为本申请一示例性实施例提供的一种量子安全密钥组件的内部结构和工作原理示意图；图3为本申请一示例性实施例提供的一种加密设备的工作原理示意图；图4为本申请一示例性实施例提供的一种应用场景的示意图；图5为本申请一示例性实施例提供的另一种加密设备的工作原理示意图；图6为本申请一示例性实施例提供的另一种应用场景的示意图；图7为本申请另一示例性实施例提供的一种量子安全的数据加密方法的流程示意图。
具体实施方式
[0010]为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0011]目前，随着量子计算技术的发展，现有的加密机的安全性也受到了威胁，因此，亟需为加密机加持抗量子攻击的能力。为此，本申请的一些实施例中：采用模块化的方式将量子安全的能力融合到现有的加密设备中，在保持加密设备的原始功能的前提下，为现有的加密设备增加了量子安全的能力，且对加密设备原始功能没有影响；将量子密钥与原始密钥进行混合后，产生会话密钥，并使用会话密钥进行数据加密，可实现量子安全技术与经典密码学的合理融合，在不降低任何现有安全性的前提下加持量子安全能力，为现有的加密设备赋予更高的密码敏捷性。
[0012]以下结合附图，详细说明本申请各实施例提供的技术方案。
[0013]图1为本申请一示例性实施例提供的一种加密设备的结构示意图。如图1所示，该加密设备可包括存储器10、处理器20、原始密钥组件30和量子安全密钥组件40，处理器20可与存储器10、原始密钥组件30和量子安全密钥组件40耦合。
[0014]本实施例提供的加密设备可应用在各种数据安全场景中，例如，证券、银行等金融数据安全场景、网络平台清算支付场景等，本实施例对应用场景不做限定。另外，可以理解的是，除了上述的几种组件外，加密组件当然还可包含其它组件，例如、电源组件、通信组件等，在此不再穷举。
[0015]本实施例提供的加密设备可以是加密机。加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备，其原始功能特性包括密钥关联、密钥运算、消息验证、数据加密、签名验签等，同时其在硬件设计上具备安全保护的能力，可提供SDF接口、PKCS#11接口和/或JCE接口等密码设备接口，以实现上述的原始功能。
[0016]参考图1，可采用模块化的形式将量子安全密钥组件40增加到现有的加密设备上，而不会影响加密设备的原始密钥组件30，量子安全密钥组件40可与加密设备的原始密钥组件30进行交互，以实现量子安全与原始功能的融合。这保证了加密设备还可基于原始密钥组件30提供原始功能。另外，以量子安全密钥组件40作为桥梁，加密设备还可支持接入外部量子设备，包括但不限于量子随机数发生器、量子密钥分发设备等，可有效提高量子安全密钥组件40的安全性能。
[0017]本实施例中，加密设备可部署在主机上，以支持主机提供加密服务，保证数据安全。其中，在不同的应用场景中，主机的类型可能不完全相同，例如，主机可以是云服务器，还可以是用户机房中的主机等，本实施例对加密设备所服务的主机的类型、规格等属性均不做限定。
[0018]本实施例中，处理器20可利用本端的量子安全密钥组件来确定第一会话对应的量子密钥。其中，该量子密钥为本端和对端之间基于各自的量子安全密钥组件进行量子密钥协商而产生的。
[0019]本实施例中，本端和对端之间可采用多种实现方式来进行量子密钥协商。
[0020]在一种实现方式中，可由本端的量子安全密钥组件和对端的量子安全密钥组件直接进行量子密钥协商，而产生第一会话对应的量子密钥。在该实现方式中，本端的量子安全密钥组件和对端的量子安全密钥组件之间预先进行量子密钥协商，以在双方各自产生量子密钥集。为此，本端的量本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种量子安全的数据加密方法，适用于加密设备，所述加密设备中部署有量子安全密钥组件，所述方法包括：响应于数据加密请求，与对端协商针对第一会话的原始密钥；利用本端的量子安全密钥组件确定所述第一会话对应的量子密钥，其中，所述量子密钥为本端和对端之间基于各自的量子安全密钥组件进行量子密钥协商而产生的；将所述第一会话对应的原始密钥和量子密钥进行混合，以获得所述第一会话的会话密钥；使用所述第一会话的会话密钥对所述第一会话期间的数据进行加密。2.根据权利要求1所述的方法，所述利用本端的量子安全密钥组件确定所述第一会话对应的量子密钥，包括：利用本端的量子安全密钥组件，从量子密钥集中为所述第一会话分配量子密钥，以获得所述第一会话对应的量子密钥；其中，所述量子密钥集为本端的量子安全密钥组件和对端的量子安全密钥组件之间预先进行量子密钥协商而产生的。3.根据权利要求2所述的方法，所述量子密钥协商的过程，包括：通过本端的量子安全密钥组件与对端的量子安全密钥组件之间建立的量子密钥的协商通道，与对端交换量子密钥协商所需的协商参数；利用本端的量子安全密钥组件根据其接收到的量子密钥协商所需的协商参数，生成所述量子密钥集。4.根据权利要求2所述的方法，还包括：利用本端的量子安全密钥组件获取所述第一对话对应的量子密钥所关联的密钥标识，其中，所述量子密钥集中的多个量子密钥以密钥标识作为索引；将所述第一会话对应的密钥标识提供给对端，以供对端基于其自身的量子安全密钥组件从其量子密钥集中查找与所述密钥标识对应的量子密钥并将查找到的量子密钥和所述原始密钥进行混合以获得所述第一会话的会话密钥。5.根据权利要求2所述的方法，所述与对端协商针对第一会话的原始密钥，包括：调用本端的原始加密接口为所述第一会话生成协商参数A；通过原始密钥的协商通道，将所述协商参数A提供给对端，以供对端调用自身的原始加密接口根据所述协商参数A产生所述第一会话的原始密钥以及协商参数B；通过所述原始密钥的协商通道，接收对端返回的协商参数B；调用本端的原始加密接口根据所述协商参数B产生所述第一会话的原始密钥。6.根据权利要求2所述的方法，还包括：与对端协商针对第二会话的原始密钥；接收对端发送的第二对话对应的密钥标识；利用本端的量子安全密钥组件，从所述量子密钥集中查找与所述第二会话对应的密钥标识所关联的量子密钥，作为所述第二会话对应的量子密钥；将所述第二会话对应的原始密钥和量子密钥进行混合，以获得所述第二会话的会话密钥；使用所述第二会话的会话密钥对所述第二会话期间的数据进行加密。
7.根据权利要求2所述的方法，所述量子安全密钥组件外接量子随机数发生器，所述方法还包括：利用本端的量子安全密钥组件从所述量子随机数发生器获取量子随机数；根据所述量子随机数，调用指定的量子密钥协商算法进行与对端之间的量子密钥协商，以产生量子密钥集；所述量子密钥集中包含多个量子密钥，所述多个...

【专利技术属性】
技术研发人员：冯凯，
申请(专利权)人：阿里巴巴中国有限公司，
类型：发明
国别省市：