保护数据流转安全的方法以及数据管理系统技术方案

本发明专利技术涉及量子通信技术领域，公开了一种保护数据流转安全的方法以及数据管理系统。该方法适用于安全态势感知平台，该平台包括量子中间件、第一对象侧的安全代理和安全态势感知平台侧的密钥引擎，方法包括：获取对第一对象的回传数据利用第一量子衍生密钥加密得到的第一密文；利用的第二量子衍生密钥对第一密文解密得到回传数据，第一、第二量子衍生密钥均是基于量子根密钥进行衍生至少一次派生成的，安全代理和密钥引擎经量子中间件协商获得共享量子根密钥。本发明专利技术针对第一对象的回传数据衍生出量子密钥树，并利用派生成的量子衍生密钥对回传数据进行加密以及相应解密，实现了第一对象之间的数据隔离，有效提升了数据在流转过程中的安全性。过程中的安全性。过程中的安全性。

【技术实现步骤摘要】
保护数据流转安全的方法以及数据管理系统


[0001]本专利技术涉及量子通信
，尤其是涉及一种保护数据流转安全的方法以及数据管理系统。

技术介绍

[0002]量子信息技术近年来取得了令人瞩目的进展，随着国际电信联盟(ITU
‑
T)在2019年开始设立“面向网络的量子信息技术”焦点组
‑
QIT4N，跨领域、多专业的广泛合作成为共识。研究量子计算、量子通信、量子随机数等量子信息技术如何服务于传统网络，特别是对于推动量子密钥分发(Quantum Key Distribution,简称“QKD”)等技术与信息通信技术(Information and Communications Technology，简称“ICT”)领域的融合发展及未来量子信息网络的演进等有着重要意义。
[0003]QKD技术可与物联网、车联网等应用广泛的新兴ICT技术集成，QKD与ICT各个不同层级结合，包括数据链路层、网络层、传输层和应用层，形成泛在量子安全网络应用方案。该泛在量子安全网络以量子密钥服务台为核心，将量子密钥服务扩展至量子专网未覆盖的移动终端，打造“云、管、端”一体化信息安全方案，提供高机动性、高可用性的安全通信方案。
[0004]在QKD与ICT融合业务飞速发展新形势下，灵活的QKD网络与ICT应用/网络互连互通方案不仅为用户提供快速、方便、灵活应用体验，还极大提升了ICT应用的安全性能。
[0005]然而，在对ICT应用的海量数据进行传输的过程中，依然存在经过同一设备或网络的用户数据之间彼此泄密的可能。因此，如何进一步提高数据传输过程中数据的安全性，以及解决数据流转过程中安全责任逻辑和业务/用户隔离是本专利技术要解决的技术问题。

技术实现思路

[0006]本专利技术实施方式的目的在于至少提供一种用户数据的处理方法以及数据管理系统，采用量子衍生密钥树形结构来进行量子密钥的存储与管理，并利用衍生密钥解决数据流转过程中的安全责任逻辑和业务/用户隔离，至少能够提高数据在流转过程中的安全性，较好的解决了数据流转过程中安全责任逻辑和业务/用户隔离的问题。
[0007]为了实现上述目的，本专利技术的至少一个实施方式提供了一种保护数据流转安全的方法，适用于安全态势感知平台，所述安全态势感知平台包括量子中间件、部署在第一对象侧的安全代理和部署在安全态势感知平台侧的密钥引擎，包括：获取第一对象的第一密文，其中，所述第一密文是所述第一对象的回传数据经第一量子衍生密钥加密形成的，所述第一量子衍生密钥是基于量子根密钥衍生至少一次而派生成的；利用第二量子衍生密钥对所述第一密文解密得到所述回传数据，其中，所述第二量子衍生密钥是所述密钥引擎基于所述量子根密钥衍生至少一次而派生成的，所述安全代理和所述密钥引擎经所述量子中间件协商获得共享量子根密钥。
[0008]为了实现上述目的，本专利技术的至少一个实施方式还提供了一种数据管理系统，包括安全态势感知平台，所述安全态势感知平台包括量子中间件、部署在第一对象侧的安全
代理和部署在安全态势感知平台侧的密钥引擎，所述安全代理还与第一量子一体机连接，所述密钥引擎还与第二量子一体机连接，所述第二量子一体机与第一量子一体机通过量子信道和经典信道连接；所述安全态势感知平台用于实现上述的保护数据流转安全的方法。
[0009]在本专利技术的至少一个实施方式中，安全态势感知平台包括量子中间件、部署在第一对象侧的安全代理和部署在安全态势感知平台侧的密钥引擎。对于第一对象的回传数据，基于量子根密钥进行至少一次衍生，并利用派生成的第一量子衍生密钥对其进行加密形成第一密文。安全态势感知平台获取第一密文，并进而利用第二量子衍生密钥对所述第一密文解密得到所述回传数据。其中，所述第二量子衍生密钥是所述密钥引擎基于所述量子根密钥衍生至少一次而派生成的，所述安全代理和所述密钥引擎经所述量子中间件协商获得共享量子根密钥。可见，在本专利技术的实施方式中，针对第一对象的回传数据，能够基于共享的量子根密钥分别进行至少一次衍生，派生得到用于对第一对象的回传数据加密的第一量子衍生密钥以及用于解密的第二量子衍生密钥。由于上述第一量子衍生密钥和第二量子衍生密钥均是针对第一对象的回传数据派生而成的，因此能够使不同第一对象之间的回传数据之间相互隔离。因而解决了数据流转过程中安全责任逻辑和数据隔离的问题，提升了回传数据的安全性。
[0010]在至少一个实施例中，所述安全代理还与第一量子一体机连接，所述密钥引擎还与第二量子一体机连接，所述第二量子一体机与第一量子一体机通过量子信道和经典信道连接，所述安全代理经所述量子中间件与所述密钥引擎通过业务信道连接，所述安全代理和所述密钥引擎经所述量子中间件协商获得共享量子根密钥包括：所述安全代理从所述第一量子一体机顺序或随机获取完整性保护密钥矢量和加密密钥矢量，并对所述完整性保护密钥矢量和所述加密密钥矢量处理形成所述量子根密钥；经所述量子中间件协商使得与所述安全代理连接的第一量子一体机处的量子根密钥经量子信道和经典信道共享至与所述密钥引擎连接的第二量子一体机处。在本实施例中第一量子一体机和第二量子一体机共享量子根密钥，基于此，只有与第二量子一体机连接的密钥引擎能够派生得到用于对第一密文解密的第二量子衍生密钥，因此保证了第一对象的回传数据的安全性。
[0011]在至少一个实施例中，所述利用第二量子衍生密钥对所述第一密文解密得到所述回传数据包括：基于KDF函数对所述量子根密钥、和/或第一对象的标识进行处理形成第七量子衍生密钥，所述第一对象的标识包括以下至少之一：网络标识、用户标识、业务标识、业务层级标识、进程标识、数据流转过程中各节点标识；基于KDF函数对所述第七量子衍生密钥进行处理形成的第八量子衍生密钥，并经trunc函数对所述第八量子衍生密钥进行处理形成第二量子衍生密钥；利用所述量子根密钥依次经第七量子衍生密钥、第八量子衍生密钥衍生历程形成的所述第二量子衍生密钥对所述第一密文解密得到所述回传数据。在本实施例中，经过第七量子衍生密钥、第八量子衍生密钥的衍生历程形成量子秘钥树，并利用最终派生出的第二量子衍生密钥对第一密文解密。能够利用量子密钥树结构来进行量子密钥的存储和管理，不但减少了量子密钥所需占用的存储资源，还解决了数据流转过程中安全责任逻辑和数据隔离的问题。
[0012]在至少一个实施例中，在所述安全代理对所述完整性保护密钥矢量和所述加密密钥矢量处理形成所述量子根密钥的情况下，获取第一对象的第一密文包括：所述安全代理基于所述量子根密钥、所述第一对象的标识衍生至少一次而派生成所述第一量子衍生密
钥；利用所述第一量子衍生密钥对所述回传数据加密，以获取所述第一密文。用于对第一对象的回传数据加密的第一量子衍生密钥是基于第一对象的标识派生得到的，基于此第一对象之间无法进行数据的互相访问，从而实现了数据的逻辑隔离和切片保护，有效提升了数据的安全性。
[0013]在至少一个实施例中，利用所述第一量子衍生密钥对所述回传数据加密包括：所述安全代理利用所述第一量子衍生密钥本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种保护数据流转安全的方法，适用于安全态势感知平台，其特征在于，所述安全态势感知平台包括量子中间件、部署在第一对象侧的安全代理和部署在安全态势感知平台侧的密钥引擎，包括：获取第一对象的第一密文，其中，所述第一密文是所述第一对象的回传数据经第一量子衍生密钥加密形成的，所述第一量子衍生密钥是基于量子根密钥衍生至少一次而派生成的；利用第二量子衍生密钥对所述第一密文解密得到所述回传数据，其中，所述第二量子衍生密钥是所述密钥引擎基于所述量子根密钥衍生至少一次而派生成的，所述安全代理和所述密钥引擎经所述量子中间件协商获得共享量子根密钥。2.根据权利要求1所述的方法，所述安全代理还与第一量子一体机连接，所述密钥引擎还与第二量子一体机连接，所述第二量子一体机与第一量子一体机通过量子信道和经典信道连接，所述安全代理经所述量子中间件与所述密钥引擎通过业务信道连接，其特征在于，所述安全代理和所述密钥引擎经所述量子中间件协商获得共享量子根密钥包括：所述安全代理从所述第一量子一体机顺序或随机获取完整性保护密钥矢量和加密密钥矢量，并对所述完整性保护密钥矢量和所述加密密钥矢量处理形成所述量子根密钥；经所述量子中间件协商使得与所述安全代理连接的第一量子一体机处的量子根密钥经量子信道和经典信道共享至与所述密钥引擎连接的第二量子一体机处。3.根据权利要求1所述的方法，其特征在于，所述利用第二量子衍生密钥对所述第一密文解密得到所述回传数据包括：基于KDF函数对所述量子根密钥和/或第一对象的标识进行处理形成第七量子衍生密钥，所述第一对象的标识包括以下至少之一：网络标识、用户标识、业务标识、业务层级标识、进程标识、数据流转过程中各节点标识；基于KDF函数对所述第七量子衍生密钥进行处理形成的第八量子衍生密钥，并经trunc函数对所述第八量子衍生密钥进行处理形成第二量子衍生密钥；利用所述量子根密钥依次经第七量子衍生密钥、第八量子衍生密钥衍生历程形成的所述第二量子衍生密钥对所述第一密文解密得到所述回传数据。4.根据权利要求2所述的方法，其特征在于，获取第一对象的第一密文包括：所述安全代理基于所述量子根密钥、所述第一对象的标识衍生至少一次而派生成所述第一量子衍生密钥；利用所述第一量子衍生密钥对所述回传数据加密，以获取所述第一密文。5.根据权利要求4所述的方法，其特征在于，利用所述第一量子衍生密钥对所述回传数据加密包括：所述安全代理利用所述第一量子衍生密钥对所述回传数据加密以获取所述第一密文；或者所述安全代理将衍生出的第一量子衍生密钥经业务信道传输给所述密钥引擎，以使所述密钥引擎利用所述第一量子衍生密钥对所述回传数据加密以获取所述第一密文。6.根据权利要求2所述...

【专利技术属性】
技术研发人员：李成东，左崴东，辛华，杨勇，
申请(专利权)人：国科量子通信网络有限公司，
类型：发明
国别省市：