【技术实现步骤摘要】
本申请属于安全应用类产品领域,特别是一种基于量子密钥分发和token授权技术的群组密钥管理方法及系统。
技术介绍
1、随着互联网技术的发展,组播(multicast)通信应用大量涌现,比如:即时通讯、视频会议、流媒体、远程教学和在线游戏等。这些应用通常以“一对多”或“多对多”的方式进行数据的传播,即发送者把数据信息发送给多个接收者。组播通信可以节省大量的网络带宽,减轻发送者的负担和缓解服务器的负载,并能提高系统的性能,但是在安全性方面带来较大的挑战,群组通讯面临的主要安全问题包括:数据收发方实体的身份认证问题,数据传输、存储过程中的机密性、完整性、不可抵赖性问题,访问控制等。群组用户遍布各地,数量众多,随时都有成员退出或者新成员加入,不断地给群组通信安全带来挑战,因此需要一种可靠的安全机制来保障群组安全。
2、现有群组内容加密技术中,通常采用基于密钥交互协议的群组密钥管理方式,该方式是利用公钥加密算法和密钥协商协议,让群组成员之间通过公开信道交换信息,从而生成和更新群组密钥,该种方式缺点是延时长,计算开销大,需要全体成员参与更新,将会带来群组密钥数量庞大以及密钥管理复杂度高的问题,另外基于大因数分解难题的公钥密码算法正面临量子计算的破译风险,因此提出一种基于量子密钥分发技术的组密钥管理方法来保障群组安全。
技术实现思路
1、本专利技术所要解决的技术问题在于如何降低群组加密的密钥管理复杂性并且保护组播通讯中群组内容的数据安全性。
2、本专利技术通过以下技术手段
3、s1:群组成员使用量子安全芯片中的充注密钥进行身份认证,认证通过后业务系统给群组成员发送access_token;
4、s2:群组成员发生变化或者群组密钥过期时,业务系统向量子密码管理服务系统发起群组密钥更新请求;
5、s3:量子密码管理服务系统根据量子随机数生成新的群组密钥,同时通过qkd分发成对的密钥,该密钥作为新群组密钥的认证码;
6、s4:业务系统通知群组成员群组密钥更新,并将新群组密钥的认证码生成授权token,使用access_token加密后发送给群组成员;
7、s5:群组成员使用access_token解密后,使用充注密钥加密授权token,然后向密码管理服务系统请求群组密钥;
8、s6:密码管理服务系统,使用对应的充注密钥解密后得到授权token,先校验群组密钥认证码是否正确,再校验授权token中的用户是否和充注密钥对应的用户一致,校验通过后使用该用户对应的充注密钥加密群组密钥返回给用户;
9、s7:用户使用对应的充注密钥解密后得到群组密钥,正常解密群组中的加密消息。
10、作为其中一个具体的技术方案,步骤s1中对用户身份认证的具体过程为:
11、s11、使用量子密钥充注机将qkd产生的量子密钥安全充注至量子安全芯片和量子密码管理服务系统中;
12、s12、群组成员用户在用户终端设备进行用户注册或者激活账号时,业务系统通过qkd和量子密码管理服务系统进行密钥协商得到临时的用户注册密钥signkey,业务系统使用signkey加密用户唯一标识发送给量子密码管理服务系统,量子密码管理服务系统使用signkey进行解密后保存用户唯一标识和量子安全芯片唯一物理mac的对应关系;
13、s13、量子密码管理服务系统将用户唯一标识通过该量子安全芯片中的序列为i的充注密钥ki对称加密后传输给量子安全芯片,量子安全芯片将用户唯一标识写入自身的安全存储空间。
14、s14、用户终端设备通过量子安全芯片,使用充注密钥将用户唯一标识信息sm3_hmac加密后发送给业务系统进行身份认证,业务系统请求量子密码管理服务系统进行鉴定,鉴定通过后量子密码管理服务系统生成loginkey随鉴定结果一起发送给业务系统;
15、s15、认证成功后业务系统给客户端颁发access_token,量子密码管理服务系统使用保存在平台中该安全芯片对应的序列为i的充注密钥ki解密,比对该安全芯片的唯一标识是否正确,验证通过后给业务系统发送新的loginkey,业务系统使用新的loginkey更新access_token后发送给客户端。
16、更进一步的,所述充注密钥在安全芯片和量子密码服务系统中一一对应。
17、更进一步的,所述业务系统将用户注册的生物特征信息或者账号或者手机号作为所述用户唯一标识。
18、更进一步的,所述access_token的结构为jwt,在jwt的playload中加入at_hash以增强安全性,{"at_hash":"xxx"},at_hash以loginkey为盐,使用sm3算法计算用户唯一标识+业务系统地址+群组编码+过期时间的mac值。
19、更进一步的,所述access_token过期刷新时只需要量子安全芯片序列为j的充注密钥kj加密安全芯片内的唯一标识。
20、作为其中一个具体的技术方案,所述步骤s4中群组授权token的具体过程为:
21、s41、用户携带access_token申请群组密钥授权token,业务系统校验access_token是否过期,是否被篡改,以及用户是否属于指定的群组,如果验证通过,则继续执行下一步,如果验证失败,则拒绝请求并返回错误信息;
22、s42、业务系统验证access_token通过后生成group_token,
23、s43、用户接收到业务系统发放的group_token,校验access_group是否合法,校验通过后使用group_token向量子密码管理服务系统申请群组密钥。
24、更进一步的,所述group_token的结构为jwt,由头部、负载、签名三部分组成,其中payload的主要内容如下:
25、iss:业务系统的标识;
26、sub:用户唯一标识;
27、aud:量子密码管理服务系统的标识;
28、gid:群组的标识;
29、exp:token的过期时间;
30、iat:token的生成时间;
31、sig:业务系统使用私钥对以上字段进行签名的结果;
32、在jwt的playload中自定义私有载荷access_group、quantum_group,其中access_group使用access_token中的at_hash作为盐,使用sm3算法计算iss、sub、aud、gid、exp、iat、sig等信息的mac值;quantum_group使用步骤s3中的群组密钥认证码为盐,使用sm3算法计算iss、sub、aud、gid、exp、iat的mac值。
33、作为其中一个具体的技术方案,所述步骤s5中使用gr本文档来自技高网...
【技术保护点】
1.一种基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:包括如下步骤:
2.如权利要求1所述的基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:步骤S1中对用户身份认证的具体过程为:
3.如权利要求1或2所述的基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:所述充注密钥在安全芯片和量子密码服务系统中一一对应。
4.如权利要求2所述的基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:所述业务系统将用户注册的生物特征信息或者账号或者手机号作为所述用户唯一标识。
5.如权利要求2所述的基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:所述access_token的结构为JWT,在JWT的playload中加入at_hash以增强安全性,{"at_hash":"XXX"},at_hash以loginKey为盐,使用SM3算法计算用户唯一标识+业务系统地址+群组编码+过期时间的MAC值。
6.如权利要求2所述的基于量子密钥分发和token
7.如权利要求2所述的基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:所述步骤S4中群组授权token的具体过程为:
8.如权利要求5或7所述的基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:所述group_token的结构为JWT,由头部、负载、签名三部分组成,其中Payload的主要内容如下:
9.如权利要求5所述的基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:所述步骤S5中使用group_token申请群组密钥的过程为:
10.一种基于量子密钥分发和token授权技术的群组密钥管理系统,其特征在于:基采用权利要求1至9任一项所述的量子密钥分发和token授权技术的群组密钥管理方法,系统包括:
...【技术特征摘要】
1.一种基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:包括如下步骤:
2.如权利要求1所述的基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:步骤s1中对用户身份认证的具体过程为:
3.如权利要求1或2所述的基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:所述充注密钥在安全芯片和量子密码服务系统中一一对应。
4.如权利要求2所述的基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:所述业务系统将用户注册的生物特征信息或者账号或者手机号作为所述用户唯一标识。
5.如权利要求2所述的基于量子密钥分发和token授权技术的群组密钥管理方法,其特征在于:所述access_token的结构为jwt,在jwt的playload中加入at_hash以增强安全性,{"at_hash":"xxx"},at_hash以loginkey为盐,使用sm3算法计算用户唯一标识+业务系统地址+群组编码+过期时间的mac值...
【专利技术属性】
技术研发人员:张志伟,刘驰,
申请(专利权)人:中电信量子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。