CN113067699B - 基于量子密钥的数据共享方法、装置和计算机设备 - Google Patents
基于量子密钥的数据共享方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN113067699B CN113067699B CN202110239183.2A CN202110239183A CN113067699B CN 113067699 B CN113067699 B CN 113067699B CN 202110239183 A CN202110239183 A CN 202110239183A CN 113067699 B CN113067699 B CN 113067699B
- Authority
- CN
- China
- Prior art keywords
- data
- quantum key
- storage
- key
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种基于量子密钥的数据共享方法、装置、计算机设备和存储介质。所述方法包括:当接收到由终端上传的数据共享请求时,基于认证量子密钥进行身份认证,得到身份认证结果;当身份认证结果为认证通过时,获取目标存储密文数据;目标存储密文数据通过存储量子密钥对数据共享请求所请求的目标数据进行加密得到;通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,得到传输密文数据;将传输密文数据发送至终端,以使终端按照传输量子密钥对传输密文数据进行解密后获得目标数据。采用本方法能够提高数据共享的安全性。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种基于量子密钥的数据共享方法、装置、计算机设备和存储介质。
背景技术
随着计算机技术的发展,各种网络应用使得人们通过数据共享可以获得丰富的数据资源,如获得新闻数据、社交数据、交易数据等各种应用数据。随着数据共享的广泛应用,保障数据共享中数据的安全已经逐渐技术发展的关注焦点。
目前,传统的数据分享过程中,通常以公钥和密钥构成的密钥对对分享数据进行加密,通过加密得到的密文进行分享数据的传输。然而,公钥和密钥构成的密钥对一般长度有限,存在被暴力破解的风险,导致数据共享的安全性较低。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高数据共享的安全性的基于量子密钥的数据共享方法、装置、计算机设备和存储介质。
一种基于量子密钥的数据共享方法,所述方法包括:
当接收到由终端上传的数据共享请求时,基于认证量子密钥进行身份认证,得到身份认证结果;
当身份认证结果为认证通过时,获取目标存储密文数据;目标存储密文数据通过存储量子密钥对数据共享请求所请求的目标数据进行加密得到;
通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,得到传输密文数据;
将传输密文数据发送至终端,以使终端按照传输量子密钥对传输密文数据进行解密后获得目标数据。
在其中一个实施例中,基于认证量子密钥进行身份认证,得到身份认证结果包括:
当数据共享请求的请求类型为双重身份认证类型时,基于数据共享请求对应用户的数字证书进行第一身份认证,得到第一身份认证结果;
当第一身份认证结果为认证通过时,确定认证量子密钥;
通过认证量子密钥对数据共享请求对应用户进行第二身份认证,得到身份认证结果。
在其中一个实施例中,通过认证量子密钥对数据共享请求对应用户进行第二身份认证,得到身份认证结果包括:
通过认证随机数对认证量子密钥进行密钥增强,得到增强量子密钥;
将增强量子密钥发送至终端;增强量子密钥用于控制终端基于增强量子密钥将终端对应用户的身份标识加密为身份密文;
根据增强量子密钥对终端返回的身份密文进行解密,并根据基于解密结果进行身份认证,得到身份认证结果。
在其中一个实施例中,获取目标存储密文数据包括:
确定数据共享请求所请求的目标数据的数据标识;
根据数据标识,从存储密文数据中获取目标数据对应的目标存储密文数据;
其中,存储密文数据通过存储量子密钥对目标数据所属的存储数据进行加密得到。
在其中一个实施例中,在获取目标存储密文数据之前,还包括:
当满足数据加密条件时,从存储数据中确定敏感数据和非敏感数据;
通过存储量子密钥对敏感数据进行加密,得到敏感密文数据;
根据敏感密文数据和非敏感数据,得到存储数据对应的存储密文数据。
在其中一个实施例中,通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,得到传输密文数据包括:
通过存储量子密钥对目标存储密文数据进行解密,获得目标数据;
获取终端对应的传输量子密钥;
通过传输量子密钥对目标数据进行加密,得到传输密文数据。
在其中一个实施例中,所述方法还包括:
当触发密钥更新时,获取认证更新密钥、存储更新密钥和传输更新密钥;
基于认证更新密钥更新认证量子密钥,基于存储更新密钥更新存储量子密钥;
将传输更新密钥发送至终端,以使终端基于传输更新密钥更新传输量子密钥。
一种基于量子密钥的数据共享装置,所述装置包括:
身份认证模块,用于当接收到由终端上传的数据共享请求时,基于认证量子密钥进行身份认证,得到身份认证结果;
目标密文数据获取模块,用于当身份认证结果为认证通过时,获取目标存储密文数据;目标存储密文数据通过存储量子密钥对数据共享请求所请求的目标数据进行加密得到;
密文转换模块,用于通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,得到传输密文数据;
密文数据传输模块,用于将传输密文数据发送至终端,以使终端按照传输量子密钥对传输密文数据进行解密后获得目标数据。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
当接收到由终端上传的数据共享请求时,基于认证量子密钥进行身份认证,得到身份认证结果;
当身份认证结果为认证通过时,获取目标存储密文数据;目标存储密文数据通过存储量子密钥对数据共享请求所请求的目标数据进行加密得到;
通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,得到传输密文数据;
将传输密文数据发送至终端,以使终端按照传输量子密钥对传输密文数据进行解密后获得目标数据。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
当接收到由终端上传的数据共享请求时,基于认证量子密钥进行身份认证,得到身份认证结果;
当身份认证结果为认证通过时,获取目标存储密文数据;目标存储密文数据通过存储量子密钥对数据共享请求所请求的目标数据进行加密得到;
通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,得到传输密文数据;
将传输密文数据发送至终端,以使终端按照传输量子密钥对传输密文数据进行解密后获得目标数据。
上述基于量子密钥的数据共享方法、装置、计算机设备和存储介质,在接收到终端上传的数据共享请求时,基于认证量子密钥进行身份认证,在身份认证通过时,获取通过存储量子密钥对目标数据进行加密得到的目标存储密文数据,通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,并将获得的传输密文数据发送至终端,以由终端按照传输量子密钥对传输密文数据进行解密后获得目标数据。在数据共享过程中,通过认证量子密钥进行身份认证,目标存储密文数据通过存储量子密钥进行加密得到,传输过程中的传输密文数据通过传输量子密钥加密得到,充分利用了量子密钥的随机性,降低了数据被暴力破解的风险,提高了数据共享的安全性。
附图说明
图1为一个实施例中基于量子密钥的数据共享方法的应用环境图;
图2为一个实施例中基于量子密钥的数据共享方法的流程示意图;
图3为一个实施例中加密存储数据的流程示意图;
图4为另一个实施例中基于量子密钥的数据共享方法的应用环境图;
图5为一个实施例中基于量子密钥的数据共享装置的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的基于量子密钥的数据共享方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。终端102向服务器104发送数据共享请求,服务器104在接收到终端102上传的数据共享请求时,基于认证量子密钥进行身份认证,在身份认证通过时,获取通过存储量子密钥对目标数据进行加密得到的目标存储密文数据,通过终端102对应的传输量子密钥对目标存储密文数据进行密文转换,并将获得的传输密文数据发送至终端102,以由终端102按照传输量子密钥对传输密文数据进行解密后获得目标数据。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种基于量子密钥的数据共享方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
步骤202,当接收到由终端上传的数据共享请求时,基于认证量子密钥进行身份认证,得到身份认证结果。
其中,量子密钥利用量子力学的特性来实施加密任务。传统的公开密钥加密,一般称为有条件的安全,而量子密钥加密可以做到无条件的安全。量子密钥之所以可靠,主要是由量子力学的基本特性决定的,最重要的是海森堡测不准原理,即量子力学中对任意一个未知的量子态进行完全相同的复制的过程是不可实现的,因为复制的前提是测量,而测量一般会改变该量子的状态。数据共享请求由终端上传,用于向服务器请求共享数据,如从服务器请求获取交易数据。认证量子密钥为基于量子密码技术获得的用于身份认证的密钥,密钥是将明文数据转换成密文或将密文转换成明文数据的过程中利用的参数。一般地,对于随机密钥,其安全性来源于随机数,然而,在理论上,传统的随机数发生器或依靠计算机模拟产生的伪随机数,又或者从某些经典物理噪声(如热噪声,电噪声等)中提取随机数,经典物理过程在考虑到所有变量的情况下是可以被模拟的,唯有某些量子物理过程所产生的随机性是完全真随机的,比如量子态的坍缩过程。量子密钥使用的随机数发生器即基于量子物理过程产生,其随机数随机性更高。量子密钥使用的量子随机数的随机性来源更加清晰,并可采用物理熵理论严格证明其随机性,具有更高的安全性。
具体地,服务器接收到终端上传的数据共享请求时,表明终端需要从服务器获取分享数据,则服务器响应该数据共享请求,基于认证量子密钥对终端对应用户进行身份认证,以确定终端对应用户的身份,得到身份认证结果。在具体实现时,服务器可以直接基于认证量子密钥对终端对应用户进行身份认证,也可以对认证量子密钥进行密钥增强,如通过随机数与认证量子密钥进行密钥增强处理,利用增强后的认证量子密钥进行身份认证,从而进一步提高身份认证的安全性。
步骤204,当身份认证结果为认证通过时,获取目标存储密文数据;目标存储密文数据通过存储量子密钥对数据共享请求所请求的目标数据进行加密得到。
其中,目标存储密文数据通过存储量子密钥对数据共享请求所请求的目标数据进行加密得到,目标数据为数据共享请求所请求的数据,如可以为电子档案数据、某一用户的交易数据或社交数据等。存储量子密钥为基于量子密码技术获得的用于对存储的数据进行加密保存的密钥。目标存储密文数据由服务器预先通过存储量子密钥对目标数据进行加密处理得到。
具体地,服务器基于认证量子密钥进行身份认证后,在得到的身份认证结果为认证通过时,表明终端对应用户的身份确认成功,服务器获取目标存储密文数据,目标存储密文数据为数据共享请求所请求的目标数据,通过存储量子密钥进行加密处理后得到。在具体实现时,服务器可以预先对存储的所有数据通过存储量子密钥进行加密,得到加密后的数据,在获取目标存储密文数据时,可以从数据共享请求中提取终端需要分享的目标数据的数据标识,数据标识用于区别各数据,不同的数据类型可以对应于不同的数据标识。例如,对于档案数据,数据标识可以为档案的名称、ID等;对于交易数据,数据标识可以为交易对应的订单编码。服务器可以根据目标数据的数据标识从加密后的数据中,获取得到目标数据对应的目标存储密文数据。
步骤206,通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,得到传输密文数据。
其中,传输量子密钥为基于量子密码技术获得的用于对数据传输过程进行加密的密钥。密文转换指将目标存储密文数据的加密密钥进行转换,具体将目标存储密文数据的加密密钥从存储量子密钥转换成传输量子密钥。传输密文数据为通过传输量子密钥对目标存储密文数据进行密文转换后得到的密文转换结果,即传输密文数据为目标数据通过传输量子密钥进行加密得到。
具体地,服务器获得数据共享请求所请求的目标数据对应的目标存储密文数据后,获取终端对应的传输量子密钥,传输量子密钥由终端发送至服务器。在具体应用中,在终端上传的数据共享请求中可以携带有终端对应的传输量子密钥,则服务器在获取目标存储密文数据后,可以从数据共享请求中提取得到传输量子密钥。此外,服务器也可以在身份认证结果为认证通过时,向终端发送身份认证结果,以指示终端上传对应的传输量子密钥。服务器还可以在确认存在数据共享请求所请求的目标数据对应的目标存储密文数据后,向终端发送身份认证结果,以指示终端上传对应的传输量子密钥,例如,服务器可以在获得数据共享请求所请求的目标数据对应的目标存储密文数据后,向终端发送身份认证结果,以指示终端上传对应的传输量子密钥。服务器基于终端对应的传输量子密钥对获得的目标存储密文数据进行密文转换,将目标存储密文数据的加密密文从存储量子密钥转换为传输量子密钥,得到传输密文数据。传输密文数据为通过传输量子密钥对数据共享请求所请求的目标数据进行加密得到。
步骤208,将传输密文数据发送至终端,以使终端按照传输量子密钥对传输密文数据进行解密后获得目标数据。
具体地,服务器获得传输密文数据后,将传输密文数据发送至终端,终端接收到传输密文数据后,按照传输量子密钥对传输密文数据进行解密,从而从传输密文数据中解密还原得到目标数据,实现对目标数据的分享处理。
上述基于量子密钥的数据共享方法中,在接收到终端上传的数据共享请求时,基于认证量子密钥进行身份认证,在身份认证通过时,获取通过存储量子密钥对目标数据进行加密得到的目标存储密文数据,通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,并将获得的传输密文数据发送至终端,以由终端按照传输量子密钥对传输密文数据进行解密后获得目标数据。在数据共享过程中,通过认证量子密钥进行身份认证,目标存储密文数据通过存储量子密钥进行加密得到,传输过程中的传输密文数据通过传输量子密钥加密得到,充分利用了量子密钥的随机性,降低了数据被暴力破解的风险,提高了数据共享的安全性。
在一个实施例中,基于认证量子密钥进行身份认证,得到身份认证结果包括:当数据共享请求的请求类型为双重身份认证类型时,基于数据共享请求对应用户的数字证书进行第一身份认证,得到第一身份认证结果;当第一身份认证结果为认证通过时,确定认证量子密钥;通过认证量子密钥对数据共享请求对应用户进行第二身份认证,得到身份认证结果。
其中,数据共享请求的请求类型可以根据数据共享请求所请求的目标数据确定,不同的目标数据对应于不同的请求类型,具体可以包括双重身份认证类型、数字证书认证类型和量子密钥认证类型。在具体应用时,不同的数据对应于不同的保密等级,当终端请求的目标数据为密级高的数据时,可以确定数据共享请求的请求类型为双重身份认证类型,从而通过数字证书认证和量子密钥认证两种认证方式进行双重身份认证,能够确保高密级数据的安全性需求。对于目标数据为保密密级较低的数据,可以确定数据共享请求的请求类型为数字证书认证类型或量子密钥认证类型,从而在确保数据安全性需要的前提下,提高身份认证的处理效率。数据的保密等级可以根据实际需要进行灵活设置,在不同应用场景中的不同数据,可以对应于不同的保密等级。
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,利用数字证书可以识别通信对方的身份。数字证书从本质上来说是一种电子文档,是由电子商务认证中心(CA中心,Certificate Authority,)所颁发的一种较为权威与公正的证书,对电子商务活动有重要影响,例如,在各种电子商务平台进行购物消费时,必须要在电脑上安装数字证书来确保资金的安全性。CA中心采用的是以数字加密技术为核心的数字证书认证技术,通过数字证书,CA中心可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理,同时也能保障在数字传输的过程中不被不法分子所侵入,或者即使受到侵入也无法查看其中的内容。
具体地,服务器接收到终端上传的数据共享请求时,服务器确定数据共享请求对应的请求类型,具体可以由服务器确定数据共享请求所请求的目标数据的数据类型,根据目标数据的数据类型确定数据共享请求的请求类型,在数据共享请求的请求类型为双重身份认证类型时,表明需要对终端对应用户进行双重身份认证,则服务器基于数据共享请求对应用户的数字证书进行第一身份认证,获得第一身份认证结果。在第一身份认证结果为认证通过,即表明终端对应用户通过数字证书认证,服务器获取认证量子密钥,认证量子密钥基于量子密码技术生成。服务器通过得到的认证量子密钥对数据共享请求对应用户进行第二身份认证,从而实现对终端对应用户的双重身份认证,得到身份认证结果,确保了身份认证的安全性。在具体实现时,可以基于消息认证码(Message Authentication Code,MAC)技术,利用认证量子密钥对终端对应用户进行身份认证。其中,消息认证码是一种确认完整性并进行认证的技术,消息认证码可以确认自己收到的消息是否就是发送者的本意,也就是说,使用消息认证码可以判断消息是否被篡改,以及是否有人伪装成发送者发送该消息。消息认证码的输入包括任意长度的消息和一个发送者和接收者之间共享的密钥,它可以输出固定长度的数据,这个数据称为MAC值。要计算MAC值必须持有共享密钥,没有共享密钥无法计算MAC值,消息认证码正是利用这一性质完成认证。
本实施例中,在数据共享请求的请求类型为双重身份认证类型时,对数据共享请求对应用户,分别利用数字证书和量子密钥进行双重身份认证,得到身份认证结果,实现了对身份认证的异构增强,在数字证书认证存在安全性风险时,可以通过量子密钥实现二次安全防御,提高了身份认证的安全性。
在一个实施例中,通过认证量子密钥对数据共享请求对应用户进行第二身份认证,得到身份认证结果包括:通过认证随机数对认证量子密钥进行密钥增强,得到增强量子密钥;将增强量子密钥发送至终端;增强量子密钥用于控制终端基于增强量子密钥将终端对应用户的身份标识加密为身份密文;根据增强量子密钥对终端返回的身份密文进行解密,并根据基于解密结果进行身份认证,得到身份认证结果。
其中,认证随机数为用于对认证量子密钥进行增强处理的随机数,具体可以由随机数发生器生成得到。增强量子密钥为通过认证随机数对认证量子密钥进行密钥增强后得到的密钥。身份标识为表征用户身份的标识信息,如可以为用户账号、ID、身份证号等,在用户与终端对应绑定时,身份标识也可以为终端的标识信息,如终端的MAC地址(MediaAccess Control Address,媒体存取控制位址)。身份密文为利用增强量子密钥对终端对应用户的身份标识进行加密后得到的密文数据。
具体地,在服务器利用认证量子密钥对终端对应的用户进行第二身份认证时,服务器可以获取随机数发生器产生的认证随机数对认证量子密钥进行密钥增强,如可以将认证随机数与认证量子密钥进行异或处理,得到增强量子密钥。服务器将增强量子密钥发送至终端,终端接收到增强量子密钥后,利用增强量子密钥对终端对应用户的身份标识进行加密处理,得到身份密文,并将身份密文上传至服务器。服务器接收终端上传的身份密文,并通过增强量子密钥对身份密文进行解密处理,得到解密结果。服务器基于解密结果进行身份认证,如对身份标识进行验证,得到身份认证结果。
本实施例中,通过认证随机数对认证量子密钥进行密钥增强,并使终端基于增强量子密钥对终端对应用户的身份标识进行加密得到身份密文,服务器根据增强量子密钥对终端上传的身份密文进行解密,基于解密结果进行身份认证,实现了基于量子密钥的身份认证,确保了身份认证的安全性。
在一个实施例中,获取目标存储密文数据包括:确定数据共享请求所请求的目标数据的数据标识;根据数据标识,从存储密文数据中获取目标数据对应的目标存储密文数据;其中,存储密文数据通过存储量子密钥对目标数据所属的存储数据进行加密得到。
其中,数据标识用于区别各数据,不同的数据类型可以对应于不同的数据标识。例如,对于档案数据,数据标识可以为档案的名称、ID等;对于交易数据,数据标识可以为交易对应的订单编码。存储数据为服务器存储的所有数据,终端请求分享的目标数据属于存储数据,即目标数据为终端从存储数据中选取的数据。存储密文数据为利用存储量子密钥对存储数据进行加密处理得到。
具体地,服务器在得到身份认证结果后,若身份认证结果为认证通过,表明用户身份无异常,则服务器确定数据共享请求所请求的目标数据的数据标识。具体实现时,可以由服务器直接从数据共享请求中提取得到目标数据的数据标识。服务器查询目标数据对应所属的存储数据经过存储量子密钥加密后的存储密文数据,并基于得到的数据标识,从存储密文数据中,获取目标数据对应的目标存储密文数据。目标存储密文数据为目标数据基于存储量子密钥加密得到。在具体应用中,服务器可以获取存储密文数据,基于目标数据的数据标识,在存储密文数据进行标识匹配,从而从存储密文数据中获得匹配一致的目标存储密文数据。
本实施例中,服务器预先对存储数据进行加密得到存储密文数据,再通过目标数据的数据标识从存储密文数据中,获取目标数据对应的目标存储密文数据,利用量子密钥对存储数据加密,确保了数据在存储时的安全性。
在一个实施例中,如图3所示,在获取目标存储密文数据之前,还包括加密存储数据的步骤,具体包括:
步骤302,当满足数据加密条件时,从存储数据中确定敏感数据和非敏感数据。
其中,数据加密条件用于触发对服务器存储的数据进行加密,数据加密条件可以根据实际需要进行设置。例如,数据加密条件可以根据数据的类型进行确定,如可以根据数据的密级进行划分,对于密级高的数据可以触发进行加密。数据加密条件也可以为接收到加密触发指令,如接收到终端发送的加密触发指令时,服务器对存储的数据进行加密。数据加密条件可以在存储的数据发生更新时,或者达到数据更新时间周期,又或者更新数据的数目达到预设数目阈值时,认为满足数据加密条件,触发对存储的数据进行加密处理。存储数据为服务器存储的各种分享数据,终端可以从存储数据中请求需要的目标数据实现分享。敏感数据指是指泄漏后可能会给社会或个人带来严重危害的数据,具体可以包括但不限于包括个人隐私数据,如姓名、身份证号码、住址、电话、银行账号、邮箱、密码、医疗信息、教育背景等;还可以包括企业或社会机构不适合公布的数据,如企业的经营情况,企业的网络结构、IP(Internet Protocol,网际互连协议)地址列表等。非敏感数据则为可以正常公开的数据,如企业报表数据、官方机构的公告数据等。存储量子密钥为基于量子密码技术获得的用于对数据存储时进行加密的密钥。
具体地,在获取目标存储密文数据之前,服务器预先对存储的各种分享数据基于量子密码技术进行加密。具体应用时,服务器监测是否满足数据加密条件,在满足数据加密条件时,如检测到数据更新时,或者达到数据加密周期时,服务器从存储数据中确定敏感数据和非敏感数据,具体可以根据存储数据的数据类型,确定存储数据为敏感数据或非敏感数据。
步骤304,通过存储量子密钥对敏感数据进行加密,得到敏感密文数据。
其中,敏感密文数据基于存储量子密钥对敏感数据进行加密处理后得到。具体地,服务器确定存储数据中的敏感数据后,通过存储量子密钥对敏感数据进行加密,得到敏感密文数据。
步骤306,根据敏感密文数据和非敏感数据,得到存储数据对应的存储密文数据。
服务器通过存储量子密钥对敏感数据进行加密,得到敏感密文数据后,服务器根据敏感密文数据和非敏感数据,得到存储数据对应的存储密文数据。具体应用时,服务器可以直接将敏感密文数据和非敏感数据进行组合,得到存储数据对应的存储密文数据。
本实施例中,在满足数据加密条件时,通过存储量子密钥对存储数据中的敏感数据进行加密,并根据加密后获得的敏感密文数据和存储数据中的非敏感数据得到存储数据对应的存储密文数据,从而在服务器对数据进行存储时,通过量子密钥进行加密,确保了数据存储时的安全性。
在一个实施例中,通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,得到传输密文数据包括:通过存储量子密钥对目标存储密文数据进行解密,获得目标数据;获取终端对应的传输量子密钥;通过传输量子密钥对目标数据进行加密,得到传输密文数据。
本实施例中,对目标存储密文数据进行密文转换,使得目标存储密文数据从通过传输量子密钥加密转换为通过终端对应的传输量子密钥进行加密。具体地,在对目标存储密文数据进行密文转换时,服务器获取基于量子密码技术获得的存储量子密钥,通过存储量子密钥对目标存储密文数据进行解密,从而将加密的目标存储密文数据进行解密还原,得到目标数据。服务器获取终端对应的传输量子密钥,具体可以由服务器向终端发送传输密钥指令,以指示终端上传传输量子密钥,此外,在数据共享请求中包括传输量子密钥时,也可以由服务器直接从传输量子密钥中提取得到传输量子密钥。服务器通过传输量子密钥对目标数据进行加密处理,得到传输密文数据,从而实现对目标存储密文数据的密文转换,将目标数据从通过存储量子密钥加密转换为通过传输量子密钥加密。
本实施例中,通过存储量子密钥对目标存储密文数据进行解密,获得目标数据后,通过终端对应的传输量子密钥对目标数据进行加密,得到传输密文数据,从而实现将目标数据从通过存储量子密钥加密转换为通过传输量子密钥加密,确保了目标数据在传输过程中的安全性。
在一个实施例中,基于量子密钥的数据共享方法还包括:当触发密钥更新时,获取认证更新密钥、存储更新密钥和传输更新密钥;基于认证更新密钥更新认证量子密钥,基于存储更新密钥更新存储量子密钥;将传输更新密钥发送至终端,以使终端基于传输更新密钥更新传输量子密钥。
其中,认证更新密钥为认证量子密钥对应的更新密钥,存储更新密钥为存储量子密钥对应的更新密钥,传输更新密钥为传输量子密钥对应的更新密钥。认证更新密钥、存储更新密钥和传输更新密钥可以基于量子随机数发生器产生的量子随机数得到。
具体地,在触发密钥更新时,如数据发生更新时,或者达到密钥更新周期时,触发密钥更新,以对各种量子密钥进行更新。服务器获取认证更新密钥、存储更新密钥和传输更新密钥,认证更新密钥、存储更新密钥和传输更新密钥基于量子随机数发生器产生的量子随机数得到。服务器基于认证更新密钥更新认证量子密钥,基于存储更新密钥更新存储量子密钥,从而实现对认证量子密钥和存储量子密钥的更新。另一方面,服务器将传输更新密钥发送至终端,终端接收到传输更新密钥后,基于传输更新密钥更新传输量子密钥,从而实现对传输量子密钥的更新。
本实施例中,在满足密钥更新条件,触发密钥更新时,对认证量子密钥、存储量子密钥和传输量子密钥进行更新,从而将数据分享中的各种量子密钥进行更新,可以进一步确保数据分享的安全性。
在一个实施例中,本申请还提供一种档案数据分享的应用场景,该应用场景应用上述的基于量子密钥的数据共享方法。具体地,该基于量子密钥的数据共享方法在该应用场景的应用如下:
随着计算机网络技术在档案馆(室)中的普遍应用,数字档案(电子文档)已经成为政府部门信息传输、存储和利用的主要方式和重要载体,使得档案信息的利用效率得到了很大程度的提升,对档案管理的现代化建设起到了极大的促进作用。目前大多档案数据因为安全原因,进行数据共享主要有两种方式,一是采用人工方式,将档案数据进行介质转移,二是采用档案管理系统,实现档案数据区域共享。
其中,采用人工介质转移方式,虽然保障了安全,但档案数据庞大、繁多,人工操作效率低下,无法满足信息化时代政务便民的要求,降低了档案馆对公民的服务能力。而采用档案管理系统,实现了档案数据的在线转移、共享,电子文件归档接收、长久保存系统、档案查询等业务。但在查询业务当中,系统存在身份认证和数据存储和传送方面的安全问题。
至于在身份认证方面,一般地,乡镇查询点管理员可以通过账号和密码的方式登录系统,而这类方式的身份认证有一定局限性。一方面密码(口令)长度不长,太长的口令不易记忆,同时质量不高(随机性不强),经常会使用个人重要信息作为口令,安全强度不够,易受暴力破解的威胁;另一方面,口令一般采用英文字母和数字一起组成口令,比如八位口令,那么一共有628种组合,大约218万亿种,实际上只不过相当于一个长度为48比特的密钥而已,即这个长度的密钥是可以通过暴力破解的,存在一定的安全隐患。
而在数据存储和传输方面,目前档案管理数据中可能存在部分敏感数据,不适合直接明文对外提供查询服务;同时在查询后,数据将以明文形式下载到管理终端上,这样的方式完全依赖于网络本身的安全性。虽然专网采用的隧道机制可以在一定程度上保证信息传送的安全性,但所有的安全措施只是提高了安全防卫的门槛,使得攻击者实施攻击的难度大大增加,却并不能完全排除攻击者通过路由伪造、IP源地址欺骗、伪造和重放标记包等攻击手段,窃取数据,存在一定的安全隐患。
而本实施例提供的基于量子密钥的数据共享方法,如图4所示,档案管理服务器和终端可以进行通信,档案管理服务器可以为终端提供区域档案数据共享服务;档案管理服务器包括相互连接的服务器底层模块和服务器密钥管理模块,终端包括依次连接的终端密钥管理模块、终端底层模块和Ukey模块。其中,服务器密钥管理模块和终端密钥管理模块可以进行通信,以为Ukey中量子密钥实现密钥更新;服务器底层模块为服务器提供底层功能,如提供服务器安全套件底层库,服务器密钥管理模块的功能实现依赖于服务器底层模块;终端底层模块为终端密钥管理模块提供底层功能,如提供终端安全套件底层库,终端密钥管理模块的功能实现依赖于终端底层模块。
进一步地,还包括密码机模块和量子密钥服务平台,密码机模块分别与服务器底层模块和量子密钥服务平台通信;量子密钥服务平台分别与服务器密钥管理模块和密码机模块通信。其中,密码机模块可以为档案管理服务器提供密码服务,以实现服务器对存储的档案数据的加密。量子密钥服务平台包括支持密码设备证书签发服务、密码设备在线管理服务、量子密钥生产、量子密钥管理等功能服务。量子密钥服务平台连接密码机模块,以为密码机模块提供密码设备管理和量子密钥更新;量子密钥服务平台还连接密钥管理服务端代理,提供量子密钥分发服务;量子密钥服务平台还连接量子密钥管理工具集,提供量子密钥管理、设备管理初始化等;量子密钥服务平台还连接量子密钥注入机服务,提供Ukey量子密钥离线更新;量子密钥服务平台还连接量子随机数发生器,获取量子随机数。
具体地,在进行档案数据分享时,档案管理服务器通过服务器底层模块,定期调用密码机模块,将管理的档案数据进行加密存储。终端发起档案数据共享请求至档案管理服务器,首先进行身份认证,向档案管理服务器发送终端签名证书。档案管理服务器通过证书验签、量子增强身份校验成功后,对加密过的档案数据,使用终端的量子密钥,采用对称加密算法进行密文转换,并将密文数据发送至终端,终端调用终端底层模块对数据进行解密,以供用户查看。
进一步地,服务器密钥管理模块根据设置的密钥更新策略,定期请求量子密钥服务平台,生产新的量子密钥,并将量子密钥发送至服务器密钥管理模块,由服务器密钥管理模块调用服务器底层模块,实现Ukey中量子密钥的更新。
现有公私钥体系的签名/验签过程常常用来进行身份认证,本实施例采用基于量子密钥的档案信息系统身份认证技术,基于量子密钥的认证增强技术,则在现有PKI(Public Key Infrastructure,公钥基础设施)认证体系基础上,基于量子密钥,通过消息认证码技术,再次进行身份认证,从而实现对身份认证的异构增强。如果PKI体系不安全,量子认证增强方案具有二次安全防御作用。进一步地,本实施例中基于量子密钥的电子档案加密存储技术,量子随机数作为原系统密钥的一个增强因子(如最简单的增强方式就是与原有密钥进行异或),实现密钥强度的增强,从而提高加密强度。采用量子密钥和国密算法结合的方式,对服务端存储的敏感档案数据进行加密处理后以密文的方式存储,保证数据存储安全;同时,敏感数据由于已进行加密处理,可直接在线提供网络查询服务,提高档案查询效率,满足用户便捷查询要求。此外,本实施例中涉及的加密算法、设备遵循相关密码标准,可以实现自主可控,从算法和设备层面保障数据的安全,降低算法破解风险,杜绝设备后门隐患,确保了档案数据分享的安全性。
应该理解的是,虽然图2-3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-3中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,提供了一种基于量子密钥的数据共享装置500,包括:身份认证模块502、目标密文数据获取模块504、密文转换模块506和密文数据传输模块508,其中:
身份认证模块502,用于当接收到由终端上传的数据共享请求时,基于认证量子密钥进行身份认证,得到身份认证结果;
目标密文数据获取模块504,用于当身份认证结果为认证通过时,获取目标存储密文数据;目标存储密文数据通过存储量子密钥对数据共享请求所请求的目标数据进行加密得到;
密文转换模块506,用于通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,得到传输密文数据;
密文数据传输模块508,用于将传输密文数据发送至终端,以使终端按照传输量子密钥对传输密文数据进行解密后获得目标数据。
在一个实施例中,身份认证模块502包括第一身份认证模块、认证密钥确定模块和第二身份认证模块;其中:第一身份认证模块,用于当数据共享请求的请求类型为双重身份认证类型时,基于数据共享请求对应用户的数字证书进行第一身份认证,得到第一身份认证结果;认证密钥确定模块,用于当第一身份认证结果为认证通过时,确定认证量子密钥;第二身份认证模块,用于通过认证量子密钥对数据共享请求对应用户进行第二身份认证,得到身份认证结果。
在一个实施例中,第二身份认证模块包括密钥增强模块、增强密钥发送模块和身份密文解密模块;其中:密钥增强模块,用于通过认证随机数对认证量子密钥进行密钥增强,得到增强量子密钥;增强密钥发送模块,用于将增强量子密钥发送至终端;增强量子密钥用于控制终端基于增强量子密钥将终端对应用户的身份标识加密为身份密文;身份密文解密模块,用于根据增强量子密钥对终端返回的身份密文进行解密,并根据基于解密结果进行身份认证,得到身份认证结果。
在一个实施例中,目标密文数据获取模块504包括数据标识确定模块和数据标识查询模块;其中:数据标识确定模块,用于确定数据共享请求所请求的目标数据的数据标识;数据标识查询模块,用于根据数据标识,从存储密文数据中获取目标数据对应的目标存储密文数据;其中,存储密文数据通过存储量子密钥对目标数据所属的存储数据进行加密得到。
在一个实施例中,还包括加密触发模块、敏感数据加密模块和存储密文数据模块;其中:加密触发模块,用于当满足数据加密条件时,从存储数据中确定敏感数据和非敏感数据;敏感数据加密模块,用于通过存储量子密钥对敏感数据进行加密,得到敏感密文数据;存储密文数据模块,用于根据敏感密文数据和非敏感数据,得到存储数据对应的存储密文数据。
在一个实施例中,密文转换模块506包括密文解密模块、传输密钥确定模块和传输加密模块;其中:密文解密模块,用于通过存储量子密钥对目标存储密文数据进行解密,获得目标数据;传输密钥确定模块,用于获取终端对应的传输量子密钥;传输加密模块,用于通过传输量子密钥对目标数据进行加密,得到传输密文数据。
在一个实施例中,还包括更新密钥获取模块、服务器密钥更新模块和终端密钥更新模块;其中:更新密钥获取模块,用于当触发密钥更新时,获取认证更新密钥、存储更新密钥和传输更新密钥;服务器密钥更新模块,用于基于认证更新密钥更新认证量子密钥,基于存储更新密钥更新存储量子密钥;终端密钥更新模块,用于将传输更新密钥发送至终端,以使终端基于传输更新密钥更新传输量子密钥。
关于基于量子密钥的数据共享装置的具体限定可以参见上文中对于基于量子密钥的数据共享方法的限定,在此不再赘述。上述基于量子密钥的数据共享装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储各种量子密钥数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于量子密钥的数据共享方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
当接收到由终端上传的数据共享请求时,基于认证量子密钥进行身份认证,得到身份认证结果;
当身份认证结果为认证通过时,获取目标存储密文数据;目标存储密文数据通过存储量子密钥对数据共享请求所请求的目标数据进行加密得到;
通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,得到传输密文数据;
将传输密文数据发送至终端,以使终端按照传输量子密钥对传输密文数据进行解密后获得目标数据。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当数据共享请求的请求类型为双重身份认证类型时,基于数据共享请求对应用户的数字证书进行第一身份认证,得到第一身份认证结果;当第一身份认证结果为认证通过时,确定认证量子密钥;通过认证量子密钥对数据共享请求对应用户进行第二身份认证,得到身份认证结果。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:通过认证随机数对认证量子密钥进行密钥增强,得到增强量子密钥;将增强量子密钥发送至终端;增强量子密钥用于控制终端基于增强量子密钥将终端对应用户的身份标识加密为身份密文;根据增强量子密钥对终端返回的身份密文进行解密,并根据基于解密结果进行身份认证,得到身份认证结果。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:确定数据共享请求所请求的目标数据的数据标识;根据数据标识,从存储密文数据中获取目标数据对应的目标存储密文数据;其中,存储密文数据通过存储量子密钥对目标数据所属的存储数据进行加密得到。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当满足数据加密条件时,从存储数据中确定敏感数据和非敏感数据;通过存储量子密钥对敏感数据进行加密,得到敏感密文数据;根据敏感密文数据和非敏感数据,得到存储数据对应的存储密文数据。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:通过存储量子密钥对目标存储密文数据进行解密,获得目标数据;获取终端对应的传输量子密钥;通过传输量子密钥对目标数据进行加密,得到传输密文数据。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当触发密钥更新时,获取认证更新密钥、存储更新密钥和传输更新密钥;基于认证更新密钥更新认证量子密钥,基于存储更新密钥更新存储量子密钥;将传输更新密钥发送至终端,以使终端基于传输更新密钥更新传输量子密钥。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
当接收到由终端上传的数据共享请求时,基于认证量子密钥进行身份认证,得到身份认证结果;
当身份认证结果为认证通过时,获取目标存储密文数据;目标存储密文数据通过存储量子密钥对数据共享请求所请求的目标数据进行加密得到;
通过终端对应的传输量子密钥对目标存储密文数据进行密文转换,得到传输密文数据;
将传输密文数据发送至终端,以使终端按照传输量子密钥对传输密文数据进行解密后获得目标数据。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当数据共享请求的请求类型为双重身份认证类型时,基于数据共享请求对应用户的数字证书进行第一身份认证,得到第一身份认证结果;当第一身份认证结果为认证通过时,确定认证量子密钥;通过认证量子密钥对数据共享请求对应用户进行第二身份认证,得到身份认证结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:通过认证随机数对认证量子密钥进行密钥增强,得到增强量子密钥;将增强量子密钥发送至终端;增强量子密钥用于控制终端基于增强量子密钥将终端对应用户的身份标识加密为身份密文;根据增强量子密钥对终端返回的身份密文进行解密,并根据基于解密结果进行身份认证,得到身份认证结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:确定数据共享请求所请求的目标数据的数据标识;根据数据标识,从存储密文数据中获取目标数据对应的目标存储密文数据;其中,存储密文数据通过存储量子密钥对目标数据所属的存储数据进行加密得到。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当满足数据加密条件时,从存储数据中确定敏感数据和非敏感数据;通过存储量子密钥对敏感数据进行加密,得到敏感密文数据;根据敏感密文数据和非敏感数据,得到存储数据对应的存储密文数据。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:通过存储量子密钥对目标存储密文数据进行解密,获得目标数据;获取终端对应的传输量子密钥;通过传输量子密钥对目标数据进行加密,得到传输密文数据。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当触发密钥更新时,获取认证更新密钥、存储更新密钥和传输更新密钥;基于认证更新密钥更新认证量子密钥,基于存储更新密钥更新存储量子密钥;将传输更新密钥发送至终端,以使终端基于传输更新密钥更新传输量子密钥。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于量子密钥的数据共享方法,其特征在于,所述方法包括:
当接收到由终端上传的数据共享请求时,基于认证量子密钥进行身份认证,得到身份认证结果;
当所述身份认证结果为认证通过时,获取目标存储密文数据;所述目标存储密文数据通过存储量子密钥对所述数据共享请求所请求的目标数据进行加密得到;
通过所述存储量子密钥对所述目标存储密文数据进行解密后,由所述终端对应的传输量子密钥对所述解密的结果进行加密,得到传输密文数据;
将所述传输密文数据发送至所述终端,以使所述终端按照所述传输量子密钥对所述传输密文数据进行解密后获得所述目标数据。
2.根据权利要求1所述的方法,其特征在于,所述基于认证量子密钥进行身份认证,得到身份认证结果包括:
当所述数据共享请求的请求类型为双重身份认证类型时,基于所述数据共享请求对应用户的数字证书进行第一身份认证,得到第一身份认证结果;
当所述第一身份认证结果为认证通过时,确定认证量子密钥;
通过所述认证量子密钥对所述数据共享请求对应用户进行第二身份认证,得到身份认证结果。
3.根据权利要求2所述的方法,其特征在于,所述通过所述认证量子密钥对所述数据共享请求对应用户进行第二身份认证,得到身份认证结果包括:
通过认证随机数对所述认证量子密钥进行密钥增强,得到增强量子密钥;
将所述增强量子密钥发送至所述终端;所述增强量子密钥用于控制所述终端基于所述增强量子密钥将所述终端对应用户的身份标识加密为身份密文;
根据所述增强量子密钥对所述终端返回的所述身份密文进行解密,并根据基于解密结果进行身份认证,得到身份认证结果。
4.根据权利要求1所述的方法,其特征在于,所述获取目标存储密文数据包括:
确定所述数据共享请求所请求的目标数据的数据标识;
根据所述数据标识,从存储密文数据中获取所述目标数据对应的目标存储密文数据;
其中,所述存储密文数据通过存储量子密钥对所述目标数据所属的存储数据进行加密得到。
5.根据权利要求4所述的方法,其特征在于,在所述获取目标存储密文数据之前,还包括:
当满足数据加密条件时,从存储数据中确定敏感数据和非敏感数据;
通过存储量子密钥对所述敏感数据进行加密,得到敏感密文数据;
根据所述敏感密文数据和所述非敏感数据,得到所述存储数据对应的存储密文数据。
6.根据权利要求1所述的方法,其特征在于,所述通过所述存储量子密钥对所述目标存储密文数据进行解密后,由所述终端对应的传输量子密钥对所述解密的结果进行加密,得到传输密文数据包括:
通过所述存储量子密钥对所述目标存储密文数据进行解密,获得所述目标数据;
获取所述终端对应的传输量子密钥;
通过所述传输量子密钥对所述目标数据进行加密,得到传输密文数据。
7.根据权利要求1至6任意一项所述的方法,其特征在于,所述方法还包括:
当触发密钥更新时,获取认证更新密钥、存储更新密钥和传输更新密钥;
基于所述认证更新密钥更新所述认证量子密钥,基于所述存储更新密钥更新所述存储量子密钥;
将所述传输更新密钥发送至所述终端,以使所述终端基于所述传输更新密钥更新所述传输量子密钥。
8.一种基于量子密钥的数据共享装置,其特征在于,所述装置包括:
身份认证模块,用于当接收到由终端上传的数据共享请求时,基于认证量子密钥进行身份认证,得到身份认证结果;
目标密文数据获取模块,用于当所述身份认证结果为认证通过时,获取目标存储密文数据;所述目标存储密文数据通过存储量子密钥对所述数据共享请求所请求的目标数据进行加密得到;
密文转换模块,用于通过所述存储量子密钥对所述目标存储密文数据进行解密后,由所述终端对应的传输量子密钥对所述解密的结果进行加密,得到传输密文数据;
密文数据传输模块,用于将所述传输密文数据发送至所述终端,以使所述终端按照所述传输量子密钥对所述传输密文数据进行解密后获得所述目标数据。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110239183.2A CN113067699B (zh) | 2021-03-04 | 2021-03-04 | 基于量子密钥的数据共享方法、装置和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110239183.2A CN113067699B (zh) | 2021-03-04 | 2021-03-04 | 基于量子密钥的数据共享方法、装置和计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113067699A CN113067699A (zh) | 2021-07-02 |
| CN113067699B true CN113067699B (zh) | 2021-12-03 |
Family
ID=76559633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110239183.2A Active CN113067699B (zh) | 2021-03-04 | 2021-03-04 | 基于量子密钥的数据共享方法、装置和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113067699B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113609087A (zh) * | 2021-08-05 | 2021-11-05 | 中科问天量子科技(天津)有限公司 | 一种基于量子加密的数据共享方法及系统 |
| CN113849797B (zh) * | 2021-09-29 | 2024-09-06 | 深圳市电子商务安全证书管理有限公司 | 数据安全漏洞的修复方法、装置、设备及存储介质 |
| CN114244513B (zh) * | 2021-12-31 | 2024-02-09 | 日晷科技(上海)有限公司 | 密钥协商方法、设备及存储介质 |
| CN114465720A (zh) * | 2022-01-25 | 2022-05-10 | 中国工商银行股份有限公司 | 密钥迁移方法及装置、存储介质和电子设备 |
| EP4465588A1 (en) * | 2022-02-14 | 2024-11-20 | Huawei Technologies Co., Ltd. | Quantum key transmission method, device and system |
| CN114465734B (zh) * | 2022-04-11 | 2022-08-02 | 成方金融科技有限公司 | 投资者认证方法及存储介质 |
| CN114567447B (zh) * | 2022-04-26 | 2022-07-19 | 佳瑛科技有限公司 | 一种基于云端服务器的数据共享管理方法及装置 |
| CN115085918B (zh) * | 2022-06-29 | 2024-08-16 | 中国银行股份有限公司 | 安全认证方法、装置、电子设备及计算机存储介质 |
| CN115276980A (zh) * | 2022-07-29 | 2022-11-01 | 河北素数信息安全有限公司 | 一种适用于量子密钥分发网络的身份认证授权方法 |
| CN116232639B (zh) * | 2022-12-07 | 2024-05-03 | 深圳科盾量子信息科技有限公司 | 数据传输方法、装置、计算机设备和存储介质 |
| CN116318673B (zh) * | 2023-03-23 | 2024-12-03 | 中国工商银行股份有限公司 | 外派金融业务的处理方法、处理系统及处理装置 |
| CN118568708A (zh) * | 2024-08-05 | 2024-08-30 | 天津润泰科技发展有限公司 | 一种基于分布式数据库的科研数据管理系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107769913A (zh) * | 2016-08-16 | 2018-03-06 | 广东国盾量子科技有限公司 | 一种基于量子UKey的通信方法及系统 |
| CN111639361A (zh) * | 2020-05-15 | 2020-09-08 | 中国科学院信息工程研究所 | 一种区块链密钥管理方法、多人共同签名方法及电子装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110314275A1 (en) * | 2010-06-22 | 2011-12-22 | Michael Gopshtein | Managing encryption keys |
| JP5634427B2 (ja) * | 2012-03-23 | 2014-12-03 | 株式会社東芝 | 鍵生成装置、鍵生成方法およびプログラム |
| CN106295393B (zh) * | 2015-06-26 | 2022-02-22 | 阿里巴巴集团控股有限公司 | 电子处方操作方法、装置及系统 |
| CN107959566A (zh) * | 2016-10-14 | 2018-04-24 | 阿里巴巴集团控股有限公司 | 量子数据密钥协商系统及量子数据密钥协商方法 |
| WO2018127118A1 (zh) * | 2017-01-06 | 2018-07-12 | 中国移动通信有限公司研究院 | 一种身份认证方法及装置 |
| CN108429615A (zh) * | 2018-01-10 | 2018-08-21 | 如般量子科技有限公司 | 一种基于量子密钥的Stunnel通信方法和Stunnel通信系统 |
| CN109063438A (zh) * | 2018-08-06 | 2018-12-21 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种数据访问方法、装置、本地数据安全访问设备及终端 |
| CN110650011B (zh) * | 2019-10-29 | 2024-07-26 | 江苏亨通问天量子信息研究院有限公司 | 基于量子密钥的加密存储方法和加密存储卡 |
| CN111404664B (zh) * | 2020-02-28 | 2023-03-14 | 南京如般量子科技有限公司 | 基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法 |
-
2021
- 2021-03-04 CN CN202110239183.2A patent/CN113067699B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107769913A (zh) * | 2016-08-16 | 2018-03-06 | 广东国盾量子科技有限公司 | 一种基于量子UKey的通信方法及系统 |
| CN111639361A (zh) * | 2020-05-15 | 2020-09-08 | 中国科学院信息工程研究所 | 一种区块链密钥管理方法、多人共同签名方法及电子装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113067699A (zh) | 2021-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113067699B (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
| CN111079128B (zh) | 一种数据处理方法、装置、电子设备以及存储介质 | |
| CN111431713B (zh) | 一种私钥存储方法、装置和相关设备 | |
| US20080031458A1 (en) | System, methods, and apparatus for simplified encryption | |
| CN112822255B (zh) | 基于区块链的邮件处理方法、邮件发送端、接收端及设备 | |
| CN109684129B (zh) | 数据备份恢复方法、存储介质、加密机、客户端和服务器 | |
| CN114244508B (zh) | 数据加密方法、装置、设备及存储介质 | |
| EP2414983B1 (en) | Secure Data System | |
| CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
| CN107920052B (zh) | 一种加密方法及智能装置 | |
| CN110445840B (zh) | 一种基于区块链技术的文件存储和读取的方法 | |
| CN108809936B (zh) | 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统 | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN105025019A (zh) | 一种数据安全分享方法 | |
| CN102404337A (zh) | 数据加密方法和装置 | |
| CN104992100A (zh) | 用于电子文档流转的虹膜动态加密解密系统及方法 | |
| CN111539032B (zh) | 一种抗量子计算破解的电子签名应用系统及其实现方法 | |
| CN111541708B (zh) | 一种基于电力配电的身份认证方法 | |
| CN114154181A (zh) | 基于分布式存储的隐私计算方法 | |
| CN116709325B (zh) | 一种基于高速加密算法的移动设备安全认证方法 | |
| CN114866317B (zh) | 多方的数据安全计算方法、装置、电子设备和存储介质 | |
| KR101210411B1 (ko) | 공인인증서와 키수열발생기로 생성되는 otp를 이용한 트렌젝션보호 시스템 및 방법 | |
| CN107612691A (zh) | 认证信息传输方法和装置以及用户信息认证系统 | |
| CN114945170A (zh) | 一种基于商用密码算法的移动端文件传输方法 | |
| CN114553557A (zh) | 密钥调用方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |