[发明专利]一种量子安全应用方法、客户端装置、服务器装置与系统

说明书

本发明提供了一种量子安全应用方法、客户端装置、服务器装置与系统，其中，一种量子安全应用方法，包括服务器为客户端分发CA证书，分发预置随机数，创建预置随机数与CA证书的关联，两个客户端采用预设的密钥生成算法生成第一共享密钥因子，基于服务器提供的关联异或值产生第二共享密钥因子；对两个密钥因子进行保密增强并得到一个加密密钥；采用加密密钥进行数据加密通信；本发明还提供了一种量子安全应用客户端装置、服务器装置与系统，用于执行上述应用方法。本发明通过一种安全、高效和灵活方法实现量子安全的加密应用，实现了量子密钥与互联网加密应用的紧密融合，具有良好的应用前景。

技术领域

本发明涉及量子密钥分发与加密技术领域，尤其涉及一种量子安全应用方法、客户端装置、服务器装置与系统。

背景技术

数据加密应用在移动办公、移动支付和电子政务等领域广泛应用，但是，大部分数据加密应用系统都采用非对称密码算法，而非对称密码算法不能抵抗量子计算攻击，面临较大的信息安全问题。因此，提升数据加密应用的安全性具有非常重要的实际意义和应用价值。目前，量子密钥分发（简称为QKD）能够提供量子安全性，但是，QKD网络是独立于互联网的硬件基础设施，不能直接与互联网加密应用融合。因此，解决二者之间的无缝融合问题是实现量子安全应用的关键。

发明内容

为了解决背景技术中的密钥分发与服务技术所存在的问题，本发明提供了一种量子安全应用方法，包括：步骤1：第一客户端向第二客户端发起请求，向服务器请求量子安全密钥；步骤2：第一客户端与第二客户端采用预设的密钥生成算法生成第一共享密钥因子；服务器对第一客户端和第二客户端进行身份认证，通过认证后，服务器把第一客户端与第二客户端的一个或多个关联异或值发送给其中一个客户端或分别发送给第一客户端和第二客户端，第一客户端和第二客户端基于上述一个或多个异或值产生第二共享密钥因子；步骤3：第一客户端与第二客户端分别对上述第一共享密钥因子与上述第二共享密钥因子进行保密增强并得到共享会话密钥；步骤4：第一客户端与第二客户端采用上述共享会话密钥进行数据加密通信；其中，上述一个关联异或值是第一客户端的一个相应的密钥分组与第二客户端的一个相应的密钥分组的异或值。

进一步地，上述方法还包括：服务器为客户端分发CA证书，分发预置随机数，创建上述预置随机数与CA证书的关联标识，其中，分发预置随机数包括离线注入或/和在线注入。

进一步地，上述方法还包括：客户端采用随机数对本地存储或/和所接收到的已解密数据进行掩盖。

进一步地，上述方法还包括：对预置随机数进行加密存储。

本发明还提供了一种量子安全应用客户端装置，包括：初始化模块，用于从服务器装置获取CA证书、预置随机数和预置随机数与CA证书的关联标识；收发器模块，用于向服务器发送服务请求，用于接收服务器发送的其与其他客户端装置的一个或多个关联异或值，用于与其他客户端装置之间的通信；身份认证模块，用于其与服务器和其他客户端装置之间的身份认证；数据处理模块，用于与其他客户端装置采用预设的密钥生成算法生成第一共享密钥因子，用于基于关联异或值产生第二共享密钥因子，用于对上述第一共享密钥因子与上述第二共享密钥因子进行保密增强并得到共享会话密钥；用于与其他客户端装置采用上述共享会话密钥进行数据加密通信。

本发明还提供了一种量子安全应用服务器装置，包括：证书管理模块，用于为客户端装置分发CA证书，用于CA证书的管理；数据处理模块，用于为客户端装置注入预置随机数和创建上述预置随机数与CA证书的关联标识列表，用于计算两个数据的异或值；收发器模块，用于响应客户端装置的服务请求，用于把两个目标客户端装置的一个或多个关联异或值发送给其中一个客户端装置或分别发送给两个目标客户端装置；存储模块，用于存储客户端装置的CA证书、预置随机数、预置随机数与CA证书的关联标识列表。

本发明还提供了一种量子安全应用系统，包括客户端和服务端，用于实现上述任一个量子安全应用方法。