CN111490871A

CN111490871A - 一种基于量子密钥云的sm9密钥认证方法、***及存储介质

Info

Publication number: CN111490871A
Application number: CN202010173946.3A
Authority: CN
Inventors: 胡倩倩; 冯宝; 赵子岩; 赵高峰; 高德荃; 樊强; 卞宇翔; 贾玮; 闫龙川; 张强强; 李国春; 俞学豪; 汪晓岩; 吴海洋; 蔡昊; 汪大洋; 李沛; 李维; 李伟; 陈智雨
Original assignee: Nanjing Nanrui Guodun Quantum Technology Co ltd; State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; State Grid Jiangsu Electric Power Co Ltd; NARI Group Corp; Nari Information and Communication Technology Co; Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd; Nanjing Power Supply Co of State Grid Jiangsu Electric Power Co Ltd
Current assignee: Nanjing Nanrui Guodun Quantum Technology Co ltd; State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; State Grid Jiangsu Electric Power Co Ltd; NARI Group Corp; Nari Information and Communication Technology Co; Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd; Nanjing Power Supply Co of State Grid Jiangsu Electric Power Co Ltd
Priority date: 2020-03-13
Filing date: 2020-03-13
Publication date: 2020-08-04

Abstract

本发明公开了一种基于量子密钥云的SM9密钥认证方法、***及存储介质，所述方法包括：获取加密私钥；根据量子密钥对加密私钥进行解密，获取私钥；根据所述私钥进行身份认证。本发明通过量子密钥对私钥进行解密的应用，通过量子密钥的随机性和分发安全性，提升SM9密钥生成的安全性，并通过一次一密绝对安全的加密方式来扩展国密SM9私钥的安全传输方式。利用量子密钥分发的安全性和对称性，避免了非对称密钥的在线分发，提升了私钥应用的安全性。

Description

一种基于量子密钥云的SM9密钥认证方法、***及存储介质

技术领域

本发明涉及量子通信领域，具体涉及一种基于量子密钥云的SM9密钥认证方法、***及存储介质。

背景技术

SM9标识密码算法是由国密局发布的一种IBC(Identity-Based Cryptograph)算法，是在基于传统的PKI基础上发展而来，属于非对称公钥密码体系，其最主要观点是***中不需要证书，使用用户标识如姓名、IP地址、电子邮箱地址、手机号码等确定公钥。用户的私钥由密钥生成中心(Key Generate Center,简称KGC)根据***主密钥和用户标识计算得出。用户的公钥由用户标识唯一确定，从而用户不需要第三方来保证公钥的真实性。私钥则由用户自己掌握，密钥管理相当简单，可以很方便的对数据信息进行加解密。

现有方案中，国密SM9身份认证体系的私钥分发的形式通过存储介质线下传递或传统加密方式提供给相应的用户和应用***。线下传递方式影响了密钥的更新效率和耗费大量的运维成本。对于传统的加密方式，其本身的加密密钥在线传输就存在被窃听和破解的风险。因此，难以保障国密SM9私钥的在线安全传输。面对电力云环境，现有技术对私钥的传递性能不高，并且存在被监听和破解的风险。同时，线下传递不仅需要定制的物理存储介质，而且私钥更新频率较低，致使运维成本相对较高。

发明内容

为了克服上述现有技术的不足，本发明提供了一种基于量子密钥云的SM9密钥认证方法、***及存储介质，以解决现有技术中存在的私钥在线传输不够安全的问题。

为解决上述技术问题，本发明所采用的技术方案是：

一种基于量子密钥云的SM9密钥认证方法，所述方法包括：

获取加密私钥；

根据量子密钥对加密私钥进行解密，获取私钥；

根据所述私钥进行身份认证。

进一步的，所述加密私钥的获取方法包括：

获取接入终端或应用***的请求注册信息；

根据所述请求注册信息获取量子密钥；

通过量子密钥生成各自的私钥；

利用加密量子密钥对所述私钥进行加密处理，获取加密私钥。

进一步的，所述加密处理过程包括：

通过量子密钥对私钥进行加密处理。

进一步的，所述量子密钥和私钥等长。

进一步的，所述私钥由密钥生成中心生成。

进一步的，所述请求注册信息包括。

进一步的，所述加密私钥的每次传输过程加密一次。

一种基于量子密钥云的SM9密钥认证***，所述***包括：

第一获取模块：用于获取加密私钥；

第二获取模块：用于根据量子密钥对加密私钥进行解密，获取私钥；

认证模块：用于根据所述私钥进行身份认证。

进一步的，所述***包括：

注册模块：用于获取接入终端或应用***的请求注册信息；

第三获取模块：用于根据所述请求注册信息获取量子密钥；

第四获取模块：用于通过量子密钥生成各自的私钥；

第五获取模块：用于利用加密量子密钥对所述私钥进行加密处理，获取加密私钥。

一种基于量子密钥云的SM9密钥认证***，所述***包括处理器和存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行根据上述所述方法的步骤。

计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实上述所述方法的步骤。

与现有技术相比，本发明的有益效果是：

本发明通过量子密钥对私钥进行解密的应用，通过量子密钥的随机性和分发安全性，提升SM9密钥生成的安全性，并通过一次一密绝对安全的加密方式来扩展国密SM9私钥的安全传输方式；利用量子密钥分发的安全性和对称性，避免了非对称密钥的在线分发，提升了私钥应用的安全性。

附图说明

图1为本发明的详细流程图；

图2为集中管理模式示意图；

图3为非集中管理模式示意图。

具体实施方式

下面结合附图对本发明进一步说明。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

一种基于量子密钥云的SM9密钥认证方法，所述方法包括：

获取加密私钥；

根据量子密钥对加密私钥进行解密，获取私钥；

根据所述私钥进行身份认证。

所述加密私钥的获取方法包括：

获取接入终端或应用***的请求注册信息；

根据所述请求注册信息获取量子密钥；

通过量子密钥生成各自的私钥；

如图1所示，考虑到泛在电力物联网背景下，国网云的逐步实施，接入终端数量急剧增多，对设备的安全接入需求日益迫切，使得用户对私钥的安全管理问题突显出来。为了提升私钥的安全保密性，本发明提出运用量子保密通信技术构建量子密钥云服务，提升国密SM9的密钥安全性。复杂的电力网络环境中，基于国密SM9身份认证架构的私钥在线传输存在一定的监听和窃取风险。而量子保密通信是以量子密钥分发技术为基础的保密通信技术，作为新一代的加密通信技术可以有效提升数据传输的安全等级。因此，考虑到私钥的安全传输，本发明提出使用量子密钥替换传统SM9中基于算法形成的主密钥，通过提高密钥的随机性提升公私的安全性。同时，设置集中管理模式和非集中管理模式两种工作模式。集中管理模式是有KGC统一生成密钥，并将分发的私钥进行基于量子密钥的OTP传输（一次一密），实现密钥的安全传输。非集中管理模式是KGC和应用端使用相同的量子密钥作为主密钥，由于双方共有身份标识信息，且算法及参数一致，可分别在两端计算出共同的密钥用于双方通信，避免了密钥的传输，可进一步提升了密钥的安全性。

集中管理模式下，本装置根据电力云环境的实际需求，首先采用量子密钥作为国密SM9的主密钥对公私钥集中生成与管理，并通过传输网进行私钥的分发。同时，运用量子密钥分发技术对传输的私钥进行OTP加密传输。最后，相应用户或应用***获取到私钥密文后进行解密，后续可进行认证、签名和加密等服务。

非集中管理模式下，云端的KGC和应用端利用在线安全分发的量子密钥、共有的身份标识信息、相同的算法和参数生成一致的非对称密钥，避免了私钥的在线传输，提升了后续认证、签名和加密等服务的安全性。

如图2所示，集中管理模式:

1、接入终端或应用***向电力云的KGC请求注册；

2、KGC利用量子密钥为主密钥生成各自的私钥，并统一管理，并向量子密钥加密设备请求加密密钥；

3、云服务端利用协商好的量子密钥对私钥进行在线一次一密的加密传输；利用与私钥等长的量子密钥对私钥进行与或操作进行加密，密钥只使用一次；

4、终端或应用***利用相应的量子密钥解密私钥；

6、终端或应用***利用解密后的私钥进行后续的认证、签名等操作。

在集中管理模式下，***/终端向云发送注册请求/密钥更新请求，云上的KGC收到注册请求后生成私钥，然后利用量子密钥对私钥进行一次一密方式加密进行在线传输，最后***/终端侧利用量子密钥对加密后的私钥密文进行解密，并传递给相应的***/终端。

如图3所示，非集中管理模式：

1、接入终端或应用***向电力云的KGC请求注册；

2、基于量子密钥的对称性，KGC和应用端利用量子密钥为主密钥在两端生成相同的公私钥；

3、终端或应用***利用两端已有的密钥进行业务来往，开展后续的认证、签名等操作，避免了私钥的在线传输，简化了密钥更新的步骤，提升了应用效率。

非集中管理模式下，相当于各方都有独立的KGC。当进行密钥更新时，云端向***/终端侧发送更新密钥请求，根据共有的算法和参数，基于量子密钥的对称性两端选取相同的量子密钥利用SM9算法生成新的密钥，在两端形成新的相同的非对称密钥，避免了密钥的在线传输。***/终端向云端发送更新密钥的请求后，云端以同样的方式处理。

一种基于量子密钥云服务的国密SM9密钥增强身份认证***，所述***包括：

第一获取模块：用于获取加密私钥；

认证模块：用于根据所述私钥进行身份认证。

进一步的，所述***包括：

注册模块：用于获取接入终端或应用***的请求注册信息；

第三获取模块：用于根据所述请求注册信息获取量子密钥；

第四获取模块：用于通过量子密钥生成各自的私钥；

一种基于量子密钥云服务的国密SM9密钥增强身份认证***，所述***包括处理器和存储介质；

所述存储介质用于存储指令；

结合量子密钥的随机性和分发安全性，提升SM9密钥生成的安全性，并通过一次一密绝对安全的加密方式来扩展国密SM9私钥的安全传输方式。利用量子密钥分发的安全性和对称性，避免了非对称密钥的在线分发，提升了私钥应用的安全性。

身份标识密码：基于身份标识的密码***（Identity-Based Cryptograph, 简称IBC），是一种非对称的公钥密码体系。标识密码的主要观点是***中不需要证书，使用用户的标识如姓名、IP地址、电子邮箱地址、手机号码等作为公钥。用户的私钥由密钥生成中心(Key Generate Center,简称KGC)根据***主密钥和用户标识计算得出。用户的公钥由用户标识唯一确定，从而用户不需要第三方来保证公钥的真实性。

国密SM9算法：SM9算法属于标识密码体系，不需要申请数字证书，适用于互联网应用的各种新兴应用的安全保障。如基于云技术的密码服务、电子邮件安全、智能终端保护、物联网安全、云存储安全等等。这些安全应用可采用手机号码或邮件地址作为公钥，实现数据加密、身份认证、通话加密、通道加密等安全应用，并具有使用方便，易于部署的特点。

非对称密钥：使用一对密钥来分别完成加密和解密操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密。

量子通信：具有传输光或量子态信息编码的能力，因为当量子***被干扰时存储在量子态的信息被不可逆转地改变。它具有了窃听者很容易被发现这样的优点，导致产生了量子安全通信的方法，同时也出现信号不能被复制或放大的缺点。

量子密钥：基于量子力学测量原理的量子态观测上的安全密钥，能够从根本上保证密钥的安全性。

一次一密：在流密码当中使用与消息长度等长的随机密码，密钥本身只使用一次。因为使用与消息等长的随机密钥，产生与原文没有任何统计关系的随机输出，因此一次一密方案不可破解。

由于云环境下，泛在电力物联网终端大量接入，使得电力网络环境愈加复杂。国密SM9需要将私钥分发到用户进行保存，由于终端的规模庞大，依靠传统的密钥分发手段（线下物理介质的形式进行存储和传递）难以满意高效防护的安全需求。同时，私钥的更新也难以及时，更新频率低，严重影响了设备接入的安全性。本发明设计的监管模式和非监管模式。监管模式考虑到基于物理特性的量子密钥分发及一次一密的安全方式，不仅可以利用量子密钥的物理随机性提高SM9主密钥的保密性，而且利用OTP方式对私钥进行加密传输可保障云环境下私钥在线传输的不可破解性。非监管模式利用量子密钥的安全分发特性，云节点和应用节点利用相同的算法和公开参数分别生成相同的密钥用于后续操作，有效避免电力***私钥安全传输问题，且提升了密钥的更新效率。

本发明设计了与量子密钥分发相结合的国密SM9密钥增强的安全身份认证，通过量子密钥的安全分发及随机性，提升国密SM9密钥生成和应用的安全性。

由于传统国密SM9的私钥在线分发存在存在被监听和破解的风险。本方案采用量子密钥的随机性和在线分发安全性，提升SM9密钥生成所需主密钥的保密等级，并在集中管理模式下运用一次一密的加密机制对密钥进行安全分发。同时，非集中管理模式利用量子密钥安全分发的特性，结合量子密钥的对称性，设计一种基于国网云的密钥增强的身份认证方式，实现云端和应用端生成共同的密钥，避免了复杂环境下密钥在线传输的问题。

在云环境下，业务***、业务终端接入越来越多。考虑到传统的PKI公钥体制依赖证书实现对接入***或终端的身份认证。在大规模接入***或终端的情况下，证书认证和证书更新需要消耗较多的管理成本。SM9属于标识密码技术，即利用用户的身份信息形成用户的公钥，用户不需要申请和交换证书，从而大大降低***的复杂性。通过融合SM9和云技术可以解决海量接入***和终端的情况下，实现身份认证的快速便捷。

考虑到云环境下，密钥的在线分发安全性存在不足，量子保密通信技术可以以安全的密钥分发方式保障数据传输的安全性，具有防窃听、防复制、防篡改等特点。本发明融合云技术和量子密钥服务形成量子密码云服务，利用量子密钥云服务提供量子密钥作为SM9算法的主公钥和主私钥，用于计算各接入***或终端的公钥和私钥。量子密码云服务以云平台为依托，为接入的***和设备提供量子安全级别的身份认证服务，进一步提升云环境下SM9密钥的安全级别。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（***）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims

1.一种基于量子密钥云的SM9密钥认证方法，其特征在于，所述方法包括：

获取加密私钥；

根据量子密钥对加密私钥进行解密，获取私钥；

根据所述私钥进行身份认证。

2.根据权利要求1所述的一种基于量子密钥云的SM9密钥认证方法，其特征在于，所述加密私钥的获取方法包括：

获取请求注册信息；

根据所述请求注册信息获取量子密钥；

通过量子密钥生成私钥；

对所述私钥进行加密处理，获取加密私钥。

3.根据权利要求2所述的一种基于量子密钥云的SM9密钥认证方法，其特征在于，所述量子密钥和私钥等长。

4.根据权利要求2所述的一种基于量子密钥云的SM9密钥认证方法，其特征在于，所述私钥由密钥生成中心生成。

5.根据权利要求2所述的一种基于量子密钥云的SM9密钥认证方法，其特征在于，所述请求注册信息包括ID，E-mail和编码。

6.根据权利要求1所述的一种基于量子密钥云的SM9密钥认证方法，其特征在于，所述加密私钥的每次传输过程加密一次。

7.一种基于量子密钥云的SM9密钥认证***，其特征在于，所述***包括：

第一获取模块：用于获取加密私钥；

认证模块：用于根据所述私钥进行身份认证。

8.一种基于量子密钥云的SM9密钥认证***，其特征在于，所述***包括处理器和存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行根据权利要求1-6任一项所述方法的步骤。

9.计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1-6任一项所述方法的步骤。