【技術實現步驟摘要】
本申請涉及量子安全,尤其涉及一種基于通用設備的全域量子安全隱私設備和初始化方法。
技術介紹
1、全域量子安全環境是一個c/s架構的網絡通信安全環境,一般由量子密鑰中心和量子設備終端兩個部分組成。其中,量子密鑰中心是量子密鑰服務的提供方,量子設備終端是量子密鑰的需求方和使用方。
2、現有的通用設備終端為了抵御不法用戶在互聯網上發起的對數據包的攻擊行為,往往采用的是傳統的加密算法。而隨著量子計算機的發展,傳統加密受到了前所未有的威脅。量子計算機依賴于其超強的計算能力,可以在極短的時間內解決解決傳統計算機需要數十年甚至數百年才能解決的數學問題,從而輕松破解rsa、ecc、aes、des等傳統加密算法。因此,為了提升終端設備的安全性,需要將終端設備從使用傳統加密算法的通用設備終端升級為支持量子密碼學的量子設備終端。
3、如果是直接采用將通用設備終端更換為量子設備終端的方式,需要對現有的通用設備終端進行改造,成本過大。因此,如何在不改變現有的通用設備終端的情況下,還能確保通用設備終端可以使用量子密鑰中心,以使得通用設備終端可以達到量子安全的安全級別。
技術實現思路
1、專利技術目的:本申請提出一種基于通用設備的全域量子安全隱私設備和初始化方法,本專利技術全域量子安全隱私設備與通用設備相連接,本專利技術設備用于處理通用設備中需要加密處理的業務數據,確保通用設備終端在本專利技術全域量子安全隱私設備的輔助下,其中運行的業務可以達到量子安全的安全級別。
2、技術方
3、所述通信區用于與外界進行通信并獲取數據;
4、所述隔離區用于對數據進行過濾后傳輸;
5、所述隱私區用于對數據執行加解密和認證操作。
6、作為本專利技術的一種改進,所述通信區包括數據獲取單元和通信協議單元,所述數據獲取單元與通信協議單元通信連接;其中:
7、所述通信協議單元用于提供通信協議以供全域量子安全隱私設備與通用設備建立通信鏈接;
8、所述數據獲取單元用于通過通信鏈接從通用設備獲取待處理的數據包。
9、作為本專利技術的一種改進,所述隔離區包括數據傳輸單元和數據過濾單元,所述數據傳輸單元與數據過濾單元通信連接;所述數據過濾單元還與數據獲取單元通信連接,所述數據傳輸單元還與通信協議單元通信連接;其中:
10、所述數據過濾單元中配置有白名單和/或黑名單,用于對經由數據獲取單元發送的通用設備發送的數據包根據白名單和/或黑名單進行數據過濾,得到待傳輸的數據內容;還用于對全域量子安全隱私設備接收到的數據進行統計,將過濾數據的操作形成日志進行存儲;
11、所述數據傳輸單元用于傳輸經過數據過濾單元過濾的數據內容、接收經由通信協議單元轉發的通用設備發送的第一指令以及將來自隱私區的數據內容傳輸至通信協議單元。
12、作為本專利技術的一種改進,所述隱私區包括輸入單元、主控芯片、加解密單元、密鑰存儲單元、認證單元、輸出單元;所述主控芯片分別與輸入單元、認證單元、加解密單元和密鑰存儲單元通信連接,所述加解密單元還與密鑰存儲單元通信連接,所述輸出單元還分別與數據傳輸單元和加解密單元通信連接,所述輸入單元還與數據傳輸單元通信連接;其中:
13、所述輸入單元用于接收來自數據傳輸單元的數據內容,所述數據內容包括待處理的業務數據和第一指令中的指令數據;
14、所述主控芯片用于接收輸入單元轉發而來的指令數據和業務數據,并基于接收到的指令數據,對數據內容執行相應的操作;
15、所述加解密單元用于根據主控芯片轉發的的第一指令,對數據內容執行加密或解密操作;
16、所述密鑰存儲單元用于存儲密鑰,以及根據主控芯片生成的第二指令,為加解密單元提供加密密鑰、解密密鑰;
17、所述認證單元用于存儲全域量子安全隱私設備的身份,以及對接收到的數據進行完整性驗證。
18、作為本專利技術的一種改進,還提供一種全域量子安全隱私設備的初始化方法,應用于上文所述的全域量子安全隱私設備,所述初始化方法的參與方包括全域量子安全隱私設備、通用設備、身份頒發中心和量子密鑰中心,所述初始化方法包括:
19、步驟1:全域量子安全隱私設備啟動時,通過通用設備向量子密鑰中心發起認證申請;
20、步驟2:量子密鑰中心響應于步驟1中的認證申請,確定是否允許全域量子安全隱私設備使用量子密鑰中心的密鑰服務,將結果反饋給通用設備;
21、步驟3:通用設備將量子密鑰中心認證通過的結果發送給全域量子安全隱私設備,全域量子安全隱私設備向量子密鑰中心申請下載密鑰,獲得密鑰數據;
22、步驟4:量子密鑰中心將密鑰數據發送給通用設備,通用設備將密鑰數據轉發給全域量子安全隱私設備,全域量子安全隱私設備對接收到的密鑰數據進行認證并存儲。
23、作為本專利技術的一種改進,所述步驟1的具體過程為:
24、步驟1-1:通用設備與全域量子安全隱私設備的通信區中的通信協議單元建立通信鏈接,全域量子安全隱私設備基于所述通信鏈接將所述通用設備的產品身份信息b添加到隔離區中的數據過濾單元的白名單中;
25、步驟1-2:通用設備通過所述通信鏈接獲取全域量子安全隱私設備的產品身份信息a;
26、步驟1-3:通用設備基于產品身份信息a和b,向身份頒發中心獲取相應的代表唯一身份的身份證書a和b,其中,身份證書a對應于全域量子安全隱私設備,身份證書b對應于通用設備;同時,身份頒發中心將頒發的身份證書a和身份證書b同步至量子密鑰中心,以供量子密鑰中心后續對全域量子安全隱私設備和通用設備的身份進行合法性認證;
27、步驟1-4:通用設備接收身份證書a和身份證書b,并將全域量子安全隱私設備的身份證書b發送給全域量子安全隱私設備;
28、步驟1-5:通用設備使用身份證書a和身份證書b向量子密鑰中心發起認證申請。
29、作為本專利技術的一種改進,所述步驟2的具體過程為:
30、量子密鑰中心接收到的認證申請中包含有通用設備的身份證書a和全域量子安全隱私設備的身份證書b,量子密鑰中心使用本地存儲的通用設備和全域量子安全隱私設備的身份證書對接收到的步驟1-5中的身份證書a和身份證書b進行身份認證,當身份證書a和身份證書b的身份認證均通過時,量子密鑰中心認證通過,允許與通用設備連接的全域量子安全隱私設備使用量子密鑰中心的密鑰服務;否則,只要有任一方的身份認證不通過,則量子密鑰中心認證不通過,拒絕為全域量子安全隱私設備提供量子密鑰中心的密鑰服務。
31、作為本專利技術的一種改進,所述步驟3的具體過程為:
32、步驟3-1:在全域量子安全隱私設備的隱私區中,主控芯片獲取密鑰存儲單元的存儲大小信息,基于所述存儲大小信息生成密鑰下載申請;
【技術保護點】
1.一種基于通用設備的全域量子安全隱私設備,其特征在于,包括通信區、隔離區和隱私區;所述隔離區分別與通信區和隱私區通信連接;
2.根據權利要求1所述的基于通用設備的全域量子安全隱私設備,其特征在于,所述通信區包括數據獲取單元和通信協議單元,所述數據獲取單元與通信協議單元通信連接;其中:
3.根據權利要求2所述的基于通用設備的全域量子安全隱私設備,其特征在于,所述隔離區包括數據傳輸單元和數據過濾單元,所述數據傳輸單元與數據過濾單元通信連接;所述數據過濾單元還與數據獲取單元通信連接,所述數據傳輸單元還與通信協議單元通信連接;其中:
4.根據權利要求3所述的基于通用設備的全域量子安全隱私設備,其特征在于,所述隱私區包括輸入單元、主控芯片、加解密單元、密鑰存儲單元、認證單元、輸出單元;所述主控芯片分別與輸入單元、認證單元、加解密單元和密鑰存儲單元通信連接,所述加解密單元還與密鑰存儲單元通信連接,所述輸出單元還分別與數據傳輸單元和加解密單元通信連接,所述輸入單元還與數據傳輸單元通信連接;其中:
5.一種全域量子安全隱私設備的初始化方法,應用于
6.根據權利要求5所述的全域量子安全隱私設備的初始化方法,其特征在于,所述步驟1的具體過程為:
7.根據權利要求6所述的全域量子安全隱私設備的初始化方法,其特征在于,所述步驟2的具體過程為:
8.根據權利要求6或7所述的全域量子安全隱私設備的初始化方法,其特征在于,所述步驟3的具體過程為:
9.根據權利要求8所述的全域量子安全隱私設備的初始化方法,其特征在于,所述步驟4的具體過程為:
10.根據權利要求9所述的全域量子安全隱私設備的初始化方法,其特征在于,所述步驟4-2的具體過程為:
...【技術特征摘要】
1.一種基于通用設備的全域量子安全隱私設備,其特征在于,包括通信區、隔離區和隱私區;所述隔離區分別與通信區和隱私區通信連接;
2.根據權利要求1所述的基于通用設備的全域量子安全隱私設備,其特征在于,所述通信區包括數據獲取單元和通信協議單元,所述數據獲取單元與通信協議單元通信連接;其中:
3.根據權利要求2所述的基于通用設備的全域量子安全隱私設備,其特征在于,所述隔離區包括數據傳輸單元和數據過濾單元,所述數據傳輸單元與數據過濾單元通信連接;所述數據過濾單元還與數據獲取單元通信連接,所述數據傳輸單元還與通信協議單元通信連接;其中:
4.根據權利要求3所述的基于通用設備的全域量子安全隱私設備,其特征在于,所述隱私區包括輸入單元、主控芯片、加解密單元、密鑰存儲單元、認證單元、輸出單元;所述主控芯片分別與輸入單元、認證單元、加解密單元和密鑰存儲單元通信連接,所述加解密單元還與密鑰存儲單元通信連接,所述輸出單元還分別與數據...
【專利技術屬性】
技術研發人員:汪慧,朱夢雅,
申請(專利權)人:矩陣時光數字科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。