【技術(shù)實現(xiàn)步驟摘要】
本專利技術(shù)涉及信息安全領(lǐng)域,特別涉及一種后量子tlcp協(xié)議設(shè)計方法、裝置、設(shè)備及介質(zhì)。
技術(shù)介紹
1、隨著量子計算技術(shù)的發(fā)展,現(xiàn)役公鑰密碼算法的安全性受到了嚴重的挑戰(zhàn),特別是基于大整數(shù)因子分解和離散對數(shù)問題設(shè)計的密碼算法,如rsa(一種非對稱加密算法)、ecc(elliptic?curve?cryptography,橢圓曲線密碼學)、sm2、sm9等,為了解決這個潛在的問題,密碼學者研制出了一批能抵抗量子計算攻擊的密碼算法,稱為后量子公鑰密碼算法,用于取代現(xiàn)役公鑰密碼算法,但目前因為應(yīng)用時間很短,這些算法不太成熟,因此現(xiàn)役公鑰密碼算法與后量子公鑰密碼算法的混合使用是目前主流的使用方式,如應(yīng)用在密碼協(xié)議中。
2、密碼協(xié)議指通訊雙方為完成密鑰傳遞、數(shù)據(jù)傳輸,或者狀態(tài)信息、控制信息交換等與密碼通信相關(guān)的活動,所約定的通信格式、步驟,以及規(guī)定的密碼運算方法、所使用的密鑰數(shù)據(jù)等。tlcp(transport?layer?cryptography?protocol,傳輸層密碼協(xié)議)協(xié)議以國密算法sm2、sm9、sm3和sm4等為基礎(chǔ),為兩個應(yīng)用程序提供保密性、數(shù)據(jù)完整性和實體身份鑒別等密碼功能。tlcp協(xié)議包括記錄層協(xié)議和握手協(xié)議族,其中,握手協(xié)議族包含密碼規(guī)格變更協(xié)議、報警協(xié)議和握手協(xié)議,它用于雙方協(xié)商出供記錄層使用的安全參數(shù),進行身份驗證及報告錯誤等。
3、但是,握手協(xié)議使用了sm2和sm9算法進行密鑰交換和身份鑒別,而這兩種算法在量子計算環(huán)境下存在嚴重的安全隱患,因此,需要使用后量子公鑰密碼算法來增強量子安全性
技術(shù)實現(xiàn)思路
1、有鑒于此,本專利技術(shù)的目的在于提供一種后量子tlcp協(xié)議設(shè)計方法、裝置、設(shè)備及介質(zhì),在信息安全技術(shù)傳輸層密碼協(xié)議中保留現(xiàn)役公鑰密碼算法和功能,并將后量子公鑰密碼算法置入?yún)f(xié)議,從而在具備現(xiàn)役公鑰密碼安全性的同時實現(xiàn)量子安全性。其具體方案如下:
2、第一方面,本申請?zhí)峁┝艘环N后量子tlcp協(xié)議設(shè)計方法,應(yīng)用于傳輸層密碼協(xié)議的客戶端,包括:
3、基于所述傳輸層密碼協(xié)議根據(jù)預(yù)設(shè)密碼套件構(gòu)建客戶端握手信息,并將所述客戶端握手信息發(fā)送至相應(yīng)的服務(wù)端,以便接收所述服務(wù)端返回的基于所述預(yù)設(shè)密碼套件構(gòu)建的服務(wù)端握手信息,并建立和所述服務(wù)端之間的連接;所述預(yù)設(shè)密碼套件為基于sm2加密算法和后量子密鑰封裝算法構(gòu)建的第一密碼套件或基于sm2密鑰協(xié)商算法和兩次后量子密鑰封裝算法構(gòu)建的第二密碼套件;
4、接收所述服務(wù)端發(fā)送的服務(wù)端數(shù)字證書和服務(wù)端密鑰交換信息,并基于所述傳輸層密碼協(xié)議根據(jù)所述服務(wù)端數(shù)字證書和所述服務(wù)端密鑰交換信息進行自身和所述服務(wù)端之間的密鑰交換;所述服務(wù)端數(shù)字證書為基于國密算法加密公鑰信息和后量子密鑰封裝算法公鑰信息構(gòu)建的數(shù)字證書,所述服務(wù)端密鑰交換信息基于后量子密鑰封裝算法和國密算法構(gòu)建;
5、在密鑰交換完成后,基于后量子數(shù)字簽名算法公鑰信息和國密算法簽名公鑰信息進行自身和所述服務(wù)端的身份鑒別,以便基于得到的身份鑒別結(jié)果根據(jù)預(yù)主密鑰進行自身和所述服務(wù)端的數(shù)據(jù)傳輸;所述預(yù)主密鑰為基于所述服務(wù)端密鑰交換信息和客戶端密鑰交換信息生成的密鑰。
6、可選的,所述基于所述傳輸層密碼協(xié)議根據(jù)預(yù)設(shè)密碼套件構(gòu)建客戶端握手信息,包括:
7、將所述預(yù)設(shè)密碼套件對應(yīng)的所述后量子密鑰封裝算法公鑰信息增加至所述傳輸層密碼協(xié)議的握手信息的擴展項的擴展密鑰共享條目,以構(gòu)建所述客戶端握手信息;所述后量子密鑰封裝算法公鑰信息為所述預(yù)設(shè)密碼套件的后量子密鑰封裝公鑰或后量子密鑰封裝公鑰證書。
8、可選的,所述基于所述傳輸層密碼協(xié)議根據(jù)所述服務(wù)端數(shù)字證書和所述服務(wù)端密鑰交換信息進行自身和所述服務(wù)端之間的密鑰交換,包括:
9、若所述預(yù)設(shè)密碼套件為所述第一密碼套件,則基于后量子密鑰封裝算法密文和國密算法密文構(gòu)建第一客戶端密鑰交換信息;所述后量子密鑰封裝算法密文和所述國密算法密文分別為根據(jù)所述后量子密鑰封裝算法公鑰信息和所述國密算法公鑰信息對自身預(yù)先生成的第一隨機數(shù)對進行加密后得到的密文;
10、將所述第一客戶端密鑰交換信息發(fā)送至所述服務(wù)端,并基于所述傳輸層密碼協(xié)議根據(jù)所述服務(wù)端數(shù)字證書、所述服務(wù)端密鑰交換信息和所述第一客戶端密鑰交換信息進行自身和所述服務(wù)端之間的密鑰交換。
11、可選的,所述基于后量子數(shù)字簽名算法公鑰信息和國密算法簽名公鑰信息進行自身和所述服務(wù)端的身份鑒別,包括:
12、根據(jù)所述服務(wù)端數(shù)字證書分別生成所述后量子數(shù)字簽名算法公鑰信息和所述國密算法簽名公鑰信息對應(yīng)的第一后量子算法簽名和第一國密算法簽名,并基于所述第一后量子算法簽名、所述第一國密算法簽名和所述服務(wù)端密鑰交換信息對所述后量子數(shù)字簽名算法公鑰信息和所述國密算法簽名公鑰信息進行驗證;
13、若所述后量子數(shù)字簽名算法公鑰信息和所述國密算法簽名公鑰信息均驗證成功,則判定自身和所述服務(wù)端之間的身份鑒別通過。
14、可選的,所述接收所述服務(wù)端發(fā)送的服務(wù)端數(shù)字證書和服務(wù)端密鑰交換信息之后,還包括:
15、若所述預(yù)設(shè)密碼套件為所述第二密碼套件,則接收所述服務(wù)端基于所述后量子數(shù)字簽名算法公鑰信息和所述國密算法簽名公鑰信息發(fā)送的數(shù)字證書及鑒別客戶端身份的數(shù)字證書請求,并在接收到所述數(shù)字證書請求后,基于所述客戶端的所述后量子數(shù)字簽名算法公鑰信息和所述國密算法簽名公鑰信息構(gòu)建數(shù)字證書,以及將所述客戶端數(shù)字證書發(fā)生至所述服務(wù)端。
16、可選的,所述基于所述傳輸層密碼協(xié)議根據(jù)所述服務(wù)端數(shù)字證書和所述服務(wù)端密鑰交換信息進行自身和所述服務(wù)端之間的密鑰交換,包括:
17、基于后量子密鑰封裝算法密文和國密算法密鑰協(xié)商參數(shù)構(gòu)建第二客戶端密鑰交換信息;所本文檔來自技高網(wǎng)...
【技術(shù)保護點】
1.一種后量子TLCP協(xié)議設(shè)計方法,其特征在于,應(yīng)用于傳輸層密碼協(xié)議的客戶端,包括:
2.根據(jù)權(quán)利要求1所述的后量子TLCP協(xié)議設(shè)計方法,其特征在于,所述基于所述傳輸層密碼協(xié)議根據(jù)預(yù)設(shè)密碼套件構(gòu)建客戶端握手信息,包括:
3.根據(jù)權(quán)利要求1或2所述的后量子TLCP協(xié)議設(shè)計方法,其特征在于,所述基于所述傳輸層密碼協(xié)議根據(jù)所述服務(wù)端數(shù)字證書和所述服務(wù)端密鑰交換信息進行自身和所述服務(wù)端之間的密鑰交換,包括:
4.根據(jù)權(quán)利要求3所述的后量子TLCP協(xié)議設(shè)計方法,其特征在于,所述基于后量子數(shù)字簽名算法公鑰信息和國密算法簽名公鑰信息進行自身和所述服務(wù)端的身份鑒別,包括:
5.根據(jù)權(quán)利要求1或2所述的后量子TLCP協(xié)議設(shè)計方法,其特征在于,所述接收所述服務(wù)端發(fā)送的服務(wù)端數(shù)字證書和服務(wù)端密鑰交換信息之后,還包括:
6.根據(jù)權(quán)利要求5所述的后量子TLCP協(xié)議設(shè)計方法,其特征在于,所述基于所述傳輸層密碼協(xié)議根據(jù)所述服務(wù)端數(shù)字證書和所述服務(wù)端密鑰交換信息進行自身和所述服務(wù)端之間的密鑰交換,包括:
7.根據(jù)權(quán)利要求6所述的后量子TLC
8.一種后量子TLCP協(xié)議設(shè)計裝置,其特征在于,應(yīng)用于傳輸層密碼協(xié)議的客戶端,包括:
9.一種電子設(shè)備,其特征在于,所述電子設(shè)備包括處理器和存儲器;其中,所述存儲器用于存儲計算機程序,所述計算機程序由所述處理器加載并執(zhí)行以實現(xiàn)如權(quán)利要求1至7任一項所述的后量子TLCP協(xié)議設(shè)計方法。
10.一種計算機可讀存儲介質(zhì),其特征在于,用于保存計算機程序,所述計算機程序被處理器執(zhí)行時實現(xiàn)如權(quán)利要求1至7任一項所述的后量子TLCP協(xié)議設(shè)計方法。
...【技術(shù)特征摘要】
1.一種后量子tlcp協(xié)議設(shè)計方法,其特征在于,應(yīng)用于傳輸層密碼協(xié)議的客戶端,包括:
2.根據(jù)權(quán)利要求1所述的后量子tlcp協(xié)議設(shè)計方法,其特征在于,所述基于所述傳輸層密碼協(xié)議根據(jù)預(yù)設(shè)密碼套件構(gòu)建客戶端握手信息,包括:
3.根據(jù)權(quán)利要求1或2所述的后量子tlcp協(xié)議設(shè)計方法,其特征在于,所述基于所述傳輸層密碼協(xié)議根據(jù)所述服務(wù)端數(shù)字證書和所述服務(wù)端密鑰交換信息進行自身和所述服務(wù)端之間的密鑰交換,包括:
4.根據(jù)權(quán)利要求3所述的后量子tlcp協(xié)議設(shè)計方法,其特征在于,所述基于后量子數(shù)字簽名算法公鑰信息和國密算法簽名公鑰信息進行自身和所述服務(wù)端的身份鑒別,包括:
5.根據(jù)權(quán)利要求1或2所述的后量子tlcp協(xié)議設(shè)計方法,其特征在于,所述接收所述服務(wù)端發(fā)送的服務(wù)端數(shù)字證書和服務(wù)端密鑰交換信息之后,還包括:
6.根據(jù)權(quán)利要求5所述的后量...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:王良成,黃錦,張舒黎,張小青,白云飛,黃妙,李文華,
申請(專利權(quán))人:中電科網(wǎng)絡(luò)安全科技股份有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。