[发明专利]量子数据密钥协商系统及量子数据密钥协商方法

说明书

技术领域

本申请涉及量子数据密钥协商技术，具体涉及一种量子数据密钥协商系统。本申请同时涉及一种量子数据密钥协商方法、另一种量子数据密钥协商方法、一种数据处理系统、一种数据处理方法、以及一种用于云服务网络系统的密钥注入方法。

背景技术

量子密码作为量子力学和密码学的交叉产物，其安全性由量子力学基本原理保证(未知量子态的测不准原理、测量坍缩原理、不可克隆原理)，与攻击者的计算能力和存储能力无关，被证明具有无条件安全性和对窃听者的可检测性。

基于量子密码的上述特点，出现了BB84等量子密钥分发协议，具有数据保密通信需求的双方，可以采用实现了该协议的量子密钥分发设备经过原始密钥协商、密钥筛选、误码率估计、数据协调、隐私放大等阶段，最终得到无条件安全的共享量子密钥串。

具有数据保密通信需求的双方在完成上述量子密钥分发操作的基础上，通常还要通过量子数据密钥协商过程，分别从各自的共享量子密钥串中获取某些特定的位作为双方共享的量子数据密钥，以便进行数据保密传输，即：其中一方采用量子数据密钥对数据加密后发送给另一方，另一方接收数据后也采用同样的量子数据密钥执行解密操作，从而还原原始数据。

现有技术在进行量子数据密钥协商时，通常仅对双方身份进行验证，而不对双方的平台信息(即：软硬件环境)进行验证，导致量子数据密钥协商过程存在一定的安全隐患。

发明内容

本申请实施例提供一种量子数据密钥协商系统，以消除现有的量子数据密钥协商技术由于没有对双方平台可信性进行验证而导致的安全隐患。本申请实施例还提供一种量子数据密钥协商方法，另一种量子数据密钥协商方法，一种数据处理系统，一种数据处理方法，以及一种用于云服务网络系统的密钥注入方法。

本申请提供一种量子数据密钥协商系统，包括：具有共享量子密钥串的第一设备和第二设备、以及授权中心，其中，所述第一设备和第二设备彼此之间、以及与授权中心之间通信连接，所述第一设备和第二设备以及授权中心分别具有可信计算平台；

所述授权中心，用于分别根据所述第一设备和第二设备的授权请求，对相应请求方的身份与平台的可信性进行验证，并在验证通过后基于授权中心的系统私钥为相应请求方提供相应信息，以供相应请求方获取基于其身份与平台信息的私钥及可信证书；

所述第一设备和第二设备，分别用于向对方发送至少包含可信证书的验证请求、并利用对方发送的验证请求中的信息对对方身份与平台的可信性进行验证；并在双方均通过验证后，通过协商从各自的共享量子密钥串中获取量子数据密钥。

可选的，所述第一设备和第二设备分别向对方发送的验证请求中，还包含各自的可信度量报告。

可选的，所述授权中心包括至少两个通信连接的管控节点，各管控节点分别具有可信计算平台；

所述管控节点之一，用于将所述授权中心的系统私钥根据门限密钥共享机制拆分成n个系统子私钥，n与管控节点的数目一致，并将其中n-1个系统子私钥分别分发给不同的管控节点；还用于根据接收到的授权请求，对相应请求方的身份与平台的可信性进行验证，并在验证通过后基于自己持有的系统子私钥向相应请求方颁发基于其身份与平台信息的子私钥及子证书；

所述管控节点中的其他节点，用于根据接收到的授权请求，对相应请求方的身份与平台的可信性进行验证，并在验证通过后基于自己持有的系统子私钥向相应请求方颁发基于其身份与平台信息的子私钥及子证书；

所述第一设备和第二设备，分别具体用于向预定数量的管控节点发送授权请求，并根据管控节点颁发的子私钥及子证书，采用所述门限密钥共享机制合成基于各自身份与平台信息的私钥及可信证书。

可选的，所述第一设备和第二设备，还分别用于将获取的基于各自身份与平台信息的私钥及可信证书存储在各自可信计算平台提供的可信存储空间中。

可选的，所述授权中心为一集中管控节点，具体用于分别根据第一设备和第二设备的授权请求，对相应请求方的身份与平台的可信性进行验证，并在验证通过后基于系统私钥为相应的请求方颁发基于其身份与平台信息的私钥及可信证书。

可选的，所述系统私钥是权威的认证授权机构向所述授权中心颁发的，或者是所述授权中心利用其可信计算平台生成的。

可选的，所述第一设备和第二设备，分别具体用于在双方均通过验证后，通过协商从各自的共享量子密钥串中获取两个或者两个以上量子数据密钥。