本技術(shù)涉及密碼安全，尤其涉及一種基于證書的后量子加密遷移系統(tǒng)、方法、設(shè)備及介質(zhì)。

背景技術(shù)：

1、量子技術(shù)作為一項(xiàng)劃時(shí)代前沿技術(shù)，已成為新一輪科技革命和產(chǎn)業(yè)變革的前沿領(lǐng)域，對包括金融業(yè)在內(nèi)諸多行業(yè)的技術(shù)體系將產(chǎn)生重要影響。量子技術(shù)在實(shí)現(xiàn)業(yè)務(wù)賦能的同時(shí)，也能夠破解現(xiàn)今的密碼安全體系，從而對以密碼為核心的金融信息系統(tǒng)安全性形成潛在的安全威脅。為了應(yīng)對量子計(jì)算形成的潛在安全威脅，核心策略是研究并標(biāo)準(zhǔn)化可抵御量子計(jì)算技術(shù)攻擊的后量子密碼，然后實(shí)施后量子密碼遷移，分批、有序地將信息系統(tǒng)中現(xiàn)有密碼算法替換為后量子密碼算法。

2、目前，用于過渡期的后量子密碼遷移方案，后量子算法密鑰是通過人工分發(fā)，不僅工作量大，人工操作還容易出現(xiàn)安全漏洞。使得后量子密碼遷移效率較低，安全性較差。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)提供了一種基于證書的后量子加密遷移系統(tǒng)、方法、設(shè)備及介質(zhì)，用以解決現(xiàn)有技術(shù)后量子密碼遷移效率較低，安全性較差的問題。

2、第一方面，本技術(shù)提供了一種基于證書的后量子加密遷移系統(tǒng)，所述系統(tǒng)包括：密鑰發(fā)送方和密鑰接收方；

3、所述密鑰發(fā)送方，用于基于非對稱加密算法生成第一非對稱公私鑰對，并通過證書將所述第一非對稱公私鑰對中的第一公鑰發(fā)送至所述密鑰接收方；所述密鑰接收方，用于基于非對稱加密算法生成第二非對稱公私鑰對，并通過證書將所述第二非對稱公私鑰對中的第二公鑰發(fā)送至所述密鑰發(fā)送方；

4、所述密鑰發(fā)送方，用于基于后量子加密算法生成后量子公私鑰對；

5、所述密鑰發(fā)送方，用于基于對稱加密算法生成第一對稱子密鑰；

6、所述密鑰發(fā)送方，用于使用所述第二公鑰，對所述后量子公私鑰對中的后量子公鑰及所述第一對稱子密鑰進(jìn)行非對稱加密，并使用所述第一非對稱公私鑰對中的第一私鑰進(jìn)行簽名，得到第一密文發(fā)送至所述密鑰接收方；

7、所述密鑰接收方，用于使用所述第一公鑰對所述第一密文進(jìn)行驗(yàn)簽，驗(yàn)簽通過后使用所述第二非對稱公私鑰對中的第二私鑰對所述第一密文進(jìn)行解密，獲得所述后量子公鑰和所述第一對稱子密鑰。

8、上述的技術(shù)方案具有如下優(yōu)點(diǎn)或有益效果：

9、本技術(shù)中，將傳統(tǒng)非對稱加密算法、對稱加密算法與后量子加密算法相結(jié)合，提高了整體后量子加密遷移方案安全性的同時(shí)，更具有可行性。本技術(shù)利用現(xiàn)有的證書體系進(jìn)行公鑰身份驗(yàn)證，在使用后量子密碼算法進(jìn)行加密前，接收方將后量子密碼算法公鑰通過傳統(tǒng)加密算法進(jìn)行加密傳輸。發(fā)送方驗(yàn)證公鑰身份后使用后量子公鑰加密傳輸內(nèi)容，確保了后量子密碼公鑰身份認(rèn)證的安全性。本技術(shù)相較于通過人工分發(fā)的后量子算法密鑰遷移方案，提高了后量子密碼遷移的效率和安全性。

10、進(jìn)一步地，所述密鑰接收方，用于基于對稱加密算法生成第二對稱子密鑰；

11、所述密鑰接收方，用于使用所述后量子公鑰對所述第二對稱子密鑰進(jìn)行加密得到第二密文；將所述第一對稱子密鑰和所述第二對稱子密鑰作為密鑰派生函數(shù)的輸入，生成對稱密鑰；使用所述對稱密鑰對安全數(shù)據(jù)進(jìn)行加密，得到第三密文；將所述第二密文和所述第三密文發(fā)送至所述密鑰發(fā)送方；

12、所述密鑰發(fā)送方，用于使用所述后量子公私鑰對中的后量子私鑰對所述第二密文進(jìn)行解密，獲得所述第二對稱子密鑰；將所述第一對稱子密鑰和所述第二對稱子密鑰作為所述密鑰派生函數(shù)的輸入，生成所述對稱密鑰；使用所述對稱密鑰對所述第三密文進(jìn)行解密，獲得所述安全數(shù)據(jù)。

13、上述的技術(shù)方案具有如下優(yōu)點(diǎn)或有益效果：

14、本技術(shù)中，用于加密安全數(shù)據(jù)的加密算法被傳統(tǒng)加密算法和后量子加密算法共同保護(hù)，且傳輸過程中的密文也不包含完整的密鑰，提高的安全數(shù)據(jù)傳輸?shù)陌踩浴?/p>

15、進(jìn)一步地，所述非對稱加密算法包括國產(chǎn)密碼算法sm2。

16、進(jìn)一步地，所述對稱加密算法包括國產(chǎn)密碼算法sm4。

17、進(jìn)一步地，所述密鑰派生函數(shù)包括kdf函數(shù)。

18、第二方面，本技術(shù)提供了一種基于證書的后量子加密遷移方法，應(yīng)用于密鑰發(fā)送方，所述方法包括：

19、所述密鑰發(fā)送方基于非對稱加密算法生成第一非對稱公私鑰對，并通過證書將所述第一非對稱公私鑰對中的第一公鑰發(fā)送至密鑰接收方；由所述密鑰接收方基于非對稱加密算法生成第二非對稱公私鑰對，并通過證書將所述第二非對稱公私鑰對中的第二公鑰發(fā)送至所述密鑰發(fā)送方；

20、所述密鑰發(fā)送方基于后量子加密算法生成后量子公私鑰對；

21、所述密鑰發(fā)送方基于對稱加密算法生成第一對稱子密鑰；

22、所述密鑰發(fā)送方使用所述第二公鑰，對所述后量子公私鑰對中的后量子公鑰及所述第一對稱子密鑰進(jìn)行非對稱加密，并使用所述第一非對稱公私鑰對中的第一私鑰進(jìn)行簽名，得到第一密文發(fā)送至所述密鑰接收方；由所述密鑰接收方使用所述第一公鑰對所述第一密文進(jìn)行驗(yàn)簽，驗(yàn)簽通過后使用所述第二非對稱公私鑰對中的第二私鑰對所述第一密文進(jìn)行解密，獲得所述后量子公鑰和所述第一對稱子密鑰。

23、進(jìn)一步地，所述方法還包括：

24、由所述密鑰接收方基于對稱加密算法生成第二對稱子密鑰；

25、由所述密鑰接收方使用所述后量子公鑰對所述第二對稱子密鑰進(jìn)行加密得到第二密文；將所述第一對稱子密鑰和所述第二對稱子密鑰作為密鑰派生函數(shù)的輸入，生成對稱密鑰；使用所述對稱密鑰對安全數(shù)據(jù)進(jìn)行加密，得到第三密文；將所述第二密文和所述第三密文發(fā)送至所述密鑰發(fā)送方；

26、所述密鑰發(fā)送方使用所述后量子公私鑰對中的后量子私鑰對所述第二密文進(jìn)行解密，獲得所述第二對稱子密鑰；將所述第一對稱子密鑰和所述第二對稱子密鑰作為所述密鑰派生函數(shù)的輸入，生成所述對稱密鑰；使用所述對稱密鑰對所述第三密文進(jìn)行解密，獲得所述安全數(shù)據(jù)。

27、第三方面，本技術(shù)提供了一種基于證書的后量子加密遷移方法，應(yīng)用于密鑰接收方，所述方法包括：

28、所述密鑰接收方基于非對稱加密算法生成第二非對稱公私鑰對，并通過證書將所述第二非對稱公私鑰對中的第二公鑰發(fā)送至密鑰發(fā)送方；由所述密鑰發(fā)送方基于非對稱加密算法生成第一非對稱公私鑰對，并通過證書將所述第一非對稱公私鑰對中的第一公鑰發(fā)送至所述密鑰接收方；由所述密鑰發(fā)送方基于后量子加密算法生成后量子公私鑰對；

29、由所述密鑰發(fā)送方基于對稱加密算法生成第一對稱子密鑰；

30、由所述密鑰發(fā)送方使用所述第二公鑰，對所述后量子公私鑰對中的后量子公鑰及所述第一對稱子密鑰進(jìn)行非對稱加密，并使用所述第一非對稱公私鑰對中的第一私鑰進(jìn)行簽名，得到第一密文發(fā)送至所述密鑰接收方；所述密鑰接收方使用所述第一公鑰對所述第一密文進(jìn)行驗(yàn)簽，驗(yàn)簽通過后使用所述第二非對稱公私鑰對中的第二私鑰對所述第一密文進(jìn)行解密，獲得所述后量子公鑰和所述第一對稱子密鑰。

31、進(jìn)一步地，所述方法還包括：

32、所述密鑰接收方基于對稱加密算法生成第二對稱子密鑰；

33、所述密鑰接收方使用所述后量子公鑰對所述第二對稱子密鑰進(jìn)行加密得到第二密文；將所述第一對稱子密鑰和所述第二對稱子密鑰作為密鑰派生函數(shù)的輸入，生成對稱密鑰；使用所述對稱密鑰對安全數(shù)據(jù)進(jìn)行加密，得到第三密文；將所述第二密文和所述第三密文發(fā)送至所述密鑰發(fā)送方；

34、由所述密鑰發(fā)送方使用所述后量子公私鑰對中的后量子私鑰對所述第二密文進(jìn)行解密，獲得所述第二對稱子密鑰；將所述第一對稱子密鑰和所述第二對稱子密鑰作為所述密鑰派生函數(shù)的輸入，生成所述對稱密鑰；使用所述對稱密鑰對所述第三密文進(jìn)行解密，獲得所述安全數(shù)據(jù)。

35、第四方面，本技術(shù)提供了一種基于證書的后量子加密遷移裝置，應(yīng)用于密鑰發(fā)送方，所述裝置包括：第一發(fā)送模塊、第一密鑰生成模塊和第一接收模塊；

36、所述第一發(fā)送模塊，用于基于非對稱加密算法生成第一非對稱公私鑰對，并通過證書將所述第一非對稱公私鑰對中的第一公鑰發(fā)送至密鑰接收方；由所述密鑰接收方基于非對稱加密算法生成第二非對稱公私鑰對，并通過證書將所述第二非對稱公私鑰對中的第二公鑰發(fā)送至所述第一接收模塊；

37、所述第一密鑰生成模塊，用于基于后量子加密算法生成后量子公私鑰對；基于對稱加密算法生成第一對稱子密鑰；

38、所述第一發(fā)送模塊，用于使用所述第二公鑰，對所述后量子公私鑰對中的后量子公鑰及所述第一對稱子密鑰進(jìn)行非對稱加密，并使用所述第一非對稱公私鑰對中的第一私鑰進(jìn)行簽名，得到第一密文發(fā)送至所述密鑰接收方；由所述密鑰接收方使用所述第一公鑰對所述第一密文進(jìn)行驗(yàn)簽，驗(yàn)簽通過后使用所述第二非對稱公私鑰對中的第二私鑰對所述第一密文進(jìn)行解密，獲得所述后量子公鑰和所述第一對稱子密鑰。

39、進(jìn)一步地，所述裝置還包括：第一解密模塊；

40、由所述密鑰接收方基于對稱加密算法生成第二對稱子密鑰；由所述密鑰接收方使用所述后量子公鑰對所述第二對稱子密鑰進(jìn)行加密得到第二密文；將所述第一對稱子密鑰和所述第二對稱子密鑰作為密鑰派生函數(shù)的輸入，生成對稱密鑰；使用所述對稱密鑰對安全數(shù)據(jù)進(jìn)行加密，得到第三密文；將所述第二密文和所述第三密文發(fā)送至所述第一接收模塊；

41、所述第一解密模塊，用于使用所述后量子公私鑰對中的后量子私鑰對所述第二密文進(jìn)行解密，獲得所述第二對稱子密鑰；將所述第一對稱子密鑰和所述第二對稱子密鑰作為所述密鑰派生函數(shù)的輸入，生成所述對稱密鑰；使用所述對稱密鑰對所述第三密文進(jìn)行解密，獲得所述安全數(shù)據(jù)。

42、第五方面，本技術(shù)提供了一種基于證書的后量子加密遷移裝置，應(yīng)用于密鑰接收方，所述裝置包括：第二發(fā)送模塊、第二解密模塊和第二接收模塊；

43、所述第二發(fā)送模塊，用于基于非對稱加密算法生成第二非對稱公私鑰對，并通過證書將所述第二非對稱公私鑰對中的第二公鑰發(fā)送至密鑰發(fā)送方；由所述密鑰發(fā)送方基于非對稱加密算法生成第一非對稱公私鑰對，并通過證書將所述第一非對稱公私鑰對中的第一公鑰發(fā)送至所述第二接收模塊；由所述密鑰發(fā)送方基于后量子加密算法生成后量子公私鑰對；

44、由所述密鑰發(fā)送方基于對稱加密算法生成第一對稱子密鑰；

45、由所述密鑰發(fā)送方使用所述第二公鑰，對所述后量子公私鑰對中的后量子公鑰及所述第一對稱子密鑰進(jìn)行非對稱加密，并使用所述第一非對稱公私鑰對中的第一私鑰進(jìn)行簽名，得到第一密文發(fā)送至所述第二接收模塊；

46、所述第二解密模塊，用于使用所述第一公鑰對所述第一密文進(jìn)行驗(yàn)簽，驗(yàn)簽通過后使用所述第二非對稱公私鑰對中的第二私鑰對所述第一密文進(jìn)行解密，獲得所述后量子公鑰和所述第一對稱子密鑰。

47、進(jìn)一步地，所述裝置還包括：第二密鑰生成模塊；

48、所述第二密鑰生成模塊，用于基于對稱加密算法生成第二對稱子密鑰；

49、所述第二發(fā)送模塊，用于使用所述后量子公鑰對所述第二對稱子密鑰進(jìn)行加密得到第二密文；將所述第一對稱子密鑰和所述第二對稱子密鑰作為密鑰派生函數(shù)的輸入，生成對稱密鑰；使用所述對稱密鑰對安全數(shù)據(jù)進(jìn)行加密，得到第三密文；將所述第二密文和所述第三密文發(fā)送至所述密鑰發(fā)送方；

50、由所述密鑰發(fā)送方使用所述后量子公私鑰對中的后量子私鑰對所述第二密文進(jìn)行解密，獲得所述第二對稱子密鑰；將所述第一對稱子密鑰和所述第二對稱子密鑰作為所述密鑰派生函數(shù)的輸入，生成所述對稱密鑰；使用所述對稱密鑰對所述第三密文進(jìn)行解密，獲得所述安全數(shù)據(jù)。

51、第六方面，本技術(shù)提供了一種電子設(shè)備，包括處理器、通信接口、存儲(chǔ)器和通信總線，其中，處理器，通信接口，存儲(chǔ)器通過通信總線完成相互間的通信；

52、存儲(chǔ)器，用于存放計(jì)算機(jī)程序；

53、處理器，用于執(zhí)行存儲(chǔ)器上所存放的程序時(shí)，實(shí)現(xiàn)所述的方法。

54、第七方面，本技術(shù)提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)內(nèi)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)所述的方法。

55、第八方面，本技術(shù)提供了一種計(jì)算機(jī)程序產(chǎn)品，所述計(jì)算機(jī)程序產(chǎn)品包括可執(zhí)行程序，該可執(zhí)行程序被處理器執(zhí)行實(shí)現(xiàn)所述的方法。