(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210738126.3 (22)申请日 2022.06.28 (65)同一申请的已公布的文献号 申请公布号 CN 114826593 A (43)申请公布日 2022.07.29 (73)专利权人 济南量子技术研究院 地址 250101 山东省济南市高新区舜华路 747号 (72)发明人 王琳　周飞　高洁　 (74)专利代理 机构 北京云嘉 湃富知识产权代理 有限公司 1 1678 专利代理师 程凌军 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01)审查员 杨威明 (54)发明名称 量子安全的数据传输方法及数字证书认证 系统 (57)摘要 本发明公开了一种量子安全的数据传输方 法及数字证书认证系统， 其在服务器CA与服务器 RA之间分发共享量子密钥CR， 在服务器RA之间分 发共享量子密钥RR， 服务器CA 签发数字证书并借 助共享量子密钥CR将数字证书加密发给服务器 RA， 服务器RA将数字证书发给用户终端并在其与 服务器RA之间分发密钥Rand； 将 会话密钥加密发 给发送方用户终端， 接收方的服务器RA利用密钥 Rand将会话密钥加密地发给接收方用户终端， 以 便其利用数字证书对传输数据生成签名信息， 利 用会话密钥将签名信息、 公钥证书和传输数据加 密地传给接收方用户终端以验证发送方的签名 信息。 由此提高用户之间业 务传输的安全性。 权利要求书2页 说明书7页 附图1页 CN 114826593 B 2022.09.16 CN 114826593 B 1.一种量子安全的数据传输方法， 其包括密钥分发步骤、 证书签发步骤和数据传输步 骤； 在密钥分发步骤中， 在证书签发服务器CA与证书注册服务器RA之间分发共享量子密钥 CR， 在证书注 册服务器RA两 两之间分发共享 量子密钥R R； 在证书签发步骤中， 证书签发服务器CA响应于证书注册服务器RA的证书请求， 签发数 字证书并借助共享量子密钥CR以加密方式将数字证书发送给证书注册服务器RA； 证书注册 服务器RA将数字证书 下发给用户终端， 并在证书注册 服务器RA与用户终端之间分发共享量 子密钥Rand； 在数据传输步骤中， 用于发送方的证书注册服务器RA借助其与发送方用户终端之间的 共享量子密钥Rand以加密方式将会话密钥发送给发送方用户终端， 用于接收方的证书注册 服务器RA借助其与接收方用户终端之间的共享量子密钥Rand以加密方式将会话密钥发送 给接收方用户终端； 发送方用户终端利用数字证书对传输数据生成签名信息， 并借助会话 密钥以加密方式将签名信息、 公钥证书和传输数据传输给接 收方用户终端； 接 收方用户终 端利用公钥证书验证发送方的签名信息 。 2.如权利要求1所述的数据传输方法， 其中： 会话密钥为用于发送方的证书注册服务器RA与用于接收方的证书注册服务器RA之间 的共享量子密钥RR； 或者， 通过使证书注册 服务器RA获得和存储量子随机数R and， 并将量子 随机数Rand充注给用户终端， 实现证书注 册服务器RA与用户终端之间共享 量子密钥Rand。 3.如权利要求1所述的数据传输方法， 其中， 密钥分发步骤还包括在证书签发服务器CA 与密钥管理服 务器KMC之间分发共享 量子密钥CK的步骤； 并且， 证书签发步骤还包括密钥管理服务器KMC响应于证书签发服务器CA的加密密钥请求， 借助共享 量子密钥CK以加密方式将加密 密钥对发送给证书签发服 务器CA的步骤。 4.如权利要求1所述的数据传输方法， 其中， 证书签发步骤 还包括： 用户终端向证书注 册服务器RA发送 注册证书请求和身份信息的步骤； 以及， 证书注册服务器RA对用户终端的身份信息进行验证， 并在验证通过后生成证书请求， 借助共享 量子密钥CR以加密方式将证书请求发送给证书签发服 务器CA的步骤。 5.如权利 要求1‑4中任一项所述的数据传输方法， 其中， 所述共享量子密钥Rand为器件 无关量子随机数， 以及/或者， 所述加密方式为 一字一密异或加密。 6.一种量子安全的数字证书认证系统， 其包括量子密钥分发网络和数字证书认证网 络； 所述量子密钥分发网络包括多个量子密钥分发节点； 所述数字证书认证网络包括密钥管理服务器KMC、 证书签发服务器CA和证书注册服务 器RA， 其中， 所述密钥管理服务器KMC、 证书签发服务器CA和证书注册服务器RA分别部署于 相应的量子密钥分发节点中以获取量子密钥； 所述量子密钥分发网络被设置用于在证书签发服务器CA与证书注册服务器RA之间分 发共享量子密钥CR， 以及 在证书注 册服务器RA两 两之间分发共享 量子密钥R R； 所述证书签发服务器CA被设置用于响应证书注册服务器RA的证书请求， 签发数字证书 并借助共享 量子密钥CR以加密方式将数字证书发送给证书注 册服务器RA； 所述证书注册服务器RA被设置用于将数字证书下发给用户终端， 获得并将量子密钥权　利　要　求　书 1/2 页 2 CN 114826593 B 2Rand充注给用户终端以作为其与用户终端之间的共享量子密钥R and， 以及借助共享量子密 钥Rand以加密方式将会话密钥发送给用户终端； 所述用户终端被设置成， 作为发送方利用数字证书对传输数据生成签名信息， 并借助 会话密钥以加密方式将签名信息、 公钥证书和传输数据传输给接 收方； 或者作为接 收方利 用会话密钥从接 收到的数据中获得签名信息、 公钥证书和传输数据明文， 并利用公钥证书 验证签名信息 。 7.如权利要求6所述的数字证书认证系统， 其中， 所述量子密钥分发网络还被设置用于 在证书签发服 务器CA与密钥管理服 务器KMC之间分发共享 量子密钥CK； 并且， 所述密钥管理服务器KMC被设置用于响应证书签发服务器CA的加密密钥请求， 借助共 享量子密钥CK以加密方式将加密 密钥对发送给证书签发服 务器CA。 8.如权利要求6所述的数字证书认证系统， 其中， 所述证书注册服务器RA还被设置用于 验证用户终端的身份信息， 并在验证通过后生成证书请求， 借助共享量子密钥CR以加密方 式将证书请求发送给证书签发服 务器CA。 9.如权利要求6所述的数字证书认证系统， 其还包括量子随机数服务器， 所述量子随机 数服务器被 设置用于生 成量子随机数R and， 并将量子随机数R and作为量子密钥R and发送给 证书注册服务器RA； 以及/或者， 所述会话密钥为用于发送方的证书注册服务器RA与用于接收方的证书注册服务器RA 之间的共享 量子密钥R R。 10.如权利 要求6‑9中任一项所述的数字证书认证系统， 其中， 所述用户终端为UKey、 TF 卡或IC智能卡； 以及/或者， 所述加密方式为 一字一密异或加密。权　利　要　求　书 2/2 页 3 CN 114826593 B 3