(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210989182.4 (22)申请日 2022.08.17 (71)申请人 阿里巴巴 （中国） 有限公司 地址 311121 浙江省杭州市余杭区五常街 道文一西路969号3幢5层5 54室 (72)发明人 冯凯　 (74)专利代理 机构 北京辰权知识产权代理有限 公司 11619 专利代理师 李小朋 (51)Int.Cl. H04L 9/08(2006.01) G06N 10/00(2022.01) (54)发明名称 数据安全通信的方法、 系统、 设备及存储介 质 (57)摘要 本申请提出一种数据安全通信的方法、 系 统、 设备及存储介质， 该方法包括： 第一网络设备 从密钥服务器处获取由多个密钥生成的混合密 钥以及对应的混合密钥标识， 并基于混合密钥， 生成预共享密钥； 将混合密钥标识发送给第二网 络设备， 以使第二网络设备基于混合密钥标识生 成预共享密钥； 基于预共享密钥， 与第二网络设 备进行数据安全通信。 本申请能够由每个网络设 备利用与其关联的密钥服务器所生成的混合密 钥来同步创建相同的预共享密钥。 其中， 混合密 钥是基于一些量子安全算法生 成的。 每个网络设 备基于各自同步创建的预共享密钥进行网络设 备间的数据传输， 使 得网络设备间的数据传输能 抵御量子 计算的攻击， 提高数据传输的安全性。 权利要求书2页 说明书14页 附图9页 CN 115514473 A 2022.12.23 CN 115514473 A 1.一种数据安全通信的方法， 其特 征在于， 应用于第一网络设备， 包括： 从密钥服务器处获取由多个密钥生成的混合密钥以及对应的混合密钥标识， 并基于所 述混合密钥， 生成预共享密钥； 将所述混合密钥标识发送给第 二网络设备， 以使所述第 二网络设备基于所述混合密钥 标识生成所述预共享密钥； 基于所述预共享密钥， 与所述第二网络设备进行 数据安全通信。 2.根据权利要求1所述的方法， 其特征在于， 所述基于所述混合密钥， 生成预共享密钥， 包括： 利用密钥衍 生函数对所述混合密钥进行处 理， 得到所述预共享密钥。 3.根据权利要求1所述的方法， 其特征在于， 在所述基于所述混合密钥， 生成预共享密 钥之后， 还 包括： 将所述预共享密钥存储到密钥链中， 并统计存储在所述密钥链中的预共享密钥数量； 或， 将所述预共享密钥存 储到缓存 池中， 并统计存 储在所述缓存 池中的预共享密钥数量； 若确定所述预共享密钥数量低于预设数量， 向所述密钥服务器发送用于获取其他混合 密钥的密钥请求消息 。 4.根据权利要求1所述的方法， 其特征在于， 在所述基于所述预共享密钥， 与所述第二 网络设备进行 数据安全通信之前， 还 包括： 接收所述第 二网络设备发送的密钥确认消息， 所述密钥确认消息用于表征所述第 二网 络设备已基于所述混合密钥标识生成所述预共享密钥。 5.根据权利要求1所述的方法， 其特征在于， 所述基于所述预共享密钥， 与所述第二网 络设备进行 数据安全通信， 包括： 提取所述预共享密钥中的根密钥CAK； 或， 基于所述预共享密钥， 生成主会话密钥MSK， 并利用所述MSK生成根密钥CAK； 利用所述CAK生成会话密钥SAK、 校验密钥ICK以及加密 密钥KEK； 基于所述SAK、 所述 ICK以及所述KEK， 与所述第二网络设备进行 数据安全通信。 6.一种数据安全通信的方法， 其特 征在于， 应用于第二网络设备， 包括： 接收第一网络设备发送的混合密钥标识； 从与自身关联的密钥服务器中， 选取与所述混合密钥标识相对应的混合密钥， 并基于 所述混合密钥， 生成预共享密钥； 基于所述预共享密钥， 与所述第一网络设备进行 数据安全通信。 7.根据权利要求6所述的方法， 其特征在于， 在所述基于所述混合密钥， 生成预共享密 钥之后， 还 包括： 向所述第一网络设备发送密钥确 认消息， 所述密钥确 认消息用于表征所述第 二网络设 备已基于所述混合密钥标识生成所述预共享密钥。 8.一种数据安全通信的方法， 其特 征在于， 应用于密钥服 务器， 包括： 接收密钥生成指令， 生成多个密钥； 将所述多个密钥进行密钥混合处 理， 生成混合密钥以及对应的混合密钥标识； 将所述混合密钥以及对应的混合密钥标识传输给第 一网络设备， 以使所述第 一网络设 备基于所述混合密钥以及对应的混合密钥标识， 与第二网络设备进行 数据安全通信。权　利　要　求　书 1/2 页 2 CN 115514473 A 29.根据权利要求8所述的方法， 其特征在于， 所述将所述混合密钥以及对应的混合密钥 标识传输给第一网络设备， 包括： 在接收到所述第一网络设备发送的密钥请求消息时， 将所述混合密钥以及对应的混合 密钥标识传输给第一网络设备； 或， 检测到当前状态满足预设触发条件时， 将所述混合密钥以及对应的混合密钥标识传输 给第一网络设备。 10.根据权利要求8所述的方法， 其特 征在于， 所述 生成多个密钥， 包括： 利用至少一个密钥生成算法， 生成所述多个密钥。 11.根据权利要求8所述的方法， 其特 征在于， 在所述 生成多个密钥之后， 还 包括： 向其他密钥服务器发送密钥查询指令， 所述密钥查询指令用于获知所述其他密钥服务 器是否已生成与自身相同的所述多个密钥； 确定所述 其他密钥服 务器已生成与自身相同的所述多个密钥； 将所述多个密钥进行密钥混合处 理， 生成所述混合密钥。 12.一种数据安全通信的系统， 其特 征在于， 包括： 密钥服务器， 被配置为将自身生成的多个密钥进行密钥混合处理以生成混合密钥以及 对应的混合密钥标识， 将所述混合密钥以及对应的混合密钥标识传输给第一网络设备； 所述第一网络设备， 被配置为接收密钥服务器发送的混合密钥以及对应的混合密钥标 识， 基于所述混合密钥生成预共享密钥， 将所述混合密钥标识发送给第二网络设备， 以及基 于所述预共享密钥与所述第二网络设备进行 数据安全通信； 所述第二网络设备， 被配置为接收所述第一网络设备发送的混合密钥标识， 从与自身 关联的密钥服务器中选取与所述混合密钥标识相对应的混合密钥， 基于所述混合密钥生成 预共享密钥， 基于所述预共享密钥与所述第一网络设备进行 数据安全通信。 13.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器运行所述计算机程序以实现1 ‑11任一项所述的 方法。 14.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述程序被处理 器执行实现1‑11任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115514473 A 3