一种基于量子通信网络的远程密钥颁发系统及其使用方法技术方案

技术编号:15518127 阅读:236 留言:0更新日期:2017-06-04 08:27
本发明专利技术一种基于量子通信网络的远程密钥颁发系统及其使用方法,其中:一种基于量子通信网络的远程密钥颁发系统,包括远程密钥颁发装置、密钥使用装置、密钥存储装置、密钥颁发中心和量子密钥分发服务器;远程密钥颁发装置可以与密钥颁发中心直接相连,以接收所颁发的会话密钥,或者远程密钥颁发装置与密钥颁发中心通过量子通信网络颁发会话密钥,这种密钥颁发方式不仅保证了所颁发的会话密钥在传输过程中的安全性,同时也节约远程颁发密钥所耗的人力和时间。本发明专利技术中所颁发的会话密钥不仅来自量子随机数发生器所产生的真随机数密钥还可以是来自量子通信网络中任意两个量子密钥分发服务站之间通过密钥分发协议生成的异地共享的量子通信密钥。

【技术实现步骤摘要】
一种基于量子通信网络的远程密钥颁发系统及其使用方法
本专利技术涉及量子通信设备领域,尤其提供一种基于量子通信网络的远程密钥颁发系统及其使用方法。
技术介绍
随着量子通信实用化的推进,量子通信在网络化应用方面的使用前景更加广阔,量子通信网络利用BB84协议产生的量子密钥对网络中传输的数据进行加密,能够保证信息在因特网上传输的高度安全,未来加密通信的发展方向,即为由量子力学保证其安全性的量子通信。因此,保证量子密钥能够安全颁发给用户及用户能够安全的使用量子密钥对传输的数据进行加密是构建量子通信网络及量子通信实用化的关键步骤。常规加密的安全性取决于加密密钥的保密性,因此密钥的安全存储和安全管理在数据安全中极为重要。现有技术中密钥存储的安全性主要依赖于安全可靠的存储介质和安全严密的访问控制,且为了进一步确保密钥和加密数据的安全性,需要对密钥进行备份,目的是一旦密钥遭到破坏,可利用备份的密钥恢复出原来的密钥或被加密的数据,避免造成损失。密钥的安全管理主要采用“根密钥‐密钥加密密钥‐会话密钥”的三级密钥保护结构,保证用户密钥及应用系统的安全性。其中,根密钥是密钥层次体系中最高级密钥,主要用于对密钥加密密钥进行保护。密钥加密密钥是用来加密会话密钥的二级密钥,主要用于对会话密钥进行保护。会话密钥是通信双方对通信数据进行加解密的三级密钥,主要用于安全通信。加密卡是一种高性能基础密码设备,能够适用于各类密码安全应用系统进行高速的、多任务并行处理的密码运算,可以满足应用系统数据的签名/验证、加密/解密的要求,同时提供安全、完善的密钥管理机制,是经典通信领域安全等级极高的硬件加解密设备。加密卡能够保证关键密钥在任何时候不以明文形式出现在设备外。因此,可以使用加密卡协助量子密钥的远程颁发,将量子密钥先经加密卡进行保护后再提供给密钥使用装置使用。由于,现有加密卡的应用依赖于经典的PKI体系,其签名和认证都依赖于公钥密码体制,且现有加密卡中密钥的安全管理采用的是二级加密体制,其根密钥直接以明文的形式存储在加密卡的存储器中,并可以直接取出以备份在外部存储介质中,不能够满足量子通信网络对安全性的要求。因此,本专利技术在现有加密卡的基础上提出一种基于量子通信网络的远程密钥颁发装置,用于保证会话密钥能够安全颁发给远程密钥使用装置。1)在经典保密通信中对称加密算法用于加密传输数据,而非对称加密算法用于加密会话密钥。可以看出,经典保密通信中通信双方会话密钥的颁发依赖于非对称加密算法。而非对称加密算法的安全性是基于一些特定的复杂数学运算,随着量子计算机的发展,计算机的运算速度以指数倍增长,这使得经典非对称加密算法将面临着被破解的风险。2)目前将会话密钥颁发给其使用装置的方式,是将存储并使用会话密钥的加密卡携带到密钥颁发中心进行密钥充值的过程。且用户加密卡中所充值的密钥仅仅来自密钥颁发中心通过真随机数发生器所产生的真随机数。3)现有技术中,所颁发的会话密钥直接进入密钥使用装置进行加密存储和使用,使得会话密钥总有一个时刻是以明文的形式存在于计算机内,这使得会话密钥的安全性大大降低。4)现有加密卡采用两级密钥体制,其密钥的加密密钥是以明文的形式存储于加密卡内,且以明文的形式备份到加密卡之外,面临一定的破解风险。
技术实现思路
为了解决上述的技术问题,本专利技术的目的是提供能够完成对密钥的加密存储和安全使用的一种基于量子通信网络的远程密钥颁发系统及其使用方法。为了达到上述的目的,本专利技术采用了以下的技术方案:本专利技术提出一种基于量子通信网络的远程密钥颁发系统,包括远程密钥颁发装置、管理中心、密钥使用装置、密钥存储装置、密钥颁发中心和量子密钥分发服务器;所述远程密钥颁发装置是一种与密钥使用装置相连接的隔离装置,该远程密钥颁发装置与密钥使用装置通信连接,接收密钥颁发中心对密钥使用装置所颁发的会话密钥,将该会话密钥进行加密以便在密钥使用装置中安全存储。一种特例是该远程密钥颁发装置位于密钥使用装置内。该远程密钥颁发装置的内部结构包括CPU、内存、存储器、量子随机数发生器芯片等,并有相应的操作系统,可以存储用户信息和各类密码学应用等。其表现形式可以是主机板卡,即通过PCI或者PCIE端口连接到密钥使用装置上,也可以是独立的隔离设备,可通过通信接口,如USB接口、网口等接入到密钥使用装置上。密钥使用装置上所有使用会话密钥进行加解密的操作,都由该隔离装置完成。除此之外,远程密钥颁发装置上还具有其他独立的接口,包括与本地量子密钥分发服务器直连的网口、USB接口及其他通信接口。所述远程密钥颁发装置包括认证装置、加解密装置、安全芯片、内部存储区、外部存储区、处理装置、真随机数装置和网络接口,其中:认证装置,用于完成密钥颁发前的身份认证,以及用于实现远程密钥颁发装置在通信过程中的消息认证和身份认证;加解密装置,用于使用会话密钥完成对数据的加解密;安全芯片内部具有核心存储区,该核心存储区是远程密钥颁发装置中最高保密级别的存储区域,该区域中的数据以明文的形式写入,且任何途径都无法再读取;作为优选,安全芯片为TPM安全芯片;内部存储区是在该远程密钥颁发装置的内存上,存储用户信息及经根密钥加密后的用户密钥;外部存储区,是远程密钥颁发装置上通过SATA接口或者USB接口接入的外部存储介质,用于对用户信息及经根密钥加密后的用户密钥做备份存储;处理装置,是远程密钥颁发装置的业务处理装置,负责所有业务的统筹管理和对其他装置的消息收发;真随机数装置,用于产生真随机数供该远程密钥颁发装置使用;作为优选,真随机数装置是采用量子随机数发生器芯片;网络接口,是远程密钥颁发装置的通信接口,远程密钥颁发装置通过此网络接口可以与密钥颁发中心、量子密钥分发服务器、密钥使用装置进行通信。所述远程密钥颁发装置采用“根密钥‐用户密钥‐会话密钥”的三级密钥保护结构,保证所颁发的会话密钥及应用系统的安全性。其中,根密钥,是一级密钥,是存放在最高保密级别区域内的密钥,一般存储在远程密钥颁发装置内的安全芯片中,该安全芯片优选为TPM安全芯片。由远程密钥颁发装置的根密钥所加密的数据只有该远程密钥颁发装置能解密。用户密钥,是二级密钥,当有量子通信密钥或真随机数密钥作为会话密钥颁发进来时,远程密钥颁发装置就会使用其真随机数装置生成的真随机数作为本次所颁发的会话密钥的用户密钥,用来加密会话密钥。用户密钥被根密钥加密保存在远程密钥颁发装置的存储器中,还可根据需要将密文形式的用户密钥做硬件备份,优选为通过远程密钥颁发装置的SATA接口或USB接口存储在闪存存储器内。会话密钥,是三级密钥,是给密钥使用装置所颁发的会话密钥,是密钥使用装置与其他用户进行安全通信所使用的会话密钥。本专利技术中,会话密钥包括量子通信密钥和真随机数密钥,其中,量子通信密钥是由量子密钥分发服务器产生;真随机数密钥是由真随机数发生器产生。管理中心:用于向远程密钥颁发装置写入初始化程序和根密钥,并将远程密钥颁发装置内的所有设备信息进行备份;密钥使用装置:是量子通信网络中的各种服务器设备,其通过与用户共享会话密钥,并使用该会话密钥完成与用户之间的安全通信;该密钥使用装置与远程密钥颁发装置通信连接,在对外通信时借助该远程密钥颁发装置完成对会话密钥的使用操作;密钥存储装置:存储经远本文档来自技高网
...
一种基于量子通信网络的远程密钥颁发系统及其使用方法

【技术保护点】
一种基于量子通信网络的远程密钥颁发系统,其特征在于,包括远程密钥颁发装置、密钥使用装置、密钥存储装置、密钥颁发中心和量子密钥分发服务器;远程密钥颁发装置:用于接收密钥颁发中心所颁发的会话密钥,并配合密钥使用装置完成对会话密钥的加密存储和安全使用;密钥使用装置:是量子通信网络中的各种服务器设备,其通过与用户共享会话密钥,并使用该会话密钥完成与用户之间的安全通信;密钥存储装置:存储经远程密钥颁发装置加密后的会话密钥;密钥颁发中心:对用户和密钥使用装置进行认证,并为用户和密钥使用装置颁发共享的会话密钥;量子密钥分发服务器:量子通信网络中任意两个量子密钥分发服务器之间通过量子密钥分发协议产生异地共享的量子通信密钥,使用量子通信密钥对数据加解密即可完成异地之间的安全通信;其中:远程密钥颁发装置与密钥使用装置连接,密钥使用装置与密钥存储装置连接,密钥颁发中心与远程密钥颁发装置连接,密钥颁发中心与量子密钥分发服务器连接以及远程密钥颁发装置与量子密钥分发服务器连接。

【技术特征摘要】
1.一种基于量子通信网络的远程密钥颁发系统,其特征在于,包括远程密钥颁发装置、密钥使用装置、密钥存储装置、密钥颁发中心和量子密钥分发服务器;远程密钥颁发装置:用于接收密钥颁发中心所颁发的会话密钥,并配合密钥使用装置完成对会话密钥的加密存储和安全使用;密钥使用装置:是量子通信网络中的各种服务器设备,其通过与用户共享会话密钥,并使用该会话密钥完成与用户之间的安全通信;密钥存储装置:存储经远程密钥颁发装置加密后的会话密钥;密钥颁发中心:对用户和密钥使用装置进行认证,并为用户和密钥使用装置颁发共享的会话密钥;量子密钥分发服务器:量子通信网络中任意两个量子密钥分发服务器之间通过量子密钥分发协议产生异地共享的量子通信密钥,使用量子通信密钥对数据加解密即可完成异地之间的安全通信;其中:远程密钥颁发装置与密钥使用装置连接,密钥使用装置与密钥存储装置连接,密钥颁发中心与远程密钥颁发装置连接,密钥颁发中心与量子密钥分发服务器连接以及远程密钥颁发装置与量子密钥分发服务器连接。2.根据权利要求1中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,还包括管理中心,该管理中心是用于向远程密钥颁发装置写入初始化程序和根密钥,并将远程密钥颁发装置内的所有设备信息进行备份。3.根据权利要求1或2中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,密钥颁发中心内部包含真随机数发生器,该真随机数发生器用于产生真随机数,所述密钥颁发中心将其作为会话密钥颁发给密钥使用装置。4.根据权利要求1或2中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,所述远程密钥颁发装置包括认证装置、加解密装置、安全芯片、内部存储区、外部存储区、处理装置、真随机数装置和网络接口,其中:认证装置,用于完成密钥颁发前的身份认证,以及用于实现远程密钥颁发装置在通信过程中的消息认证和身份认证;加解密装置,用于使用会话密钥完成对数据的加解密;安全芯片内部具有核心存储区,该核心存储区是远程密钥颁发装置中最高保密级别的存储区域,该区域中的数据以明文的形式写入,且任何途径都无法再读取;内部存储区是在该远程密钥颁发装置的内存上,存储用户信息及经根密钥加密后的用户密钥;外部存储区,是远程密钥颁发装置上通过SATA接口或者USB接口接入的外部存储介质,用于对用户信息及经根密钥加密后的用户密钥做备份存储;处理装置,是远程密钥颁发装置的业务处理装置,负责所有业务的统筹管理和对其他装置的消息收发;真随机数装置,用于产生真随机数供该远程密钥颁发装置使用;网络接口,是远程密钥颁发装置的通信接口,远程密钥颁发装置通过此网络接口可以与密钥颁发中心、量子密钥分发服务器、密钥使用装置进行通信。5.根据权利要求1或2中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,所述密钥存储装置位于密钥使用装置内,密钥存储装置为机械硬盘或SSD硬盘。6.根据权利要求1或2中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,安全芯片为TPM安全芯片。7.根据权利要求4中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,真随机数装置是采用量子随机数发生器芯片。8.一种基于量子通信网络的远程密钥颁发系统的密钥颁发方法,其特征在于,具体包括以下步骤:步骤1)若所颁发的...

【专利技术属性】
技术研发人员:富尧蔡晓宇钟一民
申请(专利权)人:浙江神州量子网络科技有限公司
类型:发明
国别省市:浙江,33

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1