量子密钥管理服务方法、系统及存储介质技术方案

本发明专利技术公开了一种量子密钥管理服务方法、系统及存储介质，所述方法通过使用软件密码模块替代硬件密码模块，以能够支持更多类型的终端设备，从而扩展量子密钥的应用范围。此外，通过使用软件密码模块，可以有效地降低量子密钥应用推广成本，并且提高量子密钥应用的推广效率。进一步地，量子密钥应用的广泛推广，有助于加强基础通信安全，而且对防范隐私信息泄露、敏感数据泄密等方面具有积极意义。

【技术实现步骤摘要】
量子密钥管理服务方法、系统及存储介质
本专利技术涉及通信
，具体涉及一种量子密钥管理服务方法、系统及存储介质。
技术介绍
随着信息通信技术的快速发展，社会的信息化程度日新月异，国家、机构、个人的信息安全需求与日俱增，网络空间的攻防态势也日趋严峻。一方面，大数据、移动通信、云计算、物联网等新技术、新应用和新模式快速融合发展触发了新的安全威胁，访问控制、隔离等传统安全手段逐渐无法满足新形势下的需求，而密码技术作为信息安全技术的基石在保障信息的机密性、真实性、完整性和不可抵赖性方面发挥着核心作用。另一方面，网络入侵、密码破译等攻击上升为国家级别的对抗手段，特别是以量子计算为代表的计算能力的飞跃发展，对基于大数分解、离散对数等数学难题的传统密码方案带来了前所未有的挑战。因此，行业亟需发展新的技术手段来完善未来的安全保障。量子密钥分发（QuantumKeyDistribution,简称QKD）技术是近几十年发展起来的新型技术，是量子论与信息论相互结合后的产物，是现存惟一可达香农提出“绝对安全”的方法。当前，量子密钥分发技术日臻成熟、量子密钥分发网络也已经建设并投入使用，同时为了扩展QKD网络的应用场景和范围。但是现有的应用特别是移动应用使用量子密钥服务时，基本上都依赖硬件密码模块，例如安全TF卡（TransFLash，为一种存储卡）、安全NM卡（NanoMemory，为一种存储卡），甚至是手机SIM卡等。而硬件密码模块使用场景比较受限，一方面需要占用用户卡槽，甚至很多移动终端不支持外置存储设备；另一方面使用硬件密码模块也存在使用成本高，推广难度大的问题。因此，需要实现一种直接适用于终端设备本身而不需要依赖外置硬件模块的量子密钥管理和使用方法，解决硬件密码模块使用场景受限的问题，对推广量子密钥的应用具有很高的必要性。
技术实现思路
本专利技术的目的在于，提供一种量子密钥管理服务方法、系统及存储介质，其通过使用软件密码模块替代硬件密码模块，以能够支持更多类型的终端设备，从而扩展量子密钥的应用范围。此外，通过使用软件密码模块，可以有效地降低量子密钥应用推广成本，并且提高量子密钥应用的推广效率。进一步地，量子密钥应用的广泛推广，有助于加强基础通信安全，而且对防范隐私信息泄露、敏感数据泄密等方面具有积极意义。根据本专利技术的第一方面，本专利技术实施例提供了一种量子密钥管理服务方法，应用于终端设备，所述量子密钥管理服务方法包括：密钥管理服务节点向量子密钥分发网络发送密钥请求；所述密钥管理服务节点接收所述量子密钥分发网络所提供的量子密钥；所述密钥管理服务节点存储所述量子密钥至与所述密钥管理服务节点相连的硬件密码模块；以及所述硬件密码模块在返回完成存储响应至所述密钥管理服务节点后，复制所述量子密钥至与所述硬件密码模块相连的软件密码模块，其中所述软件密码模块设置于所述终端设备，从而使得所述终端设备与所述密钥管理服务节点具有对称的量子密钥。在基于上述技术方案的基础上，还可以做进一步的改进。可选地，所述硬件密码模块在复制所述量子密钥至与所述硬件密码模块相连的软件密码模块的步骤之后，还包括：所述硬件密码模块在接收到所述软件密码模块返回的完成复制响应后，销毁所存储的量子密钥。可选地，所述硬件密码模块复制所述量子密钥至与所述硬件密码模块相连的软件密码模块的步骤，还包括：所述软件密码模块发送验证信息至所述硬件密码模块，以进行权限校验；当所述软件密码模块接收到所述硬件密码模块返回的权限校验成功响应后，与所述硬件密码模块协商会话密钥；所述软件密码模块发送密钥复制请求至所述硬件密码模块；所述软件密码模块接收所述硬件密码模块返回的密文密钥数据；所述软件密码模块通过所协商的会话密钥对所述密文密钥数据进行解密，以得到明文密钥；所述软件密码模块在得到明文密钥后发送完成复制响应至所述硬件密码模块。可选地，所述密文密钥数据包括密钥数据和敏感参数。可选地，在软件密码模块发送验证信息至所述硬件密码模块，以进行权限校验的步骤之前，还包括：所述软件密码模块生成白盒保护密钥；所述软件密码模块通过所协商的会话密钥对所述密文密钥数据进行解密，以得到明文密钥的步骤，包括：通过使用白盒保护密钥加密所述明文密钥。可选地，所述终端设备包括第一终端设备和第二终端设备；在所述终端设备与所述密钥管理服务节点具有对称量子密钥的步骤之后，还包括：所述第一终端设备和所述第二终端设备分别发送认证请求至所述密钥管理服务节点；所述第一终端设备和所述第二终端设备相应地接收所述密钥管理服务节点所下发的认证响应，以建立所述终端设备与所述密钥管理服务节点的安全通道。可选地，在建立所述终端设备与所述密钥管理服务节点的安全通道的步骤之后，还包括：所述第一终端设备通过使用第一预设密钥加密会话密钥请求，并发送所加密的会话密钥请求至所述密钥管理服务节点，其中所述会话密钥请求包含所述第二终端设备的信息；所述第一终端设备接收所述密钥管理服务节点返回的会话密钥响应，以得到会话密钥响应报文；其中所述会话密钥响应报文是通过所述密钥管理服务节点产生的；所述第一终端设备通过使用与所述密钥管理服务节点对称的第一预设密钥解密所述会话密钥响应报文，以得到会话密钥密文，并且通过使用与所述密钥管理服务节点对称的第二预设密钥以解密所述会话密钥密文，进而得到会话密钥明文；所述第一终端设备同步会话信息至所述第二终端设备；所述第二终端设备根据所述会话信息生成会话密钥请求，并通过使用第一预设密钥加密会话密钥请求，以及发送所加密的会话密钥请求至所述密钥管理服务节点；所述第二终端设备接收所述密钥管理服务节点返回的会话密钥响应，以得到会话密钥响应报文；其中所述会话密钥响应报文是通过所述密钥管理服务节点产生的；所述第二终端设备通过使用与所述密钥管理服务节点对称的第一预设密钥解密所述会话密钥响应报文，以得到会话密钥密文，并且通过使用与所述密钥管理服务节点对称的第二预设密钥以解密所述会话密钥密文，进而得到会话密钥明文；所述第二终端设备响应会话信息至所述第一终端设备。可选地，在所述第一终端设备和所述第二终端设备分别发送认证请求至所述密钥管理服务节点的步骤之前，还包括：所述终端设备发送密钥划分认证请求至所述密钥管理服务节点；所述终端设备接收所述密钥管理服务节点返回的密钥划分认证响应；所述终端设备发送密钥划分请求至所述密钥管理服务节点，以请求指示划分密钥的密钥类型，其中通过使用第三预设密钥加密所述密钥划分请求；所述密钥管理服务节点在接收到密钥划分请求后，通过使用对称的第三预设密钥以解密所述密钥划分请求，并得到请求信息，以及根据请求信息确定第五预设密钥对应的密钥区域，以及通过使用第四预设密钥加密密钥划分指令，并将加密后的密钥划分指令包含在密钥划分请求响应中；所述终端设备接收所述密钥管理服务节点返回的密钥划分请求响应，并通过使用对称的第三预设密钥解密所述密钥划分请求响应，以得到密钥划分指令，以及通过使用对称的第四预设密钥以解密所述密钥划分指令而得到指令信息，并根据所述指令信息将第五预设密钥对应的密钥区域划分成相应本文档来自技高网...

【技术保护点】
1.一种量子密钥管理服务方法，用于终端设备，其特征在于，所述量子密钥管理服务方法包括：/n密钥管理服务节点向量子密钥分发网络发送密钥请求；/n所述密钥管理服务节点接收所述量子密钥分发网络所提供的量子密钥；/n所述密钥管理服务节点存储所述量子密钥至与所述密钥管理服务节点相连的硬件密码模块；以及/n所述硬件密码模块在返回完成存储响应至所述密钥管理服务节点后，复制所述量子密钥至与所述硬件密码模块相连的软件密码模块，其中所述软件密码模块设置于所述终端设备，从而使得所述终端设备与所述密钥管理服务节点具有对称的量子密钥。/n

【技术特征摘要】
1.一种量子密钥管理服务方法，用于终端设备，其特征在于，所述量子密钥管理服务方法包括：
密钥管理服务节点向量子密钥分发网络发送密钥请求；
所述密钥管理服务节点接收所述量子密钥分发网络所提供的量子密钥；
所述密钥管理服务节点存储所述量子密钥至与所述密钥管理服务节点相连的硬件密码模块；以及
所述硬件密码模块在返回完成存储响应至所述密钥管理服务节点后，复制所述量子密钥至与所述硬件密码模块相连的软件密码模块，其中所述软件密码模块设置于所述终端设备，从而使得所述终端设备与所述密钥管理服务节点具有对称的量子密钥。


2.根据权利要求1所述的量子密钥管理服务方法，其特征在于，所述硬件密码模块在复制所述量子密钥至与所述硬件密码模块相连的软件密码模块的步骤之后，还包括：
所述硬件密码模块在接收到所述软件密码模块返回的完成复制响应后，销毁所存储的量子密钥。


3.根据权利要求1所述的量子密钥管理服务方法，其特征在于，所述硬件密码模块复制所述量子密钥至与所述硬件密码模块相连的软件密码模块的步骤，还包括：
所述软件密码模块发送验证信息至所述硬件密码模块，以进行权限校验；
当所述软件密码模块接收到所述硬件密码模块返回的权限校验成功响应后，与所述硬件密码模块协商会话密钥；
所述软件密码模块发送密钥复制请求至所述硬件密码模块；
所述软件密码模块接收所述硬件密码模块返回的密文密钥数据；
所述软件密码模块通过所协商的会话密钥对所述密文密钥数据进行解密，以得到明文密钥；
所述软件密码模块在得到明文密钥后发送完成复制响应至所述硬件密码模块。


4.根据权利要求3所述的量子密钥管理服务方法，其特征在于，所述密文密钥数据包括密钥数据和敏感参数。


5.根据权利要求3所述的量子密钥管理服务方法，其特征在于，在软件密码模块发送验证信息至所述硬件密码模块，以进行权限校验的步骤之前，还包括：
所述软件密码模块生成白盒保护密钥；
所述软件密码模块通过所协商的会话密钥对所述密文密钥数据进行解密，以得到明文密钥的步骤，包括：
通过使用白盒保护密钥加密所述明文密钥。


6.根据权利要求1所述的量子密钥管理服务方法，其特征在于，所述终端设备包括第一终端设备和第二终端设备；
在所述终端设备与所述密钥管理服务节点具有对称量子密钥的步骤之后，还包括：
所述第一终端设备和所述第二终端设备分别发送认证请求至所述密钥管理服务节点；
所述第一终端设备和所述第二终端设备相应地接收所述密钥管理服务节点所下发的认证响应，以建立所述终端设备与所述密钥管理服务节点的安全通道。


7.根据权利要求6所述的量子密钥管理服务方法，其特征在于，在建立所述终端设备与所述密钥管理服务节点的安全通道的步骤之后，还包括：
所述第一终端设备通过使用第一预设密钥加密会话密钥请求，并发送所加密的会话密钥请求至所述密钥管理服务节点，其中所述会话密钥请求包含所述第二终端设备的信息；
所述第一终端设备接收所述密钥管理服务节点返回的会话密钥响应，以得到会话密钥响应报文；其中所述会话密钥响应报文是通过所述密钥管理服务节点产生的；
所述第一终端设备通过使用与所述密钥管理服务节点对称的第一预设密钥解密所述会话密钥响应报文，以得到会话密钥密文，并且通过使用与所述密钥管理服务节点对称的第二预设密钥以解密所述会话密钥密文，进而得到会话密钥明文；
所述第一终端设备同步会话信息至所述第二终端设备；
所述第二终端设备根据所述会话信息生成会话密钥请求，并通过使用第一预设密钥加密会话密钥请求，以及发送所加密的会话密钥请求至所述密钥管理服务节点；
所述第二终端设备接收所述密钥管理服务节点返回的会话密钥响应，以得到会话密钥响应报文；其中所述会话密钥响应报文是通过所述密钥管理服务节点产生的；
所述第二终端设备通过使用与所述密钥管理服务节点对称的第一预设密钥解密所述会话密钥响应报文，以得到会话密钥密文，并且通过使用与所述密钥管理服务节点对称的第二预设密钥以解密所述会话密钥密文，进而得到会话密钥明文；
所述第二终端设备响应会话信息至所述第一终端设备。


8.根据权利要求6所述的量子密钥管理服务方法，其特征在于，在所述第一终端设备和所述第二终端设备分别发送认证请求至所述密钥管理服务节点的步骤之前，还包括：
所述终端设备发送密钥划分认证请求至所述密钥管理服务节点；
所述终端设备接收所述密钥管理服务节点返回的密钥划分认证响应；
所述终端设备发送密钥划分请求至所述密钥管理服务节点，以请求指示划分密钥的密钥类型，其中通过使用第三预设密钥加密所述密钥划分请求；
所述密钥管理服务节点在接收到密钥划分请求后，通过使用对称的第三预设密钥以解密所述密钥划分请求，并得到请求信息，以及根据请求信息确定第五预设密钥对应的密钥区域，以及通过使用第四预设密钥加密密钥划分指令，并将加密后的密钥划分指令包含在密钥划分请求响应中；
所述终端设备接收所述密钥管理服务节点返回的密钥划分请求响应，并通过使用对称的第三预设密钥解密所述密钥划分请求响应，以得到密钥划分指令，以及通过使用对称的第四预设密钥以解密所述密钥划分指令而得到指令信息，并根据所述指令信息将第五预设密钥对应的密钥区域划分成相应的...

【专利技术属性】
技术研发人员：詹俊锐，潘羡忠，邝礼刚，
申请(专利权)人：南京易科腾信息技术有限公司，
类型：发明
国别省市：江苏;32