【技术实现步骤摘要】
基于量子密钥分发的密钥安全充注方法及系统
[0001]本专利技术涉及量子通信
,具体涉及一种基于量子密钥分发的密钥安全充注方法及系统。
技术介绍
[0002]目前,通常采用充注机直接连接在密钥管理系统或密码机上,将密钥安全充注至安全芯片或者专门的载体中。比如,相关技术中,公开号为CN114095167A的专利技术专利申请公开了一种通信终端的量子密钥充注方法,其建立充注终端、量子随机数发生器、交换密码机和密码服务平台之间的连接关系,利用交换密码机代替了量子密钥分发设备,交换密码机基于量子随机数生成量子密钥,并利用量子密钥生成充注密钥对。公开号为CN113824556A的专利技术专利申请公开了一种量子密钥充注机操作系统保护方法和系统,实现步骤包括:(1)初始化阶段:自定义一套量子密钥充注机系统安装器,并结合安全密码模块,生成用于验证量子密钥充注机操作系统合法性的s校验值,并存入所述安全密码模块;(2)系统安装阶段:通过量子密钥充注机系统安装器获取待安装的操作系统,并调用安全密码模块的校验值对待安装的操作系统进行校验,如果校验通过,则准予安装,反之,则阻止安装;(3)系统运行阶段:启动量子密钥充注机,由量子密钥充注机核心充注程序调用所述安全密码模块的校验值对已安装的操作系统进行校验,如果校验通过,则正常运行,反之,则停止运行。
[0003]但这些技术仅适用于被充注设备、充注终端、密码服务平台/系统等设备在同一位置处的场景下,实现充注机设备与被充注设备的安全认证。而在实际应用中,因密钥的安全性需求及实际使用场景 ...
【技术保护点】
【技术特征摘要】
1.一种基于量子密钥分发的密钥安全充注方法,其特征在于,所述方法包括:充注机代理安全芯片向密钥管理系统发送第一充注密钥请求,并接收所述密钥管理系统返回的充注信息;所述充注机向第一密钥管理器发送所述充注信息,以使所述第一密钥管理器经QKDN控制器建立与第二密钥管理器之间的密钥分发链路,其中,所述第一密钥管理器与所述充注机连接,所述第二密钥管理器与所述密钥管理系统连接,所述第一密钥管理器和所述第二密钥管理器中存储有充注密钥对;所述充注机向所述第一密钥管理器发送第二充注密钥请求,并将获取的充注密钥对充注至所述安全芯片;所述密钥管理系统向所述第二密钥管理器发送第三充注密钥请求,并将获取的充注密钥对充注至服务器密码机中。2.如权利要求1所述的基于量子密钥分发的密钥安全充注方法,其特征在于,所述充注机代理所述安全芯片向密钥管理系统发送第一充注密钥请求,并接收所述密钥管理系统返回的充注信息,包括:所述充注机获取所述安全芯片的ID以及所需充注的密钥量;所述充注机向所述密钥管理系统发送所述第一充注密钥请求;所述充注机获取所述密钥管理系统返回的所述充注信息。3.如权利要求1所述的基于量子密钥分发的密钥安全充注方法,其特征在于,所述充注机向第一密钥管理器发送所述充注信息,以使所述第一密钥管理器经QKDN控制器建立与第二密钥管理器之间的密钥分发链路,包括:所述充注机向所述第一密钥管理器发送第四充注密钥请求,所述第四充注密钥请求携带所述充注信息;所述第一密钥管理器基于所述第四充注密钥请求,发送密钥分发通道数据至所述QKDN控制器;所述QKDN控制器根据所述密钥分发通道数据建立量子分发及中继通道,并向所述第一密钥管理器和所述第二密钥管理器分别提供所述充注密钥对;所述充注机获取所述第一密钥管理器返回的应答信息。4.如权利要求1所述的基于量子密钥分发的密钥安全充注方法,其特征在于,所述充注机向所述第一密钥管理器发送第二充注密钥请求,并将获取的充注密钥对充注至所述安全芯片,包括:所述充注机获取所述安全芯片产生的第一公私钥对,所述第一公私钥对包括第一公钥和第一私钥;所述充注机向所述第一密钥管理器发送所述第二充注密钥请求,以使所述第一密钥管理器使用所述第一公钥对所述充注密钥对进行加密,得到第一密文,其中,所述第二充注密钥请求携带有所述第一公钥;所述充注机获取所述第一密文,并利用所述第一私钥对所述第一密文解密得到所述充注密钥对;所述充注机将所述充注密钥对充注至所述安全芯片,以使所述安全芯片利用第一主密钥对所述充注密钥对进行加密并存储。
5.如权利要求4所述的基于量子密钥分发的密钥安全充注方法,其特征在于,在所述第一密钥管理器获取所述第二充注密钥请求之后,所述方法还包括:所述第一密钥管理器产生第一临时密钥,并使用所述第一临时密钥对所述充注密钥对进行加密,得到第二密文并下发至所述充注机;所述第一密钥管理器利用所述第一公钥对所述第一临时密钥进行加密,得到第一加密密钥并下发至所述充注机;所述充注机使用所述第一私钥对所述第一加密密钥进行解密,得到所述第一临时密钥;所述充注机利用所述第一临时密钥对所述第二密文进行解密,得到所述充注密钥对。6.如权利要求4所述的基于量子密钥分发的密钥安全充注方法,其特征在于,在所述第一密钥管理器获取所述第二充注密钥请求之后,所述方法还包括:所述第一密钥管理器产生第二临时密钥和第一防篡改密钥,并使用所述第二临时密钥对所述充注密钥对进行加密,得到第三密文;所述第一密钥管理器利用所述第一防篡改密钥对所述第三密文进行HMAC运算,得到第四密文并下发至所述充注机;所述第一密钥管理器使用所述第一公钥分别对所述第二临时密钥和所述第一防篡改密钥进行加密,得到第二加密密钥和第三加密秘钥并下发至所述充注机;所述充注机使用所述第一私钥分别对所述第二加密密钥和所述第三加密秘钥解密,得到所述第二临时密钥和所述第一防篡改密钥;所述充注机利用所述第一防篡改密钥对所述第三密文进行HMAC运算,并将运算结果与所述第四密文进行比较;所述充注机确定所述运算结果与所述...
【专利技术属性】
技术研发人员:刘驰,罗俊,
申请(专利权)人:中电信量子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。