一种量子密钥卡的密钥分发方法及系统技术方案

本公开提供了一种量子密钥卡的密钥分发方法及系统，将量子密钥卡中的密钥分为认证密钥和通信加密密钥，通信加密密钥更新前对量子密钥卡进行一次一密的设备入网认证，能够保证量子密钥卡入网认证的无条件安全性。为每次加密密钥分发设置共享密钥的生成密钥，生成密钥由本次密钥分发的入网认证的认证密钥和用户的身份认证码生成，一方面充分利用了认证密钥，另一方面共享密钥在加密通信时实时生成，需要输入正确的身份信息，保证使用密钥卡的用户身份的正确性。户身份的正确性。户身份的正确性。

A key distribution method and system of quantum key card

【技术实现步骤摘要】
一种量子密钥卡的密钥分发方法及系统


[0001]本公开属于加密通信
，涉及一种量子密钥卡的密钥分发方法及系统。

技术介绍

[0002]本部分的陈述仅仅是提供了与本公开相关的
技术介绍
信息，不必然构成在先技术。
[0003]量子密码网络是采用量子密码技术的一种安全通信网络。量子密码网络是由经典通信网络和量子密钥分发网络共同构建而成。量子密钥分发网络主要由量子密钥分发终端设备(QKD设备)和量子链路组成，用于量子密钥的分发。经典通信网络使用量子密钥实现数据的加解密和加密数据的传输。量子密码网络中的终端或服务器之间可以通过所共享的量子密钥，进行量子保密通信，相当于它们之间具有量子保密通信链路，或称量子保密信道。量子密码网络终端是由连接于经典通信网络的经典通信终端和连接于量子通信网络的量子密钥分发设备终端组成。
[0004]密钥卡是结合了密码学技术、硬件安全隔离技术、量子物理学技术(搭载量子随机数发生器的情况下)的身份认证和加解密产品。密钥卡的内嵌芯片和操作系统可以提供密钥的安全存储和密码算法等功能。由于其具有独立的数据处理能力和良好的安全性，密钥卡成为密钥的安全载体。每一个密钥卡可以由硬件和PIN码保护，PIN码和硬件构成了用户使用密钥卡的两个必要因素，即所谓“双因子认证”，用户只有同时取得保存了相关认证信息的密钥卡和用户PIN码，才可以登录系统。用于量子密钥信息的存储和使用的密钥卡，我们将之称为量子密钥卡。
[0005]考虑到量子密码网络的高昂的搭建成本，为了扩大量子密码网络的使用范围，将量子密码网络终端作为量子网络服务站，将量子密钥卡作为量子密钥信息的存储和使用设备，量子网络服务站为量子密钥卡提供密钥分发服务，是当前量子密码网络的一种重要的应用方式。
[0006]但据专利技术人了解，目前所有的密钥分发过程均没有增加服务站和量子密钥卡之间共享密钥的信息量，所有密钥分发产生的共享密钥的信息量等于初始用于加密真随机数的共享密钥K0的信息量H(K0)，而且其重复使用相同的共享密钥进行密钥分发，增加了共享密钥暴露的风险。如果攻击者获取了K0或者密钥分发中的任何一个随机数密钥并保存了所有密钥分发过程的密文，则攻击者也获取了所有密钥分发的共享密钥。
[0007]同时，量子密钥卡通过量子网络服务站的密钥分发获得了共享密钥并将其存储于密钥卡中，随着存储时间增加，存储的共享密钥的保鲜度下降。在使用共享密钥进行加密通信时，并没有采用相应的措施消除或降低共享密钥保鲜度下降所产生的安全隐患；而且量子密钥卡为了更新密钥种子而进行密钥分发之前没有进行严格的设备身份认证，进一步降低了整个量子密码网络的系统安全性。

技术实现思路

[0008]本公开为了解决上述问题，提出了一种量子密钥卡的密钥分发方法及系统，本公开通过提前进行密钥卡的入网认证，将量子密钥卡中的密钥分为认证密钥和通信加密密钥，加密密钥更新前对量子密钥卡进行设备认证，能够保证量子密钥卡入网认证的无条件安全性。
[0009]根据一些实施例，本公开采用如下技术方案：
[0010]一种量子密钥卡的密钥分发方法，从入网认证服务器执行，包括以下步骤：
[0011]对量子密钥卡进行注册认证；
[0012]根据量子密钥卡注册认证时的认证信息，生成入网认证码，向该量子密钥卡所物理连接的量子网络服务站发送一系列真随机数据；
[0013]对提出密钥分发请求的量子密钥卡进行入网认证，每次使用未使用的认证密钥加密认证信息进行认证，认证成功后，使用量子密钥卡的入网认证码加密本次入网认证所使用的认证密钥，将生成的密文作为本次随机数分发密钥，通过量子保密信道发送给将要对量子密钥卡进行密钥分发的量子网络服务站；
[0014]量子网络服务站生成真随机数据，使用与所述量子密钥卡的共享密钥将真随机数据分发给量子密钥卡，量子网络服务站使用随机数分发密钥加密真随机数据，生成与所述量子密钥卡之间的共享密钥，利用所述共享密钥进行加密通信。
[0015]作为可选择的实施方式，对量子密钥卡进行注册认证时，在量子密码网络中建立入网认证服务器，量子密钥卡在首次获得量子网络服务站的密钥分发服务之前，先以物理方式接入密码网络服务站向入网认证服务器进行注册获得认证密钥。
[0016]作为可选择的实施方式，对量子密钥卡进行注册认证时，量子密钥卡通过量子保密通信信道向入网认证服务器提供认证信息，所述认证信息至少包括量子密钥卡设备ID、设备用户或设备管理员的认证口令或用于认证的生物特征。
[0017]作为可选择的实施方式，所述量子密钥卡存储随机数，并保存本次密钥分发的认证密钥，用于加密通信时生成与量子网络服务站之间的共享密钥。
[0018]作为可选择的实施方式，所述共享密钥生成的方法为：使用入网认证信息生成入网认证码，使用本次密钥分发的认证密钥和入网认证码生成随机数分发密钥，使用随机数分发密钥加密随机数生成与量子网络服务站之间的共享密钥。
[0019]作为可选择的实施方式，当量子密钥卡与量子网络服务站之间没有共享密钥时，量子密钥卡根据认证信息生成入网认证码，使用入网认证码和本次密钥分发的认证密钥生成密文，使用密文作为最初的共享密钥。
[0020]作为可选择的实施方式，当用于量子密钥卡入网认证的密钥数量少于设定值时，量子密钥卡通过物理方式接入量子网络服务站，进行入网认证，认证成功后，获得分发的认证密钥。
[0021]一种量子密钥卡的密钥分发系统，包括：入网认证服务器、若干量子网络服务站、量子密钥卡和连接量子密钥卡的经典网络终端，其中：
[0022]所述入网认证服务器，被配置为进行量子密钥卡的注册认证、入网认证密钥的分发及量子密钥卡入网时的设备身份认证，入网认证成功后，使用量子密钥卡的入网认证码加密本次入网认证所使用的入网认证密钥，将生成的密文作为本次的随机数分发密钥，通
过量子保密信道发送给相应的量子网络服务站；
[0023]所述量子网络服务站，与所述入网认证服务器和量子密钥卡通信，被配置为使用真随机数生发器生成真随机数据，使用与所述量子密钥卡的共享密钥将真随机数据分发给量子密钥卡，使用随机数分发密钥加密真随机数据，生成与所述量子密钥卡之间加密通信的共享密钥；
[0024]所述量子密钥卡，以物理方式接入量子网络服务站，向入网认证服务器进行注册和入网认证，获得入网认证服务器的认证密钥分发；
[0025]或通过物理连接方式接入经典网络通信终端，为经典网络通信终端提供密钥进行加密通信，需要进行加密通信密钥分发时向入网认证服务器发出入网认证请求。
[0026]作为可选择的实施方式，所述量子密钥卡入网认证的密钥数量少于设定值时，所述入网认证服务器通知量子密钥卡进行认证密钥更新，且更新前对量子密钥卡进行重新认证。
[0027]作为可选择的实施方式，所述量子密钥卡通过物理方式接入量子网络服务站，向入网认证服务器进行入网认证，认证成功后，入网认证服务器通过量子保密信道向量子密钥卡分发认证密钥。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种量子密钥卡的密钥分发方法，从入网认证服务器执行，其特征是：包括以下步骤：对量子密钥卡进行注册认证；根据量子密钥卡注册认证时的认证信息，生成入网认证码，向该量子密钥卡所物理连接的量子网络服务站发送一系列真随机数据作为认证密钥；对提出密钥分发请求的量子密钥卡进行入网认证，每次使用未使用的认证密钥加密认证信息进行认证，认证成功后，使用量子密钥卡的入网认证码加密本次入网认证的认证密钥，将生成的密文作为本次的随机数分发密钥，通过量子保密信道发送给将要对量子密钥卡进行密钥分发的量子网络服务站；量子网络服务站生成真随机数据，使用与所述量子密钥卡的共享密钥将真随机数据分发给量子密钥卡，量子网络服务站使用随机数分发密钥加密真随机数据，生成与所述量子密钥卡之间的共享密钥，利用所述共享密钥进行加密通信。2.如权利要求1所述的一种量子密钥卡的密钥分发方法，其特征是：在量子密码网络中建立入网认证服务器用于量子密钥卡的注册认证，量子密钥卡在首次获得量子网络服务站的密钥分发服务之前，先以物理方式接入密码网络服务站向入网认证服务器进行注册获得认证密钥。3.如权利要求1所述的一种量子密钥卡的密钥分发方法，其特征是：对量子密钥卡进行注册认证时，量子密钥卡通过量子保密通信信道向入网认证服务器提供认证信息，所述认证信息包括量子密钥卡设备ID、设备用户或设备管理员的认证口令或用于认证的生物特征。4.如权利要求1所述的一种量子密钥卡的密钥分发方法，其特征是：所述量子密钥卡存储量子网络服务站分发的真随机数，并保存本次密钥分发的认证密钥，用于加密通信时生成与量子网络服务站之间的共享密钥。5.如权利要求1所述的一种量子密钥卡的密钥分发方法，其特征是：所述共享密钥生成的方法为：使用入网认证信息生成入网认证码，使用本次密钥分发的认证密钥和入网认证码生成随机数分发密钥，使用随机数分发密钥加密随机数生成与量子网络服务站之间的共享密钥。6.如权利要求1所述的一种量子密钥卡的密钥分发方法，其特征是：当量子...

【专利技术属性】
技术研发人员：ꢀ七四专利代理机构，
申请(专利权)人：山东量子科学技术研究院有限公司，
类型：发明
国别省市：