一种生成量子安全密钥及认证参数方法、装置和根密钥中心制造方法及图纸

本申请公开了一种生成量子安全密钥及认证参数方法、装置和根密钥中心。由于在根据元数据生成密钥文件的同时，还会生成该设备标识对应的认证参数，该认证参数中包括加解密各密钥文件的待扩充随机数和用于查找认证参数的认证索引，通过该认证索引可以准确索引到该设备标识对应的待扩充随机数，根据该待扩充随机数可以实现将该设备标识的各密钥文件加密导出并充注到量子安全设备中，保证该设备标识的各密钥文件的安全性。各密钥文件的安全性。各密钥文件的安全性。

【技术实现步骤摘要】
一种生成量子安全密钥及认证参数方法、装置和根密钥中心


[0001]本申请涉及量子安全
，尤其涉及一种生成量子安全密钥及认证参数的方法、装置和根密钥中心。

技术介绍

[0002]在量子密钥分发技术中，量子随机数发生器所产生的随机数具有真随机数的特性，使用其产生的对称密钥能从根源防止攻击者对密钥的攻击。在此基础上，借助量子加密方法，我们可以实现对通信数据的高安全性加密，从而极大程度地提高数据通信系统的安全性。基于此，随着量子计算技术不断进步，采用量子加密技术的量子安全通信在数据安全通信中的重要性日益突出。
[0003]相关技术中，可以通过量子安全设备实现量子安全通信。该量子安全设备出厂前，需要通过人工预先为某一设备标识分配大量的出厂密钥，即根密钥，然后将该设备标识以及该设备标识对应的根密钥充注到需要通信的两台量子安全设备中，从而实现这两个量子安全设备中密钥的配对。后续两个量子安全设备即可基于该配对的密钥进行量子通信。对于该种方式，存在以下问题：
[0004]1、量子安全设备出厂前，需要人工分配根密钥，在需要生成非常多的设备标识所对应的根密钥的情况下，不仅工作人员的工作量会非常的大，且不便于对已分配的根密钥进行管理，影响根密钥分配的效率以及质量。
[0005]2、由于该种方式需要工作人员提前为希望通信的两台量子安全设备分别充注配对的密钥后，该两台量子安全设备之间才能进行量子安全通信，不仅浪费大量的人力、物理等成本，且在需要新增希望通信的量子安全设备和在不再需要与某一量子安全设备进行的情况下，该种量子安全通信方式也不够灵活。
[0006]3、该充注的密钥还可能会发生被篡改、窃听等安全问题，降低了量子安全通信过程的安全性。

技术实现思路

[0007]本申请提供了一种生成量子安全密钥及认证参数的方法、装置和根密钥中心，用以解决现有无法保证密钥分配的效率和质量，也无法保证根密钥导出后的安全性，且任意两个量子安全设备之间量子安全通信灵活性低的问题。
[0008]第一方面，本申请提供了一种生成量子安全密钥及认证参数装置，所述装置包括：获取模块、生成模块和处理模块；
[0009]所述获取模块，用于获取生成密钥所需的元数据；其中，所述元数据包括设备标识、以及根密钥大小；
[0010]所述生成模块，用于根据所述根密钥大小以及预设的根密钥文件粒度，为所述设备标识生成对应的各根密钥文件和认证参数；其中，所述认证参数包括用于加解密各密钥文件的待扩充随机数、用于查找所述认证参数的认证索引、对接入请求中待加密数据进行
加密的第一随机数、以及对接入响应信息中待解密数据进行解密的第二随机数，所述接入请求为所述设备标识的量子安全设备请求首次接入量子安全网络中的量子安全基站的消息，所述接入响应信息为所述量子安全基站为响应所述接入请求向所述量子安全设备发送的反馈消息，所述量子安全基站允许所述量子安全设备接入后，根据根密钥中心发送的所述设备标识的密钥文件，中继所述设备标识的量子安全设备收发的密钥；其中，所述各密钥文件包括用于对数据进行量子加解密的所述各根密钥文件；确定所述各密钥文件分别对应的文件序号，并将所述各密钥文件保存；
[0011]所述处理模块，用于根据所述设备标识、所述设备标识的所述各密钥文件分别对应的文件序号、所述设备标识对应的认证参数以及所述设备标识的各密钥文件分别对应的存储位置，获取密钥生成记录，以根据所述密钥生成记录查找所述设备标识的各密钥文件以及所述设备标识对应的认证参数。
[0012]第二方面，本申请提供了一种生成量子安全密钥及认证参数方法，所述方法包括：
[0013]获取生成密钥所需的元数据；其中，所述元数据包括设备标识、以及根密钥大小；
[0014]根据所述根密钥大小以及预设的根密钥文件粒度，为所述设备标识生成对应的各根密钥文件和认证参数；其中，所述认证参数包括用于加解密各密钥文件的待扩充随机数、用于查找所述认证参数的认证索引、对接入请求中待加密数据进行加密的第一随机数、以及对接入响应信息中待解密数据进行解密的第二随机数，所述接入请求为所述设备标识的量子安全设备请求首次接入量子安全网络中的量子安全基站的消息，所述接入响应信息为所述量子安全基站为响应所述接入请求向所述量子安全设备发送的反馈消息，所述量子安全基站允许所述量子安全设备接入后，根据根密钥中心发送的所述设备标识的密钥文件，中继所述设备标识的量子安全设备收发的密钥；其中，所述各密钥文件包括用于对数据进行量子加解密的所述各根密钥文件；
[0015]确定所述各密钥文件分别对应的文件序号，并将所述各密钥文件保存；
[0016]根据所述设备标识、所述设备标识的所述各密钥文件分别对应的文件序号、所述设备标识对应的认证参数以及所述设备标识的各密钥文件分别对应的存储位置，获取密钥生成记录，以根据所述密钥生成记录查找所述设备标识的各密钥文件以及所述设备标识对应的认证参数。
[0017]第三方面，本申请提供了一种根密钥中心，所述根密钥中心至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时实现如上述所述生成量子安全密钥及认证参数方法的步骤。
[0018]第四方面，本申请提供了一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述生成量子安全密钥及认证参数方法的步骤。
[0019]第五方面，本申请提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行上述如上述所述生成量子安全密钥及认证参数方法的步骤。
[0020]本申请的有益效果如下：
[0021]1、由于在根据元数据生成密钥文件的同时，还会生成该设备标识对应的认证参数，该认证参数中包括加解密各密钥文件的待扩充随机数和用于查找认证参数的认证索引，通过该认证索引可以准确索引到该设备标识对应的待扩充随机数，根据该待扩充随机
数可以实现将该设备标识的各密钥文件加密导出并充注到量子安全设备中，保证该设备标识的各密钥文件的安全性。
[0022]2、由于该设备标识的量子安全设备所接入的量子安全基站可以从根密钥中心获取到该设备标识的密钥文件，实现该量子安全基站与该设备标识的量子安全设备之间的密钥的配对，后续该量子安全基站可以用于中继该设备标识的量子安全设备收发的密钥，从而实现该量子安全设备与其它量子安全设备之间的量子安全通信。并且，该量子安全设备只需要与接入的量子安全基站之间进行密钥的配对，即该量子安全设备无需与任何一个需要通信的量子安全设备之间进行密钥的配对，使得该量子安全设备只需要保存该设备标识的密钥文件即可，不仅减少了量子安全设备的存储压力，且任意两个量子安全设备均接入到量子安全网络中的量子安全基站后，该两个量子安全设备便可以在进行量子安全通信时通过量子安全网络实现密钥的中继，提高了量子安全通信的灵活性，且无需工作人员预先为该两个量子安全设备充注密钥，减少了工作人员充注密钥所耗费的工作量。...

【技术保护点】

【技术特征摘要】
1.一种生成量子安全密钥及认证参数装置，其特征在于，所述装置包括：获取模块、生成模块和处理模块；所述获取模块，用于获取生成密钥所需的元数据；其中，所述元数据包括设备标识、以及根密钥大小；所述生成模块，用于根据所述根密钥大小以及预设的根密钥文件粒度，为所述设备标识生成对应的各根密钥文件和认证参数；其中，所述认证参数包括用于加解密各密钥文件的待扩充随机数、用于查找所述认证参数的认证索引、对接入请求中待加密数据进行加密的第一随机数、以及对接入响应信息中待解密数据进行解密的第二随机数，所述接入请求为所述设备标识的量子安全设备请求首次接入量子安全网络中的量子安全基站的消息，所述接入响应信息为所述量子安全基站为响应所述接入请求向所述量子安全设备发送的反馈消息，所述量子安全基站允许所述量子安全设备接入后，根据根密钥中心发送的所述设备标识的密钥文件，中继所述设备标识的量子安全设备收发的密钥；其中，所述各密钥文件包括用于对数据进行量子加解密的所述各根密钥文件；确定所述各密钥文件分别对应的文件序号，并将所述各密钥文件保存；所述处理模块，用于根据所述设备标识、所述设备标识的所述各密钥文件分别对应的文件序号、所述设备标识对应的认证参数以及所述设备标识的各密钥文件分别对应的存储位置，获取密钥生成记录，以根据所述密钥生成记录查找所述设备标识的各密钥文件以及所述设备标识对应的认证参数。2.如权利要求1所述的方法，其特征在于，若所述元数据还包括加密密钥大小，所述密钥文件还包括所述设备标识的各加密密钥文件；其中，所述各加密密钥文件是根据所述加密密钥大小以及预设的加密密钥文件粒度生成的，所述设备标识的量子安全设备出厂后根据所述加密密钥文件对接收到的加密补充密钥进行解密。3.如权利要求1所述的方法，其特征在于，若所述元数据还包括量子安全计算随机数大小，所述密钥文件还包括所述设备标识的各量子安全计算随机数文件；其中，所述各量子安全计算随机数文件是根据所述量子安全计算随机数大小以及预设的量子安全计算随机数文件粒度生成的，所述设备标识的量子安全设备出厂后根据所述各量子安全计算随机数文件，进行量子安全计算。4.如权利要求1
‑
3任一所述的方法，其特征在于，若所述元数据还包括密钥份数，则所述各密钥文件包括数量为所述密钥份数的各组密钥文件，且每组均有对应的认证参数；其中，任一组密钥文件包括各密钥类型的至少一个密钥文件，所述各密钥类型包括根密钥，相同密钥类型的任意两个密钥文件不同。5.如权利要求4所述的方法，其特征在于，所述待扩充随机数包括用于配置在所述设备标识的量子安全设备中的第一待扩充随机数。6.如权利要求5所述的方法，其特征在于，所述待扩充随机数还包括用于配置在本地的第二待扩充随机数。7.如权利要求6所述的方法，其特征在于，所述生成模块，还用于若所述元数据还包括所述设备标识的各组密钥文件分别对应的第一密钥扩展算法和第二密钥扩展算法，针对所述各组密钥文件，根据该组密钥文件对应的待扩充随机数，确定待扩充根密钥；根据该组密钥文件对应的第一密钥扩展算法、所述待扩充根密钥以及该组密钥文件的数量，确定该组
密钥文件分别对应的加解密根密钥；其中，该组密钥文件对应的第二密钥扩展算法被用于根据该组密钥文件分别对应的加解密根密钥确定该组密钥文件分别对应的加解密密钥，任一密钥文件对应的加解密密钥用于对该密钥文件进行加密；所...

【专利技术属性】
技术研发人员：傅波海，吴樱，
申请(专利权)人：矩阵时光数字科技有限公司，
类型：发明
国别省市：