一种用于密码机次主密钥的在线分发网络及方法技术

本发明专利技术公开了一种用于密码机次主密钥的在线分发网络及方法，其借助量子通信方式，以安全的方式将密码机的次主密钥由线下分发方式变更为在线分发方式，使得其分发效率得以提升，且能够有效规避管理

【技术实现步骤摘要】
一种用于密码机次主密钥的在线分发网络及方法


[0001]本专利技术涉及密码
，特别涉及借助量子通信方式实现的一种用于密码机次主密钥的在线分发网络及方法
。

技术介绍

[0002]现有的商用密码机
(
例如服务器密码机
、
金融数据密码机等
)
在分发次主密钥
(
或称“密钥加密密钥”、“密钥保护密钥”等
)
时，往往是以人工的方式先向总部业务系统的密码机灌注次主密钥，并生成相应的密钥信封，然后通过邮递的方式向与其存在业务交互的分支业务系统的密码机线下快递密钥信封，使得能够借助密钥信封，同样以人工方式向该分支业务系统的密码机灌注次主密钥，例如图1所示那样
。
[0003]然而，在现有商用密码机次主密钥的这种分发方式下，次主密钥容易暴露在安全域外
。
因此，现有的次主密钥分发方式必须依赖严格的管理制度和大量的人力支撑才能完成，某一个环节出现问题很容易造成次主密钥更新失败或者出现次主密钥泄露风险
。

技术实现思路

[0004]针对现有技术中存在的上述问题，本专利技术公开了一种用于密码机次主密钥的在线分发网络及方法，其借助量子通信方式，以安全的方式将密码机的次主密钥由线下分发方式变更为在线分发方式，使得其分发效率得以提升，且能够有效规避管理
、
人员问题等造成的风险，彻底解决密钥在非安全区域出现的问题
。
同时，允许沿用密码机现有的密钥导入相关标准协议接口，无需对设备进行改造，有利于原有系统的兼容
。
[0005]本专利技术的第一方面涉及一种用于密码机次主密钥的在线分发方法，其包括次主密钥生成步骤和次主密钥下发步骤；
[0006]在所述次主密钥生成步骤中，借助量子密钥分发过程在第一和第二密钥管理机之间生成共享量子密钥；
[0007]在所述次主密钥下发步骤中，由所述第一密钥管理机以加密方式将所述共享量子密钥写入第一密码机，由所述第二密钥管理机以加密方式将所述共享量子密钥写入第二密码机，并且将所述共享量子密钥设为用于所述第一和第二密码机的次主密钥
。
[0008]进一步地，本专利技术的在线分发方法还可以包括网络配置步骤，其中，将所述第一密码机配置成与所述第一密钥管理机形成通信连接，将所述第二密码机配置成与所述第二密钥管理机形成通信连接，所述第一密钥管理机连接有第一
QKD
设备，所述第二密钥管理机连接有第二
QKD
设备；并且，
[0009]在所述次主密钥生成步骤中，基于量子密钥分发网络，借助所述第一和第二
QKD
设备在所述第一和第二密钥管理机之间生成共享量子密钥
。
[0010]优选地，在所述网络配置步骤中，将所述第一密码机
、
第一密钥管理机和第一
QKD
设备部署于同一安全域内，并将所述第二密码机
、
第二密钥管理机和第二
QKD
设备部署于同一安全域内
。
[0011]进一步地，本专利技术的在线分发方法还可以包括主密钥预分配步骤，用于预先在所述第一密码机和第一密钥管理机之间分配第一主密钥，以及预先在所述第二密码机和第二密钥管理机之间分配第二主密钥；并且，
[0012]在所述次主密钥下发步骤中，利用所述第一主密钥以加密方式将所述共享量子密钥写入第一密码机，利用所述第二主密钥以加密方式将所述共享量子密钥写入第二密码机
。
[0013]可选地，在所述次主密钥下发步骤中，加密的共享量子密钥通过标准的密钥导入接口被写入至密码机中
。
[0014]本专利技术的第二方面涉及一种用于密码机次主密钥的在线分发网络，其包括第一密码机
、
第二密码机
、
第一密钥管理机和第二密钥管理机；
[0015]所述第一和第二密钥管理机被设置用于借助量子密钥分发网络生成共享量子密钥；
[0016]所述第一密钥管理机还被设置成与所述第一密码机形成通信连接，用于以加密方式向其输出所述共享量子密钥，作为次主密钥使用；
[0017]所述第二密钥管理机还被设置成与所述第二密码机形成通信连接，用于以加密方式向其输出所述共享量子密钥，作为次主密钥使用
。
[0018]进一步地，所述第一密钥管理机连接有第一
QKD
设备，且所述第一
QKD
设备被设置用于借助量子密钥分发网络生成量子密钥，以及向第一密钥管理机输出量子密钥；
[0019]所述第二密钥管理机连接有第二
QKD
设备，且所述第二
QKD
设备被设置用于借助量子密钥分发网络生成量子密钥，以及向第二密钥管理机输出量子密钥
。
[0020]优选地，所述第一密码机
、
第一密钥管理机和第一
QKD
设备部署于同一安全域内，且所述第二密码机
、
第二密钥管理机和第二
QKD
设备部署于同一安全域内；以及
/
或者，所述密钥管理机和
QKD
设备为一体机设备
。
[0021]进一步地，所述第一密钥管理机和第一密码机之间预先存储有第一主密钥，且所述第一密钥管理机被设置用于利用所述第一主密钥加密共享量子密钥；
[0022]所述第二密钥管理机和第二密码机之间预先存储有第二主密钥，且所述第二密钥管理机被设置用于利用所述第二主密钥加密共享量子密钥
。
[0023]可选地，所述密码机具有标准的密钥导入接口，用于允许写入加密的共享量子密钥
。
[0024]进一步地，本专利技术的在线分发网络还可以包括服务平台，所述服务平台被设置用于根据加密需求，调用密钥管理机以加密方式将共享量子密钥写入密码机
。
附图说明
[0025]下面结合附图对本专利技术的具体实施方式作进一步详细的说明
。
[0026]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需使用的附图作简单地介绍，显而易见，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图来获得其他的附图
。
[0027]图1示意性地示出了现有的商用密码机次主密钥分发方式；
[0028]图2示意性地示出了根据本专利技术的密码机次主密钥在线分发网络及方法
。
具体实施方式
[0029]在下文中，本专利技术的示例性实施例将参照附图来详细描述
。
下面的实施例以举例的方式提供，以便充分传达本专利技术的精神给本专利技术所属领域的技术人员
。
因此，本专利技术不限于本文公开的实施例
。
[0030]图2示意性地示出了根据本专利技术的密码机次主本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种用于密码机次主密钥的在线分发方法，其包括次主密钥生成步骤和次主密钥下发步骤；在所述次主密钥生成步骤中，借助量子密钥分发过程在第一和第二密钥管理机之间生成共享量子密钥；在所述次主密钥下发步骤中，由所述第一密钥管理机以加密方式将所述共享量子密钥写入第一密码机，由所述第二密钥管理机以加密方式将所述共享量子密钥写入第二密码机，并且将所述共享量子密钥设为用于所述第一和第二密码机的次主密钥
。2.
如权利要求1所述的在线分发方法，其还包括网络配置步骤，其中，将所述第一密码机配置成与所述第一密钥管理机形成通信连接，将所述第二密码机配置成与所述第二密钥管理机形成通信连接，所述第一密钥管理机连接有第一
QKD
设备，所述第二密钥管理机连接有第二
QKD
设备；并且，在所述次主密钥生成步骤中，基于量子密钥分发网络，借助所述第一和第二
QKD
设备在所述第一和第二密钥管理机之间生成共享量子密钥
。3.
如权利要求2所述的在线分发方法，其中，在所述网络配置步骤中，将所述第一密码机
、
第一密钥管理机和第一
QKD
设备部署于同一安全域内，并将所述第二密码机
、
第二密钥管理机和第二
QKD
设备部署于同一安全域内
。4.
如权利要求1所述的在线分发方法，其还包括主密钥预分配步骤，用于预先在所述第一密码机和第一密钥管理机之间分配第一主密钥，以及预先在所述第二密码机和第二密钥管理机之间分配第二主密钥；并且，在所述次主密钥下发步骤中，利用所述第一主密钥以加密方式将所述共享量子密钥写入第一密码机，利用所述第二主密钥以加密方式将所述共享量子密钥写入第二密码机
。5.
如权利要求1‑4中任一项所述的在线分发方法，其中，在所述次主密钥下发步骤中，加密的共享量子密钥通过标准的密钥导入接口被写入至密码机中
。6.
一种用于密码机次主密钥的在线分发网络，其包括第一密码机
、
第二密码机

【专利技术属性】
技术研发人员：李霞，
申请(专利权)人：山东量子科学技术研究院有限公司，
类型：发明
国别省市：