CN106789052A - 一种基于量子通信网络的远程密钥颁发系统及其使用方法 - Google Patents
一种基于量子通信网络的远程密钥颁发系统及其使用方法 Download PDFInfo
- Publication number
- CN106789052A CN106789052A CN201710189920.6A CN201710189920A CN106789052A CN 106789052 A CN106789052 A CN 106789052A CN 201710189920 A CN201710189920 A CN 201710189920A CN 106789052 A CN106789052 A CN 106789052A
- Authority
- CN
- China
- Prior art keywords
- key
- issues
- quantum
- remote cipher
- issued
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/70—Photonic quantum communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Optics & Photonics (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明一种基于量子通信网络的远程密钥颁发系统及其使用方法,其中:一种基于量子通信网络的远程密钥颁发系统,包括远程密钥颁发装置、密钥使用装置、密钥存储装置、密钥颁发中心和量子密钥分发服务器;远程密钥颁发装置可以与密钥颁发中心直接相连,以接收所颁发的会话密钥,或者远程密钥颁发装置与密钥颁发中心通过量子通信网络颁发会话密钥,这种密钥颁发方式不仅保证了所颁发的会话密钥在传输过程中的安全性,同时也节约远程颁发密钥所耗的人力和时间。本发明中所颁发的会话密钥不仅来自量子随机数发生器所产生的真随机数密钥还可以是来自量子通信网络中任意两个量子密钥分发服务站之间通过密钥分发协议生成的异地共享的量子通信密钥。
Description
技术领域
本发明涉及量子通信设备领域,尤其提供一种基于量子通信网络的远程密钥颁发系统及其使用方法。
背景技术
随着量子通信实用化的推进,量子通信在网络化应用方面的使用前景更加广阔,量子通信网络利用BB84协议产生的量子密钥对网络中传输的数据进行加密,能够保证信息在因特网上传输的高度安全,未来加密通信的发展方向,即为由量子力学保证其安全性的量子通信。因此,保证量子密钥能够安全颁发给用户及用户能够安全的使用量子密钥对传输的数据进行加密是构建量子通信网络及量子通信实用化的关键步骤。
常规加密的安全性取决于加密密钥的保密性,因此密钥的安全存储和安全管理在数据安全中极为重要。现有技术中密钥存储的安全性主要依赖于安全可靠的存储介质和安全严密的访问控制,且为了进一步确保密钥和加密数据的安全性,需要对密钥进行备份,目的是一旦密钥遭到破坏,可利用备份的密钥恢复出原来的密钥或被加密的数据,避免造成损失。密钥的安全管理主要采用“根密钥‐密钥加密密钥‐会话密钥”的三级密钥保护结构,保证用户密钥及应用系统的安全性。其中,根密钥是密钥层次体系中最高级密钥,主要用于对密钥加密密钥进行保护。密钥加密密钥是用来加密会话密钥的二级密钥,主要用于对会话密钥进行保护。会话密钥是通信双方对通信数据进行加解密的三级密钥,主要用于安全通信。
加密卡是一种高性能基础密码设备,能够适用于各类密码安全应用系统进行高速的、多任务并行处理的密码运算,可以满足应用系统数据的签名/验证、加密/解密的要求,同时提供安全、完善的密钥管理机制,是经典通信领域安全等级极高的硬件加解密设备。加密卡能够保证关键密钥在任何时候不以明文形式出现在设备外。因此,可以使用加密卡协助量子密钥的远程颁发,将量子密钥先经加密卡进行保护后再提供给密钥使用装置使用。由于,现有加密卡的应用依赖于经典的PKI体系,其签名和认证都依赖于公钥密码体制,且现有加密卡中密钥的安全管理采用的是二级加密体制,其根密钥直接以明文的形式存储在加密卡的存储器中,并可以直接取出以备份在外部存储介质中,不能够满足量子通信网络对安全性的要求。因此,本发明在现有加密卡的基础上提出一种基于量子通信网络的远程密钥颁发装置,用于保证会话密钥能够安全颁发给远程密钥使用装置。
1)在经典保密通信中对称加密算法用于加密传输数据,而非对称加密算法用于加密会话密钥。可以看出,经典保密通信中通信双方会话密钥的颁发依赖于非对称加密算法。而非对称加密算法的安全性是基于一些特定的复杂数学运算,随着量子计算机的发展,计算机的运算速度以指数倍增长,这使得经典非对称加密算法将面临着被破解的风险。
2)目前将会话密钥颁发给其使用装置的方式,是将存储并使用会话密钥的加密卡携带到密钥颁发中心进行密钥充值的过程。且用户加密卡中所充值的密钥仅仅来自密钥颁发中心通过真随机数发生器所产生的真随机数。
3)现有技术中,所颁发的会话密钥直接进入密钥使用装置进行加密存储和使用,使得会话密钥总有一个时刻是以明文的形式存在于计算机内,这使得会话密钥的安全性大大降低。
4)现有加密卡采用两级密钥体制,其密钥的加密密钥是以明文的形式存储于加密卡内,且以明文的形式备份到加密卡之外,面临一定的破解风险。
发明内容
为了解决上述的技术问题,本发明的目的是提供能够完成对密钥的加密存储和安全使用的一种基于量子通信网络的远程密钥颁发系统及其使用方法。
为了达到上述的目的,本发明采用了以下的技术方案:
本发明提出一种基于量子通信网络的远程密钥颁发系统,包括远程密钥颁发装置、管理中心、密钥使用装置、密钥存储装置、密钥颁发中心和量子密钥分发服务器;
所述远程密钥颁发装置是一种与密钥使用装置相连接的隔离装置,该远程密钥颁发装置与密钥使用装置通信连接,接收密钥颁发中心对密钥使用装置所颁发的会话密钥,将该会话密钥进行加密以便在密钥使用装置中安全存储。一种特例是该远程密钥颁发装置位于密钥使用装置内。该远程密钥颁发装置的内部结构包括CPU、内存、存储器、量子随机数发生器芯片等,并有相应的操作系统,可以存储用户信息和各类密码学应用等。其表现形式可以是主机板卡,即通过PCI或者PCIE端口连接到密钥使用装置上,也可以是独立的隔离设备,可通过通信接口,如USB接口、网口等接入到密钥使用装置上。密钥使用装置上所有使用会话密钥进行加解密的操作,都由该隔离装置完成。除此之外,远程密钥颁发装置上还具有其他独立的接口,包括与本地量子密钥分发服务器直连的网口、USB接口及其他通信接口。
所述远程密钥颁发装置包括认证装置、加解密装置、安全芯片、内部存储区、外部存储区、处理装置、真随机数装置和网络接口,其中:
认证装置,用于完成密钥颁发前的身份认证,以及用于实现远程密钥颁发装置在通信过程中的消息认证和身份认证;
加解密装置,用于使用会话密钥完成对数据的加解密;
安全芯片内部具有核心存储区,该核心存储区是远程密钥颁发装置中最高保密级别的存储区域,该区域中的数据以明文的形式写入,且任何途径都无法再读取;
作为优选,安全芯片为TPM安全芯片;
内部存储区是在该远程密钥颁发装置的内存上,存储用户信息及经根密钥加密后的用户密钥;
外部存储区,是远程密钥颁发装置上通过SATA接口或者USB接口接入的外部存储介质,用于对用户信息及经根密钥加密后的用户密钥做备份存储;
处理装置,是远程密钥颁发装置的业务处理装置,负责所有业务的统筹管理和对其他装置的消息收发;
真随机数装置,用于产生真随机数供该远程密钥颁发装置使用;
作为优选,真随机数装置是采用量子随机数发生器芯片;
网络接口,是远程密钥颁发装置的通信接口,远程密钥颁发装置通过此网络接口可以与密钥颁发中心、量子密钥分发服务器、密钥使用装置进行通信。
所述远程密钥颁发装置采用“根密钥‐用户密钥‐会话密钥”的三级密钥保护结构,保证所颁发的会话密钥及应用系统的安全性。其中,根密钥,是一级密钥,是存放在最高保密级别区域内的密钥,一般存储在远程密钥颁发装置内的安全芯片中,该安全芯片优选为TPM安全芯片。由远程密钥颁发装置的根密钥所加密的数据只有该远程密钥颁发装置能解密。用户密钥,是二级密钥,当有量子通信密钥或真随机数密钥作为会话密钥颁发进来时,远程密钥颁发装置就会使用其真随机数装置生成的真随机数作为本次所颁发的会话密钥的用户密钥,用来加密会话密钥。用户密钥被根密钥加密保存在远程密钥颁发装置的存储器中,还可根据需要将密文形式的用户密钥做硬件备份,优选为通过远程密钥颁发装置的SATA接口或USB接口存储在闪存存储器内。会话密钥,是三级密钥,是给密钥使用装置所颁发的会话密钥,是密钥使用装置与其他用户进行安全通信所使用的会话密钥。本发明中,会话密钥包括量子通信密钥和真随机数密钥,其中,量子通信密钥是由量子密钥分发服务器产生;真随机数密钥是由真随机数发生器产生。
管理中心:用于向远程密钥颁发装置写入初始化程序和根密钥,并将远程密钥颁发装置内的所有设备信息进行备份;
密钥使用装置:是量子通信网络中的各种服务器设备,其通过与用户共享会话密钥,并使用该会话密钥完成与用户之间的安全通信;该密钥使用装置与远程密钥颁发装置通信连接,在对外通信时借助该远程密钥颁发装置完成对会话密钥的使用操作;
密钥存储装置:存储经远程密钥颁发装置加密后的会话密钥;优选为各类存储主机或存储设备;
作为优选,密钥存储装置位于密钥使用装置内,密钥存储装置为机械硬盘或SSD硬盘;
密钥颁发中心:对用户和密钥使用装置进行认证,并为用户和密钥使用装置颁发共享的会话密钥;
作为优选,密钥颁发中心内部包含真随机数发生器,该真随机数发生器用于产生真随机数,所述密钥颁发中心将其作为会话密钥颁发给密钥使用装置。
量子密钥分发服务器:量子通信网络中任意两个量子密钥分发服务器之间通过量子密钥分发协议产生异地共享的量子通信密钥,使用量子通信密钥对数据加解密即可完成异地之间的安全通信。
其中:远程密钥颁发装置与密钥使用装置连接,密钥使用装置与密钥存储装置连接,密钥颁发中心与远程密钥颁发装置连接,密钥颁发中心与量子密钥分发服务器连接以及远程密钥颁发装置与量子密钥分发服务器连接。
本发明还提供一种基于量子通信网络的远程密钥颁发系统的使用方法,具体包括:基于量子通信网络的远程密钥颁发系统的密钥颁发方法及安全通信方法;其中:
本发明中的一种基于量子通信网络的远程密钥颁发系统的密钥颁发方法,具体包括以下步骤:
步骤1)对远程密钥颁发系统的部署
密钥颁发中心与本地量子密钥分发服务器A之间通信连接,远程密钥颁发装置与本地量子密钥分发服务器B之间通信连接,密钥使用装置与远程密钥颁发装置之间通信连接;量子密钥分发服务器A与量子密钥分发服务器B通过量子通信网络连接;
密钥颁发中心与远程密钥颁发装置通信连接,远程密钥颁发装置连接到密钥使用装置上;
远程密钥颁发装置预留SATA接口和USB接口;
密钥颁发中心对密钥使用装置远程颁发会话密钥先通过远程密钥颁发装置,经远程密钥颁发装置对所颁发的会话密钥进行加密后存储,供密钥使用装置使用;
步骤2)密钥远程颁发过程
密钥颁发中心对远程密钥使用装置所颁发的会话密钥有两种来源。第一种,所颁发的会话密钥是量子通信网络中任意两个量子密钥分发服务器通过量子密钥分发协议所产生的异地共享的量子通信密钥。第二种,所颁发的会话密钥是由密钥颁发中心中真随机数发生器产生的真随机数密钥,且该真随机数密钥的传输可以通过量子通信网络,也可以通过移动介质传递;其中通过量子通信网络传输会话密钥的安全性由量子力学保证,而通过移动介质传输会话密钥的安全性由操控该移动介质的人保证其安全;下面给出密钥颁发中心将其他用户与密钥使用装置共享的会话密钥颁发给密钥使用装置的过程,其结果是在密钥使用装置端具有与其他用户共享的会话密钥;
步骤3)若所颁发的会话密钥由量子密钥分发服务器所生成,则该量子通信密钥的颁发过程如下:
密钥颁发中心完成与远程密钥颁发装置的身份认证,认证成功后将本次颁发的量子通信密钥的用户信息发送给远程密钥颁发装置;
方法一:密钥颁发中心和远程密钥颁发装置均与本地的量子密钥分发服务器通信连接,且分别从本地连接的量子密钥分发服务器中获得指定数量的量子通信密钥作为本次颁发的量子通信密钥;
方法二:通过使用移动介质从两地任意一个量子密钥分发服务器中获得指定数量的量子通信密钥分别颁发给密钥颁发中心和远程密钥颁发装置;
密钥颁发中心获得量子通信密钥后将其与用户信息一起保存起来;
远程密钥颁发装置接收到用户信息后,其真随机数装置产生真随机数作为本次颁发的用户密钥,并使用该用户密钥将所颁发的量子通信密钥进行加密;
最后,远程密钥颁发装置将密文形式的量子通信密钥发送给密钥使用装置,由密钥使用装置保存在密钥存储装置中;且该用户信息及被远程密钥颁发装置的根密钥加密后的用户密钥保存在内部存储区同时做备份存储在外部存储区;
步骤4)若所颁发的会话密钥由密钥颁发中心中的真随机数发生器所生成,则该真随机数密钥的颁发过程如下:
密钥颁发中心通过真随机数发生器产生一定数量的真随机数作为用户的真随机数密钥本地保存,并完成与远程密钥颁发装置的身份认证;
方法一:密钥颁发中心与密钥使用装置身份认证成功后,将真随机数密钥通过量子通信网络发送给远程密钥颁发装置;具体过程是:
密钥颁发中心从两地量子密钥分发服务器之间共享的量子通信密钥中取出量子通信密钥K将本次需要颁发的真随机数密钥加密后发送给远程密钥颁发装置,远程密钥颁发装置通过专线或者移动介质从本地量子密钥分发服务器中获得量子通信密钥K,并使用量子通信密钥K解密得到本次所颁发的真随机数密钥;
方法二:密钥颁发中心从两地量子密钥分发服务器之间共享的量子通信密钥中取出量子通信密钥K将本次需要颁发的真随机数密钥加密;移动介质到密钥颁发中心获取加密后的真随机数密钥;该移动介质被带到远程密钥颁发装置处,通过数据接口接入远程密钥颁发装置;远程密钥颁发装置通过专线或者移动介质从本地量子密钥分发服务器中获得量子通信密钥K,并使用量子通信密钥K解密得到本次颁发的真随机数密钥;
远程密钥颁发装置得到明文形式的真随机数密钥后,通过真随机数装置产生真随机数作为本次颁发的用户密钥,并使用该用户密钥将所颁发的真随机数密钥进行加密;最后,远程密钥颁发装置将密文形式的真随机数密钥发送给密钥使用装置,由密钥使用装置保存在密钥存储装置中;且将用户信息及被远程密钥颁发装置的根密钥加密后的用户密钥保存在内部存储区同时做备份存储在外部存储区;;
需要强调的是,以上使用远程密钥颁发装置完成远程密钥颁发的方式可以任意搭配使用,即密钥使用装置可根据需要选择其中的一种或多种方式完成远程密钥的颁发。
本发明中的一种基于量子通信网络的远程密钥颁发系统的安全通信方法,具体包括以下步骤:
在密钥使用装置与用户之间进行安全通信的过程中,所有使用会话密钥的操作都在远程密钥颁发装置中进行;远程密钥颁发装置通过访问密钥存储装置获得会话密钥,使用会话密钥完成相应的操作,并将操作结果返回给密钥使用装置;
这里使用会话密钥的操作主要包括使用会话密钥完成密钥使用装置与用户之间的身份认证、消息认证、对数据的签名和验证及对通信数据进行加解密。
与现有技术相比,本发明的有益效果是:
1、本发明中,远程密钥颁发装置可以与密钥颁发中心直接相连,以接收所颁发的会话密钥,或者远程密钥颁发装置与密钥颁发中心通过量子通信网络颁发会话密钥,这种密钥颁发方式不仅保证了所颁发的会话密钥在传输过程中的安全性,同时也节约远程颁发密钥所耗的人力和时间。除此之外,本发明中所颁发的会话密钥不仅来自真随机数发生器所产生的真随机数密钥还可以是来自量子通信网络中任意两个量子密钥分发服务站之间通过密钥分发协议生成的异地共享的量子通信密钥。
2、本发明中,将远程密钥颁发装置与密钥使用装置相连接,所颁发的会话密钥先经远程密钥颁发装置加密后保存在密钥使用装置中且在通信的过程中,在远程密钥颁发装置内完成会话密钥的使用操作,保证了所颁发的会话密钥在任何时候不以明文形式出现在密钥使用装置中,保证了会话密钥在存储和使用过程中的安全。
3、本发明中,远程密钥颁发装置内含真随机数装置及与密钥颁发中心连接的网络接口,其认证和加解密所使用的密钥都是会话密钥且所使用的算法都是对称加密算法,完全摒弃了非对称加密算法的应用,是经典加密卡所不能替代的。
4、远程密钥颁发装置采用三级密钥管理体制,且不同级别密钥分级存储与备份,其中最高级根密钥存储在装置内的TPM芯片中,通过该远程密钥颁发装置无法取出,只由管理中心做备份,保证了根密钥的高度安全。用户密钥由根密钥加密后存储在装置的内存中,以密文的形式经该装置上的SATA接口或USB接口存储在外接存储介质中以做备份,保证了用户密钥的高度安全,从而保证了会话密钥的安全存储。
附图说明
图1是本发明中远程密钥颁发系统的部署图;
图2是本发明中所颁发会话密钥来自真随机数发生器的颁发流程图;
图3是本发明中所颁发的会话密钥来自量子密钥分发服务器的颁发流程图;
图4是本发明中密钥使用装置连接远程密钥颁发装置使用会话密钥进行应用的过程
具体实施方式
下面结合附图对本发明的具体实施方式做一个详细的说明。
实施例一:密钥使用装置使用会话密钥进行加密通信的过程
(1)在密钥使用装置与某用户通信的过程中,当密钥使用装置需要向某用户发送数据时,首先,密钥使用装置将待加密数据及本次通信的用户信息发送给远程密钥颁发装置。
(2)远程密钥颁发装置根据用户信息找到对应的用户密钥,并使用根密钥将该用户密钥解密。
(3)远程密钥颁发装置访问密钥存储装置,取出与该用户共享的密文形式的会话密钥。
(4)远程密钥颁发装置使用解密后的用户密钥将密文形式的会话密钥解密得到明文形式的会话密钥。
(5)远程密钥颁发装置使用该会话密钥对待加密数据进行加密。
(6)远程密钥颁发装置将加密后的密文数据返回给密钥使用装置。
(7)密钥使用装置将该密文数据发送给本次通信的用户。
实施例二:密钥使用装置使用会话密钥进行解密通信的过程
(1)在密钥使用装置与某用户通信的过程中,密钥使用装置接收到来自用户的密文数据,将密文数据及本次通信的用户信息发送给远程密钥颁发装置。
(2)远程密钥颁发装置根据用户信息找到对应的用户密钥,并使用根密钥将该用户密钥解密。
(3)远程密钥颁发装置访问密钥存储装置,取出与该用户共享的密文形式的会话密钥。
(4)远程密钥颁发装置使用解密后的用户密钥将密文形式的会话密钥解密得到明文形式的会话密钥。
(5)远程密钥颁发装置使用该会话密钥对密文数据进行解密。
(6)远程密钥颁发装置将解密后的明文数据返回给密钥使用装置。
(7)密钥使用装置接收到明文数据后进行下一步处理。
如图1所示:密钥颁发中心通信连接到本地量子密钥分发服务器A,密钥使用装置通过专门的网线直接连接到本地量子密钥分发服务器B。量子密钥分发服务器A与量子密钥分发服务器B通过量子通信网络连接。密钥颁发中心与远程密钥颁发装置直接相连,远程密钥颁发装置连接到密钥使用装置上。远程密钥颁发装置预留其他接口,如SATA接口、USB接口等。
如图2所示:密钥颁发中心本地接入到量子密钥分发服务器A,远程密钥颁发装置本地接入到量子密钥分发服务器B,量子密钥分发服务器A和量子密钥分发服务器B通过量子通信网络可产生共享的量子通信密钥K。密钥颁发中心从量子密钥分发服务器A中取得量子通信密钥K将所要颁发的会话密钥加密后发送给远程密钥颁发装置,远程密钥颁发装置从量子密钥分发服务器B中取得量子通信密钥K将接收到的数据解密得到所要颁发的会话密钥。远程密钥颁发装置通过内部的真随机数装置生成真随机数作为用户密钥,并使用该用户密钥将所要颁发的会话密钥加密后发送给密钥使用装置,由密钥使用装置将密文形式的会话密钥保存在密钥存储装置中。远程密钥颁发装置使用根密钥将用户密钥加密后保存。
如图3所示:密钥颁发中心本地接入到量子密钥分发服务器A,远程密钥颁发装置本地接入到量子密钥分发服务器B,量子密钥分发服务器A和量子密钥分发服务器B通过量子通信网络可产生共享的量子通信密钥。密钥颁发中心可以将量子密钥分发服务器产生的会话密钥颁发给密钥使用装置。密钥颁发中心与远程密钥颁发装置完成身份认证后,向远程密钥颁发装置发送本次颁发会话密钥的用户信息,远程密钥颁发装置接收到用户信息后,从本地量子密钥分发服务器中获取会话密钥,并通过内部的真随机数装置生成真随机数作为用户密钥,使用该用户密钥将所要颁发的会话密钥加密后发送给密钥使用装置,由密钥使用装置将密文形式的会话密钥保存在密钥存储装置中。远程密钥颁发装置使用根密钥将用户密钥加密后保存在其内部存储区。密钥颁发中心则从本地接入的量子密钥分发服务器中获取相同的会话密钥与用户信息一起保存。
如图4所示:首先,密钥使用装置将用户信息和待处理数据发送给远程密钥颁发装置,远程密钥颁发装置根据用户信息找到用户密钥,并使用根密钥将用户密钥解密。其次,远程密钥颁发装置访问密钥存储装置获取相应的会话密钥,并使用用户密钥将会话密钥解密。最后,远程密钥颁发装置使用解密后的会话密钥对数据进行处理,将处理后的结果返回给密钥使用装置。密钥使用装置将根据处理结果进行下一步操作。
本发明中,远程密钥颁发装置可以与密钥颁发中心直接相连,以接收所颁发的会话密钥,或者远程密钥颁发装置与密钥颁发中心通过量子通信网络颁发会话密钥,这种密钥颁发方式不仅保证了所颁发的会话密钥在传输过程中的安全性,同时也节约远程颁发密钥所耗的人力和时间。除此之外,本发明中所颁发的会话密钥不仅来自真随机数发生器所产生的真随机数密钥还可以是来自量子通信网络中任意两个量子密钥分发服务站之间通过密钥分发协议生成的异地共享的量子通信密钥。
本发明中,将远程密钥颁发装置与密钥使用装置相连接,所颁发的会话密钥先经远程密钥颁发装置加密后保存在密钥使用装置中且在通信的过程中,在远程密钥颁发装置内完成会话密钥的使用操作,保证了所颁发的会话密钥在任何时候不以明文形式出现在密钥使用装置中,保证了会话密钥在存储和使用过程中的安全。
本发明中,远程密钥颁发装置内含真随机数装置及与密钥颁发中心连接的网络接口,其认证和加解密所使用的密钥都是会话密钥且所使用的算法都是对称加密算法,完全摒弃了非对称加密算法的应用,是经典加密卡所不能替代的。
远程密钥颁发装置采用三级密钥管理体制,且不同级别密钥分级存储与备份,其中最高级根密钥存储在装置内的TPM芯片中,通过该远程密钥颁发装置无法取出,只由管理中心做备份,保证了根密钥的高度安全。用户密钥由根密钥加密后存储在装置的内存中,以密文的形式经该装置上的SATA接口或USB接口存储在外接存储介质中以做备份,保证了用户密钥的高度安全,从而保证了会话密钥的安全存储。
需要强调的是:以上仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (9)
1.一种基于量子通信网络的远程密钥颁发系统,其特征在于,包括远程密钥颁发装置、密钥使用装置、密钥存储装置、密钥颁发中心和量子密钥分发服务器;
远程密钥颁发装置:用于接收密钥颁发中心所颁发的会话密钥,并配合密钥使用装置完成对会话密钥的加密存储和安全使用;
密钥使用装置:是量子通信网络中的各种服务器设备,其通过与用户共享会话密钥,并使用该会话密钥完成与用户之间的安全通信;
密钥存储装置:存储经远程密钥颁发装置加密后的会话密钥;
密钥颁发中心:对用户和密钥使用装置进行认证,并为用户和密钥使用装置颁发共享的会话密钥;
量子密钥分发服务器:量子通信网络中任意两个量子密钥分发服务器之间通过量子密钥分发协议产生异地共享的量子通信密钥,使用量子通信密钥对数据加解密即可完成异地之间的安全通信;
其中:远程密钥颁发装置与密钥使用装置连接,密钥使用装置与密钥存储装置连接,密钥颁发中心与远程密钥颁发装置连接,密钥颁发中心与量子密钥分发服务器连接以及远程密钥颁发装置与量子密钥分发服务器连接。
2.根据权利要求1中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,还包括管理中心,该管理中心是用于向远程密钥颁发装置写入初始化程序和根密钥,并将远程密钥颁发装置内的所有设备信息进行备份。
3.根据权利要求1或2中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,密钥颁发中心内部包含真随机数发生器,该真随机数发生器用于产生真随机数,所述密钥颁发中心将其作为会话密钥颁发给密钥使用装置。
4.根据权利要求1或2中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,所述远程密钥颁发装置包括认证装置、加解密装置、安全芯片、内部存储区、外部存储区、处理装置、真随机数装置和网络接口,其中:
认证装置,用于完成密钥颁发前的身份认证,以及用于实现远程密钥颁发装置在通信过程中的消息认证和身份认证;
加解密装置,用于使用会话密钥完成对数据的加解密;
安全芯片内部具有核心存储区,该核心存储区是远程密钥颁发装置中最高保密级别的存储区域,该区域中的数据以明文的形式写入,且任何途径都无法再读取;
内部存储区是在该远程密钥颁发装置的内存上,存储用户信息及经根密钥加密后的用户密钥;
外部存储区,是远程密钥颁发装置上通过SATA接口或者USB接口接入的外部存储介质,用于对用户信息及经根密钥加密后的用户密钥做备份存储;
处理装置,是远程密钥颁发装置的业务处理装置,负责所有业务的统筹管理和对其他装置的消息收发;
真随机数装置,用于产生真随机数供该远程密钥颁发装置使用;
网络接口,是远程密钥颁发装置的通信接口,远程密钥颁发装置通过此网络接口可以与密钥颁发中心、量子密钥分发服务器、密钥使用装置进行通信。
5.根据权利要求1或2中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,所述密钥存储装置位于密钥使用装置内,密钥存储装置为机械硬盘或SSD硬盘。
6.根据权利要求1或2中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,安全芯片为TPM安全芯片。
7.根据权利要求4中所述的一种基于量子通信网络的远程密钥颁发系统,其特征在于,真随机数装置是采用量子随机数发生器芯片。
8.一种基于量子通信网络的远程密钥颁发系统的密钥颁发方法,其特征在于,具体包括以下步骤:
步骤1)若所颁发的会话密钥由量子密钥分发服务器所生成,则该量子通信密钥的颁发过程如下:
密钥颁发中心完成与远程密钥颁发装置的身份认证,认证成功后将本次颁发的量子通信密钥的用户信息发送给远程密钥颁发装置;
方法一:密钥颁发中心和远程密钥颁发装置均与本地的量子密钥分发服务器通信连接,且分别从本地连接的量子密钥分发服务器中获得本次所颁发的量子通信密钥;
方法二:通过使用移动介质从两地任意一个量子密钥分发服务器中获得指定数量的量子通信密钥分别颁发给密钥颁发中心和远程密钥颁发装置;
密钥颁发中心获得量子通信密钥后将其与用户信息一起保存起来;
远程密钥颁发装置接收到用户信息后,其真随机数装置产生真随机数作为本次颁发的用户密钥,并使用该用户密钥将所颁发的量子通信密钥进行加密;
最后,远程密钥颁发装置将密文形式的量子通信密钥发送给密钥使用装置,由密钥使用装置保存在密钥存储装置中;且将用户信息及被远程密钥颁发装置的根密钥加密后的用户密钥保存在内部存储区同时做备份存储在外部存储区;
步骤2)若所颁发的会话密钥由密钥颁发中心中的真随机数发生器所生成,则该真随机数密钥的颁发过程如下:
密钥颁发中心通过真随机数发生器产生一定数量的真随机数作为用户的真随机数密钥本地保存,并完成与远程密钥颁发装置的身份认证;
方法一:密钥颁发中心与密钥使用装置身份认证成功后,将真随机数密钥通过量子通信网络发送给远程密钥颁发装置;具体过程是:
密钥颁发中心从两地量子密钥分发服务器之间共享的量子通信密钥中取出量子通信密钥K将本次需要颁发的真随机数密钥加密后发送给远程密钥颁发装置,远程密钥颁发装置通过专线或者移动介质从本地量子密钥分发服务器中获得量子通信密钥K,并使用量子通信密钥K解密得到本次所颁发的真随机数密钥;
方法二:密钥颁发中心从两地量子密钥分发服务器之间共享的量子通信密钥中取出量子通信密钥K将本次需要颁发的真随机数密钥加密;移动介质到密钥颁发中心获取加密后的真随机数密钥;该移动介质被带到远程密钥颁发装置处,通过数据接口接入远程密钥颁发装置;远程密钥颁发装置通过专线或者移动介质从本地量子密钥分发服务器中获得量子通信密钥K,并使用量子通信密钥K解密得到本次颁发的真随机数密钥;
远程密钥颁发装置得到明文形式的真随机数密钥后,通过真随机数装置产生真随机数作为本次颁发的用户密钥,并使用该用户密钥将所颁发的真随机数密钥进行加密;最后,远程密钥颁发装置将密文形式的真随机数密钥发送给密钥使用装置,由密钥使用装置保存在密钥存储装置中;且将用户信息及被远程密钥颁发装置的根密钥加密后的用户密钥保存在内部存储区同时做备份存储在外部存储区;
需要强调的是,以上使用远程密钥颁发装置完成远程密钥颁发的方式可以任意搭配使用,即密钥使用装置可根据需要选择其中的一种或多种方式完成远程密钥的颁发。
9.一种基于量子通信网络的远程密钥颁发系统的安全通信方法,其特征在于,具体包括以下步骤:
在密钥使用装置与用户之间进行安全通信的过程中,所有使用会话密钥的操作都在远程密钥颁发装置中进行;远程密钥颁发装置通过访问密钥存储装置获得会话密钥,使用会话密钥完成相应的操作,并将操作结果返回给密钥使用装置;
这里使用会话密钥的操作主要包括使用会话密钥完成密钥使用装置与用户之间的身份认证、消息认证、对数据的签名和验证及对通信数据进行加解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710189920.6A CN106789052B (zh) | 2017-03-28 | 2017-03-28 | 一种基于量子通信网络的远程密钥颁发系统及其使用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710189920.6A CN106789052B (zh) | 2017-03-28 | 2017-03-28 | 一种基于量子通信网络的远程密钥颁发系统及其使用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106789052A true CN106789052A (zh) | 2017-05-31 |
| CN106789052B CN106789052B (zh) | 2020-06-05 |
Family
ID=58966778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710189920.6A Active CN106789052B (zh) | 2017-03-28 | 2017-03-28 | 一种基于量子通信网络的远程密钥颁发系统及其使用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106789052B (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107040378A (zh) * | 2017-06-01 | 2017-08-11 | 浙江九州量子信息技术股份有限公司 | 一种基于多用户远程通信的密钥分配系统与方法 |
| CN107147491A (zh) * | 2017-06-01 | 2017-09-08 | 浙江九州量子信息技术股份有限公司 | 一种基于多终端通信的密钥服务架构及分配方法 |
| CN109561047A (zh) * | 2017-09-26 | 2019-04-02 | 安徽问天量子科技股份有限公司 | 基于密钥异地存储的加密数据存储系统及方法 |
| CN109787763A (zh) * | 2019-03-05 | 2019-05-21 | 山东鲁能软件技术有限公司 | 一种基于量子密钥的移动通信认证方法、系统、终端及存储介质 |
| WO2019128753A1 (zh) * | 2017-12-29 | 2019-07-04 | 成都零光量子科技有限公司 | 一种低延迟的量子密钥移动服务方法 |
| CN109995739A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种信息传输方法、客户端、服务器及存储介质 |
| CN110505053A (zh) * | 2018-05-17 | 2019-11-26 | 广东国盾量子科技有限公司 | 一种量子密钥充注方法、装置及系统 |
| CN110650011A (zh) * | 2019-10-29 | 2020-01-03 | 江苏亨通问天量子信息研究院有限公司 | 基于量子密钥的加密存储方法和加密存储卡 |
| CN111385085A (zh) * | 2018-12-27 | 2020-07-07 | 山东量子科学技术研究院有限公司 | 一种量子三级密钥体系实现方法及系统 |
| CN111756530A (zh) * | 2019-03-28 | 2020-10-09 | 广东国盾量子科技有限公司 | 量子服务移动引擎系统、网络架构及相关设备 |
| CN111865590A (zh) * | 2020-08-28 | 2020-10-30 | 国科量子通信网络有限公司 | 金融领域基于量子保密通信技术的工作密钥分发系统及其应用方法 |
| CN113132102A (zh) * | 2019-12-30 | 2021-07-16 | 科大国盾量子技术股份有限公司 | 一种基于三层密钥的量子密钥保护方法、装置及系统 |
| WO2021164167A1 (zh) * | 2020-02-21 | 2021-08-26 | 苏州浪潮智能科技有限公司 | 一种密钥存取方法、装置、系统、设备和存储介质 |
| CN113536362A (zh) * | 2021-09-16 | 2021-10-22 | 中科问天量子科技(天津)有限公司 | 一种基于安全芯片载体的量子密钥管理方法及系统 |
| CN113824551A (zh) * | 2020-06-19 | 2021-12-21 | 中创为(成都)量子通信技术有限公司 | 一种应用于安全存储系统的量子密钥分发方案及装置 |
| CN114285573A (zh) * | 2022-03-06 | 2022-04-05 | 浙江九州量子信息技术股份有限公司 | 一种用于抗量子攻击的对称密钥分配方法 |
| WO2022124984A1 (en) * | 2020-12-07 | 2022-06-16 | National University Of Singapore | Quantum key token |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070101410A1 (en) * | 2005-09-29 | 2007-05-03 | Hewlett-Packard Development Company, L.P. | Method and system using one-time pad data to evidence the possession of a particular attribute |
| CN202121593U (zh) * | 2011-07-01 | 2012-01-18 | 安徽量子通信技术有限公司 | 基于量子密钥分配网络的移动加密系统 |
| CN105024801A (zh) * | 2015-07-06 | 2015-11-04 | 国网山东寿光市供电公司 | 一种量子加密通信方法 |
| CN106452741A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 基于量子网络实现信息加解密传输的通信系统和通信方法 |
-
2017
- 2017-03-28 CN CN201710189920.6A patent/CN106789052B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070101410A1 (en) * | 2005-09-29 | 2007-05-03 | Hewlett-Packard Development Company, L.P. | Method and system using one-time pad data to evidence the possession of a particular attribute |
| CN202121593U (zh) * | 2011-07-01 | 2012-01-18 | 安徽量子通信技术有限公司 | 基于量子密钥分配网络的移动加密系统 |
| CN105024801A (zh) * | 2015-07-06 | 2015-11-04 | 国网山东寿光市供电公司 | 一种量子加密通信方法 |
| CN106452741A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 基于量子网络实现信息加解密传输的通信系统和通信方法 |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107147491A (zh) * | 2017-06-01 | 2017-09-08 | 浙江九州量子信息技术股份有限公司 | 一种基于多终端通信的密钥服务架构及分配方法 |
| CN107040378A (zh) * | 2017-06-01 | 2017-08-11 | 浙江九州量子信息技术股份有限公司 | 一种基于多用户远程通信的密钥分配系统与方法 |
| CN109561047B (zh) * | 2017-09-26 | 2021-04-13 | 安徽问天量子科技股份有限公司 | 基于密钥异地存储的加密数据存储系统及方法 |
| CN109561047A (zh) * | 2017-09-26 | 2019-04-02 | 安徽问天量子科技股份有限公司 | 基于密钥异地存储的加密数据存储系统及方法 |
| WO2019062298A1 (zh) * | 2017-09-26 | 2019-04-04 | 安徽问天量子科技股份有限公司 | 基于密钥异地存储的加密数据存储系统及方法 |
| US11615213B2 (en) | 2017-09-26 | 2023-03-28 | Anhui Asky Quantum Technology Co., Ltd. | Encrypted data storage system and method based on offsite key storage |
| WO2019128753A1 (zh) * | 2017-12-29 | 2019-07-04 | 成都零光量子科技有限公司 | 一种低延迟的量子密钥移动服务方法 |
| CN109995739A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种信息传输方法、客户端、服务器及存储介质 |
| CN109995739B (zh) * | 2018-01-02 | 2021-06-15 | 中国移动通信有限公司研究院 | 一种信息传输方法、客户端、服务器及存储介质 |
| CN110505053A (zh) * | 2018-05-17 | 2019-11-26 | 广东国盾量子科技有限公司 | 一种量子密钥充注方法、装置及系统 |
| CN111385085A (zh) * | 2018-12-27 | 2020-07-07 | 山东量子科学技术研究院有限公司 | 一种量子三级密钥体系实现方法及系统 |
| CN111385085B (zh) * | 2018-12-27 | 2022-12-30 | 山东量子科学技术研究院有限公司 | 一种量子三级密钥体系实现方法及系统 |
| CN109787763A (zh) * | 2019-03-05 | 2019-05-21 | 山东鲁能软件技术有限公司 | 一种基于量子密钥的移动通信认证方法、系统、终端及存储介质 |
| CN111756530A (zh) * | 2019-03-28 | 2020-10-09 | 广东国盾量子科技有限公司 | 量子服务移动引擎系统、网络架构及相关设备 |
| CN111756530B (zh) * | 2019-03-28 | 2024-02-20 | 广东国盾量子科技有限公司 | 量子服务移动引擎系统、网络架构及相关设备 |
| CN110650011A (zh) * | 2019-10-29 | 2020-01-03 | 江苏亨通问天量子信息研究院有限公司 | 基于量子密钥的加密存储方法和加密存储卡 |
| CN110650011B (zh) * | 2019-10-29 | 2024-07-26 | 江苏亨通问天量子信息研究院有限公司 | 基于量子密钥的加密存储方法和加密存储卡 |
| CN113132102A (zh) * | 2019-12-30 | 2021-07-16 | 科大国盾量子技术股份有限公司 | 一种基于三层密钥的量子密钥保护方法、装置及系统 |
| CN113132102B (zh) * | 2019-12-30 | 2022-09-27 | 科大国盾量子技术股份有限公司 | 一种基于三层密钥的量子密钥保护方法、装置及系统 |
| WO2021164167A1 (zh) * | 2020-02-21 | 2021-08-26 | 苏州浪潮智能科技有限公司 | 一种密钥存取方法、装置、系统、设备和存储介质 |
| CN113824551B (zh) * | 2020-06-19 | 2024-04-09 | 中创为(成都)量子通信技术有限公司 | 一种应用于安全存储系统的量子密钥分发方法 |
| CN113824551A (zh) * | 2020-06-19 | 2021-12-21 | 中创为(成都)量子通信技术有限公司 | 一种应用于安全存储系统的量子密钥分发方案及装置 |
| CN111865590A (zh) * | 2020-08-28 | 2020-10-30 | 国科量子通信网络有限公司 | 金融领域基于量子保密通信技术的工作密钥分发系统及其应用方法 |
| WO2022124984A1 (en) * | 2020-12-07 | 2022-06-16 | National University Of Singapore | Quantum key token |
| CN113536362B (zh) * | 2021-09-16 | 2021-12-03 | 中科问天量子科技(天津)有限公司 | 一种基于安全芯片载体的量子密钥管理方法及系统 |
| CN113536362A (zh) * | 2021-09-16 | 2021-10-22 | 中科问天量子科技(天津)有限公司 | 一种基于安全芯片载体的量子密钥管理方法及系统 |
| CN114285573A (zh) * | 2022-03-06 | 2022-04-05 | 浙江九州量子信息技术股份有限公司 | 一种用于抗量子攻击的对称密钥分配方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106789052B (zh) | 2020-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106789052A (zh) | 一种基于量子通信网络的远程密钥颁发系统及其使用方法 | |
| TWI715537B (zh) | 基於雲環境的加密機金鑰注入系統、方法及裝置 | |
| CN103701609B (zh) | 一种服务器与操作终端双向认证的方法及系统 | |
| US9948624B2 (en) | Key downloading method, management method, downloading management method, device and system | |
| CN103795534B (zh) | 基于口令的认证方法及用于执行该方法的装置 | |
| CN105099711B (zh) | 一种基于zynq的小型密码机及数据加密方法 | |
| CN206611428U (zh) | 一种基于量子通信网络的远程密钥颁发系统 | |
| CN105553654B (zh) | 密钥信息处理方法和装置、密钥信息管理系统 | |
| CN108345806A (zh) | 一种硬件加密卡和加密方法 | |
| CN206611427U (zh) | 一种基于可信计算装置的密钥存储管理系统 | |
| CN110086626A (zh) | 基于非对称密钥池对的量子保密通信联盟链交易方法和系统 | |
| CN101483654A (zh) | 实现认证及数据安全传输的方法及系统 | |
| CN110519046A (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
| CN107135070A (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| CN107332671A (zh) | 一种基于安全芯片的安全移动终端系统及安全交易方法 | |
| CN109714166A (zh) | 一种基于量子密钥的移动分发方法、系统、终端及存储介质 | |
| CN110147666A (zh) | 物联网场景下的轻量级nfc身份认证方法、物联网通信平台 | |
| CN106656490A (zh) | 量子白板数据存储方法 | |
| CN108323230A (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
| CN109547208A (zh) | 金融电子设备主密钥在线分发方法及系统 | |
| CN103684798A (zh) | 一种用于分布式用户服务间认证系统 | |
| CN110535626A (zh) | 基于身份的量子通信服务站保密通信方法和系统 | |
| CN107104795A (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| CN110138548A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统 | |
| CN107707562A (zh) | 一种非对称动态令牌加、解密算法的方法、装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |