CN109728908B - 一种基于量子安全移动存储介质的密钥管理方法 - Google Patents
一种基于量子安全移动存储介质的密钥管理方法 Download PDFInfo
- Publication number
- CN109728908B CN109728908B CN201910202796.1A CN201910202796A CN109728908B CN 109728908 B CN109728908 B CN 109728908B CN 201910202796 A CN201910202796 A CN 201910202796A CN 109728908 B CN109728908 B CN 109728908B
- Authority
- CN
- China
- Prior art keywords
- key
- quantum
- identification
- storage medium
- mobile storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明揭示了一种基于量子安全移动存储介质的密钥管理方法,通过获取量子安全移动存储介质中硬件标识绑定的一级密钥标识,再依次通过识别硬件、匹配密钥、检查密钥、读取密钥和充注密钥过程,完成量子密钥自动冲注。本发明是一种应用于电力量子保密通信网络的量子安全移动存储介质密钥管理方法,针对当前电力信息系统中广泛使用的业务终端,通过量子保密通信技术,在不破坏原有网络结构的前提下,为业务终端提供高速率、真随机的量子离线密钥,提高了业务通信安全性。
Description
技术领域
本发明涉及电力通信、量子密码、量子通信领域。
背景技术
量子密码是一种新的密码体系,与传统的密码系统不同,量子密码的安全性依赖于量子物理学,而非数学的运算复杂度。目前,量子密码设备能够基于单个光子和它们固有的量子属性生成出一种不可破解的密码系统,缘由是在不干扰系统的情况下无法测定该系统的量子状态,理论上能达到密码不可被窃听和破译的水平。
电力企业事关国家安全、社会稳定,一直以来都是信息安全领域攻击者的重点目标,极易成为国家间尤其是大国间网络战的首选目标。近年来,随着电力通信安全需求的不断提升以及量子通信在商业领域的应用与日俱增,量子密钥在电力通信网业务数据加密的应用也越来越广泛。量子通信的核心是量子密钥分配系统。量子密钥分配系统使用量子密钥分配设备(QKD)为电力通信骨干网中端到端的安全网关、专用加密机等安全设备提供对称的量子密钥。量子密钥的使用提高了电力通信骨干网业务数据的传输安全性,但处于电力通信边际网的大量电力业务终端设备仍然处于短密钥防护,甚至无防护状态。
发明内容
本发明所要解决的技术问题是实现一种以量子安全移动存储介质为载体的,易于实现密钥充注时自动绑定存储介质的密钥管理方法,以满足巨量电力业务终端设备实时量子保密通信的需求。
为了实现上述目的,本发明采用的技术方案为:一种基于量子安全移动存储介质的密钥管理方法,通过获取量子安全移动存储介质中硬件标识绑定的一级密钥标识,再依次通过识别硬件、匹配密钥、检查密钥、读取密钥和充注密钥过程,完成量子密钥自动冲注。
所述量子安全移动存储介质包括:
一级密钥标识为量子密钥单元标识,由管理中心生成唯一一级标识ID,所述一级标识ID由电力机构标识、量子密钥应用加解密双方标识ID和量子安全移动存储介质标识ID组成;
二级标识为量子密钥块标识,二级标识ID由量子密钥使用期限和量子密钥长度标识组成,所述量子密钥使用期限和量子密钥长度标识根据应用系统的更新周期设定;
三级标识为量子密钥标识,对应加解密数据的量子密钥,其密钥长度根据加密算法要求的密钥长度设定。
当量子安全移动存储介质进行密钥充注时,一级标识与二级标识的组合内容使用国密算法生成唯一标识,结合三级标识写入量子安全移动存储介质中。
主密钥加密离线量子密钥后生成的密文数据构成密文密钥,所述密文密钥存储在密钥存储区。
其特征在于:
所述一级标识:应用于量子密钥自动充注过程中量子安全移动存储介质识别和介质绑定;
所述二级标识:用于量子密钥自动充注过程中密钥生命周期管理和解密密钥映射标识;
每个量子安全移动存储介质对应N个一级标识,每个一级标识对应K个二级标识,每个二级标识对应L个三级级标识,其中N≥1,K≥1,L≥1。
量子密钥自动冲注包括以下步骤:
步骤1:量子安全移动存储介质插入充注接口,系统自动检测并读取量子安全移动存储介质硬件标识;
步骤2:查询量子安全移动存储介质硬件标识关联的密钥单元标识,根据系统加密算法和密钥更新周期查找对应的量子密钥;
步骤3:如果量子安全移动存储介质硬件标识无关联密钥单元标识,则进入步骤5,否则进入步骤4;
步骤4:检查密钥,如果密钥内容不一致,则进入步骤5,否则进入步骤6;
步骤5:量子安全移动存储介质一键制作,选择绑定密钥单元标识并进行格式化,成功则进入下一步,否则告警提示并结束;
步骤6:读取量子密钥到密钥缓冲池,如果密钥不足,则系统自动产生量子随机数补充密钥;
步骤7:量子密钥注入量子安全移动存储介质中,完成自动冲注。
本发明是一种应用于电力量子保密通信网络的量子安全移动存储介质密钥管理方法,针对当前电力信息系统中广泛使用的业务终端,通过量子保密通信技术,在不破坏原有网络结构的前提下,为业务终端提供高速率、真随机的量子离线密钥,提高了业务通信安全性。
附图说明
下面对本发明说明书中每幅附图表达的内容作简要说明:
图1为离线量子密钥三级标识结构图;
图2为密文密钥的主密钥对应结构;
图3为量子安全移动存储介质自动识别和充注流程。
具体实施方式
下面对照附图,通过对实施例的描述,本发明的具体实施方式如所涉及的各构件的形状、构造、各部分之间的相互位置及连接关系、各部分的作用及工作原理、制造工艺及操作使用方法等,作进一步详细的说明,以帮助本领域技术人员对本发明的发明构思、技术方案有更完整、准确和深入的理解。
以量子安全移动存储介质为载体分发的量子密钥称为离线量子密钥。离线量子密钥采用两层密钥加密存储,第一层密钥为主密钥,是量子密钥,由主密钥加密,第二层为离线量子密钥,其中离线量子密钥数据部分由主密钥加密。
主密钥在量子安全移动存储介质中采用隐藏式存储结构,该存储结构的主密钥块通过量子安全移动存储介质提供的PIN密码和接口进行读取。量子密钥块中存储的密文密钥解密过程由管理系统初始设定的保密映射算法,从主密钥的N长度中随机选择选择L个字节组成解密密钥,通过设定解密算法(如SM4算法)还原密钥。
如图2所示,主密钥是加密芯片存储的少量量子密钥,采用随机方式从主密钥中选择L个字节组成一个主密钥块,并将该主密钥块对应于一个量子密钥块标识,
离线量子密钥采用三级存储标识,如图1所示,量子密钥单元标识为一级密钥标识,由管理中心生成唯一标识ID,该标识ID由电力机构标识、量子密钥应用加解密双方标识ID和量子安全移动存储介质标识ID组成;量子密钥块标识为二级标识,二级标识ID由量子密钥使用期限和量子密钥长度标识组成,期限与长度根据应用系统的更新周期设定;量子密钥标识为三级标识,对应加解密数据的量子密钥,其密钥长度根据加密算法要求的密钥长度设定。在量子安全移动存储介质进行密钥充注时,一级标识与二级标识的组合内容使用国密算法生成唯一标识,结合三级标识写入量子安全移动存储介质中。密文密钥是由主密钥加密离线量子密钥后生成的密文数据,存储在密钥存储区。
以上三级存储标识中,一级标识应用于量子密钥自动充注过程中量子安全移动存储介质识别和介质绑定,二级标识用于量子密钥自动充注过程中密钥生命周期管理和解密密钥映射标识,三级标识用于每份量子密钥的识别与应用。每个量子安全移动存储介质对应N(N≥1)个一级标识,每个一级标识对应K(K≥1)个二级标识,每个二级标识对应L(L≥1)个三级级标识。
量子安全移动存储介质充注量子密钥过程采用自动充注方法,依据量子安全移动存储介质硬件标识绑定的一级密钥标识,依次通过识别硬件、匹配密钥、检查密钥、读取密钥和充注密钥过程,实现量子密钥自动冲注。步骤如下:
步骤1:量子安全移动存储介质插入充注接口,系统自动检测并读取量子安全移动存储介质硬件标识;
步骤2:查询量子安全移动存储介质硬件标识关联的密钥单元标识,根据系统加密算法和密钥更新周期查找对应的量子密钥;
步骤3:如果量子安全移动存储介质硬件标识无关联密钥单元标识,则进入步骤5;
步骤4:检查密钥,如果密钥内容不一致,则进入步骤5;
步骤5:量子安全移动存储介质一键制作,选择绑定密钥单元标识并进行格式化,成功则进入下一步,否则告警提示并结束;
步骤6:读取量子密钥到密钥缓冲池,如果密钥不足,则系统自动产生量子随机数补充密钥;
步骤7:量子密钥注入量子安全移动存储介质中,完成自动冲注。
上面结合附图对本发明进行了示例性描述,显然本发明具体实现并不受上述方式的限制,只要采用了本发明的方法构思和技术方案进行的各种非实质性的改进,或未经改进将本发明的构思和技术方案直接应用于其它场合的,均在本发明的保护范围之内。
Claims (4)
1.一种基于量子安全移动存储介质的密钥管理方法,其特征在于:通过获取量子安全移动存储介质中硬件标识绑定的一级密钥标识,再依次通过识别硬件、匹配密钥、检查密钥、读取密钥和充注密钥过程,完成量子密钥自动冲注;
当量子安全移动存储介质进行密钥充注时,一级标识与二级标识的组合内容使用国密算法生成唯一标识,结合三级标识写入量子安全移动存储介质中;
所述一级标识:应用于量子密钥自动充注过程中量子安全移动存储介质识别和介质绑定;
所述二级标识:用于量子密钥自动充注过程中密钥生命周期管理和解密密钥映射标识;
所述三级标识:用于每份量子密钥的识别与应用;
所述量子安全移动存储介质包括:
一级密钥标识为量子密钥单元标识,由管理中心生成唯一一级标识ID,所述一级标识ID由电力机构标识、量子密钥应用加解密双方标识ID和量子安全移动存储介质标识ID组成;
二级标识为量子密钥块标识,二级标识ID由量子密钥使用期限和量子密钥长度标识组成,所述量子密钥使用期限和量子密钥长度标识根据应用系统的更新周期设定;
三级标识为量子密钥标识,对应加解密数据的量子密钥,其密钥长度根据加密算法要求的密钥长度设定。
2.根据权利要求1所述的基于量子安全移动存储介质的密钥管理方法,其特征在于:主密钥加密离线量子密钥后生成的密文数据构成密文密钥,所述密文密钥存储在密钥存储区。
3.根据权利要求2所述的基于量子安全移动存储介质的密钥管理方法,其特征在于:每个量子安全移动存储介质对应N个一级标识,每个一级标识对应K个二级标识,每个二级标识对应L个三级级标识,其中N≥1,K≥1,L≥1。
4.根据权利要求1-3中任一所述的基于量子安全移动存储介质的密钥管理方法,其特征在于,所述量子密钥自动冲注包括以下步骤:
步骤1:量子安全移动存储介质插入充注接口,系统自动检测并读取量子安全移动存储介质硬件标识;
步骤2:查询量子安全移动存储介质硬件标识关联的密钥单元标识,根据系统加密算法和密钥更新周期查找对应的量子密钥;
步骤3:如果量子安全移动存储介质硬件标识无关联密钥单元标识,则进入步骤5,否则进入步骤4;
步骤4:检查密钥,如果密钥内容不一致,则进入步骤5,否则进入步骤6;
步骤5:量子安全移动存储介质一键制作,选择绑定密钥单元标识并进行格式化,成功则进入下一步,否则告警提示并结束;
步骤6:读取量子密钥到密钥缓冲池,如果密钥不足,则系统自动产生量子随机数补充密钥;
步骤7:量子密钥注入量子安全移动存储介质中,完成自动冲注。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910202796.1A CN109728908B (zh) | 2019-03-18 | 2019-03-18 | 一种基于量子安全移动存储介质的密钥管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910202796.1A CN109728908B (zh) | 2019-03-18 | 2019-03-18 | 一种基于量子安全移动存储介质的密钥管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109728908A CN109728908A (zh) | 2019-05-07 |
| CN109728908B true CN109728908B (zh) | 2021-10-15 |
Family
ID=66302709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910202796.1A Active CN109728908B (zh) | 2019-03-18 | 2019-03-18 | 一种基于量子安全移动存储介质的密钥管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109728908B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448633B (zh) * | 2022-04-08 | 2022-06-21 | 南京易科腾信息技术有限公司 | 基于量子密钥的文件加密方法、装置、电子设备及介质 |
| CN114531238B (zh) * | 2022-04-24 | 2022-07-19 | 中电信量子科技有限公司 | 基于量子密钥分发的密钥安全充注方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161402A (zh) * | 2015-04-22 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 基于云环境的加密机密钥注入系统、方法及装置 |
| US9553677B1 (en) * | 2014-11-17 | 2017-01-24 | Sandia Corporation | Self-referenced continuous-variable quantum key distribution |
| CN106357649A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 用户身份认证系统和方法 |
| CN108123795A (zh) * | 2016-11-28 | 2018-06-05 | 广东国盾量子科技有限公司 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
| CN108880800A (zh) * | 2018-07-03 | 2018-11-23 | 北京智芯微电子科技有限公司 | 基于量子保密通信的配用电通信系统及方法 |
| CN109412794A (zh) * | 2018-08-22 | 2019-03-01 | 南京南瑞国盾量子技术有限公司 | 一种适应电力业务的量子密钥自动充注方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7889868B2 (en) * | 2005-09-30 | 2011-02-15 | Verizon Business Global Llc | Quantum key distribution system |
| JP6359285B2 (ja) * | 2014-02-17 | 2018-07-18 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
-
2019
- 2019-03-18 CN CN201910202796.1A patent/CN109728908B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9553677B1 (en) * | 2014-11-17 | 2017-01-24 | Sandia Corporation | Self-referenced continuous-variable quantum key distribution |
| CN106161402A (zh) * | 2015-04-22 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 基于云环境的加密机密钥注入系统、方法及装置 |
| CN106357649A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 用户身份认证系统和方法 |
| CN108123795A (zh) * | 2016-11-28 | 2018-06-05 | 广东国盾量子科技有限公司 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
| CN108880800A (zh) * | 2018-07-03 | 2018-11-23 | 北京智芯微电子科技有限公司 | 基于量子保密通信的配用电通信系统及方法 |
| CN109412794A (zh) * | 2018-08-22 | 2019-03-01 | 南京南瑞国盾量子技术有限公司 | 一种适应电力业务的量子密钥自动充注方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于QS-KMS的VPN增强电网通信安全方案;唐鹏毅;《计算机工程》;20181215;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109728908A (zh) | 2019-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108809637B (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
| CN113114460B (zh) | 一种基于量子加密的配电网信息安全传输方法 | |
| CN109617675B (zh) | 一种充放电设施与用户端间的双方标识认证方法及系统 | |
| CN106375287A (zh) | 新能源汽车的充电方法 | |
| CN112800439B (zh) | 一种面向安全存储的密钥管理协议设计方法及系统 | |
| CN106533656B (zh) | 一种基于wsn的密钥多层混合加/解密方法 | |
| CN112671710B (zh) | 一种基于国密算法的安全加密装置、双向认证及加密方法 | |
| CN111698084B (zh) | 一种基于区块链的隐匿通信方法 | |
| CN113872762B (zh) | 基于配电终端设备的量子加密通信系统及其使用方法 | |
| CN109728908B (zh) | 一种基于量子安全移动存储介质的密钥管理方法 | |
| CN103457932A (zh) | 一种云计算环境数据安全存储方法和系统 | |
| CN110190952A (zh) | 一种基于量子随机数对物联网安全的加密传输方法 | |
| CN110212991B (zh) | 量子无线网络通信系统 | |
| CN115225672A (zh) | 端到端的数据传输方法、设备和介质 | |
| KR20010047563A (ko) | 무선통신시스템에서의 공개키 기반 상호 인증 방법 | |
| CN114697082A (zh) | 一种无服务器环境的加解密装置的生产及应用方法 | |
| CN212660171U (zh) | 一种应用于移动通信网络的量子密钥分发系统 | |
| CN111563980B (zh) | 一种蓝牙锁钥匙生成与认证方法 | |
| CN111489462A (zh) | 一种个人用蓝牙钥匙系统 | |
| CN111541690B (zh) | 智能终端与服务端通信的安全防护方法 | |
| CN114154185A (zh) | 一种基于国密算法实现的数据加密存储方法 | |
| CN111489461B (zh) | 一种集团用蓝牙钥匙系统 | |
| CN106452736A (zh) | 密钥协商方法和系统 | |
| CN112054905A (zh) | 一种移动终端的安全通信方法及系统 | |
| CN110417819A (zh) | 一种高效加密即时通讯的实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230911 Address after: Room 1503, No. 858, Lianhua Avenue West, Donghuan Street, Panyu District, Guangzhou, Guangdong 510000 Patentee after: Southern Power Grid Energy Storage Co.,Ltd. Information and Communication Branch Address before: 511400 Room 601, building 1, Tian'an headquarters center, inner street, Panyu energy saving technology park, 555 Panyu Avenue North, Donghuan street, Panyu District, Guangzhou City, Guangdong Province Patentee before: INFORMATION COMMUNICATION BRANCH, SOUTHERN POWER GRID PEAKING FM POWER GENERATION Co.,Ltd. |