CN111526013A - 密钥分发方法及系统 - Google Patents

密钥分发方法及系统 Download PDF

Info

Publication number
CN111526013A
CN111526013A CN202010306219.XA CN202010306219A CN111526013A CN 111526013 A CN111526013 A CN 111526013A CN 202010306219 A CN202010306219 A CN 202010306219A CN 111526013 A CN111526013 A CN 111526013A
Authority
CN
China
Prior art keywords
key
management center
working
key management
regional
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010306219.XA
Other languages
English (en)
Other versions
CN111526013B (zh
Inventor
不公告发明人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Clearing Center People's Bank Of China
Original Assignee
National Clearing Center People's Bank Of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Clearing Center People's Bank Of China filed Critical National Clearing Center People's Bank Of China
Priority to CN202010306219.XA priority Critical patent/CN111526013B/zh
Publication of CN111526013A publication Critical patent/CN111526013A/zh
Application granted granted Critical
Publication of CN111526013B publication Critical patent/CN111526013B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供密钥分发方法及系统,所述方法包括:定期向多个基准区域密钥管理中心发送密钥获取指令;接收每个基准区域密钥管理中心发送的密钥信息;其中,所述密钥信息包括加密的工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;若判断获知各个基准区域密钥管理中心发送的密钥校验值一致,则向各个基准区域密钥管理中心发送密钥交换完成信息。密钥分发方法及系统,提高了工作密钥在分发过程中的安全性。

Description

密钥分发方法及系统
技术领域
本发明涉及数据安全技术领域,具体涉及密钥分发方法及系统。
背景技术
支付报文传输平台(Payment Message Transmission System,简称PMTS)负责支付系统业务报文的传输,目前采用了国产对称密码算法SM4对报文进行加密传输,以保证传输过程的业务报文的保密性。
现有技术中,PMTS的应用软件通过固定的算法动态生成加解密密钥,虽然可以实现动态的一次一密,但密钥的安全性依赖算法的保密性,算法保密较为困难。PMTS产生密钥的同时也是密钥的使用方,缺乏对密钥的安全管理,密钥在使用过中以明文形式存在,安全性较低,导致密钥在分发或协商的过程中存在被窃取的风险。
因此,如何提出一种密钥分发方法,以提高密钥分发过程中密钥的安全性成为本领域需要解决的重要课题。
发明内容
针对现有技术中的问题,本发明实施例提供密钥分发方法及系统。
第一方面,本发明提出一种密钥分发方法,包括:
定期向多个基准区域密钥管理中心发送密钥获取指令;
接收每个基准区域密钥管理中心发送的密钥信息;其中,所述密钥信息包括加密的工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;
若判断获知各个基准区域密钥管理中心发送的密钥校验值一致,则向各个基准区域密钥管理中心发送密钥交换完成信息。
第二方面,本发明还提供一种密钥分发方法,包括:
接收全国密钥管理中心定期发送的密钥获取指令;
取量子密钥作为工作密钥,并对所述工作密钥进行加密处理获得加密后的工作密钥和根据所述工作密钥生成密钥校验值;
将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心;
接收所述全国密钥管理中心发送的密钥交换完成信息,所述密钥交换完成信息是所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的。
第三方面,本发明提供一种密钥分发系统,包括:
第一发送模块,用于定期向多个基准区域密钥管理中心发送密钥获取指令;
第一接收模块,用于接收每个基准区域密钥管理中心发送的密钥信息;其中,所述密钥信息包括加密的工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;
第一判断模块,用于在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后,向各个基准区域密钥管理中心发送密钥交换完成信息。
第四方面,本发明还提供一种密钥分发系统,包括:
第三接收模块,用于接收全国密钥管理中心定期发送的密钥获取指令;
获取模块,用于取量子密钥作为工作密钥,并对所述工作密钥进行加密处理获得加密后的工作密钥和根据所述工作密钥生成密钥校验值;
第四发送模块,用于将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心;
第四接收模块,用于接收所述全国密钥管理中心发送的密钥交换完成信息,所述密钥交换完成信息是所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的。
第五方面,本发明提供一种电子设备,包括第一存储器、第一处理器及存储在所述第一存储器上并可在第一处理器上运行的第一计算机程序,所述第一处理器执行所述第一计算机程序时实现如下密钥分发方法:
定期向多个基准区域密钥管理中心发送密钥获取指令;
接收每个基准区域密钥管理中心发送的密钥信息;其中,所述密钥信息包括加密的工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;
若判断获知各个基准区域密钥管理中心发送的密钥校验值一致,则向各个基准区域密钥管理中心发送密钥交换完成信息。
第六方面,本发明提供一种计算机可读存储介质,其上存储有第一计算机程序,所述第一计算机程序被第一处理器执行时实现如下密钥分发方法:
定期向多个基准区域密钥管理中心发送密钥获取指令;
接收每个基准区域密钥管理中心发送的密钥信息;其中,所述密钥信息包括加密的工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;
若判断获知各个基准区域密钥管理中心发送的密钥校验值一致,则向各个基准区域密钥管理中心发送密钥交换完成信息。
第七方面,本发明还提供一种电子设备,包括第二存储器、第二处理器及存储在所述第二存储器上并可在第二处理器上运行的第二计算机程序,所述第二处理器执行所述第二计算机程序时实现如下一种密钥分发方法包括:
接收全国密钥管理中心定期发送的密钥获取指令;
取量子密钥作为工作密钥,并对所述工作密钥进行加密处理获得加密后的工作密钥和根据所述工作密钥生成密钥校验值;
将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心;
接收所述全国密钥管理中心发送的密钥交换完成信息,所述密钥交换完成信息是所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的。
第八方面,本发明还提供一种计算机可读存储介质,其上存储有第二计算机程序,所述第二计算机程序被第二处理器执行时实现如下一种密钥分发方法包括:
接收全国密钥管理中心定期发送的密钥获取指令;
取量子密钥作为工作密钥,并对所述工作密钥进行加密处理获得加密后的工作密钥和根据所述工作密钥生成密钥校验值;
将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心;
接收所述全国密钥管理中心发送的密钥交换完成信息,所述密钥交换完成信息是所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的。
本发明实施例提供的密钥分发方法及系统,定期向多个基准区域密钥管理中心发送密钥获取指令,然后接收每个基准区域密钥管理中心发送的密钥信息,密钥信息包括加密的工作密钥和密钥校验值,密钥校验值与工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥,在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后,向各个基准区域密钥管理中心发送密钥交换完成信息,提高了工作密钥在分发过程中的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明第一实施例提供的量子密钥管理系统的结构示意图。
图2是本发明第二实施例提供的区域密钥管理中心的结构示意图。
图3是本发明第三实施例提供的应用终端的结构示意图。
图4是本发明第四实施例提供的密钥分发方法的流程示意图。
图5是本发明第五实施例提供的密钥分发方法的流程示意图。
图6是本发明第六实施例提供的密钥分发方法的流程示意图。
图7是本发明第七实施例提供的密钥分发方法的流程示意图。
图8是本发明第八实施例提供的密钥分发方法的流程示意图。
图9是本发明第九实施例提供的密钥分发方法的流程示意图。
图10是本发明第十实施例提供的密钥分发系统的结构示意图。
图11是本发明第十一实施例提供的密钥分发系统的结构示意图。
图12是本发明第十二实施例提供的密钥分发系统的结构示意图。
图13是本发明第十三实施例提供的密钥分发系统的结构示意图。
图14是本发明第十四实施例提供的密钥分发系统的结构示意图。
图15是本发明第十五实施例提供的密钥分发系统的结构示意图。
图16是本发明第十六实施例提供的密钥分发系统的结构示意图。
图17是本发明第十七实施例提供的密钥分发系统的结构示意图。
图18是本发明第十八实施例提供的密钥分发系统的结构示意图。
图19是本发明第十九实施例提供的密钥分发系统的结构示意图。
图20为本发明第二十实施例提供的电子设备的实体结构示意图。
图21为本发明第二十一实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图1是本发明第一实施例提供的量子密钥管理系统的结构示意图,如图1所示,本发明实施例提供的量子密钥管理系统包括全国密钥管理中心1、多个区域密钥管理中心2和多个应用终端3,全国密钥管理中心1和每个区域密钥管理中心2通信连接,每个区域密钥管理中心和对应的应用终端3通信连接。
在全国密钥管理中心1统一进行密钥交换策略的配置,所述密钥交换策略可以包括关联的区域密钥管理中心,即需要使用同一个工作密钥的多个区域密钥管理中心2,关联的区域密钥管理中心中的基准区域密钥管理中心,区域密钥的更新周期和时间,工作密钥的更新周期和时间,密钥交换失败重试次数和时间,预启用工作密钥时间,工作密钥的过期到注销的时间间隔,全国密钥管理中心到区域密钥管理中心的探测时间和超时时间等。
全国密钥管理中心1会定时向每个区域密钥管理中心2发送探测请求信息,每个区域密钥管理中心2会在规定的时间内对所述探测请求信息进行应答。如果全国密钥管理中心1在所述规定时间内接收到区域密钥管理中心2对所述探测请求信息的应答,说明全国密钥管理中心1与该区域密钥管理中心2之间的通信正常。如果全国密钥管理中心1在所述规定时间内没有接收某个区域密钥管理中心2的应答,说明该区域密钥管理中心2与全国密钥管理中心1之间的通信存在问题。
全国密钥管理中心1执行本发明实施例提供的密钥分发方法,使关联的区域密钥管理中心之间实现密钥的交换,区域密钥管理中心2和对应的应用终端3之间进行密钥的同步。每个区域密钥管理中心与量子网关进行通信,从量子网关获取量子密钥,所述量子网关连接到量子骨干网,所述量子网关从量子骨干网获取到量子密钥,所述量子网关能够保证一段时间内的量子密钥相同。全国密钥管理中心1可以通过服务器实现,区域密钥管理中心2可以通过服务器实现,应用终端3是指安装应用的终端,所述应用需要从区域密钥管理中心2获取工作密钥并进行同步,应用终端3包括但不限于计算机等电子设备。其中,所述密钥交换策略包括的具体内容根据实际需要进行设置,本发明实施例不做限定。
进一步地,图2是本发明第二实施例提供的区域密钥管理中心的结构示意图,如图2所示,区域密钥管理中心2可以包括密钥管理模块21、密钥池管理模块22、密码计算模块23、分发服务模块24和加解密服务模块25,密钥管理模块21用于产生和维护区域主密钥,所述区域主密钥用于对工作密钥进行加密,密钥池管理模块22用于存储和管理工作密钥的密钥标识、工作密钥、工作密钥的索引,密码计算模块23用于实现对称工作密钥处理,分发服务模块24用于将工作密钥下发给对应的应用终端3,加解密服务模块25用于维护工作密钥,工作密钥使用区域主密钥加密以密文形式存储,区域主密钥以密文形式存放在本地。其中,工作密钥和密钥标识一一对应。
进一步地,图3是本发明第三实施例提供的应用终端的结构示意图,如图3所示,应用终端3包括密钥获取模块31和加解密模块32,密钥获取模块包括获取密钥组接口311、校验密钥接口312、密钥查询接口313和解密工作密钥接口314,加解密模块32包括统一加解密接口321和密钥同步模块322,统一加解密接口321分别与密钥查询接口313和解密工作密钥接口314相连,密钥同步模块322分别与获取密钥组接口311和校验密钥接口312相连。加解密模块32用于将工作密钥同步到应用终端3,密钥同步模块322通过定期调用校验密钥接口312,将当前使用的密钥组发送给区域密钥管理中心2,并接收区域密钥管理中心2的返回结果,如果所述返回结果为密钥不一致信息,密钥同步模块322调用获取密钥组接口311向区域密钥管理中心2发送密钥获取请求,并接收区域密钥管理中心2返回的密钥组以及对应的校验值,密钥同步模块322根据区域密钥管理中心2返回的密钥组以及对应的校验值更新本地密钥组。
图4是本发明第四实施例提供的密钥分发方法的流程示意图,如图4所示,本发明实施例提供的密钥分发方法包括:
S401、定期向多个基准区域密钥管理中心发送密钥获取指令;
具体地,全国密钥管理中心会定期向多个基准区域密钥管理中心发送密钥获取指令,每个基准区域密钥管理中心会接收所述密钥获取指令。其中,基准区域密钥管理中心是预设的,可以配置在密钥交换策略中。所述定期根据实际需要进行设置,本发明实施例不做限定。通过减少定期的时间间隔,可以增加密钥交换的频率。
S402、接收每个基准区域密钥管理中心发送的密钥信息,所述密钥信息是经过加密处理的;其中,所述密钥信息包括工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;
具体地,每个基准区域密钥管理中心接收到所述密钥获取指令之后,会访问量子网关获取量子密钥,将获取到的量子密钥作为工作密钥,然后使用区域主密钥对所述工作密钥进行加密处理,获得加密的工作密钥,并根据所述工作密钥生成密钥校验值。每个基准区域密钥管理中心将加密的工作密钥和所述密钥校验值携带在密钥信息中返回给所述全国密钥管理中心,所述全国密钥管理中心会接收各个基准区域密钥管理中心返回的密钥信息。其中,每个基准区域密钥管理中心的区域主密钥可以线下定期更新,以确保工作密钥的安全性。所述工作密钥用于加密通信报文。可理解的是,由于各个基准区域密钥管理中心是在一个较短的时间间隔内从所述量子网关获取量子密钥,正常情况下各个基准区域密钥管理中心获取到的量子密钥应该相同。
S403、若判断获知各个基准区域密钥管理中心发送的密钥校验值一致,则向各个基准区域密钥管理中心发送密钥交换完成信息。
具体地,所述全国密钥管理中心在接收到每个基准区域密钥管理中心发送的密钥信息之后,获取各个区域密钥管理中心发送的密钥信息中的密钥校验值,然后比较各个密钥校验值,如果各个密钥校验值一致,说明各个基准区域密钥管理中心获取到的工作密钥相同,所述全国密钥管理中心可以向各个基准区域密钥管理中心发送密钥交换完成信息,各个基准区域密钥管理中心接收到所述密钥交换完成信息之后,可以将所述工作密钥的状态设置为新密钥。所述全国密钥管理中心还可以将所述工作密钥发送给与各个基准区域密钥管理中心相关的区域密钥管理中心,以使得上述相关的区域密钥管理中心接收到所述工作密钥,并将接收到的工作密钥的状态设置为新密钥。其中,与各个基准区域密钥管理中心相关的区域密钥管理中心是预先设置的。
本发明实施例提供的密钥分发方法,定期向多个基准区域密钥管理中心发送密钥获取指令,然后接收每个基准区域密钥管理中心发送的密钥信息,密钥信息包括加密的工作密钥和密钥校验值,密钥校验值与工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥,在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后,向各个基准区域密钥管理中心发送密钥交换完成信息,提高了工作密钥在分发过程中的安全性。
图5是本发明第五实施例提供的密钥分发方法的流程示意图,如图5所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发方法还包括:
S501、若判断获知各个基准区域密钥管理中心发送的密钥校验值不一致,则确认密钥交换失败一次,并重新向各个基准区域密钥管理中心发送密钥获取指令;
具体地,所述全国密钥管理中心在比较各个密钥校验值时,如果各个密钥校验值不一致,即至少一个密钥校验值与其它的密钥校验值不同,那么确认密钥交换失败一次。所述全国密钥管理中心会重新向各个基准区域密钥管理中心发送密钥交换指令,使得各个基准区域密钥管理中心重新向所述全国密钥管理中心返回密钥信息,所述全国密钥管理中心重新判断各个基准区域密钥管理中心返回的密钥校验值是否一致,如果一致那么向各个基准区域密钥管理中心发送所述密钥交换完成信息,如果不一致,那么累加密钥交换失败的次数。所述全国密钥管理中心判断出各个基准区域密钥管理中心发送的密钥校验值不一致时,会重复上述过程直到各个基准区域密钥管理中心发送的密钥校验值一致,或者密钥交换失败的次数大于等于预设次数。其中,所述预设次数根据实际经验进行设置,本发明实施例不做限定。
S502、若判断获知密钥交换失败的次数大于等于预设次数,则将最先接收到的密钥信息的工作密钥作为交换密钥,并将所述交换密钥同步到相关区域密钥管理中心。
具体地,所述全国密钥管理中心将密钥交换失败的次数与预设次数进行比较,如果密钥交换失败的次数大于等于所述预设次数,那么将最先接收到的密钥信息包括的工作密钥作为交换密钥,然后向提供所述交换密钥的基准区域密钥管理中心发送密钥交换完成信息,并将所述交换密钥发送给关联的区域密钥管理中心中除了提供所述交换密钥的基准区域密钥管理中心以外的区域密钥管理中心,以使得接收到所述交换密钥的区域密钥管理中心将所述交换密钥作为工作密钥,并将所述工作密钥的状态设置为新密钥。提供所述交换密钥的基准区域密钥管理中心接收到所述密钥交换完成信息之后,会将所述工作密钥的状态设置为新密钥。其中,所述预设次数根据实际需要进行设置,本发明实施例不做限定。关联的区域密钥管理中心是预先设置,可以设置在所述交换密钥策略中。
在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发方法还包括:
在定期向多个所述基准区域密钥管理中心发送密钥获取指令之前或者在定期向多个所述基准区域密钥管理中心发送密钥获取指令的同时,向各个所述基准区域密钥管理中心发送密钥交换策略,所述密钥交换策略是预设的。
具体地,所述全国密钥管理中心在定期向多个所述基准区域密钥管理中心发送密钥获取指令之前或者在定期向多个所述基准区域密钥管理中心发送密钥获取指令的同时,需要向多个所述基准区域密钥管理中心发送密钥交换策略,多个所述基准区域密钥管理中心会接收所述密钥交换策略,根据所述密钥交换策略处理和使用所述工作密钥。其中,所述密钥交换策略是预设的。
在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发方法还包括:
将所述密钥信息包括的工作密钥以及密钥交换策略发送给所述基准区域密钥管理中心对应的区域密钥管理中心。
具体地,所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后,所述密钥信息包括的工作密钥会作为各个基准区域密钥管理中心所属的关联的区域密钥管理中心中每个区域密钥管理中心的工作密钥,所述全国密钥管理中心会将所述密钥信息包括的工作密钥以及密钥交换策略发送给所述基准区域密钥管理中心对应的区域密钥管理中心,所述基准区域密钥管理中心对应的区域密钥管理中心即各个基准区域密钥管理中心所属的关联的区域密钥管理中心中除了各个基准区域密钥管理中心以外的每个区域密钥管理中心。所述基准区域密钥管理中心对应的区域密钥管理中心的每个区域密钥管理中心接收到所述工作密钥之后,会将所述工作密钥的状态设置为新密钥,并依据所述密钥交换策略处理和使用所述工作密钥。其中,所述工作密钥与所述密钥交换策略对应。
图6是本发明第四实施例提供的密钥分发方法的流程示意图,如图6所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发方法还包括:
S601、接收区域密钥管理中心发送的密钥预启请求,所述密钥预启请求包括密钥标识;
具体地,每个区域密钥管理中心会根据密钥交换策略配置的预启用工作密钥时间,向所述全国密钥管理中心发送密钥预启请求,所述全国密钥管理中心会接收每个区域密钥管理中心发送的密钥预启请求。其中,所述密钥预期请求包括密钥标识。
S602、若判断获知所述区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应,则向所述区域密钥管理中心返回密钥预启通过信息并记录所述密钥标识对应的密钥状态。
具体地,所述全国密钥管理中心接收到所述密钥预启请求之后,会判断与所述区域密钥管理中心关联的区域密钥管理中心是否与所述密钥标识对应,即判断与所述区域密钥管理中心关联的区域密钥管理中心是否已经获得了所述密钥标识对应的工作密钥,所述全国密钥管理中心在将所述工作密钥发送给与各个区域密钥管理中心时,可以记录各个区域密钥管理中心与工作密钥对应的密钥标识之间的对应关系,所述全国密钥管理中心查询与所述区域密钥管理中心关联的每个区域密钥管理中心对应的密钥标识,如果都查询到所述密钥预启请求包括密钥标识,说明所述区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应,那么会向发送密钥预启请求的区域密钥管理中心返回密钥预启通过信息,并记录所述区域密钥管理中心的所述密钥标识对应的工作密钥的密钥状态,即将工作密钥的密钥状态由新密钥变更为预启用。如果有任何一个与所述区域密钥管理中心关联的区域密钥管理中心对应密钥标识中不包括所述密钥预启请求包括密钥标识,那么不会向发送密钥预启请求的区域密钥管理中心返回密钥预启通过信息。
每个区域密钥管理中心接收到所述密钥预启通过信息之后,会更改所述密钥标识对应的工作密钥的状态,可以将所述密钥标识对应的工作密钥的状态由新密钥变更为预启用。
下面以一个具体的实施例来说明本发明实施例提供的密钥分发方法的实现过程。在A地部署了区域密钥管理中心a,在B地部署了区域密钥管理中心b,在C地部署了区域密钥管理中心c,区域密钥管理中心a、区域密钥管理中心b和区域密钥管理中心c需要使用相同的工作密钥,在所述全国密钥管理中心统一配置了密钥交换策略,上述密钥交换策略包括区域密钥管理中心a、区域密钥管理中心b和区域密钥管理中心c为关联的区域密钥管理中心,区域密钥管理中心a和区域密钥管理中心b为基准区域密钥管理中心以及工作密钥的更新周期和时间等信息。
所述全国密钥管理中心在到达上述密钥交换策略配置的工作密钥更新时间时,会向区域密钥管理中心a和区域密钥管理中心b发送密钥获取指令,区域密钥管理中心a会访问量子网关获取量子密钥x,然后使用本地的区域主密钥对量子密钥x进行加密处理,获得加密的工作密钥x,并根据x生成密钥校验值1,然后将加密的工作密钥x和密钥校验值1发送给所述全国密钥管理中心。同理,区域密钥管理中心b发送加密的工作密钥y和由工作密钥y生成的密钥校验值2给所述全国密钥管理中心。
所述全国密钥管理中心会比较密钥校验值1和密钥校验值2,如果密钥校验值1和密钥校验值2相同,说明工作密钥x和工作密钥y相同,所述全国密钥管理中心会发送密钥交换完成信息给区域密钥管理中心a和区域密钥管理中心b,区域密钥管理中心a会将工作密钥x的状态设置为新密钥,区域密钥管理中心b会将工作密钥y的状态设置为新密钥。所述全国密钥管理中心还会将工作密钥x或者工作密钥y转加密后与上述密钥交换策略一起发送给区域密钥管理中心c,区域密钥管理中心c可以将接收到的工作密钥的状态设置为新密钥,从而完成区域密钥管理中心a、区域密钥管理中心b和区域密钥管理中心c的工作密钥的同步。其中,将工作密钥x或者工作密钥y转加密即将工作密钥x或者工作密钥y转换成明文,然后使用与区域密钥管理中心c通信的密钥进行加密。
图7是本发明第七实施例提供的密钥分发方法的流程示意图,如图7所示,本发明实施例提供的密钥分发方法包括:
S701、接收全国密钥管理中心定期发送的密钥获取指令;
具体地,全国密钥管理中心会定期向多个基准区域密钥管理中心发送密钥获取指令,每个基准区域密钥管理中心会接收所述密钥获取指令。其中,基准区域密钥管理中心是预设的,可以配置在密钥交换策略中。所述定期根据实际需要进行设置,本发明实施例不做限定。
S702、获取量子密钥作为工作密钥,并对所述工作密钥进行加密处理获得加密后的工作密钥和根据所述工作密钥生成密钥校验值;
具体地,所述基准全国密钥管理中心接收到所述密钥获取指令之后,会访问量子网关获取量子密钥,将获取到的量子密钥作为工作密钥,然后使用区域主密钥对所述工作密钥进行加密处理,获得加密的工作密钥,并根据所述工作密钥生成密钥校验值。其中,所述区域主密钥可以线下定期更新,以确保工作密钥的安全性。
S703、将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心;
具体地,所述基准区域密钥管理中心在获得加密的工作密钥和所述密钥校验值之后,会将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心,所述全国密钥管理中心会接收各个基准区域密钥管理中心返回的密钥信息。
S704、接收所述全国密钥管理中心发送的密钥交换完成信息,所述密钥交换完成信息是所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的。
具体地,所述全国密钥管理中心在接收到各个基准区域密钥管理中心发送的密钥信息之后,获取各个区域密钥管理中心发送的密钥信息中的密钥校验值,然后比较各个密钥校验值,如果各个密钥校验值一致,说明各个基准区域密钥管理中心获取到的工作密钥相同,所述全国密钥管理中心可以向各个基准区域密钥管理中心发送密钥交换完成信息。所述基准区域密钥管理中心可以接收所述全国密钥管理中心发送的密钥交换完成信息,然后将所述工作密钥的状态设置为新密钥。
本发明实施例提供的密钥分发方法,能够接收全国密钥管理中心定期发送的密钥获取指令,获取量子密钥作为工作密钥,并对工作密钥进行加密处理获得加密的工作密钥和根据工作密钥生成密钥校验值,然后将加密的工作密钥和密钥校验值携带在密钥信息中发送给所述全国密钥管理中心,接收全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的密钥交换完成信息,提高了工作密钥在分发过程中的安全性。
图8是本发明第八实施例提供的密钥分发方法的流程示意图,如图8所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发方法还包括:
S801、向所述全国密钥管理中心发送的密钥预启请求,所述密钥预启请求包括密钥标识;
具体地,所述基准区域密钥管理中心会根据密钥交换策略配置的预启用工作密钥时间,向所述全国密钥管理中心发送密钥预启请求,所述全国密钥管理中心会接收所述基准区域密钥管理中心发送的密钥预启请求。所述全国密钥管理中心还会接收其他区域密钥管理中心根据密钥交换策略配置的预启用工作密钥时间发送的密钥预启请求。其中,所述密钥预期请求包括密钥标识。
S802、接收所述全国密钥管理中心发送的密钥预启通过信息,将所述密钥标识对应的工作密钥的状态由新密钥变更为预启用;其中,所述密钥预启通过信息是所述全国密钥管理中心在判断获知所述区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应之后发送的,所述密钥预启通过信息包括所述密钥标识。
具体地,所述全国密钥管理中心接收到所述基准区域密钥管理中心发送的密钥预启请求之后,会判断与所述基准区域密钥管理中心关联的区域密钥管理中心是否与所述密钥标识对应,即判断与所述基准区域密钥管理中心关联的区域密钥管理中心是否已经获得了所述密钥标识对应的工作密钥,所述全国密钥管理中心在将所述工作密钥发送给与各个区域密钥管理中心时,可以记录各个区域密钥管理中心与工作密钥对应的密钥标识之间的对应关系,所述全国密钥管理中心查询与所述基准区域密钥管理中心关联的每个区域密钥管理中心对应的密钥标识,如果都查询到所述密钥预启请求包括密钥标识,说明所述基准区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应,那么都会向发送密钥预启请求的基准区域密钥管理中心返回密钥预启通过信息,并记录所述基准区域密钥管理中心的所述密钥标识对应的工作密钥的密钥状态,即将工作密钥的密钥状态由新密钥变更为预启用。如果有任何一个与所述基准区域密钥管理中心关联的区域密钥管理中心对应密钥标识中不包括所述密钥预启请求包括密钥标识,那么不会向发送密钥预启请求的基准区域密钥管理中心返回密钥预启通过信息。所述基准区域密钥管理中心接收到密钥预启通过信息之后,从所述密钥预启通过信息中获得所述密钥标识,然后将所述密钥标识对应的工作密钥的状态由新密钥变更为预启用。其中,所述密钥预启通过信息包括所述密钥标识。
在上述各实施例的基础上,进一步地,所述密钥分发方法还包括:
根据所述工作密钥的状态变更规则,变更所述工作密钥的状态。
具体地,可以在密钥交换策略中设置工作密钥的状态变更规则,所述全国密钥管理中心可以将所述密钥交换策略发送给所述基准区域密钥管理中心,所述基准区域密钥管理中心接收到所述密钥交换策略之后,根据所述工作密钥的状态变更规则,变更所述工作密钥的状态。
例如,在所述工作密钥状态变更规则中,可以设置工作密钥具有五种状态,依次为:新密钥、预启用、启用、过期和失效。新密钥表明工作密钥是新产生的,预启用表明工作密钥即将被启用,启用表明工作密钥当前正在被使用,过期表明工作密钥已经被使用过,失效表明工作密钥已经失效无法使用。所述基准区域密钥管理中心接收到所述密钥交换完成信息之后,可以将工作密钥的状态设置为新密钥;所述基准区域密钥管理中心在接收到密钥预启通过信息之后,可以将工作密钥的状态变更为预启用;所述基准区域密钥管理中心可以根据所述工作密钥状态变更规则中设置的工作密钥的预启用和启用之间的时间间隔t1,在工作密钥变更为预启用之后经过时间t1,将工作密钥的状态由预启用变更为启用;所述基准区域密钥管理中心可以根据所述工作密钥状态变更规则中设置的工作密钥的启用和过期之间的时间间隔t2,在工作密钥变更为启用之后经过时间t2,将工作密钥的状态由启用变更为过期;所述基准区域密钥管理中心可以根据所述工作密钥状态变更规则中设置的工作密钥的过期和失效之间的时间间隔t3,在工作密钥变更为过期之后经过时间t3,将工作密钥的状态由过期变更为失效。
当有新的工作密钥产生时,状态为新密钥的工作密钥的状态会变成预启用,状态为预启用的工作密钥的工作状态会变成启用,状态为启用的工作密钥的状态会变成过期,状态为过期的工作密钥的状态会变成失效,失效的工作密钥可以定时转入历史库或彻底删除。
图9是本发明第九实施例提供的密钥分发方法的流程示意图,如图9所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发方法还包括:
S901、接收应用终端发送的密钥组;
具体地,应用终端会定期向所述基准区域密钥管理中心发送密钥组,所述基准区域密钥管理中心会接收所述密钥组。其中,所述密钥组是所述应用终端当前使用的密钥组,可以包括三个工作密钥以及每个密钥的状态。所述定期根据实际需要进行设置,例如每2秒钟发送一次,本发明实施例不做限定。
例如,表1所示的密钥组包括密钥标识分别为KEYID001、KEYID002和KEYID003的三个工作密钥,KEYID001对应的工作密钥的状态为过期(O),KEYID002对应的工作密钥的状态为启用(C),KEYID003对应的工作密钥的状态为预启用(N)。可理解的是所述密钥组可以包括每个工作密钥的密钥标识。
表1密钥组
密钥标识 工作密钥 状态
KEYID001 B06FB0AEBD2C43338D13F82658ECFF23 O
KEYID002 8D13F82658ECFF23 B06FB0AEBD2C4333 C
KEYID003 43338D13F8B ECFF2306FB0AEBD2C2658 N
S902、若判断获知所述密钥组与本地密钥组不一致,则向所述应用终端返回密钥不一致信息;
具体地,所述基准区域密钥管理中心在接收到所述密钥组之后,将接收到的密钥组与本地密钥组进行比较,如果接收到的密钥组与所述本地密钥组不一致,说明所述应用终端和所述基准区域密钥管理中心使用的密钥组不同,那么向所述应用终端返回密钥不一致信息,所述应用终端会接收所述密钥不一致信息。其中,所述本地密钥组是所述基准区域密钥管理中心当前使用的密钥组,同样包括三个工作密钥以及每个工作密钥的状态。所述基准区域密钥管理中心在将接收到的密钥组与本地密钥组进行比较时,当接收到的密钥组中的工作密钥与本地密钥组中的工作密钥相同,并且相同的工作密钥的状态也相同时,接收到的密钥组与本地密钥组一致;否则,接收到的密钥组与本地密钥组不一致。
例如,接收到的密钥组包括A1、A2和A3三个工作密钥,A1的状态为O,A2的状态为C,A3的状态为N。本地密钥组包括B1、B2和B3三个工作密钥。在比较接收到的密钥组和本地密钥组时,当A1与B1相同且A1与B1的状态相同,A2与B2相同且A2与B2的状态相同,A3与B3相同且A3与B3的状态相同时,接收到密钥组与本地密钥组一致。否则,A1、A2和A3三个工作密钥任何一个工作密钥与本地密钥组中B1、B2和B3三个工作密钥都不相同,或者A1、A2和A3三个工作密钥任何一个工作密钥的状态与本地密钥组中B1、B2和B3三个工作密钥的状态都不相同,那么接收到的密钥组与本地密钥组不一致。
S903、接收所述应用终端发送的密钥获取请求,并更新本地密钥获取标识;
具体地,所述应用终端接收到所述密钥不一致信息之后,所述应用终端需要与所述基准区域密钥管理中心同步密钥组,所述应用终端会发送密钥获取请求给所述基准区域密钥管理中心,所述基准区域密钥管理中心会接收所述密钥获取请求,并在接收到所述密钥获取请求之后,更新本地密钥获取标识,可以将本地密钥获取标识设置为已获取,可以用1表示。
S904、将本地密钥组以及对应的校验值,发送给所述应用终端。
具体地,所述基准区域密钥管理中心在接收到所述密钥获取请求之后,会将所述本地密钥组以及根据本地密钥组生成的校验值发送给所述应用终端,所述应用终端会接收所述本地密钥组,然后根据校验值对所述本地密钥组进行验证,在验证通过之后当前使用的密钥组替换为接收到的本地密钥组。
在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发方法还包括:
在下一个工作密钥的预启用工作密钥时间,若判断获知本地密钥获取标识为未获取,则向所述全国密钥管理中心发送所述本地密钥获取标识;其中,所述预启用工作密钥时间是预设的。
具体地,由于工作密钥都是短时间有效的,工作密钥的状态会不断发生变更,直到工作密钥失效。所述基准区域密钥管理中心在将一个工作密钥的状态变更为预启用之后,会等待下一个工作密钥的预启用工作密钥时间的到来,当到达下一个工作密钥的预启用工作密钥时间时,所述基准区域密钥管理中心会判断本地密钥获取标识为未获取还是已获取,如果是未获取表明工作密钥的状态为预启用的工作密钥还没有被应用终端获取,不能将下一个工作密钥的状态变更为预启用,所述基准区域密钥管理中心会向所述全国密钥管理中心发送所述本地密钥获取标识,所述全国密钥管理中心接收到所述基准区域密钥管理中心发送的所述本地密钥获取标识之后,可以判断出所述本地密钥获取标识为未获取,那么所述全国密钥管理中心不会向所述基准区域密钥管理中心发送密钥获取指令。
图10是本发明第十实施例提供的密钥分发系统的结构示意图,如图10所示,本发明实施例提供的密钥分发系统包括第一发送模块1001、第一接收模块1002和第一判断模块1003,其中:
第一发送模块1001用于定期向多个基准区域密钥管理中心发送密钥获取指令;第一接收模块1002用于接收每个基准区域密钥管理中心发送的密钥信息;其中,所述密钥信息包括加密的工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;第一判断模块1003用于在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后,向各个基准区域密钥管理中心发送密钥交换完成信息。
具体地,第一发送模块1001会定期向多个基准区域密钥管理中心发送密钥获取指令,每个基准区域密钥管理中心会接收所述密钥获取指令。其中,基准区域密钥管理中心是预设的,可以配置在密钥交换策略中。所述定期根据实际需要进行设置,本发明实施例不做限定。通过减少定期的时间间隔,可以增加密钥交换的频率。
每个基准区域密钥管理中心接收到所述密钥获取指令之后,会访问量子网关获取量子密钥,将获取到的量子密钥作为工作密钥,然后使用区域主密钥对所述工作密钥进行加密处理,获得加密的工作密钥,并根据所述工作密钥生成密钥校验值。每个基准区域密钥管理中心将加密的工作密钥和所述密钥校验值携带在密钥信息中返回给第一接收模块1002,第一接收模块1002会接收各个基准区域密钥管理中心返回的密钥信息。其中,每个基准区域密钥管理中心的区域主密钥可以线下定期更新,以确保工作密钥的安全性。所述工作密钥用于加密通信报文。可理解的是,由于各个基准区域密钥管理中心是在一个较短的时间间隔内从所述量子网关获取量子密钥,正常情况下各个基准区域密钥管理中心获取到的量子密钥应该相同。
在接收到每个基准区域密钥管理中心发送的密钥信息之后,第一判断模块1003获取各个区域密钥管理中心发送的密钥信息中的密钥校验值,然后比较各个密钥校验值,如果各个密钥校验值一致,说明各个基准区域密钥管理中心获取到的工作密钥相同,第一判断模块1003可以向各个基准区域密钥管理中心发送密钥交换完成信息,各个基准区域密钥管理中心接收到所述密钥交换完成信息之后,可以将所述工作密钥的状态设置为新密钥。第一判断模块1003还可以将所述工作密钥发送给与各个基准区域密钥管理中心相关的区域密钥管理中心,以使得上述相关的区域密钥管理中心接收到所述工作密钥,并将接收到的工作密钥的状态设置为新密钥。其中,与各个基准区域密钥管理中心相关的区域密钥管理中心是预先设置的。
本发明实施例提供的密钥分发系统,定期向多个基准区域密钥管理中心发送密钥获取指令,然后接收每个基准区域密钥管理中心发送的密钥信息,密钥信息包括加密的工作密钥和密钥校验值,密钥校验值与工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥,在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后,向各个基准区域密钥管理中心发送密钥交换完成信息,提高了工作密钥在分发过程中的安全性。
图11是本发明第十一实施例提供的密钥分发系统的结构示意图,如图11所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发系统还包括第二判断模块1004和第三判断模块1005,其中:
第二判断模块1004用于在判断获知各个基准区域密钥管理中心发送的密钥校验值不一致之后,确认密钥交换失败一次,并重新向各个基准区域密钥管理中心发送密钥获取指令;第三判断模块1005用于在判断获知密钥交换失败的次数大于等于预设次数之后,将最先接收到的密钥信息的工作密钥作为交换密钥,并将所述交换密钥同步到相关区域密钥管理中心。
具体地,第二判断模块1004在比较各个密钥校验值时,如果各个密钥校验值不一致,即至少一个密钥校验值与其它的密钥校验值不同,那么确认密钥交换失败一次。第二判断模块1004会重新向各个基准区域密钥管理中心发送密钥交换指令,使得各个基准区域密钥管理中心重新向返回密钥信息,第二判断模块1004重新判断各个基准区域密钥管理中心返回的密钥校验值是否一致,如果一致那么向各个基准区域密钥管理中心发送所述密钥交换完成信息,如果不一致,那么累加密钥交换失败的次数。第二判断模块1004判断出各个基准区域密钥管理中心发送的密钥校验值不一致时,会重复上述过程直到各个基准区域密钥管理中心发送的密钥校验值一致,或者密钥交换失败的次数大于等于预设次数。其中,所述预设次数根据实际经验进行设置,本发明实施例不做限定。
第三判断模块1005将密钥交换失败的次数与预设次数进行比较,如果密钥交换失败的次数大于等于所述预设次数,那么将最先接收到的密钥信息包括的工作密钥作为交换密钥,然后向提供所述交换密钥的基准区域密钥管理中心发送密钥交换完成信息,并将所述交换密钥发送给关联的区域密钥管理中心中除了提供所述交换密钥的基准区域密钥管理中心以外的区域密钥管理中心,以使得接收到所述交换密钥的区域密钥管理中心将所述交换密钥作为工作密钥,并将所述工作密钥的状态设置为新密钥。提供所述交换密钥的基准区域密钥管理中心接收到所述密钥交换完成信息之后,会将所述工作密钥的状态设置为新密钥。其中,所述预设次数根据实际需要进行设置,本发明实施例不做限定。关联的区域密钥管理中心是预先设置,可以设置在所述交换密钥策略中。
图12是本发明第十二实施例提供的密钥分发系统的结构示意图,如图12所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发系统还包括第二发送模块1006,其中:
第二发送模块1006用于在定期向多个所述基准区域密钥管理中心发送密钥获取指令之前或者在定期向多个所述基准区域密钥管理中心发送密钥获取指令的同时,向各个所述基准区域密钥管理中心发送密钥交换策略,所述密钥交换策略是预设的。
具体地,在定期向多个所述基准区域密钥管理中心发送密钥获取指令之前或者在定期向多个所述基准区域密钥管理中心发送密钥获取指令的同时,第二发送模块1006需要向多个所述基准区域密钥管理中心发送密钥交换策略,多个所述基准区域密钥管理中心会接收所述密钥交换策略,根据所述密钥交换策略处理和使用所述工作密钥。其中,所述密钥交换策略是预设的。
图13是本发明第十三实施例提供的密钥分发系统的结构示意图,如图13所示,本发明实施例提供的密钥分发系统还包括第三发送模块1007,其中:
第三发送模块1007用于将所述密钥信息包括的工作密钥以及密钥交换策略发送给所述基准区域密钥管理中心对应的区域密钥管理中心。
具体地,在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后,所述密钥信息包括的工作密钥会作为各个基准区域密钥管理中心所属的关联的区域密钥管理中心中每个区域密钥管理中心的工作密钥,第三发送模块1007会将所述密钥信息包括的工作密钥以及密钥交换策略发送给所述基准区域密钥管理中心对应的区域密钥管理中心,所述基准区域密钥管理中心对应的区域密钥管理中心即各个基准区域密钥管理中心所属的关联的区域密钥管理中心中除了各个基准区域密钥管理中心以外的每个区域密钥管理中心。所述基准区域密钥管理中心对应的区域密钥管理中心的每个区域密钥管理中心接收到所述工作密钥之后,会将所述工作密钥的状态设置为新密钥,并依据所述密钥交换策略处理和使用所述工作密钥。其中,所述工作密钥与所述密钥交换策略对应。
图14是本发明第十四实施例提供的密钥分发系统的结构示意图,如图14所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发系统还包括第二接收模块1008和记录模块1009,其中:
第二接收模块1008用于接收区域密钥管理中心发送的密钥预启请求,所述密钥预启请求包括密钥标识;记录模块1009用于在判断获知所述区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应之后,向所述区域密钥管理中心返回密钥预启通过信息并记录所述密钥标识对应的密钥状态。
具体地,每个区域密钥管理中心会根据密钥交换策略配置的预启用工作密钥时间,向第二接收模块1008发送密钥预启请求,第二接收模块1008会接收每个区域密钥管理中心发送的密钥预启请求。其中,所述密钥预期请求包括密钥标识。
接收到所述密钥预启请求之后,记录模块1009会判断与所述区域密钥管理中心关联的区域密钥管理中心是否与所述密钥标识对应,即判断与所述区域密钥管理中心关联的区域密钥管理中心是否已经获得了所述密钥标识对应的工作密钥,在将所述工作密钥发送给与各个区域密钥管理中心时,可以记录各个区域密钥管理中心与工作密钥对应的密钥标识之间的对应关系,记录模块1009查询与所述区域密钥管理中心关联的每个区域密钥管理中心对应的密钥标识,如果都查询到所述密钥预启请求包括密钥标识,说明所述区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应,会向发送密钥预启请求的区域密钥管理中心返回密钥预启通过信息,并记录所述区域密钥管理中心的所述密钥标识对应的工作密钥的密钥状态,即将工作密钥的密钥状态由新密钥变更为预启用。每个区域密钥管理中心接收到所述密钥预启通过信息之后,会更改所述密钥标识对应的工作密钥的状态,可以将所述密钥标识对应的工作密钥的状态由新密钥变更为预启用。
本发明实施例提供的系统的实施例具体可以用于执行上述相应方法实施例的处理流程,其功能在此不再赘述,可以参照上述相应方法实施例的详细描述。
图15是本发明第十五实施例提供的密钥分发系统的结构示意图,如图15所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发系统包括第三接收模块1501、获取模块1502、第四发送模块1503和第四接收模块1504,其中:
第三接收模块1501用于接收全国密钥管理中心定期发送的密钥获取指令;获取模块1502用于取量子密钥作为工作密钥,并对所述工作密钥进行加密处理获得加密后的工作密钥和根据所述工作密钥生成密钥校验值;第四发送模块1503用于将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心;第四接收模块1504用于接收所述全国密钥管理中心发送的密钥交换完成信息,所述密钥交换完成信息是所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的。
具体地,全国密钥管理中心会定期向多个基准区域密钥管理中心发送密钥获取指令,第三接收模块1501会接收所述密钥获取指令。其中,基准区域密钥管理中心是预设的,可以配置在密钥交换策略中。所述定期根据实际需要进行设置,本发明实施例不做限定。
接收到所述密钥获取指令之后,获取模块1502会访问量子网关获取量子密钥,将获取到的量子密钥作为工作密钥,然后使用区域主密钥对所述工作密钥进行加密处理,获得加密的工作密钥,并根据所述工作密钥生成密钥校验值。其中,所述区域主密钥可以线下定期更新,以确保工作密钥的安全性。
在获得加密的工作密钥和所述密钥校验值之后,第四发送模块1503会将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心,所述全国密钥管理中心会接收各个基准区域密钥管理中心返回的密钥信息。
所述全国密钥管理中心在接收到各个基准区域密钥管理中心发送的密钥信息之后,获取各个区域密钥管理中心发送的密钥信息中的密钥校验值,然后比较各个密钥校验值,如果各个密钥校验值一致,说明各个基准区域密钥管理中心获取到的工作密钥相同,所述全国密钥管理中心可以向各个基准区域密钥管理中心发送密钥交换完成信息。第四接收模块1504可以接收所述全国密钥管理中心发送的密钥交换完成信息,然后将所述工作密钥的状态设置为新密钥。
本发明实施例提供的密钥分发系统,能够接收全国密钥管理中心定期发送的密钥获取指令,获取量子密钥作为工作密钥,并对工作密钥进行加密处理获得加密的工作密钥和根据工作密钥生成密钥校验值,然后将加密的工作密钥和密钥校验值携带在密钥信息中发送给所述全国密钥管理中心,接收全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的密钥交换完成信息,提高了工作密钥在分发过程中的安全性。
图16是本发明第十六实施例提供的密钥分发系统的结构示意图,如图16所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发系统还包括第五发送模块1505和第五接收模块1506,其中:
第五发送模块1505用于向所述全国密钥管理中心发送的密钥预启请求,所述密钥预启请求包括密钥标识;第五接收模块1506用于接收所述全国密钥管理中心发送的密钥预启通过信息,将所述密钥标识对应的工作密钥的状态由新密钥变更为预启用;其中,所述密钥预启通过信息是所述全国密钥管理中心在判断获知所述区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应之后发送的,所述密钥预启通过信息包括所述密钥标识。
具体地,第五发送模块1505会根据密钥交换策略配置的预启用工作密钥时间,向所述全国密钥管理中心发送密钥预启请求,所述全国密钥管理中心会接收所述基准区域密钥管理中心发送的密钥预启请求。所述全国密钥管理中心还会接收其他区域密钥管理中心根据密钥交换策略配置的预启用工作密钥时间发送的密钥预启请求。其中,所述密钥预期请求包括密钥标识。
所述全国密钥管理中心接收到所述基准区域密钥管理中心发送的密钥预启请求之后,会判断与所述基准区域密钥管理中心关联的区域密钥管理中心是否与所述密钥标识对应,即判断与所述基准区域密钥管理中心关联的区域密钥管理中心是否已经获得了所述密钥标识对应的工作密钥,所述全国密钥管理中心在将所述工作密钥发送给与各个区域密钥管理中心时,可以记录各个区域密钥管理中心与工作密钥对应的密钥标识之间的对应关系,所述全国密钥管理中心查询与所述基准区域密钥管理中心关联的每个区域密钥管理中心对应的密钥标识,如果都查询到所述密钥预启请求包括密钥标识,说明所述基准区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应,那么都会向第五接收模块1506发送密钥预启通过信息,并记录所述基准区域密钥管理中心的所述密钥标识对应的工作密钥的密钥状态,即将工作密钥的密钥状态由新密钥变更为预启用。如果有任何一个与所述基准区域密钥管理中心关联的区域密钥管理中心对应密钥标识中不包括所述密钥预启请求包括密钥标识,那么不会向第五接收模块1506发送密钥预启通过信息。第五接收模块1506接收到密钥预启通过信息之后,从所述密钥预启通过信息中获得所述密钥标识,然后将所述密钥标识对应的工作密钥的状态由新密钥变更为预启用。其中,所述密钥预启通过信息包括所述密钥标识。
图17是本发明第十七实施例提供的密钥分发系统的结构示意图,如图17所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发系统还包括变更模块1507,其中:
变更模块1507用于根据所述工作密钥的状态变更规则,变更所述工作密钥的状态。
具体地,可以在密钥交换策略中设置工作密钥的状态变更规则,所述全国密钥管理中心可以将所述密钥交换策略发送给变更模块1507,变更模块1507接收到所述密钥交换策略之后,根据所述工作密钥的状态变更规则,变更所述工作密钥的状态。
图18是本发明第十八实施例提供的密钥分发系统的结构示意图,如图18所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发系统还包括第六接收模块1508、返回模块1509、第七接收模块1510和第六发送模块1511,其中:
第六接收模块1508用于接收应用终端发送的密钥组;返回模块1509用于在判断获知所述密钥组与本地密钥组不一致之后,向所述应用终端返回密钥不一致信息;第七接收模块1510用于接收所述应用终端发送的密钥获取请求,并更新本地密钥获取标识;第六发送模块1511用于将本地密钥组以及对应的校验值,发送给所述应用终端。
具体地,应用终端会定期向第六接收模块1508发送密钥组,第六接收模块1508会接收所述密钥组。其中,所述密钥组是所述应用终端当前使用的密钥组,可以包括三个工作密钥以及每个密钥的状态。所述定期根据实际需要进行设置,例如每2秒钟发送一次,本发明实施例不做限定。
在接收到所述密钥组之后,返回模块1509将接收到的密钥组与本地密钥组进行比较,如果接收到的密钥组与所述本地密钥组不一致,说明所述应用终端和所述基准区域密钥管理中心使用的密钥组不同,那么向所述应用终端返回密钥不一致信息,所述应用终端会接收所述密钥不一致信息。其中,所述本地密钥组是所述基准区域密钥管理中心当前使用的密钥组,同样包括三个工作密钥以及每个工作密钥的状态。所述基准区域密钥管理中心在将接收到的密钥组与本地密钥组进行比较时,当接收到的密钥组中的工作密钥与本地密钥组中的工作密钥相同,并且相同的工作密钥的状态也相同时,接收到的密钥组与本地密钥组一致;否则,接收到的密钥组与本地密钥组不一致。
所述应用终端接收到所述密钥不一致信息之后,所述应用终端需要与所述基准区域密钥管理中心同步密钥组,所述应用终端会发送密钥获取请求给第七接收模块1510,第七接收模块1510会接收所述密钥获取请求,并在接收到所述密钥获取请求之后,更新本地密钥获取标识,可以将本地密钥获取标识设置为已获取,可以用1表示。
在接收到所述密钥获取请求之后,第六发送模块1511会将所述本地密钥组以及根据本地密钥组生成的校验值发送给所述应用终端,所述应用终端会接收所述本地密钥组,然后根据校验值对所述本地密钥组进行验证,在验证通过之后当前使用的密钥组替换为接收到的本地密钥组。
图19是本发明第十九实施例提供的密钥分发系统的结构示意图,如图19所示,在上述各实施例的基础上,进一步地,本发明实施例提供的密钥分发系统还包括第四判断模块1512,其中:
第四判断模块1512用于在下一个工作密钥的预启用工作密钥时间,若判断获知本地密钥获取标识为未获取,则向所述全国密钥管理中心发送所述本地密钥获取标识;其中,所述预启用工作密钥时间是预设的。
具体地,由于工作密钥都是短时间有效的,工作密钥的状态会不断发生变更,直到工作密钥失效。在将一个工作密钥的状态变更为预启用之后,会等待下一个工作密钥的预启用工作密钥时间的到来,当到达下一个工作密钥的预启用工作密钥时间时,第四判断模块1512会判断本地密钥获取标识为未获取还是已获取,如果是未获取表明工作密钥的状态为预启用的工作密钥还没有被应用终端获取,不能将下一个工作密钥的状态变更为预启用,第四判断模块1512会向所述全国密钥管理中心发送所述本地密钥获取标识,所述全国密钥管理中心接收到所述基准区域密钥管理中心发送的所述本地密钥获取标识之后,可以判断出所述本地密钥获取标识为未获取,那么所述全国密钥管理中心不会向第四判断模块1512所属的密钥分发系统发送密钥获取指令。
本发明实施例提供的系统的实施例具体可以用于执行上述相应方法实施例的处理流程,其功能在此不再赘述,可以参照上述相应方法实施例的详细描述。
图20是本发明一实施例提供的电子设备的实体结构示意图,如图20所示,该电子设备可以包括:第一处理器(Processor)2001、第一通信接口(Communications Interface)2002、第一存储器(Memory)2003和第一通信总线2004,其中,第一处理器2001,第一通信接口2002,第一存储器2003通过第一通信总线2004完成相互间的通信。第一处理器2001可以调用第一存储器2003中的逻辑指令,以执行如下方法,例如包括:定期向多个基准区域密钥管理中心发送密钥获取指令;接收每个基准区域密钥管理中心发送的密钥信息;其中,所述密钥信息包括加密的工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;若判断获知各个基准区域密钥管理中心发送的密钥校验值一致,则向各个基准区域密钥管理中心发送密钥交换完成信息。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行如下方法,例如包括:定期向多个基准区域密钥管理中心发送密钥获取指令;接收每个基准区域密钥管理中心发送的密钥信息;其中,所述密钥信息包括加密的工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;若判断获知各个基准区域密钥管理中心发送的密钥校验值一致,则向各个基准区域密钥管理中心发送密钥交换完成信息。
本实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储第一计算机程序,所述第一计算机程序使所述计算机执行如下方法,例如包括:定期向多个基准区域密钥管理中心发送密钥获取指令;接收每个基准区域密钥管理中心发送的密钥信息;其中,所述密钥信息包括加密的工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;若判断获知各个基准区域密钥管理中心发送的密钥校验值一致,则向各个基准区域密钥管理中心发送密钥交换完成信息。
图21是本发明另一实施例提供的电子设备的实体结构示意图,如图21所示,该电子设备可以包括:第二处理器(Processor)2101、第二通信接口(CommunicationsInterface)2102、第二存储器(Memory)2103和第二通信总线2104,其中,第二处理器2101,第二通信接口2102,第二存储器2103通过第二通信总线2104完成相互间的通信。第二处理器2101可以调用第二存储器2103中的逻辑指令,以执行如下方法,例如包括:接收全国密钥管理中心定期发送的密钥获取指令;取量子密钥作为工作密钥,并对所述工作密钥进行加密处理获得加密后的工作密钥和根据所述工作密钥生成密钥校验值;将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心;接收所述全国密钥管理中心发送的密钥交换完成信息,所述密钥交换完成信息是所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行如下方法,例如包括:接收全国密钥管理中心定期发送的密钥获取指令;取量子密钥作为工作密钥,并对所述工作密钥进行加密处理获得加密后的工作密钥和根据所述工作密钥生成密钥校验值;将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心;接收所述全国密钥管理中心发送的密钥交换完成信息,所述密钥交换完成信息是所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的。
本实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储第二计算机程序,所述第二计算机程序使所述计算机执行如下方法,例如包括:接收全国密钥管理中心定期发送的密钥获取指令;取量子密钥作为工作密钥,并对所述工作密钥进行加密处理获得加密后的工作密钥和根据所述工作密钥生成密钥校验值;将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心;接收所述全国密钥管理中心发送的密钥交换完成信息,所述密钥交换完成信息是所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的。
此外,上述的第一存储器2003和第二存储器2103中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,装置,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
在本说明书的描述中,参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (24)

1.一种密钥分发方法,其特征在于,包括:
定期向多个基准区域密钥管理中心发送密钥获取指令;
接收每个基准区域密钥管理中心发送的密钥信息;其中,所述密钥信息包括加密的工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;
若判断获知各个基准区域密钥管理中心发送的密钥校验值一致,则向各个基准区域密钥管理中心发送密钥交换完成信息。
2.根据权利要求1所述的方法,其特征在于,还包括:
若判断获知各个基准区域密钥管理中心发送的密钥校验值不一致,则确认密钥交换失败一次,并重新向各个基准区域密钥管理中心发送密钥获取指令;
若判断获知密钥交换失败的次数大于等于预设次数,则将最先接收到的密钥信息的工作密钥作为交换密钥,并将所述交换密钥同步到相关区域密钥管理中心。
3.根据权利要求1所述的方法,其特征在于,还包括:
在定期向多个所述基准区域密钥管理中心发送密钥获取指令之前或者在定期向多个所述基准区域密钥管理中心发送密钥获取指令的同时,向各个所述基准区域密钥管理中心发送密钥交换策略,所述密钥交换策略是预设的。
4.根据权利要求1所述的方法,其特征在于,还包括:
将所述密钥信息包括的工作密钥以及密钥交换策略发送给所述基准区域密钥管理中心对应的区域密钥管理中心。
5.根据权利要求1至4任一项所述的方法,其特征在于,还包括:
接收区域密钥管理中心发送的密钥预启请求,所述密钥预启请求包括密钥标识;
若判断获知所述区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应,则向所述区域密钥管理中心返回密钥预启通过信息并记录所述密钥标识对应的密钥状态。
6.一种密钥分发方法,其特征在于,包括:
接收全国密钥管理中心定期发送的密钥获取指令;
取量子密钥作为工作密钥,并对所述工作密钥进行加密处理获得加密后的工作密钥和根据所述工作密钥生成密钥校验值;
将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心;
接收所述全国密钥管理中心发送的密钥交换完成信息,所述密钥交换完成信息是所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的。
7.根据权利要求6所述的方法,其特征在于,还包括:
向所述全国密钥管理中心发送的密钥预启请求,所述密钥预启请求包括密钥标识;
接收所述全国密钥管理中心发送的密钥预启通过信息,将所述密钥标识对应的工作密钥的状态由新密钥变更为预启用;其中,所述密钥预启通过信息是所述全国密钥管理中心在判断获知所述区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应之后发送的,所述密钥预启通过信息包括所述密钥标识。
8.根据权利要求7所述的方法,其特征在于,还包括:
根据所述工作密钥的状态变更规则,变更所述工作密钥的状态。
9.根据权利要求6所述的方法,其特征在于,还包括:
接收应用终端发送的密钥组;
若判断获知所述密钥组与本地密钥组不一致,则向所述应用终端返回密钥不一致信息;
接收所述应用终端发送的密钥获取请求,并更新本地密钥获取标识;
将本地密钥组以及对应的校验值,发送给所述应用终端。
10.根据权利要求6至9任一项所述的方法,其特征在于,还包括:
在下一个工作密钥的预启用工作密钥时间,若判断获知本地密钥获取标识为未获取,则向所述全国密钥管理中心发送所述本地密钥获取标识;其中,所述预启用工作密钥时间是预设的。
11.一种密钥分发系统,其特征在于,包括:
第一发送模块,用于定期向多个基准区域密钥管理中心发送密钥获取指令;
第一接收模块,用于接收每个基准区域密钥管理中心发送的密钥信息;其中,所述密钥信息包括加密的工作密钥和密钥校验值,所述密钥校验值与所述工作密钥对应,每个基准区域密钥管理中心的工作密钥是每个基准区域密钥管理中心获取的量子密钥;
第一判断模块,用于在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后,向各个基准区域密钥管理中心发送密钥交换完成信息。
12.根据权利要求11所述的系统,其特征在于,还包括:
第二判断模块,用于在判断获知各个基准区域密钥管理中心发送的密钥校验值不一致之后,确认密钥交换失败一次,并重新向各个基准区域密钥管理中心发送密钥获取指令;
第三判断模块,用于在判断获知密钥交换失败的次数大于等于预设次数之后,将最先接收到的密钥信息的工作密钥作为交换密钥,并将所述交换密钥同步到相关区域密钥管理中心。
13.根据权利要求11所述的系统,其特征在于,还包括:
第二发送模块,用于在定期向多个所述基准区域密钥管理中心发送密钥获取指令之前或者在定期向多个所述基准区域密钥管理中心发送密钥获取指令的同时,向各个所述基准区域密钥管理中心发送密钥交换策略,所述密钥交换策略是预设的。
14.根据权利要求11所述的系统,其特征在于,还包括:
第三发送模块,用于将所述密钥信息包括的工作密钥以及密钥交换策略发送给所述基准区域密钥管理中心对应的区域密钥管理中心。
15.根据权利要求11至14任一项所述的系统,其特征在于,还包括:
第二接收模块,用于接收区域密钥管理中心发送的密钥预启请求,所述密钥预启请求包括密钥标识;
记录模块,用于在判断获知所述区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应之后,向所述区域密钥管理中心返回密钥预启通过信息并记录所述密钥标识对应的密钥状态。
16.一种密钥分发系统,其特征在于,包括:
第三接收模块,用于接收全国密钥管理中心定期发送的密钥获取指令;
获取模块,用于取量子密钥作为工作密钥,并对所述工作密钥进行加密处理获得加密后的工作密钥和根据所述工作密钥生成密钥校验值;
第四发送模块,用于将加密的工作密钥和所述密钥校验值携带在密钥信息中发送给所述全国密钥管理中心;
第四接收模块,用于接收所述全国密钥管理中心发送的密钥交换完成信息,所述密钥交换完成信息是所述全国密钥管理中心在判断获知各个基准区域密钥管理中心发送的密钥校验值一致之后发送的。
17.根据权利要求16所述的系统,其特征在于,还包括:
第五发送模块,用于向所述全国密钥管理中心发送的密钥预启请求,所述密钥预启请求包括密钥标识;
第五接收模块,用于接收所述全国密钥管理中心发送的密钥预启通过信息,将所述密钥标识对应的工作密钥的状态由新密钥变更为预启用;其中,所述密钥预启通过信息是所述全国密钥管理中心在判断获知所述区域密钥管理中心关联的区域密钥管理中心与所述密钥标识对应之后发送的,所述密钥预启通过信息包括所述密钥标识。
18.根据权利要求17所述的系统,其特征在于,还包括:
变更模块,用于根据所述工作密钥的状态变更规则,变更所述工作密钥的状态。
19.根据权利要求16所述的系统,其特征在于,还包括:
第六接收模块,用于接收应用终端发送的密钥组;
返回模块,用于在判断获知所述密钥组与本地密钥组不一致之后,向所述应用终端返回密钥不一致信息;
第七接收模块,用于接收所述应用终端发送的密钥获取请求,并更新本地密钥获取标识;
第六发送模块,用于将本地密钥组以及对应的校验值,发送给所述应用终端。
20.根据权利要求16至19任一项所述的系统,其特征在于,还包括:
第四判断模块,用于在下一个工作密钥的预启用工作密钥时间,若判断获知本地密钥获取标识为未获取,则向所述全国密钥管理中心发送所述本地密钥获取标识;其中,所述预启用工作密钥时间是预设的。
21.一种电子设备,包括第一存储器、第一处理器及存储在所述第一存储器上并可在第一处理器上运行的第一计算机程序,其特征在于,所述第一处理器执行所述第一计算机程序时实现权利要求1至5任一项所述的方法。
22.一种计算机可读存储介质,其上存储有第一计算机程序,其特征在于,所述第一计算机程序被第一处理器执行时实现权利要求1至5任一项所述的方法。
23.一种电子设备,包括第二存储器、第二处理器及存储在所述第二存储器上并可在第二处理器上运行的第二计算机程序,其特征在于,所述第二处理器执行所述第二计算机程序时实现权利要求6至10任一项所述的方法。
24.一种计算机可读存储介质,其上存储有第二计算机程序,其特征在于,所述第二计算机程序被第二处理器执行时实现权利要求6至10任一项所述的方法。
CN202010306219.XA 2020-04-17 2020-04-17 密钥分发方法及系统 Active CN111526013B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010306219.XA CN111526013B (zh) 2020-04-17 2020-04-17 密钥分发方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010306219.XA CN111526013B (zh) 2020-04-17 2020-04-17 密钥分发方法及系统

Publications (2)

Publication Number Publication Date
CN111526013A true CN111526013A (zh) 2020-08-11
CN111526013B CN111526013B (zh) 2023-05-05

Family

ID=71902213

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010306219.XA Active CN111526013B (zh) 2020-04-17 2020-04-17 密钥分发方法及系统

Country Status (1)

Country Link
CN (1) CN111526013B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468490A (zh) * 2020-11-25 2021-03-09 国网辽宁省电力有限公司信息通信分公司 一种用于电网终端层设备接入的认证方法
CN114614985A (zh) * 2022-05-12 2022-06-10 施维智能计量系统服务(长沙)有限公司 通信秘钥更新方法、秘钥服务器及可读存储介质
CN116132134A (zh) * 2022-12-30 2023-05-16 北京海泰方圆科技股份有限公司 一种数据传输方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009239839A (ja) * 2008-03-28 2009-10-15 Fujitsu Broad Solution & Consulting Inc グループ暗号通信における鍵管理方法、及び、鍵管理プログラム
CN103729943A (zh) * 2013-03-15 2014-04-16 福建联迪商用设备有限公司 一种将传输密钥导入kms系统的方法及系统
CN109660340A (zh) * 2018-12-11 2019-04-19 北京安御道合科技有限公司 一种基于量子密钥的应用系统及其使用方法
US20200084018A1 (en) * 2018-09-07 2020-03-12 Sap Se Blockchain-incorporating distributed authentication system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009239839A (ja) * 2008-03-28 2009-10-15 Fujitsu Broad Solution & Consulting Inc グループ暗号通信における鍵管理方法、及び、鍵管理プログラム
CN103729943A (zh) * 2013-03-15 2014-04-16 福建联迪商用设备有限公司 一种将传输密钥导入kms系统的方法及系统
US20200084018A1 (en) * 2018-09-07 2020-03-12 Sap Se Blockchain-incorporating distributed authentication system
CN109660340A (zh) * 2018-12-11 2019-04-19 北京安御道合科技有限公司 一种基于量子密钥的应用系统及其使用方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468490A (zh) * 2020-11-25 2021-03-09 国网辽宁省电力有限公司信息通信分公司 一种用于电网终端层设备接入的认证方法
CN112468490B (zh) * 2020-11-25 2023-09-08 国网辽宁省电力有限公司信息通信分公司 一种用于电网终端层设备接入的认证方法
CN114614985A (zh) * 2022-05-12 2022-06-10 施维智能计量系统服务(长沙)有限公司 通信秘钥更新方法、秘钥服务器及可读存储介质
CN116132134A (zh) * 2022-12-30 2023-05-16 北京海泰方圆科技股份有限公司 一种数据传输方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN111526013B (zh) 2023-05-05

Similar Documents

Publication Publication Date Title
EP3742696A1 (en) Identity management method, equipment, communication network, and storage medium
CN111526013B (zh) 密钥分发方法及系统
CN106790223B (zh) 一种数据传输的方法和设备及其系统
AU2019211897B2 (en) Methods, application server, IoT device and media for implementing IoT services
CN111787533B (zh) 加密方法、切片管理方法、终端及接入和移动性管理实体
CN109544747A (zh) 智能门锁的加密密钥更新方法、系统和计算机存储介质
CN102685739A (zh) 安卓企业应用的鉴权方法及系统
US20220417015A1 (en) Key update method and related apparatus
JP2018511206A (ja) 証明書管理方法、デバイス、及びシステム
CN109698746A (zh) 基于主密钥协商生成绑定设备的子密钥的方法和系统
CN114760056B (zh) 动态更新密钥的安全通信方法及装置
CN104735064B (zh) 一种标识密码系统中标识安全撤销并更新的方法
CN108632037B (zh) 公钥基础设施的公钥处理方法及装置
CN104243153A (zh) 一种用于发现设备的用户的方法和用户设备
US11258782B2 (en) Peer-to-peer notification system
CN102752308A (zh) 通过网络提供数字证书综合业务系统及其实现方法
CN116155491B (zh) 安全芯片的对称密钥同步方法及安全芯片装置
CN112564901A (zh) 密钥的生成方法和系统、存储介质及电子装置
CN106487761B (zh) 一种消息传输方法和网络设备
CN104202159A (zh) 密钥分发方法和设备
CN113691376B (zh) 一种密钥管理方法及装置
CN104539428A (zh) 一种集群加密通信中动态重组方法
CN111614739B (zh) 网络测量数据存储方法、装置和系统
CN115913521A (zh) 基于量子密钥进行身份认证的方法
CN109803255B (zh) 用于数字化车间的移动数据信息安全通信系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant