CN112737781B - 量子密钥管理服务方法、系统及存储介质 - Google Patents
量子密钥管理服务方法、系统及存储介质 Download PDFInfo
- Publication number
- CN112737781B CN112737781B CN202110331655.7A CN202110331655A CN112737781B CN 112737781 B CN112737781 B CN 112737781B CN 202110331655 A CN202110331655 A CN 202110331655A CN 112737781 B CN112737781 B CN 112737781B
- Authority
- CN
- China
- Prior art keywords
- key
- management service
- module
- request
- service node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
Abstract
本发明公开了一种量子密钥管理服务方法、系统及存储介质,所述方法通过使用软件密码模块替代硬件密码模块,以能够支持更多类型的终端设备,从而扩展量子密钥的应用范围。此外,通过使用软件密码模块,可以有效地降低量子密钥应用推广成本,并且提高量子密钥应用的推广效率。进一步地,量子密钥应用的广泛推广,有助于加强基础通信安全,而且对防范隐私信息泄露、敏感数据泄密等方面具有积极意义。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种量子密钥管理服务方法、系统及存储介质。
背景技术
随着信息通信技术的快速发展,社会的信息化程度日新月异,国家、机构、个人的信息安全需求与日俱增,网络空间的攻防态势也日趋严峻。一方面,大数据、移动通信、云计算、物联网等新技术、新应用和新模式快速融合发展触发了新的安全威胁,访问控制、隔离等传统安全手段逐渐无法满足新形势下的需求,而密码技术作为信息安全技术的基石在保障信息的机密性、真实性、完整性和不可抵赖性方面发挥着核心作用。另一方面,网络入侵、密码破译等攻击上升为国家级别的对抗手段,特别是以量子计算为代表的计算能力的飞跃发展,对基于大数分解、离散对数等数学难题的传统密码方案带来了前所未有的挑战。因此,行业亟需发展新的技术手段来完善未来的安全保障。
量子密钥分发(Quantum Key Distribution,简称QKD)技术是近几十年发展起来的新型技术,是量子论与信息论相互结合后的产物,是现存惟一可达香农提出“绝对安全”的方法。当前,量子密钥分发技术日臻成熟、量子密钥分发网络也已经建设并投入使用,同时为了扩展QKD网络的应用场景和范围。
但是现有的应用特别是移动应用使用量子密钥服务时,基本上都依赖硬件密码模块,例如安全TF卡(TransFLash,为一种存储卡)、安全NM卡(Nano Memory,为一种存储卡),甚至是手机SIM卡等。而硬件密码模块使用场景比较受限,一方面需要占用用户卡槽,甚至很多移动终端不支持外置存储设备;另一方面使用硬件密码模块也存在使用成本高,推广难度大的问题。
因此,需要实现一种直接适用于终端设备本身而不需要依赖外置硬件模块的量子密钥管理和使用方法,解决硬件密码模块使用场景受限的问题,对推广量子密钥的应用具有很高的必要性。
发明内容
本发明的目的在于,提供一种量子密钥管理服务方法、系统及存储介质,其通过使用软件密码模块替代硬件密码模块,以能够支持更多类型的终端设备,从而扩展量子密钥的应用范围。此外,通过使用软件密码模块,可以有效地降低量子密钥应用推广成本,并且提高量子密钥应用的推广效率。进一步地,量子密钥应用的广泛推广,有助于加强基础通信安全,而且对防范隐私信息泄露、敏感数据泄密等方面具有积极意义。
根据本发明的第一方面,本发明实施例提供了一种量子密钥管理服务方法,应用于终端设备,所述量子密钥管理服务方法包括:密钥管理服务节点向量子密钥分发网络发送密钥请求;所述密钥管理服务节点接收所述量子密钥分发网络所提供的量子密钥;所述密钥管理服务节点存储所述量子密钥至与所述密钥管理服务节点相连的硬件密码模块;以及所述硬件密码模块在返回完成存储响应至所述密钥管理服务节点后,复制所述量子密钥至与所述硬件密码模块相连的软件密码模块,其中所述软件密码模块设置于所述终端设备,从而使得所述终端设备与所述密钥管理服务节点具有对称的量子密钥。
在基于上述技术方案的基础上,还可以做进一步的改进。
可选地,所述硬件密码模块在复制所述量子密钥至与所述硬件密码模块相连的软件密码模块的步骤之后,还包括:所述硬件密码模块在接收到所述软件密码模块返回的完成复制响应后,销毁所存储的量子密钥。
可选地,所述硬件密码模块复制所述量子密钥至与所述硬件密码模块相连的软件密码模块的步骤,还包括:所述软件密码模块发送验证信息至所述硬件密码模块,以进行权限校验;当所述软件密码模块接收到所述硬件密码模块返回的权限校验成功响应后,与所述硬件密码模块协商会话密钥;所述软件密码模块发送密钥复制请求至所述硬件密码模块;所述软件密码模块接收所述硬件密码模块返回的密文密钥数据;所述软件密码模块通过所协商的会话密钥对所述密文密钥数据进行解密,以得到明文密钥;所述软件密码模块在得到明文密钥后发送完成复制响应至所述硬件密码模块。
可选地,所述密文密钥数据包括密钥数据和敏感参数。
可选地,在软件密码模块发送验证信息至所述硬件密码模块,以进行权限校验的步骤之前,还包括:所述软件密码模块生成白盒保护密钥;所述软件密码模块通过所协商的会话密钥对所述密文密钥数据进行解密,以得到明文密钥的步骤,包括:通过使用白盒保护密钥加密所述明文密钥。
可选地,所述终端设备包括第一终端设备和第二终端设备;在所述终端设备与所述密钥管理服务节点具有对称量子密钥的步骤之后,还包括:所述第一终端设备和所述第二终端设备分别发送认证请求至所述密钥管理服务节点;所述第一终端设备和所述第二终端设备相应地接收所述密钥管理服务节点所下发的认证响应,以建立所述终端设备与所述密钥管理服务节点的安全通道。
可选地,在建立所述终端设备与所述密钥管理服务节点的安全通道的步骤之后,还包括:所述第一终端设备通过使用第一预设密钥加密会话密钥请求,并发送所加密的会话密钥请求至所述密钥管理服务节点,其中所述会话密钥请求包含所述第二终端设备的信息;所述第一终端设备接收所述密钥管理服务节点返回的会话密钥响应,以得到会话密钥响应报文;其中所述会话密钥响应报文是通过所述密钥管理服务节点产生的;所述第一终端设备通过使用与所述密钥管理服务节点对称的第一预设密钥解密所述会话密钥响应报文,以得到会话密钥密文,并且通过使用与所述密钥管理服务节点对称的第二预设密钥以解密所述会话密钥密文,进而得到会话密钥明文;所述第一终端设备同步会话信息至所述第二终端设备;所述第二终端设备根据所述会话信息生成会话密钥请求,并通过使用第一预设密钥加密会话密钥请求,以及发送所加密的会话密钥请求至所述密钥管理服务节点;所述第二终端设备接收所述密钥管理服务节点返回的会话密钥响应,以得到会话密钥响应报文;其中所述会话密钥响应报文是通过所述密钥管理服务节点产生的;所述第二终端设备通过使用与所述密钥管理服务节点对称的第一预设密钥解密所述会话密钥响应报文,以得到会话密钥密文,并且通过使用与所述密钥管理服务节点对称的第二预设密钥以解密所述会话密钥密文,进而得到会话密钥明文;所述第二终端设备响应会话信息至所述第一终端设备。
可选地,在所述第一终端设备和所述第二终端设备分别发送认证请求至所述密钥管理服务节点的步骤之前,还包括:所述终端设备发送密钥划分认证请求至所述密钥管理服务节点;所述终端设备接收所述密钥管理服务节点返回的密钥划分认证响应;所述终端设备发送密钥划分请求至所述密钥管理服务节点,以请求指示划分密钥的密钥类型,其中通过使用第三预设密钥加密所述密钥划分请求;所述密钥管理服务节点在接收到密钥划分请求后,通过使用对称的第三预设密钥以解密所述密钥划分请求,并得到请求信息,以及根据请求信息确定第五预设密钥对应的密钥区域,以及通过使用第四预设密钥加密密钥划分指令,并将加密后的密钥划分指令包含在密钥划分请求响应中;所述终端设备接收所述密钥管理服务节点返回的密钥划分请求响应,并通过使用对称的第三预设密钥解密所述密钥划分请求响应,以得到密钥划分指令,以及通过使用对称的第四预设密钥以解密所述密钥划分指令而得到指令信息,并根据所述指令信息将第五预设密钥对应的密钥区域划分成相应的第一预设密钥或第二预设密钥;所述终端设备生成密钥划分结果确认请求,并通过使用第三预设密钥加密密钥划分结果确认请求,以及发送所加密的密钥划分结果确认请求至所述密钥管理服务节点;所述密钥管理服务节点在接收所述终端设备发送的密钥划分结果确认请求后,通过使用第三预设密钥进行解密,以获得密钥划分结果,以及在完成所述密钥划分结果的判定后生成密钥划分结果确认响应,并使用第三预设密钥对所述密钥划分结果确认响应进行加密并下发至所述终端设备;所述终端设备在接收到所述密钥管理服务节点返回的密钥划分结果确认响应后,通过使用对称的第三预设密钥解密所述密钥划分结果确认响应,以得到确认结果。
可选地,所述密钥划分结果确认请求包括密钥划分结果和密钥摘要值。
可选地,在所述密钥管理服务节点在接收所述终端设备发送的密钥划分结果确认请求后,通过使用第三预设密钥进行解密,以获得密钥划分结果的步骤之后,还包括:若判断出密钥划分结果为终端设备密钥划分成功,则计算所述密钥管理服务节点所存储的对应划分密钥的摘要值;比较所述密钥管理服务节点所存储的对应划分密钥的摘要值和所述密钥划分结果确认请求中的密钥摘要值;当判断出两者相同时,则确定本次密钥划分成功。
根据本发明的第二方面,本发明实施例提供了一种量子密钥管理服务系统,其包括:密钥管理服务节点和分别与密钥管理服务节点通信的硬件密码模块和软件密码模块,其中软件密码模块设置于终端设备;所述密钥管理服务节点包括:发送密钥请求模块,用于向量子密钥分发网络发送密钥请求;接收量子密钥模块,用于接收所述量子密钥分发网络所提供的量子密钥;存储量子密钥模块,用于存储所述量子密钥至与所述密钥管理服务节点相连的硬件密码模块;所述硬件密码模块包括:复制量子密钥模块,用于在发送完成存储响应至所述密钥管理服务节点后,复制所述量子密钥至与所述硬件密码模块相连的软件密码模块。
可选地,所述硬件密码模块还包括:销毁量子密钥模块,用于在接收到所述软件密码模块返回的完成复制响应后,销毁所存储的量子密钥。
可选地,所述终端设备还包括:校验访问权限模块,用于发送验证信息至所述硬件密码模块,以进行权限校验;协商会话密钥模块,用于当所述软件密码模块接收到所述硬件密码模块返回的权限校验成功响应后,与所述硬件密码模块协商会话密钥;请求密钥复制模块,用于发送密钥复制请求至所述硬件密码模块;接收密文密钥模块,用于接收所述硬件密码模块返回的密文密钥数据;获得明文密钥模块,用于通过所协商的会话密钥对所述密文密钥数据进行解密,以得到明文密钥;响应密钥复制模块,用于在得到所述明文密钥后发送完成复制响应至所述硬件密码模块。
可选地,所述终端设备还包括:生成保护密钥模块,用于生成白盒保护密钥;加密明文密钥模块,用于通过使用白盒保护密钥加密所述明文密钥。
可选地,所述终端设备还包括:请求划分认证模块,用于发送密钥划分认证请求至所述密钥管理服务节点;接收划分认证模块,用于接收所述密钥管理服务节点返回的密钥划分认证响应;指示密钥类型模块,用于发送密钥划分请求至所述密钥管理服务节点,以请求指示划分密钥的密钥类型,其中通过使用第三预设密钥加密所述密钥划分请求;获取指令信息模块,用于收所述密钥管理服务节点返回的密钥划分请求响应,并通过使用对称的第三预设密钥解密所述密钥划分请求响应,以得到密钥划分指令,以及通过使用对称的第四预设密钥以解密所述密钥划分指令而得到指令信息,并根据所述指令信息将第五预设密钥对应的密钥区域划分成相应的第一预设密钥或第二预设密钥;以及发送划分结果模块,用于生成密钥划分结果确认请求,并通过使用第三预设密钥加密密钥划分结果确认请求,以及发送所加密的密钥划分结果确认请求至所述密钥管理服务节点;获得确认结果模块,用于在接收到密钥划分结果确认响应后,通过使用对称的第三预设密钥解密所述密钥划分结果确认响应,以得到确认结果;密钥管理服务节点还包括:确定密钥区域模块,用于在接收到密钥划分请求后,通过使用对称的第三预设密钥以解密所述密钥划分请求,并得到请求信息,以及根据请求信息确定第五预设密钥对应的密钥区域,以及通过使用第四预设密钥加密密钥划分指令,并将加密后的密钥划分指令包含在密钥划分请求响应中;响应划分结果模块,用于在接收所述终端设备发送的密钥划分结果确认请求后,通过使用第三预设密钥进行解密,以获得密钥划分结果,以及在完成所述密钥划分结果的判定后生成密钥划分结果确认响应,并使用第三预设密钥对所述密钥划分结果确认响应进行加密并下发至所述终端设备。
根据本发明的第三方面,本发明实施例提供一种存储介质。所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现本发明任一实施例所述的量子密钥管理服务方法的步骤。
本发明提供了一种量子密钥管理服务方法、系统和存储介质,其通过使用软件密码模块替代硬件密码模块,以能够支持更多类型的终端设备,从而扩展量子密钥的应用范围。此外,通过使用软件密码模块,可以有效地降低量子密钥应用推广成本,并且提高量子密钥应用的推广效率。进一步地,量子密钥应用的广泛推广,有助于加强基础通信安全,而且对防范隐私信息泄露、敏感数据泄密等方面具有积极意义。
附图说明
下面结合附图,通过对本发明的具体实施方式详细描述,将使本发明的技术方案及其它有益效果显而易见。
图1是本发明一实施例中的一种量子密钥管理服务方法的步骤流程图。
图2是图1所示的量子密钥管理服务方法对应的信令流程图。
图3是本发明所述实施例中的量子密钥管理服务方法的步骤S140的子步骤的步骤流程图。
图4是图3所示步骤S140的子步骤对应的信令流程图。
图5是本发明另一实施例中的量子密钥管理服务方法的步骤S140的子步骤的步骤流程图。
图6是图5所示步骤S140的子步骤对应的信令流程图。
图7是本发明又一实施例中的量子密钥管理服务方法的步骤S140的子步骤的步骤流程图。
图8是图7所示步骤S140的子步骤对应的信令流程图。
图9是本发明再一实施例中的量子密钥管理服务方法的步骤流程图。
图10是本发明再一实施例中的量子密钥管理服务方法对应的信令流程图。
图11是本发明一实施例中的量子密钥管理服务系统的架构示意图。
图12是本发明另一实施例的量子密钥管理服务系统中的终端设备和硬件密码模块相连的架构示意图。
图13是本发明又一实施例的量子密钥管理服务系统中的终端设备和密钥管理服务节点相连的架构示意图。
图14是本发明再一实施例的量子密钥管理服务系统中的终端设备和密钥管理服务节点相连的架构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅作为是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了使本申请的目的、技术方案及优点更加清楚明白,通过下述实施例并结合附图,对本申请实施例中的技术方案的进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定发明。
图1为本发明一实施例中的一种量子密钥管理服务方法的步骤流程图。图2是图1所示的量子密钥管理服务方法对应的信令流程图。
如图1和图2所示,本发明实施例提供了一种量子密钥管理服务方法。所述方法包括:
步骤S110、密钥管理服务节点向量子密钥分发网络发送密钥请求;
步骤S120、所述密钥管理服务节点接收所述量子密钥分发网络所提供的量子密钥;
步骤S130、所述密钥管理服务节点存储所述量子密钥至与所述密钥管理服务节点相连的硬件密码模块;
步骤S140、所述硬件密码模块在返回完成存储响应至所述密钥管理服务节点后,复制所述量子密钥至与所述硬件密码模块相连的软件密码模块,其中所述软件密码模块设置于所述终端设备,从而使得所述终端设备与所述密钥管理服务节点具有对称的量子密钥。
通过执行步骤S110至步骤S140,即通过使用软件密码模块替代硬件密码模块,这样软件密码模块和密钥管理服务节点具有对称的量子密钥,于是可以实现将量子密钥分发网络(QKD网络)安全地存储至用户的终端设备,由终端设备的软件密码模块安全地进行管理和使用,并向终端设备的各类应用提供量子密钥服务。换言之,通过上述步骤的实施,以使软件密码模块替代硬件密码模块,从而能够支持更多类型的终端设备,进而扩展量子密钥的应用范围。此外,通过使用软件密码模块,可以不依赖于硬件密码模块而有效地降低量子密钥应用推广成本,并且由于其通用性好,因而提高量子密钥应用的推广效率。进一步地,量子密钥应用的广泛推广,有助于加强基础通信安全,而且对防范隐私信息泄露、敏感数据泄密等方面具有积极意义。
以下将结合附图进一步说明所述量子密钥管理服务方法的每一个步骤。
步骤S110,密钥管理服务节点向量子密钥分发网络发送密钥请求。
密钥管理服务节点通常位于量子密钥管理服务核心网(EQC)。量子密钥管理服务核心网可以包括:位于同一区域内的一个量子密钥管理服务中心(图中未示)、以及多个量子密钥管理服务节点(或简称为EQCT节点,下文相同)。所述量子密钥管理服务中心分别与本区域内的每一所述量子密钥管理服务节点相连、并与相应量子密钥分发器(图中未示)相连,用于为所述量子密钥管理服务节点及其对接的密钥应用设备(或终端设备)提供信息管理。所述量子密钥管理服务节点可以与量子密钥分发网络(即QKD网络,下文相同)中的量子密钥分发器相连、以及与至少一密钥应用终端设备(或终端设备)相连,用于对量子密钥分发网络生成并由量子密钥分发器所分发的量子密钥进行密钥管理,以及为相应的密钥应用设备(或终端设备)提供量子密钥服务。
在此步骤中,量子密钥管理服务核心网的密钥管理服务节点向量子密钥分发网络进行量子密钥申请。
步骤S120,所述密钥管理服务节点接收所述量子密钥分发网络所提供的量子密钥。
在此步骤中,QKD网络生成量子密钥,并且可以但不限于量子密钥分发器分发量子密钥。密钥管理服务节点接收到量子密钥后存储于节点上。
步骤S130,所述密钥管理服务节点存储所述量子密钥至与所述密钥管理服务节点相连的硬件密码模块。
在此步骤中,所述密钥管理服务节点在接收到QKD网络 所生成的量子密钥之后,除了存储于本地之外,同时还将相同的量子密钥充注至硬件密码模块,由硬件密码模块存储在内部。这样,硬件密码模块与密钥管理服务节点具有对称的量子密钥。其中,充注是指将从QKD网络所获得的量子密钥存储至硬件密码模块。
硬件密码模块可存于量子密钥存储介质中,其存储的量子密钥和某一个密钥管理服务节点上所保存的量子密钥是一致的。换言之,硬件密码模块和某一个密钥管理服务节点配对并受其管理。量子密钥存储介质可以为安全U盾,也可以其他硬件,例如安全TF卡、安全NM卡等。
步骤S140,所述硬件密码模块在返回完成存储响应至所述密钥管理服务节点后,复制所述量子密钥至与所述硬件密码模块相连的软件密码模块,其中所述软件密码模块设置于所述终端设备,从而使得所述终端设备与所述密钥管理服务节点具有对称的量子密钥。
充注了量子密钥的硬件密码模块通过物理接口接入终端设备。其中,终端设备可以为苹果或安卓系统的智能手机,物理接口可以为Type-C/miniUSB转USB接口的转接头,用于将智能手机和安全U盾从物理上相连接。Type-C/miniUSB接口对接手机,USB接口对接安全U盾。
在本实施例中,软件密码模块设置于终端设备中。于是,通过硬件密码模块内部的量子密钥复制(或称导出)至软件密码模块,并且由软件密码模块安全存储,从而使所述终端设备的软件密码模块与所述密钥管理服务节点具有对称的量子密钥。这样,软件密码模块存储由QKD网络所生成的量子密钥,并且安全地进行管理和使用,以及能够向终端设备的各类应用提供量子密钥服务。
另外,需说明的是,通过硬件密码模块间接形成软件密码模块与密钥管理服务节点具有对称的量子密钥,主要考虑到以下两个原因。其一,终端设备(例如手机终端)直接接入密钥管理服务节点以获取对称的量子密钥,在使用时会有些不便。其二,在手机终端与密钥管理服务节点分离的情况下,通过网络直接传输量子密钥数据会存在安全性问题,而通过硬件密码模块这种安全介质来传输量子密钥数据,更能够保证数据传输的安全性。
在本实施例中,在所述硬件密码模块在复制所述量子密钥至与所述硬件密码模块相连的软件密码模块的步骤之后,还包括:所述硬件密码模块在接收到所述软件密码模块返回的完成复制响应后,销毁所存储的量子密钥。这样,能够进一步保证量子密钥的安全性,避免被截获而泄露信息。
以下将结合附图进一步描述软件密码模块与硬件密码模块之间的交互过程。
图3是本发明所述实施例中的量子密钥管理服务方法的步骤S140的子步骤的步骤流程图。图4是图3所示步骤S140的子步骤对应的信令流程图。
参阅图3和图4,在步骤S140之中,包括:
步骤S141,所述软件密码模块发送验证信息至所述硬件密码模块,以进行权限校验。
在硬件密码模块接入终端设备时,即硬件密码模块与终端设备的软件密码模块相连,通过软件密码模块输入验证信息以进行权限校验。
其中验证信息可以为PIN口令,但不限于此,也可以为其他验证信息,例如指纹验证信息、人脸验证信息等。
当校验通过时,硬件密码模块返回校验成功响应至软件密码模块。于是可以继续密钥的初始化过程。若校验失败时,硬件密码模块返回校验失败响应至软件密码模块,并在移动终端上提示密钥初始化失败。
步骤S142,当所述软件密码模块接收到所述硬件密码模块返回的权限校验成功响应后,与所述硬件密码模块协商会话密钥。
软件密码模块与硬件密码模块之间通过DH算法协商会话密钥。其中,DH会话为Diffie-Hellman密钥交换协议/算法(即Diffie-Hellman Key Exchange/AgreementAlgorithm),其可以让通信双方在完全没有对方任何预先信息的条件下通过不安全信道协商出一个密钥,这个密钥可以在后继的通讯中作为对称的密钥来加密通讯内容。
步骤S143,所述软件密码模块发送密钥复制请求至所述硬件密码模块。
软件密码模块发送密钥复制请求至硬件密码模块。硬件密码模块在收到密钥复制请求后,使用所协商的会话密钥加密密文密钥数据,并且将密文密钥数据返回至软件密码模块。其中,密文密钥数据包括密钥数据和敏感参数。密钥数据是单纯的密钥。敏感参数是指软件密码模块的自身信息和密钥的使用信息,例如模块ID、版本号、密钥划分起止位置、密钥使用偏移索引等,敏感参数的初始值可以从硬件密码模块复制而得到的。
步骤S144,所述软件密码模块接收所述硬件密码模块返回的密文密钥数据。
步骤S145,所述软件密码模块通过所协商的会话密钥对所述密文密钥数据进行解密,以得到明文密钥。
在软件密码模块接收密文密钥数据后,使用所协商的会话密钥解密收到的密文密钥数据,并且进行校验,校验通过后得到明文密钥。接着,使用白盒保护密钥对明文密钥进行加密及存储。其中白盒保护密钥将在下文中进一步说明。
步骤S146,所述软件密码模块在得到所述明文密钥后发送完成复制响应至所述硬件密码模块。
软件密码模块在完成密钥数据导入后,发送完成复制响应至硬件密码模块,以通知硬件密码模块已完成密钥数据导入。之后,硬件密码模块可以销毁所存储的量子密钥(即上文所述的密钥数据)。
在本发明的至少一些实施中,在执行步骤S141之前,还可以包括:软件密码模块生成白盒保护密钥。在软件密码模块首次启动时,会自动生成白盒保护密钥。该白盒保护密钥可以用于例如步骤S145中对明文密钥进行加密,以增强明文密钥的安全性。
终端设备的软件密码模块对密钥进行分层管理主要包括:位于最底层的主密钥,位于第二层的管理类密钥,以及位于最顶层的应用密钥。
具体地,主密钥以白盒保护密钥的形态存在,是整个密钥体系的基础密钥。
管理类密钥包含量子源密钥QOK、量子工作密钥QWK、量子密钥加密密钥QEK、量子备份密钥QBK、量子指令加密密钥QIK。该管理类密钥是软件密码模块为终端设备的业务应用提供密码服务所需的支撑密钥,各种密钥用途如下:
QOK:量子源密钥是无属性的初始密钥,用来划分为QWK密钥或者QEK密钥进行使用;当QWK密钥或QEK密钥不足时,可以按需划分成QWK密钥或QEK密钥,并进行使用。终端设备完成量子密钥的初始化流程后,只有QOK密钥,没有QWK密钥和QEK密钥,因此,在首次身份认证和申请量子会话密钥时,将触发QOK密钥的动态划分流程,具体可参阅下文的描述。
QWK:量子工作密钥,用于加密保护软件密码模块和EQCT节点之间的通信报文;每一个QWK密钥用过一次之后不再重复使用;
QEK:量子密钥加密密钥,用于加密软件密码模块之间协商的会话密钥QSK;每一个QEK密钥用过一次之后不再重复使用;
QBK:量子备份密钥,用于QWK密钥不足时,临时替代QWK密钥使用;
QIK:量子指令加密密钥,用于在QOK密钥划分为QWK密钥或者QEK密钥时,加密EQCT节点下发的划分指令。
应用类密钥是直接提供给各个业务应用使用的应用密钥,例如量子会话密钥QSK。QSK是应用通过软件密码模块协商出来的会话密钥,用于应用之间的业务通信。
初始化完成后,终端设备所存储的密钥有白盒保护密钥形态的主密钥、管理类密钥中的QOK密钥、QBK密钥、QIK密钥。终端设备存储的密钥除了加密保护,也可以通过权限等级分类进行管控,只有权限等级足够的应用才能访问这些密钥。
上文已描述了用于终端设备的量子密钥管理服务方法的主要步骤。该些步骤包括量子密钥的初始化流程,具体可参阅步骤S110至步骤S140以及步骤S141至步骤S146的实施。量子密钥管理服务方法还包括量子密钥的更新流程。该更新流程与初始化流程相同,使用硬件密码模块将量子密钥导出至软件密码模块,并且使用新的白盒保护密钥进行加密存储。密钥更新是全量的密钥更新,更新之前的全部旧密钥会被废弃使用,而由更新后的密钥替代。
除了量子密钥初始化流程和量子密钥更新流程之外,所述量子密钥管理服务方法还包括量子密钥使用流程。
终端设备完成量子密钥初始化之后,与EQCT节点之间具有对称的量子密钥,于是终端设备可以与EQCT节点进行认证并建立安全通道,通过安全通道向EQCT节点申请与其它使用软件密码模块的终端设备之间的会话密钥,从而完成终端设备之间的会话密钥分发。在获取会话密钥后,终端设备可以使用会话密钥完成跨节点的业务安全通信。
以下将结合附图进一步说明量子密钥的使用流程。
图5是本发明另一实施例中的量子密钥管理服务方法的步骤S140的子步骤的步骤流程图。图6是图5所示步骤S140的子步骤对应的信令流程图。
参阅图5和图6,在本发明的至少一些实施例中,量子密钥管理服务方法在执行终端设备之间的会话密钥协商流程之前,还包括以下步骤:
步骤S211、所述终端设备发送密钥划分认证请求至所述密钥管理服务节点。
在此步骤中,终端设备发起与EQCT节点的密钥划分认证请求,在认证过程中,通过使用第三预设密钥进行加密保护。在本实施例中,第三预设密钥为QBK密钥。
步骤S212、所述终端设备接收所述密钥管理服务节点返回的密钥划分认证响应。
步骤S213、所述终端设备发送密钥划分请求至所述密钥管理服务节点,以请求指示划分密钥的密钥类型,其中通过使用第三预设密钥加密所述密钥划分请求。
具体地,第三预设密钥为量子备份密钥QBK。
在密钥划分认证通过后,终端设备向EQCT节点发起密钥划分请求,请求指定需要划分密钥的密钥类型,并且使用QBK密钥加密密钥划分请求。其中,需要划分密钥的密钥类型为第一预设密钥或第二预设密钥(即QWK密钥或QEK密钥)。
步骤S214、所述密钥管理服务节点在接收到密钥划分请求后,通过使用对称的第三预设密钥以解密所述密钥划分请求,并得到请求信息,以及根据请求信息确定第五预设密钥对应的密钥区域,以及通过使用第四预设密钥加密密钥划分指令,并将加密后的密钥划分指令包含在密钥划分请求响应中。
具体地,第三预设密钥为量子备份密钥QBK,第四预设密钥为量子指令加密密钥QIK,第五预设密钥为量子源密钥QOK。
EQCT节点在接收到密钥划分请求后,通过使用与终端设备对称的QBK密钥解密所述密钥划分请求,并且得到请求信息。接着根据请求信息,确定QOK密钥对应的密钥区域。并且,通过使用QIK密钥加密密钥划分指令后,将加密的密钥划分指令包含在密钥划分请求响应。
步骤S215、所述终端设备接收所述密钥管理服务节点返回的密钥划分请求响应,并通过使用对称的第三预设密钥解密所述密钥划分请求响应,以得到密钥划分指令,以及通过使用对称的第四预设密钥以解密所述密钥划分指令而得到指令信息,并根据所述指令信息将第五预设密钥对应的密钥区域划分成相应的第一预设密钥或第二预设密钥。
在此步骤中,终端设备收到密钥划分请求响应后,通过使用与EQCT节点对称的QBK密钥解密所述密钥划分请求响应,以获得密钥划分指令。接着,使用与EQCT节点对称的QIK密钥解密密钥划分指令。然后根据密钥划分指令得到指令信息,并根据指令信息将QOK密钥对应的密钥区域中的QOK密钥划分成QWK密钥或QEK密钥。
步骤S216、所述终端设备生成密钥划分结果确认请求,并通过使用第三预设密钥加密密钥划分结果确认请求,以及发送所加密的密钥划分结果确认请求至所述密钥管理服务节点。
在此步骤中,终端设备生成密钥划分结果确认请求,该请求包括(即携带有)密钥划分结果和划分后的密钥摘要值。其中,密钥划分结果是指终端设备根据EQCT节点的密钥划分指令成功划分或未成功划分密钥。由于密钥划分请求中的请求信息已经明确密钥类型,因此密钥划分结果也明确了对应的密钥类型。密钥摘要值是指被划分的这部分密钥数据的摘要值,只有划分成功的情况下才有摘要值。该摘要值后继与EQCT节点所计算得到的摘要值进行比较。
接着,使用QBK加密密钥划分结果确认请求,并且发送加密后的密钥划分结果确认请求至EQCT节点。
步骤S217、所述密钥管理服务节点在接收所述终端设备发送的密钥划分结果确认请求后,通过使用第三预设密钥进行解密,以获得密钥划分结果,以及在完成所述密钥划分结果的判定后生成密钥划分结果确认响应,并使用第三预设密钥对所述密钥划分结果确认响应进行加密并下发至所述终端设备。
EQCT节点在接收到终端设备发送的密钥划分结果确认请求后,使用与终端设备对称的QBK密钥解密密钥划分结果确认请求,以得到密钥划分结果。EQCT节点在完成密钥划分结果判定后,生成密钥划分结果响应,并且将确认结果包含在所述密钥划分结果确认响应中。其中该确认结果是指EQCT节点确认整个划分流程(包括终端设备的密钥划分结果和EQCT节点的摘要值比较)的成功或失败。然后,EQCT节点使用QBK密钥加密密钥划分结果确认响应,并下发至终端设备。
在此步骤中,EQCT节点得到密钥划分结果后,进一步包括执行以下步骤:当判断出终端设备的密钥划分成功时,计算EQCT节点上所存储的对应划分密钥的摘要值(即QOK密钥的摘要值)。并且当EQCT节点上的划分密钥的摘要值与终端设备生成密钥划分结果确认请求中的密钥摘要值相同时,则EQCT节点确认本次密钥划分成功,否则确认本次密钥划分失败。
需说明的是,EQCT节点和终端设备具有对称密钥,因此EQCT节点在确定划分密钥区域的时候,已经可以计算这部分密钥的摘要值。本质上,终端设备和EQCT节点计算各自存储的相同区域(即指QOK区域)内的密钥的摘要值。若两个摘要值相同,则证明各自存储的这部分密钥是相同的。如果摘要值为一致,则本次密钥划分成功,即终端设备和EQCT节点均划分密钥成功。EQCT节点也会将其QOK区域中的QOK密钥划分成QWK密钥或QEK密钥。划分密钥是终端设备和EQCT节点均需要执行的动作,且划分一致,这是由于终端设备和EQCT节点之间是对称的密钥,若划分不一致,则密钥为不对称。终端设备的划分成功只是终端设备成功按照所述划分指令执行了本地的划分结果,而整个划分流程的成功是否需要EQCT节点的最终确认。
步骤S218、所述终端设备在接收到所述密钥管理服务节点返回的密钥划分结果确认响应后,通过使用对称的第三预设密钥解密所述密钥划分结果确认响应,以得到确认结果。
终端设备在接收到密钥划分结果确认响应后,使用与EQCT节点对称的QBK密钥解密密钥划分结果确认响应,以得到确认结果。这样本次密钥划分过程结束。
通过上述步骤S211至步骤S218的执行,即QOK密钥的动态划分流程,使得密钥可以按需分配,提升了密钥使用的灵活性,避免固定密钥可能引起的密钥浪费的问题。同时,密钥类型的动态转换,增加了预测密钥用途的难度,提高了密钥使用的安全性。
基于执行上述QOK密钥的动态划分流程的基础上,所述量子密钥管理服务方法还可以包括会话密钥协商流程。
图7是本发明又一实施例中的量子密钥管理服务方法的步骤S140的子步骤的步骤流程图。图8是图7所示步骤S140的子步骤对应的信令流程图。
参阅图7和图8,在本发明的至少一些实施例中,所述终端设备包括第一终端设备和第二终端设备。
在所述终端设备与所述密钥管理服务节点具有对称量子密钥的步骤(如上文实施中的步骤S140)之后,还包括:
步骤S311、所述第一终端设备和所述第二终端设备分别发送认证请求至所述密钥管理服务节点。
步骤S312、所述第一终端设备和所述第二终端设备相应地接收所述密钥管理服务节点所下发的认证响应,以建立所述终端设备与所述密钥管理服务节点的安全通道。
在第一终端设备和第二终端设备接收认证响应时,确定终端设备(包括第一终端设备和第二终端设备)与EQCT节点之间使用的加密算法和杂凑算法,同时确定安全通道使用的对称密钥区域,安全通道的每个报文均为唯一的,从而进一步增强安全性。其中,使用加密算法是为了保护通信消息,避免被截获而泄露信息;使用杂凑算法是为了校验消息的完整性,防止消息被篡改。
在本发明的至少一些实施例中,在建立所述终端设备与所述密钥管理服务节点的安全通道的步骤之后,还包括:
步骤S313、所述第一终端设备通过使用第一预设密钥加密会话密钥请求,并发送所加密的会话密钥请求至所述密钥管理服务节点,其中所述会话密钥请求包含所述第二终端设备的信息,该信息至少包括但不限于例如软件密码模块的标识ID。
具体地,在发送会话密钥请求时使用QWK密钥进行加密。
EQCT节点接收到会话密钥请求后,使用与第一终端设备对称的QWK密钥解密并校验,然后生成会话密钥,并使用QEK密钥加密该会话密钥,以得到会话密钥密文。然后将会话密钥密文包含在会话密钥请求响应中,并且使用QWK密钥加密会话密钥请求响应,以下发给第一终端设备。
步骤S314、所述第一终端设备接收所述密钥管理服务节点返回的会话密钥响应,以得到会话密钥响应报文;其中所述会话密钥响应报文是通过所述密钥管理服务节点产生的。
第一终端设备接收EQCT节点返回的会话密钥响应,以得到会话密钥响应报文。其中该会话密钥响应报文包括报文头、其他报文信息和会话密钥密文。
步骤S315、所述第一终端设备通过使用与所述密钥管理服务节点对称的第一预设密钥解密所述会话密钥响应报文,以得到会话密钥密文,并且通过使用与所述密钥管理服务节点对称的第二预设密钥以解密所述会话密钥密文,进而得到会话密钥明文。
具体地,第一终端设备使用与EQCT节点对称的QWK密钥解密所述会话密钥响应报文,以得到会话密钥密文。然后,使用与EQCT节点对称的QEK密钥解密会话密钥密文,从而得到会话密钥明文。
步骤S316、所述第一终端设备同步会话信息至所述第二终端设备。
该同步会话信息是指会话标识ID。
步骤S317、所述第二终端设备根据所述会话信息生成会话密钥请求,并通过使用第一预设密钥加密会话密钥请求,以及发送所加密的会话密钥请求至所述密钥管理服务节点。
具体地,第二终端设备根据会话标识ID生成会话密钥请求,并使用QWK密钥加密会话密钥请求,并发送所加密的会话密钥请求至EQCT节点。
EQCT节点接收到会话密钥请求后,使用与第二终端设备对称的QWK密钥解密并校验,然后生成会话密钥,并使用QEK密钥加密该会话密钥,以得到会话密钥密文。然后将会话密钥密文包含在会话密钥请求响应中,并且使用QWK密钥加密会话密钥请求响应,以下发给第二终端设备。
需说明的是,在此步骤中,EQCT节点所生成的会话密钥与在步骤S313中EQCT节点所生成的会话密钥是相同的。通过EQCT节点所分发的相同会话密钥至第一终端设备和第二终端设备,使得第一终端设备和第二终端设备使用该相同会话密钥进行消息的加密通讯。
步骤S318、所述第二终端设备接收密钥管理服务节点返回的会话密钥响应,以得到会话密钥响应报文;其中所述会话密钥响应报文是通过所述密钥管理服务节点产生的。
步骤S319、所述第二终端设备通过使用与所述密钥管理服务节点对称的第一预设密钥解密所述会话密钥响应报文,以得到会话密钥密文,并且通过使用与所述密钥管理服务节点对称的第二预设密钥以解密所述会话密钥密文,进而得到会话密钥明文。
具体地,第二终端设备收到会话密钥请求响应后,使用与EQCT节点对称的QWK密钥解密并校验,得到会话密钥密文。然后使用与EQCT节点对称的QEK解密会话密钥密文,进而得到会话密钥明文。
步骤S320、所述第二终端设备响应会话信息至所述第一终端设备。
第二终端设备与第一终端设备同步会话信息,亦即第二终端设备返回会话信息同步响应至第一终端设备,以通知第二终端设备是否获得会话密钥至第一终端设备。
通过执行上述步骤S311至步骤S320,可以完成会话密钥协商流程。由于第一终端设备和第二终端设备建立了会话,并且均获得相同的会话密钥。接着,第一终端设备和第二终端设备之间可以相互发起业务流程(例如通话业务)。在此过程中,业务数据使用该会话密钥进行加解密,其中一个终端设备加密,另一个终端设备解密,即会话密钥供业务使用。
以下将通过一实施例来说明用于终端设备的量子密钥管理服务方法。该方法包括量子密钥使用流程。
图9是本发明再一实施例中的量子密钥管理服务方法的步骤流程图。图10是本发明再一实施例中的量子密钥管理服务方法对应的信令流程图。
如图9和图10所示,所述量子密钥管理服务方法包括以下步骤:
步骤S511、第一终端设备和第二终端设备的各自软件密码模块分别发送身份认证请求至密钥管理服务节点。
其中,第一终端设备和第二终端设备均向其归属的密钥管理服务节点发送身份认证请求。在本实施例中,第一终端设备和第二终端设备归属于同一个密钥管理服务节点。归属于同一个密钥管理服务节点在完成身份认证后,返回身份认证响应至第一终端设备和第二终端设备。在此过程中,可以确定第一终端设备、第二终端设备和EQCT节点之间使用的加密算法和杂凑算法,同时可以确定安全通道使用的对称密钥区域。其中,安全通道是指终端设备与EQCT节点之间的通道。
步骤S512、密钥管理服务节点分别下发身份认证响应至第一终端设备或第二终端设备,以完成身份认证。
步骤S513、第一终端设备和第二终端设备中安装的应用程序(例如VoIP应用程序)分别向应用平台发送应用登录请求。
在本实施例中,应用程序为VoIP应用程序,于是作为应用平台的流媒体服务器接收到登录请求。流媒体服务器在接收到登录请求后,对登录请求中的验证信息进行校验,并产生相应的登录结果。接着,流媒体服务器返回登录结果至第一终端设备和第二终端设备。
步骤S514、第一终端设备发起业务请求至第二终端设备。
具体地,业务请求为VoIP通话呼叫业务请求。
步骤S515、第二终端设备确认请求,并反馈回至第一终端设备。
步骤S516、第一终端设备和第二终端设备通过密钥管理服务节点进行会话密钥协商。
在此步骤中,第一终端设备和第二终端设备进入会话密钥协商流程。具体流程可以参阅上述步骤S311至步骤S320的描述。
步骤S517、在会话密钥协商完成后,第一终端设备和第二终端设备使用会话密钥进行通话业务。
在此步骤中,通话业务为加密的VoIP通话业务。整个通话业务的数据均由会话密钥加密保护,从而增强通话业务安全性。
在本发明实施例中,用于终端设备的量子密钥管理服务方法可以包括量子密钥初始化流程、量子密钥更新流程和量子密钥使用流程。
其中,量子密钥初始化流程至少包括:
a)终端设备需要安装软件密码模块的运行载体程序,例如手机终端安装有一量子安全软卡APP,该APP包含软件密码模块。亦即,该APP是软件密码模块的运行载体。
b)在EQCT节点上烧录一个硬件密码模块,例如量子安全U盾,并使用专用量子密钥充注设备将量子密钥充注至硬件密码模块中。
c)将充注好量子密钥的硬件模块通过物理接口接入至安装有软件密码模块的终端设备;启动软件密码模块的初始化功能,并输入硬件密码模块的验证信息(例如PIN口令);在校验成功后,软件密码模块自动从硬件密码模块中获得密钥数据和敏感参数,完成终端设备的量子密钥的初始化流程。
而终端设备在量子密钥的初始化流程完成后,可以通过已安装的软件密码模块为终端设备的量子应用提供密码服务。这些量子应用需要集成软件密码模块的SDK(软件开发套件,即Software Development Kit)。通过调用SDK的API接口(Application ProgrammingInterface,应用程序接口)以使用密码服务。在量子应用时,会使用软件密码模块进行会话密钥协商,在协商完成后,使用会话密钥进行应用间加密通信,例如量子加密的VoIP通话应用。其业务流程可参阅上文所述。
本发明上述实施例提供了一种量子密钥管理服务方法,其通过使用软件密码模块替代硬件密码模块,以能够支持更多类型的终端设备,从而扩展量子密钥的应用范围。此外,通过使用软件密码模块,可以有效地降低量子密钥应用推广成本,并且提高量子密钥应用的推广效率。进一步地,量子密钥应用的广泛推广,有助于加强基础通信安全,而且对防范隐私信息泄露、敏感数据泄密等方面具有积极意义。
基于同一发明构思,本发明还提供一种量子密钥管理服务系统。
图11是本发明一实施例中的量子密钥管理服务系统的架构示意图。
参阅图11,本发明一实施例提供了一种量子密钥管理服务系统1000,所述系统包括:密钥管理服务节点10和分别与密钥管理服务节点10通信的硬件密码模块20和软件密码模块31,其中软件密码模块31设置于终端设备30。
其中,所述密钥管理服务节点10包括:发送密钥请求模块11、接收量子密钥模块12和存储量子密钥模块13。
具体地,发送密钥请求模块11,用于向量子密钥分发网络发送密钥请求。接收量子密钥模块12,用于接收所述量子密钥分发网络所提供的量子密钥。存储量子密钥模块13,用于存储所述量子密钥至与所述密钥管理服务节点10相连的硬件密码模块20。
所述硬件密码模块20包括:复制量子密钥模块21。具体地,复制量子密钥模块21,用于在发送完成存储响应至所述密钥管理服务节点10后,复制所述量子密钥至与所述硬件密码模块20相连的软件密码模块31。
通过调用密钥管理服务节点10和硬件密码模块20中的各个模块,可以实现通过使用软件密码模块替代硬件密码模块,这样软件密码模块和密钥管理服务节点具有对称的量子密钥,于是可以实现将量子密钥分发网络(QKD网络)安全地存储至用户的终端设备,由终端设备的软件密码模块安全地进行管理和使用,并向终端设备的各类应用提供量子密钥服务。换言之,通过上述模块的使用,以使软件密码模块替代硬件密码模块,从而能够支持更多类型的终端设备,进而扩展量子密钥的应用范围。此外,通过使用软件密码模块,可以不依赖于硬件密码模块而有效地降低量子密钥应用推广成本,并且由于其通用性好,因而提高量子密钥应用的推广效率。进一步地,量子密钥应用的广泛推广,有助于加强基础通信安全,而且对防范隐私信息泄露、敏感数据泄密等方面具有积极意义。
需说明的是,本实施例所提供的量子密钥管理服务系统1000,可以执行本发明上述实施例(如执行步骤S110至步骤S140的实施例)所述的量子密钥管理服务方法,其实现的原理和技术效果类似,在此不再赘述。
在本发明的至少一些实施例中,所述硬件密码模块20还可以包括:销毁量子密钥模块22,用于在接收到所述软件密码模块31返回的完成复制响应后,销毁所存储的量子密钥。这样,能够进一步保证量子密钥的安全性,避免被截获而泄露信息。
需说明的是,所述硬件密码模块20可存于一量子密钥存储介质中,例如安全TF卡、安全NM卡等。因此,在一些实施例中,复制量子密钥模块21和/或销毁量子密钥模块22可以设置于所述硬件密码模块20。当然,在其他一些实施例中,复制量子密钥模块21和/或销毁量子密钥模块22也可以不设置在所述硬件密码模块20中,而仅设置在量子密钥存储介质(例如安全TF卡、安全NM卡等),或设置在其他硬件中。
图12为是本发明另一实施例的量子密钥管理服务系统中的终端设备和硬件密码模块相连的架构示意图。
参阅图12,在本发明的至少一些实施例中,所述终端设备30包括:校验访问权限模块321、协商会话密钥模块322、请求密钥复制模块323、接收密文密钥模块324、获得明文密钥模块325和响应密钥复制模块326。
具体地,校验访问权限模块321,用于发送验证信息至所述硬件密码模块20,以进行权限校验。
协商会话密钥模块322,用于当所述软件密码模块31接收到所述硬件密码模块20返回的权限校验成功响应后,与所述硬件密码模块20协商会话密钥。
请求密钥复制模块323,用于发送密钥复制请求至所述硬件密码模块20。
接收密文密钥模块324,用于接收所述硬件密码模块20返回的密文密钥数据。
获得明文密钥模块325,用于通过所协商的会话密钥对所述密文密钥数据进行解密,以得到明文密钥。
响应密钥复制模块326,用于在得到所述明文密钥后发送完成复制响应至所述硬件密码模块20。
进一步,所述终端设备30还包括:生成保护密钥模块320和加密明文密钥模块327。
具体地,生成保护密钥模块320,用于生成白盒保护密钥。白盒保护密钥可以用于对明文密钥进行加密,以增强其安全性。
加密明文密钥模块327,用于通过使用白盒保护密钥加密所述明文密钥。
需说明的是,本实施例提供的量子密钥管理服务系统1000,可以执行本发明上述实施例(如执行步骤S141至步骤S145的实施例)所述的量子密钥管理服务方法,其实现的原理和技术效果类似,在此不再赘述。
图13是本发明又一实施例的量子密钥管理服务系统中的终端设备和密钥管理服务节点相连的架构示意图。
参阅图13,在本发明的至少一些实施例中,所述量子密钥管理服务系统1000中的终端设备30还包括:请求划分认证模块331、接收划分认证模块332、指示密钥类型模块333、获取指令信息模块334、发送划分结果模块335和获得确认结果模块336。
具体地,请求划分认证模块331,用于发送密钥划分认证请求至所述密钥管理服务节点10。
接收划分认证模块332,用于接收所述密钥管理服务节点10返回的密钥划分认证响应。
指示密钥类型模块333,用于发送密钥划分请求至所述密钥管理服务节点10,以请求指示划分密钥的密钥类型,其中通过使用第三预设密钥加密所述密钥划分请求。
获取指令信息模块334,用于收所述密钥管理服务节点10返回的密钥划分请求响应,并通过使用对称的第三预设密钥解密所述密钥划分请求响应,以得到密钥划分指令,以及通过使用对称的第四预设密钥以解密所述密钥划分指令而得到指令信息,并根据所述指令信息将第五预设密钥对应的密钥区域划分成相应的第一预设密钥或第二预设密钥。
发送划分结果模块335,用于生成密钥划分结果确认请求,并通过使用第三预设密钥加密密钥划分结果确认请求,以及发送所加密的密钥划分结果确认请求至所述密钥管理服务节点10。
获得确认结果模块336,用于在接收到密钥划分结果确认响应后,通过使用对称的第三预设密钥解密所述密钥划分结果确认响应,以得到确认结果。
所述量子密钥管理服务系统1000中的密钥管理服务节点10还包括:确定密钥区域模块131和响应划分结果模块132。
具体地,确定密钥区域模块131,用于在接收到密钥划分请求后,通过使用对称的第三预设密钥以解密所述密钥划分请求,并得到请求信息,以及根据请求信息确定第五预设密钥对应的密钥区域,以及通过使用第四预设密钥加密密钥划分指令,并将加密后的密钥划分指令包含在密钥划分请求响应中。
响应划分结果模块132,用于在接收所述终端设备30发送的密钥划分结果确认请求后,通过使用第三预设密钥进行解密,以获得密钥划分结果,以及在完成所述密钥划分结果的判定后生成密钥划分结果确认响应,并使用第三预设密钥对所述密钥划分结果确认响应进行加密并下发至所述终端设备30。
需说明的是,本实施例提供的量子密钥管理服务系统1000,可以执行本发明上述实施例(如执行步骤S211至步骤S218的实施例)所述的量子密钥管理服务方法,其实现的原理和技术效果类似,在此不再赘述。
图14是本发明再一实施例的量子密钥管理服务系统中的终端设备和密钥管理服务节点相连的架构示意图。
参阅图14,在本发明的至少一些实施例中,所述量子密钥管理服务系统1000中的终端设备30还包括:发送认证请求模块341、接收认证响应模块342、第一发送会话密钥请求模块343、第一接收会话密钥响应模块344、第一获取会话密钥明文模块345、同步会话信息模块346、第二发送会话密钥请求模块347、第二接收会话密钥响应模块348、第二获取会话密钥明文模块349和响应会话信息模块350。
具体地,发送认证请求模块341,用于发送认证请求至所述密钥管理服务节点10;
接收认证响应模块342,用于接收所述密钥管理服务节点10所下发的认证响应,以建立所述终端设备30与所述密钥管理服务节点10的安全通道。
进一步,终端设备30还包括:
第一发送会话密钥请求模块343,用于通过使用第一预设密钥加密会话密钥请求,并发送所加密的会话密钥请求至所述密钥管理服务节点10。
第一接收会话密钥响应模块344,用于接收所述密钥管理服务节点10返回的会话密钥响应,以得到会话密钥响应报文;其中所述会话密钥响应报文是通过所述密钥管理服务节点10产生的。
第一获取会话密钥明文模块345,用于通过使用与所述密钥管理服务节点10对称的第一预设密钥解密所述会话密钥响应报文,以得到会话密钥密文,并且通过使用与所述密钥管理服务节点10对称的第二预设密钥以解密所述会话密钥密文,进而得到会话密钥明文;
同步会话信息模块346,用于同步会话信息至另一终端设备。
第二发送会话密钥请求模块347,用于根据所述会话信息生成会话密钥请求,并通过使用第一预设密钥加密会话密钥请求,以及发送所加密的会话密钥请求至所述密钥管理服务节点10。
第二接收会话密钥响应模块348,用于接收所述密钥管理服务节点10返回的会话密钥响应,以得到会话密钥响应报文;其中所述会话密钥响应报文是通过所述密钥管理服务节点10产生的。
第二获取会话密钥明文模块349,用于通过使用与所述密钥管理服务节点10对称的第一预设密钥解密所述会话密钥响应报文,以得到会话密钥密文,并且通过使用与所述密钥管理服务节点10对称的第二预设密钥以解密所述会话密钥密文,进而得到会话密钥明文;
响应会话信息模块350,用于响应会话信息至另一终端设备。
需说明的是,本实施例提供的量子密钥管理服务系统1000,可以执行本发明上述实施例(如执行步骤S311至步骤S320的实施例)所述的量子密钥管理服务方法,其实现的原理和技术效果类似,在此不再赘述。
本发明上述实施例提供了一种量子密钥管理服务系统1000,其通过使用软件密码模块替代硬件密码模块,以能够支持更多类型的终端设备,从而扩展量子密钥的应用范围。此外,通过使用软件密码模块,可以有效地降低量子密钥应用推广成本,并且提高量子密钥应用的推广效率。进一步地,量子密钥应用的广泛推广,有助于加强基础通信安全,而且对防范隐私信息泄露、敏感数据泄密等方面具有积极意义。
需说明的是,关于量子密钥管理服务系统1000中各个模块的具体限定可以参阅上文中对于量子密钥管理服务方法的限定,在此不再赘述。上述各模块可以硬件形式内嵌于或独立于终端设备中的处理器中,也可以以软件形式存储于终端设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
此外,本发明一实施例还提供一种计算机可读存储介质,其存储有多条计算机程序,该计算机程序能够被处理器进行加载,以执行本发明实施例所提供的任意一种量子密钥管理服务方法中的步骤。例如,该计算机程序可以执行如下步骤:
所述量子密钥管理服务方法包括:
密钥管理服务节点向量子密钥分发网络发送密钥请求;
所述密钥管理服务节点接收所述量子密钥分发网络所提供的量子密钥;
所述密钥管理服务节点存储所述量子密钥至与所述密钥管理服务节点相连的硬件密码模块;
所述硬件密码模块在返回完成存储响应至所述密钥管理服务节点后,复制所述量子密钥至与所述硬件密码模块相连的软件密码模块,其中所述软件密码模块设置于所述终端设备,从而使得所述终端设备与所述密钥管理服务节点具有对称的量子密钥。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,该存储介质可以包括:只读存储器(Read Only Memory,ROM)、随机存取记忆体(Random Access Memory,RAM)、磁盘或光盘等。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参阅其他实施例的相关描述。
以上对本发明实施例所提供的一种量子密钥管理服务方法、系统及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想;本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例的技术方案的范围。
Claims (13)
1.一种量子密钥管理服务方法,用于终端设备,其特征在于,所述量子密钥管理服务方法包括:
密钥管理服务节点向量子密钥分发网络发送密钥请求;
所述密钥管理服务节点接收所述量子密钥分发网络所提供的量子密钥;
所述密钥管理服务节点存储所述量子密钥至与所述密钥管理服务节点相连的硬件密码模块;以及
所述硬件密码模块在返回完成存储响应至所述密钥管理服务节点后,复制所述量子密钥至与所述硬件密码模块相连的软件密码模块,其中所述软件密码模块设置于所述终端设备,从而使得所述终端设备与所述密钥管理服务节点具有对称的量子密钥;
其中所述终端设备包括第一终端设备和第二终端设备;在所述终端设备与所述密钥管理服务节点具有对称量子密钥的步骤之后,还包括:所述第一终端设备和所述第二终端设备分别发送认证请求至所述密钥管理服务节点;所述第一终端设备和所述第二终端设备相应地接收所述密钥管理服务节点所下发的认证响应,以建立所述终端设备与所述密钥管理服务节点的安全通道;
其中在所述第一终端设备和所述第二终端设备分别发送认证请求至所述密钥管理服务节点的步骤之前,还包括:所述终端设备发送密钥划分认证请求至所述密钥管理服务节点;所述终端设备接收所述密钥管理服务节点返回的密钥划分认证响应;所述终端设备发送密钥划分请求至所述密钥管理服务节点,以请求指示划分密钥的密钥类型,其中通过使用第三预设密钥加密所述密钥划分请求;所述密钥管理服务节点在接收到密钥划分请求后,通过使用对称的第三预设密钥以解密所述密钥划分请求,并得到请求信息,以及根据请求信息确定第五预设密钥对应的密钥区域,以及通过使用第四预设密钥加密密钥划分指令,并将加密后的密钥划分指令包含在密钥划分请求响应中;所述终端设备接收所述密钥管理服务节点返回的密钥划分请求响应,并通过使用对称的第三预设密钥解密所述密钥划分请求响应,以得到密钥划分指令,以及通过使用对称的第四预设密钥以解密所述密钥划分指令而得到指令信息,并根据所述指令信息将第五预设密钥对应的密钥区域划分成相应的第一预设密钥或第二预设密钥;所述终端设备生成密钥划分结果确认请求,并通过使用第三预设密钥加密密钥划分结果确认请求,以及发送所加密的密钥划分结果确认请求至所述密钥管理服务节点;所述密钥管理服务节点在接收所述终端设备发送的密钥划分结果确认请求后,通过使用第三预设密钥进行解密,以获得密钥划分结果,以及在完成所述密钥划分结果的判定后生成密钥划分结果确认响应,并使用第三预设密钥对所述密钥划分结果确认响应进行加密并下发至所述终端设备;所述终端设备在接收到所述密钥管理服务节点返回的密钥划分结果确认响应后,通过使用对称的第三预设密钥解密所述密钥划分结果确认响应,以得到确认结果。
2.根据权利要求1所述的量子密钥管理服务方法,其特征在于,所述硬件密码模块在复制所述量子密钥至与所述硬件密码模块相连的软件密码模块的步骤之后,还包括:
所述硬件密码模块在接收到所述软件密码模块返回的完成复制响应后,销毁所存储的量子密钥。
3.根据权利要求1所述的量子密钥管理服务方法,其特征在于,所述硬件密码模块复制所述量子密钥至与所述硬件密码模块相连的软件密码模块的步骤,还包括:
所述软件密码模块发送验证信息至所述硬件密码模块,以进行权限校验;
当所述软件密码模块接收到所述硬件密码模块返回的权限校验成功响应后,与所述硬件密码模块协商会话密钥;
所述软件密码模块发送密钥复制请求至所述硬件密码模块;
所述软件密码模块接收所述硬件密码模块返回的密文密钥数据;
所述软件密码模块通过所协商的会话密钥对所述密文密钥数据进行解密,以得到明文密钥;
所述软件密码模块在得到明文密钥后发送完成复制响应至所述硬件密码模块。
4.根据权利要求3所述的量子密钥管理服务方法,其特征在于,所述密文密钥数据包括密钥数据和敏感参数。
5.根据权利要求3所述的量子密钥管理服务方法,其特征在于,在软件密码模块发送验证信息至所述硬件密码模块,以进行权限校验的步骤之前,还包括:
所述软件密码模块生成白盒保护密钥;
所述软件密码模块通过所协商的会话密钥对所述密文密钥数据进行解密,以得到明文密钥的步骤,包括:
通过使用白盒保护密钥加密所述明文密钥。
6.根据权利要求1所述的量子密钥管理服务方法,其特征在于,在建立所述终端设备与所述密钥管理服务节点的安全通道的步骤之后,还包括:
所述第一终端设备通过使用第一预设密钥加密会话密钥请求,并发送所加密的会话密钥请求至所述密钥管理服务节点,其中所述会话密钥请求包含所述第二终端设备的信息;
所述第一终端设备接收所述密钥管理服务节点返回的会话密钥响应,以得到会话密钥响应报文;其中所述会话密钥响应报文是通过所述密钥管理服务节点产生的;
所述第一终端设备通过使用与所述密钥管理服务节点对称的第一预设密钥解密所述会话密钥响应报文,以得到会话密钥密文,并且通过使用与所述密钥管理服务节点对称的第二预设密钥以解密所述会话密钥密文,进而得到会话密钥明文;
所述第一终端设备同步会话信息至所述第二终端设备;
所述第二终端设备根据所述会话信息生成会话密钥请求,并通过使用第一预设密钥加密会话密钥请求,以及发送所加密的会话密钥请求至所述密钥管理服务节点;
所述第二终端设备接收所述密钥管理服务节点返回的会话密钥响应,以得到会话密钥响应报文;其中所述会话密钥响应报文是通过所述密钥管理服务节点产生的;
所述第二终端设备通过使用与所述密钥管理服务节点对称的第一预设密钥解密所述会话密钥响应报文,以得到会话密钥密文,并且通过使用与所述密钥管理服务节点对称的第二预设密钥以解密所述会话密钥密文,进而得到会话密钥明文;
所述第二终端设备响应会话信息至所述第一终端设备。
7.根据权利要求1所述的量子密钥管理服务方法,其特征在于,所述密钥划分结果确认请求包括密钥划分结果和密钥摘要值。
8.根据权利要求1所述的量子密钥管理服务方法,其特征在于,在所述密钥管理服务节点在接收所述终端设备发送的密钥划分结果确认请求后,通过使用第三预设密钥进行解密,以获得密钥划分结果的步骤之后,还包括:
若判断出密钥划分结果为终端设备密钥划分成功,则计算所述密钥管理服务节点所存储的对应划分密钥的摘要值;
比较所述密钥管理服务节点所存储的对应划分密钥的摘要值和所述密钥划分结果确认请求中的密钥摘要值;
当判断出两者相同时,则确定本次密钥划分成功。
9.一种量子密钥管理服务系统,其特征在于,包括:密钥管理服务节点和分别与密钥管理服务节点通信的硬件密码模块和软件密码模块,其中软件密码模块设置于终端设备;
所述密钥管理服务节点包括:
发送密钥请求模块,用于向量子密钥分发网络发送密钥请求;
接收量子密钥模块,用于接收所述量子密钥分发网络所提供的量子密钥;
存储量子密钥模块,用于存储所述量子密钥至与所述密钥管理服务节点相连的硬件密码模块;
所述硬件密码模块包括:
复制量子密钥模块,用于在发送完成存储响应至所述密钥管理服务节点后,复制所述量子密钥至与所述硬件密码模块相连的软件密码模块;
其中所述终端设备还包括:
请求划分认证模块,用于发送密钥划分认证请求至所述密钥管理服务节点;
接收划分认证模块,用于接收所述密钥管理服务节点返回的密钥划分认证响应;
指示密钥类型模块,用于发送密钥划分请求至所述密钥管理服务节点,以请求指示划分密钥的密钥类型,其中通过使用第三预设密钥加密所述密钥划分请求;
获取指令信息模块,用于收所述密钥管理服务节点返回的密钥划分请求响应,并通过使用对称的第三预设密钥解密所述密钥划分请求响应,以得到密钥划分指令,以及通过使用对称的第四预设密钥以解密所述密钥划分指令而得到指令信息,并根据所述指令信息将第五预设密钥对应的密钥区域划分成相应的第一预设密钥或第二预设密钥;以及
发送划分结果模块,用于生成密钥划分结果确认请求,并通过使用第三预设密钥加密密钥划分结果确认请求,以及发送所加密的密钥划分结果确认请求至所述密钥管理服务节点;
获得确认结果模块,用于在接收到密钥划分结果确认响应后,通过使用对称的第三预设密钥解密所述密钥划分结果确认响应,以得到确认结果;
其中所述密钥管理服务节点还包括:
确定密钥区域模块,用于在接收到密钥划分请求后,通过使用对称的第三预设密钥以解密所述密钥划分请求,并得到请求信息,以及根据请求信息确定第五预设密钥对应的密钥区域,以及通过使用第四预设密钥加密密钥划分指令,并将加密后的密钥划分指令包含在密钥划分请求响应中;
响应划分结果模块,用于在接收所述终端设备发送的密钥划分结果确认请求后,通过使用第三预设密钥进行解密,以获得密钥划分结果,以及在完成所述密钥划分结果的判定后生成密钥划分结果确认响应,并使用第三预设密钥对所述密钥划分结果确认响应进行加密并下发至所述终端设备。
10.根据权利要求9所述的量子密钥管理服务系统,其特征在于,所述硬件密码模块还包括:
销毁量子密钥模块,用于在接收到所述软件密码模块返回的完成复制响应后,销毁所存储的量子密钥。
11.根据权利要求9所述的量子密钥管理服务系统,其特征在于,所述终端设备还包括:
校验访问权限模块,用于发送验证信息至所述硬件密码模块,以进行权限校验;
协商会话密钥模块,用于当所述软件密码模块接收到所述硬件密码模块返回的权限校验成功响应后,与所述硬件密码模块协商会话密钥;
请求密钥复制模块,用于发送密钥复制请求至所述硬件密码模块;
接收密文密钥模块,用于接收所述硬件密码模块返回的密文密钥数据;
获得明文密钥模块,用于通过所协商的会话密钥对所述密文密钥数据进行解密,以得到明文密钥;
响应密钥复制模块,用于在得到所述明文密钥后发送完成复制响应至所述硬件密码模块。
12.根据权利要求9所述的量子密钥管理服务系统,其特征在于,所述终端设备还包括:
生成保护密钥模块,用于生成白盒保护密钥;
加密明文密钥模块,用于通过使用白盒保护密钥加密所述明文密钥。
13.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的量子密钥管理服务方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110331655.7A CN112737781B (zh) | 2021-03-29 | 2021-03-29 | 量子密钥管理服务方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110331655.7A CN112737781B (zh) | 2021-03-29 | 2021-03-29 | 量子密钥管理服务方法、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112737781A CN112737781A (zh) | 2021-04-30 |
| CN112737781B true CN112737781B (zh) | 2021-06-18 |
Family
ID=75595969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110331655.7A Active CN112737781B (zh) | 2021-03-29 | 2021-03-29 | 量子密钥管理服务方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112737781B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113111372B (zh) * | 2021-05-06 | 2023-09-22 | 安徽华典大数据科技有限公司 | 一种基于量子秘钥加密的终端数据上云系统及上云方法 |
| CN113630407B (zh) * | 2021-08-02 | 2022-12-27 | 中电信量子科技有限公司 | 使用对称密码技术增强mqtt协议传输安全的方法和系统 |
| CN115348085B (zh) * | 2022-08-12 | 2023-06-02 | 长江量子(武汉)科技有限公司 | 一种基于量子加密的防疫管理方法及防疫终端 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108462573A (zh) * | 2018-02-09 | 2018-08-28 | 中国电子科技集团公司第三十研究所 | 一种灵活的量子安全移动通信方法 |
| CN108667607A (zh) * | 2018-05-18 | 2018-10-16 | 国网信息通信产业集团有限公司 | 一种配用电终端的量子密钥同步方法 |
| CN109039613A (zh) * | 2018-09-14 | 2018-12-18 | 国网信息通信产业集团有限公司 | 一种量子密钥分发系统及方法 |
| CN109412794A (zh) * | 2018-08-22 | 2019-03-01 | 南京南瑞国盾量子技术有限公司 | 一种适应电力业务的量子密钥自动充注方法及系统 |
| CN110213050A (zh) * | 2019-06-04 | 2019-09-06 | 苏州科达科技股份有限公司 | 密钥生成方法、装置及存储介质 |
| CN110535637A (zh) * | 2019-08-15 | 2019-12-03 | 国网安徽省电力有限公司信息通信分公司 | 一种量子密钥的无线分发方法、装置及系统 |
| CN111934871A (zh) * | 2020-09-23 | 2020-11-13 | 南京易科腾信息技术有限公司 | 量子密钥管理服务核心网、系统及量子密钥协商方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6478749B2 (ja) * | 2015-03-24 | 2019-03-06 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
| CN106507344B (zh) * | 2016-09-23 | 2019-11-26 | 浙江神州量子网络科技有限公司 | 量子通信系统及其通信方法 |
| CN108737092B (zh) * | 2018-06-15 | 2021-04-13 | 董绍锋 | 移动终端管理服务器、移动终端、业务云平台和应用系统 |
-
2021
- 2021-03-29 CN CN202110331655.7A patent/CN112737781B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108462573A (zh) * | 2018-02-09 | 2018-08-28 | 中国电子科技集团公司第三十研究所 | 一种灵活的量子安全移动通信方法 |
| CN108667607A (zh) * | 2018-05-18 | 2018-10-16 | 国网信息通信产业集团有限公司 | 一种配用电终端的量子密钥同步方法 |
| CN109412794A (zh) * | 2018-08-22 | 2019-03-01 | 南京南瑞国盾量子技术有限公司 | 一种适应电力业务的量子密钥自动充注方法及系统 |
| CN109039613A (zh) * | 2018-09-14 | 2018-12-18 | 国网信息通信产业集团有限公司 | 一种量子密钥分发系统及方法 |
| CN110213050A (zh) * | 2019-06-04 | 2019-09-06 | 苏州科达科技股份有限公司 | 密钥生成方法、装置及存储介质 |
| CN110535637A (zh) * | 2019-08-15 | 2019-12-03 | 国网安徽省电力有限公司信息通信分公司 | 一种量子密钥的无线分发方法、装置及系统 |
| CN111934871A (zh) * | 2020-09-23 | 2020-11-13 | 南京易科腾信息技术有限公司 | 量子密钥管理服务核心网、系统及量子密钥协商方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112737781A (zh) | 2021-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110784491B (zh) | 一种物联网安全管理系统 | |
| CN112737781B (zh) | 量子密钥管理服务方法、系统及存储介质 | |
| CN108768633B (zh) | 实现区块链中信息共享的方法及装置 | |
| US20140112470A1 (en) | Method and system for key generation, backup, and migration based on trusted computing | |
| CN108924147B (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
| US11831753B2 (en) | Secure distributed key management system | |
| US11853438B2 (en) | Providing cryptographically secure post-secrets-provisioning services | |
| WO2019109852A1 (zh) | 一种数据传输方法及系统 | |
| CN114584307B (zh) | 一种可信密钥管理方法、装置、电子设备和存储介质 | |
| CN111464301A (zh) | 一种密钥管理方法及系统 | |
| CN111324881A (zh) | 一种融合Kerberos认证服务器与区块链的数据安全分享系统及方法 | |
| CN112187466B (zh) | 一种身份管理方法、装置、设备及存储介质 | |
| CN110493177B (zh) | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 | |
| KR102364649B1 (ko) | Puf 기반 사물인터넷 디바이스 인증 장치 및 방법 | |
| JP2022117456A (ja) | ハードウェアセキュリティモジュールを備えたメッセージ伝送システム | |
| JP6533542B2 (ja) | 秘密鍵複製システム、端末および秘密鍵複製方法 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN115801232A (zh) | 一种私钥保护方法、装置、设备及存储介质 | |
| CN115412236A (zh) | 一种密钥管理和密码计算的方法、加密方法及装置 | |
| CN114357537A (zh) | 设备授权控制方法、装置、存储介质及电子设备 | |
| KR102539418B1 (ko) | Puf 기반 상호 인증 장치 및 방법 | |
| WO2022185328A1 (en) | System and method for identity-based key agreement for secure communication | |
| CN113660285A (zh) | 多媒体会议在网终端管控方法、装置、设备及存储介质 | |
| CN114553426A (zh) | 签名验证方法、密钥管理平台、安全终端及电子设备 | |
| CN112769560B (zh) | 一种密钥管理方法和相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |