CN113536362A - 一种基于安全芯片载体的量子密钥管理方法及系统 - Google Patents

一种基于安全芯片载体的量子密钥管理方法及系统 Download PDF

Info

Publication number
CN113536362A
CN113536362A CN202111083355.8A CN202111083355A CN113536362A CN 113536362 A CN113536362 A CN 113536362A CN 202111083355 A CN202111083355 A CN 202111083355A CN 113536362 A CN113536362 A CN 113536362A
Authority
CN
China
Prior art keywords
quantum
equipment end
key
random number
management server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111083355.8A
Other languages
English (en)
Other versions
CN113536362B (zh
Inventor
王剑锋
苗春华
王新莲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongke Wentian Quantum Technology Tianjin Co ltd
Original Assignee
Zhongke Wentian Quantum Technology Tianjin Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongke Wentian Quantum Technology Tianjin Co ltd filed Critical Zhongke Wentian Quantum Technology Tianjin Co ltd
Priority to CN202111083355.8A priority Critical patent/CN113536362B/zh
Publication of CN113536362A publication Critical patent/CN113536362A/zh
Application granted granted Critical
Publication of CN113536362B publication Critical patent/CN113536362B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种基于安全芯片载体的量子密钥管理方法及系统,所述一种基于安全芯片载体的量子密钥管理方法包括:利用量子密钥管理服务端对安全芯片载体进行初始化充注;将已充注量子随机数的安全芯片载体装配到数据设备端,利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理,相比采用公私钥加密等远程充注密钥方法,提升了密钥安全性和易用性。

Description

一种基于安全芯片载体的量子密钥管理方法及系统
技术领域
本发明涉及量子密钥管理领域,具体涉及一种基于安全芯片载体的量子密钥管理方法及系统。
背景技术
随着量子计算技术迅速发展,连接到物联网的数据终端设备网络安全日益严峻,一些具有相对较高的计算能力和良好的流量吞吐量的数据终端设备时刻面临网络安全威胁,例如监控摄像头的视频信息被窃取、数据采集设备信息被篡改等等,因此迫切需要一种加强数据终端设备安全措施,防止信息被窃取、伪造或篡改等安全事故发生。
发明内容
针对现有技术的不足,本发明提供了一种基于安全芯片载体的量子密钥管理方法包括:
利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
优选的,所述利用量子密钥管理服务端对安全芯片载体进行初始化充注包括:
利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
优选的,所述利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥包括:
当进行首次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体保存编号并将对应的量子随机数标识为共享密钥,所述数据设备端与其对应的业务设备端依据编号建立共享量子密钥;
当再次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体根据所述编号并将对应的量子随机数标识为共享量子密钥,所述数据设备端与其对应的业务设备端依据新增编号建立新增共享量子密钥;
其中,当分配共享密钥时,数据设备端的共享量子密钥保存在数据设备端的安全芯片载体中,业务设备端的共享量子密钥保存在量子密钥管理服务端中。
进一步的,所述利用量子密钥管理服务端下发编号包括:
利用量子密钥管理服务端从其对应安全芯片载体剩余的量子随机数中得到特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和业务设备端标识符建立共享密钥编号。
优选的,所述利用量子密钥管理服务端与新增数据设备端进行密钥分配处理包括:
利用量子密钥管理服务端对应数据设备端的安全芯片载体的剩余已充注量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数进行加密交换。
进一步的,所述加密交换包括:
当剩余已充注的量子随机数进行加密交换时,将所述数据设备端的安全芯片载体的剩余已充注的量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数基于加密算法进行相互加密得到已充注量子随机数的密文;
将所述已充注量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将所述已充注量子随机数的密文解密得到二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量子随机数标识为新增共享密钥;
当需要新生成的量子随机数进行加密交换时,利用所述数据设备端的量子随机数与新增数据设备端的量子随机数基于加密算法对量子密钥管理服务端新生成的量子随机数加密得到新生成的量子随机数的密文;
将所述新生成的量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将新生成的量子随机数的密文解密得到二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量子随机数标识为新增共享密钥。
优选的,所述利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理:
利用量子密钥管理服务端从与其对应的数据设备端的安全芯片载体剩余已充注的量子随机数中获取特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和新增业务设备端标识符建立共享密钥编号;
利用量子密钥管理服务端下发所述共享密钥编号,利用安全芯片载体保存所述共享密钥编号后,将与所述共享密钥编号对应的量子随机数标识为共享密钥;
利用量子密钥分配系统加密发送特定长度的量子随机数,新增量子密钥管理服务端接收并保存特定长度的量子随机数为共享密钥;
所述数据设备端与新增业务设备端依据新增共享密钥编号配对新增共享密钥。
进一步的,所述利用量子密钥分配系统加密发送特定长度的量子随机数包括;
利用量子密钥分配系统对量子密钥管理服务端与新增量子密钥管理服务端分别分发相同的密钥加密密钥;
利用所述密钥加密密钥基于加密算法对量子密钥管理服务端的特定长度的量子随机数进行加密得到特定量子随机数密文后,将所述特定量子随机数密文发送至新增量子密钥管理服务端;
所述新增量子密钥管理服务端利用所述密钥加密密钥基于解密算法对特定量子随机数密文进行解密得到特定长度的量子随机数。
本公开的发明中安全芯片载体是一种安全密码模块代表,具有加密、存储和访问控制特性,安全密码模块还包括超级SIM卡,U盾以及集成密码芯片的车载ECU、数据采集单元。
基于同一发明构思,本发明还提供了一种基于安全芯片载体的量子密钥管理系统,包括:
充注模块,用于利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
分配模块,用于将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
第一共享模块,用于当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
第二共享模块,用于当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
优选的,所述利用量子密钥管理服务端对安全芯片载体进行初始化充注包括:
利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
与最接近的现有技术相比,本发明具有的有益效果:
利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据所述接入安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理,结合安全芯片载体和量子密钥分发技术,提升密钥的存储、更新过程中安全性。
附图说明
图1是本发明提供的一种基于安全芯片载体的量子密钥管理方法流程图;
图2是本发明提供的一种基于安全芯片载体的量子密钥管理系统示意图;
图3是本发明提供的一种基于安全芯片载体的安全TF卡摄像头连接装置图;
图4是本发明提供的一种基于安全芯片载体的安全TF卡摄像头装置网络安全工作原理示意图;
图5是本发明提供的单个安全芯片载体的安全TF卡通过量子服务器密码机密钥充注量子随机数示意图;
图6是本发明提供的多个安全芯片载体的安全TF卡通过量子服务器密码机加密交换量子随机数示意图;
图7是本发明提供的单个安全芯片载体的安全TF卡通过量子密钥系统加密交换量子随机数示意图;
图8是本发明提供的两个安全芯片载体的安全TF卡将剩余量子随机数通过量子服务器密码机形成共享密钥过程图;
图9是本发明提供的基于安全芯片载体的安全TF卡加密实现视频监控部署示意图;
图10是本发明提供的一种日常生活中应用基于安全芯片载体安全TF卡的智能监控加密系统示意图;
图11是本发明提供的一种公共安全中应用基于安全芯片载体安全TF卡的智能监控加密系统示意图;
图12是本发明提供的一种信息化中心应用基于安全芯片载体安全TF卡的加密保障系统示意图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步的详细说明。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1:
本发明提供了一种基于安全芯片载体的量子密钥管理方法,如图1所示,包括:
步骤1:利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
步骤2:将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
步骤3:当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
步骤4:当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
步骤1具体包括:
1-1:利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
1-2:利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
步骤2具体包括:
2-1:当进行首次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体保存编号并将对应的量子随机数标识为共享密钥,所述数据设备端与其对应的业务设备端依据编号建立共享量子密钥;
2-2:当再次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体根据所述编号并将对应的量子随机数标识为共享量子密钥,所述数据设备端与其对应的业务设备端依据新增编号建立新增共享量子密钥;
其中,当分配共享密钥时,数据设备端的共享量子密钥保存在数据设备端的安全芯片载体中,业务设备端的共享量子密钥保存在量子密钥管理服务端中。
步骤2-1具体包括:
2-1-1:利用量子密钥管理服务端从其对应安全芯片载体剩余的量子随机数中得到特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和业务设备端标识符建立共享密钥编号。
步骤3具体包括:
3-1:利用量子密钥管理服务端对应数据设备端的安全芯片载体的剩余已充注量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数进行加密交换。
步骤3-1具体包括:
3-1-1:当剩余已充注的量子随机数进行加密交换时,将所述数据设备端的安全芯片载体的剩余已充注的量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数基于加密算法进行相互加密得到已充注量子随机数的密文;
3-1-2:将所述已充注量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将所述已充注量子随机数的密文解密得到二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量子随机数标识为新增共享密钥;
3-1-3:当需要新生成的量子随机数进行加密交换时,利用所述数据设备端的量子随机数与新增数据设备端的量子随机数基于加密算法对量子密钥管理服务端新生成的量子随机数加密得到新生成的量子随机数的密文;
3-1-4:将所述新生成的量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将新生成的量子随机数的密文解密得到二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量子随机数标识为新增共享密钥。
步骤4具体包括:
4-1:利用量子密钥管理服务端从与其对应的数据设备端的安全芯片载体剩余已充注的量子随机数中获取特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和新增业务设备端标识符建立共享密钥编号;
4-2:利用量子密钥管理服务端下发所述共享密钥编号,利用安全芯片载体保存所述共享密钥编号后,将与所述共享密钥编号对应的量子随机数标识为共享密钥;
4-3:利用量子密钥分配系统加密发送所述特定长度的量子随机数,新增量子密钥管理服务端接收并保存特定长度的量子随机数为共享密钥;
4-4:所述数据设备端与新增业务设备端依据新增共享密钥编号配对新增共享密钥。
步骤4-3具体包括:
4-3-1:利用量子密钥分配系统对量子密钥管理服务端与新增量子密钥管理服务端分别分发相同的密钥加密密钥;
4-3-2:利用所述密钥加密密钥基于加密算法对量子密钥管理服务端的特定长度的量子随机数进行加密得到特定量子随机数密文后,将所述特定量子随机数密文发送至新增量子密钥管理服务端;
4-3-3:所述新增量子密钥管理服务端利用所述密钥加密密钥基于解密算法对特定量子随机数密文进行解密得到特定长度的量子随机数。
本实施例中,一种基于安全芯片载体的量子密钥管理方法,所述量子密钥管理服务端的量子随机数总量为Q(16≤Q≤V),其中V为安全芯片载体安全存储总容量,数量单位为字节。所述量子密钥管理服务端的共享量子密钥总量为
Figure 209386DEST_PATH_IMAGE001
,其中(P≤Q);其中,第i个通信对象分配的共享密钥数量为(n i *l i n i 为第i个通信对象的量子随机数分段密钥份数(n i ≥1)l i 为第i个通信对象每次通信使用的密钥数量(l i ≥16);其中密码模块剩余量子随机数总量为(Q-P)。
本实施例中,一种基于安全芯片载体的量子密钥管理方法,所述安全芯片载体为安全TF卡、超级SIM卡和U盾。
实施例2:
本发明提供了一种基于安全芯片载体的量子密钥管理系统,如图2所示,包括:
充注模块,用于利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
分配模块,用于将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
第一共享模块,用于当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
第二共享模块,用于当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
所述利用量子密钥管理服务端对安全芯片载体进行初始化充注包括:
利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
所述利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥包括:
当进行首次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体保存编号并将对应的量子随机数标识为共享密钥,所述数据设备端与其对应的业务设备端依据编号建立共享量子密钥;
当再次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体根据所述编号并将对应的量子随机数标识为共享量子密钥,所述数据设备端与其对应的业务设备端依据新增编号建立新增共享量子密钥;
其中,当分配共享密钥时,数据设备端的共享量子密钥保存在数据设备端的安全芯片载体中,业务设备端的共享量子密钥保存在量子密钥管理服务端中。
所述利用量子密钥管理服务端下发编号包括:
利用量子密钥管理服务端从其对应安全芯片载体剩余的量子随机数中得到特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和业务设备端标识符建立共享密钥编号。
所述利用量子密钥管理服务端与新增数据设备端进行密钥分配处理包括:
利用量子密钥管理服务端对应数据设备端的安全芯片载体的剩余已充注量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数进行加密交换。
所述加密交换包括:
当剩余已充注的量子随机数进行加密交换时,将所述数据设备端的安全芯片载体的剩余已充注的量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数基于加密算法进行相互加密得到已充注量子随机数的密文;
将所述已充注量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将所述已充注量子随机数的密文解密得到二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量子随机数标识为新增共享密钥;
当需要新生成的量子随机数进行加密交换时,利用所述数据设备端的量子随机数与新增数据设备端的量子随机数基于加密算法对量子密钥管理服务端新生成的量子随机数加密得到新生成的量子随机数的密文;
将所述新生成的量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将新生成的量子随机数的密文解密得到二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量子随机数标识为新增共享密钥。
所述利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理:
利用量子密钥管理服务端从与其对应的数据设备端的安全芯片载体剩余已充注的量子随机数中获取特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和新增业务设备端标识符建立共享密钥编号;
利用量子密钥管理服务端下发所述共享密钥编号,利用安全芯片载体保存所述共享密钥编号后,将与所述共享密钥编号对应的量子随机数标识为共享密钥;
利用量子密钥分配系统加密发送特定长度的量子随机数,新增量子密钥管理服务端接收并保存特定长度的量子随机数为共享密钥;
所述数据设备端与新增业务设备端依据新增共享密钥编号配对新增共享密钥。
所述利用量子密钥分配系统加密发送特定长度的量子随机数包括;
利用量子密钥分配系统对量子密钥管理服务端与新增量子密钥管理服务端分别分发相同的密钥加密密钥;
利用所述密钥加密密钥基于加密算法对量子密钥管理服务端的特定长度的量子随机数进行加密得到特定量子随机数密文后,将所述特定量子随机数密文发送至新增量子密钥管理服务端;
所述新增量子密钥管理服务端利用所述密钥加密密钥基于解密算法对特定量子随机数密文进行解密得到特定长度的量子随机数。
实施例3:
本发明提供了一种基于安全芯片载体实现摄像头数据终端设备与视频监控业务服务端设备之间、摄像头数据终端设备与网络密码机数据终端设备之间的共享密钥服务方法,包括:
第一量子密钥服务模块生成第一量子随机数与第二量子随机数,通过计算机接口对第一安全芯片载体与第二安全芯片载体进行初始化量子随机数存储后,将生成的第一量子随机数充注至第一安全芯片载体中,将生成的第二量子随机数充注至第二安全芯片载体中;
第一量子密钥服务模块与第一安全芯片载体标识着相同的第一量子随机数,当第一安全芯片载体装配至第一数据终端设备、第一业务服务端设备连接第一量子密钥服务模块后,第一量子密钥服务模块按照共享密钥长度要求从第一量子随机数中划分出等长的量子随机数,并将该量子随机数进行密钥索引编号,通过网络通信将编号发送至第一数据终端的第一安全芯片载体,第一安全芯片载体将对应编号的量子随机数标识为共享密钥。第一数据终端设备与第一业务服务端设备分别从第一安全芯片载体和第一量子密钥服务模块获取共享密钥服务。同理,第二安全芯片载体与第一量子密钥服务模块形成相同编号的共享密钥;
第一安全芯片载体与第二安全芯片载体通过第一量子密钥服务模块加密交换两者剩余的量子随机数,第一安全芯片载体与第二安全芯片载体形成相同编号的共享密钥,第一数据终端设备与第二数据终端设备分别从第一安全芯片载体和第二安全芯片载体获取共享密钥服务;
第一量子密钥服务模块通过量子密钥分配机一生成的共享密钥,将第一安全芯片载体剩余的量子随机数加密成密文,并发送至第二量子密钥服务模块;
第二量子密钥服务模块接收密文后,通过量子密钥分配机二生成相同的共享密钥还原密文,得到与第一安全芯片载体相同的剩余的量子随机数,同理步骤2,第一安全芯片载体与第二量子密钥服务模块形成相同编号的共享密钥,第一数据终端设备与第二业务服务设备分别从第一安全芯片载体和第二量子密钥服务模块获取共享密钥服务。
本实施例中,如图3所示,一种数据终端设备中安全芯片载体的安全TF卡与摄像头的连接装置包括,摄像机与安全TF卡通过接口或USB连接,其中摄像机中包括引导程序,安全TF卡包括固化存储区与密钥存储区。
本实施例中,如图4所示,一种基于安全芯片载体的安全TF卡摄像头装置网络安全工作原理包括,摄像机中的引导程序利用安全TF卡中的固化存储区执行加载认证程序,运行TCP/IP通信加密模块,利用安全TF卡的密钥存储区中的共享量子密钥进行硬件加密,并与网络密码机通信。
本实施例中,如图5所示,单个安全芯片载体安全TF卡通过量子服务器密码机充注量子随机数包括,利用量子服务器密码机中的量子随机数发生器对安全TF卡充注量子随机数。
本实施例中,如图6所示,多个安全芯片载体安全TF卡通过量子服务器密码机加密交换量子随机数得到共享密钥包括,利用量子服务器密码机中的量子随机数发生器对安全TF卡A充注量子随机数,摄像头三中的安全TF卡三与摄像头四的安全TF卡四利用量子服务器密码机进行量子密钥共享交换。
本实施例中,如图7所示,单个安全芯片载体安全TF卡通过量子服务器密码机加密交换量子随机数得到共享密钥包括,量子密钥分配机一与量子密钥分配机二连接,量子密钥分配机一下发密钥加密密钥至量子服务器密码机一,量子密钥分配机二下发密钥加密密钥至量子服务器二,量子服务器密码机一与量子服务器密码机二共享密钥加密密钥,量子服务器密码机一给安全TF卡二充注量子随机数。
本实施例中,如图8所示,两个安全芯片载体安全TF卡将剩余量子随机数通过量子服务器密码机加密交换得到共享密钥。
本实施例中,一种基于安全芯片载体的量子密钥管理方法,如图9所示,基于安全芯片载体安全TF卡的加密视频监控系统信息化部署示意。
实施例4:
如图10所示,包含安全TF卡一的车载摄像机,包含安全TF卡二的家庭摄像机与包含安全TF卡N的店面摄像机与包含安全TF卡A的智能监控连接,并进行密文传输,在个人日常生活中,经常会使用智能监控设备(如电脑或智能手机)查看远程场地,如车载摄像机、家庭摄像机、店面摄像机等,而电脑或智能手机以及摄像机通常都能装配通用TF卡,安全芯片载体与通用TF卡接口和外形一致,能够兼容电脑、智能手机和摄像机,个人通过量子服务器密码机为多张安全芯片载体进行初始化和密钥交换,配置安全芯片载体A分别与安全芯片载体一、安全芯片载体二、安全芯片载体N的共享密钥,实现摄像机安全管理和视频加密传输。
实施例5:
如图11所示,公共场所的网络密码机与安全保障场所的摄像机通过公共网络连接并进行密文传输,在公共安全管理场景中,通常有专业的安全员对人流活动大、安全隐患较大等场所进行实时监控,分析潜在公共安全风险,然而通过公共网络传输摄像机数据存在信息被非法盗取、篡改等风险,因此,通过部署安全芯片载体的摄像监控系统能够解决此类网络安全问题,安全保障部的安全员在业务操作全过程中无感知共享密钥,在安全监控网络建设之初,网络实施人员根据业务和网络划分,部署相应的网络密码机、量子服务器密码机,为每个摄像机配备安全芯片载体,实现了安全监控网络的全线路信息加密传输。
实施例6:
如图12所示,站点1的网络密码机与站点2的视频会议、物联网终端与数据采集器等通过公共网络连接并进行密文传输,在企业或机构的信息化安全管理场景中,通常有远程数据采集、视频会议和视频监控等业务,然而在公共网络中传输这类信息,存在一定的信息泄露安全风险,甚至存在信息篡改等安全隐患,采用安全芯片载体的摄像监控系统方案,通过部署相应的网络密码机、量子服务器密码机,为每个摄像机配备安全芯片载体,为每个数据采集器配备安全芯片载体,能够实现信息全线路加密传输,且信息化数据采集、音视频监控、视频会议等业务全过程中无感知共享密钥。
以上实施例1到6中所述的安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体,可以为安全TF卡、超级SIM卡、U盾,以及集成密码芯片的车载ECU与数据采集单元。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。

Claims (10)

1.一种基于安全芯片载体的量子密钥管理方法,其特征在于,包括:
利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
2.如权利要求1所述方法,其特征在于,所述利用量子密钥管理服务端对安全芯片载体进行初始化充注包括:
利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
3.如权利要求1所述方法,其特征在于,所述利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥包括:
当进行首次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体保存编号并将对应的量子随机数标识为共享密钥,所述数据设备端与其对应的业务设备端依据编号建立共享量子密钥;
当再次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体根据所述编号并将对应的量子随机数标识为共享量子密钥,所述数据设备端与其对应的业务设备端依据新增编号建立新增共享量子密钥;
其中,当分配共享密钥时,数据设备端的共享量子密钥保存在数据设备端的安全芯片载体中,业务设备端的共享量子密钥保存在量子密钥管理服务端中。
4.如权利要求3所述方法,其特征在于,所述利用量子密钥管理服务端下发编号包括:
利用量子密钥管理服务端从其对应安全芯片载体剩余的量子随机数中得到特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和业务设备端标识符建立共享密钥编号。
5.如权利要求1所述方法,其特征在于,所述利用量子密钥管理服务端与新增数据设备端进行密钥分配处理包括:
利用量子密钥管理服务端对应数据设备端的安全芯片载体的剩余已充注量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数进行加密交换。
6.如权利要求5所述方法,其特征在于,所述加密交换包括:
当剩余已充注的量子随机数进行加密交换时,将所述数据设备端的安全芯片载体的剩余已充注的量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数基于加密算法进行相互加密得到已充注量子随机数的密文;
将所述已充注量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将所述已充注量子随机数的密文解密得到二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量子随机数标识为新增共享密钥;
当需要新生成的量子随机数进行加密交换时,利用所述数据设备端的量子随机数与新增数据设备端的量子随机数基于加密算法对量子密钥管理服务端新生成的量子随机数加密得到新生成的量子随机数的密文;
将所述新生成的量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将新生成的量子随机数的密文解密得到二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量子随机数标识为新增共享密钥。
7.如权利要求1所述方法,其特征在于,所述利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理:
利用量子密钥管理服务端从与其对应的数据设备端的安全芯片载体剩余已充注的量子随机数中获取特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和新增业务设备端标识符建立共享密钥编号;
利用量子密钥管理服务端下发所述共享密钥编号,利用安全芯片载体保存所述共享密钥编号后,将与所述共享密钥编号对应的量子随机数标识为共享密钥;
利用量子密钥分配系统加密发送所述特定长度的量子随机数,新增量子密钥管理服务端接收并保存特定长度的量子随机数为共享密钥;
所述数据设备端与新增业务设备端依据新增共享密钥编号配对新增共享密钥。
8.如权利要求7所述方法,其特征在于,所述利用量子密钥分配系统加密发送特定长度的量子随机数包括;
利用量子密钥分配系统对量子密钥管理服务端与新增量子密钥管理服务端分别分发相同的密钥加密密钥;
利用所述密钥加密密钥基于加密算法对量子密钥管理服务端的特定长度的量子随机数进行加密得到特定量子随机数密文后,将所述特定量子随机数密文发送至新增量子密钥管理服务端;
所述新增量子密钥管理服务端利用所述密钥加密密钥基于解密算法对特定量子随机数密文进行解密得到特定长度的量子随机数。
9.一种基于安全芯片载体的量子密钥管理系统,其特征在于,包括:
充注模块,用于利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
分配模块,用于将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
第一共享模块,用于当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
第二共享模块,用于当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
10.如权利要求9所述系统,其特征在于,所述利用量子密钥管理服务端对安全芯片载体进行初始化充注包括:
利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
CN202111083355.8A 2021-09-16 2021-09-16 一种基于安全芯片载体的量子密钥管理方法及系统 Active CN113536362B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111083355.8A CN113536362B (zh) 2021-09-16 2021-09-16 一种基于安全芯片载体的量子密钥管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111083355.8A CN113536362B (zh) 2021-09-16 2021-09-16 一种基于安全芯片载体的量子密钥管理方法及系统

Publications (2)

Publication Number Publication Date
CN113536362A true CN113536362A (zh) 2021-10-22
CN113536362B CN113536362B (zh) 2021-12-03

Family

ID=78123204

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111083355.8A Active CN113536362B (zh) 2021-09-16 2021-09-16 一种基于安全芯片载体的量子密钥管理方法及系统

Country Status (1)

Country Link
CN (1) CN113536362B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338003A (zh) * 2021-12-06 2022-04-12 合肥工业大学 一种基于量子加密的车路云远程控制系统及方法
CN114531238A (zh) * 2022-04-24 2022-05-24 中电信量子科技有限公司 基于量子密钥分发的密钥安全充注方法及系统
CN114553418A (zh) * 2022-03-24 2022-05-27 中国电信股份有限公司 业务方法、装置、系统和终端
CN115801257A (zh) * 2023-02-13 2023-03-14 广东广宇科技发展有限公司 一种基于量子加密的大数据安全传输方法
CN115915119A (zh) * 2022-12-21 2023-04-04 北方雷科(安徽)科技有限公司 一种用于北斗量子加密通信的实现方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789052A (zh) * 2017-03-28 2017-05-31 浙江神州量子网络科技有限公司 一种基于量子通信网络的远程密钥颁发系统及其使用方法
US20210067331A1 (en) * 2016-11-28 2021-03-04 Quantumctek (Guangdong) Co., Ltd. Method for issuing quantum key chip, application method, issuing platform and system
CN213279685U (zh) * 2020-09-22 2021-05-25 如般量子科技有限公司 一种基于量子保密通信网络的身份认证见证者系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210067331A1 (en) * 2016-11-28 2021-03-04 Quantumctek (Guangdong) Co., Ltd. Method for issuing quantum key chip, application method, issuing platform and system
CN106789052A (zh) * 2017-03-28 2017-05-31 浙江神州量子网络科技有限公司 一种基于量子通信网络的远程密钥颁发系统及其使用方法
CN213279685U (zh) * 2020-09-22 2021-05-25 如般量子科技有限公司 一种基于量子保密通信网络的身份认证见证者系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338003A (zh) * 2021-12-06 2022-04-12 合肥工业大学 一种基于量子加密的车路云远程控制系统及方法
CN114553418A (zh) * 2022-03-24 2022-05-27 中国电信股份有限公司 业务方法、装置、系统和终端
CN114531238A (zh) * 2022-04-24 2022-05-24 中电信量子科技有限公司 基于量子密钥分发的密钥安全充注方法及系统
CN115915119A (zh) * 2022-12-21 2023-04-04 北方雷科(安徽)科技有限公司 一种用于北斗量子加密通信的实现方法
CN115801257A (zh) * 2023-02-13 2023-03-14 广东广宇科技发展有限公司 一种基于量子加密的大数据安全传输方法
CN115801257B (zh) * 2023-02-13 2023-05-05 广东广宇科技发展有限公司 一种基于量子加密的大数据安全传输方法

Also Published As

Publication number Publication date
CN113536362B (zh) 2021-12-03

Similar Documents

Publication Publication Date Title
CN113536362B (zh) 一种基于安全芯片载体的量子密钥管理方法及系统
CN109033855B (zh) 一种基于区块链的数据传输方法、装置及存储介质
EP3286867B1 (en) Method, apparatus, and system for cloud-based encryption machine key injection
CN109697365B (zh) 信息处理方法及区块链节点、电子设备
CN103729942A (zh) 将传输密钥从终端服务器传输到密钥服务器的方法及系统
CN103378971A (zh) 一种数据加密系统及方法
CN107070642B (zh) 多品牌密码机异构资源池复用技术
CN106254323A (zh) 一种ta和se的交互方法、ta、se及tsm平台
CN113326533B (zh) 基于区块链及分布式文件存储的电子证照服务系统及方法
CN111639952A (zh) 基于区块链的退货核验方法、系统、服务器及终端
CN107729760B (zh) 基于Android系统的CSP实现方法及智能终端
CN110866261A (zh) 基于区块链的数据处理方法、装置及存储介质
CN104462877B (zh) 一种版权保护下的数字资源获取方法及系统
CN113343309B (zh) 自然人数据库隐私安全保护方法、装置和终端设备
CN106991332A (zh) 一种海量数据安全存储的方法及装置
CN103118351A (zh) 充值卡数据的生成方法和装置
CN112822021B (zh) 一种密钥管理方法和相关装置
CN1913547B (zh) 发卡客户端、充值中心及保护充值卡数据的方法和系统
CN106529316B (zh) 图像数据加密方法及装置、网络摄像机
CN109194467A (zh) 一种加密数据的安全传输方法和系统
CN103546428A (zh) 文件的处理方法及装置
CN114615087B (zh) 数据共享方法、装置、设备及介质
CN109726584A (zh) 云数据库密钥管理系统
CN105678542A (zh) 支付业务交互方法、支付终端和支付云端
CN113346999B (zh) 一种基于拆分加密的大脑中枢系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant