CN115085920A - 一种密钥管理方法、装置、设备、系统及介质 - Google Patents
一种密钥管理方法、装置、设备、系统及介质 Download PDFInfo
- Publication number
- CN115085920A CN115085920A CN202210829071.7A CN202210829071A CN115085920A CN 115085920 A CN115085920 A CN 115085920A CN 202210829071 A CN202210829071 A CN 202210829071A CN 115085920 A CN115085920 A CN 115085920A
- Authority
- CN
- China
- Prior art keywords
- key
- base station
- supplementary
- keys
- center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims description 130
- 239000013589 supplement Substances 0.000 claims abstract description 82
- 238000000034 method Methods 0.000 claims abstract description 36
- 230000000153 supplemental effect Effects 0.000 claims description 41
- 238000012545 processing Methods 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 20
- 230000000295 complement effect Effects 0.000 claims description 19
- 230000001502 supplementing effect Effects 0.000 claims description 19
- 238000003860 storage Methods 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims 1
- 230000009469 supplementation Effects 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 15
- 238000009826 distribution Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种密钥管理方法、装置、设备、系统及介质。在本申请中,在确定密钥池中的密钥满足预设补充要求时,便生成请求信息并发送至基站,以从基站获取到密钥中心信息,后续根据该密钥中心信息,从密钥中心下载补充密钥,从而保证了补充密钥的及时性。且每次需要补充密钥时,均需要向基站发送请求信息,以获取密钥中心信息,保证了密钥获取来源的安全性,提高了密钥补充的安全性。此外,通过从密钥中心信息下载补充密钥的方式,实现了自动在线补充密钥池中的密钥,无需依赖人工进行密钥的补充,大大提高了密钥补充的效率。
Description
技术领域
本申请涉及信息安全和量子加密技术技术领域,尤其涉及一种密钥管理方法、装置、设备、系统及介质。
背景技术
随着互联网应用的普及,近年来大众生活更加便捷化,但由此引发的数据泄漏事件也炒得沸沸扬扬。如今,数据安全成为计算机以及网络等学科的重要研究课题之一,它不仅关系到个人隐私、企业商业隐私,甚至直接影响国家安全。
为了保护数据安全,量子加密技术的提出与应用,为数据安全的创新发展指出了前进方向,具有划时代的重要意义。在该技术中,量子加密设备可以根据量子态的叠加性和量子不可克隆原理,采取密钥分发的密码技术,对数据进行一次一密的加密,完善了数据的加密体制,有利于实现数据传输过程中的绝对安全,从而提高了数据的安全性。
在上述量子加密技术中,密钥是对数据进行加密的关键,有着不可或缺的作用,但量子加密设备每对数据进行一次加密,便需要消耗一次密钥,使得量子加密设备中保存的未使用的密钥的数量会越来越少。当该量子加密设备中保存的未使用的密钥被消耗殆尽,则该量子加密设备将无法对数据进行量子加密。因此,如何实现对密钥的可靠补充是保证该量子加密设备稳定运行的关键。
发明内容
本申请提供了一种密钥管理方法、装置、设备、系统及介质,用以实现对密钥的可靠补充。
第一方面,本申请提供了一种密钥管理方法,所述方法包括:
若确定密钥池中的密钥满足预设补充要求,则生成请求信息并发送至基站;其中,所述请求信息用于指示对所述密钥池中的密钥进行补充;
接收所述基站发送的密钥中心信息;其中,所述密钥中心信息包括密钥中心的地址、以及所述密钥中心中所述补充密钥对应的索引;
从所述地址的密钥中心下载所述索引对应的补充密钥;
根据所述补充密钥,对所述密钥池中的密钥进行补充。
第二方面,本申请还提供了一种密钥管理装置,所述装置包括:
确定单元,用于若确定密钥池中的密钥满足预设补充要求,则生成请求信息并发送至基站;其中,所述请求信息用于指示对所述密钥池中的密钥进行补充;
接收单元,用于接收所述基站发送的密钥中心信息;其中,所述密钥中心信息包括密钥中心的地址、以及所述密钥中心中所述补充密钥对应的索引;以及,从所述地址的密钥中心下载所述索引对应的补充密钥;
处理单元,用于根据所述补充密钥,对所述密钥池中的密钥进行补充。
第三方面,本申请还提供了一种密钥管理系统,所述系统包括执行上述所述方法的密钥管理设备、基站以及密钥中心;
所述基站,用于接收所述密钥管理设备发送的请求信息;其中,所述请求信息用于指示对所述密钥管理设备的密钥池中的密钥进行补充;以及,向所述密钥管理设备发送密钥中心信息;其中,所述密钥中心信息包括所述密钥中心的地址、以及所述密钥中心中所述补充密钥对应的索引;
所述密钥中心,用于存储密钥;以及为所述密钥管理设备分配密钥。
第四方面,本申请还提供了一种密钥管理设备,所述密钥管理设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现如上述所述密钥管理方法的步骤。
第五方面,本申请还提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述密钥管理方法的步骤。
第六方面,本申请还提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行上述如上述所述密钥管理方法的步骤。
在本申请中,在确定密钥池中的密钥满足预设补充要求时,便生成请求信息并发送至基站,以从基站获取到密钥中心信息,后续根据该密钥中心信息,从密钥中心下载补充密钥,从而保证了补充密钥的及时性。且每次需要补充密钥时,均需要向基站发送请求信息,以获取密钥中心信息,保证了密钥获取来源的安全性,提高了密钥补充的安全性。此外,通过从密钥中心信息下载补充密钥的方式,实现了自动在线补充密钥池中的密钥,无需依赖人工进行密钥的补充,大大提高了密钥补充的效率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种密钥补充的过程示意图;
图2为本申请实施例提供的具体的密钥补充流程示意图;
图3为本申请实施例提供的一种密钥补充装置的结构示意图;
图4为本申请实施例提供的一种密钥管理设备的结构示意图;
图5为本申请实施例提供的一种密钥管理系统的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本发申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为了实现对密钥的可靠补充,本申请提供一种密钥管理方法、装置、设备、系统及介质。
实施例1:
图1为本申请实施例提供的一种密钥补充过程示意图,该过程包括:
S101:若确定密钥池中的密钥满足预设补充要求,则生成请求信息并发送至基站;其中,所述请求信息用于指示对所述密钥池中的密钥进行补充。
本申请提供的密钥管理方法应用于密钥管理设备,该密钥管理设备可以是智能设备,比如,全域量子安全设备、隔离区设备等,也可以是服务器,比如,应用服务器、业务服务器等。
在一种示例中,该密钥管理设备中设置有用于存储密钥的密钥池。当密钥管理设备需要对数据进行加密时,可以从该密钥池中获取任一密钥,以根据该密钥对数据进行加密。考虑到每次对数据进行加密时,均要消耗一次密钥,使得密钥池中的密钥会越来越少。因此,为了及时对密钥池中的密钥进行补充,在本申请中,预先配置了对该密钥池中的密钥进行补充的补充要求(记为预设补充要求),以通过该预设补充要求监控密钥池中密钥的使用情况,从而方便及时对密钥池中的密钥进行补充。其中,该预设补充要求可以是已使用的密钥的数量达到第一预设数量阈值,或,该密钥池中剩余的密钥的数量小于第二预设数量阈值,也可以是该密钥池中的剩余存储容量大于预设容量等。具体如何设置该预设补充要求,可以根据需求进行灵活设置,在此不做具体限定。
示例性的,该密钥管理设备在对数据进行加密的过程中,会记录已使用的密钥的数量,并判断该数量是否达到预设阈值。若确定该数量达到预设阈值,说明该密钥池中的密钥的数量不足,则确定对该密钥池中的密钥进行补充。
需要说明的是,可以根据该密钥池中的密钥,确定量子密钥。
在本申请中,密钥管理设备可以从密钥中心下载补充密钥,从而根据补充密钥,对密钥池中的密钥进行补充。但如果希望该密钥管理设备从密钥中心下载补充密钥,则需要密钥管理设备获取到密钥中心信息,以方便密钥管理设备可以根据该密钥中心信息,从密钥中心下载密钥。其中,该密钥中心信息包括密钥中心的地址、以及密钥中心中补充密钥对应的索引。因此,密钥管理设备在确定密钥池中的密钥满足预设补充要求后,可以生成请求信息并将该请求信息发送至基站,以通过该基站可以获取到密钥中心信息。其中,该请求信息用于指示对密钥池中的密钥进行补充。
需要说明的是,该基站为该密钥管理设备接入的基站,通过该基站可以进行密钥中继的转发。
S102:接收所述基站发送的密钥中心信息;其中,所述密钥中心信息包括密钥中心的地址、以及所述密钥中心中所述补充密钥对应的索引。
基站接收到该请求信息后,可以从该基站所在的局域网中为该密钥管理设备分配一个密钥中心,并与该密钥中心协商出为该密钥管理设备分配的补充密钥,以及补充密钥对应的索引。基站获取到密钥中心反馈的补充密钥对应的索引后,可以基于该补充密钥对应的索引、以及密钥中心的地址,生成密钥中心信息,并将该密钥中心信息反馈给该密钥管理设备。
其中,该补充密钥对应的索引可以包括以下一种或多种:补充密钥的哈希值、补充密钥的保存路径、补充密钥的大小、补充密钥的可用状态及补充密钥的产生时间,补充密钥的哈希值是对补充密钥进行哈希运算得到的。
在一种可能的实施方式中,为了方便密钥中心为该密钥管理设备分配密钥,该密钥管理设备向基站发送的请求信息中包括所需补充的密钥的数量(补充数量)。可选的,该请求信息中还包括以下一种或多种:所需补充的密钥的总数据大小、所需补充的密钥的长度等。基站接收到该请求信息后,可以将该请求信息中包括的补充数量等信息发送至密钥中心,以方便密钥中心确定如何为该密钥管理设备分配补充密钥。
在一种示例中,若确定该数量未达到预设阈值,说明该密钥池中的密钥的数量充足,则确定不需要对该密钥池中的密钥进行补充,继续监控所述密钥池中的密钥是否满足所述预设补充要求。
S103:从所述地址的密钥中心下载所述索引对应的补充密钥。
基于上述的实施例,该密钥管理设备可以接收到基站发送的密钥中心信息。该密钥管理设备根据该密钥中心信息,从正确的密钥中心下载到预分配给该密钥管理设备的补充密钥。示例性的,该密钥管理设备从地址的密钥中心下载该索引对应的补充密钥。
S104:根据所述补充密钥,对所述密钥池中的密钥进行补充。
密钥管理设备从密钥中心下载到补充密钥后,即可根据该补充密钥,对密钥池中的密钥进行补充。
为方便接收设备对接收到的加密数据进行解密,该密钥管理设备向接收设备发送加密数据的过程中,还会向基站发送密钥中继。其中,该密钥中继中会携带有对该加密数据进行加密时所需的密钥对应的密钥索引。基站接收到该密钥中继后,可以根据该密钥中继中的密钥索引,确定对该加密数据进行加密的密钥,将该密钥转发至接收设备接入的基站,由该接收设备接入的基站将该密钥加密发送至接收设备,以使接收设备可以根据该密钥对加密数据进行解密。而如果基站希望根据该密钥中继中的密钥索引,确定对该加密数据进行加密的密钥,则需要基站中的密钥,与该密钥管理设备的密钥池中的密钥配对,即基站中包含有该密钥管理设备的密钥池中的密钥。因此,在本申请中,基站在向密钥管理设备发送密钥中心信息之后,也可以从该地址的密钥中心下载该索引对应的补充密钥。
在本申请中,在确定密钥池中的密钥满足预设补充要求时,便生成请求信息并发送至基站,以从基站获取到密钥中心信息,后续根据该密钥中心信息,从密钥中心下载补充密钥,从而保证了补充密钥的及时性。且每次需要补充密钥时,均需要向基站发送请求信息,以获取密钥中心信息,保证了密钥获取来源的安全性,提高了密钥补充的安全性。此外,通过从密钥中心信息下载补充密钥的方式,实现了自动在线补充密钥池中的密钥,无需依赖人工进行密钥的补充,大大提高了密钥补充的效率。
实施例2:
在一些可能的应用场景中,可能出现基站不支持在线补充密钥,使得密钥管理设备无法通过该基站获取到密钥中心信息,进而无法根据该密钥中心信息,从密钥中心下载补充密钥。因此,在本申请中,该密钥管理设备在生成请求信息并发送至基站之前,应确定该基站是支持在线补充密钥的。当确定该基站是支持在线补充密钥,且已使用的密钥的数量达到预设阈值,说明通过该基站可以获取到密钥中心信息,则生成请求信息并发送至基站。
在一种示例中,所述确定所述基站支持在线补充密钥,包括:
若确定未接入所述基站,则向所述基站发送接入请求;
接收所述基站发送的接入反馈信息;
若所述接入反馈信息中携带有所述基站支持在线补充密钥的信息,则确定所述基站支持在线补充密钥。
在一些应用场景中,密钥管理设备每次接入基站时,可以获取到基站发送的接入反馈信息,该接入反馈信息可以包括该基站是否支持在线补充密钥的信息。根据该基站是否支持在线补充密钥的信息,密钥管理设备可以确定该基站是否支持在线补充密钥。示例性的,密钥管理设备若确定当前未接入基站,则可以向基站发送接入请求。其中,该接入请求中可以携带有该密钥管理设备的设备标识信息(比如,IP、MAC、设备出厂序列号等)。基站接收到该密钥管理设备发送的接入请求后,可以根据该设备标识信息,确定该密钥管理设备是否可以接入该基站。例如,基站通过白名单,确定该密钥管理设备是否可以接入该基站。其中,白名单包括允许接入基站的设备标识信息。若基站确定该密钥管理设备可以接入该基站,则向密钥管理设备发送接入反馈信息;若基站确定该密钥管理设备不可以接入该基站,则拒绝响应该密钥管理设备。密钥管理设备接收到基站发送的接入反馈信息后,根据该接入反馈信息中携带的基站是否支持在线补充密钥的信息,确定该基站是否支持在线补充。若该接入反馈信息中携带有基站支持在线补充密钥的信息,则确定该基站支持在线补充;若该接入反馈信息中携带有基站不支持在线补充密钥的信息,则确定该基站不支持在线补充。
在一种示例中,可能存在密钥管理设备确定基站不支持在线补充,且确定密钥池中的密钥不满足预设补充要求的情况,因此,在本申请中,若确定所述基站不支持在线补充密钥,所述方法还包括:
若确定所述密钥池中的密钥不满足预设补充要求,则输出密钥数量不足的提示信息,并接收输入的补充密钥;
根据所述补充密钥,对所述密钥池中的密钥进行补充。
在一些可能的应用场景中,可能存在基站不支持在线补充密钥的情况,使得密钥管理设备无法通过上述实施例中的方法补充密钥。基于此,为了实现对该密钥管理设备中的密钥进行补充,在本申请中,若确定基站不支持在线补充,且确定密钥池中的密钥需要补充,则可以输出密钥数量不足的提示信息,以通过该提示信息提示工作人员采用人工补充密钥的方式补充密钥。其中,该提示信息可以是以文本的形式显示在密钥管理设备的显示界面上,也可以是以音频的形式进行播报。两种输出提示信息的方式也可以同时结合,即同时播报音频形式的提示信息以及在显示界面上显示文本形式的提示信息。
具体选择哪种方式输出提示信息,可以根据用户的喜好,预先进行设置,或者可以根据密钥管理设备的能力进行选择,例如,一些密钥管理设备并没有显示提示信息的显示界面,则对于这些密钥管理设备,在输出提示信息时,可以播报音频形式的提示信息。
后续密钥管理设备可以接收到工作人员输入的补充密钥。其中,该输入的补充密钥可以是通过连接的密钥分发机的方式获取到的。示例性的,工作人员可以将密钥分发机与具有密钥生成功能的密钥分发基站(记为第一密钥分发基站)连接,以从该第一密钥分发基站中拷贝出至少一组密钥以及每组密钥分别对应的索引到该密钥分发机中。后续工作人员将该密钥分发机与该密钥管理设备连接,密钥管理设备检测到连接到密钥分发机后,可以读取该密钥分发机中保存的多组补充密钥分别对应的索引,并将各索引在该密钥管理设备对应的显示器上显示。工作人员根据该显示器上显示的各个索引,选择预分配给该密钥管理设备的补充密钥所对应的索引。密钥管理设备接收到该选择操作后,根据选择的索引,从该密钥分发机中下载该索引对应的补充密钥,即获取输入的补充密钥,从而根据该补充密钥,对密钥池中的密钥进行补充。在此密钥过程中,补充密钥是不经过互联网传输的。也就是说,密钥管理设备在确定基站不支持在线补充,且确定密钥池中的密钥需要补充时,可以采用离线方式补充密钥,即通过连接密钥分发机获取补充密钥。
由于基站中需要存在与该密钥管理设备中的密钥配对的密钥,才能实现后续密钥中继的转发。因此,在本申请中,密钥管理设备在采用上述离线方式获取到输入的补充密钥所对应的索引后,可以将该索引发送至该密钥管理设备所接入的基站,以使该基站中可以根据该索引,获取该索引对应的补充密钥。示例性的,工作人员可以将密钥分发机与具有密钥生成功能的第一密钥分发基站连接,以从该第一密钥分发基站中拷贝出至少一组密钥以及每组密钥分别对应的索引到该密钥分发机中。后续工作人员将该密钥分发机与该基站所接入的密钥分发基站(记为第二密钥分发基站)连接,以使该第二密钥分发基站可以从该密钥分发机中获取至少一组密钥以及每组密钥分别对应的索引。其中,该基站所接入的第二密钥分发基站不具有生成密钥功能,且可以连接密钥分发机,该基站不具有与密钥分发机连接的权限。密钥管理设备通过上述离线补充密钥的方式,获取到补充密钥所对应的索引后,将该索引发送至基站。该基站接收到该索引后,即可根据该索引,从该第二密钥分发基站中下载该索引对应的补充密钥。
在一种示例中,所述方法还包括:
对所述补充密钥进行完整性校验;
若所述补充密钥通过所述完整性校验,则对所述补充密钥进行杂糅处理,以获取杂糅密钥;
将所述杂糅密钥与所述基站中对应的密钥进行一致性校验;
若确定所述杂糅密钥通过所述一致性校验,则根据所述杂糅密钥,对所述密钥池中的密钥进行补充。
为保证基站与密钥管理设备获取到的数据的安全性,密钥管理设备可以对获取到的补充密钥进行完整性校验,以确定该补充密钥在下载过程中未被篡改,删减等,从而保证获取到的补充密钥的安全性。对该补充密钥进行完整性校验后,可以判断该补充密钥是否通过完整性校验。若该补充密钥通过完整性校验,说明该补充密钥是未被篡改过的,则对该补充密钥进行杂糅处理,从而保证后续补充到密钥池中的密钥的不可知性。若该补充密钥未通过完整性校验,说明该补充密钥可能是被篡改过的,则重新向基站发送请求信息。
示例性的,密钥管理设备对该补充密钥进行杂糅处理的过程包括:根据补充密钥的数量以及预设的杂糅比例,确定原始密钥的目标数量。从保存的各原始密钥中,获取目标数量个目标原始密钥。根据该目标原始密钥,对获取到的补充密钥进行杂糅处理,以获取杂糅密钥。
由于基站中需要存在与该密钥管理设备中的密钥配对的密钥,因此,在本申请中,密钥管理设备获取到杂糅密钥后,还需要将该杂糅密钥与基站中对应的密钥进行一致性校验。密钥管理设备判断该杂糅密钥是否通过一致性校验。若该杂糅密钥通过一致性校验,说明该密钥管理设备与基站成功完成密钥配对,则根据杂糅密钥,对密钥池中的密钥进行补充;若该杂糅密钥未通过一致性校验,说明该密钥管理设备与基站无法完成密钥配对,则重新向基站发送请求信息。
示例性的,该密钥管理设备在将杂糅密钥与所述基站中对应的密钥进行一致性校验时,还可以将该密钥管理设备中的目标原始密钥与基站中与该目标原始密钥对应的密钥进行一致性校验,和/或,将该密钥管理设备获取到的补充密钥与该基站中该补充密钥对应的密钥进行一致性校验,从而进一步保证杂糅密钥的安全性以及准确性。
在一种可能的实施方式中,密钥管理设备确定杂糅密钥通过一致性校验通过后,可以从杂糅密钥中选取目标数量个替换密钥,以根据该替换密钥,对目标原始密钥进行更新。将杂糅密钥中除替换密钥之外的其它密钥保存在密钥池中。
其中,校验(包括一致性校验和完整性校验)是保证补充密钥的正确性,杂糅处理是为了保证杂糅密钥的不可知性,使后续量子加密所使用的密钥并非直接是密钥中心所下载的补充密钥,使得密钥中心,互联网都是无法知晓该密钥的。
需要说明的是,基站与密钥管理设备进行一致性校验的过程属于现有技术,在此不做具体赘述。
实施例3:
下面通过具体的实施例对本申请提供的密钥管理方法进行详细的说明,图2为本申请实施例提供的一种密钥管理流程示意图,以执行主体为密钥管理设备为例,该流程包括:
S201:若确定未接入基站,则向基站发送接入请求,其中,该接入请求中携带有设备标识信息。
S202:接收基站发送的接入反馈信息。
S203:判断该接入反馈信息中是否携带有基站支持在线补充密钥的信息,若是,确定基站支持在线补充密钥,执行S204;否则,确定基站不支持在线补充密钥,执行S206。
S204:若确定已使用的密钥的数量达到预设阈值,则生成请求信息并发送至基站;其中,请求信息用于指示对密钥池中的密钥进行补充。
S205:接收基站发送的密钥中心信息,并根据密钥中心信息,从密钥中心下载补充密钥,执行S207。
其中,密钥中心信息包括密钥中心的地址、以及密钥中心中补充密钥对应的索引。
基站发送密钥中心信息后,也可以根据该索引,从密钥中心下载补充密钥。
S206:若确定已使用的密钥的数量达到预设阈值,则输出密钥数量不足的提示信息,并接收输入的补充密钥。
其中,输入的补充密钥是通过连接密钥分发机的方式获取到的。
密钥管理设备在接收输入的补充密钥之前,可以获取到该补充密钥对应的索引吗,以使密钥管理设备可以根据该索引,从密钥分发机中下载该索引对应的补充密钥。当密钥管理设备获取到该索引后,可以将该索引发送至该基站。基站接收到该索引后,根据该索引从第二密钥分发基站下载该索引对应的补充密钥。其中,该第二密钥分发基站中的补充密钥也是通过连接密钥分发机的方式获取到的。
S207:对补充密钥进行完整性校验。
S208:若补充密钥通过完整性校验,则对补充密钥进行杂糅处理,以获取杂糅密钥。
S209:将杂糅密钥与基站中对应的密钥进行一致性校验。
S210:若确定杂糅密钥通过一致性校验,则根据杂糅密钥,对密钥池中的密钥进行补充。
实施例4:
本申请还提供了一种密钥补充装置,图3为本申请实施例提供的一种密钥补充装置的结构示意图,该装置包括:
确定单元31,用于若确定密钥池中的密钥满足预设补充要求,则生成请求信息并发送至基站;其中,所述请求信息用于指示对所述密钥池中的密钥进行补充;
接收单元32,用于接收所述基站发送的密钥中心信息;其中,所述密钥中心信息包括密钥中心的地址、以及所述密钥中心中所述补充密钥对应的索引;以及,从所述地址的密钥中心下载所述索引对应的补充密钥;
处理单元33,用于根据所述补充密钥,对所述密钥池中的密钥进行补充。
在某些可能的实施方式中,所述确定单元31,还用于生成请求信息并发送至基站之前,确定所述基站支持在线补充密钥。
在某些可能的实施方式中,所述确定单元31,还用于若确定所述密钥池中的密钥不满足预设补充要求,则输出密钥数量不足的提示信息;
所述接收单元32,还用于接收输入的补充密钥;
所述处理单元33,还用于根据所述补充密钥,对所述密钥池中的密钥进行补充。
在某些可能的实施方式中,所述确定单元31,具体用于若确定未接入所述基站,则向所述基站发送接入请求;若确定通过所述接收单元32接收到所述基站发送的接入反馈信息中,携带有所述基站支持在线补充密钥的信息,则确定所述基站支持在线补充密钥。
在某些可能的实施方式中,所述确定单元31,还用于若确定密钥池中的密钥不满足预设补充要求,则继续监控所述密钥池中的密钥是否满足所述预设补充要求。
在某些可能的实施方式中,所述处理单元33,具体用于对所述补充密钥进行完整性校验;若所述补充密钥通过所述完整性校验,则对所述补充密钥进行杂糅处理,以获取杂糅密钥;将所述杂糅密钥与所述基站中对应的密钥进行一致性校验;若确定所述杂糅密钥通过所述一致性校验,则根据所述杂糅密钥,对所述密钥池中的密钥进行补充。
在本申请中,在确定密钥池中的密钥满足预设补充要求时,便生成请求信息并发送至基站,以从基站获取到密钥中心信息,后续根据该密钥中心信息,从密钥中心下载补充密钥,从而保证了补充密钥的及时性。且每次需要补充密钥时,均需要向基站发送请求信息,以获取密钥中心信息,保证了密钥获取来源的安全性,提高了密钥补充的安全性。此外,通过从密钥中心信息下载补充密钥的方式,实现了自动在线补充密钥池中的密钥,无需依赖人工进行密钥的补充,大大提高了密钥补充的效率。
实施例5:
在上述实施例的基础上,本申请实施例还提供了一种密钥管理设备,图4为本申请实施例提供的一种密钥管理设备的结构示意图,如图4所示,包括:处理器41、通信接口42、存储器43和通信总线44,其中,处理器41,通信接口42,存储器43通过通信总线44完成相互间的通信;
存储器43中存储有计算机程序,当程序被处理器41执行时,使得处理器41执行如下步骤:
若确定密钥池中的密钥满足预设补充要求,则生成请求信息并发送至基站;其中,所述请求信息用于指示对所述密钥池中的密钥进行补充;
接收所述基站发送的密钥中心信息;其中,所述密钥中心信息包括密钥中心的地址、以及所述密钥中心中所述补充密钥对应的索引;
从所述地址的密钥中心下载所述索引对应的补充密钥;
根据所述补充密钥,对所述密钥池中的密钥进行补充。
由于上述数据传输设备解决问题的原理与密钥管理方法相似,因此上述数据传输设备的实施可以参见方法的实施例,重复之处不再赘述。
上述密钥管理设备提到的通信总线可以是外设部件互连标准(PeripheralComponent Interconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。通信接口42用于上述密钥管理设备与其他设备之间的通信。存储器可以包括随机存取存储器(RandomAccess Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字指令处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
在本申请中,在确定密钥池中的密钥满足预设补充要求时,便生成请求信息并发送至基站,以从基站获取到密钥中心信息,后续根据该密钥中心信息,从密钥中心下载补充密钥,从而保证了补充密钥的及时性。且每次需要补充密钥时,均需要向基站发送请求信息,以获取密钥中心信息,保证了密钥获取来源的安全性,提高了密钥补充的安全性。此外,通过从密钥中心信息下载补充密钥的方式,实现了自动在线补充密钥池中的密钥,无需依赖人工进行密钥的补充,大大提高了密钥补充的效率。
实施例6:
本申请实施例还提供了一种密钥管理系统,图5为本申请实施例提供的一种密钥管理系统的结构示意图,所述系统包括执行上述实施例1-3任一所述实施例中方法的密钥管理设备、基站以及密钥中心;
所述基站,用于接收所述密钥管理设备发送的请求信息;其中,所述请求信息用于指示对所述密钥管理设备的密钥池中的密钥进行补充;以及,向所述密钥管理设备发送密钥中心信息;其中,所述密钥中心信息包括所述密钥中心的地址、以及所述密钥中心中所述补充密钥对应的索引;
所述密钥中心,用于存储密钥;以及为所述密钥管理设备分配密钥。
由于上述密钥管理系统解决问题的原理与密钥管理方法相似,因此上述密钥管理系统的实施可以参见方法的实施例1-3,重复之处不再赘述。
在本申请中,在确定密钥池中的密钥满足预设补充要求时,便生成请求信息并发送至基站,以从基站获取到密钥中心信息,后续根据该密钥中心信息,从密钥中心下载补充密钥,从而保证了补充密钥的及时性。且每次需要补充密钥时,均需要向基站发送请求信息,以获取密钥中心信息,保证了密钥获取来源的安全性,提高了密钥补充的安全性。此外,通过从密钥中心信息下载补充密钥的方式,实现了自动在线补充密钥池中的密钥,无需依赖人工进行密钥的补充,大大提高了密钥补充的效率。
实施例6:
在上述各实施例的基础上,本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质内存储有可由处理器执行的计算机程序,当程序在处理器上运行时,使得处理器执行时实现如下步骤:
若确定密钥池中的密钥满足预设补充要求,则生成请求信息并发送至基站;其中,所述请求信息用于指示对所述密钥池中的密钥进行补充;
接收所述基站发送的密钥中心信息;其中,所述密钥中心信息包括密钥中心的地址、以及所述密钥中心中所述补充密钥对应的索引;
从所述地址的密钥中心下载所述索引对应的补充密钥;
根据所述补充密钥,对所述密钥池中的密钥进行补充。
由于上述计算机可读存储介质解决问题的原理与密钥管理方法相似,因此上述计算机可读存储介质的实施可以参见方法的实施例,重复之处不再赘述。
在本申请中,在确定密钥池中的密钥满足预设补充要求时,便生成请求信息并发送至基站,以从基站获取到密钥中心信息,后续根据该密钥中心信息,从密钥中心下载补充密钥,从而保证了补充密钥的及时性。且每次需要补充密钥时,均需要向基站发送请求信息,以获取密钥中心信息,保证了密钥获取来源的安全性,提高了密钥补充的安全性。此外,通过从密钥中心信息下载补充密钥的方式,实现了自动在线补充密钥池中的密钥,无需依赖人工进行密钥的补充,大大提高了密钥补充的效率。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在二个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每二流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生二个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图二个流程或多个流程和/或方框图二个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图二个流程或多个流程和/或方框图二个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行二系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图二个流程或多个流程和/或方框图二个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (17)
1.一种密钥管理方法,其特征在于,所述方法包括:
若确定密钥池中的密钥满足预设补充要求,则生成请求信息并发送至基站;其中,所述请求信息用于指示对所述密钥池中的密钥进行补充;
接收所述基站发送的密钥中心信息;其中,所述密钥中心信息包括密钥中心的地址、以及所述密钥中心中所述补充密钥对应的索引;
从所述地址的密钥中心下载所述索引对应的补充密钥;
根据所述补充密钥,对所述密钥池中的密钥进行补充。
2.根据权利要求1所述的方法,其特征在于,所述生成请求信息并发送至基站之前,所述方法还包括:
确定所述基站支持在线补充密钥。
3.根据权利要求2所述的方法,其特征在于,若确定所述基站不支持在线补充密钥,所述方法还包括:
若确定所述密钥池中的密钥不满足预设补充要求,则输出密钥数量不足的提示信息,并接收输入的补充密钥;
根据所述补充密钥,对所述密钥池中的密钥进行补充。
4.根据权利要求3所述的方法,其特征在于,所述输入的补充密钥是通过连接密钥分发机的方式获取到的。
5.根据权利要求2所述的方法,其特征在于,所述确定所述基站支持在线补充密钥,包括:
若确定未接入所述基站,则向所述基站发送接入请求;
接收所述基站发送的接入反馈信息;
若所述接入反馈信息中携带有所述基站支持在线补充密钥的信息,则确定所述基站支持在线补充密钥。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若确定密钥池中的密钥不满足预设补充要求,则继续监控所述密钥池中的密钥是否满足所述预设补充要求。
7.根据权利要求1-6任一所述的方法,其特征在于,所述方法还包括:
对所述补充密钥进行完整性校验;
若所述补充密钥通过所述完整性校验,则对所述补充密钥进行杂糅处理,以获取杂糅密钥;
将所述杂糅密钥与所述基站中对应的密钥进行一致性校验;
若确定所述杂糅密钥通过所述一致性校验,则根据所述杂糅密钥,对所述密钥池中的密钥进行补充。
8.一种密钥管理装置,其特征在于,所述装置包括:
确定单元,用于若确定密钥池中的密钥满足预设补充要求,则生成请求信息并发送至基站;其中,所述请求信息用于指示对密钥池中的密钥进行补充;
接收单元,用于接收所述基站发送的密钥中心信息;其中,所述密钥中心信息包括密钥中心的地址、以及所述密钥中心中所述补充密钥对应的索引;以及,从所述地址的密钥中心下载所述索引对应的补充密钥;
处理单元,用于根据所述补充密钥,对所述密钥池中的密钥进行补充。
9.根据权利要求8所述的装置,其特征在于,所述确定单元,还用于生成请求信息并发送至基站之前,确定所述基站支持在线补充密钥。
10.根据权利要求9所述的装置,其特征在于,所述确定单元,还用于若确定所述基站不支持在线补充密钥,且确定所述密钥池中的密钥满足预设补充要求,则输出密钥数量不足的提示信息;
所述接收单元,还用于接收输入的补充密钥;
所述处理单元,还用于根据所述补充密钥,对所述密钥池中的密钥进行补充。
11.根据权利要求9所述的装置,其特征在于,所述确定单元,具体用于若确定未接入所述基站,则向所述基站发送接入请求;若确定通过所述接收单元接收到所述基站发送的接入反馈信息中,携带有所述基站支持在线补充密钥的信息,则确定所述基站支持在线补充密钥。
12.根据权利要求8所述的装置,其特征在于,所述确定单元,还用于若确定密钥池中的密钥不满足预设补充要求,则继续监控所述密钥池中的密钥。
13.根据权利要求8-12任一所述的装置,其特征在于,所述处理单元,具体用于对所述补充密钥进行完整性校验;若所述补充密钥通过所述完整性校验,则对所述补充密钥进行杂糅处理,以获取杂糅密钥;将所述杂糅密钥与所述基站中对应的密钥进行一致性校验;若确定所述杂糅密钥通过所述一致性校验,则根据所述杂糅密钥,对所述密钥池中的密钥进行补充。
14.一种密钥管理系统,其特征在于,所述系统包括执行权利要求1-7任一所述方法的密钥管理设备、基站以及密钥中心;
所述基站,用于接收所述密钥管理设备发送的请求信息;其中,所述请求信息用于指示对所述密钥管理设备的密钥池中的密钥进行补充;以及,向所述密钥管理设备发送密钥中心信息;其中,所述密钥中心信息包括所述密钥中心的地址、以及所述密钥中心中所述补充密钥对应的索引;
所述密钥中心,用于存储密钥;以及为所述密钥管理设备分配密钥。
15.一种密钥管理设备,其特征在于,所述密钥管理设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-7中任一所述密钥管理方法的步骤。
16.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-7中任一所述密钥管理方法的步骤。
17.一种计算机程序产品,其特征在于,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行上述如权利要求1-7中任一所述密钥管理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210829071.7A CN115085920B (zh) | 2022-07-15 | 2022-07-15 | 一种密钥管理方法、装置、设备、系统及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210829071.7A CN115085920B (zh) | 2022-07-15 | 2022-07-15 | 一种密钥管理方法、装置、设备、系统及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115085920A true CN115085920A (zh) | 2022-09-20 |
CN115085920B CN115085920B (zh) | 2024-01-16 |
Family
ID=83260061
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210829071.7A Active CN115085920B (zh) | 2022-07-15 | 2022-07-15 | 一种密钥管理方法、装置、设备、系统及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115085920B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018017168A2 (en) * | 2016-04-21 | 2018-01-25 | Alibaba Group Holding Limited | System and method for encryption and decryption based on quantum key distribution |
CN107959569A (zh) * | 2017-11-27 | 2018-04-24 | 浙江神州量子网络科技有限公司 | 一种基于对称密钥池的密钥补充方法和密钥补充装置、密钥补充系统 |
CN212660171U (zh) * | 2020-06-24 | 2021-03-05 | 南京如般量子科技有限公司 | 一种应用于移动通信网络的量子密钥分发系统 |
CN113132090A (zh) * | 2019-12-31 | 2021-07-16 | 科大国盾量子技术股份有限公司 | 一种共享量子密钥的系统和基于所述系统的保密通信方法 |
CN113422679A (zh) * | 2020-07-20 | 2021-09-21 | 阿里巴巴集团控股有限公司 | 密钥生成方法、装置和系统、加密方法、电子设备以及计算机可读存储介质 |
CN114006694A (zh) * | 2021-09-26 | 2022-02-01 | 北京邮电大学 | 量子密钥的处理方法、装置、电子设备及存储介质 |
-
2022
- 2022-07-15 CN CN202210829071.7A patent/CN115085920B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018017168A2 (en) * | 2016-04-21 | 2018-01-25 | Alibaba Group Holding Limited | System and method for encryption and decryption based on quantum key distribution |
CN107959569A (zh) * | 2017-11-27 | 2018-04-24 | 浙江神州量子网络科技有限公司 | 一种基于对称密钥池的密钥补充方法和密钥补充装置、密钥补充系统 |
CN113132090A (zh) * | 2019-12-31 | 2021-07-16 | 科大国盾量子技术股份有限公司 | 一种共享量子密钥的系统和基于所述系统的保密通信方法 |
CN212660171U (zh) * | 2020-06-24 | 2021-03-05 | 南京如般量子科技有限公司 | 一种应用于移动通信网络的量子密钥分发系统 |
CN113422679A (zh) * | 2020-07-20 | 2021-09-21 | 阿里巴巴集团控股有限公司 | 密钥生成方法、装置和系统、加密方法、电子设备以及计算机可读存储介质 |
CN114006694A (zh) * | 2021-09-26 | 2022-02-01 | 北京邮电大学 | 量子密钥的处理方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115085920B (zh) | 2024-01-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11218295B2 (en) | Private key decryption system and method of use | |
CN109033855B (zh) | 一种基于区块链的数据传输方法、装置及存储介质 | |
CN110460439A (zh) | 信息传输方法、装置、客户端、服务端及存储介质 | |
EP3780483A1 (en) | Cryptographic operation method, method for creating work key, and cryptographic service platform and device | |
CN103154956A (zh) | 用于下载数字版权管理模块的方法和装置 | |
US20180351737A1 (en) | Communication apparatus, communication system, key sharing method, and computer program product | |
CN114465803B (zh) | 对象授权方法、装置、系统及存储介质 | |
CN111193703A (zh) | 在分散式网络中使用的通信装置和通信方法 | |
CN112532629B (zh) | 一种数据传输方法、装置、设备和介质 | |
CA3127882A1 (en) | Short message sending method, device, and computer system | |
CN111865897A (zh) | 一种云服务的管理方法及装置 | |
CN111259428A (zh) | 基于区块链的数据处理方法、装置、节点设备及存储介质 | |
CN111324912B (zh) | 文件校验方法、系统及计算机可读存储介质 | |
CN111464295B (zh) | 银行卡制卡方法及装置 | |
CN106487761B (zh) | 一种消息传输方法和网络设备 | |
CN115085920A (zh) | 一种密钥管理方法、装置、设备、系统及介质 | |
CN112699391B (zh) | 目标数据的发送方法及隐私计算平台 | |
CN113452519B (zh) | 密钥同步方法、装置、计算机设备及存储介质 | |
US11856091B2 (en) | Data distribution system, data processing device, and program | |
CN113961931A (zh) | adb工具使用方法、装置和电子设备 | |
US9154548B2 (en) | Auditable distribution of a data file | |
CN109543367B (zh) | 基于量子加密的软件授权方法、装置及存储介质 | |
CN114389790A (zh) | 一种安全多方计算方法及装置 | |
CN115442040A (zh) | 一种量子安全密钥分发方法及系统 | |
CN115208569B (zh) | 密钥动态分配的加密解密方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |