CN117081732A - 一种量子密钥充注方法、装置及电子设备 - Google Patents

一种量子密钥充注方法、装置及电子设备 Download PDF

Info

Publication number
CN117081732A
CN117081732A CN202310874033.8A CN202310874033A CN117081732A CN 117081732 A CN117081732 A CN 117081732A CN 202310874033 A CN202310874033 A CN 202310874033A CN 117081732 A CN117081732 A CN 117081732A
Authority
CN
China
Prior art keywords
quantum key
filling
key
terminal equipment
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310874033.8A
Other languages
English (en)
Inventor
李金慧
王锦华
黄铖斌
王骞然
张越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Technology Innovation Center
China Telecom Corp Ltd
Original Assignee
China Telecom Technology Innovation Center
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Technology Innovation Center, China Telecom Corp Ltd filed Critical China Telecom Technology Innovation Center
Priority to CN202310874033.8A priority Critical patent/CN117081732A/zh
Publication of CN117081732A publication Critical patent/CN117081732A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供了一种量子密钥充注方法、装置及电子设备,涉及网络安全技术领域。在本申请中,首先接收量子密钥充注策略和量子密钥加密数据包,然后基于量子密钥充注策略中的解密算法,对量子密钥加密数据包进行解密,得到量子密钥数据包,最后将量子密钥数据包充注到设定的存储单元,采用上述方式,不仅能够对终端设备进行量子密钥的在线充注,提升量子密钥充注的效率,还能够保证传输量子密钥数据包的安全性。

Description

一种量子密钥充注方法、装置及电子设备
技术领域
本申请涉及网络安全技术领域,尤其涉及一种量子密钥充注方法、装置及电子设备。
背景技术
量子密钥分发(英文全称:Quantum Key Distribution,简称:QKD),是一种利用量子力学特性来保证通信双方的通信安全的技术,使通信双方能够产生并分享一个随机、安全的密钥来加密和解密消息。
QKD组网的目标是将点到点的QKD密钥分发功能扩展到多用户之间的端到端密钥分发,并使用端到端的密钥实现用户业务信息的加密传输。但QKD组网通常部署在现有的光纤网络基础设备之上,需要依赖光纤介质进行密钥的分发。
为避免对光纤介质的依赖性,并将量子密钥分发功能应用到无线设备中,现有通过在终端进行量子密钥离线预充注的方式为无线设备提供量子密钥,该量子密钥离线预充注的方式是将预先生成的设定数量的量子密钥注入全球用户识别卡(英文全称:UniversalSubscriber Identity Module,简称:USIM)、TF密码卡(Trans-Flash卡)等终端安全介质,再将终端安全介质中的量子密钥配发给移动终端使用。然而在预先生成的量子密钥消耗殆尽或需要重新充注时,需要人工离线进行充注,存在充注效率低的问题。
发明内容
本发明申请提供了一种量子密钥充注方法,用以对终端设备进行量子密钥的在线充注,提升量子密钥充注的效率。
第一方面,本申请提供了一种量子密钥充注方法,包括:
接收量子密钥充注策略和量子密钥加密数据包,其中,所述量子密钥充注策略用于对量子密钥数据包进行加密或解密;
基于所述量子密钥充注策略中的解密算法,对所述量子密钥加密数据包进行解密,得到量子密钥数据包;
将所述量子密钥数据包充注到设定的存储单元。
基于上述的方法,终端设备能够在线的获取量子密钥管理端下发的量子密钥数据包,避免人工离线的对终端设备进行量子密钥的充注,提升量子密钥充注的效率;通过建立终端设备和量子密钥管理端之间量子密钥数据包传输的安全通道,对终端设备预获取的量子密钥数据包进行加密传输,保证了传输量子密钥数据包的安全性。
在一种可能的实现中,所述接收量子密钥充注策略之前,还包括:
通过鉴权服务端向服务认证端转发量子密钥充注服务请求,以使所述服务认证端基于所述量子密钥充注服务请求中的终端设备标识,确定终端设备的量子密钥充注服务订阅状态;
接收所述服务认证端基于所述量子密钥充注服务请求返回的订阅状态消息,其中,所述订阅状态消息为向所述终端设备提供量子密钥充注服务对应的量子密钥充注策略的第一反馈消息或拒绝向所述终端设备提供量子密钥充注服务的第二反馈消息。
基于上述的方法,能够对终端设备的量子密钥充注服务进行服务的订阅认证,保证终端设备获取量子密钥充注服务的安全性。
在一种可能的实现中,所述接收量子密钥充注策略和量子密钥加密数据包,包括:
从所述量子密钥充注策略的派生算法集合中,选取出优先级最高的一个待选派生算法,并从所述量子密钥充注策略的加密算法集合中,选取出优先级最高的一个待选加密算法;
向鉴权服务端发送携带所述待选派生算法、所述待选加密算法和量子密钥标识的量子密钥充注请求,以使所述鉴权服务端基于所述待选派生算法和原始密钥生成派生密钥;
通过所述鉴权服务端向量子密钥管理端转发携带所述派生密钥、所述待选加密算法和所述量子密钥标识的量子密钥充注请求,以使所述量子密钥管理端生成所述量子密钥加密数据包;
接收所述量子密钥管理端返回的所述量子密钥加密数据包。
基于上述的方法,终端设备能够首先接收服务认证端发送的量子密钥充注策略,然后从量子密钥充注策略的派生算法集合中确定一个待选派生算法和从量子密钥充注策略的加密算法集合中确定一个待选加密算法并转发给鉴权服务端,以使鉴权服务端根据待选派生算法生成派生密钥;并通过鉴权服务端向量子密钥管理端转发量子密钥充注请求,使量子密钥管理端根据派生密钥和待选加密算法对待获取的量子密钥数据包进行加密,生成量子密钥加密数据包;最后接收密钥管理端返回的量子密钥加密数据包。
第二方面,本申请提供了一种量子密钥处理方法,包括:
获取量子密钥充注策略和原始密钥,并将所述量子密钥充注策略转发到终端设备,其中,所述量子密钥充注策略是在对所述终端设备订阅的量子密钥充注服务认证成功后得到的,所述原始密钥是所述终端设备在进行所述量子密钥充注服务的注册和认证后生成的;
接收所述终端设备发送的量子密钥充注请求,基于所述量子密钥充注请求中的待选派生算法,对所述原始密钥进行派生,生成派生密钥;
向量子密钥管理端发送携带所述派生密钥的量子密钥充注请求,以使所述量子密钥管理端基于所述量子密钥充注请求中的量子密钥标识、待选加密算法和所述派生密钥,对所述量子密钥标识对应的量子密钥数据包进行打包和加密,得到量子密钥加密数据包,并将所述量子密钥加密数据包转发到所述终端设备。
通过上述的方法,鉴权服务端能够将服务认证端下发的量子密钥策略转发到终端设备,在接收到终端设备发送的量子密钥充注请求(终端设备确定待选派生算法和待选加密算法)后,对终端设备的原始密钥进行派生或更新,得到派生密钥,以使量子密钥管理端根据派生密钥和待选加密算法生成量子密钥加密数据包,并将量子密钥加密数据包转发到终端设备,使终端设备能够在线的获取量子密钥加密数据包,实现对量子密钥的在线充注,提升量子密钥充注的效率;并且鉴权服务端在接收到终端设备发送的量子密钥充注请求后,会根据量子密钥充注请求中的待选派生算法,对原始密钥进行派生或更新,实现了量子密钥下发的一次一密,提升了量子密钥传输的安全性。
在一种可能的实现中,所述获取量子密钥充注策略之前,还包括:
接收所述终端设备发送的量子密钥充注服务请求,并将所述量子密钥充注服务请求转发到服务认证端,以使所述服务认证端基于所述量子密钥充注服务请求中的终端设备标识,确定所述终端设备的量子密钥充注服务订阅状态;
接收所述服务认证端基于所述量子密钥充注服务请求返回的订阅状态消息,并将所述订阅状态消息转发到所述终端设备,其中,所述订阅状态消息为向所述终端设备提供量子密钥充注服务对应的量子密钥充注策略的第一反馈消息或拒绝向所述终端设备提供量子密钥充注服务的第二反馈消息。
通过上述的方法,鉴权服务端能够获取终端设备已订阅的量子密钥充注服务和量子密钥充注服务对应的量子密钥充注策略,并将已订阅的量子密钥充注服务和量子密钥充注策略转发到终端设备。
在一种可能的实现中,所述基于所述量子密钥充注请求中的待选派生算法,对所述原始密钥进行派生,生成派生密钥,包括:
确定与所述待选派生算法相关联的派生参数,基于所述待选派生算法和所述派生参数对所述原始密钥进行派生,得到所述派生密钥。
通过上述的方法,能够实现量子密钥管理端下发一次量子密钥就对原始密钥进行一次派生或更新,提升量子密钥传输的安全性。
第三方面,本申请提供了一种量子密钥充注装置,包括:
数据接收模块,用于接收量子密钥充注策略和量子密钥加密数据包,其中,所述量子密钥充注策略包括用于对所述量子密钥数据包进行加密或解密的算法;
数据解密模块,用于基于所述量子密钥充注策略中的解密算法,对所述量子密钥加密数据包进行解密,得到量子密钥数据包;
量子密钥充注模块,用于将所述量子密钥数据包充注到设定的存储单元。
通过上述的装置,能够对终端设备进行量子密钥的在线充注,在保证量子密钥数据包传输的安全性的前提下,提升量子密钥充注的效率。
第四方面,本申请提供了一种量子密钥处理装置,包括:
数据获取模块,用于获取量子密钥充注策略和原始密钥,并将所述量子密钥充注策略转发到终端设备,其中,所述量子密钥充注策略是在对所述终端设备订阅的量子密钥充注服务认证成功后得到的,所述原始密钥是所述终端设备在进行所述量子密钥充注服务的注册和认证后生成的;
量子密钥处理模块,用于接收所述终端设备发送的量子密钥充注请求,基于所述量子密钥充注请求中的待选派生算法,对所述原始密钥进行派生,生成派生密钥;
向量子密钥管理端发送携带所述派生密钥的量子密钥充注请求,以使所述量子密钥管理端基于所述量子密钥充注请求中的量子密钥标识、待选加密算法和所述派生密钥,对所述量子密钥标识对应的量子密钥数据包进行打包和加密,得到量子密钥加密数据包,并将所述量子密钥加密数据包转发到所述终端设备。
通过上述的装置,能够实现量子密钥管理端下发一次量子密钥就对原始密钥进行一次派生或更新,提升量子密钥数据包传输的安全性。
第五方面,本申请提供了一种电子设备,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现上述的量子密钥充注方法的步骤。
第六方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的量子密钥充注方法的步骤。
上述第二方面至第六方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明,这里不再重复赘述。
附图说明
图1为本申请实施例一提供的一种量子密钥充注方法的流程图;
图2为本申请提供的一种量子密钥充注系统架构示意图;
图3为本申请实施例一提供的对终端设备进行量子密钥充注的流程图;
图4为本申请实施例二提供的一种量子密钥处理方法的流程图;
图5为本申请实施例一提供的方法对应的量子密钥充注装置结构示意图;
图6为本申请实施例二提供的方法对应的量子密钥处理装置结构示意图;
图7为本申请提供的一种电子设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。需要说明的是,在本申请的描述中“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。A与B连接,可以表示:A与B直接连接和A与B通过C连接这两种情况。另外,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
下面结合附图,对本申请实施例进行详细描述。
实施例一:
量子密钥分发是一种利用量子力学特性来保证通信双方的通信安全的技术,使通信双方能够产生并分享一个随机、安全的密钥来加密和解密消息。
QKD组网的目标是将点到点的QKD密钥分发功能扩展到多用户之间的端到端密钥分发,并使用端到端的密钥实现用户业务信息的加密传输。但QKD组网通常部署在现有的光纤网络基础设备之上,需要依赖光纤介质进行密钥的分发。
为避免对光纤介质的依赖性,并将量子密钥分发功能应用到无线设备中,现有通过在终端进行量子密钥离线预充注的方式为无线设备提供量子密钥,该量子密钥离线预充注的方式是将预先生成的设定数量的量子密钥注入全球用户识别卡、TF密码卡等终端安全介质,再将终端安全介质中的量子密钥配发给移动终端使用。然而在预先生成的量子密钥消耗殆尽或需要重新充注时,需要人工离线进行充注,存在充注效率低的问题。
鉴于此,为了实现无线设备(终端设备)的量子密钥在线充注,提升量子密钥充注的效率,第一方面,本申请提供了一种量子密钥充注方法,具体包括:首先接收量子密钥充注策略和量子密钥加密数据包,然后基于量子密钥充注策略中的解密算法,对量子密钥加密数据包进行解密,得到量子密钥数据包,最后将量子密钥数据包充注到设定的存储单元。
通过本申请所提供的方法,终端设备能够在线的获取量子密钥管理端下发的量子密钥加密数据包,避免人工离线的对终端设备进行量子密钥的充注,提升量子密钥充注的效率;并且通过在终端设备和量子密钥管理端之间构建量子密钥数据包传输的安全通道,对终端设备预获取的量子密钥数据包根据量子密钥充注策略进行加密传输,保证了传输量子密钥数据包的安全性。
参照图1所示,其为本申请实施例一提供的一种量子密钥充注方法的流程图,该方法包括:
S1,接收量子密钥充注策略和量子密钥加密数据包。
首先来讲,本申请所提供的方法可以应用于图2所示的系统架构中,在该系统架构中包括:终端设备、5G核心网、量子密钥管理端、QKD网络,本申请实施例一所提供的方法可以在终端设备中运行。
终端设备包括具备通信功能的各类移动终端设备,例如,手机、笔记本、平板电脑、POS机、对讲机等上网或语音终端,本申请对终端设备的种类和数量不作具体限制。
5G核心网用于向终端设备提供量子密钥充注的网络安全通道,能够对量子密钥充注服务进行服务的注册、认证;通过将5G核心网与量子密钥管理端进行结合,使5G核心网能够向终端设备在线地分发量子密钥管理端存储的量子密钥,并且在分发量子密钥时,根据量子密钥充注策略对量子密钥进行加密,保证了量子密钥传输的安全性。
在本申请实施例中,5G核心网包括鉴权服务网元(鉴权服务端)、统一数据管理网元(服务认证端),其中,鉴权服务网元用于接收终端设备发送的身份验证请求或者量子密钥服务请求,并将身份验证请求或者量子密钥服务请求转发到统一数据管理网元进行服务认证;统一数据管理网元用于对终端设备的量子密钥充注服务进行订阅认证,还可以用于对终端设备标识、终端设备订阅的量子密钥服务信息进行管理,例如,在终端设备订阅的量子密钥服务发生变更时,自动的更新该终端设备订阅的量子密钥服务信息。
量子密钥管理端用于对从QKD网络获取的各个量子密钥进行存储以及管理,并且量子密钥管理端可以部署在5G核心网内部或者通过网络开放功能(英文全称:NetworkExposure Function,简称:NEF)与5G核心网进行通信,本申请对量子密钥管理端的部署位置、数量以及量子密钥管理端与5G核心网之间的通信方式不作具体限制。
QKD网络用于向量子密钥管理端分配相应的量子密钥。
在本申请实施例一中,终端设备在接收量子密钥充注策略之前,需要对终端设备的量子密钥充注服务进行服务的订阅认证,对量子密钥充注服务进行服务的订阅认证步骤如下:
终端设备向鉴权服务端发送量子密钥充注服务请求,具体地,终端设备可以通过5G核心网与终端设备之间的功能层(英文全称:non-access strayum,简称:NAS)通道向鉴权服务端发送量子密钥充注服务请求,其中,量子密钥充注服务请求中包括终端设备的终端设备标识,终端设备标识可用于对当前终端设备的身份进行认证或者对终端设备订阅的量子密钥充注服务进行认证。
上述量子密钥充注服务请求中除包括上述终端设备标识之外,还包括终端设备预获取的量子密钥数量、量子密钥对应的量子密钥标识/密钥长度等信息,本申请对量子密钥充注服务请求中包含的内容不作具体限制,可根据实际的应用需要,灵活地进行添加,在此不再赘述。
终端设备在向鉴权服务端发送量子密钥充注服务请求后,通过鉴权服务端能够向服务认证端转发量子密钥充注服务请求,以使服务认证端根据量子密钥充注服务请求中的终端设备标识,确定终端设备的量子密钥充注服务订阅状态。
具体地,服务认证端可以存放终端设备已订阅的量子密钥充注服务信息,并对已订阅的量子密钥充注服务信息进行管理。
已订阅的量子密钥充注服务信息可以如下表1所示:
表1
这里,需要指出的是,量子密钥充注策略中包括多个派生算法和多个加密算法。
服务认证端在接收到量子密钥充注服务请求后,可以按照设定的数据提取方式,提取量子密钥充注服务中的终端设备标识,或者对量子密钥充注服务请求中的终端设备标识进行识别;通过终端设备标识,如表1所示的已订阅的量子密钥充注服务信息中查找是否存在与当前终端设备标识相匹配的已订阅的量子密钥充注服务信息,进而确定终端设备的量子密钥充注服务订阅状态。
在本申请实施例一中,终端设备接收服务认证端根据量子密钥充注服务请求返回的订阅状态消息。服务认证端返回的订阅状态信息的确定方式如下:
服务认证端首先可以判断已订阅的量子密钥充注服务信息中是否存在与当前终端设备标识相匹配的量子密钥充注服务信息;在确定查找到与当前终端设备标识相匹配的量子密钥充注服务信息(认证成功)时,服务认证端可以获取已订阅的量子密钥充注服务和该服务对应的量子密钥充注策略。例如,当前终端设备标识为A,则获取表1中的Service1和Strategy1。然后向终端设备发送量子密钥充注服务(Service1)对应的量子密钥充注策略(stategy1)的第一反馈信息,第一反馈信息用于通知终端设备已订阅的量子密钥充注服务,并携带已订阅的量子密钥充注服务对应的量子密钥充注策略。
服务认证端在确定已订阅的量子密钥充注服务信息中不存在与当前终端设备标识相匹配的量子密钥充注服务信息(认证失败)时,例如,当前终端设备标识为S,服务认证端确定当前终端设备未订阅量子密钥充注服务,然后向终端设备返回拒绝提供量子密钥充注服务的第二反馈信息,第二反馈信息用于通知终端设备未订阅量子密钥充注服务。
通过上述方式,能够对终端设备的量子密钥充注服务进行服务的订阅认证,保证终端设备获取量子密钥充注服务的安全性。
服务认证端在对终端设备的量子密钥充注服务进行服务的订阅认证,且认证功能后,终端设备和鉴权服务端都能够接收到已订阅的量子密钥充注策略。
在本申请实施例一中,终端设备在接收到已订阅的量子密钥充注策略后,首先确定量子密钥充注策略中的派生算法集合和加密算法集合;然后按照终端设备所支持的派生算法优先级,对派生算法集合中的各个派生算法进行排序,选取出派生算法优先级最高的一个待选派生算法;同理,按照终端设备所支持的加密算法优先级,对加密算法集合中的各个加密算法进行排序,能够选取出加密算法优先级最高的一个待选加密算法。这里,需要指出的是,可通过上述各个算法各自对应的算法标签,从派生算法集合中选取出上述待选派生算法和从加密算法集合中选取出上述待选加密算法,本申请对待选派生算法和待选加密算法的选取方式不作具体限制。
终端设备向鉴权服务端发送携带上述待选派生算法、待选加密算法和上述量子密钥标识的量子密钥充注请求,鉴权服务端在接收到上述量子密钥充注请求后,可以根据待选派生算法,对获取量子密钥数据包所设置的原始密钥进行派生或者更新,得到派生密钥,然后自动地向量子密钥管理端发送携带派生密钥、待选加密算法和量子密钥标识的量子密钥充注请求,以使量子密钥管理端根据派生密钥和待选加密算法生成量子密钥加密数据包;终端设备接收量子密钥管理端返回的量子密钥加密数据包,其中,原始密钥是在对终端设备进行量子密钥充注服务的注册和认证后生成的;量子密钥充注请求中还包括上述终端设备预获取的量子密钥的数量、量子密钥的密钥长度等信息。
在一种可能的实施方式中,终端设备在从已订阅的量子密钥充注策略中确定上述待选派生算法和待选加密算法之后,同样可以根据待选派生算法对原始密钥进行派生或者更新,得到派生密钥,然后向量子密钥管理端发送与上述鉴权服务端发送的量子密钥充注请求相同的请求,以获取量子密钥管理端根据量子密钥充注请求返回的上述量子密钥加密数据包,在此不再赘述。
通过上述方式,终端设备能够首先接收服务认证端发送的量子密钥充注策略,然后从量子密钥充注策略的派生算法集合中确定一个待选派生算法和从量子密钥充注策略的加密算法集合中确定一个待选加密算法并转发给鉴权服务端,以使鉴权服务端根据待选派生算法生成派生密钥;并通过鉴权服务端向量子密钥管理端转发量子密钥充注请求,使量子密钥管理端根据派生密钥和待选加密算法对待获取的量子密钥数据包进行加密,生成量子密钥加密数据包;最后接收密钥管理端返回的量子密钥加密数据包。
S2,基于量子密钥充注策略中的解密算法,对量子密钥加密数据包进行解密,得到量子密钥数据包。
在本申请实施例一中,终端设备在接收到量子密钥管理端发送的量子密钥加密数据包后,由于量子密钥加密数据包所使用的加密算法是终端设备从服务认证端获取的量子密钥策略的加密算法集合中选取的,即量子密钥加密数据包所使用的加密算法为上述待选加密算法,因此可以将待选加密算法作为解密算法对量子密钥加密数据包进行解密,得到量子密钥数据包。
通过上述方式,能够对量子密钥加密数据包进行解密,提升量子密钥管理端下发量子密钥的安全性。
S3,将量子密钥数据包充注的设定的存储单元。
在本申请实施例一中,终端设备在对量子密钥加密数据包进行解密后,可以直接将量子密钥数据包充注到设定的存储单元,实现对终端设备的量子密钥的在线充注,并且提升量子密钥充注的效率。
综上所述,本申请所提供的量子密钥充注方法,终端设备能够在线的获取量子密钥管理端下发的量子密钥加密数据包,并对得到的量子密钥加密数据包按照量子密钥充注策略中的解密算法进行解密,得到量子密钥数据包,实现量子密钥的在线充注,提升量子密钥充注的效率;并且通过5G核心网,将终端设备和服务认证端进行结合,保证了传输量子密钥数据包的安全性。
为了更清楚的阐述本申请的发明点,下面结合附图3举例说明对终端设备进行量子密钥充注的过程:
步骤1,发送量子密钥充注服务请求:终端设备(UE)通过NAS层安全通道向鉴权服务端(AUSF)发送量子密钥充注服务请求。
步骤2,请求转发:AUSF将量子密钥充注服务请求转发至服务认证端(UDM)。
步骤3,服务订阅认证、返回量子密钥充注策略:UDM对UE进行量子密钥充注服务订阅认证,将认证成功后的量子密钥充注策略返回到AUSF和UE。
步骤4,确定待选派生算法和待选加密算法,向AUSF发送量子密钥充注请求:UE接收AUSF转发的量子密钥充注策略,从量子密钥充注策略的派生算法集合中选取派生算法优先级最高的待选派生算法和从量子密钥充注策略的加密算法集合中选取加密算法优先级最高的待选加密算法。UE向AUSF发送携带待选派生算法、待选加密算法、量子密钥标识的量子密钥充注请求。
步骤5,生成派生密钥、转发量子密钥充注请求:AUSF根据量子密钥充注请求中的待选派生算法,将原始密钥进行派生,生成派生密钥;向量子密钥管理端(KMS)发送携带派生密钥、待选加密算法、量子密钥标识的量子密钥充注请求。
步骤6,生成量子密钥加密数据包:KMS基于量子密钥充注请求中量子密钥标识对应的目标量子密钥,对目标量子密钥进行打包、使用待选加密算法进行加密,生成量子密钥加密数据包。
步骤7,发送量子密钥加密数据包:KMS通过网络安全通道,将量子密钥加密数据包发送到UE。
步骤8,解密量子密钥加密数据包,存储量子密钥数据包:UE接收量子密钥加密数据包,将待选加密算法作为解密算法对量子密钥加密数据包进行解密,得到量子密钥数据包,将量子密钥数据包存储到设定的存储单元。
实施例二:
基于上述图2所示的系统构架,本申请还提供了一种量子密钥处理方法,该方法可以在鉴权服务端运行,具体包括:首先获取量子密钥充注策略和原始密钥,并将量子密钥充注策略转发到终端设备;然后接收终端设备发送的量子密钥充注请求,基于量子密钥充注请求中的待选派生算法,对原始密钥进行派生,生成派生密钥;最后向量子密钥管理端发送携带派生密钥的量子密钥充注请求,以使量子密钥管理端基于量子密钥充注请求中的量子密钥标识、待选加密算法和派生密钥,对量子密钥标识对应的量子密钥数据包进行打包和加密,得到量子密钥加密数据包,并将量子密钥加密数据包转发到终端设备。
通过本申请提供的方法,鉴权服务端能够将服务认证端下发的量子密钥策略转发到终端设备,在接收到终端设备发送的量子密钥充注请求(终端设备确定待选派生算法和待选加密算法)后,对终端设备在进行量子密钥充注服务注册和认证后生成的原始密钥进行派生,得到派生密钥,以使量子密钥管理端根据派生密钥和待选加密算法生成量子密钥加密数据包,并将量子密钥加密数据包转发到终端设备,使终端设备能够在线的获取量子密钥加密数据包,实现对量子密钥的在线充注,提升对量子密钥进行充注的效率;并且鉴权服务端在接收到终端设备发送的量子密钥充注请求后,会根据量子密钥充注请求中的待选派生算法,对原始密钥进行派生或更新,能够实现量子密钥管理端下发一次量子密钥就对原始密钥进行一次更新,提升量子密钥传输的安全性。
参照图4所示,其为本申请实施例二提供的一种量子密钥处理方法的流程图,该方法包括:
S1,获取量子密钥充注策略和原始密钥,并将量子密钥充注策略转发到终端设备。
在本申请实施例二中,鉴权服务端在获取量子密钥充注策略之前,首先接收终端设备发送的量子密钥充注服务请求,并将量子密钥充注服务请求转发到服务认证端,以使服务认证端基于量子密钥充注服务中的终端设备标识,确定终端设备的量子密钥充注服务订阅状态,服务认证端确定终端设备的量子密钥充注服务订阅状态的方法与上述实施例一中的方法相同,在此不再赘述。
鉴权服务端接收服务认证端根据量子密钥充注服务请求返回的订阅状态消息,并将订阅状态消息转发到终端设备,鉴权服务端接收到的订阅状态消息与上述实施例一中的订阅状态消息相同,在此不再赘述。
通过上述方式,鉴权服务端能够获取终端设备已订阅的量子密钥充注服务和量子密钥充注服务对应的量子密钥充注策略,并将已订阅的量子密钥充注服务和量子密钥充注策略转发到终端设备。
S2,接收终端设备发送的量子密钥充注请求,基于量子密钥充注请求中的待选派生算法,对原始密钥进行派生,生成派生密钥。
在本申请实施例二中,鉴权服务端在向终端设备转发量子密钥充注策略后,终端设备会从量子密钥充注策略的派生算法集合中选取出一个待选派生算法和从量子密钥充注策略的加密算法集合中选取出一个待选加密算法,然后终端设备向鉴权服务端发送携带待选派生算法、待选加密算法和量子密钥标识的量子密钥充注请求,待选派生算法和待选加密算法的选取过程可参考上述实施例一,在此不再赘述。
鉴权服务端接收终端设备发送的量子密钥充注请求,首先可以确定量子密钥充注请求中的待选派生算法,并确定待选派生算法的类型和与待选派生算法相关联的派生参数,待选派生算法可以是SM3算法、HASH算法;派生参数可以是随机数、时间源等信息;本申请对待选派生算法的类型和派生参数的内容不作具体限制。
鉴权服务端根据原始密钥(KAUSF)、待选派生算法(KDF)和派生参数(S),能够对原始密钥进行派生,得到派生密钥(KQKMS),可通过以下公式生成上述派生密钥:
KQKMS=KDF(KAUSF,S)
可选的,鉴权服务端在生成派生密钥后,还可以确定量子密钥充注请求中的待选加密算法,并确定待选加密算法的类型,待选加密算法可以是SM4算法或者AES算法,本申请对待选加密算法的类型不作具体限制。
通过上述方式,鉴权服务端在接收到终端设备发送的量子密钥充注请求时,根据量子密钥充注请求中的待选派生算法,能够对原始密钥进行派生/更新,实现量子密钥管理端下发一次量子密钥就对原始密钥进行一次更新,在保证量子密钥传输的安全性的前提下,提高量子密钥在线分发的效率。
S3,向量子密钥管理端发送携带派生密钥的量子密钥充注请求。
在本申请实施例二中,鉴权服务端在生成派生密钥后,可以向量子密钥管理端发送量子密钥充注请求,其中,量子密钥充注请求中包括派生密钥、待选加密算法和量子密钥标识。
量子密钥管理端在接收量子密钥充注请求后,首先可以对量子密钥充注请求中的派生密钥、量子密钥标识和待选加密算法进行识别;然后从QKD网络获取的量子密钥数据包集合中,选取出与量子密钥标识相匹配的目标量子密钥数据包;然后确定待选加密算法的类型,待选加密算法同样可以是上述SM4算法或者AES算法,在此不再赘述。
根据待选加密算法和派生密钥,可以对目标量子密钥数据包进行加密,可通过以下公式对目标量子密钥数据包进行加密:
量子密钥加密数据包=SM4(KQKMS,目标量子密钥数据包)
最后将量子密钥加密数据包转发到终端设备。
综上所述,本申请提供的方法,鉴权服务端在接收到服务认证端下发的量子密钥策略,并向终端设备转发量子密钥策略后,能够基于终端设备发送的量子密钥充注请求中的待选派生算法、与待选派生算法相关联的派生参数对原始密钥进行派生或更新,并向量子密钥管理端自动转发携带派生密钥和待选加密算法的量子密钥充注请求,以使量子密钥管理端能够根据派生密钥和待选加密算法生成量子密钥加密数据包,实现量子密钥管理端下发一次量子密钥就对原始密钥进行一次更新,提升量子密钥传输的安全性;量子密钥管理端将量子密钥加密数据包转发到终端设备,能够实现对终端设备量子密钥的在线充注,避免对终端设备进行离线量子密钥充注,提升量子密钥充注的效率。
基于上述的实施例一所提供的方法,本申请实施例还提供了该方法对应的一种量子密钥充注装置,如图5所示为本申请实施例一对应的一种量子密钥充注装置的结构示意图,该装置包括:
数据接收模块501,用于接收量子密钥充注策略和量子密钥加密数据包,其中,所述量子密钥充注策略包括用于对所述量子密钥数据包进行加密或解密的算法;
数据解密模块502,用于基于所述量子密钥充注策略中的解密算法,对所述量子密钥加密数据包进行解密,得到量子密钥数据包;
量子密钥充注模块503,用于将所述量子密钥数据包充注到设定的存储单元。
基于上述的实施例二所提供的方法,本申请实施例还提供了该方法对应的一种量子密钥处理装置,如图6所示为本申请实施例二对应的一种量子密钥处理装置的结构示意图,该装置包括:
数据获取模块601,用于获取量子密钥充注策略和原始密钥,并将所述量子密钥充注策略转发到终端设备,其中,所述量子密钥充注策略是在对所述终端设备订阅的量子密钥充注服务认证成功后得到的,所述原始密钥是所述终端设备在进行所述量子密钥充注服务的注册和认证后生成的;
量子密钥处理模块602,用于接收所述终端设备发送的量子密钥充注请求,基于所述量子密钥充注请求中的待选派生算法,对所述原始密钥进行派生,生成派生密钥;
向量子密钥管理端发送携带所述派生密钥的量子密钥充注请求,以使所述量子密钥管理端基于所述量子密钥充注请求中的量子密钥标识、待选加密算法和所述派生密钥,对所述量子密钥标识对应的量子密钥数据包进行打包和加密,得到量子密钥加密数据包,并将所述量子密钥加密数据包转发到所述终端设备。
基于同一发明构思,本申请实施例中还提供了一种电子设备,所述电子设备可以实现前述量子密钥充注装置的功能,参考图7,所述电子设备包括:
至少一个处理器701,以及与至少一个处理器701连接的存储器702,本申请实施例中不限定处理器701与存储器702之间的具体连接介质,图7中是以处理器701和存储器702之间通过总线700连接为例。总线700在图7中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线700可以分为地址总线、数据总线、控制总线等,为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器701也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器702存储有可被至少一个处理器701执行的指令,至少一个处理器701通过执行存储器702存储的指令,可以执行前文论述的量子密钥充注方法。处理器701可以实现图5所示的装置中各个模块的功能。
其中,处理器701是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器702内的指令以及调用存储在存储器702内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器701可包括一个或多个处理单元,处理器701可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器701中。在一些实施例中,处理器701和存储器702可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器701可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的量子密钥充注方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器702作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器702可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器702是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器702还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器701进行设计编程,可以将前述实施例中介绍的量子密钥充注方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图1所示的实施例的量子密钥充注方法的步骤。如何对处理器701进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行前文论述的量子密钥充注方法。
在一些可能的实施方式中,本申请提供的量子密钥充注方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在装置上运行时,程序代码用于使该控制设备执行本说明书上述描述的根据本申请各种示例性实施方式的量子密钥充注方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种量子密钥充注方法,其特征在于,包括:
接收量子密钥充注策略和量子密钥加密数据包,其中,所述量子密钥充注策略用于对量子密钥数据包进行加密或解密;
基于所述量子密钥充注策略中的解密算法,对所述量子密钥加密数据包进行解密,得到量子密钥数据包;
将所述量子密钥数据包充注到设定的存储单元。
2.如权利要求1所述的方法,其特征在于,所述接收量子密钥充注策略之前,还包括:
通过鉴权服务端向服务认证端转发量子密钥充注服务请求,以使所述服务认证端基于所述量子密钥充注服务请求中的终端设备标识,确定终端设备的量子密钥充注服务订阅状态;
接收所述服务认证端基于所述量子密钥充注服务请求返回的订阅状态消息,其中,所述订阅状态消息为向所述终端设备提供量子密钥充注服务对应的量子密钥充注策略的第一反馈消息或拒绝向所述终端设备提供量子密钥充注服务的第二反馈消息。
3.如权利要求1所述的方法,其特征在于,所述接收量子密钥充注策略和量子密钥加密数据包,包括:
从所述量子密钥充注策略的派生算法集合中,选取出优先级最高的一个待选派生算法,并从所述量子密钥充注策略的加密算法集合中,选取出优先级最高的一个待选加密算法;
向鉴权服务端发送携带所述待选派生算法、所述待选加密算法和量子密钥标识的量子密钥充注请求,以使所述鉴权服务端基于所述待选派生算法和原始密钥生成派生密钥;
通过所述鉴权服务端向量子密钥管理端转发携带所述派生密钥、所述待选加密算法和所述量子密钥标识的量子密钥充注请求,以使所述量子密钥管理端生成所述量子密钥加密数据包;
接收所述量子密钥管理端返回的所述量子密钥加密数据包。
4.一种量子密钥处理方法,其特征在于,包括:
获取量子密钥充注策略和原始密钥,并将所述量子密钥充注策略转发到终端设备,其中,所述量子密钥充注策略是在对所述终端设备订阅的量子密钥充注服务认证成功后得到的,所述原始密钥是所述终端设备在进行所述量子密钥充注服务的注册和认证后生成的;
接收所述终端设备发送的量子密钥充注请求,基于所述量子密钥充注请求中的待选派生算法,对所述原始密钥进行派生,生成派生密钥;
向量子密钥管理端发送携带所述派生密钥的量子密钥充注请求,以使所述量子密钥管理端基于所述量子密钥充注请求中的量子密钥标识、待选加密算法和所述派生密钥,对所述量子密钥标识对应的量子密钥数据包进行打包和加密,得到量子密钥加密数据包,并将所述量子密钥加密数据包转发到所述终端设备。
5.如权利要求4所述的方法,其特征在于,所述获取量子密钥充注策略之前,还包括:
接收所述终端设备发送的量子密钥充注服务请求,并将所述量子密钥充注服务请求转发到服务认证端,以使所述服务认证端基于所述量子密钥充注服务请求中的终端设备标识,确定所述终端设备的量子密钥充注服务订阅状态;
接收所述服务认证端基于所述量子密钥充注服务请求返回的订阅状态消息,并将所述订阅状态消息转发到所述终端设备,其中,所述订阅状态消息为向所述终端设备提供量子密钥充注服务对应的量子密钥充注策略的第一反馈消息或拒绝向所述终端设备提供量子密钥充注服务的第二反馈消息。
6.如权利要求4所述的方法,其特征在于,所述基于所述量子密钥充注请求中的待选派生算法,对所述原始密钥进行派生,生成派生密钥,包括:
确定与所述待选派生算法相关联的派生参数,基于所述待选派生算法和所述派生参数对所述原始密钥进行派生,得到所述派生密钥。
7.一种量子密钥充注装置,其特征在于,包括:
数据接收模块,用于接收量子密钥充注策略和量子密钥加密数据包,其中,所述量子密钥充注策略包括用于对所述量子密钥数据包进行加密或解密的算法;
数据解密模块,用于基于所述量子密钥充注策略中的解密算法,对所述量子密钥加密数据包进行解密,得到量子密钥数据包;
量子密钥充注模块,用于将所述量子密钥数据包充注到设定的存储单元。
8.一种量子密钥处理装置,其特征在于,包括:
数据获取模块,用于获取量子密钥充注策略和原始密钥,并将所述量子密钥充注策略转发到终端设备,其中,所述量子密钥充注策略是在对所述终端设备订阅的量子密钥充注服务认证成功后得到的,所述原始密钥是所述终端设备在进行所述量子密钥充注服务的注册和认证后生成的;
量子密钥处理模块,用于接收所述终端设备发送的量子密钥充注请求,基于所述量子密钥充注请求中的待选派生算法,对所述原始密钥进行派生,生成派生密钥;
向量子密钥管理端发送携带所述派生密钥的量子密钥充注请求,以使所述量子密钥管理端基于所述量子密钥充注请求中的量子密钥标识、待选加密算法和所述派生密钥,对所述量子密钥标识对应的量子密钥数据包进行打包和加密,得到量子密钥加密数据包,并将所述量子密钥加密数据包转发到所述终端设备。
9.一种电子设备,其特征在于,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现权利要求1-6中任一项所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一项所述的方法步骤。
CN202310874033.8A 2023-07-17 2023-07-17 一种量子密钥充注方法、装置及电子设备 Pending CN117081732A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310874033.8A CN117081732A (zh) 2023-07-17 2023-07-17 一种量子密钥充注方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310874033.8A CN117081732A (zh) 2023-07-17 2023-07-17 一种量子密钥充注方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN117081732A true CN117081732A (zh) 2023-11-17

Family

ID=88706946

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310874033.8A Pending CN117081732A (zh) 2023-07-17 2023-07-17 一种量子密钥充注方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN117081732A (zh)

Similar Documents

Publication Publication Date Title
CN110463237B (zh) 用于管理服务器和用户设备之间的通信的方法
US11228442B2 (en) Authentication method, authentication apparatus, and authentication system
US20100135491A1 (en) Authentication method
EP3082356A1 (en) Method to check and prove the authenticity of an ephemeral public key
KR20170139093A (ko) 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체
CN101102186B (zh) 通用鉴权框架推送业务实现方法
US20080072296A1 (en) Method for securing sessions between a wireless terminal and equipment in a network
US9608971B2 (en) Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers
CN111901287B (zh) 一种为轻应用提供加密信息的方法、装置和智能设备
CN117081732A (zh) 一种量子密钥充注方法、装置及电子设备
CN115276974A (zh) 一种量子安全设备接入基站的方法和系统
CN114553418A (zh) 业务方法、装置、系统和终端
CN117479154B (zh) 基于统一多域标识认证的办公终端数据处理方法与系统
CN113785547B (zh) 一种Profile数据的安全传输方法和相应装置
KR20100131302A (ko) 보안 다운로드 장치 및 방법
CN116709227A (zh) 加密通话方法、密钥管理平台、设备及介质
CN117914489A (zh) 一种基于密码处理器的云平台密钥配用分发方法及系统
CN117858081A (zh) 通信网络加密方法、系统、电子设备和存储介质
CN116846660A (zh) 一种基于国密算法的报文传输方法及装置
CN116866906A (zh) 一种密钥生成方法及装置
CN113840280A (zh) 通话加密方法、系统、引导服务器、终端和电子设备
CN116318634A (zh) 终端通信方法和系统、本地终端、云终端和存储介质
KR20080026071A (ko) 무선 단말과 네트워크 기기 간의 세션 보안 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination