CN205945769U - 一种量子密钥芯片 - Google Patents

Abstract

本实用新型实施例公开了一种量子密钥芯片，包括：根密钥存储器、硬件加解密模块、导入模块和量子密钥存储模块；根密钥存储器和硬件加解密模块通信连接；根密钥存储器与导入模块通过熔断电路连接；量子密钥存储模块和硬件加解密模块通信连接；导入模块与硬件加解密模块和量子密钥存储模块通信连接；根密钥存储器、硬件加解密模块、导入模块和量子密钥存储模块为封装在一个芯片内部。本实用新型芯片使用的是量子密钥，能支持一次一密，且量子密钥采用根密钥加密存储在大容量存储器中，根密钥导入后，通过熔断电路物理性断开导入模块与根密钥存储器的连接关系，使得根密钥导入芯片后只能读不能写，有效地保证了量子密钥在芯片内部的安全性。

Description

一种量子密钥芯片

技术领域

本实用新型涉及量子数据处理技术领域，尤其涉及一种量子密钥芯片。

背景技术

量子通信技术是近几十年发展起来的新型技术，是量子论与信息论相互结合后的产物。在应用领域，一般使用量子网关通过量子信道在两个用户端生成对称的量子密钥并用于加密两端的通信数据，保证数据通信的安全。但因为现有量子网关产品的体积较大，在某些特定场合，如移动办公，并不适用。量子密码术与传统的密码系统不同，它依赖于物理学作为安全模式的关键方面而不是数学。实质上，量子密码术是基于单个光子的应用和它们固有的量子属性开发的不可破解的密码系统，因为在不干扰系统的情况下无法测定该系统的量子状态。理论上其他微粒也可以用，只是光子具有所有需要的品质，它们的行为相对较好理解，同时又是最有前途的高带宽通讯介质光纤电缆的信息载体。

现有的加密芯片，如银行U盾，一般基于非对称密钥体系，其内置了银行的数字证书，通过非对称密钥算法保障用户信息的安全性，其公钥和私钥是固定不变的，且非对称密钥算法的安全性依赖于数学的复杂性，但随着目前技术的发展，如果固定不变的密钥泄露了或者非对称密钥算法被破解了，则非对称密钥技术导致了不安全的技术问题。

实用新型内容

本实用新型实施例提供了一种量子密钥芯片，解决了现有的加密芯片，一般基于非对称密钥体系，其内置了银行的数字证书，通过非对称密钥算法保障用户信息的安全性，其公钥和私钥是固定不变的，且非对称密钥算法的安全性依赖于数学的复杂性，但随着目前技术的发展，如果固定不变的密钥泄露了或者非对称密钥算法被破解了，则非对称密钥技术导致了不安全的技术问题。

本实用新型实施例提供的一种量子密钥芯片，包括：

根密钥存储器、硬件加解密模块、导入模块和量子密钥存储模块；

所述根密钥存储器和所述硬件加解密模块通信连接；

所述根密钥存储器与所述导入模块通过熔断电路连接；

所述量子密钥存储模块和所述硬件加解密模块通信连接；

所述导入模块与所述硬件加解密模块和所述量子密钥存储模块通信连接；

所述根密钥存储器、所述硬件加解密模块、所述导入模块和所述量子密钥存储模块为封装在一个芯片内部；

其中，所述根密钥存储器通过所述导入模块导入根密钥之后，通过所述熔断电路物理性断开所述导入模块与所述根密钥存储器的连接关系。

优选地，所述根密钥存储器内部的信号线之间连接有熔丝，所述熔断电路的接地端与电源端分别连接在所述熔丝两端点处。

优选地，所述熔断电路包括：

输入端、所述接地端、所述电源端、两个三极管、两个电阻；

所述接地端、所述电源端分别与一所述三极管连接，每个所述三极管均连接有一所述电阻，两个所述电阻未与所述三极管连接的连接端与所述输入端连接。

优选地，所述量子密钥存储模块具体包括：

量子密钥存储器和量子密钥缓冲子模块，所述量子密钥存储器和所述量子密钥缓冲子模块通信连接，所述量子密钥存储器、所述量子密钥缓冲子模块与所述硬件加解密模块通信连接；

所述量子密钥存储器，用于存储当前导入的至少一个量子密钥；

所述量子密钥缓冲子模块，用于通过所述量子密钥存储器获取到至少一个所述量子密钥。

优选地，所述导入模块由至少一个扩展接口组成。

优选地，所述扩展接口包括USB接口、SPI接口、SDIO接口、IO接口、LCD接口、I2C接口。

优选地，所述量子密钥芯片还包括：

参数配置存储器，用于存储用户配置信息和所述量子密钥当前读指针，与所述量子密钥存储模块、所述硬件加解密模块和所述导入模块通信连接。

优选地，所述量子密钥芯片还包括：

随机数生成器，与所述导入模块通信连接，用于生成第一随机数，使得芯片根据所述第一随机数与所述硬件加解密模块生成的第二随机数进行比对确认用户合法性。

从以上技术方案可以看出，本实用新型实施例具有以下优点：

本实用新型实施例提供了一种量子密钥芯片，包括：根密钥存储器、硬件加解密模块、导入模块和量子密钥存储模块；根密钥存储器和硬件加解密模块通信连接；根密钥存储器与导入模块通过熔断电路连接；量子密钥存储模块和硬件加解密模块通信连接；导入模块与硬件加解密模块和量子密钥存储模块通信连接；根密钥存储器、硬件加解密模块、导入模块和量子密钥存储模块为封装在一个芯片内部；其中，根密钥存储器通过导入模块导入根密钥之后，通过熔断电路物理性断开导入模块与根密钥存储器的连接关系。本实施例中，量子密钥采用根密钥加密存储在大容量存储器中，根密钥导入后，通过熔断电路物理性断开导入模块与根密钥存储器的连接关系，使得根密钥导入芯片后只能读不能写，有效地保证了量子密钥在芯片内部的安全性。本实用新型芯片使用的是量子密钥，数据的加解密只能在芯片内部完成，量子密钥不导出芯片，不存在密钥泄露的风险，而且芯片能支持一次一密，量子密钥使用后即删除，不重复使用，可提供更高等级的安全应用，解决了现有的加密芯片，一般基于非对称密钥体系，其内置了银行的数字证书，通过非对称密钥算法保障用户信息的安全性，其公钥和私钥是固定不变的，且非对称密钥算法的安全性依赖于数学的复杂性，但随着目前技术的发展，如果固定不变的密钥泄露了或者非对称密钥算法被破解了，则非对称密钥技术导致了不安全的技术问题。

进一步地，现有的量子网关由于其中搭载了很多光学及电子学器件，体积一般较大，对普通用户来说，携带和使用的“门槛”都相对较高；而本实用新型提供的量子密钥芯片，一方面体积小，另一方面其导入模块由至少一个扩展接口组成，且扩展接口包括USB接口、SPI接口、SDIO接口、IO接口、LCD接口、I2C接口，其产品形态具备多样性，使得用户在使用和携带时，更加方便，大大提高了用户体验，实现了量子密钥在用户侧的延伸。

此外，芯片中可设计有随机数生成器，配合参数配置存储器和硬件加解密模块，能够实现用户身份认证功能，进一步提高了芯片在使用过程中的安全性。

附图说明

为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本实用新型实施例中提供的一种量子密钥芯片的一个实施例的结构示意图；

图2为熔断电路示意图；

图3为图1的应用例示意图；

图4为图1与客户端、系统的交互连接示意图。

具体实施方式

本实用新型实施例提供了一种量子密钥芯片，解决了现有的加密芯片，一般基于非对称密钥体系，其内置了银行的数字证书，通过非对称密钥算法保障用户信息的安全性，其公钥和私钥是固定不变的，且非对称密钥算法的安全性依赖于数学的复杂性，但随着目前技术的发展，如果固定不变的密钥泄露了或者非对称密钥算法被破解了，则非对称密钥技术导致了不安全的技术问题。

为使得本实用新型的实用新型目的、特征、优点能够更加的明显和易懂，下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本实用新型一部分实施例，而非全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本实用新型保护的范围。

请参阅图1和图2，本实用新型实施例中提供的一种量子密钥芯片的一个实施例包括：

根密钥存储器1、硬件加解密模块2、导入模块3和量子密钥存储模块4；

根密钥存储器1和硬件加解密模块2通信连接；

根密钥存储器1与导入模块3通过熔断电路(图1中未示出)连接；

量子密钥存储模块4和硬件加解密模块2通信连接；

导入模块3与硬件加解密模块2和量子密钥存储模块4通信连接；

根密钥存储器1、硬件加解密模块2、导入模块3和量子密钥存储模块4为封装在一个芯片内部；

其中，所述根密钥存储器1通过所述导入模块3导入根密钥之后，通过所述熔断电路物理性断开所述导入模块3与所述根密钥存储器1的连接关系。

需要说明的是，根密钥存储器1，用于存储芯片出厂配置预存的根密钥，导入模块3将导入的当前明文量子密钥发送至硬件加解密模块2，使得硬件加解密模块2对明文量子密钥通过根密钥进行加密处理，再将加密处理后的量子密钥发送至量子密钥存储模块4进行存储。硬件加解密模块2还可根据根密钥对量子密钥存储模块4输出的密文量子密钥进行解密，再通过解密后的量子密钥对数据进行对应的加密或解密处理。

如图2所示，进一步地，所述根密钥存储器1内部的信号线之间连接有熔丝11，所述熔断电路的接地端81与电源端82分别连接在所述熔丝11两端点处。

进一步地，所述熔断电路包括：

输入端83，所述接地端81，所述电源端82，两个三极管84、85，两个电阻86、87；

所述接地端81、所述电源端82分别与一所述三极管84、85连接，每个所述三极管84、85均连接有一所述电阻86、87，两个所述电阻86、87未与所述三极管84、85连接的连接端与所述输入端83连接。

图2中可以理解的是当输入控制为低电平时，三极管导通，大电流通过熔丝，熔丝熔断，信号线从物理上断开。

硬件加解密模块2支持AES、DES、3DES、SM2、SM4等加密算法。

优选地，量子密钥芯片还包括量子密钥管控核心模块5，该量子密钥管控核心模块5实际为量子密钥芯片的运算处理单元，芯片配置有运算处理单元为本领域技术人员公知技术，此处不再赘述；

量子密钥管控核心模块5与根密钥存储器1、硬件加解密模块2、导入模块3和量子密钥存储模块4通信连接。

优选地，量子密钥存储模块4具体包括：

量子密钥存储器41和量子密钥缓冲子模块42，量子密钥存储器41和量子密钥缓冲子模块42通信连接，量子密钥存储器41、量子密钥缓冲子模块42与硬件加解密模块2通信连接；

量子密钥存储器41，用于存储当前导入的至少一个量子密钥；

量子密钥缓冲子模块42，用于通过量子密钥存储器41获取到至少一个量子密钥。

当量子密钥存储器41输出至少一个量子密钥给量子密钥缓冲子模块42的同时，将所存储的所述输出的至少一个量子密钥进行删除处理

优选地，导入模块3由至少一个扩展接口组成。

优选地，扩展接口包括USB接口31、SPI接口32、SDIO接口33、IO接口34、LCD接口35、I2C接口36，其中USB接口31：通用串行总线接口，SPI接口32：串行外设接口，SDIO接口33：安全数字输入输出卡接口，IO接口34：支持扩展外部按键输入，LCD接口35：支持扩展外部液晶交互,I2C接口36：两线式串行总线。

需要说明的是，USB接口31，芯片可以制作成USB-KEY设备，作为类似于银行U盾的替代，更好地保护用户支付安全；

SDIO接口33，芯片可制作成SDKEY设备，作为密钥或重要信息的存储设备，实现数据和文件保密存储的功能；

LCD接口35，芯片支持外接液晶显示屏，提示用户当前芯片内部的执行动作与工作状态，配合IO接口34提供的按键功能(可要求用户在进行重要操作时按提示进行按键操作，例如，当用户进行身份认证时，除了用户在PC端输入用户名和密码，同时要求用户进行按键，这样即便黑客入侵，也无法进行这种物理上的操作)，更好地提升用户体验和使用安全；

I2C接口36、SPI接口32，硬件连接的内部较通用的总线接口，提高芯片与其他外围设备连接的能力。

优选地，量子密钥芯片还包括：

参数配置存储器6，用于存储用户配置信息和量子密钥当前读指针，与量子密钥存储模块4、硬件加解密模块2和导入模块3通信连接。

优选地，量子密钥芯片还包括：

随机数生成器7，与导入模块3通信连接，用于生成第一随机数，使得芯片根据第一随机数与硬件加解密模块生成的第二随机数进行比对确认用户合法性。

请参阅图3，量子密钥芯片主要完成以下功能：

A，用户身份合法性认证：PC设备上的客户端应用通过扩展接口，获取量子密钥芯片的随机数Random(随机数生成器7生成的第一随机数)，同时提示用户输入PIN码，使用用户PIN码加密随机数Random，并将加密后的随机数{Random}PIN(用户身份认证信息)发回给量子密钥芯片进行认证，量子密钥芯片将接收到的随机数密文和之前用户设定的PIN码(存放于参数配置存储器6)一起通过硬件加解密模块2解密得出第二随机数，并通过比对是否与芯片本身的随机数生成器7生成的第一随机数一致来判断用户的合法性；

B，数据加解密：量子密钥芯片使用量子密钥进行数据的加解密，量子密钥本身使用根密钥加密存储，进行数据加解密时，根密钥存储器1和量子密钥缓冲子模块42分别向硬件加解密模块2输出根密钥以及量子密钥，由硬件加解密模块2完成数据的加密或解密操作；

C，量子密钥导入：量子密钥芯片通过导入模块3的扩展接口导入量子密钥，量子密钥可在导入前使用根密钥加密也可在导入后由芯片完成加密；

D，参数配置管理：用户配置信息，如PIN码，存储在参数配置存储器6中，同时量子密钥芯片当前的信息，如量子密钥当前读指针，也存储在其中；

E，根密钥烧录：根密钥通过扩展接口导入到根密钥存储器1中，此功能仅在出厂配置的过程中开放，发布给用户后，该功能封闭(图中以虚线表示)；

F，密钥缓冲：量子密钥缓冲子模块42每次从量子密钥存储器41中获取至少一个量子密钥，通过高速的SRAM实现高速的密钥使用，提升加解密速度，同时量子密钥存储器41删除已输出的量子密钥，本次使用的量子密钥仅在缓冲中(掉电即消失)，提升数据机密性。密钥使用方式可支持最高安全等级的“一次一密”加密方式。

本实用新型使用的量子密钥芯片采用半导体材料，最终是一个定制化的芯片。芯片本身包括其内部各硬件部件，都可使用FPGA、ARM、x86等可编程芯片或平台实现。实际使用中，量子密钥芯片支持搭配不同的外部电路形成各类的产品，如：USB-KEY、SD卡等。

下面以一具体应用场景对根密钥的导入进行描述：

(1)量子密钥芯片在芯片厂生产过程中，会预置一个出厂密钥，出厂密钥暂时存储在根密钥存储器1中；

(2)当量子密钥芯片去到供应商处，供应商会使用量子设备完成根密钥对出厂密钥的替代，此传输过程由出厂密钥进行加密；

(3)量子密钥在导入芯片前，使用根密钥进行加密，然后再存储到量子密钥存储器41中；量子密钥也可明文导入，由芯片自行使用根密钥加密；

(4)提供给用户时，设定相关用户配置信息，如，PIN码等，并存储在参数配置存储器6中，此部分用于量子密钥芯片确认使用者身份是否合法。

如图4所示，芯片与客户端及系统进行交互的过程如下：

(1)用户使用前，需输入PIN码进行身份合法性校验，芯片从随机数生成器获取一串随机数作为认证信息，将随机数发送给客户端程序，客户端程序使用用户输入的PIN码加密该随机数，并将加密后得到的随机数密文返回给芯片，芯片从参数配置存储器中获取PIN码，使用硬件加解密模块解密随机数密文得出随机数，并比对收发的随机数是否一致，如一致，则用户合法；

(2)用户身份合法性得到确认后，客户端程序可以从芯片获取当前的量子密钥读指针，并将该量子密钥读指针传递给认证管理平台；

(3)认证管理平台得到量子密钥读指针后到与芯片共享有量子密钥的量子网关中获取到对应的量子密钥；

(4)认证管理平台最终生成两份密文，一份使用与云服务间共享的密钥加密，另一份使用所述对应的量子密钥加密，它们都包含了实际通信使用的会话密钥，通过网络分别传递给了云服务和客户端；

(5)客户端(通过芯片)和云服务最终分别解密得出双方的会话密钥，并以此作为双方后续加解密的密钥。

本实用新型实施例提供了一种量子密钥芯片，包括：根密钥存储器、硬件加解密模块、导入模块和量子密钥存储模块；根密钥存储器和硬件加解密模块通信连接；根密钥存储器与导入模块通过熔断电路连接；量子密钥存储模块和硬件加解密模块通信连接；导入模块与硬件加解密模块和量子密钥存储模块通信连接；根密钥存储器、硬件加解密模块、导入模块和量子密钥存储模块为封装在一个芯片内部；其中，根密钥存储器通过导入模块导入根密钥之后，通过熔断电路物理性断开导入模块与根密钥存储器的连接关系。本实施例中，量子密钥采用根密钥加密存储在大容量存储器中，根密钥导入后，通过熔断电路物理性断开导入模块与根密钥存储器的连接关系，使得根密钥导入芯片后只能读不能写，有效地保证了量子密钥在芯片内部的安全性。本实用新型芯片使用的是量子密钥，数据的加解密只能在芯片内部完成，量子密钥不导出芯片，不存在密钥泄露的风险，而且芯片能支持一次一密，量子密钥使用后即删除，不重复使用，可提供更高等级的安全应用，解决了现有的加密芯片，一般基于非对称密钥体系，其内置了银行的数字证书，通过非对称密钥算法保障用户信息的安全性，其公钥和私钥是固定不变的，非对称密钥算法的安全性依赖于数学的复杂性，但随着目前技术的发展，如果固定不变的密钥泄露了或者非对称密钥算法被破解了，则非对称密钥技术导致了不安全的技术问题。

进一步地，现有的量子网关由于其中搭载了很多光学及电子学器件，体积一般较大，对普通用户来说，携带和使用的“门槛”都相对较高；而本发明提供的量子密钥芯片，一方面体积小，另一方面其导入模块3由至少一个扩展接口组成，且扩展接口包括USB接口31、SPI接口32、SDIO接口33、IO接口34、LCD接口35、I2C接口36，其产品形态具备多样性，使得用户在使用和携带时，更加方便，大大提高了用户体验，实现了量子密钥在用户侧的延伸。

此外，芯片中可设计有随机数生成器，配合参数配置存储器和硬件加解密模块，能够实现用户身份认证功能，进一步提高了芯片在使用过程中的安全性。

综上所述，以上实施例仅用以说明本实用新型的技术方案，而非对其限制；尽管参照前述实施例对本实用新型进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本实用新型各实施例技术方案的精神和范围。

Claims (8)

1.一种量子密钥芯片，其特征在于，包括：

根密钥存储器、硬件加解密模块、导入模块和量子密钥存储模块；

所述根密钥存储器和所述硬件加解密模块通信连接；

所述根密钥存储器与所述导入模块通过熔断电路连接；

所述量子密钥存储模块和所述硬件加解密模块通信连接；

所述导入模块与所述硬件加解密模块和所述量子密钥存储模块通信连接；

所述根密钥存储器、所述硬件加解密模块、所述导入模块和所述量子密钥存储模块为封装在一个芯片内部；

其中，所述根密钥存储器通过所述导入模块导入根密钥之后，通过所述熔断电路物理性断开所述导入模块与所述根密钥存储器的连接关系。

2.根据权利要求1所述的量子密钥芯片，其特征在于，所述根密钥存储器内部的信号线之间连接有熔丝，所述熔断电路的接地端与电源端分别连接在所述熔丝两端点处。

3.根据权利要求2所述的量子密钥芯片，其特征在于，所述熔断电路包括：

输入端、所述接地端、所述电源端、两个三极管、两个电阻；

所述接地端、所述电源端分别与一所述三极管连接，每个所述三极管均连接有一所述电阻，两个所述电阻未与所述三极管连接的连接端与所述输入端连接。

4.根据权利要求1所述的量子密钥芯片，其特征在于，所述量子密钥存储模块具体包括：

量子密钥存储器和量子密钥缓冲子模块，所述量子密钥存储器和所述量子密钥缓冲子模块通信连接，所述量子密钥存储器、所述量子密钥缓冲子模块与所述硬件加解密模块通信连接；

所述量子密钥存储器，用于存储当前导入的至少一个量子密钥；

所述量子密钥缓冲子模块，用于通过所述量子密钥存储器获取到至少一个所述量子密钥。

5.根据权利要求1所述的量子密钥芯片，其特征在于，所述导入模块由至少一个扩展接口组成。

6.根据权利要求5所述的量子密钥芯片，其特征在于，所述扩展接口包括USB接口、SPI接口、SDIO接口、IO接口、LCD接口、I2C接口。

7.根据权利要求1至6中任意一项所述的量子密钥芯片，其特征在于，所述量子密钥芯片还包括：

参数配置存储器，用于存储用户配置信息和所述量子密钥当前读指针，与所述量子密钥存储模块、所述硬件加解密模块和所述导入模块通信连接。

8.根据权利要求7所述的量子密钥芯片，其特征在于，所述量子密钥芯片还包括：

随机数生成器，与所述导入模块通信连接，用于生成第一随机数，使得芯片根据所述第一随机数与所述硬件加解密模块生成的第二随机数进行比对确认用户合法性。