本發(fā)明涉及量子加密通信,具體涉及一種基于量子密鑰分發(fā)的密鑰遠(yuǎn)程續(xù)充方法及系統(tǒng)。
背景技術(shù):
1、量子密鑰體系因為安全性較高已經(jīng)廣泛應(yīng)用于各個領(lǐng)域,在現(xiàn)有應(yīng)用過程中需要在充注機房線下將量子密鑰通過密鑰充注機器充注到安全密鑰存儲設(shè)備中。但是現(xiàn)在量子密鑰充注過分依賴線下機房安全環(huán)境,在安全密鑰存儲設(shè)備中的密鑰使用完后無法通過安全手段進行續(xù)充,需要更換終端的安全密鑰存儲設(shè)備,在使用量子密鑰時不便捷,這無形中增加了使用量子密鑰加密的難度和使用成本;公布號為cn113536362a的專利申請文獻(xiàn)中提出了一種基于安全芯片載體的量子密鑰管理方法,該方案是pki體系的首次充注,本質(zhì)是利用usb進行充注而非在線(互聯(lián)網(wǎng))充注。
2、
技術(shù)實現(xiàn)思路
1、本發(fā)明所要解決的技術(shù)問題在于如何實現(xiàn)密鑰安全遠(yuǎn)程續(xù)充。
2、本發(fā)明通過以下技術(shù)手段解決上述技術(shù)問題的:
3、第一方面,本發(fā)明提出了一種基于量子密鑰分發(fā)的密鑰遠(yuǎn)程續(xù)充方法,應(yīng)用于設(shè)備終端,所述方法包括:
4、向量子密碼管理服務(wù)系統(tǒng)申請會話密鑰,并利用所述會話密鑰加密簽名公鑰a,所述簽名公鑰為根據(jù)安全芯片的硬件信息生成;
5、將加密后的簽名公鑰發(fā)送至量子密鑰充注系統(tǒng),以使所述量子密鑰充注系統(tǒng)向所述量子密碼管理服務(wù)系統(tǒng)申請所述會話密鑰,并利用所述會話密鑰解密得到所述簽名公鑰;
6、接收所述量子密鑰充注系統(tǒng)發(fā)送的由所述會話密鑰和所述簽名公鑰加密的密鑰文件的密文,所述密鑰文件攜帶有充注密鑰ks;
7、利用所述會話密鑰解密所述密鑰文件的密文,得到所述密鑰文件并寫入安全芯片。
8、進一步地,所述密鑰文件包括加密密鑰數(shù)字信封、采用對稱密鑰k1加密后的充注密鑰ks和采用加密公鑰加密后的對稱密鑰k1;
9、其中,所述加密密鑰數(shù)字信封為采用所述簽名公鑰加密保護加密公私鑰對得到,所述加密公私鑰對和所述對稱密鑰k1由所述量子密鑰充注系統(tǒng)生成。
10、進一步地,在所述向量子密碼管理服務(wù)系統(tǒng)申請會話密鑰之前,所述方法還包括:
11、向量子身份認(rèn)證系統(tǒng)提交認(rèn)證數(shù)據(jù),獲取身份認(rèn)證憑據(jù);
12、相應(yīng)地,基于所述身份認(rèn)證憑據(jù)向所述向量子密碼管理服務(wù)系統(tǒng)申請會話密鑰。
13、進一步地,在所述將加密后的簽名公鑰發(fā)送至量子密鑰充注系統(tǒng)之前,所述方法還包括:
14、獲取所述安全芯片中的密鑰信息;
15、將所述安全芯片中的密鑰信息與所述量子密鑰充注系統(tǒng)進行對比,確定是否需要進行密鑰遠(yuǎn)程充注。
16、進一步地,所述向量子密碼管理服務(wù)系統(tǒng)申請會話密鑰,包括:
17、向所述量子密碼管理服務(wù)系統(tǒng)發(fā)送會話密鑰申請信息;
18、接收所述量子密碼管理服務(wù)系統(tǒng)返回的會話密鑰密文,所述會話密鑰密文為所述量子密碼管理服務(wù)系統(tǒng)采用量子密鑰加密對稱的會話密鑰得到;
19、利用所述安全芯片中原有的量子密鑰解密所述會話密鑰密文,獲取所述會話密鑰。
20、第二方面,本發(fā)明提出了一種基于量子密鑰分發(fā)的密鑰遠(yuǎn)程續(xù)充方法,應(yīng)用于量子密鑰充注系統(tǒng),所述方法包括:
21、接收設(shè)備終端發(fā)送的簽名公鑰密文,所述簽名公鑰密文為設(shè)備終端采用會話密鑰對根據(jù)安全芯片硬件信息生成的簽名公鑰加密得到;
22、向量子密碼管理服務(wù)系統(tǒng)申請所述會話密鑰,并利用所述會話密鑰解密所述簽名公鑰密文,得到所述簽名公鑰;
23、調(diào)用量子隨機數(shù)發(fā)生器生成一組充注密鑰ks,并采用所述會話密鑰和所述簽名公鑰加密包含所述充注密鑰ks的密鑰文件,得到密鑰文件的密鑰發(fā)送至所述設(shè)備終端以由所述設(shè)備終端解密得到所述密鑰文件寫入所述安全芯片。
24、進一步地,所述調(diào)用量子隨機數(shù)發(fā)生器生成一組充注密鑰ks,并采用所述會話密鑰和所述簽名公鑰加密包含所述充注密鑰ks的密鑰文件,包括:
25、使用對稱密鑰k1加密所述充注密鑰ks,得到充注密鑰密文;
26、使用加密公鑰加密對稱密鑰k1,得到對稱密鑰密文;
27、使用所述簽名公鑰加密保護加密公私鑰對,生成數(shù)字信封;
28、基于所述數(shù)字信封、所述充注密鑰密文和所述對稱密鑰密文,生成所述密鑰文件;
29、采用所述會話密鑰加密所述密鑰文件,生成所述密鑰文件的密文。
30、進一步地,在所述使用對稱密鑰k1加密所述充注密鑰ks,得到充注密鑰密文之前,所述方法還包括:
31、根據(jù)所述設(shè)備終端中的中間件終端應(yīng)用程序信息,生成加密公私鑰對和對稱密鑰k1。
32、進一步地,在所述接收設(shè)備終端發(fā)送的簽名公鑰密文之前,所述方法還包括:
33、接收所述設(shè)備終端發(fā)送的安全芯片的密鑰信息;
34、基于所述安全芯片中的密鑰信息,確定是否需對所述安全芯片進行密鑰遠(yuǎn)程充注。
35、進一步地,在所述向量子密碼管理服務(wù)系統(tǒng)申請所述會話密鑰之前,所述方法還包括:
36、向量子身份認(rèn)證系統(tǒng)請求身份校驗,并在身份校驗通過后,向所述量子密碼管理服務(wù)系統(tǒng)申請所述會話密鑰。
37、第三方面,本發(fā)明提出了一種設(shè)備終端,所述設(shè)備終端連接有安全芯片,所述設(shè)備終端運行中間件終端應(yīng)用程序,用于執(zhí)行如上所述的基于量子密鑰分發(fā)的密鑰遠(yuǎn)程續(xù)充方法。
38、第四方面,本發(fā)明提出了一種量子密鑰充注設(shè)備,所述設(shè)備包括:
39、簽名公鑰密文接收模塊,用于接收設(shè)備終端發(fā)送的簽名公鑰密文,所述簽名公鑰密文為設(shè)備終端采用會話密鑰對根據(jù)安全芯片硬件信息生成的簽名公鑰加密得到;
40、會話密鑰申請模塊,用于向量子密碼管理服務(wù)系統(tǒng)申請所述會話密鑰,并利用所述會話密鑰解密所述簽名公鑰密文,得到所述簽名公鑰;
41、密鑰文件生成模塊,用于調(diào)用量子隨機數(shù)發(fā)生器生成一組充注密鑰ks,并采用所述會話密鑰和所述簽名公鑰加密包含所述充注密鑰ks的密鑰文件,得到密鑰文件的密文發(fā)送至所述設(shè)備終端以由所述設(shè)備終端解密得到所述密鑰文件寫入所述安全芯片。
42、第五方面,本發(fā)明提出了一種基于量子密鑰分發(fā)的密鑰遠(yuǎn)程續(xù)充系統(tǒng),所述系統(tǒng)包括量子密鑰充注系統(tǒng)、量子密鑰管理服務(wù)系統(tǒng)和設(shè)備終端,所述設(shè)備終端連接安全芯片,所述量子密鑰管理服務(wù)系統(tǒng)分別與所述量子密鑰充注系統(tǒng)和所述設(shè)備終端連接,所述設(shè)備終端與所述量子密鑰充注系統(tǒng)連接其中:
43、所述設(shè)備終端向所述量子密碼管理服務(wù)系統(tǒng)申請會話密鑰,并利用所述會話密鑰加密簽名公鑰a,所述簽名公鑰為根據(jù)安全芯片的硬件信息生成;
44、將加密后的簽名公鑰發(fā)送至所述量子密鑰充注系統(tǒng),所述量子密鑰充注系統(tǒng)向所述量子密碼管理服務(wù)系統(tǒng)申請所述會話密鑰,并利用所述會話密鑰解密所述簽名公鑰密文,得到所述簽名公鑰;
45、所述量子密鑰充注系統(tǒng)調(diào)用量子隨機數(shù)發(fā)生器生成一組充注密鑰ks,并采用所述會話密鑰和所述簽名公鑰加密包含所述充注密鑰ks的密鑰文件,得到密鑰文件的密文并發(fā)送至所述設(shè)備終端;
46、所述設(shè)備終端利用所述會話密鑰解密所述密鑰文件的密文,得到所述密鑰文件并寫入所述安全芯片。
47、進一步地,所述系統(tǒng)還包括量子身份認(rèn)證系統(tǒng),所述量子身份認(rèn)證系統(tǒng)與所述終端設(shè)備、所述量子密鑰充注系統(tǒng)以及所述量子密碼管理服務(wù)系統(tǒng)連接,所述身份認(rèn)證系統(tǒng)用于接收所述終端設(shè)備發(fā)送的身份認(rèn)證請求,或接收所述量子密鑰充注系統(tǒng)發(fā)送的身份校驗請求。
48、本發(fā)明的優(yōu)點在于:
49、(1)本發(fā)明實現(xiàn)了在線(互聯(lián)網(wǎng))密鑰充注,在整個密鑰遠(yuǎn)程充注的過程,密鑰的全生命周期都是以密鑰密文傳輸,包含密鑰網(wǎng)絡(luò)傳輸過程、密鑰下發(fā)至終端設(shè)備過程和密鑰充注到安全芯片過程等都是加密存儲的,采用端到端的消息加密方式保護充注密鑰下發(fā)且是一次一密的對稱加密方式實現(xiàn)基于對稱加密的續(xù)充,保護遠(yuǎn)程充注量子密鑰的安全性。
50、(2)采用量子身份認(rèn)證和量子密鑰加密,能有效的防止中間人攻擊、重放攻擊,在保證用戶便捷性的同時有較強的網(wǎng)絡(luò)安全性。
51、(3)本發(fā)明對接入應(yīng)用的改動較少,對現(xiàn)有充注邏輯侵入性較低延展性更好,且沒有復(fù)雜的邏輯,開發(fā)易于實現(xiàn)。
52、本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出,部分將從下面的描述中變得明顯,或通過本發(fā)明的實踐了解到。