CN113965319A - 一种基于量子密钥分配***的密钥管理***和方法 - Google Patents

一种基于量子密钥分配***的密钥管理***和方法 Download PDF

Info

Publication number
CN113965319A
CN113965319A CN202111103133.8A CN202111103133A CN113965319A CN 113965319 A CN113965319 A CN 113965319A CN 202111103133 A CN202111103133 A CN 202111103133A CN 113965319 A CN113965319 A CN 113965319A
Authority
CN
China
Prior art keywords
key
quantum
information
supporter
party
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202111103133.8A
Other languages
English (en)
Inventor
廖正赟
刘熙胖
孙晓鹏
李亚运
武宗品
刘长河
彭金辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN202111103133.8A priority Critical patent/CN113965319A/zh
Publication of CN113965319A publication Critical patent/CN113965319A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出了一种基于量子密钥分配***的密钥管理***和方法,所述***包括:管理方A和支持方B,所述管理方A至少包括量子密钥分配设备和密钥管理设备,所述支持方B至少包括量子密钥分配设备,且管理方A与支持方B之间能够通过量子密钥分配设备进行量子通信;所述量子密钥分配设备,用于实现通信双方量子密钥的协同,其中所述量子密钥包括主密钥、密钥加密密钥以及会话种子密钥;所述密钥管理设备,用于将上述量子密钥分配设备协同得到的主密钥、密钥加密密钥以及会话种子密钥通过三层密钥保护体系进行分层分散存储保护。本发明的密钥管理***能够有效提升量子密钥存储的安全性。

Description

一种基于量子密钥分配***的密钥管理***和方法
技术领域
本发明涉及量子通信技术领域,尤其涉及一种基于量子密钥分配***的密钥管理***和方法。
背景技术
随着量子计算机的研制以及量子算法的提出,基于计算复杂性假设的经典密码***的安全性受到了严峻挑战。为了应对量子计算机和量子算法带给经典密码体制的潜在威胁,人们开始研究能够对抗量子计算攻击的新型密码算法,量子密码体制就是在这种背景下应运而生的。量子密码是经典密码理论和量子力学基本原理相结合而产生的新型密码体制。与经典密码***不同,量子密码***以量子态作为信息载体,依据物理规律而设计,其安全性由量子力学基本特性所保证,与攻击者计算能力的大小无关。
虽然量子密钥体系被公认为密钥分发过程无条件安全,却忽略了密钥分发后量子密钥存储的安全性,一般为明文存储或者使用预置的密钥加密所有量子密钥,加密强度不够,存在安全隐患。
发明内容
基于上述,有必要提供一种基于量子密钥分配***的密钥管理***和方法,通过对量子密钥进行分级存储,提升了量子密钥存储的安全性。
本发明提出一种基于量子密钥分配***的密钥管理***,所述***包括:管理方A和支持方B,所述管理方A至少包括量子密钥分配设备和密钥管理设备,所述支持方B至少包括量子密钥分配设备,且管理方A与支持方B之间能够通过量子密钥分配设备进行量子通信;
所述量子密钥分配设备,用于实现通信双方量子密钥的协同,其中所述量子密钥包括主密钥、密钥加密密钥以及会话种子密钥;
所述密钥管理设备,用于将上述量子密钥分配设备协同得到的主密钥、密钥加密密钥以及会话种子密钥通过三层密钥保护体系进行分层分散存储保护。
本发明第二方面还提出一种基于量子密钥分配***的密钥管理方法,应用于上述的密钥管理***,所述方法包括:
安全存储阶段:
管理方A获取主密钥和密钥加密密钥,以主密钥为密钥利用SM4密码算法对密钥加密密钥进行加密,得到所述密钥加密密钥的密文并进行存储保护后,管理方A删除获取到的主密钥,存储用于向支持方B获取主密钥的钥匙;
管理方A获取会话种子密钥,以密钥加密密钥为密钥利用SM4密码算法对会话种子密钥进行加密,得到所述会话种子密钥的密文并存储保护后,管理方A删除获取到的密钥加密密钥;
安全会话阶段:
由管理方A基于主密钥的钥匙向所述支持方B请求获取主密钥,在获取到主密钥后,管理方A利用SM4密码算法,以主密钥为解密密钥,解密所述密钥加密密钥的密文可获得密钥加密密钥;在获得密钥加密密钥后,管理方A利用SM4密码算法,以密钥加密密钥为解密密钥,解密所述会话种子密钥的密文以获得会话种子密钥。
本发明的三层密钥保护体系通过高层密钥管理底层密钥的方式进行管理,下面各层密钥在其上层密钥的保护下按照***的协议不断变化,使密钥管理***形成一个动态的***,有效提升量子密钥存储的安全性。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出了本发明的基于量子密钥分配***的密钥管理***的框图;
图2示出了本发明的基于量子密钥分配***的密钥管理方法的流程图;
图3示出了本发明的管理方A基于主密钥的钥匙向所述支持方B请求获取主密钥的流程图;
图4示出了本发明的通过量子密钥分配设备实时协同密钥信息的流程图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
实施例1
如图1所示,本发明提出一种基于量子密钥分配***的密钥管理***,所述***包括:管理方A和支持方B,所述管理方A至少包括量子密钥分配设备和密钥管理设备,所述支持方B至少包括量子密钥分配设备,且管理方A与支持方B之间能够通过量子密钥分配设备进行量子通信;
所述量子密钥分配设备,用于实现通信双方量子密钥的协同,其中所述量子密钥包括主密钥、密钥加密密钥以及会话种子密钥;
所述密钥管理设备,用于将上述量子密钥分配设备协同得到的主密钥、密钥加密密钥以及会话种子密钥通过三层密钥保护体系进行分层分散存储保护。
具体的,量子密钥分配设备实现骨干节点间的点到点密钥(信息)协同,即通过BB84或B92协议获得管理方A和支持方B(安全保密设备)之间的一致密钥(信息),并保证实时性和可满足性;也就是说,主密钥、密钥加密密钥以及会话种子密钥可以实现即用即产生,用多少产生多少的效果。
进一步的,所述密钥管理设备,用于利用三层密钥保护体系通过高层密钥管理底层密钥的方式进行管理,下面各层密钥在其上层密钥的保护下按照***的协议不断变化,使密钥***形成一个动态的***,以保证安全性。
其中,所述三层密钥保护体系具体表征为:
所述密钥管理设备存储的是用于向支持方B获取主密钥的钥匙,并不直接存储所述主密钥;以主密钥为密钥利用SM4密码算法对密钥加密密钥进行加密存储保护,以密钥加密密钥为密钥利用SM4密码算法对会话种子密钥进行加密存储保护。
需要说明的是,为了保证安全性,管理方A的主密钥并不直接存储,主密钥的钥匙与主密钥对应;因此,管理方A可以通过主密钥的钥匙向支持方请求获取主密钥。
进一步的,所述密钥加密密钥按照预设的周期进行更新,当密钥加密密钥需要更新时,通过量子密钥分配设备实时协同密钥信息,并将协同的密钥信息作为新的密钥加密密钥。
可以理解,在进入每个密钥加密密钥更新周期后,开始计时;到达预设计时时长后,由所述管理方A和支持方B通过量子密钥分配设备实时协同密钥信息,并将协同密钥信息作为更新后的密钥加密密钥;具体过程为:
管理方A发送随机的量子比特串给支持方B,支持方B随机选择测量基测量接收到的量子比特串;
支持方B将使用的测量基发送给管理方A,管理方A将接收的测量基与使用的测量基进行比较,并通过信息告知支持方B哪些位置的测量基是正确的;
支持方B根据管理方A的消息剔除错误的量子比特,并将选择少部分正确的测量结果告知管理方A;
管理方A确认支持方B测量结果的正确性;若正确,则发送确认信息给支持方B,同时剔除上述少部分的量子比特,将剩下的二进制串作为协同密钥信息;
支持方B收到确认信息,同样剔除上述少部分的量子比特,并将剩下的二进制串作为协同密钥信息。
进一步的,当管理方A需要获取主密钥时,管理方A和支持方B预先协同512比特的信息M,管理方A安全存储信息M的第1、3、5、…、509、511比特,并作为获取主密钥的钥匙,支持方B安全存储512比特的信息M;
管理方A和支持方B进行通信时,双方首先进行安全互认证,即管理方A对支持方B进行认证,以确定支持方B为合法的通信方;支持方B对管理方A进行认证,以确定管理方A为合法的通信方。待互认证通过后,管理方A基于主密钥的钥匙在支持方B的支持下通过量子密钥分配设备获取主密钥。
进一步的,基于量子密钥分配设备获取主密钥具体实现原理为:
支持方B,还用于在接收到管理方A获取主密钥的请求信息时,支持方B利用512比特的信息M,将信息M作为量子密钥分配设备的量子态调制选基和编制信号的随机数;
具体的,将信息M的第1、3、5、…、509、511比特作为调制选基的随机数以进行调制基选取,将信息M的第2、4、6、…、510、512比特做编制信号,由选好的调制基将相应的编制信号调制成量子态,并将调制好的量子态通过量子密钥分配设备发送给支持方A;
管理方A,还用于在接收到支持方B发送的量子态后,将本地存储的信息M的第1、3、5、…、509、511比特作为测量选基的随机数以进行测量基选取,并用选好的测量基对收到的量子态进行测量,将测量结果作为管理方A的主密钥。
可以理解,信息M中的第2、4、6、…、510、512比特作为编制信号,也作为主密钥,管理方A以第2、4、6、…、510、512比特对密钥加密密钥进行加密后,会删除第2、4、6、…、510、512比特,存储第1、3、5、…、509、511比特,作为主密钥的钥匙;
支持方B按照预设规则进行调制基选取,管理方A按照相同的规则进行测量基选取,在调制选基与测量选基相同的基础上,支持方B选取的调制基与管理方A选取的测量基相同;因此,管理方A用选好的测量基对收到的量子态进行测量,得到的测量结果为第2、4、6、…、510、512比特。
进一步的,管理方A,还用于在获取到主密钥后,利用SM4密码算法,以主密钥为解密密钥,解密所述密钥加密密钥的密文可获得密钥加密密钥;
管理方A,还用于在获得密钥加密密钥后,利用SM4密码算法,以密钥加密密钥为解密密钥,解密所述会话种子密钥的密文可获得会话种子密钥;
会话密钥一次一变,管理方A和支持方B通过量子密钥分配设备实时协同密钥信息,并将协同的密钥信息与解密得到的会话种子密钥进行逐位模二加的方式生成会话密钥,并基于会话密钥进行数据加密以支撑管理方A与支持方B之间安全会话;本次会话结束时,管理方A与支持方B通过量子密钥分配设备实时协同密钥信息,将协同的密钥信息作为新的会话种子密钥,并采用所述密钥加密密钥进行加密存储。
需要说明的是,通过三层密钥保护体系对主密钥、密钥加密密钥以及会话种子密钥进行分层分散存储保护时,若密钥加密密钥到了更换周期,则管理方A和支持方B通过量子密钥分配***实时协同密钥信息,并将协同的密钥信息作为新的密钥加密密钥。
可以理解,管理方A以密钥加密密钥为密钥利用SM4密码算法对会话种子密钥进行加密存储保护;以主密钥为密钥利用SM4密码算法对密钥加密密钥进行加密存储保护,在***中删除密钥加密密钥,仅存储所述密钥加密密钥的密文;当上述密钥加密密钥和会话种子密钥加密存储过程完成后,在***中删除获取的主密钥,只安全存储信息M的第1、3、5、…、509、511比特,以作为用于向支持方B请求获取主密钥的钥匙,进一步增强了密钥管理***存储多层密钥的安全性。
实施例2
如图2所示,本发明还提出一种基于量子密钥分配***的密钥管理方法,应用于实施例1中的密钥管理***,所述方法包括:
安全存储阶段:
管理方A获取主密钥和密钥加密密钥,以主密钥为密钥利用SM4密码算法对密钥加密密钥进行加密,得到所述密钥加密密钥的密文并进行存储保护后,管理方A删除获取到的主密钥,存储用于向支持方B获取主密钥的钥匙;
管理方A获取会话种子密钥,以密钥加密密钥为密钥利用SM4密码算法对会话种子密钥进行加密,得到所述会话种子密钥的密文并存储保护后,管理方A删除获取到的密钥加密密钥;
安全会话阶段:
由管理方A基于主密钥的钥匙向所述支持方B请求获取主密钥,在获取到主密钥后,管理方A利用SM4密码算法,以主密钥为解密密钥,解密所述密钥加密密钥的密文可获得密钥加密密钥;在获得密钥加密密钥后,管理方A利用SM4密码算法,以密钥加密密钥为解密密钥,解密所述会话种子密钥的密文以获得会话种子密钥。
需要说明的是,在安全存储阶段,管理方A获取主密钥MKi,以主密钥MKi为密钥利用SM4密码算法对密钥加密密钥ACj进行加密存储保护,得到所述密钥加密密钥ACj的密文之后,在***中删除获取的主密钥MKi,存储用于向支持方B获取主密钥MKi的钥匙;以密钥加密密钥ACj为密钥利用SM4密码算法对会话种子密钥SKk进行加密,得到所述会话种子密钥SKk的密文之后,在***中删除密钥加密密钥ACj,仅存储所述密钥加密密钥ACj的密文。
在一种具体实施方式中,管理方A先得到主密钥MK1、密钥加密密钥AC1和会话种子密钥SK1,以主密钥MK1为密钥利用SM4密码算法对密钥加密密钥AC1进行加密,得到密钥加密密钥AC1的密文;以密钥加密密钥AC1为密钥利用SM4密码算法对会话种子密钥SK1进行加密,得到会话种子密钥SK1的密文;***删除主密钥MK1、密钥加密密钥AC1和会话种子密钥SK1,存储用于向支持方B获取主密钥MK1的钥匙、密钥加密密钥AC1的密文以及会话种子密钥SK1的密文。
可以理解,主密钥MKi、密钥加密密钥ACj和会话种子密钥SKk动态变化,其中,主密钥MKi可以按照预设的周期进行更新,也可以一次一变;密钥加密密钥ACj按照预设的周期进行更新;会话种子密钥SKk一次一变,一次会话结束时,会生成新的会话种子密钥。
进一步的,由管理方A基于主密钥的钥匙向所述支持方B请求获取主密钥,具体包括:
管理方A和支持方B预先协同512比特的信息M,管理方A安全存储信息M的第1、3、5、…、509、511比特,并作为获取主密钥的钥匙,支持方B安全存储512比特的信息M;
管理方A和支持方B进行通信时,双方首先进行安全互认证,待互认证通过后,由管理方A向所述支持方B发出请求信息;
当支持方B接收到管理方A获取主密钥的请求信息时,支持方B利用512比特的信息M,将信息M的第1、3、5、…、509、511比特作为调制选基的随机数以进行调制基选取,将信息M的第2、4、6、…、510、512比特做编制信号,由选好的调制基将相应的编制信号调制成量子态,并将调制好的量子态通过量子密钥分配设备发送给支持方A;
管理方A接收到支持方B发送的量子态后,管理方A将本地存储的信息M的第1、3、5、…、509、511比特作为测量选基的随机数以进行测量基选取,并用选好的测量基对收到的量子态进行测量,将测量结果作为管理方A的主密钥。
可以理解,信息M的第2、4、6、…、510、512比特做编制信号,也作为主密钥;支持方B与管理方A按照相同的规则进行调制基选取,在调制选基与测量选基相同的基础上,支持方B选取的调制基与管理方A选取的测量基相同;因此,管理方A用选好的测量基对收到的量子态进行测量,得到的测量结果为第2、4、6、…、510、512比特。
进一步的,在解密所述会话种子密钥的密文以获得会话种子密钥之后,所述方法还包括:
管理方A和支持方B通过量子密钥分配设备实时协同密钥信息,并将协同的密钥信息与会话种子密钥进行逐位模二加的方式生成会话密钥,并基于会话密钥进行数据加密以支撑管理方A与支持方B之间安全会话;
在本次会话结束时,管理方A与支持方B通过量子密钥分配设备实时协同密钥信息,将协同的密钥信息作为新的会话种子密钥,并采用所述密钥加密密钥进行加密存储。
需要说明的是,在使用三层密钥保护体系对初始主密钥、初始密钥加密密钥以及初始会话种子密钥进行密钥管理之前,管理方A和支持方B需要通过量子密钥分配设备实时协同密钥信息,生成初始主密钥、初始密钥加密密钥以及初始会话种子密钥;当密钥加密密钥需要更新时,通过量子密钥分配设备实时协同密钥信息,并将协同的密钥信息作为新的密钥加密密钥;在生成会话密钥时,管理方A和支持方B通过量子密钥分配设备实时协同密钥信息,并将协同的密钥信息与会话种子密钥进行逐位模二加的方式生成会话密钥;一次会话结束时,管理方A与支持方B通过量子密钥分配设备实时协同密钥信息,将协同的密钥信息作为新的会话种子密钥;
上述过程均涉及管理方A和支持方B通过量子密钥分配设备实时协同密钥信息,该实时协同密钥信息为随机数,生成步骤相同;
如附图4所示,由所述管理方A和支持方B通过量子密钥分配设备实时协同密钥信息,具体包括:
管理方A发送随机的量子比特串给支持方B,支持方B随机选择测量基测量接收到的量子比特串;
支持方B将使用的测量基发送给管理方A,管理方A将接收的测量基与使用的测量基进行比较,并通过信息告知支持方B哪些位置的测量基是正确的;
支持方B根据管理方A的消息剔除错误的量子比特,并将选择少部分正确的测量结果告知管理方A;
管理方A确认支持方B测量结果的正确性;若正确,则发送确认信息给支持方B,同时剔除上述少部分的量子比特,将剩下的二进制串作为协同密钥信息;
支持方B收到确认信息,同样剔除上述少部分的量子比特,并将剩下的二进制串作为协同密钥信息。
在一种具体实施方式中,管理方A和支持方B需要通过量子密钥分配设备实时协同n比特密钥信息,将协同的n比特密钥信息作为管理方A和支持方B预先协同n比特的信息M,并将其中的n/2比特作为主密钥,将剩余的n/2比特作为主密钥的钥匙,如附图3所示。
本发明的三层密钥保护体系通过高层密钥管理底层密钥的方式进行管理,下面各层密钥在其上层密钥的保护下按照***的协议不断变化,使密钥管理***形成一个动态的***,有效提升量子密钥存储的安全性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种基于量子密钥分配***的密钥管理***,其特征在于,包括:管理方A和支持方B,所述管理方A至少包括量子密钥分配设备和密钥管理设备,所述支持方B至少包括量子密钥分配设备,且管理方A与支持方B之间能够通过量子密钥分配设备进行量子通信;
所述量子密钥分配设备,用于实现通信双方量子密钥的协同,其中所述量子密钥包括主密钥、密钥加密密钥以及会话种子密钥;
所述密钥管理设备,用于将上述量子密钥分配设备协同得到的主密钥、密钥加密密钥以及会话种子密钥通过三层密钥保护体系进行分层分散存储保护。
2.根据权利要求1所述的基于量子密钥分配***的密钥管理***,其特征在于,所述密钥管理设备,用于利用三层密钥保护体系通过高层密钥管理底层密钥的方式进行管理,下面各层密钥在其上层密钥的保护下按照***的协议不断变化;
所述三层密钥保护体系具体表征为:
所述密钥管理设备存储的是用于向支持方B获取主密钥的钥匙,并不直接存储所述主密钥;以主密钥为密钥利用SM4密码算法对密钥加密密钥进行加密存储保护,以密钥加密密钥为密钥利用SM4密码算法对会话种子密钥进行加密存储保护。
3.根据权利要求2所述的基于量子密钥分配***的密钥管理***,其特征在于,所述密钥加密密钥按照预设的周期进行更新,当密钥加密密钥需要更新时,通过量子密钥分配设备实时协同密钥信息,并将协同的密钥信息作为新的密钥加密密钥。
4.根据权利要求3所述的基于量子密钥分配***的密钥管理***,其特征在于,管理方A和支持方B预先协同512比特的信息M,管理方A安全存储信息M的第1、3、5、…、509、511比特,并作为获取主密钥的钥匙,支持方B安全存储512比特的信息M;
管理方A和支持方B进行通信时,双方首先进行安全互认证,待互认证通过后,管理方A基于主密钥的钥匙在支持方B的支持下通过量子密钥分配设备获取主密钥。
5.根据权利要求4所述的基于量子密钥分配***的密钥管理***,其特征在于:
支持方B,还用于在接收到管理方A获取主密钥的请求信息时,利用512比特的信息M,将信息M的第1、3、5、…、509、511比特作为调制选基的随机数以进行调制基选取,将信息M的第2、4、6、…、510、512比特做编制信号,由选好的调制基将相应的编制信号调制成量子态,并将调制好的量子态通过量子密钥分配设备发送给支持方A;
管理方A,还用于在接收到支持方B发送的量子态后,将本地存储的信息M的第1、3、5、…、509、511比特作为测量选基的随机数以进行测量基选取,并用选好的测量基对收到的量子态进行测量,将测量结果作为管理方A的主密钥。
6.根据权利要求5所述的基于量子密钥分配***的密钥管理***,其特征在于,管理方A,还用于在获取到主密钥后,利用SM4密码算法,以主密钥为解密密钥,解密所述密钥加密密钥的密文可获得密钥加密密钥;还用于在在获得密钥加密密钥后,利用SM4密码算法,以密钥加密密钥为解密密钥,解密所述会话种子密钥的密文可获得会话种子密钥;
管理方A和支持方B通过量子密钥分配设备实时协同密钥信息,并将协同的密钥信息与会话种子密钥进行逐位模二加的方式生成会话密钥,并基于会话密钥进行数据加密以支撑管理方A与支持方B之间安全会话;
本次会话结束时,管理方A与支持方B通过量子密钥分配设备实时协同密钥信息,将协同的密钥信息作为新的会话种子密钥,并采用所述密钥加密密钥进行加密存储。
7.一种基于量子密钥分配***的密钥管理方法,应用于上述权利要求1至6任意一项所述的密钥管理***,其特征在于,包括:
安全存储阶段:
管理方A获取主密钥和密钥加密密钥,以主密钥为密钥利用SM4密码算法对密钥加密密钥进行加密,得到所述密钥加密密钥的密文并进行存储保护后,管理方A删除获取到的主密钥,存储用于向支持方B获取主密钥的钥匙;
管理方A获取会话种子密钥,以密钥加密密钥为密钥利用SM4密码算法对会话种子密钥进行加密,得到所述会话种子密钥的密文并存储保护后,管理方A删除获取到的密钥加密密钥;
安全会话阶段:
由管理方A基于主密钥的钥匙向所述支持方B请求获取主密钥,在获取到主密钥后,管理方A利用SM4密码算法,以主密钥为解密密钥,解密所述密钥加密密钥的密文可获得密钥加密密钥;
在获得密钥加密密钥后,管理方A利用SM4密码算法,以密钥加密密钥为解密密钥,解密所述会话种子密钥的密文以获得会话种子密钥。
8.根据权利要求7所述的基于量子密钥分配***的密钥管理方法,其特征在于,由管理方A基于主密钥的钥匙向所述支持方B请求获取主密钥,具体包括:
管理方A和支持方B预先协同512比特的信息M,管理方A安全存储信息M的第1、3、5、…、509、511比特,并作为获取主密钥的钥匙,支持方B安全存储512比特的信息M;
管理方A和支持方B进行通信时,双方首先进行安全互认证,待互认证通过后,由管理方A向所述支持方B发出请求信息;
当支持方B接收到管理方A获取主密钥的请求信息时,支持方B利用512比特的信息M,将信息M的第1、3、5、…、509、511比特作为调制选基的随机数以进行调制基选取,将信息M的第2、4、6、…、510、512比特做编制信号,由选好的调制基将相应的编制信号调制成量子态,并将调制好的量子态通过量子密钥分配设备发送给支持方A;
管理方A接收到支持方B发送的量子态后,管理方A将本地存储的信息M的第1、3、5、…、509、511比特作为测量选基的随机数以进行测量基选取,并用选好的测量基对收到的量子态进行测量,将测量结果作为管理方A的主密钥。
9.根据权利要求7所述的基于量子密钥分配***的密钥管理方法,其特征在于,在解密所述会话种子密钥的密文以获得会话种子密钥之后,所述方法还包括:
管理方A和支持方B通过量子密钥分配设备实时协同密钥信息,并将协同的密钥信息与会话种子密钥进行逐位模二加的方式生成会话密钥,并基于会话密钥进行数据加密以支撑管理方A与支持方B之间安全会话;
在本次会话结束时,管理方A与支持方B通过量子密钥分配设备实时协同密钥信息,将协同的密钥信息作为新的会话种子密钥,并采用所述密钥加密密钥进行加密存储。
10.根据权利要求9所述的基于量子密钥分配***的密钥管理方法,其特征在于,由所述管理方A和支持方B通过量子密钥分配设备实时协同密钥信息,具体包括:
管理方A发送随机的量子比特串给支持方B,支持方B随机选择测量基测量接收到的量子比特串;
支持方B将使用的测量基发送给管理方A,管理方A将接收的测量基与使用的测量基进行比较,并通过信息告知支持方B哪些位置的测量基是正确的;
支持方B根据管理方A的消息剔除错误的量子比特,并将选择少部分正确的测量结果告知管理方A;
管理方A确认支持方B测量结果的正确性;若正确,则发送确认信息给支持方B,同时剔除上述少部分的量子比特,将剩下的二进制串作为协同密钥信息;
支持方B收到确认信息,同样剔除上述少部分的量子比特,并将剩下的二进制串作为协同密钥信息。
CN202111103133.8A 2021-09-18 2021-09-18 一种基于量子密钥分配***的密钥管理***和方法 Withdrawn CN113965319A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111103133.8A CN113965319A (zh) 2021-09-18 2021-09-18 一种基于量子密钥分配***的密钥管理***和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111103133.8A CN113965319A (zh) 2021-09-18 2021-09-18 一种基于量子密钥分配***的密钥管理***和方法

Publications (1)

Publication Number Publication Date
CN113965319A true CN113965319A (zh) 2022-01-21

Family

ID=79461817

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111103133.8A Withdrawn CN113965319A (zh) 2021-09-18 2021-09-18 一种基于量子密钥分配***的密钥管理***和方法

Country Status (1)

Country Link
CN (1) CN113965319A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114172650A (zh) * 2022-02-14 2022-03-11 北京安盟信息技术股份有限公司 一种云计算环境下多用户密钥安全隔离方法及***

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111385085A (zh) * 2018-12-27 2020-07-07 山东量子科学技术研究院有限公司 一种量子三级密钥体系实现方法及***

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111385085A (zh) * 2018-12-27 2020-07-07 山东量子科学技术研究院有限公司 一种量子三级密钥体系实现方法及***

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘辛涛: "一种量子密钥分配方案的研究", 现在导航 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114172650A (zh) * 2022-02-14 2022-03-11 北京安盟信息技术股份有限公司 一种云计算环境下多用户密钥安全隔离方法及***
CN114172650B (zh) * 2022-02-14 2022-05-17 北京安盟信息技术股份有限公司 一种云计算环境下多用户密钥安全隔离方法及***

Similar Documents

Publication Publication Date Title
CN109495274B (zh) 一种去中心化智能锁电子钥匙分发方法及***
CN108574569B (zh) 一种基于量子密钥的认证方法及认证装置
US7899184B2 (en) Ends-messaging protocol that recovers and has backward security
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证***和方法
CN113259329B (zh) 一种数据不经意传输方法、装置、电子设备及存储介质
JP5562687B2 (ja) 第1のユーザによって第2のユーザに送信される通信の安全化
US20170244687A1 (en) Techniques for confidential delivery of random data over a network
WO2010064666A1 (ja) 鍵配布システム
CA2747891C (en) Method for generating an encryption/decryption key
CN108418686A (zh) 一种多分布式的sm9解密方法与介质及密钥生成方法
CN108650028B (zh) 基于量子通信网络与真随机数的多次身份认证***和方法
CN112104453B (zh) 一种基于数字证书的抗量子计算数字签名***及签名方法
JP2011501585A (ja) キー配信用の方法、システムおよび機器
CN110535626B (zh) 基于身份的量子通信服务站保密通信方法和***
CN110519226B (zh) 基于非对称密钥池和隐式证书的量子通信服务端保密通信方法和***
CN110999202A (zh) 用于对数据进行高度安全、高速加密和传输的计算机实现的***和方法
CN110224816A (zh) 基于密钥卡和序列号的抗量子计算应用***以及近距离节能通信方法和计算机设备
CN110557248A (zh) 基于无证书密码学的抗量子计算签密的密钥更新方法和***
CN103138923B (zh) 一种节点间认证方法、装置及***
CN114095161A (zh) 一种支持等式测试的身份基可穿刺加密方法
CN109299618A (zh) 基于量子密钥卡的抗量子计算云存储方法和***
CN116707804B (zh) 增强ff1格式保留加密安全性的方法及设备
CN113965319A (zh) 一种基于量子密钥分配***的密钥管理***和方法
CN112907247A (zh) 一种区块链授权计算控制方法
CA2341689C (en) Method for the secure, distributed generation of an encryption key

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20220121