一种基于安全芯片载体的量子密钥管理方法及系统转让专利
申请号 : CN202111083355.8
文献号 : CN113536362B
文献日 : 2021-12-03
发明人 : 王剑锋 , 苗春华 , 王新莲
申请人 : 中科问天量子科技(天津)有限公司
摘要 :
本发明涉及一种基于安全芯片载体的量子密钥管理方法及系统,所述一种基于安全芯片载体的量子密钥管理方法包括:利用量子密钥管理服务端对安全芯片载体进行初始化充注;将已充注量子随机数的安全芯片载体装配到数据设备端,利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理,相比采用公私钥加密等远程充注密钥方法,提升了密钥安全性和易用性。
权利要求 :
1.一种基于安全芯片载体的量子密钥管理方法,其特征在于,包括:利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
2.如权利要求1所述方法,其特征在于,所述利用量子密钥管理服务端对安全芯片载体进行初始化充注包括:
利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
3.如权利要求1所述方法,其特征在于,所述利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥包括:当进行首次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体保存编号并将对应的量子随机数标识为共享密钥,所述数据设备端与其对应的业务设备端依据编号建立共享量子密钥;
当再次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体根据所述编号并将对应的量子随机数标识为共享量子密钥,所述数据设备端与其对应的业务设备端依据新增编号建立新增共享量子密钥;
其中,当分配共享密钥时,数据设备端的共享量子密钥保存在数据设备端的安全芯片载体中,业务设备端的共享量子密钥保存在量子密钥管理服务端中。
4.如权利要求3所述方法,其特征在于,所述利用量子密钥管理服务端下发编号包括:利用量子密钥管理服务端从其对应安全芯片载体剩余的量子随机数中得到特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和业务设备端标识符建立共享密钥编号。
5.如权利要求1所述方法,其特征在于,所述利用量子密钥管理服务端与新增数据设备端进行密钥分配处理包括:
利用量子密钥管理服务端对应数据设备端的安全芯片载体的剩余已充注量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数进行加密交换。
6.如权利要求5所述方法,其特征在于,所述加密交换包括:当剩余已充注的量子随机数进行加密交换时,将所述数据设备端的安全芯片载体的剩余已充注的量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数基于加密算法进行相互加密得到已充注量子随机数的密文;
将所述已充注量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将所述已充注量子随机数的密文解密得到二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量子随机数标识为新增共享密钥;
当需要新生成的量子随机数进行加密交换时,利用所述数据设备端的量子随机数与新增数据设备端的量子随机数基于加密算法对量子密钥管理服务端新生成的量子随机数加密得到新生成的量子随机数的密文;
将所述新生成的量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将新生成的量子随机数的密文解密得到二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量子随机数标识为新增共享密钥。
7.如权利要求1所述方法,其特征在于,所述利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理:
利用量子密钥管理服务端从与其对应的数据设备端的安全芯片载体剩余已充注的量子随机数中获取特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和新增业务设备端标识符建立共享密钥编号;
利用量子密钥管理服务端下发所述共享密钥编号,利用安全芯片载体保存所述共享密钥编号后,将与所述共享密钥编号对应的量子随机数标识为共享密钥;
利用量子密钥分配系统加密发送所述特定长度的量子随机数,新增量子密钥管理服务端接收并保存特定长度的量子随机数为共享密钥;
所述数据设备端与新增业务设备端依据新增共享密钥编号配对新增共享密钥。
8.如权利要求7所述方法,其特征在于,所述利用量子密钥分配系统加密发送特定长度的量子随机数包括;
利用量子密钥分配系统对量子密钥管理服务端与新增量子密钥管理服务端分别分发相同的密钥加密密钥;
利用所述密钥加密密钥基于加密算法对量子密钥管理服务端的特定长度的量子随机数进行加密得到特定量子随机数密文后,将所述特定量子随机数密文发送至新增量子密钥管理服务端;
所述新增量子密钥管理服务端利用所述密钥加密密钥基于解密算法对特定量子随机数密文进行解密得到特定长度的量子随机数。
9.一种基于安全芯片载体的量子密钥管理系统,其特征在于,包括:充注模块,用于利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
分配模块,用于将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
第一共享模块,用于当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
第二共享模块,用于当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
10.如权利要求9所述系统,其特征在于,所述利用量子密钥管理服务端对安全芯片载体进行初始化充注包括:
利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
说明书 :
一种基于安全芯片载体的量子密钥管理方法及系统
技术领域
[0001] 本发明涉及量子密钥管理领域,具体涉及一种基于安全芯片载体的量子密钥管理方法及系统。
背景技术
[0002] 随着量子计算技术迅速发展,连接到物联网的数据终端设备网络安全日益严峻,一些具有相对较高的计算能力和良好的流量吞吐量的数据终端设备时刻面临网络安全威
胁,例如监控摄像头的视频信息被窃取、数据采集设备信息被篡改等等,因此迫切需要一种
加强数据终端设备安全措施,防止信息被窃取、伪造或篡改等安全事故发生。
胁,例如监控摄像头的视频信息被窃取、数据采集设备信息被篡改等等,因此迫切需要一种
加强数据终端设备安全措施,防止信息被窃取、伪造或篡改等安全事故发生。
发明内容
[0003] 针对现有技术的不足,本发明提供了一种基于安全芯片载体的量子密钥管理方法包括:
[0004] 利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
[0005] 将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理
服务端分配数据设备端与其对应的业务设备端的共享密钥;
服务端分配数据设备端与其对应的业务设备端的共享密钥;
[0006] 当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
[0007] 当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
[0008] 其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
[0009] 优选的,所述利用量子密钥管理服务端对安全芯片载体进行初始化充注包括:
[0010] 利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
[0011] 利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
[0012] 优选的,所述利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥包括:
[0013] 当进行首次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体保存编号并将对应的量子随机数标识为共享密钥,所述数据设备端与其对应的业务设备端
依据编号建立共享量子密钥;
依据编号建立共享量子密钥;
[0014] 当再次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体根据所述编号并将对应的量子随机数标识为共享量子密钥,所述数据设备端与其对应的业务设
备端依据新增编号建立新增共享量子密钥;
备端依据新增编号建立新增共享量子密钥;
[0015] 其中,当分配共享密钥时,数据设备端的共享量子密钥保存在数据设备端的安全芯片载体中,业务设备端的共享量子密钥保存在量子密钥管理服务端中。
[0016] 进一步的,所述利用量子密钥管理服务端下发编号包括:
[0017] 利用量子密钥管理服务端从其对应安全芯片载体剩余的量子随机数中得到特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和业务设备端标识符建立共享
密钥编号。
密钥编号。
[0018] 优选的,所述利用量子密钥管理服务端与新增数据设备端进行密钥分配处理包括:
[0019] 利用量子密钥管理服务端对应数据设备端的安全芯片载体的剩余已充注量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数进行加密交换。
[0020] 进一步的,所述加密交换包括:
[0021] 当剩余已充注的量子随机数进行加密交换时,将所述数据设备端的安全芯片载体的剩余已充注的量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数
基于加密算法进行相互加密得到已充注量子随机数的密文;
基于加密算法进行相互加密得到已充注量子随机数的密文;
[0022] 将所述已充注量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将所述已充注量子随机数的密文解密得到二次量
子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量
子随机数标识为新增共享密钥;
子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量
子随机数标识为新增共享密钥;
[0023] 当需要新生成的量子随机数进行加密交换时,利用所述数据设备端的量子随机数与新增数据设备端的量子随机数基于加密算法对量子密钥管理服务端新生成的量子随机
数加密得到新生成的量子随机数的密文;
数加密得到新生成的量子随机数的密文;
[0024] 将所述新生成的量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将新生成的量子随机数的密文解密得到二次量
子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量
子随机数标识为新增共享密钥。
子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量
子随机数标识为新增共享密钥。
[0025] 优选的,所述利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理:
[0026] 利用量子密钥管理服务端从与其对应的数据设备端的安全芯片载体剩余已充注的量子随机数中获取特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和新
增业务设备端标识符建立共享密钥编号;
增业务设备端标识符建立共享密钥编号;
[0027] 利用量子密钥管理服务端下发所述共享密钥编号,利用安全芯片载体保存所述共享密钥编号后,将与所述共享密钥编号对应的量子随机数标识为共享密钥;
[0028] 利用量子密钥分配系统加密发送特定长度的量子随机数,新增量子密钥管理服务端接收并保存特定长度的量子随机数为共享密钥;
[0029] 所述数据设备端与新增业务设备端依据新增共享密钥编号配对新增共享密钥。
[0030] 进一步的,所述利用量子密钥分配系统加密发送特定长度的量子随机数包括;
[0031] 利用量子密钥分配系统对量子密钥管理服务端与新增量子密钥管理服务端分别分发相同的密钥加密密钥;
[0032] 利用所述密钥加密密钥基于加密算法对量子密钥管理服务端的特定长度的量子随机数进行加密得到特定量子随机数密文后,将所述特定量子随机数密文发送至新增量子
密钥管理服务端;
密钥管理服务端;
[0033] 所述新增量子密钥管理服务端利用所述密钥加密密钥基于解密算法对特定量子随机数密文进行解密得到特定长度的量子随机数。
[0034] 本公开的发明中安全芯片载体是一种安全密码模块代表,具有加密、存储和访问控制特性,安全密码模块还包括超级SIM卡,U盾以及集成密码芯片的车载ECU、数据采集单
元。
元。
[0035] 基于同一发明构思,本发明还提供了一种基于安全芯片载体的量子密钥管理系统,包括:
[0036] 充注模块,用于利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
[0037] 分配模块,用于将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利
用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
[0038] 第一共享模块,用于当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
[0039] 第二共享模块,用于当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
[0040] 其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
[0041] 优选的,所述利用量子密钥管理服务端对安全芯片载体进行初始化充注包括:
[0042] 利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
[0043] 利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
[0044] 与最接近的现有技术相比,本发明具有的有益效果:
[0045] 利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据所
述接入安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理服务
端分配数据设备端与其对应的业务设备端的共享密钥;当数据设备端与新增数据设备端需
要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;当数据设
备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服
务端进行密钥分配处理,结合安全芯片载体和量子密钥分发技术,提升密钥的存储、更新过
程中安全性。
述接入安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密钥管理服务
端分配数据设备端与其对应的业务设备端的共享密钥;当数据设备端与新增数据设备端需
要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;当数据设
备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服
务端进行密钥分配处理,结合安全芯片载体和量子密钥分发技术,提升密钥的存储、更新过
程中安全性。
附图说明
[0046] 图1是本发明提供的一种基于安全芯片载体的量子密钥管理方法流程图;
[0047] 图2是本发明提供的一种基于安全芯片载体的量子密钥管理系统示意图;
[0048] 图3是本发明提供的一种基于安全芯片载体的安全TF卡摄像头连接装置图;
[0049] 图4是本发明提供的一种基于安全芯片载体的安全TF卡摄像头装置网络安全工作原理示意图;
[0050] 图5是本发明提供的单个安全芯片载体的安全TF卡通过量子服务器密码机密钥充注量子随机数示意图;
[0051] 图6是本发明提供的多个安全芯片载体的安全TF卡通过量子服务器密码机加密交换量子随机数示意图;
[0052] 图7是本发明提供的单个安全芯片载体的安全TF卡通过量子密钥系统加密交换量子随机数示意图;
[0053] 图8是本发明提供的两个安全芯片载体的安全TF卡将剩余量子随机数通过量子服务器密码机形成共享密钥过程图;
[0054] 图9是本发明提供的基于安全芯片载体的安全TF卡加密实现视频监控部署示意图;
[0055] 图10是本发明提供的一种日常生活中应用基于安全芯片载体安全TF卡的智能监控加密系统示意图;
[0056] 图11是本发明提供的一种公共安全中应用基于安全芯片载体安全TF卡的智能监控加密系统示意图;
[0057] 图12是本发明提供的一种信息化中心应用基于安全芯片载体安全TF卡的加密保障系统示意图。
具体实施方式
[0058] 下面结合附图对本发明的具体实施方式作进一步的详细说明。
[0059] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是
本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员
在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员
在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0060] 实施例1:
[0061] 本发明提供了一种基于安全芯片载体的量子密钥管理方法,如图1所示,包括:
[0062] 步骤1:利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
[0063] 步骤2:将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利用量子密
钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
[0064] 步骤3:当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
[0065] 步骤4:当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
[0066] 其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
[0067] 步骤1具体包括:
[0068] 1‑1:利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
[0069] 1‑2:利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
[0070] 步骤2具体包括:
[0071] 2‑1:当进行首次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体保存编号并将对应的量子随机数标识为共享密钥,所述数据设备端与其对应的业务设
备端依据编号建立共享量子密钥;
备端依据编号建立共享量子密钥;
[0072] 2‑2:当再次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体根据所述编号并将对应的量子随机数标识为共享量子密钥,所述数据设备端与其对应的业
务设备端依据新增编号建立新增共享量子密钥;
务设备端依据新增编号建立新增共享量子密钥;
[0073] 其中,当分配共享密钥时,数据设备端的共享量子密钥保存在数据设备端的安全芯片载体中,业务设备端的共享量子密钥保存在量子密钥管理服务端中。
[0074] 步骤2‑1具体包括:
[0075] 2‑1‑1:利用量子密钥管理服务端从其对应安全芯片载体剩余的量子随机数中得到特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和业务设备端标识符建
立共享密钥编号。
立共享密钥编号。
[0076] 步骤3具体包括:
[0077] 3‑1:利用量子密钥管理服务端对应数据设备端的安全芯片载体的剩余已充注量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数进行加密交换。
[0078] 步骤3‑1具体包括:
[0079] 3‑1‑1:当剩余已充注的量子随机数进行加密交换时,将所述数据设备端的安全芯片载体的剩余已充注的量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子
随机数基于加密算法进行相互加密得到已充注量子随机数的密文;
随机数基于加密算法进行相互加密得到已充注量子随机数的密文;
[0080] 3‑1‑2:将所述已充注量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将所述已充注量子随机数的密文解密得到
二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述
二次量子随机数标识为新增共享密钥;
二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述
二次量子随机数标识为新增共享密钥;
[0081] 3‑1‑3:当需要新生成的量子随机数进行加密交换时,利用所述数据设备端的量子随机数与新增数据设备端的量子随机数基于加密算法对量子密钥管理服务端新生成的量
子随机数加密得到新生成的量子随机数的密文;
子随机数加密得到新生成的量子随机数的密文;
[0082] 3‑1‑4:将所述新生成的量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将新生成的量子随机数的密文解密得到
二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述
二次量子随机数标识为新增共享密钥。
二次量子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述
二次量子随机数标识为新增共享密钥。
[0083] 步骤4具体包括:
[0084] 4‑1:利用量子密钥管理服务端从与其对应的数据设备端的安全芯片载体剩余已充注的量子随机数中获取特定长度的量子随机数,基于密码算法、数据设备端唯一标识符
和新增业务设备端标识符建立共享密钥编号;
和新增业务设备端标识符建立共享密钥编号;
[0085] 4‑2:利用量子密钥管理服务端下发所述共享密钥编号,利用安全芯片载体保存所述共享密钥编号后,将与所述共享密钥编号对应的量子随机数标识为共享密钥;
[0086] 4‑3:利用量子密钥分配系统加密发送所述特定长度的量子随机数,新增量子密钥管理服务端接收并保存特定长度的量子随机数为共享密钥;
[0087] 4‑4:所述数据设备端与新增业务设备端依据新增共享密钥编号配对新增共享密钥。
[0088] 步骤4‑3具体包括:
[0089] 4‑3‑1:利用量子密钥分配系统对量子密钥管理服务端与新增量子密钥管理服务端分别分发相同的密钥加密密钥;
[0090] 4‑3‑2:利用所述密钥加密密钥基于加密算法对量子密钥管理服务端的特定长度的量子随机数进行加密得到特定量子随机数密文后,将所述特定量子随机数密文发送至新
增量子密钥管理服务端;
增量子密钥管理服务端;
[0091] 4‑3‑3:所述新增量子密钥管理服务端利用所述密钥加密密钥基于解密算法对特定量子随机数密文进行解密得到特定长度的量子随机数。
[0092] 本实施例中,一种基于安全芯片载体的量子密钥管理方法,所述量子密钥管理服务端的量子随机数总量为Q(16≤Q≤V),其中V为安全芯片载体安全存储总容量,数量单位
为字节。所述量子密钥管理服务端的共享量子密钥总量为 ,其中
(P≤Q);其中,第i个通信对象分配的共享密钥数量为(ni*li),ni为第i个通信对象的量子随
机数分段密钥份数(ni≥1),li为第i个通信对象每次通信使用的密钥数量(li≥16);其中密
码模块剩余量子随机数总量为(Q‑P)。
为字节。所述量子密钥管理服务端的共享量子密钥总量为 ,其中
(P≤Q);其中,第i个通信对象分配的共享密钥数量为(ni*li),ni为第i个通信对象的量子随
机数分段密钥份数(ni≥1),li为第i个通信对象每次通信使用的密钥数量(li≥16);其中密
码模块剩余量子随机数总量为(Q‑P)。
[0093] 本实施例中,一种基于安全芯片载体的量子密钥管理方法,所述安全芯片载体为安全TF卡、超级SIM卡和U盾。
[0094] 实施例2:
[0095] 本发明提供了一种基于安全芯片载体的量子密钥管理系统,如图2所示,包括:
[0096] 充注模块,用于利用量子密钥管理服务端对安全芯片载体进行初始化充注,得到已充注量子随机数的安全芯片载体;
[0097] 分配模块,用于将所述已充注量子随机数的安全芯片载体装配到数据设备端,根据装配已充注量子随机数的安全芯片载体的数据设备端与其对应的业务设备端的关系,利
用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥;
[0098] 第一共享模块,用于当数据设备端与新增数据设备端需要共享密钥时,利用量子密钥管理服务端与新增数据设备端进行密钥分配处理;
[0099] 第二共享模块,用于当数据设备端与新增业务设备端需要共享密钥时,利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理;
[0100] 其中,安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体。
[0101] 所述利用量子密钥管理服务端对安全芯片载体进行初始化充注包括:
[0102] 利用量子密钥管理服务端生成量子随机数后,将所述量子随机数保存在量子密钥管理服务端;
[0103] 利用量子密钥管理服务端将所述量子随机数对安全芯片载体进行初始化充注。
[0104] 所述利用量子密钥管理服务端分配数据设备端与其对应的业务设备端的共享密钥包括:
[0105] 当进行首次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体保存编号并将对应的量子随机数标识为共享密钥,所述数据设备端与其对应的业务设备端
依据编号建立共享量子密钥;
依据编号建立共享量子密钥;
[0106] 当再次分配共享密钥时,利用量子密钥管理服务端下发编号,安全芯片载体根据所述编号并将对应的量子随机数标识为共享量子密钥,所述数据设备端与其对应的业务设
备端依据新增编号建立新增共享量子密钥;
备端依据新增编号建立新增共享量子密钥;
[0107] 其中,当分配共享密钥时,数据设备端的共享量子密钥保存在数据设备端的安全芯片载体中,业务设备端的共享量子密钥保存在量子密钥管理服务端中。
[0108] 所述利用量子密钥管理服务端下发编号包括:
[0109] 利用量子密钥管理服务端从其对应安全芯片载体剩余的量子随机数中得到特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和业务设备端标识符建立共享
密钥编号。
密钥编号。
[0110] 所述利用量子密钥管理服务端与新增数据设备端进行密钥分配处理包括:
[0111] 利用量子密钥管理服务端对应数据设备端的安全芯片载体的剩余已充注量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数进行加密交换。
[0112] 所述加密交换包括:
[0113] 当剩余已充注的量子随机数进行加密交换时,将所述数据设备端的安全芯片载体的剩余已充注的量子随机数与新增数据设备端的安全芯片载体的剩余已充注量子随机数
基于加密算法进行相互加密得到已充注量子随机数的密文;
基于加密算法进行相互加密得到已充注量子随机数的密文;
[0114] 将所述已充注量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将所述已充注量子随机数的密文解密得到二次量
子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量
子随机数标识为新增共享密钥;
子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量
子随机数标识为新增共享密钥;
[0115] 当需要新生成的量子随机数进行加密交换时,利用所述数据设备端的量子随机数与新增数据设备端的量子随机数基于加密算法对量子密钥管理服务端新生成的量子随机
数加密得到新生成的量子随机数的密文;
数加密得到新生成的量子随机数的密文;
[0116] 将所述新生成的量子随机数的密文下发至数据设备端与新增数据设备端后,数据设备端与新增数据设备端的安全芯片载体将新生成的量子随机数的密文解密得到二次量
子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量
子随机数标识为新增共享密钥。
子随机数,分别保存在数据设备端与新增数据设备端的安全芯片载体中,并将所述二次量
子随机数标识为新增共享密钥。
[0117] 所述利用量子密钥管理服务端与新增量子密钥管理服务端进行密钥分配处理:
[0118] 利用量子密钥管理服务端从与其对应的数据设备端的安全芯片载体剩余已充注的量子随机数中获取特定长度的量子随机数,基于密码算法、数据设备端唯一标识符和新
增业务设备端标识符建立共享密钥编号;
增业务设备端标识符建立共享密钥编号;
[0119] 利用量子密钥管理服务端下发所述共享密钥编号,利用安全芯片载体保存所述共享密钥编号后,将与所述共享密钥编号对应的量子随机数标识为共享密钥;
[0120] 利用量子密钥分配系统加密发送特定长度的量子随机数,新增量子密钥管理服务端接收并保存特定长度的量子随机数为共享密钥;
[0121] 所述数据设备端与新增业务设备端依据新增共享密钥编号配对新增共享密钥。
[0122] 所述利用量子密钥分配系统加密发送特定长度的量子随机数包括;
[0123] 利用量子密钥分配系统对量子密钥管理服务端与新增量子密钥管理服务端分别分发相同的密钥加密密钥;
[0124] 利用所述密钥加密密钥基于加密算法对量子密钥管理服务端的特定长度的量子随机数进行加密得到特定量子随机数密文后,将所述特定量子随机数密文发送至新增量子
密钥管理服务端;
密钥管理服务端;
[0125] 所述新增量子密钥管理服务端利用所述密钥加密密钥基于解密算法对特定量子随机数密文进行解密得到特定长度的量子随机数。
[0126] 实施例3:
[0127] 本发明提供了一种基于安全芯片载体实现摄像头数据终端设备与视频监控业务服务端设备之间、摄像头数据终端设备与网络密码机数据终端设备之间的共享密钥服务方
法,包括:
法,包括:
[0128] 第一量子密钥服务模块生成第一量子随机数与第二量子随机数,通过计算机接口对第一安全芯片载体与第二安全芯片载体进行初始化量子随机数存储后,将生成的第一量
子随机数充注至第一安全芯片载体中,将生成的第二量子随机数充注至第二安全芯片载体
中;
子随机数充注至第一安全芯片载体中,将生成的第二量子随机数充注至第二安全芯片载体
中;
[0129] 第一量子密钥服务模块与第一安全芯片载体标识着相同的第一量子随机数,当第一安全芯片载体装配至第一数据终端设备、第一业务服务端设备连接第一量子密钥服务模
块后,第一量子密钥服务模块按照共享密钥长度要求从第一量子随机数中划分出等长的量
子随机数,并将该量子随机数进行密钥索引编号,通过网络通信将编号发送至第一数据终
端的第一安全芯片载体,第一安全芯片载体将对应编号的量子随机数标识为共享密钥。第
一数据终端设备与第一业务服务端设备分别从第一安全芯片载体和第一量子密钥服务模
块获取共享密钥服务。同理,第二安全芯片载体与第一量子密钥服务模块形成相同编号的
共享密钥;
块后,第一量子密钥服务模块按照共享密钥长度要求从第一量子随机数中划分出等长的量
子随机数,并将该量子随机数进行密钥索引编号,通过网络通信将编号发送至第一数据终
端的第一安全芯片载体,第一安全芯片载体将对应编号的量子随机数标识为共享密钥。第
一数据终端设备与第一业务服务端设备分别从第一安全芯片载体和第一量子密钥服务模
块获取共享密钥服务。同理,第二安全芯片载体与第一量子密钥服务模块形成相同编号的
共享密钥;
[0130] 第一安全芯片载体与第二安全芯片载体通过第一量子密钥服务模块加密交换两者剩余的量子随机数,第一安全芯片载体与第二安全芯片载体形成相同编号的共享密钥,
第一数据终端设备与第二数据终端设备分别从第一安全芯片载体和第二安全芯片载体获
取共享密钥服务;
第一数据终端设备与第二数据终端设备分别从第一安全芯片载体和第二安全芯片载体获
取共享密钥服务;
[0131] 第一量子密钥服务模块通过量子密钥分配机一生成的共享密钥,将第一安全芯片载体剩余的量子随机数加密成密文,并发送至第二量子密钥服务模块;
[0132] 第二量子密钥服务模块接收密文后,通过量子密钥分配机二生成相同的共享密钥还原密文,得到与第一安全芯片载体相同的剩余的量子随机数,同理步骤2,第一安全芯片
载体与第二量子密钥服务模块形成相同编号的共享密钥,第一数据终端设备与第二业务服
务设备分别从第一安全芯片载体和第二量子密钥服务模块获取共享密钥服务。
载体与第二量子密钥服务模块形成相同编号的共享密钥,第一数据终端设备与第二业务服
务设备分别从第一安全芯片载体和第二量子密钥服务模块获取共享密钥服务。
[0133] 本实施例中,如图3所示,一种数据终端设备中安全芯片载体的安全TF卡与摄像头的连接装置包括,摄像机与安全TF卡通过接口或USB连接,其中摄像机中包括引导程序,安
全TF卡包括固化存储区与密钥存储区。
全TF卡包括固化存储区与密钥存储区。
[0134] 本实施例中,如图4所示,一种基于安全芯片载体的安全TF卡摄像头装置网络安全工作原理包括,摄像机中的引导程序利用安全TF卡中的固化存储区执行加载认证程序,运
行TCP/IP通信加密模块,利用安全TF卡的密钥存储区中的共享量子密钥进行硬件加密,并
与网络密码机通信。
行TCP/IP通信加密模块,利用安全TF卡的密钥存储区中的共享量子密钥进行硬件加密,并
与网络密码机通信。
[0135] 本实施例中,如图5所示,单个安全芯片载体安全TF卡通过量子服务器密码机充注量子随机数包括,利用量子服务器密码机中的量子随机数发生器对安全TF卡充注量子随机
数。
数。
[0136] 本实施例中,如图6所示,多个安全芯片载体安全TF卡通过量子服务器密码机加密交换量子随机数得到共享密钥包括,利用量子服务器密码机中的量子随机数发生器对安全
TF卡A充注量子随机数,摄像头三中的安全TF卡三与摄像头四的安全TF卡四利用量子服务
器密码机进行量子密钥共享交换。
TF卡A充注量子随机数,摄像头三中的安全TF卡三与摄像头四的安全TF卡四利用量子服务
器密码机进行量子密钥共享交换。
[0137] 本实施例中,如图7所示,单个安全芯片载体安全TF卡通过量子服务器密码机加密交换量子随机数得到共享密钥包括,量子密钥分配机一与量子密钥分配机二连接,量子密
钥分配机一下发密钥加密密钥至量子服务器密码机一,量子密钥分配机二下发密钥加密密
钥至量子服务器二,量子服务器密码机一与量子服务器密码机二共享密钥加密密钥,量子
服务器密码机一给安全TF卡二充注量子随机数。
钥分配机一下发密钥加密密钥至量子服务器密码机一,量子密钥分配机二下发密钥加密密
钥至量子服务器二,量子服务器密码机一与量子服务器密码机二共享密钥加密密钥,量子
服务器密码机一给安全TF卡二充注量子随机数。
[0138] 本实施例中,如图8所示,两个安全芯片载体安全TF卡将剩余量子随机数通过量子服务器密码机加密交换得到共享密钥。
[0139] 本实施例中,一种基于安全芯片载体的量子密钥管理方法,如图9所示,基于安全芯片载体安全TF卡的加密视频监控系统信息化部署示意。
[0140] 实施例4:
[0141] 如图10所示,包含安全TF卡一的车载摄像机,包含安全TF卡二的家庭摄像机与包含安全TF卡N的店面摄像机与包含安全TF卡A的智能监控连接,并进行密文传输,在个人日
常生活中,经常会使用智能监控设备(如电脑或智能手机)查看远程场地,如车载摄像机、家
庭摄像机、店面摄像机等,而电脑或智能手机以及摄像机通常都能装配通用TF卡,安全芯片
载体与通用TF卡接口和外形一致,能够兼容电脑、智能手机和摄像机,个人通过量子服务器
密码机为多张安全芯片载体进行初始化和密钥交换,配置安全芯片载体A分别与安全芯片
载体一、安全芯片载体二、安全芯片载体N的共享密钥,实现摄像机安全管理和视频加密传
输。
常生活中,经常会使用智能监控设备(如电脑或智能手机)查看远程场地,如车载摄像机、家
庭摄像机、店面摄像机等,而电脑或智能手机以及摄像机通常都能装配通用TF卡,安全芯片
载体与通用TF卡接口和外形一致,能够兼容电脑、智能手机和摄像机,个人通过量子服务器
密码机为多张安全芯片载体进行初始化和密钥交换,配置安全芯片载体A分别与安全芯片
载体一、安全芯片载体二、安全芯片载体N的共享密钥,实现摄像机安全管理和视频加密传
输。
[0142] 实施例5:
[0143] 如图11所示,公共场所的网络密码机与安全保障场所的摄像机通过公共网络连接并进行密文传输,在公共安全管理场景中,通常有专业的安全员对人流活动大、安全隐患较
大等场所进行实时监控,分析潜在公共安全风险,然而通过公共网络传输摄像机数据存在
信息被非法盗取、篡改等风险,因此,通过部署安全芯片载体的摄像监控系统能够解决此类
网络安全问题,安全保障部的安全员在业务操作全过程中无感知共享密钥,在安全监控网
络建设之初,网络实施人员根据业务和网络划分,部署相应的网络密码机、量子服务器密码
机,为每个摄像机配备安全芯片载体,实现了安全监控网络的全线路信息加密传输。
大等场所进行实时监控,分析潜在公共安全风险,然而通过公共网络传输摄像机数据存在
信息被非法盗取、篡改等风险,因此,通过部署安全芯片载体的摄像监控系统能够解决此类
网络安全问题,安全保障部的安全员在业务操作全过程中无感知共享密钥,在安全监控网
络建设之初,网络实施人员根据业务和网络划分,部署相应的网络密码机、量子服务器密码
机,为每个摄像机配备安全芯片载体,实现了安全监控网络的全线路信息加密传输。
[0144] 实施例6:
[0145] 如图12所示,站点1的网络密码机与站点2的视频会议、物联网终端与数据采集器等通过公共网络连接并进行密文传输,在企业或机构的信息化安全管理场景中,通常有远
程数据采集、视频会议和视频监控等业务,然而在公共网络中传输这类信息,存在一定的信
息泄露安全风险,甚至存在信息篡改等安全隐患,采用安全芯片载体的摄像监控系统方案,
通过部署相应的网络密码机、量子服务器密码机,为每个摄像机配备安全芯片载体,为每个
数据采集器配备安全芯片载体,能够实现信息全线路加密传输,且信息化数据采集、音视频
监控、视频会议等业务全过程中无感知共享密钥。
程数据采集、视频会议和视频监控等业务,然而在公共网络中传输这类信息,存在一定的信
息泄露安全风险,甚至存在信息篡改等安全隐患,采用安全芯片载体的摄像监控系统方案,
通过部署相应的网络密码机、量子服务器密码机,为每个摄像机配备安全芯片载体,为每个
数据采集器配备安全芯片载体,能够实现信息全线路加密传输,且信息化数据采集、音视频
监控、视频会议等业务全过程中无感知共享密钥。
[0146] 以上实施例1到6中所述的安全芯片载体为具有密码算法、安全存储和访问控制功能的存储载体,可以为安全TF卡、超级SIM卡、U盾,以及集成密码芯片的车载ECU与数据采集
单元。
单元。
[0147] 本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实
施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机
可用存储介质(包括但不限于磁盘存储器、CD‑ROM、光学存储器等)上实施的计算机程序产
品的形式。
施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机
可用存储介质(包括但不限于磁盘存储器、CD‑ROM、光学存储器等)上实施的计算机程序产
品的形式。
[0148] 本发明是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流
程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序
指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产
生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实
现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序
指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产
生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实
现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0149] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指
令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或
多个方框中指定的功能。
令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或
多个方框中指定的功能。
[0150] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或
其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一
个方框或多个方框中指定的功能的步骤。
其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一
个方框或多个方框中指定的功能的步骤。
[0151] 最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然
可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何
修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何
修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。