【技术实现步骤摘要】
本专利技术涉及量子密钥充注,尤其涉及一种量子密钥灵活充注方法及系统。
技术介绍
1、现有技术公开的向安全介质充注量子密钥的方式是通过安全介质插入与生成量子密钥的密服有线连接的充注机实现,该种方式安全介质仅能在固定位置的充注机完成充注,灵活性差;为满足多地区安全介质内量子密钥充注的需求,各地区需分别采购密服设备,以与各地区充注机连接,进而连接待充注的安全介质,或者,铺设密服设备辐射至各地区充注机的连接专网,量子密钥通过连接专网从密服安全传输至各地区充注机,再充注至安全介质,如此,极大地提高了量子密钥充注成本,进而提高应用量子安全介质进行保密通信的成本。
技术实现思路
1、本专利技术提供一种密钥充注方法及系统,通过设置一可信的移动管理介质,其在用户安全介质充注密钥的同时也连接充注终端,密服确认该管理介质身份后加密下发充注密钥,无需限定充注终端与密服有线连接,提高了密钥充注的灵活度,降低了多地区密钥充注成本。
2、第一方面,本专利技术提供一种密钥充注方法,包括密服、充注终端、管理员安全介质和用户安全介质,所述密服和所述充注终端通信连接;所述方法包括:所述管理员安全介质和所述用户安全介质电性连接所述充注终端;所述充注终端向所述密服上报所述用户安全介质的充注信息,所述密服至少确认所述管理员安全介质身份信息已备案且具备管理权限,加密返回用于充注至所述用户安全介质的用户密钥,所述用户密钥被存至所述用户安全介质。
3、可选的,所述充注信息至少包括所述用户安全介质固有的用户身
4、可选的,所述充注终端获取被输入的充注量和/或是否覆盖充注指示,所述充注信息还包括所述充注量和/或所述是否覆盖充注指示。
5、可选的,所述充注信息被转发至所述管理员安全介质,利用所述管理员安全介质预置的管理员本地密钥加密充注信息数据部分后发送给所述密服;其中,所述充注信息数据部分包括所述用户身份id、所述充注量和/或所述是否覆盖充注指示。
6、可选的,所述密服确认所述管理员身份id已备案且具备管理权限,进一步确认所述用户身份id未备案,或所述用户身份id已备案,且所述用户身份id与所述管理员身份id绑定,则返回同意充注应答,并基于所述充注终端发送的所述用户密钥申请加密返回所述用户密钥;或者,所述密服确认所述管理员身份id已备案且具备管理权限,则返回同意充注应答,并基于所述充注终端发送的所述用户密钥申请加密返回所述用户密钥。
7、可选的,所述密服基于所述充注终端发送的所述用户密钥申请加密返回所述用户密钥具体包括:所述充注终端先向所述密服发送密钥设置申请,所述密服返回相应的密钥设置信息,至少部分的所述密钥设置信息被写入所述用户安全介质;所述充注终端再向所述密服发送所述用户密钥申请,所述密服返回相应的用户密钥充注文件,所述用户密钥充注文件包括所述用户密钥,所述用户密钥被写入所述用户安全介质。
8、可选的,所述密钥设置申请包括所述充注终端被输入的用户pin;所述密钥设置申请被转发至所述管理员安全介质,利用所述管理员本地密钥加密密钥设置申请数据部分后发送给所述密服,所述密钥设置申请数据部分包括所述用户pin。
9、可选的,所述密服接收所述密钥设置申请,生成与所述用户安全介质关联的新数据密钥udkey1和新鉴权密钥uakey1;所述密钥设置信息包括所述新数据密钥udkey1、所述新鉴权密钥uakey1和所述用户pin;所述密钥设置信息被加密返回所述充注终端,经所述管理员安全介质解密,再将所述新数据密钥udkey1、所述新鉴权密钥uakey1和所述用户pin写入所述用户安全介质。
10、可选的,所述密服先利用本侧与所述用户身份id关联的前鉴权密钥uakey加密所述密钥设置信息数据部分,再利用本侧的所述管理员本地密钥二次加密返回所述充注终端,其中,所述密钥设置信息数据部分包括所述新数据密钥udkey1、所述新鉴权密钥uakey1和所述用户pin;所述充注终端将所述密钥设置信息先转发至所述管理员安全介质解密,再转发至所述用户安全介质,调用内置的所述前鉴权密钥uakey解密,并将所述新数据密钥udkey1、所述新鉴权密钥uakey1和所述用户pin写入。
11、可选的,所述充注终端向所述密服发送密钥设置信息之前,向所述用户安全介质申请第一鉴权随机数,所述密钥设置申请和所述密钥设置信息均包括所述第一鉴权随机数;所述密钥设置信息被转发至所述用户安全介质解密后,核验所述第一鉴权随机数与内部留存的所述第一鉴权数是否相同,若相同,则利用所述新数据密钥udkey1、所述新鉴权密钥uakey1替换原有的相关数据,将所述用户pin写入。
12、可选的,所述充注终端向所述用户安全介质申请第二鉴权随机数;所述充注终端形成所述用户密钥申请,所述用户密钥申请包括所述第二鉴权随机数和密钥写入句柄;所述用户密钥申请被转发至所述管理员安全介质,利用所述管理员本地密钥加密用户密钥申请数据部分后发送给所述密服,所述用户密钥申请数据部分包括所述鉴权随机数和所述密钥写入句柄。
13、可选的,所述密服接收所述用户密钥申请,生成所述用户密钥,利用本侧的所述新数据密钥udkey1加密所述用户密钥;所述密服还利用本侧的所述新鉴权密钥uakey1加密所述第二鉴权随机数;所述用户密钥充注文件包括加密的所述第二鉴权随机数、加密的所述用户密钥、所述密钥写入句柄,利用本侧的所述管理员本地密钥加密所述用户密钥充注文件数据部分返回所述充注终端。
14、可选的,所述充注终端将所述用户密钥充注文件转发至所述管理员安全介质解密,再转发至所述用户安全介质,调用内置的所述新鉴权密钥uakey1解密所述第二鉴权随机数;核验所述第二鉴权随机数与内部留存的所述第二鉴权数是否相同,若相同,依照所述密钥写入句柄将所述用户密钥写入所述用户安全介质。
15、可选的,所述新数据密钥udkey1、所述新鉴权密钥uakey1和所述用户pin写入所述用户安全介质的芯片单元,所述用户密钥写入所述用户安全介质的flash单元,所述芯片单元与所述flash单元电性连接。
16、可选的,所述芯片单元和所述flash单元分别具有固有的用户芯片id和用户flashid,所述用户身份id包括所述用户芯片id和所述用户flashid;所述密服确认所述管理员身份id已备案,所述用户芯片id和所述用户flashid已备案,则返回同意充注应答之前,还确认所述用户芯片id和所述用户flashid的关联关系。
17、第二方面,本专利技术提供一种密钥充注系统,包括密服、充注终端、管理员安全介质和用户安全介质,所述密服与所述充注终端通信连接,向所述用户安全介质充注用户密钥时实施如前所述的密钥充注方法。
18、本专利技术的有益效果至少包括:
19、(1)通过设置一可信的移动管理介质,在用户安全介质充注密钥的同时也连接充注终端,提高了密钥充注的灵活度,换句本文档来自技高网...
【技术保护点】
1.一种密钥充注方法,其特征在于,包括密服、充注终端、管理员安全介质和用户安全介质,所述密服和所述充注终端通信连接;所述方法包括:
2.根据权利要求1所述的密钥充注方法,其特征在于,所述用户密钥充注之前,所述管理员安全介质从所述密服充注管理员本地密钥;
3.根据权利要求2所述的密钥充注方法,其特征在于,所述管理员安全介质连接所述密服充注所述管理员本地密钥时携带所述管理员PIN,所述管理员PIN随所述管理员本地密钥一起被写入所述管理员安全介质。
4.根据权利要求2所述的密钥充注方法,其特征在于,所述用户安全介质具有电性连接的flash单元和芯片单元,所述flash单元用于存储所述用户密钥;
5.根据权利要求2所述的密钥充注方法,其特征在于,所述充注终端验证所述管理员PIN通过,向所述密服上报所述用户安全介质的充注信息,所述充注信息包括管理员身份ID和用户身份ID,以及充注量和/或是否覆盖充注指示。
6.根据权利要求5所述的密钥充注方法,其特征在于,所述充注信息被转发至所述管理员安全介质,利用所述管理员本地密钥加密充注信息数
7.根据权利要求6所述的密钥充注方法,其特征在于,所述密服基于明文的所述充注信息头部形成解密密钥,解密所述充注信息数据部分;
8.根据权利要求7所述的密钥充注方法,其特征在于,所述芯片单元和所述flash单元分别具有固有的用户芯片ID和用户flashID,所述用户身份ID包括所述用户芯片ID和所述用户flashID;
9.根据权利要求7所述的密钥充注方法,其特征在于,所述充注终端接收所述密服作出的同意充注应答,形成密钥设置申请,所述密钥设置申请数据部分包括所述充注终端被输入的用户PIN,所述密钥设置申请数据部分被所述管理员本地密钥加密,与写有所述管理员身份ID的所述密钥设置申请头部拼合后发送至所述密服;
10.根据权利要求9所述的密钥充注方法,其特征在于,所述密服对所述密钥设置信息加密的具体方式为:先利用本侧与所述用户身份ID关联的前鉴权密钥uakey加密所述密钥设置信息数据部分,再利用本侧的所述管理员本地密钥二次加密所述密钥设置信息数据部分;
11.根据权利要求10所述的密钥充注方法,其特征在于,所述充注终端将加密的所述密钥设置信息先转发至所述管理员安全介质,利用所述管理员本地密钥解密,再转发至所述用户安全介质,以调用内置的所述前鉴权密钥uakey解密,并将所述新数据密钥udkey1、所述新鉴权密钥uakey1和所述用户PIN写入所述芯片单元。
12.根据权利要求11所述的密钥充注方法,其特征在于,所述用户安全介质密钥设置完成,所述充注终端再向所述密服发送用户密钥申请,所述密服返回相应的用户密钥充注文件,所述用户密钥充注文件包括所述用户密钥,所述用户密钥被写入所述用户安全介质。
13.根据权利要求12所述的密钥充注方法,其特征在于,所述用户安全介质密钥设置完成,所述充注终端向所述用户安全介质申请第二鉴权随机数;
14.根据权利要求13所述的密钥充注方法,其特征在于,所述充注终端将所述用户密钥充注文件转发至所述管理员安全介质,一重解密所述用户密钥充注文件数据部分,再将加密的所述用户密钥充注文件经所述充注终端转发至所述用户安全介质,以利用所述新鉴权密钥uakey1解密所述第二鉴权随机数,核验所述第二鉴权随机数与所述用户安全介质内部留存的所述第二鉴权数是否相同,若相同,则依照所述密钥写入句柄将所述用户密钥写入所述用户安全介质。
15.一种密钥充注系统,其特征在于,包括密服、充注终端、管理员安全介质和用户安全介质,所述密服与所述充注终端通信连接,向所述用户安全介质充注用户密钥时实施如权利要求1至14任一项所述的密钥充注方法。
...【技术特征摘要】
1.一种密钥充注方法,其特征在于,包括密服、充注终端、管理员安全介质和用户安全介质,所述密服和所述充注终端通信连接;所述方法包括:
2.根据权利要求1所述的密钥充注方法,其特征在于,所述用户密钥充注之前,所述管理员安全介质从所述密服充注管理员本地密钥;
3.根据权利要求2所述的密钥充注方法,其特征在于,所述管理员安全介质连接所述密服充注所述管理员本地密钥时携带所述管理员pin,所述管理员pin随所述管理员本地密钥一起被写入所述管理员安全介质。
4.根据权利要求2所述的密钥充注方法,其特征在于,所述用户安全介质具有电性连接的flash单元和芯片单元,所述flash单元用于存储所述用户密钥;
5.根据权利要求2所述的密钥充注方法,其特征在于,所述充注终端验证所述管理员pin通过,向所述密服上报所述用户安全介质的充注信息,所述充注信息包括管理员身份id和用户身份id,以及充注量和/或是否覆盖充注指示。
6.根据权利要求5所述的密钥充注方法,其特征在于,所述充注信息被转发至所述管理员安全介质,利用所述管理员本地密钥加密充注信息数据部分后发送给所述密服,其中,所述充注信息数据部分包括所述用户身份id、所述充注量和/或所述是否覆盖充注指示;
7.根据权利要求6所述的密钥充注方法,其特征在于,所述密服基于明文的所述充注信息头部形成解密密钥,解密所述充注信息数据部分;
8.根据权利要求7所述的密钥充注方法,其特征在于,所述芯片单元和所述flash单元分别具有固有的用户芯片id和用户flashid,所述用户身份id包括所述用户芯片id和所述用户flashid;
9.根据权利要求7所述的密钥充注方法,其特征在于,所述充注终端接收所述密服作出的同意充注应答,形成密钥设置申请,所述密钥设置申请数据部分包括所述充注终端被输入的用户pin,所述密钥设置申请数据部分被所述管理员本地密钥加密,与...
【专利技术属性】
技术研发人员:范犇,柳鹏,田阳柱,周敏,徐红星,
申请(专利权)人:长江量子武汉科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。