(19)国家知识产权局 (12)发明专利申请 (10)申请公布号CN116418485A (43)申请公布日2023.07.11 (21)申请号202111648220.1H04L9/40(2022.01) (22)申请日2021.12.29 (71)申请人科大国盾量子技术股份有限公司 地址230088安徽省合肥市高新区望江西 路800号合肥创新产业园D3楼 申请人山东量子科学技术研究院有限公司 (72)发明人温娜王学富张如通 (74)专利代理机构北京云嘉湃富知识产权代理 有限公司11678 专利代理师程凌军 (51)Int.Cl. H04L9/08(2006.01) H04L9/30(2006.01) H04L9/32(2006.01) H04L9/06(2006.01) 权利要求书4页说明书9页附图3页 (54)发明名称 基于量子密码服务平台的量子密钥充注方 法、系统及组件 (57)摘要 本发明提出了一种基于量子密码服务平台 的量子密钥充注方法、系统及其组件。其中，通过 量子密钥充注方法及其系统组成的特定配置，允 许在无需对密钥存储介质本身的固件、驱动及接 口进行任何改进的前提下，直接实现向密钥存储 介质充注所需要的量子密钥，由此大大提升量子 密钥充注系统及方法的适用性。同时，借助非对 称算法的数字信封机制实现量子密钥分发过程 的安全性，使得能够以简单轻便的方式保证整个 充注过程的安全性。 CN116418485A CN116418485A权利要求书1/4页 1.一种基于量子密码服务平台的量子密钥充注方法，其包括认证准备步骤和充注步 骤； 在所述认证准备步骤中，由密码服务平台生成密钥充注令牌Token，并下发给交换密码 机和密钥充注终端；并且，使密钥存储介质生成签名公私钥对Ksign，由交换密码机生成加 密公私钥对K并借助签名公钥Ksign‑pub以数字信封形式将其发送至密钥充注终端，以由密 钥充注终端生成加密密钥对保护结构Blob，并作为接口参数将所述加密密钥对保护结构 Blob导入密钥存储介质； 在所述充注步骤中，所述交换密码机在根据所述密钥充注令牌Token通过对所述密钥 充注终端和密钥存储介质的身份认证之后，借助加密公钥K‑pub以数字信封形式将量子密 钥Km写入密钥存储介质。 2.如权利要求1所述的量子密钥充注方法，其中，所述认证准备步骤包括量子密钥生成 步骤、充注令牌下发步骤和Blob生成步骤； 在所述量子密钥生成步骤中，所述交换密码机响应生成充注密钥请求，从量子密钥源 中获取并保存量子密钥； 在所述充注令牌下发步骤中，所述密码服务平台产生所述密钥充注令牌Token，并下发 给所述交换密码机和密钥充注终端； 在所述Blob生成步骤中，所述交换密码机生成所述加密公私钥对K和会话密钥Ka，并形 成密文E(Ka，K)和密文E(Ksign‑pub，Ka)；所述密钥充注终端利用所述密文E(Ka，K)和E (Ksign‑pub，Ka)生成所述加密密钥对保护结构Blob。 3.如权利要求2所述的量子密钥充注方法，其中，所述密钥充注终端在识别到密钥存储 介质之后，使其生成所述签名公私钥对Ksign，从其中获取设备信息和签名公钥Ksign‑pub 并发送给所述密码服务平台；以及/或者， 所述签名公钥Ksign‑pub经由所述密码服务平台发送给所述交换密码机；以及/或者， 所述量子密钥Km以加密的方式存储于所述交换密码机中。 4.如权利要求1所述的量子密钥充注方法，其中，在所述充注步骤中： 在通过身份认证之后，使所述交换密码机生成会话密钥Kb，并分别利用所述会话密钥 Kb与加密公钥K‑pub和量子密钥Km生成密文E(K‑pub，Kb)和E(Kb，Km)；并且， 所述密钥充注终端以文件形式将所述密文E(K‑pub，Kb)和E(Kb，Km)写入密钥存储介 质。 5.如权利要求4所述的量子密钥充注方法，其还包括密钥使用准备步骤，其中：使所述 密钥存储介质调用文件读取接口读取所述密文E(K‑pub，Kb)和E(Kb，Km)；利用所述密文E (K‑pub，Kb)作为参数，通过调用导入会话密钥接口获得所述会话密钥Kb；以及，利用所述会 话密钥Kb和密文E(Kb，Km)作为参数，通过调用数据解密接口获得所述量子密钥Km。 6.如权利要求1所述的量子密钥充注方法，其中，所述加密公私钥对K为ECC加密公私钥 对Kecc或者RSA加密公私钥对Krsa。 7.如权利要求1‑6中任一项所述的量子密钥充注方法，其中，所述密钥存储介质支持符 合GM/T0016国家密码行业标准的接口，以及/或者，所述交换密码机集成有符合GM/T0018 国家密码行业标准的商用加密卡。 8.一种基于量子密码服务平台的量子密钥充注系统，其包括密码服务平台、交换密码 2