(19)国家知识产权局 (12)发明专利 (10)授权公告号CN114531238B (45)授权公告日2022.07.19 (21)申请号202210433028.9(56)对比文件 (22)申请日2022.04.24CN108513704A,2018.09.07 CN111490871A,2020.08.04 (65)同一申请的已公布的文献号US2022006627A1,2022.01.06 申请公布号CN114531238A 审查员徐思毅 (43)申请公布日2022.05.24 (73)专利权人中电信量子科技有限公司 地址230088安徽省合肥市高新区创新产 业园一期A3-812 (72)发明人刘驰罗俊 (74)专利代理机构合肥市浩智运专利代理事务 所(普通合伙)34124 专利代理师闫客 (51)Int.Cl. H04L9/08(2006.01) H04L9/32(2006.01)权利要求书4页说明书17页附图2页 (54)发明名称 基于量子密钥分发的密钥安全充注方法及 系统 (57)摘要 本发明公开一种基于量子密钥分发的密钥 安全充注方法及系统，属于量子通信技术领域， 方法包括充注机向密钥管理系统发送第一充注 密钥请求，并接收密钥管理系统返回的充注信 息；充注机向第一密钥管理器发送充注信息，以 使第一密钥管理器经QKDN控制器建立与第二密 钥管理器之间的密钥分发链路，第一密钥管理器 和第二密钥管理器中存储有充注密钥对；充注机 向第一密钥管理器发送第二充注密钥请求，并将 获取的充注密钥对充注至安全芯片；密钥管理系 统向第二密钥管理器发送第三充注密钥请求，并 将获取的充注密钥对充注至服务器密码机中。本 发明可实现异地情况下的互联网上无密文传递 的密钥安全充注。 CN114531238B CN114531238B权利要求书1/4页 1.一种基于量子密钥分发的密钥安全充注方法，其特征在于，所述方法包括： 充注机代理安全芯片向密钥管理系统发送第一充注密钥请求，并接收所述密钥管理系 统返回的充注信息； 所述充注机向第一密钥管理器发送所述充注信息，以使所述第一密钥管理器经QKDN控 制器建立与第二密钥管理器之间的密钥分发链路，其中，所述第一密钥管理器与所述充注 机连接，所述第二密钥管理器与所述密钥管理系统连接，所述第一密钥管理器和所述第二 密钥管理器中存储有充注密钥对，所述充注密钥对为主密钥； 所述充注机向所述第一密钥管理器发送第二充注密钥请求，并将获取的充注密钥对充 注至所述安全芯片； 所述密钥管理系统向所述第二密钥管理器发送第三充注密钥请求，并将获取的充注密 钥对充注至服务器密码机中； 所述充注机向第一密钥管理器发送所述充注信息，以使所述第一密钥管理器经QKDN控 制器建立与第二密钥管理器之间的密钥分发链路，包括： 所述充注机向所述第一密钥管理器发送第四充注密钥请求，所述第四充注密钥请求携 带所述充注信息； 所述第一密钥管理器基于所述第四充注密钥请求，发送密钥分发通道数据至所述QKDN 控制器； 所述QKDN控制器根据所述密钥分发通道数据建立量子分发及中继通道，并向所述第一 密钥管理器和所述第二密钥管理器分别提供所述充注密钥对； 所述充注机获取所述第一密钥管理器返回的应答信息。 2.如权利要求1所述的基于量子密钥分发的密钥安全充注方法，其特征在于，所述充注 机代理所述安全芯片向密钥管理系统发送第一充注密钥请求，并接收所述密钥管理系统返 回的充注信息，包括： 所述充注机获取所述安全芯片的ID以及所需充注的密钥量； 所述充注机向所述密钥管理系统发送所述第一充注密钥请求； 所述充注机获取所述密钥管理系统返回的所述充注信息。 3.如权利要求1所述的基于量子密钥分发的密钥安全充注方法，其特征在于，所述充注 机向所述第一密钥管理器发送第二充注密钥请求，并将获取的充注密钥对充注至所述安全 芯片，包括： 所述充注机获取所述安全芯片产生的第一公私钥对，所述第一公私钥对包括第一公钥 和第一私钥； 所述充注机向所述第一密钥管理器发送所述第二充注密钥请求，以使所述第一密钥管 理器使用所述第一公钥对所述充注密钥对进行加密，得到第一密文，其中，所述第二充注密 钥请求携带有所述第一公钥； 所述充注机获取所述第一密文，并利用所述第一私钥对所述第一密文解密得到所述充 注密钥对； 所述充注机将所述充注密钥对充注至所述安全芯片，以使所述安全芯片利用第一主密 钥对所述充注密钥对进行加密并存储。 4.如权利要求3所述的基于量子密钥分发的密钥安全充注方法，其特征在于，在所述第 2 CN114531238B权利要求书2/4页 一密钥管理器获取所述第二充注密钥请求之后，所述方法还包括： 所述第一密钥管理器产生第一临时密钥，并使用所述第一临时密钥对所述充注密钥对