[发明专利]一种根密钥文件的校验方法和装置

权利要求书

1.一种根密钥文件的校验方法，其特征在于：所述方法包括：

终端根据根密钥密文文件的属性信息，读取根密钥密文文件对应的设备ID和根密钥索引，并计算该根密钥密文文件的第一哈希值；生成校验请求消息，在所述校验请求消息中携带设备ID和第一哈希值，向密钥分发端发送校验请求消息；

密钥分发端接收校验请求消息，根据校验请求消息中的根密钥索引，匹配根密钥文件记录，基于根密钥文件记录查找并确定根密钥索引对应的根密钥密文文件、根密钥明文文件、设备ID和第一密钥扩展参数，计算查找到的根密钥密文文件对应的第二哈希值，根据第一哈希值与第一哈希值的比较结果，以及校验请求消息中的设备ID与根密钥文件记录中的设备ID是否相符，对终端进行身份认证，若哈希值比较结果一致，且设备ID相符，则身份认证通过，再计算根密钥明文文件对应的第三哈希值，向终端返回校验成功消息，并在消息中携带第三哈希值和第一密钥扩展参数，否则身份认证失败，向终端返回校验失败消息；

终端若接收到来自密钥分发端的校验成功消息，则提取校验成功消息中的第一密钥扩展参数及根密钥明文文件所对应的第三哈希值，将第一密钥扩展参数与量子安全终端中的第二密钥扩展参数拼接，以获取用于解密根密钥密文文件的解密密钥，通过解密根密钥密文文件得到根密钥明文文件，再计算该根密钥明文文件对应的第四哈希值，根据所述第四哈希值信息与第三哈希值的比较结果，确定根密钥文件是否异常；否则继续使用该根密钥密文文件进行校验流程，直至到达预设的校验次数阈值。

2.根据权利要求1所述的根密钥文件的校验方法，其特征在于：所述校验请求消息中的设备ID和第一哈希值均通过第一密钥加密形成第一加密数据，所述校验成功消息中的第一密钥扩展参数和第三哈希值均通过第二密钥加密形成第二加密数据，所述第一密钥和第二密钥均预先存储在终端和密钥分发端内。

3.根据权利要求2所述的根密钥文件的校验方法，其特征在于：所述方法还包括：

终端向密钥分发端发送第一密钥索引；

密钥分发端接收第一密钥索引，根据第一密钥索引确定第一密钥；并在校验成功响应消息中携带第二密钥索引；

终端接收来自密钥分发端发送的校验成功响应消息，根据校验成功响应消息中的第二密钥索引信息确定第二密钥，以解密所述第二加密数据。

4.根据权利要求1所述的根密钥文件的校验方法，其特征在于：所述获取用于解密根密钥密文文件的解密密钥的具体方法包括：

将第一密钥扩展参数与第二密钥扩展参数拼接，形成初始密钥；

根据预设的密钥扩充算法和所述根密钥文件的长度将所述初始密钥扩充形成对应长度的扩展密钥，以此获取用于解密根密钥密文文件的扩展密钥。

5.根据权利要求4所述的根密钥文件的校验方法，其特征在于：所述根密钥密文文件包括多组成对设置的上行根密钥密文文件和下行根密钥密文文件，所述终端通过计算根据根密钥密文文件中的首组上行根密钥密文文件和下行根密钥密文文件的合算哈希值得到第一哈希值；

所述根密钥中心通过计算根密钥明文文文件中的首组根密钥上行明文文件和根密钥下行明文文件的合算哈希值得到第三哈希值。

6.根据权利要求5所述的根密钥文件的校验方法，其特征在于：各所述上行根密钥明文文件和下行根密钥明文文件中均携带有对应的参照哈希值；

所述校验方法还包括：

终端计算解密得到的各上行根密钥明文文件和下行根密钥明文文件的哈希值，并通过验证其与参照哈希值是否相同，以此校验解密后的得到的各上行根密钥明文文件和下行根密钥明文文件的正确性。

7.一种根密钥文件校验装置，其特征在于，所述装置包括：读取模块和校验模块；其中，所述读取模块，用于读取根密钥文件对应的属性信息，获取根密钥密文文件对应的设备ID、根密钥索引、第一密钥扩展参数、第一密钥和第二密钥；所述校验模块，用于将计算得到的根密钥明文文件的第四哈希值与接收的来自密钥分发端发送的第三哈希值进行比较；以及，当所述第四哈希值与所述第三哈希值一致时，确定校验成功；当所述第四哈希值与所述第三哈希值不一致时，确定校验失败。