[发明专利]一种根密钥文件的校验方法和装置

说明书

本发明公开了一种根密钥文件的校验方法和装置，本申请的方法通过终端生成校验请求消息，密钥分发端根据接收的校验请求消息中根密钥密文文件的哈希值和设备ID对终端进行身份认证，并在身份认证合法后返回根密钥明文文件的哈希值，以及用于解密根密钥密文文件的密钥扩展参数；终端根据密钥扩展参数获取解密密钥，以解密根密钥密文文件得到根密钥明文文件，并再次对其进行哈希校验；校验方法基于根密钥密文文件和根密钥明文文件的哈希验证，有效保证了根密钥文件的完整性和正确性；本申请的校验装置主要包括：读取模块和校验模块；其中，所述读取模块，用于读取根密钥文件对应的属性信息，校验模块用于哈希校验。

技术领域

本发明涉及信息安全技术领域，具体涉及一种根密钥文件的校验方法和装置。

背景技术

传统的信息安全通过依赖于计算复杂度的加密算法来实现，然而随着计算能力的飞速发展，依赖于计算复杂度的传统加密算法面临着日益加剧的安全风险。

随着社会对通信的安全性越来越看重，量子保密通信技术得到了各方的重视。它能够完美地克服传统通信技术存在的安全隐患问题，保证通信过程具有绝对的安全性和可靠性。

量子保密通信是最先走向实用化和产业化的量子信息技术。目前市面上出现了多种用于保障信息安全的量子安全设备，量子安全设备在使用中能够对数据进行量子加密，保障其发出的数据具有高安全性。量子安全终端进行量子安全通信时，一方面要通过局域网或者互联网发送通过量子密钥加密的用户数据，另一方面还要通过量子安全网中继用于加密的量子秘钥。量子终端在出厂时预注根密钥，但是如果预注的根密钥出现错误，则无法保证其正常通信。为此有必要对量子安全终端内的根密钥进行校验，以保证其完整性和正确性。

发明内容

为解决上述问题，本发明公开了一种根密钥文件的校验方法。

本申请提供了一种根密钥文件的校验方法，所述方法包括：

终端根据根密钥密文文件的属性信息，读取根密钥密文文件对应的设备I D和根密钥索引，并计算该根密钥密文文件的第一哈希值；生成校验请求消息，在所述校验请求消息中携带设备I D和第一哈希值，向密钥分发端发送校验请求消息；

密钥分发端接收校验请求消息，根据校验请求消息中的根密钥索引，匹配根密钥文件记录，基于根密钥文件记录查找并确定根密钥索引对应的根密钥密文文件、根密钥明文文件、设备I D和第一密钥扩展参数，计算查找到的根密钥密文文件对应的第二哈希值，根据第一哈希值与第一哈希值的比较结果，以及校验请求消息中的设备I D与根密钥文件记录中的设备I D是否相符，对终端进行身份认证，若哈希值比较结果一致，且设备I D相符，则身份认证通过，再计算根密钥明文文件对应的第三哈希值，向终端返回校验成功消息，并在消息中携带第三哈希值和第一密钥扩展参数，否则身份认证失败，向终端返回校验失败消息；

终端若接收到来自密钥分发端的校验成功消息，则提取校验成功消息中的第一密钥扩展参数及根密钥明文文件所对应的第三哈希值，将第一密钥扩展参数与量子安全终端中的第二密钥扩展参数拼接，以获取用于解密根密钥密文文件的解密密钥，通过解密根密钥密文文件得到根密钥明文文件，再计算该根密钥明文文件对应的第四哈希值，根据所述第四哈希值信息与第三哈希值的比较结果，确定根密钥文件是否异常；否则继续使用该根密钥密文文件进行校验流程，直至到达预设的校验次数阈值。

上述方案中，所述校验请求消息中的设备I D和第一哈希值均通过第一密钥加密形成第一加密数据，所述校验成功消息中的第一密钥扩展参数和第三哈希值均通过第二密钥加密形成第二加密数据，所述第一密钥和第二密钥均预先存储在终端和密钥分发端内。

上述方案中，所述方法还包括：

终端向密钥分发端发送第一密钥索引；

密钥分发端接收第一密钥索引，根据第一密钥索引确定第一密钥；并在校验成功响应消息中携带第二密钥索引；