(19)国家知识产权局

(12)发明专利申请

(10)申请公布号CN116418485A
(43)申请公布日2023.07.11
(21)申请号202111648220.1H04L9/40(2022.01)

(22)申请日2021.12.29
(71)申请人科大国盾量子技术股份有限公司
地址230088安徽省合肥市高新区望江西
路800号合肥创新产业园D3楼
申请人山东量子科学技术研究院有限公司
(72)发明人温娜王学富张如通
(74)专利代理机构北京云嘉湃富知识产权代理
有限公司11678
专利代理师程凌军
(51)Int.Cl.
H04L9/08(2006.01)
H04L9/30(2006.01)
H04L9/32(2006.01)
H04L9/06(2006.01)
权利要求书4页说明书9页附图3页
(54)发明名称
基于量子密码服务平台的量子密钥充注方
法、系统及组件
(57)摘要
本发明提出了一种基于量子密码服务平台
的量子密钥充注方法、系统及其组件。其中，通过
量子密钥充注方法及其系统组成的特定配置，允
许在无需对密钥存储介质本身的固件、驱动及接
口进行任何改进的前提下，直接实现向密钥存储
介质充注所需要的量子密钥，由此大大提升量子
密钥充注系统及方法的适用性。同时，借助非对
称算法的数字信封机制实现量子密钥分发过程
的安全性，使得能够以简单轻便的方式保证整个
充注过程的安全性。
CN116418485A
CN116418485A权利要求书1/4页

1.一种基于量子密码服务平台的量子密钥充注方法，其包括认证准备步骤和充注步
骤；
在所述认证准备步骤中，由密码服务平台生成密钥充注令牌Token，并下发给交换密码
机和密钥充注终端；并且，使密钥存储介质生成签名公私钥对Ksign，由交换密码机生成加
密公私钥对K并借助签名公钥Ksign‑pub以数字信封形式将其发送至密钥充注终端，以由密
钥充注终端生成加密密钥对保护结构Blob，并作为接口参数将所述加密密钥对保护结构
Blob导入密钥存储介质；
在所述充注步骤中，所述交换密码机在根据所述密钥充注令牌Token通过对所述密钥
充注终端和密钥存储介质的身份认证之后，借助加密公钥K‑pub以数字信封形式将量子密
钥Km写入密钥存储介质。
2.如权利要求1所述的量子密钥充注方法，其中，所述认证准备步骤包括量子密钥生成
步骤、充注令牌下发步骤和Blob生成步骤；
在所述量子密钥生成步骤中，所述交换密码机响应生成充注密钥请求，从量子密钥源
中获取并保存量子密钥；
在所述充注令牌下发步骤中，所述密码服务平台产生所述密钥充注令牌Token，并下发
给所述交换密码机和密钥充注终端；
在所述Blob生成步骤中，所述交换密码机生成所述加密公私钥对K和会话密钥Ka，并形
成密文E(Ka，K)和密文E(Ksign‑pub，Ka)；所述密钥充注终端利用所述密文E(Ka，K)和E
(Ksign‑pub，Ka)生成所述加密密钥对保护结构Blob。
3.如权利要求2所述的量子密钥充注方法，其中，所述密钥充注终端在识别到密钥存储
介质之后，使其生成所述签名公私钥对Ksign，从其中获取设备信息和签名公钥Ksign‑pub
并发送给所述密码服务平台；以及/或者，
所述签名公钥Ksign‑pub经由所述密码服务平台发送给所述交换密码机；以及/或者，
所述量子密钥Km以加密的方式存储于所述交换密码机中。
4.如权利要求1所述的量子密钥充注方法，其中，在所述充注步骤中：
在通过身份认证之后，使所述交换密码机生成会话密钥Kb，并分别利用所述会话密钥
Kb与加密公钥K‑pub和量子密钥Km生成密文E(K‑pub，Kb)和E(Kb，Km)；并且，
所述密钥充注终端以文件形式将所述密文E(K‑pub，Kb)和E(Kb，Km)写入密钥存储介
质。
5.如权利要求4所述的量子密钥充注方法，其还包括密钥使用准备步骤，其中：使所述
密钥存储介质调用文件读取接口读取所述密文E(K‑pub，Kb)和E(Kb，Km)；利用所述密文E
(K‑pub，Kb)作为参数，通过调用导入会话密钥接口获得所述会话密钥Kb；以及，利用所述会
话密钥Kb和密文E(Kb，Km)作为参数，通过调用数据解密接口获得所述量子密钥Km。
6.如权利要求1所述的量子密钥充注方法，其中，所述加密公私钥对K为ECC加密公私钥
对Kecc或者RSA加密公私钥对Krsa。
7.如权利要求1‑6中任一项所述的量子密钥充注方法，其中，所述密钥存储介质支持符
合GM/T0016国家密码行业标准的接口，以及/或者，所述交换密码机集成有符合GM/T0018
国家密码行业标准的商用加密卡。
8.一种基于量子密码服务平台的量子密钥充注系统，其包括密码服务平台、交换密码

2