本發明公開了一種根密鑰文件請求的處理方法和系統，本申請的根密鑰文件請求處理方法，在發送密鑰請求消息時，對消息中的設備ID和目標密鑰標識都進行了加密，密鑰分發端在接收密鑰請求消息后先根據索引獲取解密密鑰，再解密密鑰請求消息中的加密內容，并根據解密得到的設備ID對其進行進一步的身份認證后，再返回相應的根密鑰響應消息；由于因信息在通信的全過程都是加密的，且加密的密鑰全部為通信者掌握，所以通信的安全性大大提高；本申請的根密鑰文件請求處理系統主要包括終端、密鑰中繼服務器和密鑰分發服務器，密鑰請求消息中的信息由終端加密生成，而密鑰中繼服務器并不存儲用于加密所述密鑰請求消息的密鑰，降低了密鑰泄露的可能性。

技術領域

本發明涉及信息安全技術領域，具體涉及一種根密鑰文件請求的處理方法和系統。

背景技術

信息技術在國民經濟中的地位日益重要，它已經成為經濟發展、社會進步的強大動力，且已成為衡量一個國家綜合國力強弱和國際競爭力高低的主要標志之一。現如今電子商務、電子政務、云計算、物聯網、大數據處理等大型應用信息系統相繼出現并廣泛應用。這些都對信息安全提出了更新更高的要求。信息安全不再局限于對信息的靜態保護而需要對整個信息和信息系統進行保護和防御。

為了適應日益增長的信息安全和網絡安全需求，相關技術中出現了通過量子加密技術來保障信息安全的量子安全設備。量子安全設備利用量子特性及原理進行密鑰的生成、明文的混淆加密、密文的還原解密、密文的通信、反竊聽等一系列加密技術。它不僅可以解決一次一密的密碼本傳輸問題，且量子加密的密鑰是在通信時隨機產生的，無法被竊聽和破解，整體的安全性得到了大大提高。

量子安全設備在通信過程中，一方面通過傳統網絡傳遞加密數據，另一方面還通過密鑰中繼網絡傳遞用于加密數據的量子密鑰。量子密鑰在傳遞的過程中需要密鑰中繼服務器將發送端使用的量子密鑰中繼至接收端，為了提高安全性，在中繼過程中只傳遞密鑰索引，而不傳輸真正的密鑰。因此在密鑰中繼網絡中，密鑰中繼服務器與發送端之間需要同步相同的根密鑰，但目前密鑰中繼服務器在向密鑰分發端請求根密鑰時，發送的消息內容均以明文方式傳輸，這就導致密鑰中繼服務器在請求根密鑰文件時，存在信息泄露的安全隱患。

發明內容

為解決上述問題，本發明公開了一種根密鑰文件請求的處理方法。

本申請提供了一種根密鑰文件請求的處理方法，所述方法包括：

接收來自密鑰中繼端的密鑰請求消息，所述密鑰請求消息中包含密鑰文件索引、第一加密信息和第二加密信息，其中，所述第一加密信息的加密內容包括設備ID，所述第二加密信息的加密內容包括目標密鑰標識；

根據密鑰請求消息中的密鑰文件索引和第一加密信息匹配根密鑰生成記錄；在根密鑰生成記錄匹配成功時，根據根密鑰生成記錄獲取解密密鑰，以解密第一加密信息和第二加密信息得到設備關鍵信息和目標密鑰標識；若解密得到的設備關鍵信息與根密鑰生成記錄中的信息相符，則生成用于指示請求成功的根密鑰響應消息，并在所述根密鑰響應消息中攜帶目標密鑰標識對應的根密鑰文件的文件位置信息，否則向所述密鑰中繼端發送用于指示請求失敗的根密鑰響應消息；

在根密鑰生成記錄匹配失敗時，向所述密鑰中繼端發送根密鑰響應失敗消息。

上述方案中，所述密鑰中繼端生成密鑰請求消息的方法包括：

接收來自終端的接入命令消息，根據所述接入命令消息中的密鑰文件索引、第一加密信息和第二加密信息生成所述密鑰請求消息。

上述方案中，所述第一加密信息和第二加密信息的加密方法包括：

接收來自密鑰分發端的第一密鑰擴展參數，根據預設的參數數據獲取第二密鑰擴展參數；

將所述第一密鑰擴展參數與第二密鑰擴展參數拼接，得到初始密鑰，再根據預設的密鑰擴充算法將所述初始密鑰擴充形成擴充密鑰；