本发明专利技术公开了一种量子密钥动态分发的管理方法,KU1向KA1发出请求,用以申请与KU2使用密钥进行通信;KA1将KU1的请求提交到KMC;KU2向KA2发出请求,用以申请与KU1使用密钥进行通信;KA2将KU2的请求提交到KMC;KMC通过请求,使KU1和KU2匹配成功,形成用户对并放入用户对列表,形成更新的用户对列表;KMC将更新的用户对列表提供给KA1和KA2;KA1和KA2根据更新的用户对列表派发密钥,并各自向KU1和KU2提供密钥;KU1和KU2用得到的密钥进行数据加密通信。本发明专利技术还公开了一种量子密钥动态分发的管理系统。本发明专利技术对量子密钥的管理效率高,实用性好。
【技术实现步骤摘要】
本专利技术涉及了一种量子密钥池的管理方法及系统,尤其涉及一种量子密钥动态分发的管理方法及系统。
技术介绍
在对称密钥分配过程中,密钥的管理比较困难,特别是在密钥用户较多的情况下,在有密钥池的密钥分配中,从密钥写入到密钥池,再从密钥池中被读走,然后分发给密钥用户使用,这需要对密钥池有个统一的调度,才能保障多用户密钥的均衡使用。在量子密钥分配网络中,密钥由量子密钥分发设备分发到两地,两地分别建立缓冲密钥池,密钥用户使用密钥的时候,分别从两端的密钥池中读取密钥。不同的密钥用户对密钥的需求量和使用速度是不同的,密钥使用过程中必须保证每个用户对有基本可使用密钥的前提下,满足更多密钥需求量的用户对,然而市场上以及现有技术中并没有能够满足此要求的系统及方法。
技术实现思路
本专利技术的目的是针对上述现有技术的不足,提供一种量子密钥动态分发的管理方法及系统,本量子密钥动态分发的管理方法及系统对量子密钥的管理效率高,实用性好。为实现上述技术的,本专利技术采取的技术方案为:量子密钥动态分发的管理方法,包括KMC和两个安全受控区,当一个安全受控区是本端时,另一个安全受控区是对端;KMC通过密钥控制通道连接在两个安全受控区之间;所述本端包括量子密钥分配终端QKD1、密钥服务代理KA1、密钥的用户KU1 ;所述对端包括量子密钥分配终端QKD2、密钥服务代理KA2、密钥的用户KU2 ;其特征在于包括以下步骤: (DKU1向KA1发出请求,用以申请与KU2使用密钥进行通信; (2)KA1将KU1的请求提交到KMC ; (3)KU2向KA2发出请求,用以申请与KU1使用密钥进行通信; (4)KA2将KU2的请求提交到KMC ; (5)KMC通过请求,使KU1和KU2匹配成功,形成用户对并放入用户对列表,形成更新的用户对列表;KMC将更新的用户对列表提供给KA1和KA2 ;(6)KA1和KA2根据更新的用户对列表派发密钥,并各自向KU1和KU2提供密钥; (7)KU1和KU2用得到的密钥进行数据加密通信。进一步的,当新的用户对生成后放入用户对列表时,KA1和KA 2分别对应的创建一个密钥池子,QKD源源不断的生成量子密钥交给KA 1和KA 2,KA1和KA 2分别根据用户对列表轮流向对应的池子注入量子密钥;量子密钥注入密钥池子过程遵从设定的原则,在保证每个用户对有基本使用密钥的前提下,满足更多密钥需求量的用户对。进一步的,量子密钥写入过程中,根据密钥池中量子密钥剩余量的大小和密钥池用户优先级决定写入量子密钥的多少。进一步的,如果密钥池中量子密钥的剩余百分比较小,优先写入;如果密钥池用户优先级较高,优先写入;密钥池量子密钥被读出频次较高,优先写入;密钥池设有量子密钥更新机制,对已经缓存在密钥池中的量子密钥,过期丢弃并重新补充新的量子密钥。 进一步的,量子密钥使用过程中,各个密钥用户对消耗的量子密钥速度不同,消耗速度快的应当快速补充其密钥池中的量子密钥,方法是以设定比例抢占并分流其他一个或多个密钥用户对密钥池子的密钥流来源;如果被抢占的密钥流不能满足要求,消耗量大于注入量,增大分流比例并继续抢占其他密钥用户对池子的密钥流,直至没有密钥流可抢占,此时就抢占其他一个或多个用户对密钥池中已有的密钥,抢占方式优先选择密钥剩余量最高的池子;如果存在多个密钥剩余量相等的池子,随机选择其中一个或多个抢占,抢占其池子中密钥的设定比例;如果一段时间内用户对读密钥的频次较高,且密钥消耗速度较快,动态调整增大密钥池子的大小;反之如果一段时间内用户对读密钥的频次较低,且密钥消耗速度较慢,动态调整减小密钥池子的大小。进一步的,每个密钥池子都设有2个密钥临界点,一个是补充密钥临界点,当密钥量下降到该临界点时,需要抢占其他密钥用户对密钥池的密钥流或密钥池中已有量子密钥;另一个是密钥池子最低临界点,到了最低临界点其他用户对不可抢占其密钥流或密钥池中已有量子密钥。进一步的,当密钥池发生变化的时候,触发密钥池状态更新,执行密钥资源分配流程;系统运行过程中实时统计每个密钥池的量子密钥的使用频次和距上一次使用量子密钥的时间间隔,并对密钥池中量子密钥剩余百分比进行排序,方便下一次状态切换和密钥池资源的动态调整;用户对密钥池子的大小s,触发抢占的设定比例a、补充密钥临界点b和最低临界点c在实际环境中根据情况配置一个合适的值,保障各个用户对的密钥池相对稳定,在系统运行过程中适时调整各个用户对密钥池的大小,以达到系统中各个池子相对稳定。为实现上述技术目的,本专利技术采取的另一种技术方案为:量子密钥动态分发的管理系统,其特征在于:包括KMC和两个安全受控区,KMC通过密钥控制通道连接在两个安全受控区之间;当一个安全受控区是本端时,另一个安全受控区是对端;安全受控区内的用户之间通信不需要加密,不同的两个安全受控区之间的用户通信使用量子密钥进行加密保护;所述安全受控区包括QKD、KA、KU ; QKD为量子密钥分配终端,用于在本端和对端之间生成对称的量子密钥; KA为密钥服务代理,用于对本端的QKD生成的量子密钥进行存储、分发与管理; KU为密钥的用户,用于从本端的KA读取量子密钥; KMC为密钥管理中心,用于对量子密钥的使用管理、记录用户注册信息以及控制用户间量子密钥的使用; 本端的KU和对端的KU之间通过数据加密通道进行通信; 本端的QKD和对端的QKD之间通过量子密钥通道进行密钥分发; QKD通过量子密钥通道实现在本端和对端中生成对称量子密钥; 后交给KA对生成的对称量子密钥进行存储、分发与管理,并当KU需要使用量子密钥时,先到KMC进行注册后才有权限到KA读取量子密钥。进一步的,通信的用户对;KMC将用户列表下发给本端的KA,本端的KA根据通信用户列表派发密钥给本端的KU并为其提供密钥读服务。进一步的,KA用于对构建的用户对分配一个动态的密钥池子,然后向密钥池子内注入量子密钥;κυ用于从密钥池子内取量子密钥对用户数据加解密;用户对可以手动添加也可以根据策略动态配对完成;用户对在创建的时候有多个属性项,所述属性项包括用户对的密钥池子的大小、密钥使用优先级、池子临界点。根据KU应用业务的不同,设置不同的属性。本专利技术的量子密钥由量子密钥分发设备分发完成,在两端生成对称的量子密钥;量子密钥通过密钥池进行缓存;根据量子密钥用户对数,将量子密钥分成多个池子,每个池子根据用户业务需求设定大小;根据密钥池子中密钥剩余量实时向密钥池子补充量子密钥;根据每个密钥池子的状态调整密钥流分配比例,调整密钥池子中已有量子密钥的分配;根据密钥池子中量子密钥的消耗速度和量子密钥使用频数,动态调整各个密钥池子容量大小。总之本专利技术量子密钥动态分发的管理方法及系统对量子密钥的管理效率高,实用性好。【附图说明】图1为本专利技术的流程示意图; 图2为本专利技术的结构示意图; 图3为本专利技术密钥轮流写入密钥池的流程示意图; 图4为本专利技术密钥池管理的流程示意图。【具体实施方式】实施例1 参见图1、图3和图4,本量子密钥动态分发的管理方法,包括KMC和两个安全受控区,当一个安全受控区是本端时,另一个安全受控区是对端;KMC通过密钥控制通道连接在两个安全受控区之间;所述本端包括量子密钥分配终端本文档来自技高网...
【技术保护点】
一种量子密钥动态分发的管理方法,包括KMC和两个安全受控区,当一个安全受控区是本端时,另一个安全受控区是对端;KMC通过密钥控制通道连接在两个安全受控区之间;所述本端包括量子密钥分配终端QKD1、密钥服务代理KA1、密钥的用户KU1;所述对端包括量子密钥分配终端QKD2、密钥服务代理KA2、密钥的用户KU2;其特征在于包括以下步骤:(1)KU1向KA1发出请求,用以申请与KU2使用密钥进行通信;(2)KA1将 KU1的请求提交到KMC;(3)KU2向KA2发出请求,用以申请与KU1使用密钥进行通信;(4)KA2 将KU2的请求提交到KMC;(5)KMC通过请求,使KU1和KU2匹配成功,形成用户对并放入用户对列表,形成更新的用户对列表;KMC将更新的用户对列表提供给KA1和KA2;(6)KA1和KA2根据更新的用户对列表派发密钥,并各自向KU1和KU2提供密钥;KU1和KU2用得到的密钥进行数据加密通信。
【技术特征摘要】
【专利技术属性】
技术研发人员:苗春华,王剑锋,尹凯,王立霞,王雨,张奇,赵义博,
申请(专利权)人:安徽问天量子科技股份有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。