一种安全高效的量子密钥服务方法技术

本发明专利技术公开了一种安全高效的量子密钥服务方法，旨在解决量子密钥从QKD网络到传统保密通信网络的跨域服务的灵活性、安全性和效率问题，即采用专用接口实现量子密钥的实时接入与适配，采用跨域隔离实现量子密钥处理的物理安全性，采用集中编排和分布式加密摆渡实现量子密钥安全高效服务。本发明专利技术通过在QKD节点部署量子密钥服务系统，并基于传统保密通信网络为区域范围内的用户提供安全高效的量子密钥服务，同时解决量子密钥服务的安全性、灵活性和效率问题。本发明专利技术基于其更高的安全性、更方便的应用接入、更灵活的服务模式，在党、政、工控、金融、军事等领域具有良好的应用前景。

A secure and efficient quantum key service method

The invention discloses a safe and efficient method to solve the service quantum key, quantum key from the QKD network to the traditional secure communication network of cross domain service flexibility, safety and efficiency, real-time access using special interface to realize quantum key and adaptation, using physical security of quantum key handling cross domain isolation, centralized and distributed scheduling to achieve safe and efficient quantum key encryption ferry service. The invention deploys the quantum key service system in the QKD node, and provides a safe and efficient quantum key service for users in the region based on the traditional secure communication network, and solves the problem of security, flexibility and efficiency of the quantum key service at the same time. The invention has good application prospects in the fields of party, government, industrial control, finance, military and other fields based on its higher safety, more convenient application access and more flexible service mode.

【技术实现步骤摘要】
一种安全高效的量子密钥服务方法
本专利技术涉及一种安全高效的量子密钥服务方法。
技术介绍
量子密钥分发(QKD)是一种新型的随机密钥在线安全分发技术，它基于量子测不准原理和不可克隆定理，利用微观粒子的量子态作为信息载体，通过量子信道实现物理安全的密钥分发。QKD在提升密钥分发安全性和实时性等方面具有显著优势。在国家相关产业政策的激励下，在网络空间安全技术快速发展的背景下，以QKD网络部署和融合应用体系建设为主体的量子通信产业发展步入快速发展时期。由于QKD网络在技术体系上相对独立，很难实现与传统保密通信网络在光纤信道中的同路传输，很难与传统通信系统进行安全无缝对接。为了推进QKD技术的应用并大幅度提升传统保密通信系统的安全性，需要解决量子密钥服务的安全性、灵活性和效率问题。
技术实现思路
为了克服现有技术的上述缺点，本专利技术提供了一种安全高效的量子密钥服务方法，旨在解决量子密钥从QKD网络到传统保密通信网络的跨域服务的灵活性、安全性和效率问题，即采用专用接口实现量子密钥的实时接入与适配，采用跨域隔离实现量子密钥处理的物理安全性，采用集中编排和分布式加密摆渡实现量子密钥安全高效服务。本专利技术解决其技术问题所采用的技术方案是：一种安全高效的量子密钥服务方法，包括如下步骤：步骤一、发起端代理服务器A向响应端代理服务器B发起会话请求，在完成相互认证后，协商量子密钥的参数，并分别向量子密钥服务系统A和量子密钥服务系统B请求量子密钥；步骤二、量子密钥服务系统A和量子密钥服务系统B分别与代理服务器A和代理服务器B进行认证和量子密钥参数确认，并在通过认证和参数确认后，分别向QKD节点A和QKD节点B请求量子密钥；否则，重新申请；步骤三、QKD节点A和QKD节点B在完成相互认证后，实时协商量子密钥或从量子密钥池中读取具有相同索引号的量子密钥，然后分别输出到量子密钥服务系统A和量子密钥服务系统B，并在输出后分别安全删除所述量子密钥；步骤四、量子密钥服务系统A和量子密钥服务系统B对通过检测和校验的量子密钥进行编排后，分别将具有相同密钥索引号的量子密钥加密摆渡给代理服务器A和代理服务器B，并在加密摆渡后分别安全删除所述量子密钥并更新索引；步骤五、代理服务器A和代理服务器B分别解密量子密钥数据，并在校验通过后分别将量子密钥注入到应用系统A和应用系统B中，或者根据相同的策略对量子密钥数据进行编排处理后注入到应用系统A和应用系统B中，或者重新加密后利用公共网络分别摆渡给应用系统A和应用系统B中，并在结束量子密钥服务过程后分别安全删除所述量子密钥；如果不能通过校验，则重新申请。与现有技术相比，本专利技术的积极效果是：1.实现与QKD网络的安全接入：专用接口，跨域隔离，多重安全机制。2.实现量子密钥服务的灵活性：实时接入与适配、同步加密、用后即毁。3.实现QKD网络与分布广泛的应用终端之间的快速对接：实时从QKD申请量子密钥，并通过传统保密通信网络快速注入应用终端。通过在QKD节点部署量子密钥服务系统，并基于传统保密通信网络为区域范围内的用户提供安全高效的量子密钥服务，同时解决量子密钥服务的安全性、灵活性和效率问题。本专利技术基于其更高的安全性、更方便的应用接入、更灵活的服务模式，在党、政、工控、金融、军事等领域具有良好的应用前景。附图说明本专利技术将通过例子并参照附图的方式说明，其中：图1为本专利技术的流程图；图2为量子密钥服务系统的功能模块；图3为本专利技术的工作原理图。具体实施方式一种安全高效的量子密钥服务方法，如图1所示，包括如下内容：根据应用系统需求，代理服务器向量子密钥服务系统申请量子密钥；量子密钥服务系统向QKD节点申请量子密钥，并把编排后的量子密钥数据加密摆渡给代理服务器，代理服务器通过安全接口把量子密钥注入应用系统。具体包括以下步骤：步骤1：根据应用系统需求，发起端代理服务器A向响应端代理服务器B发起会话请求；代理服务器A与代理服务器B基于二者之间的预共享密钥进行认证；在完成相互认证后，协商所需要申请量子密钥的参数(至少包括量子密钥的数据格式、组数和长度)，并分别向量子密钥服务系统A和量子密钥服务系统B请求量子密钥。步骤2：量子密钥服务系统A和量子密钥服务系统B分别与代理服务器A和代理服务器B进行认证和量子密钥参数确认；通过认证和参数确认后，量子密钥服务系统A和量子密钥服务系统B再分别向QKD节点A和QKD节点B请求量子密钥；否则，重新申请。步骤3：QKD节点A和QKD节点B基于二者之间的预共享密钥进行认证，在通过认证后，实时协商量子密钥或从量子密钥池中读取具有相同索引号的量子密钥(此时，实时协商的量子密钥用于补充量子密钥池)，并分别输出到量子密钥服务系统A和量子密钥服务系统B；然后，QKD节点A和QKD节点B分别安全删除所述量子密钥。步骤4：量子密钥服务系统A和量子密钥服务系统B对量子密钥进行随机性检测、一致性和完整性校验；对通过检测和校验的量子密钥按照密钥格式进行编排，并按节点关系和数据长度等增加相应的密钥索引号。量子密钥服务系统A和量子密钥服务系统B分别把具有相同密钥索引号的量子密钥加密摆渡给代理服务器A和代理服务器B；然后，量子密钥服务系统A和量子密钥服务系统B分别安全删除所述量子密钥并更新索引。步骤5：代理服务器A和代理服务器B分别解密量子密钥数据，并对量子密钥进行完整性校验；通过校验后，代理服务器A和代理服务器B分别把量子密钥注入到应用系统A和应用系统B，或者根据相同的策略对量子密钥数据进行编排处理后注入到应用系统A和应用系统B中，或者重新加密后利用公共网络分别摆渡给应用系统A和应用系统B中，量子密钥服务过程结束；代理服务器A和代理服务器B分别安全删除所述量子密钥；如果不能通过校验，则重新申请。其中，量子密钥的编排方法是，把量子密钥服务系统A(假设其服务的应用系统数量为U)与量子密钥服务系统B(假设其服务的应用系统数量为V)间的共享密钥记为密钥序列KAB；把KAB中的数据按照密钥分组长度进行分割，形成规模为U*V的矩阵MAB(U,V)＝{muv},(muv是与密钥分组长度一致的比特序列,u∈[0,U-1],v∈[0,V-1])，矩阵中的元素muv即是应用系统u和v之间的共享密钥；最后，按节点关系、密钥长度等增加相应的密钥索引号，并把MAB(U,V)矩阵中的数据进行安全存储。其中，量子密钥服务系统之间、代理服务器之间、量子密钥服务系统与代理服务器之间采用传统的无线或有线通信技术进行保密通信。其中，包括有密钥管理中心(KMC)的情况，即量子密钥服务系统采用在线加密通信方式或离线方式接受KMC的管理，即，接收KMC下发的量子密钥服务及应用管理策略，上报所提供的量子密钥服务的摘要信息。如图2所示，本专利技术的量子密钥服务系统至少包括如下功能模块：身份认证与管理模块、量子密钥接口模块、量子密钥处理与编排模块、加密通信模块、系统控制模块。其中，身份认证与管理模块：采用在线或离线方式进行注册并获得管理中心授权，获取系统初始化密钥、预共享互通密钥和应用管理策略；在完成初装和授权后接入QKD终端；基于预共享互通密钥实现量子密钥服务系统之间、量子密钥服务系统与代理服务器之间的身份认证。量子密钥接口模块：从QKD节点获取量子密钥，或把编排后的量子密本文档来自技高网...

【技术保护点】
一种安全高效的量子密钥服务方法，其特征在于：包括如下步骤：步骤一、发起端代理服务器A向响应端代理服务器B发起会话请求，在完成相互认证后，协商量子密钥的参数，并分别向量子密钥服务系统A和量子密钥服务系统B请求量子密钥；步骤二、量子密钥服务系统A和量子密钥服务系统B分别与代理服务器A和代理服务器B进行认证和量子密钥参数确认，并在通过认证和参数确认后，分别向QKD节点A和QKD节点B请求量子密钥；否则，重新申请；步骤三、QKD节点A和QKD节点B在完成相互认证后，实时协商量子密钥或从量子密钥池中读取具有相同索引号的量子密钥，然后分别输出到量子密钥服务系统A和量子密钥服务系统B，并在输出后分别安全删除所述量子密钥；步骤四、量子密钥服务系统A和量子密钥服务系统B对通过检测和校验的量子密钥进行编排后，分别将具有相同密钥索引号的量子密钥加密摆渡给代理服务器A和代理服务器B，并在加密摆渡后分别安全删除所述量子密钥并更新索引；步骤五、代理服务器A和代理服务器B分别解密量子密钥数据，并在校验通过后分别将量子密钥注入到应用系统A和应用系统B中，或者根据相同的策略对量子密钥数据进行编排处理后注入到应用系统A和应用系统B中，或者重新加密后利用公共网络分别摆渡给应用系统A和应用系统B中，并在结束量子密钥服务过程后分别安全删除所述量子密钥；如果不能通过校验，则重新申请。...

【技术特征摘要】
1.一种安全高效的量子密钥服务方法，其特征在于：包括如下步骤：步骤一、发起端代理服务器A向响应端代理服务器B发起会话请求，在完成相互认证后，协商量子密钥的参数，并分别向量子密钥服务系统A和量子密钥服务系统B请求量子密钥；步骤二、量子密钥服务系统A和量子密钥服务系统B分别与代理服务器A和代理服务器B进行认证和量子密钥参数确认，并在通过认证和参数确认后，分别向QKD节点A和QKD节点B请求量子密钥；否则，重新申请；步骤三、QKD节点A和QKD节点B在完成相互认证后，实时协商量子密钥或从量子密钥池中读取具有相同索引号的量子密钥，然后分别输出到量子密钥服务系统A和量子密钥服务系统B，并在输出后分别安全删除所述量子密钥；步骤四、量子密钥服务系统A和量子密钥服务系统B对通过检测和校验的量子密钥进行编排后，分别将具有相同密钥索引号的量子密钥加密摆渡给代理服务器A和代理服务器B，并在加密摆渡后分别安全删除所述量子密钥并更新索引；步骤五、代理服务器A和代理服务器B分别解密量子密钥数据，并在校验通过后分别将量子密钥注入到应用系统A和应用系统B中，或者根据相同的策略对量子密钥数据进行编排处理后注入到应用系统A和应用系统B中，或者重新加密后利用公共网络分别摆渡给应用系统A和应用系统B中，并在结束量子密钥服务过程后分别安全删除所述量子密钥；如果不能通过校验，则重新申请。2.根据权利要求1所述的一种安全高效的量子密钥服务方法，其特征在于：所述量子密钥的参数至少包括量子密钥的数据格式、组数和长度。3.根据权利要求1所述的一种安全高效的量子密钥服务方法，其特征在于：对量子密钥的编排方法是，将量子密钥服务系统A与量子密钥服务系统B间的共享密钥KAB中的数据按照密钥分组长度进行分割，形成规模为U*V的矩阵MAB(U,V)＝{muv}，其中muv是与密钥分组长度一致的比特序列，u∈[0,U-1]，v∈[0,V-1])；U、V分别为量子密钥服务系统A、B服务的应用系统数量；最后，按节点关系、密钥长度增加相应的密钥索引号，并将矩阵MAB(U,V)中的数据进行安全存储。4.根据权利要求1所述的一种安全高效的量子密钥服务方法，其特征在于：...

【专利技术属性】
技术研发人员：陈晖，何远杭，张亮亮，黄伟，徐兵杰，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：四川,51