本申请公开了一种基于可信中继的量子密钥分发系统,一种基于可信中继的量子密钥分发方法及装置。其中,所述系统包括:量子密钥分发设备、用于中继密钥和转发加密数据的路由设备、以及数据设备;所述每个量子密钥分发设备与至少一个所述路由设备相连,所述每个量子密钥分发设备与至少一个所述数据设备相连,所述路由设备彼此连接形成网状拓扑;其中,所述量子密钥分发设备用于采用两条或者两条以上的不同路径与对端量子密钥分发设备进行密钥协商、并采用预先设定的策略确定是否需要对所述协商得到的共享密钥进行合并、并在需要时执行相应的合并操作。采用上述系统,不仅可以有效提高量子密钥的成码量,而且可以提高量子密钥分发网络的安全性。
【技术实现步骤摘要】
【专利摘要】本申请公开了一种基于可信中继的量子密钥分发系统,一种基于可信中继的量子密钥分发方法及装置。其中,所述系统包括:量子密钥分发设备、用于中继密钥和转发加密数据的路由设备、以及数据设备;所述每个量子密钥分发设备与至少一个所述路由设备相连,所述每个量子密钥分发设备与至少一个所述数据设备相连,所述路由设备彼此连接形成网状拓扑;其中,所述量子密钥分发设备用于采用两条或者两条以上的不同路径与对端量子密钥分发设备进行密钥协商、并采用预先设定的策略确定是否需要对所述协商得到的共享密钥进行合并、并在需要时执行相应的合并操作。采用上述系统,不仅可以有效提高量子密钥的成码量,而且可以提高量子密钥分发网络的安全性。【专利说明】基于可信中继的量子密钥分发系统、方法及装置
本申请涉及量子密钥分发领域,具体涉及一种基于可信中继的量子密钥分发系统。本申请同时提供一种基于可信中继的量子密钥分发方法,以及一种基于可信中继的量子密钥分发装置。
技术介绍
量子密码作为量子力学和密码学的交叉产物,其安全性由量子力学基于原理保证,任何企图截获或测量量子密钥的操作都会改变量子状态,接收端可以通过量子态的改变判断通信过程中是否存在窃听者,从而可以确定是否舍弃此次密钥,由此给通信带来无条件安全的保障。目前采用BB84等量子密钥协商协议可以实现端到端的量子密钥分发(Quantum Key Distribut1n-QKD)。随着端到端量子密钥分发技术的日益完善,人们开始关注QKD网络,一些公司和研究机构已经开始尝试以不同方式建立QKD网络,包括:基于光学器件的QKD网络、基于可信中继的QKD网络、以及基于量子中继的纯量子网络。其中基于信任中继的QKD网络,可以同时保证多用户和长距离传输的要求,理论上甚至可以实现全球性的密钥分配网络,而且在现有技术条件下,这种网络易于实现,因此可信中继成为了实现大规模QKD网络架构的有效手段。例如:欧洲建立的SECOQC量子保密通信网络、日本建立的东京高速量子网络、以及我国建立的量子政务网都采用了可信中继的手段。请参见附图1,其为可信中继量子密钥传输模型的示意图,Alice与Bob之间要进行保密通信,两者之间的密钥协商路径共包括了 3个可信中继节点。首先发送方Alice先和可信中继节点I之间建立密钥分发链路,进行量子密钥协商,产生一个密钥Kl ;随后,可信中继节点I和可信中继节点2之间建立密钥分发链路,进行量子密钥协商,产生一个共享密钥K2,且把密钥Kl用K2加密后传送给可信中继节点2'......依此类推,最终Bob接收到用密钥K4加密的Kl,Bob利用K4对其解密后获得Kl,Alice与Bob之间就可以使用密钥Kl进行保密通信了。通过上述对密钥中继过程的描述可以看出,基于可信中继的QKD网络要求中继节点必须是安全的,如果任何一个中继节点被攻破,整个路径都变得不安全了,数据通信的安全性和稳定性将受到很大影响;而且采用上述密钥中继方式,密钥成码量(即:密钥分发量)也比较低,无法满足使用密钥量较大的应用场景的需求,例如:云计算。
技术实现思路
本申请提供一种基于可信中继的量子密钥分发系统,以解决现有的基于可信中继的量子密钥分发网络安全性低、密钥分发量低的问题。本申请另外提供一种基于可信中继的量子密钥分发方法,以及一种基于可信中继的量子密钥分发装置。本申请提供一种基于可信中继的量子密钥分发系统,包括:量子密钥分发设备、用于中继密钥和转发加密数据的路由设备、以及用作数据传输的源端或目的端的数据设备;所述每个量子密钥分发设备与至少一个所述路由设备相连,所述每个量子密钥分发设备与至少一个所述数据设备相连,所述路由设备彼此连接形成网状拓扑;其中,所述量子密钥分发设备用于采用两条或者两条以上的不同路径与对端量子密钥分发设备进行密钥协商、并采用预先设定的策略确定是否需要对所述协商得到的共享密钥进行合并、并在需要时执行相应的合并操作。可选的,所述量子密钥分发设备还用于在发起量子密钥协商之前,将本次量子密钥协商的路径信息发送给所述路径包含的路由设备以及接收方量子密钥分发设备;相应的,所述路由设备和所述接收方量子密钥分发设备还用于根据接收到的路径信息,对与其进行密钥协商的路由设备或量子密钥分发设备的身份进行验证。可选的,所述每个量子密钥分发设备与至少两个所述路由设备相连。可选的,所述两条或者两条以上的不同路径是指,其中任意两条路径都不包含相同的路由设备。可选的,所述量子密钥分发设备所采用的两条或者两条以上的不同路径,是根据负载均衡策略选择的。可选的,所述量子密钥分发设备还用于对在所述数据设备之间传输的数据进行加解密。可选的,所述系统还包括:量子网关设备,所述量子密钥分发设备通过所述量子网关设备与所述数据设备相连,所述量子网关设备用于采用与其相连的量子密钥分发设备提供的量子密钥,对在所述数据设备之间传输的数据进行加解密。可选的,所述量子密钥分发设备采用两条或者两条以上的不同路径与对端量子密钥分发设备进行密钥协商包括,在所述任一路径中采用波分复用技术和/或时分复用技术,实现多量子信道的密钥协商。可选的,所述路由设备采用光分叉复用技术、光交叉互联技术、和/或光分组交换技术,对采用量子密钥加密后的数据进行转发。可选的,所述量子密钥分发系统部署于云计算数据中心;所述数据设备是指,云计算数据中心的服务器。可选的,所述系统还包括:光交换机,所述路由设备通过所述光交换机与量子密钥分发设备相连。可选的,所述每个量子密钥分发设备与复数个功能相同的服务器相连;或者,所述每个量子密钥设备与复数个功能不同的服务器相连。可选的,所述系统还包括:具有量子密钥分发设备的云使用商网络;所述云使用商网络的量子密钥分发设备与所述云计算数据中心的两个或者两个以上量子密钥分发设备相连;所述云使用商网络的量子密钥分发设备用于采用两条或者两条以上的不同路径与所述云计算数据中心的对端量子密钥分发设备进行密钥协商、并采用所述预先设定的策略确定是否需要对所述协商得到的共享密钥进行合并、并在需要时执行相应的合并操作。可选的,所述云使用商网络的量子密钥分发设备采用两条或者两条以上的不同路径与所述云计算数据中心的对端量子密钥分发设备进行密钥协商包括,在所述任一路径中采用波分复用技术和/或时分复用技术实现多量子信道的密钥协商。可选的,所述云使用商网络的量子密钥分发设备的数量为两个或者两个以上,其中每个量子密钥分发设备都与所述云计算数据中心的两个或者两个以上量子密钥分发设备相连。可选的,所述量子密钥分发系统分别部署于分布式云计算网络的多个数据中心,所述数据设备是指各数据中心的服务器,所述多个数据中心之间通过量子密钥分发设备相连形成网状拓扑;其中,所述量子密钥分发设备还用于采用两条或者两条以上的不同路径与位于不同数据中心的对端量子密钥分发设备进行密钥协商,并采用所述预先设定的策略确定是否需要对所述协商得到的共享密钥进行合并、并在需要时执行相应的合并操作。可选的,所述系统还包括:具有量子密钥分发设备的云使用商网络,所述云使用商网络通过其量子密钥分发设备与两个或者两个以上数据中心的量子密钥分发设备相连;所述云使用商网络的量子密钥分发设备用于采用两条或者两条以上的不同路径与所述数据中心本文档来自技高网...
【技术保护点】
一种基于可信中继的量子密钥分发系统,其特征在于,包括:量子密钥分发设备、用于中继密钥和转发加密数据的路由设备、以及用作数据传输的源端或目的端的数据设备;所述每个量子密钥分发设备与至少一个所述路由设备相连,所述每个量子密钥分发设备与至少一个所述数据设备相连,所述路由设备彼此连接形成网状拓扑;其中,所述量子密钥分发设备用于采用两条或者两条以上的不同路径与对端量子密钥分发设备进行密钥协商、并采用预先设定的策略确定是否需要对所述协商得到的共享密钥进行合并、并在需要时执行相应的合并操作。
【技术特征摘要】
【专利技术属性】
技术研发人员:付颖芳,刘栓林,高亚滨,陈秀忠,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。