一种量子密钥输出方法及系统技术方案

本发明专利技术涉及一种量子密钥输出方法，包括：发送方和接收方分别对应的密钥管理层设备之间通过量子网络进行密钥协商，协商一致，则发送方和接收方的应用层设备分别收到协商一致的量子密钥。本发明专利技术优化了量子密钥输出的流程，所有密钥协商数据都在量子网络进行，应用层设备所在的应用网络不传输量子密钥相关的任何信息，从而保证了密钥协商数据和加密后的业务数据分开传输，保证业务数据的安全。

A quantum key output method and system

The invention relates to a quantum key output method, which includes: the key management layer corresponding by the sender and the receiver is negotiated through the quantum network, and the agreement is consistent. Then the sender and the receiver's application layer devices receive the consistent quantum key respectively. The invention optimizes the process of quantum key output. All the key negotiation data are carried out in the quantum network. The application network of the application layer does not transmit any information related to the quantum key, thus ensuring the key negotiation data and the encrypted business data to be transmitted separately, so as to ensure the security of the business data.

【技术实现步骤摘要】
一种量子密钥输出方法及系统
本专利技术涉及一种量子密钥输出方法及系统，属于量子通信的

技术介绍
伴随着网络信息的发展，网络影响着人们生活的各个方面，随之而来的安全性的要求也越来越高，对人们在网络活动上的保密性要求也越来越高，业务数据的加密或认证技术保证了人们在网络活动中对自己数据和一些相关资料的保密的要求。传统的量子密钥应用方法，应用层设备之间先进行协商和获取密钥，然后再利用所获取的成对的量子密钥对业务数据进行加密或认证；然而在业务数据加密或认证前，密钥协商数据(指密钥标识、密钥一致性验证等信息)在应用层设备之间传输存在一定的安全隐患，降低了业务数据的安全性。特别地，在一些对安全性要求较高的应用场合，应用层设备间不允许进行明文通信，此时原有的密钥协商机制将不再适用。图1所示为目前的密钥输出方法，图1中密钥管理层设备为对量子密钥分发(QKD)设备生成的量子密钥进行密钥管理的设备，例如密钥管理机，应用层设备为进行业务数据传输的设备，比如VPN、视频会议系统等，量子网络指密钥管理层设备所在的网络环境，应用网络指应用层设备所在的网络环境。量子网络通常为内网/私网环境，能够对设备进行有效的监管及控制，从而规避安全风险；应用网络通常为公网环境，网络中有诸多不可控因素存在，易受到第三方的恶意攻击，安全风险高。两端的应用层设备从密钥管理层设备获取量子密钥，对密钥标识、密钥一致性验证等信息进行协商，协商无误后可使用所获取到的量子密钥对业务数据进行加密传输。该输出方法存在以下问题：1.应用层设备需要参与密钥的协商和同步获取，增加应用层设备使用的复杂度。2.在业务数据加密前，密钥协商数据在应用层设备之间传输存在一定的安全隐患，降低了数据的安全性。3.在一些对安全性要求较高的应用场合，应用层设备A和应用层设备B不允许进行明文通信，此时应用层设备A和应用层设备B不能按原有密钥协商机制完成密钥的协商。针对现有技术存在的上述安全传输的问题，本专利技术提出一种将密钥协商数据在量子网络中传输的设计思路，该设计所述的输出方法有效的解决了以下几个问题：应用层设备之间不用进行协商，量子密钥的协商都是密钥管理层设备通过量子网络完成，应用层设备不需要关注；密钥协商数据都是在量子网络中传输，不暴露在应用网络中，提高了数据的安全性；应用层设备之间在不能进行明文通信的情况下，两端仍能完成密钥的获取，同时避免了应用层设备间直接进行密钥协商所可能产生的安全性问题。
技术实现思路
针对现有技术存在的问题，本专利技术提供一种量子密钥输出方法。本专利技术还提供一种实现上述方法的系统。本专利技术的技术方案如下：一种量子密钥输出方法，包括：发送方和接收方，所述发送方包括应用层设备A和密钥管理层设备A，所述接收方包括应用层设备B和密钥管理层设备B；密钥管理层设备A和密钥管理层设备B之间通过量子网络进行密钥协商，协商一致，则应用层设备A和应用层设备B分别收到协商一致的量子密钥。根据本专利技术优选的，所述通过量子网络进行密钥协商，包括：a)应用层设备A向密钥管理层设备A发起密钥获取请求，包括应用层设备B的设备标识及密钥量；b)密钥管理层设备A根据所述应用层设备B的设备标识找到相关密钥并根据所述密钥量获取相应长度的密钥，计算密钥校验和；c)密钥管理层设备A通过量子网络向密钥管理层设备B发送密钥获取请求通知，包括密钥标识、所述密钥量以及密钥校验和；d)密钥管理层设备B收到密钥管理层设备A发送的所述密钥获取请求通知后，根据所述密钥标识与密钥量获取本地相应长度的密钥，计算密钥校验和，并与从密钥管理层设备A收到的所述密钥校验和进行比对；e)如比对一致，则密钥管理层设备A和密钥管理层设备B在量子网络中密钥协商一致；如比对不一致，则密钥管理层设备A和密钥管理层设备B在量子网络中密钥协商不一致。根据本专利技术优选的，所述比对一致，则密钥管理层设备B向应用层设备B推送获取的所述密钥；应用层设备B向密钥管理层设备B发送密钥推送成功响应，依次密钥管理层设备B向密钥管理层设备A发送密钥获取请求成功响应，依次密钥管理层设备A向应用层设备A推送获取的所述密钥。至此应用层设备A和应用层设备B都获取到了相同的密钥。根据本专利技术优选的，所述比对不一致，则密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应，依次密钥管理层设备A向应用层设备A返回密钥获取请求失败响应。根据本专利技术优选的，预先设定密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应次数阈值；所述比对不一致，则密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应；当密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应次数小于所述阈值时，重复步骤b)-e)，或重复步骤c)-e)；当密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应次数等于所述阈值时，密钥管理层设备A向应用层设备A返回密钥获取请求失败响应。根据本专利技术优选的，所述通过量子网络进行密钥协商，包括：a)应用层设备A向密钥管理层设备A发起密钥获取请求，包括应用层设备B的设备标识及密钥量；b)密钥管理层设备A根据所述应用层设备B的设备标识找到相关密钥并根据所述密钥量获取相应长度的密钥，计算密钥校验和，并向应用层设备A推送所获取的密钥；c)密钥管理层设备A通过量子网络向密钥管理层设备B发送密钥获取请求通知，包括密钥标识、所述密钥量以及密钥校验和；d)密钥管理层设备B收到密钥管理层设备A发送的所述密钥获取请求通知后，根据所述密钥标识与密钥量获取本地相应长度的密钥，计算密钥校验和，并与从密钥管理层设备A收到的所述密钥校验和进行比对；e)如比对一致，则密钥管理层设备A和密钥管理层设备B在量子网络中密钥协商一致；如比对不一致，则密钥管理层设备A和密钥管理层设备B在量子网络中密钥协商不一致。根据本专利技术优选的，所述比对一致，则密钥管理层设备B向应用层设备B推送获取的所述密钥；应用层设备B向密钥管理层设备B发送密钥推送成功响应，依次密钥管理层设备B向密钥管理层设备A发送密钥获取请求成功响应。至此应用层设备A和应用层设备B都获取到了相同的密钥。根据本专利技术优选的，所述比对不一致，则密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应，依次密钥管理层设备A向应用层设备A返回密钥获取请求失败响应。根据本专利技术优选的，预先设定密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应次数阈值；所述比对不一致，则密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应；当密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应次数小于所述阈值时，重复步骤b)-e)，或重复步骤c)-e)；当密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应次数等于所述阈值时，密钥管理层设备A向应用层设备A返回密钥获取请求失败响应。一种量子密钥输出系统，包括发送方和接收方，所述发送方包括应用层设备A和密钥管理层设备A，所述接收方包括应用层设备B和密钥管理层设备B，用于实现上述任意一种量子密钥输出方法。本专利技术的优点：本专利技术所述一种量子密钥输出方法及系统，优化了量子密钥输出的流程，所有密钥协商数据都在量子网络进行，应用层设备所在的应用网络不传输量子密钥相关的任何信息，从而保证了密钥协商数据和加密后的业务数本文档来自技高网...

【技术保护点】
1.一种量子密钥输出方法，包括：发送方和接收方，所述发送方包括应用层设备A和密钥管理层设备A，所述接收方包括应用层设备B和密钥管理层设备B；其特征在于，密钥管理层设备A和密钥管理层设备B之间通过量子网络进行密钥协商，协商一致，则应用层设备A和应用层设备B分别收到协商一致的量子密钥。

【技术特征摘要】
1.一种量子密钥输出方法，包括：发送方和接收方，所述发送方包括应用层设备A和密钥管理层设备A，所述接收方包括应用层设备B和密钥管理层设备B；其特征在于，密钥管理层设备A和密钥管理层设备B之间通过量子网络进行密钥协商，协商一致，则应用层设备A和应用层设备B分别收到协商一致的量子密钥。2.根据权利要求1所述的一种量子密钥输出方法，其特征在于，所述通过量子网络进行密钥协商，包括：a)应用层设备A向密钥管理层设备A发起密钥获取请求，包括应用层设备B的设备标识及密钥量；b)密钥管理层设备A根据所述应用层设备B的设备标识找到相关密钥并根据所述密钥量获取相应长度的密钥，计算密钥校验和；c)密钥管理层设备A通过量子网络向密钥管理层设备B发送密钥获取请求通知，包括密钥标识、所述密钥量以及密钥校验和；d)密钥管理层设备B收到密钥管理层设备A发送的所述密钥获取请求通知后，根据所述密钥标识与密钥量获取本地相应长度的密钥，计算密钥校验和，并与从密钥管理层设备A收到的所述密钥校验和进行比对；e)如比对一致，则密钥管理层设备A和密钥管理层设备B在量子网络中密钥协商一致；如比对不一致，则密钥管理层设备A和密钥管理层设备B在量子网络中密钥协商不一致。3.根据权利要求2所述的一种量子密钥输出方法，其特征在于，所述比对一致，则密钥管理层设备B向应用层设备B推送获取的所述密钥；应用层设备B向密钥管理层设备B发送密钥推送成功响应，依次密钥管理层设备B向密钥管理层设备A发送密钥获取请求成功响应，依次密钥管理层设备A向应用层设备A推送获取的所述密钥。4.根据权利要求2或3所述的一种量子密钥输出方法，其特征在于，所述比对不一致，则密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应，依次密钥管理层设备A向应用层设备A返回密钥获取请求失败响应。5.根据权利要求2或3所述的一种量子密钥输出方法，其特征在于，预先设定密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应次数阈值；所述比对不一致，则密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应；当密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应次数小于所述阈值时，重复步骤b)-e)，或重复步骤c)-e)；当密钥管理层设备B向密钥管理层设备A发送密钥获取请求失败响应次数等于所述阈值时，...

【专利技术属性】
技术研发人员：姜胜广，高光辉，王学富，赵波，
申请(专利权)人：山东量子科学技术研究院有限公司，
类型：发明
国别省市：山东,37