本发明专利技术提供一种金融领域基于量子保密通信技术的工作密钥分发系统,所述工作密钥分发系统包括多个工作站点和量子通信网络,每个工作站点包括量子密钥生成与管理终端和量子随机数发生器;各个工作站点的通信主密钥通过各个工作站点的本地量子密钥生成与管理终端分发及更新,每个工作站点的工作密钥使用本地量子随机数发生器产生的量子随机数作为密钥源。本发明专利技术使用通信主密钥加密工作密钥的方式进行分发,替代人工更新方式,密钥分发、更新效率更高,而通信主密钥的安全性依赖于量子密钥分发技术,安全性更高。
【技术实现步骤摘要】
金融领域基于量子保密通信技术的工作密钥分发系统及其应用方法
本专利技术涉及金融领域密钥分发业务领域,具体涉及一种金融领域基于量子保密通信技术的工作密钥分发系统及其应用方法。
技术介绍
金融业是国民经济的重要领域,它包括银行业、保险业、证券业、信托业和租赁业。国家密码局霍炜指出:密码与金融深度融合是必然要求,金融的本质是价值交换,密码的功能是信息保护和安全认证。目前金融领域,当前金融行业用户大多建立了完善的密码体系,但是受限于现有的密码体系在跨机构密钥分发上仍无法高效、安全的实现,如银联的跨行交易系统的密钥分发,仍然需要依靠人工分发。金融机构的工作密钥一般由本地密码机内置噪声随机数发生器或者软件算法生成工作密钥,而后工作密钥再通过人工方式,或通信主密钥加密的方式,或RSA等非对称加密进行工作密钥的分发和更新。所以,工作密钥分发的安全和效率建立在人工方式,或通信主密钥加密方式,或RSA等非对称加密方式基础之上。采用人工方式进行工作密钥的分发,主要是通过信使传递工作密钥,也就是将装有工作密钥的密封邮件由信使来传递。但这种分发方式成本较高,密钥更新频率有限,不更新或较长时间更新一次。采用通信主密钥加密进行工作密钥的分发,一般由通信主密钥加密,通过业务专线分发给对端。但这种方式的安全性,主要取决于通信主密钥的安全分发方式。现有主密钥分发及更新方式主要有以下几种。约定,双方约定一些共同因子,合成主密钥,更新时使用当前主密钥加密新主密钥通过业务专线发送给对端;预制,在一个安全环境中,把双方主密钥灌入设备,更新时使用当前主密钥加密新主密钥通过业务专线发送给对端;人工分配,不更新或较长时间更新一次。此种方式,新的密钥的安全依赖于上一个密钥的安全,且密钥管理成本较高。采用RSA等非对称加密进行工作密钥的分发(常用在互联网行业)。由于非对称密码体系的安全原理依赖于某些数学问题,如大数分解、离散对数求解等计算单向性质的假设。这些假设在量子计算概念的提出后已经在原理上被粉碎了。所以,基于非对称密码体系进行密钥分发已不安全,无法应对量子计算的威胁。
技术实现思路
为了解决上述问题,本专利技术提供一种金融领域基于量子保密通信技术的工作密钥分发系统,所述工作密钥分发系统包括多个工作站点和量子通信网络,每个工作站点包括量子密钥生成与管理终端和量子随机数发生器;各个工作站点的通信主密钥通过各个工作站点的本地量子密钥生成与管理终端分发及更新,每个工作站点的工作密钥使用本地量子随机数发生器产生的量子随机数作为密钥源。在一种实施方式中,每个工作站点还包括量子加密机和量子安全服务平台;每个工作站点的量子密钥生成与管理终端通过量子通信网络连接,实现每个工作站点之间的量子通信主密钥分发,并传递给每个工作站点的本地量子加密机;一个工作站点的量子安全服务平台与本地量子随机数发生器相连接,调度本地量子随机数发生器产生随机数作为工作密钥,提供给本地量子加密机;和,所述本地量子加密机使用所述通信主密钥加密所述工作密钥,得到工作密钥的密文,并通过网络传输给另一个工作站点的量子加密机,该量子加密机使用所述通信主密钥解密密文,得到工作密钥。在一种实施方式中,所述量子通信网络包括各个工作站点的集控站和量子密钥管理系统,各个工作站点的集控站是用于实现区域量子密钥生成与量子密钥中继的功能的控制;所述量子密钥管理系统将根据各个工作站点的量子密钥生成与管理终端备的身份标识,协调各个工作站点的量子密钥生成与管理终端通过量子通信网络进行密钥协商,使得各个工作站点获取相同的通信主密钥。在一种实施方式中,各个工作站点的集控站上联实现与量子通信网络的骨干网设备的出口对接,下联汇聚接入各个工作站点。在一种实施方式中,所述量子密钥生成与管理终端通过量子信道和经典通信信道与所述量子通信网络连接。在一种实施方式中,所述量子安全服务平台同时用于实现对量子密钥实现全生命周期管理。在一种实施方式中,本专利技术提供上述工作密钥分发系统的应用方法,,所述方法包括以下步骤:步骤1,第一工作站点的量子密钥生成与管理终端与第二工作站点量子密钥生成与管理终端进行通信,量子通信网络将根据每个工作站点的量子密钥生成与管理终端的身份标识,协调两个工作站点的量子密钥生成与管理终端通过量子通信网络进行密钥协商;步骤2,密钥协商结束后,第一和第二工作站点的量子密钥生成与管理终端之间获取相同的通信主密钥K1,并传递给各自量子加密机;步骤3,第一站点的量子安全服务平台控制本地量子随机数发生器产生随机数,作为工作密钥K2,并传输给本地量子加密机;步骤4,第一站点的量子加密机使用通信主密钥K1加密工作密钥K2,得到工作密钥的密文,并通过网络传输给第二站点的量子加密机;步骤5,第二站点的量子加密机使用通信主密钥K1解密密文,得到工作密钥K2。在本专利技术中各种术语含义如下。对称加密:采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密。非对称密码体制:非对称密码体制又称为双密钥密码体制或公开密钥密码体制,是指加密和解密操作分别使用两个不同的密钥,并且不可能由加密密钥推导出解密密钥。密钥:控制密码算法运算的关键信息或参数。量子通信技术:量子通信作为量子信息科学的重要分支,是利用量子态作为信息载体来进行信息交互的通信技术,量子密钥分发(QuantumKeyDistribution,QKD)是最先实用化的量子信息技术,是量子通信的重要方向。量子密钥分发可以在空间分离的用户之间以信息理论安全的方式共享密钥。量子保密通信:是指以具备信息理论安全性证明的QKD技术作为密钥分发功能组件,结合适当的密钥管理、安全的密码算法和协议而形成的加密通信安全解决方案。量子加密设备/量子加密客户端:基于量子密钥的加密设备,如IPSecVPN、SSLVPN、网络加密机等,密钥由量子通信网络或者量子密钥存储介质提供,原有的密码体制如密码算法和密码协议不发生变化,实现点对点或者点对多点的链路加密功能。量子密钥分发(QKD):基于量子力学的基本原理保证通信双方之间能够生成一串完全相同且攻击者无法获取信息的随机数以作为共享密钥的方法和过程。QKDM:以量子密钥分发技术为基础的量子密钥生成与管理终端。本专利技术使用通信主密钥加密工作密钥的方式进行分发,替代人工更新方式,密钥分发、更新效率更高,而通信主密钥的安全性依赖于量子密钥分发技术,安全性更高。本专利技术使用量子网络进行密钥的在线更新,不需要双方提前约定信息或预制密钥,新的密钥的安全不依赖上一个密钥的安全,同时,本方案作为密钥基础设施,可对不同业务系统复用,并降低密钥管理成本。非对称加密算法无法应对量子计算的威胁,本专利技术量子密钥分发可解决这一问题;在加密性能方面,对称算法加密性能比非对称算法加密性能高一个数量级。另外,本方案采用量子随机数发生器作为密钥源,替代原有密码机内置噪声随机数发生器或者软件算法生成密钥,实现基于量子物理学原理的真随机,随机性更高。本发本文档来自技高网...
【技术保护点】
1.金融领域基于量子保密通信技术的工作密钥分发系统,其特征在于,所述工作密钥分发系统包括多个工作站点和量子通信网络,每个工作站点包括量子密钥生成与管理终端和量子随机数发生器;各个工作站点的通信主密钥通过各个工作站点的本地量子密钥生成与管理终端分发及更新,每个工作站点的工作密钥使用本地量子随机数发生器产生的量子随机数作为密钥源。/n
【技术特征摘要】
1.金融领域基于量子保密通信技术的工作密钥分发系统,其特征在于,所述工作密钥分发系统包括多个工作站点和量子通信网络,每个工作站点包括量子密钥生成与管理终端和量子随机数发生器;各个工作站点的通信主密钥通过各个工作站点的本地量子密钥生成与管理终端分发及更新,每个工作站点的工作密钥使用本地量子随机数发生器产生的量子随机数作为密钥源。
2.根据权利要求1所述的工作密钥分发系统,其特征在于,每个工作站点还包括量子加密机和量子安全服务平台;
每个工作站点的量子密钥生成与管理终端通过量子通信网络连接,实现每个工作站点之间的量子通信主密钥分发,并传递给每个工作站点的本地量子加密机;
一个工作站点的量子安全服务平台与本地量子随机数发生器相连接,调度本地量子随机数发生器产生随机数作为工作密钥,提供给本地量子加密机;
所述本地量子加密机使用所述通信主密钥加密所述工作密钥,得到工作密钥的密文,并通过网络传输给另一个工作站点的量子加密机,该量子加密机使用所述通信主密钥解密密文,得到工作密钥。
3.根据权利要求2所述的工作密钥分发系统,其特征在于,所述量子通信网络包括各个工作站点的集控站和量子密钥管理系统,各个工作站点的集控站是用于实现区域量子密钥生成与量子密钥中继的功能的控制;所述量子密钥管理系统将根据各个工作站点的量子密钥生成与管理终端备的身份标识,协调各个工作站点的量子密钥生成与管理终端通过量子通信网络进行密钥协商,使得各个工作站点获...
【专利技术属性】
技术研发人员:黄安静,翁晨,戴涛,
申请(专利权)人:国科量子通信网络有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。