量子密钥管理服务核心网、系统及量子密钥协商方法技术方案

本发明专利技术公开了一种量子密钥管理服务核心网、系统及量子密钥协商方法。本发明专利技术提供的量子密钥管理服务核心网，构建在QKD网络之上的量子密钥管理层，其解耦合了在线量子密钥分发时量子密钥生成/分发层与量子密钥应用层的紧耦合，并实现在线/离线量子密钥服务的融合。其中的量子密钥管理服务节点的域内可以实现通信自治；量子密钥管理服务节点间通过量子密钥管理服务中心实现的跨域通信，实现全域任意两点间密钥应用设备的量子密钥协商。

Quantum key management service core network, system and quantum key agreement method

【技术实现步骤摘要】
量子密钥管理服务核心网、系统及量子密钥协商方法
本专利技术涉及通信
，尤其涉及一种基于量子密钥技术的量子密钥管理服务核心网、系统及量子密钥协商方法。
技术介绍
超级计算机的概念从1929年被提及，至今已发展了将近一个世纪。超级计算机的计算能力更是随着各个学科的发展不断进步，目前计算速度已经突破亿亿级。随着计算机能力的提升，传统的对称加密算法的薄弱性也体现出来，比如，DES算法的密钥存在被破解的风险。同时，随着量子计算机的发展，很多机构已经研究出各类量子计算机。可以预见的，量子计算机的计算机能力进一步增加了对称密钥被破解的风险。从当前各项技术的发展趋势看，现有建立的安全体系将逐渐不再适用，世界亟需一种新的技术来保障信息传递的安全。一些大型企业、行业组织、乃至国家均在信息安全领域投入大量研究，催生出各类方法，而基于量子密钥技术的量子通信是其中的佼佼者。量子密钥分发（QuantumKeyDistribution，简称QKD）技术是近几十年发展起来的新型技术，是量子论与信息论相互结合后的产物。在应用领域，一般使用量子网关通过量子信道在两个用户端生成对称的量子密钥并用于加密两端的通信数据，保证数据通信的安全。QKD技术是现有惟一可达香农提出“绝对安全”的方法。量子保密通信QKD网络，包括骨干网、城域网在不断快速发展。在广域量子通信QKD网络基础上，能够提供全网广覆盖的密钥基础设施能力，解决密钥孤岛问题，提供统一的密钥服务，对于量子保密通信的发展及量子密钥应用产业化落地有积极推动作用。目前基于QKD网络的量子保密通信的量子密钥管理服务，主要有如下两种模式：在线量子密钥分发模式和离线量子密钥分发模式。请一并参阅图1-图2，其中，图1为现有在线量子密钥分发模式架构示意图，图2为现有离线量子密钥分发模式架构示意图。如图1所示，在线量子密钥分发模式，可实现QKD网络内任意两点间密钥应用设备（在线的密钥应用设备）的在线密钥协商；两点间密钥分发信息理论安全，借助QKD网络可实现长距离密钥安全分发。但量子密钥应用设备和量子密钥生成/分发层的量子密钥分发器（QKD）有线连接，密钥应用受限于有线固网，无法为离线的密钥应用设备提供服务。如图2所示，离线量子密钥分发模式，其基于单中心孤岛方式，继承QKD网络密钥安全分发特性；其增设量子随机数发生器（QuantumRandomNumberGenerator，简称QRNG），实现离线量子密钥分发，拓展了离线密钥应用。两点间密钥应用设备（离线的密钥应用设备）之间基于离线量子密钥协商量子会话密钥。但是各个单中心孤岛无法互通，无法实现任意两点间的量子会话密钥协商，容易形成密钥管理孤岛，无法实现多个量子密钥管理服务系统间互通。由于在线量子密钥分发模式和离线量子密钥分发模式，在不同层次进行密钥管理及对应用提供密钥服务，因此两种模式只能组合使用。这种组合使用方式组网复杂，无法实现密钥管理及服务的融合。目前基于QKD的量子保密通信主要基于有线网络。如何突破有线固网限制将量子密钥技术应用到离线领域并解决密钥孤岛问题、实现量子密钥基础设施能力、提供统一的量子密钥服务、实现广覆盖和灵活的量子密钥服务能力，成为量子保密通信发展的迫切需求。
技术实现思路
本专利技术的目的在于，提供一种量子密钥管理服务核心网、系统及量子密钥协商方法，可以突破有线固网限制将量子密钥技术应用到离线领域并解决密钥孤岛问题、实现量子密钥基础设施能力、提供统一的量子密钥服务、实现广覆盖和灵活的量子密钥服务能力。为实现上述目的，本专利技术提供了一种量子密钥管理服务核心网，所述量子密钥管理服务核心网包括：位于同一区域内的一量子密钥管理服务中心、以及多个量子密钥管理服务节点；所述量子密钥管理服务中心，分别与本区域内的每一所述量子密钥管理服务节点相连、并与相应量子密钥分发器相连，用于为所述量子密钥管理服务节点及其对接的密钥应用设备提供信息管理；所述量子密钥管理服务节点，与相应量子密钥分发器相连、并与至少一在线/离线的密钥应用设备相连，用于对相应量子密钥分发器生成的量子密钥进行密钥管理，以及为相应的密钥应用设备提供量子密钥服务。为实现上述目的，本专利技术还提供了一种量子密钥管理服务系统，所述系统具有位于底层的量子密钥生成/分发层、位于顶层的量子密钥应用层，以及配置于所述量子密钥生成/分发层与所述量子密钥应用层之间的量子密钥管理层；所述系统包括：QKD网络，位于所述量子密钥生成/分发层，用于构建密钥分发网络，并进行量子密钥生成和分发；多个量子密钥分发器，位于所述量子密钥生成/分发层，并分别接入所述QKD网络；多个在线/离线的密钥应用设备，位于所述量子密钥应用层；量子密钥管理服务核心网，位于所述量子密钥管理层，用于通过预设密钥服务接口协议，提供在线/离线量子密钥服务至相应的密钥应用设备，以实现全域任意两点间密钥应用设备的量子会话密钥协商。为实现上述目的，本专利技术还提供了一种量子密钥协商方法，采用本专利技术所述的量子密钥管理服务核心网；所述方法包括如下步骤：发起端密钥应用设备向其所归属的第一量子密钥管理服务节点发起量子会话密钥分发请求；所述第一量子密钥管理服务节点，查询接收端密钥应用设备是否归属于所述第一量子密钥管理服务节点的域内；若所述接收端密钥应用设备归属于域内，则进入域内通信流程，完成量子会话密钥协商；若所述接收端密钥应用设备不归属于域内，则进入跨域通信流程，完成量子会话密钥协商。本专利技术的优点在于：本专利技术提供的量子密钥管理服务核心网，构建在QKD网络之上的量子密钥管理层，其解耦合了在线量子密钥分发时量子密钥生成/分发层与量子密钥应用层的紧耦合，并实现在线/离线量子密钥服务的融合。在量子密钥管理服务节点的域内可以实现通信自治；量子密钥管理服务节点间通过归属的量子密钥管理服务中心实现的跨域通信，跨区域可充分利用QKD网络长距离密钥安全分发优势确保安全性；实现全域任意两点间密钥应用设备的量子会话密钥协商。可以突破在线模式的有线固网限制，将量子密钥技术应用到离线领域并解决密钥孤岛问题。所述量子密钥管理服务核心网还可以同时融合QKD和QRNG两种量子密钥源优势，为密钥应用设备提供更灵活的基于量子密钥的任意多点间量子会话密钥协商。所有量子密钥需要经过所述量子密钥管理服务核心网管理再提供给相应的密钥应用设备，且通过预设密钥服务接口协议提供，实现量子密钥源的统一管理，以及在线/离线量子密钥统一管理，提供灵活统一的量子密钥服务。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1为现有在线量子密钥分发模式架构示意图；图2为现有离线量子密钥分发模式架构示意图；图3为本专利技术量子密钥管理服务系统的架构图；图4为本专利技术量子密钥管理服务核心网的架构图；图5为本专利技术量子密钥管理服务核心本文档来自技高网...

【技术保护点】
1.一种量子密钥管理服务核心网，其特征在于，所述量子密钥管理服务核心网包括：位于同一区域内的一量子密钥管理服务中心、以及多个量子密钥管理服务节点；/n所述量子密钥管理服务中心，分别与本区域内的每一所述量子密钥管理服务节点相连、并与相应量子密钥分发器相连，用于为所述量子密钥管理服务节点及其对接的密钥应用设备提供信息管理；/n所述量子密钥管理服务节点，与相应量子密钥分发器相连、并与至少一密钥应用设备相连，用于对相应量子密钥分发器生成的量子密钥进行密钥管理，以及为相应的密钥应用设备提供量子密钥服务。/n

【技术特征摘要】
1.一种量子密钥管理服务核心网，其特征在于，所述量子密钥管理服务核心网包括：位于同一区域内的一量子密钥管理服务中心、以及多个量子密钥管理服务节点；
所述量子密钥管理服务中心，分别与本区域内的每一所述量子密钥管理服务节点相连、并与相应量子密钥分发器相连，用于为所述量子密钥管理服务节点及其对接的密钥应用设备提供信息管理；
所述量子密钥管理服务节点，与相应量子密钥分发器相连、并与至少一密钥应用设备相连，用于对相应量子密钥分发器生成的量子密钥进行密钥管理，以及为相应的密钥应用设备提供量子密钥服务。


2.如权利要求1所述的量子密钥管理服务核心网，其特征在于，所述量子密钥管理服务中心所提供的信息管理包括：网络管理、密钥管理、提供QKD网络内的域信息管理、以及为所述密钥应用设备进行跨节点通信提供对接寻址信息。


3.如权利要求1所述的量子密钥管理服务核心网，其特征在于，所述量子密钥管理服务核心网进一步包括：一量子密钥管理服务总控中心、多个区域的量子密钥管理服务中心、以及多个量子密钥管理服务节点；所述量子密钥管理服务总控中心分别与多个区域的所述量子密钥管理服务中心相连。


4.如权利要求3所述的量子密钥管理服务核心网，其特征在于，所述量子密钥管理服务核心网进一步包括：多级量子密钥管理服务中心，每一级量子密钥管理服务中心包括至少一量子密钥管理服务中心；其中，所述量子密钥管理服务总控中心作为最上一级量子密钥管理服务中心，与所述量子密钥管理服务节点相连的量子密钥管理服务中心作为最下一级量子密钥管理服务中心，量子密钥管理服务中心与其归属的上一级量子密钥管理服务中心相连。


5.如权利要求4所述的量子密钥管理服务核心网，其特征在于，所述量子密钥管理服务节点向其归属的量子密钥管理服务中心进行入网注册，量子密钥管理服务中心向其归属的上一级量子密钥管理服务中心进行入网注册，实现所述量子密钥管理服务核心网的组网，进而通过跨域通信协商方式协商量子会话密钥，实现跨域通信。


6.如权利要求1所述的量子密钥管理服务核心网，其特征在于，同一区域内，各所述量子密钥管理服务节点之间、所述量子密钥管理服务节点与其归属的所述量子密钥管理服务中心之间，建立有安全通道；不同区域内，各所述量子密钥管理服务中心之间、所述量子密钥管理服务中心与其归属的上一级量子密钥管理服务中心之间，建立有安全通道，进而使得一区域内的所述量子密钥管理服务节点与另一区域内的所述量子密钥管理服务节点之间建立安全通道。


7.如权利要求6所述的量子密钥管理服务核心网，其特征在于，所述安全通道通过密钥协商建立，或通过量子密钥分发建立。


8.如权利要求1所述的量子密钥管理服务核心网，其特征在于，所述量子密钥管理服务节点通过QKD密钥接口协议获取相应的量子密钥分发器生成的量子密钥，通过预设密钥服务接口协议提供量子密钥至相应的密钥应用设备。


9.如权利要求8所述的量子密钥管理服务核心网，其特征在于，所述量子密钥管理服务节点进一步通过QRNG密钥接口协议获取一量子随机数发生器生成的量子密钥。


10.如权利要求1所述的量子密钥管理服务核心网，其特征在于，所述量子密钥管理服务核心网采用控制面与数据面分离的分布式网络架构，且采用网络管理层次和密钥管理层次双层次的控制面和数据面分离。


11.如权利要求9所述的量子密钥管理服务核心网，其特征在于，在所述网络管理层次，构建所述量子密钥管理服务中心与所述量子密钥管理服务节点之间、各所述量子密钥管理服务节点之间的通信链路网，进而建立网络管理的安全通道，构建网络管理控制面。


12.如权利要求9所述的量子密钥管理服务核心网，其特征在于，在所述密钥管理层次，构建所述量子密钥管理服务中心与所述量子密钥管理服务节点之间、各所述量子密钥管理服务节点之间的设备寻址，进而建立密钥管理的安全通道，构建密钥管理控制面。


13.一种量子密钥管理服务系统，其特征在于，所述系统具有位于底层的量子密钥生成/分发层、位于顶层的量子密钥应用层，以及配置于所述量子密钥生成/分发层与所述量子密...

【专利技术属性】
技术研发人员：陈颖，詹俊锐，陈洁容，王军，丁松燕，
申请(专利权)人：南京易科腾信息技术有限公司，
类型：发明
国别省市：江苏;32