【技术实现步骤摘要】
本专利技术涉及量子保密通信,具体涉及一种双向密钥池实现量子密钥分发方法及量子密码系统。
技术介绍
1、量子技术在量子通信领域应用最为广泛和成熟,使用量子密钥分发技术可实时的安全的分发量子密钥,这种量子密钥加密技术通过一次一密的加密方式来保证信息传递的安全性。目前主流的应用量子密钥的方式是将通过量子密钥分发技术分发的量子密钥存储至终端内,从而实现终端之间的对称加密通信。所以如何在用户网络中可信的将量子密钥分发技术产生的量子密钥存储进终端,尤其重要。
2、至今在量子密钥分发领域,由于基于量子密钥分发设备的密钥直接分发方案成本过高,实际应用中操作实现难度大,故在此基础上衍生出多种密钥分发方式,如多级分片密钥池等。比如在公布号为cn114024666a的专利申请文献中提出了一种密钥分发的方式,即通过对密钥池进行纵向切片下发实现多节点情况下的密钥分发,纵向切片是指密钥在第一次qkd之间的分发后,将密钥池切片分一部分给下一级(这一级不再是量子密钥分发,而是走传统通信方式了),每一级节点的密钥池都是上一级节点的子集,qkd之间两两配对,密钥池中包含所有一一对应的密钥;该方案旨在解决无密钥分发设备的节点如何获取密钥的问题,但是未涉及密钥切片分发过程的安全保护,及未考虑量子密钥分发设备分发密钥时的方向问题。在公布号为cn112887086a的专利申请文献描述了多个通信节点的密钥同步方法,通过统一的密钥同步管理服务器对密钥池进行管理和同步;该方案使用统一的密钥同步管理服务器解决了多通信节点的密钥同步问题,但不涉及密码系统的使用,同时该方
3、在公布号为cn114024670a的专利申请文献描述了一种双向密钥池的量子可信中继密钥同步方法,该方法在量子中继节点中采用双向密钥池,分别用作读写,保证了各节点之间的读写平衡性,但该方法强调的密钥中继过程为横向中继,不涉及双向密钥池在整个密码系统中的应用。而且该方案中的量子密钥中继过程是为解决qkd之间密钥分发距离过短的问题产生的,如qkd只能分发80km-120km,如果ac两地相隔200km,则需要增加一个中继节点b,通过b串联把ac两地连接起来即a-b-c。且双向密钥池是用于密钥中继,如a→b→c三个节点,b的双向密钥池用于密钥交换,也就是说双向密钥池交互对象是另一个节点的双向密钥池,而不是用户业务应用。
4、而在整个量子密码系统中,由于量子密钥分发设备分为接收端与发起端,密钥的同步的通信请求需要由发起端发起,故在实际应用中,不可避免地会出现密钥方向性问题。由于方向性的存在,两个量子密钥分发节点间存在来自不同方向的密钥数据,但现有方法无法确定满足业务双方所需的对称密钥的具体方向的密钥数据。当用户处于需要立刻获取密钥的应用场景时,由于当前的qkd成码率低,生成速度慢,且如果多用户要和同一节点交互,如b-a/c-a,则要排队,所以现有的量子密钥分发技术方案分发密钥时间过长,无法立即通过量子密钥分发将量子密钥分发给用户,且当用户量极大时,一一分发会造成严重堵塞。不仅如此,由于用户之间存在主被叫之分,用户通信时主被叫对称密钥获取方式有较大差异,现有技术并未考虑到这点,密钥分发没有区分用户通信方向,不适应大规模应用的情况。
技术实现思路
1、本专利技术所要解决的技术问题在于如何区分用户主被叫,实现用户通信时密钥请求的即时下发。
2、本专利技术通过以下技术手段解决上述技术问题的:
3、第一方面,本专利技术提出了一种双向密钥池实现量子密钥分发方法,所述方法应用于业务终端,所述业务终端作为主叫方或被叫方,包括:
4、与对端的业务终端交互业务信息,确定主被叫关系;
5、向业务管理平台请求获取主被叫方各自对应的量子密钥管理平台的地址;
6、向本端的业务终端所对应的量子密钥管理平台请求工作密钥,以使该量子密钥管理平台基于主被叫关系从双向固定密钥池中获取与本端通信方向对应的工作密钥;
7、接收对应的量子密钥管理平台下发的工作密钥,并利用工作密钥加密交互业务信息与对端的业务终端进行通信。
8、进一步地,所述向本端的业务终端所对应的量子密钥管理平台请求工作密钥,包括:
9、获取本端的业务终端中存储的预置密钥,将预置密钥序列和对端的业务终端对应的量子密钥管理平台的地址发送至本端对应的量子密钥管理平台,以使本端对应的量子密钥管理平台根据主被叫关系从对应的固定密钥池中获取与本端通信方向对应的工作密钥以及根据所述预置密钥序列从预置密钥池中获取对应的对称预置密钥;
10、接收对应的量子密钥管理平台下发的工作密钥密文,所述工作密钥密文为采用对称预置密钥加密得到;
11、利用本端的预置密钥解密所述工作密钥密文,得到所述工作密钥。
12、进一步地,所述业务终端包括量子安全芯片,所述量子安全芯片中存储有由所属的量子密钥管理平台预先充注的预置密钥。
13、进一步地,所述双向固定密钥池中存储有由量子密钥分发节点预先生成的与用户通信方向对应的密钥流。
14、进一步地,所述业务管理平台中预先设置有业务终端、量子安全芯片、量子密钥管理平台地址之间的对应关系。
15、第二方面,本专利技术提出了一种双向密钥池实现量子密钥分发方法,所述方法应用于量子密钥管理平台,包括:
16、接收当前业务终端发送的工作密钥请求信息,所述工作密钥请求信息包含当前业务终端的主被叫关系和当前业务终端对端所属量子密钥管理平台的地址;
17、基于当前业务终端的主被叫关系,从双向固定密钥池中获取与当前业务终端通信方向对应的工作密钥;
18、向当前业务终端下发工作密钥,以使当前业务终端利用所述工作密钥加密交互业务信息与对端的业务终端进行通信。
19、进一步地,所述双向固定密钥池包括第一固定密钥池和第二固定密钥池,所述第一固定密钥池中存储有主叫方对应量子密钥分发节点分发至被叫方对应量子密钥分发节点的密钥流,所述第二固定密钥池中存储有被叫方对应的量子密钥分发节点分发至主叫方对应的量子密钥分发节点的密钥流;
20、相应地,所述基于当前业务终端的主被叫关系,从双向固定密钥池中获取与当前业务终端通信方向对应的工作密钥,包括:
21、在当前业务终端作为主叫方时,从所述第一固定密钥池中获取与当前业务通信方向对应的密钥流作为工作密钥;
22、在当前业务终端作为被叫方时,从所述第二固定密钥池中获取与当前业务通信方向对应的密钥流作为工作密钥。
23、进一步地,所接收的工作密钥请求信息还包括预置密钥序列,在所述基于当前业务终端的主被叫关系,从双向固定密钥池中获取与当前业务终端通信方向对应的工作密钥之后,所述方法还包括:
24、基于所述预置密钥序列从预置密钥池中获取对称的预置密钥;
25、利用对称的预置密钥加密所述工作密钥,得到工作密本文档来自技高网...
【技术保护点】
1.一种双向密钥池实现量子密钥分发方法,其特征在于,所述方法应用于业务终端,所述业务终端作为主叫方或被叫方,包括:
2.如权利要求1所述的双向密钥池实现量子密钥分发方法,其特征在于,所述向本端的业务终端所对应的量子密钥管理平台请求工作密钥,包括:
3.如权利要求1所述的双向密钥池实现量子密钥分发方法,其特征在于,所述业务终端包括量子安全芯片,所述量子安全芯片中存储有由所属的量子密钥管理平台预先充注的预置密钥。
4.如权利要求1所述的双向密钥池实现量子密钥分发方法,其特征在于,所述双向固定密钥池中存储有由量子密钥分发节点预先生成的与用户通信方向对应的密钥流。
5.如权利要求1所述的双向密钥池实现量子密钥分发方法,其特征在于,所述业务管理平台中预先设置有业务终端、量子安全芯片、量子密钥管理平台地址之间的对应关系。
6.一种双向密钥池实现量子密钥分发方法,其特征在于,所述方法应用于量子密钥管理平台,包括:
7.如权利要求6所述的双向密钥池实现量子密钥分发方法,其特征在于,所述双向固定密钥池包括第一固定密钥池和第二固
8.如权利要求6所述的双向密钥池实现量子密钥分发方法,其特征在于,所接收的工作密钥请求信息还包括预置密钥序列,在所述基于当前业务终端的主被叫关系,从双向固定密钥池中获取与当前业务终端通信方向对应的工作密钥之后,所述方法还包括:
9.如权利要求6所述的双向密钥池实现量子密钥分发方法,其特征在于,在所述基于当前业务终端的主被叫关系,从双向固定密钥池中获取与当前业务终端通信方向对应的工作密钥之前,所述方法还包括:
10.如权利要求6所述的双向密钥池实现量子密钥分发方法,其特征在于,在所述向当前业务终端下发工作密钥之前,所述方法还包括:
11.一种业务终端,其特征在于,所述业务终端作为主叫方或被叫方,包括:
12.一种量子密钥管理平台,其特征在于,所述管理平台包括:
13.一种双向密钥池实现的量子密码系统,其特征在于,所述系统包括:业务终端A和业务终端B,业务终端A和业务终端B之间经业务管理平台连接,业务终端A与所属的量子密钥管理平台A连接以从量子密钥管理平台A中获取与业务终端A通信方向对应的工作密钥,业务终端B与所属的量子密钥管理平台B连接以从量子密钥管理平台B中获取与业务终端B通信方向对应的工作密钥;量子密钥分发节点A与量子密钥管理平台A连接以预先将具有方向性的密钥流充注至量子密钥管理平台A作为工作密钥,量子密钥分发节点B与量子密钥管理平台B连接以预先将具有方向性的密钥流充注至量子密钥管理平台B作为工作密钥;其中,所述业务终端A和业务终端B用于执行如权利要求1-5任一项所述的双向密钥池实现量子密钥分发方法,所述量子密钥管理平台A和所述量子密钥管理平台B用于执行如权利要求6-10任一项所述的双向密钥池实现量子密钥分发方法。
...【技术特征摘要】
1.一种双向密钥池实现量子密钥分发方法,其特征在于,所述方法应用于业务终端,所述业务终端作为主叫方或被叫方,包括:
2.如权利要求1所述的双向密钥池实现量子密钥分发方法,其特征在于,所述向本端的业务终端所对应的量子密钥管理平台请求工作密钥,包括:
3.如权利要求1所述的双向密钥池实现量子密钥分发方法,其特征在于,所述业务终端包括量子安全芯片,所述量子安全芯片中存储有由所属的量子密钥管理平台预先充注的预置密钥。
4.如权利要求1所述的双向密钥池实现量子密钥分发方法,其特征在于,所述双向固定密钥池中存储有由量子密钥分发节点预先生成的与用户通信方向对应的密钥流。
5.如权利要求1所述的双向密钥池实现量子密钥分发方法,其特征在于,所述业务管理平台中预先设置有业务终端、量子安全芯片、量子密钥管理平台地址之间的对应关系。
6.一种双向密钥池实现量子密钥分发方法,其特征在于,所述方法应用于量子密钥管理平台,包括:
7.如权利要求6所述的双向密钥池实现量子密钥分发方法,其特征在于,所述双向固定密钥池包括第一固定密钥池和第二固定密钥池,所述第一固定密钥池中存储有主叫方对应量子密钥分发节点分发至被叫方对应量子密钥分发节点的密钥流,所述第二固定密钥池中存储有被叫方对应的量子密钥分发节点分发至主叫方对应的量子密钥分发节点的密钥流;
8.如权利要求6所述的双向密钥池实现量子密钥分发方法,其特征在于,所接收的工作密钥请求信息还包括预置密钥序列,在所述基于当前业务终端的主被叫关系,...
【专利技术属性】
技术研发人员:李杏桃,刘驰,
申请(专利权)人:中电信量子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。