量子密钥输出方法、存储一致性验证方法、装置及系统与流程
本申请涉及量子密钥输出技术,具体涉及一种量子密钥输出方法及装置。本申请同时涉及一种量子密钥获取方法及装置、一种量子密钥存储输出方法及装置、一种量子密钥分发存储方法及装置、一种量子密钥输出系统、以及一种用于验证量子密钥存储一致性的方法及装置。
背景技术:
为了保障数据传输的安全性,发送方数据设备通常采用加密算法进行加密,接收方数据设备则采用对应的解密算法对收到的数据解密。经典密码长久以来能够较好的解决上述数据安全传输问题,但经典密码学的安全性是基于计算复杂度的,随着云计算、量子计算等在计算能力方面的飞速提高,经典密码学面临很大的被破解的风险。而量子密码作为量子力学和密码学的交叉产物,其安全性基于量子力学原理保证(未知量子态的测不准原理、测量坍缩原理、不可克隆原理),与攻击者的计算能力和存储能力无关,可以很好地为数据传输提供安全保障;此外,由于量子密钥属于对称密钥,进行数据加解密操作的计算成本低、执行效率较高,因此成为数据安全传输的理想选择。
请参见图1,其为量子密钥输出系统的示意图。采用量子密钥进行数据保密传输的基本过程是这样的:位于发送方和接收方的量子密钥分发设备,通过量子密钥分发协议协商量子密钥,并根据密钥管理设备的需求,将存储在相同地址区间的量子密钥提供给对应的密钥管理设备;收发双方密钥管理设备采用相同地址区间存储接收到的量子密钥,并根据对应的数据设备的密钥获取请求,将在相同地址区间中存储的量子密钥输出给所述数据设备,发送方数据设备利用获取的量子密钥对待发送数据进行加密传输,接收方数据设备则利用获取的量子密钥对接收到的数据进行解密,从而实现了数据的高效、安全传输。
在实际应用中,上述处理过程存在如下缺陷:
(1)将量子密钥分发设备获取的量子密钥发送并写入对应的量子密钥管理设备时,由于网络丢包以及硬盘数据写入出错等原因,导致收发双方密钥管理 设备依据相同存储地址向收发双方数据设备输出的量子密钥可能并不相同,通常也称为不对称或者不一致,从而导致接收方数据设备无法执行正确的解密操作,也就无法获取正确的原始数据;
(2)收发双方数据设备获取量子密钥不一致的次数超过预设阈值时,收发双方量子密钥管理设备通常要通过重启等方式,清空所有已获取的量子密钥,才能消除输出量子密钥不一致的问题,这是对已生成的量子密钥的浪费。
技术实现要素:
本申请实施例提供一种量子密钥输出方法及装置,以解决现有的收发双方密钥管理设备输出量子密钥不一致的问题。本申请实施例还提供一种量子密钥获取方法及装置、一种量子密钥存储输出方法及装置、一种量子密钥分发存储方法及装置、一种量子密钥输出系统、以及一种用于验证量子密钥存储一致性的方法及装置。
本申请提供一种量子密钥输出方法,包括:
收发双方数据设备分别向各自的密钥管理设备发送密钥获取请求;
收发双方密钥管理设备接收所述密钥获取请求后,将通过一致性验证的量子密钥发送给相应数据设备,供相应数据设备执行数据加解密操作;
其中,所述一致性验证是指,收发双方密钥管理设备将从各自对应的量子密钥分发设备获取的量子密钥存储在相同地址区间后,验证双方在所述相同地址区间中存储的量子密钥是否相同;若相同,则视为所述的通过一致性验证。
可选的,所述方法包括:
所述与收发双方密钥管理设备对应的量子密钥分发设备,将通过量子密钥分发协议协商获取的量子密钥存储在相同地址区间后,验证双方在所述相同地址区间中存储的量子密钥的一致性,并将通过一致性验证的量子密钥作为可供相应密钥管理设备获取的量子密钥。
可选的,所述通过一致性验证的量子密钥是在收发双方数据设备发送密钥获取请求之前,预先存储在收发双方密钥管理设备中的;
相应的,在收发双方数据设备分别向各自的密钥管理设备发送密钥获取请求之前,执行下述操作:
收发双方量子密钥分发设备通过量子密钥分发协议协商量子密钥,并采用相同地址区间存储所述量子密钥;
收发双方密钥管理设备向各自的量子密钥分发设备发送密钥获取请求;
收发双方量子密钥分发设备将存储在相同地址区间的量子密钥发送给相应的密钥管理设备;
收发双方密钥管理设备将接收的量子密钥存储在相同地址区间中,并验证双方在所述相同地址区间中存储的量子密钥的一致性;
相应的,所述将通过一致性验证的量子密钥发送给相应数据设备,包括:
收发双方密钥管理设备从通过一致性验证的量子密钥中,选取在相同地址区间存储的量子密钥,发送给相应数据设备。
可选的,在执行所述收发双方密钥管理设备向各自的量子密钥分发设备发送密钥获取请求之前,执行下述操作:
收发双方量子密钥分发设备将可供获取的量子密钥数量通知给各自的密钥管理设备。
可选的,在所述收发双方密钥管理设备接收所述密钥获取请求后、在所述将通过一致性验证的量子密钥发送给相应数据设备之前,执行下述操作:
收发双方密钥管理设备分别向各自的量子密钥分发设备发送所述密钥获取请求;
收发双方量子密钥分发设备通过量子密钥分发协议协商量子密钥,并采用相同地址区间存储所述量子密钥;
收发双方量子密钥分发设备将存储在相同地址区间的量子密钥发送给相应的密钥管理设备;
收发双方密钥管理设备将接收的量子密钥存储在相同地址区间中,并验证双方在所述相同地址区间中存储的量子密钥的一致性;
相应的,所述将通过一致性验证的量子密钥发送给相应数据设备,包括:
收发双方密钥管理设备从通过一致性验证的量子密钥中,选取在相同地址区间存储的量子密钥,发送给相应数据设备。
可选的,当所述收发双方密钥管理设备验证双方在所述相同地址区间中存储的量子密钥不一致时,执行下述操作:
清除在所述相同地址区间中存储的量子密钥,并转到向各自的量子密钥分发设备发送密钥获取请求的步骤执行。
可选的,所述收发双方量子密钥分发设备通过量子密钥分发协议协商量子密钥,并采用相同地址区间存储所述量子密钥后,执行下述操作:
收发双方量子密钥分发设备验证双方在所述相同地址区间中存储的量子密钥的一致性,并将通过一致性验证的量子密钥作为可发送给密钥管理设备的量子密钥。
可选的,当所述收发双方量子密钥分发设备验证双方在所述相同地址区间中存储的量子密钥不一致时,执行下述操作:
清除在所述相同地址区间中存储的量子密钥,并转到收发双方量子密钥分发设备通过量子密钥分发协议协商量子密钥的步骤执行。
可选的,所述方法包括:所述收发双方量子密钥分发设备定期执行所述验证双方在所述相同地址区间中存储的量子密钥一致性的操作。
可选的,所述收发双方量子密钥分发设备验证双方在所述相同地址区间中存储的量子密钥的一致性,以及所述收发双方密钥管理设备验证双方在所述相同地址区间中存储的量子密钥的一致性,分别采用如下方式实现:
其中一方设备采用预设散列算法计算在所述地址区间中存储的量子密钥的散列值,并采用双方设备前一次获取的通过一致性验证的量子密钥对所述散列值以及所述地址区间信息加密,并将加密后的信息发送给另一方设备;
所述另一方设备采用相应的密钥对接收到的信息解密后获取地址区间信息,采用所述预设散列算法计算在本地的相应地址区间中存储的量子密钥的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同则向对方设备返回验证通过应答,否则返回未通过应答。
可选的,在所述收发双方密钥管理设备将量子密钥发送给相应数据设备后,执行下述操作:
收发双方数据设备验证接收的量子密钥的一致性,并将通过一致性验证的量子密钥作为执行数据加解密操作所采用的密钥。
可选的,当所述收发双方数据设备验证双方获取的量子密钥不一致时,转到所述收发双方数据设备分别向各自的密钥管理设备发送密钥获取请求的步骤执行。
可选的,所述收发双方数据设备验证获取的量子密钥的一致性,包括:
其中一方设备采用预设散列算法计算所述获取的量子密钥的散列值,并采用双方设备前一次获取的通过一致性验证的量子密钥对所述散列值加密,并将加密后的信息发送给另一方设备;
所述另一方设备采用相应的密钥对接收到的信息解密后,采用所述预设散列算法计算本地获取的量子密钥的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同则向对方设备返回验证通过应答,否则返回未通过应答。
可选的,所述收发双方量子密钥分发设备通过量子密钥分发协议协商获取的量子密钥,具有与其对应的密钥标签序列,所述密钥标签序列中的每个密钥标签是所述量子密钥中不同量子比特的唯一标识;
相应的,所述收发双方量子密钥分发设备采用相同地址区间存储所述量子密钥后,执行下述操作:建立每个量子比特的存储地址与密钥标签的一一对应关系;
所述收发双方量子密钥分发设备发送给相应密钥管理设备的信息不仅包括量子密钥,还包括与所述量子密钥对应的密钥标签序列;所述收发双方密钥管理设备将接收的量子密钥存储在相同地址区间后,执行下述操作:建立每个量子比特的存储地址与密钥标签的一一对应关系;
所述收发双方量子密钥分发设备验证双方在所述相同地址区间中存储的量子密钥的一致性,以及所述收发双方密钥管理设备验证双方在所述相同地址区间中存储的量子密钥的一致性,分别采用如下方式实现:
其中一方设备采用预设散列算法计算由所述量子密钥的密钥标签序列、与所述量子密钥中每个量子比特的存储地址组成的地址序列拼接而成的字符串的散列值,并采用双方设备前一次获取的、通过一致性验证的量子密钥对所述散列值以及所述地址序列加密、或者对所述散列值以及所述密钥标签序列加密,并将加密后的信息发送给另一方设备;
所述另一方设备采用相应的密钥解密后,根据提取的地址序列从本地获取对应的密钥标签序列,或者根据提取的密钥标签序列从本地获取对应的地址序列,并采用所述预设散列算法计算由所述密钥标签序列与所述地址序列拼接而成的字符串的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同则向对方设备返回验证通过应答,否则返回未通过应答。
可选的,收发双方密钥管理设备发送给相应数据设备的信息不仅包括量子密钥,还包括所述量子密钥的密钥标签序列;
相应的,收发双方数据设备接收各自的密钥管理设备发送的上述信息后,执行下述操作验证收发双方数据设备获取的量子密钥的一致性,并在不一致时转到分别向各自的密钥管理设备发送密钥获取请求的步骤执行:
其中一方设备采用预设散列算法计算由所述获取的量子密钥和密钥标签序列拼接而成的字符串的散列值,并采用双方设备前一次获取的、通过一致性验证的量子密钥对所述散列值以及密钥标签序列加密,并将加密后的信息发送给另一方设备;
所述另一方设备采用相应的密钥解密后,根据提取的密钥标签序列从本地获取对应的量子密钥,并采用所述预设散列算法计算由所述量子密钥和密钥标签序列拼接而成的字符串的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同,则向对方设备返回验证通过应答,否则返回未通过应答。
可选的,所述密钥标签包括:量子比特的时间戳信息,所述时间戳信息是收发双方量子密钥分发设备在协商量子密钥的过程中获取的。
可选的,各个设备之间经由经典信道的交互过程,都是基于HTTPS连接的。
可选的,各个设备在进行交互之前,进行双向身份认证,并在认证通过后执行后续交互操作。
相应的,本申请还提供一种量子密钥输出装置,包括:
数据设备密钥请求单元,用于收发双方数据设备分别向各自的密钥管理设备发送密钥获取请求;
管理设备密钥输出单元,用于收发双方密钥管理设备接收所述密钥获取请求后,将从相应量子密钥分发设备获取的、通过收发双方密钥管理设备一致性验证的量子密钥发送给相应数据设备,供相应数据设备执行数据加解密操作。
可选的,所述装置包括:分发设备密钥协商验证单元;
所述分发设备密钥协商验证单元,用于与收发双方密钥管理设备对应的量子密钥分发设备,将通过量子密钥分发协议协商获取的量子密钥存储在相同地址区间后,验证双方在所述相同地址区间中存储的量子密钥的一致性,并将通过一致性验证的量子密钥作为可供相应密钥管理设备获取的量子密钥。
可选的,所述装置包括分发设备密钥协商单元、管理设备密钥请求单元、 分发设备密钥发送单元、以及管理设备密钥验证单元,且上述单元在所述数据设备密钥请求单元工作之前启动:
分发设备密钥协商单元,用于收发双方量子密钥分发设备通过量子密钥分发协议协商量子密钥,并采用相同地址区间存储所述量子密钥;
管理设备密钥请求单元,用于收发双方密钥管理设备向各自的量子密钥分发设备发送密钥获取请求;
分发设备密钥发送单元,用于收发双方量子密钥分发设备将存储在相同地址区间的量子密钥发送给相应的密钥管理设备;
管理设备密钥验证单元,用于收发双方密钥管理设备将接收的量子密钥存储在相同地址区间中,并验证双方在所述相同地址区间中存储的量子密钥的一致性;
相应的,所述管理设备密钥输出单元具体用于,收发双方密钥管理设备接收所述密钥获取请求后,从通过一致性验证的量子密钥中,选取在相同地址区间存储的量子密钥,发送给相应数据设备。
可选的,所述装置包括:
管理设备密钥请求转发单元,用于在所述数据设备密钥请求单元接收密钥获取请求后,收发双方密钥管理设备分别向各自的量子密钥分发设备发送所述密钥获取请求;
分发设备密钥协商单元,用于收发双方量子密钥分发设备通过量子密钥分发协议协商量子密钥,并采用相同地址区间存储所述量子密钥;
分发设备密钥发送单元,用于收发双方量子密钥分发设备将存储在相同地址区间的量子密钥发送给相应的密钥管理设备;
管理设备密钥验证单元,用于收发双方密钥管理设备将接收的量子密钥存储在相同地址区间中,并验证双方在所述相同地址区间中存储的量子密钥的一致性;
相应的,所述管理设备密钥输出单元具体用于,收发双方密钥管理设备从通过一致性验证的量子密钥中,选取在相同地址区间存储的量子密钥,发送给相应数据设备。
可选的,所述装置包括:
管理设备密钥清除单元,用于当所述管理设备密钥验证单元的验证结果为:未通过时,收发双方密钥管理设备清除在被验证的相同地址区间中存储的量子密钥,并触发用于收发双方密钥管理设备分别向各自的量子密钥分发设备发送密钥获取请求的单元工作。
可选的,所述装置包括:
分发设备密钥验证单元,用于当所述分发设备密钥协商单元完成量子密钥协商过程、并采用相同地址区间存储所述量子密钥后,收发双方量子密钥分发设备验证双方在所述相同地址区间中存储的量子密钥的一致性,并将通过一致性验证的量子密钥作为可发送给密钥管理设备的量子密钥。
可选的,所述装置包括:
分发设备密钥清除单元,用于当所述分发设备密钥验证单元的验证结果为:未通过时,收发双方量子密钥分发设备清除在被验证的相同地址区间中存储的量子密钥,并触发所述分发设备密钥协商单元工作。
可选的,所述分发设备密钥验证单元以及所述管理设备密钥验证单元,各自包括验证请求子单元和验证执行子单元;
所述验证请求子单元,用于参与验证的一方设备采用预设散列算法计算在所述地址区间中存储的量子密钥的散列值,并采用参与验证的双方设备前一次获取的通过一致性验证的量子密钥对所述散列值以及所述地址区间信息加密,并将加密后的信息发送给参与验证的另一方设备;
所述验证执行子单元,用于所述另一方设备采用相应的密钥对接收到的信息解密后获取地址区间信息,采用所述预设散列算法计算在本地的相应地址区间中存储的量子密钥的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同则向参与验证的对方设备返回验证通过应答,否则返回未通过应答。
可选的,所述装置包括:
数据设备密钥验证单元,用于所述管理设备密钥输出单元将量子密钥发送给相应数据设备后,收发双方数据设备验证接收的量子密钥的一致性,并将通过一致性验证的量子密钥作为执行数据加解密操作所采用的密钥。
可选的,所述分发设备密钥协商单元通过量子密钥分发协议协商获取的量子密钥,具有与其对应的密钥标签序列;相应的,
所述分发设备密钥协商单元除了包括实现其功能的本体子单元之外,还包 括映射关系建立子单元,所述映射关系建立子单元用于,建立每个量子比特的存储地址与密钥标签的一一对应关系;
所述分发设备密钥发送单元发送给所述管理设备密钥验证单元的信息不仅包括量子密钥,还包括与所述量子密钥对应的密钥标签序列;
所述管理设备密钥验证单元除了包括存储子单元、管理设备密钥验证子单元之外,还包括映射关系建立子单元;所述存储子单元,用于收发双方密钥管理设备将接收的量子密钥存储在相同地址区间;所述映射关系建立子单元,用于建立每个量子比特的存储地址与密钥标签的一一对应关系,并触发所述管理设备密钥验证子单元工作;所述管理设备密钥验证子单元,用于验证双方在所述相同地址区间中存储的量子密钥的一致性;
所述分发设备密钥验证单元以及所述管理设备密钥验证子单元,各自包括标签验证请求子单元和标签验证执行子单元;
所述标签验证请求子单元,用于参与验证的一方设备采用预设散列算法计算由所述量子密钥的密钥标签序列、与所述量子密钥中每个量子比特的存储地址组成的地址序列拼接而成的字符串的散列值,并采用参与验证的双方设备前一次获取的、通过一致性验证的量子密钥对所述散列值以及所述地址序列加密、或者对所述散列值以及所述密钥标签序列加密,并将加密后的信息发送给参与验证的另一方设备;
所述标签验证执行子单元,用于所述另一方设备接收所述加密后的信息后,采用相应的密钥解密,根据提取的地址序列从本地获取对应的密钥标签序列,或者根据提取的密钥标签序列从本地获取对应的地址序列,并采用所述预设散列算法计算由所述密钥标签序列与所述地址序列拼接而成的字符串的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同则向参与验证的对方设备返回验证通过应答,否则返回未通过应答。
此外,本申请还提供一种量子密钥获取方法,所述方法在利用量子密钥对数据进行加解密的数据设备上实施,包括:
向密钥管理设备发送密钥获取请求;
接收所述密钥管理设备发送的通过一致性验证的量子密钥,作为进行数据加解密所采用的密钥。
可选的,在接收所述密钥管理设备发送的通过一致性验证的量子密钥后, 执行下述操作:
验证获取的量子密钥与对端数据设备获取的量子密钥的一致性,并将通过所述一致性验证的量子密钥作为进行数据加解密所采用的密钥。
可选的,如果获取的量子密钥与对端数据设备获取的量子密钥未通过一致性验证,转到所述向密钥管理设备发送量子密钥获取请求的步骤执行。
相应的,本申请还提供一种量子密钥获取装置,所述装置部署在利用量子密钥对数据进行加解密的数据设备上,包括:
密钥获取请求发送单元,用于向密钥管理设备发送密钥获取请求;
对称密钥接收单元,用于接收所述密钥管理设备发送的通过一致性验证的量子密钥,作为进行数据加解密所采用的密钥。
此外,本申请还提供一种量子密钥存储输出方法,所述方法在向数据设备提供量子密钥的密钥管理设备上实施,包括:
接收数据设备发送的密钥获取请求;
按照与对端密钥管理设备协商的相同地址区间,将通过一致性验证的量子密钥发送给所述数据设备。
可选的,所述通过一致性验证的量子密钥是在接收数据设备发送的密钥获取请求之前预先存储的;
相应的,在接收数据设备发送的密钥获取请求之前,执行下述操作:
向量子密钥分发设备发送密钥获取请求;
接收量子密钥分发设备发送的量子密钥,并采用与所述对端密钥管理设备相同的地址区间存储所述量子密钥;
验证在所述地址区间中存储的量子密钥与所述对端密钥管理设备在相同地址区间中存储的量子密钥的一致性,并将通过一致性验证的量子密钥作为可发送给数据设备的量子密钥。
可选的,在所述接收数据设备发送的密钥获取请求之后、在所述按照与对端密钥管理设备协商的相同地址区间,将通过一致性验证的量子密钥发送给所述数据设备之前,执行下述操作:
向量子密钥分发设备发送所述密钥获取请求;
接收量子密钥分发设备发送的量子密钥,并采用与所述对端密钥管理设备 相同的地址区间存储所述量子密钥;
验证在所述地址区间中存储的量子密钥与所述对端密钥管理设备在相同地址区间中存储的量子密钥的一致性。
可选的,如果在所述地址区间中存储的量子密钥与所述对端管理设备在相同地址区间中存储的量子密钥未通过一致性验证,执行下述操作:
清除在所述地址区间中存储的量子密钥,并转到向量子密钥分发设备发送密钥获取请求的步骤执行。
相应的,本申请还提供一种量子密钥存储输出装置,所述装置部署在向数据设备提供量子密钥的密钥管理设备上,包括:
密钥获取请求接收单元,用于接收数据设备发送的密钥获取请求;
对称密钥输出单元,用于按照与对端密钥管理设备协商的相同地址区间,将通过一致性验证的量子密钥发送给所述数据设备。
此外,本申请还提供一种量子密钥分发存储方法,所述方法在量子密钥分发设备上实施,包括:
与对端量子密钥分发设备通过量子密钥分发协议协商量子密钥,并将获取的量子密钥存储在与所述对端量子密钥分发设备相同的地址区间中;
验证在所述地址区间中存储的量子密钥与所述对端量子密钥分发设备在相同地址区间中存储的量子密钥的一致性;
根据接收到的来自密钥管理设备的密钥获取请求,按照与所述对端量子密钥分发设备协商的相同地址区间,将通过一致性验证的量子密钥发送给所述密钥管理设备。
可选的,如果在所述地址区间中存储的量子密钥与所述对端量子密钥分发设备在相同地址区间中存储的量子密钥未通过一致性验证,执行下述操作:
清除在所述地址区间中存储的量子密钥,并转到所述与对端量子密钥分发设备通过量子密钥分发协议协商量子密钥的步骤执行。
相应的,本申请还提供一种量子密钥分发存储装置,所述装置部署在量子密钥分发设备上,包括:
密钥分发存储单元,用于与对端量子密钥分发设备通过量子密钥分发协议协商量子密钥,并将获取的量子密钥存储在与所述对端量子密钥分发设备相同 的地址区间中;
密钥验证单元,用于验证在所述地址区间中存储的量子密钥与所述对端量子密钥分发设备在相同地址区间中存储的量子密钥的一致性;
对称密钥发送单元,用于根据接收到的来自密钥管理设备的密钥获取请求,按照与所述对端量子密钥分发设备协商的相同地址区间,将通过一致性验证的量子密钥发送给所述密钥管理设备。
此外,本申请还提供一种量子密钥输出系统,包括:分别部署于收发双方的两个子系统;所述两个子系统分别包括:根据上述任意一项所述的量子密钥获取装置,和根据上述任意一项所述的量子密钥存储输出装置,以及根据上述任意一项所述的量子密钥分发存储装置。
此外,本申请还提供一种用于验证量子密钥存储一致性的方法,所述方法在参与验证的第一设备和第二设备上实施,包括:
所述第一设备将通过量子密钥协商过程获取的、表征待验证量子密钥的信息,以及存储所述待验证量子密钥的地址区间信息,发送给所述第二设备;
所述第二设备通过将接收的信息与本地的相应信息进行比对,判断双方设备与所述地址区间对应的、表征待验证量子密钥的信息是否相同,若相同,向所述第一设备返回验证通过应答,否则返回未通过应答;
其中,表征待验证量子密钥的信息由与量子密钥比特数对应的子信息单元组成,每个子信息单元是所述待验证量子密钥中不同量子比特的唯一标识,且与被标识量子比特的存储地址一一对应。
可选的,所述表征待验证量子密钥的信息包括:待验证量子密钥本身;
相应的,所述第一设备将通过量子密钥协商过程获取的、表征待验证量子密钥的信息,以及存储所述待验证量子密钥的地址区间信息发送给所述第二设备,包括:
所述第一设备采用预设的散列算法计算所述待验证量子密钥的散列值,并将所述散列值、以及所述地址区间信息发送给所述第二设备;
所述第二设备通过将接收的信息与本地的相应信息进行比对,判断双方设备与所述地址区间对应的、表征待验证量子密钥的信息是否相同,包括:
所述第二设备从接收的信息中提取存储待验证量子密钥的地址区间信息,采用所述预设的散列算法,计算在本地相同地址区间中存储的量子密钥的散列 值,判断计算得到的散列值与接收的散列值是否相同,若相同,则判定双方设备与所述地址区间对应的、表征待验证量子密钥的信息是相同的。
可选的,所述表征待验证量子密钥的信息包括:待验证量子密钥的密钥标签序列,所述密钥标签序列中的每个密钥标签即为所述子信息单元;所述存储待验证量子密钥的地址区间信息包括:所述待验证量子密钥中每个量子比特的存储地址组成的地址序列;
相应的,所述第一设备将通过量子密钥协商过程获取的、表征待验证量子密钥的信息,以及存储所述待验证量子密钥的地址区间信息发送给所述第二设备,包括:
所述第一设备采用预设散列算法计算由所述密钥标签序列与所述地址序列拼接而成的字符串的散列值,并将所述散列值以及所述地址序列、或者所述散列值以及所述密钥标签序列发送给所述第二设备;
所述第二设备通过将接收的信息与本地的相应信息进行比对,判断双方设备与所述地址区间对应的、表征待验证量子密钥的信息是否相同,包括:
所述第二设备根据从接收信息中提取的地址序列从本地获取对应的密钥标签序列,或者根据提取的密钥标签序列从本地获取对应的地址序列,采用所述预设散列算法计算由所述密钥标签序列与所述地址序列拼接而成的字符串的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同,则判定双方设备与所述地址区间对应的、表征待验证量子密钥的信息是相同的。
可选的,所述密钥标签包括:量子比特的时间戳信息。
可选的,所述方法还包括:
所述第一设备采用与所述第二设备预先商定的密钥对待发送信息加密;
相应的,所述第二设备接收所述第一设备发送的信息后,采用相应密钥解密后,执行后续的比对以及判断操作。
相应的,本申请还提供一种用于验证量子密钥存储一致性的装置,包括:
密钥验证请求发送单元,用于第一设备将通过量子密钥协商过程获取的、表征待验证量子密钥的信息,以及存储所述待验证量子密钥的地址区间信息,发送给第二设备;
密钥验证执行单元,用于所述第二设备通过将接收的信息与本地的相应信息进行比对,判断双方设备与所述地址区间对应的、表征待验证量子密钥的信 息是否相同,若相同,向所述第一设备返回验证通过应答,否则返回未通过应答;
其中,表征待验证量子密钥的信息由与量子密钥比特数对应的子信息单元组成,每个子信息单元是所述待验证量子密钥中不同量子比特的唯一标识,且与被标识量子比特的存储地址一一对应。
与现有技术相比,本申请具有以下优点:
本申请提供的量子密钥输出方法及系统,收发双方数据设备分别向各自的密钥管理设备发送密钥获取请求,收发双方密钥管理设备接收所述密钥获取请求后,将通过一致性验证的量子密钥发送给相应数据设备,供相应数据设备执行数据加解密操作。由于收发双方密钥管理设备对在相同地址区间中存储的量子密钥进行了一致性验证,从而确保量子密钥输出系统输出量子密钥的同步性和有用性,即:向数据设备输出的量子密钥都是相同的、对称的,从而为数据加解密过程的正确执行提供保障。特别是,即使因为网络传输等原因造成数据收发双方获取的量子密钥不对称,也无需通过重新启动等方式清空收发双方量子密钥管理设备已存储的量子密钥,从而避免了对量子密钥资源的浪费。
本申请提供的用于验证量子密钥存储一致性的方法,参与验证的双方设备通过将双方与相同地址区间对应的、表征待验证量子密钥的信息进行比对,判断出双方设备在相同地址区间存储的量子密钥是否相同,从而为双方设备向外输出对称的量子密钥提供依据,为用户数据的安全、高效传输提供保障。特别是采用基于密钥标签的验证方法,利用了密钥标签可以唯一标识量子比特的特性、以及密钥标签与量子比特存储地址的对应关系,从而不用传输量子密钥就可以实现一致性验证,进一步保障了量子密钥的安全。
附图说明
图1是本申请实施例提供的量子密钥输出系统的示意图;
图2是本申请的一种量子密钥输出方法的实施例的流程图;
图3是本申请实施例提供的基于实时获取方式的量子密钥输出方法的处理流程图;
图4是本申请实施例提供的基于实时获取方式的各设备间交互流程图;
图5是本申请实施例提供的基于预获取方式的量子密钥输出方法的处理流程图;
图6是本申请实施例提供的基于预获取方式的各设备间交互流程图;
图7是本申请的一种量子密钥输出装置的实施例的示意图;
图8是本申请的一种量子密钥获取方法的实施例的流程图;
图9是本申请的一种量子密钥获取装置的实施例的示意图;
图10是本申请的一种量子密钥存储输出方法的实施例的流程图;
图11是本申请的一种量子密钥存储输出装置的实施例的示意图;
图12是本申请的一种量子密钥分发存储方法的实施例的流程图;
图13是本申请的一种量子密钥分发存储装置的实施例的示意图;
图14是本申请的一种量子密钥输出系统的实施例的示意图;
图15是本申请的一种用于验证量子密钥存储一致性的方法实施例的流程图;
图16是本申请的一种用于验证量子密钥存储一致性的装置实施例的示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是,本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此,本申请不受下面公开的具体实施的限制。
在本申请中,分别提供了一种量子密钥输出方法及装置、一种量子密钥获取方法及装置、一种量子密钥存储输出方法及装置、一种量子密钥分发存储方法及装置、一种量子密钥输出系统、以及一种用于验证量子密钥存储一致性的方法及装置,在下面的实施例中逐一进行详细说明。在详细描述实施例之前,先对本技术方案涉及的各种设备以及两种主要处理流程作简要说明。
请参考图1,其示出了量子密钥输出系统的示意图。从数据加解密传输的角度来看,量子密钥输出系统包括相互对称的两侧,其中一侧包括:量子密钥分发设备QKD-A(Quantum Key Distribution简称QKD)、密钥管理设备QKS-A(Quantum Key System简称QKS)、数据设备A,另一侧包括:量子密钥分发设备QKD-B、密钥管理设备QKS-B、数据设备B。其中每一侧的设备与对侧的同类型设备,互为对端设备,为了便于描述,在本申请中采用了收发双方设备的 表述方式,例如,收发双方量子密钥分发设备、收发双方密钥管理设备、收发双方数据设备。
收发双方QKD设备用于进行量子密钥协商,收发双方QKS设备用于存储从QKD设备获取的量子密钥、并向数据设备输出,收发双方数据设备则用获取的量子密钥分别执行相应的数据加密或者数据解密操作。由于QKD设备与QKS设备之间的网络传输过程存在丢包的可能性、QKS设备自身在存储量子密钥的过程也可能出现错误,导致收发双方QKS设备输出给收发双方数据设备的量子密钥不对称,针对这一问题,本申请的技术方案,在收发双方QKS设备之间进行量子密钥的一致性验证,并将通过一致性验证的量子密钥发送给数据设备,从而从QKS设备的角度保证了输出给收发双方数据设备的量子密钥是对称的。
本文后续的描述也是在图1所示架构的基础上展开的。需要说明的是,本示意图是从输出量子密钥的角度进行描述的,在实际实施中,收发双方QKD设备之间,收发双方QKS设备之间、以及收发双方数据设备之间,可以通过有线或者无线等形式的经典信道相连,用于在彼此之间进行协商、数据传输等操作,这部分连接关系并未在图中示出。
请参考图2,其为本申请的一种量子密钥输出方法的实施例的流程图,所述方法包括如下步骤:
步骤201、收发双方数据设备分别向各自的密钥管理设备发送密钥获取请求。
步骤202、收发双方密钥管理设备接收所述密钥获取请求后,将通过一致性验证的量子密钥发送给相应数据设备,供相应数据设备执行数据加解密操作。
在具体实施上述方法的过程中,数据设备向密钥管理设备获取密钥可以采取实时获取量子密钥方式(简称实时获取方式)、或者预获取量子密钥方式(简称预获取方式)。所述实时获取方式是指,数据设备A与数据设备B向各自的QKS-A设备和QKS-B设备发送获取量子密钥的请求,此时QKS-A设备和QKS-B设备已有预存储的、并且通过一致性验证的量子密钥,可以直接输出给数据设备A和数据设备B。
所述预获取方式是指,数据设备A与数据设备B向各自的QKS-A设备和QKS-B设备发送获取量子密钥的请求,QKS-A设备和QKS-B设备中无预存储的量子密钥,QKS-A设备和QKS-B设备分别转发请求给QKD-A设备和QKD-B 设备,QKD-A设备和QKD-B设备通过量子密钥分发协议为数据设备A和数据设备B协商量子密钥对,并发送给QKS-A设备和QKS-B设备,QKS-A设备和QKS-B设备对存储的量子密钥进行一致性验证,最后再将通过一致性验证的量子密钥发送给数据设备A和数据设备B。
上述两种量子密钥获取方式,都可以通过在QKS-A设备和QKS-B设备之间进行量子密钥的一致性验证,实现向数据设备A和数据设备B输出对称量子密钥的目的。下面在本实施例中依次描述这两种实施方式,需要说明的是,在以下描述的实施方式中,所有通过经典信道传输的私密信息,例如:量子密钥信息,都可以采用通信双方商定的密钥加密,例如,可以采用通信双方前一次获取的量子密钥进行加密,对于初次传输则可以采用通信双方预置的共享密钥加密,这一点在下文中不再重复描述。
请参考图3,其为本申请实施例提供的基于实时获取方式的量子密钥输出方法的处理流程图,为了便于理解,本实施例还同时提供了基于实时获取方式的各设备间交互流程图,请参考图4。所述方法包括如下步骤:
步骤301、收发双方量子密钥分发设备通过量子密钥分发协议协商量子密钥,并采用相同地址区间存储所述量子密钥。
QKD-A设备和QKD-B设备通过量子密钥分发协议,例如BB84协议,协商出对称量子密钥(这个过程也称为量子密钥协商过程),并将所述量子密钥存储在各自存储介质的相同地址区间中,所述存储介质包括:缓存、磁盘等。所述相同地址区间,可以由QKD-A设备和QKD-B设备通过协商设定,也可以由双方在上一次执行存储操作所用地址区间的基础上,根据本次协商获取的量子密钥的数量通过累加的方式确定,只要能够保证双方将量子密钥存储在相同地址区间即可。
考虑到QKD-A设备或者QKD-B设备在存储量子密钥的过程中,也可能出现写数据错误等异常,导致QKD-A设备和QKD-B设备在所述相同地址区间存储的量子密钥不对称,本实施例提供一种优选实施方案:QKD-A设备和QKD-B设备验证双方在所述相同地址区间中存储的量子密钥的一致性,并将通过一致性验证的量子密钥作为可发送给密钥管理设备的量子密钥。
具体实现时,可以通过比较双方在相同地址区间存储的量子密钥的散列值来实现,由于在QKD设备之间、或者在QKS设备之间进行量子密钥一致性验 证,可以采用相同的方法,因此关于这部分描述可以参见步骤304中的相关文字说明,此处不进行重复描述。
进一步地,采用上述验证方式需要在网络上传输量子密钥的散列值,一旦被恶意攻击者截获,量子密钥的安全性存在一定的隐患,基于上述考虑,本实施例对于在QKD设备之间(以及QKS设备之间)验证量子密钥的一致性,提供一种利用密钥标签与存储位置的对应关系进行验证的优选实施方式。
为了实现上述优选实施方式,收发双方QKD设备通过量子密钥分发协议协商获取的量子密钥,具有与其对应的密钥标签序列,所述密钥标签序列中的每个密钥标签是所述量子密钥中不同量子比特的唯一标识;并且,收发双方QKD设备采用相同地址区间存储所述量子密钥后,建立每个量子比特的存储地址与密钥标签的一一对应关系。
具体实施时,可以采用每个量子比特的时间戳信息作为其密钥标签,每个量子比特的时间戳信息可以在收发双方QKD设备协商量子密钥的过程中获取。例如,利用BB84协议进行的量子密钥协商过程是基于时钟同步的,协商得到的每个量子比特都有与其对应的唯一的时间戳信息,而且每个量子比特的时间戳信息都是不同的,因此本实施例可以采用量子比特的时间戳信息作为其密钥标签。
由于在QKD设备之间、或者在QKS设备之间进行量子密钥一致性验证,可以采用相同的基于密钥标签的方法,因此关于这部分描述可以参见步骤304中的相关文字说明,此处不进行重复描述。
如果QKD-B设备通过验证发现双方在所述相同地址区间中存储的量子密钥不相同,可以向QKD-A设备返回未通过应答,QKD-A设备和QKD-B设备可以清除在所述相同地址区间中存储的量子密钥,并重新通过量子密钥分发协议协商量子密钥。在具体实施时,QKD-A设备和QKD-B设备也可以不清除在所述相同地址区间中存储的量子密钥,而是用下一次通过量子密钥协商获取的新量子密钥覆盖写入所述相同地址区间,也是可以的。
采用上述提供的优选实施方式,由于QKD设备每次存储获取的量子密钥后,都要进行一致性验证,并且将通过一致性验证的量子密钥作为可发送给相应QKS设备的量子密钥,那么如果后续收发双方QKS设备发现从相应QKD设备获取的量子密钥不一致,通常可以认为是由于网络传输异常(例如丢包)造成 的,因此收发双方QKS设备可以重新向相应QKD设备获取量子密钥即可,而不必通过重新启动等方式清空QKD-A设备和QKD-B设备中所有已存储的量子密钥,减少对QKD设备已获取的量子密钥的浪费。
为了进一步保障QKD-A设备和QKD-B设备存储的量子密钥的一致性,在具体实施时,可以按照预先设定的间隔时间,定期验证QKD-A设备和QKD-B设备在相同地址区间中存储的量子密钥的一致性。
此外,QKD-A设备和QKD-B设备在通过量子密钥协商过程获取量子密钥、并存储在相同的地址区间后,还可以向相应的QKS设备发送通知,告知其目前已存储的量子密钥数量,供QKS设备发送密钥获取请求时参考。
步骤302、收发双方密钥管理设备向各自的量子密钥分发设备发送密钥获取请求。
QKS-A设备和QKS-B设备可以预先协商双方从各自的QKD设备获取量子密钥的长度信息,并向各自的QKD设备发送携带所述长度信息的密钥获取请求。
步骤303、收发双方量子密钥分发设备将存储在相同地址区间的量子密钥发送给相应的密钥管理设备。
QKD-A设备和QKD-B设备接收密钥获取请求后,根据请求中携带的密钥长度信息,可以通过协商的方式确定为QKS设备提取量子密钥的地址区间,然后按照协商好的相同地址区间提取量子密钥、并发送给相应的密钥管理设备。
如果在步骤301中,QKD-A设备和QKD-B设备之间进行了量子密钥的一致性验证,那么本步骤中QKD-A设备和QKD-B设备可以通过协商的方式确定为相应QKS设备提取通过一致性验证的量子密钥的地址区间,然后按照协商好的相同地址区间提取量子密钥、并发送给相应的QKS设备。
如果QKS-A设备和QKS-B设备在后续步骤304中要通过密钥标签进行量子密钥一致性验证,那么在本步骤中,QKD-A设备和QKD-B设备在向相应的QKS设备发送量子密钥的同时,还可以发送所述量子密钥的密钥标签序列。
步骤304、收发双方密钥管理设备将接收的量子密钥存储在相同地址区间中,并验证双方在所述相同地址区间中存储的量子密钥的一致性。
QKS-A设备和QKS-B设备将接收的量子密钥存储在相同地址区间中,所述相同地址区间,可以由QKS-A设备和QKS-B设备通过协商设定,也可以由双方在上一次执行存储操作所用地址区间的基础上,根据本次协商获取的量子密 钥的数量通过累加的方式确定,只要能够保证双方将获取的量子密钥存储在相同地址区间即可。
QKS-A设备和QKS-B设备验证双方在所述相同地址区间中存储的量子密钥的一致性,可以采用多种方式实现,下面列举几种可选的方式。
1)通过比较双方在相同地址区间存储的量子密钥的散列值实现一致性验证。
这种方式相对简便,具体实现可以是,QKS-A设备采用预设散列算法计算在所述地址区间中存储的量子密钥的散列值,然后采用双方前一次获取的通过一致性验证的量子密钥对所述散列值以及所述地址区间信息加密,并将加密后的信息发送给对方;QKS-B设备接收QKS-A设备发送的上述信息后,采用相应的密钥解密后获取地址区间信息,采用所述预设散列算法计算在本地的相应地址区间中存储的量子密钥的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同则向QSK-A返回验证通过应答,否则返回未通过应答。
在具体实施时,所述QKS-A设备向QKS-B设备发送的地址区间信息可以包括所述地址区间的首地址和尾地址,也可以包括首地址和区间长度,或者是首地址以及待验证一致性的量子密钥长度,只要QKS-B设备能够根据接收的信息获知具体的地址区间就都是可以的;所述预设散列算法包括SHA-1、SHA-2、或者SHA-3,以及其他可能的散列算法,只要QKS-A设备和QKS-B设备采用相同的散列算法即可;为了保证传输过程的安全性,QKS-A设备采用其与QKS-B设备上一次获取的、通过一致性验证的量子密钥对待发送的信息进行加密,如果是首次进行一致性验证,那么可以采用双方预置的共享密钥加密,相应的QKS-B设备也采用所述预置共享密钥解密。在上面给出的实现方式中,由QKS-A设备发起验证过程,QKS-B设备返回验证应答,在其他实施方式中,也可以由QKS-B设备发起验证过程。上面描述的关于实施方式的各种变更,对于以下描述的另外两种验证方式中的相应内容也是适用的,后续不再赘述。
2)利用密钥标签与量子比特存储位置的对应关系进行验证的方式一。
为了避免待验证量子密钥的散列值在传输过程中被截获带来的安全隐患,本实施例提供利用密钥标签能够唯一标识量子比特的特性、以及密钥标签与存储位置的对应关系进行一致性验证的优选实施方式。采用这种优选实施方式,QKS-A设备和QKS-B设备从各自对应的QKD设备获取的信息不仅包括量子密 钥,还包括所述量子密钥的密钥标签序列,所述密钥标签序列中的每个密钥标签是所述量子密钥中不同量子比特的唯一标识。QKS-A设备和QKS-B设备将接收的量子密钥存储在相同地址区间后,建立每个量子比特的存储地址与密钥标签的一一对应关系。
为了便于描述,QKS-A设备一侧的待验证量子密钥的密钥标签序列记为Lab1,所述待验证量子密钥中每个量子比特的存储地址组成的地址序列记为Locate1,hash()代表预设散列算法,{}内的信息为被加密数据。QKS-A设备和QKS-B设备可以采用如下方式验证双方在所述相同地址区间中存储的量子密钥的一致性:
QKS-A设备采用预设散列算法计算Lab1的散列值,并采用双方前一次获取的通过一致性验证的量子密钥对所述散列值、以及Locate1加密,并将加密后的信息发送给QKS-B设备,即QKS-A设备将下列信息发送给QKS-B设备:Verify-A={hash(Lab1),Locate1};
QKS-B设备采用相应的密钥对接收的信息解密后,获取散列值和地址序列,根据所述地址序列从本地获取对应的密钥标签序列,并采用所述预设散列算法计算所述获取的密钥标签序列的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同则向QKS-A设备返回验证通过应答,否则返回未通过应答。
在具体实施时,也可以对上述方式作一定调整,例如,QKS-A设备可以向QKS-B设备发送Verify-A={hash(Locate1),Lab1},相应的,QKS-B设备根据接收的密钥标签序列从本地获取对应的地址序列,并采用同样的计算散列值以及比对的方式判断是否通过一致性验证。
3)利用密钥标签与量子比特存储位置的对应关系进行验证的方式二。
上面提供了利用密钥标签与量子比特存储位置的对应关系进行一致性验证的一种方式,在此提供利用上述对应关系进行一致性验证的另一种方式(仍沿用在上一种方式中约定的描述方式):
QKS-A设备采用预设散列算法计算由Lab1和Locate1拼接而成的字符串的散列值,并采用双方前一次获取的通过一致性验证的量子密钥对所述散列值、以及Locate1加密,并将加密后的信息发送给QKS-B设备,即QKS-A设备将下列信息发送给QKS-B设备:Verify-A={hash(Lab1,Locate1),Locate1};
QKS-B设备采用相应的密钥对接收的信息解密后,获取散列值和地址序列, 根据所述地址序列从本地获取对应的密钥标签序列,并采用所述预设散列算法计算由所述密钥标签序列和地址序列拼接而成的字符串的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同则向QKS-A设备返回验证通过应答,否则返回未通过应答。
在具体实施时,也可以对上述方式作一定调整,例如,QKS-A设备可以向QKS-B设备发送Verify-A={hash(Lab1,Locate1),Lab1},相应的,QKS-B设备根据接收的密钥标签序列从本地获取对应的地址序列,并采用同样的计算散列值以及比对的方式判断是否通过一致性验证。
至此,描述了三种验证QKS-A设备和QKS-B设备在相同地址区间中存储的量子密钥一致性的方式,其中第一种方式相对简单,不需要使用密钥标签,但是可能存在一定的安全隐患;第二种和第三种方式相对复杂,利用了密钥标签能够唯一标识量子比特的特性,并且通过建立密钥标签与量子比特存储位置的对应关系,从而不需要在网络上传输量子密钥信息,而是验证双方设备存储量子比特的地址序列以及对应的密钥标签序列是否均相同,如果相同就可以证明双方设备在相同地址区间存储的量子密钥是相同的,即通过一致性验证。
如果QKS-A设备和QKS-B设备执行一致性验证后,发现双方在所述相同地址区间中存储的量子密钥不相同,即未通过一致性验证,那么QKS-A设备和QKS-B设备可以清除在所述相同地址区间中存储的量子密钥,并转到步骤302执行,重新向各自的QKD设备获取量子密钥。在具体实施时,QKS-A设备和QKS-B设备也可以不清除在所述相同地址区间中存储的量子密钥,而是用下一次从相应QKD设备获取的新量子密钥覆盖写入所述相同地址区间,也是可以的。
由于收发双方QKS设备每次存储从相应QKD设备获取的量子密钥后,都要进行一致性验证,并且每次向相应数据设备输出量子密钥时,都是从通过一致性验证的量子密钥中选取,那么如果后续收发双方数据设备发现从相应QKS-A设备获取的量子密钥不一致,通常可以认为是由于网络传输异常(例如丢包)造成的,因此收发双方数据设备重新向相应QKS设备获取量子密钥即可,而不必通过重新启动等方式清空QKS-A设备和QKS-B设备中所有已存储的量子密钥,避免对已获取的量子密钥的浪费。
需要说明的是,本步骤针对QKS-A设备和QKS-B设备提供了三种量子密钥一致性验证方式,这三种方式也可以应用于QKD-A设备和QKD-B设备之间 的量子密钥一致性验证。在其他实施方式中,也可以采用不同于上述方式的其他方式,只要能够验证双方设备在相同地址区间存储的量子密钥的一致性,就都不偏离本申请的核心,都在本申请的保护范围之内。
步骤305、收发双方数据设备分别向各自的密钥管理设备发送密钥获取请求。
数据设备A和数据设备B可以预先协商向QKS设备请求获取量子密钥的长度,并向各自的QKS设备发送量子密钥获取请求,所述请求中携带所述长度信息。
步骤306、收发双方密钥管理设备接收所述密钥获取请求后,从通过一致性验证的量子密钥中,选取在相同地址区间存储的量子密钥,发送给相应数据设备。
QKS-A设备和QKS-B设备接收对应的数据设备发送的密钥获取请求后,根据请求中携带的密钥长度信息,可以通过协商的方式确定为数据设备输出通过一致性验证的量子密钥的地址区间,然后将协商好的相同地址区间中的量子密钥发送给相应的数据设备。
至此QKS-A设备和QKS-B设备向各自相应的数据设备输出了通过一致性验证的量子密钥,从而数据设备A和数据设备B可以利用接收的量子密钥对需要进行保密传输的数据进行相应的加密、解密操作。
考虑到QKS设备和对应的数据设备之间传输过程也可能存在丢包的现象,本实施例还提供在数据设备之间进行量子密钥一致性验证的优选实施方式,即,在所述收发双方QKS设备将量子密钥发送给相应数据设备后,数据设备A和数据设备B验证获取的量子密钥的一致性,并将通过一致性验证的量子密钥作为执行数据加解密操作所采用的密钥。
数据设备A和数据设备B验证双方获取的量子密钥的一致性,可以采用多种方式实现,下面列举两种可选的方式。
1)通过比较双方获取的量子密钥的散列值实现一致性验证。
这种方式相对简便,具体实现可以是,数据设备A采用预设散列算法计算所述获取的量子密钥的散列值,并采用双方前一次获取的通过一致性验证的量子密钥对所述散列值加密,并将加密后的信息发送给数据设备B;数据设备B采用相应的密钥对接收的信息解密后,采用所述预设散列算法计算本地获取的 量子密钥的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同则向数据设备A返回验证通过应答,否则返回未通过应答。
2)利用量子密钥与密钥标签序列的对应关系实现一致性验证。
采用这种验证方式,收发双方QKS设备发送给相应数据设备的信息不仅包括量子密钥,还包括所述量子密钥的密钥标签序列。为了便于描述,将数据设备A接收的量子密钥记为Key1,对应的密钥标签序列记为Lab1,hash()代表预设散列算法,{}内的信息为被加密数据。数据设备A和数据设备B接收各自的QKS设备发送的量子密钥及密钥标签序列后,执行下述操作实现量子密钥的一致性验证:
数据设备A采用预设散列算法计算由获取的量子密钥Key1和密钥标签序列Lab1拼接而成的字符串的散列值,并采用双方前一次获取的、通过一致性验证的量子密钥对所述散列值、以及密钥标签序列Lab1加密,并将加密后的信息发送给数据设备B,即数据设备A将下列信息发送给数据设备B:Verify-A={hash(Key1,Lab1),Lab1};
数据设备B采用相应的密钥对接收的信息解密后,根据获取的密钥标签序列从本地获取对应的量子密钥,并采用所述预设散列算法计算与所述量子密钥和密钥标签序列拼接而成的字符串的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同,则向数据设备A返回验证通过应答,否则返回未通过应答。
如果数据设备A和数据设备B执行一致性验证后,发现双方获取的量子密钥不相同,即未通过一致性验证,那么数据设备A和数据设备B可以放弃本次获取的量子密钥,转到步骤305执行,再次分别向各自的QKS设备发送密钥获取请求。
由于QKS设备输出给数据设备的量子密钥都是其存储的、已通过一致性验证的量子密钥,那么如果收发双方数据设备获取的量子密钥不一致,通常是因为网络传输异常(例如丢包)造成的,在这种情况下,没有必要通过重新启动等方式清空QKS-A设备和QKS-B设备中所有已存储的量子密钥,避免对已获取的量子密钥的浪费。
至此,通过上述步骤301-步骤306对采用实时获取方式实施本申请技术方案的流程进行了详细描述。需要说明的是,为了进一步保障安全性,上述处理 流程中所有在经典信道中的数据交互都可以基于HTTPS连接进行,参与交互的各个设备在认证过程中所采用的数字证书均为可信任第三方颁发;在每两个设备进行数据交互之前,还可以预先进行双向身份认证,例如,采用预置数字证书等方式,并在双方都通过对方的身份认证后再开始数据交互过程。
上面描述了采用实时获取方式实施本申请技术方案的流程,下面描述采用预获取方式实施本申请技术方案的流程。请参考图5,其为本申请实施例提供的基于预获取方式的量子密钥输出方法的处理流程图,为了便于理解,本实施例还同时提供了基于预获取方式的各设备间交互流程图,请参考图6。所述方法包括如下步骤:
步骤501、收发双方数据设备分别向各自的密钥管理设备发送密钥获取请求。
步骤502、收发双方密钥管理设备分别向各自的量子密钥分发设备发送所述密钥获取请求。
收发双方QKS设备由于没有预存储通过一致性验证的量子密钥,因此将接收到的请求转发给各自的QKD设备。
步骤503、收发双方量子密钥分发设备通过量子密钥分发协议协商量子密钥,并采用相同地址区间存储所述量子密钥。
步骤504、收发双方量子密钥分发设备将存储在相同地址区间的量子密钥发送给相应的密钥管理设备。
步骤505、收发双方密钥管理设备将接收的量子密钥存储在相同地址区间中,并验证双方在所述相同地址区间中存储的量子密钥的一致性。
步骤506、收发双方密钥管理设备从通过一致性验证的量子密钥中,选取在相同地址区间存储的量子密钥,发送给相应数据设备。
参考上面描述的步骤以及图4和图6可以看出,预获取方式与实时获取方式的区别在于,各个设备之间的交互过程有差异。在预获取方式中,收发双方QKS设备并没有像实时获取方式那样预存储经过一致性验证的量子密钥,而是在接收数据设备的密钥获取请求后,向相应的QKD设备获取量子密钥、并进行量子密钥的一致性验证,然后将通过验证的量子密钥发送给数据设备。
在具体实施本技术方案时,采用预获取方式的核心与实时获取方式是相同的:即收发双方QKS设备要验证双方在相同地址区间中存储的量子密钥的一致 性,从而保证向数据设备输出的密钥是对称的。进一步地,收发双方QKD设备之间也可以对存储的量子密钥进行一致性验证,收发双方数据设备之间也可以对接收的量子密钥进行一致性验证。具体的处理过程在上面描述实时获取方式时都进行了详细说明,此处不再赘述,可以参见实时获取方式中的相关描述。
需要说明的是,在具体实施时,不仅可以采用上述实时获取方式或者预获取方式中的任一种方式,也可以将这两种方式结合起来实施,例如,收发双方QKS设备通常可以预存储经过一致性验证的量子密钥,并根据相应数据设备的需求输出量子密钥,当数据设备的量子密钥需求量比较大、收发双方QKS设备判断出没有预存储密钥可输出时,则可以转换到预获取方式继续工作。
综上所述,本申请提供的量子密钥输出方法,由于收发双方密钥管理设备对在相同地址区间中存储的量子密钥进行了一致性验证,从而确保量子密钥输出系统输出量子密钥的同步性和有用性,即:向数据设备输出的量子密钥都是相同的、对称的,从而为数据加解密过程的正确执行提供保障。特别是,即使因为网络传输等原因造成数据收发双方获取的量子密钥不对称,也无需通过重新启动等方式清空收发双方量子密钥管理设备已存储的量子密钥,从而避免了对量子密钥资源的浪费。
在上述的实施例中,提供了一种量子密钥输出方法,与之相对应的,本申请还提供一种量子密钥输出装置。请参看图7,其为本申请的一种量子密钥输出装置的实施例示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本实施例的一种量子密钥输出装置,包括:数据设备密钥请求单元701,用于收发双方数据设备分别向各自的密钥管理设备发送密钥获取请求;管理设备密钥输出单元702,用于收发双方密钥管理设备接收所述密钥获取请求后,将从相应量子密钥分发设备获取的、通过收发双方密钥管理设备一致性验证的量子密钥发送给相应数据设备,供相应数据设备执行数据加解密操作。
可选的,所述装置包括:分发设备密钥协商验证单元;
所述分发设备密钥协商验证单元,用于与收发双方密钥管理设备对应的量子密钥分发设备,将通过量子密钥分发协议协商获取的量子密钥存储在相同地址区间后,验证双方在所述相同地址区间中存储的量子密钥的一致性,并将通 过一致性验证的量子密钥作为可供相应密钥管理设备获取的量子密钥。
可选的,所述装置包括分发设备密钥协商单元、管理设备密钥请求单元、分发设备密钥发送单元、以及管理设备密钥验证单元,且上述单元在所述数据设备密钥请求单元工作之前启动:
分发设备密钥协商单元,用于收发双方量子密钥分发设备通过量子密钥分发协议协商量子密钥,并采用相同地址区间存储所述量子密钥;
管理设备密钥请求单元,用于收发双方密钥管理设备向各自的量子密钥分发设备发送密钥获取请求;
分发设备密钥发送单元,用于收发双方量子密钥分发设备将存储在相同地址区间的量子密钥发送给相应的密钥管理设备;
管理设备密钥验证单元,用于收发双方密钥管理设备将接收的量子密钥存储在相同地址区间中,并验证双方在所述相同地址区间中存储的量子密钥的一致性;
相应的,所述管理设备密钥输出单元具体用于,收发双方密钥管理设备接收所述密钥获取请求后,从通过一致性验证的量子密钥中,选取在相同地址区间存储的量子密钥,发送给相应数据设备。
可选的,所述装置包括:
管理设备密钥请求转发单元,用于在所述数据设备密钥请求单元接收密钥获取请求后,收发双方密钥管理设备分别向各自的量子密钥分发设备发送所述密钥获取请求;
分发设备密钥协商单元,用于收发双方量子密钥分发设备通过量子密钥分发协议协商量子密钥,并采用相同地址区间存储所述量子密钥;
分发设备密钥发送单元,用于收发双方量子密钥分发设备将存储在相同地址区间的量子密钥发送给相应的密钥管理设备;
管理设备密钥验证单元,用于收发双方密钥管理设备将接收的量子密钥存储在相同地址区间中,并验证双方在所述相同地址区间中存储的量子密钥的一致性;
相应的,所述管理设备密钥输出单元具体用于,收发双方密钥管理设备从通过一致性验证的量子密钥中,选取在相同地址区间存储的量子密钥,发送给相应数据设备。
可选的,所述装置包括:
管理设备密钥清除单元,用于当所述管理设备密钥验证单元的验证结果为:未通过时,收发双方密钥管理设备清除在被验证的相同地址区间中存储的量子密钥,并触发用于收发双方密钥管理设备分别向各自的量子密钥分发设备发送密钥获取请求的单元工作。
可选的,所述装置包括:
分发设备密钥验证单元,用于当所述分发设备密钥协商单元完成量子密钥协商过程、并采用相同地址区间存储所述量子密钥后,收发双方量子密钥分发设备验证双方在所述相同地址区间中存储的量子密钥的一致性,并将通过一致性验证的量子密钥作为可发送给密钥管理设备的量子密钥。
可选的,所述装置包括:
分发设备密钥清除单元,用于当所述分发设备密钥验证单元的验证结果为:未通过时,收发双方量子密钥分发设备清除在被验证的相同地址区间中存储的量子密钥,并触发所述分发设备密钥协商单元工作。
可选的,所述分发设备密钥验证单元以及所述管理设备密钥验证单元,各自包括验证请求子单元和验证执行子单元;
所述验证请求子单元,用于参与验证的一方设备采用预设散列算法计算在所述地址区间中存储的量子密钥的散列值,并采用参与验证的双方设备前一次获取的通过一致性验证的量子密钥对所述散列值以及所述地址区间信息加密,并将加密后的信息发送给参与验证的另一方设备;
所述验证执行子单元,用于所述另一方设备采用相应的密钥对接收到的信息解密后获取地址区间信息,采用所述预设散列算法计算在本地的相应地址区间中存储的量子密钥的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同则向参与验证的对方设备返回验证通过应答,否则返回未通过应答。
可选的,所述装置包括:
数据设备密钥验证单元,用于所述管理设备密钥输出单元将量子密钥发送给相应数据设备后,收发双方数据设备验证接收的量子密钥的一致性,并将通过一致性验证的量子密钥作为执行数据加解密操作所采用的密钥。
可选的,所述分发设备密钥协商单元通过量子密钥分发协议协商获取的量子密钥,具有与其对应的密钥标签序列;相应的,
所述分发设备密钥协商单元除了包括实现其功能的本体子单元之外,还包括映射关系建立子单元,所述映射关系建立子单元用于,建立每个量子比特的存储地址与密钥标签的一一对应关系;
所述分发设备密钥发送单元发送给所述管理设备密钥验证单元的信息不仅包括量子密钥,还包括与所述量子密钥对应的密钥标签序列;
所述管理设备密钥验证单元除了包括存储子单元、管理设备密钥验证子单元之外,还包括映射关系建立子单元;所述存储子单元,用于收发双方密钥管理设备将接收的量子密钥存储在相同地址区间;所述映射关系建立子单元,用于建立每个量子比特的存储地址与密钥标签的一一对应关系,并触发所述管理设备密钥验证子单元工作;所述管理设备密钥验证子单元,用于验证双方在所述相同地址区间中存储的量子密钥的一致性;
所述分发设备密钥验证单元以及所述管理设备密钥验证子单元,各自包括标签验证请求子单元和标签验证执行子单元;
所述标签验证请求子单元,用于参与验证的一方设备采用预设散列算法计算由所述量子密钥的密钥标签序列、与所述量子密钥中每个量子比特的存储地址组成的地址序列拼接而成的字符串的散列值,并采用参与验证的双方设备前一次获取的、通过一致性验证的量子密钥对所述散列值以及所述地址序列加密、或者对所述散列值以及所述密钥标签序列加密,并将加密后的信息发送给参与验证的另一方设备;
所述标签验证执行子单元,用于所述另一方设备接收所述加密后的信息后,采用相应的密钥解密,根据提取的地址序列从本地获取对应的密钥标签序列,或者根据提取的密钥标签序列从本地获取对应的地址序列,并采用所述预设散列算法计算由所述密钥标签序列与所述地址序列拼接而成的字符串的散列值,判断计算得到的散列值与接收的散列值是否相同,若相同则向参与验证的对方设备返回验证通过应答,否则返回未通过应答。
此外,本申请还提供一种量子密钥获取方法,所述方法在利用量子密钥对数据进行加解密的数据设备上实施。请参考图8,其为本申请提供的一种量子密钥获取方法的实施例的流程图,本实施例与第一实施例内容相同的部分不再赘述,下面重点描述不同之处。本申请提供的一种量子密钥获取方法包括:
步骤801、向密钥管理设备发送密钥获取请求。
步骤802、接收所述密钥管理设备发送的通过一致性验证的量子密钥,作为进行数据加解密所采用的密钥。
在接收所述密钥管理设备发送的通过一致性验证的量子密钥后,可以进一步验证获取的量子密钥与对端数据设备获取的量子密钥的一致性,并将通过所述一致性验证的量子密钥作为进行数据加解密所采用的密钥。
如果通过上述验证过程发现获取的量子密钥与对端数据设备获取的量子密钥不一致时,可以转到步骤801执行,重新向密钥管理设备发送量子密钥获取请求。
在上述的实施例中,提供了一种量子密钥获取方法,与之相对应的,本申请还提供一种量子密钥获取装置。请参看图9,其为本申请的一种量子密钥获取装置的实施例示意图。下述描述的装置实施例仅仅是示意性的。
本实施例的一种量子密钥获取装置,所述装置部署在利用量子密钥对数据进行加解密的数据设备上,包括:密钥获取请求发送单元901,用于向密钥管理设备发送量子密钥获取请求;对称密钥接收单元902,用于接收所述密钥管理设备发送的通过一致性验证的量子密钥,作为进行数据加解密所采用的密钥。
此外,本申请还提供一种量子密钥存储输出方法,所述方法在向数据设备提供量子密钥的密钥管理设备上实施。请参考图10,其为本申请提供的一种量子密钥存储输出方法的实施例的流程图,本实施例与第一实施例内容相同的部分不再赘述,下面重点描述不同之处。本申请提供的一种量子密钥存储输出方法包括:
步骤1001、接收数据设备发送的密钥获取请求。
如果采用实时获取量子密钥的方式,那么在本步骤之前执行下述操作:
1)向量子密钥分发设备发送密钥获取请求;
2)接收量子密钥分发设备发送的量子密钥,并采用与所述对端密钥管理设备相同的地址区间存储所述量子密钥;
3)验证在所述地址区间中存储的量子密钥与所述对端密钥管理设备在相同地址区间中存储的量子密钥的一致性,并将通过一致性验证的量子密钥作为可发送给数据设备的量子密钥。
步骤1002、按照与对端密钥管理设备协商的相同地址区间,将通过一致性验证的量子密钥发送给所述数据设备。
如果采用预获取量子密钥的方式,那么在步骤1001之后、在本步骤之前执行下述操作:
1)向量子密钥分发设备发送所述密钥获取请求;
2)接收量子密钥分发设备发送的量子密钥,并采用与所述对端密钥管理设备相同的地址区间存储所述量子密钥;
3)验证在所述地址区间中存储的量子密钥与所述对端密钥管理设备在相同地址区间中存储的量子密钥的一致性。
不管采用实时获取方式还是预获取方式,如果执行一致性验证后发现在所述地址区间中存储的量子密钥与所述对端管理设备在相同地址区间中存储的量子密钥不一致,可以清除在所述地址区间中存储的量子密钥,重新向量子密钥分发设备发送密钥获取请求。
在上述的实施例中,提供了一种量子密钥存储输出方法,与之相对应的,本申请还提供一种量子密钥存储输出装置。请参看图11,其为本申请的一种量子密钥存储输出装置的实施例示意图。下述描述的装置实施例仅仅是示意性的。
本实施例的一种量子密钥存储输出装置,所述装置部署在向数据设备提供量子密钥的密钥管理设备上,包括:密钥获取请求接收单元1101,用于接收数据设备发送的密钥获取请求;对称密钥输出单元1102,用于按照与对端密钥管理设备协商的相同地址区间,将通过一致性验证的量子密钥发送给所述数据设备。
此外,本申请还提供一种量子密钥分发存储方法,所述方法在量子密钥分发设备上实施。请参考图12,其为本申请提供的一种量子密钥分发存储方法的实施例的流程图,本实施例与第一实施例内容相同的部分不再赘述,下面重点描述不同之处。本申请提供的一种量子密钥分发存储方法包括:
步骤1201、与对端量子密钥分发设备通过量子密钥分发协议协商量子密钥,并将获取的量子密钥存储在与所述对端量子密钥分发设备相同的地址区间中。
步骤1202、验证在所述地址区间中存储的量子密钥与所述对端量子密钥分发设备在相同地址区间中存储的量子密钥的一致性。
步骤1203、根据接收到的来自密钥管理设备的量子密钥获取请求,按照与所述对端量子密钥分发设备协商的相同地址区间,将通过一致性验证的量子密钥发送给所述密钥管理设备。
如果在步骤1202中执行一致性验证后发现,在所述地址区间中存储的量子密钥与所述对端量子密钥分发设备在相同地址区间中存储的量子密钥不一致,则可以清除在所述地址区间中存储的量子密钥,并转到步骤1201执行。
需要说明的是,如果采用实时获取量子密钥的方式,所述来自密钥管理设备的密钥获取请求,可以是在步骤1202之后接收到的;如果采用预获取方式,所述请求可以是在步骤1201之前接收到的。
在上述的实施例中,提供了一种量子密钥分发存储方法,与之相对应的,本申请还提供一种量子密钥分发存储装置。请参看图13,其为本申请的一种量子密钥分发存储装置的实施例示意图。下述描述的装置实施例仅仅是示意性的。
本实施例的一种量子密钥分发存储装置,所述装置在量子密钥分发设备上实施,包括:密钥分发存储单元1301,用于与对端量子密钥分发设备通过量子密钥分发协议协商量子密钥,并将获取的量子密钥存储在与所述对端量子密钥分发设备相同的地址区间中;密钥验证单元1302,用于验证在所述地址区间中存储的量子密钥与所述对端量子密钥分发设备在相同地址区间中存储的量子密钥的一致性;对称密钥发送单元1303,用于根据接收到的来自密钥管理设备的密钥获取请求,按照与所述对端量子密钥分发设备协商的相同地址区间,将通过一致性验证的量子密钥发送给所述密钥管理设备。
此外,本申请还提供一种量子密钥输出系统。请参考图14,其为本申请提供的一种量子密钥输出系统的实施例的示意图。本申请提供的一种量子密钥输出系统包括:分别部署于收发双方的两个子系统,其中一个子系统包括:量子密钥获取装置1401-1、量子密钥存储输出装置1402-1、以及量子密钥分发存储装置1403-1,另一个子系统包括:量子密钥获取装置1401-2、量子密钥存储输出装置1402-2、以及量子密钥分发存储装置1403-2。
所述量子密钥输出系统可以采用实时获取量子密钥的工作方式,也可以采用预获取量子密钥的工作方式。采用这两种工作方式时,各设备之间的交互流程,在关于量子密钥输出方法的实施例中已经做过详细描述,此处不再赘述。
此外,本申请还提供一种用于验证量子密钥存储一致性的方法,所述方法在参与验证的第一设备和第二设备上实施。请参考图15,其为本申请提供的一种用于验证量子密钥存储一致性的方法实施例的流程图,本实施例与第一实施例内容相同的部分不再赘述,下面重点描述不同之处。本申请提供的一种用于验证量子密钥存储一致性的方法包括:
步骤1501:第一设备将通过量子密钥协商过程获取的、表征待验证量子密钥的信息,以及存储所述待验证量子密钥的地址区间信息,发送给第二设备。
所述表征待验证量子密钥的信息由与量子密钥比特数对应的子信息单元组成,每个子信息单元是所述待验证量子密钥中不同量子比特的唯一标识,且与被标识量子比特的存储地址一一对应。
所述表征待验证量子密钥的信息可以包括:待验证量子密钥本身,所述量子密钥中的每个量子比特即为所述子信息单元。采用这种方式时,所述第一设备可以采用预设的散列算法计算所述待验证量子密钥的散列值,并将所述散列值、以及所述地址区间信息发送给所述第二设备。
所述表征待验证量子密钥的信息还可以包括:待验证量子密钥的密钥标签序列,所述密钥标签序列中的每个密钥标签即为所述子信息单元;所述存储待验证量子密钥的地址区间信息包括:所述待验证量子密钥中每个量子比特的存储地址组成的地址序列。采用这种方式时,所述第一设备可以采用预设散列算法计算由所述密钥标签序列与所述地址序列拼接而成的字符串的散列值,并将所述散列值以及所述地址序列、或者所述散列值以及所述密钥标签序列发送给参与验证的所述第二设备。
在具体实施时,可以采用量子比特的时间戳信息作为所述密钥标签。
步骤1502:第二设备通过将接收的信息与本地的相应信息进行比对,判断双方设备与所述地址区间对应的、表征待验证量子密钥的信息是否相同,若相同,向第一设备返回验证通过应答,否则返回未通过应答。
当所述表征待验证量子密钥的信息为待验证量子密钥本身时,所述第二设备可以从接收的信息中提取存储待验证量子密钥的地址区间信息,采用所述预设的散列算法,计算在本地相同地址区间中存储的量子密钥的散列值,用计算得到的散列值与接收的散列值进行比较,若相同,则判定双方设备与所述地址 区间对应的、表征待验证量子密钥的信息是相同的,向所述第一设备返回验证通过应答,否则返回未通过应答。
当所述表征待验证量子密钥的信息为待验证量子密钥的密钥标签序列时,所述第二设备可以根据从接收信息中提取的地址序列从本地获取对应的密钥标签序列,或者根据提取的密钥标签序列从本地获取对应的地址序列,采用所述预设散列算法计算由所述密钥标签序列与所述地址序列拼接而成的字符串的散列值;判断计算得到的散列值与接收的散列值是否相同,若相同,则判定双方设备与所述地址区间对应的、表征待验证量子密钥的信息是相同的,向所述第一设备返回验证通过应答,否则返回未通过应答。
需要说明的是,本申请提供的用于验证量子密钥存储一致性的方法可以在需要进行量子密钥存储一致性验证的双方设备上实施,所述双方设备可以是收发双方量子密钥分发设备,也可以是收发双方密钥管理设备。
此外,在执行上述步骤1501时,所述第一设备可以采用与所述第二设备预先商定的密钥对待发送信息加密;相应的,在执行步骤1502时,所述第二设备接收所述第一设备发送的信息后,采用相应密钥解密后,执行后续的比对以及判断操作。
通过上面的描述可以看出,本申请提供的用于验证量子密钥存储一致性的方法,参与验证的双方设备通过将双方与相同地址区间对应的、表征待验证量子密钥的信息进行比对,判断双方在相同地址区间存储的量子密钥是否相同,从而为双方向外输出对称的量子密钥提供依据,为用户数据的安全、高效传输提供保障。特别是采用基于密钥标签的验证方法,利用了密钥标签可以唯一标识量子比特的特性、以及密钥标签与量子比特存储地址的对应关系,从而不用传输量子密钥就可以实现一致性验证,进一步保障了量子密钥的安全。
在上述的实施例中,提供了一种用于验证量子密钥存储一致性的方法,与之相对应的,本申请还提供一种用于验证量子密钥存储一致性的装置。请参看图16,其为本申请的一种用于验证量子密钥存储一致性的装置的实施例示意图。下述描述的装置实施例仅仅是示意性的。
本实施例的一种用于验证量子密钥存储一致性的装置,包括:密钥验证请求发送单元1601,用于第一设备将通过量子密钥协商过程获取的、表征待验证量子密钥的信息,以及存储所述待验证量子密钥的地址区间信息,发送给第二 设备;密钥验证执行单元1602,用于所述第二设备通过将接收的信息与本地的相应信息进行比对,判断双方设备与所述地址区间对应的、表征待验证量子密钥的信息是否相同,若相同,向所述第一设备返回验证通过应答,否则返回未通过应答。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
- 还没有人留言评论。精彩留言会获得点赞!