一种基于多终端通信的密钥服务架构及分配方法与流程

本发明涉及安全通信技术领域，特别涉及一种基于多终端通信的密钥服务架构及分配方法。

背景技术：

随着互联网的大范围普及，人类之间的信息传递达到了前所未有的数量和频率，各种隐私信息越来越多地暴露在互联网上，因此，人类对保密通信的需求也到了前所未有的高度。现在的互联网信息安全的加密方式称为“公开密钥”密码体系，其原理是通过加密算法，生成网络上传播的公开密钥，以及留在计算机内部的私人密钥，两个密钥必须配合使用才能实现完整的加密和解密过程。

现代互联网使用的加密标准是20世纪70年代诞生的rsa算法，即利用大数的质因子分解难以计算来保证密钥的安全性。

传输密钥分配是1984年物理学家bennett和密码学家brassard提出了基于量子力学测量原理的bb84协议，传输密钥分配可以从根本上保证了密钥的安全性。

目前，在量子加密技术领域，基于qkd的网络密钥生成速率较低，很难实现一包一密的要求；另外，从qkd网络中获取的密钥只能在相邻的两个节点之间共享，无法大规模应用于多方通信的场合，给量子加密通讯的发展造成了很大的限制。

技术实现要素：

本发明目的在于提供一种基于多终端通信的密钥分配系统与方法，以解决现有技术中基于qkd的网络密钥生成速率较低，很难实现一包一密的要求；另外，从qkd网络中获取的密钥只能在相邻的两个节点之间共享，无法大规模应用于多方通信的场合，给量子加密通讯的发展造成了很大的限制的技术性缺陷。

本发明的技术方案是这样实现的：

一种基于多终端通信的密钥服务架构，包括：密钥服务系统，所述密钥服务系统设置有可与客户端生成共享传输密钥的中心传输密钥分配器、可生成会话密钥的会话密钥分配器以及所述密钥服务系统为各个客户端均分配的个人密钥存储空间，所述各个客户端均能访问各自对应的个人密钥存储空间，不能访问其他客户端的个人密钥存储空间；

客户端，所述客户端分别设置有客户端传输密钥分配器，所述客户端传输密钥分配器可与中心传输密钥分配器生成共享的传输密钥；

所述密钥服务系统通过经典信道与客户端连接，所述经典信道用于会话密钥传输分配，所述中心传输密钥分配器通过信道与客户端传输密钥分配器连接，所述密钥服务系统还设置有客户端在线管理服务器，所述客户端在线管理服务器用于监测客户端是否处于在线连接状态，并向处于在线状态的客户端推送会话密钥。

优选地，所述各客户端分别设置有密钥缓存器，所述密钥缓存器用于将在线时客户端推送过来的会话密钥进行保存。

优选地，所述密钥服务系统还包括传输密钥存储服务器，所述传输密钥存储服务器用于存储各个客户端共享的传输密钥。

优选地，所述密钥服务系统的中心传输密钥分配器为中心量子密钥分配器，所述客户端设置的客户端传输密钥分配器为客户端量子密钥分配器，所述中心量子密钥分配器与客户端量子密钥分配器可生成共享的量子密钥。

优选地，所述客户端包括语音终端、视频终端、邮件终端。

本发明还提供了一种基于多终端通信的密钥服务架构的密钥分配方法，包括以下步骤：

1)生成共享传输密钥：通过客户端的客户端传输密钥分配器以及密钥服务系统的中心传输密钥分配器生成共享的传输密钥；

2)管理共享的传输密钥：将共享的传输密钥同步至密钥服务系统进行管理；

3)创建会话密钥：会话发起者客户端向密钥服务系统申请按照指定的参数创建会话密钥后，会话密钥分配器开始为该会话创建会话密钥；

4)会话密钥的存储：密钥服务系统为每个客户端都分配一个固定大小或者非固定大小的个人密钥存储空间，创建后的会话密钥存储到会话参与者客户端的个人密钥存储空间中；

5)会话密钥的传输：通过客户端在线管理服务器查找参与者客户端是否与密钥服务系统在线连接，如果在线连接，则将会话密钥采用对应参与者客户端的传输密钥加密方式推送给参与者客户端；如果参与者客户端没有和密钥服务系统建立在线连接，密钥服务系统不会实时的将密钥推送给该客户端，等到该客户端上线连接后，密钥服务系统再将这些密钥推送至该参与者客户端。

优选地，在会话密钥传输的过程中，客户端可主动的向密钥服务系统请求会话密钥，密钥服务系统判断该客户端是否为参与者决定推送会话密钥。

优选地，步骤3)中指定的参数包括会话中的其他参与者、单个密钥的长度、密钥提供的模式、密钥的提供速率。

优选地，所述客户端包括语音终端、视频终端、邮件终端。

与现有技术相比，本发明有以下有益效果：

本发明的基于多终端通信的密钥服务架构以及分配方法，通过密钥服务系统获取各个客户端传输密钥，然后通过该传输密钥对会话密钥加密的方式，密钥服务系统通过传输密钥加密会话密钥的方式将会话密钥分发至需要参与通信的客户端，而数据包只需要会话密钥加密即可，实现多方客户端通信的目的，本发明不仅保证多方通信绝对安全性，也避免了一包一密对qkd系统高标准的要求，使量子加密通讯很好的适用于大规模多方通信场合；另外，本发明根据与会者在线与不在线的情况分配了个人密钥存储空间，可保证与会者能快速准确的接收到会话密钥，提高了通信的安全性以及效率。

附图说明

图1为本发明基于多终端通信的密钥服务架构的原理框图；

图2为本发明密钥分配方法的流程图。

图中：密钥服务系统100，中心传输密钥分配器101，会话密钥分配器102，个人密钥存储空间103，客户端在线管理服务器104，传输密钥存储服务器105，客户端200，客户端传输密钥分配器201，密钥缓存器202。

具体实施方式

下面将结合本发明实施例中的附图，对本发明进行清楚、完整地描述。

如图1所示，一种基于多终端通信的密钥服务架构，包括：密钥服务系统100，所述密钥服务系统100设置有可与客户端200生成共享的传输密钥的中心传输密钥分配器101、可生成会话密钥的会话密钥分配器102以及所述密钥服务系统100为各个客户端均分配的个人密钥存储空间103，所述个人密钥存储空间103为固定大小或者非固定大小，当客户端200作为会话参与者时，该客户端200对应的个人密钥存储空间103用于存储此次会话时密钥服务系统100创建的会话密钥，同时，个人密钥存储空间103也将对应客户端200共享的传输密钥存储在内，所述各个客户端200均能访问各自对应的个人密钥存储空间103，不能访问其他客户端200的个人密钥存储空间103；

客户端200，所述客户端200分别设置有客户端传输密钥分配器201，所述客户端传输密钥分配器201可与中心传输密钥分配器101生成共享的传输密钥，所述共享的传输密钥只用于对应客户端200与密钥服务系统100之间会话密钥加密使用；

所述密钥服务系统100通过经典信道与客户端200连接，所述经典信道用于会话密钥传输分配，所述中心传输密钥分配器101通过信道与客户端传输密钥分配器201连接，所述密钥服务系统100还设置有客户端在线管理服务器104，所述客户端在线管理服务器104用于监测客户端200是否处于在线连接状态，并向处于在线状态的客户端200推送会话密钥。

所述各客户端200分别设置有密钥缓存器202，所述密钥缓存器202用于将在线时客户端推送过来的会话密钥进行保存，保存的会话密钥可以多次使用，避免了同样客户端200之间通信需要重新创建会话密钥的缺陷。

所述密钥服务系统100还包括传输密钥存储服务器105，所述传输密钥存储服务器105用于存储各个客户端200共享的传输密钥，其中，共享的传输密钥也可以暂存在对应的个人密钥存储空间103中。

所述密钥服务系统100的中心传输密钥分配器101为中心量子密钥分配器，所述客户端200设置的客户端传输密钥分配器201为客户端量子密钥分配器，所述中心量子密钥分配器101与客户端量子密钥分配器201可生成共享的量子密钥。

所述客户端200包括语音终端、视频终端、邮件终端。

如图2所示，本发明还提供了一种基于多终端通信的密钥服务架构的密钥分配方法，包括以下步骤：

1)生成共享传输密钥：通过客户端的客户端传输密钥分配器以及密钥服务系统的中心传输密钥分配器生成共享的传输密钥；

2)管理共享的传输密钥：将共享的传输密钥同步至密钥服务系统进行管理；

3)创建会话密钥：会话发起者客户端向密钥服务系统申请按照指定的参数创建会话密钥后，会话密钥分配器开始为该会话创建会话密钥；

4)会话密钥的存储：密钥服务系统为每个客户端都分配一个固定大小或者非固定大小的个人密钥存储空间，创建后的会话密钥存储到会话参与者客户端的个人密钥存储空间中；

5)会话密钥的传输：通过客户端在线管理服务器查找参与者客户端是否与密钥服务系统在线连接，如果在线连接，则将会话密钥采用对应参与者客户端的传输密钥加密方式推送给参与者客户端；如果参与者客户端没有和密钥服务系统建立在线连接，密钥服务系统不会实时的将密钥推送给该客户端，等到该客户端上线连接后，密钥服务系统再将这些密钥推送至该参与者客户端。

步骤5)中的会话密钥传输是分为实时应用与非实时应用的，实时应用如视频会议，而视频会议参与者应该都是在线的情况，但也不排除部分参与者由于一些理由不在线的情况。而非实时应用如电子邮件的参与者则不一定在线，针对通讯模式不同，步骤5)采用了上述在线与不在线的密钥推送方式。

在会话密钥传输的过程中，客户端可主动的向密钥服务系统请求会话密钥，密钥服务系统判断该客户端是否为参与者决定推送会话密钥，这样也可使遗漏的与会者得到与会的补救措施。

步骤3)中指定的参数包括会话中的其他参与者、单个密钥的长度、密钥提供的模式、密钥的提供速率。

所述客户端包括语音终端、视频终端、邮件终端。

综合本发明的结构与原理可知，本发明的基于多终端通信的密钥服务架构以及分配方法，通过密钥服务系统获取各个客户端传输密钥，然后通过该传输密钥对会话密钥加密的方式，密钥服务系统通过传输密钥加密会话密钥的方式将会话密钥分发至需要参与通信的客户端，而数据包只需要会话密钥加密即可，实现多方客户端通信的目的，本发明不仅保证多方通信绝对安全性，也避免了一包一密对qkd系统高标准的要求，使量子加密通讯很好的适用于大规模多方通信场合；另外，本发明根据与会者在线与不在线的情况分配了个人密钥存储空间，可保证与会者能快速准确的接收到会话密钥，提高了通信的安全性以及效率。