一种安全高效的量子密钥服务方法与流程

本发明涉及一种安全高效的量子密钥服务方法。

背景技术：

量子密钥分发(qkd)是一种新型的随机密钥在线安全分发技术，它基于量子测不准原理和不可克隆定理，利用微观粒子的量子态作为信息载体，通过量子信道实现物理安全的密钥分发。qkd在提升密钥分发安全性和实时性等方面具有显著优势。在国家相关产业政策的激励下，在网络空间安全技术快速发展的背景下，以qkd网络部署和融合应用体系建设为主体的量子通信产业发展步入快速发展时期。由于qkd网络在技术体系上相对独立，很难实现与传统保密通信网络在光纤信道中的同路传输，很难与传统通信系统进行安全无缝对接。为了推进qkd技术的应用并大幅度提升传统保密通信系统的安全性，需要解决量子密钥服务的安全性、灵活性和效率问题。

技术实现要素：

为了克服现有技术的上述缺点，本发明提供了一种安全高效的量子密钥服务方法，旨在解决量子密钥从qkd网络到传统保密通信网络的跨域服务的灵活性、安全性和效率问题，即采用专用接口实现量子密钥的实时接入与适配，采用跨域隔离实现量子密钥处理的物理安全性，采用集中编排和分布式加密摆渡实现量子密钥安全高效服务。

本发明解决其技术问题所采用的技术方案是：一种安全高效的量子密钥服务方法，包括如下步骤：

步骤一、发起端代理服务器a向响应端代理服务器b发起会话请求，在完成相互认证后，协商量子密钥的参数，并分别向量子密钥服务系统a和量子密钥服务系统b请求量子密钥；

步骤二、量子密钥服务系统a和量子密钥服务系统b分别与代理服务器a和代理服务器b进行认证和量子密钥参数确认，并在通过认证和参数确认后，分别向qkd节点a和qkd节点b请求量子密钥；否则，重新申请；

步骤三、qkd节点a和qkd节点b在完成相互认证后，实时协商量子密钥或从量子密钥池中读取具有相同索引号的量子密钥，然后分别输出到量子密钥服务系统a和量子密钥服务系统b，并在输出后分别安全删除所述量子密钥；

步骤四、量子密钥服务系统a和量子密钥服务系统b对通过检测和校验的量子密钥进行编排后，分别将具有相同密钥索引号的量子密钥加密摆渡给代理服务器a和代理服务器b，并在加密摆渡后分别安全删除所述量子密钥并更新索引；

步骤五、代理服务器a和代理服务器b分别解密量子密钥数据，并在校验通过后分别将量子密钥注入到应用系统a和应用系统b中，或者根据相同的策略对量子密钥数据进行编排处理后注入到应用系统a和应用系统b中，或者重新加密后利用公共网络分别摆渡给应用系统a和应用系统b中，并在结束量子密钥服务过程后分别安全删除所述量子密钥；如果不能通过校验，则重新申请。

与现有技术相比，本发明的积极效果是：

1.实现与qkd网络的安全接入：专用接口，跨域隔离，多重安全机制。

2.实现量子密钥服务的灵活性：实时接入与适配、同步加密、用后即毁。

3.实现qkd网络与分布广泛的应用终端之间的快速对接：实时从qkd申请量子密钥，并通过传统保密通信网络快速注入应用终端。

通过在qkd节点部署量子密钥服务系统，并基于传统保密通信网络为区域范围内的用户提供安全高效的量子密钥服务，同时解决量子密钥服务的安全性、灵活性和效率问题。本发明基于其更高的安全性、更方便的应用接入、更灵活的服务模式，在党、政、工控、金融、军事等领域具有良好的应用前景。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为本发明的流程图；

图2为量子密钥服务系统的功能模块；

图3为本发明的工作原理图。

具体实施方式

一种安全高效的量子密钥服务方法，如图1所示，包括如下内容：

根据应用系统需求，代理服务器向量子密钥服务系统申请量子密钥；量子密钥服务系统向qkd节点申请量子密钥，并把编排后的量子密钥数据加密摆渡给代理服务器，代理服务器通过安全接口把量子密钥注入应用系统。

具体包括以下步骤：

步骤1：根据应用系统需求，发起端代理服务器a向响应端代理服务器b发起会话请求；代理服务器a与代理服务器b基于二者之间的预共享密钥进行认证；在完成相互认证后，协商所需要申请量子密钥的参数(至少包括量子密钥的数据格式、组数和长度)，并分别向量子密钥服务系统a和量子密钥服务系统b请求量子密钥。

步骤2：量子密钥服务系统a和量子密钥服务系统b分别与代理服务器a和代理服务器b进行认证和量子密钥参数确认；通过认证和参数确认后，量子密钥服务系统a和量子密钥服务系统b再分别向qkd节点a和qkd节点b请求量子密钥；否则，重新申请。

步骤3：qkd节点a和qkd节点b基于二者之间的预共享密钥进行认证，在通过认证后，实时协商量子密钥或从量子密钥池中读取具有相同索引号的量子密钥(此时，实时协商的量子密钥用于补充量子密钥池)，并分别输出到量子密钥服务系统a和量子密钥服务系统b；然后，qkd节点a和qkd节点b分别安全删除所述量子密钥。

步骤4：量子密钥服务系统a和量子密钥服务系统b对量子密钥进行随机性检测、一致性和完整性校验；对通过检测和校验的量子密钥按照密钥格式进行编排，并按节点关系和数据长度等增加相应的密钥索引号。量子密钥服务系统a和量子密钥服务系统b分别把具有相同密钥索引号的量子密钥加密摆渡给代理服务器a和代理服务器b；然后，量子密钥服务系统a和量子密钥服务系统b分别安全删除所述量子密钥并更新索引。

步骤5：代理服务器a和代理服务器b分别解密量子密钥数据，并对量子密钥进行完整性校验；通过校验后，代理服务器a和代理服务器b分别把量子密钥注入到应用系统a和应用系统b，或者根据相同的策略对量子密钥数据进行编排处理后注入到应用系统a和应用系统b中，或者重新加密后利用公共网络分别摆渡给应用系统a和应用系统b中，量子密钥服务过程结束；代理服务器a和代理服务器b分别安全删除所述量子密钥；如果不能通过校验，则重新申请。

其中，量子密钥的编排方法是，把量子密钥服务系统a(假设其服务的应用系统数量为u)与量子密钥服务系统b(假设其服务的应用系统数量为v)间的共享密钥记为密钥序列kab；把kab中的数据按照密钥分组长度进行分割，形成规模为u*v的矩阵mab(u,v)＝{muv},(muv是与密钥分组长度一致的比特序列,u∈[0,u-1],v∈[0,v-1])，矩阵中的元素muv即是应用系统u和v之间的共享密钥；最后，按节点关系、密钥长度等增加相应的密钥索引号，并把mab(u,v)矩阵中的数据进行安全存储。

其中，量子密钥服务系统之间、代理服务器之间、量子密钥服务系统与代理服务器之间采用传统的无线或有线通信技术进行保密通信。

其中，包括有密钥管理中心(kmc)的情况，即量子密钥服务系统采用在线加密通信方式或离线方式接受kmc的管理，即，接收kmc下发的量子密钥服务及应用管理策略，上报所提供的量子密钥服务的摘要信息。

如图2所示，本发明的量子密钥服务系统至少包括如下功能模块：身份认证与管理模块、量子密钥接口模块、量子密钥处理与编排模块、加密通信模块、系统控制模块。其中，

身份认证与管理模块：采用在线或离线方式进行注册并获得管理中心授权，获取系统初始化密钥、预共享互通密钥和应用管理策略；在完成初装和授权后接入qkd终端；基于预共享互通密钥实现量子密钥服务系统之间、量子密钥服务系统与代理服务器之间的身份认证。

量子密钥接口模块：从qkd节点获取量子密钥，或把编排后的量子密钥加密摆渡到代理服务器或应用系统；并针对不同类型的应用接口进行码率适配、密钥同步适配等。

其中，码率适配：根据应用系统加解密速率不同，采用密码技术对量子密钥进行扩展或编排。

密钥同步适配：根据初始同步、新旧密钥更换时的平滑交替同步、通信终端异常或信道异常情况下失步后的再同步等情况，采用具有相应密钥索引号的密钥。

量子密钥处理与编排模块：对量子密钥进行随机性检测、一致性和完整性校验、密钥编排和安全存储；采用逻辑隔离和访问控制技术实现对量子密钥的安全防护；对不再使用的量子密钥进行安全删除。

量子保密通信模块：采用量子密钥直接加密明文数据，或采用经典密码技术加密量子密钥，进行加密通信。所述模块具有传统的无线/有线通信功能模块。

系统控制模块：控制和管理其他模块，使各模块能统一协调工作。

本发明的代理服务器包括作为独立设备的情况和作为应用系统中的功能模块的情况；当一个应用系统直接接入一个量子密钥服务系统时，该应用系统被看作集成代理服务器功能的应用系统；另外，多个量子密钥服务系统可以按层级关系进行互联，即，当一个量子密钥服务系统与另一个接入qkd节点的量子密钥服务系统直接互联时，该量子密钥服务系统可被看作代理服务器。

本发明的工作原理如图3所示，根据应用系统或代理服务器需求，量子密钥服务系统实时向qkd节点申请并缓存量子密钥，对量子密钥进行随机性检测、一致性和完整性校验；对通过检测和校验的量子密钥按照密钥格式进行编排，并按节点关系和数据长度等增加相应的密钥索引号，然后进行加密存储；根据该节点服务区域内的应用系统或代理服务器申请，量子密钥服务系统a和b同步输出具有相同密钥索引号的量子密钥，即利用与代理服务器之间的共享密钥加密该量子密钥数据，然后发送给代理服务器；代理服务器把该量子密钥解密后发给应用系统。其中，应用系统至少包括各种密码终端、安全网关、安全路由器和密管系统。