一种基于量子密钥的应用系统及其使用方法与流程

本发明涉及数据安全领域，具体涉及一种基于量子密钥的应用系统及其使用方法。

背景技术：

量子密钥管理技术是最先得到实用化的量子信息技术。该技术利用单光子不可分割、量子态不可复制的特性实现通信双方间的安全密钥分发，结合“一次一密”即可实现不可破译的无条件安全加密通信。和传统加密通信技术不同，以量子密钥管理技术为基础的量子保密通信的安全性由量子物理原理保障。

目前，量子密钥管理技术已在金融行业陆续得到了应用，相关案例如下：

2017年初，人民银行启动量子应用示范项目建设，选取人行信息中心、北京营业管理部和工商银行、农业银行、中国银行、建设银行等商业银行参与建设“人民币跨境收付信息管理系统(rcpmis)”；

2017年初，工商银行在全球银行业中首次成功应用千公里级量子通信技术实现了网上银行数据京沪异地灾备系统的量子加密传输，是我国量子通信进入实用化的一个重要里程碑。

2017年2月，交通银行完成企业网银用例建设，首次在金融企业网银实时转账交易中使用量子通信技术，通过量子保密通信的高安全性保障客户对资金安全的高要求。

以上案例中量子密钥加密的模式均为网络层加密，上层需要加密的应用将数据发到由路由器、量子加密设备、量子密钥生成设备等组成的量子加密保护通道中进行传输，拓扑图如图1所示，图中的量子密钥生成设备通过量子城域网络和骨干网络互通互联，进行量子密钥协商，为量子加密设备提供量子密钥；量子加密设备利用从量子密钥生成设备获取的量子密钥，通过ipsec协议对数据进行加解密；数据中心路由器通过路由协议完成业务数据流的引流、回传等动作，从而使业务数据流可以流经量子加密设备进行加解密。

现有方案存在以下缺点：

①仅仅复用了量子网络的特性，实现了在非安全环境中进行密钥传递的问题，仅仅解决了网路传输的问题，并未将量子密钥与业务进行有机结合，未解决应用系统密钥安全问题。如业务系统密钥的及时更新、密钥历史版本管理等，没有有效提升应用系统的安全；

②没有密钥缓存机制，无法维护系统的高可用问题，无法解决量子密钥供给不足的问题；

③现有方案维护的是密钥本身，是业务和量子网络形成紧耦合，影响业务系统的快速扩展。

为了解决以上问题，有必要提出一种基于量子密钥的应用系统及其使用方法。

技术实现要素：

本发明的目的在于针对现有技术的不足，提供一种基于量子密钥的应用系统及其使用方法。

为了解决上述技术问题，采用如下技术方案：

一种基于量子密钥的应用系统，包括：

设立于各个机构处的机构密钥管理中心，所述的机构密钥管理中心为应用安全和通讯安全提供统一的量子密钥服务；

全国密钥管理中心，与各机构的机构密钥管理中心通信，负责为各机构分配下发量子密钥或量子密钥id；

需交互通信的两个机构密钥管理中心需要同时向全国密钥管理中心发起获取同一个量子密钥的请求。

进一步，所述的全国密钥管理中心包括统一密钥获取服务管理平台、与所述统一密钥获取服务管理平台通信连接的可信量子密钥标识分发平台和机构应用管理平台、与所述可信量子密钥标识分发平台和机构应用管理平台通信连接的量子密钥服务平台；每个所述的机构密钥管理中心包括核心量子密钥库、与所述核心量子密钥库通信连接的业务密钥池管理平台和与所述业务密钥池管理平台通信连接的机构业务中心；每个所述机构密钥管理中心的业务密钥池管理平台均与所述全国密钥管理中心的量子密钥服务平台通信连接。

进一步，所述的业务密钥池管理平台包括量子密钥申请接口、与所述量子密钥申请接口通信连接的密钥服务管理模块、与所述密钥服务管理模块通信连接的机构应用管理模块和可信量子密钥计算模块、与所述可信量子密钥计算模块通信连接的量子密钥服务模块，所述的机构业务中心包括至少一个的应用代理服务器，每个所述应用代理服务器均与同机构密钥管理中心的量子密钥服务模块通信连接，每个机构所述的量子密钥服务模块均与所述全国密钥管理中心的量子密钥服务平台通信连接，不同机构所述的量子密钥服务模块能够通过所述的全国密钥管理中心建立可信的安全通道。

进一步，所述的统一密钥获取服务管理平台包括全网密钥生命周期管理模块、全网密钥标识管理模块、全网机构标识管理模块和全网应用标识管理模块；所述的密钥服务管理模块包括与全网密钥生命周期管理模块通信连接的机构密钥生命周期管理模块、与全网密钥标识管理模块通信连接的机构密钥标识管理模块、与全网机构标识管理模块通信连接的机构标识管理模块、与全网应用标识管理模块通信连接的机构应用标识管理模块。

进一步，所述的可信量子密钥计算模块中以安全设备hsm为基础，安全设备hsm作为可信量子密钥计算模块的计算平台，负责接受量子密钥的密文和业务数据，在安全设备hsm内部完成密码处理，返回出计算结果，完成计算后，安全设备hsm不再缓存密钥数据；

所述的量子密钥包括业务安全密钥、通讯安全密钥和扩展密钥，所述的业务安全密钥用于机构业务数据安全；所述的通讯安全密钥用于机构与机构之间的通讯层数据保护工作；所述的扩展密钥应于业务安全密钥和通讯安全密钥所覆盖不到的领域：

所述的通讯安全密钥存储于各机构的核心量子密钥库中，通过全国密钥管理中心为各机构分配所需要的通讯安全密钥id，通讯安全密钥从核心量子密钥库中提取至业务密钥池管理平台中存储并进行统一管理，所述的通讯安全密钥在业务密钥池管理平台中受存储保护密钥保护，所述的存储保护密钥预存在业务密钥池管理平台中，不在其它地方留存，确保量子密钥在存储状态下，只能由业务密钥池管理平台统一完成导入和导出；通讯安全密钥从核心量子密钥库提取时，通过保护密钥一加密保护；通讯安全密钥传入安全设备hsm时，受保护密钥二加密保护，所述的保护密钥一预先装载于所述的核心量子密钥库和业务密钥池管理平台中；所述的保护密钥二预先装载于所述的业务密钥池管理平台和安全设备hsm中；

所述的业务安全密钥由全国密钥管理中心的密码设备产生，并由全国密钥管理中心负责将业务安全密钥在下发保护密钥的加密保护下安全下发并落地给各机构的业务密钥池管理平台存储，并通过存储保护密钥保护，机构将业务安全密钥安全部署到安全设备hsm的过程中，受传递保护密钥加密保护，中间经过的环节系统中均不以明文方式暴露，以完成业务安全密钥的安全保护，所述的下发保护密钥预先装载于全国密钥管理中心的密码设备和业务密钥池管理平台中，所述的传递保护密钥预先装载于所述业务密钥池管理平台和安全设备hsm中。

进一步，所述的通讯安全密钥id采用“机构1编号-应用编号-机构2编号-应用编号”进行标识。

进一步，机构必须向全国密钥管理中心进行注册申请，经过审核通过的机构可以与其它已注册的机构进行互联互通的业务操作。

本发明还提出一种基于量子密钥的应用系统的使用方法，包括如下步骤：

s1、机构密钥管理中心的应用代理服务器向量子密钥服务模块发起与另一机构密钥管理中心的应用代理服务器的业务通讯请求；

s2、量子密钥服务模块接受该业务通讯请求，并向全国密钥管理中心的量子密钥服务平台申请与另一机构密钥管理中心的量子密钥，量子密钥服务平台将该申请提交给机构应用管理平台进行审核，审核通过后，机构应用管理平台向统一密钥获取服务管理平台提出密钥标识申请，统一密钥获取服务管理平台经过审核通过后将密钥标识分派给可信量子密钥标识分发平台，由可信量子密钥标识分发平台将密钥获取指令通过量子密钥服务平台同时下发给两个需要交互通信机构的量子密钥服务模块，两机构的量子密钥服务模块同时向本机构密钥管理中心的密钥服务管理模块提交密钥获取指令，经密钥服务管理模块审核通过后，执行密钥获取指令，通过调用量子密钥申请接口向各自的核心量子密钥库取得量子密钥密文；

s3、两通信机构的量子密钥服务模块向各自的可信量子密钥计算模块发起同步计算请求，可信量子密钥计算模块向各自的密钥服务管理模块发起请求密钥，通过量子密钥申请接口获取量子密钥，并传送量子密钥到各自的可信量子密钥计算模块，由可信量子密钥计算模块完成同步计算，同步计算结果返回给量子密钥服务模块，量子密钥服务模块将同步计算结果发送到全国密钥管理中心，全国密钥管理中心的量子密钥服务平台将双方的同步计算结果进行比对，如果一致，量子密钥服务平台给两机构的量子密钥服务模块下发密钥可用通知，并向应用代理服务器发送密钥就绪通知；

s4、应用代理服务器接收到通知后，向量子密钥服务模块提交业务数据信息，量子密钥服务模块向核心量子密钥库申请量子密钥，量子密钥密文落地到各自的可信量子密钥计算模块，可信量子密钥计算模块利用内部的安全设备hsm基于量子密钥对业务数据进行数据处理，并将处理结果返回给应用代理服务器；

s5、该应用代理服务器将计算结果向另一机构通信的应用代理服务器计算结果传递，另一应用代理服务器接收计算结果后，向量子密钥服务模块发送计算结果，并由量子密钥服务模块发送给可信量子密钥计算模块，通过可信量子密钥计算模块利用内部的安全设备hsm进行数据处理，并将处理结果返回至应用代理服务器中。

进一步，所述s4、s5步骤中的数据处理方式包括加密/解密、签名/验签中的一种或两种组合，支持des、3des、rsa、sm2、sm3、sm4多种算法，还能扩展支持ecc算法。

由于采用上述技术方案，具有以下有益效果：

本发明一种基于量子密钥的应用系统，具有以下有益效果：

1)量子密码池管理：打通了实体量子网络与虚拟应用网络壁垒，使得量子密钥高安全性特点进一步向业务领域延伸，促进信息安全工作进一步发展，解决了业务领域密钥分发、同步的难题、解决了密钥来源的权威性、可信性和安全性问题，使得业务信息在不可信网络中传输的机密性、防篡改性进一步得到保障；

2)、量子密钥id生成规则：提供了一种量子密钥id生成规则，并和应用进行配对维护，支持大容量高并发的关系维护和使用机制；

3)、密钥下发机制：提供密钥的及时下发更新机制，提供密钥的缓存机制，维护密钥的历史版本，加强密钥的使用安全；

4)、密钥属性管理：增加密钥属性管理，主要增加了密钥的在用状态、密钥应用属性、设备存储状态、密钥所有者状态，加强密钥在应用中的安全使用。

附图说明

下面结合附图对本发明作进一步说明：

图1为现有技术方案量子密钥加密模式的拓扑图；

图2为本发明中一种基于量子密钥的应用系统的原理框图；

图3为本发明中一种基于量子密钥的应用系统的使用方法流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面通过附图及实施例，对本发明进行进一步详细说明。但是应该理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

参阅图2，一种基于量子密钥的应用系统，包括：

设立于各个机构处的机构密钥管理中心，所述的机构密钥管理中心为应用安全和通讯安全提供统一的量子密钥服务；

全国密钥管理中心，与各机构的机构密钥管理中心通信，负责为各机构分配下发量子密钥或量子密钥id；

需交互通信的两个机构密钥管理中心需要同时向全国密钥管理中心发起获取同一个量子密钥的请求。

其中，所述的全国密钥管理中心包括统一密钥获取服务管理平台、与所述统一密钥获取服务管理平台通信连接的可信量子密钥标识分发平台和机构应用管理平台、与所述可信量子密钥标识分发平台和机构应用管理平台通信连接的量子密钥服务平台；每个所述的机构密钥管理中心包括核心量子密钥库、与所述核心量子密钥库通信连接的业务密钥池管理平台和与所述业务密钥池管理平台通信连接的机构业务中心；每个所述机构密钥管理中心的业务密钥池管理平台均与所述全国密钥管理中心的量子密钥服务平台通信连接；所述的业务密钥池管理平台包括量子密钥申请接口、与所述量子密钥申请接口通信连接的密钥服务管理模块、与所述密钥服务管理模块通信连接的机构应用管理模块和可信量子密钥计算模块、与所述可信量子密钥计算模块通信连接的量子密钥服务模块，所述的机构业务中心包括至少一个的应用代理服务器，每个所述应用代理服务器均与同机构密钥管理中心的量子密钥服务模块通信连接，每个机构所述的量子密钥服务模块均与所述全国密钥管理中心的量子密钥服务平台通信连接，不同机构所述的量子密钥服务模块能够通过所述的全国密钥管理中心建立可信的安全通道；所述的统一密钥获取服务管理平台包括全网密钥生命周期管理模块、全网密钥标识管理模块、全网机构标识管理模块和全网应用标识管理模块；所述的密钥服务管理模块包括与全网密钥生命周期管理模块通信连接的机构密钥生命周期管理模块、与全网密钥标识管理模块通信连接的机构密钥标识管理模块、与全网机构标识管理模块通信连接的机构标识管理模块、与全网应用标识管理模块通信连接的机构应用标识管理模块。

进一步地，所述的可信量子密钥计算模块中以安全设备hsm为基础，安全设备hsm作为可信量子密钥计算模块的计算平台，负责接受量子密钥的密文和业务数据，在安全设备hsm内部完成密码处理，返回出计算结果，完成计算后，安全设备hsm不再缓存密钥数据。

所述的量子密钥包括业务安全密钥、通讯安全密钥和扩展密钥，所述的业务安全密钥用于机构业务数据安全；所述的通讯安全密钥用于机构与机构之间的通讯层数据保护工作；所述的扩展密钥应于业务安全密钥和通讯安全密钥所覆盖不到的领域，负责本地特色业务，所有密钥均以业务密钥池管理平台为落地源点，保障落地密钥的安全，并通过对密钥属性的维护管理保障密钥的安全性。

所述的通讯安全密钥存储于各机构的核心量子密钥库中，通过全国密钥管理中心为各机构分配所需要的通讯安全密钥id，通讯安全密钥从核心量子密钥库中提取至业务密钥池管理平台中存储并进行统一管理，所述的通讯安全密钥在业务密钥池管理平台中受存储保护密钥保护，所述的存储保护密钥预存在业务密钥池管理平台中，不在其它地方留存，确保量子密钥在存储状态下，只能由业务密钥池管理平台统一完成导入和导出；通讯安全密钥从核心量子密钥库提取时，通过保护密钥一加密保护；通讯安全密钥传入安全设备hsm时，受保护密钥二加密保护，所述的保护密钥一预先装载于所述的核心量子密钥库和业务密钥池管理平台中；所述的保护密钥二预先装载于所述的业务密钥池管理平台和安全设备hsm中。

所述的业务安全密钥由全国密钥管理中心的密码设备产生，并由全国密钥管理中心负责将业务安全密钥在下发保护密钥的加密保护下安全下发并落地给各机构的业务密钥池管理平台存储，并通过存储保护密钥保护，机构将业务安全密钥安全部署到安全设备hsm的过程中，受传递保护密钥加密保护，中间经过的环节系统中均不以明文方式暴露，以完成业务安全密钥的安全保护，所述的下发保护密钥预先装载于全国密钥管理中心的密码设备和业务密钥池管理平台中，所述的传递保护密钥预先装载于所述业务密钥池管理平台和安全设备hsm中。

进一步，所述的通讯安全密钥id采用“机构1编号-应用编号-机构2编号-应用编号”进行标识。量子密钥核心网络可以将通讯安全密钥安全地发布到不同结点上，获取通讯安全密钥需要在两地之间同步进行，向量子密钥核心网络提出获取量子密钥申请时，也需要指定两个地域信息。密钥最终要交付应用代理服务器使用，所以相同的两个机构可能对应多对密钥，因此量子密钥由“机构1编号-应用编号-机构2编号-应用编号”表示，保障机构与应用代理服务器它们之间的一一映射关系。量子密钥核心网络更新速度大约是2kbps，为了合理使用量子密钥，最大效率的利用量子网络，机构密钥管理中心需要不断地从量子密钥核心网络中获取密钥，并存放在机构密钥管理中心的密钥池中。由于量子密钥的使用者是成对出现，所以需要通知使用密钥的两个机构密钥管理中心同时向量子密钥核心网络发起获取同一个密钥的请求。因此，需要由全国密钥管理中心来协调管理机构密钥管理平台的量子密钥的更新工作，具体如下：

1)首先，全国密钥管理中心检查数据库中已注册的机构应用信息，按照规则将更新密钥的任务排成队列，然后按顺序每次安排一个任务；

2)其次，全国密钥管理中心把任务送到事件通知服务发布后，对应的机构结点收到通知开始从量子密钥核心网络获取密钥；

3)再次，机构密钥管理中心成功获取到密钥后，计算密钥较验值(两个机构用获取的量子密钥加密同一段数据)，将密钥校验值发送给全国密钥管理中心；

4)最后，全国密钥管理中心收到双方提交的密钥校验值进行比对，如果一致，说明更新密钥任务成功，保存密钥状态记录(密钥状态改为“待用”)并通知双方，并准备发布下一个任务；如果没有收到密钥校验值或比对失败，说明更新密钥任务失败。

其中，更新密钥任务顺序按照如下过程计算：

1)获取全部机构信息，然后遍历机构信息，获取当前机构对应的所有应用代理服务器信息；

2)遍历每一个应用代理服务器，获取其它机构的同类应用代理服务器(即要找到需要相互通信的应用关系)；

3)按照匹配机构编号大小组建量子密钥id，即如果a机构id<b机构id，生成的量子密钥id标识为orga-app-orgb-app，如果a机构id>b机构id，生成的id标识为orgb-app-orga-app；

4)检查统一密钥获取服务管理平台密钥状态表是否有对应的匹配记录，有则保存更新任务队列；如果没有则增加密钥状态表记录，状态为无密钥，然后保存更新任务队列。

进一步地，机构必须向全国密钥管理中心进行注册申请，经过审核通过的机构可以与其它已注册的机构进行互联互通的业务操作。

管理员在全国密钥管理中心创建新机构，系统自动生成机构编号，此编号唯一且不可改变，机构密钥管理中心部署时需要设置此编号。当机构密钥管理中心地址或使用状态发生变更时，可以修改对应信息；机构密钥管理中心不再使用后，在全国密钥管理中心改变对应数据记录的状态(不做物理删除)。

管理员在机构密钥管理中心创建新应用代理服务器，系统自动生成应用代理服务器编号，此编号唯一且不可改变，应用代理服务器部署时需要设置此编号。注册的应用代理服务器信息需要提交给全国密钥管理中心。机构密钥管理中心需要从全国密钥管理中心下载其它机构密钥管理中心管理的应用信息；当机构的应用代理服务器地址或使用状态发生变更时，可以修改对应信息，修改的应用代理服务器信息需要提交给全国密钥管理中心。应用代理服务器不再使用后，在机构密钥管理中心改变对应数据记录的状态(不做物理删除)，修改的应用代理服务器信息同样需要提交给全国密钥管理中心。

机构密钥管理中心管理应用代理服务器时，要为应用代理服务器分配具体的应用类别。不同机构间的应用代理服务器，只有类别相同才可以进行通讯(获取量子密钥)。由于机构密钥管理中心为应用代理服务器提供可用的量子密钥，所以机构密钥管理中心要管理应用代理服务器信息，并将应用代理服务器信息同步给系统中其它机构密钥管理中心。具体同步过程为：机构密钥管理中心将自己管理的应用信息提交到全国密钥管理中心，并从全国密钥管理中心下载其它机构密钥管理中心管理的应用信息。

全国密钥管理中心的密码设备和安全设备hsm作为本系统的授信设备，同样需要进行注册管理，管理员在全国密钥管理中心注册设备信息(包括密码设备和安全设备hsm)，设备需要在线下完成初始化，保证密钥的正确性，当设备地址或使用状态发生变更时，可以修改对应信息；设备不再使用后，在全国密钥管理中心改变对应数据记录的状态(不做物理删除)。

参阅图3，本发明实施例还提出一种基于量子密钥的应用系统的使用方法，包括如下步骤：

s1、机构a机构密钥管理中心的应用代理服务器a2向量子密钥服务模块发起与机构b机构密钥管理中心的应用代理服务器b1的业务通讯请求。

s2、量子密钥服务模块接受该业务通讯请求，并向全国密钥管理中心的量子密钥服务平台申请与另一机构密钥管理中心的量子密钥，量子密钥服务平台将该申请提交给机构应用管理平台进行审核，审核通过后，机构应用管理平台向统一密钥获取服务管理平台提出密钥标识申请，统一密钥获取服务管理平台经过审核通过后将密钥标识分派给可信量子密钥标识分发平台，由可信量子密钥标识分发平台将密钥获取指令通过量子密钥服务平台同时下发给机构a和机构b的量子密钥服务模块，两机构的量子密钥服务模块同时向本机构密钥管理中心的密钥服务管理模块提交密钥获取指令，经密钥服务管理模块审核通过后，执行密钥获取指令，通过调用量子密钥申请接口向各自的核心量子密钥库取得量子密钥密文。

s3、两通信机构的量子密钥服务模块向各自的可信量子密钥计算模块发起同步计算请求，可信量子密钥计算模块向各自的密钥服务管理模块发起请求密钥，通过量子密钥申请接口获取量子密钥，并传送量子密钥到各自的可信量子密钥计算模块，由可信量子密钥计算模块完成同步计算，同步计算结果返回给量子密钥服务模块，量子密钥服务模块将同步计算结果发送到全国密钥管理中心，全国密钥管理中心的量子密钥服务平台将双方的同步计算结果进行比对，如果一致，量子密钥服务平台给两机构的量子密钥服务模块下发密钥可用通知，并向应用代理服务器a2和b1发送密钥就绪通知。

s4、应用代理服务器a2接收到通知后，向量子密钥服务模块提交业务数据信息，量子密钥服务模块向核心量子密钥库申请量子密钥，量子密钥密文落地到各自的可信量子密钥计算模块，可信量子密钥计算模块利用内部的安全设备hsm基于量子密钥对业务数据进行数据处理，并将处理结果返回给应用代理服务器a2。

s5、应用代理服务器a2将计算结果向机构b通信的应用代理服务器b1传递，应用代理服务器b1接收计算结果后，向机构b的量子密钥服务模块发送计算结果，并由量子密钥服务模块发送给可信量子密钥计算模块，通过可信量子密钥计算模块利用内部的安全设备hsm进行数据处理，并将处理结果返回至应用代理服务器中。

进一步地，所述s4、s5步骤中的数据处理方式包括加密/解密、签名/验签中的一种或两种组合，支持des、3des、rsa、sm2、sm3、sm4多种算法，还能扩展支持ecc算法。

以上仅为本发明的具体实施例，但本发明的技术特征并不局限于此。任何以本发明为基础，为解决基本相同的技术问题，实现基本相同的技术效果，所作出地简单变化、等同替换或者修饰等，皆涵盖于本发明的保护范围之中。