基于量子密钥分发技术的云平台管理方法及系统与流程

本发明涉及量子通信技术领域，具体涉及量子密钥云平台的管理方法及系统。

背景技术：

密钥技术在应用上存在巨大的需求，广泛应用于网络安全身份认证、数字签名、信息加密等领域。但是由于缺少安全的密钥分发和交换机制，无法保证及时更新；并且随着超级计算能力的日益提升，在很大程度上降低了密钥的安全性。因此，更多的人将目标转向了量子密钥。

量子密钥分发(quantumkeydistribution，qkd)技术是一项利用量子力学特性来保证通信安全性的技术。它使通信的双方能够产生并分享一个随机的、安全的密钥，来加密和解密信息。量子密钥分发可以产生和分发密钥，并且基于量子力学的基本原理，任何对量子系统的测量都会对系统产生干扰，如果有第三方试图窃听密码，则通信的双方便会察觉。量子密钥分发技术具有很高的安全性，可以在理论上为通信双方提供无条件安全的通信。在现有的技术水平下，量子密钥分发技术被认为是唯一在安全性方面得到严格证明的保密通信方式，在信息安全领域有着重大的应用价值和市场前景，不仅可用于军事、国防等领域的国家级保密通信，还可应用于涉及机密数据、票据的政府、能源、财政、工商、地税、银行、证券、保险、电信等部门和领域。随着京沪、沪杭、武合、宁苏等量子干线项目的相继实施建设，表明我国量子密钥分发技术已走出实验室走向实用化、产业化的发展之路，也预示了国内有光学系统研究基础的企业将迎来新的发展契机。公开号为cn108737079a的中国发明专利申请公开了一种分布式量子密钥管理系统及方法，该方案将关系索引与分布式底层存储技术应用于密钥存储，提高了量子密钥管理系统的效率，但是该方案没有对通信应用进行分类，不能对用户提供不同的通信安全等级的密钥服务。同时，现阶段密钥的存储和管理成本高，在密钥的安全存储和有效管理上还有待研究。

技术实现要素：

本发明要解决的技术问题是提供一种采用量子密钥分发技术对通信应用进行分类并且可以对量子密钥进行有效管理、降低成本的基于量子密钥分发技术的云平台管理方法及系统。

为解决上述技术问题，本发明提供了一种基于量子密钥分发技术的云平台管理方法，该方法将量子密钥存储在云服务器上并对量子密钥进行实时补充，监控分析量子密钥的使用情况；

云服务器针对移动终端的不用应用对量子密钥创建不同的加密和解密策略，用加密策略对存储在云服务器上的量子密钥进行加密，将加密的量子密钥和不同应用对应的解密策略分发到移动终端；

移动终端根据分发到的加密的量子密钥和对应的解密策略进行解密，完成身份认证，以此对不同应用实现不同安全等级的密钥服务。

进一步地，所述将量子密钥存储在云服务器上并对量子密钥进行实时补充的具体方法为：

云服务器上设有密钥池，量子密钥存储在密钥池中，密钥池与量子密钥发生器连接，量子密钥发生器在密钥池中的量子密钥数量不足时产生量子密钥并将量子密钥补充到密钥池中。

进一步地，所述量子密钥存储在密钥池中的方式为结合sm2，sm3和sm4加密技术的分布式存储，在用加密策略对存储在云服务器上的量子密钥进行加密前，需从密钥池中取出量子密钥，取出的操作为对结合sm2，sm3和sm4加密技术的反向解密。

进一步地，所述量子密钥发生器在密钥池中的量子密钥数量不足时产生量子密钥并将量子密钥补充到密钥池中的模式包括自动模式和手动模式，

所述自动模式为在每次分发加密的量子密钥后，自动检查密钥池中未使用的量子密钥数量，若未使用的量子密钥数量不足，量子密钥发生器产生新的量子密钥并补充到密钥池中；

所述手动模式为人为请求量子密钥发生器，量子密钥发生器接到请求后产生新的量子密钥并补充到密钥池中，随时对密钥池中的量子密钥进行补充。

进一步地，所述将加密的量子密钥和不同应用对应的解密策略分发到移动终端的过程中，设有不同权限的用户，用户包括租户和客户；加密的量子密钥和不同应用对应的解密策略先分发到租户或者客户，其中租户的权限为将加密的量子密钥和不同应用对应的解密策略分发到客户或者移动终端、客户的权限为将加密的量子密钥和不同应用对应的解密策略分发到移动终端；再由租户或者客户将加密的量子密钥和不同应用对应的解密策略分发到移动终端。

进一步地，所述将加密的量子密钥和不同应用对应的解密策略分发到移动终端的过程中，在云服务器端和移动终端创建唯一且互相对应的编码，以此使移动终端与云服务器端之间能够进行正常信息交互。

进一步地，所述移动终端根据分发到的加密的量子密钥和对应的解密策略进行解密的过程中，不同的加密和解密策略设有不同的头标识，通过头标识判断应用类型，同时通过头标识定位量子密钥中的对应内容并用解密策略对对应内容进行解密，完成身份认证，该量子密钥被消耗。

本发明还提供了一种基于量子密钥分发技术的云平台管理系统，包括云服务器、量子密钥发生器、密钥管理模块、系统管理模块和移动终端，所述密钥管理模块和系统管理模块设置在所述云服务器上，所述密钥管理模块获取所述量子密钥发生器产生的量子密钥并对量子密钥进行存储、加密、实时监控和分发到移动终端，所述系统管理模块管理量子密钥的分发、维护系统并分析量子密钥的使用情况，所述移动终端对加密的量子密钥进行解密。

进一步地，所述密钥管理模块包括密钥池、应用分类模块、量子密钥分配模块、解密模块和记录模块，

所述密钥池通过启动线程请求量子密钥发生器产生量子密钥，所述密钥池获取量子密钥发生器产生的量子密钥并进行存储；

所述应用分类模块根据移动终端的不同应用创建不同的量子密钥的加密和解密策略，并对在云服务器端的量子密钥加密；

所述量子密钥分配模块用于分发加密的量子密钥，量子密钥分配模块分发加密的量子密钥时具有报错警功能；

所述解密模块将解密策略在云服务器端和移动终端之间传递，将不同移动终端应用对应的解密策略分发到各移动终端；

所述记录模块监控并记录量子密钥的分发情况和消耗情况。

进一步地，所述系统管理模块包括角色管理模块、系统维护模块和分析模块，

所述角色管理模块用于对租户和客户进行创建和管理，并给租户和客户分配不同的操作权限；

所述系统维护模块通过操作日志监控系统的所有操作和使用情况，维护系统正常运行；

所述分析模块读取所述记录模块记录的量子密钥的使用情况，并结合租户和客户对各租户和客户使用量子密钥的情况进行分析。

本发明的有益效果：通过根据移动终端的不同应用类别对量子密钥创建不同的加密解密策略，实现了基于量子密钥的保密业务服务，给用户提供不同通信安全等级的密钥服务；通过对用户使用量子密钥的情况进行实时监测，实现对量子密钥的有效管理；通过将量子密钥存储在云服务器上，提高安全性、降低成本。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，以下以本发明的较佳实施例并配合附图详细说明如后。

附图说明

图1是本发明的框架图。

图2是基于量子密钥分发技术的云平台管理系统的功能模块图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步说明，以使本领域的技术人员可以更好地理解本发明并能予以实施，但所举实施例不作为对本发明的限定。

术语“包括”意图在于覆盖不排他的包含，例如包含了一系列步骤或单元的过程、方法、系统、产品或设备，没有限定于已列出的步骤或单元而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。

如图1所示，一种基于量子密钥分发技术的云平台管理方法的一实施例，将量子密钥存储在云服务器上并对量子密钥进行实时补充，监控量子密钥的分发情况和消耗情况；云服务器针对移动终端的不用应用对量子密钥创建不同的加密和解密策略，用加密策略对存储在云服务器上的量子密钥进行加密，将加密的量子密钥和不同应用对应的解密策略分发到移动终端；移动终端根据分发到的加密的量子密钥和对应的解密策略进行解密，完成身份认证，以此对不同应用实现不同安全等级的密钥服务。

本实施例中，所述将量子密钥存储在云服务器上并对量子密钥进行实时补充的具体方法为在云服务器上设有密钥池，量子密钥存储在密钥池中，密钥池与量子密钥发生器连接，量子密钥发生器在密钥池中的量子密钥数量不足时产生量子密钥并将量子密钥补充到密钥池中。

本实施例中，所述量子密钥存储在密钥池中的方式为结合sm2，sm3和sm4加密技术的量子密钥分布式存储。sm2算法是一种非对称加密的公钥密码算法。非对称加密算法需要公开密钥和私有密钥。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。sm3是在sha-256基础上改进实现的一种摘要算法，sm3算法适用于商用密码应用中的数字签名和验证，不需要秘钥。sm3算法能够对任何小于264bit的数据进行计算，输出长度为256bit的摘要。sm4是对称加密算法，使用128位的加密密钥，并采用32轮迭代加密结构，每一轮加密使用一个32位的轮密钥，总共使用32个轮密钥。sm4算法的加密和解密算法结构相同，只是使用轮密钥相反，其中解密轮密钥是加密轮密钥的逆序。密钥池在存储量子密钥时采用结合sm2,sm3和sm4加密技术的量子密钥分布式存储，将量子密钥经过加密形成密文后再存储，提高了量子密钥存储的安全性。在用加密策略对存储在云服务器上的量子密钥进行加密前，需从密钥池中取出量子密钥，取出的操作为对结合sm2，sm3和sm4加密技术的反向解密。

本实施例中，所述量子密钥发生器在密钥池中的量子密钥数量不足时产生量子密钥并将量子密钥补充到密钥池中的模式包括自动模式和手动模式，所述自动模式为在每次分发加密的量子密钥后，自动检查密钥池中未使用的量子密钥数量，若未使用的量子密钥数量不足，量子密钥发生器产生新的量子密钥并补充到密钥池中；所述手动模式为人为请求量子密钥发生器，量子密钥发生器接到请求后产生新的量子密钥并补充到密钥池中，可随时对密钥池中的量子密钥进行补充。

本实施例中，所述将加密的量子密钥和不同应用对应的解密策略分发到移动终端的过程为：先由云服务器将加密的量子密钥和不同应用对应的解密策略分发到租户或者客户，其中租户的权限为将加密的量子密钥和不同应用对应的解密策略分发到客户或者移动终端、客户的权限为将加密的量子密钥和不同应用对应的解密策略分发到移动终端；再由租户或者客户将加密的量子密钥和不同应用对应的解密策略分发到移动终端。

本实施例中，所述将加密的量子密钥和不同应用对应的解密策略分发到移动终端的过程中，在云服务器端和移动终端创建唯一且互相对应的编码，以此使移动终端与云服务器端之间能够进行正常信息交互。

本实施例中，所述移动终端根据分发到的加密的量子密钥和对应解密策略进行解密的过程中，不同的加密和解密策略设有不同的头标识，通过头标识判断应用类型，同时通过头标识定位量子密钥中的对应内容并用解密策略对对应内容进行解密，完成身份认证，该量子密钥被消耗，移动终端继续进行应用。

如图1-2所示，一种基于量子密钥分发技术的云平台管理系统的一实施例，该系统包括云服务器、量子密钥发生器、密钥管理模块、系统管理模块和移动终端，所述密钥管理模块和系统管理模块设置在所述云服务器上，所述密钥管理模块获取所述量子密钥发生器产生的量子密钥并对量子密钥进行存储、加密解密、实时监控和分发到移动终端，所述系统管理模块管理量子密钥的分发、维护系统并分析量子密钥的使用情况，所述移动终端对加密的量子密钥进行解密，完成身份认证后进行移动终端应用。

所述密钥管理模块包括密钥池、量子密钥分配模块、应用分类模块、解密模块和记录模块，其中：

所述密钥池通过启动线程请求量子密钥发生器产生量子密钥，获取量子密钥发生器产生的量子密钥并进行存储。请求量子密钥发生器产生量子密钥的方式分为自动模式和手动模式。所述自动模式在每次分配量子密钥后，启动独立的线程检查密钥池中未使用的量子密钥的数量，若未使用的量子密钥不足则启动线程请求量子密钥发生器，量子密钥发生器产生新的量子密钥并补充到密钥池中。所述手动模式为人工随时请求量子密钥发生器，量子密钥发生器产生新的量子密钥并补充到密钥池中。密钥池存储量子密钥的方式为结合sm2，sm3和sm4加密技术的分布式存储，在用加密策略对存储在云服务器上的量子密钥进行加密前，需从密钥池中取出量子密钥，取出的操作为对结合sm2，sm3和sm4加密技术的反向解密。

所述应用分类模块根据移动终端的不同应用创建不同的量子密钥的加密和解密策略，并对在云服务器端的量子密钥加密。

所述量子密钥分配模块分发加密的量子密钥，分发的方式有直接分发到移动终端；或者，先分发到租户，再由租户分发到移动终端；或者，先分发到租户，再由租户分发到客户，最后由客户分发到移动终端。量子密钥分配模块分发加密的量子密钥时具有报错警功能，具体为所述量子密钥分配模块给租户分配之前先检查所述密钥池中的密钥数量是否大于分配值，以及被分配的用户是否为审核通过的租户；检查后满足条件才分配量子密钥，且所述量子密钥分配模块给租户分配的数量不高于所述租户管理模块根据租户的需求对租户设定的量子密钥额度；每次给租户分配完密钥后，会检查密钥池中的量子密钥数量，若数量不足会启动量子密钥发生器进行补充。所述量子密钥分配模块给客户分配之前先检查该客户是否属于某一租户，以及该客户所属租户未使用的量子密钥额度是否大于要分配的额度；检查后满足条件才分配量子密钥，且所述量子密钥分配模块给客户分配的数量不高于所述客户管理模块根据客户的需求对客户设定的量子密钥额度，若分配额度高于设定最高额度，会给出分配不成功的提示信息；每次给客户分配完后，会启动独立的线程检查此客户所属租户的加密的量子密钥数量，并给出剩余数量的提示信息。

所述解密模块在云服务器端和移动终端创建唯一且互相对应的编码，以此使移动终端与云服务器端之间能够进行正常信息交互，将解密策略在云服务器端和移动终端之间传递，将不同移动终端应用对应的解密策略分发到各移动终端；同时，可以对云服务器端和移动终端进行查询、创建、修改，以及初始化操作。本实施例中，移动终端的应用分为音频、视频和文件，针对量子密钥创建三种不同的加密和解密策略，不同的加密和解密策略通信安全等级不同。不同加密和解密方式有特定的头标识，通过头标识可以在判断应用类型；同时通过头标识定位量子密钥中的对应内容并用解密策略对对应内容进行解密，完成身份认证。在每一次业务或服务中，云服务器根据不同的应用需求选择相应的加密策略，移动终端用相应的解密策略对加密的量子密钥的相应部分进行解密，完成此次身份认证，该量子密钥被消耗。以此给用户提供不同通信安全等级的密钥服务，实现了量子密钥的安全分发和安全管控，满足用户对保密业务的应用需求。

所述记录模块监控并记录量子密钥的使用情况，本实施例中，记录模块监控并记录量子密钥的使用情况包括量子密钥的分发情况和消耗情况，分发情况包括量子密钥分发给租户和客户的日志记录，消耗情况包括租户和客户将量子密钥分发到移动终端后被消耗的日志记录。以此实现对量子密钥的实时监测。

所述系统管理模块包括角色管理模块、系统维护模块和分析模块，其中：

所述角色管理模块用于对租户和客户进行创建和管理，并给租户和客户分配不同的操作权限，租户有将量子密钥分发到客户和移动终端的权限，客户有将量子密钥分发到移动终端的权限。对于租户，根据租户的需求设定租户可拥有的量子密钥额度，并在每个租户下设置若干个客户；审核租户的密钥额度、注册和登录信息。对于客户，根据客户的需求设定客户可拥有的量子密钥额度，并设定客户所属的租户；审核客户的密钥额度、注册和登录信息。

所述系统维护模块通过操作日志监控系统的所有操作和使用情况，维护系统正常运行。操作日志是操作系统时的信息记录，采用java调用jdbc(javadatabaseconnectivity，java数据库连接)接口连接数据库并对数据库进行操作，利用java程序将系统操作时间、系统运行状态等日志信息保存到数据库中，实现数据库的备份和还原；同时，可以及时识别针对系统的入侵攻击、内部违规等信息，并且可以通过设置条件(例如时间、操作对象等)查询指定的日志，实现日志的审计和回溯功能。

所述分析模块读取所述记录模块记录的量子密钥的使用情况，并结合租户和客户对各租户和客户使用量子密钥的情况进行分析。分析的内容包括租户分发统计、租户使用统计和客户分布统计、客户使用统计。租户分发统计包括租户被分发的加密的量子密钥的总数量、已使用的数量、未使用的数量，租户使用统计包括租户在不同时间段对量子密钥的消耗情况。客户分布统计包括该客户所属租户下各个客户对被分发的加密的量子密钥消耗情况的对比，客户使用统计包括客户在不同时间段对量子密钥消耗的具体情况。以此实现对不同用户使用量子密钥的实时监测和有效管理。

本发明的有益效果：通过根据移动终端的不同应用类别对量子密钥创建不同的加密解密策略，不同的加密解密策略安全等级不同，以此实现基于量子密钥的保密业务服务，给用户提供不同通信安全等级的密钥服务；通过对用户使用量子密钥的情况进行实时监测，实现对量子密钥的有效管理；通过将量子密钥存储在云服务器上，提高安全性、降低成本。

以上所述实施例仅是为充分说明本发明而所举的较佳的实施例，本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换，均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。