基于量子密钥加密的数据发送、接收方法、装置及系统与流程

本发明涉及一种量子通信方法及装置，更具体涉及一种基于量子密钥加密的数据发送、接收方法、装置及系统。

背景技术：

随着量子通信技术的发展，越来越多的通信系统使用量子密钥进行数据加密，现有技术方案如CN104660603A，实现了量子密钥作为优先使用的第一会话密钥，IKE协商密钥作为第二会话密钥进行安全通信，在IPSec VPN安全策略中增加量子密钥接入及应用机制。

但是，现有的量子VPN(Virtual Private Network，虚拟专用网络)通信系统中的各个发送节点仅具有与一个节点通信的量子密钥，因此一个发送节点无法具有同时与两个节点进行量子密钥加密的VPN通信能力；因此，现有的量子VPN通信系统仅支持点对点的数据加密传输，进而导致量子VPN通信系统不能进行多节点组网通信的技术问题。

技术实现要素：

本发明所要解决的技术问题在于提供了一种基于量子密钥加密的数据发送、接收方法、装置及系统，以解决现有技术中存在的量子VPN通信系统不能进行多节点组网通信的技术问题。

本发明是通过以下技术方案解决上述技术问题的：

本发明实施例提供了一种基于量子密钥加密的数据发送方法，应用于含有至少两个通信节点的量子通信网络中的发送节点，所述方法包括：

获取待发送数据，并检查预设的SA协议是否有效；

若所述预设的SA协议有效，根据所述预设的SA协议从所述发送节点的密钥池中获取加密密钥；并判断所述发送节点的密钥池中的密钥量是否低于预设阈值；

若是，从挂载在所述发送节点上的KM加密机中获取加密密钥，将所述加密密钥存储至所述发送节点的密钥池中，以使所述发送节点的密钥池中的密钥量不低于所述预设阈值，并执行根据所述加密密钥加密所述待发送数据的步骤；

若否，根据所述加密密钥加密所述待发送数据。

可选的，所述预设阈值为所述发送节点的密钥池所存储的最大密钥量的50％。

可选的，所述从挂载在所述发送节点上的KM加密机中获取加密密钥，包括：

从挂载在所述发送节点上的KM加密机中获取加密密钥，查找到与所述待发送数据的接收节点所对应的KM加密机，并从所述KM加密机中获取加密密钥。

可选的，所述根据所述加密密钥加密所述待发送数据，包括：

从所述发送节点的密钥池中读取所述加密密钥，并根据所述加密密钥加密所述待发送数据。

本发明实施例提供了一种基于量子密钥加密的数据接收方法，应用于含有至少两个通信节点的量子通信网络中的接收节点，所述方法包括；

接收加密后的数据，并检查预设的SA协议是否有效；

若所述预设的SA协议有效，根据所述预设的SA协议从所述接收节点的密钥池中获取解密密钥；并判断所述接收节点的密钥池中的密钥量是否低于预设阈值；

若是，从挂载在所述接收节点上的KM加密机中获取解密密钥，将所述解密密钥存储至所述接收节点的密钥池中，以使所述接收节点的密钥池中的密钥量不低于所述预设阈值，其中，所述接收节点获取解密密钥的KM加密机是与所述发送节点获取加密密钥的KM加密机对应的KM加密机；

若否，根据所述解密密钥解密所述加密后的数据。

可选的，所述从挂载在所述接收节点上的KM加密机中获取解密密钥，包括：

从挂载在所述接收节点上的KM加密机中获取解密密钥，查找到与所述加密后的数据的来源节点所对应的KM加密机，并从所述KM加密机中获取解密密钥。

可选的，所述根据所述解密密钥解密所述加密后的数据，包括：

从所述接收节点的密钥池中读取所述解密密钥，并根据所述解密密钥解密所述加密后的数据。

本发明实施例提供了一种基于量子密钥加密的数据发送装置，应用于含有至少两个通信节点的量子通信网络中的发送节点，所述装置包括：

第一获取模块，用于获取待发送数据，并检查预设的SA协议是否有效；

第一判断模块，用于若所述预设的SA协议有效，根据所述预设的SA协议从所述发送节点的密钥池中获取加密密钥；并判断所述发送节点的密钥池中的密钥量是否低于预设阈值；

第二获取模块，用于在所述第一判断模块的判断结果为是的情况下，从挂载在所述发送节点上的KM加密机中获取加密密钥，将所述加密密钥存储至所述发送节点的密钥池中，以使所述发送节点的密钥池中的密钥量不低于所述预设阈值，并触发发送模块；

发送模块，用于在所述第一判断模块的判断结果为否的情况下，根据所述加密密钥加密所述待发送数据。

可选的，所述预设阈值为所述发送节点的密钥池所存储的最大密钥量的50％。

可选的，所述第二获取模块，还用于：

从挂载在所述发送节点上的KM加密机中获取加密密钥，查找到与所述待发送数据的接收节点所对应的KM加密机，并从所述KM加密机中获取加密密钥。

可选的，所述发送模块，还用于：

从所述发送节点的密钥池中读取所述加密密钥，并根据所述加密密钥加密所述待发送数据。

本发明实施例提供了一种基于量子密钥加密的数据接收装置，应用于含有至少两个通信节点的量子通信网络中的接收节点，所述装置包括；

接收模块，用于接收加密后的数据，并检查预设的SA协议是否有效；

第二判断模块，用于若所述预设的SA协议有效，根据所述预设的SA协议从所述接收节点的密钥池中获取解密密钥；并判断所述接收节点的密钥池中的密钥量是否低于预设阈值；

第三获取模块，用于在所述第二判断模块的判断结果为是的情况下，从挂载在所述接收节点上的KM加密机中获取解密密钥，将所述解密密钥存储至所述接收节点的密钥池中，以使所述接收节点的密钥池中的密钥量不低于所述预设阈值，并触发解密模块，其中，所述接收节点获取解密密钥的KM加密机是与所述发送节点获取加密密钥的KM加密机对应的KM加密机；

解密模块，用于在所述第二判断模块的判断结果为否的情况下，根据所述解密密钥解密所述加密后的数据。

可选的，所述第三获取模块，还用于：

从挂载在所述接收节点上的KM加密机中获取解密密钥，查找到与所述加密后的数据的来源节点所对应的KM加密机，并从所述KM加密机中获取解密密钥。

可选的，所述解密模块，还用于：

从所述接收节点的密钥池中读取所述解密密钥，并根据所述解密密钥解密所述加密后的数据。

本发明实施例提供了一种基于上述任一项所述的基于量子密钥加密的数据发送装置和基于上述任一项所述的基于量子密钥加密的数据接收装置的多节点VPN通信系统。

本发明相比现有技术具有以下优点：

应用本发明实施例，每一个发送节点挂载有KM加密机，每一个KM加密机与待发送数据的接收节点的KM加密机相匹配，因此，多个发送节点通过多个KM加密机可以连接成一个量子通信网络，进而解决了现有技术中的量子VPN通信系统不能进行多节点组网通信的技术问题。

附图说明

图1为本发明实施例提供的一种基于量子密钥加密的数据发送方法的流程示意图；

图2为本发明实施例提供的一种基于量子密钥加密的数据发送方法的原理示意图；

图3为本发明实施例提供的一种多节点VPN通信系统的结构示意图；

图4为本发明实施例提供的一种基于量子密钥加密的数据接收方法的流程示意图；

图5为本发明实施例提供的一种基于量子密钥加密的数据接收方法的原理示意图；

图6为本发明实施例提供的一种基于量子密钥加密的数据发送装置的结构示意图；

图7为本发明实施例提供的一种基于量子密钥加密的数据接收装置的结构示意图。

具体实施方式

下面对本发明的实施例作详细说明，本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

本发明实施例提供了一种基于量子密钥加密的数据发送、接收方法、装置及系统，下面首先就本发明实施例提供的一种基于量子密钥加密的数据发送方法进行介绍。

第一方面，本发明实施例提供了一种基于量子密钥加密的数据发送方法。需要强调的是，本发明第一方面提供的实施例优选适用于含有至少两个通信节点的量子通信网络中的发送节点。

需要强调的是，通信节点包括发送节点和/或接收节点，即发送节点为通信节点中的一种。

图1为本发明实施例提供的一种基于量子密钥加密的数据发送方法的流程示意图；图2为本发明实施例提供的一种基于量子密钥加密的数据发送方法的原理示意图；如图1和图2所示，所述方法包括：

S101：获取待发送数据，并检查预设的SA协议是否有效。

图3为本发明实施例提供的一种多节点VPN通信系统的结构示意图，如图3所示，量子通信网络中可以包含三个通信节点，VPN-server-1、VPN-server-2、VPN-server-3；且VPN-server-1内具有密钥池-1和密钥池-2，通过密钥接口挂载有KM-A1和KM-B1；VPN-server-2内具有密钥池-1和密钥池-2，通过密钥接口挂载有KM-C2和KM-B2；VPN-server-3内具有密钥池-1和密钥池-2，通过密钥接口挂载有KM-A3和KM-C3；KM-A1与KM-A3通过量子信道连接；KM-C3与KM-C2通过量子信道连接；KM-B2与KM-B1通过量子信道连接；各个通信节点之间通过经典信道连接。

本发明实施例中，以通信节点作为发送节点为例进行说明。

VPN-server-1获取待发送数据X，根据待发送数据X识别出待发送数据X对应的目的节点VPN-server-3，即接收待发送数据X的接收节点，然后检查VPN-server-1与接收待发送数据X的接收节点之间的SA协议是否有效。如果有效执行S102步骤，如果无效，结束操作。

需要说明的是，每一个通信节点都可以具有发送节点的功能和/或接收节点的功能；另外，SA(Security Association，安全关联)是一种安全关联，SA对两台计算机之间的策略协议进行编码，指定它们将使用哪些算法和什么样的密钥长度，以及实际的密钥本身。另外，一个通信节点上挂载的KM加密机的数量可以与该通信节点所通信连接的其他通信节点的数量相同，例如，通信节点VPN-server-1与其它十个通信节点连接，则VPN-server-1上需要挂载十个KM加密机，且KM加密机与各个通信节点一一对应。在实际应用中，也可以至少两个通信节点共用一个KM加密机，即通信节点VPN-server-1与其它十个通信节点连接，则VPN-server-1上挂载了少于十个KM加密机，其中的一些KM加密机对应了至少两个通信节点。

S102：若所述预设的SA协议有效，根据所述预设的SA协议从所述发送节点的密钥池中获取加密密钥；并判断所述发送节点的密钥池中的密钥量是否低于预设阈值；若是执行S103；若否，执行S104；

具体的，所述预设阈值为所述发送节点的密钥池所存储的最大密钥量的50％。

示例性的，如果KM加密机中的KM-A1加密机与VPN-server-1中的密钥池1对应；KM-B1与VPN-server-1中的密钥池2对应；KM-A3加密机与VPN-server-3中的密钥池1对应；KM-C3与VPN-server-3中的密钥池2对应；KM-B2加密机与VPN-server-2中的密钥池2对应；KM-C2与VPN-server-2中的密钥池1对应。

VPN-server-1与接收待发送数据X的接收节点进行通信对应的是密钥池1中的密钥，则，VPN-server-1从密钥池1中获取加密密钥，并判断密钥池1中的密钥量是否低于密钥池1的所容纳的最大密钥量的50％，若低于50％，执行S103步骤；若不低于50％，执行S104步骤。

需要说明的是，密钥池1中通常容量的密钥量为至少两个。

另外，当发送节点作为接收节点从发送节点接收数据X时，也可以从密钥池1中读取密钥作为解密密钥，也可以另建一个密钥池作为解密密钥的密钥池。

S103：从挂载在所述发送节点上的KM加密机中获取加密密钥，将所述加密密钥存储至所述发送节点的密钥池中，以使所述发送节点的密钥池中的密钥量不低于所述预设阈值，并执行根据所述加密密钥加密所述待发送数据的步骤。

具体的，所述获取新的密钥，可以包括：从挂载在所述发送节点上的KM加密机中获取加密密钥，查找到与所述待发送数据的接收节点所对应的KM加密机，并从所述KM加密机中获取加密密钥。

示例性的，由于，KM-A1加密机与待发送数据X对应的目的节点VPN-server-3上挂载的KM-A3加密机相匹配，VPN-server-1从VPN-server-1上挂载的KM-A1加密机上获取加密密钥，并将获取的加密密钥存储到密钥池1中，以使密钥池1中的密钥量不低于密钥池1的所容纳的最大密钥量的50％。

S104：根据所述加密密钥加密所述待发送数据。

具体的，所述根据所述加密密钥加密所述待发送数据，可以包括：从所述发送节点的密钥池中读取所述加密密钥，并根据所述加密密钥加密所述待发送数据。

示例性的，VPN-server-1从密钥池1中获取加密密钥，对待发送数据X进行加密，并发送出去。

应用本发明图1所示实施例，每一个发送节点挂载有KM加密机，每一个KM加密机与待发送数据的接收节点的KM加密机相匹配，因此，多个发送节点通过多个KM加密机可以连接成一个量子通信网络，进而解决了现有技术中的量子VPN通信系统不能进行多节点组网通信的技术问题。

第二方面，与本发明第一方面实施例相对应，本发明实施例还提供了一种基于量子密钥加密的数据接收方法。本发明第二方面实施例优选适用于含有至少两个通信节点的量子通信网络中的接收节点。

需要强调的是，通信节点包括发送节点和/或接收节点，即接收节点为通信节点中的一种。

图4为本发明实施例提供的一种基于量子密钥加密的数据接收方法的流程示意图；图5为本发明实施例提供的一种基于量子密钥加密的数据接收方法的原理示意图；如图4-5所示，所述方法包括；

S401：接收加密后的数据，并检查预设的SA协议是否有效。

VPN-server-3接收加密后的待发送数据X，根据加密后的待发送数据X识别出待发送数据X对应的发送节点VPN-server-1，即发送待发送数据X的发送节点，然后检查VPN-server-1与接收待发送数据X的接收节点之间的SA协议是否有效。如果有效执行S402步骤，如果无效，结束操作。

S402：若所述预设的SA协议有效，根据所述预设的SA协议从所述接收节点的密钥池中获取解密密钥；并判断所述接收节点的密钥池中的密钥量是否低于预设阈值；若是，执行S403；若否，执行S404：

具体的，可以从与所述发送节点对应的KM加密机中获取新的密钥。

VPN-server-3与发送加密后的待发送数据X的发送节点进行通信对应的是密钥池1中的密钥，则，VPN-server-3从密钥池1中获取解密密钥，并判断密钥池1中的密钥量是否低于密钥池1的所容纳的最大密钥量的50％，若低于50％，执行S403步骤；若不低于50％，执行S404步骤。

需要说明的是，密钥池1中通常容量的密钥量为至少两个。

另外，当接收节点作为发送节点来发送数据X时，也可以从密钥池1中读取密钥作为加密密钥，也可以另建一个密钥池作为加密密钥的密钥池。

S403：从挂载在所述接收节点上的KM加密机中获取解密密钥，将所述解密密钥存储至所述接收节点的密钥池中，以使所述接收节点的密钥池中的密钥量不低于所述预设阈值，其中，所述接收节点获取解密密钥的KM加密机是与所述发送节点获取加密密钥的KM加密机对应的KM加密机。

具体的，可以从挂载在所述接收节点上的KM加密机中获取解密密钥，查找到与所述加密后的数据的来源节点所对应的KM加密机，并从所述KM加密机中获取解密密钥。

示例性的，由于，KM-A3加密机与加密后的待发送数据X对应的发送节点VPN-server-1上挂载的KM-A1加密机相匹配，VPN-server-3从VPN-server-3上挂载的KM-A3加密机上获取解密密钥，并将获取的解密密钥存储到密钥池1中，以使密钥池1中的密钥量不低于密钥池1的所容纳的最大密钥量的50％。

S404：根据所述解密密钥解密所述加密后的数据。

示例性的，VPN-server-3从密钥池1中获取解密密钥，对待发送数据X进行解密，

应用本发明图4实施例，每一个接收节点挂载有KM加密机，每一个KM加密机与待发送数据的发送节点的KM加密机相匹配，因此，多个发送节点、接收节点通过多个KM加密机可以连接成一个量子通信网络，进而解决了现有技术中的量子VPN通信系统不能进行多节点组网通信的技术问题。

第三方面，与本发明第一方面相对应，本发明实施例还提供了一种基于量子密钥加密的数据发送装置。

图6为本发明实施例提供的一种基于量子密钥加密的数据发送装置的结构示意图；如图6所示，该装置应用于含有至少两个通信节点的量子通信网络中的发送节点，所述装置包括：

第一获取模块601，用于获取待发送数据，并检查预设的SA协议是否有效；

第一判断模块602，用于若所述预设的SA协议有效，根据所述预设的SA协议从所述发送节点的密钥池中获取加密密钥；并判断所述发送节点的密钥池中的密钥量是否低于预设阈值；

第二获取模块603，用于在所述第一判断模块602的判断结果为是的情况下，从挂载在所述发送节点上的KM加密机中获取加密密钥，将所述加密密钥存储至所述发送节点的密钥池中，以使所述发送节点的密钥池中的密钥量不低于所述预设阈值，并触发发送模块604；

发送模块604，用于在所述第一判断模块602的判断结果为否的情况下，根据所述加密密钥加密所述待发送数据。

在本发明实施例的一种具体实施方式中，所述预设阈值为所述发送节点的密钥池所存储的最大密钥量的50％。

在本发明实施例的一种具体实施方式中，所述第二获取模块603，还用于：

从挂载在所述发送节点上的KM加密机中获取加密密钥，查找到与所述待发送数据的接收节点所对应的KM加密机，并从所述KM加密机中获取加密密钥。

在本发明实施例的一种具体实施方式中，所述发送模块604，还用于：

从所述发送节点的密钥池中读取所述加密密钥，并根据所述加密密钥加密所述待发送数据。

应用本发明图6所示实施例，每一个发送节点挂载有KM加密机，每一个KM加密机与待发送数据的接收节点的KM加密机相匹配，因此，多个发送节点通过多个KM加密机可以连接成一个量子通信网络，进而解决了现有技术中的量子VPN通信系统不能进行多节点组网通信的技术问题。

第四方面，与本发明第二方面相对应，本发明实施例还提供了一种基于量子密钥加密的数据接收装置。

图7为本发明实施例提供的一种基于量子密钥加密的数据接收装置的结构示意图，如图7所示，该装置应用于含有至少两个通信节点的量子通信网络中的接收节点，所述装置包括；

接收模块701，用于接收加密后的数据，并检查预设的SA协议是否有效；

第二判断模块702，用于若所述预设的SA协议有效，根据所述预设的SA协议从所述接收节点的密钥池中获取解密密钥；并判断所述接收节点的密钥池中的密钥量是否低于预设阈值；

第三获取模块703，用于在所述第二判断模块702的判断结果为是的情况下，从挂载在所述接收节点上的KM加密机中获取解密密钥，将所述解密密钥存储至所述接收节点的密钥池中，以使所述接收节点的密钥池中的密钥量不低于所述预设阈值，并触发解密模块704，其中，所述接收节点获取解密密钥的KM加密机是与所述发送节点获取加密密钥的KM加密机对应的KM加密机；

解密模块704，用于在所述第二判断模块702的判断结果为否的情况下，根据所述解密密钥解密所述加密后的数据。

在本发明实施例的一种具体实施方式中，所述第三获取模块703，还用于：

从挂载在所述接收节点上的KM加密机中获取解密密钥，查找到与所述加密后的数据的来源节点所对应的KM加密机，并从所述KM加密机中获取解密密钥。

在本发明实施例的一种具体实施方式中，所述解密模块704，还用于：

从所述接收节点的密钥池中读取所述解密密钥，并根据所述解密密钥解密所述加密后的数据。

应用本发明图7所示实施例，每一个接收节点挂载有KM加密机，每一个KM加密机与待发送数据的发送节点的KM加密机相匹配，因此，多个发送节点、接收节点通过多个KM加密机可以连接成一个量子通信网络，进而解决了现有技术中的量子VPN通信系统不能进行多节点组网通信的技术问题。

第五方面，本发明实施例还提供了一种多节点VPN通信系统。

图3为本发明实施例提供的一种多节点VPN通信系统的结构示意图，如图3所示，该系统包括：

基于本发明实施例第三方面所述的基于量子密钥加密的数据发送装置和基于本发明实施例第四方面所述的基于量子密钥加密的数据接收装置的多节点VPN通信系统。

应用本发明图3所示实施例，每一个接收节点挂载有KM加密机，每一个KM加密机与待发送数据的发送节点的KM加密机相匹配，因此，多个发送节点、接收节点通过多个KM加密机可以连接成一个量子通信网络，进而解决了现有技术中的量子VPN通信系统不能进行多节点组网通信的技术问题。

第六方面，在本发明实施例的一种具体实施方式中，本发明实施例还提供了一种基于量子密钥的加密通信方法，所述方法包括：

利用本发明实施例第一方面所述的基于量子密钥加密的数据发送方法发送待发送数据；

接收待发送数据，并利用本发明实施例第二方面所述的基于量子密钥加密的数据接收方法对接收的待发送数据进行解密。

应用本发明上述实施例，每一个接收节点挂载有KM加密机，每一个KM加密机与待发送数据的发送节点的KM加密机相匹配，因此，多个发送节点、接收节点通过多个KM加密机可以连接成一个量子通信网络，进而解决了现有技术中的量子VPN通信系统不能进行多节点组网通信的技术问题。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。