一种量子密钥与经典密钥的一体式融合加密装置及方法与流程

本发明涉及一种量子密钥与经典密钥的一体式融合加密装置及方法，属于通信安全技术领域。

背景技术：

目前在传统pki（publickeyinfrastructure公钥基础设施）技术下，非对称密钥对可以集中在线生成，并且公钥经过ca（certificateauthority证书授权机构）签名后对外公开，但是私钥分发的形式大多是通过线下传递即存储介质提供给相应的用户和应用系统。线上传输私钥不能保证是绝对安全的方式，存在被窃听和破解的风险。同时由于需要定制的物理存储介质，故成本费用相对也较高。

而量子保密通信是以量子密钥分发技术为基础的保密通信技术，其安全性由量子力学的量子态测不准原理保障，是迄今为止唯一得到严格证明的，能从原理上确保通信无条件安全的加密通信技术。

技术实现要素：

本发明所要解决的技术问题是克服现有技术的缺陷，提供一种与量子密钥相结合的非对称密钥生成、管理与分发的一体式融合加密装置及方法，通过量子密钥的安全分发及随机性，扩充非对称密钥的线上安全传输，提高其传输交流和安全性。

为解决上述技术问题，本发明提供一种量子密钥与经典密钥的一体式融合加密装置，包括接受经典密钥请求模块，经典密钥生成模块，密钥加密模块，量子密钥随机数生成器，经典密钥管理模块，量子密钥管理模块，量子密钥生成模块，量子密钥协商模块和密钥发送模块；

所述接受经典密钥请求模块与经典密钥生成模块相连接，所述经典密钥生成模块与密钥加密模块和经典密钥管理模块相连接，所述量子密钥随机数生成器与量子密钥生成模块相连接，所述量子密钥生成模块与量子密钥协商模块相连，所述量子密钥协商模块与密钥加密模块和量子密钥管理模块相连，所述密钥发送模块与密钥加密模块相连；

所述接受经典密钥请求模块用于接收用户或业务系统对生成非对称密钥的请求；

所述经典密钥生成模块用于生成非对称密钥，然后按照标准编码为字节串；

所述经典密钥管理模块用于对非对称密钥进行签名和存储管理；

所述量子密钥随机数生成器用于生成随机数流，并根据量子密钥生成模块的请求返回相应位数的随机数；

所述量子密钥生成模块用于向量子密钥随机数生成器请求随机数，并接收量子密钥随机数生成器返回的随机数；

所述量子密钥协商模块控制与请求用户或业务系统对端设备的光量子处理及密钥协商，最终生成量子密钥，并存储在量子密钥池；

所述密钥加密模块用于对编码后的非对称密钥采用量子密钥池中的量子密钥进行加密；

所述量子密钥管理模块用于对量子密钥进行存储和使用消耗的集中管理；

所述密钥发送模块用于将密钥加密模块加密的内容发送给请求用户或业务系统。

前述的生成非对称密钥的请求中包含请求密钥类型和相关安全参数。

前述的每一次的生成非对称密钥的请求中仅包含一种请求密钥类型。

前述的经典密钥生成模块根据请求密钥类型生成非对称密钥。

前述的经典密钥生成模块按照asn.1标准将生成的非对称密钥编码为der格式的字节串。

前述的量子密钥随机数生成器基于真随机数模块生成随机数流。

前述的量子密钥生成模块设定请求随机数的位数。

前述的量子密钥池设置最大值和最小值，低于最小值则启用量子密钥协商，达到最大值则停止量子密钥协商。

前述的量子密钥池最大值设置为1000，最小值设置为200。

基于量子密钥与经典密钥的一体式融合加密装置进行加密的方法，包括以下步骤：

1）接受经典密钥请求模块接收用户或业务系统对生成非对称密钥的请求，并发送至经典密钥生成模块；

2）经典密钥生成模块生成非对称密钥，然后按照标准编码为字节串后发送至密钥加密模块和经典密钥管理模块；

3）经典密钥管理模块对接收到的非对称密钥进行签名和存储；

4）量子密钥生成模块向量子密钥随机数生成器请求随机数；

5）量子密钥随机数生成器生成随机数流，并返回相应位数的随机数至量子密钥生成模块；

6）量子密钥生成模块将接收到的随机数发送至量子密钥协商模块；

7）量子密钥协商模块进行请求方和接收方之间的量子密钥协商，生成量子密钥，并存储于量子密钥池；

8）密钥加密模块对编码后的非对称密钥采用量子密钥池中的量子密钥进行加密，然后发送至密钥发送模块；

9）密钥发送模块将密钥加密模块加密的内容发送给请求用户或业务系统。

本发明所达到的有益效果：

本发明结合量子密钥（对称）安全分发的方法，通过密钥加密模块进行一次一密的加密，以这种绝对安全的加密方式来扩展非对称密钥的安全传输方式，提高了非对称密钥传输的效率和安全性。

附图说明

图1为本发明装置的结构图；

图2为本发明装置的工作流程图。

具体实施方式

下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

如图1所示，本发明提供一种量子密钥与经典密钥的一体式融合加密装置，包括接受经典密钥请求模块，经典密钥生成模块，密钥加密模块（一次一密），量子密钥随机数生成器，经典密钥管理模块，量子密钥管理模块，量子密钥生成模块，量子密钥协商模块和密钥发送模块。具体各模块功能如下：

接受经典密钥请求模块：接收用户或业务系统对生成非对称密钥的请求，并发送至经典密钥生成模块和经典密钥管理模块。所述生成非对称密钥的请求包含：请求密钥类型和相关安全参数。其中，密钥类型包括rsa、dsa、sm2、sm9等；rsa安全参数为模长（如2048、4096）；dsa安全参数为素数p的位数（64的倍数，范围是512到1024）。并且，该请求中只包含一种密钥类型。

经典密钥生成模块：接收接受经典密钥请求模块发送的生成非对称密钥的请求，根据请求密钥类型生成非对称密钥，然后按照asn.1标准编码为der格式的字节串，以便加密传输。然后将编码后的非对称密钥发送至经典密钥管理模块和密钥加密模块（一次一密）。

经典密钥管理模块：对经典密钥生成模块生成的非对称密钥对进行签名和存储管理，方便进行状态和过期查询等。

量子密钥随机数生成器：由真随机数模块生成的随机数流，其中的部分位将作为量子密钥。

量子密钥生成模块：量子密钥的生成中心，控制量子密钥的生成，量子密钥生成模块向量子密钥随机数生成器请求随机数，量子密钥随机数生成器返回生成的随机数（具体随机数位数由量子密钥生成模块在请求中指定），然后，量子密钥生成模块将生成的随机数发送至量子密钥协商模块。

量子密钥协商模块：控制与请求用户或业务系统对端设备的光量子处理及密钥的协商。

密钥协商过程为：

1、请求方a随机选择基编码随机数为光子，发送给接收方b；

2、接收方b测量每个光子得到随机数；

3、请求方a和接收方b公开交流对于每个光子的产生和测量所用的基；

4、产生和测量用的基相同的部分，即协商的量子密钥。

量子密钥协商模块配置量子密钥池，预生成量子密钥备用。低于最小值则启用量子密钥协商，达到最大值则停止协商。量子密钥是一次性的，用完立即从密钥池中删除。

进一步的，量子密钥池的大小可设置，例如最大值1000，最小值200。

量子密钥管理模块：对量子密钥协商模块生成的量子密钥进行存储和使用消耗的集中管理。

密钥加密模块（一次一密）：接收经典密钥生成模块生成的编码后的非对称密钥，然后从量子密钥池中获取量子密钥进行一次一密的加密处理，然后发送至密钥发送模块。

密钥发送模块：将密钥加密模块一次一密加密的内容发送给请求用户或业务系统。

本发明装置根据用户和应用系统需求，首先进行非对称密钥的生成与管理，支持所有通用的非对称加密算法（如rsa、sm2等），并在本地进行签名和存储管理。然后本装置的密钥加密模块将结合量子密钥池的密钥量情况，获取量子密钥，对相应用户和应用系统所需的私钥进行一次一密的加密，并通过装置的密钥发送模块进行安全传输。最后，相应用户或应用系统获取到私钥后可以进行认证、签名和加密等服务，同时，装置将继续为下一个用户或应用系统提供服务。

参见图2，利用本发明装置进行加密的流程如下：

1）接受经典密钥请求模块接收用户或业务系统对生成非对称密钥的请求，并发送至经典密钥生成模块；

2）经典密钥生成模块生成非对称密钥，然后按照标准编码为字节串后发送至密钥加密模块和经典密钥管理模块；

3）经典密钥管理模块对接收到的非对称密钥进行签名和存储；

4）量子密钥生成模块向量子密钥随机数生成器请求随机数；

5）量子密钥随机数生成器生成随机数流，并返回相应位数的随机数至量子密钥生成模块；

6）量子密钥生成模块将接收到的随机数发送至量子密钥协商模块；

7）量子密钥协商模块进行请求方和接收方之间的量子密钥协商，生成量子密钥，并存储于量子密钥池；

8）密钥加密模块对编码后的非对称密钥采用量子密钥池中的量子密钥进行加密，然后发送至密钥发送模块；

9）密钥发送模块将密钥加密模块加密的内容发送给请求用户或业务系统。

名词解释：

pki（publickeyinfrastructure）：即“公钥基础设施”，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所需的密钥和证书管理体系，简单来说，pki就是利用公钥理论和技术建立的提供安全服务的基础设施。

经典密钥：这里是指非对称密钥，即需要使用一对密钥来分别完成加密和解密操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密。

量子通信：具有传输光或量子态信息编码的能力，因为当量子系统被干扰时存储在量子态的信息被不可逆转地改变。它具有了窃听者很容易被发现这样的优点，导致产生了量子安全通信的方法，同时也出现信号不能被复制或放大的缺点。

量子密钥：基于量子力学测量原理的量子态观测上的安全密钥，能够从根本上保证密钥的安全性。

一次一密：在流密码当中使用与消息长度等长的随机密码，密钥本身只使用一次。因为使用与消息等长的随机密钥，产生与原文没有任何统计关系的随机输出，因此一次一密方案不可破解。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。