一种量子安全密钥分发方法及系统与流程

1.本技术涉及信息安全和量子加密技术技术领域，尤其涉及一种量子安全密钥分发方法及系统。


背景技术：

2.安全性是通信网络中重要的评价指标，密码学为安全通信提供了有力保证。传统密码学基于数学算法的计算复杂度，不能保证密钥的绝对安全。量子密码学，利用量子力学的基本原理来保证密码绝对安全：任何对量子系统的测量都会对系统产生干扰，如果有第三方试图窃听密码，必须用某种方式测量它，其测量会带来可察觉的异常，通信的双方便会知道，这是量子密码一个最重要也是最独特的性质，当窃听发生时，可以切断链路，保障通信的安全性。
3.在基于量子密码学的量子加密技术中，可以采用“一次一密”的通信方式来保证数据能够处于物理水平的绝对安全，但采用该种方式会消耗大量的密钥，使得量子安全终端中保存的未使用的密钥的数量会越来越少。因此，亟需一种可靠为量子安全终端分发密钥的技术来对量子安全终端补充密钥。
4.相关技术中，可以通过对量子密钥分发请求中的第一标识和第二标识为同一城域标识的情况下，第一中继端建立与第一标识对应的用户端和与第二标识对应的用户端之间的量子密钥分发通道，在第一标识和第二标识不为同一城域标识的情况下，第二中继端建立与第一标识对应的用户端和与第二标识对应的用户端之间的量子密钥分发通道的技术手段，将探测装置设置于第一中继端和第二中继端内，实现基于不可信中继的量子密钥分发网络。对于该种量子密钥分发方式，其是通过物理层通信来实现的。用户需要专门的光纤连接或者控制自由空间的发射装置等硬件系统，建立量子密钥分发通道才可以进行密钥分发，使得其缺乏安全补丁和系统升级的灵活性，降低了密钥分发的安全性，增加了密钥分发的成本和内部安全风险，使得很多应用场景受到了限制。


技术实现要素：

5.本技术提供了一种量子安全密钥分发方法、装置、系统及介质，用以实现对密钥的可靠补充。
6.第一方面，本技术提供了一种量子安全密钥分发方法，所述方法应用于量子安全终端，所述方法包括：
7.生成密钥补充请求并发送至量子安全基站；
8.获取所述量子安全基站发送的分配信息、以及加密后的加密密钥，并对加密后的所述加密密钥进行解密，获取所述加密密钥；其中，所述分配信息包括密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息；
9.向所述地址的密钥中心发送携带有所述补充密钥的信息的下载请求，以使所述密钥中心基于所述加密密钥，将所述补充密钥加密发送到所述量子安全终端；
10.根据所述加密密钥，对接收到的加密后的所述补充密钥进行解密，获取所述补充密钥，并根据所述补充密钥，进行密钥补充。
11.第二方面，本技术还提供了一种量子安全密钥分发方法，所述方法应用于量子安全基站，所述方法包括：
12.将量子安全终端发送的密钥补充请求发送至密钥中心，以使所述密钥中心为所述量子安全终端分配补充密钥；
13.向所述量子安全终端发送分配信息以及加密后的加密密钥；其中，所述分配信息以及所述加密密钥是从所述密钥中心获取到的，所述分配信息包括所述密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息，所述加密密钥用于对所述补充密钥进行加密。
14.第三方面，本技术还提供了一种量子安全密钥分发方法，所述方法应用于密钥中心，所述方法包括：
15.接收量子安全基站发送的密钥补充请求；其中，所述密钥补充请求用于指示所述密钥中心为量子安全终端分配密钥；
16.为所述量子安全终端分配补充密钥，确定用于对所述补充密钥进行加密的加密密钥；
17.将分配信息以及所述加密密钥发送至所述量子安全基站；其中，所述分配信息包括所述密钥中心的地址、以及所述补充密钥的信息；
18.接收所述量子安全终端发送的携带有所述补充密钥的信息的下载请求；
19.基于所述加密密钥，将所述补充密钥加密发送至所述量子安全终端。
20.第四方面，本技术还提供了一种密钥管理系统，所述系统包括执行上述第一方面所述方法的量子安全终端，执行上述第二方面所述方法的量子安全基站以及执行上述第三方面所述方法的密钥中心。
21.第五方面，本技术还提供了一种量子安全密钥分发装置，所述装置应用于量子安全终端，所述装置包括：
22.发送单元，用于生成密钥补充请求并发送至量子安全基站；
23.接收单元，用于获取所述量子安全基站发送的分配信息、以及加密后的加密密钥；其中，所述分配信息包括密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息；
24.处理单元，用于对加密后的所述加密密钥进行解密，获取所述加密密钥；
25.所述发送单元，还用于向所述地址的密钥中心发送携带有所述补充密钥的信息的下载请求，以使所述密钥中心基于所述加密密钥，将所述补充密钥加密发送到所述量子安全终端；
26.所述接收单元，还用于接收加密后的所述补充密钥；
27.所述处理单元，还用于根据所述加密密钥，对接收到的加密后的所述补充密钥进行解密，获取所述补充密钥，并根据所述补充密钥，进行密钥补充。
28.第六方面，本技术还提供了一种量子安全密钥分发装置，所述装置应用于量子安全基站，所述装置包括：
29.第一发送模块，用于将量子安全终端发送的密钥补充请求发送至密钥中心，以使
所述密钥中心为所述量子安全终端分配补充密钥；
30.第二发送模块，用于向所述量子安全终端发送分配信息以及加密后的加密密钥；其中，所述分配信息以及所述加密密钥是从所述密钥中心获取到的，所述分配信息包括所述密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息，所述加密密钥用于对所述补充密钥进行加密。
31.第七方面，本技术还提供了一种量子安全密钥分发装置，所述装置应用于密钥中心，所述装置包括：
32.第二接收模块，用于接收量子安全基站发送的密钥补充请求；其中，所述密钥补充请求用于指示所述密钥中心为量子安全终端分配密钥；
33.第二处理模块，用于为所述量子安全终端分配补充密钥，确定用于对所述补充密钥进行加密的加密密钥；
34.第三发送模块，用于将分配信息以及所述加密密钥发送至所述量子安全基站；其中，所述分配信息包括所述密钥中心的地址、以及所述补充密钥的信息；
35.所述第二接收模块，用于接收所述量子安全终端发送的携带有所述补充密钥的信息的下载请求；
36.所述第二处理模块，用于基于所述加密密钥，将所述补充密钥加密；
37.所述第二发送模块，用于将加密后的所述补充密钥发送至所述量子安全终端。
38.第八方面，本技术还提供了一种量子安全终端，所述量子安全终端至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时实现如上述第一方面所述量子安全密钥分发方法的步骤。
39.第九方面，本技术还提供了一种量子安全基站，所述量子安全基站至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时实现如上述第二方面所述量子安全密钥分发方法的步骤。
40.第十方面，本技术还提供了一种密钥中心，所述密钥中心至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时实现如上述第三方面所述量子安全密钥分发方法的步骤。
41.第十一方面，本技术还提供了一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时实现如上述第一方面所述量子安全密钥分发方法的步骤，或，实现如上述第二方面所述量子安全密钥分发方法的步骤，或，实现如上述第三方面所述量子安全密钥分发方法的步骤。
42.第十二方面，本技术还提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行如上述第一方面所述量子安全密钥分发方法的步骤，或，实现如上述第二方面所述量子安全密钥分发方法的步骤，或，实现如上述第三方面所述量子安全密钥分发方法的步骤。
43.本技术的有益效果如下：
44.1、由于密钥中心在为量子安全终端分配补充密钥时，还会为该补充密钥分配加密密钥，使得后续密钥中心在接收到量子安全终端的下载请求后，可以根据该加密密钥，将补充密钥加密发送至量子安全终端，实现该补充密钥在网络传输过程中不以明文的形式传输，避免发生补充密钥被窃取、补充密钥篡改等安全问题，保证了量子安全密钥分发过程的
安全性，进而提高后续量子安全通信的安全性。
45.2、由于该加密密钥也是量子安全基站采用加密的方式发送至量子安全终端的，保证了该加密密钥的安全性，也避免发生加密密钥被窃取、加密密钥篡改等安全问题，进而提高后续可以根据该加密密钥对加密后的补充密钥进行解密的安全性，进一步提高了量子安全密钥分发过程的安全性和稳定性。
46.3、无需专门的光纤连接或者控制自由空间的发射装置等硬件系统，降低了密钥分发的成本和内部安全风险，避免由于该硬件系统自身的安全问题降低密钥分发的安全性，扩宽了密钥分发的应用场景。
附图说明
47.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
48.图1为本技术实施例提供的一种量子安全密钥分发过程示意图；
49.图2为本技术实施例提供的一种量子安全密钥分发流程示意图；
50.图3为本技术实施例提供的再一种量子安全密钥分发过程示意图；
51.图4为本技术实施例提供的又一种量子安全密钥分发过程示意图；
52.图5为本技术实施例提供的一种密钥补充系统的结构示意图；
53.图6为本技术提供的具体的量子安全密钥分发系统的工作流程示意图；
54.图7为本技术提供的又一量子安全密钥分发系统的工作流程示意图；
55.图8为本技术实施例提供的一种密钥补充装置的结构示意图；
56.图9为本技术实施例提供的再一种密钥补充装置的结构示意图；
57.图10为本技术实施例提供的又一种密钥补充装置的结构示意图；
58.图11为本技术实施例提供的一种量子安全终端的结构示意图；
59.图12为本技术实施例提供的再一种量子安全基站的结构示意图；
60.图13为本技术实施例提供的又一种密钥中心的结构示意图。
具体实施方式
61.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术作进一步地详细描述，显然，所描述的实施例仅仅是本发申请一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本技术保护的范围。
62.为了实现对密钥的可靠补充，本技术提供一种量子安全密钥分发方法、装置、系统及介质。
63.实施例1：
64.图1为本技术实施例提供的一种量子安全密钥分发过程示意图，该过程包括：
65.s101：生成密钥补充请求并发送至量子安全基站。
66.本技术提供的量子安全密钥分发方法应用于量子安全终端，该量子安全终端可以
是智能设备，比如，全域量子安全设备、隔离区设备等，也可以是服务器，比如，应用服务器、业务服务器等。
67.在一种示例中，该量子安全终端中保存有密钥，该密钥可以用于量子加解密、量子哈希校验等方面。为了保证量子安全通信的安全性，该量子安全终端中保存的密钥只会被使用一次，被使用后的密钥将会被丢弃，使得量子安全终端中未使用的密钥会越来越少。因此，本技术中，量子安全终端可以对保存的密钥进行补充。示例性的，量子安全终端可以按照预设的周期或时间点生成密钥补充请求并发送至量子安全基站，以对量子安全终端保存的密钥进行补充。又一示例性的，该量子安全终端也可以在确定量子安全终端中密钥满足预设的补充要求时，生成密钥补充请求并发送至量子安全基站，以对量子安全终端保存的密钥进行补充。再一示例性的，该量子安全终端还可以在接收到用户输入的补充密钥操作后，生成密钥补充请求并发送至量子安全基站，以对量子安全终端保存的密钥进行补充。
68.其中，该密钥补充请求中包括所需补充的密钥的数量(补充数量)。可选的，该密钥补充请求中还可以包括以下一种或多种：所需补充的密钥的总数据大小、所需补充的密钥的长度等。
69.量子安全基站接收到该密钥补充请求后，可以将该密钥补充请求发送至密钥中心，以方便密钥中心根据该密钥补充请求中携带的信息，确定如何为该量子安全终端分配补充密钥。
70.为及时通知用户补充密钥，在本技术中，当量子安全终端需要补充密钥时，可以输出补充密钥的提示信息。其中，该提示信息可以是以文本或图片的形式显示在量子安全终端的显示界面上，也可以是以音频的形式进行播报。多种输出提示信息的方式也可以同时结合，例如同时播报音频形式的提示信息以及在显示界面上显示文本形式的提示信息。
71.具体选择哪种方式输出提示信息，可以根据用户的喜好，预先进行设置，或者可以根据量子安全终端的能力进行选择，例如，一些量子安全终端并没有显示提示信息的显示界面，则对于这些量子安全终端，在输出提示信息时，可以播报音频形式的提示信息。
72.s102：获取所述量子安全基站发送的分配信息、以及加密后的加密密钥，并对加密后的所述加密密钥进行解密，获取所述加密密钥；其中，所述分配信息包括密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息。
73.在本技术中，量子安全终端可以从密钥中心下载密钥(记为补充密钥)。基于此，量子安全基站在接收到量子安全终端发送的密钥补充请求后，确定为该量子安全终端分发密钥的密钥中心。示例性的，量子安全基站可以向网管设备发送查询请求，网管设备接收到查询请求后，根据各密钥中心的负载、工作状态等分配策略，为该量子安全基站分配密钥中心，并将分配的密钥中心的地址发送至该量子安全基站。例如，网管设备将负载最低的密钥中心分配给该量子安全基站，并将分配的密钥中心的地址发送至该量子安全基站。量子安全基站确定密钥中心后，将该密钥补充请求发送至密钥中心，以使该密钥中心可以根据该密钥补充请求中携带的信息，为该量子安全终端分配密钥。
74.当密钥中心确定了补充密钥后，密钥中心可以根据该密钥中心的地址以及为该量子安全终端分配的补充密钥的信息，生成分配信息，并将该分配信息发送至量子安全基站，以通过量子安全基站将该分配信息发送至量子安全终端。
75.其中，该补充密钥的信息可以包括以下一种或多种：补充密钥的哈希值、补充密钥
的保存路径、补充密钥的大小、补充密钥的可用状态及补充密钥的产生时间。该补充密钥的哈希值是对补充密钥进行哈希运算得到的。
76.在一种示例中，量子安全基站获取到该分配信息后，可以将该分配信息加密发送至量子安全终端，也可以将该分配信息直接发送至量子安全终端。例如，量子安全基站可以通过预先约定的经典加密算法对该分配信息进行加密，如对称密码算法(如数据加密标准(data encryption standard，des)、高级加密标准(advanced encryption standard，aes)、国密sm4等)和非对称密码算法(如rsa非对称加密算法、椭圆加密算法(elliptic curves cryptography，ecc)等)。再例如，量子安全基站可以通过量子加密算法，对该分配信息进行加密，如获取密钥，根据该密钥以及预先配置的量子加密算法，对该分配信息进行加密。
77.由于量子安全终端获取到分配信息后，可以根据该分配信息，从密钥中心下载补充密钥，且该补充密钥是通过互联网传输到该量子安全终端的，使得该补充密钥在传输过程中非常容易发生被窃取等安全问题，降低量子安全终端获取到的补充密钥的安全性。因此，在本技术中，密钥中心可以采用加密发送的方式，将补充密钥传输至量子安全终端，从而保证该补充密钥在传输过程中的安全性。例如，密钥中心可以通过预先约定的经典加密算法对该补充密钥进行加密，也可以通过量子加密算法，对该补充密钥进行加密，如获取密钥(记为加密密钥)，根据该加密密钥以及预先配置的量子加密算法，对该补充密钥进行加密。
78.为了方便量子安全终端获取到加密后的补充密钥后，对加密后的补充密钥进行解密，在本技术中，量子安全终端需要获取用于对加密后的补充密钥进行解密的方法。示例性的，若密钥中心采用量子加密算法，对补充密钥进行加密，则量子安全终端需要获取对该补充密钥进行加密的加密密钥。基于此，密钥中心在确定了为量子安全终端分配的补充密钥后，可以确定用于对该补充密钥进行加密的加密密钥，并将该加密密钥发送至量子安全基站，以通过量子安全基站将该加密密钥发送至密钥中心。其中，密钥中心可以先后将分配信息以及加密密钥发送至量子安全基站，也可以同时将分配信息以及加密密钥发送至量子安全基站，具体实施过程中，可以根据实际需求进行灵活设置，在此不做具体限定。
79.如果量子安全基站在获取到加密密钥后，直接将该加密密钥发送至量子安全终端，该加密密钥在传输过程中仍可能发生被篡改、被窃取等安全问题，使得后续量子安全终端仍无法保证获取到的补充密钥的安全性。因此，在本技术中，量子安全基站也可以通过预设的加密方式，将加密密钥加密发送至量子安全终端。例如，量子安全基站可以通过预先约定的经典加密算法对该加密密钥进行加密，也可以通过量子加密算法，对该加密密钥进行加密。示例性的，量子安全基站可以获取与该量子安全终端配对的密钥(记为第一密钥)，根据该第一密钥以及预设的量子加密算法，对该加密密钥进行加密，并将加密后的加密密钥发送至量子安全终端。
80.其中，量子安全基站可以先后将分配信息以及加密密钥发送至量子安全终端，也可以同时将分配信息以及加密密钥发送至量子安全终端，具体实施过程中，可以根据实际需求进行灵活设置，在此不做具体限定。
81.在一种示例中，所述获取所述量子安全基站发送的分配信息、以及加密后的加密密钥，包括：
82.接收所述量子安全基站发送的第一加密密文以及所述第一加密密文对应的第一密钥索引；
83.根据所述第一密钥索引以及预先保存的密钥池，确定第一密钥；所述密钥池中保存有密钥以及密钥对应的密钥索引；
84.根据所述第一密钥，对所述第一加密密文进行解密，获取所述第一加密密文携带的分配信息以及加密密钥的信息；
85.向所述量子安全基站发送携带有所述加密密钥的信息的获取请求，以使所述量子安全基站基于所述加密密钥的信息，从所述密钥中心获取加密密钥，将所述加密密钥加密发送至所述量子安全终端；
86.接收所述量子安全终端发送的加密后的所述加密密钥。
87.其中，该加密密钥的信息包括以下一种或多种：加密密钥的哈希值、加密密钥的保存路径、加密密钥的大小、加密密钥的可用状态及加密密钥的产生时间。该加密密钥的哈希值是对加密密钥进行哈希运算得到的。
88.密钥中心在确定了补充密钥以及加密密钥后，可以根据该补充密钥的信息，确定分配信息，然后将该加密密钥的信息以及该分配信息发送至量子安全基站。量子安全基站获取到该分配信息以及加密密钥的信息后，获取加密密钥的信息以及与该量子安全终端配对的密钥(记为第一密钥)，根据该第一密钥以及预设的量子加密算法，对该分配信息以及加密密钥的信息进行加密，获取加密密文(记为第一加密密文)。将该第一加密密文以及第一密钥对应的密钥索引(记为第一密钥索引)发送至量子安全终端。量子安全终端获取到该第一加密密文以及第一密钥索引后，根据该第一密钥索引以及预先保存的密钥池，获取第一密钥。根据该第一密钥，对该第一加密密文进行解密，获取分配信息以及加密密钥的信息。将携带有该加密密钥的信息的获取请求发送至量子安全基站。量子安全基站获取到该获取请求后，可以将该获取请求发送至密钥中心。密钥中心获取到该获取请求后，根据该获取请求中携带的加密密钥的信息，获取加密密钥并发送至该量子安全基站。量子安全基站从密钥中心获取到加密密钥后，获取与该量子安全终端配对的第二密钥，根据该第二密钥以及预设的量子加密算法，对该加密密钥进行加密，获取加密后的加密密钥，并将该加密后的加密密钥发送至量子安全终端。
89.在另一种示例中，密钥中心在确定了补充密钥以及加密密钥后，可以根据该补充密钥的信息，确定分配信息，然后将该分配信息以及加密密钥发送至量子安全基站。量子安全基站可以在获取到分配信息以及加密密钥后，获取与该量子安全终端配对的第二密钥，根据该第二密钥以及预设的量子加密算法，对该加密密钥进行加密，获取加密后的加密密钥，将该加密后的加密密钥以及分配信息发送至量子安全终端。
90.其中，量子安全终端也可以根据该第二密钥以及预设的量子加密算法，对分配信息进行加密，获取加密后的分配信息，将该加密后的分配信息以及加密后的加密密钥一并发送至量子安全终端。
91.在本技术中，该量子安全终端在接收到加密后的加密密钥后，可以对该加密后的加密密钥进行解密，获取加密密钥，从而方便量子安全终端对接收到的加密后的补充密钥进行解密。
92.以加密后的加密密钥是采用量子加密算法获取到的为例，所述对加密后的所述加
密密钥进行解密，获取所述加密密钥，包括：
93.获取加密后的所述加密密钥对应的第二密钥索引；
94.根据所述第二密钥索引以及预先保存的密钥池，确定第二密钥；其中，所述密钥池中保存有密钥以及密钥对应的密钥索引；
95.根据所述第二密钥，对加密后的所述加密密钥进行解密，以获取所述加密密钥。
96.量子安全基站在对加密密钥进行加密时，会获取用于对该加密密钥进行加密的第二密钥所对应的第二密钥索引，然后将该第二密钥索引以及该加密后的加密密钥发送至量子安全终端。量子安全终端获取到该第二密钥索引以及该加密后的加密密钥后，可以根据该第二密钥索引以及预先保存的密钥池，确定第二密钥。然后根据该第二密钥，对加密后的加密密钥进行解密，从而获取加密密钥。
97.其中，该密钥池中保存有密钥以及密钥对应的密钥索引。量子安全基站保存有与该密钥池中的密钥相配对的密钥，即量子安全基站保存有该量子安全终端配对的密钥。
98.若密钥中心通过量子加密算法对补充密钥进行加密，则量子安全基站需要耗费与量子安全终端配对的密钥，对该加密密钥进行加密，造成量子安全终端中的密钥进一步减少。因此，在本技术中，密钥中心需要控制自身的加密比例，即用于对该补充密钥进行加密的加密密钥的数据大小与该补充密钥的数据大小之间的比例，使得补充密钥的数据大小大于加密密钥的数据大小，从而保证后续量子安全终端获取到的补充密钥的数据大小，可以大于量子安全终端对加密后的加密密钥进行解密时所耗费的密钥的数据大小，实现补充密钥的目的。比如，加密比例为1:10表示补充密钥的数据大小是加密密钥的数据大小的10倍。
99.为避免加密密钥在传输过程中发生被篡改等安全问题，在本技术中，量子安全终端在获取到加密密钥后，可以对该加密密钥进行完整性校验。示例性的，所述对加密后的所述加密密钥进行解密，获取所述加密密钥之后，所述向所述地址的密钥中心发送携带有所述补充密钥的信息的下载请求之前，包括：
100.确定所述加密密钥通过完整性校验。
101.量子安全终端基于上述的实施例获取到加密密钥后，可以对该加密密钥进行完整性校验，以避免该加密密钥在传输过程中被篡改。例如，密钥中心在为量子安全终端分配加密密钥后，还会根据该加密密钥以及预设的哈希算法，确定该加密密钥对应的哈希值(记为第一哈希值)，使得后续根据该第一哈希值，可以确定该加密密钥是否在传输过程中发生被篡改等安全问题。密钥中心在向量子安全基站发送加密密钥的同时，可以将该第一哈希值一并发送至该量子安全基站。量子安全基站向量子安全终端发送加密后的加密密钥的时候，也会将该第一哈希值发送至量子安全终端。量子安全终端获取到加密后的加密密钥以及该第一哈希值后，通过对该加密后的加密密钥进行解密，获取加密密钥。然后根据解密出的加密密钥以及预设的哈希算法，确定该加密密钥的哈希值(记为第二哈希值)。量子安全终端根据该第一哈希值以及第二哈希值是否一致，确定该加密密钥是否通过完整性校验。若确定该加密密钥通过完整性校验，则可以继续执行s103。若确定该加密密钥未通过完整性校验，则可以重新向量子安全基站发送获取加密密钥的请求。
102.s103：向所述地址的密钥中心发送携带有所述补充密钥的信息的下载请求，以使所述密钥中心基于所述加密密钥，将所述补充密钥加密发送到所述量子安全终端。
103.量子安全终端获取到分配信息后，可以通过该分配信息，从密钥中心下载补充密
钥，即量子安全终端可以获取该分配信息中的地址以及补充密钥的信息，向该地址的密钥中心发送携带有该补充密钥的信息的下载请求，以通过该下载请求可以从密钥中心获取补充密钥。
104.在一种示例中，若量子安全终端获取到加密后的分配信息，则该量子安全终端获取用于对该加密后的分配信息解密的密钥。根据该密钥，对该加密后的分配信息进行解密，获取分配信息。例如，量子安全基站向量子安全终端发送加密后的分配信息的同时，还可以将该分配信息进行加密的密钥所对应的密钥索引发送至量子安全终端。其中，该密钥与该量子安全终端配对。量子安全终端获取到该加密后的分配信息以及密钥索引后，根据该密钥索引以及预设的密钥池，获取用于对该加密后的分配信息解密的密钥。根据该密钥，对该加密后的分配信息进行解密，获取分配信息。
105.密钥中心获取到该下载请求后，根据该下载请求中携带的补充密钥的信息，获取预先为该量子安全终端分配的补充密钥，然后对该补充密钥进行相应的处理，将该补充密钥发送至量子安全终端。
106.在一种示例中，密钥中心可以通过预先分配的加密密钥，对该补充密钥进行加密，将加密后的补充密钥发送至量子安全终端，从而保证补充密钥在传输过程中的安全性。
107.s104：根据所述加密密钥，对接收到的加密后的所述补充密钥进行解密，获取所述补充密钥，并根据所述补充密钥，进行密钥补充。
108.量子安全终端基于上述的实施例可以获取到加密密钥以及加密后的补充密钥。根据该加密密钥，对该加密后的补充密钥进行解密，从而获取补充密钥。然后根据获取到的补充密钥，补充该量子安全终端的密钥。例如，根据该补充密钥，对该量子安全终端保存的密钥池中的密钥进行补充。其中，该密钥池中的密钥可以用于量子加解密、量子哈希计算、量子安全数字身份认证、以及量子安全签名等方面。
109.在一种示例中，量子安全基站在获取到分配信息后，也可以根据该分配信息，从密钥中心下载补充密钥，从而方便后续量子安全基站与量子安全终端进行密钥中继的转发。示例性的，量子安全基站获取到分配信息后，便向该密钥中心发送携带有补充密钥的信息的下载请求，或，量子安全基站获取到分配信息后，且收到量子安全终端发送的加密密钥确认信息后，便向该密钥中心发送携带有补充密钥的信息的下载请求。密钥中心接收到该下载请求后，根据该补充密钥的信息，确定补充密钥。然后将该补充密钥发送至该量子安全基站，或，通过加密密钥，对该补充密钥进行加密，将加密后的补充密钥发送至该量子安全基站。量子安全基站接收到该补充密钥后，可以根据该补充密钥，对量子安全基站中与该量子安全终端配对的密钥进行补充。
110.在一种可能的实施方式中，在根据补充密钥，对量子安全终端中的密钥进行补充的过程中，可以在量子安全终端的显示屏上显示当前密钥补充的进度条，以方便用户了解当前密钥补充的进度，提高用户体验。
111.本技术的有益效果如下：
112.1、由于密钥中心在为量子安全终端分配补充密钥时，还会为该补充密钥分配加密密钥，使得后续密钥中心在接收到量子安全终端的下载请求后，可以根据该加密密钥，将补充密钥加密发送至量子安全终端，实现该补充密钥在网络传输过程中不以明文的形式传输，避免发生补充密钥被窃取、补充密钥篡改等安全问题，保证了量子安全密钥分发过程的
安全性，进而提高后续量子安全通信的安全性。
113.2、由于该加密密钥也是量子安全基站采用加密的方式发送至量子安全终端的，保证了该加密密钥的安全性，也避免发生加密密钥被窃取、加密密钥篡改等安全问题，进而提高后续可以根据该加密密钥对加密后的补充密钥进行解密的安全性，进一步提高了量子安全密钥分发过程的安全性和稳定性。
114.3、无需专门的光纤连接或者控制自由空间的发射装置等硬件系统，降低了密钥分发的成本和内部安全风险，避免由于该硬件系统自身的安全问题降低密钥分发的安全性，扩宽了密钥分发的应用场景。
115.实施例2：
116.为了及时进行密钥补充，在上述实施例的基础上，在本技术中，预设有补充要求，以通过该补充要求确定量子安全终端中的密钥是否需要补充。示例性的，量子安全终端可以判断量子安全终端中的密钥是否满足预设补充请求。若确定量子安全终端中的密钥满足预设补充要求，则生成密钥补充请求并发送至量子安全基站，从而实现了自动在线分发密钥，无需依赖人工进行密钥的补充，大大提高了密钥补充的效率。
117.其中，该补充要求可以是量子安全终端中已使用的密钥的容量达到第一预设容量阈值，或，已使用的密钥的数量达到第一预设数量阈值，或，量子安全终端中未使用的密钥的容量达到第二预设容量阈值，或，未使用的密钥的数量达到第二预设数量阈值等。具体设置补充要求时，可以根据实际需求进行灵活设置，在此不做具体限定。
118.例如，该量子安全终端可以记录已使用的密钥的数量，并判断该数量是否达到第一预设数量阈值。若确定该数量达到第一预设数量阈值，说明密钥的数量不足，则确定对量子安全终端的密钥进行补充。
119.在一种示例中，若确定量子安全终端中的密钥未满足预设补充要求，说明密钥充足，则确定不需要对该量子安全终端中的密钥进行补充，继续监控量子安全终端中的密钥是否满足该预设补充要求。
120.在一些可能的场景中，如果希望通过密钥中心向量子安全终端分发密钥，则需要量子安全基站具有在线分发密钥的能力，即可以与密钥中心协商为该量子安全终端分配补充密钥的能力。因此，在本技术中，所述生成密钥补充请求并发送至量子安全基站之前，所述方法还包括：
121.确定所述量子安全终端中的密钥满足预设补充要求，且所述量子安全基站支持在线分发密钥。
122.量子安全终端每次接入量子安全基站时，可以获取到量子安全基站发送的接入反馈信息，该接入反馈信息可以包括该量子安全基站是否支持在线分发密钥的信息。根据该量子安全基站是否支持在线分发密钥的信息，量子安全终端可以确定该量子安全基站是否支持在线分发密钥。其中，可以将携带有支持在线分发密钥的信息的接入反馈信息记为第一接入反馈信息，将不携带有支持在线分发密钥的信息的接入反馈信息记为第二接入反馈信息。后续量子安全终端在确定密钥满足预设补充要求，且量子安全基站支持在线分发密钥时，才会生成密钥补充请求并发送至量子安全基站。
123.例如，量子安全终端向量子安全基站发送接入请求后，若接收到量子安全基站反馈的第一接入反馈信息，则根据该第一接入反馈信息中携带的量子安全基站支持在线分发
密钥的信息，确定该量子安全基站支持在线分发密钥；若接收到量子安全基站反馈的第二接入反馈信息，则根据该第二接入反馈信息中携带的量子安全基站不支持在线分发密钥的信息，确定该量子安全基站不支持在线分发密钥。
124.在另一些可能的场景中，可能存在量子安全基站不具有在线分发密钥的能力的情况。因此，在本技术中，所述方法还包括：
125.若确定所述量子安全终端中的密钥满足预设补充要求，且所述量子安全基站不支持在线分发密钥，则输出补充密钥的提示信息，接收输入的加密后的所述补充密钥、以及密钥信息；其中，所述密钥信息包括所述加密密钥的信息；
126.将携带有所述密钥信息的获取请求发送至所述量子安全基站，以使所述量子安全基站根据所述密钥信息，从密钥分发基站获取所述加密密钥并将所述加密密钥加密发送至所述量子安全终端；
127.对所述量子安全基站发送的加密后的所述加密密钥进行解密，获取所述加密密钥；
128.根据所述加密密钥对加密后的所述补充密钥进行解密，获取所述补充密钥，并根据所述补充密钥，进行密钥补充。
129.在本技术中，可能存在量子安全基站不支持在线分发密钥的情况，使得量子安全终端无法通过上述实施例中的方法补充密钥。基于此，为了及时对该量子安全终端中的密钥进行补充，在本技术中，若确定量子安全基站不支持在线分发，且确定密钥池中的密钥需要补充，则量子安全终端可以输出补充密钥的提示信息，并采用人工补充密钥的方式补充密钥，即工作人员向量子安全终端输入补充密钥。
130.在一种示例中，该输入的补充密钥可以是通过连接的密钥分发机的方式获取到的，即工作人员将保存有密钥的密钥分发机与量子安全终端连接，量子安全终端连接该密钥分发机后，可以将该密钥分发机中保存的多组密钥分别对应的索引在显示屏上显示，以方便工作人员从量子安全终端的显示屏上选择密钥索引。量子安全终端接收到选择的密钥索引后，可以从该密钥分发机中获取该密钥索引对应的补充密钥并保存，从而实现量子安全终端获取输入的补充密钥。
131.其中，该密钥分发机可以是量子安全u盘、量子安全光盘等具有量子安全存储功能的设备。
132.考虑到补充密钥在密钥分发机中也可能存在被窃取、被篡改等安全问题，从而影响到补充密钥的安全性，在本技术中，该密钥分发机中的密钥可以是加密后的，即量子安全终端接收到的输入的密钥可以是加密后的补充密钥。此外，该量子安全终端还可以获取该加密后的补充密钥所对应的密钥信息，从而方便后续量子安全终端可以根据该密钥信息，获取加密密钥，进而根据该加密密钥对该加密后的补充密钥进行解密。其中，该密钥信息中包括加密密钥的信息。
133.示例性的，当量子安全终端获取到密钥信息后，可以根据该密钥信息，生成获取请求并将该获取请求发送至量子安全基站。量子安全基站获取到该获取请求后，将该获取请求中携带的密钥信息发送至密钥分发基站，以从密钥分发基站获取加密密钥。其中，该密钥分发基站可以是密钥中心，也可以是其它保存有加密密钥的量子安全设备。密钥分发基站获取到该密钥信息后，根据该密钥信息，获取加密密钥并将该加密密钥发送至量子安全基
站。量子安全基站在获取到加密密钥后，可以将该加密密钥发送至量子安全终端。
134.在一种示例中，量子安全基站也可以通过预设的加密方式，将加密密钥加密发送至量子安全终端，从而保证加密密钥在传输过程中的安全性。例如，量子安全基站可以通过预先约定的经典加密算法对该加密密钥进行加密，也可以通过量子加密算法，对该加密密钥进行加密。示例性的，量子安全基站可以从与该量子安全终端配对的密钥池中获取密钥，根据该密钥以及预设的量子加密算法，对该加密密钥进行加密，并将加密后的加密密钥发送至量子安全终端。
135.量子安全终端接收到量子安全基站发送的加密后的加密密钥之后，可以对该加密后的加密密钥进行解密，获取加密密钥。然后根据该加密密钥，对该加密后的补充密钥进行解密，获取补充密钥。后续根据该补充密钥，即可实现对该量子安全终端的密钥进行补充。
136.在一种可能的实施方式中，量子安全终端获取到加密密钥后，可以对该加密密钥进行完整性校验，以避免该加密密钥在传输过程中被篡改。示例性的例如以及预设的哈希算法，确定该加密密钥对应的第一哈希值，使得后续根据该第一哈希值，可以确定该加密密钥是否在传输过程中发生被篡改等安全问题。密钥中心在向量子安全基站发送加密密钥的同时，可以将该第一哈希值一并发送至该量子安全基站。量子安全基站向量子安全终端发送加密后的加密密钥的时候，也会将该第一哈希值发送至量子安全终端。量子安全终端获取到加密后的加密密钥以及该第一哈希值后，通过对该加密后的加密密钥进行解密，获取加密密钥。然后根据解密出的加密密钥以及预设的哈希算法，确定该加密密钥的第二哈希值。量子安全终端根据该第一哈希值以及第二哈希值是否一致，确定该加密密钥是否通过完整性校验。若确定该加密密钥通过完整性校验，则可以根据该加密密钥，对该加密后的补充密钥进行解密，获取补充密钥。若确定该加密密钥未通过完整性校验，则可以重新向量子安全基站发送获取加密密钥的请求。
137.在一种示例中，若所述密钥信息还包括所述补充密钥的信息，所述根据所述加密密钥对加密后的所述补充密钥进行解密，获取所述补充密钥之后，所述根据所述补充密钥，进行密钥补充之前，所述方法还包括：
138.向所述量子安全基站发送携带有所述补充密钥的信息的通知信息，以通知所述量子安全基站从所述密钥分发基站下载所述补充密钥。
139.由于量子安全基站中需要存在与该量子安全终端中的密钥配对的密钥，才能实现后续密钥中继的转发。因此，在本技术中，量子安全终端在获取到补充密钥后，可以向量子安全基站发送携带有该补充密钥的信息的通知信息，以通知量子安全基站从密钥分发基站下载该补充密钥。示例性的，量子安全终端获取到的密钥信息还可以包括补充密钥的信息，量子安全终端在获取到加密密钥，并根据加密密钥，对加密后的补充密钥进行解密后，可以将该补充密钥的信息发送至量子安全基站，以使该量子安全基站在接收到补充密钥的信息后，根据该补充密钥的信息，从密钥分发基站下载补充密钥。
140.例如，工作人员可以预先将保存有密钥的密钥分发机与该量子安全基站所接入的密钥分发基站连接，以使该密钥分发基站可以从该密钥分发机中获取至少一组密钥以及每组密钥分别对应的信息。其中，该量子安全基站所接入的密钥分发基站不具有生成密钥功能，且可以连接密钥分发机，该量子安全基站不具有与密钥分发机连接的权限。量子安全基站获取到量子安全终端发送的携带有补充密钥的信息的通信信息后，即可根据该补充密钥
的信息，从该密钥分发基站中下载补充密钥。
141.实施例3：
142.为保证获取到的补充密钥的安全性，在上述各实施例的基础上，在本技术中，所述根据所述补充密钥，进行密钥补充，包括：
143.对所述补充密钥进行完整性校验；
144.若所述补充密钥通过所述完整性校验，则将所述补充密钥与所述量子安全基站下载的补充密钥进行一致性校验；
145.若确定所述补充密钥通过所述一致性校验，则根据所述补充密钥，进行密钥补充。
146.在本技术中，量子安全终端可以对获取到的补充密钥进行完整性校验，以确定该补充密钥在下载过程中未被篡改，删减等，从而保证获取到的补充密钥的安全性。对该补充密钥进行完整性校验后，可以判断该补充密钥是否通过完整性校验。若该补充密钥通过完整性校验，说明该补充密钥是未被篡改过的，则将该补充密钥与量子安全基站下载的补充密钥进行一致性校验，从而保证量子安全终端的密钥可以与该量子安全基站中的密钥配对。若该补充密钥未通过完整性校验，说明该补充密钥可能是被篡改过的，则可以重新获取补充密钥。例如，重新向量子安全基站发送密钥补充请求，或，采用人工补充密钥的方式重新获取补充密钥。
147.若该补充密钥与量子安全基站下载的补充密钥通过一致性校验，说明该量子安全终端与量子安全基站成功完成密钥配对，则根据该补充密钥，对密钥进行补充；若该补充密钥与量子安全基站下载的补充密钥未通过一致性校验，说明该量子安全终端与量子安全基站无法完成密钥配对，则重新获取补充密钥。
148.需要说明的是，量子安全基站与量子安全终端进行一致性校验的过程属于现有技术，在此不做具体赘述。示例性的，量子安全终端可以根据该补充密钥对应的哈希值，与量子安全基站下载的补充密钥所对应的哈希值是否一致，确定量子安全终端的补充密钥是否与量子安全基站下载的补充密钥一致。若确定量子安全终端的补充密钥与量子安全基站下载的补充密钥一致，则确定量子安全终端下载的补充密钥通过一致性校验；若确定量子安全终端的补充密钥与量子安全基站下载的补充密钥不一致，则确定量子安全终端下载的补充密钥不通过一致性校验。其中，用于确定量子安全终端下载的补充密钥对应的哈希值的哈希算法，与用于确定量子安全基站下载的补充密钥的哈希值的哈希算法一致。
149.实施例4：
150.下面通过具体的实施例对本技术提供的密钥管理方法进行详细的说明，图2为本技术实施例提供的一种量子安全密钥分发流程示意图，以执行主体为量子安全终端为例，该流程包括：
151.s201：若确定未接入量子安全基站，则向量子安全基站发送接入请求。
152.其中，该接入请求中携带有设备标识信息。
153.s202：接收量子安全基站发送的接入反馈信息。
154.s203：判断该接入反馈信息中是否携带有量子安全基站支持在线分发密钥的信息，若是，确定量子安全基站支持在线分发密钥，执行s204；否则，确定量子安全基站不支持在线分发密钥，执行s206。
155.s204：若确定已使用的密钥的数量达到预设阈值，则生成密钥补充请求并发送至
量子安全基站。
156.量子安全基站获取到该密钥补充请求后，可以向网管设备发送查询请求，网管设备接收到查询请求后，根据各密钥中心的负载、工作状态等分配策略，为该量子安全基站分配密钥中心，并将分配的密钥中心的地址发送至该量子安全基站。例如，网管设备将负载最低的密钥中心分配给该量子安全基站，并将分配的密钥中心的地址发送至该量子安全基站。量子安全基站确定密钥中心后，将该密钥补充请求发送至密钥中心，以使该密钥中心可以根据该密钥补充请求中携带的信息，为该量子安全终端分配密钥。
157.当密钥中心确定了补充密钥后，密钥中心可以根据该密钥中心的地址以及为该量子安全终端分配的补充密钥的信息，生成分配信息，并按照预设的加密比例，确定用于对该补充密钥进行加密的加密密钥。然后将该分配信息以及加密密钥发送至量子安全基站，以通过量子安全基站将该分配信息以及加密密钥发送至量子安全终端。
158.量子安全基站获取到分配信息以及加密密钥后，根据与量子安全终端配对的密钥，对该加密密钥以及分配信息进行加密，将该加密后的分配信息以及加密后加密后的加密密钥发送至量子安全终端。
159.其中，分配信息包括密钥中心的地址、以及密钥中心中补充密钥的信息。
160.s205：接收量子安全基站发送的加密后的分配信息、以及加密后的加密密钥。
161.量子安全终端根据该分配信息，获取密钥中心的地址以及补充密钥的信息，然后向该地址的密钥中心发送携带有该补充密钥的信息的下载请求，以使密钥中心基于加密密钥，将补充密钥加密发送至量子安全终端。
162.量子安全基站发送分配信息后，也可以根据该分配信息，从密钥中心下载补充密钥。
163.s206：对该加密后的分配信息、以及加密后的加密密钥进行解密，获取分配信息以及加密密钥。
164.示例性的，量子安全终端获取用于对分配信息以及加密密钥进行加密的密钥所对应的密钥索引，根据该密钥索引以及预先保存的密钥池，获取密钥。根据该密钥，对该加密后的分配信息以及加密后的加密密钥进行解密，获取分配信息以及加密密钥。
165.其中，密钥池中保存有密钥以及密钥对应的密钥索引。
166.s207：根据该分配信息，从密钥中心获取加密后的补充密钥，执行s209。
167.s208：若确定已使用的密钥的数量达到预设阈值，则接收输入的加密后的补充密钥、以及密钥信息，将携带有密钥信息的获取请求发送至量子安全基站，以使量子安全基站根据该密钥信息，从密钥分发基站获取加密密钥并将该加密密钥加密发送至量子安全终端。
168.其中，可以通过连接密钥分发机的方式获取输入的加密后的补充密钥、以及密钥信息。
169.需要说明的是，该密钥信息中还包括补充密钥的信息，量子安全基站接收到该密钥信息后，可以根据该密钥信息中包含的补充密钥的信息，从密钥分发基站下载补充密钥。其中，该密钥分发基站中的补充密钥也是通过连接密钥分发机的方式获取到的。
170.s209：根据加密密钥，对加密后的补充密钥进行解密，获取补充密钥。
171.s210：对补充密钥进行完整性校验。
172.s211：若补充密钥通过完整性校验，则将补充密钥与量子安全基站下载的补充密钥进行一致性校验。
173.s212：若确定该补充密钥通过一致性校验，则根据该补充密钥，对量子安全终端中的密钥进行补充。
174.实施例5：
175.本技术还提供了一种量子安全密钥分发方法，所述方法应用于量子安全基站，图3为本技术实施例提供的再一种量子安全密钥分发过程示意图，该过程包括：
176.s301：将量子安全终端发送的密钥补充请求发送至密钥中心，以使所述密钥中心为所述量子安全终端分配补充密钥。
177.s302：向所述量子安全终端发送分配信息以及加密后的加密密钥；其中，所述分配信息以及所述加密密钥是从所述密钥中心获取到的，所述分配信息包括所述密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息，所述加密密钥用于对所述补充密钥进行加密。
178.需要说明的是，该量子安全基站解决问题的原理已在上述实施例1-4中进行阐述，具体可参考上述实施例中的内容，在此重复之处不做赘述。
179.在本实施例中，该量子安全密钥分发方法应用于量子安全基站，该量子安全基站可以是智能设备，比如，全域量子安全设备、隔离区设备等，也可以是服务器，比如，应用服务器、业务服务器等。
180.在某些可能的实施方式中，所述向所述量子安全终端发送分配信息以及加密后的加密密钥，包括：
181.接收所述密钥中心发送的所述分配信息以及所述加密密钥；
182.对所述加密密钥进行加密，获取加密后的所述加密密钥；
183.将所述分配信息以及加密后的所述加密密钥发送至所述量子安全终端。
184.在某些可能的实施方式中，所述向所述量子安全终端发送分配信息以及加密后的加密密钥，包括：
185.接收所述密钥中心发送的所述加密密钥的信息以及所述分配信息；
186.获取第一密钥，并根据所述第一密钥，对所述加密密钥的信息以及所述分配信息进行加密，获取第一加密密文；
187.将所述第一加密密文以及所述第一密钥对应的第一密钥索引发送至所述量子安全终端；
188.接收所述量子安全终端发送的携带有所述加密密钥的信息的获取请求，并将所述获取请求发送至所述密钥中心；
189.接收所述密钥中心发送的所述加密密钥，并对所述加密密钥进行加密，将加密后的所述加密密钥发送至所述量子安全终端。
190.在某些可能的实施方式中，获取加密后的所述加密密钥包括：
191.获取与所述量子安全终端配对的第二密钥；
192.根据所述第二密钥，对所述加密密钥进行加密，获取加密后的所述加密密钥。
193.在某些可能的实施方式中，所述方法还包括：
194.将所述第二密钥对应的第二密钥索引发送至所述量子安全终端，以使所述量子安
全终端根据所述第二密钥索引以及预先保存的密钥池，确定第二密钥；其中，所述密钥池中保存有密钥以及密钥对应的密钥索引；根据所述第二密钥，对加密后的所述加密密钥进行解密，以获取所述加密密钥。
195.在某些可能的实施方式中，所述方法还包括：
196.若接收到所述量子安全终端发送的加密密钥确认信息，则向所述地址的密钥中心发送携带有所述补充密钥的信息的下载请求，以使所述密钥中心将所述补充密钥发送到所述量子安全基站；
197.接收所述补充密钥；
198.根据所述补充密钥，对与所述量子安全终端配对的密钥进行补充。
199.在某些可能的实施方式中，所述将量子安全终端发送的密钥补充请求发送至密钥中心之前，所述方法还包括：
200.向所述量子安全终端发送第一接入反馈信息；其中，所述第一接入反馈信息携带有所述量子安全基站支持在线分发密钥的信息。
201.在某些可能的实施方式中，所述将量子安全终端发送的密钥补充请求发送至密钥中心之前，所述方法还包括：
202.若向所述量子安全终端发送第二接入反馈信息，且接收到所述量子安全终端发送的携带有密钥信息的获取请求，则根据所述密钥信息，从密钥分发基站获取所述加密密钥；其中，所述第二接入反馈信息携带有所述量子安全基站不支持在线分发密钥的信息，所述密钥信息包括所述加密密钥的信息；
203.将所述加密密钥加密发送至所述量子安全终端，以使所述量子安全终端对加密后的所述加密密钥进行解密，获取所述加密密钥，根据所述加密密钥，对加密后的所述补充密钥进行解密，获取所述补充密钥，并根据所述补充密钥，进行密钥补充。
204.在某些可能的实施方式中，所述方法还包括：
205.若接收到所述量子安全终端发送的携带有所述补充密钥的信息的通知信息，则根据所述补充密钥的信息，从所述密钥分发基站下载所述补充密钥。
206.在某些可能的实施方式中，所述方法还包括：
207.对所述补充密钥进行完整性校验；
208.若所述补充密钥通过所述完整性校验，则将所述补充密钥与所述量子安全终端获取到的补充密钥进行一致性校验；
209.若确定所述补充密钥通过所述一致性校验，则根据所述补充密钥，对所述量子安全基站保存的与所述量子安全终端配对的密钥进行补充。
210.本技术的有益效果如下：
211.1、由于密钥中心在为量子安全终端分配补充密钥时，还会为该补充密钥分配加密密钥，使得后续密钥中心在接收到量子安全终端的下载请求后，可以根据该加密密钥，将补充密钥加密发送至量子安全终端，实现该补充密钥在网络传输过程中不以明文的形式传输，避免发生补充密钥被窃取、补充密钥篡改等安全问题，保证了量子安全密钥分发过程的安全性，进而提高后续量子安全通信的安全性。
212.2、由于该加密密钥也是量子安全基站采用加密的方式发送至量子安全终端的，保证了该加密密钥的安全性，也避免发生加密密钥被窃取、加密密钥篡改等安全问题，进而提
高后续可以根据该加密密钥对加密后的补充密钥进行解密的安全性，进一步提高了量子安全密钥分发过程的安全性和稳定性。
213.3、无需专门的光纤连接或者控制自由空间的发射装置等硬件系统，降低了密钥分发的成本和内部安全风险，避免由于该硬件系统自身的安全问题降低密钥分发的安全性，扩宽了密钥分发的应用场景。
214.实施例6：
215.本技术还提供了一种量子安全密钥分发方法，所述方法应用于密钥中心，图4为本技术实施例提供的又一种量子安全密钥分发过程示意图，该过程包括：
216.s401：接收量子安全基站发送的密钥补充请求；其中，所述密钥补充请求用于指示所述密钥中心为量子安全终端分配密钥。
217.s402：为所述量子安全终端分配补充密钥，确定用于对所述补充密钥进行加密的加密密钥。
218.s403：将分配信息以及所述加密密钥发送至所述量子安全基站；其中，所述分配信息包括所述密钥中心的地址、以及所述补充密钥的信息。
219.s404：接收所述量子安全终端发送的携带有所述补充密钥的信息的下载请求。
220.s405：基于所述加密密钥，将所述补充密钥加密发送至所述量子安全终端。
221.需要说明的是，该密钥中心解决问题的原理已在上述实施例1-4中进行阐述，具体可参考上述实施例中的内容，在此重复之处不做赘述。
222.在本实施例中，该量子安全密钥分发方法应用于密钥中心，该密钥中心可以是智能设备，比如，全域量子安全设备、隔离区设备等，也可以是服务器，比如，应用服务器、业务服务器等。
223.在某些可能的实施方式中，所述将分配信息以及所述加密密钥发送至所述量子安全基站，包括：
224.向所述量子安全基站发送所述加密密钥的信息以及所述分配信息；
225.接收所述量子安全基站发送的携带有所述加密密钥的信息的获取请求；
226.将所述加密密钥发送至所述量子安全基站。
227.在某些可能的实施方式中，接收所述量子安全基站发送的携带有所述补充密钥的信息的下载请求；
228.将所述补充密钥发送至所述量子安全基站。
229.本技术的有益效果如下：
230.1、由于密钥中心在为量子安全终端分配补充密钥时，还会为该补充密钥分配加密密钥，使得后续密钥中心在接收到量子安全终端的下载请求后，可以根据该加密密钥，将补充密钥加密发送至量子安全终端，实现该补充密钥在网络传输过程中不以明文的形式传输，避免发生补充密钥被窃取、补充密钥篡改等安全问题，保证了量子安全密钥分发过程的安全性，进而提高后续量子安全通信的安全性。
231.2、由于该加密密钥也是量子安全基站采用加密的方式发送至量子安全终端的，保证了该加密密钥的安全性，也避免发生加密密钥被窃取、加密密钥篡改等安全问题，进而提高后续可以根据该加密密钥对加密后的补充密钥进行解密的安全性，进一步提高了量子安全密钥分发过程的安全性和稳定性。
232.3、无需专门的光纤连接或者控制自由空间的发射装置等硬件系统，降低了密钥分发的成本和内部安全风险，避免由于该硬件系统自身的安全问题降低密钥分发的安全性，扩宽了密钥分发的应用场景。
233.实施例7：
234.本技术还提供了一种量子安全密钥分发系统，图5为本技术实施例提供的一种密钥补充系统的结构示意图，该系统包括实现上述实施例1-4所述方法的量子安全终端51，实现上述实施例5所述方法的量子安全基站52以及实现上述实施例6的密钥中心53。
235.需要说明的是，该量子安全密钥分发系统解决问题的原理已在上述实施例中进行阐述，具体可参考上述实施例中的内容，在此重复之处不做赘述。
236.下面通过具体的实施例对本技术提供的量子安全密钥分发系统的工作流程进行说明，图6为本技术提供的具体的量子安全密钥分发系统的工作流程示意图，该流程包括：
237.s601：量子安全终端确定未接入量子安全基站，向量子安全基站发送接入请求。
238.s602：量子安全基站接收到接入请求后，若确定量子安全终端允许接入量子安全基站，则向该量子安全终端发送第一接入反馈信息。
239.其中，该第一接入反馈信息中携带有该量子安全基站支持在线分发密钥的信息。
240.s603：量子安全终端接收到该第一接入反馈信息后，若确定已使用的密钥的数量达到预设阈值，则生成密钥补充请求并发送至量子安全基站。
241.s604：量子安全基站接收到该密钥补充请求后，确定当前为该量子安全终端分配密钥的密钥中心，将该密钥补充请求发送至密钥中心。
242.量子安全基站获取到该密钥补充请求后，可以向网管设备发送查询请求，网管设备接收到查询请求后，根据各密钥中心的负载、工作状态等分配策略，为该量子安全基站分配密钥中心，并将分配的密钥中心的地址发送至该量子安全基站。例如，网管设备将负载最低的密钥中心分配给该量子安全基站，并将分配的密钥中心的地址发送至该量子安全基站。量子安全基站确定密钥中心后，将该密钥补充请求发送至密钥中心，以使该密钥中心可以根据该密钥补充请求中携带的信息，为该量子安全终端分配密钥。
243.s605：密钥中心接收到该密钥补充请求后，为该量子安全终端分配补充密钥，以及用于对该补充密钥进行加密的加密密钥，根据该密钥中心的地址以及为该量子安全终端分配的补充密钥的信息，生成分配信息，将该分配信息以及该加密密钥的信息发送至量子安全基站。
244.s606：量子安全基站接收到该分配信息以及加密密钥的信息后，根据与该量子安全终端配对的第一密钥，对该分配信息以及加密密钥的信息进行加密，获取第一加密密文，将该第一加密密文以及该第一密钥对应的第一密钥索引发送至量子安全终端。
245.s607：量子安全终端接收该第一加密密文以及该第一密钥索引，根据该第一密钥索引，获取第一密钥，根据该第一密钥，对第一加密密文进行解密，获取分配信息以及加密密钥的信息。
246.s608：量子安全终端将携带有加密密钥的信息的获取请求发送至量子安全基站。
247.s609：量子安全基站将接收到的获取请求发送至密钥中心。
248.s610：密钥中心根据接收到的获取请求中携带的加密密钥的信息，获取加密密钥，并根据预设的哈希算法，确定该加密密钥的第一哈希值，将该加密密钥以及第一哈希值发
送至量子安全基站。
249.s611：量子安全基站将接收到的加密密钥以及第一哈希值加密发送至量子安全基站。
250.s612：量子安全终端对接收到的加密后的加密密钥以及加密后的第一哈希值进行解密，获取加密密钥以及第一哈希值。
251.s613：量子安全终端根据预设的哈希算法，确定解密出的加密密钥的第二哈希值，根据该第一哈希值以及第二哈希值，确定该加密密钥是否通过完整性校验。
252.s614：若确定加密密钥通过完整性校验，则量子安全终端向量子安全基站发送加密密钥确认信息。
253.s615：若确定加密密钥通过完整性校验，量子安全终端根据获取到的分配信息，向密钥中心发送第一下载请求。
254.需要说明的是，s615可以在s614之前执行，也可以在s614之后执行，还可以与s614同时执行。在本技术中，不对s615与s614的执行顺序进行限定。
255.s616：密钥中心获取到该第一下载请求后，根据加密密钥，对该补充密钥进行加密，将加密后的补充密钥发送至量子安全终端。
256.s617：量子安全基站在获取到加密密钥确认信息后，根据该分配信息，向密钥中心发送第二下载请求。
257.s618：密钥中心获取到该第二下载请求后，将补充密钥发送至量子安全基站。
258.需要说明的是，s617～s618可以在s614之后的任一步骤执行，在此不做具体限定。
259.s619：量子安全终端获取加密后的补充密钥，根据加密密钥，对该加密后的补充密钥进行解密，获取补充密钥。
260.s620：量子安全终端对该补充密钥进行完整性校验。
261.s621：若确定该补充密钥通过完整性校验，则量子安全终端将该补充密钥与量子安全基站下载的补充密钥进行一致性校验。
262.s622：量子安全终端确定该补充密钥通过一致性校验，则根据该补充密钥，对量子安全终端的密钥进行补充。
263.量子安全终端在根据该补充密钥，对量子安全终端中的密钥进行补充时，可以对该补充密钥进行完整性校验，若该补充密钥通过完整性校验，说明该补充密钥是未被篡改过的，则将该补充密钥与量子安全基站下载的补充密钥进行一致性校验，从而保证量子安全终端的密钥可以与该量子安全基站中的密钥配对。若该补充密钥未通过完整性校验，说明该补充密钥可能是被篡改过的，则可以重新获取补充密钥。例如，重新向量子安全基站发送密钥补充请求，或，采用人工补充密钥的方式重新获取补充密钥。
264.若该补充密钥与量子安全基站下载的补充密钥通过一致性校验，说明该量子安全终端与量子安全基站成功完成密钥配对，则根据该补充密钥，对密钥进行补充；若该补充密钥与量子安全基站下载的补充密钥未通过一致性校验，说明该量子安全终端与量子安全基站无法完成密钥配对，则重新获取补充密钥。
265.图7为本技术提供的又一量子安全密钥分发系统的工作流程示意图，该流程包括：
266.s701：量子安全终端确定未接入量子安全基站，向量子安全基站发送接入请求。
267.s702：量子安全基站接收到接入请求后，若确定量子安全终端允许接入量子安全
基站，则向该量子安全终端发送第二接入反馈信息。
268.其中，该第二接入反馈信息中携带有该量子安全基站不支持在线分发密钥的信息。
269.s703：量子安全终端接收到该第二接入反馈信息后，确定已使用的密钥的数量达到预设阈值，且接收到工作人员人工充注的加密后的补充密钥、以及加密密钥的信息。
270.需要说明的是，工作人员可以通过将量子安全终端与密钥分发机连接的方式，获取输入的加密后的补充密钥以及加密密钥的信息。
271.s704：量子安全终端将携带有加密密钥的信息的获取请求发送至量子安全基站。
272.s705：量子安全基站接收到该获取请求后，将该获取请求发送至密钥分发基站。
273.s706：密钥分发基站根据接收到的获取请求，获取加密密钥，并根据预设的哈希算法，确定该加密密钥的第一哈希值，将该加密密钥以及第一哈希值发送至量子安全基站。
274.s707：量子安全基站将接收到的加密密钥以及第一哈希值加密发送至量子安全基站。
275.s708：量子安全终端对接收到的加密后的加密密钥以及加密后的第一哈希值进行解密，获取加密密钥以及第一哈希值。
276.s709：量子安全终端根据预设的哈希算法，确定解密出的加密密钥的第二哈希值，根据该第一哈希值以及第二哈希值，确定该加密密钥是否通过完整性校验。
277.s710：若确定加密密钥通过完整性校验，则量子安全终端向量子安全基站发送携带有补充密钥的信息的通知信息。
278.s711：量子安全终端根据该加密密钥，对加密后的补充密钥进行解密，获取补充密钥。
279.s712：量子安全基站在接收到该携带有补充密钥的信息的通知信息后，可以根据该补充密钥的信息，向密钥分发基站发送携带有该补充密钥的信息的下载请求。
280.s713：密钥中心获取到该下载请求后，将补充密钥发送至量子安全基站。
281.需要说明的是，s712～s713可以在s711之后到s715之前的任一步骤执行，在此不做具体限定。
282.s714：量子安全终端对该补充密钥进行完整性校验。
283.s715：若确定该补充密钥通过完整性校验，则量子安全终端将该补充密钥与量子安全基站下载的补充密钥进行一致性校验。
284.s716：量子安全终端确定该补充密钥通过一致性校验，则根据该补充密钥，对量子安全终端的密钥进行补充。
285.量子安全终端在根据该补充密钥，对量子安全终端中的密钥进行补充时，可以对该补充密钥进行完整性校验，若该补充密钥通过完整性校验，说明该补充密钥是未被篡改过的，则将该补充密钥与量子安全基站下载的补充密钥进行一致性校验，从而保证量子安全终端的密钥可以与该量子安全基站中的密钥配对。若该补充密钥未通过完整性校验，说明该补充密钥可能是被篡改过的，则可以重新获取补充密钥。例如，重新向量子安全基站发送密钥补充请求，或，采用人工补充密钥的方式重新获取补充密钥。
286.若该补充密钥与量子安全基站下载的补充密钥通过一致性校验，说明该量子安全终端与量子安全基站成功完成密钥配对，则根据该补充密钥，对密钥进行补充；若该补充密
钥与量子安全基站下载的补充密钥未通过一致性校验，说明该量子安全终端与量子安全基站无法完成密钥配对，则重新获取补充密钥。
287.实施例8：
288.本技术还提供了一种量子安全密钥分发装置，图8为本技术实施例提供的一种密钥补充装置的结构示意图，该装置应用于量子安全终端，该装置包括：
289.发送单元71，用于生成密钥补充请求并发送至量子安全基站；
290.接收单元72，用于获取所述量子安全基站发送的分配信息、以及加密后的加密密钥；其中，所述分配信息包括密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息；
291.处理单元73，用于对加密后的所述加密密钥进行解密，获取所述加密密钥；
292.所述发送单元71，还用于向所述地址的密钥中心发送携带有所述补充密钥的信息的下载请求，以使所述密钥中心基于所述加密密钥，将所述补充密钥加密发送到所述量子安全终端；
293.所述接收单元72，还用于接收加密后的所述补充密钥；
294.所述处理单元73，还用于根据所述加密密钥，对接收到的加密后的所述补充密钥进行解密，获取所述补充密钥，并根据所述补充密钥，进行密钥补充。
295.需要说明的是，本实施例提供的量子安全密钥分发装置解决技术问题的原理与上述实施例1-4中解决技术问题的原理相同，重复之处不做赘述。
296.实施例9：
297.本技术还提供了一种量子安全密钥分发装置，图9为本技术实施例提供的再一种密钥补充装置的结构示意图，该装置应用于量子安全基站，该装置包括：
298.第一发送模块81，用于将量子安全终端发送的密钥补充请求发送至密钥中心，以使所述密钥中心为所述量子安全终端分配补充密钥；
299.第二发送模块82，用于向所述量子安全终端发送分配信息以及加密后的加密密钥；其中，所述分配信息以及所述加密密钥是从所述密钥中心获取到的，所述分配信息包括所述密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息，所述加密密钥用于对所述补充密钥进行加密。
300.需要说明的是，本实施例提供的量子安全密钥分发装置解决技术问题的原理与上述实施例5中解决技术问题的原理相同，重复之处不做赘述。
301.实施例10：
302.本技术还提供了一种量子安全密钥分发装置，图10为本技术实施例提供的又一种密钥补充装置的结构示意图，该装置应用于密钥中心，该装置包括：
303.第二接收模块91，用于接收量子安全基站发送的密钥补充请求；其中，所述密钥补充请求用于指示所述密钥中心为量子安全终端分配密钥；
304.第二处理模块92，用于为所述量子安全终端分配补充密钥，确定用于对所述补充密钥进行加密的加密密钥；
305.第三发送模块93，用于将分配信息以及所述加密密钥发送至所述量子安全基站；其中，所述分配信息包括所述密钥中心的地址、以及所述补充密钥的信息；
306.所述第二接收模块91，用于接收所述量子安全终端发送的携带有所述补充密钥的
信息的下载请求；
307.所述第二处理模块92，用于基于所述加密密钥，将所述补充密钥加密；
308.所述第二发送模块93，用于将加密后的所述补充密钥发送至所述量子安全终端。
309.需要说明的是，本实施例提供的量子安全密钥分发装置解决技术问题的原理与上述实施例6中解决技术问题的原理相同，重复之处不做赘述。
310.实施例11：
311.在上述实施例的基础上，本技术实施例还提供了一种量子安全终端，图11为本技术实施例提供的一种量子安全终端的结构示意图，如图11所示，包括：处理器1001、通信接口1002、存储器1003和通信总线1004，其中，处理器1001，通信接口1002，存储器1003通过通信总线1004完成相互间的通信；
312.存储器1003中存储有计算机程序，当程序被处理器1001执行时，使得处理器1001执行如下步骤：
313.生成密钥补充请求并发送至量子安全基站；
314.获取所述量子安全基站发送的分配信息、以及加密后的加密密钥，并对加密后的所述加密密钥进行解密，获取所述加密密钥；其中，所述分配信息包括密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息；
315.向所述地址的密钥中心发送携带有所述补充密钥的信息的下载请求，以使所述密钥中心基于所述加密密钥，将所述补充密钥加密发送到所述量子安全终端；
316.根据所述加密密钥，对接收到的加密后的所述补充密钥进行解密，获取所述补充密钥，并根据所述补充密钥，进行密钥补充。
317.由于上述量子安全终端解决问题的原理与量子安全密钥方法相似，因此上述量子安全终端的实施可以参见方法的实施例1-4，重复之处不再赘述。
318.实施例12：
319.在上述实施例的基础上，本技术实施例还提供了一种量子安全基站，图12为本技术实施例提供的再一种量子安全基站的结构示意图，如图12所示，包括：处理器1101、通信接口1102、存储器1103和通信总线1104，其中，处理器1101，通信接口1102，存储器1103通过通信总线1104完成相互间的通信；
320.存储器1103中存储有计算机程序，当程序被处理器1101执行时，使得处理器1101执行如下步骤：
321.将量子安全终端发送的密钥补充请求发送至密钥中心，以使所述密钥中心为所述量子安全终端分配补充密钥；
322.向所述量子安全终端发送分配信息以及加密后的加密密钥；其中，所述分配信息以及所述加密密钥是从所述密钥中心获取到的，所述分配信息包括所述密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息，所述加密密钥用于对所述补充密钥进行加密。
323.由于上述量子安全基站解决问题的原理与量子安全密钥方法相似，因此上述量子安全基站的实施可以参见方法的实施例5，重复之处不再赘述。
324.实施例13：
325.在上述实施例的基础上，本技术实施例还提供了一种密钥中心，图13为本技术实
施例提供的又一种密钥中心的结构示意图，如图13所示，包括：处理器1201、通信接口1202、存储器1203和通信总线1204，其中，处理器1201，通信接口1202，存储器1203通过通信总线1204完成相互间的通信；
326.存储器1203中存储有计算机程序，当程序被处理器1201执行时，使得处理器1201执行如下步骤：
327.接收量子安全基站发送的密钥补充请求；其中，所述密钥补充请求用于指示所述密钥中心为量子安全终端分配密钥；
328.为所述量子安全终端分配补充密钥，确定用于对所述补充密钥进行加密的加密密钥；
329.将分配信息以及所述加密密钥发送至所述量子安全基站；其中，所述分配信息包括所述密钥中心的地址、以及所述补充密钥的信息；
330.接收所述量子安全终端发送的携带有所述补充密钥的信息的下载请求；
331.基于所述加密密钥，将所述补充密钥加密发送至所述量子安全终端。
332.由于上述密钥中心解决问题的原理与量子安全密钥方法相似，因此上述密钥中心的实施可以参见方法的实施例6，重复之处不再赘述。
333.实施例14：
334.在上述各实施例的基础上，本技术实施例还提供了一种计算机可读存储介质，计算机可读存储介质内存储有可由处理器执行的计算机程序，当程序在处理器上运行时，使得处理器执行时实现如下步骤：
335.生成密钥补充请求并发送至量子安全基站；
336.获取所述量子安全基站发送的分配信息、以及加密后的加密密钥，并对加密后的所述加密密钥进行解密，获取所述加密密钥；其中，所述分配信息包括密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息；
337.向所述地址的密钥中心发送携带有所述补充密钥的信息的下载请求，以使所述密钥中心基于所述加密密钥，将所述补充密钥加密发送到所述量子安全终端；
338.根据所述加密密钥，对接收到的加密后的所述补充密钥进行解密，获取所述补充密钥，并根据所述补充密钥，进行密钥补充。
339.由于上述计算机可读存储介质解决问题的原理与量子安全密钥分发方法相似，因此上述计算机可读存储介质的实施可以参见方法的实施例1-4，重复之处不再赘述。
340.实施例15：
341.在上述各实施例的基础上，本技术实施例还提供了一种计算机可读存储介质，计算机可读存储介质内存储有可由处理器执行的计算机程序，当程序在处理器上运行时，使得处理器执行时实现如下步骤：
342.将量子安全终端发送的密钥补充请求发送至密钥中心，以使所述密钥中心为所述量子安全终端分配补充密钥；
343.向所述量子安全终端发送分配信息以及加密后的加密密钥；其中，所述分配信息以及所述加密密钥是从所述密钥中心获取到的，所述分配信息包括所述密钥中心的地址、以及所述密钥中心中为所述量子安全终端分配的补充密钥的信息，所述加密密钥用于对所述补充密钥进行加密。
344.由于上述计算机可读存储介质解决问题的原理与量子安全密钥分发方法相似，因此上述计算机可读存储介质的实施可以参见方法的实施例5，重复之处不再赘述。
345.实施例16：
346.在上述各实施例的基础上，本技术实施例还提供了一种计算机可读存储介质，计算机可读存储介质内存储有可由处理器执行的计算机程序，当程序在处理器上运行时，使得处理器执行时实现如下步骤：
347.接收量子安全基站发送的密钥补充请求；其中，所述密钥补充请求用于指示所述密钥中心为量子安全终端分配密钥；
348.为所述量子安全终端分配补充密钥，确定用于对所述补充密钥进行加密的加密密钥；
349.将分配信息以及所述加密密钥发送至所述量子安全基站；其中，所述分配信息包括所述密钥中心的地址、以及所述补充密钥的信息；
350.接收所述量子安全终端发送的携带有所述补充密钥的信息的下载请求；
351.基于所述加密密钥，将所述补充密钥加密发送至所述量子安全终端。
352.由于上述计算机可读存储介质解决问题的原理与量子安全密钥分发方法相似，因此上述计算机可读存储介质的实施可以参见方法的实施例6，重复之处不再赘述。
353.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在二个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
354.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。