一种生成量子安全密钥及认证参数方法、装置和根密钥中心与流程

本技术涉及量子安全，尤其涉及一种生成量子安全密钥及认证参数的方法、装置和根密钥中心。

背景技术：

1、在量子密钥分发技术中，量子随机数发生器所产生的随机数具有真随机数的特性，使用其产生的对称密钥能从根源防止攻击者对密钥的攻击。在此基础上，借助量子加密方法，我们可以实现对通信数据的高安全性加密，从而极大程度地提高数据通信系统的安全性。基于此，随着量子计算技术不断进步，采用量子加密技术的量子安全通信在数据安全通信中的重要性日益突出。

2、相关技术中，可以通过量子安全设备实现量子安全通信。该量子安全设备出厂前，需要通过人工预先为某一设备标识分配大量的出厂密钥，即根密钥，然后将该设备标识以及该设备标识对应的根密钥充注到需要通信的两台量子安全设备中，从而实现这两个量子安全设备中密钥的配对。后续两个量子安全设备即可基于该配对的密钥进行量子通信。对于该种方式，存在以下问题：

3、1、量子安全设备出厂前，需要人工分配根密钥，在需要生成非常多的设备标识所对应的根密钥的情况下，不仅工作人员的工作量会非常的大，且不便于对已分配的根密钥进行管理，影响根密钥分配的效率以及质量。

4、2、由于该种方式需要工作人员提前为希望通信的两台量子安全设备分别充注配对的密钥后，该两台量子安全设备之间才能进行量子安全通信，不仅浪费大量的人力、物理等成本，且在需要新增希望通信的量子安全设备和在不再需要与某一量子安全设备进行的情况下，该种量子安全通信方式也不够灵活。

5、3、该充注的密钥还可能会发生被篡改、窃听等安全问题，降低了量子安全通信过程的安全性。

技术实现思路

1、本技术提供了一种生成量子安全密钥及认证参数的方法、装置和根密钥中心，用以解决现有无法保证密钥分配的效率和质量，也无法保证根密钥导出后的安全性，且任意两个量子安全设备之间量子安全通信灵活性低的问题。

2、第一方面，本技术提供了一种生成量子安全密钥及认证参数装置，所述装置包括：获取模块、生成模块和处理模块；

3、所述获取模块，用于获取生成密钥所需的元数据；其中，所述元数据包括设备标识、以及根密钥大小；

4、所述生成模块，用于根据所述根密钥大小以及预设的根密钥文件粒度，为所述设备标识生成对应的各根密钥文件和认证参数；其中，所述认证参数包括用于加解密各密钥文件的待扩充随机数、用于查找所述认证参数的认证索引、对接入请求中待加密数据进行加密的第一随机数、以及对接入响应信息中待解密数据进行解密的第二随机数，所述接入请求为所述设备标识的量子安全设备请求首次接入量子安全网络中的量子安全基站的消息，所述接入响应信息为所述量子安全基站为响应所述接入请求向所述量子安全设备发送的反馈消息，所述量子安全基站允许所述量子安全设备接入后，根据根密钥中心发送的所述设备标识的密钥文件，中继所述设备标识的量子安全设备收发的密钥；其中，所述各密钥文件包括用于对数据进行量子加解密的所述各根密钥文件；确定所述各密钥文件分别对应的文件序号，并将所述各密钥文件保存；

5、所述处理模块，用于根据所述设备标识、所述设备标识的所述各密钥文件分别对应的文件序号、所述设备标识对应的认证参数以及所述设备标识的各密钥文件分别对应的存储位置，获取密钥生成记录，以根据所述密钥生成记录查找所述设备标识的各密钥文件以及所述设备标识对应的认证参数。

6、第二方面，本技术提供了一种生成量子安全密钥及认证参数方法，所述方法包括：

7、获取生成密钥所需的元数据；其中，所述元数据包括设备标识、以及根密钥大小；

8、根据所述根密钥大小以及预设的根密钥文件粒度，为所述设备标识生成对应的各根密钥文件和认证参数；其中，所述认证参数包括用于加解密各密钥文件的待扩充随机数、用于查找所述认证参数的认证索引、对接入请求中待加密数据进行加密的第一随机数、以及对接入响应信息中待解密数据进行解密的第二随机数，所述接入请求为所述设备标识的量子安全设备请求首次接入量子安全网络中的量子安全基站的消息，所述接入响应信息为所述量子安全基站为响应所述接入请求向所述量子安全设备发送的反馈消息，所述量子安全基站允许所述量子安全设备接入后，根据根密钥中心发送的所述设备标识的密钥文件，中继所述设备标识的量子安全设备收发的密钥；其中，所述各密钥文件包括用于对数据进行量子加解密的所述各根密钥文件；

9、确定所述各密钥文件分别对应的文件序号，并将所述各密钥文件保存；

10、根据所述设备标识、所述设备标识的所述各密钥文件分别对应的文件序号、所述设备标识对应的认证参数以及所述设备标识的各密钥文件分别对应的存储位置，获取密钥生成记录，以根据所述密钥生成记录查找所述设备标识的各密钥文件以及所述设备标识对应的认证参数。

11、第三方面，本技术提供了一种根密钥中心，所述根密钥中心至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时实现如上述所述生成量子安全密钥及认证参数方法的步骤。

12、第四方面，本技术提供了一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述生成量子安全密钥及认证参数方法的步骤。

13、第五方面，本技术提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行上述如上述所述生成量子安全密钥及认证参数方法的步骤。

14、本技术的有益效果如下：

15、1、由于在根据元数据生成密钥文件的同时，还会生成该设备标识对应的认证参数，该认证参数中包括加解密各密钥文件的待扩充随机数和用于查找认证参数的认证索引，通过该认证索引可以准确索引到该设备标识对应的待扩充随机数，根据该待扩充随机数可以实现将该设备标识的各密钥文件加密导出并充注到量子安全设备中，保证该设备标识的各密钥文件的安全性。

16、2、由于该设备标识的量子安全设备所接入的量子安全基站可以从根密钥中心获取到该设备标识的密钥文件，实现该量子安全基站与该设备标识的量子安全设备之间的密钥的配对，后续该量子安全基站可以用于中继该设备标识的量子安全设备收发的密钥，从而实现该量子安全设备与其它量子安全设备之间的量子安全通信。并且，该量子安全设备只需要与接入的量子安全基站之间进行密钥的配对，即该量子安全设备无需与任何一个需要通信的量子安全设备之间进行密钥的配对，使得该量子安全设备只需要保存该设备标识的密钥文件即可，不仅减少了量子安全设备的存储压力，且任意两个量子安全设备均接入到量子安全网络中的量子安全基站后，该两个量子安全设备便可以在进行量子安全通信时通过量子安全网络实现密钥的中继，提高了量子安全通信的灵活性，且无需工作人员预先为该两个量子安全设备充注密钥，减少了工作人员充注密钥所耗费的工作量。

17、3、由于该认证参数中还包括对接入请求中待加密数据进行加密的第一随机数、以及对接入响应信息中待解密数据进行解密的第二随机数，该接入请求为该设备标识的量子安全设备请求首次接入量子安全网络中的量子安全基站的消息，所述接入响应信息为该量子安全基站为响应该接入请求向量子安全设备发送的反馈消息，通过该第一随机数以及第二随机数可以实现量子安全设备在首次接入量子安全基站过程中采用密文通信，保证首次接入量子安全基站过程的安全性。

18、4、由于根密钥中心在获取到生成密钥所需的元数据后，根据根密钥大小以及预设的根密钥文件粒度，即可准确生成并分配根密钥文件，并生成该设备标识对应的认证参数，无需人工分配密钥，降低密钥分配所耗费的人力和物力提高，提高密钥分配的效率以及质量。

19、5、在将各密钥文件保存之后，可以根据设备标识、该设备标识的各密钥文件分别对应的文件序号、以及该设备标识的各密钥文件分别对应的存储位置，获取密钥生成记录，使得后续可以根据该密钥生成记录快速且准确地查找到该设备标识对应的任一密钥文件，方便对各设备标识分别对应的密钥文件进行管理。