一种有中心的量子密钥服务网络系统的制作方法

本发明涉及利用量子通信网络和互联网进行量子密钥服务的技术领域，尤其涉及一种有中心的量子密钥服务网络系统。

背景技术：

量子密钥分发（qkd）是通过量子信道进行安全的密钥分发的新型方法。qkd基于量子态不可精确克隆等量子力学原理，能够实现无条件安全的量子密钥分发。但是，由于qkd网络需要专用的光纤信道，不落地量子中继技术和量子路由存在技术困难，复杂拓扑结构的量子网络的铺设和维护都很难，并且造价昂贵。实际上，量子通信网络的核心功能是为用户提供量子密钥服务，利用有中心的网络具有服务方便和快捷的优点，并且符合国家网络安全管控策略，有利于国家、企业和机构对敏感信息的管控。构建覆盖全国的有中心的量子密钥服务网络系统具有很好的技术可行性和广阔的应用市场。

技术实现要素：

为了克服组建规模量子通信网络的技术难题并实现安全、高效和高性价比的量子密钥服务，本发明提供了有中心的量子密钥服务网络系统，其特征在于，包括但不限于一个或多个量子通信子网和量子通信子网之间的安全通道；其中，所述量子通信子网包括但不限于一个量子中心节点、多个量子服务节点、连接量子中心节点与量子服务节点的量子光纤信道和公共通信网络；所述量子中心节点包括但不限于多个量子密钥分发系统（qkd）的发送端或/和接收端（多路之间可以通过矩阵光开关进行切换，以达到复用发送端或接收端的目的）、量子密钥服务器（可以针对不同的业务网络设置相互逻辑隔离的多个量子密钥服务器）、量子密钥存储服务器（可以针对不同的业务网络设置相互逻辑隔离的多个量子密钥存储服务器）、密码管理服务器（可以针对不同的业务网络设置相互逻辑隔离的多个密码管理服务器）和光纤通信的光收发模块；所述量子服务节点包括但不限于一个或多个qkd系统的接收端或/和发送端（比如，通过多个接收端或/和发送端与量子中心节点的发送端或接收端形成多个qkd链路，以提高量子服务节点的量子密钥协商速率）、量子随机数发生器模块、量子密钥服务应用接口和光纤通信的光收发模块；量子服务节点通过量子密钥服务应用接口为应用终端提供注册服务和量子密钥流量注入服务，并创建相应的服务关系列表；基于量子中心节点构建全网统一的量子密钥服务网络中心（qksc）；qksc实时响应应用终端请求并根据服务关系列表查找所述应用终端所关联的量子中心节点和量子服务节点（一个应用终端在一个量子服务节点注册或获取了量子密钥流量，则该应用终端与该量子服务节点就建立了关联），并指定所述量子中心节点或量子服务节点为应用终端提供会话密钥协商服务；光纤通信的光收发模块用于量子中心节点与量子服务节点之间的经典数据通信并为qkd系统提供同步时钟。

进一步地，所述网络中的量子通信子网是以量子中心节点为中心的星形网络，每一个量子服务节点与量子中心节点之间存在至少一个qkd链路；通过点到点的方式连接量子中心节点的量子服务节点可以作为另外一个或多个量子服务节点的可信中继节点。

进一步地，所述网络中量子通信子网之间的安全通道包括但不限于离线通道和量子卫星信道，其中，（3-1）所述离线通道为：量子通信子网的量子中心节点利用量子随机数发生器模块制备一定量的量子随机数并增加密钥标识，然后把量子随机数和密钥标识一起加密（比如，利用与另一个量子中心节点事先共享的根密钥和一个随机变量进行异或运算后得到的结果作为工作密钥进行加密；解密时，先利用公共网络信道把该随机变量告诉另一个量子中心节点，另一个量子中心节点把根密钥和该随机变量进行异或运算后得到的结果作为工作密钥进行解密），通过安全方式（比如，本地usb接口或网口）注入量子密钥安全存储移动装置；所述量子密钥安全存储移动装置由飞机送到另一个量子通信子网的量子中心节点，该量子通信子网的量子中心节点解密并共享所述量子随机数和密钥标识；（3-2）所述量子卫星信道为：利用量子卫星与地面站之间的qkd信道为两个地面站协商共享量子密钥，然后再利用地面站与量子通信子网的量子中心节点之间的量子密钥分发链路把所述共享量子密钥分发给量子通信子网的量子中心节点。

进一步地，所述网络中采用的密码管理服务器的功能包括但不限于对量子密钥存储和应用进行安全管理、对量子密钥协商协议交互数据进行加解密、对在公共通信网络上传输的数据进行加解密。

进一步地，所述网络中采用的量子随机数发生器模块的功能包括但不限于根据系统需求产生量子随机数、对所述量子随机数进行随机性测试、对通过随机性测试的量子随机数进行分割，形成子密钥并创建密钥标识；对子密钥和密钥标识进行安全存储。

进一步地，所述网络为应用终端提供注册服务的方法包括但不限于：（6-1）用户向量子服务节点申请入网注册，量子服务节点利用用户的应用终端采集用户的生物特征数据（所述生物特征包括但不限于指纹、静脉纹、虹膜和人脸特征），量子服务节点为用户的应用终端分配网内唯一的用户身份号和根密钥rk，并安全存储（包括但不限于进行加密存储）到用户的应用终端或永久存储介质中；（6-2）量子服务节点把用户的生物特征数据、用户身份号和根密钥加密发送到量子中心节点。

为了利用所述网络面向规模用户提供量子密钥服务，有中心的量子密钥服务网络系统的服务方法包括但不限于：

（7-1）不同量子通信子网的量子中心节点之间通过安全通道分配共享密钥，即，由一个量子中心节点产生并通过安全通道传递到另一个量子中心节点；

（7-2）量子通信子网的量子中心节点与量子服务节点之间通过qkd链路协商共享量子密钥；

（7-3）应用终端之间的共享会话密钥协商方法包括但不限于：

（7-3-1）量子服务节点通过量子密钥服务应用接口为只在量子通信子网内使用的应用终端（记为at）提供服务的方法：量子中心节点规划量子中心节点与at之间的共享密钥（记为key_ct）和不同at之间的互通密钥（记为key_tt）并分别创建密钥标识；量子中心节点采用与量子服务节点之间的共享量子密钥加密key_ct和key_tt并发送到各个量子服务节点，量子服务节点根据密钥标识通过安全接口把解密后的key_ct和key_tt分别注入相应的应用终端；

（7-3-2）量子服务节点通过量子密钥服务应用接口为移动应用终端（记为mt）提供服务的方法：量子服务节点根据mt申请提供注册服务和量子密钥流量注入服务，并创建服务关系列表；量子服务节点把服务关系列表加密发送到量子中心节点，量子中心节点把服务关系列表同步到qksc；qksc根据所述服务关系列表为mt提供量子密钥服务，即，两个应用终端mt_a和mt_b需要共享量子密钥时，mt_a向qksc请求与mt_b的共享量子密钥，qksc查找mt_a与mt_b所关联的量子中心节点，如果mt_a与mt_b所关联的量子中心节点相同，那么，qksc指定所述量子中心节点产生一个会话密钥，所述量子中心节点分别利用已与mt_a和mt_b共享的量子密钥流量的一个子密钥加密所述会话密钥并发给mt_a和mt_b（如果mt_a与mt_b的量子密钥流量都保存在量子服务节点a和量子服务节点b，则所述量子中心节点分别利用与量子服务节点a和量子服务节点b之间的共享量子密钥加密该会话密钥，并分别发给量子服务节点a和量子服务节点b，量子服务节点a和量子服务节点b分别解密并得到该会话密钥，然后量子服务节点a和量子服务节点b再分别利用已与mt_a和mt_b共享的量子密钥流量的一个子密钥加密所述会话密钥并发给mt_a和mt_b），mt_a和mt_b分别解密并获得共享会话密钥；如果mt_a与mt_b所关联的量子中心节点分别是量子中心节点a和量子中心节点b，那么，qksc指定量子中心节点a选择与量子中心节点b共享的一个量子密钥作为会话密钥，量子中心节点a和量子中心节点b分别利用与mt_a和mt_b共享的量子密钥流量的一个子密钥加密所述会话密钥并发给mt_a和mt_b（如果mt_a与mt_b的量子密钥流量都保存在量子服务节点a和量子服务节点b，则量子中心节点a和量子中心节点b分别利用与量子服务节点a和量子服务节点b之间的共享量子密钥加密该会话密钥，并分别发给量子服务节点a和量子服务节点b，量子服务节点a和量子服务节点b分别解密并得到该会话密钥，然后量子服务节点a和量子服务节点b再分别利用已与mt_a和mt_b共享的量子密钥流量的一个子密钥加密所述会话密钥并发给mt_a和mt_b），mt_a和mt_b分别解密并获得共享会话密钥；量子中心节点、量子服务节点和应用终端分别采用相同的策略对使用过的量子密钥流量、量子密钥和会话密钥进行安全删除处理。

进一步地，所述有中心的量子密钥服务网络系统的服务方法中的服务关系列表所包含的信息包括但不限于应用终端的身份标识、量子密钥流量的密钥标识、应用终端所关联的量子服务节点与量子中心节点的网络地址标识；所述密钥标识所包含的信息包括但不限于，产生密钥数据的量子服务节点所在网络的id、密钥数据编号、密钥数据长度和完整性校验信息。

进一步地，所述网络还包括，所述量子密钥安全存储移动装置具有安全存储介质（包括但不限于安全存储介质包括但不限于系统存储器、安全u盘和sd密码卡）、数据输出保护装置（包括但不限于量子密钥读取计数器，数据被读取或被非法输出后相应的数据将被删除，计数器将实时显示未被读取或被非法输出的数据余量）、安全存储介质的保护装置（包括但不限于数字密码箱）

进一步地，所述有中心的量子密钥服务网络系统的服务方法中的数据加/解密包括但不限于采用一次一密加密算法和数据加密标准算法；所述一次一密加密算法的加/解密是采用量子密钥直接与明文/密文数据进行异或运算实现加/解密；所述数据加密标准算法的加/解密是采用相同的量子密钥作为工作密钥的加/解密运算。

与现有技术相比，本发明具有以下显著技术优势：

（1）有中心的量子密钥服务网络铺设难度小、成本低、易于集中管控；（2）利用飞机或卫星进行远程递送服务具有更高的服务效率和性价比；（3）基于全网统一的量子密钥服务网络，可以提升量子密钥服务的灵活性和效率；（4）应用终端只维护量子服务节点之间的共享量子密钥流量，一个应用终端失控不影响其它应用终端的安全，也不影响量子服务节点的安全，安全性更高。

附图说明

图1为本发明的量子通信子网的拓扑结构示意图；

图2为本发明的量子密钥服务网络的拓扑结构和应用示意图。

具体实施方式

为使本发明的技术方案及优点更加清楚，作为本发明的一部分，以下结合附图及具体实施例，对本发明作进一步详细的说明，本发明的实施方式包括但不限于下列实施例。

本发明方案中所涉及的加密和解密具有一致性，即选择某个密钥和加密算法加密某个数据得到一个密文，解密时必须选择相应的密钥和解密算法才能解密该密文；对于采用一次一密加密算法的加/解密直接采用量子密钥与明文/密文数据进行异或运算；对于采用数据加密标准算法的加/解密，首先把共享量子密钥编排为密码算法的多个工作密钥，采用所述工作密钥对数据进行加/解密运算，并提升所述工作密钥的更换频率。

本发明方案中所涉及的通信信道包括：量子通信子网之间利用飞机传递方式或量子通信卫星方式形成的安全通道；量子中心节点与量子服务节点之间的量子密钥分发信道和公共通信网络信道（包括有线和无线网络）、应用终端之间的无线通信网络信道、应用终端与量子密钥服务网络中心之间的无线通信网络信道；其中，除了量子密钥分发需要占用量子信道以外，其它网络通信过程都采用传统的公共通信网络。

本发明方案中的应用终端包括但不限于智能手机和便携通信终端等，应用终端配置用于存储密钥数据的永久存储器、sd密码卡和闪存卡；应用终端具备支持无线网络访问能力的硬件模块，具备有足够计算能力的处理器，可以进行数据加解密处理，能够正常运行量子密钥服务网络应用系统的客户端软件，并能够基于无线通信网络（比如4g网络）与量子密钥服务网络应用系统的服务器端软件进行数据交互；当应用终端所获得的量子密钥流量用完后，应用终端可以向任意一个量子服务节点申请量子密钥流量，如果应用终端申请从非原始注册量子服务节点获取共享量子密钥流量，那么，非原始注册量子服务节点在为应用终端提供共享量子密钥流量后，需要建立新的服务关系列表。

本发明方法中所涉及的需要安全存储（包括但不限于加密存储）的数据主要包括但不限于：量子中心节点产生的量子密钥、量子服务节点产生的量子密钥流量、量子服务节点收集的应用终端的注册信息和服务关系列表。

图1为本发明的量子通信子网的拓扑结构示意图，该量子通信子网由一个量子中心节点（bj_a）（量子中心节点可以通过矩阵光开关进行多路切换，以达到复用发送端或接收端的目的）、5个一级量子服务节点（a1、a2、a3、a4和a5）和三个二级量子服务节点（a2-1、a3-1和a3-2）组成一个星形拓扑结构的量子通信网络；量子中心节点与一级量子服务节点之间至少可以形成一个qkd链路，一级量子服务节点与二级量子服务节点之间至少可以形成一个qkd链路；其中，量子中心节点与量子服务节点之间铺设有量子通信光纤。

本发明的量子密钥服务网络的拓扑结构和应用示意图如图2所示，其中包括但不限于4个城市的量子通信子网bj_a、sh_b、cd_b和gz_a，其中任意两个量子通信子网之间的共享量子密钥借助于量子密钥安全存储移动装置通过民航客机递送（比如，每天一次递送1tb的量子密钥供第二天使用，相当于超过10mb/s的量子密钥分配速率，该速率是目前“京沪量子干线”的量子密钥分配速率（小于10kb/s）的1000倍；而民航客机递送的费用是“京沪量子干线”的百分之一甚至千分之一）；应用终端u和v采用本发明的方法通过量子密钥服务网络中心获取在线协商会话密钥的服务。