[发明专利]一种广域量子密钥服务方法与系统

权利要求书

1.一种广域量子密钥服务方法，其特征在于，包括：广域量子密钥服务系统响应用户的服务请求，判断两个目标用户获取预置密钥的服务节点是否归属于同一个局域QKD网络，如果是，则，广域量子密钥服务系统把用户的服务请求转给相应的局域量子密钥服务系统，局域量子密钥服务系统获取一个或多个局域虚拟链路参数，并向一个或多个局域虚拟链路参数所关联的服务节点发送服务指令并获取相应的用户密钥关联参数，计算一个或多个局域虚拟链路参数与两个用户密钥关联参数的异或值，并把该异或值分别发送给两个目标用户或通过广域量子密钥服务系统分别发送给两个目标用户；否则，广域量子密钥服务系统获取一个或多个跨域虚拟链路参数，并向一个或多个跨域虚拟链路参数所关联的服务节点发送服务指令并获取相应的用户密钥关联参数，计算一个或多个跨域虚拟链路参数与两个用户密钥关联参数的异或值，并把该异或值分别发送给两个目标用户；其中，虚拟链路参数是两个服务节点的量子密钥的异或值或共享量子密钥，用户密钥关联参数是与一个或多个虚拟链路参数关联的服务节点的一个或多个量子密钥与一个用户密钥的异或值；获取跨域虚拟链路参数的方法为，第一局域QKD网络中的第一服务节点保存与一个局域虚拟链路切片关联的第一共享量子密钥，第二局域QKD网络中的第二服务节点保存与另一个局域虚拟链路切片关联的第二共享量子密钥，第一服务节点和第二服务节点分别计算与可信第三方分别共享的量子密钥分别与第一共享量子密钥和第二共享量子密钥的异或值并分别发送给可信第三方，可信第三方计算所收到的两个数据的异或值，把第一服务节点、第二服务节点和可信第三方分别计算的三个异或值与相应的两个局域虚拟链路切片一起作为一个跨域互通虚拟链路切片，基于一个跨域互通虚拟链路切片计算两个跨域服务节点之间的跨域虚拟链路参数。

2.根据权利要求1所述的方法，其特征在于，包括广域量子密钥服务系统与用户之间进行身份认证，量子密钥服务系统与服务节点之间进行身份认证；其中，身份认证包括以下方法中的任一个：采用预置随机数的方法；采用CA证书与预置随机数相结合的方法；采用抗量子计算的身份认证算法；采用抗量子计算的身份认证算法与预置随机数相结合的方法。

3.根据权利要求1所述的方法，其特征在于，获取一个或多个局域虚拟链路参数和获取一个或多个跨域虚拟链路参数包括以下任一种：从相应的局域或跨域虚拟链路切片数据库中选择一个或多个局域虚拟链路参数或跨域虚拟链路参数，查询一个或多个相应链路上各个中继节点的关联异或值并分别进行异或运算。

4.一种广域量子密钥服务系统，包括至少一个一级服务装置、两个或多个二级服务装置，其特征在于：一级服务装置包括存储单元和数据处理单元，存储单元用于存储程序和指令或用于存储跨域虚拟链路参数、程序和指令，数据处理单元用于通过调用所述存储单元中存储的程序和指令，响应用户的服务请求，为广域QKD网络中任意两个服务节点之间或/和为广域QKD网络的用户之间提供端到端密钥服务；二级服务装置包括存储单元和数据处理单元，存储单元用于存储程序和指令或用于存储局域虚拟链路参数、程序和指令，数据处理单元用于通过调用所述存储单元中存储的程序和指令，响应一级服务装置的服务请求，获取一个或多个局域虚拟链路参数，并向局域虚拟链路参数所关联的服务节点发送服务指令并获取相应的用户密钥关联参数，计算局域虚拟链路参数与两个用户密钥关联参数的异或值，并把该异或值分别发送给两个目标用户或通过广域量子密钥服务系统分别发送给两个目标用户；其中，为广域QKD网络的用户之间提供端到端密钥服务包括，第一局域QKD网络中的第一二级服务节点保存与一个局域虚拟链路切片关联的第一共享量子密钥，第二局域QKD网络中的第二二级服务节点保存与另一个局域虚拟链路切片关联的第二共享量子密钥，第一二级服务节点和第二二级服务节点分别计算与可信第三方分别共享的量子密钥分别与第一共享量子密钥和第二共享量子密钥的异或值并分别发送给可信第三方，可信第三方计算所收到的两个数据的异或值，把第一二级服务节点、第二二级服务节点和可信第三方分别计算的三个异或值与相应的两个局域虚拟链路切片一起作为一个跨域互通虚拟链路切片，一级服务装置基于一个跨域互通虚拟链路切片计算两个跨域服务节点之间的跨域虚拟链路参数。