[发明专利]一种量子密钥输出方法及系统

说明书

本发明涉及一种量子密钥输出方法，包括：发送方和接收方分别对应的密钥管理层设备之间通过量子网络进行密钥协商，协商一致，则发送方和接收方的应用层设备分别收到协商一致的量子密钥。本发明优化了量子密钥输出的流程，所有密钥协商数据都在量子网络进行，应用层设备所在的应用网络不传输量子密钥相关的任何信息，从而保证了密钥协商数据和加密后的业务数据分开传输，保证业务数据的安全。

技术领域

本发明涉及一种量子密钥输出方法及系统，属于量子通信的技术领域。

背景技术

伴随着网络信息的发展，网络影响着人们生活的各个方面，随之而来的安全性的要求也越来越高，对人们在网络活动上的保密性要求也越来越高，业务数据的加密或认证技术保证了人们在网络活动中对自己数据和一些相关资料的保密的要求。传统的量子密钥应用方法，应用层设备之间先进行协商和获取密钥，然后再利用所获取的成对的量子密钥对业务数据进行加密或认证；然而在业务数据加密或认证前，密钥协商数据(指密钥标识、密钥一致性验证等信息)在应用层设备之间传输存在一定的安全隐患，降低了业务数据的安全性。特别地，在一些对安全性要求较高的应用场合，应用层设备间不允许进行明文通信，此时原有的密钥协商机制将不再适用。

图1所示为目前的密钥输出方法，图1中密钥管理层设备为对量子密钥分发(QKD)设备生成的量子密钥进行密钥管理的设备，例如密钥管理机，应用层设备为进行业务数据传输的设备，比如VPN、视频会议系统等，量子网络指密钥管理层设备所在的网络环境，应用网络指应用层设备所在的网络环境。量子网络通常为内网/私网环境，能够对设备进行有效的监管及控制，从而规避安全风险；应用网络通常为公网环境，网络中有诸多不可控因素存在，易受到第三方的恶意攻击，安全风险高。

两端的应用层设备从密钥管理层设备获取量子密钥，对密钥标识、密钥一致性验证等信息进行协商，协商无误后可使用所获取到的量子密钥对业务数据进行加密传输。该输出方法存在以下问题：

1.应用层设备需要参与密钥的协商和同步获取，增加应用层设备使用的复杂度。

2.在业务数据加密前，密钥协商数据在应用层设备之间传输存在一定的安全隐患，降低了数据的安全性。

3.在一些对安全性要求较高的应用场合，应用层设备A和应用层设备B不允许进行明文通信，此时应用层设备A和应用层设备B不能按原有密钥协商机制完成密钥的协商。

针对现有技术存在的上述安全传输的问题，本发明提出一种将密钥协商数据在量子网络中传输的设计思路，该设计所述的输出方法有效的解决了以下几个问题：应用层设备之间不用进行协商，量子密钥的协商都是密钥管理层设备通过量子网络完成，应用层设备不需要关注；密钥协商数据都是在量子网络中传输，不暴露在应用网络中，提高了数据的安全性；应用层设备之间在不能进行明文通信的情况下，两端仍能完成密钥的获取，同时避免了应用层设备间直接进行密钥协商所可能产生的安全性问题。

发明内容

针对现有技术存在的问题，本发明提供一种量子密钥输出方法。

本发明还提供一种实现上述方法的系统。

本发明的技术方案如下：

一种量子密钥输出方法，包括：发送方和接收方，所述发送方包括应用层设备A和密钥管理层设备A，所述接收方包括应用层设备B和密钥管理层设备B；

密钥管理层设备A和密钥管理层设备B之间通过量子网络进行密钥协商，协商一致，则应用层设备A和应用层设备B分别收到协商一致的量子密钥。

根据本发明优选的，所述通过量子网络进行密钥协商，包括：

a)应用层设备A向密钥管理层设备A发起密钥获取请求，包括应用层设备B的设备标识及密钥量；

b)密钥管理层设备A根据所述应用层设备B的设备标识找到相关密钥并根据所述密钥量获取相应长度的密钥，计算密钥校验和；