[发明专利]一种基于量子通信网络的远程密钥颁发系统及其使用方法

说明书

本发明一种基于量子通信网络的远程密钥颁发系统及其使用方法，其中：一种基于量子通信网络的远程密钥颁发系统，包括远程密钥颁发装置、密钥使用装置、密钥存储装置、密钥颁发中心和量子密钥分发服务器；远程密钥颁发装置可以与密钥颁发中心直接相连，以接收所颁发的会话密钥，或者远程密钥颁发装置与密钥颁发中心通过量子通信网络颁发会话密钥，这种密钥颁发方式不仅保证了所颁发的会话密钥在传输过程中的安全性，同时也节约远程颁发密钥所耗的人力和时间。本发明中所颁发的会话密钥不仅来自量子随机数发生器所产生的真随机数密钥还可以是来自量子通信网络中任意两个量子密钥分发服务站之间通过密钥分发协议生成的异地共享的量子通信密钥。

技术领域

本发明涉及量子通信设备领域，尤其提供一种基于量子通信网络的远程密钥颁发系统及其使用方法。

背景技术

随着量子通信实用化的推进，量子通信在网络化应用方面的使用前景更加广阔，量子通信网络利用BB84协议产生的量子密钥对网络中传输的数据进行加密，能够保证信息在因特网上传输的高度安全，未来加密通信的发展方向，即为由量子力学保证其安全性的量子通信。因此，保证量子密钥能够安全颁发给用户及用户能够安全的使用量子密钥对传输的数据进行加密是构建量子通信网络及量子通信实用化的关键步骤。

常规加密的安全性取决于加密密钥的保密性，因此密钥的安全存储和安全管理在数据安全中极为重要。现有技术中密钥存储的安全性主要依赖于安全可靠的存储介质和安全严密的访问控制，且为了进一步确保密钥和加密数据的安全性，需要对密钥进行备份，目的是一旦密钥遭到破坏，可利用备份的密钥恢复出原来的密钥或被加密的数据，避免造成损失。密钥的安全管理主要采用“根密钥‐密钥加密密钥‐会话密钥”的三级密钥保护结构，保证用户密钥及应用系统的安全性。其中，根密钥是密钥层次体系中最高级密钥，主要用于对密钥加密密钥进行保护。密钥加密密钥是用来加密会话密钥的二级密钥，主要用于对会话密钥进行保护。会话密钥是通信双方对通信数据进行加解密的三级密钥，主要用于安全通信。

加密卡是一种高性能基础密码设备，能够适用于各类密码安全应用系统进行高速的、多任务并行处理的密码运算，可以满足应用系统数据的签名/验证、加密/解密的要求，同时提供安全、完善的密钥管理机制，是经典通信领域安全等级极高的硬件加解密设备。加密卡能够保证关键密钥在任何时候不以明文形式出现在设备外。因此，可以使用加密卡协助量子密钥的远程颁发，将量子密钥先经加密卡进行保护后再提供给密钥使用装置使用。由于，现有加密卡的应用依赖于经典的PKI体系，其签名和认证都依赖于公钥密码体制，且现有加密卡中密钥的安全管理采用的是二级加密体制，其根密钥直接以明文的形式存储在加密卡的存储器中，并可以直接取出以备份在外部存储介质中，不能够满足量子通信网络对安全性的要求。因此，本发明在现有加密卡的基础上提出一种基于量子通信网络的远程密钥颁发装置，用于保证会话密钥能够安全颁发给远程密钥使用装置。

1)在经典保密通信中对称加密算法用于加密传输数据，而非对称加密算法用于加密会话密钥。可以看出，经典保密通信中通信双方会话密钥的颁发依赖于非对称加密算法。而非对称加密算法的安全性是基于一些特定的复杂数学运算，随着量子计算机的发展，计算机的运算速度以指数倍增长，这使得经典非对称加密算法将面临着被破解的风险。

2)目前将会话密钥颁发给其使用装置的方式，是将存储并使用会话密钥的加密卡携带到密钥颁发中心进行密钥充值的过程。且用户加密卡中所充值的密钥仅仅来自密钥颁发中心通过真随机数发生器所产生的真随机数。

3)现有技术中，所颁发的会话密钥直接进入密钥使用装置进行加密存储和使用，使得会话密钥总有一个时刻是以明文的形式存在于计算机内，这使得会话密钥的安全性大大降低。

4)现有加密卡采用两级密钥体制，其密钥的加密密钥是以明文的形式存储于加密卡内，且以明文的形式备份到加密卡之外，面临一定的破解风险。

发明内容