一种多方量子秘钥协商方法与流程

1.本公开属于量子秘钥领域，具体涉及一种多方量子秘钥协商方法。


背景技术：

2.量子秘钥分发的一个最重要的，也是最独特的性质是：如果有第三方试图窃听密码，则通信的双方便会察觉。这种性质基于量子力学的基本原理：任何对量子系统的测量都会对系统产生干扰。第三方试图窃听密码，必须用某种方式测量它，而这些测量就会带来可察觉的异常。通过量子叠加态或量子纠缠态来传输信息，通信系统便可以检测是否存在窃听。当窃听低于一定标准，一个有安全保障的秘钥就可以产生了。当前量子秘钥分发网络组网繁琐，组网后需要给任意两个相连的量子秘钥分发设备人工颁发一对绝密的对称秘钥作为量子秘钥分发设备的初始认证秘钥。由于量子秘钥分发设备的成对关系数量巨大，且量子秘钥分发设备之间距离遥远，人工颁发认证秘钥的工作量也非常巨大；每次新增1个成对关系，都需要1次人工颁发，效率低下；秘钥颁发需要专人负责，通过专门的交通方式实现，代价较高。
3.当前量子秘钥分发设备不包含密码模块和管理模块，因此其管理仅限于机房局域网内的管理；如管理员不在机房内，则由于缺乏足够安全的远程管理机制和设备，管理员难以实现安全可靠的远程管理。


技术实现要素：

4.针对现有技术的不足，本公开的目的在于提供一种多方量子秘钥协商方法，解决了现有技术中量子秘钥分发设备的成对关系数量巨大，人工颁发认证秘钥的工作量过大效率低下的问题。
5.本公开的目的可以通过以下技术方案实现：
6.一种多方量子秘钥协商方法，其特征在于，包括量子秘钥生成终端和量子秘钥分发装置；其特征在于，量子秘钥生成终端包括量子层、管控层和应用层；
7.所述管控层包括至少一个量子秘钥管理终端以及检测终端以及至少一个量子密销管理服务系统，至少一个所述检测终端用于检测量子秘钥的生成以及分发过程，以保证量子秘钥数据的可用性和完整性以及安全性；
8.所述应用层包括至少一个量子加解密终端，至少一个所述量子加解密终端在进行量子秘钥加密后，可添加用户自定义的加密制度，对所述量子秘钥进行二次加密；
9.所述量子秘钥分发装置包括分发装置密码模块、分发装置管理模块和分发装置联网模块；
10.所述分发装置管理模块，进行管理命令的接收和发送；
11.所述分发装置密码模块包括普通密码模块和安全密码模块，所述普通密码模块存储后量子密码公钥和后量子密码数字证书；所述安全密码模块存储私钥，进行密码学计算；
12.所述分发装置联网模块接入通信网络；
13.秘钥分发管理装置包括管理装置密码模块、管理装置、管理模块和管理装置联网模块；
14.所述管理装置，进行管理命令的接收和发送；
15.所述管理装置密码模块包括普通密码模块和安全密码模块，所述普通密码模块存储后量子密码公钥和后量子密码数字证书，所述安全密码模块存储私钥及管理员的生物学信息、pin码信息，进行密码学计算；
16.所述管理装置联网模块通过分发装置联网模块接入通信网络；
17.所述分发装置管理模块和管理装置均包括地理位置判断模块；所述地理位置判断模块用于定位；
18.所述分发装置管理模块包括管理员认证模块；所述管理员认证模块根据地理位置判断模块的定位进行认证。
19.进一步地，上述的用户自定义的加密制度由加法、减法、乘法以及除法中的一种或者多种组合进行计算。
20.进一步地，所述管理装置联网模块用于量子秘钥分发站点的远程管理，包括成对量子秘钥分发站点初始认证秘钥的颁发和其他远程通信管理。
21.进一步地，所述通信网络包括经典通信网络和量子通信网络。
22.进一步地，所述量子秘钥加解密度终端的用于连接用户。
23.进一步地，所述检测终端可为单光子探测器和光电二极管探测器二者中的其中一种。
24.进一步地，所述量子层中的量子秘钥生成终端接收所述管控层的量子秘钥管理终端的控制命令，进行量子秘钥分发，并将实时生成的量子秘钥输出至管控设备，在量子秘钥分发的过程中，所述检测终端开始工作，检测异常探测行为，检测到异常探测行为后，对量子秘钥中的非重要数据进行舍弃。
25.进一步地，所述管控层还包括秘钥管理终端设备和系统服务终端，所述秘钥管理终端实现量子秘钥的终端管理，为应用层设备提供安全可靠地量子秘钥。
26.进一步地，所述应用层通过串联或者并联的方式接入用户数据链路，并利用量子秘钥为用户提供数据加密等信息安全服务，且所述量子秘钥，是利用量子力学特性来保证通信安全性，可使通信的双方能够产生并分享一个随机的、安全的秘钥，来加密和解密消息。
27.本公开的有益效果：
28.1、通过增加检测设备对量子秘钥的分发过程进行异常行为检测，防止不法分子利用漏洞对量子秘钥进行非法的获取，且在检测到异常行为后，可对量子秘钥中的非重要信息进行舍弃，以保证重要信息的安全，同时通过添加用户自定义的二次加密制度，便于对量子秘钥进行二次加密，增加安全性。
29.2、本发明通过后量子密码学与专用管理装置的结合，实现了设备之间的远程初始认证秘钥的颁发，颁发认证秘钥的工作量大大降低，效率大大提高；省去了大量秘钥颁发所需的专用的人力物力成本，代价较低。
附图说明
30.图1为本发明的系统流程图。
具体实施方式
31.下面将对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本公开保护的范围。
32.实施例1
33.如图1所示；一种多方量子秘钥协商方法，包括量子秘钥生成终端和量子秘钥分发装置；其特征在于，量子秘钥生成终端包括量子层、管控层和应用层，所述量子层包括至少一个量子秘钥生成终端；
34.所述管控层包括至少一个量子秘钥管理终端以及检测终端以及至少一个量子密销管理服务系统，至少一个所述检测终端用于检测量子秘钥的生成以及分发过程，以保证量子秘钥数据的可用性和完整性以及安全性；
35.所述应用层包括至少一个量子加解密终端，至少一个所述量子加解密终端在进行量子秘钥加密后，可添加用户自定义的加密制度，对所述量子秘钥进行二次加密；
36.所述量子秘钥分发装置包括分发装置密码模块、分发装置管理模块和分发装置联网模块；
37.所述分发装置管理模块，进行管理命令的接收和发送；
38.所述分发装置密码模块包括普通密码模块和安全密码模块，所述普通密码模块存储后量子密码公钥和后量子密码数字证书；所述安全密码模块存储私钥，进行密码学计算；
39.所述分发装置联网模块接入通信网络；
40.秘钥分发管理装置包括管理装置密码模块、管理装置和管理装置联网模块；
41.所述管理装置，进行管理命令的接收和发送；
42.所述管理装置密码模块包括普通密码模块和安全密码模块，所述普通密码模块存储后量子密码公钥和后量子密码数字证书，所述安全密码模块存储私钥及管理员的生物学信息、pin码信息，进行密码学计算；
43.所述管理装置联网模块通过分发装置联网模块接入通信网络；
44.所述分发装置管理模块和管理装置均包括地理位置判断模块；所述地理位置判断模块用于定位；
45.所述分发装置管理模块包括管理员认证模块；所述管理员认证模块根据地理位置判断模块的定位进行认证。
46.在一些公开中，上述的用户自定义的加密制度由加法、减法、乘法以及除法中的一种或者多种组合进行计算。
47.在一些公开中，所述管理装置联网模块用于量子秘钥分发站点的远程管理，包括成对量子秘钥分发站点初始认证秘钥的颁发和其他远程通信管理。
48.在一些公开中，所述通信网络包括经典通信网络和量子通信网络。
49.在一些公开中，所述量子秘钥加解密度终端的用于连接用户。
50.在一些公开中，所述检测终端可为单光子探测器和光电二极管探测器二者中的其中一种。
51.在一些公开中，所述量子层中的量子秘钥生成终端接收所述管控层的量子秘钥管理终端的控制命令，进行量子秘钥分发，并将实时生成的量子秘钥输出至管控设备，在量子秘钥分发的过程中，所述检测终端开始工作，检测异常探测行为，检测到异常探测行为后，对量子秘钥中的非重要数据进行舍弃。
52.在一些公开中，所述管控层还包括秘钥管理终端设备和系统服务终端，所述秘钥管理终端实现量子秘钥的终端管理，为应用层设备提供安全可靠地量子秘钥。
53.在一些公开中，所述应用层通过串联或者并联的方式接入用户数据链路，并利用量子秘钥为用户提供数据加密等信息安全服务，且所述量子秘钥，是利用量子力学特性来保证通信安全性，可使通信的双方能够产生并分享一个随机的、安全的秘钥，来加密和解密消息。
54.实施例2
55.一种量子秘钥生成终端，包括量子层、管控层和应用层；
56.管控层包括一个量子秘钥管理终端以及检测终端以及一个量子密销管理服务系统，检测终端用于检测量子秘钥的生成以及分发过程，以保证量子秘钥数据的可用性和完整性以及安全性，检测终端可为单光子探测器，管控层还包括秘钥管理终端设备和系统服务终端，秘钥管理终端实现量子秘钥的终端管理，为应用层设备提供安全可靠地量子秘钥；
57.应用层包括一个量子加解密终端，一个量子加解密终端在进行量子秘钥加密后，可添加用户自定义的加密制度，上述的用户自定义的加密制度由加法、减法、乘法以及除法中的一种或者多种组合进行计算，对量子秘钥进行二次加密，应用层通过串联或者并联的方式接入用户数据链路，并利用量子秘钥为用户提供数据加密等信息安全服务；
58.在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本公开的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
59.以上显示和描述了本公开的基本原理、主要特征和本公开的优点。本行业的技术人员应该了解，本公开不受上述实施例的限制，上述实施例和说明书中描述的只是说明本公开的原理，在不脱离本公开精神和范围的前提下，本公开还会有各种变化和改进，这些变化和改进都落入要求保护的本公开范围。