基于量子密钥的文件加密方法、装置、电子设备及介质与流程

1.本技术涉及通信技术领域，具体涉及一种基于量子密钥的文件加密方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.随着信息通信技术的快速发展，社会的信息化程度日新月异，国家、机构、个人的信息已逐步完成了电子化采集及存储，而随着这些信息在网络空间传输和存储，带来的是对这些信息的安全保障需求与日俱增，面临的安全威胁也日趋严峻。
3.而当前对于各行各业的电子文件的保护，基本上也是基于非对称密码算法完成身份认证和密钥协商下发，并且使用下发密钥对电子文件进行加密保存，而且文件加密密钥和加密文件都保存在终端上。该种方式带来的问题是，一方面文件加密密钥自身的安全存储是个问题，另一方面因为非对称密钥使用的生命周期较长，导致基于非对称密钥协商的文件加密密钥加密的数据样本间存在关联性，容易被量子计算攻破。
4.因此，需要对现有技术问题提出解决方法。


技术实现要素：

5.本技术的目的在于，提供一种基于量子密钥的文件加密方法、装置、电子设备及计算机可读存储介质，其基于量子密钥分发网络在终端设备和文件密钥管理系统（服务器设备）之间安全分发对称密钥，并使用对称密钥建立安全通道，并通过安全通道下发文件加密密钥至终端设备以供加密文件，而且也实现文件加密密钥和加密文件分别受不同系统控制，以避免因单方数据泄露而造成文件信息泄露的问题。
6.根据本技术的第一方面，本技术的一实施例提供了一种基于量子密钥的文件加密方法，用于终端设备，所述方法包括：发送认证接入请求至文件密钥管理系统，并接收来自于文件密钥管理系统的认证接入请求响应；其中，文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；发送文件密钥生成请求至文件密钥管理系统，并接收来自于文件密钥管理系统的文件密钥生成请求响应，其中所述文件密钥生成请求响应包含文件加密密钥和文件标识；基于文件加密密钥和文件标识，对待加密文件执行加密操作，以得到加密文件；响应于针对加密文件的开启操作，基于文件标识，发送文件密钥查询请求至文件密钥管理系统，并接收来自于文件密钥管理系统的文件密钥查询请求响应，其中所述文件密钥查询请求响应包含文件加密密钥；基于所得到的文件加密密钥，解密加密文件。
7.根据本技术的第二方面，本技术的一实施例提供了一种基于量子密钥的文件加密方法，用于终端设备，所述方法包括：发送文件加密密钥请求至移动存储介质，并接收来自于所述移动存储介质的文件加密密钥请求响应，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥
请求报文，所述文件加密密钥请求响应包含文件加密密钥请求密文报文、移动存储介质的设备标识和加密密钥索引；针对文件加密密钥请求密文报文，发送文件密钥请求至文件密钥管理系统，并接收来自于所述文件密钥管理系统的文件密钥响应，其中文件密钥响应包含文件密钥响应报文、移动存储介质的设备标识和加密密钥索引，所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；针对文件密钥响应报文，发送解密文件密钥请求至所述移动存储介质，并接收来自于所述移动存储介质的解密文件密钥请求响应，以得到明文文件加密密钥响应报文；基于明文文件加密密钥响应报文，解析得到文件加密密钥密文和文件标识；发送文件加密密钥密文至所述移动存储介质，并接收来自于所述移动存储介质的针对文件加密密钥密文的响应；其中所述移动存储介质基于文件加密密钥密文得到明文文件加密密钥；发送待加密文件至移动存储介质，并接收移动存储介质返回的基于明文文件加密密钥所生成的加密文件。
8.根据本技术的第三方面，本技术的一实施例提供了一种基于量子密钥的文件加密方法，用于移动存储介质，所述方法包括：接收来自于终端设备的文件加密密钥请求，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文；基于预设量子密钥集合所提供的量子密钥，加密明文文件加密密钥请求报文，以得到文件加密密钥请求密文报文，并返回至终端设备；接收来自于所述终端设备的解密文件密钥请求，所述解密文件密钥请求包含文件加密密钥响应密文报文、移动存储介质的设备标识和加密密钥索引，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；基于移动存储介质的设备标识和加密密钥索引，检索预设的量子密钥集合，以得到相应的量子密钥；基于所得到相应的量子密钥，解密文件加密密钥响应密文报文，以得到明文文件加密密钥响应报文，并返回至终端设备；接收来自于所述终端设备的文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引，并基于加密密钥索引，获得相应的量子密钥；基于所得到的相应量子密钥，解密文件加密密钥密文，得到明文文件加密密钥；接收所述终端设备所提供的待加密文件，并基于明文文件加密密钥，对待加密文件进行加密，以得到加密文件，并返回至终端设备。
9.根据本技术的第四方面，本技术的一实施例提供了一种基于量子密钥的文件加密方法，用于文件密钥管理系统，所述方法包括：接收来自于终端设备的文件密钥生成请求，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；获取来自于量子随机数发生器所产生的随机数，并作为明文文件加密密钥；基于预设的量子密钥集合所提供的量子密钥，对明文文件加密密钥进行加密，以得到文件加密密钥密文；
基于预设的量子密钥集合所提供的量子密钥，对文件加密密钥密文和文件标识进行加密，以得到文件加密密钥响应密文报文；基于文件加密密钥响应密文报文，发送文件密钥响应至终端设备。
10.根据本技术的第五方面，本技术的一实施例提供了一种基于量子密钥的文件加密装置，用于终端设备，所述装置包括：报文加密收发模块，用于发送文件加密密钥请求至移动存储介质，并接收来自于所述移动存储介质的文件加密密钥请求响应，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文，所述文件加密密钥请求响应包含文件加密密钥请求密文报文、移动存储介质的设备标识和加密密钥索引；密钥请求收发模块，用于针对文件加密密钥请求密文报文，发送文件密钥请求至文件密钥管理系统，并接收来自于所述文件密钥管理系统的文件密钥响应，其中文件密钥响应包含文件密钥响应报文、移动存储介质的设备标识和加密密钥索引，所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；解密报文收发模块，用于针对文件密钥响应报文，发送解密文件密钥请求至所述移动存储介质，并接收来自于所述移动存储介质的解密文件密钥请求响应，以得到明文文件加密密钥响应报文；解析模块，用于基于明文文件加密密钥响应报文，解析得到文件加密密钥密文和文件标识；解密密钥收发模块，用于发送文件加密密钥密文至所述移动存储介质，并接收来自于所述移动存储介质的针对文件加密密钥密文的响应；其中所述移动存储介质基于文件加密密钥密文得到明文文件加密密钥；文件加密收发模块，用于发送待加密文件至移动存储介质，并接收移动存储介质返回的基于明文文件加密密钥所生成的加密文件。
11.根据本技术的第六方面，本技术的一实施例提供了一种基于量子密钥的文件加密装置，用于移动存储介质，所述装置包括：明文报文接收模块，用于接收来自于终端设备的文件加密密钥请求，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文；明文报文加密模块，用于基于预设量子密钥集合所提供的量子密钥，加密明文文件加密密钥请求报文，以得到文件加密密钥请求密文报文，并返回至终端设备；密文报文接收模块，用于接收来自于所述终端设备的解密文件密钥请求，所述解密文件密钥请求包含文件加密密钥响应密文报文、移动存储介质的设备标识和加密密钥索引，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；第一密钥检索模块，用于基于移动存储介质的设备标识和加密密钥索引，检索预设的量子密钥集合，以得到相应的量子密钥；密文报文解密模块，用于基于所得到相应的量子密钥，解密文件加密密钥响应密文报文，以得到明文文件加密密钥响应报文，并返回至终端设备；第二密钥检索模块，用于接收来自于所述终端设备的文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引，并基于加密密钥索引，获得相应的量子密钥；密文解密模块，用于基于所得到的相应量子密钥，解密文件加密密钥密文，得到明
文文件加密密钥；文件加密模块，用于接收所述终端设备所提供的待加密文件，并基于明文文件加密密钥，对待加密文件进行加密，以得到加密文件，并返回至终端设备。
12.根据本技术的第七方面，本技术的一实施例提供了一种基于量子密钥的文件加密装置，用于文件密钥管理系统，所述装置包括：密钥请求模块，用于接收来自于终端设备的文件密钥生成请求，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；密钥生成模块，用于获取来自于量子随机数发生器所产生的随机数，并作为明文文件加密密钥；密文生成模块，用于基于预设的量子密钥集合所提供的量子密钥，对明文文件加密密钥进行加密，以得到文件加密密钥密文；报文生成模块，用于基于预设的量子密钥集合所提供的量子密钥，对文件加密密钥密文和文件标识进行加密，以得到文件加密密钥响应密文报文；密钥请求响应模块，用于基于文件加密密钥响应密文报文，发送文件密钥响应至终端设备。
13.根据本技术的第八方面，本技术的一实施例提供了一种电子设备，所述电子设备包括存储器和处理器；所述存储器存储有计算机程序，所述处理器用于运行所述存储器内的计算机程序，以执行本技术任一实施例所述的基于量子密钥的文件加密方法。
14.根据本技术的第九方面，本技术的一实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序适于处理器进行加载，以执行本技术任一实施例所述的基于量子密钥的文件加密方法。
15.本技术的实施例提供了一种基于量子密钥的文件加密方法、装置、电子设备及计算机可读存储介质，其基于量子密钥分发网络在终端设备和文件密钥管理系统（服务器设备）之间安全分发对称密钥，并使用对称密钥建立安全通道，并通过安全通道下发文件加密密钥至终端设备以供加密文件，且基于安全通道按照“一次一密”的方式使用对称密钥，密钥之间无关联性，从而提高文件存储的安全性。此外，本技术也实现密钥和数据的分离，即文件加密密钥和加密文件分别受不同系统控制，以避免因单方数据泄露而造成文件信息泄露的问题。此外，本技术也实现文件加解密的双重策略控制，即文件加密密钥的生成和下发策略由文件密钥管理系统控制和执行，而文件的解密策略由应用终端（终端设备）控制执行。
附图说明
16.下面结合附图，通过对本技术的具体实施方式详细描述，将使本技术的技术方案及其它有益效果显而易见。
17.图1为本技术实施例提供的基于量子密钥的文件加密方法的一场景示意图。
18.图2为本技术一实施例的一种基于量子密钥的文件加密方法的步骤流程示意图。
19.图3为图2所示步骤s110的前序步骤的步骤示意图。
20.图4为图2所示步骤s160的后续步骤的一示例性步骤示意图。
21.图5为图2所示步骤s160的后续步骤的另一示例步骤程示意图。
22.图6为图5所示步骤s186的后续步骤的步骤示意图。
23.图7为本技术一实施例的一种基于量子密钥的文件加密方法的步骤流程示意图。
24.图8为图7所示步骤s210的前序步骤的步骤示意图。
25.图9为图7所示步骤s280的后续步骤的步骤示意图。
26.图10为图7所示步骤s210的前序步骤的另一示例性步骤示意图。
27.图11为本技术一实施例的一种基于量子密钥的文件加密方法的步骤流程示意图。
28.图12为图11所示步骤s350的后续步骤的步骤示意图。
29.图13为图12所示步骤s362的后续步骤的步骤示意图。
30.图14为图11所示步骤s310的前序步骤的步骤示意图。
31.图15为本技术一实施例的基于量子密钥的文件加密方法的第一部分信令流程图。
32.图16为本技术一实施例的基于量子密钥的文件加密方法的第二部分信令流程图。
33.图17为密文文件格式示意图。
34.图18为本技术一实施例的基于量子密钥的文件加密方法的第三部分信令流程图。
35.图19为本技术一实施例的一种基于量子密钥的文件加密方法的步骤流程示意图。
36.图20为图19所示的基于量子密钥的文件加密方法的信令流程图。
37.图21为本技术一实施例的一种基于量子密钥的文件加密的架构示意图。
38.图22为本技术另一实施例的一种基于量子密钥的文件加密的架构示意图。
39.图23为本技术又一实施例的一种基于量子密钥的文件加密的架构示意图。
40.图24为本技术实施例提供的电子设备的结构框图。
具体实施方式
41.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
42.本技术实施例提供一种基于量子密钥的文件加密方法以及相关设备，相关设备可以包括基于量子密钥的文件加密装置、电子设备和计算机可读存储介质。所述基于量子密钥的文件加密装置具体可以集成在电子设备中，所述电子设备可以是终端设备，或者是服务器设备。
43.可以理解的是，本实施例的基于量子密钥的文件加密方法可以在终端设备上执行，也可以在服务器设备上执行，还可以由终端设备和服务器设备共同执行。以上举例不应理解为对本技术的限制。需要说明的是，下文中所描述的文件密钥管理系统可以是多个物理服务器构成的服务器集群或者分布式系统。
44.例如，以终端设备和服务器设备共同执行基于量子密钥的文件加密方法为例。本技术实施例提供的基于量子密钥的文件加密方法包括终端设备和服务器设备。终端设备与服务器设备之间可以通过网络连接，比如，有线网络连接或无线网络连接，其中，基于量子密钥的文件加密装置可以集成在终端设备或服务器设备中。其中，终端设备可以包括平板电脑、笔记本电脑、或个人计算机（pc，personal computer）等。终端设备上还可以设置客户端，该客户端可以是应用程序客户端或浏览器客户端等等。其中，服务器设备可以是独立的
物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn（content delivery network，内容分发网络）、以及大数据和人工智能平台等基础云计算服务的云服务器。本技术所公开的基于量子密钥的文件加密方法或装置，其中多个服务器可组成为一区块链，而服务器为区块链上的节点。
45.本技术所公开的基于量子密钥的文件加密方法或装置支持量子密钥分发技术（qkd technology）。其中，量子密钥分发（quantum key distribution,简称qkd）技术是利用量子力学特性来保证通信安全性。它使通信的双方能够产生并分享一个随机的、安全的密钥，以加密和解密消息。
46.本技术实施例提供的基于量子密钥的文件加密方法可适用于图1所示的场景中。如图1所示的应用终端10可以运行于上述的终端设备，文件密钥管理系统20可以运行于上述的服务器设备。并且，文件密钥管理系统20与qkd网络的服务端（qkd-s）（如图1所示的qkd网关a）相连，应用终端10与量子安全u盾30连接（例如量子安全u盾30可接于应用终端），量子安全u盾30可接于量子密钥充注站点40，以充注密钥。量子密钥充注站点40与量子密钥分发（quantum key distribution，简称qkd）网络的客户端（qkd-c）（如图1所示的qkd网关b）相连，qkd网络可以实现客户端和服务端的量子密钥始终保持一致。文件密钥管理系统20可配有量子随机数发生器60，用于生成文件加密密钥。量子安全u盾30从量子密钥充注站点40将量子密钥转移存储至量子安全u盾30，以使得量子安全u盾30和文件密钥管理系统20之间具有对称的量子密钥。当量子安全u盾30接入应用终端10，应用终端10可以利用量子安全u盾30的对称量子密钥完成与文件密钥管理系统20之间的身份认证、安全通道建立、文件加密密钥下发等过程。
47.此外，本文中所描述的量子安全u盾（下文称为移动存储介质）的部分功能也可以集成于终端设备中。进一步地，应用终端和量子安全u盾可以集成于同一终端设备中，但也不限于此。
48.如图2所示，本技术的一实施例提供了一种基于量子密钥的文件加密方法，用于终端设备，所述方法包括：步骤s110，发送文件加密密钥请求至移动存储介质，并接收来自于所述移动存储介质的文件加密密钥请求响应，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文，所述文件加密密钥请求响应包含文件加密密钥请求密文报文、移动存储介质的设备标识和加密密钥索引；步骤s120，针对文件加密密钥请求密文报文，发送文件密钥请求至文件密钥管理系统，并接收来自于所述文件密钥管理系统的文件密钥响应，其中文件密钥响应包含文件密钥响应报文、移动存储介质的设备标识和加密密钥索引，所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；步骤s130，针对文件密钥响应报文，发送解密文件密钥请求至所述移动存储介质，并接收来自于所述移动存储介质的解密文件密钥请求响应，以得到明文文件加密密钥响应报文；步骤s140，基于明文文件加密密钥响应报文，解析得到文件加密密钥密文和文件标识；步骤s150，发送文件加密密钥密文至所述移动存储介质，并接收来自于所述移动存储介质的针对文件加密密钥密文的响应；其中所述移动存储介质基于文件加密密钥密文得到明文文件加密密钥；步骤s160，发送待加密文件至移动存储介质，并接收移动存储介质返回的基于明文文件加密密钥所生成的加密文件。
49.本技术通过执行步骤s110至步骤160，以实现利用量子密钥加解密终端设备与文件密钥管理系统之间所传输的报文，以达到安全通道的目的，并且基于文件密钥管理系统所提供的文件加密密钥对终端设备的待加密文件进行加密。
50.在一实施例中，除了执行步骤s110至步骤160之外，在步骤s110所述发送文件加密密钥请求至移动存储介质之前，所述方法还包括：步骤s101，发送加密认证请求至移动存储介质，并接收来自于移动存储介质的加密认证请求响应，其中所述加密认证请求包含明文认证请求报文；所述加密认证请求响应包含认证请求密文报文、移动存储介质的设备标识和加密密钥索引；步骤s102，针对认证请求密文报文，发送认证请求至文件密钥管理系统，并接收来自于所述文件密钥管理系统的认证响应，其中认证响应包含认证响应报文、移动存储介质的设备标识和加密密钥索引；步骤s103，针对认证响应报文，发送解密认证响应请求至所述移动存储介质，并接收来自于所述移动存储介质的解密认证响应请求的响应，以得到明文认证响应报文。具体可参阅图3所示。
51.在该实施例中，通过执行步骤s101至步骤103，以实现终端设备与文件密钥管理系统之间的认证连接。
52.在一实施例中，除了执行步骤s110至步骤160之外，在步骤s160即所述发送文件加密密钥密文至所述移动存储介质，并接收来自于所述移动存储介质的针对文件加密密钥密文的响应之后，所述方法还包括：步骤s171，发送文件加密密钥删除指令至移动存储介质；步骤s172，接收来自于移动存储介质的针对文件加密密钥删除指令的响应。具体可参阅图4所示。
53.在该实施例中，通过执行步骤s171至步骤s172，可以实现终端设备（例如应用终端）和移动存储介质（例如量子安全u盾）不保留文件加密密钥，从而保证文件加密密钥和文件数据的分离，文件数据由用户或第三方系统管理，文件加密密钥由文件密钥管理系统管理，彼此相互不干涉，在用户需要使用时进行临时申请，从而减低数据泄露而被破解的可能。
54.进一步地，步骤s160即所述发送待加密文件至移动存储介质，还包括：发送针对待加密文件的属性数据至所述移动存储介质，其中所述属性数据用于指示对加密文件的解密策略。
55.在该实施例中，通过执行上述步骤，可以实现在文件加密时，用户可以设置私有的解密策略，以控制请求方的解密阅读权限，这样可以增加解密策略的灵活性，提高控制粒度，降低文件密钥管理系统集中管理解密策略时所引起的系统压力。
56.在一实施例中，除了执行步骤s110至步骤160之外，在步骤s160即所述发送待加密文件至移动存储介质，并接收移动存储介质返回的基于明文文件加密密钥所生成的加密文件之后，所述方法还包括：步骤s181，发送文件加密密钥请求至移动存储介质，并接收来自于所述移动存储介质的文件加密密钥请求响应，其中所述文件加密密钥请求包含针对加密文件的明文文件加密密钥请求报文，所述文件加密密钥请求响应包含文件加密密钥请求密文报文、移动存储介质的设备标识和加密密钥索引；步骤s182，针对文件加密密钥请求密文报文，发送文件密钥请求至文件密钥管理系统，并接收来自于所述文件密钥管理系统的文件密钥响应，其中文件密钥请求包含文件标识，文件密钥响应包含文件密钥响应报文、移动存储介质的设备标识和加密密钥索引；步骤s183，针对文件密钥响应报文，发送解密文件密
钥请求至所述移动存储介质，并接收来自于所述移动存储介质的解密文件密钥请求响应，以得到明文文件加密密钥响应报文；步骤s184，基于明文文件加密密钥响应报文，解析得到文件加密密钥密文；步骤s185，发送文件加密密钥密文至所述移动存储介质，并接收来自于所述移动存储介质的针对文件加密密钥密文的响应；其中所述移动存储介质基于文件加密密钥密文得到明文文件加密密钥；步骤s186，发送加密文件至移动存储介质，并接收移动存储介质返回的基于明文文件加密密钥所生成的解密文件。具体可参阅图5所示。
57.在该实施例中，通过执行步骤s181至步骤s186，以实现对加密文件进行解密。
58.需说明的是，如步骤s181所提及的文件加密密钥请求及文件加密密钥请求响应、步骤s182所提及的文件密钥请求及文件密钥响应、步骤s183所提及的解密文件密钥请求及解密文件密钥请求响应，这些术语也包含有查询的意思，即通过执行这些步骤，可以查询文件密钥，并根据查询得到的文件密钥来解密已加密的文件。
59.进一步地，在步骤s186即所述发送加密文件至移动存储介质之后，所述方法还包括：步骤s1861，接收移动存储介质返回的属性数据，其中所述属性数据是移动存储介质对加密文件中的加密属性数据解密而得到的；步骤s1862，基于属性数据，解析得到解密策略属性数据；步骤s1863，基于解密策略属性数据，判断请求方是否具有解密文件权限；步骤s1864，若请求方具有解密文件权限，则指示移动存储介质继续解密文件并返回的基于明文文件加密密钥所生成的解密文件；步骤s1865，若请求方不具有解密文件权限，则删除移动存储介质明文文件加密密钥。具体可参阅图6所示。
60.在该实施例中，通过获取解密策略属性数据，以得到相应的解密策略，据此判断请求方是否具有解密文件权限，并且根据不同的判断结果，以控制对解密文件的使用权限。如此实施，可以进一步提高文件数据的安全性。
61.参阅图7所示，在一实施例中，本技术提供了一种基于量子密钥的文件加密方法，用于移动存储介质，所述方法包括：步骤s210，接收来自于终端设备的文件加密密钥请求，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文；步骤s220，基于预设量子密钥集合所提供的量子密钥，加密明文文件加密密钥请求报文，以得到文件加密密钥请求密文报文，并返回至终端设备；步骤s230，接收来自于所述终端设备的解密文件密钥请求，所述解密文件密钥请求包含文件加密密钥响应密文报文、移动存储介质的设备标识和加密密钥索引，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；步骤s240，基于移动存储介质的设备标识和加密密钥索引，检索预设的量子密钥集合，以得到相应的量子密钥；步骤s250，基于所得到相应的量子密钥，解密文件加密密钥响应密文报文，以得到明文文件加密密钥响应报文，并返回至终端设备；步骤s260，接收来自于所述终端设备的文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引，并基于加密密钥索引，获得相应的量子密钥；步骤s270，基于所得到的相应量子密钥，解密文件加密密钥密文，得到明文文件加密密钥；步骤s280，接收所述终端设备所提供的待加密文件，并基于明文文件加密密钥，对待加密文件进行加密，以得到加密文件，并返回至终端设备。
62.在本实施例中，通过执行步骤s210至步骤s280，以实现通过移动存储介质（例如量子安全u盾）对报文、密钥密文等进行加解密。
63.需注意的是，量子安全u盾是量子密钥的一种存储介质，其可以将量子密钥从qkd
量子密钥分发网络转移出，并应用于移动式的应用终端，从而解决qkd网络覆盖面不足而不能为移动终端提供实时接入的问题。量子安全u盾使用前需要先在文件密钥管理系统进行发行登记，即将量子安全u盾直接接入文件密钥管理系统主机，文件密钥管理系统为量子安全u盾分配设备标识（或称设备id，下文相同）、设备基础认证密钥，并将设备id、设备基础认证密钥写入量子安全u盾，同时文件密钥管理系统保存设备id、设备基础认证密钥信息。设备基础认证密钥由量子随机数发生器（qrng）生成，并且在文件密钥管理系统上加密保存。
64.在一实施例中，除了执行步骤s210至步骤s280之外，在步骤s210即所述接收来自于终端设备的文件加密密钥请求之前，所述方法还包括：步骤s201，接收来自于所述终端设备的加密认证请求，其中所述加密认证请求包含明文认证请求报文；步骤s202，基于预设量子密钥集合所提供的量子密钥，加密明文认证请求报文，以得到认证请求密文报文；步骤s203，发送加密认证请求响应至终端设备，所述加密认证请求响应包含认证请求密文报文；步骤s204，接收来自于所述终端设备的解密认证响应请求，所述解密认证响应请求包含认证响应报文、移动存储介质的设备标识和加密密钥索引；步骤s205，基于移动存储介质的设备标识和加密密钥索引，检索预设的量子密钥集合，以得到相应的量子密钥；步骤s206，基于所得到相应的量子密钥，解密认证响应报文，以得到明文认证响应报文，并返回至终端设备。具体可参阅图8所示。
65.执行步骤s201至步骤s206，并结合上述步骤s101至步骤103，以实现协助终端设备与文件密钥管理系统完成认证连接。
66.在一实施例中，除了执行步骤s210至步骤s280，在步骤s280即所述接收所述终端设备所提供的待加密文件，并基于明文文件加密密钥，对待加密文件进行加密，以得到加密文件，并返回至终端设备之后，所述方法还包括：步骤s291，接收来自于所述终端设备的文件加密密钥请求，其中所述文件加密密钥请求包含针对加密文件的明文文件加密密钥请求报文；步骤s292，基于预设量子密钥集合所提供的量子密钥，加密明文文件加密密钥请求报文，以得到文件加密密钥请求密文报文，并返回至终端设备；步骤s293，接收来自于所述终端设备的解密文件密钥请求，所述解密文件密钥请求包含文件加密密钥响应密文报文、移动存储介质的设备标识和加密密钥索引；步骤s294，基于移动存储介质的设备标识和加密密钥索引，检索预设的量子密钥集合，以得到相应的量子密钥；步骤s295，基于所得到相应的量子密钥，解密文件加密密钥响应密文报文，以得到明文文件加密密钥响应报文，并返回至终端设备；步骤s296，接收来自于所述终端设备的文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引，并基于加密密钥索引，获得相应的量子密钥；步骤s297，基于所得到的相应量子密钥，解密文件加密密钥密文，得到明文文件加密密钥；步骤s298，接收所述终端设备所提供的加密文件，并基于明文文件加密密钥，对加密文件进行解密，以得到解密文件，并返回至终端设备。具体可参阅图9所示。
67.在该实施例中，执行步骤s291至步骤s298，并结合上述步骤s181至步骤s186，以实现协助终端设备完成对加密文件进行解密。
68.在一实施例中，除了执行步骤s210至步骤s280之外，在步骤s210即所述接收来自于终端设备的文件加密密钥请求之前，所述方法还包括：步骤s2001，提供移动存储介质的设备标识至量子密钥充注站点；其中所述量子密钥充注站点用于基于移动存储介质的设备标识生成相应的加密后的充注设备信息，以及将加密后的充注信息和移动存储介质的设备
标识发送至文件密钥管理系统，并接收文件密钥管理系统的充注响应，以及发送量子密钥分发请求并接收密钥分发响应，以得到量子密钥集合；其中所述量子密钥充注站点通过量子密钥分发网络与文件密钥管理系统已建立认证连接；步骤s2002，接收并存储来自于量子密钥充注站点的量子密钥集合，其中所述量子密钥集合包含多个量子密钥。具体可参阅图10所示。
69.在该实施例中，通过执行步骤s2001至步骤s2002，可以实现移动存储介质（例如量子安全u盾）通过量子密钥充注站点，以得到文件密钥管理系统的身份认证，并且通过量子密钥充注站点和文件密钥管理系统所连接的量子密钥分发网络，得到量子密钥。
70.参阅图11所示，在一实施例中，本技术提供了一种基于量子密钥的文件加密方法，用于文件密钥管理系统，所述方法包括：步骤s310，接收来自于终端设备的文件密钥生成请求，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；步骤s320，获取来自于量子随机数发生器所产生的随机数，并作为明文文件加密密钥；步骤s330，基于预设的量子密钥集合所提供的量子密钥，对明文文件加密密钥进行加密，以得到文件加密密钥密文；步骤s340，基于预设的量子密钥集合所提供的量子密钥，对文件加密密钥密文和文件标识进行加密，以得到文件加密密钥响应密文报文；步骤s350，基于文件加密密钥响应密文报文，发送文件密钥响应至终端设备。
71.在该实施中，通过执行步骤s310至步骤s350，以实现当终端设备需使用文件加密密钥时，通过文件密钥管理系统提供文件加密密钥，从而达到文件密钥（此处为文件加密密钥）由文件密钥管理系统管理控制的目的。这样，提高了安全性。
72.在一实施例中，除了执行步骤s310至步骤s350之外，在步骤350即所述基于文件加密密钥响应密文报文，发送文件密钥响应至终端设备之后，所述方法还包括：步骤s361，接收来自于终端设备的文件加密密钥请求，其中所述文件加密密钥请求包含文件标识；步骤s362，基于文件标识，查询得到预存的明文文件加密密钥；步骤s363，基于预设的量子密钥集合所提供的量子密钥，对明文文件加密密钥进行加密，以得到文件加密密钥密文；步骤s364，基于预设的量子密钥集合所提供的量子密钥，对文件加密密钥密文和文件标识进行加密，以得到文件加密密钥响应密文报文；步骤s365，基于文件加密密钥响应密文报文，发送文件密钥响应至终端设备。具体可参阅图12所示。
73.执行上述步骤s361至步骤s365，并结合上述步骤s181至步骤s186，以实现对加密文件进行解密。
74.进一步地，在该实施例中，所述文件加密密钥请求还包含已加密的属性数据。步骤s362即所述基于文件标识，查询得到预存的明文文件加密密钥之后，还包括：步骤s3621，基于明文文件加密密钥，对已加密的属性数据进行解密，得到属性数据；步骤s3602，基于属性数据和预设规则，判断请求方是否具有获取明文文件加密密钥权限；步骤s3623，若请求方具有获取明文文件加密密钥权限，则执行所述基于预设的量子密钥集合所提供的量子密钥，对明文文件加密密钥进行加密，以得到文件加密密钥密文的步骤。具体参阅图13所示。
75.在一实施例中，除了执行步骤s310至步骤s350之外，在步骤s310即所述接收来自于终端设备的文件密钥生成请求之前，所述方法还包括：步骤s3001，接收来自于量子密钥充注站点的充注设备信息；其中所述量子密钥充注站点通过量子密钥分发网络与文件密钥管理系统已建立认证连接；步骤s3002，基于充注设备信息，确定充注设备的身份信息；步骤
s3003，发送充注响应至量子密钥充注站点；步骤s3004，在所述量子密钥充注站点发送分发请求至量子密钥分发网络之后，接收来自于所述量子密钥分发网络所推送的量子密钥集合；步骤s3005，发送密钥接收响应至所述量子密钥分发网络。具体参阅图14所示。
76.通过执行步骤s3001至步骤s3005，并结合上述步骤s2001至步骤s2002，可以实现移动存储介质获取量子密钥。
77.以下将结合图1所示的场景，并结合图15至图17所示，详细描述基于量子密钥的文件加密方法。其中，终端设备以应用终端为例，移动存储介质以量子安全u盾为例。在描述基于量子密钥的文件加密方法的过程中，可包括三个部分，第一部分为量子密钥分发及充注；第二部分为文件加密密钥生成及文件加密；第三部分为密文文件解密。
78.如图15所示，在一实施例中，所述基于量子密钥的文件加密方法包括执行量子密钥分发和充注。
79.量子密钥分发在文件密钥管理系统20和量子密钥充注站点40之间进行，文件密钥管理系统20和量子密钥充注站点40分别接入对应的qkd网关节点，如图1所示的qkd网关a和qkd网关b。由量子密钥充注站点40发起量子密钥分发请求，qkd网关将量子密钥分别发给文件密钥管理系统和量子密钥充注站点，使得文件密钥管理系统和量子密钥充注站点得到的量子密钥保持一致。需说明的是，多个量子密钥存储在一起，可称其为量子密钥集合。
80.量子密钥充注过程是在量子密钥充注站点40和量子安全u盾30之间进行。在进行量子密钥分发之前，量子安全u盾30先接入量子密钥充注站点40，量子密钥充注站点40通知文件密钥管理系统20分发的量子密钥会充注至哪个量子安全u盾。该些信息会使用量子安全u盾30的设置基础认证密钥进行保护。在量子密钥分发过程中，量子密钥充注站点40收到量子密钥，并写入至量子安全u盾30。当量子密钥分发完成后，量子密钥充注也相应地完成。
81.结合图1和图15所示，所述基于量子密钥的文件加密方法可包括以下第一步部分：1）文件密钥管理系统和量子密钥充注站点分别接入qkd网关a和qkd网关b，并完成接入认证。
82.2）量子安全u盾接入量子安全充注站点，量子密钥充注站点识别并获取量子安全u盾的设备标识（或简称设备id）。
83.3）量子密钥充注站点将量子安全u盾的设备id、本次密钥充注时间、量子安全u盾产生的随机数r，以及该些信息合并后计算所得的摘要信息，通过量子安全u盾的设置基础认证密钥进行加密，以得到密文信息，并将密文信息发送给文件密钥管理系统，同时将明文的设备id一并发送给文件密钥管理系统。
84.4）文件密钥管理系统收到量子密钥充注站点所发送的充注设备信息后，根据明文的设备id检索文件管理系统已存储的对应设备id的设备基础认证密钥，并使用该设备基础认证密钥解密文件密钥管理系统所收到的密文信息，并进行消息的正确性校验，以实现对量子安全u盾的身份认证。校验通过之后，将设备id、随机数r、以及这些信息合并后计算得到的摘要信息，并使用设备基础认证密钥进行加密，作为充注响应，发送给量子密钥充注站点。
85.5）量子密钥充注站点接收文件密钥管理系统所发的充注响应，并解密、校验通过后，向qkd网关b发起向文件密钥管理系统的量子密钥分发请求。
86.6）qkd网络根据预设的路由信息确定文件密钥管理系统归属于qkd网关a，则qkd网
关b与qkd网关a之间进行量子密钥分发协商，并在qkd网关a和qkd网关b之间分发量子密钥。
87.7）qkd网关a、qkd网关b分别将分发的量子密钥输送给文件密钥管理系统和量子密钥充注站点。
88.8）文件密钥管理系统和量子密钥充注站点对分发的量子密钥进行一致性校验，校验通过后即完成量子密钥分发。
89.9）量子密钥充注站点将分发的量子密钥写入量子安全u盾，以完成量子安全u盾的量子密钥充注。
90.在其他部分实施例中，当量子安全u盾已存储有与文件密钥管理系统相同的量子密钥时，所述基于量子密钥的文件加密方法可以不包括上述第一部分。
91.以下将进一步描述，所述基于量子密钥的文件加密方法包括以下第二部分。
92.其中，第二部分为文件加密密钥生成及文件加密。也就是说，应用终端10需要对待加密文件（即明文文件）进行加密时，需要向文件密钥管理系统20请求文件加密密钥（或如下文所称的明文文件加密密钥），在请求过程中需要使用量子安全u盾30对交互的报文消息进行加密保护。
93.结合图1和图16所示，所述基于量子密钥的文件加密方法包括以下第二部分：1）在对待加密文件加密之前，将量子安全u盾接入应用终端，后续应用终端的加解密均在量子安全u盾内完成。
94.2）应用终端发送加密认证请求至量子安全u盾，量子安全u盾使用预存的量子密钥集合所提供的量子密钥，对接收到的加密认证请求进行加密，以得到认证请求密文报文，作为加密认证请求响应返回给应用终端。在该加密认证请求响应中还包括明文的量子安全u盾的设备id和加密密钥索引。其中加密密钥索引用于指示使用哪个量子密钥进行加密。此处的加密密钥索引用于指示生成认证请求密文报文时所使用的量子密钥。应用终端接收到加密认证响应中的认证请求密文报文后，发送认证请求至文件密钥管理系统。
95.3）文件密钥管理系统在接收到认证请求后，根据设备id和加密密钥索引，检索本地所存存储的对称的量子密钥，并使用检索到的量子密钥对认证请求中的认证请求密文报文进行解密，并对解密后的报文进行正确性和合法性校验。当校验通过后，则生成认证响应报文，并使用本地存储的量子密钥对其进行加密，同时附带明文的设备id和加密密钥索引。其中该设备id为移动存储介质的设备id，该加密密钥索引用于指示对认证响应报文加密时所使用的量子密钥。
96.4）应用终端接收到来自于文件密钥管理系统的认证响应，其中认证响应包含认证响应报文、加密密钥索引。接着，应用终端发送解密认证响应请求至量子安全u盾，所述解密认证响应请求包含认证响应报文、加密密钥索引。量子安全u盾基于加密密钥索引，检索预设的量子密钥集合，以得到相应的量子密钥，并根据该量子密钥，解密认证响应报文，以得到明文认证响应报文。量子安全u盾发送解密认证响应请求的响应至应用终端，应用终端对该响应中的明文认证响应报文进行正确性和合法性校验。当校验通过时，完成了应用终端向文件密钥管理系统的接入认证。需要说明的是，在本技术的部分实施例中，已完成应用终端向文件密钥管理系统的接入认证，因此所述基于量子密钥的文件加密方法可不执行上述步骤。若应用终端与文件密钥管理系统之间未完成接入认证，则需要执行上述步骤。
97.5）接入完成后，应用终端可以向文件密钥管理系统为待加密文件（即明文文件）申
请生成文件加密密钥。类似接入认证，应用终端发送文件加密密钥请求至量子安全u盾。其中文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文。量子安全u盾使用预存量子密钥集合所提供的量子密钥对明文文件加密密钥请求报文进行加密，以得到文件加密密钥请求密文报文，作为文件加密密钥请求响应返回给应用终端。在该文件加密密钥请求响应中还包含明文的量子安全u盾的设备id和加密密钥索引。该加密密钥索引用于指示生成文件加密密钥请求密文报文时所使用的量子密钥。应用终端接收到文件加密密钥请求响应中的文件加密密钥请求密文报文后，发送文件密钥请求给文件密钥管理系统。
98.6）文件密钥管理系统在接收到文件密钥请求后，根据量子安全u盾的设备id和加密密钥索引，得到本地存储的对称的量子密钥。需说明的是，先根据设备id索引到对应的量子密钥集合（全量），然后根据加密密钥索引从量子密钥集合中确定对应的一个对称的量子密钥。文件密钥管理系统根据该量子密钥对文件加密密钥请求密文报文进行解密，并进行请求的正确性和合法性校验，从而进一步提高安全性。
99.7）在校验通过后，文件密钥管理系统根据预设策略判断是否允许操作，当判断出允许操作时，则从量子随机数发生器60获取一段随机数，作为文件加密密钥。此时，文件加密密钥为明文，或称明文文件加密密钥。文件密钥管理系统使用本地存储的量子密钥集合所提供的量子密钥，对明文文件加密密钥进行加密，以得到文件加密密钥密文。此外，文件密钥管理系统还为该文件加密密钥分配一个文件标识（即文件id）。该文件标识与文件加密密钥对应，换言之，该文件标识也与待加密文件对应。接着，文件密钥管理系统通过使用本地预存的量子密钥，对文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引以及文件标识进行加密，以得到文件加密密钥响应密文报文。需注意的是，此时使用的量子密钥不同于对明文文件加密密钥加密时所使用的量子密钥。然后，文件密钥管理系统发送文件密钥响应给应用终端，其中文件密钥响应包括文件加密密钥响应密文报文和与该文件加密密钥响应密文报文对应的加密密钥索引。此外，文件密钥管理系统在其本地存储一份相同的文件id和对应的明文文件加密密钥。
100.8）应用终端接收到文件密钥响应后，发送解密文件密钥请求至量子安全u盾。量子安全u盾接收到解密文件密钥请求，所述解密文件密钥请求包含文件加密密钥响应密文报文、量子安全u盾的设备标识和加密密钥索引。量子安全u盾根据加密密钥索引，得到相应的对称的量子密钥，并且根据该量子密钥，解密文件加密密钥响应密文报文，以得到明文文件加密密钥响应报文，并且返回给应用终端。当应用终端接收到明文文件加密密钥响应报文时，对该报文进行正确性和合法性进行校验，若校验通过后，可以解析得到文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引以及文件标识。
101.9）应用终端发送文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引给量子安全u盾。量子安全u盾根据与文件加密密钥密文对应的加密密钥索引，得到相应的量子密钥，并根据该量子密钥对文件加密密钥密文进行解密，以得到明文文件加密密钥，并返回所述移动存储介质的针对文件加密密钥密文的响应。该明文文件加密密钥保存在量子安全u盾内。
102.10）应用终端发送待加密文件至量子安全u盾。量子安全u盾根据保存的明文文件加密密钥，对待加密文件进行加密，以得到加密文件。进一步地，在一些实施例中，应用终端除了发送待加密文件之外，还可以发送属性数据至量子安全u盾。量子安全u盾可以对待加
密文件和属性数据一起进行加密，以得到加密文件（或称密文文件）。
103.需要说明的是，该属性数据包括解密策略属性数据，用于确定解密策略。解密策略的细粒度例如设置一个或多个用户或机构部门具有解密阅读权限。换言之，根据该解密策略，可以在要解密加密文件时，判断请求方是否具有解密文件权限，这样可以进一步增加安全性。
104.密文文件可以包括明文的文件属性信息和密文的文件内容，如图17所示。其中，加密标识：一个固定的标识，位于加密文件起始位置，标明这个文件是一个加密文件。文件id：文件密钥管理系统分配给文件的唯一标识。文件总长度：在加密标识之后，记录了加密文件在文件总长度信息后的所有部分的数据的总长度。密文长度：记录了密文数据的总长度，不包含其它部分数据的长度。密文数据：加密后的文件数据。明文摘要：文件的明文数据的摘要信息，用于对解密后的文件数据进行正确性和完整性校验。属性长度：记录了属性数据的长度，不包含其它部分数据的长度。属性数据：记录了加密文件的属性及策略，例如文件的创建者、文件的归属组织、文件的阅读权限等，属性数据是可扩展的，可以根据需要扩充各种功能属性，这部分数据也是加密数据。
105.11）当文件加密完成后，应用终端发送文件加密密钥删除指令至量子安全u盾，量子安全u盾据此删除明文文件加密密钥。这样，量子安全u盾和应用终端均不会持有明文文件加密密钥，以提高安全性。
106.以上为文件加密密钥生成和文件加密过程的描述，以下将继续描述加密文件（密文文件）的解密过程。
107.应用终端10需要查看加密文件时，需要先对加密文件继续解密。由于应用终端10和量子安全u盾30均不持有文件加密密钥（其为明文），因此，应用终端10需要借助量子安全u盾30向文件密钥管理系统20请求对应的文件加密密钥，以对加密文件进行解密，这个过程与上述文件加密的过程类似。
108.结合图1和图18所示，所述基于量子密钥的文件加密方法包括以下第三部分：1）在解密加密文件之前，量子安全u盾接入应用终端，后续应用终端的加解密均在量子安全u盾完成。
109.2）应用终端发送加密认证请求至量子安全u盾，量子安全u盾使用预存的量子密钥集合所提供的量子密钥，对接收到的加密认证请求进行加密，以得到认证请求密文报文，作为加密认证请求响应返回给应用终端。在该加密认证请求响应中还包括明文的量子安全u盾的设备id和加密密钥索引。其中加密密钥索引用于指示使用哪个量子密钥进行加密。此处的加密密钥索引用于指示生成认证请求密文报文时所使用的量子密钥。应用终端接收到加密认证响应中的认证请求密文报文后，发送认证请求至文件密钥管理系统。
110.3）文件密钥管理系统在接收到认证请求后，根据设备id和加密密钥索引，检索本地所存存储的对称的量子密钥，并使用检索到的量子密钥对认证请求中的认证请求密文报文进行解密，并对解密后的报文进行正确性和合法性校验。当校验通过后，则生成认证响应报文，并使用本地存储的量子密钥对其进行加密，同时附带加密密钥索引。其中加密密钥索引用于指示对认证响应报文加密时所使用的量子密钥。
111.4）应用终端接收到来自于文件密钥管理系统的认证响应，其中认证响应包含认证响应报文、加密密钥索引。接着，应用终端发送解密认证响应请求至量子安全u盾，所述解密
认证响应请求包含认证响应报文、加密密钥索引。量子安全u盾基于加密密钥索引，检索预设的量子密钥集合，以得到相应的量子密钥，并根据该量子密钥，解密认证响应报文，以得到明文认证响应报文。量子安全u盾发送解密认证响应请求的响应至应用终端，应用终端对该响应中的明文认证响应报文进行正确性和合法性校验。在校验通过后，完成了应用终端向文件密钥管理系统的接入认证。需要说明的是，在本技术的部分实施例中，已完成应用终端向文件密钥管理系统的接入认证，因此所述基于量子密钥的文件加密方法可不执行上述步骤。若应用终端与文件密钥管理系统之间未完成接入认证，则需要执行上述步骤。
112.5）接入完成后，应用终端可以根据文件加密过程中所产生的文件标识（即文件id）向文件密钥管理系统请求加密文件的文件加密密钥，并同时传送如上述步骤所述的已加密的属性数据。类似接入认证，应用终端发送文件加密密钥请求至量子安全u盾。其中文件加密密钥请求包含针对加密文件的明文文件加密密钥请求报文。量子安全u盾使用预存量子密钥集合所提供的量子密钥对明文文件加密密钥请求报文进行加密，以得到文件加密密钥请求密文报文，作为文件加密密钥请求响应返回给应用终端。在该文件加密密钥请求响应中还包含明文的量子安全u盾的设备id和加密密钥索引。该加密密钥索引用于指示生成文件加密密钥请求密文报文时所使用的量子密钥。应用终端接收到文件加密密钥请求响应中的文件加密密钥请求密文报文后，发送文件密钥请求给文件密钥管理系统。
113.6）文件密钥管理系统在接收到文件密钥请求后，根据量子安全u盾的设备id和加密密钥索引，得到本地存储的对称的量子密钥。需说明的是，先根据设备id索引到对应的量子密钥集合（全量），然后根据加密密钥索引从量子密钥集合中确定对应的一个对称的量子密钥。文件密钥管理系统根据该量子密钥对文件加密密钥请求密文报文进行解密，并进行请求的正确性和合法性校验，从而进一步提高安全性。
114.7）在校验通过后，文件密钥管理系统根据文件标识在文件密钥管理系统中检索对应的文件加密密钥（明文），并使用该文件加密密钥解密已加密的属性数据。接着根据属性数据及预设规则进行策略判断，以判断请求方是否具有获取明文文件加密密钥权限。若请求方具有获取明文文件加密密钥权限时，则可以返回该明文文件加密密钥。文件密钥管理系统使用本地存储的量子密钥集合所提供的量子密钥，对明文文件加密密钥进行加密，以得到文件加密密钥密文。接着，文件密钥管理系统通过使用本地预存的量子密钥，对文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引进行加密，以得到文件加密密钥响应密文报文。需注意的是，此时使用的量子密钥不同于对明文文件加密密钥加密时所使用的量子密钥。然后，文件密钥管理系统发送文件密钥响应给应用终端，其中文件密钥响应包括文件加密密钥响应密文报文和与该文件加密密钥响应密文报文对应的加密密钥索引。而若请求方不具有获取明文文件加密密钥权限时，则不返回文件加密密钥。
115.8）应用终端接收到文件密钥响应后，发送解密文件密钥请求至量子安全u盾。量子安全u盾接收到解密文件密钥请求，所述解密文件密钥请求包含文件加密密钥响应密文报文、量子安全u盾的设备标识和加密密钥索引。量子安全u盾根据加密密钥索引，得到相应的对称的量子密钥，并且根据该量子密钥，解密文件加密密钥响应密文报文，以得到明文文件加密密钥响应报文，并且返回给应用终端。当应用终端接收到明文文件加密密钥响应报文时，对该报文进行正确性和合法性进行校验，若有权限的情况下，可以解析得到文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引。若无权限的情况下，只能解析得到无
权获取密钥的结果。
116.9）应用终端发送文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引给量子安全u盾。量子安全u盾根据与文件加密密钥密文对应的加密密钥索引，得到相应的量子密钥，并根据该量子密钥对文件加密密钥密文进行解密，以得到明文文件加密密钥，并返回所述移动存储介质的针对文件加密密钥密文的响应。该明文文件加密密钥保存在量子安全u盾内。
117.10）应用终端发送加密文件至量子安全u盾。在一些实施例中，量子安全u盾根据保存的明文文件加密密钥，对加密文件中的属性数据进行解密，并基于属性数据中的解密策略属性数据，判断请求方是否具有解密文件权限，若判断出请求方不具有解密文件权限时，删除移动存储介质明文文件加密密钥，这样保证加密文件的解密权限。
118.11）若应用终端判断出请求方是否具有解密文件权限，则量子安全u盾使用明文文件加密密钥继续解密加密文件，以得到解密文件（明文），并对解密文件进行正确性校验。而在一些实施例中，若加密文件不包含属性数据，则量子安全u盾根据保存的明文文件加密密钥，对加密文件直接进行解密，以得到解密文件。
119.12）文件解密完成后，应用终端通知量子安全u盾删除明文文件加密密钥。这样，量子安全u盾和应用终端均不会持有明文文件加密密钥，以提高安全性。
120.至此，所述基于量子密钥的文件加密方法完成上述的三部分：量子密钥分发及充注、文件加密密钥生成及文件加密、密文文件解密。
121.在执行上述步骤的过程中，对文件加解密采用文件密钥管理系统和应用终端的双重策略控制，一方面是文件加密密钥的生成和下发策略由文件密钥管理系统维护和执行，即应用终端向文件密钥管理系统请求文件加密密钥时，文件密钥管理系统根据应用终端所属的机构部门、文件类型、黑白名单等策略判断是否下发文件加密密钥给应用终端；一方面是文件的加密和解密策略由应用终端维护和执行，即创建加密文件时，应用终端向文件密钥管理系统申请获得文件加密密钥后，对文件进行加密时，创建者可以设定私有解密策略，例如可以细粒度指定特定的一个或多个用户或机构部门拥有解密阅读权限。文件解密时应用终端向文件密钥管理系统申请获得文件加密密钥后，需先解密文件创建者赋予加密文件的属性数据并进行私有解密策略判断，若判断出使用者没有权限，则应用终端拒绝解密文件内容。
122.通过使用双重策略控制，不仅可以实现文件密钥管理系统可以不需要维护庞大的策略，只需配置基础的系统级策略，降低系统维护压力；而且可以实现将细粒度的私有解密策略交由文件创建者定义，每个文件都可以有单独的策略，具有很强的灵活性。
123.所述基于量子密钥的文件加密方法也可以运行于存在终端设备和文件密钥管理系统的场景中。在该场景中的，终端设备（例如应用终端10）具有移动存储介质（例如量子安全u盾30）的功能，且终端设备预存与文件密钥管理系统20对称的量子密钥集合（多个量子密钥）。
124.在这种情况下，所述基于量子密钥的文件加密方法应用于终端设备。如图19所示，所述方法包括：步骤s510，发送认证接入请求至文件密钥管理系统，并接收来自于文件密钥管理系统的认证接入请求响应；其中，文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；步骤s520，发送文件密钥生成请求至文件密钥管理系统，并接收来自于文件
密钥管理系统的文件密钥生成请求响应，其中所述文件密钥生成请求响应包含文件加密密钥和文件标识；步骤s530，基于文件加密密钥和文件标识，对待加密文件执行加密操作，以得到加密文件；步骤s540，响应于针对加密文件的开启操作，基于文件标识，发送文件密钥查询请求至文件密钥管理系统，并接收来自于文件密钥管理系统的文件密钥查询请求响应，其中所述文件密钥查询请求响应包含文件加密密钥；步骤s550，基于所得到的文件加密密钥，解密加密文件。
125.通过执行上述步骤s510至步骤s550，可以实现对明文文件进行加密，或对加密文件进行解密。
126.以下将终端设备以应用终端为例，移动存储介质以量子安全u盾为例并结合图20所示，进一步描述上述步骤。
127.1）应用终端获取量子密钥。
128.2）应用终端通过量子密钥认证并接入文件密钥管理系统。
129.3）应用终端向文件密钥管理系统请求为一个待加密文件分配文件id及文件加密密钥。
130.4）文件密钥管理系统分配文件id并生成对应的文件加密密钥，并返回给应用终端。
131.5）应用终端获得文件id及文件加密密钥，对待加密文件进行加密并封装文件id等相关文件信息，以得到加密文件。
132.6）应用终端需要打开加密文件时，根据文件id向文件密钥管理系统申请文件加密密钥。
133.7）文件密钥管理系统根据文件id及相关属性信息，并依据预设的策略进行策略判断，并根据判断结果返回文件加密密钥。
134.8）应用终端收到文件加密密钥后，解密文件属性数据并判断解密策略，确认允许解密后，对加密文件进行解密，并对解密后的明文文件进行正确性校验。若校验通过，则得到明文的解密文件。
135.本技术在执行上述所述基于量子密钥的文件加密方法时，使用对称密钥算法，并通过量子密钥分发网络在终端设备和文件密钥管理系统之间安全分发对称密钥。终端设备与文件密钥管理系统的交互过程中的每个报文均使用不同的量子密钥进行加密，量子密钥之间无任何相关性，这样可以达到接近“一次一密”信息论安全的效果，以降低传统依赖非对称密钥算法可能被未来的量子计算破解的可能。此外，在执行上述所述基于量子密钥的文件加密方法时，文件加密密钥和文件数据分离，分别由文件密钥管理系统和终端设备进行管理，若单个系统被入侵，则不会导致文件信息的泄漏，以进一步提升安全性。此外，在执行上述所述基于量子密钥的文件加密方法时，支持对海量文件进行细粒度加密保护，每个文件均使用不相关联的文件加密密钥进行加密保护，并且可设置私有解密策略，单个文件被破解而不会影响到其它文件的安全性。
136.为了更好地实施以上方法，本技术的一实施例提供了一种基于量子密钥的文件加密装置。如图21所示，所述基于量子密钥的文件加密装置1000包括：报文加密收发模块1100、密钥请求收发模块1200、解密报文收发模块1300、解析模块1400、解密密钥收发模块1500、文件加密收发模块1600。
137.具体地，报文加密收发模块1100，用于发送文件加密密钥请求至移动存储介质，并接收来自于所述移动存储介质的文件加密密钥请求响应，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文，所述文件加密密钥请求响应包含文件加密密钥请求密文报文、移动存储介质的设备标识和加密密钥索引。
138.密钥请求收发模块1200，用于针对文件加密密钥请求密文报文，发送文件密钥请求至文件密钥管理系统，并接收来自于所述文件密钥管理系统的文件密钥响应，其中文件密钥响应包含文件密钥响应报文、移动存储介质的设备标识和加密密钥索引，所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接。
139.解密报文收发模块1300，用于针对文件密钥响应报文，发送解密文件密钥请求至所述移动存储介质，并接收来自于所述移动存储介质的解密文件密钥请求响应，以得到明文文件加密密钥响应报文。
140.解析模块1400，用于基于明文文件加密密钥响应报文，解析得到文件加密密钥密文和文件标识。
141.解密密钥收发模块1500，用于发送文件加密密钥密文至所述移动存储介质，并接收来自于所述移动存储介质的针对文件加密密钥密文的响应；其中所述移动存储介质基于文件加密密钥密文得到明文文件加密密钥。
142.文件加密收发模块1600，用于发送待加密文件至移动存储介质，并接收移动存储介质返回的基于明文文件加密密钥所生成的加密文件。
143.在该实施例中，所述基于量子密钥的文件加密装置1000还用于发送加密认证请求至移动存储介质，并接收来自于移动存储介质的加密认证请求响应，其中所述加密认证请求包含明文认证请求报文；所述加密认证请求响应包含认证请求密文报文、移动存储介质的设备标识和加密密钥索引；针对认证请求密文报文，发送认证请求至文件密钥管理系统，并接收来自于所述文件密钥管理系统的认证响应，其中认证响应包含认证响应报文、加密密钥索引；针对认证响应报文，发送解密认证响应请求至所述移动存储介质，并接收来自于所述移动存储介质的解密认证响应请求的响应，以得到明文认证响应报文。
144.或者，所述基于量子密钥的文件加密装置1000还用于发送文件加密密钥删除指令至移动存储介质；接收来自于移动存储介质的针对文件加密密钥删除指令的响应。
145.或者，所述基于量子密钥的文件加密装置1000还用于发送针对待加密文件的属性数据至所述移动存储介质，其中所述属性数据用于指示对加密文件的解密策略。
146.或者，所述基于量子密钥的文件加密装置1000还用于发送文件加密密钥请求至移动存储介质，并接收来自于所述移动存储介质的文件加密密钥请求响应，其中所述文件加密密钥请求包含针对加密文件的明文文件加密密钥请求报文，所述文件加密密钥请求响应包含文件加密密钥请求密文报文、移动存储介质的设备标识和加密密钥索引；针对文件加密密钥请求密文报文，发送文件密钥请求至文件密钥管理系统，并接收来自于所述文件密钥管理系统的文件密钥响应，其中文件密钥请求包含文件标识，文件密钥响应包含文件密钥响应报文、移动存储介质的设备标识和加密密钥索引；针对文件密钥响应报文，发送解密文件密钥请求至所述移动存储介质，并接收来自于所述移动存储介质的解密文件密钥请求响应，以得到明文文件加密密钥响应报文；基于明文文件加密密钥响应报文，解析得到文件加密密钥密文；发送文件加密密钥密文至所述移动存储介质，并接收来自于所述移动存储
介质的针对文件加密密钥密文的响应；其中所述移动存储介质基于文件加密密钥密文得到明文文件加密密钥；发送加密文件至移动存储介质，并接收移动存储介质返回的基于明文文件加密密钥所生成的解密文件。
147.或者，所述基于量子密钥的文件加密装置1000还用于接收移动存储介质返回的属性数据，其中所述属性数据是移动存储介质对加密文件中的加密属性数据解密而得到的；基于属性数据，解析得到解密策略属性数据；基于解密策略属性数据，判断请求方是否具有解密文件权限；若请求方具有解密文件权限，则指示移动存储介质继续解密文件并返回的基于明文文件加密密钥所生成的解密文件；若请求方不具有解密文件权限，则删除移动存储介质明文文件加密密钥。
148.本技术另一实施例还提供了一种基于量子密钥的文件加密装置，用于移动存储介质。如图22所示，所述基于量子密钥的文件加密装置2000包括：明文报文接收模块2100、明文报文加密模块2200、密文报文接收模块2300、第一密钥检索模块2400、密文报文解密模块2500、第二密钥检索模块2600、密文解密模块2700、文件加密模块2800。
149.具体地，明文报文接收模块2100，用于接收来自于终端设备的文件加密密钥请求，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文。明文报文加密模块2200，用于基于预设量子密钥集合所提供的量子密钥，加密明文文件加密密钥请求报文，以得到文件加密密钥请求密文报文，并返回至终端设备。密文报文接收模块2300，用于接收来自于所述终端设备的解密文件密钥请求，所述解密文件密钥请求包含文件加密密钥响应密文报文、移动存储介质的设备标识和加密密钥索引，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接。第一密钥检索模块2400，用于基于移动存储介质的设备标识和加密密钥索引，检索预设的量子密钥集合，以得到相应的量子密钥。密文报文解密模块2500，用于基于所得到相应的量子密钥，解密文件加密密钥响应密文报文，以得到明文文件加密密钥响应报文，并返回至终端设备。第二密钥检索模块2600，用于接收来自于所述终端设备的文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引，并基于加密密钥索引，获得相应的量子密钥。密文解密模块2700，用于基于所得到的相应量子密钥，解密文件加密密钥密文，得到明文文件加密密钥。文件加密模块2800，用于接收所述终端设备所提供的待加密文件，并基于明文文件加密密钥，对待加密文件进行加密，以得到加密文件，并返回至终端设备。
150.在该实施例中，所述基于量子密钥的文件加密装置2000还用于接收来自于所述终端设备的加密认证请求，其中所述加密认证请求包含明文认证请求报文；基于预设量子密钥集合所提供的量子密钥，加密明文认证请求报文，以得到认证请求密文报文；发送加密认证请求响应至终端设备，所述加密认证请求响应包含认证请求密文报文；接收来自于所述终端设备的解密认证响应请求，所述解密认证响应请求包含认证响应报文、加密密钥索引；基于加密密钥索引，检索预设的量子密钥集合，以得到相应的量子密钥；基于所得到相应的量子密钥，解密认证响应报文，以得到明文认证响应报文，并返回至终端设备。
151.或者，所述基于量子密钥的文件加密装置2000还用于接收来自于所述终端设备的文件加密密钥请求，其中所述文件加密密钥请求包含针对加密文件的明文文件加密密钥请求报文；基于预设量子密钥集合所提供的量子密钥，加密明文文件加密密钥请求报文，以得到文件加密密钥请求密文报文，并返回至终端设备；接收来自于所述终端设备的解密文件
密钥请求，所述解密文件密钥请求包含文件加密密钥响应密文报文、移动存储介质的设备标识和加密密钥索引；基于移动存储介质的设备标识和加密密钥索引，检索预设的量子密钥集合，以得到相应的量子密钥；基于所得到相应的量子密钥，解密文件加密密钥响应密文报文，以得到明文文件加密密钥响应报文，并返回至终端设备；接收来自于所述终端设备的文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引，并基于加密密钥索引，获得相应的量子密钥；基于所得到的相应量子密钥，解密文件加密密钥密文，得到明文文件加密密钥；接收所述终端设备所提供的加密文件，并基于明文文件加密密钥，对加密文件进行解密，以得到解密文件，并返回至终端设备。
152.或者，所述基于量子密钥的文件加密装置2000还用于提供移动存储介质的设备标识至量子密钥充注站点；其中所述量子密钥充注站点用于基于移动存储介质的设备标识生成相应的加密后的充注设备信息，以及将加密后的充注信息和移动存储介质的设备标识发送至文件密钥管理系统，并接收文件密钥管理系统的充注响应，以及发送量子密钥分发请求并接收密钥分发响应，以得到量子密钥集合；其中所述量子密钥充注站点通过量子密钥分发网络与文件密钥管理系统已建立认证连接；接收并存储来自于量子密钥充注站点的量子密钥集合，其中所述量子密钥集合包含多个量子密钥。
153.本技术又一实施例还提供了一种基于量子密钥的文件加密装置。如图23所示，所述基于量子密钥的文件加密装置3000包括：密钥请求模块3100、密钥生成模块3200、密文生成模块3300、报文生成模块3400、密钥请求响应模块3500。
154.具体地，密钥请求模块3100，用于接收来自于终端设备的文件密钥生成请求，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接。密钥生成模块3200，用于获取来自于量子随机数发生器所产生的随机数，并作为明文文件加密密钥。密文生成模块3300，用于基于预设的量子密钥集合所提供的量子密钥，对明文文件加密密钥进行加密，以得到文件加密密钥密文。报文生成模块3400，用于基于预设的量子密钥集合所提供的量子密钥，对文件加密密钥密文和文件标识进行加密，以得到文件加密密钥响应密文报文。密钥请求响应模块3500，用于基于文件加密密钥响应密文报文，发送文件密钥响应至终端设备。
155.在该实施例中，所述基于量子密钥的文件加密装置3000还用于接收来自于终端设备的文件加密密钥请求，其中所述文件加密密钥请求包含文件标识；基于文件标识，查询得到预存的明文文件加密密钥；基于预设的量子密钥集合所提供的量子密钥，对明文文件加密密钥进行加密，以得到文件加密密钥密文；基于预设的量子密钥集合所提供的量子密钥，对文件加密密钥密文和文件标识进行加密，以得到文件加密密钥响应密文报文；基于文件加密密钥响应密文报文，发送文件密钥响应至终端设备。
156.或者，所述基于量子密钥的文件加密装置3000还用于接收来自于量子密钥充注站点的充注设备信息；其中所述量子密钥充注站点通过量子密钥分发网络与文件密钥管理系统已建立认证连接；基于充注设备信息，确定充注设备的身份信息；发送充注响应至量子密钥充注站点；在所述量子密钥充注站点发送分发请求至量子密钥分发网络之后，接收来自于所述量子密钥分发网络所推送的量子密钥集合；发送密钥接收响应至所述量子密钥分发网络。
157.本技术所述基于量子密钥的文件加密装置通过上述模块或单元的配合使用，可以
实现所述基于量子密钥的文件加密方法所实现的功能或效果。亦即，所述基于量子密钥的文件加密装置可以实现基于量子密钥分发网络的终端设备和文件密钥管理系统进行安全分发对称密钥，并使用对称密钥建立安全通道，并通过安全通道下发文件加密密钥至终端设备以供加密文件，且基于安全通道按照“一次一密”的方式使用对称密钥，密钥之间无关联性，从而提高文件存储的安全性。此外，本技术所述基于量子密钥的文件加密装置也实现密钥和数据的分离，即文件加密密钥和加密文件分别受不同系统控制，以避免因单方数据泄露而造成文件信息泄露的问题。此外，本技术所述基于量子密钥的文件加密装置也实现文件加解密的双重策略控制，即文件加密密钥的生成和下发策略由文件密钥管理系统控制和执行，而文件的解密策略由应用终端（终端设备）控制执行。
158.此外，在本技术的一实施例中，还提供了一种电子设备5000。上述如图24所示的基于量子密钥的文件加密装置可集成于该电子设备5000中。当电子设备5000为终端设备时，如图21、图22所示的基于量子密钥的文件加密装置也可以集成在该终端设备中。当电子设备5000为服务设备时，如图23所示的基于量子密钥的文件加密装置可以集成在该服务器设备中。电子设备5000的具体功能可参阅上述基于量子密钥的文件加密装置的描述，在此不再赘述。
159.进一步地，电子设备5000可以包括至少一个处理器5100和至少一个存储器5200。本领域技术人员可以理解，图24中所示出的电子设备5000并不构成对电子设备5000的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。其中：处理器5100是电子设备5000的控制中心，通过运行或执行存储在存储器5200内的软件程序和/或模块，以及调用存储在存储器5200内的数据，执行电子设备5000的各种功能和处理数据，从而对电子设备5000进行整体监控。可选的，处理器5100可包括一个或多个处理核心。
160.存储器5200可用于存储软件程序以及模块，处理器5100通过运行存储在存储器5200的软件程序以及模块，从而执行各种功能应用以及数据处理，以实现各种功能，比如：发送认证接入请求至文件密钥管理系统，并接收来自于文件密钥管理系统的认证接入请求响应；其中，文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；发送文件密钥生成请求至文件密钥管理系统，并接收来自于文件密钥管理系统的文件密钥生成请求响应，其中所述文件密钥生成请求响应包含文件加密密钥和文件标识；基于文件加密密钥和文件标识，对待加密文件执行加密操作，以得到加密文件；响应于针对加密文件的开启操作，基于文件标识，发送文件密钥查询请求至文件密钥管理系统，并接收来自于文件密钥管理系统的文件密钥查询请求响应，其中所述文件密钥查询请求响应包含文件加密密钥；基于所得到的文件加密密钥，解密加密文件。
161.又比如：发送文件加密密钥请求至移动存储介质，并接收来自于所述移动存储介质的文件加密密钥请求响应，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文，所述文件加密密钥请求响应包含文件加密密钥请求密文报文、移动存储介质的设备标识和加密密钥索引；针对文件加密密钥请求密文报文，发送文件密钥请求至文件密钥管理系统，并接
收来自于所述文件密钥管理系统的文件密钥响应，其中文件密钥响应包含文件密钥响应报文、移动存储介质的设备标识和加密密钥索引，所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；针对文件密钥响应报文，发送解密文件密钥请求至所述移动存储介质，并接收来自于所述移动存储介质的解密文件密钥请求响应，以得到明文文件加密密钥响应报文；基于明文文件加密密钥响应报文，解析得到文件加密密钥密文和文件标识；发送文件加密密钥密文至所述移动存储介质，并接收来自于所述移动存储介质的针对文件加密密钥密文的响应；其中所述移动存储介质基于文件加密密钥密文得到明文文件加密密钥；发送待加密文件至移动存储介质，并接收移动存储介质返回的基于明文文件加密密钥所生成的加密文件。
162.又比如：接收来自于终端设备的文件加密密钥请求，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文；基于预设量子密钥集合所提供的量子密钥，加密明文文件加密密钥请求报文，以得到文件加密密钥请求密文报文，并返回至终端设备；接收来自于所述终端设备的解密文件密钥请求，所述解密文件密钥请求包含文件加密密钥响应密文报文、移动存储介质的设备标识和加密密钥索引，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；基于移动存储介质的设备标识和加密密钥索引，检索预设的量子密钥集合，以得到相应的量子密钥；基于所得到相应的量子密钥，解密文件加密密钥响应密文报文，以得到明文文件加密密钥响应报文，并返回至终端设备；接收来自于所述终端设备的文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引，并基于加密密钥索引，获得相应的量子密钥；基于所得到的相应量子密钥，解密文件加密密钥密文，得到明文文件加密密钥；接收所述终端设备所提供的待加密文件，并基于明文文件加密密钥，对待加密文件进行加密，以得到加密文件，并返回至终端设备。
163.又比如：接收来自于终端设备的文件密钥生成请求，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；获取来自于量子随机数发生器所产生的随机数，并作为明文文件加密密钥；基于预设的量子密钥集合所提供的量子密钥，对明文文件加密密钥进行加密，以得到文件加密密钥密文；基于预设的量子密钥集合所提供的量子密钥，对文件加密密钥密文和文件标识进行加密，以得到文件加密密钥响应密文报文；基于文件加密密钥响应密文报文，发送文件密钥响应至终端设备。
164.本领域普通技术人员可以理解，上述实施例所述方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于一计算机可读存储
介质中，并由处理器进行加载和执行。
165.为此，本技术实施例提供了一种计算机可读存储介质，其中所述计算机可读存储介质存储有计算机程序，所述计算机程序适于处理器进行加载，以执行本技术任一实施例所述的云密码服务通信方法。例如，该计算机程序可以执行如下步骤：发送认证接入请求至文件密钥管理系统，并接收来自于文件密钥管理系统的认证接入请求响应；其中，文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；发送文件密钥生成请求至文件密钥管理系统，并接收来自于文件密钥管理系统的文件密钥生成请求响应，其中所述文件密钥生成请求响应包含文件加密密钥和文件标识；基于文件加密密钥和文件标识，对待加密文件执行加密操作，以得到加密文件；响应于针对加密文件的开启操作，基于文件标识，发送文件密钥查询请求至文件密钥管理系统，并接收来自于文件密钥管理系统的文件密钥查询请求响应，其中所述文件密钥查询请求响应包含文件加密密钥；基于所得到的文件加密密钥，解密加密文件。
166.或者，该计算机程序可以执行如下步骤：发送文件加密密钥请求至移动存储介质，并接收来自于所述移动存储介质的文件加密密钥请求响应，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文，所述文件加密密钥请求响应包含文件加密密钥请求密文报文、移动存储介质的设备标识和加密密钥索引；针对文件加密密钥请求密文报文，发送文件密钥请求至文件密钥管理系统，并接收来自于所述文件密钥管理系统的文件密钥响应，其中文件密钥响应包含文件密钥响应报文、移动存储介质的设备标识和加密密钥索引，所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；针对文件密钥响应报文，发送解密文件密钥请求至所述移动存储介质，并接收来自于所述移动存储介质的解密文件密钥请求响应，以得到明文文件加密密钥响应报文；基于明文文件加密密钥响应报文，解析得到文件加密密钥密文和文件标识；发送文件加密密钥密文至所述移动存储介质，并接收来自于所述移动存储介质的针对文件加密密钥密文的响应；其中所述移动存储介质基于文件加密密钥密文得到明文文件加密密钥；发送待加密文件至移动存储介质，并接收移动存储介质返回的基于明文文件加密密钥所生成的加密文件。
167.或者，该计算机程序可以执行如下步骤：接收来自于终端设备的文件加密密钥请求，其中所述文件加密密钥请求包含针对待加密文件的明文文件加密密钥请求报文；基于预设量子密钥集合所提供的量子密钥，加密明文文件加密密钥请求报文，以得到文件加密密钥请求密文报文，并返回至终端设备；接收来自于所述终端设备的解密文件密钥请求，所述解密文件密钥请求包含文件加密密钥响应密文报文、移动存储介质的设备标识和加密密钥索引，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；基于移动存储介质的设备标识和加密密钥索引，检索预设的量子密钥集合，以得
到相应的量子密钥；基于所得到相应的量子密钥，解密文件加密密钥响应密文报文，以得到明文文件加密密钥响应报文，并返回至终端设备；接收来自于所述终端设备的文件加密密钥密文和与文件加密密钥密文对应的加密密钥索引，并基于加密密钥索引，获得相应的量子密钥；基于所得到的相应量子密钥，解密文件加密密钥密文，得到明文文件加密密钥；接收所述终端设备所提供的待加密文件，并基于明文文件加密密钥，对待加密文件进行加密，以得到加密文件，并返回至终端设备。
168.或者，该计算机程序可以执行如下步骤：接收来自于终端设备的文件密钥生成请求，其中所述文件密钥管理系统通过量子密钥分发网络与终端设备已认证连接；获取来自于量子随机数发生器所产生的随机数，并作为明文文件加密密钥；基于预设的量子密钥集合所提供的量子密钥，对明文文件加密密钥进行加密，以得到文件加密密钥密文；基于预设的量子密钥集合所提供的量子密钥，对文件加密密钥密文和文件标识进行加密，以得到文件加密密钥响应密文报文；基于文件加密密钥响应密文报文，发送文件密钥响应至终端设备。
169.以上各个操作的具体实施可参见前面的实施例，在此不再赘述。其中，该计算机可读存储介质可以包括：只读存储器（rom，read only memory）、随机存取记忆体（ram，random access memory）、磁盘或光盘等。
170.由于该计算机可读存储介质中所存储的指令，可以执行本技术任一实施例所提供的一种基于量子密钥的文件加密方法中的步骤，因此，可以实现本技术任一实施例所提供的一种基于量子密钥的文件加密方法所能实现的有益效果，详见前面的实施例，在此不再赘述。
171.以上对本技术实施例所提供的一种基于量子密钥的文件加密方法、装置、电子设备及计算机可读存储介质进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的技术方案及其核心思想；本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例的技术方案的范围。