量子通信系统网络拓扑结构、量子密钥分发方法及系统与流程

1.本发明涉及量子通信技术领域，具体涉及一种量子通信系统网络拓扑结构、量子密钥分发方法及系统。


背景技术：

2.量子通信系统一般由量子密钥分发管理设备、量子密钥管理设备、量子密钥分发（quantum key distribution，简称qkd）设备组成，其中，量子密钥分发管理设备负责量子密钥分发流程的控制，量子密钥分发设备通过bb84协议生成所需的量子密钥并存储在量子密钥管理设备中，量子密钥管理设备负责量子密钥的存储、应用、更新、销毁等密钥生命周期的管理。
3.现有的量子通信系统的网络拓扑如图1所示，量子密钥分发管理设备通过经典信道与量子密钥管理设备连接，量子密钥管理设备通过本地网络与量子密钥分发设备连接，量子密钥分发设备之间分别通过量子信道与经典信道进行连接。该方案存在以下缺陷：（1）认证密钥分发、量子密钥分发、量子密钥分发开始及停止指令使用同一接口，由于认证密钥及量子密钥属于关键敏感参数，安全性较差；（2）认证密钥由量子密钥分发管理设备通过算法生成，容易被破解，安全性较差；（3）量子密钥分发开始指令与量子密钥分发停止指令通过量子密钥管理设备转发，增加了指令的路径复杂度，逻辑结构不清晰。


技术实现要素：

4.本发明实施例提供了一种量子通信系统网络拓扑结构、量子密钥分发方法及系统，用以解决现有技术存在的缺陷。
5.为了实现上述目的，第一方面，本发明实施例提供的量子通信系统网络拓扑结构包括量子密钥分发管理设备、至少2个量子密钥管理设备及至少2个量子密钥分发设备，其中：量子密钥分发管理设备与各个量子密钥分发设备之间均建立有通信信道。
6.量子密钥分发管理设备通过所述通信信道分别向各个量子密钥分发设备发送量子密钥分发开始指令及量子密钥分发停止指令。
7.基于已存储的量子密钥集合，各个量子密钥管理设备之间协商用作认证密钥的量子密钥。
8.各个量子密钥管理设备与对应连接的量子密钥分发设备之间仅发送认证密钥及量子密钥。
9.第二方面，本发明实施例提供的基于第一方面所述的量子通信系统网络拓扑结构的量子密钥分发方法包括以下步骤：s101，通过预设的通信信道，接收量子密钥分发管理设备发送的量子密钥分发开始指令。
10.s102，分别向各个量子密钥管理设备发送认证密钥获取指令。
11.s103，接收各个所述量子密钥管理设备发送的认证密钥，向所述量子密钥分发管理设备发送量子密钥分发开始响应。
12.s104，基于认证密钥与接收端的量子密钥分发设备进行认证。
13.s105，认证通过后，通过量子信道向接收端的量子密钥分发设备发送量子比特信号。
14.s106，将所述量子比特信号转换为量子通信系统所需的量子密钥。
15.s107，分别向各个所述量子密钥管理设备发送所述量子密钥。
16.s108，重复步骤s105-s107，直至接收到所述量子密钥分发管理设备发送的量子密钥分发停止指令。
17.优选地，在分别向各个量子密钥管理设备发送认证密钥获取指令之后，所述方法还包括：基于已存储的量子密钥集合，各个所述量子密钥管理设备之间协商并确定认证密钥。
18.优选地，将所述量子比特信号转换为所需的量子密钥包括：基于bb84协议，对所述量子比特信号进行编码，生成量子通信系统所需的量子密钥。
19.优选地，在接收到所述量子密钥分发管理设备发送的量子密钥分发停止指令之后，所述方法还包括：向所述量子密钥分发管理设备发送量子密钥分发停止响应。
20.第三方面，本发明实施例提供的量子密钥分发系统包括：接收模块，被配置为通过预设的通信信道，接收量子密钥分发管理设备发送的量子密钥分发开始指令。
21.发送模块，被配置为分别向各个量子密钥管理设备发送认证密钥获取指令。
22.所述接收模块，还被配置为接收各个所述量子密钥管理设备发送的认证密钥，向所述量子密钥分发管理设备发送量子密钥分发开始响应。
23.认证模块，被配置为基于认证密钥进行量子密钥分发设备间的认证，认证通过后，通过量子信道向接收端的量子密钥分发设备发送量子比特信号。
24.转换模块，被配置为将所述量子比特信号转换为量子通信系统所需的量子密钥。
25.所述发送模块，还被配置为分别向各个所述量子密钥管理设备发送所述量子密钥。
26.第四方面，本发明实施例提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行上述第二方面所述的方法。
27.第五方面，本发明实施例提供了一种电子设备，所述电子设备包括：处理器；用于存储所述处理器可执行指令的存储器；所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现上述第二方面所述的方法。
28.本发明实施例提供的量子通信系统网络拓扑结构、量子密钥分发方法及系统具有
以下有益效果：（1）通过更改量子密钥分发开始与停止指令的路径，避免了认证密钥分发、量子密钥分发、量子密钥分发开始及停止指令使用同一个通信信道，提高了通信的安全性；（2）实现了量子密钥分发开始指令与密钥分发停止指令直接发送到量子密钥分发设备，降低了指令的路径复杂度，逻辑结构清晰；（3）通过量子密钥管理设备之间协商确定的量子密钥来代替认证密钥，通信的安全性较高。
附图说明
29.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
30.图1为现有量子通信系统网络拓扑结构示意图。
31.图2为现有量子密钥分发方法信令流程示意图。
32.图3为本发明实施例提供的量子通信系统网络拓扑结构示意图。
33.图4为本发明实施例提供的量子密钥分发方法流程示意图。
34.图5为本发明实施例提供的量子密钥分发方法信令流程示意图。
35.图6为本发明实施例提供的量子密钥分发系统结构示意图。
36.图7为本发明实施例提供的电子设备的结构示意图。
具体实施方式
37.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
38.实施例1如图1所示的现有网络拓扑结构的量子通信系统，其量子密钥分发流程如图2所示，具体步骤如下：s101，量子密钥分发管理设备分别向量子密钥管理设备a与量子密钥管理设备b发送携带认证密钥的量子密钥分发开始指令，其中，该认证密钥由量子密钥分发管理设备根据量子密钥管理设备a与量子密钥管理设备b的id计算得到。
39.s102，量子密钥管理设备a向量子密钥分发设备a转发量子密钥分发开始指令及该认证密钥，量子密钥管理设备b向量子密钥分发设备b转发密钥分发开始指令及该认证密钥。
40.s103，量子密钥分发设备a向量子密钥管理设备a发送密钥分发开始响应，量子密钥分发设备b向量子密钥管理设备b发送量子密钥分发开始响应。
41.s104，量子密钥管理设备a与量子密钥管理设备b分别向量子密钥分发管理设备转发量子密钥分发设备a与量子密钥分发设备b发送的量子密钥分发开始响应并基于该认证
密钥，量子密钥分发设备a与量子密钥分发设备b之间进行认证。
42.s105，通过量子信道，量子密钥分发设备a向量子密钥分发设备b发送量子比特信号。
43.s106，基于该量子比特信号，量子密钥分发设备a与量子密钥分发设备b之间经过基矢比对、数据处理后生成所需的量子密钥。
44.s107，量子密钥分发设备a向量子密钥管理设备a发送该量子密钥，同时，量子密钥分发设备b向量子密钥管理设备b该发送量子密钥。量子密钥管理设备a与量子密钥管理设备b经过比对后存储该量子密钥。
45.s108，重复上述步骤s105-s107，直至量子密钥分发管理设备分别向量子密钥管理设备a及量子密钥管理设备b发送量子密钥分发停止指令。
46.s109，量子密钥管理设备a向量子密钥分发设备a转发量子密钥分发停止指令，量子密钥管理设备b向量子密钥分发设备b转发量子密钥分发停止指令。
47.s1010，量子密钥分发设备a向量子密钥管理设备a发送该量子密钥分发停止响应，量子密钥分发设备b向量子密钥管理设备b发送该量子密钥分发停止响应。
48.s1011，量子密钥管理设备a与量子密钥管理设备b分别向量子密钥分发管理设备转发该密钥分发停止响应。
49.实施例2如图3所示，本发明实施例提供的量子通信系统网络拓扑结构包括量子密钥分发管理设备、至少2个量子密钥管理设备及至少2个量子密钥分发设备，其中：量子密钥分发管理设备与各个量子密钥分发设备之间均建立有通信信道。
50.具体地，该通信信道为经典信道，通过该通信信道，量子密钥分发管理设备与各个量子密钥分发设备可以通过有线或无线方式进行通信。更改了密钥分发开始与停止指令的路径，避免了认证密钥分发、量子密钥分发、量子密钥分发开始及停止指令使用同一个通信信道，提高了通信的安全性，实现了密钥分发开始指令与密钥分发停止指令直接发送到量子密钥分发设备，降低了指令的路径复杂度，逻辑结构清晰。
51.一个量子密钥分发管理设备对应连接至少2个量子密钥分发设备。
52.量子密钥分发管理设备通过所述通信信道分别向各个量子密钥分发设备发送量子密钥分发开始指令及量子密钥分发停止指令。
53.基于已存储的量子密钥集合，各个量子密钥管理设备之间协商用作认证密钥的量子密钥。
54.具体地，各个量子密钥管理设备从已存储的量子密钥集合中选择并确定一个量子密钥作为认证密钥。
55.通过量子密钥管理设备之间协商确定的量子密钥来代替认证密钥，通信的安全性较高。
56.各个量子密钥管理设备向对应连接的量子密钥分发设备仅发送认证密钥及量子密钥。
57.具体地，一个量子密钥管理设备对应连接至少1个量子密钥分发设备。
58.实施例3如图4所示，本发明实施例提供的基于实施例2所述的量子通信系统网络拓扑结构
的量子密钥分发方法，执行主体为发送端的量子密钥分发设备，包括以下步骤：s201，通过预设的通信信道，接收量子密钥分发管理设备发送的量子密钥分发开始指令。
59.s202，分别向各个量子密钥管理设备发送认证密钥获取指令。
60.s203，接收各个所述量子密钥管理设备发送的认证密钥，向所述量子密钥分发管理设备发送量子密钥分发开始响应。
61.s204，基于该认证密钥，与接收端的量子密钥分发设备进行认证。
62.s205，认证通过后，通过量子信道向接收端的量子密钥分发设备发送量子比特信号。
63.s206，将所述量子比特信号转换为量子通信系统所需的量子密钥。
64.具体地，量子密钥分发设备基于bb84协议，对该量子比特信号进行编码，生成量子通信系统所需的量子密钥。编码方式包括偏振编码、相位编码等。
65.s207，分别向各个所述量子密钥管理设备发送所述量子密钥。
66.s208，重复步骤s205-s207，直至接收到所述量子密钥分发管理设备发送的量子密钥分发停止指令。
67.可选地，在步骤s208之后，各个量子密钥分发设备分别向所述量子密钥分发管理设备发送量子密钥分发停止响应。
68.实施例4如图5所示，本发明实施例提供的基于实施例2所述的量子通信系统网络拓扑结构的量子密钥分发方法具体包括以下步骤：s301，量子密钥分发管理设备分别向量子密钥分发设备c与量子密钥分发d发送量子密钥分发开始指令。
69.s302，量子密钥分发设备c向量子密钥管理设备c发送获取认证密钥指令，量子密钥分发设备d向量子密钥管理设备d发送获取认证密钥指令。
70.s303，量子密钥管理设备c与量子密钥管理设备d协商并确定用作认证密钥的量子密钥，并分别向量子密钥分发设备c与量子密钥分发设备d发送认证密钥。
71.s304，量子密钥分发设备c与量子密钥分发设备d分别向量子密钥分发管理设备发送量子密钥分发开始响应并基于认证密钥与接收端的量子密钥分发设备进行认证。
72.s305，认证通过后，量子密钥分发设备c向量子密钥分发设备d通过量子信道发送量子比特信号。
73.s306，量子密钥分发设备c与量子密钥分发设备d之间经过基矢比对、数据处理后生成所需的量子密钥。
74.s307，量子密钥分发设备c向量子密钥管理设备c发送该量子密钥，同时，量子密钥分发设备d向量子密钥管理设备d发送该量子密钥，量子密钥管理设备c与量子密钥管理设备d经过比对其各自接收到的量子密钥后存储该量子密钥。
75.s308，重复步骤s305-s307，直至量子密钥分发管理设备分别向量子密钥分发设备c与量子密钥分发设备d发送量子密钥分发停止指令。
76.s309，量子密钥分发设备c与量子密钥分发设备d分别向量子密钥分发管理设备发送量子密钥分发停止响应。
77.实施例5如图6所示，本发明实施例提供的基于实施例2所述的量子通信系统的量子密钥分发系统，执行主体为发送端的量子密钥分发设备，具体包括以下模块：接收模块，被配置为通过预设的通信信道，接收量子密钥分发管理设备发送的分发开始指令。
78.发送模块，被配置为分别向各个量子密钥管理设备发送认证密钥获取指令。
79.所述接收模块，还被配置为接收各个所述量子密钥管理设备发送的认证密钥，向所述量子密钥分发管理设备发送量子密钥分发开始响应。
80.认证模块，被配置为认证模块，被配置为基于认证密钥进行量子密钥分发设备间的认证，认证通过后，通过量子信道向接收端的量子密钥分发设备发送量子比特信号。
81.转换模块，被配置为将所述量子比特信号转换为量子通信系统所需的量子密钥。
82.所述发送模块，还被配置为分别向各个所述量子密钥管理设备发送所述量子密钥。
83.实施例6图7是本发明一示例性实施例提供的电子设备的结构。如图7所示，该电子设备可以是第一设备和第二设备中的任一个或两者、或与它们独立的单机设备，该单机设备可以与第一设备和第二设备进行通信，以从它们接收所采集到的输入信号。图7图示了根据本发明公开实施例的电子设备的框图。如图7所示，电子设备包括一个或多个处理器401和存储器402。
84.处理器401可以是中央处理单元（cpu）或者具有渗透数据处理能力和/或指令执行能力的其他形式的处理单元，并且可以控制电子设备中的其他组件以执行期望的功能。
85.存储器402可以包括一个或多个计算机程序产品，所述计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器（ram）和/或高速缓冲存储器（cache）等。所述非易失性存储器例如可以包括只读存储器（rom）、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令，处理器401可以运行所述程序指令，以实现上文所述的被公开的各个实施例的软件程序的对历史变更记录进行信息挖掘的方法以及/或者其他期望的功能。在一个示例中，电子设备还可以包括：输入装置403和输出装置404，这些组件通过总线系统和/或其他形式的连接机构（未示出）互连。
86.此外，该输入装置403还可以包括例如键盘、鼠标等等。
87.该输出装置404可以向外部输出各种信息。该输出设备404可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
88.当然，为了简化，图7中仅示出了该电子设备中与本发明公开有关的组件中的一些，省略了诸如总线、输入/输出接口等等的组件。除此之外，根据具体应用情况，电子设备还可以包括任何其他适当的组件。
89.实施例7除了上述方法和设备以外，本发明公开的实施例还可以是计算机程序产品，其包括计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本发明公开各种实施例的渗透数据标注、封装及获取
方法中的步骤。
90.所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本发明公开实施例操作的程序代码，所述程序设计语言包括面向对象的程序设计语言，诸如java、c 等，还包括常规的过程式程序设计语言，诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
91.此外，本发明公开的实施例还可以是计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本发明公开各种实施例的渗透数据标注、封装及获取方法中的步骤。
92.所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器（ram）、只读存储器（rom）、可擦式可编程只读存储器（eprom或闪存）、光纤、便携式紧凑盘只读存储器（cd-rom）、光存储器件、磁存储器件、或者上述的任意合适的组合。
93.以上结合具体实施例描述了本发明公开的基本原理，但是，需要指出的是，在本发明公开中提及的优点、优势、效果等仅是示例而非限制，不能认为这些优点、优势、效果等是本发明公开的各个实施例必须具备的。另外，上述公开的具体细节仅是为了示例的作用和便于理解的作用，而非限制，上述细节并不限制本发明公开为必须采用上述具体的细节来实现。
94.本说明书中各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言，由于其与方法实施例基本对应，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
95.本发明公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的，可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具 有”等等的词语是开放性词汇，指“包括但不限于”，且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”，且可与其互换使用，除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”，且可与其互换使用。
96.可能以许多方式来实现本发明公开的方法和装置。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明公开的方法和装置。用于所述方法的步骤的上述顺序仅是为了进行说明，本发明公开的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明公开实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明公开的方法的机器可读指令。因而，本发明公开还覆盖存储用于执行根据本发明公开的方法的程序的记录介质。
97.还需要指出的是，在本发明公开的装置、设备和方法中，各部件或各步骤是可以分
解和/或重新组合的。这些分解和/或重新组合应视为本发明公开的等效方案。提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本发明公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的，并且在此定义的一般原理可以应用于其他方面而不脱离本发明公开的范围。因此，本发明公开不意图被限制到在此示出的方面，而是按照与在此公开的原理和新颖的特征一致的最宽范围。
98.为了例示和描述的目的已经给出了以上描述。此外，此描述不意图将本发明公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例，但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
99.可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。
100.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。
101.需要说明的是，上述实施例不以任何形式限制本发明，凡采用等同替换或等效变换的方式所获得的技术方案，均落在本发明的保护范围内。