CN111934871A - 量子密钥管理服务核心网、系统及量子密钥协商方法 - Google Patents
量子密钥管理服务核心网、系统及量子密钥协商方法 Download PDFInfo
- Publication number
- CN111934871A CN111934871A CN202011011019.8A CN202011011019A CN111934871A CN 111934871 A CN111934871 A CN 111934871A CN 202011011019 A CN202011011019 A CN 202011011019A CN 111934871 A CN111934871 A CN 111934871A
- Authority
- CN
- China
- Prior art keywords
- quantum key
- management service
- key management
- quantum
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种量子密钥管理服务核心网、系统及量子密钥协商方法。本发明提供的量子密钥管理服务核心网,构建在QKD网络之上的量子密钥管理层,其解耦合了在线量子密钥分发时量子密钥生成/分发层与量子密钥应用层的紧耦合,并实现在线/离线量子密钥服务的融合。其中的量子密钥管理服务节点的域内可以实现通信自治;量子密钥管理服务节点间通过量子密钥管理服务中心实现的跨域通信,实现全域任意两点间密钥应用设备的量子密钥协商。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于量子密钥技术的量子密钥管理服务核心网、系统及量子密钥协商方法。
背景技术
超级计算机的概念从1929年被提及,至今已发展了将近一个世纪。超级计算机的计算能力更是随着各个学科的发展不断进步,目前计算速度已经突破亿亿级。随着计算机能力的提升,传统的对称加密算法的薄弱性也体现出来,比如,DES算法的密钥存在被破解的风险。同时,随着量子计算机的发展,很多机构已经研究出各类量子计算机。可以预见的,量子计算机的计算机能力进一步增加了对称密钥被破解的风险。从当前各项技术的发展趋势看,现有建立的安全体系将逐渐不再适用,世界亟需一种新的技术来保障信息传递的安全。
一些大型企业、行业组织、乃至国家均在信息安全领域投入大量研究,催生出各类方法,而基于量子密钥技术的量子通信是其中的佼佼者。量子密钥分发(Quantum KeyDistribution,简称QKD)技术是近几十年发展起来的新型技术,是量子论与信息论相互结合后的产物。在应用领域,一般使用量子网关通过量子信道在两个用户端生成对称的量子密钥并用于加密两端的通信数据,保证数据通信的安全。QKD技术是现有惟一可达香农提出“绝对安全”的方法。
量子保密通信QKD网络,包括骨干网、城域网在不断快速发展。在广域量子通信QKD网络基础上,能够提供全网广覆盖的密钥基础设施能力,解决密钥孤岛问题,提供统一的密钥服务,对于量子保密通信的发展及量子密钥应用产业化落地有积极推动作用。目前基于QKD网络的量子保密通信的量子密钥管理服务,主要有如下两种模式:在线量子密钥分发模式和离线量子密钥分发模式。
请一并参阅图1-图2,其中,图1为现有在线量子密钥分发模式架构示意图,图2为现有离线量子密钥分发模式架构示意图。
如图1所示,在线量子密钥分发模式,可实现QKD网络内任意两点间密钥应用设备(在线的密钥应用设备)的在线密钥协商;两点间密钥分发信息理论安全,借助QKD网络可实现长距离密钥安全分发。但量子密钥应用设备和量子密钥生成/分发层的量子密钥分发器(QKD)有线连接,密钥应用受限于有线固网,无法为离线的密钥应用设备提供服务。
如图2所示,离线量子密钥分发模式,其基于单中心孤岛方式,继承QKD网络密钥安全分发特性;其增设量子随机数发生器(Quantum Random Number Generator,简称QRNG),实现离线量子密钥分发,拓展了离线密钥应用。两点间密钥应用设备(离线的密钥应用设备)之间基于离线量子密钥协商量子会话密钥。但是各个单中心孤岛无法互通,无法实现任意两点间的量子会话密钥协商,容易形成密钥管理孤岛,无法实现多个量子密钥管理服务系统间互通。
由于在线量子密钥分发模式和离线量子密钥分发模式,在不同层次进行密钥管理及对应用提供密钥服务,因此两种模式只能组合使用。这种组合使用方式组网复杂,无法实现密钥管理及服务的融合。
目前基于QKD的量子保密通信主要基于有线网络。如何突破有线固网限制将量子密钥技术应用到离线领域并解决密钥孤岛问题、实现量子密钥基础设施能力、提供统一的量子密钥服务、实现广覆盖和灵活的量子密钥服务能力,成为量子保密通信发展的迫切需求。
发明内容
本发明的目的在于,提供一种量子密钥管理服务核心网、系统及量子密钥协商方法,可以突破有线固网限制将量子密钥技术应用到离线领域并解决密钥孤岛问题、实现量子密钥基础设施能力、提供统一的量子密钥服务、实现广覆盖和灵活的量子密钥服务能力。
为实现上述目的,本发明提供了一种量子密钥管理服务核心网,所述量子密钥管理服务核心网包括:位于同一区域内的一量子密钥管理服务中心、以及多个量子密钥管理服务节点;所述量子密钥管理服务中心,分别与本区域内的每一所述量子密钥管理服务节点相连、并与相应量子密钥分发器相连,用于为所述量子密钥管理服务节点及其对接的密钥应用设备提供信息管理;所述量子密钥管理服务节点,与相应量子密钥分发器相连、并与至少一在线/离线的密钥应用设备相连,用于对相应量子密钥分发器生成的量子密钥进行密钥管理,以及为相应的密钥应用设备提供量子密钥服务。
为实现上述目的,本发明还提供了一种量子密钥管理服务系统,所述系统具有位于底层的量子密钥生成/分发层、位于顶层的量子密钥应用层,以及配置于所述量子密钥生成/分发层与所述量子密钥应用层之间的量子密钥管理层;所述系统包括:QKD网络,位于所述量子密钥生成/分发层,用于构建密钥分发网络,并进行量子密钥生成和分发;多个量子密钥分发器,位于所述量子密钥生成/分发层,并分别接入所述QKD网络;多个在线/离线的密钥应用设备,位于所述量子密钥应用层;量子密钥管理服务核心网,位于所述量子密钥管理层,用于通过预设密钥服务接口协议,提供在线/离线量子密钥服务至相应的密钥应用设备,以实现全域任意两点间密钥应用设备的量子会话密钥协商。
为实现上述目的,本发明还提供了一种量子密钥协商方法,采用本发明所述的量子密钥管理服务核心网;所述方法包括如下步骤:发起端密钥应用设备向其所归属的第一量子密钥管理服务节点发起量子会话密钥分发请求;所述第一量子密钥管理服务节点,查询接收端密钥应用设备是否归属于所述第一量子密钥管理服务节点的域内;若所述接收端密钥应用设备归属于域内,则进入域内通信流程,完成量子会话密钥协商;若所述接收端密钥应用设备不归属于域内,则进入跨域通信流程,完成量子会话密钥协商。
本发明的优点在于:本发明提供的量子密钥管理服务核心网,构建在QKD网络之上的量子密钥管理层,其解耦合了在线量子密钥分发时量子密钥生成/分发层与量子密钥应用层的紧耦合,并实现在线/离线量子密钥服务的融合。在量子密钥管理服务节点的域内可以实现通信自治;量子密钥管理服务节点间通过归属的量子密钥管理服务中心实现的跨域通信,跨区域可充分利用QKD网络长距离密钥安全分发优势确保安全性;实现全域任意两点间密钥应用设备的量子会话密钥协商。可以突破在线模式的有线固网限制,将量子密钥技术应用到离线领域并解决密钥孤岛问题。所述量子密钥管理服务核心网还可以同时融合QKD和QRNG两种量子密钥源优势,为密钥应用设备提供更灵活的基于量子密钥的任意多点间量子会话密钥协商。所有量子密钥需要经过所述量子密钥管理服务核心网管理再提供给相应的密钥应用设备,且通过预设密钥服务接口协议提供,实现量子密钥源的统一管理,以及在线/离线量子密钥统一管理,提供灵活统一的量子密钥服务。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为现有在线量子密钥分发模式架构示意图;
图2为现有离线量子密钥分发模式架构示意图;
图3为本发明量子密钥管理服务系统的架构图;
图4为本发明量子密钥管理服务核心网的架构图;
图5为本发明量子密钥管理服务核心网分布式组网一实施例的架构图;
图6为本发明量子密钥管理服务核心网分布式组网另一实施例的架构图;
图7为本发明量子密钥管理服务核心网分布式组网再一实施例的架构图;
图8为本发明量子密钥管理服务节点一实施例的架构图;
图9为本发明量子密钥协商方法的流程架构图;
图10为本发明量子密钥协商方法一实施例的流程图;
图11为域内量子会话密钥分发的信令图;
图12为建立安全通道的信令图;
图13为跨域量子会话密钥分发的信令图;
图14为采用本发明量子密钥管理服务核心网实现加密通信的信令图。
具体实施方式
下面详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的组件或具有相同或类似功能的组件。本发明的说明书和权利要求书以及附图中的术语“第一”“第二”“第三”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应当理解,这样描述的对象在适当情况下可以互换。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体地限定。此外,术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排它的包含。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件电路或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”“连接”应做广义理解。例如,可以是电连接或相互通讯,可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。应当理解,当称元件“耦接到”另一元件时,存在中间元件。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
请一并参阅图3-图8,其中,图3为本发明量子密钥管理服务系统的架构图,图4为本发明量子密钥管理服务核心网的架构图,图5为本发明量子密钥管理服务核心网分布式组网一实施例的架构图,图6为本发明量子密钥管理服务核心网分布式组网另一实施例的架构图,图7为本发明量子密钥管理服务核心网分布式组网再一实施例的架构图,图8为本发明量子密钥管理服务节点一实施例的架构图。
如图3所示,所述系统具有位于底层的量子密钥生成/分发层310、位于顶层的量子密钥应用层330,以及配置于所述量子密钥生成/分发层310与所述量子密钥应用层330之间的量子密钥管理层320。所述系统包括:QKD网络311、多个量子密钥分发器(QKD)312、一量子密钥管理服务核心网32、以及多个密钥应用设备33。
所述QKD网络311,位于所述量子密钥生成/分发层310,用于构建密钥分发网络,进行量子密钥生成和分发。即,所述QKD网络311用于构建底层的量子密钥生成和分发,实现信息理论安全的密钥分发网络,提供量子密钥基础能力。多个所述量子密钥分发器312,位于所述量子密钥生成/分发层310,并分别接入所述QKD网络311。
多个所述密钥应用设备33,位于所述量子密钥应用层330;所述密钥应用设备33包括在线的密钥应用设备和离线的密钥应用设备。
所述量子密钥管理服务核心网32,位于所述量子密钥管理层320,用于通过预设密钥服务接口协议,提供量子密钥服务至相应的密钥应用设备33,以实现全域任意两点间密钥应用设备33的量子会话密钥协商。即,所述量子密钥管理服务核心网32处于量子密钥管理层320,在量子密钥生成/分发层310的QKD面上构建,服务处于量子密钥应用层330的应用面。
所述量子密钥管理服务核心网32包括位于同一区域内的量子密钥管理服务中心321以及多个量子密钥管理服务节点322。所述量子密钥管理服务中心321,分别与本区域内的各所述量子密钥管理服务节点322相连、并与位于所述量子密钥生成/分发层310的相应量子密钥分发器312相连,用于为所述量子密钥管理服务节点322及其对接的密钥应用设备33提供信息管理。所述量子密钥管理服务节点322,与位于所述量子密钥生成/分发层310的相应量子密钥分发器312相连、并与位于所述量子密钥应用层330的密钥应用设备33相连;所述量子密钥管理服务节点322用于对相应量子密钥分发器312生成的量子密钥进行量子密钥管理,以及为相应的密钥应用设备33提供量子密钥服务。
进一步的实施例中,所述量子密钥管理服务节点322通过QKD密钥接口协议获取相应的量子密钥分发器312生成的量子密钥,通过预设密钥服务接口协议提供量子密钥至相应的密钥应用设备33。所述量子密钥管理服务节点322可以实现域内通信自治。
进一步的实施例中,所述量子密钥管理服务节点322还通过QRNG密钥接口协议获取一量子随机数发生器(QRNG)329生成的量子密钥。即,所述量子密钥管理服务核心网可以同时融合QKD和QRNG两种量子密钥源优势,为密钥应用设备提供更灵活的基于量子密钥的任意多点间量子会话密钥协商。对于量子会话密钥,优先使用基于量子密钥分发器312生成的量子密钥进行量子密钥分发;也可以采用基于量子随机数发生器329生成的量子密钥进行量子密钥传送。具体地,在会话涉及两量子密钥管理服务节点都有QKD网络覆盖时,两量子密钥管理服务节点使用量子密钥分发方式获得量子密钥作为量子会话密钥;在会话涉及两量子密钥管理服务节点无QKD网络覆盖时,一量子密钥管理服务节点获取量子随机数发生器329生成的量子密钥作为量子会话密钥,并使用其所归属的量子密钥管理服务中心分发的保护密钥进行加密后,通过安全通道传输到另一量子密钥管理服务节点。
对于离线的密钥应用设备33,需先通过离线充注方式充注量子密钥(与相应的量子密钥管理服务节点322分发的量子密钥相同),继而通过量子密钥与相应的量子密钥管理服务节点322进行接入认证,再进行域内或跨域的量子会话密钥协商。本发明量子密钥管理服务核心网支持在线模式(可参考图1所示的在线的密钥应用设备对在线的密钥应用设备)和离线模式(参考图2所示的离线的密钥应用设备对离线的密钥应用设备),同时支持任意两点间密钥应用设备的量子会话密钥协商。即,本发明扩展了在线的密钥应用设备对离线的密钥应用设备的情形,实现在线/离线量子密钥服务的融合。
进一步的实施例中,同一区域内,各所述量子密钥管理服务节点322之间、所述量子密钥管理服务节点322与其归属的所述量子密钥管理服务中心321之间,建立有安全通道。所述安全通道通过经典的密钥协商建立,或通过量子密钥分发建立。即,所述量子密钥管理服务核心网32的网元间(包括量子密钥管理服务中心321和量子密钥管理服务节点322)互通安全性,可通过经典密钥协商建立安全通道,也可借助QKD信息理论安全的量子密钥分发特性优势建立安全通道。具体地,在有QKD网络时,优先通过量子密钥分发建立安全通道;在无QKD网络时,则通过经典密钥协商建立安全通道。
本发明所述量子密钥管理服务核心网,解耦合了在线量子密钥分发时量子密钥生成/分发层与量子密钥应用层的紧耦合,实现全域任意两点间密钥应用设备(包括在线的密钥应用设备和离线的密钥应用设备)的量子密钥协商,并实现在线/离线量子密钥服务的融合。所述量子密钥管理服务核心网还可以同时融合QKD和QRNG两种量子密钥源优势,为密钥应用设备提供更灵活的基于量子密钥的任意多点间量子会话密钥协商。所有量子密钥需要经过所述量子密钥管理服务核心网管理再提供给相应的密钥应用设备,且通过预设密钥服务接口协议提供,实现量子密钥源的统一管理,提供灵活统一的量子密钥服务。
如图4所示,所述量子密钥管理服务核心网32进一步包括:一量子密钥管理服务总控中心40、多个区域的量子密钥管理服务中心321、以及多个量子密钥管理服务节点322。
所述量子密钥管理服务总控中心40分别与多个区域(例如图示区域A、区域B、区域C等)的所述量子密钥管理服务中心321相连。通过设置所述量子密钥管理服务总控中心40,可以实现量子密钥管理核心网按量子密钥管理服务中心分区域实现分级分区管控,通过多级层次型架构,解决互通效率和节点规模问题。
所述量子密钥管理服务中心321,分别与本区域内的每一所述量子密钥管理服务节点322相连、并与位于所述量子密钥生成/分发层310的相应量子密钥分发器312(示于图3中)相连,用于为所述量子密钥管理服务节点322及其对接的密钥应用设备33(示于图3中)提供信息管理。所述量子密钥管理服务中心321所提供的信息管理包括:网络管理、量子密钥管理、提供QKD网络内的域信息管理、以及为所述密钥应用设备33进行跨节点通信提供对接寻址信息。通过多级层次型架构,解决互通效率和节点规模问题。区域内通信自治,跨区域可充分利用QKD网络(QKD城域网和骨干网)长距离密钥安全分发优势确保安全性。
所述量子密钥管理服务节点322,与位于所述量子密钥生成/分发层310的相应量子密钥分发器312相连、并与位于所述量子密钥应用层330的密钥应用设备33相连;所述量子密钥管理服务节点322用于对相应量子密钥分发器312生成的量子密钥进行量子密钥管理,以及为相应的密钥应用设备33提供密钥服务。
进一步的实施例中,所述量子密钥管理服务核心网32进一步包括:多级量子密钥管理服务中心,每一级量子密钥管理服务中心包括至少一量子密钥管理服务中心。其中,所述量子密钥管理服务总控中心40作为最上一级量子密钥管理服务中心,与所述量子密钥管理服务节点322相连的量子密钥管理服务中心321作为最下一级量子密钥管理服务中心,量子密钥管理服务中心321与其归属的上一级量子密钥管理服务中心相连。
进一步的实施例中,同一区域内,各所述量子密钥管理服务节点322之间、所述量子密钥管理服务节点322与其归属的所述量子密钥管理服务中心321之间,建立有安全通道。所述安全通道通过经典的密钥协商建立,或通过量子密钥分发建立。不同区域内,各所述量子密钥管理服务中心321之间、所述量子密钥管理服务中心321与其归属的上一级量子密钥管理服务中心之间,建立有安全通道,进而使得一区域内的所述量子密钥管理服务节点322与另一区域内的所述量子密钥管理服务节点322之间建立安全通道。具体地,在有QKD网络时,优先通过量子密钥分发建立安全通道;在无QKD网络时,则通过经典密钥协商建立安全通道。
本发明量子密钥管理服务核心网,通过多级层次型架构,可以实现按量子密钥管理服务中心分区域实现分级分区管控,解决互通效率和节点规模问题。量子密钥管理服务节点的域内通信自治;量子密钥管理服务节点间通过量子密钥管理服务中心实现的跨域通信,跨区域可充分利用QKD网络长距离密钥安全分发优势确保安全性;实现全域任意两点间密钥应用设备的量子密钥协商。
如图5所示,处于量子密钥管理层320中的量子密钥管理服务核心网32,分为控制面51和数据面52;其基础架构包括了量子密钥管理服务中心321和量子密钥管理服务节点322两种网元。
所述量子密钥管理服务总控中心40以及多个区域的所述量子密钥管理服务中心321构建所述控制面51。所述量子密钥管理服务中心321分别与域内相应的量子密钥管理服务节点322建立安全通道、并与位于所述量子密钥生成/分发层310的相应量子密钥分发器312相连。所述量子密钥管理服务中心321可以实现相应的量子密钥管理服务节点322及其对接的密钥应用设备33的设备信息管理和密钥信息管理等,并提供QKD网络内的域信息管理服务,从而为密钥应用设备33进行跨节点通信提供必要的对接寻址信息。通过服务总控中心以及多个区域的服务中心多级层次型架构,实现分级分区管控,解决互通效率和节点规模问题。
各所述量子密钥管理服务节点322构建所述数据面52。所述量子密钥管理服务节点322用于提供量子密钥管理服务以及量子密钥转发服务。各所述量子密钥管理服务节点322之间可以建立安全通道、并分别与相应的量子密钥管理服务中心321建立安全通道,每一所述量子密钥管理服务节点322与位于所述量子密钥生成/分发层310的一相应量子密钥分发器312相连,从而为与其对接的密钥应用设备33提供密钥服务,可以实现区域内通信自治以及跨域通信。
本发明量子密钥管理服务核心网的量子密钥管理服务中心和量子密钥管理服务节点,实现网络功能虚拟化(Network Function Virtualization,简称NFV)软硬件解耦;按照相同的核心网密钥管理与服务标准,不同厂商可以实现互通,提高了量子密钥服务的适用性。
如图6所示,构建所述控制面51的所述量子密钥管理服务中心321可以进一步包括交互的管理平台61和控制平台62。所述管理平台61提供相关管理服务,例如:密钥管理、告警管理、配置管理、用户管理、设备管理等。所述控制平台62提供相关控制服务,例如:提供调用接口(API),密钥管理、策略管理、路由管理、设备管理、拓扑管理等。构建所述数据面52的所述量子密钥管理服务节点322可以提供量子密钥管理服务以及进行量子密钥转发(例如通过图示转发模块转发)。
本发明量子密钥管理服务核心网分布式组网,可以基于软件定义网络(SoftwareDefined Network,简称SDN)实现。通过转发与控制分离,借助控制面的集中化,实现网络的灵活性和开放性。量子密钥管理服务中心321基于SDN控制器实现资源的统一管理,负责用户与设备的管理,策略与配置的下发,运行状态与告警的监控等,为管理带来统一的视图。
如图7所示,本发明量子密钥管理服务核心网分布式组网,通过创新性的网络管理和密钥管理双层次的控制面和数据面分离,并构建安全通道;同时结合量子密钥生成/分发层310为控制面和数据面提供量子密钥分发,实现量子密钥管理的灵活性和安全性。以下对两个层次控制面与数据面分离进行介绍。
1)网络管理控制面与数据面:基于SDN平台,可以构建量子密钥管理服务中心321与量子密钥管理服务节点322之间、各量子密钥管理服务节点322之间的通信链路网,建立网络层的基础安全通道,构建网络管理控制面;因而可以获取全局的网络状态视图,从而实现对网络的优化控制,保障网络互通的高效与稳定。控制面为数据面提供了数据转发前所必须的网络信息等。
2)密钥管理控制面与数据面:构建量子密钥管理服务中心321与量子密钥管理服务节点322之间、各量子密钥管理服务节点322之间的设备寻址等,建立密钥管理的安全通道,构建密钥管理控制面;因而可以获取全局的密钥状态视图,从而实现对密钥管理的优化控制。控制面为数据面提供了数据转发前所必须的转发查询信息,如设备寻址等。
为了实现任意一对密钥应用设备33的密钥分发服务,密钥应用设备33标识需具有唯一性。密钥应用设备33可以采用统一格式编址;例如,密钥应用设备33的设备ID为十进制数字,长度为18位,如下表1所示。
| 国家编号(3) | 运营商编号(3) | 地区编号(2) | 站点编号(4) | 设备编号(6) |
表1,密钥应用设备的设备ID。
如图8所示,所述量子密钥管理服务节点322可以采用统一量子密钥服务模型。
具体地,可以在量子密钥管理层,通过QKD密钥管理模块811与量子密钥分发器312相连,以获取QKD量子密钥;通过QRNG密钥管理模块812与量子随机数发生器329相连,以获取QRNG量子密钥。
具体地,可以在量子密钥服务层,通过认证模块821、密钥分发模块822、密钥协商模块823以及加解密模块824,从而为量子密钥应用层330的密钥应用设备33(包括在线密钥应用设备331和离线密钥应用设备332)提供量子密钥服务。
在同一个量子密钥管理服务节点322上的所有密钥应用设备33归为同一个管理域。密钥应用设备33和量子密钥管理服务节点322分发相同的量子密钥,密钥应用设备33之间量子密钥相异。其中,离线密钥应用设备332通过量子密钥充注机80进行量子密钥充注;充注的量子密钥用于离线密钥应用设备332到相应的量子密钥管理服务节点322之间的接入认证与密钥协商的基础密钥。QKD量子密钥和QRNG量子密钥可作为密钥应用设备33间(包括在线密钥应用设备331和离线密钥应用设备332)要协商的量子会话密钥来源。
请继续参阅图3,在同一个量子密钥管理服务节点322上的所有密钥应用设备33归为同一个管理域;量子密钥管理服务中心321实现量子密钥管理服务节点322及其对接的密钥应用设备33的设备信息管理、密钥信息管理等,并提供QKD网络内的域信息管理服务,为密钥应用设备33进行跨域通信(即跨节点通信)提供必要的对接寻址信息。
为实现跨域通信,量子密钥管理服务节点322与其归属的量子密钥管理服务中心321之间、量子密钥管理服务节点322之间需要建立安全通道。具体地,在有QKD网络时,优先通过量子密钥分发建立安全通道;在无QKD网络时,则通过经典密钥协商建立安全通道。安全通道建立后,量子会话密钥协商具体可采用如下方式:1)两个量子密钥管理服务节点322之间,基于QKD信息理论安全的量子密钥分发协商量子会话密钥;2)通过量子密钥管理服务中心321和量子密钥管理服务节点322之间的安全通道,协商量子密钥管理服务节点322之间的量子会话密钥。
进一步的实施例中,所述量子密钥管理服务节点322向其归属的量子密钥管理服务中心321进行入网注册,实现所述量子密钥管理服务核心网32的组网,进而通过跨域通信协商方式协商量子会话密钥,实现量子密钥管理服务核心网32的跨域通信和统一密钥服务能力。
进一步的实施例中,对于包括:多级量子密钥管理服务中心,每一级量子密钥管理服务中心包括至少一量子密钥管理服务中心的量子密钥管理服务核心网32:所述量子密钥管理服务节点322向其归属的量子密钥管理服务中心321进行入网注册;量子密钥管理服务中心321向其归属的上一级量子密钥管理服务中心进行入网注册,实现所述量子密钥管理服务核心网32的组网,进而通过跨域通信协商方式协商量子会话密钥,实现跨域通信进而通过跨域通信协商方式协商量子会话密钥,实现量子密钥管理服务核心网32的跨域通信和统一密钥服务能力。
本发明量子密钥管理服务核心网,在广域量子通信QKD网络基础上,拓展了量子保密通信网络的能力;使量子密钥分发突破固有限制,能够提供全网广覆盖的密钥基础设施能力;解决了密钥管理服务节点孤岛问题,实现安全跨域通信;并提供统一的密钥服务接口,更进一步地支持丰富多样的密钥分发方式,以满足差异化场景的需求。
基于同一发明构思,本发明还提供了一种量子密钥协商方法,采用本发明上述的量子密钥管理服务核心网。
请一并参阅图9-图13,其中,图9为本发明量子密钥协商方法的流程架构图,图10为本发明量子密钥协商方法一实施例的流程图,图11为域内量子会话密钥分发的信令图,图12为建立安全通道的信令图,图13为跨域量子会话密钥分发的信令图。
如图9所示,本发明量子密钥协商方法采用本发明上述量子密钥管理服务核心网,本发明量子密钥协商方法包括如下步骤:S1、发起端密钥应用设备向其所归属的第一量子密钥管理服务节点发起量子会话密钥分发请求;S2、所述第一量子密钥管理服务节点,查询接收端密钥应用设备是否归属于所述第一量子密钥管理服务节点的域内;S3、若所述接收端密钥应用设备归属于域内,则进入域内通信流程,完成量子会话密钥协商;S4、若所述接收端密钥应用设备不归属于域内,则进入跨域通信流程,完成量子会话密钥协商。
进一步的实施例中,步骤S3中所述域内通信流程包括:31)所述第一量子密钥管理服务节点提供量子会话密钥及票据至所述发起端密钥应用设备;32)所述发起端密钥应用设备向所述接收端密钥应用设备转发所述票据;33)所述接收端密钥应用设备根据所述票据,向所述第一量子密钥管理服务节点提取所述量子会话密钥,完成量子会话密钥协商;流程可参考图10所示,具体信令交互可参考图11所示。其中,所述票据包括加密的会话密钥标识、发起端应用设备ID等信息;会话密钥标识是与量子会话密钥相关联的唯一标识。票据是接收端密钥应用设备向其所归属的量子密钥管理服务节点申请量子会话密钥的凭证。所述票据由接收端密钥应用设备所归属的量子密钥管理服务节点生成,并采用接收端应用设备和其所归属的量子密钥管理服务节点所分发的相同的量子密钥进行加密,且只有接收端应用设备才能解密。
进一步的实施例中,步骤S4中所述跨域通信流程包括:41)所述第一量子密钥管理服务节点向量子密钥管理服务中心查询接收端密钥应用设备所归属的第二量子密钥管理服务节点的寻址信息;42)所述第一量子密钥管理服务节点与所述第二量子密钥管理服务节点建立安全通道;43)所述第一量子密钥管理服务节点与所述第二量子密钥管理服务节点分别通过QKD网络获得相同的量子密钥作为量子会话密钥,或所述第一量子密钥管理服务节点获取量子会话密钥并使用其归属的量子密钥管理服务中心分发的保护密钥进行加密后,通过所述安全通道传送至所述第二量子密钥管理服务节点;44)所述第二量子密钥管理服务节点生成票据并通过安全通道回传给所述第一量子密钥管理服务节点;45)所述发起端密钥应用设备接收包含量子会话密钥和所述票据的量子会话密钥分发响应,并发送包含所述票据的会话密钥通知至所述接收端密钥应用设备;46)所述接收端密钥应用设备根据所述票据,向所述第二量子密钥管理服务节点发起量子会话密钥分发请求,接收量子会话密钥分发响应,完成量子会话密钥协商;安全通道建立的具体信令交互可参考图12所示,流程可参考图10、图13所示。其中,所述票据包括加密的会话密钥标识、发起端应用设备ID等信息;会话密钥标识是与量子会话密钥相关联的唯一标识。票据是接收端密钥应用设备向其所归属的量子密钥管理服务节点申请量子会话密钥的凭证。所述票据由接收端密钥应用设备所归属的量子密钥管理服务节点生成,并采用接收端应用设备和其所归属的量子密钥管理服务节点所分发的相同的量子密钥进行加密,且只有接收端应用设备才能解密。
如图12所示,量子密钥管理服务节点生成随机数RA(RandomA),之后向量子密钥管理服务中心发送安全通道建立请求,请求中包含用量子密钥管理服务中心的公钥(pubB)加密的加密随机数RA(EpubB(RandomA)),以及用量子密钥管理服务节点私钥签名的签名随机数RA(SigA(RandomA))。量子密钥管理服务中心解密出随机数RA(可以在密钥处理模块内部用私钥解密)、并验证对随机数RA的签名(SigA(RandomA))。量子密钥管理服务中心生成随机数RB(RandomB),进而向量子密钥管理服务节点返回安全通道建立响应,响应中包含用量子密钥管理服务节点的公钥(pubA)加密的加密随机数RA和加密随机数RB(EpubA(RandomA,RandomB)),以及用量子密钥管理服务中心私钥签名的签名随机数RB(SigB(RandomB))。量子密钥管理服务节点解密出随机数RA和随机数RB(可以用私钥解密),验证对随机数RB的签名(SigB(RandomB)),并对随机数RA、RB进行异或,得到会话密钥K;量子密钥管理服务中心在密钥处理模块内部对随机数RA和随机数RB进行异或(可以在密钥处理模块内部进行),得到会话密钥K(与量子密钥管理服务节点得到的会话密钥K相同)。进而量子密钥管理服务节点与量子密钥管理服务中心之间的安全通道建立,两者间可以通过安全通道传输数据。
对于量子会话密钥,优先采用基于量子密钥分发器(QKD)生成的量子密钥进行量子密钥分发,也可以采用基于量子随机数发生器(QRNG)生成的量子密钥进行量子密钥传送。具体地,在会话涉及两量子密钥管理服务节点都有QKD网络覆盖时,两量子密钥管理服务节点通过量子密钥分发方式获得量子密钥作为量子会话密钥;在会话涉及两量子密钥管理服务节点无QKD网络覆盖时,一量子密钥管理服务节点获取量子随机数发生器(QRNG)生成的量子密钥作为量子会话密钥,并使用其所归属的量子密钥管理服务中心分发的保护密钥进行加密后,通过安全通道传输到另一量子密钥管理服务节点。
如图10所示,其提供了跨域会话密钥分发中两量子密钥管理服务节点采用量子密钥分发方式获得量子会话密钥的一具体示例。具体地,在所述发起端密钥应用设备(以下简称发起端设备)所归属的发起端量子密钥管理服务节点(以下简称发起端密管节点),与所述接收端密钥应用设备(以下简称接收端设备)所归属的接收端量子密钥管理服务节点(以下简称接收端密管节点)之间安全通道建立之后:所述发起端密管节点与所述接收端密管节点通过QKD网络获取量子密钥、进而协商量子会话密钥(具体基于量子密钥分发器生成的量子密钥进行量子密钥分发,进而使得所述发起端密管节点与所述接收端密管节点获取相同的量子密钥);所述接收端密管节点生成票据,并通过所述安全通道回送至所述发起端密管节点;所述发起端密管节点将所述量子会话密钥以及所述票据发送至所述发起端设备;所述发起端设备向所述接收端设备发送包含所述票据的会话密钥通知(即,进行票据转发);所述接收端设备根据所述票据,向所述接收端密管节点提取量子会话密钥。
如图13所示,其提供了跨域会话密钥分发中两量子密钥管理服务节点采用量子密钥传送方式获得量会话子密钥的一具体示例。具体信令交互过程如下:1)密钥应用设备A向量子密钥管理服务节点A发起量子会话密钥分发请求;2)量子密钥管理服务节点A向量子密钥管理服务中心查询量子密钥管理服务节点B的站点信息、获取查询响应,进而建立安全通道;3)量子密钥管理服务节点A与量子密钥管理服务节点B之间进行量子会话密钥/会话密钥标识信息传输:量子密钥管理服务节点A获取量子随机数发生器生成的量子密钥作为量子会话密钥,并使用其所归属的量子密钥管理服务中心分发的保护密钥进行加密后,通过安全通道传输到量子密钥管理服务节点B;4)量子密钥管理服务节点B生成的票据,通过安全通道回传给量子密钥管理服务节点A;5)量子密钥管理服务节点A返回量子会话密钥和票据给密钥应用设备A;6)密钥应用设备A发送包含所述票据的会话密钥通知至密钥应用设备B,通知其向其所归属的量子密钥管理服务节点(即量子密钥管理服务节点B)提取量子会话密钥;7)密钥应用设备B向量子密钥管理服务节点B申请量子会话密钥;8)量子密钥管理服务节点B将量子会话密钥发送给密钥应用设备B。
进一步的实施例中,当所述量子密钥管理服务核心网包括多级量子密钥管理服务中心,每一级量子密钥管理服务中心包括至少一量子密钥管理服务中心;其中,所述量子密钥管理服务总控中心作为最上一级量子密钥管理服务中心,与所述量子密钥管理服务节点相连的量子密钥管理服务中心作为最下一级量子密钥管理服务中心,量子密钥管理服务中心与其归属的上一级量子密钥管理服务中心相连时,上述步骤41)进一步包括:411)所述第一量子密钥管理服务节点向其归属的本区域的量子密钥管理服务中心查询所述第二量子密钥管理服务节点的寻址信息;412)若本区域的量子密钥管理服务中心查询到所述第二量子密钥管理服务节点的寻址信息,则执行所述建立安全通道的步骤;413)若本区域的量子密钥管理服务中心未查询到所述第二量子密钥管理服务节点的寻址信息,则本区域的量子密钥管理服务中心向其归属的上一级的量子密钥管理服务中心查询所述第二量子密钥管理服务节点的寻址信息;414)逐级查询,直至查询到所述第二量子密钥管理服务节点的寻址信息;流程可参考图10所示。
本发明量子密钥协商方法所采用的量子密钥管理服务核心网,在广域量子通信QKD网络基础上,拓展了量子保密通信网络的能力;使量子密钥分发突破固有限制,能够提供全网广覆盖的密钥基础设施能力;解决了密钥管理服务节点孤岛问题,实现安全跨域通信;并提供统一的密钥服务接口,更进一步地支持丰富多样的密钥分发方式,以满足差异化场景的需求。
请参阅图14,采用本发明量子密钥管理服务核心网实现加密通信的信令图。其中,量子密钥管理服务节点A、B向量子密钥管理服务中心进行入网注册,实现量子密钥管理服务核心网最基础组网。如归属于量子密钥管理服务节点A的量子加密路由器ROUTER-A,和归属于量子密钥管理服务节点B的量子加密路由器ROUTER-B,都可以通过离线密钥方式协商通信:例如,通过量子安全UKEY-A在量子密钥管理服务节点A充注量子密钥导入路由器设备ROUTER-A,通过量子安全UKEY-B在量子密钥管理服务节点B充注量子密钥导入路由器设备ROUTER-B。
由图14可以看出,量子加密路由器ROUTER-A和量子加密路由器ROUTER-B,通过跨域通信协商方式进行跨域量子会话密钥协商、以及进行量子安全IPSec协商,进而实现跨域的端到端的数据加密通信。其中,IPSec(IP Security)的目的是为IP提供高安全性特性。
可以理解的是,为了清楚的目的,上面已经参照单个处理逻辑描述了本发明的实施例。然而,本发明构思同样可以通过多个不同的功能单元和处理器来实现,以提供信号处理功能。因此,对特定功能单元的引用仅被视为对用于提供所描述功能的合适手段的引用,而不是指示严格的逻辑或物理结构或组织。
以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想;本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例的技术方案的范围。
Claims (18)
1.一种量子密钥管理服务核心网,其特征在于,所述量子密钥管理服务核心网包括:位于同一区域内的一量子密钥管理服务中心、以及多个量子密钥管理服务节点;
所述量子密钥管理服务中心,分别与本区域内的每一所述量子密钥管理服务节点相连、并与相应量子密钥分发器相连,用于为所述量子密钥管理服务节点及其对接的密钥应用设备提供信息管理;
所述量子密钥管理服务节点,与相应量子密钥分发器相连、并与至少一密钥应用设备相连,用于对相应量子密钥分发器生成的量子密钥进行密钥管理,以及为相应的密钥应用设备提供量子密钥服务。
2.如权利要求1所述的量子密钥管理服务核心网,其特征在于,所述量子密钥管理服务中心所提供的信息管理包括:网络管理、密钥管理、提供QKD网络内的域信息管理、以及为所述密钥应用设备进行跨节点通信提供对接寻址信息。
3.如权利要求1所述的量子密钥管理服务核心网,其特征在于,所述量子密钥管理服务核心网进一步包括:一量子密钥管理服务总控中心、多个区域的量子密钥管理服务中心、以及多个量子密钥管理服务节点;所述量子密钥管理服务总控中心分别与多个区域的所述量子密钥管理服务中心相连。
4.如权利要求3所述的量子密钥管理服务核心网,其特征在于,所述量子密钥管理服务核心网进一步包括:多级量子密钥管理服务中心,每一级量子密钥管理服务中心包括至少一量子密钥管理服务中心;其中,所述量子密钥管理服务总控中心作为最上一级量子密钥管理服务中心,与所述量子密钥管理服务节点相连的量子密钥管理服务中心作为最下一级量子密钥管理服务中心,量子密钥管理服务中心与其归属的上一级量子密钥管理服务中心相连。
5.如权利要求4所述的量子密钥管理服务核心网,其特征在于,所述量子密钥管理服务节点向其归属的量子密钥管理服务中心进行入网注册,量子密钥管理服务中心向其归属的上一级量子密钥管理服务中心进行入网注册,实现所述量子密钥管理服务核心网的组网,进而通过跨域通信协商方式协商量子会话密钥,实现跨域通信。
6.如权利要求1所述的量子密钥管理服务核心网,其特征在于,同一区域内,各所述量子密钥管理服务节点之间、所述量子密钥管理服务节点与其归属的所述量子密钥管理服务中心之间,建立有安全通道;不同区域内,各所述量子密钥管理服务中心之间、所述量子密钥管理服务中心与其归属的上一级量子密钥管理服务中心之间,建立有安全通道,进而使得一区域内的所述量子密钥管理服务节点与另一区域内的所述量子密钥管理服务节点之间建立安全通道。
7.如权利要求6所述的量子密钥管理服务核心网,其特征在于,所述安全通道通过密钥协商建立,或通过量子密钥分发建立。
8.如权利要求1所述的量子密钥管理服务核心网,其特征在于,所述量子密钥管理服务节点通过QKD密钥接口协议获取相应的量子密钥分发器生成的量子密钥,通过预设密钥服务接口协议提供量子密钥至相应的密钥应用设备。
9.如权利要求8所述的量子密钥管理服务核心网,其特征在于,所述量子密钥管理服务节点进一步通过QRNG密钥接口协议获取一量子随机数发生器生成的量子密钥。
10.如权利要求1所述的量子密钥管理服务核心网,其特征在于,所述量子密钥管理服务核心网采用控制面与数据面分离的分布式网络架构,且采用网络管理层次和密钥管理层次双层次的控制面和数据面分离。
11.如权利要求9所述的量子密钥管理服务核心网,其特征在于,在所述网络管理层次,构建所述量子密钥管理服务中心与所述量子密钥管理服务节点之间、各所述量子密钥管理服务节点之间的通信链路网,进而建立网络管理的安全通道,构建网络管理控制面。
12.如权利要求9所述的量子密钥管理服务核心网,其特征在于,在所述密钥管理层次,构建所述量子密钥管理服务中心与所述量子密钥管理服务节点之间、各所述量子密钥管理服务节点之间的设备寻址,进而建立密钥管理的安全通道,构建密钥管理控制面。
13.一种量子密钥管理服务系统,其特征在于,所述系统具有位于底层的量子密钥生成/分发层、位于顶层的量子密钥应用层,以及配置于所述量子密钥生成/分发层与所述量子密钥应用层之间的量子密钥管理层;所述系统包括:
QKD网络,位于所述量子密钥生成/分发层,用于构建密钥分发网络,并进行量子密钥生成和分发;
多个量子密钥分发器,位于所述量子密钥生成/分发层,并分别接入所述QKD网络;
多个密钥应用设备,位于所述量子密钥应用层;
量子密钥管理服务核心网,位于所述量子密钥管理层,用于通过预设密钥服务接口协议,提供量子密钥服务至相应的密钥应用设备,以实现全域任意两点间密钥应用设备的量子会话密钥协商。
14.如权利要求13所述的系统,其特征在于,所述量子密钥管理服务核心网采用如权利要求1~12任意一项所述的量子密钥管理服务核心网。
15.一种量子密钥协商方法,采用如权利要求1~12任意一项所述的量子密钥管理服务核心网;其特征在于,所述方法包括如下步骤:
发起端密钥应用设备向其所归属的第一量子密钥管理服务节点发起量子会话密钥分发请求;
所述第一量子密钥管理服务节点,查询接收端密钥应用设备是否归属于所述第一量子密钥管理服务节点的域内;
若所述接收端密钥应用设备归属于域内,则进入域内通信流程,完成量子会话密钥协商;
若所述接收端密钥应用设备不归属于域内,则进入跨域通信流程,完成量子会话密钥协商。
16.如权利要求15所述的量子密钥协商方法,其特征在于,所述域内通信流程包括:
所述第一量子密钥管理服务节点提供量子会话密钥及票据至所述发起端密钥应用设备,所述票据包括加密的会话密钥标识、发起端应用设备ID;
所述发起端密钥应用设备向所述接收端密钥应用设备转发所述票据;
所述接收端密钥应用设备根据所述票据,向所述第一量子密钥管理服务节点提取所述量子会话密钥,完成量子会话密钥协商。
17.如权利要求15所述的量子密钥协商方法,其特征在于,所述跨域通信流程包括:
所述第一量子密钥管理服务节点向量子密钥管理服务中心查询接收端密钥应用设备所归属的第二量子密钥管理服务节点的寻址信息;
所述第一量子密钥管理服务节点与所述第二量子密钥管理服务节点之间建立安全通道;
所述第一量子密钥管理服务节点与所述第二量子密钥管理服务节点分别通过QKD网络获得相同的量子密钥作为量子会话密钥,或所述第一量子密钥管理服务节点获取量子会话密钥并使用其归属的量子密钥管理服务中心分发的保护密钥进行加密后,通过所述安全通道传送至所述第二量子密钥管理服务节点;
所述第二量子密钥管理服务节点生成票据并通过安全通道回传给所述第一量子密钥管理服务节点,其中,所述票据包括加密的会话密钥标识、发起端应用设备ID;
所述发起端密钥应用设备接收包含所述量子会话密钥和所述票据的量子会话密钥分发响应,并发送包含所述票据的会话密钥通知至所述接收端密钥应用设备;
所述接收端密钥应用设备根据所述票据,向所述第二量子密钥管理服务节点发起量子会话密钥分发请求,接收量子会话密钥分发响应,完成量子会话密钥协商。
18.如权利要求17所述的量子密钥协商方法,其特征在于,当所述量子密钥管理服务核心网包括多级量子密钥管理服务中心,每一级量子密钥管理服务中心包括至少一量子密钥管理服务中心;其中,所述量子密钥管理服务总控中心作为最上一级量子密钥管理服务中心,与所述量子密钥管理服务节点相连的量子密钥管理服务中心作为最下一级量子密钥管理服务中心,量子密钥管理服务中心与其归属的上一级量子密钥管理服务中心相连时,所述的所述第一量子密钥管理服务节点向量子密钥管理服务中心查询接收端密钥应用设备所归属的第二量子密钥管理服务节点的寻址信息的步骤进一步包括:
所述第一量子密钥管理服务节点向其归属的本区域的量子密钥管理服务中心查询所述第二量子密钥管理服务节点的寻址信息;
若本区域的量子密钥管理服务中心查询到所述第二量子密钥管理服务节点的寻址信息,则执行所述建立安全通道的步骤;
若本区域的量子密钥管理服务中心未查询到所述第二量子密钥管理服务节点的寻址信息,则本区域的量子密钥管理服务中心向其归属的上一级的量子密钥管理服务中心查询所述第二量子密钥管理服务节点的寻址信息;
逐级查询,直至查询到所述第二量子密钥管理服务节点的寻址信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011011019.8A CN111934871B (zh) | 2020-09-23 | 2020-09-23 | 量子密钥管理服务核心网、系统及量子密钥协商方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011011019.8A CN111934871B (zh) | 2020-09-23 | 2020-09-23 | 量子密钥管理服务核心网、系统及量子密钥协商方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111934871A true CN111934871A (zh) | 2020-11-13 |
| CN111934871B CN111934871B (zh) | 2020-12-25 |
Family
ID=73334086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011011019.8A Active CN111934871B (zh) | 2020-09-23 | 2020-09-23 | 量子密钥管理服务核心网、系统及量子密钥协商方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111934871B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112737781A (zh) * | 2021-03-29 | 2021-04-30 | 南京易科腾信息技术有限公司 | 量子密钥管理服务方法、系统及存储介质 |
| CN113037708A (zh) * | 2021-02-02 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于应用层协议的量子设备硬件资源统一管理方法及系统 |
| CN114095168A (zh) * | 2021-11-24 | 2022-02-25 | 安徽国盾量子云数据技术有限公司 | 一种基于量子密钥的通信方法及其加密通信终端 |
| CN114362935A (zh) * | 2020-12-30 | 2022-04-15 | 广东国腾量子科技有限公司 | 一种多个量子密钥管理终端设备间接通信的方法 |
| CN114374523A (zh) * | 2022-03-23 | 2022-04-19 | 南京易科腾信息技术有限公司 | 签名验签方法、装置及存储介质 |
| CN114785504A (zh) * | 2022-06-17 | 2022-07-22 | 国开启科量子技术(北京)有限公司 | 量子通信系统网络拓扑结构、量子密钥分发方法及系统 |
| CN114978774A (zh) * | 2022-07-28 | 2022-08-30 | 四川九洲空管科技有限责任公司 | 基于嵌套式保护结构的多层级密钥管理方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060062392A1 (en) * | 2004-07-08 | 2006-03-23 | Magiq Technologies, Inc. | Key manager for QKD networks |
| CN102055585A (zh) * | 2009-11-04 | 2011-05-11 | 中兴通讯股份有限公司 | 基于密钥管理服务器的媒体安全合法监听方法及系统 |
| CN108462573A (zh) * | 2018-02-09 | 2018-08-28 | 中国电子科技集团公司第三十研究所 | 一种灵活的量子安全移动通信方法 |
| CN108510270A (zh) * | 2018-03-06 | 2018-09-07 | 成都零光量子科技有限公司 | 一种量子安全的移动转账方法 |
| CN109842485A (zh) * | 2017-11-26 | 2019-06-04 | 成都零光量子科技有限公司 | 一种有中心的量子密钥服务网络系统 |
| CN109842442A (zh) * | 2017-11-26 | 2019-06-04 | 成都零光量子科技有限公司 | 一种以机场为区域中心的量子密钥服务网络与方法 |
| CN110505053A (zh) * | 2018-05-17 | 2019-11-26 | 广东国盾量子科技有限公司 | 一种量子密钥充注方法、装置及系统 |
-
2020
- 2020-09-23 CN CN202011011019.8A patent/CN111934871B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060062392A1 (en) * | 2004-07-08 | 2006-03-23 | Magiq Technologies, Inc. | Key manager for QKD networks |
| CN102055585A (zh) * | 2009-11-04 | 2011-05-11 | 中兴通讯股份有限公司 | 基于密钥管理服务器的媒体安全合法监听方法及系统 |
| CN109842485A (zh) * | 2017-11-26 | 2019-06-04 | 成都零光量子科技有限公司 | 一种有中心的量子密钥服务网络系统 |
| CN109842442A (zh) * | 2017-11-26 | 2019-06-04 | 成都零光量子科技有限公司 | 一种以机场为区域中心的量子密钥服务网络与方法 |
| CN108462573A (zh) * | 2018-02-09 | 2018-08-28 | 中国电子科技集团公司第三十研究所 | 一种灵活的量子安全移动通信方法 |
| CN108510270A (zh) * | 2018-03-06 | 2018-09-07 | 成都零光量子科技有限公司 | 一种量子安全的移动转账方法 |
| CN110505053A (zh) * | 2018-05-17 | 2019-11-26 | 广东国盾量子科技有限公司 | 一种量子密钥充注方法、装置及系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114362935A (zh) * | 2020-12-30 | 2022-04-15 | 广东国腾量子科技有限公司 | 一种多个量子密钥管理终端设备间接通信的方法 |
| CN114362935B (zh) * | 2020-12-30 | 2023-10-24 | 广东国腾量子科技有限公司 | 一种多个量子密钥管理终端设备间接通信的方法 |
| CN113037708A (zh) * | 2021-02-02 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于应用层协议的量子设备硬件资源统一管理方法及系统 |
| CN113037708B (zh) * | 2021-02-02 | 2023-08-25 | 中国人民解放军战略支援部队信息工程大学 | 基于应用层协议的量子设备硬件资源统一管理方法及系统 |
| CN112737781A (zh) * | 2021-03-29 | 2021-04-30 | 南京易科腾信息技术有限公司 | 量子密钥管理服务方法、系统及存储介质 |
| CN112737781B (zh) * | 2021-03-29 | 2021-06-18 | 南京易科腾信息技术有限公司 | 量子密钥管理服务方法、系统及存储介质 |
| CN114095168A (zh) * | 2021-11-24 | 2022-02-25 | 安徽国盾量子云数据技术有限公司 | 一种基于量子密钥的通信方法及其加密通信终端 |
| CN114095168B (zh) * | 2021-11-24 | 2024-02-23 | 安徽国盾量子云数据技术有限公司 | 一种基于量子密钥的通信方法及其加密通信终端 |
| CN114374523A (zh) * | 2022-03-23 | 2022-04-19 | 南京易科腾信息技术有限公司 | 签名验签方法、装置及存储介质 |
| CN114785504A (zh) * | 2022-06-17 | 2022-07-22 | 国开启科量子技术(北京)有限公司 | 量子通信系统网络拓扑结构、量子密钥分发方法及系统 |
| CN114785504B (zh) * | 2022-06-17 | 2022-09-30 | 国开启科量子技术(北京)有限公司 | 量子通信系统网络拓扑结构、量子密钥分发方法及系统 |
| CN114978774A (zh) * | 2022-07-28 | 2022-08-30 | 四川九洲空管科技有限责任公司 | 基于嵌套式保护结构的多层级密钥管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111934871B (zh) | 2020-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111934871B (zh) | 量子密钥管理服务核心网、系统及量子密钥协商方法 | |
| Tysowski et al. | The engineering of a scalable multi-site communications system utilizing quantum key distribution (QKD) | |
| WO2016206498A1 (zh) | 第一量子节点、第二量子节点、安全通信架构系统及方法 | |
| Santos et al. | Decentralizing SDN's control plane | |
| CN109302288A (zh) | 一种基于量子密钥分发技术的量子保密通信网络系统及其应用 | |
| CN108510270B (zh) | 一种量子安全的移动转账方法 | |
| EP3813298B1 (en) | Method and apparatus for establishing trusted channel between user and trusted computing cluster | |
| CN208986950U (zh) | 一种基于量子密钥分发技术的量子保密通信网络系统 | |
| CN110808834B (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CN111342952B (zh) | 一种安全高效的量子密钥服务方法与系统 | |
| CN114221765B (zh) | 一种qkd网络与经典密码算法融合的量子密钥分发方法 | |
| CN109842442B (zh) | 一种以机场为区域中心的量子密钥服务方法 | |
| CN103856330A (zh) | 一种基于非对称加密体系的集群组呼密钥分发的方法 | |
| CN114173328A (zh) | 密钥交换方法、装置、电子设备 | |
| Saraswathi et al. | Dynamic and probabilistic key management for distributed wireless sensor networks | |
| Kayem et al. | Key management for secure demand data communication in constrained micro-grids | |
| JP6453154B2 (ja) | ネットワーク管理システム及びネットワーク管理方法 | |
| CN114362938B (zh) | 一种量子通信的密钥管理动态路由生成网络架构及方法 | |
| CN112235318B (zh) | 实现量子安全加密的城域网系统 | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| Alphonse et al. | A method for obtaining authenticated scalable and efficient group key agreement for wireless ad-hoc networks | |
| CN105577623B (zh) | 一种联网终端安全域建立的方法及系统 | |
| WO2014153908A1 (zh) | 通信装置和无线通信方法 | |
| Yu et al. | Identity-Based Key Management Scheme for Smart Grid over Lattice. | |
| CN111935181B (zh) | 一种全密态条件下密钥切换的业务无中断实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Quantum key management service core network, system and quantum key agreement method Effective date of registration: 20220509 Granted publication date: 20201225 Pledgee: Bank of China Limited by Share Ltd. Nanjing Jiangning branch Pledgor: Nanjing yiketeng Information Technology Co.,Ltd. Registration number: Y2022980005300 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20230418 Granted publication date: 20201225 Pledgee: Bank of China Limited by Share Ltd. Nanjing Jiangning branch Pledgor: Nanjing yiketeng Information Technology Co.,Ltd. Registration number: Y2022980005300 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Quantum Key Management Service Core Network, System, and Quantum Key Negotiation Method Effective date of registration: 20230427 Granted publication date: 20201225 Pledgee: Bank of China Limited by Share Ltd. Nanjing Jiangning branch Pledgor: Nanjing yiketeng Information Technology Co.,Ltd. Registration number: Y2023980039481 |