CN113452514B - 密钥分发方法、装置和系统 - Google Patents
密钥分发方法、装置和系统 Download PDFInfo
- Publication number
- CN113452514B CN113452514B CN202010219169.1A CN202010219169A CN113452514B CN 113452514 B CN113452514 B CN 113452514B CN 202010219169 A CN202010219169 A CN 202010219169A CN 113452514 B CN113452514 B CN 113452514B
- Authority
- CN
- China
- Prior art keywords
- key
- quantum
- application
- target
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种密钥分发方法、装置和系统。其中,该方法包括:第一应用接收通信请求,其中,通信请求用于与第二服务器集群内的第二应用通信;第一应用根据通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和目标量子密钥的目标密钥标识,其中,每个第一密钥共享客户端均具有第一密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识;第一应用将目标密钥标识发送至第二应用,其中,第二应用根据目标密钥标识获取目标量子密钥。本发明解决了现有技术中通过点对点的方式进行密钥分发导致设备成本高昂的技术问题。
Description
技术领域
本发明涉及量子密钥领域,具体而言,涉及一种密钥分发方法、装置和系统。
背景技术
量子密钥分发是利用量子力学特性来保证通信安全性。它使通信的双方能够产生并分享一个随机的、安全的密钥,来加解密消息。量子密钥分发的安全性基于量子力学的基本原理,而传统密码学是基于某些数学算法的计算复杂度,因此,传统密码学无法进行察觉侦听。
目前量子密钥分发通常使用点对点的方式进行,如果具有多个对象需要量子密钥,则需要设置多个量子密钥分发设备,从而导致设备成本高昂,如果需要扩展应用场景,则需要通过增加更多的量子密钥分发设备来实现。
针对现有技术中通过点对点的方式进行密钥分发导致设备成本高昂的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种密钥分发方法、装置和系统,以至少解决现有技术中通过点对点的方式进行密钥分发导致设备成本高昂的技术问题。
根据本发明实施例的一个方面,提供了一种密钥分发方法,第一服务器集群包括第一密钥共享服务端、第一密钥共享客户端,以及与第一密钥共享客户端通信的第一应用,该方法包括:第一应用接收通信请求,其中,通信请求用于与第二服务器集群内的第二应用通信;第一应用根据通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和目标量子密钥的目标密钥标识,其中,每个第一密钥共享客户端均具有第一密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识;第一应用将目标密钥标识发送至第二应用,其中,第二应用根据目标密钥标识获取目标量子密钥。
根据本发明实施例的另一方面,还提供了一种密钥分发方法,第二服务器集群包括第二密钥共享服务端、第二密钥共享客户端,以及与第二密钥共享客户端通信的第二应用,该方法包括:第二应用接收第一服务器集群内的第一应用发送的目标量子密钥对应的目标密钥标识,其中,第一应用接收到与第二应用的通信请求后,获取目标量子密钥和目标密钥标识;第二应用根据目标密钥标识从第二密钥共享客户端所具有的量子密钥中,获取目标量子密钥,其中,每个第二密钥共享客户端均具有第二密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识。
根据本发明实施例的另一方面,还提供了一种密钥分发系统,包括:第一服务器集群,包括第一密钥共享服务端、第一密钥共享客户端,以及与第一密钥共享客户端通信的第一应用;第二服务器集群,包括第二密钥共享服务端、第二密钥共享客户端,以及与第二密钥共享客户端通信的第二应用;其中,第一密钥共享服务端用于向每个第一密钥共享客户端同步密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识,第二密钥共享服务端用于向每个第二密钥共享客户端同步密钥文件;第一应用从密钥文件中获取目标量子密钥和目标量子密钥对应的目标密钥标识,将目标密钥标识发送至第二应用,第二应用根据目标密钥标识获取目标量子密钥。
根据本发明实施例的另一方面,还提供了一种密钥分发装置,第一服务器集群包括第一密钥共享服务端、第一密钥共享客户端,以及与第一密钥共享客户端通信的第一应用,密钥分发装置包括:接收模块,用于第一应用接收通信请求,其中,通信请求用于与第二服务器集群内的第二应用通信;获取模块,用于第一应用根据通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和目标量子密钥的目标密钥标识,其中,每个第一密钥共享客户端均具有第一密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识;发送模块,用于第一应用将目标密钥标识发送至第二应用,其中,第二应用根据目标密钥标识获取目标量子密钥。
根据本发明实施例的另一方面,还提供了一种密钥分发装置,第二服务器集群包括第二密钥共享服务端、第二密钥共享客户端,以及与第二密钥共享客户端通信的第二应用,密钥分发方法包括:接收模块,用于第二应用接收第一服务器集群内的第一应用发送的目标量子密钥对应的目标密钥标识,其中,第一应用接收到与第二应用的通信请求后,获取目标量子密钥和目标密钥标识;获取模块,用于第二应用根据目标密钥标识从第二密钥共享客户端所具有的量子密钥中,获取目标量子密钥,其中,每个第二密钥共享客户端均具有第二密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识。
根据本发明实施例的另一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上的密钥分发方法。
通常量子密钥分发设备以点对点的方式进行,如果多个对象需要量子密钥,则需要设置与对象数量相同的量子密钥分发设备,每个对象从对应的一个量子密钥分发设备处获取量子密钥,从而导致设备成本高昂,如需要扩展应用场景,则需要通过增加更多的设备来实现。而本申请上述实施例中,设置密钥共享服务端将包括量子密钥的密钥文件同步至服务器集群内的所有密钥共享客户端处,从而使得最少只需要设置一个量子密钥分发设备,其将量子密钥分发至密钥共享服务端处,即可保证所有的密钥共享客户端均可使用其分发的量子密钥。当应用接收到需要量子密钥的通信请求后,向已经具有密钥文件的密钥共享客户端请求量子密钥,从而可以根据请求得到的量子密钥完成通信请求,进而解决了现有技术中通过点对点的方式进行密钥分发导致需要配置多个量子密钥分发设备的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1示出了一种用于实现密钥分发方法的计算机终端(或移动设备)的硬件结构框图;
图2是根据本申请实施例1的一种密钥分发方法的流程图;
图3是根据本申请实施例1的一种密钥分发场景的示意图;
图4是图3中VPN网关A2中的第一应用与WPN网关B1中的第二应用创建抗量子VPN的交互图;
图5是根据本申请实施例2的一种密钥分发方法的示意图;
图6是根据本申请实施例3的一种密钥分发装置的示意图;
图7是根据本申请实施例4的一种密钥分发装置的示意图;
图8是根据本申请实施例5的一种密钥分发系统的示意图;以及
图9是根据本发明实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
HSM:hardware security module,即硬件安全模块,用于保护密钥,以及提供密码学运算的硬件设备。
主密钥:存储在HSM内部,绝不会出现在HSM以外的其他设备中,用于对其他密钥如数据密钥进行加解密。
数据密钥:用于对数据进行加解密的密钥。
VPN:Virtual Private Network,虚拟专用网络,一种通过隧道协议达到机密性,身份认证,数据完整性等信息安全目的的技术。
QKD:quantum key distribution,量子密钥分发,其利用了量子力学特性,使得通信双方能够产生并共享一对随机的,安全的密钥,来用对消息进行加解密。
KMS:Key Management System,密钥管理服务,用于创建和管理密钥,并且保护密钥的机密性,完整性以及可用性。
实施例1
根据本发明实施例,还提供了一种密钥分发方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现密钥分发方法的计算机终端(或移动设备)的硬件结构框图。如图1所示,计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的密钥分发方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的密钥分发方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输模块106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输模块106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输模块106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图1所示的计算机设备(或移动设备)可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图1仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算机设备(或移动设备)中的部件的类型。
在上述运行环境下,本申请提供了如图2所示的密钥分发方法。第一服务器集群包括第一密钥共享服务端、第一密钥共享客户端,以及与第一密钥共享客户端通信的第一应用,图2是根据本申请实施例1的一种密钥分发方法的流程图。如图2所示,该方法包括如下步骤:
步骤S21,第一应用接收通信请求,其中,通信请求用于与第二服务器集群内的第二应用通信。
具体的,上述通信请求是与第二服务器集群内的第二应用进行通信的通信请求。上述第一服务器集群和第二服务器集群均可以用于构建对应的数据中心或类似的数据管理系统,来实现数据中心的实际功能。下述实施例中,均以第一服务器集群组建第一数据中心,第二服务器集群组建第二数据中心为例进行说明。第一服务器集群组建的第一数据中心和第二服务器集群组建的第二数据中心内均可以配置有相同和不同的应用,上述第一应用可以是第一服务器集群内的任意一个应用,第二应用也可以是第二服务器集群内的任意一个应用。
图3是根据本申请实施例1的一种密钥分发场景的示意图,在该示例中,第一应用为第一服务器集群组建的第一数据中心内的VPN应用。
结合图3所示,第一数据中心IDC(Internet Data Center)A、第一量子密钥分发设备QKD(quantum key distribution)A、第一密钥共享服务端(Quantum key share server)以及四个VPN网关(VPN网关A1、VPN网关A2、VPN网关A3、VPN网关A4),每个VPN网关内均包括一个第一密钥共享客户端(Quantum key share client)和一个第一VPN应用(VPNapplication)。第二数据中心IDC B包括第二量子密钥分发设备QKD B、第二密钥共享服务端以及四个VPN网关(VPN网关B1、VPN网关B2、VPN网关B3、VPN网关B4),每个VPN网关内均包括一个第二密钥共享客户端(Quantum key share client)和一个第二VPN应用。
在上述的密钥分发场景中,第一应用是VPN网关A2中的VPN应用,第二应用是VPN网关B1中的VPN应用,第一应用通过VPN网关A2内的第一密钥共享客户端接收到通信请求,该通信请求指示第一应用与第二应用创建抗量子VPN。
步骤S23,第一应用根据通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和目标量子密钥的目标密钥标识,其中,每个第一密钥共享客户端均具有第一密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识。
在上述方案中,第一服务器集群具有多个第一密钥共享客户端,第一应用从其中的至少一个第一密钥共享客户端处获取用于此次通信的目标量子密钥和目标密钥标识。上述第一密钥共享客户端可以具有多个量子密钥,这些量子密钥可以是用于在通信过程中对数据进行加密的数据密钥。目标量子密钥可以是第一密钥共享客户端所具有的多个量子密钥中的一个或多个。
仍在上述方案中,第一服务器集群具有多个第一密钥共享客户端,第一密钥共享服务端向每个第一密钥共享客户端同步包含有量子密钥和密钥标识的密钥文件。第一密钥共享服务端内的密钥可以来自于第一量子密钥分发设备。
在一种可选的实施例中,结合图3所示,第一密钥共享服务端从第一量子密钥分发设备中获取多个量子密钥和对应的密钥标识,并将多个量子密钥和密钥标识作为密钥文件分发给每个VPN网关内的第一密钥共享客户端。在VPN网关A2中的VPN应用接收到通信请求后,向VPN网关A2中的第一密钥共享客户端请求量子密钥,第一密钥共享客户端从密钥文件中取出量子密钥和密钥标识返回给VPN网关A2中的VPN应用,从而使得该VPN应用获得了目标量子密钥和目标密钥标识。
需要说明的是,由于第一服务器集群中的第一密钥共享服务端向每个第一密钥共享客户端同步密钥文件,因此每个第一密钥共享客户端均能使用密钥文件中的量子密钥,而无需每个第一密钥共享客户端均向第一量子密钥分发设备请求量子密钥。也即在上述方案中,第一密钥共享服务端可以提供抽象层接口,实现了应用于不同量子密钥分发设备之间解耦,并对应用层提供统一的接口,应用可通过调用简单易用的参数获取不同厂商的QKD设备的密钥。而密钥共享服务端作为量子密钥的密钥缓冲池,将第一量子密钥分发设备分发的量子密钥进行池化存储,再分别向每个第一密钥共享客户端进行分发,从而避免了具有多个对象需要量子密钥时需要设置多个量子密钥分发设备的情况,仅需要配置少量的量子密钥分发设备即可满足服务器集群内所有应用对量子密钥的需求,且如果对服务器集群的分发速率或高可用性具有更高的要求,还可以灵活的添加更多的设备。
还需要说明的是,上述方案基于文件同步技术,可满足服务器集群内部多节点的密钥文件的实时同步更新,进而达到了降低开发成本的技术效果。
步骤S25,第一应用将目标密钥标识发送至第二应用,其中,第二应用根据目标密钥标识获取目标量子密钥。
在上述步骤中,第一应用将目标密钥标识通过普通的传输方式发送给第二应用,第二应用即可根据目标密钥标识获取目标量子密钥。
在一种可选的实施例中,第二服务器集群结构与第一服务器集群的结构类似,第二数据中内的第二密钥共享服务端也向每个第二密钥共享客户端同步密钥文件,第二应用根据可以根据目标密钥标识从第二密钥共享客户端处获取对应的目标量子密钥,从而可以使用目标量子密钥与第一应用构建通信关系,尤其可以创建二者之间的抗量子VPN。
需要说明的是,上述第一服务器集群和第二服务器集群之间具有量子通道(Quantum Channel),以使得在不同的量子密钥分发设备中,密钥标识与量子密钥的对应关系是相同的,也即,同一个密钥标识在不同的量子密钥分发设备中对应同一个量子密钥。
通常量子密钥分发设备以点对点的方式进行,如果多个对象需要量子密钥,则需要设置与对象数量相同的量子密钥分发设备,每个对象从对应的一个量子密钥分发设备处获取量子密钥,从而导致设备成本高昂,如需要扩展应用场景,则需要通过增加更多的设备来实现。而本申请上述实施例中,设置密钥共享服务端将包括量子密钥的密钥文件同步至服务器集群内的所有密钥共享客户端处,从而使得最少只需要设置一个量子密钥分发设备,其将量子密钥分发至密钥共享服务端处,即可保证所有的密钥共享客户端均可使用其分发的量子密钥。当应用接收到需要量子密钥的通信请求后,向已经具有密钥文件的密钥共享客户端请求量子密钥,从而可以根据请求得到的量子密钥完成通信请求,进而解决了现有技术中通过点对点的方式进行密钥分发导致需要配置多个量子密钥分发设备的技术问题。
作为一种可选的实施例,第一服务器集群还包括第一量子密钥分发设备和第一硬件安全装置,在第一应用接收通信请求之前,上述方法还包括:第一密钥共享服务端获取第一量子密钥分发设备分发的量子密钥和密钥标识;第一密钥共享服务端将量子密钥发送至第一硬件安全装置,其中,第一硬件安全装置对量子密钥进行加密,得到包含加密结果的密钥文件,并将密钥文件返回至第一密钥共享服务端;第一密钥共享服务端向第一服务器集群中的每个第一密钥共享客户端同步密钥文件。
具体的,上述第一硬件安全装置通过一个主密钥对量子密钥及其密钥标识进行加密,该主密钥仅有第一硬件安全装置具有,且不会移出该第一硬件安全装置之外,也即只有第一硬件安全装置本身具有该主密钥。
在上述方案中,第一密钥共享服务端从第一量子密钥分发设备处获取多个量子密钥和密钥标识,并通过硬件安全装置对量子密钥进行加密,得到加密密钥,再将加密密钥及密钥标识构成密钥文件,将密钥文件通过文件同步技术同步至每个第一密钥共享客户端。
在一种可选的实施例中,仍结合图3所示,第一密钥共享服务端向第一量子密钥分发设备请求密钥,第一量子密钥分发设备向第一密钥共享服务端分发量子密钥和对应的密钥标识。第一密钥共享服务端接收到量子密钥和密钥标识后,将其发送至第一硬件安全装置,由第一硬件安全装置对其进行加密后得到密钥文件,并将密钥文件返回给第一密钥共享服务端。第一共享密钥服务端则向第一服务器集群组建的第一数据中心中的每个第一密钥共享客户端同步该密钥文件。
需要说明的是,上述示例中,第一数据中心内具有一个量子密钥分发设备,但第一数据中心内也可以设置多个量子密钥分发设备,每个量子分发设备均将量子密钥分发至第一密钥共享服务端,其他需要量子密钥的应用均从第一密钥共享服务端获取。
上述方案使用HSM设备对量子密钥进行加密,从而实现满足合规性的数据中心量子密钥管理服务,进而能够为其他第三方应用提供量子密钥的管理以及抗量子攻击的能力。
作为一种可选的实施例,在第一密钥共享服务端获取第一量子密钥分发设备分发的量子密钥和密钥标识之前,上述方法还包括:第一密钥共享服务端向第一量子密钥分发设备发送认证信息,其中,第一量子密钥分发设备根据认证信息对第一密钥共享服务端进行认证,并向第一密钥共享服务端返回认证结果;在认证通过的情况下,第一密钥共享服务端向第一量子密钥分发设备请求量子密钥。
在上述方案中,在第一量子密钥分发设备向第一密钥共享服务端下发量子密钥之前,会对第一密钥共享服务端的身份进行验证,以确定第一密钥共享服务端的身份合法,在确定第一密钥共享服务端的身份合法后,才允许第一密钥共享服务端向其请求量子密钥。
具体的,第一量子密钥分发设备对第一密钥共享服务端的认证方式可以是基于第一密钥共享服务端所持有的证书等文件进行。
在一种可选的实施例中,第一密钥共享服务端向第一量子密钥分发设备发送包括认证证书的认证信息,第一量子密钥分发设备对认证证书进行认证后,向第一密钥共享服务端返回认证结果,该认证结果包括认证通过和认证不通过。在认证通过的情况下,第一密钥共享服务端向第一量子密钥分发设备请求量子密钥,第一量子密钥分发设备生成密钥并向第一密钥共享服务端进行分发。
作为一种可选的实施例,在第一密钥共享服务端获取第一量子密钥分发设备分发的量子密钥和密钥标识之后,上述方法还包括:第一密钥共享服务端将密钥标识发送至第二服务器集群内的第二密钥共享服务端,其中,第二密钥共享服务端根据密钥标识获取量子密钥。
在上述方案中,第二服务器集群与第一服务器集群的结构类似,第一密钥共享服务端将密钥标识发送至第二服务端,以使第二服务端能够根据该密钥标识从第二服务器集群内的第二量子密钥分发设备处获取到与第一密钥共享服务端相同的量子密钥。
作为一种可选的实施例,第一应用根据通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和目标量子密钥的目标密钥标识,包括:第一应用向至少一个第一密钥共享客户端发出密钥请求,其中,第一密钥共享客户端根据密钥请求从密钥文件中提取目标量子密钥的加密信息发送至第一硬件安全装置,由第一硬件安全装置对加密信息进行解密,得到目标量子密钥;第一应用接收第一密钥共享客户端返回的目标量子密钥。
在上述方案中,第一应用向至少一个第一密钥共享客户端发出密钥请求,该密钥请求包括第一应用此次所请求的量子密钥的数量,第一密钥共享客户端会从其所具有的密钥文件中取出与第一应用所请求的量子密钥的数量对应的加密信息发送至第一硬件安全装置进行解密,从而得到指定数量的量子密钥及其对应的密钥标识,即上述目标量子密钥。
在一种可选的实施例中,结合图3所示,VPN网关A2中的第一应用向VPN网关A2中的第一密钥共享客户端发出密钥请求,请求M个量子密钥,第一密钥共享客户端从其密钥文件中取出M个量子密钥对应的加密信息,并将M个量子密钥对应的加密信息发送至第一硬件安全装置进行解密,第一硬件安全装置对其解密后,将M个量子密钥返回给VPN网关A2中的第一密钥共享客户端,并由第一密钥共享客户端将M个量子密钥及其密钥标识返回给第一应用,从而使第一应用获得了目标量子密钥和目标密钥标识。
作为一种可选的实施例,在第一应用将目标密钥标识发送至第二应用之后,上述方法还包括:第一应用与第二应用根据目标量子密钥创建通信关系。
通过之前的交互使得第一应用和第二应用具有相同的目标量子密钥,此时第一应用和第二应用即可基于共同拥有的目标量子密钥创建通信关系。
在一种可选的实施例中,仍结合图3所示,第一应用和第二应用通过目标量子密钥建立了抗量子VPN通道(VPN tunnel)。
作为一种可选的实施例,在第一应用将目标密钥标识发送至第二应用之后,上述方法还包括:第一密钥共享客户端从密钥文件中删除目标量子密钥的加密信息,以对密钥文件进行更新;第一密钥共享客户端将对密钥文件的更新同步至第一密钥共享服务端。
在上述方案中,在第一密钥共享客户端中的一个或多个量子密钥已经被第一应用使用之后,该一个或多个量子密钥不能够继续使用,因此从第一密钥共享客户端的密钥文件中删除该一个或多个量子密钥对应的加密信息,并将删除了上述加密信息的密钥文件同步至第一密钥共享服务端。
在第一密钥共享客户端将更新后的密钥文件同步至第一密钥共享客户端后,第一密钥共享服务端还可以将更新后的密钥文件同步至其他的第一密钥共享客户端。
图4是图3中VPN网关A2中的第一应用与WPN网关B1中的第二应用创建抗量子VPN的交互图。下面对交互的步骤详细进行说明:
S41,第一共享密钥服务端向第一量子密钥分发设备发送认证信息。
S42,第一量子密钥分发设备根据认证信息对第一共享密钥服务端进行认证,并向第一共享密钥服务端返回认证结果。
S43,在认证通过的情况下,第一共享密钥服务端向第一量子密钥分发设备请求量子密钥及其密钥ID(即密钥标识)。
S44,第一量子密钥分发设备向第一服务器返回量子密钥及其密钥ID。
在上述几个步骤中,第一密钥共享服务端程序调用QKD系统厂商提供的协议/接口,在身份认证通过后,向QKD设备发送获取密钥的请求消息,QKD设备返回量子密钥,以及对应的密钥ID。实际过程中,可以一次获取多个量子密钥并做本地缓存。需要说明的是,由于QKD协议部分还于未标准化,因此不同的QKD设备在协议方面的实现上会有所区别,上述先进行身份认证,再获取量子密钥的逻辑顺序是一种可选的方式,具体实现时可以根据QKD设备提供的协议为准。
S45,第一密钥共享服务端发送一条密钥通知消息到第二数据中心的第二密钥共享服务端,消息格式可根据实际需求定义,但必须包含密钥ID。
S46,第二共享密钥服务端向第二量子密钥分发设备发送认证信息。
S47,第二量子密钥分发设备根据认证信息对第二共享密钥服务端进行认证,并向第二共享密钥服务端返回认证结果。
S48,在认证通过的情况下,第二共享密钥服务端根据密钥ID向第一量子密钥分发设备请求对应的量子密钥。
S49,第一量子密钥分发设备向第二服务器返回与密钥ID对应的量子密钥。
上述步骤S46至S49与步骤S41至S44类似,不同点在于第二服务端在发送获取密钥的消息时需要指定密钥ID,从而获取ID所对应的量子密钥。
S510,第二服务端对通知消息进行应答。此时位于两个不同数据中心的密钥共享服务端程序持有相同的量子密钥。
S511,第一密钥共享服务端将量子密钥及其密钥标识发送至第一HSM。
由于需要将密钥以文件形式进行存储,因此为了保证其机密性,要对其进行加密。HSM是满足安全合规性,用于进行密钥管理的硬件设备,采用类似KMS中的主密钥对量子密钥进行加解密的方式,将QKD生成的密钥理解为数据密钥,交由HSM中的主密钥(假设已经创建过,并且已知主密钥ID)对其进行加密。
S512,第一HSM使用主密钥对量子密钥及其密钥ID成功加密后,返回加密后的密文密钥。
S513,密钥加密完成后,将密文密钥,密钥ID,以及主密钥ID等信息打包后进行保存,输出为密钥文件。
S514,利用文件同步技术,将第一密钥共享客户端中的密钥文件向第一数据中心内部所有运行有第一密钥共享客户端程序的服务器进行文件同步分发。
S515,VPN网关A2中的第一应用接收到通信请求后,向通过第一密钥共享客户端程序提供的接口,获取一定数量的密钥。
S516,第一密钥共享客户端程序接收到获取密钥的请求,从密钥文件中获取一定数量的密文密钥和相应的其他绑定信息,发送消息到第一HSM,交由第一HSM对密文密钥进行解密。
S517,HSM解密成功后,返回解密后的明文量子密钥给第一密钥共享客户端。
S518,第一密钥共享客户端再将明文量子密钥和密钥ID继续返回给VPN应用。
S519,VPN应用在建立IKE(Internet key exchange,密钥交换)协商前,需要与对方进行密钥同步,将所要使用到的量子密钥的密钥ID信息通知给对方。
S520,第二应用将接收到的密钥ID发送消息到第二HSM,交由第二HSM对密文密钥进行解密。
S521,第二HSM解密成功后,返回解密后的明文量子密钥给第二密钥共享客户端。
S522,第二客户端再将明文量子密钥和密钥ID继续返回给VPN应用。
步骤S20至S22与步骤S15至S17类似,不同点在于,由于对第二应用给定了密钥ID,因此第二应用需要从密文文件中获取指定密钥ID的量子密钥,然后交由HSM进行解密。
S523,第二应用对通知消息进行应答,表明双方此时成功获取了相同的密钥。
S524,双方使用共有的量子密钥用建立抗量子安全通道。
S525,第一密钥共享客户端将使用过的量子密钥从密钥文件中删除。
S526,第一密钥共享客户端将删除使用过的量子密钥后的密钥文件同步至第一密钥共享服务端,保证密钥文件的实时同步更新。
S527,第二客户端将使用过的量子密钥从密钥文件中删除。
S528,第二客户端将删除使用过的量子密钥后的密钥文件同步至第二服务端,保证密钥文件的实时同步更新。
在图3的示例中,还可以包括第三服务器集群组建的第三方机房,也即第三方数据中心,第三方数据中心内包括第三量子密钥分发设备QKD C、第三密钥共享服务端以及VPN网关C1,其中,VPN网关C1中包括VPN应用以及第三密钥共享客户端。第三方数据中心还包括用于为用户提供交互界面的APP服务器。再该结构下,还可以创建第二数据中心的VPN网关B1中的VPN应用(即第二应用)与第三方数据中心中的VPN网关C1中的VPN应用之间的抗量子VPN通道,方法与上述步骤类似,此处不再赘述。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例的方法。
实施例2
根据本发明实施例,还提供了一种密钥分发方法,第二服务器集群包括第二密钥共享服务端、第二密钥共享客户端,以及与第二密钥共享客户端通信的第二应用,图5是根据本申请实施例2的一种密钥分发方法的示意图,结合图5所示,该方法包括如下步骤:
步骤S51,第二应用接收第一服务器集群内的第一应用发送的目标量子密钥对应的目标密钥标识,其中,第一应用接收到与第二应用的通信请求后,获取目标量子密钥和目标密钥标识。
具体的,上述通信请求是与第二服务器集群内的第二应用进行通信的通信请求。上述第一服务器集群和第二服务器集群均可以用于构建对应的数据中心,来实现数据中心的实际功能。下述实施例中,均以第一服务器集群组建第一数据中心,第二服务器集群组建第二数据中心为例进行说明。第一服务器集群组建的第一数据中心和第二服务器集群组建的第二数据中心内均可以配置有相同和不同的应用,上述第一应用可以是第一服务器集群内的任意一个应用,第二应用也可以是第二服务器集群内的任意一个应用。
图3是根据本申请实施例1的一种密钥分发场景的示意图,在该示例中,第一应用为第一服务器集群组建的第一数据中心内的VPN应用。
结合图3所示,第一数据中心IDC(Internet Data Center)A、第一量子密钥分发设备QKD(quantum key distribution)A、第一密钥共享服务端(Quantum key share server)以及四个VPN网关(VPN网关A1、VPN网关A2、VPN网关A3、VPN网关A4),每个VPN网关内均包括一个第一密钥共享客户端(Quantum key share client)和一个第一VPN应用(VPNapplication)。第二数据中心IDC B包括第二量子密钥分发设备QKD B、第二密钥共享服务端以及四个VPN网关(VPN网关B1、VPN网关B2、VPN网关B3、VPN网关B4),每个VPN网关内均包括一个第二密钥共享客户端(Quantum key share client)和一个第二VPN应用。
在上述的密钥分发场景中,第一应用是VPN网关A2中的VPN应用,第二应用是VPN网关B1中的VPN应用,第一应用通过VPN网关A2内的第一密钥共享客户端接收到通信请求,该通信请求指示第一应用与第二应用创建抗量子VPN。
在上述方案中,第一应用根据通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和目标量子密钥的目标密钥标识,并将目标密钥标识发送至第二应用,其中,每个第一密钥共享客户端均具有第一密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识。
步骤S53,第二应用根据目标密钥标识从第二密钥共享客户端所具有的量子密钥中,获取目标量子密钥,其中,每个第二密钥共享客户端均具有第二密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识。
在上述方案中,第二服务器集群具有多个第二密钥共享客户端,第二应用根据目标密钥标识从其中的至少一个第二密钥共享客户端处获取用于此次通信的目标量子密钥。上述第二密钥共享客户端可以具有多个量子密钥,这些量子密钥可以是用于在通信过程中对数据进行加密的数据密钥。
仍在上述方案中,第二服务器集群具有多个第二密钥共享客户端,第二密钥共享服务端向每个第二密钥共享客户端同步包含有量子密钥和密钥标识的密钥文件。第二密钥共享服务端内的密钥可以来自于第二量子密钥分发设备。
在一种可选的实施例中,结合图3所示,第二密钥共享服务端从第二量子密钥分发设备中获取多个量子密钥和对应的密钥标识,并将多个量子密钥和密钥标识作为密钥文件分发给每个VPN网关内的第二密钥共享客户端。在VPN网关B1中的VPN应用接收到目标密钥标识后,向VPN网关B1中的第二密钥共享客户端请求目标量子密钥,第二密钥共享客户端从密钥文件中取出目标量子密钥和目标密钥标识返回给VPN网关B1中的VPN应用,从而使得该VPN应用获得了目标量子密钥和目标密钥标识。
需要说明的是,由于第二服务器集群中的第二密钥共享服务端向每个第二密钥共享客户端同步密钥文件,因此每个第二密钥共享客户端均能使用密钥文件中的量子密钥,而无需每个第二密钥共享客户端均向第二量子密钥分发设备请求量子密钥。也即在上述方案中,第二密钥共享服务端可以提供抽象层接口,实现了应用于不同量子密钥分发设备之间解耦,并对应用层提供统一的接口,应用可通过调用简单易用的参数获取不同厂商的QKD设备的密钥。而密钥共享服务端作为量子密钥的密钥缓冲池,将第二量子密钥分发设备分发的量子密钥进行池化存储,再分别向每个第二密钥共享客户端进行分发,从而避免了具有多个对象需要量子密钥时需要设置多个量子密钥分发设备的情况,仅需要配置少量的量子密钥分发设备即可满足服务器集群内所有应用对量子密钥的需求,且如果对服务器集群的分发速率或高可用性具有更高的要求,还可以灵活的添加更多的设备。
还需要说明的是,上述方案基于文件同步技术,可满足服务器集群内部多节点的密钥文件的实时同步更新,进而达到了降低开发成本的技术效果。
本申请上述实施例中,设置密钥共享服务端将包括量子密钥的密钥文件同步至服务器集群内的所有密钥共享客户端处,从而使得最少只需要设置一个量子密钥分发设备,其将量子密钥分发至密钥共享服务端处,即可保证所有的密钥共享客户端均可使用其分发的量子密钥。当应用接收到需要量子密钥的通信请求后,向已经具有密钥文件的密钥共享客户端请求量子密钥,从而可以根据请求得到的量子密钥完成通信请求,进而解决了现有技术中通过点对点的方式进行密钥分发导致需要配置多个量子密钥分发设备的技术问题。
作为一种可选的实施例,第二服务器集群还包括第二量子密钥分发设备和第二硬件安全装置,在第二应用接收第一服务器集群内的第一应用发送的目标量子密钥对应的目标密钥标识之前,上述方法还包括:第二密钥共享服务端接收第一服务器集群内的第一密钥共享服务端发送的密钥标识,并根据密钥标识向第二量子密钥分发设备请求与密钥标识对应的量子密钥;第二密钥共享服务端将量子密钥发送至第二硬件安全装置,其中,第二硬件安全装置对量子密钥进行加密,得到包含加密结果的和密钥文件,并将密钥文件返回至第二密钥共享服务端;第二密钥共享服务端向每个第二密钥共享客户端同步密钥文件。
具体的,上述第二硬件安全装置通过一个主密钥对量子密钥及其密钥标识进行加密,该主密钥仅有第二硬件安全装置具有,且不会移出该第二硬件安全装置之外,也即只有第二硬件安全装置本身具有该主密钥。
在上述方案中,第二密钥共享服务端根据第一密钥共享服务端发送的密钥标识,从第二量子密钥分发设备处获取多个量子密钥,并通过第二硬件安全装置对量子密钥进行加密,得到加密密钥,再将加密密钥及密钥标识构成密钥文件,将密钥文件通过文件同步技术同步至每个第二密钥共享客户端。
在一种可选的实施例中,仍结合图3所示,第二密钥共享服务端根据第一密钥共享服务端发送的密钥标识向第二量子密钥分发设备请求量子密钥,第二量子密钥分发设备向第二密钥共享服务端分发对应的量子密钥。第二密钥共享服务端接收到量子密钥后,将其发送至第二硬件安全装置,由第二硬件安全装置对其进行加密后得到密钥文件,并将密钥文件返回给第二密钥共享服务端。第二共享密钥服务端则向第额服务器集群中的每个第二密钥共享客户端同步该密钥文件。
需要说明的是,上述示例中,第二服务器集群内具有一个量子密钥分发设备,但第二服务器集群内也可以设置多个量子密钥分发设备,每个量子分发设备均将量子密钥分发至第二密钥共享服务端,其他需要量子密钥的应用均从第二密钥共享服务端获取。
上述方案使用HSM设备对量子密钥进行加密,从而实现满足合规性的服务器集群量子密钥管理服务,进而能够为其他第三方应用提供量子密钥的管理以及抗量子攻击的能力。
作为一种可选的实施例,在第二密钥共享服务端接收第一服务器集群内的第一密钥共享服务端发送的密钥标识之后,第二密钥共享服务端向第二量子密钥分发设备发送认证信息,其中,第二量子密钥分发设备根据认证信息对第二密钥共享服务端进行认证,并向第二密钥共享服务端返回认证结果;在认证通过的情况下,第二密钥共享服务端根据密钥标识向第二量子密钥分发设备请求与密钥标识对应的量子密钥。
在上述方案中,在第二量子密钥分发设备向第二密钥共享服务端下发量子密钥之前,会对第二密钥共享服务端的身份进行验证,以确定第二密钥共享服务端的身份合法,在确定第二密钥共享服务端的身份合法后,才允许第二密钥共享服务端向其请求量子密钥。
具体的,量子密钥分发设备对密钥共享服务端的认证方式可以是基于第二密钥共享服务端所持有的证书等文件进行。
在一种可选的实施例中,第二密钥共享服务端向第二量子密钥分发设备发送包括认证证书的认证信息,第二量子密钥分发设备对认证证书进行认证后,向第二密钥共享服务端返回认证结果,该认证结果包括认证通过和认证不通过。在认证通过的情况下,第二密钥共享服务端向第二量子密钥分发设备请求量子密钥,第二量子密钥分发设备生成密钥并向第二密钥共享服务端进行分发。
作为一种可选的实施例,第二应用根据目标密钥标识从第二密钥共享客户端所具有的量子密钥中,获取目标量子密钥,包括:第二应用向至少一个第二密钥共享客户端发送目标密钥标识,其中,第二密钥共享客户端根据目标密钥标识从密钥文件中提取目标量子密钥的加密信息发送至第二硬件安全装置,由第二硬件安全装置对加密信息进行解密,得到目标量子密钥;第二应用接收第二密钥共享客户端返回的目标量子密钥。
在上述方案中,第二应用向至少一个第二密钥共享客户端发出目标密钥标识,第二密钥共享客户端会从其所具有的密钥文件中取出与目标密钥标识对应的加密信息发送至第二硬件安全装置进行解密,从而得到目标量子密钥。
在一种可选的实施例中,结合图3所示,VPN网关B1中的第二应用接收到VPN网关A2中的第一应用发送的目标密钥标识,并将目标密钥标识发送至第二密钥共享客户端,第二密钥共享客户端从其密钥文件中取出与目标密钥标识对应的量子密钥的加密信息,并将该加密信息发送至第二硬件安全装置进行解密,第二硬件安全装置对其解密后,将目标量子密钥返回给VPN网关B1中的第二密钥共享客户端,并由第二密钥共享客户端将目标量子密钥及其目标密钥标识返回给第二应用,从而使第二应用获得了目标量子密钥和目标密钥标识。
作为一种可选的实施例,在第二应用根据目标密钥标识从第二密钥共享客户端所具有的量子密钥中,获取目标量子密钥之后,上方法还包括:第二应用与第一应用根据目标量子密钥创建通信关系。
通过之前的交互使得第一应用和第二应用具有相同的目标量子密钥,此时第一应用和第二应用即可基于共同拥有的目标量子密钥创建通信关系。
在一种可选的实施例中,仍结合图3所示,第一应用和第二应用通过目标量子密钥建立了抗量子VPN通道(VPN tunnel)。
作为一种可选的实施例,在第二应用根据目标密钥标识从第二密钥共享客户端所具有的量子密钥中,获取目标量子密钥之后,上述方法还包括:第二密钥共享客户端从密钥文件中删除目标量子密钥的加密信息,以对密钥文件进行更新;第二密钥共享客户端将对密钥文件的更新同步至第二密钥共享服务端。
在上述方案中,在第二密钥共享客户端中的一个或多个量子密钥已经被第二应用使用之后,该一个或多个量子密钥不能够继续使用,因此从第二密钥共享客户端的密钥文件中删除该一个或多个量子密钥对应的加密信息,并将删除了上述加密信息的密钥文件同步至第二密钥共享服务端。
在第二密钥共享客户端将更新后的密钥文件同步至第二密钥共享客户端后,第二密钥共享服务端还可以将更新后的密钥文件同步至其他的第二密钥共享客户端。
实施例3
根据本发明实施例,还提供了一种用于实施上述实施例1的密钥分发方法的密钥分发装置,图6是根据本申请实施例3的一种密钥分发装置的示意图,第一服务器集群包括第一密钥共享服务端、第一密钥共享客户端,以及与第一密钥共享客户端通信的第一应用,如图6所示,该装置600包括:
接收模块602,用于第一应用接收通信请求,其中,通信请求用于与第二服务器集群内的第二应用通信。
获取模块604,用于第一应用根据通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和目标量子密钥的目标密钥标识,其中,每个第一密钥共享客户端均具有第一密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识。
发送模块608,用于第一应用将目标密钥标识发送至第二应用,其中,第二应用根据目标密钥标识获取目标量子密钥。
此处需要说明的是,上述接收模块602、获取模块604和发送模块608对应于实施例1中的步骤S21至步骤S25,两个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中。
作为一种可选的实施例,上述装置包括:第一获取模块,用于第一服务器集群还包括第一量子密钥分发设备和第一硬件安全装置,在第一应用接收通信请求之前,第一密钥共享服务端获取第一量子密钥分发设备分发的量子密钥和密钥标识;第一发送模块,用于第一密钥共享服务端将量子密钥发送至第一硬件安全装置,其中,第一硬件安全装置对量子密钥进行加密,得到包含加密结果的密钥文件,并将密钥文件返回至第一密钥共享服务端;第一同步模块,用于第一密钥共享服务端向第一服务器集群中的每个第一密钥共享客户端同步密钥文件。
作为一种可选的实施例,上述装置还包括:第二发送模块,用于在第一密钥共享服务端获取第一量子密钥分发设备分发的量子密钥和密钥标识之前,第一密钥共享服务端向第一量子密钥分发设备发送认证信息,其中,第一量子密钥分发设备根据认证信息对第一密钥共享服务端进行认证,并向第一密钥共享服务端返回认证结果;分发模块,用于在认证通过的情况下,第一密钥共享服务端向第一量子密钥分发设备请求量子密钥。
作为一种可选的实施例,上述装置还包括:第二发送模块,用于在第一密钥共享服务端获取第一量子密钥分发设备分发的量子密钥和密钥标识之后,第一密钥共享服务端将密钥标识发送至第二服务器集群内的第二密钥共享服务端,其中,第二密钥共享服务端根据密钥标识获取量子密钥。
作为一种可选的实施例,获取模块包括:发出子模块,用于第一应用向至少一个第一密钥共享客户端发出密钥请求,其中,第一密钥共享客户端根据密钥请求从密钥文件中提取目标量子密钥的加密信息发送至第一硬件安全装置,由第一硬件安全装置对加密信息进行解密,得到目标量子密钥;接收子模块,用于第一应用接收第一密钥共享客户端返回的目标量子密钥。
作为一种可选的实施例,上述装置还包括:创建模块,用于在第一应用将目标密钥标识发送至第二应用之后,第一应用与第二应用根据目标量子密钥创建通信关系。
作为一种可选的实施例,上述装置还包括:更新模块,用于在第一应用将目标密钥标识发送至第二应用之后,第一密钥共享客户端从密钥文件中删除目标量子密钥的加密信息,以对密钥文件进行更新;第二同步模块,用于第一密钥共享客户端将对密钥文件的更新同步至第一密钥共享服务端。
实施例4
根据本发明实施例,还提供了一种用于实施上述实施例1的密钥分发方法的密钥分发装置,图7是根据本申请实施例4的一种密钥分发装置的示意图,第二服务器集群包括第二密钥共享服务端、第二密钥共享客户端,以及与第二密钥共享客户端通信的第二应用,如图7所示,该装置700包括:
接收模块702,用于第二应用接收第一服务器集群内的第一应用发送的目标量子密钥对应的目标密钥标识,其中,第一应用接收到与第二应用的通信请求后,获取目标量子密钥和目标密钥标识。
获取模块704,用于第二应用根据目标密钥标识从第二密钥共享客户端所具有的量子密钥中,获取目标量子密钥,其中,每个第二密钥共享客户端均具有第二密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识。
作为一种可选的实施例,上述装置还包括:第一发送模块,用于第二服务器集群还包括第二量子密钥分发设备和第二硬件安全装置,在第二应用接收第一服务器集群内的第一应用发送的目标量子密钥对应的目标密钥标识之前,第二密钥共享服务端接收第一服务器集群内的第一密钥共享服务端发送的密钥标识,并根据密钥标识向第二量子密钥分发设备请求与密钥标识对应的量子密钥;第二发送模块,用于第二密钥共享服务端将量子密钥发送至第二硬件安全装置,其中,第二硬件安全装置对量子密钥进行加密,得到包含加密结果的和密钥文件,并将密钥文件返回至第二密钥共享服务端;同步模块,用于第二密钥共享服务端向每个第二密钥共享客户端同步密钥文件。
作为一种可选的实施例,上述装置还包括:第三发送模块,用于在第二密钥共享服务端接收第一服务器集群内的第一密钥共享服务端发送的密钥标识之后,第二密钥共享服务端向第二量子密钥分发设备发送认证信息,其中,第二量子密钥分发设备根据认证信息对第二密钥共享服务端进行认证,并向第二密钥共享服务端返回认证结果;请求模块,用于在认证通过的情况下,第二密钥共享服务端根据密钥标识向第二量子密钥分发设备请求与密钥标识对应的量子密钥。
作为一种可选的实施例,获取模块包括:请求子模块,用于第二应用向至少一个第二密钥共享客户端发送目标密钥标识,其中,第二密钥共享客户端根据目标密钥标识从密钥文件中提取目标量子密钥的加密信息发送至第二硬件安全装置,由第二硬件安全装置对加密信息进行解密,得到目标量子密钥;返回子模块,用于第二应用接收第二密钥共享客户端返回的目标量子密钥。
作为一种可选的实施例,上述装置还包括:创建模块,用于在第二应用根据目标密钥标识从第二密钥共享客户端所具有的量子密钥中,获取目标量子密钥之后,第二应用与第一应用根据目标量子密钥创建通信关系。
作为一种可选的实施例,上述装置还包括:更新模块,用于在第二应用根据目标密钥标识从第二密钥共享客户端所具有的量子密钥中,获取目标量子密钥之后,第二密钥共享客户端从密钥文件中删除目标量子密钥的加密信息,以对密钥文件进行更新;同步模块,用于第二密钥共享客户端将对密钥文件的更新同步至第二密钥共享服务端。
实施例5
本申请的实施例可以提供一种密钥分发系统,图8是根据本申请实施例5的一种密钥分发系统的示意图,结合图8所示,该系统包括:
第一服务器集群80,包括第一密钥共享服务端801、第一密钥共享客户端803,以及与第一密钥共享客户端803通信的第一应用805。
第二服务器集群90,包括第二密钥共享服务端901、第二密钥共享客户端903,以及与第二密钥共享客户端903通信的第二应用905。
其中,第一密钥共享服务端用于向每个第一密钥共享客户端同步密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识,第二密钥共享服务端用于向每个第二密钥共享客户端同步密钥文件;
第一应用从密钥文件中获取目标量子密钥和目标量子密钥对应的目标密钥标识,将目标密钥标识发送至第二应用,第二应用根据目标密钥标识获取目标量子密钥。
具体的,上述通信请求是与第二服务器集群内的第二应用进行通信的通信请求。上述第一服务器集群和第二服务器集群均可以由服务器集群构成,其中的服务器集群用于实现服务器集群的实际功能。第一服务器集群和第二服务器集群内均可以配置有相同和不同的应用,上述第一应用可以是第一服务器集群内的任意一个应用,第二应用也可以是第二服务器集群内的任意一个应用。
图3是根据本申请实施例1的一种密钥分发场景的示意图,在该示例中,第一应用为第一服务器集群内的VPN应用。
结合图3所示,第一服务器集群IDC(Internet Data Center)A、第一量子密钥分发设备QKD(quantum key distribution)A、第一密钥共享服务端(Quantum key shareserver)以及四个VPN网关(VPN网关A1、VPN网关A2、VPN网关A3、VPN网关A4),每个VPN网关内均包括一个第一密钥共享客户端(Quantum key share client)和一个第一VPN应用(VPNapplication)。第二服务器集群IDC B包括第二量子密钥分发设备QKD B、第二密钥共享服务端以及四个VPN网关(VPN网关B1、VPN网关B2、VPN网关B3、VPN网关B4),每个VPN网关内均包括一个第二密钥共享客户端(Quantum key share client)和一个第二VPN应用。
在上述的密钥分发场景中,第一应用是VPN网关A2中的VPN应用,第二应用是VPN网关B1中的VPN应用,第一应用通过VPN网关A2内的第一密钥共享客户端接收到通信请求,该通信请求指示第一应用与第二应用创建抗量子VPN。
在上述方案中,第一服务器集群具有多个第一密钥共享客户端,第一应用从其中的至少一个第一密钥共享客户端处获取用于此次通信的目标量子密钥和目标密钥标识。上述第一密钥共享客户端可以具有多个量子密钥,这些量子密钥可以是用于在通信过程中对数据进行加密的数据密钥。目标量子密钥可以是第一密钥共享客户端所具有的多个量子密钥中的一个或多个。第二服务器集群具有多个第二密钥共享客户端,第二应用根据目标密钥标识从其中的至少一个第二密钥共享客户端处获取用于此次通信的目标量子密钥。上述第二密钥共享客户端可以具有多个量子密钥,这些量子密钥可以是用于在通信过程中对数据进行加密的数据密钥。
仍在上述方案中,第一服务器集群具有多个第一密钥共享客户端,第一密钥共享服务端向每个第一密钥共享客户端同步包含有量子密钥和密钥标识的密钥文件。第一密钥共享服务端内的密钥可以来自于第一量子密钥分发设备。第二服务器集群具有多个第二密钥共享客户端,第二密钥共享服务端向每个第二密钥共享客户端同步包含有量子密钥和密钥标识的密钥文件。第二密钥共享服务端内的密钥可以来自于第二量子密钥分发设备。
在一种可选的实施例中,结合图3所示,第一密钥共享服务端从第一量子密钥分发设备中获取多个量子密钥和对应的密钥标识,并将多个量子密钥和密钥标识作为密钥文件分发给每个VPN网关内的第一密钥共享客户端。在VPN网关A2中的VPN应用接收到通信请求后,向VPN网关A2中的第一密钥共享客户端请求量子密钥,第一密钥共享客户端从密钥文件中取出量子密钥和密钥标识返回给VPN网关A2中的VPN应用,从而使得该VPN应用获得了目标量子密钥和目标密钥标识。VPN网关A2中的VPN应用将目标密钥标识发送至VPN网关B1中的VPN应用,在VPN网关B1中的VPN应用接收到目标密钥标识后,向VPN网关B1中的第二密钥共享客户端请求目标量子密钥,第二密钥共享客户端从密钥文件中取出目标量子密钥和目标密钥标识返回给VPN网关B1中的VPN应用,从而使得该VPN应用页获得了目标量子密钥和目标密钥标识。
本申请上述实施例中,设置密钥共享服务端将包括量子密钥的密钥文件同步至服务器集群内的所有密钥共享客户端处,从而使得最少只需要设置一个量子密钥分发设备,其将量子密钥分发至密钥共享服务端处,即可保证所有的密钥共享客户端均可使用其分发的量子密钥。当应用接收到需要量子密钥的通信请求后,向已经具有密钥文件的密钥共享客户端请求量子密钥,从而可以根据请求得到的量子密钥完成通信请求,进而解决了现有技术中通过点对点的方式进行密钥分发导致需要配置多个量子密钥分发设备的技术问题。
作为一种可选的实施例,第一服务器集群还包括:第一量子密钥分发设备和第一硬件安全装置,其中,第一量子密钥分发设备用于向第一密钥共享服务端分发量子密钥和密钥标识,第一硬件安全装置用于对量子密钥进行加密,得到包含加密结果的密钥文件,并将密钥文件返回至第一密钥共享服务端。
具体的,上述第一硬件安全装置通过一个主密钥对量子密钥及其密钥标识进行加密,该主密钥仅有第一硬件安全装置具有,且不会移出该第一硬件安全装置之外,也即只有第一硬件安全装置本身具有该主密钥。
在上述方案中,第一密钥共享服务端从第一量子密钥分发设备处获取多个量子密钥和密钥标识,并通过硬件安全装置对量子密钥进行加密,得到加密密钥,再将加密密钥及密钥标识构成密钥文件,将密钥文件通过文件同步技术同步至每个第一密钥共享客户端。
在一种可选的实施例中,仍结合图3所示,第一密钥共享服务端向第一量子密钥分发设备请求密钥,第一量子密钥分发设备向第一密钥共享服务端分发量子密钥和对应的密钥标识。第一密钥共享服务端接收到量子密钥和密钥标识后,将其发送至第一硬件安全装置,由第一硬件安全装置对其进行加密后得到密钥文件,并将密钥文件返回给第一密钥共享服务端。第一共享密钥服务端则向第一服务器集群中的每个第一密钥共享客户端同步该密钥文件。
需要说明的是,上述示例中,第一服务器集群内具有一个量子密钥分发设备,但第一服务器集群内也可以设置多个量子密钥分发设备,每个量子分发设备均将量子密钥分发至第一密钥共享服务端,其他需要量子密钥的应用均从第一密钥共享服务端获取。
上述方案使用HSM设备对量子密钥进行加密,从而实现满足合规性的服务器集群量子密钥管理服务,进而能够为其他第三方应用提供量子密钥的管理以及抗量子攻击的能力。
作为一种可选的实施例,第一密钥共享服务端还用于将密钥标识发送至第二密钥共享服务端,第二服务器集群还包括:第二量子密钥分发设备和第二硬件安全装置,第二量子密钥分发设备用于根据密钥标识向第二密钥共享服务端分发与密钥标识对应的量子密钥,第二硬件安全装置用于对量子密钥进行加密,得到包含加密结果的密钥文件,并将密钥文件返回至第二密钥共享服务端。
具体的,上述第二硬件安全装置通过一个主密钥对量子密钥及其密钥标识进行加密,该主密钥仅有第二硬件安全装置具有,且不会移出该第二硬件安全装置之外,也即只有第二硬件安全装置本身具有该主密钥。
在上述方案中,第二密钥共享服务端根据第一密钥共享服务端发送的密钥标识,从第二量子密钥分发设备处获取多个量子密钥,并通过第二硬件安全装置对量子密钥进行加密,得到加密密钥,再将加密密钥及密钥标识构成密钥文件,将密钥文件通过文件同步技术同步至每个第二密钥共享客户端。
在一种可选的实施例中,仍结合图3所示,第二密钥共享服务端根据第一密钥共享服务端发送的密钥标识向第二量子密钥分发设备请求量子密钥,第二量子密钥分发设备向第二密钥共享服务端分发对应的量子密钥。第二密钥共享服务端接收到量子密钥后,将其发送至第二硬件安全装置,由第二硬件安全装置对其进行加密后得到密钥文件,并将密钥文件返回给第二密钥共享服务端。第二共享密钥服务端则向第额服务器集群中的每个第二密钥共享客户端同步该密钥文件。
需要说明的是,上述示例中,第二服务器集群内具有一个量子密钥分发设备,但第二服务器集群内也可以设置多个量子密钥分发设备,每个量子分发设备均将量子密钥分发至第二密钥共享服务端,其他需要量子密钥的应用均从第二密钥共享服务端获取。
上述方案使用HSM设备对量子密钥进行加密,从而实现满足合规性的服务器集群量子密钥管理服务,进而能够为其他第三方应用提供量子密钥的管理以及抗量子攻击的能力。
作为一种可选的实施例,第二应用还用于将目标密钥标识发送至第二密钥共享客户端,第二密钥共享客户端还用于从密钥文件中提取与目标密钥标识对应的加密信息,并将加密信息发送至第二硬件安全装置,由第二硬件安全装置对加密信息进行解密,得到目标量子密钥。
在上述方案中,第二应用向至少一个第二密钥共享客户端发出目标密钥标识,第二密钥共享客户端会从其所具有的密钥文件中取出与目标密钥标识对应的加密信息发送至第二硬件安全装置进行解密,从而得到目标量子密钥。
在一种可选的实施例中,结合图3所示,VPN网关B1中的第二应用接收到VPN网关A2中的第一应用发送的目标密钥标识,并将目标密钥标识发送至第二密钥共享客户端,第二密钥共享客户端从其密钥文件中取出与目标密钥标识对应的量子密钥的加密信息,并将该加密信息发送至第二硬件安全装置进行解密,第二硬件安全装置对其解密后,将目标量子密钥返回给VPN网关B1中的第二密钥共享客户端,并由第二密钥共享客户端将目标量子密钥及其目标密钥标识返回给第二应用,从而使第二应用获得了目标量子密钥和目标密钥标识。
作为一种可选的实施例,第一应用还用于与第二应用通过目标量子密钥建立通信关系。
通过之前的交互使得第一应用和第二应用具有相同的目标量子密钥,此时第一应用和第二应用即可基于共同拥有的目标量子密钥创建通信关系。
在一种可选的实施例中,仍结合图3所示,第一应用和第二应用通过目标量子密钥建立了抗量子VPN通道(VPN tunnel)。
作为一种可选的实施例,第一密钥共享客户端还用于从密钥文件中删除目标量子密钥的加密信息,以对密钥文件进行更新,并将对密钥文件的更新同步至第一密钥共享服务端。
在上述方案中,在第一密钥共享客户端中的一个或多个量子密钥已经被第一应用使用之后,该一个或多个量子密钥不能够继续使用,因此从第一密钥共享客户端的密钥文件中删除该一个或多个量子密钥对应的加密信息,并将删除了上述加密信息的密钥文件同步至第一密钥共享服务端。
在第一密钥共享客户端将更新后的密钥文件同步至第一密钥共享客户端后,第一密钥共享服务端还可以将更新后的密钥文件同步至其他的第一密钥共享客户端。
作为一种可选的实施例,第二密钥共享客户端还用于从密钥文件中删除目标量子密钥的加密信息,以对密钥文件进行更新,并将对密钥文件的更新同步至第二密钥共享服务端。
在上述方案中,在第二密钥共享客户端中的一个或多个量子密钥已经被第二应用使用之后,该一个或多个量子密钥不能够继续使用,因此从第二密钥共享客户端的密钥文件中删除该一个或多个量子密钥对应的加密信息,并将删除了上述加密信息的密钥文件同步至第二密钥共享服务端。
在第二密钥共享客户端将更新后的密钥文件同步至第二密钥共享客户端后,第二密钥共享服务端还可以将更新后的密钥文件同步至其他的第二密钥共享客户端。
需要说明的是,本实施例中的第一服务器集群可以为实施例1中的第一服务器集群,本实施例中的第二服务器集群可以为实施例2中的第二服务器集群,因此在不冲突的情况下本实施例允许与实施例1和实施例2的方案组成新的实施例,此处不对所有方案都进行赘述。
实施例6
本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行密钥分发方法中以下步骤的程序代码:第一应用接收通信请求,其中,通信请求用于与第二服务器集群内的第二应用通信;第一应用根据通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和目标量子密钥的目标密钥标识,其中,每个第一密钥共享客户端均具有第一密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识;第一应用将目标密钥标识发送至第二应用,其中,第二应用根据目标密钥标识获取目标量子密钥。
可选地,图9是根据本发明实施例的一种计算机终端的结构框图。如图9所示,该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器902、存储器904、以及外设接口906。
其中,存储器可用于存储软件程序以及模块,如本发明实施例中的密钥分发方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的密钥分发方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:第一应用接收通信请求,其中,通信请求用于与第二服务器集群内的第二应用通信;第一应用根据通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和目标量子密钥的目标密钥标识,其中,每个第一密钥共享客户端均具有第一密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识;第一应用将目标密钥标识发送至第二应用,其中,第二应用根据目标密钥标识获取目标量子密钥。
可选的,上述处理器还可以执行如下步骤的程序代码:第一服务器集群还包括第一量子密钥分发设备和第一硬件安全装置,在第一应用接收通信请求之前,第一密钥共享服务端获取第一量子密钥分发设备分发的量子密钥和密钥标识;第一密钥共享服务端将量子密钥发送至第一硬件安全装置,其中,第一硬件安全装置对量子密钥进行加密,得到包含加密结果的密钥文件,并将密钥文件返回至第一密钥共享服务端;第一密钥共享服务端向第一服务器集群中的每个第一密钥共享客户端同步密钥文件。
可选的,上述处理器还可以执行如下步骤的程序代码:在第一密钥共享服务端获取第一量子密钥分发设备分发的量子密钥和密钥标识之前,第一密钥共享服务端向第一量子密钥分发设备发送认证信息,其中,第一量子密钥分发设备根据认证信息对第一密钥共享服务端进行认证,并向第一密钥共享服务端返回认证结果;在认证通过的情况下,第一密钥共享服务端向第一量子密钥分发设备请求量子密钥。
可选的,上述处理器还可以执行如下步骤的程序代码:在第一密钥共享服务端获取第一量子密钥分发设备分发的量子密钥和密钥标识之后,第一密钥共享服务端将密钥标识发送至第二服务器集群内的第二密钥共享服务端,其中,第二密钥共享服务端根据密钥标识获取量子密钥。
可选的,上述处理器还可以执行如下步骤的程序代码:第一应用向至少一个第一密钥共享客户端发出密钥请求,其中,第一密钥共享客户端根据密钥请求从密钥文件中提取目标量子密钥的加密信息发送至第一硬件安全装置,由第一硬件安全装置对加密信息进行解密,得到目标量子密钥;第一应用接收第一密钥共享客户端返回的目标量子密钥。
可选的,上述处理器还可以执行如下步骤的程序代码:在第一应用将目标密钥标识发送至第二应用之后,第一应用与第二应用根据目标量子密钥创建通信关系。
可选的,上述处理器还可以执行如下步骤的程序代码:在第一应用将目标密钥标识发送至第二应用之后,第一密钥共享客户端从密钥文件中删除目标量子密钥的加密信息,以对密钥文件进行更新;第一密钥共享客户端将对密钥文件的更新同步至第一密钥共享服务端。
采用本发明实施例,提供了一种密钥分发方法。本申请上述实施例中,设置密钥共享服务端将包括量子密钥的密钥文件同步至服务器集群内的所有密钥共享客户端处,从而使得最少只需要设置一个量子密钥分发设备,其将量子密钥分发至密钥共享服务端处,即可保证所有的密钥共享客户端均可使用其分发的量子密钥。当应用接收到需要量子密钥的通信请求后,向已经具有密钥文件的密钥共享客户端请求量子密钥,从而可以根据请求得到的量子密钥完成通信请求,进而解决了现有技术中通过点对点的方式进行密钥分发导致需要配置多个量子密钥分发设备的技术问题。
本领域普通技术人员可以理解,图9所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图9其并不对上述电子装置的结构造成限定。例如,计算机终端A还可包括比图9中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图9所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例7
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的密钥分发方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:第一应用接收通信请求,其中,通信请求用于与第二服务器集群内的第二应用通信;第一应用根据通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和目标量子密钥的目标密钥标识,其中,每个第一密钥共享客户端均具有第一密钥共享服务端同步的密钥文件,密钥文件包括量子密钥和量子密钥对应的密钥标识;第一应用将目标密钥标识发送至第二应用,其中,第二应用根据目标密钥标识获取目标量子密钥。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (23)
1.一种密钥分发方法,其特征在于,第一服务器集群包括第一密钥共享服务端、第一密钥共享客户端,以及与所述第一密钥共享客户端通信的第一应用,所述密钥分发方法包括:
所述第一应用接收通信请求,其中,所述通信请求用于与第二服务器集群内的第二应用通信;
所述第一应用根据所述通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和所述目标量子密钥的目标密钥标识,其中,每个所述第一密钥共享客户端均具有所述第一密钥共享服务端同步的密钥文件,所述密钥文件包括量子密钥和所述量子密钥对应的密钥标识;
所述第一应用将所述目标密钥标识发送至所述第二应用,其中,所述第二应用根据所述目标密钥标识获取所述目标量子密钥。
2.根据权利要求1所述的方法,其特征在于,所述第一服务器集群还包括第一量子密钥分发设备和第一硬件安全装置,在所述第一应用接收通信请求之前,所述方法还包括:
所述第一密钥共享服务端获取第一量子密钥分发设备分发的所述量子密钥和所述密钥标识;
所述第一密钥共享服务端将所述量子密钥发送至第一硬件安全装置,其中,所述第一硬件安全装置对所述量子密钥进行加密,得到包含加密结果的密钥文件,并将所述密钥文件返回至所述第一密钥共享服务端;
所述第一密钥共享服务端向所述第一服务器集群中的每个所述第一密钥共享客户端同步所述密钥文件。
3.根据权利要求2所述的方法,其特征在于,在所述第一密钥共享服务端获取第一量子密钥分发设备分发的所述量子密钥和所述密钥标识之前,所述方法还包括:
所述第一密钥共享服务端向所述第一量子密钥分发设备发送认证信息,其中,所述第一量子密钥分发设备根据所述认证信息对所述第一密钥共享服务端进行认证,并向所述第一密钥共享服务端返回认证结果;
在认证通过的情况下,所述第一密钥共享服务端向所述第一量子密钥分发设备请求量子密钥。
4.根据权利要求2所述的方法,其特征在于,在所述第一密钥共享服务端获取第一量子密钥分发设备分发的所述量子密钥和所述密钥标识之后,所述方法还包括:
所述第一密钥共享服务端将所述密钥标识发送至所述第二服务器集群内的第二密钥共享服务端,其中,所述第二密钥共享服务端根据所述密钥标识获取所述量子密钥。
5.根据权利要求2所述的方法,其特征在于,所述第一应用根据所述通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和所述目标量子密钥的目标密钥标识,包括:
所述第一应用向至少一个所述第一密钥共享客户端发出密钥请求,其中,所述第一密钥共享客户端根据所述密钥请求从所述密钥文件中提取目标量子密钥的加密信息发送至所述第一硬件安全装置,由所述第一硬件安全装置对所述加密信息进行解密,得到所述目标量子密钥;
所述第一应用接收所述第一密钥共享客户端返回的所述目标量子密钥。
6.根据权利要求1所述的方法,其特征在于,在所述第一应用将所述目标密钥标识发送至所述第二应用之后,所述方法还包括:
所述第一应用与所述第二应用根据所述目标量子密钥创建通信关系。
7.根据权利要求1所述的方法,其特征在于,在所述第一应用将所述目标密钥标识发送至所述第二应用之后,所述方法还包括:
所述第一密钥共享客户端从所述密钥文件中删除所述目标量子密钥的加密信息,以对所述密钥文件进行更新;
所述第一密钥共享客户端将对所述密钥文件的更新同步至所述第一密钥共享服务端。
8.一种密钥分发方法,其特征在于,第二服务器集群包括第二密钥共享服务端、第二密钥共享客户端,以及与所述第二密钥共享客户端通信的第二应用,所述密钥分发方法包括:
第二应用接收第一服务器集群内的第一应用发送的目标量子密钥对应的目标密钥标识,其中,所述第一应用接收到与所述第二应用的通信请求后,获取所述目标量子密钥和所述目标密钥标识;
所述第二应用根据所述目标密钥标识从所述第二密钥共享客户端所具有的量子密钥中,获取所述目标量子密钥,其中,每个所述第二密钥共享客户端均具有所述第二密钥共享服务端同步的密钥文件,所述密钥文件包括量子密钥和所述量子密钥对应的密钥标识。
9.根据权利要求8所述的方法,其特征在于,所述第二服务器集群还包括第二量子密钥分发设备和第二硬件安全装置,在第二应用接收第一服务器集群内的第一应用发送的目标量子密钥对应的目标密钥标识之前,所述方法还包括:
所述第二密钥共享服务端接收所述第一服务器集群内的第一密钥共享服务端发送的密钥标识,并根据所述密钥标识向所述第二量子密钥分发设备请求与所述密钥标识对应的量子密钥;
所述第二密钥共享服务端将所述量子密钥发送至第二硬件安全装置,其中,所述第二硬件安全装置对所述量子密钥进行加密,得到包含加密结果的和密钥文件,并将所述密钥文件返回至所述第二密钥共享服务端;
所述第二密钥共享服务端向每个所述第二密钥共享客户端同步所述密钥文件。
10.根据权利要求9所述的方法,其特征在于,在所述第二密钥共享服务端接收所述第一服务器集群内的第一密钥共享服务端发送的密钥标识之后,所述方法还包括:
所述第二密钥共享服务端向所述第二量子密钥分发设备发送认证信息,其中,所述第二量子密钥分发设备根据所述认证信息对所述第二密钥共享服务端进行认证,并向所述第二密钥共享服务端返回认证结果;
在认证通过的情况下,所述第二密钥共享服务端根据所述密钥标识向所述第二量子密钥分发设备请求与所述密钥标识对应的量子密钥。
11.根据权利要求9所述的方法,其特征在于,所述第二应用根据所述目标密钥标识从所述第二密钥共享客户端所具有的量子密钥中,获取所述目标量子密钥,包括:
所述第二应用向至少一个所述第二密钥共享客户端发送目标密钥标识,其中,所述第二密钥共享客户端根据所述目标密钥标识从所述密钥文件中提取目标量子密钥的加密信息发送至所述第二硬件安全装置,由所述第二硬件安全装置对所述加密信息进行解密,得到所述目标量子密钥;
所述第二应用接收所述第二密钥共享客户端返回的所述目标量子密钥。
12.根据权利要求8所述的方法,其特征在于,在所述第二应用根据所述目标密钥标识从所述第二密钥共享客户端所具有的量子密钥中,获取所述目标量子密钥之后,所述方法还包括:
所述第二应用与所述第一应用根据所述目标量子密钥创建通信关系。
13.根据权利要求8所述的方法,其特征在于,在所述第二应用根据所述目标密钥标识从所述第二密钥共享客户端所具有的量子密钥中,获取所述目标量子密钥之后,所述方法还包括:
所述第二密钥共享客户端从所述密钥文件中删除所述目标量子密钥的加密信息,以对所述密钥文件进行更新;
所述第二密钥共享客户端将对所述密钥文件的更新同步至所述第二密钥共享服务端。
14.一种密钥分发系统,其特征在于,包括:
第一服务器集群,包括第一密钥共享服务端、第一密钥共享客户端,以及与所述第一密钥共享客户端通信的第一应用;
第二服务器集群,包括第二密钥共享服务端、第二密钥共享客户端,以及与所述第二密钥共享客户端通信的第二应用;
其中,所述第一密钥共享服务端用于向每个所述第一密钥共享客户端同步密钥文件,所述密钥文件包括量子密钥和所述量子密钥对应的密钥标识,所述第二密钥共享服务端用于向每个所述第二密钥共享客户端同步密钥文件;
所述第一应用从所述密钥文件中获取目标量子密钥和所述目标量子密钥对应的目标密钥标识,将所述目标密钥标识发送至所述第二应用,所述第二应用根据所述目标密钥标识获取所述目标量子密钥。
15.根据权利要求14所述的系统,其特征在于,所述第一服务器集群还包括:第一量子密钥分发设备和第一硬件安全装置,其中,所述第一量子密钥分发设备用于向所述第一密钥共享服务端分发所述量子密钥和密钥标识,所述第一硬件安全装置用于对所述量子密钥进行加密,得到包含加密结果的密钥文件,并将所述密钥文件返回至所述第一密钥共享服务端。
16.根据权利要求15所述的系统,其特征在于,所述第一密钥共享服务端还用于将所述密钥标识发送至所述第二密钥共享服务端,所述第二服务器集群还包括:第二量子密钥分发设备和第二硬件安全装置,所述第二量子密钥分发设备用于根据所述密钥标识向所述第二密钥共享服务端分发与所述密钥标识对应的量子密钥,所述第二硬件安全装置用于对所述量子密钥进行加密,得到包含加密结果的密钥文件,并将所述密钥文件返回至所述第二密钥共享服务端。
17.根据权利要求16所述的系统,其特征在于,所述第二应用还用于将所述目标密钥标识发送至所述第二密钥共享客户端,所述第二密钥共享客户端还用于从所述密钥文件中提取与所述目标密钥标识对应的加密信息,并将所述加密信息发送至所述第二硬件安全装置,由所述第二硬件安全装置对所述加密信息进行解密,得到所述目标量子密钥。
18.根据权利要求14所述的系统,其特征在于,所述第一应用还用于与所述第二应用通过所述目标量子密钥建立通信关系。
19.根据权利要求14所述的系统,其特征在于,所述第一密钥共享客户端还用于从所述密钥文件中删除所述目标量子密钥的加密信息,以对所述密钥文件进行更新,并将对所述密钥文件的更新同步至所述第一密钥共享服务端。
20.根据权利要求14所述的系统,其特征在于,所述第二密钥共享客户端还用于从所述密钥文件中删除所述目标量子密钥的加密信息,以对所述密钥文件进行更新,并将对所述密钥文件的更新同步至所述第二密钥共享服务端。
21.一种密钥分发装置,其特征在于,第一服务器集群包括第一密钥共享服务端、第一密钥共享客户端,以及与所述第一密钥共享客户端通信的第一应用,所述密钥分发装置包括:
接收模块,用于所述第一应用接收通信请求,其中,所述通信请求用于与第二服务器集群内的第二应用通信;
获取模块,用于所述第一应用根据所述通信请求从至少一个第一密钥共享客户端所具有的量子密钥中,获取至少一个目标量子密钥和所述目标量子密钥的目标密钥标识,其中,每个所述第一密钥共享客户端均具有所述第一密钥共享服务端同步的密钥文件,所述密钥文件包括量子密钥和所述量子密钥对应的密钥标识;
发送模块,用于所述第一应用将所述目标密钥标识发送至所述第二应用,其中,所述第二应用根据所述目标密钥标识获取所述目标量子密钥。
22.一种密钥分发装置,其特征在于,第二服务器集群包括第二密钥共享服务端、第二密钥共享客户端,以及与所述第二密钥共享客户端通信的第二应用,所述密钥分发装置包括:
接收模块,用于第二应用接收第一服务器集群内的第一应用发送的目标量子密钥对应的目标密钥标识,其中,所述第一应用接收到与所述第二应用的通信请求后,获取所述目标量子密钥和所述目标密钥标识;
获取模块,用于所述第二应用根据所述目标密钥标识从所述第二密钥共享客户端所具有的量子密钥中,获取所述目标量子密钥,其中,每个所述第二密钥共享客户端均具有所述第二密钥共享服务端同步的密钥文件,所述密钥文件包括量子密钥和所述量子密钥对应的密钥标识。
23.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至13中任意一项所述的密钥分发方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010219169.1A CN113452514B (zh) | 2020-03-25 | 2020-03-25 | 密钥分发方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010219169.1A CN113452514B (zh) | 2020-03-25 | 2020-03-25 | 密钥分发方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113452514A CN113452514A (zh) | 2021-09-28 |
| CN113452514B true CN113452514B (zh) | 2023-05-02 |
Family
ID=77806875
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010219169.1A Active CN113452514B (zh) | 2020-03-25 | 2020-03-25 | 密钥分发方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113452514B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113612612A (zh) * | 2021-09-30 | 2021-11-05 | 阿里云计算有限公司 | 一种数据加密传输方法、系统、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108574569A (zh) * | 2017-03-08 | 2018-09-25 | 中国移动通信有限公司研究院 | 一种基于量子密钥的认证方法及认证装置 |
| CN109039615A (zh) * | 2018-10-15 | 2018-12-18 | 北京天融信网络安全技术有限公司 | 利用ssl vpn协议获取量子密钥的方法及相应设备和存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660603B (zh) * | 2015-02-14 | 2017-02-22 | 山东量子科学技术研究院有限公司 | IPSec VPN中扩展使用量子密钥的方法及系统 |
| CN108737323B (zh) * | 2017-04-13 | 2021-06-18 | 山东量子科学技术研究院有限公司 | 一种数字签名方法、装置及系统 |
| EP3432509B1 (en) * | 2017-07-21 | 2021-06-09 | ID Quantique S.A. | Quantum enhanced application security |
| US11070368B2 (en) * | 2018-09-11 | 2021-07-20 | Dycrav Security Incorporated | System, method, and program for transmitting and receiving any type of secure digital data |
-
2020
- 2020-03-25 CN CN202010219169.1A patent/CN113452514B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108574569A (zh) * | 2017-03-08 | 2018-09-25 | 中国移动通信有限公司研究院 | 一种基于量子密钥的认证方法及认证装置 |
| CN109039615A (zh) * | 2018-10-15 | 2018-12-18 | 北京天融信网络安全技术有限公司 | 利用ssl vpn协议获取量子密钥的方法及相应设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113452514A (zh) | 2021-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110049016B (zh) | 区块链的数据查询方法、装置、系统、设备及存储介质 | |
| CN104811444B (zh) | 一种安全的云端控制方法 | |
| WO2017185692A1 (zh) | 密钥分发、认证方法,装置及系统 | |
| TW201919363A (zh) | 量子金鑰的分發系統及其分發方法和資料處理方法 | |
| CN112400299B (zh) | 一种数据交互方法及相关设备 | |
| CN108173644A (zh) | 数据传输加密方法、装置、存储介质、设备及服务器 | |
| CN111404950B (zh) | 一种基于区块链网络的信息共享方法、装置和相关设备 | |
| CN111756530B (zh) | 量子服务移动引擎系统、网络架构及相关设备 | |
| CN110912852B (zh) | 获取密钥的方法、装置和系统,存储介质和计算机终端 | |
| CN109905474B (zh) | 基于区块链的数据安全共享方法和装置 | |
| CN101605137A (zh) | 安全分布式文件系统 | |
| CN109873801B (zh) | 在用户和可信计算集群之间建立可信通道的方法、装置、存储介质及计算设备 | |
| CN109218291B (zh) | 一种基于区块链的数据流转方法、系统及相关设备 | |
| CN110601825B (zh) | 密文的处理方法及装置、存储介质、电子装置 | |
| CN109862103B (zh) | 基于区块链的文件数据安全共享方法和装置 | |
| CN107172001B (zh) | 网站代理服务器的控制方法及装置、密钥代理服务器 | |
| CN115632779B (zh) | 一种基于配电网的量子加密通信方法及系统 | |
| CN111614670A (zh) | 加密文件的发送方法及装置、存储介质 | |
| CN113239403A (zh) | 一种数据共享方法及装置 | |
| CN109104273A (zh) | 报文处理方法以及接收端服务器 | |
| CN110166460B (zh) | 业务帐号的注册方法和装置、存储介质、电子装置 | |
| CN111988323A (zh) | IPSec隧道建立方法、装置、网络系统及电子设备 | |
| CN108206738B (zh) | 一种量子密钥输出方法及系统 | |
| CN114244513A (zh) | 密钥协商方法、设备及存储介质 | |
| CN113452514B (zh) | 密钥分发方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40059945 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |