CN114553418A - 业务方法、装置、系统和终端 - Google Patents
业务方法、装置、系统和终端 Download PDFInfo
- Publication number
- CN114553418A CN114553418A CN202210294032.1A CN202210294032A CN114553418A CN 114553418 A CN114553418 A CN 114553418A CN 202210294032 A CN202210294032 A CN 202210294032A CN 114553418 A CN114553418 A CN 114553418A
- Authority
- CN
- China
- Prior art keywords
- quantum
- quantum key
- terminal
- service system
- management service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000006854 communication Effects 0.000 claims abstract description 48
- 238000004891 communication Methods 0.000 claims abstract description 47
- 238000009826 distribution Methods 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 10
- 238000003860 storage Methods 0.000 claims description 9
- 230000005610 quantum mechanics Effects 0.000 claims description 7
- 230000004044 response Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 24
- 230000006870 function Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开提供了一种业务方法、装置、系统和终端,涉及通信领域。该业务方法包括第一终端与第二终端通信之前,标识同步平台向第一量子密钥管理服务系统和第二量子密钥管理服务系统发送密管标识;第二量子密钥管理服务系统根据密管标识,将加密的预先存储的量子密钥发送至第二终端;以及第一量子密钥管理服务系统根据密管标识,将加密的预先存储的量子密钥发送至第一终端;第一终端和第二终端分别利用在量子密钥管理服务系统充注的量子随机数,对加密的量子密钥解密,利用解密的量子密钥进行加密通信。本公开能够降低终端申请量子密钥的响应时间,提高了加密通信效率。
Description
技术领域
本公开涉及通信领域,尤其涉及一种业务方法、装置、系统和终端。
背景技术
近年来,QKD(quantum key distribution,量子密钥分发)技术受到广泛关注。QKD技术可以使相距遥远的两个用户共享理论上无条件安全的密钥,结合“一次一密”的加密通信原理,可以在理论上保证密钥的不可窃听性,从而实现通信系统的无条件安全性。
相关技术中,产生量子密钥的响应时间在分钟量级,这就限制了低延时类应用场景的发展。
发明内容
本公开要解决的一个技术问题是,提供一种业务方法、装置、系统和终端,能够降低终端申请量子密钥的响应时间,提高了加密通信效率。
根据本公开一方面,提出一种业务方法,包括:第一终端与第二终端通信之前,标识同步平台向第一终端对应的第一量子密钥管理服务系统和第二终端对应的第二量子密钥管理服务系统发送密管标识;第二量子密钥管理服务系统根据密管标识,将加密的预先存储的量子密钥发送至第二终端,以便第二终端利用在第二量子密钥管理服务系统充注的第二量子随机数,对加密的量子密钥解密后,与第一终端进行加密通信;以及第一量子密钥管理服务系统根据密管标识,将加密的预先存储的量子密钥发送至第一终端,以便第一终端利用在第一量子密钥管理服务系统充注的第一量子随机数,对加密的量子密钥解密后,与第二终端进行加密通信。
在一些实施例中,量子密钥分发系统预先将生成的量子密钥发送至第一量子密钥管理服务系统和第二量子密钥管理服务系统;第一量子密钥管理服务系统生成第一量子随机数,并利用第一量子随机数对量子密钥进行加密;以及第二量子密钥管理服务系统生成第二量子随机数,并利用第二量子随机数对量子密钥进行加密。
在一些实施例中,量子密钥分发系统预先生成的量子密钥包括:量子密钥分发系统中的量子密钥分发网络控制器向第一终端对应的第一密钥管理器和第二终端对应的第二密钥管理器下发指令生成量子密钥,第一密钥管理器对应的第一量子密钥分发QKD终端和第二密钥管理器对应的第二QKD终端通过协商,将生成的量子密钥发送至对应的密钥管理器,第一密钥管理器将量子密钥发送至第一量子密钥管理服务系统的第一密码机,第二密钥管理器将量子密钥发送至第二量子密钥管理服务系统的第二密码机。
在一些实施例中,第一量子密钥管理服务系统中的第一量子随机数发生器,基于量子力学原理生成第一量子随机数,并将第一量子随机数发送至第一密码机,其中,第一终端在第一密码机充注第一量子随机数,第一密钥管理系统在调用第一密码机内保存的量子密钥时,利用第一量子随机数对量子密钥进行加密;以及第二量子密钥管理服务系统中的第二量子随机数发生器,基于量子力学原理生成第二量子随机数,并将第二量子随机数发送至第二密码机,其中,第二终端在第二密码机充注第二量子随机数,第二密钥管理系统在调用第二密码机内保存的量子密钥时,利用第二量子随机数对量子密钥进行加密。
在一些实施例中,标识同步平台在接收到第一终端发起的业务请求后,寻找第二终端,向第二终端发送同步标识,并向第一终端反馈同步标识。
在一些实施例中,第一量子密钥管理服务系统和第二量子密钥管理服务系统为同一量子密钥管理服务系统,或位于不同的域。
根据本公开的另一方面,还提出一种业务方法,由终端执行,包括:在量子密钥管理服务系统,充注量子随机数;向量子密钥管理服务系统申请量子密钥;利用量子随机数,对量子密钥管理服务系统预先保存的加密的量子密钥进行解密;以及利用解密后的量子密钥进行加密通信。
根据本公开的另一方面,还提出一种业务装置,包括:标识同步平台,被配置为第一终端与第二终端通信之前,向第一终端对应的第一量子密钥管理服务系统和第二终端对应的第二量子密钥管理服务系统发送密管标识;第一量子密钥管理服务系统,被配置为根据密管标识,将加密的预先存储的量子密钥发送至第一终端,以便第一终端利用在第一量子密钥管理服务系统充注的第一量子随机数,对加密的量子密钥解密后,与第二终端进行加密通信;以及第二量子密钥管理服务系统,被配置为根据密管标识,将加密的预先存储的量子密钥发送至第二终端,以便第二终端利用在第二量子密钥管理服务系统充注的第二量子随机数,对加密的量子密钥解密后,与第一终端进行加密通信。
在一些实施例中,该业务装置还包括:量子密钥分发系统,被配置为预先将生成的量子密钥发送至第一量子密钥管理服务系统和第二量子密钥管理服务系统,其中,第一量子密钥管理服务系统还被配置为生成第一量子随机数,并利用第一量子随机数对量子密钥进行加密;以及第二量子密钥管理服务系统还被配置为生成第二量子随机数,并利用第二量子随机数对量子密钥进行加密。
在一些实施例中,量子密钥分发系统包括:量子密钥分发网络控制器,被配置为向第一终端对应的第一密钥管理器和第二终端对应的第二密钥管理器下发指令生成量子密钥;第一量子密钥分发QKD终端,被配置为通过与第二QKD终端协商,生成量子密钥,并将量子密钥发送第一密钥管理器;第二QKD终端,被配置为通过与第一QKD终端协商,生成量子密钥,并将量子密钥发送第二密钥管理器;第一密钥管理器,被配置为将量子密钥发送至第一量子密钥管理服务系统的第一密码机;以及第二密钥管理器,被配置为将量子密钥发送至第二量子密钥管理服务系统的第二密码机。
在一些实施例中,第一量子密钥管理服务系统包括:第一量子随机数发生器,被配置为基于量子力学原理生成第一量子随机数,并将第一量子随机数发送至第一密码机,其中,第一终端在第一密码机充注第一量子随机数;第一密码机,被配置为保存量子密钥和第一量子随机数;第一密钥管理系统,被配置为在调用第一密码机内保存的量子密钥时,利用第一量子随机数对量子密钥进行加密;第二量子密钥管理服务系统包括:第二量子随机数发生器,被配置为基于量子力学原理生成第二量子随机数,并将第二量子随机数发送至第二密码机,其中,第二终端在第二密码机充注第二量子随机数;第二密码机,被配置为保存量子密钥和第二量子随机数;第二密钥管理系统,被配置为在调用第二密码机内保存的量子密钥时,利用第二量子随机数对量子密钥进行加密。
在一些实施例中,第一量子密钥管理服务系统和第二量子密钥管理服务系统,为同一量子密钥管理服务系统,或位于不同的域。
根据本公开的另一方面,还提出一种终端,包括:随机数充注单元,被配置为在量子密钥管理服务系统,充注量子随机数;密钥申请单元,被配置为向量子密钥管理服务系统申请量子密钥;解密单元,被配置为利用量子随机数,对量子密钥管理服务系统预先保存的加密的量子密钥进行解密;以及通信单元,被配置为利用解密后的量子密钥进行加密通信。
根据本公开的另一方面,还提出一种业务系统,包括:上述的业务装置;以及上述的终端。
根据本公开的另一方面,还提出一种电子设备,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行如上述的业务方法。
根据本公开的另一方面,还提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现如上述的业务方法。
本公开实施例中,量子密钥管理服务系统预先存储量子密钥,使得终端能够在量子密钥管理服务系统中直接获取基于QKD技术提前分发的量子密钥,相比于现有技术中生成量子密钥的响应时间在分钟量级,本实施例的业务终端从申请密钥到获取密钥可在300ms内完成,降低了时延,能够提高系统的通信速率。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1为本公开的业务方法的一些实施例的流程示意图;
图2为本公开的业务方法的另一些实施例的流程示意图;
图3为本公开的业务系统的一些实施例的结构示意图;
图4为本公开的业务方法的另一些实施例的流程示意图;
图5为本公开的业务方法的另一些实施例的流程示意图;
图6为本公开的业务装置的一些实施例的结构示意图;
图7为本公开的量子密钥管理服务系统的一些实施例的结构示意图;
图8为本公开的业务装置的另一些实施例的结构示意图;
图9为本公开的量子密钥分发系统的一些实施例的结构示意图;
图10为本公开的终端的一些实施例的结构示意图;以及
图11为本公开的电子设备的一些实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
图1为本公开的业务方法的一些实施例的流程示意图。
在步骤110,第一终端与第二终端通信之前,标识同步平台向第一终端对应的第一量子密钥管理服务系统和第二终端对应的第二量子密钥管理服务系统发送密管标识。
在一些实施例中,第一终端为主叫终端,第二终端为被叫终端,第一终端向标识同步平台发起呼叫类业务,标识同步平台寻找第二终端,并向第一终端和第二终端发送同步标识,第一终端和第二终端收到同步标识后,确认能够相互通信。第二终端向第二量子密钥管理服务系统申请量子密钥,第一终端向第一量子密钥管理服务系统申请量子密钥,标识同步平台将密管标识发送至第一量子密钥管理服务系统和第二量子密钥管理服务系统,从而使得第一终端和第二终端获得相同的量子密钥。
在一些实施例中,第一量子密钥管理服务系统和第二量子密钥管理服务系统为同一量子密钥管理服务系统。例如,第一终端和第二终端距离较近时,向同一量子密钥管理服务系统申请量子密钥。
在一些实施例中,第一量子密钥管理服务系统和第二量子密钥管理服务系统位于不同的域。例如,第一终端和第二终端距离较远时,第一终端和第二终端能够去对应的量子密钥管理服务系统申请量子密钥,从而使得异地分布的用户能够实时同步量子密钥。
在步骤120,第二量子密钥管理服务系统根据密管标识,将加密的预先存储的量子密钥发送至第二终端,以便第二终端利用在第二量子密钥管理服务系统充注的第二量子随机数,对加密的量子密钥解密后,与第一终端进行加密通信。
在步骤130,第一量子密钥管理服务系统根据密管标识,将加密的预先存储的量子密钥发送至第一终端,以便第一终端利用在第一量子密钥管理服务系统充注的第一量子随机数,对加密的量子密钥解密后,与第二终端进行加密通信。
由被叫方先申请密钥,再由主叫方申请密钥,能够避免主叫方先申请密钥,被叫方不在网络内,密钥被浪费的问题。
在上述实施例中,第一终端和第二终端能够利用预先保存在量子密钥管理服务系统的量子密钥进行加密通信,相比于现有技术中生成量子密钥的响应时间在分钟量级,本实施例的业务终端从申请密钥到获取密钥可在300ms内完成,降低了时延,能够提高系统的通信速率。
图2为本公开的业务方法的另一些实施例的流程示意图。
在步骤210,量子密钥分发系统预先将生成的量子密钥发送至第一量子密钥管理服务系统和第二量子密钥管理服务系统。
在一些实施例中,如图3所示,量子密钥分发系统包括QKD终端、KM(Key Manager,密钥管理器)以及QKDN控制器。QKD终端间进行量子密钥的传输,中间的可信QKD节点用于量子密钥的传递。每个QKD节点都由对应的KM进行量子密钥分发控制、量子密钥管理、量子密钥中继、以及量子密钥输出,以保证量子密钥的发送端与接收端共享完全一致的密钥串。KM的管理由QKDN控制器统一调度,以实现量子设备管理、量子密钥生成控制以及量子密钥路由等功能。
在一些实施例中,QKDN控制器向第一终端对应的第一密钥管理器KM-A和第二终端对应的第二密钥管理器KM-B下发指令生成密钥,第一密钥管理器KM-A对应的第一QKD终端QKD-A和第二密钥管理器KM-B对应的第二QKD终端QKD-B通过协商,将生成的量子密钥发送至对应的密钥管理器KM,第一密钥管理器KM-A将量子密钥发送至第一量子密钥管理服务系统的第一密码机,第二密钥管理器KM-B将量子密钥发送至第二量子密钥管理服务系统的第二密码机。
在一些实施例中,第一密钥管理器KM-A和第二密钥管理器KM-B分别对量子密钥进行后处理,例如,对原始的量子密钥进行误码纠错、保密增强等操作后,发送至对应的密码机。
在步骤220,第一量子密钥管理服务系统生成第一量子随机数,并利用第一量子随机数对量子密钥进行加密。
在一些实施例中,如图3所示,量子密钥管理服务系统包括QRNG(Quantum randomnumber generation,量子随机数发生器)、密码机和密钥管理系统。密码机用于存储QKD系统传递的量子密钥,具有数据加解密、签名、验签等功能。QRNG用于产生量子随机数,在对密码机中的量子密钥加密后,由密钥管理系统下发给用户终端。
在一些实施例中,第一量子密钥管理服务系统包括第一QRNG、第一密码机和第一密钥管理系统。第一QRNG,基于量子力学原理生成第一量子随机数,并将第一量子随机数发送至第一密码机,其中,第一终端在第一密码机充注第一量子随机数。在一些实施例中,第一QRNG产生的量子随机数是复制到第一密码机和第一终端,对于具体的实现方式不做要求。
第一密钥管理系统在调用第一密码机内保存的量子密钥时,利用第一量子随机数对量子密钥进行加密,从而能够保证量子密钥能够安全地传递到用户终端。
在步骤230,第二量子密钥管理服务系统生成第二量子随机数,并利用第二量子随机数对量子密钥进行加密。
第二量子密钥管理服务系统包括第二QRNG、第二密码机和第二密钥管理系统。第二QRNG,基于量子力学原理生成第二量子随机数,并将第二量子随机数发送至第二密码机,其中,第二终端在第二密码机充注第二量子随机数。在一些实施例中,第二QRNG产生的量子随机数是复制到第二密码机和第二终端,对于具体的实现方式不做要求。
第二密钥管理系统在调用第二密码机内保存的量子密钥时,利用第二量子随机数对量子密钥进行加密,从而能够保证量子密钥能够安全地传递到用户终端。
在一些实施例中,步骤220和步骤230可同时执行,也可以不分先后执行。
在上述实施例中,提供了灵活的量子密钥申请、密钥链路建立、按需提供密钥的能力,从密码机中直接获取基于QKD技术提前分发的量子密钥,能够保证位于两地的用户应用终端灵活申请并实时同步量子密钥,使得通信更加高效、便捷,极大地扩展基于低延时业务的应用场景。
图4为本公开的业务方法的另一些实施例的流程示意图。该实施例由终端执行。
在步骤410,在量子密钥管理服务系统,充注量子随机数。
在一些实施例中,第一终端在第一量子密钥管理服务系统,充注第一量子随机数。第二终端在第二量子密钥管理服务系统,充注第二量子随机数。
在步骤420,向量子密钥管理服务系统申请量子密钥。
在一些实施例中,终端得到标识同步平台的标识ID后,根据不同的业务类型和场景向密钥管理系统申请量子密钥。
在步骤430,利用量子随机数,对量子密钥管理服务系统预先保存的加密的量子密钥进行解密。
在步骤440,利用解密后的量子密钥进行加密通信。
在上述实施例中,终端在量子密钥管理服务系统中直接获取基于QKD技术提前分发的量子密钥,极大地降低了申请量子密钥的响应时间,提高了加密通信效率,尤其适用于低延时类的呼叫类业务场景。另外,与基于量子随机数本地生成的量子密钥相比,本公开利用了基于量子力学的量子密钥分发技术,保证了窃听者如果在信道到窃取密钥信息就一定会被通信双方发现,从原理上保证了通信过程的理论上无条件安全性。
图5为本公开的业务方法的另一些实施例的流程示意图。
在步骤510,第一终端向标识同步平台发起呼叫类业务。
在步骤520,标识同步平台寻找第二终端,并向第二终端下发同步标识。
在步骤530,标识同步平台向第一终端反馈同步标识。
在一些实施例中,第一终端和第二终端都收到同步标识后,说明可以进行后续通信。
在步骤540,第二终端向所对应的密钥服务管理系统申请量子密钥。
在该实施例中,主叫方要确认被叫方在网络区内能保持通话状态才能进行通信,因此,由被叫方先申请密钥,再由主叫方申请密钥,能够避免主叫方先申请密钥,被叫方不在网络内,密钥被浪费的问题。
在步骤550,标识同步平台向第二终端的密钥服务管理系统发送密管标识。
在步骤560,密钥服务管理系统下发加密后的量子密钥给第二终端。
在步骤570,标识同步平台向第一终端的密钥服务管理系统发送密管标识。
标识同步平台将密管标识发送给主叫和被叫方的密钥服务管理系统,能够确保通信双方使用同一串相同的密钥进行通信。
在步骤580,第一终端向所对应的密钥服务管理系统申请量子密钥。
在步骤590,密钥服务管理系统下发加密后的量子密钥给第一终端。
在步骤5100,第一终端和第二终端结合提前充注的量子随机数解密得到量子密钥,利用该量子密钥进行加密通信。
在上述实施例中,由于量子网络提供的量子密钥已经提前分发至密钥服务管理系统的密码机内,因此,业务终端从申请密钥到获取密钥可在300ms内完成,也就是说,异地分布的用户能够实时同步量子密钥,优异的低延时特性极大地提升了系统的通信速率,可适用于多种应用场景。另外,本公开的发送方和接受方可根据需求进行通信,无需实时进行会话和交流,节约了系统资源。
图6为本公开的业务装置的一些实施例的结构示意图。该业务装置包括标识同步平台610、第一量子密钥管理服务系统620和第二量子密钥管理服务系统630。
在一些实施例中,第一量子密钥管理服务系统620和第二量子密钥管理服务系统630,为同一量子密钥管理服务系统,或位于不同的域。
本公开能够保证位于两地的用户能够灵活申请并实时同步量子密钥,使得终端通信更加高效、便捷。
标识同步平台610被配置为第一终端与第二终端通信之前,向第一终端对应的第一量子密钥管理服务系统和第二终端对应的第二量子密钥管理服务系统发送密管标识。
在一些实施例中,标识同步平台610在接收到第一终端发起的业务请求后,寻找第二终端,向第二终端发送同步标识,并向第一终端反馈同步标识。
第一量子密钥管理服务系统620被配置为根据密管标识,将加密的预先存储的量子密钥发送至第一终端,以便第一终端利用在第一量子密钥管理服务系统充注的第一量子随机数,对加密的量子密钥解密后,与第二终端进行加密通信。
在一些实施例中,如图7所示,第一量子密钥管理服务系统620包括:第一QRNG621、第一密码机622和第一密钥管理系统623。
第一QRNG 621被配置为基于量子力学原理生成第一量子随机数,并将第一量子随机数发送至第一密码机622,其中,第一终端在第一密码机622充注第一量子随机数。
第一密码机622被配置为保存量子密钥和第一量子随机数。
在一些实施例中,密码机用于存储QKD系统传递的量子密钥,具有数据加解密、签名、验签等功能。
第一密钥管理系统623被配置为在调用第一密码机622内保存的量子密钥时,利用第一量子随机数对量子密钥进行加密。
第二量子密钥管理服务系统630被配置为根据密管标识,将加密的预先存储的量子密钥发送至第二终端,以便第二终端利用在第二量子密钥管理服务系统充注的第二量子随机数,对加密的量子密钥解密后,与第一终端进行加密通信。
在一些实施例中,如图7所示,第二量子密钥管理服务系统630包括第二QRNG 631、第二密码机632和第二密钥管理系统633。
第二QRNG 631被配置为基于量子力学原理生成第二量子随机数,并将第二量子随机数发送至第二密码机,其中,第二终端在第二密码机充注第二量子随机数。
第二密码机632被配置为保存量子密钥和第二量子随机数。
第二密钥管理系统633被配置为在调用第二密码机内保存的量子密钥时,利用第二量子随机数对量子密钥进行加密。
在上述实施例中,量子网络提供的量子密钥已经提前分发至密钥管理系统,使得终端能够从密钥管理系统中直接获取基于QKD技术提前分发的量子密钥,极大地降低了申请量子密钥的响应时间,提高了加密通信效率,尤其适用于低延时类的呼叫类业务场景。
图8为本公开的业务装置的另一些实施例的结构示意图。该业务装置包括上述实施例中的标识同步平台610、第一量子密钥管理服务系统620和第二量子密钥管理服务系统630外,还包括量子密钥分发系统810。量子密钥分发系统,被配置为预先将生成的量子密钥发送至第一量子密钥管理服务系统和第二量子密钥管理服务系统,其中,第一量子密钥管理服务系统还被配置为生成第一量子随机数,并利用第一量子随机数对量子密钥进行加密;以及第二量子密钥管理服务系统还被配置为生成第二量子随机数,并利用第二量子随机数对量子密钥进行加密。
在一些实施例中,量子密钥分发系统810包括QKD终端、KM以及QKDN控制器。QKD终端和KM包括多个,QKD终端间进行量子密钥的传输,中间的可信QKD节点用于量子密钥的传递。每个QKD节点都由对应的KM进行量子密钥分发控制、量子密钥管理、量子密钥中继、以及量子密钥输出,以保证量子密钥的发送端与接收端共享完全一致的密钥串。KM的管理由QKDN控制器统一调度,以实现量子设备管理、量子密钥生成控制以及量子密钥路由等功能。
如图9所示,QKDN控制器811被配置为向第一终端对应的第一KM 812和第二终端对应的第二KM 813下发指令生成量子密钥。第一QKD终端814被配置为通过与第二QKD终端815终端协商,生成量子密钥,并将量子密钥发送第一KM 812;第二QKD终端815被配置为通过与第一QKD终端814协商,生成量子密钥,并将量子密钥发送第二KM 813;第一KM 812被配置为将量子密钥发送至第一量子密钥管理服务系统的第一密码机;以及第二KM 813被配置为将量子密钥发送至第二量子密钥管理服务系统的第二密码机。
在上述实施例中,量子密钥分发系统预先生成量子密钥,并将量子密钥保存至密钥管理系统,能够保证位于两地的用户应用终端灵活申请并实时同步量子密钥,使得通信更高效、便捷。
图10为本公开的终端的一些实施例的结构示意图,该终端即可以是主叫终端,也可以是被叫终端。该终端包括随机数充注单元1010、密钥申请单元1020、解密单元1030和通信单元1040。
随机数充注单元1010被配置为在量子密钥管理服务系统,充注量子随机数。密钥申请单元1020被配置为向量子密钥管理服务系统申请量子密钥。解密单元1030被配置为利用量子随机数,对量子密钥管理服务系统预先保存的加密的量子密钥进行解密。通信单元1040被配置为利用解密后的量子密钥进行加密通信。
本公开提出的异地实时同步对称密钥的量子加密方法,能够保证位于两地的用户应用终端灵活申请并实时同步量子密钥,提高了通信效率。另外,发送方和接受方可根据需求进行通信,无需实时进行会话和交流,节约了系统资源。
在本公开的另一些实施例中,还保护一种业务系统,如图3所示,该业务系统包括上述的业务装置和终端。
图11为本公开的电子设备的一些实施例的结构示意图。该电子设备1100包括存储器1110和处理器1120。其中:存储器1110可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储图1、2、4、5所对应实施例中的指令。处理器1120耦接至存储器1110,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器1120用于执行存储器中存储的指令。
在一些实施例中,处理器1120通过BUS总线1130耦合至存储器1110。该电子设备1100还可以通过存储接口1140连接至外部存储系统1150以便调用外部数据,还可以通过网络接口1160连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,能够降低终端申请量子密钥的响应时间,提高了加密通信效率。
在另一些实施例中,一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现图1、2、4、5所对应实施例中的方法的步骤。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
Claims (16)
1.一种业务方法,包括:
第一终端与第二终端通信之前,标识同步平台向第一终端对应的第一量子密钥管理服务系统和第二终端对应的第二量子密钥管理服务系统发送密管标识;
所述第二量子密钥管理服务系统根据所述密管标识,将加密的预先存储的量子密钥发送至第二终端,以便第二终端利用在第二量子密钥管理服务系统充注的第二量子随机数,对加密的量子密钥解密后,与第一终端进行加密通信;以及
所述第一量子密钥管理服务系统根据所述密管标识,将加密的预先存储的量子密钥发送至第一终端,以便第一终端利用在第一量子密钥管理服务系统充注的第一量子随机数,对加密的量子密钥解密后,与第二终端进行加密通信。
2.根据权利要求1所述的业务方法,还包括:
量子密钥分发系统预先将生成的量子密钥发送至所述第一量子密钥管理服务系统和所述第二量子密钥管理服务系统;
所述第一量子密钥管理服务系统生成第一量子随机数,并利用所述第一量子随机数对所述量子密钥进行加密;以及
所述第二量子密钥管理服务系统生成第二量子随机数,并利用所述第二量子随机数对所述量子密钥进行加密。
3.根据权利要求2所述的业务方法,其中,所述量子密钥分发系统预先生成的量子密钥包括:
所述量子密钥分发系统中的量子密钥分发网络控制器向第一终端对应的第一密钥管理器和第二终端对应的第二密钥管理器下发指令生成量子密钥,第一密钥管理器对应的第一量子密钥分发QKD终端和第二密钥管理器对应的第二QKD终端通过协商,将生成的量子密钥发送至对应的密钥管理器,第一密钥管理器将量子密钥发送至所述第一量子密钥管理服务系统的第一密码机,第二密钥管理器将量子密钥发送至所述第二量子密钥管理服务系统的第二密码机。
4.根据权利要求3所述的业务方法,其中,
所述第一量子密钥管理服务系统中的第一量子随机数发生器,基于量子力学原理生成第一量子随机数,并将所述第一量子随机数发送至第一密码机,其中,所述第一终端在所述第一密码机充注所述第一量子随机数,第一密钥管理系统在调用所述第一密码机内保存的量子密钥时,利用所述第一量子随机数对所述量子密钥进行加密;以及
所述第二量子密钥管理服务系统中的第二量子随机数发生器,基于量子力学原理生成第二量子随机数,并将所述第二量子随机数发送至第二密码机,其中,所述第二终端在所述第二密码机充注所述第二量子随机数,第二密钥管理系统在调用所述第二密码机内保存的量子密钥时,利用所述第二量子随机数对所述量子密钥进行加密。
5.根据权利要求1所述的业务方法,还包括:
所述标识同步平台在接收到第一终端发起的业务请求后,寻找第二终端,向所述第二终端发送同步标识,并向所述第一终端反馈所述同步标识。
6.根据权利要求1至5任一所述的业务方法,其中,
所述第一量子密钥管理服务系统和所述第二量子密钥管理服务系统为同一量子密钥管理服务系统,或位于不同的域。
7.一种业务方法,由终端执行,包括:
在量子密钥管理服务系统,充注量子随机数;
向所述量子密钥管理服务系统申请量子密钥;
利用量子随机数,对所述量子密钥管理服务系统预先保存的加密的量子密钥进行解密;以及
利用解密后的量子密钥进行加密通信。
8.一种业务装置,包括:
标识同步平台,被配置为第一终端与第二终端通信之前,向第一终端对应的第一量子密钥管理服务系统和第二终端对应的第二量子密钥管理服务系统发送密管标识;
第一量子密钥管理服务系统,被配置为根据所述密管标识,将加密的预先存储的量子密钥发送至第一终端,以便第一终端利用在第一量子密钥管理服务系统充注的第一量子随机数,对加密的量子密钥解密后,与第二终端进行加密通信;以及
第二量子密钥管理服务系统,被配置为根据所述密管标识,将加密的预先存储的量子密钥发送至第二终端,以便第二终端利用在第二量子密钥管理服务系统充注的第二量子随机数,对加密的量子密钥解密后,与第一终端进行加密通信。
9.根据权利要求8所述的业务装置,还包括:
量子密钥分发系统,被配置为预先将生成的量子密钥发送至所述第一量子密钥管理服务系统和所述第二量子密钥管理服务系统,其中,
所述第一量子密钥管理服务系统还被配置为生成第一量子随机数,并利用所述第一量子随机数对所述量子密钥进行加密;以及
所述第二量子密钥管理服务系统还被配置为生成第二量子随机数,并利用所述第二量子随机数对所述量子密钥进行加密。
10.根据权利要求9所述的业务装置,其中,所述量子密钥分发系统包括:
量子密钥分发网络控制器,被配置为向第一终端对应的第一密钥管理器和第二终端对应的第二密钥管理器下发指令生成量子密钥;
第一量子密钥分发QKD终端,被配置为通过与第二QKD终端协商,生成量子密钥,并将量子密钥发送第一密钥管理器;
第二QKD终端,被配置为通过与第一QKD终端协商,生成量子密钥,并将量子密钥发送第二密钥管理器;
第一密钥管理器,被配置为将量子密钥发送至所述第一量子密钥管理服务系统的第一密码机;以及
第二密钥管理器,被配置为将量子密钥发送至所述第二量子密钥管理服务系统的第二密码机。
11.根据权利要求10所述的业务装置,其中,
所述第一量子密钥管理服务系统包括:
第一量子随机数发生器,被配置为基于量子力学原理生成第一量子随机数,并将所述第一量子随机数发送至第一密码机,其中,所述第一终端在所述第一密码机充注所述第一量子随机数;
第一密码机,被配置为保存量子密钥和第一量子随机数;
第一密钥管理系统,被配置为在调用所述第一密码机内保存的量子密钥时,利用所述第一量子随机数对所述量子密钥进行加密;
所述第二量子密钥管理服务系统包括:
第二量子随机数发生器,被配置为基于量子力学原理生成第二量子随机数,并将所述第二量子随机数发送至第二密码机,其中,所述第二终端在所述第二密码机充注所述第二量子随机数;
第二密码机,被配置为保存量子密钥和第二量子随机数;
第二密钥管理系统,被配置为在调用所述第二密码机内保存的量子密钥时,利用所述第二量子随机数对所述量子密钥进行加密。
12.根据权利要求8至11任一所述的业务装置,其中,
所述第一量子密钥管理服务系统和所述第二量子密钥管理服务系统,为同一量子密钥管理服务系统,或位于不同的域。
13.一种终端,包括:
随机数充注单元,被配置为在量子密钥管理服务系统,充注量子随机数;
密钥申请单元,被配置为向所述量子密钥管理服务系统申请量子密钥;
解密单元,被配置为利用量子随机数,对量子密钥管理服务系统预先保存的加密的量子密钥进行解密;以及
通信单元,被配置为利用解密后的量子密钥进行加密通信。
14.一种业务系统,包括:
权利要求8至12任一所述的业务装置;以及
权利要求13所述的终端。
15.一种电子设备,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至7任一项所述的业务方法。
16.一种非瞬时性计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现如权利要求1至7任一项所述的业务方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210294032.1A CN114553418A (zh) | 2022-03-24 | 2022-03-24 | 业务方法、装置、系统和终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210294032.1A CN114553418A (zh) | 2022-03-24 | 2022-03-24 | 业务方法、装置、系统和终端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114553418A true CN114553418A (zh) | 2022-05-27 |
Family
ID=81666107
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210294032.1A Pending CN114553418A (zh) | 2022-03-24 | 2022-03-24 | 业务方法、装置、系统和终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114553418A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024012529A1 (zh) * | 2022-07-15 | 2024-01-18 | 中国移动通信有限公司研究院 | 密钥管理方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108737092A (zh) * | 2018-06-15 | 2018-11-02 | 董绍锋 | 移动终端管理服务器、移动终端、业务云平台和应用系统 |
CN109756325A (zh) * | 2017-11-05 | 2019-05-14 | 成都零光量子科技有限公司 | 一种利用量子密钥提升移动办公系统安全性的方法 |
CN109842442A (zh) * | 2017-11-26 | 2019-06-04 | 成都零光量子科技有限公司 | 一种以机场为区域中心的量子密钥服务网络与方法 |
CN110430053A (zh) * | 2019-08-08 | 2019-11-08 | 国网安徽省电力有限公司信息通信分公司 | 一种量子密钥的分发方法、装置及系统 |
CN113536362A (zh) * | 2021-09-16 | 2021-10-22 | 中科问天量子科技(天津)有限公司 | 一种基于安全芯片载体的量子密钥管理方法及系统 |
-
2022
- 2022-03-24 CN CN202210294032.1A patent/CN114553418A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109756325A (zh) * | 2017-11-05 | 2019-05-14 | 成都零光量子科技有限公司 | 一种利用量子密钥提升移动办公系统安全性的方法 |
CN109842442A (zh) * | 2017-11-26 | 2019-06-04 | 成都零光量子科技有限公司 | 一种以机场为区域中心的量子密钥服务网络与方法 |
CN108737092A (zh) * | 2018-06-15 | 2018-11-02 | 董绍锋 | 移动终端管理服务器、移动终端、业务云平台和应用系统 |
CN110430053A (zh) * | 2019-08-08 | 2019-11-08 | 国网安徽省电力有限公司信息通信分公司 | 一种量子密钥的分发方法、装置及系统 |
CN113536362A (zh) * | 2021-09-16 | 2021-10-22 | 中科问天量子科技(天津)有限公司 | 一种基于安全芯片载体的量子密钥管理方法及系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024012529A1 (zh) * | 2022-07-15 | 2024-01-18 | 中国移动通信有限公司研究院 | 密钥管理方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110224814B (zh) | 一种区块链数据共享方法及装置 | |
CN111464301B (zh) | 一种密钥管理方法及系统 | |
CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
US20030026433A1 (en) | Method and apparatus for cryptographic key establishment using an identity based symmetric keying technique | |
WO2019200530A1 (zh) | 终端主密钥的远程分发方法及其系统 | |
CN113630407B (zh) | 使用对称密码技术增强mqtt协议传输安全的方法和系统 | |
CN113612605A (zh) | 使用对称密码技术增强mqtt协议身份认证方法、系统和设备 | |
WO2023082599A1 (zh) | 基于量子密钥的区块链网络安全通信方法 | |
CN109525390A (zh) | 用于终端设备保密通信的量子密钥无线分发方法及系统 | |
CN104221023A (zh) | 数字权利管理 | |
CN109525388B (zh) | 一种密钥分离的组合加密方法及系统 | |
CN113612608B (zh) | 一种双模对讲机基于公网实现集群加密的方法及系统 | |
CN109005184A (zh) | 文件加密方法及装置、存储介质、终端 | |
CN113239403A (zh) | 一种数据共享方法及装置 | |
US11088835B1 (en) | Cryptographic module to generate cryptographic keys from cryptographic key parts | |
CN115643007A (zh) | 一种密钥协商更新方法 | |
CN114553418A (zh) | 业务方法、装置、系统和终端 | |
CN112737783B (zh) | 一种基于sm2椭圆曲线的解密方法及设备 | |
CN114765543A (zh) | 一种量子密码网络扩展设备的加密通信方法及系统 | |
CN112995210B (zh) | 一种数据传输方法、装置及电子设备 | |
CN110536287B (zh) | 一种前向安全实现方法及装置 | |
CN114866312A (zh) | 一种保护数据隐私的共有数据确定方法及装置 | |
CN113645235A (zh) | 分布式数据加解密系统及加解密方法 | |
CN114070549A (zh) | 一种密钥生成方法、装置、设备和存储介质 | |
CN114760053B (zh) | 一种对称密钥的分发方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |