TWI683566B - 量子密鑰輸出方法、儲存一致性驗證方法、裝置及系統 - Google Patents

量子密鑰輸出方法、儲存一致性驗證方法、裝置及系統 Download PDF

Info

Publication number
TWI683566B
TWI683566B TW104142727A TW104142727A TWI683566B TW I683566 B TWI683566 B TW I683566B TW 104142727 A TW104142727 A TW 104142727A TW 104142727 A TW104142727 A TW 104142727A TW I683566 B TWI683566 B TW I683566B
Authority
TW
Taiwan
Prior art keywords
key
quantum
quantum key
address range
verification
Prior art date
Application number
TW104142727A
Other languages
English (en)
Other versions
TW201644226A (zh
Inventor
付穎芳
劉栓林
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201644226A publication Critical patent/TW201644226A/zh
Application granted granted Critical
Publication of TWI683566B publication Critical patent/TWI683566B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0858Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Optical Communication System (AREA)

Abstract

本發明公開了一種量子密鑰輸出方法及裝置、一種量子密鑰獲取方法及裝置、一種量子密鑰儲存輸出方法及裝置、一種量子密鑰分發儲存方法及裝置、一種量子密鑰輸出系統、以及一種用於驗證量子密鑰儲存一致性的方法及裝置。其中,所述量子密鑰輸出方法包括:收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求;收發雙方密鑰管理設備接收密鑰獲取請求後,將通過一致性驗證的量子密鑰發送給相應資料設備,供相應資料設備執行資料加解密操作。採用上述方法,由於收發雙方密鑰管理設備對在相同位址範圍中儲存的量子密鑰進行了一致性驗證,從而確保輸出量子密鑰的有用性,即向資料設備輸出的量子密鑰是對稱的,為資料加解密的正確執行提供保障。

Description

量子密鑰輸出方法、儲存一致性驗證方法、裝置及系統
本發明涉及量子密鑰輸出技術,具體涉及一種量子密鑰輸出方法及裝置。本發明同時涉及一種量子密鑰獲取方法及裝置、一種量子密鑰儲存輸出方法及裝置、一種量子密鑰分發儲存方法及裝置、一種量子密鑰輸出系統、以及一種用於驗證量子密鑰儲存一致性的方法及裝置。
為了保障資料傳輸的安全性,發送方資料設備通常採用加密演算法進行加密,接收方資料設備則採用對應的解密演算法對收到的資料解密。經典密碼長久以來能夠較好的解決上述資料安全傳輸問題,但經典密碼學的安全性是基於計算複雜度的,隨著雲端計算、量子計算等在計算能力方面的飛速提高,經典密碼學面臨很大的被破解的風險。而量子密碼作為量子力學和密碼學的交叉產物,其安全性基於量子力學原理保證(未知量子態的測不準原理、測量坍縮原理、不可克隆原理),與攻擊者的計算能力和儲存能力無關,可以很好地為資料傳輸提供安全保障;此 外,由於量子密鑰屬於對稱密鑰,進行資料加解密操作的計算成本低、執行效率較高,因此成為資料安全傳輸的理想選擇。
請參見圖1,其為量子密鑰輸出系統的示意圖。採用量子密鑰進行資料保密傳輸的基本過程是這樣的:位於發送方和接收方的量子密鑰分發設備,通過量子密鑰分發協定協商量子密鑰,並根據密鑰管理設備的需求,將儲存在相同位址範圍的量子密鑰提供給對應的密鑰管理設備;收發雙方密鑰管理設備採用相同位址範圍儲存接收到的量子密鑰,並根據對應的資料設備的密鑰獲取請求,將在相同位址範圍中儲存的量子密鑰輸出給所述資料設備,發送方資料設備利用獲取的量子密鑰對待發送資料進行加密傳輸,接收方資料設備則利用獲取的量子密鑰對接收到的資料進行解密,從而實現了資料的高效、安全傳輸。
在實際應用中,上述處理過程存在如下缺陷:(1)將量子密鑰分發設備獲取的量子密鑰發送並寫入對應的量子密鑰管理設備時,由於網路丟包以及硬碟資料寫入出錯等原因,導致收發雙方密鑰管理設備依據相同儲存位址向收發雙方資料設備輸出的量子密鑰可能並不相同,通常也稱為不對稱或者不一致,從而導致接收方資料設備無法執行正確的解密操作,也就無法獲取正確的原始資料;(2)收發雙方資料設備獲取量子密鑰不一致的次數超過預設閾值時,收發雙方量子密鑰管理設備通常要通過重 啟等方式,清空所有已獲取的量子密鑰,才能消除輸出量子密鑰不一致的問題,這是對已生成的量子密鑰的浪費。
本發明實施例提供一種量子密鑰輸出方法及裝置,以解決現有的收發雙方密鑰管理設備輸出量子密鑰不一致的問題。本發明實施例還提供一種量子密鑰獲取方法及裝置、一種量子密鑰儲存輸出方法及裝置、一種量子密鑰分發儲存方法及裝置、一種量子密鑰輸出系統、以及一種用於驗證量子密鑰儲存一致性的方法及裝置。
本發明提供一種量子密鑰輸出方法,包括:收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求;收發雙方密鑰管理設備接收所述密鑰獲取請求後,將通過一致性驗證的量子密鑰發送給相應資料設備,供相應資料設備執行資料加解密操作;其中,所述一致性驗證是指,收發雙方密鑰管理設備將從各自對應的量子密鑰分發設備獲取的量子密鑰儲存在相同位址範圍後,驗證雙方在所述相同位址範圍中儲存的量子密鑰是否相同;若相同,則視為所述的通過一致性驗證。
可選的,所述方法包括:所述與收發雙方密鑰管理設備對應的量子密鑰分發設 備,將通過量子密鑰分發協定協商獲取的量子密鑰儲存在相同位址範圍後,驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可供相應密鑰管理設備獲取的量子密鑰。
可選的,所述通過一致性驗證的量子密鑰是在收發雙方資料設備發送密鑰獲取請求之前,預先儲存在收發雙方密鑰管理設備中的;相應的,在收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求之前,執行下述操作:收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存所述量子密鑰;收發雙方密鑰管理設備向各自的量子密鑰分發設備發送密鑰獲取請求;收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備;收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性;相應的,所述將通過一致性驗證的量子密鑰發送給相應資料設備,包括:收發雙方密鑰管理設備從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
可選的,在執行所述收發雙方密鑰管理設備向各自的量子密鑰分發設備發送密鑰獲取請求之前,執行下述操作:收發雙方量子密鑰分發設備將可供獲取的量子密鑰數量通知給各自的密鑰管理設備。
可選的,在所述收發雙方密鑰管理設備接收所述密鑰獲取請求後、在所述將通過一致性驗證的量子密鑰發送給相應資料設備之前,執行下述操作:收發雙方密鑰管理設備分別向各自的量子密鑰分發設備發送所述密鑰獲取請求;收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存所述量子密鑰;收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備;收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性;相應的,所述將通過一致性驗證的量子密鑰發送給相應資料設備,包括:收發雙方密鑰管理設備從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
可選的,當所述收發雙方密鑰管理設備驗證雙方在所 述相同位址範圍中儲存的量子密鑰不一致時,執行下述操作:清除在所述相同位址範圍中儲存的量子密鑰,並轉到向各自的量子密鑰分發設備發送密鑰獲取請求的步驟執行。
可選的,所述收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存所述量子密鑰後,執行下述操作:收發雙方量子密鑰分發設備驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可發送給密鑰管理設備的量子密鑰。
可選的,當所述收發雙方量子密鑰分發設備驗證雙方在所述相同位址範圍中儲存的量子密鑰不一致時,執行下述操作:清除在所述相同位址範圍中儲存的量子密鑰,並轉到收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰的步驟執行。
可選的,所述方法包括:所述收發雙方量子密鑰分發設備定期執行所述驗證雙方在所述相同位址範圍中儲存的量子密鑰一致性的操作。
可選的,所述收發雙方量子密鑰分發設備驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性,以及所述收發雙方密鑰管理設備驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性,分別採用如下方式實現: 其中一方設備採用預設散列演算法計算在所述位址範圍中儲存的量子密鑰的散列值,並採用雙方設備前一次獲取的通過一致性驗證的量子密鑰對所述散列值以及所述位址範圍資訊加密,並將加密後的資訊發送給另一方設備;所述另一方設備採用相應的密鑰對接收到的資訊解密後獲取位址範圍資訊,採用所述預設散列演算法計算在本地的相應位址範圍中儲存的量子密鑰的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向對方設備返回驗證通過應答,否則返回未通過應答。
可選的,在所述收發雙方密鑰管理設備將量子密鑰發送給相應資料設備後,執行下述操作:收發雙方資料設備驗證接收的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為執行資料加解密操作所採用的密鑰。
可選的,當所述收發雙方資料設備驗證雙方獲取的量子密鑰不一致時,轉到所述收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求的步驟執行。
可選的,所述收發雙方資料設備驗證獲取的量子密鑰的一致性,包括:其中一方設備採用預設散列演算法計算所述獲取的量子密鑰的散列值,並採用雙方設備前一次獲取的通過一致性驗證的量子密鑰對所述散列值加密,並將加密後的資訊發送給另一方設備;所述另一方設備採用相應的密鑰對接收到的資訊解密 後,採用所述預設散列演算法計算本地獲取的量子密鑰的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向對方設備返回驗證通過應答,否則返回未通過應答。
可選的,所述收發雙方量子密鑰分發設備通過量子密鑰分發協定協商獲取的量子密鑰,具有與其對應的密鑰標簽序列,所述密鑰標簽序列中的每個密鑰標簽是所述量子密鑰中不同量子位元的唯一標識;相應的,所述收發雙方量子密鑰分發設備採用相同位址範圍儲存所述量子密鑰後,執行下述操作:建立每個量子位元的儲存位址與密鑰標簽的一一對應關係;所述收發雙方量子密鑰分發設備發送給相應密鑰管理設備的資訊不僅包括量子密鑰,還包括與所述量子密鑰對應的密鑰標簽序列;所述收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍後,執行下述操作:建立每個量子位元的儲存位址與密鑰標簽的一一對應關係;所述收發雙方量子密鑰分發設備驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性,以及所述收發雙方密鑰管理設備驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性,分別採用如下方式實現:其中一方設備採用預設散列演算法計算由所述量子密鑰的密鑰標簽序列、與所述量子密鑰中每個量子位元的儲存位址組成的位址序列拼接而成的字串的散列值,並採用雙方設備前一次獲取的、通過一致性驗證的量子密鑰對所 述散列值以及所述位址序列加密、或者對所述散列值以及所述密鑰標簽序列加密,並將加密後的資訊發送給另一方設備;所述另一方設備採用相應的密鑰解密後,根據提取的位址序列從本地獲取對應的密鑰標簽序列,或者根據提取的密鑰標簽序列從本地獲取對應的位址序列,並採用所述預設散列演算法計算由所述密鑰標簽序列與所述位址序列拼接而成的字串的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向對方設備返回驗證通過應答,否則返回未通過應答。
可選的,收發雙方密鑰管理設備發送給相應資料設備的資訊不僅包括量子密鑰,還包括所述量子密鑰的密鑰標簽序列;相應的,收發雙方資料設備接收各自的密鑰管理設備發送的上述資訊後,執行下述操作驗證收發雙方資料設備獲取的量子密鑰的一致性,並在不一致時轉到分別向各自的密鑰管理設備發送密鑰獲取請求的步驟執行:其中一方設備採用預設散列演算法計算由所述獲取的量子密鑰和密鑰標簽序列拼接而成的字串的散列值,並採用雙方設備前一次獲取的、通過一致性驗證的量子密鑰對所述散列值以及密鑰標簽序列加密,並將加密後的資訊發送給另一方設備;所述另一方設備採用相應的密鑰解密後,根據提取的密鑰標簽序列從本地獲取對應的量子密鑰,並採用所述預 設散列演算法計算由所述量子密鑰和密鑰標簽序列拼接而成的字串的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同,則向對方設備返回驗證通過應答,否則返回未通過應答。
可選的,所述密鑰標簽包括:量子位元的時間戳資訊,所述時間戳資訊是收發雙方量子密鑰分發設備在協商量子密鑰的過程中獲取的。
可選的,各個設備之間經由經典信道的互動過程,都是基於HTTPS連接的。
可選的,各個設備在進行互動之前,進行雙向身份認證,並在認證通過後執行後續互動操作。
相應的,本發明還提供一種量子密鑰輸出裝置,包括:資料設備密鑰請求單元,用於收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求;管理設備密鑰輸出單元,用於收發雙方密鑰管理設備接收所述密鑰獲取請求後,將從相應量子密鑰分發設備獲取的、通過收發雙方密鑰管理設備一致性驗證的量子密鑰發送給相應資料設備,供相應資料設備執行資料加解密操作。
可選的,所述裝置包括:分發設備密鑰協商驗證單元;所述分發設備密鑰協商驗證單元,用於與收發雙方密 鑰管理設備對應的量子密鑰分發設備,將通過量子密鑰分發協定協商獲取的量子密鑰儲存在相同位址範圍後,驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可供相應密鑰管理設備獲取的量子密鑰。
可選的,所述裝置包括分發設備密鑰協商單元、管理設備密鑰請求單元、分發設備密鑰發送單元、以及管理設備密鑰驗證單元,且上述單元在所述資料設備密鑰請求單元工作之前啟動:分發設備密鑰協商單元,用於收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存所述量子密鑰;管理設備密鑰請求單元,用於收發雙方密鑰管理設備向各自的量子密鑰分發設備發送密鑰獲取請求;分發設備密鑰發送單元,用於收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備;管理設備密鑰驗證單元,用於收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性;相應的,所述管理設備密鑰輸出單元具體用於,收發雙方密鑰管理設備接收所述密鑰獲取請求後,從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
可選的,所述裝置包括:管理設備密鑰請求轉發單元,用於在所述資料設備密鑰請求單元接收密鑰獲取請求後,收發雙方密鑰管理設備分別向各自的量子密鑰分發設備發送所述密鑰獲取請求;分發設備密鑰協商單元,用於收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存所述量子密鑰;分發設備密鑰發送單元,用於收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備;管理設備密鑰驗證單元,用於收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性;相應的,所述管理設備密鑰輸出單元具體用於,收發雙方密鑰管理設備從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
可選的,所述裝置包括:管理設備密鑰清除單元,用於當所述管理設備密鑰驗證單元的驗證結果為:未通過時,收發雙方密鑰管理設備清除在被驗證的相同位址範圍中儲存的量子密鑰,並觸發用於收發雙方密鑰管理設備分別向各自的量子密鑰分發設備發送密鑰獲取請求的單元工作。
可選的,所述裝置包括: 分發設備密鑰驗證單元,用於當所述分發設備密鑰協商單元完成量子密鑰協商過程、並採用相同位址範圍儲存所述量子密鑰後,收發雙方量子密鑰分發設備驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可發送給密鑰管理設備的量子密鑰。
可選的,所述裝置包括:分發設備密鑰清除單元,用於當所述分發設備密鑰驗證單元的驗證結果為:未通過時,收發雙方量子密鑰分發設備清除在被驗證的相同位址範圍中儲存的量子密鑰,並觸發所述分發設備密鑰協商單元工作。
可選的,所述分發設備密鑰驗證單元以及所述管理設備密鑰驗證單元,各自包括驗證請求子單元和驗證執行子單元;所述驗證請求子單元,用於參與驗證的一方設備採用預設散列演算法計算在所述位址範圍中儲存的量子密鑰的散列值,並採用參與驗證的雙方設備前一次獲取的通過一致性驗證的量子密鑰對所述散列值以及所述位址範圍資訊加密,並將加密後的資訊發送給參與驗證的另一方設備;所述驗證執行子單元,用於所述另一方設備採用相應的密鑰對接收到的資訊解密後獲取位址範圍資訊,採用所述預設散列演算法計算在本地的相應位址範圍中儲存的量子密鑰的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向參與驗證的對方設備返回驗證通過 應答,否則返回未通過應答。
可選的,所述裝置包括:資料設備密鑰驗證單元,用於所述管理設備密鑰輸出單元將量子密鑰發送給相應資料設備後,收發雙方資料設備驗證接收的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為執行資料加解密操作所採用的密鑰。
可選的,所述分發設備密鑰協商單元通過量子密鑰分發協定協商獲取的量子密鑰,具有與其對應的密鑰標簽序列;相應的,所述分發設備密鑰協商單元除了包括實現其功能的本體子單元之外,還包括映射關係建立子單元,所述映射關係建立子單元用於,建立每個量子位元的儲存位址與密鑰標簽的一一對應關係;所述分發設備密鑰發送單元發送給所述管理設備密鑰驗證單元的資訊不僅包括量子密鑰,還包括與所述量子密鑰對應的密鑰標簽序列;所述管理設備密鑰驗證單元除了包括儲存子單元、管理設備密鑰驗證子單元之外,還包括映射關係建立子單元;所述儲存子單元,用於收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍;所述映射關係建立子單元,用於建立每個量子位元的儲存位址與密鑰標簽的一一對應關係,並觸發所述管理設備密鑰驗證子單元工作;所述管理設備密鑰驗證子單元,用於驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性; 所述分發設備密鑰驗證單元以及所述管理設備密鑰驗證子單元,各自包括標簽驗證請求子單元和標簽驗證執行子單元;所述標簽驗證請求子單元,用於參與驗證的一方設備採用預設散列演算法計算由所述量子密鑰的密鑰標簽序列、與所述量子密鑰中每個量子位元的儲存位址組成的位址序列拼接而成的字串的散列值,並採用參與驗證的雙方設備前一次獲取的、通過一致性驗證的量子密鑰對所述散列值以及所述位址序列加密、或者對所述散列值以及所述密鑰標簽序列加密,並將加密後的資訊發送給參與驗證的另一方設備;所述標簽驗證執行子單元,用於所述另一方設備接收所述加密後的資訊後,採用相應的密鑰解密,根據提取的位址序列從本地獲取對應的密鑰標簽序列,或者根據提取的密鑰標簽序列從本地獲取對應的位址序列,並採用所述預設散列演算法計算由所述密鑰標簽序列與所述位址序列拼接而成的字串的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向參與驗證的對方設備返回驗證通過應答,否則返回未通過應答。
此外,本發明還提供一種量子密鑰獲取方法,所述方法在利用量子密鑰對資料進行加解密的資料設備上實施,包括:向密鑰管理設備發送密鑰獲取請求;接收所述密鑰管理設備發送的通過一致性驗證的量子 密鑰,作為進行資料加解密所採用的密鑰。
可選的,在接收所述密鑰管理設備發送的通過一致性驗證的量子密鑰後,執行下述操作:驗證獲取的量子密鑰與對端資料設備獲取的量子密鑰的一致性,並將通過所述一致性驗證的量子密鑰作為進行資料加解密所採用的密鑰。
可選的,如果獲取的量子密鑰與對端資料設備獲取的量子密鑰未通過一致性驗證,轉到所述向密鑰管理設備發送量子密鑰獲取請求的步驟執行。
相應的,本發明還提供一種量子密鑰獲取裝置,所述裝置部署在利用量子密鑰對資料進行加解密的資料設備上,包括:密鑰獲取請求發送單元,用於向密鑰管理設備發送密鑰獲取請求;對稱密鑰接收單元,用於接收所述密鑰管理設備發送的通過一致性驗證的量子密鑰,作為進行資料加解密所採用的密鑰。
此外,本發明還提供一種量子密鑰儲存輸出方法,所述方法在向資料設備提供量子密鑰的密鑰管理設備上實施,包括:接收資料設備發送的密鑰獲取請求;按照與對端密鑰管理設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給所述資料設備。
可選的,所述通過一致性驗證的量子密鑰是在接收資料設備發送的密鑰獲取請求之前預先儲存的;相應的,在接收資料設備發送的密鑰獲取請求之前,執行下述操作:向量子密鑰分發設備發送密鑰獲取請求;接收量子密鑰分發設備發送的量子密鑰,並採用與所述對端密鑰管理設備相同的位址範圍儲存所述量子密鑰;驗證在所述位址範圍中儲存的量子密鑰與所述對端密鑰管理設備在相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可發送給資料設備的量子密鑰。
可選的,在所述接收資料設備發送的密鑰獲取請求之後、在所述按照與對端密鑰管理設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給所述資料設備之前,執行下述操作:向量子密鑰分發設備發送所述密鑰獲取請求;接收量子密鑰分發設備發送的量子密鑰,並採用與所述對端密鑰管理設備相同的位址範圍儲存所述量子密鑰;驗證在所述位址範圍中儲存的量子密鑰與所述對端密鑰管理設備在相同位址範圍中儲存的量子密鑰的一致性。
可選的,如果在所述位址範圍中儲存的量子密鑰與所述對端管理設備在相同位址範圍中儲存的量子密鑰未通過一致性驗證,執行下述操作: 清除在所述位址範圍中儲存的量子密鑰,並轉到向量子密鑰分發設備發送密鑰獲取請求的步驟執行。
相應的,本發明還提供一種量子密鑰儲存輸出裝置,所述裝置部署在向資料設備提供量子密鑰的密鑰管理設備上,包括:密鑰獲取請求接收單元,用於接收資料設備發送的密鑰獲取請求;對稱密鑰輸出單元,用於按照與對端密鑰管理設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給所述資料設備。
此外,本發明還提供一種量子密鑰分發儲存方法,所述方法在量子密鑰分發設備上實施,包括:與對端量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並將獲取的量子密鑰儲存在與所述對端量子密鑰分發設備相同的位址範圍中;驗證在所述位址範圍中儲存的量子密鑰與所述對端量子密鑰分發設備在相同位址範圍中儲存的量子密鑰的一致性;根據接收到的來自密鑰管理設備的密鑰獲取請求,按照與所述對端量子密鑰分發設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給所述密鑰管理設備。
可選的,如果在所述位址範圍中儲存的量子密鑰與所述對端量子密鑰分發設備在相同位址範圍中儲存的量子密 鑰未通過一致性驗證,執行下述操作:清除在所述位址範圍中儲存的量子密鑰,並轉到所述與對端量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰的步驟執行。
相應的,本發明還提供一種量子密鑰分發儲存裝置,所述裝置部署在量子密鑰分發設備上,包括:密鑰分發儲存單元,用於與對端量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並將獲取的量子密鑰儲存在與所述對端量子密鑰分發設備相同的位址範圍中;密鑰驗證單元,用於驗證在所述位址範圍中儲存的量子密鑰與所述對端量子密鑰分發設備在相同位址範圍中儲存的量子密鑰的一致性;對稱密鑰發送單元,用於根據接收到的來自密鑰管理設備的密鑰獲取請求,按照與所述對端量子密鑰分發設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給所述密鑰管理設備。
此外,本發明還提供一種量子密鑰輸出系統,包括:分別部署於收發雙方的兩個子系統;所述兩個子系統分別包括:根據上述任意一項所述的量子密鑰獲取裝置,和根據上述任意一項所述的量子密鑰儲存輸出裝置,以及根據上述任意一項所述的量子密鑰分發儲存裝置。
此外,本發明還提供一種用於驗證量子密鑰儲存一致性的方法,所述方法在參與驗證的第一設備和第二設備上實施,包括: 所述第一設備將通過量子密鑰協商過程獲取的、表示待驗證量子密鑰的資訊,以及儲存所述待驗證量子密鑰的位址範圍資訊,發送給所述第二設備;所述第二設備通過將接收的資訊與本地的相應資訊進行比對,判斷雙方設備與所述位址範圍對應的、表示待驗證量子密鑰的資訊是否相同,若相同,向所述第一設備返回驗證通過應答,否則返回未通過應答;其中,表示待驗證量子密鑰的資訊由與量子密鑰位元數對應的子資訊單元組成,每個子資訊單元是所述待驗證量子密鑰中不同量子位元的唯一標識,且與被標識量子位元的儲存位址一一對應。
可選的,所述表示待驗證量子密鑰的資訊包括:待驗證量子密鑰本身;相應的,所述第一設備將通過量子密鑰協商過程獲取的、表示待驗證量子密鑰的資訊,以及儲存所述待驗證量子密鑰的位址範圍資訊發送給所述第二設備,包括:所述第一設備採用預設的散列演算法計算所述待驗證量子密鑰的散列值,並將所述散列值、以及所述位址範圍資訊發送給所述第二設備;所述第二設備通過將接收的資訊與本地的相應資訊進行比對,判斷雙方設備與所述位址範圍對應的、表示待驗證量子密鑰的資訊是否相同,包括:所述第二設備從接收的資訊中提取儲存待驗證量子密鑰的位址範圍資訊,採用所述預設的散列演算法,計算在 本地相同位址範圍中儲存的量子密鑰的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同,則判定雙方設備與所述位址範圍對應的、表示待驗證量子密鑰的資訊是相同的。
可選的,所述表示待驗證量子密鑰的資訊包括:待驗證量子密鑰的密鑰標簽序列,所述密鑰標簽序列中的每個密鑰標簽即為所述子資訊單元;所述儲存待驗證量子密鑰的位址範圍資訊包括:所述待驗證量子密鑰中每個量子位元的儲存位址組成的位址序列;相應的,所述第一設備將通過量子密鑰協商過程獲取的、表示待驗證量子密鑰的資訊,以及儲存所述待驗證量子密鑰的位址範圍資訊發送給所述第二設備,包括:所述第一設備採用預設散列演算法計算由所述密鑰標簽序列與所述位址序列拼接而成的字串的散列值,並將所述散列值以及所述位址序列、或者所述散列值以及所述密鑰標簽序列發送給所述第二設備;所述第二設備通過將接收的資訊與本地的相應資訊進行比對,判斷雙方設備與所述位址範圍對應的、表示待驗證量子密鑰的資訊是否相同,包括:所述第二設備根據從接收資訊中提取的位址序列從本地獲取對應的密鑰標簽序列,或者根據提取的密鑰標簽序列從本地獲取對應的位址序列,採用所述預設散列演算法計算由所述密鑰標簽序列與所述位址序列拼接而成的字串的散列值,判斷計算得到的散列值與接收的散列值是否相 同,若相同,則判定雙方設備與所述位址範圍對應的、表示待驗證量子密鑰的資訊是相同的。
可選的,所述密鑰標簽包括:量子位元的時間戳資訊。
可選的,所述方法還包括:所述第一設備採用與所述第二設備預先商定的密鑰對待發送資訊加密;相應的,所述第二設備接收所述第一設備發送的資訊後,採用相應密鑰解密後,執行後續的比對以及判斷操作。
相應的,本發明還提供一種用於驗證量子密鑰儲存一致性的裝置,包括:密鑰驗證請求發送單元,用於第一設備將通過量子密鑰協商過程獲取的、表示待驗證量子密鑰的資訊,以及儲存所述待驗證量子密鑰的位址範圍資訊,發送給第二設備;密鑰驗證執行單元,用於所述第二設備通過將接收的資訊與本地的相應資訊進行比對,判斷雙方設備與所述位址範圍對應的、表示待驗證量子密鑰的資訊是否相同,若相同,向所述第一設備返回驗證通過應答,否則返回未通過應答;其中,表示待驗證量子密鑰的資訊由與量子密鑰位元數對應的子資訊單元組成,每個子資訊單元是所述待驗證 量子密鑰中不同量子位元的唯一標識,且與被標識量子位元的儲存位址一一對應。
與現有技術相比,本發明具有以下優點:本發明提供的量子密鑰輸出方法及系統,收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求,收發雙方密鑰管理設備接收所述密鑰獲取請求後,將通過一致性驗證的量子密鑰發送給相應資料設備,供相應資料設備執行資料加解密操作。由於收發雙方密鑰管理設備對在相同位址範圍中儲存的量子密鑰進行了一致性驗證,從而確保量子密鑰輸出系統輸出量子密鑰的同步性和有用性,即:向資料設備輸出的量子密鑰都是相同的、對稱的,從而為資料加解密過程的正確執行提供保障。特別是,即使因為網路傳輸等原因造成資料收發雙方獲取的量子密鑰不對稱,也無需通過重新啟動等方式清空收發雙方量子密鑰管理設備已儲存的量子密鑰,從而避免了對量子密鑰資源的浪費。
本發明提供的用於驗證量子密鑰儲存一致性的方法,參與驗證的雙方設備通過將雙方與相同位址範圍對應的、表示待驗證量子密鑰的資訊進行比對,判斷出雙方設備在相同位址範圍儲存的量子密鑰是否相同,從而為雙方設備向外輸出對稱的量子密鑰提供依據,為用戶資料的安全、高效傳輸提供保障。特別是採用基於密鑰標簽的驗證方法,利用了密鑰標簽可以唯一標識量子位元的特性、以及密鑰標簽與量子位元儲存位址的對應關係,從而不用傳輸 量子密鑰就可以實現一致性驗證,進一步保障了量子密鑰的安全。
701‧‧‧資料設備密鑰請求單元
702‧‧‧管理設備密鑰輸出單元
901‧‧‧密鑰獲取請求發送單元
902‧‧‧對稱密鑰接收單元
1101‧‧‧密鑰獲取請求接收單元
1102‧‧‧對稱密鑰輸出單元
1301‧‧‧密鑰分發儲存單元
1302‧‧‧密鑰驗證單元
1303‧‧‧對稱密鑰發送單元
1401-1‧‧‧量子密鑰獲取裝置
1402-1‧‧‧量子密鑰儲存輸出裝置
1403-1‧‧‧量子密鑰分發儲存裝置
1403-2‧‧‧量子密鑰分發儲存裝置
1402-2‧‧‧量子密鑰儲存輸出裝置
1401-2‧‧‧量子密鑰獲取裝置
1601‧‧‧密鑰驗證請求發送單元
1602‧‧‧密鑰驗證執行單元
圖1是本發明實施例提供的量子密鑰輸出系統的示意圖;圖2是本發明的一種量子密鑰輸出方法的實施例的流程圖;圖3是本發明實施例提供的基於即時獲取方式的量子密鑰輸出方法的處理流程圖;圖4是本發明實施例提供的基於即時獲取方式的各設備間互動流程圖;圖5是本發明實施例提供的基於預獲取方式的量子密鑰輸出方法的處理流程圖;圖6是本發明實施例提供的基於預獲取方式的各設備間互動流程圖;圖7是本發明的一種量子密鑰輸出裝置的實施例的示意圖;圖8是本發明的一種量子密鑰獲取方法的實施例的流程圖;圖9是本發明的一種量子密鑰獲取裝置的實施例的示意圖;圖10是本發明的一種量子密鑰儲存輸出方法的實施 例的流程圖;圖11是本發明的一種量子密鑰儲存輸出裝置的實施例的示意圖;圖12是本發明的一種量子密鑰分發儲存方法的實施例的流程圖;圖13是本發明的一種量子密鑰分發儲存裝置的實施例的示意圖;圖14是本發明的一種量子密鑰輸出系統的實施例的示意圖;圖15是本發明的一種用於驗證量子密鑰儲存一致性的方法實施例的流程圖;圖16是本發明的一種用於驗證量子密鑰儲存一致性的裝置實施例的示意圖。
在下面的描述中闡述了很多具體細節以便於充分理解本發明。但是,本發明能夠以很多不同於在此描述的其他方式來實施,本領域技術人員可以在不違背本發明內涵的情況下做類似推廣,因此,本發明不受下面公開的具體實施的限制。
在本發明中,分別提供了一種量子密鑰輸出方法及裝置、一種量子密鑰獲取方法及裝置、一種量子密鑰儲存輸出方法及裝置、一種量子密鑰分發儲存方法及裝置、一種 量子密鑰輸出系統、以及一種用於驗證量子密鑰儲存一致性的方法及裝置,在下面的實施例中逐一進行詳細說明。在詳細描述實施例之前,先對本技術方案涉及的各種設備以及兩種主要處理流程作簡要說明。
請參考圖1,其示出了量子密鑰輸出系統的示意圖。從資料加解密傳輸的角度來看,量子密鑰輸出系統包括相互對稱的兩側,其中一側包括:量子密鑰分發設備QKD-A(Quantum Key Distribution簡稱QKD)、密鑰管理設備QKS-A(Quantum Key System簡稱QKS)、資料設備A,另一側包括:量子密鑰分發設備QKD-B、密鑰管理設備QKS-B、資料設備B。其中每一側的設備與對側的同類型設備,互為對端設備,為了便於描述,在本發明中採用了收發雙方設備的表述方式,例如,收發雙方量子密鑰分發設備、收發雙方密鑰管理設備、收發雙方資料設備。
收發雙方QKD設備用於進行量子密鑰協商,收發雙方QKS設備用於儲存從QKD設備獲取的量子密鑰、並向資料設備輸出,收發雙方資料設備則用獲取的量子密鑰分別執行相應的資料加密或者資料解密操作。由於QKD設備與QKS設備之間的網路傳輸過程存在丟包的可能性、QKS設備自身在儲存量子密鑰的過程也可能出現錯誤,導致收發雙方QKS設備輸出給收發雙方資料設備的量子密鑰不對稱,針對這一問題,本發明的技術方案,在收發雙方QKS設備之間進行量子密鑰的一致性驗證,並將通過一致性驗證的量子密鑰發送給資料設備,從而從QKS設 備的角度保證了輸出給收發雙方資料設備的量子密鑰是對稱的。
本文後續的描述也是在圖1所示架構的基礎上展開的。需要說明的是,本示意圖是從輸出量子密鑰的角度進行描述的,在實際實施中,收發雙方QKD設備之間,收發雙方QKS設備之間、以及收發雙方資料設備之間,可以通過有線或者無線等形式的經典信道相連,用於在彼此之間進行協商、資料傳輸等操作,這部分連接關係並未在圖中示出。
請參考圖2,其為本發明的一種量子密鑰輸出方法的實施例的流程圖,所述方法包括如下步驟:
步驟201、收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求。
步驟202、收發雙方密鑰管理設備接收所述密鑰獲取請求後,將通過一致性驗證的量子密鑰發送給相應資料設備,供相應資料設備執行資料加解密操作。
在具體實施上述方法的過程中,資料設備向密鑰管理設備獲取密鑰可以採取即時獲取量子密鑰方式(簡稱即時獲取方式)、或者預獲取量子密鑰方式(簡稱預獲取方式)。所述即時獲取方式是指,資料設備A與資料設備B向各自的QKS-A設備和QKS-B設備發送獲取量子密鑰的請求,此時QKS-A設備和QKS-B設備已有預儲存的、並且通過一致性驗證的量子密鑰,可以直接輸出給資料設備A和資料設備B。
所述預獲取方式是指,資料設備A與資料設備B向各自的QKS-A設備和QKS-B設備發送獲取量子密鑰的請求,QKS-A設備和QKS-B設備中無預儲存的量子密鑰,QKS-A設備和QKS-B設備分別轉發請求給QKD-A設備和QKD-B設備,QKD-A設備和QKD-B設備通過量子密鑰分發協定為資料設備A和資料設備B協商量子密鑰對,並發送給QKS-A設備和QKS-B設備,QKS-A設備和QKS-B設備對儲存的量子密鑰進行一致性驗證,最後再將通過一致性驗證的量子密鑰發送給資料設備A和資料設備B。
上述兩種量子密鑰獲取方式,都可以通過在QKS-A設備和QKS-B設備之間進行量子密鑰的一致性驗證,實現向資料設備A和資料設備B輸出對稱量子密鑰的目的。下面在本實施例中依次描述這兩種實施方式,需要說明的是,在以下描述的實施方式中,所有通過經典信道傳輸的私密資訊,例如:量子密鑰資訊,都可以採用通信雙方商定的密鑰加密,例如,可以採用通信雙方前一次獲取的量子密鑰進行加密,對於初次傳輸則可以採用通信雙方預設的共用密鑰加密,這一點在下文中不再重復描述。
請參考圖3,其為本發明實施例提供的基於即時獲取方式的量子密鑰輸出方法的處理流程圖,為了便於理解,本實施例還同時提供了基於即時獲取方式的各設備間互動流程圖,請參考圖4。所述方法包括如下步驟:
步驟301、收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存所述量 子密鑰。
QKD-A設備和QKD-B設備通過量子密鑰分發協定,例如BB84協定,協商出對稱量子密鑰(這個過程也稱為量子密鑰協商過程),並將所述量子密鑰儲存在各自儲存媒體的相同位址範圍中,所述儲存媒體包括:緩存、磁片等。所述相同位址範圍,可以由QKD-A設備和QKD-B設備通過協商設定,也可以由雙方在上一次執行儲存操作所用位址範圍的基礎上,根據本次協商獲取的量子密鑰的數量通過累加的方式確定,只要能夠保證雙方將量子密鑰儲存在相同位址範圍即可。
考慮到QKD-A設備或者QKD-B設備在儲存量子密鑰的過程中,也可能出現寫資料錯誤等異常,導致QKD-A設備和QKD-B設備在所述相同位址範圍儲存的量子密鑰不對稱,本實施例提供一種較佳實施方案:QKD-A設備和QKD-B設備驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可發送給密鑰管理設備的量子密鑰。
具體實現時,可以通過比較雙方在相同位址範圍儲存的量子密鑰的散列值來實現,由於在QKD設備之間、或者在QKS設備之間進行量子密鑰一致性驗證,可以採用相同的方法,因此關於這部分描述可以參見步驟304中的相關文字說明,此處不進行重復描述。
進一步地,採用上述驗證方式需要在網路上傳輸量子密鑰的散列值,一旦被惡意攻擊者截獲,量子密鑰的安全 性存在一定的隱患,基於上述考慮,本實施例對於在QKD設備之間(以及QKS設備之間)驗證量子密鑰的一致性,提供一種利用密鑰標簽與儲存位置的對應關係進行驗證的較佳實施方式。
為了實現上述較佳實施方式,收發雙方QKD設備通過量子密鑰分發協定協商獲取的量子密鑰,具有與其對應的密鑰標簽序列,所述密鑰標簽序列中的每個密鑰標簽是所述量子密鑰中不同量子位元的唯一標識;並且,收發雙方QKD設備採用相同位址範圍儲存所述量子密鑰後,建立每個量子位元的儲存位址與密鑰標簽的一一對應關係。
具體實施時,可以採用每個量子位元的時間戳資訊作為其密鑰標簽,每個量子位元的時間戳資訊可以在收發雙方QKD設備協商量子密鑰的過程中獲取。例如,利用BB84協定進行的量子密鑰協商過程是基於時鐘同步的,協商得到的每個量子位元都有與其對應的唯一的時間戳資訊,而且每個量子位元的時間戳資訊都是不同的,因此本實施例可以採用量子位元的時間戳資訊作為其密鑰標簽。
由於在QKD設備之間、或者在QKS設備之間進行量子密鑰一致性驗證,可以採用相同的基於密鑰標簽的方法,因此關於這部分描述可以參見步驟304中的相關文字說明,此處不進行重復描述。
如果QKD-B設備通過驗證發現雙方在所述相同位址範圍中儲存的量子密鑰不相同,可以向QKD-A設備返回未通過應答,QKD-A設備和QKD-B設備可以清除在所述 相同位址範圍中儲存的量子密鑰,並重新通過量子密鑰分發協定協商量子密鑰。在具體實施時,QKD-A設備和QKD-B設備也可以不清除在所述相同位址範圍中儲存的量子密鑰,而是用下一次通過量子密鑰協商獲取的新量子密鑰覆蓋寫入所述相同位址範圍,也是可以的。
採用上述提供的較佳實施方式,由於QKD設備每次儲存獲取的量子密鑰後,都要進行一致性驗證,並且將通過一致性驗證的量子密鑰作為可發送給相應QKS設備的量子密鑰,那麽如果後續收發雙方QKS設備發現從相應QKD設備獲取的量子密鑰不一致,通常可以認為是由於網路傳輸異常(例如丟包)造成的,因此收發雙方QKS設備可以重新向相應QKD設備獲取量子密鑰即可,而不必通過重新啟動等方式清空QKD-A設備和QKD-B設備中所有已儲存的量子密鑰,減少對QKD設備已獲取的量子密鑰的浪費。
為了進一步保障QKD-A設備和QKD-B設備儲存的量子密鑰的一致性,在具體實施時,可以按照預先設定的間隔時間,定期驗證QKD-A設備和QKD-B設備在相同位址範圍中儲存的量子密鑰的一致性。
此外,QKD-A設備和QKD-B設備在通過量子密鑰協商過程獲取量子密鑰、並儲存在相同的位址範圍後,還可以向相應的QKS設備發送通知,告知其目前已儲存的量子密鑰數量,供QKS設備發送密鑰獲取請求時參考。
步驟302、收發雙方密鑰管理設備向各自的量子密鑰 分發設備發送密鑰獲取請求。
QKS-A設備和QKS-B設備可以預先協商雙方從各自的QKD設備獲取量子密鑰的長度資訊,並向各自的QKD設備發送攜帶所述長度資訊的密鑰獲取請求。
步驟303、收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備。
QKD-A設備和QKD-B設備接收密鑰獲取請求後,根據請求中攜帶的密鑰長度資訊,可以通過協商的方式確定為QKS設備提取量子密鑰的位址範圍,然後按照協商好的相同位址範圍提取量子密鑰、並發送給相應的密鑰管理設備。
如果在步驟301中,QKD-A設備和QKD-B設備之間進行了量子密鑰的一致性驗證,那麽本步驟中QKD-A設備和QKD-B設備可以通過協商的方式確定為相應QKS設備提取通過一致性驗證的量子密鑰的位址範圍,然後按照協商好的相同位址範圍提取量子密鑰、並發送給相應的QKS設備。
如果QKS-A設備和QKS-B設備在後續步驟304中要通過密鑰標簽進行量子密鑰一致性驗證,那麽在本步驟中,QKD-A設備和QKD-B設備在向相應的QKS設備發送量子密鑰的同時,還可以發送所述量子密鑰的密鑰標簽序列。
步驟304、收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在所述相同位址範圍 中儲存的量子密鑰的一致性。
QKS-A設備和QKS-B設備將接收的量子密鑰儲存在相同位址範圍中,所述相同位址範圍,可以由QKS-A設備和QKS-B設備通過協商設定,也可以由雙方在上一次執行儲存操作所用位址範圍的基礎上,根據本次協商獲取的量子密鑰的數量通過累加的方式確定,只要能夠保證雙方將獲取的量子密鑰儲存在相同位址範圍即可。
QKS-A設備和QKS-B設備驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性,可以採用多種方式實現,下面列舉幾種可選的方式。
1)通過比較雙方在相同位址範圍儲存的量子密鑰的散列值實現一致性驗證。
這種方式相對簡便,具體實現可以是,QKS-A設備採用預設散列演算法計算在所述位址範圍中儲存的量子密鑰的散列值,然後採用雙方前一次獲取的通過一致性驗證的量子密鑰對所述散列值以及所述位址範圍資訊加密,並將加密後的資訊發送給對方;QKS-B設備接收QKS-A設備發送的上述資訊後,採用相應的密鑰解密後獲取位址範圍資訊,採用所述預設散列演算法計算在本地的相應位址範圍中儲存的量子密鑰的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向QSK-A返回驗證通過應答,否則返回未通過應答。
在具體實施時,所述QKS-A設備向QKS-B設備發送的位址範圍資訊可以包括所述位址範圍的首位址和尾位 址,也可以包括首位址和範圍長度,或者是首位址以及待驗證一致性的量子密鑰長度,只要QKS-B設備能夠根據接收的資訊獲知具體的位址範圍就都是可以的;所述預設散列演算法包括SHA-1、SHA-2、或者SHA-3,以及其他可能的散列演算法,只要QKS-A設備和QKS-B設備採用相同的散列演算法即可;為了保證傳輸過程的安全性,QKS-A設備採用其與QKS-B設備上一次獲取的、通過一致性驗證的量子密鑰對待發送的資訊進行加密,如果是首次進行一致性驗證,那麽可以採用雙方預設的共用密鑰加密,相應的QKS-B設備也採用所述預設共用密鑰解密。在上面給出的實現方式中,由QKS-A設備發起驗證過程,QKS-B設備返回驗證應答,在其他實施方式中,也可以由QKS-B設備發起驗證過程。上面描述的關於實施方式的各種變更,對於以下描述的另外兩種驗證方式中的相應內容也是適用的,後續不再贅述。
2)利用密鑰標簽與量子位元儲存位置的對應關係進行驗證的方式一。
為了避免待驗證量子密鑰的散列值在傳輸過程中被截獲帶來的安全隱患,本實施例提供利用密鑰標簽能夠唯一標識量子位元的特性、以及密鑰標簽與儲存位置的對應關係進行一致性驗證的較佳實施方式。採用這種較佳實施方式,QKS-A設備和QKS-B設備從各自對應的QKD設備獲取的資訊不僅包括量子密鑰,還包括所述量子密鑰的密鑰標簽序列,所述密鑰標簽序列中的每個密鑰標簽是所述量 子密鑰中不同量子位元的唯一標識。QKS-A設備和QKS-B設備將接收的量子密鑰儲存在相同位址範圍後,建立每個量子位元的儲存位址與密鑰標簽的一一對應關係。
為了便於描述,QKS-A設備一側的待驗證量子密鑰的密鑰標簽序列記為Lab1,所述待驗證量子密鑰中每個量子位元的儲存位址組成的位址序列記為Locate1,hash( )代表預設散列演算法,{}內的資訊為被加密資料。QKS-A設備和QKS-B設備可以採用如下方式驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性:QKS-A設備採用預設散列演算法計算Lab1的散列值,並採用雙方前一次獲取的通過一致性驗證的量子密鑰對所述散列值、以及Locate1加密,並將加密後的資訊發送給QKS-B設備,即QKS-A設備將下列資訊發送給QKS-B設備:Verify-A={hash(Lab1),Locate1};QKS-B設備採用相應的密鑰對接收的資訊解密後,獲取散列值和位址序列,根據所述位址序列從本地獲取對應的密鑰標簽序列,並採用所述預設散列演算法計算所述獲取的密鑰標簽序列的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向QKS-A設備返回驗證通過應答,否則返回未通過應答。
在具體實施時,也可以對上述方式作一定調整,例如,QKS-A設備可以向QKS-B設備發送Verify-A={hash(Locate1),Lab1},相應的,QKS-B設備根據接收的密鑰標簽序列從本地獲取對應的位址序列,並採用同樣的 計算散列值以及比對的方式判斷是否通過一致性驗證。
3)利用密鑰標簽與量子位元儲存位置的對應關係進行驗證的方式二。
上面提供了利用密鑰標簽與量子位元儲存位置的對應關係進行一致性驗證的一種方式,在此提供利用上述對應關係進行一致性驗證的另一種方式(仍沿用在上一種方式中約定的描述方式):QKS-A設備採用預設散列演算法計算由Lab1和Locate1拼接而成的字串的散列值,並採用雙方前一次獲取的通過一致性驗證的量子密鑰對所述散列值、以及Locate1加密,並將加密後的資訊發送給QKS-B設備,即QKS-A設備將下列資訊發送給QKS-B設備:Verify-A={hash(Lab1,Locate1),Locate1};QKS-B設備採用相應的密鑰對接收的資訊解密後,獲取散列值和位址序列,根據所述位址序列從本地獲取對應的密鑰標簽序列,並採用所述預設散列演算法計算由所述密鑰標簽序列和位址序列拼接而成的字串的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向QKS-A設備返回驗證通過應答,否則返回未通過應答。
在具體實施時,也可以對上述方式作一定調整,例如,QKS-A設備可以向QKS-B設備發送Verify-A={hash(Lab1,Locate1),Lab1},相應的,QKS-B設備根據接收的密鑰標簽序列從本地獲取對應的位址序列,並採用同樣的計算散列值以及比對的方式判斷是否通過一致性驗 證。
至此,描述了三種驗證QKS-A設備和QKS-B設備在相同位址範圍中儲存的量子密鑰一致性的方式,其中第一種方式相對簡單,不需要使用密鑰標簽,但是可能存在一定的安全隱患;第二種和第三種方式相對複雜,利用了密鑰標簽能夠唯一標識量子位元的特性,並且通過建立密鑰標簽與量子位元儲存位置的對應關係,從而不需要在網路上傳輸量子密鑰資訊,而是驗證雙方設備儲存量子位元的位址序列以及對應的密鑰標簽序列是否均相同,如果相同就可以證明雙方設備在相同位址範圍儲存的量子密鑰是相同的,即通過一致性驗證。
如果QKS-A設備和QKS-B設備執行一致性驗證後,發現雙方在所述相同位址範圍中儲存的量子密鑰不相同,即未通過一致性驗證,那麽QKS-A設備和QKS-B設備可以清除在所述相同位址範圍中儲存的量子密鑰,並轉到步驟302執行,重新向各自的QKD設備獲取量子密鑰。在具體實施時,QKS-A設備和QKS-B設備也可以不清除在所述相同位址範圍中儲存的量子密鑰,而是用下一次從相應QKD設備獲取的新量子密鑰覆蓋寫入所述相同位址範圍,也是可以的。
由於收發雙方QKS設備每次儲存從相應QKD設備獲取的量子密鑰後,都要進行一致性驗證,並且每次向相應資料設備輸出量子密鑰時,都是從通過一致性驗證的量子密鑰中選取,那麽如果後續收發雙方資料設備發現從相應 QKS-A設備獲取的量子密鑰不一致,通常可以認為是由於網路傳輸異常(例如丟包)造成的,因此收發雙方資料設備重新向相應QKS設備獲取量子密鑰即可,而不必通過重新啟動等方式清空QKS-A設備和QKS-B設備中所有已儲存的量子密鑰,避免對已獲取的量子密鑰的浪費。
需要說明的是,本步驟針對QKS-A設備和QKS-B設備提供了三種量子密鑰一致性驗證方式,這三種方式也可以應用於QKD-A設備和QKD-B設備之間的量子密鑰一致性驗證。在其他實施方式中,也可以採用不同於上述方式的其他方式,只要能夠驗證雙方設備在相同位址範圍儲存的量子密鑰的一致性,就都不偏離本發明的核心,都在本發明的保護範圍之內。
步驟305、收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求。
資料設備A和資料設備B可以預先協商向QKS設備請求獲取量子密鑰的長度,並向各自的QKS設備發送量子密鑰獲取請求,所述請求中攜帶所述長度資訊。
步驟306、收發雙方密鑰管理設備接收所述密鑰獲取請求後,從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
QKS-A設備和QKS-B設備接收對應的資料設備發送的密鑰獲取請求後,根據請求中攜帶的密鑰長度資訊,可以通過協商的方式確定為資料設備輸出通過一致性驗證的量子密鑰的位址範圍,然後將協商好的相同位址範圍中的 量子密鑰發送給相應的資料設備。
至此QKS-A設備和QKS-B設備向各自相應的資料設備輸出了通過一致性驗證的量子密鑰,從而資料設備A和資料設備B可以利用接收的量子密鑰對需要進行保密傳輸的資料進行相應的加密、解密操作。
考慮到QKS設備和對應的資料設備之間傳輸過程也可能存在丟包的現象,本實施例還提供在資料設備之間進行量子密鑰一致性驗證的較佳實施方式,即,在所述收發雙方QKS設備將量子密鑰發送給相應資料設備後,資料設備A和資料設備B驗證獲取的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為執行資料加解密操作所採用的密鑰。
資料設備A和資料設備B驗證雙方獲取的量子密鑰的一致性,可以採用多種方式實現,下面列舉兩種可選的方式。
1)通過比較雙方獲取的量子密鑰的散列值實現一致性驗證。
這種方式相對簡便,具體實現可以是,資料設備A採用預設散列演算法計算所述獲取的量子密鑰的散列值,並採用雙方前一次獲取的通過一致性驗證的量子密鑰對所述散列值加密,並將加密後的資訊發送給資料設備B;資料設備B採用相應的密鑰對接收的資訊解密後,採用所述預設散列演算法計算本地獲取的量子密鑰的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向資 料設備A返回驗證通過應答,否則返回未通過應答。
2)利用量子密鑰與密鑰標簽序列的對應關係實現一致性驗證。
採用這種驗證方式,收發雙方QKS設備發送給相應資料設備的資訊不僅包括量子密鑰,還包括所述量子密鑰的密鑰標簽序列。為了便於描述,將資料設備A接收的量子密鑰記為Key1,對應的密鑰標簽序列記為Lab1,hash( )代表預設散列演算法,{}內的資訊為被加密資料。資料設備A和資料設備B接收各自的QKS設備發送的量子密鑰及密鑰標簽序列後,執行下述操作實現量子密鑰的一致性驗證:資料設備A採用預設散列演算法計算由獲取的量子密鑰Key1和密鑰標簽序列Lab1拼接而成的字串的散列值,並採用雙方前一次獲取的、通過一致性驗證的量子密鑰對所述散列值、以及密鑰標簽序列Lab1加密,並將加密後的資訊發送給資料設備B,即資料設備A將下列資訊發送給資料設備B:Verify-A={hash(Key1,Lab1),Lab1};資料設備B採用相應的密鑰對接收的資訊解密後,根據獲取的密鑰標簽序列從本地獲取對應的量子密鑰,並採用所述預設散列演算法計算與所述量子密鑰和密鑰標簽序列拼接而成的字串的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同,則向資料設備A返回驗證通過應答,否則返回未通過應答。
如果資料設備A和資料設備B執行一致性驗證後, 發現雙方獲取的量子密鑰不相同,即未通過一致性驗證,那麽資料設備A和資料設備B可以放棄本次獲取的量子密鑰,轉到步驟305執行,再次分別向各自的QKS設備發送密鑰獲取請求。
由於QKS設備輸出給資料設備的量子密鑰都是其儲存的、已通過一致性驗證的量子密鑰,那麽如果收發雙方資料設備獲取的量子密鑰不一致,通常是因為網路傳輸異常(例如丟包)造成的,在這種情況下,沒有必要通過重新啟動等方式清空QKS-A設備和QKS-B設備中所有已儲存的量子密鑰,避免對已獲取的量子密鑰的浪費。
至此,通過上述步驟301-步驟306對採用即時獲取方式實施本發明技術方案的流程進行了詳細描述。需要說明的是,為了進一步保障安全性,上述處理流程中所有在經典信道中的資料互動都可以基於HTTPS連接進行,參與互動的各個設備在認證過程中所採用的數位證書均為可信任第三方頒發;在每兩個設備進行資料互動之前,還可以預先進行雙向身份認證,例如,採用預設數位證書等方式,並在雙方都通過對方的身份認證後再開始資料互動過程。
上面描述了採用即時獲取方式實施本發明技術方案的流程,下面描述採用預獲取方式實施本發明技術方案的流程。請參考圖5,其為本發明實施例提供的基於預獲取方式的量子密鑰輸出方法的處理流程圖,為了便於理解,本實施例還同時提供了基於預獲取方式的各設備間互動流程 圖,請參考圖6。所述方法包括如下步驟:
步驟501、收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求。
步驟502、收發雙方密鑰管理設備分別向各自的量子密鑰分發設備發送所述密鑰獲取請求。
收發雙方QKS設備由於沒有預儲存通過一致性驗證的量子密鑰,因此將接收到的請求轉發給各自的QKD設備。
步驟503、收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存所述量子密鑰。
步驟504、收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備。
步驟505、收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性。
步驟506、收發雙方密鑰管理設備從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
參考上面描述的步驟以及圖4和圖6可以看出,預獲取方式與即時獲取方式的區別在於,各個設備之間的互動過程有差異。在預獲取方式中,收發雙方QKS設備並沒有像即時獲取方式那樣預儲存經過一致性驗證的量子密 鑰,而是在接收資料設備的密鑰獲取請求後,向相應的QKD設備獲取量子密鑰、並進行量子密鑰的一致性驗證,然後將通過驗證的量子密鑰發送給資料設備。
在具體實施本技術方案時,採用預獲取方式的核心與即時獲取方式是相同的:即收發雙方QKS設備要驗證雙方在相同位址範圍中儲存的量子密鑰的一致性,從而保證向資料設備輸出的密鑰是對稱的。進一步地,收發雙方QKD設備之間也可以對儲存的量子密鑰進行一致性驗證,收發雙方資料設備之間也可以對接收的量子密鑰進行一致性驗證。具體的處理過程在上面描述即時獲取方式時都進行了詳細說明,此處不再贅述,可以參見即時獲取方式中的相關描述。
需要說明的是,在具體實施時,不僅可以採用上述即時獲取方式或者預獲取方式中的任一種方式,也可以將這兩種方式結合起來實施,例如,收發雙方QKS設備通常可以預儲存經過一致性驗證的量子密鑰,並根據相應資料設備的需求輸出量子密鑰,當資料設備的量子密鑰需求量比較大、收發雙方QKS設備判斷出沒有預儲存密鑰可輸出時,則可以轉換到預獲取方式繼續工作。
綜上所述,本發明提供的量子密鑰輸出方法,由於收發雙方密鑰管理設備對在相同位址範圍中儲存的量子密鑰進行了一致性驗證,從而確保量子密鑰輸出系統輸出量子密鑰的同步性和有用性,即:向資料設備輸出的量子密鑰都是相同的、對稱的,從而為資料加解密過程的正確執行 提供保障。特別是,即使因為網路傳輸等原因造成資料收發雙方獲取的量子密鑰不對稱,也無需通過重新啟動等方式清空收發雙方量子密鑰管理設備已儲存的量子密鑰,從而避免了對量子密鑰資源的浪費。
在上述的實施例中,提供了一種量子密鑰輸出方法,與之相對應的,本發明還提供一種量子密鑰輸出裝置。請參看圖7,其為本發明的一種量子密鑰輸出裝置的實施例示意圖。由於裝置實施例基本相似於方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。
本實施例的一種量子密鑰輸出裝置,包括:資料設備密鑰請求單元701,用於收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求;管理設備密鑰輸出單元702,用於收發雙方密鑰管理設備接收所述密鑰獲取請求後,將從相應量子密鑰分發設備獲取的、通過收發雙方密鑰管理設備一致性驗證的量子密鑰發送給相應資料設備,供相應資料設備執行資料加解密操作。
可選的,所述裝置包括:分發設備密鑰協商驗證單元;所述分發設備密鑰協商驗證單元,用於與收發雙方密鑰管理設備對應的量子密鑰分發設備,將通過量子密鑰分發協定協商獲取的量子密鑰儲存在相同位址範圍後,驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可供相應密鑰管理設備 獲取的量子密鑰。
可選的,所述裝置包括分發設備密鑰協商單元、管理設備密鑰請求單元、分發設備密鑰發送單元、以及管理設備密鑰驗證單元,且上述單元在所述資料設備密鑰請求單元工作之前啟動:分發設備密鑰協商單元,用於收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存所述量子密鑰;管理設備密鑰請求單元,用於收發雙方密鑰管理設備向各自的量子密鑰分發設備發送密鑰獲取請求;分發設備密鑰發送單元,用於收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備;管理設備密鑰驗證單元,用於收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性;相應的,所述管理設備密鑰輸出單元具體用於,收發雙方密鑰管理設備接收所述密鑰獲取請求後,從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
可選的,所述裝置包括:管理設備密鑰請求轉發單元,用於在所述資料設備密鑰請求單元接收密鑰獲取請求後,收發雙方密鑰管理設備 分別向各自的量子密鑰分發設備發送所述密鑰獲取請求;分發設備密鑰協商單元,用於收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存所述量子密鑰;分發設備密鑰發送單元,用於收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備;管理設備密鑰驗證單元,用於收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性;相應的,所述管理設備密鑰輸出單元具體用於,收發雙方密鑰管理設備從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
可選的,所述裝置包括:管理設備密鑰清除單元,用於當所述管理設備密鑰驗證單元的驗證結果為:未通過時,收發雙方密鑰管理設備清除在被驗證的相同位址範圍中儲存的量子密鑰,並觸發用於收發雙方密鑰管理設備分別向各自的量子密鑰分發設備發送密鑰獲取請求的單元工作。
可選的,所述裝置包括:分發設備密鑰驗證單元,用於當所述分發設備密鑰協商單元完成量子密鑰協商過程、並採用相同位址範圍儲存所述量子密鑰後,收發雙方量子密鑰分發設備驗證雙方在 所述相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可發送給密鑰管理設備的量子密鑰。
可選的,所述裝置包括:分發設備密鑰清除單元,用於當所述分發設備密鑰驗證單元的驗證結果為:未通過時,收發雙方量子密鑰分發設備清除在被驗證的相同位址範圍中儲存的量子密鑰,並觸發所述分發設備密鑰協商單元工作。
可選的,所述分發設備密鑰驗證單元以及所述管理設備密鑰驗證單元,各自包括驗證請求子單元和驗證執行子單元;所述驗證請求子單元,用於參與驗證的一方設備採用預設散列演算法計算在所述位址範圍中儲存的量子密鑰的散列值,並採用參與驗證的雙方設備前一次獲取的通過一致性驗證的量子密鑰對所述散列值以及所述位址範圍資訊加密,並將加密後的資訊發送給參與驗證的另一方設備;所述驗證執行子單元,用於所述另一方設備採用相應的密鑰對接收到的資訊解密後獲取位址範圍資訊,採用所述預設散列演算法計算在本地的相應位址範圍中儲存的量子密鑰的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向參與驗證的對方設備返回驗證通過應答,否則返回未通過應答。
可選的,所述裝置包括:資料設備密鑰驗證單元,用於所述管理設備密鑰輸出 單元將量子密鑰發送給相應資料設備後,收發雙方資料設備驗證接收的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為執行資料加解密操作所採用的密鑰。
可選的,所述分發設備密鑰協商單元通過量子密鑰分發協定協商獲取的量子密鑰,具有與其對應的密鑰標簽序列;相應的,所述分發設備密鑰協商單元除了包括實現其功能的本體子單元之外,還包括映射關係建立子單元,所述映射關係建立子單元用於,建立每個量子位元的儲存位址與密鑰標簽的一一對應關係;所述分發設備密鑰發送單元發送給所述管理設備密鑰驗證單元的資訊不僅包括量子密鑰,還包括與所述量子密鑰對應的密鑰標簽序列;所述管理設備密鑰驗證單元除了包括儲存子單元、管理設備密鑰驗證子單元之外,還包括映射關係建立子單元;所述儲存子單元,用於收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍;所述映射關係建立子單元,用於建立每個量子位元的儲存位址與密鑰標簽的一一對應關係,並觸發所述管理設備密鑰驗證子單元工作;所述管理設備密鑰驗證子單元,用於驗證雙方在所述相同位址範圍中儲存的量子密鑰的一致性;所述分發設備密鑰驗證單元以及所述管理設備密鑰驗證子單元,各自包括標簽驗證請求子單元和標簽驗證執行子單元; 所述標簽驗證請求子單元,用於參與驗證的一方設備採用預設散列演算法計算由所述量子密鑰的密鑰標簽序列、與所述量子密鑰中每個量子位元的儲存位址組成的位址序列拼接而成的字串的散列值,並採用參與驗證的雙方設備前一次獲取的、通過一致性驗證的量子密鑰對所述散列值以及所述位址序列加密、或者對所述散列值以及所述密鑰標簽序列加密,並將加密後的資訊發送給參與驗證的另一方設備;所述標簽驗證執行子單元,用於所述另一方設備接收所述加密後的資訊後,採用相應的密鑰解密,根據提取的位址序列從本地獲取對應的密鑰標簽序列,或者根據提取的密鑰標簽序列從本地獲取對應的位址序列,並採用所述預設散列演算法計算由所述密鑰標簽序列與所述位址序列拼接而成的字串的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向參與驗證的對方設備返回驗證通過應答,否則返回未通過應答。
此外,本發明還提供一種量子密鑰獲取方法,所述方法在利用量子密鑰對資料進行加解密的資料設備上實施。請參考圖8,其為本發明提供的一種量子密鑰獲取方法的實施例的流程圖,本實施例與第一實施例內容相同的部分不再贅述,下面重點描述不同之處。本發明提供的一種量子密鑰獲取方法包括:
步驟801、向密鑰管理設備發送密鑰獲取請求。
步驟802、接收所述密鑰管理設備發送的通過一致性 驗證的量子密鑰,作為進行資料加解密所採用的密鑰。
在接收所述密鑰管理設備發送的通過一致性驗證的量子密鑰後,可以進一步驗證獲取的量子密鑰與對端資料設備獲取的量子密鑰的一致性,並將通過所述一致性驗證的量子密鑰作為進行資料加解密所採用的密鑰。
如果通過上述驗證過程發現獲取的量子密鑰與對端資料設備獲取的量子密鑰不一致時,可以轉到步驟801執行,重新向密鑰管理設備發送量子密鑰獲取請求。
在上述的實施例中,提供了一種量子密鑰獲取方法,與之相對應的,本發明還提供一種量子密鑰獲取裝置。請參看圖9,其為本發明的一種量子密鑰獲取裝置的實施例示意圖。下述描述的裝置實施例僅僅是示意性的。
本實施例的一種量子密鑰獲取裝置,所述裝置部署在利用量子密鑰對資料進行加解密的資料設備上,包括:密鑰獲取請求發送單元901,用於向密鑰管理設備發送量子密鑰獲取請求;對稱密鑰接收單元902,用於接收所述密鑰管理設備發送的通過一致性驗證的量子密鑰,作為進行資料加解密所採用的密鑰。
此外,本發明還提供一種量子密鑰儲存輸出方法,所述方法在向資料設備提供量子密鑰的密鑰管理設備上實施。請參考圖10,其為本發明提供的一種量子密鑰儲存輸出方法的實施例的流程圖,本實施例與第一實施例內容相同的部分不再贅述,下面重點描述不同之處。本發明提供的一種量子密鑰儲存輸出方法包括:
步驟1001、接收資料設備發送的密鑰獲取請求。
如果採用即時獲取量子密鑰的方式,那麽在本步驟之前執行下述操作:1)向量子密鑰分發設備發送密鑰獲取請求;2)接收量子密鑰分發設備發送的量子密鑰,並採用與所述對端密鑰管理設備相同的位址範圍儲存所述量子密鑰;3)驗證在所述位址範圍中儲存的量子密鑰與所述對端密鑰管理設備在相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可發送給資料設備的量子密鑰。
步驟1002、按照與對端密鑰管理設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給所述資料設備。
如果採用預獲取量子密鑰的方式,那麽在步驟1001之後、在本步驟之前執行下述操作:1)向量子密鑰分發設備發送所述密鑰獲取請求;2)接收量子密鑰分發設備發送的量子密鑰,並採用與所述對端密鑰管理設備相同的位址範圍儲存所述量子密鑰;3)驗證在所述位址範圍中儲存的量子密鑰與所述對端密鑰管理設備在相同位址範圍中儲存的量子密鑰的一致性。
不管採用即時獲取方式還是預獲取方式,如果執行一致性驗證後發現在所述位址範圍中儲存的量子密鑰與所述對端管理設備在相同位址範圍中儲存的量子密鑰不一致,可以清除在所述位址範圍中儲存的量子密鑰,重新向量子密鑰分發設備發送密鑰獲取請求。
在上述的實施例中,提供了一種量子密鑰儲存輸出方法,與之相對應的,本發明還提供一種量子密鑰儲存輸出裝置。請參看圖11,其為本發明的一種量子密鑰儲存輸出裝置的實施例示意圖。下述描述的裝置實施例僅僅是示意性的。
本實施例的一種量子密鑰儲存輸出裝置,所述裝置部署在向資料設備提供量子密鑰的密鑰管理設備上,包括:密鑰獲取請求接收單元1101,用於接收資料設備發送的密鑰獲取請求;對稱密鑰輸出單元1102,用於按照與對端密鑰管理設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給所述資料設備。
此外,本發明還提供一種量子密鑰分發儲存方法,所述方法在量子密鑰分發設備上實施。請參考圖12,其為本發明提供的一種量子密鑰分發儲存方法的實施例的流程圖,本實施例與第一實施例內容相同的部分不再贅述,下面重點描述不同之處。本發明提供的一種量子密鑰分發儲存方法包括:
步驟1201、與對端量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並將獲取的量子密鑰儲存在與所述 對端量子密鑰分發設備相同的位址範圍中。
步驟1202、驗證在所述位址範圍中儲存的量子密鑰與所述對端量子密鑰分發設備在相同位址範圍中儲存的量子密鑰的一致性。
步驟1203、根據接收到的來自密鑰管理設備的量子密鑰獲取請求,按照與所述對端量子密鑰分發設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給所述密鑰管理設備。
如果在步驟1202中執行一致性驗證後發現,在所述位址範圍中儲存的量子密鑰與所述對端量子密鑰分發設備在相同位址範圍中儲存的量子密鑰不一致,則可以清除在所述位址範圍中儲存的量子密鑰,並轉到步驟1201執行。
需要說明的是,如果採用即時獲取量子密鑰的方式,所述來自密鑰管理設備的密鑰獲取請求,可以是在步驟1202之後接收到的;如果採用預獲取方式,所述請求可以是在步驟1201之前接收到的。
在上述的實施例中,提供了一種量子密鑰分發儲存方法,與之相對應的,本發明還提供一種量子密鑰分發儲存裝置。請參看圖13,其為本發明的一種量子密鑰分發儲存裝置的實施例示意圖。下述描述的裝置實施例僅僅是示意性的。
本實施例的一種量子密鑰分發儲存裝置,所述裝置在量子密鑰分發設備上實施,包括:密鑰分發儲存單元 1301,用於與對端量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並將獲取的量子密鑰儲存在與所述對端量子密鑰分發設備相同的位址範圍中;密鑰驗證單元1302,用於驗證在所述位址範圍中儲存的量子密鑰與所述對端量子密鑰分發設備在相同位址範圍中儲存的量子密鑰的一致性;對稱密鑰發送單元1303,用於根據接收到的來自密鑰管理設備的密鑰獲取請求,按照與所述對端量子密鑰分發設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給所述密鑰管理設備。
此外,本發明還提供一種量子密鑰輸出系統。請參考圖14,其為本發明提供的一種量子密鑰輸出系統的實施例的示意圖。本發明提供的一種量子密鑰輸出系統包括:分別部署於收發雙方的兩個子系統,其中一個子系統包括:量子密鑰獲取裝置1401-1、量子密鑰儲存輸出裝置1402-1、以及量子密鑰分發儲存裝置1403-1,另一個子系統包括:量子密鑰獲取裝置1401-2、量子密鑰儲存輸出裝置1402-2、以及量子密鑰分發儲存裝置1403-2。
所述量子密鑰輸出系統可以採用即時獲取量子密鑰的工作方式,也可以採用預獲取量子密鑰的工作方式。採用這兩種工作方式時,各設備之間的互動流程,在關於量子密鑰輸出方法的實施例中已經做過詳細描述,此處不再贅述。
此外,本發明還提供一種用於驗證量子密鑰儲存一致性的方法,所述方法在參與驗證的第一設備和第二設備上 實施。請參考圖15,其為本發明提供的一種用於驗證量子密鑰儲存一致性的方法實施例的流程圖,本實施例與第一實施例內容相同的部分不再贅述,下面重點描述不同之處。本發明提供的一種用於驗證量子密鑰儲存一致性的方法包括:
步驟1501:第一設備將通過量子密鑰協商過程獲取的、表示待驗證量子密鑰的資訊,以及儲存所述待驗證量子密鑰的位址範圍資訊,發送給第二設備。
所述表示待驗證量子密鑰的資訊由與量子密鑰位元數對應的子資訊單元組成,每個子資訊單元是所述待驗證量子密鑰中不同量子位元的唯一標識,且與被標識量子位元的儲存位址一一對應。
所述表示待驗證量子密鑰的資訊可以包括:待驗證量子密鑰本身,所述量子密鑰中的每個量子位元即為所述子資訊單元。採用這種方式時,所述第一設備可以採用預設的散列演算法計算所述待驗證量子密鑰的散列值,並將所述散列值、以及所述位址範圍資訊發送給所述第二設備。
所述表示待驗證量子密鑰的資訊還可以包括:待驗證量子密鑰的密鑰標簽序列,所述密鑰標簽序列中的每個密鑰標簽即為所述子資訊單元;所述儲存待驗證量子密鑰的位址範圍資訊包括:所述待驗證量子密鑰中每個量子位元的儲存位址組成的位址序列。採用這種方式時,所述第一設備可以採用預設散列演算法計算由所述密鑰標簽序列與所述位址序列拼接而成的字串的散列值,並將所述散列值 以及所述位址序列、或者所述散列值以及所述密鑰標簽序列發送給參與驗證的所述第二設備。
在具體實施時,可以採用量子位元的時間戳資訊作為所述密鑰標簽。
步驟1502:第二設備通過將接收的資訊與本地的相應資訊進行比對,判斷雙方設備與所述位址範圍對應的、表示待驗證量子密鑰的資訊是否相同,若相同,向第一設備返回驗證通過應答,否則返回未通過應答。
當所述表示待驗證量子密鑰的資訊為待驗證量子密鑰本身時,所述第二設備可以從接收的資訊中提取儲存待驗證量子密鑰的位址範圍資訊,採用所述預設的散列演算法,計算在本地相同位址範圍中儲存的量子密鑰的散列值,用計算得到的散列值與接收的散列值進行比較,若相同,則判定雙方設備與所述位址範圍對應的、表示待驗證量子密鑰的資訊是相同的,向所述第一設備返回驗證通過應答,否則返回未通過應答。
當所述表示待驗證量子密鑰的資訊為待驗證量子密鑰的密鑰標簽序列時,所述第二設備可以根據從接收資訊中提取的位址序列從本地獲取對應的密鑰標簽序列,或者根據提取的密鑰標簽序列從本地獲取對應的位址序列,採用所述預設散列演算法計算由所述密鑰標簽序列與所述位址序列拼接而成的字串的散列值;判斷計算得到的散列值與接收的散列值是否相同,若相同,則判定雙方設備與所述位址範圍對應的、表示待驗證量子密鑰的資訊是相同的, 向所述第一設備返回驗證通過應答,否則返回未通過應答。
需要說明的是,本發明提供的用於驗證量子密鑰儲存一致性的方法可以在需要進行量子密鑰儲存一致性驗證的雙方設備上實施,所述雙方設備可以是收發雙方量子密鑰分發設備,也可以是收發雙方密鑰管理設備。
此外,在執行上述步驟1501時,所述第一設備可以採用與所述第二設備預先商定的密鑰對待發送資訊加密;相應的,在執行步驟1502時,所述第二設備接收所述第一設備發送的資訊後,採用相應密鑰解密後,執行後續的比對以及判斷操作。
通過上面的描述可以看出,本發明提供的用於驗證量子密鑰儲存一致性的方法,參與驗證的雙方設備通過將雙方與相同位址範圍對應的、表示待驗證量子密鑰的資訊進行比對,判斷雙方在相同位址範圍儲存的量子密鑰是否相同,從而為雙方向外輸出對稱的量子密鑰提供依據,為用戶資料的安全、高效傳輸提供保障。特別是採用基於密鑰標簽的驗證方法,利用了密鑰標簽可以唯一標識量子位元的特性、以及密鑰標簽與量子位元儲存位址的對應關係,從而不用傳輸量子密鑰就可以實現一致性驗證,進一步保障了量子密鑰的安全。
在上述的實施例中,提供了一種用於驗證量子密鑰儲存一致性的方法,與之相對應的,本發明還提供一種用於驗證量子密鑰儲存一致性的裝置。請參看圖16,其為本 發明的一種用於驗證量子密鑰儲存一致性的裝置的實施例示意圖。下述描述的裝置實施例僅僅是示意性的。
本實施例的一種用於驗證量子密鑰儲存一致性的裝置,包括;密鑰驗證請求發送單元1601,用於第一設備將通過量子密鑰協商過程獲取的、表示待驗證量子密鑰的資訊,以及儲存所述待驗證量子密鑰的位址範圍資訊,發送給第二設備;密鑰驗證執行單元1602,用於所述第二設備通過將接收的資訊與本地的相應資訊進行比對,判斷雙方設備與所述位址範圍對應的、表示待驗證量子密鑰的資訊是否相同,若相同,向所述第一設備返回驗證通過應答,否則返回未通過應答。
本發明雖然以較佳實施例公開如上,但其並不是用來限定本發明,任何本領域技術人員在不脫離本發明的精神和範圍內,都可以做出可能的變動和修改,因此本發明的保護範圍應當以本發明申請專利範圍所界定的範圍為準。
在一個典型的配置中,計算設備包括一個或多個處理器(CPU)、輸入/輸出介面、網路介面和記憶體。
記憶體可能包括電腦可讀媒體中的非永久性記憶體,隨機存取記憶體(RAM)和/或非易失性記憶體等形式,如唯讀記憶體(ROM)或快閃記憶體(flash RAM)。記憶體是電腦可讀媒體的示例。
1、電腦可讀媒體包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現資訊儲存。資訊可以是電腦可讀指令、資料結構、程式的模組或其他 資料。電腦的儲存媒體的例子包括,但不限於相變記憶體(PRAM)、靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、其他類型的隨機存取記憶體(RAM)、唯讀記憶體(ROM)、電可擦除可編程唯讀記憶體(EEPROM)、快閃記憶體或其他記憶體技術、唯讀光碟唯讀記憶體(CD-ROM)、數位多功能光碟(DVD)或其他光學儲存、磁盒式磁帶,磁帶磁磁片儲存或其他磁性儲存設備或任何其他非傳輸媒體,可用於儲存可以被計算設備存取的資訊。按照本文中的界定,電腦可讀媒體不包括非暫存電腦可讀媒體(transitory media),如調變的資料信號和載波。
2、本領域技術人員應明白,本發明的實施例可提供為方法、系統或電腦程式產品。因此,本發明可採用完全硬體實施例、完全軟體實施例或結合軟體和硬體方面的實施例的形式。而且,本發明可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存媒體(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。

Claims (47)

  1. 一種量子密鑰輸出方法,其特徵在於,包括:收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求;收發雙方密鑰管理設備接收該密鑰獲取請求後,將通過一致性驗證的量子密鑰發送給相應資料設備,供相應資料設備執行資料加解密操作;其中,該一致性驗證是指,收發雙方密鑰管理設備將從各自對應的量子密鑰分發設備獲取的量子密鑰儲存在相同位址範圍後,驗證雙方在該相同位址範圍中儲存的量子密鑰是否相同;若相同,則視為所述的通過一致性驗證。
  2. 根據申請專利範圍第1項的量子密鑰輸出方法,其中,包括:該與收發雙方密鑰管理設備對應的量子密鑰分發設備,將通過量子密鑰分發協定協商獲取的量子密鑰儲存在相同位址範圍後,驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可供相應密鑰管理設備獲取的量子密鑰。
  3. 根據申請專利範圍第1項的量子密鑰輸出方法,其中,該通過一致性驗證的量子密鑰是在收發雙方資料設備發送密鑰獲取請求之前,預先儲存在收發雙方密鑰管理設備中的;相應的,在收發雙方資料設備分別向各自的密鑰管理 設備發送密鑰獲取請求之前,執行下述操作:收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存該量子密鑰;收發雙方密鑰管理設備向各自的量子密鑰分發設備發送密鑰獲取請求;收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備;收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性;相應的,該將通過一致性驗證的量子密鑰發送給相應資料設備,包括:收發雙方密鑰管理設備從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
  4. 根據申請專利範圍第3項的量子密鑰輸出方法,其中,在執行該收發雙方密鑰管理設備向各自的量子密鑰分發設備發送密鑰獲取請求之前,執行下述操作:收發雙方量子密鑰分發設備將可供獲取的量子密鑰數量通知給各自的密鑰管理設備。
  5. 根據申請專利範圍第1項的量子密鑰輸出方法,其中,在該收發雙方密鑰管理設備接收該密鑰獲取請求後、在該將通過一致性驗證的量子密鑰發送給相應資料設 備之前,執行下述操作:收發雙方密鑰管理設備分別向各自的量子密鑰分發設備發送該密鑰獲取請求;收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存該量子密鑰;收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備;收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性;相應的,該將通過一致性驗證的量子密鑰發送給相應資料設備,包括:收發雙方密鑰管理設備從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
  6. 根據申請專利範圍第3或5項的量子密鑰輸出方法,其中,當該收發雙方密鑰管理設備驗證雙方在該相同位址範圍中儲存的量子密鑰不一致時,執行下述操作:清除在該相同位址範圍中儲存的量子密鑰,並轉到向各自的量子密鑰分發設備發送密鑰獲取請求的步驟執行。
  7. 根據申請專利範圍第3或5項的量子密鑰輸出方法,其中,該收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存該量子密 鑰後,執行下述操作:收發雙方量子密鑰分發設備驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可發送給密鑰管理設備的量子密鑰。
  8. 根據申請專利範圍第7項的量子密鑰輸出方法,其中,當該收發雙方量子密鑰分發設備驗證雙方在該相同位址範圍中儲存的量子密鑰不一致時,執行下述操作:清除在該相同位址範圍中儲存的量子密鑰,並轉到收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰的步驟執行。
  9. 根據申請專利範圍第7項的量子密鑰輸出方法,其中,包括:該收發雙方量子密鑰分發設備定期執行該驗證雙方在該相同位址範圍中儲存的量子密鑰一致性的操作。
  10. 根據申請專利範圍第7項的量子密鑰輸出方法,其中,該收發雙方量子密鑰分發設備驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性,以及該收發雙方密鑰管理設備驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性,分別採用如下方式實現:其中一方設備採用預設散列演算法計算在該位址範圍中儲存的量子密鑰的散列值,並採用雙方設備前一次獲取的通過一致性驗證的量子密鑰對該散列值以及該位址範圍資訊加密,並將加密後的資訊發送給另一方設備;該另一方設備採用相應的密鑰對接收到的資訊解密後 獲取位址範圍資訊,採用該預設散列演算法計算在本地的相應位址範圍中儲存的量子密鑰的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向對方設備返回驗證通過應答,否則返回未通過應答。
  11. 根據申請專利範圍第1項的量子密鑰輸出方法,其中,在該收發雙方密鑰管理設備將量子密鑰發送給相應資料設備後,執行下述操作:收發雙方資料設備驗證接收的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為執行資料加解密操作所採用的密鑰。
  12. 根據申請專利範圍第11項的量子密鑰輸出方法,其中,當該收發雙方資料設備驗證雙方獲取的量子密鑰不一致時,轉到該收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求的步驟執行。
  13. 根據申請專利範圍第11項的量子密鑰輸出方法,其中,該收發雙方資料設備驗證獲取的量子密鑰的一致性,包括:其中一方設備採用預設散列演算法計算該獲取的量子密鑰的散列值,並採用雙方設備前一次獲取的通過一致性驗證的量子密鑰對該散列值加密,並將加密後的資訊發送給另一方設備;該另一方設備採用相應的密鑰對接收到的資訊解密後,採用該預設散列演算法計算本地獲取的量子密鑰的散列值,判斷計算得到的散列值與接收的散列值是否相同, 若相同則向對方設備返回驗證通過應答,否則返回未通過應答。
  14. 根據申請專利範圍第7項的量子密鑰輸出方法,其中,該收發雙方量子密鑰分發設備通過量子密鑰分發協定協商獲取的量子密鑰,具有與其對應的密鑰標簽序列,該密鑰標簽序列中的每個密鑰標簽是該量子密鑰中不同量子位元的唯一標識;相應的,該收發雙方量子密鑰分發設備採用相同位址範圍儲存該量子密鑰後,執行下述操作:建立每個量子位元的儲存位址與密鑰標簽的一一對應關係;該收發雙方量子密鑰分發設備發送給相應密鑰管理設備的資訊不僅包括量子密鑰,還包括與該量子密鑰對應的密鑰標簽序列;該收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍後,執行下述操作:建立每個量子位元的儲存位址與密鑰標簽的一一對應關係;該收發雙方量子密鑰分發設備驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性,以及該收發雙方密鑰管理設備驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性,分別採用如下方式實現:其中一方設備採用預設散列演算法計算由該量子密鑰的密鑰標簽序列、與該量子密鑰中每個量子位元的儲存位址組成的位址序列拼接而成的字串的散列值,並採用雙方設備前一次獲取的、通過一致性驗證的量子密鑰對該散列值以及該位址序列加密、或者對該散列值以及該密鑰標簽 序列加密,並將加密後的資訊發送給另一方設備;該另一方設備採用相應的密鑰解密後,根據提取的位址序列從本地獲取對應的密鑰標簽序列,或者根據提取的密鑰標簽序列從本地獲取對應的位址序列,並採用該預設散列演算法計算由該密鑰標簽序列與該位址序列拼接而成的字串的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向對方設備返回驗證通過應答,否則返回未通過應答。
  15. 根據申請專利範圍第14項的量子密鑰輸出方法,其中,收發雙方密鑰管理設備發送給相應資料設備的資訊不僅包括量子密鑰,還包括該量子密鑰的密鑰標簽序列;相應的,收發雙方資料設備接收各自的密鑰管理設備發送的上述資訊後,執行下述操作驗證收發雙方資料設備獲取的量子密鑰的一致性,並在不一致時轉到分別向各自的密鑰管理設備發送密鑰獲取請求的步驟執行:其中一方設備採用預設散列演算法計算由該獲取的量子密鑰和密鑰標簽序列拼接而成的字串的散列值,並採用雙方設備前一次獲取的、通過一致性驗證的量子密鑰對該散列值以及密鑰標簽序列加密,並將加密後的資訊發送給另一方設備;該另一方設備採用相應的密鑰解密後,根據提取的密鑰標簽序列從本地獲取對應的量子密鑰,並採用該預設散列演算法計算由該量子密鑰和密鑰標簽序列拼接而成的字 串的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同,則向對方設備返回驗證通過應答,否則返回未通過應答。
  16. 根據申請專利範圍第14項的量子密鑰輸出方法,其中,該密鑰標簽包括:量子位元的時間戳資訊,該時間戳資訊是收發雙方量子密鑰分發設備在協商量子密鑰的過程中獲取的。
  17. 根據申請專利範圍第1項的量子密鑰輸出方法,其中,各個設備之間經由經典信道的互動過程,都是基於HTTPS連接的。
  18. 根據申請專利範圍第1項的量子密鑰輸出方法,其中,各個設備在進行互動之前,進行雙向身份認證,並在認證通過後執行後續互動操作。
  19. 一種量子密鑰輸出裝置,其特徵在於,包括:資料設備密鑰請求單元,用於收發雙方資料設備分別向各自的密鑰管理設備發送密鑰獲取請求;管理設備密鑰輸出單元,用於收發雙方密鑰管理設備接收該密鑰獲取請求後,將從相應量子密鑰分發設備獲取的、通過收發雙方密鑰管理設備一致性驗證的量子密鑰發送給相應資料設備,供相應資料設備執行資料加解密操作,其中,該一致性驗證是指,收發雙方密鑰管理設備將從各自對應的量子密鑰分發設備獲取的量子密鑰儲存在相同位址範圍後,驗證雙方在該相同位址範圍中儲存的量子 密鑰是否相同;若相同,則視為所述的通過一致性驗證。
  20. 根據申請專利範圍第19項的量子密鑰輸出裝置,其中,該裝置包括:分發設備密鑰協商驗證單元;該分發設備密鑰協商驗證單元,用於與收發雙方密鑰管理設備對應的量子密鑰分發設備,將通過量子密鑰分發協定協商獲取的量子密鑰儲存在相同位址範圍後,驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可供相應密鑰管理設備獲取的量子密鑰。
  21. 根據申請專利範圍第19項的量子密鑰輸出裝置,其中,該裝置包括分發設備密鑰協商單元、管理設備密鑰請求單元、分發設備密鑰發送單元、以及管理設備密鑰驗證單元,且上述單元在該資料設備密鑰請求單元工作之前啟動:分發設備密鑰協商單元,用於收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存該量子密鑰;管理設備密鑰請求單元,用於收發雙方密鑰管理設備向各自的量子密鑰分發設備發送密鑰獲取請求;分發設備密鑰發送單元,用於收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備;管理設備密鑰驗證單元,用於收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在 該相同位址範圍中儲存的量子密鑰的一致性;相應的,該管理設備密鑰輸出單元具體用於,收發雙方密鑰管理設備接收該密鑰獲取請求後,從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
  22. 根據申請專利範圍第19項的量子密鑰輸出裝置,其中,該裝置包括:管理設備密鑰請求轉發單元,用於在該資料設備密鑰請求單元接收密鑰獲取請求後,收發雙方密鑰管理設備分別向各自的量子密鑰分發設備發送該密鑰獲取請求;分發設備密鑰協商單元,用於收發雙方量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並採用相同位址範圍儲存該量子密鑰;分發設備密鑰發送單元,用於收發雙方量子密鑰分發設備將儲存在相同位址範圍的量子密鑰發送給相應的密鑰管理設備;管理設備密鑰驗證單元,用於收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍中,並驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性;相應的,該管理設備密鑰輸出單元具體用於,收發雙方密鑰管理設備從通過一致性驗證的量子密鑰中,選取在相同位址範圍儲存的量子密鑰,發送給相應資料設備。
  23. 根據申請專利範圍第21或22項的量子密鑰輸出 方法,其中,該裝置包括:管理設備密鑰清除單元,用於當該管理設備密鑰驗證單元的驗證結果為:未通過時,收發雙方密鑰管理設備清除在被驗證的相同位址範圍中儲存的量子密鑰,並觸發用於收發雙方密鑰管理設備分別向各自的量子密鑰分發設備發送密鑰獲取請求的單元工作。
  24. 根據申請專利範圍第21或22項的量子密鑰輸出方法,其中,該裝置包括:分發設備密鑰驗證單元,用於當該分發設備密鑰協商單元完成量子密鑰協商過程、並採用相同位址範圍儲存該量子密鑰後,收發雙方量子密鑰分發設備驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可發送給密鑰管理設備的量子密鑰。
  25. 根據申請專利範圍第24項的量子密鑰輸出裝置,其中,該裝置包括:分發設備密鑰清除單元,用於當該分發設備密鑰驗證單元的驗證結果為:未通過時,收發雙方量子密鑰分發設備清除在被驗證的相同位址範圍中儲存的量子密鑰,並觸發該分發設備密鑰協商單元工作。
  26. 根據申請專利範圍第24項的量子密鑰輸出裝置,其中,該分發設備密鑰驗證單元以及該管理設備密鑰驗證單元,各自包括驗證請求子單元和驗證執行子單元;該驗證請求子單元,用於參與驗證的一方設備採用預設散列演算法計算在該位址範圍中儲存的量子密鑰的散列 值,並採用參與驗證的雙方設備前一次獲取的通過一致性驗證的量子密鑰對該散列值以及該位址範圍資訊加密,並將加密後的資訊發送給參與驗證的另一方設備;該驗證執行子單元,用於該另一方設備採用相應的密鑰對接收到的資訊解密後獲取位址範圍資訊,採用該預設散列演算法計算在本地的相應位址範圍中儲存的量子密鑰的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向參與驗證的對方設備返回驗證通過應答,否則返回未通過應答。
  27. 根據申請專利範圍第19項的量子密鑰輸出裝置,其中,包括:資料設備密鑰驗證單元,用於該管理設備密鑰輸出單元將量子密鑰發送給相應資料設備後,收發雙方資料設備驗證接收的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為執行資料加解密操作所採用的密鑰。
  28. 根據申請專利範圍第24項的量子密鑰輸出裝置,其中,該分發設備密鑰協商單元通過量子密鑰分發協定協商獲取的量子密鑰,具有與其對應的密鑰標簽序列;相應的,該分發設備密鑰協商單元除了包括實現其功能的本體子單元之外,還包括映射關係建立子單元,該映射關係建立子單元用於,建立每個量子位元的儲存位址與密鑰標簽的一一對應關係;該分發設備密鑰發送單元發送給該管理設備密鑰驗證 單元的資訊不僅包括量子密鑰,還包括與該量子密鑰對應的密鑰標簽序列;該管理設備密鑰驗證單元除了包括儲存子單元、管理設備密鑰驗證子單元之外,還包括映射關係建立子單元;該儲存子單元,用於收發雙方密鑰管理設備將接收的量子密鑰儲存在相同位址範圍;該映射關係建立子單元,用於建立每個量子位元的儲存位址與密鑰標簽的一一對應關係,並觸發該管理設備密鑰驗證子單元工作;該管理設備密鑰驗證子單元,用於驗證雙方在該相同位址範圍中儲存的量子密鑰的一致性;該分發設備密鑰驗證單元以及該管理設備密鑰驗證子單元,各自包括標簽驗證請求子單元和標簽驗證執行子單元;該標簽驗證請求子單元,用於參與驗證的一方設備採用預設散列演算法計算由該量子密鑰的密鑰標簽序列、與該量子密鑰中每個量子位元的儲存位址組成的位址序列拼接而成的字串的散列值,並採用參與驗證的雙方設備前一次獲取的、通過一致性驗證的量子密鑰對該散列值以及該位址序列加密、或者對該散列值以及該密鑰標簽序列加密,並將加密後的資訊發送給參與驗證的另一方設備;該標簽驗證執行子單元,用於該另一方設備接收該加密後的資訊後,採用相應的密鑰解密,根據提取的位址序列從本地獲取對應的密鑰標簽序列,或者根據提取的密鑰標簽序列從本地獲取對應的位址序列,並採用該預設散列 演算法計算由該密鑰標簽序列與該位址序列拼接而成的字串的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同則向參與驗證的對方設備返回驗證通過應答,否則返回未通過應答。
  29. 一種量子密鑰獲取方法,其特徵在於,該方法在利用量子密鑰對資料進行加解密的資料設備上實施,包括:向密鑰管理設備發送密鑰獲取請求;接收該密鑰管理設備發送的通過一致性驗證的量子密鑰,作為進行資料加解密所採用的密鑰,其中,該一致性驗證是指,將獲取的量子密鑰儲存在與對端量子密鑰分發設備相同的位址範圍後,驗證在該位址範圍中儲存的量子密鑰與該對端量子密鑰分發設備在相同位址範圍中儲存的量子密鑰是否相同;若相同,則視為所述的通過一致性驗證。
  30. 根據申請專利範圍第29項的量子密鑰獲取方法,其中,在接收該密鑰管理設備發送的通過一致性驗證的量子密鑰後,執行下述操作:驗證獲取的量子密鑰與對端資料設備獲取的量子密鑰的一致性,並將通過該一致性驗證的量子密鑰作為進行資料加解密所採用的密鑰。
  31. 根據申請專利範圍第30項的量子密鑰獲取方法,其中,如果獲取的量子密鑰與對端資料設備獲取的量子密鑰未通過一致性驗證,轉到該向密鑰管理設備發送量 子密鑰獲取請求的步驟執行。
  32. 一種量子密鑰獲取裝置,其特徵在於,該裝置部署在利用量子密鑰對資料進行加解密的資料設備上,包括:密鑰獲取請求發送單元,用於向密鑰管理設備發送密鑰獲取請求;對稱密鑰接收單元,用於接收該密鑰管理設備發送的通過一致性驗證的量子密鑰,作為進行資料加解密所採用的密鑰,其中,該一致性驗證是指,將獲取的量子密鑰儲存在與對端量子密鑰分發設備相同的位址範圍後,驗證在該位址範圍中儲存的量子密鑰與該對端量子密鑰分發設備在相同位址範圍中儲存的量子密鑰是否相同;若相同,則視為所述的通過一致性驗證。
  33. 一種量子密鑰儲存輸出方法,其中,該方法在向資料設備提供量子密鑰的密鑰管理設備上實施,包括:接收資料設備發送的密鑰獲取請求;將通過量子密鑰協商過程獲取的量子密鑰儲存在與對端密鑰管理設備相同的位址範圍中;驗證在該位址範圍中儲存的量子密鑰與該對端量子密鑰管理設備在相同位址範圍中儲存的量子密鑰的一致性;按照與該對端密鑰管理設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給該資料設備。
  34. 根據申請專利範圍第33項的量子密鑰儲存輸出方法,其中,該通過一致性驗證的量子密鑰是在接收資料設備發送的密鑰獲取請求之前預先儲存的;相應的,在接收資料設備發送的密鑰獲取請求之前,執行下述操作:向量子密鑰分發設備發送密鑰獲取請求;接收量子密鑰分發設備發送的量子密鑰,並採用與該對端密鑰管理設備相同的位址範圍儲存該量子密鑰;驗證在該位址範圍中儲存的量子密鑰與該對端密鑰管理設備在相同位址範圍中儲存的量子密鑰的一致性,並將通過一致性驗證的量子密鑰作為可發送給資料設備的量子密鑰。
  35. 根據申請專利範圍第33項的量子密鑰儲存輸出方法,其中,在該接收資料設備發送的密鑰獲取請求之後、在該按照與對端密鑰管理設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給該資料設備之前,執行下述操作:向量子密鑰分發設備發送該密鑰獲取請求;接收量子密鑰分發設備發送的量子密鑰,並採用與該對端密鑰管理設備相同的位址範圍儲存該量子密鑰;驗證在該位址範圍中儲存的量子密鑰與該對端密鑰管理設備在相同位址範圍中儲存的量子密鑰的一致性。
  36. 根據申請專利範圍第34或35項的量子密鑰儲存 輸出方法,其中,如果在該位址範圍中儲存的量子密鑰與該對端管理設備在相同位址範圍中儲存的量子密鑰未通過一致性驗證,執行下述操作:清除在該位址範圍中儲存的量子密鑰,並轉到向量子密鑰分發設備發送密鑰獲取請求的步驟執行。
  37. 一種量子密鑰儲存輸出裝置,其特徵在於,該裝置部署在向資料設備提供量子密鑰的密鑰管理設備上,包括:密鑰獲取請求接收單元,用於接收資料設備發送的密鑰獲取請求;密鑰儲存單元,用於將通過量子密鑰協商過程獲取的量子密鑰儲存在與對端密鑰管理設備相同的位址範圍中;密鑰驗證單元,用於驗證在該位址範圍中儲存的量子密鑰與該對端量子密鑰管理設備在相同位址範圍中儲存的量子密鑰的一致性;對稱密鑰輸出單元,用於按照與該對端密鑰管理設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給該資料設備。
  38. 一種量子密鑰分發儲存方法,其特徵在於,該方法在量子密鑰分發設備上實施,包括:與對端量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並將獲取的量子密鑰儲存在與該對端量子密鑰分發設備相同的位址範圍中; 驗證在該位址範圍中儲存的量子密鑰與該對端量子密鑰分發設備在相同位址範圍中儲存的量子密鑰的一致性;根據接收到的來自密鑰管理設備的密鑰獲取請求,按照與該對端量子密鑰分發設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給該密鑰管理設備。
  39. 根據申請專利範圍第38項的量子密鑰分發儲存方法,其中,如果在該位址範圍中儲存的量子密鑰與該對端量子密鑰分發設備在相同位址範圍中儲存的量子密鑰未通過一致性驗證,執行下述操作:清除在該位址範圍中儲存的量子密鑰,並轉到該與對端量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰的步驟執行。
  40. 一種量子密鑰分發儲存裝置,其特徵在於,該裝置部署在量子密鑰分發設備上,包括:密鑰分發儲存單元,用於與對端量子密鑰分發設備通過量子密鑰分發協定協商量子密鑰,並將獲取的量子密鑰儲存在與該對端量子密鑰分發設備相同的位址範圍中;密鑰驗證單元,用於驗證在該位址範圍中儲存的量子密鑰與該對端量子密鑰分發設備在相同位址範圍中儲存的量子密鑰的一致性;對稱密鑰發送單元,用於根據接收到的來自密鑰管理設備的密鑰獲取請求,按照與該對端量子密鑰分發設備協商的相同位址範圍,將通過一致性驗證的量子密鑰發送給該密鑰管理設備。
  41. 一種量子密鑰輸出系統,其特徵在於,包括:分別部署於收發雙方的兩個子系統;該兩個子系統分別包括:如申請專利範圍第32項的量子密鑰獲取裝置、如申請專利範圍第37項的量子密鑰儲存輸出裝置、以及如申請專利範圍第40項的量子密鑰分發儲存裝置。
  42. 一種用於驗證量子密鑰儲存一致性的方法,其特徵在於,該方法在參與驗證的第一設備和第二設備上實施,包括:該第一設備將通過量子密鑰協商過程獲取的、表示待驗證量子密鑰的資訊,以及儲存該待驗證量子密鑰的位址範圍資訊,發送給該第二設備;該第二設備通過將接收的資訊與本地的相應資訊進行比對,判斷雙方設備與該位址範圍對應的、表示待驗證量子密鑰的資訊是否相同,若相同,向該第一設備返回驗證通過應答,否則返回未通過應答;其中,表示待驗證量子密鑰的資訊由與量子密鑰位元數對應的子資訊單元組成,每個子資訊單元是該待驗證量子密鑰中不同量子位元的唯一標識,且與被標識量子位元的儲存位址一一對應。
  43. 根據申請專利範圍第42項的用於驗證量子密鑰儲存一致性的方法,其中,該表示待驗證量子密鑰的資訊包括:待驗證量子密鑰本身;相應的,該第一設備將通過量子密鑰協商過程獲取的、表示待驗證量子密鑰的資訊,以及儲存該待驗證量子 密鑰的位址範圍資訊發送給該第二設備,包括:該第一設備採用預設的散列演算法計算該待驗證量子密鑰的散列值,並將該散列值、以及該位址範圍資訊發送給該第二設備;該第二設備通過將接收的資訊與本地的相應資訊進行比對,判斷雙方設備與該位址範圍對應的、表示待驗證量子密鑰的資訊是否相同,包括:該第二設備從接收的資訊中提取儲存待驗證量子密鑰的位址範圍資訊,採用該預設的散列演算法,計算在本地相同位址範圍中儲存的量子密鑰的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同,則判定雙方設備與該位址範圍對應的、表示待驗證量子密鑰的資訊是相同的。
  44. 根據申請專利範圍第42項的用於驗證量子密鑰儲存一致性的方法,其中,該表示待驗證量子密鑰的資訊包括:待驗證量子密鑰的密鑰標簽序列,該密鑰標簽序列中的每個密鑰標簽即為該子資訊單元;該儲存待驗證量子密鑰的位址範圍資訊包括:該待驗證量子密鑰中每個量子位元的儲存位址組成的位址序列;相應的,該第一設備將通過量子密鑰協商過程獲取的、表示待驗證量子密鑰的資訊,以及儲存該待驗證量子密鑰的位址範圍資訊發送給該第二設備,包括:該第一設備採用預設散列演算法計算由該密鑰標簽序列與該位址序列拼接而成的字串的散列值,並將該散列值 以及該位址序列、或者該散列值以及該密鑰標簽序列發送給該第二設備;該第二設備通過將接收的資訊與本地的相應資訊進行比對,判斷雙方設備與該位址範圍對應的、表示待驗證量子密鑰的資訊是否相同,包括:該第二設備根據從接收資訊中提取的位址序列從本地獲取對應的密鑰標簽序列,或者根據提取的密鑰標簽序列從本地獲取對應的位址序列,採用該預設散列演算法計算由該密鑰標簽序列與該位址序列拼接而成的字串的散列值,判斷計算得到的散列值與接收的散列值是否相同,若相同,則判定雙方設備與該位址範圍對應的、表示待驗證量子密鑰的資訊是相同的。
  45. 根據申請專利範圍第44項的用於驗證量子密鑰儲存一致性的方法,其中,該密鑰標簽包括:量子位元的時間戳資訊。
  46. 根據申請專利範圍第42至45項中任一項的用於驗證量子密鑰儲存一致性的方法,其中,還包括:該第一設備採用與該第二設備預先商定的密鑰對待發送資訊加密;相應的,該第二設備接收該第一設備發送的資訊後,採用相應密鑰解密後,執行後續的比對以及判斷操作。
  47. 一種用於驗證量子密鑰儲存一致性的裝置,其特徵在於,包括: 密鑰驗證請求發送單元,用於第一設備將通過量子密鑰協商過程獲取的、表示待驗證量子密鑰的資訊,以及儲存該待驗證量子密鑰的位址範圍資訊,發送給第二設備;密鑰驗證執行單元,用於該第二設備通過將接收的資訊與本地的相應資訊進行比對,判斷雙方設備與該位址範圍對應的、表示待驗證量子密鑰的資訊是否相同,若相同,向該第一設備返回驗證通過應答,否則返回未通過應答;其中,表示待驗證量子密鑰的資訊由與量子密鑰位元數對應的子資訊單元組成,每個子資訊單元是該待驗證量子密鑰中不同量子位元的唯一標識,且與被標識量子位元的儲存位址一一對應。
TW104142727A 2015-06-08 2015-12-18 量子密鑰輸出方法、儲存一致性驗證方法、裝置及系統 TWI683566B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510309787.4A CN106301769B (zh) 2015-06-08 2015-06-08 量子密钥输出方法、存储一致性验证方法、装置及系统
CN201510309787.4 2015-06-08

Publications (2)

Publication Number Publication Date
TW201644226A TW201644226A (zh) 2016-12-16
TWI683566B true TWI683566B (zh) 2020-01-21

Family

ID=57451043

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104142727A TWI683566B (zh) 2015-06-08 2015-12-18 量子密鑰輸出方法、儲存一致性驗證方法、裝置及系統

Country Status (4)

Country Link
US (2) US10581600B2 (zh)
CN (1) CN106301769B (zh)
TW (1) TWI683566B (zh)
WO (1) WO2016200929A1 (zh)

Families Citing this family (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107347058B (zh) 2016-05-06 2021-07-23 阿里巴巴集团控股有限公司 数据加密方法、数据解密方法、装置及系统
JP2018033079A (ja) * 2016-08-26 2018-03-01 株式会社東芝 通信装置、通信システム及び通信方法
CN108206738B (zh) * 2016-12-16 2022-04-12 山东量子科学技术研究院有限公司 一种量子密钥输出方法及系统
CN106685654B (zh) * 2017-01-12 2020-10-27 成都信息工程大学 一种具有双向身份认证的量子密钥分发方法
CN107124266B (zh) * 2017-03-07 2020-10-27 苏州科达科技股份有限公司 基于量子加密的视频通信系统以及方法
CN109104271B (zh) * 2017-06-20 2022-02-18 山东量子科学技术研究院有限公司 一种数字签名的方法、装置和系统
AU2018320433B2 (en) * 2017-08-22 2021-03-25 Nippon Telegraph And Telephone Corporation Share generating device, share converting device, secure computation system, share generation method, share conversion method, program, and recording medium
CN109428709B (zh) * 2017-08-22 2022-03-01 中国电信股份有限公司 量子密钥分配方法、系统以及光网络系统
CN109510701B (zh) * 2017-09-15 2021-10-01 华为技术有限公司 连续变量量子密钥分发设备及方法
CN109787751A (zh) * 2017-11-14 2019-05-21 阿里巴巴集团控股有限公司 量子密钥的分发系统及其分发方法和数据处理方法
US11411720B2 (en) * 2018-04-11 2022-08-09 Nippon Telegraph And Telephone Corporation Key distribution system, terminal device, key distribution method, and program
CN108737434B (zh) * 2018-05-30 2021-05-07 科华恒盛股份有限公司 一种基于量子的密钥分发方法及系统、服务站
CN108696353A (zh) * 2018-05-30 2018-10-23 厦门科华恒盛股份有限公司 一种量子密钥的分发方法及系统、服务站
CN108833100B (zh) * 2018-07-27 2021-07-20 江苏亨通问天量子信息研究院有限公司 信息验证方法、发送端系统、接收端系统及验证端系统
CN109150502A (zh) * 2018-09-19 2019-01-04 广州通达汽车电气股份有限公司 数据加密方法、装置、系统、计算机设备和存储介质
WO2020155461A1 (zh) 2019-01-30 2020-08-06 合肥本源量子计算科技有限责任公司 一种量子比特控制信号生成方法、系统
CN109683086B (zh) * 2019-01-30 2021-01-05 合肥本源量子计算科技有限责任公司 一种量子比特控制信号生成方法
CN109802830B (zh) * 2019-02-21 2022-11-15 深圳优仕康通信有限公司 一种加密传输方法和量子加密方法
US11343084B2 (en) * 2019-03-01 2022-05-24 John A. Nix Public key exchange with authenticated ECDHE and security against quantum computers
CN110113160A (zh) * 2019-05-07 2019-08-09 山东渔翁信息技术股份有限公司 一种数据通信方法、装置、设备及介质
US11258601B1 (en) * 2019-06-04 2022-02-22 Trend Micro Incorporated Systems and methods for distributed digital rights management with decentralized key management
AU2019450855B2 (en) * 2019-06-10 2023-02-02 Nippon Telegraph And Telephone Corporation Secure division system, secure computation apparatus, secure division method, and program
CN110336720B (zh) * 2019-06-29 2021-08-20 华为技术有限公司 设备控制方法和设备
US11343270B1 (en) 2019-09-10 2022-05-24 Wells Fargo Bank, N.A. Systems and methods for post-quantum cryptography optimization
US11477016B1 (en) 2019-09-10 2022-10-18 Wells Fargo Bank, N.A. Systems and methods for post-quantum cryptography optimization
US11240014B1 (en) 2019-09-10 2022-02-01 Wells Fargo Bank, N.A. Systems and methods for post-quantum cryptography optimization
US11626983B1 (en) 2019-09-10 2023-04-11 Wells Fargo Bank, N.A. Systems and methods for post-quantum cryptography optimization
US11451383B2 (en) * 2019-09-12 2022-09-20 General Electric Company Communication systems and methods
US11985235B2 (en) * 2019-09-16 2024-05-14 Quantum Technologies Laboratories, Inc. Quantum communication system
US11228431B2 (en) * 2019-09-20 2022-01-18 General Electric Company Communication systems and methods for authenticating data packets within network flow
CN110557252A (zh) * 2019-09-30 2019-12-10 南方电网调峰调频发电有限公司信息通信分公司 量子安全网关密钥离线更新方法
CN113132089B (zh) * 2019-12-31 2022-09-23 科大国盾量子技术股份有限公司 一种量子密钥并行比对方法、装置及系统
US11322050B1 (en) * 2020-01-30 2022-05-03 Wells Fargo Bank, N.A. Systems and methods for post-quantum cryptography optimization
US11449799B1 (en) 2020-01-30 2022-09-20 Wells Fargo Bank, N.A. Systems and methods for post-quantum cryptography optimization
US11838410B1 (en) 2020-01-30 2023-12-05 Wells Fargo Bank, N.A. Systems and methods for post-quantum cryptography optimization
US11533175B1 (en) 2020-01-30 2022-12-20 Wells Fargo Bank, N.A. Systems and methods for post-quantum cryptography on a smartcard
KR102222080B1 (ko) * 2020-02-24 2021-03-04 한국전자통신연구원 양자 개체 인증 장치 및 방법
CN111475822B (zh) * 2020-03-04 2023-07-07 科大国盾量子技术股份有限公司 一种基于数据库的量子密钥管理方法及装置
US12088702B2 (en) * 2020-04-10 2024-09-10 Cyborn Limited Systems and methods for adaptive recursive descent data redundancy
CN113765653B (zh) * 2020-06-02 2022-04-12 科大国盾量子技术股份有限公司 量子密钥输出方法、系统及量子密钥管理装置
CN112422284B (zh) * 2020-11-19 2024-03-29 北京电子科技学院 一种量子通信系统
US11329806B1 (en) * 2020-12-04 2022-05-10 The Florida International University Board Of Trustees Systems and methods for authentication and key agreement in a smart grid
CN114629628B (zh) * 2020-12-14 2024-02-27 科大国盾量子技术股份有限公司 基于默克尔算法的量子密钥同步方法
CN114374510B (zh) * 2020-12-30 2023-05-16 广东国腾量子科技有限公司 一种密钥缓冲协商比对的网络系统及其方法
CN114401085B (zh) * 2020-12-30 2023-11-28 广东国腾量子科技有限公司 一种量子保密通信网络的网络架构及密钥存储方法
CN112965915B (zh) * 2021-03-30 2023-08-15 中国电子信息产业集团有限公司第六研究所 一种星载设备检测方法、装置、设备及存储介质
CN113033828B (zh) * 2021-04-29 2022-03-22 江苏超流信息技术有限公司 模型训练方法、使用方法、系统、可信节点及设备
US20220360435A1 (en) * 2021-05-10 2022-11-10 Electronics And Telecommunications Research Institute Method and apparatus for key relay control based on software defined networking in quantum key distribution network
US12052350B2 (en) * 2021-07-08 2024-07-30 Cisco Technology, Inc. Quantum resistant secure key distribution in various protocols and technologies
US11743037B2 (en) * 2021-07-29 2023-08-29 QuNu Labs Private Ltd Quantum key distribution system and method for performing differential phase shift in a quantum network
CN113708928B (zh) * 2021-08-25 2023-04-07 济南浪潮数据技术有限公司 一种边缘云通信方法及相关装置
US20230119304A1 (en) * 2021-10-18 2023-04-20 International Business Machines Corporation Post Quantum Secure Ingress/Egress Network Communication
CN114244506B (zh) * 2021-12-10 2024-04-02 问天鼎讯量子科技(无锡)有限公司 一种量子密钥的快速同步的方法及系统
US12050678B2 (en) 2022-01-07 2024-07-30 Oracle International Corporation Authorization brokering
US12069166B2 (en) * 2022-01-07 2024-08-20 Oracle International Corporation Quorum-based authorization
US20230269075A1 (en) * 2022-02-23 2023-08-24 Mellanox Technologies, Ltd. Devices, systems, and methods for integrating encryption service channels with a data path
CN114285573B (zh) * 2022-03-06 2022-05-27 浙江九州量子信息技术股份有限公司 一种用于抗量子攻击的对称密钥分配方法
US20230318817A1 (en) * 2022-03-29 2023-10-05 Verizon Patent And Licensing Inc. Mobile edge network cryptographic key delivery using quantum cryptography
CN115002770A (zh) * 2022-05-24 2022-09-02 矩阵时光数字科技有限公司 一种基于量子密钥的近场通信系统
CN115189865B (zh) * 2022-06-14 2024-10-08 中国电信股份有限公司 一种有效量子密钥获得方法及装置
CN115426106B (zh) * 2022-08-26 2023-05-23 北京海泰方圆科技股份有限公司 一种身份认证方法、装置、系统、电子设备及存储介质
CN115225411B (zh) * 2022-09-20 2022-11-22 龙图腾网科技(合肥)股份有限公司 保密文件传输的量子安全验证方法、系统、服务器及介质
CN116506122B (zh) * 2023-06-26 2023-10-31 广东广宇科技发展有限公司 一种基于量子密钥分发的认证方法
CN117061229B (zh) * 2023-09-13 2024-09-06 中移互联网有限公司 密钥的管理方法、装置、系统、设备及存储介质
CN117792796B (zh) * 2024-02-26 2024-05-03 中国科学技术大学 一种在IPSec中融合量子密钥的自适应一次一密数据保护方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7734757B2 (en) * 2006-12-19 2010-06-08 Nec Corporation Method and system for managing shared information
CN103441839A (zh) * 2013-08-15 2013-12-11 国家电网公司 一种量子密码在ip安全通信中的使用方法和系统
US20140331050A1 (en) * 2011-04-15 2014-11-06 Quintessence Labs Pty Ltd. Qkd key management system
CN104243144A (zh) * 2013-06-08 2014-12-24 安徽量子通信技术有限公司 一种基于Android智能移动终端的通信密钥分配方法
US20150036825A1 (en) * 2013-08-01 2015-02-05 Kabushiki Kaisha Toshiba Communication apparatus, computer program product, and communication system
CN104660602A (zh) * 2015-02-14 2015-05-27 山东量子科学技术研究院有限公司 一种量子密钥传输控制方法及系统

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2002362018A1 (en) * 2001-12-21 2003-07-24 Magiq Technologies, Inc. Decoupling error correction from privacy amplification in quantum key distribution
US7646873B2 (en) * 2004-07-08 2010-01-12 Magiq Technologies, Inc. Key manager for QKD networks
US7653199B2 (en) * 2004-07-29 2010-01-26 Stc. Unm Quantum key distribution
US20060056630A1 (en) * 2004-09-13 2006-03-16 Zimmer Vincent J Method to support secure network booting using quantum cryptography and quantum key distribution
US7889868B2 (en) * 2005-09-30 2011-02-15 Verizon Business Global Llc Quantum key distribution system
GB0809045D0 (en) * 2008-05-19 2008-06-25 Qinetiq Ltd Quantum key distribution involving moveable key device
CN103081396B (zh) * 2010-08-24 2016-08-10 三菱电机株式会社 通信终端、通信系统以及通信方法
CN201830272U (zh) * 2010-09-17 2011-05-11 安徽问天量子科技股份有限公司 基于量子密钥的网络加密机
JP2014103514A (ja) * 2012-11-19 2014-06-05 Toshiba Corp 通信装置、通信システムおよびプログラム
US9106412B2 (en) 2013-03-08 2015-08-11 Mcafee, Inc. Data protection using programmatically generated key pairs from a master key and a descriptor
JP6192998B2 (ja) * 2013-06-11 2017-09-06 株式会社東芝 通信装置、通信方法、プログラムおよび通信システム
JP6157974B2 (ja) * 2013-07-31 2017-07-05 株式会社東芝 送信機、受信機、量子鍵配送(QKD;QuantumKeyDistribution)システム及び量子鍵配送方法
CN104660603B (zh) * 2015-02-14 2017-02-22 山东量子科学技术研究院有限公司 IPSec VPN中扩展使用量子密钥的方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7734757B2 (en) * 2006-12-19 2010-06-08 Nec Corporation Method and system for managing shared information
US20140331050A1 (en) * 2011-04-15 2014-11-06 Quintessence Labs Pty Ltd. Qkd key management system
CN104243144A (zh) * 2013-06-08 2014-12-24 安徽量子通信技术有限公司 一种基于Android智能移动终端的通信密钥分配方法
US20150036825A1 (en) * 2013-08-01 2015-02-05 Kabushiki Kaisha Toshiba Communication apparatus, computer program product, and communication system
CN103441839A (zh) * 2013-08-15 2013-12-11 国家电网公司 一种量子密码在ip安全通信中的使用方法和系统
CN104660602A (zh) * 2015-02-14 2015-05-27 山东量子科学技术研究院有限公司 一种量子密钥传输控制方法及系统

Also Published As

Publication number Publication date
CN106301769A (zh) 2017-01-04
US11115200B2 (en) 2021-09-07
TW201644226A (zh) 2016-12-16
US10581600B2 (en) 2020-03-03
US20200169398A1 (en) 2020-05-28
CN106301769B (zh) 2020-04-10
US20160359626A1 (en) 2016-12-08
WO2016200929A1 (en) 2016-12-15

Similar Documents

Publication Publication Date Title
TWI683566B (zh) 量子密鑰輸出方法、儲存一致性驗證方法、裝置及系統
TWI721122B (zh) 資料安全傳輸方法、客戶端及服務端方法、裝置及系統
US11463243B2 (en) Key generation method and apparatus using double encryption
JP7164580B2 (ja) ウォレット管理システムと併せたブロックチェーンベースのシステムのための暗号鍵のセキュアなマルチパーティ損失耐性のある記憶及び転送
TWI738836B (zh) 量子資料密鑰協商系統及量子資料密鑰協商方法
TWI710244B (zh) 用於產生共用金鑰的方法、裝置、終端設備及系統
CN106411521B (zh) 用于量子密钥分发过程的身份认证方法、装置及系统
TW201814496A (zh) 資料儲存方法、資料獲取方法、裝置及系統
CN108347404B (zh) 一种身份认证方法及装置
US12010216B2 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
US11528127B2 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
WO2018127118A1 (zh) 一种身份认证方法及装置
US20240113885A1 (en) Hub-based token generation and endpoint selection for secure channel establishment
WO2020042023A1 (zh) 一种即时通信的数据加密方法及装置
WO2022166556A1 (zh) 在区块链网络中实现安全组播的方法及装置
TWI724091B (zh) 金鑰產生方法及裝置
CN108429717B (zh) 一种身份认证方法及装置
US20240356730A1 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data