[发明专利]一种基于三层密钥的量子密钥保护方法、装置及系统

说明书

本发明公开了一种基于三层密钥的量子密钥保护方法、装置及系统，该方法包括：三层密钥体系中的上层密钥加密下层密钥；其中，采用第二层密钥的不同类型的密钥加密密钥分别加密第三层密钥的量子加密密钥和量子会话密钥以及第三层密钥的会话密钥；采用第三层密钥的量子加密密钥加密量子密钥进行存储；和/或采用第三层密钥的量子会话密钥加密量子密钥进行传输。本发明充分保证了量子密钥明文存储和传输时的安全性。

技术领域

本公开属于量子通信的技术领域，涉及一种基于三层密钥的量子密钥保护方法、装置及系统。

背景技术

本部分的陈述仅仅是提供了与本公开相关的背景技术信息，不必然构成在先技术。

现有的量子密钥的分发过程虽然是绝对安全的，然而，发明人在研发过程中发现，对分发完成的量子密钥进行存储时，采用的方式为明文存储或者使用一段不受保护的根密钥加密后进行存储；采用根密钥进行量子密钥加密保护存储时存在以下缺点:

第一，使用伪随机算法生成，不能保证根密钥的安全性。

第二，根密钥预置一次，直到下一次重新预置时失效，使用根密钥加密所有量子密钥对，且无论密钥量的多少。

第三，使用根密钥加密量子密钥，需要获取量子密钥明文和根密钥明文使用软算法进行计算，因此不能有效的保护量子密钥明文和根密钥明文。

在进行量子密钥明文的保护时，采用在一块嵌入式单板(加密卡)预置一段根密钥，然后通过串口将根密钥传输到需要加密量子密钥的单板，再采用相应的软算法对量子密钥进行加密传输，或者存储。现有的加密卡可以在卡中进行数据的加密和解密，加密和解密数据使用的密钥是存储在加密卡中的，可以使用密码卡中的密钥进行量子密钥的加密保护。然而，现有的技术在使用串口传输根密钥进行量子密钥的保护时，量子密钥明文与加密量子密钥明文的密钥明文可以被获取，因此不能有效的保护量子密钥的安全性。使用密码卡加密保护量子密钥时，虽然加密量子密钥明文的密钥明文不能被获取，但是解密后的量子密钥明文是不受密码卡保护的，因此也不能有效的保证量子密钥的安全性。基于以上原因，考虑重新设计密码卡的结构，完成对量子密钥明文与加密量子密钥的密钥明文的保护。

另外，传统的量子密钥在进行输出时，采用的是明文输出的方式，或者采用预置密钥加密的方式进行加密，此预置密钥存在以下缺点:

第一，伪随机数算法生成，不能保证安全性。

第二，进行加密输出时，需要先获取预置密钥明文，再获取量子密钥明文，然后使用软算法对量子密钥进行加密，不能有效的保护量子密钥明文和预置密钥明文。

为了保证量子密钥存储和传输的安全性，引入三级密钥体系对量子密钥进行保护，如图1-2所示，传统的三级密钥体系由上到下包括管理密钥(主密钥)、用户密钥/设备密钥/密钥加密密钥等以及会话密钥。因为三级密钥体系中，管理密钥被存放在绝对安全的存储空间中，密钥加密密钥和会话密钥使用随机数芯片生成，保证了密钥的安全性，上层密钥加密下层密钥，有效的保护了最低层密钥的安全性。

使用三级密钥体系保护量子密钥，需要满足以下要求：

第一，使用不同的密钥对量子密钥进行保护。

第二，保证量子密钥明文的安全。

第三，安全快速的更新量子密钥传输时的加密密钥。

然而，针对以上要求，使用传统的三级密钥体系进行量子密钥保护时，存在以下问题：

第一，若使用主密钥加密量子密钥，三级密钥加密体系中，对主密钥的使用是需要权限控制的，也就是说每一次进行量子密钥的加密和解密都需要管理员完成权限鉴别后才可以进行，不利于量子密钥的快速存储，主密钥有且只有一个，不能实现对不同量子密钥对使用不同的加密密钥进行加密保护，且主密钥不具备对称密钥协商体系，不能有效的完成量子密钥的加密传输。