[发明专利]一种密钥管理系统

权利要求书

1.一种密钥管理系统，其特征在于，所述系统包括：

控制节点；

多个计算节点，所述多个计算节点均与所述控制节点连接；

多个量子密钥分发节点，所述多个量子密钥分发节点均与所述控制节点连接，且每一个所述量子密钥分发节点分别与其中一个所述计算节点连接；

其中，所述每一个量子密钥分发节点配置为生成根密钥，并根据所述控制节点发出的第一指令生成和其他若干个所述量子密钥分发节点之间的密钥加密密钥，以及根据所述控制节点发出的第二指令生成与连接的所述计算节点上的用户对应的数据加密密钥；

所述每一个量子密钥分发节点还配置为：

将所述密钥加密密钥发送到对应的其他若干个量子密钥分发节点上，以使所述对应的其他若干个量子密钥分发节点利用各自的所述根密钥对所述密钥加密密钥进行加密；

利用所述根密钥分别对和所述其他若干个量子密钥分发节点之间的所述密钥加密密钥进行加密。

2.如权利要求1所述的系统，其特征在于，

所述计算节点配置为响应于接收到用户申请与另一计算节点上的用户之间的数据加密密钥的请求，向所述控制节点发送所述请求；

所述控制节点配置为响应于接收到所述请求，向与发送所述请求的所述计算节点连接的所述量子密钥分发节点发送所述第二指令。

3.如权利要求2所述的系统，其特征在于，与发送所述请求的所述计算节点连接的所述量子密钥分发节点配置为：

响应于接收到所述第二指令，生成所述用户和所述另一计算节点上的用户之间的数据加密密钥；

将所述用户和所述另一计算节点上的用户之间的数据加密密钥发送到与所述另一计算节点连接的另一量子密钥分发节点上；

利用所述根密钥对和所述另一量子密钥分发节点之间的已加密的密钥加密密钥进行解密；

利用解密后的所述密钥加密密钥对所述用户和所述另一计算节点上的用户之间的数据加密密钥进行加密。

4.如权利要求3所述的系统，其特征在于，所述量子密钥分发节点进一步配置为删除未加密的密钥加密密钥和未加密的数据加密密钥。

5.如权利要求3所述的系统，其特征在于，所述另一量子密钥分发节点进一步配置为响应于接收到所述数据加密密钥，利用对应的所述根密钥对和所述量子密钥分发节点之间的已加密的密钥加密密钥进行解密，并利用解密的密钥加密密钥对接收到的所述数据加密密钥进行加密。

6.如权利要求4所述的系统，其特征在于，所述计算节点进一步配置为响应于接收到用于所述用户向所述另一计算节点上的用户发送的待传输的明文数据，将所述待传输的明文数据发送到与所述计算节点连接的所述量子密钥分发节点上；

所述量子密钥分发节点进一步配置为响应于接收到待传输的明文数据，利用所述根密钥对和与所述另一计算节点连接的另一量子密钥分发节点之间的已加密的密钥加密密钥进行解密，利用解密的密钥加密密钥对所述用户和所述另一计算节点上的用户之间的已加密的数据加密密钥进行解密，并利用解密后的数据加密密钥对所述待传输的明文数据进行加密以得到待传输的密文数据，将待传输的密文数据返回所述计算节点。

7.如权利要求6所述的系统，其特征在于，所述计算节点进一步配置为响应于接收到所述待传输的密文数据，将所述待传输的密文数据发送给所述另一计算节点上。

8.如权利要求7所述的系统，其特征在于，所述另一计算节点进一步配置为响应于接收到所述用户向所述另一计算节点上的用户发送的所述密文数据，将所述密文数据发送到与所述另一计算节点连接的所述另一量子密钥分发节点上；

所述另一量子密钥分发节点进一步配置为响应于接收到所述密文数据，利用所述根密钥对和与所述计算节点连接的量子密钥分发节点之间的已加密的密钥加密密钥进行解密，利用解密的密钥加密密钥对所述用户和所述另一计算节点上的用户之间的已加密的数据加密密钥进行解密，并利用解密后的数据加密密钥对所述密文数据进行解密以得到所述用户向所述另一计算节点上的用户发送的明文数据，将所述明文数据返回所述另一计算节点。

9.如权利要求1-8任一项所述的系统，其特征在于，所述每一个量子密钥分发节点分别通过物理介质与其中一个所述计算节点直接连接。