[发明专利]量子密钥管理服务核心网、系统及量子密钥协商方法

说明书

本发明公开了一种量子密钥管理服务核心网、系统及量子密钥协商方法。本发明提供的量子密钥管理服务核心网，构建在QKD网络之上的量子密钥管理层，其解耦合了在线量子密钥分发时量子密钥生成/分发层与量子密钥应用层的紧耦合，并实现在线/离线量子密钥服务的融合。其中的量子密钥管理服务节点的域内可以实现通信自治；量子密钥管理服务节点间通过量子密钥管理服务中心实现的跨域通信，实现全域任意两点间密钥应用设备的量子密钥协商。

技术领域

本发明涉及通信技术领域，尤其涉及一种基于量子密钥技术的量子密钥管理服务核心网、系统及量子密钥协商方法。

背景技术

超级计算机的概念从1929年被提及，至今已发展了将近一个世纪。超级计算机的计算能力更是随着各个学科的发展不断进步，目前计算速度已经突破亿亿级。随着计算机能力的提升，传统的对称加密算法的薄弱性也体现出来，比如，DES算法的密钥存在被破解的风险。同时，随着量子计算机的发展，很多机构已经研究出各类量子计算机。可以预见的，量子计算机的计算机能力进一步增加了对称密钥被破解的风险。从当前各项技术的发展趋势看，现有建立的安全体系将逐渐不再适用，世界亟需一种新的技术来保障信息传递的安全。

一些大型企业、行业组织、乃至国家均在信息安全领域投入大量研究，催生出各类方法，而基于量子密钥技术的量子通信是其中的佼佼者。量子密钥分发（Quantum KeyDistribution，简称QKD）技术是近几十年发展起来的新型技术，是量子论与信息论相互结合后的产物。在应用领域，一般使用量子网关通过量子信道在两个用户端生成对称的量子密钥并用于加密两端的通信数据，保证数据通信的安全。QKD技术是现有惟一可达香农提出“绝对安全”的方法。

量子保密通信QKD网络，包括骨干网、城域网在不断快速发展。在广域量子通信QKD网络基础上，能够提供全网广覆盖的密钥基础设施能力，解决密钥孤岛问题，提供统一的密钥服务，对于量子保密通信的发展及量子密钥应用产业化落地有积极推动作用。目前基于QKD网络的量子保密通信的量子密钥管理服务，主要有如下两种模式：在线量子密钥分发模式和离线量子密钥分发模式。

请一并参阅图1-图2，其中，图1为现有在线量子密钥分发模式架构示意图，图2为现有离线量子密钥分发模式架构示意图。

如图1所示，在线量子密钥分发模式，可实现QKD网络内任意两点间密钥应用设备（在线的密钥应用设备）的在线密钥协商；两点间密钥分发信息理论安全，借助QKD网络可实现长距离密钥安全分发。但量子密钥应用设备和量子密钥生成/分发层的量子密钥分发器（QKD）有线连接，密钥应用受限于有线固网，无法为离线的密钥应用设备提供服务。

如图2所示，离线量子密钥分发模式，其基于单中心孤岛方式，继承QKD网络密钥安全分发特性；其增设量子随机数发生器（Quantum Random Number Generator，简称QRNG），实现离线量子密钥分发，拓展了离线密钥应用。两点间密钥应用设备（离线的密钥应用设备）之间基于离线量子密钥协商量子会话密钥。但是各个单中心孤岛无法互通，无法实现任意两点间的量子会话密钥协商，容易形成密钥管理孤岛，无法实现多个量子密钥管理服务系统间互通。

由于在线量子密钥分发模式和离线量子密钥分发模式，在不同层次进行密钥管理及对应用提供密钥服务，因此两种模式只能组合使用。这种组合使用方式组网复杂，无法实现密钥管理及服务的融合。

目前基于QKD的量子保密通信主要基于有线网络。如何突破有线固网限制将量子密钥技术应用到离线领域并解决密钥孤岛问题、实现量子密钥基础设施能力、提供统一的量子密钥服务、实现广覆盖和灵活的量子密钥服务能力，成为量子保密通信发展的迫切需求。

发明内容

本发明的目的在于，提供一种量子密钥管理服务核心网、系统及量子密钥协商方法，可以突破有线固网限制将量子密钥技术应用到离线领域并解决密钥孤岛问题、实现量子密钥基础设施能力、提供统一的量子密钥服务、实现广覆盖和灵活的量子密钥服务能力。