[发明专利]量子数据密钥协商系统及量子数据密钥协商方法

权利要求书

1.一种量子数据密钥协商系统，其特征在于，包括：具有共享量子密钥串的第一设备和第二设备、以及授权中心，其中，所述第一设备和第二设备彼此之间、以及与授权中心之间通信连接，所述第一设备和第二设备以及授权中心分别具有可信计算平台；

所述授权中心，用于分别根据所述第一设备和第二设备的授权请求，对相应请求方的身份与平台的可信性进行验证，并在验证通过后基于授权中心的系统私钥为相应请求方提供相应信息，以供相应请求方获取基于其身份与平台信息的私钥及可信证书；

所述第一设备和第二设备，分别用于向对方发送至少包含可信证书的验证请求、并利用对方发送的验证请求中的信息对对方身份与平台的可信性进行验证；并在双方均通过验证后，通过协商从各自的共享量子密钥串中获取量子数据密钥。

2.根据权利要求1所述的系统，其特征在于，所述第一设备和第二设备分别向对方发送的验证请求中，还包含各自的可信度量报告。

3.根据权利要求1所述的系统，其特征在于，所述授权中心包括至少两个通信连接的管控节点，各管控节点分别具有可信计算平台；

所述管控节点之一，用于将所述授权中心的系统私钥根据门限密钥共享机制拆分成n个系统子私钥，n与管控节点的数目一致，并将其中n-1个系统子私钥分别分发给不同的管控节点；还用于根据接收到的授权请求，对相应请求方的身份与平台的可信性进行验证，并在验证通过后基于自己持有的系统子私钥向相应请求方颁发基于其身份与平台信息的子私钥及子证书；

所述管控节点中的其他节点，用于根据接收到的授权请求，对相应请求方的身份与平台的可信性进行验证，并在验证通过后基于自己持有的系统子私钥向相应请求方颁发基于其身份与平台信息的子私钥及子证书；

所述第一设备和第二设备，分别具体用于向预定数量的管控节点发送授权请求，并根据管控节点颁发的子私钥及子证书，采用所述门限密钥共享机制合成基于各自身份与平台信息的私钥及可信证书。

4.根据权利要求1所述的系统，其特征在于，所述第一设备和第二设备，还分别用于将获取的基于各自身份与平台信息的私钥及可信证书存储在各自可信计算平台提供的可信存储空间中。

5.根据权利要求1所述的系统，其特征在于，所述授权中心为一集中管控节点，具体用于分别根据第一设备和第二设备的授权请求，对相应请求方的身份与平台的可信性进行验证，并在验证通过后基于系统私钥为相应的请求方颁发基于其身份与平台信息的私钥及可信证书。

6.根据权利要求1所述的系统，其特征在于，所述第一设备和第二设备，分别具体用于在双方均通过验证后，通过协商从各自的共享量子密钥串中获取两个或者两个以上量子数据密钥。

7.根据权利要求6所述的系统，其特征在于，所述第一设备，具体用于向所述第二设备发送协商消息，所述协商消息中至少包含指示第二设备从其共享量子密钥串中获取两个或者两个以上量子数据密钥的参数信息，并在接收到所述第二设备的确认应答后，从自己的共享量子密钥串中获取与所述参数信息对应的量子数据密钥；所述第二设备，具体用于根据接收到的协商消息包含的参数信息，从自己的共享量子密钥串中获取相应的量子数据密钥，并向所述第一设备返回确认应答。

8.根据权利要求7所述的系统，其特征在于，所述参数信息包括：

量子数据密钥的数量、量子数据密钥的固定长度、以及第一个量子数据密钥的起始量子密钥比特标识；或者，

至少两个参数组，每个参数组中包含相应量子数据密钥的起始量子密钥比特标识，或者，所述起始量子密钥比特标识及长度信息。

9.根据权利要求7所述的系统，其特征在于，所述参数信息包括：至少两个参数组，每个参数组中包含相应量子数据密钥的起始量子密钥比特标识及长度信息，且至少存在两个参数组指定的量子数据密钥具有重叠部分，使得所述参数信息指定的量子数据密钥的总长度大于双方各自具有的共享量子密钥串的长度。