[发明专利]一种有中心的量子密钥服务网络系统

权利要求书

1.一种有中心的量子密钥服务网络系统，包括一个或多个量子通信子网和量子通信子网之间的安全通道，所述量子通信子网包括一个量子中心节点、多个量子服务节点、连接量子中心节点与量子服务节点的量子光纤信道和公共通信网络，其特征在于，所述系统用于完成如下通信过程：

步骤1-1不同量子通信子网的量子中心节点之间通过安全通道分配共享密钥，即，由一个量子中心节点产生并通过安全通道传递到另一个量子中心节点；

步骤1-2量子通信子网的量子中心节点与量子服务节点之间通过QKD链路协商共享量子密钥；

步骤1-3为应用终端协商共享会话密钥，包括如下步骤：

步骤1-3-1量子服务节点通过量子密钥服务应用接口为只在量子通信子网内使用的应用终端提供服务：量子中心节点规划量子中心节点与应用终端之间的共享密钥和不同应用终端之间的互通密钥并分别创建密钥标识；量子中心节点采用与量子服务节点之间的共享量子密钥加密所述共享密钥和所述互通密钥并发送到各个量子服务节点，量子服务节点根据密钥标识通过安全接口把所述共享密钥和所述互通密钥分别注入相应的应用终端；

步骤1-3-2量子服务节点通过量子密钥服务应用接口为移动应用终端提供服务：量子服务节点根据移动应用终端申请提供注册服务和量子密钥流量注入服务，并创建服务关系列表；量子服务节点把服务关系列表加密发送到量子中心节点，量子中心节点把服务关系列表同步到量子密钥服务中心；量子密钥服务中心根据所述服务关系列表为移动应用终端提供量子密钥服务，即，两个移动应用终端需要共享量子密钥时，其中一个移动应用终端向量子密钥服务中心请求与另一个移动应用终端的共享量子密钥，量子密钥服务中心查找所述两个移动应用终端所关联的量子中心节点，如果所述两个移动应用终端所关联的量子中心节点相同，那么，量子密钥服务中心指定所述量子中心节点产生一个会话密钥，所述量子中心节点分别利用已与所述两个移动应用终端共享的一个子密钥加密所述会话密钥并发给所述两个移动应用终端，所述两个移动应用终端分别解密并获得共享会话密钥；如果所述两个移动应用终端所关联的量子中心节点分别是第一量子中心节点和第二量子中心节点，那么，量子密钥服务中心指定第一量子中心节点选择与第二量子中心节点共享的一个量子密钥作为会话密钥，第一量子中心节点和第二量子中心节点分别利用与所述两个移动应用终端共享的一个子密钥加密所述会话密钥并发给所述两个移动应用终端，所述两个移动应用终端分别解密并获得共享会话密钥；量子中心节点、量子服务节点和应用终端分别采用相同的策略对使用过的量子密钥流量、量子密钥和会话密钥进行安全删除处理。

2.根据权利要求1所述的系统，其特征在于，所述量子通信子网是以量子中心节点为中心的星形网络，每一个量子服务节点与量子中心节点之间存在至少一个QKD链路；通过点到点的方式连接量子中心节点的量子服务节点可以作为另外一个或多个量子服务节点的可信中继节点。

3.根据权利要求1所述的系统，其特征在于，量子通信子网之间的安全通道包括离线通道和量子卫星信道，其中，

所述离线通道为：量子通信子网的量子中心节点制备一定量的量子随机数并增加密钥标识，然后把量子随机数和密钥标识一起加密，通过安全方式注入量子密钥安全存储移动装置；所述量子密钥安全存储移动装置由飞机送到目标量子通信子网的量子中心节点，并由安全注入目标量子通信子网的量子中心节点，目标量子通信子网的量子中心节点解密并共享所述量子随机数和密钥标识；

所述量子卫星信道为：利用量子卫星与地面站之间的QKD信道为两个地面站协商共享量子密钥，然后再利用地面站与量子通信子网的量子中心节点之间的量子密钥分发链路把所述共享量子密钥分发给量子通信子网的量子中心节点。

4.根据权利要求1所述的系统，其特征在于，所述注册服务包括：

量子服务节点根据用户申请提供入网注册服务，量子服务节点利用用户的应用终端采集用户的生物特征数据，量子服务节点为用户的应用终端分配网内唯一的用户身份号和根密钥，并安全存储到用户的应用终端或永久存储介质中；

量子服务节点把用户的生物特征数据、用户身份号和根密钥加密发送到量子中心节点。