[发明专利]一种配用电终端的量子密钥同步方法

说明书

本发明公开了一种配用电终端的量子密钥同步方法，其通过为每一个量子密钥分配唯一的ID，将这些共享量子密钥分别存储在量子密钥下载接口A和B，并采用第三方安全存储介质为中介的方法传递量子密钥，通过第三方安全存储介质从量子密钥下载接口获取配用电终端所需量子密钥，然后再逐一与配用电终端物理接口相连，将量子密钥输出到配用电终端中。本发明的配用电终端的量子密钥同步方法，是基于量子密钥“脱网”分发在各配用电终端形成的密钥池，基于量子密钥ID协商的方法，针对业务安全防护等级需求，采用两种量子密钥同步方法相结合的方法，提高信道利用率，并保障协商同步过程量子密钥ID的传输安全。

技术领域

本发明涉及一种量子密钥同步方法，特别是一种配用电终端的量子密钥同步方法。

背景技术

量子保密通信是基于对称密钥来实现加密通信。通过量子密钥分发网络，在通信双方协商生成量子密钥（对称密钥），进而用于加密需要传输的数据。

量子密钥的分发架构主要有以下两种基本形式:一种是：（1）量子密钥点对点分发架构：

如图2所示是最基本的量子保密通信架构。量子密钥是对称密钥，通信双方需要获得相同的共享密钥，才能实现对数据的加密、解密。因此，对于图2，通信两端的量子密钥使用设备需要分别从量子密钥生成设备A和B获取量子密钥。量子密钥生成设备A和B，通过光纤，实现双方量子密钥协商生成，并分别将量子密钥输出到量子密钥使用设备。

无论是点对点的量子密钥分发，还是组成量子密钥分发网络，都是基于图2量子密钥生成设备A和B，以及光纤组成的点对点密钥分发架构实现及扩展的。

另一种是：图3所示为典型的量子密钥分发网络，网络中包含量子网络管理服务器、量子集控站、量子终端、量子密钥下载接口等设备。其中，量子网络管理服务器用于管理整个量子密钥分发网络设备，以及协调全网分发量子密钥，实现量子密钥在两个不同下载接口之间的共享。量子集控站用于与相连的量子终端（也即图2的量子密钥生成设备）协商生成量子密钥，实现量子密钥在量子集控站和量子终端之间分发（集控站内部实质是：分别与多个量子终端相对应的多个量子密钥生成设备，或者一个量子密钥生成设备，通过多路复用开关，与多个量子终端对应）。量子密钥下载接口作为量子密钥池，保存量子终端生成的量子密钥，是业务终端获取量子密钥的通道，也是量子密钥分发网络的边缘。量子密钥分发网络中各设备均是固定位置不动的。

业务终端A和B分别从量子密钥下载接口A和B获取共享的量子密钥，对业务数据进行加解密，并经过已有的传统数据通信网进行加密数据通信。业务终端与量子密钥下载接口之间实现量子密钥交互的手段，可以是直接物理接口连接（如USB接口直连等），也可以通过传统加密保护的网络（如以太网、无线网络等），或者通过第三方保密存储介质中转（如加密移动U盘等）。

目前，由于量子密钥分发网络相关设备成本较高、体积较大，将量子保密通信技术应用在配用电业务场景中，为每一台配用电终端配备一台量子密钥生成设备，是无法实现的。因此，对于数量多、分布广的配用电终端，采用如图1所示的“离线”分发量子密钥的方式，来进行量子密钥分发。量子密钥分发网络的作用是在各个量子密钥下载接口协商生成量子密钥，量子密钥下载接口的作用是将所生成的量子密钥输出到使用端。量子密钥分发网络根据用户需求，在量子密钥下载接口1和2（或者其他接口）上产生一定数量的对应量子密钥。一方面，量子密钥从下载接口1下载到主站业务系统，另一方面，相对应的量子密钥从下载接口2下载到各个配用电终端。如前所述，由于给每一个配用电终端配备一个量子密钥下载接口是无法实现的，因此，每一台配用电终端需要通过一定的方式（例如，对于移动业务终端可以移动到下载接口2去读取密钥，对于固定业务终端可以通过U盾等移动介质或者无线加密通道等进行中转，下面统一称简称为：“脱网”分发）从量子密钥下载接口2下载一批（多个）量子密钥到各个配用电终端。于是，每个配用电终端就拥有了多个量子密钥（且每个终端获得的量子密钥完全不同），在随后的业务加密通信过程中，能够利用这些预存的量子密钥，脱离量子密钥分发网络与主站业务系统进行加密通信。