[发明专利]金融领域基于量子保密通信技术的工作密钥分发系统及其应用方法

说明书

本发明提供一种金融领域基于量子保密通信技术的工作密钥分发系统，所述工作密钥分发系统包括多个工作站点和量子通信网络，每个工作站点包括量子密钥生成与管理终端和量子随机数发生器；各个工作站点的通信主密钥通过各个工作站点的本地量子密钥生成与管理终端分发及更新，每个工作站点的工作密钥使用本地量子随机数发生器产生的量子随机数作为密钥源。本发明使用通信主密钥加密工作密钥的方式进行分发，替代人工更新方式，密钥分发、更新效率更高，而通信主密钥的安全性依赖于量子密钥分发技术，安全性更高。

技术领域

本发明涉及金融领域密钥分发业务领域，具体涉及一种金融领域基于量子保密通信技术的工作密钥分发系统及其应用方法。

背景技术

金融业是国民经济的重要领域，它包括银行业、保险业、证券业、信托业和租赁业。国家密码局霍炜指出：密码与金融深度融合是必然要求，金融的本质是价值交换，密码的功能是信息保护和安全认证。

目前金融领域，当前金融行业用户大多建立了完善的密码体系，但是受限于现有的密码体系在跨机构密钥分发上仍无法高效、安全的实现，如银联的跨行交易系统的密钥分发，仍然需要依靠人工分发。

金融机构的工作密钥一般由本地密码机内置噪声随机数发生器或者软件算法生成工作密钥，而后工作密钥再通过人工方式，或通信主密钥加密的方式，或RSA等非对称加密进行工作密钥的分发和更新。所以，工作密钥分发的安全和效率建立在人工方式，或通信主密钥加密方式，或RSA等非对称加密方式基础之上。

采用人工方式进行工作密钥的分发，主要是通过信使传递工作密钥，也就是将装有工作密钥的密封邮件由信使来传递。但这种分发方式成本较高，密钥更新频率有限，不更新或较长时间更新一次。

采用通信主密钥加密进行工作密钥的分发，一般由通信主密钥加密，通过业务专线分发给对端。但这种方式的安全性，主要取决于通信主密钥的安全分发方式。现有主密钥分发及更新方式主要有以下几种。约定，双方约定一些共同因子，合成主密钥，更新时使用当前主密钥加密新主密钥通过业务专线发送给对端；预制，在一个安全环境中，把双方主密钥灌入设备，更新时使用当前主密钥加密新主密钥通过业务专线发送给对端；人工分配，不更新或较长时间更新一次。此种方式，新的密钥的安全依赖于上一个密钥的安全，且密钥管理成本较高。

采用RSA等非对称加密进行工作密钥的分发(常用在互联网行业)。由于非对称密码体系的安全原理依赖于某些数学问题，如大数分解、离散对数求解等计算单向性质的假设。这些假设在量子计算概念的提出后已经在原理上被粉碎了。所以，基于非对称密码体系进行密钥分发已不安全，无法应对量子计算的威胁。

发明内容

为了解决上述问题，本发明提供一种金融领域基于量子保密通信技术的工作密钥分发系统，所述工作密钥分发系统包括多个工作站点和量子通信网络，每个工作站点包括量子密钥生成与管理终端和量子随机数发生器；各个工作站点的通信主密钥通过各个工作站点的本地量子密钥生成与管理终端分发及更新，每个工作站点的工作密钥使用本地量子随机数发生器产生的量子随机数作为密钥源。

在一种实施方式中，每个工作站点还包括量子加密机和量子安全服务平台；每个工作站点的量子密钥生成与管理终端通过量子通信网络连接，实现每个工作站点之间的量子通信主密钥分发，并传递给每个工作站点的本地量子加密机；一个工作站点的量子安全服务平台与本地量子随机数发生器相连接，调度本地量子随机数发生器产生随机数作为工作密钥，提供给本地量子加密机；和，所述本地量子加密机使用所述通信主密钥加密所述工作密钥，得到工作密钥的密文，并通过网络传输给另一个工作站点的量子加密机，该量子加密机使用所述通信主密钥解密密文，得到工作密钥。