[发明专利]基于密钥池的量子保密通信网络密钥管理通信系统及方法

权利要求书

1.基于密钥池的量子保密通信网络密钥管理通信系统，其特征在于，该系统包括密钥管理服务器和密钥管理用户端，其中，所述密钥管理服务器配置有ID密码学密钥颁发服务，所述密钥管理用户端包含但不限于第一密钥管理用户端和第二密钥管理用户端的量子密钥分发节点，所述第一密钥管理用户端、所述第二密钥管理用户端及所述密钥管理服务器的内部分别均配置有安全芯片。

2.基于密钥池的量子保密通信网络密钥管理通信方法，用于权利要求1的基于密钥池的量子保密通信网络密钥管理通信系统的通信，其特征在于，该方法包括以下步骤：

S1、使用通信方法实现所述密钥管理服务器与所述第一密钥管理用户端之间的通信；

S2、利用密钥更新方法分别对所述第一密钥管理用户端及所述密钥管理服务器中的密钥进行更新；

其中，所述密钥管理服务器为所述第一密钥管理用户端颁发系统公私钥时，计算消息认证码得到对应的系统私钥，再根据该系统私钥计算得到系统公钥，并将所述系统公钥保存在所述第一密钥管理用户端的安全芯片中；

所述密钥管理服务器为所述第一密钥管理用户端颁发公私钥时，调用哈希函数计算得到公钥，再根据该公钥计算得到对应的私钥，并将所述第一密钥管理用户端的ID和所述公私钥存入所述第一密钥管理用户端的安全芯片中。

3.根据权利要求2所述的基于密钥池的量子保密通信网络密钥管理通信方法，其特征在于，还包括所述密钥管理服务器调用哈希函数计算得到用于对接所述第一密钥管理用户端的公钥，再根据该公钥计算得到对应用于对接所述第一密钥管理用户端的私钥，并将用于对接所述第一密钥管理用户端的私钥存储于所述密钥管理服务器的内存中。

4.根据权利要求2所述的基于密钥池的量子保密通信网络密钥管理通信方法，其特征在于，所述S1使用通信方法实现所述密钥管理服务器与所述第一密钥管理用户端之间的通信具体包括以下步骤：

S11、所述密钥管理服务器向所述第一密钥管理用户端发起通信；

S12、所述第一密钥管理用户端向所述密钥管理服务器发起通信。

5.根据权利要求4所述的基于密钥池的量子保密通信网络密钥管理通信方法，其特征在于，所述S11中所述密钥管理服务器向所述第一密钥管理用户端发起通信具体包括以下步骤：

S111、所述密钥管理服务器计算替换密钥，并根据密钥替换公式和本地密钥池计算组合得到所述第一密钥管理用户端的密钥池；

S112、分别对所述密钥管理服务器发出的消息及时刻进行设定，并使用所述密钥管理服务器在预设长度的第一密钥管理用户端的密钥池中取出密钥；

S113、所述密钥管理服务器利用所述用于对接第一密钥管理用户端的私钥对第一待签名消息进行基于ID密码学的签名，得到第一签名；

S114、所述密钥管理服务器使用所述密钥对所述密钥管理服务器发出的消息及所述第一签名进行加密得到第一加密信息，使用所述密钥对所述第一待签名消息和所述第一签名进行第一消息认证码的计算，并将带有所述第一加密信息、所述第一消息认证码、所述密钥管理服务器的ID、所述第一密钥管理用户端的ID及所述密钥管理服务器发出时刻的信息发送给所述第一密钥管理用户端；

S115、所述第一密钥管理用户端接收带有所述第一加密信息、所述第一消息认证码、所述密钥管理服务器的ID、所述第一密钥管理用户端的ID及所述密钥管理服务器发出时刻的信息，并从自身的密钥池中取出对应的密钥对所述第一加密信息进行解密，得到所述密钥管理服务器发出的消息和所述第一签名；

S116、使用所述密钥管理服务器的公钥对所述第一签名进行验证，验证通过后对所述第一消息认证码进行验证，当两次验证同时通过后得到所述密钥管理服务器发出的消息；

其中，所述S112中取出密钥包括以下步骤：

S1121、计算得到所述密钥的初始位置指针，并依次计算步长；

S1122、再依次计算用于提取随机码的指针，并得到若干用于提取随机码的指针；

S1123、根据若干所述用于提取随机码的指针从密钥池中依次取出对应位置的若干个比特的密钥数据；

S1124、若超出所述密钥池大小，则利用对密钥池长度取模的方式回到所述密钥池头部。