[发明专利]基于密钥池的量子保密通信网络密钥管理通信系统及方法

说明书

本发明公开了基于密钥池的量子保密通信网络密钥管理通信系统及方法，该系统包括密钥管理服务器和密钥管理用户端，密钥管理用户端包含但不限于第一密钥管理用户端和第二密钥管理用户端的量子密钥分发节点，第一密钥管理用户端、第二密钥管理用户端及密钥管理服务器的内部分别均配置有安全芯片。有益效果：不耗费量子保密通信网络的量子密钥；密钥管理通信系统的密钥池加密密钥均存储于安全芯片中，无法被窃取；基于ID密码学的密钥颁发服务对每个不同用户的系统公私钥均不同，即使某个用户所对应的系统公钥被破解，也不会危及到其他用户的系统公私钥；只需传递少量密钥即可对密钥池进行更新，密钥更新方案的密钥传输量很小，容易实现。

技术领域

本发明涉及量子保密通信领域，尤其涉及基于密钥池的量子保密通信网络密钥管理通信系统及方法。

背景技术

经济全球化的趋势已经势不可挡，数以百亿计的信息在互联网上流出，就像人类在存储设备中构建了一个虚拟化的世界，集中了隐私和知识。而这些信息就和现实世界中的资源一样，具有无形的价值。

目前，除了黑客等可能会窃取你的信息，现有的消息通讯厂商也可以随时查看你的通讯信息。因此，对于个人或组织来说，要确保自己的信息不被窃取，必须将密钥掌握在己方手里才能确保自身信息的安全，对于密钥的管理变得至关重要。传统上的加密方式主要依靠非对称密码体系。非对称密码体系的优势在于不需要双方约定密钥的过程，减少了很多成本。但是量子计算机的出现，让现今大部分的非对称密码算法变得不堪一击。

伴随着量子计算机出现的还有量子通信。量子密钥分发(QKD)技术以量子物理基本原理作保障，可以在公开信道上无条件安全地分发密钥，从原理上保证了一旦存在窃听就必然被发现。一旦在通信双方成功建立了密钥，这组密钥就是安全的，而且这种具有绝对随机性的密钥从原理上是无法被破解的。

量子密钥分发是利用可信中继技术、经典网络通信技术和网络管理技术等实现大规模、跨地域的安全、高效的密钥分发与管理，实现在不同区域的2台量子保密通信终端间的安全、高效的密钥共享。量子通信网络利用量子密钥分发技术，实现2台量子保密通信终端间的安全、高效的密钥共享的网络；经典网络即传统的数据通信网络，实现设备间的数据传输。

但是现有技术存在以下缺陷：

1、已有的量子保密通信组网方式中，普遍使用了集中式密钥管理服务器，对各个密钥分发节点进行统一管理，包括进行各密钥池状态的统计、对密钥路由的计算、对密钥分发节点下发指令等业务。但是该密钥管理通信系统的各类通信也需要安全保障机制。一种方式是用QKD(量子密钥分发)得到的量子密钥对密钥管理通信系统进行安全保护，但缺点是消耗大量的量子密钥；另一种方式是用CA证书表明密钥管理通信系统各成员的身份，并实现基于公钥密码学的保密通信，但缺点是无法抗量子计算；另一种方式是对密钥管理通信系统的各成员颁发对称密钥池或者非对称密钥池，并实现基于预颁发密钥池的保密通信，但缺点是密钥池颁发、更新流程麻烦，密钥池占据较大存储空间、容易被敌方盗取。

2、现有基于对称密钥池的取密钥方法为：首先选择一个密钥位置，然后从该位置取出整段密钥。在对称密钥池被群组成员共享的情况下，该种取密钥方式容易被群组成员所知，私密性不高；

3、现有密钥池更新的方法为一方生成密钥后给另一方发送过去，由于密钥池中的密钥量巨大，会导致密钥池更新需要大量时间；对于群组通信来说，需要将同一份密钥传递到群组的各个成员，密钥量更加巨大，往往难以实现。

发明内容

针对相关技术中的问题，本发明提出基于密钥池的量子保密通信网络密钥管理通信系统及方法，以克服现有相关技术所存在的上述技术问题。

为此，本发明采用的具体技术方案如下：