[发明专利]一种与量子网络分离的量子密钥服务方法与系统

说明书

本发明提供了一种与量子网络分离的量子密钥服务方法，包括：第一服务器获取一定数量的异或关联切片作为切片集合，每一次服务从中随机选取并计算m个切片中的m个相关异或值的异或值，发送给第二服务器；第二服务器计算出相应的m个量子密钥分组的异或值并进行Hash运算并得到一个密钥分组，然后再采用客户端的随机数分组加密该密钥分组发送给客户端，客户端解密并得到该密钥分组。本发明可以解决量子密钥分发规模应用难题，在量子安全服务领域具有良好的应用前景。

技术领域

本发明涉及量子密钥分发服务技术领域，尤其涉及一种与量子网络分离的量子密钥服务方法与系统。

背景技术

密钥分发或协商是保密通信系统中的关键技术，通常所采用的基于经典密码算法的密钥协商的安全性是基于计算复杂度的安全性，而不具有量子安全性；而采用量子密钥分发网络的密钥协商方法面临规模应用瓶颈，即一方面，量子密钥分发网络是单跳落地转发可信中继网络，存在实时互联互通瓶颈；另一方面，量子密钥分发网络是独立于互联网的基础设施，二者之间缺少无缝适配接口。为了解决上述问题，量子密钥分发网络功能虚拟化技术被提出来，即，创建量子密钥分发网络的异或关联切片，基于静态的切片数据协商共享密钥。但是，已公开的基于量子密钥分发网络功能虚拟化技术的密钥协商的安全强度较弱。而本发明通过建立异或关联切片的切片集合，并随机从中选择多个切片中的数据进行Hash运算，即每一次服务从切片集合中随机选取并计算m个切片中的m个相关异或值的异或值，发送给第二服务器；第二服务器计算出相应的m个量子密钥分组的异或值并进行Hash运算并得到一个密钥分组，然后再采用客户端的随机数分组加密该密钥分组发送给客户端，客户端解密并得到该密钥分组。本发明可以把N个切片的端到端服务次数提升到C(N,m)，并克服了单一虚拟量子链路的脆弱性，从而实现一种与量子网络分离的量子密钥服务。

发明内容

为了解决背景技术中的量子密钥分发服务所存在的效率和安全性问题，本发明提供了一种与量子网络分离的量子密钥服务方法，包括：第一服务器获取目标量子网络的一定数量的异或关联切片，两个或多个第二服务器分别获取与上述异或关联切片关联的一定数量的量子密钥分组，上述第二服务器分别为客户端提供随机数分组并创建相应的服务关联，并把上述服务关联发送给上述第一服务器；第一服务器响应第一客户端与第二客户端协商量子密钥的服务请求，第一服务器通过查询上述服务关联获取上述第一客户端和第二客户端所关联的两个第二服务器；第一服务器从上述一定数量的异或关联切片中选择m个异或值关联切片中与上述两个第二服务器关联的m个异或值（m是大于1的自然数），并把上述m个异或值的异或值发送给上述第一客户端所关联的第二服务器，把上述m个异或值的标识发送给另一个第二服务器； 上述第一客户端所关联的第二服务器计算所接收到的上述异或值与上述m个异或值所关联的m个量子密钥分组的异或值，对上述异或值进行Hash运算并得到一个密钥分组，利用第一客户端的随机数分组加密上述密钥分组并发送给第一客户端或通过上述第一服务器发送给第一客户端，上述第一客户端利用相应的随机数分组解密并得到上述密钥分组；另一个第二服务器计算上述m个异或值所关联的m个量子密钥分组的异或值，对上述异或值进行上述Hash运算并得到一个密钥分组，利用第二客户端的随机数分组加密上述密钥分组并发送给第二客户端或通过上述第一服务器发送给第二客户端，上述第二客户端利用相应的随机数分组解密并得到上述密钥分组；其中，上述异或关联切片包括但不限于目标量子网络中所有任意两个第二服务器的量子密钥分组的异或值和相应的标识，上述目标量子网络包括量子密钥分发网络、量子通信网络、量子传感网络、量子安全互联网中的任一项。

进一步地，上述方法还包括：如果上述一定数量的异或关联切片或其所关联的量子密钥分组的使用次数或使用时间超过限定值，则，销毁上述量子密钥分组。

进一步地，上述方法还包括：上述第一服务器、第二服务器与客户端之间采用非对称密码算法、事先共享的认证密钥、或同时采用非对称密码算法和事先共享认证密钥进行身份认证。

本发明还提供了一种与量子网络分离的量子密钥服务系统，包括用于完成上述方法的至少一个量子密钥服务中心、两个或多个量子服务器、多个客户端。