[发明专利]一种量子密钥分配方法及装置

权利要求书

1.一种量子密钥分配方法，其特征在于，所述方法应用于防火墙设备，所述方法包括：

在自身上配置完多个使用量子密钥的SSL VPN网关之后，从量子交换密码机申请设定大小的量子密钥数据；

将所述量子密钥数据拆分为M份量子密钥数据，并将M份量子密钥数据中的每份量子密钥数据唯一分配给一个使用量子密钥的SSL VPN网关，其中，M份量子密钥数据中的每份量子密钥数据的大小均相同，且M的取值为所有的使用量子密钥的SSL VPN网关的总数量值；

按照针对每个使用量子密钥的SSL VPN网关设置的拆分规则，继续对分配给每个使用量子密钥的SSL VPN网关的量子密钥数据进行拆分，并将每个使用量子密钥的SSL VPN网关对应的拆分后的每份量子密钥数据存储到内核中，以使每个使用量子密钥的SSL VPN网关在接收到任一SSL VPN客户端发送的携带有量子密钥标识字段的Clinet Hello消息时，从所述内核中的该使用量子密钥的SSL VPN网关对应的拆分后的未使用的一份量子密钥数据中，选择该SSL VPN客户端需要使用的量子密钥数据，生成携带有该使用量子密钥的SSLVPN网关的网关标识和携带的量子密钥标识字段的内容为选择出的量子密钥数据对应的量子密钥标识的Server Hello消息，并将所述Server Hello消息发送给该SSL VPN客户端，以由该SSL VPN客户端根据获取到的所述Server Hello消息中携带的量子密钥标识对应的量子密钥数据和所述网关标识，与该使用量子密钥的SSL VPN网关协商对称加密密钥。

2.根据权利要求1所述的方法，其特征在于，按照针对每个使用量子密钥的SSL VPN网关设置的拆分规则，继续对分配给每个使用量子密钥的SSL VPN网关的量子密钥数据进行拆分，具体包括：

按照设定数据长度，继续对分配给每个使用量子密钥的SSL VPN网关的量子密钥数据进行拆分。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在将每个使用量子密钥的SSL VPN网关对应的拆分后的量子密钥数据存储到内核中之后，若监测到任一使用量子密钥的SSL VPN网关对应的拆分后的量子密钥数据仅剩最后一份或者配置了新的使用量子密钥的SSL VPN网关，则重新从所述量子交换密码机申请所述设定大小的量子密钥数据，并执行将所述量子密钥数据拆分为M份量子密钥数据的步骤。

4.根据权利要求3所述的方法，其特征在于，在重新从所述量子交换密码机申请所述设定大小的量子密钥数据之后，以及在执行将所述量子密钥数据拆分为M份量子密钥数据的步骤之前，所述方法还包括：

判断本地是否记录有每个使用量子密钥的SSL VPN网关的活跃度；

在判断结果为否时，执行将所述量子密钥数据拆分为M份量子密钥数据的步骤；

在判断结果为是时，根据本地记录的每个使用量子密钥的SSL VPN网关的活跃度，将重新申请的量子密钥数据拆分为N份量子密钥数据，将N份量子密钥数据中的每份量子密钥数据唯一分配给一个使用量子密钥的SSL VPN网关，并执行按照针对每个使用量子密钥的SSLVPN网关设置的拆分规则，继续对分配给每个使用量子密钥的SSL VPN网关的量子密钥数据进行拆分的步骤；

其中，N的取值与M的取值相同，且，在N份量子密钥数据中，活跃度越高的网关，其对应的量子密钥数据越大，活跃度越低的网关，其对应的量子密钥数据越小；

本地记录的每个使用量子密钥的SSL VPN网关的活跃度为所述防火墙设备在将每个使用量子密钥的SSL VPN网关对应的拆分后的量子密钥数据存储到内核中之后，每隔设定周期时计算并更新记录的。

5.根据权利要求4所述的方法，其特征在于，通过以下方式计算每个使用量子密钥的SSL VPN网关的活跃度：

针对每个使用量子密钥的SSL VPN网关，统计该使用量子密钥的SSL VPN网关在所述设定周期内使用对应的网关标识协商对称加密密钥的次数，并将统计出的次数确定为该使用量子密钥的SSL VPN网关的活跃度。