[发明专利]一种量子密钥分配方法及装置

说明书

本申请提供一种量子密钥分配方法及装置。该方法应用于防火墙设备，且包括：在自身上配置完多个使用量子密钥的SSL VPN网关之后，从量子交换密码机申请设定大小的量子密钥数据；将量子密钥数据拆分为M份量子密钥数据，并将M份量子密钥数据中的每份量子密钥数据唯一分配给一个使用量子密钥的SSL VPN网关；按照针对每个使用量子密钥的SSL VPN网关设置的拆分规则，继续对分配给每个使用量子密钥的SSL VPN网关的量子密钥数据进行拆分，并将每个使用量子密钥的SSL VPN网关对应的拆分后的每份量子密钥数据存储到内核中。本申请可节省防火墙设备的内存资源。

技术领域

本申请涉及通信技术领域，尤其涉及一种量子密钥分配方法及装置。

背景技术

SSL VPN是一种采用安全套接字层(Security Socket Layer，SSL)协议来实现远程接入的一种新型虚拟专用网(Virtual Private Network，VPN)技术。它是以安全超文本传输协议(Secure Hyper Text Transfer Protocol，HTTPS，即运行SSL的HTTP协议)为基础，利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，来实现远程访问内网资源。

目前，SSL VPN客户端与配置在防火墙设备中的SSL VPN网关之间通常使用量子密钥协商对称加密密钥，以提高二者建立的SSL连接的安全性。对于二者使用的量子密钥，通常是防火墙设备在配置该SSL VPN网关后，单独从量子交换密钥机申请得到的，这样一来，在防火墙设备上配置有多个使用量子密钥的SSL VPN网关的情形下，就占用了防火墙设备较多的内存资源。

发明内容

为克服相关技术中存在的问题，本申请提供了一种量子密钥方法及装置。

根据本申请实施例的第一方面，提供一种量子密钥分配方法，所述方法应用于防火墙设备，所述方法包括：

在自身上配置完多个使用量子密钥的SSL VPN网关之后，从量子交换密码机申请设定大小的量子密钥数据；

将所述量子密钥数据拆分为M份量子密钥数据，并将M份量子密钥数据中的每份量子密钥数据唯一分配给一个使用量子密钥的SSL VPN网关，其中，M份量子密钥数据中的每份量子密钥数据的大小均相同，且M的取值为所有的使用量子密钥的SSL VPN网关的总数量值；

按照针对每个使用量子密钥的SSL VPN网关设置的拆分规则，继续对分配给每个使用量子密钥的SSL VPN网关的量子密钥数据进行拆分，并将每个使用量子密钥的SSL VPN网关对应的拆分后的每份量子密钥数据存储到内核中，以使每个使用量子密钥的SSL VPN网关在接收到任一SSL VPN客户端发送的携带有量子密钥标识字段的客户端问候(ClinetHello)消息时，从所述内核中的该使用量子密钥的SSL VPN网关对应的拆分后的未使用的一份量子密钥数据中，选择该SSL VPN客户端需要使用的量子密钥数据，生成携带有该使用量子密钥的SSL VPN网关的网关标识和携带的量子密钥标识字段的内容为选择出的量子密钥数据对应的量子密钥标识的服务器问候(Server Hello)消息，并将所述Server Hello消息发送给该SSL VPN客户端，以由该SSL VPN客户端根据获取到的所述Server Hello消息中携带的量子密钥标识对应的量子密钥数据和所述网关标识，与该使用量子密钥的SSL VPN网关协商对称加密密钥

根据本申请实施例的第二方面，提供一种量子密钥分配装置，所述装置应用于防火墙设备，所述装置包括：

申请模块，用于在自身上配置完多个使用量子密钥的SSL VPN网关之后，从量子交换密码机申请设定大小的量子密钥数据；