一种公用量子密钥服务装置、系统及方法与流程

1.本发明涉及量子保密通信领域，尤其涉及一种公用量子密钥服务装置、系统及方法。


背景技术：

2.量子通信技术是基于量子物理学建立起来的新兴安全通信技术。除建立量子通信干线以外，一些规模化城域量子通信网络也已经建设成功并运行。基于城域量子通信网络，量子通信技术也有了初步的应用，可实现高保密性的视频语音通信等应用。量子通信干线和量子通信城域网等量子通信网络，组成量子通信网络，其本质是量子密钥分发(qkd)。因此以qkd技术为基础建立起来的量子通信网络可称为qkd网络。
3.随着移动互联网的迅速发展，企业事业单位内部业务网站也逐步走向移动终端方向发展，为了便于工作人员随时了解工作内容，用户希望能够通过便携的移动终端来访问单位内部网站服务器。为了保证移动终端的安全性，用户与管理平台之间的交互信息通常要进行加密处理，以防被窃取。现有的基于量子通信网的信息交互方式，具有较高的安全性，可以用于用户的移动终端与管理平台之间的密钥分发。然而，在移动终端与管理平台之间部署量子通信网的实现难度较大。与此同时，由于移动终端携带qkd设备进行保密通信目前还不太现实，利用qkd设备对移动终端之间的点对点通信进行保护的难度也较大。
4.综上，现有的基于量子的密钥分发装置、系统及方法存在下面的问题：
5.1.现有技术中，量子保密通信网络的接入需要用户配备量子密钥分发(qkd)设备，以下问题一定程度上妨碍了量子保密通信的推广：用户需要额外新增一个qkd设备，该类设备目前价格及运维难度较高，并且存在一定的权属不清的问题(例如量子通信网络运营商可以控制部分行为)，因此用户体验一般；所有用户均需要去指定的量子通信网络运营商进行qkd设备的接入和注销，并完成线路部署，流程固定且不方便；用户身份与qkd设备绑定，qkd设备id在网络上的传输可能会暴露用户的行为，从而暴露用户的网络行为的特点和规律。
6.2.现有共享产品中，并不存在对用户进行身份识别，例如在某单位共享一个qkd 设备的情况下，并未对接入网络的每个用户进行身份区分。
7.3.现有使用qkd设备都是提供量子密钥供其他各类设备使用，该类方式在量子密钥颁发到使用过程中都存在密钥泄露的风险。


技术实现要素：

8.发明目的：为克服上述缺陷，本发明提出一种公用量子密钥服务装置、系统及方法。
9.

技术实现要素：
一种公用量子密钥服务装置，包括qkd设备、用户身份识别模块、交易模块和近距离通信模块，qkd设备为公用量子密钥服务装置提供接入量子保密通信网络的功能，利用qkd设备实现与量子保密通信网络中的任一qkd设备进行量子密钥分发；用户身份
识别模块用于识别用户身份；交易模块使公用量子密钥服务装置为用户提供支付途径，还具备支付验证功能；近距离通信模块为公用量子密钥服务装置对用户的设备端颁发量子密钥提供接口。
10.一种公用量子密钥服务系统，包括上述的公用量子密钥装置和公用量子密钥服务器集群，公用量子密钥服务器集群可用于对整个量子通信网络进行网络管理、密钥管理，对用户进行身份认证和计费。
11.作为优选，公用量子密钥装置和公用量子密钥服务器集群均连入了量子保密通信网络及经典通信网络；公用量子密钥服务装置在与公用量子密钥服务器集群通信前会通过 qkd设备与公用量子密钥服务器集群的qkd设备进行量子密钥分发从而获得与公用量子密钥服务器集群对称的量子密钥；公用量子密钥服务装置通过量子密钥实现与公用量子密钥服务器集群加密通信。
12.一种公用量子密钥服务方法，实施在上述的公用量子密钥服务系统中，公用量子密钥服务装置与用户进行身份认证，认证成功后，用户间通过使用公用量子密钥服务装置获得对称的第一通信密钥；包括如下步骤:
13.s1、第一用户提前约定确认第二用户所使用的第二公用量子密钥服务装置的基本信息，第一用户与第一公用量子密钥服务装置完成身份认证，第一公用量子密钥服务装置将第一用户输入的相关信息加密发送至公用量子密钥服务器集群；公用量子密钥服务器集群计算出所需的费用并加密发送回第一公用量子密钥服务装置；所述相关信息包括用第二公用量子密钥服务装置的基本信息，第二用户的身份代码或识别码、量子密钥数量；所述第二公用量子密钥服务装置的基本信息用于确定需要实现量子密钥分发的公用量子密钥服务装置；
14.s2、第一公用量子密钥服务装置收到所需费用后，通知第一用户，第一用户通过第一公用量子密钥服务装置提供的支付方式选择一种进行支付，支付完成后，公用量子密钥服务器集群验证本次交易，验证通过后将确认通知发送给第一公用量子密钥服务装置和第二公用量子密钥服务装置；
15.s3、第一公用量子密钥服务装置与第二公用量子密钥服务装置通过量子保密通信网络实现量子第一通信密钥分发；量子第一通信密钥分发完成后，第一公用量子密钥服务装置通过近距离通信模块将第一通信密钥传输至第一用户；第二公用量子密钥服务装置暂时将第一通信密钥保存在本地；
16.s4、第二用户找到第二公用量子密钥服务装置，并完成身份认证，第二公用量子密钥服务装置通过近距离通信模块将暂存在本地的第一通信密钥传输至第二用户；
17.s5、第一用户与第二用户得到对称的第一通信密钥，双方可通过第一通信密钥加密的方式传输相应的消息或文件等。
18.可选地，所述公用量子密钥服务装置与用户进行身份认证可采用如下步骤：
19.s11、公用量子密钥服务装置读取用户身份认证信息，并通过量子密钥加密上传至统一认证服务系统；该量子密钥为公用量子密钥服务装置通过qkd设备与统一认证服务系统的qkd设备进行量子密钥颁发得到的对称密钥；
20.s12、统一认证服务系统收到消息后利用量子密钥解密得到认证信息，解密后对认证信息进行认证；
21.s13、统一认证服务系统通过对身份的安全性进行鉴别，鉴别通过后，统一认证服务系统将认证结果通过量子密钥加密发送至公用量子密钥服务装置；
22.s14、公用量子密钥服务装置收到消息后利用量子密钥解密得到认证结果；根据认证结果判定当前用户使用本装置的权限。
23.可选地，所述公用量子密钥服务装置与用户进行身份认证可采用如下步骤：
24.s21、公用量子密钥服务装置读取用户身份认证信息，并通过第一量子密钥加密上传至公用量子密钥服务器集群；该量子密钥为公用量子密钥服务装置通过qkd设备与公用量子密钥服务器集群的qkd设备进行量子密钥颁发得到的对称密钥；
25.s12、公用量子密钥服务器集群收到消息后利用第一量子密钥解密得到认证信息，解密后并利用第二量子密钥对认证信息加密并发送至统一认证服务系统，第二量子密钥为公用量子密钥服务器集群通过qkd设备与统一认证服务系统的qkd设备进行量子密钥颁发得到的对称密钥；
26.s23、统一认证服务系统收到后利用第二量子密钥解密得到认证信息，通过对身份的安全性进行鉴别，鉴别通过后，统一认证服务系统将认证结果通过第二量子密钥加密发送至公用量子密钥服务装置；
27.s24、公用量子密钥服务装置收到消息后利用第一量子密钥解密得到认证结果；根据认证结果判定当前用户使用本装置的权限。
28.进一步地，所述步骤s1中第二公用量子密钥服务装置的基本信息可以是第二公用量子密钥服务装置的设备代号或地理位置。
29.优选地，所述步骤s1中，公用量子密钥服务器集群计算出所需的费用是根据中继次数和量子密钥数量数据计算出所需的费用。
30.一种公用量子密钥服务方法，实施在用户通过公用量子密钥服务装置使用装置内支持的app的情景下，包括如下步骤：
31.s31、第三用户找到最近的第三公用量子密钥服务装置并完成身份认证，第三用户在已预装app的公用量子密钥服务装置上选择要使用的app；
32.s32、第三公用量子密钥服务装置将第三用户选择的app信息发送至公用量子密钥服务器集群；公用量子密钥服务器集群根据第三公用量子密钥服务装置和app厂商之间中继次数计算出通信费用并加密发送回第三公用量子密钥服务装置；
33.s33、第三公用量子密钥服务装置收到通信费用后，通知第三用户，第三用户通过第三公用量子密钥服务装置提供的支付方式选择一种进行支付，支付完成后，公用量子密钥服务器集群验证本次交易，验证通过后将确认通知发送给第三公用量子密钥服务装置和app厂商；
34.s34、公用量子密钥服务装置与app厂商通过量子保密通信网络实现量子第二通信密钥分发；量子第二通信密钥分发完成后，第三公用量子密钥服务装置和app厂商将第二通信密钥保存在本地至本次使用结束；
35.s35、量子密钥颁发过程完成后，用户可以使用app进行操作，第三公用量子密钥服务装置的app与厂商之间的通信均通过第二通信密钥加密。
36.有益效果：
37.1.本专利中，在公共场所部署有一种公用量子密钥服务装置，将大大有助于量子
保密通信的推广：用户无需额外新增一个qkd设备，不存在价格及运维难度较高的问题，也不存在权属不清的问题(qkd设备全部由量子通信网络运营商控制，因此用户体验较好；用户无需去指定的量子通信网络运营商进行qkd设备的接入和注销，也无需完成线路部署，在大量公共场所均能随时获取量子密钥服务，流程灵活且方便；用户身份不与qkd设备绑定，公用量子密钥服务装置的使用者不断更换，因此qkd设备id在网络上的传输不容易暴露用户的网络行为的特点和规律；
38.2.本专利提出了一种公用量子密钥服务系统，对使用设备的人进行身份识别，将不符合规定的用户剔除在用户行列之外，降低了本系统被错误利用的风险。
39.3.本专利提出的一种公用量子密钥服务方法为各类app提供公用的量子通信平台，用户可以在本发明的公用量子密钥服务装置上进行相应的操作。而量子密钥从生成至弃用始终在本装置内，既保证了量子密钥的安全性，也为用户提供了较为便捷的受到量子密钥保护的app使用途径。
附图说明
40.图1为本发明公用量子密钥服务装置的功能模块示意图；
41.图2为本发明公用量子密钥服务系统的网络拓扑结构示意图；
42.图3为本发明实施例1场景的网络拓扑示意图；
43.图4为本发明实施例2场景的网络拓扑示意图；
44.图5为本发明实施例3场景的网络拓扑示意图；
45.图6为本发明实施例4场景的网络拓扑示意图。
具体实施方式
46.下面将结合附图和具体实施例对本发明作更进一步的说明。但应当理解的是，本发明可以以各种形式实施，以下在附图中出示并且在下文中描述的一些示例性和非限制性实施例，并不意图将本发明限制于所说明的具体实施例。
47.应当理解的是，在技术上可行的情况下，以上针对不同实施例所列举的技术特征可以相互组合，从而形成本发明范围内的另外的实施例。此外，本发明所述的特定示例和实施例是非限制性的，并且可以对以上所阐述的结构、步骤、顺序做出相应修改而不脱离本发明的保护范围。
48.本发明为一种公用量子密钥服务装置及系统，本公用量子密钥服务装置安装于各类公众场合，用户之间可通过本装置获得量子密钥从而实现量子密钥加密通信。
49.本发明的公用量子密钥服务装置为一种可操作的、拥有数据处理能力及正常通信功能的装置。如图1所示，公用量子密钥服务装置至少还具备qkd设备、用户身份识别模块、交易模块和近距离通信模块。
50.qkd设备为公用量子密钥服务装置提供接入量子保密通信网络的功能。公用量子密钥服务装置利用qkd设备实现与量子保密通信网络中的任一qkd设备进行量子密钥分发。所述量子保密通信网络的站点均搭建有qkd设备，各站点间均可通过qkd 设备实现量子密钥的生成。近距离通信模块为公用量子密钥服务装置对用户的设备端颁发量子密钥提供接口。其中近距离通信方式包括但不限于有线连接、二维码通信、nfc 通信、红外通信、蓝牙通
信等。近距离通信模块确保通信时，设备端在人为可控范围内。交易模块使公用量子密钥服务装置为用户提供支付途径。交易方式包括但不限于现金、移动支付、数字人民币、ic卡等。交易模块还具备支付验证功能，确保交易安全。用户身份识别模块可根据用户eid或实体身份证来识别用户身份。eid(公民网络电子身份标识)是以密码技术为基础、以智能安全芯片为载体、由“公民网络身份识别系统”签发给公民的网络身份标识，能够在不泄露身份信息的前提下在线远程识别身份。eid读取模块使公用量子密钥服务装置具备eid卡的读取功能。公用量子密钥服务装置可通过 eid读取模块读取卡内信息后，通过eid统一认证服务系统进行用户身份信息的认证，同时通过监管部门的人员监控服务来进行危险目标的鉴别。如用户使用实体身份证明，则公用量子密钥服务装置可通过实体身份证读取模块读取卡内信息后，通过监管部门的实体身份证明统一认证服务系统进行用户身份信息的认证，同时通过监管部门的人员监控服务来进行危险目标的鉴别。
51.如图2所示，公用量子密钥服务系统中包含公用量子密钥装置和公用量子密钥服务器集群。公用量子密钥服务器集群主要负责对整个量子通信网络进行网络管理、密钥管理等，对用户进行身份认证和计费。公用量子密钥装置和公用量子密钥服务器集群均连入了量子保密通信网络及经典通信网络。
52.公用量子密钥服务装置在与公用量子密钥服务器集群通信前会通过qkd设备与公用量子密钥服务器集群的qkd设备进行量子密钥分发从而获得与公用量子密钥服务器集群对称的量子密钥。公用量子密钥服务装置通过量子密钥实现与公用量子密钥服务器集群加密通信。
53.实施例1
54.本实施例实现场景为用户使用公用量子密钥服务装置前的身份认证。如图3所示，本实施例中以用户根据用户eid来识别用户身份为例，参与量子密钥交易的角色包括公用量子密钥服务装置、eid卡和eid统一认证服务系统。所述eid统一认证服务系统搭建有qkd设备并连入了量子保密通信网络。具体流程如下所述：
55.1.1、用户进入公用量子密钥服务装置的操作界面，在使用前，需要对用户进行身份认证。用户将自身的eid卡放置在公用量子密钥服务装置的eid读卡器上。
56.1.2、公用量子密钥服务装置读取eid的卡内的认证信息，并通过量子密钥加密上传至eid统一认证服务系统。该量子密钥为公用量子密钥服务装置通过qkd设备与eid 统一认证服务系统的qkd设备进行量子密钥颁发得到的对称密钥。
57.1.3、eid统一认证服务系统收到消息后利用量子密钥解密得到认证信息。eid统一认证服务系统对认证信息进行认证，同时通过监管部门的人员监控服务来进行危险目标的鉴别。eid统一认证服务系统将认证结果通过量子密钥加密发送至公用量子密钥服务装置。
58.1.4、公用量子密钥服务装置收到消息后利用量子密钥解密得到认证结果。公用量子密钥服务装置根据认证结果判定当前用户使用本装置的权限。
59.实施例2
60.本实施例实现用户使用公用量子密钥服务装置前的身份认证的另一认证通信流程。如图4所示，本实施例中以用户根据用户eid来识别用户身份为例，参与量子密钥交易的角色包括公用量子密钥服务装置、公用量子密钥服务器集群、eid卡和eid统一认证服务系统。所述eid统一认证服务系统搭建有qkd设备并连入了量子保密通信网络。
61.具体流程如下所述：
62.2.1、用户进入公用量子密钥服务装置的操作界面，在使用前，需要对用户进行身份认证。用户将自身的eid卡放置在公用量子密钥服务装置的eid读卡器上。
63.2.2、公用量子密钥服务装置读取eid的卡内的认证信息，并通过第一量子密钥加密上传至公用量子密钥服务器集群。第一量子密钥为公用量子密钥服务装置通过qkd设备与公用量子密钥服务器集群的qkd设备进行量子密钥颁发得到的对称密钥。
64.2.3、公用量子密钥服务器集群收到公用量子密钥服务装置的消息后通过第一量子密钥解密该消息得到用户eid的认证信息。并利用第二量子密钥对认证信息加密并发送至 eid统一认证服务系统。第二量子密钥为公用量子密钥服务器集群通过qkd设备与eid 统一认证服务系统的qkd设备进行量子密钥颁发得到的对称密钥。
65.2.4、eid统一认证服务系统收到消息后利用第二量子密钥解密得到认证信息。eid 统一认证服务系统对认证信息进行认证，同时通过监管部门的人员监控服务来进行危险目标的鉴别。eid统一认证服务系统将认证结果通过第二量子密钥加密发送至公用量子密钥服务器集群。
66.2.5、公用量子密钥服务器集群记录认证结果，并通过第二量子密钥解密并用第一量子密钥加密将消息转发至公用量子密钥服务装置。
67.2.6、公用量子密钥服务装置收到消息后利用第一量子密钥解密得到认证结果。公用量子密钥服务装置根据认证结果判定当前用户使用本装置的权限。
68.实施例3
69.本实施例实现场景为用户间通过使用公用量子密钥服务装置获得对称的量子密钥。如图5所示，本实施例中参与量子密钥交易的角色包括公用量子密钥服务装置a、公用量子密钥服务装置b、公用量子密钥服务器集群、用户a和用户b。用户a使用的公用量子密钥服务装置为公用量子密钥服务装置a；用户b使用的公用量子密钥服务装置为公用量子密钥服务装置b。具体流程如下所述：
70.3.1、用户a与用户b通过事先约定，用户a确定用户b使用的公用量子密钥服务装置b的设备代号或地理位置。约定的方式包括电话、短消息、email、即时消息软件等。
71.3.2、用户a找到最近的公用量子密钥服务装置a并完成身份认证，身份认证过程请参考实施例1和实施例2。用户a输入公用量子密钥服务装置b的设备代号或者地理位置确定需要实现量子密钥分发的公用量子密钥服务装置。并输入用户b的身份代码或识别码、量子密钥数量等相应信息。
72.3.3、公用量子密钥服务装置a将用户a输入的相关信息加密发送至公用量子密钥服务器集群。公用量子密钥服务器集群根据公用量子密钥服务装置a和b之间中继次数和量子密钥数量等数据计算出所需的费用并加密发送回公用量子密钥服务装置a。
73.3.4、公用量子密钥服务装置a收到消息后，将所需金额显示在屏幕上。用户a通过公用量子密钥服务装置a提供的支付方式选择一种支付方式进行支付。支付完成后，如果支付方式为现金等方式支付，则公用量子密钥服务装置a在本地校验后将流水上报至公用量子密钥服务器集群，公用量子密钥服务器集群确认本次交易，并将确认消息通知到公用量子密钥服务装置a和公用量子密钥服务装置b；如果支付方式为移动支付或信用卡等支付方式，则公用量子密钥服务装置a的交易模块将向公用量子密钥服务器集群验证本次交易，公
用量子密钥服务器集群根据支付方式通过相应方式验证该笔交易并通知至公用量子密钥服务装置a和公用量子密钥服务装置b。
74.3.5、公用量子密钥服务装置a与公用量子密钥服务装置b通过量子保密通信网络实现量子密钥分发。量子密钥分发完成后，公用量子密钥服务装置a通过近距离通信模块将量子密钥传输至用户a的设备端。公用量子密钥服务装置b则暂时将量子密钥保存在本地。
75.3.6、用户b找到公用量子密钥服务装置b，并通过公用量子密钥服务装置b的身份校验。公用量子密钥服务装置b通过近距离通信模块将暂存在本地的量子密钥传输至用户b的设备端上。
76.3.7、用户a与用户b得到对称的量子密钥，双方可通过量子密钥加密的方式传输相应的消息或文件等。
77.实施例4
78.本实施例实现场景为用户通过公用量子密钥服务装置使用装置内支持的app并完成相关业务。如图6所示，本实施例中参与量子密钥交易的角色包括公用量子密钥服务装置、公用量子密钥服务器集群、app厂商和用户。所述app厂商搭建有qkd设备和该app对应的服务器，并连入了量子保密通信网络。具体流程如下所述：
79.4.1、用户找到最近的公用量子密钥服务装置并完成身份认证，身份认证过程请参考实施例1和实施例2。用户在已预装app的公用量子密钥服务装置上选择要使用的app。
80.4.2、公用量子密钥服务装置将用户选择的app信息发送至公用量子密钥服务器集群。公用量子密钥服务器集群根据公用量子密钥服务装置和app厂商之间中继次数计算出所需的费用并加密发送回公用量子密钥服务装置。
81.4.3、公用量子密钥服务装置收到消息后，将所需金额显示在屏幕上。用户通过公用量子密钥服务装置提供的支付方式选择一种支付方式进行支付。支付完成后，如果支付方式为现金等方式支付，则公用量子密钥服务装置在本地校验后将流水上报至公用量子密钥服务器集群，公用量子密钥服务器集群确认本次交易，并将确认消息通知到公用量子密钥服务装置和app厂商；如果支付方式为移动支付或信用卡等支付方式，则公用量子密钥服务装置的交易模块将向公用量子密钥服务器集群验证本次交易，公用量子密钥服务器集群根据支付方式通过相应方式验证该笔交易并通知至公用量子密钥服务装置和app厂商。
82.4.4、公用量子密钥服务装置与app厂商通过量子保密通信网络实现量子密钥分发。量子密钥分发完成后，公用量子密钥服务装置和app厂商将量子密钥保存在本地至本次使用结束。
83.4.5、量子密钥颁发过程完成后，用户可以使用app进行操作，公用量子密钥服务装置的app与厂商之间的通信均通过量子密钥加密。
84.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
85.以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。