一种量子密钥服务中台系统与方法与流程

1.本发明涉及量子密钥分发网络与应用技术领域，尤其涉及一种量子密钥服务中台系统与方法。


背景技术：

2.随着量子计算等高性能计算技术的快速发展，基于计算复杂度安全的密码算法和密钥协商协议面临越来越大的安全性挑战，在这种背景下，物理安全的量子密钥分发（quantum key distribution，qkd）得到了快速发展并进入实际应用。由于qkd能够提供无条件安全的点对点量子密钥分发功能，通常把qkd作为传统密码通信中密钥分发手段。但是，qkd网络是业务系统之外相对独立的网络基础设施，qkd网络的复杂度和成本都远远超过传统的密钥分发手段和密码应用系统，因此，很难直接把qkd网络集成到基于互联网体系的业务系统。因此，在qkd网络与互联网应用之间构建量子密钥服务中台是解决qkd网络规模应用问题的重要技术途径。


技术实现要素：

3.本发明提供了一种量子密钥服务中台系统，包括：身份管理单元、异或关联管理单元、密钥服务单元、系统管理单元、应用接口单元，其特征在于，身份管理单元用于维护用户的ca证书、对用户进行身份认证；异或关联管理单元用于管理目标量子网络的异或关联数据库；密钥服务单元用于基于异或关联数据库中的异或关联数据、异或关联数据的异或关联参数产生异或关联密钥参数；系统管理单元用于系统的运维管理、业务调度管理；应用接口单元用于提供服务调用接口或/和应用开发工具、提供外部监管接口。
4.进一步地，上述系统还包括：量子服务节点装置，其特征在于，量子服务节点装置用于管理异或关联量子密钥分组，为应用装置注入初始量子随机数，创建初始量子随机数与ca证书的关联；响应服务请求，并发送异或关联参数。
5.进一步地，上述系统还包括：虚拟量子密钥分发网络服务装置，其特征在于，虚拟量子密钥分发网络服务装置用于提供虚拟量子密钥分发链路或虚拟量子密钥分发网络服务。
6.进一步地，上述系统还包括：数据处理和存储服务装置，其特征在于，数据处理和存储服务装置用于实现区块链共识节点的功能。
7.进一步地，上述系统还包括：随机数数据库管理装置，其特征在于，随机数数据库管理装置用于为用户提供随机数服务或/和基于随机数的数据安全服务。
8.本发明还提供了一种量子密钥服务中台方法，其特征在于，包括：获取异或关联数据库、基于数据库中的数据计算端到端异或关联数据、基于端到端异或关联数据和异或关联参数计算应用终端之间的异或关联密钥参数，应用终端之间基于异或关联密钥参数协商共享密钥。
9.进一步地，上述方法还包括：随机数服务，其特征在于，创建随机数数据库，基于数
据库中的数据提供随机数或/和随机数加密服务。
10.本发明具有如下创新性：与常规的可信中继qkd网络的应用方式相比较，本发明实现了“量子密钥服务与qkd网络分离、与业务解耦”，具有更高的服务效率、灵活性和兼容性，具有良好的应用前景。
附图说明
11.图1为本发明实施例提供的一种量子密钥服务中台系统示意图；图2为本发明实施例提供的一种量子密钥服务中台方法示意图；图3为本发明实施例提供的一种量子密钥服务中台系统工作原理示意图。
具体实施方式
12.为了使本发明的目的、技术方案及有益效果更加清楚明白，作为本发明的一部分，以下结合附图及具体实施例，对本发明作进一步说明。
13.图1为本发明实施例提供的一种量子密钥服务中台系统示意图，其包括：身份管理单元101、异或关联管理单元102、密钥服务单元103、系统管理单元104、应用接口单元105。上述身份管理单元101用于维护用户的ca证书、对用户进行身份认证；异或关联管理单元102用于管理目标量子网络的异或关联数据库；密钥服务单元103用于基于异或关联数据库中的异或关联数据、异或关联数据的异或关联参数产生异或关联密钥参数；系统管理单元104用于系统的运维管理、业务调度管理；应用接口单元105用于提供服务调用接口或/和应用开发工具、提供外部监管接口。在一种可能的应用场景中，其基本工作原理为：响应用户请求，身份管理单元101对用户进行身份认证，在通过认证后，密钥服务单元103根据用户身份信息，计算异或关联数据和异或关联参数的异或值并得到异或关联密钥参数，用户基于异或关联密钥参数协商共享密钥。
14.进一步地，在一种可能的设计中，上述系统还包括：量子服务节点装置106，量子服务节点装置106用于管理异或关联量子密钥分组，为应用装置注入初始量子随机数，创建初始量子随机数与ca证书的关联；响应服务请求，并发送异或关联参数。在一种可能的应用场景中，量子服务节点装置106响应密钥服务单元103的请求，计算一个或多个初始量子随机数与目标异或关联量子密钥分组的异或值并得到一个或多个异或关联参数，并把一个或多个异或关联参数发给密钥服务单元103。在一种可能的设计中，量子服务节点装置106为新注册应用装置分发ca证书。
15.进一步地，在一种可能的设计中，上述任一个系统还包括：虚拟量子密钥分发网络服务装置107，虚拟量子密钥分发网络服务装置107用于提供虚拟量子密钥分发链路或虚拟量子密钥分发网络服务。在一种可能的应用场景中，虚拟量子密钥分发网络服务装置107响应异或关联管理单元102的请求，并提供目标量子密钥分发网络的虚拟量子密钥分发链路或虚拟量子密钥分发网络。在一种可能的应用场景中，虚拟量子密钥分发网络服务装置107还用于创建虚拟量子密钥分发网络。
16.进一步地，在一种可能的设计中，上述任一个系统还包括：数据处理和存储服务装置108，数据处理和存储服务装置108用于实现区块链共识节点的功能。在一种可能的应用场景中，数据处理和存储服务装置108响应密钥服务单元103的请求，进行区块链的数据处
理并创建区块。
17.进一步地，在一种可能的设计中，上述任一个系统还包括：随机数数据库管理装置109，随机数数据库管理装置109用于为用户提供随机数服务或/和基于随机数的数据安全服务。在一种可能的应用场景中，随机数数据库管理装置109响应密钥服务单元103的请求，并为用户提供一定数量的随机数服务或/和采用一定数量的随机数加密或覆盖用户数据。
18.上述任一个“一种可能的应用场景中”都只是用于说明相应系统的一种可能的工作方式，而不用于限定该系统的工作方式。
19.在一种可能的实施例中，上述任一个实施例中的量子服务节点装置可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
20.在一种可能的实施例中，上述任一个实施例中的虚拟量子密钥分发网络服务装置可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
21.在一种可能的实施例中，上述任一个实施例中的量子密钥服务中台应用系统可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
22.图2为本发明实施例提供的一种量子密钥服务中台方法示意图，包括以下步骤：201：获取异或关联数据库；202：基于数据库中的数据计算端到端异或关联数据；203：基于端到端异或关联数据和异或关联参数计算应用终端之间的异或关联密钥参数；204：应用终端之间基于异或关联密钥参数协商共享密钥。
23.为了进一步说明上述任一个实施例中的量子密钥服务中台应用系统与应用方法的应用原理，图3给出了本发明实施例提供的一种量子密钥服务中台系统工作原理示意图。其中包括：量子服务节点装置s1和s2、虚拟量子密钥分发网络服务装置事先已经创建的量子服务节点装置s1和s2之间的一个量子密钥分发中继链路的异或关联数据库、量子密钥服务中台应用系统、应用终端u和v的应用装置u_app和v_app。一种可能的应用场景为：量子服务节点装置s1和s2分别为应用终端u和v提供了初始量子随机数ku和kv，并创建了初始量子随机数与应用终端ca证书的关联，把相应的关联信息发送给量子密钥服务中台应用系统；量子服务节点装置s1和s2之间的一个量子密钥分发中继链路关联中继节点r1、r2、r3和r4；虚拟量子密钥分发网络服务装置事先已经创建了该量子密钥分发中继链路的异或关联数据库并发送给量子密钥服务中台应用系统。量子密钥服务中台应用系统响应应用终端u和v的服务请求，在通过身份认证后，查询关联的量子服务节点装置s1和s2之间的一个异或关联数据（假定一个异或关联数据为k1
⊕
k2、k2
⊕
k3、k3
⊕
k4、k4
⊕
k5，并计算k1
⊕
k2
⊕
k2
⊕
k3
⊕
k3
⊕
k4
⊕
k4
⊕
k5=k1
⊕
k5，k1
⊕
k5即为目标异或关联数据）；把上述目标异或关联数据的相关信息分别发送给量子服务节点装置s1和s2；量子服务节点装置s1和s2根据量子密钥服务中台应用系统的指令分别计算相应的异或关联参数ku
⊕
k1和k5
⊕
kv并发送给量子密钥服务中台应用系统；量子密钥服务中台应用系统计算异或关联密钥参数(k1
⊕
k5)
⊕
(ku
⊕
k1)
⊕
(k5
⊕
kv)＝ku
⊕
kv，并把ku
⊕
kv分别发送给应用终端u和v；应用终端u和v基于ku
⊕
kv协商一个共享密钥。
24.上述任一个实施例中的身份认证包括但不限于采用非对称密码算法或采用对称密码算法与非对称密码算法相结合的方法进行身份认证；但是，本发明不对身份认证协议进行具体限定，综合采用ca证书，或同时采用ca证书和初始密钥，或采用抗量子计算密码算法，或同时采用采用抗量子计算密码算法和量子密钥的身份认证都落入本发明的保护范
围。
25.尽管结合具体特征及其实施例对本发明进行了描述，显而易见的，在不脱离本发明的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明，且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。