一种适用于QKD设备的初始认证方法、装置及系统与流程

本发明涉及量子密钥分发领域，尤其涉及一种适用于qkd设备的初始认证方法、装置及系统。

背景技术：

1、量子密钥分发(qkd)技术通过传输量子态光脉冲信号，使通信的双方能够产生并分享一个随机的、安全的密钥以进行保密通信。基于诱骗态的bb84协议是迄今为止最为成熟和应用最广的量子密钥分发协议，如图1所示，qkd实现密钥生成的过程中需要有一个经典数据信道实现基矢比对、纠错、保密增强等过程中的数据通信。为了保证通信的安全性，需要要求该经典数据信道是认证信道，即在进行量子密钥分发之前，需要对qkd设备之间预先进行初始认证。

2、在qkd设备中通常采用带密钥的hash算法实现初始认证的目的，这就要求qkd设备两端具备相同的对称密钥，现有技术中通常为qkd设备收发双方预置一组固定的初始认证密钥，用于qkd设备生成量子密钥前的初始认证。

3、对于现有技术来说，若长期使用固定的初始认证密钥，会大大降低通信的安全性，由此，亟需一种能够提升设置初始认证密钥的安全性的方法。

技术实现思路

1、有鉴于此，本发明实施例公开了一种适用于qkd设备的初始认证方法、装置及系统，通过该方法大大降低了qkd设备进行初始认证时存在的风险。

2、本发明实施例公开了一种适用于qkd设备的初始认证方法，所述方法应用于管控系统，包括：

3、获取各个qkd设备之间的连接关系；

4、根据各个qkd设备之间的连接关系，生成预置密钥；qkd设备的每种连接关系对应一块预置密钥，每块预置密钥包括多组初始密钥；所述每块预置密钥中的每组初始密钥用于进行qkd设备之间从启动阶段到生成量子密钥前的初始认证，且一组密钥仅用于一次初始认证；

5、将每块预置密钥写入到相对应的具有连接关系的一对qkd设备中。

6、可选的，所述根据各个qkd设备之间的连接关系，生成预置密钥，包括：

7、基于各个qkd设备之间的连接关系，确定qkd设备存在的连接关系的种类的数量；每种连接关系对应的qkd设备不完全相同；

8、按照qkd设备之间存在的连接关系的种类的数量，生成预置密钥；生成的预置密钥的数量与qkd设备存在的连接关系的种类的数量有关。

9、可选的，所述将每块预置密钥写入到相对应的具有连接关系的一对qkd设备中，包括：

10、将每块预置密钥写入到至少一个存储设备中，以通过所述存储设备将每块预置密钥写入到相对应的qkd设备中。

11、可选的，所述将每块预置密钥写入到相对应的具有连接关系的一对qkd设备中，包括：

12、将每块预置密钥拆分成多个分量；

13、将每块预置密钥的多个分量分别存储到多个存储设备中，以通过所述多个存储设备将一块预置密钥写入到相对应的qkd设备中。

14、可选的，还包括：

15、在启动qkd设备进行量子密钥分发之前，分别向待启动的一对qkd设备发送初始认证指令；

16、所述初始认证指令用于指示qkd设备从预先存储的预置密钥中选取一组第一目标初始密钥，并基于所述第一目标初始密钥进行初始认证。

17、可选的，还包括：

18、当接收到qkd设备启动失败的信息后，向启动失败的一对qkd设备发送重新进行初始认证的指令；

19、所述重新进行初始认证的指令用于指示qkd设备从预先存储的预置密钥中选取一组第二目标初始密钥，并基于所述第二目标初始密钥进行初始认证。

20、本发明实施例公开了一种适用于qkd设备的初始认证方法，所述方法应用于qkd设备，包括：

21、响应于初始认证指令，从多组初始密钥中选择一组第三目标初始密钥；所述qkd设备中预先存储了一块预置密钥，所述一块预置密钥包括多组初始密钥；

22、基于所述第三目标初始密钥进行初始认证，并将所述第三目标初始密钥设置为目标状态；所述目标状态表征所述第三目标初始密钥不再被使用。

23、可选的，还包括：

24、向所述qkd设备对端发送所述qkd设备中每组初始密钥的状态信息；所述状态信息表示初始密钥是否被使用的状态；

25、接收所述qkd设备对端发送的每组初始密钥的状态信息，并基于对端的每组初始密钥的状态信息，更新所述qkd设备中每组密钥的状态信息。

26、可选的，还包括：

27、在一对qkd设备生成量子密钥后，确定处于目标状态的初始密钥的数量；

28、从生成的量子密钥中截取至少一个量子密钥；截取的量子密钥的数量与处于目标状态的初始密钥的数量相同；

29、按照预设的替换规则，将处于目标状态的初始密钥替换为截取的量子密钥；所述一对qkd设备具备相同的替换规则。

30、本发明实施例公开了一种适用于qkd设备的初始认证系统，所述系统包括：

31、管控系统和qkd设备；

32、所述管控系统用于执行上述应用于管控系统的一种适用于qkd设备的初始认证方法；

33、所述qkd设备用于执行上述应用于qkd设备的一种适用于qkd设备的初始认证方法。

34、本发明实施例还公开了一种适用于qkd设备的初始认证装置，所述装置应用于管控系统，包括：

35、获取单元，用于获取各个qkd设备之间的连接关系；

36、生成单元，用于根据各个qkd设备之间的连接关系，生成预置密钥；qkd设备的每种连接关系对应一块预置密钥，每块预置密钥包括多组初始密钥；所述每块预置密钥中的每组初始密钥用于进行qkd设备之间从启动阶段到生成量子密钥前的初始认证，且一组密钥仅用于一次初始认证；

37、写入单元，用于将每块预置密钥写入到相对应的具有连接关系的一对qkd设备中。

38、本发明实施例还公开了一种适用于qkd设备的初始认证装置，所述装置应用于qkd设备，包括：

39、选取单元，用于响应于初始认证指令，从多组初始密钥中选择一组第三目标初始密钥；所述qkd设备中预先存储了一块预置密钥，所述一块预置密钥包括多组初始密钥；

40、认证单元，用于基于所述第三目标初始密钥进行初始认证，并将所述第三目标初始密钥设置为目标状态；所述目标状态表征所述第三目标初始密钥不再被使用。

41、本发明实施例公开了一种适用于qkd设备的初始认证方法、装置及系统，该方法包括：获取各个qkd设备之间的连接关系，通过各个qkd设备之间的连接关系，生成预置密钥，且每对具有连接关系的qkd设备具备一块预置密钥，每一块预置密钥包括多组初始密钥，其中，每组初始密钥用于实现qkd设备从启动阶段到生成量子密钥前的初始认证，基于此，qkd设备在进行初始认证时，有多组初始密钥可以选择，可以避免因长期使用一组初始密钥进行初始认证导致的安全性较低的问题，并且每组初始密钥仅使用一次，从而提升了量子通信的安全性。

42、并且，通过存储介质将预置密钥传递到qkd设备中，避免了远程网络传输带来的安全风险，大大提升了量子通信的安全性。

43、进一步的，将每块预置密钥拆分成多个分量，并将每个分量分别通过不同的存储介质传递给qkd设备，从而避免了由于存储介质丢失导致预置密钥泄露的问题。