技術領域

本實用新型涉及量子通信設備領域，尤其提供一種基于量子通信網絡的遠程密鑰頒發系統。

背景技術

隨著量子通信實用化的推進，量子通信在網絡化應用方面的使用前景更加廣闊，量子通信網絡利用BB84協議產生的量子密鑰對網絡中傳輸的數據進行加密，能夠保證信息在因特網上傳輸的高度安全，未來加密通信的發展方向，即為由量子力學保證其安全性的量子通信。因此，保證量子密鑰能夠安全頒發給用戶及用戶能夠安全的使用量子密鑰對傳輸的數據進行加密是構建量子通信網絡及量子通信實用化的關鍵步驟。

常規加密的安全性取決于加密密鑰的保密性，因此密鑰的安全存儲和安全管理在數據安全中極為重要。現有技術中密鑰存儲的安全性主要依賴于安全可靠的存儲介質和安全嚴密的訪問控制，且為了進一步確保密鑰和加密數據的安全性，需要對密鑰進行備份，目的是一旦密鑰遭到破壞，可利用備份的密鑰恢復出原來的密鑰或被加密的數據，避免造成損失。密鑰的安全管理主要采用“根密鑰‐密鑰加密密鑰‐會話密鑰”的三級密鑰保護結構，保證用戶密鑰及應用系統的安全性。其中，根密鑰是密鑰層次體系中最高級密鑰，主要用于對密鑰加密密鑰進行保護。密鑰加密密鑰是用來加密會話密鑰的二級密鑰，主要用于對會話密鑰進行保護。會話密鑰是通信雙方對通信數據進行加解密的三級密鑰，主要用于安全通信。

加密卡是一種高性能基礎密碼設備，能夠適用于各類密碼安全應用系統進行高速的、多任務并行處理的密碼運算，可以滿足應用系統數據的簽名/驗證、加密/解密的要求，同時提供安全、完善的密鑰管理機制，是經典通信領域安全等級極高的硬件加解密設備。加密卡能夠保證關鍵密鑰在任何時候不以明文形式出現在設備外。因此，可以使用加密卡協助量子密鑰的遠程頒發，將量子密鑰先經加密卡進行保護后再提供給密鑰使用裝置使用。由于，現有加密卡的應用依賴于經典的PKI體系，其簽名和認證都依賴于公鑰密碼體制，且現有加密卡中密鑰的安全管理采用的是二級加密體制，其根密鑰直接以明文的形式存儲在加密卡的存儲器中，并可以直接取出以備份在外部存儲介質中，不能夠滿足量子通信網絡對安全性的要求。因此，本實用新型在現有加密卡的基礎上提出一種基于量子通信網絡的遠程密鑰頒發裝置，用于保證會話密鑰能夠安全頒發給遠程密鑰使用裝置。

1)在經典保密通信中對稱加密算法用于加密傳輸數據，而非對稱加密算法用于加密會話密鑰。可以看出，經典保密通信中通信雙方會話密鑰的頒發依賴于非對稱加密算法。而非對稱加密算法的安全性是基于一些特定的復雜數學運算，隨著量子計算機的發展，計算機的運算速度以指數倍增長，這使得經典非對稱加密算法將面臨著被破解的風險。

2)目前將會話密鑰頒發給其使用裝置的方式，是將存儲并使用會話密鑰的加密卡攜帶到密鑰頒發中心進行密鑰充值的過程。且用戶加密卡中所充值的密鑰僅僅來自密鑰頒發中心通過真隨機數發生器所產生的真隨機數。

3)現有技術中，所頒發的會話密鑰直接進入密鑰使用裝置進行加密存儲和使用，使得會話密鑰總有一個時刻是以明文的形式存在于計算機內，這使得會話密鑰的安全性大大降低。

4)現有加密卡采用兩級密鑰體制，其密鑰的加密密鑰是以明文的形式存儲于加密卡內，且以明文的形式備份到加密卡之外，面臨一定的破解風險。

實用新型內容

為了解決上述的技術問題，本實用新型的目的是提供能夠完成對密鑰的加密存儲和安全使用的一種基于量子通信網絡的遠程密鑰頒發系統。

為了達到上述的目的，本實用新型采用了以下的技術方案：

本實用新型提出一種基于量子通信網絡的遠程密鑰頒發系統，包括遠程密鑰頒發裝置、管理中心、密鑰使用裝置、密鑰存儲裝置、密鑰頒發中心和量子密鑰分發服務器；

所述遠程密鑰頒發裝置是一種與密鑰使用裝置相連接的隔離裝置，該遠程密鑰頒發裝置與密鑰使用裝置通信連接，接收密鑰頒發中心對密鑰使用裝置所頒發的會話密鑰，將該會話密鑰進行加密以便在密鑰使用裝置中安全存儲。一種特例是該遠程密鑰頒發裝置位于密鑰使用裝置內。該遠程密鑰頒發裝置的內部結構包括CPU、內存、存儲器、量子隨機數發生器等，并有相應的操作系統，可以存儲用戶信息和各類密碼學應用等。其表現形式可以是主機板卡，即通過PCI或者PCIE端口連接到密鑰使用裝置上，也可以是獨立的隔離設備，可通過通信接口，如USB接口、網口等接入到密鑰使用裝置上。密鑰使用裝置上所有使用會話密鑰進行加解密的操作，都由該隔離裝置完成。除此之外，遠程密鑰頒發裝置上還具有其他獨立的接口，包括與本地量子密鑰分發服務器直連的網口、USB接口及其他通信接口。