本申請涉及一種基于一次性非對稱密鑰對和QKD的量子通信服務站密鑰協商方法和系統，本發明中，使用的密鑰卡是獨立的硬件隔離設備。公鑰、私鑰和其他相關參數均存儲在密鑰卡中的數據安全區，被惡意軟件或惡意操作竊取密鑰的可能性大大降低，也不會被量子計算機獲取并破解。由于在經典網絡中均無涉及公私鑰及算法參數的傳遞，因此非對稱密鑰被破解的風險很低，另外，服務站與服務站之間采用QKD進行密鑰共享，所以消息的安全性得到極大的保障。密鑰卡保障了通信雙方的通信安全，也極大的提高了身份認證的安全性。

技術領域

本申請涉及安全通信技術領域，特別是涉及基于一次性非對稱密鑰對和QKD的量子通信服務站密鑰協商方法和系統。

背景技術

迅速發展的Internet給人們的生活、工作帶來了巨大的方便，人們可以坐在家里通過Internet收發電子郵件、打電話、進行網上購物、銀行轉賬等活動。同時網絡信息安全也逐漸成為一個潛在的巨大問題。一般來說網絡信息面臨著以下幾種安全隱患：網絡信息被竊取、信息被篡改、攻擊者假冒信息、惡意破壞等。

其中身份認證是其中一種保護人們網絡信息的一種手段。身份認證也稱為“身份驗證”或“身份鑒別”，是指在計算機及計算機網絡系統中確認操作者身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權限，進而使計算機和網絡系統的訪問策略能夠可靠、有效地執行，防止攻擊者假冒合法用戶獲得資源的訪問權限，保證系統和數據的安全，以及授權訪問者的合法利益。

而當前確保身份認證成功的主要是依靠密碼技術，而在如今的密碼學領域中，主要有兩種密碼系統，一是對稱密鑰密碼系統，即加密密鑰和解密密鑰使用同一個。另一個是公開密鑰密碼系統，即加密密鑰和解密密鑰不同，其中一個可以公開。目前大部分的身份認證使用算法的主要依靠公鑰密碼體系。

公開密鑰加密系統采用的加密鑰匙(公鑰)和解密鑰匙(私鑰)是不同的。由于加密鑰匙是公開的，密鑰的分配和管理就很簡單，公開密鑰加密系統還能夠很容易地實現數字簽名。

自公鑰加密問世以來，學者們提出了許多種公鑰加密方法，它們的安全性都是基于復雜的數學難題。根據所基于的數學難題來分類，有以下三類系統目前被認為是安全和有效的：大整數因子分解系統(代表性的有RSA)、離散對數系統(代表性的有DSA)和橢圓離散對數系統(ECC)。

但是隨著量子計算機的發展，經典非對稱密鑰加密算法將不再安全，無論加解密還是密鑰交換方法，量子計算機都可以通過公鑰計算得到私鑰，因此目前常用的非對稱密鑰將在量子時代變得不堪一擊。目前量子密鑰分發設備QKD可確保協商的密鑰無法被獲取。但是QKD主要用于量子干線，客戶端設備到量子通信服務站依舊為經典網絡，因此依靠非對稱算法很難保證身份認證過程的安全。

由于量子計算機的潛在威脅，現有基于對稱密鑰池進行身份認證的方案，利用量子通信服務站與量子密鑰卡之間的對稱密鑰池進行身份認證，放棄使用公鑰密碼學，以避免身份認證系統被量子計算機破解。

現有技術存在的問題：

1.現有基于對稱密鑰池進行身份認證的方案，量子通信服務站與量子密鑰卡之間使用對稱密鑰池，其容量巨大，對量子通信服務站的密鑰存儲帶來壓力；

2.現有基于對稱密鑰池進行身份認證的方案，由于對稱密鑰池密鑰容量巨大，量子通信服務站不得不將密鑰加密存儲于普通存儲介質例如硬盤內，而無法存儲于量子通信服務站的密鑰卡內；

3.現有基于對稱密鑰池進行身份認證的方案，由于對稱密鑰池密鑰容量巨大，給密鑰備份造成麻煩；

4.現有基于對稱密鑰池進行身份認證的方案，每個客戶端的密鑰卡需要存儲大量密鑰，對客戶端的密鑰卡有較大存儲需求，提高了客戶端密鑰卡的成本。

發明內容

基于此，有必要針對上述技術問題，提供一種能夠減少服務站存儲數據量的基于一次性非對稱密鑰對和QKD的量子通信服務站密鑰協商方法。