本发明公开了一种协同加密方法、装置及光网络系统,其中的方法包括:量子加密通信发送端设备和量子加密通信接收端设备分别获取量子密钥,进行协商并确定共享密钥;判断是否能够获取量子密钥,如果是,则量子加密通信发送端设备和量子加密通信接收端设备使用量子密码进行数据加密通信,如果否,则使用共享密钥进行数据加密通信。本发明的方法、装置及光网络系统,采用量子密钥优先并且量子密钥与共享密钥协同的加密方式,可以兼顾量子密钥的安全性和经典加密的持续性,确保加密业务不中断,有效解决了量子密钥成码率不高和不稳定的问题,避免了可能较长时间无法产生量子密钥而导致的加密业务中断的情况。
量子加密通信发送端设备和量子加密通信接收端设备分别获取量子密钥,包括:量子加密通信发送端设备向第一量子密钥服务器发送量子密钥获取申请;
所述第一量子密钥服务器将所述量子密钥获取申请转发给第二量子密钥服务器;
所述第二量子密钥服务器向量子加密通信接收端设备推送量子密钥;
在所述第一量子密钥服务器确定所述量子密钥推送至所述量子加密通信接收端设备后,向所述量子加密通信发送端设备发送所述量子密钥;
所述量子加密通信发送端设备和所述量子加密通信接收端设备进行协商,确定共享密钥;其中,所述共享密钥为非量子密钥;
所述量子加密通信发送端设备判断是否能够获取所述量子密钥,如果是,则所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述量子密钥进行数据加密通信,如果否,则所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述共享密钥进行数据加密通信。
所述量子加密通信发送端设备确定所述量子密钥获取成功,则将所述量子密钥存储在第一缓存中,并在确定所述第一缓存存满时,停止获取所述量子密钥;
所述量子加密通信发送端设备确定所述共享密钥协商成功,则将所述共享密钥存储在第二缓存中,并在确定所述第二缓存存满时,停止协商所述共享密钥。
3.如权利要求1所述的方法,其特征在于,所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述量子密钥进行数据加密通信。
在所述量子加密通信发送端设备向所述第一量子密钥服务器发送所述量子密钥获取申请之前,所述量子加密通信发送端设备向所述第一量子密钥服务器发送量子密钥申请;
所述第一量子密钥服务器登记所述量子密钥申请,通过量子密钥分发网络设备将所述量子密钥申请发送给所述第二量子密钥服务器;
所述第一量子密钥服务器登记所述量子密钥申请,通过所述量子密钥分发网络设备将申请登记成功消息发送给所述量子加密通信发送端设备。
所述量子密钥申请中携带的信息包括:发送端设备信息、接收端设备信息、密钥需求量。
所述量子密钥分发网络设备基于所述密钥需求量生成成对的所述量子密钥,并将成对的所述量子密钥分别发送给所述第一量子密钥服务器和所述第二量子密钥服务器。
所述量子密钥分发网络设备分别与所述第一量子密钥服务器、所述第二量子密钥服务器进行协商,确定第一子密钥、第二子密钥;
所述量子密钥分发网络设备分别使用所述第一子密钥、所述第二子密钥对所述量子密钥进行加密,并将经过所述第一子密钥、所述第二子密钥加密后的所述量子密钥分别发送给所述第一量子密钥服务器、所述第二量子密钥服务器。
所述第一量子密钥服务器通过所述量子密钥分发网络设备将所述量子密钥获取申请转发给第二量子密钥服务器;
所述第二量子密钥服务器基于登记的所述量子密钥申请向所述量子加密通信接收端设备推送所述量子密钥,并通过所述量子密钥分发网络设备向所述第一量子密钥服务器发送密钥推送成功消息;
所述第一量子密钥服务器接收到所述密钥推送成功消息,基于登记的所述量子密钥申请向所述量子加密通信发送端设备发送所述量子密钥。
在所述量子加密通信发送端设备向所述第一量子密钥服务器发送量子密钥申请之前,所述量子加密通信发送端设备在所述第一量子密钥服务器上进行注册,并且,所述量子加密通信接收端设备在所述第二量子密钥服务器上进行注册。
10.如权利要求4所述的方法,其特征在于,还包括:
所述量子加密通信发送端设备向所述第一量子密钥服务器发送密钥业务注销申请;
所述第一量子密钥服务器通过所述量子密钥分发网络设备将所述密钥业务注销申请发送给所述第二量子密钥服务器;
所述第二量子密钥服务器对于登记的所述量子密钥申请执行注销操作,通过所述量子密钥分发网络设备将密钥业务注销成功消息发送给所述第一量子密钥服务器;
所述第一量子密钥服务器对于登记的所述量子密钥申请执行注销操作。
11.一种协同加密系统,其特征在于,包括:量子加密通信发送端设备、量子加密通信接收端设备、第一量子密钥服务器和第二量子密钥服务器;
所述量子加密通信发送端设备和所述量子加密通信接收端设备分别获取量子密钥;
其中,所述量子加密通信发送端设备,用于向所述第一量子密钥服务器发送量子密钥获取申请;所述第一量子密钥服务器,用于将所述量子密钥获取申请转发给所述第二量子密钥服务器;所述第二量子密钥服务器,用于向量子加密通信接收端设备推送量子密钥,在所述第一量子密钥服务器确定所述量子密钥推送至所述量子加密通信接收端设备后,向所述量子加密通信发送端设备发送所述量子密钥;
所述量子加密通信发送端设备和所述量子加密通信接收端设备进行协商,确定共享密钥;其中,所述共享密钥为非量子密钥;所述量子加密通信发送端设备判断是否能够获取所述量子密钥,如果是,则所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述量子密钥进行数据加密通信,如果否,则所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述共享密钥进行数据加密通信。
所述量子加密通信发送端设备确定所述量子密钥获取成功,则将所述量子密钥存储在第一缓存中,并在确定所述第一缓存存满时,停止获取所述量子密钥;所述量子加密通信发送端设备确定所述共享密钥协商成功,则将所述共享密钥存储在第二缓存中,并在确定所述第二缓存存满时,停止协商所述共享密钥。
13.如权利要求11所述的系统,其特征在于,所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述量子密钥进行数据加密通信。
14.如权利要求13所述的系统,其特征在于,还包括:量子密钥分发网络设备;
在所述量子加密通信发送端设备向所述第一量子密钥服务器发送所述量子密钥获取申请之前,所述量子加密通信发送端设备向所述第一量子密钥服务器发送量子密钥申请;
所述第一量子密钥服务器登记所述量子密钥申请,通过量子密钥分发网络设备将所述量子密钥申请发送给所述第二量子密钥服务器;所述第一量子密钥服务器登记所述量子密钥申请,通过所述量子密钥分发网络设备将申请登记成功消息发送给所述量子加密通信发送端设备。
所述量子密钥分发网络设备基于密钥需求量生成成对的所述量子密钥,并将成对的所述量子密钥分别发送给所述第一量子密钥服务器和所述第二量子密钥服务器。
所述量子密钥分发网络设备分别与所述第一量子密钥服务器、所述第二量子密钥服务器进行协商,确定第一子密钥、第二子密钥;所述量子密钥分发网络设备分别使用所述第一子密钥、所述第二子密钥对所述量子密钥进行加密,并将经过所述第一子密钥、所述第二子密钥加密后的所述量子密钥分别发送给所述第一量子密钥服务器、所述第二量子密钥服务器。
所述第一量子密钥服务器通过所述量子密钥分发网络设备将所述量子密钥获取申请转发给第二量子密钥服务器;所述第二量子密钥服务器基于登记的所述量子密钥申请向所述量子加密通信接收端设备推送所述量子密钥,并通过所述量子密钥分发网络设备向所述第一量子密钥服务器发送密钥推送成功消息;所述第一量子密钥服务器接收到所述密钥推送成功消息,基于登记的所述量子密钥申请向所述量子加密通信发送端设备发送所述量子密钥。
18.如权利要求14所述的系统,其特征在于,还包括:
在所述量子加密通信发送端设备向所述第一量子密钥服务器发送量子密钥申请之前,所述量子加密通信发送端设备在所述第一量子密钥服务器上进行注册,并且,所述量子加密通信接收端设备在所述第二量子密钥服务器上进行注册。
19.如权利要求14所述的系统,其特征在于,所述量子加密通信发送端设备向所述第一量子密钥服务器发送密钥业务注销申请;
所述第一量子密钥服务器通过所述量子密钥分发网络设备将所述密钥业务注销申请发送给所述第二量子密钥服务器;
所述第二量子密钥服务器对于登记的所述量子密钥申请执行注销操作,通过所述量子密钥分发网络设备将密钥业务注销成功消息发送给所述第一量子密钥服务器;
所述第一量子密钥服务器对于登记的所述量子密钥申请执行注销操作。
协同加密方法、装置及光网络系统
技术领域
[0001] 本发明涉及量子通信技术领域,尤其涉及一种协同加密方法、装置及光网络系统。
背景技术
[0002] 随着高性能并行计算、量子计算等新技术的发展,传统基于算法复杂性的加密通信技术面临巨大的技术安全风险,量子密钥分发(Quantum Key Distribution,QKD)技术应运而生。量子密钥分发技术采用光子作为量子信息载体,解决了量子密钥的安全性。但是,在目前的量子通信系统中有可能出现量子密钥成码率和稳定性不足的情况。例如,投资几亿元的某量子通信干线仅能支持4000条专线业务(理论上),当出现环境不稳定等影响因素时,量子通信干线可能在较长时间内无法产生量子密钥,将严重影响加密业务以及数据传输。
发明内容
[0003] 有鉴于此,本发明要解决的一个技术问题是提供一种协同加密方法、装置及光网络系统。
[0004] 根据本发明的一个方面,提供一种协同加密方法,包括:量子加密通信发送端设备和量子加密通信接收端设备分别获取量子密钥;所述量子加密通信发送端设备和所述量子加密通信接收端设备进行协商,确定共享密钥;其中,所述共享密钥为非量子密钥;所述量子加密通信发送端设备判断是否能够获取所述量子密钥,如果是,则所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述量子密码进行数据加密通信,如果否,则所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述共享密钥进行数据加密通信。
[0005] 可选地,所述量子加密通信发送端设备确定所述量子密码获取成功,则将所述量子密钥存储在第一缓存中,并在确定所述第一缓存存满时,停止获取所述量子密钥;所述量子加密通信发送端设备确定所述共享密码协商成功,则将所述共享密钥存储在第二缓存中,并在确定所述第二缓存存满时,停止协商所述共享密钥。
[0006] 可选地,所述量子加密通信发送端设备和量子加密通信接收端设备分别获取量子密钥包括:量子加密通信发送端设备向第一量子密钥服务器发送量子密钥获取申请;所述第一量子密钥服务器将所述量子密钥获取申请转发给第二量子密钥服务器;所述第二量子密钥服务器向量子加密通信接收端设备推送量子密钥;在所述第一量子密钥服务器确定所述量子密钥推送至所述量子加密通信接收端设备后,向所述量子加密通信发送端设备发送所述量子密钥;其中,所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述量子密码进行数据加密通信。
[0007] 可选地,在所述量子加密通信发送端设备向所述第一量子密钥服务器发送所述量子密钥获取申请之前,所述量子加密通信发送端设备向所述第一量子密钥服务器发送量子密钥申请;所述第一量子密钥服务器登记所述量子密钥申请,通过量子密钥分发网络设备将所述量子密钥申请发送给所述第二量子密钥服务器;所述第一量子密钥服务器登记所述量子密钥申请,通过所述量子密钥分发网络设备将申请登记成功消息发送给所述量子加密通信发送端设备。
[0008] 可选地,所述量子密钥申请中携带的信息包括:发送端设备信息、接收端设备信息、密钥需求量。
[0009] 可选地,所述量子密钥分发网络设备基于所述密钥需求量生成成对的所述量子密钥,并将成对的所述量子密钥分别发送给所述第一量子密钥服务器和所述第二量子密钥服务器。
[0010] 可选地,所述量子密钥分发网络设备分别与所述第一量子密钥服务器、所述第二量子密钥服务器进行协商,确定第一子密钥、第二子密钥;所述量子密钥分发网络设备分别使用所述第一子密钥、所述第二子密钥对所述量子密钥进行加密,并将经过所述第一子密钥、所述第二子密钥加密后的所述量子密钥分别发送给所述第一量子密钥服务器、所述第二量子密钥服务器。
[0011] 可选地,所述第一量子密钥服务器通过所述量子密钥分发网络设备将所述量子密钥获取申请转发给第二量子密钥服务器;所述第二量子密钥服务器基于登记的所述量子密钥申请向所述量子加密通信接收端设备推送所述量子密钥,并通过所述量子密钥分发网络设备向所述第一量子密钥服务器发送密钥推送成功消息;所述第一量子密钥服务器接收到所述密钥推送成功消息,基于登记的所述量子密钥申请向所述量子加密通信发送端设备发送所述量子密钥。
[0012] 可选地,在所述量子加密通信发送端设备向所述第一量子密钥服务器发送量子密钥申请之前,所述量子加密通信发送端设备在所述第一量子密钥服务器上进行注册,并且,所述量子加密通信接收端设备在所述第二量子密钥服务器上进行注册。
[0013] 可选地,所述量子加密通信发送端设备向所述第一量子密钥服务器发送密钥业务注销申请;所述第一量子密钥服务器通过所述量子密钥分发网络设备将所述密钥业务注销申请发送给所述第二量子密钥服务器;所述第二密钥服务器对于登记的所述量子密钥申请执行注销操作,通过所述量子密钥分发网络设备将密钥业务注销成功消息发送给所述第一量子密钥服务器;所述第一量子密钥服务器对于登记的所述量子密钥申请执行注销操作。
[0014] 根据本发明的另一方面,提供一种协同加密系统,包括:包括:量子加密通信发送端设备和量子加密通信接收端设备;所述量子加密通信发送端设备和所述量子加密通信接收端设备分别获取量子密钥;所述量子加密通信发送端设备和所述量子加密通信接收端设备进行协商,确定共享密钥;其中,所述共享密钥为非量子密钥;所述量子加密通信发送端设备判断是否能够获取所述量子密钥,如果是,则所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述量子密码进行数据加密通信,如果否,则所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述共享密钥进行数据加密通信。
[0015] 可选地,所述量子加密通信发送端设备确定所述量子密码获取成功,则将所述量子密钥存储在第一缓存中,并在确定所述第一缓存存满时,停止获取所述量子密钥;所述量子加密通信发送端设备确定所述共享密码协商成功,则将所述共享密钥存储在第二缓存中,并在确定所述第二缓存存满时,停止协商所述共享密钥。
[0016] 可选地,还包括:第一量子密钥服务器和第二量子密钥服务器;所述量子加密通信发送端设备,用于向所述第一量子密钥服务器发送量子密钥获取申请;所述第一量子密钥服务器,用于将所述量子密钥获取申请转发给所述第二量子密钥服务器;所述第二量子密钥服务器,用于向量子加密通信接收端设备推送量子密钥,在所述第一量子密钥服务器确定所述量子密钥推送至所述量子加密通信接收端设备后,向所述量子加密通信发送端设备发送所述量子密钥;其中,所述量子加密通信发送端设备和所述量子加密通信接收端设备使用所述量子密码进行数据加密通信。
[0017] 可选地,还包括:量子密钥分发网络设备;在所述量子加密通信发送端设备向所述第一量子密钥服务器发送所述量子密钥获取申请之前,所述量子加密通信发送端设备向所述第一量子密钥服务器发送量子密钥申请;所述第一量子密钥服务器登记所述量子密钥申请,通过量子密钥分发网络设备将所述量子密钥申请发送给所述第二量子密钥服务器;所述第一量子密钥服务器登记所述量子密钥申请,通过所述量子密钥分发网络设备将申请登记成功消息发送给所述量子加密通信发送端设备。
[0018] 可选地,所述量子密钥分发网络设备基于所述密钥需求量生成成对的所述量子密钥,并将成对的所述量子密钥分别发送给所述第一量子密钥服务器和所述第二量子密钥服务器。
[0019] 可选地,所述量子密钥分发网络设备分别与所述第一量子密钥服务器、所述第二量子密钥服务器进行协商,确定第一子密钥、第二子密钥;所述量子密钥分发网络设备分别使用所述第一子密钥、所述第二子密钥对所述量子密钥进行加密,并将经过所述第一子密钥、所述第二子密钥加密后的所述量子密钥分别发送给所述第一量子密钥服务器、所述第二量子密钥服务器。
[0020] 可选地,所述第一量子密钥服务器通过所述量子密钥分发网络设备将所述量子密钥获取申请转发给第二量子密钥服务器;所述第二量子密钥服务器基于登记的所述量子密钥申请向所述量子加密通信接收端设备推送所述量子密钥,并通过所述量子密钥分发网络设备向所述第一量子密钥服务器发送密钥推送成功消息;所述第一量子密钥服务器接收到所述密钥推送成功消息,基于登记的所述量子密钥申请向所述量子加密通信发送端设备发送所述量子密钥。
[0021] 可选地,在所述量子加密通信发送端设备向所述第一量子密钥服务器发送量子密钥申请之前,所述量子加密通信发送端设备在所述第一量子密钥服务器上进行注册,并且,所述量子加密通信接收端设备在所述第二量子密钥服务器上进行注册。
[0022] 可选地,所述量子加密通信发送端设备向所述第一量子密钥服务器发送密钥业务注销申请;所述第一量子密钥服务器通过所述量子密钥分发网络设备将所述密钥业务注销申请发送给所述第二量子密钥服务器;所述第二密钥服务器对于登记的所述量子密钥申请执行注销操作,通过所述量子密钥分发网络设备将密钥业务注销成功消息发送给所述第一量子密钥服务器;所述第一量子密钥服务器对于登记的所述量子密钥申请执行注销操作。
[0023] 根据本发明的又一方面,提供一种光网络系统,包括:如上所述的协同加密系统。
[0024] 本发明的协同加密方法、装置及光网络系统,量子加密通信发送端设备和量子加密通信接收端设备分别获取量子密钥和共享密钥(非量子密钥),如果能够获取量子密钥,则使用量子密码进行数据加密通信,如果不能获取量子密钥,则使用共享密钥进行数据加密通信,采用量子密钥优先并且量子密钥与共享密钥协同的加密方式,可以兼顾量子密钥的安全性和经典加密的持续性,确保加密业务不中断,有效解决了量子密钥成码率不高和不稳定的问题,避免了可能较长时间无法产生量子密钥而导致的加密业务中断的情况。
附图说明
[0025] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0026] 图1为根据本发明的协同加密方法的一个实施例的流程示意图;
[0027] 图2为根据本发明的协同加密方法的另一个实施例的信息交互示意图;
[0028] 图3为根据本发明的协同加密系统的一个实施例的示意图。
具体实施方式
[0029] 下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0030] 图1为根据本发明的协同加密方法的一个实施例的流程示意图,如图1所示:
[0031] 步骤101,量子加密通信发送端设备和量子加密通信接收端设备分别获取量子密钥。
[0032] 步骤102,量子加密通信发送端设备和量子加密通信接收端设备进行协商,确定共享密钥。共享密钥为非量子密钥,例如采用AES、DES、3DES、RSA、DSA等加密算法进行加密的密钥。
[0033] 步骤103,量子加密通信发送端设备判断是否能够获取量子密钥,如果是,则量子加密通信发送端设备和量子加密通信接收端设备使用量子密码进行数据加密通信。
[0034] 步骤104,如果不能够获取量子密钥,则量子加密通信发送端设备和量子加密通信接收端设备使用共享密钥进行数据加密通信。
[0035] 量子加密通信发送端设备确定量子密码获取成功,则将量子密钥存储在第一缓存中,并在确定第一缓存存满时,停止获取量子密钥。量子加密通信发送端设备确定共享密码协商成功,则将共享密钥存储在第二缓存中,并在确定第二缓存存满时,停止协商共享密钥。
[0036] 在一个实施例中,量子加密通信发送端设备向第一量子密钥服务器发送量子密钥获取申请。第一量子密钥服务器将量子密钥获取申请转发给第二量子密钥服务器。第二量子密钥服务器向量子加密通信接收端设备推送量子密钥。
[0037] 在第一量子密钥服务器确定量子密钥推送至量子加密通信接收端设备后,向量子加密通信发送端设备发送量子密钥,以使量子加密通信发送端设备和量子加密通信接收端设备使用量子密码进行数据加密通信。
[0038] 在量子加密通信发送端设备向第一量子密钥服务器发送量子密钥申请之前,量子加密通信发送端设备在第一量子密钥服务器上进行注册,并且,量子加密通信接收端设备在第二量子密钥服务器上进行注册。
[0039] 在量子加密通信发送端设备向第一量子密钥服务器发送量子密钥获取申请之前,量子加密通信发送端设备向第一量子密钥服务器发送量子密钥申请。量子密钥申请中携带的信息包括发送端设备信息、接收端设备信息、密钥需求量等。
[0040] 第一量子密钥服务器登记量子密钥申请,通过量子密钥分发网络设备将量子密钥申请发送给第二量子密钥服务器。第一量子密钥服务器登记量子密钥申请,通过量子密钥分发网络设备将申请登记成功消息发送给量子加密通信发送端设备。
[0041] 量子密钥分发网络设备基于密钥需求量生成成对的量子密钥,并将成对的量子密钥分别发送给第一量子密钥服务器和第二量子密钥服务器。量子密钥分发网络设备分别与第一量子密钥服务器、第二量子密钥服务器进行协商,确定第一子密钥、第二子密钥。量子密钥分发网络设备分别使用第一子密钥、第二子密钥对量子密钥进行加密,并将经过第一子密钥、第二子密钥加密后的量子密钥分别发送给第一量子密钥服务器、第二量子密钥服务器。
[0042] 第一量子密钥服务器通过量子密钥分发网络设备将量子密钥获取申请转发给第二量子密钥服务器。第二量子密钥服务器基于登记的量子密钥申请向量子加密通信接收端设备推送量子密钥,并通过量子密钥分发网络设备向第一量子密钥服务器发送密钥推送成功消息。第一量子密钥服务器接收到密钥推送成功消息,基于登记的量子密钥申请向量子加密通信发送端设备发送量子密钥。
[0043] 量子加密通信发送端设备向第一量子密钥服务器发送密钥业务注销申请。第一量子密钥服务器通过量子密钥分发网络设备将密钥业务注销申请发送给第二量子密钥服务器。第二量子密钥服务器对于登记的量子密钥申请执行注销操作,通过量子密钥分发网络设备将密钥业务注销成功消息发送给第一量子密钥服务器。第一量子密钥服务器对于登记的量子密钥申请执行注销操作。
[0044] 图2为根据本发明的协同加密方法的另一个实施例的信息交互示意图,如图2所示:
[0045] 步骤201,量子加密通信发送端设备QCCDa从QKDN网络获取量子密钥,当量子密钥获取成功,向第一缓存里存入量子密钥,当第一缓存满时,暂停量子密钥获取。
[0046] 步骤202,量子加密通信接收端设备QCCDb从QKDN网络获取量子密钥。
[0047] 步骤203,量子加密通信发送端设备QCCDa和量子加密通信接收端设备QCCDb协商经典密钥,当经典密钥协商成功,向第二缓存里存入经典密钥,当第二缓存满时,暂停经典密钥协调。经典密钥可以为采用AES、DES、3DES等加密算法进行加密的密钥。
[0048] 步骤204,量子加密通信发送端设备QCCDa和量子加密通信接收端设备QCCDb优先利用量子密钥进行加密通信,每个密钥更新周期读取缓存的密钥,当且仅当密钥更新周期读取量子密钥成功时,利用获得的量子密钥对业务加密。当且仅当密钥更新周期读取量子密钥失败时(表明当前无量子密钥可用),从第二缓存中读取经典密钥,利用获得的经典密钥对业务加密。
[0049] 在一个实施例中,量子加密通信发送端设备QCCDa在所属的第一量子密钥服务器QKSa上注册。量子加密通信接收端设备QCCDb在所属的第二量子密钥服务器QKSb注册。量子加密通信发送端设备QCCDa向第一量子密钥服务器QKSa发起量子密钥申请,量子密钥申请包含密钥需求量,即每秒多少比特量子密钥。量子密钥分发网络设备包括量子密钥生成中心服务器QKGCS等。
[0050] 第一量子密钥服务器QKSa登记后,通过量子密钥生成中心服务器QKGCS将量子密钥申请转送至第二量子密钥服务器QKSb。第二量子密钥服务器QKSb登记后,将量子密钥申请推送至量子加密通信接收端设备QCCDb,并且原路返回确认消息。
[0051] 量子密钥生成中心服务器QKGCS将成对的量子密钥QKi按需分发给第一量子密钥服务器QKSa和第二量子密钥服务器QKSb。量子密钥生成中心服务器QKGCS与中继节点,以及与第一量子密钥服务器QKSa之间协商量子密钥QKc-r_i、QKr-a_i,利用QKc-r_i、QKr-a_i对量子密钥QKi进行一次一密的方式加密,依次传送给第一量子密钥服务器QKSa。同理利用QKc-b_i进行加密并将QKi传送给第二量子密钥服务器QKSb。其中,i表示第i个时间段,不同时间段的QKc-r_i、QKr-a_i、QKc-b_i、QKi均不同。
[0052] 量子加密通信发送端设备QCCDa向第一量子密钥服务器QKSa发起量子密钥获取请求,量子密钥获取请求经QKGCS转送至QKSb。第二量子密钥服务器QKSb推送量子密钥(Qki)至量子加密通信接收端设备QCCDb,原路返回确认消息。第一量子密钥服务器QKSa推送量子密钥(Qki)至量子加密通信发送端设备QCCDa。量子加密通信发送端设备QCCDa和量子加密通信接收端设备QCCDb利用量子密钥进行加密通信。
[0053] 量子加密通信发送端设备QCCDa向第一量子密钥服务器QKSa发起量子密钥业务注销申请,经量子密钥分发网络转送至第二量子密钥服务器QKSb,第二量子密钥服务器QKSb推送密钥业务注销申请至量子加密通信接收端设备QCCDb,返回确认消息。
[0054] 本发明的协同加密方法,可以使端到端的OTN或路由器等加密设备利用从QKDN网络协商随机产生的、快速更新的(一般小于1分钟)量子密钥对,对安全等级要求较高的专线等业务进行加密,加密与中间设备无关,仅需两端加密设备成对使用。
[0055] 在一个实施例中,如图3所示,本发明提供一种协同加密系统,包括:量子加密通信发送端设备31、量子加密通信接收端设备32、第一量子密钥服务器33、量子加密通信接收端设备32、第二量子密钥服务器34以及量子密钥分发网络设备。量子密钥分发网络设备量子密钥生成中心服务器QKGCS 35等。
[0056] 量子加密通信发送端设备31和量子加密通信接收端设备32分别获取量子密钥。量子加密通信发送端设备31和量子加密通信接收端设备32进行协商,确定共享密钥,共享密钥为非量子密钥。量子加密通信发送端设备31判断是否能够获取量子密钥,如果是,则量子加密通信发送端设备31和量子加密通信接收端设备32使用量子密码进行数据加密通信,如果否,则量子加密通信发送端设备31和量子加密通信接收端设备32使用共享密钥进行数据加密通信。
[0057] 量子加密通信发送端设备31确定量子密码获取成功,则将量子密钥存储在第一缓存中,并在确定第一缓存存满时,停止获取量子密钥。量子加密通信发送端设备31确定共享密码协商成功,则将共享密钥存储在第二缓存中,并在确定第二缓存存满时,停止协商共享密钥。
[0058] 量子加密通信发送端设备31向第一量子密钥服务器发送量子密钥获取申请。第一量子密钥服务器33将量子密钥获取申请转发给第二量子密钥服务器34。第二量子密钥服务器34向量子加密通信接收端设备32推送量子密钥,在第一量子密钥服务器33确定量子密钥推送至量子加密通信接收端设备32后,向量子加密通信发送端设备31发送量子密钥。量子加密通信发送端设备31和量子加密通信接收端设备32使用量子密码进行数据加密通信。
[0059] 在量子加密通信发送端设备31向第一量子密钥服务器33发送量子密钥申请之前,量子加密通信发送端设备31在第一量子密钥服务器33上进行注册,并且,量子加密通信接收端设备32在第二量子密钥服务器34上进行注册。
[0060] 在量子加密通信发送端设备31向第一量子密钥服务器33发送量子密钥获取申请之前,量子加密通信发送端设备31向第一量子密钥服务器33发送量子密钥申请。第一量子密钥服务器33登记量子密钥申请,通过量子密钥分发网络设备将量子密钥申请发送给第二量子密钥服务器34。第一量子密钥服务器33登记量子密钥申请,通过量子密钥分发网络设备将申请登记成功消息发送给量子加密通信发送端设备31。量子密钥申请中携带的信息包括发送端设备信息、接收端设备信息、密钥需求量等。
[0061] 量子密钥分发网络设备基于密钥需求量生成成对的量子密钥,并将成对的量子密钥分别发送给第一量子密钥服务器33和第二量子密钥服务器34。量子密钥分发网络设备分别与第一量子密钥服务器33、第二量子密钥服务器34进行协商,确定第一子密钥、第二子密钥。量子密钥分发网络设备分别使用第一子密钥、第二子密钥对量子密钥进行加密,并将经过第一子密钥、第二子密钥加密后的量子密钥分别发送给第一量子密钥服务器33、第二量子密钥服务器34。
[0062] 第一量子密钥服务器33通过量子密钥分发网络设备将量子密钥获取申请转发给第二量子密钥服务器34。第二量子密钥服务器34基于登记的量子密钥申请向量子加密通信接收端设备32推送量子密钥,并通过量子密钥分发网络设备向第一量子密钥服务器33发送密钥推送成功消息。第一量子密钥服务器33接收到密钥推送成功消息,基于登记的量子密钥申请向量子加密通信发送端设备31发送量子密钥。
[0063] 量子加密通信发送端设备31向第一量子密钥服务器33发送密钥业务注销申请。第一量子密钥服务器33通过量子密钥分发网络设备将密钥业务注销申请发送给第二量子密钥服务器34。第二量子密钥服务器34对于登记的量子密钥申请执行注销操作,通过量子密钥分发网络设备将密钥业务注销成功消息发送给第一量子密钥服务器33。第一量子密钥服务器33对于登记的量子密钥申请执行注销操作。
[0064] 在一个实施例中,本发明提供一种光网络系统,包括如上任一实施例中的协同加密系统。
[0065] 上述实施例中提供的协同加密方法、装置及光网络系统,量子加密通信发送端设备和量子加密通信接收端设备分别获取量子密钥和共享密钥(非量子密钥),如果能够获取量子密钥,则使用量子密码进行数据加密通信,如果不能获取量子密钥,则使用共享密钥进行数据加密通信,采用量子密钥优先并且量子密钥与共享密钥协同的加密方式,可以兼顾量子密钥的安全性和经典加密的持续性,确保加密业务不中断,有效解决了量子密钥成码率不高和不稳定的问题,避免了可能较长时间无法产生量子密钥而导致的加密业务中断的情况,可以为用户提供端到端的量子安全产品和业务,加快推进量子加密业务落地和规模推广。
[0066] 可能以许多方式来实现本发明的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
[0067] 本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
