(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211106902.4 (22)申请日 2022.09.13 (71)申请人 浙江九州量子信息技 术股份有限公 司 地址 311215 浙江省杭州市萧 山区经济技 术开发区北塘路43 6号-1 (72)发明人 於建江　胡辉　董智超　郑韶辉　 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于量子密钥集中管理的通信加密方 法及系统 (57)摘要 一种基于量子密钥集中管理的通信加密方 法， 包括量子加密代理终端和量子加密代理网关 在量子密钥云平台注册； 注册后利用协商的量子 会话密钥对 经过的数据进行加解密； 发起方与对 端方向量子密钥云平台获取量子密钥； 发送方与 对端方之间进行量子会话密钥协商； 发送方与对 端方分别利用协商后的量子会话密钥对发送的 数据进行加解密， 形成各自的加密数据包。 与现 有技术相比， 本发明解决现有 技术中对称密钥体 系的密钥分配问题； 本发明将量子加密代理网关 进行旁路部署很好的解决了业务服务端前串联 部署链路加密设备存在较大困难的问题； 本发明 量子加密 代理网关旁路部署， 解决了现有技术中 链路加密设备一般需串 联网络， 故障而影响正常 的业务功能。 权利要求书4页 说明书10页 附图4页 CN 115459912 A 2022.12.09 CN 115459912 A 1.一种基于量子密钥集中管理的通信加密方法， 其特 征在于， 包括以下步骤： S1： 量子加密网关旁路部署于通信网络， 量子加密代 理串联或旁路部署于通信网络， 量 子加密代理终端和量子加密代理网关在量子密钥云平台注册， 获取设备量子信息和加密策 略； S2、 量子加密代 理终端和所述量子加密代 理网关的设备量子信 息进行离线更新或在线 更新； S3、 量子加密代理终端和量子加密代理网关根据加密策略要求， 利用协商的量子会话 密钥对经 过的数据进行加解密； S4、 量子加密代理终端或量子加密代理网关到量子密钥云平台身份认证； S5、 量子加密代理终端或量子加密代理网关向量子密钥云平台获取量子密钥； S6、 量子加密代理终端与量子加密代理网关之间进行量子会话密钥协商； S7、 量子加密代 理终端与量子加密代 理网关分别利用协商后的量子会话密钥对发送的 数据进行加解密， 形成各自的加密数据包。 2.如权利要求1所述的基于量子密钥集中管理的通信加密方法， 其特征在于， 步骤S1具 体为： S11： 登录所述量子密钥云平台进行注册， 输入量子加密代理设备信息， 生成与所述量 子加密代理相关联的量子加密代理信息、 多组量子对称密钥， 并保存在所述量子密钥云平 台， 同时为 量子加密代理设备选择加密策略， 并保存在所述 量子密钥云平台； S12： 将所述量子加密代理信息、 多组量子对称密钥和加密策略下载， 并存储至量子加 密代理终端和量子加密代理网关构成的量子加密代理中。 3.如权利要求1所述的基于量子密钥集中管理 的通信加密方法， 其特征在于， 所述离线 更新为所述量子加密代理终端和所述量子加密代理网关在所述量子密钥 云平台进行重新 注册。 4.如权利要求1所述的基于量子密钥集中管理 的通信加密方法， 其特征在于， 所述在线 更新包括以下步骤： S21： 所述量子加密代理终端和所述量子加密代理网关向量子密钥云平台请求更新设 备量子信息； S22： 所述量子密钥云平台接收请求， 查找对应的密钥更新量子密钥、 校验量子密钥， 生 成设备的新身份量子密钥、 新密钥加密量子密钥、 新密钥更新量子密钥、 新校验量子密钥， 并将新的多组量子密钥， 使用密钥更新量子密钥对新的多组量子密钥进 行加密生成密钥 密 文数据， 使用校验量子密钥生成密钥校验数据， 并将密钥密文数据和密钥校验数据发送给 所述量子加密代理终端和所述 量子加密代理网关； S23: 所述量子加密代 理终端和所述量子加密代 理网关接收量子密钥云平台的响应数 据， 得到密钥密 文数据和密钥校验数据， 使用校验量子密钥对密钥校验数据进 行校验， 使用 密钥更新量子密钥对密钥密 文数据进行解密， 得到新身份量子密钥、 新密钥加密量子密钥、 新密钥更新量子密钥、 新校验量子密钥， 校验通过则更新成功， 否则更新失败， 更新成功则 所述量子加密代理终端和所述 量子加密代理网关向量子密钥云平台发送更新确认报文。 5.如权利要求1所述的所述的基于量子密钥集中管理 的通信加密方法， 其特征在于， 步 骤S3具体过程如下：权　利　要　求　书 1/4 页 2 CN 115459912 A 2S31： 当所述业务终端向所述业务服务端发送数据时， 利用所述量子加密代理终端拦截 数据包， 判断当前加密策略； S32： 量子加密代 理终端与量子加密代 理网关协商量子会话密钥， 量子加密代 理终端向 量子密钥云平台完成身份认证， 获取量子密钥； 相应的量子加密代理网关也向量子密钥 云 平台完成身份认证， 获取相同的量子密钥， 完成量子会话密钥协商； S33： 利用所述量子加密代理终端与量子加密代理网关协商的量子会话密钥对所述数 据包进行加密， 形成加密数据包； S34： 所述量子加密代 理网关拦截所述加密数据包， 对所述加密数据包进行解密并将解 密后的数据发送至所述 业务服务端； S35： 所述业务服务端返回响应数据至所述业务终端， 所述量子加密代 理网关拦截响应 数据包， 利用所述量子加密代理终端与量子加密代理网关协商的量子会话密钥对所述响应 数据包进行加密， 形成加密数据包； S36： 所述量子加密代 理终端拦截所述加密数据包， 对所述加密数据包进行解密并将解 密后的数据发送至所述 业务终端。 6.如权利要求1所述的基于量子密钥集中管理的通信加密方法， 其特征在于， 步骤S4 中， 所述量子加密代理终端或量子加密代理网关分别与量子密钥 云平台完成身份认证， 采 用基于量子对称密钥的双向认证方式。 7.如权利要求1所述的基于量子密钥集中管理的通信加密方法， 其特征在于， 步骤S5 中， 量子加密代理终端或量子加密代理网关向量子密钥云平台获取量子密钥， 具体步骤包 括： S51： 所述量子加密代理终端或量子加密代理网关向量子密钥云平台请求获取量子密 钥； S52： 所述量子密钥云平台接收请求， 根据自身DeviceN ame判断该量子加密代理是否有 权限获取量子密钥， 有对应权限则查找对应的KID密钥是否存在， 不存在则通过量子随机数 发生器或者QKD生成代理的量子会话密钥和校验量子密钥， 通过DeviceName查找对应的密 钥加密量子密钥、 校验量子密钥， 并将多组量子密钥， 使用密钥加密量子密钥对多组量子密 钥进行加密生 成密钥密文数据， 使用校验量子密钥对DeviceName和密钥密 文数据生 成密钥 校验数据， 并将密钥密文数据和密钥校验数据发送给 所述量子加密代； S53: 所述量子加密代理接收量子密钥云平台的响应数据， 得到密钥密文数据和密钥 校验数据， 使用校验量子密钥对密钥校验数据进行校验， 使用密钥加密量子密钥对密钥密 文数据进行解密， 得到量子会话密钥和校验量子密钥， 校验通过则获取成功， 否则获取失 败， 获取成功则所述 量子加密代理向量子密钥云平台发送获取确认报文。 8.如权利要求1所述的基于量子密钥集中管理的通信加密方法， 其特征在于， 步骤S6 中， 量子加密代理终端与量子加密代理网关之间的量子会话密钥协商， 具体步骤 包括： S61： 当所述业务终端向所述业务服务端发送数据时， 所述量子加密代 理终端拦截数据 包， 判断是否已经存在协商好的量子会话密钥， 存在的话直接用协商好的量子会话密钥加 密数据， 否则进行量子会话密钥协商； S62： 量子加密代理终端探测对端是否存在量子加密代理网关， 发送探测报文， 包含量 子加密代理终端DeviceName信息；权　利　要　求　书 2/4 页 3 CN 115459912 A 3