本發(fā)明涉及安全通信技術領域，特別涉及一種基于多終端通信的密鑰服務架構及分配方法。

背景技術：

隨著互聯(lián)網(wǎng)的大范圍普及，人類之間的信息傳遞達到了前所未有的數(shù)量和頻率，各種隱私信息越來越多地暴露在互聯(lián)網(wǎng)上，因此，人類對保密通信的需求也到了前所未有的高度?，F(xiàn)在的互聯(lián)網(wǎng)信息安全的加密方式稱為“公開密鑰”密碼體系，其原理是通過加密算法，生成網(wǎng)絡上傳播的公開密鑰，以及留在計算機內(nèi)部的私人密鑰，兩個密鑰必須配合使用才能實現(xiàn)完整的加密和解密過程。

現(xiàn)代互聯(lián)網(wǎng)使用的加密標準是20世紀70年代誕生的rsa算法，即利用大數(shù)的質(zhì)因子分解難以計算來保證密鑰的安全性。

傳輸密鑰分配是1984年物理學家bennett和密碼學家brassard提出了基于量子力學測量原理的bb84協(xié)議，傳輸密鑰分配可以從根本上保證了密鑰的安全性。

目前，在量子加密技術領域，基于qkd的網(wǎng)絡密鑰生成速率較低，很難實現(xiàn)一包一密的要求；另外，從qkd網(wǎng)絡中獲取的密鑰只能在相鄰的兩個節(jié)點之間共享，無法大規(guī)模應用于多方通信的場合，給量子加密通訊的發(fā)展造成了很大的限制。

技術實現(xiàn)要素：

本發(fā)明目的在于提供一種基于多終端通信的密鑰分配系統(tǒng)與方法，以解決現(xiàn)有技術中基于qkd的網(wǎng)絡密鑰生成速率較低，很難實現(xiàn)一包一密的要求；另外，從qkd網(wǎng)絡中獲取的密鑰只能在相鄰的兩個節(jié)點之間共享，無法大規(guī)模應用于多方通信的場合，給量子加密通訊的發(fā)展造成了很大的限制的技術性缺陷。

本發(fā)明的技術方案是這樣實現(xiàn)的：

一種基于多終端通信的密鑰服務架構，包括：密鑰服務系統(tǒng)，所述密鑰服務系統(tǒng)設置有可與客戶端生成共享傳輸密鑰的中心傳輸密鑰分配器、可生成會話密鑰的會話密鑰分配器以及所述密鑰服務系統(tǒng)為各個客戶端均分配的個人密鑰存儲空間，所述各個客戶端均能訪問各自對應的個人密鑰存儲空間，不能訪問其他客戶端的個人密鑰存儲空間；

客戶端，所述客戶端分別設置有客戶端傳輸密鑰分配器，所述客戶端傳輸密鑰分配器可與中心傳輸密鑰分配器生成共享的傳輸密鑰；

所述密鑰服務系統(tǒng)通過經(jīng)典信道與客戶端連接，所述經(jīng)典信道用于會話密鑰傳輸分配，所述中心傳輸密鑰分配器通過信道與客戶端傳輸密鑰分配器連接，所述密鑰服務系統(tǒng)還設置有客戶端在線管理服務器，所述客戶端在線管理服務器用于監(jiān)測客戶端是否處于在線連接狀態(tài)，并向處于在線狀態(tài)的客戶端推送會話密鑰。

優(yōu)選地，所述各客戶端分別設置有密鑰緩存器，所述密鑰緩存器用于將在線時客戶端推送過來的會話密鑰進行保存。

優(yōu)選地，所述密鑰服務系統(tǒng)還包括傳輸密鑰存儲服務器，所述傳輸密鑰存儲服務器用于存儲各個客戶端共享的傳輸密鑰。

優(yōu)選地，所述密鑰服務系統(tǒng)的中心傳輸密鑰分配器為中心量子密鑰分配器，所述客戶端設置的客戶端傳輸密鑰分配器為客戶端量子密鑰分配器，所述中心量子密鑰分配器與客戶端量子密鑰分配器可生成共享的量子密鑰。

優(yōu)選地，所述客戶端包括語音終端、視頻終端、郵件終端。

本發(fā)明還提供了一種基于多終端通信的密鑰服務架構的密鑰分配方法，包括以下步驟：

1)生成共享傳輸密鑰：通過客戶端的客戶端傳輸密鑰分配器以及密鑰服務系統(tǒng)的中心傳輸密鑰分配器生成共享的傳輸密鑰；

2)管理共享的傳輸密鑰：將共享的傳輸密鑰同步至密鑰服務系統(tǒng)進行管理；

3)創(chuàng)建會話密鑰：會話發(fā)起者客戶端向密鑰服務系統(tǒng)申請按照指定的參數(shù)創(chuàng)建會話密鑰后，會話密鑰分配器開始為該會話創(chuàng)建會話密鑰；

4)會話密鑰的存儲：密鑰服務系統(tǒng)為每個客戶端都分配一個固定大小或者非固定大小的個人密鑰存儲空間，創(chuàng)建后的會話密鑰存儲到會話參與者客戶端的個人密鑰存儲空間中；

5)會話密鑰的傳輸：通過客戶端在線管理服務器查找參與者客戶端是否與密鑰服務系統(tǒng)在線連接，如果在線連接，則將會話密鑰采用對應參與者客戶端的傳輸密鑰加密方式推送給參與者客戶端；如果參與者客戶端沒有和密鑰服務系統(tǒng)建立在線連接，密鑰服務系統(tǒng)不會實時的將密鑰推送給該客戶端，等到該客戶端上線連接后，密鑰服務系統(tǒng)再將這些密鑰推送至該參與者客戶端。

優(yōu)選地，在會話密鑰傳輸?shù)倪^程中，客戶端可主動的向密鑰服務系統(tǒng)請求會話密鑰，密鑰服務系統(tǒng)判斷該客戶端是否為參與者決定推送會話密鑰。

優(yōu)選地，步驟3)中指定的參數(shù)包括會話中的其他參與者、單個密鑰的長度、密鑰提供的模式、密鑰的提供速率。

優(yōu)選地，所述客戶端包括語音終端、視頻終端、郵件終端。

與現(xiàn)有技術相比，本發(fā)明有以下有益效果：

本發(fā)明的基于多終端通信的密鑰服務架構以及分配方法，通過密鑰服務系統(tǒng)獲取各個客戶端傳輸密鑰，然后通過該傳輸密鑰對會話密鑰加密的方式，密鑰服務系統(tǒng)通過傳輸密鑰加密會話密鑰的方式將會話密鑰分發(fā)至需要參與通信的客戶端，而數(shù)據(jù)包只需要會話密鑰加密即可，實現(xiàn)多方客戶端通信的目的，本發(fā)明不僅保證多方通信絕對安全性，也避免了一包一密對qkd系統(tǒng)高標準的要求，使量子加密通訊很好的適用于大規(guī)模多方通信場合；另外，本發(fā)明根據(jù)與會者在線與不在線的情況分配了個人密鑰存儲空間，可保證與會者能快速準確的接收到會話密鑰，提高了通信的安全性以及效率。

附圖說明

圖1為本發(fā)明基于多終端通信的密鑰服務架構的原理框圖；

圖2為本發(fā)明密鑰分配方法的流程圖。

圖中：密鑰服務系統(tǒng)100，中心傳輸密鑰分配器101，會話密鑰分配器102，個人密鑰存儲空間103，客戶端在線管理服務器104，傳輸密鑰存儲服務器105，客戶端200，客戶端傳輸密鑰分配器201，密鑰緩存器202。

具體實施方式

下面將結合本發(fā)明實施例中的附圖，對本發(fā)明進行清楚、完整地描述。

如圖1所示，一種基于多終端通信的密鑰服務架構，包括：密鑰服務系統(tǒng)100，所述密鑰服務系統(tǒng)100設置有可與客戶端200生成共享的傳輸密鑰的中心傳輸密鑰分配器101、可生成會話密鑰的會話密鑰分配器102以及所述密鑰服務系統(tǒng)100為各個客戶端均分配的個人密鑰存儲空間103，所述個人密鑰存儲空間103為固定大小或者非固定大小，當客戶端200作為會話參與者時，該客戶端200對應的個人密鑰存儲空間103用于存儲此次會話時密鑰服務系統(tǒng)100創(chuàng)建的會話密鑰，同時，個人密鑰存儲空間103也將對應客戶端200共享的傳輸密鑰存儲在內(nèi)，所述各個客戶端200均能訪問各自對應的個人密鑰存儲空間103，不能訪問其他客戶端200的個人密鑰存儲空間103；

客戶端200，所述客戶端200分別設置有客戶端傳輸密鑰分配器201，所述客戶端傳輸密鑰分配器201可與中心傳輸密鑰分配器101生成共享的傳輸密鑰，所述共享的傳輸密鑰只用于對應客戶端200與密鑰服務系統(tǒng)100之間會話密鑰加密使用；

所述密鑰服務系統(tǒng)100通過經(jīng)典信道與客戶端200連接，所述經(jīng)典信道用于會話密鑰傳輸分配，所述中心傳輸密鑰分配器101通過信道與客戶端傳輸密鑰分配器201連接，所述密鑰服務系統(tǒng)100還設置有客戶端在線管理服務器104，所述客戶端在線管理服務器104用于監(jiān)測客戶端200是否處于在線連接狀態(tài)，并向處于在線狀態(tài)的客戶端200推送會話密鑰。

所述各客戶端200分別設置有密鑰緩存器202，所述密鑰緩存器202用于將在線時客戶端推送過來的會話密鑰進行保存，保存的會話密鑰可以多次使用，避免了同樣客戶端200之間通信需要重新創(chuàng)建會話密鑰的缺陷。

所述密鑰服務系統(tǒng)100還包括傳輸密鑰存儲服務器105，所述傳輸密鑰存儲服務器105用于存儲各個客戶端200共享的傳輸密鑰，其中，共享的傳輸密鑰也可以暫存在對應的個人密鑰存儲空間103中。

所述密鑰服務系統(tǒng)100的中心傳輸密鑰分配器101為中心量子密鑰分配器，所述客戶端200設置的客戶端傳輸密鑰分配器201為客戶端量子密鑰分配器，所述中心量子密鑰分配器101與客戶端量子密鑰分配器201可生成共享的量子密鑰。

所述客戶端200包括語音終端、視頻終端、郵件終端。

如圖2所示，本發(fā)明還提供了一種基于多終端通信的密鑰服務架構的密鑰分配方法，包括以下步驟：

1)生成共享傳輸密鑰：通過客戶端的客戶端傳輸密鑰分配器以及密鑰服務系統(tǒng)的中心傳輸密鑰分配器生成共享的傳輸密鑰；

2)管理共享的傳輸密鑰：將共享的傳輸密鑰同步至密鑰服務系統(tǒng)進行管理；

3)創(chuàng)建會話密鑰：會話發(fā)起者客戶端向密鑰服務系統(tǒng)申請按照指定的參數(shù)創(chuàng)建會話密鑰后，會話密鑰分配器開始為該會話創(chuàng)建會話密鑰；

4)會話密鑰的存儲：密鑰服務系統(tǒng)為每個客戶端都分配一個固定大小或者非固定大小的個人密鑰存儲空間，創(chuàng)建后的會話密鑰存儲到會話參與者客戶端的個人密鑰存儲空間中；

5)會話密鑰的傳輸：通過客戶端在線管理服務器查找參與者客戶端是否與密鑰服務系統(tǒng)在線連接，如果在線連接，則將會話密鑰采用對應參與者客戶端的傳輸密鑰加密方式推送給參與者客戶端；如果參與者客戶端沒有和密鑰服務系統(tǒng)建立在線連接，密鑰服務系統(tǒng)不會實時的將密鑰推送給該客戶端，等到該客戶端上線連接后，密鑰服務系統(tǒng)再將這些密鑰推送至該參與者客戶端。

步驟5)中的會話密鑰傳輸是分為實時應用與非實時應用的，實時應用如視頻會議，而視頻會議參與者應該都是在線的情況，但也不排除部分參與者由于一些理由不在線的情況。而非實時應用如電子郵件的參與者則不一定在線，針對通訊模式不同，步驟5)采用了上述在線與不在線的密鑰推送方式。

在會話密鑰傳輸?shù)倪^程中，客戶端可主動的向密鑰服務系統(tǒng)請求會話密鑰，密鑰服務系統(tǒng)判斷該客戶端是否為參與者決定推送會話密鑰，這樣也可使遺漏的與會者得到與會的補救措施。

步驟3)中指定的參數(shù)包括會話中的其他參與者、單個密鑰的長度、密鑰提供的模式、密鑰的提供速率。

所述客戶端包括語音終端、視頻終端、郵件終端。

綜合本發(fā)明的結構與原理可知，本發(fā)明的基于多終端通信的密鑰服務架構以及分配方法，通過密鑰服務系統(tǒng)獲取各個客戶端傳輸密鑰，然后通過該傳輸密鑰對會話密鑰加密的方式，密鑰服務系統(tǒng)通過傳輸密鑰加密會話密鑰的方式將會話密鑰分發(fā)至需要參與通信的客戶端，而數(shù)據(jù)包只需要會話密鑰加密即可，實現(xiàn)多方客戶端通信的目的，本發(fā)明不僅保證多方通信絕對安全性，也避免了一包一密對qkd系統(tǒng)高標準的要求，使量子加密通訊很好的適用于大規(guī)模多方通信場合；另外，本發(fā)明根據(jù)與會者在線與不在線的情況分配了個人密鑰存儲空間，可保證與會者能快速準確的接收到會話密鑰，提高了通信的安全性以及效率。