(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211009798.7 (22)申请日 2022.08.22 (71)申请人 安徽省极光智能科技有限公司 地址 230000 安徽省合肥市高新区望江西 路800号创新产业园A1栋701室 (72)发明人 王龙　 (74)专利代理 机构 合肥正则元起专利代理事务 所(普通合伙) 3416 0 专利代理师 杨凯 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) H04L 67/06(2022.01) H04L 67/56(2022.01) (54)发明名称 一种量子密钥生命周期管理系统 (57)摘要 本发明公开了一种量子密钥生命周期管理 系统， 涉及量子密钥中继传输技术领域。 源量子 分发设备生成量子密钥文件， 上传给源密钥代理 服务器， 以使其根据网络拓扑生成路由路径； 源 密钥代理服务器根据路由路径将量子密钥文件 传输给目的应用服务器； 目的应用服务器验证量 子密钥文件的完整性， 提取量子密钥， 在源用户 终端和目的用户终端进行数据通信时， 控制目的 量子分发设备使用量子密钥进行数据加解密。 上 述系统对量子密钥的生成、 中继传输和使用进行 全生命周期管理， 通过构建的密钥中继 网络提高 了网络的可用性、 可靠性和可扩展性， 使量子加 密系统可以支持高速加密通信和大规模、 远距离 的移动通信等应用。 权利要求书2页 说明书5页 附图1页 CN 115378585 A 2022.11.22 CN 115378585 A 1.一种量子密钥生命周期管理系统， 其特征在于， 包括多个用户终端和密钥中继网络； 所述密钥中继网络包括密钥管理服务器、 多个密钥代理服务器和多个应用服务器； 每一密 钥代理服务器连接管理多个应用服务器， 每一应用服务器连接管理多个用户终端， 每一用 户终端连接有量子分发设备； 源用户终端和目的用户终端为系统中任意不同两个用户终 端； 所述源用户终端对应的密钥代理服务器和 量子分发设备， 分别为源密钥代理服务器和 源量子分发设备； 所述目的用户终端对应的密钥代理服务器、 应用服务器和量子 分发设备， 分别为目的密钥代理服 务器、 目的应用服 务器和目的量子分发设备； 所述源量子分发设备， 用于根据所述源用户终端和所述目的用户终端之间的数据交互 请求生成预设QKD协议的量子密钥文件， 上传给 所述源密钥代理服 务器； 所述密钥管理服务器， 用于根据所述密钥中继网络的网络拓扑生成从所述源密钥代 理 服务器到所述目的应用服务器的路由路径， 将所述路由路径下发给所述源密钥代理服务 器； 所述源密钥代 理服务器， 用于根据 所述路由路径将所述量子密钥文件传输给所述目的 应用服务器； 所述目的应用服务器， 用于验证所述量子密钥文件的完整性， 从验证通过的所述量子 密钥文件中提取量子密钥， 在所述源用户终端和所述 目的用户终端进行数据通信时， 控制 所述目的量子分发设备使用所述 量子密钥进行 数据加解密。 2.基于权利要求1所述的一种量子密钥生命周期管理系统， 其特征在于， 所述源量子分 发设备保存有多种预设的QKD协 议； 所述数据交互请求包括所述量子密钥文件的QKD协议类 型和密钥长度。 3.基于权利要求2所述的一种量子密钥生命周期管理系统， 其特征在于， 所述量子密钥 文件包括生成时间戳、 所述源量子分发设备的ID、 所述目的量子分发设备的ID、 QKD协议的 类型标识、 密钥长度和所述 量子密钥。 4.基于权利要求3所述的一种量子密钥生命周期管理系统， 其特征在于， 所述源用户终 端对应的应用服 务器为源应用服 务器； 所述源应用服务器， 用于从所述源量子分发设备获取所述量子密钥文件， 给所述量子 密钥分配唯一密钥ID添加到所述量子密钥文件， 得到应用量子密钥文件上传给所述源量子 分发设备； 所述源密钥代理服务器， 具体用于根据 所述目的量子分发设备的ID匹配所述目的密钥 代理服务器的目的第一服务器ID， 根据所述路由路径确定下一跳的密钥代理服务器的第二 服务器ID， 将所述第一服务器ID作为转发目的地址、 第二服务器ID作为中继目的地址、 所述 源量子分发设备 的第三服务器ID作为中继源地址和所述路由路径添加到所述应用量子密 钥文件中， 得到中继量子密钥文件发送给 下一跳的密钥代理服 务器； 中继密钥代理服务器， 用于接收上一跳密钥代理服务器的中继量子密钥文件， 验证所 述中继量子密钥文件的完整性， 根据所述路由路径更新验证通过的所述中继量子密钥文件 的所述中继源地址和所述中继目的地址， 将更新后的所述中继量子密钥文件发送给下一跳 的密钥代理服务器； 所述中继密钥代理服务器为所述路由路径上除所述源密钥代理服务器 以外的任意密钥代理服 务器。 5.基于权利要求4所述的一种量子密钥生命周期管理系统， 其特征在于， 所述路由路径权　利　要　求　书 1/2 页 2 CN 115378585 A 2中相邻两个密钥代理服务器之间进行数据传输时， 使用预设的中继量子密钥进行数据加 密； 每一密钥代理服务器， 用于匹配该密钥代 理服务器与 下一跳的密钥代 理服务器之间预 设的中继量子密钥， 使用该中继量子密钥加密中继量子密钥文件。 6.基于权利要求4所述的一种量子密钥生命周期管理系统， 其特征在于， 所述目的密钥 代理服务器， 用于将接 收到的所述中继量子密钥文件拆分为中继传输数据和密钥数据， 将 所述中继传输数据发送给所述密钥管理服务器保存， 将所述密钥数据发送给所述目的应用 服务器保存； 所述中继传输数据包括所述生成时间戳、 所述源量子 分发设备的ID、 所述目的 量子分发设备的ID、 QKD协议的类型标识、 所述密钥ID和所述路 由路径； 密钥数据包括所述 密钥ID、 所述密钥长度和所述 量子密钥。 7.基于权利要求6所述的一种量子密钥生命周期管理系统， 其特征在于， 所述目的应用 服务器， 还用于在所述密钥数据中添加接收时间戳和所述目的应用服务器的ID， 得到密钥 存储数据进行保存； 当每次控制所述目的量子 分发设备使用所述量子密钥进 行数据加解密 时， 生成使用记录发送给所述密钥管理服务器保存； 所述使用记录包括所述 目的应用服务 器的ID、 使用时间以及所述目的用户终端中使用所述量子密钥的应用程序的ID、 应用程序 的源ID和应用程序的目标ID。 8.基于权利要求7所述的一种量子密钥生命周期管理系统， 其特征在于， 所述目的应用 服务器， 还用于当达 到预设条件则 销毁所述密钥存 储数据。权　利　要　求　书 2/2 页 3 CN 115378585 A 3