(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211106918.5 (22)申请日 2022.09.13 (71)申请人 浙江九州量子信息技 术股份有限公 司 地址 311215 浙江省杭州市萧 山区经济技 术开发区北塘路43 6号-1 (72)发明人 於建江　胡辉　董智超　郑韶辉　 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于量子密钥云平台的链路透明加密 方法及系统 (57)摘要 一种基于量子密钥云平台的链路透明加密 方法， 包括量子加密代理在量子密码服务平台注 册； 量子加密代理设备量子信息更新； 量子加密 代理之间探测； 量子加密 代理之间的身份认证和 量子会话密钥协商； 量子加密 代理到量子密钥云 平台身份认证； 量子加密 代理向量子密钥云平台 获取量子密钥； 量子加密 代理利用协商的量子会 话密钥对发送的数据进行加解密； 量子加密 代理 利用量子会话密钥对发送的数据进行加解密， 形 成加密数据包。 与现有技术相比， 本发明解决了 当前数字化业务系统的安全传输、 类似VPN链路 加密的效率和可靠性、 使用非对称密码机制的密 钥协商算法无法应付潜在的量子计算的威胁的 问题， 实现量子加密代理与量子加密代理之间的 网络数据的加密通信。 权利要求书3页 说明书11页 附图4页 CN 115459913 A 2022.12.09 CN 115459913 A 1.一种基于量子密钥云平台的链路透明加密方法， 其特 征在于， 包括以下步骤： S1： 量子加密代理在量子密码服 务平台注 册； S2、 量子加密代理设备量子信息更新， 所述量子加密代理的设备量子信息可以进行离 线更新或在线更新； S3、 量子加密代 理之间探测， 当业务终端和业务服务端之间进行数据通信时， 对网络数 据的进行加密前需要完成量子加密代理之间的探测， 判断是否存在对端侧 量子加密代理， 若存在再进行网络数据加密的密钥协商； S4、 量子加密代理之间的身份认证和量子会话密钥协商， 当业务终端和业务服务端之 间进行数据通信时， 加密数据需要先协商量子会话密钥， 量子会话密钥协商包含量子加密 代理之间完成身份双向认证， 然后基于SM2密钥协商和量子密钥云平台分发的量子会话密 钥协商最终的量子会话密钥； S5、 量子加密代理到量子密钥云平台身份认证； S6、 量子加密代理向量子密钥云平台获取量子密钥； S7、 量子加密代理利用协商的量子会话密钥对发送的数据进行加解密； S8、 量子加密代理利用量子会话密钥对发送的数据进行加解密， 形成加密数据包。 2.如权利要求1所述的基于量子密钥云平台的链路透 明加密方法， 其特征在于， 步骤S1 具体为： S11： 登录量子密钥云平台管理系统进行注册， 输入量子加密代理设备信息， 生成与量 子加密代理相关联的量子加密代理信息、 多组量子对称密钥， 并保存在所述量子密钥云平 台， S12： 同时将量子加密代理的信息、 多组量子对称密钥下 载， 并存储至量子加密代理中。 3.如权利要求1所述的基于量子密钥云平台的链路透 明加密方法， 其特征在于， 步骤S2 具体为： S21： 量子加密代理向量子密钥云平台请求更新设备量子信息， S22： 量子密钥云平台接收请求， 通过DeviceName查找对应 的密钥更新量子密钥、 校验 量子密钥， 生成设备的新身份量子密钥、 新密钥加密量子密钥、 新密钥更新量子密钥、 新校 验量子密钥， 并将新的多组量子密钥， 使用密钥更新量子密钥对新的多组量子密钥进行加 密生成密钥密文数据， 使用校验量子密钥对DeviceName和密钥密文数据生成密钥校验数 据， 并将密钥密文数据和密钥校验数据发送给 所述量子加密代理， S23:量子加密代 理接收量子密钥云平台的响应数据， 得到密钥密文数据和密钥校验数 据， 使用校验量子密钥对密钥校验数据进行校验， 使用密钥更新量子密钥对密钥密文数据 进行解密， 得到新身份量子密钥、 新密钥加密量子密钥、 新密钥更新量子密钥、 新校验量子 密钥， 校验通过则更新成功， 否则更新失败， 更新成功则量子加密代理终端和量子加密代理 网关向量子密钥云平台发送更新确认报文。 4.如权利要求1所述的基于量子密钥云平台的链路透 明加密方法， 其特征在于， 步骤S3 具体： S31： 当述业务终端向业务服务器发送数据时， 量子加密代理终端拦截数据包， 判断是 否已经存在协商好的量子会话密钥， 存在的话 直接用协商好的量子会话密钥加密数据， 否则进行量子会话密钥协商；权　利　要　求　书 1/3 页 2 CN 115459913 A 2S32： 量子加密代理探测对端是否存在量子加密代理， 发送探测起始报文； S33： 对端侧量子加密代理接收到 探测包， 响应探测起始报文； S34： 量子加密代 理向量子密钥云平台请求量子密钥， 量子密钥云平台响应量子密钥请 求报文， 并采用密钥加密量子密钥加密； S35： 量子加密代理向对端侧量子加密代理发送探测握 手报文； S36： 对端侧量子加密代理接收消息， 向量子密钥云平台请求量子密钥， 量子密钥云平 台响应量子密钥请求报文， 并采用密钥加密量子密钥加密， 对端侧 量子加密代理发送探测 握手响应报文， S37： 量子加密代理接收消息， 向对端侧量子加密代理发送探测握 手确认报文。 5.如权利要求1所述的所述的基于量子密钥云平台的链路透 明加密方法， 其特征在于， 步骤S4具体： S41： 量子加密代理之间利用量子身份密钥， 通过多次传递完成双向身份认证； S42： 基于SM2密钥协商和量子密钥云平台分发的量子会话密钥协商最终的量子会话密 钥。 6.如权利要求1所述的基于量子密钥云平台的链路透 明加密方法， 其特征在于， 步骤S6 中， 所述量子加密代理向量子密钥云平台获取量子密钥， 具体过程 为： S61： 所述 量子加密代理向量子密钥云平台请求获取量子密钥， S62： 所述量子密钥云平台接收请求， 根据自身DeviceN ame判断该量子加密代理是否有 权限获取量子密钥， 有对应权限则查找对应的KID密钥是否存在， 不存在则通过量子随机数 发生器或者QKD生成代理的量子身份密钥量子会话密钥和校验量子密钥， 通过DeviceName 查找对应的密钥加密量子密钥、 校验量子密钥， 并将上述多组量子密钥， 使用密钥加密量子 密钥对多组量子密钥进 行加密生 成密钥密 文数据， 使用校验量子密钥对DeviceName和密钥 密文数据生成密钥校验数据， 并将密钥密文数据和密钥校验数据发送给所述量子加密代 理； S63: 所述量子加密代理接收量子密钥云平台的响应数据， 得到密钥密文数据和密钥 校验数据， 使用校验量子密钥对密钥校验数据进行校验， 使用密钥加密量子密钥对密钥密 文数据进行解密， 得到量子身份密钥量子会话密钥和校验量子密钥， 校验通过则获取成功， 否则获取失败， 获取成功则所述 量子加密代理向量子密钥云平台发送获取确认报文。 7.如权利要求1所述的基于量子密钥云平台的链路透 明加密方法， 其特征在于， 步骤S7 中， 量子加密代理利用协商的量子会话密钥对发送的数据进行加解密， 具体步骤 包括： 当业务终端向业务服务端发送数据时， 利用所述量子加密代理拦截数据包， 量子加密 代理各自向量子密钥 云平台完成身份认证， 获取量子密钥， 利用获取 的量子密钥完成量子 加密代理之 间的身份认证和最终量子会话密钥协商， 并利用量子会话密钥对数据进行加解 密， 包括： S71： 当业务终端向业务服务端发送数据时， 利用所述量子加密代理拦截数据包， 量子 加密代理进行对端侧量子加密的探测； S72： 量子加密代理之间利用量子身份密钥， 通过多次传递完成双向身份认证， S73： 量子加密代理之间利用基于SM2密钥协商和量子密钥云平台分发的量子会话密钥 协商最终的量子会话密钥和校验量子密钥；权　利　要　求　书 2/3 页 3 CN 115459913 A 3