一种量子密钥分发系统及方法

本申请涉及通信技术领域，尤其涉及一种量子密钥分发系统及方法。

点对点通信的双方，利用量子密钥对数据进行加密防护，能够有效提高数据传输的安全性。量子密钥为对称密钥，其在具体应用过程中存在一定的困难，一方面，量子密钥在通信两端分发，需要在通信双方分别部署一台量子密钥生成设备，量子密钥生成设备体积较大、成本较高，难以与小体积、低成本的终端配合使用；另一方面，通信两端量子密钥生成设备之间需要(且必须)通过光纤直接连接，用于传输承载密钥信息的光量子。

将量子密钥应用于配用电领域，能够提高配用电业务信息传输安全防护能力。但是，配用电终端具有数量大、分布广、部署环境复杂等特点，虽然量子密钥能够为配用电业务信息传输提供更加安全的防护方法，但是为每一台配用电终端配备一台量子密钥生成设备并敷设光纤，从成本、体积等方面要求来看都是不现实的。

因此，提供一种应用于配用电领域的量子密钥分发方法成为一个亟待解决的技术问题。

有鉴于此，本申请提供了一种量子密钥分发方法，该方法利用量子密钥移动存储设备进行密钥分发，扩大了量子密钥分发范围，并且，一个量子密钥移动存储设备可以为多个配用电终端分发密钥，降低了密钥分发成本，实现了量子密钥在配用电终端低成本、大规模、灵活分发。基于此，本申请还提供了一种量子密钥分发系统。

本申请第一方面提供了一种量子密钥分发系统，所述系统包括：配用电终端、主站业务系统、量子密钥移动存储设备以及量子密钥分发网络；

所述量子密钥分发网络包括第一量子密钥下载接口和第二量子密钥下载接口；

所述主站业务系统，用于响应于所述配用电终端的量子密钥申请请求，向所述量子密钥分发网络申请量子密钥；

所述量子密钥分发网络，用于根据所述主站业务系统的申请，向所述第一量子密钥下载接口和所述第二量子密钥下载接口下发成对的量子密钥；

所述主站业务系统，还用于从所述第一量子密钥下载接口获取申请的量子密钥；

所述量子密钥移动存储设备，用于从所述第二量子密钥下载接口获取与所述主站业务系统申请的量子密钥相对应的量子密钥；

所述配用电终端，用于从所述量子密钥移动存储设备获取与所述主站业务系统申请的量子密钥相对应的量子密钥。

可选的，所述系统还包括量子密钥管理设备，所述密钥管理设备与第二量子密钥下载接口连接，以及与所述量子密钥移动存储设备连接，用于存储和管理待分发至配用电网络的量子密钥。

可选的，所述量子密钥管理设备连接一个所述量子密钥移动存储设备，若为多个所述配用电终端分发量子密钥，则所述量子密钥移动存储设备通过插拔的方式分别连接所述配用电终端。

可选的，所述量子密钥移动存储设备的输出为单向且单次。

可选的，所述量子密钥移动存储设备、所述配用电终端、主站业务系统以及所述量子密钥分发网络的第一量子密钥下载接口和第二量子密钥下载接口安装有证书，用于对接入设备合法性进行验证。

可选的，所述系统还包括数据通信网；

所述业务主站系统和所述配用电终端通过所述数据通信网以及所述量子密钥进行通信。

可选的，所述业务主站系统和所述配用电终端利用所述量子密钥对业务数据加密，将加密数据通过所述数据通信网的通信信道进行传输。

可选的，所述业务主站系统和所述配用电终端利用所述量子密钥对所述数据通信网的通信信道进行加密，得到量子保密信道，所述量子保密信道用于传输业务数据。

本申请第一方面提供了一种量子密钥分发方法，应用于本申请第一方面所述的量子密钥分发系统，所述方法包括：

接收与主站业务系统申请的量子密钥相对应的量子密钥；

向所述配用电终端发送所述与主站业务系统申请的量子密钥相对应的量子密钥；

其中，所述与主站业务系统申请的量子密钥相对应的量子密钥为主站业务系统响应于所述配用电终端的量子密钥申请请求，向所述量子密钥分发网络申请量子密钥，所述量子密钥分发网络通过第二量子密钥下载接口下发的，所述量子密钥分发网络还通过第一量子密钥下载接口下发量子密钥至所述主站业务系统，以实现所述主站业务系统和所述配用电终端的量子密钥共享。

可选的，所述方法还包括：

对接入设备进行合法性验证。

可选的，所述量子密钥分发系统还包括：量子密钥管理设备；

则接收与主站业务系统申请的量子密钥相对应的量子密钥包括：

从所述第二量子密钥下载接口接收与主站业务系统申请的量子密钥相对应的量子密钥。

从以上技术方案可以看出，本申请实施例具有以下优点：

本申请实施例提供了一种量子密钥分发方法，该方法提供了一种量子密钥分发系统，通过利用量子密钥分发系统中的移动存储设备拷贝密钥，实现量子密钥分发，即使配用电终端不在密钥分发网络内，也可以借助该移动存储设备实现密钥分发，扩大了量子密钥分发范围，并且，一个量子密钥移动存储设备可以为多个配用电终端分发密钥，降低了密钥分发成本，实现了量子密钥在配用电终端低成本、大规模、灵活分发。

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种量子密钥分发系统的结构示意图；

图2为本申请实施例提供的一种配用电终端的功能模块图；

图3为本申请实施例提供的一种主站业务系统的功能模块图；

图4为本申请实施例提供的一种量子密钥分发系统的结构示意图；

图5为本申请实施例提供的一种量子密钥移动存储设备的功能模块图；

图6为本申请实施例提供的一种量子密钥管理设备的功能模块图；

图7为本申请实施例提供的一种主站业务系统与配用电终端的连接关系示意图；

图8为本申请实施例提供的一种主站业务系统与配用电终端的连接关系示意图；

图9为本申请实施例提供的一种量子密钥分发方法的流程图。

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

针对配用电终端数量大、分布广、部署环境复杂，为每一台配用电终端配备一台量子密钥生成设备并敷设光纤，则分发成本较高并且不灵活的技术问题，本申请提供了一种量子密钥分发系统，该系统中包括配用电终端、主站业务系统、量子密钥移动存储设备以及量子密钥分发网络，通过利用量子密钥移动存储设备从量子密钥分发网络中拷贝量子密钥，将该拷贝的量子密钥分发给配用电终端，并且，量子密钥分发网络将量子密钥发送给主站业务系统，从而实现了主站业务系统与配用电终端的量子密钥共享，二者可以根据该共享的量子密钥进行通信，保障数据传输的安全性。

通过利用量子密钥分发系统中的移动存储设备拷贝密钥，实现量子密钥分发，即使配用电终端不在密钥分发网络内，也可以借助该移动存储设备实现密钥分发，扩大了量子密钥分发范围，并且，一个量子密钥移动存储设备可以为多个配用电终端分发密钥，降低了密钥分发成本，实现了量子密钥在配用电终端低成本、大规模、灵活分发。

接下来，结合附图对本申请实施例提供的量子密钥分发系统进行介绍。

图1为本申请实施例提供的一种量子密钥分发系统的结构示意图，参见图1，该系统100包括配用电终端10、主站业务系统20、量子密钥移动存储设备30以及量子密钥分发网络40；

所述量子密钥分发网络40包括第一量子密钥下载接口41和第二量子密钥下载接口42；

所述主站业务系统20，用于响应于所述配用电终端10的量子密钥申请请求，向所述量子密钥分发网络40申请量子密钥；

所述量子密钥分发网络40，用于根据所述主站业务系统的申请，向所述第一量子密钥下载接口41和所述第二量子密钥下载接口42下发成对的量子密钥；

所述主站业务系统20，还用于从所述第一量子密钥下载接口41获取申请的量子密钥；

所述量子密钥移动存储设备30，用于从所述第二量子密钥下载接口42获取与所述主站业务系统20申请的量子密钥相对应的量子密钥；

所述配用电终端10，用于从所述量子密钥移动存储设备30获取与所述主站业务系统20申请的量子密钥相对应的量子密钥。

其中，配用电终端包括配电终端和/或用电终端。配电终端是指配电系统中的终端，是安装于配电网现场的各种远方监测、控制单元的总称。配电终端具体可以为配电开关监控终端，也称馈线终端装置(Feeder Terminal Unit，FTU)、配电变压器监测终端(distribution Transformer supervisory Terminal Unit，TTU)、开关站和/或公用及用户配电所的监控终端。用电终端是指用电系统中的终端，是安装于用电网现场的用电设备，包括工业用电设备以及民用用电设备等等。

为了便于理解，本申请还提供了一种配用电终端的功能模块图，请参见图2，配用电终端10中包括四大模块，用于实现读取、存储、使用、管理量子密钥的相关功能，具体如下：

量子密钥接口模块11：与量子密钥移动存储设备30进行交互，完成指令交互以及密钥获取功能；

通信接口模块12：用于与主站业务系统进行通信信道建立和数据收发；

加解密处理模块13：基于量子密钥以及传统密钥，对数据进行加解密操作；

业务处理模块14：完成配用电业务相关处理，设备间认证以及量子密钥管理功能。

对于配用电终端10而言，上述模块可以是配用电终端10的一个子模块，也可以是相对独立的设备。

在一些可能的实现方式中，量子密钥分发系统还包括数据通信网，所述业务主站系统20和所述配用电终端10通过所述数据通信网以及所述量子密钥进行通信。

需要说明的是，业务主站系统20和配用电终端10在利用量子密钥进行通信，传输指令或数据时，可以将利用量子密钥对传输的指令或数据进行加解密，实现业务主站系统20和配用电终端10的安全通信。具体地，业务主站系统20和所述配用电终端10利用所述量子密钥对业务数据加密，将加密数据通过所述数据通信网的通信信道进行传输；与其对应的接收端通过共享的量子密钥对加密数据进行解密，如此实现业务主站系统20和所述配用电终端10的安全通信。

业务主站系统20和配用电终端10在利用量子密钥通信时，也可以利用量子密钥对数据通信网的通信信道进行加密，得到量子保密信道，然后业务主站系统20和配用电终端10利用量子保密信道传输数据，从而实现二者之间的安全通信。

在上述实施例中，主站业务系统20与配用电终端10通过数据通信网进行通信，完成配用电业务汇聚、存储、处理，并向配用电终端发送指令。为了便于理解，本申请实施例还提供了一种主站业务系统的功能模块图，请参见图3，主站业务系统20包括四大功能模块，用于实现包括读取、存储、使用(即加解密处理)、管理量子密钥的相关功能，具体如下：

量子密钥接口模块21：与第一量子密钥下载接口41进行交互，完成指令及信息交互、量子密钥接收功能；

通信接口模块22：用于与配用电终端10进行通信信道建立以及数据收发；

加解密处理模块23：基于量子密钥以及传统密钥，对数据进行加解密操作；

业务处理模块24：完成系统配用电业务处理，配用电终端管理，以及对第一量子密钥下载接口41进行合法性认证，量子密钥管理。

在一些可能的实现方式中，量子密钥分发系统还包括量子密钥管理设备50，具体请参见图4，图4为本申请实施例提供的量子密钥分发系统的一个结构示意图。在该实施例中，所述主站业务系统20与所述配用电终端10通过数据通信网60通信，所述密钥管理设备50与第二量子密钥下载接口42连接，以及与所述量子密钥移动存储设备30连接，用于存储和管理待分发至配用电网络的量子密钥。其中，配用电网络是指配用电终端10形成的网络。

量子密钥移动存储设备30用于实现量子密钥从量子密钥分发网络40边缘向配用电网络各终端设备的分发。为了便于理解，本申请实施例还提供了一种量子密钥移动存储设备的功能模块图，请参见图5，量子密钥移动存储设备30主要包括读取、输出、存储量子密钥的相关功能模块，具体如下：

量子密钥接口模块31：用于与量子密钥管理设备50，以及配用电终端10进行交互，实现量子密钥的读取与输出；

量子密钥处理与存储模块32：用于管理和存储量子密钥，完成设备间认证。

设备间认证包括与配用电终端10的认证以及与量子密钥管理设备50的认证。

在一些可能的实现方式中，所述量子密钥移动存储设备的输出为单向且单次。也即，量子密钥被配用电终端10读取一次后，将在量子密钥移动存储设备30中自动销毁，无法进行二次读取；当量子密钥移动存储设备30与配用电终端10连接时，量子密钥移动存储设备接口为只读接口，无法进行写入操作，防止被读出的量子密钥反向写入。如此，即使量子密钥移动存储设备30不慎遗失，由于该量子密钥移动存储设备30中尚存的量子密钥尚未输出到配用电终端10，即使密钥被非法获取，也不会对配用电业务通信安全造成影响。

本申请实施例还提供了一种量子密钥管理设备的功能模块图，请参见图6，用于集中存储、管理将要分发到配用电网络中的量子密钥，主要包括读取、输出、存储量子密钥的相关功能模块，具体如下：

第一量子密钥接口模块51：与量子密钥分发网络40的第二量子密钥下载接口42通信，实现量子密钥读取；

第二量子密钥接口模块52：与量子密钥移动存储设备30通信，完成设备间认证，以及量子密钥输出；

量子密钥存储及管理模块53：完成设备间认证，管理及存储量子密钥。

其中，量子密钥存储及管理模块53实现的设备间认证包括与第二量子密钥下载接口42的认证，以及与量子密钥移动存储设备30的认证。

进一步地，为了保障密钥分发过程的可靠性，还可以在密钥分发系统的各个设备中安装证书，通过该证书对接入设备的合法性进行验证。具体地，所述量子密钥移动存储设备30、所述配用电终端10、主站业务系统20以及所述量子密钥分发网络的第一量子密钥下载接口41和第二量子密钥下载接口42安装有证书，用于对接入设备合法性进行验证。接入设备可以理解为与当前设备连接的设备。例如，量子密钥移动存储设备30与配用电终端10连接后，量子密钥移动存储设备30通过预先安装的证书对配用电终端10合法性进行验证，配用电终端10通过预先安装的证书对量子密钥移动存储设备30的合法性进行验证。

在该实施例中，在配用电终端10侧部署量子密钥管理设备50，而未在主站业务系统20侧部署量子密钥管理设备50，原因在于：主站业务系统20与第一量子密钥下载接口41的连接关系固定，是一对一的关系，且在整个系统全寿命周期中不会发生变化；而在配用电终端10侧，可能存在多个量子密钥移动存储设备30，存在量子密钥移动存储设备30老设备退出、新设备加入等情况，即第二量子密钥下载接口42与量子密钥移动存储设备可以是一对多的关系，这些量子密钥移动存储设备30均会从量子密钥管理设备50处获取量子密钥，而且同一个量子密钥移动存储设备30可能会从不同的量子密钥管理设备50处读取密钥，为了统一管理量子密钥、量子密钥移动存储设备，因此在配用电终端10侧增加了量子密钥管理设备50。从设备网管层面来看，量子密钥管理设备50能够记录、管理与其交互过的量子密钥移动存储设备30，便于电力相关部门统一进行设备管网。

当然，作为上述实施例的扩展，也可以在主站业务系统20侧也配置量子密钥管理设备50，对分发至业务主站系统20的量子密钥进行存储和管理。

在一些可能的实现方式中，所述量子密钥管理设备50连接一个所述量子密钥移动存储设备30，若为多个所述配用电终端10分发量子密钥，则所述量子密钥移动存储设30通过插拔的方式分别连接所述配用电终端10。具体地，量子密钥移动存储设备30与某一个配用电终端10完成量子密钥交互之后，量子密钥移动存储设备30将从配用电终端10拔出，然后对后续配用电终端10进行量子密钥分发，而不是一直与某一台配用电终端10保持连接。

如果为每一个配用电终端10对应配备一个量子密钥移动存储设备30，假设有N个量子密钥移动存储设备，那么在量子密钥管理设备50处，需要做N次插拔的操作，如果是一个量子密钥移动存储设备，则只需做一次插拔的操作。当N很大时，例如有上万台配用电终端10，配置一个量子密钥移动存储设备执行上述操作的工作量远小于为每一个配用电终端配备一个量子密钥移动存储设备的情况。

可以理解，配用电终端10可能存在量子密钥不足，或存储的量子密钥超过有效期等情况，或者其他原因导致主站业务系统20或配用电终端10需要重新共享量子密钥，如此，配用电终端10或者主站业务系统还可以发起量子密钥更新请求，从而重新共享量子密钥。

在配用电终端10与主站业务系统20实现量子密钥共享后，有两种实现加密通信的方式，根据具体实现方式不同，各个模块间的关系及功能可以形成不同的形式。

图7为本申请实施例提供的主站业务系统与配用电终端功能模块连接关系示意图，如图7所示，量子密钥接口21、11分别通过接口1001、1006从第一量子密钥下载接口41、量子密钥移动存储设备30获取量子密钥。

对于主站业务系统20的业务处理模块24，包含了三大功能，一是配用电业务数据处理，即通过内部接口1003、1004与通信接口22、加解密处理模块23交互，完成业务数据加解密和数据通信；二是量子密钥处理，即通过内部接口1002、1004与量子密钥接口21、加解密处理模块23交互，完成对量子密钥的申请、管理及存储；三是设备认证，即通过内部接口1002，以及外部接口1001完成对第一量子密钥下载接口41的设备间认证。

同理，对于配用电终端10的业务处理模块14，包含了三大功能，一是配用电业务数据处理，即通过内部接口1008、1009与通信接口12、加解密处理模块13交互，完成业务数据加解密和数据通信；二是量子密钥处理，即通过内部接口1007、1009与量子密钥接口11、加解密处理模块13交互，完成对量子密钥的申请、管理及存储；三是设备认证，即通过内部接口1007，以及外部接口1006完成对量子密钥移动存储设备30的设备间认证。

此外，通信接口22和12通过1005实现主站业务系统20和配用电终端10之间的数据、指令等交互。

本申请实施例还提供了主站业务系统与配用电终端功能模块连接关系的另一实现方式，请参见图8，其他模块和内/外接口与图7一样，基于业务处理模块24、14，派生出来业务处理模块241、141，以及协处理模块242、142，同时，增加上述业务处理模块与协处理模块之间的通信通道1103、1107。派生出来的协处理模块242，完成量子密钥处理(包括量子密钥申请、读取、存储、管理，以及数据加解密)、设备间认证处理等功能，业务处理模块241、141功能与现有部署的(未使用量子保密通信技术)的配用电主站及终端一致，仅针对业务层面的数据进行汇聚、处理，或接收/下发指令等。

图7所示实现方式的优点是集成度相对较高，能够对业务数据直接进行量子加解密处理，减小设备总体积和成本。而在图8所示实现方式中，能够对配用电网络中已经部署但不具备量子保密通信功能的存量终端提供一个升级改造的简便方法，即，保留现有的配用电业务终端不变(即241和141是原有设备已有的业务处理模块)，通过外加整套独立装置1104、1108来实现量子密钥加密。数据在原有设备处理模块141中完成相应处理后，通过设备原有的输出接口，输出到1108中进行量子加密相关操作，再通过1005传输到对端1104，进行相应的解密操作，再输出到原有设备的处理模块241中，形成一个完整的量子传输通道加解密过程。由241发起，141接收的过程反之亦然。1104、1108是可以单独的一套设备。

图8所示实现方式可以看作是对传输通道的量子加密防护，即在原有通信网络的两端，进入原有主站业务系统20/配用电终端10之前，增加了量子保密通信设备；图7所示实现方式可以看作是对业务数据的直接量子加密防护。具体来说，对于图7所示实现方式，通过业务处理模块24、14，可以建立主站和终端之间的通信通道，是直接对业务数据进行加解密；对于图8所示实现方式，通过协处理242、142建立起了一个新的(量子保密)通信通道，而对于原有部署的设备241、141建立起的通道，是利用242、142建立起的量子保密通道在这个原有通道上额外加了一个量子保密的外壳，虽然提高了系统复杂度，但能够在已有部署设备上通过外加装置的方式进行简单升级。

由上可知，本申请实施例提供了一种量子密钥分发系统，该系统中包括配用电终端、主站业务系统、量子密钥移动存储设备以及量子密钥分发网络，通过利用量子密钥移动存储设备从量子密钥分发网络中拷贝量子密钥，将该拷贝的量子密钥分发给配用电终端，并且，量子密钥分发网络将量子密钥发送给主站业务系统，从而实现了主站业务系统与配用电终端的量子密钥共享，二者可以根据该共享的量子密钥进行通信，保障数据传输的安全性。

利用量子密钥分发系统中的移动存储设备拷贝密钥，实现量子密钥分发，即使配用电终端不在密钥分发网络内，也可以借助该移动存储设备实现密钥分发，扩大了量子密钥分发范围，并且，一个量子密钥移动存储设备可以为多个配用电终端分发密钥，降低了密钥分发成本，实现了量子密钥在配用电终端低成本、大规模、灵活分发。

以上为本申请实施例提供的一种量子密钥分发系统的具体实现方式，基于该量子密钥分发系统，本申请还提供了一种量子密钥分发方法，下面将结合附图，对本申请实施例提供的量子密钥分发方法进行介绍。

图8为本申请实施例提供的量子密钥分发方法的流程图，该方法应用于上述实施例提供的量子密钥分发系统，参见图8，该方法包括：

S901：接收与主站业务系统申请的量子密钥相对应的量子密钥。

其中，所述与主站业务系统申请的量子密钥相对应的量子密钥为主站业务系统响应于所述配用电终端的量子密钥申请请求，向所述量子密钥分发网络申请量子密钥，所述量子密钥分发网络通过第二量子密钥下载接口下发的，所述量子密钥分发网络还通过第一量子密钥下载接口下发量子密钥至所述主站业务系统，以实现所述主站业务系统和所述配用电终端的量子密钥共享。

在具体实现时，量子密钥移动存储设备接收与主站业务系统申请的量子密钥相对应的量子密钥，以便将该量子密钥通过拷贝方式分发给配用电终端，使得配用电终端与主站业务系统利用共享的量子密钥进行通信。

S902：向所述配用电终端发送所述与主站业务系统申请的量子密钥相对应的量子密钥。

量子密钥移动存储设备向配用电终端发送所述与主站业务系统申请的量子密钥相对应的量子密钥，实现量子密钥分发。在具体实现时，量子密钥移动存储设备可以通过USB接口等方式向配用电终端发送量子密钥。

在一些可能的实现方式中，量子密钥移动存储设备对接入设备进行合法性验证。例如，当量子密钥移动存储设备与第二量子密钥下载接口连接时，还可以进行量子密钥移动存储设备与第二量子密钥下载接口的合法性验证。又例如，当量子密钥移动存储设备与配用电终端连接时，还可以进行量子密钥移动存储设备与配用电终端的合法性验证。

可以理解的是，量子密钥分发系统还可以包括量子密钥管理设备；则量子密钥移动存储设备接收与主站业务系统申请的量子密钥相对应的量子密钥具体可以为从量子密钥管理设备接收与主站业务系统申请的量子密钥相对应的量子密钥。在接收之前，量子密钥移动存储设备还可以与量子密钥管理设备之间进行合法性验证。

由上可知，本申请实施例提供了一种量子密钥分发方法，该方法基于上述实施例中的量子密钥分发系统实现量子密钥分发，具体地，通过利用量子密钥分发系统中的移动存储设备拷贝密钥，实现量子密钥分发，即使配用电终端不在密钥分发网络内，也可以借助该移动存储设备实现密钥分发，扩大了量子密钥分发范围，并且，一个量子密钥移动存储设备可以为多个配用电终端分发密钥，降低了密钥分发成本，实现了量子密钥在配用电终端低成本、大规模、灵活分发。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

应当理解，在本申请中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：只存在A，只存在B以及同时存在A和B三种情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”，其中a，b，c可以是单个，也可以是多个。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。