基于数字证书的量子密钥分发系统

本申请涉及网络安全技术领域，特别是涉及一种基于数字证书的量子密钥分发系统。

量子密钥分发是利用量子力学特性来保证通信的安全，它使通信的双方能够产生并分享一个随机的、安全的密钥，来加密和解密消息。在用户安全接入、企业和分支机构之间的组网、互联金融网点接入和电力纵向网络接入的通信中，通过公钥算法分配的密钥可实现加密通信。

但是，一些场景并不支持某些密钥算法、不符合相关规范，且不提供密钥的产生、安全管理、数据包的加密运算和解密运算服务，若是量子密钥被第三方窃听密码，通信双方很难察觉，使加密通信存在一定的安全隐患；若是不法分子侵入，会造成数据证书申请信息的泄露。

基于此，有必要针对上述技术问题，提供一种基于数字证书的量子密钥分发系统。

一种基于数字证书的量子密钥分发系统，所述系统包括：

初始验证模块，用于在用户向介入局域网发出登录请求时，获取所述用户的数字证书申请认证信息；

实名模块，用于对所述数字证书申请认证信息进行核验，若所述核验的结果表征所述用户首次进入所述介入局域网，则通过自动提示模块提示所述用户安装根CA证书；

CA中心模块，用于将所述数字证书申请认证信息发给密钥分发模块；

密钥分发模块，用于基于所述数字证书申请认证信息，通过量子密钥生成终端生成时间相位型量子密钥，并将所述时间相位型量子密钥进行读取和安全存储，通过在线分发或离线传输将所述时间相位型量子密钥输出到所述介入局域网进行加密。

在其中一个实施例中，所述数字证书申请认证信息是经数字证书认证网传输的。

在其中一个实施例中，所述实名模块，还用于若所述核验的结果表征所述用户非首次进入所述介入局域网，则确认所述用户遗失根CA证书并通过手动模块提示所述用户手动安装根CA证书。

在其中一个实施例中，所述手动模块，用于指示用户在数字证书认证网上选择“根CA证书”进行安装，并根据弹出的对话框所选择要安装的文件夹位置，在点击确定后完成安装，并在浏览器中直接选择因特网并选择所需内容，依提示完成所有操作。

在其中一个实施例中，所述CA中心模块，还用于对数字证书认证网上传输的数字证书申请认证信息进行加密、解密、数字签名与签名认证。

在其中一个实施例中，所述初始验证模块包括登录单元和申请单元；

所述登录单元，用于接收用户向介入局域网发出登录请求；

所述申请单元，用于获取所述用户的数字证书申请认证信息。

在其中一个实施例中，所述密钥分发模块包括密钥生成单元、密钥读取单元、密钥存储单元和密钥分发单元。

在其中一个实施例中，

所述密钥生成单元，用于通过在线或离线的交互协商方式生成密钥的算法；

所述密钥读取单元和密钥存储单元，用于对所述时间相位型量子密钥进行读取和安全存储；

所述密钥分发单元，用于通过在线分发和离线传输将所述时间相位型量子密钥输出到所述介入局域网进行加密。

在其中一个实施例中，所述介入局域网包括服务器和加密模块。

在其中一个实施例中，所述密钥分发模块连接有计算机和打印机，所述计算机和打印机之间通过导线通讯连接；所述计算机依据打印内容向打印机发出指令；打印机接受到打印指令后，通过数据线读取计算机需要打印的文档内容进行打印；所述密钥分发模块至少设置有两组，所述密钥分发模块通过介入局域网与所述初始验证模块交互数据。

上述基于数字证书的量子密钥分发系统中，通过介入局域网、CA中心模块和密钥分发模块的配合使用，实现更安全的加密通信，且通过密钥分发模块中的密钥生成、读取、存储和分发等多项身份认证来增加通信的安全性；通过将量子密钥分发网络与数字证书网络结合，即使第三方窃听密码，通信的双方便会察觉，并产生具有安全保障的密钥，实现适用于不同场所的量子保密通讯网络，为数据传输提供更强的安全防护能力。CA中心模块可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理，同时也能保障在数字传输的过程中不被不法分子所侵入，或者即使受到侵入也无法查看其中的内容，进而可以避免数据证书申请信息的泄露，提高了数字证书存储和传输过程中的安全性。

图1为一个实施例中基于数字证书的量子密钥分发系统的架构示意图；

图2为一个实施例中初始验证模块的示意图；

图3为一个实施例中CA中心模块的示意图；

图4为一个实施例中基于数字证书的量子密钥分发方法的流程示意图；

图5为一个实施例中计算机设备的内部结构图。

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本申请所描述的实施例可以与其它实施例相结合。

本申请提供一种基于数字证书的量子密钥分发系统，如图1所示，该系统包括初始验证模块、实名模块、CA(Certification Authority)中心模块和密钥分发模块。

其中，初始验证模块用于在用户向介入局域网发出登录请求时，获取所述用户的数字证书申请认证信息。

对用户来说，介入局域网是用户想要介入本地服务器的局域网。具体地，如图2所示，初始验证模块可以包括登录单元和申请单元，登录单元用于接收用户向介入局域网发出登录请求，申请单元用于获取用户的数字证书申请认证信息。

实名模块，用于对所述数字证书申请认证信息进行核验，若所述核验的结果表征所述用户首次进入所述介入局域网，则通过自动提示模块提示所述用户安装根CA证书；该根CA证书是用于负责签发数字证书、认证数字证书及管理已颁发的数字证书。

CA中心模块，用于将所述数字证书申请认证信息发给密钥分发模块。CA中心模块还可以接收自动提示模块上传的用户首次核验实名信息。

在颁发数字证书之前需用户对自己的身份信息进行实名验证，用户所实名的数字证书当中包含了用户基本信息及公钥信息，部分还会附上经认证中心签名的相关信息，因此，CA中心模块可以对互联网上所传输的各种信息进行加密、解密再存储，经数字签名与签名认证等各种处理(如图3所示)，同时也能保障在数字传输的过程中不被不法分子所侵入，或者即使受到侵入也无法查看其中的内容，进而可以避免数据证书申请认证信息的泄露，提高了数字证书存储和传输过程中的安全性。

在获得数字证书后，用户通过数字证书实施一些自己想要实施的活动。但每个数字证书都是不同的，且每个证书的可信度也存在一定差异，因此，用户端所获得的数字证书都是唯一的。

密钥分发模块，用于基于所述数字证书申请认证信息，通过量子密钥生成终端生成时间相位型量子密钥，并将所述时间相位型量子密钥进行读取和安全存储，通过在线分发或离线传输将所述时间相位型量子密钥输出到所述介入局域网进行加密。

该系统中，通过介入局域网、CA中心模块和密钥分发模块的配合使用，实现更安全的加密通信，且通过密钥分发模块中的密钥生成、读取、存储和分发等多项身份认证来增加通信的安全性；通过将量子密钥分发网络与数字证书网络结合，即使第三方窃听密码，通信的双方便会察觉，并产生具有安全保障的密钥，实现适用于不同场所的量子保密通讯网络，为数据传输提供更强的安全防护能力。CA中心模块可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理，同时也能保障在数字传输的过程中不被不法分子所侵入，或者即使受到侵入也无法查看其中的内容，进而可以避免数据证书申请信息的泄露，提高了数字证书存储和传输过程中的安全性。

其中，数字证书申请认证信息是经数字证书认证网传输的，保证数字证书申请认证信息传输的安全性。

在其中一个实施例中，所述实名模块，还用于若所述核验的结果表征所述用户非首次进入所述介入局域网，则确认所述用户遗失根CA证书并通过手动模块提示所述用户手动安装根CA证书。

该实例中，如果用户不是首次进入介入局域网，那么该用户可能遗失根CA证书，此时可以通过手动模块提示用户手动安装该根CA证书，保证根CA证书的正常安装。

进一步地，所述手动模块，用于指示用户在数字证书认证网上选择“根CA证书”进行安装，并根据弹出的对话框所选择要安装的文件夹位置，在点击确定后完成安装，并在浏览器中直接选择因特网并选择所需内容，依提示完成所有操作。

上述方式中，用户在数字证书认证网上进行手工安装，可以保证安装的安全性；并且，用户直接与设备交互即可完成手动安装，提高安装效率。

在其中一个实施例中，所述CA中心模块，还用于对数字证书认证网上传输的数字证书申请认证信息进行加密、解密、数字签名与签名认证。

在其中一个实施例中，所述密钥分发模块包括密钥生成单元、密钥读取单元、密钥存储单元和密钥分发单元。

进一步地，所述密钥生成单元，用于通过在线或离线的交互协商方式生成密钥的算法；所述密钥读取单元和密钥存储单元，用于对所述时间相位型量子密钥进行读取和安全存储；所述密钥分发单元，用于通过在线分发和离线传输将所述时间相位型量子密钥输出到所述介入局域网进行加密。

更进一步地，所述介入局域网包括服务器和加密模块，对应地，所述密钥分发单元，用于通过在线分发和离线传输将所述时间相位型量子密钥输出到该服务器，该服务器利用加密模块进行加密。

上述方式中，密钥分发模块通过介入局域网与初始验证模块交互数据，并通过量子密钥生成终端生成时间相位型量子密钥，实现点对点的量子密钥协商与量子分发，实现更安全的加密通信。

在其中一个实施例中，所述密钥分发模块连接有计算机和打印机，所述计算机和打印机之间通过导线通讯连接；所述计算机依据打印内容向打印机发出指令；打印机接受到打印指令后，通过数据线读取计算机需要打印的文档内容进行打印；所述密钥分发模块至少设置有两组，所述密钥分发模块通过介入局域网与所述初始验证模块交互数据。优选地，密钥分发模块至少设置为5组。

本实施例提供一种基于数字证书的量子密钥分发方法，如图4所示，包括如下步骤：

步骤S401：开始数字认证；

步骤S402：介入本地服务器的局域网内；

步骤S403：用户通过发送数字证书申请信息申请注册登录，核对用户身份并进行身份实名认证，若是首次安装，系统会自动提示用户安装根证书，CA中心对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证；若是未提示或根证书遗失，则需用户手动操作完成安装；

步骤S404：量子密钥通信的双方能够为用户颁发并分享一个随机的、安全的密钥，并通过在线分发或离线传输的方式将量子密钥输出到介入局域网并加密；

步骤S405：如果有第三方试图窃听密码，则通信的双方便会察觉；

步骤S406：通过量子叠加态或量子纠缠态来传输信息，通信系统便可以检测是否存在窃听，当窃听低于一定标准，可以产生一个有安全保障的密钥。

本实施通过服务器局域网、数据证书模块和密钥分发模块的配合使用，实现更安全的加密通信。并且，通过密钥分发模块中的密钥生成、读取、存储和分发等多项身份认证来增加通信的安全性。另外，通过将量子密钥分发网络与数字证书网络结合，即使第三方窃听密码，通信的双方便会察觉，并产生具有安全保障的密钥，实现适用于不同场所的量子保密通讯网络，为数据传输提供更强的安全防护能力。

本实施例CA中心可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理，同时也能保障在数字传输的过程中不被不法分子所侵入，或者即使受到侵入也无法查看其中的内容，进而可以避免数据证书申请信息的泄露。

综上，本发明通过服务器局域网、数据证书模块和密钥分发模块的配合使用，实现更安全的加密通信，且通过密钥分发模块中的密钥生成、读取、存储和分发等多项身份认证来增加通信的安全性；通过将量子密钥分发网络与数字证书网络结合，即使第三方窃听密码，通信的双方便会察觉，并产生具有安全保障的密钥，实现适用于不同场所的量子保密通讯网络，为数据传输提供更强的安全防护能力。

本申请的CA中心模块可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理，同时也能保障在数字传输的过程中不被不法分子所侵入，或者即使受到侵入也无法查看其中的内容，进而可以避免数据证书申请信息的泄露，提高了数字证书存储和传输过程中的安全性。

本申请还提供一种基于数字证书的量子密钥分发系统，如图1所示，包括：初始验证模块，该初始验证模块由登录单元和申请单元组成，在用户通过登录单元向介入局域网发出登录请求时，申请单元对数字证书的申请进行认证；实名模块，用于核验实名信息完毕的信号消息，并将处理结果经自动提示模块与手动模块处理后回传给用户；CA中心模块，用于将用户信息处理结果发送至密钥分发模块进行密钥分发，同时接收自动提示模块上传的用户首次核验实名信息。

本实施例通过介入局域网、CA中心模块和密钥分发模块的配合使用，实现更安全的加密通信，且通过密钥分发模块中的密钥生成、读取、存储和分发等多项身份认证来增加通信的安全性；通过将量子密钥分发网络与数字证书网络结合，即使第三方窃听密码，通信的双方便会察觉，并产生具有安全保障的密钥，实现适用于不同场所的量子保密通讯网络，为数据传输提供更强的安全防护能力。CA中心模块可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理，同时也能保障在数字传输的过程中不被不法分子所侵入，或者即使受到侵入也无法查看其中的内容，进而可以避免数据证书申请信息的泄露，提高了数字证书存储和传输过程中的安全性。

应该理解的是，虽然图4的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图4中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

在其中一个实施例中，提供了一种计算机设备，其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储基于数字证书的量子密钥分发方法的相关数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述实施介绍的步骤。

本领域技术人员可以理解，图5中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在其中一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现上述各个实施例中的步骤。

在其中一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述各个实施例中的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，上述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory，ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic Random Access Memory，DRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上的实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。