一种多路径密钥中继方法、量子密钥分发设备及系统与流程

1.本发明属于量子密码网络的加密通信技术领域，具体涉及一种多路径密钥中继方法、量子密钥分发设备及系统。


背景技术：

2.本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。
3.网络终端通过密钥中继获得共享密钥，利用共享密钥加密数据是目前量子密码网络实现量子密钥加密通信的主要方式之一。目前单路径中继路由是实现密钥中继的主要方法。
4.单路径中继路由的一般方法为，首先通过拓扑更新方法，每个密钥中继节点获得用于确定密钥中继路由路径的网络拓扑，然后中继节点利用网络拓扑计算本中继节点到目的节点的最短路由路径，将本节点的中继密钥数据使用与下一个节点共享的量子密钥加密发送给下一个节点，下一个节点收到加密数据后解密获得中继密钥数据。
5.单路径中继路由的缺陷在于，中继密钥数据暴露于每个中继节点，中继密钥的安全性过分依赖中继节点的安全性，即密钥中继的路由过程中路由路径上的任一中继节点不安全，则中继密钥就会变的不安全。另外，与经典网络数据路由一样，密钥中继路由也同样会存在中继路径的拥塞问题。单路径中继路由算法无法达到或接近网络密钥中继的最大吞吐量。
6.随着量子密码网络的建设和发展，其网络结构日趋复杂，其多连通性越来越好，单路径中继路由不能充分利用当前的网络环境，不能充分提高网络在密钥中继方面的吞吐量和提高密钥中继速度。
7.因此，很多研究者的目光都转入了多路径中继上，但是，据发明人了解，目前的多路径中继路由并不能同时兼顾密钥中继的安全性和增加密钥中继量两方面的要求。以文献号为cn 105827397 a的专利为例进行说明，其公开了基于可信中继的量子密钥分发系统、方法及装置，该专利方案在路由设备彼此连接形成网状拓扑的基础上，在发送方量子密钥分发设备与接收方量子密钥分发设备之间多路径地进行密钥协商，并采用预先设定的策略确定是否需要对所述多路径协商得到的共享密钥进行合并，并执行相应的合并操作。但该专利方案不能同时兼顾密钥中继的安全性和增加密钥中继量两方面，或者为了增加安全性通过密钥异或运算消耗降低了实际生成的密钥量，或者通过多路径密钥中继增加了中继密钥量却忽视了个别中继节点的不可信对密钥中继造成的不安全性。


技术实现要素：

8.本发明为了解决上述问题，提出了一种多路径密钥中继方法、量子密钥分发设备及系统，本发明能够同时提高密钥中继的安全性和密钥中继速度。
9.根据一些实施例，本发明采用如下技术方案：
10.本发明的第一目的是提供一种多路径密钥中继方法，旨在利用快速傅里叶变换，将多路径中继的密钥通过卷积运算进行充分混合，即使攻击者通过攻击部分中继路径获得部分中继密钥，也很难获取密钥数据中的部分密钥信息，保证了密钥中继的安全性，同时，快速傅里叶变换运算增加了卷积运算的速度，加快了生成密钥的计算速度。能够获得兼顾密钥中继的安全性、密钥中继速度、中继密钥量的效果。
11.一种多路径密钥中继方法，包括以下步骤：
12.选择不同的多条路径进行密钥中继，将多条路径的中继密钥数据通过卷积运算进行混合；
13.在hmac运算过程中加入预先协商的安全密钥，生成共享密钥。
14.作为可选择的实施方式，选择不同的多条路径进行密钥中继的具体过程包括：选择没有共同中继节点的多条密钥中继路径，分别获得相应的中继密钥，各个中继密钥等长。
15.作为可选择的实施方式，将多条路径的中继密钥数据通过卷积运算进行混合的具体过程包括：对各个中继密钥数据进行顺序连接，生成密钥数据，对密钥数据进行快速傅里叶变换。
16.作为可选择的实施方式，对密钥数据进行快速傅里叶变换的具体过程包括：
17.对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换；
18.产生或接收随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换；
19.将两次长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换；
20.从逆快速傅里叶变换结果中取出一部分数据作为最终密钥。
21.作为可选择的实施方式，在hmac运算过程中加入预先协商的安全密钥的具体过程包括：对快速傅里叶变换生成的数据进行划分，将其划分为与预设的hmac运算结果数据长度相同的若干数据，对每一个所划分的数据进行关于安全密钥的hmac运算。
22.作为可选择的实施方式，生成共享密钥的具体过程包括：源节点与目的节点分别将得到的hmac运算结果按照相同的顺序相连接，得到共享密钥。
23.更为具体的：
24.一种多路径密钥中继方法，从源节点端进行描述，包括以下步骤：
25.与目的节点协商安全密钥；
26.选择多条路径进行密钥中继；
27.对所述多条路径的中继密钥数据，按照与目的节点相同的次序进行连接运算，生成密钥数据；
28.对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据；
29.将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一个所划分的数据进行关于安全密钥的hmac运算；
30.将得到的hmac运算结果按照与目的节点相同的顺序相连接，生成共享密钥。
31.作为可选择的实施方式，协商安全密钥的具体过程包括：源节点选择没有共同中继节点的多条密钥中继路径，分别获得相应的中继密钥，各个密钥等长。
32.作为可选择的实施方式，对密钥数据进行快速傅里叶变换的具体过程包括：
33.对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换；
34.产生随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换，将随机数发送至目的节点；
35.将两次长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换；
36.从逆快速傅里叶变换结果中取出一部分数据作为所述第二数据。
37.一种多路径密钥中继方法，从目的节点端进行描述，包括以下步骤：
38.与源节点协商安全密钥；
39.获取源节点选择的多条密钥中继路径；
40.对所述路径的中继密钥数据，按照与源节点相同的次序进行连接运算，生成密钥数据；
41.对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据；
42.将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一个所划分的数据进行关于安全密钥的hmac运算；
43.将得到的hmac运算结果按照与源节点相同的顺序相连接，生成共享密钥。
44.作为可选择的实施方式，对密钥数据进行快速傅里叶变换的具体过程包括：
45.对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换；
46.接收源节点发送的随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换；
47.将两次长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换；
48.从逆快速傅里叶变换结果中取出一部分数据作为所述第二数据。
49.一种多路径密钥中继方法，包括以下步骤：
50.源节点与目的节点协商安全密钥；
51.源节点选择多条路径进行密钥中继；
52.源节点和目的节点分别对所述多条路径的中继密钥数据，按照相同的次序进行连接运算，生成密钥数据；
53.源节点和目的节点分别对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据；
54.源节点和目的节点分别将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一组所划分的数据进行关于安全密钥的hmac运算；
55.源节点和目的节点分别将得到的hmac运算结果按照相同的顺序连接，生成共享密钥。
56.作为可选择的实施方式，协商安全密钥的具体过程包括：源节点选择没有共同中继节点的多条密钥中继路径，分别获得相应的中继密钥，各个密钥等长。
57.作为可选择的实施方式，对密钥数据进行快速傅里叶变换的具体过程包括：
58.源节点对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换；目的节点也进行相同的变换；
59.源节点产生随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换；源节点将随机数发送至目的节点，目的节点也进行相同的变换；
60.源节点和目的节点分别将两次长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换；
61.源节点和目的节点分别从逆快速傅里叶变换结果中取出一部分数据作为所述第二数据。
62.作为进一步限定的实施方式，目的节点和源节点对多路径中继密钥进行变换处理时，保持随机数不变。
63.作为进一步限定的实施方式，进行扩充长度的方式为末尾补零。
64.作为可选择的实施方式，所述hmac运算为hmac-md5。
65.本发明的第二目的是提供一种量子密钥分发设备，该设备通过上述密钥中继方法与对端量子密钥分发设备进行量子密钥协商，得到共享密钥。
66.一种量子密钥分发设备，包括处理器和计算机可读存储介质，处理器用于实现各指令；计算机可读存储介质用于存储多条指令，所述指令适于由处理器加载并执行所述的一种多路径密钥中继方法中的步骤。
67.一种量子密钥分发设备，包括：
68.用于选择不同的多条路径进行密钥中继，将多条路径的中继密钥数据通过卷积运算进行混合的模块；
69.用于在hmac运算过程中加入预先协商的安全密钥，生成共享密钥的模块。
70.一种量子密钥分发设备，包括：
71.用于进行协商安全密钥的第一模块；
72.用于对多条密钥中继路径的中继密钥数据进行连接运算，生成密钥数据的第二模块；
73.用于对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据的第三模块；
74.用于将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一个所划分的数据进行关于安全密钥的hmac运算的第四模块；
75.用于将得到的hmac运算结果按照与对端相同的顺序进行连接，生成共享密钥的第五模块。
76.作为可选择的实施方式，所述第三模块包括：
77.用于对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换的模块；
78.用于产生或接收随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换的模块；
79.用于将两次长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换的模块；
80.用于从逆快速傅里叶变换结果中取出一部分数据作为所述第二数据的模块。
81.本发明的第三目的是提供一种密钥分发系统，该系统利用量子密钥分发设备、路由设备和数据设备，实现多路径的密钥分发与数据交互，且能够兼顾密钥中继的安全性、密钥中继速度、中继密钥量。
82.一种密钥分发系统，包括若干量子密钥分发设备、路由设备和数据设备，其中，每个量子密钥分发设备至少连接有两个路由设备，每个量子密钥分发设备至少连接有一个数据设备，且各个路由设备彼此连接形成网络拓扑结构；
83.所述量子密钥分发设备用于选择不同的多条路径进行密钥中继，将多条路径的中继密钥数据通过卷积运算进行混合；在hmac运算过程中加入预先协商的安全密钥，生成共享密钥。
84.一种密钥分发系统，包括若干量子密钥分发设备、路由设备和数据设备，其中，每个量子密钥分发设备至少连接有两个路由设备，每个量子密钥分发设备至少连接有一个数据设备，且各个路由设备彼此连接形成网络拓扑结构；
85.所述量子密钥分发设备用于与对端量子密钥分发设备协商安全密钥，采用不同的多条路径与对端量子密钥分发设备进行密钥中继，对各条路径的中继密钥数据，按照相同的次序进行连接运算，生成密钥数据，对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据，将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一组所划分的数据进行关于安全密钥的hmac运算，将得到的hmac运算结果按照与对端量子密钥分发设备相同的顺序进行连接，生成共享密钥。
86.作为可选择的实施方式，所述多条路径是指多条没有共同中继节点的路径。
87.作为可选择的实施方式，所述量子密钥分发设备还用于接收对端量子密钥分发设备发送的不同路径以及随机数。
88.作为可选择的实施方式，所述路由设备用于中继密钥和转发加密数据，也用于接收量子密钥分发设备发送的路径。
89.作为可选择的实施方式，所述各个路径的中继密钥等长。
90.作为可选择的实施方式，所述量子密钥分发设备还用于对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换。
91.作为可选择的实施方式，所述量子密钥分发设备还用于产生或接收随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换。
92.作为可选择的实施方式，所述量子密钥分发设备还用于将密钥数据长度扩充的结果和随机数数据长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换。
93.作为可选择的实施方式，所述量子密钥分发设备还用于从逆快速傅里叶变换结果中取出一部分数据作为所述第二数据。
94.作为进一步限定的实施方式，所述量子密钥分发设备被配置为对多路径中继密钥进行变换处理时，保持随机数不变。
95.作为进一步限定的实施方式，所述量子密钥分发设备通过末尾补零的方式进行扩充长度。
96.与现有技术相比，本发明的有益效果为：
97.本发明相对于采用单路径中继路由进行密钥中继的方法，通过多路径密钥中继，充分利用了网络资源，提升了密钥中继的吞吐量；
98.本发明利用快速傅里叶变换，多路径中继密钥数据的卷积运算充分混合了各个密钥中继路径的中继密钥数据，提高了卷积运算的速度，加快了最终密钥的生成速度，保证增加中继密钥量；
99.本发明在hmac运算过程中加入了新的密钥信息，使得攻击者无法获知安全密钥的信息，更无法获知最终密钥信息，增加了中继密钥的安全性。
100.为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合
所附附图，作详细说明如下。
附图说明
101.构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。
102.图1为实施例一的多路径密钥中继方法流程示意图；
103.图2为实施例六的量子密钥分发设备结构示意图；
104.图3为实施例七的密钥分发系统结构示意图。
具体实施方式：
105.下面结合附图与实施例对本发明作进一步说明。
106.应该指出，以下详细说明都是例示性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
107.需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
108.正如背景技术中所述的，现有技术存在以下缺陷：
109.单路径中继路由中继密钥的安全性过分依赖于中继节点安全性；单路径中继路由不能充分利用当前的网络环境，不能充分提高网络在密钥中继方面的吞吐量和提高密钥中继速度。
110.目前的多路径中继不能同时兼顾密钥中继的安全性和增加密钥中继量两方面。
111.为此，本发明提出一种基于fft(快速傅里叶变换)和hmac(密钥相关的哈希运算消息认证码)的多路径密钥中继方法、设备及系统，用于同时提高密钥中继的安全性和密钥中继速度。
112.下面以不同的实施例进行描述。
113.实施例一：
114.如图1所示，一种多路径密钥中继方法，用于同时提高密钥中继的安全性和密钥中继速度，包括以下步骤：
115.步骤1)密钥中继的源节点(或初始节点，下同)和目的节点协商一个安全密钥k；
116.步骤2)源节点选择多条路径进行密钥中继；
117.步骤3)源节点和目的节点分别对所述多条路径的中继密钥数据按照相同的次序进行连接运算，生成密钥数据为r；
118.步骤4)源节点和目的节点分别对数据r进行fft，生成跟原数据等长的数据r’；
119.步骤5)选择一种hmac运算，该hmac运算结果的数据长度为lbit，源节点和目的节点将r’划分为lbit的若干数据，使用选择的hmac运算，分别对每一个所划分的数据进行关于安全密钥k的hmac运算；
120.步骤6)源节点和目的节点分别按照相同的顺序连接hmac运算结果，生成共享密
钥。
121.其中，步骤1)中，源节点和目的节点协商安全密钥k的方法为：源节点选择没有共同中继节点的密钥中继路径k条(k》1)，分别获得中继密钥k0、k1、
…
、k
k-1
，各个密钥等长，可以令k＝md5(k0^k1^
…
^k
k-1
)，即先将各个中继密钥k0、k1、
…
、k
k-1
进行异或，再将所得到的异或值进行md5运算，得到的散列值为k。
122.本实施例中，步骤4)的详细过程为：
123.a)假设r的长度为n，即r＝(r0，r1，r2，
…
，r
n-1
)，其中ri∈{0，1}，i＝0，1，2，
…
，n-1，源节点将r通过末尾补0的方式扩充长度至3n-2，即ra＝(r0，r1，r2，
…
，r
n-1
，0，0，
…
，0)，对ra进行fft变换；目的节点也进行相同的变换；
124.b)源节点产生长度为(2n-1)的随机数t，即t＝(t0，t1，t2，
…
，t
2n-2
)，其中tj∈{0，1}，j＝0，1，2，
…
，2n-2，同样通过末尾补0的方式扩充长度至(3n-2)，即t’＝(t0，t1，t2，
…
，t
2n-2
，0，0，
…
，0)，对t’进行fft变换；源节点将t发送至目的节点，目的节点也进行相同的变换；
125.c)源节点和目的节点分别将步骤a)与步骤b)的结果进行对位相乘，对乘出的结果做逆fft变换；
126.d)源节点和目的节点分别从步骤c)的结果中取出第(n-1)位到第(2n-2)位作为最终密钥r’。
127.上述步骤b)中源节点将t发送至目的节点，只需要发送一次即可，目的节点和源节点对多路径中继密钥进行变换处理时，保持t不变即可。
128.通过步骤4)，将多路径中继的密钥通过卷积运算进行充分混合，即使攻击者通过攻击部分中继路径获得部分中继密钥，也很难获取r’中的部分密钥信息，同时，通过fft运算增加了卷积运算的速度，加快了生成密钥的计算速度。
129.本实施例中，在步骤5)中所选择的hmac运算可以为hmac-md5，hmac-md5运算结果为512bit，将r’中的数据划分为每512bit一组，对每组数据使用密钥k做hmac运算。由于攻击者无法获知k的信息，所以也无法获知最终生成的密钥信息。
130.实施例二：
131.在实施例一中，以源节点和目的节点双方执行步骤进行描述。本实施例从源节点端进行描述，一种多路径密钥中继方法，包括以下步骤：
132.与目的节点协商安全密钥；
133.选择多条路径进行密钥中继；
134.对所述多条路径的中继密钥数据，按照与目的节点相同的次序进行连接运算，生成密钥数据；
135.对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据；
136.将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一个所划分的数据进行关于安全密钥的hmac运算；
137.将得到的hmac运算结果按照与目的节点相同的顺序相连接，生成共享密钥。
138.在本实施例中，协商安全密钥的具体过程包括：源节点选择没有共同中继节点的多条密钥中继路径，分别获得相应的中继密钥，各个密钥等长，可以将各个中继密钥进行异或，再将所得到的异或值进行散列运算得到所述安全密钥。
139.在本实施例中，对密钥数据进行快速傅里叶变换的具体过程包括：
140.对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换；
141.产生随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换，将随机数发送至目的节点；
142.将两次长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换；
143.从逆快速傅里叶变换结果中取出一部分数据作为所述第二数据。
144.当然，在本实施例中，扩充长度可以和实施例一不同，根据条件进行改变。
145.实施例三：
146.从目的节点端进行描述，一种多路径密钥中继方法，包括以下步骤：
147.和源节点协商安全密钥；
148.获取源节点选择的多条密钥中继路径；
149.对所述路径的中继密钥数据，按照与源节点相同的次序进行连接运算，生成密钥数据；
150.对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据；
151.将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一个所划分的数据进行关于安全密钥的hmac运算；
152.将得到的hmac运算结果按照与源节点相同的顺序相连接，生成共享密钥。
153.在本实施例中，对密钥数据进行快速傅里叶变换的具体过程包括：
154.对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换；
155.接收源节点发送的随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换；
156.将两次长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换；
157.从逆快速傅里叶变换结果中取出一部分数据作为所述第二数据。
158.实施例四：
159.在本实施例中，提供一种量子密钥分发设备，包括处理器和计算机可读存储介质，处理器用于实现各指令；计算机可读存储介质用于存储多条指令，所述指令适于由处理器加载并执行实施例二或实施例三所述的一种多路径密钥中继方法中的步骤。
160.当然，还可以包括至少两个量子密钥分发设备，每个量子密钥分发设备包括处理器和计算机可读存储介质，处理器用于实现各指令；计算机可读存储介质用于存储多条指令；
161.其中一个量子密钥分发设备的所述指令适于由处理器加载并执行实施例二所述的一种多路径密钥中继方法中的步骤，另一个量子密钥分发设备的所述指令适于由处理器加载并执行实施例三所述的一种多路径密钥中继方法中的步骤。
162.或者，两个量子密钥分发设备，用于执行实施例一中所述的一种多路径密钥中继方法中的步骤。
163.实施例五：
164.一种量子密钥分发设备，其特征是：包括：
165.用于选择不同的多条路径进行密钥中继，将多条路径的中继密钥数据通过卷积运算进行混合的模块；
166.用于在hmac运算过程中加入预先协商的安全密钥，生成共享密钥的模块。
167.实施例六：
168.一种量子密钥分发设备，如图2所示，包括：
169.用于进行协商安全密钥的第一模块；
170.用于对多条密钥中继路径的中继密钥数据进行连接运算，生成密钥数据的第二模块；
171.用于对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据的第三模块；
172.用于将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一个所划分的数据进行关于安全密钥的hmac运算的第四模块；
173.用于将得到的hmac运算结果按照与对端相同的顺序进行连接，生成共享密钥的第五模块。
174.在本实施例中，所述第三模块包括：
175.用于对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换的模块；
176.用于产生或接收随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换的模块；
177.用于将两次长度扩充的结果进行对位相乘，对结果做逆快速傅里叶变换的模块；
178.用于从逆快速傅里叶变换结果中取出一部分数据作为所述第二数据的模块。
179.实施例七：
180.提供一种密钥分发系统，如图3所示，包括若干量子密钥分发设备、路由设备和数据设备，其中，每个量子密钥分发设备至少连接有两个路由设备，每个量子密钥分发设备至少连接有一个数据设备，且各个路由设备彼此连接形成网络拓扑结构；
181.所述量子密钥分发设备用于与对端量子密钥分发设备协商安全密钥，采用不同的多条路径与对端量子密钥分发设备进行密钥中继，对各条路径的中继密钥数据，按照相同的次序进行连接运算，生成密钥数据，对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据，将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一组所划分的数据进行关于安全密钥的hmac运算，将得到的hmac运算结果按照与对端量子密钥分发设备相同的顺序进行连接，生成共享密钥。
182.在本实施例中，多条路径是指多条没有共同中继节点的路径。
183.在本实施例中，量子密钥分发设备还用于接收对端量子密钥分发设备发送的不同路径以及随机数。
184.在本实施例中，量子密钥分发设备还用于对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换。
185.在本实施例中，量子密钥分发设备还用于产生或接收随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换。
186.在本实施例中，量子密钥分发设备还用于将密钥数据长度扩充的结果和随机数数据长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换。
187.量子密钥分发设备还用于从逆快速傅里叶变换结果中取出一部分数据作为所述
第二数据。
188.所述量子密钥分发设备被配置为对多路径中继密钥进行变换处理时，保持随机数不变。
189.所述量子密钥分发设备通过末尾补零的方式进行扩充长度。
190.当然，在本实施例中，所述量子密钥分发设备可以选用实施例六的设备。
191.在本实施例中，路由设备用于中继密钥和转发加密数据，也用于接收量子密钥分发设备发送的路径。
192.在本实施例中，各个路径的中继密钥等长。
193.实施例八：
194.一种密钥分发系统，包括若干量子密钥分发设备、路由设备和数据设备，其中，每个量子密钥分发设备至少连接有两个路由设备，每个量子密钥分发设备至少连接有一个数据设备，且各个路由设备彼此连接形成网络拓扑结构；
195.所述量子密钥分发设备用于选择不同的多条路径进行密钥中继，将多条路径的中继密钥数据通过卷积运算进行混合；在hmac运算过程中加入预先协商的安全密钥，生成共享密钥。
196.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
197.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
198.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
199.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
200.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
201.上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不
需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

技术特征：
1.一种多路径密钥中继方法，其特征是：包括以下步骤：选择不同的多条路径进行密钥中继，将多条路径的中继密钥数据通过卷积运算进行混合；在hmac运算过程中加入预先协商的安全密钥，生成共享密钥。2.如权利要求1所述的一种多路径密钥中继方法，其特征是：选择不同的多条路径进行密钥中继的具体过程包括：选择没有共同中继节点的多条密钥中继路径，分别获得相应的中继密钥。3.如权利要求2所述的一种多路径密钥中继方法，其特征是：各个中继密钥等长。4.如权利要求1所述的一种多路径密钥中继方法，其特征是：将多条路径的中继密钥数据通过卷积运算进行混合的具体过程包括：对各个中继密钥数据进行顺序连接，生成密钥数据，对密钥数据进行快速傅里叶变换。5.如权利要求4所述的一种多路径密钥中继方法，其特征是：对密钥数据进行快速傅里叶变换的具体过程包括：对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换；产生或接收随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换；将两次长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换；从逆快速傅里叶变换结果中取出一部分数据作为最终密钥。6.如权利要求5所述的一种多路径密钥中继方法，其特征是：进行扩充长度的方式为末尾补零。7.如权利要求1-6中任一项所述的一种多路径密钥中继方法，其特征是：所述hmac运算为hmac-md5。8.如权利要求4-6中任一项所述的一种多路径密钥中继方法，其特征是：在hmac运算过程中加入预先协商的安全密钥的具体过程包括：对快速傅里叶变换生成的数据进行划分，将其划分为与预设的hmac运算结果数据长度相同的若干数据，对每一个所划分的数据进行关于安全密钥的hmac运算。9.如权利要求1-6中任一项所述的一种多路径密钥中继方法，其特征是：生成共享密钥的具体过程包括：源节点与目的节点分别将得到的hmac运算结果按照相同的顺序相连接，得到共享密钥。10.一种多路径密钥中继方法，其特征是：包括以下步骤：与目的节点协商安全密钥；选择多条路径进行密钥中继；对所述多条路径的中继密钥数据，按照与目的节点相同的次序进行连接运算，生成密钥数据；对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据；将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一个所划分的数据进行关于安全密钥的hmac运算；将得到的hmac运算结果按照与目的节点相同的顺序相连接，生成共享密钥。11.一种多路径密钥中继方法，其特征是：包括以下步骤：
与源节点协商安全密钥；获取源节点选择的多条密钥中继路径；对所述路径的中继密钥数据，按照与源节点相同的次序进行连接运算，生成密钥数据；对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据；将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一个所划分的数据进行关于安全密钥的hmac运算；将得到的hmac运算结果按照与源节点相同的顺序相连接，生成共享密钥。12.一种多路径密钥中继方法，其特征是：包括以下步骤：源节点与目的节点协商安全密钥；源节点选择多条路径进行密钥中继；源节点和目的节点分别对所述多条路径的中继密钥数据，按照相同的次序进行连接运算，生成密钥数据；源节点和目的节点分别对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据；源节点和目的节点分别将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一组所划分的数据进行关于安全密钥的hmac运算；源节点和目的节点分别将得到的hmac运算结果按照相同的顺序连接，生成共享密钥。13.如权利要求12所述的一种多路径密钥中继方法，其特征是：对密钥数据进行快速傅里叶变换的具体过程包括：源节点对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换；目的节点也进行相同的变换；源节点产生随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换；源节点将随机数发送至目的节点，目的节点也进行相同的变换；源节点和目的节点分别将两次长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换；源节点和目的节点分别从逆快速傅里叶变换结果中取出一部分数据作为所述第二数据。14.如权利要求13所述的一种多路径密钥中继方法，其特征是：目的节点和源节点对多路径中继密钥进行变换处理时，保持随机数不变。15.一种量子密钥分发设备，其特征是：包括处理器和计算机可读存储介质，处理器用于实现各指令；计算机可读存储介质用于存储多条指令，所述指令适于由处理器加载并执行权利要求1-14中任一项所述的一种多路径密钥中继方法中的步骤。16.一种量子密钥分发设备，其特征是：包括：用于选择不同的多条路径进行密钥中继，将多条路径的中继密钥数据通过卷积运算进行混合的模块；用于在hmac运算过程中加入预先协商的安全密钥，生成共享密钥的模块。17.一种量子密钥分发设备，其特征是：包括：用于进行协商安全密钥的第一模块；用于对多条密钥中继路径的中继密钥数据进行连接运算，生成密钥数据的第二模块；
用于对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据的第三模块；用于将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一个所划分的数据进行关于安全密钥的hmac运算的第四模块；用于将得到的hmac运算结果按照与对端相同的顺序进行连接，生成共享密钥的第五模块。18.如权利要求17所述的一种量子密钥分发设备，其特征是：所述第三模块包括：用于对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换的模块；用于产生或接收随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换的模块；用于将两次长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换的模块；用于从逆快速傅里叶变换结果中取出一部分数据作为所述第二数据的模块。19.一种密钥分发系统，其特征是：包括若干量子密钥分发设备、路由设备和数据设备，其中，每个量子密钥分发设备至少连接有两个路由设备，每个量子密钥分发设备至少连接有一个数据设备，且各个路由设备彼此连接形成网络拓扑结构；所述量子密钥分发设备用于选择不同的多条路径进行密钥中继，将多条路径的中继密钥数据通过卷积运算进行混合；在hmac运算过程中加入预先协商的安全密钥，生成共享密钥。20.一种密钥分发系统，其特征是：包括若干量子密钥分发设备、路由设备和数据设备，其中，每个量子密钥分发设备至少连接有两个路由设备，每个量子密钥分发设备至少连接有一个数据设备，且各个路由设备彼此连接形成网络拓扑结构；所述量子密钥分发设备用于与对端量子密钥分发设备协商安全密钥，采用不同的多条路径与对端量子密钥分发设备进行密钥中继，对各条路径的中继密钥数据，按照相同的次序进行连接运算，生成密钥数据，对密钥数据进行快速傅里叶变换，生成与密钥数据等长的第二数据，将第二数据划分为与预设的hmac运算结果数据长度相同的若干数据，对每一组所划分的数据进行关于安全密钥的hmac运算，将得到的hmac运算结果按照与对端量子密钥分发设备相同的顺序进行连接，生成共享密钥。21.如权利要求19或20所述的一种密钥分发系统，其特征是：所述多条路径是指多条没有共同中继节点的路径。22.如权利要求19或20所述的一种密钥分发系统，其特征是：所述量子密钥分发设备还用于接收对端量子密钥分发设备发送的不同路径以及随机数。23.如权利要求19或20所述的一种密钥分发系统，其特征是：所述路由设备用于中继密钥和转发加密数据，也用于接收量子密钥分发设备发送的路径。24.如权利要求19或20所述的一种密钥分发系统，其特征是：所述各个路径的中继密钥等长。25.如权利要求20所述的一种密钥分发系统，其特征是：所述量子密钥分发设备还用于对密钥数据进行扩充长度，对扩充长度后的数据进行快速傅里叶变换。26.如权利要求25所述的一种密钥分发系统，其特征是：所述量子密钥分发设备还用于产生或接收随机数，并对其进行扩充长度，对扩充长度后的随机数进行快速傅里叶变换。
27.如权利要求26所述的一种密钥分发系统，其特征是：所述量子密钥分发设备还用于将密钥数据长度扩充的结果和随机数数据长度扩充的结果进行对位相乘，对乘出的结果做逆快速傅里叶变换。28.如权利要求27所述的一种密钥分发系统，其特征是：所述量子密钥分发设备还用于从逆快速傅里叶变换结果中取出一部分数据作为所述第二数据。29.如权利要求26或27所述的一种密钥分发系统，其特征是：所述量子密钥分发设备被配置为对多路径中继密钥进行变换处理时，保持随机数不变。30.如权利要求25或26所述的一种密钥分发系统，其特征是：所述量子密钥分发设备通过末尾补零的方式进行扩充长度。

技术总结
本发明提供了一种多路径密钥中继方法、量子密钥分发设备及系统，选择不同的多条路径进行密钥中继，将多条路径的中继密钥数据通过卷积运算进行混合；在HMAC运算过程中加入预先协商的安全密钥，生成共享密钥。本发明相对于采用单路径中继路由进行密钥中继的方法，通过多路径密钥中继，充分利用了网络资源，提升了密钥中继的吞吐量，且能够同时提高密钥中继的安全性和密钥中继速度。全性和密钥中继速度。全性和密钥中继速度。


技术研发人员：张倩 赵琳 闫慧慧 温娜
受保护的技术使用者：山东量子科学技术研究院有限公司
技术研发日：2021.12.30
技术公布日：2023/7/13