(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111673784.0 (22)申请日 2021.12.31 (71)申请人 广东国腾量子科技有限公司 地址 526238 广东省肇庆市高新区北江大 道18号富民大厦1319室 (72)发明人 郭邦红　邝绍文　胡敏　 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/64(2013.01) G06F 7/58(2006.01) G06N 10/60(2022.01) (54)发明名称 一种基于量子密钥的VPN密钥管理系统、 方 法、 设备及计算机可读介质 (57)摘要 本发明公开了一种基于量子密钥的VPN密钥 管理方法， 利用客户发送端发送随机数至客户接 收端， 客户接收端返回客户接收端数字证书信息 到客户发送端校验， 若合法则选择加密算法及客 户发送端数字证书发送至客户接收端验证， 通过 后解析加密算法发送确认信号至客户发送端； 客 户发送端接收后生成公钥与私钥， 并发送公钥至 客户接收端； 客户接收端接收到后生成公钥与私 钥， 用私钥加密随机数并将密文与客户接收端公 钥发送至客户发送端； 客户发送端接收后， 解密 密文并比对随机数， 相符则将密文与确认信号发 送至客户接收端； 客户接收端接收后， 解密对比 密文相符则建立通信， 使用量子密钥进行加密通 信。 本发明量子密钥进行信息加密以及解密， 使 得密钥更具安全效率， 大大提高用户在网络上的 信息安全。 权利要求书2页 说明书5页 附图2页 CN 114707160 A 2022.07.05 CN 114707160 A 1.一种基于量子密钥的VPN密钥管理系统， 其特征在于， 包括客户发送端、 随机数发生 器、 密钥集和客户接收端， 其中： 所述客户发送端和客户接收端均设置有控制器、 对比模块和验证模块； 所述客户发送端和客户接收端分别连接有QKD设备， 客户发送端和客户接收端之间人 通过经典信道连接， 所述 QKD设备之间通过量子信道连接； 所述随机数发生器用于产生随机数； 所述QKD设备用于产生 量子密钥对； 所述密钥集用于存 储量子密钥对； 所述控制器用于控制对比模块和验证模块， 同时用于 接收随机数以及量子密钥对； 所述验证模块用于验证数字证书的合法性； 所述对比模块用于将解密后的密钥与发送的随机数 数据进行比对。 2.一种基于量子密钥的VPN密钥管理方法， 其特征在于： 应用了如权利要求1所述的基 于量子密钥的VPN密钥管理系统， 该 方法包括以下步骤： 通信双方建立 通信通道： 步骤一： 客户发送端生成随机数； 步骤二： TCP建立， 客户发送端发送随机数至客户接收端， 客户接收端接收到随机数信 息后， 将客户接收端数字证书信息发送至客户发送端； 若客户接收端未接收到信息， 则不予应答； 客户发送端通过连接定时计数器监测数据 收发时间间隔， 在规定间隔时间T内未接收客户接收端应答， 客户发送端则重发随机数， 在 规定重发次数N内未接收客户接收端应答， 客户发送端则重新与客户接收端建立TCP连接； 步骤三： 客户发送端校验客户接收端数字证书是否合法， 若合法则选择非对称加密算 法作为通信加密算法并将所述非对称加密算法以及客户发送端数字证书发送至客户接 收 端； 若不合法， 则客户发送端发送连接错 误信号并返回步骤二； 步骤四： 所述客户接收端校验所述客户发送端数字证书是否合法， 若合法则解析加密 算法并发送确认信号至客户发送端； 若不合法， 则所述客户接 收端发送连接错误信号并返 回步骤二； 步骤五： 客户发送端接收确认信号后， 根据 所述非对称加密算法生成公钥与私钥， 并将 公钥发送至客户接收端； 若所述 客户发送端未接收到信号则发送错 误信号并返回步骤二； 步骤六： 客户接收端收到客户发送端公钥后， 根据所述非对称加密算法生成客户接收 端的公钥和私钥， 利用客户发送端公钥将随机数进行加密并将加密后的第一密文与客户接 收端公钥发送至客户发送端； 若所述 客户接收端未接收到客户发送端信息， 则不予应答； 步骤七： 客户发送端接收到应答后， 利用私钥对第一密文进行解密并将解密密钥与所 述随机数对比， 若比对结果相符， 则利用客户接收端公钥加密随机数得到第二密文， 将得到 的第二密文与确认信号发送至客户接 收端； 若比对结果不符， 则所述客户发送端发送解密 错误信号并返回步骤五； 步骤八： 客户接收端接收到第二密文后， 利用私钥解密第二密文并将第二密文解密后 的密文与所述 随机数比对， 若比对相符则发送连接确认信号； 若比对不符则客户接 收端发 送错误信号并返回步骤六； 步骤九： 客户发送端接收到应答后， 通信建立； 若客户发送端未接收应答到则返回步骤权　利　要　求　书 1/2 页 2 CN 114707160 A 2七。 3.如权利要求2所述的一种基于量子密钥的VPN密钥管理方法， 其特征在于， 该方法还 包括利用量子密钥对数据进行加密 传输步骤： 步骤1： 通过量子密钥生成器利用电磁能产生一对量子密钥对， 并将所述量子密钥对存 储在密钥集中； 步骤2： 客户发送端输入待加密数据， 生成待加密数据的数据索引值； 步骤3： 客户发送端通过控制器从密钥集中获取量子密钥对中的一个量子密钥A再通过 量子信道将获取的一个量子密钥传A 送至客户接收端； 步骤4： 若所述 客户发送端监测到传送 异常则重复步骤3； 步骤5： 所述 客户接收端正常接收后发送确认信号； 步骤6： 若所述 客户发送端超时未接收到确认信号， 则返回到步骤3； 步骤7： 所述客户发送端接收确认信号后， 利用量子密钥A对待加密数据进行加密， 将加 密数据通过 经典信道传送给客户接收端； 步骤8： 所述客户接收端监测数据安全状态， 若检测到数据被改变则接收失败， 发送接 收失败信号； 若接收成功则发送确认接收信号给客户发送端； 步骤9： 所述 客户发送端超时未收到确认信号则返回到步骤3； 步骤10： 完成一次信息传输后， 继续传输则返回到步骤2。 4.如权利要求2所述的一种基于量子密钥的VPN密钥管理方法， 其特征在于， 所述时间T 的取值范围为大于10 0微秒。 5.如权利要求2所述的一种基于量子密钥的VPN密钥管理方法， 其特征在于， 所述重发 次数N的取值范围是4 ‑8。 6.如权利要求2所述的一种基于量子密钥的VPN密钥管理方法， 其特征在于， 所述非对 称算法采用RSA算法或者ElGamal 算法。 7.如权利要求2所述的一种基于量子密钥的VPN密钥管理方法， 其特征在于， 所述步骤 七中， 若超时未接收到客户接收端应答， 则记录连接超时 次数， 若达 到5次， 则返回步骤五。 8.如权利要求3所述的一种基于量子密钥的VPN密钥管理方法， 其特征在于， 步骤8中， 检测到数据被改变是指： 接收数据也会被破坏而发生改变。 9.一种基于量子密钥的VPN密钥管理设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求2至7中任一项基于量子密钥的 VPN密钥管理方法的步骤。 10.一种计算机可读介质， 其上存储有计算机程序， 其特征在于， 所述程序被处理器执 行时实现如权利要求2至7中任一项所述的基于量子密钥的VPN密钥管理方法。权　利　要　求　书 2/2 页 3 CN 114707160 A 3