(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211049438.X (22)申请日 2022.08.30 (71)申请人 江苏亨通问天量子信息 研究院有限 公司 地址 215200 江苏省苏州市吴江经济技 术 开发区交通北路168号 (72)发明人 韦峥　黄晓宁　梁康政　徐东　 梁洪源　 (74)专利代理 机构 苏州市中南伟业知识产权代 理事务所(普通 合伙) 32257 专利代理师 陈华红子 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) G16Y 30/10(2020.01)G16Y 40/50(2020.01) (54)发明名称 一种基于物联网的量子密钥安全分发方法 及系统 (57)摘要 本发明涉及一种基于物联网的量子密钥安 全分发系统， 包括量子随机发生器、 终端层、 接入 层与平台层； 平台层包括量子密钥的服务模块、 资源与信息管理模块、 安全接入管理模块、 安全 编解码管 理模块； 应用于该系统的基于物联网的 量子密钥安全分发方法从保护密钥安全的角度 出发， 设计 符合物联网特征的基于量子随机数的 组密钥与全局密钥， 通过公钥加密分发到终端， 由终端解密得到会话密钥， 以便利用会话密钥解 密获取指令。 该方法将各模块部署在平台层， 使 物联网体系从传统的分级分层的加密策略变成 专注于业务层级的安全加密， 构建相同安全等级 的安全体系时成本更低， 传输时延更低。 权利要求书2页 说明书6页 附图2页 CN 115361129 A 2022.11.18 CN 115361129 A 1.一种基于物联网的量子密钥安全分发方法， 其特 征在于， 应用于平台层， 包括： 获取目标终端的初始终端编号， 加密所述初始终端编号 生成加密终端编号； 获取所述加密终端编号与私钥证书封装成初始S DK； 获取所述目标终端的路由信息， 根据所述路由信息构建同一路由组下所有终端初始 SDK的集合； 根据所述初始SDK的集合获取解密终端编号集合， 对比所述初始终端编号与所述解密 终端编号集合， 若所述解密终端编号集合中存在与所述初始终端编号一致的编号， 为所述 目标终端随机 选取第一密钥； 根据所述目标终端的路由信息， 将所述第一密钥利用公钥加密分发至所述目标终端， 以便所述目标终端利用所述私钥证书解密来获取会话密钥； 其中， 所述私钥证书、 所述第一密钥与所述公钥均来自于量子随机发生器产生的量子 密钥。 2.根据权利要求1所述的基于物联网的量子密钥安全分发方法， 其特征在于， 所述加密 所述初始终端编号 生成加密终端编号采用的是对称加密算法。 3.根据权利要求1所述的基于物联网的量子密钥安全分发方法， 其特征在于， 所述获取 所述目标终端的路由信息包括： 当所述目标终端携带其初始SDK进行入网申请与路由归集时， 获取路由归集过程中的 路由信息； 其中， 路由归集是在全局路由下利用Dijkst ra算法进行最短路径选择归集。 4.根据权利要求1所述的基于物联网的量子密钥安全分发方法， 其特征在于， 所述根据 所述初始SDK的集合获取解密终端编号集合包括： 利用对称加密算法解密所述初始SDK的集 合中的加密终端编号获取解密终端编号 集合。 5.根据权利要求1所述的基于物联网的量子密钥安全分发方法， 其特征在于， 所述对比 所述初始终端编号与所述 解密终端编号 集合， 还包括： 若所述解密终端编号集合中不存在与所述初始终端编号一致的编号， 则反馈入网失 败， 并舍弃 该终端。 6.根据权利要求1所述的基于物联网的量子密钥安全分发方法， 其特征在于， 所述为所 述目标终端随机 选取第一密钥包括： 当所述目标终端为末终端时， 为所述末终端随机选取第一密钥作为组密钥， 所述组密 钥用于加密分发至末终端的单一指令； 当所述目标终端为可信网络终端时， 为所述可信网络终端随机选取第 一密钥作为全局 密钥， 所述全局密钥用于加密分发至可信网络终端的组合指令； 其中， 所述末终端是每个路由组中最末位的终端， 所述可信网络终端是每个路由组中 除末终端外的其 余终端。 7.一种基于物联网的量子密钥安全分发系统， 其特 征在于， 包括： 量子随机发生器， 用于产生真随机数作为 量子密钥； 终端层， 包括末终端与可信网络终端， 均携带初始S DK； 接入层， 包括网关， 与所述终端层通讯连接； 平台层， 应用如权利要求1至6任一项所述的基于物联网的量子密钥安全分发方法， 用权　利　要　求　书 1/2 页 2 CN 115361129 A 2于与目标终端安全传输会话密钥进行 数据传输， 其包括： 量子密钥的服务模块， 用于获取并存储量子随机发生器推送的量子密钥， 获取并加密 初始终端编号 生成加密终端编号， 为验证通过的目标终端随机 选取第一密钥； 资源与信息管理模块， 用于获取并存储终端的私钥证书、 初始终端编号与解密终端编 号， 封装初始S DK， 对比所述初始终端编号与所述 解密终端编号 来验证目标终端是否安全； 安全编解码管理模块， 用于获取并解密 初始SDK的集合获取解密终端编号 集合； 安全接入管理模块， 用于获取所述目标终端的路由信息， 构建同一路由组下所有终端 的初始SDK的集合， 加密第一密钥并根据路由信息分发至目标终端。 8.根据权利要求7所述的基于物联网的量子密钥安全分发系统， 其特征在于， 所述量子 密钥的服务模块获取量子随机发生器推送的量子密钥， 并以队列 的形式安全存储为密钥 池。 9.根据权利要求7所述的基于物联网的量子密钥安全分发系统， 其特征在于， 所述末 终 端接收来自平台层的组密钥加密的单一指令密文， 利用会话密钥解密获取 单一指令 。 10.根据权利要求7所述的基于物联网的量子密钥安全分发方法， 其特征在于， 所述可 信网络终端接收网关转发的来自平台层的组合指令密文， 利用会话密钥解密获取组合指 令； 其中， 网关转发包括网关获取平台层下发的全局密钥加密的组合指令后， 使用全局密 钥解密获取新的组合指令， 并对新的组合指令再次利用 全局密钥加密转发至可信网络终 端。权　利　要　求　书 2/2 页 3 CN 115361129 A 3