(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210983559.5 (22)申请日 2022.08.16 (71)申请人 国科量子通信网络有限公司 地址 201203 上海市浦东 新区中国 （上海） 自由贸易试验区芳春路40 0号1幢3层 申请人 广东国科量子通信网络有限公司 (72)发明人 冯良柯　 (74)专利代理 机构 北京玄法律师事务所 16 002 专利代理师 潘满根 (51)Int.Cl. H04L 9/08(2006.01) (54)发明名称 基于量子密钥的量子密码卡设备及其应用 (57)摘要 本发明提供一种基于量子密钥的量子密码 卡设备， 所述量子密码卡设备包括对外服务层和 基础功能层， 其中所述对外服务层负责与量子网 络设备、 密码应用程序、 系统管理员、 安全管 理员 对接并为其提服务或管理接口； 基础功能层则为 所述对外服务层提供量子密钥存储、 算法和日志 基础的内部功能支持。 本发明降低应用使用量子 密钥复杂度， 使更多应用能快速改造采用量子密 钥工作， 从而推动量子密钥在传统加密领域中的 测试和应用。 权利要求书1页 说明书5页 附图3页 CN 115426105 A 2022.12.02 CN 115426105 A 1.基于量子密钥的量子密码卡设备， 其特征在于， 所述量子密码卡设备包括对外服务 层和基础功能层， 其中所述对外服务层负责与量子网络设备、 密码应用程序、 系统管理员、 安全管理员对接并为其提服务或管理接口； 基础功能层则为所述对外服务层提供量子密钥 存储、 算法和日志基础的内部功 能支持； 所述量子密码卡设备利用本身密钥管理机制来管 理存储和管理量子密钥， 同时为应用提供基于量子密钥的、 量子密码卡设备支持的密码算 法服务， 以满足传统应用使用量子密钥需求。 2.根据权利要求1所述的量子密码卡设备， 其特征在于， 所述对外服务层包括量子密钥 接口模块、 密码服 务模块、 安全管理模块和系统管理模块； 所述量子密钥 接口模块负责与量子网络的量子密钥分发设备通信， 适配不同的量子密 钥分设备和协议， 根据量子密钥需求配置从量子密钥系统获取量子密钥并依 托所述量子密 码卡设备密码安全方案进行存 储和管理量子密钥； 所述密码服务模块为外部密码应用程序提供密码应用的服务接口， 根据 所述量子密码 卡设备密码算法能力， 使用量子密钥和输入消息进行密码运算， 运算结果作为服务响应数 据输出； 所述安全管理模块实现对所述 量子密码卡设备 涉及的密钥进行 管理； 所述系统管理模块提供一个管理入口， 系统管理员通过该入口进行所述量子密码卡设 备的基础管理功能。 3.根据权利要求2所述的量子密码卡设备， 其特征在于， 所述安全管理模块对密钥的管 理包括分发量子密钥管理和本地密钥管理； 所述分发量子密钥管理是指通过配置密钥分发 方案管理所述量子密钥接口模块从量子系统获取量子密钥行为； 和所述本地密钥管理是指 对本地存 储的密钥进行密钥生命周期的管理， 包括密钥的同步、 分发、 备份、 恢复和销毁。 4.据权利要求2所述的量子密码卡设备， 其特征在于， 所述基础功能层包括密钥算法模 块、 安全存储模块和日志模块； 所述密钥算法模块为所述量子密码卡设备内部安全运算部件， 其为它各模块提供必要 的算法支持， 使得 所有密码运 算在所述 量子密码卡设备内部 完成； 所述安全存储模块是所述量子密码卡设备的密钥存储单元， 用户不能直接访问或获取 所述安全存储模块存储的密钥 信息； 所述日志模块记录所述 量子密码卡设备的关键信息处 理步骤及状态。 5.据权利要求4所述的量子密码卡设备， 其特征在于， 量子密钥在所述安全存储模块的 生命周期是经 由所述量子密钥接口模块传输存入， 通过所述密码服务模块使用或导出， 或 密钥存储过程中由所述密钥管理模块 直接进行状态管理。 6.据权利要求4所述的量子密码卡设备， 其特征在于， 所述日志模块记录操作员对所述 量子密码卡设备操作过程的日志、 密钥应用及 密钥状态变更日志和警告、 报错的异常日志。 7.基于权利要求1 ‑6任一所述的量子密码卡设备的应用， 量子网络QKD分发量子密钥到 经典网络节点， 经典网络中各个量子密钥分发应用节点上安装所述量子密码卡设备用于安 全接管分发的量子密钥， 在所述应用节点上有加密需求的应用程序直接调用所述量子密码 卡设备的提供密码应用的服 务接口来实现量子密钥应用。 8.根据权利要求7所述的应用， 其特征在于， 所述量子密钥分发应用节点作量子密码服 务器同时为多个有加密需求的应用节点 提供量子密码服 务。权　利　要　求　书 1/1 页 2 CN 115426105 A 2基于量子密钥的量子密码卡设 备及其应用 技术领域 [0001]本发明涉及量子通信领域， 具体涉及基于量子密钥的量子密码卡设备及其  应用。 背景技术 [0002]传统密码卡安装在应用服务器上或直接安装在应用终端上， 密码卡为密钥  管理 用户提供密钥管理用户接口， 为应用系统(程序)提供安全 所需的密码服  务。 依赖密码卡产 品安全芯片 硬件安全性和密钥管理方案安全性保证应用能够  满足传统密码 应用对密钥管 理及敏感信息加解密处 理的安全需求。 [0003]量子设备、 量子服务提供方提供了量子密钥分发设备和服务， 量子密钥从  量子网 络最终由QKD设备上分发， 有加密需求的应用实体直接调用量子密钥  分发接口获得量子密 钥， 然后使用原有的加密引擎应用量子密钥进行加、 解 等 安全运算。 [0004]现有密码卡不能直接应用于量子环境， 不能直接管理和使用量子密钥。 传  统应用 使用量子密钥时需要直接QKD量子设备通信， 这种方式实用性差、 应  用升级门槛和维护成 本高， 需要专门改造每个应用， 同时QKD只提供密钥输  出不提供密钥运算也不便于量子密 钥直接应用到那些本身不具 备密码运 算功 能的应用中。 发明内容 [0005]为了解决上述问题， 本发明提供一种基于量子密钥的量子密码卡设备， 所  述量子 密码卡设备包括对外服务层和基础功能层， 其中所述对外服务层负责与  量子网络 设备、 密 码应用程序、 系统管理员、 安全管理员对接并为其提服务或  管理接口； 基础功能层则为所 述对外服务层提供量子密钥存储、 算法和日志基  础的内部功能支持； 所述量子密码卡设备 利用本身密钥管理机制来管理存储和  管理量子密钥， 同时为应用提供基于量子密钥的、 量 子密码卡设备支持的密码  算法服务， 以满足传统应用使用量子密钥需求。 [0006]在一种实施方式中， 所述对外服务层包括量子密钥接口模块、 密码服务模  块、 安 全管理模块和系统管理模块； 所述量子密钥接口模块负责与量子网络的  量子密钥 分发设 备通信， 适配不同的量子密钥分设备和协 议， 根据量子密钥需  求配置从量子密钥系统获取 量子密钥并依托所述量子密码卡设备密码安全方  案进行存储和管理量子密钥； 所述密码 服务模块为外部密码应用程序提供密码  应用的服务接口， 根据所述量子密码卡设备密码 算法能力， 使用量子密钥和输  入消息进行密码运算， 运算结果作为服务响应数据输出； 所 述安全管理模块实  现对所述量子密码卡设备涉及的密钥进行管理； 和所述系统管理模块 提供一个 管理入口， 系统管理员通过 该入口进行 所述量子密码卡设备的基础管理功能。 [0007]在一种实施方式中， 所述安全管理模块实对密钥的管理包括分发量子密钥  管理 和本地密钥管理； 所述分发量子密钥管理是指通过配置密钥分发方案管理  所述量子密钥 接口模块从量子系统获取量子密钥行为； 和所述本地密钥管理是  指对本地存储的密钥进 行密钥生命周期的管理， 包括密钥的同步、 分发、 备份、  恢复和销毁。 [0008]在一种实施方式中， 所述基础功能层包括密钥算法模块、 安全存储模块和  日志模说　明　书 1/5 页 3 CN 115426105 A 3