Система выработки и распределения ключей, сопряженная с сетью квантового распределения ключей, и способ выработки и распределения ключей в ней Российский патент 2024 года по МПК H04L9/08 

Область техники, к которой относится изобретение

Предлагаемое изобретение относится к области криптографической защиты информации, а именно к системам генерации ключей с использованием технологии квантового распределения ключей (КРК) для криптографических средств защиты информации.

Уровень техники

В системах КРК парные ключи шифрования формируются между двумя выбранными узлами, соединенными волоконно-оптической линией связи (квантовыми каналами). Протяженность квантового канала имеет физические ограничения, связанные с затуханием сигнала в волокне, чувствительностью фотоприемников и другими факторами. Поэтому для повышения дальности связи между двумя элементами системы при построении сетей КРК используют доверенные промежуточные узлы (ДПУ). Такие узлы соединяются квантовыми каналами, в результате чего сгенерированные ключи могут передаваться в пользовательские устройства, подключенные к разным ДПУ.

Известно устройство КРК, система КРК и способ КРК (международная заявка US 20190260581, приоритет от 03.05.2019 г.). Централизованный контроллер в системе получает Z запросов на обслуживание, глобально определяет на основе идентификатора узла службы-источника и идентификатора узла службы-получателя, которые соответствуют каждому из запросов на обслуживание Z, параметра потребления квантового ключа и информации о топологии ключевых узлов, в сети централизованного управления и контроля, глобально оптимальные инструкции передачи ключей, соответствующие G запросам, и дополнительно доставляет инструкции передачи ключей, соответствующие G запросам, на ключевые узлы, соответствующие инструкциям передачи ключей, так что ключевые узлы выполняют квантовую передачу ключей на основе инструкций передачи ключей для генерации общего квантового ключа между исходным ключевым узлом и ключевым узлом назначения.

Известные устройство, система и способ имеют ряд недостатков.

Так, для формирования общего квантового ключа необходимо заранее определить исходный ключевой узел и ключевой узел назначения, между которыми требуется ключ, что соответствует однозначному подключению потребителей такого ключа к данным узлам. Выработка общего ключа возможна при одновременном подключении пользователей к исходному ключевому узлу и узлу назначения. Также определение инструкций передачи ключа и, соответственно, маршрутов передачи ключа осуществляется в едином центре управления, который является повышенной точкой отказа сети.

Известен способ управления облачной платформой и система на основе технологии КРК (международная заявка CN 112134695, приоритет от 14.08.2020 г.). Способ заключается в том, что сохраняют квантовый ключ на облачном сервере, и дополняют, и отслеживают квантовый ключ в режиме реального времени. Облачный сервер выбирает различные способы шифрования и расшифрования с применением квантового ключа, предназначенные для различных приложений мобильного терминала, и распределяет зашифрованный квантовый ключ и методы расшифрования, соответствующие различным приложениям, на мобильный терминал. Мобильный терминал завершает аутентификацию личности согласно распределенному зашифрованному квантовому ключу и соответствующему методу расшифрования.

Система включает в себя облачный сервер, генератор квантовых ключей, модуль управления ключами, модуль управления системой и мобильный терминал. Для квантового ключа устанавливаются различные способы шифрования и расшифрования в соответствии с различными приложениями мобильного терминала, так что пользователям предоставляются услуги ключей связи с разными уровнями безопасности.

Известная система и способ имеют ряд недостатков.

Передача квантовых ключей, полученных с генератора квантовых ключей, от облачного сервера до мобильного терминала осуществляется с использованием алгоритмов с открытым ключом, неустойчивых к атакам с применением квантового компьютера. Распределение квантовых ключей происходит между облачным сервисом и мобильным терминалом, соответственно, при необходимости взаимодействия двух мобильных терминалов, такое взаимодействие должно осуществляться через облачный сервер, а не напрямую.

Известна система выработки и распределения ключей и способ распределенной выработки ключей в такой системе (патент РФ №2752844). Вырабатывают классический пользовательский ключ в первом и последнем узле сети КРК зарезервированного квантового маршрута в модулях выработки пользовательских ключей с использованием предварительных ключей согласно выбранному порядку выработки классического пользовательского ключа. Вырабатывают в модулях выработки пользовательских ключей первого и последнего узлов сети КРК зарезервированного квантового маршрута пользовательский ключ с использованием квантового пользовательского ключа и классического пользовательского ключа согласно выбранному порядку объединения квантового пользовательского ключа и классического пользовательского ключа. Передают выработанный пользовательский ключ из модуля выработки пользовательского ключа первого и последнего узлов сети КРК зарезервированного квантового маршрута в модули управления пользовательскими ключами первого и последнего узлов сети КРК зарезервированного квантового маршрута. Сохраняют в хранилище пользовательских ключей модуля управления пользовательскими ключами узла сети КРК полученный пользовательский ключ. Передают пользовательский ключ из хранилища пользовательских ключей модуля управления пользовательскими ключами узла сети КРК в шифратор пользователя, запросивший пользовательский ключ.

Известная система и способ выбраны в качестве прототипа.

Известная система и способ имеют ряд недостатков, в частности:

1) для формирования пользовательского ключа необходимо заранее определить пару узлов системы, к которым подключены пользователи;

2) оба пользователя, для которых вырабатывается ключ, должны быть одновременно подключены к конкретным узлам системы, без этого невозможно определить, для какой пары узлов сети КРК резервировать квантовый маршрут и начинать выработку общего пользовательского ключа, что замедляет процесс связи между пользователями.

Раскрытие изобретения

Техническим результатом является:

1) повышение удобства для пользователей за счет возможности подключения пользователей к произвольному распределительному узлу системы;

2) повышение территориальной мобильности пользователей за счет того, что выработка ключа для связи с другим пользователем может происходить не только при непосредственном подключении к распределительному узлу системы, но и в других местах через цифровую сеть передачи данных;

3) снижение времени предоставления ключей для пользователей за счет того, что ключ для связи с другим пользователем может быть выработан в произвольный момент времени и не требуется ожидание подключения второго пользователя к распределительному узлу системы.

Для достижения технического результата предлагается система выработки и распределения ключей и способ ее функционирования.

Система выработки и распределения ключей, сопряженная с сетью квантового распределения ключей, причем сеть квантового распределения ключей (КРК) включает:

совокупность из N доверенных промежуточных узлов (ДПУ), при этом

ДПУ соединены волоконно-оптическими линиями связи; каждому ДПУ в сети КРК назначен уникальный идентификатор узла А _i, i от 1 до N;

при этом каждый ДПУ выполнен с возможностью

генерировать квантовозащищенный ключ с любым другим ДПУ; зашифровывать и расшифровывать данные; хранить и обрабатывать данные; система выработки и распределения ключей включает:

совокупность из L распределительных узлов (РУ), причем

каждый РУ подключен через первую доверенную локальную линию связи к одному ДПУ;

каждый РУ имеет вторую доверенную локальную линию связи для подключения пользователя;

каждому РУ назначен уникальный идентификатор Р _i, i от 1 до L;

каждый РУ подключен к цифровой сети передачи данных; каждый РУ выполнен с возможностью

■ аутентификации на ДПУ сети КРК;

■ аутентификации подключаемых пользователей;

■ хранить и обрабатывать данные;

центр управления сетью распределительных узлов (ЦУС), причем

ЦУС подключен к цифровой сети передачи данных;

ЦУС связан с каждым РУ из совокупности РУ цифровой сетью передачи данных;

ЦУС связан с каждым пользователем через цифровую сеть передачи данных;

ЦУС подключен через 1-ю доверенную локальную линию связи к выбранному ДПУ с идентификатором узла АЦ;

ЦУС выполнен с возможностью

■ генерировать ключи;

■ зашифровывать и расшифровывать данные;

■ хранить и обрабатывать данные;

совокупность из М вычислительных устройств (пользователей), по крайней мере двух, обслуживающих потребности определенных физических лиц или других технических систем, причем

каждому пользователю в системе выработки и распределения ключей назначен уникальный идентификатор B _i, i от 1 до М, известный пользователю, ЦУС и каждому РУ;

каждый пользователь соединен с цифровой сетью передачи данных; при этом каждый пользователь выполнен с возможностью

получать и передавать данные через цифровую сеть передачи данных;

шифровать и расшифровывать данные,

хранить и обрабатывать данные в процессе работы.

Способ выработки и распределения ключей в системе, заключается в том, что

осуществляют со стороны пользователя В1 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на произвольном РУ Р _х;

высылают запрос от пользователя В1 в РУ Р _х, на предоставление ключа связи KB1 для связи с ЦУС;

высылают запрос на предоставление ключа QPK1 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р _х в ДПУ А _х, к которому подключен РУ Р _х, по 1-й локальной линии связи;

генерируют в ДПУ А _х, получившем запрос, совместно с ДПУ АЦ, запрошенный квантовозащищенный ключ QPK1;

передают сгенерированный ключ QPK1 из ДПУ А _х в РУ Р _х, по 1-й локальной линии связи;

передают сгенерированный ключ QPK1 из ДПУ АЦ в ЦУС по 1-й локальной линии связи;

назначают в РУ Р _х, полученный ключ QPK1 ключом KB 1 для связи пользователя В1 с ЦУС;

передают ключ КВ1 от РУ Р _х, пользователю В1 по 2-й локальной линии связи;

осуществляют со стороны пользователя В1 отключение от РУ Р _х;

передают сведения в ЦУС со стороны РУ Р _х, через цифровую сеть передачи данных о необходимости назначить полученный от ДПУ АЦ ключ QPK1 ключом KB 1 для связи пользователя В1 с ЦУС;

сохраняют полученный ключ KB 1 в ЦУС для связи с пользователем В1;

запрашивают у ЦУС со стороны пользователя В1 через цифровую сеть передачи данных ключ К12 для связи с пользователем В2;

получают в ЦУС запрос ключа для связи пользователей В1 и В2;

генерируют в ЦУС ключ К12 для связи пользователей В1 и В2;

зашифровывают в ЦУС ключ К12 на ключе KB1;

передают зашифрованный ключ К12 пользователю В1 через цифровую сеть передачи данных;

получают со стороны пользователя В1 зашифрованный ключ К12;

расшифровывают со стороны пользователя В1 полученный зашифрованный ключ К12 на ключе КВ1, получая запрошенный ключ К12 для связи с пользователем В2;

если ЦУС не обладает ключом КВ2 для связи с пользователем В2, то выполняют следующие действия:

передают сведения пользователю В2 со стороны ЦУС через цифровую сеть передачи данных о необходимости получить ключ для связи с ЦУС;

получают со стороны пользователя В2 ключ КВ2 для связи с ЦУС:

■ осуществляют со стороны пользователя В2 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на выбранном РУ Р _т;

■ высылают запрос от пользователя В2 в РУ Р _т на предоставление ключа связи КВ2 для связи с ЦУС;

■ высылают запрос на предоставление ключа QPK2 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р _т в ДПУ А _т, к которому подключен РУ Р _т, по 1-й локальной линии связи;

■ генерируют в ДПУ А _т, получившем запрос, совместно с ДПУ АЦ, квантовозащищенный ключ QPK2;

■ передают сгенерированный ключ QPK2 из ДПУ А _т в РУ Р _т по 1 -й локальной линии связи;

■ передают сгенерированный ключ QPK2 из ДПУ АЦ в ЦУС по 1-й локальной линии связи;

■ назначают в РУ Р _т полученный ключ QPK2 ключом КВ2 для связи пользователя В2 с ЦУС;

■ передают ключ КВ2 от РУ Р _т пользователю В2 по 2-й локальной линии связи;

■ осуществляют со стороны пользователя В2 отключение от РУ Р _т;

передают сведения в ЦУС со стороны РУ Р _т о необходимости назначить полученный от ДПУ АЦ ключ QPK2 ключом KB 2 для связи пользователя В2 с ЦУС;

сохраняют полученный ключ KB 2 в ЦУС для связи с пользователем В2;

зашифровывают в ЦУС ключ К12 на ключе КВ2;

передают зашифрованный ключ К12 пользователю В2 через цифровую сеть передачи данных;

получают со стороны пользователя В2 зашифрованный ключ К12;

расшифровывают со стороны пользователя В2 полученный зашифрованный ключ К12 на ключе КВ2, получая запрошенный ключ К12 для связи с пользователем В1;

при необходимости, осуществляют обмен сообщениями между пользователем В1 и пользователем В2, зашифрованными на ключе К12.

Предложенная система выработки и распределения ключей предназначена для решения задачи подключения мобильных устройств (пользователей) к сети КРК и обеспечения их ключами связи. Сеть КРК способна вырабатывать ключи между произвольной парой узлов сети, но эта пара должна быть зафиксирована до начала выработки ключа. Пользователи зачастую не подключены к сети КРК одновременно, поэтому второй узел сети, к которому будет подключено мобильное устройство, невозможно сразу определить.

Каждый узел сети КРК физически обслуживает определенную территорию, размер которой зависит, в частности, от допустимой протяженности волоконно-оптических линий связи и ряда других факторов.

В качестве пользователей рассматриваются вычислительных устройства обслуживающих потребности определенных физических лиц или других технических систем. Это могут быть для физических лиц, например, стационарные или переносные компьютеры (ноутбуки) или планшеты сотрудников компаний, а для технических систем - оконечные устройства типа маршрутизаторов, роутеров, видеорегистраторов и пр.

Для решения этой проблемы предлагается система, состоящая из центра управления сетью и множества распределительных узлов (РУ). К узлам сети КРК подключаются стационарные РУ. К определенному узлу сети КРК подключается выделенный центр управления сетью (ЦУС). Мобильные устройства (пользователи) и ЦУС способны взаимодействовать через цифровую сеть передачи данных. Все мобильные устройства, которые планируют получать ключи связи от системы, должны быть в ней зарегистрированы, каждому мобильному устройству должен быть выдан уникальный идентификатор, известный мобильному устройству, ЦУС и всем распределительным узлам.

В случае необходимости получения пользователем ключа для связи с другим пользователем, данный пользователь запрашивает такие ключи у ЦУС. ЦУС или генерирует и передает новый ключ связи двух пользователей, если для данной пары пользователей это первый запрос ключа связи, или передает ключ, сохраненный в ЦУС, который был сгенерирован в результате обращения за ключом связи ранее второго пользователя.

Дополнительно ЦУС может уведомить пользователя о наличии для него ключей, созданных по запросу другого пользователя, а также о необходимости подключиться к РУ для получения ключей для защищенной передачи сгенерированного ключа связи. Таким образом обеспечивается повышение территориальной мобильности и удобства пользователей, которые могут в любое время и в любом месте запросить и получить ключ для связи с другим пользователем при наличии подключения к цифровой сети передачи данных (например, сети Интернет).

Защита взаимодействия с ЦУС, а именно передача ключей от ЦУС к пользователям, осуществляется на ключах, полученных от сети КРК. Перед началом взаимодействия с ЦУС пользователь должен подключиться к любому РУ и запросить ключи для связи с ЦУС. Так как РУ и ЦУС стационарно подключены к сети КРК, запрос ключа между РУ и ЦУС всегда может быть выполнен сетью КРК. РУ запрашивает ключи для связи с ЦУС от сети КРК. ЦУС и РУ подключены к сети КРК через доверенные локальные линии связи, т.е. произведена взаимная аутентификация подключенных узлов системы и узлов сети КРК, а передача квантовозащищенных ключей от сети КРК производится с обеспечением целостности и конфиденциальности.

Получив запрошенные ключи, РУ назначает их ключами пользователя, который в данный момент подключен к РУ, после чего передает их пользователю. Также РУ передает сообщение ЦУС, для какого пользователя были созданы ключи. Подключение пользователя к РУ осуществляется доверенным образом по локальной линии связи.

Под доверенным подключением понимается процедура, включающая предварительную аутентификацию пользователя на узле перед принятием от него запросов на ключи для связи с ЦУС, и передача этих ключей пользователю с обеспечением целостности и конфиденциальности.

Для того, чтобы пользователю не требовалось подключаться к РУ перед каждым сеансом связи с ЦУС, пользователю может передаваться набор ключей, состоящий из нескольких ключей связи с ЦУС, который будет постепенно расходоваться по мере реализации запросов к ЦУС на выдачу ключей связи с другими пользователями.

Таким образом, снижается время предоставления ключей для пользователей.

Пользователю необходимо регулярно подключаться к РУ для обновления набора ключей для связи с ЦУС, чтобы сохранять возможность получения ключей для связи с другими пользователями от ЦУС.

Краткое описание чертежей

На чертеже показана схема системы выработки и распределения ключей из 3 РУ и одного ЦУС, подключенная у сети КРК из 4 ДПУ и 2 пользователей, подключенных к системе выработки и распределения ключей.

Обозначения на чертеже:

1 - ДПУ сети КРК,

2 - распределительный узел системы выработки и распределения ключей,

3 - ЦУС системы выработки и распределения ключей,

4 - пользователь,

5 - цифровая сеть передачи данных,

6 - квантовый канал связи,

7 - 1-я локальная линия связи,

8 - 2-я локальная линия связи,

9 - сеть КРК,

10 - система выработки и распределения ключей.

Осуществление изобретения

Предложенный способ может быть реализован с использованием подходящей сети КРК, например, с использованием известной системы ViPNet QTS (https://infotecs.ru/products/vipnet-qts/).

В качестве ДПУ выбираются программно-аппаратные комплексы ViPNet РУКС с доработанным программным обеспечением. В качестве квантового канала связи 6 выбирается одномодовое оптоволокно типа SMF-28 допустимой длины. Доверенные локальные линии связи 7, 8 могут быть выполнены на основе линий протокола Ethernet.

В качестве РУ 2 выбирается программно-аппаратные комплексы ViPNet HW100 (https://infotecs.ru/products/vipnet-coordinator-hw-4/) с доработанным программным обеспечением, в качестве ЦУС 3 выбирается программно-аппаратный комплекс ViPNet HW1000 (https://infotecs.ru/products/vipnet-coordinator-hw-4/) с доработанным программным обеспечением.

В качестве вычислительных устройств пользователей могут быть использованы, например, ноутбуки с дополнительным программным модулем.

Соответствующие доработки программного обеспечения и программного модуля вычислительных устройств пользователей могут быть сформированы специалистом по программированию (программистом) на основе знания выполняемых функций в способе.

Пусть сеть КРК состоит из четырех ДПУ с идентификаторами A1, А2, A3, А4. Система выработки и распределения ключей состоит из ЦУС и трех РУ с идентификаторами P1, Р2, Р3. Причем ЦУС соединен локальной линией связи с ДПУ А1, а РУ P1, Р2, Р3 соединены локальными линиями связи с ДПУ А2, A3, А4 соответственно. Двум пользователям в системе назначены идентификаторы В1 и В2.

Для осуществления способа выполняют следующие действия:

Осуществляют со стороны пользователя В1 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на выбранном РУ, например, Р1.

Высылают запрос от пользователя В1 в Р1 на предоставление ключа связи КВ1 для связи с ЦУС. Получив в РУ запрос от пользователя, высылают запрос на предоставление ключа QPK1 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р1 в ДПУ А2 по 1-й локальной линии связи.

Генерируют в ДПУ А2 совместно с ДПУ А1, запрошенный квантовозащищенный ключ QPK1 и передают его из ДПУ А2 в РУ Р1, а из ДПУ А1 в ЦУС. Назначают в РУ Р1 полученный ключ QPK1 ключом КВ1 для связи пользователя В1 с ЦУС и передают его от Р1 пользователю В1 по 2-й локальной линии связи. Пользователь В1 теперь может отключаться от РУ.

Передают сведения в ЦУС со стороны РУ Р1 через цифровую сеть передачи данных о необходимости назначить полученный от ДПУ А1 ключ QPK1 ключом КВ1 для связи пользователя В1 с ЦУС. Сохраняют ключ КВ1 в ЦУС для связи с пользователем В1.

Теперь для получения ключа связи с пользователем В2 запрашивают от ЦУС со стороны пользователя В1 через цифровую сеть передачи данных ключ К12 для связи с пользователем В2. Получают в ЦУС запрос ключа для связи пользователей В1 и В2 и генерируют в ЦУС ключ К12 для связи пользователей В1 и В2, например, с помощью имеющегося генератора случайных чисел.

Зашифровывают в ЦУС ключ К12 на ключе КВ1, например, с применением ключевого контейнера КЕХР15 (Р 1323565.1.017-2018 Рекомендации по стандартизации. Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифровании, Москва, Стандартинформ, 2018). Передают зашифрованный ключ К12 пользователю В1 через цифровую сеть передачи данных. Пользователь получает зашифрованный ключ, расшифровывает его на ключе КВ1, получая запрошенный ключ К12 для связи с пользователем В2.

ЦУС передает сведения пользователю В2, например, передав соответствующее сообщение через цифровую сеть передачи данных, о необходимости получить ключ для связи с ЦУС.

Пользователь В2 подключается к любому РУ, например, Р2 по 2-й локальной линии связи и запрашивает ключ КВ2 для связи с ЦУС от этого РУ. РУ Р2, получив запрос от пользователя, запрашивает ключ QPK2 для связи с ЦУС от ДПУ A3, к которому РУ подключен по 1-й локальной линии связи. ДПУ A3 совместно с ДПУ А1 генерируют квантовозащищенный ключ QPK2. Этот ключ передают из ДПУ A3 в РУ Р2 и от ДПУ А1 в ЦУС. Назначают в РУ Р2 полученный ключ QPK2 ключом КВ2 для связи пользователя В2 с ЦУС и передают сведения в ЦУС со стороны РУ Р2 о необходимости назначить полученный от ДПУ А1 ключ QPK2 ключом КВ2 для связи пользователя В2 с ЦУС. Сохраняют ключ КВ2 в ЦУС для связи с пользователем В2. Пользователь В2 может отключаться от РУ Р2.

Теперь, имея ключ для связи ЦУС с пользователем В2, зашифровывают в ЦУС ключ К12 на ключе КВ2 и передают пользователю В2 через цифровую сеть передачи данных. Расшифровывают со стороны пользователя В2 полученный зашифрованный ключ на ключе КВ2, получая запрошенный ключ К12 для связи с пользователем В1.

С этого момента оба пользователя обладают ключом для связи и могут, при необходимости, осуществлять защищенное взаимодействие друг с другом через цифровую сеть передачи данных.

Изобретение относится к системам генерации ключей с использованием технологии квантового распределения ключей (КРК) для криптографических средств защиты информации. Техническим результатом является снижение времени предоставления ключей для пользователей. Осуществляют со стороны пользователя В1 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на произвольном РУ Р _х. Высылают запрос от пользователя В1 в распределительные узлы (РУ) Р _х на предоставление ключа связи KB 1 для связи с центром управления сетью (ЦУС). Высылают запрос на предоставление ключа QPK1 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р _х в доверенных промежуточных узлах ДПУ А _х, к которому подключен РУ Р _х, по 1-й локальной линии связи. Генерируют в доверенных промежуточных узлах ДПУ А _х, получившем запрос, совместно с ДПУ АЦ, запрошенный квантовозащищенный ключ QPK1. Передают сгенерированный ключ QPK1 из ДПУ А _х в РУ Р _х по 1-й локальной линии связи. Передают сгенерированный ключ QPK1 из ДПУ АЦ в ЦУС по 1-й локальной линии связи. Назначают в РУ Р _х полученный ключ QPK1 ключом КВ1 для связи пользователя В1 с ЦУС. Передают ключ KB 1 от РУ Р _х пользователю В1 по 2-й локальной линии связи. Осуществляют со стороны пользователя В1 отключение от РУ Р _х. Передают сведения в ЦУС со стороны РУ Р _х через цифровую сеть передачи данных о необходимости назначить полученный от ДПУ АЦ ключ QPK1 ключом КВ1 для связи пользователя В1 с ЦУС. Сохраняют полученный ключ KB1 в ЦУС для связи с пользователем В1. 2 н.п. ф-лы, 1 ил.

1. Система выработки и распределения ключей, сопряженная с сетью квантового распределения ключей,

причем сеть квантового распределения ключей (КРК) включает:

совокупность из N доверенных промежуточных узлов (ДПУ), при этом ДПУ соединены волоконно-оптическими линиями связи; каждому ДПУ в сети КРК назначен уникальный идентификатор узла A _i, i от 1 до N;

при этом каждый ДПУ выполнен с возможностью

генерировать квантовозащищенный ключ с любым другим ДПУ;

зашифровывать и расшифровывать данные;

хранить и обрабатывать данные;

система выработки и распределения ключей включает:

совокупность из L распределительных узлов (РУ), причем

каждый РУ подключен через первую доверенную локальную линию связи к одному ДПУ;

каждый РУ имеет вторую доверенную локальную линию связи для подключения пользователя;

каждому РУ назначен уникальный идентификатор P _i, i от 1 до L;

каждый РУ подключен к цифровой сети передачи данных;

каждый РУ выполнен с возможностью

аутентификации на ДПУ сети КРК;

аутентификации подключаемых пользователей;

хранить и обрабатывать данные;

центр управления сетью распределительных узлов (ЦУС), причем

ЦУС подключен к цифровой сети передачи данных;

ЦУС связан с каждым РУ из совокупности РУ цифровой сетью передачи данных;

ЦУС связан с каждым пользователем через цифровую сеть передачи данных;

ЦУС подключен через 1-ю доверенную локальную линию связи к выбранному ДПУ с идентификатором узла АЦ;

ЦУС выполнен с возможностью

генерировать ключи;

зашифровывать и расшифровывать данные;

хранить и обрабатывать данные;

совокупность из М вычислительных устройств (пользователей), по крайней мере двух, обслуживающих потребности определенных физических лиц или других технических систем, причем

каждому пользователю в системе выработки и распределения ключей назначен уникальный идентификатор B _i , i от 1 до М, известный пользователю, ЦУС и каждому РУ;

каждый пользователь соединен с цифровой сетью передачи данных; при этом каждый пользователь выполнен с возможностью

получать и передавать данные через цифровую сеть передачи данных;

шифровать и расшифровывать данные;

хранить и обрабатывать данные в процессе работы.

2. Способ выработки и распределения ключей в системе, заключающийся в том, что осуществляют со стороны пользователя В1 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на произвольном РУ Р _х;

высылают запрос от пользователя В1 в РУ Р _х на предоставление ключа связи KB1 для связи с ЦУС;

высылают запрос на предоставление ключа QPK1 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р _х в ДПУ А _х, к которому подключен РУ Р _х, по 1-й локальной линии связи;

генерируют в ДПУ А _х, получившем запрос, совместно с ДПУ АЦ, запрошенный квантовозащищенный ключ QPK1;

передают сгенерированный ключ QPK1 из ДПУ А _х в РУ Р _х по 1-й локальной линии связи;

передают сгенерированный ключ QPK1 из ДПУ АЦ в ЦУС по 1-й локальной линии связи;

назначают в РУ Р _х полученный ключ QPK1 ключом KB1 для связи пользователя В1 с ЦУС;

передают ключ KB 1 от РУ Р _х пользователю В1 по 2-й локальной линии связи;

осуществляют со стороны пользователя В1 отключение от РУ Р _х;

передают сведения в ЦУС со стороны РУ Р _х через цифровую сеть передачи данных о необходимости назначить полученный от ДПУ АЦ ключ QPK1 ключом KB 1 для связи пользователя В1 с ЦУС;

сохраняют полученный ключ KB1 в ЦУС для связи с пользователем В1;

запрашивают у ЦУС со стороны пользователя В1 через цифровую сеть передачи данных ключ К12 для связи с пользователем В2;

получают в ЦУС запрос ключа для связи пользователей В1 и В2;

генерируют в ЦУС ключ К12 для связи пользователей В1 и В2;

зашифровывают в ЦУС ключ К12 на ключе КВ1;

передают зашифрованный ключ К12 пользователю В1 через цифровую сеть передачи данных;

получают со стороны пользователя В1 зашифрованный ключ К12;

расшифровывают со стороны пользователя В1 полученный зашифрованный ключ К12 на ключе КВ1, получая запрошенный ключ К12 для связи с пользователем В2;

если ЦУС не обладает ключом КВ2 для связи с пользователем В2, то выполняют следующие действия:

передают сведения пользователю В2 со стороны ЦУС через цифровую сеть передачи данных о необходимости получить ключ для связи с ЦУС;

получают со стороны пользователя В2 ключ КВ2 для связи с ЦУС:

осуществляют со стороны пользователя В2 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на выбранном РУ Р _т;

высылают запрос от пользователя В2 в РУ Р _т на предоставление ключа связи КВ2 для связи с ЦУС;

высылают запрос на предоставление ключа QPK2 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р _т в ДПУ А _т, к которому подключен РУ Р _т, по 1-й локальной линии связи;

генерируют в ДПУ А _т, получившем запрос, совместно с ДПУ АЦ, квантовозащищенный ключ QPK2;

передают сгенерированный ключ QPK2 из ДПУ А _т в РУ Р _т по 1-й локальной линии связи;

передают сгенерированный ключ QPK2 из ДПУ АЦ в ЦУС по 1-й локальной линии связи;

назначают в РУ Р _т полученный ключ QPK2 ключом КВ2 для связи пользователя В2 с ЦУС;

передают ключ КВ2 от РУ Р _т пользователю В2 по 2-й локальной линии связи;

осуществляют со стороны пользователя В2 отключение от РУ Р _т;

передают сведения в ЦУС со стороны РУ Р _т о необходимости назначить полученный от ДПУ АЦ ключ QPK2 ключом KB 2 для связи пользователя В2 с ЦУС;

сохраняют полученный ключ КВ2 в ЦУС для связи с пользователем В2;

зашифровывают в ЦУС ключ К12 на ключе КВ2;

передают зашифрованный ключ К12 пользователю В2 через цифровую сеть передачи данных;

получают со стороны пользователя В2 зашифрованный ключ К12;

расшифровывают со стороны пользователя В2 полученный зашифрованный ключ К12 на ключе КВ2, получая запрошенный ключ К12 для связи с пользователем В1;

при необходимости, осуществляют обмен сообщениями между пользователем В1 и пользователем В2, зашифрованными на ключе К12.