CN102916806B - 密码密钥分配系统 - Google Patents
密码密钥分配系统 Download PDFInfo
- Publication number
- CN102916806B CN102916806B CN201210278057.9A CN201210278057A CN102916806B CN 102916806 B CN102916806 B CN 102916806B CN 201210278057 A CN201210278057 A CN 201210278057A CN 102916806 B CN102916806 B CN 102916806B
- Authority
- CN
- China
- Prior art keywords
- key
- quantum
- node
- link
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S977/00—Nanotechnology
- Y10S977/902—Specified use of nanostructure
- Y10S977/932—Specified use of nanostructure for electronic or optoelectronic application
- Y10S977/933—Spintronics or quantum computing
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Optical Communication System (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及一种密码密钥分配系统,包括:服务器节点(S);至少第一客户端节点(C1),通过第一量子信道连接至服务器节点(S);中继器网络,通过第二量子信道连接至服务器节点(S);以及至少第二客户端节点(C2),通过第三量子信道连接至中继器网络。服务器节点(S)和第一客户端节点(C 1)被配置为通过在第一量子信道上实施量子密钥分配而协作产生与第一系统用户相关联的第一链路量子密钥。第一客户端节点(C1)被配置为将第一链路量子密钥提供给第一用户。
Description
技术领域
本发明大体上涉及密码密钥分配系统,具体地,涉及基于量子密钥分配的密码密钥分配系统。
背景技术
正如已知的,量子密钥分配(QKD)是基于量子力学原理的技术,其使得通过量子信道而彼此连接的两个通信装置能够产生随机密码密钥(称作量子密钥),该密钥可以由所述通信装置或所述通信装置的用户使用,从而通过公共信道甚至通过窃听信道(例如,经由互联网的连接)以安全方式来彼此通信。
通常,量子信道包括量子链路(例如,经由光纤或自由空间中的链路),以及常规或者甚至是非量子的链路(诸如,经由互联网的连接)。
QKD提供了在量子信道(尤其是通过量子信道的量子链路)上传输的一系列量子状态(通常为光子形式),从而产生对于这两个通信装置公共的量子密钥。
具体地,QKD提供了两个通信装置执行以下操作:
·它们测量通过量子信道的量子链路传输的光子的具体特性,例如,偏振面;
·它们通过量子信道的常规链路来交换有关所执行的测量值的信息;以及
·它们基于所执行的测量值以及通过量子信道的常规链路交换的信息来产生一个且相同的量子密钥。
正如已知的,传统的密码密钥分配协议不允许检测所分配的密码密钥是否已被窃听。具体地,传统的密码密钥分配协议不允许发现基于密码密钥开始加密通信之前所分配的密码密钥是否已被(例如,由“中间人”攻击)窃听。
与之相比,QKD能够检测是否有人企图滥用地窃听量子密钥。具体地,QKD不仅能够检测量子密钥产生期间是否有人滥用地窃听任何交换的信息和/或通过量子信道传输的任何光子,而且还能够避免被窃听的信息被用于跟踪量子密钥。
BB84协议是已知的QKD算法,其由C.H.Bennett和G.Brassard在“Quantumcryptography:Public key distribution and coin tossing”,Proc.ofthe IEEEInt.Conf.on Computers,Systems&Signal Processing,Bangalore,India,December 10-12,1984,pp.175-179中首次描述。
具体地,BB84协议使得通过量子信道(其包括量子链路和常规链路,即,非量子链路)而彼此连接的两个通信装置能够产生安全的二进制量子密钥。这两种链路都不需要安全连接;实际上,BB84协议也被设计为将由未授权的第三方对于这两种链路的任何形式的可能的干扰考虑在内。
接下来,为了便于描述,将这两个通信装置称作装置A和装置B。
具体地,根据BB84协议,装置A通过量子信道(具体地,通过量子信道的量子链路)将一系列量子状态以被适当地极化的光子的形式传输至装置B,以编码二进制信息。所传输的光子的极化可以根据两个不同的基来定义,例如,第一基+包括正交极化0°和90°,第二基础x包括正交极化45°和135°。
详细地,根据BB84协议,装置A执行以下操作:
·产生随机比特序列;以及,
·针对每个产生的比特,
-随机地选择相应的基,
-通过量子信道(具体地,通过量子信道的量子链路)传输根据相应的选定的基而极化的相应光子,从而编码所述比特,以及
-存储所述比特、相应的选定的基以及相应的光子传输时的时间瞬时。
下表中提供了通过量子信道传输的光子如何被极化从而以两个基+和x编码0或1的示例。
表
基 | 0 | 1 |
+ | 0° | 90° |
x | 45° | 135° |
此外,针对通过量子信道(具体地,通过量子信道的量子链路)接收的每个光子,装置B执行以下操作:
·随机地选择相应的基;
·使用选定的相应的基来测量所接收的光子的极化;
·确定由所测量的极化编码的比特;以及
·存储所确定的比特、选定的相应的基以及接收所述光子时的时间瞬时。
在光子传输结束后,装置A通过量子信道的常规链路向装置B发送用于极化所传输的光子的基,并且装置B再次通过量子信道的常规链路向装置A发送用于测量所接收的光子的极化的基。装置A和B丢弃任何下述比特:针对该比特,装置B所使用的用于测量光子的极化的基不同于装置A极化所述光子所使用的基。因此,各装置获得由未丢弃比特构成的相应的原密钥。
为了便于描述,到此为止所描述的BB84协议假设装置A通过量子信道将单个光子传输至装置B。然而,正如已知的,BB84协议也可以被实现为使用所谓的纠缠光子对,其中,各对的光子携带相同的量子信息。
具体地,在基于纠缠光子对的BB84协议的情况下,耦接至量子信道(其连接装置A和B)的量子装置用于将纠缠光子对通过量子信道(具体地,通过量子信道的量子链路)传输为,使得针对各个所传输的对,第一光子被装置A接收而第二光子被装置B接收。
详细地,在基于纠缠光子对的BB84协议的情况下,针对通过量子信道接收的各个光子,各装置A和B执行以下操作:
·各装置随机地选择相应的基;
·各装置使用选定的相应的基来测量所接收的光子的极化;
·各装置确定通过所测量的极化而编码的比特;以及
·各装置存储所确定的比特、选定的相应的基以及接收所述光子时的时间瞬时。
在光子传输结束后,装置A和B通过量子信道的常规链路来交换用于测量所接收的光子的极化的基,并且丢弃针对其使用不同基的比特。因此,各装置获得由未丢弃比特构成的相应的原密钥。
理想地,在基于单个光子的BB84协议以及基于纠缠光子对的BB84协议这两种情况下,由装置A和B所产生的原密钥一致。然而,不幸地是,在现实中,两个原密钥由于以下原因而不一致:由未经授权的第三方执行的可能的窃听,以及由于QKD中所涉及的通信装置和量子信道的非理想化,或者甚至由于在产生原密钥中产生的必可避免的误差(QBER)。
因此,在基于单个光子的BB84协议以及基于纠缠光子对的BB84协议这两种情况下,在产生原密钥之后,装置A和B执行两个其他步骤,这两个步骤导致仅由所述装置A和B知晓的单一密码密钥的产生。BB84协议的这些其他步骤分别称为信息协调和保密增强,并首次由C.H.Bennett,F.Bessette,G.Brassard,L.Salvail以及J.Smolin在“ExperimentalQuantum Cryptography”,Journal of Cryptology,vol.5,n.1,1992,pp.3-28中进行了描述。
具体地,在信息协调步骤中,装置A和B校正两个原密钥中的误差,从而产生对于装置A和B这两者一致的协调密钥。
详细地,在信息协调步骤中,装置A和B通过量子信道的常规链路来交换用于校正原密钥中的误差的信息,从而使关于各原密钥传输的信息最小化。
在信息协调步骤的结束时,装置A和B获得一个相同的协调密钥并且还能够识别:
·在原密钥产生期间,有关原密钥的哪些信息已被未经授权的第三方窃听;以及
·在信息协调步骤期间,有关协调密钥的哪些信息已被未经授权的第三方窃听。
最后,在保密增强步骤中,基于协调密钥以及通过针对装置A和B或者甚至针对相应用户的相互认证机制,装置A和B产生可由所述装置A和B(或者,甚至由相应的用户)使用的一个并且相同的安全密钥,从而通过公共信道以安全方式彼此通信。
具体地,在保密加强步骤中,通过针对装置A和B(或者,甚至针对相应用户)的相互认证机制,装置A和B产生短于协调密钥的一个且相同的安全密钥,从而使得未经授权的第三方可能根据所窃听的信息来跟踪所述安全密钥的概率最小化。
详细地,各装置A和B在保密增强步骤中执行以下操作:
·各装置基于相应的当前认证密钥来确定相应的哈希矩阵;以及
·各装置通过该相应的哈希矩阵来压缩协调密钥,从而获得短于协调密钥的相应的最终比特串。
更详细地,如果装置A和B这两者(或者,甚至是相应的用户这两者)拥有一个且相同的当前认证密钥,所述装置A和B基于该相同的当前认证密钥来确定一个且相同的哈希矩阵,从而当使用该相同的哈希矩阵来压缩协调密钥时,产生包括以下各项的一个且相同的最终比特串:
·可由所述装置A和B(或者,甚至是相应的用户)使用的一个且相同的量子密钥,从而通过公共信道以安全方式来彼此通信;以及
·在随后的QKD的保密增强步骤中用作当前认证密钥的一个且相同的新认证密钥。
作为替代,如果装置A和B(或者,甚至是相应的用户)在保密增强步骤结束时不具有相同的当前认证密钥,则所述装置A和B产生两个不同的最终比特串,进而两个不同的量子密钥和两个不同的新认证密钥,由此变得不可用。
QKD的第一个缺点涉及到以下事实:两个所涉及的通信装置必须相对地接近,原因在于连接这两个装置的量子信道的量子链路仅能够至多为几千米。
此外,QKD的第二个缺点涉及到以下事实:如果希望开发QKD从而使得多个通信装置能够安全地通信,需要各可能的通信装置对通过各自的量子信道连接。
因此,由于有关实现单个量子信道的成本相当高,实现针对每个可能的通信装置对的各自的量子信道变得非常昂贵。
最后,针对每个可能的节点对的量子信道的存在的局限限制了以量子链路的最大允许距离充分连接的网络的物理大小。
PCT申请WO 2007/123869A2描述了用于量子密码网络的密码密钥管理和用户认证系统以及方法,其使得用户能够通过传统的通信信道进行安全地通信。
具体地,WO 2007/123869A2描述的方法包括:将密码密钥中心授权QKCA通过量子链路(其使得数据能够基于量子密钥而被加密和解密)以安全方式连接至各用户。根据WO2007/123869A2所描述的方法,当两个用户希望以安全方式彼此通信时,密码密钥中心授权QKCA将随机比特序列通过相应的量子链路发送至各用户,然后,两个用户使用所述随机比特序列作为密钥来编码和解码他们通过传统的通信信道交换的数据。
根据在WO 2007/123869A2描述的发明的具体实施方式(具体地,在WO 2007/123869A2的图4中所示出的和第8页所描述的),第一用户A通过第一量子信道QL-A连接至第一密码密钥中心授权QKCA-A,第二用户B通过第二量子信道QL-B连接至第二密码密钥中心授权QKCA-B(其反过来通过第三量子信道QL-AB连接至第一密码密钥中心授权QKCA-A)。当第一用户A希望通过传统的通信信道与第二用户B通信时,所述第一用户A通过第一量子信道QL-A向第一密码密钥中心授权QKCA-A发送关于与所述第二用户B通信的请求,其中,第一密码密钥中心授权QKCA-A将所述请求通过第三量子信道QL-AB路由至第二密码密钥中心授权QKCA-B,该第二密码密钥中心授权QKCA-B接下来通过第二量子信道QL-B将所述请求路由至第二用户B。如果第二用户B接受该请求,则第二密码密钥中心授权QKCA-B产生随机比特序列并且将该随机比特序列通过第二量子信道QL-B发送至第二用户B并且通过第三量子信道QL-AB发送至第一密码密钥中心授权QKCA-A。接下来,第一密码密钥中心授权QKCA-A通过第一量子信道QL-A将所述随机比特序列路由至第一用户A。换言之,第一密码密钥中心授权QKCA-A用作第一用户A和第二密码密钥中心授权QKCA-B(其产生要用于提供用户A和B之间通过传统的通信信道安全通信的随机比特序列)之间的路由器。
WO 2007/123869A2描述的发明的前述具体实施方式存在一些固有的安全问题,原因在于第一密码密钥中心授权QKCA-A知晓要用于提供用户A和B安全通信的随机比特序列。因此,如果第一密码密钥中心授权QKCA-A不守信用,其将所述随机比特序列也分配给其他未经授权的用户,因此,在用户A和B没有意识的情况下,未经授权的用户能够解码通过传统通信信道在用户A和B之间交换的数据。
发明内容
因此,本发明的目的在于提供一种能够解决先前描述的问题的基于量子密钥分配的密码密钥分配系统。
实现上述目的的本发明涉及密码密钥分配系统。
具体地,本发明的第一方面涉及一种密码密钥分配系统包括:服务器节点以及一个或多个客户端节点;其中,各个客户端节点通过相应的量子信道连接至服务器节点。
根据本发明的所述第一方面,服务器节点和各个客户端节点被配置为通过在相应的量子信道上实施量子密钥分配而协作地产生与系统用户相关联的链路量子密钥,并且各个客户端节点被配置为将利用服务器节点协作产生的与特定用户相关联的链路量子密钥提供给特定系统用户;
此外,根据本发明的所述第一方面,服务器节点被进一步配置为:
·基于与第一用户相关联的第一链路量子密钥,对与第一系统用户和第二系统用户相关联的通信密码密钥进行加密;
·通过一个或多个公共通信信道,将基于第一链路量子密钥加密的通信密码密钥发送至第一用户;
·基于与第二用户相关联的第二链路量子密钥,将与第一系统用户和第二系统用户相关联的通信密码密钥进行加密;以及
·通过一个或多个公共通信信道,将基于第二链路量子密钥加密的通信密码密钥发送至第二用户。
此外,本发明的第二方面涉及一种密码密钥分配系统,包括:
·服务器节点;
·至少第一客户端节点,通过第一量子信道连接至服务器节点;
·中继器网络,通过第二量子信道连接至服务器节点;以及
·至少第二客户端节点,通过第三量子信道连接至中继器网络。
根据本发明的所述第二方面,服务器节点和第一客户端节点被配置为通过在第一量子信道上实施量子密钥分配而协作地产生与第一系统用户相关联的第一链路密钥;第一客户端节点被配置为将第一链路量子密钥提供给第一用户;中继器网络和第二客户端节点被配置为通过在第三量子信道上实施量子密钥分配而协作地产生与第二系统用户相关联的传输量子密钥;第二客户端节点被配置为将传输量子密钥提供给第二用户;服务器节点和中继器网络被配置为通过在第二量子信道上实施量子密钥分配而协作地产生与第二用户相关联的第二链路密钥;
此外,根据本发明的所述第二方面,中继器网络被进一步配置为:
·基于传输量子密钥对第二链路量子密钥进行加密;以及
·通过一个或多个公共通信信道将加密的第二链路量子密钥发送至第二用户;
最后,根据本发明的所述第二方面,服务器节点被进一步配置为:
·基于第一链路量子密钥和与第一用户相关联的第一服务认证密钥,对与第一系统用户和第二系统用户相关联的通信密码密钥进行加密;
·通过一个或多个公共通信信道将基于第一链路量子密钥和第一服务认证密钥加密的通信密码密钥发送至第一用户;
·基于第二链路量子密钥和与第二用户相关联的第二服务认证密钥,对与第一系统用户和第二系统用户相关联的通信密码密钥进行加密;以及
·通过一个或多个公共通信信道将基于第二链路量子密钥和第二服务认证密钥加密的通信密码密钥发送至第二用户。
附图说明
为了更好地理解本发明,现在将参照附图(未按比例)描述以非限制性方式给出的一些优选实施方式,其中:
图1示意性示出了根据本发明第一方面的密码密钥分配系统;以及
图2示意性示出了根据本发明第二方面的密码密钥分配系统。
具体实施方式
提供以下描述以使本领域技术人员能够实施和使用本发明。对所述实施方式的各种修改对本领域技术人员来说是显而易见的,并且本文描述的普遍原理可应用于其他实施方式和应用,并且并不背离本发明的保护范围。
因此,本发明不应被认为仅限于本文所示出和描述的实施方式,而应认为与文中描述的且在所述权利要求中限定的原理和特性相一致的最宽保护范围。
本发明涉及一种基于量子密钥分配(QKD)的密码密钥分配系统。
根据本发明,为了实施QKD,可方便地使用基于单个光子的BB84协议以及基于纠缠光子对的BB84协议这两者。
根据本发明的第一方面的密码密钥分配系统包括:
·至少一个服务器节点;以及
·一个或多个客户端节点。
根据本发明的所述第一方面,各个客户端节点利用相应的量子信道连接至服务器节点,该量子信道包括:
·例如光纤中的或自由空间中的各自的量子链路;以及
·各自的公共链路,即,可窃听链路,诸如经由因特网的连接。
此外,还根据本发明的所述第一方面,服务器节点被配置为与各客户端节点在相应的量子信道上实施各自的基于BB84协议的QKD。
为了详细描述根据本发明的第一方面,图1示意性示出了根据本发明的所述第一方面的密码密钥分配系统的示例。
具体地,图1所示的密码密钥分配系统包括:
·服务器节点S;以及
·4个客户端节点,分别表示为C1、C2、C3和C4,它们中的每一个利用相应的量子信道连接至服务器节点S,量子信道在图1中由实线段代表。
在使用中,客户端节点C1、C2、C3和C4中的每一个可由密码密钥分配系统的一个或多个用户使用。
具体地,密码密钥分配系统的用户可使用客户端节点C1、C2、C3和C4中的一个来接收一个或多个各自的链路量子密钥。实际上,服务器节点S和客户端节点C1、C2、C3和C4中的每一个被配置为通过在相应的量子信道上实施各自的基于BB84协议的QKD来协作产生各自的链路量子密钥。
详细地,如果密码密钥分配系统的用户使用客户端节点C1、C2、C3和C4中的一个来接收各自的链路量子密钥,则服务器节点S和所使用的客户端节点在相应的量子信道上实施基于BB84协议的QKD以产生与所述用户相关的链路量子密钥kL。
更详细地,当密码密钥分配系统的用户使用客户端节点C1、C2、C3和C4中的一个来接收各自的链路量子密钥时,执行以下操作:
·所使用的客户端节点从用户接收朝向服务器节点S的所述用户的M位的当前QKD认证密钥kAUT-QKD;
·所使用的客户端节点和存储有朝向所述服务器节点S的用户的所述当前QKD认证密钥kAUT-QKD的服务器节点S通过在保密增强步骤中使用朝向服务器节点S的用户的所述当前QKD认证密钥kAUT-QKD来在相应的量子信道上实施基于BB84协议的QKD;以此方式,所使用的客户端节点和服务器节点S产生L位的字符串,其包括与用户相关的N位的链路量子密钥kL以及朝向服务器节点S的用户的M位的新QKD认证密钥(其中,L=N+M);
·服务器节点S存储与所述用户相关的链路量子密钥kL以及朝向所述服务器节点S的所述用户的新QKD认证密钥以及
·所使用的客户端节点向用户提供与所述用户相关的链路量子密钥kL以及朝向所述服务器节点S的所述用户的新QKD认证密钥
当用户再次使用客户端节点C1、C2、C3和C4中的一个来接收新的链路量子密钥时,所使用的客户端节点和服务器节点S将在被实施以产生新链路量子密钥的新QKD的保密增强步骤中,使用朝向服务器节点S的所述用户的新QKD认证密钥
便利地,当用户签署关于密码密钥分配系统的订单时,朝向服务器节点S的初始QKD认证密钥可提供给各用户。
根据本发明的第一方面的密码密钥分配系统的用户使用客户端节点接收各自的链路量子密钥kL,用户能够便利地以各种方式向所述客户端节点提供朝向服务器节点S的各自的当前认证密钥QKDkAUT-QKD,具体地:
·利用所述客户端节点的用户接口;或者
·通过将存储朝向服务器节点S的所述各自的当前认证密钥QKDkAUT-QKD的各自的便携式电子装置本地连接(例如,利用USB连接)至所述客户端节点;在本例中,客户端节点从本地连接的便携式电子装置获取/接收当前的认证密钥QKDkAUT-QKD。
以相同方式,客户端节点可便利地以各种方式向用户提供各自的链路量子密钥kL和朝向服务器节点S的所述用户的新认证密钥具体地,
·利用所述客户端节点的用户接口;或者
·通过将所述密钥存储在本地连接(例如,利用USB连接)至所述客户端节点的所述用户的便携式电子装置上。
本地连接至客户端节点的便携式电子装置可便利地为便携式数据存储装置(诸如USB闪存驱动器或外部USB硬盘驱动器),或便携式计算机(诸如膝上型电脑或平板电脑),或智能手机。
此处,为了继续详细地描述图1所示的密码密钥分配系统的操作,假设:
·所述密码密钥分配系统的P(其中,P>1)个用户已使用了客户端节点C1、C2、C3和C4中的至少一个来分别接收各自的链路量子密钥;
·服务器节点S存储有所述P个用户的链路量子密钥;
·所述P个用户利用一个或多个各自的公共信道(例如,经由因特网)远程连接至服务器节点S,以请求将被用户创建安全通信的公用密码密钥,因为他们意于以安全方式彼此通信,各用户使用各自的电子通信装置(诸如桌上型电脑、膝上型电脑、平板电脑、智能手机,或者甚至是客户端节点C1、C2、C3和C4中的一个)。
便利地,由P个用户向服务器节点S发送的与在所述P个用户间建立安全通信的请求相关从而与对所述P个用户公用的相应的密码密钥的请求相关的消息被加密,以防止任何未被授权的第三方能够欺骗性拦截并解密所述消息,并且之后取代所述被授权的P个用户中的一个或者加入所述被授权的用户。
为了能够在所述P个用户间安全通信,服务器节点S执行以下操作:
·产生用于所述P个用户的通信密码密钥;
·对于所述P个用户中的每一个,基于各自的链路量子密钥加密通信密码密钥,从而获得各自的加密消息;以及
·将各自的加密消息通过各自的公共信道发送至所述P个用户中的每一个。
一旦从服务器节点S接收到各自的加密消息,所述P个用户中的每一个使用各自的链路量子密钥对其解密,从而获得通信密码密钥。
优选地,服务器节点S被配置为随机产生通信密码密钥。
更优选地,服务器节点S被配置为操作为量子随机数产生器(QRNG)。因此,在使用中,服务器节点S通过操作为QRNG来产生通信密码密钥。
在可选的实施方式中,服务器节点S不产生通信密码密钥,而被配置为从与所述服务器节点S分离的密钥产生器(例如,QRNG)接收它们。具体地,服务器节点S可利用固有安全信道便利地连接至密钥产生器,该固有安全信道是例如保证或者不危及服务器节点S和密钥产生器之间的连接的安全性的信道,并且,结果,服务器节点S可通过所述固有安全信道以绝对安全的方式便利地接收通信密码密钥。可选地,服务器节点S的管理员可便利地执行以下处理,以向服务器节点S提供通信密码密钥:
·使密钥产生器产生通信密码密钥;
·例如利用USB连接将便携式电子装置本地连接至所述密钥产生器,所述便携式电子装置例如是USB闪存驱动器、外部USB硬盘驱动器、膝上型电脑、平板电脑或智能手机;
·将密钥产生器产生的通信密码密钥存储在本地连接至密钥产生器的所述便携式电子装置上;以及
·去往服务器节点S,并且例如利用USB连接将其上存储有通信密码密钥的便携式电子装置本地连接至所述服务器节点S;以此方式,服务器节点S从本地连接的便携式电子装置获取/接收通信密码密钥。
探究关于根据本发明的第一方面的密码密钥分配系统的操作的进一步细节,服务器节点S使用链路量子密钥来根据所谓的“一次性密码本(OTP)”方法加密通信密码密钥。
例如,如果与N位的第一链路量子密钥kL1相关的第一用户以及与N位的第二链路量子密钥kL2相关的第二用户连接至服务器节点S以请求用于以安全方式彼此通信的共用密码密钥(如前所述,通过向服务器节点S发送各自的加密消息),服务器节点S执行以下操作:
·产生(或者,在上述可选实施方式中,从密钥产生器接收)并存储N位的通信密码密钥kT;
·使用第一链路量子密钥kL1作为加密密钥执行通信密码密钥kT的OTP加密,从而获得N位的第一加密消息其中,符号代表异或逻辑运算,即,XOR逻辑运算;
·向第一用户发送第一加密消息
·使用第二链路量子密钥kL2作为加密密钥执行通信密码密钥kT的OTP加密,从而获得N位的第二加密消息以及
·向第二用户发送第二加密消息
第一用户使用第一链路量子密钥kL1解密从服务器节点S接收到的第一加密消息并且从而获得通信密码密钥kT。
以相同方式,第二用户使用第二链路量子密钥kL2解密从服务器节点S收到的第二加密消息并且从而获得通信密码密钥kT。
根据以上描述,得益于OTP加密,如何向两个用户分配通信密码密钥kT实际上不会带来所述通信密码密钥kT被未被授权的第三方窃听的风险是显而易见的。
具体地,用于传输通信密码密钥kT的OTP加密的使用保证了通信密码密钥kT本身的不可侵犯性,如Claude Shannon在“Communication Theoryof Secrecy Systems”,BellSystem Technical Journal,vol.28(4),pages 656-715,1949中给出的那样。实际上,如果未被授权的第三方滥用窃听第一加密消息和第二加密消息所述未被授权的第三方至多获得:
因此,因为所有的密钥都是随机的,因此未被授权的第三方未获得关于通信密码密钥kT和链路量子密钥kL1和kL2的信息。
结果,向P个用户(其中,P>1)分配一个且相同的通信密码密钥能够使得所述P个用户通过一个或多个公共信道(例如,经由因特网)以安全的方式彼此通信。
便利地,通信密码密钥可被所述P个用户用作密码密钥,可被所述P个用户用作用于加密算法的辅助,可被所述P个用户直接用于OTP加密,可存储在所述P个用户的电子装置上(例如,在诸如USB闪存驱动器或外部USB硬盘驱动器的便携式数据存储装置上,或在桌上型电脑上,或在诸如膝上型电脑或平板电脑的便携式电脑上,或在智能手机上等),以由所述P个用户后续用于以安全方式彼此通信等。
在链路量子密钥已被用于通信密码密钥的OTP加密后,此链路量子密钥被丢弃,并且必须使用新链路量子密钥来用于新的通信密码密钥的分配。
因此,利用根据本发明第一方面的密码密钥分配系统,可采用以下三种用于链路量子密钥和通信密码密钥的分配策略:
1)每次密码密钥分配系统的P(其中,P>1)个用户需要以安全方式彼此通信,则所述P个用户使用一个或多个客户端节点以分别获得各自的链路量子密钥,他们然后使用链路量子密钥以从服务器节点S获得一个且相同的通信密码密钥;
2)密码密钥分配系统的用户使用客户端节点以获得多个链路量子密钥,他/她将其存储在各自的电子装置上(例如,在诸如USB闪存驱动器或外部USB硬盘驱动器的便携式数据存储装置上,或在桌上型电脑上,或在诸如膝上型电脑或平板电脑的便携式电脑上,或在智能手机上,等等),并且然后在需要从服务器节点S获得通信密码密钥时使用它们中的一个;通过使用所存储的链路量子密钥,所述用户可利用客户端节点或利用能够通过公共信道与服务器节点S通信的任何电子通信装置获得通信密码密钥;一旦所述用户用完所存储的链路量子密钥,他/她必须再次使用客户端节点来进一步获得链路量子密钥;
3)密码密钥分配系统的P(其中,P>1)个用户使用所述密码密钥分配系统以获得多个通信密码密钥,他们将其存储在各自的电子装置上(例如,在诸如USB闪存驱动器或外部USB硬盘驱动器的便携式数据存储装置上,或在桌上型电脑上,或在诸如膝上型电脑或平板电脑的便携式电脑上,或在智能手机上,等等),并且然后当他们需要以安全方式彼此通信时使用这些通信密码密钥。
根据本发明的第一方面的密码密钥分配系统是分级系统,其中,服务器节点S拥有所有的通信密码密钥、所有的链路量子密钥以及所有的QKD认证密钥,而各用户仅具有各自的链路量子密钥、用于对他/她进行认证的通信密码密钥以及朝向服务器节点S的各自的当前的QKD认证密钥。
具体地,服务器节点S用作密钥管理器,或者更确切地,其:
·在数据库中存储/更新所产生的通信密码密钥、所分配的通信密码密钥、所产生的链路量子密钥、所使用的链路量子密钥、所产生的QKD认证密钥以及所使用的QKD认证密钥,其中,其还存储密钥何时产生以及分配/使用的时间数据;
·响应于对密码密钥的全局和/或特殊请求;以及
·实时监测量子网络,或者更确切地,由量子信道构成的网络,从而始终实时地设定量子通信所需的最佳参数。
根据本发明第一方面的密码密钥分配系统可以便利地包括备用服务器节点,其被配置为在主服务器节点由于主服务器的简单故障或故障恢复而不能工作时替代主服务器。
具体地,备用服务器节点可方便地被配置为周期性地将自身与主服务器节点S同步,以在相应数据库中存储/更新由所述主服务器节点S存储的通信密码密钥、链路量子密钥和QKD认证密钥,以始终与主服务器节点S关于所产生和分配/使用的密钥进行校准。
为了增加密码密钥分配系统所保证的安全级别,根据本发明第一方面的优选实施方式,除链路量子密钥外,还使用了用户面向服务器节点S的服务认证密钥以保护通信密码密钥向用户的分配。
具体地,根据本发明第一方面的所述优选实施方式,第一用户和第二用户在分别接收到第一链路量子密钥kL1和第二链路量子密钥kL2之后,连接至服务器节点S以请求用于以安全方式(如前述,通过向服务器节点S发送各自的加密消息)彼此通信所使用的公共密码密钥,而存储有第一用户面向所述服务器节点S的D位当前服务认证密钥kAUT-S-1以及第二用户面向所述服务器S的D位当前服务认证密钥kAUT-S-2的服务器节点S进行如下操作:
·产生(或,在前述的可选实施方式中,从密钥产生器接收)并存储N’位的通信密码密钥kT;
·产生(或,在前述的可选实施方式中,从密钥产生器接收)并存储第一用户面向所述服务器节点S的D位新的服务认证密钥
·利用第一链路量子密钥kL1作为加密密钥进行通信密码密钥kT和第一用户面向所述服务器节点S的新的服务认证密钥的OTP加密,通过这种方法,获得N位的第一加密消息(此处N=N’+D);
·基于例如对称密钥加密算法,利用第一用户面向所述服务器节点S的当前服务认证密钥kAUT-S-1作为加密密钥进行第一加密消息的非OTP加密,通过这种方法,获得第二加密消息;
·向第一用户发送第二加密消息;
·产生(或,在前述的可选实施方式中,从密钥产生器接收)并存储第二用户面向所述服务器节点S的D位新的服务认证密钥
·利用第二链路量子密钥kL2作为加密密钥进行通信密码密钥kT和第二用户面向所述服务器节点S的新的服务认证密钥的OTP加密,通过这种方法,获得N位的第三加密消息
·基于例如对称密钥加密算法,利用第二用户面向所述服务器节点S的当前服务认证密钥kAUT-S-2作为加密密钥进行第三加密消息的非OTP加密,通过这种方法,获得第四加密消息;并且
·向第二用户发送第四加密消息。
第一用户首先利用所述第一用户面向服务器节点S的当前服务认证密钥kAUT-S-1、而后利用第一链路量子密钥kL1解密接收自所述服务器节点S的第二加密消息,从而获得通信密码密钥kT和所述第一用户面向所述服务器节点S的新的服务认证密钥
同样的方式,第二用户首先利用所述第二用户面向所述服务器节点S的当前服务认证密钥kAUT-S-2、而后利用第二链路量子密钥kL2解密接收自所述服务器节点S的第四加密消息,从而获得通信密码密钥kT和所述第二用户面向所述服务器节点S的新的服务认证密钥
之后,第一和第二用户面向服务器节点S的新服务认证密钥将被用于从服务器节点S到第一和第二用户的新的通信密钥的分配。
方便地,当用户向密码密钥分配系统申请时,可向其提供面向服务器节点S的初始服务认证密码。
根据本发明的第一方面,当用户希望与服务器节点S通信,例如请求通信密码密钥以便能够与另一用户安全通信时,他/她可方便地进行关于利用客户端节点产生相应链路量子密钥和关于通信密码密钥分配(利用或不利用面向服务器节点S的相应服务认证密钥)的前述整个流程,以获得用户可以方便地用来与服务器节点S以安全方式通信的另外的通信密码密钥。
关于量子网络,根据本发明第一方面的密码密钥分配系统具有星型结构,该星型结构可以方便地扩展,既保证了在比城域(大约90Km)更大的距离上产生和分配密码密钥,又从网络中心观点来看保证了系统冗余。
具体地,根据本发明的第二方面,密码密钥分配系统的量子网络的结构可通过利用一个或多个中继器节点方便地扩展,该一个或多个中继器节点被配置为同时作为服务器节点和客户端节点工作。
在这点上,为了描述本发明的第二方面,图2示出了根据本发明所述第二方面的密码密钥分配系统的示例。
具体地,图2所示的密码密钥分配系统包括:
·服务器节点S;
·第一客户端节点C1,通过图2中以实线段表征的第一量子信道连接至服务器节点S;
·中继器节点R,通过图2中以实线段表征的第二量子信道连接至服务器节点S;和
·第二客户端节点C2,该节点通过图2中以实线段表征的第三量子信道连接至中继器节点R。
在使用时,客户端节点C1和C2每一个均可被密码密钥分配系统的一个或多个用户使用以接收一个或多个相应的链路量子密钥。
具体地,例如如果第一用户使用第一客户端节点C1接收相应的链路量子密钥,将进行下列操作:
·第一客户端节点C1从第一用户处接收所述第一用户面向服务器节点S的M位当前QKD认证密钥kAUT-QKD-1;
·存储有第一用户面向所述服务器节点S的所述当前QKD认证密钥kAUT-QKD-1的服务器节点S和第一客户端节点C1在保密增强步骤中利用第一用户面向所述服务器节点S的当前QKD认证密钥kAUT-QKD-1在第一量子信道上实施基于BB84协议的QKD;通过这种方法,第一客户端节点C1和服务器节点S产生包含与所述第一用户关联的N位的第一链路量子密钥kL1和所述第一用户面向服务器节点S的M位新QKD认证密钥的L位的字符串(string)(其中L=N+M);
·服务器节点S保存与所述第一用户关联的第一链路量子密钥kL1和所述第一用户面向所述服务器节点S的新QKD认证密钥并且
·第一客户端节点C1向第一用户提供与所述第一用户关联的第一链路量子密钥kL1和所述第一用户面向所述服务器节点S的新QKD认证密钥
当第一用户再次使用一客户端节点以接收新的链路量子密钥时,所述客户端节点和服务器节点S将在被实施为产生新链路量子密钥的新QKD的保密增强步骤中,使用所述第一用户面向服务器节点S的新QKD认证密钥
方便地,当第一用户向密码密钥分配系统申请时,可向其提供面向服务器节点S的初始QKD认证密钥。
此外,如果第二用户使用第二客户端节点C2以接收相应的链路量子密钥,则进行下列操作:
·存储所述中继器节点R面向所述服务器节点S的M位当前QKD认证密钥kAUT-QKD-R的服务器节点S和中继器节点R在保密增强步骤中,利用所述中继器节点R面向所述服务器节点S的当前QKD认证密钥kAUT-QKD-R在第二量子信道上实施基于BB84协议的QKD;通过这种方法,服务器节点S和中继器节点R产生包含与所述第二用户关联的N位的第二链路量子密钥kL2和所述中继器节点面向服务器节点S的M位新QKD认证密钥的L位的字符串(其中L=N+M);
·服务器节点S保存与所述第二用户关联的第二链路量子密钥kL2和所述中继器节点面向所述服务器节点S的新QKD认证密钥
·中继器节点R保存所述中继器节点面向所述服务器节点S的新QKD认证密钥
·第二客户端节点C2(从第二用户处接收所述第二用户面向中继器节点R的M位当前QKD认证密钥kAUT-QKD-2)和中继器节点R(保存所述第二用户面向中继器节点R的所述当前QKD认证密钥kAUT-QKD-2)在保密增强步骤中,利用所述第二用户面向中继器节点R的所述当前QKD认证密钥kAUT-QKD-2在第三量子信道上实施基于BB84协议的QKD,通过这种方法,产生包含N位的传输量子密钥kR-2和所述第二用户面向中继器节点R的M位新QKD认证密钥的L位的字符串;
·第二客户端节点C2向第二用户提供传输量子密钥kR-2和所述第二用户面向中继器节点R的新QKD认证密钥
·中继器节点R
-保存所述第二用户面向所述中继器节点R的新QKD认证密钥
-利用传输量子密钥kR-2作为加密密钥进行第二链路量子密钥kL2的OTP加密,进而得到N位的加密消息并且
-在公共信道上向第二用户发送所述加密消息该第二用户方便地使用相应的电子通信设备(如台式电脑、笔记本电脑、平板电脑甚至客户端节点);并且
·第二用户利用传输量子密钥kR-2解密接收自中继器节点R的加密消息从而得到第二链路量子密钥kL2。
当第二用户使用连接至中继器节点R的客户端节点来接收新链路量子密钥时,所述客户端节点和中继器节点R将在被实施为产生新传输量子密钥的新QKD的保密增强步骤中,使用所述第二用户面向中继器节点R的新QKD认证密钥而中继器节点R和服务器节点S将在被实施用来为第二用户产生新链路量子密钥的新QKD的保密增强步骤中,使用所述中继器节点R面向所述服务器节点S的新QKD认证密钥
方便地,面向服务器节点S的初始QKD认证密钥可在安装时提供至中继器节点R,同时当第二用户向密码密钥分配系统申请时,也可向其提供。
利用客户端节点(直接连接至服务器节点S或连接至中继器节点R)接收相应链路/传输量子密钥kL/kR的、根据本发明第二方面的密码密钥分配系统的用户可以方便地通过多种方式向所述客户端节点提供面向服务器/中继器节点S/R的相应当前QKD认证密钥kAUT-QKD,具体地:
·通过所述客户端节点的用户界面的方式;或
·通过本地连接(例如通过USB连接的方式)保存面向服务器/中继器节点S/R的所述相应当前QKD认证密钥kAUT-QKD的相应便携电子设备;这种情况下,客户端节点从本地连接的便携电子设备中得到/接收当前认证密钥QKDkAUT-QKD。
通过相同的方式,客户端节点可方便地向用户提供相应的链路/传输量子密钥kL/kR和所述用户面向服务器/中继器节点S/R的新QKD认证密钥具体地:
·通过所述客户端节点的用户界面的方式;或
·通过在本地连接至所述客户端节点的、所述用户的便携电子设备上保存所述密钥,例如通过USB连接的方法。
本地连接至客户端节点的便携式电子设备可以方便地是便携数据存储设备,如USB闪存驱动器或外部USB硬盘驱动器,或便携电脑,如笔记本或平板电脑,或智能手机。
在这点上,如果第一用户和第二用户在分别接收到第一链路量子密钥kL1和第二链路量子密钥kL2之后,均使用相应的电子通信设备(例如台式电脑、笔记本电脑、平板甚至客户节点)连接至服务器节点S以请求用于以安全的方式(如前述,通过向服务器节点S发送各自的加密消息)彼此通信而使用的公共密码密钥,则存储第一用户面向所述服务器节点S的D位当前服务认证密钥kAUT-S-1以及第二用户面向所述服务器S的D位当前服务认证密钥kAUT-S-2的服务器节点S进行如下操作:
·产生并存储N’位的通信密码密钥kT;
·产生并存储第一用户面向所述服务器节点S的D位新服务认证密钥
·利用第一链路量子密钥kL1作为加密密钥进行通信密码密钥kT和第一用户面向所述服务器节点S的新服务认证密钥的OTP加密,通过这种方法,获得N位的第一加密消息(此处N=N’+D);
·基于例如对称密钥加密算法,利用第一用户面向所述服务器节点S的当前服务认证密钥kAUT-S-1作为加密密钥进行第一加密消息的非OTP加密,通过这种方法,获得第二加密消息;
·向第一用户发送第二加密消息;
·产生并存储第二用户面向所述服务器节点S的D位新服务认证密钥
·利用第二链路量子密钥kL2作为加密密钥进行通信密码密钥kT和第二用户面向所述服务器节点S的新服务认证密钥的OTP加密,通过这种方法,获得N位的第三加密消息
·基于例如对称密钥加密算法,利用第二用户面向所述服务器节点S的当前服务认证密钥kAUT-S-2作为加密密钥进行第三加密消息的非OTP加密,通过这种方法,获得第四加密消息;并且
·向第二用户发送第四加密消息。
第一用户首先利用所述第一用户面向所述服务器节点S的当前服务认证密钥kAUT-S-1、而后利用第一链路量子密钥kL1解密接收自服务器节点S的第二加密消息,从而获得通信密码密钥kT和所述第一用户面向所述服务器节点S的新服务认证密钥
同样,第二用户首先利用所述第二用户面向所述服务器节点S的当前服务认证密钥kAUT-S-2、而后利用第二链路量子密钥kL2解密接收自服务器节点S的第四加密消息,从而获得通信密码密钥kT和所述第二用户面向所述服务器节点S的新服务认证密钥
之后第一和第二用户面向服务器节点S的新服务认证密钥将用于从服务器节点S到第一和第二用户的新的通信密钥的分配。
方便地,当第一和第二用户向密码密钥分配系统申请时,可向第一和第二用户提供面向服务器节点S的初始服务认证密钥。
便利地,当第一用户和第二用户向密码密钥分配系统申请时,朝向服务器节点S的初始服务认证密钥可以提供给第一用户和第二用户。
如已经关于本发明的第一方面所描述的,常规地,对由第一用户和第二用户发送至服务器节点S且与用于在所述用户之间建立安全通信的请求有关的信息进行加密,以防止任何未授权的第三方能够欺骗性地截取并破译这些信息并由此防止第三方代替授权用户之一或联合所述的授权用户。
优选地,服务器节点S被构造为随机地产生朝向所述服务器节点S的用户的通信密码密钥和新服务认证密钥。
仍更优选地,服务器节点S被构造为作为QRNG操作。因此,在使用时,服务器节点S通过操作为QRNG而产生朝向所述服务器节点S的用户的通信密码密钥和新服务认证密钥。
在可选实施方式中,服务器节点S没有产生通信密码密钥和朝向所述服务器节点S的用户的新服务认证密钥,但其被构造为从密钥产生器(例如,与所述服务器节点S分离的QRNG)接收通信密码密钥和新服务认证密钥。具体地,服务器节点S可以便利地通过固有安全信道连接至密钥产生器,该固有安全信道是保证或不危及服务器节点S与密钥产生器之间的连接的安全性的信道,因此,服务器节点S可以通过所述固有安全信道以绝对安全的方式便利地接收通信密码密钥和朝向所述服务器节点S的用户的新服务认证密钥。可选地,通信密码密钥和朝向服务器节点S的用户的新服务认证密钥可以便利地由所述服务器节点S的管理员提供给所述服务器节点S,管理员执行先前结合本发明的第一方面所描述的步骤。
根据先前的描述,受益于双重加密,如何对两个用户分配通信密码密钥kT实际上不带来所述通信密码密钥kT被未授权第三方窃听的风险是显而易见的。
具体地,在将通信密码密钥kT从服务器节点S分配给第二用户时,由于使用基于所述第二用户面向所述服务器节点S的当前服务认证密钥kAUT-S-2的非OTP加密,连实际知道第二链路量子密钥kL2的中继器节点(repeater node)R也不能够跟踪通信密码密钥kT。因此,根据本发明第二方面的密码密钥分配系统解决影响在WO2007/123869A2中描述的发明的安全问题。
为了连接位于远离服务器节点S的客户端节点,根据本发明第二方面的密码密钥分配系统的量子网络的架构可以通过使用包括多个中继器节点的中继器网络进一步扩展。在任一情况下,进一步扩展的系统的操作概念性地保持结合图2中所示的密码密钥分配系统先前描述的。
根据本发明的第二方面,当用户想要与服务器节点S通信,例如以请求通信密码密钥以能够安全地与另一用户通信时,他/她可便利地执行关于通过使用客户端节点(以及可能一个或多个中继器节点)产生各自的链路量子密钥以及关于通信密码密钥的分配先前描述的整个过程,以获得用户可便利地使用其以安全的方式与服务器节点S通信的另外的通信密码密钥。
根据本发明第二方面的密码密钥分配系统为分级系统,其中:
·服务器节点S在数据库中存储/更新(产生并分配的)通信密码密钥、与用户相关联的(产生并使用的)链路量子密钥、与用户(使用通过各自量子信道连接至所述服务器节点S的客户端节点)相关联的(产生并使用的)QKD认证密钥、与通过相应的量子信道连接至所述服务器节点S的中继器节点相关联的(产生并使用的)QKD认证密钥以及朝向所述服务器节点S的用户的(产生并使用的)服务认证密钥;
·各中继器节点R存储与使用通过相应的量子信道连接至所述中继器节点R的节点的用户相关联的(产生并使用的)传输量子密钥以及朝向通过相应的量子信道连接至所述中继器节点R的节点的所述中继器节点R的(产生并使用的)QKD认证密钥和朝向所述中继器节点R的用户的(产生并使用的)QKD认证密钥;以及
·每个用户均拥有他/她从服务器节点S接收的通信密码密钥、各自的链路量子密钥、朝向服务器节点S的各个服务认证密钥以及朝向服务器节点S和/或朝向一个或多个中继器节点的各自的QKD认证密钥。
另外,服务器节点S实时监测直接连接至所述服务器节点S的量子信道,以始终实时地设定量子通信所需要的最佳参数。以相同的方式,每个中继器节点R实时地监测直接连接至所述中继器节点R的量子信道,以再一次实时地设定量子通信所需的最佳参数。
根据本发明第二方面的密码密钥分配系统可以便利地包括备用服务器节点,其被配置为在主服务器节点S由于主服务器节点S的简单故障或故障恢复而不能工作时替代主服务器。
具体地,备用服务器可便利地配置为:
·存储朝向主服务器节点S的用户的所有初始服务认证密钥,并且当被启用时,利用朝向主服务器节点S的用户的这些初始服务认证密钥来分配通信密码密钥;或者
·存储朝向所述备用服务器节点的用户的各个初始服务认证密钥,并且当被启用时,利用朝向所述备用服务器节点的用户的这些各个初始服务认证密钥来分配通信密码密钥;或者
·周期性地将其自身与主服务器节点S同步,以在相应的数据库中存储/更新由所述主服务器节点S存储的通信密码密钥、链路量子密钥和服务认证密钥所有这些密钥,以始终与所述主服务器节点S关于产生并分配/使用的通信密码密钥、链路量子密钥和服务认证密钥进行校准。
此外,利用根据本发明第二方面的密码密钥分配系统,可采用以下三种用于链路量子密钥和通信密码密钥的分配策略:
1)每次密码密钥分配系统的P(其中,P>1)个用户需要以安全方式彼此通信,则所述P个用户使用一个或多个客户端节点(和/或中继器节点(S))以获得各自的链路量子密钥,他们然后使用链路量子密钥以从服务器节点S获得一个且相同的通信密码密钥;
2)密码密钥分配系统的用户使用客户端节点(或中继器)以获得多个链路量子密钥,他/她将其存储在各自的电子装置上(例如,在诸如USB闪存驱动器或外部USB硬盘驱动器的便携式数据存储装置上,或在桌上型电脑上,或在诸如膝上型电脑或平板电脑的便携式电脑上,或在智能手机上,等等),并且然后在需要从服务器节点S获得通信密码密钥时使用它们中的一个;通过使用所存储的链路量子密钥,所述用户可利用客户端节点或利用能够通过公共信道与服务器节点S通信的任何电子通信装置获得通信密码密钥;一旦所述用户用完所存储的链路量子密钥,他/她必须再次使用客户端节点或中继器节点来进一步获得链路量子密钥;
3)密码密钥分配系统的P(其中,P>1)个用户使用一个或多个客户端节点(和/或中继器节点),以获得多个通信密码密钥,他们将其存储在各自的电子装置上(例如,在诸如USB闪存驱动器或外部USB硬盘驱动器的便携式数据存储装置上,或在桌上型电脑上,或在诸如膝上型电脑或平板电脑的便携式电脑上,或在智能手机上,等等),并且然后当他们需要以安全方式彼此通信时使用这些通信密码密钥。
最后,重要的是再一次强调以下事实:为了接收通信密码密钥,根据本发明的密码密钥分配系统的每一用户可以使用:
·各自的电子通信装置(例如,桌上型计算机、便携式计算机、平板电脑、智能手机等),其被配置为通过一个或多个公共通信信道(例如经由因特网)连接至服务器节点S,并且包括被配置为与所述服务器节点S通信以及执行先前所描述的OTP和非OTP解密操作的软件模块;和/或
·密码密钥分配系统的客户端节点或中继器节点(例如,可以通过将其连接至服务器节点S的量子信道的公共链路接收通信密码密钥,并且便利地包括被配置为执行先前描述的OTP和非OTP解密操作的软件模块)。
根据上文所描述的,本发明的优点将是显而易见的。
具体地,再一次强调以下事实:根据本发明的第二方面,尽管中继器节点R知悉一些用户的链路量子密钥,但由于在所述通信密码密钥的分配中使用基于朝向服务器节点S的用户的当前服务认证密钥的非OTP加密,其不能够跟踪通信密码密钥。换言之,即使中继器节点R是奸诈性的,中继器节点R也不能够将与两个以上授权用户相关联的通信密码密钥分配给其他未授权使用者,从而提供了所述授权用户之间绝对安全的通信。因此,本发明的第二方面解决了在WO 2007/123869A2中描述的安全性问题。
此外,强调以下事实也是重要的:由于使用QKD、OTP加密和服务认证密钥,根据本发明的密码密钥分配系统如果被使用,就能够在不存在未授权第三方能够窃听或甚至为“偷窃”的风险下将加密密钥分配给用户。
另外,根据本发明的密码密钥分配系统克服了已知QKD系统的缺点。事实上,由于根据本发明的密码密钥分配系统的量子网络的可扩展架构,将克服下面的缺陷:
·与以下事实相关的缺陷:为了产生对两个通信装置共用的安全密码密钥,两个通信装置必须彼此接近或更合适地在几千米的距离处,以能够利用QKD;以及
·与以下事实相关的缺陷:即,针对每对通信装置,为了产生对两者共用的安全密码密钥,必须设立连接所述装置的相应量子信道来利用QKD。
最后,明显地,在没有背离所附权利要求限定的本发明的保护范围的前提下,可以对本发明进行各种修改。
Claims (11)
1.一种密码密钥分配系统,包括:
·服务器节点(S);
·至少第一客户端节点(C1),通过第一量子信道连接至所述服务器节点(S);
·中继器网络,通过第二量子信道连接至所述服务器节点(S);以及
·至少第二客户端节点(C2),通过第三量子信道连接至所述中继器网络;
其中,所述服务器节点(S)和所述第一客户端节点(C1)被配置为通过在所述第一量子信道上实施量子密钥分配而协作产生与第一系统用户相关联的第一链路量子密钥;
其中,所述第一客户端节点(C1)被配置为将所述第一链路量子密钥提供给所述第一系统用户;
其中,所述中继器网络和所述第二客户端节点(C2)被配置为通过在所述第三量子信道上实施量子密钥分配而协作产生与第二系统用户相关联的传输量子密钥;
其中,所述第二客户端节点(C2)被配置为将所述传输量子密钥提供给所述第二系统用户;
其中,所述服务器节点(S)和所述中继器网络被配置为通过在所述第二量子信道上实施量子密钥分配而协作产生与所述第二系统用户相关联的第二链路量子密钥;
其中,所述中继器网络被进一步配置为:
·基于所述传输量子密钥对所述第二链路量子密钥进行加密;以及
·通过一个或多个公共通信信道将加密的第二链路量子密钥发送至所述第二系统用户;
其中,所述服务器节点(S)被进一步配置为:
·存储与所述第一系统用户相关联的当前第一服务认证密钥以及与所述第二系统用户相关联的当前第二服务认证密钥;
·基于所述第一链路量子密钥和所述当前第一服务认证密钥,对与所述第一系统用户和所述第二系统用户相关联的通信密码密钥以及与所述第一系统用户相关联的新的第一服务认证密钥进行加密;
·通过一个或多个公共通信信道将基于所述第一链路量子密钥和所述当前第一服务认证密钥加密的所述通信密码密钥和所述新的第一服务认证密钥发送至所述第一系统用户;
·基于所述第二链路量子密钥和所述当前第二服务认证密钥,对与所述第一系统用户和所述第二系统用户相关联的所述通信密码密钥以及与所述第二系统用户相关联的新的第二服务认证密钥进行加密;以及
·通过一个或多个公共通信信道将基于所述第二链路量子密钥和所述当前第二服务认证密钥加密的所述通信密码密钥和所述新的第二服务认证密钥发送至所述第二系统用户;以及
·用所述新的第一服务认证密钥更新存储在存储器中的所述当前第一服务认证密钥以及用所述新的第二服务认证密钥更新存储在存储器中的所述当前第二服务认证密钥。
2.根据权利要求1所述的系统,其中,所述服务器节点(S)被配置为:
·通过基于所述第一链路量子密钥对所述通信密码密钥和所述新的第一服务认证密钥进行一次性密码本(OTP)加密,来对所述通信密码密钥和所述新的第一服务认证密钥进行加密,以获得第一加密消息;
·基于所述当前第一服务认证密钥对所述第一加密消息进行加密,以获得第二加密消息;
·通过一个或多个公共通信信道将所述第二加密消息发送至所述第一系统用户;
·通过基于所述第二链路量子密钥对所述通信密码密钥和所述新的第二服务认证密钥进行一次性密码本(OTP)加密,来对所述通信密码密钥和所述新的第二服务认证密钥进行加密,以获得第三加密消息;
·基于所述当前第二服务认证密钥对所述第三加密消息进行加密,以获得第四加密消息,以及
·通过一个或多个公共通信信道将所述第四加密消息发送至所述第二系统用户。
3.根据权利要求1或2所述的系统,其中,所述中继器网络包括中继器节点(R),所述中继器节点通过所述第二量子信道连接至所述服务器节点(S)并且通过所述第三量子信道连接至所述第二客户端节点(C2);
其中,所述中继器节点(R)和所述第二客户端节点(C2)被配置为通过在所述第三量子信道上实施量子密钥分配而协作产生与所述第二系统用户相关联的所述传输量子密钥;
其中,所述中继器节点(R)和所述服务器节点(S)被配置为通过在所述第二量子信道上实施量子密钥分配而协作产生与所述第二系统用户相关联的所述第二链路量子密钥;
并且其中,所述中继器节点(R)被进一步配置为:
·基于所述传输量子密钥对所述第二链路量子密钥进行加密;以及
·通过一个或多个公共通信信道将加密的第二链路量子密钥发送至所述第二系统用户。
4.根据权利要求1或2所述的系统,其中,所述中继器网络包括:
·第一中继器节点,通过所述第二量子信道连接至所述服务器节点(S);以及
·第二中继器节点,通过所述第三量子信道连接至所述第二客户端节点(C2)并且通过第四量子信道连接至所述第一中继器节点;
其中,所述第一中继器节点和所述服务器节点(S)被配置为通过在所述第二量子信道上实施量子密钥分配而协作产生与所述第二系统用户相关联的所述第二链路量子密钥;
其中,所述第二中继器节点和所述第二客户端节点(C2)被配置为通过在所述第三量子信道上实施量子密钥分配而协作产生与所述第二系统用户相关联的所述传输量子密钥;
其中,所述第一中继器节点和所述第二中继器节点被配置为通过在所述第四量子信道上实施量子密钥分配而协作产生另外的传输量子密钥;
其中,所述第一中继器节点被进一步配置为:
·基于与所述第二中继器节点协作产生的所述另外的传输量子密钥,对所述第二链路量子密钥进行加密;以及
·通过一个或多个公共通信信道,将基于与所述第二中继器节点协作产生的所述另外的传输量子密钥加密的所述第二链路量子密钥发送至所述第二中继器节点;
并且,其中所述第二中继器节点被进一步配置为:
·基于与所述第一中继器节点协作产生的所述另外的传输量子密钥,对从所述第一中继器节点接收到的加密的第二链路量子密钥进行解密;
·基于与所述第二系统用户相关联的所述传输量子密钥对所述第二链路量子密钥进行加密;以及
·通过一个或多个公共通信信道,将基于与所述第二系统用户相关联的所述传输量子密钥加密的所述第二链路量子密钥发送至所述第二系统用户。
5.根据权利要求1或2所述的系统,其中,所述中继器网络包括:
·第一中继器节点,通过所述第二量子信道连接至所述服务器节点(S);以及
·第二中继器节点,通过所述第三量子信道连接至所述第二客户端节点(C2);
·中间中继器节点,通过第四量子信道连接至所述第一中继器节点并且通过第五量子信道连接至所述第二中继器节点;
其中,所述第一中继器节点和所述服务器节点(S)被进一步配置为通过在所述第二量子信道上实施量子密钥分配而协作产生与所述第二系统用户相关联的所述第二链路量子密钥;
其中,所述第二中继器节点和所述第二客户端节点(C2)被配置为通过在所述第三量子信道上实施量子密钥分配而协作产生与所述第二系统用户相关联的所述传输量子密钥;
其中,所述第一中继器节点和所述中间中继器节点被配置为通过在所述第四量子信道上实施量子密钥分配而协作产生第一另外的传输量子密钥;
其中,所述中间中继器节点和所述第二中继器节点被配置为通过在所述第五量子信道上实施量子密钥分配而协作产生第二另外的传输量子密钥;
其中,所述第一中继器节点被进一步配置为:
·基于与所述中间中继器节点协作产生的所述第一另外的传输量子密钥,对所述第二链路量子密钥进行加密;以及
·通过一个或多个公共通信信道,将基于与所述中间中继器节点协作产生的所述第一另外的传输量子密钥加密的所述第二链路量子密钥发送至所述中间中继器节点;
其中,所述中间中继器节点被进一步配置为:
·基于与所述第一中继器节点协作产生的所述第一另外的传输量子密钥,将从所述第一中继器节点接收到的加密的第二链路量子密钥解密;
·基于与所述第二中继器节点协作产生的所述第二另外的传输量子密钥,对所述第二链路量子密钥进行加密;以及
·通过一个或多个公共通信信道,将基于与所述第二中继器节点协作产生的所述第二另外的传输量子密钥加密的所述第二链路量子密钥发送至所述第二中继器节点;
并且其中,所述第二中继器节点被进一步配置为:
·基于与所述中间中继器节点协作产生的所述第二另外的传输量子密钥,将从所述中间中继器节点接收到的加密的第二链路量子密钥解密;
·基于与所述第二系统用户相关联的所述传输量子密钥,对所述第二链路量子密钥进行加密;以及
·通过一个或多个公共通信信道,将基于与所述第二系统用户相关联的所述传输量子密钥加密的所述第二链路量子密钥发送至所述第二系统用户。
6.根据权利要求1或2所述的系统,其中,所述服务器节点(S)被配置为通过操作为量子随机数产生器(QRNG)产生所述通信密码密钥。
7.根据权利要求1或2所述的系统,其中,所述服务器节点(S)被配置为从与所述服务器节点(S)分离的密钥产生器接收所述通信密码密钥。
8.一种密码密钥分配系统,包括服务器节点(S)以及一个或多个客户端节点(C1,C2,C3,C4);
其中,各个客户端节点(C1,C2,C3,C4)通过各自的量子信道连接至所述服务器节点(S);
其中,所述服务器节点(S)和各个客户端节点(C1,C2,C3,C4)被配置为通过在各自的量子信道上实施量子密钥分配而协作产生与系统用户相关联的链路量子密钥;
其中,各个客户端节点(C1,C2,C3,C4)被配置为将与所述服务器节点(S)协作产生的与特定系统用户相关联的链路量子密钥提供给所述特定系统用户;
并且,其中所述服务器节点(S)被进一步配置为:
·将与第一系统用户相关联的当前第一服务认证密钥和与第二系统用户相关联的当前第二服务认证密钥存储;
·基于与所述第一系统用户相关联的第一链路量子密钥以及所述当前第一服务认证密钥,对与所述第一系统用户和所述第二系统用户相关联的通信密码密钥以及与所述第一系统用户相关联的新的第一服务认证密钥进行加密;
·通过一个或多个公共通信信道,将基于所述第一链路量子密钥和所述当前第一服务认证密钥加密的所述通信密码密钥和所述新的第一服务认证密钥发送至所述第一系统用户;
·基于与所述第二系统用户相关联的第二链路量子密钥和所述当前第二服务认证密钥,将与所述第一系统用户和所述第二系统用户相关联的所述通信密码密钥以及新的第二服务认证密钥进行加密;
·通过一个或多个公共通信信道,将基于所述第二链路量子密钥以及所述当前第二服务认证密钥加密的所述通信密码密钥和所述新的第二服务认证密钥发送至所述第二系统用户,以及
·用所述新的第一服务认证密钥更新存储在存储器中的所述当前第一服务认证密钥以及用所述新的第二服务认证密钥更新存储在存储器中的所述当前第二服务认证密钥。
9.根据权利要求8所述的系统,其中,所述服务器节点(S)被配置为:
·通过基于所述第一链路量子密钥对所述通信密码密钥以及所述新的第一服务认证密钥执行一次性密码本(OTP)加密,对所述通信密码密钥以及所述新的第一服务认证密钥进行加密,以获得第一加密消息;
·基于所述当前第一服务认证密钥对所述第一加密消息进行加密,以获得第二加密消息;
·通过一个或多个公共通信信道将所述第二加密消息发送至所述第一系统用户;
·通过基于所述第二链路量子密钥对所述通信密码密钥和所述新的第二服务认证密钥进行一次性密码本(OTP)加密,来对所述通信密码密钥和所述新的第二服务认证密钥进行加密,以获得第三加密消息;
·基于所述当前第二服务认证密钥对所述第三加密消息进行加密,以获得第四加密消息,以及
·通过一个或多个公共通信信道将所述第四加密消息发送至所述第二系统用户。
10.根据权利要求8或9所述的系统,其中,所述服务器节点(S)被配置为通过操作为量子随机数产生器(QRNG)来产生所述通信密码密钥。
11.根据权利要求8或9所述的系统,其中,所述服务器节点(S)被配置为从与所述服务器节点(S)分离的密钥产生器接收所述通信密码密钥。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ITTO20110733 | 2011-08-05 | ||
ITTO2011A000733 | 2011-08-05 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102916806A CN102916806A (zh) | 2013-02-06 |
CN102916806B true CN102916806B (zh) | 2017-06-09 |
Family
ID=44721001
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210278057.9A Active CN102916806B (zh) | 2011-08-05 | 2012-08-06 | 密码密钥分配系统 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8903094B2 (zh) |
EP (1) | EP2555466B1 (zh) |
CN (1) | CN102916806B (zh) |
ES (1) | ES2509816T3 (zh) |
IL (1) | IL221286B (zh) |
IT (1) | ITTO20120702A1 (zh) |
Families Citing this family (77)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014103514A (ja) * | 2012-11-19 | 2014-06-05 | Toshiba Corp | 通信装置、通信システムおよびプログラム |
JP6054224B2 (ja) * | 2013-03-25 | 2016-12-27 | 株式会社東芝 | 通信装置、通信システム、通信方法およびプログラム |
CN106972922B (zh) * | 2013-06-08 | 2019-06-14 | 科大国盾量子技术股份有限公司 | 一种基于量子密钥分配网络的移动保密通信方法 |
US9584313B2 (en) | 2013-08-09 | 2017-02-28 | Introspective Power, Inc. | Streaming one time pad cipher using rotating ports for data encryption |
US9584488B2 (en) | 2013-08-09 | 2017-02-28 | Introspective Power, Inc. | Data encryption cipher using rotating ports |
JP6165646B2 (ja) * | 2014-01-30 | 2017-07-19 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
CN105553648B (zh) | 2014-10-30 | 2019-10-29 | 阿里巴巴集团控股有限公司 | 量子密钥分发、隐私放大及数据传输方法、装置及系统 |
CN104581706B (zh) * | 2015-01-09 | 2018-05-18 | 上海华申智能卡应用系统有限公司 | 基于非对称加密技术的智能移动终端间的数据安全交互方法 |
CN105871538B (zh) | 2015-01-22 | 2019-04-12 | 阿里巴巴集团控股有限公司 | 量子密钥分发系统、量子密钥分发方法及装置 |
KR20170133413A (ko) * | 2015-03-31 | 2017-12-05 | 코닝 인코포레이티드 | 양자 키 생성을 위한 시스템 및 방법 |
DE102015220038A1 (de) * | 2015-05-22 | 2016-11-24 | Robert Bosch Gmbh | Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk |
CN106470101B (zh) * | 2015-08-18 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及系统 |
CN105049193B (zh) * | 2015-09-16 | 2019-01-01 | 浙江神州量子网络科技有限公司 | 一种基于量子保密网络的应用集成系统和控制方法 |
CN106656907B (zh) * | 2015-10-28 | 2021-03-02 | 阿里巴巴集团控股有限公司 | 用于认证的方法、装置、终端设备及系统 |
CN105357000A (zh) * | 2015-12-10 | 2016-02-24 | 安徽问天量子科技股份有限公司 | 基于低空飞行器的量子密钥分发方法、系统、通信网络及通信方法 |
CN107086908B (zh) * | 2016-02-15 | 2021-07-06 | 阿里巴巴集团控股有限公司 | 一种量子密钥分发方法及装置 |
CN107347058B (zh) | 2016-05-06 | 2021-07-23 | 阿里巴巴集团控股有限公司 | 数据加密方法、数据解密方法、装置及系统 |
CN107370546B (zh) | 2016-05-11 | 2020-06-26 | 阿里巴巴集团控股有限公司 | 窃听检测方法、数据发送方法、装置及系统 |
CN107404461B (zh) | 2016-05-19 | 2021-01-26 | 阿里巴巴集团控股有限公司 | 数据安全传输方法、客户端及服务端方法、装置及系统 |
CN107437992A (zh) * | 2016-05-26 | 2017-12-05 | 聂际敏 | 安全数据存储系统及方法 |
JP6692259B2 (ja) * | 2016-08-31 | 2020-05-13 | 株式会社東芝 | 通信装置、通信方法および通信システム |
EP3291480B1 (en) | 2016-09-05 | 2020-09-02 | multitiv GmbH | Secure data transmission |
CN106452739A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 一种量子网络服务站以及量子通信网络 |
CN107959656B (zh) | 2016-10-14 | 2021-08-31 | 阿里巴巴集团控股有限公司 | 数据安全保障系统及方法、装置 |
CN107959567B (zh) | 2016-10-14 | 2021-07-27 | 阿里巴巴集团控股有限公司 | 数据存储方法、数据获取方法、装置及系统 |
CN106533673B (zh) * | 2016-12-08 | 2019-07-26 | 浙江神州量子网络科技有限公司 | 一种适用于多方量子通信的隐私放大方法 |
US10164778B2 (en) | 2016-12-15 | 2018-12-25 | Alibaba Group Holding Limited | Method and system for distributing attestation key and certificate in trusted computing |
CN106888084B (zh) * | 2017-01-04 | 2021-02-19 | 浙江神州量子网络科技有限公司 | 一种量子堡垒机系统及其认证方法 |
US10454892B2 (en) | 2017-02-21 | 2019-10-22 | Bank Of America Corporation | Determining security features for external quantum-level computing processing |
US10447472B2 (en) * | 2017-02-21 | 2019-10-15 | Bank Of America Corporation | Block computing for information silo |
KR20180097903A (ko) * | 2017-02-24 | 2018-09-03 | 삼성전자주식회사 | 무선 통신 시스템에서 보안 키를 생성하기 위한 장치 및 방법 |
CN108667608B (zh) | 2017-03-28 | 2021-07-27 | 阿里巴巴集团控股有限公司 | 数据密钥的保护方法、装置和系统 |
CN108667773B (zh) | 2017-03-30 | 2021-03-12 | 阿里巴巴集团控股有限公司 | 网络防护系统、方法、装置及服务器 |
CN108736981A (zh) | 2017-04-19 | 2018-11-02 | 阿里巴巴集团控股有限公司 | 一种无线投屏方法、装置及系统 |
US10432663B2 (en) | 2017-04-25 | 2019-10-01 | Bank Of America Corporation | Electronic security keys for data security based on quantum particle states that indicates type of access |
US10644882B2 (en) * | 2017-04-25 | 2020-05-05 | Bank Of America Corporation | Electronic security keys for data security based on quantum particle states |
CN107040378A (zh) * | 2017-06-01 | 2017-08-11 | 浙江九州量子信息技术股份有限公司 | 一种基于多用户远程通信的密钥分配系统与方法 |
CN107248913B (zh) * | 2017-07-28 | 2023-08-15 | 浙江九州量子信息技术股份有限公司 | 一种基于动态组网故障检测的量子密钥同步系统及方法 |
CN107579822A (zh) * | 2017-09-29 | 2018-01-12 | 浙江神州量子通信技术有限公司 | 基于量子通信的物业数据加密系统 |
CN107682355B (zh) * | 2017-10-27 | 2018-12-18 | 北京深思数盾科技股份有限公司 | 数据保护方法及装置、数据恢复方法及装置 |
ES2717548B2 (es) * | 2017-11-08 | 2020-11-26 | Univ Vigo | Acuerdo seguro de clave con dispositivos no confiables |
CN109842485B (zh) * | 2017-11-26 | 2021-07-20 | 成都零光量子科技有限公司 | 一种有中心的量子密钥服务网络系统 |
CN109842442B (zh) * | 2017-11-26 | 2020-07-28 | 成都零光量子科技有限公司 | 一种以机场为区域中心的量子密钥服务方法 |
CN109962773B (zh) * | 2017-12-22 | 2021-12-14 | 山东量子科学技术研究院有限公司 | 广域量子密码网络数据加密路由方法 |
EP3518489A1 (de) * | 2018-01-26 | 2019-07-31 | Siemens Aktiengesellschaft | Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels |
US10958423B2 (en) * | 2018-02-06 | 2021-03-23 | Microsoft Technology Licensing, Llc | Automated changeover of transfer encryption key |
CN112865964B (zh) * | 2018-04-13 | 2024-04-12 | 华为技术有限公司 | 一种量子密钥分发方法、设备及存储介质 |
EP3562115A1 (de) * | 2018-04-25 | 2019-10-30 | Siemens Aktiengesellschaft | Geschützte übertragung von daten mit hilfe post-quanten kryptographie |
CN109450620B (zh) | 2018-10-12 | 2020-11-10 | 创新先进技术有限公司 | 一种移动终端中共享安全应用的方法及移动终端 |
CN111106930B (zh) * | 2018-10-25 | 2023-03-14 | 北京国盾量子信息技术有限公司 | 区块链网络构建方法、装置及区块链网络系统 |
TR201821269A2 (tr) * | 2018-12-31 | 2020-07-21 | Oezyegin Ueniversitesi | Bir kargo nod aracılığı ile kuantum anahtar dağıtımı yöntemi. |
CN110022213A (zh) * | 2019-04-24 | 2019-07-16 | 长春大学 | 一种基于量子密钥保护计算机数据的多密级处理方法 |
US11469888B2 (en) | 2019-05-03 | 2022-10-11 | Quantumxchange, Inc. | Tamper detection in a quantum communications system |
US11411722B2 (en) | 2019-05-03 | 2022-08-09 | Quantumxchange, Inc. | Method of operation of a quantum key controller |
US11424918B2 (en) | 2019-05-03 | 2022-08-23 | Quantumxchange, Inc. | Method of operation of a trusted node software in a quantum key distribution system |
US11133823B2 (en) * | 2019-05-16 | 2021-09-28 | Red Hat, Inc. | Quantum compression service using superdense encoding |
CN114041275B (zh) * | 2019-06-26 | 2024-02-23 | 微软技术许可有限责任公司 | 无服务器平台上的机密的生命周期管理 |
CN114342313A (zh) * | 2019-06-28 | 2022-04-12 | 康宁股份有限公司 | 包括多信道量子中继器的量子通信系统 |
US11483140B2 (en) | 2019-08-02 | 2022-10-25 | Quantumxchange, Inc. | Secure out-of-band symmetric encryption key delivery |
US11436517B2 (en) | 2019-08-26 | 2022-09-06 | Bank Of America Corporation | Quantum-tunneling-enabled device case |
CN112448935A (zh) * | 2019-09-03 | 2021-03-05 | 华为技术有限公司 | 建立网络连接的方法及电子设备 |
US10997521B1 (en) | 2019-10-23 | 2021-05-04 | Bank Of America Corporation | Quantum-resilient computer cluster |
US11569989B2 (en) | 2019-10-23 | 2023-01-31 | Bank Of America Corporation | Blockchain system for hardening quantum computing security |
US11251946B2 (en) | 2019-10-31 | 2022-02-15 | Bank Of America Corporation | Quantum key synchronization within a server-cluster |
US11468356B2 (en) | 2019-10-31 | 2022-10-11 | Bank Of America Corporation | Matrix-based quantum-resilient server-cluster |
US11429519B2 (en) | 2019-12-23 | 2022-08-30 | Alibaba Group Holding Limited | System and method for facilitating reduction of latency and mitigation of write amplification in a multi-tenancy storage drive |
US11250304B1 (en) | 2020-07-23 | 2022-02-15 | Bank Of America Corporation | Payment card with light-based signature |
CN114389796A (zh) * | 2020-10-16 | 2022-04-22 | 中创为(成都)量子通信技术有限公司 | 量子云密钥协商方法、装置及系统、量子及量子云服务器 |
CN113676315B (zh) * | 2021-07-04 | 2024-04-30 | 河南国科量子通信技术应用研究院 | 一种星地一体量子网络的切片化应用方法 |
CN114258018B (zh) * | 2021-11-12 | 2024-04-09 | 中国南方电网有限责任公司 | 密钥管理方法、装置、计算机设备及存储介质 |
CN114079563B (zh) * | 2022-01-06 | 2022-04-12 | 天津市城市规划设计研究总院有限公司 | 基于量子密钥分发的数据安全灾备方法及系统 |
CN114095183B (zh) * | 2022-01-23 | 2022-05-03 | 杭州字节信息技术有限公司 | 一种客户端双重认证方法、终端设备及存储介质 |
CN114124385B (zh) * | 2022-01-26 | 2022-04-22 | 国网浙江省电力有限公司金华供电公司 | 应用于量子保密通信的备份链路系统 |
CN115348583B (zh) * | 2022-10-18 | 2023-01-03 | 中国民航信息网络股份有限公司 | 一种高速移动场景下的通信方法及系统 |
CN115720160B (zh) * | 2022-11-09 | 2023-09-01 | 中创通信技术(深圳)有限公司 | 一种基于量子密钥的数据通信方法及系统 |
CN116707807B (zh) * | 2023-08-09 | 2023-10-31 | 中电信量子科技有限公司 | 分布式零信任微隔离访问控制方法及系统 |
CN117176346B (zh) * | 2023-11-01 | 2024-03-08 | 中电信量子科技有限公司 | 分布式量子密钥链路控制方法及密钥管理系统 |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5737419A (en) * | 1994-11-09 | 1998-04-07 | Bell Atlantic Network Services, Inc. | Computer system for securing communications using split private key asymmetric cryptography |
US6980656B1 (en) * | 1998-07-17 | 2005-12-27 | Science Applications International Corporation | Chaotic communication system and method using modulation of nonreactive circuit elements |
US7457416B1 (en) * | 2002-07-17 | 2008-11-25 | Bbn Technologies Corp. | Key distribution center for quantum cryptographic key distribution networks |
US7512242B2 (en) * | 2003-03-21 | 2009-03-31 | Bbn Technologies Corp. | Systems and methods for quantum cryptographic key transport |
US7697693B1 (en) * | 2004-03-09 | 2010-04-13 | Bbn Technologies Corp. | Quantum cryptography with multi-party randomness |
US20050286723A1 (en) * | 2004-06-28 | 2005-12-29 | Magiq Technologies, Inc. | QKD system network |
US8983303B2 (en) * | 2004-08-04 | 2015-03-17 | The United States Of America As Represented By The Secretary Of The Army | Quantum based information transfer system and method |
US20060056630A1 (en) * | 2004-09-13 | 2006-03-16 | Zimmer Vincent J | Method to support secure network booting using quantum cryptography and quantum key distribution |
GB0516565D0 (en) * | 2005-08-12 | 2005-09-21 | Hewlett Packard Development Co | A quantum repeater |
US8194859B2 (en) * | 2005-09-01 | 2012-06-05 | Qualcomm Incorporated | Efficient key hierarchy for delivery of multimedia content |
US7639947B2 (en) * | 2005-09-19 | 2009-12-29 | The Chinese University Of Hong Kong | System and methods for quantum key distribution over WDM links |
US7747019B2 (en) * | 2005-09-28 | 2010-06-29 | Nortel Networks Limited | Methods and systems for communicating over a quantum channel |
US7889868B2 (en) * | 2005-09-30 | 2011-02-15 | Verizon Business Global Llc | Quantum key distribution system |
US8340298B2 (en) * | 2006-04-18 | 2012-12-25 | Magiq Technologies, Inc. | Key management and user authentication for quantum cryptography networks |
JP2007288694A (ja) * | 2006-04-19 | 2007-11-01 | Nec Corp | 秘匿通信システムおよびチャネル制御方法 |
EP2245789B1 (en) * | 2008-01-25 | 2014-08-20 | QinetiQ Limited | Quantum cryptography apparatus |
GB0801395D0 (en) * | 2008-01-25 | 2008-03-05 | Qinetiq Ltd | Network having quantum key distribution |
JP2009265159A (ja) * | 2008-04-22 | 2009-11-12 | Nec Corp | 秘匿通信ネットワークにおける共有乱数管理方法および管理システム |
US8578338B2 (en) * | 2008-06-02 | 2013-11-05 | Igt | Game production and regulatory approval systems |
GB0819665D0 (en) * | 2008-10-27 | 2008-12-03 | Qinetiq Ltd | Quantum key dsitribution |
GB0822254D0 (en) * | 2008-12-05 | 2009-01-14 | Qinetiq Ltd | Method of performing authentication between network nodes |
GB0822253D0 (en) * | 2008-12-05 | 2009-01-14 | Qinetiq Ltd | Method of establishing a quantum key for use between network nodes |
US8509284B2 (en) * | 2009-06-08 | 2013-08-13 | Harris Corporation | Symbol duration dithering for secured chaotic communications |
GB2471470A (en) * | 2009-06-30 | 2011-01-05 | Hewlett Packard Development Co | Quantum repeater and system and method for creating extended entanglements utilising cyclic synchronised control signals at repeater relay nodes |
GB0917060D0 (en) * | 2009-09-29 | 2009-11-11 | Qinetiq Ltd | Methods and apparatus for use in quantum key distribution |
US8483394B2 (en) * | 2010-06-15 | 2013-07-09 | Los Alamos National Security, Llc | Secure multi-party communication with quantum key distribution managed by trusted authority |
TW201201556A (en) * | 2010-06-29 | 2012-01-01 | Chunghwa Telecom Co Ltd | Construction structure of quantum encryption service network |
-
2012
- 2012-08-02 ES ES12179118.0T patent/ES2509816T3/es active Active
- 2012-08-02 IL IL221286A patent/IL221286B/en active IP Right Grant
- 2012-08-02 EP EP12179118.0A patent/EP2555466B1/en active Active
- 2012-08-03 US US13/566,456 patent/US8903094B2/en active Active
- 2012-08-03 IT IT000702A patent/ITTO20120702A1/it unknown
- 2012-08-06 CN CN201210278057.9A patent/CN102916806B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
US8903094B2 (en) | 2014-12-02 |
IL221286B (en) | 2018-01-31 |
US20130208894A1 (en) | 2013-08-15 |
ITTO20120702A1 (it) | 2013-02-06 |
ES2509816T3 (es) | 2014-10-20 |
CN102916806A (zh) | 2013-02-06 |
EP2555466B1 (en) | 2014-07-02 |
EP2555466A1 (en) | 2013-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102916806B (zh) | 密码密钥分配系统 | |
Wu et al. | Security of quantum secure direct communication based on Wyner's wiretap channel theory | |
CA2883313C (en) | Multi-factor authentication using quantum communication | |
CN102904726B (zh) | 用于量子密钥分配系统的经典信道消息认证方法和装置 | |
US9509506B2 (en) | Quantum key management | |
CN103475464B (zh) | 一种电力专用量子加密网关系统 | |
CN101447870B (zh) | 一种基于分布式口令技术的私钥安全存储方法 | |
CN106452739A (zh) | 一种量子网络服务站以及量子通信网络 | |
CN109495274A (zh) | 一种去中心化智能锁电子钥匙分发方法及系统 | |
CN101427509A (zh) | 用于量子密码网络的密钥管理和用户认证 | |
CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
CN108683501A (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
WO2023082599A1 (zh) | 基于量子密钥的区块链网络安全通信方法 | |
CN103684772A (zh) | 动态缺失加密系统 | |
CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
CN110535626A (zh) | 基于身份的量子通信服务站保密通信方法和系统 | |
CN102594551A (zh) | Rfid标签隐私数据可靠统计方法 | |
CN110225028B (zh) | 一种分布式防伪系统及其方法 | |
CN206042014U (zh) | 一种量子网络服务站以及量子通信网络 | |
CN109743162A (zh) | 一种利用理想格操作进行身份属性匹配的加密方法 | |
CN100566239C (zh) | 多级智能密钥装置的密钥传递方法和系统 | |
CN109450626A (zh) | 一种基于氢原子的混合量子通信方法 | |
CN114679262A (zh) | 一种融合非对称体制的量子密钥分发系统及方法 | |
Sobota et al. | Application of quantum cryptography protocols in authentication process | |
Hughes et al. | Multi-factor authentication using quantum communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |