CN108540436A - 基于量子网络实现信息加解密传输的通信系统和通信方法 - Google Patents
基于量子网络实现信息加解密传输的通信系统和通信方法 Download PDFInfo
- Publication number
- CN108540436A CN108540436A CN201810020795.0A CN201810020795A CN108540436A CN 108540436 A CN108540436 A CN 108540436A CN 201810020795 A CN201810020795 A CN 201810020795A CN 108540436 A CN108540436 A CN 108540436A
- Authority
- CN
- China
- Prior art keywords
- key
- quantum
- information
- network service
- service station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于量子网络实现信息加解密传输的通信系统和通信方法,通信系统包括配置于网络侧的量子网络服务站以及配置于用户侧的两客户端,各客户端均配置有量子密钥卡,两客户端进行通信时,通过网络侧的量子网络服务站直接或间接获得共享密钥;两客户端分别在相应的量子密钥卡内利用所拥有的共享密钥对信息进行加解密传输。本发明中两客户端进行通信时,通过网络侧的量子网络服务站获得共享密钥,通信消息的加密和解密均在客户端进行,保障了数据传输的安全性,也降低了对网络侧的数据处理资源的消耗。
Description
技术领域
本发明涉及量子通信技术领域,尤其涉及一种基于量子网络实现对信息进行加解密、传输的安全通信系统和通信方法。
背景技术
随着21世纪信息革命的爆发和科学技术的不断发展,如何保证用户端之间的安全通信是当前研究的热点。实现对数据加密、传输及隐私等信息安全,无论是日常进行商业活动的企业公司,还是政府机关、银行等都对此有迫切的需求,特别是在当今全球化经济时代,保证信息的无条件安全,是当前公众关注的焦点之一。最早期提出用户端之间通信信息的传递,几乎都是明文信息,非常容易被窃听,安全性较低;后来人们进一步借助基于数学复杂性问题的经典加密算法对信息进行加密,虽然不是直接进行明文信息的传输,但是由于破解技术的进展和计算机的进步,破解密码的速度提高,密码的安全性正在降低,在理论上仍能够实现对加密算法的破解,因此对加密信息的相关安全性并不能得到完全的保障。例如2010年1月,以色列的研究人员成功破解了3G网络的128位通讯加密算法;2012年6月日本九州大学、富士通研究所及日本信息通信研究机构成功破解了新一代加密算法—“配对加密”,此次破解的密匙长度为923bit。
近年来,随着量子信息技术的不断发展和取得重大突破,它可以成为社会各领域的信息安全重要的技术保障,是一门科学研究者广泛关注和研究的新型通信技术。量子密钥分发用来实现不同的用户共享无条件密钥,它是基于海森堡测不准原理、量子不可再分原理、量子不可克隆原理等基本原理,保证密钥分发不仅具有较高的安全性,而且克服了数学复杂性理论的建设问题。同时,对信息进行一次一密的加密,保证信息传递的安全通信。
目前很多学者提出不同的思路和方案,将密钥用于对信息的加解密过程当中去。例如“基于BB84的多用户量子密钥分发协议”—《微型机与应用》,2016年35卷第11期,作者提出一种基于BB84的多用户量子密钥分发协议,该方案能够实现一方到多方的量子通信网络的量子密钥分发,存在的缺点是增加了发送端的产生、分发密钥的工作量,当接收方的分组数目较大时,增加了一定的误码率,密钥的利用效率变低,冗余信息较多,不利于实际生活中的应用和推广。
申请号为201610845826.7的专利文献中公开了一种利用量子密钥卡对量子密钥种子运算,生成密钥参与信息加解密过程的通信系统,使用量子密钥卡和网络侧的用户侧密钥在客户端与客户端通信时分别在客户端与对应的量子网络服务站进行加、解密。存在的缺点是量子网络服务站的压力较大,当用户较多时,服务站上的资源可能无法满足需求,导致不响应客户端等多种问题。
现有技术存在的问题:
实现量子密钥的生成、分发过程比较冗余,密钥的利用效率较低。
目前提出的量子密钥分发系统,为使用户获得更多的密钥,需要增加更多的QKD配套设备的成本,并且导致系统运行可靠性差,工作流程相对复杂,资源消耗较大,需要更好的合理部署和使用。
加解密过程对服务站压力大,过程冗余且对资源消耗和浪费较大,需要使用一种能够实现两用户端建立直接连接的系统和方法。
发明内容
本发明提供一种可降低网络侧资源消耗并且保障安全性的通信系统。
一种基于量子网络实现信息加解密传输的通信系统,包括配置于网络侧的量子网络服务站以及配置于用户侧的两客户端,各客户端均配置有量子密钥卡,两客户端进行通信时,通过网络侧的量子网络服务站直接或间接获得共享密钥;两客户端分别在相应的量子密钥卡内利用所拥有的共享密钥对信息进行加解密传输。
本发明中需要在两客户端之间传输的信息(并不限数据的具体格式)加密和解密均在用户侧进行,参与通信的两客户端一者对信息利用共享密钥进行加密,加密后的密文不经由网络侧的量子网络服务站而直接发送至另一客户端,在另一客户端内,利用共享密钥对接收到的密文进行解密,得到明文。
由于两客户端拥有相同的共享密钥,且该共享密钥为安全性较高的量子密钥,因此保障了数据传输的安全性,消息认证码的生成以及对比认证均在用户侧进行也降低了对网络侧的数据处理资源的消耗。
共享密钥一方面可以直接使用,用于两客户端对信息进行加解密;作为优选,共享密钥作为密钥种子,基于预定的算法进行运算分别生成认证密钥以及传输密钥,认证密钥用于两客户端正式传输信息前的相互认证,传输密钥用于信息的加解密。
作为优选,两客户端间接获得共享密钥时,量子网络服务站先利用与两客户端量子密钥卡中相应的部分量子密钥计算获得生成共享密钥的信息,再将生成共享密钥的信息分发给两客户端,两客户端分别依据该生成共享密钥的信息在所匹配的量子密钥卡内生成共享密钥。
共享密钥的分发与获得可以采用直接方式,量子网络服务站生成量子随机数并直接作为共享密钥分发给两客户端。
共享密钥的分发与获得也可以采用间接方式,两客户端的量子密钥卡中本身就存储有量子密钥,且量子密钥卡与网络侧相应的量子网络服务站之间是共享的,即相应的量子网络服务站也存储有该部分量子密钥,因此可通过量子网络服务站交互一部分量子密钥,即分别通过量子网络服务站获得一部分对方的量子密钥,将对方的这部分量子密钥与己方共享给对方的部分量子密钥相结合,通过预定算法运算可生成共享密钥。
作为优选,量子网络服务站利用与两客户端量子密钥卡中相应的部分量子密钥通过异或运算得到生成共享密钥的信息。
为了提高安全性,量子网络服务站与各客户端通信时,首先要进行身份认证,作为优选,所述量子密钥卡与量子网络服务站之间存储有相应的量子密钥,客户端与量子网络服务站之间通信时,先利用所匹配量子密钥卡内的量子密钥与量子网络服务站之间进行身份认证。
量子网络服务站向客户端发送共享密钥或生成共享密钥的信息时,采用密文方式,通过与客户端的量子密钥卡中相应的量子密钥进行加解密。
作为优选,两客户端中一者为发送信息的主动方,另一者为接收信息的被动方,主动方向量子网络服务站发送通信请求,量子网络服务站响应于该通信请求并生成所述共享密钥,再将该共享密钥分发给两客户端。
主动方向量子网络服务站发送的通信请求中,携带有被动方的信息,以便于量子网络服务站获得被动方的地址,以及根据需要取得与被动方的量子密钥卡相应的量子密钥,供量子网络服务站与被动方之间进行身份认证以及加密传输。
本发明提及的主动方、被动方为相对而言,仅为了便于表述和区分,并不限制某一客户端一定是主动方或被动方,依据发送或接收信息的角色不同,身份可以互换。
就身份认证本身而言,可以采用从现有技术,身份认证可以是单向的,也可以是双向的。
作为优选,量子网络服务站先将共享密钥发送给被动方,经被动方接收确认后,再将共享密钥发送给主动方。
作为优选,两客户端中一者为发送信息的主动方,另一者为接收信息的被动方,主动方向量子网络服务站发送通信请求,量子网络服务站响应于该通信请求,依据主动方和被动方匹配的量子密钥卡分别取相应的部分量子密钥进行运算获得生成共享密钥的信息并分发给双方。
此过程即为共享密钥的间接分发,量子网络服务站将生成共享密钥的信息分发给双方,而真正的共享密钥是客户端在各自的量子密钥卡内生成。
作为优选,量子网络服务站先将生成共享密钥的信息发送给被动方,经被动方接收确认后;再将生成共享密钥的信息发送给主动方。
作为优选,两客户端中一者为发送信息的主动方,另一者为接收信息的被动方,主动方向量子网络服务站发送通信请求,量子网络服务站响应于该通信请求,产生共享密钥,或产生用于生成共享密钥的信息;
主动方直接从量子网络服务站获得共享密钥或生成共享密钥的信息;
被动方经由主动方间接的从量子网络服务站获得共享密钥或生成共享密钥的信息。
作为优选,被动方经由主动方间接获得共享密钥或生成共享密钥的信息后,被动方首先发起挑战,待主动方应答成功后;主动方和被动方之间再实施消息认证。
挑战和应答,即作为相互认证的方式之一。
本发明中重点在于共享密钥或生成共享密钥的信息的获得以及分发,并且尤为重要的是两客户端传输的信息的加密和解密用户侧进行。
客户端获得共享密钥后,主动方如何进行信息加密,以及被动方如何进行信息解密等可以基于现有技术实现。
本发明中,在没有特殊强调时,所述量子网络服务站并不特指某一量子网络服务站,在网络侧可能配置有多个量子网络服务站,一种情况是所述两客户端的量子密钥卡归属同一量子网络服务站,即两量子密钥卡均与该量子网络服务站共享量子密钥。
可选的情况是,所述两客户端的量子密钥卡分别归属不同的量子网络服务站,此时有关共享密钥或生成共享密钥的信息,可能需要两站甚至多站之间的交互,交互时可利用站间共享密钥来实施密文方式的数据传输,关于站间数据传输本身而言可采用现有技术。
本发明还提供一种基于量子网络实现信息加解密传输的通信方法,实施在本发明所述的基于量子网络实现信息加解密传输的通信系统中。
由于在通信系统的叙述中,已经表述了有关两客户端获得共享密钥以及信息加解密的过程,因此在通信方法中不再赘述。
本发明通信系统,两客户端进行通信时,通过网络侧的量子网络服务站获得共享密钥,通信消息的加密和解密均在客户端进行,保障了数据传输的安全性,也降低了对网络侧的数据处理资源的消耗。
附图说明
图1为本发明通信系统的结构示意图;
图2为本发明通信系统中量子网络服务站的结构示意图;
图3为本发明实施例1中方法一加密原理图;
图4为本发明实施例1中方法二加密原理图;
图5为本发明实施例1中方法三加密原理图;
图6为本发明实施例2中方法一加密原理图;
图7为本发明实施例2中方法二加密原理图;
图8为本发明实施例2中方法三加密原理图。
具体实施方式
参见图1,图2,本实施例通信系统包括依次配置的一级交换中心、二级交换中心、三级交换中心和量子网络服务站,各级交换中心和量子网络服务站均为网络侧。
其中,一级交换中心可指一个地级市或者相当大小区域的量子网络核心站,通过优选为星型拓扑网络和所述二级交换中心相连接。其中,一级交换中心可以和多个二级交换中心分别利用量子密钥分发设备实现站间量子密钥的分发和共享,其中密钥分发设备可以使用一套或者多套集成。
其中,二级交换中心可指一个县级市或者相当大小区域的量子网络核心站,通过优选为星型拓扑网络和所述三级交换中心相连接。其中,二级交换中心可以和多个三级交换中心分别利用量子密钥分发设备实现站间量子密钥的分发和共享,其中量子密钥分发设备可以使用一套或者多套集成。
其中,三级交换中心可指一个乡镇或者街道办事处大小区域的量子网络核心站,通过优选为星型拓扑网络和所述量子网络服务站相连接。其中,三级交换中心可以和多个量子网络服务站分别利用量子密钥分发设备实现站间量子密钥的分发和共享,其中量子密钥分发设备可以使用一套或者多套集成。
其中,量子网络服务站是指一个居民社区或者相当大小区域的量子网络站。
量子网络服务站包括:
量子服务中心,主要用于通过经典网络与用户侧的各用户端通信连接以及与其他量子网络服务站通信连接;经典网络包括但不限于电信网、互联网、广播电视网或者其他通信网络等。
量子密钥分发设备,主要用于通过QKD方式实现站间量子密钥的共享。
量子随机数发生器,用于接收用户侧密钥管理服务器提出的申请密钥请求,生成用户侧密钥,并发送给用户侧密钥管理服务器;此处采用的为真随机数。其可以为基于电路的真随机数发生器、基于物理源的真随机数发生器以及其他种类的真随机发生器。
用户侧密钥管理服务器,用于存放、管理从量子随机数发生器生成的用户侧密钥,可以接入可移动式的量子密钥卡,实现发卡、登记、拷贝用户侧密钥,还可以接收量子服务中心提出的申请密钥请求,发送相应长度的用户侧密钥给量子服务中心。
多个量子网络服务站构成广域网时,本发明通信系统可在广域网内实施,在网络侧,相连接的两量子网络服务站均设有对应的量子密钥控制中心,量子密钥控制中心与所在量子网络服务站的量子服务中心通信连接,对应的两个量子密钥控制中心通过量子网络进行密钥分发,用以在相连接的两量子网络服务站之间形成站间量子密钥。
本发明中,量子服务中心以及量子密钥控制中心可以利用现有构架,例如量子密钥控制中心设有实施QKD的量子密钥分发设备;
其中量子服务中心包括:身份认证服务器和加解密服务器,可根据需要设置其他服务器,例如可设置消息认证服务器,数字签名验证服务器等。
身份认证服务器根据用户的不同,从用户侧密钥管理服务器中提取用户侧密钥,把从用户端传输过来加密的身份信息进行解密成明文身份信息,并将解密的身份信息发给与预存在身份认证服务器的身份信息比较是否相同,如果相同则验证成功,允许用户进入其登录的系统,否则验证失败,不允许用户登录其所要登录的系统。加解密服务器根据需求从量子密钥管理服务器或用户侧密钥管理服务器获取密钥,将从用户端传输过来的加密信息解密,或把需要传输给用户端的数据加密。
用户端与量子网络服务站通信时匹配的量子密钥卡,可以实现与量子网络服务站的身份认证,还可以利用由量子网络服务站提供的用户侧密钥作为密钥种子不断生成新的密钥,实现对用户端传输的视频信息、语音信息、图片信息、文本信息等明文信息进行加解密的功能。
量子密钥卡为USB Key、SD Key或可插拔板卡/芯片,其具有数据存储和处理功能,就其自身而言可以基于现有软硬件技术实现。用户在量子网络服务站的注册获批后颁发量子密钥卡,量子密钥卡中记录有归属用户信息(例如用户ID),以及颁发该量子密钥卡的量子网络服务站ID)。量子网络服务站向量子密钥卡写入用户侧密钥时,还将这些用户侧密钥存入量子网络服务站,用以实现对称加密。
量子密钥卡中的用户侧密钥下载自一个或多个量子网络服务站,量子密钥卡存储有标识用户侧密钥来源的量子网络服务站信息,量子网络服务站将用户侧密钥写入量子密钥卡的同时,也存储在本服务站中供加、解密时调用。
为了提高安全性,下载时并不需要通过某用户端进行,而是量子密钥卡与生成真随机数在量子网络服务站直接建立通信连接。仅在信息加解密或其他具体业务时,量子密钥卡需通过用户端与量子网络服务站通信连接。
量子密钥卡可以选取少量的用户侧密钥作为密钥种子进行量子密钥生成算法运算,生成大量的密钥,并同时在量子密钥卡中存储。
各量子网络服务站下配置有用户端,例如图1中的用户端A1~用户端An,以及用户端B1~用户端Bn。本实施例中不同的服务器或其他装置在硬件上也可以根据需要进行整合。
实施例1,广域网内的两个用户端之间的信息通信
针对现有技术中用户端A和用户端B所在的量子网络服务站压力非常大,本实施例采用让用户端A和用户端B实现直接连接的方法减轻量子网络服务站的压力。
为实现用户端A与用户端B的直接通信,可以分别采用以下三种方法实现:
方法1:用户端A所在的量子网络服务站对用户端A和用户端B进行共享密钥的分发。
用户端A(相当于发送端)与用户端B(相当于接收端)配置在不同的量子网络服务站。首先,用户端A向所在的量子网络服务站即量子网络服务站A发送身份认证请求。
用户端A匹配的量子密钥卡将自身存储的量子服务站地址信息发送给当前通信的量子服务站,进行身份认证,若身份确认合法,则进行信息传递,若终止操作,即用户端A发起与用户端B之间的异地通信任务失败。
身份验证完成后,量子网络服务站A生成第一密钥。生成的方法为利用密钥种子进行密钥生成算法运算。量子网络服务站A与用户端B所属的量子网络服务站即量子网络服务站B利用各自的量子密钥分发设备实现站间量子密钥的共享,使得明文形式的第一密钥在量子网络服务站A加密后发送至量子网络服务站B,再经解密恢复出明文形式的第一密钥。
量子网络服务站A与量子网络服务站B之间如果还要通过其他网络节点中转,则直接通信连接的两量子网络服务站(或网络节点)之间通过相应的量子密钥分发设备形成的站间量子密钥,并依次中转传送密文。
站间量子密钥的分发是利用量子力学基本原理实现的异地密钥共享的方式,优选为BB84量子密钥分发。
在量子网络服务站B对用户端B分发会话密钥时,还需要完成与用户端B的身份认证,确认用户端B是否合法。身份认证成功后,量子网络服务站B根据用户端B匹配的量子密钥卡在指向的量子网络服务站利用密钥种子进行密钥生成算法运算生成第二密钥,用第二密钥加密第一密钥生成第一密文通过经典通信网络发送给用户端B。
用户端B匹配的量子密钥卡经由用户端B接收第一密文后,在卡内生成与第二密钥相同的第三密钥,对第一密文进行解密,得到明文形式的第一密钥并返回加密的确认信息到量子网络服务站A。
量子网络服务站B解密用户端B的返回消息后,将确认信息加密后发送至量子网络服务站A。
量子网络服务站A在收到量子网络服务站B的确认消息后,根据用户端A匹配的量子密钥卡在指向的量子网络服务站生成第四密钥,用第四密钥加密第一密钥生成第二密文通过经典通信网络发送给用户端A。
用户端A匹配的量子密钥卡经由用户端A接收第二密文后,在卡内生成与第四密钥相同的第五密钥,对第二密文进行解密,得到明文形式的第一密钥。
此时,用户端A匹配的量子密钥卡和用户端B匹配的量子密钥卡中都存储着相同的第一密钥。可实现用户端A与用户端B的直接通信。
方法2:量子网络服务站对密钥进行异或操作实现分发共享密钥。
身份验证完成后,用户端A匹配的量子密钥卡生成第一密钥。量子网络服务站A根据用户端A匹配的量子密钥卡在指向的量子网络服务站生成与第一密钥相同的第二密钥。用户端B匹配的量子密钥卡生成第三密钥,量子网络服务站B根据用户端B匹配的量子密钥卡在指向的量子网络服务站生成与第三密钥相同的第四密钥。
量子网络服务站A与量子网络服务站B利用各自的量子密钥分发设备实现站间量子密钥的共享,使得明文形式的第二密钥在量子网络服务站A加密后发送至量子网络服务站B,再经解密恢复出明文形式的第二密钥。
量子网络服务站A与量子网络服务站B之间如果还要通过其他网络节点中转,则直接通信连接的两量子网络服务站(或网络节点)之间通过相应的量子密钥分发设备形成的站间量子密钥,并依次中转传送密文。
站间量子密钥的分发是利用量子力学基本原理实现的异地密钥共享的方式,优选为BB84量子密钥分发。
量子网络服务站A对当前拥有的第二密钥和第四密钥进行异或操作得到第五密钥,通过经典通信网络发送给用户端B。用户端B匹配的量子密钥卡获得第五密钥后,与第三密钥进行异或操作,获得第一密钥,并返回加密的确认信息发送到量子网络服务站B。用户端B匹配的量子密钥卡对当前拥有的第一密钥和第三密钥进行密钥复合运算得到第六密钥。
量子网络服务站B解密得到用户端B的返回信息后用第五密钥通过量子网络服务站B转发给用户端A。量子网络服务站之间的加密通信方式和量子网络服务站与客户端的加密通信方式请参考本实施例中的第一方法。
用户端A匹配的量子密钥卡获得第五密钥后,与第一密钥进行异或操作,获得第三密钥。用户端B匹配的量子密钥卡对当前拥有的第一密钥和第三密钥进行密钥复合运算得到第六密钥。此时,用户端A和用户端B都拥有第六密钥,可实现用户端A和用户端B的直接通信。
方法3:量子网络服务站通过用户端A向用户端A和用户端B分配会话密钥。
用户端A向量子网络服务站发出会话密钥请求。表示请求的消息由两部分组成,第一项是用户端A和用户端B的身份,第二项是用户端A匹配的量子密钥卡生成的本次业务的唯一识别符N1。使用用户端A生成的第一密钥对表示请求的消息加密得到第一密文。
量子网络服务站A根据用户端A匹配的量子密钥卡生成与第一密钥相同的第二密钥,利用第二密钥解密第一密文得到明文形式的信息。量子网络服务站A收到用户端A发出的会话请求后生成用户侧会话密钥,然后对A的请求发出应答。
用户端B匹配的量子密钥卡生成的第三密钥,量子网络服务站B根据用户端B匹配的量子密钥卡生成与第三密钥相同的第四密钥。量子网络服务站A与量子网络服务站B利用各自的量子密钥分发设备实现站间量子密钥的共享,使得用户侧会话密钥在量子网络服务站A加密后发送至量子网络服务站B,再经解密恢复出包含用户侧会话密钥的用户端B的加密接收包生成请求。
量子网络服务站A与量子网络服务站B之间如果还要通过其他网络节点中转,则直接通信连接的两量子网络服务站(或网络节点)之间通过相应的量子密钥分发设备形成的站间量子密钥,并依次中转传送密文。
站间量子密钥的分发是利用量子力学基本原理实现的异地密钥共享的方式,优选为BB84量子密钥分发。
量子网络服务站B根据用户侧会话密钥和用户端A的相关信息组合成对用户端B的消息包,并用第四密钥加密生成第二密文。通过量子网络服务站的站间通信加密传输回量子网络服务站A。再经解密后恢复出对用户端B的加密消息包。
量子网络服务站A对用户端A的请求应答中包含两部分,第一部分:用户侧会话密钥和接收到的会话密钥请求和本次业务的唯一识别符N1;第二部分:用第四密钥加密的会话密钥和收到的用户端A的身份。用第二密钥加密应答后生成第三密文发送到用户端A。用户端A收到应答后,利用与第二密钥相同的第一密钥对第一部分解密得到会话密钥和唯一识别符,将唯一识别符与发出的唯一识别符进行匹配完成身份认证。用户端A将第二部分转发给用户端B,用户端B收到后利用与第四密钥相同的第三密钥对第二部分解密得到会话密钥和用户端A的身份。
用户端B匹配的量子密钥卡生成的挑战应答的唯一识别符N2,用第五密钥加密发送刚给用户端A。用户端A将挑战消息转发到匹配的量子密钥卡。用户端A匹配的量子密钥卡用第五密钥解密得到唯一识别符N2,用相应的函数运算得到f(N2),并使用第五密钥返回给用户端B。用户端B匹配的量子密钥卡接收到应答消息后解密并对比。至此,用户端A和用户端B完成身份认证,并且共同拥有会话密钥,建立起了用户端A、用户端B之间的连接并可以向用户端B证明用户端A的身份。
通过以上3种方法,实现了用户端A与用户端B共享密钥的功能。后续即可使用对称加密算法对用户端A与用户端B之间的多个信息进行加密通信。加密方式优选为AES算法。当该共享密钥使用一段时间或者加密一定量数据后,根据安全策略,可通过以上3种方法,将其更新为新的共享密钥。
实施例2,局域网内同属于一个量子网络服务站的两个用户端通信
当用户端A、用户端B都同属于一个量子网络服务站时,就不需要再借助量子密钥分发设备产生新的站间量子密钥,只需要利用量子网络服务站存储的用户侧密钥对传递的密文信息进行加解密。
用户端A、用户端B分别利用各自匹配的量子密钥卡完成与量子网络服务站的身份认证。
为了减轻量子服务站的压力,可分别通过三种方法实现用户端A和用户端B的直接通信。
方法1:量子网络服务站对用户端A和用户端B进行共享密钥的分发。
身份验证完成后,量子网络服务站收到用户端A的请求后生成第一密钥,并根据用户端B匹配的量子密钥卡在量子网络服务站生成第二密钥,用第二密钥加密第一密钥生成第一密文通过经典通信网络发送给用户端B。
用户端B匹配的量子密钥卡经由用户端B接收第一密文后,在卡内生成与第二密钥相同的第三密钥,对第一密文进行解密,得到明文形式的第一密钥,并返回加密的确认信息给量子网络服务站。
量子网络服务站解密得到用户端B的返回信息后根据用户端A匹配的量子密钥卡在量子网络服务站生成第四密钥,用第四密钥加密第一密钥生成第二密文通过经典通信网络发送给用户端A。
用户端A匹配的量子密钥卡经由用户端A接收第一密文后,在卡内生成与第四密钥相同的第五密钥,对第二密文进行解密,得到明文形式的第一密钥。
此时,用户端A匹配的量子密钥卡和用户端B匹配的量子密钥卡中都存储着相同的第一密钥。可实现用户端A与用户端B的直接通信。
方法2:量子网络服务站对密钥进行异或操作实现分发共享密钥。
身份验证完成后,用户端A匹配的量子密钥卡生成第一密钥,量子网络服务站根据用户端A匹配的量子密钥卡在量子网络服务站生成与第一密钥相同的第二密钥。用户端B匹配的量子密钥卡生成第三密钥,量子网络服务站根据用户端B匹配的量子密钥卡在量子网络服务站生成与第三密钥相同的第四密钥。
量子网络服务站对当前拥有的第二密钥和第四密钥进行异或操作获取第五密钥,通过经典通信网络发送给用户端B。用户端B匹配的量子密钥卡获得第五密钥后,与第三密钥进行异或操作,获得第一密钥,并返回加密的确认信息发送到量子网络服务站。用户端B匹配的量子密钥卡对当前拥有的第一密钥和第三密钥进行密钥复合运算得到第六密钥。
量子网络服务站解密得到用户端B的返回信息后用第五密钥通过经典通信网络发送给用户端A。用户端A匹配的量子密钥卡获得第五密钥后,与第一密钥进行异或操作,获得第三密钥,用户端A匹配的量子密钥卡对当前拥有的第一密钥和第三密钥进行密钥复合运算得到第六密钥。此时,用户端A和用户端B都拥有第六密钥,可实现用户端A和用户端B的直接通信。
方法3:量子网络服务站通过用户端A向用户端A和用户端B分配会话密钥。
用户端A向量子网络服务站发出会话密钥请求。表示请求的消息由两部分组成,第一项是用户端A和用户端B的身份,第二项是用户端A匹配的量子密钥卡生成的本次业务的唯一识别符(即N1)。使用用户端A生成的第一密钥对表示请求的消息加密得到第一密文。
量子网络服务站根据用户端A匹配的量子密钥卡生成与第一密钥相同的第二密钥,利用第二密钥解密第一密文得到明文形式的信息。量子网络服务站收到用户端A发出的会话请求后生成用户侧会话密钥为第五密钥,然后对A的请求发出用第二密钥加密的应答。
用户端B匹配的量子密钥卡生成的第三密钥,量子网络服务站根据用户端B匹配的量子密钥卡生成与第三密钥相同的第四密钥。
量子网络服务站对用户端A的请求应答中包含两部分,第一部分:第五密钥和接收到的唯一识别符;第二部分(即第二密文):用第四密钥加密的第五密钥和用户端A的身份信息。量子网络服务站用第二密钥加密应答消息生成第三密文,并发送到用户端A。用户端A收到应答后,利用与第二密钥相同的第一密钥对应答解密得到第五密钥、业务唯一识别符和用第四密钥加密的第二部分信息,将收到的业务唯一识别符与发出的业务唯一识别符进行匹配完成消息认证。用户端A将第二部分转发给用户端B,用户端B收到后利用与第四密钥相同的第三密钥对第二部分解密得到第五密钥和用户端A的身份信息。
用户端B匹配的量子密钥卡生成的挑战应答的唯一识别符N2,用第五密钥加密发送刚给用户端A。用户端A将挑战消息转发到匹配的量子密钥卡。用户端A匹配的量子密钥卡用第五密钥解密得到唯一识别符N2,用相应的函数运算得到f(N2),并使用第五密钥返回给用户端B。用户端B匹配的量子密钥卡接收到应答消息后解密并对比。至此,用户端A和用户端B完成身份认证,并且共同拥有第五密钥,建立起了用户端A、用户端B之间的连接并可以向用户端B证明用户端A的身份。
通过以上3种方法,实现了用户端A与用户端B共享密钥的功能。后续即可使用对称加密算法对用户端A与用户端B之间的多个信息进行加密通信。加密方式优选为AES算法。当该共享密钥使用一段时间或者加密一定量数据后,根据安全策略,可通过以上3种方法,将其更新为新的共享密钥。
Claims (10)
1.一种基于量子网络实现信息加解密传输的通信系统,包括配置于网络侧的量子网络服务站以及配置于用户侧的两客户端,各客户端均配置有量子密钥卡,其特征在于,两客户端进行通信时,通过网络侧的量子网络服务站直接或间接获得共享密钥;两客户端分别在相应的量子密钥卡内利用所拥有的共享密钥对信息进行加解密传输。
2.如权利要求1所述的基于量子网络实现信息加解密传输的通信系统,其特征在于,两客户端间接获得共享密钥时,量子网络服务站先利用与两客户端量子密钥卡中相应的部分量子密钥计算获得生成共享密钥的信息,再将生成共享密钥的信息分发给两客户端,两客户端分别依据该生成共享密钥的信息在所匹配的量子密钥卡内生成共享密钥。
3.如权利要求2所述的基于量子网络实现信息加解密传输的通信系统,其特征在于,量子网络服务站利用与两客户端量子密钥卡中相应的部分量子密钥通过异或运算得到生成共享密钥的信息。
4.如权利要求1所述的基于量子网络实现信息加解密传输的通信系统,其特征在于,所述量子密钥卡与量子网络服务站之间存储有相应的量子密钥,客户端与量子网络服务站之间通信时,先利用所匹配量子密钥卡内的量子密钥与量子网络服务站之间进行身份认证。
5.如权利要求1所述的基于量子网络实现信息加解密传输的通信系统,其特征在于,两客户端中一者为发送信息的主动方,另一者为接收信息的被动方,主动方向量子网络服务站发送通信请求,量子网络服务站响应于该通信请求并生成所述共享密钥,再将该共享密钥分发给两客户端。
6.如权利要求5所述的基于量子网络实现信息加解密传输的通信系统,其特征在于,量子网络服务站先将共享密钥发送给被动方,经被动方接收确认后,再将共享密钥发送给主动方。
7.如权利要求1所述的基于量子网络实现信息加解密传输的通信系统,其特征在于,两客户端中一者为发送信息的主动方,另一者为接收信息的被动方,主动方向量子网络服务站发送通信请求,量子网络服务站响应于该通信请求,依据主动方和被动方匹配的量子密钥卡分别取相应的部分量子密钥进行运算获得生成共享密钥的信息并分发给双方。
8.如权利要求7所述的基于量子网络实现信息加解密传输的通信系统,其特征在于,量子网络服务站先将生成共享密钥的信息发送给被动方,经被动方接收确认后;再将生成共享密钥的信息发送给主动方。
9.如权利要求1所述的基于量子网络实现信息加解密传输的通信系统,其特征在于,两客户端中一者为发送信息的主动方,另一者为接收信息的被动方,主动方向量子网络服务站发送通信请求,量子网络服务站响应于该通信请求,产生共享密钥,或产生用于生成共享密钥的信息;
主动方直接从量子网络服务站获得共享密钥或生成共享密钥的信息;
被动方经由主动方间接的从量子网络服务站获得共享密钥或生成共享密钥的信息。
10.一种基于量子网络实现信息加解密传输的通信方法,其特征在于,实施在权利要求1~9任一项所述的基于量子网络实现信息加解密传输的通信系统中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810020795.0A CN108540436B (zh) | 2018-01-10 | 2018-01-10 | 基于量子网络实现信息加解密传输的通信系统和通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810020795.0A CN108540436B (zh) | 2018-01-10 | 2018-01-10 | 基于量子网络实现信息加解密传输的通信系统和通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108540436A true CN108540436A (zh) | 2018-09-14 |
| CN108540436B CN108540436B (zh) | 2020-08-11 |
Family
ID=63485376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810020795.0A Active CN108540436B (zh) | 2018-01-10 | 2018-01-10 | 基于量子网络实现信息加解密传输的通信系统和通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108540436B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109495244A (zh) * | 2018-10-16 | 2019-03-19 | 如般量子科技有限公司 | 基于对称密钥池的抗量子计算密钥协商方法 |
| CN109639407A (zh) * | 2018-12-28 | 2019-04-16 | 浙江神州量子通信技术有限公司 | 一种基于量子网络对信息进行加密和解密的方法 |
| CN109672537A (zh) * | 2019-01-18 | 2019-04-23 | 如般量子科技有限公司 | 基于公钥池的抗量子证书获取系统及获取方法 |
| CN109787763A (zh) * | 2019-03-05 | 2019-05-21 | 山东鲁能软件技术有限公司 | 一种基于量子密钥的移动通信认证方法、系统、终端及存储介质 |
| CN110868290A (zh) * | 2019-11-21 | 2020-03-06 | 成都量安区块链科技有限公司 | 一种无中心管控的密钥服务方法与装置 |
| CN113452513A (zh) * | 2020-03-25 | 2021-09-28 | 阿里巴巴集团控股有限公司 | 密钥分发方法、装置和系统 |
| CN114866303A (zh) * | 2022-04-26 | 2022-08-05 | 武昌理工学院 | 一种防劫持的探测信号鉴权方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160285629A1 (en) * | 2015-03-24 | 2016-09-29 | Kabushiki Kaisha Toshiba | Quantum key distribution device, quantum key distribution system, and quantum key distribution method |
| CN106357649A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 用户身份认证系统和方法 |
| CN106411525A (zh) * | 2016-09-23 | 2017-02-15 | 浙江神州量子网络科技有限公司 | 消息认证方法和系统 |
| CN106452741A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 基于量子网络实现信息加解密传输的通信系统和通信方法 |
| CN106452739A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 一种量子网络服务站以及量子通信网络 |
| CN106850218A (zh) * | 2017-04-14 | 2017-06-13 | 江苏亨通问天量子信息研究院有限公司 | 量子保密通信系统及移动终端 |
-
2018
- 2018-01-10 CN CN201810020795.0A patent/CN108540436B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160285629A1 (en) * | 2015-03-24 | 2016-09-29 | Kabushiki Kaisha Toshiba | Quantum key distribution device, quantum key distribution system, and quantum key distribution method |
| CN106357649A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 用户身份认证系统和方法 |
| CN106411525A (zh) * | 2016-09-23 | 2017-02-15 | 浙江神州量子网络科技有限公司 | 消息认证方法和系统 |
| CN106452741A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 基于量子网络实现信息加解密传输的通信系统和通信方法 |
| CN106452739A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 一种量子网络服务站以及量子通信网络 |
| CN106850218A (zh) * | 2017-04-14 | 2017-06-13 | 江苏亨通问天量子信息研究院有限公司 | 量子保密通信系统及移动终端 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109495244A (zh) * | 2018-10-16 | 2019-03-19 | 如般量子科技有限公司 | 基于对称密钥池的抗量子计算密钥协商方法 |
| CN109639407A (zh) * | 2018-12-28 | 2019-04-16 | 浙江神州量子通信技术有限公司 | 一种基于量子网络对信息进行加密和解密的方法 |
| CN109672537A (zh) * | 2019-01-18 | 2019-04-23 | 如般量子科技有限公司 | 基于公钥池的抗量子证书获取系统及获取方法 |
| CN109787763A (zh) * | 2019-03-05 | 2019-05-21 | 山东鲁能软件技术有限公司 | 一种基于量子密钥的移动通信认证方法、系统、终端及存储介质 |
| CN110868290A (zh) * | 2019-11-21 | 2020-03-06 | 成都量安区块链科技有限公司 | 一种无中心管控的密钥服务方法与装置 |
| CN110868290B (zh) * | 2019-11-21 | 2022-05-31 | 成都量安区块链科技有限公司 | 一种无中心管控的密钥服务方法与装置 |
| CN113452513A (zh) * | 2020-03-25 | 2021-09-28 | 阿里巴巴集团控股有限公司 | 密钥分发方法、装置和系统 |
| CN113452513B (zh) * | 2020-03-25 | 2022-12-27 | 阿里巴巴集团控股有限公司 | 密钥分发方法、装置和系统 |
| CN114866303A (zh) * | 2022-04-26 | 2022-08-05 | 武昌理工学院 | 一种防劫持的探测信号鉴权方法 |
| CN114866303B (zh) * | 2022-04-26 | 2023-05-26 | 武昌理工学院 | 一种防劫持的探测信号鉴权方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108540436B (zh) | 2020-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106452741B (zh) | 基于量子网络实现信息加解密传输的通信系统和通信方法 | |
| CN108540436A (zh) | 基于量子网络实现信息加解密传输的通信系统和通信方法 | |
| CN106357396B (zh) | 数字签名方法和系统以及量子密钥卡 | |
| CN108847928A (zh) | 基于群组型量子密钥卡实现信息加解密传输的通信系统和通信方法 | |
| CN106452739A (zh) | 一种量子网络服务站以及量子通信网络 | |
| CN108173649A (zh) | 一种基于量子密钥卡的消息认证方法和系统 | |
| EP2984782A1 (en) | Method and system for accessing device by a user | |
| CN108809636A (zh) | 基于群组型量子密钥卡实现成员间消息认证的通信系统和通信方法 | |
| CN108566273A (zh) | 基于量子网络的身份认证系统 | |
| CN109088810A (zh) | 群组消息的通信方法、装置、相应设备、系统及存储介质 | |
| CN208986966U (zh) | 一种加密终端以及相应的数据传输系统 | |
| CN108964896B (zh) | 一种基于群组密钥池的Kerberos身份认证系统和方法 | |
| CN102088352B (zh) | 消息中间件的数据加密传输方法和系统 | |
| CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法 | |
| CN109995739A (zh) | 一种信息传输方法、客户端、服务器及存储介质 | |
| CN108600152A (zh) | 基于量子通信网络的改进型Kerberos身份认证系统和方法 | |
| CN206042014U (zh) | 一种量子网络服务站以及量子通信网络 | |
| CN100438614C (zh) | 分布式非对称视频会议安全系统的实现方法 | |
| CN101471771A (zh) | 一种基于p2p网络媒体传送的方法、媒体加密的方法及系统 | |
| Shin et al. | An effective authentication mechanism for ubiquitous collaboration in heterogeneous computing environment | |
| CN108260125A (zh) | 一种基于d2d通信的内容分发应用的密钥分发方法 | |
| CN108965266B (zh) | 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法 | |
| Zhu et al. | Three‐level quantum satellite communication framework and its applications | |
| Zhao et al. | Design of emergency UAV network identity authentication protocol based on Beidou | |
| WO2023221856A1 (zh) | 量子保密通信方法和设备、量子密码服务网络和通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |