CN109995739B - 一种信息传输方法、客户端、服务器及存储介质 - Google Patents
一种信息传输方法、客户端、服务器及存储介质 Download PDFInfo
- Publication number
- CN109995739B CN109995739B CN201810001004.XA CN201810001004A CN109995739B CN 109995739 B CN109995739 B CN 109995739B CN 201810001004 A CN201810001004 A CN 201810001004A CN 109995739 B CN109995739 B CN 109995739B
- Authority
- CN
- China
- Prior art keywords
- random number
- client
- quantum
- server
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种信息传输方法、客户端、服务器及存储介质,其中,所述方法包括:生成第一随机数,将所述第一随机数发送至量子网络的服务器侧;接收所述量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数;其中,所述第三随机数为通过量子的不确定性产生的随机数;所述第二客户端为与第一客户端建立一次会话的对端;基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,利用所述会话密钥加密向第二客户端发送的数据并传输。
Description
技术领域
本发明涉及通信领域中的信息处理技术,尤其涉及一种信息传输方法、客户端、服务器及存储介质。
背景技术
传输层安全协议(TLS,Transport Layer Security)为现有的通信系统中使用到的一种典型的安全传输协议。TLS安全传输层协议用于在两个通信应用程序之间提供保密性和数据完整性,它位于某个可靠的传输协议(例如TCP)上面。TLS协议的基本过程是这样的:(1)客户端向服务器端索要并验证公钥。(2)双方协商生成"对话密钥"。(3)双方采用"对话密钥"进行加密通信。TLS协议的安全性主要依赖于用公钥加密的随机数被破解的算法复杂度。
但是,目前的随机数的破解较为容易只要能够查找到相关seed信息就能够破解,因此,关于现有技术中的随机数可以认为是一种伪随机数,那么就无法保证提高经典通信系统的安全性。
发明内容
本发明的主要目的在于提出一种信息传输方法、客户端、服务器及存储介质,旨在解决现有技术中存在的上述问题。
为实现上述目的,本发明提供一种信息传输方法,应用于第一客户端,所述方法包括:
生成第一随机数,将所述第一随机数发送至量子网络的服务器侧;
接收所述量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数;其中,所述第三随机数为通过量子的不确定性产生的随机数;所述第二客户端为与第一客户端建立一次会话的对端;
基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,利用所述会话密钥加密向第二客户端发送的数据并传输。
本发明提供一种信息传输方法,应用于第二客户端,所述方法包括:
生成第二随机数,将所述第二随机数发送至量子网络的服务器侧;
接收所述量子网络的服务器侧反馈的第三随机数、以及所述第一客户端对应的第一随机数;其中,所述第三随机数为通过量子的不确定性产生随机数;所述第二客户端为与第一客户端建立一次会话的对端;
基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,利用所述会话密钥加密向第一客户端发送的数据并传输。
本发明提供一种网络设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行所述方法的步骤。
本发明提供一种终端设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行所述方法的步骤。
本发明提供一种存储介质,其上存储有计算机程序,其中,该计算机程序被处理器执行时实现前述方法的步骤。
本发明提出的一种信息传输方法、客户端、服务器及存储介质,在生成会话密钥的时候,采用了通过量子的不确定性产生的第三随机数,该第三随机数具备量子通信的特征,如此就能够在生成密钥的时候,由于结合了更加无法预测的第三随机数,因此,能够降低会话密钥被破解的几率,从而提升了网络中数据通信的安全性。
附图说明
图1为本发明实施例信息传输方法流程示意图1;
图2为本发明实施例信息传输方法流程示意图2;
图3为本发明实施例信息传输方法流程示意图3;
图4为本发明实施例网络架构示意图;
图5为本发明实施例信息传输方法流程示意图4;
图6为本发明实施例信息传输方法流程示意图5;
图7为本发明实施例客户端组成结构示意图;
图8为本发明实施例服务器组成结构示意图1;
图9为本发明实施例服务器组成结构示意图2;
图10为本发明实施例提供的客户端或服务器的硬件组成结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
实施例一、
本发明实施例提供了一种信息传输方法,应用于第一客户端,如图1所示,包括:
步骤101:生成第一随机数,将所述第一随机数发送至量子网络的服务器侧;
步骤102:接收所述量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数;其中,所述第三随机数为通过量子的不确定性产生随机数;所述第二客户端为与第一客户端建立一次会话的对端;
步骤103:基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,利用所述会话密钥加密向第二客户端发送的数据并传输。
本实施例中第一客户端可以理解为一次会话的发起方,第二客户端则为一次会话的被叫方,那么第一客户端以及第二客户端之间建立通信连接。
所述生成第一随机数,将所述第一随机数发送至量子网络的服务器侧之前,所述方法还包括:
向第二客户端发送第一会话建立请求;其中,所述第一会话建立请求中至少包括有支持通过量子通信系统交换密钥。
进一步地,还可以包括有所述第一客户端所支持的经典加密方法和支持的压缩方式等。
需要理解的是,第一客户端与第二客户端之间建立会话的通道,可以认为是通过经典信道,也就是说,采用现有技术中的TLS技术进行传输的信道,这里不再进行赘述。
此后,第二客户端向量子网络的第二服务器(量子服务器)发送通过量子系统交换密钥的请求,内容包括第二客户端生成的random B(第二随机数),这些内容加密。量子通信网络确定会话对应的量子网络的第三服务器(第三量子服务器)及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
然后,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
进一步地,所述将所述第一随机数发送至量子网络的服务器侧,包括:向量子网络的第一服务器发送第二会话建立请求,其中,所述第二会话建立请求信息中至少包括有:量子网络的第三服务器的地址信息、会话的标识信息、第一客户端的第一随机数。
所述接收所述量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数,包括:接收量子网络的第一服务器发来的会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密后的第三随机数、以及加密后的所述第二客户端对应的第二随机数。
所述接收所述量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数之后,所述方法还包括:
发送第一握手结束通知至所述第二客户端,在所述第一握手结束通知中添加会话的标识信息、第一随机数、第三随机数;
接收第二客户端发来的第二握手结束通知,在第二握手结束通知中提取会话的标识信息、第二随机数以及第三随机数;基于所述会话的标识信息、第二随机数以及所述第三随机数进行校验。
关于第三随机数的生成方式,可以理解为:利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
可见,通过采用上述方案,就能够在生成会话密钥的时候,采用了通过量子的不确定性产生的第三随机数,该第三随机数具备量子通信的特征,如此就能够在生成密钥的时候,由于结合了更加无法预测的第三随机数,因此,能够降低会话密钥被破解的几率,从而提升了网络中数据通信的安全性。
实施例二、
本发明实施例提供了一种信息传输方法,应用于第二客户端,如图2所示,包括:
步骤201:生成第二随机数,将所述第二随机数发送至量子网络的服务器侧;
步骤202:接收所述量子网络的服务器侧反馈的第三随机数、以及所述第一客户端对应的第一随机数;其中,所述第三随机数为通过量子的不确定性产生随机数;所述第二客户端为与第一客户端建立一次会话的对端;
步骤203:基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,利用所述会话密钥加密向第一客户端发送的数据并传输。
本实施例中第一客户端可以理解为一次会话的发起方,第二客户端则为一次会话的被叫方,那么第一客户端以及第二客户端之间建立通信连接。
所述生成第二随机数,将所述第二随机数发送至量子网络的服务器侧之前,所述方法还包括:
接收第一客户端发来的第一会话建立请求;其中,所述第一会话建立请求中至少包括有支持通过量子通信系统交换密钥。
进一步地,还可以包括有所述第一客户端所支持的经典加密方法和支持的压缩方式等。
需要理解的是,第一客户端与第二客户端之间建立会话的通道,可以认为是通过经典信道,也就是说,采用现有技术中的TLS技术进行传输的信道,这里不再进行赘述。
此后,所述将所述第二随机数发送至量子网络的服务器侧,包括:
向量子网络的第二服务器发送量子系统交换密钥的请求,其中,所述量子系统交换密钥的请求至少包括有:第二客户端生成的第二随机数。第二客户端向量子网络的第二服务器(量子服务器)发送通过量子系统交换密钥的请求,内容包括第二客户端生成的random B(第二随机数),这些内容加密。量子通信网络确定会话对应的量子网络的第三服务器(第三量子服务器)及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
然后,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
进一步地,所述将所述第一随机数发送至量子网络的服务器侧,包括:向量子网络的第一服务器发送第二会话建立请求,其中,所述第二会话建立请求信息中至少包括有:量子网络的第三服务器的地址信息、会话的标识信息、第一客户端的第一随机数。
所述接收所述量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数,包括:接收量子网络的第一服务器发来的会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密后的第三随机数、以及加密后的所述第二客户端对应的第二随机数。
所述接收所述量子网络的服务器侧反馈的第三随机数、以及所述第一客户端对应的第一随机数之后,所述方法还包括:
发送第二握手结束通知至所述第一客户端,在所述第二握手结束通知中添加会话的标识信息、第二随机数、第三随机数;
接收第一客户端发来的第一握手结束通知,在第一握手结束通知中提取会话的标识信息、第一随机数以及第三随机数;基于所述会话的标识信息、第一随机数以及所述第三随机数进行校验。
关于第三随机数的生成方式,可以理解为:利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
可见,通过采用上述方案,就能够在生成会话密钥的时候,采用了通过量子的不确定性产生的第三随机数,该第三随机数具备量子通信的特征,如此就能够在生成密钥的时候,由于结合了更加无法预测的第三随机数,因此,能够降低会话密钥被破解的几率,从而提升了网络中数据通信的安全性。
实施例三、
本发明实施例提供了一种信息传输方法,应用于量子网络的第一服务器,如图3所示,包括:
步骤301:将第一客户端发来的第一随机数,转发至量子网络的第三服务器;
步骤302:接收所述第三量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数;
其中,所述第三随机数为通过量子的不确定性产生随机数;所述第二客户端为与第一客户端建立一次会话的对端。
本实施例中第一客户端可以理解为一次会话的发起方,第二客户端则为一次会话的被叫方,那么第一客户端以及第二客户端之间建立通信连接。
所述将第一客户端发来的第一随机数,转发至量子网络的第三服务器之前,所述方法还包括:接收第一客户端发来的第二会话建立请求信息;其中,所述第二会话建立请求信息中包括有量子网络的第三服务器的地址信息、会话的标识信息、第一客户端所对应的第一随机数。
所述生成第二随机数,将所述第二随机数发送至量子网络的服务器侧之前,所述方法还包括:
接收第一客户端发来的第一会话建立请求;其中,所述第一会话建立请求中至少包括有支持通过量子通信系统交换密钥。
进一步地,还可以包括有所述第一客户端所支持的经典加密方法和支持的压缩方式等。
需要理解的是,第一客户端与第二客户端之间建立会话的通道,可以认为是通过经典信道,也就是说,采用现有技术中的TLS技术进行传输的信道,这里不再进行赘述。
此后,所述将所述第二随机数发送至量子网络的服务器侧,包括:
向量子网络的第二服务器发送量子系统交换密钥的请求,其中,所述量子系统交换密钥的请求至少包括有:第二客户端生成的第二随机数。第二客户端向量子网络的第二服务器(量子服务器)发送通过量子系统交换密钥的请求,内容包括第二客户端生成的random B(第二随机数),这些内容加密。量子通信网络确定会话对应的量子网络的第三服务器(第三量子服务器)及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
然后,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
进一步地,所述将所述第一随机数发送至量子网络的服务器侧,包括:向量子网络的第一服务器发送第二会话建立请求,其中,所述第二会话建立请求信息中至少包括有:量子网络的第三服务器的地址信息、会话的标识信息、第一客户端的第一随机数。
所述接收所述第三量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数之后,所述方法还包括:
向第一客户端回应会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密的第二随机数以及第三随机数。
所述接收所述量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数,包括:接收量子网络的第一服务器发来的会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密后的第三随机数、以及加密后的所述第二客户端对应的第二随机数。
所述接收所述量子网络的服务器侧反馈的第三随机数、以及所述第一客户端对应的第一随机数之后,所述方法还包括:
发送第二握手结束通知至所述第一客户端,在所述第二握手结束通知中添加会话的标识信息、第二随机数、第三随机数;
接收第一客户端发来的第一握手结束通知,在第一握手结束通知中提取会话的标识信息、第一随机数以及第三随机数;基于所述会话的标识信息、第一随机数以及所述第三随机数进行校验。
关于第三随机数的生成方式,可以理解为:利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
下面结合图4,进一步说明本实施例提供的方案的具体处理流程:
步骤401,第一客户端通过经典信道向第二客户端发出第一会话建立请求,包括是否支持通过量子通信系统交换密钥,支持的经典加密方法和支持的压缩方式等。
步骤402,如果第一客户端支持通过量子通信系统交换密钥,则第二客户端向量子网络的第二服务器发送通过量子系统交换密钥的请求,内容包括第二客户端生成的randomB(第二随机数),这些内容加密。
步骤403,量子通信网络确定会话对应的量子网络的第三服务器及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
步骤404,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
步骤405,第一客户端向量子服务器A(也就是图中所示第一服务器)发送第二会话建立请求,内容包括量子网络的第三服务器地址、会话ID和第一客户端生成的伪random A(第一随机数),这些内容加密。
步骤406,量子服务器A(也就是图中所示第一服务器)把会话ID和random A(第一随机数)传递给量子网络的第三服务器。
步骤407,利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
步骤408,量子网络的第三服务器通过量子网络向量子服务器A(也就是图中所示第一服务器)传递第一客户端回应会话建立确认,内容包括会话ID、random B(第二随机数)和random Q(第三随机数)。
步骤409,量子服务器A(也就是图中所示第一服务器)向第一客户端回应会话建立确认,内容包括会话ID、经过加密的random B(第二随机数)和random Q(第三随机数),这些内容加密。
步骤410,量子网络的第三服务器通过量子网络向量子网络的第二服务器传递第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数)。
步骤411,量子网络的第二服务器向第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数),这些内容加密。
步骤412,第一客户端发送握手结束通知给第二客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random A和random Q(第三随机数)的hash值,用来供第二客户端校验,这些内容未加密。
步骤413,第二客户端发送握手结束通知给第一客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random B和random Q(第三随机数)的hash值,用来供第一客户端校验,这些内容未加密。
第一客户端和第二客户端通过三个随机密钥生成对应的会话密钥,后续数据传输通过会话密钥对数据进行对称加密后,通过经典信道进行传输。采用SHA-256hash函数进行计算,PRF(random Q,random A,random B)=P_<hash>(random Q,random A,+random B)。
其中第一客户端和量子密钥服务器A之间以及第二客户端和量子密钥服务器B之间的信道仍然为经典信道。但第一客户端选择与量子网络间存在着可信信道的量子服务器A建立通信。第一客户端选择通信的量子服务器A依据可根据如下依据选择:1,客户端与量子网络间服务器之间可使用硬件加密设备(如usb key、加密板卡等)进行通信,如第一客户端和量子服务器A间存在着配对的加解密usb key;2,客户端与量子网络间服务器之间物理连接少,如第一客户端和量子服务器之间仅有一台路由器;3,客户端与量子网络间服务器之间物理距离短,如第一客户端和量子服务器A部署在同一个机房;4,客户端与量子网络间服务器之间存在逻辑安全通道,如户端A和量子服务器A间可建立VPN通道。
客户端与量子服务器之间可以是已经预设置对方的公钥(如二者之间使用硬件加密设备),也可以在客户端初始寻址,寻找到量子网络中对应的量子服务器A之后相互交换公钥。在客户端和量子服务器间交换公钥后,所传输内容都经过加密传输,第一客户端发送给量子服务器A的内容使用量子服务器A给出的对应公钥加密,量子服务器A收到数据后使用对应私钥解密。量子服务器A发送给第一客户端的内容使用第一客户端给出的对应公钥加密,第一客户端收到数据后使用对应私钥解密。
客户端与量子网络之间的数据传输通过加密进行传输。在一次会话中第一客户端使用量子服务器A的公钥加密第一客户端生成的随机数A,传递给量子服务器A,量子服务器A使用对应的私钥进行解密。量子服务器A使用第一客户端的公钥加密第二客户端生成的随机数B和量子密钥生成器生成的随机数Q,传递给第一客户端,第一客户端使用对应的私钥进行解密。如果窃取者仅获得一个公钥对应的私钥,也不能获得会话中所需要的全部三个随机数。当且仅当第一客户端和量子服务器A二者间的两个密钥对被窃取,这次会话才会被窃取。
经典系统中客户端产生的随机数并不是绝对随机的随机数,现有系统中客户端的随机数是由随机种子根据一定的计算方法计算出来的数值,所以,只要计算方法一定,随机种子一定,那么产生的随机数就不会变,只能称之为伪随机数。而量子通信系统中,量子密钥生成器生成的随机数是真正随机的,窃取者无法根据规律获取随机数。量子密钥生成器是通过量子的不确定性产生随机数
通过采用上述方案,两个客户端之间建立通信会话的密钥通过量子通信网络进行交换;两个客户端选择与量子网络间存在着可信信道的量子服务器建立通信,客户端与服务器预设或者交换公钥。一次会话分别由两个客户端和量子网络的量子密钥生成器产生三个随机数,其中量子密钥生成器产生的为真随机数。客户端与量子网络之间的内容包括随机数都通过加密进行传输。且客户端与量子网络之间的加密分别使用不同的公钥加密。
可见,通过采用上述方案,就能够在生成会话密钥的时候,采用了通过对物理源的信号采集和数字化输出的随机数序列即第三随机数,该第三随机数具备量子通信的特征,如此就能够在生成密钥的时候,由于结合了更加无法预测的第三随机数,因此,能够降低会话密钥被破解的几率,从而提升了网络中数据通信的安全性。进一步地,上述方案为经典通信系统与量子通信系统结合,利用量子网络的安全性,在选择可信信道后,所有会话的随机数都通过加密传输。利用量子通信系统的特性生成真随机数,弥补了经典系统的产生的伪随机数的不足。
实施例四、
本发明实施例提供了一种信息传输方法,应用于量子网络的第二服务器,如图5所示,包括:
步骤501:接收第二客户端发来的对应的第二随机数;
步骤502:确定会话所对应的量子网络的第三服务器以及所述会话的标识信息,发送所述第二客户端对应的第二随机数至所述量子网络的第三服务器;
步骤503:接收所述量子网络的第三服务器反馈的第三随机数、以及所述第一客户端对应的第一随机数;
其中,所述第三随机数为通过量子的不确定性产生随机数;所述第二客户端为与第一客户端建立一次会话的对端。
本实施例中第一客户端可以理解为一次会话的发起方,第二客户端则为一次会话的被叫方,那么第一客户端以及第二客户端之间建立通信连接。
所述将第一客户端发来的第一随机数,转发至量子网络的第三服务器之前,所述方法还包括:接收第一客户端发来的第二会话建立请求信息;其中,所述第二会话建立请求信息中包括有量子网络的第三服务器的地址信息、会话的标识信息、第一客户端所对应的第一随机数。
所述生成第二随机数,将所述第二随机数发送至量子网络的服务器侧之前,所述方法还包括:
接收第一客户端发来的第一会话建立请求;其中,所述第一会话建立请求中至少包括有支持通过量子通信系统交换密钥。
进一步地,还可以包括有所述第一客户端所支持的经典加密方法和支持的压缩方式等。
需要理解的是,第一客户端与第二客户端之间建立会话的通道,可以认为是通过经典信道,也就是说,采用现有技术中的TLS技术进行传输的信道,这里不再进行赘述。
此后,所述接收第二客户端发来的对应的第二随机数,包括:
接收第二客户端发来的通过量子系统交互密钥的请求信息;其中,所述请求信息中包括有所述第二客户端对应的第二随机数。
所述将所述第二随机数发送至量子网络的服务器侧,包括:
向量子网络的第二服务器发送量子系统交换密钥的请求,其中,所述量子系统交换密钥的请求至少包括有:第二客户端生成的第二随机数。第二客户端向量子网络的第二服务器(量子服务器)发送通过量子系统交换密钥的请求,内容包括第二客户端生成的random B(第二随机数),这些内容加密。量子通信网络确定会话对应的量子网络的第三服务器(第三量子服务器)及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。所述发送所述第二客户端对应的第二随机数至所述量子网络的第三服务器之后,所述方法还包括:
发送量子网络的第三服务器的地址信息以及会话的标识信息至第二客户端。也就是说,量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
然后,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
进一步地,所述将所述第一随机数发送至量子网络的服务器侧,包括:向量子网络的第一服务器发送第二会话建立请求,其中,所述第二会话建立请求信息中至少包括有:量子网络的第三服务器的地址信息、会话的标识信息、第一客户端的第一随机数。
所述接收所述第三量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数之后,所述方法还包括:
向第一客户端回应会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密的第二随机数以及第三随机数。
所述接收所述量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数,包括:接收量子网络的第一服务器发来的会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密后的第三随机数、以及加密后的所述第二客户端对应的第二随机数。
所述接收所述量子网络的服务器侧反馈的第三随机数、以及所述第一客户端对应的第一随机数之后,所述方法还包括:
发送第二握手结束通知至所述第一客户端,在所述第二握手结束通知中添加会话的标识信息、第二随机数、第三随机数;
接收第一客户端发来的第一握手结束通知,在第一握手结束通知中提取会话的标识信息、第一随机数以及第三随机数;基于所述会话的标识信息、第一随机数以及所述第三随机数进行校验。
关于第三随机数的生成方式,可以理解为:利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
下面结合图4,进一步说明本实施例提供的方案的具体处理流程:
步骤401,第一客户端通过经典信道向第二客户端发出第一会话建立请求,包括是否支持通过量子通信系统交换密钥,支持的经典加密方法和支持的压缩方式等。
步骤402,如果第一客户端支持通过量子通信系统交换密钥,则第二客户端向量子网络的第二服务器发送通过量子系统交换密钥的请求,内容包括第二客户端生成的randomB(第二随机数),这些内容加密。
步骤403,量子通信网络确定会话对应的量子网络的第三服务器及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
步骤404,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
步骤405,第一客户端向量子服务器A(也就是图中所示第一服务器)发送第二会话建立请求,内容包括量子网络的第三服务器地址、会话ID和第一客户端生成的伪random A(第一随机数),这些内容加密。
步骤406,量子服务器A(也就是图中所示第一服务器)把会话ID和random A(第一随机数)传递给量子网络的第三服务器。
步骤407,利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
步骤408,量子网络的第三服务器通过量子网络向量子服务器A(也就是图中所示第一服务器)传递第一客户端回应会话建立确认,内容包括会话ID、random B(第二随机数)和random Q(第三随机数)。
步骤409,量子服务器A(也就是图中所示第一服务器)向第一客户端回应会话建立确认,内容包括会话ID、经过加密的random B(第二随机数)和random Q(第三随机数),这些内容加密。
步骤410,量子网络的第三服务器通过量子网络向量子网络的第二服务器传递第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数)。
步骤411,量子网络的第二服务器向第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数),这些内容加密。
步骤412,第一客户端发送握手结束通知给第二客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random A和random Q(第三随机数)的hash值,用来供第二客户端校验,这些内容未加密。
步骤413,第二客户端发送握手结束通知给第一客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random B和random Q(第三随机数)的hash值,用来供第一客户端校验,这些内容未加密。
第一客户端和第二客户端通过三个随机密钥生成对应的会话密钥,后续数据传输通过会话密钥对数据进行对称加密后,通过经典信道进行传输。采用SHA-256hash函数进行计算,PRF(random Q,random A,random B)=P_<hash>(random Q,random A,+random B)。
其中第一客户端和量子密钥服务器A之间以及第二客户端和量子密钥服务器B之间的信道仍然为经典信道。但第一客户端选择与量子网络间存在着可信信道的量子服务器A建立通信。第一客户端选择通信的量子服务器A依据可根据如下依据选择:1,客户端与量子网络间服务器之间可使用硬件加密设备(如usb key、加密板卡等)进行通信,如第一客户端和量子服务器A间存在着配对的加解密usb key;2,客户端与量子网络间服务器之间物理连接少,如第一客户端和量子服务器之间仅有一台路由器;3,客户端与量子网络间服务器之间物理距离短,如第一客户端和量子服务器A部署在同一个机房;4,客户端与量子网络间服务器之间存在逻辑安全通道,如户端A和量子服务器A间可建立VPN通道。
客户端与量子服务器之间可以是已经预设置对方的公钥(如二者之间使用硬件加密设备),也可以在客户端初始寻址,寻找到量子网络中对应的量子服务器A之后相互交换公钥。在客户端和量子服务器间交换公钥后,所传输内容都经过加密传输,第一客户端发送给量子服务器A的内容使用量子服务器A给出的对应公钥加密,量子服务器A收到数据后使用对应私钥解密。量子服务器A发送给第一客户端的内容使用第一客户端给出的对应公钥加密,第一客户端收到数据后使用对应私钥解密。
客户端与量子网络之间的数据传输通过加密进行传输。在一次会话中第一客户端使用量子服务器A的公钥加密第一客户端生成的随机数A,传递给量子服务器A,量子服务器A使用对应的私钥进行解密。量子服务器A使用第一客户端的公钥加密第二客户端生成的随机数B和量子密钥生成器生成的随机数Q,传递给第一客户端,第一客户端使用对应的私钥进行解密。如果窃取者仅获得一个公钥对应的私钥,也不能获得会话中所需要的全部三个随机数。当且仅当第一客户端和量子服务器A(也就是图中所示第一服务器)二者间的两个密钥对被窃取,这次会话才会被窃取。
经典系统中客户端产生的随机数并不是绝对随机的随机数,现有系统中客户端的随机数是由随机种子根据一定的计算方法计算出来的数值,所以,只要计算方法一定,随机种子一定,那么产生的随机数就不会变,只能称之为伪随机数。而量子通信系统中,量子密钥生成器生成的随机数是真正随机的,窃取者无法根据规律获取随机数。量子密钥生成器是通过量子的不确定性产生随机数
通过采用上述方案,两个客户端之间建立通信会话的密钥通过量子通信网络进行交换;两个客户端选择与量子网络间存在着可信信道的量子服务器建立通信,客户端与服务器预设或者交换公钥。一次会话分别由两个客户端和量子网络的量子密钥生成器产生三个随机数,其中量子密钥生成器产生的为真随机数。客户端与量子网络之间的内容包括随机数都通过加密进行传输。且客户端与量子网络之间的加密分别使用不同的公钥加密。
可见,通过采用上述方案,就能够在生成会话密钥的时候,采用了通过对物理源的信号采集和数字化输出的随机数序列即第三随机数,该第三随机数具备量子通信的特征,如此就能够在生成密钥的时候,由于结合了更加无法预测的第三随机数,因此,能够降低会话密钥被破解的几率,从而提升了网络中数据通信的安全性。进一步地,上述方案为经典通信系统与量子通信系统结合,利用量子网络的安全性,在选择可信信道后,所有会话的随机数都通过加密传输。利用量子通信系统的特性生成真随机数,弥补了经典系统的产生的伪随机数的不足。
实施例五、
本发明实施例提供了一种信息传输方法,应用于量子网络的第三服务器,如图6所示,包括:
步骤601:获取第一客户端生成的第一随机数以及第二客户端生成的第二随机数;其中,所述第一客户端与第二客户端之间为建立一次会话的两个通信方;所述第一随机数与第二随机数不同;
步骤602:从量子密钥服务器获取第三随机数,其中,所述第三随机数为通过量子的不确定性产生随机数;
步骤603:将所述第三随机数以及第一随机数发送至第二客户端、以及将所述第三随机数以及第二随机数发送至第一客户端。
本实施例中第一客户端可以理解为一次会话的发起方,第二客户端则为一次会话的被叫方,那么第一客户端以及第二客户端之间建立通信连接。
所述获取第一客户端生成的第一随机数以及第二客户端生成的第二随机数,包括:
通过量子网络的第一服务器接收到所述第一客户端与第二客户端本次会话的会话标识信息,以及所述第一客户端生成的第一随机数;
以及,
通过量子网络的第二服务器接收到所述第二客户端发来的会话标识信息、以及所述第二客户端生成的第二随机数。
关于第三随机数的生成方式,可以理解为:利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
还需要理解的是,本实施例中量子密钥服务器可以为根据第三服务器的请求或指令生成第三随机数;并且,量子密钥服务器可以为根据实际情况设置,比如可以将其设置到第三服务器中,或其他服务器中,只要具备生成量子的不确定性的第三随机数的功能即可认为是量子密钥服务器。
下面结合图4,进一步说明本实施例提供的方案的具体处理流程:
步骤401,第一客户端通过经典信道向第二客户端发出第一会话建立请求,包括是否支持通过量子通信系统交换密钥,支持的经典加密方法和支持的压缩方式等。
步骤402,如果第一客户端支持通过量子通信系统交换密钥,则第二客户端向量子网络的第二服务器发送通过量子系统交换密钥的请求,内容包括第二客户端生成的randomB(第二随机数),这些内容加密。
步骤403,量子通信网络确定会话对应的量子网络的第三服务器及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
步骤404,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
步骤405,第一客户端向量子服务器A(也就是图中所示第一服务器)发送第二会话建立请求,内容包括量子网络的第三服务器地址、会话ID和第一客户端生成的伪random A(第一随机数),这些内容加密。
步骤406,量子服务器A(也就是图中所示第一服务器)把会话ID和random A(第一随机数)传递给量子网络的第三服务器。
步骤407,利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
步骤408,量子网络的第三服务器通过量子网络向量子服务器A(也就是图中所示第一服务器)传递第一客户端回应会话建立确认,内容包括会话ID、random B(第二随机数)和random Q(第三随机数)。
步骤409,量子服务器A(也就是图中所示第一服务器)向第一客户端回应会话建立确认,内容包括会话ID、经过加密的random B(第二随机数)和random Q(第三随机数),这些内容加密。
步骤410,量子网络的第三服务器通过量子网络向量子网络的第二服务器传递第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数)。
步骤411,量子网络的第二服务器向第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数),这些内容加密。
步骤412,第一客户端发送握手结束通知给第二客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random A和random Q(第三随机数)的hash值,用来供第二客户端校验,这些内容未加密。
步骤413,第二客户端发送握手结束通知给第一客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random B和random Q(第三随机数)的hash值,用来供第一客户端校验,这些内容未加密。
第一客户端和第二客户端通过三个随机密钥生成对应的会话密钥,后续数据传输通过会话密钥对数据进行对称加密后,通过经典信道进行传输。采用SHA-256hash函数进行计算,PRF(random Q,random A,random B)=P_<hash>(random Q,random A,+random B)。
其中第一客户端和量子密钥服务器A之间以及第二客户端和量子密钥服务器B之间的信道仍然为经典信道。但第一客户端选择与量子网络间存在着可信信道的量子服务器A建立通信。第一客户端选择通信的量子服务器A依据可根据如下依据选择:1,客户端与量子网络间服务器之间可使用硬件加密设备(如usb key、加密板卡等)进行通信,如第一客户端和量子服务器A间存在着配对的加解密usb key;2,客户端与量子网络间服务器之间物理连接少,如第一客户端和量子服务器之间仅有一台路由器;3,客户端与量子网络间服务器之间物理距离短,如第一客户端和量子服务器A部署在同一个机房;4,客户端与量子网络间服务器之间存在逻辑安全通道,如户端A和量子服务器A间可建立VPN通道。
客户端与量子服务器之间可以是已经预设置对方的公钥(如二者之间使用硬件加密设备),也可以在客户端初始寻址,寻找到量子网络中对应的量子服务器A之后相互交换公钥。在客户端和量子服务器间交换公钥后,所传输内容都经过加密传输,第一客户端发送给量子服务器A的内容使用量子服务器A给出的对应公钥加密,量子服务器A收到数据后使用对应私钥解密。量子服务器A发送给第一客户端的内容使用第一客户端给出的对应公钥加密,第一客户端收到数据后使用对应私钥解密。
客户端与量子网络之间的数据传输通过加密进行传输。在一次会话中第一客户端使用量子服务器A的公钥加密第一客户端生成的随机数A,传递给量子服务器A,量子服务器A使用对应的私钥进行解密。量子服务器A使用第一客户端的公钥加密第二客户端生成的随机数B和量子密钥生成器生成的随机数Q,传递给第一客户端,第一客户端使用对应的私钥进行解密。如果窃取者仅获得一个公钥对应的私钥,也不能获得会话中所需要的全部三个随机数。当且仅当第一客户端和量子服务器A二者间的两个密钥对被窃取,这次会话才会被窃取。
经典系统中客户端产生的随机数并不是绝对随机的随机数,现有系统中客户端的随机数是由随机种子根据一定的计算方法计算出来的数值,所以,只要计算方法一定,随机种子一定,那么产生的随机数就不会变,只能称之为伪随机数。而量子通信系统中,量子密钥生成器生成的随机数是真正随机的,窃取者无法根据规律获取随机数。量子密钥生成器是通过量子的不确定性产生随机数
通过采用上述方案,两个客户端之间建立通信会话的密钥通过量子通信网络进行交换;两个客户端选择与量子网络间存在着可信信道的量子服务器建立通信,客户端与服务器预设或者交换公钥。一次会话分别由两个客户端和量子网络的量子密钥生成器产生三个随机数,其中量子密钥生成器产生的为真随机数。客户端与量子网络之间的内容包括随机数都通过加密进行传输。且客户端与量子网络之间的加密分别使用不同的公钥加密。
可见,通过采用上述方案,就能够在生成会话密钥的时候,采用了通过对物理源的信号采集和数字化输出的随机数序列即第三随机数,该第三随机数具备量子通信的特征,如此就能够在生成密钥的时候,由于结合了更加无法预测的第三随机数,因此,能够降低会话密钥被破解的几率,从而提升了网络中数据通信的安全性。进一步地,上述方案为经典通信系统与量子通信系统结合,利用量子网络的安全性,在选择可信信道后,所有会话的随机数都通过加密传输。利用量子通信系统的特性生成真随机数,弥补了经典系统的产生的伪随机数的不足。
实施例六、
本发明实施例提供了一种客户端,如图7所示,包括:
第一处理器71,用于生成第一随机数,将所述第一随机数发送至量子网络的服务器侧;基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥;
第一通信接口72,用于接收所述量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数,利用所述会话密钥加密向第二客户端发送的数据并传输;其中,所述第三随机数为通过量子的不确定性产生的随机数;所述第二客户端为与第一客户端建立一次会话的对端。
本实施例中第一客户端可以理解为一次会话的发起方,第二客户端则为一次会话的被叫方,那么第一客户端以及第二客户端之间建立通信连接。
所述第一通信接口72,用于向第二客户端发送第一会话建立请求;其中,所述第一会话建立请求中至少包括有支持通过量子通信系统交换密钥。
进一步地,还可以包括有所述第一客户端所支持的经典加密方法和支持的压缩方式等。
需要理解的是,第一客户端与第二客户端之间建立会话的通道,可以认为是通过经典信道,也就是说,采用现有技术中的TLS技术进行传输的信道,这里不再进行赘述。
此后,第一通信接口72,用于向量子网络的第二服务器(量子服务器)发送通过量子系统交换密钥的请求,内容包括第二客户端生成的random B(第二随机数),这些内容加密。量子通信网络确定会话对应的量子网络的第三服务器(第三量子服务器)及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
然后,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
进一步地,所述第一通信接口72,用于向量子网络的第一服务器发送第二会话建立请求,其中,所述第二会话建立请求信息中至少包括有:量子网络的第三服务器的地址信息、会话的标识信息、第一客户端的第一随机数。
所述第一通信接口72,用于接收量子网络的第一服务器发来的会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密后的第三随机数、以及加密后的所述第二客户端对应的第二随机数。
所述第一处理器,用于在所述第一握手结束通知中添加会话的标识信息、第一随机数、第三随机数;接收第二客户端发来的第二握手结束通知;
第一处理器,用于在第二握手结束通知中提取会话的标识信息、第二随机数以及第三随机数;基于所述会话的标识信息、第二随机数以及所述第三随机数进行校验。
关于第三随机数的生成方式,可以理解为:利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
可见,通过采用上述方案,就能够在生成会话密钥的时候,采用了通过量子的不确定性产生的第三随机数,该第三随机数具备量子通信的特征,如此就能够在生成密钥的时候,由于结合了更加无法预测的第三随机数,因此,能够降低会话密钥被破解的几率,从而提升了网络中数据通信的安全性。
实施例七、
本发明实施例提供了一种客户端,如图8所示,包括:
第二处理器81,用于生成第二随机数;基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥;
第二通信接口82,用于将所述第二随机数发送至量子网络的服务器侧;接收所述量子网络的服务器侧反馈的第三随机数、以及所述第一客户端对应的第一随机数;利用所述会话密钥加密向第一客户端发送的数据并传输;其中,所述第三随机数为通过量子的不确定性产生随机数;所述第二客户端为与第一客户端建立一次会话的对端。
本实施例中第一客户端可以理解为一次会话的发起方,第二客户端则为一次会话的被叫方,那么第一客户端以及第二客户端之间建立通信连接。
所述第二通信接口82,用于接收第一客户端发来的第一会话建立请求;其中,所述第一会话建立请求中至少包括有支持通过量子通信系统交换密钥。
进一步地,还可以包括有所述第一客户端所支持的经典加密方法和支持的压缩方式等。
需要理解的是,第一客户端与第二客户端之间建立会话的通道,可以认为是通过经典信道,也就是说,采用现有技术中的TLS技术进行传输的信道,这里不再进行赘述。
此后,所述将所述第二随机数发送至量子网络的服务器侧,包括:
第二通信接口82,用于向量子网络的第二服务器发送量子系统交换密钥的请求,其中,所述量子系统交换密钥的请求至少包括有:第二客户端生成的第二随机数。第二客户端向量子网络的第二服务器(量子服务器)发送通过量子系统交换密钥的请求,内容包括第二客户端生成的random B(第二随机数),这些内容加密。量子通信网络确定会话对应的量子网络的第三服务器(第三量子服务器)及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
然后第二通信接口82,用于向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
所述接收所述量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数,包括:接收量子网络的第一服务器发来的会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密后的第三随机数、以及加密后的所述第二客户端对应的第二随机数。
第二通信接口82,用于发送第二握手结束通知至所述第一客户端,在所述第二握手结束通知中添加会话的标识信息、第二随机数、第三随机数;
接收第一客户端发来的第一握手结束通知,在第一握手结束通知中提取会话的标识信息、第一随机数以及第三随机数;基于所述会话的标识信息、第一随机数以及所述第三随机数进行校验。
关于第三随机数的生成方式,可以理解为:利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
可见,通过采用上述方案,就能够在生成会话密钥的时候,采用了通过量子的不确定性产生的第三随机数,该第三随机数具备量子通信的特征,如此就能够在生成密钥的时候,由于结合了更加无法预测的第三随机数,因此,能够降低会话密钥被破解的几率,从而提升了网络中数据通信的安全性。
实施例八、
本发明实施例提供了一种服务器,包括:
第三通信接口,用于将第一客户端发来的第一随机数,转发至量子网络的第三服务器;接收所述量子网络的第三服务器反馈的第三随机数、以及所述第二客户端对应的第二随机数;
其中,所述第三随机数为通过量子的不确定性产生随机数;所述第二客户端为与第一客户端建立一次会话的对端。
本实施例中第一客户端可以理解为一次会话的发起方,第二客户端则为一次会话的被叫方,那么第一客户端以及第二客户端之间建立通信连接。
第三通信接口,用于接收第一客户端发来的第一会话建立请求;其中,所述第一会话建立请求中至少包括有支持通过量子通信系统交换密钥。
进一步地,还可以包括有所述第一客户端所支持的经典加密方法和支持的压缩方式等。
需要理解的是,第一客户端与第二客户端之间建立会话的通道,可以认为是通过经典信道,也就是说,采用现有技术中的TLS技术进行传输的信道,这里不再进行赘述。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
然后,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
进一步地,所述第三通信接口,用于向量子网络的第一服务器发送第二会话建立请求,其中,所述第二会话建立请求信息中至少包括有:量子网络的第三服务器的地址信息、会话的标识信息、第一客户端的第一随机数。
所述第三通信接口,用于向第一客户端回应会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密的第二随机数以及第三随机数。
所述接收所述量子网络的服务器侧反馈的第三随机数、以及所述第二客户端对应的第二随机数,包括:接收量子网络的第一服务器发来的会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密后的第三随机数、以及加密后的所述第二客户端对应的第二随机数。
关于第三随机数的生成方式,可以理解为:利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
下面结合图4,进一步说明本实施例提供的方案的具体处理流程:
步骤401,第一客户端通过经典信道向第二客户端发出第一会话建立请求,包括是否支持通过量子通信系统交换密钥,支持的经典加密方法和支持的压缩方式等。
步骤402,如果第一客户端支持通过量子通信系统交换密钥,则第二客户端向量子网络的第二服务器发送通过量子系统交换密钥的请求,内容包括第二客户端生成的randomB(第二随机数),这些内容加密。
步骤403,量子通信网络确定会话对应的量子网络的第三服务器及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
步骤404,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
步骤405,第一客户端向量子服务器A(也就是图中所示第一服务器)发送第二会话建立请求,内容包括量子网络的第三服务器地址、会话ID和第一客户端生成的伪random A(第一随机数),这些内容加密。
步骤406,量子服务器A(也就是图中所示第一服务器)把会话ID和random A(第一随机数)传递给量子网络的第三服务器。
步骤407,利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
步骤408,量子网络的第三服务器通过量子网络向量子服务器A(也就是图中所示第一服务器)传递第一客户端回应会话建立确认,内容包括会话ID、random B(第二随机数)和random Q(第三随机数)。
步骤409,量子服务器A(也就是图中所示第一服务器)向第一客户端回应会话建立确认,内容包括会话ID、经过加密的random B(第二随机数)和random Q(第三随机数),这些内容加密。
步骤410,量子网络的第三服务器通过量子网络向量子网络的第二服务器传递第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数)。
步骤411,量子网络的第二服务器向第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数),这些内容加密。
步骤412,第一客户端发送握手结束通知给第二客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random A和random Q(第三随机数)的hash值,用来供第二客户端校验,这些内容未加密。
步骤413,第二客户端发送握手结束通知给第一客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random B和random Q(第三随机数)的hash值,用来供第一客户端校验,这些内容未加密。
第一客户端和第二客户端通过三个随机密钥生成对应的会话密钥,后续数据传输通过会话密钥对数据进行对称加密后,通过经典信道进行传输。采用SHA-256hash函数进行计算,PRF(random Q,random A,random B)=P_<hash>(random Q,random A,+random B)。
其中第一客户端和量子密钥服务器A之间以及第二客户端和量子密钥服务器B之间的信道仍然为经典信道。但第一客户端选择与量子网络间存在着可信信道的量子服务器A建立通信。第一客户端选择通信的量子服务器A依据可根据如下依据选择:1,客户端与量子网络间服务器之间可使用硬件加密设备(如usb key、加密板卡等)进行通信,如第一客户端和量子服务器A间存在着配对的加解密usb key;2,客户端与量子网络间服务器之间物理连接少,如第一客户端和量子服务器之间仅有一台路由器;3,客户端与量子网络间服务器之间物理距离短,如第一客户端和量子服务器A部署在同一个机房;4,客户端与量子网络间服务器之间存在逻辑安全通道,如户端A和量子服务器A间可建立VPN通道。
客户端与量子服务器之间可以是已经预设置对方的公钥(如二者之间使用硬件加密设备),也可以在客户端初始寻址,寻找到量子网络中对应的量子服务器A之后相互交换公钥。在客户端和量子服务器间交换公钥后,所传输内容都经过加密传输,第一客户端发送给量子服务器A的内容使用量子服务器A给出的对应公钥加密,量子服务器A收到数据后使用对应私钥解密。量子服务器A发送给第一客户端的内容使用第一客户端给出的对应公钥加密,第一客户端收到数据后使用对应私钥解密。
客户端与量子网络之间的数据传输通过加密进行传输。在一次会话中第一客户端使用量子服务器A的公钥加密第一客户端生成的随机数A,传递给量子服务器A,量子服务器A使用对应的私钥进行解密。量子服务器A使用第一客户端的公钥加密第二客户端生成的随机数B和量子密钥生成器生成的随机数Q,传递给第一客户端,第一客户端使用对应的私钥进行解密。如果窃取者仅获得一个公钥对应的私钥,也不能获得会话中所需要的全部三个随机数。当且仅当第一客户端和量子服务器A二者间的两个密钥对被窃取,这次会话才会被窃取。
经典系统中客户端产生的随机数并不是绝对随机的随机数,现有系统中客户端的随机数是由随机种子根据一定的计算方法计算出来的数值,所以,只要计算方法一定,随机种子一定,那么产生的随机数就不会变,只能称之为伪随机数。而量子通信系统中,量子密钥生成器生成的随机数是真正随机的,窃取者无法根据规律获取随机数。量子密钥生成器是通过量子的不确定性产生随机数
通过采用上述方案,两个客户端之间建立通信会话的密钥通过量子通信网络进行交换;两个客户端选择与量子网络间存在着可信信道的量子服务器建立通信,客户端与服务器预设或者交换公钥。一次会话分别由两个客户端和量子网络的量子密钥生成器产生三个随机数,其中量子密钥生成器产生的为真随机数。客户端与量子网络之间的内容包括随机数都通过加密进行传输。且客户端与量子网络之间的加密分别使用不同的公钥加密。
可见,通过采用上述方案,就能够在生成会话密钥的时候,采用了通过对物理源的信号采集和数字化输出的随机数序列即第三随机数,该第三随机数具备量子通信的特征,如此就能够在生成密钥的时候,由于结合了更加无法预测的第三随机数,因此,能够降低会话密钥被破解的几率,从而提升了网络中数据通信的安全性。进一步地,上述方案为经典通信系统与量子通信系统结合,利用量子网络的安全性,在选择可信信道后,所有会话的随机数都通过加密传输。利用量子通信系统的特性生成真随机数,弥补了经典系统的产生的伪随机数的不足。
实施例九、
本发明实施例提供了一种服务器,如图9所示,包括:
第四通信接口91,用于接收第二客户端发来的对应的第二随机数;发送所述第二客户端对应的第二随机数至所述量子网络的第三服务器;接收所述量子网络的第三服务器反馈的第三随机数、以及所述第一客户端对应的第一随机数;其中,所述第三随机数为通过量子的不确定性产生随机数;所述第二客户端为与第一客户端建立一次会话的对端;
第四处理器92,用于确定会话所对应的量子网络的第三服务器以及所述会话的标识信息。
本实施例中第一客户端可以理解为一次会话的发起方,第二客户端则为一次会话的被叫方,那么第一客户端以及第二客户端之间建立通信连接。
所述将第一客户端发来的第一随机数,转发至量子网络的第三服务器之前,所述方法还包括:接收第一客户端发来的第二会话建立请求信息;其中,所述第二会话建立请求信息中包括有量子网络的第三服务器的地址信息、会话的标识信息、第一客户端所对应的第一随机数。
所述第四通信接口,用于接收第二客户端发来的通过量子系统交互密钥的请求信息;其中,所述请求信息中包括有所述第二客户端对应的第二随机数。
所述将所述第二随机数发送至量子网络的服务器侧,包括:
向量子网络的第二服务器发送量子系统交换密钥的请求,其中,所述量子系统交换密钥的请求至少包括有:第二客户端生成的第二随机数。第二客户端向量子网络的第二服务器(量子服务器)发送通过量子系统交换密钥的请求,内容包括第二客户端生成的random B(第二随机数),这些内容加密。量子通信网络确定会话对应的量子网络的第三服务器(第三量子服务器)及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。所述发送所述第二客户端对应的第二随机数至所述量子网络的第三服务器之后,所述方法还包括:
发送量子网络的第三服务器的地址信息以及会话的标识信息至第二客户端。也就是说,量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
然后,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
进一步地,所述将所述第一随机数发送至量子网络的服务器侧,包括:向量子网络的第一服务器发送第二会话建立请求,其中,所述第二会话建立请求信息中至少包括有:量子网络的第三服务器的地址信息、会话的标识信息、第一客户端的第一随机数。
所述第四通信接口,用于发送第二握手结束通知至所述第一客户端,在所述第二握手结束通知中添加会话的标识信息、第二随机数、第三随机数;接收第一客户端发来的第一握手结束通知,在第一握手结束通知中提取会话的标识信息、第一随机数以及第三随机数;基于所述会话的标识信息、第一随机数以及所述第三随机数进行校验。
关于第三随机数的生成方式,可以理解为:利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
下面结合图4,进一步说明本实施例提供的方案的具体处理流程:
步骤401,第一客户端通过经典信道向第二客户端发出第一会话建立请求,包括是否支持通过量子通信系统交换密钥,支持的经典加密方法和支持的压缩方式等。
步骤402,如果第一客户端支持通过量子通信系统交换密钥,则第二客户端向量子网络的第二服务器发送通过量子系统交换密钥的请求,内容包括第二客户端生成的randomB(第二随机数),这些内容加密。
步骤403,量子通信网络确定会话对应的量子网络的第三服务器及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
步骤404,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
步骤405,第一客户端向量子服务器A(也就是图中所示第一服务器)发送第二会话建立请求,内容包括量子网络的第三服务器地址、会话ID和第一客户端生成的伪random A(第一随机数),这些内容加密。
步骤406,量子服务器A(也就是图中所示第一服务器)把会话ID和random A(第一随机数)传递给量子网络的第三服务器。
步骤407,利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
步骤408,量子网络的第三服务器通过量子网络向量子服务器A(也就是图中所示第一服务器)传递第一客户端回应会话建立确认,内容包括会话ID、random B(第二随机数)和random Q(第三随机数)。
步骤409,量子服务器A(也就是图中所示第一服务器)向第一客户端回应会话建立确认,内容包括会话ID、经过加密的random B(第二随机数)和random Q(第三随机数),这些内容加密。
步骤410,量子网络的第三服务器通过量子网络向量子网络的第二服务器传递第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数)。
步骤411,量子网络的第二服务器向第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数),这些内容加密。
步骤412,第一客户端发送握手结束通知给第二客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random A和random Q(第三随机数)的hash值,用来供第二客户端校验,这些内容未加密。
步骤413,第二客户端发送握手结束通知给第一客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random B和random Q(第三随机数)的hash值,用来供第一客户端校验,这些内容未加密。
第一客户端和第二客户端通过三个随机密钥生成对应的会话密钥,后续数据传输通过会话密钥对数据进行对称加密后,通过经典信道进行传输。采用SHA-256hash函数进行计算,PRF(random Q,random A,random B)=P_<hash>(random Q,random A,+random B)。
其中第一客户端和量子密钥服务器A之间以及第二客户端和量子密钥服务器B之间的信道仍然为经典信道。但第一客户端选择与量子网络间存在着可信信道的量子服务器A(也就是图中所示第一服务器)建立通信。第一客户端选择通信的量子服务器A(也就是图中所示第一服务器)依据可根据如下依据选择:1,客户端与量子网络间服务器之间可使用硬件加密设备(如usb key、加密板卡等)进行通信,如第一客户端和量子服务器A(也就是图中所示第一服务器)间存在着配对的加解密usb key;2,客户端与量子网络间服务器之间物理连接少,如第一客户端和量子服务器之间仅有一台路由器;3,客户端与量子网络间服务器之间物理距离短,如第一客户端和量子服务器A(也就是图中所示第一服务器)部署在同一个机房;4,客户端与量子网络间服务器之间存在逻辑安全通道,如户端A和量子服务器A间可建立VPN通道。
客户端与量子服务器之间可以是已经预设置对方的公钥(如二者之间使用硬件加密设备),也可以在客户端初始寻址,寻找到量子网络中对应的量子服务器A之后相互交换公钥。在客户端和量子服务器间交换公钥后,所传输内容都经过加密传输,第一客户端发送给量子服务器A的内容使用量子服务器A给出的对应公钥加密,量子服务器A收到数据后使用对应私钥解密。量子服务器A发送给第一客户端的内容使用第一客户端给出的对应公钥加密,第一客户端收到数据后使用对应私钥解密。
客户端与量子网络之间的数据传输通过加密进行传输。在一次会话中第一客户端使用量子服务器A的公钥加密第一客户端生成的随机数A,传递给量子服务器A,量子服务器A使用对应的私钥进行解密。量子服务器A使用第一客户端的公钥加密第二客户端生成的随机数B和量子密钥生成器生成的随机数Q,传递给第一客户端,第一客户端使用对应的私钥进行解密。如果窃取者仅获得一个公钥对应的私钥,也不能获得会话中所需要的全部三个随机数。当且仅当第一客户端和量子服务器A二者间的两个密钥对被窃取,这次会话才会被窃取。
经典系统中客户端产生的随机数并不是绝对随机的随机数,现有系统中客户端的随机数是由随机种子根据一定的计算方法计算出来的数值,所以,只要计算方法一定,随机种子一定,那么产生的随机数就不会变,只能称之为伪随机数。而量子通信系统中,量子密钥生成器生成的随机数是真正随机的,窃取者无法根据规律获取随机数。量子密钥生成器是通过量子的不确定性产生随机数
通过采用上述方案,两个客户端之间建立通信会话的密钥通过量子通信网络进行交换;两个客户端选择与量子网络间存在着可信信道的量子服务器建立通信,客户端与服务器预设或者交换公钥。一次会话分别由两个客户端和量子网络的量子密钥生成器产生三个随机数,其中量子密钥生成器产生的为真随机数。客户端与量子网络之间的内容包括随机数都通过加密进行传输。且客户端与量子网络之间的加密分别使用不同的公钥加密。
可见,通过采用上述方案,就能够在生成会话密钥的时候,采用了通过对物理源的信号采集和数字化输出的随机数序列即第三随机数,该第三随机数具备量子通信的特征,如此就能够在生成密钥的时候,由于结合了更加无法预测的第三随机数,因此,能够降低会话密钥被破解的几率,从而提升了网络中数据通信的安全性。进一步地,上述方案为经典通信系统与量子通信系统结合,利用量子网络的安全性,在选择可信信道后,所有会话的随机数都通过加密传输。利用量子通信系统的特性生成真随机数,弥补了经典系统的产生的伪随机数的不足。
实施例十、
本发明实施例提供了一种服务器,如图6所示,包括:
第五通信接口,用于获取第一客户端生成的第一随机数以及第二客户端生成的第二随机数;其中,所述第一客户端与第二客户端之间为建立一次会话的两个通信方;所述第一随机数与第二随机数不同;从量子密钥服务器获取第三随机数,其中,所述第三随机数为通过量子的不确定性产生随机数;将所述第三随机数以及第一随机数发送至第二客户端、以及将所述第三随机数以及第二随机数发送至第一客户端。
本实施例中第一客户端可以理解为一次会话的发起方,第二客户端则为一次会话的被叫方,那么第一客户端以及第二客户端之间建立通信连接。
所述获取第一客户端生成的第一随机数以及第二客户端生成的第二随机数,包括:
通过量子网络的第一服务器接收到所述第一客户端与第二客户端本次会话的会话标识信息,以及所述第一客户端生成的第一随机数;
以及,
通过量子网络的第二服务器接收到所述第二客户端发来的会话标识信息、以及所述第二客户端生成的第二随机数。
关于第三随机数的生成方式,可以理解为:利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
还需要理解的是,本实施例中量子密钥服务器可以为根据第三服务器的请求或指令生成第三随机数;并且,量子密钥服务器可以为根据实际情况设置,比如可以将其设置到第三服务器中,或其他服务器中,只要具备生成量子的不确定性的第三随机数的功能即可认为是量子密钥服务器。
下面结合图4,进一步说明本实施例提供的方案的具体处理流程:
步骤401,第一客户端通过经典信道向第二客户端发出第一会话建立请求,包括是否支持通过量子通信系统交换密钥,支持的经典加密方法和支持的压缩方式等。
步骤402,如果第一客户端支持通过量子通信系统交换密钥,则第二客户端向量子网络的第二服务器发送通过量子系统交换密钥的请求,内容包括第二客户端生成的randomB(第二随机数),这些内容加密。
步骤403,量子通信网络确定会话对应的量子网络的第三服务器及对应的会话ID,并把解密的random B(第二随机数)存储在量子网络的第三服务器。量子网络的第二服务器返回给第二客户端的内容包括量子网络的第三服务器地址和会话ID,这些内容加密。
基于量子通信的特征,任何截获和测量量子密钥的行为都会改变量子状态,一方面窃听者只会得到一些毫无意义的信息,另一方面信息的合法接收者也可以从量子状态的改变知道信息曾经被截取过。基于量子密钥的特征,出现了BB48等量子密钥分发协议,量子密钥分发一般包括以下几个过程:(1)原始密钥协商阶段,发送方将密钥信息通过调制加载到量子态上,经过量子信道发送到接收方,接收方对收到的量子态进行随机测量。(2)密钥筛选阶段,通信双方通过经过经典信道比对每次测量采用的测量基,对原始密钥进行筛选。(3)通过误码率判定是否需要放弃本次密钥分发。(4)数据协商阶段,通过经典信道对剩余密钥进行纠错。(5)隐私放大阶段,通过隐私放大算法,双方得到一组无条件安全的共享密钥。
步骤404,第二客户端向第一客户端回应接收会话请求,返回内容包括确认经过量子通信系统进行密钥交换,量子网络的第三服务器地址和会话ID,这些内容未加密。
步骤405,第一客户端向量子服务器A(也就是图中所示第一服务器)发送第二会话建立请求,内容包括量子网络的第三服务器地址、会话ID和第一客户端生成的伪random A(第一随机数),这些内容加密。
步骤406,量子服务器A(也就是图中所示第一服务器)把会话ID和random A(第一随机数)传递给量子网络的第三服务器。
步骤407,利用量子力学的原理,量子网络的第三服务器向量子密钥服务器请求生成真随机数random Q(第三随机数),即量子密钥服务器产生真随机数。传统伪随机数通过算法复杂度在计算机上生成,这种随机数实际是一种序列。如循环同余随机数,根据seed可以算出之后所有的随机数字,而且在一定时间后会出现重复。与伪随机数不同,基于系统外部状态或物理上被认为随机的状态做出的随机数,这种随机数被认为是真随机。量子密钥服务器产生真随机数是利用量子现象本质的不确定性,如纠缠粒子的随机性和非局域性属性,通过对物理源的信号采集和数字化技术来输出高速超长的随机数序列。真随机数即使在拥有无限计算资源和量子计算机的情况下,也不会被成功预测。
步骤408,量子网络的第三服务器通过量子网络向量子服务器A(也就是图中所示第一服务器)传递第一客户端回应会话建立确认,内容包括会话ID、random B(第二随机数)和random Q(第三随机数)。
步骤409,量子服务器A(也就是图中所示第一服务器)向第一客户端回应会话建立确认,内容包括会话ID、经过加密的random B(第二随机数)和random Q(第三随机数),这些内容加密。
步骤410,量子网络的第三服务器通过量子网络向量子网络的第二服务器传递第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数)。
步骤411,量子网络的第二服务器向第二客户端回应会话建立确认,内容包括会话ID、random A(第一随机数)和random Q(第三随机数),这些内容加密。
步骤412,第一客户端发送握手结束通知给第二客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random A和random Q(第三随机数)的hash值,用来供第二客户端校验,这些内容未加密。
步骤413,第二客户端发送握手结束通知给第一客户端,表示客户端的握手阶段已经结束。内容包括会话ID、random B和random Q(第三随机数)的hash值,用来供第一客户端校验,这些内容未加密。
第一客户端和第二客户端通过三个随机密钥生成对应的会话密钥,后续数据传输通过会话密钥对数据进行对称加密后,通过经典信道进行传输。采用SHA-256hash函数进行计算,PRF(random Q,random A,random B)=P_<hash>(random Q,random A,+random B)。
其中第一客户端和量子密钥服务器A之间以及第二客户端和量子密钥服务器B之间的信道仍然为经典信道。但第一客户端选择与量子网络间存在着可信信道的量子服务器A建立通信。第一客户端选择通信的量子服务器A依据可根据如下依据选择:1,客户端与量子网络间服务器之间可使用硬件加密设备(如usb key、加密板卡等)进行通信,如第一客户端和量子服务器A间存在着配对的加解密usb key;2,客户端与量子网络间服务器之间物理连接少,如第一客户端和量子服务器之间仅有一台路由器;3,客户端与量子网络间服务器之间物理距离短,如第一客户端和量子服务器A部署在同一个机房;4,客户端与量子网络间服务器之间存在逻辑安全通道,如户端A和量子服务器A间可建立VPN通道。
客户端与量子服务器之间可以是已经预设置对方的公钥(如二者之间使用硬件加密设备),也可以在客户端初始寻址,寻找到量子网络中对应的量子服务器A之后相互交换公钥。在客户端和量子服务器间交换公钥后,所传输内容都经过加密传输,第一客户端发送给量子服务器A的内容使用量子服务器A给出的对应公钥加密,量子服务器A收到数据后使用对应私钥解密。量子服务器A发送给第一客户端的内容使用第一客户端给出的对应公钥加密,第一客户端收到数据后使用对应私钥解密。
客户端与量子网络之间的数据传输通过加密进行传输。在一次会话中第一客户端使用量子服务器A的公钥加密第一客户端生成的随机数A,传递给量子服务器A,量子服务器A使用对应的私钥进行解密。量子服务器A使用第一客户端的公钥加密第二客户端生成的随机数B和量子密钥生成器生成的随机数Q,传递给第一客户端,第一客户端使用对应的私钥进行解密。如果窃取者仅获得一个公钥对应的私钥,也不能获得会话中所需要的全部三个随机数。当且仅当第一客户端和量子服务器A(也就是图中所示第一服务器)二者间的两个密钥对被窃取,这次会话才会被窃取。
经典系统中客户端产生的随机数并不是绝对随机的随机数,现有系统中客户端的随机数是由随机种子根据一定的计算方法计算出来的数值,所以,只要计算方法一定,随机种子一定,那么产生的随机数就不会变,只能称之为伪随机数。而量子通信系统中,量子密钥生成器生成的随机数是真正随机的,窃取者无法根据规律获取随机数。量子密钥生成器是通过量子的不确定性产生随机数
通过采用上述方案,两个客户端之间建立通信会话的密钥通过量子通信网络进行交换;两个客户端选择与量子网络间存在着可信信道的量子服务器建立通信,客户端与服务器预设或者交换公钥。一次会话分别由两个客户端和量子网络的量子密钥生成器产生三个随机数,其中量子密钥生成器产生的为真随机数。客户端与量子网络之间的内容包括随机数都通过加密进行传输。且客户端与量子网络之间的加密分别使用不同的公钥加密。
可见,通过采用上述方案,就能够在生成会话密钥的时候,采用了通过对物理源的信号采集和数字化输出的随机数序列即第三随机数,该第三随机数具备量子通信的特征,如此就能够在生成密钥的时候,由于结合了更加无法预测的第三随机数,因此,能够降低会话密钥被破解的几率,从而提升了网络中数据通信的安全性。进一步地,上述方案为经典通信系统与量子通信系统结合,利用量子网络的安全性,在选择可信信道后,所有会话的随机数都通过加密传输。利用量子通信系统的特性生成真随机数,弥补了经典系统的产生的伪随机数的不足。
本发明实施例还提供了一种客户端、或者服务器的硬件组成架构,如图10所示,包括:至少一个处理器1001、存储器1002、至少一个网络接口1003。各个组件通过总线系统1004耦合在一起。可理解,总线系统1004用于实现这些组件之间的连接通信。总线系统1004除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图10中将各种总线都标为总线系统1004。
可以理解,本发明实施例中的存储器1002可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
在一些实施方式中,存储器1002存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集:
操作系统10021和应用程序10022。
其中,所述处理器1001配置为:能够处理前述实施例一至五中任一实施例的方法步骤,这里不再进行赘述。
本申请还提供一种存储介质,其上存储有计算机程序,其中,该计算机程序被处理器执行时实现实施例一至五中任意一个所述方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备设备(可以是手机,计算机,装置,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (35)
1.一种信息传输方法,应用于第一客户端,其特征在于,所述方法包括:
生成第一随机数,将所述第一随机数发送至量子网络的服务器侧;
接收所述量子网络的服务器侧反馈的第三随机数、以及第二客户端对应的第二随机数;其中,所述第三随机数为通过量子的不确定性产生的随机数;所述第二客户端为与所述第一客户端建立一次会话的对端;
基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,利用所述会话密钥加密向所述第二客户端发送的数据并传输。
2.根据权利要求1所述的方法,其特征在于,所述生成第一随机数,将所述第一随机数发送至量子网络的服务器侧之前,所述方法还包括:
向所述第二客户端发送第一会话建立请求;其中,所述第一会话建立请求中至少包括有支持通过量子通信系统交换的密钥。
3.根据权利要求1所述的方法,其特征在于,所述将所述第一随机数发送至量子网络的服务器侧,包括:
向量子网络的第一服务器发送第二会话建立请求,其中,所述第二会话建立请求信息中至少包括有:量子网络的第三服务器的地址信息、会话的标识信息、第一客户端的第一随机数。
4.根据权利要求1所述的方法,其特征在于,所述接收所述量子网络的服务器侧反馈的第三随机数、以及第二客户端对应的第二随机数,包括:
接收量子网络的第一服务器发来的会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密后的第三随机数、以及加密后的所述第二客户端对应的第二随机数。
5.根据权利要求1所述的方法,其特征在于,所述接收所述量子网络的服务器侧反馈的第三随机数、以及第二客户端对应的第二随机数之后,所述方法还包括:
发送第一握手结束通知至所述第二客户端,在所述第一握手结束通知中添加会话的标识信息、第一随机数、第三随机数;
接收第二客户端发来的第二握手结束通知,在第二握手结束通知中提取会话的标识信息、第二随机数以及第三随机数;基于所述会话的标识信息、第二随机数以及第三随机数进行校验。
6.一种信息传输方法,应用于第二客户端,其特征在于,所述方法包括:
生成第二随机数,将所述第二随机数发送至量子网络的服务器侧;
接收所述量子网络的服务器侧反馈的第三随机数、以及第一客户端对应的第一随机数;其中,所述第三随机数为通过量子的不确定性产生的随机数;所述第一客户端为与所述第二客户端建立一次会话的对端;
基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,利用所述会话密钥加密向所述第一客户端发送的数据并传输。
7.根据权利要求6所述的方法,其特征在于,所述生成第二随机数,将所述第二随机数发送至量子网络的服务器侧之前,所述方法还包括:
接收所述第一客户端发来的第一会话建立请求;其中,所述第一会话建立请求中至少包括有支持通过量子通信系统交换的密钥。
8.根据权利要求6所述的方法,其特征在于,所述将所述第二随机数发送至量子网络的服务器侧,包括:
向量子网络的第二服务器发送量子系统交换密钥的请求,其中,所述量子系统交换密钥的请求至少包括有:第二客户端生成的第二随机数。
9.根据权利要求6所述的方法,其特征在于,所述接收所述量子网络的服务器侧反馈的第三随机数、以及第一客户端对应的第一随机数之后,所述方法还包括:
发送第二握手结束通知至所述第一客户端,在所述第二握手结束通知中添加会话的标识信息、第二随机数、第三随机数;
接收第一客户端发来的第一握手结束通知,在第一握手结束通知中提取会话的标识信息、第一随机数以及第三随机数;基于所述会话的标识信息、第一随机数以及所述第三随机数进行校验。
10.一种信息传输方法,应用于量子网络的第一服务器,其特征在于,所述方法包括:
将第一客户端发来的第一随机数,转发至量子网络的第三服务器;
接收所述量子网络的第三服务器反馈的第三随机数、以及第二客户端对应的第二随机数;其中,所述第三随机数为通过量子的不确定性产生随机数;所述第二客户端为与第一客户端建立一次会话的对端;
向所述第一客户端回应会话建立确认信息,使得所述第一客户端基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,并利用所述会话密钥加密向所述第二客户端发送的数据并传输;其中,所述会话建立确认信息中包括有:会话的标识信息、加密的第二随机数以及第三随机数。
11.根据权利要求10所述的方法,其特征在于,所述将第一客户端发来的第一随机数,转发至量子网络的第三服务器之前,所述方法还包括:
接收第一客户端发来的第二会话建立请求信息;其中,所述第二会话建立请求信息中包括有量子网络的第三服务器的地址信息、会话的标识信息、第一客户端所对应的第一随机数。
12.一种信息传输方法,应用于量子网络的第二服务器,其特征在于,所述方法包括:
接收第二客户端发来的对应的第二随机数;
确定会话所对应的量子网络的第三服务器以及所述会话的标识信息,发送所述第二客户端对应的第二随机数至所述量子网络的第三服务器;
接收所述量子网络的第三服务器反馈的第三随机数、以及第一客户端对应的第一随机数;
其中,所述第三随机数为通过量子的不确定性产生的随机数;所述第一客户端为与所述第二客户端建立一次会话的对端;
向所述第二客户端回应会话建立确认信息,使得所述第二客户端基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,并利用所述会话密钥加密向所述第一客户端发送的数据并传输;其中,所述会话建立确认信息中包括有:会话的标识信息、加密的第一随机数以及第三随机数。
13.根据权利要求12所述的方法,其特征在于,所述接收第二客户端发来的对应的第二随机数,包括:
接收第二客户端发来的通过量子系统交互密钥的请求信息;其中,所述请求信息中包括有所述第二客户端对应的第二随机数。
14.根据权利要求12所述的方法,其特征在于,所述发送所述第二客户端对应的第二随机数至所述量子网络的第三服务器之后,所述方法还包括:
发送量子网络的第三服务器的地址信息以及会话的标识信息至第二客户端。
15.一种信息传输方法,应用于量子网络的第三服务器,其特征在于,所述方法包括:
获取第一客户端生成的第一随机数以及第二客户端生成的第二随机数;其中,所述第一客户端与第二客户端之间为建立一次会话的两个通信方;所述第一随机数与第二随机数不同;
从量子密钥服务器获取第三随机数,其中,所述第三随机数为通过量子的不确定性产生随机数;
将所述第三随机数以及第一随机数发送至第二客户端、以及将所述第三随机数以及第二随机数发送至所述第一客户端,使得所述第一客户端基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,利用所述会话密钥加密向所述第二客户端发送的数据并传输,并使得所述第二客户端基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,利用所述会话密钥加密向所述第一客户端发送的数据并传输。
16.根据权利要求15所述的方法,其特征在于,所述获取第一客户端生成的第一随机数以及第二客户端生成的第二随机数,包括:
通过量子网络的第一服务器接收到所述第一客户端与第二客户端本次会话的会话标识信息,以及所述第一客户端生成的第一随机数;
以及,
通过量子网络的第二服务器接收到所述第二客户端发来的会话标识信息、以及所述第二客户端生成的第二随机数。
17.一种客户端,其特征在于,所述客户端,包括:
第一处理器,用于生成第一随机数,将所述第一随机数发送至量子网络的服务器侧;基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥;
第一通信接口,用于接收所述量子网络的服务器侧反馈的第三随机数、以及第二客户端对应的第二随机数,利用所述会话密钥加密向第二客户端发送的数据并传输;其中,所述第三随机数为通过量子的不确定性产生的随机数;所述第二客户端为与第一客户端建立一次会话的对端。
18.根据权利要求17所述的客户端,其特征在于,所述第一通信接口,用于向第二客户端发送第一会话建立请求;其中,所述第一会话建立请求中至少包括有支持通过量子通信系统交换的密钥。
19.根据权利要求17所述的客户端,其特征在于,所述第一通信接口,用于向量子网络的第一服务器发送第二会话建立请求,其中,所述第二会话建立请求信息中至少包括有:量子网络的第三服务器的地址信息、会话的标识信息、第一客户端的第一随机数。
20.根据权利要求17所述的客户端,其特征在于,所述第一处理器,用于接收量子网络的第一服务器发来的会话建立确认信息,其中,所述会话建立确认信息中包括有:会话的标识信息、加密后的第三随机数、以及加密后的所述第二客户端对应的第二随机数。
21.根据权利要求17所述的客户端,其特征在于,所述第一通信接口,用于发送第一握手结束通知至所述第二客户端,在所述第一握手结束通知中添加会话的标识信息、第一随机数、第三随机数;接收第二客户端发来的第二握手结束通知;
所述第一处理器,用于在第二握手结束通知中提取会话的标识信息、第二随机数以及第三随机数;基于所述会话的标识信息、第二随机数以及所述第三随机数进行校验。
22.一种客户端,其特征在于,所述客户端包括:
第二处理器,用于生成第二随机数;基于第一随机数、第二随机数以及第三随机数生成对应的会话密钥;
第二通信接口,用于将所述第二随机数发送至量子网络的服务器侧;接收所述量子网络的服务器侧反馈的第三随机数、以及第一客户端对应的第一随机数;利用所述会话密钥加密向第一客户端发送的数据并传输;其中,所述第三随机数为通过量子的不确定性产生随机数。
23.根据权利要求22所述的客户端,其特征在于,所述第二通信接口,用于接收第一客户端发来的第一会话建立请求;其中,所述第一会话建立请求中至少包括有支持通过量子通信系统交换的密钥。
24.根据权利要求22所述的客户端,其特征在于,所述第二通信接口,用于向量子网络的第二服务器发送量子系统交换密钥的请求,其中,所述量子系统交换密钥的请求至少包括有:第二客户端生成的第二随机数。
25.根据权利要求22所述的客户端,其特征在于,所述第二通信接口,用于发送第二握手结束通知至所述第一客户端,在所述第二握手结束通知中添加会话的标识信息、第二随机数、第三随机数;接收第一客户端发来的第一握手结束通知;
所述第二处理器,用于在第一握手结束通知中提取会话的标识信息、第一随机数以及第三随机数;基于所述会话的标识信息、第一随机数以及所述第三随机数进行校验。
26.一种服务器,其特征在于,所述服务器包括:
第三通信接口,用于将第一客户端发来的第一随机数,转发至量子网络的第三服务器;接收所述量子网络的第三服务器反馈的第三随机数、以及第二客户端对应的第二随机数;
其中,所述第三随机数为通过量子的不确定性产生随机数;所述第二客户端为与所述第一客户端建立一次会话的对端;
所述第三通信接口,还用于向第一客户端回应会话建立确认信息,使得所述第一客户端基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,并利用所述会话密钥加密向所述第二客户端发送的数据并传输;其中,所述会话建立确认信息中包括有:会话的标识信息、加密的第二随机数以及第三随机数。
27.根据权利要求26所述的服务器,其特征在于,所述第三通信接口,用于接收所述第一客户端发来的第二会话建立请求信息;其中,所述第二会话建立请求信息中包括有量子网络的第三服务器的地址信息、会话的标识信息、第一客户端所对应的第一随机数。
28.一种服务器,其特征在于,所述服务器包括:
第四通信接口,用于接收第二客户端发来的对应的第二随机数;发送所述第二客户端对应的第二随机数至量子网络的第三服务器;接收所述量子网络的第三服务器反馈的第三随机数、以及第一客户端对应的第一随机数;其中,所述第三随机数为通过量子的不确定性产生随机数;所述第二客户端为与第一客户端建立一次会话的对端;
第四处理器,用于确定会话所对应的量子网络的第三服务器以及所述会话的标识信息;
第四通信接口,还用于向所述第二客户端回应会话建立确认信息,使得所述第二客户端基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,并利用所述会话密钥加密向所述第一客户端发送的数据并传输;其中,所述会话建立确认信息中包括有:会话的标识信息、加密的第一随机数以及第三随机数。
29.根据权利要求28所述的服务器,其特征在于,所述第四通信接口,用于接收第二客户端发来的通过量子系统交换密钥的请求信息;其中,所述请求信息中包括有所述第二客户端对应的第二随机数。
30.根据权利要求28所述的服务器,其特征在于,所述第四通信接口,用于发送量子网络的第三服务器的地址信息以及会话的标识信息至第二客户端。
31.一种服务器,其特征在于,所述服务器包括:
第五通信接口,用于获取第一客户端生成的第一随机数以及第二客户端生成的第二随机数;其中,所述第一客户端与第二客户端之间为建立一次会话的两个通信方;所述第一随机数与第二随机数不同;从量子密钥服务器获取第三随机数,其中,所述第三随机数为通过量子的不确定性产生的随机数;将所述第三随机数以及第一随机数发送至第二客户端、以及将所述第三随机数以及第二随机数发送至所述第一客户端,使得所述第一客户端基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,利用所述会话密钥加密向所述第二客户端发送的数据并传输,并使得所述第二客户端基于所述第一随机数、第二随机数以及第三随机数生成对应的会话密钥,利用所述会话密钥加密向所述第一客户端发送的数据并传输。
32.根据权利要求31所述的服务器,其特征在于,所述第五通信接口,用于通过量子网络的第一服务器接收到所述第一客户端与第二客户端本次会话的会话标识信息,以及所述第一客户端生成的第一随机数;
以及,
通过量子网络的第二服务器接收到所述第二客户端发来的会话标识信息、以及所述第二客户端生成的第二随机数。
33.一种客户端,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行权利要求1-9任一项所述方法的步骤。
34.一种服务器,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行权利要求10-16任一项所述方法的步骤。
35.一种存储介质,其上存储有计算机程序,其中,该计算机程序被处理器执行时实现权利要求1-16任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810001004.XA CN109995739B (zh) | 2018-01-02 | 2018-01-02 | 一种信息传输方法、客户端、服务器及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810001004.XA CN109995739B (zh) | 2018-01-02 | 2018-01-02 | 一种信息传输方法、客户端、服务器及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109995739A CN109995739A (zh) | 2019-07-09 |
CN109995739B true CN109995739B (zh) | 2021-06-15 |
Family
ID=67128272
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810001004.XA Active CN109995739B (zh) | 2018-01-02 | 2018-01-02 | 一种信息传输方法、客户端、服务器及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109995739B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021168864A1 (zh) * | 2020-02-29 | 2021-09-02 | 华为技术有限公司 | 一种故障诊断方法、装置及车辆 |
CN113422679B (zh) * | 2020-07-20 | 2023-07-18 | 阿里巴巴集团控股有限公司 | 密钥生成方法、装置和系统、加密方法、电子设备以及计算机可读存储介质 |
CN113852460B (zh) * | 2021-09-16 | 2023-10-13 | 国科量子通信网络有限公司 | 一种基于量子密钥增强工作密钥安全性的实现方法和系统 |
CN113935059B (zh) * | 2021-12-16 | 2022-03-15 | 国网浙江省电力有限公司杭州供电公司 | 适用于财务数据的动态加密方法、装置及存储介质 |
CN116938459B (zh) * | 2023-09-19 | 2024-01-09 | 厘壮信息科技(苏州)有限公司 | 用于网络用户的数据传输安全评估方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007116216A (ja) * | 2005-10-18 | 2007-05-10 | Hitachi Ltd | 量子認証方法およびシステム |
CN102742250A (zh) * | 2012-03-13 | 2012-10-17 | 华为终端有限公司 | 基于传输层安全的密钥传递方法、智能抄表终端及服务器 |
CN103475464A (zh) * | 2013-08-20 | 2013-12-25 | 国家电网公司 | 一种电力专用量子加密网关系统 |
US8996873B1 (en) * | 2014-04-08 | 2015-03-31 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
CN105024801A (zh) * | 2015-07-06 | 2015-11-04 | 国网山东寿光市供电公司 | 一种量子加密通信方法 |
CN105763563A (zh) * | 2016-04-19 | 2016-07-13 | 浙江神州量子网络科技有限公司 | 一种量子密钥申请过程中的身份认证方法 |
CN106302391A (zh) * | 2016-07-27 | 2017-01-04 | 上海华为技术有限公司 | 一种加密数据传输方法和代理服务器 |
CN106789052A (zh) * | 2017-03-28 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子通信网络的远程密钥颁发系统及其使用方法 |
WO2017200791A1 (en) * | 2016-05-19 | 2017-11-23 | Alibaba Group Holding Limited | Method and system for secure data transmission |
CN107508672A (zh) * | 2017-09-07 | 2017-12-22 | 浙江神州量子网络科技有限公司 | 一种基于对称密钥池的密钥同步方法和密钥同步装置、密钥同步系统 |
-
2018
- 2018-01-02 CN CN201810001004.XA patent/CN109995739B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007116216A (ja) * | 2005-10-18 | 2007-05-10 | Hitachi Ltd | 量子認証方法およびシステム |
CN102742250A (zh) * | 2012-03-13 | 2012-10-17 | 华为终端有限公司 | 基于传输层安全的密钥传递方法、智能抄表终端及服务器 |
CN103475464A (zh) * | 2013-08-20 | 2013-12-25 | 国家电网公司 | 一种电力专用量子加密网关系统 |
US8996873B1 (en) * | 2014-04-08 | 2015-03-31 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
CN105024801A (zh) * | 2015-07-06 | 2015-11-04 | 国网山东寿光市供电公司 | 一种量子加密通信方法 |
CN105763563A (zh) * | 2016-04-19 | 2016-07-13 | 浙江神州量子网络科技有限公司 | 一种量子密钥申请过程中的身份认证方法 |
WO2017200791A1 (en) * | 2016-05-19 | 2017-11-23 | Alibaba Group Holding Limited | Method and system for secure data transmission |
CN106302391A (zh) * | 2016-07-27 | 2017-01-04 | 上海华为技术有限公司 | 一种加密数据传输方法和代理服务器 |
CN106789052A (zh) * | 2017-03-28 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子通信网络的远程密钥颁发系统及其使用方法 |
CN107508672A (zh) * | 2017-09-07 | 2017-12-22 | 浙江神州量子网络科技有限公司 | 一种基于对称密钥池的密钥同步方法和密钥同步装置、密钥同步系统 |
Non-Patent Citations (2)
Title |
---|
Post-quantum key exchange for the TLS protocol;Joppe W. Bos,Craig Costello, Michael Naehrig,Douglas Stebila;《2015 IEEE Symposium on Security and Privacy》;20150720;第553-570页 * |
量子密码实际安全性与应用研究;刘东;《中国优秀博士学位论文全文数据库》;20141030;第1-100页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109995739A (zh) | 2019-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109995739B (zh) | 一种信息传输方法、客户端、服务器及存储介质 | |
US11316677B2 (en) | Quantum key distribution node apparatus and method for quantum key distribution thereof | |
EP3293934B1 (en) | Cloud storage method and system | |
US10291596B2 (en) | Installation of a terminal in a secure system | |
EP3205048B1 (en) | Generating a symmetric encryption key | |
EP3065334A1 (en) | Key configuration method, system and apparatus | |
EP3537652B1 (en) | Method for securely controlling smart home appliance and terminal device | |
CN103036872B (zh) | 数据传输的加密和解密方法、设备及系统 | |
EP2060045A2 (en) | Method and system for establishing real-time authenticated and secured communication channels in a public network | |
US8144875B2 (en) | Method and system for establishing real-time authenticated and secured communications channels in a public network | |
CN111510288B (zh) | 密钥管理方法、电子设备及存储介质 | |
CN113452660B (zh) | 网状网络与云端服务器的通信方法、网状网络系统及其节点装置 | |
US11968302B1 (en) | Method and system for pre-shared key (PSK) based secure communications with domain name system (DNS) authenticator | |
CN114547583A (zh) | 身份认证系统、方法、装置、设备及计算机可读存储介质 | |
CN114499837B (zh) | 一种报文防泄露方法、装置、系统和设备 | |
CN111224958A (zh) | 一种数据传输方法和系统 | |
CN110832806A (zh) | 针对面向身份的网络的基于id的数据面安全 | |
CN114050897B (zh) | 一种基于sm9的异步密钥协商方法及装置 | |
US11876789B2 (en) | Encrypted data communication and gateway device for encrypted data communication | |
CN113918971A (zh) | 基于区块链的消息传输方法、装置、设备及可读存储介质 | |
CN111279655B (zh) | 数据共享方法、系统及服务器、通信终端、记录介质 | |
KR20150135717A (ko) | 모바일 멀티홉 네트워크에서 비밀키를 공유하는 장치 및 방법 | |
CN116782210B (zh) | 一种高速加密算法的动态加密密钥生成方法 | |
CN114158051B (zh) | 解锁方法、装置、电子设备及计算机可读存储介质 | |
CN112187462B (zh) | 数据处理方法、装置、电子设备及计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |