CN111224775A - 一种安全通信方法、一种安全通信系统及通信终端地址跳变图案生成方法 - Google Patents

一种安全通信方法、一种安全通信系统及通信终端地址跳变图案生成方法 Download PDF

Info

Publication number
CN111224775A
CN111224775A CN201910653363.8A CN201910653363A CN111224775A CN 111224775 A CN111224775 A CN 111224775A CN 201910653363 A CN201910653363 A CN 201910653363A CN 111224775 A CN111224775 A CN 111224775A
Authority
CN
China
Prior art keywords
address
hopping
communication
quantum key
jump
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910653363.8A
Other languages
English (en)
Inventor
李伟
卢刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Quantum Storm Information Technology Co Ltd
Original Assignee
Wuhan Quantum Storm Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Quantum Storm Information Technology Co Ltd filed Critical Wuhan Quantum Storm Information Technology Co Ltd
Publication of CN111224775A publication Critical patent/CN111224775A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04JMULTIPLEX COMMUNICATION
    • H04J3/00Time-division multiplex systems
    • H04J3/02Details
    • H04J3/06Synchronising arrangements
    • H04J3/0635Clock or time synchronisation in a network
    • H04J3/0638Clock or time synchronisation among nodes; Internode synchronisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5053Lease time; Renewal aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0858Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/70Photonic quantum communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种安全通信方法,包括为通信双方预设实时同步且完全随机的对称量子密钥;通信双方利用量子密钥得到跳变因子,利用该跳变因子按预设规则生成地址跳变图案,地址跳变图案用于描述预设时间内各通信终端的地址信息跳变情况;通信双方根据已生成的地址跳变图案得到各终端跳变后的通信地址并进行通信。本发明基于量子密钥,在通信双方计算出跳变图案且定义了通信终端地址跳变的规律。使得除通信双方以外的第三方无法得知当前提供服务的地址,保证了通信安全。另外,本发明还利用量子密钥分发的时钟同步机制实现通信双方的时钟同步,保障了地址跳变的有序进行。本发明还公开了一种安全通信系统及通信终端地址跳变图案生成方法。

Description

一种安全通信方法、一种安全通信系统及通信终端地址跳变 图案生成方法
相关申请的交叉引用
本申请要求武汉量子风暴信息科技有限公司于2019年5月20日提交的、发明名称为“一种安全通信方法、一种安全通信系统及通信终端地址跳变图案生成方法”的、中国专利申请号“201910420969.7”的优先权。
技术领域
本发明涉及信息安全技术领域,特别涉及一种安全通信方法、一种安全通信系统及通信终端地址跳变图案生成方法。
背景技术
当前,有组织提出发展具有“移动目标防御”(MTD)的指挥与控制能力。不同以往的网络安全研究思路,移动目标防御致力于构建一种动态的、异构的、不确定的网络,通过增加系统的随机性或减少系统的可预见性达到防护目的。该技术突破原来“固定死守”的安全系统防护思想,形成了通过不断的变化来增加攻击的难度和代价,允许漏洞的存在,但不允许对方利用的新的安全思想。通信终端地址(包括IP地址、端口号等)跳变是移动目标防御体系中的重要技术之一,通过对外服务地址的不断变化使攻击者难以探测到攻击目标,进而瓦解攻击方形成的网络攻击威胁。
具体的,地址的跳变规律需要通信双方形成共识且跳变规律必须难以被第三方获得,另外,还需要以严格的时钟同步作为保障。现有技术中,一般采用IP地址的跳变作为防御手段,以伪随机数生成随机IP地址,并在通信双方外加时钟同步机制手段。但是,以伪随机数生成随机IP地址的方式其规律容易被第三方破解,且时钟同步的精度会影响数据传输效率,难以实现“移动目标防御”的目的。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种安全通信方法、一种安全通信系统及一种通信终端地址跳变图案生成方法。
第一方面,本发明实施例提供一种安全通信方法,包括以下步骤:
为通信双方预设实时同步且完全随机的对称量子密钥;
通信双方利用量子密钥得到跳变因子;
利用该跳变因子按预设规则生成地址跳变图案,所述地址跳变图案用于描述预设时间内各通信终端的地址信息跳变情况;
通信双方根据已生成的地址跳变图案得到各终端跳变后的通信地址,并利用跳变后的通信地址进行数据通信。
进一步的,通信终端的地址信息包括主机地址信息、主机端口信息、WAN端口信息中的至少一种。
进一步的,利用量子密钥得到跳变因子的方法包括:
直接使用量子密钥作为跳变因子或者将预设的已同步的信息作为输入明文,利用量子密钥加密得到相应的密文,使用相应的密文作为跳变因子。
进一步的,利用该跳变因子按预设规则生成地址跳变图案的方法包括:
预设地址跳变时间;
分别提取跳变因子的预设位数代表通信终端的地址信息;
将跳变时间及通信终端的地址信息生成地址跳变图案。
进一步的,将所述地址跳变时间及通信终端的地址信息生成地址跳变图案,包括:
预设多维坐标系,各坐标轴分别代表时间轴及通信地址轴;
根据预设参数确定通信终端地址跳变时间及通信终端的地址范围;
将地址跳变时间及每次跳变时各通信终端的地址展示在所述多维坐标系中。
第二方面,本发明实施例提供一种安全通信系统,通信系统的每侧均包括通信终端、量子密钥分发设备、跳变控制器,其中:
量子密钥分发设备,用于为系统内通信终端预设实时同步且完全随机的对称量子密钥,并将量子密钥发送给对应的跳变控制器;
跳变控制器,用于接收量子密钥,并利用量子密钥得到跳变因子,利用该跳变因子按预设规则生成地址跳变图案;跳变控制器还用于将生成的地址跳变图案发送给本侧的通信终端。
通信终端,接收跳变控制器发送地址跳变图案,并根据该地址跳变图案得到各通信终端跳变后的通信地址;再利用跳变后的通信地址进行数据通信。
第三方面,本发明实施例提供一种通信终端地址跳变图案生成方法,包括以下步骤:
预设实时同步且完全随机的对称量子密钥;
利用量子密钥得到跳变因子;
利用该跳变因子按预设规则生成地址跳变图案,所述地址跳变图案用于描述预设时间内通信终端的地址跳变情况。
本发明实施例提供的上述技术方案的有益效果至少包括:
本发明基于量子通信中的量子密钥分发技术,利用了量子的不可克隆原理和量子不可分割的基本特性,使用量子加密密钥具有一次一密,完全随机的特点。只有通信双方通过密钥协商机制才能获得对称加密密钥,第三方无法通过网络截取获得密钥。基于量子密钥,通信双方计算出跳变图案,该图案也无法被第三方获得。跳变图案定义了通信终端地址跳变的规律,使得除通信双方以外的第三方无法得知当前提供服务的IP地址和端口号,这样第三方就无法向服务器发起攻击。
另外,本发明解决了IP地址跳变过程中不依赖外部时钟源的时钟同步问题。在IP地址跳变过程中,通信双方需要保持严格的时钟同步。如果通信双方无法实现精准的时钟同步,即便了解了IP地址跳变规律,通信双方也无法正常通信。本发明利用量子密钥分发设备的时钟同步机制实现通信双方的时钟同步,保障了地址跳变的有序进行。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例一中,一种安全通信系统的结构示意图;
图2为本发明实施例一中,生成地址跳变图案时,定义一个三维坐标轴的示意图;
图3为本发明实施例一中,基于图2所示三维坐标轴,主机地址和主机端口地址生成的示意图;
图4为本发明实施例一中,基于图2、图3所示三维坐标轴,WAN口地址生成的示意图;
图5为本发明实施例一中,生成主机地址的算法的示意图。
图6为本发明实施例一中,生成端口地址的算法的示意图。
图7为本发明实施例二中,另一种安全通信系统的结构示意图;
图8为图7所示安全通信系统中发送端的工作原理示意图;
图9为本发明实施例三中,一种安全通信方法的流程示意图。
图10为本发明实施例四中,一种通信终端地址跳变图案生成方法的流程示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为了解决现有技术中存在的通信安全性不够高,且时钟同步的精度会影响数据传输效率的问题,本发明实施例提供一种安全通信系统。
实施例一
如图1所示,一种安全通信系统,通信系统的每侧均包括通信终端(可以为服务器11、客户端12等)、量子密钥分发设备20、跳变控制器30,其中:
量子密钥分发设备20,用于为系统内通信终端预设实时同步且完全随机的对称量子密钥,并将量子密钥发送给对应的跳变控制器30。
量子网络自身可以保证是同步的,即通信的双方每次使用当前时刻通信双方协商的量子密钥即相同的量子密钥。而生成的量子密钥的随机性由量子加密的基本原理保证。其依赖于光子的模拟特性进行密钥生成,具有不可预测和随机性的特点。
跳变控制器30,用于接收量子密钥,并利用量子密钥得到跳变因子,利用该跳变因子按预设规则生成地址跳变图案,所述地址跳变图案包括主机的地址信息,如主机IP地址信息、主机端口信息、WAN端口信息等;跳变控制器30还用于将生成的地址跳变图案发送给本侧的通信终端。
为了保证通信的同步性和随机性,跳变控制器30优选利用量子密钥得到跳变因子。在一些实施例中,可以直接使用量子密钥作为跳变因子。在另一些实施例中,可以将预设的已同步的信息作为输入明文,利用量子密钥加密得到相应的密文,使用相应的密文作为跳变因子。比如,将当前同步的绝对时间作为加密的输入明文,利用量子密钥加密得到相应的密文,该密文即为跳变因子。
具体的,假设t时刻从量子密钥分发设备20获取密钥量子密钥Key,利用转换函数ALG_HD(t)对时刻t进行加密,得到跳变因子C(t)。本过程可以用公式1表示:
C(t)=ALG_HD(t) (1)
在本实施例中,t为取整的时刻,得到的跳变因子C(t)为一个128bit的二进制串,如表1所示。
Figure RE-GDA0002214063750000051
表1
该跳变控制器30利用该跳变因子按预设规则生成地址跳变图案的方法很多,为了清楚说明本实施例工作原理,现公开一种优选方案,为三维跳变图案。
如图2所示,定义一个三维坐标轴,其中:
1)X轴:为时间周期轴,跳变控制器30根据外部下发的参数指令将总时间为T划分成 N个小跳变周期t0、2t0、3t0……。
2)Y轴:主机地址轴,根据下发的参数中的网段,1-254来设置主机地址轴。
3)Z轴:端口轴,根据下发的端口范围(0-65535),来设置端口轴。
4)第四轴:WAN口轴,根据下发的参数中可跳变网络通信域的WAN口信息,来设置WAN 口轴。本实施例用标号的形式进行描述,比如WAN口1-1记做H1-1、WAN口1-2记做H1-2、WAN口2-1记做H2-1、WAN口2-2记做H2-2,实际应用中可以采用着色等措施。
具体的,对于每个三维地址H=A(W,I,P),其中W为WAN口网段,I为主机地址,P 为端口。即A(W,I,P)这个三维向量可以表示一个三维地址。结合图3所示:
1.I的生成(主机地址生成)
基于得到的128bit的跳变因子C(t),基于以下的算法来选择每次跳变周期的各服务器的主机地址。
图5所示为128位的跳变因子C(t),按照如下的移位方式来从样本中提取所需跳变的主机地址,表中实例为1-254网段时的提取方式(以8位为单位来提取)。
由于量子密钥保证了随机性,因此,移动取主机地址时,都是从第1位开始取。其中第一个通信域的所有主机都从第1位开始取,第一个字节(8位)用来作为通信域1的主机1(H1-1)的主机地址,第二个字节(8位)用来作为通信域1的主机2(H1-2)的主机地址。计算第二通信域时,将C(t)的128bit向右移动1位,第128bit变为第1位,然后也是取第一个字节作为通信域2的主机1(H2-1)的主机地址,第二字节(8位)用来作为通信域 2的主机2(H2-2)的主机地址。
2.P的生成(主机端口地址生成)
端口地址的生成和主机地址的生成类似。如图6所示,其中第一个通信域的所有主机都从第1位开始取,前两个字节(16位)用来作为通信域1的主机1(H1-1)的主机端口,后两个字节(16位)用来作为通信域1的主机2(H1-2)的主机地址,以此类推。计算第二通信域时,将C(t)的128bit向右移动1位,第128bit变为第1位,然后也是取前两个字节(16位)作为通信域2的主机1(H2-1)的主机端口,后两个字节(16位)用来作为通信域2的主机2(H2-2)的主机端口。如表3所示。
当I和P都已确定时,就可以确定选定的地址在三维图案中中的位置(X轴,Y轴,Z轴已确定)。当然WAN口此时还没有确定,下一步开始标号或着色,即确定WAN口地址。每个通信域的WAN口有2个,采用间隔方式使用。t0时刻采用WAN口1-1,2t0时刻采用WAN 口1-2,3t0时刻采用WAN口1-1,4t0时刻采用WAN口1-2……,依次使用,如图4所示。
通信终端,图1中包括服务器11和客户端12,接收跳变控制器30发送的地址跳变图案,并根据该地址跳变图案得到各通信终端跳变后的通信地址;再利用跳变后的通信地址进行数据通信。
假设,图1中服务器11为通信源,其IP地址是:10.10.10.1.其端口号为63;通信宿为客户端12,其IP地址是:10.10.20.1.其端口号为64。服务器11会在跳变控制器30已生成的跳变图案中查找与自己及客户端12相应的跳变IP地址和端口值,然后利用跳变地址进行通信,以提高通信安全。
当然,实际系统中可能包括多个通信终端,一般通信系统中还包括分别与通信终端、跳变控制器30连接的交换机40(如图1所示)或路由器,跳变控制器30还会把地址跳变图案下发给交换机40。
另外,为了进一步提高通信安全,优选量子密钥分发设备20能按预设规则重新协商量子密钥,比如按照一定时间周期或者接受外部指令要求重新协商量子密钥,并将新的量子密钥发送给对应的跳变控制器。这样跳变控制器30可以重新刷新跳变图案,并将刷新后的跳变图案下发到服务器11和客户端12,保证服务器11及客户端12能使用新的安全的跳变地址进行通信。
实施例二
现结合图7、图8,对一种安全通信系统的工作原理做进一步说明。在图7中,给定如下设备实体:
D1和D2分别是两个通信域;
H1,H2分别为通信的双方主机设备;
C1,C2分别跳变控制器1和跳变控制器2;
K1,K2分别为量子密钥分发设备1和量子密钥分发设备2;
量子密钥为Key。
则实施本发明方法的过程如下:
步骤1:跳变控制器C1和C2调用API接口从量子密钥分发设备K1和K2获得量子密钥Key。跳变控制器C1和C2将密钥Key生成跳变因子。
如图7中的①所示,将绝对时间通过量子密钥加密生成跳变因子。即将当前绝对时间作为加密的输入明文,利用量子密钥加密得到相应的密文,该密文即为跳变因子。
步骤2:如图7中的②所示,跳变控制器C1和C2利用跳变因子进行图案派生,生成地址跳变图案。
生成地址跳变图案的方法可以参加实施例一中的描述及附图2至图4,在此不再赘述。该地址跳变图案包括主机H1、主机H2的主机地址、IP网段信息和端口信息。
步骤3:跳变控制器C1和C2分别将生成的跳变图案下发给主机H1和主机H2。
假设主机H1为发送端即源端,主机H2为接收端,即宿端。
步骤4:服务器H1和服务器H2内置的地址变换功能将当前IP数据包中的 sip,dip,sport,dport变换为跳变图案中相应的跳变IP地址和端口值。
如图7中的③、④中示出了服务器H1的数据包头中存储的的跳变前地址及跳变后地址情况所示。其中,sip表示源IP地址,sport表示源端口,dip表示目的IP地址,dport 表示目的端口,InPacket Header表示输入数据包头,OutPacket Header表示输出数据包头。
步骤5:服务器H1和服务器H2使用跳变后的地址进行数据通信。
现有技术主要使用量子网络加密,而没有用来做同步跳变。本发明基于量子通信中的量子密钥分发技术,利用了量子的不可克隆原理和量子不可分割的基本特性,只有通信双方通过密钥协商机制才能获得对称加密密钥,第三方无法通过网络截取获得密钥。基于量子密钥,通信双方计算出跳变图案,该图案也无法被第三方获得。跳变图案定义了IP地址跳变的规律,使得除通信双方以外的第三方无法得知当前提供服务的IP地址和端口号,这样第三方就无法向服务器发起攻击。
另外,本发明解决了IP地址跳变过程中不依赖外部时钟源的时钟同步问题。在IP地址跳变过程中,通信双方需要保持严格的时钟同步。如果通信双方无法实现精准的时钟同步,即便了解了IP地址跳变规律,通信双方也无法正常通信。本发明利用量子密钥分发设备的时钟同步机制实现通信双方的时钟同步,保障了地址跳变的有序进行。
实施例三
如图9所示,本发明实施例提供一种安全通信方法,包括以下步骤:
S101,为通信双方预设实时同步且完全随机的对称量子密钥。
量子网络自身可以保证是同步的,即通信的双方每次使用当前时刻通信双方协商的量子密钥即相同的量子密钥。而生成的量子密钥的随机性由量子加密的基本原理保证。其依赖于光子的模拟特性进行密钥生成,具有不可预测和随机性的特点。
S102,通信双方利用量子密钥得到跳变因子。
为了保证通信的同步性和随机性,优选利用量子密钥得到跳变因子。在一些实施例中,可以直接使用量子密钥作为跳变因子。在另一些实施例中,可以将预设的已同步的信息作为输入明文,利用量子密钥加密得到相应的密文,使用相应的密文作为跳变因子。比如,将当前同步的绝对时间作为加密的输入明文,利用量子密钥加密得到相应的密文,该密文即为跳变因子。
具体的,假设t时刻从量子密钥分发设备20获取密钥量子密钥Key,利用转换函数ALG_HD(t)对时刻t进行加密,得到跳变因子C(t)。本过程可以用公式1表示:
1.C(t)=ALG_HD(t) (1)
在本实施例中,t为取整的时刻,得到的跳变因子C(t)为一个128bit的二进制串,如表1所示。
Figure RE-GDA0002214063750000081
表1
S013,利用该跳变因子按预设规则生成地址跳变图案,所述地址跳变图案用于描述预设时间内各通信终端的地址信息跳变情况。通信终端的地址信息包括主机地址信息、主机端口信息、WAN端口信息中的至少一种。
具体的,至少包括三步:
(1)预设地址跳变时间,比如根据外部下发的参数指令将总时间为T划分成N个小跳变周期t0、2t0、3t0……。
(2)分别提取跳变因子的预设位数代表通信终端的地址信息。
参考实施例一中主机地址生成、主机端口生成以及WAN端口生成的例子,在此不再赘述。
(3)将跳变时间及通信终端的地址信息生成地址跳变图案。最终地址跳变图案形如图 4所示。
S104,通信双方根据已生成的地址跳变图案得到各终端跳变后的通信地址,并利用跳变后的通信地址进行数据通信。
具体的通信过程可以参考实施例二,在此不再赘述。
本发明基于量子通信中的量子密钥分发技术,利用了量子的不可克隆原理和量子不可分割的基本特性,只有通信双方通过密钥协商机制才能获得对称加密密钥,第三方无法通过网络截取获得密钥。基于量子密钥,通信双方计算出跳变图案,该图案也无法被第三方获得。跳变图案定义了IP地址跳变的规律,使得除通信双方以外的第三方无法得知当前提供服务的IP地址和端口号,这样第三方就无法向服务器发起攻击。
另外,本发明解决了IP地址跳变过程中不依赖外部时钟源的时钟同步问题。在IP地址跳变过程中,通信双方需要保持严格的时钟同步。如果通信双方无法实现精准的时钟同步,即便了解了IP地址跳变规律,通信双方也无法正常通信。本发明利用量子密钥分发设备的时钟同步机制实现通信双方的时钟同步,保障了地址跳变的有序进行。
实施例四
本发明实施例还提供一种通信终端地址跳变图案生成方法,如图10所示,包括以下步骤:
S201,预设实时同步且完全随机的对称量子密钥。
量子网络自身可以保证是同步的,即通信的双方每次使用当前时刻通信双方协商的量子密钥即相同的量子密钥。而生成的量子密钥的随机性由量子加密的基本原理保证。其依赖于光子的模拟特性进行密钥生成,具有不可预测和随机性的特点。
S202,利用量子密钥得到跳变因子。
基于量子加密密钥的这个完全随机的特点,结合其光子物理特性实现的随机性将会大大优于目前通过一般随机算法生成的随机数。为确保能够正确加密和解密所实现的密钥同步性也符合跳变的同步性严格要求。因此,通过量子密钥可以较为完美的作为跳变图案的跳变因子的生成基础。
在一些实施例中,可以直接使用量子密钥作为跳变因子。在另一些实施例中,可以将预设的已同步的信息作为输入明文,利用量子密钥加密得到相应的密文,使用相应的密文作为跳变因子。比如,将当前同步的绝对时间作为加密的输入明文,利用量子密钥加密得到相应的密文,该密文即为跳变因子。
S203,利用该跳变因子按预设规则生成地址跳变图案,所述地址跳变图案用于描述预设时间内通信终端的地址跳变情况。通信地址包括通信终端IP地址、通信终端端口、WAN口号等。
实施例一、实施例二对通信终端地址跳变图案生成方法做了详细介绍,在此不再赘述。
可以理解的,跳变是指网络节点拥有随机变化本身地址或者地址在传输过程中不断变化的能力,而跳变图案是实现跳变的基础,现有技术中跳变图案是采用预先编制的静态图案,静态图案实现简单,但存在一定的安全风险,使得系统抗攻击能力不足:一是图案需预先编制,存储、分发和管理过程中会有泄露风险;二是图案通常在一个较长的时间内固定不变,存在被捕获分析的风险;三是图案种类往往有限且更换开销大,很难进行频繁更换,自适应性不强。而本发明实施例采用动态随机图案,如何动态生成随机性好不易破解的图案,以及如何确保动态图案在所有跳变域端点间保持一致同步等两个问题一直是本领域的研究重点。量子通信技术是目前解决信息安全问题的最新手段。其信息加密使用的量子加密密钥具有一次一密,完全随机的特点。其工作原理在于把信息编码在一个呈量子态的物体上,比如一个光子。然后,按照随机数密钥确定的规律,改变光子的状态。只有正确地按照加密的反顺序改变光子状态,才能解密信息。因为只有传输者和接收者知道用来加密的量子随机密钥,并且这个密钥只使用一次,因此通讯是完美保密的。另外一个特点是量子密钥可以保证在实施加密的两端所使用的密钥是实时保持一致,这个特性也很好的符合了网络跳变在不同的跳变端其跳变因子也需要实时保持一致的需求。
应该明白,公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
本领域技术人员还应当理解,结合本文的实施例描述的各种说明性的逻辑框、模块、电路和算法步骤均可以实现成电子硬件、计算机软件或其组合。为了清楚地说明硬件和软件之间的可交换性,上面对各种说明性的部件、框、模块、电路和步骤均围绕其功能进行了一般地描述。至于这种功能是实现成硬件还是实现成软件,取决于特定的应用和对整个系统所施加的设计约束条件。熟练的技术人员可以针对每个特定应用,以变通的方式实现所描述的功能,但是,这种实现决策不应解释为背离本公开的保护范围。
结合本文的实施例所描述的方法或者算法的步骤可直接体现为硬件、由处理器执行的软件模块或其组合。软件模块可以位于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM 存储器、寄存器、硬盘、移动磁盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质连接至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。该ASIC可以位于用户终端中。当然,处理器和存储介质也可以作为分立组件存在于用户终端中。
对于软件实现,本申请中描述的技术可用执行本申请所述功能的模块(例如,过程、函数等)来实现。这些软件代码可以存储在存储器单元并由处理器执行。存储器单元可以实现在处理器内,也可以实现在处理器外,在后一种情况下,它经由各种手段以通信方式耦合到处理器,这些都是本领域中所公知的。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。

Claims (10)

1.一种安全通信方法,其特征在于,包括以下步骤:
为通信双方预设实时同步且完全随机的对称量子密钥;
通信双方利用量子密钥得到跳变因子;
利用所述跳变因子按预设规则生成地址跳变图案,所述地址跳变图案用于描述预设时间内各通信终端的地址信息跳变情况;
通信双方根据已生成的地址跳变图案得到各终端跳变后的通信地址,并利用跳变后的通信地址进行数据通信。
2.如权利要求1所述的安全通信方法,其特征在于,通信终端的地址信息包括主机地址信息、主机端口信息、WAN端口信息中的至少一种。
3.如权利要求1或2所述的安全通信方法,其特征在于,所述利用量子密钥得到跳变因子,包括:
使用量子密钥作为跳变因子;或者
将预设的已同步的信息作为输入明文,利用量子密钥加密得到相应的密文,使用相应的密文作为跳变因子。
4.如权利要求3所述的安全通信方法,其特征在于,利用所述跳变因子按预设规则生成地址跳变图案,包括:
预设地址跳变时间;
分别提取跳变因子的预设位数代表通信终端的地址信息;
将所述地址跳变时间及通信终端的地址信息生成地址跳变图案。
5.如权利要求3所述的安全通信方法,其特征在于,将所述地址跳变时间及通信终端的地址信息生成地址跳变图案,包括:
预设多维坐标系,各坐标轴分别代表时间轴及通信地址轴;
根据预设参数确定通信终端地址跳变时间及通信终端的地址范围;
将地址跳变时间及与之相应的各通信终端的地址展示在所述多维坐标系中。
6.一种安全通信系统,其特征在于,所述通信系统的每侧均包括通信终端、量子密钥分发设备、跳变控制器,其中:
量子密钥分发设备,用于为系统内通信终端预设实时同步且完全随机的对称量子密钥,并将量子密钥发送给对应的跳变控制器;
跳变控制器,用于接收量子密钥,并利用量子密钥得到跳变因子,利用该跳变因子按预设规则生成地址跳变图案;跳变控制器还用于将生成的地址跳变图案发送给本侧的通信终端。
通信终端,接收跳变控制器发送地址跳变图案,并根据该地址跳变图案得到各通信终端跳变后的通信地址;再利用跳变后的通信地址进行数据通信。
7.如权利要求6所述的安全通信系统,其特征在于,所述跳变控制器利用量子密钥得到跳变因子包括:
使用量子密钥作为跳变因子;或者
将预设的已同步的信息作为输入明文,利用量子密钥加密得到相应的密文,使用相应的密文作为跳变因子。
8.如权利要求6所述的安全通信系统,其特征在于,所述跳变控制器利用该跳变因子按预设规则生成地址跳变图案包括:
预设地址跳变时间;
分别提取跳变因子的预设位数代表通信终端的地址信息;
将跳变时间及通信终端的地址信息生成地址跳变图案。
9.如权利要求6所述的安全通信系统,其特征在于,所述量子密钥分发设备按预设规则重新协商量子密钥,并发送给对应的跳变控制器。
10.一种通信终端地址跳变图案生成方法,其特征在于,包括以下步骤:
预设实时同步且完全随机的对称量子密钥;
利用量子密钥得到跳变因子;
利用该跳变因子按预设规则生成地址跳变图案,所述地址跳变图案用于描述预设时间内通信终端的地址跳变情况。
CN201910653363.8A 2019-05-20 2019-07-19 一种安全通信方法、一种安全通信系统及通信终端地址跳变图案生成方法 Pending CN111224775A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201910420969 2019-05-20
CN2019104209697 2019-05-20

Publications (1)

Publication Number Publication Date
CN111224775A true CN111224775A (zh) 2020-06-02

Family

ID=70827527

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910653363.8A Pending CN111224775A (zh) 2019-05-20 2019-07-19 一种安全通信方法、一种安全通信系统及通信终端地址跳变图案生成方法

Country Status (1)

Country Link
CN (1) CN111224775A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112134684A (zh) * 2020-07-06 2020-12-25 武汉量子风暴信息科技有限公司 一种生成跳变图案的方法、通信方法、系统和相关设备
CN114124372A (zh) * 2021-11-01 2022-03-01 易迅通科技有限公司 一种基于量子密钥分发的网络跳变生成装置及方法
CN114124381A (zh) * 2021-11-30 2022-03-01 中国人民解放军国防科技大学 基于量子密钥分发的多方地址跳变图案生成方法及装置
CN115426116A (zh) * 2022-08-26 2022-12-02 中国人民解放军国防科技大学 一种基于动态密钥的加密哈希跳变方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104853003A (zh) * 2015-04-30 2015-08-19 中国人民解放军国防科学技术大学 一种基于Netfilter的地址、端口跳变通信实现方法
US20150236752A1 (en) * 2014-02-20 2015-08-20 Raytheon Bbn Technologies Corp. Method for selection of unique next-time-interval internet protocol address and port
CN106060184A (zh) * 2016-05-11 2016-10-26 中国人民解放军国防信息学院 一种基于三维的ip地址跳变图案生成方法及跳变控制器
EP3276904A1 (en) * 2016-07-29 2018-01-31 Deutsche Telekom AG Method and system for mtd

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150236752A1 (en) * 2014-02-20 2015-08-20 Raytheon Bbn Technologies Corp. Method for selection of unique next-time-interval internet protocol address and port
CN104853003A (zh) * 2015-04-30 2015-08-19 中国人民解放军国防科学技术大学 一种基于Netfilter的地址、端口跳变通信实现方法
CN106060184A (zh) * 2016-05-11 2016-10-26 中国人民解放军国防信息学院 一种基于三维的ip地址跳变图案生成方法及跳变控制器
EP3276904A1 (en) * 2016-07-29 2018-01-31 Deutsche Telekom AG Method and system for mtd

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112134684A (zh) * 2020-07-06 2020-12-25 武汉量子风暴信息科技有限公司 一种生成跳变图案的方法、通信方法、系统和相关设备
CN112134684B (zh) * 2020-07-06 2022-06-17 武汉量子风暴信息科技有限公司 一种生成跳变图案的方法、通信方法、系统和相关设备
CN114124372A (zh) * 2021-11-01 2022-03-01 易迅通科技有限公司 一种基于量子密钥分发的网络跳变生成装置及方法
CN114124372B (zh) * 2021-11-01 2024-06-04 易迅通科技有限公司 一种基于量子密钥分发的网络跳变生成装置及方法
CN114124381A (zh) * 2021-11-30 2022-03-01 中国人民解放军国防科技大学 基于量子密钥分发的多方地址跳变图案生成方法及装置
CN114124381B (zh) * 2021-11-30 2023-08-04 中国人民解放军国防科技大学 基于量子密钥分发的多方地址跳变图案生成方法及装置
CN115426116A (zh) * 2022-08-26 2022-12-02 中国人民解放军国防科技大学 一种基于动态密钥的加密哈希跳变方法
CN115426116B (zh) * 2022-08-26 2024-05-03 中国人民解放军国防科技大学 一种基于动态密钥的加密哈希跳变方法

Similar Documents

Publication Publication Date Title
CN111224775A (zh) 一种安全通信方法、一种安全通信系统及通信终端地址跳变图案生成方法
US8687810B2 (en) Chaotic cipher system and method for secure communication
CN103825723A (zh) 一种加密方法和装置
Park One-time password based on hash chain without shared secret and re-registration
US20190281018A1 (en) Lsb based symmetric receive-side scaling
Shukla et al. A bit commitment signcryption protocol for wireless transport layer security (wtls)
JP2022507488A (ja) 最適化された公開鍵基盤を備える組み込みシステムのネットワークを保護および管理するための方法ならびにアーキテクチャ
Noura et al. Overview of efficient symmetric cryptography: dynamic vs static approaches
Joshy et al. Text to image encryption technique using RGB substitution and AES
RU2459367C2 (ru) Способ формирования переменного ключа для блочного шифрования и передачи шифрованных данных
Raad et al. Secure data in lorawan network by adaptive method of elliptic-curve cryptography
CN101882991B (zh) 基于分组密码算法的通讯数据流加密方法
Muzaffar et al. Lightweight, single-clock-cycle, multilayer cipher for single-channel IoT communication: Design and implementation
Kumar et al. A novel approach for securing data in IoTcloud using DNA cryptography and Huffman coding algorithm
CN113922949B (zh) 一种基于clefia-sha3的密码协处理器
US11343108B2 (en) Generation of composite private keys
CN108768923A (zh) 一种基于量子可逆逻辑线路的加密算法的聊天实时加密方法
CN114513780A (zh) 基于随机密钥的无线通信网络加密系统
CN113795023A (zh) 一种基于混沌序列和分组加密的蓝牙数据传输加密方法
Quist-Aphetsi et al. Node to node secure data communication for IoT devices using Diffie-Hellman, AES, and MD5 cryptographic schemes
CN1291025A (zh) 在两硬件模块间仿真密码的系统和方法
AU2019381522A1 (en) Encryption system and method employing permutation group-based encryption technology
Groza et al. On the use of one-way chain based authentication protocols in secure control systems
Chen et al. Cryptography in WSNs
Srinivasan et al. A table-based end to end encryption technique without key exchange

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200602

RJ01 Rejection of invention patent application after publication