CN111756528A - 一种量子会话密钥分发方法、装置及通信架构 - Google Patents

一种量子会话密钥分发方法、装置及通信架构 Download PDF

Info

Publication number
CN111756528A
CN111756528A CN201910243395.0A CN201910243395A CN111756528A CN 111756528 A CN111756528 A CN 111756528A CN 201910243395 A CN201910243395 A CN 201910243395A CN 111756528 A CN111756528 A CN 111756528A
Authority
CN
China
Prior art keywords
quantum
key
session key
application
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910243395.0A
Other languages
English (en)
Other versions
CN111756528B (zh
Inventor
陈洁容
詹俊锐
高锐嘉
游耀祥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Quantumctek Guangdong Co ltd
Original Assignee
Quantumctek Guangdong Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Quantumctek Guangdong Co ltd filed Critical Quantumctek Guangdong Co ltd
Priority to CN201910243395.0A priority Critical patent/CN111756528B/zh
Priority to CN202310898481.1A priority patent/CN116886288A/zh
Publication of CN111756528A publication Critical patent/CN111756528A/zh
Application granted granted Critical
Publication of CN111756528B publication Critical patent/CN111756528B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

本发明公开了一种量子会话密钥分发方法、装置及通信架构,包括:基于预设的量子安全协议对进行通信的应用设备,进行量子会话密钥分发,其中,若进行通信的应用设备之间不涉及可信第三方,则基于预设的量子安全协议中的量子安全握手协议对应用设备进行认证,并确定使用的加密套件和会话密钥规则,基于加密套件和会话密钥规则对应用设备进行量子会话密钥分发;若进行通信的应用设备之间具备可信第三方,则基于量子安全握手协议将应用设备与可信第三方建立安全通信通道,在安全通信通道上执行量子会话密钥分发,实现应用设备基于量子会话密钥进行通信。通过本发明解决了传统密钥分发被破解的潜在安全威胁和通信安全性较低的问题。

Description

一种量子会话密钥分发方法、装置及通信架构
技术领域
本发明涉及量子通信技术领域,特别是涉及一种量子会话密钥分发方法、装置及通信架构。
背景技术
伴随着业务流程的网络化,用户越来越多的关心业务本身数据的传输安全性和通信存储的安全性。目前,在传统的计算机领域中,信息的认证及会话密钥分发的典型方法有两种:一种是基于SSL(Secure Sockets Layer,安全套接层)协议,另一种是基于Kerberos(网络认证协议)实现。
SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供一种可靠的端到端的安全服务,它使客户/服务器应用之间的通信不被攻击窃听,并且始终对服务器进行认证,还可以选择对客户进行认证。SSL协议在应用层通信之前完成加密算法、工作密钥的协商,以及服务器认证工作,在此之后,应用层协议所传送的数据都被加密。Kerberos提供了一个集中式的认证服务器结构,采用对称密钥加密技术通过认证服务器实现用户与其访问的服务器的相互鉴别。Kerberos的密钥分配中心拥有保存所有客户及其密钥信息的数据库,客户首先要在该数据库中注册身份信息和秘密密钥。
但是,基于上述两种协议的密钥分发都存在着一定的缺陷。SSL协议的会话密钥协商安全主要依赖于使用RSA、ECC和IBC等公钥密钥体系对预主密钥的加密保护。由于该公钥密钥体系安全性依赖于计算的复杂度,在理论上不具有无条件安全性,且由于计算机的运算能力不断提高,以及量子计算机的出现,被破解的几率增加,因此有较大的安全隐患。Kerberos协议的会话密钥分发过程采用的是对称密钥加密技术,主要存在的缺点是:会话密钥分发过程的安全性依赖于客户端C与认证服务器AS和应用服务器S与票据许可服务器TGS的两支共享密钥的安全,无法防止口令破解程序的攻击;共享密钥通常以文件格式保存在客户端或者服务器中,缺少有效的密钥安全保护机制;缺少共享密钥安全便捷的更新方式,一旦共享密钥被破解,需要人为参与解决问题,时效较低。因此,在上述的SSL协议和Kerberos协议中实现的密钥分发存在着较多的安全隐患,无法为移动应用业务的通信安全提供有效保证。
发明内容
针对于上述问题,本发明提供一种量子会话密钥分发方法、装置及通信架构,解决了传统密钥分发被破解的潜在安全威胁和通信安全性较低的问题。
为了实现上述目的,本发明提供了如下技术方案:
一种量子会话密钥分发方法,包括:
基于预设的量子安全协议对进行通信的应用设备,进行量子会话密钥分发,其中,
若进行通信的应用设备之间不涉及可信第三方,则基于所述预设的量子安全协议中的量子安全握手协议对所述应用设备进行认证,并协商所述应用设备通信过程中使用的加密套件和会话密钥规则,基于所述加密套件和会话密钥规则对所述应用设备进行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信;
若进行通信的应用设备之间具备可信第三方,则基于所述量子安全握手协议将所述应用设备与所述可信第三方建立安全通信通道,在所述安全通信通道上执行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信。
可选地,所述预设的量子安全协议的通信数据包的加密方式是在设备间双方的认证过程中协商确认获得的,其中,所述预设的量子安全协议的每个通信数据包使用指定标识对应的密钥以协商确认的加密方式进行加密保护,实现每个通信数据包按照预设指定密钥进行加密保护,使得量子会话密钥采用一次一密或者预设对称加密方式进行加密保护,并将所述量子会话密钥添加到进行量子会话密钥分发过程中的通信数据包中。
可选地,所述预设的量子安全协议包括:
量子安全握手协议、量子安全会话密钥分发协议、量子安全密钥变化协议、量子安全警告协议和量子安全记录协议,其中,
所述量子安全握手协议表征系统中拥有共享对称密钥的设备之间双向认证及加密通信机制的协商协议;
所述量子安全会话密钥分发协议表征系统中可信第三方为应用层的通信双方提供身份认证和会话密钥分发,以及通信双方基于获取到的会话密钥进行加密通信的协议;
所述量子安全密钥变化协议表征通知应用设备协议发生变化的协议;
所述量子安全警告协议表征将根据对称密钥的特性而定义的警告信息发送给应用设备的协议;
所述量子安全记录协议表征对上层协议数据进行分块和加密,将处理后的记录块传输给接收端的协议。
可选地,所述方法应用于量子密钥应用设备和量子密钥用户客户端的量子会话密钥通信架构中,所述通信架构包括量子密钥应用设备、量子密钥用户客户端、量子安全服务设备、量子密钥分发服务设备,其中,所述量子密钥应用设备与所述量子密钥用户客户端进行通信连接,且所述量子密钥用户客户端与所述量子安全服务设备连接,所述量子密钥应用设备与所述量子密钥分发服务设备连接,所述量子密钥分发服务设备与所述量子安全服务设备连接,所述方法包括:
将所述量子密钥用户客户端的第一会话密钥申请发送至所述量子安全服务设备;
将所述量子安全服务设备返回的第一会话密钥申请响应发送至所述量子密钥用户客户端;
将通过所述量子密钥用户客户端获得的与所述第一会话密钥申请响应对应的会话密钥票据,转发至所述量子密钥应用设备;
将所述量子密钥应用设备的第二会话密钥请求发送至所述量子密钥分发服务设备,并基于所述量子密钥分发服务设备将所述第二会话密钥请求发送至所述量子安全服务设备;
将所述量子安全服务设备基于所述第二会话密钥请求产生的第二会话密钥请求响应,通过所述量子密钥分发服务设备发送至所述量子密钥应用设备;
将所述量子密钥应用设备基于所述第二会话密钥请求响应产生的会话密钥票据响应发送至所述量子密钥用户客户端,实现对所述量子密钥应用设备和所述量子密钥用户客户端进行会话密钥分发。
可选地,所述方法应用于第一量子密钥用户客户端和第二量子密钥用户客户端的量子会话密钥通信架构中,所述通信架构包括:第一量子密钥用户客户端、第二量子密钥用户客户端和量子安全服务设备,其中,所述第一量子密钥用户客户端与所述量子安全服务设备进行通信连接,且所述第二量子密钥用户客户端与所述量子安全服务设备进行通信连接,该方法包括:
将所述第一量子密钥用户客户端的第一会话密钥申请发送至所述量子安全服务设备,并将所述量子安全服务设备产生的第一会话密钥申请响应发送至所述第一量子密钥用户客户端;
将所述第一量子密钥用户客户端基于所述第一会话密钥申请响应产生的会话密钥票据,转发至所述第二量子密钥用户客户端;
当所述第二量子密钥用户客户端接收到所述会话密钥票据时,将所述第二量子密钥用户客户端的第二会话密钥请求发送至所述量子安全服务设备,并将所述量子安全服务设备基于所述第二会话密钥请求产生的第二会话密钥请求响应发送至所述第二量子密钥用户客户端;
将所述第二量子密钥用户客户端基于所述第二会话密钥请求响应产生的会话密钥票据响应,发送至所述第一量子密钥用户客户端,实现对所述第一量子密钥用户客户端和所述第二量子密钥用户客户端进行会话密钥分发。
可选地,所述方法应用于第一量子密钥应用设备和第二量子密钥应用设备的量子会话密钥通信架构中,所述通信架构包括:第一量子密钥应用设备、第二量子密钥应用设备、第一量子密钥分发服务设备、第二量子密钥分发服务设备和量子安全服务设备,其中,所述第一量子密钥应用设备与所述第一量子密钥分发服务设备连接,所述第一量子密钥分发服务设备与所述量子安全服务设备连接,且所述第二量子密钥应用设备与所述第二量子密钥分发服务设备连接,所述第二量子密钥分发服务设备与所述量子安全服务设备连接,该方法包括:
将所述第一量子密钥应用设备的第一会话密钥申请发送至所述第一量子密钥分发服务设备,通过所述第一量子密钥分发服务设备将所述第一会话密钥申请转发至所述量子安全服务设备;
将所述量子安全服务设备生成的第一会话密钥申请响应,通过所述第一量子密钥分发服务设备发送至所述第一量子密钥应用设备;
将所述第一量子密钥应用设备基于所述第一会话密钥申请响应生成的会话密钥票据,转发至所述第二量子密钥应用设备;
将所述第二量子密钥应用设备的第二会话密钥申请发送至所述第二量子密钥分发服务设备,通过所述第二量子密钥分发服务设备将所述第二会话密钥申请转发至所述量子安全服务设备;
将所述量子安全服务设备生成的第二会话密钥申请响应,通过所述第二量子密钥分发服务设备发送至所述第二量子密钥应用设备;
将所述第二量子密钥应用设备基于所述第二会话密钥申请响应生成的会话密钥票据响应,转发至所述第一量子密钥应用设备,实现对所述第一量子密钥应用设备和所述第二量子密钥应用设备进行会话密钥分发。
可选地,该方法还包括:
当所述第一量子密钥应用设备接收到所述会话密钥票据响应时,将所述第一量子密钥应用设备生成的响应票据验证请求发送至所述第一量子密钥分发服务设备,并将所述第一量子密钥分发服务设备生成的响应票据验证请求响应返回至所述第一量子密钥应用设备,实现对所述会话密钥票据响应的验证。
可选地,所述第一会话密钥申请包括通信数据包加密使用的密钥标识信息和申请会话密钥量。
可选地,所述会话密钥票据包括会话密钥票据的有效时间、会话密钥量和设备标识信息。
可选地,所述会话密钥票据响应包括申请到的会话密钥量和申请结果。
一种量子会话密钥分发装置,该装置具体用于:
基于预设的量子安全协议对进行通信的应用设备,进行量子会话密钥分发,包括:
第一分发单元,用于若进行通信的应用设备之间不涉及可信第三方,则基于所述预设的量子安全协议中的量子安全握手协议对所述应用设备进行认证,并协商所述应用设备通信过程中使用的加密套件和会话密钥规则,基于所述加密套件和会话密钥规则对所述应用设备进行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信;
第二分发单元,用于若进行通信的应用设备之间具备可信第三方,则基于所述量子安全握手协议将所述应用设备与所述可信第三方建立安全通信通道,在所述安全通信通道上执行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信。
一种通信架构,所述通信架构为量子密钥应用设备和量子密钥用户客户端的量子会话密钥通信架构,所述通信架构包括量子密钥应用设备、量子密钥用户客户端、量子安全服务设备、量子密钥分发服务设备,其中,
所述量子密钥用户客户端,用于将第一会话密钥申请发送至所述量子安全服务设备,并将与所述第一会话密钥申请对应的会话密钥票据转发至所述量子密钥应用设备;
所述量子安全服务设备包括:第一接收单元、第一发送单元、第二接收单元和第二发送单元,其中,
所述第一接收单元,用于接收第一会话密钥申请;
所述第一发送单元,用于根据所述第一会话密钥申请生成第一会话密钥申请响应,并将所述第一会话密钥申请响应发送至所述量子密钥用户客户端;
所述第二接收单元,用于接收所述量子密钥分发服务设备发送的第二会话密钥请求,所述第二会话密钥请求为所述量子密钥应用设备发出的会话密钥申请请求;
所述第二发送单元,用于基于所述第二会话密钥请求,生成第二会话密钥请求响应,并将所述第二会话密钥请求响应发送至所述量子密钥分发服务设备;
所述量子密钥分发服务设备包括第三接收单元、第三发送单元、第四接收单元、第四发送单元,其中,
所述第三接收单元,用于接收所述量子密钥应用设备发送的第二会话密钥请求;
所述第三发送单元,用于将所述第二会话密钥请求发送至所述量子安全服务设备;
所述第四接收单元,用于接收所述量子安全服务设备发送的第二会话密钥请求响应;
所述第四发送单元,用于将所述第二会话密钥请求响应发送至所述量子密钥应用设备;
所述量子密钥应用设备,用于将第二会话密钥请求发送至所述量子密钥分发服务设备,并根据所述量子密钥分发服务设备发送的第二会话密钥请求响应生成会话密钥票据响应,将所述会话密钥票据响应发送至所述量子密钥用户客户端,实现对所述量子密钥应用设备和所述量子密钥用户客户端进行会话密钥分发。
一种通信架构,所述通信架构为第一量子密钥用户客户端和第二量子密钥用户客户端的量子会话密钥通信架构,所述通信架构包括:第一量子密钥用户客户端、第二量子密钥用户客户端和量子安全服务设备,其中,
所述第一量子密钥用户客户端,用于将第一会话密钥申请发送至所述量子安全服务设备,并将与所述第一会话密钥申请对应的会话密钥票据转发至所述第二量子密钥用户客户端;
所述第二量子密钥用户客户端,用于将第二会话密钥请求发送至所述量子安全服务设备,并基于所述量子安全服务设备返回的第二会话密钥请求响应生成会话密钥票据响应,将所述会话密钥票据响应发送至所述第一量子密钥用户客户端;
所述量子安全服务设备包括:第五接收单元、第五发送单元、第六接收单元和第六发送单元,其中,
所述第五接收单元,用于接收所述第一量子密钥用户客户端发送的第一会话密钥申请;
所述第五发送单元,用于根据所述第一会话密钥申请生成第一会话密钥申请响应,将所述第一会话密钥申请响应发送至所述第一量子密钥用户客户端;
所述第六接收单元,用于接收所述第二量子密钥用户客户端发送的第二会话密钥请求;
第六发送单元,用于根据所述第二会话密钥请求生成第二会话密钥请求响应,并将所述第二会话密钥请求响应发送至所述第二量子密钥用户客户端。
一种通信架构,所述通信架构为第一量子密钥应用设备和第二量子密钥应用设备的量子会话密钥通信架构,所述通信架构包括:第一量子密钥应用设备、第二量子密钥应用设备、第一量子密钥分发服务设备、第二量子密钥分发服务设备和量子安全服务设备;
所述第一量子密钥应用设备,用于将第一会话密钥申请发送至所述第一量子密钥分发服务设备,并将与所述第一会话密钥申请对应的会话密钥票据转发至所述第二量子密钥应用设备;
所述第二量子密钥应用设备,用于将第二会话密钥申请发送至所述第二量子密钥分发服务设备,并将与所述第二量子密钥分发服务设备返回的第二会话密钥申请响应对应的会话密钥票据响应发送至所述第一量子密钥应用设备;
所述第一量子密钥分发服务设备,用于将所述第一会话密钥申请发送至所述量子安全服务设备,将所述量子安全服务设备返回的第一会话密钥申请响应发送至所述第一量子密钥应用设备;
所述第二量子密钥分发服务设备,用于将所述第二会话密钥申请发送至所述量子安全服务设备,将所述量子安全服务设备返回的第二会话密钥申请响应发送至所述第二量子密钥应用设备;
所述量子安全服务设备,包括:第七接收单元、第七发送单元、第八接收单元和第八发送单元,其中,
所述第七接收单元,用于接收所述第一量子密钥分发服务设备发送的第一会话密钥申请;
所述第七发送单元,用于基于所述第一会话密钥申请生成所述第一会话密钥申请响应,并将所述第一会话密钥申请响应发送至所述第一量子密钥分发服务设备;
所述第八接收单元,用于接收所述第二量子密钥分发服务设备发送的第二会话密钥申请;
所述第八发送单元,用于基于所述第二会话密钥申请生成所述第二会话密钥申请响应,并将所述第二会话密钥申请响应发送至所述第二量子密钥分发服务设备。
可选地,所述第一量子密钥分发服务设备还包括:
验证单元,用于当所述第一量子密钥应用设备接收到所述会话密钥票据响应时,接收所述第一量子密钥应用设备生成的响应票据验证请求,并将生成的响应票据验证请求响应返回至所述第一量子密钥应用设备,实现对所述会话密钥票据响应的验证。
相较于现有技术,本发明提供了一种量子会话密钥分发方法、装置及通信架构,通过预设的量子安全协议对进行通信的应用设备实现量子会话密钥分发,并且结合了应用设备之间是否涉及可信第三方来对应用设备进行认证和量子会话密钥分发,协议适用范围广、兼容性强;基于预设的量子安全协议能够对通信双方进行身份认证、量子会话密钥分发和加密通信的机制,使得量子会话密钥采用一次一密或者预设对称加密算法进行加密保护,并添加到量子会话密钥分发过程中的通信数据包中,提高了会话密钥分发的安全性,解决了基于公钥密钥体系和基于单一预设共享密钥的会话密钥分发方法被破解的潜在安全威胁。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种量子会话密钥分发方法的流程示意图;
图2为本发明实施例提供的一种不涉及第三方的体系结构图;
图3为本发明实施例提供的一种有可信第三方的体系结构图;
图4为本发明实施例提供的一种QSL协议报文的格式图;
图5为本发明实施例提供的一种QSL数据报格式的示意图;
图6为本发明实施例提供的一种QSL握手协议的序列图;
图7为本发明实施例提供的一种QKUC与QKUD间的通信架构图;
图8为本发明实施例提供的一种QKUC与QKUD会话密钥分发流程图;
图9为本发明实施例提供的一种QKUC与QKUC间的通信架构图;
图10为本发明实施例提供的一种QKUC和QKUC会话密钥分发流程图;
图11为本发明实施例提供的一种QKUD与QKUD间的通信架构图;
图12为本发明实施例提供的一种QKUD与QKUD会话密钥分发流程图;
图13为本发明实施例提供的一种量子会话密钥分发装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有设定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
在本发明实施例中提供了一种量子会话密钥分发方法,参见图1,包括:
S10、基于预设的量子安全协议对进行通信的应用设备,进行量子会话密钥分发;
结合应用设备中是否涉及可信第三方的方案,该步骤具体包括:
S101、若进行通信的应用设备之间不涉及可信第三方,则基于所述预设的量子安全协议中的量子安全握手协议对所述应用设备进行认证,并协商所述应用设备通信过程中使用的加密套件和会话密钥规则,基于所述加密套件和会话密钥规则对所述应用设备进行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信;
S102、若进行通信的应用设备之间具备可信第三方,则基于所述量子安全握手协议将所述应用设备与所述可信第三方建立安全通信通道,在所述安全通信通道上执行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信。
在本发明实施例中的预设的量子安全(Quantum Secure Layer,QSL)协议分为两层:上层为量子安全握手协议(QSL handshake protocol,QSL握手协议)、量子安全会话密钥分发协议(QSL session key distribution protocol,QSL会话密钥分发协议)、量子安全密钥变化协议(QSL change cipher spec protocol,QSL密钥变化协议)和量子安全警告协议(QSL alert protocol,QSL警告协议);底层为量子安全记录协议(QSL recordprotocol,QSL记录协议)。
所述预设的量子安全协议的通信数据包的加密方式是在量子密钥应用设备与量子密钥分发服务设备、量子密钥用户客户端与量子安全服务设备、量子安全服务设备与量子密钥分发服务设备间进行双方的认证过程中协商确认获得的,其中,所述预设的量子安全协议的每个通信数据包使用指定标识对应的密钥以协商确认的加密方式进行加密保护,实现每个通信数据包按照预设指定密钥进行加密保护,使得量子会话密钥采用一次一密或者预设对称加密方式进行加密保护,并将所述量子会话密钥添加到进行量子会话密钥分发过程中的通信数据包中。
需要说明的,每个通信数据包按照预设指定密钥进行加密保护是指每个通信数据包使用的密钥都可以进行指定,有可能多个数据包指定了同一支密钥进行加密保护,最高安全是每个通信数据包使用不同的密钥进行加密保护。
下面对该预设的量子安全协议中的各个子协议进行解释说明,具体的:
QSL握手协议:是系统中不涉及第三方的两方之间通信时的认证协商过程。使用共享的对称密钥(量子密钥或预置随机数密钥)对双方身份的合法性进行认证,协商通信过程中使用的加密套件(加密算法和MAC算法)和会话密钥(量子密钥、握手过程中生成的密钥等)的使用规则,并建立加密QSL连接。QSL握手协议是系统中拥有共享对称密钥的设备间的双向认证及加密通信机制的一个协商协议。
QSL会话密钥分发协议:系统中可信第三方为应用层的通信双方提供身份认证和会话密钥分发,应用层的通信双方基于获取到的会话密钥进行加密通信。
QSL密钥变化协议:客户端和服务器端通过密钥变化协议通知对端,随后的报文都将使用新协商的加密套件和会话密钥进行保护和传输。
QSL警告协议:用来向通信对端报告告警信息,消息中包含告警的严重级别和描述(根据对称密钥的特性而制定的警告信息)。
QSL记录协议:主要负责对上层的数据(QSL握手协议、QSL会话密钥分发协议、QSL密钥变化协议、QSL警告协议和应用层协议报文)进行分块、计算并添加MAC值、加密,并把处理后的记录块传输给对端。QSL记录协议包含了密钥使用规则的标识信息,可充分发挥量子密钥数量、时效的优势,使通信过程中可达到一业一密(一个通信数据包使用一支密钥进行加密保护),甚至一次一密的安全等级。
由上面的定义可知,QSL协议体系实际上包含了“不涉及第三方”和“有可信第三方”两种情形下的通信协议,可拆分为“不涉及第三方”和“有可信第三方”两种子体系结构,对应的子体系结构分别如图2和图3所示。
通信双方拥有共享的对称密钥(量子密钥或预置随机数密钥)的情形下使用“不涉及第三方”的体系结构,量子安全服务移动引擎(QuantumSecure Service-Mobile Engine,QSS-ME)内部的支撑通信过程都使用该体系结构。
通信双方分别与可信第三方拥有共享的对称密钥(量子密钥或预置随机数密钥)的情形下使用“有可信第三方”的体系结构,将QSS-ME作为可信第三方的应用业务通信过程使用该体系结构。
QSL协议报文的格式如图4所示,其中,QSL数据报格式如图5所示,其数据报格式具体为:
协议类型(8位):QSL记录协议封装段使用的高层协议。
主版本号(8位):表明QSL使用的主版本号。
从版本号(8位):表明QSL使用的从版本号。
数据长度(16位):数据段的字节长度。
数据:传输的数据信息。
QSL握手协议是系统中不涉及第三方的两方之间通信时的认证协商过程,使用共享的对称密钥实现下面的目标:
拥有共享密钥双方的双向身份认证;协商双方后续通信使用的加密算法和MAC算法;确认双方下一步通信使用的会话密钥(量子密钥、握手过程中生成的密钥等)的使用规则。
参见图6为本发明实施例提供的一种QSL握手协议的序列图,包括:
(1)客户端向量子安全服务设备(QSSC)发“请求认证”(明文,含算法套件列表)信息;
(2)QSSC向客户端回复“请求认证响应”(密文,含算法套件、验证随机数和解密本信息的密钥索引信息)信息;
(3)客户端使用密钥解密“请求认证响应”信息,并向QSSC发送“请求验证”(使用QSSC指定的密钥加密的密文,含验证随机数)信息;
(4)QSSC对“请求验证”信息进行验证,通过后,向客户端发送“请求验证响应”信息,指定后续的密钥使用规则。
为了便于描述QSL会话密钥分发过程,下面先定义一些在协议描述过程中使用的记号:
LT:票据的生存期(Lifetime);
KS:Key Size,申请或回复的密钥数量;
SID:Session ID,会话标识;
MAC:传送数据的摘要码;
AS:Algorithm Suite,算法套件;
KID:Key ID,密钥索引;
OID:Object ID,QSS-ME中的子系统、设备、模块的ID;
OIDx:x对象的ID;
Ticketx:x的票据;
Kx,y:x与y的会话密钥;
QKx,y:x与y的共享量子密钥;
QKx,y[k]:x与y间索引值为k对应的共享量子密钥;
QSK:由QSS-ME使用量子密钥为应用业务分发的会话密钥;
QSKx,y:x与y的量子会话密钥;
QSKIx,y:x与y间传递的量子会话密钥数据信息(不是x与y间的会话密钥信息);
En(Data,Key)表示使用密钥Key对Data进行加密操作后的加密数据信息,加密操作包含一次一密的加密算法;
A||B表示数据A与数据B的连接运算。
在本发明实施例中还提供了一种将上述量子会话密钥分发方法应用在量子密钥应用设备和量子密钥用户客户端的量子会话密钥通信架构的实例,其中,量子密钥应用设备表征通过所述通信架构获得量子会话密钥进行通信的应用设备;量子密钥用户客户端表征通过所述通信架构获得量子会话密钥进行通信的应用软件。
参见图7,该通信架构包括:量子密钥应用设备(QKUD)、量子密钥用户客户端(QKUC)、量子安全服务设备(QSSC)、量子密钥分发服务设备(QKDS),其中,量子密钥应用设备与量子密钥用户客户端进行通信连接,且量子密钥用户客户端与量子安全服务设备连接,量子密钥应用设备与量子密钥分发服务设备连接,量子密钥分发服务设备与量子安全服务设备连接。
仍参见图7,作为本发明实施例中的一个可选架构的实施方式中还包括了量子密钥存储设备(QKSD),该量子密钥存储设备用于对量子密钥进行存储,其具体形式可以为加密芯片、U-Key、TF卡、密钥管理机等。
进行会话密钥申请前,QKUC、QKUD、QKDS需要都已经通过认证,并且在认证的有效生命期内。QKUC与QKUD会话密钥分发流程如图8所示,图中默认QKUC、QKUD、QKDS都已经通过认证,该方法包括:
将所述量子密钥用户客户端的第一会话密钥申请发送至所述量子安全服务设备;
将所述量子安全服务设备返回的第一会话密钥申请响应发送至所述量子密钥用户客户端;
将通过所述量子密钥用户客户端获得的与所述第一会话密钥申请响应对应的会话密钥票据,转发至所述量子密钥应用设备;
将所述量子密钥应用设备的第二会话密钥请求发送至量子密钥分发服务设备,并基于所述量子密钥分发服务设备将所述第二会话密钥请求发送至所述量子安全服务设备;
将所述量子安全服务设备基于所述第二会话密钥请求产生的第二会话密钥请求响应,通过所述量子密钥分发服务设备发送至所述量子密钥应用设备;
将所述量子密钥应用设备基于所述第二会话密钥请求响应产生的会话密钥票据响应发送至所述量子密钥用户客户端,实现对所述量子密钥应用设备和所述量子密钥用户客户端进行会话密钥分发。
对应的,在该量子会话密钥分发过程中还可以将加密后的会话密钥导入到量子密钥存储设备(QKSD)中,便于对量子会话密钥的存储。
举例说明,QKUC与QKUD会话密钥分发流程如下:
(1)QKUC→QSSC:
KID1‖En(SID‖OIDQKUC‖OIDQKUD‖KS1‖LTSKT‖MAC1,QKQKUC,QSSC[KID1]);
(2)QSSC→QKUC:
KID2‖En(SID‖KS2‖QSKIQKUC,QSSC‖TicketSKT‖MAC2,QKQKUC,QSSC[KID2]),其中,QSKIQKUC,QSSC=KID3‖AS1‖En(QSKQKUC,QKUD,QKQKUC,QSSC[KID3]);
(3)QKUC→QKUD:TicketSKT
(4)QKUD→QKDS:En(SID‖OIDQKUD‖TicketSKT‖MAC3,KQKUD,QKDS);
(5)QKDS→QSSC:
KID4‖En(SID‖OIDQKUD‖MAC4,QKQKDS,QSSC[KID4]);
(6)QSSC→QKDS:KID5‖En(SID‖KS2‖QSKIQKDS,QSSC‖TicketSKRT‖MAC5,QKQKDS,QSSC[KID5]),
其中,QSKIQKDS,QSSC=KID6‖AS2‖En(QSKQKUC,QKUD,QKQKDS,QSSC[KID6]);
(7)QKDS→QKUD:En(SID‖KS2‖QSKQKUC,QKUD‖TicketSKRT‖MAC5,KQKUD,QKDS),
该步骤中QKDS可不输出量子会话密钥(QSKQKUC,QKUD),量子会话密钥保存在QKDS中,QKUC通过QKDS的加解密协议使用申请到的量子会话密钥进行数据加解密;
(8)QKUD→QKUC:TicketSKRT
在上述例子中,KID1、KID2、KID3等是数据包加密使用的密钥标识信息;KS1、KS2分别为申请会话密钥量和申请到的会话密钥量。在一次会话密钥分发流程中,可实现指定长度的会话密钥量分发;LTSKT是会话密钥票据的有效时间,可对会话密钥申请的时效进行保护;MAC是摘要码,对应的是QSL记录协议中的摘要码信息;TicketSKT是会话密钥票据,会话密钥票据包含会话密钥分发关键信息(申请分发的会话密钥量、设备ID等),在QKUC和QKUD间非安全通信通道传递,进行了加密处理;TicketSKRT是会话密钥响应票据,会话密钥响应票据包含会话密钥分发结果信息(申请到的会话密钥量、申请结果等),QKUD可将会话密钥响应票据发送给QKUC,使QKUC知道本次会话密钥申请的结果。需要说明的是,如果QKUD和QKUC在应用层面通过其它方式(比如在业务通信过程中判断两边的数据是否正确)判断会话密钥申请的结果也是可以的。
在本发明实施例中还提供了一种将该方法应用于第一量子密钥用户客户端和第二量子密钥用户客户端的量子会话密钥通信架构中的实例,参见图9,该通信架构包括:第一量子密钥用户客户端(QKUC-A)、第二量子密钥用户客户端(QKUC-B)和量子安全服务设备(QSSC),其中,所述第一量子密钥用户客户端与量子安全服务设备进行通信连接,且所述第二量子密钥用户客户端与所述量子安全服务设备进行通信连接。在图9中的通信架构中还包括与客户端对应的量子密钥存储设备,即QKSD-A和QKSD-B,当然上述量子密钥存储设备也可以不在该通信架构中,本发明实施例对此不做限制。
QKUC和QKUC会话密钥分发流程如图10所示,其中默认QKUC-A、QKUC-B都已经通过认证,包括:
将所述第一量子密钥用户客户端的第一会话密钥申请发送至量子安全服务设备,并将所述量子安全服务设备产生的第一会话密钥申请响应发送至所述第一量子密钥用户客户端;
将所述第一量子密钥用户客户端基于所述第一会话密钥申请响应产生的会话密钥票据,转发至所述第二量子密钥用户客户端;
当所述第二量子密钥用户客户端接收到所述会话密钥票据时,将所述第二量子密钥用户客户端的第二会话密钥请求发送至所述量子安全服务设备,并将所述量子安全服务设备基于所述第二会话密钥请求产生的第二会话密钥请求响应发送至所述第二量子密钥用户客户端;
将所述第二量子密钥用户客户端基于所述第二会话密钥请求响应产生的会话密钥票据响应,发送至所述第一量子密钥用户客户端,实现对第一量子密钥用户客户端和第二量子密钥用户客户端进行会话密钥分发。
对应的,在该量子会话密钥分发过程中,第一量子密钥用户客户端和第二量子密钥用户客户端还可以分别将加密后的会话密钥导入到对应的量子密钥存储设备QKSD-A和QKSD-B中,便于对量子会话密钥的存储。
举例说明,QKUC与QKUC会话密钥分发流程如下:
(1)QKUC-A→QSSC:
KID1‖En(SID‖OIDQKUC-A‖OIDQKUC-B‖KS1‖LTSKT‖MAC1,QKQKUC-A,QSSC[KID1]);
(2)QSSC→QKUC-A:
KID2‖En(SID‖KS2‖QSKIQKUC-A,QSSC‖TicketSKT‖MAC2,QKQKUC-A,QSSC[KID2]);
其中,QSKIQKUC-A,QSSC=KID3‖AS1‖En(QSKQKUC-A,QKUC-B,QKQKUC-A,QSSC[KID3]);
(3)QKUC-A→QKUC-B:TicketSKT
(4)QKUC-B→QSSC:KID4‖En(SID‖OIDQKUC-B‖MAC3,QKQKUC-B,QSSC[KID4];
(5)QSSC→QKUC-B:
KID5‖En(SID‖KS2‖QSKIQKUC-B,QSSC‖TicketSKRT‖MAC4,QKQKUC-B,QSSC[KID5]);
其中,QSKIQKUC-B,QSSC=KID6‖AS2‖En(QSKQKUC-A,QKUC-B,QKQKUC-B,QSSC[KID6]);
(6)QKUC-B→QKUC-A:TicketSKRT
在本发明实施例中还提供了一种将该方法应用于第一量子密钥应用设备和第二量子密钥应用设备的量子会话密钥通信架构中的实例,参见图11,该通信架构包括:第一量子密钥应用设备(QKUD-A)、第二量子密钥应用设备(QKUD-B)、第一量子密钥分发服务设备(QKDS-A)、第二量子密钥分发服务设备(QKDS-B)和量子安全服务设备(QSSC),其中,所述第一量子密钥应用设备与第一量子密钥分发服务设备连接,所述第一量子密钥分发服务设备与量子安全服务设备连接,且所述第二量子密钥应用设备与第二量子密钥分发服务设备连接,所述第二量子密钥分发服务设备与量子安全服务设备连接。参见图12,进行会话密钥申请前,QKUD-A、QKUD-B、QKDS-A、QKDS-B需要都已经通过认证,并且在认证的有效生命期内,该方法包括:
将所述第一量子密钥应用设备的第一会话密钥申请发送至所述第一量子密钥分发服务设备,通过所述第一量子密钥分发服务设备将所述第一会话密钥申请转发至所述量子安全服务设备;
将所述量子安全服务设备生成的第一会话密钥申请响应,通过所述第一量子密钥分发服务设备发送至所述第一量子密钥应用设备;
将所述第一量子密钥应用设备基于所述第一会话密钥申请响应生成的会话密钥票据,转发至所述第二量子密钥应用设备;
将所述第二量子密钥应用设备的第二会话密钥申请发送至所述第二量子密钥分发服务设备,通过所述第二量子密钥分发服务设备将所述第二会话密钥申请转发至所述量子安全服务设备;
将所述量子安全服务设备生成的第二会话密钥申请响应,通过所述第二量子密钥分发服务设备发送至所述第二量子密钥应用设备;
将所述第二量子密钥应用设备基于所述第二会话密钥申请响应生成的会话密钥票据响应,转发至所述第一量子密钥应用设备,实现对第一量子密钥应用设备和第二量子密钥应用设备进行会话密钥分发。
进一步地,该方法还可以包括对会话密钥票据响应进行验证的过程,具体为:当所述第一量子密钥应用设备接收到所述会话密钥票据响应时,将所述第一量子密钥应用设备生成的响应票据验证请求发送至所述第一量子密钥分发服务设备,并将所述第一量子密钥分发服务设备生成的响应票据验证请求响应返回至所述第一量子密钥应用设备,实现对所述会话密钥票据响应的验证。
举例说明,QKUD与QKUD会话密钥分发流程如下:
(1)QKUD-A→QKDS-A:
En(SID‖OIDQKUD-A‖OIDQKUD-B‖KS1‖LTSKT‖MAC1,KQKUD-A,QKDS-A);
(2)QKDS-A→QSSC:
KID1‖En(SID‖OIDQKUD-A‖OIDQKUD-B‖OIDQKDS-A‖KS1‖MAC2,QKQKDS-A,QSSC[KID1]);
(3)QSSC→QKDS-A:KID2‖En(SID‖KS2‖QSKIQKDS-A,QSSC‖TicketSKT‖MAC3,QKQKDS-A,QSSC[KID2]);
其中,QSKIQKDS-A,QSSC=KID3‖AS1‖En(QSKQKUD-A,QKUD-B,QKQKDS-A,QSSC[KID3]);
(4)QKDS-A→QKUD-A:
En(SID‖KS2‖QSKQKUD-A,QKUD-B‖TicketSKT‖MAC4,KQKUD-A,QKDS-A);
该步骤中QKDS-A可不输出量子会话密钥(QSKQKUD-A,QKUD-B),量子会话密钥保存在QKDS-A中,QKUD-A通过QKDS-A的加解密协议使用申请到的量子会话密钥进行数据的加解密;
(5)QKUD-A→QKUD-B:TicketSKT
(6)QKUD-B→QKDS-B:En(SID‖OIDQKUD-B‖TicketSKT‖MAC5,KQKUD-B,QKDS-B);
(7)QKDS-B→QSSC:KID4‖En(SID‖OIDQKDS-B‖MAC6,QKQKDS-B,QSSC[KID4]);
(8)QSSC→QKDS-B:KID5‖En(SID‖KS2‖QSKIQKDS-B,QSSC‖TicketSKRT‖MAC7,QKQKDS-B,QSSC[KID5]);
其中,QSKIQKDS-B,QSSC=KID6‖AS2‖En(QSKQKUD-A,QKUD-B,QKQKDS-B,QSSC[KID6]);
(9)QKDS-B→QKUD-B:En(SID‖KS2‖QSKQKUD-A,QKUD-B‖TicketSKRT‖MAC8,KQKUD-B,QKDS-B);
该步骤中QKDS-B也可不输出量子会话密钥(QSKQKUD-A,QKUD-B),量子会话密钥保存在QKDS-B中,QKUD-B通过QKDS-B的加解密协议使用申请到的量子会话密钥进行数据的加解密;
(10)QKUD-B→QKUD-A:TicketSKRT
(11)QKUD-A→QKDS-A:En(SID‖TicketSKRT‖MAC9,KQKUD-A,QKDS-A);
(12)QKDS-A→QKUD-A:En(SID‖Result‖MAC10,KQKUD-A,QKDS-A)。
在本发明的实施例中还提供了一种量子会话密钥分发装置,该装置具体用于:基于预设的量子安全协议对进行通信的应用设备,进行量子会话密钥分发,参见图13,该装置包括:
第一分发单元201,用于若进行通信的应用设备之间不涉及可信第三方,则基于所述预设的量子安全协议中的量子安全握手协议对所述应用设备进行认证,并协商所述应用设备通信过程中使用的加密套件和会话密钥规则,基于所述加密套件和会话密钥规则对所述应用设备进行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信;
第二分发单元202,用于若进行通信的应用设备之间具备可信第三方,则基于所述量子安全握手协议将所述应用设备与所述可信第三方建立安全通信通道,在所述安全通信通道上执行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信。
在本发明的另一实施例中还提供了一种通信架构,所述通信架构为量子密钥应用设备和量子密钥用户客户端的量子会话密钥通信架构,所述通信架构包括量子密钥应用设备、量子密钥用户客户端、量子安全服务设备、量子密钥分发服务设备,其中,
所述量子密钥用户客户端,用于将第一会话密钥申请发送至所述量子安全服务设备,并将与所述第一会话密钥申请对应的会话密钥票据转发至所述量子密钥应用设备;
所述量子安全服务设备包括:第一接收单元、第一发送单元、第二接收单元和第二发送单元,其中,
所述第一接收单元,用于接收第一会话密钥申请;
所述第一发送单元,用于根据所述第一会话密钥申请生成第一会话密钥申请响应,并将所述第一会话密钥申请响应发送至所述量子密钥用户客户端;
所述第二接收单元,用于接收所述量子密钥分发服务设备发送的第二会话密钥请求,所述第二会话密钥请求为所述量子密钥应用设备发出的会话密钥申请请求;
所述第二发送单元,用于基于所述第二会话密钥请求,生成第二会话密钥请求响应,并将所述第二会话密钥请求响应发送至所述量子密钥分发服务设备;
所述量子密钥分发服务设备包括第三接收单元、第三发送单元、第四接收单元、第四发送单元,其中,
所述第三接收单元,用于接收所述量子密钥应用设备发送的第二会话密钥请求;
所述第三发送单元,用于将所述第二会话密钥请求发送至所述量子安全服务设备;
所述第四接收单元,用于接收所述量子安全服务设备发送的第二会话密钥请求响应;
所述第四发送单元,用于将所述第二会话密钥请求响应发送至所述量子密钥应用设备;
所述量子密钥应用设备,用于将第二会话密钥请求发送至所述量子密钥分发服务设备,并根据所述量子密钥分发服务设备发送的第二会话密钥请求响应生成会话密钥票据响应,将所述会话密钥票据响应发送至所述量子密钥用户客户端,实现对所述量子密钥应用设备和所述量子密钥用户客户端进行会话密钥分发。
对应的,在本发明的另一实施例中还提供了另一种通信架构,所述通信架构为第一量子密钥用户客户端和第二量子密钥用户客户端的量子会话密钥通信架构,所述通信架构包括:第一量子密钥用户客户端、第二量子密钥用户客户端和量子安全服务设备,其中,
所述第一量子密钥用户客户端,用于将第一会话密钥申请发送至所述量子安全服务设备,并将与所述第一会话密钥申请对应的会话密钥票据转发至所述第二量子密钥用户客户端;
所述第二量子密钥用户客户端,用于将第二会话密钥请求发送至所述量子安全服务设备,并基于所述量子安全服务设备返回的第二会话密钥请求响应生成会话密钥票据响应,将所述会话密钥票据响应发送至所述第一量子密钥用户客户端;
所述量子安全服务设备包括:第五接收单元、第五发送单元、第六接收单元和第六发送单元,其中,
所述第五接收单元,用于接收所述第一量子密钥用户客户端发送的第一会话密钥申请;
所述第五发送单元,用于根据所述第一会话密钥申请生成第一会话密钥申请响应,将所述第一会话密钥申请响应发送至所述第一量子密钥用户客户端;
所述第六接收单元,用于接收所述第二量子密钥用户客户端发送的第二会话密钥请求;
第六发送单元,用于根据所述第二会话密钥请求生成第二会话密钥请求响应,并将所述第二会话密钥请求响应发送至所述第二量子密钥用户客户端。
对应的,在本发明的另一实施例中还提供了另一种通信架构,所述通信架构为第一量子密钥应用设备和第二量子密钥应用设备的量子会话密钥通信架构,所述通信架构包括:第一量子密钥应用设备、第二量子密钥应用设备、第一量子密钥分发服务设备、第二量子密钥分发服务设备和量子安全服务设备;
所述第一量子密钥应用设备,用于将第一会话密钥申请发送至所述第一量子密钥分发服务设备,并将与所述第一会话密钥申请对应的会话密钥票据转发至所述第二量子密钥应用设备;
所述第二量子密钥应用设备,用于将第二会话密钥申请发送至所述第二量子密钥分发服务设备,并将与所述第二量子密钥分发服务设备返回的第二会话密钥申请响应对应的会话密钥票据响应发送至所述第一量子密钥应用设备;
所述第一量子密钥分发服务设备,用于将所述第一会话密钥申请发送至所述量子安全服务设备,将所述量子安全服务设备返回的第一会话密钥申请响应发送至所述第一量子密钥应用设备;
所述第二量子密钥分发服务设备,用于将所述第二会话密钥申请发送至所述量子安全服务设备,将所述量子安全服务设备返回的第二会话密钥申请响应发送至所述第二量子密钥应用设备;
所述量子安全服务设备,包括:第七接收单元、第七发送单元、第八接收单元和第八发送单元,其中,
所述第七接收单元,用于接收所述第一量子密钥分发服务设备发送的第一会话密钥申请;
所述第七发送单元,用于基于所述第一会话密钥申请生成所述第一会话密钥申请响应,并将所述第一会话密钥申请响应发送至所述第一量子密钥分发服务设备;
所述第八接收单元,用于接收所述第二量子密钥分发服务设备发送的第二会话密钥申请;
所述第八发送单元,用于基于所述第二会话密钥申请生成所述第二会话密钥申请响应,并将所述第二会话密钥申请响应发送至所述第二量子密钥分发服务设备。
在上述实施例的基础上,所述第一量子密钥分发服务设备还包括:
验证单元,用于当所述第一量子密钥应用设备接收到所述会话密钥票据响应时,接收所述第一量子密钥应用设备生成的响应票据验证请求,并将生成的响应票据验证请求响应返回至所述第一量子密钥应用设备,实现对所述会话密钥票据响应的验证。
需要说明的是,对应不同的通信架构,量子安全服务设备和量子密钥分发服务设备的功能不同,各个通信架构中各个设备的具体功能请参见本发明实施例提供的量子会话密钥分发方法中的描述,在此不做一一赘述。
在本发明实施例中将量子密钥资源通过量子安全介质产品融合到各种移动通信设备中,使用对称加解密技术和交互机制,制定身份认证的方法和加密通信机制,并实现会话密钥安全分发体系的量子安全服务移动引擎系统;对SSL协议中的使用公钥体系的部分进行改造,并对记录协议进行升级,使通信过程中可实现一个通信数据包使用一支密钥进行加密保护,设置一次一密的安全等级的QSL协议体系,通过量子密钥技术与加密技术相结合,实现通信保密性,信息完整性和访问合法性;解决基于公钥密钥体系和单一预置共享密钥的会话密钥分发方法被破解的潜在安全威胁。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (15)

1.一种量子会话密钥分发方法,其特征在于,包括:
基于预设的量子安全协议对进行通信的应用设备,进行量子会话密钥分发,其中,
若进行通信的应用设备之间不涉及可信第三方,则基于所述预设的量子安全协议中的量子安全握手协议对所述应用设备进行认证,并协商所述应用设备通信过程中使用的加密套件和会话密钥规则,基于所述加密套件和会话密钥规则对所述应用设备进行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信;
若进行通信的应用设备之间具备可信第三方,则基于所述量子安全握手协议将所述应用设备与所述可信第三方建立安全通信通道,在所述安全通信通道上执行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信。
2.根据权利要求1所述的方法,其特征在于,所述预设的量子安全协议的通信数据包的加密方式是在设备间双方的认证过程中协商确认获得的,其中,所述预设的量子安全协议的每个通信数据包使用指定标识对应的密钥以协商确认的加密方式进行加密保护,实现每个通信数据包按照预设指定密钥进行加密保护,使得量子会话密钥采用一次一密或者预设对称加密方式进行加密保护,并将所述量子会话密钥添加到进行量子会话密钥分发过程中的通信数据包中。
3.根据权利要求1所述的方法,其特征在于,所述预设的量子安全协议包括:
量子安全握手协议、量子安全会话密钥分发协议、量子安全密钥变化协议、量子安全警告协议和量子安全记录协议,其中,
所述量子安全握手协议表征系统中拥有共享对称密钥的设备之间双向认证及加密通信机制的协商协议;
所述量子安全会话密钥分发协议表征系统中可信第三方为应用层的通信双方提供身份认证和会话密钥分发,以及通信双方基于获取到的会话密钥进行加密通信的协议;
所述量子安全密钥变化协议表征通知应用设备协议发生变化的协议;
所述量子安全警告协议表征将根据对称密钥的特性而定义的警告信息发送给应用设备的协议;
所述量子安全记录协议表征对上层协议数据进行分块和加密,将处理后的记录块传输给接收端的协议。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述方法应用于量子密钥应用设备和量子密钥用户客户端的量子会话密钥通信架构中,所述通信架构包括量子密钥应用设备、量子密钥用户客户端、量子安全服务设备、量子密钥分发服务设备,其中,所述量子密钥应用设备与所述量子密钥用户客户端进行通信连接,且所述量子密钥用户客户端与所述量子安全服务设备连接,所述量子密钥应用设备与所述量子密钥分发服务设备连接,所述量子密钥分发服务设备与所述量子安全服务设备连接,所述方法包括:
将所述量子密钥用户客户端的第一会话密钥申请发送至所述量子安全服务设备;
将所述量子安全服务设备返回的第一会话密钥申请响应发送至所述量子密钥用户客户端;
将通过所述量子密钥用户客户端获得的与所述第一会话密钥申请响应对应的会话密钥票据,转发至所述量子密钥应用设备;
将所述量子密钥应用设备的第二会话密钥请求发送至所述量子密钥分发服务设备,并基于所述量子密钥分发服务设备将所述第二会话密钥请求发送至所述量子安全服务设备;
将所述量子安全服务设备基于所述第二会话密钥请求产生的第二会话密钥请求响应,通过所述量子密钥分发服务设备发送至所述量子密钥应用设备;
将所述量子密钥应用设备基于所述第二会话密钥请求响应产生的会话密钥票据响应发送至所述量子密钥用户客户端,实现对所述量子密钥应用设备和所述量子密钥用户客户端进行会话密钥分发。
5.根据权利要求1-3中任一项所述的方法,其特征在于,所述方法应用于第一量子密钥用户客户端和第二量子密钥用户客户端的量子会话密钥通信架构中,所述通信架构包括:第一量子密钥用户客户端、第二量子密钥用户客户端和量子安全服务设备,其中,所述第一量子密钥用户客户端与所述量子安全服务设备进行通信连接,且所述第二量子密钥用户客户端与所述量子安全服务设备进行通信连接,该方法包括:
将所述第一量子密钥用户客户端的第一会话密钥申请发送至所述量子安全服务设备,并将所述量子安全服务设备产生的第一会话密钥申请响应发送至所述第一量子密钥用户客户端;
将所述第一量子密钥用户客户端基于所述第一会话密钥申请响应产生的会话密钥票据,转发至所述第二量子密钥用户客户端;
当所述第二量子密钥用户客户端接收到所述会话密钥票据时,将所述第二量子密钥用户客户端的第二会话密钥请求发送至所述量子安全服务设备,并将所述量子安全服务设备基于所述第二会话密钥请求产生的第二会话密钥请求响应发送至所述第二量子密钥用户客户端;
将所述第二量子密钥用户客户端基于所述第二会话密钥请求响应产生的会话密钥票据响应,发送至所述第一量子密钥用户客户端,实现对所述第一量子密钥用户客户端和所述第二量子密钥用户客户端进行会话密钥分发。
6.根据权利要求1-3中任一项所述的方法,其特征在于,所述方法应用于第一量子密钥应用设备和第二量子密钥应用设备的量子会话密钥通信架构中,所述通信架构包括:第一量子密钥应用设备、第二量子密钥应用设备、第一量子密钥分发服务设备、第二量子密钥分发服务设备和量子安全服务设备,其中,所述第一量子密钥应用设备与所述第一量子密钥分发服务设备连接,所述第一量子密钥分发服务设备与所述量子安全服务设备连接,且所述第二量子密钥应用设备与所述第二量子密钥分发服务设备连接,所述第二量子密钥分发服务设备与所述量子安全服务设备连接,该方法包括:
将所述第一量子密钥应用设备的第一会话密钥申请发送至所述第一量子密钥分发服务设备,通过所述第一量子密钥分发服务设备将所述第一会话密钥申请转发至所述量子安全服务设备;
将所述量子安全服务设备生成的第一会话密钥申请响应,通过所述第一量子密钥分发服务设备发送至所述第一量子密钥应用设备;
将所述第一量子密钥应用设备基于所述第一会话密钥申请响应生成的会话密钥票据,转发至所述第二量子密钥应用设备;
将所述第二量子密钥应用设备的第二会话密钥申请发送至所述第二量子密钥分发服务设备,通过所述第二量子密钥分发服务设备将所述第二会话密钥申请转发至所述量子安全服务设备;
将所述量子安全服务设备生成的第二会话密钥申请响应,通过所述第二量子密钥分发服务设备发送至所述第二量子密钥应用设备;
将所述第二量子密钥应用设备基于所述第二会话密钥申请响应生成的会话密钥票据响应,转发至所述第一量子密钥应用设备,实现对所述第一量子密钥应用设备和所述第二量子密钥应用设备进行会话密钥分发。
7.根据权利要求6所述的方法,其特征在于,该方法还包括:
当所述第一量子密钥应用设备接收到所述会话密钥票据响应时,将所述第一量子密钥应用设备生成的响应票据验证请求发送至所述第一量子密钥分发服务设备,并将所述第一量子密钥分发服务设备生成的响应票据验证请求响应返回至所述第一量子密钥应用设备,实现对所述会话密钥票据响应的验证。
8.根据权利要求4-7中任一项所述的方法,其特征在于,所述第一会话密钥申请包括通信数据包加密使用的密钥标识信息和申请会话密钥量。
9.根据权利要求4-7中任一项所述的方法,其特征在于,所述会话密钥票据包括会话密钥票据的有效时间、会话密钥量和设备标识信息。
10.根据权利要求4-7中任一项所述的方法,其特征在于,所述会话密钥票据响应包括申请到的会话密钥量和申请结果。
11.一种量子会话密钥分发装置,其特征在于,该装置具体用于:
基于预设的量子安全协议对进行通信的应用设备,进行量子会话密钥分发,包括:
第一分发单元,用于若进行通信的应用设备之间不涉及可信第三方,则基于所述预设的量子安全协议中的量子安全握手协议对所述应用设备进行认证,并协商所述应用设备通信过程中使用的加密套件和会话密钥规则,基于所述加密套件和会话密钥规则对所述应用设备进行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信;
第二分发单元,用于若进行通信的应用设备之间具备可信第三方,则基于所述量子安全握手协议将所述应用设备与所述可信第三方建立安全通信通道,在所述安全通信通道上执行量子会话密钥分发,实现所述应用设备基于所述量子会话密钥进行通信。
12.一种通信架构,其特征在于,所述通信架构为量子密钥应用设备和量子密钥用户客户端的量子会话密钥通信架构,所述通信架构包括量子密钥应用设备、量子密钥用户客户端、量子安全服务设备、量子密钥分发服务设备,其中,
所述量子密钥用户客户端,用于将第一会话密钥申请发送至所述量子安全服务设备,并将与所述第一会话密钥申请对应的会话密钥票据转发至所述量子密钥应用设备;
所述量子安全服务设备包括:第一接收单元、第一发送单元、第二接收单元和第二发送单元,其中,
所述第一接收单元,用于接收第一会话密钥申请;
所述第一发送单元,用于根据所述第一会话密钥申请生成第一会话密钥申请响应,并将所述第一会话密钥申请响应发送至所述量子密钥用户客户端;
所述第二接收单元,用于接收所述量子密钥分发服务设备发送的第二会话密钥请求,所述第二会话密钥请求为所述量子密钥应用设备发出的会话密钥申请请求;
所述第二发送单元,用于基于所述第二会话密钥请求,生成第二会话密钥请求响应,并将所述第二会话密钥请求响应发送至所述量子密钥分发服务设备;
所述量子密钥分发服务设备包括第三接收单元、第三发送单元、第四接收单元、第四发送单元,其中,
所述第三接收单元,用于接收所述量子密钥应用设备发送的第二会话密钥请求;
所述第三发送单元,用于将所述第二会话密钥请求发送至所述量子安全服务设备;
所述第四接收单元,用于接收所述量子安全服务设备发送的第二会话密钥请求响应;
所述第四发送单元,用于将所述第二会话密钥请求响应发送至所述量子密钥应用设备;
所述量子密钥应用设备,用于将第二会话密钥请求发送至所述量子密钥分发服务设备,并根据所述量子密钥分发服务设备发送的第二会话密钥请求响应生成会话密钥票据响应,将所述会话密钥票据响应发送至所述量子密钥用户客户端,实现对所述量子密钥应用设备和所述量子密钥用户客户端进行会话密钥分发。
13.一种通信架构,其特征在于,所述通信架构为第一量子密钥用户客户端和第二量子密钥用户客户端的量子会话密钥通信架构,所述通信架构包括:第一量子密钥用户客户端、第二量子密钥用户客户端和量子安全服务设备,其中,
所述第一量子密钥用户客户端,用于将第一会话密钥申请发送至所述量子安全服务设备,并将与所述第一会话密钥申请对应的会话密钥票据转发至所述第二量子密钥用户客户端;
所述第二量子密钥用户客户端,用于将第二会话密钥请求发送至所述量子安全服务设备,并基于所述量子安全服务设备返回的第二会话密钥请求响应生成会话密钥票据响应,将所述会话密钥票据响应发送至所述第一量子密钥用户客户端;
所述量子安全服务设备包括:第五接收单元、第五发送单元、第六接收单元和第六发送单元,其中,
所述第五接收单元,用于接收所述第一量子密钥用户客户端发送的第一会话密钥申请;
所述第五发送单元,用于根据所述第一会话密钥申请生成第一会话密钥申请响应,将所述第一会话密钥申请响应发送至所述第一量子密钥用户客户端;
所述第六接收单元,用于接收所述第二量子密钥用户客户端发送的第二会话密钥请求;
第六发送单元,用于根据所述第二会话密钥请求生成第二会话密钥请求响应,并将所述第二会话密钥请求响应发送至所述第二量子密钥用户客户端。
14.一种通信架构,其特征在于,所述通信架构为第一量子密钥应用设备和第二量子密钥应用设备的量子会话密钥通信架构,所述通信架构包括:第一量子密钥应用设备、第二量子密钥应用设备、第一量子密钥分发服务设备、第二量子密钥分发服务设备和量子安全服务设备;
所述第一量子密钥应用设备,用于将第一会话密钥申请发送至所述第一量子密钥分发服务设备,并将与所述第一会话密钥申请对应的会话密钥票据转发至所述第二量子密钥应用设备;
所述第二量子密钥应用设备,用于将第二会话密钥申请发送至所述第二量子密钥分发服务设备,并将与所述第二量子密钥分发服务设备返回的第二会话密钥申请响应对应的会话密钥票据响应发送至所述第一量子密钥应用设备;
所述第一量子密钥分发服务设备,用于将所述第一会话密钥申请发送至所述量子安全服务设备,将所述量子安全服务设备返回的第一会话密钥申请响应发送至所述第一量子密钥应用设备;
所述第二量子密钥分发服务设备,用于将所述第二会话密钥申请发送至所述量子安全服务设备,将所述量子安全服务设备返回的第二会话密钥申请响应发送至所述第二量子密钥应用设备;
所述量子安全服务设备,包括:第七接收单元、第七发送单元、第八接收单元和第八发送单元,其中,
所述第七接收单元,用于接收所述第一量子密钥分发服务设备发送的第一会话密钥申请;
所述第七发送单元,用于基于所述第一会话密钥申请生成所述第一会话密钥申请响应,并将所述第一会话密钥申请响应发送至所述第一量子密钥分发服务设备;
所述第八接收单元,用于接收所述第二量子密钥分发服务设备发送的第二会话密钥申请;
所述第八发送单元,用于基于所述第二会话密钥申请生成所述第二会话密钥申请响应,并将所述第二会话密钥申请响应发送至所述第二量子密钥分发服务设备。
15.根据权利要求14所述的通信架构,其特征在于,所述第一量子密钥分发服务设备还包括:
验证单元,用于当所述第一量子密钥应用设备接收到所述会话密钥票据响应时,接收所述第一量子密钥应用设备生成的响应票据验证请求,并将生成的响应票据验证请求响应返回至所述第一量子密钥应用设备,实现对所述会话密钥票据响应的验证。
CN201910243395.0A 2019-03-28 2019-03-28 一种量子会话密钥分发方法、装置及通信架构 Active CN111756528B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910243395.0A CN111756528B (zh) 2019-03-28 2019-03-28 一种量子会话密钥分发方法、装置及通信架构
CN202310898481.1A CN116886288A (zh) 2019-03-28 2019-03-28 一种量子会话密钥分发方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910243395.0A CN111756528B (zh) 2019-03-28 2019-03-28 一种量子会话密钥分发方法、装置及通信架构

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202310898481.1A Division CN116886288A (zh) 2019-03-28 2019-03-28 一种量子会话密钥分发方法及装置

Publications (2)

Publication Number Publication Date
CN111756528A true CN111756528A (zh) 2020-10-09
CN111756528B CN111756528B (zh) 2023-08-15

Family

ID=72672036

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202310898481.1A Pending CN116886288A (zh) 2019-03-28 2019-03-28 一种量子会话密钥分发方法及装置
CN201910243395.0A Active CN111756528B (zh) 2019-03-28 2019-03-28 一种量子会话密钥分发方法、装置及通信架构

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN202310898481.1A Pending CN116886288A (zh) 2019-03-28 2019-03-28 一种量子会话密钥分发方法及装置

Country Status (1)

Country Link
CN (2) CN116886288A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113242238A (zh) * 2021-05-10 2021-08-10 中国建设银行股份有限公司 安全通信方法、装置及系统
CN114363838A (zh) * 2021-12-30 2022-04-15 中国电信股份有限公司卫星通信分公司 一种通过短信通道实现卫星通信量子秘钥分发的方法
CN114584298A (zh) * 2022-03-03 2022-06-03 成都量安区块链科技有限公司 一种量子安全ssl协议应用方法与系统
CN117119449A (zh) * 2023-10-20 2023-11-24 长江量子(武汉)科技有限公司 车云安全通信方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030149880A1 (en) * 2002-02-04 2003-08-07 Rafie Shamsaasef Method and system for providing third party authentication of authorization
CN107612899A (zh) * 2017-09-08 2018-01-19 浙江神州量子网络科技有限公司 一种基于量子密钥的OpenVPN安全通信方法和通信系统
CN108173649A (zh) * 2018-01-10 2018-06-15 如般量子科技有限公司 一种基于量子密钥卡的消息认证方法和系统
CN108429615A (zh) * 2018-01-10 2018-08-21 如般量子科技有限公司 一种基于量子密钥的Stunnel通信方法和Stunnel通信系统
CN108964896A (zh) * 2018-06-28 2018-12-07 如般量子科技有限公司 一种基于群组密钥池的Kerberos身份认证系统和方法
CN109309570A (zh) * 2018-10-15 2019-02-05 北京天融信网络安全技术有限公司 量子密钥在ssl vpn中使用的方法及相应设备和存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030149880A1 (en) * 2002-02-04 2003-08-07 Rafie Shamsaasef Method and system for providing third party authentication of authorization
CN107612899A (zh) * 2017-09-08 2018-01-19 浙江神州量子网络科技有限公司 一种基于量子密钥的OpenVPN安全通信方法和通信系统
CN108173649A (zh) * 2018-01-10 2018-06-15 如般量子科技有限公司 一种基于量子密钥卡的消息认证方法和系统
CN108429615A (zh) * 2018-01-10 2018-08-21 如般量子科技有限公司 一种基于量子密钥的Stunnel通信方法和Stunnel通信系统
CN108964896A (zh) * 2018-06-28 2018-12-07 如般量子科技有限公司 一种基于群组密钥池的Kerberos身份认证系统和方法
CN109309570A (zh) * 2018-10-15 2019-02-05 北京天融信网络安全技术有限公司 量子密钥在ssl vpn中使用的方法及相应设备和存储介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113242238A (zh) * 2021-05-10 2021-08-10 中国建设银行股份有限公司 安全通信方法、装置及系统
CN114363838A (zh) * 2021-12-30 2022-04-15 中国电信股份有限公司卫星通信分公司 一种通过短信通道实现卫星通信量子秘钥分发的方法
CN114584298A (zh) * 2022-03-03 2022-06-03 成都量安区块链科技有限公司 一种量子安全ssl协议应用方法与系统
CN117119449A (zh) * 2023-10-20 2023-11-24 长江量子(武汉)科技有限公司 车云安全通信方法及系统
CN117119449B (zh) * 2023-10-20 2024-01-19 长江量子(武汉)科技有限公司 车云安全通信方法及系统

Also Published As

Publication number Publication date
CN116886288A (zh) 2023-10-13
CN111756528B (zh) 2023-08-15

Similar Documents

Publication Publication Date Title
CN111756529B (zh) 一种量子会话密钥分发方法及系统
KR101009330B1 (ko) 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
US8904178B2 (en) System and method for secure remote access
CA2446304C (en) Use and generation of a session key in a secure socket layer connection
CN111756528B (zh) 一种量子会话密钥分发方法、装置及通信架构
EP1913728B1 (en) Total exchange session security
US11736304B2 (en) Secure authentication of remote equipment
JP2005102163A (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体
CN112766962A (zh) 证书的接收、发送方法及交易系统、存储介质、电子装置
CN114143117B (zh) 数据处理方法及设备
WO2010066127A1 (zh) 基于应用层的移动金融业务的安全通信方法及其装置
CN112165386B (zh) 一种基于ecdsa的数据加密方法及系统
WO2022135391A1 (zh) 身份鉴别方法、装置、存储介质、程序、及程序产品
CN113411187A (zh) 身份认证方法和系统、存储介质及处理器
JPH10242957A (ja) ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体
CN116743372A (zh) 基于ssl协议的量子安全协议实现方法及系统
KR20010079161A (ko) 무선통신환경에서 인증서를 사용한 장치 인증 및 통신암호 키 분배 방법
CN112035820B (zh) 一种用于Kerberos加密环境下的数据解析方法
US8769280B2 (en) Authentication apparatus and method for non-real-time IPTV system
WO2023130970A1 (zh) 集成可信度量的通信方法和装置
CN115580403B (zh) 一种基于pki的计算节点接入控制方法
CN115549929B (zh) 基于零信任网络隐身的spa单包认证方法及装置
CN114531235B (zh) 一种端对端加密的通信方法及系统
WO2023151427A1 (zh) 量子密钥传输方法、装置及系统
EP4044553A1 (en) Method and device to provide a security level for communication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant