CN112398651B - 一种量子保密通信方法、装置、电子设备以及存储介质 - Google Patents
一种量子保密通信方法、装置、电子设备以及存储介质 Download PDFInfo
- Publication number
- CN112398651B CN112398651B CN202110033456.8A CN202110033456A CN112398651B CN 112398651 B CN112398651 B CN 112398651B CN 202110033456 A CN202110033456 A CN 202110033456A CN 112398651 B CN112398651 B CN 112398651B
- Authority
- CN
- China
- Prior art keywords
- key
- quantum
- quantum key
- transmitted
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Abstract
本申请实施例公开了一种量子保密通信方法、装置、电子设备以及存储介质,本申请实施例对量子密钥采用按数据包长度分队列的缓存技术管理,保障量子密钥使用时准确性,提升量子密钥使用效率和处理速度;并且,使用一次一密的加密认证方法,不重复的使用量子密钥,使每一个量子密钥充分应用到加密运算和认证运算中,保证数据传输时的保密性。
Description
技术领域
本申请涉及通信技术领域,具体涉及一种量子保密通信方法、装置、电子设备以及存储介质。
背景技术
随着通信技术的不断发展,智能手机、平板电脑及笔记本电脑等移动终端的大量普及应用,终端向着多样化、个性化的方向发展,日益成为人们在生活与工作中不可或缺的终端,人们通过终端与互联网进行信息传输。在公共互联网中,各种网络设备总是存在一些安全漏洞,敌手通过网络攻击手段植入监听木马,很容易收集到互联网协议(InternetProtocol Address,IP)地址保密子网之间经由互联网通信的大量密文样本。密钥更新时间间隔越长,敌手则能获得越多的相同密钥对应的密文样本,这将为敌手通过各种数据分析技术破解密码系统留下更多的机会,而量子密钥分发(Quantum Key Distribution,QKD)协议可以以量子作为信息的载体,经量子信道传输,在合法的用户之间建立共享密钥。其中,BB84协议是QKD协议中的一个,它通过光的偏振的物理学特性,满足量子学的测不准原理和不可克隆定律,一旦量子信道被监听,就会触发物理定律,从而被发现,保证了量子密钥分发的无条件安全。量子保密通信是指以具备信息理论安全性证明的QKD 技术作为密钥分发功能组件,结合适当的密钥管理、安全的密码算法和协议而形成的加密通信安全解决方案。
相关技术中,目前采用一次一密(one-time pad,OTP)加密方式进行终端与终端之间的数据传输时,并没有实现真正的一次一密加密机制,不能保障量子密钥使用时准确性,量子密钥使用时的准确率低。
发明内容
本申请实施例提供一种量子保密通信方法、装置、电子设备以及存储介质。
本申请实施例提供了一种量子保密通信方法,应用于第一终端,该方法包括:
当检测到报文传输指令时,向计算机设备发送密钥获取请求;
接收所述计算机设备根据所述密钥获取请求返回的量子密钥集合;
基于待传输报文从所述量子密钥集合中筛选出目标量子密钥,并采用所述目标量子密钥对所述待传输报文进行加密处理;
当检测到生成加密后的待传输报文时,向第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除;
向所述计算机设备发送密钥补充请求;
接收所述计算机设备根据所述密钥补充请求返回的量子密钥,并保存在所述量子密钥集合中。
可选的,在本申请的一些实施例中,所述量子密钥集合包括多个量子密钥子集合,所述量子密钥子集合内各个量子密钥长度相同,不同量子密钥子集合对应的量子密钥长度不同。
可选的,在本申请的一些实施例中,所述基于所述待传输报文从所述量子密钥集合中筛选出目标量子密钥,包括:
根据第一预设规则对所述待传输报文进行分组处理,并得到目标数量的子报文;
根据所述目标数量确定加密所述待传输报文所需量子密钥的目标长度;
根据所述目标长度从所述多个量子密钥中筛选出目标量子密钥;
基于第二预设规则对所述目标量子密钥进行分组处理,得到多个子量子密钥,其中,所述子量子密钥的总量大于所述目标数量。
可选的,在本申请的一些实施例中,在根据第一预设规则对所述待传输报文进行分组处理,并得到目标数量的子报文之前,还包括:
判断所述待传输报文是否超过长度阈值;
若是,则对所述待传输报文进行分片处理,得到多个处理后待传输报文,并根据所述第一预设规则对所述处理后待传输报文进行分组处理;
若否,则根据所述第一预设规则对所述待传输报文进行分组处理。
可选的,在本申请的一些实施例中,所述采用所述目标量子密钥对所述待传输报文进行加密处理,包括:
基于所述多个子量子密钥对所述多个子报文进行加密处理,生成加密后的待传输报文。
相应的,本申请实施例还提供另一种量子保密通信方法,应用于第二终端,该方法包括:
当接收到加密后的待传输报文,向计算机设备发送密钥获取请求;
接收所述计算机设备根据所述密钥获取请求返回的量子密钥集合;
基于所述加密后的待传输报文从所述量子密钥集合中筛选出目标量子密钥,并采用所述目标量子密钥对所述待传输报文进行解密处理;
当检测到生成解密后的待传输报文时,将所述目标量子密钥从所述量子密钥集合中移除;
向所述计算机设备发送密钥补充请求;
接收所述计算机设备根据所述密钥补充请求返回的量子密钥,并保存在所述量子密钥集合中。
相应的,本申请实施例还提供另一种量子保密通信方法,应用于计算机设备,该方法包括:
通过密钥分发设备接收终端发送的密钥获取请求;
根据所述密钥获取请求生成多个量子密钥;
通过所述密钥分发设备向所述终端发送所述量子密钥。
可选的,在本申请的一些实施例中,所述终端包括第一终端和第二终端,所述密钥分发设备包括第一密钥分发设备和第二密钥分发设备;所述方法包括:
通过所述第一密钥分发设备接收所述第一终端发送的密钥获取请求;
根据所述第一终端发送的密钥获取请求生成多个量子密钥;
通过所述第一密钥分发设备向所述第一终端发送所述多个量子密钥,
当接收到第二终端通过第二密钥分发设备发送的密钥获取请求,并通过所述第二密钥分发设备向所述第二终端发送所述多个量子密钥。
可选的,在本申请的一些实施例中,所述方法包括:
通过所述密钥分发设备接收密钥补充请求;
根据所述密钥获取请求生成至少一个量子密钥;
通过所述密钥分发设备向所述终端发送所述量子密钥。
相应的,本申请实施例还提供了一种量子保密通信装置,应用于第一终端,该装置包括:
第一发送单元,用于当检测到报文传输指令时,向计算机设备发送密钥获取请求;
第一接收单元,用于接收所述计算机设备根据所述密钥获取请求返回的量子密钥集合;
加解密单元,用于基于所述待传输报文从所述量子密钥集合中筛选出目标量子密钥,并采用所述目标量子密钥对所述待传输报文进行加密处理;
管理单元,用于当检测到生成加密后的待传输报文时,向第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除;
第二发送单元,用于向所述计算机设备发送密钥补充请求;
第二接收单元,用于接收所述计算机设备根据所述密钥补充请求返回的量子密钥,并保存在所述量子密钥集合中。
相应的,本申请实施例还提供了一种电子设备,包括处理器和存储器,所述存储器存储有多条指令,所述处理器加载所述指令以执行如上所述的量子保密通信方法。
相应的,本申请实施例还提供了一种存储介质,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行如上所述的量子保密通信方法。
本申请实施例提供一种量子保密通信方法、装置、电子设备以及存储介质,当检测报文传输指令时,基于所述报文传输指令确定待传输报文,并向计算机设备发送密钥获取请求,接着,接收所述计算机设备根据所述密钥获取请求返回的量子密钥集合,之后,基于所述待传输报文从所述量子密钥集合中筛选出目标量子密钥,并采用所述目标量子密钥对所述待传输报文进行加密处理,然后,当检测到生成加密后的待传输报文时,向第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除,之后,向所述计算机设备发送密钥补充请求,最后,接收所述计算机设备根据所述密钥补充请求返回的量子密钥,并保存在所述量子密钥集合中。本申请实施例对量子密钥采用按数据包长度分队列的缓存技术管理,保障量子密钥使用时准确性,提升量子密钥使用效率和处理速度;并且,使用OTP的加密认证方法,不重复的使用量子密钥,使每一个量子密钥充分应用到加密运算和认证运算中,保证数据传输时的保密性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的量子保密通信方法的一种系统架构示意图。
图2是本申请实施例提供的量子保密通信方法的另一种系统架构示意图。
图3是本申请实施例提供的加密流程的一种示意图。
图4是本申请实施例提供的量子保密通信方法的第一种流程示意图。
图5是本申请实施例提供的加密处理的步骤示意图。
图6是本申请实施例提供的解密流程的一种示意图。
图7是本申请实施例提供的量子保密通信方法的第二种流程示意图。
图8是本申请实施例提供的量子保密通信方法的第三种流程示意图。
图9是本申请实施例提供的量子保密通信方法的第四种流程示意图。
图10为本申请实施例提供的量子保密通信装置的结构框图。
图11为本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多所述特征。在本申请的描述中,“”的含义是两个或两个以上,除非另有明确具体的限定。
目前,采用一次一密的加密方式进行终端与终端之间的数据传输时,并没有实现真正的一次一密加密机制,不能保障量子密钥使用时准确性,量子密钥使用时的准确率低。
基于上述问题,本申请实施例提供一种量子保密通信方法、装置、电子设备以及存储介质,本申请实施例提供的方法对量子密钥采用按数据包长度分队列的缓存技术管理,保障量子密钥使用时准确性,提升量子密钥使用效率和处理速度;并且,使用OTP的加密认证方法,不重复的使用量子密钥,使每一个量子密钥充分应用到加密运算和认证运算中,保证数据传输时的保密性。
请参考图1,图1为本申请实施例提供的量子保密通信方法的一种系统架构示意图,包括量子密钥分发网络1000、密钥分发(Quantum Key Distribution,QKD)设备2000和终端3000,其中,量子密钥分发网络由计算机设备触发产生,终端3000与量子密钥分发网络1000通过密钥分发设备2000进行量子密钥传输,终端3000与终端3000之间通过网络连接,其中,网络中包括路由器、网关等网络实体。具体的,请参考图2,图2是量子保密通信方法的另一种系统架构示意图,终端包括第一终端3001和第二终端3002,计算机设备1000通过与QKD设备(即密钥分发设备)进行网络连接,从而形成量子密钥分发网络,密钥分发设备2000包括第一密钥分发设备2001和第二密钥分发设备2002。第一终端3001与量子密钥分发网络1000通过第一密钥分发设备2001进行量子密钥传输,第二终端3002与量子密钥分发网络1000通过第二密钥分发设备2002进行量子密钥传输;第一终端3001与第二终端3002之间可通过网络连接。
其中,量子密钥分发网络,用于构建密钥分发网络,进行量子密钥生成和分发。即,量子密钥分发网络用于构建底层的量子密钥生成和分发,实现信息理论安全的密钥分发网络,提供量子密钥基础能力。多个密钥分发设备分别接入量子密钥分发网络,量子密钥分发网络通过密钥分发设备进行量子密钥的分发。
具体的,当第一终端检测报文传输指令时,第一终端基于所述报文传输指令确定待传输报文,并向计算机设备发送密钥获取请求,然后,第一终端接收所述计算机设备根据所述密钥获取请求返回的量子密钥集合,之后,第一终端基于所述待传输报文从所述量子密钥集合中筛选出目标量子密钥,并采用所述目标量子密钥对所述待传输报文进行加密处理,接着,当第一终端检测到生成加密后的待传输报文时,向第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除,然后,第一终端向所述计算机设备发送密钥补充请求,最后,第一终端接收所述计算机设备根据所述密钥补充请求返回的量子密钥,并保存在所述量子密钥集合中。
上述图1和图2的例子只是实现本申请实施例的一个系统架构实例,本申请实施例不限于上述图1和图2所示的系统结构,基于该系统架构,提出本申请各个实施例。
以下分别进行详细说明。需说明的是,以下实施例的序号不作为对实施例优选顺序的限定。
下面通过具体实施例对本申请中量子保密通信方法进行介绍,请一并参阅图3和图4,图3为本申请实施例提供加密流程的一种示意图,图4为本申请实施例提供的量子保密通信方法的第一种流程示意图,以该方法应用于第一终端为例进行说明。该量子保密通信方法的具体流程可以如下:
101、当检测报文传输指令时,向计算机设备发送密钥获取请求。
在本申请实施例中,用户可以通过对用户界面进行触控操作输入明文信息,从而触发报文传输指令并确定待传输报文,同时,在用户界面确定接收待传输报文的至少一第二终端,同时,在用户界面确定接收待传输报文的至少一第二终端,例如,第一终端的用户界面显示终端选择列表,终端选择列表显示多个待通信终端,用户可以根据自身需求选择请求通信的终端,从而确定第二终端;第一终端可以接收其他终端发送的通信请求,从而确定第二终端并建立第一终端与第二终端之间的通信连接。
具体的,当检测报文传输指令时,第一终端与第一密钥分发设备构建密钥输出链路,第一终端与计算机设备通过第一密钥分发设备进行量子密钥传输,其中,计算机设备为量子密钥分发网络;第一终端与第二终端之间通过网络连接,其中,网络中包括路由器、网关等网络实体。
可选的,在本申请实施例中,第一终端还需要判断待传输报文是否超过长度阈值。具体的,第一终端还需要判断待传输报文是否超过1500字节,本申请实施例存在以下可能性的情况:
(1)若是,则对待传输报文进行分片处理,得到多个处理后待传输报文,并根据第一预设规则对处理后待传输报文进行分组处理;在对待传输报文进行加密前,对大于1500字节的报文进行分片,在报文载荷的IP头中打上分片标记,使得每个分片长度小于1500字节,然后再进行加密;解密前,若外层IP头中有分片标记,则对报文进行重组,然后再解密;解密后,若内层IP头中仍有分片标记,则对解密后的报文进行重组,还原明文报文。
(2)若否,则根据第一预设规则对待传输报文进行分组处理。
102,接收计算机设备根据密钥获取请求返回的量子密钥集合。
具体的,第一终端接收计算机设备根据密钥获取请求返回的量子密钥集合并将量子密钥集合储存在第一终端中。
其中,量子密钥集合包括多个量子密钥子集合,量子密钥子集合内各个量子密钥长度相同,不同量子密钥子集合对应的量子密钥长度不同。量子密钥子集合内每只量子密钥均用一个4字节的密钥标识(Identity document,ID)表示,在量子密钥缓存中每个量子密钥对应的密钥ID保证唯一性,并依据密钥ID及其对应的量子密钥建立量子密钥查找表。量子密钥长度依据一般IP报文长度范围和分组长度生成,从64字节开始,以16字节为步长,到1520字节结束,相同长度的量子密钥为一个缓存队列,每个队列缓存100只密钥,其中最大长度1520的队列缓存为500只密钥。在第一终端中加密和解密的缓存队列独立管理,每个队列的缓存数量可以根据网络实际包长分布情况进行调整和优化。密钥管理模块需不断的检测不同队列的密钥缓存消耗情况,及时请求新的密钥,并补充到队列中。
103,基于待传输报文从量子密钥集合中筛选出目标量子密钥,并采用目标量子密钥对待传输报文进行加密处理。
在本申请实施例中,根据明文信息对应的待传输报文长度,从量子密钥集合中选择合适的长度的量子密钥,得到目标量子密钥,采用目标量子密钥对待传输报文进行加密,并在加密后并将密钥ID填入加密后的报文载荷中。可选的,需要对明文信息对应的待传输报文进行字节填充,使其长度等于分组长度的整数倍,所有填充字节的值除最后一个字节外全部是0,最后一个字节为填充0的字节个数;当进行解密后,按照填充规则去掉填充字节。
可选的,在采用量子密钥进行加密时,当前若与待传输报文长度对应的量子密钥全部用完,可从临近的下一个不为空的密钥缓存队列(量子密钥子集合)中获取量子密钥,直到最大长度1520的量子密钥全部消耗完全,此时,暂停对待传输报文进行加密处理,等待量子密钥重新缓存至第一终端。
具体的,首先,根据第一预设规则对所述待传输报文进行分组处理,并得到目标数量的子报文,之后,根据所述目标数量确定加密所述待传输报文所需量子密钥的目标长度,接着,根据所述目标长度从所述多个量子密钥中筛选出目标量子密钥,最后,基于第二预设规则对所述目标量子密钥进行分组处理,得到多个子量子密钥,其中,子量子密钥的总量大于目标数量。其中,第一预设规则为:以每组16字节的规则将待传输报文分成n组;第二预设规则为将目标量子密钥分成n+1组。请参阅图5,图5为加密处理的步骤示意图。本申请实施例具体实施步骤为:
(1)对明文信息对应的待传输报文进行填充和分组,以每组16字节的规则将待传输报文分成n组。
(2)从量子密钥集合中选择一个长度满足16*(n+1)长度的目标量子密钥,并将目标量子密钥分成n+1组,分别记为Ki(i属于0~n)。
(3)随机产生初始向量IV并储存在报文载荷中的报文头内,并作为计数器CTR的初始值,CTRi为递增序列,用Ki作为目标量子密钥分别加密CTRi,加密的算法可以选择国产密码算法SM1或SM4,加密过程记为Eki,加密后的结果记为hi;用hi分别异或明文分组i,得到密文分组i,所有密文分组按顺序组成全部密文,生成加密后的待传输报文。
(4)用h0作为密钥,对IV进行MAC运算,得到m0;然后i从1开始到n,依次用hi作为密钥,对mi-1和密文分组i异或的值进行MAC运算,得到mi;最后用mn异或h0得到全部报文的MAC值并储存在报文载荷的报文尾部,作为全部报文完整性认证的数据;MAC运算的算法可以选择国产密码算法SM1 MAC、SM4 MAC或SM3 HMAC。
104,当检测到生成加密后的待传输报文时,向第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除。
具体的,第一终端中缓存的量子密钥集合中的每一量子密钥只使用一次,当该量子密钥用于加密后将被删除,从所述量子密钥集合中移除,从而保证数据传输时的安全性。
105,向计算机设备发送密钥补充请求。
具体的,第一终端实时监控量子密钥集合的量子密钥缓存消耗情况,当检测到有量子密钥被消耗并从所述量子密钥集合中移除后,第一终端及时向计算机设备发送密钥补充请求以请求新的量子密钥。
106,接收计算机设备根据密钥补充请求返回的量子密钥,并保存在量子密钥集合中。
其中,根据密钥补充请求返回的量子密钥可以为一个或多个,返回的量子密钥根据长度保存在第一终端内量子密钥集合中对应长度的量子密钥子集合内。
综上所述,基于上述问题,本申请实施例提供一种量子保密通信方法,本申请实施例提供的方法对量子密钥采用按数据包长度分队列的缓存技术管理,保障量子密钥使用时准确性,提升量子密钥使用效率和处理速度;并且,使用OTP的加密认证方法,不重复的使用量子密钥,使每一个量子密钥充分应用到加密运算和认证运算中,保证数据传输时的保密性。
下面通过具体实施例对本申请中量子保密通信方法进行介绍,请一并参阅图6和图7,图6为本申请实施例提供解密流程的一种示意图,图7为本申请实施例提供的量子保密通信方法的第二种流程示意图,以该方法应用于第二终端为例进行说明。该量子保密通信方法的具体流程可以如下:
201,当接收到加密后的待传输报文,向计算机设备发送密钥获取请求。
在本申请实施例中,用户在用户界面确定接收待传输报文的至少一第二终端。此时,当接收到加密后的待传输报文,第二终端与第二密钥分发设备构建密钥输出链路,第二终端与计算机设备通过第二密钥分发设备进行量子密钥传输,其中,计算机设备为量子密钥分发网络,第二终端向量子密钥分发网络发送密钥获取请求;第一终端与第二终端之间通过网络连接,其中,网络中包括路由器、网关等网络实体。
202,接收计算机设备根据密钥获取请求返回的量子密钥集合。
具体的,第二终端接收计算机设备根据密钥获取请求返回的量子密钥集合并将量子密钥集合储存在第二终端中,此时,第二终端接收的量子密钥集合与第一终端接收的量子密钥集合相同。
其中,量子密钥集合包括多个量子密钥子集合,量子密钥子集合内各个量子密钥长度相同,不同量子密钥子集合对应的量子密钥长度不同。量子密钥子集合内每只量子密钥均用一个4字节的密钥ID表示,在量子密钥缓存中每个量子密钥对应的密钥ID保证唯一性,并依据密钥ID及其对应的量子密钥建立量子密钥查找表。量子密钥长度依据一般IP报文长度范围和分组长度生成,从64字节开始,以16字节为步长,到1520字节结束,相同长度的量子密钥为一个缓存队列,每个队列缓存100只密钥,其中最大长度1520的队列缓存为500只密钥。在第一终端中加密和解密的缓存队列独立管理,每个队列的缓存数量可以根据网络实际包长分布情况进行调整和优化。密钥管理模块需不断的检测不同队列的密钥缓存消耗情况,及时请求新的密钥,并补充到队列中。
203,基于加密后的待传输报文从量子密钥集合中筛选出目标量子密钥,并采用目标量子密钥对待传输报文进行解密处理。
在本申请实施例中,对加密后的待传输报文解密时,提取加密后的待传输报文内报文载荷中储存的密钥ID,根据密钥ID在第二终端缓存的量子密钥集合中查找处对应的量子密钥。
具体的,本申请实施例具体实施步骤为:
(1)对加密后的待传输报文进行分组,以每组16字节的规则将加密后的待传输报文分成n组。
(2)从加密后的待传输报文的报文载荷找到密钥ID并取出密钥ID,根据密钥ID在量子密钥集合中找到对应的量子密钥,即解密量子密钥,将量子密钥分成n+1组,分别记为Ki(i属于0~n)。
(3)从报文载荷中的报文头内取出初始向量IV,并作为计数器CTR的初始值,CTRi为递增序列,用Ki作为量子密钥,分别加密CTRi,加密的算法可以选择国产密码算法SM1或SM4,加密过程记为Eki,加密后的结果记为hi。
(4)对收到的加密后的待传输报文分组进行MAC运算,得到全部报文的MAC值,具体步骤如上所述,在此不做赘述。若当前MAC值和输入报文尾部的认证数据一样,则报文的完整性正确,可以进行解密运算;否则,则丢弃报文。
(5)用hi异或加密后的待传输报文分组i,得到显示为明文信息的待传输报文分组i,将全部显示为明文信息的待传输报文分组按顺序组成报文并去除填充字节,从而得到全部明文信息。
204,当检测到生成解密后的待传输报文时,将目标量子密钥从量子密钥集合中移除。
具体的,第二终端中缓存的量子密钥集合中的每一量子密钥只使用一次,当该量子密钥用于加密后将被删除,从所述量子密钥集合中移除,从而保证数据传输时的安全性。
205,向计算机设备发送密钥补充请求。
具体的,第二终端实时监控量子密钥集合的量子密钥缓存消耗情况,当检测到有量子密钥被消耗并从所述量子密钥集合中移除后,第二终端及时向计算机设备发送密钥补充请求以请求新的量子密钥。
206,接收计算机设备根据密钥补充请求返回的量子密钥,并保存在量子密钥集合中。
其中,根据密钥补充请求返回的量子密钥可以为一个或多个,返回的量子密钥根据长度保存在第一终端内量子密钥集合中对应长度的量子密钥子集合内。
综上所述,基于上述问题,本申请实施例提供一种量子保密通信方法,本申请实施例提供的方法对量子密钥采用按数据包长度分队列的缓存技术管理,保障量子密钥使用时准确性,提升量子密钥使用效率和处理速度;并且,使用OTP的加密认证方法,不重复的使用量子密钥,使每一个量子密钥充分应用到加密运算和认证运算中,保证数据传输时的保密性。
下面通过具体实施例对本申请中量子保密通信方法进行介绍,请参考图8,图8为本申请实施例提供的量子保密通信方法的第三种流程示意图,以该方法应用于计算机设备为例进行说明。该量子保密通信方法的具体流程可以如下:
301,通过密钥分发设备接收终端发送的密钥获取请求。
具体的,计算机设备为量子密钥分发网络,终端包括第一终端和第二终端,密钥分发设备包括第一密钥分发设备和第二密钥分发设备;量子密钥分发网络通过所述第一密钥分发设备接收所述第一终端发送的密钥获取请求,量子密钥分发网络通过第二密钥分发设备接收第二终端发送的密钥获取请求。
302,根据密钥获取请求生成多个量子密钥。
具体的,量子密钥分发网络通过第一密钥分发设备接收所述第一终端发送的密钥获取请求,量子密钥分发网络根据第一终端发送的密钥获取请求生成多个量子密钥。量子密钥分发网络根据密钥获取请求生成多个量子密钥,根据密钥获取请求生成的量子密钥的长度依据一般IP报文长度范围和分组长度生成,量子密钥从64字节开始,以16字节为步长直至到1520字节结束。
303,通过密钥分发设备向终端发送量子密钥。
具体的,量子密钥分发网络通过所述第一密钥分发设备向所述第一终端发送所述多个量子密钥。当量子密钥分发网络接收到第二终端通过第二密钥分发设备发送的密钥获取请求,量子密钥分发网络通过所述第二密钥分发设备向所述第二终端发送所述多个量子密钥。
可选的,量子密钥分发网络通过密钥分发设备接收密钥补充请求。量子密钥分发网络通过第一密钥分发设备(或第二密钥分发设备)接收密钥补充请求,接着,根据密钥获取请求生成至少一个量子密钥,最后,通过第一密钥分发设备(或第二密钥分发设备)向第一终端(或第二终端)发送量子密钥。
需要说明的是,密钥分发设备与终端分别预先储存一相同的认证密钥;当密钥分发设备与终端建立量子密钥输出链路之前,判断密钥分发设备与当前终端是否存在相同的认证密钥;若是,则密钥分发设备与当前终端之间建立量子密钥输出链路,其中,所述量子密钥输出链路用于输送量子密钥;若否,则密钥分发设备与当前终端之间不建立量子密钥输出链路。
综上所述,基于上述问题,本申请实施例提供一种量子保密通信方法,本申请实施例提供的方法对量子密钥采用按数据包长度分队列的缓存技术管理,保障量子密钥使用时准确性,提升量子密钥使用效率和处理速度;并且,使用OTP的加密认证方法,不重复的使用量子密钥,使每一个量子密钥充分应用到加密运算和认证运算中,保证数据传输时的保密性。
需要说明的是,第一终端和第二终端均可以进行加密处理和解密处理,第一终端可以接收并加密待处理报文后传输给第二终端,也可以接收第二终端传输的已经加密的待处理报文并进行解密待处理;第二终端可以接收并加密待处理报文后传输给第一终端,也可以接收第一终端传输的已经加密的待处理报文并进行解密待处理。
如图9所示,图9为本申请实施例提供的量子保密通信方法的第四种流程示意图。以计算机设备和终端之间的交互为例,提供了一种量子保密通信方法,具体流程如下:
401、当第一终端检测报文传输指令时,基于报文传输指令确定待传输报文,并向计算机设备发送密钥获取请求。
在本申请实施例中,用户可以通过对用户界面进行触控操作输入明文信息,从而触发报文传输指令并确定待传输报文,同时,在用户界面确定接收待传输报文的至少一第二终端,例如,第一终端的用户界面显示终端选择列表,终端选择列表显示多个待通信终端,用户可以根据自身需求选择请求通信的终端,从而确定第二终端;第一终端可以接收其他终端发送的通信请求,从而确定第二终端并建立第一终端与第二终端之间的通信连接。
具体的,当检测报文传输指令时,第一终端与第一密钥分发设备构建密钥输出链路,第一终端与计算机设备通过第一密钥分发设备进行量子密钥传输,其中,计算机设备为量子密钥分发网络;第一终端与第二终端之间通过网络连接,其中,网络中包括路由器、网关等网络实体。
可选的,在本申请实施例中,第一终端还需要判断待传输报文是否超过长度阈值。具体的,第一终端还需要判断待传输报文是否超过1500字节,本申请实施例存在以下可能性的情况:
(1)若是,则对待传输报文进行分片处理,得到多个处理后待传输报文,并根据第一预设规则对所述处理后待传输报文进行分组处理;在对待传输报文进行加密前,对大于1500字节的报文进行分片,在报文载荷的IP头中打上分片标记,使得每个分片长度小于1500字节,然后再进行加密;解密前,若外层IP头中有分片标记,则对报文进行重组,然后再解密;解密后,若内层IP头中仍有分片标记,则对解密后的报文进行重组,还原明文报文。
(2)若否,则根据第一预设规则对待传输报文进行分组处理。
402,计算机设备通过密钥分发设备接收终端发送的密钥获取请求。
具体的,计算机设备为量子密钥分发网络,终端包括第一终端和第二终端,密钥分发设备包括第一密钥分发设备和第二密钥分发设备;量子密钥分发网络通过所述第一密钥分发设备接收所述第一终端发送的密钥获取请求。
403,计算机设备根据密钥获取请求生成多个量子密钥。
具体的,计算机设备通过第一密钥分发设备接收所述第一终端发送的密钥获取请求,计算机设备为量子密钥分发网络,量子密钥分发网络根据第一终端发送的密钥获取请求生成多个量子密钥。量子密钥分发网络根据密钥获取请求生成多个量子密钥,根据密钥获取请求生成的量子密钥的长度依据一般IP报文长度范围和分组长度生成,量子密钥从64字节开始,以16字节为步长直至到1520字节结束。
404,计算机设备通过密钥分发设备向第一终端发送量子密钥。
具体的,计算机设备通过第一密钥分发设备向第一终端发送所述多个量子密钥。
405,第一终端接收计算机设备根据密钥获取请求返回的量子密钥集合。
具体的,第一终端接收计算机设备根据密钥获取请求返回的量子密钥集合并将量子密钥集合储存在第一终端中。
其中,量子密钥集合包括多个量子密钥子集合,量子密钥子集合内各个量子密钥长度相同,不同量子密钥子集合对应的量子密钥长度不同。量子密钥子集合内每只量子密钥均用一个4字节的密钥ID表示,在量子密钥缓存中每个量子密钥对应的密钥ID保证唯一性,并依据密钥ID及其对应的量子密钥建立量子密钥查找表。量子密钥长度依据一般IP报文长度范围和分组长度生成,从64字节开始,以16字节为步长,到1520字节结束,相同长度的量子密钥为一个缓存队列,每个队列缓存100只密钥,其中最大长度1520的队列缓存为500只密钥。在第一终端中加密和解密的缓存队列独立管理,每个队列的缓存数量可以根据网络实际包长分布情况进行调整和优化。密钥管理模块需不断的检测不同队列的密钥缓存消耗情况,及时请求新的密钥,并补充到队列中。
406,第一终端基于待传输报文从量子密钥集合中筛选出目标量子密钥,并采用目标量子密钥对待传输报文进行加密处理。
在本申请实施例中,根据明文信息对应的待传输报文长度,从量子密钥集合中选择合适的长度的量子密钥,得到目标量子密钥,采用目标量子密钥对待传输报文进行加密,并在加密后并将密钥ID填入加密后的报文载荷中。可选的,需要对明文信息对应的待传输报文进行字节填充,使其长度等于分组长度的整数倍,所有填充字节的值除最后一个字节外全部是0,最后一个字节为填充0的字节个数;当进行解密后,按照填充规则去掉填充字节。
可选的,在采用量子密钥进行加密时,当前若与待传输报文长度对应的量子密钥全部用完,可从临近的下一个不为空的密钥缓存队列(量子密钥子集合)中获取量子密钥,直到最大长度1520的量子密钥全部消耗完全,此时,暂停对待传输报文进行加密处理,等待量子密钥重新缓存至第一终端。
具体的,首先,根据第一预设规则对所述待传输报文进行分组处理,并得到目标数量的子报文,之后,根据所述目标数量确定加密所述待传输报文所需量子密钥的目标长度,接着,根据所述目标长度从所述多个量子密钥中筛选出目标量子密钥,最后,基于第二预设规则对所述目标量子密钥进行分组处理,得到多个子量子密钥,其中,子量子密钥的总量大于目标数量其中,第一预设规则为:以每组16字节的规则将待传输报文分成n组;第二预设规则为将目标量子密钥分成n+1组。本申请实施例具体实施步骤为:
(1)对明文信息对应的待传输报文进行填充和分组,以每组16字节的规则将待传输报文分成n组。
(2)从量子密钥集合中选择一个长度满足16*(n+1)长度的目标量子密钥,并将目标量子密钥分成n+1组,分别记为Ki(i属于0~n)。
(3)随机产生初始向量IV并储存在报文载荷中的报文头内,并作为计数器CTR的初始值,CTRi为递增序列,用Ki作为目标量子密钥分别加密CTRi,加密的算法可以选择国产密码算法SM1或SM4,加密过程记为Eki,加密后的结果记为hi;用hi分别异或明文分组i,得到密文分组i,所有密文分组按顺序组成全部密文,生成加密后的待传输报文。
(4)用h0作为密钥,对IV进行MAC运算,得到m0;然后i从1开始到n,依次用hi作为密钥,对mi-1和密文分组i异或的值进行MAC运算,得到mi;最后用mn异或h0得到全部报文的MAC值并储存在报文载荷的报文尾部,作为全部报文完整性认证的数据;MAC运算的算法可以选择国产密码算法SM1 MAC、SM4 MAC或SM3 HMAC。
407,当第一终端检测到生成加密后的待传输报文时,向第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除。
具体的,第一终端中缓存的量子密钥集合中的每一量子密钥只使用一次,当该量子密钥用于加密后将被删除,从量子密钥集合中移除,从而保证数据传输时的安全性。
408,第一终端向计算机设备发送密钥补充请求。
具体的,第一终端实时监控量子密钥集合的量子密钥缓存消耗情况,当检测到有量子密钥被消耗并从所述量子密钥集合中移除后,第一终端及时向计算机设备发送密钥补充请求以请求新的量子密钥。
409,计算机设备通过第一密钥分发设备接收密钥补充请求。
410,计算机设备根据密钥获取请求生成至少一个量子密钥并通过第一密钥分发设备向第一终端发送量子密钥。
411,第一终端接收计算机设备根据密钥补充请求返回的量子密钥,并保存在量子密钥集合中。
其中,根据密钥补充请求返回的量子密钥可以为一个或多个,返回的量子密钥根据长度保存在第一终端内量子密钥集合中对应长度的量子密钥子集合内。
412,当第二终端接收到加密后的待传输报文,向计算机设备发送密钥获取请求。
在本申请实施例中,用户在用户界面确定接收待传输报文的至少一第二终端。此时,当接收到加密后的待传输报文,第二终端与第二密钥分发设备构建密钥输出链路,第二终端与计算机设备通过第二密钥分发设备进行量子密钥传输,其中,计算机设备为量子密钥分发网络,第二终端向量子密钥分发网络发送密钥获取请求;第一终端与第二终端之间通过网络连接,其中,网络中包括路由器、网关等网络实体。
413,计算机设备通过密钥分发设备接收终端发送的密钥获取请求。
具体的,计算机设备为量子密钥分发网络,量子密钥分发网络通过第二密钥分发设备接收第二终端发送的密钥获取请求。
414,计算机设备根据密钥获取请求生成多个量子密钥并通过密钥分发设备向第二终端发送量子密钥。
具体的,量子密钥分发网络通过所述第二密钥分发设备向所述第二终端发送所述多个量子密钥。
415,第二终端接收计算机设备根据密钥获取请求返回的量子密钥集合。
具体的,第二终端接收计算机设备根据密钥获取请求返回的量子密钥集合并将量子密钥集合储存在第二终端中,此时,第二终端接收的量子密钥集合与第一终端接收的量子密钥集合相同。
其中,量子密钥集合包括多个量子密钥子集合,量子密钥子集合内各个量子密钥长度相同,不同量子密钥子集合对应的量子密钥长度不同。
416,第二终端基于加密后的待传输报文从量子密钥集合中筛选出目标量子密钥,并采用目标量子密钥对待传输报文进行解密处理。
在本申请实施例中,对加密后的待传输报文解密时,提取加密后的待传输报文内报文载荷中储存的密钥ID,根据密钥ID在第二终端缓存的量子密钥集合中查找处对应的量子密钥。
具体的,本申请实施例具体实施步骤为:
(1)对加密后的待传输报文进行分组,以每组16字节的规则将加密后的待传输报文分成n组。
(2)从加密后的待传输报文的报文载荷找到密钥ID并取出密钥ID,根据密钥ID在量子密钥集合中找到对应的量子密钥,即解密量子密钥,将量子密钥分成n+1组,分别记为Ki(i属于0~n)。
(3)从报文载荷中的报文头内取出初始向量IV,并作为计数器CTR的初始值,CTRi为递增序列,用Ki作为量子密钥,分别加密CTRi,加密的算法可以选择国产密码算法SM1或SM4,加密过程记为Eki,加密后的结果记为hi。
(4)对收到的加密后的待传输报文分组进行MAC运算,得到全部报文的MAC值,具体步骤如上所述,在此不做赘述。若当前MAC值和输入报文尾部的认证数据一样,则报文的完整性正确,可以进行解密运算;否则,则丢弃报文。
(5)用hi异或加密后的待传输报文分组i,得到显示为明文信息的待传输报文分组i,将全部显示为明文信息的待传输报文分组按顺序组成报文并去除填充字节,从而得到全部明文信息。
417,当第二终端检测到生成解密后的待传输报文时,将目标量子密钥从量子密钥集合中移除。
具体的,第二终端中缓存的量子密钥集合中的每一量子密钥只使用一次,当该量子密钥用于加密后将被删除,从所述量子密钥集合中移除,从而保证数据传输时的安全性。
418,第二终端向计算机设备发送密钥补充请求。
具体的,第二终端实时监控量子密钥集合的量子密钥缓存消耗情况,当检测到有量子密钥被消耗并从所述量子密钥集合中移除后,第二终端及时向计算机设备发送密钥补充请求以请求新的量子密钥。
419,计算机设备通过第二密钥分发设备接收密钥补充请求并根据密钥获取请求生成至少一个量子密钥。
420,计算机设备通过第二密钥分发设备向第二终端发送量子密钥。
421,接收计算机设备根据密钥补充请求返回的量子密钥,并保存在量子密钥集合中。
其中,根据密钥补充请求返回的量子密钥可以为一个或多个,返回的量子密钥根据长度保存在第二终端内量子密钥集合中对应长度的量子密钥子集合内。
为了更好地实施以上方法,本申请实施例还可以提供一种量子保密通信装置,该量子保密通信装置具体可以集成在网络设备中,该网络设备可以是终端等设备。
例如,如图10所示,图10为量子保密通信装置的结构框图,该建筑模型处理装置可以包括第一发送单元501,第一接收单元502,加解密单元503,管理单元504,第二发送单元505,以及第二接收单元506,如下:
第一发送单元501,用于当检测到报文传输指令时,向计算机设备发送密钥获取请求;
第一接收单元502,用于接收所述计算机设备根据所述密钥获取请求返回的量子密钥集合;
加解密单元503,用于基于所述待传输报文从所述量子密钥集合中筛选出目标量子密钥,并采用所述目标量子密钥对所述待传输报文进行加密处理;
管理单元504,用于当检测到生成加密后的待传输报文时,向第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除;
第二发送单元505,用于向所述计算机设备发送密钥补充请求;
第二接收单元506,用于接收所述计算机设备根据所述密钥补充请求返回的量子密钥,并保存在所述量子密钥集合中。
可选的,装置还包括缓存单元,缓存单元用于:
缓存量子密钥集合,量子密钥集合包括多个量子密钥子集合,所述量子密钥子集合内各个量子密钥长度相同,不同量子密钥子集合对应的量子密钥长度不同。
可选的,装置还包括处理单元,处理单元用于:
根据第一预设规则对所述待传输报文进行分组处理,并得到目标数量的子报文;
基于所述报文分组数量从所述多个量子密钥中筛选出与指定长度相等的目标量子密钥,并基于所述第二预设规则对所述目标量子密钥进行分组处理,得到子量子密钥集合。
可选的,装置还包括判断单元,判断单元还用于:
判断所述待传输报文是否超过长度阈值;
可选的,装置还包括分片重组单元,分片重组单元用于:
对待传输报文进行分片处理,得到多个处理后待传输报文,并根据所述第一预设规则对所述处理后待传输报文进行分组处理。
可选的,加解密单元503还用于:
基于所述子量子密钥集合对所述子报文集合进行加密处理,生成加密后的待传输报文。
本申请实施例公开了一种量子保密通信装置,该量子保密通信装置包括:当第一发送单元501检测到报文传输指令时,向计算机设备发送密钥获取请求;第一接收单元502接收所述计算机设备根据所述密钥获取请求返回的量子密钥集合;加解密单元503基于所述待传输报文从所述量子密钥集合中筛选出目标量子密钥,并采用所述目标量子密钥对所述待传输报文进行加密处理;当检测到生成加密后的待传输报文时,管理单元504向第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除;第二发送单元505向所述计算机设备发送密钥补充请求;第二接收单元506接收所述计算机设备根据所述密钥补充请求返回的量子密钥,并保存在所述量子密钥集合中。本申请实施例对量子密钥采用按数据包长度分队列的缓存技术管理,保障量子密钥使用时准确性,提升量子密钥使用效率和处理速度;并且,使用OTP的加密认证方法,不重复的使用量子密钥,使每一个量子密钥充分应用到加密运算和认证运算中,保证数据传输时的保密性。
本申请实施例还提供一种电子设备,如图11所示,其示出了本申请实施例所涉及的电子设备的结构示意图,具体来讲:该电子设备可以包括:处理器(processor)601、通信接口(Communications Interface)602、存储器(memory)603和通信总线604,其中,处理器601,通信接口602,存储器603通过通信总线604完成相互间的通信。处理器601可以调用存储器603中的逻辑指令,以执行如下方法:当检测报文传输指令时,基于所述报文传输指令确定待传输报文,并向计算机设备发送密钥获取请求,接着,接收所述计算机设备根据所述密钥获取请求返回的量子密钥集合,之后,基于所述待传输报文从所述量子密钥集合中筛选出目标量子密钥,并采用所述目标量子密钥对所述待传输报文进行加密处理,然后,当检测到生成加密后的待传输报文时,向第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除,之后,向所述计算机设备发送密钥补充请求,最后,接收所述计算机设备根据所述密钥补充请求返回的量子密钥,并保存在所述量子密钥集合中。
本申请实施例提供的电子设备使得对量子密钥采用按数据包长度分队列的缓存技术管理,保障量子密钥使用时准确性,提升量子密钥使用效率和处理速度;并且,使用OTP的加密认证方法,不重复的使用量子密钥,使每一个量子密钥充分应用到加密运算和认证运算中,保证数据传输时的保密性。
此外,上述的存储器603中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请实施例还提供一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。上述所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得所有其他实施例,除本申请实施例提到的与本申请实施例方案一致的此类设计,都属于本申请保护的范围。
以上对本申请实施例所提供的一种量子保密通信方法、装置、电子设备以及存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的技术方案及其核心思想;本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例的技术方案的范围。
Claims (10)
1.一种量子保密通信方法,应用于第一终端,其特征在于,包括:
当检测到报文传输指令时,向计算机设备发送密钥获取请求;
接收所述计算机设备根据所述密钥获取请求返回的量子密钥集合;
根据第一预设规则对待传输报文进行分组处理,并得到目标数量的子报文,其中,所述第一预设规则为以每组指定字节的规则将所述待传输报文分成多个组;
根据所述目标数量确定加密所述待传输报文所需量子密钥的目标长度,并根据所述目标长度从所述量子密钥集合中的多个量子密钥中筛选出目标量子密钥;
采用所述目标量子密钥对所述待传输报文进行加密处理;
当检测到生成加密后的待传输报文时,向第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除;
向所述计算机设备发送密钥补充请求;
接收所述计算机设备根据所述密钥补充请求返回的量子密钥,并保存在所述量子密钥集合中。
2.根据权利要求1所述的方法,其特征在于,所述量子密钥集合包括多个量子密钥子集合,所述量子密钥子集合内各个量子密钥长度相同,不同量子密钥子集合对应的量子密钥长度不同。
3.根据权利要求1所述的方法,其特征在于,在采用所述目标量子密钥对所述待传输报文进行加密处理之前,还包括:
基于第二预设规则对所述目标量子密钥进行分组处理,得到多个子量子密钥,其中,所述子量子密钥的总量大于所述目标数量。
4.根据权利要求3所述的方法,其特征在于,在根据第一预设规则对所述待传输报文进行分组处理,并得到目标数量的子报文之前,还包括:
判断所述待传输报文是否超过长度阈值;
若是,则对所述待传输报文进行分片处理,得到多个处理后待传输报文,并根据所述第一预设规则对所述处理后待传输报文进行分组处理;
若否,则根据所述第一预设规则对所述待传输报文进行分组处理。
5.根据权利要求3所述的方法,其特征在于,所述采用所述目标量子密钥对所述待传输报文进行加密处理,包括:
基于所述多个子量子密钥对所述目标数量的子报文进行加密处理,生成加密后的待传输报文。
6.一种量子保密通信方法,应用于第二终端,其特征在于,包括:
当接收到加密后的待传输报文,向计算机设备发送密钥获取请求;
接收所述计算机设备根据所述密钥获取请求返回的量子密钥集合,其中,所述量子密钥集合与第一终端接收的量子密钥集合相同;
根据第一预设规则对待传输报文进行分组处理,并得到目标数量的子报文,其中,所述第一预设规则为以每组指定字节的规则将所述待传输报文分成多个组;
根据所述目标数量的子报文从所述量子密钥集合中的多个量子密钥中筛选出目标量子密钥;
采用所述目标量子密钥对所述待传输报文进行解密处理;
当检测到生成解密后的待传输报文时,将所述目标量子密钥从所述量子密钥集合中移除;
向所述计算机设备发送密钥补充请求;
接收所述计算机设备根据所述密钥补充请求返回的量子密钥,并保存在所述量子密钥集合中。
7.一种量子保密通信方法,应用于计算机设备,其特征在于,终端包括第一终端和第二终端,密钥分发设备包括第一密钥分发设备和第二密钥分发设备;所述方法包括:
通过所述第一密钥分发设备接收所述第一终端发送的密钥获取请求;
根据所述第一终端发送的密钥获取请求生成多个量子密钥;
通过所述第一密钥分发设备向所述第一终端发送所述多个量子密钥,所述第一终端根据第一预设规则对待传输报文进行分组处理,并得到目标数量的子报文,其中,所述第一预设规则为以每组指定字节的规则将所述待传输报文分成多个组;所述第一终端根据所述目标数量确定加密所述待传输报文所需量子密钥的目标长度,并根据所述目标长度从量子密钥集合中的多个量子密钥中筛选出目标量子密钥;所述第一终端采用所述目标量子密钥对所述待传输报文进行加密处理;当所述第一终端检测到生成加密后的待传输报文时,所述第一终端向所述第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除;
当接收到所述第二终端通过所述第二密钥分发设备发送的密钥获取请求,并通过所述第二密钥分发设备向所述第二终端发送多个量子密钥,所述第二终端根据第一预设规则对待传输报文进行分组处理,并得到目标数量的子报文,其中,第一预设规则为以每组指定字节的规则将所述待传输报文分成多个组;所述第二终端根据所述目标数量的子报文从量子密钥集合中的多个量子密钥中筛选出目标量子密钥;所述第二终端采用所述目标量子密钥对所述待传输报文进行解密处理;当所述第二终端检测到生成解密后的待传输报文时,所述第二终端将所述目标量子密钥从所述量子密钥集合中移除。
8.一种量子保密通信装置,应用于第一终端,其特征在于,所述装置包括:
第一发送单元,用于当检测到报文传输指令时,向计算机设备发送密钥获取请求;
第一接收单元,用于接收所述计算机设备根据所述密钥获取请求返回的量子密钥集合;
处理单元,用于根据第一预设规则对待传输报文进行分组处理,并得到目标数量的子报文,其中,第一预设规则为以每组指定字节的规则将所述待传输报文分成多个组;
处理单元,还用于根据所述目标数量确定加密所述待传输报文所需量子密钥的目标长度,并根据所述目标长度从所述量子密钥集合中的多个量子密钥中筛选出目标量子密钥;
加解密单元,用于采用所述目标量子密钥对所述待传输报文进行加密处理;
管理单元,用于当检测到生成加密后的待传输报文时,向第二终端发送加密后的待传输报文,并将所述目标量子密钥从所述量子密钥集合中移除;
第二发送单元,用于向所述计算机设备发送密钥补充请求;
第二接收单元,用于接收所述计算机设备根据所述密钥补充请求返回的量子密钥,并保存在所述量子密钥集合中。
9.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有多条指令,所述处理器加载所述指令以执行权利要求1至7任一项所述的量子保密通信方法。
10.一种存储介质,其特征在于,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的量子保密通信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110033456.8A CN112398651B (zh) | 2021-01-12 | 2021-01-12 | 一种量子保密通信方法、装置、电子设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110033456.8A CN112398651B (zh) | 2021-01-12 | 2021-01-12 | 一种量子保密通信方法、装置、电子设备以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112398651A CN112398651A (zh) | 2021-02-23 |
CN112398651B true CN112398651B (zh) | 2023-03-14 |
Family
ID=74624858
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110033456.8A Active CN112398651B (zh) | 2021-01-12 | 2021-01-12 | 一种量子保密通信方法、装置、电子设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112398651B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113672947A (zh) * | 2021-07-16 | 2021-11-19 | 国网浙江省电力有限公司杭州供电公司 | 一种基于主题模型的电力系统图模交换数据加密方法 |
CN114244506B (zh) * | 2021-12-10 | 2024-04-02 | 问天鼎讯量子科技(无锡)有限公司 | 一种量子密钥的快速同步的方法及系统 |
CN114338005A (zh) * | 2021-12-24 | 2022-04-12 | 北京海泰方圆科技股份有限公司 | 一种数据传输加密方法、装置、电子设备及存储介质 |
CN114448633B (zh) * | 2022-04-08 | 2022-06-21 | 南京易科腾信息技术有限公司 | 基于量子密钥的文件加密方法、装置、电子设备及介质 |
CN116232629B (zh) * | 2022-11-15 | 2023-09-26 | 北京连山科技股份有限公司 | 一种基于量子密码保护的多链路数据粒子传输方法 |
CN115801257B (zh) * | 2023-02-13 | 2023-05-05 | 广东广宇科技发展有限公司 | 一种基于量子加密的大数据安全传输方法 |
CN115913553B (zh) * | 2023-03-08 | 2023-06-20 | 广东广宇科技发展有限公司 | 一种基于非线性映射的数据加密方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107086908B (zh) * | 2016-02-15 | 2021-07-06 | 阿里巴巴集团控股有限公司 | 一种量子密钥分发方法及装置 |
CN107347058B (zh) * | 2016-05-06 | 2021-07-23 | 阿里巴巴集团控股有限公司 | 数据加密方法、数据解密方法、装置及系统 |
CN108075890A (zh) * | 2016-11-16 | 2018-05-25 | 中兴通讯股份有限公司 | 数据发送端、数据接收端、数据传输方法及系统 |
WO2018127118A1 (zh) * | 2017-01-06 | 2018-07-12 | 中国移动通信有限公司研究院 | 一种身份认证方法及装置 |
-
2021
- 2021-01-12 CN CN202110033456.8A patent/CN112398651B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN112398651A (zh) | 2021-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112398651B (zh) | 一种量子保密通信方法、装置、电子设备以及存储介质 | |
US6931132B2 (en) | Secure wireless local or metropolitan area network and related methods | |
JP5725306B2 (ja) | 無線ネットワークにおけるガロア/カウンターモード暗号化 | |
CN101103586B (zh) | 在通信系统中加密/解密信号的装置和方法 | |
JP5526747B2 (ja) | 復号化装置、暗号化装置、復号化方法、暗号化方法、および通信システム | |
JP6764753B2 (ja) | 制限帯域幅を有するチャネルにおける効率的かつ強秘匿性の対称暗号化のためのシステムおよび方法 | |
US20150244520A1 (en) | One-time-pad data encryption with media server | |
CN106850191B (zh) | 分布式存储系统通信协议的加密、解密方法及装置 | |
US10412063B1 (en) | End-to-end double-ratchet encryption with epoch key exchange | |
CN108173644A (zh) | 数据传输加密方法、装置、存储介质、设备及服务器 | |
US20150229621A1 (en) | One-time-pad data encryption in communication channels | |
US7039190B1 (en) | Wireless LAN WEP initialization vector partitioning scheme | |
Rege et al. | Bluetooth communication using hybrid encryption algorithm based on AES and RSA | |
CN111049738B (zh) | 基于混合加密的电子邮件数据安全保护方法 | |
CN102088352A (zh) | 消息中间件的数据加密传输方法和系统 | |
McGrew | Low power wireless scenarios and techniques for saving bandwidth without sacrificing security | |
CN101262340A (zh) | 彩信加密的方法及收发加密彩信的移动终端 | |
CN115567207A (zh) | 采用量子密钥分发实现组播数据加解密方法及系统 | |
EP1456997B1 (en) | System and method for symmetrical cryptography | |
Saberi et al. | Enhanced AES-CCMP key structure in IEEE 802.11 i | |
KR100864092B1 (ko) | 블록암호의 블록 체이닝 모드를 사용한 패킷 암호화 방법,이를 이용한 패킷 암/복호화 서비스 제공 방법 | |
Fadlullah et al. | Security challenge in the smart grid | |
Mohamed et al. | Cryptography concepts: Confidentiality | |
Lin et al. | Cooperative secure data aggregation in sensor networks using elliptic curve based cryptosystems | |
CN117527302A (zh) | 一种基于密钥同步更新算法的安全通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |