CN112564892B - 一种密钥分配方法、系统和可穿戴设备 - Google Patents

一种密钥分配方法、系统和可穿戴设备 Download PDF

Info

Publication number
CN112564892B
CN112564892B CN201910857912.3A CN201910857912A CN112564892B CN 112564892 B CN112564892 B CN 112564892B CN 201910857912 A CN201910857912 A CN 201910857912A CN 112564892 B CN112564892 B CN 112564892B
Authority
CN
China
Prior art keywords
key
key distribution
wearable device
random number
distribution network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910857912.3A
Other languages
English (en)
Other versions
CN112564892A (zh
Inventor
赵勇
刘春华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Institute Of Quantum Science And Technology Co ltd
Quantumctek Co Ltd
Original Assignee
Shandong Institute Of Quantum Science And Technology Co ltd
Quantumctek Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Institute Of Quantum Science And Technology Co ltd, Quantumctek Co Ltd filed Critical Shandong Institute Of Quantum Science And Technology Co ltd
Priority to CN201910857912.3A priority Critical patent/CN112564892B/zh
Priority to PCT/CN2020/113814 priority patent/WO2021047476A1/zh
Publication of CN112564892A publication Critical patent/CN112564892A/zh
Application granted granted Critical
Publication of CN112564892B publication Critical patent/CN112564892B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种适用于量子密钥的密钥分配方法、系统和可穿戴设备,所述方法包括:多个可穿戴设备分别向密钥分配网络发送密钥分配请求,所述密钥分配请求包括随机数;密钥分配网络接收所述密钥分配请求,向随机数相同的可穿戴设备分配通信所需的业务密钥。待建立通信的用户仅需要约定一个随机数并存储至可穿戴设备中,即可通过密钥分配网络获取随机密钥,使用者能够随时随意更换、分发新业务密钥,安全性明显提高。

Description

一种密钥分配方法、系统和可穿戴设备
技术领域
本发明属于保密通信的技术领域,尤其涉及一种密钥分配方法、系统和可穿戴设备。
背景技术
目前的量子保密通信网络一般都是为特定的客户搭建,且大多都是机关企业,比如在单位内部的某台固定电话上接入量子保密通信网络。尽管日常生活中大多数场合的通信并不需要严格保密,但也有保密通信的需求,但是对于个人用户而言,如果仅仅为了少数场合的保密需求特意购置一台专用的量子加密手机,成本较高。因而有必要探讨如何将量子密钥应用到个人用户的移动终端上。
量子密钥(或称量子随机密钥)结合一次一密算法在理论上可以保证通信的无条件安全,但是在具体实践阶段,仍然要受到具体通信器材及使用方式的影响。移动终端存在使用灵活性和地理变动性的特点。若进行保密通信前,以有线形式将量子密钥发送给移动终端,则移动终端失去了灵活性的优势,与固定电话无异,使用上会带来不便。若进行保密通信前,以无线形式将量子密钥发送给移动终端,则传输过程中的安全性无法保证,密钥具有被截获的风险;就算采用两级密钥形式,把通信业务所需的二级密钥用和移动终端共享的一级加密后再发送,那么就需要将一级密钥事先保存在移动终端中。
《量子无线保密通信系统及移动终端》(申请号:201710245497.7)中提出了一种将密钥预存至移动终端的技术方案:服务终端为预先设定的需要进行保密通信的移动终端预先分配相同的量子密钥,以便于所述移动终端实时进行保密通信;若没有预先分配过相同的量子密钥的所述至少两个移动终端需要临时进行保密通信,服务终端会把相同的量子密钥经过加密后,分别实时分配给需要进行保密通信的移动终端。这种方式存在手机本身被盗用,或者密钥被木马软件窃取的风险。
发明内容
为克服上述现有技术的不足,本发明提供了一种密钥分配方法、系统和可穿戴设备,在待建立通信的可穿戴设备中预先存储随机数,向随机数相同的可穿戴设备分配量子随机密钥(量子随机密钥的生成方式可以采用量子密钥分发(QKD)技术,或由量子随机数发生器生成)。移动终端从可穿戴设备获取所述量子随机密钥进行保密通信,并且,在分配密钥之前,还基于可穿戴设备获取的生物识别信息进行身份认证,用户可以随时按需获取业务密钥,使用门槛低,保证了保密通信的安全性。
为实现上述目的,本发明采用如下技术方案:
一种基于可穿戴设备的密钥分配方法,包括以下步骤:
多个可穿戴设备分别向密钥分配网络发送密钥分配请求,所述密钥分配请求包括随机数;
密钥分配网络接收所述密钥分配请求,向随机数相同的可穿戴设备分配通信所需的业务密钥。
进一步地,所述密钥分配网络管理密钥申请记录表,所述记录表中包括以下字段:申请随机数、密钥标识和所述密钥的分配情况;其中,所述密钥的分配情况对当前已分配所述密钥的可穿戴设备进行计数,和/或记录所述可穿戴设备的设备信息。
进一步地,待共享密钥的用户数量上限为N,N≥2;所述向随机数相同的可穿戴设备分配通信所需的业务密钥包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中查找当前已分配设备数量等于N的密钥申请记录中,查找是否存在所述随机数,若存在,则拒绝该密钥分配请求;若不存在,
则在密钥申请记录表中当前已分配设备数量大于0且小于N的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段中的计数置为1;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段中的计数加1。
进一步地,所述待共享密钥的用户数量上限N的具体数值,可以由密钥分配网络设定,也可以由可穿戴设备向密钥分配网络发出的密钥分配请求中携带。
进一步地,所述密钥分配请求还包括经由可穿戴设备获取的用户生物识别信息,和/或所述可穿戴设备的设备信息;
所述密钥分配网络接收到任一可穿戴设备发送的密钥分配请求后,均根据所述用户生物识别信息和/或所述设备信息进行身份认证,若认证通过,根据随机数进行密钥分配;若认证不通过,则拒绝所述可穿戴设备的密钥分配请求。
进一步地,所述密钥分配网络预先存储注册用户的生物识别信息和相应的可穿戴设备的绑定关系表;所述身份认证包括:在预先存储的绑定关系表中查找是否存在与接收到的用户生物识别信息和/或可穿戴设备的设备信息相一致的记录,若查找到,则认证通过,若未查找到,则认证不通过。
进一步地,若身份认证未通过,执行以下一种或多种操作:
(1)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,以语音或者其他形式向周围或特定机构报警;
(2)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,实时采集当前所在位置,每隔设定时间间隔发送到密钥分配网络;
(3)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,删除预存的与密钥分配网络之间的共享密钥,以及删除存储的其他敏感信息;
(4)密钥分配网络对所述可穿戴设备注销或暂停其使用权限。
进一步地,所述多个可穿戴设备中的一个作为发起方首先向密钥分配网络发送密钥分配请求,所述密钥分配请求中包括随机数和允许与自己共享同一密钥的其他用户身份信息。
进一步地,密钥分配网络的绑定关系表中还存储与各可穿戴设备绑定的用户身份信息,密钥申请记录表中还包含一项“指定共享者”信息;
密钥分配网络接收到某个密钥分配请求后,首先判断其中的随机数是否包含在密钥申请记录表中,
若否,则该密钥分配请求为发起方,如果请求中携带有“指定共享者”信息,则在为其分配密钥的同时,还将密钥分配请求中携带的“指定共享者”写入密钥申请记录表中;
若是,如果所述随机数所对应的密钥当前已分配设备数量大于0且小于N,进一步检测申请者是否在该密钥对应的指定共享者列表中,如果不在表中,则拒绝为其分配密钥。
进一步地,所述可穿戴设备获取所述业务密钥,将所述业务密钥以编码形式显示,供移动终端扫描。
进一步地,所述可穿戴设备将所述业务密钥分成多段,依次以编码形式显示,供移动终端扫描。
进一步地,所述可穿戴设备预先存储与密钥分配网络之间的共享量子密钥,用于与密钥分配网络之间通信的加密和解密。
进一步地,所述移动终端预先存储与其待扫描的可穿戴设备之间的共享量子密钥,用于所述业务密钥的加密和解密。
一个或多个实施例提供了一种基于可穿戴设备的密钥分配系统,包括:
多个可穿戴设备,分别向密钥分配网络发送密钥分配请求,所述密钥分配请求包括随机数;
密钥分配网络,接收所述密钥分配请求,向随机数相同的可穿戴设备分配通信所需的业务密钥。
进一步地,所述密钥分配网络管理密钥申请记录表,所述记录表中包括以下字段:申请随机数、密钥标识和所述密钥的分配情况;其中,所述密钥的分配情况对当前已分配所述密钥的可穿戴设备进行计数,和/或记录所述可穿戴设备的设备信息。
进一步地,待共享密钥的用户数量上限为N,N≥2;所述向随机数相同的可穿戴设备分配通信所需的业务密钥包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中查找当前已分配设备数量等于N的密钥申请记录中,查找是否存在所述随机数,若存在,则拒绝该密钥分配请求;若不存在,
则在密钥申请记录表中当前已分配设备数量大于0且小于N的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段中的计数置为1;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段中的计数加1。
进一步地,所述共享密钥的用户数量上限N的具体数值,可以由密钥分配网络设定,也可以由可穿戴设备向密钥分配网络发出的密钥分配请求中携带。
进一步地,所述密钥分配请求还包括经由可穿戴设备获取的用户生物识别信息,和/或所述可穿戴设备的设备信息;
所述密钥分配网络接收到任一可穿戴设备发送的密钥分配请求后,均根据所述用户生物识别信息和/或所述设备信息进行身份认证,若认证通过,根据随机数进行密钥分配;若认证不通过,则拒绝所述可穿戴设备的密钥分配请求。
进一步地,所述密钥分配网络预先存储注册用户的生物识别信息和相应的可穿戴设备的绑定关系表;所述身份认证包括:在预先存储的绑定关系表中查找是否存在与接收到的用户生物识别信息和/或可穿戴设备的设备信息相一致的记录,若查找到,则认证通过,若未查找到,则认证不通过。
进一步地,若身份认证未通过,执行以下一种或多种操作:
(1)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,以语音或者其他形式向周围或特定机构报警;
(2)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,实时采集当前所在位置,每隔设定时间间隔发送到密钥分配网络;
(3)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,删除预存的与密钥分配网络之间的共享密钥,以及删除存储的其他敏感信息;
(4)密钥分配网络对所述可穿戴设备注销或暂停其使用权限。
进一步地,所述多个可穿戴设备中的一个作为发起方首先向密钥分配网络发送密钥分配请求,所述密钥分配请求中包括随机数和允许与自己共享同一密钥的其他用户身份。
进一步地,密钥分配网络的绑定关系表中还存储与各可穿戴设备绑定的用户身份信息,密钥申请记录表中还包含一项“指定共享者”信息;
密钥分配网络接收到某个密钥分配请求后,首先判断其中的随机数是否包含在密钥申请记录表中,
若否,则该密钥分配请求为发起方,如果请求中携带有“指定共享者”信息,则在为其分配密钥的同时,还将密钥分配请求中携带的“指定共享者”写入密钥申请记录表中;
若是,如果所述随机数所对应的密钥当前已分配设备数量大于0且小于N,进一步检测申请者是否在该密钥对应的指定共享者列表中,如果不在表中,则拒绝为其分配密钥。
进一步地,所述系统还包括移动终端,自可穿戴设备获取所述业务密钥;所述可穿戴设备将获取的所述业务密钥以编码形式显示,供移动终端扫描。
进一步地,所述可穿戴设备将所述业务密钥分成多段,依次以编码形式显示,供移动终端扫描。
进一步地,所述可穿戴设备预先存储与密钥分配网络之间的共享量子密钥,用于与密钥分配网络之间通信的加密和解密。
进一步地,所述移动终端预先存储与其待扫描的可穿戴设备之间的共享量子密钥,用于所述业务密钥的加密和解密。
一个或多个实施例提供了一种密钥分配网络,
接收多个可穿戴设备分别发送的密钥分配请求,所述密钥分配请求中包括随机数;
向随机数相同的可穿戴设备分配相同的业务密钥。
进一步地,所述密钥分配网络管理密钥申请记录表,所述记录表中包括以下字段:申请随机数、密钥标识和所述密钥的分配情况;其中,所述密钥的分配情况对当前已分配所述密钥的可穿戴设备进行计数,和/或记录所述可穿戴设备的设备信息。
进一步地,待共享密钥的用户数量上限为N,N≥2;所述向随机数相同的可穿戴设备分配通信所需的业务密钥包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中查找当前已分配设备数量等于N的密钥申请记录中,查找是否存在所述随机数,若存在,则拒绝该密钥分配请求;若不存在,
则在密钥申请记录表中当前已分配设备数量大于0且小于N的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段中的计数置为1;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段中的计数加1。
进一步地,所述共享密钥的用户数量上限N的具体数值,可以由密钥分配网络设定,也可以由可穿戴设备向密钥分配网络发出的密钥分配请求中携带。
进一步地,所述密钥分配请求还包括经由可穿戴设备获取的用户生物识别信息,和/或所述可穿戴设备的设备信息;
所述密钥分配网络接收到任一可穿戴设备发送的密钥分配请求后,均根据所述用户生物识别信息和/或所述设备信息进行身份认证,若认证通过,根据随机数进行密钥分配;若认证不通过,则拒绝所述可穿戴设备的密钥分配请求。
进一步地,所述密钥分配网络预先存储注册用户的生物识别信息和相应的可穿戴设备的绑定关系表;所述身份认证包括:在预先存储的绑定关系表中查找是否存在与接收到的用户生物识别信息和/或可穿戴设备的设备信息相一致的记录,若查找到,则认证通过,若未查找到,则认证不通过。
进一步地,接收发起方可穿戴设备发送的密钥分配请求,所述密钥分配请求包括随机数和允许与自己共享同一密钥的其他用户身份信息。
进一步地,密钥分配网络的绑定关系表中还存储与各可穿戴设备绑定的用户身份信息,密钥申请记录表中还包含一项“指定共享者”信息;
密钥分配网络接收到某个密钥分配请求后,首先判断其中的随机数是否包含在密钥申请记录表中,
若否,则该密钥分配请求为发起方,如果请求中携带有“指定共享者”信息,则在为其分配密钥的同时,还将密钥分配请求中携带的“指定共享者”写入密钥申请记录表中;
若是,如果所述随机数所对应的密钥当前已分配设备数量大于0且小于N,进一步检测申请者是否在该密钥对应的指定共享者列表中,如果不在表中,则拒绝为其分配密钥。
进一步地,所述密钥分配网络预先存储与可穿戴设备之间的共享量子密钥,用于与可穿戴设备之间通信的加密和解密。
一个或多个实施例提供了一种可穿戴设备,预先存储随机数;
向密钥分配网络发送密钥分配请求,所述密钥分配请求包括所述随机数;
接收所述密钥分配网络分配的业务密钥。
进一步地,所述密钥分配请求还包括所述可穿戴设备采集的用户生物识别信息,和/或所述可穿戴设备的设备信息,和/或密钥分配人数上限,和/或密钥的“指定共享者”信息。
进一步地,将所述业务密钥以编码形式显示,供移动终端扫描。
进一步地,将所述业务密钥分成多段,依次以编码形式显示,供移动终端扫描。
进一步地,所述可穿戴设备预先存储与密钥分配网络之间的共享量子密钥,用于与密钥分配网络之间通信的加密和解密。
进一步地,所述可穿戴设备预先存储与移动终端之间的共享量子密钥,用于与移动终端之间通信的加密和解密。
一个或多个实施例提供了一种保密通信方法,基于上述分配方法得到的业务密钥进行保密通信。
本发明的有益效果
1、采用本发明的密钥分配方法,待建立通信的用户仅需要约定一个随机数并存储至可穿戴设备中,即可通过密钥分配网络获取随机密钥,使用者能够随时随意更换、分发新业务密钥,安全性明显提高。
2、采用本发明的密钥分配方法,手机或者其他移动终端无需任何硬件改造,任何通信类APP如果想为自己添加这样的高强度安全保障,只要在自己软件内部集成扫描二维码获取密钥并使用的功能即可。该方案同时兼顾了提高安全性的需求和普通手机用户对易用性的需求,对APP开发者也较为简便。
3、本发明使用具有上传生物识别信息功能的可穿戴设备作为密钥分配网络和实际使用量子密钥进行通信的移动终端之间的隔离器,解决了为合法的移动终端动态分配量子密钥的问题,密钥分配网络认可的是可穿戴设备上传的生物识别信息,保证了分配密钥的移动终端是其持有者本人。
4、本发明使用二维码光学扫描方式来解决量子密钥传输的“最后一公里”,能够有效防范蓝牙等近场无线传输方式的信号泄漏问题。出于更严格的安全考虑,为了避免移动终端和可穿戴设备之间的明文传输,移动终端和对应的可穿戴设备可以均预先存储二者之间的共享量子密钥,可穿戴设备将加密的业务密钥以二维码的形式显示,移动终端扫描所述二维码,解密得到业务密钥。这样,即使可穿戴设备上的二维码图形被其他摄像设备、拍照设备拍下,攻击者也无法通过非法扫描来获取密钥。
附图说明
构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。
图1为密钥分配的方法流程图;
图2为基于可穿戴设备的密钥分配一个示例的流程示意图。
具体实施方式
应该指出,以下详细说明都是示例性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明中所称的移动终端包括但不限于手机、平板,能够进行网络连接的电子设备均适用于本发明的移动终端。
本发明中所述的可穿戴设备包括但不限于智能戒指、智能手环、智能手表、智能项链等与人体接触及随身携带的小型设备。可穿戴设备具有生物信息识别功能、无线联网传输数据的功能、密钥存储功能、二维码显示功能。
可穿戴设备入网:即可穿戴设备事先注册到密钥分配网络,并预先存储与密钥分配网络之间的共享量子密钥。其中,注册方式是:可穿戴设备持有者(可以是个人,或可穿戴设备的生产设备商、销售商、使用机构)首先去密钥分配网络的运营机构办理注册入网的相关手续,密钥分配网络的运营机构负责审核用户的入网申请,如审核通过,则为每一台申请入网的可穿戴设备颁发一个由密钥分配网络分配的全网内独一无二的量子身份号,该量子身份号被存储在申请入网的可穿戴设备的永久存储介质中。由于每次传输的密钥或生物信息字节数不多,因此即使采用一次一密,可穿戴设备上在注册时预存的与密钥分配网络间的共享密钥也可以使用很长时间。如果出于提高安全性的考虑,可以定期更换存储在可穿戴设备上的共享密钥。一种方法是密钥分配网络生成新密钥,并用旧的共享密钥加密新的共享密钥,下发到可穿戴设备上。
正式使用可穿戴设备前,使用者要将自己的生物识别信息提供给密钥分配网络,供后者识别验证。所述生物识别信息可以是心跳信息、血压信息、指纹信息、视网膜信息、虹膜信息、声纹信息、静脉信息、面部信息、笔迹签名信息中的一种或几种,通过可穿戴设备采集并提交到密钥分配网络。
实施例一
本实施例公开了一种密钥分配方法,如图1所示,
步骤1:多个可穿戴设备分别向密钥分配网络发送密钥分配请求,所述密钥分配请求包括随机数;
步骤2:密钥分配网络接收所述密钥分配请求,向随机数相同的可穿戴设备分配通信所需的业务密钥。
其中,所述随机数可以是提前约定的,存入所述多个可穿戴设备;也可以是所述多个可穿戴设备中的任一个生成的,再与其他可穿戴设备共享。
所述密钥分配网络管理密钥申请记录表,所述记录表中包括以下字段:申请随机数、密钥标识和所述密钥的分配情况。其中,所述密钥的分配情况对当前已分配所述密钥的可穿戴设备进行计数,和/或记录所述可穿戴设备的设备信息。
具体地,当所述密钥分配网络生成新的量子密钥时,存储所述量子密钥并生成所述量子密钥的标识信息,在密钥申请记录表中创建新的记录,将所述标识信息录入密钥标识字段,并置分配情况字段为“未分配”,或赋初值为0。
一个或多个实施例中,待共享密钥的用户数量为N=2,如表1所示,所述分配情况包括:
未分配给任何人,记为未分配;
已经分配给一方,记为未完全分配;
已经分配给双方,记为完全分配。
表1密钥申请记录表示例
序号 申请随机数 密钥标识 分配情况
1 5a9bec90256f83 密钥A 完全分配
2 20a7b33a9811c4 密钥B 未完全分配
3 密钥C 未分配
所述向随机数相同的可穿戴设备分配通信所需的业务密钥具体包括:
步骤2.1:获取密钥分配请求中的随机数;
步骤2.2:在密钥申请记录表中所有的“未完全分配”项中查找是否存在所述随机数:
若不存在,将所述记录表中任一未分配过的量子随机密钥发送至所述可穿戴设备,并将所述随机数填入对应的“申请随机数”中,将表中该密钥所属项的“分配情况”置为“未完全分配”;
若存在,即在表中的“未完全分配”项中找到了该随机数,则将该随机数对应的量子随机密钥发送至所述可穿戴设备,并将相应的“分配情况”置为“完全分配”。
一个或多个实施例中,上述分配方法可以扩展到两个用户以上的情形,所述待共享密钥的用户数量上限为N,N≥2,所述向随机数相同的可穿戴设备分配通信所需的业务密钥具体包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中查找当前已分配设备数量等于N(完全分配)的密钥申请记录中,查找是否存在所述随机数,若存在,则拒绝该密钥分配请求;若不存在,
则在密钥申请记录表中当前已分配设备数量大于0且小于N(未完全分配)的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段中的计数置为1;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段中的计数加1。
一个或多个实施例中,所述上限N的具体数值,可以由密钥分配网络设定,也可以由多个待共享同一业务密钥的可穿戴设备中,最早向密钥分配网络发出密钥分配请求的那个可穿戴设备的密钥分配请求中携带。
例如,用户X先向密钥分配网络发出了密钥分配请求,其随机数为5a9bec90256f83,同时附带了此次共享密钥的上限用户数量10,则此后发送同一随机数5a9bec90256f83到密钥分配网络的用户们,将按照先到先得的原则,最多共有10个人可以被分配得到随机数5a9bec90256f83在密钥申请记录表中对应的业务密钥。
一个或多个实施例中,上述密钥分配方法可以扩展到不限制共享密钥的用户数量上限的情形,即只要合法的可穿戴设备持有约定好的随机数发起密钥分配请求,密钥分配网络就向其分配该随机数对应的密钥。
一个或多个实施例中,所述密钥分配请求还包括由可穿戴设备获取的持有者的用户生物识别信息,和/或所述可穿戴设备的设备信息。所述密钥分配网络接收到任一可穿戴设备发送的密钥分配请求后,均根据所述用户生物识别信息和/或所述设备信息进行身份认证,若认证通过,根据随机数进行密钥分配;若认证不通过,则拒绝所述可穿戴设备的密钥分配请求。
密钥分配网络预先存储注册用户的生物识别信息和相应的可穿戴设备的绑定关系表,表中包括用户的生物识别信息,以及用户的可穿戴设备的设备信息。
所述身份认证是指在绑定关系表中查找是否存在与接收到的用户生物识别信息,和/或可穿戴设备的设备信息相一致的记录,若存在,则认证通过,反之,认证不通过。
一个或多个实施例中,若身份认证不通过,则执行以下一种或多种操作:
(1)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,以语音或者其他形式向周围或特定机构报警;
(2)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,实时采集当前所在位置,每隔设定时间间隔发送到密钥分配网络;
(3)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,删除预存的与密钥分配网络之间的共享密钥,以及删除存储的其他敏感信息;
(4)密钥分配网络对所述可穿戴设备注销或暂停其使用权限。
一个或多个实施例中,密钥分配网络的绑定关系表中还存储与各可穿戴设备绑定的用户身份信息(例如手机号码、社交网络账号等)。在此情况下,所述多个可穿戴设备中的一个作为发起方首先发送密钥分配请求,并在密钥分配请求中指定允许与自己共享同一密钥的其他用户身份。此时,密钥申请记录表中还包含一项“指定共享者”信息。
密钥分配网络接收到某个密钥分配请求后,如果其中的随机数不包含在密钥申请记录表中,则该密钥分配请求为发起方,如果请求中携带有“指定共享者”信息,则在为其分配密钥的同时,还要将密钥分配请求中携带的“指定共享者”写入密钥申请记录表中,如表2所示:
表2密钥申请记录表示例
Figure BDA0002195976120000121
如果密钥分配请求中携带的随机数所对应的密钥处于未完全分配的状态,还需要进一步检测申请者是否在该密钥对应的指定共享者列表中,如果不在表中,则拒绝为其分配密钥。
一个或多个实施例中,所述分配情况存储所有已经申请到该量子随机密钥的申请者的信息,这样也可以计算申请者的数量,存储的申请者信息还可以用于进一步权限控制或者附加服务等其他用途。
更多实际的应用场景中,可穿戴设备并不会直接作为通信工具,直接采用可穿戴设备进行语音通话或文字信息通信,更多的是采用移动终端。基于此,所述方法还进一步地包括:
步骤3:可穿戴设备将接收到的所述业务密钥提供给移动终端。
多个用户均采用移动终端自可穿戴设备获取该业务密钥,基于所述业务密钥进行保密通信。
一个或多个实施例中,所述可穿戴设备将接收到的所述业务密钥优选以二维码的形式提供给移动终端。
一个或多个实施例中,由于二维码的信息量有限,因此如果密钥量稍大以至于可穿戴设备的显示屏无法完整展示该密钥,可穿戴设备可以将密钥K分成几份,逐一转换成二维码,供移动终端扫描。
一个或多个实施例中,所述多个可穿戴设备均事先注册到密钥分配网络,并预先存储与密钥分配网络之间的共享量子密钥。所述共享量子密钥用于可穿戴设备与密钥分配网络信息通信之间的加密和解密。
由于二维码的信息量有限,移动终端共享的量子随机密钥K容量不大,其使用方式可以是作为密钥种子来生成可供一次一密使用的业务密钥;也可以作为现有传统对称加密算法(如3DES、AES等)的业务密钥使用,虽然这样无法达到完全的一次一密,但与现有传统对称加密应用经常很久不更换密钥(因为难以实现便捷安全的密钥分发)相比,本实施例给出的方法可以让使用者随时随意更换、分发新业务密钥,安全性明显提高,而且手机或者其他移动终端无需任何硬件改造,任何通信类APP如果想为自己添加这样的高强度安全保障,只要在自己软件内部集成扫描二维码获取密钥并使用的功能即可。该方案同时兼顾了提高安全性的需求和普通手机用户对易用性的需求,对APP开发者也较为简便。
在一个或多个实施例中,移动终端和可穿戴设备之间采用无线或有线方式连接;出于更严格的安全考虑,为了避免移动终端和可穿戴设备之间的明文传输,还可以将移动终端和对应的可穿戴设备都注册到密钥分配网络中,移动终端和对应的可穿戴设备均预先存储二者之间的共享量子密钥。可穿戴设备将所述业务密钥进行加密,将加密后的业务密钥以二维码的形式显示;移动终端扫描所述二维码,解密得到业务密钥。这样,即使可穿戴设备上的二维码图形被其他摄像设备、拍照设备拍下,攻击者也无法通过非法扫描来获取密钥。
为了更清楚地阐述本发明,下面通过一个双方通信的实例描述本实施例。如图2所示:
可穿戴设备W1与可穿戴设备W2约定一个一次性的随机数,这个随机数可以是W1或W2所属的一方生成,再告知另外一方。
①可穿戴设备W1采集本方用户的生物识别信息,与所述随机数一起,使用与密钥分配网络Q间的共享量子密钥加密,发送到密钥分配网络Q;
②密钥分配网络Q收到W1发送的信息后将其解密,在自身存储的生物识别信息库中查找W1发送的生物识别信息,做比较验证,如果符合,密钥分配网络Q生成一段量子随机密钥K,使用与可穿戴设备W1之间的共享量子密钥对K加密,将其下发到可穿戴设备W1,并将密钥申请记录表中的分配情况置为“未完全分配”;
③可穿戴设备W1收到量子随机密钥K后,将其中包含的信息转换为二维码,显示在可穿戴设备W1的屏幕上;移动终端T1扫描所述二维码,获得量子随机密钥K;
④可穿戴设备W2采集本方用户的生物识别信息,与所述随机数一起,使用与密钥分配网络Q间的共享量子密钥加密,发送到密钥分配网络Q;
⑤密钥分配网络Q收到W2发送的信息后将其解密,在自身存储的生物识别信息库中查找W2发送的生物识别信息,做比较验证,如果符合,密钥分配网络Q在密钥申请记录表中“未完全分配”的记录中查找所述随机数,若查找到,将相应的量子随机密钥K使用与可穿戴设备W2之间的共享量子密钥对K加密,将其下发到可穿戴设备W2;
⑥可穿戴设备W2收到量子随机密钥K后,将其中包含的信息转换为二维码,显示在可穿戴设备W2的屏幕上;移动终端T2扫描所述二维码,获得量子随机密钥K。
移动终端T1与T2可以使用共享的量子随机密钥K进行保密通信。
实施例二
基于实施例一的密钥分配方法,本实施例提供了一种密钥分配系统,包括:
多个可穿戴设备,分别向密钥分配网络发送密钥分配请求,所述密钥分配请求包括随机数;
密钥分配网络,接收所述密钥分配请求,向随机数相同的可穿戴设备分配通信所需的业务密钥。
其中,所述随机数可以是提前约定的,存入所述多个可穿戴设备;也可以是所述多个可穿戴设备中的任一个生成的,再与其他可穿戴设备共享。
所述密钥分配网络管理密钥申请记录表,所述记录表中包括以下字段:申请随机数、密钥标识和所述密钥的分配情况。其中,所述密钥的分配情况对当前已分配所述密钥的可穿戴设备进行计数,和/或记录所述可穿戴设备的设备信息。
一个或多个实施例中,待共享密钥的用户数量为N=2,所述分配情况包括:
未分配给任何人,记为未分配;
已经分配给一方,记为未完全分配;
已经分配给双方,记为完全分配。
所述向随机数相同的可穿戴设备分配通信所需的业务密钥具体包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中未完全分配的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段置为未完全分配;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段置为完全分配。
一个或多个实施例中,上述分配方法可以扩展到两个用户以上的情形,所述待共享密钥的用户数量上限为N,N≥2,所述向随机数相同的可穿戴设备分配通信所需的业务密钥具体包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中查找当前已分配设备数量等于N(完全分配)的密钥申请记录中,查找是否存在所述随机数,若存在,则拒绝该密钥分配请求;若不存在,
则在密钥申请记录表中当前已分配设备数量大于0且小于N(未完全分配)的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段中的计数置为1;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段中的计数加1。
一个或多个实施例中,所述上限N的具体数值,可以由密钥分配网络设定,也可以由多个待共享同一业务密钥的可穿戴设备中,最早向密钥分配网络发出密钥分配请求的那个可穿戴设备的密钥分配请求中携带。
一个或多个实施例中,上述密钥分配方法可以扩展到不限制共享密钥的用户数量上限的情形,即只要合法的可穿戴设备持有约定好的随机数发起密钥分配请求,密钥分配网络就向其分配该随机数对应的密钥。
一个或多个实施例中,所述密钥分配请求还包括由可穿戴设备获取的持有者的用户生物识别信息,和/或所述可穿戴设备的设备信息。所述密钥分配网络接收到任一可穿戴设备发送的密钥分配请求后,均根据所述用户生物识别信息和/或所述设备信息进行身份认证,若认证通过,根据随机数进行密钥分配;若认证不通过,则拒绝所述可穿戴设备的密钥分配请求。
密钥分配网络预先存储注册用户的生物识别信息和相应的可穿戴设备的绑定关系表,表中包括用户的生物识别信息,以及用户的可穿戴设备的设备信息。
所述身份认证是指在绑定关系表中查找是否存在与接收到的用户生物识别信息,和/或可穿戴设备的设备信息相一致的记录,若存在,则认证通过,反之,认证不通过。
一个或多个实施例中,若身份认证不通过,则执行以下一种或多种操作:
(1)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,以语音或者其他形式向周围或特定机构报警;
(2)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,实时采集当前所在位置,每隔设定时间间隔发送到密钥分配网络;
(3)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,删除预存的与密钥分配网络之间的共享密钥,以及删除存储的其他敏感信息;
(4)密钥分配网络对所述可穿戴设备注销或暂停其使用权限。
一个或多个实施例中,密钥分配网络的绑定关系表中还存储与各可穿戴设备绑定的用户身份信息(例如手机号码、社交网络账号等)。在此情况下,所述多个可穿戴设备中的一个作为发起方首先发送密钥分配请求,并在密钥分配请求中指定允许与自己共享同一密钥的其他用户身份。此时,密钥申请记录表中还包含一项“指定共享者”信息。
密钥分配网络接收到某个密钥分配请求后,如果其中的随机数不包含在密钥申请记录表中,则说明该密钥分配请求的提出者为此次共享密钥的首先发起方,如果其请求中携带有“指定共享者”信息,则在为其分配密钥的同时,还要将密钥分配请求中携带的“指定共享者”写入密钥申请记录表中。
如果密钥分配请求中携带的随机数所对应的密钥处于未完全分配的状态,还需要进一步检测申请者是否在该密钥对应的指定共享者列表中,如果不在表中,则拒绝为其分配密钥。
一个或多个实施例中,所述分配情况存储所有已经申请到该量子随机密钥的申请者的信息,这样也可以计算申请者的数量,存储的申请者信息还可以用于进一步权限控制或者附加服务等其他用途。
一个或多个实施例中,所述可穿戴设备预先存储与密钥分配网络之间的共享量子密钥,用于与密钥分配网络之间通信的加密和解密。
更多实际的应用场景中,可穿戴设备并不会直接作为通信工具,直接采用可穿戴设备进行语音通话或文字信息通信,更多的是采用移动终端。基于此,所述系统还进一步地包括:
移动终端,自可穿戴设备获取所述业务密钥。
多个用户均采用移动终端自可穿戴设备获取该业务密钥,基于所述业务密钥进行保密通信。
一个或多个实施例中,所述可穿戴设备将接收到的所述业务密钥优选以二维码的形式提供给移动终端。
一个或多个实施例中,由于二维码的信息量有限,因此如果密钥量稍大以至于可穿戴设备的显示屏无法完整展示该密钥,可穿戴设备可以将密钥K分成几份,逐一转换成二维码,供移动终端扫描。
一个或多个实施例中,所述多个可穿戴设备均事先注册到密钥分配网络,并预先存储与密钥分配网络之间的共享量子密钥。所述共享量子密钥用于可穿戴设备与密钥分配网络信息通信之间的加密和解密。
实施例三
本实施例提供了一种密钥分配网络。
接收多个可穿戴设备分别发送的密钥分配请求,所述密钥分配请求中包括随机数;
向随机数相同的可穿戴设备分配相同的业务密钥。
所述密钥分配网络管理密钥申请记录表,所述记录表中包括以下字段:申请随机数、密钥标识和所述密钥的分配情况;其中,所述密钥的分配情况对当前已分配所述密钥的可穿戴设备进行计数,和/或记录所述可穿戴设备的设备信息。
一个或多个实施例中,待共享密钥的用户数量为N=2;所述向随机数相同的可穿戴设备分配通信所需的业务密钥包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中未完全分配的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段置为未完全分配;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段置为完全分配。
一个或多个实施例中,上述分配方法可以扩展到两个用户以上的情形,所述待共享密钥的用户数量上限为N,N≥2;所述向随机数相同的可穿戴设备分配通信所需的业务密钥包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中查找当前已分配设备数量等于N(完全分配)的密钥申请记录中,查找是否存在所述随机数,若存在,则拒绝该密钥分配请求;若不存在,
则在密钥申请记录表中当前已分配设备数量大于0且小于N(未完全分配)的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段中的计数置为1;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段中的计数加1。
一个或多个实施例中,所述上限N的具体数值,可以由密钥分配网络设定,也可以由多个待共享同一业务密钥的可穿戴设备中,最早向密钥分配网络发出密钥分配请求的那个可穿戴设备的密钥分配请求中携带。
一个或多个实施例中,上述密钥分配方法可以扩展到不限制共享密钥的用户数量上限的情形,即只要合法的可穿戴设备持有约定好的随机数发起密钥分配请求,密钥分配网络就向其分配该随机数对应的密钥。
一个或多个实施例中,所述密钥分配请求还包括经由可穿戴设备获取的用户生物识别信息,和/或所述可穿戴设备的设备信息;
所述密钥分配网络接收到任一可穿戴设备发送的密钥分配请求后,均根据所述用户生物识别信息和/或所述设备信息进行身份认证,若认证通过,根据随机数进行密钥分配;若认证不通过,则拒绝所述可穿戴设备的密钥分配请求。
一个或多个实施例中,所述密钥分配网络预先存储注册用户的生物识别信息和相应的可穿戴设备的绑定关系表,表中包括用户的生物识别信息,以及用户的可穿戴设备的设备信息;所述身份认证包括:在预先存储的绑定关系表中查找是否存在与接收到的用户生物识别信息和/或可穿戴设备的设备信息相一致的记录,若查找到,则认证通过,若未查找到,则认证不通过。
一个或多个实施例中,若身份认证不通过,则执行以下一种或多种操作:
(1)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,以语音或者其他形式向周围或特定机构报警;
(2)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,实时采集当前所在位置,每隔设定时间间隔发送到密钥分配网络;
(3)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,删除预存的与密钥分配网络之间的共享密钥,以及删除存储的其他敏感信息;
(4)密钥分配网络对所述可穿戴设备注销或暂停其使用权限。
一个或多个实施例中,密钥分配网络的绑定关系表中还存储与各可穿戴设备绑定的用户身份信息(例如手机号码、社交网络账号等)。在此情况下,所述多个可穿戴设备中的一个作为发起方首先发送密钥分配请求,并在密钥分配请求中指定允许与自己共享同一密钥的其他用户身份。此时,密钥申请记录表中还包含一项“指定共享者”信息。
密钥分配网络接收到某个密钥分配请求后,如果其中的随机数不包含在密钥申请记录表中,则该密钥分配请求为发起方,如果请求中携带有“指定共享者”信息,则在为其分配密钥的同时,还要将密钥分配请求中携带的“指定共享者”写入密钥申请记录表中。
如果密钥分配请求中携带的随机数所对应的密钥处于未完全分配的状态,还需要进一步检测申请者是否在该密钥对应的指定共享者列表中,如果不在表中,则拒绝为其分配密钥。
一个或多个实施例中,所述分配情况存储所有已经申请到该量子随机密钥的申请者的信息,这样也可以计算申请者的数量,存储的申请者信息还可以用于进一步权限控制或者附加服务等其他用途。
一个或多个实施例中,所述密钥分配网络预先存储与可穿戴设备之间的共享量子密钥,用于与可穿戴设备之间通信的加密和解密。
实施例四
本实施例提供了一种可穿戴设备,预先存储随机数;
向密钥分配网络发送密钥分配请求,所述密钥分配请求包括所述随机数;
接收所述密钥分配网络分配的业务密钥。
一个或多个实施例中,所述密钥分配请求还包括所述可穿戴设备采集的用户生物识别信息,和/或所述可穿戴设备的设备信息,和/或密钥分配人数上限,和/或密钥的“指定共享者”信息。
一个或多个实施例中,所述可穿戴设备接收所述业务密钥后,将所述业务密钥以编码形式显示,供移动终端扫描。
一个或多个实施例中,若所述业务密钥较大,将所述业务密钥分成多段,依次以编码形式显示,供移动终端扫描。
一个或多个实施例中,所述可穿戴设备将接收到的所述业务密钥优选以二维码的形式提供给移动终端。
一个或多个实施例中,所述可穿戴设备预先存储与密钥分配网络之间的共享量子密钥,用于与密钥分配网络之间通信的加密和解密。
一个或多个实施例中,所述可穿戴设备预先存储与移动终端之间的共享量子密钥,用于与移动终端之间通信的加密和解密。
本发明的有益效果
1、采用本发明的密钥分配方法,待建立通信的用户仅需要约定一个随机数并存储至可穿戴设备中,即可通过密钥分配网络获取随机密钥,使用者能够随时随意更换、分发新业务密钥,安全性明显提高。
2、采用本发明的密钥分配方法,手机或者其他移动终端无需任何硬件改造,任何通信类APP如果想为自己添加这样的高强度安全保障,只要在自己软件内部集成扫描二维码获取密钥并使用的功能即可。该方案同时兼顾了提高安全性的需求和普通手机用户对易用性的需求,对APP开发者也较为简便。
3、本发明使用具有上传生物识别信息功能的可穿戴设备作为密钥分配网络和实际使用量子密钥进行通信的移动终端之间的隔离器,解决了为合法的移动终端动态分配量子密钥的问题,密钥分配网络认可的是可穿戴设备上传的生物识别信息,保证了分配密钥的移动终端是其持有者本人。
4、本发明使用二维码光学扫描方式来解决量子密钥传输的“最后一公里”,能够有效防范蓝牙等近场无线传输方式的信号泄漏问题。出于更严格的安全考虑,为了避免移动终端和可穿戴设备之间的明文传输,移动终端和对应的可穿戴设备可以均预先存储二者之间的共享量子密钥,可穿戴设备将加密的业务密钥以二维码的形式显示,移动终端扫描所述二维码,解密得到业务密钥。这样,即使可穿戴设备上的二维码图形被其他摄像设备、拍照设备拍下,攻击者也无法通过非法扫描来获取密钥。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。例如,本申请虽然针对的是量子密钥的密钥分配问题,但通过某些常规手段的等效变换,使其适用于其他类型密钥的密钥分配,也应包含在本申请的保护范围之内。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围之内。

Claims (36)

1.一种基于可穿戴设备的密钥分配方法,其特征在于,包括以下步骤:
多个可穿戴设备分别向密钥分配网络发送密钥分配请求,所述密钥分配请求包括随机数;
密钥分配网络接收所述密钥分配请求,向随机数相同的可穿戴设备分配通信所需的业务密钥;
所述密钥分配网络管理密钥申请记录表,所述记录表中包括以下字段:申请随机数、密钥标识和所述密钥的分配情况;其中,所述密钥的分配情况对当前已分配所述密钥的可穿戴设备进行计数,和/或记录所述可穿戴设备的设备信息;
待共享密钥的用户数量上限为N,N≥2;所述向随机数相同的可穿戴设备分配通信所需的业务密钥包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中查找当前已分配设备数量等于N的密钥申请记录中,查找是否存在所述随机数,若存在,则拒绝该密钥分配请求;若不存在,
则在密钥申请记录表中当前已分配设备数量大于0且小于N的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段中的计数置为1;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段中的计数加1。
2.如权利要求1所述的一种基于可穿戴设备的密钥分配方法,其特征在于,
所述待共享密钥的用户数量上限N的具体数值,由密钥分配网络设定,或由可穿戴设备向密钥分配网络发出的密钥分配请求中携带。
3.如权利要求1-2任一项所述的一种基于可穿戴设备的密钥分配方法,其特征在于,所述密钥分配请求还包括经由可穿戴设备获取的用户生物识别信息,和/或所述可穿戴设备的设备信息;
所述密钥分配网络接收到任一可穿戴设备发送的密钥分配请求后,均根据所述用户生物识别信息和/或所述设备信息进行身份认证,若认证通过,根据随机数进行密钥分配;若认证不通过,则拒绝所述可穿戴设备的密钥分配请求。
4.如权利要求3所述的一种基于可穿戴设备的密钥分配方法,其特征在于,
所述密钥分配网络预先存储注册用户的生物识别信息和相应的可穿戴设备的绑定关系表;所述身份认证包括:在预先存储的绑定关系表中查找是否存在与接收到的用户生物识别信息和/或可穿戴设备的设备信息相一致的记录,若查找到,则认证通过,若未查找到,则认证不通过。
5.如权利要求3所述的一种基于可穿戴设备的密钥分配方法,其特征在于,若身份认证未通过,执行以下一种或多种操作:
(1)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,以语音或者其他形式向周围或特定机构报警;
(2)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,实时采集当前所在位置,每隔设定时间间隔发送到密钥分配网络;
(3)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,删除预存的与密钥分配网络之间的共享密钥,以及删除存储的其他敏感信息;
(4)密钥分配网络对所述可穿戴设备注销或暂停其使用权限。
6.如权利要求1所述的一种基于可穿戴设备的密钥分配方法,其特征在于,所述多个可穿戴设备中的一个作为发起方首先向密钥分配网络发送密钥分配请求,所述密钥分配请求中包括随机数和允许与自己共享同一密钥的其他用户身份信息。
7.如权利要求4所述的一种基于可穿戴设备的密钥分配方法,其特征在于,密钥分配网络的绑定关系表中还存储与各可穿戴设备绑定的用户身份信息,密钥申请记录表中还包含一项“指定共享者”信息;
密钥分配网络接收到某个密钥分配请求后,首先判断其中的随机数是否包含在密钥申请记录表中,
若否,则该密钥分配请求为发起方,如果请求中携带有“指定共享者”信息,则在为其分配密钥的同时,还将密钥分配请求中携带的“指定共享者”写入密钥申请记录表中;
若是,如果所述随机数所对应的密钥当前已分配设备数量大于0且小于N,进一步检测申请者是否在该密钥对应的指定共享者列表中,如果不在表中,则拒绝为其分配密钥。
8.如权利要求1所述的一种基于可穿戴设备的密钥分配方法,其特征在于,所述可穿戴设备获取所述业务密钥,将所述业务密钥以编码形式显示,供移动终端扫描。
9.如权利要求8所述的一种基于可穿戴设备的密钥分配方法,其特征在于,所述可穿戴设备将所述业务密钥分成多段,依次以编码形式显示,供移动终端扫描。
10.如权利要求1所述的一种基于可穿戴设备的密钥分配方法,其特征在于,所述可穿戴设备预先存储与密钥分配网络之间的共享量子密钥,用于与密钥分配网络之间通信的加密和解密。
11.如权利要求8或9所述的一种基于可穿戴设备的密钥分配方法,其特征在于,所述移动终端预先存储与其待扫描的可穿戴设备之间的共享量子密钥,用于所述业务密钥的加密和解密。
12.一种基于可穿戴设备的密钥分配系统,其特征在于,包括:
多个可穿戴设备,分别向密钥分配网络发送密钥分配请求,所述密钥分配请求包括随机数;
密钥分配网络,接收所述密钥分配请求,向随机数相同的可穿戴设备分配通信所需的业务密钥;
所述密钥分配网络管理密钥申请记录表,所述记录表中包括以下字段:申请随机数、密钥标识和所述密钥的分配情况;其中,所述密钥的分配情况对当前已分配所述密钥的可穿戴设备进行计数,和/或记录所述可穿戴设备的设备信息;
待共享密钥的用户数量上限为N,N≥2;所述向随机数相同的可穿戴设备分配通信所需的业务密钥包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中查找当前已分配设备数量等于N的密钥申请记录中,查找是否存在所述随机数,若存在,则拒绝该密钥分配请求;若不存在,
则在密钥申请记录表中当前已分配设备数量大于0且小于N的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段中的计数置为1;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段中的计数加1。
13.如权利要求12所述的一种基于可穿戴设备的密钥分配系统,其特征在于,
所述待共享密钥的用户数量上限N的具体数值,由密钥分配网络设定,或由可穿戴设备向密钥分配网络发出的密钥分配请求中携带。
14.如权利要求12-13任一项所述的一种基于可穿戴设备的密钥分配系统,其特征在于,所述密钥分配请求还包括经由可穿戴设备获取的用户生物识别信息,和/或所述可穿戴设备的设备信息;
所述密钥分配网络接收到任一可穿戴设备发送的密钥分配请求后,均根据所述用户生物识别信息和/或所述设备信息进行身份认证,若认证通过,根据随机数进行密钥分配;若认证不通过,则拒绝所述可穿戴设备的密钥分配请求。
15.如权利要求14所述的一种基于可穿戴设备的密钥分配系统,其特征在于,所述密钥分配网络预先存储注册用户的生物识别信息和相应的可穿戴设备的绑定关系表;所述身份认证包括:在预先存储的绑定关系表中查找是否存在与接收到的用户生物识别信息和/或可穿戴设备的设备信息相一致的记录,若查找到,则认证通过,若未查找到,则认证不通过。
16.如权利要求14所述的一种基于可穿戴设备的密钥分配系统,其特征在于,若身份认证未通过,执行以下一种或多种操作:
(1)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,以语音或者其他形式向周围或特定机构报警;
(2)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,实时采集当前所在位置,每隔设定时间间隔发送到密钥分配网络;
(3)密钥分配网络向所述可穿戴设备发送报警信号,所述可穿戴设备接收到报警信号后,删除预存的与密钥分配网络之间的共享密钥,以及删除存储的其他敏感信息;
(4)密钥分配网络对所述可穿戴设备注销或暂停其使用权限。
17.如权利要求12所述的一种基于可穿戴设备的密钥分配系统,其特征在于,所述多个可穿戴设备中的一个作为发起方首先向密钥分配网络发送密钥分配请求,所述密钥分配请求中包括随机数和允许与自己共享同一密钥的其他用户身份。
18.如权利要求15所述的一种基于可穿戴设备的密钥分配系统,其特征在于,密钥分配网络的绑定关系表中还存储与各可穿戴设备绑定的用户身份信息,密钥申请记录表中还包含一项“指定共享者”信息;
密钥分配网络接收到某个密钥分配请求后,首先判断其中的随机数是否包含在密钥申请记录表中,
若否,则该密钥分配请求为发起方,如果请求中携带有“指定共享者”信息,则在为其分配密钥的同时,还将密钥分配请求中携带的“指定共享者”写入密钥申请记录表中;
若是,如果所述随机数所对应的密钥当前已分配设备数量大于0且小于N,进一步检测申请者是否在该密钥对应的指定共享者列表中,如果不在表中,则拒绝为其分配密钥。
19.如权利要求12所述的一种基于可穿戴设备的密钥分配系统,其特征在于,所述系统还包括移动终端,自可穿戴设备获取所述业务密钥;所述可穿戴设备将获取的所述业务密钥以编码形式显示,供移动终端扫描。
20.如权利要求19所述的一种基于可穿戴设备的密钥分配系统,其特征在于,所述可穿戴设备将所述业务密钥分成多段,依次以编码形式显示,供移动终端扫描。
21.如权利要求12所述的一种基于可穿戴设备的密钥分配系统,其特征在于,所述可穿戴设备预先存储与密钥分配网络之间的共享量子密钥,用于与密钥分配网络之间通信的加密和解密。
22.如权利要求19或20所述的一种基于可穿戴设备的密钥分配系统,其特征在于,所述移动终端预先存储与其待扫描的可穿戴设备之间的共享量子密钥,用于所述业务密钥的加密和解密。
23.一种密钥分配网络,其特征在于,
接收多个可穿戴设备分别发送的密钥分配请求,所述密钥分配请求中包括随机数;
向随机数相同的可穿戴设备分配相同的业务密钥;
所述密钥分配网络管理密钥申请记录表,所述记录表中包括以下字段:申请随机数、密钥标识和所述密钥的分配情况;其中,所述密钥的分配情况对当前已分配所述密钥的可穿戴设备进行计数,和/或记录所述可穿戴设备的设备信息;
待共享密钥的用户数量上限为N,N≥2;所述向随机数相同的可穿戴设备分配通信所需的业务密钥包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中查找当前已分配设备数量等于N的密钥申请记录中,查找是否存在所述随机数,若存在,则拒绝该密钥分配请求;若不存在,
则在密钥申请记录表中当前已分配设备数量大于0且小于N的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段中的计数置为1;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段中的计数加1。
24.如权利要求23所述的一种密钥分配网络,其特征在于,
所述待共享密钥的用户数量上限N的具体数值,由密钥分配网络设定,或由可穿戴设备向密钥分配网络发出的密钥分配请求中携带。
25.如权利要求23-24任一项所述的一种密钥分配网络,其特征在于,所述密钥分配请求还包括经由可穿戴设备获取的用户生物识别信息,和/或所述可穿戴设备的设备信息;
所述密钥分配网络接收到任一可穿戴设备发送的密钥分配请求后,均根据所述用户生物识别信息和/或所述设备信息进行身份认证,若认证通过,根据随机数进行密钥分配;若认证不通过,则拒绝所述可穿戴设备的密钥分配请求。
26.如权利要求25所述的一种密钥分配网络,其特征在于,所述密钥分配网络预先存储注册用户的生物识别信息和相应的可穿戴设备的绑定关系表;所述身份认证包括:在预先存储的绑定关系表中查找是否存在与接收到的用户生物识别信息和/或可穿戴设备的设备信息相一致的记录,若查找到,则认证通过,若未查找到,则认证不通过。
27.如权利要求23所述的一种密钥分配网络,其特征在于,接收发起方可穿戴设备发送的密钥分配请求,所述密钥分配请求包括随机数和允许与自己共享同一密钥的其他用户身份信息。
28.如权利要求26所述的一种密钥分配网络,其特征在于,密钥分配网络的绑定关系表中还存储与各可穿戴设备绑定的用户身份信息,密钥申请记录表中还包含一项“指定共享者”信息;
密钥分配网络接收到某个密钥分配请求后,首先判断其中的随机数是否包含在密钥申请记录表中,
若否,则该密钥分配请求为发起方,如果请求中携带有“指定共享者”信息,则在为其分配密钥的同时,还将密钥分配请求中携带的“指定共享者”写入密钥申请记录表中;
若是,如果所述随机数所对应的密钥当前已分配设备数量大于0且小于N,进一步检测申请者是否在该密钥对应的指定共享者列表中,如果不在表中,则拒绝为其分配密钥。
29.如权利要求23所述的一种密钥分配网络,其特征在于,所述密钥分配网络预先存储与可穿戴设备之间的共享量子密钥,用于与可穿戴设备之间通信的加密和解密。
30.一种可穿戴设备,其特征在于,预先存储随机数;
向密钥分配网络发送密钥分配请求,所述密钥分配请求包括所述随机数;
接收所述密钥分配网络分配的业务密钥;
所述密钥分配网络管理密钥申请记录表,所述记录表中包括以下字段:申请随机数、密钥标识和所述密钥的分配情况;其中,所述密钥的分配情况对当前已分配所述密钥的可穿戴设备进行计数,和/或记录所述可穿戴设备的设备信息;
待共享密钥的用户数量上限为N,N≥2;所述密钥分配网络向可穿戴设备分配通信所需的业务密钥包括:
获取密钥分配请求中的随机数;
在密钥申请记录表中查找当前已分配设备数量等于N的密钥申请记录中,查找是否存在所述随机数,若存在,则拒绝该密钥分配请求;若不存在,
则在密钥申请记录表中当前已分配设备数量大于0且小于N的密钥申请记录中,查找是否存在所述随机数:
若不存在,获取所述记录表中任一未分配过的密钥标识,将其对应的量子随机密钥发送至所述可穿戴设备;并在所述密钥标识所在记录的申请随机数字段中写入所述随机数,分配情况字段中的计数置为1;
若存在,将该随机数对应的量子随机密钥发送至所述可穿戴设备,并在所述随机数所在记录的分配情况字段中的计数加1。
31.如权利要求30所述的一种可穿戴设备,其特征在于,所述密钥分配请求还包括所述可穿戴设备采集的用户生物识别信息,和/或所述可穿戴设备的设备信息,和/或密钥分配人数上限,和/或密钥的“指定共享者”信息。
32.如权利要求30所述的一种可穿戴设备,其特征在于,将所述业务密钥以编码形式显示,供移动终端扫描。
33.如权利要求32所述的一种可穿戴设备,其特征在于,将所述业务密钥分成多段,依次以编码形式显示,供移动终端扫描。
34.如权利要求30所述的一种可穿戴设备,其特征在于,所述可穿戴设备预先存储与密钥分配网络之间的共享量子密钥,用于与密钥分配网络之间通信的加密和解密。
35.如权利要求32或33所述的一种可穿戴设备,其特征在于,所述可穿戴设备预先存储与移动终端之间的共享量子密钥,用于与移动终端之间通信的加密和解密。
36.一种保密通信方法,其特征在于,基于如权利要求1-11任一项分配方法得到的业务密钥进行保密通信。
CN201910857912.3A 2019-09-09 2019-09-09 一种密钥分配方法、系统和可穿戴设备 Active CN112564892B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910857912.3A CN112564892B (zh) 2019-09-09 2019-09-09 一种密钥分配方法、系统和可穿戴设备
PCT/CN2020/113814 WO2021047476A1 (zh) 2019-09-09 2020-09-07 一种密钥分配方法、系统和可穿戴设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910857912.3A CN112564892B (zh) 2019-09-09 2019-09-09 一种密钥分配方法、系统和可穿戴设备

Publications (2)

Publication Number Publication Date
CN112564892A CN112564892A (zh) 2021-03-26
CN112564892B true CN112564892B (zh) 2022-02-22

Family

ID=74866843

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910857912.3A Active CN112564892B (zh) 2019-09-09 2019-09-09 一种密钥分配方法、系统和可穿戴设备

Country Status (2)

Country Link
CN (1) CN112564892B (zh)
WO (1) WO2021047476A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113781715B (zh) * 2021-09-03 2023-05-26 深圳市丰巢网络技术有限公司 一种智能柜格口封禁方法、装置、存储介质及电子设备
CN117119449B (zh) * 2023-10-20 2024-01-19 长江量子(武汉)科技有限公司 车云安全通信方法及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110243331A1 (en) * 2008-12-10 2011-10-06 Nec Corporation Shared random numbers management method and management system in secret communication network
CN104618109B (zh) * 2014-12-31 2018-04-27 国家电网公司 一种基于数字签名的电力终端数据安全传输方法
CN105704729B (zh) * 2016-01-22 2019-03-08 南京大学 一种采用改进的人工蜂群算法的无线传感器部署方法
CN106452750B (zh) * 2016-10-19 2019-05-03 长春大学 一种用于移动设备的量子加密通信方法
CN106789000A (zh) * 2016-12-13 2017-05-31 北京握奇智能科技有限公司 一种基于tee技术和可穿戴设备的私密通话系统和方法
US10390218B2 (en) * 2017-02-17 2019-08-20 At&T Intellectual Property I, L.P. Dynamically requesting mobile devices to report network information
CN109561056B (zh) * 2017-09-27 2021-08-13 山东量子科学技术研究院有限公司 一种保密通信方法、系统、移动终端和可穿戴设备
CN109951381B (zh) * 2019-04-24 2021-03-12 长春大学 一种基于量子密钥公共云服务平台的邮件安全传输方法

Also Published As

Publication number Publication date
WO2021047476A1 (zh) 2021-03-18
CN112564892A (zh) 2021-03-26

Similar Documents

Publication Publication Date Title
US11937081B2 (en) Quorum-based secure authentication
US20220007188A1 (en) Techniques for enabling computing devices to identify when they are in proximity to one another
CN112468287B (zh) 一种密钥分配方法、系统、移动终端和可穿戴设备
CN104967511B (zh) 加密数据的处理方法及装置
US20140185806A1 (en) Secure short message service (sms) communications
WO2019056957A1 (zh) 数据处理、身份认证方法及系统、终端
US9165149B2 (en) Use of a mobile telecommunication device as an electronic health insurance card
CN106572427B (zh) 一种近距离通信的建立方法和装置
US20150304321A1 (en) An image management system and an image management method based on fingerprint authentication
CN107333263B (zh) 一种改进型的sim卡以及移动通信身份识别方法和系统
CN112564892B (zh) 一种密钥分配方法、系统和可穿戴设备
CN102867157A (zh) 移动终端和数据保护方法
US11575658B2 (en) Encryption device, a communication system and method of exchanging encrypted data in a communication network
US11405782B2 (en) Methods and systems for securing and utilizing a personal data store on a mobile device
JP2017516343A (ja) アドレス帳保護方法、装置及び通信システム
US20040013269A1 (en) Device and method for securing information associated with a subscriber in a communication apparatus
TW200421811A (en) Multiple pairing control method
CN113240836A (zh) 采用二维码的蓝牙锁连接方法及相关配置系统
WO2016046405A1 (en) Data sharing using body coupled communication
CN114666786A (zh) 一种基于电信智能卡的身份认证方法及系统
WO2017008423A1 (zh) 一种通信方法及设备、存储介质
WO2019216847A2 (en) A sim-based data security system
JPH10243470A (ja) 携帯電話機セキュリティコード割当システム及び方法
CN106533686B (zh) 加密通信方法和系统、通信单元、客户端
CN108337385A (zh) 一种利用安全设备建立通话连接的系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant