CN113193958B - 一种量子密钥服务方法与系统 - Google Patents
一种量子密钥服务方法与系统 Download PDFInfo
- Publication number
- CN113193958B CN113193958B CN202110503873.4A CN202110503873A CN113193958B CN 113193958 B CN113193958 B CN 113193958B CN 202110503873 A CN202110503873 A CN 202110503873A CN 113193958 B CN113193958 B CN 113193958B
- Authority
- CN
- China
- Prior art keywords
- exclusive
- key
- quantum
- server
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0858—Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明提供了一种量子密钥服务方法,包括:第一服务器获取一定数量的异或关联切片作为切片集合,每一次从中选取m个切片中的m个相关异或值并发送给第二服务器;第二服务器获取相应的量子密钥分组,为客户端提供随机数分组并创建相应的服务关联,根据服务请求把相应的m个相关异或值与m个相应的量子密钥分组异或,再进行Hash运算得到一个密钥分组;然后再采用客户端的随机数分组加密该密钥分组发送给客户端。本发明还提供了一种量子密钥服务系统,包括用于实现上述方法的量子密钥服务装置、流量服务装置。本发明可以解决量子密钥分发规模应用难题,在量子安全云服务领域具有良好的应用前景。
Description
技术领域
本发明涉及量子密钥分发服务技术领域,尤其涉及一种量子密钥服务方法与系统。
背景技术
密钥分发或协商是保密通信系统中的关键技术,通常所采用的基于经典密码算法的密钥协商的安全性是基于计算复杂度的安全性,而不具有量子安全性;而采用量子密钥分发网络的密钥协商方法面临规模应用瓶颈,即一方面,量子密钥分发网络是单跳落地转发可信中继网络,存在实时互联互通瓶颈;另一方面,量子密钥分发网络是独立于互联网的基础设施,二者之间缺少无缝适配接口。为了解决上述问题,量子密钥分发网络功能虚拟化技术被提出来,即,创建量子密钥分发网络的异或关联切片,基于静态的切片数据协商共享密钥。但是,已公开的基于量子密钥分发网络功能虚拟化技术的密钥协商的安全强度较弱,而本发明通过建立异或关联切片的切片集合,并随机从中选择多个切片中的数据进行保密增强,即从C(N,m)(N是切片集合的大小,m是所需要的切片个数)组合数中选择一个数据,可以把N个切片的端到端服务次数提升到C(N,m),并克服了单一虚拟量子链路的脆弱性,从而实现一种高安全高效率的量子密钥服务。
发明内容
为了解决背景技术中的量子密钥分发服务所存在的效率和安全问题,本发明提供了一种量子密钥服务方法,其特征在于,第一服务器获取目标量子网络的一定数量的异或关联切片,两个或多个第二服务器分别获取与上述异或关联切片关联的一定数量的量子密钥分组,上述第二服务器分别为客户端提供随机数分组并创建相应的服务关联;第二服务器响应第一客户端与第二客户端协商量子密钥的服务请求,上述第二服务器查询上述第二客户端所关联的另一个第二服务器,上述第二服务器请求第一服务器并获取m个异或值关联切片中与上述两个第二服务器关联的m个异或值(m是一个大于1且不大于切片总数量一半的自然数),并把上述m个异或值的标识发送给上述另一个第二服务器,上述两个第二服务器采用以下3个方法中的任一个进行数据处理;
方法一:上述第二服务器分别计算上述m个异或值分别与所关联的量子密钥分组的异或值,并得到与上述另一个第二服务器所关联的m个量子密钥分组,上述两个第二服务器采用相同的Hash算法对上述m个量子密钥分组进行Hash运算,并得到一个密钥分组,上述两个第二服务器分别利用相应客户端的随机数分组加密上述密钥分组并分别发送给相应的客户端,上述两个客户端分别利用相应的随机数分组解密并得到上述密钥分组;
方法二:上述第二服务器计算上述m个异或值与上述m个异或值所关联的m个量子密钥分组的异或值,对上述异或值进行Hash运算并得到一个密钥分组;上述第二服务器利用第一客户端的随机数分组加密上述密钥分组并发送给第一客户端,上述第一客户端利用相应的随机数分组解密并得到上述密钥分组;上述另一个第二服务器计算上述m个异或值所关联的m个量子密钥分组的异或值,对上述异或值进行上述Hash运算并得到一个密钥分组,利用第二客户端的随机数分组加密上述密钥分组并发送给第二客户端,上述第二客户端利用相应的随机数分组解密并得到上述密钥分组;
方法三:上述第二服务器计算上述m个异或值与上述m个异或值所关联的m个量子密钥分组的异或值并得到一个密钥分组,上述第二服务器利用第一客户端的随机数分组加密上述密钥分组并发送给第一客户端,上述第一客户端利用相应的随机数分组解密并得到上述密钥分组,上述另一个第二服务器计算上述m个异或值所关联的m个量子密钥分组的异或值并得到一个密钥分组,利用第二客户端的随机数分组加密上述密钥分组并发送给第二客户端,上述第二客户端利用相应的随机数分组解密并得到上述密钥分组;
其中,上述异或关联切片包括但不限于目标量子网络中所有任意两个第二服务器的量子密钥分组的异或值和相应的标识,上述目标量子网络包括量子密钥分发网络、量子通信网络、量子传感网络、量子安全互联网中的任一项。
进一步地,上述方法还包括:如果上述一定数量的异或关联切片或其所关联的量子密钥分组的使用次数或使用时间超过限定值,则,销毁上述量子密钥分组。
进一步地,上述方法还包括:两个第二服务器之间、两个客户端之间采用非对称密码算法、事先共享的认证密钥、或同时采用非对称密码算法和事先共享认证密钥进行身份认证。
本发明还提供了一种量子密钥服务系统,其特征在于,包括:量子密钥服务装置、流量服务装置、数据存储和处理单元、接口单元,其中,量子密钥服务装置用于获取一定数量的异或关联切片、与上述异或关联切片关联的一定数量的量子密钥分组、响应客户端的服务请求并提供密钥协商服务;流量服务装置用于为客户端提供随机数分组并创建相应的服务关联;数据存储和处理单元用于存储和处理量子密钥分组和随机数分组;接口单元用于与客户端和其他量子密钥服务系统建立通信。
本发明具有如下创新性:本发明通过建立异或关联切片的切片集合,并随机从中选择多个切片中的数据进行保密增强,即从C(N,m)组合数中选择一个数据,可以把N个切片的端到端服务次数提升到C(N,m),并克服了单一虚拟量子链路的脆弱性,具有更高的安全性和效率;另外,本发明方法是一种多中心的服务系统,服务更灵活高效安全。本发明实施例在移动保密通信、VPN网络等应用领域具有良好的应用推广前景。
附图说明
图1为本发明提供的一种量子密钥服务方法步骤示意图;
图2为本发明实施例提供的一种量子密钥服务方法流程示意图;
图3为本发明实施例提供的异或关联切片示意图;
图4为本发明实施例提供的一种量子密钥服务系统示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,作为本发明的一部分,以下结合附图及具体实施例,对本发明作进一步详细的说明。
图1给出了本发明提供的一种量子密钥服务方法步骤示意图,包括,
步骤S101:第一服务器获取目标量子网络的一定数量的异或关联切片,两个或多个第二服务器分别获取与上述异或关联切片关联的一定数量的量子密钥分组,第二服务器分别为客户端提供随机数分组并创建相应的服务关联;
步骤S102:第二服务器接收已建立服务关联的第一客户端与第二客户端协商量子密钥的服务请求,查询上述第二客户端所关联的另一个第二服务器,请求第一服务器并获取m个异或值关联切片中与两个第二服务器关联的m个异或值(m是一个大于1且不大于切片总数量一半的自然数),并把上述m个异或值的标识发送给另一个第二服务器;
步骤S103:第二服务器分别计算上述m个异或值分别与所关联的量子密钥分组的异或值,并得到与另一个第二服务器所关联的m个量子密钥分组,两个第二服务器采用相同的Hash算法对上述m个量子密钥分组进行Hash运算,并得到一个密钥分组,两个第二服务器分别利用相应客户端的随机数分组加密上述密钥分组并分别发送给相应的客户端,两个客户端分别利用相应的随机数分组解密并得到上述密钥分组。
在一种可能的实施例中,在上述实施例中,把步骤S103中的步骤替换为:第二服务器计算上述m个异或值与上述m个异或值所关联的m个量子密钥分组的异或值,对上述异或值进行Hash运算并得到一个密钥分组;上述第二服务器利用第一客户端的随机数分组加密上述密钥分组并发送给第一客户端,上述第一客户端利用相应的随机数分组解密并得到上述密钥分组;上述另一个第二服务器计算上述m个异或值所关联的m个量子密钥分组的异或值,对上述异或值进行上述Hash运算并得到一个密钥分组,利用第二客户端的随机数分组加密上述密钥分组并发送给第二客户端,上述第二客户端利用相应的随机数分组解密并得到上述密钥分组。
在另一种可能的实施例中,在上述实施例中,把步骤S103中的步骤替换为:第二服务器计算上述m个异或值与上述m个异或值所关联的m个量子密钥分组的异或值并得到一个密钥分组,上述第二服务器利用第一客户端的随机数分组加密上述密钥分组并发送给第一客户端,上述第一客户端利用相应的随机数分组解密并得到上述密钥分组,上述另一个第二服务器计算上述m个异或值所关联的m个量子密钥分组的异或值并得到一个密钥分组,利用第二客户端的随机数分组加密上述密钥分组并发送给第二客户端,上述第二客户端利用相应的随机数分组解密并得到上述密钥分组。
在一种可能的实施例中,在上述实施例的步骤S102中,第二服务器可以请求第一服务器并获取m(m是一个大于1且不大于切片总数量一半的自然数)个异或值关联切片中与两个第二服务器关联的m个异或值的异或值,由此而得到的实施例也落入本发明的保护范围。
在上述实施例中,上述请求第一服务器并获取m(m是一个大于1且不大于切片总数量一半的自然数)个异或值关联切片中与两个第二服务器关联的m个异或值包括但不限于:从上述一定数量的异或关联切片中随机选取m个,或从已编排好的m个切片组合为一个数据的数据库中按顺序选取。
在上述实施例中,上述异或关联切片包括但不限于目标量子网络中所有任意两个第二服务器的量子密钥分组的异或值和相应的标识,上述目标量子网络包括量子密钥分发网络、量子通信网络、量子传感网络、量子安全互联网中的任一项。
图2给出了本发明实施例提供的一种量子密钥服务方法流程示意图,其中包括切片服务器(第一服务器)、基站服务器A(第二服务器A)和基站服务器B(第二服务器B)、第一客户端U和第二客户端V,具体的流程包括:
步骤1:基站服务器A为第一客户端U提供随机数分组并创建相应的服务关联,基站服务器B为第二客户端V提供随机数分组并创建相应的服务关联;其中,服务关联由若干条记录组成,每一条记录代表一台已经注册的客户端的关联信息,包括但不限于客户端的ID标识、关联服务器的ID标识、随机数分组的余量信息;
步骤2:基站服务器A响应第一客户端U与第二客户端V协商量子密钥的服务请求,查询第二客户端V所关联的基站服务器B;
步骤3和4:基站服务器A请求切片服务器并随机获取m(m是一个大于1且不大于切片总数量一半的自然数,为了具体说明用法,此处假定m=3,但并不用于限定m的取值范围)个异或值关联切片中与两个第二服务器关联的m个异或值(为方便起见,记为K_a_1⊕K_b_1,K_a_2⊕K_b_2,K_a_3⊕K_b_3,其中,K_a/b_i是基站服务器A或B的第i个量子密钥分组);
步骤5:基站服务器A把上述m个异或值的标识发送给基站服务器B;
步骤6:选择以下三个方法中的任一个并得到一个实施例:
方法一:基站服务器A计算上述m个异或值与所关联的量子密钥分组的异或值,并得到m个与基站服务器B所关联的量子密钥分组,即,K_a_1⊕K_b_1⊕K_a_1=K_b_1,K_a_2⊕K_b_2⊕K_a_2=K_b_2和K_a_3⊕K_b_3⊕K_a_3=K_b_3;基站服务器A和基站服务器B采用相同的Hash算法分别对K_b_1、K_b_2和K_b_3进行Hash运算,并得到一个密钥分组(为方便起见,记为SK,例如,可以采用SM3算法,计算SK=SM3(K_b_1,K_b_2,K_b_3)),基站服务器A和基站服务器B分别利用相应客户端的随机数分组加密上述密钥分组SK并分别发送给相应的客户端,两个客户端分别利用相应的随机数分组解密并得到密钥分组SK;
方法二:基站服务器A计算上述m个异或值、上述m个异或值所关联的m个量子密钥分组的异或值,即计算,K_a_1⊕K_b_1⊕K_a_2⊕K_b_2⊕K_a_3⊕K_b_3⊕K_a_1⊕K_a_2⊕K_a_3=K_b_1⊕K_b_2⊕K_b_3;基站服务器A和基站服务器B分别对该异或值进行Hash运算并得到相同的密钥分组(为方便起见,记为SK,例如,可以采用SM3算法,计算SK=SM3(K_b_1⊕K_b_2⊕K_b_3)),基站服务器A和基站服务器B分别利用相应客户端的随机数分组加密上述密钥分组SK并分别发送给相应的客户端,两个客户端分别利用相应的随机数分组解密并得到密钥分组SK;
方法三:基站服务器A计算上述m个异或值、上述m个异或值所关联的m个量子密钥分组的异或值,即计算,K_a_1⊕K_b_1⊕K_a_2⊕K_b_2⊕K_a_3⊕K_b_3⊕K_a_1⊕K_a_2⊕K_a_3=K_b_1⊕K_b_2⊕K_b_3;并把该异或值作为一个密钥分组SK;基站服务器A和基站服务器B分别利用相应客户端的随机数分组加密上述密钥分组SK并分别发送给相应的客户端,两个客户端分别利用相应的随机数分组解密并得到密钥分组SK。
在上述实施例中,上述步骤和每一个步骤中的操作是根据对等原则和通信阶段进行的划分,实际上,上述步骤和每一个步骤中的操作还可以在不影响功能实现的前提下进行调整和重新组合,并得到新的完成上述量子密钥服务功能的实施例。显然,由此得到的新的实施例与上述实施例实质性等同,并落入本发明的保护范围。
在一种可能的实施例中,上述Hash算法可以采用SHA256、或国家商用密码标准Hash算法SM3等。
在一种可能的实施例中,在上述任一个实施例的基础上,还可以包括:两个第二服务器之间、两个客户端之间采用非对称密码算法、事先共享的认证密钥、或同时采用非对称密码算法和事先共享认证密钥进行身份认证。
在上述任一个实施例中,第一服务器可以把一定数量的异或关联切片作为一个切片集合,切片集合中的切片数量N的大小可选择固定值或变动值;实际应用系统应综合考虑切片集合的安全管理和利用效率,并结合C(N,m)的大小与重复使用的概率进行设计;并根据安全等级限定一个切片集合的使用次数或/和使用时间,本发明对此不做具体的限定,但是,基于上述方法得到的实施例也落入本发明的保护范围。
在上述任一个实施例中,上述服务关联可以存储在第三方服务器,也可以由所有第二服务器共同维护一个或多个服务关联数据库。
在上述任一个实施例中,第一服务器或切片服务器获取一定数量的异或关联切片包括以下情形中的任一个:从第三方服务器获取,通过量子网络获取。
在上述任一个实施例中,第二服务器或基站服务器分别获取与上述异或关联切片关联的一定数量的量子密钥分组包括以下情形中的任一个:第二服务器是接入量子网络的量子节点,在量子网络创建异或关联切片的过程中存储异或关联切片上述关联的量子密钥分组;第二服务器未接入量子网络,第二服务器从接入量子网络的量子节点获取与相应异或关联切片关联的量子密钥分组,并获得上述量子节点的授权。
在上述任一个实施例中,客户端包括但不限于以下任一个:与第二服务器属于同一个物理设备的应用装置,与第二服务器部署在同一个安全域的应用装置,与至少一个第二服务器建立服务关联的移动应用装置。由于第一客户端与第二客户端是对等的,其所关联的第二服务器也是对等的,因此,在上述任一个实施例中,通过改变对等装置之间的发送与接收关系而得到的实施例也落入本发明的保护范围。
在上述任一个实施例中,上述加密和解密包括:采用对称密码算法进行加密和解密、采用异或加密算法进行加密和解密。在一种可能的实施例中,上述对称密码算法可以采用AES算法、3DES、国家商用密码分组标准对称算法SM1或SM4。
在上述任一个实施例中,上述“为客户端提供随机数分组”包括产生方法和充注方法,产生方法包括但不限于:产生一定量的随机数,按一定的数据量大小进行分组,把通过随机性测试的每一个分组作为一个随机数分组;充注方法包括以下方法中的任一个:把一个或多个随机数分组发送到客户端的存储装置中、通过安全接口充注到客户端、采用加密方式发送给客户端。另外,客户端的每一个随机数分组都只使用一次,使用后即销毁;客户端可根据随机数分组的余量和使用需求进行补充。
在上述任一个实施例中,上述发送包括但不限于:加密传输,上述加密传输包括但不限于以下选项中的任一项或多项:采用对称密码算法加密传输、采用非对称密码算法加密传输、采用VPN的隧道模式或传输模式的加密传输。
在上述任一个实施例中,上述异或值、量子密钥分组、密钥分组与随机数分组具有相同的数据格式;上述密钥分组与随机数分组的比特长度包括相同和不相同两种可能情况。
在上述任一个实施例中,如果上述一定数量的异或关联切片或其所关联的量子密钥分组的使用次数或使用时间超过限定值(例如,使用次数超过了C(N,m)/2,或使用时间超过了7天,本发明对称不做具体限定),则,相应的服务器销毁上述量子密钥分组。
为了进一步说明异或关联切片的具体内容和使用方法,图3给出了一个具体的异或关联切片示意图,包括量子服务节点(第二服务器)4、5、6和7,量子中继节点1、2和3,其中,一个异或关联切片包括所有3个量子中继节点的所有异或关联{XOR_ijk}(即,一个量子中继节点与任意两个相邻节点之间共享的量子密钥的异或值,XOR_ijk是节点j与节点i之间的共享量子密钥、节点j与节点k之间的共享量子密钥的异或值,例如,XOR_412=K_4_1⊕K_2_1,其中,K_4_1是节点4与节点1之间的共享量子密钥,K_2_1是节点2与节点1之间的共享量子密钥),每一个量子服务节点与该异或关联切片关联的量子密钥分组分别为相应的量子密钥分组,即K_4、K_5、K_6、K_7。量子服务节点可以通过授权方式把与某些切片关联的量子密钥分组分发给其他服务器。量子网络管理服务器可以缓存一定数量的上述异或关联切片,即上述通过量子网络获取异或关联切片;量子网络管理服务器也可以再把一定数量的异或关联切片提供给其他服务器。
图4给出了本发明实施例提供的一种量子密钥服务系统,包括量子密钥服务装置401、流量服务装置402、数据存储和处理单元403、接口模块404和405,其中,量子密钥服务装置401用于获取一定数量的异或关联切片、与上述异或关联切片关联的一定数量的量子密钥分组、响应客户端的服务请求并提供密钥协商服务;流量服务装置402用于为客户端提供随机数分组并创建相应的服务关联;数据存储和处理单元403用于存储和处理量子密钥分组和随机数分组;接口模块404和405用于与客户端和其他量子密钥服务系统建立通信。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、系统、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管结合具体特征及其实施例对本发明进行了描述,显而易见的,在不脱离本发明的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明,且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种量子密钥服务方法,其特征在于,第一服务器获取目标量子网络的多个异或关联切片,两个或多个第二服务器分别获取与所述多个异或关联切片关联的相同数量的多个量子密钥分组,所述第二服务器分别为客户端提供随机数分组并创建相应的服务关联;第二服务器响应第一客户端与第二客户端协商量子密钥的服务请求,所述第二服务器查询所述服务请求所关联的另一个第二服务器,所述第二服务器请求第一服务器并获取m个异或关联切片中与两个第二服务器关联的m个异或值,并把所述m个异或值的标识发送给所述另一个第二服务器,两个第二服务器采用以下3个方法中的任一个进行数据处理,
方法一:所述第二服务器分别计算所述m个异或值分别与所关联的m个量子密钥分组的异或值,并得到与所述另一个第二服务器所关联的m个量子密钥分组,两个第二服务器采用相同的Hash算法对所述m个量子密钥分组进行Hash运算,并分别得到一个密钥分组,两个第二服务器分别利用相应客户端的随机数分组加密所述密钥分组并分别发送给相应的客户端,两个客户端分别利用相应的随机数分组解密并得到所述密钥分组;
方法二:所述第二服务器计算所述m个异或值与所述m个异或值所关联的m个量子密钥分组的异或值,对所述异或值进行Hash运算并得到一个密钥分组;所述第二服务器利用第一客户端的随机数分组加密所述密钥分组并发送给第一客户端,所述第一客户端利用相应的随机数分组解密并得到所述密钥分组;所述另一个第二服务器计算所述m个异或值所关联的m个量子密钥分组的异或值,对所述异或值进行所述Hash运算并得到一个密钥分组,利用第二客户端的随机数分组加密所述密钥分组并发送给第二客户端,所述第二客户端利用相应的随机数分组解密并得到所述密钥分组;
方法三:所述第二服务器计算所述m个异或值与所述m个异或值所关联的m个量子密钥分组的异或值并得到一个密钥分组,所述第二服务器利用第一客户端的随机数分组加密所述密钥分组并发送给第一客户端,所述第一客户端利用相应的随机数分组解密并得到所述密钥分组,所述另一个第二服务器计算所述m个异或值所关联的m个量子密钥分组的异或值并得到一个密钥分组,利用第二客户端的随机数分组加密所述密钥分组并发送给第二客户端,所述第二客户端利用相应的随机数分组解密并得到所述密钥分组;
其中,所述异或关联是两个密钥分组的异或值;所述异或关联切片包括目标量子网络中所有任意两个第二服务器的量子密钥分组的异或值和相应的标识;所述目标量子网络包括量子密钥分发网络、量子通信网络、量子传感网络、量子安全互联网中的任一项;m是一个大于1且不大于切片总数量一半的自然数。
2.根据权利要求1所述的一种量子密钥服务方法,包括:如果所述多个异或关联切片或其所关联的量子密钥分组的使用次数或使用时间超过限定值,则,销毁所述量子密钥分组。
3.根据权利要求1所述的一种量子密钥服务方法,包括:身份认证,其特征在于,两个第二服务器之间、两个客户端之间采用非对称密码算法、事先共享的认证密钥、或同时采用非对称密码算法和事先共享认证密钥进行身份认证。
4.根据权利要求1所述的一种量子密钥服务方法,其特征在于,所述提供随机数分组包括产生方法和充注方法,其中,所述产生方法包括:产生随机数,按设定的数据量大小对所述随机数进行分组,把通过随机性测试的每一个分组作为一个随机数分组;所述充注方法包括以下方法中的任一个:把一个或多个随机数分组发送到客户端的存储装置中、通过安全接口充注到客户端、采用加密方式发送给客户端。
5.根据权利要求1所述的一种量子密钥服务方法,其特征在于,第二服务器分别获取与所述异或关联切片关联的多个量子密钥分组包括以下情形中的任一个:第二服务器是接入量子网络的量子节点,在量子网络创建异或关联切片的过程中存储异或关联切片所述关联的量子密钥分组;第二服务器未接入量子网络,第二服务器从接入量子网络的量子节点获取与相应异或关联切片关联的量子密钥分组,并获得所述量子节点的授权。
6.根据权利要求1所述的一种量子密钥服务方法,其特征在于,所述客户端包括以下任一个:与第二服务器属于同一个物理设备的应用装置,与第二服务器部署在同一个安全域的应用装置,与至少一个第二服务器建立服务关联的移动应用装置。
7.根据权利要求1所述的一种量子密钥服务方法,其特征在于,所述加密和所述解密包括以下任一个:采用对称密码算法进行加密和解密,采用异或加密算法进行加密和解密。
8.根据权利要求1所述的一种量子密钥服务方法,其特征在于,所述发送包括:加密传输,所述加密传输包括以下选项中的任一项或多项:采用对称密码算法加密传输、采用非对称密码算法加密传输、采用VPN的隧道模式或传输模式的加密传输。
9.根据权利要求1所述的一种量子密钥服务方法,其特征在于,所述第二服务器请求第一服务器并获取m个异或关联切片中与两个第二服务器关联的m个异或值包括以下方法中的任一项:从所述多个异或关联切片中随机选取m个,从已编排好的m个切片组合为一个数据的数据库中按顺序选取。
10.一种量子密钥服务系统,用于实现如权利要求1中所述方法的量子密钥服务系统,其特征在于,包括:量子密钥服务装置,用于获取一定数量的异或关联切片、与上述异或关联切片关联的一定数量的量子密钥分组、响应客户端的服务请求并提供密钥协商服务;流量服务装置:用于为客户端提供随机数分组并创建相应的服务关联;数据存储和处理单元:用于存储和处理量子密钥分组和随机数分组;接口模块:用于与客户端和其他量子密钥服务系统建立通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110503873.4A CN113193958B (zh) | 2021-05-10 | 2021-05-10 | 一种量子密钥服务方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110503873.4A CN113193958B (zh) | 2021-05-10 | 2021-05-10 | 一种量子密钥服务方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113193958A CN113193958A (zh) | 2021-07-30 |
CN113193958B true CN113193958B (zh) | 2023-07-07 |
Family
ID=76988709
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110503873.4A Active CN113193958B (zh) | 2021-05-10 | 2021-05-10 | 一种量子密钥服务方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113193958B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114374509A (zh) * | 2021-12-25 | 2022-04-19 | 成都量安区块链科技有限公司 | 一种量子密钥服务中台系统与方法 |
CN114268441B (zh) * | 2022-03-03 | 2022-05-31 | 成都量安区块链科技有限公司 | 一种量子安全应用方法、客户端装置、服务器装置与系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9654287B2 (en) * | 2013-06-08 | 2017-05-16 | Quantumctek Co., Ltd. | Mobile secret communications method based on quantum key distribution network |
CN109104271A (zh) * | 2017-06-20 | 2018-12-28 | 山东量子科学技术研究院有限公司 | 一种数字签名的方法、装置和系统 |
CN109995513A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种低延迟的量子密钥移动服务方法 |
CN112367160A (zh) * | 2019-09-01 | 2021-02-12 | 成都量安区块链科技有限公司 | 一种虚拟量子链路服务方法与装置 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107959567B (zh) * | 2016-10-14 | 2021-07-27 | 阿里巴巴集团控股有限公司 | 数据存储方法、数据获取方法、装置及系统 |
CN109995514A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种安全高效的量子密钥移动服务方法 |
CN109995510B (zh) * | 2017-12-29 | 2022-07-15 | 成都零光量子科技有限公司 | 一种量子密钥中继服务方法 |
US10984138B1 (en) * | 2019-06-24 | 2021-04-20 | Daniel M. Esbensen | Method and system for providing highly secured transportable data |
CN110519050B (zh) * | 2019-08-19 | 2021-12-17 | 中国电子科技集团公司第三十研究所 | 基于量子真随机数交换与黑盒映射的密钥协商方法 |
CN110690928B (zh) * | 2019-09-01 | 2020-10-16 | 成都量安区块链科技有限公司 | 一种量子中继链路虚拟化方法与装置 |
CN110690962B (zh) * | 2019-09-01 | 2022-06-28 | 成都量安区块链科技有限公司 | 一种服务节点的应用方法与装置 |
CN110661620B (zh) * | 2019-09-06 | 2022-04-01 | 成都量安区块链科技有限公司 | 一种基于虚拟量子链路的共享密钥协商方法 |
CN110557253B (zh) * | 2019-10-14 | 2023-06-06 | 成都量安区块链科技有限公司 | 一种中继路由采集方法、装置及应用系统 |
CN110868290B (zh) * | 2019-11-21 | 2022-05-31 | 成都量安区块链科技有限公司 | 一种无中心管控的密钥服务方法与装置 |
CN111262699A (zh) * | 2020-03-03 | 2020-06-09 | 成都量安区块链科技有限公司 | 一种量子安全的密钥服务方法与系统 |
-
2021
- 2021-05-10 CN CN202110503873.4A patent/CN113193958B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9654287B2 (en) * | 2013-06-08 | 2017-05-16 | Quantumctek Co., Ltd. | Mobile secret communications method based on quantum key distribution network |
CN109104271A (zh) * | 2017-06-20 | 2018-12-28 | 山东量子科学技术研究院有限公司 | 一种数字签名的方法、装置和系统 |
CN109995513A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种低延迟的量子密钥移动服务方法 |
CN112367160A (zh) * | 2019-09-01 | 2021-02-12 | 成都量安区块链科技有限公司 | 一种虚拟量子链路服务方法与装置 |
Non-Patent Citations (1)
Title |
---|
基于密钥位协商的多路径量子密钥协商技术研究;赵红涛等;《中原工学院学报》;20141225(第06期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113193958A (zh) | 2021-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113193957B (zh) | 一种与量子网络分离的量子密钥服务方法与系统 | |
CN105553951A (zh) | 数据传输方法和装置 | |
CN105610793A (zh) | 一种外包数据加密存储与密文查询系统及其应用方法 | |
CN103248650A (zh) | 一种文件下载方法及系统 | |
CN113193958B (zh) | 一种量子密钥服务方法与系统 | |
CN111262699A (zh) | 一种量子安全的密钥服务方法与系统 | |
US20230188325A1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
CN110690962B (zh) | 一种服务节点的应用方法与装置 | |
CN110868290B (zh) | 一种无中心管控的密钥服务方法与装置 | |
CN103152322A (zh) | 数据加密保护方法及系统 | |
CN114124388B (zh) | 一种基于量子密钥的Gossip协议同步方法 | |
Bali et al. | Lightweight authentication for MQTT to improve the security of IoT communication | |
CN103607278A (zh) | 一种安全的数据云存储方法 | |
CN113239403A (zh) | 一种数据共享方法及装置 | |
Bhandari et al. | A framework for data security and storage in Cloud Computing | |
CN113328853A (zh) | 一种采用量子密钥提升安全性的联盟链系统 | |
CN109063496A (zh) | 一种数据处理的方法及装置 | |
CN109412788B (zh) | 基于公共密钥池的抗量子计算代理云存储安全控制方法和系统 | |
CN109302283B (zh) | 基于公共非对称密钥池的抗量子计算代理云存储方法和系统 | |
CN114362947B (zh) | 一种广域量子密钥服务方法与系统 | |
CN114285550A (zh) | 一种量子安全密钥服务网络、系统与节点装置 | |
CN115001744A (zh) | 一种云平台数据完整性验证方法及系统 | |
Fatima et al. | A Secure Framework for IoT Healthcare Data Using Hybrid Encryption | |
Xue-Zhou | Network data encryption strategy for cloud computing | |
CN111314287A (zh) | 一种公钥加密通信方式和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |