CN114124388B - 一种基于量子密钥的Gossip协议同步方法 - Google Patents
一种基于量子密钥的Gossip协议同步方法 Download PDFInfo
- Publication number
- CN114124388B CN114124388B CN202210096834.1A CN202210096834A CN114124388B CN 114124388 B CN114124388 B CN 114124388B CN 202210096834 A CN202210096834 A CN 202210096834A CN 114124388 B CN114124388 B CN 114124388B
- Authority
- CN
- China
- Prior art keywords
- node
- nodes
- quantum key
- note1
- quantum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出了一种基于量子密钥的Gossip协议同步方法,量子密钥分发网络中的量子密钥分发节点使用量子密钥分发技术为分布式网络中的对应节点分发一对一的共享量子密钥,使得分布式网络中的相邻节点之间具有共享量子密钥;分布式网络中各节点之间使用量子密钥进行身份认证,各节点之间通过广播完成节点间的信息交换,并将交换的信息保存至本地的节点状态信息中;分布式网络中各节点间使用量子密钥对同步数据进行安全保护。本发明将大大提高通信双方共享密钥分发的安全性,从而提高Gossip协议数据同步过程的安全性。
Description
技术领域
本发明涉及量子通信技术领域,具体涉及一种基于量子密钥的Gossip协议同步方法。
背景技术
Gossip是一种去中心化、容错并保证最终一致性的协议。协议的实现过程是由种子节点发起,当一个种子节点有状态需要更新到网络中的其他节点时,它会随机的选择周围几个节点广播消息,收到消息的节点也会重复该过程,直至最终网络中所有的节点都收到了消息。这个过程可能需要一定的时间,由于不能保证某个时刻所有节点都收到消息,但是理论上最终所有节点都会收到消息,因此Gossip是一个最终一致性协议。Gossip协议可以应用于分布式网络中的数据同步,例如应用于区块链网络,保持区块链网络中账本信息等数据的一致性;
Gossip的基本过程为:
1. 某个节点有一个需要同步给其他节点的消息;
2. 该节点随机选取一定数量的相邻节点,并将消息发送给选取的节点;
3. 收到消息的节点再随机选取一定数量的相邻节点,并将消息发送给选取的节点;
4. 如此不断反复,直到每个节点都收到消息。
为保证数据同步的安全性,当前Gossip协议的身份认证、加密传输及完整性保护通常采用TLS协议进行,节点之间进行数据同步之前需要获取对方的公钥证书,使用数字证书进行双方的身份认证、会话密钥协商等。但是现有技术中,使用TLS协议进行数据同步时,通常,需要在数据传输前获取对方的公钥证书用于身份认证和会话密钥协商。随着计算能力提高,基于计算复杂度的非对称密码算法存在被破解的风险,因此将导致通信双方的公私钥被攻击者破解从而冒充双方身份进行通信,同时也将导致受双方公私钥保护的密钥协商过程被攻击,导致协商的会话密钥被窃取。另外,通信双方使用TLS协议协商的会话密钥使用经典随机数生成,由于经典物理是决定性的,在获知所有条件的情况下,产生的数据序列是可以预测的,随机数被预测也将倒是会话密钥被窃取,从而对数据传输的安全性造成破坏。
发明内容
为了解决上述技术问题,本发明提出了一种基于量子密钥的Gossip协议同步方法,包括如下步骤:
步骤1、量子密钥分发网络中的量子密钥分发节点使用量子密钥分发技术为分布式网络中的对应节点分发一对一的共享量子密钥,使得分布式网络中的相邻节点之间具有共享量子密钥;
步骤2、分布式网络中各节点之间使用密钥进行身份认证,各节点之间通过广播完成节点间的信息交换,并将交换的信息保存至本地的节点状态信息中;
步骤3、分布式网络中各节点间使用量子密钥对同步数据进行安全保护。
进一步地,所述步骤2中,分布式网络中各节点之间使用密钥进行身份认证,具体包括如下步骤:
步骤2.1、由节点Note1发起验证申请,节点Note2根据节点Note1的标识验证其合法性,验证通过后发出一串随机数R2给节点Note1;
步骤2.2、节点Note1验证节点Note2标识的合法性,根据使用的消息鉴别算法所需的密钥长度,从节点Note1与节点Note2的共享量子密钥中选取相应长度的密钥Key1计算随机数R2的消息鉴别码R2MAC,节点Note1生成随机数R1与消息鉴别码R2MAC一起发送给节点Note2;
步骤2.3、节点Note2使用与节点Note1的对应的密钥Key1对随机数R2计算消息鉴别码R2MAC’,如果R2MAC’=R2MAC,则节点Note1的身份验证通过,节点Note2选取根据消息鉴别算法所需的密钥长度,选取与节点Note1之间的密钥Key2对R1计算消息鉴别码R1MAC,并发送给节点Note1;
步骤2.4、同样地,节点Note1对消息鉴别码R1MAC进行验证,双方身份验证通过后,节点Note1和Note2分别将对方的身份验证状态更新到各自的节点状态信息中。
进一步地,所述步骤3具体包括如下步骤:
步骤3.1、节点Note1根据加密算法所需的量子密钥长度,从与节点Note2的共享量子密钥中选择相应长度的量子密钥QKeyEncID1对要同步的数据Data进行加密生成密文EncData;
步骤3.2、同时,节点Note1根据消息鉴别算法所需的密钥长度,选择相应的密钥QKeyAucID1,对数据Data进行带密钥的消息鉴别运算得到消息鉴别码DataMAC;
步骤3.3、节点Note1将包含QKeyEncID1、QKeyAucID1、EncData、DataMAC的同步数据发送至节点Note2;
步骤3.4、节点Note2收到节点Note1发送的所述同步数据后,根据节点Note1使用的量子密钥QKeyEncID1选择与其对应的量子密钥QKeyEncID2对密文数据EncData进行解密,得到明文Data;对明文Data进行消息鉴别运算得到消息鉴别码DataMAC’,如果DataMAC’=DataMAC,则节点Note2收到的所述同步数据消息确实来自节点于Note1。
进一步地,所述步骤1中,利用量子密钥中继技术,将分布式网络中具有一对一共享量子密钥的节点的共享量子密钥中继到其他节点,从而使分布式网络中任意两个节点间均具有所述共享量子密钥。
进一步地,所述步骤2中,所述交换的信息包括:分布式网络节点的标识、该分布式网络节点接入的量子密钥分发网络节点的标识。
进一步地,所述步骤1中,分布式网络中的相邻节点之间具有的共享量子密钥的密钥量为预先设定,若预先设定所需的密钥量为QkeyLen字节,则分布式网络中的节点从量子密钥分发网络获取的固定密钥量为预先设定所需的密钥量QkeyLen与该分布式网络中的节点的原有密钥量的差值。
进一步地,所述步骤2中,分布式网络中的在线节点通过周期性广播“alive”消息来表明其可用性,所述节点状态信息包括:分布式网络节点的标识、该分布式网络节点接入的量子密钥分发网络节点的标识、共享量子密钥量、在线状态和身份验证状态。
进一步地,所述消息鉴别算法为基于哈希算法的鉴别算法或基于堆成密码算法的鉴别算法。
进一步地,量子密钥分发节点之间为量子信道,在向分发网络中的节点分发一对一共享量子密钥之前,量子密钥分发节点之间首先通过量子密钥分发技术分配共享量子密钥。
使用本申请的技术方案,在进行Gossip协议进行数据同步时,可以使用具有较高安全性的量子密钥分发技术来为同步节点间分发一对一共享量子密钥,通信双方即可使用量子密钥进行数据同步过程的身份认证、数据加密和完整性保护。一方面使用基于量子力学的量子密钥分发技术,因量子态具有不可克隆、不确定性和测量塌缩的特性,所以保证了量子密钥分发过程中密钥不可被有效地窃听;另一方面量子密钥分发使用的量子随机数源基于量子力学的概率性本质,具有不可预测性和无周期性,可以产生不可预测的真随机数。基于以上两点,采用本方案将大大提高通信双方共享密钥分发的安全性,从而提高Gossip协议数据同步过程的安全性。
有益技术效果:
1.现有Gossip协议使用TLS进行安全保护,TLS使用非对称密钥进行对称密钥的分发,一旦计算能力得到提高,基于计算复杂度的非对称算法将面临被破解的风险,对数据传输的安全性造成威胁。根据本发明提出的方法,节点之间用于数据传输加密的对称密钥使用了量子密钥分发技术进行分配,即使计算能力提高,也可以抵御被窃取的风险,大大提高了数据传输的安全性;
2.现有Gossip协议使用非对称密码算法进行节点间的会话密钥协商,因非对称密码算法进行加解密时效率较低,因此分发的对称密钥长度较短,进行数据加解密时一般使用3DES、AES等对称加密算法,无法达到“一字一密”异或的高安全性加密等级。本发明提出的同步方法,密钥的分发由量子密钥分发网络完成,不受密钥长度的限制,最高可支持“一字一密”异或加密方式,具有高安全等级;
3.现有Gossip协议使用非对称密码算法进行节点间的会话密钥协商,使用的随机数为经典随机数,在一定条件下存在被预测的风险,易造成会话密钥的泄漏。本发明提出的同步方法,节点之间使用的量子密钥来源为量子随机数,是不可预测的真随机数,提高了密钥的随机性,从而提高数据传输的安全性。
附图说明
附图1为现有技术的Gossip协议同步方法工作原理示意图;
附图2为本发明的使用密钥保护的Gossip协议同步方法示意图;
附图3为本发明的节点间共享量子密钥分发方式示意图。
具体实施方式
通过参考该详细发明内容,可以更容易地理解本发明。本文使用的术语仅用于描述具体实施例的目的,并且不限制权利要求,除非本文具体定义,否则本文使用的术语将被赋予其相关领域中已知的传统含义。
在以下描述中,阐述了某些具体细节以便提供对各种公开的实施例的透彻理解。然而,相关领域的技术人员将认识到,可以在没有这些具体细节中的一个或多个的情况下,或者利用其他方法、组件、材料等来实践实施例。
如图1所示为现有技术中的采用Gossip协议进行数据同步的原理示意图,Note1~Note7是分布式网络中的7个节点,当然实际并不局限于图中节点所示。图1中由节点Note1发起的信息同步,将按照以下步骤,把信息同步到分布式网络中的各个节点:
(1)分布式网络中各节点在线时,各节点周期性向分布式网络中其他节点发送广播包,发送周期优选地设置为1s,完成节点之间的信息交换,信息包括节点的在线信息等;
(2)节点Note1发起信息同步,将信息分别发送到相邻的节点Note2、Note3;
(3)节点Note2对接收到的节点Note1发送的数据进行验证后,分别发送到相邻的节点Note5、Note6;节点Note3对接收到的节点Note1发送的数据进行验证后,发送的到相邻的节点Note2和Note4;
(4)节点Note6对接收到的节点Note2发送的数据进行验证后,发送到节点Note7。
经过以上四个步骤,节点Note1需要同步的信息已经同步至分布式网络中的所有节点。各节点之间在数据传输过程中,已有的Gossip协议通常使用TLS协议进行节点间的身份认证和数据传输保护,TLS协议主要采用的为非对称密码算法等基于密码学的算法。
而本发明使用量子密钥保护的Gossip协议同步方法,在原有的Gossip协议基础上,保留Gossip协议的工作流程,对数据同步过程中的身份认证和数据传输安全保护进行增强,使用基于量子力学的量子密钥分发技术为节点之间分发共享的量子密钥(量子密钥来源为具有较高安全性的量子随机数),并使用量子密钥对节点间进行身份认证,同时用于节点间传输数据的加密保护和完整性保护。
如图2所示为本发明的使用量子密钥保护的Gossip协议同步方法工作原理示意图,图2中仅示出了7个节点Note1-Note7的实施例,当然在其他实施例中,节点数目可以设为任意,并不局限为图中所示。
(1)量子密钥分发网络中的量子密钥分发节点使用量子密钥分发技术为分布式网络中的对应节点分发一对一共享量子密钥,使得分布式网络中的相邻节点之间具有共享量子密钥。
以分布式网络中的节点Note1和Note2为例,将节点Note1与Note2接入图2中的量子密钥分发网络,量子密钥分发网络中的量子密钥分发节点使用量子密钥分发技术为节点Note1和Note2之间分发一对一共享量子密钥。
如图3所示为一对一共享量子密钥的分发方式示意图,量子密钥分发节点1和量子密钥分发节点2是量子密钥分发网络中的两个节点,用于分发一对一共享量子密钥;Note1和Note2是分布式网络中的两个节点,分别接入量子密钥分发节点1和量子密钥分发节点2。
量子密钥分发节点1和量子密钥分发节点2之间为量子信道,在向分发网络中的节点分发一对一共享量子密钥之前,量子密钥分发节点之间首先通过量子密钥分发技术分配共享量子密钥;然后分别将各自的一对一共享量子密钥通过安全方式发送给节点Note1和Note2,使节点Note1和Note2之间具有共享量子密钥。通过该方式,可以为分布式网络中所有的相邻节点之间分发一对一共享量子密钥。
可通过量子密钥分发技术为量子密钥分发网络中有连接的节点分发共享量子密钥,并利用量子密钥中继技术,将量子密钥中继到其他节点,使量子密钥分发网络中的任意两个节点之间均具有共享的量子密钥,因此,分布式网络中的任意两个节点通过接入量子密钥分发网络均可获取一对一共享量子密钥。
(2)分布式网络中各节点之间使用量子密钥进行身份认证,各节点之间通过广播完成节点间的信息交换,并将交换的信息保存至本地的相邻节点状态信息中。
分布式网络中的在线节点通过周期性广播“alive/活着”消息来表明其可用性。广播消息中携带分布式网络节点的标识,以及该节点接入的量子密钥分发网络节点的标识。
以节点Note1为例,将在广播消息中携带节点Note1的标识NoteID1和其接入的量子密钥分发节点的标识QNoteID1,分布式网络中的其他节点收到广播后,以节点Note2为例,回复消息中同样携带其节点标识NoteID2和对应的量子密钥分发节点的标识QNoteID2。节点之间通过广播完成节点间的信息交换。节点将交换的信息保存至本地的相邻节点状态信息中。以节点Note1存储的相邻节点的状态信息为例,节点状态信息如表格1所示,且在其他优选实施例中相邻节点状态信息包含但不限于表格1中所示的内容:
量子密钥分发网络中的的量子密钥分发节点1(标识为QNoteID1)和量子密钥分发节点2(标识为QNoteID2的)之间通过量子密钥分发技术完成共享量子密钥的分发。分布式网络中的节点Note1通过其接入的量子密钥分发节点1(标识为QNoteID1)获取量子密钥分发节点1(标识为QNoteID1)与量子密钥分发节点2(标识为QNoteID2)之间的共享量子密钥的固定密钥量。获取的预设共享量子密钥的密钥量可以根据实际需求来确定,例如:预先设定分布式网络中节点间所需的共享量子密钥量固定为QkeyLen字节,则本次所需获取的固定密钥量即为QkeyLen与节点Note1原有密钥量(表格1中的“共享量子密钥量”)的差值,即获取固定密钥量后,两个节点之间共享量子密钥量可以达到QkeyLen字节。同样的,节点Note2通过其接入的量子密钥分发节点2(标识为QNoteID2)也可以获取量子密钥分发节点1(标识为QNoteID1)与量子密钥分发节点2(标识为QNoteID2)之间的共享量子密钥的固定密钥量。
以节点Note1为例,获取与其相邻节点Note2之间的共享量子密钥后,其本地存储的相邻节点状态信息如表格2所示,在其他优选实施例中节点状态信息包含但不限于以下表格2所示的内容:
节点Note1与节点Note2使用密钥进行身份验证,验证过程包括如下步骤:
1)由节点Note1端发起验证申请,节点Note2端根据节点Note1的标识验证其合法性,验证通过后发出一串随机数R2给节点Note1;
2)节点Note1验证节点Note2标识的合法性,根据使用的消息鉴别算法所需的密钥长度,从节点Note1与节点Note2的共享量子密钥中选取相应长度的密钥Key1计算随机数R2的消息鉴别码R2MAC,节点Note1生成随机数R1,与R2MAC一起发送给节点Note2。消息鉴别算法包含但不限于基于哈希算法HMAC的鉴别算法、基于堆成密码算法AESCBCMAC的鉴别算法等;
3)节点Note2使用与节点Note1的对应的密钥Key1对随机数R2计算得到消息鉴别码为R2MAC’,如果R2MAC’=R2MAC,则节点Note1的身份验证通过。节点Note2选取根据消息鉴别算法所需的密钥长度,选取与节点Note1之间的密钥Key2对R1计算得到消息鉴别码为R1MAC,并发送给节点Note1;
4)节点Note1使用同节点Note2在步骤3中同样的验证方法对R1MAC进行验证。双方身份验证通过后,节点Note1和Note2分别将对方的身份验证状态更新到各自本地的相邻节点状态信息中。以节点Note1为例,更新后的相邻节点状态信息如表格3所示,但在其他优选实施例中,更新后的相邻节点状态信息包含但不限于以下表格3所示的内容:
(3)分布式网络中各节点间使用量子密钥对同步数据进行安全保护。以图2中节点Note1向其他节点同步数据为例说明如下:
节点Note1在其相邻节点状态信息列表中,查看与其相邻的节点状态,如果相邻节点的在线状态为Alive且身份验证状态为“Yes”,则向其相邻的节点发送同步信息。以下以节点Note1向节点Note2同步信息过程为例进行说明。
节点Note1在步骤(1)中已获取与节点Note2的共享量子密钥。节点Note1根据加密算法所需的量子密钥长度,从与节点Note2共享量子密钥中选择相应长度的量子密钥(标识为QKeyEncID1)对要同步的数据Data进行加密生成密文EncData,同时,根据消息鉴别算法所需的密钥长度,选择相应的量子密钥(标识为QKeyAucID1),对数据Data进行带密钥的消息鉴别算法的运算得到消息鉴别码DataMAC。消息鉴别算法可以使用对称密码算法,比如3DES、AES等,也可以使用最高安全性的异或计算。节点Note1将包含QKeyEncID1、QKeyAucID1、EncData、DataMAC的同步数据发送至节点Note2;节点Note1在本步骤中使用的量子密钥QKeyEncID1、QKeyAucID1仅使用一次,用完后即清除,同时更新节点Note1“相邻节点状态信息”中的“与相邻节点的共享量子密钥量”信息。
节点Note2收到节点Note1发送的数据后,根据节点Note1使用的量子密钥QKeyEncID1选择与Note1对应的量子密钥QKeyEncID2,使用量子密钥QKeyEncID2的对密文数据EncData进行解密得到明文Data,然后使用量子密钥QKeyAucID2对明文Data进行同样的消息鉴别算法的运算(包含但不限于HMAC、AESCBCMAC等算法)得到消息鉴别码DataMAC’,如果DataMAC’=DataMAC,则说明节点Note2收到的消息确实来自节点于Note1,而不是其他节点假冒;并且数据是完整的,没有被篡改。节点Note2在本步骤中使用的量子密钥QKeyEncID2、QKeyAucID2仅使用一次,用完后即清除,同时更新节点Note2在“相邻节点状态信息”中的“与相邻节点的共享量子密钥量”信息。
通过以上使用量子密钥进行安全保护的方式,各节点之间使用Gossip协议最终完成网络中所有节点间的数据同步过程。
本发明使用量子密钥分发技术,为分布式网络中的相邻节点之间分发一对一共享量子密钥,使用量子密钥对Gossip同步过程中节点间的身份验证和数据传输安全保护。由于量子密钥分发基于量子力学,不可被窃取且具有真随机性,从而可以提高密钥分发的安全性。节点之间使用基于量子密钥分发的量子密钥进行安全加密保护和消息鉴别码保护,使安全性得到很大的提高。
本发明在Gossip同步的广播阶段,相邻节点间通过广播消息来交换各自接入量子密钥分发节点的节点标识,通过对方接入的量子密钥分发节点标识,来获取与对方节点的一对一共享量子密钥。在Gossip同步过程中,网络中各节点在本地维护相邻节点状态信息,相邻节点状态信息中心包含:本节点接入的量子密钥分发节点标识、本节点与其他节点之间的共享量子密钥量。
本发明在Gossip同步的广播阶段,同步节点使用量子密钥分发技术分发共享量子密钥之后,使用量子密钥完成节点之间的身份验证。
本发明在Gossip同步的数据传输阶段,使用量子密钥对传输的数据进行加密(加密算法包含但不限于3DES、AES、异或计算等)、带密钥的消息鉴别码运算(包含但不限于HMAC、AESCBCMAC等算法),来完成节点之间数据同步过程中的身份验证、加密保护、完整性保护。
本发明用于Gossip同步过程中的量子密钥仅使用一次,使用完成后即进行清除,减少密钥被泄露或者破解的风险,防止重放攻击等,提高同步过程的安全性。
上述实施例为本发明较佳的实施方式,这些实施例在本文中是为了说明而非限制的目的而呈现的。此外,为了便于描述,本文已经任意定义了功能构建块的边界。只要适当地执行指定的功能及其关系,就可以定义替代边界。
基于本文包含的教导,替代方案(包括本文描述的那些的等同物、扩展、变化、偏差等)对于相关领域的技术人员将是显而易见的替代方案均落入所公开的实施例的范围和精神内。此外,词语“包括”、“具有”、“含有”和“包括”以及其他类似形式旨在在含义上是等同的并且是开放式的,因为这些词语中的任何一个之后的一个或多个项目并不意味着是这样的一个或多个项目的详尽列表,或者意味着仅限于所列出的一个或多个项目。还必须注意,如本文和所附权利要求中所使用的,单数形式“一”、“一个”和“该”包括复数指代,除非上下文另有明确规定。
本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (6)
1.一种基于量子密钥的Gossip协议同步方法,其特征在于,包括如下步骤:
步骤1、量子密钥分发网络中的量子密钥分发节点使用量子密钥分发技术为分布式网络中的对应节点分发一对一的共享量子密钥,使得分布式网络中的相邻节点之间具有共享量子密钥;
利用量子密钥中继技术,将量子密钥分发网络中的量子密钥中继到其他节点,使量子密钥分发网络中的任意两个节点之间均具有共享的量子密钥,从而能够通过量子密钥分发网络为分布式网络中任意两个节点间提供一对一的共享量子密钥;
步骤2、分布式网络中各节点之间使用量子密钥进行身份认证,各节点之间通过广播完成节点间的信息交换,并将交换的信息保存至本地的节点状态信息中;
步骤2.1、由节点Note1发起验证申请,节点Note2根据节点Note1的标识验证其合法性,验证通过后发出一串随机数R2给节点Note1;
步骤2.2、节点Note1验证节点Note2标识的合法性,根据使用的消息鉴别算法所需的密钥长度,从节点Note1与节点Note2的共享量子密钥中选取相应长度的密钥Key1计算随机数R2的消息鉴别码R2MAC,节点Note1生成随机数R1与消息鉴别码R2MAC一起发送给节点Note2;
步骤2.3、节点Note2使用与节点Note1的对应的密钥Key1对随机数R2计算得到消息鉴别码R2MAC’,如果R2MAC’=R2MAC,则节点Note1的身份验证通过,节点Note2选取根据消息鉴别算法所需的密钥长度,选取与节点Note1之间的密钥Key2对R1计算得到消息鉴别码为R1MAC,并发送给节点Note1;
步骤2.4、同样地,节点Note1对消息鉴别码R1MAC进行验证,双方身份验证通过后,节点Note1和Note2分别将对方的身份验证状态更新到各自的节点状态信息中;
步骤3、分布式网络中各节点间使用量子密钥对同步数据进行安全保护;
步骤3.1、节点Note1根据加密算法所需的量子密钥长度,从与节点Note2的共享量子密钥中选择相应长度的量子密钥QKeyEncID1,对要同步的数据Data进行加密生成密文EncData;
步骤3.2、同时,节点Note1根据消息鉴别算法所需的密钥长度,选择相应的密钥QKeyAucID1,对数据Data进行带密钥的消息鉴别运算得到消息鉴别码DataMAC;
步骤3.3、节点Note1将包含QKeyEncID1、QKeyAucID1、EncData、DataMAC的同步数据发送至节点Note2;
步骤3.4、节点Note2收到节点Note1发送的所述同步数据后,根据节点Note1使用的量子密钥QKeyEncID1选择与其对应的量子密钥QKeyEncID2对密文数据EncData进行解密,得到明文Data;对明文Data进行消息鉴别运算得到消息鉴别码DataMAC’,如果DataMAC’=DataMAC,则节点Note2收到的所述同步数据消息确实来自节点于Note1。
2.根据权利要求1所述的Gossip协议同步方法,其特征在于,所述步骤2中,分布式网络中的在线节点通过周期性广播“alive”消息来表明其可用性,所述交换的信息包括:分布式网络节点的标识、所述分布式网络节点接入的量子密钥分发网络节点的标识。
3.根据权利要求1所述的Gossip协议同步方法,其特征在于,所述步骤1中,分布式网络中的相邻节点之间具有的共享量子密钥的密钥量为预先设定,若预先设定所需的密钥量为QkeyLen字节,则分布式网络中的节点从量子密钥分发网络获取的密钥量为预先设定所需的密钥量QkeyLen与分布式网络中所述节点的现有密钥量的差值。
4.根据权利要求1所述的Gossip协议同步方法,其特征在于,步骤2中,所述节点状态信息包括:分布式网络节点的标识、所述分布式网络节点接入的量子密钥分发网络节点的标识、共享量子密钥量、在线状态和身份验证状态。
5.根据权利要求1所述的Gossip协议同步方法,其特征在于,所述消息鉴别算法为基于哈希算法的鉴别算法或基于对称密码算法的鉴别算法。
6.根据权利要求1所述的Gossip协议同步方法,其特征在于,量子密钥分发节点之间为量子信道,在向分布式网络中的节点分发一对一共享量子密钥之前,量子密钥分发节点之间首先通过量子密钥分发技术分配共享量子密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210096834.1A CN114124388B (zh) | 2022-01-27 | 2022-01-27 | 一种基于量子密钥的Gossip协议同步方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210096834.1A CN114124388B (zh) | 2022-01-27 | 2022-01-27 | 一种基于量子密钥的Gossip协议同步方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124388A CN114124388A (zh) | 2022-03-01 |
| CN114124388B true CN114124388B (zh) | 2022-05-10 |
Family
ID=80361685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210096834.1A Active CN114124388B (zh) | 2022-01-27 | 2022-01-27 | 一种基于量子密钥的Gossip协议同步方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124388B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114726515B (zh) * | 2022-03-25 | 2024-08-06 | 杭州舜时科技有限公司 | 一种量子加密通信方法及相应通信系统 |
| CN114553420B (zh) * | 2022-04-21 | 2022-09-13 | 济南量子技术研究院 | 基于量子密钥的数字信封封装方法及数据保密通信网络 |
| CN117354295A (zh) * | 2022-06-28 | 2024-01-05 | 中兴通讯股份有限公司 | 基于Gossip协议的文件分发方法、系统设备及存储介质 |
| CN115865334B (zh) * | 2022-11-24 | 2023-07-21 | 北京百度网讯科技有限公司 | 量子密钥分发方法、装置及电子设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610452A (zh) * | 2009-07-15 | 2009-12-23 | 西安西电捷通无线网络通信有限公司 | 一种传感器网络鉴别与密钥管理机制的融合方法 |
| EP2366231A1 (en) * | 2008-12-05 | 2011-09-21 | Qinetiq Limited | Method of establishing a quantum key for use between network nodes |
| CN104618090A (zh) * | 2015-01-08 | 2015-05-13 | 重庆邮电大学 | 一种适用于异构传感器网络的组密钥管理方法 |
| CN108040042A (zh) * | 2017-12-05 | 2018-05-15 | 重庆邮电大学 | 一种针对多播情况下CoAP协议的安全方法 |
| CN108599925A (zh) * | 2018-03-20 | 2018-09-28 | 如般量子科技有限公司 | 一种基于量子通信网络的改进型aka身份认证系统和方法 |
| CN109818749A (zh) * | 2019-01-11 | 2019-05-28 | 如般量子科技有限公司 | 基于对称密钥池的抗量子计算点对点消息传输方法和系统 |
| CN109995510A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种量子密钥中继服务方法 |
| CN111464980A (zh) * | 2020-04-08 | 2020-07-28 | 南通大学 | 一种车联网环境下基于区块链的电子取证装置及取证方法 |
| CN113055162A (zh) * | 2021-03-10 | 2021-06-29 | 重庆邮电大学 | 一种基于国密算法的wia-pa网络安全通信方法 |
| CN113765664A (zh) * | 2021-11-10 | 2021-12-07 | 济南量子技术研究院 | 基于量子密钥的区块链网络安全通信方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491531B (zh) * | 2013-08-23 | 2016-07-06 | 中国科学技术大学 | 在电力系统WiMAX无线通信网中使用量子密钥提高电力信息传输安全性的方法 |
| CN106452791B (zh) * | 2016-11-11 | 2020-01-31 | 浙江神州量子网络科技有限公司 | 一种无信任中心的量子数字签名方法 |
| CN109995511A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种基于量子密钥分发网络的移动保密通信方法 |
| CN108429615A (zh) * | 2018-01-10 | 2018-08-21 | 如般量子科技有限公司 | 一种基于量子密钥的Stunnel通信方法和Stunnel通信系统 |
| CN108718237A (zh) * | 2018-03-20 | 2018-10-30 | 如般量子科技有限公司 | 一种基于对称密钥池的改进型aka身份认证系统和方法 |
| CN110380844B (zh) * | 2018-04-13 | 2021-01-29 | 华为技术有限公司 | 一种量子密钥分发方法、设备及存储介质 |
| CN109302288B (zh) * | 2018-11-12 | 2023-09-26 | 中共中央办公厅电子科技学院 | 一种基于量子密钥分发技术的量子保密通信网络系统及其应用 |
| CN109818756A (zh) * | 2019-03-13 | 2019-05-28 | 北京信息科技大学 | 一种基于量子密钥分发技术的身份认证系统实现方法 |
| CN112994883B (zh) * | 2021-04-22 | 2021-08-13 | 浙江九州量子信息技术股份有限公司 | 基于量子密钥及真随机数源的对称密钥协商系统及方法 |
| CN113765665B (zh) * | 2021-11-10 | 2022-02-08 | 济南量子技术研究院 | 基于量子密钥的区块链网络及数据安全传输方法 |
-
2022
- 2022-01-27 CN CN202210096834.1A patent/CN114124388B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2366231A1 (en) * | 2008-12-05 | 2011-09-21 | Qinetiq Limited | Method of establishing a quantum key for use between network nodes |
| CN101610452A (zh) * | 2009-07-15 | 2009-12-23 | 西安西电捷通无线网络通信有限公司 | 一种传感器网络鉴别与密钥管理机制的融合方法 |
| CN104618090A (zh) * | 2015-01-08 | 2015-05-13 | 重庆邮电大学 | 一种适用于异构传感器网络的组密钥管理方法 |
| CN108040042A (zh) * | 2017-12-05 | 2018-05-15 | 重庆邮电大学 | 一种针对多播情况下CoAP协议的安全方法 |
| CN109995510A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种量子密钥中继服务方法 |
| CN108599925A (zh) * | 2018-03-20 | 2018-09-28 | 如般量子科技有限公司 | 一种基于量子通信网络的改进型aka身份认证系统和方法 |
| CN109818749A (zh) * | 2019-01-11 | 2019-05-28 | 如般量子科技有限公司 | 基于对称密钥池的抗量子计算点对点消息传输方法和系统 |
| CN111464980A (zh) * | 2020-04-08 | 2020-07-28 | 南通大学 | 一种车联网环境下基于区块链的电子取证装置及取证方法 |
| CN113055162A (zh) * | 2021-03-10 | 2021-06-29 | 重庆邮电大学 | 一种基于国密算法的wia-pa网络安全通信方法 |
| CN113765664A (zh) * | 2021-11-10 | 2021-12-07 | 济南量子技术研究院 | 基于量子密钥的区块链网络安全通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124388A (zh) | 2022-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114124388B (zh) | 一种基于量子密钥的Gossip协议同步方法 | |
| US7233664B2 (en) | Dynamic security authentication for wireless communication networks | |
| CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
| US8484469B2 (en) | Method, system and equipment for key distribution | |
| US7457411B2 (en) | Information security via dynamic encryption with hash function | |
| CN101090316B (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
| US20110107086A1 (en) | Secure authentication and privacy of data communication links via dynamic key synchronization | |
| CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
| CN109981584B (zh) | 一种基于区块链的分布式社交方法 | |
| CN101651539A (zh) | 更新及分配加密密钥 | |
| WO2023082599A1 (zh) | 基于量子密钥的区块链网络安全通信方法 | |
| GB2491896A (en) | Secret key generation | |
| CN110087240B (zh) | 基于wpa2-psk模式的无线网络安全数据传输方法及系统 | |
| CN113630248B (zh) | 一种会话密钥协商方法 | |
| CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
| WO2009143766A1 (zh) | 一种密钥分配方法及系统和在线更新公钥的方法及系统 | |
| CN113193957B (zh) | 一种与量子网络分离的量子密钥服务方法与系统 | |
| CN112332986B (zh) | 一种基于权限控制的私有加密通信方法及系统 | |
| CN114362928B (zh) | 一种用于多节点间加密的量子密钥分发与重构方法 | |
| US20020199102A1 (en) | Method and apparatus for establishing a shared cryptographic key between energy-limited nodes in a network | |
| CN113193958B (zh) | 一种量子密钥服务方法与系统 | |
| CN114285550A (zh) | 一种量子安全密钥服务网络、系统与节点装置 | |
| CN114765543B (zh) | 一种量子密码网络扩展设备的加密通信方法及系统 | |
| CN114189338B (zh) | 基于同态加密技术的sm9密钥安全分发和管理系统及方法 | |
| Elmubark et al. | Fast and secure generating and exchanging a symmetric keys with different key size in TVWS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |