CN114556862A - 安全带外对称加密密钥传递 - Google Patents
安全带外对称加密密钥传递 Download PDFInfo
- Publication number
- CN114556862A CN114556862A CN202080055271.0A CN202080055271A CN114556862A CN 114556862 A CN114556862 A CN 114556862A CN 202080055271 A CN202080055271 A CN 202080055271A CN 114556862 A CN114556862 A CN 114556862A
- Authority
- CN
- China
- Prior art keywords
- symmetric encryption
- encryption key
- node
- network
- user device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0855—Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
网络中的受信节点执行向用户装置的安全带外对称加密密钥传递。第一受信节点接收来自第一用户装置的请求,以将对称加密密钥传递到作为用户装置对的第一用户装置和第二用户装置。第一受信节点经由受信节点将第二对称加密密钥传递到第二用户装置。第一受信节点接收传递第二对称加密密钥的确认。响应于传递的确认,第一受信节点将第一对称加密密钥传递到第一用户装置。
Description
技术领域
本实施例涉及密码通信系统和网络中的密码通信的领域。
背景技术
加密和解密通常用于通过各个网络进行的密码通信。典型的加密通信使用对称密钥来加密和解密2点之间的数据。这些密钥通常来源于开始利用同一链路进行数据交换时的迪菲-赫尔曼(Diffie-Hellman)协商。使用足够的计算能力,窃听数据链路将允许攻击方从该交换中推断(deduct)对称密钥。迄今为止这种危险尚且仅限于理论,但是量子计算机的出现使这种暴力攻击漏洞成真。
目前正在开发QKD(量子密钥分发)系统,以向双方提供具有防窃听的强大物理保障的对称密钥。QKD系统的实际使用目前受限于距离限制以及只能作为一对装置(Alice/Bob)工作而无法将网络扩展到多对Alice/Bob的事实。
发明内容
公开了一种用于安全带外对称加密密钥传递的方法。网络中的第一受信节点接收请求。该请求来自用户装置对中的第一用户装置。该请求是将对称加密密钥传递到该用户装置对。第一受信节点将对称加密密钥中的第二对称加密密钥传递到该用户装置对中的第二用户装置。对称加密密钥经由网络中的其他受信节点来传递。第一受信节点接收来自网络中的其他受信节点之一的确认。该确认是将对称加密密钥中的第二对称加密密钥传递到用户装置对中的第二用户装置。第一受信节点将对称加密密钥中的第一对称加密密钥传递到该用户装置对中的第一用户装置。该传递是响应于将对称加密密钥中的第二对称加密密钥传递到该用户装置对中的第二用户装置的确认。
公开了一种有形的非暂时性计算机可读介质。介质上具有指令,该指令在由处理器运行时使处理器执行方法。网络中的第一受信节点接收来自第一用户装置的请求。该请求是将对称加密密钥传递到第一用户装置和第二用户装置。将第二对称加密密钥从第一受信节点传递到第二用户装置。密钥经由网络中的受信节点来传递。在第一节点,从网络中的受信节点之一接收确认。这是将第二对称加密密钥传递到第二用户装置的确认。从网络中的第一受信节点传递第一对称加密密钥。第一对称加密密钥和第二对称加密密钥彼此对称。响应于将第二对称加密密钥传递到第二用户装置的确认,将第一对称加密密钥传递到第一用户装置。
公开了一种用于安全带外对称加密密钥传递的设备。该设备具有网络的多个节点,多个节点用于形成点对点或网状网络中的受信节点。作为受信节点之一的第一受信节点接收来自第一用户装置的请求以将对称加密密钥传递到第一用户装置和第二用户装置。第一受信节点将第二对称加密密钥传递到第二用户装置。密钥经由受信节点从第一受信节点传递。第一受信节点接收将第二对称加密密钥传递到第二用户装置的确认。从受信节点之一接收该确认。第一受信节点将第一对称密钥传递到第一用户装置。第一对称密钥与第二对称加密密钥对称。该传递响应于将第二对称加密密钥传递到第二用户装置的确认。
结合附图,实施例的其他方面和优点将从下面的具体实施方式中变得明显,这些附图以示例的方式示出了所描述的实施例的原理。
附图说明
结合附图,所描述的实施例及其优点可以通过参照下面的描述而得到最佳的理解。在不脱离所描述实施例的精神和范围的情况下,这些附图绝不限制本领域技术人员可以对所描述的实施例进行的形式和细节上的任意改变。
图1描绘了根据本实施例的用于带外传递密码密钥的系统。TX1至TX7表示TrustedXchange Nodes(TX节点)。U1至U4表示系统的用户。还描述了可以提供额外加密密钥的系统,类似但不限于QKD Alice/Bob对。
图2从节点TX1的角度描绘了TX节点信息收集循环(“与邻居交流(chat)”),其适用于图1的TX节点网络的实施例。
图3描绘了根据本实施例的在网状的TX节点中的带外加密密钥(“包裹(Parcel)”)传递。
图4描绘了路径计算过程的实施例,其适用于图1的带外对称密钥传递系统的实施例和图3中描绘的包裹传递的实施例。
具体实施方式
重要的是,具有在用于数据交换的信道外部传递的额外密钥对。将数据和密钥传递信道分开使得强力量子计算机攻击几乎不可能。将通过传统方法内联传递的密钥与通过使用本文所述的系统和方法的带外密钥相组合,允许在现有网络上进行低调部署,同时显著地提高加密通道对攻击的抵抗力。
本文公开的系统的各个实施例消除关于距离和网络扩展的限制,在具有或不具有QKD系统的情况下工作,并且引入具有自适应路由和容错的Trusted Xchange Nodes(即,受信交换节点或TX节点)的自组织网状网络,其也可以从可用的QKD Alice/Bob对的额外在途的(in-transit)密钥加密中受益。
本文描述了在包括网状网络和点对点网络的各种网络上实施的具有密钥传递的密码通信系统。网络中的TX节点经由具有强加密和相互认证的TLS(传输层安全)来连接,该相互认证是服务器的客户端验证和客户端的服务器验证,其中客户端和服务器是根据TLS通信定义的。
TX节点通信和协作以发现邻居,根据用户请求来生成密钥,将(一个或多个)密钥传递到所请求的(一个或多个)TX节点,确认(一个或多个)密钥的传递,查找最佳传递路由,如果相邻TX节点中的一个不可访问则查找另一路由并重复该过程。在具有可以分离、可以变化或可以不同组合的特征的实施例中,密钥为加密对称密钥(或对称加密密钥),网络为网状网络或点对点网络,和/或密钥可以在每个逐跳(hop-to-hop)传输中由外部密钥来额外加密。外部密钥可以在一个或多个网络跳(hop)或者所有网络跳中由所连接的QKDAlice/Bob对生成(例如,每个正在传递的对称密钥由该特定跳上的外部密钥包装)。一些实施例结合点对点通信来执行带外对称密钥传递。一些实施例以各种标准来执行路径优化,诸如最小化跳、或外部密钥的可用性、或外部QKD密钥的可用性。网络中的相邻节点可以通过一种或多种机制来建立信任并成为网状网络或点对点网络中的受信节点,该一种或多种机制包括单向或双向交换或者验证证书或令牌。用于建立信任、构建网状网络或点对点网络以及预先配置节点以相互信任的其他机制或协议容易按照本文的教导来设计。
图1描绘了根据本实施例的用于带外传递密码密钥的系统。TX1至TX7表示TrustedXchange Nodes(即,受信交换节点或TX节点106、108、110、112、114、116、118),U1至U4表示具有系统的相应用户装置102、120、104、122的用户。两个用户装置使用通过带外传递接收的加密密钥来相互进行带内密码(即,加密、解密)通信。还描述了可以提供额外加密密钥的系统,类似但不限于QKD Alice/Bob对。点对点或网状网络包括图1中单独示出的TX节点106、108、110、112、114、116、118,并且这些节点以点对点模式与其邻居通信。该通信由具有客户端-服务器和服务器-客户端证书验证二者的TLS来加密。TX节点仅与由系统管理员配置并属于同一证书授权的邻居通信。总的来说,涉及两个以上的TX节点,它们可以创建网状网络。一些TX节点108、110、112、114可能不具有附接到其的用户装置,并且仅用作例如用于转发或路由的转换节点。重要功能在于可以使系统作为整体来获得容错,并且允许使用来自有限范围的QKD Alice/Bob对的外部密钥来执行二次加密。点对点或网状网络,并且更具体地,网络中的TX节点106、108、110、112、114、116、118,执行在连接到该网络的用户装置102、120、104、122的任意给定对之间传递密码密钥的过程。在各个实施例中,运行软件、固件、硬件及其各个组合的处理器可以执行该过程和其他过程的各个动作。在各个实施例中,点对点或网状网络中的连接可以是一对一的(例如,端部TX节点)、多对一或多对多。
TX节点106、108、110、112、114、116、118与其预先配置的邻居周期性地通信,提取关于邻居的邻居和全部所连接的用户装置的信息。因此,在网状设置的情况下,每个TX节点106、108、110、112、114、116、118维护网状中的所有节点和所有活动用户装置的近实时映射,同时仅从所允许的邻居请求信息。如果新的TX节点/用户装置由系统管理员添加/删除或者一些节点变得不可访问,则该映射自动改变。
在一种情况下,用户装置102中的一个,例如U1,请求(一个或多个)密钥。U1还指定应该接收相同(一个或多个)密钥的另一用户装置104,例如U3。针对密钥的请求被发送到用户装置102所连接到的TX节点106,其在本示例中为TX1。密钥请求根据双方商定的规范来执行,并且可以包括TLS加密和证书验证,并且可以经由例如REST API(具象状态传输应用编程接口)来执行。作为另一变型,其可以经由串行通信以用户装置和TX节点都同意的格式来执行。
在接收到请求时,TX节点106(在本示例中为TX1)生成所请求的(一个或多个)密钥并准备在将该密钥返回到请求方用户装置102(U1)之前首先将其传递到U3。TX1查找U3所连接到的TX节点116的名称,其在本示例中为TX6。TX1只允许与其预先配置的邻居通信,在这种情况下,TX节点108TX2和112TX4基于其当前节点映射来计算下一跳。在该示例中,TX节点106TX1将发现几个等长的路径——即,TX2和TX4将具有相同的权重。在其他示例中,路径可以具有不同的权重。在该示例中,如果先前的密钥传递事务经由TX2执行,则TX1将执行负载平衡操作并将所生成的密钥发送到TX4,反之亦然。内部数据块被称为包裹,并具有附连到其上的目的地TX节点标签。在从TX1接收到该包裹后,TX4将执行下一跳的类似计算,并且发现TX4仅具有一个替代方案——即,TX节点114TX5。对每个过渡TX节点(跳)执行最优路径计算和潜在负载平衡的操作,直到包裹到达其目的地TX节点116(在本示例中为TX6)。链中的每个TX节点在该事务中保持与先前对等点的连接打开,因此任意潜在的错误都会在该事务的背景内立即返回。在将具有密钥的包裹成功传递到TX6时,TX1返回成功代码并关闭连接。每个先前TX节点都执行相同操作,直到成功代码到达发起方(在该示例中为TX1)。在接收到成功代码时,TX1最终将所请求的(一个或多个)密钥返回到U1用户装置102。随着(一个或多个)密钥成功传递到TX6,在(一个或多个)密钥从TX6中擦除之后U3现在可以请求(一个或多个)密钥。在超过包裹传递事务的时间之后,过渡TX节点中不存储所传递的密钥。
该系统可以被配置成使得被供应有额外的加密密钥的TX节点接收路径优先级,例如通过对这种路径赋予更大的权重。在例如来自QKD Alice/Bob对的额外密钥的情况下,TX节点使用该特定跳的两侧的这些密钥额外地对包裹进行加密/解密。在各个实施例中,这种量子密钥加密和解密可以发生在一个跳、两个或更多个跳或沿着路径的包裹的每个和每跳上。
在各个实施例中,基于传递请求来生成密钥的TX节点可以从包括但不限于QKD系统或专用QRNG(量子随机数发生器)的、预先配置的RNG(随机数生成器)系统、从内部硬件RNG或从标准软件熵基RNG来获取密钥材料,或者生成密钥。
图2从TX节点106TX1的角度描绘了信息收集循环(“与对等点交流”)的实施例。网络中的每个节点106、108、110必须具有唯一的名称。在该示例中,节点TX1由系统管理员预先配置,使得允许TX1与节点TX2和TX3通信。交换是通过具有客户端-服务器和服务器-客户端证书验证二者的TLS经由REST API来实施。该示例中的TX1根据TX1被配置成与其通信的每个对等节点运行独立的“交流”线程。TX1以预设间隔T向TX2和TX3发起REST“EST隔交流”请求。每个TX节点都生成一次性UUID(通用唯一标识符),该一次性UUID在TX节点进程运行时持续并在进程重新启动时被替换。不存在针对该UUID的长期存储。该UUID沿着TX节点名称侧被供应到对“交流”请求的每个响应中。在该示例中,TX1从其对等点的每一个中接收信息,该信息被构造为([TX名称,TX UUID]->数组(对等点名称),数组(用户装置名称))的数组,但是按照本文的教导容易设计出组织和记录该信息的其他方式。TX1然后创建用于查找用户装置所在的位置以及哪个TX节点知道哪些对等点的存储器结构。TX1还检查与TX名称相关联的UUID的改变,并在UUID已改变时替换合适的查找时隙。如果TX1在T×2时间内的响应中没有发现该特定UUID,则TX1还将TX名称/UUID对标记为“失效(stale)”。在超过T×2时间内没有该UUID表示考虑中的TX节点不可访问并且在路径计算期间必须避免。在图2的示例中,所有其他节点彼此执行类似的REST“交流”请求,从而在仅与所允许的对等点交流的同时构建TX节点网络的总图片。由于TX节点是与其相对的,因此每个TX节点106、108、110保留该总存储器(collective memory)的其自身的副本。如果在T×11时间帧内未发现UUID/TX名称对,则考虑中的TX节点将完全从图片中移除。否则其具有机会再次被标记为操作节点。根据本文的教导容易地设计用于将节点从网络移除和/或恢复到网络的各个其他时间帧或测试。
运行时间UUID刷新方法被选择用于各种实施例,因为其不依赖于另外需要在TX节点网络上维护的全局时间的概念。每个TX节点106、108、110仅依赖其自身的时钟来计算“失效”超时,并且在不影响互操作性和总存储器的情况下每个TX节点时钟可以显著偏斜。在一些实施例中,在“交谈”请求/响应中没有交换时间戳。
REST API的GET方法被选择为最安全的,因此即使“冒名者”TX节点以某种方式通过证书验证,“冒名者”TX节点也无法通过只推送不正确信息来将不正确信息注入到总存储器中。
因此,路径查找实现了TX节点接收具有用于传递的密钥的包裹,并查找下一最佳对等TX节点以基于当前TX节点网络图片将该包裹给予存储器中创建的TX节点。
在一些版本中,任意TX节点上都没有网络存储器的永久存储。
重新配置的TX节点在网络上传播的大概时间被括在T×L与T×L×2之间,其中L是从TX1(如图2中的示例)到考虑中的TX节点的链长度。因此,网络中的传播时间与TX节点链的长度成线性关系。
另一方面,因为下一跳计算立即发生在当前保留具有密钥的包裹并需要查找下一跳的TX节点上,而与其他节点对网络当前状态的了解无关,所以将节点(即,TX节点)标记为“失效”的时间并不重要。相对于该节点,该时间为常数并且被括在T与T×2之间。
图3描绘了根据本实施例的在网状的TX节点106、108、110、112、114、116中的带外加密密钥(“包裹”)传递。该示例还涵盖了TX节点116TX6最近出现问题(或变得不可用)因此关于该故障的信息尚未通过上述网状“交流”来传播的罕见情况。
根据图3中的示例,TX节点网状被配置如下:TX1与TX4通信;TX4与TX1和TX5通信;TX5与TX2和TX6通信;TX2与TX5和TX3通信;TX3与TX2和TX6通信;TX6与TX5和TX3通信。
用户装置102U1从TX节点106TX1请求加密密钥,并且还指定其对应用户装置120U2,该对应用户装置120U2应当接收相同的(一个或多个)密钥。U1然后等待响应。TX1生成所请求的(一个或多个)密钥并生成包裹。TX1从TX1的当前节点映射中查找U2所连接到的TX节点110。该TX节点110恰好是TX3。因此,包裹利用被指定为TX3的最终目的地而形成。作为步骤1,TX1然后将包裹发送到其唯一的对等点TX4并等待响应。在步骤2中,TX4以与完全相同的方式将包裹发送到TX5并等待响应。
TX4和TX5也恰好从外部装置接收额外的对称加密密钥——例如,来自QKD Alice/Bob对的量子密钥。因此,除了用于通信的TLS层之外,包裹自身使用该量子密钥进行加密。
TX5通常通过在时间间隔T内执行交流来获知其对等点TX6存在问题,但在这种非常罕见的情况下,TX6在被括在0与T之间的时间帧内遇到困难或变得不可用。因此TX5仍然认为其对等点TX6是可操作的,并且在TX2与TX6之间具有等路径负载平衡机会。如果最终选择TX6作为下一跳,则在步骤3中,TX5将包裹发送到TX6。错误响应302(或超时)出现(响应箭头),然后在步骤4中,TX5将包裹发送到其另一对等点TX2并等待响应。在步骤5中,TX2将包裹发送到TX3并等待响应。
TX3发现包裹目的地与其名称匹配,并根据该方法例如通过用于(一个或多个)用户装置密钥传递的应用编程接口(API)而执行操作。在用户装置120U2检索到(一个或多个)密钥之后立即删除包裹。
TX3然后将成功响应304(响应箭头)返回到TX2并关闭事务。TX2将成功响应306返回到TX5并关闭事务。TX5将成功响应308返回到TX4并关闭事务。TX4将成功响应310返回到TX1并关闭事务。TX1根据用于(一个或多个)用户装置密钥传递的方法(例如,通过API)将(一个或多个)密钥给予等待用户装置102U1并关闭事务。
典型的传递将涉及TX5从交流中了解TX6问题并将TX6标记为失效。该了解还经由如上所述的交流跨网状的所有节点而传播。在该典型情况下,包裹传递路径将由步骤1、2、4和5组成——完全避免了步骤3。
包裹传递使用REST方法“法“T使用骤步骤步骤由步来实施。包裹在到用户装置的途中时永远不会被存储在HDD(硬盘驱动器)或其他存储存储器中,并且在由用户装置检索之后立即从存储器中删除。
通常,用户装置及其相关联的TX节点执行客户端/服务器和服务器/客户端证书验证两者和/或经由其他高度安全的链路来连接,其可以经由例如串行接口来实施。
图4描绘了路径计算过程的实施例,其适用于图1的带外对称密钥传递系统的实施例和图3中描绘的包裹传递的实施例。在图4的示例中,TX节点106TX1是包裹传递到TX节点116TX6的发起方。Tx节点106TX1保持网状的所有节点的当前映射及如经由上述交流获得的其对等点。
TX1使用步骤1创建即时映射,该即时映射由所有可能的目的地、通过这些目的地可访问的TX1的对等点、以及经由特定对等点传递到特定目的地所需的跳的数量组成。失效TX节点被排除在映射之外。
TX1然后使用步骤2过滤掉所有不相关的记录,因此只有TX6保留为目的地。在图4的示例中,其产生2条具有相等跳数量的记录。因此TX1切换到负载平衡模式,并以轮循方式将包裹交替地发送到TX2和TX4。
随着从交流中获得的原始映射改变,每次包裹传递时都是新生成的即时跳映射也改变。作为示例,当TX2接收到目的地为TX6的包裹时,TX2执行相同的计算,其获取所有节点和经由交流获得的其对等节点的当前映射的其副本,并且将映射转换为具有跳计数的所有可能的目的地映射(现在只是相对于TX节点108TX2(自身)),并且然后通过目的地TX6过滤掉。这将产生TX6->TX3->2和TX6->TX5->2替代方案,其再次触发TX3与TX5之间的负载平衡轮循。将选择一个方案,并且下一相同步骤将导致将包裹传递到TX节点116TX6。
基于从如上所述的交流中获得的最新信息,在每个包裹传递时,路径计算在每个TX节点106、108、110、112、114、116、118上独立地发生。
上述实施例、示例和场景可以推广到进一步的实施例,在进一步的实施例中在不直接连接到用户装置但通过其他(一个或多个)TX节点与(一个或多个)用户装置通信的TX节点处接收到将对称加密密钥传递到用户装置的请求。从用户装置接收针对对称加密密钥的请求的TX节点将对称加密密钥之一传递到另一指定的用户装置,接收传递的确认,然后将另一对称加密密钥传递到请求密钥的用户装置,其全都通过TX节点。
前述说明参考具体的示例性实施例。然而,显然可以在不脱离更广泛的精神和范围的情况下对其进行各种修改和改变。因此,说明书和附图被认为是说明性的而不是限制性的。
Claims (20)
1.一种用于安全带外对称加密密钥传递的方法,包括:
在网络中的第一受信节点处,接收来自用户装置对中的第一用户装置的请求,以将对称加密密钥传递到所述用户装置对;
经由所述网络中的受信节点,将所述对称加密密钥中的第二对称加密密钥从所述第一受信节点传递到所述用户装置对中的第二用户装置;
在所述第一受信节点处,从所述网络中的受信节点中的一个接收将所述对称加密密钥中的第二对称加密密钥传递到所述用户装置对中的第二用户装置的确认;并且
响应于将所述对称加密密钥中的第二对称加密密钥传递到所述用户装置对中的第二用户装置的确认,将所述对称加密密钥中的第一对称加密密钥从所述网络中的第一受信节点传递到所述用户装置对中的第一用户装置。
2.根据权利要求1所述的方法,其中所述对称加密密钥中的第一对称加密密钥和第二对称加密密钥由所述受信节点保证以仅被传递到所述用户装置对中的第一用户装置和第二用户装置。
3.根据权利要求1所述的方法,其中传递所述对称加密密钥中的第二对称加密密钥包括通过所述网络在预先配置成相互信任为受信节点的节点之间传递所述对称加密密钥中的第二对称加密密钥。
4.根据权利要求1所述的方法,其中所述网络中的受信节点包括点对点或网状网络中的节点,点对点或网状网络各自为一对一、一对多或多对多配置。
5.根据权利要求1所述的方法,进一步包括:
在传递所述对称加密密钥的第一对称加密密钥和第二对称加密密钥期间执行即时最优路径查找。
6.根据权利要求1所述的方法,进一步包括:
在传递所述对称加密密钥的第二对称加密密钥期间执行即时负载平衡。
7.根据权利要求1所述的方法,进一步包括:
生成量子密钥并将量子密钥传递到所述网络中的两个或更多个受信节点中的每一个。
8.根据权利要求1所述的方法,进一步包括:
在传递所述对称加密密钥的第一对称加密密钥和第二对称加密密钥期间,利用量子密钥加密一个或多个节点对节点的传输中的每一个。
9.根据权利要求1所述的方法,进一步包括:
在传递所述对称加密密钥的第一对称加密密钥和第二对称加密密钥期间基于量子密钥的可用性来执行即时最优路径查找。
10.一种有形的非暂时性计算机可读介质,其上具有指令,所述指令在由处理器运行时使所述处理器执行方法,所述方法包括:
在网络中的第一受信节点处,接收来自第一用户装置的请求,以将对称加密密钥传递到所述第一用户装置和第二用户装置;
经由所述网络中的受信节点,将第二对称加密密钥从所述第一受信节点传递到所述第二用户装置;
在所述第一受信节点处,从所述网络中的受信节点中的一个接收将所述第二对称加密密钥传递到所述第二用户装置的确认;并且
响应于将所述第二对称加密密钥传递到所述第二用户装置的确认,将第一对称加密密钥从所述网络中的第一受信节点传递到所述第一用户装置,所述第一对称加密密钥和所述第二对称加密密钥彼此对称。
11.根据权利要求10所述的有形的非暂时性计算机可读介质,其中所述方法进一步包括:
将所述网络中的节点预先配置成相互信任为网状网络或点对点网络中的受信节点。
12.根据权利要求10所述的有形的非暂时性计算机可读介质,其中所述方法进一步包括:
在所述网络中执行即时最优路径查找。
13.根据权利要求10所述的有形的非暂时性计算机可读介质,其中所述方法进一步包括:
在所述网络中执行即时负载平衡。
14.根据权利要求10所述的有形的非暂时性计算机可读介质,其中所述方法进一步包括:
在两个或更多个相邻受信节点中生成量子密钥;并且
使用所述量子密钥加密和解密所述第一对称加密密钥或所述第二对称加密密钥。
15.一种用于安全带外对称加密密钥传递的设备,包括:
网络的多个节点,以形成点对点或网状网络中的受信节点;以及
所述受信节点中的第一受信节点,用于:
接收来自第一用户装置的请求,以将对称加密密钥传递到所述第一用户装置和第二用户装置;
经由所述受信节点,将第二对称加密密钥从所述第一受信节点传递到所述第二用户装置;
从所述受信节点中的一个接收将所述第二对称加密密钥传递到所述第二用户装置的确认;并且
响应于将所述第二对称加密密钥传递到所述第二用户装置的确认,将第一对称加密密钥从所述第一受信节点传递到所述第一用户装置,所述第一对称加密密钥和所述第二对称加密密钥对称。
16.根据权利要求15所述的设备,其中所述受信节点进一步:
在所述点对点或网状网络中执行即时最优路径查找。
17.根据权利要求15所述的设备,其中所述受信节点进一步:
在所述网络中执行即时负载平衡。
18.根据权利要求15所述的设备,其中所述受信节点进一步:
在两个或更多个相邻受信节点中生成量子密钥;并且
使用所述量子密钥在传递期间加密和解密所述第一对称加密密钥或所述第二对称加密密钥。
19.根据权利要求15所述的设备,其中所述受信节点进一步:
在传递所述第一对称加密密钥和所述第二对称加密密钥期间,针对每个节点对节点的传输使用利用量子密钥的加密和解密。
20.根据权利要求15所述的设备,其中所述受信节点进一步:
在传递所述第一对称加密密钥和所述第二对称加密密钥期间,基于量子密钥的可用性来执行即时最优路径查找。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/530,987 | 2019-08-02 | ||
| US16/530,987 US11483140B2 (en) | 2019-08-02 | 2019-08-02 | Secure out-of-band symmetric encryption key delivery |
| PCT/US2020/033293 WO2021025749A1 (en) | 2019-08-02 | 2020-05-15 | Secure out-of-band symmetric encryption key delivery |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114556862A true CN114556862A (zh) | 2022-05-27 |
Family
ID=70978647
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080055271.0A Pending CN114556862A (zh) | 2019-08-02 | 2020-05-15 | 安全带外对称加密密钥传递 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US11483140B2 (zh) |
| EP (1) | EP4008085B1 (zh) |
| JP (1) | JP2022544423A (zh) |
| KR (1) | KR20220092853A (zh) |
| CN (1) | CN114556862A (zh) |
| AU (1) | AU2020324336A1 (zh) |
| CA (1) | CA3149609A1 (zh) |
| IL (1) | IL290283A (zh) |
| WO (1) | WO2021025749A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021028227A1 (en) * | 2019-08-12 | 2021-02-18 | British Telecommunications Public Limited Company | Improvements to qkd methods |
| KR20230066893A (ko) | 2021-11-08 | 2023-05-16 | 한국과학기술정보연구원 | 양자키 관리장치 및 그 동작 방법 |
| KR20230166281A (ko) | 2022-05-30 | 2023-12-07 | 한국과학기술정보연구원 | 양자키분배 네트워크장치 및 양자키분배 네트워크 운용 방법 |
Family Cites Families (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19534114A1 (de) | 1995-09-14 | 1997-03-20 | Schlafhorst & Co W | Verfahren und Vorrichtung zum Überprüfen von pneumatischen Spleißvorrichtungen |
| US7457416B1 (en) | 2002-07-17 | 2008-11-25 | Bbn Technologies Corp. | Key distribution center for quantum cryptographic key distribution networks |
| AT412932B (de) | 2002-11-22 | 2005-08-25 | Arc Seibersdorf Res Gmbh | Kommunikationssystem mit quantenkryptographie |
| US7706535B1 (en) | 2003-03-21 | 2010-04-27 | Bbn Technologies Corp. | Systems and methods for implementing routing protocols and algorithms for quantum cryptographic key transport |
| US7430295B1 (en) | 2003-03-21 | 2008-09-30 | Bbn Technologies Corp. | Simple untrusted network for quantum cryptography |
| US7512242B2 (en) | 2003-03-21 | 2009-03-31 | Bbn Technologies Corp. | Systems and methods for quantum cryptographic key transport |
| US7113598B2 (en) | 2003-05-14 | 2006-09-26 | Science Research Laboratory, Inc. | Methods and systems for high-data-rate quantum cryptography |
| JP2005117511A (ja) | 2003-10-10 | 2005-04-28 | Nec Corp | 量子暗号通信システム及びそれに用いる量子暗号鍵配布方法 |
| US7181011B2 (en) | 2004-05-24 | 2007-02-20 | Magiq Technologies, Inc. | Key bank systems and methods for QKD |
| US20050286723A1 (en) | 2004-06-28 | 2005-12-29 | Magiq Technologies, Inc. | QKD system network |
| US7646873B2 (en) | 2004-07-08 | 2010-01-12 | Magiq Technologies, Inc. | Key manager for QKD networks |
| US7889868B2 (en) | 2005-09-30 | 2011-02-15 | Verizon Business Global Llc | Quantum key distribution system |
| US8688856B2 (en) * | 2006-01-24 | 2014-04-01 | Novell, Inc. | Techniques for managing a network delivery path of content via a key |
| US8006300B2 (en) * | 2006-10-24 | 2011-08-23 | Authernative, Inc. | Two-channel challenge-response authentication method in random partial shared secret recognition system |
| US8855316B2 (en) | 2008-01-25 | 2014-10-07 | Qinetiq Limited | Quantum cryptography apparatus |
| GB0801395D0 (en) | 2008-01-25 | 2008-03-05 | Qinetiq Ltd | Network having quantum key distribution |
| JP2009265159A (ja) * | 2008-04-22 | 2009-11-12 | Nec Corp | 秘匿通信ネットワークにおける共有乱数管理方法および管理システム |
| GB0822253D0 (en) | 2008-12-05 | 2009-01-14 | Qinetiq Ltd | Method of establishing a quantum key for use between network nodes |
| JP5344031B2 (ja) * | 2009-02-27 | 2013-11-20 | 富士通株式会社 | コンテンツサーバ装置、コンテンツ配信方法、および、コンテンツ配信プログラム |
| US8483394B2 (en) * | 2010-06-15 | 2013-07-09 | Los Alamos National Security, Llc | Secure multi-party communication with quantum key distribution managed by trusted authority |
| US9698979B2 (en) | 2011-04-15 | 2017-07-04 | Quintessencelabs Pty Ltd. | QKD key management system |
| IL221286B (en) | 2011-08-05 | 2018-01-31 | Selex Sistemi Integrati Spa | Cryptographic key distribution system |
| US9509506B2 (en) * | 2011-09-30 | 2016-11-29 | Los Alamos National Security, Llc | Quantum key management |
| EP2891267B1 (en) * | 2012-08-30 | 2022-04-06 | Triad National Security, LLC | Multi-factor authentication using quantum communication |
| US8964989B2 (en) | 2012-11-20 | 2015-02-24 | Ut-Battelle Llc | Method for adding nodes to a quantum key distribution system |
| US9264225B1 (en) | 2013-02-27 | 2016-02-16 | The Boeing Company | Quantum communication using quantum teleportation |
| CN105827397B (zh) | 2015-01-08 | 2019-10-18 | 阿里巴巴集团控股有限公司 | 基于可信中继的量子密钥分发系统、方法及装置 |
| EP3043508B1 (en) * | 2015-01-09 | 2019-06-26 | Institut Mines Telecom | Hybrid classical quantum cryptography |
| JP6478749B2 (ja) | 2015-03-24 | 2019-03-06 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
| EP3220574B1 (en) | 2016-03-14 | 2020-04-22 | Kabushiki Kaisha Toshiba | Quantum key distribution device, quantum key distribution system and quantum key distribution method |
| US20180013556A1 (en) * | 2016-07-06 | 2018-01-11 | Teloip Inc. | System, apparatus and method for encrypting overlay networks using quantum key distribution |
| CN112217637B (zh) * | 2016-11-04 | 2024-03-15 | 华为技术有限公司 | 一种基于集中管理与控制网络的量子密钥中继方法和装置 |
| US10554397B2 (en) | 2017-09-27 | 2020-02-04 | The Boeing Company | Quantum-based data encryption |
| US10432395B2 (en) * | 2017-10-04 | 2019-10-01 | The Boeing Company | Recipient-driven data encryption |
| US10833860B2 (en) | 2018-09-04 | 2020-11-10 | International Business Machines Corporation | Shared key processing by a host to secure links |
| US10764291B2 (en) | 2018-09-04 | 2020-09-01 | International Business Machines Corporation | Controlling access between nodes by a key server |
| US11411722B2 (en) | 2019-05-03 | 2022-08-09 | Quantumxchange, Inc. | Method of operation of a quantum key controller |
| US11469888B2 (en) | 2019-05-03 | 2022-10-11 | Quantumxchange, Inc. | Tamper detection in a quantum communications system |
| US11424918B2 (en) | 2019-05-03 | 2022-08-23 | Quantumxchange, Inc. | Method of operation of a trusted node software in a quantum key distribution system |
-
2019
- 2019-08-02 US US16/530,987 patent/US11483140B2/en active Active
-
2020
- 2020-05-15 KR KR1020227007107A patent/KR20220092853A/ko unknown
- 2020-05-15 AU AU2020324336A patent/AU2020324336A1/en active Pending
- 2020-05-15 EP EP20730881.8A patent/EP4008085B1/en active Active
- 2020-05-15 JP JP2022533051A patent/JP2022544423A/ja active Pending
- 2020-05-15 CN CN202080055271.0A patent/CN114556862A/zh active Pending
- 2020-05-15 WO PCT/US2020/033293 patent/WO2021025749A1/en unknown
- 2020-05-15 CA CA3149609A patent/CA3149609A1/en active Pending
-
2022
- 2022-02-01 IL IL290283A patent/IL290283A/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| AU2020324336A1 (en) | 2022-03-17 |
| KR20220092853A (ko) | 2022-07-04 |
| WO2021025749A1 (en) | 2021-02-11 |
| US11483140B2 (en) | 2022-10-25 |
| IL290283A (en) | 2022-04-01 |
| EP4008085B1 (en) | 2024-04-17 |
| CA3149609A1 (en) | 2021-02-11 |
| JP2022544423A (ja) | 2022-10-18 |
| US20210036845A1 (en) | 2021-02-04 |
| EP4008085A1 (en) | 2022-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Tysowski et al. | The engineering of a scalable multi-site communications system utilizing quantum key distribution (QKD) | |
| US9094206B2 (en) | Method and system for secure session establishment using identity-based encryption (VDTLS) | |
| Mink et al. | Quantum key distribution (QKD) and commodity security protocols: Introduction and integration | |
| JP6223884B2 (ja) | 通信装置、通信方法およびプログラム | |
| EP4008085B1 (en) | Secure out-of-band symmetric encryption key delivery | |
| TW201633742A (zh) | 基於可信中繼的量子密鑰分發系統、方法及裝置 | |
| JP2016171530A (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| Faisal et al. | A secure architecture for TCP/UDP-based cloud communications | |
| KR101704540B1 (ko) | M2m 환경의 다중 디바이스 데이터 공유를 위한 그룹키 관리 방법 | |
| WO2016134631A1 (zh) | 一种OpenFlow报文的处理方法及网元 | |
| US9509589B2 (en) | Communication device, communication system, communication method, and computer program product | |
| Kim et al. | A novel elliptical curve ID cryptography protocol for multi‐hop ZigBee sensor networks | |
| Renugadevi et al. | Key management schemes for secure group communication in wireless networks-a survey | |
| JP2022031361A (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| WO2022250585A1 (en) | Protocol translation for encrypted data traffic | |
| KR101730403B1 (ko) | 네트워크 경로를 관리하는 방법 및 이를 수행하는 네트워크 엔티티 | |
| Wang et al. | A survey of anonymous communication methods in Internet of Things | |
| Chunka et al. | A Secure Key Agreement Protocol for Data Communication in Public Network Based on the Diffie-Hellman Key Agreement Protocol | |
| Vasic et al. | Lightweight and adaptable solution for security agility | |
| Lam et al. | Design, implementation, and performance evaluation of identity‐based cryptography in ONOS | |
| Quang et al. | Key management techniques for wireless mesh network | |
| Sanyal | SPIKE: A novel session key management protocol with time-varying secure cluster formation in wireless sensor networks | |
| CN109450930A (zh) | 一种数据传输方法及装置 | |
| Cho | Practical and robust self-keying scheme for personal area networks | |
| Boonkrong et al. | Authentication in mobile ad hoc networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |