CN114598462A - 量子城域网中基于动态调整的端到端密钥生成方法 - Google Patents

量子城域网中基于动态调整的端到端密钥生成方法 Download PDF

Info

Publication number
CN114598462A
CN114598462A CN202210206158.9A CN202210206158A CN114598462A CN 114598462 A CN114598462 A CN 114598462A CN 202210206158 A CN202210206158 A CN 202210206158A CN 114598462 A CN114598462 A CN 114598462A
Authority
CN
China
Prior art keywords
key
packet
quantum
establishment
sending
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210206158.9A
Other languages
English (en)
Other versions
CN114598462B (zh
Inventor
权东晓
陈志勋
靳明超
朱畅华
赵楠
陈南
易运晖
裴昌幸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN202210206158.9A priority Critical patent/CN114598462B/zh
Publication of CN114598462A publication Critical patent/CN114598462A/zh
Application granted granted Critical
Publication of CN114598462B publication Critical patent/CN114598462B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种量子城域网中基于动态调整的端到端密钥生成方法,其根据剩余密钥量动态调整端到端密钥的建立速度,保证通信的正常进行且不会过多地浪费网络资源。其实现方案是:在量子城域网中相邻可信中继间协商量子密钥,并初始化密钥相关参数产生随机的初始密钥,并将其封包;使用协商的量子密钥加密传输密钥建立包以生成对称的端到端密钥;当端到端密钥量积累到阈值开始通话,通话过程中独立的进行密钥建立及业务传输,并动态的调整密钥建立包的发包间隔及密钥拓展系数;每次发包后计算下个预计发包时间,在超过业务结束时间时当前端发送信息包通知对方结束通信。本发明减小了量子通信网络中的通信时延及抖动,可用于量子城域网。

Description

量子城域网中基于动态调整的端到端密钥生成方法
技术领域
本发明属于通信技术领域,更进一步涉及一种端到端密钥生成方法,可用于量子城域网中的量子保密通信。
背景技术
量子密钥分发QKD利用量子态对信息进行量子编码并传递,以此在可信中继间协商出理论上无条件安全的共享密钥,其安全性依赖于量子力学的基本原理,一旦有第三方窃取密钥就会被发现。
近年来,简单的点到点的量子密钥分发技术已经日益成熟,量子密钥分发网络逐渐成为研究重点。在现有的量子城域网组网方式中,基于可信中继的QKD网络被认为是目前技术条件下实际可行的网络组网方式,其简单来说就是通过受信任的中间节点构建QKD链路,以扩大网络规模。
现有量子城域网的通信策略主要有逐跳加密策略和端到端加密策略。其中:
逐跳加密策略,是直接使用可信中继间协商的量子密钥对明文逐跳加解密转发来到达目的端,该策略较为简单直接、通信流量需求小,但需要在路程的每个中继节点间进行加解密,因此增大了通信时延,严重情况下当链路密钥量不足时还会造成数据丢失。
端到端加密策略,是通信双方事先建立端到端密钥再对数据进行加密传输,其本质为利用相邻节点间共享的量子密钥,对中继密钥进行加解密,实现密钥在节点间加密中转,形成端到端密钥。该策略虽然能够有效改善逐跳加密的缺点,但是没有根据具体通信业务情况对密钥的建立进行动态调整。
解决以上问题的难度在于,既要尽量降低端到端通信的时延,也要保证端到端密钥生成的及时性和安全性。
专利号为ZL202110188450.8的专利文献中同样提出了一种量子城域网中的端到端密钥生成方法,其在源端产生初始密钥并封包后经过可信中继间协商的量子密钥加密传输以此形成端到端密钥,并通过两次确认来确保密钥生成的正确性,有效解决了量子城域网中通信时因密钥生成不稳定导致的通信时延抖动增大问题和因可信中继的风险导致的通信不安全的问题。但该方法只在源端产生初始密钥用于后续端到端密钥的生成,并且通信过程中无法根据业务的具体情况对端到端密钥的生成速率进行调整。本发明在此基础上对端到端密钥的生成做出优化,提高了端到端密钥的生成速率,简化了端到端密钥的确认过程,并根据业务具体情况动态调整密钥建立速度。
发明内容
本发明的目的在于针对上述现有技术的不足,提供一种量子城域网中基于动态调整的端到端密钥生成方法,以降低通信时延,并根据剩余密钥量动态调整端到端密钥的建立速率,保证通信的正常进行且不会过多地浪费端到端密钥。
本发明的技术思路是:通信开始前,通信双方随机产生自己的接收密钥并在可信中继间利用量子密钥进行加密传输,对方收到密钥后用作自己的发送密钥,以此生成端到端的密钥;在通话的过程中根据剩余密钥量动态地调整密钥建立速度尽可能为通信业务建立端到端密钥;在密钥量不足的情况下通过动态地调整密钥拓展系数缓解网络压力以保证业务的正常通信。
根据上述思路,本发明的实现方案包括如下步骤:
(1)在量子城域网中的相邻可信中继间协商量子密钥;
(2)初始化密钥相关参数:
(2a)设业务数据包单个长度为Unit,设置单个密钥建立包所能建立的密钥长度LK也为Unit;
(2b)设业务数据包发包间隔为Inr,对方当前对端到端密钥的需求程度为Dk,则密钥建立包发包间隔为
Figure BDA0003524046990000021
(2c)通信双方初始化密钥接收缓存区期望的序列号;
(3)通信双方建立预置密钥量:
(3a)在通信准备阶段,通信双方全速建立预置密钥量,主叫方和被叫方不断地随机产生长度为LK的二进制串作为初始密钥,并先为这些初始密钥依次分配唯一的序列号,再将这些初始密钥及其密钥序列号按顺序依次存放到密钥发送缓冲区;
(3b)对发送缓冲区的初始密钥依次进行封包,得到密钥建立包并在该密钥建立包的头部选项字段中分别设置3个标记位Ik、Lk、Sk,再将该密钥建立包发送到由接入节点和可信中继组成的量子线路中,并通过消耗协商的链路密钥逐跳加密及转发到达目的端;
(3c)目的端接收到数据包之后,根据第一标记位Ik判断接收到的包是否为密钥建立包:
若是,判断该密钥建立包的第三标记位Sk是否为期望的序列号:
若是,则存放初始密钥并将期望的序列号更新为当前的序列号+1;
若小于期望的序列号,则丢弃该密钥包;
若大于期望的序列号,则存放初始密钥并将期望的序列号更新为当前的序列号+1,且发送信息包通知对方丢失的密钥包序列号;
(3d)判断通信双方所建立的预置密钥量是否达到设定的阈值Kmax
若达到,执行(4);
若没有达到,则返回(3a);
(4)通信双方开始通信:
(4a)判断当前时间是否大于等于设定的业务结束时间:
若是,则执行(5);
否则,通信双方以固定发包间隔Inr发送长度为Unit的业务数据包,并根据端到端密钥量Qr更新当前端对密钥的需求程度DK和密钥拓展系数KE,设置业务数据包的头部选项字段中标记位Dk、Ke记录该参数,之后判断密钥接收缓存区中所建立的端到端密钥量Qr能否对未来的M个业务包进行加密:
若能,则执行(4b);
若不能,则执行(4d);
(4b)在发包之前根据密钥拓展系数KE消耗建立的端到端密钥对业务数据包进行加密,并将该加密密钥的序列号及位置记录于业务数据包头部选项字段标记位Sk中,对加密后的业务数据包在经典线路及量子线路上进行处理转发到达目的端;
(4c)目的端在收到业务数据包后从业务包的头部选项字段中的标记位得到Ke和Sk,从自己的接收密钥中取出相应的密钥,按照与发送端相同的扩展规则和加密原则进行解密得到数据。
(4d)通过业务数据包头部选项字段中的标记位Dk得知对方对密钥的需求程度,并以动态发包间隔
Figure BDA0003524046990000031
发送Dk个密钥建立包以建立端到端密钥,之后返回(4a);
(4e)当前端暂停业务包的发送,发送信息包通知对方密钥不足情况,请求全速建立密钥;
(4f)目的端收到信息包后,暂停业务全速发送N个密钥建立包,建立端到端密钥;
(4g)发送方判断密钥接收缓冲区中可用于业务加密的剩余端到端密钥量是否重新回到设定阈值Kmin
若回到,则执行(4b);
否则,判断是否超过最长等待时间Tk:若超过,执行(5);否则,返回(4f);
(5)结束当前事件并挂起,发送信息包通知对方结束通信。
本发明与现有技术相比,具有以下优点:
第一,本发明与传统的量子保密通信网络相比使用端到端密钥对业务进行加密,在整个通话流程中将密钥的建立与业务包的传输独立开来,能够有效减小业务数据包的时延抖动;此外通信双方使用各自密钥接收缓冲区中的端到端密钥,并通过密钥接收缓冲区的期望序列号对密钥进行确认这一设计,简化了端到端密钥的确认过程,简化了通信过程,且能够保证密钥的一致性。
第二,本发明在通话开始前预先设置密钥量,在通话过程中动态地调整密钥建立包的发包间隔,使得业务对网络资源的使用更为灵活合理,即当通信双方剩余端到端密钥量充足时,可通过放慢密钥建立速度,既保证了业务的及时性又不过多地浪费网络资源;此外当通信双方剩余端到端密钥量不足时动态地调整密钥拓展系数、改变业务加密等级,提高密钥的利用率,保证通信成功率。
附图说明
图1为本发明的实现流程图;
图2为本发明中密钥建立的子流程图;
图3为本发明中业务传输的子流程图。
具体实施方式
下面结合附图对本发明的实施例作进一步详细说明。
参照图1,本实例的实现步骤如下:
步骤1,搭建量子城域网,并在相邻的可信中继间生成量子密钥。
1.1)在仿真平台搭建由150个用户组成的量子城域网,各个用户之间通过由经典路由器及量子路由器互连,其中,量子路由器间的线路称为量子线路,除了具有经典通信的功能外还用于协商量子密钥,对经过该线路的业务包直接转发,对密钥包进行加密传输;其余线路称为经典线路,这些经典线路无法协商量子密钥,仅对经过该线路的数据包进行直接传输;
1.2)通过基于偏振编码的MDI-QKD协议在量子路由器间协商量子密钥:
1.2.1)将相邻的可信中继作为协商密钥的双方,分别称为Alice和Bob,基于MDI-QKD协议,Alice和Bob先制备相位随机化的弱相干光脉冲,并随机将其编码为四个BB84态之一;随后Alice和Bob双方再通过量子信道把制备好的量子态发送给第三方Charlie进行贝尔态测量;
1.2.2)第三方Charlie公布贝尔态测量结果,Alice和Bob公布各自的编码基矢,并对于使用相同编码基矢的部分,依据贝尔态测量结果选择进行翻转处理,得到正关联的数据,并对其进行经典纠错及密性放大生成最终的安全密钥。
步骤2,初始化密钥相关参数。
2.1)设置数据包单位长度为Unit,设置单个密钥建立包所能建立的密钥长度LK也为Unit;
2.2)设置业务数据包发包间隔为Inr,根据发包端当前对端到端密钥的需求程度Dk,动态的设置密钥建立包发包间隔
Figure BDA0003524046990000051
2.3)初始化通信双方的密钥接收缓存区期望序列号。
步骤3,通信双方建立预置密钥量。
参照图2,本步骤的具体实现如下:
3.1)在正式通信开始前通信双方全速建立预置密钥量,将密钥需求程度参数Dk设置为10,通信双方不断地随机产生长度为LK的二进制串作为初始密钥,并为这些初始密钥依次分配唯一的序列号,之后将这些初始密钥按照序列号顺序依次存放到密钥发送缓冲区;
3.2)对密钥发送缓冲区的初始密钥依次进行封包,得到密钥建立包并在密钥建立包的头部选项字段中设置标记位Ik标记该包为密钥建立包、设置标记位Lk记录该包携带初始密钥的长度、设置标记位Sk记录密钥建立包携带的初始密钥的序列号;
3.3)将设置完成的密钥建立包发送到由接入节点和可信中继组成的量子线路中,并通过消耗步骤1中协商的量子密钥对密钥建立包逐跳加解密转发到达目的端;
3.4)目的端收到并认证密钥建立包后,根据自己密钥接收缓存区的期望序列号判断是否将该包所携带的初始密钥及其序列号存放到密钥接收缓存区中:
若密钥建立包所携带的密钥序列号等于期望序列号,则将密钥建立包所携带的初始密钥及密钥序列号依次存放到密钥接收缓存区,并更新期望的序列号为当前密钥序列号+1;
若密钥建立包所携带的密钥序列号小于期望序列号,则该密钥建立包所携带的初始密钥已经无效,丢弃该密钥建立包;
若密钥建立包所携带的密钥序列号大于期望序列号,则将密钥建立包所携带的初始密钥及密钥序列号依次存放到密钥接收缓存区,之后更新密钥接收缓存区的期望序列号当前密钥序列号+1,并发送信息包通知对方丢失的密钥包序列号,对方将发送缓冲区中这些无效密钥及其序列号删除。
步骤4,判断通信双方所建立的预置密钥量是否达到设定的阈值Kmax
当Kmax设置较大时会使得业务接入时延较大,但会显著降低通信时延抖动;当Kmax设置较小时业务接入时延较小,但在话务量大的情况下网络会有明显的时延抖动,本实例在多次测试后选择较为适中的阈值Kmax
将通信双方密钥接收缓存区中所建立的端到端密钥量Qr与设定的阈值Kmax进行比较:
若Qr>=Kmax,执行步骤5;
否则,返回步骤3。
步骤5,通信双方开始通信。
正式通信的过程不仅要建立密钥,同时还要进行业务的传输。本例中是对一个低分辨率的视频会议业务进行仿真,为了保证视频业务的流畅性通话过程中每秒对视频截取10帧,每一帧由128*120个像素点构成,每个像素点通过9位二进制数描述。
参照图3,本步骤的具体实现如下:
5.1)通信双方以固定发包间隔Inr=0.1发送业务数据包,其中业务数据包的长度为Unit=128×120×9/8字节,并根据密钥接收缓存区中所建立的端到端密钥量Qr更新当前端对密钥的需求程度DK
Figure BDA0003524046990000061
即正常情况下Qr的取值范围为[0,Kmax],则DK的取值范围为[1,3],设置业务数据包的头部选项字段中标记位Dk记录该参数;
5.2)在业务数据包发包之前判断当前端密钥接收缓存区中所建立的端到端密钥量Qr能否对未来M个业务包进行加密:
若能,则执行5.3);
否则,执行步骤6;
5.3)依据当前端的剩余端到端密钥量Qr动态的调整密钥拓展系数KE
若Qr<Kmin,则KE=4,即密钥长度LK=Unit的端到端密钥能对长度为4Unit的业务数据进行加密;
Figure BDA0003524046990000071
则KE=2,即密钥长度LK=Unit的端到端密钥能对长度为2Unit的业务数据进行加密;
Figure BDA0003524046990000072
则KE=1,不对密钥进行拓展;
5.4)之后根据密钥拓展系数KE先对建立的端到端密钥进行密钥拓展,得到拓展后的端到端密钥K,再使用密钥K对业务数据包中的明文P加密处理,得到加密后的密文C,并将使用的端到端密钥的序列号及位置记录于业务数据包头部选项字段标记位Sk中,将加密过程中对密钥的拓展系数记录于业务数据包头部选项字段标记位Ke中,之后将使用后的端到端密钥及其序列号从当前端密钥接收缓存区中删除,加密后的业务数据包通过量子线路及经典线路传输到达目的端;
5.5)目的端在收到业务数据包后先通过业务数据包头部选项字段中的标记位Sk得知该业务数据包所使用的端到端密钥序列号及位置,之后在密钥发送缓冲区中根据该序列号找到所对应的端到端密钥,并通过业务数据包头部选项字段中的标记位Ke得知该业务数据包加密时的密钥拓展系数,之后对业务数据包中的密文C进行解密得到明文P,将使用后的端到端密钥及其序列号从当前端密钥发送缓冲区中删除;
5.6)在发送业务数据包之后,计算下次发包时间Tn1,并与设定的业务结束时间Te进行比较:
若Tn1>=Te,则执行步骤7;
否则,执行5.7);
5.7)目的端在收到业务数据包后通过业务数据包头部选项字段中的标记位Dk得知对方对密钥的需求程度,根据业务数据包发包间隔Inr及密钥需求程度Dk计算密钥建立包发包间隔CK
Figure BDA0003524046990000081
5.8)客户端以动态发包间隔CK,发送Dk个密钥建立包,建立端到端密钥,之后返回5.1)。
步骤6,全速建立密钥。
6.1)当前端密钥接收缓存区中所建立的端到端密钥量Qr不足以对未来M个业务包进行加密,则暂停业务包的发送,发送信息包通知对方密钥不足情况,请求全速建立密钥;
6.2)目的端收到信息包后,暂停业务全速发送N个密钥建立包,建立端到端密钥,其中N为:
Figure BDA0003524046990000082
6.3)当前端等待密钥建立,判断当前密钥等待时间T是否超过最长等待时间Tk
如果超过,则执行步骤7;
如果没有超过,则判断当前端密钥接收缓存区中所建立的端到端密钥量Qr是否重新达到设定的最小阈值Kmin
若是,返回步骤5;
否则,返回6.2)。
步骤7,结束通信。
当前端创建并发送信息包通知对方结束通信,之后挂起;
目的端收到信息包,完成当前发包后结束通信。
以上描述仅是本发明的一个具体实例,并未构成对本发明的任何限制,显然对于本领域的专业人员来说,在了解了本发明内容和原理后,都可能在不背离本发明原理、结构的情况下,进行形式和细节上的各种修改和改变,但是这些基本于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。

Claims (6)

1.一种量子城域网中基于动态调整的端到端密钥生成方法,其特征在于,包括:
(1)在量子城域网中的相邻可信中继间协商量子密钥;
(2)初始化密钥相关参数:
(2a)设业务数据包单个长度为Unit,设置单个密钥建立包所能建立的密钥长度LK也为Unit;
(2b)设业务数据包发包间隔为Inr,对方当前对端到端密钥的需求程度为Dk,则密钥建立包发包间隔为
Figure FDA0003524046980000011
(2c)通信双方初始化密钥接收缓存区期望的序列号;
(3)通信双方建立预置密钥量:
(3a)在通信准备阶段,通信双方全速建立预置密钥量,主叫方和被叫方不断地随机产生长度为LK的二进制串作为初始密钥,并先为这些初始密钥依次分配唯一的序列号,再将这些初始密钥及其密钥序列号按顺序依次存放到密钥发送缓冲区;
(3b)对发送缓冲区的初始密钥依次进行封包,得到密钥建立包并在该密钥建立包的头部选项字段中分别设置3个标记位Ik、Lk、Sk,再将该密钥建立包发送到由接入节点和可信中继组成的量子线路中,并通过消耗协商的链路密钥逐跳加密及转发到达目的端;
(3c)目的端接收到数据包之后,根据第一标记位Ik判断接收到的包是否为密钥建立包:
若是,判断该密钥建立包的第三标记位Sk是否为期望的序列号:
若是,则存放初始密钥并将期望的序列号更新为当前的序列号+1;
若小于期望的序列号,则丢弃该密钥包;
若大于期望的序列号,则存放初始密钥并将期望的序列号更新为当前的序列号+1,且发送信息包通知对方丢失的密钥包序列号;
(3d)判断通信双方所建立的预置密钥量是否达到设定的阈值Kmax
若达到,执行(4);
若没有达到,则返回(3a);
(4)通信双方开始通信:
(4a)判断当前时间是否大于等于设定的业务结束时间:
若是,则执行(5);
否则,通信双方以固定发包间隔Inr发送长度为Unit的业务数据包,并根据端到端密钥量Qr更新当前端对密钥的需求程度DK和密钥拓展系数KE,设置业务数据包的头部选项字段中标记位Dk、Ke记录该参数,之后判断密钥接收缓存区中所建立的端到端密钥量Qr能否对未来的M个业务包进行加密:
若能,则执行(4b);
若不能,则执行(4d);
(4b)在发包之前根据密钥拓展系数KE消耗建立的端到端密钥对业务数据包进行加密,并将该加密密钥的序列号及位置记录于业务数据包头部选项字段标记位Sk中,对加密后的业务数据包在经典线路及量子线路上进行处理转发到达目的端;
(4c)目的端在收到业务数据包后从业务包的头部选项字段中的标记位得到Ke和Sk,从自己的接收密钥中取出相应的密钥,按照与发送端相同的扩展规则和加密原则进行解密得到数据。
(4d)通过业务数据包头部选项字段中的标记位Dk得知对方对密钥的需求程度,并以动态发包间隔
Figure FDA0003524046980000021
发送Dk个密钥建立包以建立端到端密钥,之后返回(4a);
(4e)当前端暂停业务包的发送,发送信息包通知对方密钥不足情况,请求全速建立密钥;
(4f)目的端收到信息包后,暂停业务全速发送N个密钥建立包,建立端到端密钥;
(4g)发送方判断密钥接收缓冲区中可用于业务加密的剩余端到端密钥量是否重新回到设定阈值Kmin
若回到,则执行(4b);
否则,判断是否超过最长等待时间Tk:若超过,执行(5);否则,返回(4f);
(5)结束当前事件并挂起,发送信息包通知对方结束通信。
2.根据权利要求1所述的方法,其中(1)所述的在量子城域网中的相邻可信中继间协商量子密钥,实现如下:
(1)将相邻的可信中继作为协商密钥的双方,分别称为Alice和Bob,基于MDI-QKD协议Alice和Bob先制备相位随机化的弱相干光脉冲,并随机将其编码为四个BB84态之一;随后Alice和Bob双方通过量子信道把制备好的量子态发送给第三方Charlie进行贝尔态测量;
(2)Charlie公布贝尔态测量结果,Alice和Bob公布各自的编码基矢,并对于使用相同编码基矢的部分,依据贝尔态测量结果选择进行翻转处理,得到正关联的数据,并对其进行经典纠错及密性放大生成最终的安全密钥。
3.根据权利要求1所述的方法,其特征在于,(3b)中设置的3个标记位Ik、Lk、Sk其功能分别如下:
Ik用于标记密钥建立包;
Lk用于记录密钥建立包所携带的初始密钥长度;
Sk用于记录密钥建立包中初始密钥的序列号。
4.根据权利要求1所述的方法,其特征在于,(4b)中对依据密钥拓展系数KE消耗建立的端到端密钥对业务数据包进行加密,实现如下:
4b1)依据当前端的剩余端到端密钥量Qr动态的调整密钥拓展系数KE
若Qr<Kmin,则KE=4,即密钥长度LK=Unit的端到端密钥能对长度为4Unit的业务数据进行加密;
Figure FDA0003524046980000031
则KE=2,即密钥长度LK=Unit的端到端密钥能对长度为2Unit的业务数据进行加密;
Figure FDA0003524046980000032
则KE=1,不对密钥进行拓展;
4b2)依据密钥拓展系数KE,对建立的端到端密钥先进行密钥拓展,得到拓展后的端到端密钥K,再根据AES对称加密算法将业务数据包中的明文P使用AES加密函数C=E(K,P)处理,得到加密后的密文C。
5.根据权利要求1所述的方法,其特征在于,(4b)中的量子线路,是指相邻可信中继间的线路,其存在协商的量子密钥,用于对经过该线路的密钥包进行加密传输。
6.根据权利要求1所述的方法,其特征在于,(4b)中的经典线路,是指除量子线路以外的所有线路,其无法协商量子密钥,仅对经过该线路的数据包进行直接传输。
CN202210206158.9A 2022-02-28 2022-02-28 量子城域网中基于动态调整的端到端密钥生成方法 Active CN114598462B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210206158.9A CN114598462B (zh) 2022-02-28 2022-02-28 量子城域网中基于动态调整的端到端密钥生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210206158.9A CN114598462B (zh) 2022-02-28 2022-02-28 量子城域网中基于动态调整的端到端密钥生成方法

Publications (2)

Publication Number Publication Date
CN114598462A true CN114598462A (zh) 2022-06-07
CN114598462B CN114598462B (zh) 2023-10-17

Family

ID=81815269

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210206158.9A Active CN114598462B (zh) 2022-02-28 2022-02-28 量子城域网中基于动态调整的端到端密钥生成方法

Country Status (1)

Country Link
CN (1) CN114598462B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116233767A (zh) * 2023-03-20 2023-06-06 中国联合网络通信集团有限公司 集群对讲通信方法、装置、设备及存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106130725A (zh) * 2016-08-26 2016-11-16 西安电子科技大学 量子密钥分发网络端到端瓶颈密钥速率的测量方法
CN106972922A (zh) * 2013-06-08 2017-07-21 科大国盾量子技术股份有限公司 一种基于量子密钥分配网络的移动保密通信方法
US20170214525A1 (en) * 2013-06-08 2017-07-27 Quantumctek Co., Ltd. Mobile secret communications method based on quantum key distribution network
EP3761557A1 (de) * 2019-07-05 2021-01-06 Deutsche Telekom AG Verteilung und nutzung quantensicherer schlüssel in einem netzwerk
CN112887206A (zh) * 2021-01-20 2021-06-01 西安电子科技大学 量子城域网中基于动态优先级的路由器队列调度方法
CN113067698A (zh) * 2021-02-19 2021-07-02 西安电子科技大学 一种量子城域网中基于队列轮询的端到端密钥生成方法
US20210367773A1 (en) * 2019-11-21 2021-11-25 State Grid Fujian Electric Power Co., Ltd. Quantum key distribution method and system based on tree qkd network
CN114006694A (zh) * 2021-09-26 2022-02-01 北京邮电大学 量子密钥的处理方法、装置、电子设备及存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106972922A (zh) * 2013-06-08 2017-07-21 科大国盾量子技术股份有限公司 一种基于量子密钥分配网络的移动保密通信方法
US20170214525A1 (en) * 2013-06-08 2017-07-27 Quantumctek Co., Ltd. Mobile secret communications method based on quantum key distribution network
CN106130725A (zh) * 2016-08-26 2016-11-16 西安电子科技大学 量子密钥分发网络端到端瓶颈密钥速率的测量方法
EP3761557A1 (de) * 2019-07-05 2021-01-06 Deutsche Telekom AG Verteilung und nutzung quantensicherer schlüssel in einem netzwerk
US20210367773A1 (en) * 2019-11-21 2021-11-25 State Grid Fujian Electric Power Co., Ltd. Quantum key distribution method and system based on tree qkd network
CN112887206A (zh) * 2021-01-20 2021-06-01 西安电子科技大学 量子城域网中基于动态优先级的路由器队列调度方法
CN113067698A (zh) * 2021-02-19 2021-07-02 西安电子科技大学 一种量子城域网中基于队列轮询的端到端密钥生成方法
CN114006694A (zh) * 2021-09-26 2022-02-01 北京邮电大学 量子密钥的处理方法、装置、电子设备及存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
NAN CHEN;LINXI ZHANG;CHANGXING PEI: "Correction to: Faithful qubit transmission in a quantum communication network with heterogeneous channels", 《SPRINGLINK》 *
XUYANG WANG; JIANQIANG LIU; XUEFENG LI; YONGMIN LI: "Generation of Stable and High Extinction Ratio Light Pulses for Continuous Variable Quantum Key Distribution", 《IEEE JOURNAL OF QUANTUM ELECTRONICS ( VOLUME: 51, ISSUE: 6, JUNE 2015)》 *
孔媛媛;杨震;吕斌;田峰;: "一种基于信道生成密钥的安全网络编码系统", 《南京邮电大学学报(自然科学版)》, no. 03 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116233767A (zh) * 2023-03-20 2023-06-06 中国联合网络通信集团有限公司 集群对讲通信方法、装置、设备及存储介质
CN116233767B (zh) * 2023-03-20 2024-04-30 中国联合网络通信集团有限公司 集群对讲通信方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN114598462B (zh) 2023-10-17

Similar Documents

Publication Publication Date Title
CN112398651B (zh) 一种量子保密通信方法、装置、电子设备以及存储介质
CN107040378A (zh) 一种基于多用户远程通信的密钥分配系统与方法
EP2036243A2 (en) Method and apparatus for secure communications
US7899056B2 (en) Device and method for reducing overhead in a wireless network
CN105471576A (zh) 一种量子密钥中继的方法、量子终端节点及系统
CN107426248B (zh) 一种基于网络编码的wmn匿名通信方法
JP2006514789A (ja) 安全な移動体アドホック・ネットワーク及び関連の方法
WO2022142307A1 (zh) 一种基于安全中继的量子通信方法和通信网络
KR20210032094A (ko) 양자 암호키 분배 방법, 장치 및 시스템
CN110784321B (zh) 一种新的基于公私钥密码机制的安全匿名通信方法
CN107147492A (zh) 一种基于多终端通信的密钥服务系统与方法
CN101572644B (zh) 一种数据封装方法和设备
CN115276976B (zh) 量子密钥分发方法、装置及电子设备
CN114598462B (zh) 量子城域网中基于动态调整的端到端密钥生成方法
CN110912692B (zh) 一种基于轻型证书的传感器网络认证密钥建立方法及其实施装置
Kong Challenges of routing in quantum key distribution networks with trusted nodes for key relaying
CN114095423A (zh) 基于mpls的电力通信骨干网数据安全防护方法及系统
KR100594023B1 (ko) 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
CN113067698B (zh) 一种量子城域网中基于队列轮询的端到端密钥生成方法
Kao et al. Real-time anonymous routing for mobile ad hoc networks
Matsuzono et al. QKDN meets ICN: Efficient Secure In-Network Data Acquisition
Schartner et al. How to overcome the'Trusted Node Model'in Quantum Cryptography
Marksteiner et al. On the Resilience of a QKD Key Synchronization Protocol for IPsec
Singh et al. SMGSAF: a secure multi-geocasting scheme for opportunistic networks
RU2812343C1 (ru) Способ управления ресурсами аутентификации в сетях квантового распределения ключей, описываемых связными графами произвольных конфигураций

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant