CN114765542A - 基于量子密钥卡的量子密码网络加密通信方法 - Google Patents

基于量子密钥卡的量子密码网络加密通信方法 Download PDF

Info

Publication number
CN114765542A
CN114765542A CN202011638272.6A CN202011638272A CN114765542A CN 114765542 A CN114765542 A CN 114765542A CN 202011638272 A CN202011638272 A CN 202011638272A CN 114765542 A CN114765542 A CN 114765542A
Authority
CN
China
Prior art keywords
quantum
key
network
quantum key
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011638272.6A
Other languages
English (en)
Inventor
不公告发明人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Institute Of Quantum Science And Technology Co ltd
Quantumctek Co Ltd
Original Assignee
Shandong Institute Of Quantum Science And Technology Co ltd
Quantumctek Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Institute Of Quantum Science And Technology Co ltd, Quantumctek Co Ltd filed Critical Shandong Institute Of Quantum Science And Technology Co ltd
Priority to CN202011638272.6A priority Critical patent/CN114765542A/zh
Publication of CN114765542A publication Critical patent/CN114765542A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开提供了一种基于量子密钥卡的量子密码网络加密通信方法,在量子密码网络中建立设备入网认证服务器;量子密钥卡在入网认证服务器进行注册,获取认证密钥;量子密钥卡进行入网认证,入网认证服务器基于发送入网认证请求的量子密钥卡的认证密钥和基本信息,确定该量子密钥卡是否注册过,如果注册过,通过入网认证,并为量子密钥卡更新入网认证密钥;量子密钥卡获取真随机数据用作加密通信的共享密钥;终端之间利用量子密钥卡获取的共享密钥进行加密通信,本公开降低量子密钥卡为进行加密通信获取共享密钥的网络资源消耗,简化了量子密钥卡之间获得共享密钥进行加密通信时的身份认证过程。

Description

基于量子密钥卡的量子密码网络加密通信方法
技术领域
本公开属于加密通信网络技术领域,涉及一种基于量子密钥卡的量子密码网络加密通信方法。
背景技术
本部分的陈述仅仅是提供了与本公开相关的背景技术信息,不必然构成在先技术。
量子通信是近二十年发展起来的新型交叉学科,是量子理论和信息理论相结合的新的研究领域。近来这门学科已逐步从理论走向实验,并向实用化发展。高效安全的信息传输日益受到人们的关注。
物理学上,量子通信可以被理解为在物理极限下,利用量子效应实现的高性能通信。信息学上,我们则认为量子通信是利用量子力学的基本原理(如量子态不可克隆原理和量子态的测量塌缩性质等)或者利用量子隐形传态等量子系统特有属性,以及量子测量的方法来完成的两地之间信息传递。
以量子密钥分发(Quantum Key Distribution,QKD)协议为基础的量子密码技术是现阶段量子通信最重要的实际应用之一。传统的密码学是以数学为基础的密码体制,而量子密码以量子力学为基础,它的安全性建立在测不准原理、量子的不可克隆及量子相干性等物理特性之上,被证明是绝对安全的,因此量子密码技术引起了学术界的高度重视。
量子密码网络便是采用量子密码技术的一种安全通信网络。量子密码网络是由经典通信网络和量子密钥分发网络共同构建而成。量子密钥分发网络主要由量子密钥分发终端设备(QKD设备)和量子链路组成,其用于量子密钥的分发。经典通信网络使用量子密钥实现数据的加解密和加密数据的传输。量子密码网络中的终端或服务器之间可以通过所共享的量子密钥,进行量子保密通信,相当于它们之间具有量子保密通信链路,或称量子保密信道。量子密码网络节点一般是由连接于经典通信网络的经典通信终端和连接于量子通信网络的量子密钥分发设备终端组成。为了增加量子网络及QKD设备的使用效率降低成本,量子密码网络的每一个经典网络终端可以是一台或数台计算机也可以是一个局域网络。
考虑到量子网络的高昂的搭建成本,为了扩大量子网络的使用范围,人们采用物理下载或加密传输等方法通过移动硬盘、USBkey或密钥卡等设备存储量子密钥,在没有连接量子链路的经典互联网设备上使用量子密钥进行加密通信。量子密钥卡就是一种用于下载保存和使量子密钥进行加密通信的设备。量子密钥卡为USBkey或可插拔板卡/芯片,内含独立操作系统,具有数据存储和处理功能,就其自身而言可以基于现有硬件技术实现。
使用量子密钥卡进行基于量子密码网络的加密通信需要对接入量子密码网络用于下载和存储量子密钥的移动设备进行严格的入网认证或身份认证,否则会影响整个量子密码网络系统的安全性,降低量子加密通信的安全级别。
但是,据发明人了解,目前量子密钥卡之间进行加密通信的共享密钥的获得过程不够简洁,浪费了量子密码网络的量子密钥资源;作为量子密码网络的外接设备,量子密钥卡之间每次通过量子密码网络获得共享密钥进行加密通信,需要复杂的设备认证过程,这浪费了量子密钥卡和量子密码网络的认证资源。
例如申请号为201810020795.0的专利文献中公开了一种基于量子网络实现信息加解密传输的通信系统和通信方法。该专利中,通过网络侧的量子网络服务站直接或间接获得的共享密钥,加密通信的量子密钥卡获得共享密钥或共享密钥种子,直接进行加解密通信。该专利生成量子密钥卡加解密共享密钥的方法不够简洁,浪费了量子密码网络的网络资源,而且需要根据量子网络服务站所在的网络范围不同设立不同等级交换中心。该专利方案的另一不足之处在于量子密钥卡之间进行加密通信时认证过程较为复杂,量子密钥卡和与之拥有共享密钥的量子网络服务站之间及量子密钥卡之间均需要进行身份认证。
发明内容
本公开为了解决上述问题,提出了一种基于量子密钥卡的量子密码网络加密通信方法,本公开能够降低量子密钥卡为进行加密通信获取共享密钥的网络资源消耗,简化了量子密钥卡之间获得共享密钥进行加密通信时的身份认证过程。
根据一些实施例,本公开采用如下技术方案:
一种基于量子密钥卡的量子密码网络加密通信方法,包括以下步骤:
在量子密码网络中建立设备入网认证服务器;
量子密钥卡在入网认证服务器进行注册,获取认证密钥;
量子密钥卡进行入网认证,入网认证服务器基于发送入网认证请求的量子密钥卡的认证密钥和基本信息,确定该量子密钥卡是否注册过,如果注册过,通过入网认证,并为量子密钥卡更新入网认证密钥;
量子密钥卡获取真随机数据生成用于加密通信的共享密钥;
终端之间利用量子密钥卡获取的共享密钥进行加密通信。
作为可选择的实施方式,量子密钥卡在入网认证服务器进行注册,获取认证密钥的具体过程包括:
量子密钥卡通过量子网络服务站接入网络,通过量子保密信道向入网认证服务器提供认证信息;
入网认证服务器验证量子密钥卡的认证信息,如满足注册要求,则根据认证信息生成入网认证码MACQ,并存储认证信息及入网认证码MACQ
注册成功后,入网认证服务器通过量子保密信道向量子密钥卡发送一系列密钥数据,作为认证密钥,用于量子密钥卡的入网认证。
作为进一步的限定,所述认证信息至少包括以下信息:量子密钥卡设备ID、量子密钥卡所属的量子网络服务站ID、设备用户或设备管理员的认证口令或用于认证的生物特征。
作为进一步的限定,注册成功后量子密钥卡将量子密钥数据存入量子密钥卡并进行密钥划分和顺序编号,入网认证服务器的数据库保存量子密钥数据,并采用相同的方式对量子密钥数据进行密钥划分和同步顺序编号。
作为可选择的实施方式,量子密钥卡进行入网认证的具体过程包括:
量子密钥卡根据认证信息生成入网认证码MACQ,基于未使用的认证密钥加密入网认证码,生成密文,将密钥的编号、量子密钥卡ID和密文发送给入网认证服务器;
入网认证服务器收到认证信息后,进行信息提取并解密密文,基于解密的信息进行认证;
认证成功后,入网认证服务器使用入网认证码MACQ加密认证密钥得到第二密文,将第二密文通过量子保密信道发送给量子密钥卡所属量子网络服务站,通知该终端向量子密钥卡分发随机数;入网认证服务器同时通知量子密钥卡,准备进行随机数分发;
作为进一步的限定,量子密钥卡根据认证信息生成入网认证码,基于未使用的认证密钥加密入网认证码,生成密文的具体过程包括:量子密钥卡在认证密钥中选择一个未使用的编号为SN的认证密钥KAU,采用格公钥算法,使用KAU生成格密码公钥PA,使用PA加密入网认证码MACQ,生成密文EA
作为进一步的限定,进行信息提取并解密密文,基于解密的信息进行认证的具体过程包括:入网认证服务器收到认证信息后,根据量子密钥卡ID,从数据库中读取编号为SN的入网认证密钥KAU和入网认证码MACQ,采用格公钥算法,使用KAU解密密文EA,获得明文P,验证P是否等于MACQ,如果不等于,则认证失败,否则认证成功。
作为进一步的限定,认证成功后,量子密钥卡将编号为SN的入网认证密钥KAU标记为已使用;
入网认证服务器将数据库中该量子密钥卡编号为SN的入网认证密钥标记为已使用,并检查该量子密钥卡的入网认证密钥数据是否需要更新。
作为可选择的实施方式,量子密钥卡获取真随机数据生成用于加密通信的共享密钥的具体过程包括:
量子网络服务站生成真随机数据,使用已有的共享密钥将真随机数据加密发送给量子密钥卡,将随机数据按照每次使用的密钥长度进行密钥划分,划分为随机数密钥并进行顺序编号,使用第二密文作为密钥加密每一个随机数密钥,存储每一个加密后的随机数密钥,其编号不变,作为与量子密钥卡的加密通信的共享密钥;
量子密钥卡收到量子网络服务站发送的随机数据的加密数据,使用共享密钥解密获得随机数据,按照与量子网络服务站相同的方式对随机数据进行密钥划分,划分为随机数密钥并同步顺序编号,同时将入网认证所使用的认证密钥和使用用户口令和用户认证信息生成的入网认证码作为加密通信的共享密钥的生成密钥;
量子密钥卡在需要使用共享密钥进行加密通信时,首先输入用户口令,使用用户口令与量子密钥卡认证信息生成入网认证码,采用与所属量子网络服务站相同的加密方式使用认证密钥和入网认证码生成密文,使用密文加密每一个随机数密钥,生成与所属量子网络服务站加密通信的共享密钥。
作为可选择的实施方式,终端之间利用共享密钥进行加密通信为:
经典网络终端利用量子密钥卡通过随机数分发获得的随机数进行加密通信,加密通信的对象为使用量子密钥卡的经典网络终端,或量子密码网络终端。
作为进一步的限定,经典网络终端之间利用共享密钥进行加密通信的具体过程包括:
第一量子网络服务站A接受请求,将与第一量子密钥卡a的一个加密通信的共享密钥R1 Ma采用量子密码网络密钥中继路由方法中继到第二量子网络服务站B;
第二量子网络服务站B使用与第二量子密钥卡b的共享密钥R1 Mb加密R1 Ma得到密文E1 b,将密文E1 b发送给第二量子密钥卡b,第二量子密钥卡b使用共享密钥R1 Mb对应的随机数和生成密钥生成共享密钥R1 Mb,并用其解密E1 b获得密钥R1 Ma,第二量子密钥卡b将R1 Ma的哈希值H(R1 Ma)发送给第一量子密钥卡a;
第一量子密钥卡a收到H(R1 Ma)后,使用与R1 Ma对应的随机数及共享密钥的生成密钥生成共享密钥R1’ Ma,比较H(R1 Ma)和H(R1’ Ma),如果不相等则第一量子密钥卡a和第二量子密钥卡b的身份认证失败,不能进行加密通信,否则第一量子密钥卡a和第二量子密钥卡b的身份认证成功,第一量子密钥卡a和第二量子密钥卡b之间根据加密通信的需求中继更多的共享密钥,使用共享密钥进行加解密通信。
作为进一步的限定,经典网络终端和量子密码网络终端之间利用共享密钥进行加密通信的具体过程包括:
量子密钥卡a向量子网络服务站A请求到量子密码网络终端B的密钥中继,量子网络服务站A和量子密钥卡a拥有共享密钥;
量子网络服务站A接受请求,将与量子密钥卡a的共享密钥RMa采用量子密码网络密钥中继路由方法中继到量子密码网络终端B;
量子密钥卡a使用随机数Ra和共享密钥生成密钥KAU a和MACQa生成共享密钥RMa,基于量子密钥卡a的经典网络终端和量子密码网络终端B使用共享密钥RMa进行加解密通信。
与现有技术相比,本公开的有益效果为:
本公开量子密钥卡进行加密通信时获得共享密钥的方法,相比较于现有技术更为简洁,节约了网络资源。比如以申请号为201810020795.0的专利文献为代表的现有技术中,通过一个交换中心向两个量子密钥卡下发共享密钥的方法,需要4次加解密(共享密钥从交换中心到两个量子网络服务站需要两次,量子网络服务站到量子密钥卡需要两次,共4次),而本公开提供的方法只需3次即可(量子网络服务站到交换中心1次,交换中心到另一方量子网络服务站1次,另一方量子网络服务站到量子密钥卡1次),这节约了网络资源。
本公开在量子网络服务站对量子密钥卡进行量子密钥分发时,通过入网认证服务器设置了共享密钥生成密钥,用于量子密钥卡生成与量子服务站之间加密通信的共享密钥,生成密钥在加密同时实时使用,一方面降低了量子密钥卡密钥保鲜度下降所带来的安全隐患,另一方面也简化了量子密钥卡进行加密通信时的设备身份认证流程,量子密钥卡之间进行加密通信时的身份认证只需要比较第一个中继共享密钥的一致性便可以实现双方密钥卡的身份认证,认证过程更为简洁高效。
附图说明
构成本公开的一部分的说明书附图用来提供对本公开的进一步理解,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。
图1是本实施例的系统结构图;
图2是本实施例的量子密钥卡下载认证密钥时的设备连接状态图;
图3是本实施例的注册流程示意图;
图4是本实施例的量子密钥卡下载加密钥时的设备连接状态图;
图5是本实施例的认证流程示意图;
图6是本实施例的随机数分发流程示意图;
图7是本实施例的共享密钥中继示意图;
图8是本实施例的量子密钥卡加密通信流程示意图。
具体实施方式:
下面结合附图与实施例对本公开作进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本公开提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本公开所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本公开的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
正如背景技术中所述的,现有技术中,量子密钥卡之间进行加密通信的共享密钥的获得过程不够简洁,浪费了量子密码网络的量子密钥分发资源;同时,作为量子密码网络的外接设备,量子密钥卡之间每次通过量子密码网络获得共享密钥进行加密通信,需要复杂的设备认证过程,这浪费了量子密钥卡和量子密码网络的认证资源。
针对上述问题,本实施例提出一种改进的基于量子密钥卡的量子密码网络加密通信方法,降低量子密钥卡为进行加密通信获取共享密钥的网络资源消耗,简化了量子密钥卡之间获得共享密钥进行加密通信时的身份认证过程。
首先,需要建立入网认证服务器。在量子密码网络中建立设备入网认证服务器,用于通过量子网络服务站接入量子密码网络的量子密钥卡的入网认证及量子密钥卡入网认证密钥的分发。
作为一种典型的实施例,如图1所示,基于量子密钥卡的量子密码网络加密通信的系统结构,包括量子密码网络、入网认证服务器、量子网络服务站、量子密钥卡和物理连接量子密钥卡的经典网络终端。
入网认证服务器位于量子密码网络中,负责量子密钥卡接入量子密码网络下载量子密钥时的入网认证,包括量子密钥卡的注册、入网认证密钥的分发及量子密钥卡入网时的设备身份认证。通过入网认证服务器和高安全级别的设备认证流程,可防止非法设备接入量子密码网络获取量子密钥。
量子密钥卡通过物理连接方式接入经典网络通信终端,为经典网络通信终端提供密钥进行加密通信。量子密钥卡中的加密通信密钥通过量子网络服务站的真随机数分发获取。在进行真随机数分发之前,量子密钥卡需要通过入网认证服务器进行严格的入网认证,以防止非法量子密钥卡的非法接入,危害系统安全性。
其次,进行量子密钥卡的注册:
附图2为量子密钥卡下载认证密钥时的设备连接状态图,量子密钥卡以物理方式接入量子网络服务站,量子网络服务站与入网认证服务器通过量子保密信道进行加密通信。
量子密钥卡在入网之前需在入网认证服务器注册,注册流程如附图3,详述如下:
1.量子密钥卡以物理方式接入量子网络服务站,通过量子网络服务站接入量子密码网络,通过量子保密信道向入网认证服务器提供必要的认证信息。
认证信息包括但不限于量子密钥卡设备ID、设备用户或设备管理员的认证口令或用于认证的生物特征等。
2.入网认证服务器审核量子密钥卡的认证信息,如满足注册要求,则根据认证信息生成入网认证码MACQ,并存储认证信息及入网认证码MACQ
3.注册成功后,入网认证服务器通过量子保密信道向量子密钥卡发送一系列量子密钥数据,作为入网认证密钥,用于量子密钥卡的入网认证。量子密钥卡将量子密钥数据进行密钥划分并顺序编号存入量子密钥卡,入网认证服务器的数据库保存量子密钥数据,并采用与量子密钥卡相同的方式进行密钥划分和同步顺序编号。
量子密钥卡通过量子保密信道获得一系列认证密钥,便于在入网认证时采用真正的一次一密的加密方式实现认证,避免了重复使用同一密钥进行多次入网认证,这使量子密钥卡的入网认证可达到无条件安全级别。相对于加密通信的加解密密钥,认证密钥的使用量较少,每次入网认证只使用一个认证密钥,通过入网认证服务器分发的认证密钥完全可以满足认证需求。当认证密钥不足时,可以通过物理接入量子网络服务站方式通过入网认证服务器进行更新。
附图4为量子密钥卡下载加密密钥时的设备连接状态图,量子密钥卡以物理方式接入经典网络终端,经典网络终端以经典网络通信方式连接于量子网络服务站和入网认证服务器,量子网络服务站与入网认证服务器通过量子保密信道进行加密通信。
量子密钥卡有两种方式从所属量子网络服务站获取真随机数据用作加密通信的共享密钥。一种是以物理方式接入量子网络服务站直接获取,一种是通过共享密钥进行加密通信获得,我们把这两种方式统称为随机数分发。本实施例将量子密钥卡以物理连接方式接入经典网络终端,采用第二种随机数分发方式进行用于加密通信的随机数分发。
量子网络服务站需要对量子密钥卡进行随机数分发时,量子密钥卡均需要先进行入网认证,认证方法如附图5所示,详述如下:
1.量子密钥卡首先根据认证信息生成入网认证码MACQ,在认证密钥中选择一个未使用的编号为SN的认证密钥KAU,采用格公钥算法,使用KAU生成格密码公钥PA,使用PA加密入网认证码MACQ,生成密文EA,将密钥的编号SN、量子密钥卡ID和EA发送给入网认证服务器;
2.入网认证服务器收到认证信息后,根据量子密钥卡ID,从数据库中读取编号为SN的入网认证密钥KAU和入网认证码MACQ,如果密钥KAU已使用,则入网认证失败,否则,使用KAU解密密文EA,获得明文P,验证P是否等于MACQ,如果不等于,则认证失败,等于则认证成功,将KAU标记为已使用;
3.认证成功后,入网认证服务器使用KAU加密MACQ得到密文EM,将EM通过量子保密信道发送给将要为量子密钥卡进行密钥分发的量子网络服务站,通知该量子网络服务站向量子密钥卡进行随机数分发;入网认证服务器同时通知量子密钥卡,准备进行随机数分发,量子密钥卡将编号为SN的入网认证密钥KAU标记为已使用;
4.入网认证服务器检查该量子密钥卡的入网认证密钥数据是否需要更新,如果需要,则入网认证服务器通知量子密钥卡以物理方式接入量子网络服务站,通过量子保密信道为量子密钥卡更新入网认证密钥。
本认证过程使用了格公钥密码技术,安全性较高且具有抗量子攻击特性,而且认证信息交互流程较为简洁。
将要对量子密钥卡进行密钥分发的量子网络服务站收到入网认证服务器的随机数分发通知后,利用与量子密钥卡的共享密钥进行随机数分发,分发过程如图6所述,详述如下:
1.量子网络服务站生成真随机数据,使用已有的共享密钥将真随机数据加密发送给量子密钥卡,将随机数据按照每次使用的密钥长度进行密钥划分,划分为随机数密钥并进行顺序编号,使用密文EM作为密钥加密每一个随机数密钥,存储每一个加密后的随机数密钥,其编号不变,作为与量子密钥卡的加密通信的共享密钥;
2.量子密钥卡收到量子网络服务站发送的随机数据的加密数据,使用共享密钥解密获得随机数据,按照与量子网络服务站相同的方式对随机数据进行密钥划分,划分为随机数密钥并同步顺序编号,同时将入网认证所使用的认证密钥KAU和使用用户口令和用户认证信息生成的入网认证码MACQ作为加密通信的共享密钥的生成密钥;
3.量子密钥卡在需要使用共享密钥进行加密通信时,首先输入用户口令,使用用户口令与量子密钥卡认证信息生成入网认证码MACQ,采用与所属量子网络服务站相同的加密方式使用KAU和MACQ生成密文EM,使用EM加密(加密方式与量子网络服务站相同)每一个随机数密钥,生成与加密通信的共享密钥。
用户在随机数分发之前不可以将可用的与所属量子网络服务站之间的共享密钥全部用尽。如果全部用尽,只能将量子密钥卡以物理方式接入量子网络服务站,直接下载随机数。
共享密钥在使用的时候由随机数密钥和生成密钥临时生成,生成时需要使用认证密钥KAU和由用户口令生成的入网认证码MACQ,这在一定程度上克服了由于随机数R保鲜度下降对系统安全的影响,另一方面密钥卡与量子网络服务站之间的共享密钥加入了用户的身份认证信息,方便了后续加密通信时的身份认证过。
通过与各自所属的量子网络服务站的共享密钥,量子密钥卡之间可以进行加密通信。在进行加密通信时,需要先进行密钥中继。假设进行通信的量子密钥卡为a和b,与其拥有共享密钥的量子网络服务站分别为A和B,通过密钥中继,a和b获得进行加密通信的共享密钥,其密钥中继的流程如附图7所示,密钥卡a可以生成与A的共享密钥RMa,密钥卡b可以生成与B的共享密钥RMb,首先量子网络服务站A通过量子密码网络密钥中继路由(广域网路由或城域网路由,由A和B的位置决定)将共享密钥RMa中继到量子网络服务站B,B使用与量子密钥卡b的共享密钥RMb加密RMa发送给b,b使用生成的与B共享的密钥RMb解密获得,量子密钥卡a和量子密钥卡B获得共享密钥RMa
图8为量子密钥卡a和量子密钥卡b之间进行加密通信的流程,详述如下:
第一量子密钥卡a与第一量子网络服务站A拥有共享密钥,第二量子密钥卡b与第二量子网络服务站B拥有共享密钥。a和b通过A和B进行加密通信的步骤如下:
1.假设a是加密通信的发起方,a向A请求到经过B到b的密钥中继;
2.第一量子网络服务站A接受请求,将与第一量子密钥卡a的一个加密通信的共享密钥R1 Ma采用量子密码网络密钥中继路由方法中继到第二量子网络服务站B;
3.第二量子网络服务站B使用与第二量子密钥卡b的共享密钥R1 Mb加密R1 Ma得到密文E1 b,将密文E1 b发送给第二量子密钥卡b,第二量子密钥卡b使用与R1 Mb对应的随机数和共享密钥的生成密钥生成共享密钥R1 Mb,解密E1 b获得密钥R1 Ma,第二量子密钥卡b将R1 Ma的哈希值H(R1 Ma)发送给第一量子密钥卡a;
4.第一量子密钥卡a收到H(R1 Ma)后,使用与R1 Ma对应的随机数和共享密钥的生成密钥生成共享密钥R1’ Ma,比较H(R1 Ma)和H(R1’ Ma),如果不相等则a和b的身份认证失败,不能进行加密通信,否则a和b的身份认证成功,a和b按照上述中继密钥R1 Ma的方法根据加密通信的需求中继更多的共享密钥,使用共享密钥进行加解密通信。
由于本实施例方案中量子密钥卡和对其进行密钥分发的量子网络服务站之间的加密通信的共享密钥包含有密钥卡的入网认证信息,只有通信时量子密钥卡a和b的用户均输入了正确的入网认证信息,a和b之间通过密钥中继获得的共享密钥才能一致,通过比对a和b之间中继的共享密钥是否一致同时完成了a和b的身份认证。
还有基于量子密钥卡a的经典网络终端和量子密码网络终端B的加密通信:
量子密钥卡a向量子网络服务站A(A和a拥有共享密钥)请求到量子密码网络终端B的密钥中继;
量子网络服务站A接受请求,将与量子密钥卡a的共享密钥RMa采用量子密码网络密钥中继路由方法中继到量子密码网络终端B;
量子密钥卡a使用随机数Ra和共享密钥生成密钥KAU a(用于随机数Ra分发的认证密钥)和MACQa(量子密钥卡a的入网认证码)生成共享密钥RMa,基于量子密钥卡a的经典网络终端和量子密码网络终端B使用共享密钥RMa进行加解密通信。
本领域内的技术人员应明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的优选实施例而已,并不用于限制本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
上述虽然结合附图对本公开的具体实施方式进行了描述,但并非对本公开保护范围的限制,所属领域技术人员应该明白,在本公开的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本公开的保护范围以内。

Claims (10)

1.一种基于量子密钥卡的量子密码网络加密通信方法,其特征是:包括以下步骤:
在量子密码网络中建立设备入网认证服务器;
量子密钥卡在入网认证服务器进行注册,获取认证密钥;
量子密钥卡进行入网认证,入网认证服务器基于发送入网认证请求的量子密钥卡的认证密钥和基本信息,确定该量子密钥卡是否注册过,如果注册过,通过入网认证,并为量子密钥卡更新入网认证密钥;
量子密钥卡获取真随机数据用作加密通信的共享密钥;
终端之间利用量子密钥卡获取的共享密钥进行加密通信。
2.如权利要求1所述的一种基于量子密钥卡的量子密码网络加密通信方法,其特征是:量子密钥卡在入网认证服务器进行注册,获取认证密钥的具体过程包括:
量子密钥卡通过量子网络服务站接入网络,通过量子保密通信向入网认证服务器提供认证信息;
入网认证服务器验证量子密钥卡的认证信息,如满足注册要求,则根据认证信息生成入网认证码MACQ,并存储认证信息及入网认证码MACQ
注册成功后,入网认证服务器通过量子保密信道向量子密钥卡发送一系列密钥数据,作为认证密钥,用于量子密钥卡的入网认证。
3.如权利要求2所述的一种基于量子密钥卡的量子密码网络加密通信方法,其特征是:所述认证信息至少包括以下信息的:量子密钥卡设备ID、量子密钥卡所属的量子网络服务站ID、设备用户或设备管理员的认证口令或用于认证的生物特征;
或,注册成功后量子密钥卡将量子密钥数据存入量子密钥卡并进行密钥划分和顺序编号,入网认证服务器的数据库保存量子密钥数据,并采用相同的方式对量子密钥数据进行密钥划分和同步顺序编号。
4.如权利要求1所述的一种基于量子密钥卡的量子密码网络加密通信方法,其特征是:量子密钥卡进行入网认证的具体过程包括:
量子密钥卡根据认证信息生成入网认证码MACQ,基于未使用的认证密钥加密入网认证码,生成密文,将密钥的编号、量子密钥卡ID和密文发送给入网认证服务器;
入网认证服务器收到认证信息后,进行信息提取并解密密文,基于解密的信息进行认证;
认证成功后,入网认证服务器使用入网认证码MACQ加密认证密钥得到第二密文,将第二密文通过量子保密信道发送给量子密钥卡所属量子网络服务站,通知该终端向量子密钥卡分发随机数;入网认证服务器同时通知量子密钥卡,准备进行随机数分发,量子密钥卡将认证密钥标注为已使用。
5.如权利要求4所述的一种基于量子密钥卡的量子密码网络加密通信方法,其特征是:量子密钥卡根据认证信息生成入网认证码MACQ,基于未使用的认证密钥加密入网认证码,生成密文的具体过程包括:量子密钥卡在认证密钥中选择一个未使用的编号为SN的认证密钥KAU,采用格公钥算法,使用KAU生成格密码公钥PA,使用PA加密入网认证码MACQ,生成密文EA
或,进行信息提取并解密密文,基于解密的信息进行认证的具体过程包括:入网认证服务器收到认证信息后,根据量子密钥卡ID,从数据库中读取编号为SN的入网认证密钥KAU和入网认证码MACQ,采用格公钥算法,使用KAU解密密文EA,获得明文P,验证P是否等于MACQ,如果不等于,则认证失败,否则认证成功。
6.如权利要求1所述的一种基于量子密钥卡的量子密码网络加密通信方法,其特征是:量子密钥卡以物理方式接入经典网络终端,通过共享密钥进行加密通信从所属量子网络服务站获取真随机数据用于生成加密通信的共享密钥。
7.如权利要求1所述的一种基于量子密钥卡的量子密码网络加密通信方法,其特征是:量子密钥卡获取真随机数据生成用于加密通信的共享密钥的具体过程包括:
量子网络服务站生成真随机数据,使用已有的共享密钥将真随机数据加密发送给量子密钥卡,将随机数据按照每次使用的密钥长度进行密钥划分划分为随机数密钥并进行顺序编号,使用第二密文作为密钥加密每一个随机数密钥,存储每一个加密后的随机数密钥,其编号不变,作为与量子密钥卡的加密通信的共享密钥;
量子密钥卡收到量子网络服务站发送的随机数据的加密数据,使用共享密钥解密获得随机数据,按照与量子网络服务站相同的方式对随机数据进行密钥划分,划分为随机数密钥并同步顺序编号,同时将入网认证所使用的认证密钥和使用用户口令和用户认证信息生成的入网认证码作为加密通信的共享密钥的生成密钥;
量子密钥卡在需要使用共享密钥进行加密通信时,首先输入用户口令,使用用户口令与量子密钥卡认证信息生成入网认证码,采用与所属量子网络服务站相同的加密方式使用认证密钥和入网认证码生成密文,使用密文加密每一个随机数密钥,生成用于加密通信的共享密钥。
8.如权利要求1所述的一种基于量子密钥卡的量子密码网络加密通信方法,其特征是:终端之间利用共享密钥进行加密通信为:
经典网络终端利用量子密钥卡通过随机数分发获得的随机数生成共享密钥进行加密通信,加密通信的对象为使用量子密钥卡的经典网络终端,或量子密码网络终端。
9.如权利要求8所述的一种基于量子密钥卡的量子密码网络加密通信方法,其特征是:经典网络终端之间利用共享密钥进行加密通信的具体过程包括:
第一量子网络服务站A接受请求,将与第一量子密钥卡a的一个加密通信的共享密钥R1 Ma采用量子密码网络密钥中继路由方法中继到第二量子网络服务站B;
第二量子网络服务站B使用与第二量子密钥卡b的共享密钥R1 Mb加密R1 Ma得到密文E1 b,将密文E1 b发送给第二量子密钥卡b,第二量子密钥卡b使用共享密钥R1 Mb对应的随机数和生成密钥生成共享密钥R1 Mb,解密E1 b获得密钥R1 Ma,第二量子密钥卡b将R1 Ma的哈希值H(R1 Ma)发送给量子密钥卡a;
第一量子密钥卡a收到H(R1 Ma)后,使用与共享密钥R1 Ma对应的随机数和生成密钥生成共享密钥R1’ Ma,比较H(R1 Ma)和H(R1’ Ma),如果不相等则第一量子密钥卡a和第二量子密钥卡b的身份认证失败,不能进行加密通信,否则第一量子密钥卡a和第二量子密钥卡b的身份认证成功,第一量子密钥卡a和第二量子密钥卡b之间根据加密通信的需求中继更多的共享密钥,使用共享密钥进行加解密通信。
10.如权利要求8所述的一种基于量子密钥卡的量子密码网络加密通信方法,其特征是:经典网络终端和量子密码网络终端之间利用共享密钥进行加密通信的具体过程包括:
量子密钥卡a向量子网络服务站A请求到量子密码网络终端B的密钥中继,量子网络服务站A和量子密钥卡a拥有共享密钥;
量子网络服务站A接受请求,将与量子密钥卡a的共享密钥RMa采用量子密码网络密钥中继路由方法中继到量子密码网络终端B;
量子密钥卡a使用随机数Ra和共享密钥的生成密钥KAU a,和MACQa生成共享密钥RMa,基于量子密钥卡a的经典网络终端和量子密码网络终端B使用共享密钥进行加解密通信。
CN202011638272.6A 2020-12-31 2020-12-31 基于量子密钥卡的量子密码网络加密通信方法 Pending CN114765542A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011638272.6A CN114765542A (zh) 2020-12-31 2020-12-31 基于量子密钥卡的量子密码网络加密通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011638272.6A CN114765542A (zh) 2020-12-31 2020-12-31 基于量子密钥卡的量子密码网络加密通信方法

Publications (1)

Publication Number Publication Date
CN114765542A true CN114765542A (zh) 2022-07-19

Family

ID=82363050

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011638272.6A Pending CN114765542A (zh) 2020-12-31 2020-12-31 基于量子密钥卡的量子密码网络加密通信方法

Country Status (1)

Country Link
CN (1) CN114765542A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106357649A (zh) * 2016-09-23 2017-01-25 浙江神州量子网络科技有限公司 用户身份认证系统和方法
CN106712938A (zh) * 2016-12-26 2017-05-24 浙江神州量子网络科技有限公司 一种量子白板通信方法和系统
CN108599925A (zh) * 2018-03-20 2018-09-28 如般量子科技有限公司 一种基于量子通信网络的改进型aka身份认证系统和方法
CN108768653A (zh) * 2018-03-01 2018-11-06 如般量子科技有限公司 基于量子密钥卡的身份认证系统
CN108809636A (zh) * 2018-04-26 2018-11-13 如般量子科技有限公司 基于群组型量子密钥卡实现成员间消息认证的通信系统和通信方法
US20190394031A1 (en) * 2018-01-11 2019-12-26 Beijing Guodian Tong Network Technology Co., Ltd Method and device for quantum key fusion-based virtual power plant security communication and medium

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106357649A (zh) * 2016-09-23 2017-01-25 浙江神州量子网络科技有限公司 用户身份认证系统和方法
CN106712938A (zh) * 2016-12-26 2017-05-24 浙江神州量子网络科技有限公司 一种量子白板通信方法和系统
US20190394031A1 (en) * 2018-01-11 2019-12-26 Beijing Guodian Tong Network Technology Co., Ltd Method and device for quantum key fusion-based virtual power plant security communication and medium
CN108768653A (zh) * 2018-03-01 2018-11-06 如般量子科技有限公司 基于量子密钥卡的身份认证系统
CN108599925A (zh) * 2018-03-20 2018-09-28 如般量子科技有限公司 一种基于量子通信网络的改进型aka身份认证系统和方法
CN108809636A (zh) * 2018-04-26 2018-11-13 如般量子科技有限公司 基于群组型量子密钥卡实现成员间消息认证的通信系统和通信方法

Similar Documents

Publication Publication Date Title
CN110463237B (zh) 用于管理服务器和用户设备之间的通信的方法
CN106357396B (zh) 数字签名方法和系统以及量子密钥卡
CN108282329B (zh) 一种双向身份认证方法及装置
CN106712931B (zh) 基于量子密码网络的手机令牌身份认证系统及方法
CN109151053A (zh) 基于公共非对称密钥池的抗量子计算云存储方法和系统
CN106357649A (zh) 用户身份认证系统和方法
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法
CN109150519A (zh) 基于公共密钥池的抗量子计算云存储安全控制方法和系统
CN107708112A (zh) 一种适用于mqtt‑sn协议的加密方法
CN108650028B (zh) 基于量子通信网络与真随机数的多次身份认证系统和方法
CN106411525A (zh) 消息认证方法和系统
CN107800539A (zh) 认证方法、认证装置和认证系统
CN106452739A (zh) 一种量子网络服务站以及量子通信网络
CN108964897B (zh) 基于群组通信的身份认证系统和方法
CN106130716A (zh) 基于认证信息的密钥交换系统及方法
CN108768653A (zh) 基于量子密钥卡的身份认证系统
CN108566273A (zh) 基于量子网络的身份认证系统
CN108964896B (zh) 一种基于群组密钥池的Kerberos身份认证系统和方法
CN108964895B (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法
CN108880799B (zh) 基于群组密钥池的多次身份认证系统和方法
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
CN108600152A (zh) 基于量子通信网络的改进型Kerberos身份认证系统和方法
CN113595725B (zh) 基于量子密钥卡排列的通信系统及通信方法
CN114765543A (zh) 一种量子密码网络扩展设备的加密通信方法及系统
CN109299618A (zh) 基于量子密钥卡的抗量子计算云存储方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination