CN114826589A - 一种通讯方法、外网量子网关、内网量子网关及系统 - Google Patents

一种通讯方法、外网量子网关、内网量子网关及系统 Download PDF

Info

Publication number
CN114826589A
CN114826589A CN202210527914.8A CN202210527914A CN114826589A CN 114826589 A CN114826589 A CN 114826589A CN 202210527914 A CN202210527914 A CN 202210527914A CN 114826589 A CN114826589 A CN 114826589A
Authority
CN
China
Prior art keywords
quantum
message
gateway
ciphertext
intranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210527914.8A
Other languages
English (en)
Inventor
吴沅宣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bank of China Ltd
Original Assignee
Bank of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of China Ltd filed Critical Bank of China Ltd
Priority to CN202210527914.8A priority Critical patent/CN114826589A/zh
Publication of CN114826589A publication Critical patent/CN114826589A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种通讯方法、外网量子网关、内网量子网关及系统,可应用于网络安全领域。接收第一待传输消息;在第一待传输消息为第一密文时,利用外网量子网关的网关私钥解密第一密文以得到外网消息,并利用量子密钥加密外网消息得到第三密文;通过指定网络通道将第三密文发送至内网量子网关,使内网量子网关基于量子密钥对第三密文进行解密以得到外网消息,及使内网量子网关将外网消息发送至内网设备;在第一待传输消息为第二密文时,利用量子密钥对第二密文进行解密得到内网消息;利用移动储存设备的公钥加密内网消息得到第四密文,将第四密文发送给外网设备,使外网设备对第四密文进行解密以得到内网消息;以提高信息传输的安全性能。

Description

一种通讯方法、外网量子网关、内网量子网关及系统
技术领域
本发明涉及通信技术领域,具体涉及一种通讯方法、外网量子网关、内网量子网关及系统。
背景技术
目前银行通常使用内部办公网络来保障网络安全,但在某些特殊情况下,银行工作人员需要远程办公。银行工作人员在远程办公时,通常以虚拟专用网络(VirtualPrivate Network,VPN)接入内部办公网络来传输信息,但是,使用VPN容易被窃听而导致信息泄露,安全性能较差。
发明内容
有鉴于此,本发明实施例提供一种通讯方法、外网量子网关、内网量子网关及系统,以解决现有向内部办公网络传输消息的方式存在的安全性能较差等问题。
为实现上述目的,本发明实施例提供如下技术方案:
本发明实施例第一方面公开一种通讯方法,所述方法适用于与内网量子网关建立量子密钥交换通道的外网量子网关,所述方法包括:
接收第一待传输消息,所述第一待传输消息为:由接入移动储存设备的外网设备基于所述外网量子网关的网关公钥加密外网消息得到的第一密文,或者,由所述内网量子网关基于量子密钥加密内网消息得到的第二密文;所述量子密钥由所述内网量子网关和所述外网量子网关通过所述量子密钥交换通道、量子随机数与量子密钥交换算法确定得到;
在所述第一待传输消息为所述第一密文的情况下,利用所述外网量子网关的网关私钥解密所述第一密文以得到所述外网消息,并利用所述量子密钥加密所述外网消息得到第三密文;
通过指定网络通道将所述第三密文发送至所述内网量子网关,使所述内网量子网关基于所述量子密钥对所述第三密文进行解密以得到所述外网消息,以及使所述内网量子网关将所述外网消息发送至内网设备;
在所述第一待传输消息为所述第二密文的情况下,利用所述量子密钥对所述第二密文进行解密得到所述内网消息;
利用预先存储的所述移动储存设备的公钥加密所述内网消息得到第四密文,并将所述第四密文发送给所述外网设备,使所述外网设备根据所述移动储存设备的私钥对所述第四密文进行解密以得到所述内网消息,其中,所述公钥和所述私钥为预先生成并存储至所述移动储存设备的公私钥对。
优选的,接收第一待传输消息之前,还包括:
对所述外网设备进行认证,并将所述外网量子网关的网关公钥发送给所述外网设备。
本发明实施例第二方面公开一种通讯方法,所述方法适用与外网量子网关建立量子密钥交换通道的内网量子网关,所述方法包括:
接收第二待传输消息,所述第二待传输消息为:由内网设备发送的内网消息,或者,由所述外网量子网关基于量子密钥加密外网消息得到的第三密文;所述量子密钥由所述内网量子网关和所述外网量子网关通过所述量子密钥交换通道、量子随机数与量子密钥交换算法确定得到;
在所述第二待传输消息为所述内网消息的情况下,利用所述量子密钥加密所述内网消息得到第二密文;
通过指定网络通道将所述第二密文发送至所述外网量子网关,使所述外网量子网关基于所述量子密钥对所述第二密文进行解密以得到所述内网消息,以及使所述外网量子网关将所述内网消息发送至外网设备;
在所述第二待传输消息为所述第三密文的情况下,利用所述量子密钥对所述第三密文进行解密得到所述外网消息;
将所述外网消息发送至所述内网设备。
优选的,所述方法还包括:
在检测到密钥更新指令时,基于所述量子密钥交换通道、新的量子随机数和量子密钥交换算法,与所述外网量子网关确定新的量子密钥。
本发明实施例第三方面公开一种外网量子网关,所述外网量子网关与内网量子网关建立量子密钥交换通道,所述外网量子网关包括:
接收单元,用于接收第一待传输消息,所述第一待传输消息为:由接入移动储存设备的外网设备基于所述外网量子网关的网关公钥加密外网消息得到的第一密文,或者,由所述内网量子网关基于量子密钥加密内网消息得到的第二密文;所述量子密钥由所述内网量子网关和所述外网量子网关通过所述量子密钥交换通道、量子随机数与量子密钥交换算法确定得到;
第一处理单元,用于在所述第一待传输消息为所述第一密文的情况下,利用所述外网量子网关的网关私钥解密所述第一密文以得到所述外网消息,并利用所述量子密钥加密所述外网消息得到第三密文;
发送单元,用于通过指定网络通道将所述第三密文发送至所述内网量子网关,使所述内网量子网关基于所述量子密钥对所述第三密文进行解密以得到所述外网消息,以及使所述内网量子网关将所述外网消息发送至内网设备;
解密单元,用于在所述第一待传输消息为所述第二密文的情况下,利用所述量子密钥对所述第二密文进行解密得到所述内网消息;
第二处理单元,用于利用预先存储的所述移动储存设备的公钥加密所述内网消息得到第四密文,并将所述第四密文发送给所述外网设备,使所述外网设备根据所述移动储存设备的私钥对所述第四密文进行解密以得到所述内网消息,其中,所述公钥和所述私钥为预先生成并存储至所述移动储存设备的公私钥对。
优选的,所述外网量子网关还包括:
认证单元,用于对所述外网设备进行认证,并将所述外网量子网关的网关公钥发送给所述外网设备。
本发明实施例第四方面公开一种内网量子网关,所述内网量子网关与外网量子网关建立量子密钥交换通道,所述内网量子网关包括:
接收单元,用于接收第二待传输消息,所述第二待传输消息为:由内网设备发送的内网消息,或者,由所述外网量子网关基于量子密钥加密外网消息得到的第三密文;所述量子密钥由所述内网量子网关和所述外网量子网关通过所述量子密钥交换通道、量子随机数与量子密钥交换算法确定得到;
加密单元,用于在所述第二待传输消息为所述内网消息的情况下,利用所述量子密钥加密所述内网消息得到第二密文;
第一发送单元,用于通过指定网络通道将所述第二密文发送至所述外网量子网关,使所述外网量子网关基于所述量子密钥对所述第二密文进行解密以得到所述内网消息,以及使所述外网量子网关将所述内网消息发送至外网设备;
解密单元,用于在所述第二待传输消息为所述第三密文的情况下,利用所述量子密钥对所述第三密文进行解密得到所述外网消息;
第二发送单元,用于将所述外网消息发送至所述内网设备。
本发明实施例第五方面公开一种通讯系统,所述通讯系统包括:本发明实施例第三方面公开的外网量子网关,及本发明实施例第四方面公开的内网量子网关;其中,所述外网量子网关和所述内网量子网关建立量子密钥交换通道。
本发明实施例第六方面公开一种电子设备,包括:处理器以及存储器,所述处理器以及存储器通过通信总线相连;其中,所述处理器,用于调用并执行所述存储器中存储的程序;所述存储器,用于存储程序,所述程序用于实现本发明实施例第一方面公开的一种通讯方法,或,实现本发明实施例第二方面公开的一种通讯方法。
本发明实施例第七方面公开一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行本发明实施例第一方面公开的一种通讯方法,或,执行本发明实施例第二方面公开的一种通讯方法。
基于上述本发明实施例提供的一种通讯方法、外网量子网关、内网量子网关及系统,接收第一待传输消息;在第一待传输消息为第一密文的情况下,利用外网量子网关的网关私钥解密第一密文以得到外网消息,并利用量子密钥加密外网消息得到第三密文;通过指定网络通道将第三密文发送至内网量子网关,使内网量子网关基于量子密钥对第三密文进行解密以得到外网消息,以及使内网量子网关将外网消息发送至内网设备;在第一待传输消息为第二密文的情况下,利用量子密钥对第二密文进行解密得到内网消息;利用预先存储的移动储存设备的公钥加密内网消息得到第四密文,并将第四密文发送给外网设备,使外网设备根据移动储存设备的私钥对第四密文进行解密以得到内网消息。本方案中,外网量子网关和内网量子网关通过量子密钥交换通道确定量子密钥。在将外网消息传入内网设备时,外网量子网关基于量子密钥加密外网消息并发送至内网量子网关,由内网量子网关解密外网消息后将其发送至内网设备。在将内网消息发送至外网设备时,内网量子网关基于量子密钥加密内网消息并发送至外网量子网关,由外网量子网关对内网消息进行处理后发送至外网设备。通过量子技术能够快速发现窃听行为且利用量子密钥保证传输信息的安全,提高信息传输的安全性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的内网量子网关和外网量子网关的连接示意图;
图2为本发明实施例提供的偏振光子示意图;
图3为本发明实施例提供的测量结果示意图;
图4为本发明实施例提供的另一测量结果示意图;
图5为本发明实施例提供的一种通讯方法的流程图;
图6为本发明实施例提供的一种通讯方法的另一流程图;
图7为本发明实施例提供的一种外网量子网关的结构框图;
图8为本发明实施例提供的一种内网量子网关的结构框图;
图9为本发明实施例提供的一种通讯系统的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
需要说明的是,本发明提供的一种通讯方法、外网量子网关、内网量子网关及系统可用于网络安全领域。上述仅为示例,并不对本发明提供的一种通讯方法、外网量子网关、内网量子网关及系统的应用领域进行限定。
由背景技术可知,在远程办公时,目前通常以VPN接入内部办公网络来传输信息,但是,使用VPN容易被窃听而导致信息泄露,安全性能较差。
因此,本发明实施例提供一种通讯方法、外网量子网关、内网量子网关及系统,外网量子网关和内网量子网关通过量子密钥交换通道确定量子密钥。在将外网消息传入内网设备时,外网量子网关基于量子密钥加密外网消息并发送至内网量子网关,由内网量子网关解密外网消息后将其发送至内网设备。在将内网消息发送至外网设备时,内网量子网关基于量子密钥加密内网消息并发送至外网量子网关,由外网量子网关对内网消息进行处理后发送至外网设备。通过量子技术能够快速发现窃听行为且利用量子密钥保证传输信息的安全,以提高信息传输的安全性能。
需要说明的是,量子网关为具有量子密钥交换功能、产生量子随机数功能和证书颁发机构功能(Certificate Authority,CA功能)等功能的网关设备,内网量子网关通常部署在内部办公网络(内网)入口,内网设备通过内网量子网关将消息发送至外网量子网关,利用外网量子网关将消息传输给外网设备;外网设备通过外网量子网关将消息发送至内网量子网关,利用内网量子网关将消息传输给内网设备。例如:银行端互联网入口部署内网量子网关,根据需要,在各分行或各地区分别部署外网量子网关。
也就是说,内网量子网关和外网量子网关可以是一对多的关系,内网量子网关与外网量子网关之间通过指定网络通道(如传统网络通道或者额外铺设的光纤通道)进行通信,内网量子网关和外网量子网关通过量子密钥交换通道确定量子密钥。例如图1提供的内网量子网关和外网量子网关的连接示意图,内网量子网关A部署在银行端互联网入口,内网量子网关A将消息发送至内网服务器(内网设备)或者接收内网服务器发送的消息;外网量子网关B(其中一个外网量子网关,仅示例)部署在某一地区,外网量子网关B可以接收外网设备发送的消息或者将消息发送给外网设备,其中,内网量子网关A和外网量子网关B预先通过量子密钥交换通道确定量子密钥,外网设备可以是PC机(台式机和笔记本等)和移动终端(手机和平板等)等设备,外网设备需接入移动储存设备(如TYPEC KEY),该移动储存设备具有安全芯片。
一些实施例中,内网量子网关和外网量子网关之间建立量子密钥交换通道,内网量子网关和外网量子网关通过量子密钥交换通道、量子随机数与量子密钥交换算法确定得到量子密钥。
为更好解释说明内网量子网关和外网量子网关如何确定得到量子密钥,结合图2至图4,通过以下内容进行解释说明。
内网量子网关随机生成一组二进制比特;如图2,内网量子网关随机生成“01100101”这一组二进制比特,内网量子网关对每一个比特都随机选择测量基后,所确定的偏振光子的具体内容如图2所示;内网量子网关通过量子密钥交换通道将所确定的偏振光子发送给外网量子网关。
外网量子网关在接收到偏振光子后,外网量子网关基于量子随机数生成测量基;如图3,外网量子网关随机选择测量基对偏振光子进行测量,测量结果可参见图3。需要说明的是,对于每一个偏振光子对应的测量基,如果外网量子网关和内网量子网关选择相同的测量基,则测量结果为唯一值(要么为1,要么为0);如果外网量子网关和内网量子网关选择不同的测量基,则测量结果不是唯一值(0或1)。
对比内网量子网关和外网量子网关所选择的测量基,测量基相同的则保留相应的比特,测量基不同的则丢弃相应的比特,如图4,比对结果为“1001”。此时,最终所确定的量子密钥即为“1001”。
外网量子网关和内网量子网关通过量子密钥交换通道确定量子密钥的过程中,能够及时发现是否存在窃听行为以及保证量子密钥的传输安全性;通过以下2种情形来解释如何保证量子密钥的传输安全性和如何发现窃听行为。
第一种情形:如果存在窃听者,那么窃听者只能发现外网量子网关和内网量子网关在对比测量基,不具备任何意义。
第二种情形:如果窃听者拦截内网量子网关和外网量子网关传输的偏振光子,由于光子无法复制,窃听者只能在外网量子网关之前测量偏振光子(相当于劫听);而当窃听者测量内网量子网关发送的偏振光子时,窃听者有50%的概率选择与内网量子网关一样的测量基,也有50%的概率改变偏振光子的偏振方向(偏45度)。
在不存在窃听者的情况下,内网量子网关和外网量子网关采用相同的测量基的概率是50%,故内网量子网关和外网量子网之间比对某一部分测量结果时,具有50%的概率相同。在存在窃听者的情况下,内网量子网关和窃听者采用相同的测量基的概率是50%,外网量子网关和窃听者采用相同的测量基的概率是50%,故内网量子网关和外网量子网之间比对某一部分测量结果时,具有25%的概率相同;基于前述内容,当比对测量结果具有25%的概率相同时,可判定存在窃听者,此时内网量子网关和外网量子网关停止通信,当前传递的信息作废。
以上内容是关于内网量子网关和外网量子网关之间如何确定量子密钥以及如何提高安全性能的相关说明。
请参见图5,示出了本发明实施例提供的一种通讯方法的流程图,该通讯方法适用于外网量子网关,该外网量子网关与内网量子网关建立量子密钥交换通道,该通讯方法包括:
步骤S501:接收第一待传输消息。
需要说明的是,与外网量子网关通信的外网设备需接入移动储存设备,该移动储存设备搭载有在内网设置好的安全芯片,该安全芯片内存储有基于密钥算法(如非对称密钥算法)生成的公私钥对、外网量子网关的网关证书和外网量子网关的网关公钥等,即移动储存设备中存储有公钥、私钥、网关证书和网关公钥等信息。接入移动储存设备的外网设备,可以利用移动储存设备中存储的公私钥对进行电子签名。
进一步需要说明的是,移动存储设备中的公钥预先分发至内网量子网关和外网量子网关。
优选的,外网量子网关预先外网设备进行认证,并将外网量子网关的网关公钥发送给外网设备。具体而言,外网量子网关将网关证书发送给外网设备对其进行认证,外网设备可根据该网关证书从外网量子网关中获取网关公钥。
第一待传输消息为:由接入移动储存设备的外网设备基于外网量子网关的网关公钥加密外网消息得到的第一密文,或者,由内网量子网关基于量子密钥加密内网消息得到的第二密文;量子密钥由内网量子网关和外网量子网关通过量子密钥交换通道、量子随机数与量子密钥交换算法确定得到,量子密钥的确定方式参见上述内容,在此不再赘述。
在具体实现步骤S501的过程中,外网量子网关接收由外网设备发送的第一密文(第一待传输消息),或者,接收由内网量子网关发送的第二密文(第一待传输消息)。
在第一待传输消息为第一密文的情况下,指示外网设备需将外网消息发送至内网设备,执行步骤S502和步骤S503;在第一待传输消息为第二密文的情况下,指示内网设备需将内网消息发送至外网设备,执行步骤S504和步骤S505。
步骤S502:在第一待传输消息为第一密文的情况下,利用外网量子网关的网关私钥解密第一密文以得到外网消息,并利用量子密钥加密外网消息得到第三密文。
由于第一密文由外网设备基于外网量子网关的网关公钥加密外网消息得到,在具体实现步骤S502的过程中,在第一待传输消息为第一密文的情况下,外网量子网关利用自身的网关私钥对第一密文进行解密,得到外网消息;外网量子网关再利用量子密钥加密外网消息得到第三密文。
步骤S503:通过指定网络通道将第三密文发送至内网量子网关,使内网量子网关基于量子密钥对第三密文进行解密以得到外网消息,以及使内网量子网关将外网消息发送至内网设备。
在具体实现步骤S503的过程中,外网量子网关通过指定网络通道将第三密文发送至内网量子网关;内网量子网关利用量子密钥对第三密文进行解密以得到外网消息,内网量子网关将解密得到的外网消息发送至内网设备;基于以上方式,即可将外网消息送入内网设备中。
步骤S504:在第一待传输消息为第二密文的情况下,利用量子密钥对第二密文进行解密得到内网消息。
在具体实现步骤S504的过程中,在第一待传输消息为第二密文的情况下,外网量子网关基于量子密钥对内网量子网关发送的第二密文进行解密,得到内网消息。
步骤S505:利用预先存储的移动储存设备的公钥加密内网消息得到第四密文,并将第四密文发送给外网设备,使外网设备根据移动储存设备的私钥对第四密文进行解密以得到内网消息。
需要说明的是,预先将移动储存设备的公钥分发至外网量子网关进行存储;在具体实现步骤S505的过程中,外网量子网关在解密得到内网消息后,利用移动储存设备的公钥加密内网消息得到第四密文,外网量子网关将第四密文发送给外网设备。由于外网设备中接入移动储存设备,外网设备在接收到第四密文后,外网设备利用移动储存设备的私钥对第四密文进行解密以得到内网消息;基于以上方式,即可将内网消息发送至外网设备。
在本发明实施例中,在将外网消息传入内网设备时,外网量子网关基于量子密钥加密外网消息并发送至内网量子网关,由内网量子网关解密外网消息后将其发送至内网设备。在将内网消息发送至外网设备时,内网量子网关基于量子密钥加密内网消息并发送至外网量子网关,由外网量子网关对内网消息进行处理后发送至外网设备。通过量子技术能够快速发现窃听行为且利用量子密钥保证传输信息的安全,提高信息传输的安全性能。
参加图6,示出了本发明实施例提供的一种通讯方法的另一流程图,该通讯方法适用于内网量子网关,该内网量子网关与外网量子网关建立量子密钥交换通道,该通讯方法包括:
步骤S601:接收第二待传输消息。
需要说明的是,第二待传输消息为:由内网设备发送的内网消息,或者,由外网量子网关基于量子密钥加密外网消息得到的第三密文;量子密钥由内网量子网关和外网量子网关通过量子密钥交换通道、量子随机数与量子密钥交换算法确定得到。
在具体实现步骤S601的过程中,内网量子网关接收由内网设备发送的内网消息(第二待传输消息),或者,接收由外网量子网关通过指定网络通道发送的第三密文(第二待传输消息)。
在第二待传输消息为内网消息的情况下,指示需要将内网消息发送至外网设备,执行步骤S602和步骤S603;在第二待传输消息为第三密文的情况下,指示需要将外网消息发送至内网设备,执行步骤S604和步骤S605。
步骤S602:在第二待传输消息为内网消息的情况下,利用量子密钥加密内网消息得到第二密文。
在具体实现步骤S602的过程中,在第二待传输消息为内网消息的情况下,内网量子网关通过量子密钥对内网消息进行加密,以得到第二密文。
步骤S603:通过指定网络通道将第二密文发送至外网量子网关,使外网量子网关基于量子密钥对第二密文进行解密以得到内网消息,以及使外网量子网关将内网消息发送至外网设备。
在具体实现步骤S603的过程中,内网量子网关通过指定网络通道将第二密文发送至外网量子网关;外网量子网关在接收到第二密文后,外网量子网关基于量子密钥对第二密文进行解密以得到内网消息,外网量子网关利用移动储存设备的公钥对内网消息进行加密后发送至外网设备;通过以上方式,即可将内网消息发送至外网设备。需要说明的是,外网量子网关将内网消息发送至外网设备的具体过程,可参见上述本发明实施例图5步骤S504和步骤S505的内容,在此不再赘述。
步骤S604:在第二待传输消息为第三密文的情况下,利用量子密钥对第三密文进行解密得到外网消息。
在具体实现步骤S604的过程中,在第二待传输消息为第三密文的情况下,内网量子网关基于量子密钥对第三密文进行解密,以得到外网消息。
步骤S605:将外网消息发送至内网设备。
在具体实现步骤S605的过程中,内网量子网关解密得到外网消息后,内网量子网关将外网消息发送至内网设备;通过以上方式,即可将外网消息送入内网设备中。
需要说明的是,内网量子网关和外网量子网关之间所采用的量子密钥,可以根据实际需求进行更新;优选的,内网量子网关在检测到密钥更新指令时,基于量子密钥交换通道、新的量子随机数和量子密钥交换算法,与外网量子网关确定新的量子密钥;在后续信息传递过程中,内网量子网关和外网量子网关使用新的量子密钥对信息进行加解密。
以上各个实施例的内容,是关于本发明实施例提供的通讯方法的相关说明;与上述通讯方法相对应,参见图7,本发明实施例还提供了一种外网量子网关的结构框图,该外网量子网关与内网量子网关建立量子密钥交换通道,该外网量子网关包括:接收单元701、第一处理单元702、发送单元703、解密单元704和第二处理单元705;
接收单元701,用于接收第一待传输消息,第一待传输消息为:由接入移动储存设备的外网设备基于外网量子网关的网关公钥加密外网消息得到的第一密文,或者,由内网量子网关基于量子密钥加密内网消息得到的第二密文;量子密钥由内网量子网关和外网量子网关通过量子密钥交换通道、量子随机数与量子密钥交换算法确定得到。
第一处理单元702,用于在第一待传输消息为第一密文的情况下,利用外网量子网关的网关私钥解密第一密文以得到外网消息,并利用量子密钥加密外网消息得到第三密文。
发送单元703,用于通过指定网络通道将第三密文发送至内网量子网关,使内网量子网关基于量子密钥对第三密文进行解密以得到外网消息,以及使内网量子网关将外网消息发送至内网设备。
解密单元704,用于在第一待传输消息为第二密文的情况下,利用量子密钥对第二密文进行解密得到内网消息。
第二处理单元705,用于利用预先存储的移动储存设备的公钥加密内网消息得到第四密文,并将第四密文发送给外网设备,使外网设备根据移动储存设备的私钥对第四密文进行解密以得到内网消息,其中,公钥和私钥为预先生成并存储至移动储存设备的公私钥对。
在本发明实施例中,在将外网消息传入内网设备时,外网量子网关基于量子密钥加密外网消息并发送至内网量子网关,由内网量子网关解密外网消息后将其发送至内网设备。在将内网消息发送至外网设备时,内网量子网关基于量子密钥加密内网消息并发送至外网量子网关,由外网量子网关对内网消息进行处理后发送至外网设备。通过量子技术能够快速发现窃听行为且利用量子密钥保证传输信息的安全,提高信息传输的安全性能。
结合图7示出的内容,外网量子网关还包括:
认证单元,用于对外网设备进行认证,并将外网量子网关的网关公钥发送给外网设备。
与上述通讯方法相对应,参见图8,本发明实施例还提供了一种内网量子网关的结构框图,该内网量子网关与外网量子网关建立量子密钥交换通道,该内网量子网关包括:接收单元801、加密单元802、第一发送单元803、解密单元804和第二发送单元805;
接收单元801,用于接收第二待传输消息,第二待传输消息为:由内网设备发送的内网消息,或者,由外网量子网关基于量子密钥加密外网消息得到的第三密文;量子密钥由内网量子网关和外网量子网关通过量子密钥交换通道、量子随机数与量子密钥交换算法确定得到。
加密单元802,用于在第二待传输消息为内网消息的情况下,利用量子密钥加密内网消息得到第二密文。
第一发送单元803,用于通过指定网络通道将第二密文发送至外网量子网关,使外网量子网关基于量子密钥对第二密文进行解密以得到内网消息,以及使外网量子网关将内网消息发送至外网设备。
解密单元804,用于在第二待传输消息为第三密文的情况下,利用量子密钥对第三密文进行解密得到外网消息。
第二发送单元805,用于将外网消息发送至内网设备。
优选的,结合图8示出的内容,内网量子网关还包括:
更新单元,用于在检测到密钥更新指令时,基于量子密钥交换通道、新的量子随机数和量子密钥交换算法,与外网量子网关确定新的量子密钥。
与上述通讯方法相对应,参见图9,本发明实施例还提供了一种通讯系统的结构框图,该通讯系统包括:内网量子网关901和外网量子网关902;其中,内网量子网关901的执行原理参见上述图8中的内容,外网量子网关902的执行原理参见上述图7中的内容,在此不再赘述。
优选的,本发明实施例还提供了一种电子设备,包括:处理器以及存储器,处理器以及存储器通过通信总线相连;其中,处理器,用于调用并执行存储器中存储的程序;存储器,用于存储程序,程序用于实现如上述方法实施例公开的一种通讯方法。
优选的,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机可执行指令,计算机可执行指令用于执行上述方法实施例公开的一种通讯方法。
综上所述,本发明实施例提供一种通讯方法、外网量子网关、内网量子网关及系统,在将外网消息传入内网设备时,外网量子网关基于量子密钥加密外网消息并发送至内网量子网关,由内网量子网关解密外网消息后将其发送至内网设备。在将内网消息发送至外网设备时,内网量子网关基于量子密钥加密内网消息并发送至外网量子网关,由外网量子网关对内网消息进行处理后发送至外网设备。通过量子技术能够快速发现窃听行为且利用量子密钥保证传输信息的安全,提高信息传输的安全性能。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种通讯方法,其特征在于,所述方法适用于与内网量子网关建立量子密钥交换通道的外网量子网关,所述方法包括:
接收第一待传输消息,所述第一待传输消息为:由接入移动储存设备的外网设备基于所述外网量子网关的网关公钥加密外网消息得到的第一密文,或者,由所述内网量子网关基于量子密钥加密内网消息得到的第二密文;所述量子密钥由所述内网量子网关和所述外网量子网关通过所述量子密钥交换通道、量子随机数与量子密钥交换算法确定得到;
在所述第一待传输消息为所述第一密文的情况下,利用所述外网量子网关的网关私钥解密所述第一密文以得到所述外网消息,并利用所述量子密钥加密所述外网消息得到第三密文;
通过指定网络通道将所述第三密文发送至所述内网量子网关,使所述内网量子网关基于所述量子密钥对所述第三密文进行解密以得到所述外网消息,以及使所述内网量子网关将所述外网消息发送至内网设备;
在所述第一待传输消息为所述第二密文的情况下,利用所述量子密钥对所述第二密文进行解密得到所述内网消息;
利用预先存储的所述移动储存设备的公钥加密所述内网消息得到第四密文,并将所述第四密文发送给所述外网设备,使所述外网设备根据所述移动储存设备的私钥对所述第四密文进行解密以得到所述内网消息,其中,所述公钥和所述私钥为预先生成并存储至所述移动储存设备的公私钥对。
2.根据权利要求1所述的方法,其特征在于,接收第一待传输消息之前,还包括:
对所述外网设备进行认证,并将所述外网量子网关的网关公钥发送给所述外网设备。
3.一种通讯方法,其特征在于,所述方法适用与外网量子网关建立量子密钥交换通道的内网量子网关,所述方法包括:
接收第二待传输消息,所述第二待传输消息为:由内网设备发送的内网消息,或者,由所述外网量子网关基于量子密钥加密外网消息得到的第三密文;所述量子密钥由所述内网量子网关和所述外网量子网关通过所述量子密钥交换通道、量子随机数与量子密钥交换算法确定得到;
在所述第二待传输消息为所述内网消息的情况下,利用所述量子密钥加密所述内网消息得到第二密文;
通过指定网络通道将所述第二密文发送至所述外网量子网关,使所述外网量子网关基于所述量子密钥对所述第二密文进行解密以得到所述内网消息,以及使所述外网量子网关将所述内网消息发送至外网设备;
在所述第二待传输消息为所述第三密文的情况下,利用所述量子密钥对所述第三密文进行解密得到所述外网消息;
将所述外网消息发送至所述内网设备。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在检测到密钥更新指令时,基于所述量子密钥交换通道、新的量子随机数和量子密钥交换算法,与所述外网量子网关确定新的量子密钥。
5.一种外网量子网关,其特征在于,所述外网量子网关与内网量子网关建立量子密钥交换通道,所述外网量子网关包括:
接收单元,用于接收第一待传输消息,所述第一待传输消息为:由接入移动储存设备的外网设备基于所述外网量子网关的网关公钥加密外网消息得到的第一密文,或者,由所述内网量子网关基于量子密钥加密内网消息得到的第二密文;所述量子密钥由所述内网量子网关和所述外网量子网关通过所述量子密钥交换通道、量子随机数与量子密钥交换算法确定得到;
第一处理单元,用于在所述第一待传输消息为所述第一密文的情况下,利用所述外网量子网关的网关私钥解密所述第一密文以得到所述外网消息,并利用所述量子密钥加密所述外网消息得到第三密文;
发送单元,用于通过指定网络通道将所述第三密文发送至所述内网量子网关,使所述内网量子网关基于所述量子密钥对所述第三密文进行解密以得到所述外网消息,以及使所述内网量子网关将所述外网消息发送至内网设备;
解密单元,用于在所述第一待传输消息为所述第二密文的情况下,利用所述量子密钥对所述第二密文进行解密得到所述内网消息;
第二处理单元,用于利用预先存储的所述移动储存设备的公钥加密所述内网消息得到第四密文,并将所述第四密文发送给所述外网设备,使所述外网设备根据所述移动储存设备的私钥对所述第四密文进行解密以得到所述内网消息,其中,所述公钥和所述私钥为预先生成并存储至所述移动储存设备的公私钥对。
6.根据权利要求5所述的外网量子网关,其特征在于,所述外网量子网关还包括:
认证单元,用于对所述外网设备进行认证,并将所述外网量子网关的网关公钥发送给所述外网设备。
7.一种内网量子网关,其特征在于,所述内网量子网关与外网量子网关建立量子密钥交换通道,所述内网量子网关包括:
接收单元,用于接收第二待传输消息,所述第二待传输消息为:由内网设备发送的内网消息,或者,由所述外网量子网关基于量子密钥加密外网消息得到的第三密文;所述量子密钥由所述内网量子网关和所述外网量子网关通过所述量子密钥交换通道、量子随机数与量子密钥交换算法确定得到;
加密单元,用于在所述第二待传输消息为所述内网消息的情况下,利用所述量子密钥加密所述内网消息得到第二密文;
第一发送单元,用于通过指定网络通道将所述第二密文发送至所述外网量子网关,使所述外网量子网关基于所述量子密钥对所述第二密文进行解密以得到所述内网消息,以及使所述外网量子网关将所述内网消息发送至外网设备;
解密单元,用于在所述第二待传输消息为所述第三密文的情况下,利用所述量子密钥对所述第三密文进行解密得到所述外网消息;
第二发送单元,用于将所述外网消息发送至所述内网设备。
8.一种通讯系统,其特征在于,所述通讯系统包括:权利要求5或6所述的外网量子网关,及权利要求7所述的内网量子网关;其中,所述外网量子网关和所述内网量子网关建立量子密钥交换通道。
9.一种电子设备,其特征在于,包括:处理器以及存储器,所述处理器以及存储器通过通信总线相连;其中,所述处理器,用于调用并执行所述存储器中存储的程序;所述存储器,用于存储程序,所述程序用于实现如权利要求1-2任意一所述的一种通讯方法,或,实现如权利要求3-4任意一所述的一种通讯方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行权利要求1-2任意一所述的一种通讯方法,或,执行权利要求3-4任意一所述的一种通讯方法。
CN202210527914.8A 2022-05-16 2022-05-16 一种通讯方法、外网量子网关、内网量子网关及系统 Pending CN114826589A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210527914.8A CN114826589A (zh) 2022-05-16 2022-05-16 一种通讯方法、外网量子网关、内网量子网关及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210527914.8A CN114826589A (zh) 2022-05-16 2022-05-16 一种通讯方法、外网量子网关、内网量子网关及系统

Publications (1)

Publication Number Publication Date
CN114826589A true CN114826589A (zh) 2022-07-29

Family

ID=82514740

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210527914.8A Pending CN114826589A (zh) 2022-05-16 2022-05-16 一种通讯方法、外网量子网关、内网量子网关及系统

Country Status (1)

Country Link
CN (1) CN114826589A (zh)

Similar Documents

Publication Publication Date Title
US11316677B2 (en) Quantum key distribution node apparatus and method for quantum key distribution thereof
CN108512846B (zh) 一种终端与服务器之间的双向认证方法和装置
US9742560B2 (en) Key management in secure network enclaves
US20170180123A1 (en) Discovery of secure network enclaves
US20170214664A1 (en) Secure connections for low power devices
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
CN113691502B (zh) 通信方法、装置、网关服务器、客户端及存储介质
CN114024710B (zh) 一种数据传输方法、装置、系统及设备
US10263782B2 (en) Soft-token authentication system
EP3299990A1 (en) Electronic device server and method for communicating with server
KR20040098962A (ko) 모바일 애드 혹 상의 암호화를 위한 노드간 키 분배 방법및 이를 이용한 네트워크 장치
CN109309566B (zh) 一种认证方法、装置、系统、设备及存储介质
US20210167963A1 (en) Decentralised Authentication
CN112291179B (zh) 一种实现设备认证的方法、系统及装置
JP2018026631A (ja) Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム
CN106257859A (zh) 一种密码使用方法
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
US11463251B2 (en) Method for secure management of secrets in a hierarchical multi-tenant environment
JP2019057827A (ja) 分散認証システムおよびプログラム
CN114386063A (zh) 用于访问物联网设备数据的鉴权系统、方法及装置
CN114826589A (zh) 一种通讯方法、外网量子网关、内网量子网关及系统
CN114466353A (zh) App用户ID信息保护的装置、方法、电子设备及存储介质
US10979226B1 (en) Soft-token authentication system with token blocking after entering the wrong PIN
KR20170111809A (ko) 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법
US11804969B2 (en) Establishing trust between two devices for secure peer-to-peer communication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination