CN116527248B - 支持量子标识在网络层路由寻址的高安全通信方法及系统 - Google Patents
支持量子标识在网络层路由寻址的高安全通信方法及系统 Download PDFInfo
- Publication number
- CN116527248B CN116527248B CN202310420517.5A CN202310420517A CN116527248B CN 116527248 B CN116527248 B CN 116527248B CN 202310420517 A CN202310420517 A CN 202310420517A CN 116527248 B CN116527248 B CN 116527248B
- Authority
- CN
- China
- Prior art keywords
- quantum
- identification
- network
- communication
- sender
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 232
- 238000004891 communication Methods 0.000 title claims abstract description 215
- 238000000034 method Methods 0.000 title claims abstract description 74
- 238000009826 distribution Methods 0.000 claims abstract description 37
- 230000008569 process Effects 0.000 claims description 36
- 238000012795 verification Methods 0.000 claims description 24
- 238000002360 preparation method Methods 0.000 claims description 16
- 230000009191 jumping Effects 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 11
- 230000008929 regeneration Effects 0.000 claims description 5
- 238000011069 regeneration method Methods 0.000 claims description 5
- 238000012790 confirmation Methods 0.000 claims description 3
- 238000005259 measurement Methods 0.000 abstract description 20
- 238000005516 engineering process Methods 0.000 description 27
- 230000010287 polarization Effects 0.000 description 22
- 238000011161 development Methods 0.000 description 17
- 230000018109 developmental process Effects 0.000 description 17
- 230000005540 biological transmission Effects 0.000 description 16
- 230000001427 coherent effect Effects 0.000 description 10
- 230000006872 improvement Effects 0.000 description 9
- 230000008901 benefit Effects 0.000 description 7
- 238000012546 transfer Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000004927 fusion Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 239000013307 optical fiber Substances 0.000 description 3
- 230000005610 quantum mechanics Effects 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000005304 joining Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 229910000530 Gallium indium arsenide Inorganic materials 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000010367 cloning Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000005283 ground state Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000002070 nanowire Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 239000002096 quantum dot Substances 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000002834 transmittance Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种支持量子标识在网络层路由寻址的高安全通信方法及系统,包括:步骤S1,根据量子标识对多标识网络分组进行修改,并定义量子标识和多标识网络之间的通信方式;步骤S2,部署支持量子标识的多标识网络设备;步骤S3,发送和接收量子态,实现量子标识的多标识网络通信过程;步骤S4,实现量子密钥的分发,进行只读区域中内容的加密。本发明能够有效地将量子的不可克隆以及测不准特性应用于多标识网络通信中,极大地提升了网络的安全性;还能够将多标识网络的独特和先进网络通信方法应用在量子通信上,进而解决了量子不可存储转发和无法路由的难题,能够使得量子通信的可用性显著提升,路由灵活,且路由寻址安全可靠。
Description
技术领域
本发明涉及一种网络通信方法,尤其涉及一种支持量子标识在网络层路由寻址的高安全通信方法,并进一步涉及采用了该支持量子标识在网络层路由寻址的高安全通信方法的高安全通信系统。
背景技术
伴随着人类社会的不断进步,人们在日常的生活和工作中要进行越来越多的通信。与此同时,随着科学技术的不断发展,通信的方法也在不断发展和进步:从借助器物、声音,到使用文字,再到使用电子信息技术,最后到目前广泛使用网络来传递信息,人们通信的方法越来越高效,信息存储和传递的时间和空间范围也愈加广阔,为社会发展带来前所未有的便利。通信技术的发展在满足人们日常生活的情况下,人们也愈发关注如何有效的保障通信安全这一重要问题。
1949年,“信息论之父”香农提出“保密系统的通信理论”,使密码学成为了数学学科的分支,奠定了现代密码学的基础。直至今日,基于数学理论的加密算法(例如RSA、椭圆曲线等)依然具有非常高的安全性。但这种安全性是有局限的,特别是量子计算理论的提出和实践的成熟,使得基于数学的经典加密方式的安全性受到了严峻的威胁。
量子通信是指利用量子力学的基本原理以及物体的量子特性来实现信息安全传输的一种通信方式。与任何经典通信安全保障的技术完全不同,量子通信是至今唯一得到理论严格证明的、能从原理上确保通信无条件安全的通信技术,它的理论内容包括量子密钥分发、量子安全直接通信、量子隐形传态和量子秘密共享等,具体的实现过程一般需要制备单光子或纠缠态光子对,以光量子的状态来承载信息,并进行传递,从而实现保密通信。目前,利用纠缠光子实现量子通信的技术主要还处于理论阶段,但基于单光子的量子通信技术发展迅速,尤其是其重要应用之一的量子密钥分发技术已日趋成熟。近年来,量子通信技术得到了各国的重视,并进行了大量的实验和市场产业化推广,发展极为迅速。
二十一世纪是信息技术蓬勃发展的世纪。随着人们的生活与互联网深度融合,全社会对网络通信的需求量不断增大,网络的应用场景也愈加丰富。量子通信技术之外,在经典通信技术的支持下,IP网络协议及相关配套的软件硬件,作为互联网通信的基础设施,从上个世纪互联网开始大规模使用以来一直处于主流地位,对现代社会发展产生了巨大的推动作用。但随着时代的不断发展,人们对于网络服务的需求逐渐多样化,如物联网、车联网、天地一体化网络等。面对复杂多样的实际需求,基于点对点通信的IP协议及其体系架构逐渐显现出其局限性,如安全性不足、协议栈日趋复杂、移动场景下的传输性能差等。
二十世纪末,学术界逐渐关注到了IP网络的缺点和不足,开始提出一系列新型网络体系架构。其中,大家所公认的有较大创新性和影响力的新型网络体系架构有:多协议标签交换协议(Multi-Protocol Label Switching,MPLS)、表达型互联网架构(eXpressiveInternet Architecture,XIA)、面向创新的互联网框架(Framework for InternetInnovation,FII)、命名数据网络(Named Data Networking,NDN)以及多标识网络(Multi-Identifier Network,MIN)等。这些新型网络的设计思想和具体架构各不相同,但都对未来网络形态的探索做出了巨大的贡献。
网络标识的意义为网络包中携带的,用于声明中间路由器如何处理和转发网络包的数据。举例来说:最初设计为点对点通信协议的IPv4(形如19.xxx.68.12)、IPv6标识(形如2001:250:xxxx::xxxx:3250:451e:15d1),它们所表达的含义为寻找拥有确定IP地址的主机进行两点之间的通信;后来人们的需求发生了变化,不考虑与某个特定用户通信,而是寻找特定的资源,于是出现了内容兴趣标识、内容数据标识、服务请求标识、服务应答标识等多种不同的网络标识,用以在网络中获取所需的特定资源。但问题在于,新的需求逐渐出现,旧的服务无法直接为它们提供支持,软硬件的更新换代也不是一朝一夕可以完成的,需要付出经济、时间和机会成本。
多标识网络(Multi-Identifier Network,简称MIN),顾名思义,可支持多种不同标识的网络共同通信。多标识网络在架构上大体上可以划分为管理面和数据面。数据面的功能由多标识路由器(Multi-Identifier Router,MIR)来承载,主要支持对身份标识、内容标识、地址标识等多种网络标识的解析操作,并可基于异构标识完成高效、可扩展的路由寻址及转发功能。管理面的功能由多标识管理系统(Multi-Identifier System,MIS)来承载,主要支持对多种标识的生成及管理。管理面的监管节点通过共识算法校验标识数据,在达成共识后,将其归属信息和操作信息记录在区块链上,从而实现了信息的不可被篡改和源头可追溯两大重要条件。
与IP网络和其它新型网络相比,多标识网络有如下特点:(1)多标识网络以身份标识为中心,支持身份、内容、IP及地空等多种网络寻址标识共存;这种设计让它具有极好的兼容性,十分有利于多标识网络的演进。(2)多标识网络同时支持“推送式”和“拉取式”两种通信语义,最大限度地优化了各种复杂使用场景下的网络传输性能。(3)多标识网络支持直接部署在现有的IP网络之上。(4)多标识网络融合了区块链技术,以实现去中心化的标识生成、管理及解析。(5)在网络安全机制的设计方面,多标识网络直接聚焦于数据本身,设计了一整套基于密码学、身份认证等技术的安全防护机制,最大限度地保证了网络数据的安全。
因此,由多标识网络构建的专网能够很好地利用多标识网络所具有的高安全性等架构优势,而且能够直接部署在现有的IP网络上,有着十分广阔的应用前景。
在默认状态下,MIN网络分组的只读区域仅使用非对称加密的方式进行数据完整性和发送者身份验证,可能出现信息泄露和被窃听的风险。另外,即使量子时代悄然来到,由于物理传输介质的不同,现有网络技术难以与量子网络相互兼容,现有多标识网络虽然可在当前物理网络基础下不断演进,但缺乏对量子网络的考量。
另一方面,在量子网络应用方面,就量子密钥分发技术而言,目前该技术一般仅可用作点对点内容传输,且需要双方提前商议后才可进行量子密钥的分发和通信,这样就限制了量子通信大规模路由和应用的可能性。在量子通信网络方面,量子中继方案通信成本和时间成本都非常高,目前仍处于理论阶段;可信中继网络无自动路由的功能;集控站方案路由过程繁琐,在集控站内才可进行路由,集控站通信压力较大。
发明内容
本发明所要解决的技术问题是如何提供一种支持量子标识在网络层路由寻址的高安全通信方法,进而能够在现有量子通信网络物理器件不改变的情况下,扩大了量子通信网络的适用范围,在保证高安全性的基础上使得通信更加灵活自由,有效地扩大其适用范围。并且,还进一步提供采用了该支持量子标识在网络层路由寻址的高安全通信方法的高安全通信系统。
对此,本发明提供一种支持量子标识在网络层路由寻址的高安全通信方法,包括以下步骤:
步骤S1,根据量子标识对多标识网络分组进行修改,并定义量子标识和多标识网络之间的通信方式;
步骤S2,部署支持量子标识的多标识网络设备;
步骤S3,发送和接收量子态,实现量子标识的多标识网络通信过程;
步骤S4,实现量子密钥的分发,进行只读区域中内容的加密。
本发明的进一步改进,所述步骤S1包括以下子步骤:
步骤S101,当通信方式为量子通信时,增加量子基标识,根据量子标识对多标识网络分组进行修改;
步骤S102,定义基于量子标识的多标识网络的通信过程。
本发明的进一步改进在于,所述步骤S101包括以下子步骤:
步骤S1011,向多标识管理系统申请增加新的量子基标识类型,所述量子基标识采用TLV编码实现网络分组,包括Type类型、Length长度和Value内容;
步骤S1012,对标识区域和只读区域分别签名,再将所有签名的网络分组进行整合,形成多标识网络分组中的签名区域。
本发明的进一步改进,所述步骤S102包括以下子步骤:
步骤S1021,发送方随机生成量子基序列,以此作为量子基标识加入多标识网络分组中;
步骤S1022,发送方先发送多标识网络分组的所有内容,等待直到收到接收方发回的确认信息之后,再进行量子态的制备和发送;
步骤S1023,通过量子态以及量子基序列形成量子标识,使用量子标识进行网络通信,所述量子标识所经过的每一个支持量子标识解析的多标识路由器均进行量子标识的信息读取、量子标识的解析生成以及量子态和量子基序列的再生成;
步骤S1024,接收方在收到量子标识的信息后,根据自身路由表或请求多标识管理系统服务,找到原发送者的公钥,进行多标识网络分组的验证。
本发明的进一步改进,所述步骤S2包括以下子步骤:
步骤S201,部署支持量子标识解析的多标识路由器,实现支持量子标识解析的多标识路由器之间的双信道通信;
步骤S202,实现多标识路由器与支持量子标识解析的多标识路由器之间的通信;
步骤S203,实现所有多标识路由器之间的通信,实现多标识路由器和多标识管理系统(MIS)之间的通信,实现多标识路由器与终端网络设备之间的通信,进而实现完全兼容量子标识的多标识网络通信。
本发明的进一步改进,所述步骤S3包括以下子步骤:
步骤S301,发送者对要发送的信息打包,生成多标识网络分组后,向接收者发出自己的网络分组;
步骤S302,当前接收者接收到MIN网络分组后,根据标识区域的Type类型值得知此通信为使用量子标识的通信,首先验证上一个发送者的签名,在验证通过后控制量子接收装置处于接收状态,并向发送者返回请求,请求内容包括已收到多标识网络分组,请发送量子态信息;若验证不通过,将当前通信错误提交多标识管理系统请求处理,并结束当前通信;
步骤S303,当前发送者根据原始发送者的量子标识和当前所存的量子基序列,使用量子设备生成与量子基序列对应的离散单光子量子态,并发送至接收者;
步骤S304,当前接收者根据收到的MIN网络分组中量子基的信息,解码出量子标识的信息;
步骤S305,当前接收者在标识区域和只读区域验签无误通过后,判断是否提供所需内容或作为目的地址提供服务,若是,则通讯结束,多标识路由器进行相关服务与内容的处理;若否,则接收者作为新的发送者,从MIN网络分组中删除上一位发送者的量子基标识及其签名,跳转至步骤S301实现重复步骤S301至步骤S305的过程,直至完整的信息到达目的接收者;其中,当前接收者在标识区域验证当前发送者签名,当前接收者在只读区域验证原始发送者签名。
本发明的进一步改进,所述步骤S301中,生成多标识网络分组的过程包括:首先,当前发送者随机生成所需要的量子基序列作为量子基标识并记录;然后,原始发送者使用自己的私钥对量子基内容和只读区域的内容分别进行签名,通过中间路由器作为新的发送者,对修改后的标识区域重新签名;最后,当前发送者将量子基标识、签名内容以及发送的信息共同打包生成MIN网络分组,接着向接收者发出自己的网络分组。
本发明的进一步改进,所述步骤S304中,解码量子标识信息的实现过程包括:
步骤S3041,当前接收者查询是否存在原始发送者的公钥,若是,则跳转至步骤S3043;若否,则跳转至步骤S3042;
步骤S3042,当前接收者向多标识管理系统请求下载原始发送者的身份和公钥信息,若成功获取则跳转至步骤S3043,若无法获取则跳转至步骤S3044;
步骤S3043,使用公钥进行验签,验签通过后跳转至步骤S305,验签不通过则跳转至步骤S3044;
步骤S3044,将当前通信错误提交多标识管理系统请求处理,并结束当前通信。
本发明的进一步改进,所述步骤S4调整通信过程包括以下子步骤:
步骤S401,发送方先向接收者发送多标识网络分组,将所述多标识网络分组中的只读区域中Value内容置空,当接收者检测到要进行基于量子的多标识网络通信时,发回确认接受量子态的信息;
步骤S402,发送方根据量子标识,使用对应的制备基制备所需量子态并发送;
步骤S403,接收者成功接收到量子态,在获取到完整的量子标识,并且签名验签通过后,检查直到只读区域的内容为空,则立即与发送者进行量子密钥分发过程;
步骤S404,双方通过双信道确认所使用的量子密钥后,发送者向接收者发送以量子密钥加密后的信息,所述加密后的信息包括只读区域的全部内容;
步骤S405,接收者在收到全部信息后,作为新的发送者接力继续实现多标识网络分组的发送,或作为目的地结束该次网络通信。
本发明还提供一种支持量子标识在网络层路由寻址的高安全通信系统,采用了如上所述的支持量子标识在网络层路由寻址的高安全通信方法,并包括:
通信方式定义模块,当通信方式为量子通信时,根据量子标识对多标识网络分组进行修改,并定义量子标识和多标识网络之间的通信方式;
设备部署模块,用于部署支持量子标识的多标识网络设备;
多标识网络通信模块,用于实现量子标识的多标识网络通信过程;
安全提升模块,实现量子密钥的分发,进行只读区域中内容的加密。
与现有技术相比,本发明的有益效果在于:能够有效地将量子的不可克隆以及测不准的特性应用于多标识网络通信之中,极大地提升了网络的安全性;还能够将多标识网络的独特之处和先进网络通信方法应用在量子通信上,进而解决了量子不可存储转发和无法路由的难题。因此,在现有物理设备和成本不增加的情况下,本发明能够使得量子通信的可用性显著提升,能够实现灵活路由,适用范围明显扩大,且路由寻址过程安全可靠。本发明能够节约大量的软件和硬件成本,并有效地提高了网络的安全性能和适用范围,丰富了新型安全专网内的应用生态,更好地推动量子通信和多标识网络通信之间的融合发展。
附图说明
图1是本发明一种实施例的工作流程示意图;
图2是多标识网络分组的通用格式示意图;
图3是本发明一种实施例对普通多标识网络与支持量子通信方法的多标识网络的重叠部署示例图;
图4是本发明一种实施例的纯量子标识的多标识网络的通信过程示意图;
图5是本发明一种实施例实现“一次一密”的量子标识多标识网络通信示意图。
具体实施方式
下面结合附图,对本发明的较优的实施例作进一步的详细说明。在本实施例中先对多标识网络和量子通信分别进行介绍。
多标识网络,Multi-Identifier Network,简称MIN,顾名思义,能够支持多种不同标识的网络共同通信,并且可以根据实际的需要扩展新的标识种类及形态,做到与时俱进,不断地演进以满足用户的需求。
扩展新的标识需要MIS提供相关的服务支持。MIS指的是Multi-IdentifierSystem,即多标识管理系统,MIS为网络中的用户和设备提供分布式标识注册、身份信息绑定、管理和解析标识服务。同一个网络实体在MIS中对应一个记录,其中包含两部分:网络实体的真实信息以及该实体所拥有的多种标识具体信息。在网络用户向MIS发出解析请求时,MIS负责将多种标识映射至用户的真实身份,并将网络主体的多种标识返回给用户。
MIN网络分组由一个或多个Type/Length/Value(TLV)三元组组成。Type字段用于区分不同类型的TLV块,而Length字段定义Value部分的长度(以8位字节为单位),Value字段可以嵌套一个或多个TLV块,也可以放置字节数组。如图2展示的是MIN网络分组的通用格式,每个MIN网络分组包含四个区域:标识区(Identifier area)、签名区(Signaturearea)、只读区(Read only area)和可变区(Mutable area)。
标识区(Identifier area)存放一至多个网络标识,多标识路由器根据其中存储的标识来区分不同类型的网络分组,并从中选取标识进行对应处理。签名区(Signaturearea)包含一至多个数字签名,每个数字签名由一对相邻的TLV块组成,第一个TLV块保存签名的参数,包含了签名所使用的算法以及验证签名所需证书的位置,第二个TLV块保存签名值。只读区(Read only area)包含0个或多个TLV块,用来放置由发送端生成且中间路由器不需要修改的字段,比如payload。可变区(Mutable area)用来存储中间路由器可以修改的字段,它包含两个子区域,分别为保护区(Protected area)和危险区(Dangerous area),这两个子区域都包含0个或多个TLV块。如果中间路由器修改了保护区(Protected area)则需要重新生成路由器签名,而对Dangerous area修改则不需要。
MIN路由器MIR(即多标识路由器)对于每个接收到的MIN网络分组,MIR首先通过数据包验证(Packet Validator)模块验证签名是否有效,如果无效则直接丢弃,否则将其传递给标识选择器(Identifier Selector)。标识选择器将会从MIN网络分组的标识区中选出一个用于转发的标识,然后基于这个选中的标识区分不同类型的网络分组,并执行相应的转发流程。
MIN要求每个网络实体都向MIS注册一个合法的身份,并且该身份会与一对由SM2算法生成的非对称密钥相关联,这一对公私钥可用于对MIN网络分组进行签名和验证,私钥由网络实体本地留存,公钥保存在MIS上,可供其它网络实体(主要是路由器)获取,网络实体发出的每个MIN网络分组都需要使用其合法身份关联的私钥进行签名。
MIN网络分组的签名区是可变长度的,所以可以存放一至多个数字签名,目前已经定义的数字签名类型由两种:生产者签名(Producer Signature)和路由器签名(RouterSignature),未来也可以支持更多类型的数字签名。生产者签名由MIN网络分组的发送者生成,主要用于实现溯源和身份认证,同时还可以起到保护网络分组完整性的作用。路由器签名由中间路由器生成,主要用于保护MIN网络分组可变保护区中一些路由器可以修改的重要字段。
量子通信中,根据量子测不准原理和量子不可克隆原理来实现安全的网络通信。量子无法被精准的测量,所以也不可能被克隆;且量子态在被量子系统观测后会坍缩为基态,不再具备量子态的性质。量子密钥分发便是基于这一想法,进行光子的量子态传输从而获得具有安全性的量子密钥。量子密钥分发技术目前包含多个种类,主要分为离散变量协议和连续变量协议,目前理论发展最为完善的便是在离散变量协议下使用非纠缠单光子进行密钥分发与协商,最典型的协议为BB84协议。
BB84协议是量子密钥分发协议,它应用了量子不可克隆和量子测不准原理,保证了量子密钥的安全性。该协议基于离散型单光量子的偏振,共有、/>、和/>四个方向的偏振态,分成为线性垂直偏振基/>和线性对角偏振基/>两个组合。发送者和接收者双方可能选取不同的制备基与测量基,对量子信道的内容进行发送和接收,后在经典信道内对其进行核对、纠错等处理。经典信道的种类包括同轴电缆、双绞线和光纤等,量子信道用于量子态的传递,一般使用光纤。
通过量子信道实现量子态的传递具体步骤如下:1.发送者随机制备量子态,使其偏振处于四种偏振态的一种,并将该量子态发送给接收者;2.接收者收到量子态后,从垂直偏振基或对角偏振基中随机选择进行测量。对于每一次测量,接收者记录测量结果和所用测量基,并将每次测量所用基通过经典信道告知发送者;3.发送者将制备基与接收者的测量基对比,告知接收者哪些测量基与制备基相同,理论上双方选取的基一致,双方所得结果理论上相同;4.双方根据提前商议好的编码规则,得到密钥。例如0与45方向的偏振态代表0,90与135方向的偏振态代表1。表1展示了该过程的协议原理。
表1 BB84协议原理
每次通信前都要进行BB84协议的过程,符合信息论中“一次一密”的原则,因此在理论上绝对安全。量子密钥分发的量子态和所需加密的经典信息在各自信道中传输,互不干扰。
考虑无窃听者,信道无干扰或干扰可忽略不计,探测器可精确探测的理想情形。若双方使用相同基矢,理论上这部分内容完全相同,便可将这部分比特序列作为密钥,由此得到一串量子密钥;对于没有使用相同基矢的部分,根据量子的测不准原理可知,得到的结果也是无法确定的,因此不可使用,抛弃处理。BB84协议的安全性在于采用了两组非正交的基矢进行编码,窃听者无法在不带来扰动的情况下完美区分这两组非正交量子态。根据量子不可克隆定理可知窃听者无法对未知的量子态进行完美的克隆,窃听者亦无法通过克隆操作进行窃听。
进行BB84的过程需要单光子的制备与检测。目前常见的单光子源有三类,第一类是以量子点为基础的单光子源;第二类是产生光子对,并使用一个光子作为另一个光子的触发器;第三类为使激光衰减到单光量子级,通常使用半导体激光器和光衰减器的组合便可完成,在量子密钥分发中最为常用。我国量子科研团队在上述多个方向都有不同方面的突破,目前在单光子制备方面世界领先。单光子需要进行量子偏振态的制备,通常会利用多种激光、被动的偏振分束器、与偏振无关的分束器制备四个量子偏振态。目前能够探测单光子的器件有很多种,目前使用最为广泛的是铟镓砷雪崩二极管和超导纳米线单光子探测器。
BB84协议于1984年提出,随后又发展出了简化的B92版本协议,其核心思想与BB84完全相同。在现有技术下,实际系统中单光子源制备,通常使用的是弱相干光源,通过将激光光源衰减后获得。弱相干光源的光子数分布服从泊松分布,其中存在不可忽略的多光子成分。对于多光子成分,窃听者可以采取光子数分离攻击来窃听。诱骗态协议可以解决这一问题。发送者随机制备多种不同光强的相位随机化的弱相干脉冲,其中一种为信号态用于产生密钥,其余的为诱骗态。经过相位随机化后弱相干脉冲可以看作是满足泊松分布的不同光子数态的混态,不同光强的弱相干脉冲中真空态、单光子态和多光子态比例不尽相同。窃听者为了保持到达接收者端的光脉冲的光子数分布与未窃听的情况下一致,对多光子态的透过率的调节依赖于发送者使用的弱相干光光源的光强和信道损耗。但窃听者无法区分拦截到的光脉冲属于发送者调制的哪一种强度的相干光,因而无法根据光强对光子的通过效率进行不同的调节,从而无法保证不同强度的弱相干光到达接收者端的光子数分布与未窃听的情况下一致。因而通过在信号态中混入诱骗态,接收者可以根据探测到的各个强度相干态的统计结果的异常来判断是否存在窃听。诱骗态方案的量子通信可达到几千比特/秒/百公里的信息传输效率。
以上的量子密钥分发方案都是单方发起的,如若想要该过程效率更高,可传输的距离更远,就需要使用纠缠态的量子对进行密钥分发。与BB84协议等价的BBM92协议利用一个纠缠源向分隔两地的双方发送一对纠缠光子对,两地进行测量从而确定密钥。更加安全的方案“测量设备无关的量子密钥分发”则是将BBM92的过程颠倒,发送方和接收方共同发送量子给一个不可信的第三方进行贝尔态测量,根据第三方公布的贝尔态测量结果双方建立安全的密钥。此后,科学家们使用光的其他性质,在测量设备无关的量子密钥分发的基础上又进一步提出了双场量子密钥分发协议、相位匹配量子密钥分发协议和模式匹配量子密钥分发协议等。
量子通信网络经过多年的发展,如今已经有多种方案,主要分为两个方向:量子中继方案,该方案适用范围广,需要将一条路由联通后的完整信道分割为多个段,各个段之间相互纠缠并传递该纠缠状态,最终完成整个信道收发双方的纠缠,从而实现量子态的直接传递;基于信任节点的可信中继网络,该方案为在所有中间节点间进行量子密钥分发并进行一次一密的信息传输,因此要求所有中间节点绝对可信;更进一步的,融合可信中继和光交换机功能人们提出了集控站的方案,是目前最为有效的广域光纤量子通信的解决方案。
随着现实需求的不断变化,目前的网络通信需要增加新的网络体系来满足日新月异的需求,并且能够做到承前启后,继往开来。目前已提出很多新的网络架构,在这些架构中,唯有多标识网络体系能够做到向后兼容IP网络等各类网络体系,又能继续向未来演进新的网络体系,同时还保证了可用性和一定程度上的安全性。
另一方面,长期以来,种种加密方式以及逐渐成熟的密码学被人们广泛应用于种种通信之中,为各种通讯提供安全保障。但现有的通信方式已经逐渐显露出对传统密码学的安全威胁,真正的安全可靠还是需要量子通信的保障。一般认为,1984年BB84协议关于量子密钥分发技术的提出可以被看作是量子通信真正的起点。自此,量子通信在全世界范围内涌起了热潮,因为该方式以量子力学的原理保障通信的安全,不但能够解决传统通信方式中不安全不可靠的问题,而且也给物理学、材料学、数学、密码学和计算机等学科带来了新的挑战和机遇。
为了方便描述和易于理解,本实施例使用单光量子描述整个过程,使用服从泊松分布的弱相干光源与此原理完全相同,采用现有支持单光量子偏振态的制备和探测的硬件设备、以及可对该硬件设备进行管理和控制的软件系统即可,这一点与现有的量子通信相同,在本实施例中不再展开说明。
本实施例旨在实现支持量子标识在网络层路由寻址的高安全通信方法,即实现基于离散型单光量子的新型多标识网络通信,聚焦于计算机网络问题,充分结合新型的多标识网络技术和离散型单光量子技术的优点,在多标识网络的优秀网络构架的基础上,拓展了新型多标识网络的物理标识种类,提高了多标识网络的安全性,在现有量子通信网络物理器件不改变的情况下,扩大了量子通信网络的适用范围,在安全性可保证的情况下使通信更加灵活自由。下面,将对具体的技术方案进行了较为详细的说明和描述。
如图1所示,本实施例提供一种支持量子标识在网络层路由寻址的高安全通信方法,包括以下步骤:
步骤S1,根据量子标识对多标识网络分组(MIN网络分组)进行修改,并定义量子标识和多标识网络之间的通信方式;
步骤S2,部署支持量子标识的多标识网络设备;
步骤S3,发送和接收量子态,实现量子标识的多标识网络通信过程;
步骤S4,实现量子密钥的分发,进行只读区域中内容的加密。
本实施例所述步骤S1用于对量子基标识、量子标识、针对量子基标识的多标识网络分组以及量子标识和多标识网络之间的通信方式进行定义。具体包括以下子步骤:
步骤S101,当通信方式为量子通信时,增加量子基标识,根据量子标识对多标识网络分组进行修改;
步骤S102,定义基于量子标识的多标识网络的通信核心过程。
本实施例所述步骤S101用于实现对多标识网络分组的应用和改进。需要说明的是,并不是每次通信中都需要对多标识网络分组进行修改,而是在涉及到量子通信时则以这种方式进行。
本实施例依赖于多标识网络的网络分组结构的特殊性,用以承载相关支持量子标识所需要的信息。根据图2可知,多标识网络的网络分组(即MIN网络分组)是基于TLV编码方案进行的,分别包括Type类型、Length长度和Value内容三个部分,TLV编码方案具有很强的延展性,因为它可任意增加填充的内容,而且不同的TLV分组可搭配组合叠加,形成更完整的信息表达。本实施例针对量子标识在多标识网络的网络分组改进,主要在标识区(Identifier area)和签名区(Signature area)两个位置。
本实施例所述步骤S101包括以下子步骤:
步骤S1011,向多标识管理系统申请增加新的量子基标识类型,所述量子基标识采用TLV编码实现网络分组,包括Type类型、Length长度和Value内容;
步骤S1012,对标识区域和只读区域分别签名,再将所有签名的网络分组进行整合,形成多标识网络分组中的签名区域。
更为具体的,根据多标识网络的要求,标识区需要存在一个或多个网络标识,多标识路由器可根据标识进行网络分组的处理。本实施例利用这一特性,做出以下改进:在所述步骤S1011向MIS申请标识区增加一种新的量子基标识类型,其Type类型、Length长度可根据网络的实际情况而确定,比如128、256等,其Value内容的值在Length长度的限制下随机选取。量子基指的是用于测量量子的基序列,由于该用于测量量子的基序列需要存放于多标识网络的网络分组之中,因此将其定义为量子基标识,即针对用于测量量子的基序列进行TLV编码后的数据,编码后的数据通过0和1来表示,以便与量子态相结合来实现量子的准确表达,并同时能够被多标识网络和多标识路由器正常读取并识别、处理。
因此,本实施例在网络层提出了量子标识的概念,在具体的通信实现中将量子标识这一准确、不可变信息分割为量子和基这两个可变部分,提出了一种变相解决量子不可存储转发的方案,充分使用了量子测不准和不可克隆的性质,保障了通信的安全。
根据多标识网络的要求,签名区包含一个或多个数字签名,一般包含对标识区域和只读区域的签名,每个签名还包含两个TLV分组,分别为该签名的元数据信息以及签名结果。本实施例利用这一特性,并做出如下改进:在所述步骤S1012对标识区域和只读区域分别签名,再将所有签名的TLV分组整合,形成MIN分组中的签名区域。
对于多标识网络分组中的可变区域,本实施例不做任何的改进。上述对于标识区域和签名区域的改进,符合多标识网络的申请新型标识种类和路由器存储转发的基本原则,能够有效地被MIS和MIR正常读取并识别、处理。
本实施例通过量子态和量子基之间的组合获取量子标识对应的内容。所述步骤S102用于定义基于量子标识的多标识网络通信核心过程,具体包括以下子步骤:
步骤S1021,发送方随机生成量子基序列,以此作为量子基标识加入多标识网络分组中;
步骤S1022,发送方先发送多标识网络分组的所有内容,等待直到收到接收方发回的确认信息之后,再进行量子态的制备和发送;
步骤S1023,通过量子态以及量子基序列形成量子标识,使用量子标识进行网络通信,所述量子标识所经过的每一个支持量子标识解析的多标识路由器均进行量子标识的信息读取、量子标识的解析生成以及量子态和量子基序列的再生成;
步骤S1024,接收方在收到量子标识的信息后,根据自身路由表或请求多标识管理系统服务,找到原发送者的公钥,进行多标识网络分组的验证。
本实施例所述步骤S1023用于通过量子态以及量子基序列形成量子标识,比如量子标识的某一位为1,对应的量子态之中,在垂直基(0,90)和对角基(45,135)中,例如0与45方向的偏振态代表0,90与135方向的偏振态代表1。那么量子基序列中,0代表垂直基,1代表对角基,随机生成一串基序列后,无所谓量子基的形态,仅需发送者与接收者双方收到的角度一致即可,当随机使用0基,则双方都为90;随机使用1基,则双方都为135。一旦出现错误,则说明链路存在问题。
更为具体的,首先,关于量子标识的详细描述如下:量子态具有测不准和不可克隆的性质,当且仅当制备基和测量基(以下简称为量子基)一致时才能得到量子所表达的准确内容。本实施例充分应用此性质,通过量子标识来表达量子态和量子基相结合后表达出的准确内容,即量子标识指的是将包括量子态和量子基相结合后存储于多标识网络中的标识。因此要表达同一准确信息,量子态可不唯一,量子基也可不唯一,但二者相组合所得到的结果准确且唯一。因此,量子标识对应的内容为量子态和量子基之间的组合。
其次,考虑到多标识网络的标识区域只可携带传统信息,因此,本实施例将“量子基”作为标识的一种写入MIN网络分组中,即所述量子基标识,而且在信息传递的过程中只有结合量子基标识与量子态才能完整获取信息。量子基实际是为对单量子的制备和检测所取的偏振角度,即量子基标识所包括的是量子的偏振角度标识,表达较长的信息时需要将多个量子基组合成序列的状态,因此,本实施例在所述步骤S1021中,将多个量子基组合成量子基序列,进而包括多个量子基的偏振角度数据。这个过程中,单个量子基为1或0,将多个量子基进行组合形成由0和1组成的量子基序列,类似于0101的形态。本实施例所述步骤S1021在 MIN分组的标识区域中,量子基序列的内容默认随机生成。
由于量子态的传送与传统信息不可同时兼容,需要以双信道的方式进行,而考虑到时间先后的问题,本实施例在此双信道的传输过程中采用“停-等”的方式。因此,。本实施例所述步骤S1022中,首先发送方在经典信道内发送MIN分组的所有内容,待收到接收方发回的确认信息,再进行量子态的制备和发送。
在使用量子标识进行网络通信时,中间所经过的每一个支持量子标识解析的MIR都要进行量子基标识信息的读取、量子标识的解析生成、量子态和量子基序列的再生成过程。即在所述步骤S1023中,所述量子标识所经过的每一个支持量子标识解析的多标识路由器均进行量子标识的信息读取、量子标识的解析生成以及量子态和量子基序列的再生成;正因为该过程的实现,量子标识这一准确信息才突破量子态不可克隆的限制,可进行存储转发和路由。
根据多标识网络的要求,网络中的设备都需要与MIS进行大量的通信,这是与已知任何量子通信网络都不同之处:MIS使用区块链技术承载、管理网络所有用户和设备的信息,从而确保了所有用户和设备的可信,因此在MIN网络中通信时自然就已经包含了“可信”这一条件。
本实施例的路由功能仍基于传统的路由方式,而不对量子态进行路由。量子态以及量子基序列所形成的量子标识信息作为准确的信息,这正是本实施例可进行路由寻址的根本原因。本实施例在实际应用中使用量子的性质,隐藏了发送者和接收者的身份信息以及所传递的信息内容。
支持量子通信的网络设备实质为多标识网络与量子通信两种设备的融合,因此仍可支持基本的多标识网络通信,当存在量子通讯的需求时才启用支持量子通讯的软硬件协同工作。即采用的是前面所述的“停-等”的方式,量子通信软硬件的需求可以根据实际情况来部署,可以采用现有的设备来部署,也可以根据实际需求实现不同范围不同安全级别的通信方案。
最后,在所述步骤S1024,接收方在收到量子标识的信息后,根据自身路由表或请求多标识管理系统服务(MIS服务),找到原发送者的公钥,进行多标识网络分组的验证。验证后可知:上一个MIR的信息可靠性(意味着链路上所有MIR的可靠)、原始发送者的量子基标识的完整性、真实的量子标识信息、只读区域信息的完整性。
本实施例所述步骤S2提供支持量子标识的新型多标识网络的设备部署方法。本实施例涉及到新型的多标识网络体系和量子通信体系。多标识网络体系来自于传统网络体系的演进,与量子通信在物理实现存在不同,二者不可完全兼容,因此,并不能直接利用现有技术进行简单组合,须有双信道的支持。除此之外,在部署过程中需要现有通信设备和量子物理硬件的结合使用,以及多标识网络系统和量子通信系统之间结合使用,才能够实现支持量子标识在网络层路由寻址。
具体的条件包括:硬件条件1:支持单光量子偏振态的制备和探测的硬件设备。软件条件1:可对硬件条件1进行管理和控制的软件系统。硬件条件2:支持新型多标识网络的通信设备。软件条件2:新型多标识网络系统,即包括MIS(多标识管理系统)以及MIR(多标识路由器)的软件系统。以上四个条件都是现有技术中已经存在的,因此,能够在现有物理设备和成本不增加的情况下来实现本实施例所述的支持量子标识在网络层路由寻址的高安全通信方法,节约了大量的软件和硬件成本。在以上四个条件的基础上,在通信过程中,保证量子系统与多标识网络系统之间相互沟通,可以根据要求正常工作。上述四个条件也能够满足在支持光量子技术的多标识网络的路径中,每一跳路由器对之前路由器发来内容的解析和存储转发的支持,从而实现量子信息与真实信息的共同路由。
在MIN(多标识网络)的要求中,路由器需要与MIS通信,以核查每个MIN包的数据来源以及是否存在篡改和造假;MIS之间也需要同步,以及时更新所需的各类信息。因此,更为具体的,本实施例所述步骤S2包括以下子步骤:
步骤S201,部署支持量子标识解析的多标识路由器MIR,实现支持量子标识解析的多标识路由器之间的双信道通信;
步骤S202,实现多标识路由器与支持量子标识解析的多标识路由器MIR之间的通信,即普通MIR与支持量子标识解析的MIR的通信;
步骤S203,实现所有多标识路由器MIR之间的通信,实现多标识路由器MIR和多标识管理系统(MIS)之间的通信,实现多标识路由器与终端网络设备之间的通信,进而实现完全兼容量子标识的多标识网络通信。
本实施例所述步骤S201中,部署支持量子标识解析的多标识路由器MIR,指的是在多标识路由器MIR的基础上增加量子标识,建立量子系统和多标识网络之间的通信,在支持光量子技术的多标识网络的路径中,每一跳多标识路由器对前一跳多标识路由器发来内容进行解析和存储转发,以实现量子信息与真实信息的共同路由。通过所述步骤S2,本实施例支持在现有多标识网络上渐进式部署,且更安全的量子通信与现有的多标识网络通信之间互不干扰。设备部署示例如图3所示。
本实施例所述步骤S3用于实现纯量子标识的多标识网络的通信过程,即仅包含量子基标识和量子态的多标识网络通信过程。
首先,本实施例所述步骤S3可实现量子态的发送和接收。本实施例所提出的技术方案旨在对计算机网络方面进行创新,关于量子态的发送和接收等相关的内容仅为使用,采用现有技术即可,不做改进,因此,不在本实施例进行详细描述。本实施例在量子态的发送和接收过程时,优选采用目前理论最为成熟的离散变量协议下的非纠缠单光子方案。在本实施例中,充分利用BB84协议的特点,默认使用单光量子、制备检测所用的垂直偏振基和对角偏振基,以及四种不同的偏振态,用以发送和接收量子态,量子的制备和接收时使用与BB84协议相同的纯随机过程。
如图4所示,本实施例所述步骤S3优选包括以下子步骤:
步骤S301,发送者对要发送的信息打包。在生成MIN网络分组的过程中,首先,当前发送者随机生成所需要的量子基序列作为量子基标识并记录;然后,原始发送者还须使用自己的私钥对量子基内容和只读区域的内容分别进行签名,中间路由器作为新的发送者,会对修改后的标识区域重新签名;最后,其次当前发送者将量子基标识、签名内容与其他信息共同打包生成MIN网络分组,接着向接收者发出自己的网络分组;
步骤S302,当前接收者接收到MIN网络分组后,根据标识区域的Type类型值得知此通信为使用量子标识的通信,进而验证上一个发送者的签名。在验证通过后控制量子接收装置处于接收状态,并向当前发送者返回“已收到MIN网络分组,请发送量子态信息”,若验证不通过,将当前通信错误提交多标识管理系统(MIS)请求处理,并结束当前通信;
步骤S303,当前发送者根据原始发送者的量子标识和当前所存的量子基序列,使用量子设备生成与量子基序列对应的离散单光子量子态,并发送至接收者;
步骤S304,当前接收者根据收到的MIN网络分组中量子基的信息,解码出量子标识的信息;
步骤S305,当前接收者在标识区域(验证当前发送者签名)和只读区域(验证原始发送者签名)验签无误通过后,判断可否提供所需内容或作为目的地址提供服务,若是,则通讯结束,路由器进行相关服务与内容的处理;若否,则接收者作为新的发送者,从MIN网络分组中删除上一位发送者的量子基标识及其签名,跳转至步骤S301实现重复步骤S301至步骤S305的过程,直至完整的信息到达目的接收者。
本实施例在所述步骤S301之前,还可选包括新加入步骤,新加入的用户向MIS申请自己的量子标识信息。
本实施例所述步骤S304中,解码量子标识信息之后,实现身份认证的过程包括:
步骤S3041,当前接收者查询是否存在原始发送者的公钥,若是,则跳转至步骤S3043;若否,则跳转至步骤S3042;
步骤S3042,当前接收者向多标识管理系统(MIS)请求下发原始发送者的身份和公钥信息,若成功获取则跳转至步骤S3043,若无法获取则跳转至步骤S3044;
步骤S3043,当前已存在公钥,使用公钥进行验签,验签通过后跳转至步骤S305,验签不通过则跳转至步骤S3044;
步骤S3044,将当前通信错误提交多标识管理系统请求处理,并结束当前通信。
本实施例除原始发送者和最后接收者外,路径中每一个MIR都有发送者和接收者的双重属性,以便接力进行接收和发送直至一次通信结束。对于安全方面,考虑信道干扰和窃听的情况,一旦通信出现问题,在步骤S304中接收者能够很快发现问题并上报MIS请求处理,由相关管理员对问题进行处理和检查。
本实施例所述步骤S4用于实现威胁预警与进一步的安全的提升。
本实施例需要双信道同时工作,其同时监听的难度较单信道大很多,且使用“停-等”模式,窃听者难以同时获取双信道的完整信息;再者量子态极易受干扰。一旦有窃听者窃听,量子态受到干扰,MIR便可立即通知管理人员对线路安全问题进行检查;第三考虑窃听者伪造信息发送,但无相关用户的身份信息,MIR可立刻发现此信息,并通知管理员进行处理和检查。
本实施例采用了“停-等”的模式,使得发送者和接收者在三次沟通的条件下,提出了使用量子及其基从而实现量子标识信息传递的详细过程,扩展出对在现有基础上对量子标识支持的技术方案。
因此,如果考虑再进一步提升本实施例的安全性,则着重于只读区域中信息的安全性,可在通讯中再次使用量子密钥分发协议进行密钥协商,后加密只读区域中的内容,使之达到“一次一密”的要求。
更为具体的,本实施例所述步骤S4调整通信过程包括以下子步骤:
步骤S401,发送方先向接收者发送多标识网络分组,所述多标识网络分组与所述步骤S3生成的MIN网络分组结构相同,将所述多标识网络分组中的只读区域中Value内容置空,当接收者检测到要进行基于量子的多标识网络通信时,发回确认接受量子态的信息;
步骤S402,发送方根据量子标识,使用对应的制备基制备所需量子态并发送;
步骤S403,接收者成功接收到量子态,在获取到完整的量子标识,并且签名验签通过后,检查到只读区域的内容为空,则立即与发送者进行量子密钥分发过程;
步骤S404,双方通过双信道确认所使用的量子密钥后,发送者向接收者发送以量子密钥加密后的信息,加密后的信息包括只读区域的全部内容;
步骤S405,接收者在收到全部信息后,或作为新的发送者,接力继续实现“存储转发”的路由形式,实现多标识网络分组的发送;或作为目的地结束该次网络通信。
因此,本实施例的安全性能够完全达到信息论中关于安全通信的“一次一密”的原则,可进行基于离散型非纠缠单光量子和新型多标识网络的安全通信。也就是说,在本实施例中,首先利用量子的性质,隐藏了在线路中发送者和接收者双方的真实信息,又在应用量子密钥分发技术,加密实际发送的内容,相当于在两个过程中都应用了“一次一密”,使得任何以此方式通信的信息处于安全的状态下,实现了高安全通信方法,由信息论与量子力学双方面同时保证其安全性。
本实施例还提供一种支持量子标识在网络层路由寻址的高安全通信系统,采用了如上所述的支持量子标识在网络层路由寻址的高安全通信方法,并包括:
通信方式定义模块,当通信方式为量子通信时,根据量子标识对多标识网络分组进行修改,并定义量子标识和多标识网络之间的通信方式;
设备部署模块,用于部署支持量子标识的多标识网络设备;
多标识网络通信模块,用于实现量子标识的多标识网络通信过程;
安全提升模块,实现量子密钥的分发,进行只读区域中内容的加密。
综上所述,本实施例结合了新型多标识网络和现有量子通信的技术,提出了支持量子标识在网络层路由寻址的高安全通信方法,即能够基于量子和多标识网络通信的方法。通过本实施例的技术方案,使得多标识网络能够适用于未来量子通信的时代,一方面,能够充分将量子的不可克隆以及测不准的特性用于网络通信之中,极大地提升了网络的安全性;另一方面,又能够将多标识网络的独特之处和先进网络通信方法用在量子通信上,解决了量子不可存储转发、无法路由的难题,在现有物理设备和成本不增加的情况下,使得量子通信的可用性显著提升,可实现灵活路由,适用范围明显扩大。
本实施例在现有技术的基础上结合多标识网络通信的诸多优势,这二者的结合在现有的软件硬件基础上,节约了大量的软件和硬件成本,丰富了新型安全专网内的应用生态,这将对新型安全专网的不断演进和量子通信的发展起到极大的推动作用,有利于推动二者的融合发展,互相促进;并且,这两者各自的现有技术方案可重叠部署,通信时互不干扰。因此可根据实际需求,在现有网络设备上进行支持量子设备的部署,从而形成更高安全性的专网。
本实施例能够融合不同的可用于通信的物理介质,应用量子技术对现有的网络体系进行了演进,也使得现有的量子通讯技术应用范围扩大。
本实施例在多标识网络的规范和基础上,优化了网络分组的结构,使之更适合量子通信的方式,并且也未改变原有多标识网络的分组结构和通信方法。优化后的结构能够分开处理不同物理量的信息,在面对未来网络演进尤其是在兼容其他不同物理量的网络方面具有明显的优势,以通过有机融合和合理设计,既可以进行传统通信下的多标识网络通信,又可以进行量子通信,从而融合两者优势,满足基于离散型单光量子的多标识网络通信需求。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (2)
1.一种支持量子标识在网络层路由寻址的高安全通信方法,其特征在于,包括以下步骤:
步骤S1,根据量子标识对多标识网络分组进行修改,并定义量子标识和多标识网络之间的通信方式;
步骤S2,部署支持量子标识的多标识网络设备;
步骤S3,发送和接收量子态,实现量子标识的多标识网络通信过程;
步骤S4,实现量子密钥的分发,进行只读区域中内容的加密;
所述步骤S1包括以下子步骤:
步骤S101,当通信方式为量子通信时,增加量子基标识,根据量子标识对多标识网络分组进行修改;
步骤S102,定义基于量子标识的多标识网络的通信过程;
所述步骤S101包括以下子步骤:
步骤S1011,向多标识管理系统申请增加新的量子基标识类型,所述量子基标识采用TLV编码实现网络分组,包括Type类型、Length长度和Value内容;
步骤S1012,对标识区域和只读区域分别签名,再将所有签名的网络分组进行整合,形成多标识网络分组中的签名区域;
所述步骤S102包括以下子步骤:
步骤S1021,发送方随机生成量子基序列,以此作为量子基标识加入多标识网络分组中;
步骤S1022,发送方先发送多标识网络分组的所有内容,等待直到收到接收方发回的确认信息之后,再进行量子态的制备和发送;
步骤S1023,通过量子态以及量子基序列形成量子标识,使用量子标识进行网络通信,所述量子标识所经过的每一个支持量子标识解析的多标识路由器均进行量子标识的信息读取、量子标识的解析生成以及量子态和量子基序列的再生成;
步骤S1024,接收方在收到量子标识的信息后,根据自身路由表或请求多标识管理系统服务,找到原发送者的公钥,进行多标识网络分组的验证;
所述步骤S2包括以下子步骤:
步骤S201,部署支持量子标识解析的多标识路由器,实现支持量子标识解析的多标识路由器之间的双信道通信;
步骤S202,实现多标识路由器与支持量子标识解析的多标识路由器之间的通信;
步骤S203,实现所有多标识路由器之间的通信,实现多标识路由器和多标识管理系统之间的通信,实现多标识路由器与终端网络设备之间的通信,进而实现完全兼容量子标识的多标识网络通信;
所述步骤S3包括以下子步骤:
步骤S301,发送者对要发送的信息打包,生成多标识网络分组后,向接收者发出自己的网络分组;
步骤S302,当前接收者接收到MIN网络分组后,根据标识区域的Type类型值得知此通信为使用量子标识的通信,首先验证上一个发送者的签名,在验证通过后控制量子接收装置处于接收状态,并向发送者返回请求,请求内容包括已收到多标识网络分组,请发送量子态信息;若验证不通过,将当前通信错误提交多标识管理系统请求处理,并结束当前通信;
步骤S303,当前发送者根据原始发送者的量子标识和当前所存的量子基序列,使用量子设备生成与量子基序列对应的离散单光子量子态,并发送至接收者;
步骤S304,当前接收者根据收到的MIN网络分组中量子基的信息,解码出量子标识的信息;
步骤S305,当前接收者在标识区域和只读区域验签无误通过后,判断是否提供所需内容或作为目的地址提供服务,若是,则通讯结束,多标识路由器进行相关服务与内容的处理;若否,则接收者作为新的发送者,从MIN网络分组中删除上一位发送者的量子基标识及其签名,跳转至步骤S301实现重复步骤S301至步骤S305的过程,直至完整的信息到达目的接收者;其中,当前接收者在标识区域验证当前发送者签名,当前接收者在只读区域验证原始发送者签名;
所述步骤S301中,生成多标识网络分组的过程包括:首先,当前发送者随机生成所需要的量子基序列作为量子基标识并记录;然后,原始发送者使用自己的私钥对量子基内容和只读区域的内容分别进行签名,通过中间路由器作为新的发送者,对修改后的标识区域重新签名;最后,当前发送者将量子基标识、签名内容以及发送的信息共同打包生成MIN网络分组,接着向接收者发出自己的网络分组;
所述步骤S304中,解码量子标识信息的实现过程包括:
步骤S3041,当前接收者查询是否存在原始发送者的公钥,若是,则跳转至步骤S3043;若否,则跳转至步骤S3042;
步骤S3042,当前接收者向多标识管理系统请求下载原始发送者的身份和公钥信息,若成功获取则跳转至步骤S3043,若无法获取则跳转至步骤S3044;
步骤S3043,使用公钥进行验签,验签通过后跳转至步骤S305,验签不通过则跳转至步骤S3044;
步骤S3044,将当前通信错误提交多标识管理系统请求处理,并结束当前通信;
所述步骤S4调整通信过程包括以下子步骤:
步骤S401,发送方先向接收者发送多标识网络分组,将所述多标识网络分组中的只读区域中Value内容置空,当接收者检测到要进行基于量子的多标识网络通信时,发回确认接受量子态的信息;
步骤S402,发送方根据量子标识,使用对应的制备基制备所需量子态并发送;
步骤S403,接收者成功接收到量子态,在获取到完整的量子标识,并且签名验签通过后,检查直到只读区域的内容为空,则立即与发送者进行量子密钥分发过程;
步骤S404,双方通过双信道确认所使用的量子密钥后,发送者向接收者发送以量子密钥加密后的信息,所述加密后的信息包括只读区域的全部内容;
步骤S405,接收者在收到全部信息后,作为新的发送者接力继续实现多标识网络分组的发送,或作为目的地结束该次网络通信。
2.一种支持量子标识在网络层路由寻址的高安全通信系统,其特征在于,采用了如权利要求1所述的支持量子标识在网络层路由寻址的高安全通信方法,并包括:
通信方式定义模块,当通信方式为量子通信时,根据量子标识对多标识网络分组进行修改,并定义量子标识和多标识网络之间的通信方式;
设备部署模块,用于部署支持量子标识的多标识网络设备;
多标识网络通信模块,用于实现量子标识的多标识网络通信过程;
安全提升模块,实现量子密钥的分发,进行只读区域中内容的加密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310420517.5A CN116527248B (zh) | 2023-04-19 | 2023-04-19 | 支持量子标识在网络层路由寻址的高安全通信方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310420517.5A CN116527248B (zh) | 2023-04-19 | 2023-04-19 | 支持量子标识在网络层路由寻址的高安全通信方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116527248A CN116527248A (zh) | 2023-08-01 |
CN116527248B true CN116527248B (zh) | 2024-05-28 |
Family
ID=87405742
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310420517.5A Active CN116527248B (zh) | 2023-04-19 | 2023-04-19 | 支持量子标识在网络层路由寻址的高安全通信方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116527248B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020154865A1 (zh) * | 2019-01-28 | 2020-08-06 | 北京大学深圳研究生院 | 一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 |
CN112291295A (zh) * | 2020-08-11 | 2021-01-29 | 佛山赛思禅科技有限公司 | 一种基于多标识网络体系的高安全移动办公网 |
CN112804152A (zh) * | 2020-12-30 | 2021-05-14 | 佛山赛思禅科技有限公司 | 一种支持分组通信网络寻址路由标识不断演进的方法及系统 |
CN115296826A (zh) * | 2022-10-10 | 2022-11-04 | 佛山赛思禅科技有限公司 | 多边共管多标识天地一体化智能网联汽车高安全专网系统 |
CN115883478A (zh) * | 2023-02-21 | 2023-03-31 | 北京大学深圳研究生院 | 一种多标识网络体系中安全高效的传输控制方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11424835B2 (en) * | 2019-01-30 | 2022-08-23 | Cable Television Laboratories, Inc. | Quantum internet router |
-
2023
- 2023-04-19 CN CN202310420517.5A patent/CN116527248B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020154865A1 (zh) * | 2019-01-28 | 2020-08-06 | 北京大学深圳研究生院 | 一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 |
CN112291295A (zh) * | 2020-08-11 | 2021-01-29 | 佛山赛思禅科技有限公司 | 一种基于多标识网络体系的高安全移动办公网 |
CN112804152A (zh) * | 2020-12-30 | 2021-05-14 | 佛山赛思禅科技有限公司 | 一种支持分组通信网络寻址路由标识不断演进的方法及系统 |
CN115296826A (zh) * | 2022-10-10 | 2022-11-04 | 佛山赛思禅科技有限公司 | 多边共管多标识天地一体化智能网联汽车高安全专网系统 |
CN115883478A (zh) * | 2023-02-21 | 2023-03-31 | 北京大学深圳研究生院 | 一种多标识网络体系中安全高效的传输控制方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116527248A (zh) | 2023-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6378365B2 (ja) | ネットワークで秘密または鍵を生成する方法 | |
CN105827397B (zh) | 基于可信中继的量子密钥分发系统、方法及装置 | |
CN110581763B (zh) | 一种量子密钥服务区块链网络系统 | |
KR101019300B1 (ko) | 애드 혹 무선 네트워크에서 인증 키 요소의 보안 처리를 위한 방법 및 시스템 | |
CN107769914B (zh) | 保护数据传输安全的方法和网络设备 | |
CN106470101B (zh) | 用于量子密钥分发过程的身份认证方法、装置及系统 | |
Grover et al. | A survey of broadcast authentication schemes for wireless networks | |
CN106254072B (zh) | 一种量子密钥分发方法 | |
CN107317789A (zh) | 密钥分发、认证方法,装置及系统 | |
TW201537927A (zh) | 用於加入社交wi-fi網狀網路的安全且簡化的規程 | |
Saha et al. | Consortium blockchain‐enabled access control mechanism in edge computing based generic Internet of Things environment | |
US9647876B2 (en) | Linked identifiers for multiple domains | |
EP2719149A1 (en) | Method and system for modifying an authenticated and/or encrypted message | |
CN106712941B (zh) | 一种光网络中量子密钥的动态更新方法与系统 | |
CN111934785B (zh) | 一种基于路由器的局域网终端量子通信方法及系统 | |
CN116527248B (zh) | 支持量子标识在网络层路由寻址的高安全通信方法及系统 | |
CN108712254B (zh) | 一种量子密钥分发系统及方法 | |
Rong et al. | Wireless network security | |
Grabatin et al. | Self-sovereign identity management in wireless ad hoc mesh networks | |
CN114362938B (zh) | 一种量子通信的密钥管理动态路由生成网络架构及方法 | |
CN102572822A (zh) | 一种实现安全路由的方法和装置 | |
Wijesekera | Quantum cryptography for secure communication in IEEE 802.11 wireless networks | |
Niewolski et al. | Security architecture for authorized anonymous communication in 5G MEC | |
Raheem et al. | A secure authentication protocol for IP-based wireless sensor communications using the Location/ID Split Protocol (LISP) | |
Termos | Quantum Authentication Evolution: Novel Approaches for Securing Quantum Key Distribution |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |