CN213279684U - 一种量子保密通信用户端及量子保密通信系统 - Google Patents
一种量子保密通信用户端及量子保密通信系统 Download PDFInfo
- Publication number
- CN213279684U CN213279684U CN202022174092.9U CN202022174092U CN213279684U CN 213279684 U CN213279684 U CN 213279684U CN 202022174092 U CN202022174092 U CN 202022174092U CN 213279684 U CN213279684 U CN 213279684U
- Authority
- CN
- China
- Prior art keywords
- quantum
- key
- communication
- user side
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本实用新型公开了一种量子保密通信用户端及量子保密通信系统,其中,所述量子通信保密系统包括:量子保密通信网络,所述量子保密通信网络包括至少一个量子通信服务站,所述若干量子通信服务站之间通过QKD网络连接;量子保密通信用户端,所述量子保密通信用户端包括至少一个普通用户端和至少一个密钥刷新用户端,所述普通用户端配置有普通量子密钥卡,所述密钥刷新用户端配置有密钥刷新量子密钥卡,所述普通用户端分别与密钥刷新用户端和量子通信服务站之间通信连接,所述密钥刷新用户端还与量子通信服务站之间通讯连接。本申请提供的技术方案,能够提高通信的安全性和用户体验感。
Description
技术领域
本实用新型涉及互联网技术领域,特别涉及一种量子保密通信用户端及量子保密通信系统。
背景技术
随着互联网技术的高速发展,数以百亿计的信息在互联网上集中,这些信息就和现实世界中的资源一样,具有无形的价值。除了黑客等可能会窃取互联网信息,现有的消息通讯厂商也可以随时查看你的通讯信息。因此,对于个人或组织来说,要确保自己的信息不被窃取,必须将密钥掌握在己方手里才能确保自身信息的安全,对于密钥的管理变得至关重要。
传统上的加密方式主要依靠非对称密码体系。非对称密码体系的优势在于不需要双方约定密钥的过程,减少了很多成本。但是量子计算机的出现,让现今大部分的非对称密码算法变得不堪一击。伴随着量子计算机出现的还有量子通信。量子密钥分发(QKD)技术以量子物理基本原理做保障,可以在公开信道上无条件安全地分发密钥,从原理上保证了一旦存在窃听就必然被发现。一旦在通信双方成功建立了密钥,这组密钥就是安全的,而且这种具有绝对随机性的密钥从原理上是无法被破解的。量子保密通信技术是利用量子密钥分发技术,实现2台量子保密通信终端间的安全、高效的密钥共享的网络;经典网络即传统的数据通信网络,实现设备间的数据传输。
然而,现有的量子保密通信技术中,一方面,某些用户被同时颁发了2个或多个拥有同样密钥池的量子密钥卡,以作为备份。某个量子密钥卡中的对称密钥池存在丢失或被俘获后被拆解从而被破解的可能性。一旦某个量子密钥卡的密钥池被破解,则备份用量子密钥卡的密钥池也被破解;另一方面,对称密钥池经过多次使用后,已使用的密钥不再使用,导致密钥池中的密钥数量不断减少。密钥补充需要到量子保密通信网络中指定的密钥颁发地点才能进行;密钥补充由于数据量较大,数据传输和数据写入需要较长时间;密钥补充需要营业员的人力操作。可见密钥补充对用户来说较为不便。
实用新型内容
本申请的目的在于提供一种量子保密通信用户端及量子保密通信系统,能够防止备份用的量子密钥卡的密钥池被破解,提高了对称密钥池的安全性和使用寿命。
为实现上述目的,本申请一方面提供一种量子保密通信用户端,该量子保密通信用户端包括:普通用户端,用于通过量子密钥卡与量子通信服务站之间建立加密通信;密钥刷新用户端,用于对普通用户端的量子密钥卡中存储的对称密钥池进行刷新。
为实现上述目的,本申请另一方面还提供一种量子保密通信系统,该量子通信保密系统包括:量子保密通信网络,所述量子保密通信网络包括至少一个量子通信服务站,所述若干量子通信服务站之间通过QKD网络连接;量子保密通信用户端,所述量子保密通信用户端包括至少一个普通用户端和至少一个密钥刷新用户端,所述普通用户端配置有普通量子密钥卡,所述密钥刷新用户端配置有密钥刷新量子密钥卡,所述普通用户端分别与密钥刷新用户端和量子通信服务站之间通信连接,所述密钥刷新用户端还与量子通信服务站之间通讯连接。
由上可见,本申请提供的技术方案,由于普通用户端带有普通量子密钥卡,普通量子密钥卡存在丢失或被盗的可能性。因此,通过密钥刷新用户端独立与量子通信服务站认证;量子密钥卡从密钥刷新用户端处得到刷新参数,根据刷新参数可以计算得到新的对称密钥池,使得在某个量子密钥卡中的对称密钥池被破解的极端情况下,由于敌方无法获取到刷新参数,备份用量子密钥卡的密钥池不会被破解。同时,可以通过密钥刷新提升对称密钥池的安全性和使用寿命。而且密钥补充不需要到量子保密通信网络中指定的密钥颁发地点进行,只需要到比密钥颁发地点数量多得多的密钥刷新用户端处进行;密钥刷新由于数据量较小,数据传输和数据写入仅需要较短时间;密钥刷新用户端均为自助终端,同时保存了普通用户端及其使用者信息用于事后审计,不需要营业员的人力操作,提高了通信的安全性和用户体验感。
附图说明
为了更清楚地说明本实用新型实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本实用新型的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本实用新型实施方式中量子保密通信系统的结构示意图;
图2是本实用新型实施方式中量子密钥卡的结构示意图;
图3是本实用新型实施方式中密钥刷新用户端的结构示意图;
图4是本实用新型实施方式中普通用户端的结构示意图;
具体实施方式
为使本实用新型的目的、技术方案和优点更加清楚,下面将结合附图对本实用新型实施方式作进一步地详细描述。
请参阅图1,本实施方式提供一种量子保密通信系统,该量子保密通信系统可以包括以下组网结构:
量子保密通信网络,量子保密通信网络包括多个量子通信服务站,量子通信服务站之间通过QKD网络连接;量子通信服务站通过经典网络与量子保密通信网络的接入站点,即量子保密通信用户端连接,量子保密通信用户端包括至少一个普通用户端和至少一个密钥刷新用户端,普通用户端配置有普通量子密钥卡,所述密钥刷新用户端配置有密钥刷新量子密钥卡,普通用户端分别与密钥刷新用户端和量子通信服务站之间通信连接,密钥刷新用户端还与量子通信服务站之间通讯连接。
在本实施方式中,普通用户端带有普通量子密钥卡,普通量子密钥卡存在丢失或被盗的可能性;密钥刷新用户端带有密钥刷新量子密钥卡,密钥刷新用户端是比较重要的用户端,可以是用户局域网内的网关、服务器或Internet中运营商控制的运营终端等,由于其安全防护等级较高,因此其密钥刷新量子密钥卡不太可能丢失或被盗;密钥刷新用户端可以独立与量子通信服务站认证;普通用户端配备的普通量子密钥卡存在丢失或被盗用的可能性。
需要说明的是,若用户丢失量子密钥卡,用户向量子通信网络上报量子密钥卡丢失并可能被盗用。量子通信服务站将该密钥卡内密钥标记为不可使用,需要对密钥进行刷新才能使用。盗用者对量子密钥卡进行刷新时,专业人员会在相应的刷新用户端处取到盗用者的信息,从而抓获盗用者。
请参阅图2,本实施方式提供一种量子密钥卡,该量子密钥卡包括:密钥存储模块,用于存储对称密钥池,所述对称密钥池与颁发量子密钥卡的量子通信服务站共享;身份认证模块,用于认证调用量子密钥卡的设备的合法身份;算法实现模块,用于为调用该量子密钥卡的设备端接入量子保密通信网络提供密码学算法支持。
在本实施方式中,量子密钥卡的密钥存储模块存储有对称密钥池,对称密钥池无法导出;量子密钥卡的身份认证模块用于确保调用该量子密钥卡的设备的合法身份;量子密钥卡的算法实现模块为调用该量子密钥卡的设备端接入量子保密通信网络提供相应的密码学算法支持。
请参阅图3和图4,本实施方式提供一种量子保密通信用户端,该量子保密通信用户端包括:普通用户端,用于通过量子密钥卡与量子通信服务站之间建立加密通信;密钥刷新用户端,用于对普通用户端的量子密钥卡中存储的对称密钥池进行刷新。
在本实施方式中,如图3所示,密钥刷新用户端主要由近距离通信模块、量子密钥卡接口模块、量子随机数发生器模块、用户信息采集模块、用户信息存储模块及其他基础功能模块组成。近距离通信模块用于与普通用户进行简单通信,在人为可控范围内实现相应的通信,通信方式包括但不仅限于有线连接、二维码通信、NFC通信、红外通信、蓝牙通信等;量子密钥卡接口模块为用户端用于调用量子密钥卡的接口模块,该模块具备与量子密钥卡进行如前文所述的近距离通信功能;量子随机数发生器模块用于产生量子随机数;用户信息采集模块用于采集普通用户端及其使用者的相关信息(普通用户端的身份号、机型、设备码,使用者的照片、生物学信息、身份证信息,等等);用户信息存储模块用于存储用户信息采集模块采集到的用户相关信息,该模块与用户端的存储模块独立,提高了用户基础信息的安全性,其他基础功能模块包括CPU、RAM、存储模块、网络通信模块和外设接口模块等。
需要说明的是,当密钥刷新用户端进行认证时,量子通信服务站内存储有与对应的密钥刷新用户端A相同的对称密钥池,密钥刷新用户端A的对称密钥池存储在自己的密钥刷新量子密钥卡中。密钥刷新用户端A和量子通信服务站可通过预定的密钥选择逻辑,从对称密钥池中取出相同的对称密钥,使用该对称密钥进行双向挑战应答认证,该对称密钥使用后不再使用或者经过变换后再使用,做到每次认证更换密钥;认证完成后,密钥刷新用户端A与量子通信服务站之间有会话密钥KSA。
在本实施方式中,如图4所示,普通用户端主要由近距离通信模块、量子密钥卡接口模块及其他基础功能模块组成。其中,其他基础功能模块包括CPU、RAM、存储模块、网络通信模块和外设接口模块等。近距离通信模块用于与普通用户进行简单通信,在人为可控范围内实现相应的通信,通信方式包括但不仅限于有线连接、二维码通信、NFC通信、红外通信、蓝牙通信等;量子密钥卡接口模块为用户端用于调用量子密钥卡的接口模块,该模块具备与量子密钥卡进行如前文所述的近距离通信功能;
需要说明的是,当普通用户端进行认证时,量子通信服务站内存储有与对应的普通用户端B相同的对称密钥池,普通用户端B的对称密钥池存储在自己的量子密钥卡中。普通用户端B和量子通信服务站可通过预定的密钥选择逻辑,从对称密钥池中取出相同的对称密钥。使用该对称密钥进行双向挑战应答认证,该密钥使用后不再使用或者经过变换后再使用,做到每次认证更换密钥。认证完成后,普通用户端B与量子通信服务站之间有会话密钥KSB。
请参阅图1,在本实施方式中,普通用户端和密钥刷新用户端之间需要进行认证时,假设密钥刷新用户端A和普通用户端B之间分别属于量子通讯服务站QA和QB。密钥刷新用户端A与量子通讯服务站QA之间的会话密钥为KSA,普通用户端B与量子通讯服务站QB之间的会话密钥为KSB。量子通讯服务站QA和QB利用QKD网络生成QKD密钥KQ。量子通讯服务站QA使用KSA加密QKD密钥KQ得到{KQ}KSA,然后将{KQ}KSA发送至密钥刷新用户端A。密钥刷新用户端A使用KSA解密{KQ}KSA后获得QKD密钥KQ。量子通讯服务站QB使用KSB加密QKD密钥KQ得到{KQ}KSB,然后将{KQ}KSB发送至普通用户端B。普通用户端B使用KSB解密{KQ}KSB后获得QKD密钥KQ。密钥刷新用户端A和普通用户端B使用KQ作为认证密钥进行双向挑战应答认证,认证完成后,密钥刷新用户端A和普通用户端B之间有会话密钥KSAB。
请参阅图1、图3和图4,本实施方式提供一种量子保密通信方法,需要使用密钥刷新公式Knew=FKR(K,KR),表示使用刷新参数KR对密钥K进行运算得到密钥Knew。其中,FKR为密钥刷新函数,优选为对称加密函数或者消息认证码函数,Knew的长度等于K的长度。普通用户端需要获取密钥刷新参数并进行密钥刷新时,需要执行以下步骤:
S1:密钥刷新用户端A采集普通用户端B的信息并存储于密钥刷新用户端A的存储装置,包括普通用户端B及其使用者信息,普通用户端B的身份号记为IDB。
密钥刷新用户端A根据密钥刷新量子密钥卡中的随机数发生器生成真随机数密钥刷新参数KR。
密钥刷新用户端A使用KSA加密IDB和KR得到{IDB||KR}KSA,将加密后的信息发送至量子通讯服务站QA。
S2:量子通讯服务站QA收到{IDB||KR}KSA后,使用KSA解密得到IDB和KR,使用量子通讯服务站QA与量子通讯服务站QB之间的QKD密钥KQ对其进行加密得到{IDB||KR}KQ。然后将{IDB||KR}KQ发送至量子通讯服务站QB。
量子通讯服务站QB收到{IDB||KR}KQ后,使用KQ对其进行解密得到IDB和KR。根据IDB找到与普通用户端B对应的密钥池,根据密钥刷新参数KR对其进行刷新,刷新过程如下:
将密钥池平均分为多段,设每段密钥为K,根据密钥刷新公式,计算出每段新密钥,组合得到新的密钥池。
S3:密钥刷新用户端A使用KSAB加密KR得到{KR}KSAB,通过近距离通信发送给普通用户端B的量子密钥卡。
S4:普通用户端B收到{KR}KSAB后,使用KSAB对其进行解密得到KR。然后普通用户端B可脱离密钥刷新客户端A,根据密钥刷新参数KR对自己的本地密钥池进行刷新,刷新过程与上文相同。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
以上所述仅为本实用新型的较佳实施例,并不用以限制本实用新型,凡在本实用新型的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本实用新型的保护范围之内。
Claims (9)
1.一种量子保密通信用户端,其特征在于,该量子保密通信用户端包括:
普通用户端,用于通过量子密钥卡与量子通信服务站之间建立加密通信;
密钥刷新用户端,用于对普通用户端的量子密钥卡中存储的对称密钥池进行刷新。
2.如权利要求1所述的量子保密通信用户端,其特征在于,所述普通用户端包括:
近距离通信模块,用于与普通用户进行交互;
量子密钥卡接口模块,用于调用量子密钥卡。
3.如权利要求2所述的量子保密通信用户端,其特征在于,所述近距离通信模块包括有线连接模块、二维码通信模块、NFC通信模块、红外通信模块和/或蓝牙通信模块。
4.如权利要求2所述的量子保密通信用户端,其特征在于,所述普通用户端还包括基础功能模块,所述基础功能模块包括CPU、RAM、存储模块、网络通信模块和外设接口模块。
5.如权利要求1所述的量子保密通信用户端,其特征在于,所述密钥刷新用户端包括:
近距离通信模块,用于与普通用户进行交互;
量子密钥卡接口模块,用于调用量子密钥卡;
量子随机数发生器模块,用于产生量子随机数;
用户信息采集模块,用于采集普通用户端和用户的信息;
用户信息存储模块,用于存储用户信息采集模块采集的普通用户端和用户的信息。
6.如权利要求5所述的量子保密通信用户端,其特征在于,所述近距离通信模块包括有线连接模块、二维码通信模块、NFC通信模块、红外通信模块和/或蓝牙通信模块。
7.如权利要求5所述的量子保密通信用户端,其特征在于,所述密钥刷新用户端还包括基础功能模块,所述基础功能模块包括CPU、RAM、存储模块、网络通信模块和外设接口模块。
8.如权利要求5-7中任一项所述的量子保密通信用户端,其特征在于,所述密钥刷新用户端配置在用户局域网内的网关、用户局域网内的服务器或Internet中运营商控制的运营终端中。
9.一种量子保密通信系统,其特征在于,该量子通信保密系统包括:
量子保密通信网络,所述量子保密通信网络包括至少一个量子通信服务站,所述若干量子通信服务站之间通过QKD网络连接;
如权利要求1-8中任一项所述的量子保密通信用户端,所述量子保密通信用户端包括至少一个普通用户端和至少一个密钥刷新用户端,所述普通用户端配置有普通量子密钥卡,所述密钥刷新用户端配置有密钥刷新量子密钥卡,所述普通用户端分别与密钥刷新用户端和量子通信服务站之间通信连接,所述密钥刷新用户端还与量子通信服务站之间通讯连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202022174092.9U CN213279684U (zh) | 2020-09-28 | 2020-09-28 | 一种量子保密通信用户端及量子保密通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202022174092.9U CN213279684U (zh) | 2020-09-28 | 2020-09-28 | 一种量子保密通信用户端及量子保密通信系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN213279684U true CN213279684U (zh) | 2021-05-25 |
Family
ID=75946046
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202022174092.9U Active CN213279684U (zh) | 2020-09-28 | 2020-09-28 | 一种量子保密通信用户端及量子保密通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN213279684U (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114337848A (zh) * | 2022-01-10 | 2022-04-12 | 南京中科齐信科技有限公司 | 一种量子密码安全应用服务系统及方法 |
-
2020
- 2020-09-28 CN CN202022174092.9U patent/CN213279684U/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114337848A (zh) * | 2022-01-10 | 2022-04-12 | 南京中科齐信科技有限公司 | 一种量子密码安全应用服务系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2037621B1 (en) | Method and device for deriving local interface key | |
| CN105684344B (zh) | 一种密钥配置方法和装置 | |
| CN111416715B (zh) | 基于秘密共享的量子保密通信身份认证系统及方法 | |
| CN107800539A (zh) | 认证方法、认证装置和认证系统 | |
| CN103560879A (zh) | 一种轻量级认证与密钥协商的实现方法 | |
| CN109462608A (zh) | 数据加密处理方法、装置及系统 | |
| CN111698238A (zh) | 电力物联网终端层设备密钥的管理方法、系统及存储介质 | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| CN110224816A (zh) | 基于密钥卡和序列号的抗量子计算应用系统以及近距离节能通信方法和计算机设备 | |
| CN213279684U (zh) | 一种量子保密通信用户端及量子保密通信系统 | |
| CN107911211A (zh) | 基于量子通信网络的二维码认证系统 | |
| Castiglione et al. | An efficient and transparent one-time authentication protocol with non-interactive key scheduling and update | |
| KR20120107326A (ko) | 임의성을 강화시킨 일회용 패스워드 등록 및 인증 방법과 시스템 | |
| CN107786978A (zh) | 基于量子加密的nfc认证系统 | |
| CN102209066A (zh) | 网络认证的方法和设备 | |
| Koschuch et al. | Token-based authentication for smartphones | |
| CN111368271A (zh) | 一种基于多重加密的密码管理的实现方法及系统 | |
| CN113904833B (zh) | 一种基于门限的动态多因素身份认证方法和通信方法 | |
| CN215186781U (zh) | 基于量子保密通信网络的抗量子计算移动通信系统 | |
| CN212519015U (zh) | 一种接入量子保密通信网络的局域网量子通信中心及系统 | |
| CN114362923B (zh) | 一种量子保密通信系统中的密钥刷新系统及方法 | |
| CN114071461A (zh) | 基于量子密钥加密的5g通信模组 | |
| CN113965319A (zh) | 一种基于量子密钥分配系统的密钥管理系统和方法 | |
| CN213817802U (zh) | 接入量子保密通信网络的抗量子计算局域网通信中心系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |