RU2832103C1 - Система выработки и распределения ключей, сопряженная с сетью квантового распределения ключей, и способ выработки и распределения ключей в ней - Google Patents
Система выработки и распределения ключей, сопряженная с сетью квантового распределения ключей, и способ выработки и распределения ключей в ней Download PDFInfo
- Publication number
- RU2832103C1 RU2832103C1 RU2024113502A RU2024113502A RU2832103C1 RU 2832103 C1 RU2832103 C1 RU 2832103C1 RU 2024113502 A RU2024113502 A RU 2024113502A RU 2024113502 A RU2024113502 A RU 2024113502A RU 2832103 C1 RU2832103 C1 RU 2832103C1
- Authority
- RU
- Russia
- Prior art keywords
- key
- user
- control center
- central control
- communication
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 28
- 230000006854 communication Effects 0.000 claims abstract description 134
- 238000004891 communication Methods 0.000 claims abstract description 133
- ATJFFYVFTNAWJD-UHFFFAOYSA-N Tin Chemical compound [Sn] ATJFFYVFTNAWJD-UHFFFAOYSA-N 0.000 claims abstract 4
- 230000005540 biological transmission Effects 0.000 claims description 33
- 230000008569 process Effects 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 abstract description 5
- 239000000126 substance Substances 0.000 abstract 1
- 238000012546 transfer Methods 0.000 description 8
- 230000003993 interaction Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
Images
Abstract
Изобретение относится к системам генерации ключей с использованием технологии квантового распределения ключей (КРК) для криптографических средств защиты информации. Техническим результатом является снижение времени предоставления ключей для пользователей. Осуществляют со стороны пользователя В1 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на произвольном РУ Р х. Высылают запрос от пользователя В1 в распределительные узлы (РУ) Р х на предоставление ключа связи KB 1 для связи с центром управления сетью (ЦУС). Высылают запрос на предоставление ключа QPK1 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р х в доверенных промежуточных узлах ДПУ А х, к которому подключен РУ Р х, по 1-й локальной линии связи. Генерируют в доверенных промежуточных узлах ДПУ А х, получившем запрос, совместно с ДПУ АЦ, запрошенный квантовозащищенный ключ QPK1. Передают сгенерированный ключ QPK1 из ДПУ А х в РУ Р х по 1-й локальной линии связи. Передают сгенерированный ключ QPK1 из ДПУ АЦ в ЦУС по 1-й локальной линии связи. Назначают в РУ Р х полученный ключ QPK1 ключом КВ1 для связи пользователя В1 с ЦУС. Передают ключ KB 1 от РУ Р х пользователю В1 по 2-й локальной линии связи. Осуществляют со стороны пользователя В1 отключение от РУ Р х. Передают сведения в ЦУС со стороны РУ Р х через цифровую сеть передачи данных о необходимости назначить полученный от ДПУ АЦ ключ QPK1 ключом КВ1 для связи пользователя В1 с ЦУС. Сохраняют полученный ключ KB1 в ЦУС для связи с пользователем В1. 2 н.п. ф-лы, 1 ил.
Description
Область техники, к которой относится изобретение
Предлагаемое изобретение относится к области криптографической защиты информации, а именно к системам генерации ключей с использованием технологии квантового распределения ключей (КРК) для криптографических средств защиты информации.
Уровень техники
В системах КРК парные ключи шифрования формируются между двумя выбранными узлами, соединенными волоконно-оптической линией связи (квантовыми каналами). Протяженность квантового канала имеет физические ограничения, связанные с затуханием сигнала в волокне, чувствительностью фотоприемников и другими факторами. Поэтому для повышения дальности связи между двумя элементами системы при построении сетей КРК используют доверенные промежуточные узлы (ДПУ). Такие узлы соединяются квантовыми каналами, в результате чего сгенерированные ключи могут передаваться в пользовательские устройства, подключенные к разным ДПУ.
Известно устройство КРК, система КРК и способ КРК (международная заявка US 20190260581, приоритет от 03.05.2019 г.). Централизованный контроллер в системе получает Z запросов на обслуживание, глобально определяет на основе идентификатора узла службы-источника и идентификатора узла службы-получателя, которые соответствуют каждому из запросов на обслуживание Z, параметра потребления квантового ключа и информации о топологии ключевых узлов, в сети централизованного управления и контроля, глобально оптимальные инструкции передачи ключей, соответствующие G запросам, и дополнительно доставляет инструкции передачи ключей, соответствующие G запросам, на ключевые узлы, соответствующие инструкциям передачи ключей, так что ключевые узлы выполняют квантовую передачу ключей на основе инструкций передачи ключей для генерации общего квантового ключа между исходным ключевым узлом и ключевым узлом назначения.
Известные устройство, система и способ имеют ряд недостатков.
Так, для формирования общего квантового ключа необходимо заранее определить исходный ключевой узел и ключевой узел назначения, между которыми требуется ключ, что соответствует однозначному подключению потребителей такого ключа к данным узлам. Выработка общего ключа возможна при одновременном подключении пользователей к исходному ключевому узлу и узлу назначения. Также определение инструкций передачи ключа и, соответственно, маршрутов передачи ключа осуществляется в едином центре управления, который является повышенной точкой отказа сети.
Известен способ управления облачной платформой и система на основе технологии КРК (международная заявка CN 112134695, приоритет от 14.08.2020 г.). Способ заключается в том, что сохраняют квантовый ключ на облачном сервере, и дополняют, и отслеживают квантовый ключ в режиме реального времени. Облачный сервер выбирает различные способы шифрования и расшифрования с применением квантового ключа, предназначенные для различных приложений мобильного терминала, и распределяет зашифрованный квантовый ключ и методы расшифрования, соответствующие различным приложениям, на мобильный терминал. Мобильный терминал завершает аутентификацию личности согласно распределенному зашифрованному квантовому ключу и соответствующему методу расшифрования.
Система включает в себя облачный сервер, генератор квантовых ключей, модуль управления ключами, модуль управления системой и мобильный терминал. Для квантового ключа устанавливаются различные способы шифрования и расшифрования в соответствии с различными приложениями мобильного терминала, так что пользователям предоставляются услуги ключей связи с разными уровнями безопасности.
Известная система и способ имеют ряд недостатков.
Передача квантовых ключей, полученных с генератора квантовых ключей, от облачного сервера до мобильного терминала осуществляется с использованием алгоритмов с открытым ключом, неустойчивых к атакам с применением квантового компьютера. Распределение квантовых ключей происходит между облачным сервисом и мобильным терминалом, соответственно, при необходимости взаимодействия двух мобильных терминалов, такое взаимодействие должно осуществляться через облачный сервер, а не напрямую.
Известна система выработки и распределения ключей и способ распределенной выработки ключей в такой системе (патент РФ №2752844). Вырабатывают классический пользовательский ключ в первом и последнем узле сети КРК зарезервированного квантового маршрута в модулях выработки пользовательских ключей с использованием предварительных ключей согласно выбранному порядку выработки классического пользовательского ключа. Вырабатывают в модулях выработки пользовательских ключей первого и последнего узлов сети КРК зарезервированного квантового маршрута пользовательский ключ с использованием квантового пользовательского ключа и классического пользовательского ключа согласно выбранному порядку объединения квантового пользовательского ключа и классического пользовательского ключа. Передают выработанный пользовательский ключ из модуля выработки пользовательского ключа первого и последнего узлов сети КРК зарезервированного квантового маршрута в модули управления пользовательскими ключами первого и последнего узлов сети КРК зарезервированного квантового маршрута. Сохраняют в хранилище пользовательских ключей модуля управления пользовательскими ключами узла сети КРК полученный пользовательский ключ. Передают пользовательский ключ из хранилища пользовательских ключей модуля управления пользовательскими ключами узла сети КРК в шифратор пользователя, запросивший пользовательский ключ.
Известная система и способ выбраны в качестве прототипа.
Известная система и способ имеют ряд недостатков, в частности:
1) для формирования пользовательского ключа необходимо заранее определить пару узлов системы, к которым подключены пользователи;
2) оба пользователя, для которых вырабатывается ключ, должны быть одновременно подключены к конкретным узлам системы, без этого невозможно определить, для какой пары узлов сети КРК резервировать квантовый маршрут и начинать выработку общего пользовательского ключа, что замедляет процесс связи между пользователями.
Раскрытие изобретения
Техническим результатом является:
1) повышение удобства для пользователей за счет возможности подключения пользователей к произвольному распределительному узлу системы;
2) повышение территориальной мобильности пользователей за счет того, что выработка ключа для связи с другим пользователем может происходить не только при непосредственном подключении к распределительному узлу системы, но и в других местах через цифровую сеть передачи данных;
3) снижение времени предоставления ключей для пользователей за счет того, что ключ для связи с другим пользователем может быть выработан в произвольный момент времени и не требуется ожидание подключения второго пользователя к распределительному узлу системы.
Для достижения технического результата предлагается система выработки и распределения ключей и способ ее функционирования.
Система выработки и распределения ключей, сопряженная с сетью квантового распределения ключей, причем сеть квантового распределения ключей (КРК) включает:
совокупность из N доверенных промежуточных узлов (ДПУ), при этом
ДПУ соединены волоконно-оптическими линиями связи; каждому ДПУ в сети КРК назначен уникальный идентификатор узла А i, i от 1 до N;
при этом каждый ДПУ выполнен с возможностью
генерировать квантовозащищенный ключ с любым другим ДПУ; зашифровывать и расшифровывать данные; хранить и обрабатывать данные; система выработки и распределения ключей включает:
совокупность из L распределительных узлов (РУ), причем
каждый РУ подключен через первую доверенную локальную линию связи к одному ДПУ;
каждый РУ имеет вторую доверенную локальную линию связи для подключения пользователя;
каждому РУ назначен уникальный идентификатор Р i, i от 1 до L;
каждый РУ подключен к цифровой сети передачи данных; каждый РУ выполнен с возможностью
■ аутентификации на ДПУ сети КРК;
■ аутентификации подключаемых пользователей;
■ хранить и обрабатывать данные;
центр управления сетью распределительных узлов (ЦУС), причем
ЦУС подключен к цифровой сети передачи данных;
ЦУС связан с каждым РУ из совокупности РУ цифровой сетью передачи данных;
ЦУС связан с каждым пользователем через цифровую сеть передачи данных;
ЦУС подключен через 1-ю доверенную локальную линию связи к выбранному ДПУ с идентификатором узла АЦ;
ЦУС выполнен с возможностью
■ генерировать ключи;
■ зашифровывать и расшифровывать данные;
■ хранить и обрабатывать данные;
совокупность из М вычислительных устройств (пользователей), по крайней мере двух, обслуживающих потребности определенных физических лиц или других технических систем, причем
каждому пользователю в системе выработки и распределения ключей назначен уникальный идентификатор B i, i от 1 до М, известный пользователю, ЦУС и каждому РУ;
каждый пользователь соединен с цифровой сетью передачи данных; при этом каждый пользователь выполнен с возможностью
получать и передавать данные через цифровую сеть передачи данных;
шифровать и расшифровывать данные,
хранить и обрабатывать данные в процессе работы.
Способ выработки и распределения ключей в системе, заключается в том, что
осуществляют со стороны пользователя В1 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на произвольном РУ Р х;
высылают запрос от пользователя В1 в РУ Р х, на предоставление ключа связи KB1 для связи с ЦУС;
высылают запрос на предоставление ключа QPK1 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р х в ДПУ А х, к которому подключен РУ Р х, по 1-й локальной линии связи;
генерируют в ДПУ А х, получившем запрос, совместно с ДПУ АЦ, запрошенный квантовозащищенный ключ QPK1;
передают сгенерированный ключ QPK1 из ДПУ А х в РУ Р х, по 1-й локальной линии связи;
передают сгенерированный ключ QPK1 из ДПУ АЦ в ЦУС по 1-й локальной линии связи;
назначают в РУ Р х, полученный ключ QPK1 ключом KB 1 для связи пользователя В1 с ЦУС;
передают ключ КВ1 от РУ Р х, пользователю В1 по 2-й локальной линии связи;
осуществляют со стороны пользователя В1 отключение от РУ Р х;
передают сведения в ЦУС со стороны РУ Р х, через цифровую сеть передачи данных о необходимости назначить полученный от ДПУ АЦ ключ QPK1 ключом KB 1 для связи пользователя В1 с ЦУС;
сохраняют полученный ключ KB 1 в ЦУС для связи с пользователем В1;
запрашивают у ЦУС со стороны пользователя В1 через цифровую сеть передачи данных ключ К12 для связи с пользователем В2;
получают в ЦУС запрос ключа для связи пользователей В1 и В2;
генерируют в ЦУС ключ К12 для связи пользователей В1 и В2;
зашифровывают в ЦУС ключ К12 на ключе KB1;
передают зашифрованный ключ К12 пользователю В1 через цифровую сеть передачи данных;
получают со стороны пользователя В1 зашифрованный ключ К12;
расшифровывают со стороны пользователя В1 полученный зашифрованный ключ К12 на ключе КВ1, получая запрошенный ключ К12 для связи с пользователем В2;
если ЦУС не обладает ключом КВ2 для связи с пользователем В2, то выполняют следующие действия:
передают сведения пользователю В2 со стороны ЦУС через цифровую сеть передачи данных о необходимости получить ключ для связи с ЦУС;
получают со стороны пользователя В2 ключ КВ2 для связи с ЦУС:
■ осуществляют со стороны пользователя В2 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на выбранном РУ Р т;
■ высылают запрос от пользователя В2 в РУ Р т на предоставление ключа связи КВ2 для связи с ЦУС;
■ высылают запрос на предоставление ключа QPK2 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р т в ДПУ А т, к которому подключен РУ Р т, по 1-й локальной линии связи;
■ генерируют в ДПУ А т, получившем запрос, совместно с ДПУ АЦ, квантовозащищенный ключ QPK2;
■ передают сгенерированный ключ QPK2 из ДПУ А т в РУ Р т по 1 -й локальной линии связи;
■ передают сгенерированный ключ QPK2 из ДПУ АЦ в ЦУС по 1-й локальной линии связи;
■ назначают в РУ Р т полученный ключ QPK2 ключом КВ2 для связи пользователя В2 с ЦУС;
■ передают ключ КВ2 от РУ Р т пользователю В2 по 2-й локальной линии связи;
■ осуществляют со стороны пользователя В2 отключение от РУ Р т;
передают сведения в ЦУС со стороны РУ Р т о необходимости назначить полученный от ДПУ АЦ ключ QPK2 ключом KB 2 для связи пользователя В2 с ЦУС;
сохраняют полученный ключ KB 2 в ЦУС для связи с пользователем В2;
зашифровывают в ЦУС ключ К12 на ключе КВ2;
передают зашифрованный ключ К12 пользователю В2 через цифровую сеть передачи данных;
получают со стороны пользователя В2 зашифрованный ключ К12;
расшифровывают со стороны пользователя В2 полученный зашифрованный ключ К12 на ключе КВ2, получая запрошенный ключ К12 для связи с пользователем В1;
при необходимости, осуществляют обмен сообщениями между пользователем В1 и пользователем В2, зашифрованными на ключе К12.
Предложенная система выработки и распределения ключей предназначена для решения задачи подключения мобильных устройств (пользователей) к сети КРК и обеспечения их ключами связи. Сеть КРК способна вырабатывать ключи между произвольной парой узлов сети, но эта пара должна быть зафиксирована до начала выработки ключа. Пользователи зачастую не подключены к сети КРК одновременно, поэтому второй узел сети, к которому будет подключено мобильное устройство, невозможно сразу определить.
Каждый узел сети КРК физически обслуживает определенную территорию, размер которой зависит, в частности, от допустимой протяженности волоконно-оптических линий связи и ряда других факторов.
В качестве пользователей рассматриваются вычислительных устройства обслуживающих потребности определенных физических лиц или других технических систем. Это могут быть для физических лиц, например, стационарные или переносные компьютеры (ноутбуки) или планшеты сотрудников компаний, а для технических систем - оконечные устройства типа маршрутизаторов, роутеров, видеорегистраторов и пр.
Для решения этой проблемы предлагается система, состоящая из центра управления сетью и множества распределительных узлов (РУ). К узлам сети КРК подключаются стационарные РУ. К определенному узлу сети КРК подключается выделенный центр управления сетью (ЦУС). Мобильные устройства (пользователи) и ЦУС способны взаимодействовать через цифровую сеть передачи данных. Все мобильные устройства, которые планируют получать ключи связи от системы, должны быть в ней зарегистрированы, каждому мобильному устройству должен быть выдан уникальный идентификатор, известный мобильному устройству, ЦУС и всем распределительным узлам.
В случае необходимости получения пользователем ключа для связи с другим пользователем, данный пользователь запрашивает такие ключи у ЦУС. ЦУС или генерирует и передает новый ключ связи двух пользователей, если для данной пары пользователей это первый запрос ключа связи, или передает ключ, сохраненный в ЦУС, который был сгенерирован в результате обращения за ключом связи ранее второго пользователя.
Дополнительно ЦУС может уведомить пользователя о наличии для него ключей, созданных по запросу другого пользователя, а также о необходимости подключиться к РУ для получения ключей для защищенной передачи сгенерированного ключа связи. Таким образом обеспечивается повышение территориальной мобильности и удобства пользователей, которые могут в любое время и в любом месте запросить и получить ключ для связи с другим пользователем при наличии подключения к цифровой сети передачи данных (например, сети Интернет).
Защита взаимодействия с ЦУС, а именно передача ключей от ЦУС к пользователям, осуществляется на ключах, полученных от сети КРК. Перед началом взаимодействия с ЦУС пользователь должен подключиться к любому РУ и запросить ключи для связи с ЦУС. Так как РУ и ЦУС стационарно подключены к сети КРК, запрос ключа между РУ и ЦУС всегда может быть выполнен сетью КРК. РУ запрашивает ключи для связи с ЦУС от сети КРК. ЦУС и РУ подключены к сети КРК через доверенные локальные линии связи, т.е. произведена взаимная аутентификация подключенных узлов системы и узлов сети КРК, а передача квантовозащищенных ключей от сети КРК производится с обеспечением целостности и конфиденциальности.
Получив запрошенные ключи, РУ назначает их ключами пользователя, который в данный момент подключен к РУ, после чего передает их пользователю. Также РУ передает сообщение ЦУС, для какого пользователя были созданы ключи. Подключение пользователя к РУ осуществляется доверенным образом по локальной линии связи.
Под доверенным подключением понимается процедура, включающая предварительную аутентификацию пользователя на узле перед принятием от него запросов на ключи для связи с ЦУС, и передача этих ключей пользователю с обеспечением целостности и конфиденциальности.
Для того, чтобы пользователю не требовалось подключаться к РУ перед каждым сеансом связи с ЦУС, пользователю может передаваться набор ключей, состоящий из нескольких ключей связи с ЦУС, который будет постепенно расходоваться по мере реализации запросов к ЦУС на выдачу ключей связи с другими пользователями.
Таким образом, снижается время предоставления ключей для пользователей.
Пользователю необходимо регулярно подключаться к РУ для обновления набора ключей для связи с ЦУС, чтобы сохранять возможность получения ключей для связи с другими пользователями от ЦУС.
Краткое описание чертежей
На чертеже показана схема системы выработки и распределения ключей из 3 РУ и одного ЦУС, подключенная у сети КРК из 4 ДПУ и 2 пользователей, подключенных к системе выработки и распределения ключей.
Обозначения на чертеже:
1 - ДПУ сети КРК,
2 - распределительный узел системы выработки и распределения ключей,
3 - ЦУС системы выработки и распределения ключей,
4 - пользователь,
5 - цифровая сеть передачи данных,
6 - квантовый канал связи,
7 - 1-я локальная линия связи,
8 - 2-я локальная линия связи,
9 - сеть КРК,
10 - система выработки и распределения ключей.
Осуществление изобретения
Предложенный способ может быть реализован с использованием подходящей сети КРК, например, с использованием известной системы ViPNet QTS (https://infotecs.ru/products/vipnet-qts/).
В качестве ДПУ выбираются программно-аппаратные комплексы ViPNet РУКС с доработанным программным обеспечением. В качестве квантового канала связи 6 выбирается одномодовое оптоволокно типа SMF-28 допустимой длины. Доверенные локальные линии связи 7, 8 могут быть выполнены на основе линий протокола Ethernet.
В качестве РУ 2 выбирается программно-аппаратные комплексы ViPNet HW100 (https://infotecs.ru/products/vipnet-coordinator-hw-4/) с доработанным программным обеспечением, в качестве ЦУС 3 выбирается программно-аппаратный комплекс ViPNet HW1000 (https://infotecs.ru/products/vipnet-coordinator-hw-4/) с доработанным программным обеспечением.
В качестве вычислительных устройств пользователей могут быть использованы, например, ноутбуки с дополнительным программным модулем.
Соответствующие доработки программного обеспечения и программного модуля вычислительных устройств пользователей могут быть сформированы специалистом по программированию (программистом) на основе знания выполняемых функций в способе.
Пусть сеть КРК состоит из четырех ДПУ с идентификаторами A1, А2, A3, А4. Система выработки и распределения ключей состоит из ЦУС и трех РУ с идентификаторами P1, Р2, Р3. Причем ЦУС соединен локальной линией связи с ДПУ А1, а РУ P1, Р2, Р3 соединены локальными линиями связи с ДПУ А2, A3, А4 соответственно. Двум пользователям в системе назначены идентификаторы В1 и В2.
Для осуществления способа выполняют следующие действия:
Осуществляют со стороны пользователя В1 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на выбранном РУ, например, Р1.
Высылают запрос от пользователя В1 в Р1 на предоставление ключа связи КВ1 для связи с ЦУС. Получив в РУ запрос от пользователя, высылают запрос на предоставление ключа QPK1 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р1 в ДПУ А2 по 1-й локальной линии связи.
Генерируют в ДПУ А2 совместно с ДПУ А1, запрошенный квантовозащищенный ключ QPK1 и передают его из ДПУ А2 в РУ Р1, а из ДПУ А1 в ЦУС. Назначают в РУ Р1 полученный ключ QPK1 ключом КВ1 для связи пользователя В1 с ЦУС и передают его от Р1 пользователю В1 по 2-й локальной линии связи. Пользователь В1 теперь может отключаться от РУ.
Передают сведения в ЦУС со стороны РУ Р1 через цифровую сеть передачи данных о необходимости назначить полученный от ДПУ А1 ключ QPK1 ключом КВ1 для связи пользователя В1 с ЦУС. Сохраняют ключ КВ1 в ЦУС для связи с пользователем В1.
Теперь для получения ключа связи с пользователем В2 запрашивают от ЦУС со стороны пользователя В1 через цифровую сеть передачи данных ключ К12 для связи с пользователем В2. Получают в ЦУС запрос ключа для связи пользователей В1 и В2 и генерируют в ЦУС ключ К12 для связи пользователей В1 и В2, например, с помощью имеющегося генератора случайных чисел.
Зашифровывают в ЦУС ключ К12 на ключе КВ1, например, с применением ключевого контейнера КЕХР15 (Р 1323565.1.017-2018 Рекомендации по стандартизации. Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифровании, Москва, Стандартинформ, 2018). Передают зашифрованный ключ К12 пользователю В1 через цифровую сеть передачи данных. Пользователь получает зашифрованный ключ, расшифровывает его на ключе КВ1, получая запрошенный ключ К12 для связи с пользователем В2.
ЦУС передает сведения пользователю В2, например, передав соответствующее сообщение через цифровую сеть передачи данных, о необходимости получить ключ для связи с ЦУС.
Пользователь В2 подключается к любому РУ, например, Р2 по 2-й локальной линии связи и запрашивает ключ КВ2 для связи с ЦУС от этого РУ. РУ Р2, получив запрос от пользователя, запрашивает ключ QPK2 для связи с ЦУС от ДПУ A3, к которому РУ подключен по 1-й локальной линии связи. ДПУ A3 совместно с ДПУ А1 генерируют квантовозащищенный ключ QPK2. Этот ключ передают из ДПУ A3 в РУ Р2 и от ДПУ А1 в ЦУС. Назначают в РУ Р2 полученный ключ QPK2 ключом КВ2 для связи пользователя В2 с ЦУС и передают сведения в ЦУС со стороны РУ Р2 о необходимости назначить полученный от ДПУ А1 ключ QPK2 ключом КВ2 для связи пользователя В2 с ЦУС. Сохраняют ключ КВ2 в ЦУС для связи с пользователем В2. Пользователь В2 может отключаться от РУ Р2.
Теперь, имея ключ для связи ЦУС с пользователем В2, зашифровывают в ЦУС ключ К12 на ключе КВ2 и передают пользователю В2 через цифровую сеть передачи данных. Расшифровывают со стороны пользователя В2 полученный зашифрованный ключ на ключе КВ2, получая запрошенный ключ К12 для связи с пользователем В1.
С этого момента оба пользователя обладают ключом для связи и могут, при необходимости, осуществлять защищенное взаимодействие друг с другом через цифровую сеть передачи данных.
Claims (69)
1. Система выработки и распределения ключей, сопряженная с сетью квантового распределения ключей,
причем сеть квантового распределения ключей (КРК) включает:
совокупность из N доверенных промежуточных узлов (ДПУ), при этом ДПУ соединены волоконно-оптическими линиями связи; каждому ДПУ в сети КРК назначен уникальный идентификатор узла A i, i от 1 до N;
при этом каждый ДПУ выполнен с возможностью
генерировать квантовозащищенный ключ с любым другим ДПУ;
зашифровывать и расшифровывать данные;
хранить и обрабатывать данные;
система выработки и распределения ключей включает:
совокупность из L распределительных узлов (РУ), причем
каждый РУ подключен через первую доверенную локальную линию связи к одному ДПУ;
каждый РУ имеет вторую доверенную локальную линию связи для подключения пользователя;
каждому РУ назначен уникальный идентификатор P i, i от 1 до L;
каждый РУ подключен к цифровой сети передачи данных;
каждый РУ выполнен с возможностью
аутентификации на ДПУ сети КРК;
аутентификации подключаемых пользователей;
хранить и обрабатывать данные;
центр управления сетью распределительных узлов (ЦУС), причем
ЦУС подключен к цифровой сети передачи данных;
ЦУС связан с каждым РУ из совокупности РУ цифровой сетью передачи данных;
ЦУС связан с каждым пользователем через цифровую сеть передачи данных;
ЦУС подключен через 1-ю доверенную локальную линию связи к выбранному ДПУ с идентификатором узла АЦ;
ЦУС выполнен с возможностью
генерировать ключи;
зашифровывать и расшифровывать данные;
хранить и обрабатывать данные;
совокупность из М вычислительных устройств (пользователей), по крайней мере двух, обслуживающих потребности определенных физических лиц или других технических систем, причем
каждому пользователю в системе выработки и распределения ключей назначен уникальный идентификатор B i , i от 1 до М, известный пользователю, ЦУС и каждому РУ;
каждый пользователь соединен с цифровой сетью передачи данных; при этом каждый пользователь выполнен с возможностью
получать и передавать данные через цифровую сеть передачи данных;
шифровать и расшифровывать данные;
хранить и обрабатывать данные в процессе работы.
2. Способ выработки и распределения ключей в системе, заключающийся в том, что осуществляют со стороны пользователя В1 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на произвольном РУ Р х;
высылают запрос от пользователя В1 в РУ Р х на предоставление ключа связи KB1 для связи с ЦУС;
высылают запрос на предоставление ключа QPK1 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р х в ДПУ А х, к которому подключен РУ Р х, по 1-й локальной линии связи;
генерируют в ДПУ А х, получившем запрос, совместно с ДПУ АЦ, запрошенный квантовозащищенный ключ QPK1;
передают сгенерированный ключ QPK1 из ДПУ А х в РУ Р х по 1-й локальной линии связи;
передают сгенерированный ключ QPK1 из ДПУ АЦ в ЦУС по 1-й локальной линии связи;
назначают в РУ Р х полученный ключ QPK1 ключом KB1 для связи пользователя В1 с ЦУС;
передают ключ KB 1 от РУ Р х пользователю В1 по 2-й локальной линии связи;
осуществляют со стороны пользователя В1 отключение от РУ Р х;
передают сведения в ЦУС со стороны РУ Р х через цифровую сеть передачи данных о необходимости назначить полученный от ДПУ АЦ ключ QPK1 ключом KB 1 для связи пользователя В1 с ЦУС;
сохраняют полученный ключ KB1 в ЦУС для связи с пользователем В1;
запрашивают у ЦУС со стороны пользователя В1 через цифровую сеть передачи данных ключ К12 для связи с пользователем В2;
получают в ЦУС запрос ключа для связи пользователей В1 и В2;
генерируют в ЦУС ключ К12 для связи пользователей В1 и В2;
зашифровывают в ЦУС ключ К12 на ключе КВ1;
передают зашифрованный ключ К12 пользователю В1 через цифровую сеть передачи данных;
получают со стороны пользователя В1 зашифрованный ключ К12;
расшифровывают со стороны пользователя В1 полученный зашифрованный ключ К12 на ключе КВ1, получая запрошенный ключ К12 для связи с пользователем В2;
если ЦУС не обладает ключом КВ2 для связи с пользователем В2, то выполняют следующие действия:
передают сведения пользователю В2 со стороны ЦУС через цифровую сеть передачи данных о необходимости получить ключ для связи с ЦУС;
получают со стороны пользователя В2 ключ КВ2 для связи с ЦУС:
осуществляют со стороны пользователя В2 доверенное подключение по 2-й локальной линии связи к системе выработки и распределения ключей на выбранном РУ Р т;
высылают запрос от пользователя В2 в РУ Р т на предоставление ключа связи КВ2 для связи с ЦУС;
высылают запрос на предоставление ключа QPK2 для связи с ЦУС с указанием идентификатора ЦУС от РУ Р т в ДПУ А т, к которому подключен РУ Р т, по 1-й локальной линии связи;
генерируют в ДПУ А т, получившем запрос, совместно с ДПУ АЦ, квантовозащищенный ключ QPK2;
передают сгенерированный ключ QPK2 из ДПУ А т в РУ Р т по 1-й локальной линии связи;
передают сгенерированный ключ QPK2 из ДПУ АЦ в ЦУС по 1-й локальной линии связи;
назначают в РУ Р т полученный ключ QPK2 ключом КВ2 для связи пользователя В2 с ЦУС;
передают ключ КВ2 от РУ Р т пользователю В2 по 2-й локальной линии связи;
осуществляют со стороны пользователя В2 отключение от РУ Р т;
передают сведения в ЦУС со стороны РУ Р т о необходимости назначить полученный от ДПУ АЦ ключ QPK2 ключом KB 2 для связи пользователя В2 с ЦУС;
сохраняют полученный ключ КВ2 в ЦУС для связи с пользователем В2;
зашифровывают в ЦУС ключ К12 на ключе КВ2;
передают зашифрованный ключ К12 пользователю В2 через цифровую сеть передачи данных;
получают со стороны пользователя В2 зашифрованный ключ К12;
расшифровывают со стороны пользователя В2 полученный зашифрованный ключ К12 на ключе КВ2, получая запрошенный ключ К12 для связи с пользователем В1;
при необходимости, осуществляют обмен сообщениями между пользователем В1 и пользователем В2, зашифрованными на ключе К12.
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2832103C1 true RU2832103C1 (ru) | 2024-12-19 |
Family
ID=
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2845083C1 (ru) * | 2025-03-06 | 2025-08-13 | Акционерное общество "Научно-производственное предприятие "Цифровые решения" | Способ ввода в криптомаршрутизатор ключевой информации, выработанной при помощи системы квантового распределения ключей |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10348493B2 (en) * | 2015-01-08 | 2019-07-09 | Alibaba Group Holding Limited | Quantum key distribution system, method and apparatus based on trusted relay |
| US20190260581A1 (en) * | 2016-11-04 | 2019-08-22 | Huawei Technologies Co., Ltd. | Quantum key relay method based on centralized management and control network, and apparatus |
| CN112134695A (zh) * | 2020-08-14 | 2020-12-25 | 江苏亨通问天量子信息研究院有限公司 | 基于量子密钥分发技术的云平台管理方法及系统 |
| RU2752844C1 (ru) * | 2020-12-10 | 2021-08-11 | Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Система выработки и распределения ключей и способ распределенной выработки ключей с использованием квантового распределения ключей (варианты) |
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10348493B2 (en) * | 2015-01-08 | 2019-07-09 | Alibaba Group Holding Limited | Quantum key distribution system, method and apparatus based on trusted relay |
| US20190260581A1 (en) * | 2016-11-04 | 2019-08-22 | Huawei Technologies Co., Ltd. | Quantum key relay method based on centralized management and control network, and apparatus |
| CN112134695A (zh) * | 2020-08-14 | 2020-12-25 | 江苏亨通问天量子信息研究院有限公司 | 基于量子密钥分发技术的云平台管理方法及系统 |
| RU2752844C1 (ru) * | 2020-12-10 | 2021-08-11 | Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Система выработки и распределения ключей и способ распределенной выработки ключей с использованием квантового распределения ключей (варианты) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2845083C1 (ru) * | 2025-03-06 | 2025-08-13 | Акционерное общество "Научно-производственное предприятие "Цифровые решения" | Способ ввода в криптомаршрутизатор ключевой информации, выработанной при помощи системы квантового распределения ключей |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116527259B (zh) | 基于量子密钥分发网络的跨域身份认证方法及系统 | |
| CN103490891B (zh) | 一种电网ssl vpn中密钥更新和使用的方法 | |
| CN1977513B (zh) | 用于有效认证医疗无线自组网节点的系统和方法 | |
| US6813714B1 (en) | Multicast conference security architecture | |
| US20080082676A1 (en) | Data Communications System, Terminal, and Program | |
| CA2462448A1 (en) | Access and control system for network-enabled devices | |
| CN111756530B (zh) | 量子服务移动引擎系统、网络架构及相关设备 | |
| CN110650009B (zh) | 一种移动网络及通信方法 | |
| CN111865609A (zh) | 一种基于国密算法的私有云平台数据加解密系统 | |
| KR102558457B1 (ko) | 양자 난수 기반의 가상 사설망을 구축하기 위한 장치 및 방법 | |
| CN114186213B (zh) | 基于联邦学习的数据传输方法及装置、设备和介质 | |
| CN109842442B (zh) | 一种以机场为区域中心的量子密钥服务方法 | |
| CN113452514B (zh) | 密钥分发方法、装置和系统 | |
| RU2832103C1 (ru) | Система выработки и распределения ключей, сопряженная с сетью квантового распределения ключей, и способ выработки и распределения ключей в ней | |
| JP2023139648A (ja) | 鍵管理装置、量子暗号通信システム及びプログラム | |
| CN118381609B (zh) | 一种多类型量子安全密钥提供方法及装置 | |
| CN118317299B (zh) | 5g加密通信方法、装置、电子设备及存储介质 | |
| RU2831046C1 (ru) | Способ формирования ключа между узлами вычислительной сети с использованием системы квантового распределения ключей | |
| CN114089674A (zh) | 一种基于量子身份认证的云终端管控系统 | |
| RU2838046C1 (ru) | Способ выработки и распределения ключей в многосегментной сети с квантовым распределением ключей | |
| CN117394999B (zh) | 一种量子安全局域网的组网系统及方法 | |
| KR101886367B1 (ko) | 사물 간 통신 네트워크에서의 기기 개별 세션키 생성 및 이를 이용한 기기 간의 암호화 및 복호화 기능 검증 방법 | |
| KR102708686B1 (ko) | 네트워크 장비의 인터넷 키 교환 방법 | |
| CN118900185B (zh) | 接入量子网络的方法和安全能力接入网关 | |
| CN116980122B (zh) | 一种量子密钥分发管理系统 |