WO2022142463A1

WO2022142463A1 - 一种分布式量子密码网络组密钥分发方法及系统

Info

Publication number: WO2022142463A1
Application number: PCT/CN2021/117787
Authority: WO
Inventors: 原磊
Original assignee: 科大国盾量子技术股份有限公司; 山东量子科学技术研究院有限公司
Priority date: 2020-12-28
Filing date: 2021-09-10
Publication date: 2022-07-07
Also published as: CN114697002A; CN114697002B

Abstract

本发明提供了一种分布式量子密码网络组密钥分发方法及系统，获取当前路由周期的量子密码网络的路由图；获取是否存在组节点新加入或退出组通信的信息，如果存在，按照信息内容更新量子密码网络的路由图；按照更新后的路由图，以组密钥分发总路径小于设定阈值为目的，逐层形成下个路由周期组密钥分发的路由生成树；根据自己在路由生成树的位置，生成组密钥或接收上层节点分发的组密钥，保存组密钥，并下发组密钥至下一层节点。本发明各个节点分布式布局，通过构建最短或较短的总路径，从而在完成全部组密钥的分发的基础上，保证最少或较少的组密钥分发的路径成本。

Description

一种分布式量子密码网络组密钥分发方法及系统

本发明要求于2020年12月28日提交中国专利局、申请号为202011584314.2、发明名称为“一种分布式量子密码网络组密钥分发方法及系统”的中国专利申请的优先权，其全部内容通过引用结合在本发明中。

技术领域

本发明属于量子密码网络的加密通信技术领域，具体涉及一种分布式量子密码网络组密钥分发方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

随着量子密码学发展迅速，量子密钥以其独有的安全特性，得到了广泛的重视，正逐步走向商用。组密钥服务模式作为量子通信服务模式之一，越来越受到研究者的重视；组密钥服务模式用于服务量子通信组网环境下多方参与的应用之间的通信，如视频会议、网络游戏、视频点播等。

当前量子密码网络中的组密钥是通过量子密码网络节点之间的密钥中继得到的。组密钥在量子密码网络节点之间中继，中继路径的距离越长，其中继密钥的生成成本越大，据发明人了解，目前的研究文献，多是通过密钥协商优化来实现密钥分发的快速性和安全性，但这种优化方式没有考虑组密钥分发的路径成本问题，没有采用最佳路径进行组密钥分发，增加了组密钥分发的路径成本，从而增加了组密钥加密通信的成本。如何以最短或较短的总路径完成全部组密钥的分发是当前组密钥应用方案所没有考虑过的问题。

发明内容

本发明为了解决上述问题，提出了一种分布式量子密码网络组密钥分发方法及系统，本发明采用分布式路由计算，通过依次确定各个节点之间的最佳密钥分发路径，构建最短或较短的总路径，从而在完成全部组密钥的分发的基础上，保证最少或较少的组密钥分发的路径成本。

根据一些实施例，本发明采用如下技术方案：

一种分布式量子密码网络组密钥分发方法，从参与组通信的组成员所在的量子密码网络节点，以下简称为组节点侧执行，包括以下步骤：

获取当前路由周期的量子密码网络的路由图；

获取是否存在组节点新加入或退出组通信的信息，如果存在，按照信息内容更新量子密码网络的路由图；

按照更新后的路由图，以组密钥分发总路径小于设定阈值为目的，逐层形成下个路由周期组密钥分发的路由生成树；

根据自己在路由生成树的位置，生成组密钥或接收上层节点分发的组密钥，保存组密钥，并下发组密钥至下一层节点。

作为可选择的实施方式，若不存在组节点新加入或退出组通信的信息，不需要更新量子密码网络的路由图，不需要重新计算和更新相应的路由生成树。

作为可选择的实施方式，获取是否存在组节点新加入或退出组通信的信息中，该信息包括新加入或退出组通信的组成员所在的量子密码网络节点ID。

作为可选择的实施方式，以组密钥分发总路径小于设定阈值为目的，逐层形成下个路由周期组密钥分发的路由生成树的具体过程包括：确定每一个组节点到其他组节点的总路径之和，确定总路径之和最小或小于设定值的组节点为根节点，将距离各根节点密钥中继路径的最短或小于预设值的组节点作为相应根节点的下层节点，不断重复，逐层形成下个路由周期组密钥分发的路由生成树。

作为可选择的实施方式，选择处于量子密码网络的路由图中位于中心位置处的若干组节点为根节点。

所述中心是指位于量子密码网络的路由图中物理中心点或位置中心点。

作为可选择的实施方式，将距离各根节点密钥中继路径的最短或小于预设值的组节点作为相应根节点的下层节点的具体过程包括：将所有除已确定的根节点以外的组节点作为第一集合，将路由生成树的节点作为第二集合；

查找第一集合中距离第二集合中各个组节点最小或小于预设值的若干节点，作为对应组节点的下层节点或子节点，将这些下层节点与其对应的上层节点的连接边加入第三集合，将下层节点加入第二集合，同时从第一集合中删除上述下层节点；

不断重复，直到第一集合为空为止。

作为可选择的实施方式，路由生成树的根节点所在的组节点首先开始组密钥分发，根节点选择真随机数作为组密钥，保存组密钥，同时将组密钥分别中继到路由生成树对应根节点的每一个下层节点。

作为可选择的实施方式，每一个路由生成树中的节点收到上层节点分发的组密钥，保存组密钥，如果本节点在路由生成树上还存在下层节点，则将组密钥中继到路由生成树本节点的每一个下层节点。

一种分布式量子密码网络组密钥分发系统，包括：

组通信认证服务器，被配置为进行参与组通信的组成员的注册、登陆认证、退出管理以及在每个路由周期将新加入或退出组通信的组成员所在的量子密码网络节点信息发送给每个组节点；

组节点，参与组通信，被配置为按照更新后的路由图，以组密钥分发总路径小于设定阈值为目的，逐层形成下个路由周期组密钥分发的路由生成树；根据自己在路由生成树的位置，生成组密钥或接收上层节点分发的组密钥，保存组密钥，并下发组密钥至下一层节点。

作为可选择的实施方式，若不存在组节点新加入或退出通信，各个组节点不用按照更新后的路由图，逐层形成下个路由周期组密钥分发的路由生成树。

一种计算机可读存储介质，其中存储有多条指令，所述指令适于由终端设备的处理器加载并执行所述的一种分布式量子密码网络组密钥分发方法的步骤。

一种终端设备，包括处理器和计算机可读存储介质，处理器用于实现各指令；计算机可读存储介质用于存储多条指令，所述指令适于由处理器加载并执行所述的一种分布式量子密码网络组密钥分发方法的步骤。

与现有技术相比，本发明的有益效果为：

本发明通过分布式路由计算方式，通过每个组节点生成路由生成树为组密钥分发规划提供全局最优路径，节约了组密钥分发的路径成本，从而降低了组密钥加密通信成本。

本发明选择所有组节点中位于中心位置的节点作为组密钥分发的根节点，以根节点作为组密钥分发的初始节点，这有助于提高组密钥分发效率；且以最小或一定阈值限定，可以根据情况形成多线路并行分发，提高了组密钥分发的速度。

本发明的路由生成树的计算方式为分布式，降低了对中心节点的依赖性，增加了方案的可靠性。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1为本发明中至少一个实施例的系统结构图；

图2为本发明中至少一个实施例的根节点确定过程示意图。

具体实施方式：

下面结合附图与实施例对本发明作进一步说明。

应该指出，以下详细说明都是例示性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

在实施例部分，将量子密码网络中参与组通信的量子密码网络节点通过量子密钥中继获得组密钥的过程，称之为量子密码网络组密钥分发。

实施例一：

一种分布式量子密码网络组密钥分发方法，从参与组通信的组成员所在的量子密码网络节点，以下简称为组节点侧执行。

本实施例拟通过依次确定各个节点之间的最佳选择路径，构建最短或较短的总路径，从而在完成全部组密钥的分发的基础上，保证最少或较少的组密钥分发的路径成本。

包括以下步骤：

获取当前路由周期的量子密码网络的路由图；

若不存在组节点新加入或退出通信的信息，不用按照更新后的路由图，逐层形成下个路由周期组密钥分发的路由生成树。

获取是否存在组节点新加入或退出组通信的信息中，该信息为新加入或退出组通信的组成员所在的量子密码网络节点ID。

以组密钥分发总路径小于设定阈值为目的，逐层形成下个路由周期组密钥分发的路由生成树的具体过程包括：确定每一个组节点到其他组节点的总路径之和，确定总路径之和最小或小于设定值的组节点为根节点，将距离各根节点密钥中继路径的最短或小于预设值的组节点作为相应根节点的下层节点，不断重复，逐层形成下个路由周期组密钥分发的路由生成树。

作为优选的方式，可以选择处于量子密码网络的路由图中中心位置处的若干组节点为根节点，有助于提高组密钥分发的速度。

将距离各根节点密钥中继路径的最短或小于预设值的组节点作为相应根节点的下层节点的具体过程包括：将所有除已确定的根节点以外的组节点作为第一集合，将路由生成树的节点作为第二集合；

不断重复，直到第一集合为空为止。

以确定总路径之和最小的组节点为根节点，距离各根节点密钥中继路径的最短的组节点作为相应根节点的下层节点为代表，进行详细说明，包括以下步骤：

1、确定组节点路由生成树的根节点，计算每一个组节点到其它节点的路径和，将和最小的组节点S作为路由生成树的根节点；

2、将所有除节点S以外的组节点的集合记为V，将路由生成树的集合记为(U，T)，U为生成树的节点集合，T为生成树中的连接节点的边集合，初始时，U只包含一个根节点S，T为空；

3、查找U和V中距离最近的两个节点(此处的距离是指节点间密钥中继的最短路径长度)，设为u和v，其中u∈U，v∈V，将边(u,v)加入集合T，将v加入集合U，同时从集合V中删除节点v；

4、重复步骤3，直到集合V为空为止。

作为示例的，步骤1中，如图2所示，设有A、B、C、D、E、F、G多个组节点，各组节点和其他节点的密钥中继的路径长度分别为：

组节点A:ab+ac+ad+ae+af+ag；

组节点B:ba+bc+bd+be+bf+bg；

组节点C:ca+cb+cd+ce+cf+cg；

组节点D:da+db+dc+de+df+dg；

组节点E:ea+eb+ec+ed+ef+eg；

组节点F:fa+fb+fc+fd+fe+fg；

组节点G:ga+gb+gc+gd+ge+gf；

其中，ij分别从组节点I到组节点J的密钥中继的路径长度，且ij＝ji。总路径长度最小的为组节点E，确定组节点E为根节点。

当然，在其他实施例中，可以使用其他方式计算密钥中继的总路径长度。

也可以根据应用情况和要求，确定总路径之和小于设定值的组节点为根节点，这样可以存在多个根节点，构成多线路并行分发，有助于提高组密钥分发的速度。

在不同的实施例中，也可以在确定下层节点或子节点的过程中，选择多条路径长度较小对应的节点为某节点的下层节点或子节点。

但是，无论是单线路分发还是多线路并行分发，都从路由生成树的根节点所在的组节点首先开始组密钥分发。根节点选择真随机数作为组密钥，保存组密钥，同时将组密钥分别中继到路由生成树对应根节点的每一个下层节点。

每一个路由生成树中的节点收到上层节点分发的组密钥，保存组密钥，如果本节点在路由生成树上还存在下层节点，则将组密钥中继到路由生成树本节点的每一个下层节点。

实施例二：

一种分布式量子密码网络组密钥分发的系统，如图1所示，整个系统包括组通信认证服务器和参与组通信的组节点。组通信认证服务器负责参与组通信的组成员的注册、登陆认证、退出管理以及在每个路由周期将新加入或退出组通信的组成员所在的量子密码网络节点ID发送给每个组节点。每个路由周期，组节点根据量子密码网络的路由图计算下个路由周期组密钥分发的路由生成树。如果一个路由周期参与组通信的组节点没有变动，则组节点不需要重新计算路由生成树。

组通信开始时，组通信认证服务器将参与组通信的组成员所在的量子密码网络节点ID分别发送给每个组节点，每个路由周期，组通信认证服务器将新加入或退出组通信的组成员所在的量子密码网络节点ID发送给每个组节点，每个组节点根据量子密码网络的路由图计算下个路由周期组密钥分发的路由生成树。

组节点的组密钥分发过程如下所述：

每一个组节点根据量子密码网络的路由图计算本组通信所有组节点的路由生成树。路由生成树的根节点所在的组节点首先开始组密钥分发，根节点选择真随机数作为组密钥，保存组密钥，同时将组密钥分别中继到路由生成树本根节点的每一个子节点。每一个路由生成树中的节点收到上层节点分发的组密钥，保存组密钥，如果本节点在路由生成树上还存在子节点，则将组密钥中继到路由生成树本节点的每一个子节点。

在本实施例中，每个组节点根据量子密码网络的路由图确定下个路由周期组密钥分发的路由生成树的方法为：

1、首先确定组节点路由生成树的根节点，计算每一个组节点到其它节点的路径和，将和最小的组节点S作为路由生成树的根节点；

3、重复步骤3，直到集合V为空为止。

如果在路由周期内参与组通信的组成员没有发生变动，则每个组节点不需要重新计算组密钥分发的路由生成树。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims

一种分布式量子密码网络组密钥分发方法，其特征是：从参与组通信的组成员所在的量子密码网络节点，以下简称为组节点侧执行，包括以下步骤：

获取当前路由周期的量子密码网络的路由图；

获取是否存在组节点新加入或退出组通信的信息，如果存在，按照信息内容更新量子密码网络的路由图；

按照更新后的路由图，以组密钥分发总路径小于设定阈值为目的，逐层形成下个路由周期组密钥分发的路由生成树；

根据自己在路由生成树的位置，生成组密钥或接收上层节点分发的组密钥，保存组密钥，并下发组密钥至下一层节点。
如权利要求1所述的一种分布式量子密码网络组密钥分发方法，其特征是：若不存在组节点新加入或退出组通信的信息，不需要更新量子密码网络的路由图，不需要重新计算和更新相应的路由生成树。
如权利要求1所述的一种分布式量子密码网络组密钥分发方法，其特征是：获取是否存在组节点新加入或退出组通信的信息中，该信息包括新加入或退出组通信的组成员所在的量子密码网络节点ID。
如权利要求1所述的一种分布式量子密码网络组密钥分发方法，其特征是：以组密钥分发总路径小于设定阈值为目的，逐层形成下个路由周期组密钥分发的路由生成树的具体过程包括：确定每一个组节点到其他组节点的总路径之和，确定总路径之和最小或小于设定值的组节点为根节点，将距离各根节点密钥中继路径的最短或小于预设值的组节点作为相应根节点的下层节点，不断重复，逐层形成下个路由周期组密钥分发的路由生成树。
如权利要求1或4所述的一种分布式量子密码网络组密钥分发方法，其特征是：选择处于量子密码网络的路由图中位于中心位置处的若干组节点为根节点。
如权利要求4所述的一种分布式量子密码网络组密钥分发方法，其特征是：将距离各根节点密钥中继路径的最短或小于预设值的组节点作为相应根节点的下层节点的具体过程包括：将所有除已确定的根节点以外的组节点作为第一集合，将路由生成树的节点作为第二集合；

查找第一集合中距离第二集合中各个组节点最小或小于预设值的若干节点，作为对应组节点的下层节点或子节点，将这些下层节点与其对应的上层节点的连接边加入第三集合，将下层节点加入第二集合，同时从第一集合中删除上述下层节点；

不断重复，直到第一集合为空为止。
如权利要求1所述的一种分布式量子密码网络组密钥分发方法，其特征是：下发组密钥至下一层节点的具体过程中，路由生成树的根节点所在的组节点首先开始组密钥分发，根节点选择真随机数作为组密钥，保存组密钥，同时将组密钥分别中继到路由生成树对应根节点的每一个下层节点。
如权利要求1所述的一种分布式量子密码网络组密钥分发方法，其特征是：下发组密钥至下一层节点的具体过程中，每一个路由生成树中的节点收到上层节点分发的组密钥，保存组密钥，如果本节点在路由生成树上还存在下层节点，则将组密钥中继到路由生成树本节点的每一个下层节点。
一种分布式量子密码网络组密钥分发系统，其特征是：包括：

组通信认证服务器，被配置为进行参与组通信的组成员的注册、登陆认证、退出管理以及在每个路由周期将新加入或退出组通信的组成员所在的量子密码网络节点信息发送给每个组节点；

组节点，参与组通信，被配置为按照更新后的路由图，以组密钥分发总路径小于设定阈值为目的，逐层形成下个路由周期组密钥分发的路由生成树；根据自己在路由生成树的位置，生成组密钥或接收上层节点分发的组密钥，保存组密钥，并下发组密钥至下一层节点。
一种终端设备，其特征是：包括处理器和计算机可读存储介质，处理器用于实现各指令；计算机可读存储介质用于存储多条指令，所述指令适于由处理器加载并执行权利要求1-8中任一项所述的一种分布式量子密码网络组密钥分发方法的步骤。