WO2022143727A1 - 基于量子安全sim卡的通信系统及方法、量子安全sim卡、密钥服务平台 - Google Patents

Abstract

本发明提出了一种基于量子安全SIM卡的通信系统及方法，以及量子安全SIM卡及量子密钥服务平台，其中在现有SIM卡物理结构和逻辑架构基础上开辟文件存储空间和增加定义数据交互接口，使其能够直接为上层应用提供量子密钥以保护通信过程安全，由此提供量子安全功能且允许大容量，从而满足5G网络逐渐普及下与日俱增的安全信息通信及文件存储需求。借助密钥充注模式和通信模式配合设计，可以有效保证会话密钥及其加密密钥的新鲜度和预存安全性，确保量子安全SIM卡的数据安全。

Description

基于量子安全SIM卡的通信系统及方法、量子安全SIM卡、密钥服务平台

本申请要求于2020年12月30日提交中国专利局、申请号为202011616484.4、发明名称为“基于量子安全SIM卡的通信系统及方法、量子安全SIM卡、密钥服务平台”的国内申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及量子保密通信领域，尤其涉及一种基于量子安全SIM卡的通信系统及方法，以及量子安全SIM卡和密钥服务平台。

背景技术

现有SIM卡的主要功能是利用预置密钥对SIM卡持有者身份进行识别、对通信过程中产生的流量进行计费。SIM卡是存储了数字移动电话客户信息的电脑芯片，供GSM网络对用户身份进行识别与验证。SIM卡中预置及存储的密钥主要是用于持卡者身份信息的认证和保护、协商会话密钥保障通信内容安全。现有技术方案没有对通信内容使用密钥进行处理，语音、短信通信过程的安全性难以得到保障；也无法对上层其他应用提供密钥服务，手机上层应用没有相应安全策略进行保护。

发明内容

针对这一问题，本发明提出了一种基于量子安全SIM卡的通信系统及方法，以及量子安全SIM卡和密钥服务平台，其中在现有SIM卡物理结构和逻辑架构基础上开辟文件存储空间和增加定义数据交互接口，使其能够直接为上层应用提供量子密钥以保护通信过程安全，由此提供量子安全功能且允许大容量，从而满足5G网络逐渐普及下与日俱增的安全信息通信及文件存储需求。其中，借助密钥充注模式和通信模式配合设计，可以有效保证会话密钥及其加密密钥的新鲜度和预存安全性，确保量子安全SIM卡的数据安全。

具体而言，本发明的第一方面涉及一种基于量子安全SIM卡的通信系统，其包括量子密钥服务平台、移动设备SDK和量子安全SIM卡；

所述量子密钥服务平台被设置用于：在密钥充注模式下形成并发送第 一加密数据，所述第一加密数据包括经第一加密密钥Ka加密的共享量子密钥K1和经公钥加密的第一加密密钥Ka；以及，在通信模式下形成并发送第二加密数据，所述第二加密数据包括经所述共享量子密钥K1加密的会话密钥Kb；

所述移动设备SDK被设置用于允许所述量子密钥服务平台与所述量子安全SIM卡之间进行数据交互；

所述量子安全SIM卡被设置用于：在所述密钥充注模式下，存储所述第一加密数据；以及，在所述通信模式下，基于所述第一加密数据和所述第二加密数据，借助解密运算获得所述会话密钥Kb以用于保密通信。

进一步地，所述量子密钥服务平台可以设置成：在所述密钥充注模式下，生成所述第一加密密钥Ka，并利用所述第一加密密钥Ka对所述共享量子密钥K1进行加密，利用所述公钥对所述第一加密密钥Ka进行加密；以及/或者，在所述通信模式下，生成所述会话密钥Kb，并利用所述共享量子密钥K1对所述会话密钥Kb进行加密。

进一步地，所述量子安全SIM卡可以设置成：在所述通信模式下，利用私钥对所述经公钥加密的第一加密密钥Ka进行解密，获得所述第一加密密钥Ka；利用所述第一加密密钥Ka对所述经第一加密密钥Ka加密的共享量子密钥K1进行解密，获得所述共享量子密钥K1；以及，利用所述共享量子密钥K1对经所述共享量子密钥K1加密的会话密钥Kb进行解密，获得所述会话密钥Kb。

其中，所述第一加密密钥Ka为第一对称密钥Ka，且所述会话密钥Kb为第二对称密钥Kb；以及/或者，所述公钥为ECC公钥。

可选地，可以借助异或运算实现对称加解密操作。

优选地，所述移动设备SDK被设置成封装有用于与所述量子密钥服务平台进行数据交互的交互接口，以及用于与所述量子安全SIM卡进行数据交互的调用接口；所述量子安全SIM卡定义有数据接口，用于允许由所述移动设备SDK调用以进行数据交互。

本发明的第二方面涉及一种基于量子安全SIM卡的通信方法，其包括 密钥充注步骤和会话密钥获取步骤；

所述密钥充注步骤用于生成第一加密数据并存入所述量子安全SIM卡，所述第一加密数据包括经第一加密密钥Ka加密的共享量子密钥K1和经公钥加密的第一加密密钥Ka；

所述会话密钥获取步骤用于：生成第二加密数据并存入所述量子安全SIM卡，所述第二加密数据包括经所述共享量子密钥K1加密的会话密钥Kb；以及，在所述量子安全SIM卡中借助解密运算从所述第一加密数据和所述第二加密数据中获得所述会话密钥Kb。

进一步地，在所述密钥充注步骤中，由所述量子密钥服务平台生成所述第一加密密钥Ka，并利用所述第一加密密钥Ka对所述共享量子密钥K1进行加密，利用所述公钥对所述第一加密密钥Ka进行加密；

在所述会话密钥获取步骤中，由所述量子密钥服务平台生成所述会话密钥Kb，并利用所述共享量子密钥K1对所述会话密钥Kb进行加密；以及，由所述量子安全SIM卡利用私钥对所述经公钥加密的第一加密密钥Ka进行解密以获得所述第一加密密钥Ka，利用所述第一加密密钥Ka对所述经第一加密密钥Ka加密的共享量子密钥K1进行解密以获得所述共享量子密钥K1，利用所述共享量子密钥K1对经所述共享量子密钥K1加密的会话密钥Kb进行解密以获得所述会话密钥Kb。

更进一步地，在所述会话密钥获取步骤中，所述量子密钥服务平台响应于会话密钥请求生成所述会话密钥Kb。

进一步地，该通信方法还可以包括配置移动设备SDK以实现所述量子密钥服务平台与所述量子安全SIM卡之间的数据交互的步骤。

其中，所述第一加密密钥Ka为第一对称密钥Ka，且所述会话密钥Kb为第二对称密钥Kb；以及/或者，所述公钥为ECC公钥。

本发明的第三方面涉及一种量子安全SIM卡，其包括数据接口、密钥数据存储单元、会话密钥存储单元和加解密单元；

所述密钥数据存储单元被设置用于存储密钥数据，其中，所述密钥数据包括第一加密数据和第二加密数据，所述第一加密数据包括经第一加密 密钥Ka加密的共享量子密钥K1和经公钥加密的第一加密密钥Ka，所述第二加密数据包括经所述共享量子密钥K1加密的会话密钥Kb；

所述数据接口定义成允许被调用以进行所述密钥数据的交互；

所述加解密单元被设置用于借助解密运算从所述密钥数据中获得所述会话密钥Kb；

所述会话密钥存储单元被设置用于存储所述会话密钥Kb。

进一步地，所述加解密单元可以被设置成：利用私钥对所述经公钥加密的第一加密密钥Ka进行解密，获得所述第一加密密钥Ka；利用所述第一加密密钥Ka对所述经第一加密密钥Ka加密的共享量子密钥K1进行解密，获得所述共享量子密钥K1；以及，利用所述共享量子密钥K1对经所述共享量子密钥K1加密的会话密钥Kb进行解密，获得所述会话密钥Kb。

更进一步地，所述第一加密密钥Ka为第一对称密钥Ka，且所述会话密钥Kb为第二对称密钥Kb；以及/或者，所述公钥为ECC公钥。

其中，所述加解密单元可以被设置成借助异或运算实现对称加解密操作。

本发明的第四方面涉及一种量子密钥服务平台，其包括对称密钥生成单元、加解密单元以及数据接口；

所述对称密钥生成单元被设置用于：在密钥充注模式下生成第一加密密钥Ka，以及在通信模式下生成会话密钥Kb；

所述加解密单元被设置用于：在所述密钥充注模式下，利用所述第一加密密钥Ka加密共享量子密钥K1，并且利用公钥加密所述第一加密密钥Ka，从而形成第一加密数据；以及在所述通信模式下，利用所述共享量子密钥K1加密所述会话密钥Kb，从而形成第二加密数据；

所述数据接口被设置用于进行数据交互。

进一步地，所述公钥为ECC公钥；以及/或者，所述加解密单元被设置成借助异或运算实现对称加解密操作。

进一步地，所述对称密钥生成单元被进一步设置成响应于会话密钥请求生成所述会话密钥Kb。

附图说明

下面结合附图对本发明的具体实施方式作进一步详细的说明。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需使用的附图作简单地介绍，显而易见，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图来获得其他的附图。

图1示出了根据本发明的基于量子安全SIM卡的通信系统用于实现量子密钥充注的流程示意图；

图2示出了根据本发明的基于量子安全SIM卡的通信系统用于实现加密通信的流程示意图。

具体实施方式

在下文中，本发明的示例性实施例将参照附图来详细描述。下面的实施例以举例的方式提供，以便充分传达本发明的精神给本发明所属领域的技术人员。因此，本发明不限于本文公开的实施例。

根据本发明，基于量子安全SIM卡的通信系统可以包括量子密钥服务平台、移动设备SDK和量子安全SIM卡。

量子密钥服务平台可以工作在密钥充注模式和通信模式下。

在密钥充注模式下，量子密钥服务平台生成第一对称密钥Ka，并利用第一对称密钥Ka对共享量子密钥K1进行加密，以及利用公钥对第一对称密钥Ka进行加密，从而形成第一加密数据，并通过网络向外发送。相应地，第一加密数据可以包括经第一对称密钥Ka加密的共享量子密钥K1，以及经公钥加密的第一对称密钥Ka。

在通信模式下，量子密钥服务平台生成第二对称密钥Kb，并利用共享量子密钥K1对第二对称密钥Kb进行加密，从而形成第二加密数据，并通过网络向外发送。相应地，第二加密数据可以包括经共享量子密钥K1加 密的第二对称密钥Kb。

作为示例，公钥可以为ECC公钥。作为示例，可以利用异或运算进行对称加密运算。

在一种实施方式中，量子密钥服务平台可以包括对称密钥生成单元、加解密单元以及数据接口。

对称密钥生成单元可以在密钥充注模式下生成第一加密密钥Ka，并在通信模式下生成会话密钥Kb。

加解密单元可以用于执行加密操作以生成第一加密数据和第二加密数据。其中，在密钥充注模式下，可以利用第一加密密钥Ka加密共享量子密钥K1，并且利用公钥加密第一加密密钥Ka，形成第一加密数据；在通信模式下，利用共享量子密钥K1加密会话密钥Kb，从而形成第二加密数据。

数据接口可以用于实现与外部(例如移动设备SDK)之间的数据交互，例如输出第一和第二加密数据，以及接收会话密钥请求等。

移动设备SDK可以封装有用于与量子密钥服务平台进行数据交互的交互接口，以及用于与量子安全SIM卡进行数据交互的调用接口，从而在量子密钥服务平台和量子安全SIM卡之间提供数据通道，以允许量子密钥服务平台与量子安全SIM卡之间的数据交互。因此，移动设备SDK本身并不存储任何密钥相关数据。

相应地，量子安全SIM卡上可以定义数据接口，用于允许移动设备SDK调用以进行数据交互。

此外，量子安全SIM卡也工作在密钥充注模式和通信模式下。

在密钥充注模式下，量子安全SIM卡可以经移动设备SDK接收并存储第一加密数据。

在通信模式下，量子安全SIM卡可以经移动设备SDK接收并存储第二加密数据，并且：利用预存的相应私钥(例如ECC私钥)对第一加密数据中经公钥加密的第一对称密钥Ka进行解密，获得第一对称密钥Ka；利 用第一对称密钥Ka对第一加密数据中经第一对称密钥Ka加密的共享量子密钥K1进行解密，获得共享量子密钥K1；以及，利用共享量子密钥K1对第二加密数据进行解密，获得第二对称密钥Kb，并将其作为会话密钥。

由此可见，在非通信模式下，量子安全SIM卡中存储的密钥相关数据均为加密形式(以第一加密数据的形式存储)，且只有在通信模式下才生成作为会话密钥的第二对称密钥Kb的明文以用于保密通信，由此可以有效保证量子安全SIM卡中密钥数据的安全性，从而确保通信的保密性。

作为一种实施方式，量子安全SIM卡可以包括数据接口、密钥数据存储单元、会话密钥存储单元和加解密单元。

其中，密钥数据存储单元可以用于存储密钥数据，其例如包括第一加密数据和第二加密数据。

数据接口可以被定义成允许被调用(例如移动设备SDK)以进行例如密钥数据等数据的交互。

加解密单元可以执行加解密操作，以从密钥数据中获得会话密钥Kb。

会话密钥存储单元则可以存储会话密钥Kb，以便用于保密通信过程。

下面将继续描述根据本发明的基于量子安全SIM卡的通信方法的工作流程，以便更好地理解本发明的通信系统的工作原理。

图1示出了根据本发明的基于量子安全SIM卡的通信系统用于实现量子密钥充注的流程示意图。

如图1所示，在密钥充注模式下，将执行密钥充注步骤。

在密钥充注步骤中，由量子密钥服务平台生成第一对称密钥Ka，并利用第一对称密钥Ka对共享量子密钥K1进行加密，得到经第一对称密钥Ka加密的共享量子密钥K1；以及利用ECC公钥对第一对称密钥Ka进行加密，得到经ECC公钥加密的第一对称密钥Ka。由此，在量子密钥服务平台上形成第一加密数据，其包括经第一对称密钥Ka加密的共享量子密钥K1，以及经ECC公钥加密的第一对称密钥Ka。

随后，量子密钥服务平台将第一加密数据发送给移动设备SDK。

移动设备SDK借助交互接口以及调用量子安全SIM卡的接口，从而允许将第一加密数据存入量子安全SIM卡中进行存储。由此，实现对量子安全SIM卡的密钥充注。

图2示出了根据本发明的基于量子安全SIM卡的通信系统用于实现加密通信的流程示意图。

当上层应用有通信需求时，即处于通信模式下，执行会话密钥获取步骤。

如图2所示，在会话密钥获取步骤中，经由移动设备SDK向量子密钥服务平台发送会话密钥请求，申请本次通信的会话密钥。

量子密钥服务平台响应会话密钥请求，生成第二对称密钥Kb(其例如为128bit)，作为本次通信的会话密钥；并利用共享量子密钥K1对第二对称密钥Kb进行加密，得到第二加密数据，即经共享量子密钥K1加密的第二对称密钥Kb，并将其向外发送。

移动设备SDK经交互接口接收第二加密数据，并调用量子安全SIM卡的接口将第二加密数据传送至量子安全SIM卡以进行存储。

量子安全SIM卡利用预存的相应ECC私钥对第一加密数据中经ECC公钥加密的第一对称密钥Ka进行解密，得到第一对称密钥Ka；利用第一对称密钥Ka对第一加密数据中经第一对称密钥Ka加密的共享量子密钥K1进行解密，得到共享量子密钥K1；最后，利用共享量子密钥K1对第二加密数据中经共享量子密钥K1加密的第二对称密钥Kb进行解密，获得第二对称密钥Kb，并进行存储。

此时，由于量子安全SIM卡中已存储有作为会话密钥的第二对称密钥Kb的明文，因此通信业务双方可以使用量子安全SIM卡中存储的第二对称密钥Kb作为会话密钥，进行保密通信。

综上可知，借助本发明所提出的基于量子安全SIM卡的通信系统及方法，可以在不改变传统SIM卡结构，仅通过增加定义数据交互接口，即可允许SIM卡直接为上层应用(例如手机应用)提供量子密钥以实现通信过 程的安全保护，同时还具有传统SIM卡身份识别和通信计费功能。其中，借助密钥充注模式和通信模式配合设计，可以有效保证会话密钥及其加密密钥的新鲜度和预存安全性，确保量子安全SIM卡的数据安全及通信过程的安全保护。

尽管前面结合附图通过具体实施例对本发明进行了说明，但是，本领域技术人员容易认识到，上述实施例仅仅是示例性的，用于说明本发明的原理，其并不会对本发明的范围造成限制，本领域技术人员可以对上述实施例进行各种组合、修改和等同替换，而不脱离本发明的精神和范围。

Claims (18)

1. 一种基于量子安全SIM卡的通信系统，其包括量子密钥服务平台、移动设备SDK和量子安全SIM卡；

   所述量子密钥服务平台被设置用于：在密钥充注模式下形成并发送第一加密数据，所述第一加密数据包括经第一加密密钥Ka加密的共享量子密钥K1和经公钥加密的第一加密密钥Ka；以及，在通信模式下形成并发送第二加密数据，所述第二加密数据包括经所述共享量子密钥K1加密的会话密钥Kb；

   所述移动设备SDK被设置用于允许所述量子密钥服务平台与所述量子安全SIM卡之间进行数据交互；

   所述量子安全SIM卡被设置用于：在所述密钥充注模式下，存储所述第一加密数据；以及，在所述通信模式下，基于所述第一加密数据和所述第二加密数据，借助解密运算获得所述会话密钥Kb以用于保密通信。
2. 如权利要求1所述的通信系统，其中，所述量子密钥服务平台被进一步设置成：在所述密钥充注模式下，生成所述第一加密密钥Ka，并利用所述第一加密密钥Ka对所述共享量子密钥K1进行加密，利用所述公钥对所述第一加密密钥Ka进行加密；以及/或者，在所述通信模式下，生成所述会话密钥Kb，并利用所述共享量子密钥K1对所述会话密钥Kb进行加密。
3. 如权利要求1所述的通信系统，其中，所述量子安全SIM卡被进一步设置成：在所述通信模式下，利用私钥对所述经公钥加密的第一加密密钥Ka进行解密，获得所述第一加密密钥Ka；利用所述第一加密密钥Ka对所述经第一加密密钥Ka加密的共享量子密钥K1进行解密，获得所述共享量子密钥K1；以及，利用所述共享量子密钥K1对经所述共享量子密钥K1加密的会话密钥Kb进行解密，获得所述会话密钥Kb。
4. 如权利要求1所述的通信系统，其中：

   所述第一加密密钥Ka为第一对称密钥Ka，且所述会话密钥Kb为第 二对称密钥Kb；

   以及/或者，所述公钥为ECC公钥。
5. 如权利要求1所述的通信系统，其中，借助异或运算实现对称加解密操作。
6. 如权利要求1所述的通信系统，其中，所述移动设备SDK被设置成封装有用于与所述量子密钥服务平台进行数据交互的交互接口，以及用于与所述量子安全SIM卡进行数据交互的调用接口；

   所述量子安全SIM卡定义有数据接口，用于允许由所述移动设备SDK调用以进行数据交互。
7. 一种基于量子安全SIM卡的通信方法，其包括密钥充注步骤和会话密钥获取步骤；

   所述密钥充注步骤用于生成第一加密数据并存入所述量子安全SIM卡，所述第一加密数据包括经第一加密密钥Ka加密的共享量子密钥K1和经公钥加密的第一加密密钥Ka；

   所述会话密钥获取步骤用于：生成第二加密数据并存入所述量子安全SIM卡，所述第二加密数据包括经所述共享量子密钥K1加密的会话密钥Kb；以及，在所述量子安全SIM卡中借助解密运算从所述第一加密数据和所述第二加密数据中获得所述会话密钥Kb。
8. 如权利要求7所述的通信方法，其中：

   在所述密钥充注步骤中，由所述量子密钥服务平台生成所述第一加密密钥Ka，并利用所述第一加密密钥Ka对所述共享量子密钥K1进行加密，利用所述公钥对所述第一加密密钥Ka进行加密；

   在所述会话密钥获取步骤中，由所述量子密钥服务平台生成所述会话密钥Kb，并利用所述共享量子密钥K1对所述会话密钥Kb进行加密；以及，由所述量子安全SIM卡利用私钥对所述经公钥加密的第一加密密钥Ka进行解密以获得所述第一加密密钥Ka，利用所述第一加密密钥Ka对所述经第一加密密钥Ka加密的共享量子密钥K1进行解密以获得所述共享量 子密钥K1，利用所述共享量子密钥K1对经所述共享量子密钥K1加密的会话密钥Kb进行解密以获得所述会话密钥Kb。
9. 如权利要求8所述的通信方法，其中，在所述会话密钥获取步骤中，所述量子密钥服务平台响应于会话密钥请求生成所述会话密钥Kb。
10. 如权利要求7所述的通信方法，其还包括配置移动设备SDK以实现所述量子密钥服务平台与所述量子安全SIM卡之间的数据交互的步骤。
11. 如权利要求7所述的通信方法，其中：

    所述第一加密密钥Ka为第一对称密钥Ka，且所述会话密钥Kb为第二对称密钥Kb；以及/或者，所述公钥为ECC公钥。
12. 一种量子安全SIM卡，其包括数据接口、密钥数据存储单元、会话密钥存储单元和加解密单元；

    所述密钥数据存储单元被设置用于存储密钥数据，其中，所述密钥数据包括第一加密数据和第二加密数据，所述第一加密数据包括经第一加密密钥Ka加密的共享量子密钥K1和经公钥加密的第一加密密钥Ka，所述第二加密数据包括经所述共享量子密钥K1加密的会话密钥Kb；

    所述数据接口定义成允许被调用以进行所述密钥数据的交互；

    所述加解密单元被设置用于借助解密运算从所述密钥数据中获得所述会话密钥Kb；

    所述会话密钥存储单元被设置用于存储所述会话密钥Kb。
13. 如权利要求12所述的量子安全SIM卡，其中，所述加解密单元被设置成：利用私钥对所述经公钥加密的第一加密密钥Ka进行解密，获得所述第一加密密钥Ka；利用所述第一加密密钥Ka对所述经第一加密密钥Ka加密的共享量子密钥K1进行解密，获得所述共享量子密钥K1；以及，利用所述共享量子密钥K1对经所述共享量子密钥K1加密的会话密钥Kb进行解密，获得所述会话密钥Kb。
14. 如权利要求12或13所述的量子安全SIM卡，其中，所述第一加密密钥Ka为第一对称密钥Ka，且所述会话密钥Kb为第二对称密钥Kb； 以及/或者，所述公钥为ECC公钥。
15. 如权利要求12所述的量子安全SIM卡，其中，所述加解密单元被设置成借助异或运算实现对称加解密操作。
16. 一种量子密钥服务平台，其包括对称密钥生成单元、加解密单元以及数据接口；

    所述对称密钥生成单元被设置用于：在密钥充注模式下生成第一加密密钥Ka，以及在通信模式下生成会话密钥Kb；

    所述加解密单元被设置用于：在所述密钥充注模式下，利用所述第一加密密钥Ka加密共享量子密钥K1，并且利用公钥加密所述第一加密密钥Ka，从而形成第一加密数据；以及在所述通信模式下，利用所述共享量子密钥K1加密所述会话密钥Kb，从而形成第二加密数据；

    所述数据接口被设置用于进行数据交互。
17. 如权利要求16所述的量子密钥服务平台，其中，所述公钥为ECC公钥；以及/或者，所述加解密单元被设置成借助异或运算实现对称加解密操作。
18. 如权利要求16所述的量子密钥服务平台，其中，所述对称密钥生成单元被进一步设置成响应于会话密钥请求生成所述会话密钥Kb。

Images