[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN107094076B - 基于量子真随机数的保密通信方法及通信系统 - Google Patents

基于量子真随机数的保密通信方法及通信系统 Download PDF

Info

Publication number
CN107094076B
CN107094076B CN201710244179.9A CN201710244179A CN107094076B CN 107094076 B CN107094076 B CN 107094076B CN 201710244179 A CN201710244179 A CN 201710244179A CN 107094076 B CN107094076 B CN 107094076B
Authority
CN
China
Prior art keywords
key
quantum
identification
terminal device
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710244179.9A
Other languages
English (en)
Other versions
CN107094076A (zh
Inventor
倪文强
薛梦驰
赵良圆
郭光灿
韩正甫
刘选斌
杨光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hengtong Optic Electric Co Ltd
Jiangsu Hengtong Wentian Quantum Information Research Institute Co Ltd
Original Assignee
Jiangsu Hengtong Optic Electric Co Ltd
Jiangsu Hengtong Wentian Quantum Information Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Hengtong Optic Electric Co Ltd, Jiangsu Hengtong Wentian Quantum Information Research Institute Co Ltd filed Critical Jiangsu Hengtong Optic Electric Co Ltd
Priority to CN201710244179.9A priority Critical patent/CN107094076B/zh
Publication of CN107094076A publication Critical patent/CN107094076A/zh
Application granted granted Critical
Publication of CN107094076B publication Critical patent/CN107094076B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于量子真随机数的保密通信方法,其特征在于:保密通信所使用的业务需求密钥由设置在终端设备上的量子真随机数发生器生成。本发明还公开了一种基于量子真随机数的保密通信系统,包括多个终端设备,其特征在于:至少一个所述终端设备上设置有用于产生业务需求密钥的量子真随机数发生器。本发明通过终端设备自带的量子真随机数发生器产生获取业务需求密钥,其可用密钥量不低于3Mbps,提高了两百多倍,足以支撑更大规模数量的终端设备的通信业务需求。同时发出通信业务请求的同时传递需求密钥密文,减少延时,保障通信业务的实时性。

Description

基于量子真随机数的保密通信方法及通信系统
技术领域
本发明属于移动通信加密技术领域,具体涉及一种基于量子真随机数的保密通信方法及通信系统。
背景技术
随着终端设备的无线通信技术的飞速发展与广泛应用,其业务内容涵盖广阔,业务需求也在不断提高,但是,对无线通信系统一直以明文进行信息传递,加上无线信号在自由空间传播,任意人都可以发起窃听与攻击,无需复杂设备。因此无线通信系统本身的安全问题一直难以保障。
为了提高无线传输的安全性,最常使用的就是密码技术。使用算法产生密码对明文加密,如DES、AES等加密算法,这些技术提高了信息的安全性,然而其密码都为算法产生的,遵循算法规律,因此其密码都是伪随机数,特别是随着量子计算机的发展,这些密码技术都将可以被轻易攻破。量子通信技术的出现将解决这些问题,量子通信技术使用的密钥完全随机,没有规律,是真正意义的真随机数,与现有的加密算法不同,量子通信技术从理论上即被证明是绝对安全的,信息在传输过程中无法被解读,因为在量子通信技术中其使用的密钥由量子(通常为光子)编码得到,而量子不可分割、不可复制,在产生过程中在物理学角度上无法被窃取使用,并且量子通信技术产生的密钥完全随机,无规律可循,是真正意义的上的真随机数。同时配合使用“一次一密”的数据加密方法,将保证无线信息传输的无条件安全。
中国专利授权公告号CN 104243143 B,公开了一种基于量子密钥分配网络的移动保密通信方法,它包括由集控站构成的量子密钥分配网络,每个集控站可与至少一个终端设备绑定,采取密文中继的方法将加密后的信息传递到远端集控站绑定的终端设备,但该方法的业务密钥来源为量子密钥分配网络,量子密钥分配网络目前在50km的传递距离其最终获得密钥速率为13kbps左右,密钥量无法支撑足够的终端设备的业务需求,同时量子密钥分配网络是在通信业务请求发出后才进行业务密钥的分配,难以保障通信的实时性。其终端设备需注册入网进行绑定,绑定验证信息在终端设备不改变区域的情况下固定不变,其安全性难以保障。
发明内容
为解决上述技术问题,本发明提供了一种基于量子真随机数的保密通信方法,可以提供足以支撑更大规模数量的终端设备的通信业务需求,并可减少延时,保障通信业务的实时性。
为达到上述目的,本发明的技术方案如下:一种基于量子真随机数的保密通信方法,其特征在于:保密通信所使用的业务需求密钥由设置在终端设备上的量子真随机数发生器生成。
本发明的一个较佳实施例中,进一步包括所述保密通信方法具体包括以下步骤:
(1)将多个终端设备与量子密钥服务端分别通过唯一的身份识别密钥进行绑定;
(2)由位于第一终端设备的量子真随机数发生器产生业务需求密钥,第一终端设备通过绑定用的身份识别密钥对所述业务需求密钥进行加密并发送至量子密钥服务端;
(3)所述量子密钥服务端接收第一终端设备发送的加密后的业务需求密钥,通过与第一终端设备绑定用的所述身份识别密钥进行解密得到所述业务需求密钥,然后再使用与第二终端设备绑定用的身份识别密钥对所述业务需求密钥进行加密后发送给第二终端设备;
(4)第二终端设备接收量子密钥服务端发送的加密后的业务需求密钥,利用绑定用的身份识别密钥进行解密得到所述业务需求密钥;
(5)第一终端设备和第二终端设备通过所述业务需求密钥进行保密通信。
本发明的一个较佳实施例中,进一步包括
步骤(2)中,第一终端设备通过身份识别密钥对所述业务需求密钥进行加密并发送至量子密钥服务端的同时,利用所述业务需求密钥对业务信息进行加密并发送给所述第二终端设备。
本发明的一个较佳实施例中,进一步包括所述量子密钥服务端有多个,多个所述量子密钥服务端依次通过唯一的身份识别密钥进行绑定,每个所述量子密钥服务端对解密出来的所述业务需求密钥使用独立的身份识别密钥进行加密后发送到下一个量子密钥服务端,下一个量子密钥服务端使用相同的身份识别密钥对接收到的加密后的业务需求密钥进行解密,直至最后一个量子密钥服务端,由最后一个量子密钥服务端对业务需求密钥进行加密并发送给所述第二终端设备。
本发明的一个较佳实施例中,进一步包括所述身份识别密钥由量子真随机数发生器生成,生成身份识别密钥的所述量子真随机数发生器设置于第一终端设备、第二终端设备或量子密钥服务器上。
本发明的一个较佳实施例中,进一步包括
步骤(3)中,量子密钥服务端通过其与第一终端设备绑定的身份识别密钥来验证第一终端设备是否合法,如果合法则开始接收第一终端设备发送的加密后的业务需求密钥;如果不合法则拒绝业务请求。
本发明的一个较佳实施例中,进一步包括所述终端设备在同一时间仅与一个量子密钥服务端绑定,且绑定用的身份识别密钥可以更新。
本发明的一个较佳实施例中,进一步包括终端设备与量子密钥服务端之间绑定用的身份识别密钥应所述终端设备的请求更新,其更新的方法为:
所述终端设备向与之建立绑定关系的量子密钥服务端发起身份识别密钥更换请求,在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KC|P
所述终端设备使用旧的身份识别密钥KCP对新的身份识别密钥KC|P进行加密,获得密文KCP·KC|P,并发送密文KCP·KC|P至量子密钥服务端;
量子密钥服务端验证请求端合法后,通过旧的身份识别密钥KCP对接收到的密文KCP·KC|P进行解密,获得新的身份识别密钥KC|P,并以新的身份识别密钥KC|P来替换旧的身份识别密钥KCP
本发明的一个较佳实施例中,进一步包括终端设备与量子密钥服务端之间绑定用的身份识别密钥因所述量子密钥服务端的要求更新,其更新方法为:
所述量子密钥服务端向与之建立绑定关系的终端设备发出更新身份识别密钥的要求,终端设备在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KC|P
所述终端设备使用旧的身份识别密钥KCP对新的身份识别密钥KC|P进行加密,获得密文KCP·KC|P,并发送密文KCP·KC|P至量子密钥服务端;
量子密钥服务端验证请求端合法后,通过旧的身份识别密钥KCP对接收到的密文KCP·KC|P进行解密,获得新的身份识别密钥KC|P,并以新的身份识别密钥KC|P来替换旧的身份识别密钥KCP
本发明的一个较佳实施例中,进一步包括所述量子密钥服务端之间绑定用的身份识别密钥可应量子密钥服务端的请求更新,其更新方法为,
发起更新的量子密钥服务端向与之绑定的量子密钥服务端发起更新身份识别密钥的请求,并使用旧的身份识别密钥KP2P3对新的身份识别密钥KP2|P3进行加密获得密文KP2P3·KP2|P3,并发送密文KP2P3·KP2|P3至与之绑定的量子密钥服务端;
与之绑定的量子密钥服务端通过旧的身份识别密钥KP2P3对接收到的密文KP2P3·KP2|P3进行解密,获得新的身份识别密钥KP2|P3,并以新的身份识别密钥KP2|P3来替换旧的身份识别密钥KP2P3
本发明的一个较佳实施例中,进一步包括各量子密钥服务端之间绑定用的所述身份识别密钥还可以由设置在所述量子密钥服务端上的量子密钥分配终端分配,量子密钥分配终端分配所述身份识别密钥后通过量子信道传递更新。
本发明的一个较佳实施例中,进一步包括
步骤(3)中,量子密钥服务端接收到所述第一终端设备发送的业务请求后,通过与第一终端设备绑定的身份识别密钥验证第一终端设备是否合法,若合法,执行解密的操作;若不合法,拒绝执行解密操作,并判断该第一终端设备是否为地方入侵,若是,则报警和/或启动安全防护。
本发明的一个较佳实施例中,进一步包括当终端设备地理位置变化时,终端设备与旧量子密钥服务端解除绑定,并绑定新的量子密钥服务端,具体包括:
终端设备在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KDPD2,并通过旧的身份识别密钥KDPD1对新的身份识别密钥KDPD2进行加密,获得密文KDPD1·KDPD2
终端设备向新的量子密钥服务端发出绑定请求,所述请求中携带有所述密文KDPD1·KDPD2
新的量子密钥服务端判断终端设备合法后,与旧量子密钥服务端进行通信,告知旧量子密钥服务端终端设备发出的绑定请求;
旧量子密钥服务端收到新量子密钥服务端的告知信息后,通过与新量子密钥服务端绑定的身份识别密钥KPD1PD2对旧的身份识别密钥KDPD1进行加密,获得密文KPD1PD2·KDPD1,并将密文KPD1PD2·KDPD1发送到新量子密钥服务端;
新量子密钥服务端通过与旧量子密钥服务端绑定的身份识别密钥KPD1PD2对密文KPD1PD2·KDPD1进行第一次解密获得旧的身份识别密钥KDPD1;再利用旧的身份识别密钥KDPD1对密文KDPD1·KDPD2进行第二次解密获得新的身份识别密钥KDPD2,新量子密钥服务端获得新的身份识别密钥KDPD2后与终端设备建立绑定关系;
终端设备与新量子密钥服务端建立绑定关系后,旧量子密钥服务端解除与端设备的绑定关系。
为达到上述目的,本发明的另一技术方案如下:一种基于量子真随机数的终端设备保密通信系统,包括多个终端设备,其特征在于:至少一个所述终端设备上设置有用于产生业务需求密钥的量子真随机数发生器。
本发明的一个较佳实施例中,进一步包括所述系统还包括量子密钥服务端,终端设备与量子密钥服务端通过唯一的身份识别密钥进行绑定,所述终端设备至少包括第一终端设备和第二终端设备,其中:
所述第一终端设备,其上设有所述量子真随机数发生器,所述第一终端设备用于通过绑定用的身份识别密钥对所述量子真随机数发生器生成的业务需求密钥进行加密并发送至量子密钥服务端;
所述量子密钥服务端,用于接收第一终端设备发送的加密后的业务需求密钥,通过与所述第一终端设备绑定用的身份识别密钥对加密后的业务需求密钥进行解密得到所述业务需求密钥,然后再使用与第二终端设备绑定用的身份识别密钥对所述业务需求密钥进行加密后发送给第二终端设备;
所述第二终端设备,用于接收量子密钥服务端发送的加密后的业务需求密钥,利用绑定用的身份识别密钥对加密后的业务需求密钥进行解密得到所述业务需求密钥;
所述第一终端设备和第二终端设备通过所述业务需求密钥进行保密通信。
本发明的一个较佳实施例中,进一步包括所述第一终端设备还用于在发送加密后的业务需求密钥给量子密钥服务端的同时,通过所述业务需求密钥对业务信息进行加密并发送给所述第二终端设备;
所述第二终端设备,还用于接收第一终端设备发送的加密后的业务信息,利用解密后的所述业务需求密钥对加密后的业务信息进行解密获得所述业务信息。
本发明的一个较佳实施例中,进一步包括所述量子密钥服务端有多个,多个所述量子密钥服务端依次通过唯一的身份识别密钥进行绑定,每个所述量子密钥服务端用于对解密出来的所述业务需求密钥使用独立的身份识别密钥进行加密后发送到下一个量子密钥服务端,下一个量子密钥服务端使用相同的身份识别密钥对接收到的加密后的业务需求密钥进行解密,直至最后一个量子密钥服务端,由最后一个量子密钥服务端对业务需求密钥进行加密并发送给所述第二终端设备。
本发明的一个较佳实施例中,进一步包括第一终端设备、第二终端设备或量子密钥服务端上设置有用于产生身份识别密钥的量子真随机数发生器。
本发明的一个较佳实施例中,进一步包括所述量子密钥服务端上设置有用于产生身份识别密钥的量子密钥分配终端。
本发明的一个较佳实施例中,进一步包括所述量子密钥服务端还用于通过其与第一终端设备绑定的身份识别密钥来验证第一终端设备是否合法,如果合法则开始接收第一终端设备发送的加密后的业务需求密钥;如果不合法则拒绝业务请求。
本发明的一个较佳实施例中,进一步包括所述终端设备在同一时间仅与一个量子密钥服务端绑定,且绑定用的身份识别密钥应所述终端设备的请求可以更新、或者因所述量子密钥服务端的主动要求获得更新。
本发明的一个较佳实施例中,进一步包括所述终端设备还用于向与之建立绑定关系的量子密钥服务端发起身份识别密钥更换请求,在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KC|P
所述终端设备还用于使用旧的身份识别密钥KCP对新的身份识别密钥KC|P进行加密,获得密文KCP·KC|P,并发送密文KCP·KC|P至量子密钥服务端;
量子密钥服务端还用于验证请求端合法后,通过旧的身份识别密钥KCP对接收到的密文KCP·KC|P进行解密,获得新的身份识别密钥KC|P,并以新的身份识别密钥KC|P来替换旧的身份识别密钥KCP
所述终端设备与量子密钥服务端之间绑定的身份识别密钥只允许由终端设备发出请求而获得更新。
本发明的一个较佳实施例中,进一步包括
所述量子密钥服务端还用于向与之建立绑定关系的另一量子密钥服务端发起身份识别密钥更换请求,并使用旧的身份识别密钥KP2P3对新的身份识别密钥KP2|P3进行加密获得密文KP2P3·KP2|P3,并发送密文KP2P3·KP2|P3至与之绑定的量子密钥服务端;
与之绑定的量子密钥服务端通过旧的身份识别密钥KP2P3对接收到的密文KP2P3·KP2|P3进行解密,获得新的身份识别密钥KP2|P3,并以新的身份识别密钥KP2|P3来替换旧的身份识别密钥KP2P3
本发明的一个较佳实施例中,进一步包括
当终端设备地理位置变化时,终端设备通过本地有线连接的方式或无线连接的方式与旧量子密钥服务端解除绑定,并通过本地有线连接的方式或无线连接的方式绑定新的量子密钥服务端,
终端设备通过无线方式与旧量子密钥服务端解除绑定,与新量子密钥服务端建立绑定关系的方法为:
终端设备向新量子密钥服务端发出绑定请求,在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KDPD2
终端设备通过旧的身份识别密钥KDPD1对新的身份识别密钥KDPD2进行加密,获得密文KDPD1·KDPD2,并将密文KDPD1·KDPD2随绑定请求一起发送到新量子密钥服务端;
新量子密钥服务端判断终端设备合法后,与旧量子密钥服务端进行通信,告知旧量子密钥服务端终端设备发出的绑定请求;
旧量子密钥服务端收到新量子密钥服务端的告知信息后,旧量子密钥服务端通过与新量子密钥服务端绑定的身份识别密钥KPD1PD2对旧的身份识别密钥KDPD1进行加密,获得密文KPD1PD2·KDPD1,并将密文KPD1PD2·KDPD1发送到新量子密钥服务端;
新量子密钥服务端通过与旧量子密钥服务端绑定的身份识别密钥KPD1PD2对密文KPD1PD2·KDPD1进行第一次解密获得旧的身份识别密钥KDPD1;再利用旧的身份识别密钥KDPD1对密文KDPD1·KDPD2进行第二次解密获得新的身份识别密钥KDPD2,新量子密钥服务端获得新的身份识别密钥KDPD2后与终端设备建立绑定关系;
终端设备与新量子密钥服务端建立绑定关系后,旧量子密钥服务端解除与端设备的绑定关系。
本发明的有益效果是:
其一、相较于现有技术的密钥中继式保密通信方法,本发明的密钥中继式保密通信方法能够减小业务需求密钥到达被叫端的滞后延时,提高服务质量:
现有技术中,由主叫首先发出通信业务请求,随后由量子密钥分配网络分配业务密钥,再由分配获得的业务密钥对业务信息(此处的业务信息为明文信息,比如短信、语音等)进行加密,加密后的业务信息通过原有的链路发送到被叫端,也就是业务密钥的传递滞后于通信业务请求发出的时间;
本发明的技术中,由终端设备自带的量子真随机数发生器产生业务需求密钥,(也就是现有技术中的业务密钥),主叫端通信业务请求发出的同时开始业务需求密钥的传递,由此来减小业务需求密钥到达被叫端的延时,提高服务质量。
其二、相较于现有技术的密钥中继式保密通信,本发明的密钥中继式保密通信方法能够满足更多终端设备的更多业务需求:
现有技术中,业务密钥的获取来源于量子密钥分配网络的分配,由于光子衰减,量子密钥分配网络经过50Km的传递距离后最终获得业务密钥的速率为13Kbps左右,业务密钥量无法支撑足够的终端设备业务需求。
本发明的技术中,由终端设备自带的量子真随机数发生器产生业务需求密钥(也就是现有技术中的业务密钥),其可用业务需求密钥的密钥量不低于3Mbps,提高了两百多倍,足以支撑更多终端设备的更多业务需求。
其三、相较于现有技术的密钥中继式保密通信,本发明的密钥中继式保密同行方法能够极大的提高安全等级:
现有技术中,终端设备注册入网进行绑定,绑定验证信息后在终端设备不改变区域的情况下其量子身份号固定不变,通信安全性难以保障。
本发明的技术中,终端设备与量子密钥服务端之间建立绑定关系后共享的身份识别密钥(也就是现有技术中的量子身份号)、以及各量子密钥服务端之间通信的身份识别密钥均能够应请求而随时更新,不会长时间使用同一身份识别密钥,极大的提高安全等级。
其四、扩展了量子保密网络的业务适用范围,且实施容易,改造成本低,施工周期短:
本发明技术中,在主叫终端设备-量子密钥服务网络-被叫终端设备中传递的是加密后的业务需求密钥,并非是加密后的业务信息,加密后的业务信息加仍然通过具体业务原有的数据链路进行传递,与业务需求密钥通过不同的路径到达被叫终端设备,业务信息的加解密只在终端设备处进行一次,这种通信方式可以更好地与现有通信业务相兼容,无需对原有移动通信业务的数据流传输路径做出改变,只是将其与新增的量子密钥服务网络相连通就可以了,扩展了量子保密网络的业务使用范围,具有改造成本低,施工周期短的特点。
附图说明
为了更清楚地说明本发明实施例技术中的技术方案,下面将对实施例技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中密钥中继式移动保密通信示意图;
图2是本发明技术中密钥中继式移动保密通信示意图;
图3是本发明技术中密文的传递示意图;
图4是本发明整体流程图;
图5是本发明终端设备与建立绑定关系的量子密钥服务端之间更新量子身份识别码的示意图;
图6是本发明技术中量子密钥服务端之间更新量子身份识别码的示意图;
图7是本发明技术中终端设备切换绑定量子密钥服务端的示意图;
图8是本发明技术中终端设备的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本实施例提供一种基于量子真随机数的保密通信方法,实现终端设备之间的保密通信,本保密通信方法中所使用的业务需求密钥由设置在终端设备上的量子真随机数发生器生成。
本实施例中基于量子真随机数进行保密通信所涉及的主要硬件设备包括:
①-终端设备
终端设备可以是智能手机、平板电脑、笔记本电脑、PDA(个人数字化助理)等移动终端,或者是机顶盒、PC等其他终端设备,它是通信业务的发起方和接收方。
终端设备内部配置有量子真随机数发生器、存储设备、支持网络访问能力的硬件模块、具备与量子密钥服务端进行信息交互的能力、具备有计算能力的处理器。
②-量子密钥服务端
一个或多个量子密钥服务端形成量子密钥服务网络,一个量子密钥服务端可以与一个或多个终端设备建立绑定关系,并与建立绑定关系的终端设备共享身份识别密钥。
量子密钥服务端配置有量子真随机数发生器,通过自带的量子真随机数发生器产生与量子密钥服务网络内其它量子密钥服务端进行通信所使用的身份识别密钥,绑定相同身份识别密钥的两量子密钥服务端之间传递业务需求密钥。
如图8所示,终端设备内部的具体组成结构如下:
终端设备内部具有量子真随机数发生器、密钥存储模块、发起业务信息存储模块、加密模块、身份识别码存储模块、通信模块、解密模块和需求密钥存储模块,
通信请求发出后,本次通信的业务信息存储在上述发起业务信息存储模块内;
终端设备内部的量子真随机数发生器产生与业务信息等长的密钥,密钥产生后存储在上述密钥存储模块内;
从密钥存储模块内提取密钥作为身份识别密钥存储在身份识别码存储模块内;
终端设备与量子密钥服务端建立绑定关系时,从身份识别码存储模块内提取身份识别密钥,作为与建立绑定关系的量子密钥服务端之间共享的量子身份识别码;
通信业务发起时,从密钥存储模块内提取密钥作为业务需求密钥;
上述加密模块使用绑定的身份识别密钥对业务需求密钥进行加密获得需求密钥密文,与此同时加密模块使用业务需求密钥对本次通信的业务信息进行加密获得业务信息密文;
上述通信模块发送主叫的需求密钥密文和业务信息密文,同时接收被叫的需求密钥密文和业务信息密文;
上述解密模块使用绑定用的身份识别密钥对需求密钥密文进行解密获得业务需求密钥,与此同时使用解密后的业务需求密钥对业务信息密文进行解密获得业务信息;
解密模块解密获得的业务需求密钥存储在上述需求密钥存储模块内。
本发明技术方案中涉及到的密钥有三种:
①、量子密钥服务端之间绑定用的身份识别密钥,可以由量子密钥服务端的量子真随机数发生器产生,也可以由量子密钥服务端的量子密钥分配终端产生,产生后由QKD系统传递。
②、量子密钥服务端与终端设备之间绑定后共享的身份识别密钥,它由终端设备自带的量子真随机数发生器产生,密钥产生后存储在密钥存储模块内,建立绑定关系时从密钥存储模块内提取身份识别密钥,建立绑定关系的量子密钥服务端备份这一身份识别密钥,共享使用;
③、每次通信时需要的业务需求密钥,它由终端设备自带的量子真随机数发生器产生,密钥产生后存储在密钥存储模块内,通信业务发起时从密钥存储模块内提取密钥作为本次通信的业务需求密钥,“一次一密”,使用完毕后,或者没有使用完毕但是本次通信已经结束,当前的业务需求密钥都将被丢弃。
本发明技术方案中,各硬件设备之间存在多种连接信道:
①、各量子密钥服务端之间,同时存在着量子网络的经典信道和量子信道,经典信道以有线或无线的形式存在,量子信道可以是光纤信道、自由空间中的量子信道等。
量子信道用于各量子密钥服务端之间基于BB84协议传递共享的身份识别密钥,经典信道用于传输加密后的业务需求密钥。
②、终端设备和量子密钥服务端之间,建立绑定关系时,两者之间通过可靠的有线连接方式连接,建立绑定关系,量子密钥服务端备份终端设备的身份识别密钥,共享身份识别密钥;建立绑定关系后,断开有线连接,终端设备成为自由移动状态,此时两者之间通过经典网络传输,主要使用经典无线网络技术传输,例如Wi-Fi技术或3G、4G技术等。
③、加密后的业务信息在两台终端设备间仍然采用该业务的原有数据链路传输,其数据流仍然走的是电信运营商原有的数据链路,只不过其中的业务信息被加密了而已。
本发明技术的密钥中继式移动保密通信与现有技术的密钥中继式移动保密通信不同,以主叫终端设备向被叫终端设备发送信息为例,现有技术中,如图1所示,由主叫端首先发出通信业务请求,随后由量子密钥分配网络分配业务密钥,再由分配获得的业务密钥对业务信息(此处的业务信息为短信的明文信息)进行加密,加密后的业务信息通过原有的链路发送到被叫端,也就是业务密钥的传递滞后于通信业务请求发出的时间;
本发明技术中,如图2所示,由终端设备自带的量子真随机数发生器产生密钥,获得业务需求密钥(也就是现有技术中的业务密钥),主叫端通信业务请求发出的同时开始业务需求密钥的传递,也就是业务需求密钥的传递与通信业务请求的发出同时进行。
下面以两台终端设备之间使用本发明技术方案完成一次保密通信的过程为例,来详细说明本发明的具体实施方案,其密文传递过程如图3所示,其整体流程图如图4所示。
通信业务发起之前,终端设备与所在区域的量子密钥服务端建立绑定关系,本发明技术方案中,终端设备与量子密钥服务端之间的“绑定关系”为:
①、注册入网的终端设备在整个量子密钥服务网络中拥有唯一的绑定用身份识别密钥;
②、终端设备唯一持有的身份识别密钥应请求能够更新;
③、一台终端设备在同一个时间段内不能与多个量子密钥服务端绑定;
④、一个量子密钥服务端在同一个时间段内允许绑定零个、一个或多个终端设备;
⑤、具有绑定关系的终端设备和量子密钥服务端之间共享唯一的身份识别密钥。
通信业务发起时
(1)第一步、主叫终端设备发起通信业务请求:
主叫终端设备提取本次通信的业务需求密钥,获得业务需求密钥后,一方面通过绑定用的身份识别密钥对业务需求密钥进行加密获得需求密钥密文,并将需求密钥密文发送到量子密钥服务端P1;另一方面利用获得的业务需求密钥对本次通信的业务信息(此处为通信的明文信息)进行加密,获得业务信息密文,获得的业务信息密文通过该业务原有的数据链路传递至被叫终端设备,获得的需求密钥密文通过量子密钥服务端传递至被叫终端设备;此处获得需求密钥密文和获得业务信息密文同时进行,此处需求密钥密文和业务信息密文两者均在通信业务请求发出的第一时间同时发出。
(2)第二步、量子密钥服务端传递需求密钥密文(即加密后的业务需求密钥):
量子密钥服务端通过其与主叫终端设备绑定的身份识别密钥来验证主叫终端设备是否合法,如果合法则接收主叫终端设备发送的需求密钥密文,通过与主叫终端设备绑定用的身份识别密钥对接收的需求密钥密文进行解密得到业务需求密钥,然后再使用与被叫终端设备绑定用的身份识别密钥对业务需求密钥进行加密后发送给被叫终端设备。
另一方面,如果量子密钥服务端验证主叫终端设备不合法,则拒绝业务请求,并判断该主叫终端设备是否为地方入侵,如果是地方入侵,则报警和/或启动安全防护;如果判断不是地方入侵,则二次进入身份识别密钥验证。
(3)第三步、被叫终端设备接收请求:
被叫终端设备接收量子密钥服务端发送的需求密钥密文(即加密后的业务需求密钥)和主叫终端设备发送的业务信息密文(即加密后的业务信息),使用与量子密钥服务端绑定用的身份识别密钥解密需求密钥密文,得到本次通信的业务需求密钥,然后使用解密获得的业务需求密钥对业务信息密文进行解密,得到本次通信的业务信息;由此,主叫终端设备和被叫终端设备完成一次保密通信。
此次通信过程中,参与本次通信的业务信息密文,通过该类通信业务原有的数据链路进行保密通信,参与本次通信的需求密钥密文(即加密后的业务需求密钥)通过量子密钥服务端传输,本次通信业务的需求密钥密文与通信请求同步发出,通信请求发出的同时进行需求密钥密文的传递。
本发明的另一技术方案中,量子密钥服务端具有多个,多个量子密钥服务端依次通过唯一的身份识别密钥进行绑定,每个量子密钥服务端对解密出来的业务需求密钥使用独立的身份识别密钥进行加密后发送到下一个量子密钥服务端,下一个量子密钥服务端使用相同的身份识别密钥对接收到的加密后的业务需求密钥进行解密;直至传递到最后一个量子密钥服务端,由最后一个量子密钥服务端对业务需求密钥进行加密并发送给被叫终端设备。
如图3所示,多个量子密钥服务端传递业务需求密钥的具体过程详述如下:
主叫终端设备A通过与第一个量子密钥服务端P1共享的身份识别密钥KAP1对本次通信的业务需求密钥KX进行加密获得需求密钥密文KAP1·KX发送给第一个量子密钥服务端P1;
S1:第一个量子密钥服务端P1接收主叫终端设备A发送的需求密钥密文KAP1·KX,然后通过与主叫终端设备A共享的身份识别密钥KAP1对需求密钥密文KAP1·KX进行解密获得业务需求密钥KX
S2:第一个量子密钥服务端P1通过与第二个量子密钥服务端P2共享的量子身份识别密钥KP1P2对解密获得的业务需求密钥KX进行加密获得需求密钥密文KP1P2·KX发送给第二个量子密钥服务端P2;
S3:第二个量子密钥服务端P2重复以上步骤S1、S2中的解密、加密方法对本次通信的需求密钥密文一级一级的进行传递,直至传输至最后一个量子密钥服务端Pn。
本发明的技术中,终端设备与量子密钥服务端之间建立绑定关系后共享的身份识别码密钥、以及各量子密钥服务端之间通信的身份识别码密钥均能够随时更新,不会长时间使用同一各身份识别码密钥,能够极大的提高安全等级,其更新的方法如下:
(1)、如图5所示,终端设备唯一持有的身份识别码密钥应请求更新的方法为:
①、终端设备C向与之建立绑定关系的量子密钥服务端P发起身份识别密钥更换请求,或者量子密钥服务端P向与之建立绑定关系的终端设备C发起更换身份识别密钥的要求;
②、在量子真随机发生器产生的身份识别密钥内提取新的身份识别密钥KC|P
③、终端设备C使用旧的身份识别密钥KCP对新的身份识别密钥KC|P进行加密,获得密文KCP·KC|P,并传递密文KCP·KC|P至量子密钥服务端P;
④、量子密钥服务端P验证请求端合法后,通过旧的身份识别密钥KCP对密文KCP·KC|P进行解密,获得新的身份识别密钥KC|P,以新的身份识别密钥KC|P来替换旧的身份识别密钥KCP
(2)、如图6所示,各量子密钥服务端之间的身份识别密钥能够更新,且具有两种更新方法,第一种更新方法是基于量子网络的经典信道更新,第二种更新方法是基于量子网络的量子信道更新,具体更新方法为:
(1)第一种更新方法:
①、量子密钥服务端P2向与之绑定的量子密钥服务端P3发出更换身份识别密钥的请求,并使用旧的身份识别密钥KP2P3对新的身份识别密钥KP2|P3进行加密,获得密文KP2P3·KP2|P3,并传递密文KP2P3·KP2|P3至量子密钥服务端P3;
②、量子密钥服务端P3通过旧的身份识别密钥KP2P3对密文KP2P3·KP2|P3进行解密,获得新的身份识别密钥KP2|P3,以新的身份识别密钥KP2|P3来替换旧的身份识别密钥KP2P3
此处,各量子密钥服务端均可以作为请求更换身份识别密钥的请求发出方,也均可以作为请求接收方。
(2)第二种更新方法:
由设置在量子密钥服务端上的量子密钥分配终端分配身份识别密钥,身份识别密钥分配后通过量子信道基于BB84协议传递更新。
当终端设备地理位置变化时,终端设备优选采用可靠的有线连接方式先与旧量子密钥服务端解除绑定关系,然后再采用可靠的有线连接方式与新的量子密钥服务端建立绑定关系,终端设备与新的量子密钥服务端建立绑定关系后断开有线连接,恢复可自由移动的状态。
作为本发明的进一步方案,当终端设备地理位置变化时,终端设备还可以采用无线连接的方式切换与之绑定的量子密钥服务端,如图7所示,其具体实现方法为:
此处以终端设备D、旧量子密钥服务端PD1、新量子密钥服务端PD2为例进行说明:
终端设备D与旧量子密钥服务端PD1共享量子身份识别码KDPD1
旧量子密钥服务端PD1和新量子密钥服务端PD2之间共享量子身份识别码KPD1PD2
S1:终端设备D向新量子密钥服务端PD2发出绑定请求,在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KDPD2
终端设备通过旧的身份识别密钥KDPD1对新的身份识别密钥KDPD2进行加密,获得密文KDPD1·KDPD2,并将密文KDPD1·KDPD2随绑定请求一起发送到新量子密钥服务端;
S2:新量子密钥服务端PD2判断终端设备合法后,与旧量子密钥服务端PD1进行通信,告知旧量子密钥服务端PD1终端设备发出的绑定请求;
S3:旧量子密钥服务端PD1收到新量子密钥服务端PD2的告知信息后,旧量子密钥服务端PD1通过与新量子密钥服务端PD2绑定的身份识别密钥KPD1PD2对旧的身份识别密钥KDPD1进行加密,获得密文KPD1PD2·KDPD1,并将密文KPD1PD2·KDPD1发送到新量子密钥服务端PD2;
S4:新量子密钥服务端PD2通过与旧量子密钥服务端PD1绑定的身份识别密钥KPD1PD2对密文KPD1PD2·KDPD1进行第一次解密获得旧的身份识别密钥KDPD1;再利用旧的身份识别密钥KDPD1对密文KDPD1·KDPD2进行第二次解密获得新的身份识别密钥KDPD2,新量子密钥服务端PD2获得新的身份识别密钥KDPD2后与终端设备D建立绑定关系;
终端设备D与新量子密钥服务端PD2建立绑定关系后,旧量子密钥服务端PD1解除与端设备D的绑定关系,旧的量子身份识别码KDPD1被丢弃不再使用。
此处终端设备切换与之建立绑定关系的量子密钥服务端的请求只允许由终端设备发出请求而获得更换。
实施例二
本实施例提供一种基于量子真随机数的保密通信系统,本保密通信系统包括量子密钥服务端和多个终端设备。
其中,终端设备可以是智能手机、平板电脑、机顶盒、笔记本电脑、PAD或其他终端设备,它是通信业务的发起方和接收方,终端设备内部配置有存储设备、支持网络访问能力的硬件模块、具备与量子密钥服务端进行信息交互的能力、具备有计算能力的处理器、和用于产生身份识别密钥的量子真随机数发生器。其中至少一个终端设备上配置有用于产生业务需求密钥的量子真随机数发生器。
当然,终端设备上可以配置一个量子真随机数发生器来同时产生身份识别密钥和业务需求密钥,也可以配置两个量子真随机数发生器,分别用来产生身份识别密钥和业务需求密钥。
一个或多个量子密钥服务端形成量子密钥服务网络,量子密钥服务端配置有用于产生身份识别密钥的量子真随机数发生器和/或量子密钥分配终端,一个量子密钥服务端可以与一个或多个终端设备建立绑定关系,并与建立绑定关系的终端设备共享身份识别密钥。
本发明技术方案中,保密通信系统的终端设备至少包括第一终端设备和第二终端设备,其中:
上述第一终端设备上设有量子真随机数发生器,第一终端设备用于通过绑定用的身份识别密钥对量子真随机数发生器生成的业务需求密钥进行加密并发送至量子密钥服务端,第一终端设备发送加密后的业务需求密钥给量子密钥服务端的同时,通过上述业务需求密钥对业务信息进行加密并发送给第二终端设备;
上述量子密钥服务端用于接收第一终端设备发送的加密后的业务需求密钥通过与第一终端设备绑定用的身份识别密钥对加密后的业务需求密钥进行解密得到上述业务需求密钥,然后再使用与第二终端设备绑定用的身份识别密钥对上述业务需求密钥进行加密后发送给第二终端设备;
上述第二终端设备用于接收量子密钥服务端发送的加密后的业务需求密钥和用于接收第一终端设备发送的加密后的业务信心,通过与上述量子密钥服务端绑定用的身份识别密钥对加密后的业务需求密钥进行解密得到上述业务需求密钥,利用解密后的所述业务需求密钥对加密后的业务信息进行解密获得所述业务信息。
上述第一终端设备和第二终端设备通过上述业务需求密钥进行保密通信。
本实施例的技术方案中,如图8所示,终端设备优选的内部结构如下:
终端设备内部具有量子真随机数发生器、密钥存储模块、发起业务信息存储模块、加密模块、身份识别码存储模块、通信模块、解密模块和需求密钥存储模块,
通信请求发出后,本次通信的业务信息存储在上述发起业务信息存储模块内;
终端设备内部的量子真随机数发生器产生与业务信息等长的密钥,密钥产生后存储在上述密钥存储模块内;
从密钥存储模块内提取密钥作为身份识别密钥存储在身份识别码存储模块内;
终端设备与量子密钥服务端建立绑定关系时,从身份识别码存储模块内提取身份识别密钥,作为与建立绑定关系的量子密钥服务端之间共享的量子身份识别码;
通信业务发起时,从密钥存储模块内提取密钥作为业务需求密钥;
上述加密模块使用绑定的身份识别密钥对业务需求密钥进行加密获得需求密钥密文,与此同时加密模块使用业务需求密钥对本次通信的业务信息进行加密获得业务信息密文;
上述通信模块发送主叫的需求密钥密文和业务信息密文,同时接收被叫的需求密钥密文和业务信息密文;
上述解密模块使用绑定用的身份识别密钥对需求密钥密文进行解密获得业务需求密钥,与此同时使用解密后的业务需求密钥对业务信息密文进行解密获得业务信息;
解密模块解密获得的业务需求密钥存储在上述需求密钥存储模块内。
本实施例的另一技术方案中,量子密钥服务端具有多个,多个量子密钥服务端依次通过唯一的身份识别密钥进行绑定,每个量子密钥服务端对解密出来的业务需求密钥使用独立的身份识别密钥进行加密后发送到下一个量子密钥服务端,下一个量子密钥服务端使用相同的身份识别密钥对接收到的加密后的业务需求密钥进行解密;直至传递到最后一个量子密钥服务端,由最后一个量子密钥服务端对业务需求密钥进行加密并发送给被叫终端设备。
如图3所示,多个量子密钥服务端传输加密后的业务需求密钥,其传递业务需求密钥的具体过程详述如下:
第一终端设备A通过与第一个量子密钥服务端P1共享的身份识别密钥KAP1对本次通信的业务需求密钥KX进行加密获得需求密钥密文KAP1·KX发送给第一个量子密钥服务端P1;
S1:第一个量子密钥服务端P1接收第一终端设备A发送的需求密钥密文KAP1·KX,然后通过与第一终端设备A共享的身份识别密钥KAP1对需求密钥密文KAP1·KX进行解密获得业务需求密钥KX
S2:第一个量子密钥服务端P1通过与第二个量子密钥服务端P2共享的量子身份识别密钥KP1P2对解密获得的业务需求密钥KX进行加密获得需求密钥密文KP1P2·KX发送给第二个量子密钥服务端P2;
S3:第二个量子密钥服务端P2重复以上步骤S1、S2中的解密、加密方法对本次通信的需求密钥密文一级一级的进行传递,直至传输至最后一个量子密钥服务端Pn。
本实施例的另一技术方案中,终端设备与量子密钥服务端之间建立绑定关系后共享的身份识别码密钥、以及各量子密钥服务端之间通信的身份识别码密钥均能够随时更新,不会长时间使用同一各身份识别码密钥,能够极大的提高安全等级,其更新的方法如下:
(1)、如图5所示,终端设备唯一持有的身份识别码密钥应请求更新的方法为:
①、终端设备C向与之建立绑定关系的量子密钥服务端P发起身份识别密钥更换请求,或者量子密钥服务端P向与之建立绑定关系的终端设备C发起更换身份识别密钥的要求;
②、终端设备C在量子真随机发生器产生的身份识别密钥内提取新的身份识别密钥KC|P
③、终端设备C使用旧的身份识别密钥KCP对新的身份识别密钥KC|P进行加密,获得密文KCP·KC|P,并传递密文KCP·KC|P至量子密钥服务端P;
④、量子密钥服务端P验证请求端合法后,通过旧的身份识别密钥KCP对密文KCP·KC|P进行解密,获得新的身份识别密钥KC|P,以新的身份识别密钥KC|P来替换旧的身份识别密钥KCP
(2)、如图6所示,各量子密钥服务端之间的身份识别密钥应请求能够更新,且具有两种更新方法,第一种更新方法是基于量子网络的经典信道更新,第二种更新方法是基于量子网络的量子信道更新,具体更新方法为:
(1)第一种更新方法:
①、量子密钥服务端P2向与之绑定的量子密钥服务端P3发出更换身份识别密钥的请求,并使用旧的身份识别密钥KP2P3对新的身份识别密钥KP2|P3进行加密,获得密文KP2P3·KP2|P3,并传递密文KP2P3·KP2|P3至量子密钥服务端P3;
②、量子密钥服务端P3通过旧的身份识别密钥KP2P3对密文KP2P3·KP2|P3进行解密,获得新的身份识别密钥KP2|P3,以新的身份识别密钥KP2|P3来替换旧的身份识别密钥KP2P3
此处,各量子密钥服务端均可以作为请求更换身份识别密钥的请求发出方,也均可以作为请求接收方。
(2)第二种更新方法:
由设置在量子密钥服务端上的量子密钥分配终端分配身份识别密钥,身份识别密钥分配后通过量子信道基于BB84协议传递更新。
当终端设备地理位置变化时,终端设备优选采用可靠的有线连接方式先与旧量子密钥服务端解除绑定关系,然后再采用可靠的有线连接方式与新的量子密钥服务端建立绑定关系,终端设备与新的量子密钥服务端建立绑定关系后断开有线连接,恢复可自由移动的状态。
本实施例的另一技术方案中,当终端设备地理位置变化时,终端设备还可以采用无线连接的方式切换与之绑定的量子密钥服务端,如图7所示,其具体实现方法为:
此处以终端设备D、旧量子密钥服务端PD1、新量子密钥服务端PD2为例进行说明:
终端设备D与旧量子密钥服务端PD1共享量子身份识别码KDPD1
旧量子密钥服务端PD1和新量子密钥服务端PD2之间共享量子身份识别码KPD1PD2
S1:终端设备D向新量子密钥服务端PD2发出绑定请求,在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KDPD2
终端设备通过旧的身份识别密钥KDPD1对新的身份识别密钥KDPD2进行加密,获得密文KDPD1·KDPD2,并将密文KDPD1·KDPD2随绑定请求一起发送到新量子密钥服务端;
S2:新量子密钥服务端PD2判断终端设备合法后,与旧量子密钥服务端PD1进行通信,告知旧量子密钥服务端PD1终端设备发出的绑定请求;
S3:旧量子密钥服务端PD1收到新量子密钥服务端PD2的告知信息后,旧量子密钥服务端PD1通过与新量子密钥服务端PD2绑定的身份识别密钥KPD1PD2对旧的身份识别密钥KDPD1进行加密,获得密文KPD1PD2·KDPD1,并将密文KPD1PD2·KDPD1发送到新量子密钥服务端PD2;
S4:新量子密钥服务端PD2通过与旧量子密钥服务端PD1绑定的身份识别密钥KPD1PD2对密文KPD1PD2·KDPD1进行第一次解密获得旧的身份识别密钥KDPD1;再利用旧的身份识别密钥KDPD1对密文KDPD1·KDPD2进行第二次解密获得新的身份识别密钥KDPD2,新量子密钥服务端PD2获得新的身份识别密钥KDPD2后与终端设备D建立绑定关系;
终端设备D与新量子密钥服务端PD2建立绑定关系后,旧量子密钥服务端PD1解除与端设备D的绑定关系,旧的量子身份识别码KDPD1被丢弃不再使用。此处终端设备切换与之建立绑定关系的量子密钥服务端的请求只允许由终端设备发出请求而获得更换。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (23)

1.一种基于量子真随机数的保密通信方法,其特征在于:保密通信所使用的业务需求密钥由设置在终端设备上的量子真随机数发生器生成;所述保密通信方法具体包括以下步骤,
(1)由位于第一终端设备的量子真随机数发生器产生业务需求密钥,第一终端设备通过绑定用的身份识别密钥对所述业务需求密钥进行加密并发送至量子密钥服务端;
(2)所述量子密钥服务端接收第一终端设备发送的加密后的业务需求密钥,通过与第一终端设备绑定用的所述身份识别密钥进行解密得到所述业务需求密钥,然后再使用与第二终端设备绑定用的身份识别密钥对所述业务需求密钥进行加密后发送给第二终端设备;
(3)第二终端设备接收量子密钥服务端发送的加密后的业务需求密钥,利用绑定用的身份识别密钥进行解密得到所述业务需求密钥;
第一终端设备和第二终端设备通过所述业务需求密钥进行保密通信,主叫端通信业务请求发出的同时开始业务需求密钥的传递。
2.根据权利要求1所述的基于量子真随机数的保密通信方法,其特征在于:将多个终端设备与量子密钥服务端分别通过唯一的身份识别密钥进行绑定。
3.根据权利要求2所述的基于量子真随机数的保密通信方法,其特征在于:
步骤(2)中,第一终端设备通过身份识别密钥对所述业务需求密钥进行加密并发送至量子密钥服务端的同时,利用所述业务需求密钥对业务信息进行加密并发送给所述第二终端设备。
4.根据权利要求2所述的基于量子真随机数的保密通信方法,其特征在于:所述量子密钥服务端有多个,多个所述量子密钥服务端依次通过唯一的身份识别密钥进行绑定,每个所述量子密钥服务端对解密出来的所述业务需求密钥使用独立的身份识别密钥进行加密后发送到下一个量子密钥服务端,下一个量子密钥服务端使用相同的身份识别密钥对接收到的加密后的业务需求密钥进行解密,直至最后一个量子密钥服务端,由最后一个量子密钥服务端对业务需求密钥进行加密并发送给所述第二终端设备。
5.根据权利要求1-4任一项所述的基于量子真随机数的保密通信方法,其特征在于:所述身份识别密钥由量子真随机数发生器生成,生成身份识别密钥的所述量子真随机数发生器设置于第一终端设备、第二终端设备或量子密钥服务端 上。
6.根据权利要求2或4所述的基于量子真随机数的保密通信方法,其特征在于:
步骤(3)中,量子密钥服务端通过其与第一终端设备绑定的身份识别密钥来验证第一终端设备是否合法,如果合法则开始接收第一终端设备发送的加密后的业务需求密钥;如果不合法则拒绝业务请求。
7.根据权利要求2所述的基于量子真随机数的保密通信方法,其特征在于:所述终端设备在同一时间仅与一个量子密钥服务端绑定,且绑定用的身份识别密钥可以更新。
8.根据权利要求7所述的基于量子真随机数的保密通信方法,其特征在于:终端设备与量子密钥服务端之间绑定用的身份识别密钥应所述终端设备的请求更新,其更新的方法为:
所述终端设备向与之建立绑定关系的量子密钥服务端发起身份识别密钥更换请求,在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KC|P
所述终端设备使用旧的身份识别密钥KCP对新的身份识别密钥KC|P进行加密,获得密文KCP·KC|P,并发送密文KCP·KC|P至量子密钥服务端;
量子密钥服务端验证请求端合法后,通过旧的身份识别密钥KCP对接收到的密文KCP·KC|P进行解密,获得新的身份识别密钥KC|P,并以新的身份识别密钥KC|P来替换旧的身份识别密钥KCP
9.根据权利要求7所述的基于量子真随机数的保密通信方法,其特征在于:终端设备与量子密钥服务端之间绑定用的身份识别密钥因所述量子密钥服务端的要求更新,其更新方法为:
所述量子密钥服务端向与之建立绑定关系的终端设备发出更新身份识别密钥的要求,终端设备在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KC|P
所述终端设备使用旧的身份识别密钥KCP对新的身份识别密钥KC|P进行加密,获得密文KCP·KC|P,并发送密文KCP·KC|P至量子密钥服务端;
量子密钥服务端验证请求端合法后,通过旧的身份识别密钥KCP对接收到的密文KCP·KC|P进行解密,获得新的身份识别密钥KC|P,并以新的身份识别密钥KC|P来替换旧的身份识别密钥KCP
10.根据权利要求5所述的基于量子真随机数的保密通信方法,其特征在于:所述量子密钥服务端之间绑定用的身份识别密钥应量子密钥服务端的请求可以更新,其更新方法为,
发起更新的量子密钥服务端向与之绑定的量子密钥服务端发起更新身份识别密钥的请求,并使用旧的身份识别密钥KP2P3对新的身份识别密钥KP2|P3进行加密获得密文KP2P3·KP2|P3,并发送密文KP2P3·KP2|P3至与之绑定的量子密钥服务端;
与之绑定的量子密钥服务端通过旧的身份识别密钥KP2P3对接收到的密文KP2P3·KP2|P3进行解密,获得新的身份识别密钥KP2|P3,并以新的身份识别密钥KP2|P3来替换旧的身份识别密钥KP2P3
11.根据权利要求1-4任一项所述的基于量子真随机数的保密通信方法,其特征在于:各量子密钥服务端之间绑定用的所述身份识别密钥还可以由设置在所述量子密钥服务端上的量子密钥分配终端分配,量子密钥分配终端分配所述身份识别密钥后通过量子信道传递更新。
12.根据权利要求7所述的基于量子真随机数的保密通信方法,其特征在于:步骤(3)中,量子密钥服务端接收到所述第一终端设备发送的业务请求后,通过与第一终端设备绑定的身份识别密钥验证第一终端设备是否合法,若合法,执行解密的操作;若不合法,拒绝执行解密操作,并判断该第一终端设备是否为地方入侵,若是,则报警和/或启动安全防护。
13.根据权利要求2所述的基于量子真随机数的保密通信方法,其特征在于:当终端设备地理位置变化时,终端设备与旧量子密钥服务端解除绑定,并绑定新的量子密钥服务端,具体包括:
终端设备在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KDPD2,并通过旧的身份识别密钥KDPD1对新的身份识别密钥KDPD2进行加密,获得密文KDPD1·KDPD2
终端设备向新的量子密钥服务端发出绑定请求,所述请求中携带有所述密文KDPD1·KDPD2
新的量子密钥服务端判断终端设备合法后,与旧量子密钥服务端进行通信,告知旧量子密钥服务端终端设备发出的绑定请求;
旧量子密钥服务端收到新量子密钥服务端的告知信息后,通过与新量子密钥服务端绑定的身份识别密钥KPD1PD2对旧的身份识别密钥KDPD1进行加密,获得密文KPD1PD2·KDPD1,并将密文KPD1PD2·KDPD1发送到新量子密钥服务端;
新量子密钥服务端通过与旧量子密钥服务端绑定的身份识别密钥KPD1PD2对密文KPD1PD2·KDPD1进行第一次解密获得旧的身份识别密钥KDPD1;再利用旧的身份识别密钥KDPD1对密文KDPD1·KDPD2进行第二次解密获得新的身份识别密钥KDPD2,新量子密钥服务端获得新的身份识别密钥KDPD2后与终端设备建立绑定关系;
终端设备与新量子密钥服务端建立绑定关系后,旧量子密钥服务端解除与端设备的绑定关系。
14.一种基于量子真随机数的终端设备保密通信系统,包括多个终端设备,其特征在于:至少一个所述终端设备上设置有用于产生业务需求密钥的量子真随机数发生器;
所述系统还包括量子密钥服务端,终端设备与量子密钥服务端通过唯一的身份识别密钥进行绑定,所述终端设备至少包括第一终端设备和第二终端设备,其中:
所述第一终端设备,其上设有所述量子真随机数发生器,所述第一终端设备用于通过绑定用的身份识别密钥对所述量子真随机数发生器生成的业务需求密钥进行加密并发送至量子密钥服务端;
所述量子密钥服务端,用于接收第一终端设备发送的加密后的业务需求密钥,通过与所述第一终端设备绑定用的身份识别密钥对加密后的业务需求密钥进行解密得到所述业务需求密钥,然后再使用与第二终端设备绑定用的身份识别密钥对所述业务需求密钥进行加密后发送给第二终端设备;
所述第二终端设备,用于接收量子密钥服务端发送的加密后的业务需求密钥,利用绑定用的身份识别密钥对加密后的业务需求密钥进行解密得到所述业务需求密钥;
所述第一终端设备和第二终端设备通过所述业务需求密钥进行保密通信;主叫端通信业务请求发出的同时开始业务需求密钥的传递。
15.根据权利要求14所述的基于量子真随机数的终端设备保密通信系统,其特征在于:
所述第一终端设备还用于在发送加密后的业务需求密钥给量子密钥服务端的同时,通过所述业务需求密钥对业务信息进行加密并发送给所述第二终端设备;
所述第二终端设备,还用于接收第一终端设备发送的加密后的业务信息,利用解密后的所述业务需求密钥对加密后的业务信息进行解密获得所述业务信息。
16.根据权利要求14所述的基于量子真随机数的终端设备保密通信系统,其特征在于:所述量子密钥服务端有多个,多个所述量子密钥服务端依次通过唯一的身份识别密钥进行绑定,每个所述量子密钥服务端用于对解密出来的所述业务需求密钥使用独立的身份识别密钥进行加密后发送到下一个量子密钥服务端,下一个量子密钥服务端使用相同的身份识别密钥对接收到的加密后的业务需求密钥进行解密,直至最后一个量子密钥服务端,由最后一个量子密钥服务端对业务需求密钥进行加密并发送给所述第二终端设备。
17.根据权利要求14-16任一项所述的基于量子真随机数的终端设备保密通信系统,其特征在于:第一终端设备、第二终端设备或量子密钥服务端上设置有用于产生身份识别密钥的量子真随机数发生器。
18.根据权利要求16所述的基于量子真随机数的终端设备保密通信系统,其特征在于:所述量子密钥服务端上设置有用于产生身份识别密钥的量子密钥分配终端。
19.根据权利要求14或16所述的基于量子真随机数的终端设备保密通信系统,其特征在于:所述量子密钥服务端还用于通过其与第一终端设备绑定的身份识别密钥来验证第一终端设备是否合法,如果合法则开始接收第一终端设备发送的加密后的业务需求密钥;如果不合法则拒绝业务请求。
20.根据权利要求14所述的基于量子真随机数的终端设备保密通信系统,其特征在于:所述终端设备在同一时间仅与一个量子密钥服务端绑定,且绑定用的身份识别密钥应所述终端设备的请求可以更新、或者因所述量子密钥服务端的主动要求获得更新。
21.根据权利要求20所述的基于量子真随机数的终端设备保密通信系统,其特征在于:所述终端设备还用于向与之建立绑定关系的量子密钥服务端发起身份识别密钥更换请求,在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KC|P
所述终端设备还用于使用旧的身份识别密钥KCP对新的身份识别密钥KC|P进行加密,获得密文KCP·KC|P,并发送密文KCP·KC|P至量子密钥服务端;
量子密钥服务端还用于验证请求端合法后,通过旧的身份识别密钥KCP对接收到的密文KCP·KC|P进行解密,获得新的身份识别密钥KC|P,并以新的身份识别密钥KC|P来替换旧的身份识别密钥KCP
所述终端设备与量子密钥服务端之间绑定的身份识别密钥只允许由终端设备发出请求而获得更新。
22.根据权利要求17所述的基于量子真随机数的终端设备保密通信系统,其特征在于:所述量子密钥服务端还用于向与之建立绑定关系的另一量子密钥服务端发起身份识别密钥更换请求,并使用旧的身份识别密钥KP2P3对新的身份识别密钥KP2|P3进行加密获得密文KP2P3·KP2|P3,并发送密文KP2P3·KP2|P3至与之绑定的量子密钥服务端;
与之绑定的量子密钥服务端通过旧的身份识别密钥KP2P3对接收到的密文KP2P3·KP2|P3进行解密,获得新的身份识别密钥KP2|P3,并以新的身份识别密钥KP2|P3来替换旧的身份识别密钥KP2P3
23.根据权利要求14所述的基于量子真随机数的终端设备保密通信系统,其特征在于:当终端设备地理位置变化时,终端设备通过本地有线连接的方式或无线连接的方式与旧量子密钥服务端解除绑定,并通过本地有线连接的方式或无线连接的方式绑定新的量子密钥服务端,
终端设备通过无线方式与旧量子密钥服务端解除绑定,与新量子密钥服务端建立绑定关系的方法为:
终端设备向新量子密钥服务端发出绑定请求,在量子真随机数发生器产生的身份识别密钥内提取新的身份识别密钥KDPD2
终端设备通过旧的身份识别密钥KDPD1对新的身份识别密钥KDPD2进行加密,获得密文KDPD1·KDPD2,并将密文KDPD1·KDPD2随绑定请求一起发送到新量子密钥服务端;
新量子密钥服务端判断终端设备合法后,与旧量子密钥服务端进行通信,告知旧量子密钥服务端终端设备发出的绑定请求;
旧量子密钥服务端收到新量子密钥服务端的告知信息后,旧量子密钥服务端通过与新量子密钥服务端绑定的身份识别密钥KPD1PD2对旧的身份识别密钥KDPD1进行加密,获得密文KPD1PD2·KDPD1,并将密文KPD1PD2·KDPD1发送到新量子密钥服务端;
新量子密钥服务端通过与旧量子密钥服务端绑定的身份识别密钥KPD1PD2对密文KPD1PD2·KDPD1进行第一次解密获得旧的身份识别密钥KDPD1;再利用旧的身份识别密钥KDPD1对密文KDPD1·KDPD2进行第二次解密获得新的身份识别密钥KDPD2,新量子密钥服务端获得新的身份识别密钥KDPD2后与终端设备建立绑定关系;
终端设备与新量子密钥服务端建立绑定关系后,旧量子密钥服务端解除与端设备的绑定关系。
CN201710244179.9A 2017-04-14 2017-04-14 基于量子真随机数的保密通信方法及通信系统 Active CN107094076B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710244179.9A CN107094076B (zh) 2017-04-14 2017-04-14 基于量子真随机数的保密通信方法及通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710244179.9A CN107094076B (zh) 2017-04-14 2017-04-14 基于量子真随机数的保密通信方法及通信系统

Publications (2)

Publication Number Publication Date
CN107094076A CN107094076A (zh) 2017-08-25
CN107094076B true CN107094076B (zh) 2018-09-25

Family

ID=59637938

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710244179.9A Active CN107094076B (zh) 2017-04-14 2017-04-14 基于量子真随机数的保密通信方法及通信系统

Country Status (1)

Country Link
CN (1) CN107094076B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109842442B (zh) * 2017-11-26 2020-07-28 成都零光量子科技有限公司 一种以机场为区域中心的量子密钥服务方法
CN109525390B (zh) * 2018-11-20 2021-08-24 江苏亨通问天量子信息研究院有限公司 用于终端设备保密通信的量子密钥无线分发方法及系统
CN109698746B (zh) * 2019-01-21 2021-03-23 北京邮电大学 基于主密钥协商生成绑定设备的子密钥的方法和系统
CN110190952A (zh) * 2019-05-09 2019-08-30 浙江神州量子通信技术有限公司 一种基于量子随机数对物联网安全的加密传输方法
CN110289953A (zh) * 2019-06-25 2019-09-27 湖北凯乐量子通信光电科技有限公司 一种量子保密通信系统
CN110247765B (zh) * 2019-06-25 2021-12-28 湖北凯乐量子通信光电科技有限公司 一种量子保密数据链通信系统
CN110490051A (zh) * 2019-07-03 2019-11-22 武汉虹识技术有限公司 虹膜识别系统和方法
CN112929168A (zh) * 2021-02-05 2021-06-08 安徽华典大数据科技有限公司 一种基于量子密钥分配方法
CN114124370B (zh) * 2021-10-14 2024-07-09 阿里云计算有限公司 密钥生成方法及装置
CN116546500B (zh) * 2023-06-30 2023-09-22 中国电信股份有限公司 终端能力识别方法、系统、电子设备及介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103441839A (zh) * 2013-08-15 2013-12-11 国家电网公司 一种量子密码在ip安全通信中的使用方法和系统
CN103763099A (zh) * 2014-02-13 2014-04-30 国家电网公司 一种基于量子密钥分配技术的电力安全通信网络
CN104243143A (zh) * 2013-06-08 2014-12-24 安徽量子通信技术有限公司 一种基于量子密钥分配网络的移动保密通信方法
CN105471576A (zh) * 2015-12-28 2016-04-06 科大国盾量子技术股份有限公司 一种量子密钥中继的方法、量子终端节点及系统
CN106209739A (zh) * 2015-05-05 2016-12-07 科大国盾量子技术股份有限公司 云存储方法及系统
CN106357649A (zh) * 2016-09-23 2017-01-25 浙江神州量子网络科技有限公司 用户身份认证系统和方法
CN106411525A (zh) * 2016-09-23 2017-02-15 浙江神州量子网络科技有限公司 消息认证方法和系统
CN106470104A (zh) * 2015-08-20 2017-03-01 阿里巴巴集团控股有限公司 用于生成共享密钥的方法、装置、终端设备及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4200909B2 (ja) * 2004-01-29 2008-12-24 日本電気株式会社 乱数生成共有システム、暗号化通信装置及びそれらに用いる乱数生成共有方法
JP4912772B2 (ja) * 2005-09-22 2012-04-11 富士通株式会社 暗号化方法,暗号復号化方法,暗号化装置,暗号復号化装置,送受信システムおよび通信システム
EP2160864B8 (en) * 2007-06-26 2012-04-11 G3-Vision Limited Authentication system and method
CN103081396B (zh) * 2010-08-24 2016-08-10 三菱电机株式会社 通信终端、通信系统以及通信方法
EP2940923B1 (en) * 2014-04-28 2018-09-05 Université de Genève Method and device for optics based quantum random number generator

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104243143A (zh) * 2013-06-08 2014-12-24 安徽量子通信技术有限公司 一种基于量子密钥分配网络的移动保密通信方法
CN103441839A (zh) * 2013-08-15 2013-12-11 国家电网公司 一种量子密码在ip安全通信中的使用方法和系统
CN103763099A (zh) * 2014-02-13 2014-04-30 国家电网公司 一种基于量子密钥分配技术的电力安全通信网络
CN106209739A (zh) * 2015-05-05 2016-12-07 科大国盾量子技术股份有限公司 云存储方法及系统
CN106470104A (zh) * 2015-08-20 2017-03-01 阿里巴巴集团控股有限公司 用于生成共享密钥的方法、装置、终端设备及系统
CN105471576A (zh) * 2015-12-28 2016-04-06 科大国盾量子技术股份有限公司 一种量子密钥中继的方法、量子终端节点及系统
CN106357649A (zh) * 2016-09-23 2017-01-25 浙江神州量子网络科技有限公司 用户身份认证系统和方法
CN106411525A (zh) * 2016-09-23 2017-02-15 浙江神州量子网络科技有限公司 消息认证方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《Quantum Random Number Generation on a Mobile Phone,移动电话上的量子随机数生成器》;Anthony Martin,H.Zbinden等;《Phys.Rev.X 4,031056(2014)》;20140502;全文 *
《设备无关量子通信综述》;黄靖正等;《QUANTUM COMMUNICATIONS》;20130228;全文 *

Also Published As

Publication number Publication date
CN107094076A (zh) 2017-08-25

Similar Documents

Publication Publication Date Title
CN107094076B (zh) 基于量子真随机数的保密通信方法及通信系统
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法
CN103491531B (zh) 在电力系统WiMAX无线通信网中使用量子密钥提高电力信息传输安全性的方法
CN108650028B (zh) 基于量子通信网络与真随机数的多次身份认证系统和方法
JP2883243B2 (ja) 相手認証/暗号鍵配送方式
CN109842485B (zh) 一种有中心的量子密钥服务网络系统
CN106452739A (zh) 一种量子网络服务站以及量子通信网络
CN108964897B (zh) 基于群组通信的身份认证系统和方法
CN101340443A (zh) 一种通信网络中会话密钥协商方法、系统和服务器
CN108880799B (zh) 基于群组密钥池的多次身份认证系统和方法
CN106411525A (zh) 消息认证方法和系统
CN108510270A (zh) 一种量子安全的移动转账方法
CN101741555A (zh) 身份认证和密钥协商方法及系统
WO2012024906A1 (zh) 一种移动通信系统及其语音通话加密的方法
CN108306732A (zh) 一种随机数生成方法、相关设备及系统
CN108377188A (zh) 一种用于特种应急自组网通信的量子加密系统
CN110224821A (zh) 一种无人移动平台的通信加密方法
CN108964896B (zh) 一种基于群组密钥池的Kerberos身份认证系统和方法
CN108600152B (zh) 基于量子通信网络的改进型Kerberos身份认证系统和方法
CN108270553A (zh) 可信中继器、量子通信网络的密钥加密方法、装置、系统
CN108964895B (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法
JP6544519B2 (ja) 移動体制御システム
CN113612608A (zh) 一种双模对讲机基于公网实现集群加密的方法及系统
CN101741548A (zh) 交换设备间安全连接的建立方法及系统
CN206042014U (zh) 一种量子网络服务站以及量子通信网络

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant