本發(fā)明屬于移動(dòng)通信加密技術(shù)領(lǐng)域,具體涉及一種基于量子真隨機(jī)數(shù)的保密通信方法及通信系統(tǒng)。
背景技術(shù):
隨著終端設(shè)備的無(wú)線通信技術(shù)的飛速發(fā)展與廣泛應(yīng)用,其業(yè)務(wù)內(nèi)容涵蓋廣闊,業(yè)務(wù)需求也在不斷提高,但是,對(duì)無(wú)線通信系統(tǒng)一直以明文進(jìn)行信息傳遞,加上無(wú)線信號(hào)在自由空間傳播,任意人都可以發(fā)起竊聽(tīng)與攻擊,無(wú)需復(fù)雜設(shè)備。因此無(wú)線通信系統(tǒng)本身的安全問(wèn)題一直難以保障。
為了提高無(wú)線傳輸?shù)陌踩裕畛J褂玫木褪敲艽a技術(shù)。使用算法產(chǎn)生密碼對(duì)明文加密,如des、aes等加密算法,這些技術(shù)提高了信息的安全性,然而其密碼都為算法產(chǎn)生的,遵循算法規(guī)律,因此其密碼都是偽隨機(jī)數(shù),特別是隨著量子計(jì)算機(jī)的發(fā)展,這些密碼技術(shù)都將可以被輕易攻破。量子通信技術(shù)的出現(xiàn)將解決這些問(wèn)題,量子通信技術(shù)使用的密鑰完全隨機(jī),沒(méi)有規(guī)律,是真正意義的真隨機(jī)數(shù),與現(xiàn)有的加密算法不同,量子通信技術(shù)從理論上即被證明是絕對(duì)安全的,信息在傳輸過(guò)程中無(wú)法被解讀,因?yàn)樵诹孔油ㄐ偶夹g(shù)中其使用的密鑰由量子(通常為光子)編碼得到,而量子不可分割、不可復(fù)制,在產(chǎn)生過(guò)程中在物理學(xué)角度上無(wú)法被竊取使用,并且量子通信技術(shù)產(chǎn)生的密鑰完全隨機(jī),無(wú)規(guī)律可循,是真正意義的上的真隨機(jī)數(shù)。同時(shí)配合使用“一次一密”的數(shù)據(jù)加密方法,將保證無(wú)線信息傳輸?shù)臒o(wú)條件安全。
中國(guó)專利授權(quán)公告號(hào)cn104243143b,公開(kāi)了一種基于量子密鑰分配網(wǎng)絡(luò)的移動(dòng)保密通信方法,它包括由集控站構(gòu)成的量子密鑰分配網(wǎng)絡(luò),每個(gè)集控站可與至少一個(gè)終端設(shè)備綁定,采取密文中繼的方法將加密后的信息傳遞到遠(yuǎn)端集控站綁定的終端設(shè)備,但該方法的業(yè)務(wù)密鑰來(lái)源為量子密鑰分配網(wǎng)絡(luò),量子密鑰分配網(wǎng)絡(luò)目前在50km的傳遞距離其最終獲得密鑰速率為13kbps左右,密鑰量無(wú)法支撐足夠的終端設(shè)備的業(yè)務(wù)需求,同時(shí)量子密鑰分配網(wǎng)絡(luò)是在通信業(yè)務(wù)請(qǐng)求發(fā)出后才進(jìn)行業(yè)務(wù)密鑰的分配,難以保障通信的實(shí)時(shí)性。其終端設(shè)備需注冊(cè)入網(wǎng)進(jìn)行綁定,綁定驗(yàn)證信息在終端設(shè)備不改變區(qū)域的情況下固定不變,其安全性難以保障。
技術(shù)實(shí)現(xiàn)要素:
為解決上述技術(shù)問(wèn)題,本發(fā)明提供了一種基于量子真隨機(jī)數(shù)的保密通信方法,可以提供足以支撐更大規(guī)模數(shù)量的終端設(shè)備的通信業(yè)務(wù)需求,并可減少延時(shí),保障通信業(yè)務(wù)的實(shí)時(shí)性。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案如下:一種基于量子真隨機(jī)數(shù)的保密通信方法,其特征在于:保密通信所使用的業(yè)務(wù)需求密鑰由設(shè)置在終端設(shè)備上的量子真隨機(jī)數(shù)發(fā)生器生成。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述保密通信方法具體包括以下步驟:
(1)將多個(gè)終端設(shè)備與量子密鑰服務(wù)端分別通過(guò)唯一的身份識(shí)別密鑰進(jìn)行綁定;
(2)由位于第一終端設(shè)備的量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生業(yè)務(wù)需求密鑰,第一終端設(shè)備通過(guò)綁定用的身份識(shí)別密鑰對(duì)所述業(yè)務(wù)需求密鑰進(jìn)行加密并發(fā)送至量子密鑰服務(wù)端;
(3)所述量子密鑰服務(wù)端接收第一終端設(shè)備發(fā)送的加密后的業(yè)務(wù)需求密鑰,通過(guò)與第一終端設(shè)備綁定用的所述身份識(shí)別密鑰進(jìn)行解密得到所述業(yè)務(wù)需求密鑰,然后再使用與第二終端設(shè)備綁定用的身份識(shí)別密鑰對(duì)所述業(yè)務(wù)需求密鑰進(jìn)行加密后發(fā)送給第二終端設(shè)備;
(4)第二終端設(shè)備接收量子密鑰服務(wù)端發(fā)送的加密后的業(yè)務(wù)需求密鑰,利用綁定用的身份識(shí)別密鑰進(jìn)行解密得到所述業(yè)務(wù)需求密鑰;
(5)第一終端設(shè)備和第二終端設(shè)備通過(guò)所述業(yè)務(wù)需求密鑰進(jìn)行保密通信。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括
步驟(2)中,第一終端設(shè)備通過(guò)身份識(shí)別密鑰對(duì)所述業(yè)務(wù)需求密鑰進(jìn)行加密并發(fā)送至量子密鑰服務(wù)端的同時(shí),利用所述業(yè)務(wù)需求密鑰對(duì)業(yè)務(wù)信息進(jìn)行加密并發(fā)送給所述第二終端設(shè)備。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述量子密鑰服務(wù)端有多個(gè),多個(gè)所述量子密鑰服務(wù)端依次通過(guò)唯一的身份識(shí)別密鑰進(jìn)行綁定,每個(gè)所述量子密鑰服務(wù)端對(duì)解密出來(lái)的所述業(yè)務(wù)需求密鑰使用獨(dú)立的身份識(shí)別密鑰進(jìn)行加密后發(fā)送到下一個(gè)量子密鑰服務(wù)端,下一個(gè)量子密鑰服務(wù)端使用相同的身份識(shí)別密鑰對(duì)接收到的加密后的業(yè)務(wù)需求密鑰進(jìn)行解密,直至最后一個(gè)量子密鑰服務(wù)端,由最后一個(gè)量子密鑰服務(wù)端對(duì)業(yè)務(wù)需求密鑰進(jìn)行加密并發(fā)送給所述第二終端設(shè)備。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述身份識(shí)別密鑰由量子真隨機(jī)數(shù)發(fā)生器生成,生成身份識(shí)別密鑰的所述量子真隨機(jī)數(shù)發(fā)生器設(shè)置于第一終端設(shè)備、第二終端設(shè)備或量子密鑰服務(wù)器上。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括
步驟(3)中,量子密鑰服務(wù)端通過(guò)其與第一終端設(shè)備綁定的身份識(shí)別密鑰來(lái)驗(yàn)證第一終端設(shè)備是否合法,如果合法則開(kāi)始接收第一終端設(shè)備發(fā)送的加密后的業(yè)務(wù)需求密鑰;如果不合法則拒絕業(yè)務(wù)請(qǐng)求。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述終端設(shè)備在同一時(shí)間僅與一個(gè)量子密鑰服務(wù)端綁定,且綁定用的身份識(shí)別密鑰可以更新。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括終端設(shè)備與量子密鑰服務(wù)端之間綁定用的身份識(shí)別密鑰應(yīng)所述終端設(shè)備的請(qǐng)求更新,其更新的方法為:
所述終端設(shè)備向與之建立綁定關(guān)系的量子密鑰服務(wù)端發(fā)起身份識(shí)別密鑰更換請(qǐng)求,在量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生的身份識(shí)別密鑰內(nèi)提取新的身份識(shí)別密鑰kc|p;
所述終端設(shè)備使用舊的身份識(shí)別密鑰kcp對(duì)新的身份識(shí)別密鑰kc|p進(jìn)行加密,獲得密文kcp·kc|p,并發(fā)送密文kcp·kc|p至量子密鑰服務(wù)端;
量子密鑰服務(wù)端驗(yàn)證請(qǐng)求端合法后,通過(guò)舊的身份識(shí)別密鑰kcp對(duì)接收到的密文kcp·kc|p進(jìn)行解密,獲得新的身份識(shí)別密鑰kc|p,并以新的身份識(shí)別密鑰kc|p來(lái)替換舊的身份識(shí)別密鑰kcp。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括終端設(shè)備與量子密鑰服務(wù)端之間綁定用的身份識(shí)別密鑰因所述量子密鑰服務(wù)端的要求更新,其更新方法為:
所述量子密鑰服務(wù)端向與之建立綁定關(guān)系的終端設(shè)備發(fā)出更新身份識(shí)別密鑰的要求,終端設(shè)備在量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生的身份識(shí)別密鑰內(nèi)提取新的身份識(shí)別密鑰kc|p;
所述終端設(shè)備使用舊的身份識(shí)別密鑰kcp對(duì)新的身份識(shí)別密鑰kc|p進(jìn)行加密,獲得密文kcp·kc|p,并發(fā)送密文kcp·kc|p至量子密鑰服務(wù)端;
量子密鑰服務(wù)端驗(yàn)證請(qǐng)求端合法后,通過(guò)舊的身份識(shí)別密鑰kcp對(duì)接收到的密文kcp·kc|p進(jìn)行解密,獲得新的身份識(shí)別密鑰kc|p,并以新的身份識(shí)別密鑰kc|p來(lái)替換舊的身份識(shí)別密鑰kcp。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述量子密鑰服務(wù)端之間綁定用的身份識(shí)別密鑰可應(yīng)量子密鑰服務(wù)端的請(qǐng)求更新,其更新方法為,
發(fā)起更新的量子密鑰服務(wù)端向與之綁定的量子密鑰服務(wù)端發(fā)起更新身份識(shí)別密鑰的請(qǐng)求,并使用舊的身份識(shí)別密鑰kp2p3對(duì)新的身份識(shí)別密鑰kp2|p3進(jìn)行加密獲得密文kp2p3·kp2|p3,并發(fā)送密文kp2p3·kp2|p3至與之綁定的量子密鑰服務(wù)端;
與之綁定的量子密鑰服務(wù)端通過(guò)舊的身份識(shí)別密鑰kp2p3對(duì)接收到的密文kp2p3·kp2|p3進(jìn)行解密,獲得新的身份識(shí)別密鑰kp2|p3,并以新的身份識(shí)別密鑰kp2|p3來(lái)替換舊的身份識(shí)別密鑰kp2p3。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括各量子密鑰服務(wù)端之間綁定用的所述身份識(shí)別密鑰還可以由設(shè)置在所述量子密鑰服務(wù)端上的量子密鑰分配終端分配,量子密鑰分配終端分配所述身份識(shí)別密鑰后通過(guò)量子信道傳遞更新。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括
步驟(3)中,量子密鑰服務(wù)端接收到所述第一終端設(shè)備發(fā)送的業(yè)務(wù)請(qǐng)求后,通過(guò)與第一終端設(shè)備綁定的身份識(shí)別密鑰驗(yàn)證第一終端設(shè)備是否合法,若合法,執(zhí)行解密的操作;若不合法,拒絕執(zhí)行解密操作,并判斷該第一終端設(shè)備是否為地方入侵,若是,則報(bào)警和/或啟動(dòng)安全防護(hù)。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括當(dāng)終端設(shè)備地理位置變化時(shí),終端設(shè)備與舊量子密鑰服務(wù)端解除綁定,并綁定新的量子密鑰服務(wù)端,具體包括:
終端設(shè)備在量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生的身份識(shí)別密鑰內(nèi)提取新的身份識(shí)別密鑰kdpd2,并通過(guò)舊的身份識(shí)別密鑰kdpd1對(duì)新的身份識(shí)別密鑰kdpd2進(jìn)行加密,獲得密文kdpd1·kdpd2;
終端設(shè)備向新的量子密鑰服務(wù)端發(fā)出綁定請(qǐng)求,所述請(qǐng)求中攜帶有所述密文kdpd1·kdpd2;
新的量子密鑰服務(wù)端判斷終端設(shè)備合法后,與舊量子密鑰服務(wù)端進(jìn)行通信,告知舊量子密鑰服務(wù)端終端設(shè)備發(fā)出的綁定請(qǐng)求;
舊量子密鑰服務(wù)端收到新量子密鑰服務(wù)端的告知信息后,通過(guò)與新量子密鑰服務(wù)端綁定的身份識(shí)別密鑰kpd1pd2對(duì)舊的身份識(shí)別密鑰kdpd1進(jìn)行加密,獲得密文kpd1pd2·kdpd1,并將密文kpd1pd2·kdpd1發(fā)送到新量子密鑰服務(wù)端;
新量子密鑰服務(wù)端通過(guò)與舊量子密鑰服務(wù)端綁定的身份識(shí)別密鑰kpd1pd2對(duì)密文kpd1pd2·kdpd1進(jìn)行第一次解密獲得舊的身份識(shí)別密鑰kdpd1;再利用舊的身份識(shí)別密鑰kdpd1對(duì)密文kdpd1·kdpd2進(jìn)行第二次解密獲得新的身份識(shí)別密鑰kdpd2,新量子密鑰服務(wù)端獲得新的身份識(shí)別密鑰kdpd2后與終端設(shè)備建立綁定關(guān)系;
終端設(shè)備與新量子密鑰服務(wù)端建立綁定關(guān)系后,舊量子密鑰服務(wù)端解除與端設(shè)備的綁定關(guān)系。
為達(dá)到上述目的,本發(fā)明的另一技術(shù)方案如下:一種基于量子真隨機(jī)數(shù)的終端設(shè)備保密通信系統(tǒng),包括多個(gè)終端設(shè)備,其特征在于:至少一個(gè)所述終端設(shè)備上設(shè)置有用于產(chǎn)生業(yè)務(wù)需求密鑰的量子真隨機(jī)數(shù)發(fā)生器。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述系統(tǒng)還包括量子密鑰服務(wù)端,終端設(shè)備與量子密鑰服務(wù)端通過(guò)唯一的身份識(shí)別密鑰進(jìn)行綁定,所述終端設(shè)備至少包括第一終端設(shè)備和第二終端設(shè)備,其中:
所述第一終端設(shè)備,其上設(shè)有所述量子真隨機(jī)數(shù)發(fā)生器,所述第一終端設(shè)備用于通過(guò)綁定用的身份識(shí)別密鑰對(duì)所述量子真隨機(jī)數(shù)發(fā)生器生成的業(yè)務(wù)需求密鑰進(jìn)行加密并發(fā)送至量子密鑰服務(wù)端;
所述量子密鑰服務(wù)端,用于接收第一終端設(shè)備發(fā)送的加密后的業(yè)務(wù)需求密鑰,通過(guò)與所述第一終端設(shè)備綁定用的身份識(shí)別密鑰對(duì)加密后的業(yè)務(wù)需求密鑰進(jìn)行解密得到所述業(yè)務(wù)需求密鑰,然后再使用與第二終端設(shè)備綁定用的身份識(shí)別密鑰對(duì)所述業(yè)務(wù)需求密鑰進(jìn)行加密后發(fā)送給第二終端設(shè)備;
所述第二終端設(shè)備,用于接收量子密鑰服務(wù)端發(fā)送的加密后的業(yè)務(wù)需求密鑰,利用綁定用的身份識(shí)別密鑰對(duì)加密后的業(yè)務(wù)需求密鑰進(jìn)行解密得到所述業(yè)務(wù)需求密鑰;
所述第一終端設(shè)備和第二終端設(shè)備通過(guò)所述業(yè)務(wù)需求密鑰進(jìn)行保密通信。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述第一終端設(shè)備還用于在發(fā)送加密后的業(yè)務(wù)需求密鑰給量子密鑰服務(wù)端的同時(shí),通過(guò)所述業(yè)務(wù)需求密鑰對(duì)業(yè)務(wù)信息進(jìn)行加密并發(fā)送給所述第二終端設(shè)備;
所述第二終端設(shè)備,還用于接收第一終端設(shè)備發(fā)送的加密后的業(yè)務(wù)信息,利用解密后的所述業(yè)務(wù)需求密鑰對(duì)加密后的業(yè)務(wù)信息進(jìn)行解密獲得所述業(yè)務(wù)信息。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述量子密鑰服務(wù)端有多個(gè),多個(gè)所述量子密鑰服務(wù)端依次通過(guò)唯一的身份識(shí)別密鑰進(jìn)行綁定,每個(gè)所述量子密鑰服務(wù)端用于對(duì)解密出來(lái)的所述業(yè)務(wù)需求密鑰使用獨(dú)立的身份識(shí)別密鑰進(jìn)行加密后發(fā)送到下一個(gè)量子密鑰服務(wù)端,下一個(gè)量子密鑰服務(wù)端使用相同的身份識(shí)別密鑰對(duì)接收到的加密后的業(yè)務(wù)需求密鑰進(jìn)行解密,直至最后一個(gè)量子密鑰服務(wù)端,由最后一個(gè)量子密鑰服務(wù)端對(duì)業(yè)務(wù)需求密鑰進(jìn)行加密并發(fā)送給所述第二終端設(shè)備。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括第一終端設(shè)備、第二終端設(shè)備或量子密鑰服務(wù)端上設(shè)置有用于產(chǎn)生身份識(shí)別密鑰的量子真隨機(jī)數(shù)發(fā)生器。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述量子密鑰服務(wù)端上設(shè)置有用于產(chǎn)生身份識(shí)別密鑰的量子密鑰分配終端。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述量子密鑰服務(wù)端還用于通過(guò)其與第一終端設(shè)備綁定的身份識(shí)別密鑰來(lái)驗(yàn)證第一終端設(shè)備是否合法,如果合法則開(kāi)始接收第一終端設(shè)備發(fā)送的加密后的業(yè)務(wù)需求密鑰;如果不合法則拒絕業(yè)務(wù)請(qǐng)求。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述終端設(shè)備在同一時(shí)間僅與一個(gè)量子密鑰服務(wù)端綁定,且綁定用的身份識(shí)別密鑰應(yīng)所述終端設(shè)備的請(qǐng)求可以更新、或者因所述量子密鑰服務(wù)端的主動(dòng)要求獲得更新。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括所述終端設(shè)備還用于向與之建立綁定關(guān)系的量子密鑰服務(wù)端發(fā)起身份識(shí)別密鑰更換請(qǐng)求,在量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生的身份識(shí)別密鑰內(nèi)提取新的身份識(shí)別密鑰kc|p;
所述終端設(shè)備還用于使用舊的身份識(shí)別密鑰kcp對(duì)新的身份識(shí)別密鑰kc|p進(jìn)行加密,獲得密文kcp·kc|p,并發(fā)送密文kcp·kc|p至量子密鑰服務(wù)端;
量子密鑰服務(wù)端還用于驗(yàn)證請(qǐng)求端合法后,通過(guò)舊的身份識(shí)別密鑰kcp對(duì)接收到的密文kcp·kc|p進(jìn)行解密,獲得新的身份識(shí)別密鑰kc|p,并以新的身份識(shí)別密鑰kc|p來(lái)替換舊的身份識(shí)別密鑰kcp;
所述終端設(shè)備與量子密鑰服務(wù)端之間綁定的身份識(shí)別密鑰只允許由終端設(shè)備發(fā)出請(qǐng)求而獲得更新。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括
所述量子密鑰服務(wù)端還用于向與之建立綁定關(guān)系的另一量子密鑰服務(wù)端發(fā)起身份識(shí)別密鑰更換請(qǐng)求,并使用舊的身份識(shí)別密鑰kp2p3對(duì)新的身份識(shí)別密鑰kp2|p3進(jìn)行加密獲得密文kp2p3·kp2|p3,并發(fā)送密文kp2p3·kp2|p3至與之綁定的量子密鑰服務(wù)端;
與之綁定的量子密鑰服務(wù)端通過(guò)舊的身份識(shí)別密鑰kp2p3對(duì)接收到的密文kp2p3·kp2|p3進(jìn)行解密,獲得新的身份識(shí)別密鑰kp2|p3,并以新的身份識(shí)別密鑰kp2|p3來(lái)替換舊的身份識(shí)別密鑰kp2p3。
本發(fā)明的一個(gè)較佳實(shí)施例中,進(jìn)一步包括
當(dāng)終端設(shè)備地理位置變化時(shí),終端設(shè)備通過(guò)本地有線連接的方式或無(wú)線連接的方式與舊量子密鑰服務(wù)端解除綁定,并通過(guò)本地有線連接的方式或無(wú)線連接的方式綁定新的量子密鑰服務(wù)端,
終端設(shè)備通過(guò)無(wú)線方式與舊量子密鑰服務(wù)端解除綁定,與新量子密鑰服務(wù)端建立綁定關(guān)系的方法為:
終端設(shè)備向新量子密鑰服務(wù)端發(fā)出綁定請(qǐng)求,在量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生的身份識(shí)別密鑰內(nèi)提取新的身份識(shí)別密鑰kdpd2;
終端設(shè)備通過(guò)舊的身份識(shí)別密鑰kdpd1對(duì)新的身份識(shí)別密鑰kdpd2進(jìn)行加密,獲得密文kdpd1·kdpd2,并將密文kdpd1·kdpd2隨綁定請(qǐng)求一起發(fā)送到新量子密鑰服務(wù)端;
新量子密鑰服務(wù)端判斷終端設(shè)備合法后,與舊量子密鑰服務(wù)端進(jìn)行通信,告知舊量子密鑰服務(wù)端終端設(shè)備發(fā)出的綁定請(qǐng)求;
舊量子密鑰服務(wù)端收到新量子密鑰服務(wù)端的告知信息后,舊量子密鑰服務(wù)端通過(guò)與新量子密鑰服務(wù)端綁定的身份識(shí)別密鑰kpd1pd2對(duì)舊的身份識(shí)別密鑰kdpd1進(jìn)行加密,獲得密文kpd1pd2·kdpd1,并將密文kpd1pd2·kdpd1發(fā)送到新量子密鑰服務(wù)端;
新量子密鑰服務(wù)端通過(guò)與舊量子密鑰服務(wù)端綁定的身份識(shí)別密鑰kpd1pd2對(duì)密文kpd1pd2·kdpd1進(jìn)行第一次解密獲得舊的身份識(shí)別密鑰kdpd1;再利用舊的身份識(shí)別密鑰kdpd1對(duì)密文kdpd1·kdpd2進(jìn)行第二次解密獲得新的身份識(shí)別密鑰kdpd2,新量子密鑰服務(wù)端獲得新的身份識(shí)別密鑰kdpd2后與終端設(shè)備建立綁定關(guān)系;
終端設(shè)備與新量子密鑰服務(wù)端建立綁定關(guān)系后,舊量子密鑰服務(wù)端解除與端設(shè)備的綁定關(guān)系。
本發(fā)明的有益效果是:
其一、相較于現(xiàn)有技術(shù)的密鑰中繼式保密通信方法,本發(fā)明的密鑰中繼式保密通信方法能夠減小業(yè)務(wù)需求密鑰到達(dá)被叫端的滯后延時(shí),提高服務(wù)質(zhì)量:
現(xiàn)有技術(shù)中,由主叫首先發(fā)出通信業(yè)務(wù)請(qǐng)求,隨后由量子密鑰分配網(wǎng)絡(luò)分配業(yè)務(wù)密鑰,再由分配獲得的業(yè)務(wù)密鑰對(duì)業(yè)務(wù)信息(此處的業(yè)務(wù)信息為明文信息,比如短信、語(yǔ)音等)進(jìn)行加密,加密后的業(yè)務(wù)信息通過(guò)原有的鏈路發(fā)送到被叫端,也就是業(yè)務(wù)密鑰的傳遞滯后于通信業(yè)務(wù)請(qǐng)求發(fā)出的時(shí)間;
本發(fā)明的技術(shù)中,由終端設(shè)備自帶的量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生業(yè)務(wù)需求密鑰,(也就是現(xiàn)有技術(shù)中的業(yè)務(wù)密鑰),主叫端通信業(yè)務(wù)請(qǐng)求發(fā)出的同時(shí)開(kāi)始業(yè)務(wù)需求密鑰的傳遞,由此來(lái)減小業(yè)務(wù)需求密鑰到達(dá)被叫端的延時(shí),提高服務(wù)質(zhì)量。
其二、相較于現(xiàn)有技術(shù)的密鑰中繼式保密通信,本發(fā)明的密鑰中繼式保密通信方法能夠滿足更多終端設(shè)備的更多業(yè)務(wù)需求:
現(xiàn)有技術(shù)中,業(yè)務(wù)密鑰的獲取來(lái)源于量子密鑰分配網(wǎng)絡(luò)的分配,由于光子衰減,量子密鑰分配網(wǎng)絡(luò)經(jīng)過(guò)50km的傳遞距離后最終獲得業(yè)務(wù)密鑰的速率為13kbps左右,業(yè)務(wù)密鑰量無(wú)法支撐足夠的終端設(shè)備業(yè)務(wù)需求。
本發(fā)明的技術(shù)中,由終端設(shè)備自帶的量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生業(yè)務(wù)需求密鑰(也就是現(xiàn)有技術(shù)中的業(yè)務(wù)密鑰),其可用業(yè)務(wù)需求密鑰的密鑰量不低于3mbps,提高了兩百多倍,足以支撐更多終端設(shè)備的更多業(yè)務(wù)需求。
其三、相較于現(xiàn)有技術(shù)的密鑰中繼式保密通信,本發(fā)明的密鑰中繼式保密同行方法能夠極大的提高安全等級(jí):
現(xiàn)有技術(shù)中,終端設(shè)備注冊(cè)入網(wǎng)進(jìn)行綁定,綁定驗(yàn)證信息后在終端設(shè)備不改變區(qū)域的情況下其量子身份號(hào)固定不變,通信安全性難以保障。
本發(fā)明的技術(shù)中,終端設(shè)備與量子密鑰服務(wù)端之間建立綁定關(guān)系后共享的身份識(shí)別密鑰(也就是現(xiàn)有技術(shù)中的量子身份號(hào))、以及各量子密鑰服務(wù)端之間通信的身份識(shí)別密鑰均能夠應(yīng)請(qǐng)求而隨時(shí)更新,不會(huì)長(zhǎng)時(shí)間使用同一身份識(shí)別密鑰,極大的提高安全等級(jí)。
其四、擴(kuò)展了量子保密網(wǎng)絡(luò)的業(yè)務(wù)適用范圍,且實(shí)施容易,改造成本低,施工周期短:
本發(fā)明技術(shù)中,在主叫終端設(shè)備-量子密鑰服務(wù)網(wǎng)絡(luò)-被叫終端設(shè)備中傳遞的是加密后的業(yè)務(wù)需求密鑰,并非是加密后的業(yè)務(wù)信息,加密后的業(yè)務(wù)信息加仍然通過(guò)具體業(yè)務(wù)原有的數(shù)據(jù)鏈路進(jìn)行傳遞,與業(yè)務(wù)需求密鑰通過(guò)不同的路徑到達(dá)被叫終端設(shè)備,業(yè)務(wù)信息的加解密只在終端設(shè)備處進(jìn)行一次,這種通信方式可以更好地與現(xiàn)有通信業(yè)務(wù)相兼容,無(wú)需對(duì)原有移動(dòng)通信業(yè)務(wù)的數(shù)據(jù)流傳輸路徑做出改變,只是將其與新增的量子密鑰服務(wù)網(wǎng)絡(luò)相連通就可以了,擴(kuò)展了量子保密網(wǎng)絡(luò)的業(yè)務(wù)使用范圍,具有改造成本低,施工周期短的特點(diǎn)。
附圖說(shuō)明
為了更清楚地說(shuō)明本發(fā)明實(shí)施例技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1是現(xiàn)有技術(shù)中密鑰中繼式移動(dòng)保密通信示意圖;
圖2是本發(fā)明技術(shù)中密鑰中繼式移動(dòng)保密通信示意圖;
圖3是本發(fā)明技術(shù)中密文的傳遞示意圖;
圖4是本發(fā)明整體流程圖;
圖5是本發(fā)明終端設(shè)備與建立綁定關(guān)系的量子密鑰服務(wù)端之間更新量子身份識(shí)別碼的示意圖;
圖6是本發(fā)明技術(shù)中量子密鑰服務(wù)端之間更新量子身份識(shí)別碼的示意圖;
圖7是本發(fā)明技術(shù)中終端設(shè)備切換綁定量子密鑰服務(wù)端的示意圖;
圖8是本發(fā)明技術(shù)中終端設(shè)備的結(jié)構(gòu)框圖。
具體實(shí)施方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
實(shí)施例一
本實(shí)施例提供一種基于量子真隨機(jī)數(shù)的保密通信方法,實(shí)現(xiàn)終端設(shè)備之間的保密通信,本保密通信方法中所使用的業(yè)務(wù)需求密鑰由設(shè)置在終端設(shè)備上的量子真隨機(jī)數(shù)發(fā)生器生成。
本實(shí)施例中基于量子真隨機(jī)數(shù)進(jìn)行保密通信所涉及的主要硬件設(shè)備包括:
①-終端設(shè)備
終端設(shè)備可以是智能手機(jī)、平板電腦、筆記本電腦、pda(個(gè)人數(shù)字化助理)等移動(dòng)終端,或者是機(jī)頂盒、pc等其他終端設(shè)備,它是通信業(yè)務(wù)的發(fā)起方和接收方。
終端設(shè)備內(nèi)部配置有量子真隨機(jī)數(shù)發(fā)生器、存儲(chǔ)設(shè)備、支持網(wǎng)絡(luò)訪問(wèn)能力的硬件模塊、具備與量子密鑰服務(wù)端進(jìn)行信息交互的能力、具備有計(jì)算能力的處理器。
②-量子密鑰服務(wù)端
一個(gè)或多個(gè)量子密鑰服務(wù)端形成量子密鑰服務(wù)網(wǎng)絡(luò),一個(gè)量子密鑰服務(wù)端可以與一個(gè)或多個(gè)終端設(shè)備建立綁定關(guān)系,并與建立綁定關(guān)系的終端設(shè)備共享身份識(shí)別密鑰。
量子密鑰服務(wù)端配置有量子真隨機(jī)數(shù)發(fā)生器,通過(guò)自帶的量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生與量子密鑰服務(wù)網(wǎng)絡(luò)內(nèi)其它量子密鑰服務(wù)端進(jìn)行通信所使用的身份識(shí)別密鑰,綁定相同身份識(shí)別密鑰的兩量子密鑰服務(wù)端之間傳遞業(yè)務(wù)需求密鑰。
如圖8所示,終端設(shè)備內(nèi)部的具體組成結(jié)構(gòu)如下:
終端設(shè)備內(nèi)部具有量子真隨機(jī)數(shù)發(fā)生器、密鑰存儲(chǔ)模塊、發(fā)起業(yè)務(wù)信息存儲(chǔ)模塊、加密模塊、身份識(shí)別碼存儲(chǔ)模塊、通信模塊、解密模塊和需求密鑰存儲(chǔ)模塊,
通信請(qǐng)求發(fā)出后,本次通信的業(yè)務(wù)信息存儲(chǔ)在上述發(fā)起業(yè)務(wù)信息存儲(chǔ)模塊內(nèi);
終端設(shè)備內(nèi)部的量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生與業(yè)務(wù)信息等長(zhǎng)的密鑰,密鑰產(chǎn)生后存儲(chǔ)在上述密鑰存儲(chǔ)模塊內(nèi);
從密鑰存儲(chǔ)模塊內(nèi)提取密鑰作為身份識(shí)別密鑰存儲(chǔ)在身份識(shí)別碼存儲(chǔ)模塊內(nèi);
終端設(shè)備與量子密鑰服務(wù)端建立綁定關(guān)系時(shí),從身份識(shí)別碼存儲(chǔ)模塊內(nèi)提取身份識(shí)別密鑰,作為與建立綁定關(guān)系的量子密鑰服務(wù)端之間共享的量子身份識(shí)別碼;
通信業(yè)務(wù)發(fā)起時(shí),從密鑰存儲(chǔ)模塊內(nèi)提取密鑰作為業(yè)務(wù)需求密鑰;
上述加密模塊使用綁定的身份識(shí)別密鑰對(duì)業(yè)務(wù)需求密鑰進(jìn)行加密獲得需求密鑰密文,與此同時(shí)加密模塊使用業(yè)務(wù)需求密鑰對(duì)本次通信的業(yè)務(wù)信息進(jìn)行加密獲得業(yè)務(wù)信息密文;
上述通信模塊發(fā)送主叫的需求密鑰密文和業(yè)務(wù)信息密文,同時(shí)接收被叫的需求密鑰密文和業(yè)務(wù)信息密文;
上述解密模塊使用綁定用的身份識(shí)別密鑰對(duì)需求密鑰密文進(jìn)行解密獲得業(yè)務(wù)需求密鑰,與此同時(shí)使用解密后的業(yè)務(wù)需求密鑰對(duì)業(yè)務(wù)信息密文進(jìn)行解密獲得業(yè)務(wù)信息;
解密模塊解密獲得的業(yè)務(wù)需求密鑰存儲(chǔ)在上述需求密鑰存儲(chǔ)模塊內(nèi)。
本發(fā)明技術(shù)方案中涉及到的密鑰有三種:
①、量子密鑰服務(wù)端之間綁定用的身份識(shí)別密鑰,可以由量子密鑰服務(wù)端的量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生,也可以由量子密鑰服務(wù)端的量子密鑰分配終端產(chǎn)生,產(chǎn)生后由qkd系統(tǒng)傳遞。
②、量子密鑰服務(wù)端與終端設(shè)備之間綁定后共享的身份識(shí)別密鑰,它由終端設(shè)備自帶的量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生,密鑰產(chǎn)生后存儲(chǔ)在密鑰存儲(chǔ)模塊內(nèi),建立綁定關(guān)系時(shí)從密鑰存儲(chǔ)模塊內(nèi)提取身份識(shí)別密鑰,建立綁定關(guān)系的量子密鑰服務(wù)端備份這一身份識(shí)別密鑰,共享使用;
③、每次通信時(shí)需要的業(yè)務(wù)需求密鑰,它由終端設(shè)備自帶的量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生,密鑰產(chǎn)生后存儲(chǔ)在密鑰存儲(chǔ)模塊內(nèi),通信業(yè)務(wù)發(fā)起時(shí)從密鑰存儲(chǔ)模塊內(nèi)提取密鑰作為本次通信的業(yè)務(wù)需求密鑰,“一次一密”,使用完畢后,或者沒(méi)有使用完畢但是本次通信已經(jīng)結(jié)束,當(dāng)前的業(yè)務(wù)需求密鑰都將被丟棄。
本發(fā)明技術(shù)方案中,各硬件設(shè)備之間存在多種連接信道:
①、各量子密鑰服務(wù)端之間,同時(shí)存在著量子網(wǎng)絡(luò)的經(jīng)典信道和量子信道,經(jīng)典信道以有線或無(wú)線的形式存在,量子信道可以是光纖信道、自由空間中的量子信道等。
量子信道用于各量子密鑰服務(wù)端之間基于bb84協(xié)議傳遞共享的身份識(shí)別密鑰,經(jīng)典信道用于傳輸加密后的業(yè)務(wù)需求密鑰。
②、終端設(shè)備和量子密鑰服務(wù)端之間,建立綁定關(guān)系時(shí),兩者之間通過(guò)可靠的有線連接方式連接,建立綁定關(guān)系,量子密鑰服務(wù)端備份終端設(shè)備的身份識(shí)別密鑰,共享身份識(shí)別密鑰;建立綁定關(guān)系后,斷開(kāi)有線連接,終端設(shè)備成為自由移動(dòng)狀態(tài),此時(shí)兩者之間通過(guò)經(jīng)典網(wǎng)絡(luò)傳輸,主要使用經(jīng)典無(wú)線網(wǎng)絡(luò)技術(shù)傳輸,例如wi-fi技術(shù)或3g、4g技術(shù)等。
③、加密后的業(yè)務(wù)信息在兩臺(tái)終端設(shè)備間仍然采用該業(yè)務(wù)的原有數(shù)據(jù)鏈路傳輸,其數(shù)據(jù)流仍然走的是電信運(yùn)營(yíng)商原有的數(shù)據(jù)鏈路,只不過(guò)其中的業(yè)務(wù)信息被加密了而已。
本發(fā)明技術(shù)的密鑰中繼式移動(dòng)保密通信與現(xiàn)有技術(shù)的密鑰中繼式移動(dòng)保密通信不同,以主叫終端設(shè)備向被叫終端設(shè)備發(fā)送信息為例,現(xiàn)有技術(shù)中,如圖1所示,由主叫端首先發(fā)出通信業(yè)務(wù)請(qǐng)求,隨后由量子密鑰分配網(wǎng)絡(luò)分配業(yè)務(wù)密鑰,再由分配獲得的業(yè)務(wù)密鑰對(duì)業(yè)務(wù)信息(此處的業(yè)務(wù)信息為短信的明文信息)進(jìn)行加密,加密后的業(yè)務(wù)信息通過(guò)原有的鏈路發(fā)送到被叫端,也就是業(yè)務(wù)密鑰的傳遞滯后于通信業(yè)務(wù)請(qǐng)求發(fā)出的時(shí)間;
本發(fā)明技術(shù)中,如圖2所示,由終端設(shè)備自帶的量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生密鑰,獲得業(yè)務(wù)需求密鑰(也就是現(xiàn)有技術(shù)中的業(yè)務(wù)密鑰),主叫端通信業(yè)務(wù)請(qǐng)求發(fā)出的同時(shí)開(kāi)始業(yè)務(wù)需求密鑰的傳遞,也就是業(yè)務(wù)需求密鑰的傳遞與通信業(yè)務(wù)請(qǐng)求的發(fā)出同時(shí)進(jìn)行。
下面以兩臺(tái)終端設(shè)備之間使用本發(fā)明技術(shù)方案完成一次保密通信的過(guò)程為例,來(lái)詳細(xì)說(shuō)明本發(fā)明的具體實(shí)施方案,其密文傳遞過(guò)程如圖3所示,其整體流程圖如圖4所示。
通信業(yè)務(wù)發(fā)起之前,終端設(shè)備與所在區(qū)域的量子密鑰服務(wù)端建立綁定關(guān)系,本發(fā)明技術(shù)方案中,終端設(shè)備與量子密鑰服務(wù)端之間的“綁定關(guān)系”為:
①、注冊(cè)入網(wǎng)的終端設(shè)備在整個(gè)量子密鑰服務(wù)網(wǎng)絡(luò)中擁有唯一的綁定用身份識(shí)別密鑰;
②、終端設(shè)備唯一持有的身份識(shí)別密鑰應(yīng)請(qǐng)求能夠更新;
③、一臺(tái)終端設(shè)備在同一個(gè)時(shí)間段內(nèi)不能與多個(gè)量子密鑰服務(wù)端綁定;
④、一個(gè)量子密鑰服務(wù)端在同一個(gè)時(shí)間段內(nèi)允許綁定零個(gè)、一個(gè)或多個(gè)終端設(shè)備;
⑤、具有綁定關(guān)系的終端設(shè)備和量子密鑰服務(wù)端之間共享唯一的身份識(shí)別密鑰。
通信業(yè)務(wù)發(fā)起時(shí)
(1)第一步、主叫終端設(shè)備發(fā)起通信業(yè)務(wù)請(qǐng)求:
主叫終端設(shè)備提取本次通信的業(yè)務(wù)需求密鑰,獲得業(yè)務(wù)需求密鑰后,一方面通過(guò)綁定用的身份識(shí)別密鑰對(duì)業(yè)務(wù)需求密鑰進(jìn)行加密獲得需求密鑰密文,并將需求密鑰密文發(fā)送到量子密鑰服務(wù)端p1;另一方面利用獲得的業(yè)務(wù)需求密鑰對(duì)本次通信的業(yè)務(wù)信息(此處為通信的明文信息)進(jìn)行加密,獲得業(yè)務(wù)信息密文,獲得的業(yè)務(wù)信息密文通過(guò)該業(yè)務(wù)原有的數(shù)據(jù)鏈路傳遞至被叫終端設(shè)備,獲得的需求密鑰密文通過(guò)量子密鑰服務(wù)端傳遞至被叫終端設(shè)備;此處獲得需求密鑰密文和獲得業(yè)務(wù)信息密文同時(shí)進(jìn)行,此處需求密鑰密文和業(yè)務(wù)信息密文兩者均在通信業(yè)務(wù)請(qǐng)求發(fā)出的第一時(shí)間同時(shí)發(fā)出。
(2)第二步、量子密鑰服務(wù)端傳遞需求密鑰密文(即加密后的業(yè)務(wù)需求密鑰):
量子密鑰服務(wù)端通過(guò)其與主叫終端設(shè)備綁定的身份識(shí)別密鑰來(lái)驗(yàn)證主叫終端設(shè)備是否合法,如果合法則接收主叫終端設(shè)備發(fā)送的需求密鑰密文,通過(guò)與主叫終端設(shè)備綁定用的身份識(shí)別密鑰對(duì)接收的需求密鑰密文進(jìn)行解密得到業(yè)務(wù)需求密鑰,然后再使用與被叫終端設(shè)備綁定用的身份識(shí)別密鑰對(duì)業(yè)務(wù)需求密鑰進(jìn)行加密后發(fā)送給被叫終端設(shè)備。
另一方面,如果量子密鑰服務(wù)端驗(yàn)證主叫終端設(shè)備不合法,則拒絕業(yè)務(wù)請(qǐng)求,并判斷該主叫終端設(shè)備是否為地方入侵,如果是地方入侵,則報(bào)警和/或啟動(dòng)安全防護(hù);如果判斷不是地方入侵,則二次進(jìn)入身份識(shí)別密鑰驗(yàn)證。
(3)第三步、被叫終端設(shè)備接收請(qǐng)求:
被叫終端設(shè)備接收量子密鑰服務(wù)端發(fā)送的需求密鑰密文(即加密后的業(yè)務(wù)需求密鑰)和主叫終端設(shè)備發(fā)送的業(yè)務(wù)信息密文(即加密后的業(yè)務(wù)信息),使用與量子密鑰服務(wù)端綁定用的身份識(shí)別密鑰解密需求密鑰密文,得到本次通信的業(yè)務(wù)需求密鑰,然后使用解密獲得的業(yè)務(wù)需求密鑰對(duì)業(yè)務(wù)信息密文進(jìn)行解密,得到本次通信的業(yè)務(wù)信息;由此,主叫終端設(shè)備和被叫終端設(shè)備完成一次保密通信。
此次通信過(guò)程中,參與本次通信的業(yè)務(wù)信息密文,通過(guò)該類通信業(yè)務(wù)原有的數(shù)據(jù)鏈路進(jìn)行保密通信,參與本次通信的需求密鑰密文(即加密后的業(yè)務(wù)需求密鑰)通過(guò)量子密鑰服務(wù)端傳輸,本次通信業(yè)務(wù)的需求密鑰密文與通信請(qǐng)求同步發(fā)出,通信請(qǐng)求發(fā)出的同時(shí)進(jìn)行需求密鑰密文的傳遞。
本發(fā)明的另一技術(shù)方案中,量子密鑰服務(wù)端具有多個(gè),多個(gè)量子密鑰服務(wù)端依次通過(guò)唯一的身份識(shí)別密鑰進(jìn)行綁定,每個(gè)量子密鑰服務(wù)端對(duì)解密出來(lái)的業(yè)務(wù)需求密鑰使用獨(dú)立的身份識(shí)別密鑰進(jìn)行加密后發(fā)送到下一個(gè)量子密鑰服務(wù)端,下一個(gè)量子密鑰服務(wù)端使用相同的身份識(shí)別密鑰對(duì)接收到的加密后的業(yè)務(wù)需求密鑰進(jìn)行解密;直至傳遞到最后一個(gè)量子密鑰服務(wù)端,由最后一個(gè)量子密鑰服務(wù)端對(duì)業(yè)務(wù)需求密鑰進(jìn)行加密并發(fā)送給被叫終端設(shè)備。
如圖3所示,多個(gè)量子密鑰服務(wù)端傳遞業(yè)務(wù)需求密鑰的具體過(guò)程詳述如下:
主叫終端設(shè)備a通過(guò)與第一個(gè)量子密鑰服務(wù)端p1共享的身份識(shí)別密鑰kap1對(duì)本次通信的業(yè)務(wù)需求密鑰kx進(jìn)行加密獲得需求密鑰密文kap1·kx發(fā)送給第一個(gè)量子密鑰服務(wù)端p1;
s1:第一個(gè)量子密鑰服務(wù)端p1接收主叫終端設(shè)備a發(fā)送的需求密鑰密文kap1·kx,然后通過(guò)與主叫終端設(shè)備a共享的身份識(shí)別密鑰kap1對(duì)需求密鑰密文kap1·kx進(jìn)行解密獲得業(yè)務(wù)需求密鑰kx;
s2:第一個(gè)量子密鑰服務(wù)端p1通過(guò)與第二個(gè)量子密鑰服務(wù)端p2共享的量子身份識(shí)別密鑰kp1p2對(duì)解密獲得的業(yè)務(wù)需求密鑰kx進(jìn)行加密獲得需求密鑰密文kp1p2·kx發(fā)送給第二個(gè)量子密鑰服務(wù)端p2;
s3:第二個(gè)量子密鑰服務(wù)端p2重復(fù)以上步驟s1、s2中的解密、加密方法對(duì)本次通信的需求密鑰密文一級(jí)一級(jí)的進(jìn)行傳遞,直至傳輸至最后一個(gè)量子密鑰服務(wù)端pn。
本發(fā)明的技術(shù)中,終端設(shè)備與量子密鑰服務(wù)端之間建立綁定關(guān)系后共享的身份識(shí)別碼密鑰、以及各量子密鑰服務(wù)端之間通信的身份識(shí)別碼密鑰均能夠隨時(shí)更新,不會(huì)長(zhǎng)時(shí)間使用同一各身份識(shí)別碼密鑰,能夠極大的提高安全等級(jí),其更新的方法如下:
(1)、如圖5所示,終端設(shè)備唯一持有的身份識(shí)別碼密鑰應(yīng)請(qǐng)求更新的方法為:
①、終端設(shè)備c向與之建立綁定關(guān)系的量子密鑰服務(wù)端p發(fā)起身份識(shí)別密鑰更換請(qǐng)求,或者量子密鑰服務(wù)端p向與之建立綁定關(guān)系的終端設(shè)備c發(fā)起更換身份識(shí)別密鑰的要求;
②、在量子真隨機(jī)發(fā)生器產(chǎn)生的身份識(shí)別密鑰內(nèi)提取新的身份識(shí)別密鑰kc|p;
③、終端設(shè)備c使用舊的身份識(shí)別密鑰kcp對(duì)新的身份識(shí)別密鑰kc|p進(jìn)行加密,獲得密文kcp·kc|p,并傳遞密文kcp·kc|p至量子密鑰服務(wù)端p;
④、量子密鑰服務(wù)端p驗(yàn)證請(qǐng)求端合法后,通過(guò)舊的身份識(shí)別密鑰kcp對(duì)密文kcp·kc|p進(jìn)行解密,獲得新的身份識(shí)別密鑰kc|p,以新的身份識(shí)別密鑰kc|p來(lái)替換舊的身份識(shí)別密鑰kcp。
(2)、如圖6所示,各量子密鑰服務(wù)端之間的身份識(shí)別密鑰能夠更新,且具有兩種更新方法,第一種更新方法是基于量子網(wǎng)絡(luò)的經(jīng)典信道更新,第二種更新方法是基于量子網(wǎng)絡(luò)的量子信道更新,具體更新方法為:
(1)第一種更新方法:
①、量子密鑰服務(wù)端p2向與之綁定的量子密鑰服務(wù)端p3發(fā)出更換身份識(shí)別密鑰的請(qǐng)求,并使用舊的身份識(shí)別密鑰kp2p3對(duì)新的身份識(shí)別密鑰kp2|p3進(jìn)行加密,獲得密文kp2p3·kp2|p3,并傳遞密文kp2p3·kp2|p3至量子密鑰服務(wù)端p3;
②、量子密鑰服務(wù)端p3通過(guò)舊的身份識(shí)別密鑰kp2p3對(duì)密文kp2p3·kp2|p3進(jìn)行解密,獲得新的身份識(shí)別密鑰kp2|p3,以新的身份識(shí)別密鑰kp2|p3來(lái)替換舊的身份識(shí)別密鑰kp2p3。
此處,各量子密鑰服務(wù)端均可以作為請(qǐng)求更換身份識(shí)別密鑰的請(qǐng)求發(fā)出方,也均可以作為請(qǐng)求接收方。
(2)第二種更新方法:
由設(shè)置在量子密鑰服務(wù)端上的量子密鑰分配終端分配身份識(shí)別密鑰,身份識(shí)別密鑰分配后通過(guò)量子信道基于bb84協(xié)議傳遞更新。
當(dāng)終端設(shè)備地理位置變化時(shí),終端設(shè)備優(yōu)選采用可靠的有線連接方式先與舊量子密鑰服務(wù)端解除綁定關(guān)系,然后再采用可靠的有線連接方式與新的量子密鑰服務(wù)端建立綁定關(guān)系,終端設(shè)備與新的量子密鑰服務(wù)端建立綁定關(guān)系后斷開(kāi)有線連接,恢復(fù)可自由移動(dòng)的狀態(tài)。
作為本發(fā)明的進(jìn)一步方案,當(dāng)終端設(shè)備地理位置變化時(shí),終端設(shè)備還可以采用無(wú)線連接的方式切換與之綁定的量子密鑰服務(wù)端,如圖7所示,其具體實(shí)現(xiàn)方法為:
此處以終端設(shè)備d、舊量子密鑰服務(wù)端pd1、新量子密鑰服務(wù)端pd2為例進(jìn)行說(shuō)明:
終端設(shè)備d與舊量子密鑰服務(wù)端pd1共享量子身份識(shí)別碼kdpd1;
舊量子密鑰服務(wù)端pd1和新量子密鑰服務(wù)端pd2之間共享量子身份識(shí)別碼kpd1pd2。
s1:終端設(shè)備d向新量子密鑰服務(wù)端pd2發(fā)出綁定請(qǐng)求,在量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生的身份識(shí)別密鑰內(nèi)提取新的身份識(shí)別密鑰kdpd2;
終端設(shè)備通過(guò)舊的身份識(shí)別密鑰kdpd1對(duì)新的身份識(shí)別密鑰kdpd2進(jìn)行加密,獲得密文kdpd1·kdpd2,并將密文kdpd1·kdpd2隨綁定請(qǐng)求一起發(fā)送到新量子密鑰服務(wù)端;
s2:新量子密鑰服務(wù)端pd2判斷終端設(shè)備合法后,與舊量子密鑰服務(wù)端pd1進(jìn)行通信,告知舊量子密鑰服務(wù)端pd1終端設(shè)備發(fā)出的綁定請(qǐng)求;
s3:舊量子密鑰服務(wù)端pd1收到新量子密鑰服務(wù)端pd2的告知信息后,舊量子密鑰服務(wù)端pd1通過(guò)與新量子密鑰服務(wù)端pd2綁定的身份識(shí)別密鑰kpd1pd2對(duì)舊的身份識(shí)別密鑰kdpd1進(jìn)行加密,獲得密文kpd1pd2·kdpd1,并將密文kpd1pd2·kdpd1發(fā)送到新量子密鑰服務(wù)端pd2;
s4:新量子密鑰服務(wù)端pd2通過(guò)與舊量子密鑰服務(wù)端pd1綁定的身份識(shí)別密鑰kpd1pd2對(duì)密文kpd1pd2·kdpd1進(jìn)行第一次解密獲得舊的身份識(shí)別密鑰kdpd1;再利用舊的身份識(shí)別密鑰kdpd1對(duì)密文kdpd1·kdpd2進(jìn)行第二次解密獲得新的身份識(shí)別密鑰kdpd2,新量子密鑰服務(wù)端pd2獲得新的身份識(shí)別密鑰kdpd2后與終端設(shè)備d建立綁定關(guān)系;
終端設(shè)備d與新量子密鑰服務(wù)端pd2建立綁定關(guān)系后,舊量子密鑰服務(wù)端pd1解除與端設(shè)備d的綁定關(guān)系,舊的量子身份識(shí)別碼kdpd1被丟棄不再使用。
此處終端設(shè)備切換與之建立綁定關(guān)系的量子密鑰服務(wù)端的請(qǐng)求只允許由終端設(shè)備發(fā)出請(qǐng)求而獲得更換。
實(shí)施例二
本實(shí)施例提供一種基于量子真隨機(jī)數(shù)的保密通信系統(tǒng),本保密通信系統(tǒng)包括量子密鑰服務(wù)端和多個(gè)終端設(shè)備。
其中,終端設(shè)備可以是智能手機(jī)、平板電腦、機(jī)頂盒、筆記本電腦、pad或其他終端設(shè)備,它是通信業(yè)務(wù)的發(fā)起方和接收方,終端設(shè)備內(nèi)部配置有存儲(chǔ)設(shè)備、支持網(wǎng)絡(luò)訪問(wèn)能力的硬件模塊、具備與量子密鑰服務(wù)端進(jìn)行信息交互的能力、具備有計(jì)算能力的處理器、和用于產(chǎn)生身份識(shí)別密鑰的量子真隨機(jī)數(shù)發(fā)生器。其中至少一個(gè)終端設(shè)備上配置有用于產(chǎn)生業(yè)務(wù)需求密鑰的量子真隨機(jī)數(shù)發(fā)生器。
當(dāng)然,終端設(shè)備上可以配置一個(gè)量子真隨機(jī)數(shù)發(fā)生器來(lái)同時(shí)產(chǎn)生身份識(shí)別密鑰和業(yè)務(wù)需求密鑰,也可以配置兩個(gè)量子真隨機(jī)數(shù)發(fā)生器,分別用來(lái)產(chǎn)生身份識(shí)別密鑰和業(yè)務(wù)需求密鑰。
一個(gè)或多個(gè)量子密鑰服務(wù)端形成量子密鑰服務(wù)網(wǎng)絡(luò),量子密鑰服務(wù)端配置有用于產(chǎn)生身份識(shí)別密鑰的量子真隨機(jī)數(shù)發(fā)生器和/或量子密鑰分配終端,一個(gè)量子密鑰服務(wù)端可以與一個(gè)或多個(gè)終端設(shè)備建立綁定關(guān)系,并與建立綁定關(guān)系的終端設(shè)備共享身份識(shí)別密鑰。
本發(fā)明技術(shù)方案中,保密通信系統(tǒng)的終端設(shè)備至少包括第一終端設(shè)備和第二終端設(shè)備,其中:
上述第一終端設(shè)備上設(shè)有量子真隨機(jī)數(shù)發(fā)生器,第一終端設(shè)備用于通過(guò)綁定用的身份識(shí)別密鑰對(duì)量子真隨機(jī)數(shù)發(fā)生器生成的業(yè)務(wù)需求密鑰進(jìn)行加密并發(fā)送至量子密鑰服務(wù)端,第一終端設(shè)備發(fā)送加密后的業(yè)務(wù)需求密鑰給量子密鑰服務(wù)端的同時(shí),通過(guò)上述業(yè)務(wù)需求密鑰對(duì)業(yè)務(wù)信息進(jìn)行加密并發(fā)送給第二終端設(shè)備;
上述量子密鑰服務(wù)端用于接收第一終端設(shè)備發(fā)送的加密后的業(yè)務(wù)需求密鑰通過(guò)與第一終端設(shè)備綁定用的身份識(shí)別密鑰對(duì)加密后的業(yè)務(wù)需求密鑰進(jìn)行解密得到上述業(yè)務(wù)需求密鑰,然后再使用與第二終端設(shè)備綁定用的身份識(shí)別密鑰對(duì)上述業(yè)務(wù)需求密鑰進(jìn)行加密后發(fā)送給第二終端設(shè)備;
上述第二終端設(shè)備用于接收量子密鑰服務(wù)端發(fā)送的加密后的業(yè)務(wù)需求密鑰和用于接收第一終端設(shè)備發(fā)送的加密后的業(yè)務(wù)信心,通過(guò)與上述量子密鑰服務(wù)端綁定用的身份識(shí)別密鑰對(duì)加密后的業(yè)務(wù)需求密鑰進(jìn)行解密得到上述業(yè)務(wù)需求密鑰,利用解密后的所述業(yè)務(wù)需求密鑰對(duì)加密后的業(yè)務(wù)信息進(jìn)行解密獲得所述業(yè)務(wù)信息。
上述第一終端設(shè)備和第二終端設(shè)備通過(guò)上述業(yè)務(wù)需求密鑰進(jìn)行保密通信。
本實(shí)施例的技術(shù)方案中,如圖8所示,終端設(shè)備優(yōu)選的內(nèi)部結(jié)構(gòu)如下:
終端設(shè)備內(nèi)部具有量子真隨機(jī)數(shù)發(fā)生器、密鑰存儲(chǔ)模塊、發(fā)起業(yè)務(wù)信息存儲(chǔ)模塊、加密模塊、身份識(shí)別碼存儲(chǔ)模塊、通信模塊、解密模塊和需求密鑰存儲(chǔ)模塊,
通信請(qǐng)求發(fā)出后,本次通信的業(yè)務(wù)信息存儲(chǔ)在上述發(fā)起業(yè)務(wù)信息存儲(chǔ)模塊內(nèi);
終端設(shè)備內(nèi)部的量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生與業(yè)務(wù)信息等長(zhǎng)的密鑰,密鑰產(chǎn)生后存儲(chǔ)在上述密鑰存儲(chǔ)模塊內(nèi);
從密鑰存儲(chǔ)模塊內(nèi)提取密鑰作為身份識(shí)別密鑰存儲(chǔ)在身份識(shí)別碼存儲(chǔ)模塊內(nèi);
終端設(shè)備與量子密鑰服務(wù)端建立綁定關(guān)系時(shí),從身份識(shí)別碼存儲(chǔ)模塊內(nèi)提取身份識(shí)別密鑰,作為與建立綁定關(guān)系的量子密鑰服務(wù)端之間共享的量子身份識(shí)別碼;
通信業(yè)務(wù)發(fā)起時(shí),從密鑰存儲(chǔ)模塊內(nèi)提取密鑰作為業(yè)務(wù)需求密鑰;
上述加密模塊使用綁定的身份識(shí)別密鑰對(duì)業(yè)務(wù)需求密鑰進(jìn)行加密獲得需求密鑰密文,與此同時(shí)加密模塊使用業(yè)務(wù)需求密鑰對(duì)本次通信的業(yè)務(wù)信息進(jìn)行加密獲得業(yè)務(wù)信息密文;
上述通信模塊發(fā)送主叫的需求密鑰密文和業(yè)務(wù)信息密文,同時(shí)接收被叫的需求密鑰密文和業(yè)務(wù)信息密文;
上述解密模塊使用綁定用的身份識(shí)別密鑰對(duì)需求密鑰密文進(jìn)行解密獲得業(yè)務(wù)需求密鑰,與此同時(shí)使用解密后的業(yè)務(wù)需求密鑰對(duì)業(yè)務(wù)信息密文進(jìn)行解密獲得業(yè)務(wù)信息;
解密模塊解密獲得的業(yè)務(wù)需求密鑰存儲(chǔ)在上述需求密鑰存儲(chǔ)模塊內(nèi)。
本實(shí)施例的另一技術(shù)方案中,量子密鑰服務(wù)端具有多個(gè),多個(gè)量子密鑰服務(wù)端依次通過(guò)唯一的身份識(shí)別密鑰進(jìn)行綁定,每個(gè)量子密鑰服務(wù)端對(duì)解密出來(lái)的業(yè)務(wù)需求密鑰使用獨(dú)立的身份識(shí)別密鑰進(jìn)行加密后發(fā)送到下一個(gè)量子密鑰服務(wù)端,下一個(gè)量子密鑰服務(wù)端使用相同的身份識(shí)別密鑰對(duì)接收到的加密后的業(yè)務(wù)需求密鑰進(jìn)行解密;直至傳遞到最后一個(gè)量子密鑰服務(wù)端,由最后一個(gè)量子密鑰服務(wù)端對(duì)業(yè)務(wù)需求密鑰進(jìn)行加密并發(fā)送給被叫終端設(shè)備。
如圖3所示,多個(gè)量子密鑰服務(wù)端傳輸加密后的業(yè)務(wù)需求密鑰,其傳遞業(yè)務(wù)需求密鑰的具體過(guò)程詳述如下:
第一終端設(shè)備a通過(guò)與第一個(gè)量子密鑰服務(wù)端p1共享的身份識(shí)別密鑰kap1對(duì)本次通信的業(yè)務(wù)需求密鑰kx進(jìn)行加密獲得需求密鑰密文kap1·kx發(fā)送給第一個(gè)量子密鑰服務(wù)端p1;
s1:第一個(gè)量子密鑰服務(wù)端p1接收第一終端設(shè)備a發(fā)送的需求密鑰密文kap1·kx,然后通過(guò)與第一終端設(shè)備a共享的身份識(shí)別密鑰kap1對(duì)需求密鑰密文kap1·kx進(jìn)行解密獲得業(yè)務(wù)需求密鑰kx;
s2:第一個(gè)量子密鑰服務(wù)端p1通過(guò)與第二個(gè)量子密鑰服務(wù)端p2共享的量子身份識(shí)別密鑰kp1p2對(duì)解密獲得的業(yè)務(wù)需求密鑰kx進(jìn)行加密獲得需求密鑰密文kp1p2·kx發(fā)送給第二個(gè)量子密鑰服務(wù)端p2;
s3:第二個(gè)量子密鑰服務(wù)端p2重復(fù)以上步驟s1、s2中的解密、加密方法對(duì)本次通信的需求密鑰密文一級(jí)一級(jí)的進(jìn)行傳遞,直至傳輸至最后一個(gè)量子密鑰服務(wù)端pn。
本實(shí)施例的另一技術(shù)方案中,終端設(shè)備與量子密鑰服務(wù)端之間建立綁定關(guān)系后共享的身份識(shí)別碼密鑰、以及各量子密鑰服務(wù)端之間通信的身份識(shí)別碼密鑰均能夠隨時(shí)更新,不會(huì)長(zhǎng)時(shí)間使用同一各身份識(shí)別碼密鑰,能夠極大的提高安全等級(jí),其更新的方法如下:
(1)、如圖5所示,終端設(shè)備唯一持有的身份識(shí)別碼密鑰應(yīng)請(qǐng)求更新的方法為:
①、終端設(shè)備c向與之建立綁定關(guān)系的量子密鑰服務(wù)端p發(fā)起身份識(shí)別密鑰更換請(qǐng)求,或者量子密鑰服務(wù)端p向與之建立綁定關(guān)系的終端設(shè)備c發(fā)起更換身份識(shí)別密鑰的要求;
②、終端設(shè)備c在量子真隨機(jī)發(fā)生器產(chǎn)生的身份識(shí)別密鑰內(nèi)提取新的身份識(shí)別密鑰kc|p;
③、終端設(shè)備c使用舊的身份識(shí)別密鑰kcp對(duì)新的身份識(shí)別密鑰kc|p進(jìn)行加密,獲得密文kcp·kc|p,并傳遞密文kcp·kc|p至量子密鑰服務(wù)端p;
④、量子密鑰服務(wù)端p驗(yàn)證請(qǐng)求端合法后,通過(guò)舊的身份識(shí)別密鑰kcp對(duì)密文kcp·kc|p進(jìn)行解密,獲得新的身份識(shí)別密鑰kc|p,以新的身份識(shí)別密鑰kc|p來(lái)替換舊的身份識(shí)別密鑰kcp。
(2)、如圖6所示,各量子密鑰服務(wù)端之間的身份識(shí)別密鑰應(yīng)請(qǐng)求能夠更新,且具有兩種更新方法,第一種更新方法是基于量子網(wǎng)絡(luò)的經(jīng)典信道更新,第二種更新方法是基于量子網(wǎng)絡(luò)的量子信道更新,具體更新方法為:
(1)第一種更新方法:
①、量子密鑰服務(wù)端p2向與之綁定的量子密鑰服務(wù)端p3發(fā)出更換身份識(shí)別密鑰的請(qǐng)求,并使用舊的身份識(shí)別密鑰kp2p3對(duì)新的身份識(shí)別密鑰kp2|p3進(jìn)行加密,獲得密文kp2p3·kp2|p3,并傳遞密文kp2p3·kp2|p3至量子密鑰服務(wù)端p3;
②、量子密鑰服務(wù)端p3通過(guò)舊的身份識(shí)別密鑰kp2p3對(duì)密文kp2p3·kp2|p3進(jìn)行解密,獲得新的身份識(shí)別密鑰kp2|p3,以新的身份識(shí)別密鑰kp2|p3來(lái)替換舊的身份識(shí)別密鑰kp2p3。
此處,各量子密鑰服務(wù)端均可以作為請(qǐng)求更換身份識(shí)別密鑰的請(qǐng)求發(fā)出方,也均可以作為請(qǐng)求接收方。
(2)第二種更新方法:
由設(shè)置在量子密鑰服務(wù)端上的量子密鑰分配終端分配身份識(shí)別密鑰,身份識(shí)別密鑰分配后通過(guò)量子信道基于bb84協(xié)議傳遞更新。
當(dāng)終端設(shè)備地理位置變化時(shí),終端設(shè)備優(yōu)選采用可靠的有線連接方式先與舊量子密鑰服務(wù)端解除綁定關(guān)系,然后再采用可靠的有線連接方式與新的量子密鑰服務(wù)端建立綁定關(guān)系,終端設(shè)備與新的量子密鑰服務(wù)端建立綁定關(guān)系后斷開(kāi)有線連接,恢復(fù)可自由移動(dòng)的狀態(tài)。
本實(shí)施例的另一技術(shù)方案中,當(dāng)終端設(shè)備地理位置變化時(shí),終端設(shè)備還可以采用無(wú)線連接的方式切換與之綁定的量子密鑰服務(wù)端,如圖7所示,其具體實(shí)現(xiàn)方法為:
此處以終端設(shè)備d、舊量子密鑰服務(wù)端pd1、新量子密鑰服務(wù)端pd2為例進(jìn)行說(shuō)明:
終端設(shè)備d與舊量子密鑰服務(wù)端pd1共享量子身份識(shí)別碼kdpd1;
舊量子密鑰服務(wù)端pd1和新量子密鑰服務(wù)端pd2之間共享量子身份識(shí)別碼kpd1pd2。
s1:終端設(shè)備d向新量子密鑰服務(wù)端pd2發(fā)出綁定請(qǐng)求,在量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生的身份識(shí)別密鑰內(nèi)提取新的身份識(shí)別密鑰kdpd2;
終端設(shè)備通過(guò)舊的身份識(shí)別密鑰kdpd1對(duì)新的身份識(shí)別密鑰kdpd2進(jìn)行加密,獲得密文kdpd1·kdpd2,并將密文kdpd1·kdpd2隨綁定請(qǐng)求一起發(fā)送到新量子密鑰服務(wù)端;
s2:新量子密鑰服務(wù)端pd2判斷終端設(shè)備合法后,與舊量子密鑰服務(wù)端pd1進(jìn)行通信,告知舊量子密鑰服務(wù)端pd1終端設(shè)備發(fā)出的綁定請(qǐng)求;
s3:舊量子密鑰服務(wù)端pd1收到新量子密鑰服務(wù)端pd2的告知信息后,舊量子密鑰服務(wù)端pd1通過(guò)與新量子密鑰服務(wù)端pd2綁定的身份識(shí)別密鑰kpd1pd2對(duì)舊的身份識(shí)別密鑰kdpd1進(jìn)行加密,獲得密文kpd1pd2·kdpd1,并將密文kpd1pd2·kdpd1發(fā)送到新量子密鑰服務(wù)端pd2;
s4:新量子密鑰服務(wù)端pd2通過(guò)與舊量子密鑰服務(wù)端pd1綁定的身份識(shí)別密鑰kpd1pd2對(duì)密文kpd1pd2·kdpd1進(jìn)行第一次解密獲得舊的身份識(shí)別密鑰kdpd1;再利用舊的身份識(shí)別密鑰kdpd1對(duì)密文kdpd1·kdpd2進(jìn)行第二次解密獲得新的身份識(shí)別密鑰kdpd2,新量子密鑰服務(wù)端pd2獲得新的身份識(shí)別密鑰kdpd2后與終端設(shè)備d建立綁定關(guān)系;
終端設(shè)備d與新量子密鑰服務(wù)端pd2建立綁定關(guān)系后,舊量子密鑰服務(wù)端pd1解除與端設(shè)備d的綁定關(guān)系,舊的量子身份識(shí)別碼kdpd1被丟棄不再使用。此處終端設(shè)備切換與之建立綁定關(guān)系的量子密鑰服務(wù)端的請(qǐng)求只允許由終端設(shè)備發(fā)出請(qǐng)求而獲得更換。
對(duì)所公開(kāi)的實(shí)施例的上述說(shuō)明,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來(lái)說(shuō)將是顯而易見(jiàn)的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實(shí)施例中實(shí)現(xiàn)。因此,本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例,而是要符合與本文所公開(kāi)的原理和新穎特點(diǎn)相一致的最寬的范圍。