一种基于量子密钥分配网络的移动保密通信方法技术

本发明专利技术公开了一种基于量子密钥分配网络的移动保密通信方法，其步骤为：移动终端注册入网，与量子密钥分配网络中的某台集控站建立绑定关系；通信业务发起后，参与本次通信的移动终端向量子密钥分配网络申请业务密钥；量子密钥分配网络得到本次通信中参与业务密钥分发的各集控站地址，根据各集控站的当前状态指标指定业务密钥生成集控站；业务密钥生成集控站生成本次通信所需的业务密钥并分发到参与本次通信的移动终端；参与本次通信的移动终端使用所述业务密钥，通过该类通信业务原有的数据链路进行保密通信。本发明专利技术在业务密钥生成环节、密钥中继环节对业界现有方案做了改进，改善了当中继节点较多时，密钥到达滞后，影响服务质量的问题。

【技术实现步骤摘要】

本专利技术属于移动通信加密领域，特别涉及一种基于量子密钥分配网络的移动保密通信方法。
技术介绍
现代密码学体系主要基于计算的单向性，其安全性仅有经验保证；未来的量子计算机将使快速分解质因子算法成为可能，从而使得现有密码体系的基础不复存在。量子密钥分配技术是近年来新出现的一种新型通信加密手段，它利用单光子水平上的量子态编码信息，可在位于两地的量子信号发射机和量子信号接收机之间分发任意长度的一串相同随机数，即双方可以共享大量的随机密钥。这些随机密钥可以用来对需要在两地之间传输的信息进行加密。由于在物理原理上单光子不可分割，量子态不可克隆，因此量子密钥分配在物理原理上是不可窃听的，具有目前最高级别的安全性。如果采用“一次一密”（One-Time Pad）的方式加解密经典信息，则可以保证传输信息的无条件安全。在现有技术条件下，考虑到单光子在光纤信道中的衰减及探测器探测效率等因素，如两地间距离超过一定程度，则难以生成可用于实际保密通信的共享量子密钥。因此，距离较远的两地间如果要进行量子保密通信，需要在两地之间加入可信中继设备。目前存在基于量子密钥分配网络的移动加密系统及通信方法。该方法首先将移动终端设备注册入网，然后移动终端设备连接量子终端，向其申请一定大小的共享密钥。移动终端下载密钥后，与特定量子集控站建立绑定关系，注册在该集控站之下，将其作为该移动终端的主叫集控站。量子终端通信时，移动终端将密文递交到主叫集控站，主叫集控站将密文重新加密后送到被叫集控站，被叫集控站再将密文重新加密后送往被叫用户，被叫用户解密后得到明文，通信结束。该技术方案可以在移动通信中发挥良好作用，但不容易覆盖全部移动通信需求，存在一定局限性。上述技术方案采用的是密文中继式移动保密通信，也就是说，在量子保密通信网络的各个量子集控站间传递的是密文，也就是加密后的有效通信信息负载（明文信息，如短信、语音等），其密文数据流的传递遵循“主叫终端——主叫集控站——中继集控站（个数：0-n）——被叫集控站——被叫终端”的路径。但是，这与某些现存的移动通信业务的数据流路径并不完全相符，例如SIP电话，接通之后，语音数据流是以点对点形式在两部移动终端设备间直接传递，而不会流经量子通信保密网络。另外一个例子是SMS短消息，手机短信发出后，它会经由电信运营商（移动、电信、联通等）的专有网络传递，也不会流经量子通信保密网络。因此，对于以上提到的这些具备自有数据流路径的通信业务，使用密文中继就显得比较麻烦。在这些业务中如果一定要使用密文中继方式，一般有两种方式：第一种，对原有业务链路和逻辑进行较大规模的修改，加入量子保密的功能。例如，如果要使用密文中继方式对SMS短消息进行加密，就需要修改电信运营商的原有网络，使得短消息在移动或联通网络的每个节点中传递时，都要有量子设备与之配套，这将会使整个系统大大复杂化，增加开发和配置成本。第二种，抛弃原有业务的链路，在量子保密网络中自建业务链路。仍以之前的SMS为例，令手机发出的短信不再经过电信运营商的网络，而是通过无线传输方式传入量子保密网络，然后按照密文中继的方式送至收信端。这种方法要对移动终端进行专门定制，而且对每一种通信业务都要在量子保密网络中自己实现（例如，要通过密文中继式移动保密通信方案来收发短信，首先需要在量子保密网络中自己实现一个短信服务器，然后修改移动终端，使得发短信时不走电信运营商的网络而直接发送到自己的短信服务器）。成本代价高昂，实现复杂，且产品与现行电信运营商网络不兼容，不利推广。另外，密文中继式移动保密通信的特点决定了：只有当通信双方具体业务真正建立后，产生了需要传递的明文，才能开始加密并传输。并且，如果这个传输过程的中继节点较多，时间较长，则延时必然增大。对于实时性要求较高的通信业务（如SIP语音电话、视频通话等），可能会造成用户体验不佳。因此，本专利技术采用了密钥中继式移动保密通信的方案来解决以上问题。即在各集控站间中继的数据并非密文，而是通信所需的业务密钥。但是由于量子密钥的特性所限，目前两地间的共享量子密钥生成受到距离的限制，因此如果要搭建具备一定物理覆盖范围的量子密钥分配网络，则需要在两地之间加入新的可信中继设备，将实际的通信业务密钥中继过去。而在某些实时性要求较高的通信业务中，即使采用了密钥中继式移动保密通信，也可能面临着由于并发通话数量和中继节点过多，业务密钥在生成和中继的过程中消耗时间较长，从而导致的密钥到达滞后的问题，影响服务质量。
技术实现思路
本专利技术的目的就是为解决上述问题，提供一种基于量子密钥分配网络的移动保密通信方法，它通过采用改进后的密钥中继式移动保密通信方案，使其可以覆盖原密文中继式移动保密通信技术应用不方便的一部分移动通信业务需求。同时，在业务密钥生成环节、密钥中继环节对业界现有方案做了改进，改善了当并发通信业务数量和中继节点较多时，密钥到达滞后，影响服务质量的问题。为实现上述目的，本专利技术采用如下技术方案：一种基于量子密钥分配网络的移动保密通信方法，其步骤为：（1）移动终端注册入网，获得唯一的量子身份号；（2）移动终端与量子密钥分配网络中的某台集控站建立绑定关系，与该集控站共享密钥；（3）通信业务发起后，主叫移动终端和被叫移动终端向量子密钥分配网络中的量子网络管理服务器发送业务信息包和被叫应答信息包，申请本次通信的业务密钥；（4）量子密钥分配网络得到本次通信中的主叫集控站、被叫集控站，以及参与业务密钥中继的各集控站地址；（5）量子密钥分配网络收集本次通信中参与业务密钥分发的各集控站的当前状态指标，据此指定本次通信的业务密钥生成集控站，并向其发送业务信息包，令其生成本次通信所需的业务密钥；（6）所述业务密钥生成集控站生成本次通信所需的业务密钥，然后将该业务密钥加密后分发到参与本次通信的移动终端；（7）所述移动终端获取到其绑定集控站分发过来的加密的业务密钥后，使用与其绑定集控站间的共享密钥，解密得到本次通信的业务密钥；（8）参与本次通信的移动终端使用所述业务密钥，通过该类通信业务原有的数据链路进行保密通信。所述步骤（2）中的“绑定关系”，其特征为：（2-1）已注册入网的移动终端在整个量子密钥分配网络中拥有唯一的量子身份号；（2-2）一台移动终端在同一个时间段内不能绑定在多个集控站上；（2-3）一个集控站下在同一个时间段内允许绑定有零个、一个或多个移动终端；（2-4）移动终端与集控站的绑定关系存储在量子密钥分配网络的量子网络管理服务器本文档来自技高网...

【技术保护点】
一种基于量子密钥分配网络的移动保密通信方法，其特征是，其具体步骤为：（1）：移动终端注册入网，获得唯一的量子身份号；（2）：移动终端与量子密钥分配网络中的某台集控站建立绑定关系，与该集控站共享密钥；（3）：通信业务发起后，主叫移动终端和被叫移动终端分别向量子密钥分配网络中的量子网络管理服务器发送业务信息包和被叫应答信息包，申请本次通信的业务密钥；（4）：量子密钥分配网络得到本次通信中的主叫集控站、被叫集控站，以及参与业务密钥中继的各集控站地址；（5）：量子密钥分配网络收集本次通信中参与业务密钥分发的各集控站的当前状态指标，据此指定本次通信的业务密钥生成集控站，并向其发送业务信息包，令其生成本次通信所需的业务密钥；（6）：所述业务密钥生成集控站生成本次通信所需的业务密钥，然后将该业务密钥加密后分发到参与本次通信的移动终端；（7）：所述移动终端获取到其绑定集控站分发过来的加密的业务密钥后，使用与其绑定集控站间的共享密钥，解密得到本次通信的业务密钥；（8）：参与本次通信的移动终端使用所述业务密钥，通过该类通信业务原有的数据链路进行保密通信。

【技术特征摘要】
1.一种基于量子密钥分配网络的移动保密通信方法，其特征是，其具体步骤为：
（1）：移动终端注册入网，获得唯一的量子身份号；
（2）：移动终端与量子密钥分配网络中的某台集控站建立绑定关系，与该集控站共享密
钥；
（3）：通信业务发起后，主叫移动终端和被叫移动终端分别向量子密钥分配网络中的量
子网络管理服务器发送业务信息包和被叫应答信息包，申请本次通信的业务密钥；
（4）：量子密钥分配网络得到本次通信中的主叫集控站、被叫集控站，以及参与业务密
钥中继的各集控站地址；
（5）：量子密钥分配网络收集本次通信中参与业务密钥分发的各集控站的当前状态指标，
据此指定本次通信的业务密钥生成集控站，并向其发送业务信息包，令其生成本次通信所需
的业务密钥；
（6）：所述业务密钥生成集控站生成本次通信所需的业务密钥，然后将该业务密钥加密
后分发到参与本次通信的移动终端；
（7）：所述移动终端获取到其绑定集控站分发过来的加密的业务密钥后，使用与其绑定
集控站间的共享密钥，解密得到本次通信的业务密钥；
（8）：参与本次通信的移动终端使用所述业务密钥，通过该类通信业务原有的数据链路
进行保密通信。
2.如权利要求1所述的一种基于量子密钥分配网络的移动保密通信方法，所述步骤（2）
中的“绑定关系”，其特征是：
（2-1）已注册入网的移动终端在整个量子密钥分配网络中拥有唯一的量子身份号；
（2-2）一台移动终端在同一个时间段内不能绑定在多个集控站上；
（2-3）一个集控站下在同一个时间段内允许绑定有零个、一个或多个移动终端；
（2-4）移动终端与集控站的绑定关系存储在量子密钥分配网络的量子网络管理服务器
中；
（2-5）具有绑定关系的移动终端和集控站之间拥有共享密钥。
3.如权利要求1所述的一种基于量子密钥分配网络的移动保密通信方法，其特征是，所
述步骤（4）中量子密钥分配网络得到本次通信中参与业务密钥分发的各集控站地址的方法为：
量子网络管理服务器根据所接收到的信息包中的主叫移动终端与被叫移动终端的相关信
息，以及集控站与移动终端间的绑定关系，得到本次通信中的主叫集控站地址和被叫集控站
地址；然后再查询所存储的业务密钥中继路由表，得到本次通信中主叫集控站与被叫集控站
间各个中继集控站的地址。
4.如权利要求1所述的一种基于量子密钥分配网络的移动保密通信方法，其特征是，所
述步骤（5）中量子密钥分配网络指定本次通信的业务密钥生成集控站，并令其生成本次通信
所需的业务密钥的方法为：
（5-1）量子网络管理服务器向本次通信所涉及到的主叫集控站、被叫集控站，以及主叫
集控站与被叫集控站间各个中继集控站发送指令，令这些集控站将各自当前的状态指标上传
到量子网络管理服务器；
（5-2）量子网络管理服务器收集所述各集控站的当前状态指标，据此指定本次通信的业
务密钥生成集控站；
（5-3）量子网络管理服务器在主叫移动终端发送的业务信息包中添加入本次通信的主叫
集控站地址和被叫集控站地址后，将该业务信息包再复制一份，并在这两个业务信息包内分
别将主叫集控站和被叫集控站指定为目标集控站，再将这两个业务信息包发给所述本次通信
的业务密钥生成集控站，令所述业务密钥生成集控站生成本次通信所需的业务密钥。
5.如权利要求4所述的一种基于量子密钥分配网络的移动保密通信方法，其特征是，所
述步骤（6）中业务密钥生成集控站将业务密钥加密后分发到参与本次通信的移动终端的方法
为：
（6-1）业务密钥生成集控站对量子网络管理服务器所发送的两个业务信息包的内容分别
进行分析，如果所述业务信息包中指定的目标集控站为本集控站，则使用本集控站与参与本
次通信的主叫移动终端或被叫移动终端间的共享密钥对业务密钥进行加密，然后发送到主叫
移动终端或被叫移动终端；如果所述业务信息包中指定的目标集控站不是本集控站，则查找

\t业务密钥中继路由表，找到通往目标集控站的下一跳集控站，将本次通信的业务密钥使用与
下一跳集控站间的共享密钥进行加密，与该业务信息包一起，发送到下一跳集控站；
（6-2）当某个集控站收到了上一跳集控站中继过来的业务密钥及业务信息包后，首先使
用与所述上一跳集控站间的共享密钥对所收到的业务密钥进行解密，再按（6-1）所述的方法
进行处理。
6.如权利要求5中所述的一种基于量子密钥分配网络的移动保密通信方...

【专利技术属性】
技术研发人员：赵勇，刘春华，
申请(专利权)人：安徽量子通信技术有限公司，山东量子科学技术研究院有限公司，
类型：发明
国别省市：安徽;34