本发明专利技术公开了一种量子密钥中继服务方法,主要解决量子通信网络中量子密钥可信中继过程的安全性和效率问题;本发明专利技术方法的步骤包括:量子网络管理服务器根据中继路由表和中继节点的当前状态指标选择中继节点,中继节点并发向量子密钥中继服务器发送其与两个相邻节点之间的共享量子密钥的异或值,量子密钥中继服务器对所收到的相应异或值再进行异或运算,并得到由源节点和目标节点的量子密钥的异或值,通过公开该异或值,源节点和目标节点可以实现量子密钥的共享;本发明专利技术的安全性更高、效率更高、中继延迟更小;本发明专利技术方法可以广泛应用于各种拓扑结构的量子通信网络,具有非常重要的实际应用价值。
A Quantum Key Relay Service Method
【技术实现步骤摘要】
一种量子密钥中继服务方法
本专利技术涉及量子通信网络中的通信中继
,尤其涉及一种量子密钥中继服务方法。
技术介绍
在量子通信网络中,由于还缺少不落地量子通信中继技术,无法实现网络内任意节点间量子信道的搭建以及直接的量子密钥分发(QKD)。为了实现网络内任意节点间的量子密钥共享,在无法直接进行量子密钥分发的两节点间,需要采用密钥中继的方式来实现密钥分发。在已公开的量子密钥中继方案中,因为被中继的密钥在中继量子节点以明文的形式存在,所以任何参与量子密钥中继的节点都知道该中继密钥,因此安全性的前提是所有参与中继的量子节点必须是可信任的。因此这种中继量子节点被叫做可信中继节点。在一条量子密钥中继链路上,链路两端的节点称为源节点和目标节点;链路中间的节点称为可信中继节点(或称中继节点)。在一条量子密钥中继链路上,包括两个终端量子节点和至少一个可信中继节点,各个量子节点都配置QKD设备;相邻节点间搭建有量子信道,能够直接进行量子密钥分发并共享量子密钥。可信中继量子节点是一种非常自然和容易实现的技术,依靠可信中继量子节点,我们可以容易地扩展量子密钥分发网络的服务范围。基于可信中继的QKD网络能够很好的兼容各种QKD技术,无论是光纤量子密钥分发系统还是自由空间量子密钥分发系统,相位编码系统还是偏振编码系统都能方便的整合进去,因此是现阶段组建网络的首选方案。但是,目前公开的方案都存在明显的安全性瓶颈,即所有参与可信中继的节点都可以直接获取所中继的密钥,不便于密钥及其所加密信息的安全管理;另外,采用“单跳转发”的中继方式存在较大的延迟,效率低下。对于规模量子通信网络组网,克服上述缺点对网络应用的安全性和通信效率都非常重要。
技术实现思路
针对
技术介绍
中量子密钥中继过程中的缺陷,本专利技术通过一种新型的量子密钥中继方法解决中继过程的安全性扩散问题,通过并发响应提高密钥中继效率;本专利技术提供一种量子密钥中继服务方法,其特征在于,包括但不限于如下步骤:(1-1)量子网络管理服务器响应把一个密钥从源节点中继到目标节点的请求;(1-2)量子网络管理服务器根据所存储的中继路由表和相关节点的当前状态指标,得到从源节点中继到目标节点所经过的各个中继节点的地址和当前状态指标,并根据所述信息选择参与量子密钥中继的n(n是大于0的自然数)个中继节点,并令所述每一个中继节点计算其与另外两个相邻节点之间的共享量子密钥的异或值(如图1所示),并发送到量子密钥中继服务器;假定量子密钥中继服务是把一个密钥从节点A(源节点)通过n个中继节点并中继到节点B(目标节点),假定参与该次中继的全部节点依次记为A、⋯、Ci、⋯、B(其中,i是自然数,且0<i<n+1,当有一个中继节点时,n=1,i=1;当有两个中继节点时,n=2,i=1、2,以此类推),假定所述节点的相邻节点之间依次选择K1、⋯、Ki、⋯、K(n+1)作为该次中继服务的量子密钥,其中,K1是节点A与节点C1之间事先缓存的共享量子密钥或实时协商的共享量子密钥,Ki是节点C(i-1)与节点Ci之间事先缓存的共享量子密钥或实时协商的共享量子密钥(其中,i是自然数,且1<i<n+1),K(n+1)是节点Cn与节点B之间事先缓存的共享量子密钥或实时协商的共享量子密钥,相邻节点之间对所使用的量子密钥的密钥标识进行确认并使用相同密钥标识的量子密钥;量子网络管理服务器分别令节点Ci计算其与所述两个相邻节点之间的两个共享量子密钥的异或运算(记为⊕)值,即节点Ci计算Ri=Ki⊕K(i+1),并分别把计算结果Ri及其相应节点Ci的ID一起发给量子密钥中继服务器(其中,i是自然数,且0<i<n+1);如果在限定的时间内量子密钥中继服务器没有接收到某些节点的计算结果,则量子密钥中继服务器请求相应节点重发相应的计算结果,直到接收到所述n个异或运算结果;量子密钥中继服务器对所述n个异或运算结果再一起进行异或运算,即,计算R=R1⊕⋯Ri⋯⊕Rn=K1⊕K(n+1)(其中,i是自然数,且0<i<n);(1-3)量子密钥中继服务器把所述异或运算结果(该结果是源节点和目标节点的量子密钥的异或值)分别发给源节点和目标节点(即,量子密钥中继服务器把R分别发给节点A和节点B),节点A和节点B协商使用K1(或K(n+1))作为共享量子密钥,节点B计算K1=R⊕K(n+1)(或节点A计算K(n+1)=R⊕K1);可选的,节点A把一个随机数或消息P,计算K1⊕P并发给节点B,则可以实现保密通信;(1-4)源节点和目标节点对K1(或K(n+1))进行完整性校验(例如,源节点和目标节点分别计算K1(或K(n+1)的HMAC值,如果两个HMAC值相同,则通过校验,本专利技术不对此进行限定),如果不能通过校验,则重新中继;在通过完整性校验后,完成该次密钥中继过程。需要说明的是,如果两个节点之间存在点到点的量子信道连接并能够进行量子密钥分发,就称之为是相邻节点(量子卫星的两个地面站也属于相邻节点);相邻节点之间可以事先缓存量子密钥或实时协商一定量的量子密钥,相应节点可以对所述量子密钥进行分组并对每一个分组进行随机性测试(比如根据国家密码管理局发布的《随机性检测规范》(GM/T0005-2012)对数据进行随机性测试),把通过随机性测试的所述分组分割为多个子密钥(比如,一个分组10MB,被分成10个1MB的子密钥,或者分成多个32B、64B或128B的子密钥),并进行对子密钥进行编号和缓存,创建相应的密钥标识(密钥标识包含当前节点ID、相邻节点ID、密钥编号和密钥数据长度,例如,一个密钥标识为KeyIndex_C1_C2_2_64B,表示该密钥是C1与C2之间的编号为2的64字节的共享密钥;对于密钥标识的具体数据格式,本专利技术不进行限定。进一步地,所述方法还包括,所述节点包括但不限于量子密钥分发系统(简称QKD)、量子密钥服务器和安全存储服务器,其特征在于:(2-1)所述QKD系统包括一台或多台QKD收发一体机或QKD的发送端和/或接收端,一个节点的QKD与其它存在点到点量子信道连接的相邻节点的QKD可以组成至少一套量子密钥分发系统;(2-2)所述量子密钥服务器用于用于响应量子网络管理服务器的指令并上报节点状态信息和提供可信中继服务,用于协商确认与相邻节点所使用的共享量子密钥;量子密钥服务器包括但不限于协议交互模块和数据加解密模块,其中,协议交互模块用于响应量子网络管理服务器的服务指令,用于接收其它节点发送的中继密钥数据或根据服务指令向其它节点发送相关的中继密钥数据,并与相应节点对所述交互数据进行确认;数据加解密模块,用于接收其它中继节点发送的加密的中继密钥数据,并利用相应的量子密钥对其进行解密,或加密发送给其它中继节点的中继密钥数据;(2-3)所述安全存储服务器用于缓存所述QKD系统与其它存在直接连接关系的相邻节点的QKD系统之间协商的量子密钥。进一步地,所述方法还包括,所述相邻节点包括存在点到点的量子信道连接并能够进行量子密钥分发的两个节点,其特征包括但不限于:相邻节点之间可以事先缓存量子密钥或实时协商量子密钥。进一步地,所述方法还包括,所述相邻节点之间对所使用的量子密钥的密钥标识进行确认的方法包括但不本文档来自技高网...
【技术保护点】
1.一种量子密钥中继服务方法,其特征在于,包括如下步骤:(1‑1)量子网络管理服务器响应把一个密钥从源节点中继到目标节点的请求;(1‑2)量子网络管理服务器根据所存储的中继路由表和相关节点的当前状态指标,得到从源节点中继到目标节点所经过的各个中继节点的地址和当前状态指标,并根据所述信息选择参与量子密钥中继的n(n是大于0的自然数)个中继节点,并令所述每一个中继节点计算其与另外两个相邻节点之间的共享量子密钥的异或值,并发送到量子密钥中继服务器;假定量子密钥中继服务是把一个密钥从节点A(源节点)通过n(n是大于0的自然数)个中继节点并中继到节点B(目标节点),假定参与该次中继的全部节点依次记为A、⋯、Ci、⋯、B(其中,i是自然数,且0<i<n+1,当有一个中继节点时,n=1,i=1;当有两个中继节点时,n=2,i=1、2,以此类推),假定所述节点的相邻节点之间依次选择K1、⋯、Ki、⋯、K(n+1)作为该次中继服务的量子密钥,其中,K1是节点A与节点C1的共享量子密钥,Ki是节点C(i‑1)与节点Ci的共享量子密钥(其中,i是自然数,且1<i<n+1),K(n+1)是节点Cn与节点B的共享量子密钥,相邻节点之间对所使用的量子密钥的密钥标识进行确认并使用相同密钥标识的量子密钥;量子网络管理服务器分别令节点Ci计算其与所述两个相邻节点之间的两个共享量子密钥的异或运算(记为⊕)值,即节点Ci计算Ri=Ki⊕K(i+1),并分别把计算结果Ri及其相应节点ID一起发给量子密钥中继服务器(其中,i是自然数,且0<i<n+1);如果在限定的时间内量子密钥中继服务器没有接收到某些节点的计算结果,则量子密钥中继服务器请求相应节点重发相应的计算结果,直到接收到所述n个异或运算结果;量子密钥中继服务器对所述n个异或运算结果再一起进行异或运算,即,计算R=R1⊕⋯Ri⋯⊕Rn=K1⊕K(n+1)(其中,i是自然数,且0<i<n);(1‑3)量子密钥中继服务器把所述异或运算结果(该结果是源节点和目标节点的量子密钥的异或值)分别发给源节点和目标节点(即,量子密钥中继服务器把R分别发给节点A和节点B),节点A和节点B协商使用K1(或K(n+1))作为共享量子密钥,节点B计算K1=R⊕K(n+1)(或节点A计算K(n+1)=R⊕K1);(1‑4)源节点和目标节点对K1(或K(n+1))进行完整性校验,如果不能通过校验,则重新中继;在通过完整性校验后,完成该次密钥中继过程。...
【技术特征摘要】
1.一种量子密钥中继服务方法,其特征在于,包括如下步骤:(1-1)量子网络管理服务器响应把一个密钥从源节点中继到目标节点的请求;(1-2)量子网络管理服务器根据所存储的中继路由表和相关节点的当前状态指标,得到从源节点中继到目标节点所经过的各个中继节点的地址和当前状态指标,并根据所述信息选择参与量子密钥中继的n(n是大于0的自然数)个中继节点,并令所述每一个中继节点计算其与另外两个相邻节点之间的共享量子密钥的异或值,并发送到量子密钥中继服务器;假定量子密钥中继服务是把一个密钥从节点A(源节点)通过n(n是大于0的自然数)个中继节点并中继到节点B(目标节点),假定参与该次中继的全部节点依次记为A、⋯、Ci、⋯、B(其中,i是自然数,且0<i<n+1,当有一个中继节点时,n=1,i=1;当有两个中继节点时,n=2,i=1、2,以此类推),假定所述节点的相邻节点之间依次选择K1、⋯、Ki、⋯、K(n+1)作为该次中继服务的量子密钥,其中,K1是节点A与节点C1的共享量子密钥,Ki是节点C(i-1)与节点Ci的共享量子密钥(其中,i是自然数,且1<i<n+1),K(n+1)是节点Cn与节点B的共享量子密钥,相邻节点之间对所使用的量子密钥的密钥标识进行确认并使用相同密钥标识的量子密钥;量子网络管理服务器分别令节点Ci计算其与所述两个相邻节点之间的两个共享量子密钥的异或运算(记为⊕)值,即节点Ci计算Ri=Ki⊕K(i+1),并分别把计算结果Ri及其相应节点ID一起发给量子密钥中继服务器(其中,i是自然数,且0<i<n+1);如果在限定的时间内量子密钥中继服务器没有接收到某些节点的计算结果,则量子密钥中继服务器请求相应节点重发相应的计算结果,直到接收到所述n个异或运算结果;量子密钥中继服务器对所述n个异或运算结果再一起进行异或运算,即,计算R=R1⊕⋯Ri⋯⊕Rn=K1⊕K(n+1)(其中,i是自然数,且0<i<n);(1-3)量子密钥中继服务器把所述异或运算结果(该结果是源节点和目标节点的量子密钥的异或值)分别发给源节点和目标节点(即,量子密钥中继服务器把R分别发给节点A和节点B),节点A和节点B协商使用K1(或K(n+1))作为共享量子密钥,节点B计算K1=R⊕K(n+1)(或节点A计算K(n+1)=R⊕K1);(1-4)源节点和目标节点对K1(或K(n+1))进行完整性校验,如果不能通过校验,则重新中继;在通过完整性校验后,完成该次密钥中继过程。2.根据权利要求1所述的方法,所述节点包括量子密钥分发系统(简称QKD)、量子密钥服务器和安全存储服...
【专利技术属性】
技术研发人员:不公告发明人,
申请(专利权)人:成都零光量子科技有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。