一种灵活的量子安全移动通信方法技术

本发明专利技术公开了一种灵活的量子安全移动通信方法，QKD节点为移动终端提供量子基础密钥注入服务，QKD节点与QKMC之间通过QKD网络协商量子密钥；QKMC为两个或多个移动终端之间分配会话密钥；包括注册过程和在线协商会话密钥过程。本发明专利技术具有更灵活的量子密钥服务及管理方式：移动终端一次注入量子基础密钥后可以在任何QKD节点获得量子密钥服务，用完后可以在任何一个QKD节点进行再次加注，接入灵活；移动终端获取会话密钥的全过程是量子安全的，与其它需要采用传统密钥协商技术的移动应用的密钥分配方案相比具有更高的安全性；引入了量子密钥管理中心统一管控用户会话密钥的产生和协商，具有更高效率和全生命周期的管理。

【技术实现步骤摘要】
一种灵活的量子安全移动通信方法
本专利技术涉及一种灵活的量子安全移动通信方法。
技术介绍
在网络空间安全技术快速发展的背景下，在国家相关产业政策的激励下，以量子密钥分配(QuantumKeyDistribution，QKD)网络部署和应用体系建设为主体的量子通信产业已步入快速发展时期。QKD基于量子力学原理，是迄今唯一被严格证明无条件安全的密钥分配方式。QKD结合“一次一密”加密算法，可以从根本上解决数据传输的安全性问题，具有重要实际应用价值。随着移动互联网的快速发展，移动互联和移动办公已成为大趋势。与此同时，移动应用的安全挑战越发严峻。国内量子通信领域内的企业和研究机构都在积极布局量子安全与移动应用相结合的技术及专利，并重点开发量子安全移动应用系统。量子安全的移动应用已成为QKD应用推广的重要方向之一。目前，利用QKD网络产生的量子密钥进行移动保密通信应用的实现方式大多是量子密钥中继或密文中继方式，存在不便于统一管控和安全性不太完善的问题(例如，量子密钥从QKD网络到移动终端大多是利用传统密码加密转发，不具有量子安全性)。
技术实现思路
为了克服现有技术的上述缺点，本专利技术提供了一种灵活的量子安全移动通信方法，旨在解决量子安全移动通信中量子密钥的统一管控问题、移动终端的接入灵活性问题和移动应用的安全性问题。本专利技术解决其技术问题所采用的技术方案是：一种灵活的量子安全移动通信方法，包括如下步骤：步骤一、移动终端注册入网，QKD节点申请获取QBK并建立服务绑定关系列表；步骤二、移动终端向QKMC或QKMC分中心申请会话密钥，QKMC或QKMC分中心查找移动终端所绑定的QKD节点，并向QKD节点发送服务指令；步骤三、QKD节点分别采用与QKMC或QKMC分中心共享的量子密钥，加密所绑定移动终端的QBK子密钥，并把得到的加密数据发给QKMC或QKMC分中心；步骤四、QKMC或QKMC分中心解密得到QKD节点所绑定的移动终端的QBK的子密钥，并产生会话密钥R，然后分别利用各子密钥加密R后并发给对应的移动终端；各移动终端分别解密得到R，作为本次通信的会话密钥；步骤五、各QKD节点及其绑定的移动终端、QKMC或QKMC分中心分别删除使用过的密钥数据，并更新服务绑定关系列表，各QKD节点更新节点状态信息。与现有技术相比，本专利技术的积极效果是：本专利技术具有更灵活的量子密钥服务及管理方式，并具有以下三个方面的显著创新性：(1)移动终端一次注入量子基础密钥后可以在任何QKD节点获得量子密钥服务，用完后可以在任何一个QKD节点进行再次加注，接入灵活；(2)移动终端获取会话密钥的全过程是量子安全的，与其它需要采用传统密钥协商技术的移动应用的密钥分配方案相比具有更高的安全性；(3)引入了量子密钥管理中心统一管控用户会话密钥的产生和协商，具有更高效率和全生命周期的管理。附图说明本专利技术将通过例子并参照附图的方式说明，其中：图1为本专利技术方法的注册过程示意图；图2为本专利技术方法的在线协商会话密钥过程示意图；图3为本专利技术方法的通信流程示意图；图4为本专利技术方法的群组通信示意图；图5为本专利技术方法中QKD节点与QKMC的不同连接关系示意图；图6为实施例一的通信流程示意图；图7为实施例二的通信流程示意图；图8为实施例三的通信流程示意图；图9为实施例四的通信流程示意图；图10为实施例五的通信流程示意图；图11为实施例六的通信流程示意图；图12为实施例七的通信流程示意图；图13为实施例八的通信流程示意图；图14为实施例九的通信流程示意图。具体实施方式一、本专利技术的系统组成本专利技术提出的一种量子安全的移动保密通信系统包括QKD节点、移动终端、量子密钥管理中心(QuantumKeyManagementCenter,QKMC)和QKMC分中心，其中：(1)QKD节点，由一个或多个量子密钥分配系统的发送端和接收端构成(包括但不限于QKD网络的末端接入节点和中继节点)，提供量子密钥分配服务；每个QKD节点可以与存在可用链路的其它QKD节点协商量子密钥，也可以与存在可用链路的QKMC协商量子密钥；QKD节点的主要作用包括但不限于：(a)为注册移动终端分配量子身份号；(b)为移动终端提供量子基础密钥注入服务，并创建移动终端与该QKD节点之间的服务绑定关系列表(包括但不限于移动终端的量子身份号、具有绑定关系QKD节点的地址、量子基础密钥的余量)；(c)向QKMC或所属QKMC分中心上传服务绑定关系列表；(d)响应QKMC或所属QKMC分中心的指令，移动终端所绑定的QKD节点根据指令所指定的量子身份号选择相应量子基础密钥的子密钥，该子密钥经量子密钥加密后发给QKMC或所属QKMC分中心。(2)移动终端，包括但不限于智能手机、平板电脑、笔记本电脑、移动车载设备或其它具有移动通信功能的软硬件系统，是通信业务的发起方和接收方。移动终端配置永久存储设备(包括但不限于闪存芯片和SD卡)，具备支持网络访问能力的硬件模块，具备与QKD网络进行信息交互的能力，具备处理数据加解密的计算能力。移动终端可以就近连接(包括但不限于采用USB或NFC接口)一个QKD节点、QKMC或QKMC分中心，进行入网注册，并在注册成功后导入量子基础密钥；移动终端可以根据应用需求在多个QKD节点获取量子基础密钥，并由QKMC根据QKD网络情况选择最优的服务策略，或由用户指定使用其在某个QKD节点获取的量子基础密钥。(3)QKMC，由QKD节点、量子网络管理系统和量子密钥管理与服务系统构成，面向全网统一提供量子网络管理、量子密钥管理和会话密钥分配。QKMC主要功能包括但不限于：(a)存储、维护和查询移动终端与相应QKD节点之间的服务绑定关系列表；根据收到的信息，判断相关移动终端的合法性；(b)利用与其它QKD节点(或QKMC分中心)之间的网络连接实时收集各个QKD节点(或QKMC分中心)的状态信息，并向各QKD节点(或QKMC分中心)发送进行量子密钥中继、量子密钥协商或上报某个移动终端的量子基础密钥的子密钥的指令；(c)维护与各QKD节点间的网络连接，对参与会话密钥协商的各QKD节点的当前状态指标进行汇总，判断并指定参与会话密钥协商的QKD节点；其中，QKMC判断并指定会话密钥协商的QKD节点的方法包括但不限于：QKMC根据所接收到的请求信息中的主叫移动终端与被叫移动终端的相关信息，以及相应QKD节点与移动终端间的绑定关系，得到本次通信中的主叫QKD节点地址和被叫QKD节点地址；然后再查询并选择主叫QKD节点与被叫QKD节点之间的最佳链路。选择QKMC的基本策略包括：(a)对于树形拓扑结构的多层级QKD网络，把其根节点作为QKMC，把关键子节点作为QKMC分中心；(b)对于不规则拓扑结构的QKD网络，把QKD网络的核心节点作为QKMC，把区域子网的核心节点作为QKMC分中心(并按一定规则对QKMC分中心进行编号，例如记为QKMC_i)。(4)QKMC分中心，是QKD网络中直接连接多个QKD节点的管理节点(通常是QKD网络中区域子网的中心节点)；QKMC分中心在QKMC的授权下为该授权所指定的QKD节点所绑定的移动终端提供会话密钥分配服务。二、基本方法为了描述方便，首先对本专利技术方案中所涉及的密钥进行说明，本专利技术方案中本文档来自技高网...

【技术保护点】
1.一种灵活的量子安全移动通信方法，其特征在于：包括如下步骤：步骤一、移动终端注册入网，QKD节点申请获取QBK并建立服务绑定关系列表；步骤二、移动终端向QKMC或QKMC分中心申请会话密钥，QKMC或QKMC分中心查找移动终端所绑定的QKD节点，并向QKD节点发送服务指令；步骤三、QKD节点分别采用与QKMC或QKMC分中心共享的量子密钥，加密所绑定移动终端的QBK子密钥，并把得到的加密数据发给QKMC或QKMC分中心；步骤四、QKMC或QKMC分中心解密得到QKD节点所绑定的移动终端的QBK的子密钥，并产生会话密钥R，然后分别利用各子密钥加密R后并发给对应的移动终端；各移动终端分别解密得到R，作为本次通信的会话密钥；步骤五、各QKD节点及其绑定的移动终端、QKMC或QKMC分中心分别删除使用过的密钥数据，并更新服务绑定关系列表，各QKD节点更新节点状态信息。

【技术特征摘要】
1.一种灵活的量子安全移动通信方法，其特征在于：包括如下步骤：步骤一、移动终端注册入网，QKD节点申请获取QBK并建立服务绑定关系列表；步骤二、移动终端向QKMC或QKMC分中心申请会话密钥，QKMC或QKMC分中心查找移动终端所绑定的QKD节点，并向QKD节点发送服务指令；步骤三、QKD节点分别采用与QKMC或QKMC分中心共享的量子密钥，加密所绑定移动终端的QBK子密钥，并把得到的加密数据发给QKMC或QKMC分中心；步骤四、QKMC或QKMC分中心解密得到QKD节点所绑定的移动终端的QBK的子密钥，并产生会话密钥R，然后分别利用各子密钥加密R后并发给对应的移动终端；各移动终端分别解密得到R，作为本次通信的会话密钥；步骤五、各QKD节点及其绑定的移动终端、QKMC或QKMC分中心分别删除使用过的密钥数据，并更新服务绑定关系列表，各QKD节点更新节点状态信息。2.根据权利要求1所述的一种灵活的量子安全移动通信方法，其特征在于：步骤一所述移动终端注册入网并与QKD节点建立服务绑定关系的过程包括：(1)移动终端就近向一个QKD节点申请入网，获得唯一的量子身份号、主密钥和身份认证密钥；(2)移动终端向QKD节点申请QBK；(3)QKD节点为移动终端注入QBK，并创建与移动终端之间的服务绑定关系列表：移动终端的量子身份号、具有绑定关系QKD节点的地址、量子基础密钥的余量；(4)然后QKD节点将收集到的移动终端的注册信息利用该QKD节点与QKMC或QKMC分中心之间的共享量子密钥加密后发给QKMC或QKMC分中心。3.根据权利要求1所述的一种灵活的量子安全移动通信方法，其特征在于：所述QBK为利用量子随机数发生器产生的随机数，所述随机数可被分割为多个子密钥。4.根据权利要求1所述的一种灵活的量子安全移动通信方法，其特征在于：所述QKMC或QKMC分中心由QKD节点、量子网络管理系统和量子密钥管理与服务系统构成，所述QKMC或QKMC分中心基于QKD节点当前状态及其在网络中的分布情况，根据量子网络管理策略面向全网统一提供量子网络管理、量子密钥管理和会话密钥分配；所述量子网络管理策略包括：(a)对于树形拓扑结构的多层级QKD网络，把其根节点作为QKMC，把关键子节点作为QKMC分中心；(b)对于不规则拓扑结构的QKD网络，把QKD网络的核心节点作为QKMC，把区域子网的核心节点作为QKMC分中心。5.根据权利要求1所述的一种灵活的量子安全移动通信方法，其特征在于：所述QKD节点的当前状态指标包括：(1)反映该节点当前负担的业务密钥生成任务的繁重状态的指标，该指标是一个量化的指标，包括：(1-1)该节点的额定业务密钥生成速率；(1-2)该节点当前正在为多少组保密通信业务生成业务密钥；(1-3)该节点当前总共还有多少业务密钥量待生成；(1-4)被指定由该节点生成的业务密钥中，各组业务密钥的实际生成速率与消耗速率；(1-5)被指定由该节点生成的业务密钥中，各组业务密钥的已生成数量与已消耗数量；(2)反映该节点在量子密钥分配网络中当前所处的位置状态的指标，该指标是一个量化的指标，包括：(2-1)该节点与其他多少个节点间拥有量子信道，能够产生共享密钥；(2-2)该节点与其他...

【专利技术属性】
技术研发人员：徐兵杰，陈晖，黄伟，何远杭，樊矾，杨杰，刘金璐，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：四川,51