一种量子会话密钥分发方法及系统技术方案

本发明专利技术公开了一种量子会话密钥分发方法及系统，当待进行量子加密通信的两个设备之间存在共享的对称密钥时，对所述两个设备对应的身份信息进行验证，并通过所述两个设备之间的通信协商，确定所述两个设备在通信过程中的加密套件和量子会话密钥使用规则，建立所述两个设备之间的安全通信信道，使得将所述共享的对称密钥作为量子会话密钥进行加密通信；当待进行量子加密通信的两个设备之间不存在共享的对称密钥时，分别建立设备与可信第三方之间的安全通信信道，基于可信第三方通过安全通信信道进行量子会话密钥分发。本发明专利技术基于共享的对称密钥进行通信协商或者实现密钥分发，解决了传统密钥分发被破解的潜在安全威胁和通信安全性较低的问题。

【技术实现步骤摘要】
一种量子会话密钥分发方法及系统
本专利技术涉及量子通信
，特别是涉及一种量子会话密钥分发方法及系统。
技术介绍
伴随着业务流程的网络化，用户越来越多的关心业务本身数据的传输安全性和通信存储的安全性。目前，在传统的计算机领域中，信息的认证及会话密钥分发的典型方法有两种：一种是基于SSL(SecureSocketsLayer，安全套接层)协议，另一种是基于Kerberos(网络认证协议)实现。SSL协议位于TCP/IP协议模型的网络层和应用层之间，使用TCP来提供一种可靠的端到端的安全服务，它使客户/服务器应用之间的通信不被攻击窃听，并且始终对服务器进行认证，还可以选择对客户进行认证。SSL协议在应用层通信之前完成加密算法、工作密钥的协商，以及服务器认证工作，在此之后，应用层协议所传送的数据都被加密。Kerberos提供了一个集中式的认证服务器结构，采用对称密钥加密技术通过认证服务器实现用户与其访问的服务器的相互鉴别。Kerberos的密钥分配中心拥有保存所有客户及其密钥信息的数据库，客户首先要在该数据库中注册身份信息和秘密密钥。但是，基于上述两种协议的密钥分发都存在着一定的缺陷。SSL协议的会话密钥协商安全主要依赖于使用RSA、ECC和IBC等公钥密钥体系对预主密钥的加密保护。由于该公钥密钥体系安全性依赖于计算的复杂度，在理论上不具有无条件安全性，且由于计算机的运算能力不断提高，以及量子计算机的出现，被破解的几率增加，因此有较大的安全隐患。Kerberos协议的会话密钥分发过程采用的是对称密钥加密技术，主要存在的缺点是：会话密钥分发过程的安全性依赖于客户端C与认证服务器AS和应用服务器S与票据许可服务器TGS的两支共享密钥的安全，无法防止口令破解程序的攻击；共享密钥通常以文件格式保存在客户端或者服务器中，缺少有效的密钥安全保护机制；缺少共享密钥安全便捷的更新方式，一旦共享密钥被破解，需要人为参与解决问题，时效较低。因此，在上述的SSL协议和Kerberos协议中实现的密钥分发存在着较多的安全隐患，无法为移动应用业务的通信安全提供有效保证。
技术实现思路
针对于上述问题，本专利技术提供一种量子会话密钥分发方法及系统，解决了传统密钥分发被破解的潜在安全威胁和通信安全性较低的问题。为了实现上述目的，本专利技术提供了如下技术方案：一种量子会话密钥分发方法，包括：基于预设的量子安全协议对进行通信的设备，进行量子会话密钥分发，具体包括：当待进行量子加密通信的两个设备之间存在共享的对称密钥时，基于所述共享的对称密钥对所述两个设备对应的身份信息进行验证，所述共享的对称密钥包括量子密钥或者预置随机数密钥；若所述身份信息验证成功，通过所述两个设备之间的通信协商，确定所述两个设备在通信过程中的加密套件和量子会话密钥使用规则，所述加密套件包括加密算法和MAC算法；基于所述通信过程中的加密套件和量子会话密钥使用规则，建立所述两个设备之间的安全通信信道，使得所述两个设备将所述共享的对称密钥作为量子会话密钥进行加密通信；当待进行量子加密通信的两个设备之间不存在共享的对称密钥，且所述两个设备分别与可信第三方存在共享的对称密钥时，分别建立设备与所述可信第三方之间的安全通信信道，基于所述可信第三方通过所述安全通信信道进行量子会话密钥分发，使得所述两个设备获得相同的量子会话密钥，并基于所述量子会话密钥进行加密通信。可选地，所述协商确定的加密套件和量子会话密钥使用规则表征两个设备在进行通信时产生的每个通信数据包按照预设指定密钥进行加密保护，使得量子会话密钥采用一次一密或者预设对称加密方式进行加密保护，并将所述量子会话密钥添加到进行量子会话密钥分发过程中的通信数据包中。可选地，所述建立设备与所述可信第三方之间的安全通信信道之前，该方法还包括：对与所述可信第三方存在共享的对称密钥的两个设备进行身份验证，并基于所述可信第三方确定所述两个设备的量子会话密钥对应的生命周期。可选地，所述建立设备与所述可信第三方之间的安全通信信道，包括：将第一设备发送的会话密钥请求发送至所述可信第三方，并将所述可信第三方生成的会话密钥请求响应发送至所述第一设备，所述会话密钥请求包括通信数据包加密使用的密钥标识信息和请求会话密钥量；将第一设备获得的与所述会话密钥请求响应对应的会话密钥票据转发至第二设备，使得所述第一设备和所述第二设备建立安全通信信道，所述会话密钥票据包括会话密钥票据的有效时间、请求会话密钥量和设备标识信息。可选地，所述基于所述可信第三方通过所述安全通信信道进行量子会话密钥分发，包括：基于两个设备与所述可信第三方确定的会话密钥票据，在所述安全通信信道上分别对所述两个设备进行量子会话密钥分发。可选地，该方法还包括：响应于两个设备之间的密钥协商发生改变，将两个设备之间重新确定的加密套件和密钥分别发送至两个设备，使得所述两个设备通信报文采用所述重新确定的加密套件和密钥。可选地，该方法还包括：响应于两个设备之间进行通信时产生的信息满足告警条件时，生成告警信息，并将所述告警信息发送至对应的设备端。可选地，该方法还包括：对产生的量子会话密钥使用规则、与密钥协商对应的更新信息和告警信息进行记录。一种量子会话密钥分发系统，包括：第一分发子系统，用于当待进行量子加密通信的两个设备之间存在共享的对称密钥时，基于所述共享的对称密钥对所述两个设备对应的身份信息进行验证，所述共享的对称密钥包括量子密钥或者预置随机数密钥；若所述身份信息验证成功，通过所述两个设备之间的通信协商，确定所述两个设备在通信过程中的加密套件和量子会话密钥使用规则，所述加密套件包括加密算法和MAC算法；基于所述通信过程中的加密套件和量子会话密钥使用规则，建立所述两个设备之间的安全通信信道，使得所述两个设备将所述共享的对称密钥作为量子会话密钥进行加密通信；第二分发子系统，用于当待进行量子加密通信的两个设备之间不存在共享的对称密钥，且所述两个设备分别与可信第三方存在共享的对称密钥时，分别建立设备与所述可信第三方之间的安全通信信道，基于所述可信第三方通过所述安全通信信道进行量子会话密钥分发，使得所述两个设备获得相同的量子会话密钥，并基于所述量子会话密钥进行加密通信。一种量子会话密钥分发方法，应用于如上述所述的第二分发子系统，所述第二分发子系统，包括量子安全服务设备和量子密钥分发服务设备，该方法包括：当待进行量子加密通信的两个设备之间不存在共享的对称密钥，且所述两个设备分别与所述第二分发子系统存在共享的对称密钥时，所述量子安全服务设备对所述两个设备进行身份验证，并分别建立与所述两个设备之间的安全通信信道；所述量子密钥分发服务设备基于所述安全通信信道，对所述两个设备进行量子会话密钥分发，使得所述两个设备获得相同的量子会话密钥，并基于所述量子会话密钥进行加密通信。一种第二分发子系统，其特征在于，所述第二分发子本文档来自技高网...

【技术保护点】
1.一种量子会话密钥分发方法，其特征在于，包括：/n基于预设的量子安全协议对进行通信的设备，进行量子会话密钥分发，具体包括：/n当待进行量子加密通信的两个设备之间存在共享的对称密钥时，基于所述共享的对称密钥对所述两个设备对应的身份信息进行验证，所述共享的对称密钥包括量子密钥或者预置随机数密钥；/n若所述身份信息验证成功，通过所述两个设备之间的通信协商，确定所述两个设备在通信过程中的加密套件和量子会话密钥使用规则，所述加密套件包括加密算法和MAC算法；/n基于所述通信过程中的加密套件和量子会话密钥使用规则，建立所述两个设备之间的安全通信信道，使得所述两个设备将所述共享的对称密钥作为量子会话密钥进行加密通信；/n当待进行量子加密通信的两个设备之间不存在共享的对称密钥，且所述两个设备分别与可信第三方存在共享的对称密钥时，分别建立设备与所述可信第三方之间的安全通信信道，基于所述可信第三方通过所述安全通信信道进行量子会话密钥分发，使得所述两个设备获得相同的量子会话密钥，并基于所述量子会话密钥进行加密通信。/n

【技术特征摘要】
1.一种量子会话密钥分发方法，其特征在于，包括：
基于预设的量子安全协议对进行通信的设备，进行量子会话密钥分发，具体包括：
当待进行量子加密通信的两个设备之间存在共享的对称密钥时，基于所述共享的对称密钥对所述两个设备对应的身份信息进行验证，所述共享的对称密钥包括量子密钥或者预置随机数密钥；
若所述身份信息验证成功，通过所述两个设备之间的通信协商，确定所述两个设备在通信过程中的加密套件和量子会话密钥使用规则，所述加密套件包括加密算法和MAC算法；
基于所述通信过程中的加密套件和量子会话密钥使用规则，建立所述两个设备之间的安全通信信道，使得所述两个设备将所述共享的对称密钥作为量子会话密钥进行加密通信；
当待进行量子加密通信的两个设备之间不存在共享的对称密钥，且所述两个设备分别与可信第三方存在共享的对称密钥时，分别建立设备与所述可信第三方之间的安全通信信道，基于所述可信第三方通过所述安全通信信道进行量子会话密钥分发，使得所述两个设备获得相同的量子会话密钥，并基于所述量子会话密钥进行加密通信。


2.根据权利要求1所述的方法，其特征在于，所述协商确定的加密套件和量子会话密钥使用规则表征两个设备在进行通信时产生的每个通信数据包按照预设指定密钥进行加密保护，使得量子会话密钥采用一次一密或者预设对称加密方式进行加密保护，并将所述量子会话密钥添加到进行量子会话密钥分发过程中的通信数据包中。


3.根据权利要求2所述的方法，其特征在于，所述建立设备与所述可信第三方之间的安全通信信道之前，该方法还包括：
对与所述可信第三方存在共享的对称密钥的两个设备进行身份验证，并基于所述可信第三方确定所述两个设备的量子会话密钥对应的生命周期。


4.根据权利要求3所述的方法，其特征在于，所述建立设备与所述可信第三方之间的安全通信信道，包括：
将第一设备发送的会话密钥请求发送至所述可信第三方，并将所述可信第三方生成的会话密钥请求响应发送至所述第一设备，所述会话密钥请求包括通信数据包加密使用的密钥标识信息和请求会话密钥量；
将第一设备获得的与所述会话密钥请求响应对应的会话密钥票据转发至第二设备，使得所述第一设备和所述第二设备建立安全通信信道，所述会话密钥票据包括会话密钥票据的有效时间、请求会话密钥量和设备标识信息。


5.根据权利要求4所述的方法，其特征在于，所述基于所述可信第三方通过所述安全通信信道进行量子会话密钥分发，包括：
基于两个设备与所述可信第三方确定的会话密钥票据，在所述安全通信信道上分别对所述两个设备进行量子会话密钥分发。


6.根据权利要求1所述的方法，其特征在于，该方法还包括：
响应于两个设备之间的密钥协商发生改变，将两个设备之间重新确定的加密套件和密钥分别发送至两个设备，使得所述两个设备通信报文采用所述重新确定的加密套件和密钥。


7.根据权利要求6所述的方法，其特征在于，该方法还包括：
响应于两个设备之间进行通信时产生的信息满足告警条件时，生成告警信息，并将所述告警信息发送至对应的设备端。


8.根据权利要求7所述的方法，其特征在于，该方法还包括：
对产生的量子会话密钥使用规则、与密钥协商对应的更新信息和告警信息进行记录。


9.一种量子会话密钥分发系统，其特征在于，包括：
第一分发子系统，用于当待进行量子加密通信的两个设备之间存在共享的对称密钥时，基于所述共享的对称密钥对所述两个设备对应的身份信息进行验证，所述共享的对称密钥包括量子密钥或者预置随机数密钥；
若所述身份信息验证成功，通过所述两个设备之间的通信协商，确定所述两个设备在通信过程中的加密套件和量子会话密钥使用规则，所述加密套件包括加密算法和MAC算法；
基于所述通信过程中的加密套件和量子会话密钥使用规则，建立所述两个设备之间的安全通信信道，使得所述两个设备将所述共享的对称密钥作为量子会话密钥进行加密通信；
第二分发子系统，用于当待进行量子加密通信的两个设备之间不存在共享的对称密钥，...

【专利技术属性】
技术研发人员：陈洁容，游耀祥，
申请(专利权)人：广东国盾量子科技有限公司，
类型：发明
国别省市：广东;44