一种量子城域网中基于队列轮询的端到端密钥生成方法技术

本发明专利技术属于量子通信技术领域，公开了一种量子城域网中基于队列轮询的端到端密钥生成方法，所述量子城域网中基于队列轮询的端到端密钥生成方法的源端随机地产生初始密钥并使用唯一的私钥加密，加密的初始密钥在中继节点中经过缓存队列轮询处理，利用量子密钥逐跳加解密，目的端收到加密的通话密钥后，用私钥解密得到初始密钥，经过源端和目的端两重确认生成端到端密钥。本发明专利技术涉及一种量子城域网中基于队列轮询的端到端密钥生成方法。本发明专利技术可用于量子城域网中产生端到端密钥并对业务进行加密传输，实现源端到目的端的安全通信。用于解决量子城域网中通信时因密钥生成不稳定导致的通信时延抖动增大问题和因可信中继的风险导致的通信不安全的问题。

【技术实现步骤摘要】
一种量子城域网中基于队列轮询的端到端密钥生成方法
本专利技术属于量子通信
，尤其涉及一种量子城域网中基于队列轮询的端到端密钥生成方法。
技术介绍
量子密钥分发QKD(QuantumKeyDistribution)利用量子态对信息进行量子编码并传递，能为通信双方提供理论上无条件安全的共享密钥。其安全性依赖于量子力学基本原理，一旦有窃取密钥者就会被发现。近年来，点到点的量子密钥分发技术已经日益成熟，量子密钥分发网络成为研究重点。在现有的量子城域网组网方式中，基于可信中继的QKD网络被认为是目前技术条件下实际可行的网络组网方式。该方式是通过受信任的中间节点构建QKD链路，以扩大网络规模。QKD网络的通信策略主要有逐跳加密策略和端到端加密策略。逐跳加密策略，即明文直接使用中继节点的量子密钥逐跳加解密到达目的端，该策略通信流量需求小，但每个中继节点的加解密过程增大了通信时延，链路密钥不足时易造成通信呼损率增大。端到端加密策略，即通信双方先建立端到端密钥再加密传输，能有效改善逐跳加密的缺点。端到端加密策略需要密钥中继方式实现，其基本思想是利用相邻节点间共享的量子密钥，对中继密钥进行加解密，实现密钥在节点间加密中转。值得注意的是，中继密钥在中继节点以明文形式存在，中继密钥的存储和纵向传递的安全性都是本领域需要解决的问题。同时，目前还未出现针对QKD网络中可信中继的数据包处理方法，以保证量子业务和经典业务的有序传输。解决以上问题及缺陷的难度在于，既要尽量降低端到端通信的时延、呼损率，也要保证端到端密钥生成的正确率、安全性。对于规模量子通信网络组网，实现上述要求对网络应用的安全性和通信效率都非常重要。
技术实现思路
针对现有技术存在的问题，本专利技术提供了一种量子城域网中基于队列轮询的端到端密钥生成方法。本专利技术是这样实现的，一种量子城域网中基于队列轮询的端到端密钥生成方法，源端随机地产生初始密钥并使用唯一的私钥加密，加密的初始密钥在中继节点中经过缓存队列轮询处理，利用量子密钥逐跳加解密，目的端收到私钥加密的初始密钥后，用私钥解密得到初始密钥，经过源端和目的端两重确认生成端到端密钥；该方法的步骤包括如下：(1)量子城域网中相邻中继节点之间使用光量子系统生成对称的量子密钥；(2)初始化密钥参数：(2a)设置数据包单位长度为Unit，根据源端的发送流量和接收流量的比值m：n，设置密钥长度Lk＝(m+n)*Unit(Lk长度应小于1472字节)；(2b)设置源端密钥等待确认时间T1，目的端密钥等待时间T2，目的端密钥等待确认时间T3(T1＞T2＞T3)；(3)源端产生初始密钥包：(3a)源端随机产生一个长度为Lk的二进制串作为初始密钥，为该初始密钥分配唯一且有序的序列号，将初始密钥按照密钥存储结构且按照序列号顺序放入源端的密钥发送缓冲区B1；(3b)使用其自身的私钥为初始密钥加密，将加密后的初始密钥进行IP数据报封装，得到初始密钥包，在初始密钥包头部选项字段中分别用不同位置设置标记E和标记其初始密钥的序列号，发送该密钥包到相邻接入节点；(4)初始密钥包经接入节点、中继节点中队列轮询处理和转发，逐跳到达目的端；(5)目的端处理初始密钥包：(5a)目的端舍弃超过目的端密钥等待时间T2仍未接收到的初始密钥包的序列号，更新预期序列号；(5b)目的端收到初始密钥包，查看该包头部字段获取初始密钥的序列号，解封装得到加密后的初始密钥，使用目的端的私钥对其进行解密，得到初始密钥，将初始密钥按照密钥存储结构且按照密钥序列号顺序放入目的端的密钥接收缓存区B2；(5c)向源端返回一个确认包，确认包的内容是接收的密钥包序列号；(6)源端处理确认包：(6a)源端收到目的端返回的确认包，获得其中的序列号，向目的端返回一个二次确认包，二次确认包的内容为收到的确认包中的序列号；(6b)判断收到确认包的序列号是否是正确顺序的序列号，若是，从密钥发送缓存区B1取出该密钥，取该密钥前m*Unit字节放入源端的端到端发送密钥中，剩下n*Unit字节放入源端的端到端接收密钥中，否则，在B1中序列号对应的密钥做确认标记；(6c)判断B1中是否有正确顺序且已确认的密钥，若是，依次按序列号顺序取出这些密钥，每个密钥取前m*Unit字节放入端到端发送密钥中，剩下n*Unit字节放入端到端接收密钥中；(6d)判断B1中是否有密钥的等待时间超过源端密钥等待确认时间T1，若是，销毁这些密钥；(7)目的端处理二次确认包：(7a)目的端收到源端发来的二次确认包，获得其中的序列号，判断该序列号是否是正确顺序的序列号，若是，从密钥接收缓存区B2取出该序列号的密钥，取该密钥前m*Unit字节放入目的端的端到端接收密钥中，剩下n*Unit字节放入目的端的端到端发送密钥中，否则，在B2中序列号对应的密钥做确认标记；(7b)判断B2中是否有正确顺序且已确认的密钥，若是，依次按序列号顺序取出些密钥，每个密钥取前m*Unit字节放入端到端接收密钥中，剩下n*Unit字节放入端到端发送密钥中；(7c)判断B2中是否有密钥的等待时间超过了目的端密钥等待确认时间T3，若是，重新向源端发送这些密钥的确认包。进一步：步骤(1)中所述量子城域网中节点，包括：中继节点，所述中继节点是连接接入节点的中间设备，中继节点之间都通过经典通信信道和量子信道连接，所有中继节点均包含QKD设备、密钥管理设备和路由模块，QKD设备负责相邻节点的密钥分发，协商出量子密钥，密钥管理设备负责获取与其相连的QKD设备产生的量子密钥并进行管理和存储，路由模块负责收集和维护本地路由信息，并实现路由选择功能；接入节点，所述接入节点是用户接入量子城域网的设备，结构与中继节点相同，与相邻中继节点通过经典通信信道和量子信道连接，与用户通过经典通信信道相连；源端，所述源端是经过信任机构认证的量子用户，与接入节点通过经典通信信道连接；源端包含密钥发送缓存区，其作用是缓存已发送的未确认或者乱序的密钥；目的端，所述目的端是经过信任机构认证的量子用户，与接入节点通过经典通信信道相连；目的端包含密钥接收缓存区，其作用是缓存接收的未确认或者乱序的密钥。进一步：步骤(3a)中所述密钥存储结构指的是，端到端密钥的保存形式，其结构应包括：序列号，密钥主体，密钥长度，创建时间，是否收到确认的标志位。进一步：步骤(3b)中所述的使用其自身的私钥为该端到端密钥加密的步骤如下：第一步，第三方信任机构通过非公开信道给源端和目的端下发用于加密、解密操作的私钥加密设备；第二步，源端将端到端密钥输入到私钥加密设备中，输出与输入密钥等长度的密钥串。进一步：步骤(4)中所述的初始密钥包经接入节点、中继节点中队列轮询处理和转发，接入节点与中继节点处理的差别在于，接入节点收到源端发来的初始密钥包，转发时不需要经过解密，直接加密后转发，中继节本文档来自技高网...

【技术保护点】
1.一种量子城域网中基于队列轮询的端到端密钥生成方法，其特征在于，源端随机地产生初始密钥并使用唯一的私钥加密，加密的初始密钥在中继节点中经过缓存队列轮询处理，利用量子密钥逐跳加解密，目的端收到私钥加密的初始密钥后，用私钥解密得到初始密钥，经过源端和目的端两重确认生成端到端密钥；该方法的步骤包括如下：/n(1)量子城域网中相邻中继节点之间使用光量子系统生成对称的量子密钥；/n(2)初始化密钥参数：/n(2a)设置数据包单位长度为Unit，根据源端的发送流量和接收流量的比值m：n，设置密钥长度L

【技术特征摘要】
1.一种量子城域网中基于队列轮询的端到端密钥生成方法，其特征在于，源端随机地产生初始密钥并使用唯一的私钥加密，加密的初始密钥在中继节点中经过缓存队列轮询处理，利用量子密钥逐跳加解密，目的端收到私钥加密的初始密钥后，用私钥解密得到初始密钥，经过源端和目的端两重确认生成端到端密钥；该方法的步骤包括如下：
(1)量子城域网中相邻中继节点之间使用光量子系统生成对称的量子密钥；
(2)初始化密钥参数：
(2a)设置数据包单位长度为Unit，根据源端的发送流量和接收流量的比值m：n，设置密钥长度Lk＝(m+n)*Unit(Lk长度应小于1472字节)；
(2b)设置源端密钥等待确认时间T1，目的端密钥等待时间T2，目的端密钥等待确认时间T3(T1＞T2＞T3)；
(3)源端产生初始密钥包：
(3a)源端随机产生一个长度为Lk的二进制串作为初始密钥，为该初始密钥分配唯一且有序的序列号，将初始密钥按照密钥存储结构且按照序列号顺序放入源端的密钥发送缓冲区B1；
(3b)使用其自身的私钥为初始密钥加密，将加密后的初始密钥进行IP数据报封装，得到初始密钥包，在初始密钥包头部选项字段中分别用不同位置设置标记E和标记其初始密钥的序列号，发送该密钥包到相邻接入节点；
(4)初始密钥包经接入节点、中继节点中队列轮询处理和转发，逐跳到达目的端；
(5)目的端处理初始密钥包：
(5a)目的端舍弃超过目的端密钥等待时间T2仍未接收到的初始密钥包的序列号，更新预期序列号；
(5b)目的端收到初始密钥包，查看该包头部字段获取初始密钥的序列号，解封装得到加密后的初始密钥，使用目的端的私钥对其进行解密，得到初始密钥，将初始密钥按照密钥存储结构且按照密钥序列号顺序放入目的端的密钥接收缓存区B2；
(5c)向源端返回一个确认包，确认包的内容是接收的密钥包序列号；
(6)源端处理确认包：
(6a)源端收到目的端返回的确认包，获得其中的序列号，向目的端返回一个二次确认包，二次确认包的内容为收到的确认包中的序列号；
(6b)判断收到确认包的序列号是否是正确顺序的序列号，若是，从密钥发送缓存区B1取出该密钥，取该密钥前m*Unit字节放入源端的端到端发送密钥中，剩下n*Unit字节放入源端的端到端接收密钥中，否则，在B1中序列号对应的密钥做确认标记；
(6c)判断B1中是否有正确顺序且已确认的密钥，若是，依次按序列号顺序取出这些密钥，每个密钥取前m*Unit字节放入端到端发送密钥中，剩下n*Unit字节放入端到端接收密钥中；
(6d)判断B1中是否有密钥的等待时间超过源端密钥等待确认时间T1，若是，销毁这些密钥；
(7)目的端处理二次确认包：
(7a)目的端收到源端发来的二次确认包，获得其中的序列号，判断该序列号是否是正确顺序的序列号，若是，从密钥接收缓存区B2取出该序列号的密钥，取该密钥前m*Unit字节放入目的端的端到端接收密钥中，剩下n*Unit字节放入目的端的端到端发送密钥中，否则，在B2中序列号对应的密钥做确认标记；
(7b)判断B2中是否有正确顺序且已确认的密钥，若是，依次按序列号顺序取出些密钥，每个密钥取前m*Unit字节放入端到端接收密钥中，剩下n*Unit字节放入端到端发送密钥中；
(7c)判断B2中是否有密钥的等待时间超过了目的端密钥等待确认时间T3，若是，重新向源端发送这些密钥的确认包。


2.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法，其特征在于：步骤(1)中所述量子城域网，包括：
中继节点，所述中继节点是连接接入节点的中间设备，中继节点之间都通过经典通信信道和量子信道连接，所有中继节点均包含QKD设备、密钥管理设备和路由模块，QKD设备负责相邻节点的密钥分发，协商出量子密钥，密钥管理设备负责获取与其相连的QKD设备产生的量子密钥并进行管理和存储，路由模块负责收集和维护本地路由信息，并实现路由选择功能；
接入节点，所述接入节点是用户接入量子城域网的设备，结构与中继节点相同，与相邻中继节点通过经典通信信道和量子信道连接，与用户通过经典通信信道相连；
源端，所述源端是经过信任机构认证的量子用户，与接入节点通过经典通信信道连接；源端包含密钥发送缓存区，其作用是缓存已发送的未确认或者乱序的密钥；
目的端，所述目的端是经过信任机构认证的量子用户，与接入节点通过经典通信信道相连；目的端包含密钥接收缓存区，其作用是缓存接收的未确认或者乱序的密钥。


3.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法，其特征在于：步骤(3a)中所述密钥存储结构指的是，端到端密钥的保存形式，其结构应包括：序列号，密钥主体，密钥长度，创建时间，是否收到确认的标志位。


4.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法，其特征在于：步骤(3b)中所述的使用其自身的私钥为该端到端密钥加密的步骤如下：
第一步，第三方信任机构通过非公开信道给源端和目的端下发用于加密、解密操作的私钥加密设备；
第二步，源端将端到端密钥输入到私钥加密设备中，输出与输入密钥等长度的密钥串。


5.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法，其特征在于：步骤(4)中所述的初始密钥包经接入节点、中继节点中队列轮询处理和转发，接入节点与中继节点处理的差别在于，接入节点收到源端发来的初始密钥包，转发时不需要经过解密，直接加密后转发，中继节点是收到上一中继节点的经过量子密钥加密生成的中间密钥包，先解密得到初始密钥包再加密转发。


6.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法，其特征在于：步骤(6b)中所述发送密钥和接收密钥指的是，将端到端密钥分为发送密钥和接收密钥，发送密钥是对发送的业务做加密的密钥，接收密钥是对接收的密文做解密的密钥。


7.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法，其特征在于，步骤(4)中继节点的队列轮询处理策略：
(1)对中继节点中路由模块的缓存队列进行分类：
中继节点IP层将路由模块的缓存队列分为密钥包队列Q1和业务包队列Q2，设...

【专利技术属性】
技术研发人员：权东晓，叶子豪，朱畅华，许苗苗，赵楠，何先灯，易运晖，陈南，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61