本发明专利技术提供了一种与量子网络分离的量子密钥服务方法,包括:第一服务器获取一定数量的异或关联切片作为切片集合,每一次服务从中随机选取并计算m个切片中的m个相关异或值的异或值,发送给第二服务器;第二服务器计算出相应的m个量子密钥分组的异或值并进行Hash运算并得到一个密钥分组,然后再采用客户端的随机数分组加密该密钥分组发送给客户端,客户端解密并得到该密钥分组。本发明专利技术可以解决量子密钥分发规模应用难题,在量子安全服务领域具有良好的应用前景。
【技术实现步骤摘要】
一种与量子网络分离的量子密钥服务方法与系统
本专利技术涉及量子密钥分发服务
,尤其涉及一种与量子网络分离的量子密钥服务方法与系统。
技术介绍
密钥分发或协商是保密通信系统中的关键技术,通常所采用的基于经典密码算法的密钥协商的安全性是基于计算复杂度的安全性,而不具有量子安全性;而采用量子密钥分发网络的密钥协商方法面临规模应用瓶颈,即一方面,量子密钥分发网络是单跳落地转发可信中继网络,存在实时互联互通瓶颈;另一方面,量子密钥分发网络是独立于互联网的基础设施,二者之间缺少无缝适配接口。为了解决上述问题,量子密钥分发网络功能虚拟化技术被提出来,即,创建量子密钥分发网络的异或关联切片,基于静态的切片数据协商共享密钥。但是,已公开的基于量子密钥分发网络功能虚拟化技术的密钥协商的安全强度较弱。而本专利技术通过建立异或关联切片的切片集合,并随机从中选择多个切片中的数据进行Hash运算,即每一次服务从切片集合中随机选取并计算m个切片中的m个相关异或值的异或值,发送给第二服务器;第二服务器计算出相应的m个量子密钥分组的异或值并进行Hash运算并得到一个密钥分组,然后再采用客户端的随机数分组加密该密钥分组发送给客户端,客户端解密并得到该密钥分组。本专利技术可以把N个切片的端到端服务次数提升到C(N,m),并克服了单一虚拟量子链路的脆弱性,从而实现一种与量子网络分离的量子密钥服务。
技术实现思路
为了解决
技术介绍
中的量子密钥分发服务所存在的效率和安全性问题,本专利技术提供了一种与量子网络分离的量子密钥服务方法,包括:第一服务器获取目标量子网络的一定数量的异或关联切片,两个或多个第二服务器分别获取与上述异或关联切片关联的一定数量的量子密钥分组,上述第二服务器分别为客户端提供随机数分组并创建相应的服务关联,并把上述服务关联发送给上述第一服务器;第一服务器响应第一客户端与第二客户端协商量子密钥的服务请求,第一服务器通过查询上述服务关联获取上述第一客户端和第二客户端所关联的两个第二服务器;第一服务器从上述一定数量的异或关联切片中选择m个异或值关联切片中与上述两个第二服务器关联的m个异或值(m是大于1的自然数),并把上述m个异或值的异或值发送给上述第一客户端所关联的第二服务器,把上述m个异或值的标识发送给另一个第二服务器;上述第一客户端所关联的第二服务器计算所接收到的上述异或值与上述m个异或值所关联的m个量子密钥分组的异或值,对上述异或值进行Hash运算并得到一个密钥分组,利用第一客户端的随机数分组加密上述密钥分组并发送给第一客户端或通过上述第一服务器发送给第一客户端,上述第一客户端利用相应的随机数分组解密并得到上述密钥分组;另一个第二服务器计算上述m个异或值所关联的m个量子密钥分组的异或值,对上述异或值进行上述Hash运算并得到一个密钥分组,利用第二客户端的随机数分组加密上述密钥分组并发送给第二客户端或通过上述第一服务器发送给第二客户端,上述第二客户端利用相应的随机数分组解密并得到上述密钥分组;其中,上述异或关联切片包括但不限于目标量子网络中所有任意两个第二服务器的量子密钥分组的异或值和相应的标识,上述目标量子网络包括量子密钥分发网络、量子通信网络、量子传感网络、量子安全互联网中的任一项。进一步地,上述方法还包括:如果上述一定数量的异或关联切片或其所关联的量子密钥分组的使用次数或使用时间超过限定值,则,销毁上述量子密钥分组。进一步地,上述方法还包括:上述第一服务器、第二服务器与客户端之间采用非对称密码算法、事先共享的认证密钥、或同时采用非对称密码算法和事先共享认证密钥进行身份认证。本专利技术还提供了一种与量子网络分离的量子密钥服务系统,包括用于完成上述方法的至少一个量子密钥服务中心、两个或多个量子服务器、多个客户端。本专利技术具有如下创新性:本专利技术通过建立异或关联切片的切片集合,并随机从中选择多个切片中的数据进行保密增强,把N个切片的端到端服务次数提升到C(N,m),并克服了单一虚拟量子链路的脆弱性,具有更高的安全性和效率。本专利技术实施例在量子密码服务领域具有良好的应用推广前景。附图说明图1为本专利技术实施例提供的一种与量子网络分离的量子密钥服务方法流程示意图;图2为本专利技术实施例提供的异或关联切片示意图;图3为本专利技术实施例提供的一种与量子网络分离的量子密钥服务系统示意图。具体实施方式为了使本专利技术的目的、技术方案及有益效果更加清楚明白,作为本专利技术的一部分,以下结合附图及具体实施例,对本专利技术作进一步说明。图1本专利技术实施例提供的一种与量子网络分离的量子密钥服务方法流程,其中包括:量子密钥服务中心(第一服务器)、量子服务器A(第二服务器A)和量子服务器B(第二服务器B)、第一客户端U和第二客户端V;量子服务器A为第一客户端U提供随机数分组并创建相应的服务关联,量子服务器B为第二客户端V提供随机数分组并创建相应的服务关联;量子服务器A和B分别把上述服务关联发送给量子密钥服务中心;其中,服务关联由若干条记录组成,每一条记录代表一台已经注册的客户端的关联信息,包括但不限于客户端的ID标识、关联服务器的ID标识、随机数分组的余量信息;服务流程包括如下步骤:步骤1:量子密钥服务中心响应第一客户端U与第二客户端V协商量子密钥的服务请求,通过查询服务关联信息获取第一客户端U与第二客户端V所关联的第二服务器A和B;步骤2:量子密钥服务中心从一定数量的异或关联切片集合中选择m(m是一个大于1且不大于切片总数量一半的自然数,为了具体说明用法,以下假定m=3,但并不用于限定m的取值范围)个异或值关联切片中与上述两个第二服务器关联的m个异或值(为方便起见,记为K_a_1⊕K_b_1,K_a_2⊕K_b_2,K_a_3⊕K_b_3,其中,K_a/b_i是量子服务器A/B的第i个量子密钥分组),并把上述m个异或值的异或值(即K_a_1⊕K_b_1⊕K_a_2⊕K_b_2⊕K_a_3⊕K_b_3)发送给第二服务器A,把上述m个异或值的标识发送给第二服务器B;步骤3:第二服务器A计算所接收到的上述异或值与上述m个异或值所关联的m个量子密钥分组的异或值(即,K_a_1⊕K_b_1⊕K_a_2⊕K_b_2⊕K_a_3⊕K_b_3⊕K_a_1⊕K_a_2⊕K_a_3=K_b_1⊕K_b_2⊕K_b_3),对上述异或值进行Hash运算并得到一个密钥分组(为方便起见,记为SK,例如,采用SM3算法,计算SK=SM3(K_b_1⊕K_b_2⊕K_b_3));第二服务器B采用同样的方法计算上述m个异或值所关联的m个量子密钥分组的异或值(即K_b_1⊕K_b_2⊕K_b_3),对上述异或值进行上述Hash运算并得到上述密钥分组SK(即SK=SM3(K_b_1⊕K_b_2⊕K_b_3));步骤4:第二服务器A利用第一客户端U的随机数分组加密上述密钥分组SK并发送给第一客户端U或通过量子密钥服务中心发送给第一客户端U,第一客户端U利用相应的随机数分组解密并得到上述密钥分组SK;第二服务器B利用第二客户端V的随本文档来自技高网...
【技术保护点】
1.一种与量子网络分离的量子密钥服务方法,其特征在于,包括:/n第一服务器获取目标量子网络的一定数量的异或关联切片,两个或多个第二服务器分别获取与所述异或关联切片关联的一定数量的量子密钥分组,所述第二服务器分别为客户端提供随机数分组并创建相应的服务关联,并把所述服务关联发送给所述第一服务器;/n第一服务器响应第一客户端与第二客户端协商量子密钥的服务请求,第一服务器通过查询所述服务关联获取所述第一客户端和第二客户端所关联的两个第二服务器;/n第一服务器从所述一定数量的异或关联切片中选择m个异或值关联切片中与所述两个第二服务器关联的m个异或值(m是大于1的自然数),并把所述m个异或值的异或值发送给所述第一客户端所关联的第二服务器,把所述m个异或值的标识发送给另一个第二服务器;/n所述第一客户端所关联的第二服务器计算所接收到的所述异或值与所述m个异或值所关联的m个量子密钥分组的异或值,对所述异或值进行Hash运算并得到一个密钥分组,利用第一客户端的随机数分组加密所述密钥分组并发送给第一客户端或通过所述第一服务器发送给第一客户端,所述第一客户端利用相应的随机数分组解密并得到所述密钥分组;/n另一个第二服务器计算所述m个异或值所关联的m个量子密钥分组的异或值,对所述异或值进行所述Hash运算并得到一个密钥分组,利用第二客户端的随机数分组加密所述密钥分组并发送给第二客户端或通过所述第一服务器发送给第二客户端,所述第二客户端利用相应的随机数分组解密并得到所述密钥分组。/n...
【技术特征摘要】
1.一种与量子网络分离的量子密钥服务方法,其特征在于,包括:
第一服务器获取目标量子网络的一定数量的异或关联切片,两个或多个第二服务器分别获取与所述异或关联切片关联的一定数量的量子密钥分组,所述第二服务器分别为客户端提供随机数分组并创建相应的服务关联,并把所述服务关联发送给所述第一服务器;
第一服务器响应第一客户端与第二客户端协商量子密钥的服务请求,第一服务器通过查询所述服务关联获取所述第一客户端和第二客户端所关联的两个第二服务器;
第一服务器从所述一定数量的异或关联切片中选择m个异或值关联切片中与所述两个第二服务器关联的m个异或值(m是大于1的自然数),并把所述m个异或值的异或值发送给所述第一客户端所关联的第二服务器,把所述m个异或值的标识发送给另一个第二服务器;
所述第一客户端所关联的第二服务器计算所接收到的所述异或值与所述m个异或值所关联的m个量子密钥分组的异或值,对所述异或值进行Hash运算并得到一个密钥分组,利用第一客户端的随机数分组加密所述密钥分组并发送给第一客户端或通过所述第一服务器发送给第一客户端,所述第一客户端利用相应的随机数分组解密并得到所述密钥分组;
另一个第二服务器计算所述m个异或值所关联的m个量子密钥分组的异或值,对所述异或值进行所述Hash运算并得到一个密钥分组,利用第二客户端的随机数分组加密所述密钥分组并发送给第二客户端或通过所述第一服务器发送给第二客户端,所述第二客户端利用相应的随机数分组解密并得到所述密钥分组。
2.根据权利要求1所述的一种与量子网络分离的量子密钥服务方法,包括:如果所述一定数量的异或关联切片或其所关联的量子密钥分组的使用次数或使用时间超过限定值,则,销毁所述量子密钥分组。
3.根据权利要求1所述的一种与量子网络分离的量子密钥服务方法,包括:身份认证,其特征在于,所述第一服务器、第二服务器与客户端之间采用非对称密码算法、事先共享的认证密钥、或同时采用非对称密码算法和事先共享认证密钥进行身份认证。
4.根据权利要求1所述的一种与量子网络分离的量...
【专利技术属性】
技术研发人员:陈晖,
申请(专利权)人:成都量安区块链科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。