基于见证者的量子保密通信网络密钥管理通信方法及系统技术方案

本发明专利技术公开了基于见证者的量子保密通信网络密钥管理通信方法及系统，该方法包括以下步骤：S1、利用密钥颁发方法实现见证者设备端为普通设备端颁发基于ID密码学的相关密钥；S2、使用通信方法实现普通设备端与密钥管理服务器之间的通信；S3、通过密钥更新方法对普通设备端基于ID密码学的密钥进行更新。有益效果：实现了量子保密通信网络的抗量子计算的密钥管理通信系统，该系统不耗费量子保密通信网络的量子密钥，使用预颁发密钥池且经常更新；此外，基于ID密码学的密钥颁发服务对每个不同用户的系统公私钥均不同，即使某个用户所对应的系统公钥被破解，也不会危及到其他用户的系统公私钥；通过见证者用户端记录密钥管理通信系统对应的用户端及其管理员信息，使得量子保密通信系统更加安全。密通信系统更加安全。密通信系统更加安全。

【技术实现步骤摘要】
基于见证者的量子保密通信网络密钥管理通信方法及系统


[0001]本专利技术涉及量子保密通信领域，尤其涉及基于见证者的量子保密通信网络密钥管理通信方法及系统。

技术介绍

[0002]经济全球化的趋势已经势不可挡，数以百亿计的信息在互联网上流出，就像人类在存储设备中构建了一个虚拟化的世界，集中了隐私和知识。而这些信息就和现实世界中的资源一样，具有无形的价值。
[0003]目前，除了黑客等可能会窃取你的信息，现有的消息通讯厂商也可以随时查看你的通讯信息。因此，对于个人或组织来说，要确保自己的信息不被窃取，必须将密钥掌握在己方手里才能确保自身信息的安全，对于密钥的管理变得至关重要。传统上的加密方式主要依靠非对称密码体系。非对称密码体系的优势在于不需要双方约定密钥的过程，减少了很多成本。但是量子计算机的出现，让现今大部分的非对称密码算法变得不堪一击。
[0004]伴随着量子计算机出现的还有量子通信。量子密钥分发(QKD)技术以量子物理基本原理作保障，可以在公开信道上无条件安全地分发密钥，从原理上保证了一旦存在窃听就必然被发现。一旦在通信双方成功建立了密钥，这组密钥就是安全的，而且这种具有绝对随机性的密钥从原理上是无法被破解的。
[0005]量子密钥分发是利用可信中继技术、经典网络通信技术和网络管理技术等实现大规模、跨地域的安全、高效的密钥分发与管理，实现在不同区域的2台量子保密通信终端间的安全、高效的密钥共享。量子通信网络利用量子密钥分发技术，实现2台量子保密通信终端间的安全、高效的密钥共享的网络；经典网络即传统的数据通信网络，实现设备间的数据传输。
[0006]但是现有技术存在以下缺陷：
[0007]1、已有的量子保密通信组网方式中，普遍使用了集中式密钥管理服务器，对各个密钥分发节点进行统一管理，包括进行各密钥池状态的统计、对密钥路由的计算、对密钥分发节点下发指令等业务。但是该密钥管理通信系统的各类通信也需要安全保障机制。一种方式是用QKD得到的量子密钥对密钥管理通信系统进行安全保护，但缺点是消耗大量的量子密钥；另一种方式是用CA证书表明密钥管理通信系统各成员的身份，并实现基于公钥密码学的保密通信，但缺点是无法抗量子计算；另一种方式是对密钥管理通信系统的各成员颁发对称密钥池或者非对称密钥池，并实现基于预颁发密钥池的保密通信，但缺点是密钥池颁发、更新流程麻烦，密钥池容易被敌方盗取；
[0008]2、现有基于对称密钥池的取密钥方法为：首先选择一个密钥位置，然后从该位置取出整段密钥。在对称密钥池被群组成员共享的情况下，该种取密钥方式容易被群组成员所知，私密性不高；
[0009]3、现有密钥池更新的方法为一方生成密钥后给另一方发送过去，由于密钥池中的密钥量巨大，会导致密钥池更新需要大量时间；对于群组通信来说，需要将同一份密钥传递
到群组的各个成员，密钥量更加巨大，往往难以实现；
[0010]4、当前信息系统一般只实现对于管理员帐号相关行为的审计，对于管理员本人的审计能力比较弱。

技术实现思路

[0011]针对相关技术中的问题，本专利技术提出基于见证者的量子保密通信网络密钥管理通信方法及系统，以克服现有相关技术所存在的上述技术问题。
[0012]为此，本专利技术采用的具体技术方案如下：
[0013]根据本专利技术的一个方面，提供了基于见证者的量子保密通信网络密钥管理通信方法及，该方法包括以下步骤：
[0014]S1、利用密钥颁发方法实现见证者设备端为普通设备端颁发基于ID密码学的相关密钥；
[0015]S2、使用通信方法实现所述普通设备端与密钥管理服务器之间的通信；
[0016]S3、通过密钥更新方法对所述普通设备端基于ID密码学的密钥进行更新；
[0017]其中，所述密钥管理服务器为所述见证者设备端颁发系统公私钥时，计算消息认证码得到对应的系统私钥，再根据该系统私钥计算得到系统公钥，并将该系统公钥保存在所述见证者设备端对应的见证者密钥卡中；
[0018]所述密钥管理服务器为所述见证者设备端颁发公私钥时，调用哈希函数计算得到公钥，再根据该公钥计算得到对应的私钥，并将所述见证者设备端的ID和公私钥存入所述见证者设备端对应的见证者密钥卡中。
[0019]进一步的，所述S1利用密钥颁发方法实现见证者设备端为普通设备端颁发基于ID密码学的相关密钥包括以下步骤：
[0020]S11、使用认证方式实现所述见证者设备端与所述密钥管理服务器之间的认证；
[0021]S12、所述见证者设备端获取所述普通设备端的信息；
[0022]S13、所述见证者设备端从所述密钥管理服务器中为所述普通设备端获取基于ID密码学的相关密钥。
[0023]进一步的，所述S2使用通信方法实现所述普通设备端与密钥管理服务器之间的通信包括以下步骤：
[0024]S21、所述密钥管理服务器向所述普通设备端发起通信；
[0025]S22、所述普通设备端向所述密钥管理服务器发起通信。
[0026]进一步的，所述S21中所述密钥管理服务器向所述普通设备端发起通信具体包括以下步骤：
[0027]S211、所述密钥管理服务器计算替换密钥，并根据密钥替换公式和本地密钥池计算组合得到所述普通设备端的密钥池；
[0028]S212、通过所述密钥管理服务器从所述普通设备端的对称密钥池中取出密钥，并计算所述密钥管理服务器与所述普通设备端之间的对称密钥及第一组合密钥，分别对所述密钥管理服务器发出的消息及时刻进行设定；
[0029]S213、所述密钥管理服务器使用用于对接普通设备端的私钥对第一待签名消息进行基于ID密码学的签名，得到第一签名；
[0030]S214、所述密钥管理服务器使用所述第一组合密钥对所述密钥管理服务器发出的消息及所述第一签名进行加密得到第一加密信息，使用所述第一组合密钥对所述第一待签名消息和所述第一签名进行第一消息认证码的计算，并将带有所述第一加密信息、所述第一消息认证码、所述密钥管理服务器的ID、所述普通设备端的ID及所述密钥管理服务器发出时刻的信息发送给所述普通设备端；
[0031]S215、所述普通设备端收到消息后，从自身的密钥池中取出对应的密钥，并计算所述密钥管理服务器的公钥，同时计算所述普通设备端与所述密钥管理服务器之间的对称密钥及新的第一组合密钥，并使用新的第一组合密钥对所述第一加密信息进行解密，得到所述密钥管理服务器发出的消息和所述第一签名；
[0032]S216、使用所述密钥管理服务器用于对接用户端的公钥对所述第一签名及所述第一消息认证码进行验证。
[0033]进一步的，所述S22中所述普通设备端向所述密钥管理服务器发起通信具体包括以下步骤：
[0034]S221、分别对所述普通设备端发出的消息及时刻进行设定，同时，所述普通设备端使用自身的私钥对第二待签名消息进行基于ID密码学的签名，得到第二签名；
[0035]S222、所述普通设备端从自本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于见证者的量子保密通信网络密钥管理通信方法，其特征在于，该方法包括以下步骤：S1、利用密钥颁发方法实现见证者设备端为普通设备端颁发基于ID密码学的相关密钥；S2、使用通信方法实现所述普通设备端与密钥管理服务器之间的通信；S3、通过密钥更新方法对所述普通设备端基于ID密码学的密钥进行更新；其中，所述密钥管理服务器为所述见证者设备端颁发系统公私钥时，计算消息认证码得到对应的系统私钥，再根据该系统私钥计算得到系统公钥，并将该系统公钥保存在所述见证者设备端对应的见证者密钥卡中；所述密钥管理服务器为所述见证者设备端颁发公私钥时，调用哈希函数计算得到公钥，再根据该公钥计算得到对应的私钥，并将所述见证者设备端的ID和公私钥存入所述见证者设备端对应的见证者密钥卡中。2.根据权利要求1所述的基于见证者的量子保密通信网络密钥管理通信方法，其特征在于，所述S1利用密钥颁发方法实现见证者设备端为普通设备端颁发基于ID密码学的相关密钥包括以下步骤：S11、使用认证方式实现所述见证者设备端与所述密钥管理服务器之间的认证；S12、所述见证者设备端获取所述普通设备端的信息；S13、所述见证者设备端从所述密钥管理服务器中为所述普通设备端获取基于ID密码学的相关密钥。3.根据权利要求1所述的基于见证者的量子保密通信网络密钥管理通信方法，其特征在于，所述S2使用通信方法实现所述普通设备端与密钥管理服务器之间的通信包括以下步骤：S21、所述密钥管理服务器向所述普通设备端发起通信；S22、所述普通设备端向所述密钥管理服务器发起通信。4.根据权利要求3所述的基于见证者的量子保密通信网络密钥管理通信方法，其特征在于，所述S21中所述密钥管理服务器向所述普通设备端发起通信具体包括以下步骤：S211、所述密钥管理服务器计算替换密钥，并根据密钥替换公式和本地密钥池计算组合得到所述普通设备端的密钥池；S212、通过所述密钥管理服务器从所述普通设备端的对称密钥池中取出密钥，并计算所述密钥管理服务器与所述普通设备端之间的对称密钥及第一组合密钥，分别对所述密钥管理服务器发出的消息及时刻进行设定；S213、所述密钥管理服务器使用用于对接普通设备端的私钥对第一待签名消息进行基于ID密码学的签名，得到第一签名；S214、所述密钥管理服务器使用所述第一组合密钥对所述密钥管理服务器发出的消息及所述第一签名进行加密得到第一加密信息，使用所述第一组合密钥对所述第一待签名消息和所述第一签名进行第一消息认证码的计算，并将带有所述第一加密信息、所述第一消息认证码、所述密钥管理服务器的ID、所述普通设备端的ID及所述密钥管理服务器发出时刻的信息发送给所述普通设备端；S215、所述普通设备端收到消息后，从自身的密钥池中取出对应的密钥，并计算所述密
钥管理服务器的公钥，同时计算所述普通设备端与所述密钥管理服务器之间的对称密钥及新的第一组合密钥，并使用新的第一组合密钥对所述第一加密信息进行解密，得到所述密钥管理服务器发出的消息和所述第一签名；S216、使用所述密钥管理服务器用于对接用户端的公钥对所述第一签名及所述第一消息认证码进行验证。5.根据权利要求3所述的基于见证者的量子保密通信网络密钥管理通信方法，其特征在于，所述S22中所述普通设备端向所述密钥管理服务器发起通信具体包括以下步骤：S221、分别对所述普通设备端发出的消息及时刻进行设定，同时，所述普通设备端使用自身的私钥对第二待签名消息进行基于ID密码学的签名，得到第二签名；S222、所述普通设备端从自身的密钥池中取出新的密钥，并根据所述普通设备端与所述密钥管理服务器之间的对称密钥计算得到第二组合密钥，使用第二组合密钥对所述普通设备端发出的消息和所述第二签名进行加密得到第二加密信息，同时，使用所述第二组合密钥对所述第二待签名消息和所述第二签名进行第二消息认证码的计算，并将带有所述第二加密信息、所述第二消息认证码、所述普通设备端的ID、所述密钥管理服务器的ID及所述普通设备端发出时刻的信息发送给所述密钥管理服务器；S223、所述密钥管理服务器收到消息后，并计算替换密钥，根据密钥替换公式和本地密钥池计算组合得到所述普通设备端的密钥池，同时从所述普通设备端的密钥池中取出新的密钥并计算得到新的第二组合密钥，使用所述第二组合密钥对所述第二加密信息进行解密，得到所述普通设备端发出的消息和所述第二签名；S224、使用所述普通设备端的公钥对所述第二签名及所述第二消...

【专利技术属性】
技术研发人员：富尧，钟一民，杨羽成，
申请(专利权)人：南京如般量子科技有限公司，
类型：发明
国别省市：