一种用户端的量子安全服务系统及其交互方法技术方案

本发明专利技术公开了一种用户端的量子安全服务系统及其交互方法，其中系统可服务于个人用户端和团体用户端；该系统包括接口单元、信息单元和密钥单元，所述信息单元和密钥单元均与接口单元连接。本发明专利技术提出的量子安全服务系统可以安装于用户现有的硬件设备中，对于用户来讲方便且节约成本；安装有该系统的用户端经认证后，作为合法设备接入量子安全层，获得量子安全服务，保障用户的通信安全。保障用户的通信安全。保障用户的通信安全。

【技术实现步骤摘要】
一种用户端的量子安全服务系统及其交互方法


[0001]本专利技术涉及量子安全领域，具体涉及一种用户端的量子安全服务系统及其交互方法。

技术介绍

[0002]互联网技术的飞速发展，用户逐渐在线完成各项操作、获得各项服务，在线操作为用户带来便捷的同时，也为用户带来了保密、安全方面的苦恼，黑客可以通过网络截取用户传输的信息，从而使用户传输的信息丧失其安全性。量子保密通信是目前行业普遍认可的一种“无条件安全”的通信保密手段，已然成为新一代信息网络安全技术，其无条件的安全性为信息安全提供了强大的支撑，是信息化发展的重大变革和必然趋势。
[0003]申请号为202110768015.2的专利提出了一种广域范围的网络量子安全层组网系统和方法，在已有量子安全组网的情况下，用户如何接入该安全层组网，进而获得量子安全服务这一技术问题，就成为需要解决的问题。

技术实现思路

[0004]专利技术目的：本专利技术目的是提供一种用户端的量子安全服务系统及其交互方法，解决了用户如何接入该安全层组网，进而获得量子安全服务这一技术问题。本专利技术的量子安全服务系统安装于用户端上，为用户提供注册、认证接入量子安全层；从量子安全层获取密钥、处理通信时所需会话密钥、进行所需的量子安全服务等。
[0005]技术方案：本专利技术提供一种用户端的量子安全服务系统，该系统安装于用户端上，系统包括接口单元、信息单元和密钥单元，所述信息单元和密钥单元均与接口单元连接；
[0006]接口单元用于该系统与硬件设备中的其他系统或程序连接，以便量子安全服务系统在工作过程中调用其他系统、程序中的数据或向其他系统、程序传输数据；
[0007]信息单元包括相连接的信息处理模块和信息上报模块，所述信息处理模块用于在用户端接入量子安全层时，读取所需要的用户端信息，用于量子安全认证，以及用于接收量子安全层发送的认证结果和接收量子安全层下发关于用户端密钥消耗情况的信息并告知密钥单元补充密钥信息；信息上报模块用于将读取的用户端信息上报至量子安全层，进行用户入网认证，确保用户端合法接入量子安全层，获得相应的量子安全服务。
[0008]进一步的，用户端为个人用户端时，所述密钥单元包括相连接的密钥接收模块和密钥处理模块，所述密钥接收模块中设有密钥池，密钥接收模块用于接收并存储由量子安全层下发给用户端的密钥；密钥处理模块中设有缓存区，密钥处理模块用于在用户端通信时，从密钥接收模块的密钥池中提取通信时所需密钥到该模块的缓存区，利用提取的密钥并经过量子安全层的密钥中继，和通信的对端用户产生临时会话密钥；以及执行密钥的加密、解密、哈希操作，并将操作结果信息传输至接口单元。
[0009]进一步的，用户端接入量子安全层时,量子安全认证的具体步骤为：
[0010](1)初始密钥下发：量子安全层中密钥下发单元向量子安全服务系统下发初始密
钥，初始密钥存储于量子安全服务系统的密钥接收模块中的密钥池；同时，与初始密钥相配对的密钥存储于量子安全层中；
[0011](2)系统安装：量子安全服务系统安装至个人用户端上，个人用户端为手机、PC、平板、量子安全优盘、量子安全优盾、超级SIM卡或服务器设备；
[0012](3)用户信息上报：量子安全服务系统中的信息处理模块从个人客户端中读取用户信息、认证时间戳后形成用户认证消息，用户认证消息通过信息上报模块上报至量子安全层；
[0013](4)用户信息认证：个人客户端和量子安全层之间执行消息的量子安全认证，认证通过后该个人用户端即可正常接入量子安全层，获得量子安全服务；
[0014](5)返回认证结果：将认证结果返回个人用户端，使用户得知认证结果，便于用户后续使用量子安全服务。
[0015]本专利技术还包括上述量子安全服务系统的交互方法，包括以下步骤：
[0016](1)通信请求和应答：接入量子安全层的第一个人用户端通过安装于第一个人用户端的量子安全服务系统向量子安全层发起与第二个人用户端的通信请求，该通信请求需要进行量子安全认证；如果第二个人用户端对本次通信请求予以应答，则继续本次通信；
[0017](2)建立密钥链路：量子安全层的网管系统在接收到第一个人用户端的通信请求后，按照网管系统的路由策略，执行路由算法，建立第一个人用户端和第二个人用户端之间的密钥链路；
[0018](3)生成会话密钥：从第一个人用户端的量子安全服务系统密钥接收模块中的密钥池中提取特定长度密钥K1,经过对密钥链路的密钥中继，第二个人用户端将获取同样的密钥K1作为本次通信的会话密钥；
[0019](4)执行量子安全通信：第一个人用户端和第二个人用户端生成了相同的会话密钥K1，双方利用该密钥执行量子安全通信，量子安全通信包括但不限于利用各自的会话密钥执行量子安全的加密、解密和哈希值计算；
[0020](5)会话密钥补充：第一个人用户端和第二个人用户端通过密钥K1进行通信，如果K1足够支撑本次通信，则使用K1完成本次通信；如果K1不足以支撑本次通信，则重复步骤(3)至步骤(4)获得新的会话密钥，用于完成本次通信；
[0021](6)用户密钥补充：通信结束后，第一个人用户端和第二个人用户端的密钥均被部分消耗；量子安全层中设有用户端密钥消耗阈值，如果任一用户端密钥消耗量超过设定的阈值，则量子安全层的网管系统通知量子安全层的服务点向用户端的量子安全服务系统进行密钥补充，用于后续通信过程。
[0022]进一步的，所述步骤(2)的密钥链路由多个配对节点相连而成，每对配对节点均有相同的配对密钥，其中第二个人用户端为最后一个节点；所述步骤(3)的密钥中继具体过程为：把第一个人用户端提取的特定长度密钥K1用密钥链路上的第一配对节点的两组同样长度的配对密钥执行加密、解密操作，加密、解密操作均为二进制异或操作；以此类推到最后一个节点，即第二个人用户端，最终第二个人用户端将获取同样的密钥K1作为本次通信的会话密钥。
[0023]进一步的，所述用户端为下挂多个个人终端的团体用户端时，所述密钥单元包括密钥处理模块、密钥接收模块、密钥下发模块、密钥生成模块和个人终端连接模块，密钥接
收模块与密钥处理模块相连，密钥处理模块、密钥生成模块和个人终端连接模块均与密钥下发模块相连接；
[0024]所述密钥接收模块中设有密钥池，密钥接收模块用于接收并存储由量子安全层下发给用户端的密钥；密钥处理模块中设有缓存区，密钥处理模块用于在用户端通信时，从密钥接收模块的密钥池中提取通信时所需密钥到该模块的缓存区，利用提取的密钥并经过量子安全层的密钥中继，和通信的对端用户产生临时会话密钥，以及执行密钥的加密、解密、哈希操作，并将操作结果信息传输至接口单元；密钥生成模块用于生成量子随机数作为密钥，将这些密钥传输至密钥下发模块；密钥下发模块将接收到的密钥下发至团体用户端下挂的多个个人终端；个人终端连接模块包含n个密钥存储区，n为团体用户端下挂的个人终端数，密钥存储区与团体用户端下挂的个人终端一一对应，存储对应个人终端的配对本文档来自技高网...

【技术保护点】

【技术特征摘要】
作为本次通信的会话密钥；(4)执行量子安全通信：第一个人用户端和第二个人用户端生成了相同的会话密钥K1，双方利用该密钥执行量子安全通信，量子安全通信包括但不限于利用各自的会话密钥执行量子安全的加密、解密和哈希值计算；(5)会话密钥补充：第一个人用户端和第二个人用户端通过密钥K1进行通信，如果K1足够支撑本次通信，则使用K1完成本次通信；如果K1不足以支撑本次通信，则重复步骤(3)至步骤(4)获得新的会话密钥，用于完成本次通信；(6)用户密钥补充：通信结束后，第一个人用户端和第二个人用户端的密钥均被部分消耗；量子安全层中设有用户端密钥消耗阈值，如果任一用户端密钥消耗量超过设定的阈值，则量子安全层的网管系统通知量子安全层的服务点向用户端的量子安全服务系统进行密钥补充，用于后续通信过程。5.根据权利要求4所述的一种用户端的量子安全服务系统的交互方法，其特征在于：所述步骤(2)的密钥链路由多个配对节点相连而成，每对配对节点均有相同的配对密钥，其中第二个人用户端为最后一个节点；所述步骤(3)的密钥中继具体过程为：把第一个人用户端提取的特定长度密钥K1用密钥链路上的第一配对节点的两组同样长度的配对密钥执行加密、解密操作，加密、解密操作均为二进制异或操作；以此类推到最后一个节点，即第二个人用户端，最终第二个人用户端将获取同样的密钥K1作为本次通信的会话密钥。6.根据权利要求1所述的一种用户端的量子安全服务系统，其特征在于：所述用户端为下挂多个个人终端的团体用户端时，所述密钥单元包括密钥处理模块、密钥接收模块、密钥下发模块、密钥生成模块和个人终端连接模块，密钥接收模块与密钥处理模块相连，密钥处理模块、密钥生成模块和个人终端连接模块均与密钥下发模块相连接；所述密钥接收模块中设有密钥池，密钥接收模块用于接收并存储由量子安全层下发给用户端的密钥；密钥处理模块中设有缓存区，密钥处理模块用于在用户端通信时，从密钥接收模块的密钥池中提取通信时所需密钥到该模块的缓存区，利用提取的密钥并经过量子安全层的密钥中继，和通信的对端用户产生临时会话密钥，以及执行密钥的加密、解密、哈希操作，并将操作结果信息传输至接口单元；密钥生成模块用于生成量子随机数作为密钥，将这些密钥传输至密钥下发模块；密钥下发模块将接收到的密钥下发至团体用户端下挂的多个个人终端；个人终端连接模块包含n个密钥存储区，n为团体用户端下挂的个人终端数，密钥存储区与团体用户端下挂的个人终端一一对应，存储对应个人终端的配对密钥；所述信息处理模块还用于记录个人终端与团体用户端的对应关系。7.根据权利要求6所述的一种用户端的量子安全服务系统，其特征在于：所述团体用户端与下挂的多个个人终端形成局域网，团体用户端中的每个个人终端均安装有用户端为个人的量子安全服务系统。8.一种如权利要求7所述用户端的量子安全服务系统的交互方法，其特征在于，包括以下步骤：(1)通信请求和应答：第一个人终端向第一团体用户端发起与第二个人终端的通信请求，其中第一个人终端为第一团体用户端下挂的个人终端，第二个人终端为第二团体用户端下挂的个人终端，该通信请求需要由第一团体用户端通过量子安全层向第二团体用户端发起量子安全认证，当团体用户端与个人终端形成的局域网不可信时，通信请求在团体用
户端与个人终端之间需进行量子安全认证，反之不用；如果第二团体用户端和第二个人终端先后对本次通信应答，则继续本次通信；(2)建立密钥链路：量子安全层的网管...

【专利技术属性】
技术研发人员：富尧，
申请(专利权)人：矩阵时光数字科技有限公司，
类型：发明
国别省市：