专利名称:用于量子密码网络的密钥管理和用户认证的制作方法
技术领域:
本发明涉及量子通信,具体地讲,涉及量子密码网络中的密钥管 理和用户认证的系统和方法并具有与之相关的产业实用性。
背景技术:
QKD涉及利用通过"量子信道"传输的称为"量子比特(qubit)" 或"量子信号"的单光子或弱的(例如,平均0.1光子)光信号(脉冲), 在发送方("Alice")和接收方("Bob")之间建立密钥。与安全性取 决于计算上的不可实现性的经典密码学不同,量子密码学的安全性是 基于如下的量子力学原理对未知状态下的量子系统的任何测量将会 改变其状态。结果,试图截取或以其它方式测量所交换的量子比特的 窃听者("Eve")将引入揭示她的存在的错误。
量子密码学的一般原理最初是由Bennett和Brassard在他们的 文章"Quantum Cryptography: Public key distribution and coin tossin" ( Proceedings of the International Conference on Computers, Systems and Signal Processing, Bangalore, India, 1984, pp. 175-179 (IEEE, New York, 1984))中提出来的。在授予Bennett的第5,307,4100 号美国专利中以及在C.H. Bennett的标题为"Quantum Cryptography Using Any Two Non-Orthogonal States,,的文章(Phys. Rev. Le仏68 3121 ( 1992 ))中描述了具体的QKD系统。在Bouwmeester等人的 "The Physics of Quantum Information" ( Springer-Verlag 20001, 2.3 章,27-33页) 一书中描述了执行QKD的一般过程。QKD系统最初是以在称为"AIice"和"Bob,,的两个用户之间的简 单点对点连接的形式开发的。现今,正在考虑将QKD系统作为基于 QKD的网络的一部分,所述基于QKD的网络包括作为专用QKD系 统网络中的节点的多个用户,或者包括合并到现有经典电信网络中的 多个用户。
QKD的从点对点通信到网络型通信的扩展带来了一些逻辑问 题。例如,基于QKD的网络要求多个用户具有如下过程任意两个 用户在他们相互通信前要在他们之间建立公共"量子密钥,,,即使这两 个用户从来没有相互通信和/或即使这两个用户没有直接通信链路。此 外,鉴于给定用户经常需要与用户总数中的一个或只是几个选择性地 通信的事实,需要一种对与之通信的用户进行认证以确保他们的消息 是与想要接收该消息的一方共享。此外,量子密码学采用对称密钥, 而不是公共密钥基础设施(PKI)密码学使用的公共密钥。
发明内容
本发明的一个方面是一种在通过传统通信链路连接的第一用户 Alice和第二用户Bob之间建立安全通信链路的方法。所述方法包括 分别在量子密钥认证机构(QKCA)与Alice之间建立第一安全量子 链路(Q-链路)和在所述QKCA与Bob之间建立第二安全量子链路 (Q-链路)。所述方法还包括在QKCA处产生真随机比特的集合R, 并将集合R通过相应的Q-链路分配给Alice和Bob。所述方法还包括 Alice和Bob利用集合R作为加密密钥通过传统通信链路进行安全通 信。
图l是本发明所使用的Q-链路的示意图2是本发明的包括QKI体系的星形拓朴Q-网络的第一示例的 示意图3是用作QKI体系的密钥管理器和认证中心的示例量子密钥
6认证机构(QKCA)模块的详细示意图4是本发明的与图2中类似的包括QKI体系的星形拓朴Q-网络的第一示例的示意图,但是该示例包括相互Q-链接的两个QKC A 模块;以及
图5是图2的Q-网络的一部分的示意图,例示了如何使用本发 明的QKI体系对在Alice和Bob之间建立的新的Q-链路进行认证。
附图中描绘的各种元素仅仅是代表性的,不一定按比例绘制。附 图的某些部分可能被放大了,而其它部分可能被缩小了。附图旨在例
施例
具体实施例方式
图l是通过量子密码学(例如,量子密钥分配或QKD)来保护 通信信道的量子链路或"Q-链路"的示意图。在Q-链路的基本形式中, Q-链路包括量子层,具有两个可操作耦接的QKD站,即QKD-1 和QKD-2;和经典层,具有由对称密钥加密协议(例如一次性口令) 保护的经典(传统)通信线路,对称密钥加密协议采用由QKD站提 供的量子密钥。
经典层包括耦接到各自的QKD站(QKD-1和QKD-2)的加密 器/解密器(E/D)单元ED-1和ED-2。 E/D单元适于接收数据D,对 数据进行加密以形成加密后的数据D,,然后通过传统通信信道传输 加密后的数据0*。同样,每个E/D单元适于接收加密后的数据D、 并将其解密,从而恢复数据D。利用由量子层提供的Q-密钥来执行数 据的加密和解密。 示例实施例
本发明参照"量子网络"或"Q-网络",描述了包括Q-链路的通信 基础设施和具有n个用户的传统网络通信基础设施。本发明釆用了新 颖的密钥管理和认证体系。下面描述如何在Q-网络中使用本发明的 QKI体系的示例实施例。第一示例实施例
图2示出了包括根据本发明的QKI体系的示例实施例的星形拓 朴Q-网络100的示例。Q-网络100中的QKI体系包括量子密钥认证 机构或QKCA。
图3是^^据本发明的QKCA的示例实施例的示意图。QKCA是 受信任第三方,即,QKCA是发布由其它方使用的认证证书(AC) 的实体。它的功能与PKI中的认证机构的功能类似。它是安全终结 Q-链路的点。Q-链路提供终端用户与QKCA之间的认证链路。另一 方面,通过受信任第三方(这里为QKCA)连接的两个Q-链路为端 点(用户)提供认证信道。
虽然通常QKCA的功能与PKI中的CA的功能类似,但是有一 些差异。公共密钥CA发布将网络用户的身份耦合到其公共密钥的数 字证书。在量子密码学中,没有这样的公共密钥。相反,密钥是对称 的。QKCA通过加入Q-密钥管理功能而扩展了传统CA。与"量子" 功能并行,QKCA仍然可以作为向通过传统通信链路("TC-链路,,) 连接到QKCA的用户提供标准PKI功能的标准CA来操作。从这点 来看,与CA相比,QKCA提供了密码操作的超集。
正是在QKCA和用户U之间存在Q-链路确保了在QKCA和用 户U之间的认证通信的信道。在Q-链路的安装期间发生初始认证。 可以通过由Q-链路中的QKD产生的量子密钥来刷新认证密钥,这必 须通过网络的安全策略来限定。
继续参照图3, QKCA具有策略管理器和用户权限数据库,用户 权限数据库包括关于Q-网络的用户U的信息以及它们各自的权限和 安全定义。所有来自用户U的请求到达策略管理器,策略管理器咨询 用户权限数据库,并做出是拒绝还是允许所请求的操作的决定。在示 例实施例中,用户权限数据库包含关于用户之间的通信安全要求的信 息。
例如,仅与QKCA具有TC-链路TCL-3的用户113可以要求与 通过Q-链路QL-1与QKCA连接的用户仏建立通信会话。策略管理器咨询用户权限数据库,以查看用户仏是否允许与用户仏通过只受 传统密码学保护的链路进行通信。如果不允许,则策略管理器拒绝该 请求。否则,策略管理器允许建立通信会话。
QKCA还包括会话管理器,会话管理器在策略管理器批准了通 信请求的情形下被涉及。会话管理器在两个用户之间创建通信会话。 在用户U通过Q-链路与QKCA连接的情况下,会话管理器向用户提 供来自TRNG单元的随机比特的集合R。随机比特R用来对用户之 间的直接通信进行加密。TRNG单元可以是任何一种公知类型的真随 机数产生器。要注意的是,即使用户不是通过任何种类的QKD装置 连接的,这样的用户之间的通信也被量子密码学提供的最高级安全性 保护;所述用户也不需要共享任何的光通信线路。
如果用户U通过TC-链路与QKCA连接,则QKCA的功能重复 PKI中的传统CA的功能。
QKCA还包括针对不同通信信道(即,Q-链路和TC-链路)的接口。
当用户之一通过TC-链路与QKCA连接而另 一用户通过Q-链路 与QKCA连接时,存在更多变化。根据由用户设置的策略,在两个 TC-链路的情况下整个方案可以切换到标准PKI通信方案,或者用户 可以决定在Q-链路上保持最强的可能级别的密码学,同时在TC-链 路上进行基于传统PKI的通信。在后一种情形下,会话管理器通过 Q-链路向一个用户提供随机比特的集合R,并将同 一集合通过由传统 密码学加密的TC-链路提供给另一用户。
只有当通信方与QKCA共享Q-链路时才实现最高级别的安全性。
再参照图2, Q-网络100中的用户U只能通过QKCA建立安全 密钥。对于n个网络用户U,如果一个子集i个用户(i<n)想要在相 互之间传送秘密,则这i个用户中的每个用户向QKCA传送建立通信 会话的请求与。
继续参照图2, Q-网络100包括分别通过Q-链路QL (QL-1、QL-2、…、QL-n)可操作地链接到QKCA的n个网络用户U (Ul、
U2.....Un )。这n个用户包括通过各自的Q-链路(QL-A和QL-B )
可操作地耦接到QKCA的两个用户Alice和Bob。这n个用户U还通 过TC-链路TCL链接,在Alice和Bob之间有一条这样的链路 TCL-AB。
Q-网络100的两个主要初始条件是所有的n个用户U信任 QKCA;虽然Alice和Bob不是通过Q-链路直接连接,但是Alice想 要与Bob通信。Alice和Bob之间的唯一直接链路是TC-链路 TCL-AB。 Alice和Bob为了安全地通信而遵循的协议如下。首先, Alice通过Q-链路QL-A向QKCA发出通信请求,表明她希望与Bob 通信。QKCA将通信请求通过Q-链路QL-B传递给Bob。如果Bob 向QKCA作出他希望与Alice通信的响应,则QKCA通过Q-链路 QL-A向Alice发送真随机比特的流(集合)R并通过Q-链路QL-B 向Bob发送真随机比特的流(集合)R。可以回想,当通过Q-链路发 送集合R时,用与Q-链路(见图1)关联的Q-密钥对集合R进行加 密和解密。通过TRNG单元产生集合R。集合R可以是除了请求通 信的用户之外的所有用户U不知道的任一随机数。
此时,Alice和Bob现在共享由QKCA产生的集合R。然后, Alice和Bob使用集合R作为密钥来通过诸如TC-链路TCL-AB的任 一经典通信信道进行安全通信。 第二示例实施例
图4是采用本发明的QKI体系的另一示例实施例的星形拓朴Q-网络200的第二示例实施例的示意图。Q-网络200与图2的Q-网络 类似,但是包括通过Q-链路QL-AB可操作地彼此耦接的两个QKCA, 标记为QKCA-A和QKCA-B。 Q-网络200具有n个网络用户UA (UA1、 UA2、…、UAn),这n个网络用户UA通过各自的Q-链路 QLA-1、 QLA-2、…、QLA-n可操作地链接到QKCA-A。这n个用 户中的一个是用户Alice。
另夕卜,Q-网络200具有包括用户Bob的m个另外的网络用户UB(UB1、 UB2..... UBm),这m个网络用户UB分别通过Q-链路
QLB-1、 QLB-2、…、QLB-m可操作地链接到QKCA-B。所述n个用 户UA还相互直接链接,并通过TC-链路TCL链接到所述m个用户 UB,其中,在Alice和Bob之间示出了一个这样的链路TCL-AB。
Q-网络200的两个主要初始条件是所有的n个用户UA和m 个用户UB信任QKCA-A和QKCA-B;虽然Alice和Bob只是通过 TC-链路TCL-AB直接连接,但是Alice想要与Bob安全通信。
Alice和Bob通过他们的TC-链路TCL-AB彼此安全通信要遵循 的协议如下。首先,Alice通过Q-链路QL-A向QKCA-A发出她希望 与Bob通信的请求。QKCA-A通过Q-链路QL-AB向QKCA-B传递 该通信请求,QKCA-B通过Q-链路QLB-B向Bob传递该通信。如果 Bob接收该通信请求,则QKCA-B产生真随机比特的集合R并通过 相应的Q-链路将R发送到Bob和QKCA-A。 QKCA-A通过Q-链路 QL-A将R传递给Alice。要注意的是,QKCA-A或QKCA-B可以产 生R;出于举例说明的缘故,在本示例中选择的是QKCA-B。 QKI体系的其它方面
QKI会话可以在将Q-密钥持续地流传输到用户的流传输模式 下,或者在针对每个请求向每个用户提供给定长度的Q-密钥的每请求 一密钥(key-per-request)模式下起作用。 新Q-链路用户认证
本发明的QKI Q-网络体系可以用来对两个用户进行认证。图5 是图2的Q-网络100,仅示出了通过Q-链路QL-A和QL-B链接到 QKCA的两个用户Alice和Bob。在本示例实施例中,Alice和Bob 通过新的Q-链路QL-AB,(虛线)直接链接。需要进行认证以在新的 Q-链路上开始QKD。
这种情况下的认证协议涉及Alice或Bob向QKCA请求允许通 过直接Q-链路QL-AB,与另一方通信。响应于另一方的肯定请求, QKCA向Alice和Bob提供包括真随机比特的集合R的AC。然后, Alice和Bob使用集合R作为认证密钥,以利用他们的直接Q-链路 QL-AB,建立QKD会话。
权利要求
1、一种在通过传统通信链路(TC-链路)连接的第一用户Alice和第二用户Bob之间建立安全通信链路的方法,包括如下步骤分别在量子密钥认证机构(QKCA)与Alice之间建立第一安全量子链路(Q-链路)以及在量子密钥认证机构(QKCA)与Bob之间建立第二安全量子链路(Q-链路);在QKCA处,产生真随机比特的集合R,并将集合R通过相应的Q-链路分配给Alice和Bob;以及Alice和Bob利用集合R作为加密密钥通过TC-链路进行安全通信。
2、 如权利要求l所述的方法,包括如下步骤在Alice处,利用集合R作为加密密钥对数据D进行加密以形 成加密的数据D、并通过1^-链路将0*直接发送给801);以及在Bob处,接收DA并利用集合R作为解密密钥对D+进行解密 以恢复数据D。
3、 一种对量子网络(Q-网络)中通过新的Q-链路QL-AB,耦接 的第一用户和第二用户进行认证的方法,包括如下步骤所述第一用户请求量子密钥认证机构(QKCA)允许通过直接 Q-链路QL-AB,与所述第二用户通信;QKCA通过相应的第一 Q-链路和第二 Q-链路向所述第 一用户和 所述第二用户提供真随机比特的集合R,所述第一 Q-链路将所述第一 用户连接到QKCA,所述第二 Q-链路将所述第二用户连接到QKCA; 以及所述第一用户和所述第二用户利用集合R作为密钥,以通过新 的Q-链路QL-AB,进行初始通信并对另一方进行认证。
4、 如权利要求3所述的方法,其中, 一旦认证了所述第一用户 和所述第二用户,所述第一用户和所述第二用户中的每个就从QKCA 获得量子密钥(Q-密钥)。
5、 如权利要求3所述的方法,其中, 一旦认证了所述第一用户 和所述第二用户,就通过直接Q-链路QL-AB在所述第一用户和所述 第二用户之间建立量子密钥(Q-密钥)。
6、 一种在量子网络(Q-网络)中的第一用户Alice和第二用户 Bob之间建立安全通信链路的方法,其中,Alice和Bob仅仅通过传 统通信链路(TC-链路)直接通信,并通过相应的第一Q-链路和第二 Q-链路与相应的第一和第二量子密钥认证机构(QKCA)直接通信, 所述方法包括如下步骤通过第一 Q-链路将真随机比特的集合R从笫二 QKCA发送到Bob;通过连接第一 QKCA和第二 QKCA的第三Q-链路,将所述集 合R从第二 QKCA发送到第一 QKCA;通过第二 Q-链路将所述集合R从第一 QKCA发送到Alice;以及Alice和Bob利用所述集合R作为密钥来加密信息并通过所述 TC-链路发送信息。
7、 一种用于量子网络(Q-网络)的密钥管理系统,包括 集中式量子密钥认证机构(QKCA),具有通过相应的量子链路(Q-链路)直接链接到所述QKCA并通过传统通信链路直接相互链 接的多个用户U;其中QKCA单元包括会话管理器和真随机数产生器,所述真随 机数产生器进行操作以通过相应的两个或更多个Q-链路为两个或更 多个用户U提供真随机比特的集合R;以及其中所述两个或更多个用户U中的每个适于利用集合R作为密 钥来与其它用户进行安全通信和认证。
8、 一种在通过第一传统通信链路(TC-链路)连接的第一用户 Alice和第二用户Bob之间建立安全通信链路的方法,包括如下步骤在量子密钥认证机构(QKCA)和Alice之间建立安全量子链路 (Q-链路);在QKCA和Bob之间建立第二 TC-链路;在QKCA处,产生真随机比特的集合R,并将集合R通过所述 Q-链路分配给Alice以及通过第二 TC-链路分配给Bob;以及Alice和Bob利用集合R作为加密密钥通过第一 TC-链路进行安 全通信。
全文摘要
本发明涉及用于量子密码网络的密钥管理和用户认证,其允许用户通过传统通信链路(TC-链路)进行安全通信。提供了一种方法,包括通过相应的安全量子链路或“Q-链路”将集中式量子密钥认证机构(QKCA)安全地链接到每个网络用户,其中安全量子链路基于量子密钥(Q-密钥)对数据进行加密和解密。当两个用户(Alice和Bob)希望通信时,QKCA通过相应的Q-链路向每个用户发送真随机比特的集合(R)。然后,用户使用集合R作为密钥对他们通过TC-链路相互发送的数据进行编码和解码。
文档编号H04L9/00GK101427509SQ200780013827
公开日2009年5月6日 申请日期2007年4月16日 优先权日2006年4月18日
发明者A·贝尔赞基斯, R·盖尔冯德 申请人:Magiq技术公司