量子移动终端通信系统、密钥分配及通信方法与流程

本发明涉及通信技术领域，具体涉及一种量子移动终端通信系统、密钥分配及通信方法。

背景技术：

20世纪80年代以来，全球信息技术飞速发展，信息技术的应用迅速渗透到社会经济的各个领域，人们的工作和生活越来越依赖与计算机和网络技术，信息安全问题成了个人、企业和国家面临的最基本的问题。保障国家信息传输线路的安全，防止窃听，信息盗取等行为已经成为现代信息通信企业的发展方向和重要使命。

而量子通信具有传统通信方式所不具备的绝对安全特性，量子保密通信基于量子力学的物理特性，采用量子态作为信息载体，巧妙地利用了量子态的叠加性和不确定性，为通信双方构建共享的安全密钥。

中国专利申请号为201710247247.7的专利公开了一种基于量子密钥的保密移动通信系统及方法，包括量子密钥服务站、若干移动终端和公共通信网络,量子密钥服务站和移动终端通过公共通信网络通信；量子密钥服务站用于向移动终端提供量子密钥下载服务并完成对量子密钥的安全管控，移动终端用于实现基本的通话功能及保密通信附加功能，公共通信网络用于实现数据传输功能，其通过单个量子密钥服务站本地为移动终端分发量子密钥，系统简单，安全性可靠。然而，该方案存在以下问题：同一网络中的任一移动终端需事先和其他所有移动终端配给相同量子密钥，对存储空间要求很高，且灵活度不高。

中国专利申请号为201720395565.3的专利公开了一种量子无线保密通信系统及移动终端，包括多个服务终端，所述多个服务终端之间通过量子密钥分发网络连接，每个服务终端与多个移动终端连接。当至少两个移动终端均与一个服务终端连接时，若至少两个移动终端中有预先设定的需要保密通信的移动终端，服务终端为预先设定的需要保密通信的移动终端预先分配相同的量子密钥；若有需要临时通信的移动终端，服务终端则对需要进行保密通信的移动终端实时分配相同的量子密钥。其实现了不同移动终端事先获取量子密钥进行实时通信或即时获取量子密钥以实现实时通信。同一网络中的任一移动终端需事先和其他所有移动终端配给相同量子密钥，对存储空间要求很高，且灵活度不高。中国专利申请号为201720395563.4的专利公开了一种量子保密通信系统及移动终端，当至少两个移动终端与不同的服务终端对应连接时，所述量子保密通信网络中的一个服务终端，响应用户的操作向与所述移动终端对应连接的服务终端发送相同的量子密钥，所述服务终端将所述量子密钥分别发送至移动终端，以便于移动终端之间能够实时进行保密通信。但是专利201720395565.3和专利201720395563.4需要提前知道哪两个移动终端想要通信，然后通过预设相同的量子密钥才能进行通信，灵活度不高，且同一份密钥要分发两次，安全度不高。

技术实现要素：

本发明要解决的技术问题是提供一种量子移动终端通信系统、密钥分配及通信方法，其移动终端双方之间无需事先共享相同的密钥就能实现安全通信。

为了解决上述技术问题，本发明提供了一种量子移动终端通信系统，包括：

量子密钥收发模块，其包括多个相互连接的量子密钥收发一体机，任意两个相邻的所述量子密钥收发一体机通过光纤有线连接以共享一组量子密钥文件；

量子密钥管控模块，其包括多个量子密钥管控服务器，每个所述量子密钥收发一体机皆配备一台量子密钥管控服务器，相邻两个所述量子密钥管控服务器通过信号连接以发送密钥分发请求；

移动终端，每个所述量子密钥管控模块皆连接有多个移动终端，所述移动终端与所述量子密钥管控服务器连接以共享一组量子密钥文件。

作为优选的，所述移动终端与所述量子密钥管控模块通过有线连接或无线网络连接以共享和存储一份量子密钥文件。

作为优选的，所述量子密钥收发一体机与所述量子密钥管控服务器通过光纤有线连接。

作为优选的，相邻两个所述量子密钥管控服务器通过无线网络连接。

本发明公开了一种量子移动终端通信的密钥分配方法，包括以下步骤：

s1、主叫方移动终端向主叫方量子密钥管控服务器发送通信请求，主叫方移动终端与主叫方量子密钥服务器共享用于通信的第一量子密钥文件；

s2、所述主叫方量子密钥管控服务器与被叫方量子密钥管控服务器之间具有n个第一量子密钥管控服务器，n为大于等于0的整数，所述主叫量子密钥管控服务器向相邻的第一量子密钥管控服务器发起密钥分发请求，所述主叫量子密钥收发一体机与相邻的第一量子密钥收发一体机共享一组第二量子密钥文件，并分别存储对应的量子密钥管控服务器中；沿通信方向，相邻的所述第一量子密钥收发一体机共享一组第二量子密钥文件，并存储在对应的量子密钥管控服务器中；最后一台第一量子密钥管控服务器与被叫方量子密钥管控服务器共享一组第二量子密钥文件；所述步骤s2共生成n+1组不同的第二量子密钥文件；

s3、被叫方量子密钥管控服务器与被叫方移动终端共享用于通信的第三量子密钥文件。

作为优选的，所述s1包括：

s11、主叫方移动终端与主叫方量子密钥管理服务器预先共享第四量子密钥文件；

s12、主叫方移动终端向主叫方量子密钥管控服务器发送通信请求；

s13、所述主叫方量子密钥管控服务器制备第一量子密钥文件，所述主叫方量子密钥管控服务器通过第四量子密钥文件中的量子密钥对第一量子密钥文件加密，并通过公共网络传输至主叫方移动终端；

s14、所述主叫方移动终端通过第四量子密钥文件对加密的文件进行解密，获得解密后的第一量子密钥文件。

作为优选的，所述s3包括：

s31、被叫方移动终端与被叫方量子密钥管理服务器预先共享第五量子密钥文件；

s32、所述被叫方量子密钥管控服务器制备第三量子密钥文件，所述被叫方量子密钥管控服务器通过第五量子密钥文件中的量子密钥对第三量子密钥文件加密，并通过公共网络传输至被叫方移动终端；

s33、所述被叫方移动终端通过第五量子密钥文件对加密的文件进行解密，获得解密后的第三量子密钥文件。

本发明还公开了一种量子移动终端通信方法，基于上述的量子移动终端通信的密钥分配方法获得的通信网络，其特征在于，包括以下步骤：

所述主叫方移动终端从第一量子密钥文件中提取密钥对通话内容进行一次一加密，发送至主叫方量子密钥管控服务器；

所述主叫方量子密钥管控服务器提取第一量子密钥文件中对应的密钥对通话内容进行解密；

所述主叫方量子密钥管控服务器提取第二量子密钥文件中的密钥对通话内容加密，并发送至第一量子密钥管控服务器，所述第一量子密钥管控服务器通过提取第二量子密钥文件中对应的密钥对通话内容解密；n个第一量子密钥管控服务器通过共享的第二量子密钥文件对通话内容依次进行加密传输，直至传输至被叫方量子密钥管控服务器；

所述被叫方量子密钥管控服务器通过提取第三量子密钥文件的密钥对通话内容加密，并发送至被叫方移动终端，所述被叫方移动终端通过提取第三量子密钥文件中对应的密钥对通话内容解密。

本发明的有益效果：

1、本发明的移动终端双方之间无需事先共享相同的密钥就能实现安全通信，灵活度高，安全性高。

2、本发明能够削弱对移动终端内存空间的需求。

3、本发明采用量子密钥进行一次一密加密，提高通信安全。

附图说明

图1为实施例一中量子移动终端通信系统示意图；

图2为实施例二的结构示意图；

图3为实施例三中南京、镇江、常州、无锡、苏州、南通及上海中量子密钥分布网络示意图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步说明，以使本领域的技术人员可以更好地理解本发明并能予以实施，但所举实施例不作为对本发明的限定。

实施例一

参照图1所示，本发明公开了一种量子移动终端通信系统，包括量子密钥收发模块、量子密钥管控模块和移动终端。

量子密钥收发模块包括多个相互连接的量子密钥收发一体机，任意两个相邻的量子密钥收发一体机通过光纤有线连接以共享一组量子密钥文件。通过光纤有线连接，相邻的两个量子密钥收发一体机共享一组量子密钥文件，安全性高。

量子密钥管控模块包括多个量子密钥管控服务器，每个量子密钥收发一体机皆配备一台量子密钥管控服务器，相邻两个量子密钥管控服务器通过信号连接以发送密钥分发请求。量子密钥管控服务器的目的在于监控量子密钥收发一体机的状态，包括量子密钥生成速率，密钥文件大小，监测是否存在窃听。

每个量子密钥管控模块皆连接有多个移动终端，移动终端与量子密钥管控服务器连接以共享一组量子密钥文件。量子密钥管控服务器向对应的移动终端进行密钥分发包括物理灌装或无线分发，对移动终端存储的量子密钥进行全方位监管。

移动终端与量子密钥管控模块通过有线连接或无线网络连接以共享和存储一份量子密钥文件。移动终端可以选择在出厂或者跑到固定地点，采用物理灌装的方式，预先在tf卡中下载一份量子密钥文件。

量子密钥收发一体机与量子密钥管控服务器通过光纤有线连接。相邻两个量子密钥管控服务器通过无线网络连接，如此，方便信息传输。

实施例二

参照图2所示，本发明公开了一种量子移动终端通信的密钥分配方法，基于实施例一中的一种量子移动终端通信系统，包括以下步骤：

s1、主叫方移动终端向主叫方量子密钥管控服务器发送通信请求，主叫方移动终端与主叫方量子密钥服务器共享用于通信的第一量子密钥文件k1，具体包括：

s11、主叫方移动终端与主叫方量子密钥管理服务器预先共享第四量子密钥文件k4；此处，可通过物理灌装的方法，移动终端可以选择在出厂或者跑到固定地点，采用物理灌装的方式，预先在tf卡中下载一份密钥文件。

s12、主叫方移动终端向主叫方量子密钥管控服务器发送通信请求；

s13、所述主叫方量子密钥管控服务器制备第一量子密钥文件k1，所述主叫方量子密钥管控服务器通过第四量子密钥文件k4中的量子密钥对第一量子密钥文件k1加密，并通过公共网络传输至主叫方移动终端；

s14、所述主叫方移动终端通过第四量子密钥文件k4对加密的文件进行解密，获得解密后的第一量子密钥文件k1。本步骤的有益效果是能够能够削弱对移动终端内存空间的需求，不需要长期占用终端过多的空间存放大量密钥。

s2、所述主叫方量子密钥管控服务器与被叫方量子密钥管控服务器之间具有n个第一量子密钥管控服务器，n为大于等于0的整数，所述主叫量子密钥管控服务器向相邻的第一量子密钥管控服务器发起密钥分发请求，所述主叫量子密钥收发一体机与相邻的第一量子密钥收发一体机共享一组第二量子密钥文件k2，并分别存储对应的量子密钥管控服务器中；沿通信方向，相邻的所述第一量子密钥收发一体机共享一组第二量子密钥文件k2，并存储在对应的量子密钥管控服务器中；最后一台第一量子密钥管控服务器与被叫方量子密钥管控服务器共享一组第二量子密钥文件k2；所述步骤s2共生成n+1组不同的第二量子密钥文件k2；

s3、被叫方量子密钥管控服务器与被叫方移动终端共享用于通信的第三量子密钥文件k3，具体包括：

s31、被叫方移动终端与被叫方量子密钥管理服务器预先共享第五量子密钥文件k5；

s32、所述被叫方量子密钥管控服务器制备第三量子密钥文件k3，所述被叫方量子密钥管控服务器通过第五量子密钥文件k5中的量子密钥对第三量子密钥文件k3加密，并通过公共网络传输至被叫方移动终端；

s33、所述被叫方移动终端通过第五量子密钥文件k5对加密的文件进行解密，获得解密后的第三量子密钥文件k3。该第三量子密钥文件k3即用于被叫方移动终端与被叫方量子密钥管理服务器之间的通信。

实施例三

本发明还公开了一种量子移动终端通信方法，基于实施例二中量子移动终端通信的密钥分配方法获得的通信网络，包括以下步骤：

所述主叫方移动终端从第一量子密钥文件k1中提取密钥对通话内容进行一次一加密，发送至主叫方量子密钥管控服务器；

所述主叫方量子密钥管控服务器提取第一量子密钥文件k1中对应的密钥对通话内容进行解密；

所述主叫方量子密钥管控服务器提取第二量子密钥文件k2中的密钥对通话内容加密，并发送至第一量子密钥管控服务器，所述第一量子密钥管控服务器通过提取第二量子密钥文件k2中对应的密钥对通话内容解密；n个第一量子密钥管控服务器通过共享的第二量子密钥文件k2对通话内容依次进行加密传输，直至传输至被叫方量子密钥管控服务器；

所述被叫方量子密钥管控服务器通过提取第三量子密钥文件k3的密钥对通话内容加密，并发送至被叫方移动终端，所述被叫方移动终端通过提取第三量子密钥文件k3中对应的密钥对通话内容解密。

本发明的移动终端双方之间无需事先共享相同的密钥就能实现安全通信，灵活度高，安全性高；其采用量子密钥进行一次一密加密，提高通信安全。

下面以量子干线为例做具体说明，参照图3所示，该量子干线共7个节点，包括南京、镇江、常州、无锡、苏州、南通及上海。每个节点部署一台量子密钥收发一体机设备，每台设备通过光纤连接。干线上的量子密钥收发一体机组成了量子密钥分配网络，节点上任意相邻的两台设备之间可以共享一组量子密钥(安全性由量子力学原理来保证)。此外，每个量子密钥收发一体机需要配备一台量子密钥管控服务器(记为服务器)，通过光纤物理连接。量子密钥管控服务器的目的在于监控量子密钥收发一体机的状态，包括量子密钥生成速率，密钥文件大小，监测是否存在窃听；以及向移动终端进行密钥分发包括物理灌装或无线分发，对移动终端存储的量子密钥进行全方位监管。

以南京和无锡区域的两个移动终端(分别记为南京用户和无锡用户)想要通信为例：

1、首先南京用户和无锡用户通过物理灌装方式分别和本地量子密钥管控服务器共享一组量子密钥，文件大小记为d，分别记为a1和a2，保存在tf卡的安全模块中。

2、南京用户向南京服务器发送通信请求，南京服务器制备一份密钥文件，记为a3，大小为m，m>>d。南京服务器用a1对a3加密，通过公共网络发送给南京用户，南京用户收到加密文件后，用相同密钥进行解密。

3、南京服务器向镇江服务器发起密钥分发请求，目的在于南京量子密钥收发一体机和镇江量子密钥收发一体机共享一组量子密钥，分别保存在各自本地服务器中，量子密钥文件记为a4,大小为m；依次的，镇江量子密钥收发一体机和常州量子密钥收发一体机共享一组量子密钥，记为a5,大小为m；常州量子密钥收发一体机和无锡量子密钥收发一体机共享一组量子密钥，记为a6,大小为m。

4、无锡服务器制备一份密钥文件，记为a7，大小为m，m>>d。。无锡服务器用a2对a7加密，通过公共网络发送给无锡用户，无锡用户收到加密文件后，用相同密钥进行解密。

5、南京用户和南京服务器进行密钥协商：南京随机抽取不同位置的密钥，并公开，南京服务器检测源密钥文件对应位置的密钥，是否一致。若不一致，则表示有人窃听，放弃本次通信。若一致，表示通信安全，则双方共享一份安全的量子密钥文件，此时记为a3’。文件大小m’，m’>>d。同样的，无锡用户和无锡服务器共享一份安全的量子密钥文件，记为a7’，文件大小m’。

4、南京用户从密钥文件a3’中提取等量密钥对通话内容进行一次一密加密，发送至南京服务器，南京服务器从密钥文件a3’提取对应的密钥进行解密。

5、南京服务器从密钥文件a4中提取等量密钥对通信内容加密发送至镇江服务器，镇江服务器从密钥文件a4中提取对应的密钥解密。

6、镇江服务器从密钥文件a5中提取等量密钥对通信内容加密发送至常州服务器，常州服务器从密钥文件a5中提取对应的密钥解密。

7、常州服务器从密钥文件a6中提取等量密钥对通信内容加密发送至无锡服务器，无锡服务器从密钥文件a6中提取对应的密钥解密。

8、无锡服务器从密钥文件a7’中提取等量密钥对通信内容加密发送至无锡用户，无锡用户从密钥文件a7’中提取对应的密钥解密，最终获取到南京用户的通信内容。

9、因为通信是一个双方都是发送/接收的角色，所以无锡用户发送通信内容也是同样的方式。

以上所述实施例仅是为充分说明本发明而所举的较佳的实施例，本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换，均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。