基于量子密码的端对端手持设备加密方法及系统的制作方法
【技术领域】
[0001]本发明涉及一种端到端的量子密钥同步方法,尤其涉及一种基于量子密码的端对端手持设备加密方法及系统。
【背景技术】
[0002]移动通话带来便利的同时也带来了安全隐患,存在着语音通话的被非法截获的可能。手持设备的加解密的数据传输框图如图1所示。目前基于量子密码的端对端手持设备加密方法及装置还不存在。已知的手持移动设备的加密方案是采用公钥体制,通过公私钥对来分发会话密钥,而公钥体系的安全性是依赖于计算复杂度的,无法抗拒超强计算能力的攻击,特别是量子计算机的攻击。采用量子密码技术的一次一密的加密方式是被理论证明无条件安全的。
【发明内容】
[0003]本发明所要实现的技术目的是针对上述现有技术的不足,提供一种基于量子密码的端对端手持设备加密方法及系统,本基于量子密码的端对端手持设备加密方法及系统是基于端到端的加密方案的基础上,在手持设备进行通话数据的加解密方案;具有很高的安全性、独立性、部署方便、快捷、简单。
[0004]为实现上述技术目的,本发明采取的技术方案为:基于量子密码的端对端手持设备加密方法,其特征在于包括以下步骤:
[0005]量子密钥存储:所述手持设备在通信时,发起呼叫的手持设备为主叫端,被呼叫的手持设备为被叫端;所述量子通信密钥基于量子密码的端对端手持设备加密方法存储在手持设备内;
[0006]发起呼叫:当需要进行加密通信时,主叫端向被叫端发起加密通信请求;
[0007]量子密钥同步:被叫端接收到加密通信请求并确认接听后,发送密钥同步请求消息给主叫端;
[0008]同步确认:主叫端收到密钥同步请求消息后,从其密钥池中读取量子通信密钥Ksa,然后回送确认消息给被叫端;
[0009]呼叫应答:被叫端收到确认信息后,从其密钥池中读出对应的量子通信密钥Ksa ;量子通信密钥Ksa读出成功后,被叫端发送加密呼叫应答信号给主叫端,主叫端和被叫端进行加密通信;
[0010]加密通信:主叫端的MCU将量子通信密钥Ksa注入加解密模块中,所述主叫端的MCU通过主叫端的加解密模块使用量子通信密钥将数据采集模块采集到的数据进行数据加密,然后将加密后的数据通过主叫端的射频模块发送出去;被叫端的射频模块将接收到的加密后的数据注入被叫端的加解密模块进行解密,解密完成后通过被叫端的扬声器播放或者触摸式显示屏显示出来;
[0011]被叫端的MCU将量子通信密钥Ksa注入加解密模块中,所述被叫端的MCU通过被叫端的加解密模块使用量子通信密钥将数据采集模块采集到的数据进行数据加密,然后将加密后的数据通过被叫端的射频模块发送出去;主叫端的射频模块将接收到的加密后的数据注入主叫端的加解密模块进行解密,解密完成后通过主叫端的扬声器播放或者触摸式显示屏显示出来。
[0012]作为本发明进一步改进的技术方案,还包括量子密钥更新步骤:
[0013]所述主叫端和被叫端使用的量子通信密钥Ksa都设定有生命周期;在通信过程中,主叫端和被叫端的量子通信密钥Ksa的使用周期分别达到设定状态后,量子通信密钥Ksa被更换为新量子通信密钥Ksb,并且新量子通信密钥Ksb更换成功后被注入主叫端和被叫端的加解密模块。
[0014]作为本发明进一步改进的技术方案,量子通信密钥更新包括以下步骤:
[0015]密钥更新:被叫端根据其量子通信密钥池的状态,发送量子通信密钥更新请求消息给主叫端;
[0016]更新确认:主叫端收到量子通信密钥更新请求消息后,根据量子通信密钥Ksa同步地址和量子通信密钥Ksa长度信息,从其量子通信密钥池中读取新量子通信密钥Ksb,然后回送确认消息给被叫端;被叫端收到确认信息后,从其量子通信密钥池中读出对应长度的新量子通信密钥Ksb ;新量子通信密钥Ksb读出成功后,主叫端和被叫端分别将新量子通信密钥Ksb注入加解密模块中,主叫端和被叫端采用新密钥Ksb进行密话阶段步骤中的通信过程。
[0017]作为本发明进一步改进的技术方案,在量子密钥存储步骤中,所述量子通信密钥与电话薄中的号码一一配对;
[0018]在密钥同步步骤中,所述密钥同步请求消息中包含量子通信密钥的同步信息,所述量子通信密钥的同步信息包括量子通信密钥的编号、起始地址,量子通信密钥的长度和生存周期
[0019]在同步确认步骤中,主叫端根据量子通信密钥编号、起始地址和量子通信密钥长度信息,从其量子通信密钥池中读取量子通信密钥Ksa ;
[0020]所述数据采集模块包括麦克风和触摸式显示屏;所述手持设备采用TF卡或者RAM作为量子通信密钥数据存储的物理介质。
[0021]作为本发明进一步改进的技术方案,当量子通信密钥存储在TF卡或者RAM中时,对量子通信密钥的存储采用逻辑地址直接访问模式;整个量子通信密钥的存储空间按物理地址空间划分成块,每个块都依实际功能需求被分割成各个独立的区域;
[0022]所述独立的区域包括:DPT区域和Key Info区域;
[0023]DPT区域:即密钥存储分区表,用于描述整个密钥存储空间的数据存储结构及各分区密钥数据使用情况,占用存储空间的首个Block空间;
[0024]Key Info区域:分别对应后面密钥分区的数据存储及使用信息,包含id、start、end和cur三个字段;id为当前密钥块的编号,用以匹配互相加密通信的密钥块,start字段记录当前密钥区的起始物理地址,end记录当前密钥区的结束物理地址,cur为当前密钥区数据读取指针,指向密钥读取的相对偏移地址。指针之前的密钥数据均已被擦除,无法使用。
[0025]作为本发明进一步改进的技术方案,通过QKD设备密钥分通道获取量子通信密钥并将量子通信密钥存储到密钥管理模块;使用量子通信密钥管理中心发送短信到所述手持设备,用于强制删除手持设备上未使用的量子通信密钥;密钥同步、密钥确认以及密钥更新的消息信道为短信、GPRS或者WiFi ;数据采集模块采集到的数据为语音、文件、图片或者视频。
[0026]为实现上述技术目的,本发明采取的另一种技术方案为:基于量子密码的端对端手持设备加密方法,其特征在于:量子密钥分发终端QKD1和量子密钥分发终端QKD2都通过量子密钥分发通道QL分发量子密钥,并在两个量子密钥分发终端QKD1和量子密钥分发终端QKD2之间生成点到点的相同密钥对。手持设备TD1通过密钥通道KL1从量子密钥分发终端QKD1获取密钥并存储在手持设备终端TD1的存储空间,手持设备终端TD2通过密钥通道KL2从量子密钥分发终端QKD2获取密钥并存储在手持设备终端TD2的存储空间;密钥管理中心KMC通过管理通道SL1和管理通道SL2管理手持设备终端TD1和手持设备终端TD2之间的密钥同步与更新。
[0027]作为本发明进一步改进的技术方案,包括以下步骤:
[0028]1)量子密钥分发终端QKD1、量子密钥分发终端QKD2、手持设备终端TD1和手持设备终端TD2分别在密钥管理中心KMC上注册登记;
[0029]2)量子密钥分发终端QKD1和量子密钥分发终端QKD2启动后开始分发量子密钥,在量子密钥分发终端QKD1和量子密钥分发终端QKD2间生成点到点的相同密钥对,形成量子密钥池;同时量子密钥分发终端QKD1通过管理通道CL1管理通道实时向密钥管理中心KMC上报密钥池的状态;所述密钥池的状态包括密钥池的密钥容量和密钥池中密钥产生的速度;
[0030]3)手设备终端TD1和手持设备终端TD2在KMC密钥管理中心的管理下分别从量子密钥分发终端QKD1和量子密钥分发终端QKD2的密钥池中获取相同的量子密钥并注入手持设备终端TD1和手持设备终端TD2的存储模块内;
[0031]4)当手持设备终端TD1和手持设备终端TD2需要建立加密通信时,密钥管理中心KMC通过管理通道SL管理手持设备终端TD1和手持设备终端TD2密钥存储模块内的密钥的同步和更新。
[0032]为实现上述技术目的,本发明采取的另一种技术方案为:基于量子密码的端对端手持设备加密系统,其特征在于包括:射频模块、MCU、北斗或GPS模块、加解密