本发明属于量子保密通信和移动支付安全技术领域,特别涉及一种量子安全的移动转账方法。
背景技术:
量子密钥分发(qkd)是通过量子信道进行安全的密钥分发的新型方法。qkd基于量子态不可精确克隆等量子力学原理,能够实现无条件安全的量子密钥分发。基于量子密钥的移动应用解决方法可以实现更高安全性的移动保密通信,特别地,量子密钥可以用于提升移动交易通信过程的量子安全性。
技术实现要素:
本发明提供一种量子安全的移动转账方法,用于提升移动交易通信过程的量子安全性,其特征在于,移动终端事先向量子密钥服务节点申请入网注册,获得唯一的身份标识;已注册移动终端向量子密钥服务节点qksn_a(qksn_a只是一个方便描述的编号方法,不用于限定某个具体节点,下同)获取量子密钥流量,并与该量子密钥服务节点建立服务关联,创建相应的服务关联列表;电子银行事先向量子密钥服务节点申请入网注册,获得唯一的身份标识;已注册电子银行向量子密钥服务节点qksn_b(qksn_b只是一个方便描述的编号方法,不用于限定某个具体节点,下同)获取共享量子密钥流量,并与该量子密钥服务节点建立服务关联,创建相应的服务关联列表;本发明的量子安全的移动转账方法包括如下步骤:
(1-1)移动终端把交易请求发送给电子银行,电子银行响应交易请求,并从量子密钥流量中选择一个子密钥pc_ki作为该次在线交易的安全密钥,并采用pc_ki加密发给移动终端的交易数据,电子银行把pc_ki的密钥标识发给qksn_b,qksn_b向量子密钥服务中心qksc请求把pc_ki发给移动终端;
(1-2)qksc根据所存储的服务关联列表、中继路由表和相关量子服务节点的当前状态指标,选择中继链路并进行量子密钥可信中继,qksc基于量子密钥可信中继得到r=qkp_kj⊕pc_ki(其中,qkp_kj是移动终端与qksn_a之间事先共享的量子密钥流量中的一个子密钥);qksc把r发给移动终端;
(1-3)移动终端采用qkp_kj解密并得到pc_ki;
(1-4)移动终端采用pc_ki解密电子银行发来的交易数据并得到解密后的交易数据,移动终端对相应交易进行确认;确认无误后,形成交易确认信息,并采用pc_ki加密交易确认信息发给电子银行;电子银行采用pc_ki解密,核实交易确认信息的有效性,在确认有效后完成该次交易。
优选的,移动终端预先申请注册的方法,其特征在于:
(2-1)量子密钥服务节点根据用户申请提供加入量子密钥服务网络的注册服务,量子密钥服务节点为用户的移动终端分配网内唯一的量子id,根据申请提供量子密钥流量,并创建相应的服务关联列表,安全存储到用户的移动终端或永久存储介质中;(2-2)量子密钥服务节点把用户量子id和相应的服务关联列表发送到量子密钥服务中心。
优选的,服务关联列表的内容包括但不限于:移动终端的量子id、验证密码、关联量子密钥服务节点的地址。
优选的,量子密钥流量是通过随机性测试并按一定长度分割为多个子密钥的随机数序列,其中,子密钥的长度可以根据加密需求选择32字节或64字节或其它长度;也可以根据子密钥的用途选择相应的长度,比如子密钥用作验证码,则可以使用4字节的子密钥。
优选的,“qksc基于量子密钥可信中继得到r=qkp_kj⊕pc_ki”的方法包括如下步骤:qksc选择参与量子密钥中继的n(n是大于0的自然数)个中继节点,并令所述每一个中继节点计算其与另外两个相邻节点之间的共享量子密钥的异或值,并发送到量子密钥中继服务器,假定参与该次中继的全部量子服务节点依次记为qksn_a、⋯、qksn_ci、⋯、qksn_b(其中,i是自然数,且0<i<n+1,当有一个中继节点时,n=1,i=1;当有两个中继节点时,n=2,i=1、2,以此类推),假定所述节点的相邻节点之间依次选择k1、⋯、ki、⋯、k(n+1)作为该次中继服务的量子密钥,其中,k1是qksn_a与qksn_c1的共享量子密钥,ki是qksn_c(i-1)与qksn_ci的共享量子密钥(其中,1<i<n+1),k(n+1)是qksn_cn与qksn_b的共享量子密钥,相邻节点之间对所使用的量子密钥的密钥标识进行确认并使用相同密钥标识的量子密钥,
(6-1)qksc分别令节点qksn_ci计算其与所述两个相邻节点之间的两个共享量子密钥的异或运算(记为⊕)值,即节点qksn_ci计算ri=ki⊕k(i+1),并分别把计算结果ri及其相应节点qksn_ci的id一起发给qksc(其中,i是自然数,且0<i<n+1);qksn_a把r0=k1⊕qkp_kj发给qksc;qksn_b把r(n+1)=k1(n+1)⊕pc_ki发给qksc,如果在限定的时间内qksc没有接收到某些节点的计算结果,则qksc请求相应节点重发相应的计算结果,直到接收到所述n+2个异或运算结果;
(6-2)qksc对所述n+2个异或运算结果进行异或运算,即,计算r=r0⊕r1⊕⋯ri⋯⊕rn⊕r(n+1)=qkp_kj⊕pc_ki(其中,i是自然数,且0<i<n)。
优选的,采用pc_ki加解密的方法包括但不限于:非重复使用方法和重复使用方法,其中,
(7-1)非重复使用方法:电子银行和移动终端分别把pc_ki编排为两个会话密钥sk1和sk2,sk1用于电子银行加密发送给移动终端的数据和用于移动终端解密采用sk1加密的数据,sk2用于移动终端加密发送给电子银行的数据和用于电子银行解密采用sk2加密的数据;或者,把sk1用作加解密密钥,把sk2用作确认码或验证码;
(7-2)重复使用方法:pc_ki用于电子银行加密发送给移动终端的数据和用于移动终端解密采用pc_ki加密的数据,pc_ki用于移动终端加密发送给电子银行的数据和用于电子银行解密采用pc_ki加密的数据。
优选的,所述移动终端包括具有无线通信功能的智能便携通信设备和具有无线通信功能的密钥数据转发设备,其特征在于:
(8-1)所述具有无线通信功能的智能便携通信设备用于采用所述方法获得的会话密钥进行业务数据加解密通信;
(8-2)所述具有无线通信功能的密钥数据转发设备用于把采用所述方法获得的会话密钥再转发送给其它加密通信设备,并用于所述其它加密通信设备之间的业务数据加解密通信。
优选的,所述量子密钥服务节点包括量子密钥分发(记为qkd)系统、量子密钥服务器和安全存储服务器,其特征在于:
(9-1)所述qkd系统包括一台或多台qkd收发一体机或qkd的发送端和/或接收端,一个量子密钥服务节点的qkd与其它存在点到点量子信道连接的相邻量子密钥服务节点的qkd都可以组成至少一套量子密钥分发系统;
(9-2)所述量子密钥服务器用于为移动终端提供注册服务和量子密钥流量服务并创建相应的服务关联列表,还用于响应qksc的指令并上报节点状态信息和提供可信中继服务;还用于把用户注册信息和服务关联列表发送给qksc;还用于协商确认与相邻节点所使用的量子密钥;
(9-3)所述安全存储服务器用于缓存所述qkd系统与其它存在直接连接关系的相邻量子密钥服务节点的qkd系统之间协商的量子密钥,还用于存储与所服务移动终端之间的共享量子密钥流量。
优选的,移动终端把交易请求发送给电子银行的方法包括但不限于:移动终端直接向电子银行发送交易请求、电商交易系统根据移动终端的交易请求向电子银行发送交易转账请求、第三方支付平台根据移动终端的交易请求向电子银行发送交易转账请求。
与现有技术相比,本发明具有更高的效率和安全性,并具有以下几方面的显著创新性:
1.电子银行根据交易请求实时申请量子密钥,量子密钥服务中心根据事先共享的量子密钥流量提供实时服务,安全性更高,实时性更好;
2.采用量子密钥加密交易交互数据,或者采用量子密钥作为验证码,安全性更高。
本发明在高安全移动支付领域中有着十分重要的实际应用价值。
附图说明
图1为本发明实施例的基本原理示意图;
图2为本发明实施例的扩展方法示意图。
为使本发明的技术方案及优点更加清楚,作为本发明的一部分,以下结合附图及具体实施例,对本发明作进一步详细的说明。
本发明方案中所涉及的加密和解密包括采用一次一密算法和数据加密标准算法(比如aes算法)的加密和解密,加密和解密具有一致性,即选择某个密钥和加密算法加密某个数据得到一个密文,解密时必须选择相应的密钥和解密算法才能解密该密文;对于采用一次一密加密算法的加/解密直接采用量子密钥与明文/密文数据进行异或运算;对于采用数据加密标准算法的加/解密,首先把共享量子密钥编排为密码算法的多个工作密钥,采用所述工作密钥对数据进行加/解密运算,并提升所述工作密钥的更换频率。
本发明方案中所涉及的通信信道包括:量子密钥服务节点之间的量子密钥分发信道、量子密钥服务节点与量子密钥服务中心之间的传统通信网络信道(包括有线和无线网络)、移动终端之间的无线通信网络信道、移动终端与量子密钥服务中心之间的无线通信网络信道。其中,除了量子密钥分发需要占用量子信道以外,其它网络通信都采用传统的网络通信信道,包括有线和无线信道,与移动终端之间的通信优先选择无线信道(比如,移动4g网络、卫星通信网络等)。
本发明方案中所涉及的中继路由表,其特征包括但不限于:(1)中继路由表由若干条记录组成,每一条记录的内容包括:本机地址、目标地址和下一跳地址;(2)量子密钥分配网络的各个节点中都保存有自己的中继路由表;(3)量子网络管理服务器中存储有每个节点的当前中继路由表;(4)量子密钥分发网络的拓扑结构变化后,中继路由表也随之更新。
本发明方案中所涉及的节点的当前状态指标包括但不限于:(1)反映所述节点当前负担中继任务的繁重状态的指标,所述指标包括所述节点的额定量子密钥分发速率、当前正在参与的中继任务数量和各个中继任务的量子密钥消耗速率;(2)反映所述节点在量子密钥分配网络中当前所处位置状态的指标,所述指标包括所述节点与其他节点之间存在的有效量子信道并能够进行量子密钥协商的数量以及所述节点与其他节点间的跳数。
本发明方案中的移动终端包括但不限于智能手机、对讲机和平板等;移动终端具备支持无线网络访问能力的硬件模块,可以通过传统的上行和下行网络信道(包括各种无线网络)进行数据交换;当移动终端所获得的量子密钥流量用完后,移动终端可以向任意一个量子密钥服务节点重新申请并更新服务关联列表。
本发明实施例的基本原理如图1所示,移动终端mt_uid把交易请求发送给电子银行,电子银行响应交易请求,并从量子密钥流量中选择一个子密钥pc_ki作为该次在线交易的加密密钥,并采用pc_ki加密发给移动终端mt_uid的交易数据pdx,电子银行把pc_ki的密钥标识发给qksn_b,qksn_b向量子密钥服务中心qksc请求把pc_ki发给移动终端mt_uid;qksc根据所存储的服务关联列表、中继路由表和相关量子服务节点的当前状态指标,选择中继链路并进行量子密钥可信中继,即,qksc分别令节点qksn_ci计算其与所述两个相邻节点之间的两个共享量子密钥的异或运算(记为⊕)值,即节点qksn_ci计算ri=ki⊕k(i+1),并分别把计算结果ri及其相应节点qksn_ci的id一起发给qksc(其中,i是自然数,且0<i<n+1);qksn_a把r0=k1⊕qkp_kj发给qksc;qksn_b把r(n+1)=k1(n+1)⊕pc_ki发给qksc,如果在限定的时间内qksc没有接收到某些节点的计算结果,则qksc请求相应节点重发相应的计算结果,直到接收到所述n+2个异或运算结果;qksc对所述n+2个异或运算结果进行异或运算,即,计算r=r0⊕r1⊕⋯ri⋯⊕rn⊕r(n+1)=qkp_kj⊕pc_ki(其中,i是自然数,且0<i<n);qksc把r发给移动终端mt_uid;移动终端mt_uid采用qkp_kj解密并得到pc_ki;移动终端mt_uid采用pc_ki解密电子银行发来的交易数据并得到解密后的交易数据pdx,移动终端mt_uid对相应交易进行确认;确认无误后,形成交易确认信息,并采用pc_ki加密交易确认信息发给电子银行;电子银行采用pc_ki解密,核实交易确认信息的有效性,在确认有效后完成该次交易。
本发明方法同样适用于电商交易系统(或第三方支付平台)根据移动终端的交易请求向电子银行发送交易转账请求并进行高安全的交易,如图2所示,mt_uid向电商发送交易请求(流程1),电商根据mt_uid的交易请求向电子银行发送交易转账请求(流程2),电子银行向mt_uid发送采用量子密钥加密的交易数据(流程3),同时把量子密钥的密钥标识发给qksn_b(流程3),qksn_b向qksc请求把该量子密钥发给mt_uid(流程4);
qksc根据所存储的服务关联列表、中继路由表和相关量子服务节点的当前状态指标,选择中继链路并进行量子密钥可信中继,即,qksc分别令节点qksn_ci计算其与所述两个相邻节点之间的两个共享量子密钥的异或运算(记为⊕)值(流程5),即节点qksn_ci计算ri=ki⊕k(i+1),并分别把计算结果ri及其相应节点qksn_ci的id一起发给qksc(其中,i是自然数,且0<i<n+1)(流程6);qksn_a把r0=k1⊕qkp_kj发给qksc(流程6);qksn_b把r(n+1)=k1(n+1)⊕pc_ki发给qksc(流程6);qksc对所述n+2个异或运算结果进行异或运算,即,计算r=r0⊕r1⊕⋯ri⋯⊕rn⊕r(n+1)=qkp_kj⊕pc_ki(其中,i是自然数,且0<i<n);qksc把r发给mt_uid(流程7);mt_uid采用qkp_kj解密并得到量子密钥;mt_uid采用量子密钥解密电子银行发来的交易数据并得到解密后的交易数据,mt_uid对相应交易进行确认;确认无误后,形成交易确认信息,并采用量子加密交易确认信息发给电子银行(流程8);电子银行采用量子密钥解密,核实交易确认信息的有效性,在确认有效后完成该次交易。
以上所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中实施例的各种变形和组合可以得到更多的实施例,本领域普通技术人员在未做出创造性劳动前提下所获得的其他直接采用本发明方法的实施例,都属于本发明保护的范围。