本实用新型涉及量子保密通信领域,尤其涉及一种移动式量子随机数补充装置及系统。
背景技术:
随机数在很多重要领域具有核心作用:例如身份认证、安全领域、密码学、博彩、科学模拟计算等。因此高质量的真随机数发生器一直是一个热点研究课题。传统的随机数发生器主要有两种:伪随机数发生器和经典物理源随机数发生器。伪随机数发生器基于固定的算法,本质上不具有任何随机性;经典物理源随机数发生器基于物理系统的复杂性,而经典物理学理论中也不存在任何随机性,因此其产生的随机数也并非严格意义上的真随机数,且其产生数据的速率较慢,统计特性不佳。
量子随机数发生器基于量子力学基本理论,而量子力学基本理论具有本征的内在的随机性,因此量子随机数发生器是一种真随机数发生器,而且严格来说是已知的唯一种真随机数发生器。经过长期的发展,量子随机数发生器的方案在不断推陈出新,现有的主流量子随机数发生器方案有基于激光的随机相位涨落和宽谱光源的强度噪声等。
量子通信服务站中存在量子随机数发生器及量子随机数颁发中心,为接入用户提供量子随机数密钥,通过量子密钥卡的形式颁发给用户,量子随机数密钥形成量子通信服务站与用户量子密钥卡之间的对称密钥池,用于两者之间的身份认证和消息保密。但用户仍然存在将量子随机数用于密钥以外其他用途的需求,例如将量子随机数作为密钥协商的会话密钥、作为挑战应答身份认证的挑战数等。而由于量子随机数硬件体积较大、代价较高,大量用户并没有配备量子随机数硬件的能力。总之,大量用户除了获取量子随机数密钥,还有获取并存储量子随机数的需求,以弥补自身无法配备量子随机数硬件的缺陷。
综上,现有的基于量子量子随机数的分发系统存在下面的问题:
1.在量子通信服务站中的量子随机数发生器的业务高峰期,申请量子随机数的用户众多,量子随机数发生器及其传输网络不堪重负,导致用户的量子随机数补充速度很慢;
2.量子通信服务站搭建有指定位置的通过有线网络连接的量子随机数颁发点,例如随机数颁发营业厅,用户需要到颁发点才能进行量子随机数颁发,因此用户量子随机数颁发的便利性较差;
3.颁发的量子随机数往往未被加密,因此敌方可能通过传输的中间环节获取到量子随机数。
技术实现要素:
技术方案:本实用新型针对上述不足,提出了一种移动式量子随机数补充装置及系统。
一种移动式量子随机数补充装置,包括:
身份信息区,用于存储该移动式量子随机数补充装置的身份信息;
量子密钥区,用于存储量子通信服务站颁发的量子随机数,作为该移动式量子随机数补充装置分别与量子通信服务站及被补充用户终端之间的认证密钥;
量子随机数存储区,用于存储若干组发自量子通信服务站的第一补充量子随机数信息;其中,在量子通信服务站内存储有与所述第一量子随机数信息相对应的第二补充量子随机数信息;所述第一补充量子随机数信息包括使用量子通信服务站颁发的某一段补充量子随机数的对称加密密钥加密该段补充量子随机数得到的加密信息及对该加密信息进行哈希计算得到的补充量子随机数指针,所述第二补充量子随机数信息包括前述对称加密密钥及前述补充量子随机数指针;
cpu,用于接收量子通信服务站根据用户终端的补充量子随机数申请发送的补充量子随机数指针及用户终端的身份信息,并据此将补充量子随机数指针对应的第一补充量子随机数信息发送至用户终端,由用户终端解密完成量子随机数补充;
通信模块,用于该移动式密钥补充装置与用户终端及量子通信服务站之间的通信。
所述第一补充量子随机数信息中还包括其内加密信息的长度信息。
所述移动式密钥补充装置安置于各类移动式民用装置以及各类移动式战斗装置之上。
一种移动式量子随机数补充系统,包括:
前述移动式量子随机数补充装置;
量子通信服务站,存储有与所述移动式量子随机数补充装置内存储的第一量子随机数信息相对应的第二补充量子随机数信息,用于接收待补充量子随机数的用户终端的补充量子随机数申请,并根据申请选择一组第二补充量子随机数信息发送给用户终端;同时将该第二补充量子随机数信息内的补充量子随机数指针及用户身份信息发送至前述移动式量子随机数补充装置;
用户终端,向量子通信服务站发送补充量子随机数申请,并接收其返回的第二补充量子随机数信息,并根据第二补充量子随机数信息的补充量子随机数指针与前述移动式量子随机数补充装置进行交互得到第一补充量子随机数信息,再通过第二补充量子随机数信息内的对称加密密钥解密第一补充量子随机数信息得到对应的量子随机数。
用户终端在获取到量子随机数后,给所述移动式量子随机数补充装置回复量子随机数补充成功的消息,所述移动式量子随机数补充装置接收该消息并将其转发至量子通信服务站,量子通信服务站接收到此消息后删除对应的第二补充量子随机数信息。
用户终端在获取到量子随机数后,给所述移动式量子随机数补充装置回复量子随机数补充成功的消息,所述移动式量子随机数补充装置接收该消息并将其转发至量子通信服务站,量子通信服务站接收到此消息后删除对应的第二补充量子随机数信息。
所述量子通信服务站颁发补充量子随机数选择在量子随机数颁发速度最快的颁发地点或量子随机数颁发速度最快的颁发时机。
所述量子通信服务站的量子随机数颁发速度最快的颁发地点位于量子通信服务站搭建的指定位置的通过有线网络连接的量子随机数颁发点;所述量子通信服务站的量子随机数颁发速度最快的颁发时机定于量子通信服务站业务压力较小的后半夜。
所述量子通信服务站内还设有监控报警模块,用于对其与所述移动式量子随机数补充装置之间的连接通信进行监控;如与所述移动式量子随机数补充装置之间的连接通信出现异常则不再信任该移动式量子随机数补充装置,并将与该移动式量子随机数补充装置所携带的密钥所对应的本地密钥以及与该移动式量子随机数补充装置内存储的第一量子随机数信息所对应的第二量子随机数信息全部销毁。
所述量子通信服务站与所述移动式量子随机数补充装置之间的连接通信出现异常具体为:在规定时间内无法联系,或其地理位置到达可信区域之外。
有益效果:
1.缓解量子通信服务站中的量子随机数发生器在颁发高峰期的压力,提升量子通信网络的量子随机数颁发能力;
2.提高量子随机数颁发的便利性(原先必须到指定位置去颁发,现在到处可以颁发);
3.虽然本专利新增了移动式量子随机数补充装置作为密钥颁发的中间环节,但颁发的量子随机数已被加密,因此敌方很难通过传输的中间环节获取到量子随机数,即保证了量子随机数颁发的安全性。
附图说明
图1为本实用新型具体实施例中移动式量子随机数补充装置的结构图;
图2为本实用新型具体实施例的系统通信流程图;
图3为量子通信服务站的结构图。
具体实施方式
下面结合附图和具体实施例,进一步阐明本实用新型。
图1为本实用新型具体实施例中移动式量子随机数补充装置的结构图,如图1所示,本实用新型的移动式量子随机数补充装置包括身份信息区、量子密钥区、量子随机数存储区、cpu及ram以及通信模块;
身份信息区存储有该移动式量子随机数补充装置的身份信息;
量子密钥区存储有来自量子通信服务站的量子随机数,其中一部分作为该移动式量子随机数补充装置与量子通信服务站之间的会话密钥,一部分作为该移动式量子随机数补充装置与被补充用户终端之间的会话密钥;
量子随机数存储区存储有若干组来自量子通信服务站的第一补充量子随机数信息,其中,在量子通信服务站内存储有与第一量子随机数信息相对应的第二补充量子随机数信息;第一补充量子随机数信息包括使用量子通信服务站颁发的某一段补充量子随机数的对称加密密钥加密该段补充量子随机数得到的加密信息及对该加密信息进行哈希计算得到的补充量子随机数指针,第二补充量子随机数信息包括前述对称加密密钥及前述补充量子随机数指针;
cpu用于分别与量子通信服务站和用户终端进行交互以完成量子随机数补充;
本实施例的移动式量子随机数补充装置通过cpu接收量子通信服务站发送的补充通知信息,补充通知信息中携带有经过其之间的会话密钥加密的补充量子随机数指针和用户终端身份信息;再通过cpu进行解密得到补充量子随机数指针和用户终端身份信息,将补充量子随机数指针对应的第一补充量子随机数信息发送给对应的用户终端并记录相应的业务数据,接收用户终端发送的量子随机数补充成功的消息,同时清除量子随机数存储区内存储的相应的第一补充量子随机数信息并发送用户终端补充量子随机数成功的消息至量子通信服务站;
通信模块用于该移动式密钥补充装置与用户终端及量子通信服务站之间的通信。
在本实用新型中,移动式密钥补充装置可以安置于各类移动式民用装置(民用无人机、公交车、船只、可移动机器人、无人潜航器等)以及各类移动式战斗装置(军用无人机、军用车辆、坦克、军舰、潜艇、预警机等)之上。
本实用新型还提供了移动式量子随机数补充系统,包括量子通信服务站、前述移动式量子随机数补充装置和用户终端。其中,量子通信服务站结构图如图3所示,量子通信服务站为接入用户提供量子随机数密钥,通过量子密钥卡的形式颁发给用户。
量子通信服务站有若干个,每个量子通信服务站直接或间接地与其他量子通信服务站连接以构建形成量子通信网络;其中,直接连接指两个量子通信服务站不需要经过第三个量子通信服务站进行信息传递,间接连接指两个量子通信服务站之间需要至少1个量子通信服务站进行消息传递。
每个量子通信服务站包括主控中心、量子通信网关和量子随机数发生器。若两个量子通信服务站之间直接相连,则该两个量子通信服务站之间必须设置相互之间对应的量子通信网关。主控中心除了控制量子随机数发生器和量子通信网关的功能,还包括用户登记、用户接入、各类密码学应用、用户信息存储、用户密钥存储等功能,在本专利中作为用户的量子随机数颁发中心;量子通信网关用于进行密钥分配以在直接连接的两个服务站之间形成异地共享的量子密钥;量子随机数发生器用于形成量子随机数供外接入该量子通信网络中的用户终端获取,一部分作为在该用户终端和该量子通信服务站之间形成共享的量子密钥,另一部分由用户终端获取并存储,以用于量子密钥以外其他用途。
用户终端配备有量子密钥卡,量子密钥卡用于与量子通信服务站的主控中心进行数据交互以获取量子随机数作为该用户终端相对于该量子通信服务站的量子密钥。量子密钥卡的内部结构包括cpu、内存、存储器、操作系统,可以存储用户信息、密钥和密码算法。对量子密钥卡存储空间的数据的写操作必须通过量子通信服务站主控中心上的程序实现,否则无法写入;加解密运算在量子密钥卡内进行,保证了密钥不会出现在用户机中。因此,量子密钥卡杜绝了黑客在用户端复制用户密钥信息和写入非法信息的可能性。当用户机为个人电脑时,量子密钥卡的优选表现形式为usbkey或个人电脑主板板卡;当用户机为移动终端时,量子密钥卡的优选表现形式为sdkey或移动终端主板芯片。
量子通信服务站生成若干段补充量子随机数,并对每段补充量子随机数生成对应的对称加密密钥,使用相应的对称加密密钥对每段补充量子随机数进行加密得到加密信息,对该加密信息进行哈希计算得到指向该段补充量子随机数的补充量子随机数指针,连同每段补充量子随机数后的加密信息及其长度一起组合得到若干组第一量子随机数信息;将所得到的所有第一量子随机数信息颁发至该实施例的移动式量子随机数补充装置,同时,将每段补充量子随机数的补充量子随机数指针与每段补充量子随机数的对称加密密钥组合得到若干组第二量子随机数信息并保存。
其中,量子通信服务站颁发补充量子随机数可以在任何时候或任何地点,最好的选择是在量子随机数颁发速度最快的颁发地点或量子随机数颁发速度最快的颁发时机,一般量子随机数颁发速度最快的颁发地点位于量子通信服务站搭建的指定位置的通过有线网络连接的量子随机数颁发点,量子随机数颁发速度最快的颁发时机定于量子通信服务站业务压力较小的后半夜。
量子通信服务站接收待补充量子随机数的用户终端发送的使用其之间会话密钥加密后的补充量子随机数申请,并采用相应会话密钥解密得到补充量子随机数申请,并根据该补充量子随机数申请选择一组第二补充量子随机数信息,并通过其之间会话密钥加密该第二补充量子随机数信息,将其发送给该用户终端;同时,量子通信服务站使用其与本实施例的移动式量子随机数补充装置之间的会话密钥加密该第二补充量子随机数信息中的补充量子随机数指针及该用户终端的身份信息,并发送至本实施例的移动式量子随机数补充装置,通知其对该用户终端进行量子随机数补充,并接收其发送的关于此用户终端量子随机数补充成功的消息,同时删除对应的第二补充量子随机数信息,并记录本实施例的移动式量子随机数补充装置为此用户终端颁发量子随机数的业务数据,用于业务计费。
用户终端使用其与量子通信服务站之间的会话密钥加密其补充量子随机数的申请,并发送至量子通信服务站,接收量子通信服务站发送的使用其之间会话密钥加密后的第二补充量子随机数信息,再与本实施例的移动式量子随机数补充装置进行通信,获取其发送的相应的第一补充量子随机数信息,再通过第二补充量子随机数信息中的对称加密密钥解密第一补充量子随机数信息得到相应的补充量子随机数,并存储与其量子密钥卡中,完成量子随机数补充;在获取到量子随机数后,给移动式量子随机数补充装置回复量子随机数补充成功的消息。
在本实用新型中,量子通信服务站的量子随机数颁发中心对移动式量子随机数补充装置进行监控,如出现异常(如规定时间内无法联系,或其地理位置到达可信区域之外),则不再信任该移动式量子随机数补充装置,并将与该移动式量子随机数补充装置所携带的密钥所对应的本地密钥以及与该移动式量子随机数补充装置内存储的第一量子随机数信息所对应的第二量子随机数信息全部销毁。
图2为本实用新型实施例的系统通信流程图,如图2所示,使用本实用新型移动式量子随机数补充装置进行密钥补充流程如下:
设某一段补充量子随机数为k,该段量子随机数的对称加密密钥为kk,使用kk加密k得到kkk={k}kk。对kkk进行哈希计算得到kid=hash(kkk),连同kkk的长度len一起组合得到mk={kid,len,kkk}。量子随机数颁发中心存储的格式为mkk={kid,kk}。
量子随机数颁发中心对移动式量子随机数补充装置颁发多组mk,可以选择在量子随机数颁发速度最快的颁发地点或量子随机数颁发速度最快的颁发时机,例如颁发地点位于量子随机数颁发中心搭建的指定位置的通过有线网络连接的量子随机数颁发点,颁发时机定于量子随机数颁发中心业务压力较小的后半夜。
设量子随机数补充的被补充者为a,移动式量子随机数补充装置为b,量子随机数颁发中心为s。
预颁发过程:
a和b均通过无线网络与s建立会话密钥ksa/ksb。
s产生量子随机数,作为a与b之间的认证密钥kab。
s分别用ksa/ksb的保护,为a和b同时颁发kab。
a和b用kab进行身份认证,并生成a与b之间的会话密钥ksab。
获取mk过程文字描述如下:
步骤1:a→s
a向s发出补充量子随机数的申请msg,使用与s之间的会话密钥ksa加密msg,得到{msg}ksa,连同使用ksa对msg计算的消息认证码mac(msg,ksa)一起发送至s。发送的消息可表示为{msg}ksa||mac(msg,ksa)。
步骤2:s→a
s收到申请后,使用ksa解密并验证消息认证码。s获得a申请密钥的消息后,选择一份mkk。使用与a之间的会话密钥ksa加密mkk,得到{mkk}ksa,连同使用ksa对mkk计算的消息认证码mac(mkk,ksa)一起发送至a,通知a接收量子随机数。发送的消息可表示为{mkk}ksa||mac(mkk,ksa)。
步骤3:s→b
s使用与b之间的会话密钥ksb加密mkk中的kid和a的身份信息ida,得到{kid||ida}ksb,连同使用ksb计算的消息认证码mac(kid||ida,ksb)一起发送至b,通知b对a进行量子随机数补充。发送的消息可表示为{kid||ida}ksb||mac(kid||ida,ksb)。
步骤4:b→a
b收到消息后,使用ksb解密并验证消息认证码,得到kid||ida,然后移动到a的附近,与a通过有线连接或者近距离无线连接的方式进行通信。
b根据kid选择相应的mk连同使用ksab对mk计算消息认证码mac(mk,ksab)一起发送至a。发送的消息可表示为mk||mac(mk,ksab)。
步骤5:a→b
a使用ksab验证消息认证码后,获取mk。使用kk解密kkk得到k,将量子随机数k存储于量子密钥卡中,完成量子随机数补充。
a获取到量子随机数k后,给b回复量子随机数补充成功的消息。
步骤6:b→s
b获取到a的回复消息后,清除本地存储的mk,给s回复a量子随机数补充成功的消息,s将kid对应的mkk删除,并记录b为a颁发量子随机数的业务数据,可用于业务计费。
整个量子随机数补充流程完毕后,b可以离开a,后续a可使用被补充的量子随机数k。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本实用新型的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对实用新型专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本实用新型构思的前提下,还可以做出若干变形和改进,这些都属于本实用新型的保护范围。因此,本实用新型专利的保护范围应以所附权利要求为准。