一种一对多密钥分发方法与装置与流程

1.本发明属于安全加密领域，特别是涉及一种一对多密钥分发方法与装置。


背景技术：

2.rfid是一种射频识别技术，rfid通过射频无线的方式实现数据交互。该技术已经广泛应用于物流、交通、身份识别等领域，且相关产品一般具有身份认证、安全加密能力。
3.如图1是一种基于rfid的射频识读产品，其硬件架构通常是主机和射频卡构成，其中主机集成cpu(中央处理单元)和鉴权模块，实现身份认证、数据鉴权、数据处理等功能。外部使用射频卡，存储身份信息、实现授权认证等功能。通过无线读取射频模块的密文，解密后获得明文，并用于内部鉴权模块的功能激活或身份认证。
4.但是现有产品在物理形态上：主机集成鉴权模块，鉴权模块不具备即插即用的特点，不方便管理，且在紧急情况下需要立即销毁载体时，不便取出处理；现有产品的技术框架是通过读取密钥，并应用密钥执行相关功能的过程，不具备密钥分发的过程。
5.目前基于常用的bb84协议的密钥分发算法，是一种一对一的密钥分发算法，但若需要实现多个设备之间的密钥分发则需要多次进行分发，工作效率较低。
6.为了解决上述问题，本发明提出一种实现一对多密钥分发方法与装置，实现鉴权模块的可分离设计；并对传统的基于bb84协议的一对一量子密钥分发算法进行改进，提出更加高效的一对多密钥分发方法，以适用多模块应用场景下密钥分发。


技术实现要素：

7.本发明提出了一种一对多密钥分发方法，包括以下步骤：
8.s11：主机随机产生一个0
‑
1经典比特串s；
9.s12：主机针对所述比特串s的每一个bit位，逐位随机选取发送基；
10.s13：将所述比特串s的每个bit位对应生成量子比特，并由所述主机的射频通道以公开的方式发出；
11.s14：射频模块和鉴权模块分别通过接收基a和接收基b来逐位对接收到的量子比特进行测量，获得经典bit，然后将自身测量所使用的接收基a序列和接收基b序列发送给主机；其中，接收基a为射频模块所使用的接收基，接收基b为鉴权模块所使用的接收基；
12.s15：主机将自身的发送基分别与接收基a和接收基b进行对比，分别计算接收基a和接收基b的正确部分；
13.s16：所述主机将接收基a和接收基b的正确部分通过公开的方式发出；
14.s17：所述射频模块接收所述接收基a的正确部分，舍弃接收基a的错误部分，正确接收基a收到的经典bit为射频模块与主机之间的通信密钥key
‑
1；
15.所述鉴权模块接收所述接收基b的正确部分，舍弃接收基b的错误部分，正确接收基b收到的经典bit为鉴权模块与主机之间的通信密钥key
‑
3；
16.s18：射频模块接收了接收基b的正确部分，鉴权模块接收了接收基a的正确部分，
接收基a正确部分与接收基b正确部分的重复部分，接收到经典bit构成射频模块和鉴权模块之间的通信密钥key
‑
2。
17.进一步地，所述方法还包括一对多密钥验证方法，包括以下步骤：
18.s21：用户在主机输入明文口令；
19.s22：所述主机使用密钥key
‑
1对于所述明文口令进行加密得到密文a，并发送至射频模块；
20.s23：所述射频模块使用密钥key
‑
1对密文a进行解密，得到明文口令，明文口令验证通过则进行s24，否则放弃退出；
21.s24：所述射频模块使用密钥key
‑
2将明文口令加密为密文b，向所述鉴权模块发送，并告知鉴权模块是否启动鉴权；
22.s25：所述鉴权模块使用密钥key
‑
2对密文b进行解密得到明文口令，明文口令验证通过且接收到射频模块发出的启动鉴权消息，鉴权模块启动鉴权，否则不启动鉴权功能。
23.进一步地，所述以公开的方式发出为以广播形式发出。
24.本发明还提供一种一对多密钥分发装置，所述一对多密钥分发装置包括主机、鉴权模块和射频模块；
25.所述主机用于随机产生一个0
‑
1经典比特串s，并针对所述比特串s的每一位bit逐位随机选取发送基，将所述比特串s的每个bit位对应生成的量子比特以公开的方式发出；
26.所述射频模块用于通过接收基a来逐位对收到的量子比特进行测量，获得经典bit，然后将所述接收基a序列发送给主机；接收基a为射频模块所使用的接收基；
27.所述鉴权模块用于通过接收基b来逐位对收到的量子比特进行测量，获得经典bit，然后将所述接收基b序列发送给主机；接收基b为鉴权模块所使用的接收基；
28.所述主机还用于将自身的发送基分别与接收基a和接收基b进行对比，分别计算接收基a和接收基b的正确部分，并将接收基a和接收基b的正确部分通过公开的方式发出；
29.所述射频模块和鉴权模块分别接收接收基a和接收基b的正确部分，使用正确部分收到的经典bit，得到射频模块和鉴权模块与主机之间的通信密钥key
‑
1和key
‑
3；
30.射频模块接收了接收基b的正确部分，鉴权模块接收了接收基a的正确部分，接收基a正确部分与接收基b正确部分的重复部分，接收到经典bit得到射频模块和鉴权模块之间的通信密钥key
‑
2。
31.进一步地，所述主机包括主控单元、射频分合路器和鉴权模块插座；
32.所述主控单元用于主机数据处理、主机控制管理；
33.所述射频分合路器用于将射频信号耦合到所述主控单元和鉴权模块；
34.当所述主机向所述射频模块发出命令后，所述主控单元和鉴权模块都能通过所述射频分合路器接收射频模块反馈的无线信号，并进行处理。
35.进一步地，所述主机和鉴权模块物理形态上可分离；
36.所述主机上设置鉴权模块插座，所述鉴权模块能够通过插入鉴权模块插座与主机连接；
37.所述射频分合路器与鉴权模块之间通过射频馈线连接，所述射频分合路器与所述主控单元之间通过微带线连接。
38.进一步地，所述鉴权模块插座包括电源单元和热插拔检测单元；
39.所述电源单元用于为所述鉴权模块供电，所述电源单元检测到鉴权模块插入后才为所述鉴权模块供电；
40.所述热插拔检测单元用于检测鉴权模块是否插入鉴权模块插座。
41.进一步地，所述热插拔检测单元使用两个检测引脚；
42.只有在两个检测引脚都显示低电平时，才判定所述鉴权模块插入鉴权模块插座，为所述鉴权模块供电；
43.当任一所述检测引脚显示为高电平时，关闭电源单元，结束通信。
44.进一步地，所述射频模块为5层结构，5层结构堆叠顺序由里到外依次为：金属机壳、铁氧体材料、第一亚克力盖板、射频天线和第二亚克力盖板。
45.进一步地，所述铁氧体材料使用吸波材膜片，且厚度不小于1mm。
46.本发明所设计的一种一对多密钥分发方法与装置，实现多模块场景下的快速密钥分发及密钥验证流程，所使用的一对多的密钥分发装置，鉴权模块的可分离，保证了信息安全载体可控可管，在紧急时刻便立即接入使用或取出销毁，增加安全属性。
附图说明
47.图1示出了背景技术中的一种射频识读产品组成示意图；
48.图2示出了本发明实施例中的一对多密钥分发方法的流程图；
49.图3示出了本发明实施例的密钥分发结果示意图；
50.图4示出了本发明实施例中的一对多密钥验证方法流程图；
51.图5示出了本发明实施例中的一对多密钥分发装置的组成框图；
52.图6示出了本发明实施例的主机与鉴权模块插座引脚定义；
53.图7示出了本发明实施例的主机内热插拔检测电路图；
54.图8示出了本发明实施例的射频天线结构堆叠设计示意图。
55.图中：1、第二亚克力盖；2、射频天线；3、第一亚克力盖板；4、铁氧体材料；5、金属机壳。
具体实施方式
56.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
57.本发明使用量子加密方法，基本原理如下所述：
58.(1)0
‑
1经典比特串，比如s＝100101001。量子比特：用
↑
、
→
、
↖
、
↗
表示。2种发送基、接收基：用+、x表示。
59.(2)经典比特0、1经过发送基+后分别成为量子比特
↑
、
→
。
60.(3)经典比特0、1经过发送基x后分别成为量子比特
↗
、
↖
。
61.(4)量子比特
↑
、
→
经过接收基+后分别成为经典比特0、1。
62.(5)量子比特
↗
、
↖
经过接收基x后分别成为经典比特0、1。
63.(6)量子比特
↗
、
↖
经过接收基+后，根据量子物理学的基本定理，当量子比特与基
不匹配时，测量结果不可预测。
64.(7)同理，量子比特
↑
、
→
经过接收基x后，测量结果不可预测。
65.本发明提供了提供一种一对多密钥分发方法，如图2所示，包括如下步骤：
66.s11：主机随机产生一个0
‑
1经典比特串s。
67.s12：主机针对所述比特串s的每一个bit位，逐位随机选取发送基。
68.示例性的，主机随机产生一个经典比特串s＝00001111，发送基为+x+x+x+x。本发明使用具体的经典比特串、发送基等进行示例性说明，本领域技术人员能够推导出一对多密钥分发具体方式。
69.s13：将所述比特串s的每个bit位对应生成量子比特，并由所述主机的射频通道以公开的方式发出；所述以公开的方式发出为以广播形式发出。
70.主机所述比特串s的每个bit位对应生成量子比特，为
↑↗↑↗→↖→↖
，并由所述主机的射频通道以广播形式发出。
71.s14：射频模块和鉴权模块分别通过接收基a和接收基b来逐位对接收到的量子比特进行测量，获得经典bit，然后将自身测量所使用的接收基a序列和接收基b序列发送给主机；其中，接收基a为射频模块所使用的接收基，接收基b为鉴权模块所使用的接收基。
72.接收基a为+++x+xxx，接收基b为xxxx++++。射频模块和鉴权模块分别通过接收基a和接收基b来逐位对接收到的量子比特进行测量，获得经典bit分别为0z0011z1和z0z01z1z；其中z表示该位测量结果不可预测。射频模块和鉴权模块分别将接收基a(+++x+xxx)，接收基b(xxxx++++)发送给主机。
73.本发明是对bb84协议的改进，通过公共信道传递接收基是bb84协议的标准做法。
74.进一步的，为了防止第四方通过公共信息得到消息，可通过对公共信道交互的经典bit数据采用常见加密算法进行加密。
75.s15：主机将自身的发送基分别与接收基a和接收基b进行对比，分别计算接收基a和接收基b的正确部分。
76.主机将自身的发送基+x+x+x+x分别与接收基a(+++x+xxx)，接收基b(xxxx++++)进行对比。接收基a正确的为(+y+x+xyx)，接收基b正确的为(yxyx+y+y)，其中y表示错误的部分，其余为正确部分。
77.s16：所述主机将接收基a和接收基b的正确部分通过公开的方式发出。
78.主机将+y+x+xyx和yxyx+y+y通过公开的方式发出。
79.此处y及之前文中的z字符仅为示例性说明，实际数据发送时y与z均以其他方式表示。
80.s17：所述射频模块接收所述接收基a的正确部分，舍弃接收基a的错误部分，正确接收基a收到的经典bit为射频模块与主机之间的通信密钥key
‑
1；所述鉴权模块接收所述接收基b的正确部分，舍弃接收基b的错误部分，正确接收基b收到的经典bit为鉴权模块与主机之间的通信密钥key
‑
3。
81.射频模块接收到+y+x+xyx，将y舍弃，其余部分为正确接收基a，其收到的经典bit为000111作为射频模块与主机之间的通信密钥key
‑
1；同理，鉴权模块正确接收基b收到的经典bit为0011作为鉴权模块与主机之间的通信密钥key
‑
3。
82.s18：射频模块接收了接收基b的正确部分，鉴权模块接收了接收基a的正确部分，
对于接收基a正确部分与接收基b正确部分的重复部分，接收到经典bit构成射频模块和鉴权模块之间的通信密钥key
‑
2。
83.射频模块接收了接收基b的正确部分，鉴权模块接收了接收基a的正确部分，射频模块对比接收基a和接收基b正确部分，得到重复部分；鉴权模块对比接收基a的正确部分和接收基b，得到重复部分；重复部分对应接收到的经典bit构成射频模块和鉴权模块之间的通信密钥key
‑
2。
84.射频模块接收了yxyx+y+y的正确部分，接收基a为+++x+xxx，重复部分为x+。
85.鉴权模块接收了+y+x+xyx，接收基b为xxxx++++，重复部分为x+。
86.x+，其对应接收到的经典bit“01”构成key
‑
2。
87.进行密钥分发后，主机、射频模块和鉴权模块两两之间形成通信密钥。示例性的，如图3所示，所述主机与射频模块之间的通信密钥为key
‑
1，所述射频模块与所述鉴权模块之间的通信密钥为key
‑
2，所述鉴权模块与所述主机之间的通信密钥为key
‑
3。
88.本发明还包括一对多密钥分发密钥的验证方法，完成密钥分发过后，对密钥进行验证，并实现对鉴权模块的功能使能。鉴权(authentication)是指验证用户是否拥有访问系统的权利。
89.具体的，如图4所示，包括以下步骤：
90.s21：用户在主机输入明文口令。
91.示例性的，所述明文口令可由数字、字符或生物特征密码等组成，不具备密钥特性，相当于一个启动密码。
92.s22：所述主机使用密钥key
‑
1对于所述明文口令进行加密得到密文a，并发送至射频模块。
93.加密可以使用常见的加密算法，如rsa、sha、aes等。
94.s23：所述射频模块使用密钥key
‑
1对密文a进行解密，得到明文口令，明文口令验证通过则进行s24，否则放弃后续操作退出；
95.示例性的，明文口令的验证过程具体如下：预先在所述射频模块内部已存储所述明文口令，当射频模块使用密钥key
‑
1对密文a进行解密后得到的明文口令与模块内已存储好的信息比较，内容一致，则验证通过。
96.s24：所述射频模块使用密钥key
‑
2将明文口令加密为密文b，向所述鉴权模块发送，并告知鉴权模块是否启动鉴权；
97.s25：所述鉴权模块使用密钥key
‑
2对密文b进行解密得到明文口令，明文口令验证通过且接收到射频模块发出的启动鉴权消息，鉴权模块启动鉴权，否则不启动鉴权功能。
98.本发明还公开了一种一对多密钥分发装置，具体的，如图5所示，图5示出了一对多密钥分发装置的组成框图。所述一对多密钥分发装置包括主机、鉴权模块和射频模块。
99.具体的，所述主机用于随机产生一个0
‑
1经典比特串s，并针对所述比特串s的每一位bit逐位随机选取发送基，将所述比特串s的每个bit位对应生成的量子比特以公开的方式发出。
100.所述射频模块用于通过接收基a来逐位对收到的量子比特进行测量，获得经典bit，然后将所述接收基a序列发送给主机；接收基a为射频模块所使用的接收基；
101.所述鉴权模块用于通过接收基b来逐位对收到的量子比特进行测量，获得经典
bit，然后将所述接收基b序列发送给主机；接收基b为鉴权模块所使用的接收基；
102.所述主机还用于将自身的发送基分别与接收基a和接收基b进行对比，分别计算接收基a和接收基b的正确部分，并将接收基a和接收基b的正确部分通过公开的方式发出；
103.所述射频模块和鉴权模块分别接收接收基a和接收基b的正确部分，使用正确部分收到的经典bit，得到射频模块和鉴权模块与主机之间的通信密钥key
‑
1和key
‑
3；
104.射频模块接收了接收基b的正确部分，鉴权模块接收了接收基a的正确部分，对于接收基a正确部分与接收基b正确部分间的重复部分，接收到经典bit得到射频模块和鉴权模块之间的通信密钥key
‑
2。
105.进一步的，所述主机包括主控单元、射频分合路器和鉴权模块插座。所述主控单元包括射频读卡模块和cpu处理模块，用于主机数据处理、主机控制管理等功能。所述射频分合路器用于将射频信号耦合到所述主控单元和鉴权模块。当所述主机向所述射频模块发出命令后，所述主控单元和鉴权模块都能通过所述射频分合路器接收射频模块反馈的无线信号，并进行处理。
106.优选的，所述射频模块支持iso/iec14443定义的a类卡和b类卡两种协议。主机内的射频分合路器与鉴权模块间通过射频馈线连接；射频分合路器与主机内主控单元间通过微带线连接。
107.所述主机和鉴权模块物理形态上可分离，保证了鉴权模块可控可管，在紧急时刻方便立即接入使用或取出销毁，增加安全属性。
108.所述主机上设置鉴权模块插座，用于所述鉴权模块插入主机。所述射频分合路器与鉴权模块之间通过射频馈线连接，所述射频分合路器与所述主控单元之间通过印制板走微带线连接。
109.具体的，所述鉴权模块插座包括电源单元、热插拔检测单元和数据传输单元。所述热插拔检测单元用于避免鉴权模块与所述主机之间的插拔过程瞬间产生浪涌电压对所述主机和鉴权模块造成损坏。所述电源单元用于为所述鉴权模块供电，默认不打开供电，检测到鉴权模块插入后才为所述鉴权模块供电。所述热插拔检测单元用于检测鉴权模块是否插入所述主机的鉴权模块插座。
110.具体的，所述热插拔检测单元使用两个检测引脚保证检测结果的可靠性。示例性的，当鉴权模块插入鉴权模块插座时，所述检测引脚处显示低电平。只有在两个检测引脚都显示低电平时，才判定所述鉴权模块插入鉴权模块插座，为所述鉴权模块供电。当任一所述检测引脚显示为高电平时，关闭电源单元，结束通信。所述数据传输单元用于鉴权模块与所述主控单元的通信。示例性的，图6示出了一种主机与鉴权模块检测引脚定义的示意图。如图6所示，x1为鉴权模块端插座、x2为主机端插座、det1、det2为热插拔检测引脚、vcc为电源、gnd为接地、miso、mosi、cs、clk为通信模块的数据线。
111.本发明使用但不限于如下方式，(1)vcca通过mos管v1为vcc供电，默认不打开v1，vcc电压为0v。vcc为鉴权模块供电，检测到鉴权模块插入才能打开v1。(2)如图7所示，为通过检测det1和det2来控制v1开关的实施例电路。主机没有插入鉴权模块时，主机端的det1、det2为高电平，不打开v1，vcc电压为0v。鉴权模块接入主机且det1、det2同时连接良好，才能控制v1打开，此时vcc等于前端供电vcca，为鉴权模块供电。当det1或det2任一引脚连接不良，或取出鉴权模块时，v1关断，vcc掉电。
112.进一步的，为了保障所述一对多密钥分发装置在恶劣环境中正常使用，所述主机采用金属外壳设计。但是由于高频rfid反射特点，在金属外壳上直接使用射频天线会出现射频信号识别率低的问题。如图8所示，本发明的射频天线安装方式采用层叠顺序由里到外依次为：金属机壳5、铁氧体材料4、第一亚克力盖板3、射频天线2和第二亚克力盖板1。优选的，所述铁氧体材料使用吸波材膜片，且厚度不小于1mm。
113.本发明所设计的一种一对多密钥分发方法与装置，实现多模块场景下的快速密钥分发及密钥验证流程，所使用的一对多的密钥分发装置，鉴权模块的可分离，保证了信息安全载体可控可管，在紧急时刻便立即接入使用或取出销毁，增加安全属性。
114.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。