專利名稱:基于量子密鑰分配網(wǎng)絡的移動加密系統(tǒng)的制作方法
技術領域:
本實用新型屬于移動通訊設備加密領域��,特別涉及一種基于量子密鑰分配網(wǎng)絡的移動加密系統(tǒng)����。
背景技術:
目前移動通信加密都使用對稱加密算法加密��,加密密鑰由預置密鑰和通訊過程中發(fā)生的隨機數(shù)經(jīng)過一些隨機性算法產(chǎn)生�。并在通信過程中,使用當前密鑰加密新密鑰�����,發(fā)送給通訊的另一方實現(xiàn)密鑰分配和更新��。加密安全性相當嚴重依賴于算法��,而且一旦某次加密過程被破譯��,則用戶今后所有的通信都將被破譯�����。已經(jīng)有密碼分析專家稱可以輕易地破解GSM通信制式的加密通信����。新型計算方式的發(fā)展,例如云計算�,使得獲得高性能計算能力對于普通用戶而言代價將越來越小,因此GSM制式的加密能力顯得更加脆弱�����。目前GSM制式的通信仍然受到廣泛使用�。3G制式手機雖然保密性能較高,但是其安全性從理論上來說仍然存在缺陷��,特別地���,在信號較弱時�����,兼容GSM的3G制式手機會自動切換到GSM制式���。因此����,目前一般的移動通信加密能力對于安全級別要求較高的用戶而言是嚴重不足的�。量子密鑰分配技術是近幾年來新出現(xiàn)的一種新型通信加密手段,利用單光子水平上的量子態(tài)編碼信息�,通信雙方可以共享大量的隨機密鑰。由于在物理原理上單光子不可分割��,量子態(tài)不可克隆�,因此量子密鑰分配在物理原理上是不可竊聽的,具有目前最高級別的安全性���。量子密鑰分配為大規(guī)模網(wǎng)絡中應用不可破譯的“One Time Pad”(一次一密�����,OTP) 方式加密數(shù)據(jù)創(chuàng)造了可能性��。但是采用單光子量子態(tài)通信���,能量極弱��,無法以廣播的形式傳輸���,不能滿足移動通信的要求���。因此���,目前的量子密鑰分配技術還都只能應用在光纖網(wǎng)絡通信上。
實用新型內(nèi)容本系統(tǒng)結合量子密鑰分配網(wǎng)絡和經(jīng)典移動通信網(wǎng)絡的優(yōu)點����,提供一種新型的移動加密系統(tǒng),使之兼具量子加密通信的安全性和移動通信的便捷性����。本實用新型針對目前移動通信中通信數(shù)據(jù)加密能力不足的現(xiàn)狀,提供一種基于量子密鑰分配網(wǎng)絡的移動加密系統(tǒng)�����,利用量子密鑰分網(wǎng)絡的無條件安全性保障移動臺加密通信安全����;該方法可以有效地提高移動加密通信的安全性��。為實現(xiàn)上述目的���,本實用新型采用以下技術方案一種基于量子密鑰分配網(wǎng)絡的移動加密系統(tǒng),它包括量子密鑰分配網(wǎng)絡�,量子密鑰分配網(wǎng)絡包括若干個量子集控站,每個量子集控站與至少一個量子終端通信�����,量子終端通過密鑰更新接口與移動終端通信���;其中所述移動終端內(nèi)設有存儲介質和量子加密模塊�����,存儲介質存儲下載的共享量子密鑰��,量子加密模塊用于對數(shù)據(jù)進行加密����;量子終端和量子集控站構成量子通信網(wǎng)絡的各級節(jié)點�����,量子集控站與其相連的量子終端生成共享密鑰并完成密文的轉發(fā)功能。一種基于量子密鑰分配網(wǎng)絡的移動加密系統(tǒng)的通信方法��,該方法的實現(xiàn)步驟如下Stepl 首先將移動終端注冊入網(wǎng)����,獲得唯一的量子身份號(QID)���;Mep2:注冊后的移動終端通過密鑰更新接口連接任一量子終端�����,并向該量子終端申請下載一定大小數(shù)據(jù)量的共享密鑰�����;St印3 移動終端下載密鑰后��,量子終端將集控站地址QIPT傳遞給移動終端進行更新����,移動終端將此QIPT上的集控站作為主叫集控站���;Step4 確定主叫集控站后����,移動終端將密文遞交到主叫集控站;St印5 主叫集控站將密文重新加密后送往被叫集控站���;St印6 被叫集控站將密文重新加密后被送往被叫用戶�����;St印7 被叫用戶解密得到明文后�,通信結束�����;所述step2中�����,申請下載一定大小數(shù)據(jù)量的共享密鑰時量子終端對移動終端進行身份認證���,身份認證合法后���,如果量子終端密鑰量不足,則提請移動終端保持連接���,等待量子終端和量子集控站之間生成足夠的密鑰后下載密鑰�。所述step4中,密文通過量子加密模塊調用和通信數(shù)據(jù)等長的密鑰和數(shù)據(jù)自身位對位進行異或計算獲得�。所述step5中重新加密的過程如下移動終端把密文附上自己的主叫量子身份號 QID和被叫號碼,通過移動通信網(wǎng)絡送給主叫集控站����;根據(jù)主叫QID,主叫集控站調用相應的密鑰解密�,同時根據(jù)主叫集控站和被叫集控站共享的密鑰將解密數(shù)據(jù)重新加密����,再將重新加密的密文經(jīng)數(shù)據(jù)重組后,經(jīng)過經(jīng)典網(wǎng)絡發(fā)送給被叫集控站�����。所述step6中��,重新加密的過程如下被叫集控站收到密文之后��,將密文解密��,再根據(jù)被叫用戶QID查找密鑰��,再次加密并進行數(shù)據(jù)重組后通過移動通信網(wǎng)絡送給被叫用戶。本實用新型的有益效果是第一��、在本方法中采用量子密鑰分配網(wǎng)絡分配共享密鑰�,可以分配大容量隨機密鑰,使得加密算法可以采用OTP方法��,這樣在加密運算中只需進行位異或加法運算����。相比 DES, AES以及移動通信中常用的A8算法等等加密算法,本方法加密不需要進行多重矩陣乘法運算���。大大減輕了加密的運算量����。第二��、量子密鑰分配網(wǎng)絡分發(fā)密鑰可保證最高級別的密鑰分發(fā)安全性�;第三、移動終端可以自由地在任意一個量子終端上更新密鑰��,最大限度保持了移動通信的便捷性����。另外����,利用量子密鑰分配提供的大數(shù)據(jù)量隨機密鑰���,可以對數(shù)據(jù)流進行高度安全的數(shù)字簽名����。
圖1為本實用新型的工作流程圖��;圖2是量子密鑰分配網(wǎng)絡的一般性結構示意圖��;圖3移動終端初始注冊數(shù)據(jù)加密傳輸流程示意圖����;圖4為本實用新型的系統(tǒng)原理框圖��;圖5為移動終端的內(nèi)部結構示意圖�����。
具體實施方式
以下結合附圖和實施例對本實用新型作進一步說明基于量子密鑰分配網(wǎng)絡的移動加密系統(tǒng)��,包括移動終端�、為移動終端配備的量子加密模塊���、密鑰更新接口、量子密鑰分配網(wǎng)絡�����、注冊中心�、量子密鑰分配網(wǎng)絡終端、量子密鑰分配網(wǎng)絡集控站���。以下量子密鑰分配網(wǎng)絡終端簡稱量子終端���,量子密鑰分配網(wǎng)絡集控站簡稱量子集控站。如圖4所示����,加密系統(tǒng)包括量子密鑰分配網(wǎng)絡,量子密鑰分配網(wǎng)絡包括若干個量子集控站���,每個量子集控站與一個相應的量子終端通信����,量子終端通過密鑰更新接口與移動終端通信;其中所述移動終端內(nèi)設有存儲介質�,存儲下載的共享量子密鑰;量子終端和量子集控站構成量子通信經(jīng)典網(wǎng)絡的各級節(jié)點�����,量子集控站與其相連的量子終端生成共享密鑰并完成密文的轉發(fā)功能���。移動終端���、為移動終端配備的量子加密模塊以及密鑰更新接口構成本方法的移動部分;其余部分組成基礎設施部分��。移動終端中設有存儲介質���,可存儲下載的共享量子密鑰�。量子終端和量子集控站構成量子密鑰分配網(wǎng)絡的各級節(jié)點�����,量子集控站的基本結構由一臺或幾臺量子終端��、密鑰存儲管理服務器和加密設備組成��,可以和與其相連的量子終端生成共享密鑰并完成密文的轉發(fā)功能��。注冊中心通過某個量子終端接入量子密鑰分配網(wǎng)絡獲取密鑰��,移動設備在注冊時的量子身份號���、身份識別數(shù)據(jù)等關鍵數(shù)據(jù)都用量子密鑰分配網(wǎng)絡分發(fā)的密鑰以OTP方式加密通過經(jīng)典網(wǎng)絡發(fā)往注冊中心�����。下面以從移動終端初始注冊到兩個使用本方法的移動終端之間完成一條加密短消息通信的過程為例����,說明本實用新型的詳細實施方案�。1.移動終端初始注冊移動終端需要首先申請注冊許可證,該許可證為長度為 256位比特的隨機數(shù)��,由注冊中心授權的設備寫入移動終端的量子加密模塊���。之后移動終端可通過密鑰更新接口連接任一量子終端����,移動終端的量子加密模塊用許可證和加密模塊中固定大小的預置身份識別數(shù)據(jù)向注冊中心進行身份認證����,身份認證采用ffegman-Carter方案�。注冊中心確認身份無誤后���,將唯一標志該終端的量子身份號和新的身份識別數(shù)據(jù)通過量子通信網(wǎng)絡發(fā)送給移動終端���。并通知量子終端讀出移動終端的電話號碼返回注冊中心, 注冊中心更新其注冊表���。注冊表由數(shù)量可變的的數(shù)據(jù)單元組成��,每個單元數(shù)據(jù)結構如表1 所示��,表1.注冊表數(shù)據(jù)結構Al 存儲移動終端電話號碼�,固定長40比特�����。A2 存儲量子身份號��,固定長32比特��;A3 存儲身份識別數(shù)據(jù)�,固定長度256位。如圖3所示��,說明注冊中心如何通過量子終端接入量子密鑰分配網(wǎng)絡獲取密鑰�����, 保證設備注冊過程的數(shù)據(jù)傳輸安全�。注冊設備的許可證、身份識別數(shù)據(jù)��、電話號碼等關鍵數(shù)據(jù)由量子終端讀出后以OTP方式加密經(jīng)經(jīng)典網(wǎng)絡傳輸給注冊中心��;量子密鑰分配網(wǎng)絡則通過量子終端�、量子集控站等各級節(jié)點間的共享密鑰將加密這些關鍵數(shù)據(jù)的密鑰傳送給注冊中心,注冊中心可解密獲得數(shù)據(jù)���。反之���,注冊中心下發(fā)的數(shù)據(jù)也同樣以OTP加密方式加密送至量子終端解密后遞交移動終端。OTP加密方式和量子密鑰分發(fā)的安全性保證了數(shù)據(jù)傳輸過程的安全����。未注冊終端需要通過以上步驟進行注冊,對于已經(jīng)注冊過的終端可以免去該步驟���,直接進行以下步驟���。2.移動終端登記和共享密鑰下載移動終端以量子身份號和新的身份識別數(shù)據(jù)登陸量子網(wǎng)絡�,通過密鑰更新接口在某個量子終端上申請下載一定大小數(shù)據(jù)量的共享密鑰����,共享密鑰由該量子終端和某個量子集控站共享,本實例中設置數(shù)據(jù)量大小為600兆比特�,平均分為加密密鑰庫和解密密鑰庫。該密鑰量可滿足連續(xù)10小時以上以OTP方式加密的雙向語音通話�,或者15-30萬條左右的短消息發(fā)送加密,下載的密鑰存儲于加密模塊內(nèi)��。 量子集控站和量子終端之間如果已經(jīng)通過量子密鑰分配共享了大于600兆比特的密鑰�,則量子終端對移動終端進行身份認證,驗證身份合法后同意移動終端下載密鑰�。如果量子終端密鑰量不足,則對移動終端進行身份認證���,身份認證合法后�,提請移動終端保持連接�,等待量子終端和量子集控站之間生成足夠的密鑰后下載密鑰。下載完成后注冊中心再次更新移動終端的身份識別數(shù)據(jù)����。量子集控站用移動終端量子身份號標志集控站中相對應的被下載的共享密鑰�,對應移動終端中加密密鑰那部分的共享密鑰�,集控站稱為解密密鑰����,將其保留在一個連續(xù)的地址段中,對應移動終端中解密密鑰那部分的共享密鑰�,集控站稱為加密密鑰,將其保留在另一個連續(xù)的地址段中�����,不讓其他終端或者通信過程使用這部分密鑰����。并建立登記表將密鑰的首尾地址信息和對應的量子身份號記錄下來。登記表由數(shù)量可變的的數(shù)據(jù)單元組成���,每個單元數(shù)據(jù)結構如表2所示����,表2.登記表數(shù)據(jù)結構
權利要求1. 一種基于量子密鑰分配網(wǎng)絡的移動加密系統(tǒng)��,其特征是,它包括量子密鑰分配網(wǎng)絡����, 量子密鑰分配網(wǎng)絡包括若干個量子集控站,每個量子集控站與至少一個量子終端通信���,量子終端通過密鑰更新接口與移動終端或非移動用戶通信���;其中所述移動終端內(nèi)設有存儲介質和量子加密模塊,存儲介質存儲下載的共享量子密鑰��,量子加密模塊用于對數(shù)據(jù)進行加密�;量子終端和量子集控站構成量子通信網(wǎng)絡的各級節(jié)點,量子集控站與其相連的量子終端生成共享密鑰并完成密文的轉發(fā)功能�����。
專利摘要本實用新型公開了基于量子密鑰分配網(wǎng)絡的移動加密系統(tǒng)����,它包括量子密鑰分配網(wǎng)絡,量子密鑰分配網(wǎng)絡包括若干個量子集控站�����,每個量子集控站與至少一個量子終端通信,量子終端通過密鑰更新接口與移動終端或非移動用戶通信�����。本系統(tǒng)采用量子密鑰分配網(wǎng)絡分配共享密鑰�����,可以分配大容量隨機密鑰��,使得加密算法不需要進行多重矩陣乘法運算��,大大減輕了加密的運算量�。另外���,利用量子密鑰分配提供的大數(shù)據(jù)量隨機密鑰��,可以對數(shù)據(jù)流進行高度安全的數(shù)字簽名�����。
文檔編號H04W12/04GK202121593SQ20112023094
公開日2012年1月18日 申請日期2011年7月1日 優(yōu)先權日2011年7月1日
發(fā)明者彭承志, 江曉, 潘建偉, 趙勇, 趙梅生, 陳增兵, 陳騰云 申請人:安徽量子通信技術有限公司, 山東量子科學技術研究院有限公司