CN113038468A - 一种物联网无线终端量子密钥分发与协商方法 - Google Patents
一种物联网无线终端量子密钥分发与协商方法 Download PDFInfo
- Publication number
- CN113038468A CN113038468A CN202110373128.2A CN202110373128A CN113038468A CN 113038468 A CN113038468 A CN 113038468A CN 202110373128 A CN202110373128 A CN 202110373128A CN 113038468 A CN113038468 A CN 113038468A
- Authority
- CN
- China
- Prior art keywords
- key
- session
- terminal
- information
- quantum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种物联网无线终端量子密钥分发与协商方法,首先生成边缘网关至物联网无线终端之间的无线信道密钥;边缘网关利用信道密钥加密量子密钥等会话信息后,发送给无线终端通信双方;物联网无线终端利用信道密钥进行解密,得到用于保密通信的量子密钥;物联网会话申请终端和会话目标终端双方接收到量子密钥后,通过协议交互密钥信息并比对校验来保证两端量子密钥的一致性,以此确保后续保密会话顺利进行,有力提升物联网整体安全性。
Description
所属领域
本发明属于信息安全技术领域,公开了量子密钥分发在新领域的应用,具体涉及一种物联网无线终端量子密钥分发与协商方法。
背景技术
量子密钥分发利用量子态对信息进行量子编码并传递,从而为通信双方提供理论上无条件安全的共享密钥,被称为信息安全领域最具颠覆性的前沿技术之一。它的安全性依赖于量子力学基本原理:单光子不可再分、海森堡不确定性原理、测量塌缩原理、量子不可克隆定理等,一旦有人窃取密钥,必然会被发现。量子密钥分发技术可以为通信双方建立信息论安全的保密通信,使保密通信强度从基于计算安全跃升为基于量子物理特征安全。
目前,部分物联网终端仍然采用明文协议,直接暴露传输内容,因此窃听者可以很容易获取通信的全部内容,没有任何安全保障。此外,采取加密传输的物联网终端终端根据加密强度的不同可以分为三类:一型一密、一机一密以及一次一密。然而,不论是一型一密还是一机一密,由于密钥固定,被窃听者攻破的可能性仍然较高,难以保障信息传输的安全性。一次一密可以采用非对称加密的方式进行会话密钥的协商,需要可靠的第三方公钥认证中心,否则一旦认证中心被攻破,传输的密文也会被完全破解;也可以采用对称加密的方式,但是对称密钥的协商过程容易遭受中间人攻击。由此可见,传统的密钥方案存在的安全隐患日益凸显,将量子密钥应用于物联网终端是必然趋势。
物联网终端大部分是移动的无线终端,因此量子密钥的分发必须通过无线信道作为承载。目前,无线信道密钥生成技术日益成熟,能够保证量子密钥安全分发至物联网无线终端,然而,会话通信双方接收到量子密钥后不能保证密钥是一致的,这是急需解决的问题。
发明内容
本发明正是针对现有技术中的问题,为实现量子密钥安全分发至物联网无线终端以及会话终端设备之间的密钥一致性协商,提出了一种物联网无线终端量子密钥分发与协商方法,利用无线信道密钥生成技术在边缘网关与终端设备之间生成信道密钥,并利用此密钥加密边缘网关处的量子密钥,同时会话通信双方终端设备根据接收到的密钥读取标识等信息进行密钥一致性检验,以此确保后续保密会话顺利进行。
为了实现上述目的,本发明采用的技术方案是:一种物联网无线终端的量子密钥分发与协商方法,包括如下步骤:
S1,信道密钥的生成:基于无线信道特征技术,在边缘网关和物联网无线终端之间生成无线信道密钥;
S2,信息传输:边缘网关利用生成的信道密钥加密会话信息,并将会话信息发送给无线终端,实现双方通信;所述会话信息至少包括量子密钥、会话标识和密钥读取标识;量子密钥应是物联网会话终端通信双方进行量子保密通信需要的加密密钥;会话标识用于标识无线终端通信双方建立的特定会话,即后续应用量子密钥进行保密通信的会话;密钥读取标识是单次保密通信中用到的量子密钥的唯一标识,用于后续通信双方的密钥一致性比对;
S3,解密:物联网无线终端利用步骤S1生成的信道密钥,对接收到的会话信息进行解密,得到对称的量子密钥、会话标识和密钥读取标识;
S4,校验:物联网会话终端的通信双方对接收到的量子密钥进行密钥的一致性校验,若结果一致,本次密钥用于后续步骤步骤;只要有一项校验不一致,量子密钥在本次通信中无效;
S5,反馈处理:物联网会话终端的目标终端将步骤S4获得的校验结果作为反馈信息,生成密钥校验响应发送至会话申请终端,会话申请终端根据接收到的反馈结果作出相应的处理。
作为本发明的一种改进,所述步骤S1进一步包括:
S11,边缘网关G和无线终端T分别向对方发射导频序列;
S12,边缘网关G和无线终端T分别测量各自到对方的信道特征;
S13,边缘网关G和无线终端T对经步骤S12测量得到的无线信道特征进行量化,生成至少包括用于加密量子密钥的标识信息的信道密钥。
作为本发明的一种改进,所述步骤S2中密钥读取标识为单次通信中量子密钥的唯一标识;边缘网关G将要传输的量子密钥、会话标识以及密钥读取标识通过预处理后进行信道纠错编码,生成信道纠错编码后的比特序列,然后利用步骤S1生成的信道密钥对比特序列加密,再将加密后的数据流通过***道发送给无线终端T。
作为本发明的另一种改进,所述步骤S3进一步包括:
S31,无线终端T通过在步骤S1生成的信道密钥,对从边缘网关G接收到的数据流进行解密,从中恢复出边缘网关G发送的量子密钥、会话标识以及密钥读取标识;
S32,无线终端T使用信道编码解码算法对步骤S31解密后的数据流进行信道纠错编码解码,生成信道解码后的比特序列;
S33,无线终端T将步骤S32得到的比特序列进行处理后,得到边缘网关G传输给无线终端T的会话信息,所述处理过程和步骤S2中的预处理过程呈相逆处理。
作为本发明的又一种改进,所述步骤S4进一步包括:
S41,物联网会话终端的申请终端T1向会话目标终端T2发送密钥校验请求,所述密钥校验请求的身份校验信息包括发送端(会话申请终端T1)身份标识、接收端(会话目标终端T2)身份标识、会话标识、密钥读取标识以及量子密钥哈希值;发送端身份标识用于指明消息的来源,接收端根据此标识判断消息发送端的合法性;会话目标终端身份信息用于指明与本设备进行消息交互的目标设备;会话标识用于指明应用当前量子密钥的特定会话,于会话申请终端申请会话时产生;密钥读取标识是量子密钥在本次会话中的标号信息,在单次会话内具有唯一性;除了上述信息,校验请求中还包含利用发送端私钥加密的信息摘要,接收端利用这一信息摘要对发送端进行身份认证,并且可以确定消息在传输过程中是否受到篡改;
S42,会话目标终端T2接收到会话申请终端T1发送的校验请求后,将校验请求中的身份校验信息与本端的对应信息进行一致性比对,若各身份校验信息完全一致,则表明通信双方接收到的量子密钥属于本次会话并且是一致的;若有任意一个身份校验信息比对失败,则表明双方接收到的量子密钥在本次通信内是无效的,不能应用于后续保密会话;密钥一致性比对包括对校验请求中若干信息的处理:发送端身份标识与会话标识的一致性比对,确定此请求的发送方是已与自身建立合法会话的无线终端,并且与请求中的会话标识相符合;请求中的接收端身份标识与接收终端自身身份标识进行一致性比对,确定发送端的目标通信终端是自身;会话标识与密钥读取标识的一致性比对,根据会话标识,将请求中的密钥读取标识与接收端从边缘网关处中继得到的密钥读取标识进行比对,确定通信双方收到的密钥读取标识在本次会话内是一致的;发送端传送的量子密钥哈希值与接收端的量子密钥哈希值进行比对,进一步保证量子密钥的一致性。
作为本发明的更进一步改进,所述步骤S5进一步包括:
S51,会话目标终端T2完成密钥一致性比对后,根据校验结果向会话申请终端T1发送密钥校验响应;所述校验相应请求包含会话目标终端T2身份标识、会话申请终端T1身份标识、会话标识、密钥读取标识和密钥校验结果,同时对密钥校验响应承载的信息进行身份认证以及防篡改的操作,利用会话目标终端T2的私钥加密上述请求信息的哈希值,并与上述请求信息一起发送至会话申请终端T1;
S52,会话申请终端T1对接收到的密钥校验响应进行处理,对发送端身份标识、接收端身份标识以及会话标识这三个信息的处理,目的是验证消息以及消息发送方的合法性,并且指出此密钥校验响应所对应的特定会话,密钥读取标识信息作为本次密钥校验所对应的量子密钥在此次会话中的唯一标识,根据这些信息,会话申请终端T1能够确切定位到校验结果所对应的具体密钥;
S53,完成对请求信息中每一个标识信息的处理后,会话申请终端T1根据校验结果的不同分情况处理:当校验成功时,即会话目标终端T2确定自身接收到的量子密钥与会话申请终端T1一致,通信双方将对本次协商的量子密钥进行存储,后续利用这一量子密钥进行保密通信;若校验失败,则本次协商的量子密钥失效,会话目标终端T2忽视本次密钥,不对其进行存储记录,同时会话申请终端T1需要再次发起密钥申请,并由上层量子密钥管理中心负责进行量子密钥的重新分发。
与现有技术相比,本发明提出了一种物联网无线终端量子密钥分发与协商方法,基于量子态测不准原理以及量子不可克隆原理,量子密钥的协商过程安全性较高,若存在窃听行为,通信双方能够即刻发现,因此基于量子密钥的安全性优势,将其与物联网结合起来,应用至物联网终端的通信中,能够保证物联网无线终端传输数据的绝对安全,有力提升物联网整体安全性;此外,利用无线信道密钥生成技术完成从边缘网关到物联网终端的量子密钥传递后,在通信双方接收到量子密钥并开始传输数据前,增加了通信双方之间的密钥一致性检验,能够保证某一次会话的量子密钥是一致的,这一操作是通信双方保密会话顺利进行的关键。
附图说明
图1为本发明的方法步骤流程图;
图2为本发明的工作框架图;
图3为本发明的协议流程图。
具体实施方式
以下将结合附图和实施例,对本发明进行较为详细的说明。
实施例1
本方案中的符号及其定义如表1所示:
表1
符号 | 定义 |
T<sub>1</sub> | 会话申请终端 |
T<sub>2</sub> | 会话目标终端 |
G<sub>1</sub> | 对应的边缘网关 |
G<sub>2</sub> | 对应的边缘网关 |
K<sub>t1</sub> | 端生成的信道密钥 |
K<sub>g1</sub> | 端生成的信道密钥 |
K<sub>t2</sub> | 端生成的信道密钥 |
K<sub>g2</sub> | 端生成的信道密钥 |
Ctag | 保密会话标识 |
Ktag | 密钥读取标识 |
K<sub>q1</sub> | 端量子密钥 |
K<sub>q2</sub> | 端量子密钥 |
ID<sub>1</sub> | 身份标识 |
ID<sub>2</sub> | 身份标识 |
KC<sub>Request</sub> | 密钥校验请求 |
KC<sub>Response</sub> | 密钥校验响应 |
KC<sub>Rsult</sub> | 密钥校验结果 |
ECDSA(PR,*) | 椭圆曲线私钥签名算法 |
D_ECDSA(PU,*) | 椭圆曲线公钥认证算法 |
AES(K,*) | AES加密算法 |
D_AES(K,*) | AES解密算法 |
H(*) | 哈希运算 |
如图1所示,一种物联网无线终端的量子密钥分发与协商方法,包括如下的步骤:
(1)边缘网关与物联网无线终端之间基于无线信道特征量化生成信道密钥,边缘网关利用此信道密钥加密量子密钥等信息,物联网无线终端利用此信道密钥对边缘网关发送的信息进行解密;
假设方案中通信双方分别为会话申请终端T1和会话目标终端T2,他们各自对应的边缘网关分别为边缘网关G1和G2。
首先,会话申请终端T1与边缘网关G1分别发送信道探测导频信号P;随后,根据信道探测导频信号P,会话申请终端T1与边缘网关G1获得两者之间信道的信道特征;最后,会话申请终端T1将获取的信道特征量化为信道密钥Kt1,边缘网关G1将获取的信道特征量化为信道密钥Kg1。会话目标终端T2与边缘网关G2之间的信道密钥生成过程与上述描述一致,会话目标终端T2生成的信道密钥为Kt2,边缘网关G2生成的信道密钥为Kg2。其中Kt1与Kg1具有一致性,同理,Kt2与Kg2具有一致性,可以作为无线终端与边缘网关之间进行加密传输的对称密钥。
(2)边缘网关利用生成的信道密钥加密边缘网关密钥池中的量子密钥、会话标识以及密钥读取标识;
边缘网关G1和G2处已存有一致的量子密钥对Kq1和Kq2,这对量子密钥由上层节点经量子密钥网络分发得到。边缘网关G1和G2不仅需要向无线终端T1和T2传输量子密钥,还需要传输两个终端已经建立的会话标识Ctag以及此量子密钥在本次会话中的密钥读取标识Ktag。
其中会话标识Ctag由会话申请终端T1在申请与会话目标终端T2的保密会话时产生,并且T1与T2在会话成功建立时对会话标识Ctag进行记录存储,仅在会话结束前有效且是唯一的,通信双方可以通过这一标识确定接收到的消息属于哪一个特定会话以及消息的发送方。密钥读取标识Ktag是此次量子密钥在本次会话中的标识信息,在单次会话内具有唯一性,在后续的密钥比对中,会对这一信息进行一致性校验。
步骤(2)包括如下的子步骤:
(2.1)边缘网关G1向会话申请终端T1传输的信息为I1=(Kq1,Ctag1,Ktag1),包括量子密钥Kq1、会话标识Ctag1以及密钥读取标识Ktag1。边缘网关G1利用步骤(1)中生成的信道密钥Kg1对I1进行加密处理,此处采用AES对称加密算法,生成密文Ei1=AES(Kg1,I1),并将Ei1发送至会话申请终端T1。
(2.2)类似的,边缘网关G2向会话目标终端T2传输的信息为
I2=(Kq2,Ctag2,Ktag2),包括量子密钥Kq2、会话标识Ctag2以及密钥读取标识Ktag2。边缘网关G2利用步骤(1)中生成的信道密钥Kg2对I2进行加密处理,生成密文Ei2=AES(Kg2,I2),并将Ei2发送至会话申请终端T2。
需要注意的是,步骤(2.1)以及步骤(2.2)中的会话标识以及密钥读取标识的符号表示并不一致,目的是对两端传送的信息加以区分。在会话正常进行时,边缘网关G1和G2分别向无线终端T1和T2发送的会话标识以及密钥读取标识应该是一致的。
(3):物联网无线终端利用生成的信道密钥对边缘网关发送的加密信息进行解密操作,得到对应的量子密钥、会话标识以及密钥读取标识。
步骤(3)即是对步骤(2)中边缘网关加密的信息进行解密操作,包括如下的子步骤:
(3.1)会话申请终端T1收到边缘网关G1发送的秘密信息Ei1,利用步骤(1)中生成的信道密钥Kt1对Ei1进行解密处理,恢复出通过边缘网关承载的信息I′1=D_AES(Kt1,Ei1)=(Kq1,Ctag1,Ktag1),同样包括量子密钥Kq1、会话标识Ctag1以及密钥读取标识Ktag1。
(3.2)类似的,会话目标终端T2收到边缘网关G2发送的秘密信息Ei2,利用步骤(1)中生成的信道密钥Kt2对Ei2进行解密处理,恢复出通过边缘网关承载的信息I′2=D_AES(Kt2,Ei2)=(Kq2,Ctag2,Ktag2),同样包括量子密钥Kq2、会话标识Ctag2以及密钥读取标识Ktag2。
(4):会话无线终端通信双方对接收到的量子密钥进行密钥的一致性校验,首先由会话申请终端将自身身份标识、会话目标终端身份标识、会话标识、密钥读取标识、量子密钥哈希值以及利用会话申请终端的私钥加密上述信息生成的信息摘要发送至会话目标终端;接着由会话目标终端根据接收到的密钥校验请求进行密钥一致性比对校验,最终得出密钥校验结果。
其中,由会话申请终端T1向会话目标终端T2发送的密钥校验请求中携带的各信息具体意义如下:
会话申请终端身份标识ID1用于向会话目标终端T2表明消息发送方的具体身份信息,证明消息来源的合法性;会话目标终端身份标识ID2即为密钥校验请求的接收方,在本具体实施方案中为会话目标终端T2的身份标识信息;会话标识Ctag1与密钥读取标识Ktag1与步骤(2)中描述的含义一致,在此用于表明T1想要与T2进行密钥一致性校验的量子密钥所属的具体会话以及此量子密钥在本次会话中的唯一标识信息;量子密钥哈希值H(Kq1)为
T1对自身获取的量子密钥Kq1进行哈希运算产生的结果,若T1与T2接收到的量子密钥是一致的,则两者哈希的结果也是一致的,同时哈希值不会泄漏任何密钥的有效信息,因此能够保证密钥检验过程中的安全性;利用T1的私钥PR1加密上述信息M1=(ID1,ID2,Ctag1,Ktag1,H(Kq1)),并生成信息摘要H(M1),此信息摘要用于T2对T1进行身份认证以及检验消息是否受到篡改。
步骤(4)中会话申请终端T1生成并向会话目标终端T2发送密钥校验请求包括如下的子步骤:
(4.1)会话申请终端T1对接收到的量子密钥Kq1进行哈希运算生成量子密钥哈希值H(Kq1);
(4.2)会话申请终端T1将自身的身份标识ID1、会话目标终端T2的身份标识ID2、会话标识Ctag1、密钥读取标识Ktag1以及量子密钥哈希值H(Kq1)打包成密钥校验请求中的信息主体M1=(ID1,ID2,Ctag1,Ktag1,H(Kq1));
(4.3)会话申请终端T1对M1进行哈希运算生成消息摘要H(M1),并用会话申请终端T1的私钥PR1对消息摘要H(M1)进行加密处理,生成密文e1=ECDSA(PR1,H(M1));
此步骤中,加密算法采用椭圆曲线数字签名算法(ECDSA),比较符合物联网无线终端的轻量级特征要求。
(4.4)会话申请终端T1将步骤(4.2)中生成的信息主体M1与步骤(4.3)中生成的信息摘要密文e1结合生成最终的密钥校验请求KCRequest=M1+e1,最后,将这一请求信息发送至会话目标终端T2。
步骤(4)中会话目标终端T2接收并处理会话申请终端T1发送的密钥校验请求包括如下的子步骤:
(4.5)会话目标终端T2从接收到的密钥校验请求KCRequest中得到信息主体M1与信息摘要密文e1。首先,对信息主体M1进行哈希运算得到
H′(M1),然后利用会话申请终端T1的公钥PU1对信息摘要密文e1进行解密操作,得到信息摘要H(M1)=D_ECDSA(PU1,e1)。
通过比较H(M1)与H(M1)是否相等,可以验证消息是否受到篡改,并且能够确定消息的发送方是否来自会话申请终端T1。如果两者相等,则可以继续进行后续信息的比对工作;如果两者不相等,则该密钥校验请求传输的信息无效,会话目标终端T2将会通知会话申请终端T1重新发起密钥校验请求。
(4.6)完成发送方身份认证以及信息篡改检验后,会话目标终端T2获得密钥校验请求中的信息主体M1=(ID1,ID2,Ctag1,Ktag1,H(Kq1)),初始化校验结果标志位KCresult=True,信息比对的具体流程如下:
a)会话目标终端T2将信息主体M1中的身份标识ID2与自身的身份标识进行比对。
b)会话目标终端T2根据会话申请终端身份标识ID1得到自身存储备份的会话标识Ctag2,将其与信息主体M1中的会话标识Ctag1进行比对;
c)会话目标终端T2将信息主体M1中的密钥读取标识Ktag1与自身的密钥读取标识Ktag2进行比对;
d)会话目标终端T2对自身接收到的量子密钥Kq2进行哈希运算,得到量子密钥哈希值H(Kq2),并将信息主体M1中的量子密钥哈希值H(Kq1)与H(Kq2)进行比对;
其中,a)到d)四个步骤中,若有任意一个步骤出现比对不一致的情况,则意味着密钥一致性校验失败,会话目标终端T2将改变校验结果标志位KCresult=False,并提前结束校验处理,跳转至步骤(4.7)。若四个步骤的比对结果均一致,则意味着会话申请终端T1与会话目标终端T2接收到的量子密钥是一致的,保持校验结果标识位KCresult=True。
(4.7)会话目标终端T2根据步骤(4.6)中得到的密钥校验结果对会话申请终端T1做出密钥校验响应。与密钥校验请求相类似,密钥校验响应中包括会话目标终端T2身份标识、会话申请终端T1身份标识、会话标识、密钥读取标识以及利用会话申请终端的私钥加密上述信息生成的信息摘要。
(5)会话目标终端将比对校验的结果作为反馈信息,生成密钥校验响应发送至会话申请终端,最后,会话申请终端根据接收到的反馈结果作出相应的处理。
其中,会话目标终端T2发送的密钥校验响应中包括会话目标终端T2身份标识、会话申请终端T1身份标识、会话标识、密钥读取标识、密钥校验结果标志位以及利用会话目标终端T2的私钥加密上述信息生成的信息摘要。密钥检验结果标志位是步骤(4.6)中由会话目标终端T2经信息比对校验后生成的密钥校验结果,其他标识信息的具体含义以及作用与步骤(4)中的描述一致。
步骤(5)中会话目标终端T2生成并向会话申请终端T1发送密钥校验响应包括如下的子步骤:
(5.1)会话目标终端T2将自身的身份标识ID2、会话申请终端T1的身份标识ID1、会话标识Ctag2、密钥读取标识Ktag1以及密钥校验结果标志位KCrssult打包成密钥校验响应中的信息主体M2=(ID2,ID1,Ctag2,Ktag2,KCresult);
(5.2)会话目标终端T2对M2进行哈希运算生成消息摘要H(M2),并用会话目标终端T2的私钥PR2对消息摘要H(M2)进行加密处理,生成密文e2=ECDSA(PR2,H(M2));
(5.3)会话目标终端T2将步骤(5.1)中生成的信息主体M2与步骤(5.2)中生成的信息摘要密文e2结合生成最终的密钥校验响应KCResponse=M2+e2,最后,将这一响应信息发送至会话申请终端T1。
步骤(5)中会话申请终端T1根据接收到的密钥校验响应做出相应的处理包括如下的子步骤:
(5.4)会话申请终端T1从接收到的密钥校验响应KCResponse中得到信息主体M2与信息摘要密文e2。首先,对信息主体M2进行哈希运算得到H(M2),然后利用会话目标终端T2的公钥PU2对信息摘要密文e2进行解密操作,得到信息摘要H(M2)=D_ECDSA(PU2,e2)。对H(M2)以及H(M2)的比对工作以及结果处理与步骤(4.5)中一致。
(5.5)会话申请终端T1对信息主体M2中各个标识信息的处理与步骤(4.6)中一致。若标识信息比对失败,则会话申请终端T1将重新发送密钥校验请求;若标识信息比对成功,则根据信息主体M2中的KCresult分情况做出相应处理:
若KCresult=True,密钥一致性校验成功,即会话目标终端T2确定接收到的量子密钥与会话申请终端T1一致,那么通信双方将对本次协商的量子密钥进行存储,后续利用这一量子密钥进行保密通信;
若KCresult=False,密钥一致性校验失败,则T1与T2对接收到的量子密钥Kq1与Kq2做无效处理,不对其进行存储记录,同时会话申请终端T1需要再次发起密钥申请,并由上层量子密钥管理中心负责进行量子密钥的重新分发。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (6)
1.一种物联网无线终端的量子密钥分发与协商方法,其特征在于,包括如下步骤:
S1,信道密钥的生成:基于无线信道特征技术,在边缘网关和物联网无线终端之间生成无线信道密钥;
S2,信息传输:边缘网关利用生成的信道密钥加密会话信息,并将会话信息发送给无线终端,实现双方通信;所述会话信息至少包括量子密钥、会话标识和密钥读取标识;
S3,解密:物联网无线终端利用步骤S1生成的信道密钥,对接收到的会话信息进行解密,得到对称的量子密钥、会话标识和密钥读取标识;
S4,校验:物联网会话终端的通信双方对接收到的量子密钥进行密钥的一致性校验,若结果一致,本次密钥用于后续步骤;只要有一项校验不一致,量子密钥在本次通信中无效;
S5,反馈处理:物联网会话终端的目标终端将步骤S4获得的校验结果作为反馈信息,生成密钥校验响应发送至会话申请终端,会话申请终端根据接收到的反馈结果作出相应的处理。
2.如权利要求1所述的一种物联网无线终端的量子密钥分发与协商方法,其特征在于所属步骤S1进一步包括:
S11,边缘网关G和无线终端T分别向对方发射导频序列;
S12,边缘网关G和无线终端T分别测量各自到对方的信道特征;
S13,边缘网关G和无线终端T对经步骤S12测量得到的无线信道特征进行量化,生成至少包括用于加密量子密钥的标识信息的信道密钥。
3.如权利要求2所述的一种物联网无线终端的量子密钥分发与协商方法,其特征在于步骤S2中密钥读取标识为单次通信中量子密钥的唯一标识;边缘网关G将要传输的量子密钥、会话标识以及密钥读取标识通过预处理后进行信道纠错编码,生成信道纠错编码后的比特序列,然后利用步骤S1生成的信道密钥对比特序列加密,再将加密后的数据流通过***道发送给无线终端T。
4.如权利要求3所述的一种物联网无线终端的量子密钥分发与协商方法,其特征在于所述步骤S3进一步包括:
S31,无线终端T通过在步骤S1生成的信道密钥,对从边缘网关G接收到的数据流进行解密,从中恢复出边缘网关G发送的量子密钥、会话标识以及密钥读取标识;
S32,无线终端T使用信道编码解码算法对步骤S31解密后的数据流进行信道纠错编码解码,生成信道解码后的比特序列;
S33,无线终端T将步骤S32得到的比特序列进行处理后,得到边缘网关G传输给无线终端T的会话信息,所述处理过程和步骤S2中的预处理过程呈相逆处理。
5.如权利要求3或4所述一种的物联网无线终端的量子密钥分发与协商方法,其特征在于所述步骤S4进一步包括:
S41,物联网会话终端的申请终端T1向会话目标终端T2发送密钥校验请求,所述密钥校验请求的身份校验信息包括会话申请终端T1身份标识、会话目标终端T2身份标识、会话标识、密钥读取标识、量子密钥哈希值和包含利用会话申请终端T1私钥加密的信息摘要;
S42,会话目标终端T2接收到会话申请终端T1发送的校验请求后,将校验请求中的身份校验信息与本端的对应信息进行一致性比对,若各身份校验信息完全一致,则表明通信双方接收到的量子密钥属于本次会话并且是一致的;若有任意一个身份校验信息比对失败,则表明双方接收到的量子密钥在本次通信内是无效的,不能应用于后续保密会话。
6.如权利要求5所述的一种物联网无线终端的量子密钥分发与协商方法,其特征在于所述步骤S5进一步包括:
S51,会话目标终端T2完成密钥一致性比对后,根据校验结果向会话申请终端T1发送密钥校验响应;所述校验相应请求包含会话目标终端T2身份标识、会话申请终端T1身份标识、会话标识、密钥读取标识和密钥校验结果,同时对密钥校验响应承载的信息进行身份认证以及防篡改的操作,利用会话目标终端T2的私钥加密上述请求信息的哈希值,并与上述请求信息一起发送至会话申请终端T1;
S52,会话申请终端T1对接收到的密钥校验响应进行处理,确切定位到校验结果所对应的具体密钥;
S53,完成对请求信息中每一个标识信息的处理后,会话申请终端T1根据校验结果的不同分情况处理:当校验成功时,即会话目标终端T2确定自身接收到的量子密钥与会话申请终端T1一致,通信双方将对本次协商的量子密钥进行存储,后续利用这一量子密钥进行保密通信;若校验失败,则本次协商的量子密钥失效,会话目标终端T2忽视本次密钥,不对其进行存储记录,同时会话申请终端T1需要再次发起密钥申请,并由上层量子密钥管理中心负责进行量子密钥的重新分发。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110373128.2A CN113038468B (zh) | 2021-04-07 | 2021-04-07 | 一种物联网无线终端量子密钥分发与协商方法 |
PCT/CN2021/123062 WO2022213564A1 (zh) | 2021-04-07 | 2021-10-11 | 一种物联网无线终端量子密钥分发与协商方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110373128.2A CN113038468B (zh) | 2021-04-07 | 2021-04-07 | 一种物联网无线终端量子密钥分发与协商方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113038468A true CN113038468A (zh) | 2021-06-25 |
CN113038468B CN113038468B (zh) | 2022-09-09 |
Family
ID=76454430
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110373128.2A Active CN113038468B (zh) | 2021-04-07 | 2021-04-07 | 一种物联网无线终端量子密钥分发与协商方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN113038468B (zh) |
WO (1) | WO2022213564A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113630407A (zh) * | 2021-08-02 | 2021-11-09 | ***量子科技有限公司 | 使用对称密码技术增强mqtt协议传输安全的方法和*** |
CN113708929A (zh) * | 2021-08-26 | 2021-11-26 | 东南大学 | 一种物联网边缘网关定时推送量子密钥的方法 |
CN114915417A (zh) * | 2022-06-14 | 2022-08-16 | 东南大学 | 一种物联网边缘侧安全分发量子密钥的方法 |
WO2022213564A1 (zh) * | 2021-04-07 | 2022-10-13 | 东南大学 | 一种物联网无线终端量子密钥分发与协商方法 |
CN117527228A (zh) * | 2023-12-06 | 2024-02-06 | 安徽省气象信息中心 | 一种基于量子安全隧道的地面气象观测数据传输密钥协商方法及*** |
CN117579276A (zh) * | 2024-01-16 | 2024-02-20 | 浙江国盾量子电力科技有限公司 | 用于馈线终端的量子加密方法及量子板卡模组 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115694816B (zh) * | 2023-01-04 | 2023-03-17 | 南京中科齐信科技有限公司 | 一种基于uds协议的量子密钥对充注方法 |
CN116471587B (zh) * | 2023-04-19 | 2023-10-20 | 合肥工业大学 | 一种v2v通信下的车组内通信密钥生成及更新方法 |
CN116170232B (zh) * | 2023-04-21 | 2023-06-23 | 安徽中科锟铻量子工业互联网有限公司 | 量子网关数据显示管理*** |
CN116366206B (zh) * | 2023-06-01 | 2023-08-25 | 三未信安科技股份有限公司 | 一种增强密码卡可靠性的方法及*** |
CN116743380B (zh) * | 2023-08-14 | 2023-10-31 | ***量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及*** |
CN117241267B (zh) * | 2023-11-15 | 2024-01-12 | 合肥工业大学 | 一种基于区块链适用于v2i场景下量子组密钥分发方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991285A (zh) * | 2015-02-16 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及*** |
CN109347628A (zh) * | 2018-09-29 | 2019-02-15 | 中国人民解放军国防科技大学 | 一种基于物理层信道特征的轻量级动态安全加密方法 |
CN111132153A (zh) * | 2019-12-19 | 2020-05-08 | 中山大学 | 一种基于无线信道特征的内生安全通信方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104660602B (zh) * | 2015-02-14 | 2017-05-31 | 山东量子科学技术研究院有限公司 | 一种量子密钥传输控制方法及*** |
CN107896148A (zh) * | 2017-12-25 | 2018-04-10 | 北京天融信网络安全技术有限公司 | 一种加解密数据的方法及*** |
CN111049645A (zh) * | 2019-11-20 | 2020-04-21 | 北京邮电大学 | 物联网***及其量子密钥分配方法和装置 |
CN111970696B (zh) * | 2020-08-27 | 2022-08-23 | 东南大学 | 一种基于功率分配和波束调度的多用户高效密钥生成方法 |
CN113038468B (zh) * | 2021-04-07 | 2022-09-09 | 东南大学 | 一种物联网无线终端量子密钥分发与协商方法 |
-
2021
- 2021-04-07 CN CN202110373128.2A patent/CN113038468B/zh active Active
- 2021-10-11 WO PCT/CN2021/123062 patent/WO2022213564A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991285A (zh) * | 2015-02-16 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及*** |
CN109347628A (zh) * | 2018-09-29 | 2019-02-15 | 中国人民解放军国防科技大学 | 一种基于物理层信道特征的轻量级动态安全加密方法 |
CN111132153A (zh) * | 2019-12-19 | 2020-05-08 | 中山大学 | 一种基于无线信道特征的内生安全通信方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022213564A1 (zh) * | 2021-04-07 | 2022-10-13 | 东南大学 | 一种物联网无线终端量子密钥分发与协商方法 |
CN113630407A (zh) * | 2021-08-02 | 2021-11-09 | ***量子科技有限公司 | 使用对称密码技术增强mqtt协议传输安全的方法和*** |
CN113708929A (zh) * | 2021-08-26 | 2021-11-26 | 东南大学 | 一种物联网边缘网关定时推送量子密钥的方法 |
CN113708929B (zh) * | 2021-08-26 | 2022-07-01 | 东南大学 | 一种物联网边缘网关定时推送量子密钥的方法 |
CN114915417A (zh) * | 2022-06-14 | 2022-08-16 | 东南大学 | 一种物联网边缘侧安全分发量子密钥的方法 |
CN117527228A (zh) * | 2023-12-06 | 2024-02-06 | 安徽省气象信息中心 | 一种基于量子安全隧道的地面气象观测数据传输密钥协商方法及*** |
CN117579276A (zh) * | 2024-01-16 | 2024-02-20 | 浙江国盾量子电力科技有限公司 | 用于馈线终端的量子加密方法及量子板卡模组 |
CN117579276B (zh) * | 2024-01-16 | 2024-03-29 | 浙江国盾量子电力科技有限公司 | 用于馈线终端的量子加密方法及量子板卡模组 |
Also Published As
Publication number | Publication date |
---|---|
WO2022213564A1 (zh) | 2022-10-13 |
CN113038468B (zh) | 2022-09-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113038468B (zh) | 一种物联网无线终端量子密钥分发与协商方法 | |
CN107196763B (zh) | Sm2算法协同签名及解密方法、装置与*** | |
CN106411521B (zh) | 用于量子密钥分发过程的身份认证方法、装置及*** | |
US6535980B1 (en) | Keyless encryption of messages using challenge response | |
US11044084B2 (en) | Method for unified network and service authentication based on ID-based cryptography | |
US8433066B2 (en) | Method for generating an encryption/decryption key | |
CN110048849B (zh) | 一种多层保护的会话密钥协商方法 | |
CN109495274A (zh) | 一种去中心化智能锁电子钥匙分发方法及*** | |
JP2009503934A (ja) | 展性攻撃に対して改良された安全性を有する技術(これに限定されない)を含む非ワンタイムパッド暗号で暗号化した署名鍵を用いた、暗号認証、及び/又は共有暗号鍵の設定 | |
CN110087240B (zh) | 基于wpa2-psk模式的无线网络安全数据传输方法及*** | |
CN104243494B (zh) | 一种数据处理方法 | |
WO2022142307A1 (zh) | 一种基于安全中继的量子通信方法和通信网络 | |
CN114900304B (zh) | 数字签名方法和装置、电子设备和计算机可读存储介质 | |
CN112165386B (zh) | 一种基于ecdsa的数据加密方法及*** | |
TWI487308B (zh) | 量子通訊方法 | |
KR101162333B1 (ko) | 도전 응답 기반의 rtt 검사 방법, 장치 및 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
CN114499857A (zh) | 一种实现大数据量子加解密中数据正确性与一致性的方法 | |
CN109587149A (zh) | 一种数据的安全通信方法及装置 | |
CN111526131B (zh) | 基于秘密共享和量子通信服务站的抗量子计算的电子公文传输方法和*** | |
CN114760046A (zh) | 一种身份鉴别方法和装置 | |
CN114696999A (zh) | 一种身份鉴别方法和装置 | |
CN114928503B (zh) | 一种安全通道的实现方法及数据传输方法 | |
CN114760035A (zh) | 一种身份鉴别方法和装置 | |
CN117459325B (zh) | 一种量子通信与常规通信结合的三方数据通信方法 | |
KR20150135717A (ko) | 모바일 멀티홉 네트워크에서 비밀키를 공유하는 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |