CN117220873A - 一种基于区块链的安全量子通信方法 - Google Patents

Abstract

本发明提供一种基于区块链的安全量子通信方法，属于安全量子通信技术领域；所要解决的技术问题为：提供一种基于区块链的安全量子通信方法的改进；解决该技术问题采用的技术方案为：创建智能合约，定义生成量子比特和编码密钥的算法，并记录生成的比特和编码结果以及量子比特的传输状态、路径和接收情况；将每个参与量子密钥的分发节点在区块链上注册：将所述量子密钥分发节点作为区块链网络中的用户节点加入到区块链中，并将链路状态数据进行打包、签名后同步到区块链***，区块链***获取量子密钥分发网络全局的网络拓扑、链路状态、量子密钥分发链路的可用状态、密钥池容量信息，保存出链路状态信息表；本发明应用于量子通信。

Description

一种基于区块链的安全量子通信方法

技术领域

本发明提供一种基于区块链的安全量子通信方法，属于安全量子通信技术领域。

背景技术

传统的量子通信***虽然在理论上具备安全性，但在实际应用中仍然存在受到物理层次上攻击或干扰的可能性，攻击者可以通过软件编程攻击量子密钥分发网络，并且集中式的网络架构中，传统软件定义网络中心控制器面临着单点故障以及容易受到单点攻击的问题，软件定义网络中心控制器一旦被攻击或者出现单点故障问题，将会导致量子密钥分发网络瘫痪。

目前使用的区块链技术具备去中心化、不可篡改的特性，适用于建立可信任的数据记录和验证机制，将区块链技术应用于量子通信加密，将有效提高量子通信的安全性与可靠性，但目前尚未有相关实现手段及方法。

发明内容

本发明为了克服现有技术中存在的不足，所要解决的技术问题为：提供一种基于区块链的安全量子通信方法的改进。

为了解决上述技术问题，本发明采用的技术方案为：一种基于区块链的安全量子通信方法，包括如下的通信步骤：

步骤一：创建智能合约，定义生成量子比特和编码密钥的算法，并记录生成的比特和编码结果以及量子比特的传输状态、路径和接收情况；

步骤二：将每个参与量子密钥的分发节点在区块链上注册：

所述量子密钥的分发节点的身份信息包括制造商、型号、序列号通过哈希函数生成唯一对应的身份标识Device_ID；

将所述量子密钥分发节点作为区块链网络中的用户节点加入到区块链中，并将链路状态数据进行打包、签名后同步到区块链***，区块链***获取量子密钥分发网络全局的网络拓扑、链路状态、量子密钥分发链路的可用状态、密钥池容量信息，保存出链路状态信息表；

步骤三：对每个设备生成密钥，原始密钥为K_device，将生成的密钥数据进行哈希函数运算后得到Digest＝h(K_device)，该哈希值作为密钥的摘要；

当一个设备成功生成密钥后，将生成密钥的相关信息以及哈希值形成一个信息码：

Transaction＝{Device_ID，Timestamp，Digest}；

然后将这个事务提交给区块链网络，验证生成密钥的设备和时间戳，所述Timestamp为生成密钥的时间戳；

步骤四：对各量子密钥分发节点计算节点虚拟身份，验证后建立连接；

步骤五：量子通信请求到达时，各对等量子密钥分发按照在路由信息表中查询到的源节点到目的节点的路由路径进行密钥分发，并将链路状态信息数据打包成交易并写进区块链***；

智能合约捕捉到量子比特传输事件后，将事件中的数据存储到区块链上，由区块链上的各节点验证新提交的数据；

步骤六：智能合约检测到量子密钥分发节点的路由中继请求后，量子密钥分发节点将链路状态数据打包上链，将多点对多点的路由路径信息记录到路由信息表中。

所述步骤四中计算节点虚拟身份并建立连接的具体方法为：

定义ID_α为真实身份哈希值，由用户选择自己的公私钥对，其中Pub＝K^pri·P，随后使用私钥计算签名Sig_α(ID_α，Pub_α)，得出该节点身份信息为{ID_α，Pub_α，Sig_α(ID_α，Pub_α)}；

其中，所述K^pri为私钥，所述Pub为公钥，所述P为群生成元；

智能合约监测量子密钥分发节点发送身份信息，对链上信息进行查询是否存在ID_α，若信息唯一，则将h(ID_α，Pub_α)传输上链，完整节点身份表示为：

{ID_α，h(ID_α，Pub_α)，Sigα(ID_α，Pub_α)}；

其中，所述h为哈希函数；

随后由相邻节点接收到通信请求，首先检查时间戳Timestamp是否在可信范围内，然后节点α广播h(ID_α，Pub_α)，查找链上区块有对应身份及此哈希值信息：

如若存在，节点β通过智能合约检验节点签名Sig_α(ID_α，Pub_α)是否有效；

如若有效，节点β使用私钥作为消息认证码MAC的密钥，计算MAC(h(ID_β，Pub_β))，用于检验节点α身份信息是否真实，所述MAC为消息认证码；

如若真实则完成验证，在节点间建立可信任连接。

所述步骤六中将链路状态数据打包上链的具体方法为：

定义链路密钥池容量与链路剩余密钥量的差为链路成本，定义链路d_α，β的链路成本为计算公式为：

其中，所述表示链路d_α，β的链路密钥池容量，/>表示链路d_α，β的链路剩余密钥量；

然后通过链路成本计算出10条最短的路由路径path_i，(i∈(1，10))；

定义链路火热度为密钥生成速率/>与链路密钥消耗量/>的差再取以e为底的指数，计算公式为：

定义路由路径的平均链路火热度为：

最终决策函数为：

其中，γ为权值参数；控制前后两部分的权重，基于场景下请求的考量，为所选的10条路由路径中每条路径的路由跳数。

本发明相对于现有技术具备的有益效果为：本发明针对传统的量子通信***存在中间人攻击和密钥管理的问题，提出一种将区块链与量子通信相结合的解决方案，以确保通信的保密性和完整性；本发明通过将量子通信的关键量子密钥分发参数记录于区块链之上，防止其遭到篡改或泄露的风险，实现数据完整性和整体通信流程的优化，通过借助区块链架构的智能合约，可以实现对量子通信的身份识别信息的迅速验证，从而高效地建立稳固可信的通信连接，通过将量子通信的关键量子密钥分发参数记录于区块链之上，可防止其遭到篡改或泄露的风险；运用智能合约来自动分发密钥，不仅减少了人工干预，更确保了量子通信的透明性和遵循合规性的标准，该通信方法不仅强化了通信的安全性，还促进了数据完整性和整体通信流程的优化。

附图说明

下面结合附图对本发明做进一步说明：

图1为本发明的步骤流程图；

图2为本发明实施例中量子密钥分发网络架构的示意图；

图3为本发明实施例中进行量子通信的步骤流程图；

图4为本发明量子密钥分发节点功能示意图。

具体实施方式

本发明提供的安全量子通信方法，旨在解决现有技术节点无决策能力，无法对路由决策信息进行鉴别，传统软件定义网络中心控制器单点故障导致鲁棒性低以及传统量子通信身份验证繁琐问题。

如图1所示，本发明公开的基于区块链的安全量子通信方法，属于一种应用于数据传输、隐私保护等场景的通信方法，主要步骤包括：使用量子密钥分发节点在区块链上进行身份注册，通过智能合约中设定哈希函数将量子密钥分发节点身份信息生成唯一身份标识；

所述量子密钥分发节点将自己的链路状态数据打包、签名后同步到区块链***；

所述智能合约可替代传统机构认证，查验记录节点在链上的身份信息进行身份验证；

所述量子密钥分发节点完成密钥的分发后，将链路状态信息数据打包成区块链交易数据并写进区块链***，完成数据通信。

本发明提出的安全量子通信方法，主要基于量子密钥分发网络和区块链网络实现，实现手段包括合约设计、设备身份注册、密钥生成和记录、身份验证、量子比特传输以及路由决策验证；其中创建合约用于管理身份信息，定义生成量子比特和编码密钥的算法，并记录生成的比特和编码结果以及量子比特的传输状态、路径和接收情况，通过运用智能合约来自动分发密钥，减少人工干预，确保量子通信的透明性和遵循合规性的标准；每个参与量子密钥分发的设备需在区块链上进行身份注册，通过哈希函数生成对应一个唯一的身份标识，量子密钥分发节点作为区块链网络中的用户节点加入到区块链中，并将自己的链路状态数据打包、签名后同步到区块链***。

本发明采用的基于区块链架构的智能合约用于实现对量子通信的身份识别信息的迅速验证，可替代传统机构认证，为设备生成签名的证书，所述证书被记录在区块链上，采用跨域认证与密钥协商身份管理***，实现设备的身份跨域、跨厂家、跨运营商场景下的互认，以确保只有合法设备可以访问量子密钥分发过程中的数据。

通信过程中，量子密钥分发节点的量子密钥分发过程中生成的密钥和量子比特的传输状态将被记录在区块链上，所述量子密钥分发节点完成密钥的分发后，将链路状态信息数据打包成交易并写进区块链***，区块链***记录链路状态信息的更新，替换原有的链路状态信息记录，保证每次计算出路由路径信息的最优性；

如图3所示，在本发明的实施例中，量子通信主要包括以下执行步骤：

步骤一：创建智能合约，可以定义生成量子比特和编码密钥的算法，并记录生成的比特和编码结果以及量子比特的传输状态、路径和接收情况；

需要说明的是，所述合约是典型三层合约包括数据合约、控制合约和管理合约，这样设计的优势是当数据处理逻辑更新时，不会影响数据。数据合约、控制合约和管理合约能够以不同的频率进行更新，从而更好地满足实际业务的相关需求。

步骤二：如图2所示，每个参与量子密钥分发节点都需要在区块链上注册。所述量子密钥分发节点的身份信息包括制造商、型号、序列号等通过哈希函数可生成唯一对应的身份标识Device_ID。所述量子密钥分发节点作为区块链网络中的用户节点加入到区块链中，并将其链路状态数据打包、签名后同步到区块链***，区块链***获取量子密钥分发网络全局的网络拓扑、链路状态、量子密钥分发链路的可用状态、密钥池容量等信息，保存出链路状态信息表。

步骤三：在每个设备生成密钥的过程中，原始密钥为K_device，将生成的密钥数据进行哈希函数运算得到Digest＝h(K_device)。这个哈希值将作为密钥的摘要，确保生成的密钥信息不会被直接暴露在区块链上。

当一个设备成功生成密钥后，将生成密钥的相关信息以及哈希值形成一个信息码Transaction＝{Device_ID,Tinestamp,Digest，然后将这个事务提交给区块链网络，在区块链上记录的信息无法被用于直接还原出原始密钥，同时仍然能够验证生成密钥的设备和其时间戳，所述Timestamp为生成密钥的时间戳。

步骤四：所述各量子密钥分发节点计算节点虚拟身份，应用比特币机制；

ID_α为真实身份哈希值。然后用户选择自己的公私钥对，其中Pun＝K^pri·P，随后使用私钥计算签名Sig_α(ID_α,Pun_α)，最终得出该节点身份信息为{ID_α，Pub_α，Sig_α(ID_α，Pub_α)}，其中所述K^pri为私钥，所述Pub为公钥，所述P为群生成元；

所述智能合约监测所述量子密钥分发节点发送身份信息，对链上信息进行查询是否存在ID_α，若信息唯一，则将h(ID_α，Pub_α)传输上链，完整节点身份为：

{ID_α，h(ID_α，Pub_α)，Sig_α(ID_α，Pub_α)}；

其中，所述h为哈希函数；

相邻节点接收到通信请求，首先检查时间戳Timestamp是否在可信范围内，然后节点α广播h(ID_α，Pub_α)，查找链上区块有对应身份及此哈希值信息；

如若存在，节点β通过所述智能合约检验节点签名Sig_α(ID_α，Pub_α)是否有效；

如若有效，节点β使用私钥作为消息认证码MAC的密钥，计算MAC(h(ID_β，Pub_β)，用于检验节点α身份信息是否真实，所述MAC为消息认证码；

如若真实则可以完成验证，所述节点间建立可信任连接；

步骤五：如图4所示，量子通信请求到达时，所述各个对等量子密钥分发按照在路由信息表中查询到的源节点到目的节点的路由路径进行密钥分发，量子密钥分发节点完成密钥的分发后，将链路状态信息数据打包成交易并写进区块链***。智能合约捕捉到量子比特传输事件后，将事件中的数据存储到区块链上。可以将事件的数据以结构体的形式存储在区块链上，确保数据的结构化存储。区块链上的各个节点将验证新提交的数据。这个验证过程包括检查事件是否合法、数据是否符合格式等。

步骤六：智能合约检测到量子密钥分发节点的路由中继请求后，量子密钥分发节点将链路状态数据不断打包上链，保证区块链***中链路状态信息表中数据的实时性，并将多点对多点的路由路径信息记录到路由信息表中，同一源节点到目的节点可能存在多条记录，使得链路状态不可用时路由路径选择的切换，实现了路由的重定向，保证量子密钥分发网络中量子密钥资源的高效利用。

定义链路密钥池容量与链路剩余密钥量的差为链路成本，定义链路d_α,β的链路成本为可表示为/>其中所述/>表示链路d_α,β的链路密钥池容量，表示链路d_α，β的链路剩余密钥量。

每次密钥的中继需要消耗等量的链路密钥，因此，当链路剩余密钥量更大时，链路成本越小。通过链路成本计算出10条最短的路由路径patn_i,(i∈(1,10))；

本发明定义链路火热度为密钥生成速率/>与链路密钥消耗量/>的差再取以e为底的指数，/>定义路由路径的平均链路火热度/>为式

最终决策函数为其中γ为权值参数，控制前后两部分的权重，不同场景下的请求的考量不同，/>为所选的10条路由路径中每条路径的路由跳数。

当用户会话密钥量长度较大时，需要考虑更少的路由跳数，消耗更少的量子密钥分发网络密钥资源，此时可以将权值参数γ适当降低。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (3)

1.一种基于区块链的安全量子通信方法，其特征在于：包括如下的通信步骤：

步骤一：创建智能合约，定义生成量子比特和编码密钥的算法，并记录生成的比特和编码结果以及量子比特的传输状态、路径和接收情况；

步骤二：将每个参与量子密钥的分发节点在区块链上注册：

所述量子密钥的分发节点的身份信息包括制造商、型号、序列号通过哈希函数生成唯一对应的身份标识Device_ID；

将所述量子密钥分发节点作为区块链网络中的用户节点加入到区块链中，并将链路状态数据进行打包、签名后同步到区块链***，区块链***获取量子密钥分发网络全局的网络拓扑、链路状态、量子密钥分发链路的可用状态、密钥池容量信息，保存出链路状态信息表；

步骤三：对每个设备生成密钥，原始密钥为K_device，将生成的密钥数据进行哈希函数运算后得到Digest＝h(K_device)，该哈希值作为密钥的摘要；

当一个设备成功生成密钥后，将生成密钥的相关信息以及哈希值形成一个信息码：

Transaction＝{Device_ID，Timestamp，Digest}；

然后将这个事务提交给区块链网络，验证生成密钥的设备和时间戳，所述Timestamp为生成密钥的时间戳；

步骤四：对各量子密钥分发节点计算节点虚拟身份，验证后建立连接；

步骤五：量子通信请求到达时，各对等量子密钥分发按照在路由信息表中查询到的源节点到目的节点的路由路径进行密钥分发，并将链路状态信息数据打包成交易并写进区块链***；智能合约捕捉到量子比特传输事件后，将事件中的数据存储到区块链上，由区块链上的各节点验证新提交的数据；

步骤六：智能合约检测到量子密钥分发节点的路由中继请求后，量子密钥分发节点将链路状态数据打包上链，将多点对多点的路由路径信息记录到路由信息表中。

2.根据权利要求1所述的一种基于区块链的安全量子通信方法，其特征在于：所述步骤四中计算节点虚拟身份并建立连接的具体方法为：

定义ID_a为真实身份哈希值，由用户选择自己的公私钥对，其中Pub＝K^pri·P，随后使用私钥计算签名Sig_α(ID_α，Pub_α)，得出该节点身份信息为{ID_α，Pub_α，Sig_α(ID_α，Pub_α)}；

其中，所述K^pri为私钥，所述Pub为公钥，所述P为群生成元；

智能合约监测量子密钥分发节点发送身份信息，对链上信息进行查询是否存在ID_α，若信息唯一，则将h(ID_α，Pub_α)传输上链，完整节点身份表示为：

{Id_α，h(ID_α，Pub_α)，Sig_α(ID_α，Pub_α)}；

其中，所述h为哈希函数；

随后由相邻节点接收到通信请求，首先检查时间戳Timestamp是否在可信范围内，然后节点α广播h(ID_α，Pub_α)，查找链上区块有对应身份及此哈希值信息：

如若存在，节点β通过智能合约检验节点签名Sig_a(ID_a，Pub_a)是否有效；

如若有效，节点β使用私钥作为消息认证码MAC的密钥，计算MAC(H(ID_β，Pub_β))，用于检验节点α身份信息是否真实，所述MAC为消息认证码；

如若真实则完成验证，在节点间建立可信任连接。

3.根据权利要求1所述的一种基于区块链的安全量子通信方法，其特征在于：所述步骤六中将链路状态数据打包上链的具体方法为：

定义链路密钥池容量与链路剩余密钥量的差为链路成本，定义链路d_α，β的链路成本为计算公式为：

其中，所述表示链路d_α，β的链路密钥池容量，/>表示链路d_α，β的链路剩余密钥量；

然后通过链路成本计算出10条最短的路由路径path_i，(i∈(1，10))；

定义链路火热度为密钥生成速率/>与链路密钥消耗量/>的差再取以e为底的指数，计算公式为：

定义路由路径的平均链路火热度为：

最终决策函数为：

其中，γ为权值参数；控制前后两部分的权重，基于场景下请求的考量，为所选的10条路由路径中每条路径的路由跳数。