申请/专利权人：中国电子科技集团公司第三十研究所

申请日：2018-02-09

公开（公告）日：2020-10-23

公开（公告）号：CN108462573B

主分类号：H04L9/08(20060101)

分类号：H04L9/08(20060101);H04L9/32(20060101)

优先权：

专利状态码：有效-授权

法律状态：2020.10.23#授权;2018.09.21#实质审查的生效;2018.08.28#公开

摘要：本发明公开了一种灵活的量子安全移动通信方法，QKD节点为移动终端提供量子基础密钥注入服务，QKD节点与QKMC之间通过QKD网络协商量子密钥；QKMC为两个或多个移动终端之间分配会话密钥；包括注册过程和在线协商会话密钥过程。本发明具有更灵活的量子密钥服务及管理方式：移动终端一次注入量子基础密钥后可以在任何QKD节点获得量子密钥服务，用完后可以在任何一个QKD节点进行再次加注，接入灵活；移动终端获取会话密钥的全过程是量子安全的，与其它需要采用传统密钥协商技术的移动应用的密钥分配方案相比具有更高的安全性；引入了量子密钥管理中心统一管控用户会话密钥的产生和协商，具有更高效率和全生命周期的管理。

主权项：1.一种灵活的量子安全移动通信方法，其特征在于：包括如下步骤：步骤一、移动终端注册入网，QKD节点申请获取QBK并建立服务绑定关系列表：1移动终端就近向一个QKD节点申请入网，获得唯一的量子身份号、主密钥和身份认证密钥；2移动终端向QKD节点申请QBK；3QKD节点为移动终端注入QBK，并创建与移动终端之间的服务绑定关系列表：移动终端的量子身份号、具有绑定关系QKD节点的地址、量子基础密钥的余量；4然后QKD节点将收集到的移动终端的注册信息利用该QKD节点与QKMC或QKMC分中心之间的共享量子密钥加密后发给QKMC或QKMC分中心；步骤二、移动终端向QKMC或QKMC分中心申请会话密钥，QKMC或QKMC分中心查找移动终端所绑定的QKD节点，并向QKD节点发送服务指令；步骤三、QKD节点分别采用与QKMC或QKMC分中心共享的量子密钥，加密所绑定移动终端的QBK子密钥，并把得到的加密数据发给QKMC或QKMC分中心；步骤四、QKMC或QKMC分中心解密得到QKD节点所绑定的移动终端的QBK的子密钥，并产生会话密钥R，然后分别利用各子密钥加密R后并发给对应的移动终端；各移动终端分别解密得到R，作为本次通信的会话密钥；步骤五、各QKD节点及其绑定的移动终端、QKMC或QKMC分中心分别删除使用过的密钥数据，并更新服务绑定关系列表，各QKD节点更新节点状态信息。

全文数据：_种灵活的量子安全移动通信方法技术领域[0001]本发明涉及一种灵活的量子安全移动通信方法。背景技术[0002]在网络空间安全技术快速发展的背景下，在国家相关产业政策的激励下，以量子密钥分配QuantumKeyDistribution，QKD网络部署和应用体系建设为主体的量子通信产业已步入快速发展时期。QKD基于量子力学原理，是迄今唯一被严格证明无条件安全的密钥分配方式。QKD结合“一次一密”加密算法，可以从根本上解决数据传输的安全性问题，具有重要实际应用价值。[0003]随着移动互联网的快速发展，移动互联和移动办公已成为大趋势。与此同时，移动应用的安全挑战越发严峻。国内量子通信领域内的企业和研究机构都在积极布局量子安全与移动应用相结合的技术及专利，并重点开发量子安全移动应用系统。量子安全的移动应用已成为QKD应用推广的重要方向之一。[0004]目前，利用QKD网络产生的量子密钥进行移动保密通信应用的实现方式大多是量子密钥中继或密文中继方式，存在不便于统一管控和安全性不太完善的问题例如，量子密钥从QKD网络到移动终端大多是利用传统密码加密转发，不具有量子安全性）。发明内容[0005]为了克服现有技术的上述缺点，本发明提供了一种灵活的量子安全移动通信方法，旨在解决量子安全移动通信中量子密钥的统一管控问题、移动终端的接入灵活性问题和移动应用的安全性问题。[0006]本发明解决其技术问题所采用的技术方案是：一种灵活的量子安全移动通信方法，包括如下步骤：[0007]步骤一、移动终端注册入网，QKD节点申请获取QBK并建立服务绑定关系列表；[0008]步骤二、移动终端向QKMC或QKMC分中心申请会话密钥，QKMC或QKMC分中心查找移动终端所绑定的QKD节点，并向QKD节点发送服务指令；[0009]步骤三、QKD节点分别采用与QKMC或QKMC分中心共享的量子密钥，加密所绑定移动终端的QBK子密钥，并把得到的加密数据发给QKMC或QKMC分中心；[0010]步骤四、QKMC或QKMC分中心解密得到QKD节点所绑定的移动终端的QBK的子密钥，并产生会话密钥R，然后分别利用各子密钥加密R后并发给对应的移动终端;各移动终端分别解密得到R，作为本次通信的会话密钥；[0011]步骤五、各QKD节点及其绑定的移动终端、QKMC或QKMC分中心分别删除使用过的密钥数据，并更新服务绑定关系列表，各QKD节点更新节点状态信息。[0012]与现有技术相比，本发明的积极效果是：[0013]本发明具有更灵活的量子密钥服务及管理方式，并具有以下三个方面的显著创新性：[0014]1移动终端一次注入量子基础密钥后可以在任何QKD节点获得量子密钥服务，用完后可以在任何一个QKD节点进行再次加注，接入灵活；[0015]2移动终端获取会话密钥的全过程是量子安全的，与其它需要采用传统密钥协商技术的移动应用的密钥分配方案相比具有更高的安全性；[0016]3引入了量子密钥管理中心统一管控用户会话密钥的产生和协商，具有更高效率和全生命周期的管理。附图说明[0017]本发明将通过例子并参照附图的方式说明，其中：[0018]图1为本发明方法的注册过程示意图；[0019]图2为本发明方法的在线协商会话密钥过程示意图；[0020]图3为本发明方法的通信流程示意图；[0021]图4为本发明方法的群组通信示意图；[0022]图5为本发明方法中QKD节点与QKMC的不同连接关系示意图；[0023]图6为实施例一的通信流程示意图；[0024]图7为实施例二的通信流程示意图；[0025]图8为实施例三的通信流程示意图；[0026]图9为实施例四的通信流程示意图；[0027]图10为实施例五的通信流程示意图；[0028]图11为实施例六的通信流程示意图；[0029]图12为实施例七的通信流程示意图；[0030]图13为实施例八的通信流程示意图；[0031]图14为实施例九的通信流程示意图。具体实施方式[0032]一、本发明的系统组成[0033]本发明提出的一种量子安全的移动保密通信系统包括QKD节点、移动终端、量子密钥管理中心（QuantumKeyManagementCenter,QKMC和QKMC分中心，其中：[0034]IQKD节点，由一个或多个量子密钥分配系统的发送端和接收端构成包括但不限于QKD网络的末端接入节点和中继节点），提供量子密钥分配服务;每个QKD节点可以与存在可用链路的其它QKD节点协商量子密钥，也可以与存在可用链路的QKMC协商量子密钥；QKD节点的主要作用包括但不限于：（a为注册移动终端分配量子身份号；〇3为移动终端提供量子基础密钥注入服务，并创建移动终端与该QKD节点之间的服务绑定关系列表包括但不限于移动终端的量子身份号、具有绑定关系QKD节点的地址、量子基础密钥的余量）；（c向QKMC或所属QKMC分中心上传服务绑定关系列表；（d响应QKMC或所属QKMC分中心的指令，移动终端所绑定的QKD节点根据指令所指定的量子身份号选择相应量子基础密钥的子密钥，该子密钥经量子密钥加密后发给QKMC或所属QKMC分中心。[0035]2移动终端，包括但不限于智能手机、平板电脑、笔记本电脑、移动车载设备或其它具有移动通信功能的软硬件系统，是通信业务的发起方和接收方。移动终端配置永久存储设备包括但不限于闪存芯片和SD卡），具备支持网络访问能力的硬件模块，具备与QKD网络进行信息交互的能力，具备处理数据加解密的计算能力。移动终端可以就近连接包括但不限于采用USB或NFC接口）一个QKD节点、QKMC或QKMC分中心，进行入网注册，并在注册成功后导入量子基础密钥;移动终端可以根据应用需求在多个QKD节点获取量子基础密钥，并由QKMC根据QKD网络情况选择最优的服务策略，或由用户指定使用其在某个QKD节点获取的量子基础密钥。[0036]3QKMC，由QKD节点、量子网络管理系统和量子密钥管理与服务系统构成，面向全网统一提供量子网络管理、量子密钥管理和会话密钥分配。[0037]QKMC主要功能包括但不限于：[0038]a存储、维护和查询移动终端与相应QKD节点之间的服务绑定关系列表;根据收到的信息，判断相关移动终端的合法性；[0039]⑹利用与其它QKD节点域QKMC分中心）之间的网络连接实时收集各个QKD节点域QKMC分中心）的状态信息，并向各QKD节点域QKMC分中心发送进行量子密钥中继、量子密钥协商或上报某个移动终端的量子基础密钥的子密钥的指令；[0040]C维护与各QKD节点间的网络连接，对参与会话密钥协商的各QKD节点的当前状态指标进行汇总，判断并指定参与会话密钥协商的QKD节点；其中，QKMC判断并指定会话密钥协商的QKD节点的方法包括但不限于:QKMC根据所接收到的请求信息中的主叫移动终端与被叫移动终端的相关信息，以及相应QKD节点与移动终端间的绑定关系，得到本次通信中的主叫QKD节点地址和被叫QKD节点地址;然后再查询并选择主叫QKD节点与被叫QKD节点之间的最佳链路。[0041]选择QKMC的基本策略包括：（a对于树形拓扑结构的多层级QKD网络，把其根节点作为QKMC，把关键子节点作为QKMC分中心；⑹对于不规则拓扑结构的QKD网络，把QKD网络的核心节点作为QKMC，把区域子网的核心节点作为QKMC分中心并按一定规则对QKMC分中心进行编号，例如记为QKMC_i。[0042]⑷QKMC分中心，是QKD网络中直接连接多个QKD节点的管理节点（通常是QKD网络中区域子网的中心节点）；QKMC分中心在QKMC的授权下为该授权所指定的QKD节点所绑定的移动终端提供会话密钥分配服务。[0043]二、基本方法[0044]为了描述方便，首先对本发明方案中所涉及的密钥进行说明，本发明方案中所涉及的密钥主要包括：[0045]1量子基础密钥（QuantumBasicKey，QBK:QKD节点与移动终端之间共享的QBK，是由QKD节点产生并导入移动终端的真随机数包括但不限于由量子随机数发生器等物理噪声源产生的随机数序列）；每次保密通信都需要使用量子基础密钥的一部分作为子密钥，该子密钥用于协商会话密钥，使用过一次即删除;量子基础密钥被使用完后，移动终端就近选择一个QKD节点再次加注包括但不限于采用USB和NFC接口进行加注）。[0046]2量子密钥QuantumKey，QK:QKD节点与QKMC之间共享的量子密钥，或与其它QKD节点之间共享的量子密钥，由连接QKD节点和QKMC或其它QKD节点）的QKD链路产生通过QKD网络预先分配或实时协商的量子密钥）；该量子密钥使用一次即删除。[0047]3会话密钥似下记为R:移动终端之间的会话密钥，基于QKMC或QKMC分中心产生的真随机数包括但不限于由量子随机数发生器等物理噪声源产生的随机数制作而成，并使用量子基础密钥的子密钥加密后发给移动终端;该密钥使用一次即删除，使用完后再协商。[0048]4主密钥（以下记为MK:移动终端的主密钥是由QKD节点或QKMC产生并注入移动终端的用于设备认证的密钥。[0049]5身份认证密钥（以下记为AK:移动终端的身份认证密钥是由QKD节点或QKMC产生并注入移动终端的用于鉴别使用者身份的密钥。[0050]本发明方法的基本原理：[0051]QKD节点为移动终端提供量子基础密钥注入服务，QKD节点与QKMC之间通过QKD网络协商量子密钥;基于移动终端的量子基础密钥和QKMC与QKD节点之间的量子密钥，QKMC为两个或多个移动终端之间分配会话密钥。[0052]本发明的方法包括注册过程如图1所示和在线协商会话密钥过程如图2所示），具体包括以下步骤通信流程如图3所示）。（以下针对两个移动终端之间的通信进行阐述）：[0053]注册过程：[0054]步骤一、移动终端就近向一个QKD节点申请入网，获得唯一的量子身份号、主密钥和身份认证密钥如图1中的流程1;[0055]步骤二、移动终端向QKD节点申请量子基础密钥（用户根据一定时间段内的语音、视频、数据等通信需求申请注入量，例如某用户的主要业务是加密语音通信，并且一个月内的加密语音通信时间大概10小时，则一次注入300Mb就基本满足一个月内的需求。采用8Kbs的语音编码速率，采用“一次一密”方式加密语音编码数据，10小时需要288Mb的随机密钥）如图1中的流程2;[0056]步骤三、QKD节点把收集到的移动终端的注册信息包括但不限于服务绑定关系列表和身份认证密钥）利用该QKD节点与QKMC或QKMC分中心）之间的共享量子密钥加密后发给QKMC域QKMC分中心）（如图1中的流程3;如果该QKD节点与QKMC域QKMC分中心）之间没有共享量子密钥，则需要首先协商共享量子密钥。[0057]在线协商会话密钥过程：[0058]步骤一、如图2所示，移动终端U和移动终端V需要通信时，发起方U向QKMC或QKMC分中心请求与V通信的会话密钥（图2中的流程I;QKMC域QKMC分中心首先对U进行身份认证，通过认证后根据U和V的量子身份号查找相应的服务绑定关系列表及其所绑定的QKD节点（图2中的流程2，假定是QKD_A*QKD_B，U已向QKD_A申请量子基础密钥QBKu并已分割为多个子密钥QBKu_i，i=0，1，2，…;V已向QKD_B申请量子基础密钥QBKv并已分割为多个子密钥QBKv_j，j=0，1，2，…；QKMC或QKMC分中心）分别向QKD_A*QKD_B送服务指令;QKD_A采用与QKMC或QKMC分中心共享的量子密钥QK_A加密QBKu_i，并发给QKMC或QKMC分中心，图2中的流程3;QKD_B采用与QKMC或QKMC分中心共享的量子密钥QK_B加密QBKv_j，并发给QKMC或QKMC分中心，图2中的流程3;QKMC或QKMC分中心）分别解密并得到QBKuj*QBKv_j，然后产生会话密钥R，并把是异或运算分别发给U和V图2中的流程4，U和V分别解密得到R并采用R作为该次通信的会话密钥（图2中的流程5〇[0059]步骤二、U、V、QKMC或QKMC分中心）、QKD_A*QKD_B分别删除使用过的密钥数据，并更新服务绑定关系列表，各个节点更新节点状态信息包括但不限于与相邻节点间的链路状态、共享密钥余量）。[0060]对于ηn2个用户进行群组通信的情况如图4所示的Ul、U2,…，Un，假定发起方Ul向QKMC请求与U2，…，Un通信的群组会话密钥，QKMC分别根据Ul、U2，…，Un的量子身份号查找相应的服务绑定关系列表及其所绑定的m个QKD节点假定是QKD_A1、…、QKD_Am;QKMC分别向QKD_A1、···、QKD_Am发送服务指令;QKD_A1、…、QKD_Am分别采用与QKMC共享的量子密钥，加密所绑定应用终端的量子基础密钥的子密钥并发给QKMC;QKMC分别解密并得到Ul、U2，…，Un的子密钥;然后产生会话密钥R，并分别利用Ul、U2，…，Un的子密钥把R加密并分别发给Ul、U2，…，Un;Ul、U2，…，Un分别解密得到R，并采用R作为该次通信的群组会话密钥。[0061]针对本发明方法中QKD节点与QKMC的不同连接关系，本发明还设计了如下几个典型的应用扩展方法（如图5所示，需要说明的是，本发明方法的应用扩展方法包括但不限于如下几个方法）。[0062]应用扩展的基本策略：[0063]本发明中的所有主叫和被叫移动终端之间的会话密钥协商都由QKMC、主叫或被叫移动终端所绑定的QKMC分中心制备和分发。因此，在会话密钥协商过程中所涉及的量子密钥中继链路至少包含QKMC、主叫移动终端所绑定的QKMC分中心或被叫移动终端所绑定的QKMC分中心中的一个。在此前提下，具体包括但不限于以下策略：[0064]1策略A[0065]A-1对于主叫和被叫移动终端所绑定的QKD节点都直接绑定QKMC的情况，直接由QKMC提供服务；[0066]A-2对于主叫和被叫移动终端所绑定的QKD节点同属于一个QKMC分中心的情况，直接指定该QKMC分中心提供服务。[0067]对于主叫和被叫移动终端所绑定的QKD节点（例如QKD_A*QKD_B不同时直接绑定QKMC，且不属于同一个QKMC分中心的情况，采用如下策略：[0068]2策略B有效最短路径至少通过QKMC、主叫或被叫移动终端所绑定的一个QKMC分中心）：[0069]B-I主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路（即实际可用的最短链路通过QKMC但不通过主叫和被叫移动终端所绑定的QKMC分中心的情况下，由QKMC提供该次服务；[0070]B-2主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路只通过一个所绑定的QKMC分中心但不通过QKMC的情况下，直接由该QKMC分中心提供服务；[0071]B-3主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路同时通过主叫和被叫移动终端所绑定的QKMC分中心但不通过QKMC的情况下，QKMC优先指定与主叫移动终端所属的QKMC分中心提供该次服务；[0072]B-4主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路通过QKMC和主叫移动终端所绑定的QKMC分中心但不通过被叫移动终端所绑定的QKMC分中心的情况下，由主叫移动终端所绑定的QKMC分中心提供该次服务；[0073]B-5主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路通过QKMC和被叫移动终端所绑定的QKMC分中心但不通过主叫移动终端所绑定的QKMC分中心的情况下，由被叫移动终端所绑定的QKMC分中心提供该次服务；[0074]B-6主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路通过QKMC、主叫和被叫移动终端所绑定的QKMC分中心的情况下，由主叫移动终端所绑定的QKMC分中心提供该次服务。[0075]3策略C有效最短路径既不通过QKMC也不通过主叫和被叫移动终端所绑定的QKMC分中心）[0076]QKMC进行如下操作：[0077]a计算连接QKD_A、QKD_A所属的QKMC分中心和QKD_B2间的最短路径1;[0078]⑹计算连接QKD_A、QKD_B所属的QKMC分中心和QKD_B2间的最短路径2;[0079]c比较最短路径1和最短路径2,如果最短路径1最优，那么就指定QKD_A所属的QKMC分中心提供该次服务;否则，那么就指定QKD_B所属的QKMC分中心提供该次服务。[0080]根据以上策略，可以直接得到如下几个典型的应用扩展方法：[0081]1策略A-I的实施例例如图5中，假定U与QKD_C1绑定，V与QKD_C2绑定，QKMC直接提供该次服务）：QKD_C1采用与QKMC共享的量子密钥QK_C1加密QBKu_i，并发给QKMC;QKD_C2采用与QKMC共享的量子密钥QK_C2加密QBKv_j，并发给QKMC;QKMC分别解密并得到QBKu_i和QBKv_j，然后产生会话密钥R，并把是异或运算分别发给U和V，U和V分别解密得到R并采用R作为该次通信的会话密钥利用R加密明文P，协议流程如图6所示）。[0082]2策略A-2的实施例例如图5中，假定U与QKD_B1绑定，V与QKD_B2绑定，QKD_B1与QKD_B2之间的有效最短链路通过QKMC2，QKMC指定QKMC2提供该次服务，通信流程如图7所示）：QKD_B1采用与QKMC2共享的量子密钥QK_B1加密QBKu_i，并发给QKMC2;QKD_B2采用与QKMC2共享的量子密钥QK_B2加密QBKvJ，并发给QKMC2;QKMC2分别解密并得到QBKu_i*QBKvJ，然后产生会话密钥R，并把R㊉QBKu_i和R㊉QBKvJ分别发给U和V，U和V分别解密得至IJR并采用R作为该次通信的会话密钥。[0083]⑶策略B-I的实施例例如图5中，假定U与QKD_D2绑定，V与QKD_E1绑定，QKD_D2与QKD_E1之间的有效最短链路通过QKMC，QKMC提供该次服务，通信流程如图8所示）：QKD_D2通过QKD_D1把QBKu_i加密中继到QKMC;QKD_E1采用与QKMC共享的量子密钥QK_E1加密QBKv_j，并发给QKMC;QKMC分别解密并得到QBKu_i和QBKv_j，然后产生会话密钥R，并把分别发给U和V，U和V分别解密得到R并采用R作为该次通信的会话密钥。[0084]⑷策略B-2的实施例例如图5中，假定U与QKD_A4绑定，V与QKD_B2绑定，QKD_A4与QKD_B2之间的有效最短链路通过QKMC2，QKMC指定QKMC2提供该次服务，通信流程如图9所示）：QKD_A4通过QKD_B1把QBKu_i加密中继到QKMC2;QKD_B2采用与QKMC2共享的量子密钥QK_B2加密QBKv_j，并发给QKMC2;QKMC2分别解密并得到QBKu_i和QBKv_j，然后产生会话密钥R，并把分别发给U和V，U和V分别解密得到R并采用R作为该次通信的会话密钥。[0085]5策略（B-3的实施例（例如图5中，假定主叫U与QKD_A1绑定，V与QKD_B2绑定，QKMC指定QKMCl提供该次服务，如图10所示）：QKD_B2通过QKMC2、j加密中继到QKMCl;QKD_A1采用与QKMCl共享的量子密钥QK_A1加密QBKu_i发给QKMCl;QKMCl分别解密并得到QBKu_i*QBKv_j，然后产生会话密钥R，并把分别发给U和V，U和V分别解密得到R并采用R作为该次通信的会话密钥。[0086]6策略（B-4的实施例（例如图5中，假定主叫U与QKD_A1绑定，V与QKD_D1绑定，QKMC指定QKMCl提供该次服务，如图11所示）：QKD_D1通过QKMC把QBKvJ加密中继到QKMCl;QKD_A1采用与QKMC1共享的量子密钥QK_A1加密QBKu_i发给QKMCI;QKMC1分别解密并得到QBKu_i*QBKv_j，然后产生会话密钥R，并把分别发给U和V，U和V分别解密得到R并采用R作为该次通信的会话密钥。[0087]7策略（B-5的实施例（例如图5中，假定主叫U与QKD_D1绑定，V与QKD_A1绑定，QKMC指定QKMCl提供该次服务，如图12所示）：QKD_D1通过QKMC把QBKuJ加密中继到QKMCl;QKD_A1采用与QKMCl共享的量子密钥QK_A1加密QBKv_i发给QKMC1;QKMC1分别解密并得到QBKu_i*QBKv_j，然后产生会话密钥R，并把分别发给U和V，U和V分别解密得到R并采用R作为该次通信的会话密钥。[0088]8策略（B-6的实施例（例如图5中，假定主叫U与QKD_A1绑定，V与QKD_E3绑定，QKMC指定QKMCl提供该次服务，如图13所示）：QKD_E3通过QKMC4、QKD_E1和QKMC把QBKv_j加密中继到QKMCl;QKD_A1采用与QKMCl共享的量子密钥QK_A1加密QBKu_i发给QKMCl;QKMCl分别解密并得到QBKu_0PQBKv_j，然后产生会话密钥R，并把.分别发给U和V，U和V分别解密得到R并采用R作为该次通信的会话密钥。[0089]⑼策略⑹的实施例（例如图5中，假定U与QKD_A4绑定，V与QKD_B3绑定，通信流程如图14所示）：QKMC首先分别计算连接QKD_A4、QKMC1和QKD_B3之间的最短路径1此链路上共8个节点），QKD_A4、QKMC2和QKD_B3之间的最短路径2此链路上共5个节点），最短路径2最优，QKMC指定QKMC2提供该次服务。QKD_A4通过QKD_B1把QBKu_i加密中继到QKMC2;QKD_B3通过QKD_B2把QBKv_i加密中继到QKMC2;QKMC2分别解密并得到QBKu_0PQBKv_j，然后产生会话密钥R，并把分别发给U和V，U和V分别解密得到R并采用R作为该次通信的会话密钥。

权利要求：1.一种灵活的量子安全移动通信方法，其特征在于:包括如下步骤：步骤一、移动终端注册入网，QKD节点申请获取QBK并建立服务绑定关系列表；步骤二、移动终端向QKMC或QKMC分中心申请会话密钥，QKMC或QKMC分中心查找移动终端所绑定的QKD节点，并向QKD节点发送服务指令；步骤三、QKD节点分别采用与QKMC或QKMC分中心共享的量子密钥，加密所绑定移动终端的QBK子密钥，并把得到的加密数据发给QKMC或QKMC分中心；步骤四、QKMC或QKMC分中心解密得到QKD节点所绑定的移动终端的QBK的子密钥，并产生会话密钥R，然后分别利用各子密钥加密R后并发给对应的移动终端;各移动终端分别解密得到R，作为本次通信的会话密钥；步骤五、各QKD节点及其绑定的移动终端、QKMC或QKMC分中心分别删除使用过的密钥数据，并更新服务绑定关系列表，各QKD节点更新节点状态信息。2.根据权利要求1所述的一种灵活的量子安全移动通信方法，其特征在于:步骤一所述移动终端注册入网并与QKD节点建立服务绑定关系的过程包括：1移动终端就近向一个QKD节点申请入网，获得唯一的量子身份号、主密钥和身份认证密钥；⑵移动终端向QKD节点申请QBK;3QKD节点为移动终端注入QBK，并创建与移动终端之间的服务绑定关系列表:移动终端的量子身份号、具有绑定关系QKD节点的地址、量子基础密钥的余量；⑷然后QKD节点将收集到的移动终端的注册信息利用该QKD节点与QKMC或QKMC分中心之间的共享量子密钥加密后发给QKMC或QKMC分中心。3.根据权利要求1所述的一种灵活的量子安全移动通信方法，其特征在于:所述QBK为利用量子随机数发生器产生的随机数，所述随机数可被分割为多个子密钥。4.根据权利要求1所述的一种灵活的量子安全移动通信方法，其特征在于:所述QKMC或QKMC分中心由QKD节点、量子网络管理系统和量子密钥管理与服务系统构成，所述QKMC或QKMC分中心基于QKD节点当前状态及其在网络中的分布情况，根据量子网络管理策略面向全网统一提供量子网络管理、量子密钥管理和会话密钥分配;所述量子网络管理策略包括：a对于树形拓扑结构的多层级QKD网络，把其根节点作为QKMC，把关键子节点作为QKMC分中心；⑹对于不规则拓扑结构的QKD网络，把QKD网络的核心节点作为QKMC，把区域子网的核心节点作为QKMC分中心。5.根据权利要求1所述的一种灵活的量子安全移动通信方法，其特征在于:所述QKD节点的当前状态指标包括：1反映该节点当前负担的业务密钥生成任务的繁重状态的指标，该指标是一个量化的指标，包括：1-1该节点的额定业务密钥生成速率；1-2该节点当前正在为多少组保密通信业务生成业务密钥；1-3该节点当前总共还有多少业务密钥量待生成；1-4被指定由该节点生成的业务密钥中，各组业务密钥的实际生成速率与消耗速率；1-5被指定由该节点生成的业务密钥中，各组业务密钥的已生成数量与已消耗数量；⑵反映该节点在量子密钥分配网络中当前所处的位置状态的指标，该指标是一个量化的指标，包括：2-1该节点与其他多少个节点间拥有量子信道，能够产生共享密钥；2-2该节点与其他节点间的跳数；⑶以上7个状态指标中的一项或几项的任意组合。6.根据权利要求1所述的一种灵活的量子安全移动通信方法，其特征在于:在会话密钥协商过程中所涉及的量子密钥中继链路至少包含QKMC、主叫移动终端所绑定的QKMC分中心或被叫移动终端所绑定的QKMC分中心中的一个。7.根据权利要求6所述的一种灵活的量子安全移动通信方法，其特征在于:对于主叫和被叫移动终端所绑定的QKD节点都直接绑定QKMC的情况，直接由QKMC提供服务;对于主叫和被叫移动终端所绑定的QKD节点同属于一个QKMC分中心的情况，直接指定该QKMC分中心提供服务。8.根据权利要求6所述的一种灵活的量子安全移动通信方法，其特征在于:对于主叫和被叫移动终端所绑定的QKD节点不同时直接绑定QKMC，且不属于同一个QKMC分中心的情况：⑴若主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路通过QKMC但不通过主叫和被叫移动终端所绑定的QKMC分中心的情况下，则由QKMC提供该次服务；2若主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路只通过一个所绑定的QKMC分中心但不通过QKMC的情况下，则直接由该QKMC分中心提供服务；3若主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路同时通过主叫和被叫移动终端所绑定的QKMC分中心但不通过QKMC的情况下，则QKMC优先指定与主叫移动终端所属的QKMC分中心提供该次服务；4若主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路通过QKMC和主叫移动终端所绑定的QKMC分中心但不通过被叫移动终端所绑定的QKMC分中心的情况下，则由主叫移动终端所绑定的QKMC分中心提供该次服务；5若主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路通过QKMC和被叫移动终端所绑定的QKMC分中心但不通过主叫移动终端所绑定的QKMC分中心的情况下，则由被叫移动终端所绑定的QKMC分中心提供该次服务；⑹若主叫和被叫移动终端所绑定的QKD节点之间的有效最短链路通过QKMC、主叫和被叫移动终端所绑定的QKMC分中心的情况下，则由主叫移动终端所绑定的QKMC分中心提供该次服务。9.根据权利要求6所述的一种灵活的量子安全移动通信方法，其特征在于:对于主叫和被叫移动终端所绑定的QKD节点既不同时直接绑定QKMC，也不属于同一个QKMC分中心，且有效最短路径既不通过QKMC也不通过主叫和被叫移动终端所绑定的QKMC分中心时，其中：主叫移动终端所绑定的QKD节点为QKD_A，被叫移动终端所绑定的QKD节点为QKD_B，则QKMC进行如下操作：a计算连接QKD_A、QKD_A所属的QKMC分中心和QKD_B2间的最短路径1;⑹计算连接QKD_A、QKD_B所属的QKMC分中心和QKD_B2间的最短路径2;c比较最短路径1和最短路径2，如果最短路径1最优，那么就指定QKD_A所属的QKMC分中心提供该次服务;否则，那么就指定QKD_B所属的QKMC分中心提供该次服务。10.根据权利要求1所述的一种灵活的量子安全移动通信方法，其特征在于:所述服务指令的内容包括:主叫或被叫移动终端的量子身份号和与所述移动终端具有绑定关系的QKD节点的地址。

百度查询： 中国电子科技集团公司第三十研究所 一种灵活的量子安全移动通信方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD