專利名稱:密碼密鑰分配系統(tǒng)的制作方法
技術領域:
本發(fā)明大體上涉及密碼密鑰分配系統(tǒng)�����,具體地����,涉及基于量子密鑰分配的密碼密鑰分配系統(tǒng)��。
背景技術:
正如已知的�����,量子密鑰分配(QKD)是基于量子力學原理的技術�,其使得通過量子信道而彼此連接的兩個通信裝置能夠產(chǎn)生隨機密碼密鑰(稱作量子密鑰)�,該密鑰可以由所述通信裝置或所述通信裝置的用戶使用,從而通過公共信道甚至通過竊聽信道(例如���,經(jīng)由互聯(lián)網(wǎng)的連接)以安全方式來彼此通信��。通常��,量子信道包括量子鏈路(例如����,經(jīng)由光纖或自由空間中的鏈路),以及常規(guī)或 者甚至是非量子的鏈路(諸如����,經(jīng)由互聯(lián)網(wǎng)的連接)。QKD提供了在量子信道(尤其是通過量子信道的量子鏈路)上傳輸?shù)囊幌盗辛孔訝顟B(tài)(通常為光子形式)���,從而產(chǎn)生對于這兩個通信裝置公共的量子密鑰�。具體地��,QKD提供了兩個通信裝置執(zhí)行以下操作·它們測量通過量子信道的量子鏈路傳輸?shù)墓庾拥木唧w特性��,例如��,偏振面�����;·它們通過量子信道的常規(guī)鏈路來交換有關所執(zhí)行的測量值的信息;以及·它們基于所執(zhí)行的測量值以及通過量子信道的常規(guī)鏈路交換的信息來產(chǎn)生一個且相同的量子密鑰���。正如已知的���,傳統(tǒng)的密碼密鑰分配協(xié)議不允許檢測所分配的密碼密鑰是否已被竊聽。具體地�����,傳統(tǒng)的密碼密鑰分配協(xié)議不允許發(fā)現(xiàn)基于密碼密鑰開始加密通信之前所分配的密碼密鑰是否已被(例如��,由“中間人”攻擊)竊聽��。與之相比���,QKD能夠檢測是否有人企圖濫用地竊聽量子密鑰。具體地����,QKD不僅能夠檢測量子密鑰產(chǎn)生期間是否有人濫用地竊聽任何交換的信息和/或通過量子信道傳輸?shù)娜魏喂庾樱疫€能夠避免被竊聽的信息被用于跟蹤量子密鑰�����。BB84 協(xié)議是已知的 QKD 算法,其由 C. H. Bennett 和 G. Brassard 在 “Quantumcryptography:Public key distribution and coin tossing���,�,��,Proc. ofthe IEEEInt. Conf. on Computers, Systems&Signal Processing,Bangalore, India, December10-12�����,1984���,pp. 175-179 中首次描述����。具體地��,BB84協(xié)議使得通過量子信道(其包括量子鏈路和常規(guī)鏈路�����,即��,非量子鏈路)而彼此連接的兩個通信裝置能夠產(chǎn)生安全的二進制量子密鑰��。這兩種鏈路都不需要安全連接;實際上�,BB84協(xié)議也被設計為將由未授權的第三方對于這兩種鏈路的任何形式的可能的干擾考慮在內(nèi)。接下來�����,為了便于描述�,將這兩個通信裝置稱作裝置A和裝置B。具體地����,根據(jù)BB84協(xié)議,裝置A通過量子信道(具體地����,通過量子信道的量子鏈路)將一系列量子狀態(tài)以被適當?shù)貥O化的光子的形式傳輸至裝置B,以編碼二進制信息���。所傳輸?shù)墓庾拥臉O化可以根據(jù)兩個不同的基來定義���,例如�,第一基+包括正交極化0°和90°,第二基礎X包括正交極化45°和135°����。詳細地����,根據(jù)BB84協(xié)議����,裝置A執(zhí)行以下操作·產(chǎn)生隨機比特序列;以及���, 針對每個產(chǎn)生的比特��,一隨機地選擇相應的基�����,一通過量子信道(具體地�,通過量子信道的量子鏈路)傳輸根據(jù)相應的選定的基而極化的相應光子�,從而編碼所述比特,以及—存儲所述比特�����、相應的選定的基以及相應的光子傳輸時的時間瞬時�。下表中提供了通過量子信道傳輸?shù)墓庾尤绾伪粯O化從而以兩個基+和X編碼O或I的示例��。表
權利要求
1.一種密碼密鑰分配系統(tǒng)�����,包括 服務器節(jié)點(S); 至少第一客戶端節(jié)點(Cl)����,通過第一量子信道連接至所述服務器節(jié)點(S)����; 中繼器網(wǎng)絡,通過第二量子信道連接至所述服務器節(jié)點(S);以及 至少第二客戶端節(jié)點(C2)��,通過第三量子信道連接至所述中繼器網(wǎng)絡���; 其中���,所述服務器節(jié)點(S)和所述第一客戶端節(jié)點(Cl)被配置為通過在所述第一量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生與第一系統(tǒng)用戶相關聯(lián)的第一鏈路量子密鑰; 其中�,所述第一客戶端節(jié)點(Cl)被配置為將所述第一鏈路量子密鑰提供給所述第一用戶; 其中��,所述中繼器網(wǎng)絡和所述第二客戶端節(jié)點(C2)被配置為通過在所述第三量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生與第二系統(tǒng)用戶相關聯(lián)的傳輸量子密鑰�����; 其中�,所述第二客戶端節(jié)點(C2)被配置為將所述傳輸量子密鑰提供給所述第二用戶;其中�����,所述服務器節(jié)點(S)和所述中繼器網(wǎng)絡被配置為通過在所述第二量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生與所述第二用戶相關聯(lián)的第二鏈路密鑰����; 其中,所述中繼器網(wǎng)絡被進一步配置為 基于所述傳輸量子密鑰對所述第二鏈路量子密鑰進行加密�����;以及 通過一個或多個公共通信信道將加密的第二鏈路量子密鑰發(fā)送至所述第二用戶�; 其中,所述服務器節(jié)點(S)被進一步配置為 基于所述第一鏈路量子密鑰和與所述第一用戶相關聯(lián)的第一服務認證密鑰���,對與所述第一系統(tǒng)用戶和所述第二系統(tǒng)用戶相關聯(lián)的通信密碼密鑰進行加密�����; 通過一個或多個公共通信信道將基于所述第一鏈路量子密鑰和所述第一服務認證密鑰加密的所述通信密碼密鑰發(fā)送至所述第一用戶����; 基于所述第二鏈路量子密鑰和與所述第二用戶相關聯(lián)的第二服務認證密鑰,對與所述第一系統(tǒng)用戶和所述第二系統(tǒng)用戶相關聯(lián)的所述通信密碼密鑰進行加密����;以及 通過一個或多個公共通信信道將基于所述第二鏈路量子密鑰和所述第二服務認證密鑰加密的所述通信密碼密鑰發(fā)送至所述第二用戶。
2.根據(jù)權利要求I所述的系統(tǒng)����,其中,所述服務器節(jié)點(S)被進一步配置為 將與所述第一用戶相關聯(lián)的當前第一服務認證密鑰和與所述第二用戶相關聯(lián)的當前第二服務認證密鑰存儲��; 基于所述第一鏈路量子密鑰和所述當前第一服務認證密鑰����,對與所述第一用戶和所述第二用戶相關聯(lián)的所述通信密碼密鑰以及與所述第一用戶相關聯(lián)的新的第一服務認證密鑰進行加密; 通過一個或多個公共通信信道將基于所述第一鏈路量子密鑰和所述當前第一服務認證密鑰加密的所述通信密碼密鑰和所述新的第一服務認證密鑰發(fā)送至所述第一用戶��; 基于所述第二鏈路量子密鑰和所述當前第二服務認證密鑰��,對與所述第一用戶和所述第二用戶相關聯(lián)的所述通信密碼密鑰和與所述第二用戶相關聯(lián)的新的第二服務認證密鑰進行加密���; 通過一個或多個公共通信信道���,將基于所述第二鏈路量子密鑰和所述當前第二服務認證密鑰加密的所述通信密碼密鑰和所述新的第二服務認證密鑰發(fā)送至所述第二用戶�����;以及 用所述新的第一服務認證密鑰更新存儲在存儲器中的所述當前第一服務認證密鑰,并且用所述新的第二服務認證密鑰更新存儲在存儲器中的所述當前第二服務認證密鑰����。
3.根據(jù)權利要求2所述的系統(tǒng),其中�,所述服務器節(jié)點(S)被配置為 通過基于所述第一鏈路量子密鑰對所述通信密碼密鑰和所述新的第一服務認證密鑰進行一次性密碼本(OTP)加密,來對所述通信密碼密鑰和所述新的第一服務認證密鑰進行加密���,以獲得第一加密消息��;基于所述當前第一服務認證密鑰對所述第一加密消息進行加密�,以獲得第二加密消息�����; 通過一個或多個公共通信信道將所述第二加密消息發(fā)送至所述第一用戶�; 通過基于所述第二鏈路量子密鑰對所述通信密碼密鑰和所述新的第二服務認證密鑰進行一次性密碼本(OTP)加密,來對所述通信密碼密鑰和所述新的第二服務認證密鑰進行加密����,以獲得第三加密消息���; 基于所述當前第二服務認證密鑰對所述第三加密消息進行加密,以獲得第四加密消息��,以及 通過一個或多個通信信道將所述第四加密消息發(fā)送至所述第二用戶��。
4.根據(jù)權利要求I所述的系統(tǒng)�,其中,所述中繼器網(wǎng)絡包括中繼器節(jié)點(R)����,所述中繼器節(jié)點通過所述第二量子信道連接至所述服務器節(jié)點(S)并且通過所述第三量子信道連接至所述第二客戶端節(jié)點(C2); 其中,所述中繼器節(jié)點(R)和所述第二客戶端節(jié)點(C2)被配置為通過在所述第三量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生與所述第二用戶相關聯(lián)的所述傳輸量子密鑰���; 其中���,所述中繼器節(jié)點(R)和所述服務器節(jié)點(S)被配置為通過在所述第二量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生與所述第二用戶相關聯(lián)的所述第二鏈路量子密鑰; 并且其中�����,所述中繼器節(jié)點(R)被進一步配置為 基于所述傳輸量子密鑰對所述第二鏈路量子密鑰進行加密����;以及 通過一個或多個公共通信信道將加密的第二鏈路量子密鑰發(fā)送至所述第二用戶�����。
5.根據(jù)權利要求I所述的系統(tǒng)���,其中,所述中繼器網(wǎng)絡包括 第一中繼器節(jié)點��,通過所述第二量子信道連接至所述服務器節(jié)點(S);以及 第二中繼器節(jié)點���,通過所述第三量子信道連接至所述第二客戶端節(jié)點(C2)并且通過第四量子信道連接至所述第一中繼器節(jié)點; 其中����,所述第一中繼器節(jié)點和所述服務器節(jié)點(S)被配置為通過在所述第二量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生與所述第二用戶相關聯(lián)的所述第二鏈路量子密鑰; 其中����,所述第二中繼器節(jié)點和所述第二客戶端節(jié)點(C2)被配置為通過在所述第三量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生與所述第二用戶相關聯(lián)的所述傳輸量子密鑰; 其中����,所述第一中繼器節(jié)點和所述第二中繼器節(jié)點被配置為通過在所述第四量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生另外的傳輸量子密鑰��; 其中�,所述第一中繼器節(jié)點被進一步配置為 基于利用所述第二中繼器節(jié)點協(xié)作產(chǎn)生的所述另外的傳輸量子密鑰�����,對所述第二鏈路量子密鑰進行加密����;以及 通過一個或多個公共通信信道,將基于利用所述第二中繼器節(jié)點協(xié)作產(chǎn)生的所述另外的傳輸量子密鑰加密的所述第二鏈路量子密鑰發(fā)送至所述第二中繼器節(jié)點����; 并且,其中所述第二中繼器節(jié)點被進一步配置為 基于利用所述第一中繼器節(jié)點協(xié)作產(chǎn)生的所述另外的傳輸量子密鑰����,對從所述第一中繼器節(jié)點接收到的加密第二鏈路量子密鑰進行解密; 基于與所述第二用戶相關聯(lián)的所述傳輸量子密鑰對所述第二鏈路量子密鑰進行加密����;以及 通過一個或多個公共通信信道,將基于與所述第二用戶相關聯(lián)的所述傳輸量子密鑰加密的所述第二鏈路量子密鑰發(fā)送至所述第二用戶�����。
6.根據(jù)權利要求I所述的系統(tǒng),其中���,所述中繼器網(wǎng)絡包括 第一中繼器節(jié)點�����,通過所述第二量子信道連接至所述服務器節(jié)點(S);以及 第二中繼器節(jié)點�����,通過所述第三量子信道連接至所述第二客戶端節(jié)點(C2)��; 中間中繼器節(jié)點,通過第四量子信道連接至所述第一中繼器節(jié)點并且通過第五量子信道連接至所述第二中繼器節(jié)點��; 其中�,所述第一中繼器節(jié)點和所述服務器節(jié)點(S)被進一步配置為通過在所述第二量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生與所述第二用戶相關聯(lián)的所述第二鏈路量子密鑰; 其中��,所述第二中繼器節(jié)點和所述第二客戶端節(jié)點(C2)被配置為通過在所述第三量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生與所述第二用戶相關聯(lián)的所述傳輸量子密鑰����; 其中,所述第一中繼器節(jié)點和所述中間中繼器節(jié)點被配置為通過在所述第四量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生第一另外的傳輸量子密鑰��; 其中,所述中間中繼器節(jié)點和所述第二中繼器節(jié)點被配置為通過在所述第五量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生第二另外的傳輸量子密鑰���; 其中����,所述第一中繼器節(jié)點被進一步配置為 基于利用所述中間中繼器節(jié)點協(xié)作產(chǎn)生的所述第一另外的傳輸量子密鑰���,對所述第二鏈路量子密鑰進行加密�;以及 通過一個或多個公共通信信道���,將基于利用所述中間中繼器節(jié)點協(xié)作產(chǎn)生的所述第一另外的傳輸量子密鑰加密的所述第二鏈路量子密鑰發(fā)送至所述中間中繼器節(jié)點��; 其中�,所述中間中繼器節(jié)點被進一步配置為 基于利用所述第一中繼器節(jié)點協(xié)作產(chǎn)生的所述第一另外的傳輸量子密鑰���,將從所述第一中繼器節(jié)點接收到的加密第二鏈路量子密鑰解密���; 基于利用所述第二中繼器節(jié)點協(xié)作產(chǎn)生的所述第二另外的傳輸量子密鑰,對所述第二鏈路量子密鑰進行加密����;以及 通過一個或多個公共通信信道�,將基于利用所述第二中繼器節(jié)點協(xié)作產(chǎn)生的所述第二另外的傳輸量子密鑰加密的所述第二鏈路量子密鑰發(fā)送至所述第二中繼器節(jié)點����; 并且其中,所述第二中繼器節(jié)點被進一步配置為 基于利用所述中間中繼器節(jié)點協(xié)作產(chǎn)生的所述第二另外的傳輸量子密鑰�,將從所述中間中繼器節(jié)點接收到的加密第二鏈路量子密鑰解密; 基于與所述第二用戶相關聯(lián)的所述傳輸量子密鑰��,對所述第二鏈路量子密鑰進行加密�����;以及 通過一個或多個公共通信信道�,將基于與所述第二用戶相關聯(lián)的所述傳輸量子密鑰加密的所述第二鏈路量子密鑰發(fā)送至所述第二用戶。
7.根據(jù)權利要求I所述的系統(tǒng)�,其中,所述服務器節(jié)點(S)被配置為通過操作為量子隨機數(shù)產(chǎn)生器(QRNG)產(chǎn)生所述通信密碼密鑰�。
8.根據(jù)權利要求I所述的系統(tǒng)�,其中,所述服務器節(jié)點(S)被配置為從與所述服務器節(jié)點(S)分離的密鑰產(chǎn)生器接收所述通信密碼密鑰����。
9.一種密碼密鑰分配系統(tǒng),包括服務器節(jié)點(S)以及一個或多個客戶端節(jié)點(Cl, C2, C3, C4)�����; 其中,各個客戶端節(jié)點(Cl��,C2, C3, C4)通過各自的量子信道連接至所述服務器節(jié)點(S)�; 其中,所述服務器節(jié)點(S)和各個客戶端節(jié)點(Cl���,C2, C3, C4)被配置為通過在各自的量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生與系統(tǒng)用戶相關聯(lián)的鏈路量子密鑰�; 其中���,各個客戶端節(jié)點(Cl�,C2, C3, C4)被配置為將利用所述服務器節(jié)點(S)協(xié)作產(chǎn)生的與特定系統(tǒng)用戶相關聯(lián)的鏈路量子密鑰提供給所述特定系統(tǒng)用戶��; 并且����,其中所述服務器節(jié)點(S)被進一步配置為 基于與所述第一用戶相關聯(lián)的第一鏈路量子密鑰,對與第一系統(tǒng)用戶和第二系統(tǒng)用戶相關聯(lián)的通信密碼密鑰進行加密�; 通過一個或多個公共通信信道,將基于所述第一鏈路量子密鑰加密的所述通信密碼密鑰發(fā)送至所述第一用戶���; 基于與所述第二用戶相關聯(lián)的第二鏈路量子密鑰�,將與所述第一系統(tǒng)用戶和所述第二系統(tǒng)用戶相關聯(lián)的所述通信密碼密鑰進行加密;以及 通過一個或多個公共通信信道�����,將基于所述第二鏈路量子密鑰加密的所述通信密碼密鑰發(fā)送至所述第二用戶��。
10.根據(jù)權利要求9所述的系統(tǒng)�����,其中�,所述服務器節(jié)點(S)被配置為 通過基于所述第一鏈路量子密鑰對所述通信密碼密鑰執(zhí)行一次性密碼本(OTP)加密,基于所述第一鏈路量子密鑰對與所述第一系統(tǒng)用戶和所述第二系統(tǒng)用戶相關聯(lián)的所述通信密碼密鑰進行加密����;以及 通過基于所述第二鏈路量子密鑰對所述通信密碼密鑰執(zhí)行一次性密碼本(OTP)加密,基于所述第二鏈路量子密鑰對與所述第一系統(tǒng)用戶和所述第二系統(tǒng)用戶相關聯(lián)的所述通信密碼密鑰進行加密����。
11.根據(jù)權利要求9所述的系統(tǒng),其中�����,所述服務器節(jié)點(S)被配置為 基于所述第一鏈路量子密鑰和與所述第一用戶相關聯(lián)的第一服務認證密鑰��,對與所述第一用戶系統(tǒng)和所述第二用戶系統(tǒng)相關聯(lián)的所述通信密碼密鑰進行加密�����; 通過一個或多個公共通信信道�,將基于所述第一鏈路量子密鑰和所述第一服務認證密鑰加密的所述通信密碼密鑰發(fā)送至所述第一用戶; 基于所述第二鏈路量子密鑰和與所述第二用戶相關聯(lián)的第二服務認證密鑰����,對與所述第一系統(tǒng)用戶和所述第二系統(tǒng)用戶相關聯(lián)的所述通信密碼密鑰進行加密;以及 通過一個或多個公共通信信道�����,將基于所述第二鏈路量子密鑰和所述第二服務認證密鑰加密的所述通信密碼密鑰發(fā)送至所述第二用戶�����。
12.根據(jù)權利要求11所述的系統(tǒng)���,其中�,所述服務器節(jié)點(S)被配置為 將與所述第一用戶相關聯(lián)的當前第一服務認證密鑰和與所述第二用戶相關聯(lián)的當前第二服務認證密鑰存儲���; 基于所述第一鏈路量子密鑰和所述當前第一服務認證密鑰��,對與所述第一用戶和所述第二用戶相關聯(lián)的所述通信密碼密鑰和與所述第一用戶相關聯(lián)的新的第一服務認證密鑰進行加密�; 通過一個或多個公共通信信道,將基于所述第一鏈路量子密鑰和所述當前第一服務認證密鑰加密的所述通信密碼密鑰和所述新第一服務認證密鑰發(fā)送至所述第一用戶�; 基于所述第二鏈路量子密鑰和所述當前第二服務認證密鑰,對與所述第一用戶和所述第二用戶相關聯(lián)的所述通信密碼密鑰和與所述第二用戶相關聯(lián)的新的第二服務認證密鑰進行加密�����; 通過一個或多個公共通信信道����,將基于所述第二鏈路量子密鑰和所述當前第二服務認證密鑰加密的所述通信密碼密鑰和所述新的第二服務認證密鑰發(fā)送至所述第二用戶;以及 用所述新的第一服務認證密鑰將存儲在存儲器中的所述當前第一服務認證密鑰更新�����,并且用所述新的第二服務認證密鑰將存儲在存儲器中的所述當前第二服務認證密鑰更新�。
13.根據(jù)權利要求12所述的系統(tǒng),其中����,所述服務器節(jié)點(S)被配置為 通過基于所述第一鏈路量子密鑰對所述通信密碼密鑰和所述新的第一服務認證密鑰執(zhí)行一次性密碼本(OTP)加密,對所述通信密碼密鑰和所述新的第一服務認證密鑰進行加密�,以獲得第一加密消息�; 基于所述當前第一服務認證密鑰對所述第一加密消息進行加密�����,以獲得第二加密消息���; 通過一個或多個公共通信信道將所述第二加密消息發(fā)送至所述第一用戶; 通過基于所述第二鏈路量子密鑰對所述通信密碼密鑰和所述新的第二服務認證密鑰執(zhí)行一次性密碼本(OTP)加密����,對所述通信密碼密鑰和所述新的第二服務認證密鑰進行加密,以獲得第三加密消息�; 基于所述當前第二服務認證密鑰對所述第三加密消息進行加密,以獲得第四加密消息�; 通過一個或多個公共通信信道將所述第四加密消息發(fā)送至所述第二用戶。
14.根據(jù)權利要求9所述的系統(tǒng)�����,其中����,所述服務器節(jié)點(S)被配置為通過操作為量子隨機數(shù)產(chǎn)生器(QRNG)來產(chǎn)生所述通信密碼密鑰。
15.根據(jù)權利要求9所述的系統(tǒng)����,其中����,所述服務器節(jié)點(S)被配置為從與所述服務器節(jié)點(S)分離的密鑰產(chǎn)生器接收所述通信密碼密鑰����。
全文摘要
本發(fā)明涉及一種密碼密鑰分配系統(tǒng),包括服務器節(jié)點(S)�����;至少第一客戶端節(jié)點(C1)���,通過第一量子信道連接至服務器節(jié)點(S)���;中繼器網(wǎng)絡,通過第二量子信道連接至服務器節(jié)點(S)���;以及至少第二客戶端節(jié)點(C2)���,通過第三量子信道連接至中繼器網(wǎng)絡。服務器節(jié)點(S)和第一客戶端節(jié)點(C 1)被配置為通過在第一量子信道上實施量子密鑰分配而協(xié)作產(chǎn)生與第一系統(tǒng)用戶相關聯(lián)的第一鏈路量子密鑰����。第一客戶端節(jié)點(C1)被配置為將第一鏈路量子密鑰提供給第一用戶�。
文檔編號H04L29/06GK102916806SQ20121027805
公開日2013年2月6日 申請日期2012年8月6日 優(yōu)先權日2011年8月5日
發(fā)明者法比奧·安東尼奧·博維諾 申請人:塞萊斯系統(tǒng)集成公司