本發(fā)明涉及量子密鑰分發(fā)，具體為基于量子隨機數(shù)的密鑰生成及分發(fā)系統(tǒng)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)和數(shù)字化技術(shù)的普及，信息安全問題日益突出，傳統(tǒng)的加密技術(shù)主要依賴于加密算法的復(fù)雜度和密鑰的保密性來保障信息安全，隨著量子計算技術(shù)的發(fā)展，傳統(tǒng)的加密算法和密鑰分發(fā)方式將面臨被破解的風(fēng)險，因此，需要采用更加安全、可靠的密鑰生成和分發(fā)方式，量子隨機數(shù)具有不可預(yù)測性、不可重復(fù)性和無偏性等特征，與傳統(tǒng)計算機生成的偽隨機數(shù)相比，量子隨機數(shù)在面對強大計算能力的新型攻擊算法時，仍能保持其不可預(yù)測性，從而大大提高了密鑰的安全性。

2、由于量子密鑰分發(fā)對竊聽行為的敏感反應(yīng)，使得其易受到拒絕服務(wù)攻擊，因此，如何監(jiān)測網(wǎng)絡(luò)流量并識別異常行為，以采取措施防止dos攻擊的發(fā)生，是我們要解決的問題，為此，現(xiàn)提出基于量子隨機數(shù)的密鑰生成及分發(fā)系統(tǒng)。

技術(shù)實現(xiàn)思路

1、為實現(xiàn)以上目的，本發(fā)明通過以下技術(shù)方案予以實現(xiàn)：基于量子隨機數(shù)的密鑰生成及分發(fā)系統(tǒng)，所述系統(tǒng)包括量子隨機數(shù)生成模塊、光源控制模塊、量子密鑰分發(fā)模塊、探測器模塊、數(shù)據(jù)處理模塊、通信控制模塊、網(wǎng)絡(luò)異常監(jiān)測模塊以及身份認(rèn)證模塊，其中，各模塊間電信號連接；

2、所述量子隨機數(shù)生成模塊，基于量子隨機數(shù)發(fā)生器和量子力學(xué)的內(nèi)在隨機性，生成不可預(yù)測的真隨機數(shù)，作為密鑰生成的基礎(chǔ)，提供高安全性的隨機數(shù)源，確保密鑰的不可預(yù)測性和安全性；

3、所述光源控制模塊，根據(jù)量子密鑰分發(fā)系統(tǒng)的需求，產(chǎn)生用于量子密鑰分發(fā)的光子信號，并控制光子信號在量子密鑰分發(fā)系統(tǒng)中的傳輸路徑，提供穩(wěn)定的光源，確保量子態(tài)的生成和傳輸質(zhì)量，確保光子信號能夠準(zhǔn)確地傳輸?shù)浇邮辗?，實現(xiàn)對光子的量子態(tài)制備和測量；

4、所述量子密鑰分發(fā)模塊，實現(xiàn)量子密鑰分發(fā)協(xié)議，通過量子態(tài)傳輸密鑰，確保密鑰在傳輸過程中的安全性，能夠檢測竊聽行為，提供信息論安全的密鑰；

5、所述探測器模塊，用于在接收方對傳輸?shù)墓庾有盘栠M行探測，將其轉(zhuǎn)化為電信號，實現(xiàn)量子態(tài)的測量，并輸出原始的探測結(jié)果，用于后續(xù)的密鑰協(xié)商和后處理；

6、所述數(shù)據(jù)處理模塊，用于對探測器模塊輸出的原始探測結(jié)果進行后處理，包括基矢比對、密鑰累積、錯誤糾正和隱私放大環(huán)節(jié)步驟，從原始探測結(jié)果中提取出安全密鑰序列，并對密鑰進行壓縮和提純，以確保其安全性；

7、所述通信控制模塊，實現(xiàn)發(fā)送方和接收方之間的經(jīng)典信道連接，傳輸控制信息和協(xié)商密鑰，確保發(fā)送方和接收方能夠?qū)崟r通信，協(xié)同完成密鑰的協(xié)商和后處理過程；

8、所述網(wǎng)絡(luò)異常監(jiān)測模塊，實時監(jiān)測網(wǎng)絡(luò)流量和系統(tǒng)狀態(tài)，識別異常行為和潛在的拒絕服務(wù)攻擊，并應(yīng)對拒絕服務(wù)攻擊的安全威脅，確保系統(tǒng)的穩(wěn)定運行和密鑰分發(fā)過程的安全性；

9、所述身份認(rèn)證模塊，使用認(rèn)證算法對量子密鑰分發(fā)過程中的網(wǎng)絡(luò)交互數(shù)據(jù)進行認(rèn)證，驗證通信雙方的身份，確保數(shù)據(jù)在傳輸過程中不被第三方篡改或竊取，提高系統(tǒng)的安全性。

10、優(yōu)選的，所述量子隨機數(shù)生成模塊中，真隨機數(shù)的生成過程包括：

11、在量子隨機數(shù)發(fā)生器中，準(zhǔn)備一個量子比特的超導(dǎo)量子系統(tǒng)，將其作為隨機數(shù)源，其中，在超導(dǎo)量子系統(tǒng)中，利用單光子的存活（存在）與死亡（不存在）兩種狀態(tài)作為量子比特的基礎(chǔ)，使用光子的極化狀態(tài)或路徑狀態(tài)來表示量子比特，單光子的存活與死亡態(tài)可映射到量子比特的和狀態(tài)上；

12、通過應(yīng)用hadamard門（h門）操作，利用量子力學(xué)疊加原理，將量子比特置于疊加態(tài)，使其同時處于和狀態(tài)，確保了生成的隨機數(shù)具有不可預(yù)測性；

13、對處于疊加態(tài)的量子比特進行測量，根據(jù)量子力學(xué)的坍縮假設(shè)，測量操作會使量子態(tài)坍縮，隨機地將量子比特的狀態(tài)確定為或，由于量子測量的結(jié)果是隨機的，因此每次測量都會產(chǎn)生一個新的隨機比特；

14、將每次測量的結(jié)果（或）以二進制形式記錄下來，形成隨機數(shù)序列，由于量子系統(tǒng)的性質(zhì)決定了測量結(jié)果是無法被預(yù)測的，因此生成的隨機數(shù)序列是真正的隨機性，并對生成的隨機數(shù)序列進行隨機性檢驗，包括頻率檢驗、序列檢驗，確保生成的隨機數(shù)在各個方面都表現(xiàn)出隨機性。

15、優(yōu)選的，所述光源控制模塊中，光子信號的產(chǎn)生過程包括：

16、光源控制模塊根據(jù)量子密鑰分發(fā)系統(tǒng)的需求，使用激光器作為光源產(chǎn)生光子信號，激光器發(fā)出的波長光信號為850nm，光子信號將作為量子態(tài)的載體；

17、啟動光源控制模塊，對光源進行預(yù)熱和穩(wěn)定化處理，并配置傳輸路徑和測量參數(shù)，使系統(tǒng)處于待機狀態(tài)，確保激光器等光源設(shè)備能夠穩(wěn)定運行，避免因溫度變化或設(shè)備初始狀態(tài)不穩(wěn)定導(dǎo)致的性能波動；

18、利用光源發(fā)出的光信號，通過調(diào)制器（電光調(diào)制器）對光子信號進行調(diào)制，生成所需的量子態(tài)，調(diào)制過程包括強度調(diào)制和相位調(diào)制，以確保光信號的量子態(tài)符合預(yù)期的特性，其中，強度調(diào)制用于控制光脈沖的能量，確保每個脈沖中光子的數(shù)量符合要求（單光子或少光子態(tài)），相位調(diào)制用于改變光脈沖的相位；

19、使用可調(diào)衰減器將調(diào)制后的光信號衰減至單光子水平，確保每個光脈沖中僅包含一個光子，符合量子密鑰分發(fā)的要求，并通過控制光學(xué)開關(guān)、光纖耦合器器件，控制光子信號在量子密鑰分發(fā)系統(tǒng)中的傳輸路徑，確保光子信號能夠準(zhǔn)確地傳輸?shù)浇邮辗?，避免信號的損失和干擾；

20、在光子信號傳輸路徑配置完成后，進行系統(tǒng)校準(zhǔn)和測試，確保光信號的質(zhì)量和穩(wěn)定性，包括對光信號的強度、相位和偏振進行微調(diào)，以滿足量子密鑰分發(fā)的具體要求，完成所有配置和校準(zhǔn)后，系統(tǒng)進入待機狀態(tài)，等待開始量子密鑰分發(fā)過程，在待機狀態(tài)下，系統(tǒng)保持光源和傳輸路徑的穩(wěn)定，隨時準(zhǔn)備開始密鑰分發(fā)。

21、優(yōu)選的，所述量子密鑰分發(fā)模塊中，量子態(tài)傳輸密鑰的過程包括：

22、選擇bb84協(xié)議的量子密鑰分發(fā)協(xié)議，設(shè)置量子信道和經(jīng)典信道的參數(shù)，包括波長、脈沖寬度、重復(fù)頻率，并配置發(fā)送方和接收方的設(shè)備參數(shù)，確保雙方能夠正常通信，其中，選擇850nm的波長以確保光信號在光纖中的傳輸效率，設(shè)置脈沖寬度以控制單個光子的發(fā)射時間，確定脈沖的重復(fù)頻率，即光源發(fā)射光子的頻率；

23、發(fā)送方使用光源產(chǎn)生不同偏振的光子，隨機選擇一組基矢，并在選擇的基矢下隨機制備一種偏振態(tài)的光子發(fā)送給接收方，通過量子信道將制備好的量子態(tài)傳輸給接收方，在傳輸過程中，確保量子態(tài)不受環(huán)境噪聲和干擾的影響；

24、接收方在接收到量子態(tài)后，隨機選擇一組基矢對量子態(tài)進行測量，記錄下測量結(jié)果以及使用的測量基矢，通過經(jīng)典信道，發(fā)送方和接收方交換各自在發(fā)送和測量時選擇的基矢信息，雙方對比基矢，若基矢相同，則保留該次測量的結(jié)果作為密鑰的一部分；若基矢不同，則舍棄該次測量的結(jié)果；

25、發(fā)送方和接收方根據(jù)一致的測量結(jié)果生成共享密鑰，通過剔除基矢選擇不一致的比特，雙方最終得到的比特序列即為共享密鑰。

26、優(yōu)選的，所述探測器模塊中，原始探測結(jié)果的輸出過程包括：

27、探測器模塊在啟動時進行初始化操作，包括設(shè)置工作參數(shù)（靈敏度、響應(yīng)時間）、校準(zhǔn)探測器，基于bb84量子密鑰分發(fā)協(xié)議，使探測器模塊配置兩組正交偏振方向的測量基，即為0°/90°和45°/-45°，兩組測量基用于區(qū)分接收到的光子信號的不同偏振狀態(tài)；

28、傳輸?shù)墓庾有盘柾ㄟ^量子信道到達接收方，由探測器模塊接收，使用單光子探測器對接收到的光子信號進行探測，利用光電效應(yīng)原理，將接收到的光子信號轉(zhuǎn)化為電信號，并對光子的偏振、波矢、位相特性進行探測；

29、探測器模塊將轉(zhuǎn)化后的電信號進行記錄，形成原始的探測結(jié)果，探測結(jié)果包括探測到的光子數(shù)量、時間戳、測量基信息，其中，原始探測結(jié)果將用于生成量子密鑰，根據(jù)bb84協(xié)議，發(fā)送方和接收方比較在相同測量基下探測到的光子結(jié)果，以生成共享密鑰。

30、優(yōu)選的，所述數(shù)據(jù)處理模塊中，安全密鑰序列的提取過程包括：

31、數(shù)據(jù)處理模塊接收來自探測器模塊的原始探測結(jié)果，進行基矢比對，并在基矢比對后，獲取密鑰的錯誤率和密鑰生成率、探測率數(shù)據(jù)，計算錯誤評價指數(shù)，預(yù)設(shè)評估閾值t，評估密鑰的錯誤率，判斷是否存在第三方竊聽者；

32、數(shù)據(jù)處理模塊將多個測量周期內(nèi)保留下來的密鑰位進行累積，直到達到預(yù)定的密鑰長度，形成初步的密鑰序列；

33、采用cascade算法的錯誤糾正算法對初步密鑰序列中的錯誤比特進行錯誤糾正，確保發(fā)送方和接收方的密鑰一致性，獲取更正密鑰序列；

34、錯誤糾正后，通過哈希函數(shù)對更正密鑰序列進行處理，對雙方進行隱私放大，消除可能泄露給竊聽者的信息，進而獲取最終生成的安全密鑰序列；

35、在獲取安全密鑰序列后，進行驗證并對安全密鑰序列的序號進行同步和管理，確保密鑰的一致性和安全性，將經(jīng)過驗證的安全密鑰序列下發(fā)至雙方的密鑰管理系統(tǒng)，以供后續(xù)的加密通信使用。

36、優(yōu)選的，所述錯誤評價指數(shù)的計算公式為：

37、；

38、其中，為錯誤評價指數(shù)，為密鑰的錯誤率，為密鑰生成率，即單位時間內(nèi)生成的密鑰比特數(shù)，為調(diào)節(jié)系數(shù)，用于調(diào)整公式的靈敏度，為預(yù)設(shè)的最大允許密鑰錯誤率，超過該值系統(tǒng)將判定為不安全，為預(yù)設(shè)的基準(zhǔn)密鑰生成率，用于評估當(dāng)前密鑰生成率是否在可接受的范圍內(nèi)，的取值范圍在0到1之間。

39、優(yōu)選的，所述網(wǎng)絡(luò)異常監(jiān)測模塊中，異常行為和潛在拒絕服務(wù)攻擊的識別過程包括：

40、使用服務(wù)器上安裝的網(wǎng)絡(luò)流量監(jiān)控工具（netflow?analyzer）監(jiān)測進出網(wǎng)絡(luò)的流量，包括入站和出站的數(shù)據(jù)包，監(jiān)控的指標(biāo)為流量大小、協(xié)議類型、源/目的地址，以全面了解網(wǎng)絡(luò)流量狀況，并收集系統(tǒng)日志和性能指標(biāo)，包括cpu使用率、內(nèi)存使用情況、磁盤i/o；

41、根據(jù)正常操作期間收集的歷史流量數(shù)據(jù)和系統(tǒng)狀態(tài)數(shù)據(jù)，建立網(wǎng)絡(luò)流量和系統(tǒng)性能的正常行為模式基線，其中，基線包括網(wǎng)絡(luò)流量大小、協(xié)議分布、源/目的地址的常規(guī)模式以及系統(tǒng)資源的常規(guī)使用情況，基線是網(wǎng)絡(luò)和系統(tǒng)正常行為的參考模型，用于與實時數(shù)據(jù)進行比較；

42、實時監(jiān)控當(dāng)前網(wǎng)絡(luò)流量和系統(tǒng)狀態(tài)，比較當(dāng)前網(wǎng)絡(luò)流量和系統(tǒng)狀態(tài)與基線數(shù)據(jù)，計算異常識別指數(shù)，分析異常識別指數(shù)的趨勢，識別出偏離正常模式的行為，異常識別指數(shù)越高，表明網(wǎng)絡(luò)流量或系統(tǒng)狀態(tài)與正常模式差異越大，存在異常行為；

43、設(shè)定異常閾值k，當(dāng)異常識別指數(shù)超過異常閾值時，觸發(fā)簽名匹配方法進行異常行為識別，對檢測到的異常進行分析，與簽名庫中已知的拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊模式進行對比，以確定是否是潛在的攻擊跡象（如拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊）；

44、根據(jù)簽名匹配結(jié)果，識別出潛在的拒絕服務(wù)攻擊或分布式拒絕服務(wù)攻擊，分析攻擊類型、攻擊源、攻擊時間的攻擊特征，并啟動安全響應(yīng)措施，并實時報警，向網(wǎng)絡(luò)管理員發(fā)送報警信息，報警信息包括攻擊類型、攻擊源、攻擊時間關(guān)鍵信息，以便管理員快速響應(yīng)。

45、優(yōu)選的，所述異常識別指數(shù)的計算公式為：

46、；

47、其中，為異常識別指數(shù)，為當(dāng)前cpu使用率的即時值，為基線期間cpu使用率的平均值，表示正常操作的參考值，為基線期間cpu使用率的標(biāo)準(zhǔn)差，衡量正常波動的程度，為當(dāng)前網(wǎng)絡(luò)流量使用情況的即時值，為基線期間網(wǎng)絡(luò)流量的最大值，表示正常情況下的最大流量，為當(dāng)前網(wǎng)絡(luò)流量率，為基線期間的最小流量率，為基線期間的最大流量率，的取值范圍在0到1之間，當(dāng)，則表示存在異常。

48、優(yōu)選的，所述身份認(rèn)證模塊的具體流程為包括發(fā)送方選擇基矢和制備身份認(rèn)證比特串、接收方測量身份認(rèn)證信息、發(fā)送加密的預(yù)置共享密鑰、發(fā)送方解密并驗證預(yù)置共享密鑰以及異常處理；

49、其中，發(fā)送方根據(jù)基矢選擇規(guī)則，并選擇用于身份認(rèn)證的比特串的制備基，通過采用不同的波長發(fā)送身份認(rèn)證比特串和密鑰比特串的量子態(tài)，確保在接收方被區(qū)分開；

50、接收方對接收到的量子態(tài)進行測量，得到身份認(rèn)證信息，將測量得到的身份認(rèn)證信息與基矢選擇規(guī)則進行比較，以驗證發(fā)送方的身份；

51、若接收方驗證通過，即測量得到的身份認(rèn)證信息與基矢選擇規(guī)則相符，則接收方發(fā)送一個加密的預(yù)置共享密鑰至發(fā)送方，該預(yù)置共享密鑰為雙方事先約定，用于后續(xù)的密鑰分發(fā)過程；

52、發(fā)送方收到加密的預(yù)置共享密鑰后，使用自身的解密密鑰進行解密，并將解密后的預(yù)置共享密鑰與本地的預(yù)置共享密鑰進行比較，以驗證接收方的身份，若解密后的密鑰與本地的密鑰一致，則驗證通過，雙方繼續(xù)進行后續(xù)的密鑰分發(fā)過程；若不一致，則身份認(rèn)證失敗，中斷通信，結(jié)束量子密鑰分發(fā)過程，防止?jié)撛诘陌踩L(fēng)險；

53、身份認(rèn)證過程中，若發(fā)送方或接收方發(fā)現(xiàn)任何異常或錯誤，如身份認(rèn)證失敗、數(shù)據(jù)篡改等，立即終止量子密鑰分發(fā)過程，并采取相應(yīng)的安全措施。

54、本發(fā)明提供了基于量子隨機數(shù)的密鑰生成及分發(fā)系統(tǒng)。具備以下有益效果：

55、一、該基于量子隨機數(shù)的密鑰生成及分發(fā)系統(tǒng)，通過量子隨機數(shù)生成器利用量子力學(xué)中的隨機性原理，產(chǎn)生真正不可預(yù)測的隨機數(shù)序列，以隨機數(shù)序列作為密鑰的基礎(chǔ)，從根本上提高了密鑰的不可預(yù)測性和安全性，與傳統(tǒng)基于偽隨機數(shù)的密鑰生成方法相比，量子隨機數(shù)具有更高的隨機性和更低的可預(yù)測風(fēng)險，能夠有效抵御各種密碼分析攻擊，確保密鑰的不可破解性，為信息通信提供堅不可摧的安全保障。

56、二、該基于量子隨機數(shù)的密鑰生成及分發(fā)系統(tǒng)，結(jié)合異常識別指數(shù)，監(jiān)測網(wǎng)絡(luò)流量和系統(tǒng)狀態(tài)，及時發(fā)現(xiàn)異常行為和潛在的拒絕服務(wù)攻擊，通過計算異常識別指數(shù)并分析其趨勢，識別出偏離正常模式的行為，進而判斷是否存在第三方竊聽者，實時監(jiān)控和響應(yīng)能力使得系統(tǒng)能夠在攻擊發(fā)生初期就采取措施，如阻斷可疑的ip地址、限制異常流量等，從而有效抵御網(wǎng)絡(luò)攻擊，保護通信安全，通過這種機制，不僅能夠提供密鑰的安全分發(fā)，還能確保整個通信過程的穩(wěn)定性和可靠性。