本發(fā)明涉及安全通信技術(shù)領(lǐng)域,特別涉及一種基于多終端通信的密鑰服務(wù)架構(gòu)及分配方法。
背景技術(shù):
隨著互聯(lián)網(wǎng)的大范圍普及,人類之間的信息傳遞達(dá)到了前所未有的數(shù)量和頻率,各種隱私信息越來(lái)越多地暴露在互聯(lián)網(wǎng)上,因此,人類對(duì)保密通信的需求也到了前所未有的高度?,F(xiàn)在的互聯(lián)網(wǎng)信息安全的加密方式稱為“公開(kāi)密鑰”密碼體系,其原理是通過(guò)加密算法,生成網(wǎng)絡(luò)上傳播的公開(kāi)密鑰,以及留在計(jì)算機(jī)內(nèi)部的私人密鑰,兩個(gè)密鑰必須配合使用才能實(shí)現(xiàn)完整的加密和解密過(guò)程。
現(xiàn)代互聯(lián)網(wǎng)使用的加密標(biāo)準(zhǔn)是20世紀(jì)70年代誕生的rsa算法,即利用大數(shù)的質(zhì)因子分解難以計(jì)算來(lái)保證密鑰的安全性。
傳輸密鑰分配是1984年物理學(xué)家bennett和密碼學(xué)家brassard提出了基于量子力學(xué)測(cè)量原理的bb84協(xié)議,傳輸密鑰分配可以從根本上保證了密鑰的安全性。
目前,在量子加密技術(shù)領(lǐng)域,基于qkd的網(wǎng)絡(luò)密鑰生成速率較低,很難實(shí)現(xiàn)一包一密的要求;另外,從qkd網(wǎng)絡(luò)中獲取的密鑰只能在相鄰的兩個(gè)節(jié)點(diǎn)之間共享,無(wú)法大規(guī)模應(yīng)用于多方通信的場(chǎng)合,給量子加密通訊的發(fā)展造成了很大的限制。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明目的在于提供一種基于多終端通信的密鑰分配系統(tǒng)與方法,以解決現(xiàn)有技術(shù)中基于qkd的網(wǎng)絡(luò)密鑰生成速率較低,很難實(shí)現(xiàn)一包一密的要求;另外,從qkd網(wǎng)絡(luò)中獲取的密鑰只能在相鄰的兩個(gè)節(jié)點(diǎn)之間共享,無(wú)法大規(guī)模應(yīng)用于多方通信的場(chǎng)合,給量子加密通訊的發(fā)展造成了很大的限制的技術(shù)性缺陷。
本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
一種基于多終端通信的密鑰服務(wù)架構(gòu),包括:密鑰服務(wù)系統(tǒng),所述密鑰服務(wù)系統(tǒng)設(shè)置有可與客戶端生成共享傳輸密鑰的中心傳輸密鑰分配器、可生成會(huì)話密鑰的會(huì)話密鑰分配器以及所述密鑰服務(wù)系統(tǒng)為各個(gè)客戶端均分配的個(gè)人密鑰存儲(chǔ)空間,所述各個(gè)客戶端均能訪問(wèn)各自對(duì)應(yīng)的個(gè)人密鑰存儲(chǔ)空間,不能訪問(wèn)其他客戶端的個(gè)人密鑰存儲(chǔ)空間;
客戶端,所述客戶端分別設(shè)置有客戶端傳輸密鑰分配器,所述客戶端傳輸密鑰分配器可與中心傳輸密鑰分配器生成共享的傳輸密鑰;
所述密鑰服務(wù)系統(tǒng)通過(guò)經(jīng)典信道與客戶端連接,所述經(jīng)典信道用于會(huì)話密鑰傳輸分配,所述中心傳輸密鑰分配器通過(guò)信道與客戶端傳輸密鑰分配器連接,所述密鑰服務(wù)系統(tǒng)還設(shè)置有客戶端在線管理服務(wù)器,所述客戶端在線管理服務(wù)器用于監(jiān)測(cè)客戶端是否處于在線連接狀態(tài),并向處于在線狀態(tài)的客戶端推送會(huì)話密鑰。
優(yōu)選地,所述各客戶端分別設(shè)置有密鑰緩存器,所述密鑰緩存器用于將在線時(shí)客戶端推送過(guò)來(lái)的會(huì)話密鑰進(jìn)行保存。
優(yōu)選地,所述密鑰服務(wù)系統(tǒng)還包括傳輸密鑰存儲(chǔ)服務(wù)器,所述傳輸密鑰存儲(chǔ)服務(wù)器用于存儲(chǔ)各個(gè)客戶端共享的傳輸密鑰。
優(yōu)選地,所述密鑰服務(wù)系統(tǒng)的中心傳輸密鑰分配器為中心量子密鑰分配器,所述客戶端設(shè)置的客戶端傳輸密鑰分配器為客戶端量子密鑰分配器,所述中心量子密鑰分配器與客戶端量子密鑰分配器可生成共享的量子密鑰。
優(yōu)選地,所述客戶端包括語(yǔ)音終端、視頻終端、郵件終端。
本發(fā)明還提供了一種基于多終端通信的密鑰服務(wù)架構(gòu)的密鑰分配方法,包括以下步驟:
1)生成共享傳輸密鑰:通過(guò)客戶端的客戶端傳輸密鑰分配器以及密鑰服務(wù)系統(tǒng)的中心傳輸密鑰分配器生成共享的傳輸密鑰;
2)管理共享的傳輸密鑰:將共享的傳輸密鑰同步至密鑰服務(wù)系統(tǒng)進(jìn)行管理;
3)創(chuàng)建會(huì)話密鑰:會(huì)話發(fā)起者客戶端向密鑰服務(wù)系統(tǒng)申請(qǐng)按照指定的參數(shù)創(chuàng)建會(huì)話密鑰后,會(huì)話密鑰分配器開(kāi)始為該會(huì)話創(chuàng)建會(huì)話密鑰;
4)會(huì)話密鑰的存儲(chǔ):密鑰服務(wù)系統(tǒng)為每個(gè)客戶端都分配一個(gè)固定大小或者非固定大小的個(gè)人密鑰存儲(chǔ)空間,創(chuàng)建后的會(huì)話密鑰存儲(chǔ)到會(huì)話參與者客戶端的個(gè)人密鑰存儲(chǔ)空間中;
5)會(huì)話密鑰的傳輸:通過(guò)客戶端在線管理服務(wù)器查找參與者客戶端是否與密鑰服務(wù)系統(tǒng)在線連接,如果在線連接,則將會(huì)話密鑰采用對(duì)應(yīng)參與者客戶端的傳輸密鑰加密方式推送給參與者客戶端;如果參與者客戶端沒(méi)有和密鑰服務(wù)系統(tǒng)建立在線連接,密鑰服務(wù)系統(tǒng)不會(huì)實(shí)時(shí)的將密鑰推送給該客戶端,等到該客戶端上線連接后,密鑰服務(wù)系統(tǒng)再將這些密鑰推送至該參與者客戶端。
優(yōu)選地,在會(huì)話密鑰傳輸?shù)倪^(guò)程中,客戶端可主動(dòng)的向密鑰服務(wù)系統(tǒng)請(qǐng)求會(huì)話密鑰,密鑰服務(wù)系統(tǒng)判斷該客戶端是否為參與者決定推送會(huì)話密鑰。
優(yōu)選地,步驟3)中指定的參數(shù)包括會(huì)話中的其他參與者、單個(gè)密鑰的長(zhǎng)度、密鑰提供的模式、密鑰的提供速率。
優(yōu)選地,所述客戶端包括語(yǔ)音終端、視頻終端、郵件終端。
與現(xiàn)有技術(shù)相比,本發(fā)明有以下有益效果:
本發(fā)明的基于多終端通信的密鑰服務(wù)架構(gòu)以及分配方法,通過(guò)密鑰服務(wù)系統(tǒng)獲取各個(gè)客戶端傳輸密鑰,然后通過(guò)該傳輸密鑰對(duì)會(huì)話密鑰加密的方式,密鑰服務(wù)系統(tǒng)通過(guò)傳輸密鑰加密會(huì)話密鑰的方式將會(huì)話密鑰分發(fā)至需要參與通信的客戶端,而數(shù)據(jù)包只需要會(huì)話密鑰加密即可,實(shí)現(xiàn)多方客戶端通信的目的,本發(fā)明不僅保證多方通信絕對(duì)安全性,也避免了一包一密對(duì)qkd系統(tǒng)高標(biāo)準(zhǔn)的要求,使量子加密通訊很好的適用于大規(guī)模多方通信場(chǎng)合;另外,本發(fā)明根據(jù)與會(huì)者在線與不在線的情況分配了個(gè)人密鑰存儲(chǔ)空間,可保證與會(huì)者能快速準(zhǔn)確的接收到會(huì)話密鑰,提高了通信的安全性以及效率。
附圖說(shuō)明
圖1為本發(fā)明基于多終端通信的密鑰服務(wù)架構(gòu)的原理框圖;
圖2為本發(fā)明密鑰分配方法的流程圖。
圖中:密鑰服務(wù)系統(tǒng)100,中心傳輸密鑰分配器101,會(huì)話密鑰分配器102,個(gè)人密鑰存儲(chǔ)空間103,客戶端在線管理服務(wù)器104,傳輸密鑰存儲(chǔ)服務(wù)器105,客戶端200,客戶端傳輸密鑰分配器201,密鑰緩存器202。
具體實(shí)施方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明進(jìn)行清楚、完整地描述。
如圖1所示,一種基于多終端通信的密鑰服務(wù)架構(gòu),包括:密鑰服務(wù)系統(tǒng)100,所述密鑰服務(wù)系統(tǒng)100設(shè)置有可與客戶端200生成共享的傳輸密鑰的中心傳輸密鑰分配器101、可生成會(huì)話密鑰的會(huì)話密鑰分配器102以及所述密鑰服務(wù)系統(tǒng)100為各個(gè)客戶端均分配的個(gè)人密鑰存儲(chǔ)空間103,所述個(gè)人密鑰存儲(chǔ)空間103為固定大小或者非固定大小,當(dāng)客戶端200作為會(huì)話參與者時(shí),該客戶端200對(duì)應(yīng)的個(gè)人密鑰存儲(chǔ)空間103用于存儲(chǔ)此次會(huì)話時(shí)密鑰服務(wù)系統(tǒng)100創(chuàng)建的會(huì)話密鑰,同時(shí),個(gè)人密鑰存儲(chǔ)空間103也將對(duì)應(yīng)客戶端200共享的傳輸密鑰存儲(chǔ)在內(nèi),所述各個(gè)客戶端200均能訪問(wèn)各自對(duì)應(yīng)的個(gè)人密鑰存儲(chǔ)空間103,不能訪問(wèn)其他客戶端200的個(gè)人密鑰存儲(chǔ)空間103;
客戶端200,所述客戶端200分別設(shè)置有客戶端傳輸密鑰分配器201,所述客戶端傳輸密鑰分配器201可與中心傳輸密鑰分配器101生成共享的傳輸密鑰,所述共享的傳輸密鑰只用于對(duì)應(yīng)客戶端200與密鑰服務(wù)系統(tǒng)100之間會(huì)話密鑰加密使用;
所述密鑰服務(wù)系統(tǒng)100通過(guò)經(jīng)典信道與客戶端200連接,所述經(jīng)典信道用于會(huì)話密鑰傳輸分配,所述中心傳輸密鑰分配器101通過(guò)信道與客戶端傳輸密鑰分配器201連接,所述密鑰服務(wù)系統(tǒng)100還設(shè)置有客戶端在線管理服務(wù)器104,所述客戶端在線管理服務(wù)器104用于監(jiān)測(cè)客戶端200是否處于在線連接狀態(tài),并向處于在線狀態(tài)的客戶端200推送會(huì)話密鑰。
所述各客戶端200分別設(shè)置有密鑰緩存器202,所述密鑰緩存器202用于將在線時(shí)客戶端推送過(guò)來(lái)的會(huì)話密鑰進(jìn)行保存,保存的會(huì)話密鑰可以多次使用,避免了同樣客戶端200之間通信需要重新創(chuàng)建會(huì)話密鑰的缺陷。
所述密鑰服務(wù)系統(tǒng)100還包括傳輸密鑰存儲(chǔ)服務(wù)器105,所述傳輸密鑰存儲(chǔ)服務(wù)器105用于存儲(chǔ)各個(gè)客戶端200共享的傳輸密鑰,其中,共享的傳輸密鑰也可以暫存在對(duì)應(yīng)的個(gè)人密鑰存儲(chǔ)空間103中。
所述密鑰服務(wù)系統(tǒng)100的中心傳輸密鑰分配器101為中心量子密鑰分配器,所述客戶端200設(shè)置的客戶端傳輸密鑰分配器201為客戶端量子密鑰分配器,所述中心量子密鑰分配器101與客戶端量子密鑰分配器201可生成共享的量子密鑰。
所述客戶端200包括語(yǔ)音終端、視頻終端、郵件終端。
如圖2所示,本發(fā)明還提供了一種基于多終端通信的密鑰服務(wù)架構(gòu)的密鑰分配方法,包括以下步驟:
1)生成共享傳輸密鑰:通過(guò)客戶端的客戶端傳輸密鑰分配器以及密鑰服務(wù)系統(tǒng)的中心傳輸密鑰分配器生成共享的傳輸密鑰;
2)管理共享的傳輸密鑰:將共享的傳輸密鑰同步至密鑰服務(wù)系統(tǒng)進(jìn)行管理;
3)創(chuàng)建會(huì)話密鑰:會(huì)話發(fā)起者客戶端向密鑰服務(wù)系統(tǒng)申請(qǐng)按照指定的參數(shù)創(chuàng)建會(huì)話密鑰后,會(huì)話密鑰分配器開(kāi)始為該會(huì)話創(chuàng)建會(huì)話密鑰;
4)會(huì)話密鑰的存儲(chǔ):密鑰服務(wù)系統(tǒng)為每個(gè)客戶端都分配一個(gè)固定大小或者非固定大小的個(gè)人密鑰存儲(chǔ)空間,創(chuàng)建后的會(huì)話密鑰存儲(chǔ)到會(huì)話參與者客戶端的個(gè)人密鑰存儲(chǔ)空間中;
5)會(huì)話密鑰的傳輸:通過(guò)客戶端在線管理服務(wù)器查找參與者客戶端是否與密鑰服務(wù)系統(tǒng)在線連接,如果在線連接,則將會(huì)話密鑰采用對(duì)應(yīng)參與者客戶端的傳輸密鑰加密方式推送給參與者客戶端;如果參與者客戶端沒(méi)有和密鑰服務(wù)系統(tǒng)建立在線連接,密鑰服務(wù)系統(tǒng)不會(huì)實(shí)時(shí)的將密鑰推送給該客戶端,等到該客戶端上線連接后,密鑰服務(wù)系統(tǒng)再將這些密鑰推送至該參與者客戶端。
步驟5)中的會(huì)話密鑰傳輸是分為實(shí)時(shí)應(yīng)用與非實(shí)時(shí)應(yīng)用的,實(shí)時(shí)應(yīng)用如視頻會(huì)議,而視頻會(huì)議參與者應(yīng)該都是在線的情況,但也不排除部分參與者由于一些理由不在線的情況。而非實(shí)時(shí)應(yīng)用如電子郵件的參與者則不一定在線,針對(duì)通訊模式不同,步驟5)采用了上述在線與不在線的密鑰推送方式。
在會(huì)話密鑰傳輸?shù)倪^(guò)程中,客戶端可主動(dòng)的向密鑰服務(wù)系統(tǒng)請(qǐng)求會(huì)話密鑰,密鑰服務(wù)系統(tǒng)判斷該客戶端是否為參與者決定推送會(huì)話密鑰,這樣也可使遺漏的與會(huì)者得到與會(huì)的補(bǔ)救措施。
步驟3)中指定的參數(shù)包括會(huì)話中的其他參與者、單個(gè)密鑰的長(zhǎng)度、密鑰提供的模式、密鑰的提供速率。
所述客戶端包括語(yǔ)音終端、視頻終端、郵件終端。
綜合本發(fā)明的結(jié)構(gòu)與原理可知,本發(fā)明的基于多終端通信的密鑰服務(wù)架構(gòu)以及分配方法,通過(guò)密鑰服務(wù)系統(tǒng)獲取各個(gè)客戶端傳輸密鑰,然后通過(guò)該傳輸密鑰對(duì)會(huì)話密鑰加密的方式,密鑰服務(wù)系統(tǒng)通過(guò)傳輸密鑰加密會(huì)話密鑰的方式將會(huì)話密鑰分發(fā)至需要參與通信的客戶端,而數(shù)據(jù)包只需要會(huì)話密鑰加密即可,實(shí)現(xiàn)多方客戶端通信的目的,本發(fā)明不僅保證多方通信絕對(duì)安全性,也避免了一包一密對(duì)qkd系統(tǒng)高標(biāo)準(zhǔn)的要求,使量子加密通訊很好的適用于大規(guī)模多方通信場(chǎng)合;另外,本發(fā)明根據(jù)與會(huì)者在線與不在線的情況分配了個(gè)人密鑰存儲(chǔ)空間,可保證與會(huì)者能快速準(zhǔn)確的接收到會(huì)話密鑰,提高了通信的安全性以及效率。