关键数据量子加密的混合式安全通信方法与流程

1.本发明属于量子保密通信、计算机网络、数据操作等学科领域，具体是指一种通过数据分析甄别和标定通信业务数据流中的安全关切片段、利用普通通信系统和量子保密通信系统分别传输未标定片段和标定片段、最大化利用量子通信带宽的一种混合式安全通信技术，尤其涉及一种对关键数据量子加密的混合式安全通信方法、系统及存储介质。


背景技术：

2.量子通信是一种将信息编码于量子态的通信技术，可通过远端用户量子态同步共享实现信息安全交互：决定于海森堡测不准原理、量子不可分离原理和量子不可克隆原理，任何对通信链路的干扰(无论来自于窃听攻击还是来自于环境扰动)都将破坏远端用户量子态同步共享机制，引起通信双方觉察。
3.现阶段最成熟的量子通信技术是量子保密通信技术，主要通过远端用户量子态同步共享机制实现实时密钥分发。然而，量子密钥分发速率(kbps量级)通常远低于普通通信速率(gbps量级)；“一次一密”工作模式下的量子保密通信虽然具备数学可证明安全性，但仅能支持速率较低的数据传输业务；通过数学复杂性运算可将低速量子密钥扩码成高速普通密码并支持速率较高的数据传输业务，但安全性将会退化，扩码比例越高，安全性退化程度越大。


技术实现要素：

4.针对现有技术，本发明要解决的技术问题是如何通过数据分析甄别或人为识别标定对通信业务数据流进行安全分级和数据分段，分别利用“一次一密”工作模式下的量子保密通信系统和普通通信系统传输“安全关切”和“非安全关切”数据片段，在接收方通过数据片段重组还原原始通信业务数据流，实现量子密钥分发速率的最大化利用，大幅提升混合式安全通信系统的业务传输能力。
5.为了达到上述效果，本发明提供的关键数据量子加密的混合式安全通信方法，包括发送方和接收方，对通信业务数据流进行安全分级和数据分段，所述安全分级和数据分段形成映射关系，发送方分别利用量子保密通信系统和普通通信系统传输不同安全等级数据片段，接收方接收不同安全等级数据片段后根据安全分级和数据分段的映射关系通过数据片段重组还原原始通信业务数据流。
6.优选的，上述安全等级和数据分段根据业务的需求通过系统数据分析后自动实现或者通过线下业务的指定实现。
7.优选的，上述安全等级和数据分段的数字化处理过程包括数据格式化和标准化、关键字检索、敏感词筛查、文本识别、图像识别以及图形匹配。
8.优选的，上述通信业务数据流对应的明文信息业务类型包括但不限于文字数据、图形文件、音视频流；
9.文字数据安全关切信息包括但不限于敏感字眼、日期、名称；
10.音视频流安全关切信息包括但不限于能够解译为敏感内容的声音、图像信息；
11.图形文件安全关切信息包括但不限于敏感图标、签名、符号。
12.优选的，上述发送方和接收方通过协商交互和信息后处理可共享量子密钥。
13.优选的，上述量子密钥分发协议包括但不限于bb84协议、e91协议、bbm92协议、高维量子密钥分发协议、时间-能量纠缠协议、tf协议、连续变量量子密钥分发协议；信息载体包括但不限于光量子、自旋电子，量子信道包括但不限于光纤、电缆、自由空间，编码自由度包括但不限于偏振、时间比特、相位、频率、模场、自旋方向。
14.优选的，通过普通通信系统传输非安全关切数据片段，通过量子保密通信系统或量子直接通信系统传输安全关切片段。
15.优选的，上述普通通信系统包括但不限于光纤通信系统、空间光通信系统、无线电通信系统；所述数据分段涉及到标记编序，不限定标记手段和置位规则，不限定编序手段和置位规则，不限定链路层、网络层、传输层、业务层各种协议和数据格式。
16.一种实现如上述关键数据量子加密的混合式安全通信方法的系统，包括发送方子系统、接收方子系统、数据处理子系统、安全分级子系统、数据分段子系统，其中，
17.数据处理子系统对数据进行格式化和标准化处理、检索关键词、筛查敏感词、识别文本、图像以及匹配图形；
18.安全分级子系统对数据进行安全等级划分，并与数据分段子系统形成数据映射关系表；
19.数据分段子系统对数据进行分段，对数据进行标记编序，包括但不限于标记手段和置位规则，不限于编序手段和置位规则，不限于链路层、网络层、传输层、业务层各种协议和数据格式；
20.发送方子系统和接收方子系统通过协商交互和信息后处理共享量子密钥，其中量子密钥分发协议包括但不限于bb84协议、e91协议、bbm92协议、高维量子密钥分发协议、时间-能量纠缠协议、tf协议、连续变量量子密钥分发协议；信息载体包括但不限于光量子、自旋电子，量子信道包括但不限于光纤、电缆、自由空间，编码自由度包括但不限于偏振、时间比特、相位、频率、模场、自旋方向。
21.一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述方法的步骤。
22.与现有技术相比，本发明能够通过数据分析甄别或人为识别标定等手段，对通信业务数据流进行安全分级和数据分段，只对安全关切信息进行量子加解密操作，避免非安全关切信息占用量子密钥分发系统有限的速率带宽，通过混合式安全通信系统设计实现速率成倍提升。
附图说明
23.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
24.图1示出了本发明关键数据量子加密的混合式安全通信系统工作流程示意图。
具体实施方式
25.下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
26.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
27.本实施例提供一种关键数据量子加密的混合式安全通信方法，包括：
28.s1、发送端的安全分级和数据分段，通过关键字检索、敏感词筛查、图形匹配等手段，将原始明文信息拆分成“安全关切”和“非安全关切”两类，并将通信业务数据流(二进制报文)分段为“安全关切”和“非安全关切”两部分；
29.s2、标记编序和文件传输，通过标识位置0和序号分配，将安全关切数据片段和非安全关切数据片段组合成待发送数据包，其中非安全关切数据片段直接采用普通通信系统进行传输，安全关切数据片段则需与量子密钥分发系统生成的量子密钥诸位异或(“一次一密”工作模式的量子加密)并传输；
30.s3、数据重组，通过量子密钥对加密安全关切数据片段进行量子解密，按照分配序号对安全关切数据片段和非安全关切数据片段进行数据重组，将还原出的通信业务数据流解译成明文信息，即完成混合式安全通信系统的单向完整工作流程。
31.本发明提供一种关键数据量子加密的混合式安全通信方法的实施例，包括发送方和接收方，具体执行步骤如下：
32.s101、对通信业务数据流进行安全分级和数据分段，安全分级和数据分段形成映射关系；
33.s102、发送方分别利用量子保密通信系统和普通通信系统传输不同安全等级数据片段；
34.s103、接收方接收不同安全等级数据片段后根据安全分级和数据分段的映射关系通过数据片段重组还原原始通信业务数据流。
35.在一些实施例中，安全等级和数据分段根据业务的需求通过系统数据分析后自动实现或者通过线下业务的指定实现；
36.在一些实施例中，安全等级和数据分段的数字化处理过程包括数据格式化和标准化、关键字检索、敏感词筛查、文本识别、图像识别以及图形匹配。
37.在一些实施例中，通信业务数据流对应的明文信息业务类型包括但不限于文字数据、图形文件、音视频流；
38.文字数据安全关切信息包括但不限于敏感字眼、日期、名称；
39.音视频流安全关切信息包括但不限于能够解译为敏感内容的声音、图像信息；
40.图形文件安全关切信息包括但不限于敏感图标、签名、符号。
41.在一些实施例中，发送方和接收方通过协商交互和信息后处理可共享量子密钥。
42.在一些实施例中，量子密钥分发协议包括但不限于bb84协议、e91协议、bbm92协议、高维量子密钥分发协议、时间-能量纠缠协议、tf协议、连续变量量子密钥分发协议；信息载体包括但不限于光量子、自旋电子，量子信道包括但不限于光纤、电缆、自由空间，编码自由度包括但不限于偏振、时间比特、相位、频率、模场、自旋方向。
43.在一些实施例中，通过普通通信系统传输非安全关切数据片段，通过量子保密通信系统或量子直接通信系统传输安全关切片段。
44.在一些实施例中，普通通信系统包括但不限于光纤通信系统、空间光通信系统、无线电通信系统；所述数据分段涉及到标记编序，不限定标记手段和置位规则，不限定编序手段和置位规则，不限定链路层、网络层、传输层、业务层各种协议和数据格式。
45.在一些实施例中，采用关键字检索、敏感词筛查、图形匹配等数据分析手段自动甄别，或由业务人员手动识别标定。
46.在一些实施例中，安全级别包括但不限于“安全关切”和“非安全关切”两级。
47.如图1所示，本发明提供一种关键数据量子加密的混合式安全通信系统工作流程实施例，通信发送方alice想要给通信接收方bob发送一组明文信息，宣告自己的参军时间；然而，alice不希望被bob之外的任何人获悉自己参军的时间。因此，alice将按以下步骤执行通信流程：
48.(1)alice生成明文信息：“alice enlisted in 2008.”；
49.(2)alice标记(或机器识别标记)“enlisted”和“2008”是安全关切明文，“alice”和“in”不是安全关切明文；
50.(3)alice执行数据分段操作，将通信业务数据流中的原始数据拆分成两类各两个数据片段；
51.(4)alice在每一个数据片段前面增加一个8比特标记编序字节，最高位为标识位，置0为安全关切，置1为非安全关切，其余七位数据表示此数据片段在原始数据中的位置。
52.(5)alice和bob通过量子密钥分发系统共享了一组量子密钥；
53.(6)alice将安全关切数据片段和量子密钥诸位异或，完成“一次一密”的量子加密；
54.(7)alice利用普通通信信道将加密安全关切数据片段和非安全关切数据片段传给bob。
55.bob接收到数据后，将按以下步骤执行通信流程。
56.(8)bob利用量子密钥对加密安全关切数据片段进行量子解密；
57.(9)bob根据标记编序字节中的序号，将安全关切数据片段和非安全关切数据片段重新组合，还原通信业务数据流中的原始数据。
58.(10)bob获取明文信息：“alice enlisted in 2008.”。
59.流程仅为alice到bob的单向通信流程，bob向alice的通信流程同理，具体如下：
60.bob将按以下步骤执行通信流程：
61.(1)bob生成明文信息：“bob enlisted in 2008.”；
62.(2)bob标记(或机器识别标记)“enlisted”和“2008”是安全关切明文，“bob”和“in”不是安全关切明文；
63.(3)bob执行数据分段操作，将通信业务数据流中的原始数据拆分成两类各两个数据片段；
64.(4)bob在每一个数据片段前面增加一个8比特标记编序字节，最高位为标识位，置0为安全关切，置1为非安全关切，其余七位数据表示此数据片段在原始数据中的位置。
65.(5)bob和alice通过量子密钥分发系统共享了一组量子密钥；
66.(6)bob将安全关切数据片段和量子密钥诸位异或，完成“一次一密”的量子加密；
67.(7)bob利用普通通信信道将加密安全关切数据片段和非安全关切数据片段传给alice。
68.alice接收到数据后，将按以下步骤执行通信流程。
69.(8)alice利用量子密钥对加密安全关切数据片段进行量子解密；
70.(9)alice根据标记编序字节中的序号，将安全关切数据片段和非安全关切数据片段重新组合，还原通信业务数据流中的原始数据。
71.(10)alice获取明文信息：“bob enlisted in 2008.”。
72.本发明以安全分级为最基本的“安全关切”和“非安全关切”两类为例，提供一种关键数据量子加密的混合式安全通信方法的实施例，包括：
73.s301、对明文信息及其对应的通信业务数据流进行安全分级和数据分段，至少需要将“安全关切”和“非安全关切”两类信息识别分离，并对通信业务数据流进行拆分、标定和标序号，既可采用关键字检索、敏感词筛查、图形匹配等数据分析手段自动甄别，也可由线下采取人工手动识别标定。
74.s302、通过经典通信系统按序传输标记为“非安全关切”的数据片段，通过量子保密通信系统按序传输标记为“安全关切”的数据片段，后者流程为：量子密钥分发系统为通信双方分发量子密钥，发送方将量子密钥与“安全关切”数据片段做“一次一密”异或运算，将量子加密的安全关切数据片段通过经典通信系统传输给接收方，接收方利用量子密钥对加密安全关切数据片段进行量子解密。
75.s303、将两类数据片段按序重新组合，还原通信业务数据流并解译明文信息，即完成本发明所述关键数据量子加密的混合式安全通信工作流程。
76.本发明还提供一种计算机可读存储介质的实施例，其上存储有计算机程序，该程序被处理器执行时实现上述方法的步骤。
77.本发明提供一种关键数据量子加密的混合式安全通信方法的实施例，包括：
78.s201、对明文信息及其对应的通信业务数据流进行安全分级和数据分段，至少需要将“安全关切”和“非安全关切”两类信息甄别分离，并对通信业务数据流进行拆分、标定和标序号，既可采用关键字检索、敏感词筛查、图形匹配等数据分析手段自动甄别，也可由业务人员手动识别标定。
79.s202、通过普通通信系统按序传输标记为“非安全关切”的数据片段，通过量子保密通信系统按序传输标记为“安全关切”的数据片段，后者流程为：量子密钥分发系统为通信双方分发量子密钥，发送方将量子密钥与“安全关切”数据片段做“一次一密”异或运算，将量子加密的安全关切数据片段通过普通通信系统传输给接收方，接收方利用量子密钥对
加密安全关切数据片段进行量子解密。
80.s203、将两类数据片段按序重新组合，还原通信业务数据流并解译明文信息，即完成本发明所述关键数据量子加密的混合式安全通信工作流程。
81.与现有技术相比，本发明能够通过数据分析甄别或人为识别标定等手段，对通信业务数据流进行安全分级和数据分段，只对安全关切信息进行量子加解密操作，避免非安全关切信息占用量子密钥分发系统有限的速率带宽，通过混合式安全通信系统设计实现速率成倍提升。
82.为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本技术时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
83.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
84.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
85.本技术可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本技术，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
86.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
87.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
88.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
89.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
90.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法
或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
91.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
92.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
93.以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。