一种基于量子加密盒子的通信系统的制作方法

1.本发明涉及通信保密技术领域，尤其是指一种基于量子加密盒子的通信系统。


背景技术：

2.在互联网环境下，随着各种软件和电子商务平台的兴起，用户信息安全状况越来越严峻。现代网络环境极为复杂，互联网给公众带来了许多便利，势必也会存在不足之处。结合我国目前的网络环境，网络系统的安全机制往往通过一定的网络协议保证用户在使用计算机过程中的信息安全，但这并不能完全杜绝安全隐患。信息安全的根源在于网络协议的开放性、协议本身的共享和缺陷、操作系统和应用程序的复杂性、编程带来的问题、设备的物理安全、人员的安全意识和技术问题以及相关的法律问题。
3.目前在信息安全领域人们所关注的焦点主要有密码理论与技术、安全协议理论与技术、安全体系结构理论与技术、信息对抗理论与技术、网络安全与安全产品等几方面，其中已广泛应用的是保密通信技术。
4.保密通信是一种通信方式。是对要传送的信息内容采取特殊措施，从而隐蔽信息的真实内容，使非法截收者不能理解通信内容的含义。为了隐蔽通信内容，通常在传输前，先将信息进行各种形式的变换，形成加密信息，在接收端进行相应的逆变换以恢复原信息。
5.现代保密通信技术发展迅速，其主要发展趋势是：发展多种数字保密机。继电话、电报保密机之后出现了数据、传真与图像保密机；研制数字保密通信系统。以往仅从用户终端设备研制保密机，现在从整个通信系统设计信息保密方案；建立数字保密通信网；发展可编程密码机。
6.时至今日，保密通信技术有对称密钥加密应用体系，对称密钥体系是一种传统密码体系，也称为私钥密码体系。对称加密的优点是计算开销小、算法简单、加密速度快，是目前用于信息加密的主要算法。但它也存在着明显的缺陷：密钥分配问题：通信双方要进行加密通信，需要通过秘密的安全信道协商加密密钥，而这种安全信道可能很难实现；没有签名功能：当主体a收到主体b的电子文挡(电子数据)时，无法向第三方证明此电子文档确实来源于b。因此，需要设计一种基于量子加密盒子的通信系统。


技术实现要素：

7.为此，本发明所要解决的技术问题在于克服现有技术中对称密钥加密方法存在密钥分配问题和没有签名功能的缺陷。
8.为解决上述技术问题，本发明提供了一种基于量子加密盒子的通信系统，包括：
9.量子密钥云平台、业务客户端、业务服务端、客户端量子加密盒子和服务端量子加密盒子；
10.其中，所述业务客户端与所述客户端量子加密盒子连接，所述业务服务端与所述服务端量子加密盒子连接，所述客户端量子加密盒子与所述服务端量子加密盒子连接；
11.所述客户端量子加密盒子和所述服务端量子加密盒子在所述量子密钥云平台注
册；
12.所述量子密钥云平台生成与所述客户端量子加密盒子信息关联的量子数字证书和量子对称密钥，并存储至所述客户端量子加密盒子；生成与所述服务端量子加密盒子信息关联的量子数字证书和量子对称密钥，并存储至所述服务端量子加密盒子；
13.当所述业务客户端和所述业务服务端之间进行数据通信时，分别利用所述客户端量子加密盒子的量子对称密钥和所述服务端量子加密盒子的量子对称密钥对所述数据进行加解密，完成保密通信；
14.当所述业务客户端和所述业务服务端之间的数据通信结束后，所述量子密钥云平台将所述客户端量子加密盒子和所述服务端量子加密盒子的信息注册初始化。
15.在本发明的一个实施例中，所述客户端量子加密盒子和所述服务端量子加密盒子在所述量子密钥云平台注册的步骤包括：
16.登录所述量子密钥云平台，打开量子加密盒子注册界面，分别录入所述客户端量子加密盒子和所述服务端量子加密盒子的信息；
17.将所述客户端量子加密盒子和所述服务端量子加密盒子的信息分别保存到所述量子密钥云平台；
18.通过所述量子密钥云平台分别生成所述客户端量子加密盒子的公私钥对、量子对称密钥和所述服务端量子加密盒子的公私钥对、量子对称密钥；
19.利用所述客户端量子加密盒子的公私钥对和量子对称密钥制作所述客户端量子加密盒子的量子数字证书；
20.利用所述服务端量子加密盒子的公私钥对和量子对称密钥制作所述服务端量子加密盒子的量子数字证书；
21.将所述客户端量子加密盒子的量子数字证书、量子对称密钥与所述客户端量子加密盒子关联，将所述服务端量子加密盒子的量子数字证书、量子对称密钥与所述服务端量子加密盒子关联；
22.将所述客户端量子加密盒子的量子数字证书和量子对称密钥下载，并存储至所述客户端量子加密盒子，将所述服务端量子加密盒子的量子数字证书和量子对称密钥下载，并存储至所述服务端量子加密盒子。
23.在本发明的一个实施例中，所述当所述业务客户端和所述业务服务端之间进行数据通信时，分别利用所述客户端量子加密盒子的量子对称密钥和所述服务端量子加密盒子的量子对称密钥对所述数据进行加解密，完成保密通信包括：
24.当所述业务客户端向所述业务服务端发送数据时，利用所述客户端量子加密盒子拦截数据包，并利用所述客户端量子加密盒子的量子对称密钥对所述数据包进行加密，形成加密数据包；
25.所述服务端量子加密盒子拦截所述加密数据包，对所述加密数据包进行解密并将解密后的数据发送至所述业务服务端；
26.所述业务服务端返回响应数据至所述业务客户端。
27.在本发明的一个实施例中，所述当所述业务客户端向所述业务服务端发送数据时，利用所述客户端量子加密盒子拦截数据包，并利用所述客户端量子加密盒子的量子对称密钥对所述数据包进行加密，形成加密数据包包括：
28.当所述业务客户端向所述业务服务端发送数据时，所述客户端量子加密盒子拦截数据包，并将所述数据包拆分为ip包头和待加密数据；
29.所述客户端量子加密盒子使用所述量子对称密匙对所述待加密数据加密，并将所述加密数据和所述ip包头合并为加密数据包。
30.在本发明的一个实施例中，所述服务端量子加密盒子拦截所述加密数据包，对所述加密数据包进行解密并将解密后的数据发送至所述业务服务端包括：
31.所述服务端量子加密盒子拦截所述加密数据包，并将所述加密数据包拆分为所述ip包头和待解密数据；
32.所述服务端量子加密盒子使用所述量子对称密匙对所述待解密数据解密，并将所述解密数据和所述ip包头合并为解密数据包发送至所述业务服务端。
33.在本发明的一个实施例中，所述业务服务端返回响应数据至所述业务客户端包括：
34.当所述业务服务端向所述业务客户端返回所述响应数据时，所述服务端量子加密盒子拦截响应数据包，并利用所述服务端量子加密盒子的量子对称密钥对所述响应数据包进行加密，形成加密响应数据包；
35.所述客户端量子加密盒子拦截所述加密响应数据包，对所述加密响应数据包进行解密并将解密后的数据发送至所述业务客户端。
36.在本发明的一个实施例中，所述客户端量子加密盒子和所述服务端量子加密盒子之间通过通信协议tcp/ip连接。
37.在本发明的一个实施例中，所述客户端量子加密盒子与所述服务端量子加密盒子为多对一关系。
38.在本发明的一个实施例中，所述客户端量子加密盒子和所述服务端量子加密盒子均包括量子随机数发生器。
39.在本发明的一个实施例中，所述客户端量子加密盒子和所述服务端量子加密盒子在加解密过程中使用的加密方式为抗量子计算攻击的对称加密。
40.本发明的上述技术方案相比现有技术具有以下优点：
41.本发明所述的基于量子加密盒子的通信系统，通过注册客户端量子加密盒子和服务端量子加密盒子的信息，在量子密钥云平台上生成客户端量子和服务端量子加密盒子的量子对称密钥，解决了现有技术中对称密钥体系的密钥分配问题；通过在量子密钥云平台上生成客户端量子和服务端量子加密盒子的量子数字证书，解决了现有技术中对称密钥体系没有签名功能的问题，实现了在业务客户端与业务服务端的通信过程中的身份认证；通过在业务客户端和业务服务端的数据通信结束后，将客户端量子加密盒子和服务端量子加密盒子的信息注册初始化，以便业务客户端和业务服务端再次通信时量子密钥云平台生成新的量子对称密钥和量子数字证书分别存储至客户端量子加密盒子和服务端量子加密盒子进行保密通信，实现一事一密、一次一密的通信加密，提高通信过程的安全性。
附图说明
42.为了使本发明的内容更容易被清楚的理解，下面根据本发明的具体实施例并结合附图，对本发明作进一步详细的说明，其中：
43.图1为本发明所提供的基于量子加密盒子的通信系统示意图；
44.图2为量子加密盒子在量子密钥云平台注册的流程图；
45.图3为业务客户端与业务服务端的通信过程示意图。
具体实施方式
46.下面结合附图和具体实施例对本发明作进一步说明，以使本领域的技术人员可以更好地理解本发明并能予以实施，但所举实施例不作为对本发明的限定。
47.参照图1所示，图1为本发明所提供的基于量子加密盒子的通信系统示意图，本发明所提供的基于量子加密盒子的通信系统，包括：
48.量子密钥云平台、业务客户端、业务服务端、客户端量子加密盒子和服务端量子加密盒子；
49.其中，所述业务客户端与所述客户端量子加密盒子连接，所述业务服务端与所述服务端量子加密盒子连接，所述客户端量子加密盒子和所述服务端量子加密盒子之间通过通信协议tcp/ip连接；
50.所述客户端量子加密盒子和所述服务端量子加密盒子在所述量子密钥云平台注册；
51.所述量子密钥云平台生成与所述客户端量子加密盒子信息关联的量子数字证书和量子对称密钥，并存储至所述客户端量子加密盒子；生成与所述服务端量子加密盒子信息关联的量子数字证书和量子对称密钥，并存储至所述服务端量子加密盒子；
52.当所述业务客户端和所述业务服务端之间进行数据通信时，分别利用所述客户端量子加密盒子的量子对称密钥和所述服务端量子加密盒子的量子对称密钥对所述数据进行加解密，完成保密通信；
53.当所述业务客户端和所述业务服务端之间的数据通信结束后，所述量子密钥云平台将所述客户端量子加密盒子和所述服务端量子加密盒子的信息注册初始化。
54.本实施例所提供的系统，通过注册客户端量子加密盒子和服务端加密盒子的信息，在量子密钥云平台上生成客户端量子加密盒子和服务端加密盒子的量子对称密钥和量子数字证书，解决了现有技术中对称密钥体系的密钥分配问题和没有签名功能的问题，通过将客户端量子加密盒子和服务端量子加密盒子的信息初始化，以便业务客户端和业务服务端再次通信时量子密钥云平台生成新的量子对称密钥和量子数字证书分别存储至客户端量子加密盒子和服务端量子加密盒子进行保密通信，实现了在通信过程中的身份认证和一事一密、一次一密的通信加密，提高了通信过程的安全性，简化了网络配置，并在当前tcp/ip网络部署上方便快捷，因其部署更方便、成本更低廉，更契合当下通信网络的实际环境，更易于推广使用。
55.基于上述实施例，本实施例是对基于量子加密盒子的通信系统作进一步说明；
56.量子保密通信，是对量子态进行编码和测量，从而在通信双方间产生并分享一组真随机的、绝对安全的密钥，用以加密和解密消息。量子密钥分发(qkd)的安全性基于量子力学的基本原理，而传统密码学的安全性却是基于某些数学算法的计算复杂度。量子密钥分发有一个最重要的特性，那就是一旦有第三方试图从信道上窃取密钥，则通信的双方便会察觉，而传统密码学无法察觉窃听，也就无法从根本上保证密钥的安全性。
57.所述量子加密盒子具有客户端和服务端两种类型，所述量子密钥加密盒子连接在网络通信的客户端和服务器端，完成两端的加密通信。所述客户端量子加密盒子和所述服务端量子加密盒子均包括量子随机数发生器，量子随机数发生器具有随机性和高产生速率的优点，能提供大量的量子随机密钥对数据进行加密。所述客户端量子加密盒子与所述服务端量子加密盒子是多对一关系。在所述业务客户端和所述业务服务端的数据通信过程中数据的加解密方式为抗量子计算攻击的对称加密算法，加解密时使用的密钥是由所述量子密钥云平台分发给客户端量子加密盒子的，每个客户端量子加密盒子分发的密钥是不一样的，服务端量子加密盒子上的有每个客户端量子加密盒子的密钥。
58.所述客户端量子加密盒子和所述服务端量子加密盒子在使用前需要在所述量子密钥云平台注册，通过注册所述客户端量子加密盒子和所述服务端量子加密盒子的信息，在所述量子密钥云平台上留存标识并生成量子数字证书供身份识别使用，如图2所示，注册流程如下：
59.登录所述量子密钥云平台，打开量子加密盒子注册界面，分别录入所述客户端量子加密盒子和所述服务端量子加密盒子的信息；
60.将所述客户端量子加密盒子和所述服务端量子加密盒子的信息分别保存到所述量子密钥云平台；
61.通过所述量子密钥云平台分别生成所述客户端量子加密盒子的公私钥对、量子对称密钥和所述服务端量子加密盒子的公私钥对、量子对称密钥；
62.利用所述客户端量子加密盒子的公私钥对和量子对称密钥制作所述客户端量子加密盒子的量子数字证书；
63.利用所述服务端量子加密盒子的公私钥对和量子对称密钥制作所述服务端量子加密盒子的量子数字证书；
64.将所述客户端量子加密盒子的量子数字证书、量子对称密钥与所述客户端量子加密盒子关联，将所述服务端量子加密盒子的量子数字证书、量子对称密钥与所述服务端量子加密盒子关联；
65.将所述客户端量子加密盒子的量子数字证书和量子对称密钥下载，并存储至所述客户端量子加密盒子，将所述服务端量子加密盒子的量子数字证书和量子对称密钥下载，并存储至所述服务端量子加密盒子。
66.所述基于量子加密盒子的通信系统工作流程如下：如图3所示，当所述业务客户端向所述业务服务端发送数据时，数据包经过所述客户端量子加密盒子，分离出ip包头和待加密数据，利用所述客户端量子加密盒子的量子对称密钥对所述待加密数据加密，将加密后的数据和ip包头组装成新的数据包，把所述新的数据包发送至所述服务端量子加密盒子，原来的所述数据包丢弃；所述服务端量子加密盒子收到所述新的数据包，分离出所述ip包头和待解密数据，并对所述待解密数据解密，将解密后的数据与ip包头重装并发送至所述业务服务器，所述业务服务端接收所述数据包后返回响应数据至所述业务客户端。
67.当所述业务服务端向所述业务客户端电脑发送数据时，数据经过所述服务端量子加密盒子时，分离出ip包头和待加密数据，利用所述服务端量子加密盒子的量子对称密钥对所述待加密数据加密，将加密后的数据和ip包头组装成新的数据包，把所述新的数据包发送至所述客户端量子加密盒子，原来的所述数据包丢弃；所述客户端量子加密盒子收到
所述新的数据包，分离出所述ip包头和待解密数据，并对所述待解密数据解密，将解密后的数据与ip包头重装并发送至所述业务客户端，所述业务服务端接收所述数据包后返回响应数据至所述客户服务端。
68.本实施例所提供的系统，具备与当下主流密码机相同的应用形态和组网能力，又具备与qkd系统相似随机的密钥以及一事一密、一次一密的加密效率，同时可以实现量子密钥的自动补充和抗量子计算攻击的安全通信。量子机密盒子是在现有普通商用密码机的基础上重新设计研制，搭载了量子加密技术，解决了业务加密与访问控制以及密钥安全分发的问题，使密钥安全性高，更新速率快，改善了复杂的策略配置状况，简化了网络配置。
69.显然，上述实施例仅仅是为清楚地说明所作的举例，并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。