基于量子密钥分发网络的信息论安全群组认证方法

1.本发明涉及一种基于量子密钥分发网络的信息论安全群组认证方法，属于量子通信技术领域。


背景技术：

2.量子密钥分发(quantum key distribution,qkd)可以为一对节点提供信息论安全的通信能力。在实际应用中，一般使用可信中继来为长距离，大范围的网络节点提供qkd通信能力。相比于现阶段还没有完全成熟的量子中继，可信中继是一种经济有效的方式。受益于可信中继，qkd网络化的进程在逐渐加速，近年已有多个基于可信中继的qkd示范网络搭建成功。
3.认证是qkd系统中必不可少的一环。一个点对点的qkd系统的认证主要有两个方面的功能，一方面保护信息不被攻击者篡改，即消息的完整性(integrity)，另一方面抵抗中间人攻击，即保证消息来自于正确的节点，这一点一般称为消息源的可信性(trusted)。在现阶段的qkd网络中，应用的认证方案仅仅是原有的qkd系统认证方案的拓展。采取的是预共享密钥(pre-shared keys)的认证方案。认证的两个节点需要先借助qkd网络共享密钥，这一步的密钥消耗与两个节点之间的路径长度成正比。之后采用和qkd系统一样的认证方案来完成认证。而在实际的qkd网络中，预共享密钥的方案面临以下两个问题。首先，由于qkd网络不仅要处理各个节点之间的qkd信息，还要处理网络内部的ip协议、路由协议等。为了确保qkd网络的安全运行，这些协议的数据包需要避免这些信息被攻击者伪造或篡改，所以需要进行信息论安全的认证来保护其完整性。随着未来qkd网络的拓扑复杂性、协议数量、通信需求的增加，认证的频率和节点之间的路径长度都会显著的增加，这时qkd网络的认证密钥消耗会快速增大。其次，在qkd网络中不仅涉及到两个节点之间的安全认证，会出现跨越多个节点的远距离通信，这时在中间受到中间人攻击的可能性会更大，也需要我们在网络内部分清各个节点的身份，所以消息源的可信性认证也需要加强。而预共享密钥的方案只能区分qkd网络内部和外部的身份，无法直接区分qkd网络内部的各个节点的身份。


技术实现要素：

4.针对如何既能满足信息论安全性又不会消耗大量密钥的问题，本发明提供一种基于量子密钥分发网络的信息论安全群组认证方法。
5.本发明的一种基于量子密钥分发网络的信息论安全群组认证方法，包括
6.s1、ti时刻利用qkd密钥ki、量子随机数gi和待认证的信息mi生成消息认证码mac，mi随着消息认证码一同发送给其他节点；
7.s2、在t
i 1
时刻，将量子随机数gi、m
i 1
随着消息认证码一同发送给其他节点，各节点利用收到的量子随机数gi验证ti时刻的mi的完整性，t
i 1
表示ti的下一时刻；ti时刻与t
i 1
时刻的时间间隔为δ，δ表示qkd网络最大传输延迟；
8.s3、当一个密钥周期结束，将本密钥周期内所有qkd密钥k1,k2...,k
term
作为集合kset
，向其他各节点广播公开，各节点收到集合k
set
后，根据集合k
set
及密钥周期中收到的所有消息认证码mac验证源节点广播的mi是否可以信任,term表示密钥周期。
9.作为优选，s1中，qkd密钥ki包括密钥k
rec
和密钥k
otp
；
[0010][0011][0012]
表示使用量子随机数gi在universal hash函数族中选择一个hash函数以mi||g
i-1
作为输入计算hash函数的结果，g
i-1
为上一时刻t
i-1
使用的量子随机数；
[0013]
表示使用k
rec
在universal hash函数族中选取一个hash函数以gi作为输入计算hash函数的结果；
[0014]
消息认证码mac包括和
[0015]
s2中利用来验证消息的完整性；
[0016]
s3中利用来验证源节点的消息是否可以信任。
[0017]
作为优选，一个密钥周期中的k
set
包括k
rec
和其中k
rec
循环使用，k
otp
需要每个时刻更换。
[0018]
作为优选，s2中，各节点利用收到的量子随机数gi验证ti时刻的mi的完整性：
[0019]
各节点根据收到的量子随机数gi，获得判断是否与mi对应的相等，若相等，则确定mi具备完整性，若否，则确定mi不具备完整性，应该被丢弃。
[0020]
作为优选，s3中，根据集合k
set
及密钥周期中收到的所有消息认证码mac验证源节点广播的mi是否可以信任：
[0021]
条件1：使用集合k
set
中的密钥得到验证g1，g2…gterm
是否与收到的满足公式：
[0022][0023]
条件2：在满足条件1的情况下，判断各个节点使用的密钥k
set
是否满足拓扑关系：
[0024]
按照网络拓扑验证两个相邻的节点的k
set
是否有一部分重合，若有重合的部分，则认为这两个节点之间的链接是可信的,若广播mi的源节点到目的节点存在一条可信的路径，则认为由源节点广播的mi可以被目的节点信任；否则将源节点广播的mi视为不可信，并丢弃。
[0025]
本发明的有益效果，本发明提出了一种既能满足信息论安全性，又可以在网络拓扑、通信协议、通信需求复杂的qkd网络中不会消耗大量密钥的方案。本发明在qkd网络中尽可能使多个节点进行合作，并且以群组的方式完成认证，这样密钥的消耗可以大幅减少。本发明还可以区分qkd网络各个节点的身份。
附图说明
[0026]
图1为消息认证码生成原理；
[0027]
图2为消息源可信性验证原理。
具体实施方式
[0028]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0029]
需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
[0030]
下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。
[0031]
本实施方式要求qkd网络中的经典消息传播时间有一个已知的上限δ，传输时间超过上限的消息被认为是不合法的，会被接受者丢弃。各个节点通过qkd系统物理层的时间同步机制来判断消息传播是否超时。为了方便描述，本实施方式设允许的网络最大传输延迟δ。并以δ为刻度划分时间轴，即ti时刻与t
i 1
时刻的时间间隔为δ，起始时刻记为t1。在本实施方式中各个节点的通信方式以广播的形式进行，一个节点可以在一次广播中同时发送多个不同目的节点的消息，这些消息会在一次广播中认证。
[0032]
本实施方式的基于量子密钥分发网络的信息论安全群组认证方法，包括：
[0033]
步骤1、ti时刻利用qkd密钥ki、量子随机数gi和待认证的信息mi利用消息认证码生成函数auth(ki,gi,mi)生成消息认证码mac，mi随着消息认证码一同发送给其他节点；
[0034]
本实施方式的ki包括两个部分k
rec
和k
otp
，一个周期term中用以认证的所有qkd密钥包括两个部分k
rec
和其中k
rec
在接下来term个时刻中会被循环利用，k
otp
每次都需要被更换。接下来需要进行两次认证过程，分别对应完整性认证和可信性认证。其计算方式为：
[0035][0036]
其中代表使用暂时保密的量子随机数gi选择一个universal hash函数，然后以mi||g
i-1
作为输入计算hash函数的结果。其中mi为待认证的消息，g
i-1
为上一时刻t
i-1
使用的量子随机数。需要注意ti时刻的广播时gi不会被公开，在下一时刻t
i 1
会被公开用以进行完整性验证；
[0037]
qkd密钥k
rec
和k
otp
被用来生成mac的第二部分用来验证信任关系，k
rec
用来在universal hash函数族中选取一个hash函数该hash函数可以在密钥周期term中循环使用。另一部分k
otp
与hash函数的计算结果进行异或操作，这里需要每个时刻更换k
otp
。记一个term中所有的ki构成的集合为k
set
。k
set
为一个周期term中用以认证的所有密钥，会在每个周期开始时从相邻qkd链路中抽取。
[0038]
步骤2、t
i 1
表示ti的下一时刻；ti时刻与t
i 1
时刻的时间间隔为δ，δ表示qkd网络最大传输延迟，在t
i 1
时刻，将量子随机数gi、m
i 1
随着消息认证码一同发送给其他节点，每个参与的节点在收到的gi后就可以验证ti时刻的mi的完整性，各节点根据收到的量子随机
数gi，获得判断是否与mi对应的相等，若相等，则确定mi具备完整性，若否，则确定mi不具备完整性，应该被丢弃。
[0039]
步骤3、当一个密钥周期结束，将本密钥周期内所有qkd密钥k1,k2...,k
term
作为集合k
set
，向其他各节点广播公开，各节点收到集合k
set
后，根据集合k
set
及密钥周期中收到的所有消息认证码mac验证源节点广播的mi是否可以信任。
[0040]
每个节点通过以下两个条件验证网络中的其他节点是否可以信任。
[0041]
条件1：使用集合k
set
中的密钥得到验证g1，g2…gterm
是否与收到的满足公式：
[0042][0043]
条件2：在满足条件1的情况下，判断各个节点使用的密钥k
set
是否满足拓扑关系：
[0044]
按照网络拓扑验证两个相邻的节点的k
set
是否有一部分重合，若有重合的部分，则认为这两个节点之间的链接是可信的,若广播mi的源节点到目的节点存在一条可信的路径，则认为由源节点广播的mi可以被目的节点信任；否则将源节点广播的mi视为不可信，并丢弃。
[0045]
具体实施例：基本设置：假设允许的网络最大传输延为500ms。以500ms为刻度划分时间轴，即ti时刻与t
i 1
时刻的时间间隔为500ms，起始时刻记为t1。实施时在消息认证码生成函数中使用qkd系统中最常见的wegman-carter认证方案。为简单说明，网络拓扑为图2所示的4节点拓扑。为方便描述term被设置为1，即一次认证后更换密钥。
[0046]
将ki拆分成两个部分k
rec
和k
otp
，在t1时刻，根据auth(ki,gi,mi)获得：
[0047][0048][0049]
将t1,t2作为mac输出给其他节点，将k
rec
和k
otp
记入集合k
set
。
[0050]
在t2时刻，将量子随机数g1发送给其他节点，各节点利用g1计算获得判断是否与t1相等；
[0051]
由于term为1，所以达到了密钥周期，这时开始执行步骤3，每个节点公开本周期使用的密钥集合k
set
，每个节点收到其他节点的k
set
后通过以下两个条件验证网络中的其他节点是否可以信任。
[0052]
条件1：使用集合k
set
中的密钥得到验证g1是否与收到的t2满足公式：
[0053][0054]
条件2：判断各个节点使用的密钥k
set
是否满足拓扑关系：
[0055]
若一条链路的辅助验证与节点公开的密钥一致，并且满足条件1，则可以认为该qkd链路上的密钥可以信任。更进一步，若消息源节点到目的节点存在一条可信任的路径，那么可以认为由源节点广播的消息可以信任。
[0056]
本发明既能满足信息论安全性，又可以在网络拓扑、通信协议、通信需求复杂的qkd网络中不会消耗大量密钥的方案。我们认为qkd网络中的认证应该更充分的利用网络的性质，在qkd网络中尽可能使多个节点进行合作，并且以群组的方式完成认证，这样密钥的
消耗可以大幅减少。另外我们的方案还具有另一个优势，可以区分网络各个节点的身份。由于qkd网络与qkd系统不同。qkd系统中只有两个节点，不需要区分qkd系统内部的身份，因为对于alice来讲能通过认证的只有拥有相同密钥的bob。但在qkd网络通信中，需要明确消息来源的身份，这一点在原有的认证方案中并没有充分考虑。
[0057]
虽然在本文中参照了特定的实施方式来描述本发明，但是应该理解的是，这些实施例仅仅是本发明的原理和应用的示例。因此应该理解的是，可以对示例性的实施例进行许多修改，并且可以设计出其他的布置，只要不偏离所附权利要求所限定的本发明的精神和范围。应该理解的是，可以通过不同于原始权利要求所描述的方式来结合不同的从属权利要求和本文中所述的特征。还可以理解的是，结合单独实施例所描述的特征可以使用在其他所述实施例中。