著录项
申请号CN201610561463.4
公开号CN106230582A
申请(专利权)人西安电子科技大学
主分类号H04L9/08
地址710071 陕西省西安市太白南路2号
代理机构陕西电子工业专利中心
申请日2016-07-17
公开日2016-12-14
发明人权东晓; 李敏; 朱畅华; 陈南; 易运晖; 何先灯; 赵楠; 裴昌幸
分类号H04L9/08; H04L12/741
国省代码CN61
代理人王品华
摘要
本发明公开了一种量子保密通信网络中的随机路由方法,主要解决现有技术中通信密钥的协商路径唯一和路径可预测性高而造成的密钥安全性低的问题。其技术方案是:通过改进基于距离矢量的路由算法扩展路由表,为到达某一目的地址的量子路由器添加了多个下一跳,进而得到源量子路由器到目的量子路由器的多条最短路径;同时将链路上的密钥量考虑在内,在存在多个密钥量足够的下一跳路由节点的情况下,在其中随机地选择一个下一跳逐跳地转发通信密钥,一直将通信密钥转发至目的量子路由器,以实现密钥协商在多条路径上的随机进行。本发明减少了密钥消耗,提高了密钥协商过程中密钥的安全性,可用于量子保密通信网络。
权利要求书
1.量子保密通信网络中的随机路由方法,包括如下步骤:(1)获得扩展的路由表:量子路由器接收所有相邻量子路由器的路由更新信息,并对相邻量子路由器发来的路由更新信息中包含本地路由表中已经存在的目的地址,且该相邻量子路由器没有作为下一跳存在于本地路由表中的这些信息进行判断:如果该相邻量子路由器到达这个目的地址的跳数加一跳后与本地路由表中的跳数不相等,则舍弃这些路由更新信息;如果该相邻量子路由器到达这个目的地址的跳数加一跳后与本地路由表中的跳数相等,则把这个相邻量子路由器作为下一跳加入到本地路由表中,此时该量子路由器到某一目的地址存在多个下一跳,获得扩展后的路由表;(2)相邻量子路由器利用量子密钥分发协议协商出量子密钥K,并存储;(3)将源量子通信终端与目的量子通信终端进行连接建立通信,源量子路由器将此次通信的通信密钥Kc发送给目的量子路由器;(4)源量子路由器根据此次协商的目的地址查找自身路由表,利用(2)中协商出的量子密钥K对通信密钥Kc加密并进行转发:(4a)判断路由表中到此次协商的目的地址的下一跳个数N,若N=1,则执行步骤(4b),若N>1,则执行步骤(4c);(4b)判断下一跳相邻量子路由器中存储的量子密钥K的比特数是否大于通信密钥Kc的比特数,若是,将通信密钥Kc加密后转发至下一跳相邻量子路由器,执行步骤(4d),否则,通知源量子通信终端与目的量子通信终端此次密钥协商失败,执行步骤(5);(4c)在N个下一跳相邻量子路由器中筛选出量子密钥K的比特数大于通信密钥Kc的比特数的量子路由器,并在其中随机地选取一个,将通信密钥Kc加密后转发至该相邻量子路由器,执行步骤(4d);对于多个下一跳相邻量子路由器中存储的量子密钥K的比特数均小于通信密钥Kc的比特数,则通知源量子通信终端与目的量子通信终端此次密钥协商失败,执行步骤(5);(4d)相邻量子路由器收到加密后的通信密钥,利用存储的量子密钥K对其进行解密,并判断当前量子路由器是否为目的量子路由器,若是,则源量子路由器与目的量子路由器端到端的通信密钥Kc建立成功,源量子路由器利用该通信密钥Kc对数据加密进行传输,并且重复步骤(3)、(4),直至通信结束,执行步骤(5),否则,根据目的地址查找路由表,返回(4a);(5)释放源量子通信终端与目的量子通信终端间的连接。
2.根据权利要求书1所述的量子保密通信网络中随机路由方法,其特征在于,步骤(1)中所述的下一跳,是与该量子路由器直接相连的量子路由器。
3.根据权利要求书1所述的量子保密通信网络中随机路由方法,其特征在于,步骤(2)中所述的量子密钥分发协议包括1984年H.Bennett和G.Brassard实现的BB84协议,1992年H.Bennett提出的B92协议,1991年Ekert设计的E91协议、连续变量量子密钥分发协议,测量设备无关量子密钥分发协议。
4.根据权利要求书1所述的量子保密通信网络中随机路由方法,其特征在于,步骤(3)、步骤(4)中的通信密钥是指随机二进制比特串。
5.根据权利要求书1所述的量子保密通信网络中随机路由方法,其特征在于,步骤(3)、步骤(4)中的加密及解密是指二进制密钥的异或操作。
6.根据权利要求书1所述的量子保密通信网络中随机路由方法,其特征在于,步骤(3)中进行的连接,采用传输控制协议TCP连接,或用户数据报协议UDP连接,或会话初始协议SIP连接。
说明书
技术领域
本发明属于通信技术领域,具体地说涉及一种随机路由方法,可用于量子保密通信网络。
背景技术
目前,在量子保密通信网络中应用的海森堡不确定性原理、量子态叠加原理、单光子测不准原理和量子态不可克隆定理等量子力学的基本原理保证了量子通信在物理原理上的无条件安全性,因此,量子通信得到了广泛的重视,并取得了快速的发展,已经从理论走向实验,且逐步商用化。量子通信分支众多,最早得到商用的是量子密钥分发技术,通信双方通过量子密钥分发可以协商出绝对安全的密钥,用此密钥加密数据,可以实现绝对安全的通信。然而目前的研究主要针对于点对点的量子密钥分发,对多用户、大规模的量子密钥分发网络研究甚少。随着量子密钥分发实验网络规模的不断扩大,越来越多研究人员逐渐关注量子保密通信网络的研究。
量子保密通信网络可以实现任意节点间的密钥协商,任意两个用户间端到端的通信密钥可由各点到点链路通过量子密钥分发获得的链路密钥进行中继传输而建立起来。由于网络规模大,节点多,进行端到端密钥协商时,可能存在多条传输密钥的路径,路径的不同将直接影响到网络中密钥的消耗和密钥的安全性。因此,在量子保密通信网络中路由方法的使用至关重要。
2015年,石磊等在期刊《计算机应用》35(12)3336-3340页发表文章《量子密钥分发网络端端密钥协商最优路径选择算法》,提出了一种基于改进Dijkstra算法的端到端密钥协商最优路径选择算法。该算法先选出链路上密钥量大于密钥申请量的所有链路,多条点到点的链路构成一条路径,再利用改进的Dijkstra算法进行最短路径搜索,最后在搜索得到的多条最短路径中选择一条各链路密钥量均比组成其他路径的各链路密钥量大的最优路径。但是,这种方法最后得到的路径唯一,由于在网络的拓扑及链路密钥量已知的情况下,路径上的中间节点是可预测的,在网络中存在窃听的情况下,窃听者很容易预测出中间节点进行窃听,影响到密钥的安全性。因此,需要更进一步研究出量子保密通信网络中的一种更安全的路由方法。
发明内容
本发明的目的在于提供一种量子保密通信网络中密钥协商的随机路由方法,以改进现有量子保密通信网络中的路由方法,减少密钥的消耗,提高网络的安全性。
本发明的基本思路是,在量子保密通信网络中,量子终端之间要进行通信,则需要与终端相连的量子路由器协商出端到端的通信密钥。端到端通信密钥的协商首先要求相邻量子路由器之间采用量子密钥分发协议进行密钥协商,协商出相邻设备间的量子密钥,然后通过一定的密钥路由方法建立起最终的端到端的通信密钥。
根据上述思路,本发明的实现步骤包括如下:
(1)获得扩展的路由表:
量子路由器接收所有相邻量子路由器的路由更新信息,并对相邻量子路由器发来的路由更新信息中包含本地路由表中已经存在的目的地址,且该相邻量子路由器没有作为下一跳存在于本地路由表中的这些信息进行判断:
如果该相邻量子路由器到达这个目的地址的跳数加一跳后与本地路由表中的跳数不相等,则舍弃这些路由更新信息;
如果该相邻量子路由器到达这个目的地址的跳数加一跳后与本地路由表中的跳数相等,则把这个相邻量子路由器作为下一跳加入到本地路由表中,此时该量子路由器到某一目的地址存在多个下一跳,获得扩展后的路由表;
(2)相邻量子路由器利用量子密钥分发协议协商出量子密钥K,并存储;
(3)将源量子通信终端与目的量子通信终端进行连接建立通信,源量子路由器将此次通信的通信密钥Kc发送给目的量子路由器;
(4)源量子路由器根据此次协商的目的地址查找自身路由表,利用(2)中协商出的量子密钥K对通信密钥Kc加密并进行转发:
(4a)判断路由表中到此次协商的目的地址的下一跳个数N,若N=1,则执行步骤(4b),若N>1,则执行步骤(4c);
(4b)判断下一跳相邻量子路由器中存储的量子密钥K的比特数是否大于通信密钥Kc的比特数,若是,将通信密钥Kc加密后转发至下一跳相邻量子路由器,执行步骤(4d),否则,通知源量子通信终端与目的量子通信终端此次密钥协商失败,执行步骤(5);
(4c)在N个下一跳相邻量子路由器中筛选出量子密钥K的比特数大于通信密钥Kc的比特数的量子路由器,并在其中随机地选取一个,将通信密钥Kc加密后转发至该相邻量子路由器,执行步骤(4d);对于多个下一跳相邻量子路由器中存储的量子密钥K的比特数均小于通信密钥Kc的比特数,则通知源量子通信终端与目的量子通信终端此次密钥协商失败,执行步骤(5);
(4d)相邻量子路由器收到加密后的通信密钥,利用存储的量子密钥K对其进行解密,并判断当前量子路由器是否为目的量子路由器,若是,则源量子路由器与目的量子路由器端到端的通信密钥Kc建立成功,源量子路由器利用该通信密钥Kc对数据加密进行传输,并且重复步骤(3)、(4),直至通信结束,执行步骤(5),否则,根据目的地址查找路由表,返回(4a);
(5)释放源量子通信终端与目的量子通信终端间的连接。
本发明与现有技术相比,具有以下优点:
第一、本发明通过改进传统的距离矢量路由算法得到量子保密通信网络中通信密钥的协商路径,从而实现了量子保密通信网络中任意节点间端到端密钥的共享。与现有技术相比,协商路径最短,减少了密钥协商过程中密钥的消耗,提高了密钥的服务效率。
第二、本发明路由方法扩展了量子路由器的路由表,源量子路由器到目的量子路由器存在多个下一跳,使密钥协商的路径存在多条,并且在选路过程中引入了随机化的思想,克服了现有技术中的协商路径仅有一条和路径可预测性高的不足,密钥协商在多条路径上随机进行,提高了中间节点的不可预测性,增加了攻击者的攻击难度,增强了密钥的安全性。
附图说明
图1为本发明的实现流程图。
具体实施方式
下面结合附图对本发明作进一步的详细说明。
参照图1,本发明的随机路由方法包括如下步骤:
步骤1,扩展量子路由器的路由表。
现有基于距离矢量的路由算法在某量子路由器更新路由表时,到达某一目的地址只添加一个下一跳,因此在路由表中,量子路由器到目的量子路由器只存在唯一的下一跳,即源量子路由器到目的量子路由器的路径只有一条。
本发明改进了传统的路由算法,在量子路由器更新路由表时,根据距离矢量算法获得该量子路由器到达其他所有量子路由器的多个下一跳,即与该量子路由器直接相连的量子路由器。具体方法是:
在量子路由器收到相邻量子路由器发来的路由更新信息后,对相邻量子路由器发来的路由更新信息中包含本地路由表中已经存在的目的地址,且该相邻量子路由器没有作为下一跳存在于本地路由表中的这些信息进行判断:
如果该相邻量子路由器到达这个目的地址的跳数加一跳后与本地路由表中的跳数不相等,则舍弃这些路由更新信息;
如果该相邻量子路由器到达这个目的地址的跳数加一跳后与本地路由表中的跳数相等,则把这个相邻量子路由器作为下一跳加入到本地路由表中,扩展了量子路由器的路由表,使量子路由器到某一目的量子路由器存在多个下一跳,也就是说,源量子路由器到目的量子路由器存在多条路径,每条路径长度相等且都是最短的。
步骤2,相邻量子路由器协商量子密钥K并存储。
各个相邻量子路由器之间通过量子密钥分发链路采用量子密钥分发协议协商量子密钥K,并将协商出的量子密钥K存储在量子路由器中,存储的量子密钥K用来加密最终的端到端通信密钥Kc。
所述的量子密钥分发协包括1984年H.Bennett和G.Brassard实现的BB84协议,1992年H.Bennett提出的B92协议,1991年Ekert设计的E91协议、连续变量量子密钥分发协议,测量设备无关量子密钥分发协议。
步骤3,源量子通信终端与目的量子通信终端建立连接进行通信。
(3a)源量子通信终端与目的量子通信终端建立连接,其连接方式有多种,例如传输控制协议TCP连接,用户数据报协议UDP连接,会话初始协议SIP连接,本实例采用会话初始协议SIP连接;
(3b)源量子通信终端向与其相连的量子路由器发送信息。
步骤4,源量子路由器收到信息后,将给通信数据加密的端到端通信密钥Kc通过下述步骤发送给目的量子路由器:
(4a)源量子路由器根据目的地址查找自身的路由表,利用步骤2中存储的量子密钥K对通信密钥Kc加密,即把存储的量子密钥K和通信密钥Kc进行异或,并将加密后的通信密钥Kc按如下过程进行转发,该通信密钥Kc是随机二进制比特串;
(4a1)判断量子路由器中到达该目的地址的下一跳的个数N,若N=1,则执行步骤(4a2),若N>1,则执行步骤(4a3);
(4a2)判断下一跳量子路由器存储的量子密钥K的比特数是否大于通信密钥Kc的比特数,若是,则用当前量子路由器存储的量子密钥K加密通信密钥Kc,即把存储的量子密钥K和通信密钥Kc进行异或,并将加密后的通信密钥转发至下一跳量子路由器,再执行步骤(4a4);否则,通知源量子通信终端与目的通信终端此次密钥协商失败,执行步骤5;
(4a3)在N个相邻量子路由器中筛选出存储的量子密钥K的比特数大于通信密钥Kc的比特数的所有下一跳相邻量子路由器,并在其中随机地选取一个,当前量子路由器利用存储的量子密钥K将通信密钥Kc加密并转发至该相邻量子路由器,并且执行步骤(4a4);对于多个下一跳相邻量子路由器中存储的量子密钥K的比特数均小于通信密钥Kc的比特数,则通知源量子通信终端与目的量子通信终端此次密钥协商失败,执行步骤5;
(4a4)相邻量子路由器收到加密后的通信密钥Kc,利用存储的量子密钥K对其进行解密,即把存储的量子密钥K和收到的加密后的通信密钥进行异或,得到原始通信密钥Kc,再根据目的地址判断当前量子路由器是否为目的量子路由器,若是,则源量子路由器与目的量子路由器间的端到端通信密钥Kc建立成功,利用该通信密钥加密数据进行通信,并且重复步骤3、4,直至源量子终端与目的量子终端通信结束,执行步骤5;若当前量子路由器不是目的量子路由器,则该量子路由器根据目的地址继续查找路由表,返回步骤(4a1);
步骤5,释放源量子终端与目的量子终端间的连接。
附图
--
图1
评论
全部评论
共{{commentCount}}条{{rs.Msg_Content}}