基于量子随机数的密钥生成及分发系统的制作方法

本发明涉及量子密钥分发，具体为基于量子随机数的密钥生成及分发系统。

背景技术：

1、随着互联网和数字化技术的普及，信息安全问题日益突出，传统的加密技术主要依赖于加密算法的复杂度和密钥的保密性来保障信息安全，随着量子计算技术的发展，传统的加密算法和密钥分发方式将面临被破解的风险，因此，需要采用更加安全、可靠的密钥生成和分发方式，量子随机数具有不可预测性、不可重复性和无偏性等特征，与传统计算机生成的伪随机数相比，量子随机数在面对强大计算能力的新型攻击算法时，仍能保持其不可预测性，从而大大提高了密钥的安全性。

2、由于量子密钥分发对窃听行为的敏感反应，使得其易受到拒绝服务攻击，因此，如何监测网络流量并识别异常行为，以采取措施防止dos攻击的发生，是我们要解决的问题，为此，现提出基于量子随机数的密钥生成及分发系统。

技术实现思路

1、为实现以上目的，本发明通过以下技术方案予以实现：基于量子随机数的密钥生成及分发系统，所述系统包括量子随机数生成模块、光源控制模块、量子密钥分发模块、探测器模块、数据处理模块、通信控制模块、网络异常监测模块以及身份认证模块，其中，各模块间电信号连接；

2、所述量子随机数生成模块，基于量子随机数发生器和量子力学的内在随机性，生成不可预测的真随机数，作为密钥生成的基础，提供高安全性的随机数源，确保密钥的不可预测性和安全性；

3、所述光源控制模块，根据量子密钥分发系统的需求，产生用于量子密钥分发的光子信号，并控制光子信号在量子密钥分发系统中的传输路径，提供稳定的光源，确保量子态的生成和传输质量，确保光子信号能够准确地传输到接收方，实现对光子的量子态制备和测量；

4、所述量子密钥分发模块，实现量子密钥分发协议，通过量子态传输密钥，确保密钥在传输过程中的安全性，能够检测窃听行为，提供信息论安全的密钥；

5、所述探测器模块，用于在接收方对传输的光子信号进行探测，将其转化为电信号，实现量子态的测量，并输出原始的探测结果，用于后续的密钥协商和后处理；

6、所述数据处理模块，用于对探测器模块输出的原始探测结果进行后处理，包括基矢比对、密钥累积、错误纠正和隐私放大环节步骤，从原始探测结果中提取出安全密钥序列，并对密钥进行压缩和提纯，以确保其安全性；

7、所述通信控制模块，实现发送方和接收方之间的经典信道连接，传输控制信息和协商密钥，确保发送方和接收方能够实时通信，协同完成密钥的协商和后处理过程；

8、所述网络异常监测模块，实时监测网络流量和系统状态，识别异常行为和潜在的拒绝服务攻击，并应对拒绝服务攻击的安全威胁，确保系统的稳定运行和密钥分发过程的安全性；

9、所述身份认证模块，使用认证算法对量子密钥分发过程中的网络交互数据进行认证，验证通信双方的身份，确保数据在传输过程中不被第三方篡改或窃取，提高系统的安全性。

10、优选的，所述量子随机数生成模块中，真随机数的生成过程包括：

11、在量子随机数发生器中，准备一个量子比特的超导量子系统，将其作为随机数源，其中，在超导量子系统中，利用单光子的存活（存在）与死亡（不存在）两种状态作为量子比特的基础，使用光子的极化状态或路径状态来表示量子比特，单光子的存活与死亡态可映射到量子比特的和状态上；

12、通过应用hadamard门（h门）操作，利用量子力学叠加原理，将量子比特置于叠加态，使其同时处于和状态，确保了生成的随机数具有不可预测性；

13、对处于叠加态的量子比特进行测量，根据量子力学的坍缩假设，测量操作会使量子态坍缩，随机地将量子比特的状态确定为或，由于量子测量的结果是随机的，因此每次测量都会产生一个新的随机比特；

14、将每次测量的结果（或）以二进制形式记录下来，形成随机数序列，由于量子系统的性质决定了测量结果是无法被预测的，因此生成的随机数序列是真正的随机性，并对生成的随机数序列进行随机性检验，包括频率检验、序列检验，确保生成的随机数在各个方面都表现出随机性。

15、优选的，所述光源控制模块中，光子信号的产生过程包括：

16、光源控制模块根据量子密钥分发系统的需求，使用激光器作为光源产生光子信号，激光器发出的波长光信号为850nm，光子信号将作为量子态的载体；

17、启动光源控制模块，对光源进行预热和稳定化处理，并配置传输路径和测量参数，使系统处于待机状态，确保激光器等光源设备能够稳定运行，避免因温度变化或设备初始状态不稳定导致的性能波动；

18、利用光源发出的光信号，通过调制器（电光调制器）对光子信号进行调制，生成所需的量子态，调制过程包括强度调制和相位调制，以确保光信号的量子态符合预期的特性，其中，强度调制用于控制光脉冲的能量，确保每个脉冲中光子的数量符合要求（单光子或少光子态），相位调制用于改变光脉冲的相位；

19、使用可调衰减器将调制后的光信号衰减至单光子水平，确保每个光脉冲中仅包含一个光子，符合量子密钥分发的要求，并通过控制光学开关、光纤耦合器器件，控制光子信号在量子密钥分发系统中的传输路径，确保光子信号能够准确地传输到接收方，避免信号的损失和干扰；

20、在光子信号传输路径配置完成后，进行系统校准和测试，确保光信号的质量和稳定性，包括对光信号的强度、相位和偏振进行微调，以满足量子密钥分发的具体要求，完成所有配置和校准后，系统进入待机状态，等待开始量子密钥分发过程，在待机状态下，系统保持光源和传输路径的稳定，随时准备开始密钥分发。

21、优选的，所述量子密钥分发模块中，量子态传输密钥的过程包括：

22、选择bb84协议的量子密钥分发协议，设置量子信道和经典信道的参数，包括波长、脉冲宽度、重复频率，并配置发送方和接收方的设备参数，确保双方能够正常通信，其中，选择850nm的波长以确保光信号在光纤中的传输效率，设置脉冲宽度以控制单个光子的发射时间，确定脉冲的重复频率，即光源发射光子的频率；

23、发送方使用光源产生不同偏振的光子，随机选择一组基矢，并在选择的基矢下随机制备一种偏振态的光子发送给接收方，通过量子信道将制备好的量子态传输给接收方，在传输过程中，确保量子态不受环境噪声和干扰的影响；

24、接收方在接收到量子态后，随机选择一组基矢对量子态进行测量，记录下测量结果以及使用的测量基矢，通过经典信道，发送方和接收方交换各自在发送和测量时选择的基矢信息，双方对比基矢，若基矢相同，则保留该次测量的结果作为密钥的一部分；若基矢不同，则舍弃该次测量的结果；

25、发送方和接收方根据一致的测量结果生成共享密钥，通过剔除基矢选择不一致的比特，双方最终得到的比特序列即为共享密钥。

26、优选的，所述探测器模块中，原始探测结果的输出过程包括：

27、探测器模块在启动时进行初始化操作，包括设置工作参数（灵敏度、响应时间）、校准探测器，基于bb84量子密钥分发协议，使探测器模块配置两组正交偏振方向的测量基，即为0°/90°和45°/-45°，两组测量基用于区分接收到的光子信号的不同偏振状态；

28、传输的光子信号通过量子信道到达接收方，由探测器模块接收，使用单光子探测器对接收到的光子信号进行探测，利用光电效应原理，将接收到的光子信号转化为电信号，并对光子的偏振、波矢、位相特性进行探测；

29、探测器模块将转化后的电信号进行记录，形成原始的探测结果，探测结果包括探测到的光子数量、时间戳、测量基信息，其中，原始探测结果将用于生成量子密钥，根据bb84协议，发送方和接收方比较在相同测量基下探测到的光子结果，以生成共享密钥。

30、优选的，所述数据处理模块中，安全密钥序列的提取过程包括：

31、数据处理模块接收来自探测器模块的原始探测结果，进行基矢比对，并在基矢比对后，获取密钥的错误率和密钥生成率、探测率数据，计算错误评价指数，预设评估阈值t，评估密钥的错误率，判断是否存在第三方窃听者；

32、数据处理模块将多个测量周期内保留下来的密钥位进行累积，直到达到预定的密钥长度，形成初步的密钥序列；

33、采用cascade算法的错误纠正算法对初步密钥序列中的错误比特进行错误纠正，确保发送方和接收方的密钥一致性，获取更正密钥序列；

34、错误纠正后，通过哈希函数对更正密钥序列进行处理，对双方进行隐私放大，消除可能泄露给窃听者的信息，进而获取最终生成的安全密钥序列；

35、在获取安全密钥序列后，进行验证并对安全密钥序列的序号进行同步和管理，确保密钥的一致性和安全性，将经过验证的安全密钥序列下发至双方的密钥管理系统，以供后续的加密通信使用。

36、优选的，所述错误评价指数的计算公式为：

37、；

38、其中，为错误评价指数，为密钥的错误率，为密钥生成率，即单位时间内生成的密钥比特数，为调节系数，用于调整公式的灵敏度，为预设的最大允许密钥错误率，超过该值系统将判定为不安全，为预设的基准密钥生成率，用于评估当前密钥生成率是否在可接受的范围内，的取值范围在0到1之间。

39、优选的，所述网络异常监测模块中，异常行为和潜在拒绝服务攻击的识别过程包括：

40、使用服务器上安装的网络流量监控工具（netflow analyzer）监测进出网络的流量，包括入站和出站的数据包，监控的指标为流量大小、协议类型、源/目的地址，以全面了解网络流量状况，并收集系统日志和性能指标，包括cpu使用率、内存使用情况、磁盘i/o；

41、根据正常操作期间收集的历史流量数据和系统状态数据，建立网络流量和系统性能的正常行为模式基线，其中，基线包括网络流量大小、协议分布、源/目的地址的常规模式以及系统资源的常规使用情况，基线是网络和系统正常行为的参考模型，用于与实时数据进行比较；

42、实时监控当前网络流量和系统状态，比较当前网络流量和系统状态与基线数据，计算异常识别指数，分析异常识别指数的趋势，识别出偏离正常模式的行为，异常识别指数越高，表明网络流量或系统状态与正常模式差异越大，存在异常行为；

43、设定异常阈值k，当异常识别指数超过异常阈值时，触发签名匹配方法进行异常行为识别，对检测到的异常进行分析，与签名库中已知的拒绝服务攻击和分布式拒绝服务攻击模式进行对比，以确定是否是潜在的攻击迹象（如拒绝服务攻击、分布式拒绝服务攻击）；

44、根据签名匹配结果，识别出潜在的拒绝服务攻击或分布式拒绝服务攻击，分析攻击类型、攻击源、攻击时间的攻击特征，并启动安全响应措施，并实时报警，向网络管理员发送报警信息，报警信息包括攻击类型、攻击源、攻击时间关键信息，以便管理员快速响应。

45、优选的，所述异常识别指数的计算公式为：

46、；

47、其中，为异常识别指数，为当前cpu使用率的即时值，为基线期间cpu使用率的平均值，表示正常操作的参考值，为基线期间cpu使用率的标准差，衡量正常波动的程度，为当前网络流量使用情况的即时值，为基线期间网络流量的最大值，表示正常情况下的最大流量，为当前网络流量率，为基线期间的最小流量率，为基线期间的最大流量率，的取值范围在0到1之间，当，则表示存在异常。

48、优选的，所述身份认证模块的具体流程为包括发送方选择基矢和制备身份认证比特串、接收方测量身份认证信息、发送加密的预置共享密钥、发送方解密并验证预置共享密钥以及异常处理；

49、其中，发送方根据基矢选择规则，并选择用于身份认证的比特串的制备基，通过采用不同的波长发送身份认证比特串和密钥比特串的量子态，确保在接收方被区分开；

50、接收方对接收到的量子态进行测量，得到身份认证信息，将测量得到的身份认证信息与基矢选择规则进行比较，以验证发送方的身份；

51、若接收方验证通过，即测量得到的身份认证信息与基矢选择规则相符，则接收方发送一个加密的预置共享密钥至发送方，该预置共享密钥为双方事先约定，用于后续的密钥分发过程；

52、发送方收到加密的预置共享密钥后，使用自身的解密密钥进行解密，并将解密后的预置共享密钥与本地的预置共享密钥进行比较，以验证接收方的身份，若解密后的密钥与本地的密钥一致，则验证通过，双方继续进行后续的密钥分发过程；若不一致，则身份认证失败，中断通信，结束量子密钥分发过程，防止潜在的安全风险；

53、身份认证过程中，若发送方或接收方发现任何异常或错误，如身份认证失败、数据篡改等，立即终止量子密钥分发过程，并采取相应的安全措施。

54、本发明提供了基于量子随机数的密钥生成及分发系统。具备以下有益效果：

55、一、该基于量子随机数的密钥生成及分发系统，通过量子随机数生成器利用量子力学中的随机性原理，产生真正不可预测的随机数序列，以随机数序列作为密钥的基础，从根本上提高了密钥的不可预测性和安全性，与传统基于伪随机数的密钥生成方法相比，量子随机数具有更高的随机性和更低的可预测风险，能够有效抵御各种密码分析攻击，确保密钥的不可破解性，为信息通信提供坚不可摧的安全保障。

56、二、该基于量子随机数的密钥生成及分发系统，结合异常识别指数，监测网络流量和系统状态，及时发现异常行为和潜在的拒绝服务攻击，通过计算异常识别指数并分析其趋势，识别出偏离正常模式的行为，进而判断是否存在第三方窃听者，实时监控和响应能力使得系统能够在攻击发生初期就采取措施，如阻断可疑的ip地址、限制异常流量等，从而有效抵御网络攻击，保护通信安全，通过这种机制，不仅能够提供密钥的安全分发，还能确保整个通信过程的稳定性和可靠性。