本發(fā)明涉及量子密鑰分發(fā)，具體為基于量子隨機(jī)數(shù)的密鑰生成及分發(fā)系統(tǒng)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)和數(shù)字化技術(shù)的普及，信息安全問題日益突出，傳統(tǒng)的加密技術(shù)主要依賴于加密算法的復(fù)雜度和密鑰的保密性來保障信息安全，隨著量子計(jì)算技術(shù)的發(fā)展，傳統(tǒng)的加密算法和密鑰分發(fā)方式將面臨被破解的風(fēng)險(xiǎn)，因此，需要采用更加安全、可靠的密鑰生成和分發(fā)方式，量子隨機(jī)數(shù)具有不可預(yù)測(cè)性、不可重復(fù)性和無偏性等特征，與傳統(tǒng)計(jì)算機(jī)生成的偽隨機(jī)數(shù)相比，量子隨機(jī)數(shù)在面對(duì)強(qiáng)大計(jì)算能力的新型攻擊算法時(shí)，仍能保持其不可預(yù)測(cè)性，從而大大提高了密鑰的安全性。

2、由于量子密鑰分發(fā)對(duì)竊聽行為的敏感反應(yīng)，使得其易受到拒絕服務(wù)攻擊，因此，如何監(jiān)測(cè)網(wǎng)絡(luò)流量并識(shí)別異常行為，以采取措施防止dos攻擊的發(fā)生，是我們要解決的問題，為此，現(xiàn)提出基于量子隨機(jī)數(shù)的密鑰生成及分發(fā)系統(tǒng)。

技術(shù)實(shí)現(xiàn)思路

1、為實(shí)現(xiàn)以上目的，本發(fā)明通過以下技術(shù)方案予以實(shí)現(xiàn)：基于量子隨機(jī)數(shù)的密鑰生成及分發(fā)系統(tǒng)，所述系統(tǒng)包括量子隨機(jī)數(shù)生成模塊、光源控制模塊、量子密鑰分發(fā)模塊、探測(cè)器模塊、數(shù)據(jù)處理模塊、通信控制模塊、網(wǎng)絡(luò)異常監(jiān)測(cè)模塊以及身份認(rèn)證模塊，其中，各模塊間電信號(hào)連接；

2、所述量子隨機(jī)數(shù)生成模塊，基于量子隨機(jī)數(shù)發(fā)生器和量子力學(xué)的內(nèi)在隨機(jī)性，生成不可預(yù)測(cè)的真隨機(jī)數(shù)，作為密鑰生成的基礎(chǔ)，提供高安全性的隨機(jī)數(shù)源，確保密鑰的不可預(yù)測(cè)性和安全性；

3、所述光源控制模塊，根據(jù)量子密鑰分發(fā)系統(tǒng)的需求，產(chǎn)生用于量子密鑰分發(fā)的光子信號(hào)，并控制光子信號(hào)在量子密鑰分發(fā)系統(tǒng)中的傳輸路徑，提供穩(wěn)定的光源，確保量子態(tài)的生成和傳輸質(zhì)量，確保光子信號(hào)能夠準(zhǔn)確地傳輸?shù)浇邮辗剑瑢?shí)現(xiàn)對(duì)光子的量子態(tài)制備和測(cè)量；

4、所述量子密鑰分發(fā)模塊，實(shí)現(xiàn)量子密鑰分發(fā)協(xié)議，通過量子態(tài)傳輸密鑰，確保密鑰在傳輸過程中的安全性，能夠檢測(cè)竊聽行為，提供信息論安全的密鑰；

5、所述探測(cè)器模塊，用于在接收方對(duì)傳輸?shù)墓庾有盘?hào)進(jìn)行探測(cè)，將其轉(zhuǎn)化為電信號(hào)，實(shí)現(xiàn)量子態(tài)的測(cè)量，并輸出原始的探測(cè)結(jié)果，用于后續(xù)的密鑰協(xié)商和后處理；

6、所述數(shù)據(jù)處理模塊，用于對(duì)探測(cè)器模塊輸出的原始探測(cè)結(jié)果進(jìn)行后處理，包括基矢比對(duì)、密鑰累積、錯(cuò)誤糾正和隱私放大環(huán)節(jié)步驟，從原始探測(cè)結(jié)果中提取出安全密鑰序列，并對(duì)密鑰進(jìn)行壓縮和提純，以確保其安全性；

7、所述通信控制模塊，實(shí)現(xiàn)發(fā)送方和接收方之間的經(jīng)典信道連接，傳輸控制信息和協(xié)商密鑰，確保發(fā)送方和接收方能夠?qū)崟r(shí)通信，協(xié)同完成密鑰的協(xié)商和后處理過程；

8、所述網(wǎng)絡(luò)異常監(jiān)測(cè)模塊，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量和系統(tǒng)狀態(tài)，識(shí)別異常行為和潛在的拒絕服務(wù)攻擊，并應(yīng)對(duì)拒絕服務(wù)攻擊的安全威脅，確保系統(tǒng)的穩(wěn)定運(yùn)行和密鑰分發(fā)過程的安全性；

9、所述身份認(rèn)證模塊，使用認(rèn)證算法對(duì)量子密鑰分發(fā)過程中的網(wǎng)絡(luò)交互數(shù)據(jù)進(jìn)行認(rèn)證，驗(yàn)證通信雙方的身份，確保數(shù)據(jù)在傳輸過程中不被第三方篡改或竊取，提高系統(tǒng)的安全性。

10、優(yōu)選的，所述量子隨機(jī)數(shù)生成模塊中，真隨機(jī)數(shù)的生成過程包括：

11、在量子隨機(jī)數(shù)發(fā)生器中，準(zhǔn)備一個(gè)量子比特的超導(dǎo)量子系統(tǒng)，將其作為隨機(jī)數(shù)源，其中，在超導(dǎo)量子系統(tǒng)中，利用單光子的存活（存在）與死亡（不存在）兩種狀態(tài)作為量子比特的基礎(chǔ)，使用光子的極化狀態(tài)或路徑狀態(tài)來表示量子比特，單光子的存活與死亡態(tài)可映射到量子比特的和狀態(tài)上；

12、通過應(yīng)用hadamard門（h門）操作，利用量子力學(xué)疊加原理，將量子比特置于疊加態(tài)，使其同時(shí)處于和狀態(tài)，確保了生成的隨機(jī)數(shù)具有不可預(yù)測(cè)性；

13、對(duì)處于疊加態(tài)的量子比特進(jìn)行測(cè)量，根據(jù)量子力學(xué)的坍縮假設(shè)，測(cè)量操作會(huì)使量子態(tài)坍縮，隨機(jī)地將量子比特的狀態(tài)確定為或，由于量子測(cè)量的結(jié)果是隨機(jī)的，因此每次測(cè)量都會(huì)產(chǎn)生一個(gè)新的隨機(jī)比特；

14、將每次測(cè)量的結(jié)果（或）以二進(jìn)制形式記錄下來，形成隨機(jī)數(shù)序列，由于量子系統(tǒng)的性質(zhì)決定了測(cè)量結(jié)果是無法被預(yù)測(cè)的，因此生成的隨機(jī)數(shù)序列是真正的隨機(jī)性，并對(duì)生成的隨機(jī)數(shù)序列進(jìn)行隨機(jī)性檢驗(yàn)，包括頻率檢驗(yàn)、序列檢驗(yàn)，確保生成的隨機(jī)數(shù)在各個(gè)方面都表現(xiàn)出隨機(jī)性。

15、優(yōu)選的，所述光源控制模塊中，光子信號(hào)的產(chǎn)生過程包括：

16、光源控制模塊根據(jù)量子密鑰分發(fā)系統(tǒng)的需求，使用激光器作為光源產(chǎn)生光子信號(hào)，激光器發(fā)出的波長(zhǎng)光信號(hào)為850nm，光子信號(hào)將作為量子態(tài)的載體；

17、啟動(dòng)光源控制模塊，對(duì)光源進(jìn)行預(yù)熱和穩(wěn)定化處理，并配置傳輸路徑和測(cè)量參數(shù)，使系統(tǒng)處于待機(jī)狀態(tài)，確保激光器等光源設(shè)備能夠穩(wěn)定運(yùn)行，避免因溫度變化或設(shè)備初始狀態(tài)不穩(wěn)定導(dǎo)致的性能波動(dòng)；

18、利用光源發(fā)出的光信號(hào)，通過調(diào)制器（電光調(diào)制器）對(duì)光子信號(hào)進(jìn)行調(diào)制，生成所需的量子態(tài)，調(diào)制過程包括強(qiáng)度調(diào)制和相位調(diào)制，以確保光信號(hào)的量子態(tài)符合預(yù)期的特性，其中，強(qiáng)度調(diào)制用于控制光脈沖的能量，確保每個(gè)脈沖中光子的數(shù)量符合要求（單光子或少光子態(tài)），相位調(diào)制用于改變光脈沖的相位；

19、使用可調(diào)衰減器將調(diào)制后的光信號(hào)衰減至單光子水平，確保每個(gè)光脈沖中僅包含一個(gè)光子，符合量子密鑰分發(fā)的要求，并通過控制光學(xué)開關(guān)、光纖耦合器器件，控制光子信號(hào)在量子密鑰分發(fā)系統(tǒng)中的傳輸路徑，確保光子信號(hào)能夠準(zhǔn)確地傳輸?shù)浇邮辗?，避免信?hào)的損失和干擾；

20、在光子信號(hào)傳輸路徑配置完成后，進(jìn)行系統(tǒng)校準(zhǔn)和測(cè)試，確保光信號(hào)的質(zhì)量和穩(wěn)定性，包括對(duì)光信號(hào)的強(qiáng)度、相位和偏振進(jìn)行微調(diào)，以滿足量子密鑰分發(fā)的具體要求，完成所有配置和校準(zhǔn)后，系統(tǒng)進(jìn)入待機(jī)狀態(tài)，等待開始量子密鑰分發(fā)過程，在待機(jī)狀態(tài)下，系統(tǒng)保持光源和傳輸路徑的穩(wěn)定，隨時(shí)準(zhǔn)備開始密鑰分發(fā)。

21、優(yōu)選的，所述量子密鑰分發(fā)模塊中，量子態(tài)傳輸密鑰的過程包括：

22、選擇bb84協(xié)議的量子密鑰分發(fā)協(xié)議，設(shè)置量子信道和經(jīng)典信道的參數(shù)，包括波長(zhǎng)、脈沖寬度、重復(fù)頻率，并配置發(fā)送方和接收方的設(shè)備參數(shù)，確保雙方能夠正常通信，其中，選擇850nm的波長(zhǎng)以確保光信號(hào)在光纖中的傳輸效率，設(shè)置脈沖寬度以控制單個(gè)光子的發(fā)射時(shí)間，確定脈沖的重復(fù)頻率，即光源發(fā)射光子的頻率；

23、發(fā)送方使用光源產(chǎn)生不同偏振的光子，隨機(jī)選擇一組基矢，并在選擇的基矢下隨機(jī)制備一種偏振態(tài)的光子發(fā)送給接收方，通過量子信道將制備好的量子態(tài)傳輸給接收方，在傳輸過程中，確保量子態(tài)不受環(huán)境噪聲和干擾的影響；

24、接收方在接收到量子態(tài)后，隨機(jī)選擇一組基矢對(duì)量子態(tài)進(jìn)行測(cè)量，記錄下測(cè)量結(jié)果以及使用的測(cè)量基矢，通過經(jīng)典信道，發(fā)送方和接收方交換各自在發(fā)送和測(cè)量時(shí)選擇的基矢信息，雙方對(duì)比基矢，若基矢相同，則保留該次測(cè)量的結(jié)果作為密鑰的一部分；若基矢不同，則舍棄該次測(cè)量的結(jié)果；

25、發(fā)送方和接收方根據(jù)一致的測(cè)量結(jié)果生成共享密鑰，通過剔除基矢選擇不一致的比特，雙方最終得到的比特序列即為共享密鑰。

26、優(yōu)選的，所述探測(cè)器模塊中，原始探測(cè)結(jié)果的輸出過程包括：

27、探測(cè)器模塊在啟動(dòng)時(shí)進(jìn)行初始化操作，包括設(shè)置工作參數(shù)（靈敏度、響應(yīng)時(shí)間）、校準(zhǔn)探測(cè)器，基于bb84量子密鑰分發(fā)協(xié)議，使探測(cè)器模塊配置兩組正交偏振方向的測(cè)量基，即為0°/90°和45°/-45°，兩組測(cè)量基用于區(qū)分接收到的光子信號(hào)的不同偏振狀態(tài)；

28、傳輸?shù)墓庾有盘?hào)通過量子信道到達(dá)接收方，由探測(cè)器模塊接收，使用單光子探測(cè)器對(duì)接收到的光子信號(hào)進(jìn)行探測(cè)，利用光電效應(yīng)原理，將接收到的光子信號(hào)轉(zhuǎn)化為電信號(hào)，并對(duì)光子的偏振、波矢、位相特性進(jìn)行探測(cè)；

29、探測(cè)器模塊將轉(zhuǎn)化后的電信號(hào)進(jìn)行記錄，形成原始的探測(cè)結(jié)果，探測(cè)結(jié)果包括探測(cè)到的光子數(shù)量、時(shí)間戳、測(cè)量基信息，其中，原始探測(cè)結(jié)果將用于生成量子密鑰，根據(jù)bb84協(xié)議，發(fā)送方和接收方比較在相同測(cè)量基下探測(cè)到的光子結(jié)果，以生成共享密鑰。

30、優(yōu)選的，所述數(shù)據(jù)處理模塊中，安全密鑰序列的提取過程包括：

31、數(shù)據(jù)處理模塊接收來自探測(cè)器模塊的原始探測(cè)結(jié)果，進(jìn)行基矢比對(duì)，并在基矢比對(duì)后，獲取密鑰的錯(cuò)誤率和密鑰生成率、探測(cè)率數(shù)據(jù)，計(jì)算錯(cuò)誤評(píng)價(jià)指數(shù)，預(yù)設(shè)評(píng)估閾值t，評(píng)估密鑰的錯(cuò)誤率，判斷是否存在第三方竊聽者；

32、數(shù)據(jù)處理模塊將多個(gè)測(cè)量周期內(nèi)保留下來的密鑰位進(jìn)行累積，直到達(dá)到預(yù)定的密鑰長(zhǎng)度，形成初步的密鑰序列；

33、采用cascade算法的錯(cuò)誤糾正算法對(duì)初步密鑰序列中的錯(cuò)誤比特進(jìn)行錯(cuò)誤糾正，確保發(fā)送方和接收方的密鑰一致性，獲取更正密鑰序列；

34、錯(cuò)誤糾正后，通過哈希函數(shù)對(duì)更正密鑰序列進(jìn)行處理，對(duì)雙方進(jìn)行隱私放大，消除可能泄露給竊聽者的信息，進(jìn)而獲取最終生成的安全密鑰序列；

35、在獲取安全密鑰序列后，進(jìn)行驗(yàn)證并對(duì)安全密鑰序列的序號(hào)進(jìn)行同步和管理，確保密鑰的一致性和安全性，將經(jīng)過驗(yàn)證的安全密鑰序列下發(fā)至雙方的密鑰管理系統(tǒng)，以供后續(xù)的加密通信使用。

36、優(yōu)選的，所述錯(cuò)誤評(píng)價(jià)指數(shù)的計(jì)算公式為：

37、；

38、其中，為錯(cuò)誤評(píng)價(jià)指數(shù)，為密鑰的錯(cuò)誤率，為密鑰生成率，即單位時(shí)間內(nèi)生成的密鑰比特?cái)?shù)，為調(diào)節(jié)系數(shù)，用于調(diào)整公式的靈敏度，為預(yù)設(shè)的最大允許密鑰錯(cuò)誤率，超過該值系統(tǒng)將判定為不安全，為預(yù)設(shè)的基準(zhǔn)密鑰生成率，用于評(píng)估當(dāng)前密鑰生成率是否在可接受的范圍內(nèi)，的取值范圍在0到1之間。

39、優(yōu)選的，所述網(wǎng)絡(luò)異常監(jiān)測(cè)模塊中，異常行為和潛在拒絕服務(wù)攻擊的識(shí)別過程包括：

40、使用服務(wù)器上安裝的網(wǎng)絡(luò)流量監(jiān)控工具（netflow?analyzer）監(jiān)測(cè)進(jìn)出網(wǎng)絡(luò)的流量，包括入站和出站的數(shù)據(jù)包，監(jiān)控的指標(biāo)為流量大小、協(xié)議類型、源/目的地址，以全面了解網(wǎng)絡(luò)流量狀況，并收集系統(tǒng)日志和性能指標(biāo)，包括cpu使用率、內(nèi)存使用情況、磁盤i/o；

41、根據(jù)正常操作期間收集的歷史流量數(shù)據(jù)和系統(tǒng)狀態(tài)數(shù)據(jù)，建立網(wǎng)絡(luò)流量和系統(tǒng)性能的正常行為模式基線，其中，基線包括網(wǎng)絡(luò)流量大小、協(xié)議分布、源/目的地址的常規(guī)模式以及系統(tǒng)資源的常規(guī)使用情況，基線是網(wǎng)絡(luò)和系統(tǒng)正常行為的參考模型，用于與實(shí)時(shí)數(shù)據(jù)進(jìn)行比較；

42、實(shí)時(shí)監(jiān)控當(dāng)前網(wǎng)絡(luò)流量和系統(tǒng)狀態(tài)，比較當(dāng)前網(wǎng)絡(luò)流量和系統(tǒng)狀態(tài)與基線數(shù)據(jù)，計(jì)算異常識(shí)別指數(shù)，分析異常識(shí)別指數(shù)的趨勢(shì)，識(shí)別出偏離正常模式的行為，異常識(shí)別指數(shù)越高，表明網(wǎng)絡(luò)流量或系統(tǒng)狀態(tài)與正常模式差異越大，存在異常行為；

43、設(shè)定異常閾值k，當(dāng)異常識(shí)別指數(shù)超過異常閾值時(shí)，觸發(fā)簽名匹配方法進(jìn)行異常行為識(shí)別，對(duì)檢測(cè)到的異常進(jìn)行分析，與簽名庫中已知的拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊模式進(jìn)行對(duì)比，以確定是否是潛在的攻擊跡象（如拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊）；

44、根據(jù)簽名匹配結(jié)果，識(shí)別出潛在的拒絕服務(wù)攻擊或分布式拒絕服務(wù)攻擊，分析攻擊類型、攻擊源、攻擊時(shí)間的攻擊特征，并啟動(dòng)安全響應(yīng)措施，并實(shí)時(shí)報(bào)警，向網(wǎng)絡(luò)管理員發(fā)送報(bào)警信息，報(bào)警信息包括攻擊類型、攻擊源、攻擊時(shí)間關(guān)鍵信息，以便管理員快速響應(yīng)。

45、優(yōu)選的，所述異常識(shí)別指數(shù)的計(jì)算公式為：

46、；

47、其中，為異常識(shí)別指數(shù)，為當(dāng)前cpu使用率的即時(shí)值，為基線期間cpu使用率的平均值，表示正常操作的參考值，為基線期間cpu使用率的標(biāo)準(zhǔn)差，衡量正常波動(dòng)的程度，為當(dāng)前網(wǎng)絡(luò)流量使用情況的即時(shí)值，為基線期間網(wǎng)絡(luò)流量的最大值，表示正常情況下的最大流量，為當(dāng)前網(wǎng)絡(luò)流量率，為基線期間的最小流量率，為基線期間的最大流量率，的取值范圍在0到1之間，當(dāng)，則表示存在異常。

48、優(yōu)選的，所述身份認(rèn)證模塊的具體流程為包括發(fā)送方選擇基矢和制備身份認(rèn)證比特串、接收方測(cè)量身份認(rèn)證信息、發(fā)送加密的預(yù)置共享密鑰、發(fā)送方解密并驗(yàn)證預(yù)置共享密鑰以及異常處理；

49、其中，發(fā)送方根據(jù)基矢選擇規(guī)則，并選擇用于身份認(rèn)證的比特串的制備基，通過采用不同的波長(zhǎng)發(fā)送身份認(rèn)證比特串和密鑰比特串的量子態(tài)，確保在接收方被區(qū)分開；

50、接收方對(duì)接收到的量子態(tài)進(jìn)行測(cè)量，得到身份認(rèn)證信息，將測(cè)量得到的身份認(rèn)證信息與基矢選擇規(guī)則進(jìn)行比較，以驗(yàn)證發(fā)送方的身份；

51、若接收方驗(yàn)證通過，即測(cè)量得到的身份認(rèn)證信息與基矢選擇規(guī)則相符，則接收方發(fā)送一個(gè)加密的預(yù)置共享密鑰至發(fā)送方，該預(yù)置共享密鑰為雙方事先約定，用于后續(xù)的密鑰分發(fā)過程；

52、發(fā)送方收到加密的預(yù)置共享密鑰后，使用自身的解密密鑰進(jìn)行解密，并將解密后的預(yù)置共享密鑰與本地的預(yù)置共享密鑰進(jìn)行比較，以驗(yàn)證接收方的身份，若解密后的密鑰與本地的密鑰一致，則驗(yàn)證通過，雙方繼續(xù)進(jìn)行后續(xù)的密鑰分發(fā)過程；若不一致，則身份認(rèn)證失敗，中斷通信，結(jié)束量子密鑰分發(fā)過程，防止?jié)撛诘陌踩L(fēng)險(xiǎn)；

53、身份認(rèn)證過程中，若發(fā)送方或接收方發(fā)現(xiàn)任何異?；蝈e(cuò)誤，如身份認(rèn)證失敗、數(shù)據(jù)篡改等，立即終止量子密鑰分發(fā)過程，并采取相應(yīng)的安全措施。

54、本發(fā)明提供了基于量子隨機(jī)數(shù)的密鑰生成及分發(fā)系統(tǒng)。具備以下有益效果：

55、一、該基于量子隨機(jī)數(shù)的密鑰生成及分發(fā)系統(tǒng)，通過量子隨機(jī)數(shù)生成器利用量子力學(xué)中的隨機(jī)性原理，產(chǎn)生真正不可預(yù)測(cè)的隨機(jī)數(shù)序列，以隨機(jī)數(shù)序列作為密鑰的基礎(chǔ)，從根本上提高了密鑰的不可預(yù)測(cè)性和安全性，與傳統(tǒng)基于偽隨機(jī)數(shù)的密鑰生成方法相比，量子隨機(jī)數(shù)具有更高的隨機(jī)性和更低的可預(yù)測(cè)風(fēng)險(xiǎn)，能夠有效抵御各種密碼分析攻擊，確保密鑰的不可破解性，為信息通信提供堅(jiān)不可摧的安全保障。

56、二、該基于量子隨機(jī)數(shù)的密鑰生成及分發(fā)系統(tǒng)，結(jié)合異常識(shí)別指數(shù)，監(jiān)測(cè)網(wǎng)絡(luò)流量和系統(tǒng)狀態(tài)，及時(shí)發(fā)現(xiàn)異常行為和潛在的拒絕服務(wù)攻擊，通過計(jì)算異常識(shí)別指數(shù)并分析其趨勢(shì)，識(shí)別出偏離正常模式的行為，進(jìn)而判斷是否存在第三方竊聽者，實(shí)時(shí)監(jiān)控和響應(yīng)能力使得系統(tǒng)能夠在攻擊發(fā)生初期就采取措施，如阻斷可疑的ip地址、限制異常流量等，從而有效抵御網(wǎng)絡(luò)攻擊，保護(hù)通信安全，通過這種機(jī)制，不僅能夠提供密鑰的安全分發(fā)，還能確保整個(gè)通信過程的穩(wěn)定性和可靠性。