[发明专利]基于量子随机数的非对称密码终端、通信系统及方法

权利要求书

1.一种基于量子随机数的非对称密码终端，其特征在于：包括，

量子随机数发生器，用于生成并输出两个量子随机数；

密钥生成器，用于首先将所述两个量子随机数分割截断成等长的两组随机数序列，然后分别使用私钥算法和公钥算法将所述两组随机数序列转换成互为配对的一组私密密钥和一组公共密钥；

所述非对称密码终端根据互为配对的所述私密密钥和所述公共密钥进行加密和解密、签名和验签名。

2.如权利要求1所述的基于量子随机数的非对称密码终端，其特征在于：所述量子随机数发生器具有两路输出端，所述量子随机数发生器生成的所述两个量子随机数分别通过两路输出端输出。

3.如权利要求1所述的基于量子随机数的非对称密码终端，其特征在于：所述非对称密码终端具有两个量子随机数发生器，所述两个量子随机数发生器分别生成并输出所述两个量子随机数。

4.如权利要求2或3所述的基于量子随机数的非对称密码终端，其特征在于：所述非对称密码终端还包括可信存储器，所述可信存储器包括存储单元I、存储单元II和存储单元III；

所述存储单元I用于有序存储被标记后的所述私密密钥；

所述存储单元II用于有序存储被标记后的所述公共密钥；

通过交换获得的通信对方的公共密钥被标记后有序存储在所述储单元III中。

5.如权利要求4所述的基于量子随机数的非对称密码终端，其特征在于：所述非对称密码终端还包括数据处理器，所述数据处理器包括加/解密模块和数字签名模块；所述加/解密模块用于从所述可信存储器中提取公共密钥或者私密密钥完成数据加密或者数据解密工作；所述数字签名模块用于从所述可信存储器中提取私密密钥或者公共密钥完成数字签名或者签名验证工作。

6.如权利要求5所述的基于量子随机数的非对称密码终端，其特征在于：所述非对称密码终端还包括收发接口模块I和收发接口模块II；

所述收发接口模块I通过经典通信网络与通信对方建立密文传输信道，其用于将经所述加密模块加密后的密文数据发送给通信对方，以及用于将经所述数字签名模块完成的签名信息发送给通信对方，以及用于接收通信对方发送的加密后的密文数据，以及用于接收通信对方发送的签名信息；

所述收发接口模块II通过经典通信网络与通信对方建立公钥交换信道，其用于将本机的公共密钥发送给通信对方，以及用于接收通信对方的公共密钥。

7.如权利要求6所述的基于量子随机数的非对称密码终端，其特征在于：所述非对称密码终端还包括综合控制处理器，所述综合控制处理器用于控制所述量子随机数发生器、密钥生成器、可信存储器、数据处理器、收发接口模块I和收发接口模块II协同工作。

8.一种保密通信系统，其特征在于：包括多个如权利要求1-7任一项所述的非对称密码终端，所述多个非对称密码终端进行保密通信所使用的私密密钥和公共密钥的初始来源均为量子随机数。

9.一种使用权利要求1-7任一项所述的非对称密码终端进行保密通信的保密通信方法，其特征在于：保密通信所使用的私密密钥和公共密钥的初始来源均为量子随机数；

其中，由位于第一非对称密码终端的量子随机数发生器生成两个量子随机数，再由第一非对称密码终端的密钥生成器预先将所述两个量子随机数截断成等长的两组随机数序列后分别使用私钥算法和公钥算法转换成相互配对的一组第一私密密钥和一组第一公共密钥；

由位于第二非对称密码终端的量子随机数发生器生成两个量子随机数，再由第二非对称密码终端的密钥生成器预先将该两个量子随机数截断成另外两组等长的随机数序列后分别使用私钥算法和公钥算法转换成相互配对的一组第二私密密钥和一组第二公共密钥。

10.如权利要求9所述的保密通信方法，其特征在于：所述保密通信方法具体包括以下步骤，

(1)第一非对称密码终端接收并存储由第二非对称密码终端发送的第二公共密钥，第二非对称密码终端接收并存储由第一非对称密码终端发送的第一公共密钥；

(2)第一非对称密码终端使用第二公共密钥对通信数据进行加密并发送给第二非对称密码终端；

(3)第二非对称密码终端接收第一非对称密码终端发送的加密后的通信数据，并使用第二私密密钥进行解密还原出所述通信数据；

在进行加/解密的同时，

第一非对称密码终端使用第一私密密钥对通信数据进行签名并随同上述加密后的密文数据一起发送给第二非对称密码终端；第二非对称密码终端接收第一非对称密码终端发送来的签名信息，并使用第一公共密钥完成签名验证。