一种基于量子密钥分发的数据安全共享区块链系统

技术领域

本发明涉及区块链技术领域，特别是涉及一种基于量子密钥分发的数据安全共享区块链系统。

背景技术

区块链是一种去中心化的分布式账本技术，具有可追溯、不可篡改、匿名、公开透明等特性。基于这些特性，区块链技术目前已经在金融、供应链、交通、医疗、公益等领域有了广泛的应用。区块链技术的许多特性基于密码学原理，然而，随着量子计算的兴起，使用RSA数字签名算法生成的签名密钥以及椭圆曲线数字签名(ECDSA)和哈希函数等算法都将受到量子算法(Grover、Shor)的威胁。

联盟链技术作为区块链技术的一个分支，服务于大型公司、机构或产业联盟，为联盟成员之间提供企业级区块链解决方案。相较于公有链，联盟链节点之间往往需要进行数据的共享，因此对系统的安全性有着更高的要求。在联盟链中，节点之间需要建立安全可信的传输信道，从而在数据的共享过程中保证数据的完整性、机密性与防抵赖性。对称加密算法具有较高的效率，但双方为了密钥共享不得不在不安全的信道上传输对称密钥。公钥密码学虽可以省去分发对称密钥的环节，但其效率远不及对称加密算法。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于量子密钥分发的数据安全共享区块链系统。

本发明采用如下技术方案实现：

一种基于量子密钥分发的数据安全共享区块链系统，数据安全共享过程包括：区块链系统节点间经过身份认证后，通过量子密钥分发建立安全可信的传输信道，采用量子密钥分发技术实现联盟链数据共享中的身份认证、密钥协商与数据加密。

优选地，数据安全共享过程具体包括：

节点加入联盟链时，向联盟链的身份认证机构申请身份认证证书；

意图向节点A请求数据的节点B将数据请求申请、身份认证证书信息打包到交易中，然后对交易内容进行签名，并将交易向联盟链网络广播；

接收到交易的节点A对交易的签名进行验证，然后向身份认证机构发起对节点B的身份验证请求；

身份认证机构制备一个包含n组GHZ三重态光子的序列，将每一组GHZ三重态|ψ>的中的两个光子分别分发给节点A与节点B，节点A依托身份认证机构对节点B进行基于GHZ态的量子身份认证；

节点A通过量子身份认证验证节点B身份为有效身份后，与节点B之间进行量子密钥分发，在验证密钥未被窃听后，节点A使用分发好的安全量子密钥采用对称加密算法对数据进行加密，并通过经典信道将密文传输给节点B；

节点B收到密文后使用分发好的安全量子密钥进行解密，获取数据明文。

优选地，区块链系统节点间数据安全共享过程还包括：

节点A将与节点B之间所进行的数据共享记录打包到交易中，对交易内容进行签名，并将交易向联盟链网络广播；

节点A与节点B之间的数据请求交易与数据共享记录交易被共识算法认可后，被写入到区块链中。

优选地，基于GHZ态的量子身份认证包括如下步骤：

身份认证机构制备一个包含n组GHZ三重态光子的序列，将每一组GHZ三重态|ψ>的中的两个光子分别分发给节点A与节点B；

节点B向身份认证机构申请密钥，身份认证机构收到申请后采用BB84协议与节点B之间分发一个n比特的二进制密钥序列K

节点B将二进制密钥序列K

节点B与身份认证机构根据分发的密钥K

节点A在x方向同步测量其每一个GHZ光子；

节点A、节点B、身份认证机构同步公开数量为m的光子测量结果，节点A计算不满足测量关联性粒子数k与公布光子数m之比

优选地，身份认证证书内容包括：节点信息、节点类型、节点量子密钥分发设备信息。

优选地，数据请求申请内容包括：数据请求对象、所需数据信息、数据用途。

优选地，量子密钥分发采用BB84协议，密钥长度根据需求选择。

优选地，对称加密算法包括：AES算法、国密算法。

优选地，数据共享记录包括：数据请求方节点信息、数据授权方节点信息、数据共享时间戳、共享数据的摘要、共享数据的用途。

优选地，一种基于量子密钥分发的数据安全共享区块链系统包括：认证装置、量子密钥分发装置、签名装置、加密装置和传输装置；其中：

所述认证装置用于在节点加入联盟链时进行身份认证并颁发身份认证证书。身份认证证书中带有节点的公钥信息，同时带有颁发者签名以及节点的量子密钥分发设备信息。

所述量子密钥分发装置用于在进行身份认证与数据共享的节点间进行量子密钥分发。节点间利用量子隐形传态传递光子偏振态，通过BB84方案生成对称的量子密钥，量子密钥分发设备具有一次一密的功能。

所述签名装置用于节点构造交易时对交易以及节点身份进行签名，同时用于其它节点收到交易后对交易签名的有效性进行检验；

所述加密装置用于对节点间共享的数据进行加密与解密；加密装置中有AES算法和国密算法可供选择；

所述传输装置用于节点构造交易后向网络中的其它节点进行广播，在数据共享中还用于节点间密文数据的传输。

在一种可能的实现方式中，所述认证装置、签名装置、传输装置可以集成在节点的计算机设备中。

在一种可能的实现方式中，所述认证装置与量子密钥分发装置可以集成在一台设备中。

与现有技术相比，本发明包含以下有益效果：

(1)采用量子密钥分发技术实现联盟链数据共享中的身份认证、密钥协商与数据加密，提高了联盟链中数据共享的安全性与数据加密的效率，具有可抵御量子计算攻击的特性。

(2)明文数据存储在数据所有者本地，不需要依托第三方节点或机构，可以有效防止数据被窃取。

(3)节点间的数据共享通过交易记录在区块链上，能够提高联盟链中数据共享的完整性、机密性和可追溯性。

附图说明

图1为本发明一个实施例中基于量子密钥分发的数据安全共享流程图。

图2为本发明一个实施例中基于GHZ三重态的量子身份认证流程图。

具体实施方式

下面结合附图对本发明进一步说明，但本发明的实施方式不限于此。

联盟链作为面向大型机构或公司所组成联盟的企业级区块链解决方案，需要极高的安全性来保证系统的稳定与高效运行。健全的密码体系可以保证联盟链数据共享的可靠性与机密性，但随着量子计算的发展，传统的区块链密码学机制将受到冲击。本发明意在使用量子密钥分发技术，设计出可抗量子计算攻击的数据安全共享量子区块链系统。

一种基于量子密钥分发的数据安全共享区块链系统，区块链系统节点经过身份认证后，通过量子密钥分发建立安全可信的传输信道，采用量子密钥分发技术实现联盟链数据共享中的身份认证、密钥协商与数据加密。具体地：区块链系统采用基于量子密钥分发实现数据安全共享。如图1所示，数据安全共享过程包括：

节点加入联盟链时，向联盟链的身份认证机构申请身份认证证书。

在联盟链中，节点需要向证书管理机构申请数字身份证书，从而在交易中证明身份，同时身份认证证书也是保护节点资产的有效工具，证书的颁发者会在证书中附上颁发者签名，其它节点可以通过颁发者签名来验证证书的有效性。在本实施例中，认证装置用于颁发身份认证证书。

意图向节点A请求数据的节点B将数据请求申请、身份认证证书信息打包到交易中，然后对交易内容进行签名，并将交易向联盟链网络广播。

接收到所述交易的节点A对所述交易的签名进行验证，然后向身份认证机构发起对节点B的身份验证请求。

数据请求节点将数据请求通过交易的方式申请，并把数据请求对象、所需数据信息、数据用途打包到交易中，在区块链中具有可追溯性与不可篡改性。在本实施例中，签名装置用于对交易以及节点身份进行签名以及验签。

身份认证机构制备一个包含n组GHZ三重态光子的序列，将每一组GHZ三重态|ψ>的中的两个光子分别分发给节点A与节点B，节点A依托身份认证机构对节点B进行基于GHZ态的量子身份认证。

节点A通过量子身份认证验证节点B身份为有效身份后，与节点B之间进行量子密钥分发，在验证密钥未被窃听后，节点A使用分发好的安全量子密钥采用对称加密算法对数据进行加密，并通过经典信道将密文传输给节点B。

量子密钥分发可以实现节点间数据共享中的身份认证与密钥协商环节，从而可以在节点间建立安全可信的数据传输信道。量子密钥分发产生对称的密钥，节点间采用对称加密算法进行数据共享，可以有效的提高加密效率。在本实施例中，量子密钥装置用于在进行数据共享的节点间进行量子密钥分发。

可选地，在一种可能的实施方式中，所述量子密钥分发装置可使用国盾量子的QKD设备实现。

节点B收到密文后使用分发好的安全量子密钥进行解密，获取数据明文。

进行量子密钥分发后采用对称加密进行数据共享，可以有效防止数据明文被窃取。在本实施例中，加密装置用于对节点间共享的数据进行加密与解密。

可选地，在一种可能的实施方式中，所述加密装置中有AES算法和SM1国密算法、SM4国密算法可供选择。

节点A将与节点B之间所进行的数据共享记录打包到交易中，对交易内容进行签名，并将交易向联盟链网络广播。

节点A与节点B之间的数据请求交易与数据共享记录交易被共识算法认可后被写入到区块链中。

数据请求交易与数据共享记录交易上链，保证了公开透明性、可追溯性与不可篡改性。联盟链系统还可对节点进行信用控制，对于作恶节点，可根据数据共享记录，对节点的权限进行限制，甚至可以收回节点的身份认证证书。在本实施例中，传输装置用于节点构造交易后向网络中的其它节点进行广播，在数据共享中还用于节点间密文数据的传输。

图2是本申请实施例中基于GHZ三重态的量子身份认证流程图。如图2所示，该认证流程包括：

身份认证机构制备一个包含n组GHZ三重态光子的序列，将每一组GHZ三重态|ψ>的中的两个光子分别分发给节点A与节点B；

节点B向身份认证机构申请密钥，身份认证机构收到申请后采用BB84协议与节点B之间分发一个n比特的二进制密钥序列K

节点B将二进制密钥序列K

节点B与身份认证机构根据分发的密钥K

节点A在x方向同步测量其每一个GHZ光子；

节点A、节点B、身份认证机构同步公开数量为m的光子测量结果，节点A计算不满足测量关联性粒子数k与公布光子数m之比

表1是本实施例中基于GHZ三重态的量子身份认证中光子测量结果关联性表。如表1所示，其中的列标题为身份认证机构得到的测量结果，行标题为节点B得到的测量结果，行与列相交的单元格为在身份认证机构得到该列对应测量结果，同时节点B得到该行对应测量结果下节点A得到光子的态。

表1

在本实施例中，根据光子测量结果关联性表，当身份认证机构与节点B选取相同的测量基后，节点A手中光子的态只能是|0>+|1>或|0>-|1>，否则节点B身份不合法，因此节点A可根据不满足光子测量结果关联性的光子数量与公布光子数之比来判定节点B的身份有效性。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤以及对应的装置可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。