CN105812367A - 一种量子网络中网络接入设备的认证系统及认证方法 - Google Patents

一种量子网络中网络接入设备的认证系统及认证方法 Download PDF

Info

Publication number
CN105812367A
CN105812367A CN201610145563.9A CN201610145563A CN105812367A CN 105812367 A CN105812367 A CN 105812367A CN 201610145563 A CN201610145563 A CN 201610145563A CN 105812367 A CN105812367 A CN 105812367A
Authority
CN
China
Prior art keywords
quantum
certificate
network
quantum devices
devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610145563.9A
Other languages
English (en)
Other versions
CN105812367B (zh
Inventor
夏从俊
喻斌
钟民
钟一民
黄超
蔡晓宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Divine Land Zhejiang Quantum Network Science And Technology Ltd
Original Assignee
Divine Land Zhejiang Quantum Network Science And Technology Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Divine Land Zhejiang Quantum Network Science And Technology Ltd filed Critical Divine Land Zhejiang Quantum Network Science And Technology Ltd
Priority to CN201610145563.9A priority Critical patent/CN105812367B/zh
Publication of CN105812367A publication Critical patent/CN105812367A/zh
Application granted granted Critical
Publication of CN105812367B publication Critical patent/CN105812367B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种量子网络中网络接入设备的认证系统及认证方法,认证系统包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器,认证方法包括网络部署阶段、证书颁发阶段、双向认证阶段、量子密钥更新阶段和心跳认证阶段。本发明提供的一种量子网络中网络接入设备的认证系统及认证方法,在认证过程中采用的是双向认证,并且使用量子密钥对认证信息进行摘要的提取及认证密钥的更新,安全性高,可靠性强。

Description

一种量子网络中网络接入设备的认证系统及认证方法
技术领域
本发明属于量子通信技术领域,具体涉及一种量子网络中网络接入设备的认证系统及认证方法。
背景技术
随着量子通信实用化的推进,量子通信在网络化应用方面的使用前景更加广阔,量子网络利用BB84协议产生的量子密钥对网络中传输的数据进行加密,能够保证信息在因特网上传输的绝对安全,未来计算机网络的发展方向,即为由量子力学保证其安全性的量子网络。
量子网络认证系统类似于经典网络的认证系统,是在量子网络的基础之上建立起来的,在量子网络安全中占有重要的地位,量子网络认证系统的一种情况是对网络接入设备的认证,我们知道,用户端接入量子主干网时需要搭建好自己的内部网络,然而,不法分子通过在网络设备上布置解密软件或者监听软件(主要通过编写拦截程序,截取通讯信息或监听仿真的方式),可以对内部网络的各种防护手段进行有破坏力的攻击,如何保证内部网络的安全,防止来自内部的攻击或信息泄露是用户关心的重要问题。
为有效地防止不法分子利用内网接入设备对量子网络发起攻击,我们可以对连入量子网络的设备进行身份认证,只有通过身份认证的用户设备,量子网络才对其开放网络连接,本发明根据这个基本思想,通过量子设备登录证书和一系列专用算法,能有效阻止未认证设备的接入,从而杜绝来自未认证设备上的各种风险,提高内部网络的安全性,对于已被认证的设备,接入量子网络并不受影响,且每次断网或者重新接入时,认证的数据都是不同的,有效的防止了认证系统被破解情况的发生。
发明内容
针对现有技术不足,结合经典身份认证机制中的常用方法,本发明进行流程整合和创新后,提供了一种量子网络中网络接入设备的认证系统及认证方法,实现了量子网络系统对用户设备合法身份的验证。
为实现发明目的,本发明采用以下技术方案:
一种量子网络中网络接入设备的认证系统,包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器,所述用户端包括用户所持有的量子设备登录证书及用户所要接入量子网络中的网络设备,所述用户端与所述量子设备认证控制器连接,所述用户端在认证过程中是通过量子设备认证控制器、量子网关与所述量子设备认证服务器相连,在认证成功之前,用户端与量子网关之间的网络通路被量子设备认证控制器所阻断;所述量子设备登录证书接入在网络设备和量子设备认证控制器之间,所述网络设备必须通过合法的量子设备登录证书才能接入量子网络,所述量子设备登录证书由登录证书颁发服务器颁发给用户,存有用户设备信息CI、量子设备认证服务器信息SI、量子密钥KEY、用户ID等,是用户网络设备登录量子网络的通行证;所述量子设备认证控制器用于对网络设备能否接入量子网络进行控制,对未通过认证的网络设备,控制其无法接入量子网络,而对通过认证的网络设备的上网功能不予影响。
优选为,所述登录证书颁发服务器通过量子网关与量子设备认证服务器相连,由专门的机构管理,产生的量子密钥用于颁发量子设备登录证书,专门机构的专职人员认证所需接入的设备和所有人信息后,可录入必备的有用信息并存档备用。
优选为,所述量子网关包括用户端量子网关和服务端量子网关,用于量子密钥的生成、存储及传输,所述用户端量子网关和服务端量子网关之间通过两条通道连接,一条是量子信道,一条是经典信道,所述量子信道使用BB84协议产生量子密钥,且量子密钥是基于量子力学的真随机数,所述经典信道用来传送量子信息之外的经典信息。
优选为,所述量子设备认证服务器通过量子网关与整个量子网络相连,所述量子设备登录证书颁发时,产生的量子密钥作为用户注册信息的一部分保存起来,当用户端的网络设备接入量子网络时,所述量子设备认证服务器利用已存储的设备信息,执行一系列认证流程,完成认证服务。
本发明所采用的另一技术方案是:
一种量子网络中网络接入设备的认证方法,包括以下步骤:
(1).网络部署阶段
登录证书颁发服务器与量子设备认证服务器通过量子网关相连接,进行远程颁发量子设备登录证书,所述登录证书颁发服务器所在的服务中心备有一定数量的量子设备登录证书,这些量子设备登录证书在用户申领前,都处于初始状态下,认证用户端包括用户端量子网关、量子设备认证控制器和量子设备登录证书和网络设备,认证服务端包括服务端量子网关和量子设备认证服务器,认证用户端与认证服务端通过量子网关相连,量子网关包括用户端量子网关和服务端量子网关,两者之间连有量子通信特有的光纤信道—量子信道,只有当用户的量子设备登录证书认证成功后,连接在该量子设备登录证书上的网络设备才被量子设备认证控制器允许接入到量子网络中;
(2).证书颁发阶段
量子设备登录证书是网络设备接入量子网络的唯一凭证,代表着用户设备的合法身份,用户端的网络设备只有通过合法的量子设备登录证书才能接入到量子网络中,用户在申请量子设备登录证书前,需要向登录证书颁发服务器所在的服务中心提交用户及其设备的信息,登录证书颁发服务器端的管理员会对用户的信息进行审核,审核通过后为用户完成量子设备登录证书的制作,包括必备信息的写入等,然后为用户颁发证书,所述量子设备登录证书包括用户ID、用户设备信息CI、量子设备认证服务器信息SI及量子密钥KEY,其中用户设备信息是用户设备的特有信息,可由设备ID或MAC地址等信息计算得到;量子设备认证服务器信息是量子设备认证服务器的特有信息,可由服务器ID或MAC地址等信息计算得到;量子密钥KEY是通过量子网络在登录证书颁发服务器和量子设备认证服务器端同时生成的量子密钥,满足真随机性和绝对安全性,量子设备登录证书以硬件的形式颁发给用户,在量子设备登录证书颁发的过程中,登录证书颁发服务器将用户的注册信息通过量子密钥加密后发送给量子设备认证服务器端,量子设备认证服务器端使用对称的量子密钥解密后保存在自己的数据库中,作为用户登录时的认证信息,同理,量子设备认证服务器端将服务器信息通过量子密钥加密后发送给登录证书颁发服务器,登录证书颁发服务器使用对称的量子密钥解密后写入用户的量子设备登录证书中,最终,用户的量子设备登录证书和量子设备认证服务器共享相同的认证信息,包括用户ID、用户设备信息CI、量子设备认证服务器信息SI和量子密钥KEY;
(3).双向认证阶段
用户的网络设备要想接入到量子网络中,必须要有合法的量子设备登录证书,如果没有量子设备登录证书,当用户设备连接在量子网络端口的时候,量子设备认证控制器会阻止不可识别的非法网络设备接入到量子网络中,用户使用量子设备登录证书接入量子网络时需要进行双向认证,即量子设备认证服务器对量子设备登录证书的认证和量子设备登录证书对量子设备认证服务器的认证;
(4).量子密钥更新阶段
认证成功后需更新密钥,用户端量子网关与服务端量子网关通过BB84协议产生量子密钥KEY’,用户端量子网关将量子密钥KEY’下发给量子设备认证控制器,用户端的量子设备登录证书通过量子随机数发生器产生一个随机数N,并将N发送给量子设备认证控制器,量子设备认证控制器使用随机数N将量子密钥KEY’加密后发送给量子设备登录证书,量子设备登录证书解密后将量子密钥KEY’替换量子密钥KEY,量子设备登录证书的量子密钥更新成功,并将成功消息发送给量子设备认证服务器,量子设备认证服务器接到消息后,量子设备认证服务器端将量子密钥KEY’取代量子密钥KEY保存在数据库中,此时双方的量子密钥更新成功,用户端的网络设备即可通过量子设备登录证书接入到量子网络中进行通信;
(5).心跳认证阶段
登录证书更新后,用户进入通信阶段,在此阶段,量子设备登录证书会每隔一段时间发送一个心跳包给量子设备认证控制器,用来进行心跳认证以保证用户网络设备与量子网络之间保持有效连接,如果因断网或者量子设备登录证书发生异常等原因造成心跳包未按协议时间到达,则量子设备认证控制器会断开网络连接,造成用户的网络设备无法登入量子网络。
优选为,所述量子设备认证服务器信息使用加密函数处理,使得每个用户的网络设备所保存的量子设备认证服务器信息是不同的,避免服务器信息的暴露。
优选为,所述量子设备认证服务器对量子设备登录证书的认证:首先,量子设备登录证书使用量子密钥KEY对用户设备信息CI提取摘要,获得摘要H1,然后,将摘要H1与用户ID串行组合后发送给量子设备认证控制器,量子设备认证控制器将接收到的信息通过量子网络转发给量子设备认证服务器进行认证,量子设备认证服务器根据用户ID找到存入在数据库中的相应的认证信息,并使用数据库中对应的量子密钥KEY对用户设备信息CI进行摘要的提取,获得摘要H1’,量子设备认证服务器将H1’和H1进行对比,如果H1=H1’则量子设备认证服务器对量子设备登录证书认证成功,否则失败,当量子设备认证服务器对量子设备登录证书认证成功后,进入量子设备登录证书对量子设备认证服务器的认证阶段。
优选为,所述量子设备登录证书对量子设备认证服务器的认证:量子设备认证服务器端使用量子密钥KEY对量子设备认证服务器信息SI提取摘要,获得摘要H2并发送给量子设备登录证书,量子设备登录证书做同样的操作获得H2’,量子设备登录证书对比H2和H2’,如果H2=H2’则量子设备登录证书对量子设备认证服务器认证成功,否则认证失败,当双方认证成功后,整个认证系统则认证成功,用户端的网络设备即可接入到量子网络中进行通信,但在通信之前,要先完成量子设备登录证书与量子设备认证服务器两端密钥的更新。
本发明的有益效果是:
1.本发明颁发阶段对设备进行认证后,接入网络的设备的合法性得到大大提升,比起设备随意接入的网络,其安全性和规范性得到大大提高,并且便于后续对用户进行行为审计和计费等网络管理;
2.本发明中量子设备登录证书的颁发是由量子网络远程颁发,避免了量子设备登录证书颁发人员跑去量子设备认证服务器所在地制作量子设备登录证书的苦恼,且其通信过程是绝对可靠的,由于其初始的认证密钥KEY是由量子网关之间通过BB84产生的量子密钥,且量子密钥是由物理定律产生的真随机数,具有绝对的安全性,保证了量子设备登录证书高强度的安全性;
3.本发明在认证的过程中,采用的是双向认证,并且使用量子密钥对认证信息进行摘要的提取,而不是用量子密钥对认证信息进行加密,因为摘要算法是不可逆的,这使得认证消息在传播的过程中,窃听者即使获得传输的数据,也无法得到用户的认证信息;
4.本发明中量子设备登录证书中的量子密钥一次认证完成后就更新一次,导致每次设备接入时的认证信息都是不同的,可以有效防止被破解,并且是由量子网关产生的量子密钥对其进行更新,更新后的密钥即为由BB84协议产生量子密钥,具有绝对的安全性;
5.本发明中量子设备登录证书接入在网络设备和量子网络之间,其在认证过程中的数据处理和数据传送均不受网络设备的影响,从而可以有效防止来自网络设备上的各种风险因素对认证过程进行干扰或者监听分析。
附图说明
图1是本发明的网络实施示意图;
图2是本发明的量子设备接入时的身份认证流程图。
具体实施方式
下面结合附图通过具体实施方式对本发明作进一步的说明。
如图1和图2所示,一种量子网络中网络接入设备的认证系统,包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器,所述用户端包括用户所持有的量子设备登录证书及用户所要接入量子网络中的网络设备,所述用户端与所述量子设备认证控制器连接,所述用户端在认证过程中是通过量子设备认证控制器、量子网关与所述量子设备认证服务器相连,在认证成功之前,用户端与量子网关之间的网络通路被量子设备认证控制器所阻断;所述量子设备登录证书接入在网络设备和量子设备认证控制器之间,所述网络设备必须通过合法的量子设备登录证书才能接入量子网络,所述量子设备登录证书由登录证书颁发服务器颁发给用户,存有用户设备信息CI、量子设备认证服务器信息SI、量子密钥KEY、用户ID等,是用户网络设备登录量子网络的通行证;所述量子设备认证控制器用于对网络设备能否接入量子网络进行控制,对未通过认证的网络设备,控制其无法接入量子网络,而对通过认证的网络设备的上网功能不予影响;所述登录证书颁发服务器通过量子网关与量子设备认证服务器相连,由专门的机构管理,产生的量子密钥用于颁发量子设备登录证书,专门机构的专职人员认证所需接入的设备和所有人信息后,可录入必备的有用信息并存档备用;所述量子网关包括用户端量子网关和服务端量子网关,用于量子密钥的生成、存储及传输,所述用户端量子网关和服务端量子网关之间通过两条通道连接,一条是量子信道,一条是经典信道,所述量子信道使用BB84协议产生量子密钥,且量子密钥是基于量子力学的真随机数,所述经典信道用来传送量子信息之外的经典信息;所述量子设备认证服务器通过量子网关与整个量子网络相连,所述量子设备登录证书颁发时,产生的量子密钥作为用户注册信息的一部分保存起来,当用户端的网络设备接入量子网络时,所述量子设备认证服务器利用已存储的设备信息,执行一系列认证流程,完成认证服务。
如图1和图2所示,一种量子网络中网络接入设备的认证方法,包括以下步骤:
(1).网络部署阶段
登录证书颁发服务器与量子设备认证服务器通过量子网关相连接,进行远程颁发量子设备登录证书,所述登录证书颁发服务器所在的服务中心备有一定数量的量子设备登录证书,这些量子设备登录证书在用户申领前,都处于初始状态下,认证用户端包括用户端量子网关、量子设备认证控制器和量子设备登录证书和网络设备,认证服务端包括服务端量子网关和量子设备认证服务器,认证用户端与认证服务端通过量子网关相连,量子网关包括用户端量子网关和服务端量子网关,两者之间连有量子通信特有的光纤信道—量子信道,只有当用户的量子设备登录证书认证成功后,连接在该量子设备登录证书上的网络设备才被量子设备认证控制器允许接入到量子网络中;
(2).证书颁发阶段
量子设备登录证书是网络设备接入量子网络的唯一凭证,代表着用户设备的合法身份,用户端的网络设备只有通过合法的量子设备登录证书才能接入到量子网络中,用户在申请量子设备登录证书前,需要向登录证书颁发服务器所在的服务中心提交用户及其设备的信息,登录证书颁发服务器端的管理员会对用户的信息进行审核,审核通过后为用户完成量子设备登录证书的制作,包括必备信息的写入等,然后为用户颁发证书,所述量子设备登录证书包括用户ID、用户设备信息CI、量子设备认证服务器信息SI及量子密钥KEY,其中用户设备信息是用户设备的特有信息,可由设备ID或MAC地址等信息计算得到;量子设备认证服务器信息是量子设备认证服务器的特有信息,可由服务器ID或MAC地址等信息计算得到;量子密钥KEY是通过量子网络在登录证书颁发服务器和量子设备认证服务器端同时生成的量子密钥,满足真随机性和绝对安全性,量子设备登录证书以硬件的形式颁发给用户,在量子设备登录证书颁发的过程中,登录证书颁发服务器将用户的注册信息通过量子密钥加密后发送给量子设备认证服务器端,量子设备认证服务器端使用对称的量子密钥解密后保存在自己的数据库中,作为用户登录时的认证信息,同理,量子设备认证服务器端将服务器信息通过量子密钥加密后发送给登录证书颁发服务器,登录证书颁发服务器使用对称的量子密钥解密后写入用户的量子设备登录证书中,最终,用户的量子设备登录证书和量子设备认证服务器共享相同的认证信息,包括用户ID、用户设备信息CI、量子设备认证服务器信息SI和量子密钥KEY;
(3).双向认证阶段
用户的网络设备要想接入到量子网络中,必须要有合法的量子设备登录证书,如果没有量子设备登录证书,当用户设备连接在量子网络端口的时候,量子设备认证控制器会阻止不可识别的非法网络设备接入到量子网络中,用户使用量子设备登录证书接入量子网络时需要进行双向认证,即量子设备认证服务器对量子设备登录证书的认证和量子设备登录证书对量子设备认证服务器的认证;
(4).量子密钥更新阶段
认证成功后需更新密钥,用户端量子网关与服务端量子网关通过BB84协议产生量子密钥KEY’,用户端量子网关将量子密钥KEY’下发给量子设备认证控制器,用户端的量子设备登录证书通过量子随机数发生器产生一个随机数N,并将N发送给量子设备认证控制器,量子设备认证控制器使用随机数N将量子密钥KEY’加密后发送给量子设备登录证书,量子设备登录证书解密后将量子密钥KEY’替换量子密钥KEY,量子设备登录证书的量子密钥更新成功,并将成功消息发送给量子设备认证服务器,量子设备认证服务器接到消息后,量子设备认证服务器端将量子密钥KEY’取代量子密钥KEY保存在数据库中,此时双方的量子密钥更新成功,用户端的网络设备即可通过量子设备登录证书接入到量子网络中进行通信;
(5).心跳认证阶段
登录证书更新后,用户进入通信阶段,在此阶段,量子设备登录证书会每隔一段时间发送一个心跳包给量子设备认证控制器,用来进行心跳认证以保证用户网络设备与量子网络之间保持有效连接,如果因断网或者量子设备登录证书发生异常等原因造成心跳包未按协议时间到达,则量子设备认证控制器会断开网络连接,造成用户的网络设备无法登入量子网络。
所述量子设备认证服务器信息使用加密函数处理,使得每个用户的网络设备所保存的量子设备认证服务器信息是不同的,避免服务器信息的暴露。
所述量子设备认证服务器对量子设备登录证书的认证:首先,量子设备登录证书使用量子密钥KEY对用户设备信息CI提取摘要,获得摘要H1,然后,将摘要H1与用户ID串行组合后发送给量子设备认证控制器,量子设备认证控制器将接收到的信息通过量子网络转发给量子设备认证服务器进行认证,量子设备认证服务器根据用户ID找到存入在数据库中的相应的认证信息,并使用数据库中对应的量子密钥KEY对用户设备信息CI进行摘要的提取,获得摘要H1’,量子设备认证服务器将H1’和H1进行对比,如果H1=H1’则量子设备认证服务器对量子设备登录证书认证成功,否则失败,当量子设备认证服务器对量子设备登录证书认证成功后,进入量子设备登录证书对量子设备认证服务器的认证阶段。
所述量子设备登录证书对量子设备认证服务器的认证:量子设备认证服务器端使用量子密钥KEY对量子设备认证服务器信息SI提取摘要,获得摘要H2并发送给量子设备登录证书,量子设备登录证书做同样的操作获得H2’,量子设备登录证书对比H2和H2’,如果H2=H2’则量子设备登录证书对量子设备认证服务器认证成功,否则认证失败,当双方认证成功后,整个认证系统则认证成功,用户端的网络设备即可接入到量子网络中进行通信,但在通信之前,要先完成量子设备登录证书与量子设备认证服务器两端密钥的更新。
以上所述仅为本发明的具体实施例,但本发明的结构特征并不局限于此,本发明可以用于类似的产品上,任何本领域的技术人员在本发明的领域内,所作的变化或修饰皆涵盖在本发明的专利范围之中。

Claims (8)

1.一种量子网络中网络接入设备的认证系统,其特征在于:包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器,所述用户端包括用户所持有的量子设备登录证书及用户所要接入量子网络中的网络设备,所述用户端与所述量子设备认证控制器连接,所述用户端在认证过程中是通过量子设备认证控制器、量子网关与所述量子设备认证服务器相连,在认证成功之前,用户端与量子网关之间的网络通路被量子设备认证控制器所阻断;所述量子设备登录证书接入在网络设备和量子设备认证控制器之间,所述网络设备必须通过合法的量子设备登录证书才能接入量子网络,所述量子设备登录证书由登录证书颁发服务器颁发给用户,存有用户设备信息CI、量子设备认证服务器信息SI、量子密钥KEY、用户ID等,是用户网络设备登录量子网络的通行证;所述量子设备认证控制器用于对网络设备能否接入量子网络进行控制,对未通过认证的网络设备,控制其无法接入量子网络,而对通过认证的网络设备的上网功能不予影响。
2.如权利要求1所述的量子网络中网络接入设备的认证系统,其特征在于:所述登录证书颁发服务器通过量子网关与量子设备认证服务器相连,由专门的机构管理,产生的量子密钥用于颁发量子设备登录证书,专门机构的专职人员认证所需接入的设备和所有人信息后,可录入必备的有用信息并存档备用。
3.如权利要求1或2所述的量子网络中网络接入设备的认证系统,其特征在于:所述量子网关包括用户端量子网关和服务端量子网关,用于量子密钥的生成、存储及传输,所述用户端量子网关和服务端量子网关之间通过两条通道连接,一条是量子信道,一条是经典信道,所述量子信道使用BB84协议产生量子密钥,且量子密钥是基于量子力学的真随机数,所述经典信道用来传送量子信息之外的经典信息。
4.如权利要求3所述的量子网络中网络接入设备的认证系统,其特征在于:所述量子设备认证服务器通过量子网关与整个量子网络相连,所述量子设备登录证书颁发时,产生的量子密钥作为用户注册信息的一部分保存起来,当用户端的网络设备接入量子网络时,所述量子设备认证服务器利用已存储的设备信息,执行一系列认证流程,完成认证服务。
5.一种量子网络中网络接入设备的认证方法,其特征在于:包括以下步骤:
(1).网络部署阶段
登录证书颁发服务器与量子设备认证服务器通过量子网关相连接,进行远程颁发量子设备登录证书,所述登录证书颁发服务器所在的服务中心备有一定数量的量子设备登录证书,这些量子设备登录证书在用户申领前,都处于初始状态下,认证用户端包括用户端量子网关、量子设备认证控制器和量子设备登录证书和网络设备,认证服务端包括服务端量子网关和量子设备认证服务器,认证用户端与认证服务端通过量子网关相连,量子网关包括用户端量子网关和服务端量子网关,两者之间连有量子通信特有的光纤信道—量子信道,只有当用户的量子设备登录证书认证成功后,连接在该量子设备登录证书上的网络设备才被量子设备认证控制器允许接入到量子网络中;
(2).证书颁发阶段
量子设备登录证书是网络设备接入量子网络的唯一凭证,代表着用户设备的合法身份,用户端的网络设备只有通过合法的量子设备登录证书才能接入到量子网络中,用户在申请量子设备登录证书前,需要向登录证书颁发服务器所在的服务中心提交用户及其设备的信息,登录证书颁发服务器端的管理员会对用户的信息进行审核,审核通过后为用户完成量子设备登录证书的制作,包括必备信息的写入等,然后为用户颁发证书,所述量子设备登录证书包括用户ID、用户设备信息CI、量子设备认证服务器信息SI及量子密钥KEY,其中用户设备信息是用户设备的特有信息,可由设备ID或MAC地址等信息计算得到;量子设备认证服务器信息是量子设备认证服务器的特有信息,可由服务器ID或MAC地址等信息计算得到;量子密钥KEY是通过量子网络在登录证书颁发服务器和量子设备认证服务器端同时生成的量子密钥,满足真随机性和绝对安全性,量子设备登录证书以硬件的形式颁发给用户,在量子设备登录证书颁发的过程中,登录证书颁发服务器将用户的注册信息通过量子密钥加密后发送给量子设备认证服务器端,量子设备认证服务器端使用对称的量子密钥解密后保存在自己的数据库中,作为用户登录时的认证信息,同理,量子设备认证服务器端将服务器信息通过量子密钥加密后发送给登录证书颁发服务器,登录证书颁发服务器使用对称的量子密钥解密后写入用户的量子设备登录证书中,最终,用户的量子设备登录证书和量子设备认证服务器共享相同的认证信息,包括用户ID、用户设备信息CI、量子设备认证服务器信息SI和量子密钥KEY;
(3).双向认证阶段
用户的网络设备要想接入到量子网络中,必须要有合法的量子设备登录证书,如果没有量子设备登录证书,当用户设备连接在量子网络端口的时候,量子设备认证控制器会阻止不可识别的非法网络设备接入到量子网络中,用户使用量子设备登录证书接入量子网络时需要进行双向认证,即量子设备认证服务器对量子设备登录证书的认证和量子设备登录证书对量子设备认证服务器的认证;
(4).量子密钥更新阶段
认证成功后需更新密钥,用户端量子网关与服务端量子网关通过BB84协议产生量子密钥KEY’,用户端量子网关将量子密钥KEY’下发给量子设备认证控制器,用户端的量子设备登录证书通过量子随机数发生器产生一个随机数N,并将N发送给量子设备认证控制器,量子设备认证控制器使用随机数N将量子密钥KEY’加密后发送给量子设备登录证书,量子设备登录证书解密后将量子密钥KEY’替换量子密钥KEY,量子设备登录证书的量子密钥更新成功,并将成功消息发送给量子设备认证服务器,量子设备认证服务器接到消息后,量子设备认证服务器端将量子密钥KEY’取代量子密钥KEY保存在数据库中,此时双方的量子密钥更新成功,用户端的网络设备即可通过量子设备登录证书接入到量子网络中进行通信;
(5).心跳认证阶段
登录证书更新后,用户进入通信阶段,在此阶段,量子设备登录证书会每隔一段时间发送一个心跳包给量子设备认证控制器,用来进行心跳认证以保证用户网络设备与量子网络之间保持有效连接,如果因断网或者量子设备登录证书发生异常等原因造成心跳包未按协议时间到达,则量子设备认证控制器会断开网络连接,造成用户的网络设备无法登入量子网络。
6.如权利要求5所述的量子网络中网络接入设备的认证方法,其特征在于:所述量子设备认证服务器信息使用加密函数处理,使得每个用户的网络设备所保存的量子设备认证服务器信息是不同的,避免服务器信息的暴露。
7.如权利要求5所述的量子网络中网络接入设备的认证方法,其特征在于:所述量子设备认证服务器对量子设备登录证书的认证:首先,量子设备登录证书使用量子密钥KEY对用户设备信息CI提取摘要,获得摘要H1,然后,将摘要H1与用户ID串行组合后发送给量子设备认证控制器,量子设备认证控制器将接收到的信息通过量子网络转发给量子设备认证服务器进行认证,量子设备认证服务器根据用户ID找到存入在数据库中的相应的认证信息,并使用数据库中对应的量子密钥KEY对用户设备信息CI进行摘要的提取,获得摘要H1’,量子设备认证服务器将H1’和H1进行对比,如果H1=H1’则量子设备认证服务器对量子设备登录证书认证成功,否则失败,当量子设备认证服务器对量子设备登录证书认证成功后,进入量子设备登录证书对量子设备认证服务器的认证阶段。
8.如权利要求5所述的量子网络中网络接入设备的认证方法,其特征在于:所述量子设备登录证书对量子设备认证服务器的认证:量子设备认证服务器端使用量子密钥KEY对量子设备认证服务器信息SI提取摘要,获得摘要H2并发送给量子设备登录证书,量子设备登录证书做同样的操作获得H2’,量子设备登录证书对比H2和H2’,如果H2=H2’则量子设备登录证书对量子设备认证服务器认证成功,否则认证失败,当双方认证成功后,整个认证系统则认证成功,用户端的网络设备即可接入到量子网络中进行通信,但在通信之前,要先完成量子设备登录证书与量子设备认证服务器两端密钥的更新。
CN201610145563.9A 2016-03-15 2016-03-15 一种量子网络中网络接入设备的认证系统及认证方法 Active CN105812367B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610145563.9A CN105812367B (zh) 2016-03-15 2016-03-15 一种量子网络中网络接入设备的认证系统及认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610145563.9A CN105812367B (zh) 2016-03-15 2016-03-15 一种量子网络中网络接入设备的认证系统及认证方法

Publications (2)

Publication Number Publication Date
CN105812367A true CN105812367A (zh) 2016-07-27
CN105812367B CN105812367B (zh) 2018-08-17

Family

ID=56467362

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610145563.9A Active CN105812367B (zh) 2016-03-15 2016-03-15 一种量子网络中网络接入设备的认证系统及认证方法

Country Status (1)

Country Link
CN (1) CN105812367B (zh)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106250663A (zh) * 2016-09-21 2016-12-21 中国运载火箭技术研究院 一种基于量子力学描述的体系仿真方法
CN106357346A (zh) * 2016-10-28 2017-01-25 章美前 一种量子通信系统
CN106357396A (zh) * 2016-09-23 2017-01-25 浙江神州量子网络科技有限公司 数字签名方法和系统以及量子密钥卡
CN106452740A (zh) * 2016-09-23 2017-02-22 浙江神州量子网络科技有限公司 一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法
CN106712938A (zh) * 2016-12-26 2017-05-24 浙江神州量子网络科技有限公司 一种量子白板通信方法和系统
CN106789029A (zh) * 2017-01-04 2017-05-31 浙江神州量子网络科技有限公司 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统
CN106888084A (zh) * 2017-01-04 2017-06-23 浙江神州量子网络科技有限公司 一种量子堡垒机系统及其认证方法
CN107403310A (zh) * 2016-12-30 2017-11-28 浙江神州量子通信技术有限公司 量子城域网下支付系统及其支付方法
CN108737076A (zh) * 2017-04-13 2018-11-02 山东量子科学技术研究院有限公司 一种身份认证系统及身份认证方法
CN108900298A (zh) * 2018-07-11 2018-11-27 长春大学 基于量子密码水印的私有区块链诚实节点认证接入方法
CN109033788A (zh) * 2018-06-15 2018-12-18 北京文创园投资管理有限公司 一种基于区块链技术的证书管理方法和装置
CN109213603A (zh) * 2018-05-31 2019-01-15 合肥本源量子计算科技有限责任公司 一种用于对接量子计算机与用户的云平台及平台运行方法
CN109462572A (zh) * 2018-09-13 2019-03-12 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于加密卡和UsbKey的多因子认证方法和系统及安全网关
CN109543367A (zh) * 2018-11-14 2019-03-29 苏州科达科技股份有限公司 基于量子加密的软件授权方法、装置及存储介质
CN110049007A (zh) * 2019-03-08 2019-07-23 视联动力信息技术股份有限公司 视联网传输方法和装置
CN110808827A (zh) * 2019-09-20 2020-02-18 北京电信易通信息技术股份有限公司 基于量子加密的空中发证方法及系统
CN111917543A (zh) * 2020-08-14 2020-11-10 国科量子通信网络有限公司 用户接入云平台安全接入认证系统及其应用方法
WO2020244145A1 (zh) * 2019-06-06 2020-12-10 江苏亨通问天量子信息研究院有限公司 量子无线网络通信系统
CN112818329A (zh) * 2021-04-19 2021-05-18 上海银基信息安全技术股份有限公司 认证方法及装置、用户端、设备端及存储介质
CN113242238A (zh) * 2021-05-10 2021-08-10 中国建设银行股份有限公司 安全通信方法、装置及系统
CN114070555A (zh) * 2021-11-12 2022-02-18 江苏亨通问天量子信息研究院有限公司 一种量子密钥分发方法及计算机可读存储介质
CN114520716A (zh) * 2020-11-19 2022-05-20 如般量子科技有限公司 可计费的量子密钥及量子密钥分发网络计费方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110142242A1 (en) * 2009-12-16 2011-06-16 Sony Corporation Quantum public key encryption system, key generation apparatus, encryption apparatus, decryption apparatus, key generation method, encryption method, and decryption method
CN102761868A (zh) * 2012-04-28 2012-10-31 黄林果 一种空间网络条件下的安全接入认证方法
CN102932244A (zh) * 2012-10-25 2013-02-13 中国航天科工集团第二研究院七〇六所 基于双向可信性验证的可信接入网关
CN103338448A (zh) * 2013-06-07 2013-10-02 国家电网公司 一种基于量子密钥分发的无线局域网安全通信方法
CN103475464A (zh) * 2013-08-20 2013-12-25 国家电网公司 一种电力专用量子加密网关系统
CN103763099A (zh) * 2014-02-13 2014-04-30 国家电网公司 一种基于量子密钥分配技术的电力安全通信网络
CN105119941A (zh) * 2015-09-16 2015-12-02 浙江神州量子网络科技有限公司 量子印章盖章及验证系统及其配置、盖章流程和验证方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110142242A1 (en) * 2009-12-16 2011-06-16 Sony Corporation Quantum public key encryption system, key generation apparatus, encryption apparatus, decryption apparatus, key generation method, encryption method, and decryption method
CN102761868A (zh) * 2012-04-28 2012-10-31 黄林果 一种空间网络条件下的安全接入认证方法
CN102932244A (zh) * 2012-10-25 2013-02-13 中国航天科工集团第二研究院七〇六所 基于双向可信性验证的可信接入网关
CN103338448A (zh) * 2013-06-07 2013-10-02 国家电网公司 一种基于量子密钥分发的无线局域网安全通信方法
CN103475464A (zh) * 2013-08-20 2013-12-25 国家电网公司 一种电力专用量子加密网关系统
CN103763099A (zh) * 2014-02-13 2014-04-30 国家电网公司 一种基于量子密钥分配技术的电力安全通信网络
CN105119941A (zh) * 2015-09-16 2015-12-02 浙江神州量子网络科技有限公司 量子印章盖章及验证系统及其配置、盖章流程和验证方法

Cited By (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106250663A (zh) * 2016-09-21 2016-12-21 中国运载火箭技术研究院 一种基于量子力学描述的体系仿真方法
CN106250663B (zh) * 2016-09-21 2019-08-09 中国运载火箭技术研究院 一种基于量子力学描述的体系仿真方法
CN106452740A (zh) * 2016-09-23 2017-02-22 浙江神州量子网络科技有限公司 一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法
CN106357396A (zh) * 2016-09-23 2017-01-25 浙江神州量子网络科技有限公司 数字签名方法和系统以及量子密钥卡
CN106452740B (zh) * 2016-09-23 2019-11-22 浙江神州量子网络科技有限公司 一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法
CN106357396B (zh) * 2016-09-23 2019-11-12 浙江神州量子网络科技有限公司 数字签名方法和系统以及量子密钥卡
CN106357346A (zh) * 2016-10-28 2017-01-25 章美前 一种量子通信系统
CN106712938B (zh) * 2016-12-26 2020-09-04 浙江神州量子网络科技有限公司 一种量子白板通信方法和系统
CN106712938A (zh) * 2016-12-26 2017-05-24 浙江神州量子网络科技有限公司 一种量子白板通信方法和系统
CN107403310A (zh) * 2016-12-30 2017-11-28 浙江神州量子通信技术有限公司 量子城域网下支付系统及其支付方法
CN106789029A (zh) * 2017-01-04 2017-05-31 浙江神州量子网络科技有限公司 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统
CN106888084A (zh) * 2017-01-04 2017-06-23 浙江神州量子网络科技有限公司 一种量子堡垒机系统及其认证方法
CN106789029B (zh) * 2017-01-04 2019-11-22 浙江神州量子网络科技有限公司 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统
CN106888084B (zh) * 2017-01-04 2021-02-19 浙江神州量子网络科技有限公司 一种量子堡垒机系统及其认证方法
CN108737076A (zh) * 2017-04-13 2018-11-02 山东量子科学技术研究院有限公司 一种身份认证系统及身份认证方法
CN109213603A (zh) * 2018-05-31 2019-01-15 合肥本源量子计算科技有限责任公司 一种用于对接量子计算机与用户的云平台及平台运行方法
CN109033788B (zh) * 2018-06-15 2021-06-11 北京文创园投资管理有限公司 一种基于区块链技术的证书管理方法和装置
CN109033788A (zh) * 2018-06-15 2018-12-18 北京文创园投资管理有限公司 一种基于区块链技术的证书管理方法和装置
CN108900298A (zh) * 2018-07-11 2018-11-27 长春大学 基于量子密码水印的私有区块链诚实节点认证接入方法
CN108900298B (zh) * 2018-07-11 2020-09-18 长春大学 基于量子密码水印的私有区块链诚实节点认证接入方法
CN109462572A (zh) * 2018-09-13 2019-03-12 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于加密卡和UsbKey的多因子认证方法和系统及安全网关
CN109462572B (zh) * 2018-09-13 2021-03-23 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关
CN109543367B (zh) * 2018-11-14 2020-11-10 苏州科达科技股份有限公司 基于量子加密的软件授权方法、装置及存储介质
CN109543367A (zh) * 2018-11-14 2019-03-29 苏州科达科技股份有限公司 基于量子加密的软件授权方法、装置及存储介质
CN110049007A (zh) * 2019-03-08 2019-07-23 视联动力信息技术股份有限公司 视联网传输方法和装置
CN110049007B (zh) * 2019-03-08 2021-09-10 视联动力信息技术股份有限公司 视联网传输方法和装置
WO2020244145A1 (zh) * 2019-06-06 2020-12-10 江苏亨通问天量子信息研究院有限公司 量子无线网络通信系统
CN110808827A (zh) * 2019-09-20 2020-02-18 北京电信易通信息技术股份有限公司 基于量子加密的空中发证方法及系统
CN111917543A (zh) * 2020-08-14 2020-11-10 国科量子通信网络有限公司 用户接入云平台安全接入认证系统及其应用方法
CN111917543B (zh) * 2020-08-14 2023-08-29 国科量子通信网络有限公司 用户接入云平台安全接入认证系统及其应用方法
CN114520716A (zh) * 2020-11-19 2022-05-20 如般量子科技有限公司 可计费的量子密钥及量子密钥分发网络计费方法及系统
CN114520716B (zh) * 2020-11-19 2024-02-13 如般量子科技有限公司 可计费的量子密钥及量子密钥分发网络计费方法及系统
CN112818329B (zh) * 2021-04-19 2021-07-13 上海银基信息安全技术股份有限公司 认证方法及装置、用户端、设备端及存储介质
CN112818329A (zh) * 2021-04-19 2021-05-18 上海银基信息安全技术股份有限公司 认证方法及装置、用户端、设备端及存储介质
CN113242238A (zh) * 2021-05-10 2021-08-10 中国建设银行股份有限公司 安全通信方法、装置及系统
CN114070555A (zh) * 2021-11-12 2022-02-18 江苏亨通问天量子信息研究院有限公司 一种量子密钥分发方法及计算机可读存储介质

Also Published As

Publication number Publication date
CN105812367B (zh) 2018-08-17

Similar Documents

Publication Publication Date Title
CN105812367A (zh) 一种量子网络中网络接入设备的认证系统及认证方法
CN100496025C (zh) 一种基于三元对等鉴别的可信网络接入控制方法
CN101741860B (zh) 一种计算机远程安全控制方法
CN101150406B (zh) 基于802.1x协议的网络设备认证方法及系统及相关装置
CN109410406A (zh) 一种授权方法、装置和系统
CN108418691A (zh) 基于sgx的动态网络身份认证方法
CN105162808B (zh) 一种基于国密算法的安全登录方法
CN111770071B (zh) 一种网络隐身场景下网关认证可信设备的方法和装置
CN108429730A (zh) 无反馈安全认证与访问控制方法
CN101159640A (zh) 一种基于三元对等鉴别的可信网络接入控制系统
CN107769913A (zh) 一种基于量子UKey的通信方法及系统
CN104767731A (zh) 一种Restful移动交易系统身份认证防护方法
CN105323754B (zh) 一种基于预共享密钥的分布式鉴权方法
CN109474419A (zh) 一种活体人像照片加密、解密方法及加解密系统
CN103079200A (zh) 一种无线接入的认证方法、系统及无线路由器
CN108769007A (zh) 网关安全认证方法、服务器及网关
CN110020524A (zh) 一种基于智能卡的双向认证方法
CN109951513A (zh) 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统
CN106789024A (zh) 一种远程解锁方法、装置和系统
CN109889669A (zh) 一种基于安全加密算法的手机开锁方法及系统
CZ2013373A3 (cs) Způsob autentizace bezpečného datového kanálu
CN109150906A (zh) 一种实时数据通信安全方法
CN111756530B (zh) 量子服务移动引擎系统、网络架构及相关设备
CN102025748A (zh) 获取Kerberos认证方式的用户名的方法、装置和系统
Bansal et al. Lightweight authentication protocol for inter base station communication in heterogeneous networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant