CN105812367B - 一种量子网络中网络接入设备的认证系统及认证方法 - Google Patents
一种量子网络中网络接入设备的认证系统及认证方法 Download PDFInfo
- Publication number
- CN105812367B CN105812367B CN201610145563.9A CN201610145563A CN105812367B CN 105812367 B CN105812367 B CN 105812367B CN 201610145563 A CN201610145563 A CN 201610145563A CN 105812367 B CN105812367 B CN 105812367B
- Authority
- CN
- China
- Prior art keywords
- quantum
- certificate
- network
- devices
- quantum devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种量子网络中网络接入设备的认证系统及认证方法,认证系统包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器,认证方法包括网络部署阶段、证书颁发阶段、双向认证阶段、量子密钥更新阶段和心跳认证阶段。本发明提供的一种量子网络中网络接入设备的认证系统及认证方法,在认证过程中采用的是双向认证,并且使用量子密钥对认证信息进行摘要的提取及认证密钥的更新,安全性高,可靠性强。
Description
技术领域
本发明属于量子通信技术领域,具体涉及一种量子网络中网络接入设备的认证系统及认证方法。
背景技术
随着量子通信实用化的推进,量子通信在网络化应用方面的使用前景更加广阔,量子网络利用BB84协议产生的量子密钥对网络中传输的数据进行加密,能够保证信息在因特网上传输的绝对安全,未来计算机网络的发展方向,即为由量子力学保证其安全性的量子网络。
量子网络认证系统类似于经典网络的认证系统,是在量子网络的基础之上建立起来的,在量子网络安全中占有重要的地位,量子网络认证系统的一种情况是对网络接入设备的认证,我们知道,用户端接入量子主干网时需要搭建好自己的内部网络,然而,不法分子通过在网络设备上布置解密软件或者监听软件(主要通过编写拦截程序,截取通讯信息或监听仿真的方式),可以对内部网络的各种防护手段进行有破坏力的攻击,如何保证内部网络的安全,防止来自内部的攻击或信息泄露是用户关心的重要问题。
为有效地防止不法分子利用内网接入设备对量子网络发起攻击,我们可以对连入量子网络的设备进行身份认证,只有通过身份认证的用户设备,量子网络才对其开放网络连接,本发明根据这个基本思想,通过量子设备登录证书和一系列专用算法,能有效阻止未认证设备的接入, 从而杜绝来自未认证设备上的各种风险,提高内部网络的安全性,对于已被认证的设备,接入量子网络并不受影响,且每次断网或者重新接入时,认证的数据都是不同的,有效的防止了认证系统被破解情况的发生。
发明内容
针对现有技术不足,结合经典身份认证机制中的常用方法,本发明进行流程整合和创新后,提供了一种量子网络中网络接入设备的认证系统及认证方法,实现了量子网络系统对用户设备合法身份的验证。
为实现发明目的,本发明采用以下技术方案:
一种量子网络中网络接入设备的认证系统,包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器,所述用户端包括用户所持有的量子设备登录证书及用户所要接入量子网络中的网络设备,所述用户端与所述量子设备认证控制器连接,所述用户端在认证过程中是通过量子设备认证控制器、量子网关与所述量子设备认证服务器相连,在认证成功之前,用户端与量子网关之间的网络通路被量子设备认证控制器所阻断;所述量子设备登录证书接入在网络设备和量子设备认证控制器之间,所述网络设备必须通过合法的量子设备登录证书才能接入量子网络,所述量子设备登录证书由登录证书颁发服务器颁发给用户,存有用户设备信息CI、量子设备认证服务器信息SI、量子密钥KEY、用户ID等,是用户网络设备登录量子网络的通行证;所述量子设备认证控制器用于对网络设备能否接入量子网络进行控制,对未通过认证的网络设备,控制其无法接入量子网络,而对通过认证的网络设备的上网功能不予影响。
优选为,所述登录证书颁发服务器通过量子网关与量子设备认证服务器相连,由专门的机构管理,产生的量子密钥用于颁发量子设备登录证书,专门机构的专职人员认证所需接入的设备和所有人信息后,可录入必备的有用信息并存档备用。
优选为,所述量子网关包括用户端量子网关和服务端量子网关,用于量子密钥的生成、存储及传输,所述用户端量子网关和服务端量子网关之间通过两条通道连接,一条是量子信道,一条是经典信道,所述量子信道使用BB84协议产生量子密钥,且量子密钥是基于量子力学的真随机数,所述经典信道用来传送量子信息之外的经典信息。
优选为,所述量子设备认证服务器通过量子网关与整个量子网络相连,所述量子设备登录证书颁发时,产生的量子密钥作为用户注册信息的一部分保存起来,当用户端的网络设备接入量子网络时,所述量子设备认证服务器利用已存储的设备信息,执行一系列认证流程,完成认证服务。
本发明所采用的另一技术方案是:
一种量子网络中网络接入设备的认证方法,包括以下步骤:
(1).网络部署阶段
登录证书颁发服务器与量子设备认证服务器通过量子网关相连接,进行远程颁发量子设备登录证书,所述登录证书颁发服务器所在的服务中心备有一定数量的量子设备登录证书,这些量子设备登录证书在用户申领前,都处于初始状态下,认证用户端包括用户端量子网关、量子设备认证控制器和量子设备登录证书和网络设备,认证服务端包括服务端量子网关和量子设备认证服务器,认证用户端与认证服务端通过量子网关相连,量子网关包括用户端量子网关和服务端量子网关,两者之间连有量子通信特有的光纤信道—量子信道,只有当用户的量子设备登录证书认证成功后,连接在该量子设备登录证书上的网络设备才被量子设备认证控制器允许接入到量子网络中;
(2).证书颁发阶段
量子设备登录证书是网络设备接入量子网络的唯一凭证,代表着用户设备的合法身份,用户端的网络设备只有通过合法的量子设备登录证书才能接入到量子网络中,用户在申请量子设备登录证书前,需要向登录证书颁发服务器所在的服务中心提交用户及其设备的信息,登录证书颁发服务器端的管理员会对用户的信息进行审核,审核通过后为用户完成量子设备登录证书的制作,包括必备信息的写入等,然后为用户颁发证书,所述量子设备登录证书包括用户ID、用户设备信息CI、量子设备认证服务器信息SI及量子密钥KEY,其中用户设备信息是用户设备的特有信息,可由设备ID或MAC地址等信息计算得到;量子设备认证服务器信息是量子设备认证服务器的特有信息,可由服务器ID或MAC地址等信息计算得到;量子密钥KEY是通过量子网络在登录证书颁发服务器和量子设备认证服务器端同时生成的量子密钥,满足真随机性和绝对安全性,量子设备登录证书以硬件的形式颁发给用户,在量子设备登录证书颁发的过程中,登录证书颁发服务器将用户的注册信息通过量子密钥加密后发送给量子设备认证服务器端,量子设备认证服务器端使用对称的量子密钥解密后保存在自己的数据库中,作为用户登录时的认证信息,同理,量子设备认证服务器端将服务器信息通过量子密钥加密后发送给登录证书颁发服务器,登录证书颁发服务器使用对称的量子密钥解密后写入用户的量子设备登录证书中,最终,用户的量子设备登录证书和量子设备认证服务器共享相同的认证信息,包括用户ID、用户设备信息CI、量子设备认证服务器信息SI和量子密钥KEY;
(3).双向认证阶段
用户的网络设备要想接入到量子网络中,必须要有合法的量子设备登录证书,如果没有量子设备登录证书,当用户设备连接在量子网络端口的时候,量子设备认证控制器会阻止不可识别的非法网络设备接入到量子网络中,用户使用量子设备登录证书接入量子网络时需要进行双向认证,即量子设备认证服务器对量子设备登录证书的认证和量子设备登录证书对量子设备认证服务器的认证;
(4).量子密钥更新阶段
认证成功后需更新密钥,用户端量子网关与服务端量子网关通过BB84协议产生量子密钥KEY’,用户端量子网关将量子密钥KEY’下发给量子设备认证控制器,用户端的量子设备登录证书通过量子随机数发生器产生一个随机数N,并将N发送给量子设备认证控制器,量子设备认证控制器使用随机数N将量子密钥KEY’加密后发送给量子设备登录证书,量子设备登录证书解密后将量子密钥KEY’替换量子密钥KEY,量子设备登录证书的量子密钥更新成功,并将成功消息发送给量子设备认证服务器,量子设备认证服务器接到消息后,量子设备认证服务器端将量子密钥KEY’取代量子密钥KEY保存在数据库中,此时双方的量子密钥更新成功,用户端的网络设备即可通过量子设备登录证书接入到量子网络中进行通信;
(5).心跳认证阶段
登录证书更新后,用户进入通信阶段,在此阶段,量子设备登录证书会每隔一段时间发送一个心跳包给量子设备认证控制器,用来进行心跳认证以保证用户网络设备与量子网络之间保持有效连接,如果因断网或者量子设备登录证书发生异常等原因造成心跳包未按协议时间到达,则量子设备认证控制器会断开网络连接,造成用户的网络设备无法登入量子网络。
优选为,所述量子设备认证服务器信息使用加密函数处理,使得每个用户的网络设备所保存的量子设备认证服务器信息是不同的,避免服务器信息的暴露。
优选为,所述量子设备认证服务器对量子设备登录证书的认证:首先,量子设备登录证书使用量子密钥KEY对用户设备信息CI提取摘要,获得摘要H1,然后,将摘要H1与用户ID串行组合后发送给量子设备认证控制器,量子设备认证控制器将接收到的信息通过量子网络转发给量子设备认证服务器进行认证,量子设备认证服务器根据用户ID找到存入在数据库中的相应的认证信息,并使用数据库中对应的量子密钥KEY对用户设备信息CI进行摘要的提取,获得摘要H1’,量子设备认证服务器将H1’和H1进行对比,如果H1=H1’则量子设备认证服务器对量子设备登录证书认证成功,否则失败,当量子设备认证服务器对量子设备登录证书认证成功后,进入量子设备登录证书对量子设备认证服务器的认证阶段。
优选为,所述量子设备登录证书对量子设备认证服务器的认证:量子设备认证服务器端使用量子密钥KEY对量子设备认证服务器信息SI提取摘要,获得摘要H2并发送给量子设备登录证书,量子设备登录证书做同样的操作获得H2’,量子设备登录证书对比H2和H2’,如果H2=H2’则量子设备登录证书对量子设备认证服务器认证成功,否则认证失败,当双方认证成功后,整个认证系统则认证成功,用户端的网络设备即可接入到量子网络中进行通信,但在通信之前,要先完成量子设备登录证书与量子设备认证服务器两端密钥的更新。
本发明的有益效果是:
1.本发明颁发阶段对设备进行认证后,接入网络的设备的合法性得到大大提升,比起设备随意接入的网络,其安全性和规范性得到大大提高,并且便于后续对用户进行行为审计和计费等网络管理;
2.本发明中量子设备登录证书的颁发是由量子网络远程颁发,避免了量子设备登录证书颁发人员跑去量子设备认证服务器所在地制作量子设备登录证书的苦恼,且其通信过程是绝对可靠的,由于其初始的认证密钥KEY是由量子网关之间通过BB84产生的量子密钥,且量子密钥是由物理定律产生的真随机数,具有绝对的安全性,保证了量子设备登录证书高强度的安全性;
3.本发明在认证的过程中,采用的是双向认证,并且使用量子密钥对认证信息进行摘要的提取,而不是用量子密钥对认证信息进行加密,因为摘要算法是不可逆的,这使得认证消息在传播的过程中,窃听者即使获得传输的数据,也无法得到用户的认证信息;
4.本发明中量子设备登录证书中的量子密钥一次认证完成后就更新一次,导致每次设备接入时的认证信息都是不同的,可以有效防止被破解,并且是由量子网关产生的量子密钥对其进行更新,更新后的密钥即为由BB84协议产生量子密钥,具有绝对的安全性;
5.本发明中量子设备登录证书接入在网络设备和量子网络之间,其在认证过程中的数据处理和数据传送均不受网络设备的影响,从而可以有效防止来自网络设备上的各种风险因素对认证过程进行干扰或者监听分析。
附图说明
图1是本发明的网络实施示意图;
图2是本发明的量子设备接入时的身份认证流程图。
具体实施方式
下面结合附图通过具体实施方式对本发明作进一步的说明。
如图1和图2所示,一种量子网络中网络接入设备的认证系统,包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器,所述用户端包括用户所持有的量子设备登录证书及用户所要接入量子网络中的网络设备,所述用户端与所述量子设备认证控制器连接,所述用户端在认证过程中是通过量子设备认证控制器、量子网关与所述量子设备认证服务器相连,在认证成功之前,用户端与量子网关之间的网络通路被量子设备认证控制器所阻断;所述量子设备登录证书接入在网络设备和量子设备认证控制器之间,所述网络设备必须通过合法的量子设备登录证书才能接入量子网络,所述量子设备登录证书由登录证书颁发服务器颁发给用户,存有用户设备信息CI、量子设备认证服务器信息SI、量子密钥KEY、用户ID等,是用户网络设备登录量子网络的通行证;所述量子设备认证控制器用于对网络设备能否接入量子网络进行控制,对未通过认证的网络设备,控制其无法接入量子网络,而对通过认证的网络设备的上网功能不予影响;所述登录证书颁发服务器通过量子网关与量子设备认证服务器相连,由专门的机构管理,产生的量子密钥用于颁发量子设备登录证书,专门机构的专职人员认证所需接入的设备和所有人信息后,可录入必备的有用信息并存档备用;所述量子网关包括用户端量子网关和服务端量子网关,用于量子密钥的生成、存储及传输,所述用户端量子网关和服务端量子网关之间通过两条通道连接,一条是量子信道,一条是经典信道,所述量子信道使用BB84协议产生量子密钥,且量子密钥是基于量子力学的真随机数,所述经典信道用来传送量子信息之外的经典信息;所述量子设备认证服务器通过量子网关与整个量子网络相连,所述量子设备登录证书颁发时,产生的量子密钥作为用户注册信息的一部分保存起来,当用户端的网络设备接入量子网络时,所述量子设备认证服务器利用已存储的设备信息,执行一系列认证流程,完成认证服务。
如图1和图2所示,一种量子网络中网络接入设备的认证方法,包括以下步骤:
(1).网络部署阶段
登录证书颁发服务器与量子设备认证服务器通过量子网关相连接,进行远程颁发量子设备登录证书,所述登录证书颁发服务器所在的服务中心备有一定数量的量子设备登录证书,这些量子设备登录证书在用户申领前,都处于初始状态下,认证用户端包括用户端量子网关、量子设备认证控制器和量子设备登录证书和网络设备,认证服务端包括服务端量子网关和量子设备认证服务器,认证用户端与认证服务端通过量子网关相连,量子网关包括用户端量子网关和服务端量子网关,两者之间连有量子通信特有的光纤信道—量子信道,只有当用户的量子设备登录证书认证成功后,连接在该量子设备登录证书上的网络设备才被量子设备认证控制器允许接入到量子网络中;
(2).证书颁发阶段
量子设备登录证书是网络设备接入量子网络的唯一凭证,代表着用户设备的合法身份,用户端的网络设备只有通过合法的量子设备登录证书才能接入到量子网络中,用户在申请量子设备登录证书前,需要向登录证书颁发服务器所在的服务中心提交用户及其设备的信息,登录证书颁发服务器端的管理员会对用户的信息进行审核,审核通过后为用户完成量子设备登录证书的制作,包括必备信息的写入等,然后为用户颁发证书,所述量子设备登录证书包括用户ID、用户设备信息CI、量子设备认证服务器信息SI及量子密钥KEY,其中用户设备信息是用户设备的特有信息,可由设备ID或MAC地址等信息计算得到;量子设备认证服务器信息是量子设备认证服务器的特有信息,可由服务器ID或MAC地址等信息计算得到;量子密钥KEY是通过量子网络在登录证书颁发服务器和量子设备认证服务器端同时生成的量子密钥,满足真随机性和绝对安全性,量子设备登录证书以硬件的形式颁发给用户,在量子设备登录证书颁发的过程中,登录证书颁发服务器将用户的注册信息通过量子密钥加密后发送给量子设备认证服务器端,量子设备认证服务器端使用对称的量子密钥解密后保存在自己的数据库中,作为用户登录时的认证信息,同理,量子设备认证服务器端将服务器信息通过量子密钥加密后发送给登录证书颁发服务器,登录证书颁发服务器使用对称的量子密钥解密后写入用户的量子设备登录证书中,最终,用户的量子设备登录证书和量子设备认证服务器共享相同的认证信息,包括用户ID、用户设备信息CI、量子设备认证服务器信息SI和量子密钥KEY;
(3).双向认证阶段
用户的网络设备要想接入到量子网络中,必须要有合法的量子设备登录证书,如果没有量子设备登录证书,当用户设备连接在量子网络端口的时候,量子设备认证控制器会阻止不可识别的非法网络设备接入到量子网络中,用户使用量子设备登录证书接入量子网络时需要进行双向认证,即量子设备认证服务器对量子设备登录证书的认证和量子设备登录证书对量子设备认证服务器的认证;
(4).量子密钥更新阶段
认证成功后需更新密钥,用户端量子网关与服务端量子网关通过BB84协议产生量子密钥KEY’,用户端量子网关将量子密钥KEY’下发给量子设备认证控制器,用户端的量子设备登录证书通过量子随机数发生器产生一个随机数N,并将N发送给量子设备认证控制器,量子设备认证控制器使用随机数N将量子密钥KEY’加密后发送给量子设备登录证书,量子设备登录证书解密后将量子密钥KEY’替换量子密钥KEY,量子设备登录证书的量子密钥更新成功,并将成功消息发送给量子设备认证服务器,量子设备认证服务器接到消息后,量子设备认证服务器端将量子密钥KEY’取代量子密钥KEY保存在数据库中,此时双方的量子密钥更新成功,用户端的网络设备即可通过量子设备登录证书接入到量子网络中进行通信;
(5).心跳认证阶段
登录证书更新后,用户进入通信阶段,在此阶段,量子设备登录证书会每隔一段时间发送一个心跳包给量子设备认证控制器,用来进行心跳认证以保证用户网络设备与量子网络之间保持有效连接,如果因断网或者量子设备登录证书发生异常等原因造成心跳包未按协议时间到达,则量子设备认证控制器会断开网络连接,造成用户的网络设备无法登入量子网络。
所述量子设备认证服务器信息使用加密函数处理,使得每个用户的网络设备所保存的量子设备认证服务器信息是不同的,避免服务器信息的暴露。
所述量子设备认证服务器对量子设备登录证书的认证:首先,量子设备登录证书使用量子密钥KEY对用户设备信息CI提取摘要,获得摘要H1,然后,将摘要H1与用户ID串行组合后发送给量子设备认证控制器,量子设备认证控制器将接收到的信息通过量子网络转发给量子设备认证服务器进行认证,量子设备认证服务器根据用户ID找到存入在数据库中的相应的认证信息,并使用数据库中对应的量子密钥KEY对用户设备信息CI进行摘要的提取,获得摘要H1’,量子设备认证服务器将H1’和H1进行对比,如果H1=H1’则量子设备认证服务器对量子设备登录证书认证成功,否则失败,当量子设备认证服务器对量子设备登录证书认证成功后,进入量子设备登录证书对量子设备认证服务器的认证阶段。
所述量子设备登录证书对量子设备认证服务器的认证:量子设备认证服务器端使用量子密钥KEY对量子设备认证服务器信息SI提取摘要,获得摘要H2并发送给量子设备登录证书,量子设备登录证书做同样的操作获得H2’,量子设备登录证书对比H2和H2’,如果H2=H2’则量子设备登录证书对量子设备认证服务器认证成功,否则认证失败,当双方认证成功后,整个认证系统则认证成功,用户端的网络设备即可接入到量子网络中进行通信,但在通信之前,要先完成量子设备登录证书与量子设备认证服务器两端密钥的更新。
以上所述仅为本发明的具体实施例,但本发明的结构特征并不局限于此,本发明可以用于类似的产品上,任何本领域的技术人员在本发明的领域内,所作的变化或修饰皆涵盖在本发明的专利范围之中。
Claims (8)
1.一种量子网络中网络接入设备的认证系统,其特征在于:包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器,所述用户端包括用户所持有的量子设备登录证书及用户所要接入量子网络中的网络设备,所述用户端与所述量子设备认证控制器连接,所述用户端在认证过程中是通过量子设备认证控制器、量子网关与所述量子设备认证服务器相连,在认证成功之前,用户端与量子网关之间的网络通路被量子设备认证控制器所阻断;所述量子设备登录证书接入在网络设备和量子设备认证控制器之间,所述网络设备必须通过合法的量子设备登录证书才能接入量子网络,所述量子设备登录证书由登录证书颁发服务器颁发给用户,存有用户设备信息CI、量子设备认证服务器信息SI、量子密钥KEY和用户ID,是用户网络设备登录量子网络的通行证;所述量子设备认证控制器用于对网络设备能否接入量子网络进行控制,对未通过认证的网络设备,控制其无法接入量子网络,而对通过认证的网络设备的上网功能不予影响。
2.如权利要求1所述的量子网络中网络接入设备的认证系统,其特征在于:所述登录证书颁发服务器通过量子网关与量子设备认证服务器相连,由专门的机构管理,产生的量子密钥用于颁发量子设备登录证书,专门机构的专职人员认证所需接入的设备和所有人信息后,可录入必备的有用信息并存档备用。
3.如权利要求1或2所述的量子网络中网络接入设备的认证系统,其特征在于:所述量子网关包括用户端量子网关和服务端量子网关,用于量子密钥的生成、存储及传输,所述用户端量子网关和服务端量子网关之间通过两条通道连接,一条是量子信道,一条是经典信道,所述量子信道使用BB84协议产生量子密钥,且量子密钥是基于量子力学的真随机数,所述经典信道用来传送量子信息之外的经典信息。
4.如权利要求3所述的量子网络中网络接入设备的认证系统,其特征在于:所述量子设备认证服务器通过量子网关与整个量子网络相连,所述量子设备登录证书颁发时,产生的量子密钥作为用户注册信息的一部分保存起来,当用户端的网络设备接入量子网络时,所述量子设备认证服务器利用已存储的设备信息,执行一系列认证流程,完成认证服务。
5.一种量子网络中网络接入设备的认证方法,其特征在于:包括以下步骤:(1).网络部署阶段登录证书颁发服务器与量子设备认证服务器通过量子网关相连接,进行远程颁发量子设备登录证书,所述登录证书颁发服务器所在的服务中心备有一定数量的量子设备登录证书,这些量子设备登录证书在用户申领前,都处于初始状态下,认证用户端包括用户端量子网关、量子设备认证控制器和量子设备登录证书和网络设备,认证服务端包括服务端量子网关和量子设备认证服务器,认证用户端与认证服务端通过量子网关相连,量子网关包括用户端量子网关和服务端量子网关,两者之间连有量子通信特有的光纤信道—量子信道,只有当用户的量子设备登录证书认证成功后,连接在该量子设备登录证书上的网络设备才被量子设备认证控制器允许接入到量子网络中;(2).证书颁发阶段量子设备登录证书是网络设备接入量子网络的唯一凭证,代表着用户设备的合法身份,用户端的网络设备只有通过合法的量子设备登录证书才能接入到量子网络中,用户在申请量子设备登录证书前,需要向登录证书颁发服务器所在的服务中心提交用户及其设备的信息,登录证书颁发服务器端的管理员会对用户的信息进行审核,审核通过后为用户完成量子设备登录证书的制作,包括必备信息的写入,然后为用户颁发证书,所述量子设备登录证书包括用户ID、用户设备信息CI、量子设备认证服务器信息SI及量子密钥KEY,其中用户设备信息是用户设备的特有信息,可由设备ID或MAC地址信息计算得到;量子设备认证服务器信息是量子设备认证服务器的特有信息,可由服务器ID或MAC地址信息计算得到;量子密钥KEY是通过量子网络在登录证书颁发服务器和量子设备认证服务器端同时生成的量子密钥,满足真随机性和绝对安全性,量子设备登录证书以硬件的形式颁发给用户,在量子设备登录证书颁发的过程中,登录证书颁发服务器将用户的注册信息通过量子密钥加密后发送给量子设备认证服务器端,量子设备认证服务器端使用对称的量子密钥解密后保存在自己的数据库中,作为用户登录时的认证信息,同理,量子设备认证服务器端将服务器信息通过量子密钥加密后发送给登录证书颁发服务器,登录证书颁发服务器使用对称的量子密钥解密后写入用户的量子设备登录证书中,最终,用户的量子设备登录证书和量子设备认证服务器共享相同的认证信息,包括用户ID、用户设备信息CI、量子设备认证服务器信息SI和量子密钥KEY;(3).双向认证阶段用户的网络设备要想接入到量子网络中,必须要有合法的量子设备登录证书,如果没有量子设备登录证书,当用户设备连接在量子网络端口的时候,量子设备认证控制器会阻止不可识别的非法网络设备接入到量子网络中,用户使用量子设备登录证书接入量子网络时需要进行双向认证,即量子设备认证服务器对量子设备登录证书的认证和量子设备登录证书对量子设备认证服务器的认证;(4).量子密钥更新阶段认证成功后需更新密钥,用户端量子网关与服务端量子网关通过BB84协议产生量子密钥KEY’,用户端量子网关将量子密钥KEY’下发给量子设备认证控制器,用户端的量子设备登录证书通过量子随机数发生器产生一个随机数N,并将N发送给量子设备认证控制器,量子设备认证控制器使用随机数N将量子密钥KEY’加密后发送给量子设备登录证书,量子设备登录证书解密后将量子密钥KEY’替换量子密钥KEY,量子设备登录证书的量子密钥更新成功,并将成功消息发送给量子设备认证服务器,量子设备认证服务器接到消息后,量子设备认证服务器端将量子密钥KEY’取代量子密钥KEY保存在数据库中,此时双方的量子密钥更新成功,用户端的网络设备即可通过量子设备登录证书接入到量子网络中进行通信;(5).心跳认证阶段登录证书更新后,用户进入通信阶段,在此阶段,量子设备登录证书会每隔一段时间发送一个心跳包给量子设备认证控制器,用来进行心跳认证以保证用户网络设备与量子网络之间保持有效连接,如果因断网或者量子设备登录证书发生异常原因造成心跳包未按协议时间到达,则量子设备认证控制器会断开网络连接,造成用户的网络设备无法登入量子网络。
6.如权利要求5所述的量子网络中网络接入设备的认证方法,其特征在于:所述量子设备认证服务器信息使用加密函数处理,使得每个用户的网络设备所保存的量子设备认证服务器信息是不同的,避免服务器信息的暴露。
7.如权利要求5所述的量子网络中网络接入设备的认证方法,其特征在于:所述量子设备认证服务器对量子设备登录证书的认证:首先,量子设备登录证书使用量子密钥KEY对用户设备信息CI提取摘要,获得摘要H1,然后,将摘要H1与用户ID串行组合后发送给量子设备认证控制器,量子设备认证控制器将接收到的信息通过量子网络转发给量子设备认证服务器进行认证,量子设备认证服务器根据用户ID找到存入在数据库中的相应的认证信息,并使用数据库中对应的量子密钥KEY对用户设备信息CI进行摘要的提取,获得摘要H1’,量子设备认证服务器将H1’和H1进行对比,如果H1=H1’则量子设备认证服务器对量子设备登录证书认证成功,否则失败,当量子设备认证服务器对量子设备登录证书认证成功后,进入量子设备登录证书对量子设备认证服务器的认证阶段。
8.如权利要求5所述的量子网络中网络接入设备的认证方法,其特征在于:所述量子设备登录证书对量子设备认证服务器的认证:量子设备认证服务器端使用量子密钥KEY对量子设备认证服务器信息SI提取摘要,获得摘要H2并发送给量子设备登录证书,量子设备登录证书做同样的操作获得H2’,量子设备登录证书对比H2和H2’,如果H2=H2’则量子设备登录证书对量子设备认证服务器认证成功,否则认证失败,当双方认证成功后,整个认证系统则认证成功,用户端的网络设备即可接入到量子网络中进行通信,但在通信之前,要先完成量子设备登录证书与量子设备认证服务器两端密钥的更新。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610145563.9A CN105812367B (zh) | 2016-03-15 | 2016-03-15 | 一种量子网络中网络接入设备的认证系统及认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610145563.9A CN105812367B (zh) | 2016-03-15 | 2016-03-15 | 一种量子网络中网络接入设备的认证系统及认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105812367A CN105812367A (zh) | 2016-07-27 |
| CN105812367B true CN105812367B (zh) | 2018-08-17 |
Family
ID=56467362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610145563.9A Active CN105812367B (zh) | 2016-03-15 | 2016-03-15 | 一种量子网络中网络接入设备的认证系统及认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105812367B (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106250663B (zh) * | 2016-09-21 | 2019-08-09 | 中国运载火箭技术研究院 | 一种基于量子力学描述的体系仿真方法 |
| CN106357396B (zh) * | 2016-09-23 | 2019-11-12 | 浙江神州量子网络科技有限公司 | 数字签名方法和系统以及量子密钥卡 |
| CN106452740B (zh) * | 2016-09-23 | 2019-11-22 | 浙江神州量子网络科技有限公司 | 一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法 |
| CN106357346A (zh) * | 2016-10-28 | 2017-01-25 | 章美前 | 一种量子通信系统 |
| CN106712938B (zh) * | 2016-12-26 | 2020-09-04 | 浙江神州量子网络科技有限公司 | 一种量子白板通信方法和系统 |
| CN107403310A (zh) * | 2016-12-30 | 2017-11-28 | 浙江神州量子通信技术有限公司 | 量子城域网下支付系统及其支付方法 |
| CN106789029B (zh) * | 2017-01-04 | 2019-11-22 | 浙江神州量子网络科技有限公司 | 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统 |
| CN106888084B (zh) * | 2017-01-04 | 2021-02-19 | 浙江神州量子网络科技有限公司 | 一种量子堡垒机系统及其认证方法 |
| CN108737076A (zh) * | 2017-04-13 | 2018-11-02 | 山东量子科学技术研究院有限公司 | 一种身份认证系统及身份认证方法 |
| CN109213603B (zh) * | 2018-05-31 | 2021-04-06 | 合肥本源量子计算科技有限责任公司 | 一种用于对接量子计算机与用户的云平台运行方法 |
| CN109033788B (zh) * | 2018-06-15 | 2021-06-11 | 北京文创园投资管理有限公司 | 一种基于区块链技术的证书管理方法和装置 |
| CN108900298B (zh) * | 2018-07-11 | 2020-09-18 | 长春大学 | 基于量子密码水印的私有区块链诚实节点认证接入方法 |
| CN109462572B (zh) * | 2018-09-13 | 2021-03-23 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关 |
| CN109543367B (zh) * | 2018-11-14 | 2020-11-10 | 苏州科达科技股份有限公司 | 基于量子加密的软件授权方法、装置及存储介质 |
| CN110049007B (zh) * | 2019-03-08 | 2021-09-10 | 视联动力信息技术股份有限公司 | 视联网传输方法和装置 |
| CN110212991B (zh) * | 2019-06-06 | 2021-07-20 | 江苏亨通问天量子信息研究院有限公司 | 量子无线网络通信系统 |
| CN110808827A (zh) * | 2019-09-20 | 2020-02-18 | 北京电信易通信息技术股份有限公司 | 基于量子加密的空中发证方法及系统 |
| CN111917543B (zh) * | 2020-08-14 | 2023-08-29 | 国科量子通信网络有限公司 | 用户接入云平台安全接入认证系统及其应用方法 |
| CN114520716B (zh) * | 2020-11-19 | 2024-02-13 | 如般量子科技有限公司 | 可计费的量子密钥及量子密钥分发网络计费方法及系统 |
| CN114765539B (zh) * | 2020-12-31 | 2024-07-26 | 科大国盾量子技术股份有限公司 | 一种量子密钥卡的入网认证方法 |
| CN112818329B (zh) * | 2021-04-19 | 2021-07-13 | 上海银基信息安全技术股份有限公司 | 认证方法及装置、用户端、设备端及存储介质 |
| CN113242238B (zh) * | 2021-05-10 | 2022-05-27 | 中国建设银行股份有限公司 | 安全通信方法、装置及系统 |
| CN114070555B (zh) * | 2021-11-12 | 2024-07-02 | 江苏亨通问天量子信息研究院有限公司 | 一种量子密钥分发方法及计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761868A (zh) * | 2012-04-28 | 2012-10-31 | 黄林果 | 一种空间网络条件下的安全接入认证方法 |
| CN102932244A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于双向可信性验证的可信接入网关 |
| CN103338448A (zh) * | 2013-06-07 | 2013-10-02 | 国家电网公司 | 一种基于量子密钥分发的无线局域网安全通信方法 |
| CN103475464A (zh) * | 2013-08-20 | 2013-12-25 | 国家电网公司 | 一种电力专用量子加密网关系统 |
| CN103763099A (zh) * | 2014-02-13 | 2014-04-30 | 国家电网公司 | 一种基于量子密钥分配技术的电力安全通信网络 |
| CN105119941A (zh) * | 2015-09-16 | 2015-12-02 | 浙江神州量子网络科技有限公司 | 量子印章盖章及验证系统及其配置、盖章流程和验证方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011130120A (ja) * | 2009-12-16 | 2011-06-30 | Sony Corp | 量子公開鍵暗号システム、鍵生成装置、暗号化装置、復号装置、鍵生成方法、暗号化方法、及び復号方法 |
-
2016
- 2016-03-15 CN CN201610145563.9A patent/CN105812367B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761868A (zh) * | 2012-04-28 | 2012-10-31 | 黄林果 | 一种空间网络条件下的安全接入认证方法 |
| CN102932244A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于双向可信性验证的可信接入网关 |
| CN103338448A (zh) * | 2013-06-07 | 2013-10-02 | 国家电网公司 | 一种基于量子密钥分发的无线局域网安全通信方法 |
| CN103475464A (zh) * | 2013-08-20 | 2013-12-25 | 国家电网公司 | 一种电力专用量子加密网关系统 |
| CN103763099A (zh) * | 2014-02-13 | 2014-04-30 | 国家电网公司 | 一种基于量子密钥分配技术的电力安全通信网络 |
| CN105119941A (zh) * | 2015-09-16 | 2015-12-02 | 浙江神州量子网络科技有限公司 | 量子印章盖章及验证系统及其配置、盖章流程和验证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105812367A (zh) | 2016-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105812367B (zh) | 一种量子网络中网络接入设备的认证系统及认证方法 | |
| CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
| CN106161402B (zh) | 基于云环境的加密机密钥注入系统、方法及装置 | |
| CN100496025C (zh) | 一种基于三元对等鉴别的可信网络接入控制方法 | |
| CN105743638B (zh) | 基于b/s架构系统客户端授权认证的方法 | |
| CN107038777A (zh) | 一种基于智能门锁系统的安全通信方法及其智能门锁系统 | |
| CN105656862B (zh) | 认证方法及装置 | |
| CN107018134A (zh) | 一种配电终端安全接入平台及其实现方法 | |
| CN109787761B (zh) | 一种基于物理不可克隆函数的设备认证与密钥分发系统和方法 | |
| CN105162808B (zh) | 一种基于国密算法的安全登录方法 | |
| CN109728903B (zh) | 一种使用属性密码的区块链弱中心密码授权方法 | |
| CN111770071B (zh) | 一种网络隐身场景下网关认证可信设备的方法和装置 | |
| CN108494551A (zh) | 基于协同密钥的处理方法、系统、计算机设备及存储介质 | |
| CN106789029B (zh) | 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统 | |
| CN109672538A (zh) | 一种轻量级车载总线安全通信方法及安全通信系统 | |
| CN109359464B (zh) | 一种基于区块链技术的无线安全认证方法 | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN101159640A (zh) | 一种基于三元对等鉴别的可信网络接入控制系统 | |
| CN108471352A (zh) | 基于分布式私钥的处理方法、系统、计算机设备及存储介质 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密系统 | |
| CN108769007A (zh) | 网关安全认证方法、服务器及网关 | |
| CN109889669A (zh) | 一种基于安全加密算法的手机开锁方法及系统 | |
| JPH07325785A (ja) | ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ | |
| AU2012227276A1 (en) | Global terminal management using 2-factor authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |