一種量子保密通信可信組網認證方法和系統與流程
2023-06-08 18:24:26 1
本發明涉及保密通信技術領域,尤其涉及一種量子保密通信可信組網認證方法和系統。
背景技術:
量子保密通信是以量子密鑰分發技術為基礎的加密通信技術。量子密鑰分發利用單光子不可分割、量子態不可複製的特性實現通信雙方間的安全密鑰分配,解決了對稱加密算法中密鑰分配的安全性問題。和傳統加密通信技術不同,量子保密通信的安全性由量子物理原則保障,它是至今為止唯一得到嚴格證明的,能從原理上確保通信無條件安全的加密通信技術。
現有的量子保密通信首先對量子信號源進行調製、測量和比對,通信雙方建立安全密鑰,隨後通過採用一次一密加密體制加密並傳送密文,形成安全通信。然而,其僅確保了通信雙方的安全性,並沒有考慮可信性。結合金融、銀行、能源等行業信息通信系統組網模式的多樣性和複雜性,存在身份欺騙的風險,比如a節點可冒充b節點向c節點發密鑰。因此,需要在通信雙方協商生成密鑰前,對量子網絡組件身份進行認證。
技術實現要素:
有鑑於此,本發明提供了一種量子保密通信可信組網認證方法,通過對各個量子組件頒發數字證書,有效解決了各組件之間的身份認證問題,提高了量子保密通信的安全性。
本發明提供了一種量子保密通信可信組網認證方法,所述方法包括:
在第一電子設備量子網關與第二電子設備量子網關之間協商生成密鑰前,接收所述第一電子設備和第二電子設備發送的認證請求;
基於接收到的所述第一電子設備和第二電子設備發送的認證請求,根據預先頒發的數字證書進行身份認證;
當所述第一電子設備和第二電子設備的身份認證通過時,所述第一電子設備和第二電子設備之間生成第一量子密鑰。
優選地,所述當所述第一電子設備和第二電子設備的身份認證通過時,所述第一電子設備和第二電子設備之間生成量子密鑰後,還包括:
判斷所述第一電子設備和第二電子設備身份認證是否過期;
當所述第一電子設備和第二電子設備身份認證過期時,返回重新對所述第一電子設備和所述第二電子設備的身份進行認證。
優選地,當所述第一電子設備和第二電子設備身份認證未過期時,所述第一電子設備和第二電子設備之間生成第二量子密鑰。
優選地,當所述第一電子設備和第二電子設備的身份認證通過時,所述第一電子設備和第二電子設備之間生成第一量子密鑰具體為:
採用波分復用創建協商信道,所述第一電子設備和第二電子設備基於所述協商信道生成第一量子密鑰。
優選地,當所述第一電子設備和第二電子設備的身份認證未通過時,終止可信組網認證。
一種量子保密通信可信組網認證系統,包括:
接收模塊,用於在第一電子設備量子網關與第二電子設備量子網關之間協商生成密鑰前,接收所述第一電子設備和第二電子設備發送的認證請求;
身份認證模塊,用於基於接收到的所述第一電子設備和第二電子設備發送的認證請求,根據預先頒發的數字證書進行身份認證;
生成模塊,用於當所述第一電子設備和第二電子設備的身份認證通過時,所述第一電子設備和第二電子設備之間生成第一量子密鑰。
優選地,所述系統還包括:
判斷模塊,用於判斷所述第一電子設備和第二電子設備身份認證是否過期;
當所述第一電子設備和第二電子設備身份認證過期時,返回所述身份認證模塊重新對所述第一電子設備和所述第二電子設備的身份進行認證。
優選地,當所述第一電子設備和第二電子設備身份認證未過期時,所述生成模塊還用於在所述第一電子設備和第二電子設備之間生成第二量子密鑰。
優選地,當所述第一電子設備和第二電子設備的身份認證通過時,所述生成模塊具體用於:
採用波分復用創建協商信道,所述第一電子設備和第二電子設備基於所述協商信道生成第一量子密鑰。
優選地,所述系統還包括終止模塊,用於:
當所述第一電子設備和第二電子設備的身份認證未通過時,終止可信組網認證。
從上述技術方案可以看出,本發明提供了一種量子保密通信可信組網認證方法,當需要提高量子保密通信的安全性時,在第一電子設備量子網關與第二電子設備量子網關之間協商生成密鑰前,首先接收第一電子設備和第二電子設備發送的認證請求;然後根據接收到的第一電子設備和第二電子設備發送的認證請求進行身份認證,只有當第一電子設備和第二電子設備的身份認證通過時第一電子設備和第二電子設備之間才生成量子密鑰。通過對各個量子組件頒發數字證書,有效解決了各組件之間的身份認證問題,提高了量子保密通信的安全性。
附圖說明
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1為本發明公開的一種量子保密通信可信組網認證方法實施例1的方法流程圖;
圖2為本發明公開的一種量子保密通信可信組網認證方法實施例2的方法流程圖;
圖3為本發明公開的一種量子保密通信可信組網認證方法實施例3的方法流程圖;
圖4為本發明公開的一種量子保密通信可信組網認證系統實施例1的結構示意圖;
圖5為本發明公開的一種量子保密通信可信組網認證系統實施例2的結構示意圖;
圖6為本發明公開的一種量子保密通信可信組網認證系統實施例3的結構示意圖;
圖7為本發明公開的量子密鑰分發工作原理圖。
具體實施方式
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
如圖1所示,為本發明公開的一種量子保密通信可信組網認證方法的實施例1的流程圖,包括:
s101、在第一電子設備量子網關與第二電子設備量子網關之間協商生成密鑰前,接收所述第一電子設備和第二電子設備發送的認證請求;
當需要進行量子保密通信時,在第一電子設備的量子網關與第二電子設備的量子網關之間協商生成密鑰前,接收第一電子設備和第二電子設備分別發送的數字證書認證請求。其中,第一電子設備可以理解為信息發送方,第二電子設備可以理解為信息接收方。需要說明的是,在電子設備入網時,將設備證書管理模塊預製於量子設備密鑰晶片中。
s102、基於接收到的所述第一電子設備和第二電子設備發送的認證請求,根據預先頒發的數字證書進行身份認證;
當第一電子設備和第二電子設備分別發送數字證書認證請求後,根據預先頒發的第一電子設備的數字證書和第二電子設備的數字證書,對第一電子設備和第二電子設備進行身份認證,即判斷用於保密通信的電子設備是否為正確的電子設備。
s103、當第一電子設備和第二電子設備的身份認證通過時,第一電子設備和第二電子設備之間生成第一量子密鑰。
當經過數字證書身份認證表明第一電子設備和第二電子設備的身份認證通過時,第一電子設備和第二電子設備之間生成第一量子密鑰,通過生成的第一量子密鑰進行發送方和接收方之間的保密通信。其中,如圖7所示,在進行量子密鑰分發時,發送方即第一電子設備隨機選一個信息嵌入方式,將隨機的0或1編入光子的量子態,發給接收方即第二電子設備,然後接收方隨機選一個信息讀取方式讀出光子攜帶的0或1,接收方告訴發送方每個光子的讀取方式,發送方告訴接收方哪些關注的讀取方式是正確的,雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。
綜上所述,在上述實施例中,當需要提高量子保密通信的安全性時,在第一電子設備量子網關與第二電子設備量子網關之間協商生成密鑰前,首先接收第一電子設備和第二電子設備發送的認證請求;然後根據接收到的第一電子設備和第二電子設備發送的認證請求進行身份認證,只有當第一電子設備和第二電子設備的身份認證通過時第一電子設備和第二電子設備之間才生成量子密鑰。通過對各個量子組件頒發數字證書,有效解決了各組件之間的身份認證問題,提高了量子保密通信的安全性。
如圖2所示,為本發明公開的一種量子保密通信可信組網認證方法的實施例2的流程圖,包括:
s201、在第一電子設備量子網關與第二電子設備量子網關之間協商生成密鑰前,接收所述第一電子設備和第二電子設備發送的認證請求;
當需要進行量子保密通信時,在第一電子設備的量子網關與第二電子設備的量子網關之間協商生成密鑰前,接收第一電子設備和第二電子設備分別發送的數字證書認證請求。其中,第一電子設備可以理解為信息發送方,第二電子設備可以理解為信息接收方。需要說明的是,在電子設備入網時,將設備證書管理模塊預製於量子設備密鑰晶片中。
s202、基於接收到的所述第一電子設備和第二電子設備發送的認證請求,根據預先頒發的數字證書進行身份認證;
當第一電子設備和第二電子設備分別發送數字證書認證請求後,根據預先頒發的第一電子設備的數字證書和第二電子設備的數字證書,對第一電子設備和第二電子設備進行身份認證,即判斷用於保密通信的電子設備是否為正確的電子設備。
s203、當第一電子設備和第二電子設備的身份認證通過時,第一電子設備和第二電子設備之間生成第一量子密鑰;
當經過數字證書身份認證表明第一電子設備和第二電子設備的身份認證通過時,第一電子設備和第二電子設備之間生成第一量子密鑰,通過生成的第一量子密鑰進行發送方和接收方之間的保密通信。其中,如圖7所示,在進行量子密鑰分發時,發送方即第一電子設備隨機選一個信息嵌入方式,將隨機的0或1編入光子的量子態,發給接收方即第二電子設備,然後接收方隨機選一個信息讀取方式讀出光子攜帶的0或1,接收方告訴發送方每個光子的讀取方式,發送方告訴接收方哪些關注的讀取方式是正確的,雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。
s204、判斷第一電子設備和第二電子設備身份認證是否過期,若是則返回s202,若否則進入s205;
為了更進一步的提高量子保密通信的安全性,在第一次第一電子設備和第二電子設備之間生成第一量子密鑰後,進一步判斷第一電子設備和第二電子設備身份認證是否過期,在驗證第一電子設備和第二電子設備身份認證是否過期時,可以通過判斷距離第一電子設備和第二電子設備的身份認證通過的時間是否超過預設有效期,例如,是否超過有效期24小時,當距離第一電子設備和第二電子設備的身份認證通過的時間超過預設有效期時,表明第一電子設備和第二電子設備身份認證過期。
當第一電子設備和第二電子設備身份認證過期時,如果第一電子設備和第二電子設備之間還需要進行保密通信時,需要返回上述步驟對第一電子設備和第二電子設備的身份進行重新認證。
s205、當第一電子設備和第二電子設備身份認證未過期時,第一電子設備和第二電子設備之間生成第二量子密鑰。
當第一電子設備和第二電子設備身份認證未過期時,第一電子設備和第二電子設備之間可以重新生成第二量子密鑰。需要說明的是,生成第二量子密鑰和生成第一量子密鑰的原理相同,在此不再贅述。
綜上所述,本實施例在實施例1的基礎上進一步判斷第一電子設備和第二電子設備身份認證是否過期,通過判斷第一電子設備和第二電子設備身份認證是否過期可以更進一步的提高量子保密通信的安全性。
如圖3所示,為本發明公開的一種量子保密通信可信組網認證方法的實施例3的流程圖,包括:
s301、在第一電子設備量子網關與第二電子設備量子網關之間協商生成密鑰前,接收所述第一電子設備和第二電子設備發送的認證請求;
當需要進行量子保密通信時,在第一電子設備的量子網關與第二電子設備的量子網關之間協商生成密鑰前,接收第一電子設備和第二電子設備分別發送的數字證書認證請求。其中,第一電子設備可以理解為信息發送方,第二電子設備可以理解為信息接收方。需要說明的是,在電子設備入網時,將設備證書管理模塊預製於量子設備密鑰晶片中。
s302、基於接收到的所述第一電子設備和第二電子設備發送的認證請求,根據預先頒發的數字證書進行身份認證;
當第一電子設備和第二電子設備分別發送數字證書認證請求後,根據預先頒發的第一電子設備的數字證書和第二電子設備的數字證書,對第一電子設備和第二電子設備進行身份認證,即判斷用於保密通信的電子設備是否為正確的電子設備。
s303、當第一電子設備和第二電子設備的身份認證通過時,採用波分復用創建協商信道,第一電子設備和第二電子設備之間生成第一量子密鑰;
當經過數字證書身份認證表明第一電子設備和第二電子設備的身份認證通過時,通過採用波分復用技術在量子信道上創建協商信道,進行交互協商,再啟用量子信道在第一電子設備和第二電子設備之間生成第一量子密鑰,通過生成的第一量子密鑰進行發送方和接收方之間的保密通信。其中,如圖7所示,在進行量子密鑰分發時,發送方即第一電子設備隨機選一個信息嵌入方式,將隨機的0或1編入光子的量子態,發給接收方即第二電子設備,然後接收方隨機選一個信息讀取方式讀出光子攜帶的0或1,接收方告訴發送方每個光子的讀取方式,發送方告訴接收方哪些關注的讀取方式是正確的,雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。
s304、當第一電子設備和第二電子設備的身份認證未通過時,終止可信組網認證。
如圖4所示,為本發明公開的一種量子保密通信可信組網認證系統的實施例1的結構示意圖,包括:
接收模塊401,用於在第一電子設備量子網關與第二電子設備量子網關之間協商生成密鑰前,接收所述第一電子設備和第二電子設備發送的認證請求;
當需要進行量子保密通信時,在第一電子設備的量子網關與第二電子設備的量子網關之間協商生成密鑰前,接收第一電子設備和第二電子設備分別發送的數字證書認證請求。其中,第一電子設備可以理解為信息發送方,第二電子設備可以理解為信息接收方。需要說明的是,在電子設備入網時,將設備證書管理模塊預製於量子設備密鑰晶片中。
身份認證模塊402,用於基於接收到的所述第一電子設備和第二電子設備發送的認證請求,根據預先頒發的數字證書進行身份認證;
當第一電子設備和第二電子設備分別發送數字證書認證請求後,根據預先頒發的第一電子設備的數字證書和第二電子設備的數字證書,對第一電子設備和第二電子設備進行身份認證,即判斷用於保密通信的電子設備是否為正確的電子設備。
生成模塊403,用於當第一電子設備和第二電子設備的身份認證通過時,第一電子設備和第二電子設備之間生成第一量子密鑰。
當經過數字證書身份認證表明第一電子設備和第二電子設備的身份認證通過時,第一電子設備和第二電子設備之間生成第一量子密鑰,通過生成的第一量子密鑰進行發送方和接收方之間的保密通信。其中,如圖7所示,在進行量子密鑰分發時,發送方即第一電子設備隨機選一個信息嵌入方式,將隨機的0或1編入光子的量子態,發給接收方即第二電子設備,然後接收方隨機選一個信息讀取方式讀出光子攜帶的0或1,接收方告訴發送方每個光子的讀取方式,發送方告訴接收方哪些關注的讀取方式是正確的,雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。
綜上所述,在上述實施例中,當需要提高量子保密通信的安全性時,在第一電子設備量子網關與第二電子設備量子網關之間協商生成密鑰前,首先接收第一電子設備和第二電子設備發送的認證請求;然後根據接收到的第一電子設備和第二電子設備發送的認證請求進行身份認證,只有當第一電子設備和第二電子設備的身份認證通過時第一電子設備和第二電子設備之間才生成量子密鑰。通過對各個量子組件頒發數字證書,有效解決了各組件之間的身份認證問題,提高了量子保密通信的安全性。
如圖5所示,為本發明公開的一種量子保密通信可信組網認證系統的實施例2的結構示意圖,包括:
接收模塊501,用於在第一電子設備量子網關與第二電子設備量子網關之間協商生成密鑰前,接收所述第一電子設備和第二電子設備發送的認證請求;
當需要進行量子保密通信時,在第一電子設備的量子網關與第二電子設備的量子網關之間協商生成密鑰前,接收第一電子設備和第二電子設備分別發送的數字證書認證請求。其中,第一電子設備可以理解為信息發送方,第二電子設備可以理解為信息接收方。需要說明的是,在電子設備入網時,將設備證書管理模塊預製於量子設備密鑰晶片中。
身份認證模塊502,用於基於接收到的所述第一電子設備和第二電子設備發送的認證請求,根據預先頒發的數字證書進行身份認證;
當第一電子設備和第二電子設備分別發送數字證書認證請求後,根據預先頒發的第一電子設備的數字證書和第二電子設備的數字證書,對第一電子設備和第二電子設備進行身份認證,即判斷用於保密通信的電子設備是否為正確的電子設備。
生成模塊503,用於當第一電子設備和第二電子設備的身份認證通過時,第一電子設備和第二電子設備之間生成第一量子密鑰;
當經過數字證書身份認證表明第一電子設備和第二電子設備的身份認證通過時,第一電子設備和第二電子設備之間生成第一量子密鑰,通過生成的第一量子密鑰進行發送方和接收方之間的保密通信。其中,如圖7所示,在進行量子密鑰分發時,發送方即第一電子設備隨機選一個信息嵌入方式,將隨機的0或1編入光子的量子態,發給接收方即第二電子設備,然後接收方隨機選一個信息讀取方式讀出光子攜帶的0或1,接收方告訴發送方每個光子的讀取方式,發送方告訴接收方哪些關注的讀取方式是正確的,雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。
判斷模塊504,用於判斷第一電子設備和第二電子設備身份認證是否過期;
為了更進一步的提高量子保密通信的安全性,在第一次第一電子設備和第二電子設備之間生成第一量子密鑰後,進一步判斷第一電子設備和第二電子設備身份認證是否過期,在驗證第一電子設備和第二電子設備身份認證是否過期時,可以通過判斷距離第一電子設備和第二電子設備的身份認證通過的時間是否超過預設有效期,例如,是否超過有效期24小時,當距離第一電子設備和第二電子設備的身份認證通過的時間超過預設有效期時,表明第一電子設備和第二電子設備身份認證過期。
身份認證模塊502,當第一電子設備和第二電子設備身份認證過期時,返回重新對第一電子設備和第二電子設備的身份進行認證;
當第一電子設備和第二電子設備身份認證過期時,如果第一電子設備和第二電子設備之間還需要進行保密通信時,需要返回上述步驟對第一電子設備和第二電子設備的身份進行重新認證。
生成模塊503,用於當第一電子設備和第二電子設備身份認證未過期時,第一電子設備和第二電子設備之間生成第二量子密鑰。
當第一電子設備和第二電子設備身份認證未過期時,第一電子設備和第二電子設備之間可以重新生成第二量子密鑰。需要說明的是,生成第二量子密鑰和生成第一量子密鑰的原理相同,在此不再贅述。
綜上所述,本實施例在實施例1的基礎上進一步判斷第一電子設備和第二電子設備身份認證是否過期,通過判斷第一電子設備和第二電子設備身份認證是否過期可以更進一步的提高量子保密通信的安全性。
如圖6所示,為本發明公開的一種量子保密通信可信組網認證系統的實施例3的結構示意圖,包括:
接收模塊601,用於在第一電子設備量子網關與第二電子設備量子網關之間協商生成密鑰前,接收所述第一電子設備和第二電子設備發送的認證請求;
當需要進行量子保密通信時,在第一電子設備的量子網關與第二電子設備的量子網關之間協商生成密鑰前,接收第一電子設備和第二電子設備分別發送的數字證書認證請求。其中,第一電子設備可以理解為信息發送方,第二電子設備可以理解為信息接收方。需要說明的是,在電子設備入網時,將設備證書管理模塊預製於量子設備密鑰晶片中。
身份認證模塊602,用於基於接收到的所述第一電子設備和第二電子設備發送的認證請求,根據預先頒發的數字證書進行身份認證;
當第一電子設備和第二電子設備分別發送數字證書認證請求後,根據預先頒發的第一電子設備的數字證書和第二電子設備的數字證書,對第一電子設備和第二電子設備進行身份認證,即判斷用於保密通信的電子設備是否為正確的電子設備。
生成模塊603,用於當第一電子設備和第二電子設備的身份認證通過時,採用波分復用創建協商信道,第一電子設備和第二電子設備之間生成第一量子密鑰;
當經過數字證書身份認證表明第一電子設備和第二電子設備的身份認證通過時,通過採用波分復用技術在量子信道上創建協商信道,進行交互協商,再啟用量子信道在第一電子設備和第二電子設備之間生成第一量子密鑰,通過生成的第一量子密鑰進行發送方和接收方之間的保密通信。其中,如圖7所示,在進行量子密鑰分發時,發送方即第一電子設備隨機選一個信息嵌入方式,將隨機的0或1編入光子的量子態,發給接收方即第二電子設備,然後接收方隨機選一個信息讀取方式讀出光子攜帶的0或1,接收方告訴發送方每個光子的讀取方式,發送方告訴接收方哪些關注的讀取方式是正確的,雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。
終止模塊604,用於當第一電子設備和第二電子設備的身份認證未通過時,終止可信組網認證。
具體的,身份認證模塊是是pki/ca平臺的核心,其通過把設備公鑰和設備的真實身份綁定在一起,產生數字證書,提供證書服務和管理的主要功能,主要包含證書目錄服務、證書吊銷表服務、證書狀態查詢服務、證書管理服務、系統管理服務、證書資料庫、籤名伺服器和密碼設備等。證書目錄服務為證書的儲存庫,提供了證書的保存、修改、刪除和獲取的能力。證書吊銷表服務,列出了被撤銷的證書序列號。在證書的有效期間,因為某種原因,導致相應的數字證書內容不再是真實可信,此時需要進行證書撤銷,聲明該證書是無效的。
本說明書中各個實施例採用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似部分互相參見即可。對於實施例公開的裝置而言,由於其與實施例公開的方法相對應,所以描述的比較簡單,相關之處參見方法部分說明即可。
專業人員還可以進一步意識到,結合本文中所公開的實施例描述的各示例的單元及算法步驟,能夠以電子硬體、計算機軟體或者二者的結合來實現,為了清楚地說明硬體和軟體的可互換性,在上述說明中已經按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬體還是軟體方式來執行,取決於技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能,但是這種實現不應認為超出本發明的範圍。
結合本文中所公開的實施例描述的方法或算法的步驟可以直接用硬體、處理器執行的軟體模塊,或者二者的結合來實施。軟體模塊可以置於隨機存儲器(ram)、內存、只讀存儲器(rom)、電可編程rom、電可擦除可編程rom、寄存器、硬碟、可移動磁碟、cd-rom、或技術領域內所公知的任意其它形式的存儲介質中。
對所公開的實施例的上述說明,使本領域專業技術人員能夠實現或使用本發明。對這些實施例的多種修改對本領域的專業技術人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發明的精神或範圍的情況下,在其它實施例中實現。因此,本發明將不會被限制於本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的範圍。