一种量子堡垒机系统及其认证方法技术方案

本发明专利技术公开了一种量子堡垒机系统及其认证方法，该系统包括终端用户、量子堡垒机、量子通信网络服务器资源、量子密钥颁发中心及量子密钥卡，认证方法包括以下步骤：S1所述量子堡垒机管控终端用户访问量子通信网络服务器资源；S2量子密钥颁发中心分别对终端用户和量子堡垒机、量子堡垒机和量子通信网络服务器资源颁发量子随机数密钥对；S3终端用户登录量子堡垒机，通过终端用户和量子堡垒机或者量子堡垒机和量子通信网络服务器资源的对应的量子随机数密钥对来实现相互之间的认证，从而获取相应的访问权限。本发明专利技术通过量子随机数发生服务器产生的量子随机数进行认证，能够抵抗量子计算机对非对称算法的攻击。

Quantum fortress machine system and authentication method thereof

The invention discloses a quantum fortress machine system and its authentication method, the system includes a user terminal, fortress machine, quantum quantum communication network server resources, issued by the center of quantum key and quantum key card authentication method comprises the following steps: S1 the control terminal users to access the quantum communication network server resources quantum S2 quantum fortress machine; the key issue centers were awarded quantum random number key pair for the end user and the quantum machine, and quantum fortress fortress machine quantum communication network server resources; S3 terminal user login quantum fortress machine, through quantum random number key corresponding to the end user and the quantum fortress machine or quantum fortress machine and quantum communication network server resources to achieve mutual between the certification, and obtain the corresponding access. The invention authenticates the quantum random number generated by the quantum random number generating server, and can resist the attack of the asymmetric computer by the quantum computer.

【技术实现步骤摘要】
一种量子堡垒机系统及其认证方法
本专利技术涉及量子通信
，尤其涉及量子堡垒机系统及其认证方法。
技术介绍
随着社会信息化程度的不断加深，信息数据日益成为各企事业单位的核心资产，确保信息数据的安全是各企事业单位极为重要的工作。网络防火墙、病毒防火墙、入侵检测等硬件设备的普及，有效防止了企业内部网络受到外部攻击，加强了企业的外部防线。然而，企业内部却存在信息数据失窃泄密、重要系统服务器运行遭到破坏等问题，对企业信息安全的影响远远超过黑客和病毒。具体的，由于企业IT运维人员或管理员经常和核心IT资产打交道，接触核心机密的机会最多，企业内部信息安全事件逐渐转向IT运维人员和管理员的安全及保密性管理。如何加固组织机构内部网络的“内防体系”，杜绝或减少因为内部隐患而导致的信息遭窃密、数据被篡改、系统被破坏等严重后果，成为近年内国际信息安全业界在内网安全领域的新课题。在此背景下，能够防范和审计内部管理人员对IT资产设备的访问和操作的堡垒机（也称堡垒主机）技术应运而生。堡垒机是管控IT运维人员访问核心IT资产的专用系统主机。它通过切断终端计算机对网络和服务器资源的直接访问，采用协议代理的方式，接管了终端计算机对网络和服务器的访问。堡垒机的应用使得运维人员对服务器进行的所有运维操作都需要经过堡垒机进行。堡垒机将运维人员的操作记录至日志文件中，供审计人员进行安全审计和追责。单点登录是经典堡垒机核心功能之一，是指在应用系统中，用户只需要登录一次即可访问所有相互信任的应用系统。这使得运维人员登录堡垒机环节以及堡垒机与核心IT资产之间互相信任环节的身份认证尤其重要，是整个内部网络安全的首要保障。目前经典堡垒机系统的身份认证是基于经典网络中公钥密码体制的认证。非对称密钥系统实现身份认证的基本原理可以描述为：通信时，用户私有密钥对应用请求签名并提交证书，接受者用证书授权机构的公共密钥对用户的证书解密，获得用户的公钥，从而验证用户的签名，确认用户的身份。非对称密码体制的安全性是基于一些特定的复杂数学运算，随着量子计算机的发展，计算机的运算速度以指数倍增长，这使得经典非对称加密算法将面临着被破解的风险。
技术实现思路
本专利技术首先所要解决的技术问题是提供一种量子堡垒机系统，该系统通过量子随机数密钥来实现量子通信网络服务站的各管理员或运维人员的身份认证流程，进而保证量子通信网络服务站内部的信息安全，使得量子通信网络的安全性也得到提升。为此，本专利技术采用以下技术方案：一种量子堡垒机系统，它包括终端用户、量子堡垒机及量子通信网络服务器资源；所述量子堡垒机管控终端用户访问量子通信网络服务器资源；所述系统还配设有量子密钥颁发中心及量子密钥卡，该量子密钥卡由终端用户在量子密钥颁发中心注册后颁发；所述量子密钥颁发中心生成量子随机数，并分别颁发给量子密钥卡、量子堡垒机及量子通信网络服务器资源作为量子随机数密钥；所述量子密钥卡存储用户信息及量子密钥颁发中心颁发的量子随机数密钥，所述系统通过量子密钥卡与量子堡垒机或者量子堡垒机与量子通信网络服务器资源对应的量子随机数密钥对来实现相互之间的认证，实现终端用户对量子堡垒机或者量子通信网络服务器资源的访问。可选的，所述终端用户包括堡垒机运维用户和服务器运维用户；所述量子通信网络服务器资源为量子通信网络服务站中需要被量子堡垒机监控的所有服务器。可选的，所述量子密钥卡是由量子密钥颁发中心授权后颁发给合法终端用户的装置，它包括CPU、内存、存储器、操作系统。当合法的终端用户为个人电脑时，量子密钥卡的优选表现形式为USBKEY或个人电脑主板板卡；当合法的终端用户为移动终端时，量子密钥卡的优选表现形式为SDKEY或移动终端主板芯片。使用量子密钥卡从源头上保证了量子随机数密钥的安全性，防止量子随机数密钥被窃取或篡改，进而保证整个堡垒机系统的安全性。可选的，本专利技术所述系统还包括连接所述终端用户、量子堡垒机和量子通信网络服务器资源的防火墙、交换器、路由器。可选的，所述量子堡垒机包括安全加密模块、密钥存储模块和认证模块；所述安全加密模块用于对量子随机数密钥进行加解密操作，保证量子随机数密钥在存储和使用过程中的安全，其表现形式优选为主板板卡；所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥；所述认证模块用于对量子密钥卡和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。可选的，所述量子通信网络服务器资源中的各服务器包括安全加密模块、密钥存储模块及认证模块；所述安全加密模块用于对量子随机数密钥进行加解密操作，保证量子随机数密钥在存储和使用过程中的安全；所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥；所述认证模块用于量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。可选的，所述量子密钥颁发中心通过量子随机数发生服务器生成量子随机数，将量子随机数分别颁发给各终端用户和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源之间以形成共享的量子随机数密钥对。本专利技术还需要解决的技术问题是提供一种量子堡垒机系统的认证方法，它包括以下步骤：S1终端用户连接量子堡垒机，量子堡垒机接入到量子通信网络服务器资源；S2量子密钥颁发中心分别对终端用户和量子堡垒机、量子堡垒机和量子通信网络服务器资源颁发量子随机数密钥对；S3终端用户登录量子堡垒机，通过终端用户和量子堡垒机或者量子堡垒机和量子通信网络服务器资源的对应的量子随机数密钥对来实现相互之间的认证，从而获取相应的访问权限。可选的，所述量子密钥颁发中心通过量子随机数发生服务器产生量子随机数，将量子随机数分别颁发给各终端用户和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源之间以形成共享的量子随机数密钥对。进一步的，终端用户拥有与自身身份相对应的量子密钥卡，该量子密钥卡由终端用户在量子密钥颁发中心注册后颁发，量子密钥卡与量子堡垒机之间共享有相应的量子随机数密钥；所述量子堡垒机及量子通信网络服务器资源共享有相应的量子随机数密钥。可选的，所述终端用户和量子堡垒机之间的认证请求中携带有终端用户的用户标识信息，量子堡垒机通过该用户标识信息对认证请求进行认证，所述用户标识信息来自与终端用户身份相对应的量子密钥卡，所述量子密钥卡由终端用户在量子密钥颁发中心注册后颁发。可选的，所述终端用户包括堡垒机运维用户和服务器运维用户，所述量子通信网络服务器资源为量子通信网络服务站中需要被量子堡垒机监控的所有服务器。进一步的，终端用户对量子堡垒机认证成功后，量子堡垒机确定该终端用户为堡垒机运维用户时，该终端用户根据其角色权限对量子堡垒机进行相应操作；量子堡垒机确定该终端用户为服务器运维用户，则量子堡垒机确定该终端用户所对应的量子通信网络服务器资源中的服务器及其所有角色权限，并根据终端用户所对应的所有角色权限，对量子堡垒机与该终端用户对应的量子通信网络服务器资源中的服务器分别进行认证，所有角色权限都认证成功后该终端用户获得访问该终端用户对应的量子通信网络服务器资源中的服务器的权限。可选的，所述量子堡垒机包括安全加密模块、密钥存储模块及认证模块；所述安全加密模块用于对量子随机数密钥进行加解密操作，保证量子随机数密钥在存储和使用过程中的安全；所述密钥存储模块用本文档来自技高网...

【技术保护点】
一种量子堡垒机系统，其特征在于它包括终端用户、量子堡垒机及量子通信网络服务器资源；所述量子堡垒机管控终端用户访问量子通信网络服务器资源；所述系统还配设有量子密钥颁发中心及量子密钥卡，该量子密钥卡由终端用户在量子密钥颁发中心注册后颁发；所述量子密钥颁发中心生成量子随机数，并分别颁发给量子密钥卡、量子堡垒机及量子通信网络服务器资源作为量子随机数密钥；所述量子密钥卡存储用户信息及量子密钥颁发中心颁发的量子随机数密钥，所述系统通过量子密钥卡与量子堡垒机或者量子堡垒机与量子通信网络服务器资源对应的量子随机数密钥对来实现相互之间的认证，实现终端用户对量子堡垒机或者量子通信网络服务器资源的访问。

【技术特征摘要】
1.一种量子堡垒机系统，其特征在于它包括终端用户、量子堡垒机及量子通信网络服务器资源；所述量子堡垒机管控终端用户访问量子通信网络服务器资源；所述系统还配设有量子密钥颁发中心及量子密钥卡，该量子密钥卡由终端用户在量子密钥颁发中心注册后颁发；所述量子密钥颁发中心生成量子随机数，并分别颁发给量子密钥卡、量子堡垒机及量子通信网络服务器资源作为量子随机数密钥；所述量子密钥卡存储用户信息及量子密钥颁发中心颁发的量子随机数密钥，所述系统通过量子密钥卡与量子堡垒机或者量子堡垒机与量子通信网络服务器资源对应的量子随机数密钥对来实现相互之间的认证，实现终端用户对量子堡垒机或者量子通信网络服务器资源的访问。2.如权利要求1所述的一种量子堡垒机系统，其特征在于所述终端用户包括堡垒机运维用户和服务器运维用户；所述量子通信网络服务器资源为量子通信网络服务站中需要被量子堡垒机监控的所有服务器。3.如权利要求1所述的一种量子堡垒机系统，其特征在于所述量子堡垒机包括安全加密模块、密钥存储模块及认证模块；所述安全加密模块用于对量子随机数密钥进行加解密操作；所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥；所述认证模块用于对量子密钥卡和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。4.如权利要求1所述的一种量子堡垒机系统，其特征在于所述量子通信网络服务器资源中的各服务器包括安全加密模块、密钥存储模块及认证模块；所述安全加密模块用于对量子随机数密钥进行加解密操作；所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥；所述认证模块用于量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。5.如权利要求1所述的一种量子堡垒机系统，其特征在于所述量子密钥颁发中心通过量子随机数发生服务器生成量子随机数，将量子随机数分别颁发给各终端用户和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源之间以形成共享的量子随机数密钥对。6.一种量子堡垒机系统的认证方法，其特征在于它包括以下步骤：S1终端用户连接量子堡垒机，量子堡垒机接入到量子通信网络服务器资源；S2量子密钥颁发中心分别对终端用户和量子堡垒机、量子堡垒机和量子通信网络服务器资源颁发量子随机数密钥对；S3终端用户登录量子堡垒机，通过终端用户和量子堡垒机或者量子堡垒机和量子通信网络服务器资源的对应的量子随机数密钥对来实现相互之间的认证，从而获取相应的访问权限。7.如权利要求6所述的一种量子堡垒机系统的认证方法，其特征在于所述量子密钥颁发中心通过量子随机数发生服务器产生量子随机数，将量子随机数分别颁发给各终端用户和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源之间以形成共享的量子随机数密钥对。8.如权利要求6所述的一种量子堡垒机系统的认证方法，其特征在于终端用户拥有与自身身份相对应的量子密钥卡，该量子密钥卡由终端用户在量子密钥颁发中心注册后颁发，量子密钥卡与量子堡垒机之间共...

【专利技术属性】
技术研发人员：富尧，蔡晓宇，钟一民，
申请(专利权)人：浙江神州量子网络科技有限公司，
类型：发明
国别省市：浙江,33