一种量子安全终端接入量子安全网络的认证方法技术

本发明专利技术公开了一种量子安全终端接入量子安全网络的认证方法，根密钥服务器先根据根密钥密文文件的哈希校验结果对量子安全终端进行身份认证；并在身份认证通过后，量子安全终端再对根密钥明文文件进行哈希校验，以验证其解密的正确性，校验成功时生成对应的目标索引；基站基于接收的目标索引和设备ID构造根密钥请求消息，根密钥服务器基于消息中的设备ID再次进行认证，在认证通过后才允许基站下载目标索引所对应的根密钥文件；上述过程中同时基于根密钥密文文件和根密钥明文文件的校验，保证了接入过程中密钥文件的一致性；此外在认证过程中量子安全终端、基站以及根密钥服务器之间传输的消息内容为加密传输，进一步提高了信息传递过程中的安全性。息传递过程中的安全性。息传递过程中的安全性。

【技术实现步骤摘要】
一种量子安全终端接入量子安全网络的认证方法


[0001]本专利技术涉及信息安全
，具体涉及一种量子安全终端接入量子安全网络的认证方法。

技术介绍

[0002]传统的信息安全通过依赖于计算复杂度的加密算法来实现，然而随着计算能力的飞速发展，依赖于计算复杂度的传统加密算法面临着日益加剧的安全风险。
[0003]随着社会对通信的安全性越来越看重，量子保密通信技术得到了各方的重视。它能够完美地克服传统通信技术存在的安全隐患问题，保证通信过程具有绝对的安全性和可靠性。
[0004]量子保密通信是最先走向实用化和产业化的量子信息技术。目前市面上出现了多种用于保障信息安全的量子安全终端，量子安全终端在使用中能够对数据进行量子加密，保障其发出的数据具有高安全性；多个量子安全终端需要进行交互时需要和基站进行组网通信，以进行数据的传输和密钥中继等业务。如何在量子安全终端接入基站前对其进行安全认证，以保证其身份的合法性，目前并没有一种成熟的专门针对量子安全终端安全接入基站的方法和系统。量子安全终端如果布置在不可信的环境中，则容易受到恶意用户的攻击，对量子安全网络以及用户终端造成严重威胁。因此在量子安全终端的组网过程中，需要设计安全、完整的认证机制以保证其安全性。

技术实现思路

[0005]为解决上述问题，本专利技术公开了一种量子安全终端接入量子安全网络的认证方法。
[0006]本申请提供了一种量子安全终端接入量子安全网络的认证方法，所述方法包括：
[0007]量子安全终端向基站发送接入请求消息，并在所述接入请求消息中携带根密钥索引和第一加密数据，其中，所述第一加密数据中加密的信息包括量子安全终端对应的设备ID和量子安全终端中预注的根密钥密文文件对应的第一哈希值；
[0008]所述基站接收接入请求消息，根据所述接入请求消息生成认证请求消息，并向根密钥服务器发送所述认证请求消息，所述认证请求消息中包含根密钥索引和第一加密数据；
[0009]根密钥服务器解密所述第一加密数据得到设备ID和第一哈希值，根据设备ID和第一哈希值对量子安全终端进行身份认证；并在身份认证合法时，根据根密钥索引查找其对应的根密钥明文文件，计算该根密钥明文文件对应的第二哈希值，再根据根密钥索引查找所述预注的根密钥密文文件的解密参数，加密第二哈希值和解密参数形成第二加密数据，向基站返回认证响应消息，在所述认证响应消息中携带设备ID和第二加密数据；
[0010]所述基站在所述量子安全终端身份认证合法时，为量子安全终端分配入网ID，基于认证响应消息生成接入响应消息，并向量子安全终端发送所述接入响应消息，所述接入
响应消息中携带有入网ID和第二加密数据；
[0011]所述量子安全终端解密接收到的第二加密数据得到第二哈希值和解密参数，根据解密参数解密所述预注的根密钥密文文件得到根密钥明文文件，计算解密得到的根密钥密文文件的哈希值，并与第二哈希值进行比较，在比较结果一致时生成该根密钥明文文件对应的目标索引，再加密所述目标索引和量子安全终端对应的设备ID得到第三加密数据，向基站发送携带有所述第三加密数据的接入命令消息；
[0012]所述基站基于所述接入命令消息生成密钥请求消息，并向所述根密钥服务器发送根密钥请求消息，所述根密钥请求消息中携带第三加密数据和根密钥索引；
[0013]所述根密钥服务器接收根密钥请求消息，根据根密钥索引查找并确定根密钥生成记录，解密第三加密数据得到设备ID和目标索引，验证解密得到的设备ID是否与根密钥生成记录中的相符，在验证相符后，通过根密钥生成记录获取所述目标索引对应的文件位置信息，再向基站返回根密钥响应消息，并在所述根密钥响应消息中携带所述目标索引对应的根密钥文件的文件位置信息；
[0014]所述基站接收根密钥响应消息，根据根密钥响应消息中的文件位置信息，从所述根密钥服务器下载根密钥文件，并在所述基站下载完成后向所述量子安全终端返回接入完成消息；
[0015]量子安全终端接收接入完成消息，与所述基站之间进行密钥一致性校验，若密钥一致性校验通过，则流程结束，否则根据预设的请求次数阈值，再次使用所述预注的根密钥密文文件执行接入请求流程。
[0016]上述方案中，所述根密钥服务器和量子安全终端中均预设有第一密钥，所述第一加密数据通过第一密钥加密设备ID和第一哈希值得到；
[0017]所述根密钥服务器根据认证请求消息中的根密钥索引查找根密钥生成记录，根据根密钥生成记录获取用于解密第一加密数据的第一密钥、解密所述第一加密数据得到设备ID和第一哈希值。
[0018]上述方案中，所述根密钥服务器和量子安全终端中均预设有第二密钥，所述第二加密数据通过第二密钥加密第二哈希值和解密参数得到；
[0019]所述量子安全终端通过预设的第二密钥解密第二加密数据得到第二哈希值和解密参数。
[0020]上述方案中，所述解密参数包括第一密钥扩展参数和第二密钥扩展参数；所述根密钥服务器中存储有第一密钥扩展参数，所述量子安全终端内存储有第二密钥扩展参数；
[0021]所述量子安全终端解密所述预注的根密钥密文文件的方法包括：
[0022]所述根密钥服务器根据根密钥索引查找根密钥生成记录，通过所述根密钥生成记录获取第一密钥扩展参数，并生成携带有第一密钥扩展参数的第二加密数据；
[0023]所述量子安全终端解密接收到的第二加密数据得到第一密钥扩展参数，将量子安全终端内的第二密钥扩展参数和接收的第一密钥扩展参数根据预设的第一扩充规则进行扩充，以得到用于解密根密钥密文文件的扩充密钥。
[0024]上述方案中，所述量子安全终端加密所述第三加密数据的方法包括：
[0025]所述量子安全终端解密接收到的第二加密数据得到第一密钥扩展参数，将量子安全终端内的第二密钥扩展参数和接收的第一密钥扩展参数根据预设的第二扩充规则进行
扩充，以得到用于加密设备ID和目标索引的传输密钥，利用所述传输密钥加密所述设备ID和目标索引得到第三加密数据。
[0026]上述方案中，所述根密钥服务器中还存储有第二密钥扩展参数；
[0027]所述根密钥服务器解密所述第三加密数据的方法包括：
[0028]所述根密钥服务器将第一密钥扩展参数和第二密钥扩展参数根据预设的第二扩充规则进行扩充，得到传输密钥；通过所述传输密钥解密第三加密数据得到设备ID和目标索引。
[0029]上述方案中，所述量子安全终端内预注的根密钥密文文件包括多个时，所述量子安全终端解密预注的根密钥密文文件的方法包括：
[0030]所述量子安全终端将第一密钥扩展参数和第二密钥扩展参数根据预设的第三扩充规则扩充至N个扩充密钥，其中N为预注的根密钥密文文件的数量，再根据预设的密钥对应关系，得到用于解密各预注的根密钥密文文件的扩充密钥。
[0031]上述方案中，所述量子安全终端内预设有多个预注的根密钥组，且各预注的根密钥组中包含一个或多个根密钥密文文件；
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种量子安全终端接入量子安全网络的认证方法，其特征在于：所述方法包括：量子安全终端向基站发送接入请求消息，并在所述接入请求消息中携带根密钥索引和第一加密数据，其中，所述第一加密数据中加密的信息包括量子安全终端对应的设备ID和量子安全终端中预注的根密钥密文文件对应的第一哈希值；所述基站接收接入请求消息，根据所述接入请求消息生成认证请求消息，并向根密钥服务器发送所述认证请求消息，所述认证请求消息中包含根密钥索引和第一加密数据；根密钥服务器解密所述第一加密数据得到设备ID和第一哈希值，根据设备ID和第一哈希值对量子安全终端进行身份认证；并在身份认证合法时，根据根密钥索引查找其对应的根密钥明文文件，计算该根密钥明文文件对应的第二哈希值，再根据根密钥索引查找所述预注的根密钥密文文件的解密参数，加密第二哈希值和解密参数形成第二加密数据，向基站返回认证响应消息，在所述认证响应消息中携带设备ID和第二加密数据；所述基站在所述量子安全终端身份认证合法时，为量子安全终端分配入网ID，基于认证响应消息生成接入响应消息，并向量子安全终端发送所述接入响应消息，所述接入响应消息中携带有入网ID和第二加密数据；所述量子安全终端解密接收到的第二加密数据得到第二哈希值和解密参数，根据解密参数解密所述预注的根密钥密文文件得到根密钥明文文件，计算解密得到的根密钥密文文件的哈希值，并与第二哈希值进行比较，在比较结果一致时生成该根密钥明文文件对应的目标索引，再加密所述目标索引和量子安全终端对应的设备ID得到第三加密数据，向基站发送携带有所述第三加密数据的接入命令消息；所述基站基于所述接入命令消息生成密钥请求消息，并向所述根密钥服务器发送根密钥请求消息，所述根密钥请求消息中携带第三加密数据和根密钥索引；所述根密钥服务器接收根密钥请求消息，根据根密钥索引查找并确定根密钥生成记录，解密第三加密数据得到设备ID和目标索引，验证解密得到的设备ID是否与根密钥生成记录中的相符，在验证相符后，通过根密钥生成记录获取所述目标索引对应的文件位置信息，再向基站返回根密钥响应消息，并在所述根密钥响应消息中携带所述目标索引对应的根密钥文件的文件位置信息；所述基站接收根密钥响应消息，根据根密钥响应消息中的文件位置信息，从所述根密钥服务器下载根密钥文件，并在所述基站下载完成后向所述量子安全终端返回接入完成消息；量子安全终端接收接入完成消息，与所述基站之间进行密钥一致性校验，若密钥一致性校验通过，则流程结束，否则根据预设的请求次数阈值，再次使用所述预注的根密钥密文文件执行接入请求流程。2.根据权利要求1所述的量子安全终端接入量子安全网络的认证方法，其特征在于：所述根密钥服务器和量子安全终端中均预设有第一密钥，所述第一加密数据通过第一密钥加密设备ID和第一哈希值得到；所述根密钥服务器根据认证请求消息中的根密钥索引查找根密钥生成记录，根据根密钥生成记录获取用于解密第一加密数据的第一密钥、解密所述第一加密数据得到设备ID和第一哈希值。3.根据权利要求2所述的量子安全终端接入量子安全网络的认证方法，其特征在于：
所述根密钥服务器和量子安全终端中均预设有第二密钥，所述第二加密数据通过第二密钥加密第二哈希值和解密参数得到；所述量子安全终端通过预设的第二密钥解密第二加密数据得到第二哈希值和解密参数。4.根据权利要求3所述的量子安全终端接入量子安全网络的认证方法，其特征在于：所述解密参数包括第一密钥扩展参数和第二密钥扩展参数；所述根密钥服务器中存储有第一密钥扩展参数，所述量子安全终端内存储有第二密钥扩展参数；所述量子安全终端解密所述预注的根密钥密文文件的方法包括：所述根密钥服务器根据根密钥索引查找根密钥生成记录，通过所述根密钥生成记录...

【专利技术属性】
技术研发人员：傅波海，黎爽，
申请(专利权)人：矩阵时光数字科技有限公司，
类型：发明
国别省市：