一种量子保密通信可信组网认证方法和系统与流程
本发明涉及保密通信技术领域,尤其涉及一种量子保密通信可信组网认证方法和系统。
背景技术:
量子保密通信是以量子密钥分发技术为基础的加密通信技术。量子密钥分发利用单光子不可分割、量子态不可复制的特性实现通信双方间的安全密钥分配,解决了对称加密算法中密钥分配的安全性问题。和传统加密通信技术不同,量子保密通信的安全性由量子物理原则保障,它是至今为止唯一得到严格证明的,能从原理上确保通信无条件安全的加密通信技术。
现有的量子保密通信首先对量子信号源进行调制、测量和比对,通信双方建立安全密钥,随后通过采用一次一密加密体制加密并传送密文,形成安全通信。然而,其仅确保了通信双方的安全性,并没有考虑可信性。结合金融、银行、能源等行业信息通信系统组网模式的多样性和复杂性,存在身份欺骗的风险,比如a节点可冒充b节点向c节点发密钥。因此,需要在通信双方协商生成密钥前,对量子网络组件身份进行认证。
技术实现要素:
有鉴于此,本发明提供了一种量子保密通信可信组网认证方法,通过对各个量子组件颁发数字证书,有效解决了各组件之间的身份认证问题,提高了量子保密通信的安全性。
本发明提供了一种量子保密通信可信组网认证方法,所述方法包括:
在第一电子设备量子网关与第二电子设备量子网关之间协商生成密钥前,接收所述第一电子设备和第二电子设备发送的认证请求;
基于接收到的所述第一电子设备和第二电子设备发送的认证请求,根据预先颁发的数字证书进行身份认证;
当所述第一电子设备和第二电子设备的身份认证通过时,所述第一电子设备和第二电子设备之间生成第一量子密钥。
优选地,所述当所述第一电子设备和第二电子设备的身份认证通过时,所述第一电子设备和第二电子设备之间生成量子密钥后,还包括:
判断所述第一电子设备和第二电子设备身份认证是否过期;
当所述第一电子设备和第二电子设备身份认证过期时,返回重新对所述第一电子设备和所述第二电子设备的身份进行认证。
优选地,当所述第一电子设备和第二电子设备身份认证未过期时,所述第一电子设备和第二电子设备之间生成第二量子密钥。
优选地,当所述第一电子设备和第二电子设备的身份认证通过时,所述第一电子设备和第二电子设备之间生成第一量子密钥具体为:
采用波分复用创建协商信道,所述第一电子设备和第二电子设备基于所述协商信道生成第一量子密钥。
优选地,当所述第一电子设备和第二电子设备的身份认证未通过时,终止可信组网认证。
一种量子保密通信可信组网认证系统,包括:
接收模块,用于在第一电子设备量子网关与第二电子设备量子网关之间协商生成密钥前,接收所述第一电子设备和第二电子设备发送的认证请求;
身份认证模块,用于基于接收到的所述第一电子设备和第二电子设备发送的认证请求,根据预先颁发的数字证书进行身份认证;
生成模块,用于当所述第一电子设备和第二电子设备的身份认证通过时,所述第一电子设备和第二电子设备之间生成第一量子密钥。
优选地,所述系统还包括:
判断模块,用于判断所述第一电子设备和第二电子设备身份认证是否过期;
当所述第一电子设备和第二电子设备身份认证过期时,返回所述身份认证模块重新对所述第一电子设备和所述第二电子设备的身份进行认证。
优选地,当所述第一电子设备和第二电子设备身份认证未过期时,所述生成模块还用于在所述第一电子设备和第二电子设备之间生成第二量子密钥。
优选地,当所述第一电子设备和第二电子设备的身份认证通过时,所述生成模块具体用于:
采用波分复用创建协商信道,所述第一电子设备和第二电子设备基于所述协商信道生成第一量子密钥。
优选地,所述系统还包括终止模块,用于:
当所述第一电子设备和第二电子设备的身份认证未通过时,终止可信组网认证。
从上述技术方案可以看出,本发明提供了一种量子保密通信可信组网认证方法,当需要提高量子保密通信的安全性时,在第一电子设备量子网关与第二电子设备量子网关之间协商生成密钥前,首先接收第一电子设备和第二电子设备发送的认证请求;然后根据接收到的第一电子设备和第二电子设备发送的认证请求进行身份认证,只有当第一电子设备和第二电子设备的身份认证通过时第一电子设备和第二电子设备之间才生成量子密钥。通过对各个量子组件颁发数字证书,有效解决了各组件之间的身份认证问题,提高了量子保密通信的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明公开的一种量子保密通信可信组网认证方法实施例1的方法流程图;
图2为本发明公开的一种量子保密通信可信组网认证方法实施例2的方法流程图;
图3为本发明公开的一种量子保密通信可信组网认证方法实施例3的方法流程图;
图4为本发明公开的一种量子保密通信可信组网认证系统实施例1的结构示意图;
图5为本发明公开的一种量子保密通信可信组网认证系统实施例2的结构示意图;
图6为本发明公开的一种量子保密通信可信组网认证系统实施例3的结构示意图;
图7为本发明公开的量子密钥分发工作原理图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明公开的一种量子保密通信可信组网认证方法的实施例1的流程图,包括:
s101、在第一电子设备量子网关与第二电子设备量子网关之间协商生成密钥前,接收所述第一电子设备和第二电子设备发送的认证请求;
当需要进行量子保密通信时,在第一电子设备的量子网关与第二电子设备的量子网关之间协商生成密钥前,接收第一电子设备和第二电子设备分别发送的数字证书认证请求。其中,第一电子设备可以理解为信息发送方,第二电子设备可以理解为信息接收方。需要说明的是,在电子设备入网时,将设备证书管理模块预制于量子设备密钥芯片中。
s102、基于接收到的所述第一电子设备和第二电子设备发送的认证请求,根据预先颁发的数字证书进行身份认证;
当第一电子设备和第二电子设备分别发送数字证书认证请求后,根据预先颁发的第一电子设备的数字证书和第二电子设备的数字证书,对第一电子设备和第二电子设备进行身份认证,即判断用于保密通信的电子设备是否为正确的电子设备。
s103、当第一电子设备和第二电子设备的身份认证通过时,第一电子设备和第二电子设备之间生成第一量子密钥。
当经过数字证书身份认证表明第一电子设备和第二电子设备的身份认证通过时,第一电子设备和第二电子设备之间生成第一量子密钥,通过生成的第一量子密钥进行发送方和接收方之间的保密通信。其中,如图7所示,在进行量子密钥分发时,发送方即第一电子设备随机选一个信息嵌入方式,将随机的0或1编入光子的量子态,发给接收方即第二电子设备,然后接收方随机选一个信息读取方式读出光子携带的0或1,接收方告诉发送方每个光子的读取方式,发送方告诉接收方哪些关注的读取方式是正确的,双方将信息嵌入方式和信息读取方式一致的那些比特作为密钥。
综上所述,在上述实施例中,当需要提高量子保密通信的安全性时,在第一电子设备量子网关与第二电子设备量子网关之间协商生成密钥前,首先接收第一电子设备和第二电子设备发送的认证请求;然后根据接收到的第一电子设备和第二电子设备发送的认证请求进行身份认证,只有当第一电子设备和第二电子设备的身份认证通过时第一电子设备和第二电子设备之间才生成量子密钥。通过对各个量子组件颁发数字证书,有效解决了各组件之间的身份认证问题,提高了量子保密通信的安全性。
如图2所示,为本发明公开的一种量子保密通信可信组网认证方法的实施例2的流程图,包括:
s201、在第一电子设备量子网关与第二电子设备量子网关之间协商生成密钥前,接收所述第一电子设备和第二电子设备发送的认证请求;
当需要进行量子保密通信时,在第一电子设备的量子网关与第二电子设备的量子网关之间协商生成密钥前,接收第一电子设备和第二电子设备分别发送的数字证书认证请求。其中,第一电子设备可以理解为信息发送方,第二电子设备可以理解为信息接收方。需要说明的是,在电子设备入网时,将设备证书管理模块预制于量子设备密钥芯片中。
s202、基于接收到的所述第一电子设备和第二电子设备发送的认证请求,根据预先颁发的数字证书进行身份认证;
当第一电子设备和第二电子设备分别发送数字证书认证请求后,根据预先颁发的第一电子设备的数字证书和第二电子设备的数字证书,对第一电子设备和第二电子设备进行身份认证,即判断用于保密通信的电子设备是否为正确的电子设备。
s203、当第一电子设备和第二电子设备的身份认证通过时,第一电子设备和第二电子设备之间生成第一量子密钥;
当经过数字证书身份认证表明第一电子设备和第二电子设备的身份认证通过时,第一电子设备和第二电子设备之间生成第一量子密钥,通过生成的第一量子密钥进行发送方和接收方之间的保密通信。其中,如图7所示,在进行量子密钥分发时,发送方即第一电子设备随机选一个信息嵌入方式,将随机的0或1编入光子的量子态,发给接收方即第二电子设备,然后接收方随机选一个信息读取方式读出光子携带的0或1,接收方告诉发送方每个光子的读取方式,发送方告诉接收方哪些关注的读取方式是正确的,双方将信息嵌入方式和信息读取方式一致的那些比特作为密钥。
s204、判断第一电子设备和第二电子设备身份认证是否过期,若是则返回s202,若否则进入s205;
为了更进一步的提高量子保密通信的安全性,在第一次第一电子设备和第二电子设备之间生成第一量子密钥后,进一步判断第一电子设备和第二电子设备身份认证是否过期,在验证第一电子设备和第二电子设备身份认证是否过期时,可以通过判断距离第一电子设备和第二电子设备的身份认证通过的时间是否超过预设有效期,例如,是否超过有效期24小时,当距离第一电子设备和第二电子设备的身份认证通过的时间超过预设有效期时,表明第一电子设备和第二电子设备身份认证过期。
当第一电子设备和第二电子设备身份认证过期时,如果第一电子设备和第二电子设备之间还需要进行保密通信时,需要返回上述步骤对第一电子设备和第二电子设备的身份进行重新认证。
s205、当第一电子设备和第二电子设备身份认证未过期时,第一电子设备和第二电子设备之间生成第二量子密钥。
当第一电子设备和第二电子设备身份认证未过期时,第一电子设备和第二电子设备之间可以重新生成第二量子密钥。需要说明的是,生成第二量子密钥和生成第一量子密钥的原理相同,在此不再赘述。
综上所述,本实施例在实施例1的基础上进一步判断第一电子设备和第二电子设备身份认证是否过期,通过判断第一电子设备和第二电子设备身份认证是否过期可以更进一步的提高量子保密通信的安全性。
如图3所示,为本发明公开的一种量子保密通信可信组网认证方法的实施例3的流程图,包括:
s301、在第一电子设备量子网关与第二电子设备量子网关之间协商生成密钥前,接收所述第一电子设备和第二电子设备发送的认证请求;
当需要进行量子保密通信时,在第一电子设备的量子网关与第二电子设备的量子网关之间协商生成密钥前,接收第一电子设备和第二电子设备分别发送的数字证书认证请求。其中,第一电子设备可以理解为信息发送方,第二电子设备可以理解为信息接收方。需要说明的是,在电子设备入网时,将设备证书管理模块预制于量子设备密钥芯片中。
s302、基于接收到的所述第一电子设备和第二电子设备发送的认证请求,根据预先颁发的数字证书进行身份认证;
当第一电子设备和第二电子设备分别发送数字证书认证请求后,根据预先颁发的第一电子设备的数字证书和第二电子设备的数字证书,对第一电子设备和第二电子设备进行身份认证,即判断用于保密通信的电子设备是否为正确的电子设备。
s303、当第一电子设备和第二电子设备的身份认证通过时,采用波分复用创建协商信道,第一电子设备和第二电子设备之间生成第一量子密钥;
当经过数字证书身份认证表明第一电子设备和第二电子设备的身份认证通过时,通过采用波分复用技术在量子信道上创建协商信道,进行交互协商,再启用量子信道在第一电子设备和第二电子设备之间生成第一量子密钥,通过生成的第一量子密钥进行发送方和接收方之间的保密通信。其中,如图7所示,在进行量子密钥分发时,发送方即第一电子设备随机选一个信息嵌入方式,将随机的0或1编入光子的量子态,发给接收方即第二电子设备,然后接收方随机选一个信息读取方式读出光子携带的0或1,接收方告诉发送方每个光子的读取方式,发送方告诉接收方哪些关注的读取方式是正确的,双方将信息嵌入方式和信息读取方式一致的那些比特作为密钥。
s304、当第一电子设备和第二电子设备的身份认证未通过时,终止可信组网认证。
如图4所示,为本发明公开的一种量子保密通信可信组网认证系统的实施例1的结构示意图,包括:
接收模块401,用于在第一电子设备量子网关与第二电子设备量子网关之间协商生成密钥前,接收所述第一电子设备和第二电子设备发送的认证请求;
当需要进行量子保密通信时,在第一电子设备的量子网关与第二电子设备的量子网关之间协商生成密钥前,接收第一电子设备和第二电子设备分别发送的数字证书认证请求。其中,第一电子设备可以理解为信息发送方,第二电子设备可以理解为信息接收方。需要说明的是,在电子设备入网时,将设备证书管理模块预制于量子设备密钥芯片中。
身份认证模块402,用于基于接收到的所述第一电子设备和第二电子设备发送的认证请求,根据预先颁发的数字证书进行身份认证;
当第一电子设备和第二电子设备分别发送数字证书认证请求后,根据预先颁发的第一电子设备的数字证书和第二电子设备的数字证书,对第一电子设备和第二电子设备进行身份认证,即判断用于保密通信的电子设备是否为正确的电子设备。
生成模块403,用于当第一电子设备和第二电子设备的身份认证通过时,第一电子设备和第二电子设备之间生成第一量子密钥。
当经过数字证书身份认证表明第一电子设备和第二电子设备的身份认证通过时,第一电子设备和第二电子设备之间生成第一量子密钥,通过生成的第一量子密钥进行发送方和接收方之间的保密通信。其中,如图7所示,在进行量子密钥分发时,发送方即第一电子设备随机选一个信息嵌入方式,将随机的0或1编入光子的量子态,发给接收方即第二电子设备,然后接收方随机选一个信息读取方式读出光子携带的0或1,接收方告诉发送方每个光子的读取方式,发送方告诉接收方哪些关注的读取方式是正确的,双方将信息嵌入方式和信息读取方式一致的那些比特作为密钥。
综上所述,在上述实施例中,当需要提高量子保密通信的安全性时,在第一电子设备量子网关与第二电子设备量子网关之间协商生成密钥前,首先接收第一电子设备和第二电子设备发送的认证请求;然后根据接收到的第一电子设备和第二电子设备发送的认证请求进行身份认证,只有当第一电子设备和第二电子设备的身份认证通过时第一电子设备和第二电子设备之间才生成量子密钥。通过对各个量子组件颁发数字证书,有效解决了各组件之间的身份认证问题,提高了量子保密通信的安全性。
如图5所示,为本发明公开的一种量子保密通信可信组网认证系统的实施例2的结构示意图,包括:
接收模块501,用于在第一电子设备量子网关与第二电子设备量子网关之间协商生成密钥前,接收所述第一电子设备和第二电子设备发送的认证请求;
当需要进行量子保密通信时,在第一电子设备的量子网关与第二电子设备的量子网关之间协商生成密钥前,接收第一电子设备和第二电子设备分别发送的数字证书认证请求。其中,第一电子设备可以理解为信息发送方,第二电子设备可以理解为信息接收方。需要说明的是,在电子设备入网时,将设备证书管理模块预制于量子设备密钥芯片中。
身份认证模块502,用于基于接收到的所述第一电子设备和第二电子设备发送的认证请求,根据预先颁发的数字证书进行身份认证;
当第一电子设备和第二电子设备分别发送数字证书认证请求后,根据预先颁发的第一电子设备的数字证书和第二电子设备的数字证书,对第一电子设备和第二电子设备进行身份认证,即判断用于保密通信的电子设备是否为正确的电子设备。
生成模块503,用于当第一电子设备和第二电子设备的身份认证通过时,第一电子设备和第二电子设备之间生成第一量子密钥;
当经过数字证书身份认证表明第一电子设备和第二电子设备的身份认证通过时,第一电子设备和第二电子设备之间生成第一量子密钥,通过生成的第一量子密钥进行发送方和接收方之间的保密通信。其中,如图7所示,在进行量子密钥分发时,发送方即第一电子设备随机选一个信息嵌入方式,将随机的0或1编入光子的量子态,发给接收方即第二电子设备,然后接收方随机选一个信息读取方式读出光子携带的0或1,接收方告诉发送方每个光子的读取方式,发送方告诉接收方哪些关注的读取方式是正确的,双方将信息嵌入方式和信息读取方式一致的那些比特作为密钥。
判断模块504,用于判断第一电子设备和第二电子设备身份认证是否过期;
为了更进一步的提高量子保密通信的安全性,在第一次第一电子设备和第二电子设备之间生成第一量子密钥后,进一步判断第一电子设备和第二电子设备身份认证是否过期,在验证第一电子设备和第二电子设备身份认证是否过期时,可以通过判断距离第一电子设备和第二电子设备的身份认证通过的时间是否超过预设有效期,例如,是否超过有效期24小时,当距离第一电子设备和第二电子设备的身份认证通过的时间超过预设有效期时,表明第一电子设备和第二电子设备身份认证过期。
身份认证模块502,当第一电子设备和第二电子设备身份认证过期时,返回重新对第一电子设备和第二电子设备的身份进行认证;
当第一电子设备和第二电子设备身份认证过期时,如果第一电子设备和第二电子设备之间还需要进行保密通信时,需要返回上述步骤对第一电子设备和第二电子设备的身份进行重新认证。
生成模块503,用于当第一电子设备和第二电子设备身份认证未过期时,第一电子设备和第二电子设备之间生成第二量子密钥。
当第一电子设备和第二电子设备身份认证未过期时,第一电子设备和第二电子设备之间可以重新生成第二量子密钥。需要说明的是,生成第二量子密钥和生成第一量子密钥的原理相同,在此不再赘述。
综上所述,本实施例在实施例1的基础上进一步判断第一电子设备和第二电子设备身份认证是否过期,通过判断第一电子设备和第二电子设备身份认证是否过期可以更进一步的提高量子保密通信的安全性。
如图6所示,为本发明公开的一种量子保密通信可信组网认证系统的实施例3的结构示意图,包括:
接收模块601,用于在第一电子设备量子网关与第二电子设备量子网关之间协商生成密钥前,接收所述第一电子设备和第二电子设备发送的认证请求;
当需要进行量子保密通信时,在第一电子设备的量子网关与第二电子设备的量子网关之间协商生成密钥前,接收第一电子设备和第二电子设备分别发送的数字证书认证请求。其中,第一电子设备可以理解为信息发送方,第二电子设备可以理解为信息接收方。需要说明的是,在电子设备入网时,将设备证书管理模块预制于量子设备密钥芯片中。
身份认证模块602,用于基于接收到的所述第一电子设备和第二电子设备发送的认证请求,根据预先颁发的数字证书进行身份认证;
当第一电子设备和第二电子设备分别发送数字证书认证请求后,根据预先颁发的第一电子设备的数字证书和第二电子设备的数字证书,对第一电子设备和第二电子设备进行身份认证,即判断用于保密通信的电子设备是否为正确的电子设备。
生成模块603,用于当第一电子设备和第二电子设备的身份认证通过时,采用波分复用创建协商信道,第一电子设备和第二电子设备之间生成第一量子密钥;
当经过数字证书身份认证表明第一电子设备和第二电子设备的身份认证通过时,通过采用波分复用技术在量子信道上创建协商信道,进行交互协商,再启用量子信道在第一电子设备和第二电子设备之间生成第一量子密钥,通过生成的第一量子密钥进行发送方和接收方之间的保密通信。其中,如图7所示,在进行量子密钥分发时,发送方即第一电子设备随机选一个信息嵌入方式,将随机的0或1编入光子的量子态,发给接收方即第二电子设备,然后接收方随机选一个信息读取方式读出光子携带的0或1,接收方告诉发送方每个光子的读取方式,发送方告诉接收方哪些关注的读取方式是正确的,双方将信息嵌入方式和信息读取方式一致的那些比特作为密钥。
终止模块604,用于当第一电子设备和第二电子设备的身份认证未通过时,终止可信组网认证。
具体的,身份认证模块是是pki/ca平台的核心,其通过把设备公钥和设备的真实身份绑定在一起,产生数字证书,提供证书服务和管理的主要功能,主要包含证书目录服务、证书吊销表服务、证书状态查询服务、证书管理服务、系统管理服务、证书数据库、签名服务器和密码设备等。证书目录服务为证书的储存库,提供了证书的保存、修改、删除和获取的能力。证书吊销表服务,列出了被撤销的证书序列号。在证书的有效期间,因为某种原因,导致相应的数字证书内容不再是真实可信,此时需要进行证书撤销,声明该证书是无效的。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
- 还没有人留言评论。精彩留言会获得点赞!