一种量子网络中网络接入设备的认证系统及认证方法与流程

本发明属于量子通信技术领域，具体涉及一种量子网络中网络接入设备的认证系统及认证方法。

背景技术：

随着量子通信实用化的推进，量子通信在网络化应用方面的使用前景更加广阔，量子网络利用BB84协议产生的量子密钥对网络中传输的数据进行加密，能够保证信息在因特网上传输的绝对安全，未来计算机网络的发展方向，即为由量子力学保证其安全性的量子网络。

量子网络认证系统类似于经典网络的认证系统，是在量子网络的基础之上建立起来的，在量子网络安全中占有重要的地位，量子网络认证系统的一种情况是对网络接入设备的认证，我们知道，用户端接入量子主干网时需要搭建好自己的内部网络，然而，不法分子通过在网络设备上布置解密软件或者监听软件(主要通过编写拦截程序，截取通讯信息或监听仿真的方式)，可以对内部网络的各种防护手段进行有破坏力的攻击，如何保证内部网络的安全，防止来自内部的攻击或信息泄露是用户关心的重要问题。

为有效地防止不法分子利用内网接入设备对量子网络发起攻击，我们可以对连入量子网络的设备进行身份认证，只有通过身份认证的用户设备，量子网络才对其开放网络连接，本发明根据这个基本思想，通过量子设备登录证书和一系列专用算法，能有效阻止未认证设备的接入, 从而杜绝来自未认证设备上的各种风险，提高内部网络的安全性，对于已被认证的设备，接入量子网络并不受影响，且每次断网或者重新接入时，认证的数据都是不同的，有效的防止了认证系统被破解情况的发生。

技术实现要素：

针对现有技术不足，结合经典身份认证机制中的常用方法，本发明进行流程整合和创新后，提供了一种量子网络中网络接入设备的认证系统及认证方法，实现了量子网络系统对用户设备合法身份的验证。

为实现发明目的，本发明采用以下技术方案：

一种量子网络中网络接入设备的认证系统，包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器，所述用户端包括用户所持有的量子设备登录证书及用户所要接入量子网络中的网络设备，所述用户端与所述量子设备认证控制器连接，所述用户端在认证过程中是通过量子设备认证控制器、量子网关与所述量子设备认证服务器相连，在认证成功之前，用户端与量子网关之间的网络通路被量子设备认证控制器所阻断；所述量子设备登录证书接入在网络设备和量子设备认证控制器之间，所述网络设备必须通过合法的量子设备登录证书才能接入量子网络，所述量子设备登录证书由登录证书颁发服务器颁发给用户，存有用户设备信息CI、量子设备认证服务器信息SI、量子密钥KEY、用户ID等，是用户网络设备登录量子网络的通行证；所述量子设备认证控制器用于对网络设备能否接入量子网络进行控制，对未通过认证的网络设备，控制其无法接入量子网络，而对通过认证的网络设备的上网功能不予影响。

优选为，所述登录证书颁发服务器通过量子网关与量子设备认证服务器相连，由专门的机构管理，产生的量子密钥用于颁发量子设备登录证书，专门机构的专职人员认证所需接入的设备和所有人信息后，可录入必备的有用信息并存档备用。

优选为，所述量子网关包括用户端量子网关和服务端量子网关，用于量子密钥的生成、存储及传输，所述用户端量子网关和服务端量子网关之间通过两条通道连接，一条是量子信道，一条是经典信道，所述量子信道使用BB84协议产生量子密钥，且量子密钥是基于量子力学的真随机数，所述经典信道用来传送量子信息之外的经典信息。

优选为，所述量子设备认证服务器通过量子网关与整个量子网络相连，所述量子设备登录证书颁发时，产生的量子密钥作为用户注册信息的一部分保存起来，当用户端的网络设备接入量子网络时，所述量子设备认证服务器利用已存储的设备信息，执行一系列认证流程，完成认证服务。

本发明所采用的另一技术方案是：

一种量子网络中网络接入设备的认证方法，包括以下步骤：

（1）.网络部署阶段

登录证书颁发服务器与量子设备认证服务器通过量子网关相连接，进行远程颁发量子设备登录证书，所述登录证书颁发服务器所在的服务中心备有一定数量的量子设备登录证书，这些量子设备登录证书在用户申领前，都处于初始状态下，认证用户端包括用户端量子网关、量子设备认证控制器和量子设备登录证书和网络设备，认证服务端包括服务端量子网关和量子设备认证服务器，认证用户端与认证服务端通过量子网关相连，量子网关包括用户端量子网关和服务端量子网关，两者之间连有量子通信特有的光纤信道—量子信道，只有当用户的量子设备登录证书认证成功后，连接在该量子设备登录证书上的网络设备才被量子设备认证控制器允许接入到量子网络中；

（2）.证书颁发阶段

量子设备登录证书是网络设备接入量子网络的唯一凭证，代表着用户设备的合法身份，用户端的网络设备只有通过合法的量子设备登录证书才能接入到量子网络中，用户在申请量子设备登录证书前，需要向登录证书颁发服务器所在的服务中心提交用户及其设备的信息，登录证书颁发服务器端的管理员会对用户的信息进行审核，审核通过后为用户完成量子设备登录证书的制作，包括必备信息的写入等，然后为用户颁发证书，所述量子设备登录证书包括用户ID、用户设备信息CI、量子设备认证服务器信息SI及量子密钥KEY，其中用户设备信息是用户设备的特有信息，可由设备ID或MAC地址等信息计算得到；量子设备认证服务器信息是量子设备认证服务器的特有信息，可由服务器ID或MAC地址等信息计算得到；量子密钥KEY是通过量子网络在登录证书颁发服务器和量子设备认证服务器端同时生成的量子密钥，满足真随机性和绝对安全性，量子设备登录证书以硬件的形式颁发给用户，在量子设备登录证书颁发的过程中，登录证书颁发服务器将用户的注册信息通过量子密钥加密后发送给量子设备认证服务器端，量子设备认证服务器端使用对称的量子密钥解密后保存在自己的数据库中，作为用户登录时的认证信息，同理，量子设备认证服务器端将服务器信息通过量子密钥加密后发送给登录证书颁发服务器，登录证书颁发服务器使用对称的量子密钥解密后写入用户的量子设备登录证书中，最终，用户的量子设备登录证书和量子设备认证服务器共享相同的认证信息，包括用户ID、用户设备信息CI、量子设备认证服务器信息SI和量子密钥KEY；

（3）.双向认证阶段

用户的网络设备要想接入到量子网络中，必须要有合法的量子设备登录证书，如果没有量子设备登录证书，当用户设备连接在量子网络端口的时候，量子设备认证控制器会阻止不可识别的非法网络设备接入到量子网络中，用户使用量子设备登录证书接入量子网络时需要进行双向认证，即量子设备认证服务器对量子设备登录证书的认证和量子设备登录证书对量子设备认证服务器的认证；

（4）.量子密钥更新阶段

认证成功后需更新密钥，用户端量子网关与服务端量子网关通过BB84协议产生量子密钥KEY’，用户端量子网关将量子密钥KEY’下发给量子设备认证控制器，用户端的量子设备登录证书通过量子随机数发生器产生一个随机数N，并将N发送给量子设备认证控制器，量子设备认证控制器使用随机数N将量子密钥KEY’加密后发送给量子设备登录证书，量子设备登录证书解密后将量子密钥KEY’替换量子密钥KEY，量子设备登录证书的量子密钥更新成功，并将成功消息发送给量子设备认证服务器，量子设备认证服务器接到消息后，量子设备认证服务器端将量子密钥KEY’取代量子密钥KEY保存在数据库中，此时双方的量子密钥更新成功，用户端的网络设备即可通过量子设备登录证书接入到量子网络中进行通信；

（5）.心跳认证阶段

登录证书更新后，用户进入通信阶段，在此阶段，量子设备登录证书会每隔一段时间发送一个心跳包给量子设备认证控制器，用来进行心跳认证以保证用户网络设备与量子网络之间保持有效连接，如果因断网或者量子设备登录证书发生异常等原因造成心跳包未按协议时间到达，则量子设备认证控制器会断开网络连接，造成用户的网络设备无法登入量子网络。

优选为，所述量子设备认证服务器信息使用加密函数处理，使得每个用户的网络设备所保存的量子设备认证服务器信息是不同的，避免服务器信息的暴露。

优选为，所述量子设备认证服务器对量子设备登录证书的认证：首先，量子设备登录证书使用量子密钥KEY对用户设备信息CI提取摘要，获得摘要H1，然后，将摘要H1与用户ID串行组合后发送给量子设备认证控制器，量子设备认证控制器将接收到的信息通过量子网络转发给量子设备认证服务器进行认证，量子设备认证服务器根据用户ID找到存入在数据库中的相应的认证信息，并使用数据库中对应的量子密钥KEY对用户设备信息CI进行摘要的提取，获得摘要H1’，量子设备认证服务器将H1’和H1进行对比，如果H1=H1’则量子设备认证服务器对量子设备登录证书认证成功，否则失败，当量子设备认证服务器对量子设备登录证书认证成功后，进入量子设备登录证书对量子设备认证服务器的认证阶段。

优选为，所述量子设备登录证书对量子设备认证服务器的认证：量子设备认证服务器端使用量子密钥KEY对量子设备认证服务器信息SI提取摘要，获得摘要H2并发送给量子设备登录证书，量子设备登录证书做同样的操作获得H2’，量子设备登录证书对比H2和H2’，如果H2=H2’则量子设备登录证书对量子设备认证服务器认证成功，否则认证失败，当双方认证成功后，整个认证系统则认证成功，用户端的网络设备即可接入到量子网络中进行通信，但在通信之前，要先完成量子设备登录证书与量子设备认证服务器两端密钥的更新。

本发明的有益效果是：

1.本发明颁发阶段对设备进行认证后，接入网络的设备的合法性得到大大提升，比起设备随意接入的网络，其安全性和规范性得到大大提高，并且便于后续对用户进行行为审计和计费等网络管理；

2.本发明中量子设备登录证书的颁发是由量子网络远程颁发，避免了量子设备登录证书颁发人员跑去量子设备认证服务器所在地制作量子设备登录证书的苦恼，且其通信过程是绝对可靠的，由于其初始的认证密钥KEY是由量子网关之间通过BB84产生的量子密钥，且量子密钥是由物理定律产生的真随机数，具有绝对的安全性，保证了量子设备登录证书高强度的安全性；

3.本发明在认证的过程中，采用的是双向认证，并且使用量子密钥对认证信息进行摘要的提取，而不是用量子密钥对认证信息进行加密，因为摘要算法是不可逆的，这使得认证消息在传播的过程中，窃听者即使获得传输的数据，也无法得到用户的认证信息；

4.本发明中量子设备登录证书中的量子密钥一次认证完成后就更新一次，导致每次设备接入时的认证信息都是不同的，可以有效防止被破解，并且是由量子网关产生的量子密钥对其进行更新，更新后的密钥即为由BB84协议产生量子密钥，具有绝对的安全性；

5.本发明中量子设备登录证书接入在网络设备和量子网络之间，其在认证过程中的数据处理和数据传送均不受网络设备的影响，从而可以有效防止来自网络设备上的各种风险因素对认证过程进行干扰或者监听分析。

附图说明

图1是本发明的网络实施示意图；

图2是本发明的量子设备接入时的身份认证流程图。

具体实施方式

下面结合附图通过具体实施方式对本发明作进一步的说明。

如图1和图2所示，一种量子网络中网络接入设备的认证系统，包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器，所述用户端包括用户所持有的量子设备登录证书及用户所要接入量子网络中的网络设备，所述用户端与所述量子设备认证控制器连接，所述用户端在认证过程中是通过量子设备认证控制器、量子网关与所述量子设备认证服务器相连，在认证成功之前，用户端与量子网关之间的网络通路被量子设备认证控制器所阻断；所述量子设备登录证书接入在网络设备和量子设备认证控制器之间，所述网络设备必须通过合法的量子设备登录证书才能接入量子网络，所述量子设备登录证书由登录证书颁发服务器颁发给用户，存有用户设备信息CI、量子设备认证服务器信息SI、量子密钥KEY、用户ID等，是用户网络设备登录量子网络的通行证；所述量子设备认证控制器用于对网络设备能否接入量子网络进行控制，对未通过认证的网络设备，控制其无法接入量子网络，而对通过认证的网络设备的上网功能不予影响；所述登录证书颁发服务器通过量子网关与量子设备认证服务器相连，由专门的机构管理，产生的量子密钥用于颁发量子设备登录证书，专门机构的专职人员认证所需接入的设备和所有人信息后，可录入必备的有用信息并存档备用；所述量子网关包括用户端量子网关和服务端量子网关，用于量子密钥的生成、存储及传输，所述用户端量子网关和服务端量子网关之间通过两条通道连接，一条是量子信道，一条是经典信道，所述量子信道使用BB84协议产生量子密钥，且量子密钥是基于量子力学的真随机数，所述经典信道用来传送量子信息之外的经典信息；所述量子设备认证服务器通过量子网关与整个量子网络相连，所述量子设备登录证书颁发时，产生的量子密钥作为用户注册信息的一部分保存起来，当用户端的网络设备接入量子网络时，所述量子设备认证服务器利用已存储的设备信息，执行一系列认证流程，完成认证服务。

如图1和图2所示，一种量子网络中网络接入设备的认证方法，包括以下步骤：

（1）.网络部署阶段

登录证书颁发服务器与量子设备认证服务器通过量子网关相连接，进行远程颁发量子设备登录证书，所述登录证书颁发服务器所在的服务中心备有一定数量的量子设备登录证书，这些量子设备登录证书在用户申领前，都处于初始状态下，认证用户端包括用户端量子网关、量子设备认证控制器和量子设备登录证书和网络设备，认证服务端包括服务端量子网关和量子设备认证服务器，认证用户端与认证服务端通过量子网关相连，量子网关包括用户端量子网关和服务端量子网关，两者之间连有量子通信特有的光纤信道—量子信道，只有当用户的量子设备登录证书认证成功后，连接在该量子设备登录证书上的网络设备才被量子设备认证控制器允许接入到量子网络中；

（2）.证书颁发阶段

量子设备登录证书是网络设备接入量子网络的唯一凭证，代表着用户设备的合法身份，用户端的网络设备只有通过合法的量子设备登录证书才能接入到量子网络中，用户在申请量子设备登录证书前，需要向登录证书颁发服务器所在的服务中心提交用户及其设备的信息，登录证书颁发服务器端的管理员会对用户的信息进行审核，审核通过后为用户完成量子设备登录证书的制作，包括必备信息的写入等，然后为用户颁发证书，所述量子设备登录证书包括用户ID、用户设备信息CI、量子设备认证服务器信息SI及量子密钥KEY，其中用户设备信息是用户设备的特有信息，可由设备ID或MAC地址等信息计算得到；量子设备认证服务器信息是量子设备认证服务器的特有信息，可由服务器ID或MAC地址等信息计算得到；量子密钥KEY是通过量子网络在登录证书颁发服务器和量子设备认证服务器端同时生成的量子密钥，满足真随机性和绝对安全性，量子设备登录证书以硬件的形式颁发给用户，在量子设备登录证书颁发的过程中，登录证书颁发服务器将用户的注册信息通过量子密钥加密后发送给量子设备认证服务器端，量子设备认证服务器端使用对称的量子密钥解密后保存在自己的数据库中，作为用户登录时的认证信息，同理，量子设备认证服务器端将服务器信息通过量子密钥加密后发送给登录证书颁发服务器，登录证书颁发服务器使用对称的量子密钥解密后写入用户的量子设备登录证书中，最终，用户的量子设备登录证书和量子设备认证服务器共享相同的认证信息，包括用户ID、用户设备信息CI、量子设备认证服务器信息SI和量子密钥KEY；

（3）.双向认证阶段

用户的网络设备要想接入到量子网络中，必须要有合法的量子设备登录证书，如果没有量子设备登录证书，当用户设备连接在量子网络端口的时候，量子设备认证控制器会阻止不可识别的非法网络设备接入到量子网络中，用户使用量子设备登录证书接入量子网络时需要进行双向认证，即量子设备认证服务器对量子设备登录证书的认证和量子设备登录证书对量子设备认证服务器的认证；

（4）.量子密钥更新阶段

认证成功后需更新密钥，用户端量子网关与服务端量子网关通过BB84协议产生量子密钥KEY’，用户端量子网关将量子密钥KEY’下发给量子设备认证控制器，用户端的量子设备登录证书通过量子随机数发生器产生一个随机数N，并将N发送给量子设备认证控制器，量子设备认证控制器使用随机数N将量子密钥KEY’加密后发送给量子设备登录证书，量子设备登录证书解密后将量子密钥KEY’替换量子密钥KEY，量子设备登录证书的量子密钥更新成功，并将成功消息发送给量子设备认证服务器，量子设备认证服务器接到消息后，量子设备认证服务器端将量子密钥KEY’取代量子密钥KEY保存在数据库中，此时双方的量子密钥更新成功，用户端的网络设备即可通过量子设备登录证书接入到量子网络中进行通信；

（5）.心跳认证阶段

登录证书更新后，用户进入通信阶段，在此阶段，量子设备登录证书会每隔一段时间发送一个心跳包给量子设备认证控制器，用来进行心跳认证以保证用户网络设备与量子网络之间保持有效连接，如果因断网或者量子设备登录证书发生异常等原因造成心跳包未按协议时间到达，则量子设备认证控制器会断开网络连接，造成用户的网络设备无法登入量子网络。

所述量子设备认证服务器信息使用加密函数处理，使得每个用户的网络设备所保存的量子设备认证服务器信息是不同的，避免服务器信息的暴露。

所述量子设备认证服务器对量子设备登录证书的认证：首先，量子设备登录证书使用量子密钥KEY对用户设备信息CI提取摘要，获得摘要H1，然后，将摘要H1与用户ID串行组合后发送给量子设备认证控制器，量子设备认证控制器将接收到的信息通过量子网络转发给量子设备认证服务器进行认证，量子设备认证服务器根据用户ID找到存入在数据库中的相应的认证信息，并使用数据库中对应的量子密钥KEY对用户设备信息CI进行摘要的提取，获得摘要H1’，量子设备认证服务器将H1’和H1进行对比，如果H1=H1’则量子设备认证服务器对量子设备登录证书认证成功，否则失败，当量子设备认证服务器对量子设备登录证书认证成功后，进入量子设备登录证书对量子设备认证服务器的认证阶段。

所述量子设备登录证书对量子设备认证服务器的认证：量子设备认证服务器端使用量子密钥KEY对量子设备认证服务器信息SI提取摘要，获得摘要H2并发送给量子设备登录证书，量子设备登录证书做同样的操作获得H2’，量子设备登录证书对比H2和H2’，如果H2=H2’则量子设备登录证书对量子设备认证服务器认证成功，否则认证失败，当双方认证成功后，整个认证系统则认证成功，用户端的网络设备即可接入到量子网络中进行通信，但在通信之前，要先完成量子设备登录证书与量子设备认证服务器两端密钥的更新。

以上所述仅为本发明的具体实施例，但本发明的结构特征并不局限于此，本发明可以用于类似的产品上，任何本领域的技术人员在本发明的领域内，所作的变化或修饰皆涵盖在本发明的专利范围之中。