一种面向电网调度业务的量子通信身份认证方法及系统与流程

本发明属于量子密码及量子通信，特别涉及一种面向电网调度业务的量子通信身份认证方法及系统。

背景技术：

1、身份认证是参与业务流程中的一方对另一方确认身份的过程，由于以计算机为代表的计算节点构成的网络是开放的，任意的计算节点都可加入通信，利用身份认证技术可实现有效地访问控制、审计等功能，保障系统正常运行以及数据的安全。因此身份认证是信息安全领域中非常关键的部分，应用密码学的方法来实现身份认证，可在一定程度上降低对人的依赖，也极大提升了信息系统的安全性、保密性。

2、量子加密技术的出现，使得传统的密码学受到了巨大的挑战，特别是依赖大整数素数分解的rsa加密算法被极大降低了它的安全性。然而量子密钥分配协议不能抵御中间人攻击，若没有提供身份认证机制。所以量子通信网络中也需要对用户身份进行安全性验证。量子通信网络不仅需要通过量子身份认证来保证用户身份的合法性，还需要对用户身份进行鉴权认定从而增强用户身份认证强度，从而合理有效的对用户身份进行管理。

3、针对当前电网调度业务仍采用基于pki(public key infrastructure，公钥基础设施)的电网调度证书体系，其以计算复杂度为基础保证安全性，可较好地满足现阶段业务需求。但随着计算能力的提升和密码破解技术的发展，尤其是量子计算技术的进步，以计算复杂度为基础的电力调控系统身份认证及鉴权体系将面临重大挑战，存在被破解的风险。因此，亟需提出一种安全性及加密强度更高的身份认证方法。

技术实现思路

1、本发明提供一种面向电网调度业务的量子通信身份认证方法及系统，旨在解决现有技术中存在的身份认证强度不高、安全性低的问题。

2、为解决上述技术问题，针对电网调度业务应用场景，本发明将量子密钥分发融合电网调度身份认证体系，结合身份认证与票据鉴权，提出一种面向电网调度业务的量子通信身份认证方法，包括以下步骤：

3、s1：访问者申请访问电网调度业务服务器，请求获取电网调度业务服务器相关电网调度业务数据信息。

4、s2：所述电网调度业务服务器根据所述访问者提交的请求信息，向身份认证服务器请求验证所述访问者身份信息；所述身份认证服务器根据所述电网调度业务服务器的请求，向所述访问者发送获取身份信息的请求；所述访问者根据所述身份认证服务器的验证请求，向量子密钥分发服务器提交所述访问者的身份认证信息，并申请量子密钥加密。

5、s3：所述量子密钥分发服务器根据量子密钥分发设备及量子随机数发生器生成的第一量子密钥为所述身份认证信息进行量子加密，并由交换密码机将所述第一量子密钥加密后的身份密文信息发送至所述身份认证服务器。

6、s4：所述身份认证服务器接收所述身份密文信息，由第一量子密钥解密模块对所述身份密文信息进行解密，获得访问者的明文身份信息，所述身份认证服务器查询用户数据库，根据所述明文身份信息及对所述用户数据库中数据的比对结果验证所述访问者身份；校验通过后对所述访问者进行入网认证，并将所述访问者身份校验通过的信息发送至票据鉴权服务器。

7、s5：所述票据鉴权服务器接收到所述访问者身份校验通过的信息后，将身份校验通过的结果发送至所述访问者，所述访问者生成票据请求信息，并提交至所述量子密钥分发服务器，请求所述量子密钥分发服务器对所述票据请求信息进行量子密钥加密。

8、s6：所述量子密钥分发服务器根据量子密钥分发设备、量子随机数发生器生成的第二量子密钥为所述票据请求信息进行量子加密，并由交换密码机将所述第二量子密钥加密后的票据请求信息发送至票据鉴权服务器。

9、s7：所述票据鉴权服务器接收加密后的票据请求信息，由第二量子密钥解密模块对加密后的票据请求信息进行解密，获得访问者的明文票据请求信息，所述票据鉴权服务器与所述访问者进行票据签约，向所述访问者下发票据信息，并将所述票据信息存储至票据数据库。

10、s8：访问者接收所述票据信息，提交至所述电网调度业务服务器并申请访问，所述电网调度业务服务器所述票据信息与所述访问者建立连接，并发送相关业务数据信息。

11、优选地，所述身份认证服务器包括：入网认证模块、日志管理模块、用户信息校验模块、第一量子密钥解密模块、控制指令下发模块及用户数据库，用于对所述访问者进行身份校验。

12、优选地，所述票据鉴权服务器包括：票据签约模块、日志管理模块、身份信息校验模块、第二量子密钥解密模块、票据信息下发模块及票据数据库，用于对访问者进行票据签发。

13、优选地，所述量子密钥分发服务器包括：交换密码机、日志管理模块、量子随机数发生器、量子密钥加密模块、量子密钥分发设备及密钥数据库，用于对所述身份认证信息及票据鉴权信息进行量子密钥加密。

14、优选地，所述步骤s1访问者申请访问电网调度业务服务器时，若未向所述电网调度业务服务器提交访问票据，则所述电网调度业务服务器拒绝所述访问者的访问申请。

15、优选地，所述量子密钥分发设备通过光纤网络生成量子密钥，使用光子的偏振态传递信息，具体为：单光子被调制到指定偏振角度，接收端通过一个偏振分波器将光子分束到两个探测器。

16、优选地，所述量子随机数发生器生成随机数包括以下步骤：随机源选择、数字化采样、数据后处理、随机性检验；在所述随机源选择中，将激光进行强衰减，使脉冲的平均光子数降低到单光子量级的方式作为随机源。

17、一种面向电网调度业务的量子通信身份认证系统，包括：电网调度业务服务器、访问者、身份认证服务器、票据鉴权服务器及量子密钥分发服务器，被配置为执行上述的面向电网调度业务的量子通信身份认证方法。

18、与现有技术相比，本发明具有以下技术效果：

19、1.本发明提出的面向电网调度业务的量子通信身份认证方法采用身份认证与票据鉴权双重认证，可以避免使用单一方式认证时的安全性问题，使得认证强度得到极大的提高，增加破解的难度。

20、2.本发明提出的面向电网调度业务的量子通信身份认证方法使用量子密钥分发服务器将身份认证和票据鉴权进行量子加密，可有效防止身份认证信息和票据申请信息被窃听和篡改，全面提高电网调度身份认证领域的安全性。

21、3.本发明提出的面向电网调度业务的量子通信身份认证方法，在量子加密的过程中，将激光进行强衰减，使脉冲的平均光子数降低到单光子量级的方式作为随机源，生成真随机数，避免使用种子信息或者预设的函数和常数、常量生成的伪随机数，增加窃听者的破解难度，增强加密强度。

技术特征：

1.一种面向电网调度业务的量子通信身份认证方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种面向电网调度业务的量子通信身份认证方法，其特征在于，所述身份认证服务器包括：入网认证模块、日志管理模块、用户信息校验模块、第一量子密钥解密模块、控制指令下发模块及用户数据库，用于对所述访问者进行身份校验。

3.根据权利要求1所述的一种面向电网调度业务的量子通信身份认证方法，其特征在于，所述票据鉴权服务器包括：票据签约模块、日志管理模块、身份信息校验模块、第二量子密钥解密模块、票据信息下发模块及票据数据库，用于对访问者进行票据签发。

4.根据权利要求1所述的一种面向电网调度业务的量子通信身份认证方法，其特征在于，所述量子密钥分发服务器包括：交换密码机、日志管理模块、量子随机数发生器、量子密钥加密模块、量子密钥分发设备及密钥数据库，用于对所述身份认证信息及票据鉴权信息进行量子密钥加密。

5.根据权利要求1所述的一种面向电网调度业务的量子通信身份认证方法，其特征在于，所述步骤s1访问者申请访问电网调度业务服务器时，若未向所述电网调度业务服务器提交访问票据，则所述电网调度业务服务器拒绝所述访问者的访问申请。

6.根据权利要求1所述的一种面向电网调度业务的量子通信身份认证方法，其特征在于，所述量子密钥分发设备通过光纤网络生成量子密钥，使用光子的偏振态传递信息，具体为：单光子被调制到指定偏振角度，接收端通过一个偏振分波器将光子分束到两个探测器。

7.根据权利要求1所述的一种面向电网调度业务的量子通信身份认证方法，其特征在于，所述量子随机数发生器生成随机数包括以下步骤：随机源选择、数字化采样、数据后处理、随机性检验；在所述随机源选择中，将激光进行强衰减，使脉冲的平均光子数降低到单光子量级的方式作为随机源。

8.一种面向电网调度业务的量子通信身份认证系统，其特征在于，包括：电网调度业务服务器、访问者、身份认证服务器、票据鉴权服务器及量子密钥分发服务器，被配置为执行权利要求1-7所述的面向电网调度业务的量子通信身份认证方法。

技术总结
本发明公开了一种面向电网调度业务的量子通信身份认证方法及系统，通过设计身份认证服务器和票据鉴权服务器，以身份认证和票据鉴权双重认证来增强电网调度业务的身份认证强度；还设计了量子密钥分发服务器，提供了量子密钥分发功能，可将身份认证和票据鉴权与量子加密充分融合，实现了身份认证信息与票据鉴权信息的量子加密；当访问者需要与电网调度业务服务器建立数据连接时，依次进行身份认证与票据鉴权，在身份认证与票据鉴权的过程中，访问者提交的信息均经过量子密钥分发服务器的量子加密。本发明通过双重认证及量子加密，可有效提高认证强度以及防止认证信息被窃听和篡改，全面提高电网调度身份认证的安全性。

技术研发人员：李圆智,李端超,王松,卞宇翔,陈伟,冯宝,王璨,吕超,章莉,张天兵,郭子昕,孙圣武,贾玮,陈尊耀,葛刚
受保护的技术使用者：国网安徽省电力有限公司电力科学研究院
技术研发日：
技术公布日：2024/1/11