一种量子安全终端接入量子安全网络的认证方法与流程

本发明涉及信息安全，具体涉及一种量子安全终端接入量子安全网络的认证方法。

背景技术：

1、传统的信息安全通过依赖于计算复杂度的加密算法来实现，然而随着计算能力的飞速发展，依赖于计算复杂度的传统加密算法面临着日益加剧的安全风险。

2、随着社会对通信的安全性越来越看重，量子保密通信技术得到了各方的重视。它能够完美地克服传统通信技术存在的安全隐患问题，保证通信过程具有绝对的安全性和可靠性。

3、量子保密通信是最先走向实用化和产业化的量子信息技术。目前市面上出现了多种用于保障信息安全的量子安全终端，量子安全终端在使用中能够对数据进行量子加密，保障其发出的数据具有高安全性；多个量子安全终端需要进行交互时需要和基站进行组网通信，以进行数据的传输和密钥中继等业务。如何在量子安全终端接入基站前对其进行安全认证，以保证其身份的合法性，目前并没有一种成熟的专门针对量子安全终端安全接入基站的方法和系统。量子安全终端如果布置在不可信的环境中，则容易受到恶意用户的攻击，对量子安全网络以及用户终端造成严重威胁。因此在量子安全终端的组网过程中，需要设计安全、完整的认证机制以保证其安全性。

技术实现思路

1、为解决上述问题，本发明公开了一种量子安全终端接入量子安全网络的认证方法。

2、本技术提供了一种量子安全终端接入量子安全网络的认证方法，所述方法包括：

3、量子安全终端向基站发送接入请求消息，并在所述接入请求消息中携带根密钥索引和第一加密数据，其中，所述第一加密数据中加密的信息包括量子安全终端对应的设备id和量子安全终端中预注的根密钥密文文件对应的第一哈希值；

4、所述基站接收接入请求消息，根据所述接入请求消息生成认证请求消息，并向根密钥服务器发送所述认证请求消息，所述认证请求消息中包含根密钥索引和第一加密数据；

5、根密钥服务器解密所述第一加密数据得到设备id和第一哈希值，根据设备id和第一哈希值对量子安全终端进行身份认证；并在身份认证合法时，根据根密钥索引查找其对应的根密钥明文文件，计算该根密钥明文文件对应的第二哈希值，再根据根密钥索引查找所述预注的根密钥密文文件的解密参数，加密第二哈希值和解密参数形成第二加密数据，向基站返回认证响应消息，在所述认证响应消息中携带设备id和第二加密数据；

6、所述基站在所述量子安全终端身份认证合法时，为量子安全终端分配入网id，基于认证响应消息生成接入响应消息，并向量子安全终端发送所述接入响应消息，所述接入响应消息中携带有入网id和第二加密数据；

7、所述量子安全终端解密接收到的第二加密数据得到第二哈希值和解密参数，根据解密参数解密所述预注的根密钥密文文件得到根密钥明文文件，计算解密得到的根密钥密文文件的哈希值，并与第二哈希值进行比较，在比较结果一致时生成该根密钥明文文件对应的目标索引，再加密所述目标索引和量子安全终端对应的设备id得到第三加密数据，向基站发送携带有所述第三加密数据的接入命令消息；

8、所述基站基于所述接入命令消息生成密钥请求消息，并向所述根密钥服务器发送根密钥请求消息，所述根密钥请求消息中携带第三加密数据和根密钥索引；

9、所述根密钥服务器接收根密钥请求消息，根据根密钥索引查找并确定根密钥生成记录，解密第三加密数据得到设备id和目标索引，验证解密得到的设备id是否与根密钥生成记录中的相符，在验证相符后，通过根密钥生成记录获取所述目标索引对应的文件位置信息，再向基站返回根密钥响应消息，并在所述根密钥响应消息中携带所述目标索引对应的根密钥文件的文件位置信息；

10、所述基站接收根密钥响应消息，根据根密钥响应消息中的文件位置信息，从所述根密钥服务器下载根密钥文件，并在所述基站下载完成后向所述量子安全终端返回接入完成消息；

11、量子安全终端接收接入完成消息，与所述基站之间进行密钥一致性校验，若密钥一致性校验通过，则流程结束，否则根据预设的请求次数阈值，再次使用所述预注的根密钥密文文件执行接入请求流程。

12、上述方案中，所述根密钥服务器和量子安全终端中均预设有第一密钥，所述第一加密数据通过第一密钥加密设备id和第一哈希值得到；

13、所述根密钥服务器根据认证请求消息中的根密钥索引查找根密钥生成记录，根据根密钥生成记录获取用于解密第一加密数据的第一密钥、解密所述第一加密数据得到设备id和第一哈希值。

14、上述方案中，所述根密钥服务器和量子安全终端中均预设有第二密钥，所述第二加密数据通过第二密钥加密第二哈希值和解密参数得到；

15、所述量子安全终端通过预设的第二密钥解密第二加密数据得到第二哈希值和解密参数。

16、上述方案中，所述解密参数包括第一密钥扩展参数和第二密钥扩展参数；所述根密钥服务器中存储有第一密钥扩展参数，所述量子安全终端内存储有第二密钥扩展参数；

17、所述量子安全终端解密所述预注的根密钥密文文件的方法包括：

18、所述根密钥服务器根据根密钥索引查找根密钥生成记录，通过所述根密钥生成记录获取第一密钥扩展参数，并生成携带有第一密钥扩展参数的第二加密数据；

19、所述量子安全终端解密接收到的第二加密数据得到第一密钥扩展参数，将量子安全终端内的第二密钥扩展参数和接收的第一密钥扩展参数根据预设的第一扩充规则进行扩充，以得到用于解密根密钥密文文件的扩充密钥。

20、上述方案中，所述量子安全终端加密所述第三加密数据的方法包括：

21、所述量子安全终端解密接收到的第二加密数据得到第一密钥扩展参数，将量子安全终端内的第二密钥扩展参数和接收的第一密钥扩展参数根据预设的第二扩充规则进行扩充，以得到用于加密设备id和目标索引的传输密钥，利用所述传输密钥加密所述设备id和目标索引得到第三加密数据。

22、上述方案中，所述根密钥服务器中还存储有第二密钥扩展参数；

23、所述根密钥服务器解密所述第三加密数据的方法包括：

24、所述根密钥服务器将第一密钥扩展参数和第二密钥扩展参数根据预设的第二扩充规则进行扩充，得到传输密钥；通过所述传输密钥解密第三加密数据得到设备id和目标索引。

25、上述方案中，所述量子安全终端内预注的根密钥密文文件包括多个时，所述量子安全终端解密预注的根密钥密文文件的方法包括：

26、所述量子安全终端将第一密钥扩展参数和第二密钥扩展参数根据预设的第三扩充规则扩充至n个扩充密钥，其中n为预注的根密钥密文文件的数量，再根据预设的密钥对应关系，得到用于解密各预注的根密钥密文文件的扩充密钥。

27、上述方案中，所述量子安全终端内预设有多个预注的根密钥组，且各预注的根密钥组中包含一个或多个根密钥密文文件；

28、量子安全终端在发送接入请求消息时，选取其中一个未认证的根密钥组进行接入认证，并将该根密钥组中的首个根密钥密文文件的哈希值作为第一哈希值；

29、根密钥服务器生成认证响应消息时，将查找到的密钥组中首个根密钥明文文件的哈希值作为第二哈希值。

30、上述方案中，所述量子安全终端内每个根密钥组中的根密钥密文文件的数量为偶数个，所述偶数个根密钥密文文件被划分为成对设置的上行根密钥密文文件和下行根密钥密文文件；

31、所述量子安全终端通过计算所述根密钥组中的首个上行根密钥密文文件和下行根密钥密文文件的合算哈希值得到第一哈希值；

32、所述根密钥服务器通过计算查找到的密钥组中首个上行根密钥明文文件和下行根密钥明文文件的合算哈希值得到第二哈希值。

33、上述方案中，所述根密钥服务器对量子安全终端进行身份认证的方法具体包括：

34、根密钥服务器解密所述第一加密数据得到设备id和第一哈希值；根据认证请求消息中的根密钥索引查找根密钥生成记录，基于根密钥生成记录查找并获取根密钥索引所对应的根密钥密文文件，计算并校验查找到的根密钥密文文件的哈希值是否与第一哈希值相同；若哈希值相同，且接收到的第一加密数据中的设备id与根密钥生成记录中的设备id相符，则身份认证成功，否则，身份认证失败。

35、上述方案中，所述基站在所述量子安全终端身份认证合法时，还根据接收的认证响应消息生成鉴权请求消息，并向用户中心服务器发送该鉴权请求消息，所述鉴权请求消息中包含有认证响应消息中的设备id以及基站为量子安全终端分配的入网id；

36、所述用户中心服务器根据设备id对量子安全终端进行鉴权，并在鉴权通过后记录鉴权请求消息中的入网id。

37、本技术的的认证方法中根密钥服务器通过验证其与量子安全终端内的根密钥密文文件的哈希值是否一致，以及量子安全终端的设备id与根密钥服务器的生成记录是否相符对量子安全终端进行身份认证；在身份认证通过后，量子安全终端根据接收的解密参数解密得到根密钥明文文件，对根密钥明文文件进行哈希校验，以验证其解密的正确性，同时生成该校验成功的根密钥明文文件对应的目标索引，向基站发送目标索引和设备id；基站基于接收的目标索引和设备id构造根密钥请求消息，向根密钥服务器发送根密钥请求消息以请求密钥，根密钥服务器基于消息中的设备id再次进行认证，并在认证通过后才允许基站下载目标索引所对应的根密钥文件；上述过程中需要通过多方校验，若有一方校验不通过则认证接入失败，保证了量子安全终端认证过程中的安全性；校验基于根密钥密文文件和根密钥明文文件，有效保证了接入过程中密钥文件的一致性和正确性；此外在认证过程中量子安全终端、基站以及根密钥服务器之间传输的消息内容为加密传输，也进一步提高了信息传递过程中的安全性。