基于Kerberos协议的量子密钥迁移方法、系统及介质与流程

本发明涉及量子保密通信的，具体地，涉及基于kerberos协议的量子密钥迁移方法、系统及介质。

背景技术：

1、传统的加密方式主要依赖于数学算法，如公钥加密算法和对称加密算法。然而，随着计算机和通信技术的快速发展，传统加密算法面临着被量子计算机攻击的风险。量子计算机具有强大的计算能力，能够在较短的时间内破解目前广泛使用的加密算法，这对传统加密通信的安全性构成了威胁。为了应对这一安全挑战，量子密钥分发技术应运而生。量子密钥分发技术利用量子力学的原理和性质，通过量子比特的传输和测量来分发密钥。量子力学的原理限制了对量子态的测量和复制，因此潜在的窃听者无法在未被探测到的情况下获取密钥的副本。这使得量子密钥迁移技术能够提供更高的安全性，抵御量子计算机攻击。于是将量子密钥用于业务数据的加密传输，实现业务应用终端与汇聚侧安全加密设备之间的量子保密通信。

2、但是当拥有量子密钥的业务应用终端进行移动时，存在与另一个汇聚侧安全加密设备之间产生业务通信的情况，此时该安全加密设备并不具备与业务终端相对应的量子密钥，无法完成量子加密通信。在此情况下，需要迁移量子密钥，实现业务应用终端与其他汇聚侧安全加密设备之间的量子保密通信。为了确保安全迁移量子密钥，需要采用一种强大的身份验证和数据加密机制。kerberos协议作为一种网络认证协议，提供了一种安全的身份验证解决方案。它可以防止未经授权的用户访问系统资源，并确保通信数据的机密性和完整，防止数据被窃取或篡改。

技术实现思路

1、针对现有技术中的缺陷，本发明的目的是提供一种基于kerberos协议的量子密钥迁移方法、系统及介质。

2、根据本发明提供的一种基于kerberos协议的量子密钥迁移方法，所述方法包括如下步骤：

3、步骤s1：业务应用终端在迁移时向汇聚侧安全加密设备a发送请求，申请与汇聚侧安全加密设备b进行量子保密通信；

4、步骤s2：汇聚侧安全加密设备a发送身份信息给认证服务器，认证服务器验证身份信息，并根据汇聚侧安全加密设备b的信息返回给汇聚侧安全加密设备a票据，汇聚侧安全加密设备a利用该票据与汇聚侧安全加密设备b进行身份认证，完成身份认证；

5、步骤s3：汇聚侧安全加密设备b重新分配密钥索引qid给业务应用终端，同时将加密密钥发送给汇聚侧安全加密设备a；汇聚侧安全加密设备a解密接收到的密钥，并利用该密钥加密量子密钥发送给汇聚侧安全加密设备b，进行量子密钥迁移；

6、步骤s4：业务应用终端将量子密钥绑定新分配的密钥索引qid，与汇聚侧安全加密设备b完成身份认证，建立量子保密通信。

7、优选地，所述步骤s1包括如下步骤：

8、步骤s1.1：业务应用终端发起迁移请求以及量子密钥迁移申请；

9、步骤s1.2：汇聚侧安全加密设备a响应所述量子密钥迁移指令请求，对所述业务应用终端进行账户身份信息验证，在与汇聚侧安全加密设备a上的账户信息匹配情况下，同意业务应用终端发起的量子密钥请求。

10、优选地，所述步骤s2包括如下步骤：

11、步骤s2.1：汇聚侧安全加密设备a将自身设备配置信息与汇聚侧安全加密设备b的用户名以及利自身密钥对应的哈希值加密后的时间戳发送给认证服务器；

12、步骤s2.2：认证服务器根据汇聚侧安全加密设备a发送的配置信息查询该用户是否存在于白名单中，若是则查询对应的哈希值，并利用该哈希值加密一个随机生成的字符串，同时利用认证服务器里面的特殊哈希值加密汇聚侧安全加密设备a的用户信息tgt，将该加密结果与随机生成的字符串返回给汇聚侧安全加密设备a；

13、步骤s2.3：汇聚侧安全加密设备a接收到认证服务器返回的信息后，解密获得字符串,并利用该值加密自身用户信息与当前时间戳，将加密结果与tgt发送给认证服务器；

14、步骤s2.4：认证服务器获得信息后并解密对比tgt包含的用户信息是否与汇聚侧安全加密设备a送的信息一致，若一致则与汇聚侧安全加密设备a的身份认证成功，利用上述的字符串重新加密一段随机字符串，并利用汇聚侧安全加密设备b对应的哈希值加密汇聚侧安全加密设备a的信息票据，将加密结果一并返回给汇聚侧安全加密设备；

15、步骤s2.5：汇聚侧安全加密设备a解密接收的信息，获得新的字符串，利用字符串加密自身信息与时间戳，将此加密结果与票据一并发送给汇聚侧安全加密设备b；

16、步骤s2.6：汇聚侧安全加密设备b解密接收到的信息，确认汇聚侧安全加密设备a是否可信，若可信，则返回给汇聚侧安全加密设备a确认信息，到此汇聚侧安全加密设备a与汇聚侧安全加密设备b成功完成身份认证。

17、优选地，所述认证服务器发送给汇聚侧安全加密设备a的票据包含利用汇聚侧安全加密设备b对应的哈希值加密汇聚侧安全加密设备a的信息、随机字符串以及结束时间。

18、优选地，所述步骤s3包括如下步骤：

19、步骤s3.1：汇聚侧安全加密设备b将重新分配给业务应用终端的密钥索引qid与需要加密迁移密钥的密钥发送给汇聚侧安全加密设备a；

20、步骤s3.2：汇聚侧安全加密设备a将密钥索引下发给业务应用终端，并利用接收到的密钥加密需要迁移的量子密钥，并发送给汇聚侧安全加密设备b；

21、步骤s3.3：汇聚侧安全加密设备b将接收到的量子密钥与密钥索引qid绑定，并返回给汇聚侧安全加密设备a确认信息，完成量子密钥的迁移。

22、优选地，所述方法包括业务应用终端、汇聚侧安全加密设备a、认证服务器、汇聚侧安全加密设备b；

23、所述业务应用终端发起量子密钥迁移请求；

24、所述汇聚侧安全加密设备a响应所述量子密钥迁移请求，根据该业务应用终端的密钥索引查找对应的量子密钥，将该量子密钥迁移至汇聚侧安全加密设备b，并通过认证服务器，进行汇聚侧安全加密设备a与认证服务器的身份认证，进而进行汇聚侧安全加密设备a与汇聚侧安全加密设备b之间的身份认证；

25、所述的认证服务器与汇聚侧安全加密设备a实现身份认证，并根据汇聚侧安全加密设备b的信息发送给汇聚侧安全加密设备a票据，进行汇聚侧安全加密设备a与汇聚侧安全加密设备b之间的身份认证，并进行两者之间的信息交互，完成量子密钥迁移；

26、所述的汇聚侧安全加密设备b为量子密钥迁移目的端，将汇聚侧安全加密设备a端的量子密钥迁移至汇聚侧安全加密设备b，汇聚侧安全加密设备b将为业务应用终端分配新的密钥索引qid，先将密钥索引qid发送给汇聚侧安全加密设备a，再由汇聚侧安全加密设备a将密钥索引qid发送给业务应用终端。

27、优选地，利用kerberos协议对汇聚侧安全加密设备a与汇聚侧安全加密设备b进行身份认证并进行量子密钥迁移。

28、本发明还提供一种基于kerberos协议的量子密钥迁移系统，所述系统执行如上述中的基于kerberos协议的量子密钥迁移方法，所述系统包括：

29、业务应用终端：在特定业务场景中使用的终端设备，用于进行特定的业务操作和数据处理；

30、汇聚侧安全加密设备：包含密钥管理、身份注册与认证和数据加密；

31、认证服务器：负责处理身份认证请求，包含身份认证、身份认证授权、用户账号管理。

32、优选地，所述业务应用终端包括计算机、智能手机、平板电脑或其他具备计算和通信能力的设备。

33、本发明还提供一种存储有计算机程序的计算机可读存储介质，所述计算机程序被处理器执行时实现上述中的基于kerberos协议的量子密钥迁移方法的步骤。

34、与现有技术相比，本发明具有如下的有益效果：

35、1、本发明将kerberos协议应用于量子密钥迁移，实现量子密钥的安全迁移，确保量子密钥的安全性，可以有效地抵御各种攻击，包括密码破解、重放攻击和中间人攻击等，防止量子密钥被伪造或者篡改；

36、2、本发明所述的基于kerberos协议的量子密钥迁移，只针对与量子密钥转移，可以与传统的对称加密算法兼容；

37、3、本发明所述的基于kerberos协议的量子密钥迁移，提供了强大的身份验证和密钥管理机制，确保通信双方的身份验证和密钥的安全性；

38、4、本发明通过使用kerberos协议，量子密钥可以在通信双方之间进行安全传输，防止了中间人攻击、密码破解和数据篡改等安全威胁，kerberos协议采用了预共享密钥的方式进行身份验证，这意味着通信双方无需频繁地进行公钥加密和解密操作，从而提高了通信的效率和速度；

39、5、本发明的kerberos协议已有广泛应用和成熟性，可以利用已有的技术基础和经验，具有较高的成熟度和可靠性。量子密钥可以抗量子攻击性，具有无条件的安全性，通过对量子密钥迁移，可以在不同设备种实现量子保密通信，使得量子密钥应用更加灵活更加广泛。