一种量子密码网络SIP信令安全通信系统及方法技术方案

本发明专利技术提供一种量子密码网络SIP信令安全通信系统，包括位置服务器、注册服务器、边缘服务器、认证中心、SIP终端及QKD设备。同时本发明专利技术还提供一种量子密码网络SIP信令安全通信方法，通过建立认证中心和利用量子密码网络在量子密钥分发方面的优势，实现SIP终端注册密码的一次一密；SIP终端注册时与注册服务器采用双向鉴权认证机制，有效防止了注册服务器的假冒攻击；SIP终端之间的SIP信令通信使用量子密钥进行信令认证，有效防止了信令重放攻击。本发明专利技术有效增强了现有SIP信令通信系统的安全性。

【技术实现步骤摘要】
一种量子密码网络SIP信令安全通信系统及方法
本专利技术涉及量子密码网络，具体涉及一种量子密码网络SIP信令安全通信系统及方法。
技术介绍
量子通信是近二十年发展起来的新型交叉学科，是量子论和信息论相结合的新的研究领域。近来这门学科已逐步从理论走向实验，并向实用化发展。高效安全的信息传输日益受到人们的关注。物理上，量子通信可以被理解为在物理极限下，利用量子效应实现的高性能通信。信息学上，我们则认为量子通信是利用量子力学的基本原理(如量子态不可克隆原理和量子态的测量塌缩性质等)或者利用量子态隐形传输等量子系统特有属性，以及量子测量的方法来完成两地之间的信息传递。1984年Bennett和Brassard提出了第一个著名的BB84量子密钥分发协议(QKD)。1989年，IBM公司和Montreal大学合作首次完成了量子密码的第一个实验，对BBS4协议从实验上进行了验证。自BB84方案提出以来，对量子通信协议的研究不断深入，迄今已产生了众多改进方案。1991年，牛津大学的Ekert提出了E91协议。1992年，Bennett提出用两个非正交态实现量子密码通信的B92协议。20多年来，量子密钥分发一直是国内外科学研究的一个热点。人们试图挖掘更多新的量子力学性质，设计各种具有不同性质、适合不同应用环境的QKD协议；并且力求提高密钥的分发效率，降低量子和经典资源的消耗。以QKD协议为基础的量子密码技术是现阶段量子通信最重要的实际应用之一。传统的密码学(或称经典密码学)是以数学为基础的密码体制，其安全性基于数学算法的计算复杂度，不能保证密钥的绝对安全；而量子密码以量子力学为基础，它的安全性是建立在测不准原理、量子的不可克隆及量子相干性等物理特性之上的，被证明是绝对安全的，所以量子密码引起了学术界的高度重视。量子密码网络便是采用量子密码术的一种安全通信网络。如图1所示，量子密码网络是由经典通信网络和量子通信网络共同构建而成。量子通信网络主要由QKD终端设备和量子信道组成，用于密钥分发，生成用于加密通信的量子密钥。经典通信网络使用量子密钥实现数据的加解密和加密数据的传输。一个量子密码网络终端一般是由一个连接于经典通信网络的经典通信终端和一个连接于量子通信网络的QKD终端设备组成。SIP(SessionInitiationProtoc01)是一个应用层的信令控制协议。用于创建、修改和释放一个或多个参与者的会话。对于使用者来说，由于SIP协议与互联网结合紧密，并且对多媒体接入的支持、移动通信的支持都有着明显的优势，因此更符合未来通信的要求。SIP在设计之初，侧重考虑协议的易用性和灵活性，但没有重点考虑安全性。SIP在使用过程中不可避免地要面对各类网络安全威胁，例如重放攻击、网络窃听、网络篡改、网络欺骗等现有互联网常见安全威胁。由于SIP网络自身特点以及SIP协议脆弱性等不成熟因素，SIP协议同样面临其自身特有安全威胁，例如注册劫持和伪装服务器攻击等。DOS／DDOS一直是网络安全面临的技术难题，鉴于SIP协议的简单性，DOS／DDOS对于SIP将会是致命的安全威胁。在经典通信网络中，人们针对SIP协议安全机制的薄弱性做了许多改进，但所有的改进均是采用经典密钥加密机制，即基于经典密码学算法，因此有被破解和篡改的风险。本专利探索将SIP信令通信系统与量子密码网络相结合，充分发挥量子密码网络在密钥分发和安全通信方面的优势，增强现有SIP信令通信系统的安全性。
技术实现思路
本专利技术专利提出一种量子密码网络SIP信令安全通信系统及方法，将量子密钥分发(QKD)设备与SIP信令通信系统相结合，弥补现有SIP信令通信系统在安全性方面的不足。一方面，本专利技术提供一种量子密码网络SIP信令安全通信系统，包括位置服务器、注册服务器和边缘服务器，每个用户均配备一个SIP终端，每个SIP终端通过边缘服务器与注册服务器、位置服务器相连，每个注册服务器与位置服务器相连，其特征在于，还包括：认证中心和QKD设备，注册服务器与认证中心相连，认证中心、位置服务器、注册服务器、边缘服务器和SIP终端均与一个QKD设备相连，QKD设备之间通过量子信道完成量子密钥分发，SIP终端之间、SIP与认证中心之间通过经典信道通信。优选地，所述认证中心、位置服务器、注册服务器彼此相连，且与同一个QKD设备相连。优选地，所述认证中心、位置服务器、注册服务器为同一个服务器，该服务器与一个QKD设备相连。进一步地，所述量子密码网络SIP信令安全通信系统中各个设备的功能如下：所述认证中心存有所有己注册和未注册的SIP终端的注册密码，负责验证SIP终端用于注册的消息认证码和生成注册服务器的消息认证码，并为注册成功的SIP终端更新注册密码；所述注册服务器处理边缘服务器转发的SIP终端的注册信息，将认证中心生成的注册服务器的消息认证码通过边缘服务器发送到SIP终端，将SIP终端用于注册的消息认证码提交给认证中心，根据认证中心的验证结果确定并通知SIP终端其注册结果，并将注册成功的SIP终端的网络位置写入位置服务器；所述位置服务器存有所有注册成功的SIP终端的网络位置，为SIP终端之间的SIP信令通信提供位置查询；所述边缘服务器存有注册服务器的网络位置，可以挂接多个SIP终端，转发SIP终端与注册服务器之间的信息，为SIP终端查询位置服务器中其他SIP终端的网络位置；所述SIP终端通过边缘服务器与注册服务器交互注册信息，通过边缘服务器查询位置服务器中其他SIP终端的网络位置；所述认证中心与注册服务器之间、注册服务器与位置服务器之间、边缘服务器与位置服务器之间、SIP终端与认证中心之间通过与其连接的QKD设备共享量子密钥，使用共享量子密钥对他们之间交互的信息进行保密传输。另一方面，本专利技术提供一种采用上述量子密码网络SIP信令安全通信系统进行SIP信令安全通信的方法，其特征在于：SIP终端进行注册时，使用注册密码与注册服务器进行双向鉴权认证，注册服务器通过认证中心生成注册服务器身份认证信息，并通过认证中心验证SIP终端身份；SIP终端注册成功后，认证中心生成新的注册密码，并对其使用与SIP终端间共享的量子密钥加密后，传输给SIP终端，供其下一次注册时使用；SIP终端之间进行SIP信令通信时，使用通信双方共享的量子密钥，计算或验证SIP信令的消息认证码。进一步地，所述SIP终端按照如下步骤进行注册：(1)SIP终端通过边缘服务器向注册服务器提交注册请求，注册请求中包含SIP终端的永久用户名，在请求消息的Authentication头字段的nonce值中含有随机数据；(2)注册服务器收到注册请求后，将SIP终端的永久用户名和nonce值提交给认证中心，向其请求nonce值、注册服务器IP地址IP注册和SIP终端注册密码K的密钥相关的哈希函数消息认证码HMAC(K；IP注册，nonce)，作为注册服务器身份认证信息；(3)认证中心通过SIP终端的永久用户名查询其注册密码K，通过注册密码K计算HMAC(K；IP注册，nonce)，并将其发送给注册服务器；(4)注册服务器通过边缘服务器向SIP终端发送40lUnauthorized消息，在此消息中将HMAC(K；IP注册，nonce)作为Authe本文档来自技高网...

【技术保护点】
一种量子密码网络SIP信令安全通信系统，包括位置服务器、注册服务器和边缘服务器，每个用户均配备一个SIP终端，每个SIP终端通过边缘服务器与注册服务器、位置服务器相连，每个注册服务器与位置服务器相连，其特征在于，还包括：认证中心和QKD设备，注册服务器与认证中心相连，认证中心、位置服务器、注册服务器、边缘服务器和SIP终端均与一个QKD设备相连，QKD设备之间通过量子信道完成量子密钥分发，SIP终端之间、SIP与认证中心之间通过经典信道通信。

【技术特征摘要】
1.一种量子密码网络SIP信令安全通信系统，包括位置服务器、注册服务器和边缘服务器，每个用户均配备一个SIP终端，每个SIP终端通过边缘服务器与注册服务器、位置服务器相连，每个注册服务器与位置服务器相连，其特征在于，还包括：认证中心和QKD设备，注册服务器与认证中心相连，认证中心、位置服务器、注册服务器、边缘服务器和SIP终端均与一个QKD设备相连，QKD设备之间通过量子信道完成量子密钥分发，SIP终端之间、SIP与认证中心之间通过经典信道通信；所述认证中心存有所有已注册和未注册的SIP终端的注册密码，负责验证SIP终端用于注册的消息认证码和生成注册服务器的消息认证码，并为注册成功的SIP终端更新注册密码；所述注册服务器处理边缘服务器转发的SIP终端的注册信息，将认证中心生成的注册服务器的消息认证码通过边缘服务器发送到SIP终端，将SIP终端用于注册的消息认证码提交给认证中心，根据认证中心的验证结果确定并通知SIP终端其注册结果，并将注册成功的SIP终端的网络位置写入位置服务器；所述位置服务器存有所有注册成功的SIP终端的网络位置，为SIP终端之间的SIP信令通信提供位置查询；所述边缘服务器存有注册服务器的网络位置，可以挂接多个SIP终端，转发SIP终端与注册服务器之间的信息，为SIP终端查询位置服务器中其他SIP终端的网络位置；所述SIP终端通过边缘服务器与注册服务器交互注册信息，通过边缘服务器查询位置服务器中其他SIP终端的网络位置；所述认证中心与注册服务器之间、注册服务器与位置服务器之间、边缘服务器与位置服务器之间、SIP终端与认证中心之间通过与其连接的QKD设备共享量子密钥，使用共享量子密钥对他们之间交互的信息进行保密传输。2.如权利要求1所述的一种量子密码网络SIP信令安全通信系统，其特征在于：所述认证中心、位置服务器、注册服务器彼此相连，且与同一个QKD设备相连。3.如权利要求1所述的一种量子密码网络SIP信令安全通信系统，其特征在于：所述认证中心、位置服务器、注册服务器为同一个服务器，该服务器与一个QKD设备相连。4.一种采用权利要求1至3任一项所述量子密码网络SIP信令安全通信系统进行SIP信令安全通信的方法，其特征在于：SIP终端进行注册时，使用注册密码与注册服务器进行双向鉴权认证，注册服务器通过认证中心生成注册服务器身份认证信息，并通过认证中心验证SIP终端身份；SIP终端注册成功后，认证中心生成新的注册密码，并对其使用与SIP终端间共享的量子密钥加密后，传输给SIP终端，供其下一次注册时使用；SIP终端之间进行SIP信令通信时，使用通信双方共享的量子密钥，计算或验证SIP信令的消息认证码。5.如权利要求4所述的SIP信令安全通信方法，其特征在于，所述SIP终端按照如下步骤进行注册：(1)SIP终端通过边缘服务器向注册服务器提交注册请求，注册请求中包含SIP终端的永久用户名，在请求消息的Authentication头字段的nonce值中含有随机数据；(2)注册服务器收到注册请求后，将SIP终端的永久用户名和nonce值提交给认证中心，向其请求nonce值、注册服务器IP地址IP注册和SIP终端注册密码K的密钥相关的哈希函数消息认证码HMAC...

【专利技术属性】
技术研发人员：原磊，武宏宇，赵梅生，
申请(专利权)人：山东量子科学技术研究院有限公司，
类型：发明
国别省市：山东;37