一种基于量子安全密钥的QKD认证方法技术

一种基于量子安全密钥的QKD认证方法，该方法包括以下步骤：线下将一对QKD初始认证秘钥PreAuthKey写入USB‑KEY；消息发送双方签名；消息接收双方，对消息签名进行认证；QKD产生量子安全密钥时，双方同时缓存一份到认证秘钥池AuthKeyPool；取下一次的消息认证秘钥AuthKey；消息发送方使用更新后的认证秘钥；将双方MAC’与接收到的签名MAC比较进行认证确认。与现有技术相比，本发明专利技术解决了初始认证秘钥分发的问题，避免因秘钥泄漏，导致第三方伪造身份进行数据认证，使用Wegman‑Carter对关键消息进行认证，而Wegman‑Carter已被证明是无条件安全认证算法，针对Wegman‑Carter在大数据量认证的情况下，需要消耗大量秘钥，当量子秘钥生成的速率无法满足Wegman‑Carter消耗的情况下，对非关键的消息采用HMAC认证，从而保证所有消息都进行认证。

【技术实现步骤摘要】
一种基于量子安全密钥的QKD认证方法
本专利技术涉及通讯双方密钥认证
，特别涉及一种基于量子安全密钥的QKD认证方法。
技术介绍
QKD系统采用一个发射器Alice和一个接收器Bob构成，其中Alice包含一个激光器，Bob包含一个单光子探测器。在系统工作时，Alice发射单光子，Bob探测接收，然后经过对基、纠错、保密放大等环节，在Alice和Bob处共同产生了相同的一组秘钥。其中对基、纠错、保密放大需要通过QKD经典网络完成数据交互，必须保证数据未被中间人窜改，即保证数据完整性并认证数据发送者的身份。传统数据认证的做法是对消息进行HMAC(Message,AuthKey)，存在的问题比较明显：1.通讯双方预置固定的初始认证秘钥PreAuthKey，一旦秘钥泄漏，第三方可伪造身份进行数据认证；2.难以进行认证秘钥AuthKey更新，或者双方通过加密传输更新认证秘钥AuthKey，其安全性建立在秘钥交换算法的复杂度(如RSA)。
技术实现思路
本专利技术目的在于提供一种基于量子安全密钥的QKD认证方法，以解决现有技术中口通讯双方预置固定的初始认证秘钥PreAuthKey，一旦秘钥泄漏，第三方可伪造身份进行数据认证以及认证秘钥AuthKey更新较复杂的技术性缺陷。本专利技术的技术方案是这样实现的：一种基于量子安全密钥的QKD认证方法，该方法包括以下步骤：1)线下将一对QKD初始认证秘钥PreAuthKey写入USB-KEY，通讯双方的PreAuthKey保持一样，在消息认证秘钥AuthKey更新之前，都通过PreAuthKey进行认证；2)消息发送方，通过认证算法Wegman-Carter(Message,PreAuthKey)对消息进行签名，得到消息签名MAC，并向对端发送消息与消息签名MAC；3)消息接收双方，对消息签名进行认证，即通过同样的认证算法，计算出消息签名MAC’＝Wegman-Carter(Message,PreAuthKey)，将MAC’与接收到的签名MAC比较，一致则认证通过，否则失败；4)QKD产生量子安全密钥时，双方同时缓存一份到认证秘钥池AuthKeyPool；5)从认证秘钥池AuthKeyPool中取出指定数量的秘钥，作为下一次的消息认证秘钥AuthKey；6)消息发送方使用更新后的认证秘钥，通过Wegman-Carter(Message,AuthKey)计算消息签名MAC；7)消息接收方同样使用更新后的认证秘钥，计算出消息签名MAC’＝Wegman-Carter(Message,AuthKey)，将MAC’与接收到的签名MAC比较，一致则认证通过，否则失败。优选地，步骤5)中，将认证秘钥更新设置更新周期，当认证秘钥更新周期到时，从认证秘钥池AuthKeyPool中取出指定数量的秘钥，作为下一次的消息认证秘钥AuthKey。与现有技术相比，本专利技术有以下有益效果：本专利技术的基于量子安全密钥的QKD认证方法，QKD初始认证秘钥通过USB-KEY获取，解决了初始认证秘钥分发的问题，避免因秘钥泄漏，导致第三方伪造身份进行数据认证，利用QKD天然的安全秘钥分发特性，解决了认证秘钥更新的问题，使用Wegman-Carter对关键消息进行认证，而Wegman-Carter已被证明是无条件安全认证算法，针对Wegman-Carter在大数据量认证的情况下，需要消耗大量秘钥，当量子秘钥生成的速率无法满足Wegman-Carter消耗的情况下，对非关键的消息采用HMAC认证，从而保证所有消息都进行认证。附图说明图1为本专利技术基于量子安全密钥的QKD认证方法的流程图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术进行清楚、完整地描述。如图1所示，一种基于量子安全密钥的QKD认证方法，该方法包括以下步骤：1)线下将一对QKD初始认证秘钥PreAuthKey写入USB-KEY，通讯双方的PreAuthKey保持一样，在消息认证秘钥AuthKey更新之前，都通过PreAuthKey进行认证；2)消息发送方，通过认证算法Wegman-Carter(Message,PreAuthKey)对消息进行签名，得到消息签名MAC，并向对端发送消息与消息签名MAC；3)消息接收双方，对消息签名进行认证，即通过同样的认证算法，计算出消息签名MAC’＝Wegman-Carter(Message,PreAuthKey)，将MAC’与接收到的签名MAC比较，一致则认证通过，否则失败；4)QKD产生量子安全密钥时，双方同时缓存一份到认证秘钥池AuthKeyPool；5)从认证秘钥池AuthKeyPool中取出指定数量的秘钥，作为下一次的消息认证秘钥AuthKey；6)消息发送方使用更新后的认证秘钥，通过Wegman-Carter(Message,AuthKey)计算消息签名MAC；7)消息接收方同样使用更新后的认证秘钥，计算出消息签名MAC’＝Wegman-Carter(Message,AuthKey)，将MAC’与接收到的签名MAC比较，一致则认证通过，否则失败。优选地，步骤5)中，将认证秘钥更新设置更新周期，当认证秘钥更新周期到时，从认证秘钥池AuthKeyPool中取出指定数量的秘钥，作为下一次的消息认证秘钥AuthKey。本专利技术提出一种基于量子安全秘钥的QKD认证方法，由于QKD系统天然具有秘钥分发安全属性，从而解决了认证秘钥更新的难题，大致包括如下特性：通过USB-KEY存储初始认证秘钥PreAuthKey，两个QKD间首次认证需从USB-KEY中读取初始认证秘钥PreAuthKey；QKD经典信道数据分为关键信息IMPORTMessage，与普通信息NORMALMessage，普通数据通过HMAC-SHA256完成消息认证，关键信息通过Wegman-Carter完成消息认证，后者已经被证明为无条件安全认证方案；定期取一定数量量子安全秘钥Quantum-Key，用于更新认证秘钥AuthKey；综合本专利技术的量子安全密钥的QKD认证方法可知，QKD初始认证秘钥通过USB-KEY获取，解决了初始认证秘钥分发的问题，避免因秘钥泄漏，导致第三方伪造身份进行数据认证，利用QKD天然的安全秘钥分发特性，解决了认证秘钥更新的问题，使用Wegman-Carter对关键消息进行认证，而Wegman-Carter已被证明是无条件安全认证算法，针对Wegman-Carter在大数据量认证的情况下，需要消耗大量秘钥，当量子秘钥生成的速率无法满足Wegman-Carter消耗的情况下，对非关键的消息采用HMAC认证，从而保证所有消息都进行认证。本文档来自技高网...

【技术保护点】
1.一种基于量子安全密钥的QKD认证方法，其特征在于：该方法包括以下步骤：1)线下将一对QKD初始认证秘钥PreAuthKey写入USB‑KEY，通讯双方的PreAuthKey保持一样，在消息认证秘钥AuthKey更新之前，都通过PreAuthKey进行认证；2)消息发送方，通过认证算法Wegman‑Carter(Message,PreAuthKey)对消息进行签名，得到消息签名MAC，并向对端发送消息与消息签名MAC；3)消息接收双方，对消息签名进行认证，即通过同样的认证算法，计算出消息签名MAC’＝Wegman‑Carter(Message,PreAuthKey)，将MAC’与接收到的签名MAC比较，一致则认证通过，否则失败；4)QKD产生量子安全密钥时，双方同时缓存一份到认证秘钥池AuthKeyPool；5)从认证秘钥池AuthKeyPool中取出指定数量的秘钥，作为下一次的消息认证秘钥AuthKey；6)消息发送方使用更新后的认证秘钥，通过Wegman‑Carter(Message,AuthKey)计算消息签名MAC；7)消息接收方同样使用更新后的认证秘钥，计算出消息签名MAC’＝Wegman‑Carter(Message,AuthKey)，将MAC’与接收到的签名MAC比较，一致则认证通过，否则失败。...

【技术特征摘要】
1.一种基于量子安全密钥的QKD认证方法，其特征在于：该方法包括以下步骤：1)线下将一对QKD初始认证秘钥PreAuthKey写入USB-KEY，通讯双方的PreAuthKey保持一样，在消息认证秘钥AuthKey更新之前，都通过PreAuthKey进行认证；2)消息发送方，通过认证算法Wegman-Carter(Message,PreAuthKey)对消息进行签名，得到消息签名MAC，并向对端发送消息与消息签名MAC；3)消息接收双方，对消息签名进行认证，即通过同样的认证算法，计算出消息签名MAC’＝Wegman-Carter(Message,PreAuthKey)，将MAC’与接收到的签名MAC比较，一致则认证通过，否则失败；4)QKD产生量子安全密钥时，双方同时缓...

【专利技术属性】
技术研发人员：封连重，丁胜建，石建军，赵义博，
申请(专利权)人：浙江九州量子信息技术股份有限公司，
类型：发明
国别省市：浙江,33