一种量子网络中网络接入设备的认证系统及认证方法技术方案

本发明专利技术公开了一种量子网络中网络接入设备的认证系统及认证方法，认证系统包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器，认证方法包括网络部署阶段、证书颁发阶段、双向认证阶段、量子密钥更新阶段和心跳认证阶段。本发明专利技术提供的一种量子网络中网络接入设备的认证系统及认证方法，在认证过程中采用的是双向认证，并且使用量子密钥对认证信息进行摘要的提取及认证密钥的更新，安全性高，可靠性强。

【技术实现步骤摘要】


本专利技术属于量子通信
，具体涉及一种量子网络中网络接入设备的认证系统及认证方法。

技术介绍

随着量子通信实用化的推进，量子通信在网络化应用方面的使用前景更加广阔，量子网络利用BB84协议产生的量子密钥对网络中传输的数据进行加密，能够保证信息在因特网上传输的绝对安全，未来计算机网络的发展方向，即为由量子力学保证其安全性的量子网络。
量子网络认证系统类似于经典网络的认证系统，是在量子网络的基础之上建立起来的，在量子网络安全中占有重要的地位，量子网络认证系统的一种情况是对网络接入设备的认证，我们知道，用户端接入量子主干网时需要搭建好自己的内部网络，然而，不法分子通过在网络设备上布置解密软件或者监听软件(主要通过编写拦截程序，截取通讯信息或监听仿真的方式)，可以对内部网络的各种防护手段进行有破坏力的攻击，如何保证内部网络的安全，防止来自内部的攻击或信息泄露是用户关心的重要问题。
为有效地防止不法分子利用内网接入设备对量子网络发起攻击，我们可以对连入量子网络的设备进行身份认证，只有通过身份认证的用户设备，量子网络才对其开放网络连接，本专利技术根据这个基本思想，通过量子设备登录证书和一系列专用算法，能有效阻止未认证设备的接入,从而杜绝来自未认证设备上的各种风险，提高内部网络的安全性，对于已被认证的设备，接入量子网络并不受影响，且每次断网或者重新接入时，认证的数据都是不同的，有效的防止了认证系统被破解情况的发生。

技术实现思路

针对现有技术不足，结合经典身份认证机制中的常用方法，本专利技术进行流程整合和创新后，提供了一种量子网络中网络接入设备的认证系统及认证方法，实现了量子网络系统对用户设备合法身份的验证。
为实现专利技术目的，本专利技术采用以下技术方案：
一种量子网络中网络接入设备的认证系统，包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器，所述用户端包括用户所持有的量子设备登录证书及用户所要接入量子网络中的网络设备，所述用户端与所述量子设备认证控制器连接，所述用户端在认证过程中是通过量子设备认证控制器、量子网关与所述量子设备认证服务器相连，在认证成功之前，用户端与量子网关之间的网络通路被量子设备认证控制器所阻断；所述量子设备登录证书接入在网络设备和量子设备认证控制器之间，所述网络设备必须通过合法的量子设备登录证书才能接入量子网络，所述量子设备登录证书由登录证书颁发服务器颁发给用户，存有用户设备信息CI、量子设备认证服务器信息SI、量子密钥KEY、用户ID等，是用户网络设备登录量子网络的通行证；所述量子设备认证控制器用于对网络设备能否接入量子网络进行控制，对未通过认证的网络设备，控制其无法接入量子网络，而对通过认证的网络设备的上网功能不予影响。
优选为，所述登录证书颁发服务器通过量子网关与量子设备认证服务器相连，由专门的机构管理，产生的量子密钥用于颁发量子设备登录证书，专门机构的专职人员认证所需接入的设备和所有人信息后，可录入必备的有用信息并存档备用。
优选为，所述量子网关包括用户端量子网关和服务端量子网关，用于量子密钥的生成、存储及传输，所述用户端量子网关和服务端量子网关之间通过两条通道连接，一条是量子信道，一条是经典信道，所述量子信道使用BB84协议产生量子密钥，且量子密钥是基于量子力学的真随机数，所述经典信道用来传送量子信息之外的经典信息。
优选为，所述量子设备认证服务器通过量子网关与整个量子网络相连，所述量子设备登录证书颁发时，产生的量子密钥作为用户注册信息的一部分保存起来，当用户端的网络设备接入量子网络时，所述量子设备认证服务器利用已存储的设备信息，执行一系列认证流程，完成认证服务。
本专利技术所采用的另一技术方案是：
一种量子网络中网络接入设备的认证方法，包括以下步骤：
（1）.网络部署阶段
登录证书颁发服务器与量子设备认证服务器通过量子网关相连接，进行远程颁发量子设备登录证书，所述登录证书颁发服务器所在的服务中心备有一定数量的量子设备登录证书，这些量子设备登录证书在用户申领前，都处于初始状态下，认证用户端包括用户端量子网关、量子设备认证控制器和量子设备登录证书和网络设备，认证服务端包括服务端量子网关和量子设备认证服务器，认证用户端与认证服务端通过量子网关相连，量子网关包括用户端量子网关和服务端量子网关，两者之间连有量子通信特有的光纤信道—量子信道，只有当用户的量子设备登录证书认证成功后，连接在该量子设备登录证书上的网络设备才被量子设备认证控制器允许接入到量子网络中；
（2）.证书颁发阶段
量子设备登录证书是网络设备接入量子网络的唯一凭证，代表着用户设备的合法身份，用户端的网络设备只有通过合法的量子设备登录证书才能接入到量子网络中，用户在申请量子设备登录证书前，需要向登录证书颁发服务器所在的服务中心提交用户及其设备的信息，登录证书颁发服务器端的管理员会对用户的信息进行审核，审核通过后为用户完成量子设备登录证书的制作，包括必备信息的写入等，然后为用户颁发证书，所述量子设备登录证书包括用户ID、用户设备信息CI、量子设备认证服务器信息SI及量子密钥KEY，其中用户设备信息是用户设备的特有信息，可由设备ID或MAC地址等信息计算得到；量子设备认证服务器信息是量子设备认证服务器的特有信息，可由服务器ID或MAC地址等信息计算得到；量子密钥KEY是通过量子网络在登录证书颁发服务器和量子设备认证服务器端同时生成的量子密钥，满足真随机性和绝对安全性，量子设备登录证书以硬件的形式颁发给用户，在量子设备登录证书颁发的过程中，登录证书颁发服务器将用户的注册信息通过量子密钥加密后发送给量子设备认证服务器端，量子设备认证服务器端使用对称的量子密钥解密后保存在自己的数据库中，作为用户登录时的认证信息，同理，量子设备认证服务器端将服务器信息通过量子密钥加密后发送给登录证书颁发服务器，登录证书颁发服务器使用对称的量子密钥解密后写入用户的量子设备登录证书中，最终，用户的量子设备登录证书和量子设备认证服务器共享相同的认证信息，包括用户ID、用户设备信息CI、量子设备认证服务器信息SI和量子密钥KEY；
（3）.双向认证阶段
用户的网络设备要想接入到量子网络中，必须要有合法的量子设备登录证书，如果没有量子设备登录证书，当用户设备连接在量子网络端口的时候，量子设备认证控制器会阻止不可识别的非法网络设备接入到量子网络中，用户使用量子设备登录证书接入量子网络时需要进行双向认证，即量子设备认证服务器对量子设备登录证书的认证和量子设备登录证书对量子设备认证服务器的认证；
（4）.量子密钥更新阶段
认证成功后需更新密钥，用户端量子网关与服务端量子网关通过BB84协议产生量子密钥KEY’，用户端量子网关将量子密钥KEY’下发给量子设备认证控制器，用户端的量子设备登录证书通过量子随机数发生器产生一个随机数N，并将N发送给量子设备认证控制器，量子设备认证控制器使用随机数N将量子密钥KEY’加密后发送给量子设备登录证书，量子设备登录证书解密后将量子密钥KEY’替换量子密钥KEY，量子设备登录证书的量子密钥更新成功，并将成功消息发送给量子设备认证服务器，量子设备认证服务器接到消本文档来自技高网...

【技术保护点】
一种量子网络中网络接入设备的认证系统，其特征在于：包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器，所述用户端包括用户所持有的量子设备登录证书及用户所要接入量子网络中的网络设备，所述用户端与所述量子设备认证控制器连接，所述用户端在认证过程中是通过量子设备认证控制器、量子网关与所述量子设备认证服务器相连，在认证成功之前，用户端与量子网关之间的网络通路被量子设备认证控制器所阻断；所述量子设备登录证书接入在网络设备和量子设备认证控制器之间，所述网络设备必须通过合法的量子设备登录证书才能接入量子网络，所述量子设备登录证书由登录证书颁发服务器颁发给用户，存有用户设备信息CI、量子设备认证服务器信息SI、量子密钥KEY、用户ID等，是用户网络设备登录量子网络的通行证；所述量子设备认证控制器用于对网络设备能否接入量子网络进行控制，对未通过认证的网络设备，控制其无法接入量子网络，而对通过认证的网络设备的上网功能不予影响。

【技术特征摘要】
1.一种量子网络中网络接入设备的认证系统，其特征在于：包括用户端、量子设备认证控制器、登录证书颁发服务器、量子网关和量子设备认证服务器，所述用户端包括用户所持有的量子设备登录证书及用户所要接入量子网络中的网络设备，所述用户端与所述量子设备认证控制器连接，所述用户端在认证过程中是通过量子设备认证控制器、量子网关与所述量子设备认证服务器相连，在认证成功之前，用户端与量子网关之间的网络通路被量子设备认证控制器所阻断；所述量子设备登录证书接入在网络设备和量子设备认证控制器之间，所述网络设备必须通过合法的量子设备登录证书才能接入量子网络，所述量子设备登录证书由登录证书颁发服务器颁发给用户，存有用户设备信息CI、量子设备认证服务器信息SI、量子密钥KEY、用户ID等，是用户网络设备登录量子网络的通行证；所述量子设备认证控制器用于对网络设备能否接入量子网络进行控制，对未通过认证的网络设备，控制其无法接入量子网络，而对通过认证的网络设备的上网功能不予影响。
2.如权利要求1所述的量子网络中网络接入设备的认证系统，其特征在于：所述登录证书颁发服务器通过量子网关与量子设备认证服务器相连，由专门的机构管理，产生的量子密钥用于颁发量子设备登录证书，专门机构的专职人员认证所需接入的设备和所有人信息后，可录入必备的有用信息并存档备用。
3.如权利要求1或2所述的量子网络中网络接入设备的认证系统，其特征在于：所述量子网关包括用户端量子网关和服务端量子网关，用于量子密钥的生成、存储及传输，所述用户端量子网关和服务端量子网关之间通过两条通道连接，一条是量子信道，一条是经典信道，所述量子信道使用BB84协议产生量子密钥，且量子密钥是基于量子力学的真随机数，所述经典信道用来传送量子信息之外的经典信息。
4.如权利要求3所述的量子网络中网络接入设备的认证系统，其特征在于：所述量子设备认证服务器通过量子网关与整个量子网络相连，所述量子设备登录证书颁发时，产生的量子密钥作为用户注册信息的一部分保存起来，当用户端的网络设备接入量子网络时，所述量子设备认证服务器利用已存储的设备信息，执行一系列认证流程，完成认证服务。
5.一种量子网络中网络接入设备的认证方法，其特征在于：包括以下步骤：
（1）.网络部署阶段
登录证书颁发服务器与量子设备认证服务器通过量子网关相连接，进行远程颁发量子设备登录证书，所述登录证书颁发服务器所在的服务中心备有一定数量的量子设备登录证书，这些量子设备登录证书在用户申领前，都处于初始状态下，认证用户端包括用户端量子网关、量子设备认证控制器和量子设备登录证书和网络设备，认证服务端包括服务端量子网关和量子设备认证服务器，认证用户端与认证服务端通过量子网关相连，量子网关包括用户端量子网关和服务端量子网关，两者之间连有量子通信特有的光纤信道—量子信道，只有当用户的量子设备登录证书认证成功后，连接在该量子设备登录证书上的网络设备才被量子设备认证控制器允许接入到量子网络中；
（2）.证书颁发阶段
量子设备登录证书是网络设备接入量子网络的唯一凭证，代表着用户设备的合法身份，用户端的网络设备只有通过合法的量子设备登录证书才能接入到量子网络中，用户在申请量子设备登录证书前，需要向登录证书颁发服务器所在的服务中心提交用户及其设备的信息，登录证书颁发服务器端的管理员会对用户的信息进行审核，审核通过后为用户完成量子设备登录证书的制作，包括必备信息的写入等，然后为用户颁发证书，所述量子设备登录证书包括用户ID、用户设备信息CI、量子设备认证服务器信息SI及量子密钥KEY，其中用户设备信息是用户设备的特有信息，可由设备ID或MAC地址等信息计算得到；量子设备认证服务器信息是量子设备认证服务器的特有信息，可由服务器ID或MAC地址等信息计算得到；量子密钥KEY是通过量子网络在登录证书颁发服务器和量子设备认证服务器端同时生成的量子密钥，满足真随机性和绝对安全性，量子设备登录证书以硬件的形式颁发给用户，在量子设备登录证书颁发的过...

【专利技术属性】
技术研发人员：夏从俊，喻斌，钟一民，黄超，蔡晓宇，
申请(专利权)人：浙江神州量子网络科技有限公司，
类型：发明
国别省市：浙江;33