基于Kerberos协议的量子密钥迁移方法、系统及介质技术方案

本发明专利技术提供了一种基于Kerberos协议的量子密钥迁移方法及系统，包括：业务应用终端在迁移时需要向汇聚侧加密设备A提出申请移动，申请将量子密钥迁移至汇聚侧加密设备B；汇聚侧加密设备A根据业务应用终端的请求，需经过第三方认证服务器与汇聚侧安全加密设备B进行身份认证；汇聚侧安全加密设备B将为业务应用终端分配新的QID,并发送给汇聚侧安全加密设备A加密密钥。业务应用终端量子密钥与QID绑定。本发明专利技术利用Kerberos协议进行汇聚侧安全加密设备之间的身份认证并加密量子密钥实现量子密钥迁移，主要应用在业务应用终端迁移时与不同汇聚侧安全加密设备之间的量子保密通信，实现量子密钥的安全迁移，防止业务数据泄密和数据篡改，保证量子密钥迁移的安全性。保证量子密钥迁移的安全性。保证量子密钥迁移的安全性。

【技术实现步骤摘要】
基于Kerberos协议的量子密钥迁移方法、系统及介质


[0001]本专利技术涉及量子保密通信的
，具体地，涉及基于Kerberos协议的量子密钥迁移方法、系统及介质。

技术介绍

[0002]传统的加密方式主要依赖于数学算法，如公钥加密算法和对称加密算法。然而，随着计算机和通信技术的快速发展，传统加密算法面临着被量子计算机攻击的风险。量子计算机具有强大的计算能力，能够在较短的时间内破解目前广泛使用的加密算法，这对传统加密通信的安全性构成了威胁。为了应对这一安全挑战，量子密钥分发技术应运而生。量子密钥分发技术利用量子力学的原理和性质，通过量子比特的传输和测量来分发密钥。量子力学的原理限制了对量子态的测量和复制，因此潜在的窃听者无法在未被探测到的情况下获取密钥的副本。这使得量子密钥迁移技术能够提供更高的安全性，抵御量子计算机攻击。于是将量子密钥用于业务数据的加密传输，实现业务应用终端与汇聚侧安全加密设备之间的量子保密通信。
[0003]但是当拥有量子密钥的业务应用终端进行移动时，存在与另一个汇聚侧安全加密设备之间产生业务通信的情况，此时该安全加密设备并不具备与业务终端相对应的量子密钥，无法完成量子加密通信。在此情况下，需要迁移量子密钥，实现业务应用终端与其他汇聚侧安全加密设备之间的量子保密通信。为了确保安全迁移量子密钥，需要采用一种强大的身份验证和数据加密机制。Kerberos协议作为一种网络认证协议，提供了一种安全的身份验证解决方案。它可以防止未经授权的用户访问系统资源，并确保通信数据的机密性和完整，防止数据被窃取或篡改。

技术实现思路

[0004]针对现有技术中的缺陷，本专利技术的目的是提供一种基于Kerberos协议的量子密钥迁移方法、系统及介质。
[0005]根据本专利技术提供的一种基于Kerberos协议的量子密钥迁移方法，所述方法包括如下步骤：
[0006]步骤S1：业务应用终端在迁移时向汇聚侧安全加密设备A发送请求，申请与汇聚侧安全加密设备B进行量子保密通信；
[0007]步骤S2：汇聚侧安全加密设备A发送身份信息给认证服务器，认证服务器验证身份信息，并根据汇聚侧安全加密设备B的信息返回给汇聚侧安全加密设备A票据，汇聚侧安全加密设备A利用该票据与汇聚侧安全加密设备B进行身份认证，完成身份认证；
[0008]步骤S3：汇聚侧安全加密设备B重新分配密钥索引QID给业务应用终端，同时将加密密钥发送给汇聚侧安全加密设备A；汇聚侧安全加密设备A解密接收到的密钥，并利用该密钥加密量子密钥发送给汇聚侧安全加密设备B，进行量子密钥迁移；
[0009]步骤S4：业务应用终端将量子密钥绑定新分配的密钥索引QID，与汇聚侧安全加密
设备B完成身份认证，建立量子保密通信。
[0010]优选地，所述步骤S1包括如下步骤：
[0011]步骤S1.1：业务应用终端发起迁移请求以及量子密钥迁移申请；
[0012]步骤S1.2：汇聚侧安全加密设备A响应所述量子密钥迁移指令请求，对所述业务应用终端进行账户身份信息验证，在与汇聚侧安全加密设备A上的账户信息匹配情况下，同意业务应用终端发起的量子密钥请求。
[0013]优选地，所述步骤S2包括如下步骤：
[0014]步骤S2.1：汇聚侧安全加密设备A将自身设备配置信息与汇聚侧安全加密设备B的用户名以及利自身密钥对应的哈希值加密后的时间戳发送给认证服务器；
[0015]步骤S2.2：认证服务器根据汇聚侧安全加密设备A发送的配置信息查询该用户是否存在于白名单中，若是则查询对应的哈希值，并利用该哈希值加密一个随机生成的字符串，同时利用认证服务器里面的特殊哈希值加密汇聚侧安全加密设备A的用户信息TGT，将该加密结果与随机生成的字符串返回给汇聚侧安全加密设备A；
[0016]步骤S2.3：汇聚侧安全加密设备A接收到认证服务器返回的信息后，解密获得字符串,并利用该值加密自身用户信息与当前时间戳，将加密结果与TGT发送给认证服务器；
[0017]步骤S2.4：认证服务器获得信息后并解密对比TGT包含的用户信息是否与汇聚侧安全加密设备A送的信息一致，若一致则与汇聚侧安全加密设备A的身份认证成功，利用上述的字符串重新加密一段随机字符串，并利用汇聚侧安全加密设备B对应的哈希值加密汇聚侧安全加密设备A的信息票据，将加密结果一并返回给汇聚侧安全加密设备；
[0018]步骤S2.5：汇聚侧安全加密设备A解密接收的信息，获得新的字符串，利用字符串加密自身信息与时间戳，将此加密结果与票据一并发送给汇聚侧安全加密设备B；
[0019]步骤S2.6：汇聚侧安全加密设备B解密接收到的信息，确认汇聚侧安全加密设备A是否可信，若可信，则返回给汇聚侧安全加密设备A确认信息，到此汇聚侧安全加密设备A与汇聚侧安全加密设备B成功完成身份认证。
[0020]优选地，所述认证服务器发送给汇聚侧安全加密设备A的票据包含利用汇聚侧安全加密设备B对应的哈希值加密汇聚侧安全加密设备A的信息、随机字符串以及结束时间。
[0021]优选地，所述步骤S3包括如下步骤：
[0022]步骤S3.1：汇聚侧安全加密设备B将重新分配给业务应用终端的密钥索引QID与需要加密迁移密钥的密钥发送给汇聚侧安全加密设备A；
[0023]步骤S3.2：汇聚侧安全加密设备A将密钥索引下发给业务应用终端，并利用接收到的密钥加密需要迁移的量子密钥，并发送给汇聚侧安全加密设备B；
[0024]步骤S3.3：汇聚侧安全加密设备B将接收到的量子密钥与密钥索引QID绑定，并返回给汇聚侧安全加密设备A确认信息，完成量子密钥的迁移。
[0025]优选地，所述方法包括业务应用终端、汇聚侧安全加密设备A、认证服务器、汇聚侧安全加密设备B；
[0026]所述业务应用终端发起量子密钥迁移请求；
[0027]所述汇聚侧安全加密设备A响应所述量子密钥迁移请求，根据该业务应用终端的密钥索引查找对应的量子密钥，将该量子密钥迁移至汇聚侧安全加密设备B，并通过认证服务器，进行汇聚侧安全加密设备A与认证服务器的身份认证，进而进行汇聚侧安全加密设备
A与汇聚侧安全加密设备B之间的身份认证；
[0028]所述的认证服务器与汇聚侧安全加密设备A实现身份认证，并根据汇聚侧安全加密设备B的信息发送给汇聚侧安全加密设备A票据，进行汇聚侧安全加密设备A与汇聚侧安全加密设备B之间的身份认证，并进行两者之间的信息交互，完成量子密钥迁移；
[0029]所述的汇聚侧安全加密设备B为量子密钥迁移目的端，将汇聚侧安全加密设备A端的量子密钥迁移至汇聚侧安全加密设备B，汇聚侧安全加密设备B将为业务应用终端分配新的密钥索引QID，先将密钥索引QID发送给汇聚侧安全加密设备A，再由汇聚侧安全加密设备A将密钥索引QID发送给业务应用终端。
[0030]优选地，利用Kerberos协议对汇聚侧安全加密设备A与汇聚侧安全加密设备B进行身份认证并进行量子密本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于Kerberos协议的量子密钥迁移方法，其特征在于，所述方法包括如下步骤：步骤S1：业务应用终端在迁移时向汇聚侧安全加密设备A发送请求，申请与汇聚侧安全加密设备B进行量子保密通信；步骤S2：汇聚侧安全加密设备A发送身份信息给认证服务器，认证服务器验证身份信息，并根据汇聚侧安全加密设备B的信息返回给汇聚侧安全加密设备A票据，汇聚侧安全加密设备A利用该票据与汇聚侧安全加密设备B进行身份认证，完成身份认证；步骤S3：汇聚侧安全加密设备B重新分配密钥索引QID给业务应用终端，同时将加密密钥发送给汇聚侧安全加密设备A；汇聚侧安全加密设备A解密接收到的密钥，并利用该密钥加密量子密钥发送给汇聚侧安全加密设备B，进行量子密钥迁移；步骤S4：业务应用终端将量子密钥绑定新分配的密钥索引QID，与汇聚侧安全加密设备B完成身份认证，建立量子保密通信。2.根据权利要求1所述的基于Kerberos协议的量子密钥迁移方法，其特征在于，所述步骤S1包括如下步骤：步骤S1.1：业务应用终端发起迁移请求以及量子密钥迁移申请；步骤S1.2：汇聚侧安全加密设备A响应所述量子密钥迁移指令请求，对所述业务应用终端进行账户身份信息验证，在与汇聚侧安全加密设备A上的账户信息匹配情况下，同意业务应用终端发起的量子密钥请求。3.根据权利要求1所述的基于Kerberos协议的量子密钥迁移方法，其特征在于，所述步骤S2包括如下步骤：步骤S2.1：汇聚侧安全加密设备A将自身设备配置信息与汇聚侧安全加密设备B的用户名以及利自身密钥对应的哈希值加密后的时间戳发送给认证服务器；步骤S2.2：认证服务器根据汇聚侧安全加密设备A发送的配置信息查询该用户是否存在于白名单中，若是则查询对应的哈希值，并利用该哈希值加密一个随机生成的字符串，同时利用认证服务器里面的特殊哈希值加密汇聚侧安全加密设备A的用户信息TGT，将该加密结果与随机生成的字符串返回给汇聚侧安全加密设备A；步骤S2.3：汇聚侧安全加密设备A接收到认证服务器返回的信息后，解密获得字符串,并利用该值加密自身用户信息与当前时间戳，将加密结果与TGT发送给认证服务器；步骤S2.4：认证服务器获得信息后并解密对比TGT包含的用户信息是否与汇聚侧安全加密设备A送的信息一致，若一致则与汇聚侧安全加密设备A的身份认证成功，利用上述的字符串重新加密一段随机字符串，并利用汇聚侧安全加密设备B对应的哈希值加密汇聚侧安全加密设备A的信息票据，将加密结果一并返回给汇聚侧安全加密设备；步骤S2.5：汇聚侧安全加密设备A解密接收的信息，获得新的字符串，利用字符串加密自身信息与时间戳，将此加密结果与票据一并发送给汇聚侧安全加密设备B；步骤S2.6：汇聚侧安全加密设备B解密接收到的信息，确认汇聚侧安全加密设备A是否可信，若可信，则返回给汇聚侧安全加密设备A确认信息，到此汇聚侧安全加密设备A与汇聚侧安全加密设备B成功完成身份认证。4.根据权利要求3所述的基于Kerberos协议的量子密钥迁移方法，其特征在于，所述认证服务器...

【专利技术属性】
技术研发人员：周颖明，徐贵敏，方昊，
申请(专利权)人：上海循态量子科技有限公司，
类型：发明
国别省市：