本申請(qǐng)涉及通信安全，尤其涉及一種可信的量子安全接入通信方法及系統(tǒng)。

背景技術(shù)：

1、隨著量子信息技術(shù)的飛速發(fā)展，量子身份認(rèn)證與量子加密通信作為保障信息安全的前沿技術(shù)，正逐步從理論研究走向?qū)嶋H應(yīng)用。然而，在當(dāng)前的量子通信體系中，盡管量子身份認(rèn)證與量子加密通信各自在保障通信雙方身份真實(shí)性和數(shù)據(jù)傳輸安全性方面展現(xiàn)出巨大潛力，但二者在集成應(yīng)用時(shí)仍面臨一些關(guān)鍵性挑戰(zhàn)。

2、首先，傳統(tǒng)量子身份認(rèn)證機(jī)制主要聚焦于驗(yàn)證當(dāng)前通信雙方的身份真實(shí)性，確保參與通信的個(gè)體或設(shè)備是可信的，這種認(rèn)證過程依賴于量子力學(xué)的獨(dú)特性質(zhì)，如量子不可克隆定理和量子糾纏等，以實(shí)現(xiàn)高安全性的身份驗(yàn)證。由于兩個(gè)通信主體已進(jìn)行了身份認(rèn)證，確定通信雙方一定是合法且可靠的，因此通信雙方在進(jìn)行量子加密通信時(shí)，一般側(cè)重于利用真隨機(jī)數(shù)作為加密密鑰，通過該加密密鑰，對(duì)通信數(shù)據(jù)流進(jìn)行加密，來確保數(shù)據(jù)傳輸過程中的機(jī)密性和完整性。

3、然而，這種量子加密通信方式雖然能夠有效保護(hù)數(shù)據(jù)內(nèi)容不被未授權(quán)者竊取或篡改，但它無法直接驗(yàn)證當(dāng)前加密數(shù)據(jù)的發(fā)送者身份。即，即使數(shù)據(jù)被量子加密，也無法確保這些數(shù)據(jù)確實(shí)來自于已經(jīng)通過身份認(rèn)證的合法用戶。這種機(jī)制上的分離使得攻擊者有可能通過切換通信流或利用共享資源(如共用電腦或量子安全網(wǎng)關(guān))冒充已認(rèn)證身份發(fā)送數(shù)據(jù)，從而繞過身份認(rèn)證環(huán)節(jié)，對(duì)系統(tǒng)安全構(gòu)成威脅。

技術(shù)實(shí)現(xiàn)思路

1、本申請(qǐng)?zhí)峁┝艘环N可信的量子安全接入通信方法、裝置、設(shè)備及介質(zhì)，用以解決現(xiàn)有可能存在通過切換通信流或利用共享資源冒充已認(rèn)證身份發(fā)送數(shù)據(jù)，從而繞過身份認(rèn)證環(huán)節(jié)，對(duì)數(shù)據(jù)安全構(gòu)成威脅的問題。

2、第一方面，本申請(qǐng)?zhí)峁┝艘环N可信的量子安全接入通信方法，所述方法包括：

3、量子安全終端向所述量子安全終端接入的量子安全基站發(fā)送加密后的鑒權(quán)消息；其中，所述加密后的鑒權(quán)消息攜帶有所述量子安全終端的設(shè)備標(biāo)識(shí)；

4、所述量子安全基站接收到所述加密后的鑒權(quán)消息的情況下，獲取解密密鑰，并基于所述解密密鑰，對(duì)所述加密后的鑒權(quán)消息進(jìn)行解密，以得到所述設(shè)備標(biāo)識(shí)；從與所述量子安全終端配對(duì)的密鑰池中確定第一參考隨機(jī)數(shù)；將攜帶有所述設(shè)備標(biāo)識(shí)以及所述第一參考隨機(jī)數(shù)的鑒權(quán)請(qǐng)求發(fā)送至鑒權(quán)中心；

5、所述鑒權(quán)中心在接收到所述鑒權(quán)請(qǐng)求的情況下，對(duì)所述設(shè)備標(biāo)識(shí)進(jìn)行鑒權(quán)；若確定所述設(shè)備標(biāo)識(shí)合法，則獲取所述設(shè)備標(biāo)識(shí)對(duì)應(yīng)的認(rèn)證參數(shù)；按照預(yù)先與所述量子安全終端約定的生成規(guī)則，基于所述第一參考隨機(jī)數(shù)、所述設(shè)備標(biāo)識(shí)以及所述認(rèn)證參數(shù)，確定第一隨機(jī)身份；將攜帶有所述第一隨機(jī)身份和所述設(shè)備標(biāo)識(shí)的成功鑒權(quán)響應(yīng)返回至所述量子安全基站；

6、所述量子安全基站接收到所述成功鑒權(quán)響應(yīng)的情況下，保存所述第一隨機(jī)身份，并基于所述第一參考隨機(jī)數(shù)以及所述第一隨機(jī)身份，確定第一鑒權(quán)上下文；將鑒權(quán)反饋消息以及所述第一參考隨機(jī)數(shù)對(duì)應(yīng)的隨機(jī)數(shù)索引發(fā)送至所述量子安全終端；其中，所述鑒權(quán)反饋消息攜帶有所述第一鑒權(quán)上下文的第一哈希值；

7、所述量子安全終端在接收到所述隨機(jī)數(shù)索引以及所述鑒權(quán)反饋消息的情況下，基于所述隨機(jī)數(shù)索引，從保存的密鑰池中獲取第二參考隨機(jī)數(shù)；通過保存的所述生成規(guī)則，基于所述第二參考隨機(jī)數(shù)、所述設(shè)備標(biāo)識(shí)以及所述量子安全終端的認(rèn)證參數(shù)，獲取所述第二隨機(jī)身份；基于所述第二參考隨機(jī)數(shù)以及所述第二隨機(jī)身份，確定第二鑒權(quán)上下文；若所述第二鑒權(quán)上下文的第二哈希值與所述第一哈希值一致，則確定所述量子安全終端成功接入，并保存所述第二隨機(jī)身份，以通過所述第二隨機(jī)身份進(jìn)行量子安全通信。

8、第二方面，本申請(qǐng)?zhí)峁┝艘环N可信的量子安全接入通信系統(tǒng)，所述系統(tǒng)包括如上述方法所述的量子安全終端、量子安全基站以及鑒權(quán)中心。

9、本申請(qǐng)的有益效果如下：

10、1、加密后的鑒權(quán)消息確保了數(shù)據(jù)在傳輸過程中的安全性和機(jī)密性，防止了信息被未經(jīng)授權(quán)的第三方截獲或篡改。

11、2、因?yàn)橹挥袚碛姓_密鑰的量子安全終端才能生成加密后的鑒權(quán)消息，量子安全基站能夠成功解密消息，驗(yàn)證了鑒權(quán)消息來源的合法性。

12、3、鑒權(quán)中心不僅可以對(duì)量子安全終端的設(shè)備標(biāo)識(shí)進(jìn)行鑒權(quán)，確保量子安全終端的合法性。并且，在確定該設(shè)備標(biāo)識(shí)合法的情況下，通過預(yù)先與量子安全終端約定的生成規(guī)則，基于設(shè)備標(biāo)識(shí)、認(rèn)證參數(shù)以及量子安全基站發(fā)送的第一參考隨機(jī)數(shù)，生成第一隨機(jī)身份，從而實(shí)現(xiàn)為量子安全終端的每次接入提供獨(dú)特的身份標(biāo)識(shí)，有效防止了身份偽造和重放攻擊。

13、4、由于量子安全基站向量子安全終端反饋的鑒權(quán)反饋消息中攜帶的是第一鑒權(quán)上下文的第一哈希值，而非是第一鑒權(quán)上下文，從而避免第一鑒權(quán)上下文或第一隨機(jī)身份在量子安全基站與量子安全終端之間傳輸所產(chǎn)生的安全問題，有利于提高后續(xù)基于該第一隨機(jī)身份進(jìn)行量子安全通信的安全性。

14、5、第一哈希值和第二哈希值的計(jì)算要素來自于隨機(jī)身份，而這個(gè)隨機(jī)身份是基于量子安全基站提供參考隨機(jī)數(shù)、量子安全終端的認(rèn)證參數(shù)算得的，使得非法設(shè)備僅擁有配對(duì)密鑰池是無法獲取的，即這個(gè)隨機(jī)身份在計(jì)算前量子安全基站不可知也無法模擬，鑒權(quán)中心不可知也無法模擬，量子安全終端不可知也無法模擬的，在計(jì)算后量子安全終端和量子安全基站在不進(jìn)行網(wǎng)絡(luò)傳輸?shù)那疤嵯聝蛇叾紦碛辛诉@個(gè)量子安全終端的隨機(jī)身份，任何第三方即使擁有了量子安全終端和量子安全基站的對(duì)稱密鑰，也不可知也無法模擬這個(gè)隨機(jī)身份，避免通過切換通信流或利用共享資源冒充已認(rèn)證身份發(fā)送數(shù)據(jù)，從而繞過身份認(rèn)證環(huán)節(jié)，對(duì)數(shù)據(jù)安全構(gòu)成威脅的問題。并且，該隨機(jī)身份在數(shù)學(xué)領(lǐng)域的碰撞概率極小，該隨機(jī)身份為量子安全通信提供了必要的身份認(rèn)證基礎(chǔ)，保障了通信過程的安全性和可靠性。

技術(shù)特征：

1.一種可信的量子安全接入通信方法，其特征在于，所述方法包括：

2.如權(quán)利要求1所述的方法，其特征在于，所述量子安全基站獲取所述解密密鑰，包括：

3.如權(quán)利要求1所述的方法，其特征在于，所述鑒權(quán)中心中預(yù)先注冊(cè)有各合法的量子安全終端的鑒權(quán)信息，其中，所述鑒權(quán)信息包括合法設(shè)備標(biāo)識(shí)以及所述合法設(shè)備標(biāo)識(shí)對(duì)應(yīng)的認(rèn)證參數(shù)。

4.如權(quán)利要求1所述的方法，其特征在于，所述鑒權(quán)中心按照所述生成規(guī)則，基于所述第一參考隨機(jī)數(shù)、所述設(shè)備標(biāo)識(shí)以及所述認(rèn)證參數(shù)，確定第一隨機(jī)身份，包括：

5.如權(quán)利要求1所述的方法，其特征在于，所述量子安全終端包括隔離區(qū)和加密區(qū)；

6.如權(quán)利要求1所述的方法，其特征在于，所述量子安全終端與所述量子安全基站之間的通信包括：

7.一種可信的量子安全接入通信系統(tǒng)，其特征在于，所述系統(tǒng)包括如權(quán)利要求1-6任一方法所述的量子安全終端、量子安全基站以及鑒權(quán)中心。

技術(shù)總結(jié)
本申請(qǐng)公開了一種量子安全接入通信方法及系統(tǒng)。由于接入鑒權(quán)過程中生成的隨機(jī)身份是基于量子安全基站提供參考隨機(jī)數(shù)、量子安全終端的認(rèn)證參數(shù)算得的，使得非法設(shè)備僅擁有配對(duì)密鑰池是無法獲取的，即這個(gè)隨機(jī)身份在計(jì)算前量子安全基站不可知也無法模擬，鑒權(quán)中心不可知也無法模擬，量子安全終端不可知也無法模擬的，在計(jì)算后量子安全終端和量子安全基站在不進(jìn)行網(wǎng)絡(luò)傳輸?shù)那疤嵯聝蛇叾紦碛辛诉@個(gè)量子安全終端的隨機(jī)身份，任何第三方即使擁有了量子安全終端和量子安全基站的對(duì)稱密鑰，也不可知也無法模擬這個(gè)隨機(jī)身份，避免通過切換通信流或利用共享資源冒充已認(rèn)證身份發(fā)送數(shù)據(jù)，從而繞過身份認(rèn)證環(huán)節(jié)，對(duì)數(shù)據(jù)安全構(gòu)成威脅的問題。

技術(shù)研發(fā)人員：傅波海,樊倩倩
受保護(hù)的技術(shù)使用者：矩陣時(shí)光數(shù)字科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/30