[发明专利]一种实现设备认证的方法、系统及装置

说明书

本申请实施例公开了一种实现设备认证的方法、系统及装置,当待认证网络设备接入第一网络节点时，从设备认证服务器获取公钥，并利用该公钥对共享量子真随机数进行加密，生成共享量子真随机数的密文，然后待认证网络设备将密文和认证相关信息发送给第一网络节点，由第一网络节点根据自身保存的根密钥和认证相关信息构建解密私钥，利用该私钥对密文进行解密，获得共享量子真随机数的明文，并比较解密的共享量子真随机数的明文与共享量子真随机数是否一致，从而实现由第一网络节点对待认证网络设备进行认证。

技术领域

本申请涉及量子通信技术领域，具体涉及一种实现设备认证的方法、系统及装置。

背景技术

量子通信是近二十年发展起来的新型交叉学科，是量子论和信息论相结合的新的研究领域。近来这门学科已逐步从理论走向实验，并向实用化发展。高效安全的信息传输日益受到人们的关注。

物理上，量子通信可以被理解为在物理极限下，利用量子效应实现的高性能通信。信息学上，则认为量子通信是利用量子力学的基本原理(如量子态不可克隆原理和量子态的测量塌缩性质等)或者利用量子态隐形传输等量子系统特有属性，以及量子测量的方法来完成两地之间的信息传递。

以量子密钥分配(Quantum Key Distribution，QKD)协议为基础的量子密码技术是现阶段量子通信最重要的实际应用之一。传统的密码学是以数学为基础的密码体制，而量子密码以量子力学为基础，它的安全性是建立在测不准原理、量子的不可克隆及量子相干性等物理特性之上的，被证明是无条件安全的。

量子密码网络便是采用量子密码技术的一种安全通信网络。量子密码网络是由经典通信网络和量子通信网络共同构建而成。量子通信网络主要由QKD终端设备和量子信道组成，用于密钥分发，生成用于加密通信的量子密钥。经典通信网络使用量子密钥实现通信数据的加密传输。按照节点在网络中的位置和功能，量子密码网络的网络节点包括终端节点和中继节点两种，每种节点同时包含用于经典通信网络的经典通信终端和连接于量子通信网络的QKD终端设备。QKD终端设备通过QKD网络实现量子密钥分发，获得量子密钥；经典通信终端使用量子密钥实现经典数据的加密通信。

量子密码网络是一种安全级别要求更高的加密通信网络，甚至要求通信的无条件安全性。由于采用安全量子密钥进行一次一密的加密通信可保证节点之间信道通信的无条件安全性，网络节点尤其是中继节点的安全性决定了整个网络的可能达到的安全级别。随着网络规模的扩展，不断会有新的网络节点接入，原有的网络节点合法性也有可能发生变化。如何保证量子密钥分发在合法节点设备之间进行，以生成安全的量子密钥，以及如何保证只有合法的设备才可以获得量子密码网络的密钥分发服务，网络设备的认证变得至关重要。

量子密码网络中的网络设备认证是保证网络节点安全的一个重要安全机制，其目的是通过对接入量子密码网络的网络设备的身份进行认证，确定网络设备的合法性，只有合法设备才能够使用量子密码网络的各种资源，主要包括量子链路和经典链路连接及通过量子密钥分发生成的量子密钥，同时还需要保证合法设备的资源(网络连接及量子密钥)不被非法设备所盗用。

在现有技术中，通常采用基于对称密钥的设备认证方法利用量子密码网络丰富的对称密钥资源方便地实现设备的接入认证及认证密钥的更新。但基于对称密钥的设备认证方法的缺陷在于其需要建立认证中心(Certificate Authority，CA)，CA需要管理大量的认证密钥，在通信方面也容易出现网络拥塞和严重延迟的现象，而且一旦CA受到攻击，设备认证服务有可能出现瘫痪状态。

发明内容

有鉴于此，本申请实施例提供一种实现设备认证的方法、系统及装置，以解决现有技术中认证中心在量子密码网络的网络设备认证过程中压力过大的技术问题。

为解决上述问题，本申请实施例提供的技术方案如下：

一种实现设备认证的方法，所述方法包括：