基于量子密钥的轻量化IBC双向身份认证系统及方法与流程

基于量子密钥的轻量化ibc双向身份认证系统及方法
技术领域
1.本发明涉及量子保密通信领域，具体涉及一种基于量子密钥的轻量化ibc双向身份认证系统及方法。


背景技术：

2.量子由于其力学特性，具有不可分割、不可测量、不可复制的固有属性，在传输保密通信领域具有较大的应用价值。量子密钥分发（qkd）则是量子保密通信技术中重要的分支。qkd是在两个用户之间建立一条安全通道，通过单光子发送/接收以及密钥协商共享量子密钥。这样的安全通道必然涉及双方的身份认证过程。
3.传统通信双方普遍采用pki认证体系和ibc认证体系。pki是指用公钥的概念和技术来实施和提供安全服务的具有普适性的安全基础设施。在pki中，通过ca认证中心将用户的身份标识信息（用户名称、身份证号等）与其公钥绑定到一起，从而可以实现网络环境中身份认证的功能。pki提供一系列支持公钥密码的应用（加密、解密、签名与验证等）。其所能支持的安全服务功能主要有：身份认证、数据完整性验证、数据机密性以及不可抵赖性等。pki的目标就是通过借助公钥密码学的理论基础，管理密钥的生成、存储以及公钥证书的安全性等，为各种网络应用提供全面的安全服务，从而能够有效地实现用户身份的认证性和数据的机密性、完整性、有效性等。
4.ibc认证与pki认证方案不同，ibc认证技术的核心思想是系统中不再使用证书，而是通过三种密钥，即系统主密钥、用户公钥和私钥，即可完成认证。用户的公钥是通过提取用户的身份信息生成的，私钥可由称为私钥生成器的可信第三方计算得到并通过安全信道传送给用户。这种身份认证思想实现了公钥与认证实体身份进行绑定，使得认证双方在不需交换公钥的情况下即可完成认证。
5.pki认证需要大量ca证书交换，密钥管理复杂，对计算和通信资源开销大；ibc认证的公私密钥对存放在私钥生成器中，存在密钥托管的问题，一旦私钥生成器被破解，会造成全部密钥的泄露；同时，ibc算法是基于双线性对的运算，运算复杂度较高，目前的算法不够高效。因此，针对pki认证和ibc认证的局限性，设计出一种更加灵活、安全、轻量的身份认证过程则显得十分重要。


技术实现要素：

6.有鉴于此，本发明的目的在于提供一种基于量子密钥的轻量化ibc双向身份认证系统及方法，对ibc认证技术进行改进与优化，从而降低身份认证过程冗余度，减少身份认证双方信息交互次数，同时身份认证全程量子密钥加密，不失安全性，更加适应在新型电力系统分布式新能源接入应用场景的广泛应用。
7.为实现上述目的，本发明采用如下技术方案：一种基于量子密钥的轻量化ibc双向身份认证系统，包括认证方、验证方、量子密钥无线应用系统和密钥生成中心；所述量子密钥无线应用系统和密钥生成中心相互配合，
生成加密量子密钥和解密量子密钥，为认证方和验证方提供量子密钥服务；所述认证方与验证方通过无线通信方式实现身份认证信息交互，以及与量子密钥无线应用系统和密钥生成中心实现量子密钥交互。
8.进一步的，所述认证方和验证方均包含加密模块、解密模块和数据库。
9.进一步的，所述认证方生成身份标识，所述身份标识由终端位置、类型、属性、编号组成。
10.进一步的，所述身份标识构建，具体为：根据模型中的四种属性对终端设备进行抽象，再用字符“/”连接，得到的字符串就是终端设备的身份标识。
11.一种基于量子密钥的轻量化ibc双向身份认证系统的认证方法，包括以下步骤：步骤1：认证方向量子密钥无线应用系统请求获得量子密钥；步骤2：量子密钥无线应用系统向密钥生成中心发送生成量子密钥的请求，密钥生成中心生成量子密钥并告知量子密钥无线应用系统；步骤3：量子密钥无线应用系统向认证方发送量子密钥已生成的信息；步骤4：认证方向密钥生成中心请求获取加密量子密钥，密钥生成中心向认证方发送加密量子密钥；步骤5：认证方生成身份标识。认证方的加密模块使用加密量子密钥对身份标识字段进行加密，得到加密的身份标识字段；步骤6：认证方向验证方发送加密的身份标识字段；步骤7：验证方向密钥生成中心请求获得解密量子密钥，密钥生成中心向验证方发送解密量子密钥；步骤8：验证方使用解密量子密钥对加密的身份标识字段进行解密，得到身份标识字段；步骤9：验证方将身份标识字段与其数据库模块中的身份标识信息进行比对；步骤10：验证方向密钥生成中心请求获取加密量子密钥，密钥生成中心向验证方发送加密量子密钥；步骤11：验证方使用加密量子密钥对身份认证成功信息进行加密，得到加密身份认证成功信息；步骤12：验证方向认证方发送加密的身份认证成功信息；步骤13：认证方向密钥生成中心请求获得解密量子密钥，密钥生成中心向认证方发送解密量子密钥；步骤14：认证方使用解密量子密钥对加密的身份认证成功信息进行解密，得到身份认证成功信息；步骤15：得到身份认证成功信息，存储至认证方数据库，完成认证方与验证方之间的双向身份认证流程。
12.进一步的，基于量子密钥的轻量化ibc双向身份认证系统的认证方法中的认证方与验证方通过无线通信方式实现身份认证信息交互和量子密钥交互，适用于新型电力系统分布式新能源接入业务应用场景。
13.本发明与现有技术相比具有以下有益效果：1、本发明采用无线通信方式实现认证方与验证方的身份认证信息交互，以及认证
方和验证方与量子密钥无线应用系统和密钥生成中心的量子密钥交互，扩大了电力业务适用范围，部署更加灵活，适用于分布式新能源接入场景；2、本发明认证方与验证方的身份认证信息交互均采用量子密钥加解密，避免了身份认证信息被窃听、被篡改的风险，提高身份认证交互的安全性；3、认证方与验证方之间仅仅通过1次身份标识发送与确认就完成身份认证，真正意义上实现了身份认证的轻量化。
附图说明
14.图1本发明实施例提供的面向分布式新能源接入场景的量子密钥分发网络架构图；图2本发明实施例提供的基于量子密钥的轻量化ibc双向身份认证方法流程图；图3本发明实施例提供的面向分布式新能源接入业务的身份标识构建示意图。
具体实施方式
15.下面结合附图及实施例对本发明做进一步说明。
16.请参照图1，本发明提供一种基于量子密钥的轻量化ibc双向身份认证系统实例，其中，认证方为分布式新能源业务终端、验证方为分布式新能源业务主站、量子密钥无线应用系统和密钥生成中心为分布式新能源后台服务系统；所述量子密钥无线应用系统和密钥生成中心相互配合，生成加密量子密钥和解密量子密钥，为分布式新能源业务终端和主站提供量子密钥服务；所述分布式新能源业务终端和主站通过无线通信方式实现身份认证信息交互，以及与量后台服务系统实现量子密钥交互。
17.参考图2，本实施例中，还提供一种基于量子密钥的轻量化ibc双向身份认证系统的认证方法，包括以下步骤：步骤1：分布式新能源业务终端通过无线网络向量子密钥无线应用系统请求获得量子密钥，量子密钥无线应用系统向分布式新能源业务终端下达是否准许分布式新能源业务终端获得量子密钥。准许则执行步骤2，否则结束。
18.步骤2：量子密钥无线应用系统同意分布式新能源业务终端获得量子密钥的请求，并向密钥生成中心发送生成量子密钥的请求，密钥生成中心利用随机数发生器等装置进行量子密钥生成。待量子密钥生成之后，密钥生成中心会告知量子密钥无线应用系统量子密钥已生成。
19.步骤3：量子密钥无线应用系统收到密钥生成中心的量子密钥已生成的信息后，向分布式新能源业务终端转发量子密钥已生成的信息。分布式新能源业务终端确认信息后，回复量子密钥无线应用系统。
20.步骤4：分布式新能源业务终端向密钥生成中心发送获取加密量子密钥请求，密钥生成中心向分布式新能源业务终端发送加密量子密钥。
21.步骤5：分布式新能源业务终端生成身份标识。身份标识充分结合了分布式新能源接入业务特征，由终端位置、类型、属性、编号组成，具体如图3所示。
22.优选的，在本实施例中，位置信息是分布式新能源终端设备的具体位置熟悉，根据平台的不同可以选择经纬度、地理位置名称甚至是网络地址等，用字段location表示；分布
式新能源设备类型这一属性主要是用来区分分布式新能源设备的种类，例如传感设备、数码设备、控制器等，用字段type进行定义；分布式新能源设备属性这一字段主要用来表述设备具体实现的功能，例如温度采集、湿度采集、光照强度采集、音频采集等，用字段attribute表述；最后，由于物联网中同一范围内存在同种类型设备大量重复使用的情况，例如在同一位置放置多个同一类型的温度传感器，为了能够区分这些分布式新能源设备，需要对相同种类的设备进行编号区分，用deviceid字段表示。根据模型中的四种属性对分布式新能源终端设备进行抽象，再用字符“/”连接，得到的字符串就是分布式新能源终端设备的身份标识。
23.分布式新能源业务终端的加密模块使用密钥生成中心获取的加密量子密钥对身份标识字段进行加密，得到加密的身份标识字段。
24.步骤6：得到加密的身份标识字段后，分布式新能源业务终端向分布式新能源业务主站发送加密的身份标识字段。
25.步骤7：分布式新能源业务主站接收到分布式新能源业务终端发送的加密的身份标识字段，并将加密的身份标识字段转发至密钥生成中心，请求获得解密量子密钥。密钥生成中心根据接收到的加密的身份标识字段，向分布式新能源业务主站发送解密量子密钥。
26.步骤8：分布式新能源业务主站接收到来自密钥生成中心的解密量子密钥，对加密的身份标识字段进行解密，得到身份标识字段。
27.步骤9：分布式新能源业务主站将得到身份标识字段与其数据库模块中的身份标识信息进行比对，如果比对成功，则表明身份认证成功；否则结束。
28.步骤10：比对成功之后，分布式新能源业务主站向密钥生成中心发送获取加密量子密钥请求，密钥生成中心向分布式新能源业务主站发送加密量子密钥。
29.步骤11：分布式新能源业务主站的加密模块使用密钥生成中心获取的加密量子密钥对身份认证成功信息进行加密，得到加密身份认证成功信息。
30.步骤12：得到加密的身份认证成功信息后，分布式新能源业务主站向分布式新能源业务终端发送加密的身份认证成功信息。
31.步骤13：分布式新能源业务终端接收到分布式新能源业务主站发送的加密的身份认证成功信息，并将加密的身份认证成功信息转发至密钥生成中心，请求获得解密量子密钥。密钥生成中心根据接收到的加密的身份认证成功信息，向分布式新能源业务终端发送解密量子密钥。
32.步骤14：分布式新能源业务终端接收到来自密钥生成中心的解密量子密钥，对加密的身份认证成功信息进行解密，得到身份认证成功信息。
33.步骤15：得到身份认证成功信息，存储至分布式新能源业务终端数据库，完成分布式新能源业务终端与主站之间的双向身份认证流程。
34.以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。

技术特征：
1.一种基于量子密钥的轻量化ibc双向身份认证系统，其特征在于，包括认证方、验证方、量子密钥无线应用系统和密钥生成中心；所述量子密钥无线应用系统和密钥生成中心相互配合，生成加密量子密钥和解密量子密钥，为认证方和验证方提供量子密钥服务；所述认证方与验证方通过无线通信方式实现身份认证信息交互，以及与量子密钥无线应用系统和密钥生成中心实现量子密钥交互。2.根据权利要求1所述的基于量子密钥的轻量化ibc双向身份认证系统，其特征在于，所述认证方和验证方均包含加密模块、解密模块和数据库。3.根据权利要求1所述的基于量子密钥的轻量化ibc双向身份认证系统，其特征在于，所述认证方生成身份标识，所述身份标识由终端位置、类型、属性、编号组成。4.根据权利要求1所述的基于量子密钥的轻量化ibc双向身份认证系统，其特征在于，所述身份标识构建，具体为：根据模型中的四种属性对终端设备进行抽象，再用字符“/”连接，得到的字符串就是终端设备的身份标识。5.根据权利要求1-4任一所述的基于量子密钥的轻量化ibc双向身份认证系统的认证方法，其特征在于，包括以下步骤：步骤1：认证方向量子密钥无线应用系统请求获得量子密钥；步骤2：量子密钥无线应用系统向密钥生成中心发送生成量子密钥的请求，密钥生成中心生成量子密钥并告知量子密钥无线应用系统；步骤3：量子密钥无线应用系统向认证方发送量子密钥已生成的信息；步骤4：认证方向密钥生成中心请求获取加密量子密钥，密钥生成中心向认证方发送加密量子密钥；步骤5：认证方生成身份标识,认证方的加密模块使用加密量子密钥对身份标识字段进行加密，得到加密的身份标识字段；步骤6：认证方向验证方发送加密的身份标识字段；步骤7：验证方向密钥生成中心请求获得解密量子密钥，密钥生成中心向验证方发送解密量子密钥；步骤8：验证方使用解密量子密钥对加密的身份标识字段进行解密，得到身份标识字段；步骤9：验证方将身份标识字段与其数据库模块中的身份标识信息进行比对；步骤10：验证方向密钥生成中心请求获取加密量子密钥，密钥生成中心向验证方发送加密量子密钥；步骤11：验证方使用加密量子密钥对身份认证成功信息进行加密，得到加密身份认证成功信息；步骤12：验证方向认证方发送加密的身份认证成功信息；步骤13：认证方向密钥生成中心请求获得解密量子密钥，密钥生成中心向认证方发送解密量子密钥；步骤14：认证方使用解密量子密钥对加密的身份认证成功信息进行解密，得到身份认证成功信息；步骤15：得到身份认证成功信息，存储至认证方数据库，完成认证方与验证方之间的双向身份认证流程。

技术总结
本发明涉及一种基于量子密钥的轻量化IBC双向身份认证系统，包括认证方、验证方、量子密钥无线应用系统和密钥生成中心；所述量子密钥无线应用系统和密钥生成中心相互配合，生成加密量子密钥和解密量子密钥，为认证方和验证方提供量子密钥服务；所述认证方与验证方通过无线通信方式实现身份认证信息交互，以及与量子密钥无线应用系统和密钥生成中心实现量子密钥交互。本发明对IBC认证技术进行改进与优化，从而降低身份认证过程冗余度，减少身份认证双方信息交互次数，同时身份认证全程量子密钥加密，不失安全性，更加适应在新型电力系统分布式新能源接入应用场景的广泛应用。式新能源接入应用场景的广泛应用。式新能源接入应用场景的广泛应用。


技术研发人员：陈斌 周晓东 王晟 殷自力 倪文书 张昊 陈泽文 卞宇翔 冯宝 张天兵 贾玮 孙圣武 郭子昕 吕超
受保护的技术使用者：国网福建省电力有限公司 南京南瑞国盾量子技术有限公司 南京南瑞信息通信科技有限公司
技术研发日：2022.03.07
技术公布日：2022/5/25