[发明专利]一种量子安全网络设备间网络信令的认证方法

权利要求书

1.一种量子安全网络设备间网络信令的认证方法，其特征在于，包括如下处理过程：

步骤一：在通信的网络设备之间创建用于双方信令认证的同步信令密钥库，将同步信令密钥库划分为加密信令密钥库和解密信令密钥库，为每一个加密信令密钥库和解密信令密钥库均设置读指针和写指针；

步骤二：发送端网络设备基于其加密信令密钥库的密钥数据和读指针偏移地址，计算密钥相关的哈希运算消息认证码，并发送相应的信令数据包至接收端网络设备；

步骤三：接收端网络设备接收所述信令数据包，获得其中的读指针偏移地址，并判断其解密信令密钥库的该读指针偏移地址处的密钥数据是否被使用过；若所述密钥数据未被使用，则计算密钥相关的哈希运算消息认证码，验证所述信令数据包中的内容。

2.如权利要求1所述的一种量子安全网络设备间网络信令的认证方法，其特征在于：所述同步信令密钥库为同步量子密钥库；所述同步量子密钥库中的密钥数据为网络设备通信双方之间由量子信道生成的相同数据；所述网络设备通信双方之间的同步信令密钥库是指，一方的加密信令密钥库与另一方的解密信令密钥库同步。

3.如权利要求1所述的一种量子安全网络设备间网络信令的认证方法，其特征在于：所述每一个信令密钥库的读指针用于标记未使用密钥的初始地址位置；所述每一个信令密钥库的写指针用于标记更新密钥结束的地址位置；所述每个指针沿着各自密钥库的存储区域按照地址顺序移动。

4.如权利要求1所述的一种量子安全网络设备间网络信令的认证方法，其特征在于，所述步骤二中发送端网络设备计算密钥相关的哈希运算消息认证码的具体方法如下：

发送端网络设备在发送信令数据时，获取此时与接收端网络设备同步的加密信令密钥库的读指针相对于该密钥库首地址的偏移地址，并从该加密信令密钥库的所述读指针偏移地址处读取约定长度的密钥数据作为认证的加密密钥，将所述信令数据和读指针偏移地址作为需要认证的消息数据，使用所述加密密钥按照约定的算法计算所述消息数据的密钥相关的哈希运算消息认证码。

5.如权利要求4所述的一种量子安全网络设备间网络信令的认证方法，其特征在于：进一步地，发送端网络设备将装有所述信令数据、读指针偏移地址和密钥相关的哈希运算消息认证码的信令数据包发送给接收端网络设备，同时将所述加密信令密钥库的读指针指向的位置后移约定长度；如果所述移动后的加密信令密钥库的读指针与该密钥库的末端地址之间的密钥数据的长度不足约定长度，则将该读指针指向此加密信令密钥库的首地址。

6.如权利要求5所述的一种量子安全网络设备间网络信令的认证方法，其特征在于，所述步骤三中接收端网络设备判断密钥数据是否被使用过的具体方法如下： 

接收端网络设备接收装有信令数据、读指针偏移地址和密钥相关的哈希运算消息认证码的信令数据包；获取此时与发送端网络设备同步的解密信令密钥库的读指针相对于该密钥库首地址的偏移地址，比较该读指针偏移地址和所述信令数据包中的读指针偏移地址；如果两者不同，且所述解密信令密钥库中的由所述信令数据包中的读指针偏移地址所指向的位置，不处于从该密钥库的读指针偏移地址开始沿着其读指针移动的方向到其写指针的区域之内，则判断该解密信令密钥库中的由所述信令数据包中的读指针偏移地址所指向的密钥数据已被使用，抛弃所述信令数据包；否则，判断所述密钥数据未被使用。 

7.如权利要求6所述的一种量子安全网络设备间网络信令的认证方法，其特征在于：进一步地，如果所述解密信令密钥库中的由所述信令数据包中的读指针偏移地址所指向的密钥数据未被使用，则从所述解密信令密钥库的该读指针偏移地址处读取约定长度的密钥数据，使用此密钥数据按照约定的算法，计算由所述信令数据包中的信令数据和读指针偏移地址所组成的消息数据的密钥相关的哈希运算消息认证码；比较该计算得到的密钥相关的哈希运算消息认证码和所述信令数据包中的密钥相关的哈希运算消息认证码，如果两者不相等，则信令认证失败，抛弃所述信令数据包；如果两者相等，则信令认证成功，同时将所述解密信令密钥库的读指针指向该密钥库中的由所述信令数据包中的读指针偏移地址所指向的位置，再后移约定长度；如果所述移动后的解密信令密钥库的读指针与该密钥库的末端地址之间的密钥数据的长度不足约定长度，则将该读指针指向此解密信令密钥库的首地址。