[发明专利]一种量子安全网络设备间网络信令的认证方法

说明书

技术领域

本发明涉及量子安全通信网络，具体涉及量子安全通信网络中网络通信终端设备间通信信令的认证方法。

背景技术

安全性是通信网络中重要的评价指标，密码学为安全通信提供了有力保证。传统密码学基于数学算法的计算复杂度，不能保证密钥的绝对安全。量子密码学，利用量子力学的基本原理来保证密码绝对安全：任何对量子系统的测量都会对系统产生干扰，如果有第三方试图窃听密码，必须用某种方式测量它，其测量会带来可察觉的异常，通信的双方便会知道，这是量子密码一个最重要也是最独特的性质。

量子安全网络是采用量子密码的一种安全通信网络。如图1所示，量子安全网络是由量子通信网络和经典通信网络共同构建而成。量子通信网络主要由QKD（quantum key distribution，量子密钥分配）终端设备和量子信道组成，用于产生和分发密钥，并不传输任何实质的信息，密钥可通过某些加密算法来加密信息，信息的加密、解密和传输都在经典通信网络中进行。

在量子安全网络中，除了传递业务信息外，还有相当一部分信息通过经典通信网络在网络设备之间流动，这部分信息不是传递给用户的声音、图像或文字等与具体业务有关的信号，而是在通信设备之间传递的控制信号，如占用、释放、设备忙闲状态等，这些控制信号均属于信令。简而言之，信令是通信设备（包括用户终端，交换设备等）之间传递的除业务信息以外的控制信号。由于网络设备之间的信令通信是在经典通信网络中进行的，这就为传统的网络攻击方式——假冒欺骗、篡改、重放、DDoS等攻击方式提供了可能性。由于信令通信具有重复性，而且通讯信令是一个有限的数据集，因此不能像对待应用数据通信一样采用量子密钥进行简单加密，否则会泄露密钥信息。实现信令安全通信的可靠方式是对通信信令进行安全认证，确认设备接收到的信令是合法用户发送的有用信令。基于量子密钥的量子特性，量子安全网络中信令认证方法与传统通信网络中信令认证方法有所不同，并具有绝对安全保证。量子安全网络一次一密的密钥机制使得密钥不能被破解，加密数据不能够被有效自行构建，攻击者唯一可有效利用的只有截获的加密数据。重放攻击是量子安全网络应该重点防御的一种攻击方式。

在说明发明内容之前，将本发明所使用的术语说明如下：

信令密钥库：通信双方用于信令认证的量子密钥库。

同步量子密钥库：如果通信双方的量子密钥库中的对应密钥数据是由同一条量子信道生成的相同数据，则称双方的量子密钥库是同步的，双方的量子密钥库为同步量子密钥库。

HMAC：密钥相关的哈希运算消息认证码（keyed-Hash Message Authentication Code）,HMAC运算利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。本发明中我们将使用密钥K、使用算法T、认证数据为D的密钥相关的哈希运算消息认证码表示为HMAC(D,K;T)，在算法T确定或不特别强调算法的情况下表示为HMAC(D,K)。

发明内容

本发明提出了一种基于设备间同步量子密钥库实现量子安全网络设备间信令认证的方法。本方法可有效抵御一些经典信令攻击方式，比如假冒信令攻击、信令篡改、重放信令攻击等，对DDoS攻击也有一定的防御作用。

本发明的技术方案如下所述：一种量子安全网络设备间网络信令的认证方法，包括如下处理过程：

步骤一：在通信的网络设备之间创建用于双方信令认证的同步信令密钥库，将同步信令密钥库划分为加密信令密钥库和解密信令密钥库，为每一个加密信令密钥库和解密信令密钥库均设置读指针和写指针；

步骤二：发送端网络设备基于其加密信令密钥库的密钥数据和读指针偏移地址，计算密钥相关的哈希运算消息认证码，并发送相应的信令数据包至接收端网络设备；

步骤三：接收端网络设备接收所述信令数据包，获得其中的读指针偏移地址，并判断其解密信令密钥库的该读指针偏移地址处的密钥数据是否被使用过；若所述密钥数据未被使用，则计算密钥相关的哈希运算消息认证码，验证所述信令数据包中的内容。

作为本发明的进一步具体的方案，所述同步信令密钥库为同步量子密钥库；所述同步量子密钥库中的密钥数据为网络设备通信双方之间由量子信道生成的相同数据；所述网络设备通信双方之间的同步信令密钥库是指，一方的加密信令密钥库与另一方的解密信令密钥库同步。