2. 专利技术
  3. 一种量子安全设备变更接入基站的方法和系统与流程

一种量子安全设备变更接入基站的方法和系统与流程

专利2023-07-02  84


1.本发明涉及信息安全技术领域,具体涉及一种量子安全设备变更接入基站的方法和系统。


背景技术:

2.信息安全是攻防两方不停斗争博弈中的动态平衡。由于信息及信息基础设施在现代社会的重要性所致,信息安全扮演着越来越重要的角色。随着信息安全要求的提高,量子加密技术逐渐进入大众的视野,通过量子加密技术能够实现更好的机密性保障。
3.例如在量子密钥加密技术中量子密钥分发所生成的安全密钥,除了原理上无条件安全的“一次一密”加密方式外,还可以与经典对称加密算法相结合,兼顾安全性与通信速率。
4.基于量子加密技术原理研发出的各种量子安全设备已经逐渐应用在政务网、智慧城市、大数据中心、智能汽车、轨道交通等多个领域中。量子安全设备在安装过程中需要与外部设备,例如基站、服务器和鉴权中心等进行组网通信。量子安全设备连接基站后需要进行进一步的密钥同步和中继等作业。其中,如何在量子安全设备将接入过的基站变更为另一基站时,对量子安全设备进行安全性认证,相关技术中还没有一种成熟的解决方案。如果在量子安全设备变更接入基站的过程中,网络中接入了不安全的设备,将会带来严重的安全隐患,为此有必要进一步提高量子安全设备在变更当前接入的基站时的安全性,以及后续老基站与新基站之间进行密钥传递时的可靠性。


技术实现要素:

5.为解决上述问题,本发明公开了一种量子安全设备变更接入基站的方法和系统。
6.本技术提供了一种量子安全设备变更接入基站的方法,应用于量子安全设备将接入的基站从第一基站变更至第二基站的场景,所述方法包括:
7.量子安全设备获取第二基站的ip地址,根据所述ip地址向所述第二基站发送接入请求,所述接入请求中携带有设备id、入网id和第一随机数;
8.所述第二基站接收所述接入请求,并向鉴权端发送携带有所述设备id的鉴权请求信息;
9.所述鉴权端接收所述鉴权请求信息,根据所述鉴权请求信息中携带的设备 id生成鉴权结果信息,并将所述鉴权结果信息返回至所述第二基站;
10.所述第二基站接收鉴权结果信息,根据所述鉴权结果信息确定是否允许所述量子安全设备从所述第一基站切换至第二基站。
11.进一步的,所述量子安全设备从所述第一基站切换至所述第二基站之前,在所述第一基站和所述量子安全设备内同步相同的密钥集,所述量子安全设备从所述第一基站切换至第二基站后还进行如下操作:
12.所述第二基站向所述第一基站发送入网id和第一随机数;
13.所述第一基站根据所述入网id查找并确定密钥集,并在密钥集存在时,生成第二随机数,从所述第一基站内的密钥集中选择一者作为第一密钥,通过该第一密钥加密所述第一随机数形成第一加密数据,加密所述第二随机数生成第二加密数据,再通过所述第二基站向所述量子安全设备发送第一加密数据、第二加密数据和携带有第一密钥索引信息的第一密钥标识;
14.所述量子安全设备接收第一加密数据、第二加密数据和第一密钥标识,根据第一密钥标识确定第一密钥以解密第一加密数据并校验其是否与第一随机数相同,并在校验结果为相同时,从量子安全设备内存储的密钥集中选择一者作为第二密钥,通过该第二密钥加密第二随机数形成第三加密数据,并向所述第二基站发送所述第三加密数据和携带有第二密钥索引信息的第二密钥标识,所述第二密钥与所述第一密钥不相同;
15.所述第二基站接收所述第三加密数据和第二密钥标识,并向所述第一基站发送所述第三加密数据和第二密钥标识;
16.所述第一基站接收所述第三加密数据和第二密钥标识,根据所述第二密钥标识在其存储的密钥集中确定第二密钥以解密第三加密数据并验证其是否与第二随机数相同以生成校验结果信息,并在校验结果信息标识为校验通过时向所述第一基站传输密钥集;
17.所述第二基站向所述量子安全设备发送密钥集获取结果信息。
18.进一步的,所述量子安全设备通过所述第一基站获取所述第二基站的ip地址。
19.本技术还提供了一种量子安全设备变更接入基站的系统,该系统包括量子安全设备、第一基站、鉴权中心和第二基站,所述量子安全设备与所述第一基站内预置有相同的密钥集;
20.所述第一基站用于向所述量子安全设备发送所述第二基站的ip地址;
21.所述量子安全设备用于接收所述ip地址,并根据所述ip地址向所述第二基站发送接入请求和所述量子安全设备对应的设备id;
22.所述第二基站用于接收所述接入请求和设备id,以及向所述鉴权中心发送所述设备id;接收来自鉴权中心的鉴权结果信息,并根据所述鉴权结果信息确定是否响应所述接入请求;
23.所述鉴权中心用于存储安全设备名单,接收所述量子安全设备发送的设备 id,校验所述设备id是否处于所述安全设备名单中并生成鉴权结果信息,以及向所述第二基站发送所述鉴权结果信息。
24.进一步的,所述量子安全设备还用于生成用于发送至所述第一基站的第一随机数,接收来自所述第一基站的关键数据,所述关键数据携带有通过第一密钥加密所述第一随机数后得到的第一加密数据和用于指示所述第一密钥索引位置的第一密钥标识,再根据所述第一密钥标识确定第一密钥以解密所述第一加密数据并校验是否与第一随机数相同并生成用于发送至第一基站的量子安全设备校验结果信息;
25.所述第一基站用于接收所述第一随机数;生成用于发送至量子安全设备的关键数据;以及接收量子安全设备校验结果信息,根据所述量子安全设备校验结果信息确定是否允许向所述第二基站传输所述密钥集。
26.进一步的,所述第一基站还用于生成第二随机数,通过所述第一密钥加密第二随机数得到第二加密数据;以及接收来自量子安全设备的第二密钥标识、第三加密数据,根据
第二密钥标识在所述第一基站内存储的密钥集中查找得到的所述第二密钥以解密第三加密数据,验证解密后的第三加密数据是否与第二随机数相同,并基于该验证结果和接收到的量子安全设备校验结果信息,确定是否允许向所述第二基站传输所述密钥集;其中,若所述验证结果和接收到的量子安全设备校验结果信息均标识为相同,则允许向所述第二基站传输所述密钥集,否则拒绝向第二基站传输所述密钥集;
27.所述量子安全设备还用于接收第二加密数据,根据第一密钥标识从存储的密钥集中查找得到的所述第一密钥以解密第二加密数据得到第二随机数,再从存储的密钥集中选择另一者作为第二密钥,生成携带有第二密钥的索引信息的第二密钥标识,通过第二密钥加密所述第二随机数以生成第三加密数据,并向所述第一基站发送第二密钥标识及第三加密数据。
28.进一步的,所述第二基站具体用于在所述量子安全设备与第一基站之间传输:第一随机数、关键数据、校验结果信息、第二加密数据、第二密钥标识和第三加密数据中的一种或多种。
29.进一步的,所述量子安全设备、第一基站及第二基站均内置有真随机数发生器,所述第一随机数由量子安全设备从其本地的真随机数发生器获取,所述第二随机数由第一基站从其本地的真随机数发生器获取。
30.进一步的,所述量子安全设备还用于向所述第二基站发送入网id;所述第二基站还用于接收所述入网id,并向所述第一基站发送入网id;所述第一基站还用于根据所述入网id确定是否存在所述量子安全设备内对应的密钥集。
31.相对于现有技术,本发明的有益效果为:本技术的方法可使量子安全设备从第一基站安全快速的切换至第二基站;本技术的系统包括量子安全设备、第一基站、鉴权中心和第二基站;其中量子安全设备在接入第二基站后,量子安全设备先获取一个本地随机数,再发送至先前接入过的第一基站,由第一基站从其存储的密钥集中选择一者作为第一密钥来加密由量子安全设备生成的随机数,以形成加密数据,再返回至量子安全设备,量子安全设备根据密钥标识从自己存储的密钥集中确定解密密钥,解密上述加密数据并验证其是否与自己生成的随机数相同,以此对第二基站与第一基站之间的密钥同步进行鉴权和认证;该过程中产生的随机数,外界难以对其进行生成仿冒,加密密钥从量子安全设备和第一基站之间同步过的密钥集中选取,双方的加密密钥不存在对应关系时,则后续的验证难以通过,因此非连接过的设备难以通过认证,从而以简单高效的方式提高了后续基站在同步密钥集时的安全性和可靠性。
附图说明
32.图1为本技术实施例中的量子安全设备变更接入基站的时序图;
33.图2为本技术实施例中的量子安全设备变更接入基站的系统框图;
34.图3为本技术实施例中的一种量子安全设备变更接入基站的流程示意图;
35.图4为本技术实施例中的另一种量子安全设备变更接入基站的流程示意图。
具体实施方式
36.为了使本技术的目的、技术方案和优点更加清楚,下面将结合附图本技术作进一
步地详细描述,显然,所描述的实施例仅是本技术的一部分实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本技术保护的范围。
37.实施例1:一种量子安全设备变更接入基站的方法,应用于量子安全设备将接入的基站从第一基站变更至第二基站的场景,所述方法包括:
38.量子安全设备获取第二基站的ip地址,根据所述ip地址向所述第二基站发送接入请求,所述接入请求中携带有设备id、入网id和第一随机数;该步骤中,量子安全设备在准备由第一基站切换至第二基站时,通过第一基站向量子安全设备发送待变更的第二基站的ip地址;在一种可能的实施方式中,所述量子安全设备可以通过基站服务器获取第二基站的ip地址,例如基站服务器可以根据各基站的负载、距离等分配策略为该量子安全设备分配相应的基站并将该基站的ip 地址发送给量子安全设备。除此之外也可以由人工输入第二基站的ip地址;为提高第一随机数传输时的安全性,第一随机数可以通过密钥加密后再发送,具体的加密密钥可以为量子安全设备与第一基站同步过的密钥;
39.所述第二基站接收所述接入请求,并向鉴权端发送携带有所述设备id的鉴权请求信息;
40.所述鉴权端接收所述鉴权请求信息,根据所述鉴权请求信息中携带的设备 id生成鉴权结果信息,并将所述鉴权结果信息返回至所述第二基站;鉴权端根据其存储的安全设备名单,判断上述鉴权时携带的设备id是否处于所述安全设备名单中,若处于安全设备名单中时,则生成的鉴权结果信息标识为鉴权成功,否则生成的鉴权结果信息标识为鉴权失败;
41.所述第二基站接收鉴权结果信息,根据所述鉴权结果信息确定是否允许所述量子安全设备从所述第一基站切换至第二基站,具体的在鉴权结果信息标识为鉴权成功时才允许量子安全设备接入第二基站。
42.所述量子安全设备从所述第一基站切换至所述第二基站之前,在所述第一基站和所述量子安全设备内同步过相同的密钥集,所述量子安全设备从所述第一基站切换至第二基站后还进行如下操作:
43.所述第二基站向所述第一基站发送入网id和第一随机数;
44.所述第一基站根据所述入网id查找并确定密钥集,并在密钥集存在时,生成第二随机数,从所述第一基站内的密钥集中选择一者作为第一密钥,通过该第一密钥加密所述第一随机数形成第一加密数据,加密所述第二随机数生成第二加密数据,再通过所述第二基站向所述量子安全设备发送第一加密数据、第二加密数据和携带有第一密钥索引信息的第一密钥标识;
45.所述量子安全设备接收第一加密数据、第二加密数据和第一密钥标识,根据第一密钥标识确定第一密钥以解密第一加密数据并校验其是否与第一随机数相同,并在校验结果为相同时,从量子安全设备内存储的密钥集中选择一者作为第二密钥,通过该第二密钥加密第二随机数形成第三加密数据,并向所述第二基站发送所述第三加密数据和携带有第二密钥索引信息的第二密钥标识,其中,所述第二密钥与所述第一密钥不相同,以避免采用同一密钥反复加密验证的情况;
46.所述第二基站接收所述第三加密数据和第二密钥标识,并向所述第一基站发送所
述第三加密数据和第二密钥标识;
47.所述第一基站接收所述第三加密数据和第二密钥标识,根据所述第二密钥标识在其存储的密钥集中确定第二密钥以解密第三加密数据并验证其是否与第二随机数相同以生成校验结果信息,并在校验结果信息标识为校验通过时向所述第一基站传输密钥集;
48.所述第二基站向所述量子安全设备发送密钥集获取结果信息。
49.上述选取第一密钥和第二密钥的过程中,可按序选取,例如存储顺序或时间顺序等。
50.本实施例中量子安全设备100将接入的第一基站200变更为第二基站300 时,具体包括如下步骤:该步骤中,生成的第一随机数记为随机数a,生成的第二随机数记为随机数b;
51.s101:第二基站300向量子安全设备100发送第二基站300的ip地址;
52.s101:量子安全设备100根据ip地址向第二基站300发送接入请求,所述接入请求中携带有设备id、入网id以及从本地真随机数发生器获取的随机数a;
53.s102:第二基站300接收接入请求,并向鉴权中心400发送携带有所述设备 id的鉴权请求信息;
54.s103:鉴权中心400接收鉴权请求信息,根据鉴权请求信息中的设备id校验其是否处于安全设备名单中以生成鉴权结果信息,其中,若处于安全设备名单中时,则生成的鉴权结果信息标识为鉴权成功,否则生成的鉴权结果信息标识为鉴权失败;并向第二基站300返回鉴权结果信息;
55.s104:第二基站300接收来自鉴权中心400的鉴权结果信息,若鉴权结果信息标识为鉴权成功时,允许量子安全设备接入,并将入网id和随机数a发送至第一基站200;若鉴权结果信息标识为鉴权失败时,将鉴权结果信息发送至量子安全设备100,并拒绝量子安全设备100的接入,不再执行后续步骤;
56.s105:第一基站200接收入网id和随机数a,根据设备id,查找确定对应的密钥集存储位置,若存在密钥集,则从本地的真随机数发生器获取一个随机数 b,并从查找到的密钥集中任意选择一者作为第一密钥,通过该第一密钥加密随机数a得到第一加密数据,加密随机数b得到第二加密数据,并生成记录有第一密钥索引信息的第一密钥标识,再将上述第一加密数据、第二加密数据以及第一密钥标识发送至第二基站300;若判断设备id不存在对应的密钥集,则表示第一基站200鉴权不通过,生成第一基站首次鉴权信息,并将其通过第二基站 300发送至量子安全设备100;
57.s106:第二基站300接收来自第一基站200的第一加密数据、第二加密数据、第一密钥标识,并将第一加密数据、第二加密数据、第一密钥标识发送至量子安全设备100;
58.s107:量子安全设备100在接收第一加密数据、第二加密数据、第一密钥标识后,根据第一密钥标识在其存储的密钥集中确定用于解密的密钥,解密第一加密数据得到第一明文,解密第二加密数据形成第二明文,校验第一明文是否与自己的随机数a相同,并在校验结果为相同时,从量子安全设备100内存储的密钥集中选择其它任意一者作为第二密钥,生成携带有第二密钥索引关系的第二密钥标识,通过该第二密钥加密第二明文生成第三加密数据,并向第二基站300 发送第二密钥标识及第三加密数据;
59.s108:第二基站300接收来自量子安全设备100的第二密钥标识及第三加密数据,
并向第一基站200发送第二密钥标识及第三加密数据;
60.s109:第一基站200接收第二密钥标识及第三加密数据;根据第二密钥标识在其存储的密钥集中确定解密密钥,以解密第三加密数据,并验证解密后的第三加密数据是否与自己的随机数b相同,并在验证结果为相同时向第二基站300 传输与量子安全设备100相对应密钥集,如果验证结果为不相同,则拒绝第二基站300下载密钥集;
61.s110:第二基站300向量子安全设备100发送密钥集获取结果信息。
62.密钥集获取结果信息用于指示第二基站300是否与第一基站200之间完成密钥集的传输。
63.实施例2:一种量子安全设备变更接入基站的系统,应用于量子安全设备先接入某一基站,并与该基站进行密钥同步作业后,再将接入的基站变更为其它基站的场景;该系统包括量子安全设备、第一基站、鉴权中心和第二基站,所述量子安全设备与所述第一基站内预置有相同的密钥集;其中第一基站为量子安全设备接入过的基站,第二基站为量子安全设备准备接入的基站;
64.本系统中,量子安全设备主要指利用量子加密技术进行通信的设备,它至少包括一个外部通信接口和用于数据加解密的量子加解密装置;例如中国专利申请号为cn.201020537240.2的专利文件提供的一种基于量子密钥的网络加密机;
65.密钥集由多个用于加密或解密的量子密钥构成,量子密钥具体通过现有量子密钥生成装置生成;在密钥集的量子密钥剩余量不足时,可通过相应的密钥分发设备进行补充更新;
66.第一基站在实际使用中,通常存储有多个量子安全设备密钥集,在寻找密钥集位置时可以根据量子安全设备的设备id来确定对应的密钥集的存储位置;
67.所述第一基站用于向所述量子安全设备发送所述第二基站的ip地址;
68.所述量子安全设备用于接收所述ip地址,并根据所述ip地址向所述第二基站发送接入请求和所述量子安全设备对应的设备id;
69.所述第二基站用于接收所述接入请求和设备id,以及向所述鉴权中心发送所述设备id;接收来自鉴权中心的鉴权结果信息,并根据所述鉴权结果信息确定是否响应所述接入请求;
70.所述鉴权中心用于存储安全设备名单,接收所述量子安全设备发送的设备id,校验所述设备id是否处于所述安全设备名单中并生成鉴权结果信息,以及向所述第二基站发送所述鉴权结果信息。
71.除此之外,所述量子安全设备还用于生成用于发送至所述第一基站的第一随机数,接收来自所述第一基站的关键数据,所述关键数据携带有通过第一密钥加密所述第一随机数后得到的第一加密数据和用于指示所述第一密钥索引位置的第一密钥标识,再根据所述第一密钥标识确定第一密钥以解密所述第一加密数据并校验是否与第一随机数相同并生成用于发送至第一基站的量子安全设备校验结果信息;
72.具体的,量子安全设备、第一基站及第二基站均内置有真随机数发生器,第一随机数由量子安全设备从其本地的真随机数发生器获取,下述的第二随机数由第一基站从其本地的真随机数发生器获取;第一随机数及第二随机数均能够实时生成,且每次生成的随机数均不相同,并且不可预测;其中,真随机数发生器可以为中国专利申请号为
cn.201410478930.8的专利文件中涉及的真随机数发生器。
73.所述第一基站用于接收所述第一随机数;生成用于发送至量子安全设备的关键数据;以及接收量子安全设备校验结果信息,根据所述量子安全设备校验结果信息确定是否允许向所述第二基站传输所述密钥集;其中,若第一加密数据解密后得到的明文与第一随机数相同时,上述量子安全设备校验结果信息标识为通过,反之量子安全设备校验结果信息标识为不通过;在量子安全设备校验结果信息标识为通过时第一基站允许向第二基站传输密钥集;反之在校验结果信息标识为不通过时,第一基站拒绝向第二基站传输密钥集;
74.该过程中产生的随机数是完全随机的,外界无法提前获取知晓,也难以对其进行仿冒,加密密钥从量子安全设备和第一基站之间同步过的密钥集中选取,双方的加密密钥不存在对应关系时,则后续量子安全设备或第一基站无法正确解密并校验随机数,使得后续的验证难以通过,因此非连接过的设备难以通过认证;且认证过程中,只传输加密密钥的标识即密钥的索引信息,即便发生泄露被外部获取,也难以根据密钥索引信息来确定加密密钥,从而大大提高了后续基站下载同步密钥集时的安全性和可靠性。
75.上述过程还可参见图3中s201-s204的流程图。
76.实施例3:与实施例2不同的是为了进一步提高量子安全设备在从第一基站向第二基站变更过程中第二基站同步量子安全设备内对应的密钥集的安全性;
77.所述第一基站还用于生成第二随机数,通过所述第一密钥加密第二随机数得到第二加密数据;以及接收来自量子安全设备的第二密钥标识、第三加密数据,根据第二密钥标识在所述第一基站内存储的密钥集中查找得到的所述第二密钥以解密第三加密数据,验证解密后的第三加密数据是否与第二随机数相同,并基于该验证结果和接收到的量子安全设备校验结果信息,确定是否允许向所述第二基站传输所述密钥集;其中,若所述验证结果和接收到的量子安全设备校验结果信息均标识为相同,则允许向所述第二基站传输所述密钥集,否则拒绝向第二基站传输所述密钥集;
78.所述量子安全设备还用于接收第二加密数据,根据第一密钥标识从存储的密钥集中查找得到的所述第一密钥以解密第二加密数据得到第二随机数,再从存储的密钥集中选择另一者作为第二密钥,生成携带有第二密钥的索引信息的第二密钥标识,通过第二密钥加密所述第二随机数以生成第三加密数据,并向所述第一基站发送第二密钥标识及第三加密数据;
79.第二基站将量子安全设备生成第二加密数据,发送至第一基站载通过第一基站进行二次解密验证,在和之前的量子安全设备校验结果信息均标识为相同时才允许向所述第二基站传输所述密钥集,否则拒绝向第二基站传输所述密钥集,从而通过双重验证的方式进一步提高了,第一基站向第二基站时的安全性和可靠性;
80.上述过程中,所述第二基站具体用于在所述量子安全设备与第一基站之间传输:第一随机数、关键数据、校验结果信息、第二加密数据、第二密钥标识和第三加密数据中的一种或多种。
81.所述第二随机数的生成方式同实施例2中所述。
82.此外,所述量子安全设备还用于向所述第二基站发送入网id;所述第二基站还用于接收所述入网id,并向所述第一基站发送入网id;所述第一基站还用于根据所述入网id确定是否存在所述量子安全设备内对应的密钥集;第二基站在向鉴权中心发送设备id的同
时,还向鉴权中心发送入网id,鉴权中心在鉴权成功时,对量子安全设备的入网id进行记录,以便于让服务商知道量子安全设备当前接入在哪个基站。
83.在第一基站与第二基站完成密钥集的传输后,第一基站还对其存储的与量子安全设备所对应的密钥集执行删除操作,以避免被其它设备获取,增加泄露风险。
84.上述过程还可参见图4中s301-s307的流程图。

技术特征:
1.一种量子安全设备变更接入基站的方法,应用于量子安全设备将接入的基站从第一基站变更至第二基站的场景,其特征在于:所述方法包括:量子安全设备获取第二基站的ip地址,根据所述ip地址向所述第二基站发送接入请求,所述接入请求中携带有设备id、入网id和第一随机数;所述第二基站接收所述接入请求,并向鉴权端发送携带有所述设备id的鉴权请求信息;所述鉴权端接收所述鉴权请求信息,根据所述鉴权请求信息中携带的设备id生成鉴权结果信息,并将所述鉴权结果信息返回至所述第二基站;所述第二基站接收鉴权结果信息,根据所述鉴权结果信息确定是否允许所述量子安全设备从所述第一基站切换至第二基站。2.根据权利要求1所述的变更量子安全设备接入基站的方法,其特征在于:所述量子安全设备从所述第一基站切换至所述第二基站之前,在所述第一基站和所述量子安全设备内同步相同的密钥集,所述量子安全设备从所述第一基站切换至第二基站后还进行如下操作:所述第二基站向所述第一基站发送入网id和第一随机数;所述第一基站根据所述入网id查找并确定密钥集,并在密钥集存在时,生成第二随机数,从所述第一基站内的密钥集中选择一者作为第一密钥,通过该第一密钥加密所述第一随机数形成第一加密数据,加密所述第二随机数生成第二加密数据,再通过所述第二基站向所述量子安全设备发送第一加密数据、第二加密数据和携带有第一密钥索引信息的第一密钥标识;所述量子安全设备接收第一加密数据、第二加密数据和第一密钥标识,根据第一密钥标识确定第一密钥以解密第一加密数据并校验其是否与第一随机数相同,并在校验结果为相同时,从量子安全设备内存储的密钥集中选择一者作为第二密钥,通过该第二密钥加密第二随机数形成第三加密数据,并向所述第二基站发送所述第三加密数据和携带有第二密钥索引信息的第二密钥标识,所述第二密钥与所述第一密钥不相同;所述第二基站接收所述第三加密数据和第二密钥标识,并向所述第一基站发送所述第三加密数据和第二密钥标识;所述第一基站接收所述第三加密数据和第二密钥标识,根据所述第二密钥标识在其存储的密钥集中确定第二密钥以解密第三加密数据并验证其是否与第二随机数相同以生成校验结果信息,并在校验结果信息标识为校验通过时向所述第一基站传输密钥集;所述第二基站向所述量子安全设备发送密钥集获取结果信息。3.根据权利要求1所述的变更量子安全设备接入基站的方法,其特征在于:所述量子安全设备通过基站服务器获取第二基站的ip地址。4.一种量子安全设备变更接入基站的系统,其特征在于:所述系统包括量子安全设备、第一基站、鉴权中心和第二基站,所述量子安全设备与所述第一基站内预置有相同的密钥集;所述第一基站用于向所述量子安全设备发送所述第二基站的ip地址;所述量子安全设备用于接收所述ip地址,并根据所述ip地址向所述第二基站发送接入请求和所述量子安全设备对应的设备id;
所述第二基站用于接收所述接入请求和设备id,以及向所述鉴权中心发送所述设备id;接收来自鉴权中心的鉴权结果信息,并根据所述鉴权结果信息确定是否响应所述接入请求;所述鉴权中心用于存储安全设备名单,接收所述量子安全设备发送的设备id,校验所述设备id是否处于所述安全设备名单中并生成鉴权结果信息,以及向所述第二基站发送所述鉴权结果信息。5.根据权利要求4所述的量子安全设备变更接入基站的系统,其特征在于:所述量子安全设备还用于生成用于发送至所述第一基站的第一随机数,接收来自所述第一基站的关键数据,所述关键数据携带有通过第一密钥加密所述第一随机数后得到的第一加密数据和用于指示所述第一密钥索引位置的第一密钥标识,再根据所述第一密钥标识确定第一密钥以解密所述第一加密数据并校验是否与第一随机数相同并生成用于发送至第一基站的量子安全设备校验结果信息;所述第一基站用于接收所述第一随机数;生成用于发送至量子安全设备的关键数据;以及接收量子安全设备校验结果信息,根据所述量子安全设备校验结果信息确定是否允许向所述第二基站传输所述密钥集。6.根据权利要求5所述的量子安全设备变更接入基站的系统,其特征在于:所述第一基站还用于生成第二随机数,通过所述第一密钥加密第二随机数得到第二加密数据;以及接收来自量子安全设备的第二密钥标识、第三加密数据,根据第二密钥标识在所述第一基站内存储的密钥集中查找得到的所述第二密钥以解密第三加密数据,验证解密后的第三加密数据是否与第二随机数相同,并基于该验证结果和接收到的量子安全设备校验结果信息,确定是否允许向所述第二基站传输所述密钥集;其中,若所述验证结果和接收到的量子安全设备校验结果信息均标识为相同,则允许向所述第二基站传输所述密钥集,否则拒绝向第二基站传输所述密钥集;所述量子安全设备还用于接收第二加密数据,根据第一密钥标识从存储的密钥集中查找得到的所述第一密钥以解密第二加密数据得到第二随机数,再从存储的密钥集中选择另一者作为第二密钥,生成携带有第二密钥的索引信息的第二密钥标识,通过第二密钥加密所述第二随机数以生成第三加密数据,并向所述第一基站发送第二密钥标识及第三加密数据。7.根据权利要求6所述的量子安全设备变更接入基站的系统,其特征在于:所述第二基站具体用于在所述量子安全设备与第一基站之间传输:第一随机数、关键数据、校验结果信息、第二加密数据、第二密钥标识和第三加密数据中的一种或多种。8.根据权利要求6所述的量子安全设备变更接入基站的系统,其特征在于:所述量子安全设备、第一基站及第二基站均内置有真随机数发生器,所述第一随机数由量子安全设备从其本地的真随机数发生器获取,所述第二随机数由第一基站从其本地的真随机数发生器获取。9.根据权利要求6所述的量子安全设备变更接入基站的系统,其特征在于:所述量子安全设备还用于向所述第二基站发送入网id;所述第二基站还用于接收所述入网id,并向所述第一基站发送入网id;所述第一基站还用于根据所述入网id确定是否存在所述量子安全设备内对应的密钥集。

技术总结
本发明公开了一种量子安全设备变更接入基站的方法和系统,本申请的方法中量子安全设备在将接入的第一基站变更为第二基站时,量子安全设备先获取第二基站的IP地址,根据所述IP地址向所述第二基站发送接入请求,所述接入请求中携带有设备ID、入网ID和第一随机数;再发送至之前接入的第一基站,由第一基站从其存储的密钥集中选取一者加密该随机数形成加密数据,量子安全设备解密上述加密数据,以此校验解密后的加密数据是否与自己生成的随机数相同进行认证;该过程中产生的随机数,外界难以对其进行生成仿冒,因此非连接过的设备难以通过认证,从而以简单高效的方式提高了后续基站在同步密钥集时的安全性和可靠性。在同步密钥集时的安全性和可靠性。在同步密钥集时的安全性和可靠性。


技术研发人员:傅波海 杨鸽 张仕峰
受保护的技术使用者:矩阵时光数字科技有限公司
技术研发日:2022.07.25
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-3640.html

专利

最新回复(0)