本發(fā)明涉及保密通信技術(shù)領(lǐng)域，尤其涉及一種量子保密通信可信組網(wǎng)認(rèn)證方法和系統(tǒng)。

背景技術(shù)：

量子保密通信是以量子密鑰分發(fā)技術(shù)為基礎(chǔ)的加密通信技術(shù)。量子密鑰分發(fā)利用單光子不可分割、量子態(tài)不可復(fù)制的特性實(shí)現(xiàn)通信雙方間的安全密鑰分配，解決了對稱加密算法中密鑰分配的安全性問題。和傳統(tǒng)加密通信技術(shù)不同，量子保密通信的安全性由量子物理原則保障，它是至今為止唯一得到嚴(yán)格證明的，能從原理上確保通信無條件安全的加密通信技術(shù)。

現(xiàn)有的量子保密通信首先對量子信號源進(jìn)行調(diào)制、測量和比對，通信雙方建立安全密鑰，隨后通過采用一次一密加密體制加密并傳送密文，形成安全通信。然而，其僅確保了通信雙方的安全性，并沒有考慮可信性。結(jié)合金融、銀行、能源等行業(yè)信息通信系統(tǒng)組網(wǎng)模式的多樣性和復(fù)雜性，存在身份欺騙的風(fēng)險，比如a節(jié)點(diǎn)可冒充b節(jié)點(diǎn)向c節(jié)點(diǎn)發(fā)密鑰。因此，需要在通信雙方協(xié)商生成密鑰前，對量子網(wǎng)絡(luò)組件身份進(jìn)行認(rèn)證。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明提供了一種量子保密通信可信組網(wǎng)認(rèn)證方法，通過對各個量子組件頒發(fā)數(shù)字證書，有效解決了各組件之間的身份認(rèn)證問題，提高了量子保密通信的安全性。

本發(fā)明提供了一種量子保密通信可信組網(wǎng)認(rèn)證方法，所述方法包括：

在第一電子設(shè)備量子網(wǎng)關(guān)與第二電子設(shè)備量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求；

基于接收到的所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求，根據(jù)預(yù)先頒發(fā)的數(shù)字證書進(jìn)行身份認(rèn)證；

當(dāng)所述第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，所述第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰。

優(yōu)選地，所述當(dāng)所述第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，所述第一電子設(shè)備和第二電子設(shè)備之間生成量子密鑰后，還包括：

判斷所述第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期；

當(dāng)所述第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證過期時，返回重新對所述第一電子設(shè)備和所述第二電子設(shè)備的身份進(jìn)行認(rèn)證。

優(yōu)選地，當(dāng)所述第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證未過期時，所述第一電子設(shè)備和第二電子設(shè)備之間生成第二量子密鑰。

優(yōu)選地，當(dāng)所述第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，所述第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰具體為：

采用波分復(fù)用創(chuàng)建協(xié)商信道，所述第一電子設(shè)備和第二電子設(shè)備基于所述協(xié)商信道生成第一量子密鑰。

優(yōu)選地，當(dāng)所述第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證未通過時，終止可信組網(wǎng)認(rèn)證。

一種量子保密通信可信組網(wǎng)認(rèn)證系統(tǒng)，包括：

接收模塊，用于在第一電子設(shè)備量子網(wǎng)關(guān)與第二電子設(shè)備量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求；

身份認(rèn)證模塊，用于基于接收到的所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求，根據(jù)預(yù)先頒發(fā)的數(shù)字證書進(jìn)行身份認(rèn)證；

生成模塊，用于當(dāng)所述第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，所述第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰。

優(yōu)選地，所述系統(tǒng)還包括：

判斷模塊，用于判斷所述第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期；

當(dāng)所述第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證過期時，返回所述身份認(rèn)證模塊重新對所述第一電子設(shè)備和所述第二電子設(shè)備的身份進(jìn)行認(rèn)證。

優(yōu)選地，當(dāng)所述第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證未過期時，所述生成模塊還用于在所述第一電子設(shè)備和第二電子設(shè)備之間生成第二量子密鑰。

優(yōu)選地，當(dāng)所述第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，所述生成模塊具體用于：

采用波分復(fù)用創(chuàng)建協(xié)商信道，所述第一電子設(shè)備和第二電子設(shè)備基于所述協(xié)商信道生成第一量子密鑰。

優(yōu)選地，所述系統(tǒng)還包括終止模塊，用于：

當(dāng)所述第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證未通過時，終止可信組網(wǎng)認(rèn)證。

從上述技術(shù)方案可以看出，本發(fā)明提供了一種量子保密通信可信組網(wǎng)認(rèn)證方法，當(dāng)需要提高量子保密通信的安全性時，在第一電子設(shè)備量子網(wǎng)關(guān)與第二電子設(shè)備量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，首先接收第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求；然后根據(jù)接收到的第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求進(jìn)行身份認(rèn)證，只有當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備的身份認(rèn)證通過時第一電子設(shè)備和第二電子設(shè)備之間才生成量子密鑰。通過對各個量子組件頒發(fā)數(shù)字證書，有效解決了各組件之間的身份認(rèn)證問題，提高了量子保密通信的安全性。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證方法實(shí)施例1的方法流程圖；

圖2為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證方法實(shí)施例2的方法流程圖；

圖3為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證方法實(shí)施例3的方法流程圖；

圖4為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證系統(tǒng)實(shí)施例1的結(jié)構(gòu)示意圖；

圖5為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證系統(tǒng)實(shí)施例2的結(jié)構(gòu)示意圖；

圖6為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證系統(tǒng)實(shí)施例3的結(jié)構(gòu)示意圖；

圖7為本發(fā)明公開的量子密鑰分發(fā)工作原理圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

如圖1所示，為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證方法的實(shí)施例1的流程圖，包括：

s101、在第一電子設(shè)備量子網(wǎng)關(guān)與第二電子設(shè)備量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求；

當(dāng)需要進(jìn)行量子保密通信時，在第一電子設(shè)備的量子網(wǎng)關(guān)與第二電子設(shè)備的量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收第一電子設(shè)備和第二電子設(shè)備分別發(fā)送的數(shù)字證書認(rèn)證請求。其中，第一電子設(shè)備可以理解為信息發(fā)送方，第二電子設(shè)備可以理解為信息接收方。需要說明的是，在電子設(shè)備入網(wǎng)時，將設(shè)備證書管理模塊預(yù)制于量子設(shè)備密鑰芯片中。

s102、基于接收到的所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求，根據(jù)預(yù)先頒發(fā)的數(shù)字證書進(jìn)行身份認(rèn)證；

當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備分別發(fā)送數(shù)字證書認(rèn)證請求后，根據(jù)預(yù)先頒發(fā)的第一電子設(shè)備的數(shù)字證書和第二電子設(shè)備的數(shù)字證書，對第一電子設(shè)備和第二電子設(shè)備進(jìn)行身份認(rèn)證，即判斷用于保密通信的電子設(shè)備是否為正確的電子設(shè)備。

s103、當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰。

當(dāng)經(jīng)過數(shù)字證書身份認(rèn)證表明第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰，通過生成的第一量子密鑰進(jìn)行發(fā)送方和接收方之間的保密通信。其中，如圖7所示，在進(jìn)行量子密鑰分發(fā)時，發(fā)送方即第一電子設(shè)備隨機(jī)選一個信息嵌入方式，將隨機(jī)的0或1編入光子的量子態(tài)，發(fā)給接收方即第二電子設(shè)備，然后接收方隨機(jī)選一個信息讀取方式讀出光子攜帶的0或1，接收方告訴發(fā)送方每個光子的讀取方式，發(fā)送方告訴接收方哪些關(guān)注的讀取方式是正確的，雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。

綜上所述，在上述實(shí)施例中，當(dāng)需要提高量子保密通信的安全性時，在第一電子設(shè)備量子網(wǎng)關(guān)與第二電子設(shè)備量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，首先接收第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求；然后根據(jù)接收到的第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求進(jìn)行身份認(rèn)證，只有當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備的身份認(rèn)證通過時第一電子設(shè)備和第二電子設(shè)備之間才生成量子密鑰。通過對各個量子組件頒發(fā)數(shù)字證書，有效解決了各組件之間的身份認(rèn)證問題，提高了量子保密通信的安全性。

如圖2所示，為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證方法的實(shí)施例2的流程圖，包括：

s201、在第一電子設(shè)備量子網(wǎng)關(guān)與第二電子設(shè)備量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求；

當(dāng)需要進(jìn)行量子保密通信時，在第一電子設(shè)備的量子網(wǎng)關(guān)與第二電子設(shè)備的量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收第一電子設(shè)備和第二電子設(shè)備分別發(fā)送的數(shù)字證書認(rèn)證請求。其中，第一電子設(shè)備可以理解為信息發(fā)送方，第二電子設(shè)備可以理解為信息接收方。需要說明的是，在電子設(shè)備入網(wǎng)時，將設(shè)備證書管理模塊預(yù)制于量子設(shè)備密鑰芯片中。

s202、基于接收到的所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求，根據(jù)預(yù)先頒發(fā)的數(shù)字證書進(jìn)行身份認(rèn)證；

當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備分別發(fā)送數(shù)字證書認(rèn)證請求后，根據(jù)預(yù)先頒發(fā)的第一電子設(shè)備的數(shù)字證書和第二電子設(shè)備的數(shù)字證書，對第一電子設(shè)備和第二電子設(shè)備進(jìn)行身份認(rèn)證，即判斷用于保密通信的電子設(shè)備是否為正確的電子設(shè)備。

s203、當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰；

當(dāng)經(jīng)過數(shù)字證書身份認(rèn)證表明第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰，通過生成的第一量子密鑰進(jìn)行發(fā)送方和接收方之間的保密通信。其中，如圖7所示，在進(jìn)行量子密鑰分發(fā)時，發(fā)送方即第一電子設(shè)備隨機(jī)選一個信息嵌入方式，將隨機(jī)的0或1編入光子的量子態(tài)，發(fā)給接收方即第二電子設(shè)備，然后接收方隨機(jī)選一個信息讀取方式讀出光子攜帶的0或1，接收方告訴發(fā)送方每個光子的讀取方式，發(fā)送方告訴接收方哪些關(guān)注的讀取方式是正確的，雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。

s204、判斷第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期，若是則返回s202，若否則進(jìn)入s205；

為了更進(jìn)一步的提高量子保密通信的安全性，在第一次第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰后，進(jìn)一步判斷第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期，在驗(yàn)證第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期時，可以通過判斷距離第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過的時間是否超過預(yù)設(shè)有效期，例如，是否超過有效期24小時，當(dāng)距離第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過的時間超過預(yù)設(shè)有效期時，表明第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證過期。

當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備身份認(rèn)證過期時，如果第一電子設(shè)備和第二電子設(shè)備之間還需要進(jìn)行保密通信時，需要返回上述步驟對第一電子設(shè)備和第二電子設(shè)備的身份進(jìn)行重新認(rèn)證。

s205、當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備身份認(rèn)證未過期時，第一電子設(shè)備和第二電子設(shè)備之間生成第二量子密鑰。

當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備身份認(rèn)證未過期時，第一電子設(shè)備和第二電子設(shè)備之間可以重新生成第二量子密鑰。需要說明的是，生成第二量子密鑰和生成第一量子密鑰的原理相同，在此不再贅述。

綜上所述，本實(shí)施例在實(shí)施例1的基礎(chǔ)上進(jìn)一步判斷第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期，通過判斷第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期可以更進(jìn)一步的提高量子保密通信的安全性。

如圖3所示，為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證方法的實(shí)施例3的流程圖，包括：

s301、在第一電子設(shè)備量子網(wǎng)關(guān)與第二電子設(shè)備量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求；

當(dāng)需要進(jìn)行量子保密通信時，在第一電子設(shè)備的量子網(wǎng)關(guān)與第二電子設(shè)備的量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收第一電子設(shè)備和第二電子設(shè)備分別發(fā)送的數(shù)字證書認(rèn)證請求。其中，第一電子設(shè)備可以理解為信息發(fā)送方，第二電子設(shè)備可以理解為信息接收方。需要說明的是，在電子設(shè)備入網(wǎng)時，將設(shè)備證書管理模塊預(yù)制于量子設(shè)備密鑰芯片中。

s302、基于接收到的所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求，根據(jù)預(yù)先頒發(fā)的數(shù)字證書進(jìn)行身份認(rèn)證；

當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備分別發(fā)送數(shù)字證書認(rèn)證請求后，根據(jù)預(yù)先頒發(fā)的第一電子設(shè)備的數(shù)字證書和第二電子設(shè)備的數(shù)字證書，對第一電子設(shè)備和第二電子設(shè)備進(jìn)行身份認(rèn)證，即判斷用于保密通信的電子設(shè)備是否為正確的電子設(shè)備。

s303、當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，采用波分復(fù)用創(chuàng)建協(xié)商信道，第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰；

當(dāng)經(jīng)過數(shù)字證書身份認(rèn)證表明第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，通過采用波分復(fù)用技術(shù)在量子信道上創(chuàng)建協(xié)商信道，進(jìn)行交互協(xié)商，再啟用量子信道在第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰，通過生成的第一量子密鑰進(jìn)行發(fā)送方和接收方之間的保密通信。其中，如圖7所示，在進(jìn)行量子密鑰分發(fā)時，發(fā)送方即第一電子設(shè)備隨機(jī)選一個信息嵌入方式，將隨機(jī)的0或1編入光子的量子態(tài)，發(fā)給接收方即第二電子設(shè)備，然后接收方隨機(jī)選一個信息讀取方式讀出光子攜帶的0或1，接收方告訴發(fā)送方每個光子的讀取方式，發(fā)送方告訴接收方哪些關(guān)注的讀取方式是正確的，雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。

s304、當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備的身份認(rèn)證未通過時，終止可信組網(wǎng)認(rèn)證。

如圖4所示，為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證系統(tǒng)的實(shí)施例1的結(jié)構(gòu)示意圖，包括：

接收模塊401，用于在第一電子設(shè)備量子網(wǎng)關(guān)與第二電子設(shè)備量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求；

當(dāng)需要進(jìn)行量子保密通信時，在第一電子設(shè)備的量子網(wǎng)關(guān)與第二電子設(shè)備的量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收第一電子設(shè)備和第二電子設(shè)備分別發(fā)送的數(shù)字證書認(rèn)證請求。其中，第一電子設(shè)備可以理解為信息發(fā)送方，第二電子設(shè)備可以理解為信息接收方。需要說明的是，在電子設(shè)備入網(wǎng)時，將設(shè)備證書管理模塊預(yù)制于量子設(shè)備密鑰芯片中。

身份認(rèn)證模塊402，用于基于接收到的所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求，根據(jù)預(yù)先頒發(fā)的數(shù)字證書進(jìn)行身份認(rèn)證；

當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備分別發(fā)送數(shù)字證書認(rèn)證請求后，根據(jù)預(yù)先頒發(fā)的第一電子設(shè)備的數(shù)字證書和第二電子設(shè)備的數(shù)字證書，對第一電子設(shè)備和第二電子設(shè)備進(jìn)行身份認(rèn)證，即判斷用于保密通信的電子設(shè)備是否為正確的電子設(shè)備。

生成模塊403，用于當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰。

當(dāng)經(jīng)過數(shù)字證書身份認(rèn)證表明第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰，通過生成的第一量子密鑰進(jìn)行發(fā)送方和接收方之間的保密通信。其中，如圖7所示，在進(jìn)行量子密鑰分發(fā)時，發(fā)送方即第一電子設(shè)備隨機(jī)選一個信息嵌入方式，將隨機(jī)的0或1編入光子的量子態(tài)，發(fā)給接收方即第二電子設(shè)備，然后接收方隨機(jī)選一個信息讀取方式讀出光子攜帶的0或1，接收方告訴發(fā)送方每個光子的讀取方式，發(fā)送方告訴接收方哪些關(guān)注的讀取方式是正確的，雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。

綜上所述，在上述實(shí)施例中，當(dāng)需要提高量子保密通信的安全性時，在第一電子設(shè)備量子網(wǎng)關(guān)與第二電子設(shè)備量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，首先接收第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求；然后根據(jù)接收到的第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求進(jìn)行身份認(rèn)證，只有當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備的身份認(rèn)證通過時第一電子設(shè)備和第二電子設(shè)備之間才生成量子密鑰。通過對各個量子組件頒發(fā)數(shù)字證書，有效解決了各組件之間的身份認(rèn)證問題，提高了量子保密通信的安全性。

如圖5所示，為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證系統(tǒng)的實(shí)施例2的結(jié)構(gòu)示意圖，包括：

接收模塊501，用于在第一電子設(shè)備量子網(wǎng)關(guān)與第二電子設(shè)備量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求；

當(dāng)需要進(jìn)行量子保密通信時，在第一電子設(shè)備的量子網(wǎng)關(guān)與第二電子設(shè)備的量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收第一電子設(shè)備和第二電子設(shè)備分別發(fā)送的數(shù)字證書認(rèn)證請求。其中，第一電子設(shè)備可以理解為信息發(fā)送方，第二電子設(shè)備可以理解為信息接收方。需要說明的是，在電子設(shè)備入網(wǎng)時，將設(shè)備證書管理模塊預(yù)制于量子設(shè)備密鑰芯片中。

身份認(rèn)證模塊502，用于基于接收到的所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求，根據(jù)預(yù)先頒發(fā)的數(shù)字證書進(jìn)行身份認(rèn)證；

當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備分別發(fā)送數(shù)字證書認(rèn)證請求后，根據(jù)預(yù)先頒發(fā)的第一電子設(shè)備的數(shù)字證書和第二電子設(shè)備的數(shù)字證書，對第一電子設(shè)備和第二電子設(shè)備進(jìn)行身份認(rèn)證，即判斷用于保密通信的電子設(shè)備是否為正確的電子設(shè)備。

生成模塊503，用于當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰；

當(dāng)經(jīng)過數(shù)字證書身份認(rèn)證表明第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰，通過生成的第一量子密鑰進(jìn)行發(fā)送方和接收方之間的保密通信。其中，如圖7所示，在進(jìn)行量子密鑰分發(fā)時，發(fā)送方即第一電子設(shè)備隨機(jī)選一個信息嵌入方式，將隨機(jī)的0或1編入光子的量子態(tài)，發(fā)給接收方即第二電子設(shè)備，然后接收方隨機(jī)選一個信息讀取方式讀出光子攜帶的0或1，接收方告訴發(fā)送方每個光子的讀取方式，發(fā)送方告訴接收方哪些關(guān)注的讀取方式是正確的，雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。

判斷模塊504，用于判斷第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期；

為了更進(jìn)一步的提高量子保密通信的安全性，在第一次第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰后，進(jìn)一步判斷第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期，在驗(yàn)證第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期時，可以通過判斷距離第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過的時間是否超過預(yù)設(shè)有效期，例如，是否超過有效期24小時，當(dāng)距離第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過的時間超過預(yù)設(shè)有效期時，表明第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證過期。

身份認(rèn)證模塊502，當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備身份認(rèn)證過期時，返回重新對第一電子設(shè)備和第二電子設(shè)備的身份進(jìn)行認(rèn)證；

當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備身份認(rèn)證過期時，如果第一電子設(shè)備和第二電子設(shè)備之間還需要進(jìn)行保密通信時，需要返回上述步驟對第一電子設(shè)備和第二電子設(shè)備的身份進(jìn)行重新認(rèn)證。

生成模塊503，用于當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備身份認(rèn)證未過期時，第一電子設(shè)備和第二電子設(shè)備之間生成第二量子密鑰。

當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備身份認(rèn)證未過期時，第一電子設(shè)備和第二電子設(shè)備之間可以重新生成第二量子密鑰。需要說明的是，生成第二量子密鑰和生成第一量子密鑰的原理相同，在此不再贅述。

綜上所述，本實(shí)施例在實(shí)施例1的基礎(chǔ)上進(jìn)一步判斷第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期，通過判斷第一電子設(shè)備和第二電子設(shè)備身份認(rèn)證是否過期可以更進(jìn)一步的提高量子保密通信的安全性。

如圖6所示，為本發(fā)明公開的一種量子保密通信可信組網(wǎng)認(rèn)證系統(tǒng)的實(shí)施例3的結(jié)構(gòu)示意圖，包括：

接收模塊601，用于在第一電子設(shè)備量子網(wǎng)關(guān)與第二電子設(shè)備量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求；

當(dāng)需要進(jìn)行量子保密通信時，在第一電子設(shè)備的量子網(wǎng)關(guān)與第二電子設(shè)備的量子網(wǎng)關(guān)之間協(xié)商生成密鑰前，接收第一電子設(shè)備和第二電子設(shè)備分別發(fā)送的數(shù)字證書認(rèn)證請求。其中，第一電子設(shè)備可以理解為信息發(fā)送方，第二電子設(shè)備可以理解為信息接收方。需要說明的是，在電子設(shè)備入網(wǎng)時，將設(shè)備證書管理模塊預(yù)制于量子設(shè)備密鑰芯片中。

身份認(rèn)證模塊602，用于基于接收到的所述第一電子設(shè)備和第二電子設(shè)備發(fā)送的認(rèn)證請求，根據(jù)預(yù)先頒發(fā)的數(shù)字證書進(jìn)行身份認(rèn)證；

當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備分別發(fā)送數(shù)字證書認(rèn)證請求后，根據(jù)預(yù)先頒發(fā)的第一電子設(shè)備的數(shù)字證書和第二電子設(shè)備的數(shù)字證書，對第一電子設(shè)備和第二電子設(shè)備進(jìn)行身份認(rèn)證，即判斷用于保密通信的電子設(shè)備是否為正確的電子設(shè)備。

生成模塊603，用于當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，采用波分復(fù)用創(chuàng)建協(xié)商信道，第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰；

當(dāng)經(jīng)過數(shù)字證書身份認(rèn)證表明第一電子設(shè)備和第二電子設(shè)備的身份認(rèn)證通過時，通過采用波分復(fù)用技術(shù)在量子信道上創(chuàng)建協(xié)商信道，進(jìn)行交互協(xié)商，再啟用量子信道在第一電子設(shè)備和第二電子設(shè)備之間生成第一量子密鑰，通過生成的第一量子密鑰進(jìn)行發(fā)送方和接收方之間的保密通信。其中，如圖7所示，在進(jìn)行量子密鑰分發(fā)時，發(fā)送方即第一電子設(shè)備隨機(jī)選一個信息嵌入方式，將隨機(jī)的0或1編入光子的量子態(tài)，發(fā)給接收方即第二電子設(shè)備，然后接收方隨機(jī)選一個信息讀取方式讀出光子攜帶的0或1，接收方告訴發(fā)送方每個光子的讀取方式，發(fā)送方告訴接收方哪些關(guān)注的讀取方式是正確的，雙方將信息嵌入方式和信息讀取方式一致的那些比特作為密鑰。

終止模塊604，用于當(dāng)?shù)谝浑娮釉O(shè)備和第二電子設(shè)備的身份認(rèn)證未通過時，終止可信組網(wǎng)認(rèn)證。

具體的，身份認(rèn)證模塊是是pki/ca平臺的核心，其通過把設(shè)備公鑰和設(shè)備的真實(shí)身份綁定在一起，產(chǎn)生數(shù)字證書，提供證書服務(wù)和管理的主要功能，主要包含證書目錄服務(wù)、證書吊銷表服務(wù)、證書狀態(tài)查詢服務(wù)、證書管理服務(wù)、系統(tǒng)管理服務(wù)、證書數(shù)據(jù)庫、簽名服務(wù)器和密碼設(shè)備等。證書目錄服務(wù)為證書的儲存庫，提供了證書的保存、修改、刪除和獲取的能力。證書吊銷表服務(wù)，列出了被撤銷的證書序列號。在證書的有效期間，因?yàn)槟撤N原因，導(dǎo)致相應(yīng)的數(shù)字證書內(nèi)容不再是真實(shí)可信，此時需要進(jìn)行證書撤銷，聲明該證書是無效的。

本說明書中各個實(shí)施例采用遞進(jìn)的方式描述，每個實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處，各個實(shí)施例之間相同相似部分互相參見即可。對于實(shí)施例公開的裝置而言，由于其與實(shí)施例公開的方法相對應(yīng)，所以描述的比較簡單，相關(guān)之處參見方法部分說明即可。

專業(yè)人員還可以進(jìn)一步意識到，結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及算法步驟，能夠以電子硬件、計(jì)算機(jī)軟件或者二者的結(jié)合來實(shí)現(xiàn)，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能，但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。

結(jié)合本文中所公開的實(shí)施例描述的方法或算法的步驟可以直接用硬件、處理器執(zhí)行的軟件模塊，或者二者的結(jié)合來實(shí)施。軟件模塊可以置于隨機(jī)存儲器(ram)、內(nèi)存、只讀存儲器(rom)、電可編程rom、電可擦除可編程rom、寄存器、硬盤、可移動磁盤、cd-rom、或技術(shù)領(lǐng)域內(nèi)所公知的任意其它形式的存儲介質(zhì)中。

對所公開的實(shí)施例的上述說明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實(shí)施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實(shí)施例中實(shí)現(xiàn)。因此，本發(fā)明將不會被限制于本文所示的這些實(shí)施例，而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。