CN106888084A - 一种量子堡垒机***及其认证方法 - Google Patents
一种量子堡垒机***及其认证方法 Download PDFInfo
- Publication number
- CN106888084A CN106888084A CN201710003788.5A CN201710003788A CN106888084A CN 106888084 A CN106888084 A CN 106888084A CN 201710003788 A CN201710003788 A CN 201710003788A CN 106888084 A CN106888084 A CN 106888084A
- Authority
- CN
- China
- Prior art keywords
- quantum
- fort machine
- key
- random number
- fort
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种量子堡垒机***及其认证方法,该***包括终端用户、量子堡垒机、量子通信网络服务器资源、量子密钥颁发中心及量子密钥卡,认证方法包括以下步骤:S1所述量子堡垒机管控终端用户访问量子通信网络服务器资源;S2量子密钥颁发中心分别对终端用户和量子堡垒机、量子堡垒机和量子通信网络服务器资源颁发量子随机数密钥对;S3终端用户登录量子堡垒机,通过终端用户和量子堡垒机或者量子堡垒机和量子通信网络服务器资源的对应的量子随机数密钥对来实现相互之间的认证,从而获取相应的访问权限。本发明通过量子随机数发生服务器产生的量子随机数进行认证,能够抵抗量子计算机对非对称算法的攻击。
Description
技术领域
本发明涉及量子通信技术领域,尤其涉及量子堡垒机***及其认证方法。
背景技术
随着社会信息化程度的不断加深,信息数据日益成为各企事业单位的核心资产,确保信息数据的安全是各企事业单位极为重要的工作。网络防火墙、病毒防火墙、入侵检测等硬件设备的普及,有效防止了企业内部网络受到外部攻击,加强了企业的外部防线。
然而,企业内部却存在信息数据失窃泄密、重要***服务器运行遭到破坏等问题,对企业信息安全的影响远远超过黑客和病毒。具体的,由于企业IT运维人员或管理员经常和核心IT资产打交道,接触核心机密的机会最多,企业内部信息安全事件逐渐转向IT运维人员和管理员的安全及保密性管理。如何加固组织机构内部网络的“内防体系”,杜绝或减少因为内部隐患而导致的信息遭窃密、数据被篡改、***被破坏等严重后果,成为近年内国际信息安全业界在内网安全领域的新课题。
在此背景下,能够防范和审计内部管理人员对IT资产设备的访问和操作的堡垒机(也称堡垒主机)技术应运而生。堡垒机是管控IT运维人员访问核心IT资产的专用***主机。它通过切断终端计算机对网络和服务器资源的直接访问,采用协议代理的方式,接管了终端计算机对网络和服务器的访问。
堡垒机的应用使得运维人员对服务器进行的所有运维操作都需要经过堡垒机进行。堡垒机将运维人员的操作记录至日志文件中,供审计人员进行安全审计和追责。
单点登录是经典堡垒机核心功能之一,是指在应用***中,用户只需要登录一次即可访问所有相互信任的应用***。这使得运维人员登录堡垒机环节以及堡垒机与核心IT资产之间互相信任环节的身份认证尤其重要,是整个内部网络安全的首要保障。目前经典堡垒机***的身份认证是基于经典网络中公钥密码体制的认证。非对称密钥***实现身份认证的基本原理可以描述为:通信时,用户私有密钥对应用请求签名并提交证书,接受者用证书授权机构的公共密钥对用户的证书解密,获得用户的公钥,从而验证用户的签名,确认用户的身份。
非对称密码体制的安全性是基于一些特定的复杂数学运算,随着量子计算机的发展,计算机的运算速度以指数倍增长,这使得经典非对称加密算法将面临着被破解的风险。
发明内容
本发明首先所要解决的技术问题是提供一种量子堡垒机***,该***通过量子随机数密钥来实现量子通信网络服务站的各管理员或运维人员的身份认证流程,进而保证量子通信网络服务站内部的信息安全,使得量子通信网络的安全性也得到提升。
为此,本发明采用以下技术方案:
一种量子堡垒机***,它包括终端用户、量子堡垒机及量子通信网络服务器资源;
所述量子堡垒机管控终端用户访问量子通信网络服务器资源;
所述***还配设有量子密钥颁发中心及量子密钥卡,该量子密钥卡由终端用户在量子密钥颁发中心注册后颁发;所述量子密钥颁发中心生成量子随机数,并分别颁发给量子密钥卡、量子堡垒机及量子通信网络服务器资源作为量子随机数密钥;
所述量子密钥卡存储用户信息及量子密钥颁发中心颁发的量子随机数密钥,所述***通过量子密钥卡与量子堡垒机或者量子堡垒机与量子通信网络服务器资源对应的量子随机数密钥对来实现相互之间的认证,实现终端用户对量子堡垒机或者量子通信网络服务器资源的访问。
可选的,所述终端用户包括堡垒机运维用户和服务器运维用户;所述量子通信网络服务器资源为量子通信网络服务站中需要被量子堡垒机监控的所有服务器。可选的,所述量子密钥卡是由量子密钥颁发中心授权后颁发给合法终端用户的装置,它包括CPU、内存、存储器、操作***。
当合法的终端用户为个人电脑时,量子密钥卡的优选表现形式为USB KEY或个人电脑主板板卡;当合法的终端用户为移动终端时,量子密钥卡的优选表现形式为SD KEY或移动终端主板芯片。
使用量子密钥卡从源头上保证了量子随机数密钥的安全性,防止量子随机数密钥被窃取或篡改,进而保证整个堡垒机***的安全性。
可选的,本发明所述***还包括连接所述终端用户、量子堡垒机和量子通信网络服务器资源的防火墙、交换器、路由器。
可选的,所述量子堡垒机包括安全加密模块、密钥存储模块和认证模块;
所述安全加密模块用于对量子随机数密钥进行加解密操作,保证量子随机数密钥在存储和使用过程中的安全,其表现形式优选为主板板卡;
所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥;
所述认证模块用于对量子密钥卡和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。
可选的,所述量子通信网络服务器资源中的各服务器包括安全加密模块、密钥存储模块及认证模块;
所述安全加密模块用于对量子随机数密钥进行加解密操作,保证量子随机数密钥在存储和使用过程中的安全;
所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥;
所述认证模块用于量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。
可选的,所述量子密钥颁发中心通过量子随机数发生服务器生成量子随机数,将量子随机数分别颁发给各终端用户和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源之间以形成共享的量子随机数密钥对。本发明还需要解决的技术问题是提供一种量子堡垒机***的认证方法,它包括以下步骤:
S1终端用户连接量子堡垒机,量子堡垒机接入到量子通信网络服务器资源;
S2量子密钥颁发中心分别对终端用户和量子堡垒机、量子堡垒机和量子通信网络服务器资源颁发量子随机数密钥对;
S3终端用户登录量子堡垒机,通过终端用户和量子堡垒机或者量子堡垒机和量子通信网络服务器资源的对应的量子随机数密钥对来实现相互之间的认证,从而获取相应的访问权限。
可选的,所述量子密钥颁发中心通过量子随机数发生服务器产生量子随机数,将量子随机数分别颁发给各终端用户和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源之间以形成共享的量子随机数密钥对。
进一步的,终端用户拥有与自身身份相对应的量子密钥卡,该量子密钥卡由终端用户在量子密钥颁发中心注册后颁发,量子密钥卡与量子堡垒机之间共享有相应的量子随机数密钥;所述量子堡垒机及量子通信网络服务器资源共享有相应的量子随机数密钥。
可选的,所述终端用户和量子堡垒机之间的认证请求中携带有终端用户的用户标识信息,量子堡垒机通过该用户标识信息对认证请求进行认证,所述用户标识信息来自与终端用户身份相对应的量子密钥卡,所述量子密钥卡由终端用户在量子密钥颁发中心注册后颁发。
可选的,所述终端用户包括堡垒机运维用户和服务器运维用户,所述量子通信网络服务器资源为量子通信网络服务站中需要被量子堡垒机监控的所有服务器。
进一步的,终端用户对量子堡垒机认证成功后,
量子堡垒机确定该终端用户为堡垒机运维用户时,该终端用户根据其角色权限对量子堡垒机进行相应操作;
量子堡垒机确定该终端用户为服务器运维用户,则量子堡垒机确定该终端用户所对应的量子通信网络服务器资源中的服务器及其所有角色权限,并根据终端用户所对应的所有角色权限,对量子堡垒机与该终端用户对应的量子通信网络服务器资源中的服务器分别进行认证,所有角色权限都认证成功后该终端用户获得访问该终端用户对应的量子通信网络服务器资源中的服务器的权限。
可选的,所述量子堡垒机包括安全加密模块、密钥存储模块及认证模块;
所述安全加密模块用于对量子随机数密钥进行加解密操作,保证量子随机数密钥在存储和使用过程中的安全;
所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥;
所述认证模块用于对量子密钥卡和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。
可选的,量子密钥颁发中心向量子堡垒机颁发量子随机数密钥的方式包括:
方式a、经由移动存储介质传输至所述安全加密装置;或
方式b、经由通信专线直接传输至所述安全加密装置;
在方式a和方式b中,安全加密装置对接收到的量子随机数密钥加密后存储在量子堡垒机的密钥存储模块中。
所述的方式a,b即量子密钥颁发中心向量子堡垒机颁发量子随机数密钥的本地颁发方式和远程颁发方式。本发明可根据实际情况进行选择其中一种颁发方式。
可选的,所述量子通信网络服务器资源中的各服务器均包括安全加密模块、密钥存储模块及认证模块;
所述安全加密模块用于对量子随机数密钥进行加解密操作,保证量子随机数密钥在存储和使用过程中的安全;
所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥;
所述认证模块用于量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。
可选的,量子密钥颁发中心向量子通信网络服务器资源中的各服务器颁发量子随机数密钥的方式包括:
方式a、经由移动存储介质传输至所述安全加密装置;或
方式b、经由通信专线直接传输至所述安全加密装置;
在方式a和方式b中,安全加密装置对接收到的量子随机数密钥加密后存储在量子通信网络服务器资源中的各服务器的密钥存储模块中。
所述的方式a,b即量子密钥颁发中心向量子通信网络服务器资源中的各服务器的本地颁发方式和远程颁发方式。本发明可根据实际情况进行选择其中一种颁发方式。
量子密钥颁发中心向量子堡垒机或量子通信网络服务器资源中的各服务器进行远程颁发时,所述的通信专线优选为量子通信网络,量子随机数密钥的远程颁发依赖于量子通信网络,形成由量子随机数密钥和量子通信网络保证安全性的堡垒机***,其目的是保护量子通信网络中的各类核心设备。
本发明中无论是终端用户与量子堡垒机之间的认证,还是量子堡垒机与量子通信网络服务器资源中某服务器之间的认证,在进行认证的过程中,所使用的密钥是由量子随机数发生服务器产生的量子随机数,即真随机数,且整个过程对身份认证只使用对称加密算法和摘要算法,完全摒弃了经典通信中使用非对称算法的过程,能够抵抗量子计算机对非对称算法的攻击。
在本发明的量子堡垒机***中,每个终端用户都需要持有一张由专门的可信机构即量子密钥颁发中心统一颁发量子密钥卡。该量子密钥卡既是终端用户身份的唯一标识,也是终端用户存储与量子堡垒机共享的量子随机数密钥的装置。终端用户使用量子密钥卡中共享的量子随机数密钥与量子堡垒机进行身份认证。量子堡垒机和量子通信网络服务器资源中的各服务器之间也是通过量子密钥颁发中心颁发的共享的量子随机数密钥来完成双向身份认证的。这样的好处是表征用户端、量子堡垒机和量子通信网络服务器资源中的各服务器身份和权限的量子随机数密钥都由专门的可信机构即量子密钥颁发中心统一授权和颁发,而不是由量子堡垒机和量子通信网络服务器资源中的各服务器各自授权其用户身份信息,实现了整个***的角色和权限的统一管理,保证了内部网络通信的安全性。
量子堡垒机可以通过量子通信网络远程管控量子通信网络服务器资源并且其安全性得到量子通信网络的保证,这使得较为分散的核心IT资产都能够被安全统一的管控起来。
附图说明
图1为本发明所述量子堡垒机***的组网图。
图2为本发明所述密钥颁发过程示意图。
图3位本发明所述双向身份认证流程图。
具体实施方式
以下结合附图对本发明作进一步的阐述。
实施例一:
如图1所示,本发明所述的***主要包括:
终端用户,主要分为堡垒机运维用户和服务器运维用户。堡垒机运维用户,只登录堡垒机进行操作的终端,包括堡垒机的各级管理员、各级审计员等;服务器运维用户,访问量子通信网络服务器资源的用户,能够对各服务器发出维护和操作指令,包括各服务器的各级管理员、各级审计员等。
量子堡垒机,是管控服务器运维用户访问量子通信网络服务器资源的专用***,它包括策略管理模块、安全加密模块、密钥存储模块、审计模块和认证模块等。策略模块,用来配置相应的安全策略和终端用户应有的操作权限;安全加密模块,主要用于对量子随机数密钥进行加解密操作,保证量子随机数密钥在存储和使用过程中的安全,其表现形式优选为主板板卡;密钥存储模块,用来存储经安全加密模块加密处理后的量子随机数密钥;审计模块,用来对终端用户访问量子堡垒机或量子通信网络服务器资源的操作行为进行记录和审计,对形成的记录能够统计、分析、并生成报表。
量子通信网络服务器资源,该量子通信网络服务器资源是量子通信网络服务站中需要被量子堡垒机监控的所有目标设备的总称,以下实施例中,所有与堡垒机交互的量子通信网络服务器资源中的各服务器,简称服务器。
量子通信网络服务器资源主要包括主控中心、认证服务器、量子随机数发生服务器、量子随机数密钥存储服务器、量子密钥分发服务器和量子密钥管理服务器等。主控中心,用来控制量子通信网络服务站,除此之外,还包括用户登记、用户接入、各类密码学应用、用户信息存储、用户密钥存储、用户量子密钥卡颁发等功能;认证服务器,主要是利用认证协议完成接入用户的身份认证,认证该用户是否是合法的量子通信网络用户;量子随机数发生服务器,本发明优先使用量子随机数发生服务器,用于产生量子随机数供接入该量子通信网络的用户获取,以在用户和该量子通信网络服务站之间形成共享的量子随机数密钥;量子随机数密钥存储服务器,用来存储由量子随机数发生服务器产生的量子随机数密钥;量子密钥分发服务器,用于进行量子密钥分发,以在直接相连或通过中继相连的量子通信网络服务站之间实现异地共享的量子密钥;量子密钥管理服务器,负责对量子密钥分发服务器生成的量子密钥进行存储、管理等。
需要强调的是,每个服务器除了其应有的功能模块之外,还包括安全加密模块、密钥存储模块和认证模块,安全加密模块是用来对量子随机数密钥进行加解密操作的装置,其表现形式优选为主板板卡;密钥存储模块,用来存储和管理经安全加密模块加密后的量子随机数密钥,优选为各类数据库。认证模块用于对量子密钥卡和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。
量子密钥颁发中心,内部包含量子随机数发生模块、认证授权模块、权限策略模块等。量子随机数发生模块,本发明优先使用的是量子随机数发生服务器,负责量子随机数的生成、存储和管理等功能;认证授权模块,主要用来对量子通信网络服务站中各服务器的终端用户(包括量子堡垒机和量子通信网络服务器资源等服务器的管理员或运维人员)授权,并向量子通信网络服务器资源中各服务器、量子堡垒机和终端用户颁发量子随机数密钥,以在各终端用户和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源之间形成共享的量子随机数密钥对;权限策略模块,主要用来对本发明中量子堡垒机和量子通信网络服务器资源等服务器制定访问角色和权限策略等,并根据该权限策略为终端用户分配角色和权限,为量子堡垒机和量子通信网络服务器资源之间分配权限。
量子密钥卡,是由量子密钥颁发中心授权后颁发给合法终端用户的装置。其内部结构包括CPU、内存、存储器、操作***,可以存储用户信息(主要包含用户ID、用户个人信息、当前密钥量、密钥过期时间等)、量子随机数密钥和加密策略等。每个量子密钥卡的持有者都有唯一证明其身份的用户ID,即用户标识信息。当合法用户的终端为个人电脑时,量子密钥卡的优选表现形式为USB KEY或个人电脑主板板卡;当合法用户的终端为移动终端时,量子密钥卡的优选表现形式为SD KEY或移动终端主板芯片。
其他网络设备,用于连接终端用户、量子堡垒机和量子通信网络服务器资源的防火墙、交换机、路由器等。
量子堡垒机作为量子通信网络的一部分通过交换机和其他网络设备接入到量子通信网络服务器资源,终端用户通过经典网络(内网或者外网)访问量子通信网络服务器资源的时候通过防火墙策略先访问量子堡垒机,由量子堡垒机代为访问量子通信网络服务器资源中的各服务器。
量子堡垒机也可以通过量子通信网络远程管控量子通信网络服务器资源。
实施例二:
本实施例提供了一种基于上述量子堡垒机***的认证方法,具体包括以下步骤:
1. 量子堡垒机部署
量子堡垒机通过网络设备旁路接入到量子通信网络服务器资源,终端用户通过经典网络(内网或者外网)访问量子通信网络服务器资源的时候通过防火墙策略先访问量子堡垒机,由量子堡垒机代为访问量子通信网络服务器资源中的各服务器。
2. 量子随机数密钥对的颁发
如图2所示,量子密钥颁发中心是给终端用户、量子堡垒机和量子通信网络服务器资源颁发量子随机数密钥的可信中心,其中终端用户需要到量子密钥颁发中心来获取量子随机数密钥,而量子堡垒机和量子通信网络服务器资源既可以到量子密钥颁发中心来获取量子随机数密钥也可以通过远程颁发来补充量子随机数密钥。
本发明中终端用户和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源中的各服务器之间需要拥有共享的量子随机数密钥才能彼此互相认证。因此,在认证之前需要对终端用户和量子堡垒机以及量子堡垒机和量子通信网络服务器资源中的各服务器颁发量子随机数密钥对,该过程由量子密钥颁发中心完成。具体如下:
2.1对终端用户和量子堡垒机颁发量子随机数密钥对的过程
对终端用户颁发量子随机数密钥体现在将量子随机数密钥等信息充入终端用户的量子密钥卡中。对量子堡垒机颁发量子随机数密钥的最终结果是将与终端用户相对应的量子随机数密钥等信息充入量子堡垒机的密钥存储模块。
终端用户需要到量子密钥颁发中心指定的受理点申请颁发量子随机数密钥,其具体过程如下:
(1)终端用户携带相关材料到量子密钥颁发中心申请授权。
(2)量子密钥颁发中心的认证授权模块对终端用户材料进行审核,审核通过后为用户分配一个用户ID并向权限策略模块确定用户的角色权限、用户所登录的量子堡垒机ID等信息。
(3)量子密钥颁发中心的认证授权模块向量子随机数发生模块获取用户指定数量的量子随机数密钥。将用户信息(主要包含用户ID、用户个人信息、当前密钥量、密钥过期时间等)、量子随机数密钥、加密策略等密钥信息写入量子密钥卡中,并将该量子密钥卡颁发给终端用户。
量子密钥颁发中心完成对终端用户颁发量子随机数密钥的同时需要将用户信息(主要包含用户ID、用户个人信息、当前密钥量、密钥过期时间等)、量子随机数密钥、加密策略等密钥信息颁发给量子堡垒机,以在该量子堡垒机和该终端用户之间实现共享的量子随机数密钥。
量子密钥颁发中心给量子堡垒机颁发量子随机数密钥的过程分为两种:
1如果量子堡垒机与量子密钥颁发中心之间数据的传输在可接受的物理距离之内,则可以通过移动介质到量子密钥颁发中心指定的受理点拷贝相应的密钥信息,并将获取到的密钥信息带到量子堡垒机处,经量子堡垒机的安全加密模块加密后保存在密钥存储模块中。该种城域网内的颁发也称为本地颁发,且该移动介质优选为可信任的人所持有的可靠的移动硬盘或优盘等。
2如果量子堡垒机和量子密钥颁发中心之间数据的传输在可接受的物理距离之外,除了付出比可接受的代价更多的代价到指定的受理点进行本地颁发之外,还可以对量子堡垒机远程颁发量子随机数密钥,且该量子随机数密钥的传输通过量子通信网络。远程颁发的具体过程如下:
(1)量子密钥颁发中心将用户信息(主要包含用户ID、用户个人信息、当前密钥量、密钥过期时间等)、量子随机数密钥、加密策略等密钥信息使用本地量子通信网络服务站中量子密钥分发服务器产生的量子密钥加密得到密文数据,并将该密文数据发送出去。其中,使用量子密钥对量子随机数密钥进行加密的方式优选为一次一密。
(2)该密文数据经通信网络传输到量子堡垒机本地的量子通信网络服务站。
(3)量子堡垒机本地的量子通信网络服务站使用量子密钥分发服务器产生的共享的量子密钥将密文数据解密得到密钥信息,并将该密钥信息通过安全的专线直接传输到量子堡垒机的安全加密模块,经安全加密模块加密后保存在密钥存储模块中。安全的专线可以由专门的措施进行保护,如加强机房的安全,布置专门的人员,或者缩短专线距离等。
(4)量子堡垒机的密钥存储模块将密钥信息保存成功后向量子密钥颁发中心返回颁发成功的消息。
至此,量子密钥颁发中心完成了对量子堡垒机和终端用户颁发量子随机数密钥对。终端用户通过量子密钥卡与量子堡垒机共享量子随机数密钥。该量子密钥卡是该终端用户登录量子堡垒机的唯一凭证。
2.2对量子堡垒机和量子通信网络服务器资源颁发量子随机数密钥对的过程
量子密钥颁发中心在对量子堡垒机和量子通信网络服务器资源颁发量子随机数密钥对之前,其权限策略模块需要根据相应的策略划分量子通信网络服务器资源中各服务器的所有运维账户的角色权限。对每一个服务器的所有运维账户按照不同权限划分出不同的角色。量子密钥颁发中心就是以量子通信网络服务器资源中各服务器的所有运维账户的角色为单位进行量子随机数密钥对的颁发。举例说明:如果该量子通信网络服务器资源中具有N个目标访问服务器,且第i个目标访问服务器的所有运维账户具有个不同权限的角色,则量子密钥颁发中心需要为量子堡垒机和量子通信网络服务器资源颁发对共享的量子随机数密钥。该量子随机数密钥保存在量子堡垒机和量子通信网络服务器资源中各服务器的密钥存储模块中。
量子密钥颁发中心对量子堡垒机和量子通信网络服务器资源颁发量子随机数密钥对的过程也分为本地颁发和远程颁发。如果量子堡垒机或量子通信网络服务器资源中某服务器与量子密钥颁发中心之间数据的传输在可接受的物理距离之内,则可以通过移动介质到量子密钥颁发中心指定的受理点拷贝相应的量子随机数密钥,并将获取到的量子随机数密钥带到量子堡垒机或量子通信网络服务器资源处,经量子堡垒机或量子通信网络服务器资源中某服务器的安全加密模块加密后保存在密钥存储模块中。该移动介质优选为可信任的人所持有的可靠的移动硬盘或优盘等。如果量子堡垒机或量子通信网络服务器资源中某服务器和量子密钥颁发中心之间数据的传输在可接受的物理距离之外,除了付出比可接受的代价更多的代价到指定的受理点进行本地颁发之外,还可以对量子堡垒机或量子通信网络服务器资源中某服务器远程颁发量子随机数密钥,且该量子随机数密钥的传输通过量子通信网络。下面以量子堡垒机和量子通信网络服务器资源均为远程颁发为例,讲述量子密钥颁发中心对量子堡垒机和量子通信网络服务器资源中某服务器的一个角色颁发共享量子随机数密钥的具体过程:
1)量子密钥颁发中心中的权限策略模块根据相应的策略协议将量子通信网络服务器资源中各服务器的所有运维账户划分为若干个角色。并给每个服务器分配一个服务器ID,每个服务器的每个角色分配一个角色ID。即完成了每个服务器的角色权限分配。
2)量子密钥颁发中心从量子随机数发生模块获得一定量的量子随机数密钥,并将该服务器ID、角色ID、量子随机数密钥等密钥信息使用本地量子通信网络服务站中量子密钥分发服务器产生的量子密钥加密得到密文数据,并将密文发送出去。其中,使用量子密钥对量子随机数密钥进行加密的方式优选为一次一密。
3)该密文数据经通信网络传输到量子堡垒机本地的量子通信网络服务站或量子通信网络服务器资源所在的量子通信网络服务站。
4)量子堡垒机本地的量子通信网络服务站或量子通信网络服务器资源所在的量子通信网络服务站使用共享的量子密钥将密文数据解密得到密钥信息,并通过安全的专线将该密钥信息直接传输到量子堡垒机或服务器ID所指定的服务器的安全加密模块,经安全加密模块加密后存储在密钥存储模块中。
通过以上方法完成对量子堡垒机与量子通信网络服务器资源中所有服务器的所有角色的量子随机数密钥对的颁发。
至此,量子堡垒机与量子通信网络服务器资源中各服务器实现量子随机数密钥共享,且量子堡垒机与每个服务器共享的量子随机数密钥精确到该服务器的不同的角色。
3. 终端用户登录量子堡垒机***的过程
终端用户分为两类,第一类是堡垒机运维用户,包括堡垒机的各级管理员、各级审计员等,其目标访问设备是量子堡垒机。第二类是服务器运维用户,包括服务器的各级管理员、各级运维人员等,其目标访问设备是量子通信网络服务器资源中的各服务器。
本发明中,服务器运维用户必须先登录量子堡垒机,由量子堡垒机代替服务器运维用户完成与量子通信网络服务器资源中的各服务器之间的认证,从而获取访问相应服务器的权限。
因此,无论是堡垒机运维用户还是服务器运维用户都只需要完成与量子堡垒机的认证,该认证优选为通过共享的量子随机数密钥完成的双向身份认证。具体过程如下:
(1)终端用户通过量子密钥卡将用户ID、所登录堡垒机的IP端口和权限信息等等作为请求消息发送给量子堡垒机。
(2)量子堡垒机接收到请求消息后,生成一个随机数N1,返回给终端用户。
(3)终端用户接收到随机数N1。首先,使用与量子堡垒机共享的量子随机数密钥K1和随机数N1通过认证函数得到认证码MAC1。然后,终端用户生成一个随机数N2。最后,将随机数N2和认证码MAC1返回给量子堡垒机。
(4)量子堡垒机接收到随机数N2和认证码MAC1。首先,量子堡垒机通过用户ID找到与该终端用户共享的量子随机数密钥K1’,并将K1’和随机数N1通过认证函数得到MAC1’。
比较MAC1和MAC1’,如果MAC1=MAC1’则表明量子堡垒机对该终端用户认证成功,量子堡垒机向该终端用户返回认证成功的消息。如果MAC1≠MAC1’,则表明量子堡垒机对该终端用户认证失败,量子堡垒机向该终端用户返回认证失败的消息。如果量子堡垒机对该终端用户认证成功,量子堡垒机使用与终端用户共享的量子随机数密钥K2对随机数N2进行认证函数处理得到认证码MAC2,并将认证码MAC2返回给终端用户。
(5)终端用户接收到认证码MAC2,使用与量子堡垒机共享的量子随机数密钥K2’对随机数N2作认证函数处理得到认证码MAC2’。
比较MAC2和MAC2’,如果MAC2=MAC2’,则表明终端用户对量子堡垒机认证成功并向量子堡垒机返回认证成功的消息。如果MAC2≠MAC2’,则表明终端用户对量子堡垒机认证失败并向量子堡垒机返回认证失败的消息。
本发明中生成认证码所使用的认证函数,优选为HMAC算法。
通过以上步骤完成了量子堡垒机与终端用户之间的双向身份认证。
如图3所示,认证成功之后,量子堡垒机将完全确定该终端用户的类型、角色权限等信息。如果该终端用户是堡垒机运维用户,则该终端用户可以根据其角色权限对量子堡垒机进行相应的安全操作。如果该终端用户是服务器运维用户,则量子堡垒机将根据其角色权限确定该服务器运维用户所拥有的量子通信网络服务器资源中各服务器的角色权限。
量子堡垒机根据该服务器运维用户所拥有的各服务器角色权限找到与这些服务器的不同角色共享的量子随机数密钥,通过这些量子随机数密钥完成与这些服务器的不同角色间的双向身份认证,认证成功后表明该服务器运维用户获得访问相应的服务器的某些功能的权限。其中量子堡垒机与一个角色权限的认证过程如下:
a)量子堡垒机与服务器运维用户完成身份认证后,确定该用户的身份及其角色权限等信息,包括用户所拥有的访问量子通信网络服务器资源中各服务器ID及其角色ID。
b)量子堡垒机通过安全加密模块向密钥存储模块获得与服务器ID及其角色ID共享的量子随机数密钥,并通过量子密钥卡将服务器ID、角色ID等作为请求消息发送给服务器ID所对应的服务器。
c)该服务器接收到请求消息后,生成一个随机数N3,返回给量子堡垒机。
d)量子堡垒机接收到随机数N3。首先,使用与服务器ID及其角色ID共享的量子随机数密钥K3和随机数N3通过认证函数得到认证码MAC3。然后,量子堡垒机生成一个随机数N4。最后,将随机数N4和认证码MAC3返回给服务器ID所对应的服务器。
e)服务器ID所对应的服务器接收到随机数N4和认证码MAC3。首先,该服务器通过角色ID找到共享的量子随机数密钥K3’,并将K3’和随机数N3通过认证函数得到MAC3’。比较MAC3和MAC3’,如果MAC3=MAC3’则表明该服务器对量子堡垒机认证成功,该服务器向量子堡垒机返回认证成功的消息。如果MAC3≠MAC3’,则表明该服务器对量子堡垒机认证失败,该服务器向量子堡垒机返回认证失败的消息。如果该服务器对量子堡垒机认证成功,该服务器使用角色ID共享的量子随机数密钥K4对随机数N4进行认证函数处理得到认证码MAC4,并将认证码MAC4返回给量子堡垒机。
f)量子堡垒机接收到认证码MAC4,使用角色ID共享的量子随机数密钥K4’对随机数N4作认证函数处理得到认证码MAC4’。比较MAC4和MAC4’,如果MAC4=MAC4’,则表明量子堡垒机对该服务器认证成功并向该服务器返回认证成功的消息。如果MAC4≠MAC4’,则表明量子堡垒机对该服务器认证失败并向该服务器返回认证失败的消息。
g)按照上述过程完成对所有角色的认证,认证完成后,该服务器运维用户即可通过量子堡垒机按照指定的权限策略对量子通信网络服务器资源中的服务器进行操作。
本发明中需要通过共享量子随机数密钥完成的身份认证优选为上述双向身份认证。但是,本发明不局限上述双向身份认证,也可以是单向身份认证,凡是依赖于共享量子随机数密钥的身份认证都属于本发明的保护范围之内。
本发明中,量子堡垒机、量子通信网络服务器资源中的各服务器和量子密钥颁发中心任意两者之间远程数据通信的过程都可以通过量子通信网络进行数据加密传输。
需要指出的是,本发明对实施例的描述只是为了说明的需要,并不是对本发明权利要求保护范围的限定。同时,任何本领域普通技术人员对本发明所进行的修改、改进或等同替换都属于本发明的保护范围。
Claims (15)
1.一种量子堡垒机***,其特征在于它包括终端用户、量子堡垒机及量子通信网络服务器资源;
所述量子堡垒机管控终端用户访问量子通信网络服务器资源;
所述***还配设有量子密钥颁发中心及量子密钥卡,该量子密钥卡由终端用户在量子密钥颁发中心注册后颁发;所述量子密钥颁发中心生成量子随机数,并分别颁发给量子密钥卡、量子堡垒机及量子通信网络服务器资源作为量子随机数密钥;
所述量子密钥卡存储用户信息及量子密钥颁发中心颁发的量子随机数密钥,所述***通过量子密钥卡与量子堡垒机或者量子堡垒机与量子通信网络服务器资源对应的量子随机数密钥对来实现相互之间的认证,实现终端用户对量子堡垒机或者量子通信网络服务器资源的访问。
2.如权利要求1所述的一种量子堡垒机***,其特征在于所述终端用户包括堡垒机运维用户和服务器运维用户;所述量子通信网络服务器资源为量子通信网络服务站中需要被量子堡垒机监控的所有服务器。
3.如权利要求1所述的一种量子堡垒机***,其特征在于所述量子堡垒机包括安全加密模块、密钥存储模块及认证模块;
所述安全加密模块用于对量子随机数密钥进行加解密操作;
所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥;
所述认证模块用于对量子密钥卡和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。
4.如权利要求1所述的一种量子堡垒机***,其特征在于所述量子通信网络服务器资源中的各服务器包括安全加密模块、密钥存储模块及认证模块;
所述安全加密模块用于对量子随机数密钥进行加解密操作;
所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥;
所述认证模块用于量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。
5.如权利要求1所述的一种量子堡垒机***,其特征在于所述量子密钥颁发中心通过量子随机数发生服务器生成量子随机数,将量子随机数分别颁发给各终端用户和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源之间以形成共享的量子随机数密钥对。
6.一种量子堡垒机***的认证方法,其特征在于它包括以下步骤:
S1终端用户连接量子堡垒机,量子堡垒机接入到量子通信网络服务器资源;
S2量子密钥颁发中心分别对终端用户和量子堡垒机、量子堡垒机和量子通信网络服务器资源颁发量子随机数密钥对;
S3终端用户登录量子堡垒机,通过终端用户和量子堡垒机或者量子堡垒机和量子通信网络服务器资源的对应的量子随机数密钥对来实现相互之间的认证,从而获取相应的访问权限。
7.如权利要求6所述的一种量子堡垒机***的认证方法,其特征在于所述量子密钥颁发中心通过量子随机数发生服务器产生量子随机数,将量子随机数分别颁发给各终端用户和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源之间以形成共享的量子随机数密钥对。
8.如权利要求6所述的一种量子堡垒机***的认证方法,其特征在于终端用户拥有与自身身份相对应的量子密钥卡,该量子密钥卡由终端用户在量子密钥颁发中心注册后颁发,量子密钥卡与量子堡垒机之间共享有相应的量子随机数密钥;所述量子堡垒机及量子通信网络服务器资源共享有相应的量子随机数密钥。
9.如权利要求6所述的一种量子堡垒机***的认证方法,其特征在于所述终端用户和量子堡垒机之间的认证请求中携带有终端用户的用户标识信息,量子堡垒机通过该用户标识信息对认证请求进行认证,所述用户标识信息来自与终端用户身份相对应的量子密钥卡,所述量子密钥卡由终端用户在量子密钥颁发中心注册后颁发。
10.如权利要求6所述的一种量子堡垒机***的认证方法,其特征在于所述终端用户包括堡垒机运维用户和服务器运维用户,所述量子通信网络服务器资源为量子通信网络服务站中需要被量子堡垒机监控的所有服务器。
11.如权利要求10所述的一种量子堡垒机***的认证方法,其特征在于终端用户对量子堡垒机认证成功后,
量子堡垒机确定该终端用户为堡垒机运维用户时,该终端用户根据其角色权限对量子堡垒机进行相应操作;
量子堡垒机确定该终端用户为服务器运维用户,则量子堡垒机确定该终端用户所对应的量子通信网络服务器资源中的服务器及其所有角色权限,并根据该终端用户所对应的所有角色权限,对量子堡垒机与该终端用户对应的量子通信网络服务器资源中的服务器分别进行认证,所有角色权限都认证成功后该终端用户获得访问该终端用户对应的量子通信网络服务器资源中的服务器的权限。
12.如权利要求6所述的一种量子堡垒机***的认证方法,其特征在于,所述量子堡垒机包括安全加密模块、密钥存储模块及认证模块;
所述安全加密模块用于对量子随机数密钥进行加解密操作;
所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥;
所述认证模块用于对量子密钥卡和量子堡垒机之间、量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。
13.如权利要求12所述的一种量子堡垒机***的认证方法,其特征在于,量子密钥颁发中心向量子堡垒机颁发量子随机数密钥的方式包括:
方式a、经由移动存储介质传输至所述安全加密装置;或
方式b、经由通信专线直接传输至所述安全加密装置;
在方式a和方式b中,安全加密装置对接收到的量子随机数密钥加密后存储在量子堡垒机的密钥存储模块中。
14.如权利要求6所述的一种量子堡垒机***的认证方法,其特征在于,所述量子通信网络服务器资源中的各服务器均包括安全加密模块、密钥存储模块及认证模块;
所述安全加密模块用于对量子随机数密钥进行加解密操作;
所述密钥存储模块用来存储经安全加密模块加密处理后的量子随机数密钥;
所述认证模块用于量子堡垒机和量子通信网络服务器资源的各服务器之间进行相互认证。
15.如权利要求14所述的一种量子堡垒机***的认证方法,其特征在于,量子密钥颁发中心向量子通信网络服务器资源中的各服务器颁发量子随机数密钥的方式包括:
方式a、经由移动存储介质传输至所述安全加密装置;或
方式b、经由通信专线直接传输至所述安全加密装置;
在方式a和方式b中,安全加密装置对接收到的量子随机数密钥加密后存储在量子通信网络服务器资源中的各服务器的密钥存储模块中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710003788.5A CN106888084B (zh) | 2017-01-04 | 2017-01-04 | 一种量子堡垒机***及其认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710003788.5A CN106888084B (zh) | 2017-01-04 | 2017-01-04 | 一种量子堡垒机***及其认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106888084A true CN106888084A (zh) | 2017-06-23 |
| CN106888084B CN106888084B (zh) | 2021-02-19 |
Family
ID=59176209
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710003788.5A Active CN106888084B (zh) | 2017-01-04 | 2017-01-04 | 一种量子堡垒机***及其认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106888084B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109213603A (zh) * | 2018-05-31 | 2019-01-15 | 合肥本源量子计算科技有限责任公司 | 一种用于对接量子计算机与用户的云平台及平台运行方法 |
| CN109450859A (zh) * | 2018-10-15 | 2019-03-08 | 成都安恒信息技术有限公司 | 一种应用于运维审计***中明文协议代理的密码保护方法 |
| CN109495251A (zh) * | 2018-12-03 | 2019-03-19 | 如般量子科技有限公司 | 基于密钥卡的抗量子计算智能家庭云存储方法和*** |
| CN109495250A (zh) * | 2018-12-03 | 2019-03-19 | 如般量子科技有限公司 | 基于密钥卡的抗量子计算智能家庭通信方法 |
| CN109660338A (zh) * | 2018-11-19 | 2019-04-19 | 如般量子科技有限公司 | 基于对称密钥池的抗量子计算数字签名方法和抗量子计算数字签名*** |
| CN110505063A (zh) * | 2018-05-17 | 2019-11-26 | 广东国盾量子科技有限公司 | 一种保证金融支付安全性的方法及*** |
| CN110719277A (zh) * | 2019-09-30 | 2020-01-21 | 北京网瑞达科技有限公司 | 基于一次性访问凭据的网络设备安全访问的***和方法 |
| CN110719276A (zh) * | 2019-09-30 | 2020-01-21 | 北京网瑞达科技有限公司 | 基于缓存密码的网络设备安全访问的***及其工作方法 |
| CN110933039A (zh) * | 2019-11-05 | 2020-03-27 | 河南智业科技发展有限公司 | 一种安全调取数据的征兵*** |
| CN112187451A (zh) * | 2020-08-20 | 2021-01-05 | 如般量子科技有限公司 | 抗量子计算的通信方法、装置、设备及存储介质 |
| CN113037708A (zh) * | 2021-02-02 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于应用层协议的量子设备硬件资源统一管理方法及*** |
| CN113346990A (zh) * | 2021-05-11 | 2021-09-03 | 科大讯飞股份有限公司 | 安全通信方法及***、相关设备和装置 |
| CN114244604A (zh) * | 2021-12-16 | 2022-03-25 | 杭州乒乓智能技术有限公司 | 适用于堡垒机的一体化权限管理方法、***、电子设备和可读存储介质 |
| CN114826574A (zh) * | 2022-04-19 | 2022-07-29 | 中国电子科技集团公司第三十研究所 | 智能家居安全通信***及通信方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7391867B2 (en) * | 2004-04-22 | 2008-06-24 | Magiq Technologies, Inc. | Graphical display of QKD system statistics |
| CN102196425A (zh) * | 2011-07-01 | 2011-09-21 | 安徽量子通信技术有限公司 | 基于量子密钥分配网络的移动加密***及其通信方法 |
| CN103338448A (zh) * | 2013-06-07 | 2013-10-02 | 国家电网公司 | 一种基于量子密钥分发的无线局域网安全通信方法 |
| CN103475727A (zh) * | 2013-09-18 | 2013-12-25 | 浪潮电子信息产业股份有限公司 | 一种基于桥模式的数据库审计方法 |
| US20140052664A1 (en) * | 2009-05-06 | 2014-02-20 | Crabdish Inc., Dba Umapper.Com | Map-authoring applications and geogames |
| EP2555466B1 (en) * | 2011-08-05 | 2014-07-02 | SELEX ES S.p.A. | System for distributing cryptographic keys |
| WO2014194858A1 (zh) * | 2013-06-08 | 2014-12-11 | 安徽量子通信技术有限公司 | 一种基于量子密钥分配网络的移动保密通信方法 |
| CN104243419A (zh) * | 2013-06-18 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 基于安全外壳协议的数据处理方法、装置及*** |
| WO2016112086A1 (en) * | 2015-01-08 | 2016-07-14 | Alibaba Group Holding Limited | Quantum key distribution system, method and apparatus based on trusted relay |
| CN105812367A (zh) * | 2016-03-15 | 2016-07-27 | 浙江神州量子网络科技有限公司 | 一种量子网络中网络接入设备的认证***及认证方法 |
| US20160300223A1 (en) * | 2015-04-08 | 2016-10-13 | Portable Data Corporation | Protected data transfer across disparate networks |
| WO2016177332A1 (zh) * | 2015-05-05 | 2016-11-10 | 科大国盾量子技术股份有限公司 | 云存储方法及*** |
-
2017
- 2017-01-04 CN CN201710003788.5A patent/CN106888084B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7391867B2 (en) * | 2004-04-22 | 2008-06-24 | Magiq Technologies, Inc. | Graphical display of QKD system statistics |
| US20140052664A1 (en) * | 2009-05-06 | 2014-02-20 | Crabdish Inc., Dba Umapper.Com | Map-authoring applications and geogames |
| CN102196425A (zh) * | 2011-07-01 | 2011-09-21 | 安徽量子通信技术有限公司 | 基于量子密钥分配网络的移动加密***及其通信方法 |
| EP2555466B1 (en) * | 2011-08-05 | 2014-07-02 | SELEX ES S.p.A. | System for distributing cryptographic keys |
| CN103338448A (zh) * | 2013-06-07 | 2013-10-02 | 国家电网公司 | 一种基于量子密钥分发的无线局域网安全通信方法 |
| WO2014194858A1 (zh) * | 2013-06-08 | 2014-12-11 | 安徽量子通信技术有限公司 | 一种基于量子密钥分配网络的移动保密通信方法 |
| CN104243419A (zh) * | 2013-06-18 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 基于安全外壳协议的数据处理方法、装置及*** |
| CN103475727A (zh) * | 2013-09-18 | 2013-12-25 | 浪潮电子信息产业股份有限公司 | 一种基于桥模式的数据库审计方法 |
| WO2016112086A1 (en) * | 2015-01-08 | 2016-07-14 | Alibaba Group Holding Limited | Quantum key distribution system, method and apparatus based on trusted relay |
| US20160300223A1 (en) * | 2015-04-08 | 2016-10-13 | Portable Data Corporation | Protected data transfer across disparate networks |
| WO2016177332A1 (zh) * | 2015-05-05 | 2016-11-10 | 科大国盾量子技术股份有限公司 | 云存储方法及*** |
| CN105812367A (zh) * | 2016-03-15 | 2016-07-27 | 浙江神州量子网络科技有限公司 | 一种量子网络中网络接入设备的认证***及认证方法 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110505063A (zh) * | 2018-05-17 | 2019-11-26 | 广东国盾量子科技有限公司 | 一种保证金融支付安全性的方法及*** |
| CN109213603A (zh) * | 2018-05-31 | 2019-01-15 | 合肥本源量子计算科技有限责任公司 | 一种用于对接量子计算机与用户的云平台及平台运行方法 |
| CN109450859A (zh) * | 2018-10-15 | 2019-03-08 | 成都安恒信息技术有限公司 | 一种应用于运维审计***中明文协议代理的密码保护方法 |
| CN109660338B (zh) * | 2018-11-19 | 2021-07-27 | 如般量子科技有限公司 | 基于对称密钥池的抗量子计算数字签名方法和*** |
| CN109660338A (zh) * | 2018-11-19 | 2019-04-19 | 如般量子科技有限公司 | 基于对称密钥池的抗量子计算数字签名方法和抗量子计算数字签名*** |
| CN109495251A (zh) * | 2018-12-03 | 2019-03-19 | 如般量子科技有限公司 | 基于密钥卡的抗量子计算智能家庭云存储方法和*** |
| CN109495250A (zh) * | 2018-12-03 | 2019-03-19 | 如般量子科技有限公司 | 基于密钥卡的抗量子计算智能家庭通信方法 |
| CN109495250B (zh) * | 2018-12-03 | 2021-08-10 | 如般量子科技有限公司 | 基于密钥卡的抗量子计算智能家庭通信方法及*** |
| CN110719277B (zh) * | 2019-09-30 | 2022-01-04 | 北京网瑞达科技有限公司 | 基于一次性访问凭据的网络设备安全访问的***和方法 |
| CN110719276A (zh) * | 2019-09-30 | 2020-01-21 | 北京网瑞达科技有限公司 | 基于缓存密码的网络设备安全访问的***及其工作方法 |
| CN110719276B (zh) * | 2019-09-30 | 2021-12-24 | 北京网瑞达科技有限公司 | 基于缓存密码的网络设备安全访问的***及其工作方法 |
| CN110719277A (zh) * | 2019-09-30 | 2020-01-21 | 北京网瑞达科技有限公司 | 基于一次性访问凭据的网络设备安全访问的***和方法 |
| CN110933039A (zh) * | 2019-11-05 | 2020-03-27 | 河南智业科技发展有限公司 | 一种安全调取数据的征兵*** |
| CN112187451A (zh) * | 2020-08-20 | 2021-01-05 | 如般量子科技有限公司 | 抗量子计算的通信方法、装置、设备及存储介质 |
| CN113037708A (zh) * | 2021-02-02 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于应用层协议的量子设备硬件资源统一管理方法及*** |
| CN113037708B (zh) * | 2021-02-02 | 2023-08-25 | 中国人民解放军战略支援部队信息工程大学 | 基于应用层协议的量子设备硬件资源统一管理方法及*** |
| CN113346990A (zh) * | 2021-05-11 | 2021-09-03 | 科大讯飞股份有限公司 | 安全通信方法及***、相关设备和装置 |
| CN114244604A (zh) * | 2021-12-16 | 2022-03-25 | 杭州乒乓智能技术有限公司 | 适用于堡垒机的一体化权限管理方法、***、电子设备和可读存储介质 |
| CN114244604B (zh) * | 2021-12-16 | 2024-03-29 | 杭州乒乓智能技术有限公司 | 适用于堡垒机的一体化权限管理方法、***、电子设备和可读存储介质 |
| CN114826574A (zh) * | 2022-04-19 | 2022-07-29 | 中国电子科技集团公司第三十研究所 | 智能家居安全通信***及通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106888084B (zh) | 2021-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106888084A (zh) | 一种量子堡垒机***及其认证方法 | |
| CN111429254B (zh) | 一种业务数据处理方法、设备以及可读存储介质 | |
| CN101421968B (zh) | 用于连网计算机应用的鉴权*** | |
| CN113094730B (zh) | 一种基于互联网的医疗数据安全管理平台 | |
| CN109768988A (zh) | 去中心化物联网安全认证***、设备注册和身份认证方法 | |
| CN106789029B (zh) | 一种基于量子堡垒机的审计***和审计方法以及量子堡垒机*** | |
| Zhong et al. | Distributed blockchain‐based authentication and authorization protocol for smart grid | |
| CN109361668A (zh) | 一种数据可信传输方法 | |
| CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
| US20020107804A1 (en) | System and method for managing trust between clients and servers | |
| US20010020228A1 (en) | Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources | |
| CN107257334A (zh) | 用于Hadoop集群的身份认证方法 | |
| CN105900375A (zh) | 用于在认证交易中保护身份的高效方法 | |
| US10263782B2 (en) | Soft-token authentication system | |
| CN104767731A (zh) | 一种Restful移动交易***身份认证防护方法 | |
| CN101686127A (zh) | 一种新型的USBKey安全调用方法和USBKey装置 | |
| CN108604985A (zh) | 数据传送方法、控制数据使用的方法以及密码设备 | |
| CN109962890A (zh) | 一种区块链的认证服务装置及节点准入、用户认证方法 | |
| Mohanta et al. | A novel approach to solve security and privacy issues for iot applications using blockchain | |
| CN109688119A (zh) | 一种云计算中的可匿名追踪性身份认证方法 | |
| KR20190030317A (ko) | 블록체인을 이용한 사물인터넷 보안 시스템 및 보안 방법 | |
| CN109617875A (zh) | 一种终端通信网的安全接入平台及其实现方法 | |
| CN110138548A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和*** | |
| CN114270386A (zh) | 用于同意架构的认证器应用 | |
| CN110519222A (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |