(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210875414.3 (22)申请日 2022.07.25 (71)申请人 矩阵时光数字科技有限公司 地址 210000 江苏省南京市中国(江苏)自 由贸易试验区南京片区江淼路88号腾 飞大厦b座1 1层 (72)发明人 傅波海　杨鸽　张仕峰　 (51)Int.Cl. H04L 9/08(2006.01) H04W 12/03(2021.01) H04W 12/041(2021.01) H04W 12/06(2021.01) (54)发明名称 一种量子安全设备接入基站的方法和系统 (57)摘要 本发明公开了一种量子安全设备接入基站 的方法和系统， 本申请的方法包括： 量子安全设 备获取基站IP地址； 量子安全设备根据所述基站 IP地址向基站发送接入请求信息并携带设备ID； 基站接收所述接入请求信息， 并向验证端发送携 带有所述 设备ID的鉴权请求信息； 本方法提供了 专门针对量子安全设备如何接入基站的方法和 鉴权方案， 在接入时能够对量子安全设备进行安 全认证， 以保证其身份的合法性； 同时在后续同 步密钥鉴权过程中产生的随机数， 外界无法提前 获取知晓， 也难以对其进行仿冒， 加密密钥从预 先配置的根密钥组选取， 增加了外部获取的难 度， 结合量子安全设备和根密钥中心的双重鉴 权， 大大提高了后续基站下载同步根密钥组时的 安全性和可靠性。 权利要求书3页 说明书11页 附图3页 CN 115276974 A 2022.11.01 CN 115276974 A 1.一种量子安全设备接入基站的方法， 其特 征在于： 所述方法包括： 量子安全设备获取基站IP地址， 根据所述基站IP地址向基站发送接入请求信息并携带 设备ID； 所述基站接收所述接入请求信息， 并向验证端发送携带有所述设备ID的鉴权请求信 息； 所述基站接收来自所述验证端的首次接入鉴权结果信 息， 当识别所述首次接入鉴权结 果信息为鉴权成功时， 允许所述量子安全设备接入 所述基站； 其中， 所述首次接入鉴权结果 信息根据所述设备ID是否处于所述验证端的安全设备清单中生 成， 若所述设备ID处于所述 验证端的安全设备清单中， 则生成的首次接入鉴权结果信息标识 为鉴权成功， 否则， 生 成的 首次接入鉴权结果信息标识为 鉴权失败。 2.根据权利要求1所述的量子安全设备接入基站的方法， 其特征在于： 所述量子安全设 备获取所述基站IP地址的方法包括： 所述量子安全设备向基站外网服 务器发送基站请求消息； 所述基站外网服务器接收基站请求消息， 根据当前基站的接入情况和负载情况为量子 安全设备分配 基站并返回所述基站对应的基站IP地址 至所述量子安全设备。 3.根据权利要求1或2所述的量子安全设备接入基站 的方法， 其特征在于： 所述量子安 全设备接入所述基站之前还执 行如下操作： 根密钥中心获取待分发至所述量子安全设备的根密钥组， 并向所述量子安全设备分发 所述根密钥组； 所述量子安全设备接入所述基站后还执 行如下操作： 所述量子安全设备向所述基站发送接入请求信 息时， 所述接入请求信 息还携带有第 一 验证信息； 根密钥中心接收来自所述量子安全设备的第 一验证信 息， 根据第 一验证信 息中的设备 ID确定是否存在根密钥组， 并在所述根密钥组存在时， 生成第二验证信息； 再从所述根密钥 中心的根密钥组中选择一者作为第一密钥， 通过该第一密钥加密所述第一验证信息形成第 一密文， 加密所述第二验证信息生 成第二密 文， 再向所述量子安全设备发送第一密 文、 第二 密文和用于确定第一密钥的第一密钥索引； 所述量子安全设备接收第一密文、 第二密文和第一密钥索引， 根据第一密钥索引确定 第一密钥以解密第一密文并校验其是否与第一验证信息相同， 并在校验结果为相同时， 从 其存储的根密钥组中选择一者作为第二密钥， 通过该第二密钥加密第二验证信息形成第三 密文， 并向所述基站发送所述第三密文和用于确定第二密钥的第二密钥索引， 所述第二密 钥与所述第一密钥不相同； 所述基站接收所述第 三密文和第 二密钥索引， 并向所述根密钥中心发送第 三密文和第 二密钥索引； 所述根密钥中心接收所述第 三密文和第 二密钥索引， 根据 所述第二密钥索引确定第 二 密钥以解密第三密文并验证其是否与第二验证信息相同以生成根密钥中心 鉴权结果信息， 并在根密钥中心鉴权结果信息标识为鉴权通过时向所述基站发送所述量子安全设备对应 的根密钥组存 储位置信息； 所述基站接收所述根密钥中心鉴权结果信 息和根密钥组存储位置信 息， 根据所述根密权　利　要　求　书 1/3 页 2 CN 115276974 A 2钥组存储位置信息从所述根密钥中心下载所述量子安全设备对应的根密钥组， 并向所述量 子安全设备返回根密钥组获取 结果信息 。 4.一种量子安全设备接入基站的方法， 应用于所述量子安全设备与 所述基站断开连接 后再次接入所述基站的场景， 其特 征在于： 所述方法包括： 所述量子安全设备根据 所述基站IP地址再次向所述基站发送所述接入请求信 息， 所述 接入请求信息携带有设备ID、 当前入网ID和第三验证信息； 所述基站再次向所述鉴权中心发送鉴权请求信 息， 所述基站判断所述当前入 网ID是否 存在于所述基站的分配记录中， 并在所述入网ID存在于所述分配记录中时， 为所述量子安 全设备生成更新入网ID； 所述鉴权中心根据所述接入请求信息中的设备ID确定该设备ID是否处于安全设备清 单中以生成非首次接入鉴权结果信息， 并返回非首次接入鉴权结果信息 至所述基站； 所述基站若识别所述非首次接入鉴权结果信息为鉴权成功时， 生成第 四验证信息， 根 据接收的所述设备ID查找所述基站内存储的根密钥组， 从基站内存储的根密钥组中选择一 者作为第三密钥， 并通过该第三密钥加密第三验证信息形成第四密文， 以及加密第四验证 信息生成第 五密文， 再生成第三密钥对应的第三密钥索引； 向所述量子安全设备发送第四 密文、 第五密文及第三密钥索引； 所述量子安全设备接收第 四密文、 第五密文及第三密钥索引， 根据第三密钥索引在量 子安全设备内存储的根密钥组中确定第三密钥以解密第四密文并校验其是否与第三验证 信息相同以生成第一校验结果信息， 并在第一校验结果信息标识为相同时， 从其存储的根 密钥组中选择一者作为第四密钥， 生成第四密钥对应的第四密钥索引， 通过所述第四密钥 加密所述第四验证信息形成第六密文， 并向所述基站发送第六密文和第四密钥索引， 所述 第四密钥与所述第三密钥不相同； 所述基站接收所述第六密文和第四密钥索引， 根据第四密钥索引在所述基站内存储的 根密钥组中确定第四密钥以解密第六密文并校验其是否与第四验证信息相同以生成第二 校验结果信息， 并在第二校验结果信息标识为相同时， 向所述量子安全设备发送接入完成 消息， 所述接入完成消息携带有更新入网ID； 所述量子安全设备接收所述接入完成消息， 通过所述接入完成消息中的更新入 网ID连 接所述基站。 5.根据权利要求4所述的量子安全设备接入基站的方法， 其特征在于： 所述第 一验证信 息包括所述量子安全设备生成的第一随机数， 所述第二验证信息包括所述根密钥中心生成 的第二随机数， 所述第三验证信息包括所述量子安全设备生成的第三 随机数， 所述第四验 证信息包括所述基站生成的第四随机数。 6.根据权利要求4中所述的量子安全设备接入基站的方法， 其特征在于： 所述第 一随机 数、 第二随机数、 第三随机数和第四随机数均为 量子真随机数。 7.根据权利要求3所述的量子安全设备接入基站的方法， 其特征在于： 所述基站在识别 所述首次接入鉴权结果信息为鉴权成功后还向所述量子安全设备分配入网ID； 所述鉴权中 心还对所述入网ID进行记录 。 8.一种量子安全设备接入基站的系统， 其特征在于： 所述系统包括量子安全设备、 基站 和鉴权中心；权　利　要　求　书 2/3 页 3 CN 115276974 A 3