基于量子密码水印的终端接入认证方法

本发明涉及量子保密通信领域，特别是涉及基于量子密码水印的终端接入认证方法。

计算机网络技术的迅速发展，以致信息渗透了我们周围的生活环境。保护信息安全也就自然成为了当今时代一个必须解决的关键问题，而身份认证技术则是实现信息安全的核心技术之一。当前通信网络中，身份认证系统通常采用非对称密码体制或对称密码体制两种加密体制。其中，非对称密码体制中的加密密码和解密密码不同，并且从加密密码无法推算出解密密码，这使得解密密码具有较高的安全性，也使得采用非对称密码体制的认证系统可实现可靠的用户身份认证，且加密密码可以公开，因此在认证过程中所需密码数量较少。对称密码体制则由于密码较短、加解密处理简单、加解密速度快，因而采用对称密码体制的认证系统具有认证速度快的优点，可以满足大规模网络应用的基本需求。

但无论是非对称密码体制或对称密码体制，加密和解密算法主要依赖于计算的复杂度。计算的高度复杂性确保窃听者在没有密钥的情况下，在有限的时间内无法完成破解所需的大量计算，来保证信息安全。量子计算借助高效的计算能力几乎可以破译目前所有传统的加密方法，使传统的加密算法无密可保。量子通信技术的信息安全基于量子密码学，以量子状态作为密钥突破了传统加密方法的束缚，具有不可窃听、不可复制性和理论上的“无条件安全性”。任何截获或测试量子密钥的操作，都会改变量子状态，量子通信能够确保两地之间密钥分配和通信的绝对安全性。

无论是非对称密码体制还是对称密码体制，计算机密码学中的经典算法往往利用计算复杂度或不可破解的数学问题来为破解设置障碍。显而易见，此类算法都依赖于复杂的数学算法，即由于破解速率受限于现今计算机的计算能力，无法在密码有效力的时间段内完成破解。而当下具有相同时钟脉冲速度的量子计算机逐渐走入现实，其强大的计算能力与适宜的量子计算机算法进行结合，可使利用计算机密码学中的经典算法作为身份认证安全屏障的系统迅速瓦解。

鉴于此种隐患，基于量子保密通信的绝对安全性和量子密码的真随机性，本发明提出了一种基于量子密码水印的终端接入认证方法，将量子密码与数字水印技术结合，以实现在量子计算机环境下仍安全可靠的身份认证。

本发明采用如下技术方案：基于量子密码水印的终端接入认证方法，其特征在于，该方法采用的系统包含：量子密码生成网络、Alice发送端量子密码处理网关、Bob接收端量子密码处理网关、认证接入终端及认证终端，

所述Alice发送端量子密码处理网关包含量子密码分控管理模块和第一量子密码处理模块，其中量子密码分控管理模块用于向量子密码生成网络申请量子密码，并对获取的量子密码进行保存及管理，同时量子密码分控管理模块还用于响应认证接入终端的申请量子密码请求；第一量子密码处理模块用于将量子密码转换为二值图并置乱生成量子数字水印，同时发送给认证接入终端；

所述Bob接收端量子密码处理网关包含量子密码主控管理模块、第二量子密码处理模块及量子数字水印认证模块，其中量子密码主控管理模块用于响应各个Alice发送端量子密码处理网关的申请量子密码请求，量子密码主控管理模块还用于保存、管理和分发给量子密码生成网络中对应Alice发送端的量子密码，响应认证终端的申请量子密码请求；第二量子密码处理模块用于将量子密码转换为二值图并置乱生成量子数字水印；量子数字水印认证模块用于向认证终端发送量子数字水印位置信息，量子数字水印认证模块还用于接收由第二量子密码处理模块生成的量子数字水印及接收认证终端发送的量子数字水印，并进行量子数字水印比对，向认证终端发送量子数字水印比对结果；

所述认证接入终端包括指纹图像生成模块和认证接入模块，指纹图像生成模块用于检录用户指纹并将其转换成指纹图像；认证接入模块用于向Alice发送端量子密码处理网关申请量子密码、将量子数字水印嵌入到指纹图像生成认证指纹图像、向认证终端发送认证指纹图像、接入请求和认证终端建立数据连接；

所述认证终端的认证中心模块用于接收认证接入终端的接入请求，接收Bob接收端量子密码处理网关发送的量子数字水印定位信息，将认证指纹图像分解为量子数字水印与指纹图像，调取本地保存的指纹图像并与接收的指纹图像进行比对，向Bob接收端量子密码处理网关发送量子数字水印以及接收Bob接收端量子密码处理网关发送的量子数字水印比对结果，对认证接入终端的接入请求进行决策和回复，

具体包括如下步骤：

1)认证接入终端检录用户指纹，并生成具有指纹信息的指纹图像；

2)认证接入终端向Alice发送端量子密码处理网关发送申请量子密码请求；

3)Alice发送端量子密码处理网关响应认证接入终端向其发送的申请量子密码请求，同时对量子密码进行二值化转换形成量子数字水印发送给认证接入终端；

4)认证接入终端接收Alice发送端量子密码处理网关向其发送的量子数字水印，并将该量子数字水印嵌入到步骤1)中所述指纹图像中生成认证指纹图像；

5)认证接入终端将步骤4)中所述的认证指纹图像发送至认证终端，作为认证接入终端接入认证终端的接入请求；

6)认证终端接收认证接入终端向其发送的认证指纹图像，并将认证指纹图像分解为量子数字水印与指纹图像，调取本地预先保存的指纹图像与分解认证指纹图像得到的指纹图像进行比对，比对成功后，认证终端向Bob接收端量子密码处理网关发送分解认证指纹图像得到的量子数字水印；

7)Bob接收端量子密码处理网关接收认证终端向其发送的量子数字水印，与其内部的量子数字水印进行比对；

8)Bob接收端量子密码处理网关将量子数字水印比对结果反馈给认证终端，比对成功，认证终端接受认证接入终端接入请求，比对失败，认证终端拒绝接受认证接入终端接入请求。

所述量子密码生成网络包含一个Bob接收端和至少一个Alice发送端，量子密码生成网络中的Bob接收端与量子密码生成网络中的各个Alice发送端之间按照BB84协议生成量子密码。

通过上述设计方案，本发明可以带来如下有益效果：本发明提出了一种基于量子密码水印的终端接入认证方法，基于量子密钥分配机制的量子保密通信系统能够产生具有真随机性的安全密钥，将其应用于数字水印技术中能够有效提高水印算法的安全性和稳健性。另外指纹识别技术亦是信息安全的核心技术之一。用即时检录用户指纹和预先保存的指纹进行比较，以验证真实身份，其原理在于每个人指纹纹路在图像、断点和交叉点上各不相同，具有唯一性和稳定性。将指纹识别技术与基于量子密码的数字水印技术相融合进行身份认证，能够极大的提升身份认证的安全性。

下面结合附图说明和具体实施方式对本发明作进一步说明：

图1为本发明基于量子密码水印的终端接入认证方法的实施示意图；

图2为本发明基于量子密码水印的终端接入认证方法的工作流程图；

图3为本发明中认证接入终端与认证终端建立连接时序图；

图4为本发明的量子密码结构图。

为使本发明的目的、技术方案和优点更加清楚明白，下面结合具体实施例，并参照附图，对本发明作进一步的详细说明，本发明中使用的“第一”及“第二”并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。

参照图1所示，本发明提出的基于量子密码水印的终端接入认证方法采用的系统包含：量子密码生成网络、Alice发送端量子密码处理网关、Bob接收端量子密码处理网关、认证接入终端及认证终端，其中图中代表通信关系的虚线连接为量子信道，实线连接为经典信道。

量子密码生成网络：量子密码生成网络组成部分为图1中虚线连接部分，其中一个量子密码生成网络仅有一个Bob接收端，但可有多个Alice发送端。Bob接收端与量子密码生成网络中的每个Alice发送端可按照BB84协议生成无条件可靠的量子密码。

Alice发送端量子密码处理网关：主要有量子密码分控管理模块和第一量子密码处理模块，其中量子密码分控管理模块的主要作用是向量子密码生成网络申请量子密码、保存管理经由量子密码生成网络生成的量子密码和响应认证接入终端的量子密码请求。第一量子密码处理模块具有将量子密码转换为二值图并置乱生成量子数字水印，同时发送给认证接入终端的功能。

Bob接收端量子密码处理网关：主要有量子密码主控管理模块、第二量子密码处理模块和量子数字水印认证模块，量子密码主控管理模块有响应各个Alice发送端量子密码处理网关的申请量子密码请求、分别保存、管理及分发给量子密码生成网络中对应Alice发送端的量子密码和响应认证终端的申请量子密码请求三个功能。第二量子密码处理模块具有将量子密码转换为二值图并置乱生成量子数字水印，量子数字水印认证模块的功能为向认证终端发送量子数字水印位置信息，接收由第二量子密码处理模块生成的量子数字水印，接收认证终端发送的量子数字水印，比对量子数字水印和向认证终端发送量子数字水印比对结果。

认证接入终端：主要有指纹图像生成模块和认证接入模块。其中，指纹图像生成模块可检录用户指纹并将其转换成指纹图像。而认证接入模块具有向Alice发送端量子密码处理网关申请量子密码、将量子数字水印嵌入到指纹图像生成认证指纹图像、向认证终端发送认证指纹图像、接入请求和认证终端建立连接等功能。

认证终端：认证终端的认证中心模块具有接收认证接入终端的接入请求，接收Bob接收端量子密码处理网关发送的量子数字水印位置信息，将认证指纹图像分解为量子数字水印与指纹图像，调取本地预先保存的指纹图像并与接收的指纹图像进行比对，向Bob接收端量子密码处理网关发送量子数字水印以及接收Bob端量子密码处理网关发送的量子数字水印比对结果，对认证接入终端的接入请求进行决策和回复等功能。

本发明提出的基于量子密码水印的终端接入认证方法，具体包括如下步骤：

1)认证接入终端检录用户指纹，并生成具有指纹信息的指纹图像；

2)认证接入终端向Alice发送端量子密码处理网关发送申请量子密码请求；

3)Alice发送端量子密码处理网关响应认证接入终端向其发送的申请量子密码请求，同时对量子密码进行二值化转换形成量子数字水印发送给认证接入终端；

4)认证接入终端接收Alice发送端量子密码处理网关向其发送的量子数字水印，并将该量子数字水印嵌入到步骤1)中所述指纹图像中生成认证指纹图像；

5)认证接入终端将步骤4)中所述的认证指纹图像发送至认证终端，作为认证接入终端接入认证终端的接入请求；

6)认证终端接收认证接入终端向其发送的认证指纹图像，并将认证指纹图像分解为量子数字水印与指纹图像，调取本地预先保存的指纹图像与分解认证指纹图像得到的指纹图像进行比对，比对成功后，认证终端向Bob接收端量子密码处理网关发送分解认证指纹图像得到的量子数字水印；

7)Bob接收端量子密码处理网关接收认证终端向其发送的量子数字水印，与其内部的量子数字水印进行比对；

8)Bob接收端量子密码处理网关将量子数字水印比对结果反馈给认证终端，比对成功，认证终端接受认证接入终端接入请求，比对失败，认证终端拒绝接受认证接入终端接入请求。

本发明基于量子密码水印的终端接入认证方法的工作流程图，如图2所示，具体流程步骤如下：

1)认证接入终端检录用户指纹，通过指纹图像生成模块生成具有指纹信息的指纹图像，并唤醒认证接入模块；

2)认证接入终端的认证接入模块向Alice发送端量子密码处理网关的量子密码分控管理模块申请量子密码作为量子数字水印，嵌入到指纹图像中，生成认证指纹图像；

3)认证接入模块将认证指纹图像通过经典信道发送至认证终端的认证中心模块，认证中心模块将认证指纹图像分解为量子数字水印与指纹图像；

4)量子数字水印与指纹图像均比对成功，认证中心模块则接受认证接入终端接入请求。比对失败，则拒绝认证接入终端的接入请求。

图3示出认证接入终端与认证终端建立连接时序图，具体流程步骤如下：

1)指纹图像唤醒认证接入终端的认证接入模块；

2)认证接入终端的认证接入模块向Alice发送端量子密码处理网关的量子密码分控管理模块发送量子密码申请；

3)Alice发送端量子密码处理网关的量子密码分控管理模块将量子密码作为量子数字水印置乱后与量子数字水印嵌入位置信息一起发送给认证接入终端；

4)认证接入终端将量子数字水印嵌入到指纹图像后，生成认证指纹图像；

5)认证接入终端发送认证指纹图像，向认证终端提交建立连接申请；

6)认证终端接收到认证指纹图像后，利用Bob接收端量子密码处理网关发送的量子密码嵌入位置信息将认证指纹图像分解为指纹图像与量子数字水印；

7)认证终端对指纹图像进行比对成功后，将量子数字水印发送给Bob接收端量子密码处理网关；

8)Bob接收端量子密码处理网关的量子密码主控管理模块将量子数字水印比对结果信息反馈给认证终端；

9)若量子数字水印比对结果信息为成功，则建立连接；若结果为失败，则拒绝建立连接请求。

基于量子密码水印的终端接入认证方法的量子密码结构图，如图4所示，具体说明如下：

1)一份被用于验证的量子密码应有n×(m+1)位字符，共分为n个部分，每部分(m+1)位字符；

2)每部分的前m位字符作为量子数字水印嵌入位置信息，第(m+1)位字符作为生成量子数字水印的像素值；

3)综上，一份(n×m+n)位字符的量子密码可生成一张具有n个像素点的量子数字水印，且每个像素点都有其对应的m位字符量子密码作为其嵌入指纹图像的位置信息。