CN108574569A - 一种基于量子密钥的认证方法及认证装置 - Google Patents
一种基于量子密钥的认证方法及认证装置 Download PDFInfo
- Publication number
- CN108574569A CN108574569A CN201710134492.7A CN201710134492A CN108574569A CN 108574569 A CN108574569 A CN 108574569A CN 201710134492 A CN201710134492 A CN 201710134492A CN 108574569 A CN108574569 A CN 108574569A
- Authority
- CN
- China
- Prior art keywords
- key
- certification
- quantum
- quantum key
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种基于量子密钥的认证方法及认证装置。该方法包括:接收第一设备发送的第一认证请求,第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与第一密钥标识对应的第一量子密钥进行加密的第一认证密文;根据预先存储的第一密钥标识与第一量子密钥之间的对应关系,确定第一量子密钥;采用第一量子密钥对第一认证密文进行解密,并对解密后的第一认证密文进行认证;当获得认证成功结果时,采用第二量子密钥对第一设备的身份标识进行加密,生成第二认证请求;其中第二量子密钥为认证服务器与第二设备之间的共享密钥;将第二认证请求发送至第二设备。本发明能够解决现有技术利用公钥算法使认证效率较低的问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其是指一种基于量子密钥的认证方法及认证装置。
背景技术
在网络通信中,身份认证是指确认用户身份的过程,也是网络安全防护的第一道关口。目前对于设备身份认证技术,主要有预共享密钥和公钥证书两种认证方式。
其中采用预共享密钥认证方式时,要求认证双方事前预置一个相同的根密钥,为了保护根密钥,在认证过程中基于根密钥需要进行一系列的密码运算进行认证,且认证双方需要进行多次交互,需要占用一定的计算资源和网络资源;采用公钥证书认证方式时,要求被认证方拥有一张数字证书,同时自身需存储与证书对应的私钥,认证中需要使用公钥算法。然而公钥算法效率低,需要较多的计算资源,而且对终端能力要求较高。
因此现有技术通常所采用的预共享密钥和公钥证书两种认证方式,均存在一定的缺陷,而随着量子通信技术的快速发展,量子保密通信技术通过量子网络可以实现密钥的安全分发,保证密钥的绝对安全,因此使用量子网络产生的量子密钥实现身份认证和数据加密成为新的研究热点。
发明内容
本发明技术方案的目的是提供一种基于量子密钥的认证方法及认证装置,解决现有技术所采用的认证方式利用公钥算法使认证效率较低的问题。
本发明提供一种基于量子密钥的认证方法,应用于认证服务器,其中,所述认证方法包括:
接收第一设备发送的第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
根据预先存储的所述第一密钥标识与所述第一量子密钥之间的对应关系,确定所述第一量子密钥;
采用所述第一量子密钥对所述第一认证密文进行解密,并对解密后的所述第一认证密文进行认证;
当获得认证成功结果时,采用第二量子密钥对所述第一设备的身份标识进行加密,生成第二认证请求;其中所述第二量子密钥为所述认证服务器与所述第二设备之间的共享密钥;
将所述第二认证请求发送至所述第二设备。
优选地,所述的基于量子密钥的认证方法,其中,所述根据预先存储的所述第一密钥标识与所述第一量子密钥之间的对应关系,确定所述第一量子密钥的步骤包括:
获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述第一设备共享的多个量子密钥和相对应的密钥标识;
根据所述第一共享密钥集合信息中所记录的第一密钥标识,确定相对应的所述第一量子密钥。
优选地,所述的基于量子密钥的认证方法,其中,所述确定相对应的所述第一量子密钥之后,所述方法还包括:
判断所述第一量子密钥在所述第一共享密钥信息中是否被标记为已使用或者未存在,若判断结果为是,则向所述第一设备返回密钥错误的反馈信息;若判断结果为否,则向下执行所述采用所述第一量子密钥对所述第一认证密文进行解密的步骤。
优选地,所述的基于量子密钥的认证方法,其中,所述接收第一设备发送的第一认证请求的步骤之前,所述方法还包括:
通过量子网络获取与所述第一设备共享的多个量子密钥和相对应的密钥标识;
存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
优选地,所述的基于量子密钥的认证方法,其中,所述第一认证密文包括采用第一量子密钥进行加密的所述第一设备的身份标识;
其中所述对解密后的所述第一认证密文进行认证的步骤包括:
判断解密后的所述第一认证密文中的所述第一设备的身份标识与所述第一认证请求中第一设备的身份标识是否一致,当判断结果一致时,获得认证成功结果。
优选地,所述的基于量子密钥的认证方法,其中,所述采用第二量子密钥对所述第一设备的身份标识进行加密,生成第二认证请求的步骤之前,所述方法还包括:
获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述第二设备共享的多个量子密钥和相对应的密钥标识;
选择所述第二共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第二量子密钥。
优选地,所述的基于量子密钥的认证方法,其中,所述生成第二认证请求的步骤中,所述第二认证请求包括:所述第二设备的身份标识、与所述第二量子密钥相对应的第二密钥标识和采用所述第二量子密钥对所述第一设备的身份标识进行加密的第二认证密文。
优选地,所述的基于量子密钥的认证方法,其中,所述第二认证密文包括采用所述第二量子密钥对认证后获得的认证结果信息进行加密后获得的认证密文,所述第一设备的身份标识记录于所述认证结果信息中;
在采用第二量子密钥对认证后获得的认证结果信息进行加密的同时,所述方法还包括:
采用第二量子密钥对所述认证服务器的身份标识进行加密;其中所述第二认证密文还包括采用第二量子密钥对所述认证服务器的身份标识进行加密的认证密文;
所述生成第二认证请求的步骤中,所述第二认证请求还包括:所述认证服务器的身份标识。
优选地,所述的基于量子密钥的认证方法,其中,所述将所述第二认证请求发送至所述第二设备的步骤之后,所述方法还包括:
接收所述第二设备对所述第二认证请求进行认证且认证成功后反馈的第三认证请求,其中所述第三认证请求中包括第二设备的身份标识、第三密钥标识和采用与所述第三密钥标识相对应的第三量子密钥进行加密的第三认证密文;
根据预先存储的所述第三密钥标识与所述第三量子密钥之间的对应关系,确定所述第三量子密钥;
采用所述第三量子密钥对所述第三认证密文进行解密,并对解密后的所述第三认证密文进行认证;
当获得认证成功结果时,采用第四量子密钥对完成解密后第三认证密文认证获得的认证结果信息和所述认证服务器的身份标识进行加密,生成第四认证请求;其中所述第四量子密钥为所述认证服务器与所述第一设备之间的共享密钥,完成解密后第三认证密文进行认证获得的认证结果信息包括所述第二设备的身份标识,所述第四认证请求包括:所述认证服务器的身份标识、与所述第四量子密钥相对应的第四密钥标识、采用第四量子密钥对完成解密后第三认证密文认证获得的认证结果信息和所述认证服务器的身份标识进行加密的第四认证密文;
将所述第四认证请求发送至所述第一设备。
优选地,所述的基于量子密钥的认证方法,其中,所述接收第一设备发送的第一认证请求中,所述第一认证请求中的第一认证密文包括采用所述第一量子密钥进行加密的第一密钥协商参数;
其中采用第二量子密钥对认证后获得的认证结果信息进行加密时,所述认证结果信息包括所述第一设备的身份标识和所述第一密钥协商参数。
优选地,所述的基于量子密钥的认证方法,其中,所述接收第一设备发送的第一认证请求的步骤中,所述第一认证请求还包括两个整数n和g,且所述第一密钥协商参数与n和g之间满足以下关系式:
X=gx mod n
X为所述第一密钥协商参数的数值,x为随机选择的整数;
其中,所述生成第二认证请求的步骤中,所述第二认证请求中还包括整数n和g。
优选地,所述的基于量子密钥的认证方法,其中,所述第三认证密文中包括采用第三量子密钥进行加密的第二密钥协商参数和第二设备的身份标识;
其中,完成解密后第三认证密文进行认证获得的认证结果信息还包括所述第二密钥协商参数。
本发明还提供一种基于量子密钥的认证方法,应用于第一设备,其中,所述认证方法包括:
生成第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
将所述第一认证请求发送至认证服务器。
优选地,所述的基于量子密钥的认证方法,其中,所述生成第一认证请求的步骤之前,所述方法还包括:
获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
选择所述第一共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第一量子密钥。
优选地,所述的基于量子密钥的认证方法,其中,所述获取预先存储的第一共享密钥集合信息的步骤之前,所述方法还包括:
通过量子网络获取与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
优选地,所述的基于量子密钥的认证方法,其中,所述生成第一认证请求的步骤中,所述第一认证请求中的第一认证密文包括采用第一量子密钥进行加密的所述第一设备的身份标识。
优选地,所述的基于量子密钥的认证方法,其中,所述生成第一认证请求的步骤中,所述第一认证请求中的第一认证密文还包括第一密钥协商参数。
优选地,所述的基于量子密钥的认证方法,其中,所述第一认证请求中的第一认证密文还包括第一密钥协商参数时,所述生成第一认证请求的步骤之前,所述方法还包括:
选取三个整数n、g和x;
根据以下关系式计算获得所述第一密钥协商参数:
X=gx mod n
其中,X为所述第一密钥协商参数。
优选地,所述的基于量子密钥的认证方法,其中,所述生成第一认证请求的步骤中,所述第一认证请求中还包括记录整数n和g的参数;
所述生成第一认证请求的步骤之后,所述方法还包括:
存储x值。
优选地,所述的基于量子密钥的认证方法,其中,所述将所述第一认证请求发送至认证服务器的步骤之后,所述方法还包括:
接收所述认证服务器发送的认证密钥错误信息;
根据所述认证密钥错误信息,选择所述第一共享密钥集合信息中的未被标记为已使用的另一量子密钥作为所述第一量子密钥,重新生成所述第一认证请求。
优选地,所述的基于量子密钥的认证方法,其中,所述将所述第一认证请求发送至认证服务器的步骤之后,所述方法还包括:
接收所述认证服务器发送的认证通过信息;其中所述认证通过信息为所述认证服务器对所述第一认证请求认证成功后、根据所述第一认证请求生成第二认证请求发送至第二设备,且所述第二设备对所述第二认证请求认证通过后,由所述认证服务器发送;
根据所述认证通过信息,将所述第一共享密钥集合信息中的所述第一量子密钥标记为已使用或者从所述第一共享密钥集合信息中直接删除。
本发明还提供一种基于量子密钥的认证方法,应用于第二设备,其中,所述认证方法包括:
接收认证服务器发送的第二认证请求;其中所述第二认证请求中包括第二密钥标识、所述认证服务器采用第二量子密钥对第一设备的身份标识加密后的第二认证密文;
根据预先存储的所述第二密钥标识与所述第二量子密钥之间的对应关系,确定所述第二量子密钥;
采用所述第二量子密钥对所述第二认证密文进行解密,获得所述第一设备的身份标识。
优选地,所述的基于量子密钥的认证方法,其中,所述根据预先存储的所述第二密钥标识与所述第二量子密钥之间的对应关系,确定所述第二量子密钥的步骤包括:
获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
根据所述第二共享密钥集合信息中所记录的第二密钥标识,确定相对应的所述第二量子密钥。
优选地,所述的基于量子密钥的认证方法,其中,所述接收认证服务器发送的第二认证请求的步骤之前,所述方法还包括:
通过量子网络获取与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
存储所述量子密钥、相对应的密钥标识、所述第二设备的身份标识和所述认证服务器的身份标识,获得所述第二共享密钥集合信息。
优选地,所述的基于量子密钥的认证方法,其中,所述所述第二量子密钥之后,所述方法还包括:
判断所述第二量子密钥在所述第二共享密钥信息中是否被标记为已使用或者未存在,若判断结果为是,则向所述认证服务器返回密钥错误的反馈信息;若判断结果为否,则向下执行采用所述第二量子密钥对所述第二认证密文进行解密的步骤。
优选地,所述的基于量子密钥的认证方法,其中,在所述接收认证服务器发送的第二认证请求中,所述第二认证密文包括所述认证服务器采用第二量子密钥对所述认证服务器的身份标识进行加密的认证密文和采用所述第二量子密钥对完成第一设备发送的第一认证请求的认证后获得的认证结果信息进行加密后的认证密文,所述认证结果信息中包括第一设备的身份标识;
所述第二认证请求中还包括所述认证服务器的身份标识;
其中,采用所述第二量子密钥对所述第二认证密文进行解密,获得所述第一设备的身份标识的同时,还获得解密后第二认证密文中的认证服务器的身份标识。
优选地,所述的基于量子密钥的认证方法,其中,所述采用所述第二量子密钥对所述第二认证密文进行解密的步骤之后,所述方法还包括:
判断解密后的所述第二认证密文中的所述认证服务器的身份标识与所述第二认证请求中所述认证服务器的身份标识是否一致,当判断结果一致时,获得认证成功结果。
优选地,所述的基于量子密钥的认证方法,其中,在所述获得认证成功结果之后,所述方法还包括:
生成第三认证请求,其中所述第三认证请求中包括第二设备的身份标识、第三密钥标识和第三认证密文,所述第三认证密文包括采用与所述第三密钥标识相对应的第三量子密钥对第二设备的身份标识进行加密的认证密文;
向所述认证服务器发送所述第三认证请求。
优选地,所述的基于量子密钥的认证方法,其中,在所述生成第三认证请求之前,所述方法还包括:
获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
选择所述第二共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第三量子密钥。
优选地,所述的基于量子密钥的认证方法,其中,在所述接收认证服务器发送的第二认证请求中,所述认证结果信息中还包括第一密钥协商参数X;所述第二认证请求中还包括整数n和g;
其中,所述生成第三认证请求的步骤之前,所述方法还包括:
随机选择一随机整数y;
计算Y=gy mod n,获得第二密钥协商参数Y;
采用所述第三量子密钥对第二设备的身份标识和所述第二密钥协商参数Y进行加密,获得所述第三认证密文。
优选地,所述的基于量子密钥的认证方法,其中,所述向所述认证服务器发送所述第三认证请求的步骤之后,所述方法还包括:
将所述第二共享密钥集合信息中的所述第三量子密钥标记为已使用或者从所述第二共享密钥集合信息中直接删除。
本发明还提供一种基于量子密钥的认证装置,应用于认证服务器,其中,所述认证装置包括:
第一接收模块,用于接收第一设备发送的第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
第一分析模块,用于根据预先存储的所述第一密钥标识与所述第一量子密钥之间的对应关系,确定所述第一量子密钥;
第一认证模块,用于采用所述第一量子密钥对所述第一认证密文进行解密,并对解密后的所述第一认证密文进行认证;
第一请求生成模块,用于当获得认证成功结果时,采用第二量子密钥对所述第一设备的身份标识进行加密,生成第二认证请求;其中所述第二量子密钥为所述认证服务器与所述第二设备之间的共享密钥;
第一发送模块,用于将所述第二认证请求发送至所述第二设备。
优选地,所述的基于量子密钥的认证装置,其中,所述第一分析模块包括:
第一信息获取单元,用于获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述第一设备共享的多个量子密钥和相对应的密钥标识;
第一查找单元,用于根据所述第一共享密钥集合信息中所记录的第一密钥标识,确定相对应的所述第一量子密钥。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第一判断模块,用于判断所述第一量子密钥在所述第一共享密钥信息中是否被标记为已使用或者未存在,若判断结果为是,则向所述第一设备返回密钥错误的反馈信息;若判断结果为否,则所述第一认证模块采用所述第一量子密钥对所述第一认证密文进行解密。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第一密钥获取模块,用于通过量子网络获取与所述第一设备共享的多个量子密钥和相对应的密钥标识;
第一密钥存储模块,用于存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
优选地,所述的基于量子密钥的认证装置,其中,所述第一认证密文包括采用第一量子密钥进行加密的所述第一设备的身份标识;
所述第一认证模块包括:
第一判断单元,用于判断解密后的所述第一认证密文中的所述第一设备的身份标识与所述第一认证请求中第一设备的身份标识是否一致,当判断结果一致时,获得认证成功结果。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第一密钥选择模块,用于获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述第二设备共享的多个量子密钥和相对应的密钥标识;选择所述第二共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第二量子密钥。
优选地,所述的基于量子密钥的认证装置,其中,所述第一请求生成模块所生成的第二认证请求中,所述第二认证请求包括:所述第二设备的身份标识、与所述第二量子密钥相对应的第二密钥标识和采用所述第二量子密钥对所述第一设备的身份标识进行加密的第二认证密文。
优选地,所述的基于量子密钥的认证装置,其中,所述第二认证密文包括采用所述第二量子密钥对认证后获得的认证结果信息进行加密后获得的认证密文,所述第一设备的身份标识记录于所述认证结果信息中;
其中,所述第一请求生成模块还包括:
第一加密单元,用于采用第二量子密钥对所述认证服务器的身份标识进行加密;其中所述第二认证密文还包括采用第二量子密钥对所述认证服务器的身份标识进行加密的认证密文;
其中所述第一请求生成模块所生成的第二认证请求中,所述第二认证请求还包括:所述认证服务器的身份标识。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第二接收模块,用于接收所述第二设备对所述第二认证请求进行认证且认证成功后反馈的第三认证请求,其中所述第三认证请求中包括第二设备的身份标识、第三密钥标识和采用与所述第三密钥标识相对应的第三量子密钥进行加密的第三认证密文;
第二分析模块,用于根据预先存储的所述第三密钥标识与所述第三量子密钥之间的对应关系,确定所述第三量子密钥;
第二认证模块,用于采用所述第三量子密钥对所述第三认证密文进行解密,并对解密后的所述第三认证密文进行认证;
第二请求生成模块,用于当获得认证成功结果时,采用第四量子密钥对完成解密后第三认证密文认证获得的认证结果信息和所述认证服务器的身份标识进行加密,生成第四认证请求;其中所述第四量子密钥为所述认证服务器与所述第一设备之间的共享密钥,完成解密后第三认证密文进行认证获得的认证结果信息包括所述第二设备的身份标识,所述第四认证请求包括:所述认证服务器的身份标识、与所述第四量子密钥相对应的第四密钥标识、采用第四量子密钥对完成解密后第三认证密文认证获得的认证结果信息和所述认证服务器的身份标识进行加密的第四认证密文;
第二发送模块,用于将所述第四认证请求发送至所述第一设备。
优选地,所述的基于量子密钥的认证装置,其中,所述第一接收模块所接收的第一认证请求中,所述第一认证请求中的第一认证密文包括采用所述第一量子密钥进行加密的第一密钥协商参数;
其中当获得认证成功结果时,所述第一请求生成模块采用第二量子密钥对认证后获得的认证结果信息进行加密,所述认证结果信息包括所述第一设备的身份标识和所述第一密钥协商参数。
优选地,所述的基于量子密钥的认证装置,其中,所述第一接收模块所接收的第一认证请求中,所述第一认证请求还包括两个整数n和g,且所述第一密钥协商参数与n和g之间满足以下关系式:
X=gx mod n
X为所述第一密钥协商参数的数值,x为一个随机选取的整数;
其中,所述第一请求生成模块所生成的第二认证请求中,还包括整数n和g。
优选地,所述的基于量子密钥的认证装置,其中,所述第三认证密文中包括采用第三量子密钥进行加密的第二密钥协商参数和第二设备的身份标识;
其中,完成解密后第三认证密文进行认证获得的认证结果信息还包括所述第二密钥协商参数。
本发明还提供一种基于量子密钥的认证装置,应用于第一设备,其中,所述认证装置包括:
第三请求生成模块,用于生成第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
第三发送模块,用于将所述第一认证请求发送至认证服务器。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第二密钥选择模块,用于获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;选择所述第一共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第一量子密钥。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第二密钥获取模块,用于通过量子网络获取与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
第二密钥存储模块,用于存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
优选地,所述的基于量子密钥的认证装置,其中,所述第三请求生成模块所生成的第一认证请求中,所述第一认证请求中的第一认证密文包括采用第一量子密钥进行加密的所述第一设备的身份标识。
优选地,所述的基于量子密钥的认证装置,其中,所述第三请求生成模块所生成的第一认证请求中,所述第一认证请求中的第一认证密文还包括第一密钥协商参数。
优选地,所述的基于量子密钥的认证装置,其中,所述第一认证请求中的第一认证密文还包括第一密钥协商参数时,所述认证装置还包括:
第一密钥参数选择模块,用于选取三个整数n、g和x;
第一密钥参数计算模块,用于根据以下关系式计算获得所述第一密钥协商参数:
X=gx mod n
其中,X为所述第一密钥协商参数。
优选地,所述的基于量子密钥的认证装置,其中,所述第三请求生成模块生成第一认证请求时,所述第一认证请求中还包括记录整数n和g的参数;
其中,所述认证装置还包括:
密钥参数存储模块,用于存储x值。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第三接收模块,用于接收所述认证服务器发送的认证密钥错误信息;
第四请求生成模块,用于根据所述认证密钥错误信息,选择所述第一共享密钥集合信息中的未被标记为已使用的另一量子密钥作为所述第一量子密钥,重新生成所述第一认证请求。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第四接收模块,用于接收所述认证服务器发送的认证通过信息;其中所述认证通过信息为所述认证服务器对所述第一认证请求认证成功后、根据所述第一认证请求生成第二认证请求发送至第二设备,且所述第二设备对所述第二认证请求认证通过后,由所述认证服务器发送;
第一删除模块,用于根据所述认证通过信息,将所述第一共享密钥集合信息中的所述第一量子密钥标记为已使用或者从所述第一共享密钥集合信息中直接删除。
本发明还提供一种基于量子密钥的认证装置,应用于第二设备,其中,所述认证装置包括:
第五接收模块,用于接收认证服务器发送的第二认证请求;其中所述第二认证请求中包括第二密钥标识、所述认证服务器采用第二量子密钥对第一设备的身份标识加密后的第二认证密文;
第三分析模块,用于根据预先存储的所述第二密钥标识与所述第二量子密钥之间的对应关系,确定所述第二量子密钥;
解密模块,用于采用所述第二量子密钥对所述第二认证密文进行解密,获得所述第一设备的身份标识。
优选地,所述的基于量子密钥的认证装置,其中,所述第三分析模块包括:
第二信息获取单元,用于获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
第二查找单元,用于根据所述第二共享密钥集合信息中所记录的第二密钥标识,确定相对应的所述第二量子密钥。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第三密钥获取模块,用于通过量子网络获取与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
第三密钥存储模块,用于存储所述量子密钥、相对应的密钥标识、所述第二设备的身份标识和所述认证服务器的身份标识,获得所述第二共享密钥集合信息。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第二判断模块,用于判断所述第二量子密钥在所述第二共享密钥信息中是否被标记为已使用或者未存在,若判断结果为是,则向所述认证服务器返回密钥错误的反馈信息;若判断结果为否,则所述解密模块采用所述第二量子密钥对所述第二认证密文进行解密。
优选地,所述的基于量子密钥的认证装置,其中,所述第五接收模块所接收认证服务器发送的第二认证请求中,所述第二认证密文包括所述认证服务器采用第二量子密钥对所述认证服务器的身份标识进行加密的认证密文和采用所述第二量子密钥对完成第一设备发送的第一认证请求的认证后获得的认证结果信息进行加密后的认证密文,所述认证结果信息中包括第一设备的身份标识;
所述第二认证请求中还包括所述认证服务器的身份标识;
其中,所述解密模块对所述第二认证密文进行解密,获得所述第一设备的身份标识的同时,还获得解密后第二认证密文中的认证服务器的身份标识。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第三认证模块,用于判断解密后的所述第二认证密文中的所述认证服务器的身份标识与所述第二认证请求中所述认证服务器的身份标识是否一致,当判断结果一致时,获得认证成功结果。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第五请求生成模块,用于在所述获得认证成功结果之后,生成第三认证请求,其中所述第三认证请求中包括第二设备的身份标识、第三密钥标识和第三认证密文,所述第三认证密文包括采用与所述第三密钥标识相对应的第三量子密钥对第二设备的身份标识进行加密的认证密文;
第四发送模块,用于向所述认证服务器发送所述第三认证请求。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第三密钥选择模块,用于获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;选择所述第二共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第三量子密钥。
优选地,所述的基于量子密钥的认证装置,其中,所述第五接收模块所接收认证服务器发送的第二认证请求中,所述认证结果信息中还包括第一密钥协商参数X;所述第二认证请求中还包括整数n和g;
且所述认证装置还包括:
第二密钥参数选择模块,用于随机选择一随机整数y;
第二密钥参数计算模块,计算Y=gy mod n,获得第二密钥协商参数Y;
加密模块,用于采用所述第三量子密钥对第二设备的身份标识和所述第二密钥协商参数Y进行加密,获得所述第三认证密文。
优选地,所述的基于量子密钥的认证装置,其中,所述认证装置还包括:
第二删除模块,用于当所述第四发送模块向所述认证服务器发送所述第三认证请求之后,将所述第二共享密钥集合信息中的所述第三量子密钥标记为已使用或者从所述第二共享密钥集合信息中直接删除。
本发明具体实施例上述技术方案中的至少一个具有以下有益效果:
采用本发明认证方法,认证服务器通过与第一设备之间共享的第一量子密钥实现与第一设备的认证,通过与第二设备之间共享的第二量子密钥实现向第二设备的认证,因此用于认证的量子密钥仅被通信双方共享,且认证过程仅需一轮交互,不使用公钥密码算法,保证认证过程的执行效率,及确保密钥安全性。
附图说明
图1表示量子密钥分发的网络结构示意图;
图2表示本发明实施例一所述认证方法的流程示意图;
图3表示本发明实施例二所述认证方法的流程示意图;
图4表示本发明实施例三所述认证方法的流程示意图;
图5表示本发明实施例四所述认证方法的流程示意图;
图6表示本发明实施例五所述认证方法的流程示意图;
图7表示本发明实施例六所述认证方法的流程示意图;
图8表示本发明实施七所述认证装置的示意图;
图9表示本发明实施例七所述认证装置的结构图;
图10表示本发明实施八所述认证装置的示意图;
图11表示本发明实施例八所述认证装置的结构图;
图12表示本发明实施例九所述认证装置的示意图;
图13表示本发明实施例九所述认证装置的结构图。
具体实施方式
为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
在本发明实施例中,首先对量子保密通信的基本原理做一简单介绍。
伴随着量子保密通信技术的发展、进步以及实用化,量子密钥分发提供了一种安全高效实用的理想密钥分发方法。量子密钥分发的不可再分、不可测量、不可复制以及理想随机等显著的技术优点,从底层量子力学基本原理的角度保证了量子密钥分发系统的无条件安全性。如图1所示,基于量子密钥分发机制的安全保密通信主要包括两个主要步骤:
步骤一、对应图1中的1,2。通信双方之间使用专用的量子网络和相应的收发量子设备进行量子共享密钥的协商和分发,同时通信双方分别将该共享密钥传输到本地的加密设备中,这一步能够保证密钥分发和传输过程的无条件安全性。
步骤二、对应图1中的3,4,5。通信双方完成量子共享密钥的安全分发后,发送方使用共享密钥和安全的加密算法对需要传输的数据进行加密,并使用传统网络传输加密数据到接收方;接收方再使用相同的共享密钥和算法对接收到的加密数据进行解密,从而实现通信双方的安全保密通信。
实施例一
本发明实施例一提供一种量子密钥的认证方法,应用于认证服务器,如图2所示,所述认证方法包括:
步骤S210,接收第一设备发送的第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
步骤S220,根据预先存储的所述第一密钥标识与所述第一量子密钥之间的对应关系,确定所述第一量子密钥;
步骤S230,采用所述第一量子密钥对所述第一认证密文进行解密,并对解密后的所述第一认证密文进行认证;
步骤S240,当获得认证成功结果时,采用第二量子密钥对第一设备的身份标识进行加密,生成第二认证请求;其中所述第二量子密钥为所述认证服务器与所述第二设备之间的共享密钥,所述认证结果信息中包括所述第一设备的身份标识;
步骤S250,将所述第二认证请求发送至所述第二设备。
本发明实施例所述量子密钥的认证方法,认证服务器通过与第一设备之间共享的第一量子密钥实现与第一设备的认证,通过与第二设备之间共享的第二量子密钥实现向第二设备的认证,因此用于认证的量子密钥仅被通信双方共享,且认证过程仅需一轮交互,不使用公钥密码算法,保证认证过程的执行效率,及确保密钥安全性。
具体地,在步骤S220中,根据预先存储的所述第一密钥标识与所述第一量子密钥之间的对应关系,确定所述第一量子密钥的步骤包括:
获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述第一设备共享的多个量子密钥和相对应的密钥标识;
根据所述第一共享密钥集合信息中所记录的第一密钥标识,确定相对应的所述第一量子密钥。
也即,具体地,在执行本发明实施例所述认证方法之前,认证服务器预先存储有一第一共享密钥集合信息,在步骤S220,确定第一密钥标识对应的第一量子密钥时,根据该第一共享密钥集合信息中所存储的多个量子密钥和相对应的密钥标识,确定与第一密钥标识相对应的第一量子密钥。
基于以上方式,在步骤S210之前,所述认证方法还包括:
通过量子网络获取与所述第一设备共享的多个量子密钥和相对应的密钥标识;
存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
具体地,上述通过量子网络获取与第一设备共享的多个量子密钥和相对应的密钥标识的过程为本发明实施例所述认证方法执行之前的初始化过程。
结合图1所示基于量子共享密钥分发的网络架构图,实体设备(可以为第一设备或者第二设备)与认证服务器之间除通过传统网络连接之外,还通过量子网络与收发量子设备连接,其中收发量子设备可以为一个,也可以为多个,本发明中以两个进行了举例说明。具体地,实体设备与认证服务器在初始化过程获得共享密钥的具体过程如下:
实体设备与认证服务器分别通过量子网络接收收发量子设备分别在该两端产生的量子密钥集合,该量子密钥集合中包括多个量子密钥,该多个量子密钥构成为实体设备与认证服务器之间的共享密钥,例如可以将量子密钥集合记作为K,所包括多个量子密钥可以依次标记为k1、k2、…、kn;
实体设备与认证服务器分别通过量子网络接收收发量子设备分别在该两端产生的密钥标识,其中量子密钥集合中的每一量子密钥对应一密钥标识,量子密钥与密钥标识一一对应,例如标记为ki的量子密钥相对应的密钥标识可以标记为IDki;
实体设备与认证服务器分别存储量子密钥、密钥标识、实体设备的身份信息和认证服务器的身份信息;具体地当实体设备的身份信息标记为IDA以及认证服务器的身份信息标记为IDAuth时,实体设备和认证服务器根据量子密钥的个数存储多个记录信息,量子密钥和相对应的密钥标识位于同一记录信息中,不同量子密钥位于不同的记录信息中,较佳地,每一记录信息中所存储内容包括:(IDKi,Ki,IDA,IDAuth),以使量子密钥、密钥标识和共享该量子密钥、密钥标识的实体设备和认证服务器能够一一对应地存储。
采用上述通过量子网络获得共享密钥的方式,当实体设备为第一设备时,第一设备与认证服务器所存储的上述多个记录信息构成为第一共享密钥集合信息,用于第一设备与认证服务器之间的认证;当实体设备为第二设备时,第二设备与认证服务器所存储的上述多个记录信息构成为第二共享密钥集合信息,用于第二设备与认证服务器之间的认证。可以理解的是,第一共享密钥集合信息仅被第一设备与认证服务器所共享,第二共享密钥集合信息仅被第二设备与认证服务器所共享。
较佳地,参阅图2,步骤S220中,当实体设备为第一设备时,基于上述认证服务器所存储的包括多个量子密钥和相对应的密钥标识的第一共享密钥集合信息,在确定第一共享密钥集合信息中与第一密钥标识对应的第一量子密钥之后,所述方法还包括:
判断所述第一量子密钥在所述第一共享密钥信息中是否被标记为已使用或者已被删除,若判断结果为是,则向所述第一设备返回密钥错误的反馈信息;若判断结果为否,则向下执行步骤S230。
采用上述方式,使得第一设备与认证服务器之间所共享的量子密钥仅能够使用一次,对于已使用过后被标记为已使用的量子密钥或者已使用过后被从第一共享密钥信息中删除的量子密钥,不能通过认证,这样保证一次一密,即使存在攻击者截取认证数据的可能,但由于认证数据中的密钥已被双方使用,不能再次通过认证,从而保证认证过程中的安全性。
实施例二
本发明实施例二所述基于量子密钥的认证方法,应用于第一设备,如图3所示,所述认证方法包括:
步骤S310,生成第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
步骤S320,将所述第一认证请求发送至认证服务器。
本发明实施例所述量子密钥的认证方法,用于认证的量子密钥仅被通信双方共享,且认证过程仅需一轮交互,不使用公钥密码算法,保证认证过程的执行效率,及确保密钥安全性。
具体地,在步骤S310,生成第一认证请求之前,所述方法还包括:
获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
选择所述第一共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第一量子密钥。
所述认证方法通过选择第一共享密钥信号信息中未被标记为已使用的量子密钥作为第一量子密钥,使得认证过程中保证一次一密,以确认认证过程的安全性。
具体地,在获取预先存储的第一共享密钥集合信息的步骤之前,所述方法还包括:
通过量子网络获取与认证服务器共享的多个量子密钥和相对应的密钥标识;
存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
具体地,通过量子网络获取与认证服务器共享的多个量子密钥和相对应的密钥标识,以生成第一共享密钥集合信息的具体方式可以参阅实施例一中的描述,在此不再赘述。
实施例三
本发明实施例三所述基于量子密钥的认证方法,应用于第二设备,如图4所示,所述认证方法包括:
步骤S410,接收认证服务器发送的第二认证请求;其中所述第二认证请求中包括第二密钥标识、所述认证服务器采用第二量子密钥对第一设备发送的第一认证请求进行认证后获得的认证结果信息加密后的第二认证密文,且所述认证结果信息中包括所述第一设备的身份标识;
步骤S420,根据预先存储的所述第二密钥标识与所述第二量子密钥之间的对应关系,确定所述第二量子密钥;
步骤S430,采用所述第二量子密钥对所述第二认证密文进行解密,获得所述第一设备的身份标识。
本发明实施例所述量子密钥的认证方法,用于认证的量子密钥仅被通信双方共享,且认证过程仅需一轮交互,不使用公钥密码算法,保证认证过程的执行效率,及确保密钥安全性。
具体地,在步骤S420中,根据预先存储的所述第二密钥标识与所述第二量子密钥之间的对应关系,确定所述第二量子密钥的步骤包括:
获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
根据所述第二共享密钥集合信息中所记录的第二密钥标识,确定相对应的所述第二量子密钥。
另外,在获取预先存储的第二共享密钥集合信息之前,所述方法还包括:
通过量子网络获取与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
存储所述量子密钥、相对应的密钥标识、所述第二设备的身份标识和所述认证服务器的身份标识,获得所述第二共享密钥集合信息。
具体地,通过量子网络获取与认证服务器共享的多个量子密钥和相对应的密钥标识,以生成第二共享密钥集合信息的具体方式可以参阅实施例一中的描述,在此不再赘述。
实施例四
本发明实施例四所述基于量子密钥的认证方法,如图5所示,其中以设备A表示第一设备,设备B表示第二设备为例,具体所述认证方法包括:
步骤S510,设备A向认证服务器发送第一认证请求M1;
其中,在向认证服务器发送第一认证请求M1之前,设备A在预先存储的第一共享密钥集合信息中选择一个未曾使用过的第一量子密钥KA1对设备A的身份标识IDA进行加密,获得第一认证密文EKA1(IDA),并生成第一认证请求M1,其中包括设备A的身份标识IDA、与第一量子密钥KA1对应的第一密钥标识IDKA1、第一认证密文EKA1(IDA)以及设备B的身份标识IDB。
步骤S520,认证服务器对第一认证请求M1进行认证,并在获得认证成功结果后,向设备B发送第二认证请求M2;
其中,认证服务器对第一认证请求M1进行认证的具体过程包括:
根据第一认证请求M1中的第一密钥标识IDKA1在第一共享密钥集合信息中查找与第一密钥标识IDKA1相对应的第一量子密钥KA1,当第一共享密钥集合信息中不存在与第一密钥标识IDKA1相对应的第一量子密钥KA1或者存在第一量子密钥KA1,但第一量子密钥KA1被标识为已使用时,则向设备A返回密钥错误的反馈信息;
当第一共享密钥集合信息中的第一量子密钥KA1未被标识为已使用时,则采用第一量子密钥KA1对第一认证密文EKA1(IDA)进行解密,获得第一认证密文EKA1(IDA)中设备A的身份标识IDA;
将解密后获得的设备A的身份标识IDA与第一认证请求M1中设备A的身份标识IDA比较,判断两者是否一致,当一致时,则确定设备A确实拥有第一量子密钥KA1,获得认证成功结果,实现对设备A的认证;否则向设备A反馈认证失败消息。
另外,在获得认证成功结果后,向设备B发送第二认证请求M2的步骤之前,所述方法还包括:
获取第一认证请求中M1中的设备B的身份标识IDB;
根据设备B的身份标识IDB,确定与设备B所共享的第二共享密钥集合信息;
采用在第二共享密钥集合信息中所记录的未曾使用过的第二量子密钥KB1对设备A的身份标识IDA和第一认证请求M1认证后获得的认证结果信息进行加密,获得第二认证密文EKB1(IDA,认证结果),并生成第二认证请求M2,包括与第二量子密钥KB1相对应的第二密钥标识IDKB1和第二认证密文。
步骤S530,认证服务器向设备A返回认证成功结果。
其中设备A接收认证服务器发送的认证成功结果之后,还在第一共享密钥集合信息中将第一量子密钥KA1删除,或者在第一共享密钥集合信息中对第一量子密钥KA1添加已使用标记,已避免下次认证过程中再次被使用,达到一次一密。
进一步,本发明实施例四所述认证方法中,在步骤S502,设备B接收第二认证请求M2之后,所述认证方法还包括:
根据第二认证请求M2中的第二密钥标识IDKB1在预先存储的第二共享密钥集合信息中查找第二量子密钥KB1,当第二共享密钥集合信息中不存在与第二密钥标识IDKB1相对应的第二量子密钥KB1或者存在第二量子密钥KB1,但第二量子密钥KB1被标识为已使用时,则向认证服务器返回密钥错误的反馈信息,使认证服务器重新选择第二共享密钥集合信息中的其他量子密钥对第一设备的身份标识IDA和第一认证请求M1认证后获得的认证结果信息进行加密后再次发送认证请求;
当第二共享密钥集合信息中的第二量子密钥KB1未被标识为已使用时,则采用第二量子密钥KB1对第二认证密文EKB1(IDA,认证结果)进行解密,获得第一设备的身份标识IDA和认证结果,其中认证结果所包括的内容不限,可以为第一设备的身份标识IDA的摘要信息,也可以为yes/no信息,也可以为空。
利用上述步骤S501至S503的过程,能够实现基于量子密钥的单向认证。
实施例五
本发明实施例五所述基于量子密钥的认证方法,如图6所示,具体所述认证方法包括:
步骤S610,设备A向认证服务器发送第一认证请求M1;
其中,在向认证服务器发送第一认证请求M1之前,设备A在预先存储的第一共享密钥集合信息中选择一个未曾使用过的第一量子密钥KA1对设备A的身份标识IDA进行加密,获得第一认证密文EKA1(IDA),并生成第一认证请求M1,其中包括设备A的身份标识IDA、与第一量子密钥KA1对应的第一密钥标识IDKA1、第一认证密文EKA1(IDA)以及设备B的身份标识IDB。
步骤S620,认证服务器对第一认证请求M1进行认证,并在获得认证成功结果后,向设备B发送第二认证请求M2;
其中,认证服务器对第一认证请求M1进行认证的具体过程包括:
根据第一认证请求M1中的第一密钥标识IDKA1在第一共享密钥集合信息中查找与第一密钥标识IDKA1相对应的第一量子密钥KA1,当第一共享密钥集合信息中不存在与第一密钥标识IDKA1相对应的第一量子密钥KA1或者存在第一量子密钥KA1,但第一量子密钥KA1被标识为已使用时,则向设备A返回密钥错误的反馈信息;
当第一共享密钥集合信息中的第一量子密钥KA1未被标识为已使用时,则采用第一量子密钥KA1对第一认证密文EKA1(IDA)进行解密,获得第一认证密文EKA1(IDA)中设备A的身份标识IDA;
将解密后获得的设备A的身份标识IDA与第一认证请求M1中设备A的身份标识IDA比较,判断两者是否一致,当一致时,则确定设备A确实拥有第一量子密钥KA1,获得认证成功结果,实现对设备A的认证;否则向设备A反馈认证失败消息。
另外,在获得认证成功结果后,向设备B发送第二认证请求M2的步骤之前,所述方法还包括:
获取第一认证请求中M1中的设备B的身份标识IDB;
根据设备B的身份标识IDB,确定与设备B所共享的第二共享密钥集合信息;
采用在第二共享密钥集合信息中所记录的未曾使用过的第二量子密钥KB1对认证服务器的身份标识IDAuth和第一认证请求M1认证后获得的认证结果信息result1进行加密,获得第三认证密文EKB1(IDAuth,result1),并生成第二认证请求M2,其中该第二认证请求中包括第二量子密钥KB1相对应的第二密钥标识IDKB1、第三认证密文和认证服务器的身份标识IDAuth,另外,认证结果信息result1中包括设备A的身份标识IDA,当然也可以通过第二量子密钥KB1对设备A的身份标识IDA进行加密,使设备A身份标识IDA的存在于第三认证密文中。
步骤S630,设备B对第二认证请求M2进行认证,并在获得认证成功结果后,向认证服务器发送第三认证请求M3。
其中,设备B对第二认证请求M2进行认证的具体过程包括:
根据第二认证请求M2中的第二密钥标识IDKB1在预先存储的第二共享密钥集合信息中查找第二量子密钥KB1,当第二共享密钥集合信息中不存在与第二密钥标识IDKB1相对应的第二量子密钥KB1或者存在第二量子密钥KB1,但第二量子密钥KB1被标识为已使用时,则向认证服务器返回密钥错误的反馈信息,使认证服务器重新选择第二共享密钥集合信息中的其他量子密钥对认证服务器的身份标识IDAuth和第一认证请求M1认证后获得的认证结果信息result1进行加密后再次发送认证请求;
当第二共享密钥集合信息中的第二量子密钥KB1未被标识为已使用时,则采用第二量子密钥KB1对第三认证密文EKB1(IDAuth,result1)进行解密,获得认证服务器的身份标识IDAuth和认证结果信息result1;
将解密后获得的认证服务器的身份标识IDAuth与第二认证请求M2中认证服务器的身份标识IDAuth进行比较,判断两者是否一致,当一致时,确定认证服务器拥有第二量子密钥KB1,获得认证成功结果,实现对认证服务器的认证;否则向认证服务器反馈认证失败消息;此外由于认证结果信息result1中包括设备A身份标识IDA,因此在解密后从解密后的认证结果信息result1获得设备A身份标识IDA和认证服务器对设备A的认证结果;
将第二量子密钥KB1从第二共享密钥集合信息中删除,或者标记为已使用。
进一步地,设备B向认证服务器发送第三认证请求M3之前,还包括:
在第二共享密钥集合信息中选择未标记为已使用的第三量子密钥K B2,利用第三量子密钥K B2对设备B的身份标识IDB进行加密,获得第四认证密文EKB2(IDB),并生成第三认证请求M3,其中该第三认证请求M3中包括设备B的身份标识IDB、第四认证密文EKB2(IDB)和与第三量子密钥K B2对应的第三密钥标识IDKB2。
步骤S640,认证服务器对第三认证请求M3进行认证,并在获得认证成功结果后,向设备A发送第四认证请求M4;
其中,认证服务器对第三认证请求M3进行认证的具体过程包括:
根据第三认证请求M3中的第三密钥标识IDKB2在第二共享密钥集合信息中查找与第三密钥标识IDKB2相对应的第三量子密钥KB2,当第三共享密钥集合信息中不存在与第三密钥标识IDKB2相对应的第三量子密钥KB2或者存在第三量子密钥KB2,但第三量子密钥KB2被标识为已使用时,则向设备B返回密钥错误的反馈信息;
当第二共享密钥集合信息中的第三量子密钥KB2未被标识为已使用时,则采用第三量子密钥KB2对第四认证密文EKB2(IDB)进行解密,获得第四认证密文EKB2(IDB)中设备B的身份标识IDB;
将解密后获得的设备B的身份标识IDB与第三认证请求M3中设备B的身份标识IDB比较,判断两者是否一致,当一致时,则确定设备B确实拥有第三量子密钥KB2,获得认证成功结果,实现对设备B的认证;否则向设备B反馈认证失败消息。
另外,在获得认证成功结果后,向设备A发送第四认证请求M4的步骤之前,所述方法还包括:
在与设备A所共享的第一共享密钥集合信息中,所记录的未曾使用过的第四量子密钥KA2对认证服务器的身份标识IDAuth和第三认证请求M3认证后获得的认证结果信息result2进行加密,获得第五认证密文EKA2(IDAuth,result2),并生成第四认证请求M4,其中该第四认证请求M4中包括第四量子密钥KA2相对应的第四密钥标识IDKA2、第五认证密文和认证服务器的身份标识IDAuth,另外,认证结果信息result2中包括设备B的身份标识IDB,当然也可以通过第四量子密钥KA2对设备B的身份标识IDB进行加密,使设备B的身份标识IDB存在于第五认证密文中。
进一步,本发明实施例五所述认证方法中,在步骤S640,设备A接收第四认证请求M4之后,所述认证方法还包括:
根据第四认证请求M4中的第四密钥标识IDKA2在预先存储的第一共享密钥集合信息中查找第四量子密钥KA2,当第一共享密钥集合信息中不存在与第四密钥标识IDKA2相对应的第四量子密钥KA2或者存在第四量子密钥KA2,但第四量子密钥KA2被标识为已使用时,则向认证服务器返回密钥错误的反馈信息,使认证服务器重新选择第一共享密钥集合信息中的其他量子密钥对设备B的身份标识IDB和第三认证请求M3认证后获得的认证结果信息result2进行加密后再次发送认证请求;
当第一共享密钥集合信息中的第四量子密钥KA2未被标识为已使用时,则采用第四量子密钥KA2对第五认证密文EKA2(IDAuth,result2)进行解密,获得认证服务器的身份标识IDAuth和认证结果信息result2;
将解密后获得的认证服务器的身份标识IDAuth与第四认证请求M4中认证服务器的身份标识IDAuth进行比较,判断两者是否一致,当一致时,确定认证服务器拥有第四量子密钥KA2,获得认证成功结果,实现对认证服务器的认证;否则向认证服务器反馈认证失败消息;此外由于认证结果信息result2中包括设备B身份标识IDB,因此在解密后从解密后的认证结果信息result2获得设备B的身份标识IDB和认证服务器对设备B的认证结果;
将第四量子密钥KA2从第一共享密钥集合信息中删除,或者标记为已使用。
本发明实施例五所述认证方法,通过将认证请求消息转发至认证服务器,通过认证服务器可以实现设备双方之间的相互认证。
实施例六
步骤S710,设备A向认证服务器发送第一认证请求M1;
其中,在向认证服务器发送第一认证请求M1之前,设备A选择两个整数n和g,并随机选择一较大整数x,计算获得X=gx mod n的数值,并存储x数值,直至认证过程结束。之后在预先存储的第一共享密钥集合信息中选择一个未曾使用过的第一量子密钥KA1对设备A的身份标识IDA和X进行加密,获得第六认证密文EKA1(IDA,X),并生成第一认证请求M1,其中第一认证请求M1中包括设备A的身份标识IDA、与第一量子密钥KA1对应的第一密钥标识IDKA1、第六认证密文EKA1(IDA,X)以及设备B的身份标识IDB;其中,可选择地,第一认证请求M1中还包括整数n和g;或者,整数n和g也可以通过其他通讯消息发送至认证服务器。
步骤S720,认证服务器对第一认证请求M1进行认证,并在获得认证成功结果后,向设备B发送第二认证请求M2;
其中,认证服务器对第一认证请求M1进行认证的具体过程包括:
根据第一认证请求M1中的第一密钥标识IDKA1在第一共享密钥集合信息中查找与第一密钥标识IDKA1相对应的第一量子密钥KA1,当第一共享密钥集合信息中不存在与第一密钥标识IDKA1相对应的第一量子密钥KA1或者存在第一量子密钥KA1,但第一量子密钥KA1被标识为已使用时,则向设备A返回密钥错误的反馈信息;
当第一共享密钥集合信息中的第一量子密钥KA1未被标识为已使用时,则采用第一量子密钥KA1对第六认证密文EKA1(IDA,X)进行解密,获得第六认证密文EKA1(IDA,X)解密后设备A的身份标识IDA;
将解密后获得的设备A的身份标识IDA与第一认证请求M1中设备A的身份标识IDA比较,判断两者是否一致,当一致时,则确定设备A确实拥有第一量子密钥KA1,获得认证成功结果,实现对设备A的认证;否则向设备A反馈认证失败消息。
另外,在获得认证成功结果后,向设备B发送第二认证请求M2的步骤之前,认证服务器还执行以下步骤:
获取第一认证请求M1中的设备B的身份标识IDB;
根据设备B的身份标识IDB,确定与设备B所共享的第二共享密钥集合信息;
采用在第二共享密钥集合信息中所记录的未曾使用过的第二量子密钥KB1对认证服务器的身份标识IDAuth和第一认证请求M1认证后获得的认证结果信息result1进行加密,获得第七认证密文EKB1(IDAuth,result1),并生成第二认证请求M2,其中该第二认证请求中包括第二量子密钥KB1相对应的第二密钥标识IDKB1、第七认证密文和认证服务器的身份标识IDAuth,另外,认证结果信息result1中包括设备A的身份标识IDA以及解密第六认证密文获得的X。可选地,当第一认证请求M1中包括整数n和g时,第二认证请求M2中也包括整数n和g。
S730,设备B对第二认证请求M2进行认证,并在获得认证成功结果后,向认证服务器发送第三认证请求M3。
其中,设备B对第二认证请求M2进行认证的具体过程包括:
根据第二认证请求M2中的第二密钥标识IDKB1在预先存储的第二共享密钥集合信息中查找第二量子密钥KB1,当第二共享密钥集合信息中不存在与第二密钥标识IDKB1相对应的第二量子密钥KB1或者存在第二量子密钥KB1,但第二量子密钥KB1被标识为已使用时,则向认证服务器返回密钥错误的反馈信息,使认证服务器重新选择第二共享密钥集合信息中的其他量子密钥对认证服务器的身份标识IDAuth和第一认证请求M1认证后获得的认证结果信息result1进行加密后再次发送认证请求;
当第二共享密钥集合信息中的第二量子密钥KB1未被标识为已使用时,则采用第二量子密钥KB1对第七认证密文EKB1(IDAuth,result1)进行解密,获得认证服务器的身份标识IDAuth和认证结果信息result1;
将解密后获得的认证服务器的身份标识IDAuth与第二认证请求M2中认证服务器的身份标识IDAuth进行比较,判断两者是否一致,当一致时,确定认证服务器拥有第二量子密钥KB1,获得认证成功结果,实现对认证服务器的认证;否则向认证服务器反馈认证失败消息;此外由于认证结果信息result1中包括设备A身份标识IDA和X,因此在解密后从解密后的认证结果信息result1获得设备A身份标识IDA、X和认证服务器对设备A的认证结果;
将第二量子密钥KB1从第二共享密钥集合信息中删除,或者标记为已使用。
进一步地,设备B向认证服务器发送第三认证请求M3之前,还包括:
随机选择一个大随机整数y,并根据第二认证请求M2中的整数n和g,计算Y=gymod n,以及计算设备A与设备B之间的共享密钥,K=Xy mod n;
在第二共享密钥集合信息中选择未标记为已使用的第三量子密钥K B2,利用第三量子密钥K B2对设备B的身份标识IDB和计算获得的Y进行加密,获得第八认证密文EKB2(IDB,Y),并生成第三认证请求M3,该第三认证请求M3中包括设备B的身份标识IDB、第八认证密文EKB2(IDB,Y)和与第三量子密钥K B2对应的第三密钥标识IDKB2。
步骤S740,认证服务器对第三认证请求M3进行认证,并在获得认证成功结果后,向设备A发送第四认证请求M4;
其中,认证服务器对第三认证请求M3进行认证的具体过程包括:
根据第三认证请求M3中的第三密钥标识IDKB2在第二共享密钥集合信息中查找与第三密钥标识IDKB2相对应的第三量子密钥KB2,当第三共享密钥集合信息中不存在与第三密钥标识IDKB2相对应的第三量子密钥KB2或者存在第三量子密钥KB2,但第三量子密钥KB2被标识为已使用时,则向设备B返回密钥错误的反馈信息;
当第二共享密钥集合信息中的第三量子密钥KB2未被标识为已使用时,则采用第三量子密钥KB2对第八认证密文EKB2(IDB)进行解密,获得第八认证密文EKB2(IDB,Y)解密后设备B的身份标识IDB和Y;
将解密后获得的设备B的身份标识IDB与第三认证请求M3中设备B的身份标识IDB比较,判断两者是否一致,当一致时,则确定设备B确实拥有第三量子密钥KB2,获得认证成功结果,实现对设备B的认证;否则向设备B反馈认证失败消息。
另外,在获得认证成功结果后,向设备A发送第四认证请求M4的步骤之前,所述方法还包括:
在与设备A所共享的第一共享密钥集合信息中,所记录的未曾使用过的第四量子密钥KA2对认证服务器的身份标识IDAuth和第三认证请求M3认证后获得的认证结果信息result2进行加密,获得第九认证密文EKA2(IDAuth,result2),并生成第四认证请求M4,其中该第四认证请求M4中包括第四量子密钥KA2相对应的第四密钥标识IDKA2、第九认证密文和认证服务器的身份标识IDAuth,另外,认证结果信息result2中包括设备B的身份标识IDB和解密后获得的Y。
进一步,本发明实施例六所述认证方法中,在步骤S740,设备A接收第四认证请求M4之后,所述认证方法还包括:
根据第四认证请求M4中的第四密钥标识IDKA2在预先存储的第一共享密钥集合信息中查找第四量子密钥KA2,当第一共享密钥集合信息中不存在与第四密钥标识IDKA2相对应的第四量子密钥KA2或者存在第四量子密钥KA2,但第四量子密钥KA2被标识为已使用时,则向认证服务器返回密钥错误的反馈信息,使认证服务器重新选择第一共享密钥集合信息中的其他量子密钥对设备B的身份标识IDB和第三认证请求M3认证后获得的认证结果信息result2进行加密后再次发送认证请求;
当第一共享密钥集合信息中的第四量子密钥KA2未被标识为已使用时,则采用第四量子密钥KA2对第九认证密文EKA2(IDAuth,result2)进行解密,获得认证服务器的身份标识IDAuth和认证结果信息result2;
将解密后获得的认证服务器的身份标识IDAuth与第四认证请求M4中认证服务器的身份标识IDAuth进行比较,判断两者是否一致,当一致时,确定认证服务器拥有第四量子密钥KA2,获得认证成功结果,实现对认证服务器的认证;否则向认证服务器反馈认证失败消息;此外由于认证结果信息result2中包括设备B身份标识IDB,因此在解密后从解密后的认证结果信息result2获得设备B的身份标识IDB和认证服务器对设备B的认证结果;另外,还可以根据认证结果信息result2获取解密后的Y值;
根据所存储的x值,设备A计算与设备B之间的共享密钥:K=Yx mod n,因此最后设备A与设备B之间的共享密钥K为:K=Xy=Yx=gxy mod n。
最后,设备A将第四量子密钥KA2从第一共享密钥集合信息中删除,或者标记为已使用。
本发明实施例六所述认证方法,通过将认证消息转发至认证服务器,通过认证服务器可以实现设备双方之间的相互认证,同时还基于Diffie-Hellman密钥协商协议,实现设备双方的密钥协商。
本发明具体实施例上述的认证方法,具有以下优点:
1)安全且能够实现三方认证
设备A与认证服务器之间:由于标识为IDKA1和IDKA2密钥仅被设备A和认证服务器共享,因此如果设备A使用KA1正确加密IDA,就实现了对设备A的认证。同理,认证服务器使用KA2正确加密IDAuth,也就实现了设备A对认证服务器的认证。
设备B与认证服务器之间:由于标识为IDKB1和IDKB2密钥仅被设备B和认证服务器共享,因此如果设备B使用KB1正确加密IDB,就实现了对设备B的认证。同理,认证服务器使用KB2正确加密IDAuth,也就实现了设备B对认证服务器的认证。
设备A与设备B之间:设备A与设备B分别实现了对认证服务器的认证,认证服务器将设备A与设备B的认证结果Result加密发送给双方,实现设备A与设备B的相互认证。
2)防止重放
采用本发明实施例所述认证方法,量子密钥仅允许使用一次,之后就删除或标记为已使用过,可以实现一次一密。即使攻击者截取了认证数据,由于该认证数据中的密钥已被双方使用,因此重放该认证数据时,通信双方检测出重放消息,予以忽略。
3)防止窃听
由于量子密钥仅被通信双方共享,且仅使用一次,因此即使攻击者截获通信数据,也无法进行解密。此外,方案中的加密算法可以采用现有的对称密码算法,如AES等,量子计算可以破解非对称密码算法,但不能破解对称密码算法。
4)应用可行性
由于每个量子密钥仅被使用一次,如果使用完则需要重新进行初始化。事实上,如果使用128bits的量子密钥,可以为每个密钥分配20字节的存储空间,这样,1MB的存储空间可以存储大约50万个密钥,足够普通用户使用,通过增大存储空间还可以延长密钥的使用时间。
5)技术实现可行性
目前量子密钥收发装置已经商用,可使用量子网络和量子密钥收发装置实现设备与认证服务器之间的密钥分配,快速部署使用。
实施例七
本发明实施例七提供一种基于量子密钥的认证装置,应用于认证服务器,如图8所示,所述认证装置包括:
第一接收模块,用于接收第一设备发送的第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
第一分析模块,用于根据预先存储的所述第一密钥标识与所述第一量子密钥之间的对应关系,确定所述第一量子密钥;
第一认证模块,用于采用所述第一量子密钥对所述第一认证密文进行解密,并对解密后的所述第一认证密文进行认证;
第一请求生成模块,用于当获得认证成功结果时,采用第二量子密钥对所述第一设备的身份标识进行加密,生成第二认证请求;其中所述第二量子密钥为所述认证服务器与所述第二设备之间的共享密钥;
第一发送模块,用于将所述第二认证请求发送至所述第二设备。
较佳地,图9所示,所述第一分析模块包括:
第一信息获取单元,用于获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述第一设备共享的多个量子密钥和相对应的密钥标识;
第一查找单元,用于根据所述第一共享密钥集合信息中所记录的第一密钥标识,确定相对应的所述第一量子密钥。
另外,所述认证装置还包括:
第一判断模块,用于判断所述第一量子密钥在所述第一共享密钥信息中是否被标记为已使用或者未存在,若判断结果为是,则向所述第一设备返回密钥错误的反馈信息;若判断结果为否,则所述第一认证模块执行所述采用所述第一量子密钥对所述第一认证密文进行解密的步骤。
进一步参阅图9,所述认证装置还包括:
第一密钥获取模块,用于通过量子网络获取与所述第一设备共享的多个量子密钥和相对应的密钥标识;
第一密钥存储模块,用于存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
本发明实施例所述认证装置的一方面,所述第一认证密文包括采用第一量子密钥进行加密的所述第一设备的身份标识;
所述第一认证模块包括:
第一判断单元,用于判断解密后的所述第一认证密文中的所述第一设备的身份标识与所述第一认证请求中第一设备的身份标识是否一致,当判断结果一致时,获得认证成功结果。
较佳地,所述认证装置还包括:
第一密钥选择模块,用于获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述第二设备共享的多个量子密钥和相对应的密钥标识;选择所述第二共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第二量子密钥。
另外,所述第一请求生成模块所生成的第二认证请求中,所述第二认证请求包括:所述第二设备的身份标识、与所述第二量子密钥相对应的第二密钥标识和采用所述第二量子密钥对所述第一设备的身份标识进行加密的第二认证密文。
本发明实施例所述认证装置的另一方面,所述第二认证密文包括采用所述第二量子密钥对认证后获得的认证结果信息进行加密后获得的认证密文,所述第一设备的身份标识记录于所述认证结果信息中;
其中,如图9所示,所述第一请求生成模块还包括:
第一加密单元,用于采用第二量子密钥对所述认证服务器的身份标识进行加密;其中所述第二认证密文还包括采用第二量子密钥对所述认证服务器的身份标识进行加密的认证密文;
其中所述第一请求生成模块所生成的第二认证请求中,所述第二认证请求还包括:所述认证服务器的身份标识。
进一步结合图9,所述认证装置还包括:
第二接收模块,用于接收所述第二设备对所述第二认证请求进行认证且认证成功后反馈的第三认证请求,其中所述第三认证请求中包括第二设备的身份标识、第三密钥标识和采用与所述第三密钥标识相对应的第三量子密钥进行加密的第三认证密文;
第二分析模块,用于根据预先存储的所述第三密钥标识与所述第三量子密钥之间的对应关系,确定所述第三量子密钥;
第二认证模块,用于采用所述第三量子密钥对所述第三认证密文进行解密,并对解密后的所述第三认证密文进行认证;
第二请求生成模块,用于当获得认证成功结果时,采用第四量子密钥对完成解密后第三认证密文认证获得的认证结果信息和所述认证服务器的身份标识进行加密,生成第四认证请求;其中所述第四量子密钥为所述认证服务器与所述第一设备之间的共享密钥,完成解密后第三认证密文进行认证获得的认证结果信息包括所述第二设备的身份标识,所述第四认证请求包括:所述认证服务器的身份标识、与所述第四量子密钥相对应的第四密钥标识、采用第四量子密钥对完成解密后第三认证密文认证获得的认证结果信息和所述认证服务器的身份标识进行加密的第四认证密文;
第二发送模块,用于将所述第四认证请求发送至所述第一设备。
其中,所述第一接收模块所接收的第一认证请求中,所述第一认证请求中的第一认证密文包括采用所述第一量子密钥进行加密的第一密钥协商参数;
其中当获得认证成功结果时,所述第一请求生成模块采用第二量子密钥对认证后获得的认证结果信息进行加密,所述认证结果信息包括所述第一设备的身份标识和所述第一密钥协商参数。
较佳地,所述第一接收模块所接收的第一认证请求中,所述第一认证请求还包括两个整数n和g,且所述第一密钥协商参数与n和g之间满足以下关系式:
X=gx mod n
X为所述第一密钥协商参数的数值,x为一个随机选取的整数;
其中,所述第一请求生成模块所生成的第二认证请求中,还包括整数n和g。
另外,所述第三认证密文中包括采用第三量子密钥进行加密的第二密钥协商参数和第二设备的身份标识;
其中,完成解密后第三认证密文进行认证获得的认证结果信息还包括所述第二密钥协商参数。
实施例八
本发明实施例八所述基于量子密钥的认证装置,应用于第一设备,如图10所示,所述认证装置包括:
第三请求生成模块,用于生成第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
第三发送模块,用于将所述第一认证请求发送至认证服务器。
具体地,结合图11,所述的基于量子密钥的认证装置,其中所述认证装置还包括:
第二密钥选择模块,用于获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;选择所述第一共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第一量子密钥。
结合图11,所述认证装置还包括:
第二密钥获取模块,用于通过量子网络获取与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
第二密钥存储模块,用于存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
本发明实施例的其中一方面,所述第三请求生成模块所生成的第一认证请求中,所述第一认证请求中的第一认证密文包括采用第一量子密钥进行加密的所述第一设备的身份标识。
另外,所述第三请求生成模块所生成的第一认证请求中,所述第一认证请求中的第一认证密文还包括第一密钥协商参数。
较佳地,结合图11,所述第一认证请求中的第一认证密文还包括第一密钥协商参数时,所述认证装置还包括:
第一密钥参数选择模块,用于选取三个整数n、g和x;
第一密钥参数计算模块,用于根据以下关系式计算获得所述第一密钥协商参数:
X=gx mod n
其中,X为所述第一密钥协商参数。
另外,所述第三请求生成模块生成第一认证请求时,所述第一认证请求中还包括记录整数n和g的参数;
其中,所述认证装置还包括:
密钥参数存储模块,用于存储x值。
进一步结合图11,所述认证装置还包括:
第三接收模块,用于接收所述认证服务器发送的认证密钥错误信息;
第四请求生成模块,用于根据所述认证密钥错误信息,选择所述第一共享密钥集合信息中的未被标记为已使用的另一量子密钥作为所述第一量子密钥,重新生成所述第一认证请求。
根据图11,所述认证装置还包括:
第四接收模块,用于接收所述认证服务器发送的认证通过信息;其中所述认证通过信息为所述认证服务器对所述第一认证请求认证成功后、根据所述第一认证请求生成第二认证请求发送至第二设备,且所述第二设备对所述第二认证请求认证通过后,由所述认证服务器发送;
第一删除模块,用于根据所述认证通过信息,将所述第一共享密钥集合信息中的所述第一量子密钥标记为已使用或者从所述第一共享密钥集合信息中直接删除。
实施例九
本发明实施例九所述基于量子密钥的认证装置,应用于第二设备,如图12所示,其中,所述认证装置包括:
第五接收模块,用于接收认证服务器发送的第二认证请求;其中所述第二认证请求中包括第二密钥标识、所述认证服务器采用第二量子密钥对第一设备的身份标识加密后的第二认证密文;
第三分析模块,用于根据预先存储的所述第二密钥标识与所述第二量子密钥之间的对应关系,确定所述第二量子密钥;
解密模块,用于采用所述第二量子密钥对所述第二认证密文进行解密,获得所述第一设备的身份标识。
具体地,结合图13,所述第三分析模块包括:
第二信息获取单元,用于获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
第二查找单元,用于根据所述第二共享密钥集合信息中所记录的第二密钥标识,确定相对应的所述第二量子密钥。
此外,所述认证装置还包括:
第三密钥获取模块,用于通过量子网络获取与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
第三密钥存储模块,用于存储所述量子密钥、相对应的密钥标识、所述第二设备的身份标识和所述认证服务器的身份标识,获得所述第二共享密钥集合信息。
进一步地,所述认证装置还包括:
第二判断模块,用于判断所述第二量子密钥在所述第二共享密钥信息中是否被标记为已使用或者未存在,若判断结果为是,则向所述认证服务器返回密钥错误的反馈信息;若判断结果为否,则所述解密模块执行采用所述第二量子密钥对所述第二认证密文进行解密的步骤。
本发明实施例的其中一方面,所述第五接收模块所接收认证服务器发送的第二认证请求中,所述第二认证密文包括所述认证服务器采用第二量子密钥对所述认证服务器的身份标识进行加密的认证密文和采用所述第二量子密钥对完成第一设备发送的第一认证请求的认证后获得的认证结果信息进行加密后的认证密文,所述认证结果信息中包括第一设备的身份标识;
所述第二认证请求中还包括所述认证服务器的身份标识;
其中,所述解密模块对所述第二认证密文进行解密,获得所述第一设备的身份标识的同时,还获得解密后第二认证密文中的认证服务器的身份标识。
进一步结合图13,所述认证装置还包括:
第三认证模块,用于判断解密后的所述第二认证密文中的所述认证服务器的身份标识与所述第二认证请求中所述认证服务器的身份标识是否一致,当判断结果一致时,获得认证成功结果。
另外,所述认证装置还包括:
第五请求生成模块,用于在所述获得认证成功结果之后,生成第三认证请求,其中所述第三认证请求中包括第二设备的身份标识、第三密钥标识和第三认证密文,所述第三认证密文包括采用与所述第三密钥标识相对应的第三量子密钥对第二设备的身份标识进行加密的认证密文;
第四发送模块,用于向所述认证服务器发送所述第三认证请求。
优选地,所述认证装置还包括:
第三密钥选择模块,用于获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;选择所述第二共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第三量子密钥。
本发明实施例的其中一方面,所述第五接收模块所接收认证服务器发送的第二认证请求中,所述认证结果信息中还包括第一密钥协商参数X;所述第二认证请求中还包括整数n和g;
且根据图13,所述认证装置还包括:
第二密钥参数选择模块,用于随机选择一随机数y;
第二密钥参数计算模块,计算Y=gy mod n,获得第二密钥协商参数Y;
加密模块,用于采用所述第三量子密钥对第二设备的身份标识和所述第二密钥协商参数Y进行加密,获得所述第三认证密文。
进一步结合图13,所述认证装置还包括:
第二删除模块,用于当所述第四发送模块向所述认证服务器发送所述第三认证请求之后,将所述第二共享密钥集合信息中的所述第三量子密钥标记为已使用或者从所述第二共享密钥集合信息中直接删除。
采用本发明实施例所述认证方法和认证装置,具有以下效果:
a)一次交互即可实现双向认证和密钥协商,且认证双方仅使用对称密码算法进行一次加密和解密运算,不使用公钥密码算法,速度快,效率高。
b)量子密钥仅允许使用一次,安全性高。
c)部署简单快捷,易于实现。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (62)
1.一种基于量子密钥的认证方法,应用于认证服务器,其特征在于,所述认证方法包括:
接收第一设备发送的第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
根据预先存储的所述第一密钥标识与所述第一量子密钥之间的对应关系,确定所述第一量子密钥;
采用所述第一量子密钥对所述第一认证密文进行解密,并对解密后的所述第一认证密文进行认证;
当获得认证成功结果时,采用第二量子密钥对所述第一设备的身份标识进行加密,生成第二认证请求;其中所述第二量子密钥为所述认证服务器与所述第二设备之间的共享密钥;
将所述第二认证请求发送至所述第二设备。
2.根据权利要求1所述的基于量子密钥的认证方法,其特征在于,所述根据预先存储的所述第一密钥标识与所述第一量子密钥之间的对应关系,确定所述第一量子密钥的步骤包括:
获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述第一设备共享的多个量子密钥和相对应的密钥标识;
根据所述第一共享密钥集合信息中所记录的第一密钥标识,确定相对应的所述第一量子密钥。
3.根据权利要求2所述的基于量子密钥的认证方法,其特征在于,所述确定相对应的所述第一量子密钥之后,所述方法还包括:
判断所述第一量子密钥在所述第一共享密钥信息中是否被标记为已使用或者未存在,若判断结果为是,则向所述第一设备返回密钥错误的反馈信息;若判断结果为否,则向下执行所述采用所述第一量子密钥对所述第一认证密文进行解密的步骤。
4.根据权利要求2所述的基于量子密钥的认证方法,其特征在于,所述接收第一设备发送的第一认证请求的步骤之前,所述方法还包括:
通过量子网络获取与所述第一设备共享的多个量子密钥和相对应的密钥标识;
存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
5.根据权利要求1所述的基于量子密钥的认证方法,其特征在于,所述第一认证密文包括采用第一量子密钥进行加密的所述第一设备的身份标识;
其中所述对解密后的所述第一认证密文进行认证的步骤包括:
判断解密后的所述第一认证密文中的所述第一设备的身份标识与所述第一认证请求中第一设备的身份标识是否一致,当判断结果一致时,获得认证成功结果。
6.根据权利要求1所述的基于量子密钥的认证方法,其特征在于,所述采用第二量子密钥对所述第一设备的身份标识进行加密,生成第二认证请求的步骤之前,所述方法还包括:
获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述第二设备共享的多个量子密钥和相对应的密钥标识;
选择所述第二共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第二量子密钥。
7.根据权利要求1所述的基于量子密钥的认证方法,其特征在于,所述生成第二认证请求的步骤中,所述第二认证请求包括:所述第二设备的身份标识、与所述第二量子密钥相对应的第二密钥标识和采用所述第二量子密钥对所述第一设备的身份标识进行加密的第二认证密文。
8.根据权利要求7所述的基于量子密钥的认证方法,其特征在于,所述第二认证密文包括采用所述第二量子密钥对认证后获得的认证结果信息进行加密后获得的认证密文,所述第一设备的身份标识记录于所述认证结果信息中;
在采用第二量子密钥对认证后获得的认证结果信息进行加密的同时,所述方法还包括:
采用第二量子密钥对所述认证服务器的身份标识进行加密;其中所述第二认证密文还包括采用第二量子密钥对所述认证服务器的身份标识进行加密的认证密文;
所述生成第二认证请求的步骤中,所述第二认证请求还包括:所述认证服务器的身份标识。
9.根据权利要求8所述的基于量子密钥的认证方法,其特征在于,所述将所述第二认证请求发送至所述第二设备的步骤之后,所述方法还包括:
接收所述第二设备对所述第二认证请求进行认证且认证成功后反馈的第三认证请求,其中所述第三认证请求中包括第二设备的身份标识、第三密钥标识和采用与所述第三密钥标识相对应的第三量子密钥进行加密的第三认证密文;
根据预先存储的所述第三密钥标识与所述第三量子密钥之间的对应关系,确定所述第三量子密钥;
采用所述第三量子密钥对所述第三认证密文进行解密,并对解密后的所述第三认证密文进行认证;
当获得认证成功结果时,采用第四量子密钥对完成解密后第三认证密文认证获得的认证结果信息和所述认证服务器的身份标识进行加密,生成第四认证请求;其中所述第四量子密钥为所述认证服务器与所述第一设备之间的共享密钥,完成解密后第三认证密文进行认证获得的认证结果信息包括所述第二设备的身份标识,所述第四认证请求包括:所述认证服务器的身份标识、与所述第四量子密钥相对应的第四密钥标识、采用第四量子密钥对完成解密后第三认证密文认证获得的认证结果信息和所述认证服务器的身份标识进行加密的第四认证密文;
将所述第四认证请求发送至所述第一设备。
10.根据权利要求9所述的基于量子密钥的认证方法,其特征在于,所述接收第一设备发送的第一认证请求中,所述第一认证请求中的第一认证密文包括采用所述第一量子密钥进行加密的第一密钥协商参数;
其中采用第二量子密钥对认证后获得的认证结果信息进行加密时,所述认证结果信息包括所述第一设备的身份标识和所述第一密钥协商参数。
11.根据权利要求10所述的基于量子密钥的认证方法,其特征在于,所述接收第一设备发送的第一认证请求的步骤中,所述第一认证请求还包括两个整数n和g,且所述第一密钥协商参数与n和g之间满足以下关系式:
X=gx mod n
X为所述第一密钥协商参数的数值,x为随机选择的整数;
其中,所述生成第二认证请求的步骤中,所述第二认证请求中还包括整数n和g。
12.根据权利要求10或11所述的基于量子密钥的认证方法,其特征在于,所述第三认证密文中包括采用第三量子密钥进行加密的第二密钥协商参数和第二设备的身份标识;
其中,完成解密后第三认证密文进行认证获得的认证结果信息还包括所述第二密钥协商参数。
13.一种基于量子密钥的认证方法,应用于第一设备,其特征在于,所述认证方法包括:
生成第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
将所述第一认证请求发送至认证服务器。
14.根据权利要求13所述的基于量子密钥的认证方法,其特征在于,所述生成第一认证请求的步骤之前,所述方法还包括:
获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
选择所述第一共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第一量子密钥。
15.根据权利要求14所述的基于量子密钥的认证方法,其特征在于,所述获取预先存储的第一共享密钥集合信息的步骤之前,所述方法还包括:
通过量子网络获取与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
16.根据权利要求13所述的基于量子密钥的认证方法,其特征在于,所述生成第一认证请求的步骤中,所述第一认证请求中的第一认证密文包括采用第一量子密钥进行加密的所述第一设备的身份标识。
17.根据权利要求16所述的基于量子密钥的认证方法,其特征在于,所述生成第一认证请求的步骤中,所述第一认证请求中的第一认证密文还包括第一密钥协商参数。
18.根据权利要求17所述的基于量子密钥的认证方法,其特征在于,所述第一认证请求中的第一认证密文还包括第一密钥协商参数时,所述生成第一认证请求的步骤之前,所述方法还包括:
选取三个整数n、g和x;
根据以下关系式计算获得所述第一密钥协商参数:
X=gx mod n
其中,X为所述第一密钥协商参数。
19.根据权利要求18所述的基于量子密钥的认证方法,其特征在于,所述生成第一认证请求的步骤中,所述第一认证请求中还包括记录整数n和g的参数;
所述生成第一认证请求的步骤之后,所述方法还包括:
存储x值。
20.根据权利要求14所述的基于量子密钥的认证方法,其特征在于,所述将所述第一认证请求发送至认证服务器的步骤之后,所述方法还包括:
接收所述认证服务器发送的认证密钥错误信息;
根据所述认证密钥错误信息,选择所述第一共享密钥集合信息中的未被标记为已使用的另一量子密钥作为所述第一量子密钥,重新生成所述第一认证请求。
21.根据权利要求14所述的基于量子密钥的认证方法,其特征在于,所述将所述第一认证请求发送至认证服务器的步骤之后,所述方法还包括:
接收所述认证服务器发送的认证通过信息;其中所述认证通过信息为所述认证服务器对所述第一认证请求认证成功后、根据所述第一认证请求生成第二认证请求发送至第二设备,且所述第二设备对所述第二认证请求认证通过后,由所述认证服务器发送;
根据所述认证通过信息,将所述第一共享密钥集合信息中的所述第一量子密钥标记为已使用或者从所述第一共享密钥集合信息中直接删除。
22.一种基于量子密钥的认证方法,应用于第二设备,其特征在于,所述认证方法包括:
接收认证服务器发送的第二认证请求;其中所述第二认证请求中包括第二密钥标识、所述认证服务器采用第二量子密钥对第一设备的身份标识加密后的第二认证密文;
根据预先存储的所述第二密钥标识与所述第二量子密钥之间的对应关系,确定所述第二量子密钥;
采用所述第二量子密钥对所述第二认证密文进行解密,获得所述第一设备的身份标识。
23.根据权利要求22所述的基于量子密钥的认证方法,其特征在于,所述根据预先存储的所述第二密钥标识与所述第二量子密钥之间的对应关系,确定所述第二量子密钥的步骤包括:
获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
根据所述第二共享密钥集合信息中所记录的第二密钥标识,确定相对应的所述第二量子密钥。
24.根据权利要求23所述的基于量子密钥的认证方法,其特征在于,所述接收认证服务器发送的第二认证请求的步骤之前,所述方法还包括:
通过量子网络获取与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
存储所述量子密钥、相对应的密钥标识、所述第二设备的身份标识和所述认证服务器的身份标识,获得所述第二共享密钥集合信息。
25.根据权利要求23所述的基于量子密钥的认证方法,其特征在于,所述第二量子密钥之后,所述方法还包括:
判断所述第二量子密钥在所述第二共享密钥信息中是否被标记为已使用或者未存在,若判断结果为是,则向所述认证服务器返回密钥错误的反馈信息;若判断结果为否,则向下执行采用所述第二量子密钥对所述第二认证密文进行解密的步骤。
26.根据权利要求22所述的基于量子密钥的认证方法,其特征在于,在所述接收认证服务器发送的第二认证请求中,所述第二认证密文包括所述认证服务器采用第二量子密钥对所述认证服务器的身份标识进行加密的认证密文和采用所述第二量子密钥对完成第一设备发送的第一认证请求的认证后获得的认证结果信息进行加密后的认证密文,所述认证结果信息中包括第一设备的身份标识;
所述第二认证请求中还包括所述认证服务器的身份标识;
其中,采用所述第二量子密钥对所述第二认证密文进行解密,获得所述第一设备的身份标识的同时,还获得解密后第二认证密文中的认证服务器的身份标识。
27.根据权利要求26所述的基于量子密钥的认证方法,其特征在于,所述采用所述第二量子密钥对所述第二认证密文进行解密的步骤之后,所述方法还包括:
判断解密后的所述第二认证密文中的所述认证服务器的身份标识与所述第二认证请求中所述认证服务器的身份标识是否一致,当判断结果一致时,获得认证成功结果。
28.根据权利要求27所述的基于量子密钥的认证方法,其特征在于,在所述获得认证成功结果之后,所述方法还包括:
生成第三认证请求,其中所述第三认证请求中包括第二设备的身份标识、第三密钥标识和第三认证密文,所述第三认证密文包括采用与所述第三密钥标识相对应的第三量子密钥对第二设备的身份标识进行加密的认证密文;
向所述认证服务器发送所述第三认证请求。
29.根据权利要求28所述的基于量子密钥的认证方法,其特征在于,在所述生成第三认证请求之前,所述方法还包括:
获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
选择所述第二共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第三量子密钥。
30.根据权利要求28所述的基于量子密钥的认证方法,其特征在于,在所述接收认证服务器发送的第二认证请求中,所述认证结果信息中还包括第一密钥协商参数X;所述第二认证请求中还包括整数n和g;
其中,所述生成第三认证请求的步骤之前,所述方法还包括:
随机选择一随机整数y;
计算Y=gy mod n,获得第二密钥协商参数Y;
采用所述第三量子密钥对第二设备的身份标识和所述第二密钥协商参数Y进行加密,获得所述第三认证密文。
31.根据权利要求29所述的基于量子密钥的认证方法,其特征在于,所述向所述认证服务器发送所述第三认证请求的步骤之后,所述方法还包括:
将所述第二共享密钥集合信息中的所述第三量子密钥标记为已使用或者从所述第二共享密钥集合信息中直接删除。
32.一种基于量子密钥的认证装置,应用于认证服务器,其特征在于,所述认证装置包括:
第一接收模块,用于接收第一设备发送的第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
第一分析模块,用于根据预先存储的所述第一密钥标识与所述第一量子密钥之间的对应关系,确定所述第一量子密钥;
第一认证模块,用于采用所述第一量子密钥对所述第一认证密文进行解密,并对解密后的所述第一认证密文进行认证;
第一请求生成模块,用于当获得认证成功结果时,采用第二量子密钥对所述第一设备的身份标识进行加密,生成第二认证请求;其中所述第二量子密钥为所述认证服务器与所述第二设备之间的共享密钥;
第一发送模块,用于将所述第二认证请求发送至所述第二设备。
33.根据权利要求32所述的基于量子密钥的认证装置,其特征在于,所述第一分析模块包括:
第一信息获取单元,用于获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述第一设备共享的多个量子密钥和相对应的密钥标识;
第一查找单元,用于根据所述第一共享密钥集合信息中所记录的第一密钥标识,确定相对应的所述第一量子密钥。
34.根据权利要求33所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第一判断模块,用于判断所述第一量子密钥在所述第一共享密钥信息中是否被标记为已使用或者未存在,若判断结果为是,则向所述第一设备返回密钥错误的反馈信息;若判断结果为否,则所述第一认证模块采用所述第一量子密钥对所述第一认证密文进行解密。
35.根据权利要求33所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第一密钥获取模块,用于通过量子网络获取与所述第一设备共享的多个量子密钥和相对应的密钥标识;
第一密钥存储模块,用于存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
36.根据权利要求32所述的基于量子密钥的认证装置,其特征在于,所述第一认证密文包括采用第一量子密钥进行加密的所述第一设备的身份标识;
所述第一认证模块包括:
第一判断单元,用于判断解密后的所述第一认证密文中的所述第一设备的身份标识与所述第一认证请求中第一设备的身份标识是否一致,当判断结果一致时,获得认证成功结果。
37.根据权利要求32所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第一密钥选择模块,用于获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述第二设备共享的多个量子密钥和相对应的密钥标识;选择所述第二共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第二量子密钥。
38.根据权利要求32所述的基于量子密钥的认证装置,其特征在于,所述第一请求生成模块所生成的第二认证请求中,所述第二认证请求包括:所述第二设备的身份标识、与所述第二量子密钥相对应的第二密钥标识和采用所述第二量子密钥对所述第一设备的身份标识进行加密的第二认证密文。
39.根据权利要求38所述的基于量子密钥的认证装置,其特征在于,所述第二认证密文包括采用所述第二量子密钥对认证后获得的认证结果信息进行加密后获得的认证密文,所述第一设备的身份标识记录于所述认证结果信息中;
其中,所述第一请求生成模块还包括:
第一加密单元,用于采用第二量子密钥对所述认证服务器的身份标识进行加密;其中所述第二认证密文还包括采用第二量子密钥对所述认证服务器的身份标识进行加密的认证密文;
其中所述第一请求生成模块所生成的第二认证请求中,所述第二认证请求还包括:所述认证服务器的身份标识。
40.根据权利要求39所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第二接收模块,用于接收所述第二设备对所述第二认证请求进行认证且认证成功后反馈的第三认证请求,其中所述第三认证请求中包括第二设备的身份标识、第三密钥标识和采用与所述第三密钥标识相对应的第三量子密钥进行加密的第三认证密文;
第二分析模块,用于根据预先存储的所述第三密钥标识与所述第三量子密钥之间的对应关系,确定所述第三量子密钥;
第二认证模块,用于采用所述第三量子密钥对所述第三认证密文进行解密,并对解密后的所述第三认证密文进行认证;
第二请求生成模块,用于当获得认证成功结果时,采用第四量子密钥对完成解密后第三认证密文认证获得的认证结果信息和所述认证服务器的身份标识进行加密,生成第四认证请求;其中所述第四量子密钥为所述认证服务器与所述第一设备之间的共享密钥,完成解密后第三认证密文进行认证获得的认证结果信息包括所述第二设备的身份标识,所述第四认证请求包括:所述认证服务器的身份标识、与所述第四量子密钥相对应的第四密钥标识、采用第四量子密钥对完成解密后第三认证密文认证获得的认证结果信息和所述认证服务器的身份标识进行加密的第四认证密文;
第二发送模块,用于将所述第四认证请求发送至所述第一设备。
41.根据权利要求40所述的基于量子密钥的认证装置,其特征在于,所述第一接收模块所接收的第一认证请求中,所述第一认证请求中的第一认证密文包括采用所述第一量子密钥进行加密的第一密钥协商参数;
其中当获得认证成功结果时,所述第一请求生成模块采用第二量子密钥对认证后获得的认证结果信息进行加密,所述认证结果信息包括所述第一设备的身份标识和所述第一密钥协商参数。
42.根据权利要求41所述的基于量子密钥的认证装置,其特征在于,所述第一接收模块所接收的第一认证请求中,所述第一认证请求还包括两个整数n和g,且所述第一密钥协商参数与n和g之间满足以下关系式:
X=gx mod n
X为所述第一密钥协商参数的数值,x为一个随机选取的整数;
其中,所述第一请求生成模块所生成的第二认证请求中,还包括整数n和g。
43.根据权利要求41或42所述的基于量子密钥的认证装置,其特征在于,所述第三认证密文中包括采用第三量子密钥进行加密的第二密钥协商参数和第二设备的身份标识;
其中,完成解密后第三认证密文进行认证获得的认证结果信息还包括所述第二密钥协商参数。
44.一种基于量子密钥的认证装置,应用于第一设备,其特征在于,所述认证装置包括:
第三请求生成模块,用于生成第一认证请求,其中所述第一认证请求中包括第一设备的身份标识、第二设备的身份标识、第一密钥标识和采用与所述第一密钥标识对应的第一量子密钥进行加密的第一认证密文;
第三发送模块,用于将所述第一认证请求发送至认证服务器。
45.根据权利要求44所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第二密钥选择模块,用于获取预先存储的第一共享密钥集合信息,其中所述第一共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;选择所述第一共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第一量子密钥。
46.根据权利要求45所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第二密钥获取模块,用于通过量子网络获取与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
第二密钥存储模块,用于存储所述量子密钥、相对应的密钥标识、所述第一设备的身份标识和所述认证服务器的身份标识,获得所述第一共享密钥集合信息。
47.根据权利要求44所述的基于量子密钥的认证装置,其特征在于,所述第三请求生成模块所生成的第一认证请求中,所述第一认证请求中的第一认证密文包括采用第一量子密钥进行加密的所述第一设备的身份标识。
48.根据权利要求47所述的基于量子密钥的认证装置,其特征在于,所述第三请求生成模块所生成的第一认证请求中,所述第一认证请求中的第一认证密文还包括第一密钥协商参数。
49.根据权利要求48所述的基于量子密钥的认证装置,其特征在于,所述第一认证请求中的第一认证密文还包括第一密钥协商参数时,所述认证装置还包括:
第一密钥参数选择模块,用于选取三个整数n、g和x;
第一密钥参数计算模块,用于根据以下关系式计算获得所述第一密钥协商参数:
X=gx mod n
其中,X为所述第一密钥协商参数。
50.根据权利要求49所述的基于量子密钥的认证装置,其特征在于,所述第三请求生成模块生成第一认证请求时,所述第一认证请求中还包括记录整数n和g的参数;
其中,所述认证装置还包括:
密钥参数存储模块,用于存储x值。
51.根据权利要求45所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第三接收模块,用于接收所述认证服务器发送的认证密钥错误信息;
第四请求生成模块,用于根据所述认证密钥错误信息,选择所述第一共享密钥集合信息中的未被标记为已使用的另一量子密钥作为所述第一量子密钥,重新生成所述第一认证请求。
52.根据权利要求45所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第四接收模块,用于接收所述认证服务器发送的认证通过信息;其中所述认证通过信息为所述认证服务器对所述第一认证请求认证成功后、根据所述第一认证请求生成第二认证请求发送至第二设备,且所述第二设备对所述第二认证请求认证通过后,由所述认证服务器发送;
第一删除模块,用于根据所述认证通过信息,将所述第一共享密钥集合信息中的所述第一量子密钥标记为已使用或者从所述第一共享密钥集合信息中直接删除。
53.一种基于量子密钥的认证装置,应用于第二设备,其特征在于,所述认证装置包括:
第五接收模块,用于接收认证服务器发送的第二认证请求;其中所述第二认证请求中包括第二密钥标识、所述认证服务器采用第二量子密钥对第一设备的身份标识加密后的第二认证密文;
第三分析模块,用于根据预先存储的所述第二密钥标识与所述第二量子密钥之间的对应关系,确定所述第二量子密钥;
解密模块,用于采用所述第二量子密钥对所述第二认证密文进行解密,获得所述第一设备的身份标识。
54.根据权利要求53所述的基于量子密钥的认证装置,其特征在于,所述第三分析模块包括:
第二信息获取单元,用于获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
第二查找单元,用于根据所述第二共享密钥集合信息中所记录的第二密钥标识,确定相对应的所述第二量子密钥。
55.根据权利要求54所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第三密钥获取模块,用于通过量子网络获取与所述认证服务器共享的多个量子密钥和相对应的密钥标识;
第三密钥存储模块,用于存储所述量子密钥、相对应的密钥标识、所述第二设备的身份标识和所述认证服务器的身份标识,获得所述第二共享密钥集合信息。
56.根据权利要求54所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第二判断模块,用于判断所述第二量子密钥在所述第二共享密钥信息中是否被标记为已使用或者未存在,若判断结果为是,则向所述认证服务器返回密钥错误的反馈信息;若判断结果为否,则所述解密模块采用所述第二量子密钥对所述第二认证密文进行解密。
57.根据权利要求53所述的基于量子密钥的认证装置,其特征在于,所述第五接收模块所接收认证服务器发送的第二认证请求中,所述第二认证密文包括所述认证服务器采用第二量子密钥对所述认证服务器的身份标识进行加密的认证密文和采用所述第二量子密钥对完成第一设备发送的第一认证请求的认证后获得的认证结果信息进行加密后的认证密文,所述认证结果信息中包括第一设备的身份标识;
所述第二认证请求中还包括所述认证服务器的身份标识;
其中,所述解密模块对所述第二认证密文进行解密,获得所述第一设备的身份标识的同时,还获得解密后第二认证密文中的认证服务器的身份标识。
58.根据权利要求57所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第三认证模块,用于判断解密后的所述第二认证密文中的所述认证服务器的身份标识与所述第二认证请求中所述认证服务器的身份标识是否一致,当判断结果一致时,获得认证成功结果。
59.根据权利要求58所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第五请求生成模块,用于在所述获得认证成功结果之后,生成第三认证请求,其中所述第三认证请求中包括第二设备的身份标识、第三密钥标识和第三认证密文,所述第三认证密文包括采用与所述第三密钥标识相对应的第三量子密钥对第二设备的身份标识进行加密的认证密文;
第四发送模块,用于向所述认证服务器发送所述第三认证请求。
60.根据权利要求59所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第三密钥选择模块,用于获取预先存储的第二共享密钥集合信息,其中所述第二共享密钥集合信息中记录了与所述认证服务器共享的多个量子密钥和相对应的密钥标识;选择所述第二共享密钥集合信息中的未被标记为已使用的其中一量子密钥作为所述第三量子密钥。
61.根据权利要求59所述的基于量子密钥的认证装置,其特征在于,所述第五接收模块所接收认证服务器发送的第二认证请求中,所述认证结果信息中还包括第一密钥协商参数X;所述第二认证请求中还包括整数n和g;
且所述认证装置还包括:
第二密钥参数选择模块,用于随机选择一随机整数y;
第二密钥参数计算模块,计算Y=gy mod n,获得第二密钥协商参数Y;
加密模块,用于采用所述第三量子密钥对第二设备的身份标识和所述第二密钥协商参数Y进行加密,获得所述第三认证密文。
62.根据权利要求60所述的基于量子密钥的认证装置,其特征在于,所述认证装置还包括:
第二删除模块,用于当所述第四发送模块向所述认证服务器发送所述第三认证请求之后,将所述第二共享密钥集合信息中的所述第三量子密钥标记为已使用或者从所述第二共享密钥集合信息中直接删除。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710134492.7A CN108574569B (zh) | 2017-03-08 | 2017-03-08 | 一种基于量子密钥的认证方法及认证装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710134492.7A CN108574569B (zh) | 2017-03-08 | 2017-03-08 | 一种基于量子密钥的认证方法及认证装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108574569A true CN108574569A (zh) | 2018-09-25 |
CN108574569B CN108574569B (zh) | 2021-11-19 |
Family
ID=63577093
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710134492.7A Active CN108574569B (zh) | 2017-03-08 | 2017-03-08 | 一种基于量子密钥的认证方法及认证装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108574569B (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109787763A (zh) * | 2019-03-05 | 2019-05-21 | 山东鲁能软件技术有限公司 | 一种基于量子密钥的移动通信认证方法、系统、终端及存储介质 |
CN110086627A (zh) * | 2019-04-22 | 2019-08-02 | 如般量子科技有限公司 | 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和系统 |
CN110493177A (zh) * | 2019-07-02 | 2019-11-22 | 如般量子科技有限公司 | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 |
CN110601838A (zh) * | 2019-10-24 | 2019-12-20 | 国网山东省电力公司信息通信公司 | 一种基于量子密钥的身份认证方法、装置及系统 |
CN111193585A (zh) * | 2019-09-24 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 通信请求管理方法及装置 |
CN111490871A (zh) * | 2020-03-13 | 2020-08-04 | 南京南瑞国盾量子技术有限公司 | 一种基于量子密钥云的sm9密钥认证方法、系统及存储介质 |
CN112740733A (zh) * | 2020-12-24 | 2021-04-30 | 华为技术有限公司 | 一种安全接入方法及装置 |
CN112865970A (zh) * | 2021-02-20 | 2021-05-28 | 普源精电科技股份有限公司 | 电子测试设备和选配功能的配置方法 |
CN113452514A (zh) * | 2020-03-25 | 2021-09-28 | 阿里巴巴集团控股有限公司 | 密钥分发方法、装置和系统 |
CN113726507A (zh) * | 2021-08-26 | 2021-11-30 | 新华三信息安全技术有限公司 | 数据传输方法、系统、装置及存储介质 |
CN114244513A (zh) * | 2021-12-31 | 2022-03-25 | 日晷科技(上海)有限公司 | 密钥协商方法、设备及存储介质 |
CN114254284A (zh) * | 2022-02-28 | 2022-03-29 | 南京大学 | 数字证书生成、身份认证方法及量子ca认证中心与系统 |
CN114301593A (zh) * | 2021-12-30 | 2022-04-08 | 济南量子技术研究院 | 一种基于量子密钥的eap认证系统及方法 |
CN114362967A (zh) * | 2022-03-09 | 2022-04-15 | 南京易科腾信息技术有限公司 | 认证方法、装置及存储介质 |
JP7485747B2 (ja) | 2022-07-04 | 2024-05-16 | 中国長江三峡集団有限公司 | 量子鍵に基づくデータ伝送方法、システム及び記憶媒体 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312672A (zh) * | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | 身份认证方法及系统 |
US8693691B2 (en) * | 2012-05-25 | 2014-04-08 | The Johns Hopkins University | Embedded authentication protocol for quantum key distribution systems |
CN103997484A (zh) * | 2014-02-28 | 2014-08-20 | 山东量子科学技术研究院有限公司 | 一种量子密码网络sip信令安全通信系统及方法 |
WO2016130340A1 (en) * | 2015-02-14 | 2016-08-18 | Valimail Inc. | Secure and delegated distribution of private keys via domain name service |
-
2017
- 2017-03-08 CN CN201710134492.7A patent/CN108574569B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312672A (zh) * | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | 身份认证方法及系统 |
US8693691B2 (en) * | 2012-05-25 | 2014-04-08 | The Johns Hopkins University | Embedded authentication protocol for quantum key distribution systems |
CN103997484A (zh) * | 2014-02-28 | 2014-08-20 | 山东量子科学技术研究院有限公司 | 一种量子密码网络sip信令安全通信系统及方法 |
WO2016130340A1 (en) * | 2015-02-14 | 2016-08-18 | Valimail Inc. | Secure and delegated distribution of private keys via domain name service |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109787763A (zh) * | 2019-03-05 | 2019-05-21 | 山东鲁能软件技术有限公司 | 一种基于量子密钥的移动通信认证方法、系统、终端及存储介质 |
CN110086627A (zh) * | 2019-04-22 | 2019-08-02 | 如般量子科技有限公司 | 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和系统 |
CN110086627B (zh) * | 2019-04-22 | 2023-08-04 | 如般量子科技有限公司 | 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和系统 |
CN110493177A (zh) * | 2019-07-02 | 2019-11-22 | 如般量子科技有限公司 | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 |
CN110493177B (zh) * | 2019-07-02 | 2021-08-31 | 如般量子科技有限公司 | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 |
CN111193585A (zh) * | 2019-09-24 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 通信请求管理方法及装置 |
CN111193585B (zh) * | 2019-09-24 | 2021-11-30 | 腾讯科技(深圳)有限公司 | 通信请求管理方法及装置 |
CN110601838A (zh) * | 2019-10-24 | 2019-12-20 | 国网山东省电力公司信息通信公司 | 一种基于量子密钥的身份认证方法、装置及系统 |
CN111490871A (zh) * | 2020-03-13 | 2020-08-04 | 南京南瑞国盾量子技术有限公司 | 一种基于量子密钥云的sm9密钥认证方法、系统及存储介质 |
CN113452514B (zh) * | 2020-03-25 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 密钥分发方法、装置和系统 |
CN113452514A (zh) * | 2020-03-25 | 2021-09-28 | 阿里巴巴集团控股有限公司 | 密钥分发方法、装置和系统 |
WO2022133949A1 (zh) * | 2020-12-24 | 2022-06-30 | 华为技术有限公司 | 一种安全接入方法及装置 |
CN112740733B (zh) * | 2020-12-24 | 2022-08-26 | 华为技术有限公司 | 一种安全接入方法及装置 |
CN112740733A (zh) * | 2020-12-24 | 2021-04-30 | 华为技术有限公司 | 一种安全接入方法及装置 |
CN112865970A (zh) * | 2021-02-20 | 2021-05-28 | 普源精电科技股份有限公司 | 电子测试设备和选配功能的配置方法 |
CN112865970B (zh) * | 2021-02-20 | 2022-11-04 | 普源精电科技股份有限公司 | 电子测试设备和选配功能的配置方法 |
CN113726507A (zh) * | 2021-08-26 | 2021-11-30 | 新华三信息安全技术有限公司 | 数据传输方法、系统、装置及存储介质 |
CN113726507B (zh) * | 2021-08-26 | 2023-10-27 | 新华三信息安全技术有限公司 | 数据传输方法、系统、装置及存储介质 |
CN114301593A (zh) * | 2021-12-30 | 2022-04-08 | 济南量子技术研究院 | 一种基于量子密钥的eap认证系统及方法 |
CN114301593B (zh) * | 2021-12-30 | 2023-08-22 | 济南量子技术研究院 | 一种基于量子密钥的eap认证系统及方法 |
CN114244513A (zh) * | 2021-12-31 | 2022-03-25 | 日晷科技(上海)有限公司 | 密钥协商方法、设备及存储介质 |
CN114244513B (zh) * | 2021-12-31 | 2024-02-09 | 日晷科技(上海)有限公司 | 密钥协商方法、设备及存储介质 |
CN114254284B (zh) * | 2022-02-28 | 2022-06-17 | 南京大学 | 数字证书生成、身份认证方法及量子ca认证中心与系统 |
CN114254284A (zh) * | 2022-02-28 | 2022-03-29 | 南京大学 | 数字证书生成、身份认证方法及量子ca认证中心与系统 |
CN114362967B (zh) * | 2022-03-09 | 2022-05-27 | 南京易科腾信息技术有限公司 | 认证方法、装置及存储介质 |
CN114362967A (zh) * | 2022-03-09 | 2022-04-15 | 南京易科腾信息技术有限公司 | 认证方法、装置及存储介质 |
JP7485747B2 (ja) | 2022-07-04 | 2024-05-16 | 中国長江三峡集団有限公司 | 量子鍵に基づくデータ伝送方法、システム及び記憶媒体 |
Also Published As
Publication number | Publication date |
---|---|
CN108574569B (zh) | 2021-11-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108574569A (zh) | 一种基于量子密钥的认证方法及认证装置 | |
CN106357396B (zh) | 数字签名方法和系统以及量子密钥卡 | |
CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
US8345875B2 (en) | System and method of creating and sending broadcast and multicast data | |
CN109218825B (zh) | 一种视频加密系统 | |
CN108282329B (zh) | 一种双向身份认证方法及装置 | |
CN107948189A (zh) | 非对称密码身份鉴别方法、装置、计算机设备及存储介质 | |
CN108768653A (zh) | 基于量子密钥卡的身份认证系统 | |
CN108566273A (zh) | 基于量子网络的身份认证系统 | |
CN106411521A (zh) | 用于量子密钥分发过程的身份认证方法、装置及系统 | |
CN109151508B (zh) | 一种视频加密方法 | |
CN101631305B (zh) | 一种加密方法及系统 | |
CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
CN107800539A (zh) | 认证方法、认证装置和认证系统 | |
CN108347404A (zh) | 一种身份认证方法及装置 | |
CN106411926A (zh) | 一种数据加密通信方法及系统 | |
WO2018127118A1 (zh) | 一种身份认证方法及装置 | |
CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
CN110505053B (zh) | 一种量子密钥充注方法、装置及系统 | |
CN104704770B (zh) | 合作服务提供系统以及服务器装置 | |
CN113612797A (zh) | 一种基于国密算法的Kerberos身份认证协议改进方法 | |
CN106911663A (zh) | 一种直销银行混合模式全报文加密系统及方法 | |
CN108964897A (zh) | 基于群组通信的身份认证系统和方法 | |
CN108600152A (zh) | 基于量子通信网络的改进型Kerberos身份认证系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |