CN108599925A

CN108599925A - 一种基于量子通信网络的改进型aka身份认证系统和方法

Info

Publication number: CN108599925A
Application number: CN201810229041.6A
Authority: CN
Inventors: 富尧; 钟民; 钟一民; 余秋炜
Original assignee: Ruban Quantum Technology Co Ltd
Current assignee: Ruban Quantum Technology Co Ltd
Priority date: 2018-03-20
Filing date: 2018-03-20
Publication date: 2018-09-28
Anticipated expiration: 2038-03-20
Also published as: CN108599925B

Abstract

本发明公开了一种基于量子通信网络实现的身份认证系统和方法，身份认证时配置有量子密钥卡的请求方和作为鉴权方量子网络服务站以密文方式交互鉴权请求、提问消息、应答消息和返回消息；鉴权请求和提问消息加密时采用鉴权密钥，鉴权请求中主动提出协商密钥的长度和协商密钥的使用算法标识；而在提问消息中则返回协商密钥的算法；在之后的应答消息和返回消息加密时，不再使用鉴权密钥而是采用协商密钥，请求方和鉴权方还采用了双向认证的方式，本发明在现有AKA身份认证方法基础上进一步改进而提高了安全性。

Description

一种基于量子通信网络的改进型AKA身份认证系统和方法

技术领域

本发明涉及安全通信技术领域，具体涉及一种量子密钥卡到量子网络服务站的鉴权和密钥协商的算法，即通信双方如何进行双向的身份认证和从对称密钥池中取出相同密钥的机制。

背景技术

鉴权，即身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。

随着量子计算机的发展，经典非对称加密算法将不再安全，无论是认证还是加解密领域，对称密钥算法将大行其道。比如目前在移动通信领域比较常用的基于对称密钥算法的鉴权方法之一的AKA机制。AKA全称“Authentication and Key Agreement”，即鉴权和密钥协商。顾名思义，AKA机制在身份认证的同时并进行了密钥的协商，为后续通信的加密提供了密钥保障。

作为安全性升级的方案，对称密钥池的方式将是一种保证密钥安全的重要方案乃至主流方案。同时可以对对称密钥池中的全部或部分内容进行加密存储，加密密钥可以存储到对称密钥池宿主的安全隔离装置中。后续对对称密钥池进行密钥操作时，需要由安全隔离装置解密后使用。有关对称密钥池可参见公开号为CN105337726A，发明名称为“基于量子密码的端对端手持设备加密方法及系统”的发明专利文献，公开了一种基于量子密码的端对端手持设备加密方法，其量子通信的两台密钥分发设备之间，通过QKD形成了一对对称密钥池，用于QKD双方的用户进行量子加密通信。

又例如公开号为CN106452740A，发明名称为“一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法”的发明专利文献，公开了一种量子通信服务站、量子密钥管理装置，两者之间共享同样的量子随机数密钥数据块，该数据块对也可以理解为一对对称密钥池，用于双方的用户进行量子随机数密钥的加密通信。

公开号为CN106357649A，发明名称为“用户身份认证系统和方法”的专利文献，公开了一种对称密钥体制的身份认证方法。该发明基于移动量子密钥存储设备，采用量子真随机数发生器产生的真随机数作为密钥种子，在身份认证时有限多次使用，兼顾了密钥生成量和安全性问题。并且包含了关于量子通信的异地身份认证技术。

现有技术存在的问题：

1.公开号为CN106357649A的专利文献虽然使用了量子密钥卡作为对称密钥池，但是其身份认证是单向的，存在较大的安全隐患。并且该发明在鉴权时没有密钥协商的功能，如需实现，得在鉴权后再开启密钥协商的功能。过程过于繁琐，且增加了鉴权双方的通信负担。

2.现有的AKA机制使用的根密钥非常有限，且协商的密钥都是通过根密钥计算所得，安全性能不高。

发明内容

本发明提供一种基于量子通信网络实现的身份认证系统和方法，在现有AKA身份认证方法基础上进一步改进提高了安全性。

一种基于量子通信网络的改进型AKA身份认证方法，实施在配置有量子密钥卡的请求方，包括：

向作为鉴权方的量子网络服务站发送密文M1形式的鉴权请求，所述密文M1由量子密钥卡通过鉴权密钥生成，所述鉴权请求中带有第一随机数以及协商密钥的长度和协商密钥的使用算法标识；

接收来自鉴权方的密文M2形式的提问消息，所述密文M2由量子网络服务站通过鉴权密钥生成，所述提问消息是鉴权方响应于所述鉴权请求而生成，提问消息包括所述第一随机数、用于生成协商密钥的第二随机数，以及协商密钥的生成算法标识；

利用第一随机数对所述提问消息进行验证，验证通过后生成密文M3形式的应答消息并发送至鉴权方，所述密文M3由量子密钥卡通过协商密钥生成，所述应答消息中包括第三随机数以及认证应答；

接收来自鉴权方的密文M4形式的返回消息，所述密文M4由量子网络服务站通过协商密钥生成，所述返回消息为是鉴权方响应于所述应答消息而生成，且所述第三随机数作为返回消息中鉴权方对所述认证应答进行认证的成功标识；

检验所述返回消息，通过返回消息中的第三随机数确认鉴权结果。

本发明中请求方在硬件上为一终端，该终端通过外插或内置的方式配置有量子密钥卡，量子密钥卡经由终端与量子网络服务站通信。或者请求方在硬件上为具有通信功能的量子密钥卡，其直接与量子网络服务站通信。

本发明中鉴权方为量子网络服务站。在广域网环境下，参与鉴权的过程的量子网络服务站为一个或多个，在没有强调量子网络服务站数量时，网络侧的各量子网络服务站可作为一整体看待，与请求方之间相互通信。

请求方与鉴权方持有相对应的密钥池、各类算法和鉴权密钥数组。由于是基于量子网络，在没有特殊说明时，本发明提及的随机数都优选采用量子随机数，密钥种子以及各类密钥都优选采用量子密钥。既可以预先生成并存储以供调用，也可以是在认证过程中依照需要而生成。

请求方与鉴权方交互时采用全密文方式，密文M1～密文M4的传输过程中，发送方先对数据进行运算生成消息认证码，再进行加密，相应的在接收方先进行解密，然后利用消息认证码进行验证。就密文传输本身而言并非本发明改进重点，因此有关密文的加解密以及验证在没有特殊限定的情况下可以依照现有技术实施。

本发明所述的身份认证方法，即鉴权过程既包括相互认证，也包括了对后续加密通信所采用密钥的协商，即所述协商密钥，协商密钥包括消息加密密钥CK(即保密性密钥)和消息认证密钥IK(即完整性密钥)。

本发明利用利用量子密钥卡的密钥同步机制可有效地在鉴权的请求消息开始对任意一条消息进行消息认证和加密。可以将更多的关键信息进行加密传输，更加保证了通信的安全性，同时也保证了会话消息的完整性。本发明在鉴权请求中加入了比较多的参数，为鉴权的主动方提供了更多的密钥协商选择。其次，相对于现有的单向认证方式，本发明中实现了鉴权对象双方的用户侧和网络侧的相互认证。并且在鉴权中加入了多个唯一识别符确保了消息的新鲜度。

在本发明鉴权密钥的更新提高了认证过程中鉴权密钥的安全性，同时可以在鉴权过程中进行鉴权密钥的更新，减少了不必要的通信步骤，降低了设备的通信压力。本发明中还根据AKA通信密钥的限制进行了改进，从原来根据随机数计算密钥的方式改成了取密钥种子计算密钥的方式，并且密钥种子不对外暴露，并且原AKA机制中用于生成保密性密钥和完整性密钥的随机数在提问消息中被加密了，降低了密钥被破解的风险。

经典AKA的鉴权机制中SQN存在重同步的漏洞，当遇到重放提问时，SQN会不断进行重同步，这样会加大通信负荷。本发明利用第一随机数代替了经典AKA的鉴权机制中的SQN，简化了繁琐的消息新鲜度校验步骤，避免重同步的漏洞。除此之外，经典AKA服务器与服务器之间是通过经典网络传输消息的，在当前网络环境下，并不是安全的，而本发明中采用的是QKD网络保证了在广域网络中通信的安全。

相应的，本发明还提供一种基于量子通信网络的改进型AKA身份认证方法，实施在作为鉴权方的量子网络服务站，包括：

接收来自作为请求方的量子密钥卡的密文M1形式的鉴权请求，所述密文M1由量子密钥卡通过鉴权密钥生成，所述鉴权请求中带有第一随机数以及协商密钥的长度和协商密钥的使用算法标识；

响应于所述鉴权请求生成密文M2形式的提问消息并发送至请求方，所述密文M2由量子网络服务站通过鉴权密钥生成，所述提问消息所述第一随机数、用于生成协商密钥的第二随机数，以及协商密钥的生成算法标识；

接收来自请求方的密文M3形式的应答消息，所述密文M3由量子密钥卡通过协商密钥生成，所述应答消息为请求方对所述提问消息利用第一随机数验证通过后生成，所述应答消息中包括第三随机数以及认证应答；

对应答消息中的认证应答进行认证，并相应生成密文M4形式的返回消息发送给请求方，所述密文M4由量子网络服务站通过协商密钥生成，在返回消息中所述第三随机数作为认证的成功标识。

相应的，本发明还提供一种基于量子通信网络的改进型AKA身份认证方法，实施在配置有量子密钥卡的请求方与作为鉴权方的量子网络服务站之间，包括：

请求方向鉴权方发送密文M1形式的鉴权请求，所述密文M1由量子密钥卡通过鉴权密钥生成，所述鉴权请求中带有第一随机数以及协商密钥的长度和协商密钥的使用算法标识；

鉴权方响应于所述鉴权请求，生成密文M2形式的提问消息并发送至请求方，所述密文M2由量子网络服务站通过鉴权密钥生成，所述提问消息包括所述第一随机数、用于生成协商密钥的第二随机数，以及协商密钥的生成算法标识；

请求方接收密文M2形式的提问消息，利用第一随机数所述提问消息进行验证，验证通过后生成密文M3形式的应答消息并发送至鉴权方，所述密文M3由量子密钥卡通过协商密钥生成，所述应答消息中包括第三随机数以及认证应答；

鉴权方接收密文M3形式的应答消息，对应答消息中的认证应答进行认证，并相应生成密文M4形式的返回消息发送给请求方，所述密文M4由量子网络服务站通过协商密钥生成，在返回消息中所述第三随机数作为认证的成功标识；

请求方接收密文M4形式的返回消息，通过返回消息中的第三随机数确认鉴权结果。

相应的，本发明还提供一种基于量子通信网络的改进型AKA身份认证系统，包括配置有量子密钥卡的请求方，在请求方设置有处理器以及存储器，存储器中配置有如下指令模块供处理器调用运行：

第一模块，用于向作为鉴权方的量子网络服务站发送密文M1形式的鉴权请求，所述密文M1由量子密钥卡通过鉴权密钥生成，所述鉴权请求中带有第一随机数以及协商密钥的长度和协商密钥的使用算法标识；

第二模块，用于接收来自鉴权方的密文M2形式的提问消息，所述密文M2由量子网络服务站通过鉴权密钥生成，所述提问消息是鉴权方响应于所述鉴权请求而生成，提问消息包括所述第一随机数、用于生成协商密钥的第二随机数，以及协商密钥的生成算法标识；

第三模块，用于利用第一随机数对所述提问消息进行验证，验证通过后生成密文M3形式的应答消息并发送至鉴权方，所述密文M3由量子密钥卡通过协商密钥生成，所述应答消息中包括第三随机数以及认证应答；

第四模块，用于接收来自鉴权方的密文M4形式的返回消息，所述密文M4由量子网络服务站通过协商密钥生成，所述返回消息为是鉴权方响应于所述应答消息而生成，且所述第三随机数作为返回消息中鉴权方对所述认证应答进行认证的成功标识；

第五模块，用于检验所述返回消息，通过返回消息中的第三随机数确认鉴权结果。

相应的，本发明还提供一种基于量子通信网络的改进型AKA身份认证系统，包括作为鉴权方的量子网络服务站，在鉴权方设置有处理器以及存储器，存储器中配置有如下指令模块供处理器调用运行：

第六模块，用于接收来自作为请求方的量子密钥卡的密文M1形式的鉴权请求，所述密文M1由量子密钥卡通过鉴权密钥生成，所述鉴权请求中带有第一随机数以及协商密钥的长度和协商密钥的使用算法标识；

第七模块，用于响应于所述鉴权请求生成密文M2形式的提问消息并发送至请求方，所述密文M2由量子网络服务站通过鉴权密钥生成，所述提问消息所述第一随机数、用于生成协商密钥的第二随机数，以及协商密钥的生成算法标识；

第八模块，用于接收来自请求方的密文M3形式的应答消息，所述密文M3由量子密钥卡通过协商密钥生成，所述应答消息为请求方对所述提问消息利用第一随机数验证通过后生成，所述应答消息中包括第三随机数以及认证应答；

第九模块，用于对应答消息中的认证应答进行认证，并相应生成密文M4形式的返回消息发送给请求方，所述密文M4由量子网络服务站通过协商密钥生成，在返回消息中所述第三随机数作为认证的成功标识。

本发明还提供一种基于量子通信网络的改进型AKA身份认证系统，包括本发明所述的配置有量子密钥卡的请求方，和作为鉴权方的量子网络服务站。

作为优选，参与身份认证的双方(例如请求方和鉴权方)配置有对称密钥池以及相应的鉴权密钥，通过所述第二随机数以及鉴权密钥对密钥池内指定的密钥种子进行运算(按照“协商密钥的生成算法标识”所对应的算法)，得到所述协商密钥；且所述鉴权密钥按预定的生存周期进行更新。

鉴权密钥的更新时机为：

请求方在发起鉴权请求前判定鉴权密钥是否处在生存周期内，若超出生存周期则在发起鉴权请求时一并发起鉴权密钥更新请求；或

参与身份认证的双方在使用鉴权密钥时，判定鉴权密钥是否处在生存周期内，若超出生存周期则发起鉴权密钥更新请求；或

参与身份认证的双方定期检查鉴权密钥是否处在生存周期内，若超出生存周期则发起鉴权密钥更新请求。

在鉴权密钥的更新时，拥有量子密钥卡的请求方发起鉴权密钥更新请求，量子网络服务站存储有上一次使用的鉴权密钥，以及当前使用的鉴权密钥，更新时依次向前覆盖。

这样可以在处理鉴权异常时，调用上一次使用的鉴权密钥，以恢复鉴权流程。

所述鉴权密钥包括保密性密钥和完整性密钥，密文M1的生成方式为先利用鉴权密钥中的完整性密钥对鉴权请求运算生成消息认证码，再利用鉴权密钥中的保密性密钥对附有消息认证码的鉴权请求运算生成密文M1；

密文M2的生成方式为先利用鉴权密钥中的完整性密钥对提问消息运算生成消息认证码，再利用鉴权密钥中的保密性密钥对附有消息认证码的提问消息运算生成密文M2。

本发明中与应答消息和返回消息对应的密文M3和密文M4并非利用鉴权密钥生成，由于双方在交互鉴权请求和提问消息后，已经完成了协商密钥生成方式以及用法，为了进一步提高安全性和复杂程度，在密文M3和密文M4的生成过程中，采用了协商密钥生成密文。

所述协商密钥包括保密性密钥和完整性密钥，密文M3的生成方式为先利用协商密钥中的完整性密钥对应答消息运算生成消息认证码，再利用协商密钥中的保密性密钥对附有消息认证码的应答消息运算生成密文M3；

密文M4的生成方式为先利用协商密钥中的完整性密钥对返回消息运算生成消息认证码，再利用协商密钥中的保密性密钥对附有消息认证码的返回消息运算生成密文M4。

协商密钥中，保密性密钥和完整性密钥的使用方式按照协商密钥的使用算法标识所对应的算法，例如保密性密钥在加解密时的算法，按照保密性密钥的使用算法标识所对应的算法；完整性密钥在生成消息认证码的算法，按照完整性密钥的使用算法标识所对应的算法。

在形成密文过程中，无论是鉴权密钥还是协商密钥，就其保密性密钥和完整性密钥的具体使用方式而言均为现有技术，并不作为改进的重点所在。

量子密钥卡与直接通信的量子网络服务站之间配置有对称密钥池也可视为在局域网环境下，若在广域网环境下，例如：

所述鉴权方包括位于网络侧且可进行站间加密通信的第一量子网络服务站和第二量子网络服务站，其中第一量子网络服务站与量子密钥卡直接通信，第二量子网络服务站与量子密钥卡之间配置有对称密钥池；

量子密钥卡向第一量子网络服务站发送鉴权请求，该鉴权请求经由第一量子网络服务站转发至第二量子网络服务站，且由第二量子网络服务站生成认证向量并发送至第一量子网络服务站；

第一量子网络服务站依据所述认证向量向量子密钥卡发送提问消息，量子密钥卡接收并验证提问消息后生成应答消息发送至第一量子网络服务站，第一量子网络服务站接收所述应答消息并进行认证得到鉴权结果，再将鉴权结果发送给量子密钥卡。

第一量子网络服务站和第二量子网络服务站之间通信时，可通过QKD方式进行站间密钥的共享。

本发明采用双向认证，进一步提高了安全性，并利用第一随机数代替经典AKA的鉴权机制中的SQN，简化了繁琐的消息校验步骤，原AKA机制中用于生成保密性密钥和完整性密钥的随机数在提问消息中采用密文方式了，降低了密钥被破解的风险。

附图说明

图1为本发明身份认证系统结构图；

图2a为量子密钥卡部分参数说明示意图；

图2b量子网络服务站部分参数说明示意图；

图3为实施例1的流程示意图；

图4为实施例2的流程示意图，其中虚线为鉴权密钥组更新时额外的消息传输流程。

具体实施方式

如图1所示，本发明身份认证系统可以包括多个量子网络服务站，不同量子网络服务站之间可以通过QKD方式共享站间量子密钥。

量子网络服务站包括：

量子服务中心，主要用于通过经典网络与用户侧的各用户端通信连接以及与其他量子网络服务站通信连接；经典网络包括但不限于电信网、互联网、广播电视网或者其他通信网络等。

量子密钥分发设备，主要用于通过QKD方式实现站间量子密钥的共享。

真随机数发生器，用于接收用户侧密钥管理服务器提出的申请用户侧密钥的请求，生成用户侧密钥，并发送给用户侧密钥管理服务器；此处采用的为真随机数发生器。其可以为基于量子光学的真随机数发生器、基于电路的真随机数发生器、基于物理源的真随机数发生器以及其他种类的真随机发生器。

用户侧密钥管理服务器，存放、管理从真随机数发生器生成的用户侧密钥，可以接入可移动式的量子密钥卡，实现的发卡、登记、拷贝用户侧密钥，还可以接收量子服务中心提出的申请用户侧密钥请求，发送相应长度的用户侧密钥给量子服务中心。

其中量子服务中心包括：身份认证服务器，还可根据需要设置其他服务器，例如数字签名服务器、签名验证服务器、加解密服务器等。

身份认证服务器用于实现用户在接受消息认证、数字签名等服务前与量子网络服务站的相互身份认证。身份认证服务器内部具有服务器加密板卡，优选为采用PCI或PCIE总线接口的加密卡，用于存储身份认证协议，包括密钥生成算法、认证函数、加密传输协议。

各量子网络服务站下配置有用户端，例如图中的用户端1～用户端n，本实施例中不同的服务器或其他装置在硬件上也可以根据需要进行整合。

用户端为接入量子网络服务站的设备，可为移动终端，或为固定终端。当为移动终端时，量子密钥卡优选为量子SD卡；当为固定终端时，量子密钥卡优选为USBkey或主机加密板卡。

当客户前往所在区域的量子网络服务站进行注册登记，获批后得到量子密钥卡(具有唯一的量子密钥卡ID)。量子密钥卡存储了客户注册登记信息，还内置有身份认证协议，至少包括密钥生成算法以及认证函数，或其他与身份认证相关的算法和身份认证密钥组。

网络侧的各个量子网络服务站也相应的存有认证协议，若协议中各算法存在两种以上，量子密钥卡在与量子网络服务站通信时会将算法标号发送给量子网络服务站，供量子网络服务站选取。

量子密钥卡中的用户侧密钥可能下载自不同的量子网络服务站，因此可按不同来源存在不同的密钥种子集中，用户端可按预先设定的规则取用密钥种子以生成密钥。不同的密钥种子集具有唯一的密钥种子集ID，其指向的量子网络服务站中存储有相应的密钥种子集。密钥种子集ID包含了量子密钥卡的身份信息和对应的量子网络服务站的站点信息。

量子密钥卡和量子网络服务站分别存储有相应的信息。量子密钥卡中存储了身份识别码为ID、归属的量子网络服务站的站点识别码QID、密钥池、各类算法和鉴权密钥数组，鉴权密钥数组长度为1，量子网络服务站中存储了自身的站点识别码QID、所有在本站登记或充值密钥的量子密钥卡ID、密钥池、各类算法和鉴权密钥数组，每个鉴权密钥数组长度为2。第一组为前一个鉴权密钥，第二组为现使用的鉴权密钥。每组鉴权密钥均由一个保密性密钥和一个完整性密钥组成。本发明中的参数设定详见图2a和图2b。

图3、4中，大括号内表示被加密的部分，后面紧跟的内容表示使用的密钥。例如{KLA||RAND1||MAC1}KE_A表示使用KE_A加密KLA||RAND1||MAC1(||表示串接)。本发明中鉴权后最终协商的密钥为消息加密密钥CK(即保密性密钥)和消息认证密钥IK(即完整性密钥)。

实施例1

如图3所示，局域网内，用户侧的量子密钥卡A与网络侧的量子网络服务站Q_A之间的身份认证方法，其中涉及的量子密钥卡为本地量子网络服务站注册颁发的，或者在该服务站充值过量子密钥。量子密钥卡A的身份识别码为ID_A，量子网络服务站Q_A的站点识别码为QID_A。

本发明中各个参数的符号只是为了方便说明，并不对本发明构成任何特殊限制。例如密文M1～密文M4，M1～M4仅仅为了便于区分，并不对密文内容本身以及生成方式等作出额外的限定。

为避免赘述，在具体步骤中密文M1也可简称为M1，其他符号同理。在没有特殊说明的前提下，各随机数均为量子随机数。

步骤1.1：用户侧向网络侧发送鉴权请求

1.1.1鉴权请求的生成：量子密钥卡A产生一个随机数或者从密钥池中随机截取一段作为本次鉴权请求的唯一识别符，记为RAND1。将RAND1附加在参数KLA后面生成KLA||RAND1。KLA参数包括了本次协商的保密性密钥CK和消息认证密钥IK的密钥长度L_C和L_I，以及消息加密算法ID_CK和消息认证算法ID_IK。这样的设定可以满足应用层对算法的要求和密钥的要求。

1.1.2用户侧生成消息认证码并加密：量子密钥卡A取出鉴权密钥组中的完整性密钥KI_A，完整性密钥KI_A和KLA||RAND1同时作为输入，采用相应的消息认证算法计算得到消息认证码MAC1，本发明中除指定的消息认证算法外均采用HMAC算法作为消息认证的算法。将MAC1拼接到KLA||RAND1后，得到KLA||RAND1||MAC1。量子密钥卡A取出鉴权密钥组中的保密性密钥KE_A，利用KE_A和指定的加密算法对KLA||RAND1||MAC1进行加密得到密文M1。

1.1.3用户侧向网络侧发送鉴权请求：量子密钥卡A将密文M1和站点信息QID_A、量子密钥卡身份信息ID_A拼接后得到QID_A||ID_A||M1，将QID_A||ID_A||M1发送到量子网络服务站Q_A。

步骤1.2：网络侧验证请求，生成提问消息

1.2.1网络侧识别消息，找到对应的鉴权密钥组：量子网络服务站Q_A接收到鉴权请求后，将消息拆分为QID_A、ID_A和密文M1。量子网络服务站Q_A验证QID_A与自身站点识别码进行对比，相匹配后根据ID_A找到相应的鉴权密钥组。

1.2.2网络侧解密、认证鉴权请求：量子网络服务站Q_A取出现第二组密钥(即现使用的密钥组)，用KE_Q对密文M1进行解密得到KLA||RAND1||MAC1。量子网络服务站Q_A拆分KLA||RAND1||MAC1，得到KLA||RAND1和MAC1。量子网络服务站Q_A取出完整性密钥KI_Q和对应的消息认证算法对KLA||RAND1进行计算得到MAC2。将MAC1与MAC2进行比较，若相同，则证明消息未被篡改；若不相同，则使用第一组鉴权密钥(即前一组的密钥组)再对密文M1进行解密和消息认证。如果认证失败，则量子网络服务站Q_A向量子密钥卡A返回失败的消息，如果认证成功，则使用前一组鉴权密钥覆盖现使用的密钥组，并进行下一步操作。

1.2.3网络侧生成认证向量：量子网络服务站Q_A通过量子真随机数发生器生成一个不可预测的随机数RAND2，同时根据需求生成一个时间戳Ts。取KI_Q作为以下算法的密钥K。此时的KI_Q或是原来的，或是被覆盖过的。设用作保密性密钥CK的密钥种子(即随机数)为N1，其指针地址为P_C，长度为L_C；用作完整性密钥IK的密钥种子(即随机数)为N2，指针地址为P_I，长度为L_I。N1和N2分别取自密钥池。设密钥池总量为P_A。具体的计算公式如下(⊕表示按位异或)：

计算密钥协商码(KIA)：KIA＝ID_f4||ID_f5||Ts；

计算期望的认证应答(XRES)：XRES＝f1(K，RAND2)；

计算CK的指针地址(P_C)：P_C＝f2(K，RAND2，P_A)；

计算IK的指针地址(P_I)：P_I＝f3(K，RAND2，P_A)；

计算保密性密钥(CK)：CK＝f4(K，N1)；

计算完整性密钥(IK)：IK＝f5(K，N2)；

网络认证令牌(AUTN)＝RAND1||RAND2||KIA；

计算消息认证码(MAC3)：MAC3＝f6(K，AUTN)；

计算消息密文(M2)：M2＝f7(KE_Q，AUTN||MAC3)；

认证向量(AV)：AV＝XRES||CK||IK||AUTN；

(注：算法f1为消息认证算法，f2和f3为特定的指针地址算法，f4和f5为密钥生成算法，算法f6和f7分别与步骤1.1.2中的消息认证算法和消息加密算法对应。ID_f4和ID_f5分别是CK和IK的生成算法的ID。)

1.2.4网络侧加密发送提问消息：量子网络服务站Q_A将密文M2发送到量子密钥卡A进行认证提问，同时保留了XRES、CK和IK。

步骤1.3：用户侧验证提问消息，并返回应答

1.3.1用户侧解密、验证网络侧提问消息：量子密钥卡A接收到来自量子网络服务站Q_A的提问消息后，利用密钥KE_A和KI_A对密文M2进行解密并消息认证，具体流程参考上述步骤1.2.2(与对密文M1进行解密并消息认证同理)。若认证成功，则进行下一步操作，若认证失败，则返回失败消息，并终止本次鉴权。

1.3.2用户侧验证消息识别码：量子密钥卡A将解密的消息拆分为RAND1’、RAND2和KIA。为便于区分A本地的RAND1，从提问消息中解析出的RAND1以下记为RAND1’，其他步骤中有关随机数的标识同理。

将RAND1’与RAND1进行比较，若不相同，则说明量子网络服务站Q_A是非法身份，终止本次鉴权；若相同，则进行下一步操作。

1.3.3用户侧生成应答消息：量子密钥卡A将RAND2用KI_A和消息认证算法计算得到消息认证码RES。量子密钥卡A根据KIA中的信息，通过RAND2计算得到取随机数的指针地址，根据L_C和L_I在密钥池中取相应的长度的随机数，并利用对应ID_f4和ID_f5密钥生成算法生成密钥CK’和IK’。量子密钥卡A再次生成一个随机数RAND3，并附加在RES后得到RES||RAND3。量子密钥卡A利用CK’和IK’及相应的算法对RES||RAND3进行消息认证码的生成和消息加密生成密文M3，具体流程参考上述步骤1.1.2(与密文M1消息认证码的生成和消息加密同理)。

1.3.4用户侧返回应答消息：量子密钥卡A将密文M3发送给量子网络服务站Q_A。

步骤1.4：网络侧验证用户侧身份

1.4.1网络侧解密、认证应答消息：量子网络服务站Q_A接收到量子密钥卡的应答消息后，利用协商密钥CK、IK和协商的消息解密算法和消息认证算法进行对密文M3的解密和消息认证，具体流程请参考步骤1.2.2。

1.4.2网络侧验证用户侧身份：量子网络服务站Q_A将消息明文拆成RES和RAND3。先将RES与XRES进行比较，如果相同，则证明量子密钥卡A为合法身份，并进行下一步操作。如果失败，则证明量子密钥卡A为非法身份，返回失败消息并终止本次鉴权。

1.4.3网络侧返回认证结果：认证成功后，量子网络服务站Q_A将RAND3附加在认证结果消息后，用CK和IK进行消息认证和加密后形成密文M4形式的返回消息，并发送给量子密钥卡A。

步骤1.5：用户侧接收验证认证结果

1.5.1用户侧解密、认证网络侧的认证结果消息：量子密钥卡A接收到量子网络服务站Q_A的认证结果消息后，利用CK’和IK’进行解密及消息认证，具体流程参考上述步骤1.2.2。

1.5.2用户侧检验消息新鲜度，并确认认证结果：量子密钥卡A拆分消息后，将RAND3’和RAND3进行比较，如果相等，则为本次认证结果，如果不相等，则终止本次鉴权。解析认证结果，检查身份认证是否成功。

鉴权密钥的更新

鉴权密钥的更新方法与上述的鉴权方法相似。在第一次鉴权时，默认采用密钥池开头的随机数作为鉴权密钥。进行鉴权密钥更新时，网络侧将现使用的鉴权密钥覆盖前一次的鉴权密钥组，将同步的鉴权密钥组覆盖现使用的密钥组；用户侧直接将同步的鉴权密钥组覆盖掉原有鉴权密钥组。

网络侧的更新在1.4.2网络侧验证用户侧身份成功后；

用户侧的更新在1.5.2用户侧检验消息新鲜度，并成功确认认证结果后。

鉴权与鉴权密钥更新组合方法

当鉴权密钥的更新需要与鉴权绑定时，可以在KLA参数中指定一位作为识别符。当该位上是0时，则说明本次鉴权无需更新密钥，当该位上是1时，则说明本次鉴权需要更新密钥。鉴权密钥更新的时刻请参考上述“鉴权密钥的更新”。

鉴权异常的处理

主动鉴权方与被动鉴权方之间的收发的消息可能是鉴权请求、提问消息、应答消息或者返回消息。

结合图3，鉴权请求、提问消息、应答消息和返回消息分别简称消息①～消息④。

如果消息传输过程中发生A端和B端之间轻度丢包，通过各自的信令重发机制，一般情况下不影响消息的收发。例如用户侧向网络侧发送鉴权请求后收不到来自网络侧的提问消息，会重新生成唯一识别符打包请求消息并发送给网络侧，直到达到请求的最大发送次数；网络侧发送提问消息后收不到应答消息，同样会重新发送到最大发送次数。

如果鉴权过程中发生用户侧和网络侧之间重度丢包甚至断网的情况，则鉴权过程终止，等下应用层下一次鉴权的请求。各类异常情况的处理如下：

情况1、如果过程只进行鉴权和密钥协商，那么无论消息①、②、③、④任何一个丢失都不会对密钥池及鉴权密钥组造成影响。唯一的影响就是鉴权失败以及密钥协商失败，可根据应用层的请求重新进行鉴权。

情况2、如果是鉴权密钥的更新，消息①、②、③的丢包对鉴权密钥组的同步不影响。当消息④丢包后，网络侧的鉴权密钥更新，但用户侧的鉴权密钥未做更新，当用户侧向网络侧再次做鉴权或者鉴权密钥更新时，网络侧的前一次鉴权密钥组依然能与用户侧的鉴权密钥组匹配，具体操作可参考上述步骤1.2。

情况3、如果是鉴权和鉴权密钥更新组合使用时，处理方式可以参考情况2中的异常处理。

实施例2

如图4所示，在广域网内，用户侧的量子密钥卡B与网络侧的量子网络服务站Q_A之间的身份认证方法，其中涉及的量子密钥卡归属于量子网络服务站Q_B。量子密钥卡B的身份识别码为ID_B，量子网络服务站Q_A的站点识别码为QID_A，量子网络服务站Q_B的站点识别码为QID_B。

两个量子网络服务站分别利用量子密钥分发设备实现站间量子密钥的共享，量子密钥分发设备可以是一套也可以是至少两套集成。

步骤2.1：用户侧向网络侧发送鉴权请求

此步骤中，生成密文的方式请参考上述实施例1中的1.1.1和1.1.2，在用户侧向网络侧发送鉴权请求中，量子密钥卡B将密文M1和站点信息QID_B、量子密钥卡身份信息ID_B拼接后得到QID_B||ID_B||M1，将QID_B||ID_B||M1发送到量子网络服务站Q_A。

步骤2.2：网络侧转发鉴权请求至指定量子网络服务站

网络侧识别消息，转发至指定网络侧站点：量子网络服务站Q_A接收到鉴权请求后，量子网络服务站Q_A根据消息中的QID_B将请求QID_B||ID_B||M1打包，在量子网络服务站Q_A的QKD设备加密后通过量子干线发送到量子网络服务站Q_B。

步骤2.3：网络侧验证请求，生成提问消息

2.3.1网络侧接收转发的请求：量子网络服务站Q_B的QKD设备接收来自量子网络服务站Q_A转发的鉴权请求后，本站的QKD设备解密认证转发消息后，将转发消息分配到本站的身份认证模块。

2.3.2网络侧解密、鉴权请求：量子网络服务站Q_B将消息拆分为QID_B、ID_B和密文M1。验证QID_B与自身站点识别码进行对比，相匹配后根据ID_B找到相应的鉴权密钥组。量子网络服务站Q_B取出现第二组密钥(即现使用的密钥组)，用KE_Q对密文M1进行解密得到KLA||RAND1||MAC1。量子网络服务站Q_B拆分KLA||RAND1||MAC1，得到KLA||RAND1和MAC1。量子网络服务站Q_B取出完整性密钥KI_Q和对应的消息认证算法对KLA||RAND1进行计算得到MAC2。将MAC1与MAC2进行比较，若相同，则证明消息未被篡改；若不相同，则使用第一组鉴权密钥(即前一组的密钥组)再对密文M1进行解密和消息认证。如果认证失败，则量子网络服务站Q_B向量子网络服务站Q_A返回失败的消息，如果认证成功，则使用前一组鉴权密钥覆盖现使用的密钥组，并进行下一步操作。

2.3.3网络侧生成认证向量：量子网络服务站Q_B通过量子真随机数发生器生成一个不可预测的随机数RAND2，同时根据需求生成一个时间戳Ts。取KI_Q作为以下算法的密钥K。此时的KI_Q或是原来的，或是被覆盖过的。设用作保密性密钥CK的密钥种子(即随机数)为N1，其指针地址为P_C，长度为L_C；用作完整性密钥IK的密钥种子(即随机数)为N2，指针地址为P_I，长度为L_I。N1和N2分别取自密钥池。设密钥池总量为P_A。具体的计算公式如下(⊕表示按位异或)：

计算密钥协商码(KIA)：KIA＝ID_f4||ID_f5||Ts；

计算期望的认证应答(XRES)：XRES＝f1(K，RAND2)；

计算CK的指针地址(P_C)：P_C＝f2(K，RAND2，P_A)；

计算IK的指针地址(P_I)：P_I＝f3(K，RAND2，P_A)；

计算保密性密钥(CK)：CK＝f4(K，N1)；

计算完整性密钥(IK)：IK＝f5(K，N2)；

网络认证令牌(AUTN)＝RAND1||RAND2||KIA；

计算消息认证码(MAC3)：MAC3＝f6(K，AUTN)；

计算消息密文(M2)：M2＝f7(KE_B，AUTN||MAC3)；

认证向量(AV)：AV＝XRES||CK||IK||M2；

(注：以上f1到f7的算法均可参考实施例1)

2.3.4网络侧加密发送提问消息：量子网络服务站Q_B将认证向量通过QKD方式加密发送给量子网络服务站Q_A。量子网络服务站Q_A将密文M2发送到量子密钥卡B进行认证提问，同时保留了XRES、CK和IK。

步骤2.5、步骤2.6、步骤2.7流程请参考实施例1中步骤1.3、步骤1.4、步骤1.5。参与的对象为量子密钥卡B和量子网络服务站Q_A，不涉及量子网络服务站Q_B。

鉴权密钥的更新

鉴权密钥的更新方法请参考实施例1中的鉴权密钥更新方法。但是在网络侧更新鉴权密钥组时，是量子网络服务站Q_A将鉴权密钥组通过QKD的方式共享到量子网络服务站Q_B来完成网络侧的鉴权密钥组的更新。

鉴权与鉴权密钥更新组合方法

本组合方法可以参考实施例1的做法。当鉴权密钥的更新需要与鉴权绑定时，可以在KLA参数中指定一位作为识别符。当该位上是0时，则说明本次鉴权无需更新密钥，当该位上是1时，则说明本次鉴权需要更新密钥。鉴权密钥更新的时刻请参考本实施例的“鉴权密钥的更新”。

鉴权异常的处理

异常处理情况请参考实施例1中的处理。当用于鉴权密钥更新或者有鉴权密钥更新参与时，用户侧和网络侧丢包异常可参考实施例1，在网络侧和网络侧之间，如量子网络服务站Q_A到量子网络服务站Q_B的消息发生异常不影响鉴权密钥的更新；量子网络服务站Q_B到量子网络服务站Q_A的消息发生异常，处理手段和实施例1中消息④丢包的处理方式一致。

以上公开的仅为本发明的实施例，但是本发明并非局限于此，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。显然这些改动和变型均应属于本发明要求的保护范围保护内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对本发明构成任何特殊限制。

Claims

1.一种基于量子通信网络的改进型AKA身份认证方法，实施在配置有量子密钥卡的请求方，其特征在于，包括：

2.一种基于量子通信网络的改进型AKA身份认证方法，实施在作为鉴权方的量子网络服务站，其特征在于，包括：

3.一种基于量子通信网络的改进型AKA身份认证方法，实施在配置有量子密钥卡的请求方与作为鉴权方的量子网络服务站之间，其特征在于，包括：

请求方接收密文M2形式的提问消息，利用第一随机数对所述提问消息进行验证，验证通过后生成密文M3形式的应答消息并发送至鉴权方，所述密文M3由量子密钥卡通过协商密钥生成，所述应答消息中包括第三随机数以及认证应答；

4.如权利要求1、2或3所述的基于量子通信网络的改进型AKA身份认证方法，其特征在于，参与身份认证的双方配置有对称密钥池以及相应的鉴权密钥，通过所述第二随机数以及鉴权密钥对密钥池内指定的密钥种子进行运算，得到所述协商密钥；且所述鉴权密钥按预定的生存周期进行更新。

5.如权利要求1、2或3所述的基于量子通信网络的改进型AKA身份认证方法，其特征在于，所述鉴权密钥包括保密性密钥和完整性密钥，密文M1的生成方式为先利用鉴权密钥中的完整性密钥对鉴权请求运算生成消息认证码，再利用鉴权密钥中的保密性密钥对附有消息认证码的鉴权请求运算生成密文M1；

6.如权利要求1、2或3所述的基于量子通信网络的改进型AKA身份认证方法，其特征在于，所述协商密钥包括保密性密钥和完整性密钥，密文M3的生成方式为先利用协商密钥中的完整性密钥对应答消息运算生成消息认证码，再利用协商密钥中的保密性密钥对附有消息认证码的应答消息运算生成密文M3；

7.如权利要求1、2或3所述的基于量子通信网络的改进型AKA身份认证方法，其特征在于，所述鉴权方包括位于网络侧且可进行站间加密通信的第一量子网络服务站和第二量子网络服务站，其中第一量子网络服务站与量子密钥卡直接通信，第二量子网络服务站与量子密钥卡之间配置有对称密钥池；

8.一种基于量子通信网络的改进型AKA身份认证系统，包括配置有量子密钥卡的请求方，在请求方设置有处理器以及存储器，其特征在于，存储器中配置有如下指令模块供处理器调用运行：

9.一种基于量子通信网络的改进型AKA身份认证系统，包括作为鉴权方的量子网络服务站，在鉴权方设置有处理器以及存储器，其特征在于，存储器中配置有如下指令模块供处理器调用运行：

10.一种基于量子通信网络的改进型AKA身份认证系统，其特征在于，包括权利要求8所述的配置有量子密钥卡的请求方，和权利要求9所述的作为鉴权方的量子网络服务站。