CN108737076A - 一种身份认证系统及身份认证方法 - Google Patents
一种身份认证系统及身份认证方法 Download PDFInfo
- Publication number
- CN108737076A CN108737076A CN201710240438.0A CN201710240438A CN108737076A CN 108737076 A CN108737076 A CN 108737076A CN 201710240438 A CN201710240438 A CN 201710240438A CN 108737076 A CN108737076 A CN 108737076A
- Authority
- CN
- China
- Prior art keywords
- quantum key
- terminal equipment
- key
- quantum
- certification server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Abstract
本发明实施例提供了身份认证系统及身份认证方法,量子密钥认证服务器与第一终端设备通过第一链路进行通信,第一链路采用网络通信协议;第一终端设备利用第一终端设备存储的第一量子密钥进行加密生成第一密文,通过第一链路向量子密钥认证服务器发送第一认证请求;量子密钥认证服务器接收第一终端设备发送的第一认证请求,若能够获取量子密钥认证服务器存储的第一量子密钥,并利用第一量子密钥对第一密文解密成功,则量子密钥认证服务器对第一终端设备的身份认证通过。量子密钥是以量子力学为基础,基于测不准原理,量子的不可克隆性,以及量子相干性等物理特性,是无条件安全的,采用量子密钥作为身份认证所采用的密钥,提高该身份认证的安全性。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种身份认证系统及身份认证方法。
背景技术
在互联网通信系统中,为了保证数据信息安全,避免恶意设备的恶意访问,相互通信的设备之间首先需要进行身份认证。目前最常用的身份认证方法是基于公钥基础设施(Public Key Infrastructure,PKI)技术的身份认证方法。
采用PKI技术进行身份认证的方法如下:第三方的可信任机构——认证中心(Certificate Authority,CA),存储有用户的第一证书,该第一证书包括用户的标识信息与该用户的公钥之间的对应关系。用户所使用的客户端存储有CA所签发的第二证书,该第二证书中包括私钥。用户通过客户端向CA发送身份认证请求,该请求包括用私钥加密的密文,若CA能够利用该用户的公钥对该密文成功解密,则该用户的身份认证通过。若CA利用该用户的公钥对该密文解密失败,或者该用户的第一证书过期,则该用户的身份认证未通过。
但是,上述基于PKI技术的身份认证方法,其安全性依赖于计算的复杂度,随着计算机的计算能力不断提高,该身份认证方法的安全性无法满足用户的需求。
发明内容
本发明解决的技术问题在于提供一种身份认证系统及身份认证方法,从而能够利用量子密钥认证服务器,实现采用量子密钥进行身份认证,提高身份认证的安全性。
为此,本发明解决技术问题的技术方案是:
一种身份认证系统,所述系统包括:
量子密钥认证服务器,以及至少一个第一终端设备,所述量子密钥认证服务器与所述第一终端设备通过第一链路进行通信,所述第一链路采用网络通信协议;
所述第一终端设备,用于利用所述第一终端设备存储的第一量子密钥进行加密生成第一密文,通过所述第一链路向所述量子密钥认证服务器发送第一认证请求,所述第一认证请求包括所述第一密文;
所述量子密钥认证服务器,用于接收所述第一终端设备发送的所述第一认证请求,若能够获取所述量子密钥认证服务器存储的所述第一量子密钥,并利用所述第一量子密钥对所述第一密文解密成功,则所述量子密钥认证服务器对所述第一终端设备的身份认证通过。
在一个例子中,
所述量子密钥认证服务器,还用于利用所述第一量子密钥进行加密生成第二密文,通过所述第一链路向所述第一终端设备发送第二认证请求,所述第二认证请求包括所述第二密文;
所述第一终端设备,还用于接收所述量子密钥认证服务器发送的所述第二认证请求,若能够获取所述第一终端设备存储的所述第一量子密钥,并利用所述第一量子密钥对所述第二密文解密成功,则所述第一终端设备对所述量子密钥认证服务器的身份认证通过。
在一个例子中,所述系统还包括:
至少一个第二终端设备,所述第二终端设备与所述量子密钥认证服务器通过第二链路进行通信,所述第二链路采用所述网络通信协议;
所述第二终端设备,用于利用所述第二终端设备存储的第二量子密钥进行加密生成第三密文,通过所述第二链路向所述量子密钥认证服务器发送第三认证请求,所述第三认证请求包括所述第三密文;
所述量子密钥认证服务器,还用于接收所述第二终端设备发送的所述第三认证请求,若能够获取所述量子密钥认证服务器存储的所述第二量子密钥,并利用所述第二量子密钥对所述第三密文解密成功,则所述量子密钥认证服务器对所述第二终端设备的身份认证通过。
在一个例子中,
所述量子密钥认证服务器,还用于利用所述第二量子密钥进行加密生成第四密文,通过所述第二链路向所述第二终端设备发送第四认证请求,所述第四认证请求包括所述第四密文;
所述第二终端设备,还用于接收所述量子密钥认证服务器发送的所述第四认证请求,若能够获取所述第二终端设备存储的所述第二量子密钥,并利用所述第二量子密钥对所述第四密文解密成功,则所述第二终端设备对所述量子密钥认证服务器的身份认证通过。
在一个例子中,
所述量子密钥认证服务器,还用于对所述第一终端设备和所述第二终端设备的身份认证都通过时,分别向所述第一终端设备和所述第二终端设备发送共享密钥;
所述第一终端设备,还用于利用所述共享密钥对所述第二终端设备进行身份认证;
所述第二终端设备,还用于利用所述共享密钥对所述第一终端设备进行身份认证。
在一个例子中,
所述量子密钥认证服务器与所述第一终端设备还通过第三链路进行通信,所述第三链路是使用量子密钥进行加密通信的链路;所述量子密钥认证服务器与所述第二终端设备还通过第四链路进行通信,所述第四链路是使用量子密钥进行加密通信的链路;
所述第一终端设备,还用于所述第一量子密钥满足预设更新条件时,通过所述第三链路向所述量子密钥认证服务器发送第一密钥更新请求,接收所述量子密钥认证服务器通过所述第三链路返回的第三量子密钥,用所述第三量子密钥更新所述第一量子密钥;
所述第二终端设备,还用于所述第二量子密钥满足预设更新条件时,通过所述第四链路向所述量子密钥认证服务器发送第二密钥更新请求,接收所述量子密钥认证服务器通过所述第四链路返回的第四量子密钥,用所述第四量子密钥更新所述第二量子密钥;
所述量子密钥认证服务器,还用于通过所述第三链路接收到所述第一终端设备发送的所述第一密钥更新请求后,生成所述第三量子密钥,将所述第三量子密钥通过所述第三链路返回所述第一终端设备;还用于通过所述第四链路接收到所述第二终端设备发送的所述第二密钥更新请求后,生成所述第四量子密钥,将所述第四量子密钥通过所述第四链路返回所述第二终端设备。
在一个例子中,
所述预设更新条件包括在身份认证过程中作为加密密钥使用过一次,在身份认证过程中作为加密密钥使用的次数等于预设的阈值,以及存在的时间达到预设时长中的任意一项。
在一个例子中,
所述第一终端设备,具体用于对第一值进行哈希运算生成所述第一密文,所述第一值包括所述第一量子密钥;
所述第二终端设备,具体用于对第二值进行哈希运算生成所述第三密文,所述第二值包括所述第二量子密钥;
所述量子密钥认证服务器,具体用于对第三值进行哈希运算生成所述第二密文,所述第三值包括所述第一量子密钥;还用于对第四值进行哈希运算生成所述第四密文,所述第四值包括所述第二量子密钥。
在一个例子中,所述系统包括:
注册服务器,用于当接收到所述第一终端设备发送的注册请求信息时,对所述第一终端设备进行注册申请审批;当接收到所述第二终端设备发送的注册请求信息时,对所述第二终端设备进行注册申请审批;
所述量子密钥认证服务器,还用于当所述注册服务器对所述第一终端设备的注册申请审批通过时,向所述第一终端设备签发第一终端量子密钥证书,存储所述第一终端设备的第一注册量子密钥证书;当所述注册服务器对所述第二终端设备的注册申请审批通过时,向所述第二终端设备签发第二终端量子密钥证书,存储所述第二终端设备的第二注册量子密钥证书;
第一移动存储器,用于存储所述第一终端设备的第一终端量子密钥证书;
第二移动存储器,用于存储所述第二终端设备的第二终端量子密钥证书;
密钥管理服务器,用于存储所述第一终端设备的第一终端量子密钥证书和第一注册量子密钥证书的更新信息;存储所述第二终端设备的第二终端量子密钥证书和第二注册量子密钥证书的更新信息。
在一个例子中,
所述第一终端量子密钥证书包括用户标识,序列号,第一量子密钥,所述第一量子密钥的有效期,所述第一量子密钥的颁发者标识;
所述第二终端量子密钥证书包括用户标识,序列号,第二量子密钥,所述第二量子密钥的有效期,所述第二量子密钥的颁发者标识;
所述第一注册量子密钥证书包括用户标识,序列号,第一量子密钥,所述第一量子密钥的有效期,所述第一量子密钥的密钥重置信息;
所述第二注册量子密钥证书包括用户标识,序列号,第二量子密钥,所述第二量子密钥的有效期,所述第二量子密钥的密钥重置信息。
一种身份认证方法,量子密钥认证服务器与第一终端设备通过第一链路进行通信,所述第一链路采用网络通信协议,所述方法包括:
所述第一终端设备利用所述第一终端设备存储的第一量子密钥进行加密生成第一密文,通过所述第一链路向所述量子密钥认证服务器发送第一认证请求,所述第一认证请求包括所述第一密文;
所述量子密钥认证服务器接收所述第一终端设备发送的所述第一认证请求,若能够获取所述量子密钥认证服务器存储的所述第一量子密钥,并利用所述第一量子密钥对所述第一密文解密成功,则所述量子密钥认证服务器对所述第一终端设备的身份认证通过。
在一个例子中,所述方法还包括:
所述量子密钥认证服务器利用所述第一量子密钥进行加密生成第二密文,通过所述第一链路向所述第一终端设备发送第二认证请求,所述第二认证请求包括所述第二密文;
所述第一终端设备接收所述量子密钥认证服务器发送的所述第二认证请求,若能够获取所述第一终端设备存储的所述第一量子密钥,并利用所述第一量子密钥对所述第二密文解密成功,则所述第一终端设备对所述量子密钥认证服务器的身份认证通过。
在一个例子中,至少一个第二终端设备与所述量子密钥认证服务器通过第二链路进行通信,所述第二链路采用所述网络通信协议,所述方法还包括:
所述第二终端设备利用所述第二终端设备存储的第二量子密钥进行加密生成第三密文,通过所述第二链路向所述量子密钥认证服务器发送第三认证请求,所述第三认证请求包括所述第三密文;
所述量子密钥认证服务器接收所述第二终端设备发送的所述第三认证请求,若能够获取所述量子密钥认证服务器存储的所述第二量子密钥,并利用所述第二量子密钥对所述第三密文解密成功,则所述量子密钥认证服务器对所述第二终端设备的身份认证通过。
在一个例子中,所述方法还包括:
所述量子密钥认证服务器利用所述第二量子密钥进行加密生成第四密文,通过所述第二链路向所述第二终端设备发送第四认证请求,所述第四认证请求包括所述第四密文;
所述第二终端设备接收所述量子密钥认证服务器发送的所述第四认证请求,若能够获取所述第二终端设备存储的所述第二量子密钥,并利用所述第二量子密钥对所述第四密文解密成功,则所述第二终端设备对所述量子密钥认证服务器的身份认证通过。
在一个例子中,所述方法还包括:
所述量子密钥认证服务器对所述第一终端设备和所述第二终端设备的身份认证都通过时,分别向所述第一终端设备和所述第二终端设备发送共享密钥;
所述第一终端设备利用所述共享密钥对所述第二终端设备进行身份认证;
所述第二终端设备利用所述共享密钥对所述第一终端设备进行身份认证。
在一个例子中,所述量子密钥认证服务器与所述第一终端设备还通过第三链路进行通信,所述第三链路是使用量子密钥进行加密通信的链路;所述量子密钥认证服务器与所述第二终端设备还通过第四链路进行通信,所述第四链路是使用量子密钥进行加密通信的链路,所述方法还包括:
所述第一量子密钥满足预设更新条件时,所述第一终端设备通过所述第三链路向所述量子密钥认证服务器发送第一密钥更新请求,接收所述量子密钥认证服务器通过所述第三链路返回的第三量子密钥,用所述第三量子密钥更新所述第一量子密钥;
所述量子密钥认证服务器通过所述第三链路接收到所述第一终端设备发送的所述第一密钥更新请求后,生成所述第三量子密钥,将所述第三量子密钥通过所述第三链路返回所述第一终端设备;
所述第二量子密钥满足预设更新条件时,所述第二终端设备通过所述第四链路向所述量子密钥认证服务器发送第二密钥更新请求,接收所述量子密钥认证服务器通过所述第四链路返回的第四量子密钥,用所述第四量子密钥更新所述第二量子密钥;
所述量子密钥认证服务器通过所述第四链路接收到所述第二终端设备发送的所述第二密钥更新请求后,生成所述第四量子密钥,将所述第四量子密钥通过所述第四链路返回所述第二终端设备。
在一个例子中,
所述预设更新条件包括在身份认证过程中作为加密密钥使用过一次,在身份认证过程中作为加密密钥使用的次数等于预设的阈值,以及存在的时间达到预设时长中的任意一项。
通过上述技术方案可知,本发明有如下有益效果:
本发明实施例提供了一种身份认证系统及身份认证方法,量子密钥认证服务器,以及第一终端设备,所述量子密钥认证服务器与所述第一终端设备通过第一链路进行通信,所述第一链路采用网络通信协议;所述第一终端设备,用于利用所述第一终端设备存储的第一量子密钥进行加密生成第一密文,通过所述第一链路向所述量子密钥认证服务器发送第一认证请求,所述第一认证请求包括所述第一密文;所述量子密钥认证服务器,用于接收所述第一终端设备发送的所述第一认证请求,若能够获取所述量子密钥认证服务器存储的所述第一量子密钥,并利用所述第一量子密钥对所述第一密文解密成功,则所述量子密钥认证服务器对所述第一终端设备的身份认证通过。量子密钥是以量子力学为基础,基于测不准原理,量子的不可克隆性,以及量子相干性等物理特性,是无条件安全的,采用量子密钥作为身份认证所采用的密钥,提高该身份认证的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的身份认证系统一实例结构示意图;
图2为本发明实施例提供的注册量子密钥证书结构示意图;
图3为本发明实施例提供的终端量子密钥证书结构示意图;
图4为本发明实施例提供的身份认证系统又一实例结构示意图;
图5为本发明实施例提供的身份认证系统再一实例结构示意图;
图6为本发明实施例提供的身份认证方法流程图。
具体实施方式
为了给出提高身份认证方法的安全性的实现方案,本发明实施例提供了一种身份认证系统及身份认证方法,以下结合说明书附图对本发明的优选实施例进行说明。
图1为本发明实施例提供的一种身份认证系统结构示意图,包括:
量子密钥认证服务器101,以及至少一个第一终端设备102,量子密钥认证服务器101与第一终端设备102通过第一链路103进行通信,第一链路103采用网络通信协议。
第一终端设备102,用于利用第一终端设备102存储的第一量子密钥进行加密生成第一密文,通过第一链路103向量子密钥认证服务器101发送第一认证请求,第一认证请求包括所述第一密文。
量子密钥认证服务器101,用于接收第一终端设备102发送的第一认证请求,若能够获取量子密钥认证服务器101存储的第一量子密钥,并利用第一量子密钥对第一密文解密成功,则量子密钥认证服务器101对所述第一终端设备102的身份认证通过。
量子密钥认证服务器101用于对终端设备进行身份认证,该量子密钥认证服务器101中,存储有多个终端设备的量子密钥,能够实现对多个终端设备的身份认证。
在一个例子中,量子密钥认证服务器101存储各个终端设备的量子密钥,可以采用注册量子密钥证书的形式。在量子密钥认证服务器101中设置一个存储注册量子密钥证书的数据库,该注册量子密钥证书的格式如图2所示。每个注册量子密钥证书包括一个用户标识,序列号,量子密钥,以及密钥有效期。
用户标识即为该量子密钥所属的用户的标识,具体实现时,可以是用户的用户名,手机号,或者身份证号码等。序列号是注册量子密钥证书的颁发者所分配的,唯一能够标识该注册量子密钥证书的标识。密钥有效期指的是给该注册量子密钥证书设置的有效期,在该密钥有效期内,该注册量子密钥证书有效;当超过该有效期时,该注册量子密钥证书无效。
此外,注册量子密钥证书还可以包括密钥重置信息,用于在该量子密钥需要重置时对用户进行身份认证。该密钥重置信息包括该量子密钥的用户的生物特征信息(指纹,虹膜特征,面部特征等),以及预设的问答信息。当用户忘记量子密钥,向量子密钥认证服务器101申请重置该用户的量子密钥时,根据该用户输入的生物特征信息或者预设的问答信息等,对该用户进行身份认证,当身份认证通过后,给该用户重置量子密钥,即修改该注册量子密钥证书中的量子密钥。
量子密钥认证服务器101与第一终端设备102通过第一链路103进行通信,该第一链路103采用网络通信协议,该第一链路103可以采用TCP/IP协议(Transmission ControlProtocol/Internet Protocol,传输控制协议/网际协议),IPX/SPX(Internetwork PacketExchange/Sequences Packet Exchange,网际包交换/顺序包交换)协议,NetBEUI(NetBiosEnhanced User Interface,NetBios增强用户接口)协议,UDP协议(User DatagramProtocol,用户数据报协议)等任意一种。
第一终端设备102中存储有该第一终端设备102所属的用户的量子密钥。在一个例子中,第一终端设备102存储量子密钥可以采用终端量子密钥证书的形式。第一终端设备102中的终端量子密钥证书的格式如图3所示。终端量子密钥证书包括用户标识,序列号,量子密钥,以及密钥有效期。用户标识即为第一终端设备102中存储的量子密钥证书中量子密钥所属的用户的标识。序列号,量子密钥,以及密钥有效期的含义,与注册量子密钥证书中的含义相同,参考上述内容的描述,这里不再赘述。
此外,该终端量子密钥证书还包括颁发者标识。颁发者,指的是该量子密钥认证服务器101所属的企业等。颁发者标识,即为该量子密钥认证服务器101所属的企业的标识。具体实现时,该颁发者标识可以是企业的名称,企业代码等。
可以理解的是,对于第一终端设备102所属的用户来说,第一终端设备102中存储的终端量子密钥证书与量子密钥认证服务器101所存储的该用户的注册量子密钥证书相比,用户标识,序列号,量子密钥,以及密钥有效期必然相同。
在一个例子中,第一终端设备101存储该终端量子密钥证书,具体实现时,该第一终端设备101可以是Ukey。Ukey中可以内置算法,实现对Ukey中存储的终端量子密钥证书中的量子密钥进行加密和解密,该终端量子密钥证书中的量子密钥加密后,才会发送到公共终端设备(计算机等),保证该量子密钥的安全性,避免量子密钥被恶意截取。
该Ukey采用双重验证机制,用户PIN(Personal Identification Number,个人标识号)码和Ukey的标识。只有Ukey,若不能获知PIN码,则无法使用该Ukey;若已知PIN码,没有Ukey,无法获得Ukey的标识,也无法使用该Ukey。从而能够避免Ukey丢失所带来的安全隐患。
既然量子密钥认证服务器101中,与第一终端设备102中,都存储有该第一终端设备102所属的用户的量子密钥。因此,该量子密钥认证服务器101对第一终端设备102进行身份认证时,所采用的是量子密钥,而不是现有技术中所采用的密钥,采用量子密钥加密后所得的密文是无条件安全的。
第一终端设备102需要在量子密钥认证服务器101进行身份认证时,第一终端设备102从终端量子密钥证书中获得第一量子密钥,利用第一量子密钥进行加密生成第一密文,第一量子密钥是该第一终端设备102所属的用户的量子密钥。第一终端设备102通过第一链路103向量子密钥认证服务器101发送第一认证请求,该第一认证请求包括第一密文。
量子密钥认证服务器101通过第一链路103接收到第一终端设备102发送的第一认证请求后,获取第一认证请求中第一终端设备102所属的用户的用户标识,根据该用户标识查找该用户的注册量子密钥证书,并获取该注册量子密钥证书中的第一量子密钥。
若能够获取该第一量子密钥,则利用该第一量子密钥对第一密文进行解密,当解密成功时,量子密钥认证服务器101对第一终端设备102的身份认证成功。此时,量子密钥认证服务器101则认为第一终端设备102是安全的终端设备。
若量子密钥认证服务器101中,并不存在该用户标识所属的用户的注册量子密钥证书,则表示该第一终端设备102的身份认证失败。
若量子密钥认证服务器101中,存在该用户标识所属的用户的注册量子密钥证书,但是该注册量子密钥证书已过期,该注册量子密钥证书中的第一量子密钥失效,则无法获得该第一量子密钥,则表示该第一终端设备102的身份认证失败。
若能够获取该第一量子密钥,则利用该第一量子密钥对第一密文进行解密,当解密失败时,则表示该第一终端设备102的身份认证失败。
当量子密钥认证服务器101对第一终端设备102的身份认证成功时,第一终端设备102是安全的终端设备,可以与第一终端设备102进行安全通信;当量子密钥认证服务器101对第一终端设备102的身份认证失败时,第一终端设备102是不安全的终端设备,无法实现与第一终端设备102进行安全通信。
上述内容主要阐述了量子密钥认证服务器101对第一终端设备102进行身份认证,为了避免恶意设备冒充量子密钥认证服务器101与第一终端设备102进行通信,则在一个例 子中,该第一终端设备102还可以对量子密钥认证服务器101进行身份认证:
量子密钥认证服务器101,还用于利用第一量子密钥进行加密生成第二密文,通过第一链路103向所述第一终端设备102发送第二认证请求,第二认证请求包括所述第二密文;
第一终端设备102,还用于接收量子密钥认证服务器101发送的第二认证请求,若能够获取第一终端设备102存储的第一量子密钥,并利用第一量子密钥对第二密文解密成功,则第一终端设备102对量子密钥认证服务器101的身份认证通过。
第一终端设备102在对量子密钥认证服务器101进行身份认证时,量子密钥认证服务器101获取该第一终端设备102所属的用户的注册量子密钥证书,利用注册量子密钥证书中的第一量子密钥进行加密获得第二密文,通过第一链路103向第一终端设备102发送第二认证请求,该第二认证请求包括第二密文。
第一终端设备102通过第一链路103接收第二认证请求,从所存储的终端量子密钥证书中获得第一量子密钥,利用该第一量子密钥对第二认证请求中的第二密文进行解密。若对第二密文的解密成功,则第一终端设备102对量子密钥认证服务器101的身份认证通过。
若第一终端设备102所存储的终端量子密钥证书过期,终端量子密钥证书中的第一量子密钥失效,则无法获取第一量子密钥,则第一终端设备102对量子密钥认证服务器101的身份认证失败。
若第一终端设备102获取第一量子密钥,利用第一量子密钥对第二密文的解密失败,则第一终端设备102对量子密钥认证服务器101的身份认证失败。
当第一终端设备102对量子密钥认证服务器101的身份认证成功时,量子密钥认证服务器101是安全的服务器,可以与量子密钥认证服务器101进行安全通信;当第一终端设备102对量子密钥认证服务器101的身份认证失败时,量子密钥认证服务器101是不安全的服务器,不能与量子密钥认证服务器101进行安全通信。
量子密钥认证服务器101与第一终端设备102互相进行身份认证后,若都通过,则表示量子密钥认证服务器101与第一终端设备102之间可以进行安全通信;若任意一方的身份认证不通过,则表示量子密钥认证服务器101与第一终端设备102之间的通信不安全。
在一个例子中,如图4所示,所述系统还包括:
至少一个第二终端设备401,第二终端设备401与量子密钥认证服务器101通过第二链路402进行通信,所述第二链路402采用所述网络通信协议。
第二终端设备401,用于利用第二终端设备存储的第二量子密钥进行加密生成第三密文,通过第二链路402向量子密钥认证服务器101发送第三认证请求,第三认证请求包括第三密文。
量子密钥认证服务器101,还用于接收第二终端设备401发送的第三认证请求,若能够获取量子密钥认证服务器101存储的所述第二量子密钥,并利用第二量子密钥对第三密文解密成功,则量子密钥认证服务器101对第二终端设备401的身份认证通过。
身份认证系统还包括第二终端设备401,第一终端设备102向量子密钥认证服务器101请求与第二终端设备401进行安全通信,即第二终端设备401是与第一终端设备102进行通信的终端设备。为了保证安全通信,则量子密钥认证服务器101不仅要对第一终端设备102进行身份认证,还需要对第二终端设备401进行身份认证。
第二终端设备401中也存储有终端量子密钥证书,第二终端设备401与第一终端设备102所存储的终端量子密钥证书所采用的形式相同,都如图2所示。但是,第二终端设备401的终端量子密钥证书中的量子密钥与第一终端设备102中的终端量子密钥证书中的量子密钥不同,第二终端设备401中的终端量子密钥证书中是第二量子密钥,即第二终端设备401所属的用户的量子密钥;而第一终端设备102中的终端量子密钥证书中是第一量子密钥,即第一终端设备102所属的用户的量子密钥。
量子密钥认证服务器101对第二终端设备401进行身份认证时,第二终端设备401利用所存储的终端量子密钥证书中的第二量子密钥进行加密得到第三密文,通过第二链路402向量子密钥认证服务器101发送第三认证请求,该第三认证请求包括第三密文。
量子密钥认证服务器101从第二链路402接收到第二终端设备401发送的第三认证请求后,获取第三认证请求中第二终端设备401所属的用户的用户标识,根据该用户标识查找该用户的注册量子密钥证书,从该注册量子密钥证书中获得该用户的第二量子密钥,利用该第二量子密钥对第三密文进行解密。
若能够获得第二量子密钥,并且利用第二量子密钥对第三密文解密成功,则量子密钥认证服务器101对第二终端设备401的身份认证成功。
若无法根据该用户标识查找到该用户的注册量子密钥证书,则无法对第三密文进行解密,则量子密钥认证服务器101对第二终端设备401的身份认证失败。
若根据该用户标识查找到该用户的注册量子密钥证书,但是该注册量子密钥证书已过期,则该注册量子密钥证书中的第二量子密钥失效,则无法获得该第二量子密钥,则表示量子密钥认证服务器101对该第二终端设备401的身份认证失败。
若根据该用户标识查找到该用户的注册量子密钥证书,获取该量子密钥证书中的第二量子密钥,利用该第二量子密钥对第三密文的解密失败,则量子密钥认证服务器101对该第二终端设备401的身份认证失败。
当量子密钥认证服务器101对该第二终端设备401的身份认证成功时,第二终端设备401是安全的终端设备,第一终端设备102可以与第二终端设备401进行安全通信;当量子密钥认证服务器101对该第二终端设备401的身份认证失败时,第二终端设备401是不安全的终端设备,第一终端设备102不能与第二终端设备401进行安全通信。
图4所示的实施例主要阐述了量子密钥认证服务器101对第二终端设备401进行身份认证,为了避免恶意设备冒充量子密钥认证服务器101与第二终端设备401进行通信,则在一个例子中,该第二终端设备401还可以对量子密钥认证服务器101进行身份认证:
量子密钥认证服务器101,还用于利用第二量子密钥进行加密生成第四密文,通过第二链路402向第二终端设备401发送第四认证请求,第四认证请求包括第四密文;
第二终端设备401,还用于接收量子密钥认证服务器101发送的第四认证请求,若能够获取第二终端设备401存储的第二量子密钥,并利用第二量子密钥对第四密文解密成功,则第二终端设备401对量子密钥认证服务器101的身份认证通过。
第二终端设备401对量子密钥认证服务器101进行身份认证时,量子密钥认证服务器101获取该第二终端设备401所属的用户的注册量子密钥证书,从该注册量子密钥证书中获得第二量子密钥,利用第二量子密钥进行加密生成第四密文。量子密钥认证服务器101通过第二链路402向第二终端设备401发送第四认证请求,第四认证请求包括第四密文。
第二终端设备401通过第二链路402接收到量子密钥认证服务器101发送的第四认证请求后,从第二终端设备401所存储的终端量子密钥证书中获取第二量子密钥,利用第二量子密钥对第四密文进行解密。
若第二终端设备401所存储的终端量子密钥证书已过期,该第二量子密钥已失效,无法获取第二量子密钥,则第二终端设备401对量子密钥认证服务器101的身份认证失败。
若第二终端设备401从所存储的终端量子密钥证书中获取第二量子密钥,利用第二量子密钥对第四密文解密失败,则第二终端设备401对量子密钥认证服务器101的身份认证失败。
第二终端设备401与量子密钥认证服务器101互相进行身份认证,若第二终端设备401与量子密钥认证服务器101互相进行身份认证成功,则表示第二终端设备401和量子密钥认证服务器101都是安全的设备,若任意一方的身份认证不通过,则表示第二终端设备401和量子密钥认证服务器101不是安全的设备。
在一个例子中,
量子密钥认证服务器101,还用于对第一终端设备102和第二终端设备401的身份认证都通过时,分别向第一终端设备102和第二终端设备401发送共享密钥;
第一终端设备102,还用于利用共享密钥对第二终端设备401进行身份认证;
第二终端设备401,还用于利用共享密钥对第一终端设备102进行身份认证。
第一终端设备102和量子密钥认证服务器101之间进行互相身份认证成功,并且第二终端设备401和量子密钥认证服务器101之间进行互相身份认证成功时,表示第一终端设备102,第二终端设备401,以及量子密钥认证服务器101都是安全的设备。此时,量子密钥认证服务器101通过第一链路103向第一终端设备102发送共享密钥,量子密钥认证服务器101通过第二链路402向第二终端设备401发送共享密钥,即第一终端设备102和第二终端设备401所获得的共享密钥相同。
第一终端设备102和第二终端设备401可以利用该共享密钥互相进行身份认证,当身份认证通过时,表示第一终端设备102和第二终端设备401都是安全的终端设备,第一终端设备102和第二终端设备401之间可以进行安全的通信。若身份认证失败,则表示第一终端设备102和第二终端设备401不能进行安全通信。
在具体实现时,量子密钥认证服务器101发送的共享密钥,可以是该量子密钥认证服务器101所生成的真随机数。
为了保证身份认证的安全性,第一量子密钥和第二量子密钥需要进行更新,则如图5所示,在一个例子中:
量子密钥认证服务器101与第一终端设备102还通过第三链路501进行通信,第三链路501是使用量子密钥进行加密通信的链路;量子密钥认证服务器101与第二终端设备401还通过第四链路502进行通信,第四链路502是使用量子密钥进行加密通信的链路;
第一终端设备102,还用于第一量子密钥满足预设更新条件时,通过所述第三链路501向量子密钥认证服务器101发送第一密钥更新请求,接收量子密钥认证服务器101通过第三链路501返回的第三量子密钥,用第三量子密钥更新第一量子密钥;
第二终端设备401,还用于第二量子密钥满足预设更新条件时,通过第四链路502向量子密钥认证服务器101发送第二密钥更新请求,接收量子密钥认证服务器101通过第四链路502返回的第四量子密钥,用第四量子密钥更新所述第二量子密钥;
量子密钥认证服务器101,还用于通过第三链路501接收到第一终端设备102发送的第一密钥更新请求后,生成第三量子密钥,将第三量子密钥通过第三链路501返回第一终端设备102;还用于通过第四链路502接收到第二终端设备401发送的第二密钥更新请求后,生成第四量子密钥,将第四量子密钥通过所述第四链路502返回所述第二终端设备401。
第一终端设备102中,存储有该第一终端设备102所属的用户的量子密钥,即第一量子密钥。当第一量子密钥满足预设的更新条件时,该第一终端设备102则通过第三链路501向量子密钥认证服务器101发送第一密钥更新请求。量子密钥认证服务器101通过第三链路501接收到第一密钥更新请求后,生成第三量子密钥,将第三量子密钥通过第三链路501返回至第一终端设备102。第一终端设备102利用第三量子密钥更新第一量子密钥。则第一终端设备102所属的用户的量子密钥更新为第三量子密钥。
第二终端设备401中,存储有该第二终端设备401所属的用户的量子密钥,即第二量子密钥。当第二量子密钥满足预设的更新条件时,该第二终端设备401则通过第四链路502向量子密钥认证服务器101发送第二密钥更新请求。量子密钥认证服务器101通过第四链路502接收到第二密钥更新请求后,生成第四量子密钥,将第四量子密钥通过第四链路502返回至第二终端设备401。第二终端设备401利用第四量子密钥更新第二量子密钥。则第二终端设备401所属的用户的量子密钥更新为第四量子密钥。
第三链路501和第四链路502都是使用量子密钥进行加密通信的链路,该第三链路501和第四链路502是安全的通信链路。为了进一步保证第三量子密钥和第四量子密钥的安全,量子密钥认证服务器101通过第三链路501向第一终端设备102发送第三量子密钥时,可以利用第一量子密钥对第三量子密钥进行加密,例如,对第一量子密钥与第三量子密钥进行异或运算获得第一异或值,量子密钥认证服务器101通过第三链路501向第一终端设备102发送第一异或值,第一终端设备102利用第一量子密钥和第一异或值获得第三量子密钥。同理,量子密钥认证服务器101通过第四链路502向第二终端设备401发送第四量子密钥时,可以利用第二量子密钥对第四量子密钥进行加密,例如,对第二量子密钥与第四量子密钥进行异或运算获得第二异或值,量子密钥认证服务器101通过第四链路502向第二终端设备401发送第二异或值,第二终端设备401利用第二量子密钥和第二异或值获得第四量子密钥。
这里需要说明的是,预设更新条件包括在身份认证过程中作为加密密钥使用过一次,在身份认证过程中作为加密密钥使用的次数等于预设的阈值,以及存在的时间达到预设时长中的任意一项。
预设的更新条件为在身份认证过程中作为加密密钥使用过一次时,即表示第一量子密钥或第二量子密钥只要在身份认证过程中作为加密密钥使用过一次,则需要进行更新。则一个量子密钥在身份认证过程中作为加密密钥只能使用一次,实现身份认证过程中一次一密,进一步提高身份认证的安全性。
预设的更新条件为在身份认证过程中作为加密密钥使用的次数等于预设的阈值时,即表示第一量子密钥或第二量子密钥在身份认证过程中作为加密密钥使用的次数达到预设的阈值时,则需要进行更新;若第一量子密钥或第二量子密钥在身份认证过程中作为加密密钥使用的次数没有达到预设的阈值时,则无需进行更新。则一个量子密钥在身份认证过程中作为加密密钥能够使用的次数有限,能够提高身份认证的安全性。其中,预设的阈值可以根据实际需要自行设置,这里不进行具体限定。例如,该预设的阈值可以是3。
预设的更新条件为存在的时间达到预设时长,即表示第一量子密钥或第二量子密钥存在的时间达到预设时长时,则需要进行更新;若第一量子密钥或第二量子密钥存在的时间未达到预设时长,则不需要进行更新。其中,预设时长可以根据实际需要自行设置,这里不进行具体限定。例如,该预设时长可以是一天。
在一个例子中,可以采用如下具体实现方式生成第一密文,第二密文,第三密文,以及第四密文:
第一终端设备102,具体用于对第一值进行哈希运算生成第一密文,第一值包括第一量子密钥;
第二终端设备401,具体用于对第二值进行哈希运算生成第三密文,第二值包括第二量子密钥;
量子密钥认证服务器101,具体用于对第三值进行哈希运算生成第二密文,第三值包括第一量子密钥;还用于对第四值进行哈希运算生成第四密文,第四值包括第二量子密钥。
第一终端设备102对第一值进行哈希运算生成第一密文,第一值包括第一量子密钥KA。为了提高第一密文的安全性,第一值还可以包括第一随机数R1,该第一随机数R1是量子密钥认证服务器101生成的随机数。此外,该第一值还可以包括第一终端设备102的IP地址IPA等。
第二终端设备401对第二值进行哈希运算生成第三密文,第二值包括第二量子密钥KB。为了提高第三密文的安全性,第二值还可以包括第二随机数R2,第二随机数R2是量子密钥认证服务器101生成的随机数。此外,该第二值还可以包括第二终端设备401的IP地址IPB,第三随机数RB,第一网络设备102所属的用户的用户标识A,第二网络设备401所属的用户的用户标识B等。该第三随机RB数是第二终端设备401生成的随机数。
量子密钥认证服务器101对第三值进行哈希运算生成第二密文,第三值包括第一量子密钥KA。为了提高第二密文的安全性,第三值还可以包括第四随机数RA,第四随机数RA是第一终端设备102生成的随机数。此外,该第三值还可以包括量子密钥认证服务器101的IP地址IPQ,第一终端设备102所属的用户的用户标识A,第二终端设备401所属的用户的用户标识B,第一随机数R1等。
量子密钥认证服务器101对第四值进行哈希运算生成第四密文,第四值包括第二量子密钥KB。为了提高第四密文的安全性,第四值还可以包括第三随机数RB。此外,该第四值还可以包括量子密钥认证服务器101的IP地址IPQ等。
在一个例子中,第一终端设备102与量子密钥认证服务器101互相进行身份认证成功,并且第二终端设备401与量子密钥认证服务器101互相进行身份认证也成功后,为了进一步提高身份认证的安全性,采用如下实施方式实现第一终端设备102与第二终端设备401互相进行身份认证:
量子密钥认证服务器101通过第一链路103向第一终端设备102发送共享密钥以外,还发送第五密文,该第五密文是由量子密钥认证服务器101对第五值进行哈希运算生成的,第五值包括第二量子密钥,第一终端设备102所属的用户的用户标识A,以及第二终端设备401所属的用户的用户标识B。量子密钥认证服务器101通过第二链路402向第二终端设备401发送共享密钥以外,还发送第六密文,该第六密文是由量子密钥认证服务器101对第六值进行哈希运算生成的,第六值包括第一量子密钥,第一终端设备102所属的用户的用户标识A,以及第二终端设备401所属的用户的用户标识B。
第一终端设备102对第二终端设备401进行身份认证时,第二终端设备401向第一终端设备102发送第七密文,该第七密文是由第二终端设备401对第七值进行哈希运算生成的,第七值包括共享密钥和第六密文。具体实现时,为了进一步提高身份认证的安全性,第二终端设备401还向第一终端设备102发送第六随机数,第七值还可以包括第五随机数和第六随机数,第五随机数是第一终端设备102生成的随机数,第六随机数是第二终端设备401生成的随机数。此外,第七值还可以包括第二终端设备401的IP地址IPB,第一终端设备102所属的用户的用户标识A,以及第二终端设备401所属的用户的用户标识B。
第二终端设备401对第一终端设备102进行身份认证时,第一终端设备102向第二终端设备401发送第八密文,该第八密文是由第一终端设备102对第八值进行哈希运算生成的,第八值包括共享密钥和第五密文。具体实现时,为了进一步提高身份认证的安全性,第八值还可以包括第六随机数。此外,第八值还可以包括第一终端设备102的IP地址IPA。
在一个例子中,所述系统包括:
注册服务器,用于当接收到第一终端设备102发送的注册请求信息时,对第一终端设备102进行注册申请审批;当接收到第二终端设备401发送的注册请求信息时,对第二终端设备401进行注册申请审批;
量子密钥认证服务器101,还用于当注册服务器对第一终端设备102的注册申请审批通过时,向第一终端设备102签发第一终端量子密钥证书,存储第一终端设备102的第一注册量子密钥证书;当注册服务器对第二终端设备401的注册申请审批通过时,向第二终端设备401签发第二终端量子密钥证书,存储第二终端设备401的第二注册量子密钥证书;
第一移动存储器,用于存储第一终端设备102的第一终端量子密钥证书;
第二移动存储器,用于存储第二终端设备401的第二终端量子密钥证书;
密钥管理服务器,用于存储第一终端设备102的第一终端量子密钥证书和第一注册量子密钥证书的更新信息;存储第二终端设备401的第二终端量子密钥证书和第二注册量子密钥证书的更新信息。
注册服务器,用于对终端设备进行注册申请审批。当一个终端设备向注册服务器发送注册请求信息时,该注册服务器会对该终端设备进行注册申请审批,当注册服务器对该终端设备的注册申请审批通过时,注册服务器告知该量子密钥认证服务器101,给该终端设备签发一个终端量子密钥证书,同时,量子密钥认证服务器101也存储一个该终端设备的注册量子密钥证书。
即注册服务器对第一终端设备102的注册申请审批通过时,量子密钥认证服务器101向第一终端设备102签发第一终端量子密钥证书,存储第一终端设备102的第一注册量子密钥证书;对第二终端设备401的注册申请审批通过时,向第二终端设备401签发第二终端量子密钥证书,存储第二终端设备401的第二注册量子密钥证书。
量子密钥认证服务器101给终端设备签发的终端量子密钥证书存储在一个移动存储器中,一个终端设备的终端量子密钥证书存储在一个移动存储器中。即第一移动存储器,用于存储第一终端设备102的第一终端量子密钥证书,第二移动存储器,用于存储第二终端设备401的第二终端量子密钥证书。其中,第一移动存储器可以在不同的终端设备上使用,使用该第一移动存储器中的第一终端量子密钥证书的终端设备即为第一终端设备102。同理,第二移动存储器可以在不同的终端设备上使用,使用该第二移动存储器中的第二终端量子密钥证书的终端设备即为第二终端设备401。
密钥管理服务器,用于存储终端设备的终端量子密钥证书和注册量子密钥证书的更新信息,该终端量子密钥证书的更新信息和注册量子密钥证书的更新信息都包括用户标识,更新前的量子密钥,更新后的量子密钥,以及更新时间等。当然,密钥管理服务器还用于管理量子密钥分发终端生成的量子密钥。
对于第一终端设备102来说,更新信息包括第一终端量子密钥证书的更新信息,包括第一终端量子密钥证书所属的用户的用户标识,更新前的第一量子密钥,更新后的第一量子密钥,以及更新时间等。对于第二终端设备401来说,更新信息包括第二终端量子密钥证书的更新信息,包括第二终端量子密钥证书所属的用户的用户标识,更新前的第二量子密钥,更新后的第二量子密钥,以及更新时间等。
在一个例子中,
第一终端量子密钥证书包括用户标识,序列号,第一量子密钥,第一量子密钥的有效期,第一量子密钥的颁发者标识;
第二终端量子密钥证书包括用户标识,序列号,第二量子密钥,第二量子密钥的有效期,第二量子密钥的颁发者标识;
第一注册量子密钥证书包括用户标识,序列号,第一量子密钥,第一量子密钥的有效期,第一量子密钥的密钥重置信息;
第二注册量子密钥证书包括用户标识,序列号,第二量子密钥,第二量子密钥的有效期,第二量子密钥的密钥重置信息。
第一终端量子密钥证书和第二终端量子密钥证书的具体结构如图3所示,第一注册量子密钥证书和第二注册量子密钥证书的具体结构如图2所示,这里不再一一赘述。
图6为本发明实施例提供的身份认证方法流程图,包括:
601:第一终端设备利用第一终端设备存储的第一量子密钥进行加密生成第一密文,通过第一链路向量子密钥认证服务器发送第一认证请求,第一认证请求包括第一密文。
602:量子密钥认证服务器接收第一终端设备发送的第一认证请求,若能够获取量子密钥认证服务器存储的第一量子密钥,并利用第一量子密钥对第一密文解密成功,则量子密钥认证服务器对第一终端设备的身份认证通过。
量子密钥认证服务器与第一终端设备通过第一链路进行通信,第一链路采用网络通信协议。
在一个例子中,所述方法还包括:
量子密钥认证服务器利用第一量子密钥进行加密生成第二密文,通过第一链路向第一终端设备发送第二认证请求,第二认证请求包括第二密文;
第一终端设备接收量子密钥认证服务器发送的第二认证请求,若能够获取第一终端设备存储的第一量子密钥,并利用第一量子密钥对第二密文解密成功,则第一终端设备对量子密钥认证服务器的身份认证通过。
在一个例子中,至少一个第二终端设备与量子密钥认证服务器通过第二链路进行通信,第二链路采用网络通信协议,所述方法还包括:
第二终端设备利用第二终端设备存储的第二量子密钥进行加密生成第三密文,通过第二链路向量子密钥认证服务器发送第三认证请求,第三认证请求包括第三密文;
量子密钥认证服务器接收第二终端设备发送的第三认证请求,若能够获取量子密钥认证服务器存储的第二量子密钥,并利用第二量子密钥对第三密文解密成功,则量子密钥认证服务器对第二终端设备的身份认证通过。
在一个例子中,所述方法还包括:
量子密钥认证服务器利用第二量子密钥进行加密生成第四密文,通过第二链路向第二终端设备发送第四认证请求,第四认证请求包括第四密文;
第二终端设备接收量子密钥认证服务器发送的第四认证请求,若能够获取第二终端设备存储的第二量子密钥,并利用第二量子密钥对第四密文解密成功,则第二终端设备对量子密钥认证服务器的身份认证通过。
在一个例子中,所述方法还包括:
量子密钥认证服务器对第一终端设备和第二终端设备的身份认证都通过时,分别向第一终端设备和第二终端设备发送共享密钥;
第一终端设备利用共享密钥对第二终端设备进行身份认证;
第二终端设备利用共享密钥对第一终端设备进行身份认证。
在一个例子中,量子密钥认证服务器与第一终端设备还通过第三链路进行通信,第三链路是使用量子密钥进行加密通信的链路;量子密钥认证服务器与第二终端设备还通过第四链路进行通信,第四链路是使用量子密钥进行加密通信的链路,所述方法还包括:
第一量子密钥满足预设更新条件时,第一终端设备通过第三链路向量子密钥认证服务器发送第一密钥更新请求,接收量子密钥认证服务器通过第三链路返回的第三量子密钥,用第三量子密钥更新第一量子密钥;
量子密钥认证服务器通过第三链路接收到第一终端设备发送的第一密钥更新请求后,生成第三量子密钥,将第三量子密钥通过第三链路返回第一终端设备;
第二量子密钥满足预设更新条件时,第二终端设备通过第四链路向量子密钥认证服务器发送第二密钥更新请求,接收量子密钥认证服务器通过第四链路返回的第四量子密钥,用第四量子密钥更新第二量子密钥;
量子密钥认证服务器通过第四链路接收到第二终端设备发送的第二密钥更新请求后,生成第四量子密钥,将第四量子密钥通过第四链路返回第二终端设备。
在一个例子中,
预设更新条件包括在身份认证过程中作为加密密钥使用过一次,在身份认证过程中作为加密密钥使用的次数等于预设的阈值,以及存在的时间达到预设时长中的任意一项。
图6所示的方法是与图1至图5所示的系统所对应的方法,具体实现方式与图1至图5所示的系统类似,参考图1至图5所示的系统的描述,这里不再赘述。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (17)
1.一种身份认证系统,其特征在于,所述系统包括:
量子密钥认证服务器,以及至少一个第一终端设备,所述量子密钥认证服务器与所述第一终端设备通过第一链路进行通信,所述第一链路采用网络通信协议;
所述第一终端设备,用于利用所述第一终端设备存储的第一量子密钥进行加密生成第一密文,通过所述第一链路向所述量子密钥认证服务器发送第一认证请求,所述第一认证请求包括所述第一密文;
所述量子密钥认证服务器,用于接收所述第一终端设备发送的所述第一认证请求,若能够获取所述量子密钥认证服务器存储的所述第一量子密钥,并利用所述第一量子密钥对所述第一密文解密成功,则所述量子密钥认证服务器对所述第一终端设备的身份认证通过。
2.根据权利要求1所述的系统,其特征在于,
所述量子密钥认证服务器,还用于利用所述第一量子密钥进行加密生成第二密文,通过所述第一链路向所述第一终端设备发送第二认证请求,所述第二认证请求包括所述第二密文;
所述第一终端设备,还用于接收所述量子密钥认证服务器发送的所述第二认证请求,若能够获取所述第一终端设备存储的所述第一量子密钥,并利用所述第一量子密钥对所述第二密文解密成功,则所述第一终端设备对所述量子密钥认证服务器的身份认证通过。
3.根据权利要求1-2任意一项所述的系统,其特征在于,所述系统还包括:
至少一个第二终端设备,所述第二终端设备与所述量子密钥认证服务器通过第二链路进行通信,所述第二链路采用所述网络通信协议;
所述第二终端设备,用于利用所述第二终端设备存储的第二量子密钥进行加密生成第三密文,通过所述第二链路向所述量子密钥认证服务器发送第三认证请求,所述第三认证请求包括所述第三密文;
所述量子密钥认证服务器,还用于接收所述第二终端设备发送的所述第三认证请求,若能够获取所述量子密钥认证服务器存储的所述第二量子密钥,并利用所述第二量子密钥对所述第三密文解密成功,则所述量子密钥认证服务器对所述第二终端设备的身份认证通过。
4.根据权利要求3所述的系统,其特征在于,
所述量子密钥认证服务器,还用于利用所述第二量子密钥进行加密生成第四密文,通过所述第二链路向所述第二终端设备发送第四认证请求,所述第四认证请求包括所述第四密文;
所述第二终端设备,还用于接收所述量子密钥认证服务器发送的所述第四认证请求,若能够获取所述第二终端设备存储的所述第二量子密钥,并利用所述第二量子密钥对所述第四密文解密成功,则所述第二终端设备对所述量子密钥认证服务器的身份认证通过。
5.根据权利要求4所述的系统,其特征在于,
所述量子密钥认证服务器,还用于对所述第一终端设备和所述第二终端设备的身份认证都通过时,分别向所述第一终端设备和所述第二终端设备发送共享密钥;
所述第一终端设备,还用于利用所述共享密钥对所述第二终端设备进行身份认证;
所述第二终端设备,还用于利用所述共享密钥对所述第一终端设备进行身份认证。
6.根据权利要求4所述的系统,其特征在于,
所述量子密钥认证服务器与所述第一终端设备还通过第三链路进行通信,所述第三链路是使用量子密钥进行加密通信的链路;所述量子密钥认证服务器与所述第二终端设备还通过第四链路进行通信,所述第四链路是使用量子密钥进行加密通信的链路;
所述第一终端设备,还用于所述第一量子密钥满足预设更新条件时,通过所述第三链路向所述量子密钥认证服务器发送第一密钥更新请求,接收所述量子密钥认证服务器通过所述第三链路返回的第三量子密钥,用所述第三量子密钥更新所述第一量子密钥;
所述第二终端设备,还用于所述第二量子密钥满足预设更新条件时,通过所述第四链路向所述量子密钥认证服务器发送第二密钥更新请求,接收所述量子密钥认证服务器通过所述第四链路返回的第四量子密钥,用所述第四量子密钥更新所述第二量子密钥;
所述量子密钥认证服务器,还用于通过所述第三链路接收到所述第一终端设备发送的所述第一密钥更新请求后,生成所述第三量子密钥,将所述第三量子密钥通过所述第三链路返回所述第一终端设备;还用于通过所述第四链路接收到所述第二终端设备发送的所述第二密钥更新请求后,生成所述第四量子密钥,将所述第四量子密钥通过所述第四链路返回所述第二终端设备。
7.根据权利要求6所述的系统,其特征在于,
所述预设更新条件包括在身份认证过程中作为加密密钥使用过一次,在身份认证过程中作为加密密钥使用的次数等于预设的阈值,以及存在的时间达到预设时长中的任意一项。
8.根据权利要求4所述的系统,其特征在于,
所述第一终端设备,具体用于对第一值进行哈希运算生成所述第一密文,所述第一值包括所述第一量子密钥;
所述第二终端设备,具体用于对第二值进行哈希运算生成所述第三密文,所述第二值包括所述第二量子密钥;
所述量子密钥认证服务器,具体用于对第三值进行哈希运算生成所述第二密文,所述第三值包括所述第一量子密钥;还用于对第四值进行哈希运算生成所述第四密文,所述第四值包括所述第二量子密钥。
9.根据权利要求3所述的系统,其特征在于,所述系统包括:
注册服务器,用于当接收到所述第一终端设备发送的注册请求信息时,对所述第一终端设备进行注册申请审批;当接收到所述第二终端设备发送的注册请求信息时,对所述第二终端设备进行注册申请审批;
所述量子密钥认证服务器,还用于当所述注册服务器对所述第一终端设备的注册申请审批通过时,向所述第一终端设备签发第一终端量子密钥证书,存储所述第一终端设备的第一注册量子密钥证书;当所述注册服务器对所述第二终端设备的注册申请审批通过时,向所述第二终端设备签发第二终端量子密钥证书,存储所述第二终端设备的第二注册量子密钥证书;
第一移动存储器,用于存储所述第一终端设备的第一终端量子密钥证书;
第二移动存储器,用于存储所述第二终端设备的第二终端量子密钥证书;
密钥管理服务器,用于存储所述第一终端设备的第一终端量子密钥证书和第一注册量子密钥证书的更新信息;存储所述第二终端设备的第二终端量子密钥证书和第二注册量子密钥证书的更新信息。
10.根据权利要求9所述的系统,其特征在于,
所述第一终端量子密钥证书包括用户标识,序列号,第一量子密钥,所述第一量子密钥的有效期,所述第一量子密钥的颁发者标识;
所述第二终端量子密钥证书包括用户标识,序列号,第二量子密钥,所述第二量子密钥的有效期,所述第二量子密钥的颁发者标识;
所述第一注册量子密钥证书包括用户标识,序列号,第一量子密钥,所述第一量子密钥的有效期,所述第一量子密钥的密钥重置信息;
所述第二注册量子密钥证书包括用户标识,序列号,第二量子密钥,所述第二量子密钥的有效期,所述第二量子密钥的密钥重置信息。
11.一种身份认证方法,其特征在于,量子密钥认证服务器与第一终端设备通过第一链路进行通信,所述第一链路采用网络通信协议,所述方法包括:
所述第一终端设备利用所述第一终端设备存储的第一量子密钥进行加密生成第一密文,通过所述第一链路向所述量子密钥认证服务器发送第一认证请求,所述第一认证请求包括所述第一密文;
所述量子密钥认证服务器接收所述第一终端设备发送的所述第一认证请求,若能够获取所述量子密钥认证服务器存储的所述第一量子密钥,并利用所述第一量子密钥对所述第一密文解密成功,则所述量子密钥认证服务器对所述第一终端设备的身份认证通过。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
所述量子密钥认证服务器利用所述第一量子密钥进行加密生成第二密文,通过所述第一链路向所述第一终端设备发送第二认证请求,所述第二认证请求包括所述第二密文;
所述第一终端设备接收所述量子密钥认证服务器发送的所述第二认证请求,若能够获取所述第一终端设备存储的所述第一量子密钥,并利用所述第一量子密钥对所述第二密文解密成功,则所述第一终端设备对所述量子密钥认证服务器的身份认证通过。
13.根据权利要求11-12任意一项所述的方法,其特征在于,至少一个第二终端设备与所述量子密钥认证服务器通过第二链路进行通信,所述第二链路采用所述网络通信协议,所述方法还包括:
所述第二终端设备利用所述第二终端设备存储的第二量子密钥进行加密生成第三密文,通过所述第二链路向所述量子密钥认证服务器发送第三认证请求,所述第三认证请求包括所述第三密文;
所述量子密钥认证服务器接收所述第二终端设备发送的所述第三认证请求,若能够获取所述量子密钥认证服务器存储的所述第二量子密钥,并利用所述第二量子密钥对所述第三密文解密成功,则所述量子密钥认证服务器对所述第二终端设备的身份认证通过。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:
所述量子密钥认证服务器利用所述第二量子密钥进行加密生成第四密文,通过所述第二链路向所述第二终端设备发送第四认证请求,所述第四认证请求包括所述第四密文;
所述第二终端设备接收所述量子密钥认证服务器发送的所述第四认证请求,若能够获取所述第二终端设备存储的所述第二量子密钥,并利用所述第二量子密钥对所述第四密文解密成功,则所述第二终端设备对所述量子密钥认证服务器的身份认证通过。
15.根据权利要求14所述的方法,其特征在于,所述方法还包括:
所述量子密钥认证服务器对所述第一终端设备和所述第二终端设备的身份认证都通过时,分别向所述第一终端设备和所述第二终端设备发送共享密钥;
所述第一终端设备利用所述共享密钥对所述第二终端设备进行身份认证;
所述第二终端设备利用所述共享密钥对所述第一终端设备进行身份认证。
16.根据权利要求14所述的方法,其特征在于,所述量子密钥认证服务器与所述第一终端设备还通过第三链路进行通信,所述第三链路是使用量子密钥进行加密通信的链路;所述量子密钥认证服务器与所述第二终端设备还通过第四链路进行通信,所述第四链路是使用量子密钥进行加密通信的链路,所述方法还包括:
所述第一量子密钥满足预设更新条件时,所述第一终端设备通过所述第三链路向所述量子密钥认证服务器发送第一密钥更新请求,接收所述量子密钥认证服务器通过所述第三链路返回的第三量子密钥,用所述第三量子密钥更新所述第一量子密钥;
所述量子密钥认证服务器通过所述第三链路接收到所述第一终端设备发送的所述第一密钥更新请求后,生成所述第三量子密钥,将所述第三量子密钥通过所述第三链路返回所述第一终端设备;
所述第二量子密钥满足预设更新条件时,所述第二终端设备通过所述第四链路向所述量子密钥认证服务器发送第二密钥更新请求,接收所述量子密钥认证服务器通过所述第四链路返回的第四量子密钥,用所述第四量子密钥更新所述第二量子密钥;
所述量子密钥认证服务器通过所述第四链路接收到所述第二终端设备发送的所述第二密钥更新请求后,生成所述第四量子密钥,将所述第四量子密钥通过所述第四链路返回所述第二终端设备。
17.根据权利要求16所述的方法,其特征在于,
所述预设更新条件包括在身份认证过程中作为加密密钥使用过一次,在身份认证过程中作为加密密钥使用的次数等于预设的阈值,以及存在的时间达到预设时长中的任意一项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710240438.0A CN108737076A (zh) | 2017-04-13 | 2017-04-13 | 一种身份认证系统及身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710240438.0A CN108737076A (zh) | 2017-04-13 | 2017-04-13 | 一种身份认证系统及身份认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108737076A true CN108737076A (zh) | 2018-11-02 |
Family
ID=63923852
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710240438.0A Pending CN108737076A (zh) | 2017-04-13 | 2017-04-13 | 一种身份认证系统及身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108737076A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109194477A (zh) * | 2018-11-12 | 2019-01-11 | 中共中央办公厅电子科技学院 | 量子保密通信网络系统的接入节点装置以及包括该装置的通信网络系统 |
CN109245887A (zh) * | 2018-11-12 | 2019-01-18 | 中共中央办公厅电子科技学院 | 量子保密通信网络系统的中继装置以及包括该装置的通信网络系统 |
CN109257274A (zh) * | 2018-11-12 | 2019-01-22 | 中共中央办公厅电子科技学院 | 量子保密通信网络系统的交换节点装置以及包括该装置的通信网络系统 |
CN109302288A (zh) * | 2018-11-12 | 2019-02-01 | 中共中央办公厅电子科技学院 | 一种基于量子密钥分发技术的量子保密通信网络系统及其应用 |
CN109829282A (zh) * | 2018-12-27 | 2019-05-31 | 航天信息股份有限公司 | 基于数字证书认证系统的数字证书处理方法及装置 |
CN110233729A (zh) * | 2019-07-02 | 2019-09-13 | 北京计算机技术及应用研究所 | 一种基于puf的加密固态盘密钥管理方法 |
CN110601838A (zh) * | 2019-10-24 | 2019-12-20 | 国网山东省电力公司信息通信公司 | 一种基于量子密钥的身份认证方法、装置及系统 |
CN114362967A (zh) * | 2022-03-09 | 2022-04-15 | 南京易科腾信息技术有限公司 | 认证方法、装置及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219058A (zh) * | 2014-09-28 | 2014-12-17 | 小米科技有限责任公司 | 身份认证、身份授权方法及装置 |
CN104951409A (zh) * | 2015-06-12 | 2015-09-30 | 中国科学院信息工程研究所 | 一种基于硬件的全盘加密系统及加密方法 |
CN105515780A (zh) * | 2016-01-12 | 2016-04-20 | 浙江神州量子网络科技有限公司 | 基于量子密钥的身份认证系统和方法 |
CN105812367A (zh) * | 2016-03-15 | 2016-07-27 | 浙江神州量子网络科技有限公司 | 一种量子网络中网络接入设备的认证系统及认证方法 |
CN106357396A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 数字签名方法和系统以及量子密钥卡 |
-
2017
- 2017-04-13 CN CN201710240438.0A patent/CN108737076A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219058A (zh) * | 2014-09-28 | 2014-12-17 | 小米科技有限责任公司 | 身份认证、身份授权方法及装置 |
CN104951409A (zh) * | 2015-06-12 | 2015-09-30 | 中国科学院信息工程研究所 | 一种基于硬件的全盘加密系统及加密方法 |
CN105515780A (zh) * | 2016-01-12 | 2016-04-20 | 浙江神州量子网络科技有限公司 | 基于量子密钥的身份认证系统和方法 |
CN105812367A (zh) * | 2016-03-15 | 2016-07-27 | 浙江神州量子网络科技有限公司 | 一种量子网络中网络接入设备的认证系统及认证方法 |
CN106357396A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 数字签名方法和系统以及量子密钥卡 |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109194477A (zh) * | 2018-11-12 | 2019-01-11 | 中共中央办公厅电子科技学院 | 量子保密通信网络系统的接入节点装置以及包括该装置的通信网络系统 |
CN109245887A (zh) * | 2018-11-12 | 2019-01-18 | 中共中央办公厅电子科技学院 | 量子保密通信网络系统的中继装置以及包括该装置的通信网络系统 |
CN109257274A (zh) * | 2018-11-12 | 2019-01-22 | 中共中央办公厅电子科技学院 | 量子保密通信网络系统的交换节点装置以及包括该装置的通信网络系统 |
CN109302288A (zh) * | 2018-11-12 | 2019-02-01 | 中共中央办公厅电子科技学院 | 一种基于量子密钥分发技术的量子保密通信网络系统及其应用 |
CN109194477B (zh) * | 2018-11-12 | 2024-04-02 | 中共中央办公厅电子科技学院 | 量子保密通信网络系统的接入节点装置以及包括该装置的通信网络系统 |
CN109257274B (zh) * | 2018-11-12 | 2024-02-02 | 中共中央办公厅电子科技学院 | 量子保密通信网络系统的交换节点装置以及包括该装置的通信网络系统 |
CN109245887B (zh) * | 2018-11-12 | 2024-01-30 | 中共中央办公厅电子科技学院 | 量子保密通信网络系统的中继装置以及包括该装置的通信网络系统 |
CN109302288B (zh) * | 2018-11-12 | 2023-09-26 | 中共中央办公厅电子科技学院 | 一种基于量子密钥分发技术的量子保密通信网络系统及其应用 |
CN109829282B (zh) * | 2018-12-27 | 2022-04-26 | 航天信息股份有限公司 | 基于数字证书认证系统的数字证书处理方法及装置 |
CN109829282A (zh) * | 2018-12-27 | 2019-05-31 | 航天信息股份有限公司 | 基于数字证书认证系统的数字证书处理方法及装置 |
CN110233729B (zh) * | 2019-07-02 | 2022-03-11 | 北京计算机技术及应用研究所 | 一种基于puf的加密固态盘密钥管理方法 |
CN110233729A (zh) * | 2019-07-02 | 2019-09-13 | 北京计算机技术及应用研究所 | 一种基于puf的加密固态盘密钥管理方法 |
CN110601838A (zh) * | 2019-10-24 | 2019-12-20 | 国网山东省电力公司信息通信公司 | 一种基于量子密钥的身份认证方法、装置及系统 |
CN114362967A (zh) * | 2022-03-09 | 2022-04-15 | 南京易科腾信息技术有限公司 | 认证方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108737076A (zh) | 一种身份认证系统及身份认证方法 | |
Mahmood et al. | An elliptic curve cryptography based lightweight authentication scheme for smart grid communication | |
CN108235805B (zh) | 账户统一方法、装置及存储介质 | |
US8683209B2 (en) | Method and apparatus for pseudonym generation and authentication | |
US10742426B2 (en) | Public key infrastructure and method of distribution | |
Luecking et al. | Decentralized identity and trust management framework for Internet of Things | |
CN104158827B (zh) | 密文数据共享方法、装置、查询服务器和上传数据客户端 | |
CN106452739A (zh) | 一种量子网络服务站以及量子通信网络 | |
CN105959269A (zh) | 一种基于身份的可认证动态群组密钥协商方法 | |
CN109618326A (zh) | 用户动态标识符生成方法及服务注册方法、登录验证方法 | |
CN106130716A (zh) | 基于认证信息的密钥交换系统及方法 | |
CN108566273A (zh) | 基于量子网络的身份认证系统 | |
CN101291216B (zh) | P2p网络系统及其认证方法 | |
CN108768653A (zh) | 基于量子密钥卡的身份认证系统 | |
CN108964896B (zh) | 一种基于群组密钥池的Kerberos身份认证系统和方法 | |
KR20120053929A (ko) | 전자서명키 이중 암호화를 이용한 전자서명 대행 시스템과 웹 저장소에 저장을 특징으로 하는 그 방법 | |
CN108809633A (zh) | 一种身份认证的方法、装置及系统 | |
US9292671B1 (en) | Multi-server authentication using personalized proactivization | |
Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs | |
Palomar et al. | Secure content access and replication in pure p2p networks | |
CN107070869A (zh) | 一种基于安全硬件的匿名认证方法 | |
CN104780049B (zh) | 一种安全读写数据的方法 | |
Fritz et al. | Smart card based security in locator/identifier-split architectures | |
CN114915494B (zh) | 一种匿名认证的方法、系统、设备和存储介质 | |
CN110572257A (zh) | 基于身份的抗量子计算数据来源鉴别方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181102 |