CN109067705B - 基于群组通信的改进型Kerberos身份认证系统和方法 - Google Patents

基于群组通信的改进型Kerberos身份认证系统和方法 Download PDF

Info

Publication number
CN109067705B
CN109067705B CN201810687084.9A CN201810687084A CN109067705B CN 109067705 B CN109067705 B CN 109067705B CN 201810687084 A CN201810687084 A CN 201810687084A CN 109067705 B CN109067705 B CN 109067705B
Authority
CN
China
Prior art keywords
key
user
group
party
network service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810687084.9A
Other languages
English (en)
Other versions
CN109067705A (zh
Inventor
富尧
钟一民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ruban Quantum Technology Co Ltd
Original Assignee
Ruban Quantum Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ruban Quantum Technology Co Ltd filed Critical Ruban Quantum Technology Co Ltd
Priority to CN201810687084.9A priority Critical patent/CN109067705B/zh
Publication of CN109067705A publication Critical patent/CN109067705A/zh
Application granted granted Critical
Publication of CN109067705B publication Critical patent/CN109067705B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于群组通信的改进型Kerberos身份认证系统和方法,进行身份认证时包括:步骤S1、主动方群组中的其中一用户端A1向量子网络服务站申请Ticket且指定主动方通信范围以及被动方通信范围;量子网络服务站生成与主动方通信范围相应的TicketA信息以及与被动方通信范围相应的TicketB信息,并发送给被动方群组中的其中一用户端B1;步骤S2、用户端B1将TicketA信息转发给用户端A1,用户端B1还利用TicketB信息生成TicketB,并将TicketB发给用户端A1;用户端A1接收TicketA信息以及TicketB后在主动方通信范围内共享TicketA信息以及TicketB;步骤S3、主动方通信范围内的一用户端A2向被动方通信范围内的一用户端B2发送TicketB,使得用户端A2和用户端B2共享用于实施加密通信的会话密钥。

Description

基于群组通信的改进型Kerberos身份认证系统和方法
技术领域
本发明涉及量子通信技术领域,尤其涉及基于量子网络服务站的身份认证的系统和方法。
背景技术
鉴权,即身份认证是实现信息安全的基本技术,系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限,同样也可以进行系统与系统间的身份认证。
当前通信网络中身份认证系统普遍采用Kerberos认证方案。Kerberos是一种网络认证协议,其设计目标是通过密钥系统为用户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
在Kerberos认证方案中,引入了时间戳timestamp来对重放攻击进行遏止,但是票据有生命周期,在其生命周期的有效时间内仍然可以使用。如果收到消息的时间是在规定允许的范围之内,那么就认为该消息具有新鲜性。但是,在得到许可证后的攻击者可以发送伪造的消息,这样的话,在允许的时间内是很难发现的。
随着无线通信技术的不断发展,终端直接通信(Device to Device,D2D)已成为3GPP Rel-12标准化技术的热点之一。D2D允许两个用户设备(User Equipment,UE)通过特定的信道(Sidelink Channel)直接进行数据传输,而无需经过演进型基站设备(Evolutional Node B,eNB)。当然,D2D并不局限于两个用户设备之间的数据传输,还可以支持单点对多点的群组通信(Group Communication)。现有的网络认证体系大都是基于单个对象的一对一的认证方式,但是对于单点对多点的数据传输,会根据一定的原则形成群组。在这些应用场景下,当组内接入新的终端时,若采用现有的一对一的认证方式,不仅会增加网络信令,导致网络拥塞,且会占用大量网络资源,因此现有的一对一的网络认证体系不再适用。在这种情况下,为降低认证资源消耗,减少网络拥塞,需要相应的群组认证机制。现有的群组通信系统使用的密钥为传统密钥,传统密钥是由程序所产生的伪随机数,伪随机数都有特定的规律,相对来讲更容易被破译,量子密钥是根据量子特性所产生的真随机数,量子密钥的下一个比特是无法预知的,有效的克服了伪随机数的弊端。
现有技术存在的问题:
(1)现有基于量子密钥卡的身份认证技术只能完成一对一的身份认证,无法完成与群组的身份认证或群组间身份认证。
(2)现有技术中身份认证所传递的挑战信息一般是暴露的随机数,可能被攻击者对挑战和应答进行研究而破解出密钥。
(3)现有基于量子密钥卡的身份认证和加密技术中,执行身份认证和加密前需要量子密钥卡和其颁发方预先约定使用什么密钥,而且在执行身份认证和加密过程中并不更换密钥。
(4)现有身份认证技术基于Kerberos认证方案对时间戳的使用导致有出现重放攻击的可能。Kerberos协议要求是基于网络中时钟同步,对整个系统时间同步要求高,在大型分布式系统中难以实现。
(5)现有技术中,用户端密钥存储于用户端存储器中,可以被恶意软件或恶意操作窃取。
(6)现有技术中若要进行二次身份认证,仍需服务器的参与,服务器压力较大。
发明内容
本发明提供一种适用于群组间身份认证的基于量子网络的身份认证系统。
一种基于群组通信的改进型Kerberos身份认证系统,包括量子网络服务站,以及分别包括多个用户端的主动方群组和被动方群组,进行身份认证时包括:
步骤S1、主动方群组中的其中一用户端A1向量子网络服务站申请Ticket且指定主动方通信范围以及被动方通信范围;
量子网络服务站生成与主动方通信范围相应的TicketA信息以及与被动方通信范围相应的TicketB信息,并发送给被动方群组中的其中一用户端B1;
其中,TicketA信息中包含加密形式的主动方会话密钥,且仅供主动方通信范围内的用户端解密使用;
TicketB信息中包含加密形式的被动方会话密钥,且仅供被动方通信范围内的用户端解密使用;
步骤S2、用户端B1将TicketA信息转发给用户端A1,用户端B1还利用TicketB信息生成TicketB,并将TicketB发给用户端A1;
用户端A1接收TicketA信息以及TicketB后在主动方通信范围内共享TicketA信息以及TicketB;
步骤S3、主动方通信范围内的一用户端A2向被动方通信范围内的一用户端B2发送TicketB,使得用户端A2和用户端B2共享用于实施加密通信的会话密钥。
本发明步骤S1中用户端A1可以是主动方群组中的任一个用户端,向量子网络服务站发起Ticket申请,用户端B1可以是被动方群组中的任一个用户端,接收自用量子网络服务站的TicketA信息以及TicketB信息并生成TicketB。
主动方通信范围可理解为在主动方群组中某一个用户端拥有TicketB以及主动方会话密钥、并可以与被动方通信范围内的用户端进行身份认证以及后续的加密通信;或主动方群组全体用户端都分别拥有TicketB以及主动方会话密钥、并可以与被动方通信范围内的用户端进行身份认证以及后续的加密通信。
同理被动方通信范围可理解为被动方群组中某一个用户端可以从TicketB中获取并使用被动方会话密钥;或被动方群组中全体用户端都分别可以从TicketB中获取并使用被动方会话密钥。
即用户端A1可能与用户端A2是相同的用户端或同属于主动方群组中的不同用户端,用户端B1、用户端B2同理。
作为优选,用户端A1处在主动方通信范围内,且用户端B1处在被动方通信范围内。
作为优选,主动方群组以及被动方群组的所有用户端分别配置有量子密钥卡;
各用户端的量子密钥卡各自独立的与量子网络服务站共享私有的对称密钥池;
同一群组中所有用户端的量子密钥卡与量子网络服务站共享与所在群组相应的群组密钥池;
主动方通信范围为主动方群组中某一用户端时,主动方会话密钥利用与该用户端相应的对称密钥池进行加密;主动方通信范围为主动方群组中全体用户端时,主动方会话密钥利用与主动方群组相应的群组密钥池进行加密;
被动方通信范围为被动方群组中某一用户端时,被动方会话密钥利用与该用户端相应的对称密钥池进行加密;被动方通信范围为被动方群组中全体用户端时,被动方会话密钥利用与被动方群组相应的群组密钥池进行加密。
主动方会话密钥和被动方会话密钥的传输均采用密文形式,且根据通信范围选择相应的加密方式,因此只有通信范围内的用户端才可以解密并使用。当通信范围为某一用户端而并非群组全体用户端时,可以理解为该用户端Ticket以及主动方会话密钥后,也即完成了共享。
用于加密主动方会话密钥的为第一安全密钥,用于加密被动方会话密钥为第二安全密钥;
步骤S2中,共享TicketA信息时,共享的内容至少包括采用第一安全密钥加密的主动方会话密钥,以及生成第一安全密钥的信息;
所述TicketB中包含有生成第二安全密钥的信息。
步骤S2中,共享TicketA信息时,为了提高安全性,共享解密相关信息时息并非直接共享第一安全密钥,而是共享生成第一安全密钥的信息,只有在主动方通信范围内的用户端才拥有相应的密钥池,因此外部成员即使获知生成该第一安全密钥的信息,也无法生成第一安全密钥,进一步提高了主动方会话密钥的安全性。
同样的道理,Ticket中并不直接包含第二安全密钥,只是包含有生成第二安全密钥的信息,只有在被动方通信范围内的用户端才拥有相应的密钥池,因此外部成员即使获知生成该第二安全密钥的信息,也无法生成第二安全密钥,进一步提高了被动方会话密钥的安全性。
步骤S1中、所述用户端A1向量子网络服务站提出Ticket申请时,携带有标示符A和标示符B;
其中标示符A用于通知量子网络服务站利用与主动方群组中某用户端(例如用户端A1即用户端A2)相应的对称密钥池、或利用与主动方群组相应的群组密钥池生成第一安全密钥;
其中标示符B,用于通知量子网络服务站利用与被动方群组中某用户端(例如用户端B1即用户端B2)相应的对称密钥池、或利用与被动方群组相应的群组密钥池生成第二安全密钥。
所述第一安全密钥生成方式为量子网络服务站产生真随机数RA,该真随机数RA结合密钥生成算法得到指针,该指针指向由标示符A指定的密钥池中的一部分,在该密钥池中提取出相应的密钥即作为第一安全密钥;
步骤S2中,量子网络服务站还以明文方式经由用户端B将作为生成第一安全密钥的信息的真随机数RA发送给用户端A1,供用户端A1侧生成第一安全密钥。
作为优选,用户端B1处在被动方通信范围内,所述第二安全密钥由量子网络服务站和用户端B1协商生成;
所述第二安全密钥在量子网络服务站侧的生成方式为量子网络服务站产生真随机数RB,该真随机数RB结合密钥生成算法得到指针,该指针指向由标示符B指定的密钥池中的一部分,在该密钥池中提取出相应的密钥即作为第二安全密钥;
所述量子网络服务站将作为生成第二安全密钥的信息的真随机数RB以明文方式发送给用户端B1,供用户端B1侧生成第二安全密钥。
量子密钥卡中对称密钥池以及群组密钥池长期使用或重复使用会有被破解的可能性,为提高身份认证系统的安全性,作为优选:
所述量子密钥卡中的对称密钥池以及群组密钥池定时更新。
更新时用户端与匹配的量子密钥卡建立通信连接后,用户端通过上层应用程序向量子密钥卡发送更新申请,该更新申请同时也发送至量子网络服务站;
密钥存储卡接收更新申请后,按预先设定的规则更新对称密钥池或群组密钥池;
量子网络服务站接收更新申请后,按预先与量子密钥卡协商一致的规则更新量子网络服务站内相应存储的对称密钥池或群组密钥池。
步骤S2中,用户端A1还将所述TicketA发送给用户端B1,作为身份确认。
步骤S3中,所述用户端A2与用户端B2之间进行双向认证,采用的认证标识是相应的用户端在匹配的量子密钥卡中生成,且为真随机数的形式。
本发明所述的用户端A1、A2与用户端B1、B2仅仅是便于区别和描述,并不对用户端本身作出额外限定。
本发明中,可选的情况是,用户端A1与用户端B1两者匹配的量子密钥卡归属于同一量子网络服务站。即均与该量子网络服务站存储有相应的量子密钥,也可视为在局域网环境下。
若在广域网环境下,用户端A1与用户端B1两者匹配的量子密钥卡归属于不同的量子网络服务站,作为网络侧的量子网络服务站可以是一个或多个,多个量子网络服务站参与时,整个网络侧可视为一整体,当不同的量子密钥卡归属于不同的量子网络服务站时,不同的量子网络服务站可以通过QKD等方式在站间加密传输数据。例如:
所述量子网络服务站包括量子网络服务站A以及量子网络服务站B,其中用户端A1匹配的量子密钥卡颁发自量子网络服务站A,用户端B1匹配的量子密钥卡颁发自量子网络服务站B;
量子网络服务站A依据自用户端A1的申请生成TicketA信息并转发给量子网络服务站B,量子网络服务站B生成TicketB信息并连同TicketA信息发送给用户端B1。
本发明还提供一种基于群组通信的改进型Kerberos身份认证方法,实施在本发明所述的基于群组通信的改进型Kerberos身份认证系统中。有关具体步骤可参见本发明的基于群组通信的改进型Kerberos身份认证认证系统中的相关叙述。
本发明基于对称密钥池与群组密钥池实现身份认证,尤其是引入群组密钥池,可以实现用户与群组或群组之间进行身份认证。在用户与群组完成身份认证后,该用户可以与群组任一用户进行安全通信;在群组与群组完成身份认证后,两群组中每个用户之间都可以进行安全通信。
本发明中身份认证所传递的挑战信息仅仅是用于生成指针的随机数,在没有密钥池的情况下即使被攻击者对挑战和应答进行研究而破解出随机数甚至得到指针也无法得到用于加密的密钥。
本发明中身份认证中,执行身份认证和对身份认证消息加密前不需要量子密钥卡和其颁发方预先约定使用什么密钥,而且在执行身份认证的每条消息都可以随意更换密钥,只需要指出用于计算出指针的随机数即可,而公布该随机数的危险性非常小,一般来说对攻击者毫无用处。
现有身份认证技术基于kerberos认证方案对时间戳的使用导致有出现重放攻击的可能,并且整个kerberos协议要求是基于网络中时钟同步,对整个系统时间同步要求高,在大型分布式系统中难以实现。本发明将原方案使用的时间戳改为了真随机数,并使用与用户端B的本地时钟相关联的时间戳,对整个系统的时间同步没有要求。本发明使用量子密钥卡存储用户端密钥而不是用户端存储器,量子密钥卡是独立的硬件设备,被恶意软件或恶意操作窃取密钥的可能性大大降低。
本发明中身份认证不需要服务器的参与而是利用初次验证中派发的ticket直接在两用户端之间完成,降低了服务器的压力。
附图说明
图1为单个量子网络服务站群组型量子密钥卡的量子密钥结构图;
图2为多个量子网络服务站群组型量子密钥卡的量子密钥结构图;
图3为实施例1中初始身份认证流程图;
图4为实施例1中二次身份认证流程图;
图5为实施例2中初始身份认证流程图。
具体实施方式
本发明身份认证系统可以包括多个量子网络服务站,不同量子网络服务站之间可以通过QKD方式共享站间量子密钥。
量子网络服务站包括:
量子服务中心,主要用于通过经典网络与用户侧的各用户端通信连接以及与其他量子网络服务站通信连接;经典网络包括但不限于电信网、互联网、广播电视网或者其他通信网络等。
量子密钥分发设备,主要用于通过QKD方式实现站间量子密钥的共享。
真随机数发生器,用于接收用户侧密钥管理服务器提出的申请用户侧密钥的请求,生成用户侧密钥,并发送给用户侧密钥管理服务器;此处采用的为真随机数发生器。其优选为量子真随机数发生器,也可以为基于电路的真随机数发生器、基于物理源的真随机数发生器以及其他种类的真随机发生器。
用户侧密钥管理服务器,存放、管理从真随机数发生器生成的用户侧密钥,可以接入可移动式的量子密钥卡,实现发卡、登记、拷贝用户侧密钥,还可以接收量子服务中心提出的申请用户侧密钥请求,发送相应长度的用户侧密钥给量子服务中心。量子密钥卡的详细内容请见申请号为“201610846210.6”的专利。
其中量子服务中心包括:身份认证服务器,票据许可服务器,还可根据需要设置其他服务器,例如数字签名服务器、签名验证服务器、加解密服务器等。
身份认证服务器用于实现用户在接受消息认证、数字签名等服务前与量子网络服务站的相互身份认证。身份认证服务器内部具有采用PCI总线接口的加密卡,用于存储身份认证协议,包括密钥生成算法、认证函数、加密传输协议。
票据许可服务器用于实现用户在获得与量子网络服务站的相互身份认证后,为用户分发其访问某一用户的申请的许可。
各量子网络服务站下配置有用户端,例如用户端1~用户端n,本说明书中不同的服务器或其他装置在硬件上也可以根据需要进行整合。
用户端为接入量子网络服务站的设备,可为移动终端,或为固定终端。当为移动终端时,量子密钥卡优选为量子SD卡;当为固定终端时,量子密钥卡优选为USBkey或主机加密板卡。
当用户前往所在区域的量子网络服务站进行注册登记,获批后得到量子密钥卡(具有唯一的量子密钥卡ID)。量子密钥卡存储了用户注册登记信息,还内置有身份认证协议,至少包括密钥生成算法以及认证函数,或其他与身份认证相关的算法。
网络侧的各个量子网络服务站也相应的存有认证协议,若协议中各算法存在两种以上,量子密钥卡在与量子网络服务站通信时会将算法标号发送给量子网络服务站,供量子网络服务站选取。
量子密钥卡中的用户侧密钥可能下载自不同的量子网络服务站,因此可按不同来源存在不同的密钥种子集中,用户端可按预先设定的规则取用密钥种子以生成密钥。不同的密钥种子集具有唯一的密钥种子ID,其指向的量子网络服务站中存储有相应的密钥种子。
量子密钥卡从智能卡技术上发展而来,是结合了量子物理学技术、密码学技术、智能卡技术和USB技术的身份认证产品。量子密钥卡的内嵌芯片和芯片操作系统可以提供私钥的安全存储和密码算法等功能。由于其具有独立的数据处理能力和良好的安全性,量子密钥卡成为量子真随机数私钥的安全载体。每一个量子密钥卡都有硬件PIN码保护,PIN码和硬件构成了用户使用量子密钥卡的两个必要因素。即所谓“双因子认证”,用户只有同时取得保存了相关认证信息的量子密钥卡和用户PIN码,才可以登录系统。即使用户的PIN码被泄露,只要用户持有的量子密钥卡不被盗取,合法用户的身份就不会被仿冒;如果用户的量子密钥卡遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。
实施例1,局域网内同属于一个量子网络服务站的两个用户端身份认证
本实施例的场景如图1所示,参与身份认证的用户端A匹配的量子密钥卡中含有对称密钥池KA和群组密钥池KPA;参与身份认证的用户端B匹配的量子密钥卡中含有对称密钥池KB和群组密钥池KPB;用户端A和用户端B归属于量子网络服务站,用户端A和用户端B不属于同一个群组。量子网络服务站含有所有成员的对称密钥池以及群组密钥池KPA和KPB。用户端A、用户端B和量子网络服务站的密码学模块均持有相对应的密钥池(包括对称密钥池和群组密钥池)和各类算法。用户端A参与的身份认证具体步骤中所使用的密钥池由FlagA指定,用户端B参与的身份认证具体步骤中所使用的密钥池由FlagB指定。
FlagA、FlagB的值由鉴权发起方即用户端A决定。
根据指定的密钥池的不同可以分为以下三种情况:
1、当FlagA指定的密钥池为对称密钥池KA,FlagB指定的密钥池为群组密钥池KPB,则指用户端A申请与用户端B所在的群组进行身份认证,具体情况可以是数据链系统中群组A中的成员A申请加入成员B所在的群组B,身份认证完成后,成员A可以与成员B所在的群组B中的所有成员进行安全的通信。
2、当FlagA指定的密钥池为群组密钥池KPA,FlagB指定的密钥池为对称密钥池KB,则指用户端A所在的群组申请与用户端B进行身份认证,具体情况可以是数据链系统中成员A所在的群组A申请与另一群组中的某一成员B进行身份认证,身份认证完成后,成员B可以与成员A所在的群组A中所有成员进行安全的通信。
3、当FlagA指定的密钥池为群组密钥池KPA,FlagB指定的密钥池为群组密钥池KPB,则指用户端A所在的群组申请与用户端B所在的群组进行身份认证,具体情况可以是数据链系统中成员A所在的群组A申请与成员B所在的群组B进行身份认证,身份认证完成后,群组A与群组B中所有成员之间都可以进行安全的通信。
以下步骤中,在各用户端侧涉及的加解、密操作,都在所匹配的量子密钥卡中进行。身份认证服务器和票据许可服务器涉及的加、解密操作,是在量子网络服务站的加解密服务器中完成。
身份认证流程如图3所示,当用户端A、用户端B都同属于一个量子网络服务站时,身份认证过程中所涉及的量子密钥卡在该本地量子网络服务站注册颁发。图中,大括号内表示被加密的部分,括号内表示传输的多个内容,用逗号隔开,后面紧跟的内容表示使用的密钥,如{IDB+NA’+KA-B}KA表示使用KA加密IDB、NA’和KA-B。若未使用大括号,则表示该部分是明文传输。
每条message中,若包括多个部分,则每个部分作为一行表示,例如message2分为2行表示,即包括两个部分,其中第二部分为RB+Binfo+{IDA,NA’,KA-B}KB,其余部分以及其余附图同理。
初始身份认证具体步骤参见图3,文字描述如下:
1.用户端A生成真随机数并发送给量子网络服务器:用户端A匹配的量子密钥卡根据卡内随机数发生器产生真随机数RNA(以下简称RNA,其它同理省去汉字部分作为简称)。RNA结合特定的密钥生成算法f得到指针PNA。使用PNA从FlagA指定的密钥池中提取出相应的身份认证随机数NA
然后将RNA与用户端A的身份信息Ainfo(包括IDA和用于指定密钥池的FlagA)以及用户端B的身份信息Binfo(包括IDB和用于指定密钥池的FlagB)作为message1发送给量子网络服务器。
步骤1.1应理解为message1中至少包括真随机数RNA与A、B的身份信息,用户端A为了表达申请ticket以及message1在网络中的传输,可以在message1的封装过程中,选择相应的协议方式以及通过标识符等方式向用户端B申请ticket,后续的多处消息传输以及二次身份认证和更新ticket过程中同理,本发明重点在于真随机数和ticket生成方式以及运用的改进,消息的封装以及网络传输方式本身可以采用现有技术。
2.量子网络服务器生成会话密钥并发送给用户端B:量子网络服务器收到message1后,使用RNA结合特定的密钥生成算法f得到指针PNA。使用PNA从FlagA指定的密钥池中提取出与NA相同的NA’。
量子网络服务器根据站内随机数发生器产生真随机数RB,RB结合特定的密钥生成算法f得到指针PB。使用PB从FlagB指定的密钥池中提取出相应的密钥KB。产生真随机数RA,RA结合特定的密钥生成算法f得到指针PA。使用PA从FlagA指定的密钥池中提取出相应的密钥KA
量子网络服务站根据站内真随机数发生器产生用户端A与用户端B之间的会话密钥KA-B,并与A的身份信息,B的身份信息以及随机数NA’来构成两个凭据,分别用KA(第一安全密钥)和KB(第二安全密钥)加密,作为message2发送到用户端B。具体内容如下:
①RA+Ainfo+{IDB+NA’+KA-B}KA
②RB+Binfo+{IDA+NA’+KA-B}KB
3.用户端B生成ticket:用户端B收到message2后,将RB结合特定的密钥生成算法f得到指针PB。使用PB从FlagB指定的密钥池中提取出与密钥KB相同的密钥KB’。使用KB’解密凭证,了解到用户端A想要与自己进行身份认证,并得到IDA、NA’和会话密钥KA-B
用户端B匹配的量子密钥卡生成真随机数NB
将message2的第一部分和用KA-B加密的NA’以及明文NB一起作为message3发送给用户端A。同时发送的还有用户端B制作的一个用来进行二次身份认证的ticketB,内容包括RB和Binfo以及使用KB’加密的用户端A的身份信息、会话密钥KA-B和用户端B设定的ticketB的到期时间TB。到期时间可以是最大时间段,也可以是最大使用次数,或者两者结合并先达到的一个。
4.用户端A回复身份认证:用户端A收到message3后,将RA结合特定的密钥生成算法f得到指针PA。使用PA从FlagA指定的密钥池中提取出与密钥KA相同的密钥KA’。使用KA’解密第一部分的加密部分,获得IDA、NA’和会话密钥KA-B(主动方会话密钥)。使用KA-B解密第二部分验证NA’,如果一致,则完成对用户端B的身份认证。
用户端A使用KA-B加密NB作为message4发送给用户端B,用户端B解密后验证NB完成双向认证,同时发送的还有用户端A分发的一个用来进行二次身份认证的ticketA,内容包括RA和Ainfo以及使用KA’加密的用户端B的身份信息、会话密钥KA-B和用户端A设定的ticketA的到期时间TA
二次身份认证具体步骤参见图4,包括:
FlagA是用于标注密钥池的,IDA是用于标注用户端的。
由于IDA在ticket加密部分内部,所以虽然用户端A可能与之前的不为同一个,但是ticket是使用同一个。
FlagB是用于标注密钥池的,IDB是用于标注用户端的。
二次身份认证步骤中,用户端A可修改Binfo中的IDB,根据IDB的不同指向不同的用户端B。
1.用户端A发起二次身份认证请求:用户端A匹配的量子密钥卡生成真随机数NA2。将NA2与之前收到的由用户端B分发的ticketB一起作为message1’发送给用户端B。
2.用户端B回复身份认证请求:收到message1’后,用户端B匹配的量子密钥卡生成真随机数NB2。用户端B将RB结合特定的密钥生成算法f得到指针PB。使用PB从FlagB指定的密钥池中提取出与密钥KB相同的密钥KB’。使用KB’解密ticketB的加密部分得到KA-B(被动方会话密钥)。将NB2、使用KA-B加密的NA2以及之前收到的由用户端A分发的ticketA一起作为message2’回复给用户端A。
3.用户端A完成双向认证:用户端A收到message2’后,将RA结合特定的密钥生成算法f得到指针PA。使用PA从FlagA指定的密钥池中提取出与密钥KA相同的密钥KA’。使用KA’解密ticketA的加密部分得到KA-B,再用KA-B解密message2’的第二部分得到NA2,通过与本地的NA对比以进行认证。
认证通过后再用KA-B加密NA2和NB2,作为message3’发送给用户端B,用户端B使用KA-B解密,再验证NA2和NB2完成双向验证。
实施例2,广域网内的两个用户端的身份认证
如图2所示,当用户端A、用户端B不属于同一个量子网络服务站时,身份认证过程中所涉及的量子密钥卡分别在该用户端所属的量子网络服务站注册颁发。本实施例中的系统架构区别于实施例1之处为应用在广域网中,一级交换中心是一个地级市或相当大小区域的量子网络核心站,二级交换中心是一个县级市或相当大小区域的量子网络核心站,量子网络服务站是一个乡镇或街道办事处相当大小区域的量子通信接入站点。
一级交换中心和下属的多个二级交换中心以星型网络结构相连,二级交换中心可以和多个下属的量子网络服务站以星型网络结构相连。
由于需要站间通信,因此各交换中心以及量子网络服务站分别设有量子密钥分发设备,可通过QKD方式实现站间密钥的共享。本实施例中量子网络服务站的其他设备以及关于量子密钥卡的描述可参见实施例1。
例如一级交换中心和下属的二级交换中心分别利用量子密钥分发设备实现站间量子密钥的共享,二级交换中心和下属的的量子网络服务站分别利用量子密钥分发设备实现站间量子密钥的共享,量子密钥分发设备可以是一套也可以是至少两套集成。
两个一级交换中心之间由于距离较远,可采用量子中继站的方式实现站间量子密钥共享。
本实施例的场景如图2所示,参与身份认证的用户端A匹配的量子密钥卡中含有对称密钥池KA和群组密钥池KPA;参与身份认证的用户端B匹配的量子密钥卡中含有对称密钥池KB和群组密钥池KPB;用户端A和用户端B不属于同一个群组。量子网络服务站A含有所有成员的对称密钥池以及群组密钥池KPA;量子网络服务站B含有所有成员的对称密钥池以及群组密钥池KPB。用户端A、用户端B、量子网络服务站A和量子网络服务站B的密码学模块均持有相对应的密钥池(包括对称密钥池和群组密钥池)和各类算法。用户端A参与的身份认证具体步骤中所使用的密钥池由FlagA指定,用户端B参与的身份认证具体步骤中所使用的密钥池由FlagB指定。FlagA、FlagB的值由鉴权发起方即用户端A决定。指定的密钥池不同所对应的实际情况与实施例1描述一致。
图5中各部分的1、2、3、4、5分别表示该部分中的流程顺序,1、2、3、4、5也分别对应下文中的message1~message5。
本实施例中,用户端A与用户端B要进行身份认证,用户端A归属于量子网络服务站A,即相对于用户端A而言,其当前量子网络服务站为与用户端A通信连接的量子网络服务站A;同理用户端B归属于量子网络服务站B。两用户端身份认证过程中所涉及的量子密钥卡分别在该用户端所匹配的量子网络服务站注册颁发。本实施例区别于实施例1的具体部分为ticket的获取与传输方式。
以下步骤中,在各用户端侧涉及的加解、密操作,都在所匹配的量子密钥卡中进行。身份认证服务器和票据许可服务器涉及的加、解密操作,是在量子网络服务站的加解密服务器中完成。
初始身份认证具体步骤参见图5,文字描述如下:
1.用户端A生成真随机数并发送给量子网络服务器:用户端A匹配的量子密钥卡根据卡内随机数发生器产生真随机数RNA(以下简称RNA,其它同理省去汉字部分作为简称)。RNA结合特定的密钥生成算法f得到指针PNA。使用PNA从FlagA指定的密钥池中提取出相应的身份认证随机数NA
然后将RNA与用户端A的身份信息Ainfo(包括IDA和用于指定密钥池的FlagA)以及用户端B的身份信息Binfo(包括IDB和用于指定密钥池的FlagB)作为message1发送给量子网络服务器A。
步骤1.1应理解为message1中至少包括真随机数RNA与A、B的身份信息,用户端A为了表达申请ticket以及message1在网络中的传输,可以在message1的封装过程中,选择相应的协议方式以及通过标识符等方式向用户端B申请ticket,后续的多处消息传输以及二次身份认证和更新ticket过程中同理,本发明重点在于真随机数和ticket生成方式以及运用的改进,消息的封装以及网络传输方式本身可以采用现有技术。
2.量子网络服务器A生成会话密钥并发送给量子网络服务器B:量子网络服务器收到message1后,使用RNA结合特定的密钥生成算法f得到指针PNA。使用PNA从FlagA指定的密钥池中提取出与NA相同的NA’。
量子网络服务器A根据站内随机数发生器产生真随机数RA,RA结合特定的密钥生成算法f得到指针PA。使用PA从FlagA指定的密钥池中提取出相应的密钥KA
量子网络服务站A根据站内真随机数发生器产生用户端A与用户端B之间的会话密钥KA-B,并与A的身份信息,B的身份信息以及随机数NA’来构成一个给用户端A的凭据,该凭据具体包括RA和Ainfo以及使用KA加密的用户端B的身份信息IDB、随机数NA’以及会话密钥KA-B。该凭据作为message2的第一部分发送给量子网络服务站B,同时发送的还有会话密钥KA-B、NA’和Binfo。
量子网络服务站A与量子网络服务站B利用各自的量子密钥分发设备实现站间量子密钥的共享,使得message2在量子网络服务站A加密后发送至量子网络服务站B,再经解密恢复出message2。
量子网络服务站A与量子网络服务站B之间如果还要通过其他网络节点中转,则直接通信连接的两量子网络服务站(或网络节点)之间通过相应的量子密钥分发设备形成的站间量子密钥,并依次中转传送密文。
站间量子密钥的分发是利用量子力学基本原理实现的异地密钥共享的方式,优选为BB84协议。
3.量子网络服务站B收到message3后,根据站内随机数发生器产生真随机数RB,RB结合特定的密钥生成算法f得到指针PB。使用PB从FlagB指定的密钥池中提取出相应的密钥KB
量子网络服务站B制作给用户端B的凭证,该凭据具体包括RB和Binfo以及使用KB加密的用户端A的身份信息IDA、随机数NA’以及会话密钥KA-B
量子网络服务站B将两个凭证作为message3发送给用户端B。
4.用户端B生成ticket:用户端B收到message2后,将RB结合特定的密钥生成算法f得到指针PB。使用PB从FlagB指定的密钥池中提取出与密钥KB相同的密钥KB’。使用KB’解密凭证,了解到用户端A想要与自己进行身份认证,并得到IDA、NA’和会话秘钥KA-B
用户端B匹配的量子密钥卡生成真随机数NB
将message2的第一部分和用KA-B加密的NA’以及明文NB一起作为message3发送给用户端A。同时发送的还有用户端B制作的一个用来进行二次身份认证的ticketB,内容包括RB和Binfo以及使用KB’加密的用户端A的身份信息、会话密钥KA-B和用户端B设定的ticketB的到期时间TB。到期时间可以是最大时间段,也可以是最大使用次数,或者两者结合并先达到的一个。
5.用户端A回复身份认证:用户端A收到message3后,将RA结合特定的密钥生成算法f得到指针PA。使用PA从FlagA指定的密钥池中提取出与密钥KA相同的密钥KA’。使用KA’解密第一部分的加密部分,获得IDA、NA’和会话秘钥KA-B。使用KA-B解密第二部分验证NA’,如果一致,则完成对用户端B的身份认证。
用户端A使用KA-B加密NB作为message4发送给用户端B,用户端B解密后验证NB完成双向认证,同时发送的还有用户端A分发的一个用来进行二次身份认证的ticketA,内容包括RA和Ainfo以及使用KA’加密的用户端B的身份信息、会话密钥KA-B和用户端A设定的ticketA的到期时间TA
二次身份认证与实施例1中描述情况相同,具体步骤参见图4。
以上公开的仅为本发明的实施例,但是本发明并非局限于此,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。显然这些改动和变型均应属于本发明要求的保护范围保护内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对本发明构成任何特殊限制。

Claims (8)

1.一种基于群组通信的改进型Kerberos身份认证系统,其特征在于,包括量子网络服务站,以及分别包括多个用户端的主动方群组和被动方群组,主动方群组以及被动方群组的所有用户端分别配置有量子密钥卡;
各用户端的量子密钥卡各自独立的与量子网络服务站共享私有的对称密钥池;
同一群组中所有用户端的量子密钥卡与量子网络服务站共享与所在群组相应的群组密钥池;
主动方通信范围为主动方群组中某一用户端时,主动方会话密钥利用与该用户端相应的对称密钥池进行加密;主动方通信范围为主动方群组中全体用户端时,主动方会话密钥利用与主动方群组相应的群组密钥池进行加密;
被动方通信范围为被动方群组中某一用户端时,被动方会话密钥利用与该用户端相应的对称密钥池进行加密;被动方通信范围为被动方群组中全体用户端时,被动方会话密钥利用与被动方群组相应的群组密钥池进行加密;
进行身份认证时包括:
步骤S1、主动方群组中的其中一用户端A1向量子网络服务站申请Ticket且指定主动方通信范围以及被动方通信范围;
量子网络服务站生成与主动方通信范围相应的TicketA信息以及与被动方通信范围相应的TicketB信息,并发送给被动方群组中的其中一用户端B1;
其中,TicketA信息中包含加密形式的主动方会话密钥以及生成主动方密钥的信息,且仅供主动方通信范围内的用户端解密使用;
用于加密主动方会话密钥的为第一安全密钥,所述第一安全密钥生成方式为量子网络服务站产生真随机数RA,该真随机数RA结合密钥生成算法得到指针,该指针指向由标示符A指定的密钥池中的一部分,在该密钥池中提取出相应的密钥即作为第一安全密钥;
TicketB信息中包含加密形式的被动方会话密钥以及生成被动方密钥的信息,且仅供被动方通信范围内的用户端解密使用;
步骤S2、用户端B1将TicketA信息转发给用户端A1,用户端B1还利用TicketB信息生成被动方会话密钥TicketB,并将TicketB发给用户端A1;
用户端A1接收TicketA信息以及TicketB后在主动方通信范围内共享TicketA信息以及TicketB;
步骤S3、主动方通信范围内的一用户端A2向被动方通信范围内的一用户端B2发送TicketB,使得用户端A2和用户端B2共享用于实施加密通信的会话密钥。
2.如权利要求1所述的基于群组通信的改进型Kerberos身份认证系统,其特征在于,用户端A1处在主动方通信范围内,且用户端B1处在被动方通信范围内。
3.如权利要求1所述的基于群组通信的改进型Kerberos身份认证系统,其特征在于,用于加密主动方会话密钥的为第一安全密钥,用于加密被动方会话密钥为第二安全密钥;
步骤S2中,共享TicketA信息时,共享的内容至少包括采用第一安全密钥加密的主动方会话密钥,以及生成第一安全密钥的信息;
所述TicketB中包含有生成第二安全密钥的信息。
4.如权利要求3所述的基于群组通信的改进型Kerberos身份认证系统,其特征在于,步骤S1中、所述用户端A1向量子网络服务站提出Ticket申请时,携带有标示符A和标示符B;
其中标示符A用于通知量子网络服务站利用与主动方群组中某用户端相应的对称密钥池、或利用与主动方群组相应的群组密钥池生成第一安全密钥;
其中标示符B,用于通知量子网络服务站利用与被动方群组中某用户端相应的对称密钥池、或利用与被动方群组相应的群组密钥池生成第二安全密钥。
5.如权利要求4所述的基于群组通信的改进型Kerberos身份认证系统,其特征在于,所述第一安全密钥生成方式为量子网络服务站产生真随机数RA,步骤S2中,量子网络服务站还以明文方式经由用户端B将作为生成第一安全密钥的信息的真随机数RA发送给用户端A1,供用户端A1侧生成第一安全密钥。
6.如权利要求5所述的基于群组通信的改进型Kerberos身份认证系统,其特征在于,用户端B1处在被动方通信范围内,所述第二安全密钥由量子网络服务站和用户端B1协商生成;
所述第二安全密钥在量子网络服务站侧的生成方式为量子网络服务站产生真随机数RB,该真随机数RB结合密钥生成算法得到指针,该指针指向由标示符B指定的密钥池中的一部分,在该密钥池中提取出相应的密钥即作为第二安全密钥;
所述量子网络服务站将作为生成第二安全密钥的信息的真随机数RB以明文方式发送给用户端B1,供用户端B1侧生成第二安全密钥。
7.如权利要求6所述的基于群组通信的改进型Kerberos身份认证系统,其特征在于,步骤S3中,所述用户端A2与用户端B2之间进行双向认证,采用的认证标识是相应的用户端在匹配的量子密钥卡中生成,且为真随机数的形式。
8.如权利要求7所述的基于群组通信的改进型Kerberos身份认证系统,其特征在于,所述量子网络服务站包括量子网络服务站A以及量子网络服务站B,其中用户端A1匹配的量子密钥卡颁发自量子网络服务站A,用户端B1匹配的量子密钥卡颁发自量子网络服务站B;
量子网络服务站A依据自用户端A1的申请生成TicketA信息并转发给量子网络服务站B,量子网络服务站B生成TicketB信息并连同TicketA信息发送给用户端B1。
CN201810687084.9A 2018-06-28 2018-06-28 基于群组通信的改进型Kerberos身份认证系统和方法 Active CN109067705B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810687084.9A CN109067705B (zh) 2018-06-28 2018-06-28 基于群组通信的改进型Kerberos身份认证系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810687084.9A CN109067705B (zh) 2018-06-28 2018-06-28 基于群组通信的改进型Kerberos身份认证系统和方法

Publications (2)

Publication Number Publication Date
CN109067705A CN109067705A (zh) 2018-12-21
CN109067705B true CN109067705B (zh) 2020-12-01

Family

ID=64818274

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810687084.9A Active CN109067705B (zh) 2018-06-28 2018-06-28 基于群组通信的改进型Kerberos身份认证系统和方法

Country Status (1)

Country Link
CN (1) CN109067705B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109787763A (zh) * 2019-03-05 2019-05-21 山东鲁能软件技术有限公司 一种基于量子密钥的移动通信认证方法、系统、终端及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2999158A4 (en) * 2013-05-14 2017-01-11 Peking University Founder Group Co., Ltd Secure communication authentication method and system in distributed environment
CN106357396A (zh) * 2016-09-23 2017-01-25 浙江神州量子网络科技有限公司 数字签名方法和系统以及量子密钥卡
CN106357649A (zh) * 2016-09-23 2017-01-25 浙江神州量子网络科技有限公司 用户身份认证系统和方法
CN106375323A (zh) * 2016-09-09 2017-02-01 浪潮软件股份有限公司 一种多租户模式下kerberos身份认证的方法
CN106411525A (zh) * 2016-09-23 2017-02-15 浙江神州量子网络科技有限公司 消息认证方法和系统
CN106452739A (zh) * 2016-09-23 2017-02-22 浙江神州量子网络科技有限公司 一种量子网络服务站以及量子通信网络
CN106452741A (zh) * 2016-09-23 2017-02-22 浙江神州量子网络科技有限公司 基于量子网络实现信息加解密传输的通信系统和通信方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2999158A4 (en) * 2013-05-14 2017-01-11 Peking University Founder Group Co., Ltd Secure communication authentication method and system in distributed environment
CN106375323A (zh) * 2016-09-09 2017-02-01 浪潮软件股份有限公司 一种多租户模式下kerberos身份认证的方法
CN106357396A (zh) * 2016-09-23 2017-01-25 浙江神州量子网络科技有限公司 数字签名方法和系统以及量子密钥卡
CN106357649A (zh) * 2016-09-23 2017-01-25 浙江神州量子网络科技有限公司 用户身份认证系统和方法
CN106411525A (zh) * 2016-09-23 2017-02-15 浙江神州量子网络科技有限公司 消息认证方法和系统
CN106452739A (zh) * 2016-09-23 2017-02-22 浙江神州量子网络科技有限公司 一种量子网络服务站以及量子通信网络
CN106452741A (zh) * 2016-09-23 2017-02-22 浙江神州量子网络科技有限公司 基于量子网络实现信息加解密传输的通信系统和通信方法

Also Published As

Publication number Publication date
CN109067705A (zh) 2018-12-21

Similar Documents

Publication Publication Date Title
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法
US11228442B2 (en) Authentication method, authentication apparatus, and authentication system
JP6844908B2 (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
CN108964897B (zh) 基于群组通信的身份认证系统和方法
CN108650028B (zh) 基于量子通信网络与真随机数的多次身份认证系统和方法
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
WO2017185999A1 (zh) 密钥分发、认证方法,装置及系统
WO2017185692A1 (zh) 密钥分发、认证方法,装置及系统
CN108964896B (zh) 一种基于群组密钥池的Kerberos身份认证系统和方法
CN101741555B (zh) 身份认证和密钥协商方法及系统
CN108600152B (zh) 基于量子通信网络的改进型Kerberos身份认证系统和方法
CN101969638B (zh) 一种移动通信中对imsi进行保护的方法
CN106357649A (zh) 用户身份认证系统和方法
CN108880799B (zh) 基于群组密钥池的多次身份认证系统和方法
CN106411525A (zh) 消息认证方法和系统
CN106452739A (zh) 一种量子网络服务站以及量子通信网络
CN108566273A (zh) 基于量子网络的身份认证系统
CN108964895B (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法
CN108768653A (zh) 基于量子密钥卡的身份认证系统
CN108712252B (zh) 一种基于对称密钥池和跨中继的aka身份认证系统和方法
CN108768632B (zh) 一种基于对称密钥池和中继通信的aka身份认证系统和方法
CN108965266B (zh) 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法
CN102281303A (zh) 一种数据交换方法
KR20110058067A (ko) 이동통신망을 이용한 싱크 인증 시스템 및 방법
CN109067705B (zh) 基于群组通信的改进型Kerberos身份认证系统和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant