CN109104393A - 一种身份认证的方法、装置和系统 - Google Patents
一种身份认证的方法、装置和系统 Download PDFInfo
- Publication number
- CN109104393A CN109104393A CN201710469607.8A CN201710469607A CN109104393A CN 109104393 A CN109104393 A CN 109104393A CN 201710469607 A CN201710469607 A CN 201710469607A CN 109104393 A CN109104393 A CN 109104393A
- Authority
- CN
- China
- Prior art keywords
- server
- key
- quantum
- ciphertext
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种身份认证的方法、装置和系统,该方法包括:当第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,第一服务器获得接收第一量子设备发送的第一量子密钥和第二量子密钥;根据对称加密算法和第一量子密钥对第一服务器对应的身份信息加密生成第一密文;对第一服务器对应的身份信息哈希获得第一消息摘要;向第二服务器发送所述第一密文,接收第二服务器发送的由对称加密算法和第二量子密钥加密第一密文解密后的哈希值得到的第二密文;根据第二量子密钥解密第二密文获得第二消息摘要;若第一消息摘要和第二消息摘要相同,身份认证成功。由此可见,利用量子密钥和对称密码算法进行身份认证,有效抵抗量子攻击,安全性高。
Description
技术领域
本发明涉及数据通信技术领域,尤其涉及一种身份认证的方法、装置和系统。
背景技术
身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法,身份认证作为防护网络资源的第一道关口,有着举足轻重的作用。现有技术中身份认证一般使用的CA中心签发的数字证书。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循相关国家标准。交易双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关交易操作,此技术均基于公私钥的密钥分发机制,即用户A用自己的私钥进行加密,其他人用该用户私钥对应的公钥进行解密确认用户A的合法性。
发明人经过研究发现,现有技术中身份认证使用的公钥密码算法的设计一般基于某种数学困难问题,但是随着量子计算的快速发展,可以解决很多数学困难问题,很多公钥算法不能保证其安全性,随之而带来的身份认证也容易被篡改,安全性大大降低。
发明内容
本发明所要解决的技术问题是,提供一种身份认证的方法、装置和系统,利用量子密钥和对称密码算法进行身份认证,可以有效抵抗量子攻击,且双方拥有各自的量子密钥,保证密钥不会泄露,在身份认证过程中比公钥身份认证更加安全。
第一方面,本发明实施例提供了一种身份认证的方法,应用于第一服务器,该方法包括:
向第一量子设备发送密钥请求,所述第一量子设备用于向所述第一服务器分发量子密钥;
若所述第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥,所述第一量子密钥和所述第二量子密钥由所述第一服务器和所述第二服务器共享;
根据对称加密算法和所述第一量子密钥对所述第一服务器对应的身份信息进行加密,生成第一密文;
通过哈希算法对所述第一服务器对应的身份信息进行哈希,获得第一消息摘要;
向所述第二服务器发送所述第一密文;
接收所述第二服务器发送的第二密文,所述第二密文是根据所述第一量子密钥对所述第一密文解密后进行哈希,再利用对称加密算法和所述第二量子密钥加密得到的;
根据所述第二量子密钥解密所述第二密文,获得第二消息摘要;
若所述第一消息摘要和所述第二消息摘要相同,则身份认证成功。
优选的,所述若所述第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥,具体为:若控制中心确定所述第一服务器对应的密钥读指针和所述第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥;其中,所述控制中心用于接收所述第一量子设备发送的所述第一服务器对应的密钥读指针和第二量子设备发送的所述第二服务器对应的密钥读指针,所述第二量子设备用于向所述第二服务器分发量子密钥。
优选的,所述若所述第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥,具体为:若所述第一量子设备确定所述第一服务器对应的密钥读指针和第二量子设备发送的所述第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥。
优选的,在所述向第一量子设备发送密钥请求之前,还包括:
向所述第二服务器发送通信请求。
第二方面,本发明实施例提供了一种身份认证的方法,应用于第二服务器,该方法包括:
向第二量子设备发送密钥请求,所述第二量子设备用于向所述第二服务器分发量子密钥;
若所述第二服务器对应的密钥读指针和第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥,所述第一量子密钥和所述第二量子密钥由所述第一服务器和所述第二服务器共享;
接收所述第一服务器发送的第一密文,所述第一密文是根据对称加密算法和所述第一量子密钥对所述第一服务器对应的身份信息加密生成的;
根据所述第一量子密钥对所述第一密文解密后进行哈希,再利用对称加密算法和所述第二量子密钥进行加密,获得第二密文;
向所述第一服务器发送所述第二密文。
优选的,所述若所述第二服务器对应的密钥读指针和第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥,具体为:若控制中心确定所述第二服务器对应的密钥读指针和所述第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥;其中,所述控制中心用于接收第一量子设备发送的所述第一服务器对应的密钥读指针和所述第二量子设备发送的所述第二服务器对应的密钥读指针,所述第一量子设备用于向所述第一服务器分发量子密钥。
优选的,所述若所述第二服务器对应的密钥读指针和第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥,具体为:若所述第二量子设备确定所述第二服务器对应的密钥读指针和第一量子设备发送的所述第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥。
第三方面,本发明实施例提供了一种身份认证的装置,配置于第一服务器,该装置包括:
第一发送单元,用于向第一量子设备发送密钥请求,所述第一量子设备用于向所述第一服务器分发量子密钥;
第一接收单元,用于若所述第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥,所述第一量子密钥和所述第二量子密钥由所述第一服务器和所述第二服务器共享;
第一密文生成单元,用于根据对称加密算法和所述第一量子密钥对所述第一服务器对应的身份信息进行加密,生成第一密文;
第一消息摘要获得单元,用于通过哈希算法对所述第一服务器对应的身份信息进行哈希,获得第一消息摘要;
第二发送单元,用于向所述第二服务器发送所述第一密文;
第二接收单元,用于接收所述第二服务器发送的第二密文,所述第二密文是根据所述第一量子密钥对所述第一密文解密后进行哈希,再利用对称加密算法和所述第二量子密钥加密得到的;
第二消息摘要获得单元,用于根据所述第二量子密钥解密所述第二密文,获得第二消息摘要;
身份认证单元,用于若所述第一消息摘要和所述第二消息摘要相同,则身份认证成功。
第四方面,本发明实施例提供了一种身份认证的装置,配置于第二服务器,该装置包括:
第三发送单元,用于向第二量子设备发送密钥请求,所述第二量子设备用于向所述第二服务器分发量子密钥;
第三接收单元,用于若所述第二服务器对应的密钥读指针和第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥,所述第一量子密钥和所述第二量子密钥由所述第一服务器和所述第二服务器共享;
第四接收单元,用于接收所述第一服务器发送的第一密文,所述第一密文是根据对称加密算法和所述第一量子密钥对所述第一服务器对应的身份信息加密生成的;
第二密文生成单元,用于根据所述第一量子密钥对所述第一密文解密后进行哈希,再利用对称加密算法和所述第二量子密钥进行加密,生成第二密文;
第四发送单元,用于向所述第一服务器发送所述第二密文。
第五方面,本发明实施例提供了一种身份认证的系统,该系统包括:第一服务器、第二服务器、第一量子设备和第二量子设备;
所述第一服务器配置有如上述第三方面所述的装置;
所述第二服务器配置有如上述第四方面所述的装置;
所述第一量子设备用于向所述第一服务器分发量子密钥;
所述第二量子设备用于向所述第二服务器分发量子密钥。
与现有技术相比,本发明至少具有以下优点:
采用本发明实施例的技术方案,当第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,第一服务器获得接收第一量子设备发送的第一量子密钥和第二量子密钥,第一量子密钥和第二量子密钥由第一服务器和第二服务器共享;根据对称加密算法和第一量子密钥对第一服务器对应的身份信息进行加密,生成第一密文;对第一服务器对应的身份信息哈希,获得第一消息摘要;向第二服务器发送所述第一密文,接收第二服务器发送的根据第一量子密钥对第一密文解密后进行哈希,再利用对称加密算法和第二量子密钥加密得到的第二密文;根据第二量子密钥解密第二密文,获得第二消息摘要;若第一消息摘要和第二消息摘要相同,则身份认证成功。由此可见,利用量子密钥和对称密码算法进行身份认证,可以有效抵抗量子攻击,且双方拥有各自对应的量子设备分发的量子密钥,保证密钥不会泄露,在身份认证过程中比公钥身份认证更加安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例中一种应用场景所涉及的系统框架示意图;
图2为本发明实施例提供的一种身份认证的方法的流程示意图;
图3为本发明实施例提供的一种身份认证的装置的结构示意图;
图4为本发明实施例提供的另一种身份认证的装置的结构示意图;
图5为本发明实施例提供的一种身份认证的系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
发明人经过研究发现,现有技术中身份认证的方法为用户A先对其身份信息用他的私人密钥加密生成密文,然后将其身份信息通过哈希算法形成消息摘要,再用他的私人密钥对消息摘要进行加密,将加密后的消息摘要和密文一起发给用户B;B用A的公开的密钥解密密文得到A的身份信息,再进行哈希得到一个消息摘要,B还用A的公开的密钥解密加密后的消息摘要得到另一个消息摘要,两个消息摘要进行对比,从而确认A的身份,证明A是合法的。然而,现有技术中身份认证使用的公钥密码算法的设计一般基于某种数学困难问题,但是随着量子计算的快速发展,可以解决很多数学困难问题,很多公钥算法不能保证其安全性,随之而带来的身份认证也容易被篡改,安全性大大降低。
为了解决这一问题,在本发明实施例中,当第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,第一服务器获得接收第一量子设备发送的第一量子密钥和第二量子密钥,第一量子密钥和第二量子密钥由第一服务器和第二服务器共享;根据对称加密算法和第一量子密钥对第一服务器对应的身份信息进行加密,生成第一密文;对第一服务器对应的身份信息哈希,获得第一消息摘要;向第二服务器发送所述第一密文,接收第二服务器发送的根据第一量子密钥对第一密文解密后进行哈希,再利用对称加密算法和第二量子密钥加密得到的第二密文;根据第二量子密钥解密第二密文,获得第二消息摘要;若第一消息摘要和第二消息摘要相同,则身份认证成功。由此可见,利用量子密钥和对称密码算法进行身份认证,可以有效抵抗量子攻击,且双方拥有各自对应的量子设备分发的量子密钥,保证密钥不会泄露,在身份认证过程中比公钥身份认证更加安全。
举例来说,本发明实施例的场景之一,可以是应用到如图1所示的场景中。该场景包括第一服务器101、第二服务器102、第一量子设备103和第二量子设备104;其中,所述第一服务器101和所述第二服务器102可以交互,所述第一服务器101和所述第一量子设备103可以交互;所述第二服务器102和所述第二量子设备104可以交互。第一服务器101向第一量子设备103发送密钥请求,所述第一量子设备103用于向所述第一服务器101分发量子密钥;第二服务器102向第二量子设备104发送密钥请求,所述第二量子设备104用于向所述第二服务器102分发量子密钥;若所述第一服务器101对应的密钥读指针和第二服务器102对应的密钥读指针相同,第一服务器101接收所述第一量子设备103发送的第一量子密钥和第二量子密钥,第二服务器102接收所述第二量子设备104发送的第一量子密钥和第二量子密钥,所述第一量子密钥和所述第二量子密钥由所述第一服务器101和所述第二服务器102共享;第一服务器101根据对称加密算法和所述第一量子密钥对所述第一服务器101对应的身份信息进行加密,生成第一密文;第一服务器101通过哈希算法对所述第一服务器101对应的身份信息进行哈希,获得第一消息摘要;第一服务器101向所述第二服务器102发送所述第一密文;第一服务器101接收所述第二服务器102发送的第二密文,所述第二密文是根据所述第一量子密钥对所述第一密文解密后进行哈希,再利用对称加密算法和所述第二量子密钥加密得到的;第一服务器101根据所述第二量子密钥解密所述第二密文,获得第二消息摘要;若所述第一消息摘要和所述第二消息摘要相同,则身份认证成功。
可以理解的是,在上述应用场景中,虽然将本发明实施方式的动作描述由第一服务器101执行。本发明在执行主体方面不受限制,只要执行了本发明实施方式所公开的动作即可。
可以理解的是,上述场景仅是本发明实施例提供的一个场景示例,本发明实施例并不限于此场景。
下面结合附图,通过实施例来详细说明本发明实施例中身份认证的方法、装置和系统的具体实现方式。
示例性方法
参见图2,示出了本发明实施例中一种身份认证的方法的流程示意图。在本实施例中,所述方法例如可以包括以下步骤:
步骤201:第一服务器向第一量子设备发送密钥请求,第一量子设备用于向所述第一服务器分发量子密钥。
步骤202:第二服务器向第二量子设备发送密钥请求,第二量子设备用于向所述第二服务器分发量子密钥。
第一服务器和第二服务器需要密钥的情况为双方通信需要先确认对方的身份信息,证明对方为合法用户,才能进行后续的数据通信等,例如交易的双方需要先确认对方为合法用户,然后才能进行安全的交易操作。在本实施例的一些实施方式中,在所述向第一量子设备发送密钥请求之前,例如还可以包括:第一服务器向第二服务器发送通信请求。
在本实施例中,步骤201和步骤202在执行顺序上并不做限定,既可以先执行步骤201再执行步骤202,也可以先执行步骤202再执行步骤201,还可以同时执行步骤201和步骤202,只是要步骤201和步骤202的执行应该在第一服务器向第二服务器发送通信请求之后。
步骤203:若第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,第一服务器接收第一量子设备发送的第一量子密钥和第二量子密钥,第一量子密钥和第二量子密钥由第一服务器和第二服务器共享。
步骤204:若第二服务器对应的密钥读指针和第一服务器对应的密钥读指针相同,第二服务器接收第二量子设备发送的第一量子密钥和第二量子密钥,第一量子密钥和第二量子密钥由第一服务器和第二服务器共享。
其中,第一服务器对应的密钥读指针不是指第一服务器本身密钥读指针,而是存储在第一量子设备中即将对应发送给第一服务器的密钥的读指针;同理,第二服务器对应的密钥读指针是存储在第二量子设备中即将对应发送给第二服务器的密钥的读指针。
在第一量子设备和第二量子设备接收密钥请求之后,只有当第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同的情况下,第一量子设备才向第一服务器发送第一量子密钥和第二量子密钥,第二量子设备才向第二服务器发送第一量子密钥和第二量子密钥。量子密钥分发本身为对称密钥分发,其读写指针必须一致,否则量子密钥不可用,第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同表示的是用于身份认证的第一量子密钥和第二量子密钥不存在被泄露的问题,密钥可用。
第一服务器对应的密钥读指针和第二服务器对应的密钥读指针是否相同可以有以下两种确定方式:
第一种是由第一服务器和第二服务器都信任的控制中心来确定,也就是说,第一量子设备向控制中心发送第一服务器对应的密钥读指针,第二量子设备向控制中心发送第二服务器对应的密钥读指针,控制中心判断接收到的第一服务器对应的密钥读指针和第二服务器对应的密钥读指针是否相同。因此,在本实施例的一些实施方式中,步骤203具体例如可以为:若控制中心确定所述第一服务器对应的密钥读指针和所述第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥;其中,所述控制中心用于接收所述第一量子设备发送的所述第一服务器对应的密钥读指针和第二量子设备发送的所述第二服务器对应的密钥读指针,所述第二量子设备用于向所述第二服务器分发量子密钥。同理,步骤204具体例如可以为:若控制中心确定所述第二服务器对应的密钥读指针和所述第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥;其中,所述控制中心用于接收第一量子设备发送的所述第一服务器对应的密钥读指针和所述第二量子设备发送的所述第二服务器对应的密钥读指针,所述第一量子设备用于向所述第一服务器分发量子密钥。
第二种是第一量子设备和第二量子设备来确定,也就是说,第一量子设备向第二量子设备发送第一服务器对应的密钥读指针,第二量子设备向第一量子设备发送第二服务器对应的密钥读指针,第一量子设备判断接收到的第二服务器对应的密钥读指针和已有的第一服务器对应的密钥读指针是否相同;第二量子设备判断接收到的第一服务器对应的密钥读指针和已有的第二服务器对应的密钥读指针是否相同。因此,在本实施例的一些实施方式中,步骤203具体例如可以为:若所述第一量子设备确定所述第一服务器对应的密钥读指针和所述第二量子设备发送的所述第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥。同理,步骤204具体例如可以为:若所述第二量子设备确定所述第二服务器对应的密钥读指针和所述第一量子设备发送的所述第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥。
在本实施例中,步骤203和步骤204在执行顺序上并不做限定,既可以先执行步骤203再执行步骤204,也可以先执行步骤204再执行步骤203,还可以同时执行步骤203和步骤204。
步骤205:第一服务器根据对称加密算法和第一量子密钥对第一服务器对应的身份信息进行加密,生成第一密文。
步骤206:第一服务器通过哈希算法对第一服务器对应的身份信息进行哈希,获得第一消息摘要。
在本实施例中,对步骤205和步骤206的执行顺序并不做限定。
步骤207:第一服务器向第二服务器发送第一密文。
步骤208:第二服务器根据第一量子密钥对第一服务器发送的第一密文解密后进行哈希,再利用对称加密算法和第二量子密钥进行加密,获得第二密文。
步骤209:第二服务器向第一服务器发送第二密文。
步骤210:第一服务器根据第二量子密钥解密第二服务器发送的第二密文,获得第二消息摘要。
步骤211:若第一消息摘要和第二消息摘要相同,则身份认证成功。
通过本实施例提供的各种实施方式,在第一服务器向第一量子设备发送密钥请求,第二服务器向第二量子设备发送密钥请求后,若第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,第一服务器接收第一量子设备发送的第一量子密钥和第二量子密钥,第二服务器接收第二量子设备发送的第一量子密钥和第二量子密钥;第一服务器根据对称加密算法和第一量子密钥对第一服务器对应的身份信息加密生成第一密文,且对第一服务器对应的身份信息哈希获得第一消息摘要;第一服务器向第二服务器发送第一密文后,第二服务器根据第一量子密钥对第一服务器发送的第一密文解密后哈希,再用对称加密算法和第二量子密钥加密获得第二密文;第二服务器向第一服务器发送第二密文后,第一服务器根据第二量子密钥解密第二服务器发送的第二密文,获得第二消息摘要,若第一消息摘要和第二消息摘要相同,则身份认证成功。由此可见,利用量子密钥和对称密码算法进行身份认证,可以有效抵抗量子攻击,且双方拥有各自对应的量子设备分发的量子密钥,保证密钥不会泄露,在身份认证过程中比公钥身份认证更加安全。
示例性设备
参见图3,示出了本发明实施例中一种身份认证的装置的结构示意图。在本实施例中,所述装置例如具体可以包括:
第一发送单元301,用于向第一量子设备发送密钥请求,所述第一量子设备用于向所述第一服务器分发量子密钥;
第一接收单元302,用于若所述第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥,所述第一量子密钥和所述第二量子密钥由所述第一服务器和所述第二服务器共享;
第一密文生成单元303,用于根据对称加密算法和所述第一量子密钥对所述第一服务器对应的身份信息进行加密,生成第一密文;
第一消息摘要获得单元304,用于通过哈希算法对所述第一服务器对应的身份信息进行哈希,获得第一消息摘要;
第二发送单元305,用于向所述第二服务器发送所述第一密文;
第二接收单元306,用于接收所述第二服务器发送的第二密文,所述第二密文是根据所述第一量子密钥对所述第一密文解密后进行哈希,再利用对称加密算法和所述第二量子密钥加密得到的;
第二消息摘要获得单元307,用于根据所述第二量子密钥解密所述第二密文,获得第二消息摘要;
身份认证单元308,用于若所述第一消息摘要和所述第二消息摘要相同,则身份认证成功。
可选的,第一接收单元302例如具体可以用于若控制中心确定所述第一服务器对应的密钥读指针和所述第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥;其中,所述控制中心用于接收所述第一量子设备发送的所述第一服务器对应的密钥读指针和第二量子设备发送的所述第二服务器对应的密钥读指针,所述第二量子设备用于向所述第二服务器分发量子密钥。
可选的,第一接收单元302例如具体可以用于若所述第一量子设备确定所述第一服务器对应的密钥读指针和所述第二量子设备发送的所述第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥。
可选的,所述装置例如还可以包括:
通信请求发送单元,用于向所述第二服务器发送通信请求。
通过本实施例提供的各种实施方式,在第一服务器向第一量子设备发送密钥请求,第二服务器向第二量子设备发送密钥请求后,若第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,第一服务器接收第一量子设备发送的第一量子密钥和第二量子密钥,第二服务器接收第二量子设备发送的第一量子密钥和第二量子密钥;第一服务器根据对称加密算法和第一量子密钥对第一服务器对应的身份信息加密生成第一密文,且对第一服务器对应的身份信息哈希获得第一消息摘要;第一服务器向第二服务器发送第一密文后,第二服务器根据第一量子密钥对第一服务器发送的第一密文解密后哈希,再用对称加密算法和第二量子密钥加密获得第二密文;第二服务器向第一服务器发送第二密文后,第一服务器根据第二量子密钥解密第二服务器发送的第二密文,获得第二消息摘要,若第一消息摘要和第二消息摘要相同,则身份认证成功。由此可见,利用量子密钥和对称密码算法进行身份认证,可以有效抵抗量子攻击,且双方拥有各自对应的量子设备分发的量子密钥,保证密钥不会泄露,在身份认证过程中比公钥身份认证更加安全。
参见图4,示出了本发明实施例中另一种身份认证的装置的结构示意图。在本实施例中,所述装置例如具体可以包括:
第三发送单元401,用于向第二量子设备发送密钥请求,所述第二量子设备用于向所述第二服务器分发量子密钥;
第三接收单元402,用于若所述第二服务器对应的密钥读指针和第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥,所述第一量子密钥和所述第二量子密钥由所述第一服务器和所述第二服务器共享;
第四接收单元403,用于接收所述第一服务器发送的第一密文,所述第一密文是根据对称加密算法和所述第一量子密钥对所述第一服务器对应的身份信息加密生成的;
第二密文生成单元404,用于根据所述第一量子密钥对所述第一密文解密后进行哈希,再利用对称加密算法和所述第二量子密钥进行加密,生成第二密文;
第四发送单元405,用于向所述第一服务器发送所述第二密文。
可选的,第三接收单元402例如具体用于若控制中心确定所述第二服务器对应的密钥读指针和所述第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥;其中,所述控制中心用于接收第一量子设备发送的所述第一服务器对应的密钥读指针和所述第二量子设备发送的所述第二服务器对应的密钥读指针,所述第一量子设备用于向所述第一服务器分发量子密钥。
可选的,第三接收单元402例如具体用于若所述第二量子设备确定所述第二服务器对应的密钥读指针和所述第一量子设备发送的所述第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥。
通过本实施例提供的各种实施方式,在第一服务器向第一量子设备发送密钥请求,第二服务器向第二量子设备发送密钥请求后,若第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,第一服务器接收第一量子设备发送的第一量子密钥和第二量子密钥,第二服务器接收第二量子设备发送的第一量子密钥和第二量子密钥;第一服务器根据对称加密算法和第一量子密钥对第一服务器对应的身份信息加密生成第一密文,且对第一服务器对应的身份信息哈希获得第一消息摘要;第一服务器向第二服务器发送第一密文后,第二服务器根据第一量子密钥对第一服务器发送的第一密文解密后哈希,再用对称加密算法和第二量子密钥加密获得第二密文;第二服务器向第一服务器发送第二密文后,第一服务器根据第二量子密钥解密第二服务器发送的第二密文,获得第二消息摘要,若第一消息摘要和第二消息摘要相同,则身份认证成功。由此可见,利用量子密钥和对称密码算法进行身份认证,可以有效抵抗量子攻击,且双方拥有各自对应的量子设备分发的量子密钥,保证密钥不会泄露,在身份认证过程中比公钥身份认证更加安全。
参见图5,示出了本发明实施例中一种身份认证的系统的结构示意图。在本实施例中,所述系统例如具体可以包括:
第一服务器501、第二服务器502、第一量子设备503和第二量子设备504;
所述第一服务器501配置有如上述图3所示的示例性装置;
所述第二服务器502配置有如上述图4所示的示例性装置;
所述第一量子设备503用于向所述第一服务器501分发量子密钥;
所述第二量子设备504用于向所述第二服务器502分发量子密钥。
通过本实施例提供的各种实施方式,在第一服务器向第一量子设备发送密钥请求,第二服务器向第二量子设备发送密钥请求后,若第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,第一服务器接收第一量子设备发送的第一量子密钥和第二量子密钥,第二服务器接收第二量子设备发送的第一量子密钥和第二量子密钥;第一服务器根据对称加密算法和第一量子密钥对第一服务器对应的身份信息加密生成第一密文,且对第一服务器对应的身份信息哈希获得第一消息摘要;第一服务器向第二服务器发送第一密文后,第二服务器根据第一量子密钥对第一服务器发送的第一密文解密后哈希,再用对称加密算法和第二量子密钥加密获得第二密文;第二服务器向第一服务器发送第二密文后,第一服务器根据第二量子密钥解密第二服务器发送的第二密文,获得第二消息摘要,若第一消息摘要和第二消息摘要相同,则身份认证成功。由此可见,利用量子密钥和对称密码算法进行身份认证,可以有效抵抗量子攻击,且双方拥有各自对应的量子设备分发的量子密钥,保证密钥不会泄露,在身份认证过程中比公钥身份认证更加安全。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明技术方案范围情况下,都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。
Claims (10)
1.一种身份认证的方法,其特征在于,应用于第一服务器,包括:
向第一量子设备发送密钥请求,所述第一量子设备用于向所述第一服务器分发量子密钥;
若所述第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥,所述第一量子密钥和所述第二量子密钥由所述第一服务器和所述第二服务器共享;
根据对称加密算法和所述第一量子密钥对所述第一服务器对应的身份信息进行加密,生成第一密文;
通过哈希算法对所述第一服务器对应的身份信息进行哈希,获得第一消息摘要;
向所述第二服务器发送所述第一密文;
接收所述第二服务器发送的第二密文,所述第二密文是根据所述第一量子密钥对所述第一密文解密后进行哈希,再利用对称加密算法和所述第二量子密钥加密得到的;
根据所述第二量子密钥解密所述第二密文,获得第二消息摘要;
若所述第一消息摘要和所述第二消息摘要相同,则身份认证成功。
2.根据权利要求1所述的方法,其特征在于,所述若所述第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥,具体为:若控制中心确定所述第一服务器对应的密钥读指针和所述第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥;其中,所述控制中心用于接收所述第一量子设备发送的所述第一服务器对应的密钥读指针和第二量子设备发送的所述第二服务器对应的密钥读指针,所述第二量子设备用于向所述第二服务器分发量子密钥。
3.根据权利要求1所述的方法,其特征在于,所述若所述第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥,具体为:若所述第一量子设备确定所述第一服务器对应的密钥读指针和第二量子设备发送的所述第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥。
4.根据权利要求1至3中任意一项所述的方法,其特征在于,在所述向第一量子设备发送密钥请求之前,还包括:
向所述第二服务器发送通信请求。
5.一种身份认证的方法,其特征在于,应用于第二服务器,包括:
向第二量子设备发送密钥请求,所述第二量子设备用于向所述第二服务器分发量子密钥;
若所述第二服务器对应的密钥读指针和第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥,所述第一量子密钥和所述第二量子密钥由所述第一服务器和所述第二服务器共享;
接收所述第一服务器发送的第一密文,所述第一密文是根据对称加密算法和所述第一量子密钥对所述第一服务器对应的身份信息加密生成的;
根据所述第一量子密钥对所述第一密文解密后进行哈希,再利用对称加密算法和所述第二量子密钥进行加密,获得第二密文;
向所述第一服务器发送所述第二密文。
6.根据权利要求5所述的方法,其特征在于,所述若所述第二服务器对应的密钥读指针和第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥,具体为:若控制中心确定所述第二服务器对应的密钥读指针和所述第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥;其中,所述控制中心用于接收第一量子设备发送的所述第一服务器对应的密钥读指针和所述第二量子设备发送的所述第二服务器对应的密钥读指针,所述第一量子设备用于向所述第一服务器分发量子密钥。
7.根据权利要求5所述的方法,其特征在于,所述若所述第二服务器对应的密钥读指针和第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥,具体为:若所述第二量子设备确定所述第二服务器对应的密钥读指针和第一量子设备发送的所述第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥。
8.一种身份认证的装置,其特征在于,配置于第一服务器,包括:
第一发送单元,用于向第一量子设备发送密钥请求,所述第一量子设备用于向所述第一服务器分发量子密钥;
第一接收单元,用于若所述第一服务器对应的密钥读指针和第二服务器对应的密钥读指针相同,接收所述第一量子设备发送的第一量子密钥和第二量子密钥,所述第一量子密钥和所述第二量子密钥由所述第一服务器和所述第二服务器共享;
第一密文生成单元,用于根据对称加密算法和所述第一量子密钥对所述第一服务器对应的身份信息进行加密,生成第一密文;
第一消息摘要获得单元,用于通过哈希算法对所述第一服务器对应的身份信息进行哈希,获得第一消息摘要;
第二发送单元,用于向所述第二服务器发送所述第一密文;
第二接收单元,用于接收所述第二服务器发送的第二密文,所述第二密文是根据所述第一量子密钥对所述第一密文解密后进行哈希,再利用对称加密算法和所述第二量子密钥加密得到的;
第二消息摘要获得单元,用于根据所述第二量子密钥解密所述第二密文,获得第二消息摘要;
身份认证单元,用于若所述第一消息摘要和所述第二消息摘要相同,则身份认证成功。
9.一种身份认证的装置,其特征在于,配置于第二服务器,包括:
第三发送单元,用于向第二量子设备发送密钥请求,所述第二量子设备用于向所述第二服务器分发量子密钥;
第三接收单元,用于若所述第二服务器对应的密钥读指针和第一服务器对应的密钥读指针相同,接收所述第二量子设备发送的第一量子密钥和第二量子密钥,所述第一量子密钥和所述第二量子密钥由所述第一服务器和所述第二服务器共享;
第四接收单元,用于接收所述第一服务器发送的第一密文,所述第一密文是根据对称加密算法和所述第一量子密钥对所述第一服务器对应的身份信息加密生成的;
第二密文生成单元,用于根据所述第一量子密钥对所述第一密文解密后进行哈希,再利用对称加密算法和所述第二量子密钥进行加密,生成第二密文;
第四发送单元,用于向所述第一服务器发送所述第二密文。
10.一种身份认证的系统,其特征在于,包括:第一服务器、第二服务器、第一量子设备和第二量子设备;
所述第一服务器配置有如权利要求8所述的装置;
所述第二服务器配置有如权利要求9所述的装置;
所述第一量子设备用于向所述第一服务器分发量子密钥;
所述第二量子设备用于向所述第二服务器分发量子密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710469607.8A CN109104393B (zh) | 2017-06-20 | 2017-06-20 | 一种身份认证的方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710469607.8A CN109104393B (zh) | 2017-06-20 | 2017-06-20 | 一种身份认证的方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109104393A true CN109104393A (zh) | 2018-12-28 |
CN109104393B CN109104393B (zh) | 2021-02-12 |
Family
ID=64795596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710469607.8A Active CN109104393B (zh) | 2017-06-20 | 2017-06-20 | 一种身份认证的方法、装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109104393B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114499857A (zh) * | 2022-03-03 | 2022-05-13 | 矩阵时光数字科技有限公司 | 一种实现大数据量子加解密中数据正确性与一致性的方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007088288A1 (fr) * | 2006-02-03 | 2007-08-09 | Advanced Track & Trace | Procede et dispositif d'authentification |
WO2013048674A1 (en) * | 2011-09-30 | 2013-04-04 | Los Alamos National Security, Llc | Quantum key management |
CN103095461A (zh) * | 2013-01-23 | 2013-05-08 | 山东量子科学技术研究院有限公司 | 一种量子安全网络设备间网络信令的认证方法 |
CN103997484A (zh) * | 2014-02-28 | 2014-08-20 | 山东量子科学技术研究院有限公司 | 一种量子密码网络sip信令安全通信系统及方法 |
CN105553951A (zh) * | 2015-12-08 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 数据传输方法和装置 |
CN106411521A (zh) * | 2015-07-31 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及系统 |
CN106533673A (zh) * | 2016-12-08 | 2017-03-22 | 浙江神州量子网络科技有限公司 | 一种适用于多方量子通信的隐私放大方法 |
-
2017
- 2017-06-20 CN CN201710469607.8A patent/CN109104393B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007088288A1 (fr) * | 2006-02-03 | 2007-08-09 | Advanced Track & Trace | Procede et dispositif d'authentification |
WO2013048674A1 (en) * | 2011-09-30 | 2013-04-04 | Los Alamos National Security, Llc | Quantum key management |
CN103095461A (zh) * | 2013-01-23 | 2013-05-08 | 山东量子科学技术研究院有限公司 | 一种量子安全网络设备间网络信令的认证方法 |
CN103997484A (zh) * | 2014-02-28 | 2014-08-20 | 山东量子科学技术研究院有限公司 | 一种量子密码网络sip信令安全通信系统及方法 |
CN106411521A (zh) * | 2015-07-31 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及系统 |
CN105553951A (zh) * | 2015-12-08 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 数据传输方法和装置 |
CN106533673A (zh) * | 2016-12-08 | 2017-03-22 | 浙江神州量子网络科技有限公司 | 一种适用于多方量子通信的隐私放大方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114499857A (zh) * | 2022-03-03 | 2022-05-13 | 矩阵时光数字科技有限公司 | 一种实现大数据量子加解密中数据正确性与一致性的方法 |
CN114499857B (zh) * | 2022-03-03 | 2023-09-01 | 矩阵时光数字科技有限公司 | 一种实现大数据量子加解密中数据正确性与一致性的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109104393B (zh) | 2021-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3661120B1 (en) | Method and apparatus for security authentication | |
EP3395006B1 (en) | Method for managing a trusted identity | |
CN106104562B (zh) | 机密数据安全储存和恢复系统及方法 | |
EP3324572B1 (en) | Information transmission method and mobile device | |
CN105471584B (zh) | 一种基于量子密钥加密的身份认证方法 | |
CN101640590B (zh) | 一种获取标识密码算法私钥的方法和密码中心 | |
US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
CN101515319B (zh) | 密钥处理方法、密钥密码学服务系统和密钥协商方法 | |
CN110519046A (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
CN105207776A (zh) | 一种指纹认证方法及系统 | |
CN108809936B (zh) | 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统 | |
CN114697040B (zh) | 一种基于对称密钥的电子签章方法和系统 | |
CN103560892A (zh) | 密钥生成方法和密钥生成装置 | |
CN114692218A (zh) | 一种面向个人用户的电子签章方法、设备和系统 | |
JP2010231404A (ja) | 秘密情報管理システム、秘密情報管理方法、および秘密情報管理プログラム | |
CN110557367B (zh) | 基于证书密码学的抗量子计算保密通信的密钥更新方法和系统 | |
CN110365472B (zh) | 基于非对称密钥池对的量子通信服务站数字签名方法、系统 | |
CN109040109B (zh) | 基于密钥管理机制的数据交易方法及系统 | |
Wu et al. | Security Architecture for sensitive information systems | |
CN108768958B (zh) | 基于第三方不泄露被验信息的数据完整性和来源的验证方法 | |
JP2007267153A (ja) | 端末装置、証明書発行装置、証明書発行システム、証明書取得方法および証明書発行方法 | |
JP2001344214A (ja) | 端末の認証方法と暗号通信システム | |
CN111327415A (zh) | 一种联盟链数据保护方法及装置 | |
CN109104393A (zh) | 一种身份认证的方法、装置和系统 | |
CN115412236A (zh) | 一种密钥管理和密码计算的方法、加密方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |