CN110601838A - 一种基于量子密钥的身份认证方法、装置及系统 - Google Patents

一种基于量子密钥的身份认证方法、装置及系统 Download PDF

Info

Publication number
CN110601838A
CN110601838A CN201911015607.6A CN201911015607A CN110601838A CN 110601838 A CN110601838 A CN 110601838A CN 201911015607 A CN201911015607 A CN 201911015607A CN 110601838 A CN110601838 A CN 110601838A
Authority
CN
China
Prior art keywords
quantum key
quantum
client
key
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911015607.6A
Other languages
English (en)
Inventor
张丞
王云霄
李宁
武传奇
郭小燕
马琳
郭瑞军
王高洲
赵丽娜
张文彬
于航
陈琳
韩兴旺
王惠剑
张云鹏
卢立生
杨勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Shandong Luneng Software Technology Co Ltd
Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Shandong Luneng Software Technology Co Ltd
Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Shandong Luneng Software Technology Co Ltd, Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201911015607.6A priority Critical patent/CN110601838A/zh
Publication of CN110601838A publication Critical patent/CN110601838A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Abstract

本发明公开了一种基于量子密钥的身份认证方法,包括:客户端与服务端完成量子密钥的分发,服务端建立用户标识、量子密钥标识、量子密钥三者的对应关系;客户端选取预分发的第一量子密钥,生成客户端认证消息,并将第一量子密钥标识、客户端认证消息发送至服务端;服务端利用第一量子密钥标识验证客户端认证消息;服务端选取第二量子密钥、第三量子密钥,生成服务端量子随机数,生成服务端认证消息,并将第二量子密钥标识、服务端认证消息答复客户端;客户端根据第二量子密钥验证服务端的服务端认证消息,客户端与服务端根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组,双方利用准会话密钥组加密通信。

Description

一种基于量子密钥的身份认证方法、装置及系统
技术领域
本发明涉及量子通信技术领域,尤其是一种基于量子密钥的身份认证方法、装置及系统。
背景技术
随着电子商务、电子政务的迅速发展,人们从现实世界进入电子世界,网络成为人们从事各种业务活动的重要渠道,安全、便捷的认证方式是电子商务、电子政务有序开展的关键必要条件,因此构建一个安全、可信的网络环境至关重要。经过多年的研究和发展,目前形成了公开密钥基础体系(PKI)信息安全解决方案,但PKI身份认证体系从是基于数学算法的非对称加密体系,从理论上讲存在被破解的风险,尤其是近年来具有强大量子计算能力的量子计算的出现,对现有的PKI身份认证体系提出了挑战;另外PKI公钥认证体系认证过程存在需要庞大的证书数据库在线认证,存在认证效率低、速度慢的问题。
量子密钥分发技(Quantum Key Distribution,QKD)基于量子力学的海森堡测不准原理和量子不可克隆定理,通信收发双方通过量子信道共享密钥,是量子力学与密码学相结合的产物。QKD技术在通信中并不传输密文,只是利用量子信道传输密钥,将密钥分发到通信双方。通过单光子量子态的制备、传输、测量和经典通信协议后处理,实现通信双方之间的量子密钥共享,再结合“一次一密”的对称加密机制(即通信双方均使用与信息等长的密码进行逐比特的加解密操作),理论上可实现绝对安全的量子通信,但目前的量子加密应用采用成功解密即完成双发是身份认证的方式,在特定条件下存在无法判断是否解密的明文是否成功的情况,也缺少必要的身份认证和密钥协商过程。
发明内容
针对现有PKI公钥认证体系的不足,结合量子密钥分发技术真随机性和绝对安全性的特点,本发明的目的是提供一种基于量子密钥的身份认证方法、装置及系统,以解决上述技术问题。
为实现上述目的,本发明采用下述技术方案:
本发明第一方面提供了一种基于量子密钥的身份认证方法,包括以下步骤:
客户端与量子密钥认证服务中心预先完成量子密钥的分发,量子密钥认证服务中心建立用户标识、量子密钥标识、量子密钥三者的对应关系;
客户端随机选取预分发的第一量子密钥,利用预置的加密算法加密用户标识、客户端量子随机数生成客户端认证消息,并将第一量子密钥标识、客户端认证消息发送至量子密钥认证服务中心;
量子密钥认证服务中心利用第一量子密钥标识验证客户端认证消息,若验证不通过,则中断会话;若验证通过,执行下一步骤;
量子密钥认证服务中心随机选取第二量子密钥、第三量子密钥,并生成服务端量子随机数,利用第二量子密钥加密第三量子密钥标识、服务端量子随机数、用户标识生成服务端认证消息,并将第二量子密钥标识、服务端认证消息答复客户端;
客户端根据第二量子密钥验证量子密钥认证服务中心的服务端认证消息,若验证不通过,结束对话;若验证通过,执行下一步骤;
客户端与量子密钥认证服务中心根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组,双方利用准会话密钥组加密通信。
结合第一方面,在第一方面第一种可能的实现方式中,所述客户端与量子密钥认证服务中心预先完成量子密钥的分发,具体包括:
客户端和服务认证中心直连QKD量子密钥生成与管理设备完成在线分发;
量子服务认证中心通过移动密钥存储设备从QKD量子密钥生成与管理设备上完成量子密钥的预分发,然后量子密钥移动存储设备在客户端上认证加密应用,完成离线分发。
结合第一方面,在第一方面第二种可能的实现方式中,所述量子密钥认证服务中心建立用户标识、量子密钥标识、量子密钥三者的对应关系,具体包括:
量子密钥认证服务中心生成包括但不限于客户端id或移动量子密钥设备编号在内的代表用户唯一标识的用户标识;
量子密钥认证服务中心生成包括但不限于量子密钥编号或量子密钥时间戳、量子密钥票据在内的代表量子密钥唯一标识的量子密钥标识。
结合第一方面,在第一方面第三种可能的实现方式中,所述量子密钥认证服务中心利用第一量子密钥标识验证客户端认证消息,具体包括:
量子密钥认证服务中心根据第一量子密钥标识在密钥库中匹配第一量子密钥,若匹配不到第一量子密钥,则验证过程结束;
若第一量子密钥匹配成功,利用第一量子密钥解密客户端认证消息,得到用户标识和客户端量子随机数,验证用户标识、第一量子密钥标识、第一量子密钥对应关系是否一致。
结合第一方面,在第一方面第四种可能的实现方式中,所述客户端根据第二量子密钥验证量子密钥认证服务中心的服务端认证消息,具体包括:
客户端根据第二量子密钥标识在密钥库匹配第二量子密钥,若匹配不到第二量子密钥,则验证过程结束;
若第二量子密钥匹配成功,利用第二量子密钥解密服务端认证消息,得到用户标识、第三量子密钥标识、服务端量子随机数,验证解密后的用户标识是否一致,若不一致验证过程结束,若验证成功进行下一步;
验证用户标识是否能匹配第三量子密钥标识和第三量子密钥。
结合第一方面,在第一方面第五种可能的实现方式中,所述客户端与量子密钥认证服务中心根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组,双方利用准会话密钥组加密通信,具体包括:
客户端与量子密钥认证服务中心分别利用hash算法对第三量子密钥、客户端量子随机数、服务端量子随机数联合计算,生成会话密钥,会话密钥长度根据时间需要选择一次计算或多次计算;
利用生成的会话密钥,客户端和服务端采用分组加密算法进行加密通信,会话结束后,第一量子密钥、第二量子密钥、第三量子密钥作废。
本发明第二方面提供了一种基于量子密钥的身份认证装置,包括:
量子密钥分发模块,客户端与量子密钥认证服务中心预先完成量子密钥的分发;
关系建立模块,量子密钥认证服务中心建立用户标识、量子密钥标识、量子密钥三者的对应关系;
客户端认证消息生成模块,客户端随机选取预分发的第一量子密钥,利用预置的加密算法加密用户标识、客户端量子随机数生成客户端认证消息;
客户端认证消息发送模块,将第一量子密钥标识、客户端认证消息发送至量子密钥认证服务中心;
客户端认证消息验证模块,量子密钥认证服务中心利用第一量子密钥标识验证客户端认证消息;
服务端认证消息生成模块,量子密钥认证服务中心随机选取第二量子密钥、第三量子密钥,并生成服务端量子随机数,利用第二量子密钥加密第三量子密钥标识、服务端量子随机数、用户标识生成服务端认证消息;
服务端认证消息发送模块,将第二量子密钥标识、服务端认证消息答复客户端;
服务端认证消息验证模块,客户端根据第二量子密钥验证量子密钥认证服务中心的服务端认证消息;
会话密钥组生成模块,客户端与量子密钥认证服务中心根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组,双方利用准会话密钥组加密通信。
本发明第二方面所述的基于量子密钥的身份认证装置能够实现第一方面中的方法,并取得相同的效果。
本发明第三方面提供了一种基于量子密钥的身份认证系统,包括:
量子密钥认证服务中心,所述量子密钥认证服务中心负责客户端的初始化注册和对客户端的认证,产生服务端量子随机数,计算会话密钥以及会话加解密;
若干个客户端,所述客户端用于发起认证消息和对服务端认证消息的验证,产生客户端随机数,计算会话密钥以及会话加解密。
结合第三方面,在第三方面第一种可能的实现方式中,所述量子密钥认证服务中心包括:
量子身份认证模块,所述量子身份认证模块用于通过量子密钥、用户设备标识对客户端进行认证;
量子密钥库,所述量子密钥库用于存储用户标识、量子密钥标识、量子密钥的对应关系;
量子随机数生产器,所述量子随机数生产器用于产生量子真随机数,参与产生认证消息和会话密钥。
会话管理器,所述会话管理器用于创建客户端和服务端的会话。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
本发明提供的基于量子密钥客户端与服务端相互认证的系统和方法,利用量子密钥的真随机和唯一性特点,从根本上解决了目前基于非对称技术的PKI身份认证体系的安全隐患。此外本发明系统具有结构简单、复杂性小、安全性高等优点。
附图说明
图1是本发明方法实施例流程示意图;
图2是本发明装置实施例示意图;
图3是本发明系统实施例示意图;
图4是本发明单个客户端与服务端认证流程图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
如图1所示,一种基于量子密钥的身份认证方法,包括以下步骤:
S1、客户端与量子密钥认证服务中心预先完成量子密钥的分发,量子密钥认证服务中心建立用户标识、量子密钥标识、量子密钥三者的对应关系;
S2、客户端随机选取预分发的第一量子密钥,利用预置的加密算法加密用户标识、客户端量子随机数生成客户端认证消息,并将第一量子密钥标识、客户端认证消息发送至量子密钥认证服务中心;
S3、量子密钥认证服务中心利用第一量子密钥标识验证客户端认证消息,若验证不通过,则中断会话;若验证通过,执行步骤S4;
S4、量子密钥认证服务中心随机选取第二量子密钥、第三量子密钥,并生成服务端量子随机数,利用第二量子密钥加密第三量子密钥标识、服务端量子随机数、用户标识生成服务端认证消息,并将第二量子密钥标识、服务端认证消息答复客户端;
S5、客户端根据第二量子密钥验证量子密钥认证服务中心的服务端认证消息,若验证不通过,结束对话;若验证通过,执行步骤S6;
S6、客户端与量子密钥认证服务中心根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组,双方利用准会话密钥组加密通信。
作为本申请一个实施例,步骤S1中,客户端与量子密钥认证服务中心预先完成量子密钥的分发,具体包括:
客户端和服务认证中心直连QKD量子密钥生成与管理设备完成在线分发;
量子服务认证中心通过移动密钥存储设备从QKD量子密钥生成与管理设备上完成量子密钥的预分发,然后量子密钥移动存储设备在客户端上认证加密应用,完成离线分发。
作为本申请一个实施例,步骤S1中,量子密钥认证服务中心建立用户标识、量子密钥标识、量子密钥三者的对应关系,具体包括:
量子密钥认证服务中心生成包括但不限于客户端id或移动量子密钥设备编号在内的代表用户唯一标识的用户标识;
量子密钥认证服务中心生成包括但不限于量子密钥编号或量子密钥时间戳、量子密钥票据在内的代表量子密钥唯一标识的量子密钥标识。
作为本申请一个实施例,步骤S3中,量子密钥认证服务中心利用第一量子密钥标识验证客户端认证消息,具体包括:
量子密钥认证服务中心根据第一量子密钥标识在密钥库中匹配第一量子密钥,若匹配不到第一量子密钥,则验证过程结束;
若第一量子密钥匹配成功,利用第一量子密钥解密客户端认证消息,得到用户标识和客户端量子随机数,验证用户标识、第一量子密钥标识、第一量子密钥对应关系是否一致。
作为本申请一个实施例,步骤S5中,客户端根据第二量子密钥验证量子密钥认证服务中心的服务端认证消息,具体包括:
客户端根据第二量子密钥标识在密钥库匹配第二量子密钥,若匹配不到第二量子密钥,则验证过程结束;
若第二量子密钥匹配成功,利用第二量子密钥解密服务端认证消息,得到用户标识、第三量子密钥标识、服务端量子随机数,验证解密后的用户标识是否一致,若不一致验证过程结束,若验证成功进行下一步;
验证用户标识是否能匹配第三量子密钥标识和第三量子密钥。
作为本申请一个实施例,步骤S6中,客户端与量子密钥认证服务中心根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组,双方利用准会话密钥组加密通信,具体包括:
客户端与量子密钥认证服务中心分别利用hash算法对第三量子密钥、客户端量子随机数、服务端量子随机数联合计算,生成会话密钥,会话密钥长度根据时间需要选择一次计算或多次计算;
利用生成的会话密钥,客户端和服务端采用分组加密算法进行加密通信,会话结束后,第一量子密钥、第二量子密钥、第三量子密钥作废。
如图2所示,一种基于量子密钥的身份认证装置,包括:
量子密钥分发模块10,客户端与量子密钥认证服务中心预先完成量子密钥的分发;
关系建立模块11,量子密钥认证服务中心建立用户标识、量子密钥标识、量子密钥三者的对应关系;
客户端认证消息生成模块12,客户端随机选取预分发的第一量子密钥,利用预置的加密算法加密用户标识、客户端量子随机数生成客户端认证消息;
客户端认证消息发送模块13,将第一量子密钥标识、客户端认证消息发送至量子密钥认证服务中心;
客户端认证消息验证模块14,量子密钥认证服务中心利用第一量子密钥标识验证客户端认证消息;
服务端认证消息生成模块15,量子密钥认证服务中心随机选取第二量子密钥、第三量子密钥,并生成服务端量子随机数,利用第二量子密钥加密第三量子密钥标识、服务端量子随机数、用户标识生成服务端认证消息;
服务端认证消息发送模块16,将第二量子密钥标识、服务端认证消息答复客户端;
服务端认证消息验证模块17,客户端根据第二量子密钥验证量子密钥认证服务中心的服务端认证消息;
会话密钥组生成模块18,客户端与量子密钥认证服务中心根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组,双方利用准会话密钥组加密通信。
如图3所示,一种基于量子密钥的身份认证系统,包括:
量子密钥认证服务中心100,所述量子密钥认证服务中心负责客户端的初始化注册和对客户端的认证,产生服务端量子随机数,计算会话密钥以及会话加解密;
若干个客户端101,所述客户端用于发起认证消息和对服务端认证消息的验证,产生客户端随机数,计算会话密钥以及会话加解密。
作为本申请一个实施例,量子密钥认证服务中心100包括:
量子身份认证模块1001,所述量子身份认证模块用于通过量子密钥、用户设备标识对客户端进行认证;
量子密钥库1002,所述量子密钥库用于存储用户标识、量子密钥标识、量子密钥的对应关系;
量子随机数生产器1003,所述量子随机数生产器用于产生量子真随机数,参与产生认证消息和会话密钥。
会话管理器1004,所述会话管理器用于创建客户端和服务端的会话。
如图4所示,客户端A与量子认证服务中心C认证消息过程,具体包括如下步骤:
S1、客户端A随机选取量子密钥KEY1,以及利用随机算法生成随机数R1,调用分组加密算法用量子密钥KEY1加密客户端A的用户标识ID1得到密文M1,将量子密钥KEY1的标识KEY1_ID和密文M1一起作为验证消息发给认证服务中心C。
S2、认证服务中心C在量子密钥库中搜索KEY1_ID,若无对应KEY1_ID则验证过程结束;若搜索到正确的KEY1_ID则用对应的KEY1解密密文M1,解密得到客户端A的用户标识ID1、随机数R1,在根据量子密钥库中用户标识、量子密钥标识、量子密钥三者对应关系,验证客户端A的身份合法性,若解密失败或者解密后的用户标识ID1在数据库中无法与量子密钥对应,则验证失败;通过验证后,量子认证服务中心C进行下一步操作。
S3、量子认证服务中心C随机选取量子密钥KEY2、KEY3,以及调用量子随机数生产器生产量子随机数R2,调用用分组加密算法用量子密钥KEY2加密客户端A的用户标识ID_1、量子密钥标识KEY3_ID得到密文M2,将量子密钥KEY2的标识KEY2_ID和密文M2一起作为验证消息发给客户端A。
S4、客户端A在密钥库中搜索KEY2_ID,若无对应KEY2_ID则验证过程结束;若搜索到正确的KEY2_ID,则用对应的KEY2解密密文M2,解密得到用户标识ID1、量子密钥KEY3_ID、量子随机数R2,首先判断解密得到的用户标识ID1是否正确,若不正确则验证结束;若正确再验证是否能匹配量子密钥KEY3_ID,若无法匹配则验证过程结束,若验证通过则完成双方身份认证,进行下一步操作。
S5、客户端A利用hash算法计算随机数R1、量子随机数R2、量子密钥KEY3得到会话密钥KEY4,用作后续的会话加密;同认证服务中心C利用利用算法生产KEY4,对会话内容进行加解密。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (9)

1.一种基于量子密钥的身份认证方法,其特征是,包括以下步骤:
客户端与量子密钥认证服务中心预先完成量子密钥的分发,量子密钥认证服务中心建立用户标识、量子密钥标识、量子密钥三者的对应关系;
客户端随机选取预分发的第一量子密钥,利用预置的加密算法加密用户标识、客户端量子随机数生成客户端认证消息,并将第一量子密钥标识、客户端认证消息发送至量子密钥认证服务中心;
量子密钥认证服务中心利用第一量子密钥标识验证客户端认证消息,若验证不通过,则中断会话;若验证通过,执行下一步骤;
量子密钥认证服务中心随机选取第二量子密钥、第三量子密钥,并生成服务端量子随机数,利用第二量子密钥加密第三量子密钥标识、服务端量子随机数、用户标识生成服务端认证消息,并将第二量子密钥标识、服务端认证消息答复客户端;
客户端根据第二量子密钥验证量子密钥认证服务中心的服务端认证消息,若验证不通过,结束对话;若验证通过,执行下一步骤;
客户端与量子密钥认证服务中心根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组,双方利用准会话密钥组加密通信。
2.如权利要求1所述的基于量子密钥的身份认证方法,其特征是,所述客户端与量子密钥认证服务中心预先完成量子密钥的分发,具体包括:
客户端和服务认证中心直连QKD量子密钥生成与管理设备完成在线分发;
量子服务认证中心通过移动密钥存储设备从QKD量子密钥生成与管理设备上完成量子密钥的预分发,然后量子密钥移动存储设备在客户端上认证加密应用,完成离线分发。
3.如权利要求1所述的基于量子密钥的身份认证方法,其特征是,所述量子密钥认证服务中心建立用户标识、量子密钥标识、量子密钥三者的对应关系,具体包括:
量子密钥认证服务中心生成包括但不限于客户端id或移动量子密钥设备编号在内的代表用户唯一标识的用户标识;
量子密钥认证服务中心生成包括但不限于量子密钥编号或量子密钥时间戳、量子密钥票据在内的代表量子密钥唯一标识的量子密钥标识。
4.如权利要求1所述的基于量子密钥的身份认证方法,其特征是,所述量子密钥认证服务中心利用第一量子密钥标识验证客户端认证消息,具体包括:
量子密钥认证服务中心根据第一量子密钥标识在密钥库中匹配第一量子密钥,若匹配不到第一量子密钥,则验证过程结束;
若第一量子密钥匹配成功,利用第一量子密钥解密客户端认证消息,得到用户标识和客户端量子随机数,验证用户标识、第一量子密钥标识、第一量子密钥对应关系是否一致。
5.如权利要求1所述的基于量子密钥的身份认证方法,其特征是,所述客户端根据第二量子密钥验证量子密钥认证服务中心的服务端认证消息,具体包括:
客户端根据第二量子密钥标识在密钥库匹配第二量子密钥,若匹配不到第二量子密钥,则验证过程结束;
若第二量子密钥匹配成功,利用第二量子密钥解密服务端认证消息,得到用户标识、第三量子密钥标识、服务端量子随机数,验证解密后的用户标识是否一致,若不一致验证过程结束,若验证成功进行下一步;
验证用户标识是否能匹配第三量子密钥标识和第三量子密钥。
6.如权利要求1所述的基于量子密钥的身份认证方法,其特征是,所述客户端与量子密钥认证服务中心根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组,双方利用准会话密钥组加密通信,具体包括:
客户端与量子密钥认证服务中心分别利用hash算法对第三量子密钥、客户端量子随机数、服务端量子随机数联合计算,生成会话密钥,会话密钥长度根据时间需要选择一次计算或多次计算;
利用生成的会话密钥,客户端和服务端采用分组加密算法进行加密通信,会话结束后,第一量子密钥、第二量子密钥、第三量子密钥作废。
7.一种基于量子密钥的身份认证装置,其特征是,包括:
量子密钥分发模块,客户端与量子密钥认证服务中心预先完成量子密钥的分发;
关系建立模块,量子密钥认证服务中心建立用户标识、量子密钥标识、量子密钥三者的对应关系;
客户端认证消息生成模块,客户端随机选取预分发的第一量子密钥,利用预置的加密算法加密用户标识、客户端量子随机数生成客户端认证消息;
客户端认证消息发送模块,将第一量子密钥标识、客户端认证消息发送至量子密钥认证服务中心;
客户端认证消息验证模块,量子密钥认证服务中心利用第一量子密钥标识验证客户端认证消息;
服务端认证消息生成模块,量子密钥认证服务中心随机选取第二量子密钥、第三量子密钥,并生成服务端量子随机数,利用第二量子密钥加密第三量子密钥标识、服务端量子随机数、用户标识生成服务端认证消息;
服务端认证消息发送模块,将第二量子密钥标识、服务端认证消息答复客户端;
服务端认证消息验证模块,客户端根据第二量子密钥验证量子密钥认证服务中心的服务端认证消息;
会话密钥组生成模块,客户端与量子密钥认证服务中心根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组,双方利用准会话密钥组加密通信。
8.一种基于量子密钥的身份认证系统,其特征是,包括:
量子密钥认证服务中心,所述量子密钥认证服务中心负责客户端的初始化注册和对客户端的认证,产生服务端量子随机数,计算会话密钥以及会话加解密;
若干个客户端,所述客户端用于发起认证消息和对服务端认证消息的验证,产生客户端随机数,计算会话密钥以及会话加解密。
9.如权利要求8所述的基于量子密钥的身份认证系统,其特征是,所述量子密钥认证服务中心包括:
量子身份认证模块,所述量子身份认证模块用于通过量子密钥、用户设备标识对客户端进行认证;
量子密钥库,所述量子密钥库用于存储用户标识、量子密钥标识、量子密钥的对应关系;
量子随机数生产器,所述量子随机数生产器用于产生量子真随机数,参与产生认证消息和会话密钥。
会话管理器,所述会话管理器用于创建客户端和服务端的会话。
CN201911015607.6A 2019-10-24 2019-10-24 一种基于量子密钥的身份认证方法、装置及系统 Pending CN110601838A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911015607.6A CN110601838A (zh) 2019-10-24 2019-10-24 一种基于量子密钥的身份认证方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911015607.6A CN110601838A (zh) 2019-10-24 2019-10-24 一种基于量子密钥的身份认证方法、装置及系统

Publications (1)

Publication Number Publication Date
CN110601838A true CN110601838A (zh) 2019-12-20

Family

ID=68851459

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911015607.6A Pending CN110601838A (zh) 2019-10-24 2019-10-24 一种基于量子密钥的身份认证方法、装置及系统

Country Status (1)

Country Link
CN (1) CN110601838A (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541708A (zh) * 2020-05-06 2020-08-14 广东纬德信息科技股份有限公司 一种基于电力配电的身份认证方法
CN112769563A (zh) * 2021-01-04 2021-05-07 北京数字认证股份有限公司 一种基于多方计算的操作端代理授权方法及装置
CN113242126A (zh) * 2021-06-09 2021-08-10 国网湖南省电力有限公司 基于身份认证的智能电表与蓝牙断路器的配对方法及系统
CN113242238A (zh) * 2021-05-10 2021-08-10 中国建设银行股份有限公司 安全通信方法、装置及系统
CN113364580A (zh) * 2020-03-06 2021-09-07 科大国盾量子技术股份有限公司 密钥管理服务器、客户端、密钥分发方法和密钥获取方法
CN113706170A (zh) * 2021-08-26 2021-11-26 国科量子通信网络有限公司 量子智能服务码防伪系统
CN113726527A (zh) * 2021-09-28 2021-11-30 河南国科量子通信技术应用研究院 一种野外作业场景下的量子安全数据保护方法
CN113784298A (zh) * 2021-09-16 2021-12-10 国科量子通信网络有限公司 基于量子密钥的北斗短报文的通信系统
CN114124369A (zh) * 2021-09-16 2022-03-01 国科量子通信网络有限公司 一种多组量子密钥协同方法及系统
CN115225411A (zh) * 2022-09-20 2022-10-21 龙图腾网科技(合肥)股份有限公司 保密文件传输的量子安全验证方法、系统、服务器及介质
CN116405302A (zh) * 2023-04-19 2023-07-07 合肥工业大学 一种用于车内安全通信的系统及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107404461A (zh) * 2016-05-19 2017-11-28 阿里巴巴集团控股有限公司 数据安全传输方法、客户端及服务端方法、装置及系统
CN108347404A (zh) * 2017-01-24 2018-07-31 中国移动通信有限公司研究院 一种身份认证方法及装置
CN108574569A (zh) * 2017-03-08 2018-09-25 中国移动通信有限公司研究院 一种基于量子密钥的认证方法及认证装置
CN108737076A (zh) * 2017-04-13 2018-11-02 山东量子科学技术研究院有限公司 一种身份认证系统及身份认证方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107404461A (zh) * 2016-05-19 2017-11-28 阿里巴巴集团控股有限公司 数据安全传输方法、客户端及服务端方法、装置及系统
CN108347404A (zh) * 2017-01-24 2018-07-31 中国移动通信有限公司研究院 一种身份认证方法及装置
CN108574569A (zh) * 2017-03-08 2018-09-25 中国移动通信有限公司研究院 一种基于量子密钥的认证方法及认证装置
CN108737076A (zh) * 2017-04-13 2018-11-02 山东量子科学技术研究院有限公司 一种身份认证系统及身份认证方法

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113364580A (zh) * 2020-03-06 2021-09-07 科大国盾量子技术股份有限公司 密钥管理服务器、客户端、密钥分发方法和密钥获取方法
CN113364580B (zh) * 2020-03-06 2023-05-09 科大国盾量子技术股份有限公司 密钥管理服务器、客户端、密钥分发方法和密钥获取方法
CN111541708A (zh) * 2020-05-06 2020-08-14 广东纬德信息科技股份有限公司 一种基于电力配电的身份认证方法
CN111541708B (zh) * 2020-05-06 2022-08-19 广东纬德信息科技股份有限公司 一种基于电力配电的身份认证方法
CN112769563B (zh) * 2021-01-04 2022-10-11 北京数字认证股份有限公司 一种基于多方计算的操作端代理授权方法及装置
CN112769563A (zh) * 2021-01-04 2021-05-07 北京数字认证股份有限公司 一种基于多方计算的操作端代理授权方法及装置
CN113242238A (zh) * 2021-05-10 2021-08-10 中国建设银行股份有限公司 安全通信方法、装置及系统
CN113242126A (zh) * 2021-06-09 2021-08-10 国网湖南省电力有限公司 基于身份认证的智能电表与蓝牙断路器的配对方法及系统
CN113242126B (zh) * 2021-06-09 2022-06-21 国网湖南省电力有限公司 基于身份认证的智能电表与蓝牙断路器的配对方法及系统
CN113706170A (zh) * 2021-08-26 2021-11-26 国科量子通信网络有限公司 量子智能服务码防伪系统
CN113784298B (zh) * 2021-09-16 2022-09-02 国科量子通信网络有限公司 基于量子密钥的北斗短报文的通信系统
CN114124369A (zh) * 2021-09-16 2022-03-01 国科量子通信网络有限公司 一种多组量子密钥协同方法及系统
CN113784298A (zh) * 2021-09-16 2021-12-10 国科量子通信网络有限公司 基于量子密钥的北斗短报文的通信系统
CN114124369B (zh) * 2021-09-16 2023-08-29 国科量子通信网络有限公司 一种多组量子密钥协同方法及系统
CN113726527A (zh) * 2021-09-28 2021-11-30 河南国科量子通信技术应用研究院 一种野外作业场景下的量子安全数据保护方法
CN115225411A (zh) * 2022-09-20 2022-10-21 龙图腾网科技(合肥)股份有限公司 保密文件传输的量子安全验证方法、系统、服务器及介质
CN115225411B (zh) * 2022-09-20 2022-11-22 龙图腾网科技(合肥)股份有限公司 保密文件传输的量子安全验证方法、系统、服务器及介质
CN116405302A (zh) * 2023-04-19 2023-07-07 合肥工业大学 一种用于车内安全通信的系统及方法
CN116405302B (zh) * 2023-04-19 2023-09-01 合肥工业大学 一种用于车内安全通信的系统及方法

Similar Documents

Publication Publication Date Title
CN110601838A (zh) 一种基于量子密钥的身份认证方法、装置及系统
CN107181599B (zh) 基于区块链的路由位置数据保密存储及共享方法
CN108173649B (zh) 一种基于量子密钥卡的消息认证方法和系统
WO2019137014A1 (zh) 基于量子密钥融合的虚拟电厂安全通信方法及装置、介质
CN108989318B (zh) 一种面向窄带物联网的轻量化安全认证及密钥交换方法
US9065642B2 (en) Intercepting key sessions
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法
CN108650028B (zh) 基于量子通信网络与真随机数的多次身份认证系统和方法
CN108809636B (zh) 基于群组型量子密钥卡实现成员间消息认证的通信系统
CN108540436B (zh) 基于量子网络实现信息加解密传输的通信系统和通信方法
CN111416715B (zh) 基于秘密共享的量子保密通信身份认证系统及方法
CN108847928B (zh) 基于群组型量子密钥卡实现信息加解密传输的通信系统和通信方法
CN108600152B (zh) 基于量子通信网络的改进型Kerberos身份认证系统和方法
CN107682152B (zh) 一种基于对称密码的群组密钥协商方法
CN113630248B (zh) 一种会话密钥协商方法
CN108632042A (zh) 一种基于对称密钥池的类aka身份认证系统和方法
CN111769937A (zh) 面向智能电网高级测量体系的两方认证密钥协商协议
CN110999202A (zh) 用于对数据进行高度安全、高速加密和传输的计算机实现的系统和方法
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
CN110868290A (zh) 一种无中心管控的密钥服务方法与装置
CN111314083A (zh) 基于秘密共享和非对称密码学的量子保密通信系统和方法
CN111740965B (zh) 一种基于物理不可克隆方程的物联网设备认证方法
CN114268441B (zh) 一种量子安全应用方法、客户端装置、服务器装置与系统
CN116055136A (zh) 一种基于秘密共享的多目标认证方法
CN115459913A (zh) 一种基于量子密钥云平台的链路透明加密方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191220

RJ01 Rejection of invention patent application after publication