CN114139136A - 基于量子密钥的便携式安全认证系统、方法及组件 - Google Patents

基于量子密钥的便携式安全认证系统、方法及组件 Download PDF

Info

Publication number
CN114139136A
CN114139136A CN202111381718.6A CN202111381718A CN114139136A CN 114139136 A CN114139136 A CN 114139136A CN 202111381718 A CN202111381718 A CN 202111381718A CN 114139136 A CN114139136 A CN 114139136A
Authority
CN
China
Prior art keywords
authentication
authentication information
key
identity
quantum key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111381718.6A
Other languages
English (en)
Inventor
王学富
李霞
周雷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Institute Of Quantum Science And Technology Co ltd
Quantumctek Co Ltd
Original Assignee
Shandong Institute Of Quantum Science And Technology Co ltd
Quantumctek Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Institute Of Quantum Science And Technology Co ltd, Quantumctek Co Ltd filed Critical Shandong Institute Of Quantum Science And Technology Co ltd
Priority to CN202111381718.6A priority Critical patent/CN114139136A/zh
Publication of CN114139136A publication Critical patent/CN114139136A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Electromagnetism (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提出了一种基于量子密钥的便携式安全认证系统和方法,以及用于该安全认证系统的移动终端、客户端及服务端,其中通过在便携式安全认证系统中引入量子密钥技术,使得在保证安全认证系统便携性的同时,还能够增强认证过程的安全性,从而避免由于便携使用中因应用环境复杂导致其安全性存在隐患的缺陷。

Description

基于量子密钥的便携式安全认证系统、方法及组件
技术领域
本发明涉及安全通信领域,尤其涉及一种基于量子密钥的便携式安全认证系统及方法,以及用于该安全认证系统中的移动终端、客户端和服务端。
背景技术
在现有安全认证体系中,一般都需要物理U盾等身份认证设备,使用U盾进行身份认证后才可以安全地登录到业务系统中。
为提升U盾等身份认证设备的随身特性,现有技术还提出在手机内置U盾等身份认证设备以用于手机自身业务的认证,或者将内置有安全认证模块的手机作为U盾,为PC等其他设备提供安全认证服务,例如图1所示。
图2示出了现有技术中的一种集成有多种安全认证的系统,其提出在智能终端中设置PKI技术模块,接收安全校验通过的用户发送的随机信息,调取与用户匹配的私钥进行数字签名,并将数字签名后的随机信息发送给服务器端。服务器端调用公钥对数字签名进行验证,由此实现用户身份的安全验证。
图3示出了现有技术中的一种安全认证装置及方法,其提出在手机等移动终端中设置网银盾或U盾,通过与电脑进行数据通信以为其提供安全认证,从而克服需要额外携带安全认证工具的缺点。
图4示出了现有技术中的一种移动终端,其中内嵌有U盾,从而克服需要额外携带安全认证工具的缺点,同时还能够为在移动终端中进行的支付行为提供安全保障。
然而,随着计算机技术的迅速发展,利用经典加密实现的身份认证过程存在被窃听和破解的风险,现有安全认证系统的安全性仍然有待提高。
发明内容
针对现有技术存在的上述问题,本发明提出了一种基于量子密钥的便携式安全认证系统和方法,以及用于实现该安全认证系统的移动终端、客户端及服务端,其中通过在便携式安全认证系统中引入量子密钥技术,使得在保证安全认证系统便携性的同时,还能够增强认证过程的安全性,从而避免由于便携使用中因应用环境复杂导致其安全性存在隐患的缺陷。
具体而言,本发明的第一方面涉及一种基于量子密钥的便携式安全认证系统,其包括客户端、移动终端及服务端;
所述客户端被设置用于向所述服务端提出安全认证申请以获取认证数据,以及向所述服务端返回身份认证信息或加密的身份认证信息以获取认证结果,其中,所述认证数据包括认证方式和认证用信息;
所述移动终端与服务端之间存储有共享量子密钥和用户认证密钥,且所述移动终端被设置用于从所述客户端获取所述认证数据,基于所述认证数据、共享量子密钥和用户认证密钥生成所述身份认证信息或加密的身份认证信息,并返回给所述客户端;
所述服务端被设置用于根据所述安全认证申请下发所述认证数据,以及基于所述认证数据、共享量子密钥和用户认证密钥,对所述客户端提供的身份认证信息进行认证,并向所述客户端反馈认证结果。
进一步地,所述移动终端还被设置成对操作者进行操作用户认证,并在操作用户认证通过后将所述用户认证密钥和/或共享量子密钥用于生成所述身份认证信息或加密的身份认证信息。可选地,移动终端可以被设置成通过输入密码、指纹识别、面部识别、声音识别、虹膜识别中的一种或多种来实现所述操作用户认证。
进一步地,所述移动终端被设置成:利用所述共享量子密钥、用户认证密钥与认证用信息生成身份认证信息;或者,利用所述共享量子密钥与认证用信息生成第一身份认证信息,并且利用所述用户认证密钥与认证用信息生成第二身份认证信息;或者,利用用户认证密钥与认证用信息生成身份认证信息,并利用所述共享量子密钥对所述身份认证信息进行加密。
进一步地,所述服务端包括量子安全服务平台和认证功能模块;
所述量子安全服务平台被设置用于从所述认证功能模块获取所述认证数据,利用所述共享量子密钥、用户认证密钥与认证用信息生成身份认证信息或分别利用所述共享量子密钥和用户认证密钥与认证用信息生成身份认证信息,或者利用所述用户认证密钥与认证用信息生成身份认证信息并利用所述共享量子密钥对所述客户端返回的加密的身份认证信息进行解密,并返回给所述认证功能模块;
所述认证功能模块被设置用于基于所述量子安全服务平台返回的身份认证信息,以及由所述客户端提供的身份认证信息,进行身份认证。
优选地,所述移动终端与客户端之间借助有线或无线的近端连接实现通信信道;以及/或者,所述认证方式包括数字签名算法或者身份认证码算法,所述认证用信息包括随机数;以及/或者,所述服务端被设置用于根据所述移动终端的量子密钥请求,以加密的方式向所述移动终端下发所述共享量子密钥;以及/或者,所述共享量子密钥以一业一密的方式进行使用;以及/或者,所述移动终端具有安全模块,用于所述共享量子密钥和用户认证密钥的存储,以及所述身份认证信息的生成和/或加解密。
本发明的第二方面涉及一种基于量子密钥的安全认证方法,其包括安全认证业务发起步骤、量子密钥获取步骤、身份认证信息生成步骤、以及安全认证步骤;
在所述安全认证业务发起步骤中,由客户端向服务端提出安全认证申请,并由服务端向所述客户端下发认证数据,其中,所述认证数据包括认证方式和认证用信息;
在所述量子密钥获取步骤中,由移动终端向所述服务端提出量子密钥请求,所述服务端响应于所述量子密钥请求向所述移动终端下发共享量子密钥;
在所述身份认证信息生成步骤中,所述移动终端从所述客户端获取所述认证数据,基于所述共享量子密钥、用户认证密钥和认证数据生成身份认证信息或加密的身份认证信息,并返回给所述客户端;
在所述安全认证步骤中,由所述服务端基于所述客户端返回的身份认证信息或加密的身份认证信息进行身份认证,并反馈认证结果。
优选地,所述身份认证信息生成步骤还包括对所述移动终端的操作者进行操作用户认证的步骤。
进一步地,在所述身份认证信息生成步骤中,利用所述共享量子密钥、用户认证密钥与认证用信息生成身份认证信息;或者,利用所述共享量子密钥与认证用信息生成第一身份认证信息,并且利用所述用户认证密钥与认证用信息生成第二身份认证信息;或者,利用用户认证密钥与认证用信息生成身份认证信息,并利用所述共享量子密钥对所述身份认证信息进行加密。
进一步地,在所述安全认证步骤中,在所述服务端中利用所述共享量子密钥、用户认证密钥和认证用信息生成身份认证信息或分别利用所述共享量子密钥和用户认证密钥与认证用信息生成身份认证信息,并与所述客户端返回的身份认证信息进行比对认证;或者,利用所述用户认证密钥和认证用信息生成身份认证信息,并利用所述共享量子密钥对所述客户端返回的加密的身份认证信息进行解密,以便进行比对认证。
可选地,借助有线或无线的近端连接来实现所述移动终端与客户端之间的数据通信;以及/或者,所述认证方式包括数字签名算法或者身份认证码算法,所述认证用信息包括随机数;以及/或者,在所述身份认证信息生成步骤中,以一业一密的方式使用所述共享量子密钥;以及/或者,借助输入密码、指纹识别、面部识别、声音识别、虹膜识别中的一种或多种来实现所述操作用户认证;以及/或者,由服务提供商对所述移动终端进行认证,并下发所述用户认证密钥。
本发明的第三方面涉及一种用于基于量子密钥的便携式安全认证系统中的移动终端,其与服务端之间存储有共享量子密钥和用户认证密钥,且被设置用于从客户端获取认证数据,基于所述认证数据、共享量子密钥和用户认证密钥生成身份认证信息或加密的身份认证信息,并返回给所述客户端;其中,
所述认证数据是所述服务端基于所述客户端提出的安全认证申请下发给所述客户端的,且包括认证方式和认证用信息。
进一步地,根据本发明的移动终端还可以被设置成对操作者进行操作用户认证,并在操作用户认证通过后将所述用户认证密钥和/或共享量子密钥用于生成所述身份认证信息或加密的身份认证信息。
可选地,所述操作用户认证通过输入密码、指纹识别、面部识别、声音识别、虹膜识别中的一种或多种来实现。
进一步地,根据本发明的移动终端还可以被设置成:利用所述共享量子密钥、用户认证密钥与认证用信息生成身份认证信息;或者,利用所述共享量子密钥与认证用信息生成第一身份认证信息,并且利用所述用户认证密钥与认证用信息生成第二身份认证信息;或者,利用用户认证密钥与认证用信息生成身份认证信息,并利用所述共享量子密钥对所述身份认证信息进行加密;以及/或者,
所述移动终端与客户端之间借助有线或无线的近端连接实现通信信道;以及/或者,
所述认证方式包括数字签名算法或者身份认证码算法,所述认证用信息包括随机数;以及/或者,
所述共享量子密钥以一业一密的方式进行使用;以及/或者,
所述移动终端具有安全模块,用于所述共享量子密钥和用户认证密钥的存储,以及所述身份认证信息的生成和/或加解密。
本发明的第四方面涉及一种用于基于量子密钥的便携式安全认证系统中的客户端,其以有线或无线的方式与移动终端形成近端连接以进行数据通信;其中,
所述客户端被设置用于向服务端提出安全认证申请以获取认证数据,将所述认证数据发送给所述移动终端并从所述移动终端接收身份认证信息或加密的身份认证信息,以及向所述服务端返回所述身份认证信息或加密的身份认证信息以获取认证结果;
所述认证数据包括认证方式和认证用信息;
所述身份认证信息或加密的身份认证信息是由所述移动终端基于所述认证数据、共享量子密钥和用户认证密钥生成的。
优选地,所述认证方式包括数字签名算法或者身份认证码算法,所述认证用信息包括随机数;以及/或者,所述共享量子密钥以一业一密的方式进行使用。
本发明的第五方面涉及一种用于基于量子密钥的便携式安全认证系统中的服务端,其与移动终端之间存储有共享量子密钥和用户认证密钥,且设置用于:
根据客户端提出的安全认证申请,向所述客户端下发认证数据;
基于所述认证数据、共享量子密钥和用户认证密钥,根据所述客户端返回的身份认证信息或加密的身份认证信息生成认证结果,并向所述客户端反馈所述认证结果;其中,
所述认证数据包括认证方式和认证用信息;
所述身份认证信息或加密的身份认证信息是由与所述客户端近端连接的所述移动终端,基于所述认证数据、共享量子密钥和用户认证密钥生成并返回所述客户端的。
进一步地,根据本发明的服务端可以包括量子安全服务平台和认证功能模块;
所述量子安全服务平台被设置用于从所述认证功能模块获取所述认证数据,利用所述共享量子密钥、用户认证密钥与认证用信息生成身份认证信息或分别利用所述共享量子密钥和用户认证密钥与认证用信息生成身份认证信息,或者利用所述用户认证密钥与认证用信息生成身份认证信息并利用所述共享量子密钥对所述客户端返回的加密的身份认证信息进行解密,并返回给所述认证功能模块;
所述认证功能模块被设置用于基于所述量子安全服务平台返回的身份认证信息,以及由所述客户端提供的身份认证信息,进行身份认证。
优选地,所述认证方式包括数字签名算法或者身份认证码算法,所述认证用信息包括随机数;以及/或者,所述服务端被设置用于根据所述移动终端的量子密钥请求,以加密的方式向所述移动终端下发所述共享量子密钥;以及/或者,所述共享量子密钥以一业一密的方式进行使用。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的说明。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需使用的附图作简单地介绍,显而易见,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图来获得其他的附图。
图1示出了现有技术中基于手机实现身份安全认证的方案;
图2示出了现有技术中的一种集成有多种安全认证的系统;
图3示出了现有技术中的一种安全认证装置及方法;
图4示出了现有技术中的一种内嵌有U盾的移动终端;
图5示出了根据本发明的基于量子密钥的便携式安全认证系统和方法,以及用于该安全认证系统的移动终端、客户端和服务端。
具体实施方式
在下文中,本发明的示例性实施例将参照附图来详细描述。下面的实施例以举例的方式提供,以便充分传达本发明的精神给本发明所属领域的技术人员。因此,本发明不限于本文公开的实施例。
图5示出了根据本发明的基于量子密钥的便携式安全认证系统及方法,以及用于该安全认证系统的移动终端、客户端和服务端。
如图5所示,基于量子密钥的便携式安全认证系统可以包括客户端、移动终端及服务端。
客户端可以例如为PC、笔记本等形式,用于向服务端提出安全认证申请以启动安全认证业务,以及向服务端提交身份认证信息以获取认证结果。
认证数据可以包括认证方式(认证算法)和认证用信息。
作为示例,认证方式可以包括数字签名算法或者身份认证码算法,认证用信息可以包括随机数。
移动终端可以借助近端连接与客户端形成通信信道,以便能够从客户端中获取认证数据,基于认证数据生成身份认证信息,并将该身份认证信息返回给客户端。
其中,移动终端可以为手机(例如图5所示的量子安全手机)或平板电脑等形式。
近端连接可以为有线或无线的方式,例如USB、蓝牙、WiFi或红外等方式。
移动终端中存储有用户认证密钥,用于身份认证信息的生成。
作为示例,移动终端可以具有安全模块,其中,该安全模块需要经服务提供商(例如银行)认可,并由服务提供商将用户认证密钥写入其中。例如,移动终端的安全模块可以包含安全SIM卡、安全TF卡、eSE安全芯片中的至少一个。
在本发明的安全认证系统中,还可以在移动终端和服务端中存储共享量子密钥,以用于身份认证信息的生成和/或保护(即加密)。
作为示例,共享量子密钥可以分别存储在移动终端的安全模块,以及服务端的量子安全服务平台中。
在一个具体实施例中,移动终端中的共享量子密钥可以由服务端基于移动终端提出的量子密钥请求下发获得。其中,移动终端可以优选在开展该安全认证业务时提出量子密钥请求,且根据该量子密钥请求获得的共享量子密钥仅用于本次安全认证业务,实现所谓“一业一密”的要求。
优选地,共享量子密钥在服务端与移动终端之间的传输可以以加密的方式实现。例如,服务端和移动终端中可以预存有共享加密密钥,以便服务端能够利用共享加密密钥对共享量子密钥进行加密,以生成加密的共享量子密钥数据,用于下发给移动终端;同时,移动终端能够利用相同的共享加密密钥对加密的共享量子密钥数据进行解密,以获得共享量子密钥。
因此,在移动终端的安全模块中,可以将共享量子密钥用于生成身份认证信息和/或加密的身份认证信息。
在一种具体实施例中,移动终端的安全模块可以直接将共享量子密钥用于生成身份认证信息。例如,可以基于认证方式(认证算法)利用共享量子密钥、用户认证密钥和认证用信息生成身份认证信息,例如数字签名或身份认证码。或者,可以基于认证方式(认证算法)利用共享量子密钥和认证用信息生成第一身份认证信息,同时还利用用户认证密钥和认证用信息生成第二身份认证信息。
在另一具体实施例中,移动终端的安全模块可以将共享量子密钥用于生成加密的身份认证信息,为身份认证信息提供保护。例如,可以基于认证方式(认证算法),首先利用用户认证密钥和认证用信息生成身份认证信息,再利用共享量子密钥对身份认证信息进行加密,以便能够以加密的方式将身份认证信息上传给服务端。
由此,借助量子密钥的高度安全性,可以有效改善安全认证过程的安全性。
为保证密钥的安全使用,移动终端还可以对其操作者进行操作用户认证,并在操作用户认证通过后将与该操作用户对应的用户认证密钥和/或共享量子密钥用于生成身份认证信息或加密的身份认证信息。
作为示例,移动终端可以通过输入密码、指纹识别、面部识别、声音识别、虹膜识别等方式来实现操作用户认证。
在图5所示的具体实施例中,服务端可以包括量子安全服务平台、认证功能模块及业务功能模块。
量子安全服务平台用于根据量子密钥请求下发共享量子密钥,以及基于认证数据生成身份认证信息。
认证功能模块用于基于量子安全服务平台生成的身份认证信息,对客户端返回的身份认证信息进行认证,并反馈认证结果。
在一种具体实施例中,量子安全服务平台可以从认证功能模块中获取认证数据,基于所协商的认证方式(认证算法),利用共享量子密钥、用户认证密钥与认证用信息生成身份认证信息,或者分别利用共享量子密钥和用户认证密钥与认证用信息生成身份认证信息,并将该身份认证信息返回给认证功能模块。认证功能模块将由量子安全服务平台以相同方式生成的身份认证信息与客户端返回的身份认证信息进行比对,并在比对一致时反馈身份认证通过的认证结果,否则反馈身份认证不通过的认证结果,从而完成本次安全认证业务。
在另一种具体实施例中,量子安全服务平台可以从认证功能模块中获取认证数据,基于所协商的认证方式(认证算法),利用用户认证密钥和认证用信息生成身份认证信息并返回给认证功能模块,同时利用共享量子密钥将客户端返回的加密的身份认证信息进行解密并返回给认证功能模块,以便认证功能模块进行比对认证。
进一步地,客户端还可以对服务端进行安全认证,从而实现双向的安全认证。
业务功能模块用于在双向安全认证通过之后,与客户端直接开展双向业务通信。
由此可见,在本发明的安全认证系统中,可以通过在服务端中设置量子安全服务平台,在安全认证业务中向移动终端下发共享量子密钥,使得移动终端能够在例如U盾等安全模块中,基于从客户端获取的认证数据生成身份认证信息时,将量子密钥用于身份认证信息的生成和保护,由此凭借量子密钥的高度安全性,保证身份认证信息的安全性,进而确保安全认证业务的安全性和可靠性。
为进一步理解本发明的工作原理,下面将继续参见图5说明根据本发明的安全认证方法。
本发明的安全认证方法可以包括安全认证业务发起步骤、量子密钥获取步骤、身份认证信息生成步骤、以及安全认证步骤。
在安全认证业务发起步骤中,可以由客户端向服务端提出安全认证申请(例如图5中的
Figure DEST_PATH_IMAGE001
),并由服务端向客户端下发认证数据(例如图5中的
Figure 328366DEST_PATH_IMAGE002
)。
在量子密钥获取步骤中,可以由移动终端向服务端提出量子密钥请求(例如图5中的(1)),并由服务端响应于该量子密钥请求,向移动终端下发共享量子密钥(例如图5中的(2))。因此,共享量子密钥将分别存储于服务端的量子安全服务平台和移动终端的安全模块中。
优选地,共享量子密钥将以加密的方式下发给移动终端。在一种具体实施例中,服务端(量子安全服务平台)和移动终端(安全模块)可以预存有共享加密密钥,以便服务端可以利用共享加密密钥对共享量子密钥进行加密,以生成加密的共享量子密钥数据,并将其下发给移动终端;移动终端则可以利用共享加密密钥对加密的共享量子密钥数据进行解密,从而获得共享量子密钥,由此实现共享量子密钥的下发过程。
在身份认证信息生成步骤中,可以由移动终端从客户端中获取认证数据(例如图5中的
Figure DEST_PATH_IMAGE003
),基于共享量子密钥、用户认证密钥和认证数据生成身份认证信息或加密的身份认证信息,并返回给客户端(例如图5中的
Figure 776664DEST_PATH_IMAGE004
)。
在本发明中,移动终端与客户端之间的通信信道可以借助有线或无线的近端连接来实现,例如USB、蓝牙、WiFi或红外等方式。
在一种具体实施例中,移动终端可以将共享量子密钥直接用于身份认证信息的生成,其中:可以根据认证算法利用共享量子密钥、用户认证密钥与认证用信息生成身份认证信息;或者,可以根据认证算法利用共享量子密钥与认证用信息生成第一身份认证信息,同时还根据认证算法利用用户认证密钥与认证用信息生成第二身份认证信息。
在另一具体实施例中,移动终端可以将共享量子密钥用于身份认证信息的保护。例如,移动终端可以根据认证算法利用用户认证密钥与认证用信息生成身份认证信息,再利用共享量子密钥对身份认证信息进行加密。
优选地,共享量子密钥仅用于本次安全认证业务。
优选地,身份认证信息生成步骤还可以包括对移动终端的操作者进行操作用户认证的步骤,以保证用户认证密钥和/或共享量子密钥的安全使用。例如,可以通过输入密码、指纹识别、面部识别、声音识别、虹膜识别等方式来实现操作用户认证,并在操作用户认证通过后允许将相应的用户认证密钥和/或共享量子密钥用于身份认证信息的生成和保护。
在安全认证步骤中,可以由客户端向服务端上传身份认证信息(例如图5中的
Figure DEST_PATH_IMAGE005
),服务端对该身份认证信息进行认证并向客户端反馈认证结果(例如图5中的
Figure 415456DEST_PATH_IMAGE006
)。
在一种具体实施例中,服务端可以同样利用共享量子密钥、用户认证密钥与认证用信息生成身份认证信息或者分别利用共享量子密钥和用户认证密钥与认证用信息生成身份认证信息,将其与客户端提供的身份认证信息进行比对,并在比对一致时反馈身份认证通过的认证结果,否则反馈身份认证不通过的认证结果,从而完成本次安全认证业务。
例如,可以由量子安全服务平台从认证功能模块中获取认证数据(例如图5中的(3)),利用共享量子密钥、用户认证密钥和认证用信息生成身份认证信息或者分别利用共享量子密钥和用户认证密钥与认证用信息生成身份认证信息,并将该身份认证信息返回给认证功能模块(例如图5中的(4))。随后,可以由认证功能模块将由量子安全服务平台生成的身份认证信息与客户端提供的身份认证信息进行比对,并在比对一致时反馈身份认证通过的认证结果,否则反馈身份认证不通过的认证结果,从而完成本次安全认证业务。
在另一种具体实施例中,服务端可以同样利用用户认证密钥和认证用信息生成身份认证信息,同时将客户端返回的加密的身份认证信息进行解密,以便进行比对并返回认证结果。
例如,量子安全服务平台可以从认证功能模块中获取认证数据,基于所协商的认证方式(认证算法),利用用户认证密钥和认证用信息生成身份认证信息并返回给认证功能模块,同时利用共享量子密钥将客户端返回的加密的身份认证信息进行解密并返回给认证功能模块,以便进行比对认证。
进一步地,本发明的安全认证方法还可以包括对服务端进行安全认证的步骤,以便在完成双向安全认证之后,能够与客户端直接开展双向业务通信,例如图5中的
Figure DEST_PATH_IMAGE007
尽管前面结合附图通过具体实施例对本发明进行了说明,但是,本领域技术人员容易认识到,上述实施例仅仅是示例性的,用于说明本发明的原理,其并不会对本发明的范围造成限制,本领域技术人员可以对上述实施例进行各种组合、修改和等同替换,而不脱离本发明的精神和范围。

Claims (20)

1.一种基于量子密钥的便携式安全认证系统,其包括客户端、移动终端及服务端;
所述客户端被设置用于向所述服务端提出安全认证申请以获取认证数据,以及向所述服务端返回身份认证信息或加密的身份认证信息以获取认证结果,其中,所述认证数据包括认证方式和认证用信息;
所述移动终端与服务端之间存储有共享量子密钥和用户认证密钥,且所述移动终端被设置用于从所述客户端获取所述认证数据,基于所述认证数据、共享量子密钥和用户认证密钥生成所述身份认证信息或加密的身份认证信息,并返回给所述客户端;
所述服务端被设置用于根据所述安全认证申请下发所述认证数据,以及基于所述认证数据、共享量子密钥和用户认证密钥,对所述客户端提供的身份认证信息进行认证,并向所述客户端反馈认证结果。
2.如权利要求1所述的便携式安全认证系统,其中,所述移动终端还被设置成对操作者进行操作用户认证,并在操作用户认证通过后将所述用户认证密钥和/或共享量子密钥用于生成所述身份认证信息或加密的身份认证信息。
3.如权利要求2所述的便携式安全认证系统,其中,所述移动终端被设置成通过输入密码、指纹识别、面部识别、声音识别、虹膜识别中的一种或多种来实现所述操作用户认证。
4.如权利要求1所述的便携式安全认证系统,其中,所述移动终端被设置成:
利用所述共享量子密钥、用户认证密钥与认证用信息生成身份认证信息;或者,
利用所述共享量子密钥与认证用信息生成第一身份认证信息,并且利用所述用户认证密钥与认证用信息生成第二身份认证信息;或者,
利用用户认证密钥与认证用信息生成身份认证信息,并利用所述共享量子密钥对所述身份认证信息进行加密。
5.如权利要求1所述的便携式安全认证系统,其中,所述服务端包括量子安全服务平台和认证功能模块;
所述量子安全服务平台被设置用于从所述认证功能模块获取所述认证数据,利用所述共享量子密钥、用户认证密钥与认证用信息生成身份认证信息或分别利用所述共享量子密钥和用户认证密钥与认证用信息生成身份认证信息,或者利用所述用户认证密钥与认证用信息生成身份认证信息并利用所述共享量子密钥对所述客户端返回的加密的身份认证信息进行解密,并返回给所述认证功能模块;
所述认证功能模块被设置用于基于所述量子安全服务平台返回的身份认证信息,以及由所述客户端提供的身份认证信息,进行身份认证。
6.如权利要求1-5中任一项所述的便携式安全认证系统,其中:
所述移动终端与客户端之间借助有线或无线的近端连接实现通信信道;以及/或者,
所述认证方式包括数字签名算法或者身份认证码算法,所述认证用信息包括随机数;以及/或者,
所述服务端被设置用于根据所述移动终端的量子密钥请求,以加密的方式向所述移动终端下发所述共享量子密钥;以及/或者,
所述共享量子密钥以一业一密的方式进行使用;以及/或者,
所述移动终端具有安全模块,用于所述共享量子密钥和用户认证密钥的存储,以及所述身份认证信息的生成和/或加解密。
7.一种基于量子密钥的安全认证方法,其包括安全认证业务发起步骤、量子密钥获取步骤、身份认证信息生成步骤、以及安全认证步骤;
在所述安全认证业务发起步骤中,由客户端向服务端提出安全认证申请,并由服务端向所述客户端下发认证数据,其中,所述认证数据包括认证方式和认证用信息;
在所述量子密钥获取步骤中,由移动终端向所述服务端提出量子密钥请求,所述服务端响应于所述量子密钥请求向所述移动终端下发共享量子密钥;
在所述身份认证信息生成步骤中,所述移动终端从所述客户端获取所述认证数据,基于所述共享量子密钥、用户认证密钥和认证数据生成身份认证信息或加密的身份认证信息,并返回给所述客户端;
在所述安全认证步骤中,由所述服务端基于所述客户端返回的身份认证信息或加密的身份认证信息进行身份认证,并反馈认证结果。
8.如权利要求7所述的安全认证方法,其中,所述身份认证信息生成步骤还包括对所述移动终端的操作者进行操作用户认证的步骤。
9.如权利要求7所述的安全认证方法,其中,在所述身份认证信息生成步骤中,利用所述共享量子密钥、用户认证密钥与认证用信息生成身份认证信息;或者,利用所述共享量子密钥与认证用信息生成第一身份认证信息,并且利用所述用户认证密钥与认证用信息生成第二身份认证信息;或者,利用用户认证密钥与认证用信息生成身份认证信息,并利用所述共享量子密钥对所述身份认证信息进行加密。
10.如权利要求7所述的安全认证方法,其中,在所述安全认证步骤中,在所述服务端中利用所述共享量子密钥、用户认证密钥与认证用信息生成身份认证信息或分别利用所述共享量子密钥和用户认证密钥与认证用信息生成身份认证信息,并与所述客户端返回的身份认证信息进行比对认证;或者,利用所述用户认证密钥和认证用信息生成身份认证信息,并利用所述共享量子密钥对所述客户端返回的加密的身份认证信息进行解密,以便进行比对认证。
11.如权利要求8所述的安全认证方法,其中:
借助有线或无线的近端连接来实现所述移动终端与客户端之间的数据通信;以及/或者,
所述认证方式包括数字签名算法或者身份认证码算法,所述认证用信息包括随机数;以及/或者,
在所述身份认证信息生成步骤中,以一业一密的方式使用所述共享量子密钥;以及/或者,
借助输入密码、指纹识别、面部识别、声音识别、虹膜识别中的一种或多种来实现所述操作用户认证;以及/或者,
由服务提供商对所述移动终端进行认证,并下发所述用户认证密钥。
12.一种用于基于量子密钥的便携式安全认证系统中的移动终端,其与服务端之间存储有共享量子密钥和用户认证密钥,且被设置用于从客户端获取认证数据,基于所述认证数据、共享量子密钥和用户认证密钥生成身份认证信息或加密的身份认证信息,并返回给所述客户端;其中,
所述认证数据是所述服务端基于所述客户端提出的安全认证申请下发给所述客户端的,且包括认证方式和认证用信息。
13.如权利要求12所述的移动终端,其还被设置成对操作者进行操作用户认证,并在操作用户认证通过后将所述用户认证密钥和/或共享量子密钥用于生成所述身份认证信息或加密的身份认证信息。
14.如权利要求13所述的移动终端,其中,所述操作用户认证通过输入密码、指纹识别、面部识别、声音识别、虹膜识别中的一种或多种来实现。
15.如权利要求12所述的移动终端,其中:
所述移动终端被设置成:利用所述共享量子密钥、用户认证密钥与认证用信息生成身份认证信息;或者,利用所述共享量子密钥与认证用信息生成第一身份认证信息,并且利用所述用户认证密钥与认证用信息生成第二身份认证信息;或者,利用用户认证密钥与认证用信息生成身份认证信息,并利用所述共享量子密钥对所述身份认证信息进行加密;以及/或者,
所述移动终端与客户端之间借助有线或无线的近端连接实现通信信道;以及/或者,
所述认证方式包括数字签名算法或者身份认证码算法,所述认证用信息包括随机数;以及/或者,
所述共享量子密钥以一业一密的方式进行使用;以及/或者,
所述移动终端具有安全模块,用于所述共享量子密钥和用户认证密钥的存储,以及所述身份认证信息的生成和/或加解密。
16.一种用于基于量子密钥的便携式安全认证系统中的客户端,其以有线或无线的方式与移动终端形成近端连接以进行数据通信;其中,
所述客户端被设置用于向服务端提出安全认证申请以获取认证数据,将所述认证数据发送给所述移动终端并从所述移动终端接收身份认证信息或加密的身份认证信息,以及向所述服务端返回所述身份认证信息或加密的身份认证信息以获取认证结果;
所述认证数据包括认证方式和认证用信息;
所述身份认证信息或加密的身份认证信息是由所述移动终端基于所述认证数据、共享量子密钥和用户认证密钥生成的。
17.如权利要求16所述的客户端,其中:
所述认证方式包括数字签名算法或者身份认证码算法,所述认证用信息包括随机数;以及/或者,
所述共享量子密钥以一业一密的方式进行使用。
18.一种用于基于量子密钥的便携式安全认证系统中的服务端,其与移动终端之间存储有共享量子密钥和用户认证密钥,且设置用于:
根据客户端提出的安全认证申请,向所述客户端下发认证数据;
基于所述认证数据、共享量子密钥和用户认证密钥,根据所述客户端返回的身份认证信息或加密的身份认证信息生成认证结果,并向所述客户端反馈所述认证结果;其中,
所述认证数据包括认证方式和认证用信息;
所述身份认证信息或加密的身份认证信息是由与所述客户端近端连接的所述移动终端,基于所述认证数据、共享量子密钥和用户认证密钥生成并返回所述客户端的。
19.如权利要求18所述的服务端,其包括量子安全服务平台和认证功能模块;
所述量子安全服务平台被设置用于从所述认证功能模块获取所述认证数据,利用所述共享量子密钥、用户认证密钥与认证用信息生成身份认证信息或分别利用所述共享量子密钥和用户认证密钥与认证用信息生成身份认证信息,或者利用所述用户认证密钥与认证用信息生成身份认证信息并利用所述共享量子密钥对所述客户端返回的加密的身份认证信息进行解密,并返回给所述认证功能模块;
所述认证功能模块被设置用于基于所述量子安全服务平台返回的身份认证信息,以及由所述客户端提供的身份认证信息,进行身份认证。
20.如权利要求18或19所述的服务端,其中:
所述认证方式包括数字签名算法或者身份认证码算法,所述认证用信息包括随机数;以及/或者,
所述服务端被设置用于根据所述移动终端的量子密钥请求,以加密的方式向所述移动终端下发所述共享量子密钥;以及/或者,
所述共享量子密钥以一业一密的方式进行使用。
CN202111381718.6A 2021-11-22 2021-11-22 基于量子密钥的便携式安全认证系统、方法及组件 Pending CN114139136A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111381718.6A CN114139136A (zh) 2021-11-22 2021-11-22 基于量子密钥的便携式安全认证系统、方法及组件

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111381718.6A CN114139136A (zh) 2021-11-22 2021-11-22 基于量子密钥的便携式安全认证系统、方法及组件

Publications (1)

Publication Number Publication Date
CN114139136A true CN114139136A (zh) 2022-03-04

Family

ID=80390885

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111381718.6A Pending CN114139136A (zh) 2021-11-22 2021-11-22 基于量子密钥的便携式安全认证系统、方法及组件

Country Status (1)

Country Link
CN (1) CN114139136A (zh)

Similar Documents

Publication Publication Date Title
CN111614637B (zh) 一种基于软件密码模块的安全通信方法及系统
US9741033B2 (en) System and method for point of sale payment data credentials management using out-of-band authentication
US4799061A (en) Secure component authentication system
CN103152366B (zh) 获得终端权限的方法、终端及服务器
CN101483654A (zh) 实现认证及数据安全传输的方法及系统
CN105427099A (zh) 安全电子交易的网络认证方法
CN110278180B (zh) 金融信息的交互方法、装置、设备及存储介质
CN101334884A (zh) 提高转账安全性的方法和系统
WO2008095346A1 (fr) Procédé et outil de signature électronique
EP3702991A1 (en) Mobile payments using multiple cryptographic protocols
CN113242238B (zh) 安全通信方法、装置及系统
US10474804B2 (en) Login mechanism for operating system
CN102710611A (zh) 网络安全身份认证方法和系统
CN112232814A (zh) 支付密钥的加密和解密方法、支付认证方法及终端设备
CN101819614A (zh) 利用语音核验USBKey增强网络交易安全性的系统和方法
CN108401494B (zh) 一种传输数据的方法及系统
CN110620763A (zh) 一种基于移动端app的移动身份认证方法及系统
US20100005519A1 (en) System and method for authenticating one-time virtual secret information
JP6723422B1 (ja) 認証システム
CN116132986A (zh) 一种数据传输方法、电子设备及存储介质
US10771970B2 (en) Method of authenticating communication of an authentication device and at least one authentication server using local factor
CN114139136A (zh) 基于量子密钥的便携式安全认证系统、方法及组件
CN101933315A (zh) 可对抗木马程式采用用完即弃一次性密钥的加密认证键盘
CN108352990B (zh) 一种传输数据的方法及系统
WO2011060739A1 (zh) 一种安全系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination