CN114362967A - 认证方法、装置及存储介质 - Google Patents
认证方法、装置及存储介质 Download PDFInfo
- Publication number
- CN114362967A CN114362967A CN202210221573.1A CN202210221573A CN114362967A CN 114362967 A CN114362967 A CN 114362967A CN 202210221573 A CN202210221573 A CN 202210221573A CN 114362967 A CN114362967 A CN 114362967A
- Authority
- CN
- China
- Prior art keywords
- quantum
- authentication
- authentication server
- authenticated party
- shared
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种认证方法、装置及存储介质,其中,所述方法包括:被认证方向量子认证服务器发送认证请求,量子认证服务器在接收到认证请求后根据预存的第一共享量子密钥生成第一加密信息,并将第一加密信息发送回所述被认证方,被认证方在通过预存的第一共享量子密钥解密第一加密信息后,根据由第一加密信息解密出的信息以及预存的第二共享量子密钥生成第二加密信息,并将第二加密信息发送至量子认证服务器,量子认证服务器根据预存的第二共享量子密钥解密第二加密信息并基于解密出的信息完成被认证方的身份验证。在本发明所公开的技术方案中,通过预存的共享量子密钥对交互信息进行加密以及解密,由此显著提高了信息交互的安全性。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种认证方法、装置及存储介质。
背景技术
5G网络将更多地为垂直行业提供服务,而垂直行业对5G网络提出了更多需求,如需要通过5G新增地网络切片特性来为垂直行业提供定制化地服务,包括特定的业务提供数据通道建立前的认证机制。5G提供了基于EAP(Extensible Authentication Protocol,可扩展身份验证协议)统一承载的二次认证通道,3GPP(The 3rd Generation PartnershipProject)定义了基于EAP的认证协议,包括如EAP-TLS(Transport Layer Security,安全传输层协议)、EAP-MD5(Message Digest5,消息摘要认证协议)、EAP-LEAP(LightweightExtensible Authentication Protocol,轻量级可扩展身份认证协议)等协议。
目前常用的5G二次认证协议有EAP-TLS,这一协议的二次认证过程中,是由终端和认证服务器之间通过交换数字证书实现用户和服务器之间的相互认证,采用的是私钥以及公钥这种非对称密钥对交互信息进行加密以及解密,这一过程抗量子计算的能力较差,存在较大的信息安全隐患。
发明内容
本发明提供一种认证方法、装置及存储介质,旨在提供一种抗量子计算能力较高的认证方法,从而提高认证过程中信息交互的安全性,具体方案如下:
本发明一方面提供认证方法,所述方法包括:被认证方向量子认证服务器发送认证请求;所述量子认证服务器在接收到所述认证请求后根据预存的第一共享量子密钥生成第一加密信息,并将所述第一加密信息发送回所述被认证方;所述被认证方在通过预存的所述第一共享量子密钥解密所述第一加密信息后,根据由所述第一加密信息解密出的信息以及预存的第二共享量子密钥生成第二加密信息,并将所述第二加密信息发送至所述量子认证服务器;所述量子认证服务器根据预存的所述第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证。
在一个实施方式中,所述方法还包括:在向所述量子认证服务器发送所述认证请求之前,所述被认证方先完成针对目标网络的入网主认证。
在一个实施方式中,所述方法还包括:所述量子认证服务器在根据预存的所述第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证后,根据预存的第三共享量子密钥生成第三加密信息,并将所述第三加密信息发送回所述被认证方;所述被认证方在根据预存的所述第三共享量子密钥对所述第三加密信息解密并基于解密出的信息完成针对所述量子认证服务器的身份验证后,根据预存的第四共享量子密钥生成包含量子认证服务器身份验证结果的第四加密信息,并将所述第四加密信息发送至所述量子认证服务器;所述量子认证服务器在根据预存的所述第四共享量子密钥解密所述第四加密信息并获取所述量子认证服务器身份验证结果后,根据所述量子认证服务器身份验证结果生成认证结果。
在一个实施方式中,所述方法还包括:所述量子认证服务器在根据预存的所述第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证后,根据所述身份验证结果生成认证结果。
在一个实施方式中,所述认证请求包括被认证方标识符,并且所述量子认证服务器在接收到所述认证请求后根据预存的第一共享量子密钥生成第一加密信息包括:所述量子认证服务器从量子随机数发生器获取量子随机数作为原始服务器挑战码;所述量子认证服务器根据所述认证请求中携载的被认证方标识符确定所述第一共享量子密钥;所述量子认证服务器根据所述第一共享量子密钥加密所述原始服务器挑战码以及所述量子认证服务器的服务器标识符以生成所述第一加密信息。
在一个实施方式中,所述被认证方通过预存的所述第一共享量子密钥解密所述第一加密信息包括:所述被认证方根据所述第一共享量子密钥解密所述第一加密信息以得到一次解密的服务器挑战码,并生成原始被认证方挑战码;所述被认证方根据所述第二共享量子密钥生成所述第二加密信息包括:所述被认证方根据所述第二共享量子密钥加密所述一次解密的服务器挑战码,所述原始被认证方挑战码以及所述被认证方标识符以生成所述第二加密信息。
在一个实施方式中,所述量子认证服务器根据预存的所述第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证包括:所述量子认证服务器根据所述第二共享量子密钥解密所述第二加密信息后得到二次解密的服务器挑战码,一次解密的被认证方挑战码以及一次解密的被认证方标识符;所述量子认证服务器检测所述一次解密的被认证方标识符的合法性;若所述一次解密的被认证方标识符合法,则所述量子认证服务器判断所述二次解密的服务器挑战码与所述原始服务器挑战码是否一致;若一致,则所述量子认证服务器完成所述被认证方的身份验证。
在一个实施方式中,所述量子认证服务器根据预存的第三共享量子密钥生成所述第三加密信息包括:所述量子认证服务器根据所述第三共享量子密钥加密所述一次解密的被认证方挑战码以生成所述第三加密信息。
在一个实施方式中,所述被认证方在根据预存的所述第三共享量子密钥对所述第三加密信息解密并基于解密出的信息完成针对所述量子认证服务器的身份验证包括:所述被认证方根据所述第三共享量子密钥对所述第三加密信息解密以得到二次解密的被认证方挑战码;所述被认证方判断所述二次解密的被认证方挑战码与所述原始被认证方挑战码是否一致;若一致,则所述被认证方完成针对所述量子认证服务器的身份验证。
在一个实施方式中,所述方法还包括:在所述量子认证服务器根据所述量子认证服务器身份验证结果生成认证结果之后,所述量子认证服务器根据预存的第五共享量子密钥生成包含所述认证结果的第五加密信息,并将所述第五加密信息发送至所述被认证方;所述被认证方根据预存的所述第五共享量子密钥解密所述第五加密信息,以得到所述认证结果。
在一个实施方式中,所述方法还包括:在所述量子认证服务器在接收到所述认证请求后根据预存的第一共享量子密钥生成第一加密信息之前,所述量子认证服务器根据所述认证请求所携载的被认证方标识符验证所述被认证方是否是所述量子认证服务器发行的设备;若是,则所述量子认证服务器随后根据所述第一共享量子密钥生成所述第一加密信息。
在一个实施方式中,所述方法还包括:在所述被认证方向所述量子认证服务器发送所述认证请求之前,与所述被认证方连接的量子密钥站点向量子密钥分发节点发送量子密钥分发请求,以触发所述量子密钥分发节点分别将认证所需的全部共享量子密钥分发给所述量子认证服务器以及所述量子密钥站点;在所述量子密钥站点以及所述量子认证服务器分别获得认证所需的全部共享量子密钥之后,所述量子密钥站点向所述量子认证服务器发起量子密钥一致性校验请求;在所述量子认证服务器检验通过后,所述量子密钥站点将认证所需的全部共享量子密钥注入至所述被认证方。
在一个实施方式中,所述方法还包括:在所述被认证方向所述量子认证服务器发送所述认证请求之前,与所述被认证方连接的量子密钥站点向所述量子认证服务器发起量子密钥分发请求;在接收到所述量子密钥分发请求后,所述量子认证服务器从所述量子随机数发生器获取认证所需的全部共享量子密钥并将全部所述共享量子密钥发送至所述量子密钥站点;所述量子密钥站点将认证所需的全部共享量子密钥注入至所述被认证方。
在一个实施方式中,所述方法还包括:在与所述被认证方连接的量子密钥站点向所述量子认证服务器发起量子密钥分发请求之前,所述被认证方向所述量子认证服务器发送设备接入请求;所述量子认证服务器根据所述被认证方的被认证方标识符生成设备密钥并将所述被认证方标识符以及所述设备密钥发送至所述被认证方;所述被认证方向所述量子认证服务器发送包括所述被认证方标识符以及所述设备密钥的设备认证请求,以使所述量子认证服务器根据所述设备认证请求对所述被认证方进行设备认证;若认证通过,则所述量子密钥站点随后向所述量子认证服务器发送所述量子密钥分发请求。
在一个实施方式中,被认证方是5G通信系统中的用户设备,被认证方与量子认证服务器之间的全部交互信息通过第三方服务器转发。
本发明另一方面提供一种认证方法,应用于被认证方,所述方法包括:向量子认证服务器发送认证请求;在接收到所述量子认证服务器发送回的第一加密信息后,通过预存的第一共享量子密钥解密所述第一加密信息;根据由所述第一加密信息解密出的信息以及预存的第二共享量子密钥生成第二加密信息,并将所述第二加密信息发送至所述量子认证服务器以触发所述量子认证服务器完成所述被认证方的身份验证;在接收到所述量子认证服务器反馈的第三加密信息后,根据预存的第三共享量子密钥对所述第三加密信息解密并基于解密出的信息完成针对所述量子认证服务器的身份验证;根据预存的第四共享量子密钥生成包含量子认证服务器身份验证结果的第四加密信息,并将所述第四加密信息发送至所述量子认证服务器,以触发所述量子认证服务器根据所述量子认证服务器身份验证结果生成认证结果。
本发明另一方面提供一种认证方法,应用于量子认证服务器,所述方法包括:在接收到来自被认证方的认证请求后,基于所述认证请求并根据预存的第一共享量子密钥生成第一加密信息,并将所述第一加密信息发送回所述被认证方;在接收到来自所述被认证方的第二加密信息后,根据预存的第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证;根据预存的第三共享量子密钥生成第三加密信息,并将所述第三加密信息发送回所述被认证方,以触发所述被认证方生成包含针对所述量子认证服务器的身份验证结果的第四加密信息;在接收到来自所述被认证方的所述第四加密信息后,根据预存的第四共享量子密钥解密所述第四加密信息并获取所述量子认证服务器身份验证结果;根据所述量子认证服务器身份验证结果生成认证结果。
本发明另一方面提供一种认证装置,应用于被认证方,所述装置包括:认证请求发送模块,用于向量子认证服务器发送认证请求;第一加密信息解密模块,用于在接收到所述量子认证服务器发送回的第一加密信息后,通过预存的第一共享量子密钥解密所述第一加密信息;第二加密信息生成模块,用于根据由所述第一加密信息解密出的信息以及预存的第二共享量子密钥生成第二加密信息,并将所述第二加密信息发送至所述量子认证服务器以触发所述量子认证服务器完成所述被认证方的身份验证;第三加密信息解密模块,用于在接收到所述量子认证服务器反馈的第三加密信息后,根据预存的第三共享量子密钥对所述第三加密信息解密并基于解密出的信息完成针对所述量子认证服务器的身份验证;第四加密信息生成模块,用于根据预存的第四共享量子密钥生成包含量子认证服务器身份验证结果的第四加密信息,并将所述第四加密信息发送至所述量子认证服务器,以触发所述量子认证服务器根据所述量子认证服务器身份验证结果生成认证结果。
本发明另一方面提供一种认证装置,应用于量子认证服务器,所述装置包括:
第一加密信息生成模块,用于在接收到来自被认证方的认证请求后,基于所述认证请求并根据预存的第一共享量子密钥生成第一加密信息,并将所述第一加密信息发送回所述被认证方;
第二加密信息解密模块,用于在接收到来自所述被认证方的第二加密信息后,根据预存的第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证;
第三加密信息生成模块,用于根据预存的第三共享量子密钥生成第三加密信息,并将所述第三加密信息发送回所述被认证方,以触发所述被认证方生成包含针对所述量子认证服务器的身份验证结果的第四加密信息;
第四加密信息解密模块,用于在接收到来自所述被认证方的所述第四加密信息后,根据预存的第四共享量子密钥解密所述第四加密信息并获取所述量子认证服务器身份验证结果;
认证结果生成模块,用于根据所述量子认证服务器身份验证结果生成认证结果。
本发明另一方面提供一种存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行如前所述的方法。
通过本发明的技术方案,采用量子认证服务器对被认证进行认证,在认证的过程中被认证方与量子认证服务器之间通过预存的共享量子密钥对交互信息进行加密以及解密,当本发明中的认证方法应用于用户终端的二次认证时,采用这种对称密钥体系,具有较高的抗量子计算能力,由此显著提高了信息交互的安全性。进一步地,在认证过程中,被认证方与量子认证服务器均需完成对方的身份验证,从而提高了认证过程的可靠性。更进一步地,在认证之前,被认证方与量子认证服务器均需要进行共享量子密钥的充注,从而使得被认证与量子认证服务器的共享量子密钥具有一致性。
附图说明
下面结合附图,通过对本发明的具体实施方式详细描述,将使本发明的技术方案及其它有益效果显而易见。
图1为本发明一个实施方式中的认证方法的流程图;
图2为本发明一个实施方式中量子认证服务器对被认证方身份验证的交互图;
图3为本发明一个实施方式中量子认证服务器生成认证结果的交互图;
图4为本发明一个实施方式中采用共享量子密钥进行加密以及解密过程的示意图;
图5为本发明一个实施方式中被认证方获得认证结果的交互图;
图6为本发明一个实施方式中采用QKD方式进行量子密钥充注过程的示意图;
图7为本发明一个实施方式中采用QRNG方式进行量子密钥充注过程的示意图;
图8为本发明一个实施方式中的应用于被认证方的认证方法的流程图;
图9为本发明一个实施方式中的应用于量子认证服务器的认证方法的流程图;
图10为本发明一个实施方式中的应用于被认证方的认证装置的示意图;
图11为本发明一个实施方式中的应用于量子认证服务器的认证装置的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在整个说明书中,对“一个实施方式”、“一个示例”或“示例”的提及意味着:结合该实施例或示例描述的特定特征、结构或特性被包含在本发明至少一个实施例中。因此,在整个说明书的各个地方出现的短语“在一个实施方式中”、“在实施方式中”、“一个示例”或“示例”不一定都指同一实施例或示例。此外,可以以任何适当的组合和/或子组合将特定的特征、结构或特性组合在一个或多个实施例或示例中。
如图1所示,为一种认证方法,该方法包括:
S101,被认证方向量子认证服务器发送认证请求;
S102,量子认证服务器在接收到认证请求后根据预存的第一共享量子密钥生成第一加密信息,并将第一加密信息发送回被认证方;
S103,被认证方在通过预存的所第一共享量子密钥解密第一加密信息后,根据由所述第一加密信息解密出的信息以及预存的第二共享量子密钥生成第二加密信息,并将第二加密信息发送至量子认证服务器;
S104,量子认证服务器根据预存的第二共享量子密钥解密第二加密信息并基于解密出的信息完成被认证方的身份验证。
在本发明的认证方法中,被认证方可以为终端设备,如图2所示,为被认证方(Certified party,CP)与量子认证服务器(Quantum Security Authentication Server,QSAS)的交互过程,由被认证方向量子认证服务器发送认证请求,量子认证服务器与被认证方预先存储有对应的预共享量子密钥(Quantum Pre-Shared Key,QPSK),即是量子认证服务器的共享量子密钥与被认证方的共享量子密钥是对称的。
量子认证服务器在接收到认证请求后,根据第一共享量子QPSK1密钥生成第一加密信息,并将第一加密信息发送给被认证方,被认证方采用相同的第一共享量子密钥QPSK1对加密信息解密,在这一过程中,量子认证服务器以及被认证方通过对称的第一共享量子密钥QPSK1完成了加密以及解密的过程,相比于现有的二次认证协议,具有较高的抗量子计算能力。
被认证方在对第一加密信息解密后,使用第二共享量子密钥QPSK2生成第二加密信息,量子认证服务器根据预存的第二共享量子密钥QPSK2对第二加密信息解密,示例性的,量子认证服务器存储有与对第二加密信息解密出的信息相对应的预存信息,根据解密出的信息与预存信息是否相同完成被认证方的身份验证。被认证方身份验证结果可能为身份验证失败,也可能为身份验证成功。
当本发明中的认证方法应用于终端的二次认证时,在EPA协议基础上构建量子安全的二次认证协议,即EAP-QSP(Quantum Safe Protocol,量子安全协议),一方面,量子认证服务器以及被认证方通过对称的第一共享量子密钥QPSK1以及第二共享量子密钥QPSK2完成了加密以及解密的过程,提高了抗量子计算能力,由此显著提高了信息交互的安全性,另一方面,被认证方以及量子认证服务器之间通过共享量子密钥二次加密以及解密,使量子服务器能够更加准确对被认证方进行验证,从而提高了认证结果的准确性。
EAP可实现多种认证机制,EAP帧封装格式,包括四个字段域:Code类型、Identifier识别符、Length包长度,Data数据。Code域标识数据包类型,代表不同认证阶段,包括Request/Response/Success/Failure。Data域包括Type和Type Data域两个部分,Type域规定了具体的EAP认证算法。EAP-QSP帧封装到EAP的data域,帧格式包括字段域:type类型、ENCRY_FLAG加密标记、共享密钥索引QPSK_INDEX、length长度、data数据。
在一个实施方式中,认证方法还包括:在向量子认证服务器发送认证请求之前,被认证方先完成针对目标网络的入网主认证。
本发明中的认证方法为二次认证方法,被认证方在向量子认证服务器发送认证请求之前,被认证方先要完成目标网络的入网主认证,示例性的,被认证方为终端,目标网络为5G网络,终端接入5G网络时,首先完成与UDM(Unifide Data Manager,统一数据管理平台)/ARPF(Authentication credential Repository and Processing Function,认证凭据存储和处理功能)及AUSF(Authentication Server Function,认证服务器功能)之间的入网主认证,终端完成入网主认证后,向量子认证服务器发送二次认证请求,通过量子认证服务器完成二次认证请求。
在一个实施方式中,认证方法还包括:
量子认证服务器在根据预存的第二共享量子密钥解密第二加密信息并基于解密出的信息完成被认证方的身份验证后,根据预存的第三共享量子密钥生成第三加密信息,并将第三加密信息发送回被认证方;
被认证方在根据预存的第三共享量子密钥对第三加密信息解密并基于解密出的信息完成针对量子认证服务器的身份验证后,根据预存的第四共享量子密钥生成包含量子认证服务器身份验证结果的第四加密信息,并将第四加密信息发送至量子认证服务器;
量子认证服务器在根据预存的第四共享量子密钥解密第四加密信息并获取量子认证服务器身份验证结果后,根据量子认证服务器身份验证结果生成认证结果。
在本实施方式中,量子认证服务器与被认证还预先存储有第三共享量子密钥QPSK3以及第四共享量子密钥QPSK4。量子认证服务器在完成被认证方的身份验证后,还需要被认证进一步对量子认证服务器的身份进行验证。
图3示出了本实施方式中的量子认证服务器与被认证的交互过程,在量子认证服务器完成被认证方的身份验证之后,量子认证服务器还通过第三共享量子密钥QPSK3生成第三加密信息,被认证方接收到第三加密信息后对其解密,以此完成量子认证服务器的身份验证,示例性的,被认证方存储有与对第三加密信息解密出的信息相对应的预存信息,根据解密出的信息与预存信息是否相同完成量子认证服务器的身份验证。
被认证方对于量子认证服务器的身份验证结果可能为身份验证成功,也可能为身份验证失败,被认证方进一步地根据预存的第四共享量子密钥QPSK4生成包含量子认证服务器身份验证结果的第四加密信息,量子认证服务器在根据预存的第四共享量子密钥QPSK4解密第四加密信息并获取量子认证服务器身份验证结果后,根据量子认证服务器身份验证结果生成认证结果,这一过程中,若量子认证服务器身份验证结果为验证失败,那么认证结果为认证失败,若量子认证服务器身份验证结果为验证成功,那么认证结果为认证成功。
在本实施方式中,量子认证服务器与被认证方之间存在双向身份验证的过程,通过采用第一共享密钥QPSK1以及第二共享密钥QPSK2的加密以及解密过程,完成对被认证方的身份验证,通过采用第三共享密钥QPSK3以及第四共享密钥QPSK4的加密以及解密过程,完成对量子认证服务器的身份验证,根据量子认证服务器身份验证结果生成认证结果,因此,只有在双方均认证成功的条件下,被认证方才能被认证成功,使得被认证方以及量子认证服务器之间的信息交互更加安全,共享密钥之间是相互关联的,如果有第三方介入,这种关联就一定会被破坏,就一定能被发现,然后让此次产生指定的量子密钥失效,量子认证服务器再次使用其他共享量子密钥对信息加密,因此,可以达到防中间人攻击的效果,并且在这一过程中使用共享量子密钥对信息进行加密以及解密,具有较高的抗量子计算能力。
在一个实施方式中,认证方法还包括:量子认证服务器在根据预存的第二共享量子密钥解密第二加密信息并基于解密出的信息完成被认证方的身份验证后,根据被认证方身份验证结果生成认证结果。
在本实施方式中,量子认证服务器在基于通过第二共享量子密钥QPSK2解密出的信息完成被认证方的身份验证后,根据被认证方身份验证结果生成认证结果,这一过程中,若被认证方身份验证结果为验证成功,那么认证结果为认证成功;若被认证方身份验证结果为验证失败,那么认证结果为认证失。本实施方式中,量子认证服务器根据被认证方身份验证结果生成认证结果,简化了被认证方的身份认证过程,提高了被认证的认证效率。
在一个实施方式中,认证请求包括被认证方标识符,并且量子认证服务器在接收到认证请求后根据预存的第一共享量子密钥生成第一加密信息包括:
量子认证服务器从量子随机数发生器获取量子随机数作为原始服务器挑战码;
量子认证服务器根据认证请求中携载的被认证方标识符确定第一共享量子密钥;
量子认证服务器根据第一共享量子密钥加密原始服务器挑战码以及量子认证服务器的服务器标识符以生成第一加密信息。
在本实施方式中,量子随机数发生器(Quantum Random Number Generator,QRNG)是基于量子力学的随机性,是能产生理论上完全不可预知的随机序列的随机数发生器,量子认证服务器可以从量子随机数发生器获取量子随机数。认证请求中包括被认证方标识符,示例性的,在应用于终端的二次认证过程中,被认证方标识符为终端的设备ID。
在本发明的认证方法中,如图4所示,量子认证服务器在接收到认证请求之后,从而量子随机数发生器获取量子随机数作为原始服务器挑战码(Challenge Code,CC)CC_QSAS并存储原始服务器挑战码CC_QSAS。量子认证服务器中预先存储有多个与被认证共享的量子密钥,因此,量子认证服务器在接收到认证请求后,根据被认证方标识ID_CP确定与该被认证对应的量子密钥,并从中指定第一量子密钥QPSK1。量子认证服务器根据第一共享量子密钥QPSK1加密原始服务器挑战码CC_QSAS以及量子认证服务器的服务器标识符ID_QSAS以生成第一加密信息。
在一个实施方式中,被认证方通过预存的第一共享量子密钥解密第一加密信息包括:
被认证方根据第一共享量子密钥解密第一加密信息以得到一次解密的服务器挑战码,并生成原始被认证方挑战码;
被认证方根据第二共享量子密钥生成第二加密信息包括:
被认证方根据第二共享量子密钥加密一次解密的服务器挑战码,原始被认证方挑战码以及被认证方标识符以生成第二加密信息。
在本实施方式中,继续参考图4,被认证方中预先充注有与量子认证服务器共享的量子密钥,被认证方在接收到第一加密信息后,根据第一共享量子密钥QPSK1解密第一加密信息,从而得到一次解密的服务器挑战码CC’_QSAS,此时被认证方获取相应的随机数,由此生成原始被认证方挑战码CC_CP。在第二加密信息生成的过程中,被认证方指定第二共享量子密钥QPSK2,并根据第二共享量子密钥QPSK2加密一次解密的服务器挑战码CC’_QSAS,原始被认证方挑战码CC_CP以及被认证方标识符ID_CP从而生成第二加密信息。
在一个实施方式中,量子认证服务器根据预存的第二共享量子密钥解密第二加密信息并基于解密出的信息完成被认证方的身份验证包括:
量子认证服务器根据第二共享量子密钥解密第二加密信息后得到二次解密的服务器挑战码,一次解密的被认证方挑战码以及一次解密的被认证方标识符;
量子认证服务器检测一次解密的被认证方标识符的合法性;
若一次解密的被认证方标识符合法,则量子认证服务器判断二次解密的服务器挑战码与原始服务器挑战码是否一致;
若一致,则量子认证服务器完成被认证方的身份验证。
在本实施方式中,继续参考图4,量子认证服务器根据第二共享量子密钥QPSK2解密第二加密信息后得到二次解密的服务器挑战码CC’’_QSAS,一次解密的被认证方挑战码CC’_CP以及一次解密的被认证方标识符ID’_CP。量子认证服务器先要检测一次解密的被认证方标识符ID’_CP的合法性,具体的,量子认证服务器预先存储有其发行设备的设备标识符ID,根据一次解密的被认证方标识符ID’_CP判断被认证方是否为量子认证服务器发行的设备,仅在被认证方式量子认证服务器发行的设备时,量子认证服务器才对被认证方的身份进行验证。
若一次解密的被认证方标识符ID’_CP合法,则量子认证服务器判断二次解密的服务器挑战码CC’’_QSAS与原始服务器挑战码CC_QSAS,若一致,则说明被认证方采用与量子认证服务器相同的预共享量子密钥对信息进行加密以及解密,进而量子认证服务器完成被认证方的身份验证,被认证方身份验证结果为验证成功,若不一致,则被认证方身份验证结果为验证失败。
在本发明中,原始服务器挑战码是随机生成的,通过量子认证服务器对原始服务器挑战码的加密,被认证方对服务器挑战码的一次解密以及二次加密,以及,量子认证服务器对二次解密的服务器挑战码与原始服务器挑战码的比较从而完成被认证方的身份验证。
在一个实施方式中,量子认证服务器根据预存的第三共享量子密钥生成第三加密信息包括:
量子认证服务器根据第三共享量子密钥加密一次解密的被认证方挑战码以生成第三加密信息。
在本实施方式中,继续参考图4,量子认证服务器在解密第二加密信息后还得到一次解密的被认证方挑战码CC’_CP,在完成被认证方的身份验证后,量子服务器指定第三共享量子密钥QPSK3,并根据第三共享量子密钥QPSK3对一次解密的被认证方挑战码CC’_CP加密从而生成第三加密信息。
在一个实施方式中,被认证方在根据预存的第三共享量子密钥对第三加密信息解密并基于解密出的信息完成针对量子认证服务器的身份验证包括:
被认证方根据第三共享量子密钥对第三加密信息解密以得到二次解密的被认证方挑战码;
被认证方判断二次解密的被认证方挑战码与原始被认证方挑战码是否一致;
若一致,则被认证方完成针对量子认证服务器的身份验证。
在本实施方式中,请再次看考图4,被认证方在接收到第三加密信息后,根据预存的第三共享量子密钥QPSK3对第三加密信息解密,从而得到二次解密的被认证方挑战码CC’’_CP,被认证方判断二次解密的被认证方挑战码CC’’_CP与被认证方挑战码CC_CP是否一致,若一致,则说明被认证方采用与量子认证服务器相同的预共享量子密钥对信息进行加密以及解密,进而被认证方完成量子认证服务器的身份验证,量子认证服务器身份验证结果为验证成功,若不一致,则量子认证服务器身份验证结果为验证失败。
在本发明中,原始被认证方挑战码是随机生成的,通过被认证方对被认证方挑战码的加密,量子认证服务器对被认证方挑战码的一次解密以及二次加密,以及,被认证方对二次解密的被认证方挑战码与原始被认证方挑战码的比较从而完成量子认证服务器的身份验证。
在一个实施方式中,认证方法还包括:
在量子认证服务器根据量子认证服务器身份验证结果生成认证结果之后,量子认证服务器根据预存的第五共享量子密钥生成包含认证结果的第五加密信息,并将第五加密信息发送至被认证方;
被认证方根据预存的第五共享量子密钥解密第五加密信息,以得到认证结果。
如图5所示,本发明中的认证方法,在量子认证服务器根据量子认证服务器身份验证结果生成认证结果后,量子认证服务器根据第五共享量子密钥QPSK5对认证结果进行加密,从而生成第五加密信息。被认证方在接收到第五加密信息后,采用预存的第五共享密钥对第五加密信息解密,从而获得认证结果。
在一个实施方式中,认证方法还包括:
在量子认证服务器在接收到认证请求后根据预存的第一共享量子密钥生成第一加密信息之前,量子认证服务器根据认证请求所携载的被认证方标识符验证被认证方是否是量子认证服务器发行的设备;
若是,则量子认证服务器随后根据第一共享量子密钥生成第一加密信息。
在本实施方式中,量子认证服务器在接收到认证请求后,先要判断被认证方是否为量子认证服务器发行的设备,示例性的,量子认证服务器中预先存储有其发行设备的设备标识符,由此可以根据被认证方标识符以及预存的设备标识符进行比较从而确定被认证是否为其发行的设备,只有当被认证为其发行的设备时,量子认证服务器才开始对认证请求的处理,否则不对认证请求处理,避免非量子认证服务器发行设备造成的量子认证服务器资源的占用。
在一个实施方式中,认证方法还包括:
在被认证方向量子认证服务器发送认证请求之前,与被认证方连接的量子密钥站点向量子密钥分发节点发送量子密钥分发请求,以触发量子密钥分发节点分别将认证所需的全部共享量子密钥分发给量子认证服务器以及量子密钥站点;
在量子密钥站点以及量子认证服务器分别获得认证所需的全部共享量子密钥之后,量子密钥站点向量子认证服务器发起量子密钥一致性校验请求;
在量子认证服务器检验通过后,量子密钥站点将认证所需的全部共享量子密钥注入至被认证方。
在被认证方向量子认证服务器发送认证请求之前,先要完成量子认证服务器与被认证方之间的预共享量子密钥的充注,具体的,如图6所示,采用QKD(量子密钥分发,Quantum Key Distribution)的方式进行量子密钥充注,量子认证服务器和量子密钥站点都接入量子密钥分发节点,被认证方接入量子密钥站点连接,在预共享量子密钥的充注过程中,是与被认证方连接的量子密钥站点向量子密钥分发节点发送量子密钥分发请求,量子密钥分发节点是将共享量子密钥一次性分发给量子认证服务器以及量子密钥站点,还是分多次分发给量子认证服务器以及量子密钥站点,是由量子密钥站点决定的,量子密钥分发请求中携带有共享量子密钥的数量,最终量子密钥分发节点接收到量子密钥分发请求后将认证所需的全部共享量子密钥分发给量子认证服务器以及量子密钥站点。
量子密钥站点以及量子认证服务器在获取全部共享量子密钥后,量子密钥站点向量子认证服务器发起量子密钥一致性校验请求,在量子认证服务器检验通过后,量子密钥站点将认证所需的全部共享量子密钥注入至被认证方,从而确保量子认证服务器以及被认证方的共享量子密钥的一致性。在一致性校验成功后,量子认证服务器将全部共享量子密钥加密后存储,从而完成了量子密钥的充注过程。
在一个实施方式中,认证方法还包括:
在被认证方向量子认证服务器发送认证请求之前,与被认证方连接的量子密钥站点向量子认证服务器发起量子密钥分发请求;
在接收到量子密钥分发请求后,量子认证服务器从量子随机数发生器获取认证所需的全部共享量子密钥并将全部共享量子密钥发送至量子密钥站点;
量子密钥站点将认证所需的全部共享量子密钥注入至被认证方。
在本实施例中,采用的是QRNG的方式完成密钥充注,如图7所示,量子认证服务器和量子密钥站点部署在同一个安全域,量子密钥站点向量子认证服务器发起量子密钥分发请求,量子认证服务器在接收到量子密钥分发请求后从量子随机数发生器获取认证所需的全部共享量子密钥并将全部共享量子密钥发送至量子密钥站点,而后由量子密钥站点将认证所需的全部共享量子密钥注入至被认证方。
更进一步地,为了确保量子认证服务器与被认证方的量子密钥的一致性,量子密钥站点以及量子认证服务器获得认证所需的全部共享量子密钥之后,向量子认证服务器发起量子密钥一致性校验请求,在量子认证服务器检验通过后,量子密钥站点将认证所需的全部共享量子密钥注入至被认证方。
在一个实施方式中,认证方法还包括:
在与被认证方连接的量子密钥站点向量子认证服务器发起量子密钥分发请求之前,被认证方向量子认证服务器发送设备接入请求;
量子认证服务器根据被认证方的被认证方标识符生成设备密钥并将被认证方标识符以及设备密钥发送至被认证方;
被认证方向量子认证服务器发送包括被认证方标识符以及设备密钥的设备认证请求,以使量子认证服务器根据设备认证请求对被认证方进行设备认证;
若认证通过,则量子密钥站点随后向量子认证服务器发送量子密钥分发请求。
在本实施方式中,在采用QRNG方式进行量子密钥充注之前,先要完成被认证方的设备发行,具体的,被认证方向量子认证服务器发送设备接入请求,量子认证服务器根据被认证方的被认证方标识符生成设备密钥,并将设备密钥以及被认证方标识符发送至被认证方。在量子密钥充注时,被认证方先向量子认证服务器发送包括被认证方标识符以及设备密钥的设备认证请求,量子认证服务器根据设备认证请求对被认证方进行设备认证,具体的,根据设备认证请求中携带的被认证方标识符以及设备密钥,与,量子认证服务器存储的被认证方标识符以及设备密钥进行比对,比对成功,则认证通过,由量子密钥站点随后向量子认证服务器发送量子密钥分发请求。
在采用QRNG方式进行量子密钥充注时,设备认证通过后,建立量子密钥站点与量子认证服务器的安全通道,由量子密钥站点向量子认证服务器发起量子密钥分发请求。
同样的,采用QKD方式进行量子密钥充注之前,也先要完成被认证方的设备发行,具体的,被认证方向量子认证服务器发送设备接入请求,量子认证服务器根据被认证方的被认证方标识符生成设备密钥,并将设备密钥以及被认证方标识符发送至被认证方。在量子密钥充注时,被认证方先向量子认证服务器发送包括被认证方标识符以及设备密钥的设备认证请求,量子认证服务器根据设备认证请求对被认证方进行设备认证,具体的,根据设备认证请求中携带的被认证方标识符以及设备密钥,与,量子认证服务器存储的被认证方标识符以及设备密钥进行比对,比对成功,则认证通过,由量子密钥站点向量子密钥分发节点发送量子密钥分发请求。
进一步地,本发明中的被认证方中为了实现设备发行以及量子密钥充注,被认证方还包括量子安全介质(硬件密码模块,包括不限于UKey/TF卡/NM卡等),在设备发行的过程中,是通过量子安全介质接入到量子认证服务器中,量子认证服务器发送的被认证方标识以及设备密钥均写入到量子安全介质中;在量子密钥充注的过程中,量子安全介质接入到量子密钥站点,量子密钥一致性校验通过后,量子密钥站点将量子密钥写入量子安全介质中。示例性的,被认证方可以为用户终端UE(user equipment),量子安全介质或置入UE(如UE支持TF(Trans-flash)卡/NM(Nano Memory)卡等),或与UE连接并导入设备信息(如设备标识符)与密钥到UE的软件密码模块(如UE通过转接口与量子安全介质如UKey相连接),进而UE与量子认证服务器预共享了相同的量子密钥,并通过软硬件密码模块保护量子密钥,量子密钥明文不出软硬件密码模块。
在一个实施方式中,被认证方是5G通信系统中的用户设备,被认证方与量子认证服务器之间的全部交互信息通过第三方服务器转发。
在本实施方式中,被认证方是5G通信系统中的用户设备UE,第三方服务器可以为AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务器,示例性的,如图8所示的认证过程中,第一加密信息,第三加密信息以及第五加密信息均通过5G网路及单元,SMF(Session Management Function,会话管理功能)/UPF(User Plane Function,用户面功能),以及AAA服务器转发至量子认证服务器,认证请求,第二加密信息以及第四加密信息均通过5G网路及单元,SMF(Session Management Function,会话管理功能)/UPF(UserPlane Function,用户面功能),以及AAA服务器转发至量子认证服务器。本发明
如图8所示,基于与前面所描述的认证方法同样的发明构思,本发明还提供了一种认证方法,应用于被认证方,该方法包括:
S801、向量子认证服务器发送认证请求;
S802、在接收到量子认证服务器发送回的第一加密信息后,通过预存的第一共享量子密钥解密第一加密信息;
S803、根据由第一加密信息解密出的信息以及预存的第二共享量子密钥生成第二加密信息,并将第二加密信息发送至量子认证服务器以触发量子认证服务器完成被认证方的身份验证;
S804、在接收到量子认证服务器反馈的第三加密信息后,根据预存的第三共享量子密钥对第三加密信息解密并基于解密出的信息完成针对量子认证服务器的身份验证;
S805、根据预存的第四共享量子密钥生成包含量子认证服务器身份验证结果的第四加密信息,并将第四加密信息发送至量子认证服务器,以触发量子认证服务器根据量子认证服务器身份验证结果生成认证结果。
在一个实施方式中,认证方法还包括:在向量子认证服务器发送认证请求之前还包括完成针对目标网络的入网主认证。
在一个实施方式中,通过预存的第一共享量子密钥解密第一加密信息包括:
根据第一共享量子密钥解密第一加密信息以得到一次解密的服务器挑战码,并生成原始被认证方挑战码,其中第一加密信息是由量子认证服务器根据第一共享量子密钥加密原始服务器挑战码以及量子认证服务器的服务器标识符生成的;
根据预存的第二共享量子密钥生成第二加密信息包括:
根据第二共享量子密钥加密一次解密的服务器挑战码,原始被认证方挑战码以及被认证方标识符以生成第二加密信息。
在一个实施方式中,根据预存的第三共享量子密钥对第三加密信息解密并基于解密出的信息完成针对量子认证服务器的身份验证包括:
根据第三共享量子密钥对第三加密信息解密以得到二次解密的被认证方挑战码,其中第三加密信息是由量子认证服务器在根据第二共享量子密钥解密第二加密信息后得到二次解密的服务器挑战码,一次解密的被认证方挑战码以及一次解密的被认证方标识符后,根据第三共享量子密钥加密一次解密的被认证方挑战码生成的;
判断二次解密的被认证方挑战码与原始被认证方挑战码是否一致;
若一致,则完成针对量子认证服务器的身份验证。
在一个实施方式中,认证方法还包括:
接收量子认证服务器发送的第五共享量子密钥,并根据预存的第五共享量子密钥解密第五加密信息,以得到认证结果;
其中,第五加密信息是由量子认证服务器根据第五共享量子密钥对认证结果加密得到的。
在一个实施方式中,在被认证方向量子认证服务器发送认证请求之前还包括:接收量子密钥站点注入的所需的全部共享量子密钥;
其中,全部共享量子密钥是由量子密钥站点向量子密钥分发节点发送量子密钥分发请求,并由量子密钥分发节点分别将认证所需的全部共享量子密钥分发给量子认证服务器以及量子密钥站点的。
在一个实施方式中,认证方法还包括:在被认证方向量子认证服务器发送认证请求之前,接收量子密钥站点注入的所需的全部共享量子密钥;
其中,全部量子密钥是由量子密钥站点向量子认证服务器发起量子密钥分发请求,而后由量子认证服务器从量子随机数发生器获取认证所需的全部共享量子密钥并将全部共享量子密钥发送至量子密钥站点的。
在一个实施方式中,接收量子密钥站点注入的所需的全部共享量子密钥之前还包括:
向量子认证服务器发送设备接入请求,以使量子认证服务器根据被认证方的被认证方标识符生成设备密钥并将被认证方标识符以及设备密钥发送至被认证方;
发送包括被认证方标识符以及设备密钥的设备认证请求,以使量子认证服务器根据设备认证请求对被认证方进行设备认证。
在一个实施方式中,被认证方是5G通信系统中的用户设备,将与量子认证服务器之间的全部交互信息由第三方服务器转发至量子认证服务器的。
在本发明中,应用于被认证方中的认证方法能够实现应用于被认证方以及量子认证服务器之间的认证方法的有益效果,在此不再赘述。
如图9所示,基于与前面所描述的认证方法同样的发明构思,本发明还提供了一种认证方法,应用于量子认证服务器,该方法包括:
S901、在接收到来自被认证方的认证请求后,基于认证请求并根据预存的第一共享量子密钥生成第一加密信息,并将第一加密信息发送回被认证方;
S902、在接收到来自被认证方的第二加密信息后,根据预存的第二共享量子密钥解密第二加密信息并基于解密出的信息完成被认证方的身份验证;
S903、根据预存的第三共享量子密钥生成第三加密信息,并将第三加密信息发送回被认证方,以触发被认证方生成包含针对量子认证服务器的身份验证结果的第四加密信息;
S904、在接收到来自被认证方的第四加密信息后,根据预存的第四共享量子密钥解密第四加密信息并获取量子认证服务器身份验证结果;
S905、根据量子认证服务器身份验证结果生成认证结果。
在一个实施方式中,基于认证请求并根据预存的第一共享量子密钥生成第一加密信息包括:
从量子随机数发生器获取量子随机数作为原始服务器挑战码;
根据认证请求中携载的被认证方标识符确定第一共享量子密钥;
根据第一共享量子密钥加密原始服务器挑战码以及量子认证服务器的服务器标识符以生成第一加密信息。
在一个实施方式中,根据预存的第二共享量子密钥解密第二加密信息并基于解密出的信息完成被认证方的身份验证包括:
根据第二共享量子密钥解密第二加密信息后得到二次解密的服务器挑战码,一次解密的被认证方挑战码以及一次解密的被认证方标识符,其中,第二加密信息是由被认证方在对第一加密信息解密得到一次解密的服务器挑战码,并生成原始被认证方挑战码后,根据第二共享量子密钥加密一次解密的服务器挑战码,原始被认证方挑战码以及被认证方标识符生成的;
检测一次解密的被认证方标识符的合法性;
若一次解密的被认证方标识符合法,则判断二次解密的服务器挑战码与原始服务器挑战码是否一致;
若一致,则完成被认证方的身份验证。
在一个实施方式中,根据预存的第三共享量子密钥生成第三加密信息包括:
根据第三共享量子密钥加密一次解密的被认证方挑战码以生成第三加密信息。
在一个实施方式中,在根据量子认证服务器身份验证结果生成认证结果之后还包括:
根据预存的第五共享量子密钥生成包含认证结果的第五加密信息,并将第五加密信息发送至被认证方,以使被认证方根据预存的第五共享量子密钥解密第五加密信息,以得到认证结果。
在一个实施方式中,在接收到认证请求后根据预存的第一共享量子密钥生成第一加密信息之前还包括:
根据认证请求所携载的被认证方标识符验证被认证方是否是量子认证服务器发行的设备;
若是,则根据第一共享量子密钥生成第一加密信息。
在一个实施方式中,在接收到认证请求之前还包括:
接收与被认证方连接的量子密钥分发节点发送的全部共享量子密钥;
在接收与被认证方连接的量子密钥站点在接收到全部共享量子密钥后发起的量子密钥一致性校验请求后,对量子密钥一致性校验,以使量子密钥站点在校验通过后将认证所需的全部共享量子密钥注入至被认证方。
在一个实施方式中,在接收到认证请求之前还包括:
接收与被认证方连接的量子密钥站点发起的量子密钥分发请求;
在接收到量子密钥分发请求后,从量子随机数发生器获取认证所需的全部共享量子密钥并将全部共享量子密钥发送至量子密钥站点,以使量子密钥站点将认证所需的全部共享量子密钥注入至被认证方。
在一个实施方式中,认证方法还包括:
接收被认证方发送的设备接入请求;
根据被认证方的被认证方标识符生成设备密钥并将被认证方标识符以及设备密钥发送至被认证方;
在接收到被认证方发送的包括被认证方标识符以及设备密钥的设备认证请求后根据设备认证请求对被认证方进行设备认证,以使量子密钥站点在认证通过后向量子认证服务器发送量子密钥分发请求。
在一个实施方式中,被认证方是5G通信系统中的用户设备,被认证方与量子认证服务器之间的全部交互信息通过第三方服务器转发的。
在本发明中,应用于量子认证服务器中的认证方法能够实现应用于被认证方以及量子认证服务器之间的认证方法的有益效果,在此不再赘述。
如图10所示,本发明还提供了一种认证装置,应用于被认证方,该装置包括:
认证请求发送模块1001,用于向量子认证服务器发送认证请求;
第一加密信息解密模块1002,用于在接收到量子认证服务器发送回的第一加密信息后,通过预存的第一共享量子密钥解密第一加密信息;
第二加密信息生成模块1003,用于根据由第一加密信息解密出的信息以及预存的第二共享量子密钥生成第二加密信息,并将第二加密信息发送至量子认证服务器以触发量子认证服务器完成被认证方的身份验证;
第三加密信息解密模块1004,用于在接收到量子认证服务器反馈的第三加密信息后,根据预存的第三共享量子密钥对第三加密信息解密并基于解密出的信息完成针对量子认证服务器的身份验证;
第四加密信息生成模块1005,用于根据预存的第四共享量子密钥生成包含量子认证服务器身份验证结果的第四加密信息,并将第四加密信息发送至量子认证服务器,以触发量子认证服务器根据量子认证服务器身份验证结果生成认证结果。
在一个实施方式中,该装置还包括入网主认证模块,用于在向量子认证服务器发送认证请求之前还包括完成针对目标网络的入网主认证。
在一个实施方式中,第一加密信息解密模块1002用于根据第一共享量子密钥解密第一加密信息以得到一次解密的服务器挑战码,并生成原始被认证方挑战码,其中第一加密信息是由量子认证服务器根据第一共享量子密钥加密原始服务器挑战码以及量子认证服务器的服务器标识符生成的;
第二加密信息生成模块1003还用于根据第二共享量子密钥加密一次解密的服务器挑战码,原始被认证方挑战码以及被认证方标识符以生成第二加密信息。
在一个实施方式中,第三加密信息解密模块1004还用于根据第三共享量子密钥对第三加密信息解密以得到二次解密的被认证方挑战码,其中第三加密信息是由量子认证服务器在根据第二共享量子密钥解密第二加密信息后得到二次解密的服务器挑战码,一次解密的被认证方挑战码以及一次解密的被认证方标识符后,根据第三共享量子密钥加密一次解密的被认证方挑战码生成的;
判断二次解密的被认证方挑战码与原始被认证方挑战码是否一致;若一致,则完成针对量子认证服务器的身份验证。
在一个实施方式中,该装置还包括第五加密信息解密模块,用于接收量子认证服务器发送的第五共享量子密钥,并根据预存的第五共享量子密钥解密第五加密信息,以得到认证结果;
其中,第五加密信息是由量子认证服务器根据第五共享量子密钥对认证结果加密得到的。
在一个实施方式中,该装置还包括共享量子密钥接收模块,用于接收量子密钥站点注入的所需的全部共享量子密钥;
其中,全部共享量子密钥是由量子密钥站点向量子密钥分发节点发送量子密钥分发请求,并由量子密钥分发节点分别将认证所需的全部共享量子密钥分发给量子认证服务器以及量子密钥站点的。
在一个实施方式中,该装置还包括共享量子密钥接收模块,用于接收量子密钥站点注入的所需的全部共享量子密钥;
其中,全部量子密钥是由量子密钥站点向量子认证服务器发起量子密钥分发请求,而后由量子认证服务器从量子随机数发生器获取认证所需的全部共享量子密钥并将全部共享量子密钥发送至量子密钥站点的。
在一个实施方式中,该装置还包括第一设备发行模块,包括:
设备接入请求发送单元,用于向量子认证服务器发送设备接入请求,以使量子认证服务器根据被认证方的被认证方标识符生成设备密钥并将被认证方标识符以及设备密钥发送至被认证方;
设备认证请求发送单元,用于发送包括被认证方标识符以及设备密钥的设备认证请求,以使量子认证服务器根据设备认证请求对被认证方进行设备认证。
在一个实施方式中,被认证方是5G通信系统中的用户设备,将与量子认证服务器之间的全部交互信息由第三方服务器转发至量子认证服务器的。
在本发明中,应用于被认证方中的认证装置能够实现应用于被认证方以及量子认证服务器之间的认证方法的有益效果,在此不再赘述。
如图11所示,本发明还提供了一种认证装置,应用于量子认证服务器,该方法包括:
第一加密信息生成模块1101,用于在接收到来自被认证方的认证请求后,基于认证请求并根据预存的第一共享量子密钥生成第一加密信息,并将第一加密信息发送回所被认证方;
第二加密信息解密模块1102,用于在接收到来自被认证方的第二加密信息后,根据预存的第二共享量子密钥解密第二加密信息并基于解密出的信息完成被认证方的身份验证;
第三加密信息生成模块1103,用于根据预存的第三共享量子密钥生成第三加密信息,并将第三加密信息发送回被认证方,以触发被认证方生成包含针对量子认证服务器的身份验证结果的第四加密信息;
第四加密信息解密模块1104,用于在接收到来自被认证方的第四加密信息后,根据预存的第四共享量子密钥解密第四加密信息并获取量子认证服务器身份验证结果;
认证结果生成模块1105,用于根据量子认证服务器身份验证结果生成认证结果。
在一个实施方式中,第一加密信息生成模块1101还用于从量子随机数发生器获取量子随机数作为原始服务器挑战码;根据认证请求中携载的被认证方标识符确定第一共享量子密钥;根据第一共享量子密钥加密原始服务器挑战码以及量子认证服务器的服务器标识符以生成第一加密信息。
在一个实施方式中,第二加密信息解密模块1102还用于根据第二共享量子密钥解密第二加密信息后得到二次解密的服务器挑战码,一次解密的被认证方挑战码以及一次解密的被认证方标识符,其中,第二加密信息是由被认证方在对第一加密信息解密得到一次解密的服务器挑战码,并生成原始被认证方挑战码后,根据第二共享量子密钥加密一次解密的服务器挑战码,原始被认证方挑战码以及被认证方标识符生成的;
检测一次解密的被认证方标识符的合法性;
若一次解密的被认证方标识符合法,则判断二次解密的服务器挑战码与原始服务器挑战码是否一致;
若一致,则完成被认证方的身份验证。
在一个实施方式中,第三加密信息生成模块1103还用于根据第三共享量子密钥加密一次解密的被认证方挑战码以生成第三加密信息。
在一个实施方式中,该装置还包括第五加密信息生成模块,用于根据预存的第五共享量子密钥生成包含认证结果的第五加密信息,并将第五加密信息发送至被认证方,以使被认证方根据预存的第五共享量子密钥解密第五加密信息,以得到认证结果。
在一个实施方式中,该装置还包括发行设备验证模块,用于根据认证请求所携载的被认证方标识符验证被认证方是否是量子认证服务器发行的设备;
若是,则根据第一共享量子密钥生成第一加密信息。
在一个实施方式中,该装置还包括量子密钥充注模块,用于接收与被认证方连接的量子密钥分发节点发送的全部共享量子密钥;
在接收与被认证方连接的量子密钥站点在接收到全部共享量子密钥后发起的量子密钥一致性校验请求后,对量子密钥一致性校验,以使量子密钥站点在校验通过后将认证所需的全部共享量子密钥注入至被认证方。
在一个实施方式中,该装置还包括量子密钥充注模块,用于接收与被认证方连接的量子密钥站点发起的量子密钥分发请求;
在接收到量子密钥分发请求后,从量子随机数发生器获取认证所需的全部共享量子密钥并将全部共享量子密钥发送至量子密钥站点,以使量子密钥站点将认证所需的全部共享量子密钥注入至被认证方。
在一个实施方式中,该装置还包括第二设备发行模块,用于接收被认证方发送的设备接入请求;
根据被认证方的被认证方标识符生成设备密钥并将被认证方标识符以及设备密钥发送至被认证方;
在接收到被认证方发送的包括被认证方标识符以及设备密钥的设备认证请求后根据设备认证请求对被认证方进行设备认证,以使量子密钥站点在认证通过后向量子认证服务器发送量子密钥分发请求。
在一个实施方式中,被认证方是5G通信系统中的用户设备,被认证方与量子认证服务器之间的全部交互信息通过第三方服务器转发的。
根据本发明的另一方面,本发明还提供了一种存储介质,存储介质中存储有多条指令,指令适于由处理器加载以执行如上的任一应用于被认证方或量子认证服务器的认证方法。
综上所述,虽然本发明已以优选实施例揭露如上,但上述优选实施例并非用以限制本发明,本领域的普通技术人员,在不脱离本发明的精神和范围内,均可作各种更动与润饰,因此本发明的保护范围以权利要求界定的范围为准。
Claims (20)
1.一种认证方法,其特征在于,所述方法包括:
被认证方向量子认证服务器发送认证请求;
所述量子认证服务器在接收到所述认证请求后根据预存的第一共享量子密钥生成第一加密信息,并将所述第一加密信息发送回所述被认证方;
所述被认证方在通过预存的所述第一共享量子密钥解密所述第一加密信息后,并根据由所述第一加密信息解密出的信息以及预存的第二共享量子密钥生成第二加密信息,并将所述第二加密信息发送至所述量子认证服务器;
所述量子认证服务器根据预存的所述第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:在向所述量子认证服务器发送所述认证请求之前,所述被认证方先完成针对目标网络的入网主认证。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述量子认证服务器在根据预存的所述第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证后,根据预存的第三共享量子密钥生成第三加密信息,并将所述第三加密信息发送回所述被认证方;
所述被认证方在根据预存的所述第三共享量子密钥对所述第三加密信息解密并基于解密出的信息完成针对所述量子认证服务器的身份验证后,根据预存的第四共享量子密钥生成包含量子认证服务器身份验证结果的第四加密信息,并将所述第四加密信息发送至所述量子认证服务器;
所述量子认证服务器在根据预存的所述第四共享量子密钥解密所述第四加密信息并获取所述量子认证服务器身份验证结果后,根据所述量子认证服务器身份验证结果生成认证结果。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:所述量子认证服务器在根据预存的所述第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证后,根据所述身份验证结果生成认证结果。
5.如权利要求3所述的方法,其特征在于,所述认证请求包括被认证方标识符,并且所述量子认证服务器在接收到所述认证请求后根据预存的第一共享量子密钥生成第一加密信息包括:
所述量子认证服务器从量子随机数发生器获取量子随机数作为原始服务器挑战码;
所述量子认证服务器根据所述认证请求中携载的被认证方标识符确定所述第一共享量子密钥;
所述量子认证服务器根据所述第一共享量子密钥加密所述原始服务器挑战码以及所述量子认证服务器的服务器标识符以生成所述第一加密信息。
6.如权利要求5所述的方法,其特征在于,所述被认证方通过预存的所述第一共享量子密钥解密所述第一加密信息包括:
所述被认证方根据所述第一共享量子密钥解密所述第一加密信息以得到一次解密的服务器挑战码,并生成原始被认证方挑战码;
所述被认证方根据所述第二共享量子密钥生成所述第二加密信息包括:
所述被认证方根据所述第二共享量子密钥加密所述一次解密的服务器挑战码,所述原始被认证方挑战码以及所述被认证方标识符以生成所述第二加密信息。
7.如权利要求6所述的方法,其特征在于,所述量子认证服务器根据预存的所述第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证包括:
所述量子认证服务器根据所述第二共享量子密钥解密所述第二加密信息后得到二次解密的服务器挑战码,一次解密的被认证方挑战码以及一次解密的被认证方标识符;
所述量子认证服务器检测所述一次解密的被认证方标识符的合法性;
若所述一次解密的被认证方标识符合法,则所述量子认证服务器判断所述二次解密的服务器挑战码与所述原始服务器挑战码是否一致;
若一致,则所述量子认证服务器完成所述被认证方的身份验证。
8.如权利要求7所述的方法,其特征在于,所述量子认证服务器根据预存的第三共享量子密钥生成所述第三加密信息包括:
所述量子认证服务器根据所述第三共享量子密钥加密所述一次解密的被认证方挑战码以生成所述第三加密信息。
9.如权利要求8所述的方法,其特征在于,所述被认证方在根据预存的所述第三共享量子密钥对所述第三加密信息解密并基于解密出的信息完成针对所述量子认证服务器的身份验证包括:
所述被认证方根据所述第三共享量子密钥对所述第三加密信息解密以得到二次解密的被认证方挑战码;
所述被认证方判断所述二次解密的被认证方挑战码与所述原始被认证方挑战码是否一致;
若一致,则所述被认证方完成针对所述量子认证服务器的身份验证。
10.如权利要求3至9中任一项所述的方法,其特征在于,所述方法还包括:
在所述量子认证服务器根据所述量子认证服务器身份验证结果生成认证结果之后,所述量子认证服务器根据预存的第五共享量子密钥生成包含所述认证结果的第五加密信息,并将所述第五加密信息发送至所述被认证方;
所述被认证方根据预存的所述第五共享量子密钥解密所述第五加密信息,以得到所述认证结果。
11.如权利要求1至9中任一项所述的方法,其特征在于,所述方法还包括:
在所述量子认证服务器在接收到所述认证请求后根据预存的第一共享量子密钥生成第一加密信息之前,所述量子认证服务器根据所述认证请求所携载的被认证方标识符验证所述被认证方是否是所述量子认证服务器发行的设备;
若是,则所述量子认证服务器随后根据所述第一共享量子密钥生成所述第一加密信息。
12.如权利要求1所述的方法,其特征在于,所述方法还包括:
在所述被认证方向所述量子认证服务器发送所述认证请求之前,与所述被认证方连接的量子密钥站点向量子密钥分发节点发送量子密钥分发请求,以触发所述量子密钥分发节点分别将认证所需的全部共享量子密钥分发给所述量子认证服务器以及所述量子密钥站点;
在所述量子密钥站点以及所述量子认证服务器分别获得认证所需的全部共享量子密钥之后,所述量子密钥站点向所述量子认证服务器发起量子密钥一致性校验请求;
在所述量子认证服务器检验通过后,所述量子密钥站点将认证所需的全部共享量子密钥注入至所述被认证方。
13.如权利要求1所述的方法,其特征在于,所述方法还包括:
在所述被认证方向所述量子认证服务器发送所述认证请求之前,与所述被认证方连接的量子密钥站点向所述量子认证服务器发起量子密钥分发请求;
在接收到所述量子密钥分发请求后,所述量子认证服务器从所述量子随机数发生器获取认证所需的全部共享量子密钥并将全部所述共享量子密钥发送至所述量子密钥站点;
所述量子密钥站点将认证所需的全部共享量子密钥注入至所述被认证方。
14.如权利要求13所述的方法,其特征在于,所述方法还包括:
在与所述被认证方连接的量子密钥站点向所述量子认证服务器发起量子密钥分发请求之前,所述被认证方向所述量子认证服务器发送设备接入请求;
所述量子认证服务器根据所述被认证方的被认证方标识符生成设备密钥并将所述被认证方标识符以及所述设备密钥发送至所述被认证方;
所述被认证方向所述量子认证服务器发送包括所述被认证方标识符以及所述设备密钥的设备认证请求,以使所述量子认证服务器根据所述设备认证请求对所述被认证方进行设备认证;
若认证通过,则所述量子密钥站点随后向所述量子认证服务器发送所述量子密钥分发请求。
15.如权利要求2所述的方法,其特征在于,所述被认证方是5G通信系统中的用户设备,所述被认证方与所述量子认证服务器之间的全部交互信息通过第三方服务器转发。
16.一种认证方法,应用于被认证方,其特征在于,所述方法包括:
向量子认证服务器发送认证请求;
在接收到所述量子认证服务器发送回的第一加密信息后,通过预存的第一共享量子密钥解密所述第一加密信息;
根据由所述第一加密信息解密出的信息以及预存的第二共享量子密钥生成第二加密信息,并将所述第二加密信息发送至所述量子认证服务器以触发所述量子认证服务器完成所述被认证方的身份验证;
在接收到所述量子认证服务器反馈的第三加密信息后,根据预存的第三共享量子密钥对所述第三加密信息解密并基于解密出的信息完成针对所述量子认证服务器的身份验证;
根据预存的第四共享量子密钥生成包含量子认证服务器身份验证结果的第四加密信息,并将所述第四加密信息发送至所述量子认证服务器,以触发所述量子认证服务器根据所述量子认证服务器身份验证结果生成认证结果。
17.一种认证方法,应用于量子认证服务器,其特征在于,所述方法包括:
在接收到来自被认证方的认证请求后,基于所述认证请求并根据预存的第一共享量子密钥生成第一加密信息,并将所述第一加密信息发送回所述被认证方;
在接收到来自所述被认证方的第二加密信息后,根据预存的第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证;
根据预存的第三共享量子密钥生成第三加密信息,并将所述第三加密信息发送回所述被认证方,以触发所述被认证方生成包含针对所述量子认证服务器的身份验证结果的第四加密信息;
在接收到来自所述被认证方的所述第四加密信息后,根据预存的第四共享量子密钥解密所述第四加密信息并获取所述量子认证服务器身份验证结果;
根据所述量子认证服务器身份验证结果生成认证结果。
18.一种认证装置,应用于被认证方,其特征在于,所述装置包括:
认证请求发送模块,用于向量子认证服务器发送认证请求;
第一加密信息解密模块,用于在接收到所述量子认证服务器发送回的第一加密信息后,通过预存的第一共享量子密钥解密所述第一加密信息;
第二加密信息生成模块,用于根据由所述第一加密信息解密出的信息以及预存的第二共享量子密钥生成第二加密信息,并将所述第二加密信息发送至所述量子认证服务器以触发所述量子认证服务器完成所述被认证方的身份验证;
第三加密信息解密模块,用于在接收到所述量子认证服务器反馈的第三加密信息后,根据预存的第三共享量子密钥对所述第三加密信息解密并基于解密出的信息完成针对所述量子认证服务器的身份验证;
第四加密信息生成模块,用于根据预存的第四共享量子密钥生成包含量子认证服务器身份验证结果的第四加密信息,并将所述第四加密信息发送至所述量子认证服务器,以触发所述量子认证服务器根据所述量子认证服务器身份验证结果生成认证结果。
19.一种认证装置,应用于量子认证服务器,其特征在于,所述装置包括:
第一加密信息生成模块,用于在接收到来自被认证方的认证请求后,基于所述认证请求并根据预存的第一共享量子密钥生成第一加密信息,并将所述第一加密信息发送回所述被认证方;
第二加密信息解密模块,用于在接收到来自所述被认证方的第二加密信息后,根据预存的第二共享量子密钥解密所述第二加密信息并基于解密出的信息完成所述被认证方的身份验证;
第三加密信息生成模块,用于根据预存的第三共享量子密钥生成第三加密信息,并将所述第三加密信息发送回所述被认证方,以触发所述被认证方生成包含针对所述量子认证服务器的身份验证结果的第四加密信息;
第四加密信息解密模块,用于在接收到来自所述被认证方的所述第四加密信息后,根据预存的第四共享量子密钥解密所述第四加密信息并获取所述量子认证服务器身份验证结果;
认证结果生成模块,用于根据所述量子认证服务器身份验证结果生成认证结果。
20.一种存储介质,其特征在于,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行如权利要求16至17中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210221573.1A CN114362967B (zh) | 2022-03-09 | 2022-03-09 | 认证方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210221573.1A CN114362967B (zh) | 2022-03-09 | 2022-03-09 | 认证方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114362967A true CN114362967A (zh) | 2022-04-15 |
CN114362967B CN114362967B (zh) | 2022-05-27 |
Family
ID=81095285
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210221573.1A Active CN114362967B (zh) | 2022-03-09 | 2022-03-09 | 认证方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114362967B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108112012A (zh) * | 2016-11-24 | 2018-06-01 | 中国移动通信有限公司研究院 | 一种群组终端的网络认证方法及装置 |
CN108347404A (zh) * | 2017-01-24 | 2018-07-31 | 中国移动通信有限公司研究院 | 一种身份认证方法及装置 |
CN108574569A (zh) * | 2017-03-08 | 2018-09-25 | 中国移动通信有限公司研究院 | 一种基于量子密钥的认证方法及认证装置 |
CN108737076A (zh) * | 2017-04-13 | 2018-11-02 | 山东量子科学技术研究院有限公司 | 一种身份认证系统及身份认证方法 |
CN111475796A (zh) * | 2020-03-20 | 2020-07-31 | 南京如般量子科技有限公司 | 基于秘密共享和量子通信服务站的抗量子计算身份认证方法及系统 |
-
2022
- 2022-03-09 CN CN202210221573.1A patent/CN114362967B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108112012A (zh) * | 2016-11-24 | 2018-06-01 | 中国移动通信有限公司研究院 | 一种群组终端的网络认证方法及装置 |
CN108347404A (zh) * | 2017-01-24 | 2018-07-31 | 中国移动通信有限公司研究院 | 一种身份认证方法及装置 |
CN108574569A (zh) * | 2017-03-08 | 2018-09-25 | 中国移动通信有限公司研究院 | 一种基于量子密钥的认证方法及认证装置 |
CN108737076A (zh) * | 2017-04-13 | 2018-11-02 | 山东量子科学技术研究院有限公司 | 一种身份认证系统及身份认证方法 |
CN111475796A (zh) * | 2020-03-20 | 2020-07-31 | 南京如般量子科技有限公司 | 基于秘密共享和量子通信服务站的抗量子计算身份认证方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114362967B (zh) | 2022-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7953391B2 (en) | Method for inclusive authentication and management of service provider, terminal and user identity module, and system and terminal device using the method | |
JP4546240B2 (ja) | チャレンジ/レスポンス方式によるユーザー認証方法及びシステム | |
CN110932870B (zh) | 一种量子通信服务站密钥协商系统和方法 | |
JP5307191B2 (ja) | 無線通信機器とサーバとの間でのデータの安全なトランザクションのためのシステムおよび方法 | |
CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
US7653713B2 (en) | Method of measuring round trip time and proximity checking method using the same | |
CN111030814B (zh) | 秘钥协商方法及装置 | |
CN100512201C (zh) | 用于处理分组业务的接入-请求消息的方法 | |
US20100174906A1 (en) | Method, system and equipment for key distribution | |
CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
CN113285803B (zh) | 一种基于量子安全密钥的邮件传输系统和传输方法 | |
JP2000083018A (ja) | 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法 | |
CN102026195A (zh) | 基于一次性口令的移动终端身份认证方法和系统 | |
CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
CN113079022B (zh) | 一种基于sm2密钥协商机制的安全传输方法和系统 | |
CN113452687B (zh) | 基于量子安全密钥的发送邮件的加密方法和系统 | |
CN112020038A (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
CN111740995A (zh) | 一种授权认证方法及相关装置 | |
CN114826593B (zh) | 量子安全的数据传输方法及数字证书认证系统 | |
CN113438074B (zh) | 基于量子安全密钥的接收邮件的解密方法 | |
WO2022135383A1 (zh) | 一种身份鉴别方法和装置 | |
CN114362967B (zh) | 认证方法、装置及存储介质 | |
CN114189338A (zh) | 基于同态加密技术的sm9密钥安全分发和管理系统及方法 | |
CN115913521A (zh) | 基于量子密钥进行身份认证的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |