CN115567223A - 基于量子安全中间件的统一身份认证方法、装置及系统 - Google Patents

基于量子安全中间件的统一身份认证方法、装置及系统 Download PDF

Info

Publication number
CN115567223A
CN115567223A CN202211198230.4A CN202211198230A CN115567223A CN 115567223 A CN115567223 A CN 115567223A CN 202211198230 A CN202211198230 A CN 202211198230A CN 115567223 A CN115567223 A CN 115567223A
Authority
CN
China
Prior art keywords
information
authentication
login
key
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211198230.4A
Other languages
English (en)
Inventor
杨浩
米鹏伟
王丙磊
胡缙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Quantum Technology Co ltd
Original Assignee
China Telecom Quantum Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Quantum Technology Co ltd filed Critical China Telecom Quantum Technology Co ltd
Priority to CN202211198230.4A priority Critical patent/CN115567223A/zh
Publication of CN115567223A publication Critical patent/CN115567223A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开一种基于量子安全中间件的统一身份认证方法、装置及系统,所述方法包括:拦截移动终端向身份认证服务端提交的登录请求信息,并通过第一安全芯片向量子密钥管理系统请求获取认证密钥;利用认证密钥加密登录请求信息,得到登录认证信息并转发至身份认证服务端;接收身份认证服务端返回的密文信息,密文信息携带有令牌Token和AppTicketId;基于密文信息访问应用服务端;接收应用服务端返回的App_Token,完成统一身份认证登录。本发明基于自身集成的安全芯片向量子密钥管理系统请求获取认证密钥,利用认证密钥对登录请求加密后发送至身份认证服务端,解决统一身份认证过程中数据加密传输;并且可实现Token分发,实现抗重放攻击。

Description

基于量子安全中间件的统一身份认证方法、装置及系统
技术领域
本发明涉及安全应用技术领域,具体涉及一种基于量子安全中间件的统一身份认证方法、装置及系统。
背景技术
随着互联网和移动技术的不断发展,高信息安全行业中存在很多移动端应用程序,每个移动端应用程序的身份认证方法、认证协议各不相同,身份认证体系各自为政,缺乏多系统,多账号之间的统一身份认证功能。同时,移动端应用程序进行用户身份认证过程中存在众多的安全隐患,出现了用户认证凭据被窃取、数据被篡改等严重问题。如何在开放网络中保障移动端用户身份认证过程用户凭据、认证协议过程数据的安全尤为重要。
相关技术中,公布号为CN106685998A的中国发明专利文献记载了一种基于CAS统一认证服务中间件的SSO认证方法,实现步骤为:用户在登录时,由移动端业务应用统一服务中间件拦截并存储请求返回的TGT,当用户在客户端需要调用其他系统接口时,由中间件负责判断是否已经登录过此系统,若未登录,则先用之前的TGT去CAS换取对应系统的Ticket,之后在使用Ticket从对应的CAS客户端换取得到会话Cookie,进而完成对该系统认证工作,接下来携带Cookie进行客户端服务接口访问,实现了多业务系统的统一身份认证登录。但该方案存在的问题在于:
(1)该方案中统一身份认证过程交互协议主要基于HTTP或HTTPS方式进行数据传输。HTTP协议传输是以明文的形式进行传输,身份认证过程数据无任何保护措施,存在数据被窃取和被篡改风险。HTTPS协议依赖于传统公钥数字证书方式进行实现,需要申请证书,将证书导入服务端设备中,且需要对导入的证书进行管理,会增加处理复杂度。同时,数据加密密钥随着使用频次的增加,密钥重复使用,安全性随着使用也会降低。
(2)该方案中应用CAS客户端交互和CAS认证服务端交互分发Cookie并存储在统一服务中间件,中间件携带Cookie进行应用系统访问,存在Cookie重放攻击风险。
相关技术中,公布号为CN112865966A的中国发明专利文献记载了一种基于量子密钥加密的身份认证方法,实现步骤为:S1:量子密钥管控服务器产生加密量子密钥,客户端获取身份认证信息,客户端加密模块使用加密量子密钥对身份认证信息进行加密,得到加密身份认证信息;S2:身份认证服务器接收加密身份认证信息,量子密钥管控服务器产生解密量子密钥;S3:身份认证服务器接收解密量子密钥,身份认证服务器使用解密量子密钥对加密身份认证信息进行解密,得到解密身份认证信息;S4:身份认证服务器将解密身份认证信息与数据库模块中的信息比对;S5:客户端的解密模块对加密比对信息进行解密,获得比对成功信息或比对失败信息。
该方案公开的是客户端或身份认证服务器通过加密模块从量子密钥管控服务器获取量子密钥进行数据加密操作流程,但未解决加密模块如何从量子密钥管控服务器安全地获取量子密钥、如何保证数据在客户端和身份认证服务器数据传输的完整性以及如何解决客户端与身份认证器交互的存在的重放攻击问题,如何保证客户端与身份认证服务器如何进行安全的统一身份认证问题是目前亟待解决的问题。
发明内容
本发明所要解决的技术问题在于如何实现移动终端统一身份认证过程的安全。
本发明通过以下技术手段实现解决上述技术问题的:
一方面,本发明提出了一种基于量子安全中间件的统一身份认证方法,应用于移动终端,所述移动终端中集成有第一安全芯片和应用客户端,所述第一安全芯片中存储有经量子密钥管理系统预先充注的量子密钥,所述方法包括:
拦截所述应用客户端向身份认证服务端提交的登录请求信息,并通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥;
利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,以使所述身份认证服务端向所述密钥管理系统获取所述认证密钥并解密所述登录认证信息;
接收所述身份认证服务端返回的密文信息,所述密文信息携带有全局令牌标识Token和应用身份票据AppTicketId;
基于所述密文信息访问应用服务端,以使所述应用服务端向所述身份认证服务端发起认证请求,所述身份认证服务端返回响应信息至所述应用服务端;
接收所述应用服务端返回的应用令牌标识App_Token,完成统一身份认证登录,所述App_Token由所述应用服务端根据所述响应信息生成。
本发明在客户端向身份认证服务端提交登录请求时拦截登录请求,并基于自身集成的安全芯片向量子密钥管理系统请求获取认证密钥,利用认证密钥对登录请求加密后发送至身份认证服务端,解决统一身份认证过程中数据加密传输,实现一次认证一次密钥,且密钥之间无关联性功能;并且身份认证服务端及应用服务端通过集成JWT技术可实现Token分发,替代Cookie会话机制,实现抗重放攻击,进一步确保了开放网络中移动端用户身份认证过程用户凭据、认证协议过程数据的安全。
进一步地,所述拦截所述应用客户端向身份认证服务端提交的登录请求信息,并通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥,包括:
拦截所述应用客户端向所述身份认证服务端提交的登录请求信息,并对所述登录请求信息进行解析,得到应用标识AppId及登录认证凭据信息;
向所述身份认证服务端发起用户名的合法校验请求,
在用户名非法时,获取所述身份认证服务端返回的响应失败登录状态;
在用户名合法时,接收所述身份认证服务端发送的挑战随机数à;
通过所述第一安全芯片向所述量子密钥管理系统请求获取所述认证密钥。
进一步地,所述通过所述第一安全芯片向所述量子密钥管理系统请求获取所述认证密钥,包括:
向所述第一安全芯片发起密钥请求,以从所述第一安全芯片中获取密钥序列号Z、密钥B及所述第一安全芯片标识IDa;
基于所述应用标识AppId,创建会话标识SessionId,并向所述量子密钥管理系统发起认证密钥获取请求,所述认证密钥获取请求携带有所述密钥序列号Z及请求密文,所述请求密文为采用所述密钥B对第一时变参数、第一安全芯片标识IDa及会话标识SessionId加密得到;
接收所述量子密钥管理系统返回的第一认证密钥响应信息,所述第一认证密钥响应信息携带有所述密钥序列号Z及响应密文,所述响应密文为采用所述密钥B对第二时变参数、第一安全芯片标识IDa、会话标识SessionId及认证密钥AuthKey加密得到;
使用所述密钥序列号Z对所述密钥密文进行解密,获取所述认证密钥AuthKey,并缓存所述应用标识AppId、认证密钥AuthKey及会话标识SessionId。
进一步地,所述利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,包括:
利用所述认证密钥结合加密算法,对所述登录请求信息进行加密处理,得到所述登录认证信息,所述登录认证信息包括登录信息密文及登录信息MAC值,所述登录信息密文携带有时变参数、登录认证凭据、应用标识AppId及挑战随机数à;
将所述登录认证信息及所述会话标识SessionId转发到所述身份认证服务端。
进一步地,在所述接收所述身份认证服务端返回的密文信息之后,所述方法还包括:
利用所述认证密钥解密所述密文信息,并将解密得到的信息与消息认证码进行对比;
在所述密文信息解密成功且对比结果一致时,执行所述访问应用服务端的步骤;
在所述密文信息解密失败或者比对结果不一致时,确定本次登录失败。
进一步地,所述密文信息携带有Token、AppTicketId、MAC值及应用标识AppId,所述基于所述密文信息访问应用服务端,包括:
使用所述认证密钥结合加密算法,分别对AppTicketId及第三时变参数进行运算,得到AppTicketId密文和请求信息MacT值;
将所述AppTicketId密文、请求信息MacT值及会话标识SessionId转发至所述应用服务端,对所述应用服务端进行访问。
进一步地,所述方法还包括:基于所述App_Token,完成所述应用服务端的服务接口的调用,具体为:
拦截向所述应用服务端发送的访问请求;
根据所述应用标识AppId查询所述App_Token,得到新的访问请求,新的访问请求携带有所述App_Token;
向所述应用服务端发送新的访问请求,以使所述应用服务端校验所述App_Token是否合法;
在所述应用服务端校验所述App_Token合法时,获取所述应用服务端返回的应用内容;
在所述应用服务端校验所述App_Token非法时,通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥。
进一步地,在通过所述App_Token无法获取AppTicektId时,所述方法还包括:
向所述移动终端响应重新进入登录状态。
此外,本发明还提出了一种基于量子安全中间件的统一身份认证方法,应用于身份认证服务端,所述身份认证服务端中集成有第二安全芯片,所述第二安全芯片中存储有经所述量子密钥管理系统预先充注的量子密钥,所述方法包括:
接收移动终端发送的用户名合法校验请求;
在用户名校验合法时,向所述移动终端发送挑战随机数à,以使所述移动终端计算登录认证信息,所述登录认证信息包括登录信息MAC值及登录信息密文,所述登录信息密文携带有时变参数、登录认证凭据、应用标识AppId及挑战随机数à;
接收所述移动终端发送的所述登录认证信息,并通过所述第二安全芯片向所述量子密钥管理系统请求获取认证密钥,以解密所述登录认证信息;
在所述登录认证信息明文校验成功时,生成密文信息并返回至所述移动终端,所述密文信息包括Token、AppTicketId、响应信息MACβ和应用标识AppId;
接收应用服务端发送的访问请求,并在验证所述访问请求合法时返回响应信息至所述应用服务端,以使所述应用服务端根据所述响应信息生成App_Token并返回至所述移动终端,所述访问请求为所述移动终端基于所述密文信息生成。
进一步地,所述通过所述第二安全芯片向所述量子密钥管理系统请求获取认证密钥,以解密所述登录认证信息,包括:
基于所述登录认证信息向所述第二安全芯片发起密钥请求,以获取所述第二安全芯片返回的密钥序列号Y、密钥C及第二安全芯片标识IDβ;
向所述量子密钥管理系统发起认证密钥获取请求,以使所述量子密钥管理系统获取认证密钥AuthKey并生成第二认证密钥响应消息,所述第二认证密钥获取请求包括密钥序列号Y及密钥加密信息,该密钥加密信息携带有第三时变参数、第二安全芯片标识IDβ及会话标识SessionId;
接收所述量子密钥管理系统返回的第二认证密钥响应消息,并使用密钥序列号Y对所述认证密钥响应信息进行解密,获取所述认证密钥AuthKey;
使用所述认证密钥AuthKey解密所述登录认证信息,得到登录认证信息明文,所述登录认证信息明文包括用户登录认证凭据、挑战随机数à、应用标识AppId及登录信息MAC值。
进一步地,所述方法还包括:
对所述登录认证信息明文进行校验;
在校验失败时,向所述移动终端返回登录认证失败信息;
在校验成功时,使用CAS与JWT技术结合生成令牌Token和AppTicketId;
使用所述认证密钥AuthKey结合加密算法,对所述令牌Token、AppTicketId及第三时变参数进行运算,得到所述密文信息。
进一步地,在所述移动终端需长期保持登录会话时,所述方法还包括:
设置所述令牌Token及所述App_Token的有效期为长期时间。
此外,本发明还提出了一种基于量子安全中间件的统一身份认证装置,所述装置为移动终端,所述移动终端中集成有安全中间件、第一安全芯片和应用客户端,所述第一安全芯片中存储有经所述量子密钥管理系统预先充注的量子密钥,所述安全中间件包括:
认证密钥获取模块,用于拦截所述应用客户端向身份认证服务端提交的登录请求信息,并通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥;
登录请求模块,用于利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,以使所述身份认证服务端向所述密钥管理系统获取所述认证密钥并解密所述登录认证信息;
密文接收模块,用于接收所述身份认证服务端返回的密文信息,所述密文信息携带有全局令牌标识Token和应用身份票据AppTicketId;
访问模块,用于基于所述密文信息访问应用服务端,以使所述应用服务端向所述身份认证服务端发起认证请求,所述身份认证服务端返回响应信息至所述应用服务端;
认证登录模块,用于接收所述应用服务端返回的应用令牌标识App_Token,完成统一身份认证登录,所述App_Token由所述应用服务端根据所述响应信息生成。
此外,本发明还提出了一种基于量子安全中间件的统一身份认证装置,所述装置为身份认证服务端,所述身份认证服务端中集成有第二安全芯片,所述第二安全芯片中存储有经所述量子密钥管理系统预先充注的量子密钥,所述身份认证服务端包括:
用户名校验模块,用于接收移动终端发送的用户名合法校验请求;
随机数发送模块,用于在用户名校验合法时,向所述移动终端发送挑战随机数à,以使所述移动终端计算登录认证信息,所述登录认证信息包括登录信息MAC值及登录信息密文,所述登录信息密文携带有时变参数、登录认证凭据、应用标识AppId及挑战随机数à;
登录请求接收模块,用于接收所述移动终端发送的所述登录认证信息,并通过所述第二安全芯片向所述量子密钥管理系统请求获取认证密钥,以解密所述登录认证信息;
密文生成模块,用于在所述登录认证信息明文校验成功时,生成密文信息并返回至所述移动终端,所述密文信息包括Token、AppTicketId、响应信息MACβ和应用标识AppId;
访问接收模块,用于接收应用服务端发送的访问请求,并在验证所述访问请求合法时返回响应信息至所述应用服务端,以使所述应用服务端根据所述响应信息生成App_Token并返回至所述移动终端,所述访问请求为所述移动终端基于所述密文信息生成。
此外,本发明还提出了一种基于量子安全中间件的统一身份认证系统,所述系统包括移动终端、应用服务端、身份认证服务端和量子密钥管理系统,所述量子密钥管理系统分别与所述移动终端和所述身份认证服务端连接,所述移动终端分别与所述应用服务端和所述身份认证服务端连接,所述应用服务端与所述身份认证服务端连接;
所述移动终端中集成有安全中间件、第一安全芯片和应用客户端,所述第一安全芯片中存储有经所述量子密钥管理系统预先充注的量子密钥;所述身份认证服务端中集成中第二安全芯片,所述第二安全芯片中存储有经所述量子密钥管理系统预先充注的量子密钥;所述安全中间件包括:
认证密钥获取模块,用于拦截所述应用客户端向身份认证服务端提交的登录请求信息,并通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥;
登录请求模块,用于利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,以使所述身份认证服务端向所述密钥管理系统获取所述认证密钥并解密所述登录认证信息;
密文接收模块,用于接收所述身份认证服务端返回的密文信息,所述密文信息由携带有全局令牌标识Token和应用身份票据AppTicketId;
访问模块,用于基于所述密文信息访问应用服务端,以使所述应用服务端向所述身份认证服务端发起认证请求,所述身份认证服务端返回响应信息至所述应用服务端;
认证登录模块,用于接收所述应用服务端返回的应用令牌标识App_Token,完成统一身份认证登录,所述App_Token由所述应用服务端根据所述响应信息生成。
本发明的优点在于:
(1)本发明在客户端向身份认证服务端提交登录请求时拦截登录请求,并基于自身集成的安全芯片向量子密钥管理系统请求获取认证密钥,利用认证密钥对登录请求加密后发送至身份认证服务端,解决统一身份认证过程中数据加密传输,实现一次认证一次密钥,且密钥之间无关联性功能;并且身份认证服务端及应用服务端通过集成JWT技术可实现Token分发,替代Cookie会话机制,实现抗重放攻击,进一步确保了开放网络中移动端用户身份认证过程用户凭据、认证协议过程数据的安全。
(2)解决了移动终端统一身份认证过程用户认证凭据数据和身份认证服务端分发数据被非授权截取、非授权篡改问题;防范基于大因数分解难题的公钥密码算法被破译问题以及未来出现的量子计算机带来的安全威胁。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明第一实施例中基于量子安全中间件的统一身份认证方法的流程示意图;
图2是本发明第二实施例中基于量子安全中间件的统一身份认证方法的流程示意图;
图3是本发明第三实施例中基于量子安全中间件的统一身份认证装置的结构示意图;
图4是本发明第四实施例中基于量子安全中间件的统一身份认证装置的结构示意图;
图5是本发明第五实施例中基于量子安全中间件的统一身份认证系统的结构示意图;
图6是本发明第五实施例中移动终端从量子密钥管理系统中获取认证密钥的流程示意图;
图7是本发明第五实施例中移动终端进行统一身份认证的流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明第一实施例提出了一种基于量子安全中间件的统一身份认证方法,应用于移动终端,所述移动终端中集成有第一安全芯片和应用客户端,所述第一安全芯片中存储有经量子密钥管理系统预先充注的量子密钥,所述方法包括以下步骤:
S101、拦截所述应用客户端向身份认证服务端提交的登录请求信息,并通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥。
S102、利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,以使所述身份认证服务端向所述密钥管理系统获取所述认证密钥并解密所述登录认证信息。
S103、接收所述身份认证服务端返回的密文信息,所述密文信息携带有全局令牌标识Token和应用身份票据AppTicketId。
S104、基于所述密文信息访问应用服务端,以使所述应用服务端向所述身份认证服务端发起认证请求,所述身份认证服务端返回响应信息至所述应用服务端。
S105、接收所述应用服务端返回的应用令牌标识App_Token,完成统一身份认证登录,所述App_Token由所述应用服务端根据所述响应信息生成。
需要说明的是,Token:表示一个全局令牌标识,由身份认证服务端生成,主要用来维护应用是否需要重新进入登录页面。
AppTicektId:表示一个应用身份票据,由身份认证服务端生成,一个应用对应一个AppTicketId,主要用来换取应用令牌标识App_Token。
App_Token:表示一个应用令牌标识,由应用服务端生成;移动终端获取后,后续向应用服务端发起的请求通过使用这个APP_Token来请求数据,而不需要重新输入用户名和密码。
应当理解的是,Token、AppTicektId、App_Token都有一定的有效周期,如果超过有效周期,则需要重新进行获取生成。
本实施例中,通过拦截移动终端向身份认证服务端提交的登录请求信息,并通过其集成的第一安全芯片向量子密钥管理系统请求获取认证密钥,利用认证密钥加密登录请求信息,解决移动终端统一身份认证过程用户认证凭据数据和身份认证服务端分发数据被非授权截取、非授权篡改问题;并且身份认证服务端、应用服务端实现Token分发,替代Cookie会话机制,实现抗重放攻击,解决移动端应用服务端集成CAS客户端和CAS认证服务端交互分发Cookie并存储在统一服务中间件,中间件携带Cookie进行应用系统访问,存在Cookie重放攻击风险的问题。
在一实施例中,所述步骤S101中,移动终端从量子密钥管理系统中获取认证密钥的过程,包括以下步骤:
S111、拦截所述应用客户端向所述身份认证服务端提交的登录请求信息,并对所述登录请求信息进行解析,得到应用标识AppId及登录认证凭据信息。
需要说明的是,用户在移动端应用APP登录界面上输入用户认证凭据,在发送至身份认证服务端时拦截到此次请求,解析出应用标识AppId、用户认证凭据信息。
需要说明的是,用户认证凭据包括但不限于用户名、密码、验证码等信息。
S112、向所述身份认证服务端发起用户名的合法校验请求。
S113、在用户名非法时,获取所述身份认证服务端返回的响应失败登录状态。
S114、在用户名合法时,接收所述身份认证服务端发送的挑战随机数à。
应当理解的是,本实施例在向量子密钥管理系统申请获取认证密钥之前,先向身份认证服务端发起用户名的校验合法请求,身份认证服务端校验用户名是否合法;如果非法,响应登录失败状态至应用客户端;如果合法,则接收到身份认证服务端发送来的挑战随机数à。
S115、通过所述第一安全芯片向所述量子密钥管理系统请求获取所述认证密钥。
需要说明的是,量子密钥管理系统预先向移动终端内集成的第一安全芯片内完成量子密钥充注、存储,同时记录存储充注的第一安全芯片标识IDa和充注的量子密钥之间的对应关系。
通过从量子密钥管理系统中获取认证密钥,解决统一身份认证过程中数据加密传输问题,实现一次认证一次密钥,且密钥之间无关联性功能。
在一实施例中,所述步骤S115,具体包括以下步骤:
S1151、向所述第一安全芯片发起密钥请求,以从所述第一安全芯片中获取密钥序列号Z、密钥B及所述第一安全芯片标识IDa。
S1152、基于所述应用标识AppId,创建会话标识SessionId,并向所述量子密钥管理系统发起认证密钥获取请求,所述认证密钥获取请求携带有所述密钥序列号Z及请求密文,所述请求密文为采用所述密钥B对第一时变参数、第一安全芯片标识IDa及会话标识SessionId加密得到。
需要说明的是,第一时变参数为由第一安全芯片内生成的一串随机数,在实际应用中,由移动终端向第一安全芯片发起调用请求获取。本实施例通过采用密钥B对第一时变参数、第一安全芯片标识IDa及会话标识SessionId加密得到请求密文,可保证密钥B加密的密文消息不同,增强信息来回传递机密性和无序性。
需要说明的是,量子密钥管理系统根据密钥序列号Z获取充注到第一安全芯片内的对应密钥B并对请求密文进行解密,且根据第一安全芯片标识IDa及会话标识SessionId分发认证密钥AuthKey;然后向应用终端返回第一认证密钥响应消息:密钥序列号Z+密钥B加密(第二时变参数+第一安全芯片标识IDa+会话标识SessionId+认证密钥AuthKey)。
需要说明的是,该第二时变参数由量子密钥管理系统调用其随机数发生器生成的一串真随机数。
S1153、接收所述量子密钥管理系统返回的第一认证密钥响应信息,所述第一认证密钥响应信息携带有所述密钥序列号Z及响应密文,所述响应密文为采用所述密钥B对第二时变参数、第一安全芯片标识IDa、会话标识SessionId及认证密钥AuthKey加密得到。
S1154、使用所述密钥序列号Z对所述密钥密文进行解密,获取所述认证密钥AuthKey,并缓存所述应用标识AppId、认证密钥AuthKey及会话标识SessionId。
需要说明的是,移动终端获取第一认证密钥响应消息,并使用密钥序列号Z及对应密钥B解密第一认证密钥响应消息,获取认证密钥AuthKey,并缓存应用标识AppId、认证密钥AuthKey、会话标识SessionId的关系数据。
在一实施例中,所述步骤S102中,利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,包括以下步骤:
S121、利用所述认证密钥结合加密算法,对所述登录请求信息进行加密处理,得到所述登录认证信息,所述登录认证信息包括登录信息密文及登录信息MAC值,所述登录信息密文携带有时变参数、登录认证凭据、应用标识AppId及挑战随机数à。
S122、将所述登录认证信息及所述会话标识SessionId转发到所述身份认证服务端。
需要说明的是,移动终端使用认证密钥AuthKey结合SM4、HAMC-SM3加密算法分别操作登录请求信息,计算出登录认证信息,所述登录认证信息包括登录信息MAC值及登录信息密文,登录信息密文携带有时变参数、登录认证凭据、应用标识AppId以及挑战随机数à,并转发登录信息密文、登录信息MAC值以及会话标识SessionId信息到身份认证服务端。
身份认证服务端接收登录信息密文及登录信息MAC值,并向自身集成的第二安全芯片发起密钥请求,第二安全芯片返回密钥序列号Y、密钥C及第二安全第二安全芯片标识IDβ,其中第二安全芯片中存储有经量子密钥管理系统预先充注的量子密钥,且量子密钥管理系统记录存储充注的第二安全第二安全芯片标识IDβ和充注的量子密钥之间的对应关系;身份认证服务端基于第二安全芯片向量子密钥管理系统申请获取认证密钥,接收量子密钥管理系统返回的第二认证密钥响应信息,并使用密钥序列号Y对应密钥C解密第二认证密钥响应消息,获取认证密钥AuthKey,通过认证密钥AuthKey解密登录认证信息,获取到用户登录认证凭据、挑战随机数à、应用标识AppId、登录信息MAC值数据。
在一实施例中,身份认证服务端校验用户登录认证凭据、挑战随机数à、登录信息MAC值数据,并在校验成功时,由身份认证服务端基于集成的CAS与JWT技术生成Token、AppTicketId,然后结合从量子密钥管理系统获取的认证密钥AuthKey结合SM4算法加密时变参数、Token及AppTicketId,得到响应加密信息,且使用HMAC-SM3算法结合认证密钥计算时变参数、Token及AppTicketId,得到MACβ值;同步向应用客户端返回密文信息,所述密文信息包括响应加密信息、MACβ值及应用标识AppId。
在一实施例中,所述身份认证服务端校验用户登录认证凭据、挑战随机数à、登录信息MAC值数据是否合法的步骤包括:
身份认证服务端使用HMAC-SM3算法运算出消息认证码MACà,同步校验MAC值与MACà、挑战随机数à、用户登录认证凭据是否合法。
如果校验失败,则告知安全中间件登录失败信息,安全中间件并返回失败信息给移动端应用。
如果校验成功,身份认证服务端使用CAS与JWT技术结合生成Token、AppTicketId。
需要说明的是,本实施例使用HMAC-SM3算法对相关信息进行运算得出一串字符串MACà,这个运算是不可逆的,无法从字符串推导出运算前的信息。
在一实施例中,所述步骤S103,接收所述身份认证服务端返回的密文信息,包括以下步骤:
S131、利用所述认证密钥解密所述密文信息,并将解密得到的信息与消息认证码进行对比。
S132、在所述密文信息解密成功且对比结果一致时,执行所述访问应用服务端的步骤。
S133、在所述密文信息解密失败或者比对结果不一致时,确定本次登录失败。
需要说明的是,客户端针对数据做MAC值发送到身份认证服务端,身份认证服务端针对数据做同样的操作生成MACà,校验MAC与MACà,校验通过后,身份认证服务端生成Token、AppTicketId,且针对数据运算得到MACβ,然后发送到客户端,客户端解密后,并生成MACββ,校验MACβ与MACββ是否一致;通过校验保证保存数据的完整性。
进一步地,移动终端接收到身份认证服务端返回的密文信息时,使用其从量子密钥管理系统申请获取的认证密钥AuthKey解密密文信息,获取令牌Token、AppTicketId,并使用HMAC-SM3算法运算出消息认证码MACββ值,然后对比MACβ与MACββ是否一致。
若密文信息解密成功且对比信息一致,执行步骤S104。
若密文信息解密失败或对比信息不一致,返回登录失败状态。
需要说明的是,本实施例使用HMAC-SM3算法对相关信息进行运算得出一串字符串MACββ,这个运算是不可逆的,无法从字符串推导出运算前的信息。
在一实施例中,所述步骤S104中,移动终端基于所述密文信息访问应用服务端,具体为:
移动终端使用认证密钥AuthKey结合国密SM4算法、HMAC-SM3算法针对第三时变参数及AppTicketId分别运算出请求密文信息、请求信息MacT值;并转发请求密文信息、MacT值、会话标识SessionId信息访问应用服务端。
需要说明的是,第三时变参数为由第二安全芯片内生成的一串随机数。
应用服务端转发请求密文信息、MacT值、会话标识SessionId信息到身份认证服务端,由身份认证服务端验证此信息是否合法,并在校验合法时,响应用户信息到应用服务端,应用服务端根据用户信息结合JWT技术生成App_Token,并发送至移动终端。
这样移动终端就具备了AppId、Token、App_Token这3个信息,则确定移动终端登录成功。
在一实施例中,在所述步骤S105之后,所述方法还包括以下步骤:
S106、基于所述App_Token,完成所述应用服务端的服务接口的调用。
进一步地,应用服务端的服务接口的调用过程为:
S161、在向所述应用服务端发送的访问请求时拦截所述访问请求;
S162、根据所述应用标识AppId查询所述App_Token,得到新的访问请求,新的访问请求携带有所述App_Token;
S162、向所述应用服务端发送新的访问请求,以使所述应用服务端校验所述App_Token是否合法;
S163、在所述应用服务端校验所述App_Token合法时,获取所述应用服务端返回的应用内容;
S164、在所述应用服务端校验所述App_Token非法时,执行所述步骤S101。
需要说明的是,当校验App_Token不合法时,返回401或403错误,说明App_Token失效,此时移动终端通过第一安全芯片向量子密钥管理系统重新获取新的认证密钥,使用认证密钥、存储Token、国密SM4算法、HMAC-SM3算法结合通过身份认证服务端获取AppTicketId后,重新向所述应用服务端获取新的App_Token。
在一实施例中,在通过所述App_Token无法获取AppTicektId时,所述方法还包括:
向所述移动终端响应重新进入登录状态。
需要说明的是,在存储的Token过期时,会出现通过App_Token获取不到TicektId的情况,此时则向移动终端响应重新进入登录状态。
此外,如图2所示,本发明第二实施例还提出了一种基于量子安全中间件的统一身份认证方法,应用于身份认证服务端,所述身份认证服务端中集成有第二安全芯片,所述第二安全芯片中存储有经所述量子密钥管理系统预先充注的量子密钥,所述方法包括以下步骤:
S201、接收移动终端发送的用户名合法校验请求。
需要说明的是,移动终端向身份认证服务端发起用户名的校验合法请求,身份认证服务端校验用户名是否合法;如果非法,向移动终端响应登录失败状态;若果合法则执行步骤S202。
S202、在用户名校验合法时,向所述移动终端发送挑战随机数à,以使所述移动终端计算登录认证信息,所述登录认证信息包括登录信息MAC值及登录信息密文,所述登录信息密文携带有时变参数、登录认证凭据、应用标识AppId及挑战随机数à。
需要说明的是,移动终端接收身份认证服务端发送的挑战随机数à,移动终端通过使用量子密钥管理系统所获取的认证密钥AuthKey结合SM4、HAMC-SM3算法操作登录请求信息,计算出登录认证信息,登录信息密文包括登录认证密文和登录信息MAC值,登录认证密文携带有时变参数、登录认证凭据、应用标识AppId以及挑战随机数à),并转发登录信息密文、登录信息MAC、会话标识SessionId信息到身份认证服务端。
S203、接收所述移动终端发送的所述登录认证信息,并通过所述第二安全芯片向所述量子密钥管理系统请求获取认证密钥,以解密所述登录认证信息。
S204、在所述登录认证信息明文校验成功时,生成密文信息并返回至所述移动终端,所述密文信息包括Token、AppTicketId、响应信息MACβ和应用标识AppId。
S205、接收应用服务端发送的访问请求,并在验证所述访问请求合法时返回响应信息至所述应用服务端,以使所述应用服务端根据所述响应信息生成App_Token并返回至所述移动终端,所述访问请求为所述移动终端基于所述密文信息生成。
本实施例中,身份认证服务端在接收到移动终端发送的登录认证信息,并通过所述第二安全芯片向所述量子密钥管理系统请求获取认证密钥,以解密登录认证信息,且身份认证服务端、应用服务端集成JWT技术实现Token分发机制,替代Cookie会话机制,实现抗重放攻击;通过在身份认证服务端使用CAS与JWT技术结合完成业务应用管理、用户身份认证鉴权、Token维护,并使用安全芯片内充注密钥与量子密钥管理系统交互获取认证密钥等功能,保证了在开放网络中移动端用户身份认证过程用户凭据、认证协议过程数据的安全。
在一实施例中,所述步骤S203,包括以下步骤:
S231、基于所述登录认证信息向所述第二安全芯片发起密钥请求,以获取所述第二安全芯片返回的密钥序列号Y、密钥C及第二安全芯片标识IDβ。
S232、向所述量子密钥管理系统发起认证密钥获取请求,以使所述量子密钥管理系统获取认证密钥AuthKey并生成第二认证密钥响应消息,所述认证密钥获取请求包括密钥序列号Y及密钥加密信息,该密钥加密信息携带有时变参数、第二安全芯片标识IDβ及会话标识SessionId。
S233、接收所述量子密钥管理系统返回的认第二证密钥响应消息,并使用密钥序列号Y对所述第二认证密钥响应信息进行解密,获取所述认证密钥AuthKey。
S234、使用所述认证密钥AuthKey解密所述登录认证信息,得到登录认证信息明文,所述登录认证信息明文包括用户登录认证凭据、挑战随机数à、应用标识AppId及登录信息MAC值。
需要说明的是,身份认证服务端获取第二认证密钥响应消息,使用密钥序列号Y对应密钥C解密响应消息,获取认证密钥AuthKey明文;通过认证密钥AuthKey结合国密SM4算法解密登录认证信息,获取到用户登录认证凭据、挑战随机数à、应用标识AppId、登录信息MAC值数据。
在一实施例中,所述方法还包括以下步骤:
对所述登录认证信息明文进行校验;
在校验失败时,向所述移动终端返回登录认证失败信息;
在校验成功时,使用CAS与JWT技术结合生成令牌Token和AppTicketId;
使用所述认证密钥AuthKey结合加密算法,对所述令牌Token、AppTicketId及时变参数进行运算,得到所述密文信息。
需要说明的是,身份认证服务端使用HMAC-SM3算法运算出MACà,同步校验MAC值与MACà、挑战随机数à、用户登录认证凭据是否合法;如果校验失败,则返回失败信息给移动端应用;如果校验成功,身份认证服务端使用CAS与JWT技术结合生成Token、AppTicketId。同时,使用认证密钥AuthKey结合国密SM4算法、HMAC-SM3算法针对时变参数、Token及AppTicketId分别运算出响应密文信息、响应信息MACβ。同步向移动终端响应密文信息、Macβ、应用标识AppId;
进一步地,移动终端接收到所述密文信息时,使用认证密钥AuthKey结合国密SM4算法、HMAC-SM3算法针对时变参数及AppTicketId分别运算出请求密文信息、请求信息MacT值。并转发请求密文信息、MacT值、会话标识SessionId信息访问应用服务端;由应用服务端转发信息到身份认证服务器验证此信息是否合法。
身份认证服务端根据会话标识SessionId获取认证密钥AuthKey,并解密密文信息,获取TicektId、MacT值,并进行合法性校验;如果校验不合法,向移动终端返回登录失败信息;如果校验合法,则响应用户信息到应用服务端,以使应用服务端根据用户信息结合JWT技术生成App_Token给移动终端,使得移动终端具备AppId、Token、App_Token这3个信息,移动终端登录成功。
在一实施例中,在所述移动终端需长期保持登录会话时,所述方法还包括:
设置所述令牌Token及所述App_Token的有效期为长期时间。
应当理解的是,本实施例中有效期的期限可根据实际情况设定,该处不具体限定。
如图3所示,本发明第三实施例提出了一种基于量子安全中间件的统一身份认证装置,所述装置为移动终端10,所述移动终端10中集成有安全中间件11、第一安全芯片12和应用客户端13,所述第一安全芯片12中存储有经所述量子密钥管理系统预先充注的量子密钥,所述安全中间件11包括:
认证密钥获取模块111,用于拦截所述应用客户端13向身份认证服务端提交的登录请求信息,并通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥;
登录请求模块112,用于利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,以使所述身份认证服务端向所述密钥管理系统获取所述认证密钥并解密所述登录认证信息;
密文接收模块113,用于接收所述身份认证服务端返回的密文信息,所述密文信息携带有令牌Token和AppTicketId;
访问模块114,用于基于所述密文信息访问应用服务端,以使所述应用服务端向所述身份认证服务端发起认证请求,所述身份认证服务端返回响应信息至所述应用服务端;
认证登录模块115,用于接收所述应用服务端返回的App_Token,完成统一身份认证登录,所述App_Token由所述应用服务端根据所述响应信息生成。
在一实施例中,所述认证密钥获取模块111,具体包括:
解析单元,用于拦截所述应用客户端向所述身份认证服务端提交的登录请求信息,并对所述登录请求信息进行解析,得到应用标识AppId及登录认证凭据信息;
用户名校验请求单元,用于向所述身份认证服务端发起用户名的合法校验请求;
接收单元,用于在用户名非法时,获取所述身份认证服务端返回的响应失败登录状态;
接收单元,还用于在用户名合法时,接收所述身份认证服务端发送的挑战随机数à;
密钥请求单元,用于通过所述第一安全芯片向所述量子密钥管理系统请求获取所述认证密钥。
在一实施例中,所述密钥请求单元,具体用于执行以下步骤:
向所述第一安全芯片发起密钥请求,以从所述第一安全芯片中获取密钥序列号Z、密钥B及所述第一安全芯片标识IDa;
基于所述应用标识AppId,创建会话标识SessionId,并向所述量子密钥管理系统发起认证密钥获取请求,所述认证密钥获取请求携带有所述密钥序列号Z及请求密文,所述请求密文为采用所述密钥B对时变参数、芯片IDa及会话标识SessionId加密得到;
接收所述量子密钥管理系统返回的第一认证密钥响应信息,所述第一认证密钥响应信息携带有所述密钥序列号Z及响应密文,所述响应密文为采用所述密钥B对时变参数、芯片IDa、会话标识SessionId及认证密钥AuthKey加密得到;
使用所述密钥序列号Z对所述密钥密文进行解密,获取所述认证密钥AuthKey,并缓存所述应用标识AppId、认证密钥AuthKey及会话标识SessionId。
在一实施例中,所述登录请求模块112,具体用于:
利用所述认证密钥结合加密算法,对所述登录请求信息进行加密处理,得到所述登录认证信息,所述登录认证信息包括登录信息密文及登录信息MAC值,所述登录信息密文携带有时变参数、登录认证凭据、应用标识AppId及挑战随机数à;
将所述登录认证信息及所述会话标识SessionId转发到所述身份认证服务端。
在一实施例中,所述安全中间件还包括解密校验模块,用于:
利用所述认证密钥解密所述密文信息,并将解密得到的信息与消息认证码进行对比;
在所述密文信息解密成功且对比结果一致时,执行所述访问应用服务端的步骤;
在所述密文信息解密失败或者比对结果不一致时,确定本次登录失败。
在一实施例中,所述访问模块,具体用于:
使用所述认证密钥结合加密算法,分别对AppTicketId及时变参数进行运算,得到AppTicketId密文和请求信息MacT值;
将所述AppTicketId密文、请求信息MacT值及会话标识SessionId转发至所述应用服务端,对所述应用服务端进行访问。
本实施例基于安全中间件实现的对称密钥技术,结合国密算法、量子密钥管理系统实现了移动端应用进行统一身份认证过程数据机密性、完整性保护;并在基于安全中间件实现的对称密钥技术基础上,身份认证服务端、应用服务端集成JWT技术实现Token分发机制,替代Cookie会话机制,实现抗重放攻击方法。
需要说明的是,本发明所述基于量子安全中间件的统一身份认证装置的其他实施例或具有实现方法可参照上述方法第一实施例,此处不再赘余。
此外,如图4所示,本发明第四实施例提出了一种基于量子安全中间件的统一身份认证装置,所述装置为身份认证服务端20,所述身份认证服务端20中集成有第二安全芯片21,所述第二安全芯片21中存储有经所述量子密钥管理系统预先充注的量子密钥,所述身份认证服务端20包括:
用户名校验模块22,用于接收移动终端发送的用户名合法校验请求;
随机数发送模块23,用于在用户名校验合法时,向所述移动终端发送挑战随机数à,以使所述移动终端计算登录认证信息,所述登录认证信息包括登录信息MAC值及登录信息密文,所述登录信息密文携带有时变参数、登录认证凭据、应用标识AppId及挑战随机数à;
登录请求接收模块24,用于接收所述移动终端发送的所述登录认证信息,并通过所述第二安全芯片向所述量子密钥管理系统请求获取认证密钥,以解密所述登录认证信息;
密文生成模块25,用于在所述登录认证信息明文校验成功时,生成密文信息并返回至所述移动终端,所述密文信息包括Token、AppTicketId、响应信息MACβ和应用标识AppId;
访问接收模块26,用于接收应用服务端发送的访问请求,并在验证所述访问请求合法时返回响应信息至所述应用服务端,以使所述应用服务端根据所述响应信息生成App_Token并返回至所述移动终端,所述访问请求为所述移动终端基于所述密文信息生成。
在一实施例中,所述登录请求接收模块24,具体用于:
基于所述登录认证信息向所述第二安全芯片发起密钥请求,以获取所述第二安全芯片返回的密钥序列号Y、密钥C及第二安全芯片标识IDβ;
向所述量子密钥管理系统发起认证密钥获取请求,以使所述量子密钥管理系统获取认证密钥AuthKey并生成第二认证密钥响应消息,所述认证密钥获取请求包括密钥序列号Y及密钥加密信息,该密钥加密信息携带有时变参数、第二安全芯片标识IDβ及会话标识SessionId;
接收所述量子密钥管理系统返回的第二认证密钥响应消息,并使用密钥序列号Y对所述第二认证密钥响应信息进行解密,获取所述认证密钥AuthKey;
使用所述认证密钥AuthKey解密所述登录认证信息,得到登录认证信息明文,所述登录认证信息明文包括用户登录认证凭据、挑战随机数à、应用标识AppId及登录信息MAC值。
在一实施例中,所述身份认证服务端还包括:校验模块,用于:
对所述登录认证信息明文进行校验;
在校验失败时,向所述移动终端返回登录认证失败信息;
在校验成功时,使用CAS与JWT技术结合生成令牌Token和AppTicketId;
所述密文生成模块用于在校验模块输出结果为校验成功时,使用所述认证密钥AuthKey结合加密算法,对所述令牌Token、AppTicketId及第三时变参数进行运算,得到所述密文信息。
在一实施例中,所述身份认证服务端还包括:
期限设置模块,用于在所述移动终端需长期保持登录会话时,设置所述令牌Token及所述App_Token的有效期为长期时间。
本实施例基于安全中间件实现的对称密钥技术,结合国密算法、量子密钥管理系统实现了移动端应用进行统一身份认证过程数据机密性、完整性保护;并在基于安全中间件实现的对称密钥技术基础上,身份认证服务端、应用服务端集成JWT技术实现Token分发机制,替代Cookie会话机制,实现抗重放攻击方法。
需要说明的是,本发明所述基于量子安全中间件的统一身份认证装置的其他实施例或具有实现方法可参照上述方法第二实施例,此处不再赘余。
此外,如图3及图5所示,本发明第五实施例还提出了一种基于量子安全中间件的统一身份认证系统,所述系统包括移动终端10、应用服务端30、身份认证服务端20和量子密钥管理系统40,所述量子密钥管理系统40分别与所述移动终端10和所述身份认证服务端20连接,所述移动终端10分别与所述应用服务端30和所述身份认证服务端20连接,所述应用服务端30与所述身份认证服务端20连接;
所述移动终端10中集成有安全中间件11、第一安全芯片12和应用客户端13,所述第一安全芯片12中存储有经所述量子密钥管理系统预先充注的量子密钥;所述身份认证服务端20中集成中第二安全芯片21,所述第二安全芯片21中存储有经所述量子密钥管理系统预先充注的量子密钥;所述安全中间件11包括:
认证密钥获取模块111,用于拦截所述应用客户端13向身份认证服务端提交的登录请求信息,并通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥;
登录请求模块112,用于利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,以使所述身份认证服务端向所述密钥管理系统获取所述认证密钥并解密所述登录认证信息;
密文接收模块113,用于接收所述身份认证服务端返回的密文信息,所述密文信息由携带有令牌Token和AppTicketId;
访问模块114,用于基于所述密文信息访问应用服务端,以使所述应用服务端向所述身份认证服务端发起认证请求,所述身份认证服务端返回响应信息至所述应用服务端;
认证登录模块115,用于接收所述应用服务端返回的App_Token,完成统一身份认证登录,所述App_Token由所述应用服务端根据所述响应信息生成。
具体地,本实施例中移动终端与身份认证服务端中集成的安全芯片为符合国家商用密码局颁发证书,具备安全保护能力,安全芯片内初始写入ID信息,能够和量子密钥管理系统对接实现安全芯片内密钥充注功能。安全芯片具体可采用SIM卡或USBKey盾,本实施例不作具体限定。
所述安全中间件介于安全芯片与移动终端之间,实现对称密钥管理、密码算法管理(HMAC-SM3、SM4等算法)、身份认证管理、数据存储等功能。
所述身份认证服务端使用CAS与JWT技术结合完成业务应用管理、用户身份认证鉴权、Token维护、使用安全芯片内充注密钥与量子密钥管理系统交互获取认证密钥等功能。
所述量子密钥管理系统用于完成安全芯片内的密钥充注,终端集成安全芯片后,安全中间件使用安全芯片内充注密钥与量子密钥管理系统交互获取认证密钥、安全芯片认证鉴别等功能。
所述应用客户端为安装在移动端的APP应用,应用服务端集成JWT技术作为移动终端服务能力的提供方。
进一步地,所述量子密钥管理初始化时向移动终端、身份认证服务端集成的安全芯片内完成量子密钥充注、存储,同时记录存储充注的安全芯片和密钥的对应关系。
在一实施例中,如图4所示,所述身份认证服务端20包括:
用户名校验模块22,用于接收移动终端发送的用户名合法校验请求;
随机数发送模块23,用于在用户名校验合法时,向所述移动终端发送挑战随机数à,以使所述移动终端计算登录认证信息,所述登录认证信息包括登录信息MAC值及登录信息密文,所述登录信息密文携带有时变参数、登录认证凭据、应用标识AppId及挑战随机数à;
登录请求接收模块24,用于接收所述移动终端发送的所述登录认证信息,并通过所述第二安全芯片向所述量子密钥管理系统请求获取认证密钥,以解密所述登录认证信息;
密文生成模块25,用于在所述登录认证信息明文校验成功时,生成密文信息并返回至所述移动终端,所述密文信息包括Token、AppTicketId、响应信息MACβ和应用标识AppId;
访问接收模块26,用于接收应用服务端发送的访问请求,并在验证所述访问请求合法时返回响应信息至所述应用服务端,以使所述应用服务端根据所述响应信息生成App_Token并返回至所述移动终端,所述访问请求为所述移动终端基于所述密文信息生成。
进一步地,本实施例中的基于量子安全中间件的统一身份认证系统的工作流程如下:
(1)移动终端进入登录界面,用户输入用户认证凭据,安全中间件接收到此次请求,解析出AppId、用户认证凭据信息;
(2)安全中间件向身份认证服务端发起用户名的校验合法请求,身份认证服务端校验用户名是否合法;如果非法,向安全中间件响应登录失败状态,安全中间件接收登录失败状态信息,并返回给移动终端;如果合法,安全中间件接收用户名合法状态和挑战随机数à,进行步骤(3);
(3)安全中间件接收合法状态后,并进行获取认证密钥的流程,如实例图6流程图所示;
3-1)安全中间件向安全芯片(SIM卡)发起密钥请求,安全芯片返回密钥序列号Z、密钥B、芯片IDa;
3-2)安全中间件生成会话标识SessionId。同时,向量子密钥管理系统发起获取认证密钥请求,且认证密钥请求消息:密钥序列号Z+密钥B加密(时变参数+芯片IDa+会话标识SessionId)。
3-3)量子密钥管理系统根据密钥序列号Z获取充注到安全芯片内的对应密钥B,并解密认证密钥信息密文,根据解密后信息分发认证密钥AuthKey密文。
3-4)安全中间件获取认证密钥AuthKey密文,使用密钥序列号Z对应密钥B解密响应消息,获取密钥AuthKey明文,并缓存应用标识AppId、认证密钥AuthKey、会话标识SessionId、挑战随机数à数据。
(4)基于实例图6流程图获取的认证密钥AuthKey后,如实例图7所示,进行基于安全中间件的统一身份认证。
4-1)安全中间件使用认证密钥AuthKey结合SM4、HAMC-SM3算法操作登录请求信息,计算出登录信息(时变参数+登录认证凭据+应用标识AppId+挑战随机数à)密文、登录信息MAC值,并转发登录信息密文、登录信息MAC、会话标识SessionId信息到身份认证服务端。
4-2)身份认证服务端接收信息,并向安全芯片(USBKey)发起密钥请求,安全芯片返回密钥序列号Y、密钥C、第二安全芯片标识IDβ;
4-3)身份认证服务端向量子密钥管理系统发起获取认证密钥请求,且认证密钥请求信息:密钥序列号Y+密钥C加密(时变参数+第二安全芯片标识IDβ+会话标识SessionId)。
4-4)量子密钥管理系统根据密钥序列号Y获取充注到安全芯片内的对应密钥C并对请求信息进行解密,根据解密后信息分发与安全中间件一致认证密钥AuthKey密文。
4-5)身份认证服务端获取认证密钥AuthKey密文,使用步骤4-2)中密钥序列号Y对应密钥C解密响应消息,获取认证密钥AuthKey明文。通过认证密钥AuthKey+国密SM4算法解密S16步骤中登录信息密文,获取到用户登录认证凭据、挑战随机数à、应用标识AppId、登录信息MAC值数据。
4-6)身份认证服务端使用HMAC-SM3算法运算出Macà,同步校验Mac值与Macà、挑战随机数à、用户登录认证凭据是否合法。
如果校验失败,则告知安全中间件登录失败信息,安全中间件并返回失败信息给移动端应用。
如果校验成功,身份认证服务端使用CAS与JWT技术结合生成Token、AppTicketId。同时,使用认证密钥AuthKey结合国密SM4算法、HMAC-SM3算法针对(时变参数+Token+AppTicketId)分别运算出响应密文信息、响应信息MACβ。同步向安全中间件响应密文信息、Macβ、应用标识AppId;
4-7)安全中间件接收信息,使用步骤3-4)获取认证密钥AuthKey解密响应消息,获取Token、AppTicketId,并使用HMAC-SM3算法运算出Macββ值,并对比MACβ与Macββ是否一致。
如果解密响应信息成功对比信息一致,进行步骤4-8)。
如果解密响应信息失败或对比信MAC值不一致,向客户端返回登录失败。
4-8)此时安全中间件使用认证密钥AuthKey结合国密SM4算法、HMAC-SM3算法针对(时变参数+AppTicketId)分别运算出请求密文信息、请求信息MacT值。并转发请求密文信息、MacT值、会话标识SessionId信息访问应用服务端;应用服务端转发信息到身份认证服务器验证此信息是否合法。
4-9)身份认证服务端根据会话标识SessionId获取AuthKey,并解密信息,获取TicektId、MacT值,并进行合法性校验。
如果校验不合法,则响应失败信息,安全中间件获取失败信息,并向移动终端返回登录失败信息。
如果校验合法,则响应用户信息到应用服务端,应用服务端根据用户信息结合JWT技术生成App_Token给安全中间件。这样安全中间件就拥有了AppId、Token、App_Token这3个信息,并返回App_Token给移动端客户端,移动终端登录成功。
(5)进行应用服务端的接口调用
5-1)当移动终端访问应用服务端的服务接口,安全中间件拦截请求,并根据AppId查询App_Token,同步携带App_Token转发请求到应用服务端。
5-2)应用服务端接口校验App_Token合法,即返回内容给移动终端。
5-3)当校验App_Token不合法,返回401或403错误,说明App_Token失效,此时安全中间件不是将这个错误返回给移动终端,而是重复实例图6流程获取新的认证密钥,使用认证密钥、存储Token、国密SM4算法、HMAC-SM3算法结合向身份认证服务端获取AppTicketId后,并进行4-7)、4-8)步骤获取新的App_Token。
5-4)当步骤5-3)中,也可能出现通过App_Token获取不到TicektId时,如存储的Token过期时,安全中间件向客户端响应重新进入登录状态,执行步骤(1);
5-5)当移动终端有长期保持登录会话的需要时,可以在身份认证服务端设置Token、App_Token的有效期为长期时间,这样分发App_Token后,就减少了App_Token过期的问题。
本发明基于安全中间件实现的对称密钥技术,结合国密算法、量子密钥管理系统实现了移动端应用进行统一身份认证过程数据机密性、完整性保护;且基于安全中间件实现的对称密钥技术基础上,身份认证服务端、应用服务端集成JWT技术实现Token分发机制,替代Cookie会话机制,实现抗重放攻击方法。
解决网络攻击日益严峻的环境对统一身份认证过程安全影响。移动终端统一身份认证过程用户认证凭据数据和身份认证服务端分发数据被非授权截取、非授权篡改问题。防范未来量子计算机和量子算法带来的安全威胁,比如防范基于大因数分解难题的公钥密码算法被破译问题:使用量子对称密钥,无法通过大因数分解来破译;防范未来出现的量子计算机带来的安全威胁:使用量子安全密码进行加密传输,理论上是完全安全可信的。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (15)

1.一种基于量子安全中间件的统一身份认证方法,其特征在于,应用于移动终端,所述移动终端中集成有第一安全芯片和应用客户端,所述第一安全芯片中存储有经量子密钥管理系统预先充注的量子密钥,所述方法包括:
拦截所述应用客户端向身份认证服务端提交的登录请求信息,并通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥;
利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,以使所述身份认证服务端向所述密钥管理系统获取所述认证密钥并解密所述登录认证信息;
接收所述身份认证服务端返回的密文信息,所述密文信息携带有全局令牌标识Token和应用身份票据AppTicketId;
基于所述密文信息访问应用服务端,以使所述应用服务端向所述身份认证服务端发起认证请求,所述身份认证服务端返回响应信息至所述应用服务端;
接收所述应用服务端返回的应用令牌标识App_Token,完成统一身份认证登录,所述App_Token由所述应用服务端根据所述响应信息生成。
2.如权利要求1所述的基于量子安全中间件的统一身份认证方法,其特征在于,所述拦截所述应用客户端向身份认证服务端提交的登录请求信息,并通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥,包括:
拦截所述应用客户端向所述身份认证服务端提交的登录请求信息,并对所述登录请求信息进行解析,得到应用标识AppId及登录认证凭据信息;
向所述身份认证服务端发起用户名的合法校验请求;
在用户名非法时,获取所述身份认证服务端返回的响应失败登录状态;
在用户名合法时,接收所述身份认证服务端发送的挑战随机数à;
通过所述第一安全芯片向所述量子密钥管理系统请求获取所述认证密钥。
3.如权利要求2所述的基于量子安全中间件的统一身份认证方法,其特征在于,所述通过所述第一安全芯片向所述量子密钥管理系统请求获取所述认证密钥,包括:
向所述第一安全芯片发起密钥请求,以从所述第一安全芯片中获取密钥序列号Z、密钥B及所述第一安全芯片标识IDa;
基于所述应用标识AppId,创建会话标识SessionId,并向所述量子密钥管理系统发起认证密钥获取请求,所述认证密钥获取请求携带有所述密钥序列号Z及请求密文,所述请求密文为采用所述密钥B对时变参数、第一安全芯片标识IDa及会话标识SessionId加密得到;
接收所述量子密钥管理系统返回的第一认证密钥响应信息,所述第一认证密钥响应信息携带有所述密钥序列号Z及响应密文,所述响应密文为采用所述密钥B对第一时变参数、第一安全芯片标识IDa、会话标识SessionId及认证密钥AuthKey加密得到;
使用所述密钥序列号Z对所述密钥密文进行解密,获取所述认证密钥AuthKey,并缓存所述应用标识AppId、认证密钥AuthKey及会话标识SessionId。
4.如权利要求3所述的基于量子安全中间件的统一身份认证方法,其特征在于,所述利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,包括:
利用所述认证密钥结合加密算法,对所述登录请求信息进行加密处理,得到所述登录认证信息,所述登录认证信息包括登录信息密文及登录信息MAC值,所述登录信息密文携带有时变参数、登录认证凭据、应用标识AppId及挑战随机数à;
将所述登录认证信息及所述会话标识SessionId转发到所述身份认证服务端。
5.如权利要求1所述的基于量子安全中间件的统一身份认证方法,其特征在于,在所述接收所述身份认证服务端返回的密文信息之后,所述方法还包括:
利用所述认证密钥解密所述密文信息,并将解密得到的信息与消息认证码进行对比;
在所述密文信息解密成功且对比结果一致时,执行所述访问应用服务端的步骤;
在所述密文信息解密失败或者比对结果不一致时,确定本次登录失败。
6.如权利要求5所述的基于量子安全中间件的统一身份认证方法,其特征在于,所述密文信息携带有令牌Token、AppTicketId、MAC值及应用标识AppId,所述基于所述密文信息访问应用服务端,包括:
使用所述认证密钥结合加密算法,分别对AppTicketId及第三时变参数进行运算,得到AppTicketId密文和请求信息MacT值;
将所述AppTicketId密文、请求信息MacT值及会话标识SessionId转发至所述应用服务端,对所述应用服务端进行访问。
7.如权利要求6所述的基于量子安全中间件的统一身份认证方法,其特征在于,所述方法还包括:基于所述App_Token,完成所述应用服务端的服务接口的调用,具体为:
拦截向所述应用服务端发送的访问请求;
根据所述应用标识AppId查询所述App_Token,得到新的访问请求,新的访问请求携带有所述App_Token;
向所述应用服务端发送新的访问请求,以使所述应用服务端校验所述App_Token是否合法;
在所述应用服务端校验所述App_Token合法时,获取所述应用服务端返回的应用内容;
在所述应用服务端校验所述App_Token非法时,通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥。
8.如权利要求7所述的基于量子安全中间件的统一身份认证方法,其特征在于,在通过所述App_Token无法获取AppTicektId时,所述方法还包括:
向所述移动终端响应重新进入登录状态。
9.一种基于量子安全中间件的统一身份认证方法,其特征在于,应用于身份认证服务端,所述身份认证服务端中集成有第二安全芯片,所述第二安全芯片中存储有经所述量子密钥管理系统预先充注的量子密钥,所述方法包括:
接收移动终端发送的用户名合法校验请求;
在用户名校验合法时,向所述移动终端发送挑战随机数à,以使所述移动终端计算登录认证信息,所述登录认证信息包括登录信息MAC值及登录信息密文,所述登录信息密文携带有时变参数、登录认证凭据、应用标识AppId及挑战随机数à;
接收所述移动终端发送的所述登录认证信息,并通过所述第二安全芯片向所述量子密钥管理系统请求获取认证密钥,以解密所述登录认证信息;
在所述登录认证信息明文校验成功时,生成密文信息并返回至所述移动终端,所述密文信息包括全局令牌标识Token、应用身份票据AppTicketId、响应信息MACβ和应用标识AppId;
接收应用服务端发送的访问请求,并在验证所述访问请求合法时返回响应信息至所述应用服务端,以使所述应用服务端根据所述响应信息生成应用令牌标识App_Token并返回至所述移动终端,所述访问请求为所述移动终端基于所述密文信息生成。
10.如权利要求9所述的基于量子安全中间件的统一身份认证方法,其特征在于,所述通过所述第二安全芯片向所述量子密钥管理系统请求获取认证密钥,以解密所述登录认证信息,包括:
基于所述登录认证信息向所述第二安全芯片发起密钥请求,以获取所述第二安全芯片返回的密钥序列号Y、密钥C及第二安全芯片标识IDβ;
向所述量子密钥管理系统发起认证密钥获取请求,以使所述量子密钥管理系统获取认证密钥AuthKey并生成第二认证密钥响应消息,所述认证密钥获取请求包括密钥序列号Y及密钥加密信息,该密钥加密信息携带有时变参数、第二安全芯片标识IDβ及会话标识SessionId;
接收所述量子密钥管理系统返回的第二认证密钥响应消息,并使用密钥序列号Y对所述第二认证密钥响应信息进行解密,获取所述认证密钥AuthKey;
使用所述认证密钥AuthKey解密所述登录认证信息,得到登录认证信息明文,所述登录认证信息明文包括用户登录认证凭据、挑战随机数à、应用标识AppId及登录信息MAC值。
11.如权利要求10所述的基于量子安全中间件的统一身份认证方法,其特征在于,所述方法还包括:
对所述登录认证信息明文进行校验;
在校验失败时,向所述移动终端返回登录认证失败信息;
在校验成功时,使用CAS与JWT技术结合生成Token和AppTicketId;
使用所述认证密钥AuthKey结合加密算法,对所述Token、AppTicketId及第三时变参数进行运算,得到所述密文信息。
12.如权利要求9所述的基于量子安全中间件的统一身份认证方法,其特征在于,在所述移动终端需长期保持登录会话时,所述方法还包括:
设置所述Token及所述App_Token的有效期为长期时间。
13.一种基于量子安全中间件的统一身份认证装置,其特征在于,所述装置为移动终端,所述移动终端中集成有安全中间件、第一安全芯片和应用客户端,所述第一安全芯片中存储有经所述量子密钥管理系统预先充注的量子密钥,所述安全中间件包括:
认证密钥获取模块,用于拦截所述应用客户端向身份认证服务端提交的登录请求信息,并通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥;
登录请求模块,用于利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,以使所述身份认证服务端向所述密钥管理系统获取所述认证密钥并解密所述登录认证信息;
密文接收模块,用于接收所述身份认证服务端返回的密文信息,所述密文信息携带有全局令牌标识Token和应用身份票据AppTicketId;
访问模块,用于基于所述密文信息访问应用服务端,以使所述应用服务端向所述身份认证服务端发起认证请求,所述身份认证服务端返回响应信息至所述应用服务端;
认证登录模块,用于接收所述应用服务端返回的应用令牌标识App_Token,完成统一身份认证登录,所述App_Token由所述应用服务端根据所述响应信息生成。
14.一种基于量子安全中间件的统一身份认证装置,其特征在于,所述装置为身份认证服务端,所述身份认证服务端中集成有第二安全芯片,所述第二安全芯片中存储有经所述量子密钥管理系统预先充注的量子密钥,所述身份认证服务端包括:
用户名校验模块,用于接收移动终端发送的用户名合法校验请求;
随机数发送模块,用于在用户名校验合法时,向所述移动终端发送挑战随机数à,以使所述移动终端计算登录认证信息,所述登录认证信息包括登录信息MAC值及登录信息密文,所述登录信息密文携带有时变参数、登录认证凭据、应用标识AppId及挑战随机数à;
登录请求接收模块,用于接收所述移动终端发送的所述登录认证信息,并通过所述第二安全芯片向所述量子密钥管理系统请求获取认证密钥,以解密所述登录认证信息;
密文生成模块,用于在所述登录认证信息明文校验成功时,生成密文信息并返回至所述移动终端,所述密文信息包括全局令牌标识Token、应用身份票据AppTicketId、响应信息MACβ和应用标识AppId;
访问接收模块,用于接收应用服务端发送的访问请求,并在验证所述访问请求合法时返回响应信息至所述应用服务端,以使所述应用服务端根据所述响应信息生成应用令牌标识App_Token并返回至所述移动终端,所述访问请求为所述移动终端基于所述密文信息生成。
15.一种基于量子安全中间件的统一身份认证系统,其特征在于,所述系统包括移动终端、应用服务端、身份认证服务端和量子密钥管理系统,所述量子密钥管理系统分别与所述移动终端和所述身份认证服务端连接,所述移动终端分别与所述应用服务端和所述身份认证服务端连接,所述应用服务端与所述身份认证服务端连接;
所述移动终端中集成有安全中间件、第一安全芯片和应用客户端,所述第一安全芯片中存储有经所述量子密钥管理系统预先充注的量子密钥;所述身份认证服务端中集成中第二安全芯片,所述第二安全芯片中存储有经所述量子密钥管理系统预先充注的量子密钥;所述安全中间件包括:
认证密钥获取模块,用于拦截所述应用客户端向身份认证服务端提交的登录请求信息,并通过所述第一安全芯片向量子密钥管理系统请求获取认证密钥;
登录请求模块,用于利用所述认证密钥加密所述登录请求信息,得到登录认证信息并转发至所述身份认证服务端,以使所述身份认证服务端向所述密钥管理系统获取所述认证密钥并解密所述登录认证信息;
密文接收模块,用于接收所述身份认证服务端返回的密文信息,所述密文信息由携带有全局令牌标识Token和应用身份票据AppTicketId;
访问模块,用于基于所述密文信息访问应用服务端,以使所述应用服务端向所述身份认证服务端发起认证请求,所述身份认证服务端返回响应信息至所述应用服务端;
认证登录模块,用于接收所述应用服务端返回的应用令牌标识App_Token,完成统一身份认证登录,所述App_Token由所述应用服务端根据所述响应信息生成。
CN202211198230.4A 2022-09-29 2022-09-29 基于量子安全中间件的统一身份认证方法、装置及系统 Pending CN115567223A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211198230.4A CN115567223A (zh) 2022-09-29 2022-09-29 基于量子安全中间件的统一身份认证方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211198230.4A CN115567223A (zh) 2022-09-29 2022-09-29 基于量子安全中间件的统一身份认证方法、装置及系统

Publications (1)

Publication Number Publication Date
CN115567223A true CN115567223A (zh) 2023-01-03

Family

ID=84743778

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211198230.4A Pending CN115567223A (zh) 2022-09-29 2022-09-29 基于量子安全中间件的统一身份认证方法、装置及系统

Country Status (1)

Country Link
CN (1) CN115567223A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527259A (zh) * 2023-07-03 2023-08-01 中电信量子科技有限公司 基于量子密钥分发网络的跨域身份认证方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527259A (zh) * 2023-07-03 2023-08-01 中电信量子科技有限公司 基于量子密钥分发网络的跨域身份认证方法及系统
CN116527259B (zh) * 2023-07-03 2023-09-19 中电信量子科技有限公司 基于量子密钥分发网络的跨域身份认证方法及系统

Similar Documents

Publication Publication Date Title
US8843415B2 (en) Secure software service systems and methods
TWI497336B (zh) 用於資料安全之裝置及電腦程式
US8904180B2 (en) Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys
US20200320178A1 (en) Digital rights management authorization token pairing
US20020107804A1 (en) System and method for managing trust between clients and servers
CN111901346B (zh) 一种身份认证系统
CN105103119A (zh) 数据安全服务系统
CN111770088A (zh) 数据鉴权方法、装置、电子设备和计算机可读存储介质
CN114900338A (zh) 一种加密解密方法、装置、设备和介质
CN113312664B (zh) 用户数据授权方法及用户数据授权系统
KR101063354B1 (ko) 공개 키 기반의 프로토콜을 이용한 과금 시스템 및 그 방법
CN111740995B (zh) 一种授权认证方法及相关装置
CN116458117A (zh) 安全数字签名
CN115242553B (zh) 一种支持安全多方计算的数据交换方法及系统
CN110740116B (zh) 一种多应用身份认证的系统及方法
CN113918967A (zh) 基于安全校验的数据传输方法、系统、计算机设备、介质
US20230299973A1 (en) Service registration method and device
CN115567223A (zh) 基于量子安全中间件的统一身份认证方法、装置及系统
CN113505353B (zh) 一种认证方法、装置、设备和存储介质
CN112235276B (zh) 主从设备交互方法、装置、系统、电子设备和计算机介质
CN115834077B (zh) 控制方法、控制系统、电子设备及存储介质
CN115549930B (zh) 登录操作系统的验证方法
KR102636987B1 (ko) 영지식증명을 이용한 블록체인 네트워크의 오라클 서비스를 제공하는 방법 및 이를 이용한 어그리게이터 단말
CN112822175B (zh) 一种信息访问方法、装置及电子设备
KR20220128615A (ko) 콘텐츠 배포 네트워크에서 보안 정보의 전송

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination