CN116232633A - 一种基于量子动态令牌的身份认证方法及系统 - Google Patents

一种基于量子动态令牌的身份认证方法及系统 Download PDF

Info

Publication number
CN116232633A
CN116232633A CN202211547107.9A CN202211547107A CN116232633A CN 116232633 A CN116232633 A CN 116232633A CN 202211547107 A CN202211547107 A CN 202211547107A CN 116232633 A CN116232633 A CN 116232633A
Authority
CN
China
Prior art keywords
quantum
token
server
user
test particles
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211547107.9A
Other languages
English (en)
Inventor
党芳芳
吴克河
柴艳玉
闫丽景
李帅
张晓良
牛栋
孙圣聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
North China Electric Power University
State Grid Henan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd
Original Assignee
North China Electric Power University
State Grid Henan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by North China Electric Power University, State Grid Henan Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd filed Critical North China Electric Power University
Priority to CN202211547107.9A priority Critical patent/CN116232633A/zh
Publication of CN116232633A publication Critical patent/CN116232633A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本发明公开了一种基于量子动态令牌的身份认证方法及系统。方法包括:用户登录成功后,服务器生成量子令牌并将测试粒子插入令牌中,将带有测试粒子的量子令牌发送给用户;用户收到量子令牌后,根据预共享的第一秘密字符串S1测量相应基的测试粒子,检测通道中是否存在窃听者,并验证服务器的身份;当用户再次访问服务器时,根据预共享的第二秘密字符串S2将测试粒子插入量子令牌,将量子令牌和测试粒子发送到服务器;服务器收到量子令牌后,根据S2通过测量具有相应基的测试粒子来验证用户的身份;并使用量子单向函数和交换测试确定是否接受令牌。本发明利用量子态来传递信息,极大提高安全性。

Description

一种基于量子动态令牌的身份认证方法及系统
技术领域
本发明涉及电力工控系统的安全防护,具体涉及一种基于量子动态令牌的身份认证方法及系统。
背景技术
随着信息化在企业生产、经营、管理中的支撑和引领作用不断增强,内部运转和对外服务依托大量业务信息系统,涉及数据信息、业务信息和个人信息等内容越来越多,系统网站及其所承载的数据已成为攻击的主要目标,安全管理面临挑战。
为了加强系统安全性,电力系统目前通过在互联网出口部署下一代防火墙、IPS、WAF等传统安全防护设备,从多方面建设网络安全防御体系,并取得了较好的防护效果。与此同时,当前web攻击出现了复杂多变的工具化、自动化的新兴攻击手段,如:漏洞扫描、撞库、钓鱼攻击、应用层DDOS、交易篡改、网站架构爬取、数据聚合、零日漏洞等。此类自动化攻击手段具有效率高、成本低、危害大等特点,IPS、WAF等传统安全手段在面对新兴安全威胁时防护瓶颈凸显:
(1)攻击者模拟用户正常行为进行攻击。目前,各类扫描及攻击工具往往通过模拟用户的正常行为,发起撞库和爬虫攻击进而窃取数据,传统防护手段由于无法区分利用正常用户访问实施攻击的行为,难以有效防护此类攻击,管理人员的安全监控存在盲区。
(2)互联网业务在逻辑安全防护方面较弱。黑客可通过自动化工具批量注册账户,并恶意调用短信接口,用于欺诈、爬取客户信息等行为,并通过工具模拟正常业务操作保持账号活跃度,躲避安全监控系统的识别。
(3)钓鱼攻击和网站仿冒攻击行为频发。攻击者制作山寨网站并调用真实网站短信接口,向用户发送虚假短信,虚假连接,从而盗取用户名、密码等敏感信息。此类有针对性的业务威胁攻击,传统安全解决方案无能为力。
(4)现有防护手段难以抵御应用漏洞探测。互联网边界虽然已经部署了下一代防火墙、IPS等传统网络安全防护设备,但由于web应用经常变更及调整,安全设备策略如果未及时更新匹配,可能导致系统漏洞被利用造成的攻击失陷问题。
(5)传统安全设备难以防范零日漏洞。零日漏洞具有很大的突发性与破坏性,常规采用系统补丁、安全设备规则更新阻拦零日漏洞的方式,存在响应滞后的问题。
新兴安全问题与传统防护手段之间存在攻守不均衡问题,从识别能力、阻拦效果、响应速度上难以应对新型自动化攻击,建立新的身份认证方法刻不容缓。
发明内容
发明目的:针对现有防护手段的不足,本发明提供了一种基于量子动态令牌的身份认证方法及系统,提高电力工控系统应对攻击的能力。
技术方案:一种基于量子动态令牌的身份认证方法,参与实体包括用户和服务器,所述方法包括以下步骤:
(1)服务器基于用户登录的ID生成量子令牌,根据和用户共享的第一秘密字符串S1将测试粒子插入令牌中,将带有测试粒子的量子令牌发送给用户;
(2)用户收到量子令牌后,根据和服务器预共享的第一秘密字符串S1测量相应基的测试粒子,检测传输通道中是否存在窃听者,并验证服务器的身份,如果第一秘密字符串S1的检测错误率高于指定阈值,则中止协议,服务器身份验证不通过;否则继续协议,用户丢弃测试粒子,服务器身份验证通过;
(3)当用户再次访问服务器时,根据和服务器预共享的第二秘密字符串S2将测试粒子插入量子令牌,并将量子令牌和测试粒子发送到服务器;
(4)服务器收到量子令牌后,根据和用户预共享的第二秘密字符串S2测量具有相应基的测试粒子来验证用户的身份,如果第二秘密字符串S2检测错误率高于指定阈值,则中止身份验证,否则继续验证,服务器丢弃测试粒子,并根据量子令牌中的信息进行量子单向函数计算,使用量子单向函数的输出结果进行交换测试,测试通过则用户身份通过。
优选地,量子令牌包括:标头、有效载荷和量子信息,其中标头指示令牌类型为量子令牌和用于签名的算法为量子单向函数,有效载荷包括服务器信息、用户ID、令牌的发布时间和到期时间,量子信息包括用于验证量子令牌有效性的量子状态,所述量子状态是基于标头中指示的量子单向函数生成的。
优选地,所述量子单向函数的输入是标头和有效载荷中的信息以及服务器掌握的密钥K,量子单向函数的输出为n量子状态
Figure BDA0003980485190000021
Figure BDA0003980485190000022
其中,f表示量子单向函数,x‖y表示x和y这两个字符串的连结,header表示标头,payload表示有效载荷。
优选地,所述步骤(2)中,用户根据和服务器预共享的第一秘密字符串S1测量相应基的测试粒子包括:用户从线偏振基和圆偏振基中随机选择一组偏振基进行测量,使用线偏振基或圆偏振基测量时,V代表对应基的值,检测第一秘密字符串S1和V中不一样的位置。
优选地,第一秘密字符串的检测错误率为第一秘密字符串S1和V中位置不同的个数q在测试粒子总数p中所占的比例。
优选地,服务器根据量子令牌中的信息进行量子单向函数计算包括:基于标头中指定的量子单向函数,基于标头、有效载荷和密钥K的输入信息,输出第n量子状态
Figure BDA0003980485190000031
使用量子控制交换门比较/>
Figure BDA0003980485190000032
和/>
Figure BDA0003980485190000033
如果交换通过则服务器接受令牌,其中/>
Figure BDA0003980485190000034
是量子信息中的量子原始状态。
本发明还提供一种基于量子动态令牌的身份认证系统,包括服务器和用户,所述用户被配置为:登录时向服务器发送ID和密码;从服务器收到量子令牌后,根据和服务器预共享的第一秘密字符串S1测量相应基的测试粒子,检测传输通道中是否存在窃听者,并验证服务器的身份,如果第一秘密字符串S1的检测错误率高于指定阈值,则中止协议,服务器身份验证不通过;否则继续协议,用户丢弃测试粒子,服务器身份验证通过;以及,再次访问服务器时,根据和服务器预共享的第二秘密字符串S2将测试粒子插入量子令牌,并将量子令牌和测试粒子发送到服务器;
所述服务器被配置为:基于用户登录的ID生成量子令牌,根据和用户共享的第一秘密字符串S1将测试粒子插入令牌中,将带有测试粒子的量子令牌发送给用户;以及,收到用户发送的量子令牌后,根据和用户预共享的第二秘密字符串S2测量具有相应基的测试粒子来验证用户的身份,如果第二秘密字符串S2检测错误率高于指定阈值,则中止身份验证,否则继续验证,服务器丢弃测试粒子,并根据量子令牌中的信息进行量子单向函数计算,使用量子单向函数的输出结果进行交换测试,测试通过则用户身份通过。
有益效果:
1、本发明提出主动的防护措施,实现主动验证的自动化工具,自动为合法用户颁发一次性动态令牌技术,解决目前基于特征匹配防护措施漏报率高、响应滞后等问题,实现从人防到技防的转变,改变传统网络安全攻守不对称的局面。
2、本发明允许服务器生成令牌,并在用户成功登录后将其发送给用户。然后,用户可以携带该令牌在有效期内再次访问或访问其他分布式服务器。量子是依靠量子态来传递信息,信息一旦被捕获,量子的状态就会改变,接收方无法获取,就可以确定自己的信息已经被恶意者捕获,并且由于量子加密难以被破解,安全性高。
附图说明
图1是交换测试的量子电路图示;
图2是基于量子动态令牌的身份认证方法整体流程图。
具体实施方式
下面结合附图对本发明的技术方案作进一步说明。
本发明提供了一种基于量子动态令牌的身份认证方法,该方法基于量子单向函数和交换测试来实现。为了对本发明的技术方案有更充分的了解,下面首先介绍量子单向函数和交换测试的相关概念。
与经典比特不同的是,量子比特可以叠加存在。量子比特也被称为量子位,在本发明中可互换使用。通常情况下,一个量子比特的状态|Φ>表达式可以被写为|Φ>=α|0>+β|1>,它表示一个量子比特既可能处于|0>态,也可能处于|1>态,也可能处于这两个态的叠加态α|0>+β|1>。其中|0>和|1>是量子的两个本形态,形成正交基,α和β是满足|α|2+|β|2=1的复数。两个量子状态之间的距离|φ>和|φ'>被定义为
Figure BDA0003980485190000041
其中<φ|φ'>是|φ>和|φ'>的内积。
n量子状态的意思是,在n量子比特系统中,有2n个像|x1x2…xn>的基态,其中(x1x2…xn)∈{0,1}n,n量子比特系统处于这些基态的叠加态。
n量子比特的一般状态可以表示为
Figure BDA0003980485190000042
其中系数值与量子比特数成指数关系。它遵循下面的:当k≠k′且n量子状态集/>
Figure BDA0003980485190000043
存在时满足/>
Figure BDA0003980485190000044
这里如果δ<1,状态集中将含有不止2n个状态,也就是说两两状态之间不存在最大距离。实际上,当δ≈0.9时,所有状态集的大小可能为/>
Figure BDA0003980485190000045
k和k’表示的是比特串。
一个量子单向函数被定义为:
f:k→|Ψ>
其中k是长度为L1的经典比特串,|Ψ>是长度为L2的量子比特的量子状态。量子单向函数f的含义为:输入长度为L1的经典比特串k,输出L2个量子比特的量子态|Ψ>,其中L1>>L2。当Τ表示状态|Ψ>的拷贝数时,条件L1-TL2>>1必须成立。本发明在身份认证中使用量子单向函数的输出结果进行交换测试。
为了比较两个量子态|Ψ>和|Ψ'>,需要一个称为交换测试的量子电路。如图1所示,H为Hadamard门,即阿达玛门,SWAP为交换操作,控制位(也称为控制比特)为经过Hadamard交换的一个辅助量子位。如果控制位为1,则SWAP门交换输入量子态|Ψ>|Ψ′>→|Ψ′>|Ψ>,如果控制位为0,则不做任何操作。
交换测试的过程如下:首先需要准备一个辅助量子比特
Figure BDA0003980485190000051
以辅助量子比特为控制位,以|Ψ>和|Ψ'>为目标执行量子控制交换门。接下来,基于辅助量子比特执行阿达玛门。阿达玛门是将线偏振基{|0>,|1>}转为圆偏振基{|+>,|->}。之后,必须在计算基础({|0>,|1>})上测量辅助量子比特,测量公式为:
Figure BDA0003980485190000052
其中,(c-SWAP)为控制门。({|0>,|1>})表示线偏振基。如果结果是|0>,意味着交换测试通过。如果|Ψ>=|Ψ'>,交换测试通过。否则,如果|<Ψ|Ψ'>|≤δ,则有
Figure BDA0003980485190000053
的概率交换测试通过,有/>
Figure BDA0003980485190000054
的概率交换测试不通过。但是可以通过重复进行交换测试来提高精度。
交换测试在本发明中的作用是:给定两个量子单向函数输出|Ψ>和|Ψ′>,通过交换测试判断量子单向函数的输入k和k’是否相等。
本发明的身份认证方法的参与方包括两个实体:服务器和用户。服务器在用户登录后生成量子令牌并插入用于检测窃听的测试粒子。用户检测到窃听时可以验证服务器的身份。当用户再次访问时插入测试粒子并呈现量子令牌,然后服务器可以验证量子令牌是否有效。
本发明中使用的测试粒子为BB84粒子。BB84是一个量子密码协议。在BB84协议中,信息的传输载体是单粒子。BB84粒子常见的四种偏振态可以表示为|0>、|1>、|+>和|->,其中,|0>和|1>分别为粒子的水平和垂直偏振态,成为Z基;|+>和|->分别为45度和135度偏振态,成为X基。
本发明中生成量子令牌的方式如下:
假设用户和服务器提前共享了两个秘密字符串S1,S2以及m,p表示测试粒子的个数,m表示字符串分块后的长度,其中
Figure BDA0003980485190000061
服务器有一个只有它自己知道的秘密密钥K。
当使用第一秘密字符串S1进行身份验证的时候,我们把S1分为块,即S1=(S11,S12,…S1p,B,V),其中每一个S1i(i=1…p)表示一个测试粒子的位置,B代表一个测试基,V代表对应基的值。分块后的S11,S12,…,S1p的长度是m比特,B和V的长度和p是相等的。假设每一个S1i是不重复的。B=0代表线偏振基({|0>,|1>}),B=1代表圆偏振基({|+>,|->})。如果B=0并且V=0表示量子状态为|0>;如果B=0并且V=1表示量子状态|1>;如果B=1并且V=0表示量子状态|+>;如果B=1并且V=1表示量子状态|->。对于第二秘密字符串的验证方式S2同理。
量子令牌的结构包含三个部分:标头header,有效载荷payload和量子信息quantum information。header包括1)令牌的类型,为量子令牌,和2)用于签名的算法,为量子单向函数。payload包括服务器信息、用户ID、令牌的发布时间和到期时间。量子信息包括用于验证量子令牌有效性的量子状态。使用header中的量子单向函数生成量子状态,量子单向函数的输入是header和payload中的信息以及密钥K,量子单向函数的输出为n量子状态
Figure BDA0003980485190000062
Figure BDA0003980485190000063
其中,f表示量子单向函数,x‖y表示x和y这两个字符串的连结。
使用n量子状态作为quantum information,并且与header和payload一起组成量子令牌。为了检测窃听和验证身份,服务器根据之前共享的字符串S1或S2将p个非正交测试粒子插入到
Figure BDA0003980485190000071
中。字符串S1或S2经过量子单向函数的处理可以得到初始的量子状态,
Figure BDA0003980485190000072
是n量子状态,交换测试是对初始量子状态和n量子状态进行比较。
参照图2,本发明所述的基于量子动态令牌的身份认证方法,具体步骤如下:
(1)当用户登录的时候通过一个经典的安全通道(例如,http、ftp等)向服务器发送ID和密码;
(2)用户登录成功后,服务器生成一个量子令牌(Token)并将一些测试粒子插入令牌中,即,根据S1插入测试粒子。然后,服务器通过经典通道和量子通道的组合将带有测试粒子的量子令牌发送给用户。
(3)用户从服务器收到量子令牌后,根据预共享的第一秘密字符串S1测量相应基的测试粒子。用户可以从线偏振基和圆偏振基中随机选择一组偏振基进行测量。所述测量是指比较字符串S1和V中不一样的位置。然后用户检测通道中是否存在窃听者,同时可以验证服务器的身份。根据量子不确定原理,检测一个位置的量子状态会破坏原来的量子状态。当窃听者想要通过攻击获得Token信息的时候,量子状态发生了变化,这样的话交换测试就会失败,从而可以检测到窃听者。而秘密字符串S1和S2只有用户和服务器知道。如果攻击者想要模拟服务器,让用户携带量子Token访问恶意网站,那么生成的量子状态与原始的量子状态不一样,交换测试失败,从而验证了服务器身份。在这种情况下,当字符串错误率高于某个预定义的阈值,则中止协议,身份验证不通过;否则,双方继续这个协议。用户丢弃测试粒子,身份认证通过。使用线偏振基或圆偏振基测量时,V代表对应基的值,所述的字符串错误率指的是字符串S1和V中不一样的位置所占的比例。假设S1与V中位置不同的个数为q,则错误率=q/p。
(4)当用户再次访问服务器时,根据预共享的秘密字符串S2将测试粒子插入量子令牌,然后将量子令牌和测试粒子发送到服务器。所述的服务器可以是分布式服务器,即用户访问分布式服务器中的其他服务器时,也是这样操作。例如,当用户访问分布式服务器中的其他服务器时,根据预共享的秘密字符串S2将测试粒子插入量子令牌,然后将量子令牌和测试粒子发送到该服务器。
(5)服务器收到量子令牌后,首先检查令牌的过期时间。如果令牌尚未过期,则服务器检测是否有窃听,根据预共享的第二秘密字符串S2,通过测量具有相应基的测试粒子来验证用户的身份。如果第二秘密字符串错误率高于某个预定义的阈值,则中止协议,身份验证不通过。否则,继续验证,服务器丢弃测试粒子。所述第二秘密字符串错误率的计算方法同第一秘密字符串错误率的计算方法。同时,Token的量子信息中的量子状态是原始状态
Figure BDA0003980485190000081
服务器再次使用标头中指定的量子单向函数,输入是标头、有效载荷和密钥K的信息。输出是第n量子状态/>
Figure BDA0003980485190000082
服务器使用量子控制交换门比较/>
Figure BDA0003980485190000083
和/>
Figure BDA0003980485190000084
如果交换通过则服务器接受令牌,用户身份认证通过。如果交换测试不通过,则用户身份认证不通过。
基于上述关于基于量子动态令牌的身份认证方法的描述,本发明还提供一种基于量子动态令牌的身份认证系统,包括服务器和用户,所述用户被配置为:登录时向服务器发送ID和密码;从服务器收到量子令牌后,根据和服务器预共享的第一秘密字符串S1测量相应基的测试粒子,检测传输通道中是否存在窃听者,并验证服务器的身份,如果第一秘密字符串S1的检测错误率高于指定阈值,则中止协议,服务器身份验证不通过;否则继续协议,用户丢弃测试粒子,服务器身份验证通过;以及,再次访问服务器时,根据和服务器预共享的第二秘密字符串S2将测试粒子插入量子令牌,并将量子令牌和测试粒子发送到服务器;
所述服务器被配置为:基于用户登录的ID生成量子令牌,根据和用户共享的第一秘密字符串S1将测试粒子插入令牌中,将带有测试粒子的量子令牌发送给用户;以及,收到用户发送的量子令牌后,根据和用户预共享的第二秘密字符串S2测量具有相应基的测试粒子来验证用户的身份,如果第二秘密字符串S2检测错误率高于指定阈值,则中止身份验证,否则继续验证,服务器丢弃测试粒子,并根据量子令牌中的信息进行量子单向函数计算,使用量子单向函数的输出结果进行交换测试,测试通过则用户身份通过。
在所述基于量子动态令牌的身份认证系统中,用户的操作和服务器的操作的具体实现可以参照方法实施例中的描述。
本发明通过量子动态令牌进行主动的防护措施,可以实现主动验证的自动化工具,自动为合法用户颁发一次性动态令牌技术,解决目前基于特征匹配防护措施漏报率高、响应滞后等问题,实现从人防到技防的转变,改变传统网络安全攻守不对称的局面。本发明依靠量子态来传递信息,信息一旦被捕获,量子的状态就会改变,接收方无法获取,就可以确定自己的信息已经被恶意者捕获,并且由于量子加密难以被破解,安全性高。

Claims (10)

1.一种基于量子动态令牌的身份认证方法,参与实体包括用户和服务器,其特征在于,所述方法包括以下步骤:
(1)服务器基于用户登录的ID生成量子令牌,根据和用户共享的第一秘密字符串S1将测试粒子插入令牌中,将带有测试粒子的量子令牌发送给用户;
(2)用户收到量子令牌后,根据和服务器预共享的第一秘密字符串S1测量相应基的测试粒子,检测传输通道中是否存在窃听者,并验证服务器的身份,如果第一秘密字符串S1的检测错误率高于指定阈值,则中止协议,服务器身份验证不通过;否则继续协议,用户丢弃测试粒子,服务器身份验证通过;
(3)当用户再次访问服务器时,根据和服务器预共享的第二秘密字符串S2将测试粒子插入量子令牌,并将量子令牌和测试粒子发送到服务器;
(4)服务器收到量子令牌后,根据和用户预共享的第二秘密字符串S2测量具有相应基的测试粒子来验证用户的身份,如果第二秘密字符串S2检测错误率高于指定阈值,则中止身份验证,否则继续验证,服务器丢弃测试粒子,并根据量子令牌中的信息进行量子单向函数计算,使用量子单向函数的输出结果进行交换测试,测试通过则用户身份通过。
2.根据权利要求1所述的基于量子动态令牌的身份认证方法,其特征在于,量子令牌包括:标头、有效载荷和量子信息,其中标头指示令牌类型为量子令牌和用于签名的算法为量子单向函数,有效载荷包括服务器信息、用户ID、令牌的发布时间和到期时间,量子信息包括用于验证量子令牌有效性的量子状态,所述量子状态是基于标头中指示的量子单向函数生成的。
3.根据权利要求2所述的基于量子动态令牌的身份认证方法,其特征在于,所述量子单向函数的输入是标头和有效载荷中的信息以及服务器掌握的密钥K,量子单向函数的输出为n量子状态
Figure FDA0003980485180000011
Figure FDA0003980485180000012
其中,f表示量子单向函数,x‖y表示x和y这两个字符串的连结,header表示标头,payload表示有效载荷。
4.根据权利要求1所述的基于量子动态令牌的身份认证方法,其特征在于,所述步骤(2)中,用户根据和服务器预共享的第一秘密字符串S1测量相应基的测试粒子包括:用户从线偏振基和圆偏振基中随机选择一组偏振基进行测量,使用线偏振基或圆偏振基测量时,V代表对应基的值,检测第一秘密字符串S1和V中不一样的位置。
5.根据权利要求4所述的基于量子动态令牌的身份认证方法,其特征在于,第一秘密字符串的检测错误率为第一秘密字符串S1和V中位置不同的个数q在测试粒子总数p中所占的比例。
6.根据权利要求3所述的基于量子动态令牌的身份认证方法,其特征在于,服务器根据量子令牌中的信息进行量子单向函数计算包括:基于标头中指定的量子单向函数,基于标头、有效载荷和密钥K的输入信息,输出第n量子状态
Figure FDA0003980485180000021
使用量子控制交换门比较/>
Figure FDA0003980485180000022
和/>
Figure FDA0003980485180000023
如果交换通过则服务器接受令牌,其中/>
Figure FDA0003980485180000024
是量子信息中的量子原始状态。/>
7.一种基于量子动态令牌的身份认证系统,其特征在于,包括服务器和用户,所述用户被配置为:登录时向服务器发送ID和密码;从服务器收到量子令牌后,根据和服务器预共享的第一秘密字符串S1测量相应基的测试粒子,检测传输通道中是否存在窃听者,并验证服务器的身份,如果第一秘密字符串S1的检测错误率高于指定阈值,则中止协议,服务器身份验证不通过;否则继续协议,用户丢弃测试粒子,服务器身份验证通过;以及,再次访问服务器时,根据和服务器预共享的第二秘密字符串S2将测试粒子插入量子令牌,并将量子令牌和测试粒子发送到服务器;
所述服务器被配置为:基于用户登录的ID生成量子令牌,根据和用户共享的第一秘密字符串S1将测试粒子插入令牌中,将带有测试粒子的量子令牌发送给用户;以及,收到用户发送的量子令牌后,根据和用户预共享的第二秘密字符串S2测量具有相应基的测试粒子来验证用户的身份,如果第二秘密字符串S2检测错误率高于指定阈值,则中止身份验证,否则继续验证,服务器丢弃测试粒子,并根据量子令牌中的信息进行量子单向函数计算,使用量子单向函数的输出结果进行交换测试,测试通过则用户身份通过。
8.根据权利要求7所述的基于量子动态令牌的身份认证系统,其特征在于,量子令牌包括:标头、有效载荷和量子信息,其中标头指示令牌类型为量子令牌和用于签名的算法为量子单向函数,有效载荷包括服务器信息、用户ID、令牌的发布时间和到期时间,量子信息包括用于验证量子令牌有效性的量子状态,所述量子状态是基于标头中指示的量子单向函数生成的。
9.根据权利要求7所述的基于量子动态令牌的身份认证系统,其特征在于,所述量子单向函数的输入是标头和有效载荷中的信息以及服务器掌握的密钥K,量子单向函数的输出为n量子状态
Figure FDA0003980485180000031
Figure FDA0003980485180000032
其中,f表示量子单向函数,x‖y表示x和y这两个字符串的连结,header表示标头,payload表示有效载荷。
10.根据权利要求7所述的基于量子动态令牌的身份认证系统,其特征在于,用户根据和服务器预共享的第一秘密字符串S1测量相应基的测试粒子包括:用户从线偏振基和圆偏振基中随机选择一组偏振基进行测量,使用线偏振基或圆偏振基测量时,V代表对应基的值,检测第一秘密字符串S1和V中不一样的位置,其中第一秘密字符串的检测错误率为第一秘密字符串S1和V中位置不同的个数q在测试粒子总数p中所占的比例。
CN202211547107.9A 2022-12-05 2022-12-05 一种基于量子动态令牌的身份认证方法及系统 Pending CN116232633A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211547107.9A CN116232633A (zh) 2022-12-05 2022-12-05 一种基于量子动态令牌的身份认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211547107.9A CN116232633A (zh) 2022-12-05 2022-12-05 一种基于量子动态令牌的身份认证方法及系统

Publications (1)

Publication Number Publication Date
CN116232633A true CN116232633A (zh) 2023-06-06

Family

ID=86589937

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211547107.9A Pending CN116232633A (zh) 2022-12-05 2022-12-05 一种基于量子动态令牌的身份认证方法及系统

Country Status (1)

Country Link
CN (1) CN116232633A (zh)

Similar Documents

Publication Publication Date Title
Srinivas et al. Designing secure user authentication protocol for big data collection in IoT-based intelligent transportation system
Alipour et al. Wireless anomaly detection based on IEEE 802.11 behavior analysis
Puthal et al. SEEN: A selective encryption method to ensure confidentiality for big sensing data streams
Lounis et al. Lessons learned: Analysis of PUF-based authentication protocols for IoT
Chen et al. Security analysis and improvement of user authentication framework for cloud computing
Chen et al. Enhanced authentication protocol for the Internet of Things environment
JP2017524306A (ja) 暗号化操作における悪意のある変更に対する保護
Alshomrani et al. PUFDCA: A Zero‐Trust‐Based IoT Device Continuous Authentication Protocol
Mandlekar et al. Survey on fog computing mitigating data theft attacks in cloud
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
US20240048363A1 (en) Network packet tampering proofing
US20240073009A1 (en) Registration of endpoints by authentication server when onboarding to network
Gupta et al. Implementing high grade security in cloud application using multifactor authentication and cryptography
Fan et al. Eland: an efficient lightweight anonymous authentication protocol applied to digital rights management system
Emira Authenticating IoT devices issues based on blockchain
Lara et al. Trends on computer security: Cryptography, user authentication, denial of service and intrusion detection
Zhou et al. An Efficient Chaotic Map‐Based Authentication Scheme with Mutual Anonymity
CN116232633A (zh) 一种基于量子动态令牌的身份认证方法及系统
Vemuri et al. Insider Attack Detection and Prevention using Server Authentication using Elgamal Encryption
Zhu et al. [Retracted] Research on Privacy Data Protection Based on Trusted Computing and Blockchain
Dey et al. Four dimensional security and vulnerability matrix for cloud (4-SVM)
Lai et al. A hybrid quantum key distribution protocol for tele-care medicine information systems
Gallinad G24: A Novel Quantum Key Distribution Protocol for Enhanced Security in Telecommunication Networks
He et al. High-efficient RFID authentication protocol based on physical unclonable function
US20240064012A1 (en) Authentication cryptography operations, exchanges and signatures

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination