CN117318925A - 一种量子认证方法、装置、电子设备及存储介质 - Google Patents

一种量子认证方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN117318925A
CN117318925A CN202311109679.3A CN202311109679A CN117318925A CN 117318925 A CN117318925 A CN 117318925A CN 202311109679 A CN202311109679 A CN 202311109679A CN 117318925 A CN117318925 A CN 117318925A
Authority
CN
China
Prior art keywords
quantum
key
terminal
authentication
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311109679.3A
Other languages
English (en)
Inventor
张志伟
王晨
黄胜云
汪亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202311109679.3A priority Critical patent/CN117318925A/zh
Publication of CN117318925A publication Critical patent/CN117318925A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种量子认证方法、装置、电子设备及存储介质。使用量子随机数发生器生成的量子随机数作为量子密钥对身份进行量子认证,量子密钥通过充注至量子安全芯片中进行保护,一次认证一份密钥,可以提高身份认证的机密性以及真实性,其次,认证过程中传输的数据包括的有使用量子密钥加密过的密文,如此可以提高安全性。本申请的方案对现有的系统几乎无改造,适配难度低,改造成本低,可以更快且更好地在不同业务场景中复制推广,通用性强,延展性好,易用性好。其次,本申请的量子认证方式的逻辑与原有的登录认证方式的逻辑相互独立,不会对原有的登录认证方式带来干扰和改变,减少了适配难度。

Description

一种量子认证方法、装置、电子设备及存储介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种量子认证方法、装置、电子设备及存储介质。
背景技术
随着技术的飞速发展,在网络上传输的数据越来越多。与此同时网络安全问题也日益严峻,例如,网络攻击中非法者伪造合法的身份来非法窃取业务服务端中的数据等。
因此,需要对访问业务服务端的访问者的身份进行认证。然而,目前的方式都是使用业务服务端中的固有的身份认证方式,例如,认证访问者的账号和密码是否匹配的方式来对访问业务服务端的访问者的身份进行认证。
但是,认证访问者的账号和密码是否匹配的方式的安全性低,进而导致业务服务端中的数据的安全性低等。
发明内容
本申请示出了一种量子认证方法、装置、电子设备及存储介质。
第一方面,本申请示出了一种量子认证方法,应用于业务服务端,所述方法包括:
在用户终端访问业务服务端的场景中,向用户终端发送量子认证指令;以使用户终端根据量子认证指令向量子认证终端发送量子安全凭证的获取请求;以使量子认证终端根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与所述用户标识、所述终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由所述终端标识以及第一序列号组成的组合相对应的密钥ID;第二对应关系包括至少由所述终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;向用户终端发送量子安全凭证;以使用户终端向业务服务端发送量子安全凭证;
接收用户终端发送的量子安全凭证;
向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
在一个可选的实现方式中,所述方法还包括:
在接收到用户终端发送的量子安全凭证之后,提取量子安全凭证中的用户标识;
获取用户终端已发送至业务服务端的用户终端的登录令牌,登录令牌中具有使用用户终端的用户的用户标识;提取登录令牌中的用户的用户标识;
在量子安全凭证中的用户标识与登录令牌中的用户标识相同的情况下,再执行向量子认证服务端发送量子安全凭证的步骤。
第二方面,本申请示出了一种量子认证方法,应用于用户终端,所述方法包括:
在用户终端访问业务服务端的场景中,接收业务服务端发送的量子认证指令;
根据量子认证指令向量子认证终端发送量子安全凭证的获取请求;以使量子认证终端根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与所述用户标识、所述终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由所述终端标识以及第一序列号组成的组合相对应的密钥ID;第二对应关系包括至少由所述终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;向用户终端发送量子安全凭证;
接收量子认证终端发送的量子安全凭证;
向业务服务端发送量子安全凭证;以使业务服务端向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
第三方面,本申请示出了一种量子认证方法,应用于量子认证终端,所述方法包括:
接收用户终端发送的量子安全凭证的获取请求;获取请求是用户终端根据量子认证指令向量子认证终端发送的;量子认证指令是在用户终端访问业务服务端的场景中业务服务端向用户终端发送的;
根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的密钥ID,量子认证终端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;
向用户终端发送量子安全凭证;以使用户终端向业务服务端发送量子安全凭证;以使业务服务端向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
在一个可选的实现方式中,所述方法还包括:
在量子认证终端控制第一量子安全芯片对第一组合信息计算得到的第一加密校验码之后,设置第一量子安全芯片中的第一密钥ID对应的第一量子密钥的使用状态为已使用。
在一个可选的实现方式中,所述设置第一量子安全芯片中的第一密钥ID对应的第一量子密钥的使用状态为已使用,包括:
在量子认证终端中存储的预设已使用列表中存储第一密钥ID,量子认证终端中的预设已使用列表用于存储第一量子安全芯片已使用过的量子密钥的密钥ID。
第四方面,本申请示出了一种量子认证方法,应用于量子认证服务端,所述方法包括:
接收业务服务端发送的量子安全凭证;量子安全凭证是量子认证终端发送至用户终端以及用户终端发送至业务服务端的;量子安全凭证是量子认证终端根据量子安全凭证的获取请求获取的;获取请求是用户终端根据量子认证指令向量子认证终端发送的;量子认证指令是在用户终端访问业务服务端的场景中业务服务端向用户终端发送的;量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的密钥ID,量子认证终端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;
解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;
在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;
控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;
在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
在一个可选的实现方式中,所述方法还包括:
在第二对应关系中查找到至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID之后,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态是否为未使用;
在第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用的情况下,再执行所述控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码的步骤。
在一个可选的实现方式中,所述确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态是否为未使用,包括:
在量子认证服务端中存储的预设已使用列表中查找第二密钥ID,量子认证服务端中的预设已使用列表用于存储第二量子安全芯片已使用过的量子密钥的密钥ID;
在量子认证服务端中的预设已使用列表中查找到第二密钥ID的情况下,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用;
或者,在量子认证服务端中的预设已使用列表中未查找到第二密钥ID的情况下,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用。
在一个可选的实现方式中,所述方法还包括:
在控制第二量子安全芯片对第二组合信息计算得到第二加密校验码之后,设置第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用。
在一个可选的实现方式中,所述设置第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用,包括:
在量子认证服务端中存储的预设已使用列表中存储第二密钥ID,量子认证服务端中的预设已使用列表用于存储第二量子安全芯片已使用过的量子密钥的密钥ID。
第五方面,本申请示出了一种量子认证装置,应用于业务服务端,所述装置包括:
第一发送模块,用于在用户终端访问业务服务端的场景中,向用户终端发送量子认证指令;以使用户终端根据量子认证指令向量子认证终端发送量子安全凭证的获取请求;以使量子认证终端根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与所述用户标识、所述终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由所述终端标识以及第一序列号组成的组合相对应的密钥ID;第二对应关系包括至少由所述终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;向用户终端发送量子安全凭证;以使用户终端向业务服务端发送量子安全凭证;
第一接收模块,用于接收用户终端发送的量子安全凭证;
第二发送模块,用于向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
在一个可选的实现方式中,所述装置还包括:
提取模块,用于在接收到用户终端发送的量子安全凭证之后,提取量子安全凭证中的用户标识;
第一获取模块,用于获取用户终端已发送至业务服务端的用户终端的登录令牌,登录令牌中具有使用用户终端的用户的用户标识;提取登录令牌中的用户的用户标识;
第二发送模块还用于:在量子安全凭证中的用户标识与登录令牌中的用户标识相同的情况下,再向量子认证服务端发送量子安全凭证。
第六方面,本申请示出了一种量子认证装置,应用于用户终端,所述装置包括:
第二接收模块,用于在用户终端访问业务服务端的场景中,接收业务服务端发送的量子认证指令;
第三发送模块,用于根据量子认证指令向量子认证终端发送量子安全凭证的获取请求;以使量子认证终端根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与所述用户标识、所述终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由所述终端标识以及第一序列号组成的组合相对应的密钥ID;第二对应关系包括至少由所述终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;向用户终端发送量子安全凭证;
第三接收模块,用于接收量子认证终端发送的量子安全凭证;
第四发送模块,用于向业务服务端发送量子安全凭证;以使业务服务端向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
第七方面,本申请示出了一种量子认证装置,应用于量子认证终端,所述装置包括:
第四接收模块,用于接收用户终端发送的量子安全凭证的获取请求;获取请求是用户终端根据量子认证指令向量子认证终端发送的;量子认证指令是在用户终端访问业务服务端的场景中业务服务端向用户终端发送的;
第二获取模块,用于根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的密钥ID,量子认证终端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;
第五发送模块,用于向用户终端发送量子安全凭证;以使用户终端向业务服务端发送量子安全凭证;以使业务服务端向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
在一个可选的实现方式中,所述装置还包括:
第一设置模块,用于在量子认证终端控制第一量子安全芯片对第一组合信息计算得到的第一加密校验码之后,设置第一量子安全芯片中的第一密钥ID对应的第一量子密钥的使用状态为已使用。
在一个可选的实现方式中,所述第一设置模块包括:
第一存储单元,用于在量子认证终端中存储的预设已使用列表中存储第一密钥ID,量子认证终端中的预设已使用列表用于存储第一量子安全芯片已使用过的量子密钥的密钥ID。
第八方面,本申请示出了一种量子认证装置,应用于量子认证服务端,所述装置包括:
第五接收模块,用于接收业务服务端发送的量子安全凭证;量子安全凭证是量子认证终端发送至用户终端以及用户终端发送至业务服务端的;量子安全凭证是量子认证终端根据量子安全凭证的获取请求获取的;获取请求是用户终端根据量子认证指令向量子认证终端发送的;量子认证指令是在用户终端访问业务服务端的场景中业务服务端向用户终端发送的;量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的密钥ID,量子认证终端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;
解析模块,用于解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;
查找模块,用于在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;
计算模块,用于控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;
第一确定模块,用于在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
在一个可选的实现方式中,所述装置还包括:
第二确定模块,用于在第二对应关系中查找到至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID之后,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态是否为未使用;
所述计算模块还用于:在第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用的情况下,再控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码。
在一个可选的实现方式中,所述第二确定模块包括:
查找单元,用于在量子认证服务端中存储的预设已使用列表中查找第二密钥ID,量子认证服务端中的预设已使用列表用于存储第二量子安全芯片已使用过的量子密钥的密钥ID;
第一确定单元,用于在量子认证服务端中的预设已使用列表中查找到第二密钥ID的情况下,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用;
或者,第二确定单元,用于在量子认证服务端中的预设已使用列表中未查找到第二密钥ID的情况下,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用。
在一个可选的实现方式中,所述装置还包括:
第二设置模块,用于在控制第二量子安全芯片对第二组合信息计算得到第二加密校验码之后,设置第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用。
在一个可选的实现方式中,所述第二设置模块包括:
第二存储单元,用于在量子认证服务端中存储的预设已使用列表中存储第二密钥ID,量子认证服务端中的预设已使用列表用于存储第二量子安全芯片已使用过的量子密钥的密钥ID。
第九方面,本申请示出了一种电子设备,所述电子设备包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为执行如上述任一方面所述的方法。
第十方面,本申请示出了一种非临时性计算机可读存储介质,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行如上述任一方面所述的方法。
第十一方面,本申请示出了一种计算机程序产品,当所述计算机程序产品中的指令由电子设备的处理器执行时,使得电子设备能够执行如上述任一方面所述的方法。
本申请提供的技术方案可以包括以下有益效果:
使用量子随机数发生器生成的量子随机数作为量子密钥对身份进行量子认证,量子密钥通过充注至量子安全芯片中进行保护,一次认证一份密钥,可以极大减少因身份伪造而非法访问业务服务端而带来数据泄露,可以提高身份认证的机密性以及真实性,其次,认证过程中传输的数据包括的有使用量子密钥加密过的密文,如此可以提高安全性。
可以防范未来量子计算机和量子算法带来的安全威胁,可以防范基于大因数分解难题的公钥密码算法被破译问题,例如,使用量子对称密钥,无法通过大因数分解来破译,可以防范未来出现的量子计算机带来的安全威胁,例如,使用量子安全密码进行加密传输,理论上是完全安全可信的,可以防范未来可能出现的量子算法对已有密码体系的威胁,例如,使用量子安全密码进行加密传输,量子安全密钥是通过量子随机数发生器生成的真随机数,无法通过算法来破译。
本申请的方案易于实现,量子安全芯片是可行的技术,基于量子对称密钥的安全认证是可行的技术,量子密钥根据量子随机数发生器生成的量子随机数得到,安全性高。
本申请的方案对现有的系统几乎无改造,适配难度低,改造成本低,可以更快且更好地在不同业务场景中复制推广,或者,直接将本方案对接至现有的系统即可,本申请的方案通用性强,延展性好,易用性好。
其次,本申请的量子认证方式的逻辑与原有的登录认证方式的逻辑相互独立,不会对原有的登录认证方式带来干扰和改变,减少了适配难度。
附图说明
图1是本申请的一种量子认证系统的结构框图。
图2是本申请的一种量子认证方法的步骤流程图。
图3是本申请的一种量子认证方法的步骤流程图
图4是本申请的一种量子认证装置的结构框图。
图5是本申请的一种量子认证装置的结构框图。
图6是本申请的一种量子认证装置的结构框图。
图7是本申请的一种量子认证装置的结构框图。
图8是本申请的一种电子设备的框图。
图9是本申请的一种电子设备的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1,示出了本申请的一种量子认证系统的结构框图。
量子认证系统包括:用户终端、量子认证终端、业务服务端以及量子认证服务端等。
用户终端包括广大用户使用的能够访问业务服务端的终端等,例如,包括手机、平板电脑、台式电脑或者笔记本电脑等。
在一个实施例中,量子认证终端与用户终端之间可以是相互独立的设备,例如,量子认证终端可以是单独生产并销售的设备,对量子认证终端的生产和销售并不依赖于对用户终端的生产和销售。例如,量子认证终端可以包括U盾等,例如,量子认证终端是在用户终端上可以插拔的设备等。
或者,在另一个实施例中,量子认证终端也可以是内置在用户终端中的设备,在用户终端出厂之前,量子认证终端已经内置在了用户终端中。
量子认证服务端可以是量子认证终端对应的服务器等。
业务服务端用于对用户终端提供业务服务,例如,视频服务、游戏服务或者即时通讯服务等。
量子认证终端与量子认证服务端之间通信连接。
量子认证终端与用户终端之间通信连接。
用户终端与业务服务端之间可以通信连接。
业务服务端还可以与量子认证服务端之间通信连接。
量子认证终端中具有第一量子安全芯片,量子认证服务端中具有第二量子安全芯片。
量子认证终端上还具有第一量子认证控件,第一量子认证控件可以包括量子安全盾等,其可以包括用于控制量子认证终端的控制程序等,例如,用于控制量子认证终端中的第一量子安全芯片的控制程序,第一量子认证控件对外提供统一的服务接口,便于广大用户终端集成使用等。
量子认证服务端上还具有第二量子认证控件,第二量子认证控件可以包括用于控制量子认证服务端的控制程序等,例如,用于控制量子认证服务端中的第二量子安全芯片的控制程序。
另外,量子认证服务系统还可以包括:量子随机数发生器、量子交换密码机以及量子密钥充注机等。
量子随机数发生器与量子交换密码机之间通信连接。
量子交换密码机与量子密钥充注机之间通信连接。
量子密钥充注机与量子认证终端中的第一量子安全芯片之间通信连接。
量子密钥充注机与量子认证服务端中的第二量子安全芯片之间通信连接。
量子随机数发生器用于生成量子随机数,并作为量子密钥。
量子随机数发生器可以将生成的量子密钥发送至量子交换密码机。
量子交换密码机可以接收量子随机数发生器发送的量子密钥,并存储量子随机数发生器发送的量子密钥,以及将量子随机数发生器发送的量子密钥分别充注至量子认证终端中的第一量子安全芯片中与量子认证服务端中的第二量子安全芯片中。
如此,量子认证终端中的第一量子安全芯片中的量子密钥与量子认证服务端中的第二量子安全芯片中的量子密钥可以互为对称密钥,如此,通过量子认证终端中的第一量子安全芯片中的量子密钥与量子认证服务端中的第二量子安全芯片中的量子密钥可以进行对称实体认证。
在本申请一个实施例中,每一个量子密钥分别具有各自的密钥ID(IdentityDocument,身份标识号),不同的量子密钥的密钥ID不同。
量子密钥充注机可以获取量子密钥与量子密钥的密钥ID之间的第一对应关系;例如,量子密钥的密钥ID可以是量子交换密码机对量子密钥生成的并传输至量子密钥充注机的,如此,量子密钥充注机可以获取量子交换密码机传输的量子密钥的密钥ID。或者,量子密钥的密钥ID可以是量子密钥充注机对量子密钥生成的。
然后,量子密钥充注机可以将第一对应关系分别充注至量子认证终端中的第一量子安全芯片中以及量子认证服务端中的第二量子安全芯片中,第一对应关系中包括多个密钥ID以及多个量子密钥(也即,实现了向第一量子安全芯片中以及第二量子安全芯片中分别充注多个相同的量子密钥,且各个量子密钥以密钥ID来唯一标识,也即,不同的密钥ID对应的不同的量子密钥)。
另外,量子密钥充注机可以获取第二对应关系,第二对应关系包括:“至少由量子认证终端的终端标识和在第一量子安全芯片中充注的量子密钥的序列号组成的组合”与“在第一量子安全芯片中充注的量子密钥的密钥ID”之间的对应关系。
第二对应关系中包括两部分。
一部分为:至少由量子认证终端的终端标识和在第一量子安全芯片中充注的量子密钥的序列号组成的组合。
另一部分为:在第一量子安全芯片中充注的量子密钥的密钥ID。
不同的量子认证终端的终端标识不同,不同的量子认证终端可以是为不同的用户终端提供量子认证服务的。也即,不同的量子认证终端是与不同的用户匹配的。用户使用为其匹配的量子认证终端进行的量子认证才是合法的认证,而用户使用不是为其匹配的量子认证终端进行的量子认证不是合法的认证。
在第一量子安全芯片中充注的各个量子密钥的序列号不同。例如,在第一量子安全芯片中充注的各个量子密钥在第一量子安全芯片中的序列号不同,例如,序列号可以包括1~N等,N为在第一量子安全芯片中充注的量子密钥的数量。
之后,量子密钥充注机可以将第二对应关系分别充注至量子认证终端中以及量子认证服务端中,以便后续量子认证终端以及量子认证服务端各自在需要使用各自的量子安全芯片中的量子密钥时,可以根据第二对应关系索引需要使用的量子密钥的密钥ID,并将需要使用的量子密钥的密钥ID传输至自己的量子安全芯片中,以便自己的量子安全芯片根据需要使用的量子密钥的密钥ID索引需要使用的量子密钥,并使用需要使用的量子密钥。
参照图2,示出了本申请的一种量子认证方法的步骤流程图,该方法应用于图1所示的量子认证系统中,其中,该方法包括:
在步骤S101中,在用户终端访问业务服务端的场景中,业务服务端向用户终端发送量子认证指令。
用户终端访问业务服务端的场景包括:用户使用用户终端向业务服务端发送访问请求的场景等,访问请求包括用于获取业务服务端中的数据的获取请求等。
在本申请一个实施例中,在业务服务端每接收到用户终端发送的一个访问请求,就可以向用户终端发送量子认证指令,以确保访问请求是合法的访问请求,在确定出访问请求是合法的访问请求的情况下,再根据访问请求向用户终端提供数据服务,或者,在确定出访问请求是非法请求的情况下,不根据访问请求向用户终端提供数据服务。
或者,在本申请另一实施例中,业务服务端并非针对用户终端发送的每一个访问请求都向用户终端发送量子认证指令。
例如,业务服务端可以确定用户终端需要访问的数据的类型是否为预设类型,预设类型包括机密类型等,在用户终端需要访问的数据的类型为预设类型的情况下,再向用户终端发送量子认证指令。
其中,在业务服务端中的能够供用户终端访问的各个数据都有各自的类型,例如,可以是机密类型或普通类型等。
机密类型用于表示数据的机密程度高,如此,业务服务端需要对数据进行较高程度保密,在外部请求访问机密类型的数据时,业务服务端可以对外部进行量子认证,以确认外部的访问是合法访问是再向外部提供数据。
普通类型用于表示数据的机密程度普通或较低,如此,业务服务端可以不对数据进行较高程度保密,在外部请求访问普通类型的数据时,业务服务端可以不对外部进行量子认证,直接向外部提供数据即可。
用户终端向业务服务端发送的访问请求中可以携带需要访问的数据的数据标识,数据标识可以包括URL(Uniform Resource Locator,统一资源定位器)等,业务服务端在接收到访问请求之后,可以提取出访问请求中的需要访问的数据的数据标识,然后根据需要访问的数据的数据标识查找需要访问的数据的类型,在查找到的类型是预设类型的情况下,可以确定用户终端需要访问的数据的类型为预设类型,或者,在查找到的类型不是预设类型的情况下,可以确定用户终端需要访问的数据的类型不为预设类型。
通过本实施例,不是每一个访问请求都进行量子认证,而是在必要的情况下再进行量子认证,在不影响数据安全的情况下可以提高访问效率。
其次,在一种可能的情况下,有些用户是高级别用户,往往会有访问业务服务端中的预设类型的数据的需求,例如,高级别用户需要访问的数据的类型可能会包括预设类型。或者,有些用户是低级别用户,往往没有访问业务服务端中的预设类型的数据的需求,例如,低级别用户需要访问的数据的类型往往不是预设类型。
如此,针对低级别用户可以不分配量子认证终端,而对高级别用户分配量子认证终端,可以减少需要配备的量子认证终端的数量,进而可以降低硬件成本。其次,还可以减少需要充注的量子密钥的数量以及量子密钥的使用量,减少充注成本。
在步骤S102中,用户终端接收业务服务端发送的量子认证指令。
在步骤S103中,用户终端根据量子认证指令向量子认证终端发送量子安全凭证的获取请求。
在量子认证的场景中需要使用到关于量子认证终端中的第一量子安全芯片中的量子密钥的相关数据,如此,用户终端可以从量子认证终端处间接请求获取关于量子认证终端中的第一量子安全芯片中的量子密钥的相关数据。
本申请一个实施例中,关于量子认证终端中的第一量子安全芯片中的量子密钥的相关数据可以以量子安全凭证来体现,如此,用户终端可以向量子认证终端发送量子安全凭证的获取请求。
获取请求可以包括getSecurityCredential函数等。
在步骤S104中,量子认证终端接收用户终端发送的获取请求。
在步骤S105中,量子认证终端根据获取请求获取量子安全凭证。量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码。
所述用户标识事先已存储在量子认证终端中(事先在量子认证终端中存储与量子认证终端匹配的用户的用户标识的过程可以参见图3所示)。第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一量子密钥。
与量子认证终端匹配的用户可以理解为事先在为用户分配量子认证终端时,是将这个量子认证终端分配给这个用户的,也即,这个用户与这个量子认证终端是绑定的。这个用户使用为其分配的这个量子认证终端进行的量子认证才是合法的认证,而这个用户使用不是为其分配的这个量子认证终端进行的量子认证不是合法的认证,或者,其他用户使用为这个用户分配的这个量子认证终端进行的量子认证不是合法的认证。
对第一组合信息计算包括对第一组合信息使用SM3算法(国产哈希算法)计算等,当然,也支持其他算法,本申请对具体的算法不做限定。
第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥。第一对应关系中的量子密钥是使用量子随机数发生器生成的。
第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的密钥ID。量子认证终端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系。
第一量子密钥之前未被使用过。例如,第一量子密钥之前未被量子认证终端中的第一量子安全芯片使用过。例如,第一量子安全芯片中的第一量子密钥的第一密钥ID未存储在量子认证终端中存储的预设已使用列表中。量子认证终端中的预设已使用列表用于存储第一量子安全芯片已使用过的量子密钥的密钥ID。
在本申请另一实施例中,在量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到第一加密校验码之后,量子认证终端可以设置第一量子安全芯片中的第一量子密钥的使用状态为已使用,例如,量子认证终端可以在量子认证终端中存储的预设已使用列表中存储第一密钥ID。
另外,第一量子安全芯片还可以删除已充注的第一量子密钥。
在步骤S106中,量子认证终端向用户终端发送量子安全凭证。
在步骤S107中,用户终端接收量子认证终端发送的量子安全凭证。
在步骤S108中,用户终端向业务服务端发送量子安全凭证。
在步骤S109中,业务服务端接收用户终端发送的量子安全凭证。
在本申请一个实施例中,业务服务端可以提取量子安全凭证中的与量子认证终端匹配的用户的用户标识。
其次,之前用户终端还向业务服务端发送过用户终端的登录令牌,或者,业务服务端是将量子安全凭证与用户终端的登录令牌一并发送至业务服务端。如此,业务服务端可以得到用户终端的登录令牌,用户终端的登录令牌中具有使用用户终端的用户的用户标识,用户标识包括用户的手机号、账号或名称等。登录令牌可以包括access_token等。业务服务端可以提取登录令牌中的用户的用户标识。
在量子安全凭证中的与量子认证终端匹配的用户的用户标识与登录令牌中的使用用户终端的用户的用户标识相同的情况下,则说明量子认证终端是与使用用户终端的用户匹配的量子认证终端,也即,量子认证终端是事先被分配至使用用户终端的用户的量子认证终端,这样,业务服务端可以执行步骤S110。
或者,在量子安全凭证中的与量子认证终端匹配的用户的用户标识与登录令牌中的使用用户终端的用户的用户标识不同的情况下,则说明量子认证终端不是与使用用户终端的用户匹配的量子认证终端,也即,量子认证终端不是事先被分配至使用用户终端的用户的量子认证终端,量子认证服务端可以确定用户终端访问业务服务端是非法访问。
另外,业务服务端在提取登录令牌中的使用用户终端的用户的用户标识之前,可以先验证登录令牌是否合法。
例如,在一个实施例中,登录令牌中携带有效时间戳,在业务服务端的当前时刻早于或等于登录令牌中的有效时间戳的情况下,可以确定登录令牌合法,然后业务服务端再提取登录令牌中的使用用户终端的用户的用户标识。
或者,在业务服务端的当前时刻晚于登录令牌中的有效时间戳的情况下,说明登录令牌已过期,可以确定登录令牌非法,进而可以确定用户终端访问业务服务端是非法访问,则业务服务端不提取登录令牌中的使用用户终端的用户的用户标识。
再例如,在另一个实施例中,本申请对以前的登录令牌进行了改造,例如,在以前的登录令牌中增加了新的字段,新的字段可以为一个,可以为多个,新的字段在登录令牌中的位置是特定的,新的字段中用于存储量子安全凭证中的量子认证终端的终端标识、第一序列号以及第一加密校验码,量子认证终端的终端标识、第一序列号以及第一加密校验码可以分别分布在不同的新的字段中,也可以分布在一个新的字段中,也可以分布式在两个不同的新的字段中,分布情况是特定的。
例如,登录令牌的结构可以为JWT。在登录令牌中增加两个的字段包括:“QUANTUM_INDEX”以及“QUANTUM_MAC”等,“QUANTUM_INDEX”中用于存储量子安全凭证中的量子认证终端的终端标识以及第一序列号。“QUANTUM_MAC”中用于存储第一加密校验码。
新的字段的数量、新的字段在登录令牌中的位置以及新的字段中分布的数据组成了登录令牌的格式。
本申请中的方案中,用户终端向业务服务端发送的登录令牌的格式需要满足上述提到的特定的格式,若用户终端向业务服务端发送的登录令牌的格式满足上述提到的特定的格式,则可以确定登录令牌合法。或者,若用户终端向业务服务端发送的登录令牌的格式不满足上述提到的特定的格式,则可以确定登录令牌不合法,进而可以确定用户终端访问业务服务端是非法访问。
通过本实施例,可以辅助验证用户终端访问业务服务端是合法访问还是非法访问(例如可以校验出量子认证终端是否被其他人盗用),可以尽可能地提高数据安全性。且在辅助验证时也不需要用户在用户终端或者量子认证终端中输入pin码,减少了用户操作,提高了辅助验证的效率。
在步骤S110中,业务服务端向量子认证服务端发送量子安全凭证。
在步骤S111中,量子认证服务端接收业务服务端发送的量子安全凭证。
在步骤S112中,量子认证服务端解析量子安全凭证中的与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码。
在步骤S113中,量子认证服务端在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的第二密钥ID。
量子认证服务端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系。
在一个实施例中,量子认证服务端查找到第二密钥ID之后,可以直接执行步骤S114。
或者,在另一个实施例中,量子认证服务端确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态是否为未使用。
在本申请中,每当量子认证服务端控制量子认证服务端中的第二量子安全芯片使用了一个量子密钥,则量子认证服务端会在量子认证服务端中存储的预设已使用列表中存储这一个量子密钥的密钥ID,以实现将这一个量子密钥的使用状态设置为已使用。另外,第二量子安全芯片还可以删除已充注的这一个量子密钥。也即,量子认证服务端中的预设已使用列表用于存储第二量子安全芯片已使用过的量子密钥的密钥ID。
如此,在量子认证服务端确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态是否为未使用时,量子认证服务端可以在量子认证服务端中存储的预设已使用列表中查找第二密钥ID。
在量子认证服务端中存储的预设已使用列表中查找到第二密钥ID的情况下,可以确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用。
或者,在量子认证服务端中存储的预设已使用列表中未查找到第二密钥ID的情况下,可以确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用。
在第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用的情况下,再执行步骤S114。
在第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用的情况下,量子认证服务端可以确定用户终端访问业务服务端是非法访问。
在步骤S114中,量子认证服务端控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码。第二组合信息包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第二量子密钥。
第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥。
对第二组合信息计算是可以对第二组合信息使用SM3算法(国产哈希算法)计算等。当然,也支持其他算法,本申请对具体的算法不做限定,只要是量子认证终端和量子认证服务端之间协商的算法一致即可。
进一步地,量子认证服务端可以设置第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用。例如,量子认证服务端可以在量子认证服务端中存储的预设已使用列表中存储第二密钥ID。
另外,第二量子安全芯片还可以删除已充注的第二量子密钥。
在步骤S115中,在第一加密校验码与第二加密校验码相同的情况下,量子认证服务端确定用户终端访问业务服务端是合法访问。
在第一加密校验码与第二加密校验码相同的情况下,则第一量子密钥和第二量子密钥往往互为对称密钥。
在第一加密校验码与第二加密校验码不同的情况下,则第一量子密钥和第二量子密钥往往不互为对称密钥。第一量子密钥可能伪造的量子密钥。
在一个实施例中,在量子认证服务端确定用户终端访问业务服务端是合法访问之后,量子认证服务端可以向业务服务端发送用户终端访问业务服务端是合法访问的合法指示,业务服务端在接收到量子认证服务端发送的合法指示之后,就可以根据合法指示确定用户终端访问业务服务端是合法访问,进而可以根据合法指示向用户终端提供访问服务。
或者,在另一个实施例中,在第一加密校验码与第二加密校验码不同的情况下,量子认证服务端确定用户终端访问业务服务端是非法访问。在量子认证服务端确定用户终端访问业务服务端是非法访问之后,量子认证服务端可以向业务服务端发送用户终端访问业务服务端是非法访问的非法指示,业务服务端在接收到量子认证服务端发送的非法指示之后,就可以根据非法指示确定用户终端访问业务服务端是非法访问,进而根据非法指示不向用户终端提供访问服务。
使用量子随机数发生器生成的量子随机数作为量子密钥对身份进行量子认证,量子密钥通过充注至量子安全芯片中进行保护,一次认证一份密钥,可以极大减少因身份伪造而非法访问业务服务端而带来数据泄露,可以提高身份认证的机密性以及真实性,其次,认证过程中传输的数据包括的有使用量子密钥加密过的密文,如此可以提高安全性。
可以防范未来量子计算机和量子算法带来的安全威胁,可以防范基于大因数分解难题的公钥密码算法被破译问题,例如,使用量子对称密钥,无法通过大因数分解来破译,可以防范未来出现的量子计算机带来的安全威胁,例如,使用量子安全密码进行加密传输,理论上是完全安全可信的,可以防范未来可能出现的量子算法对已有密码体系的威胁,例如,使用量子安全密码进行加密传输,量子安全密钥是通过量子随机数发生器生成的真随机数,无法通过算法来破译。
本申请的方案易于实现,量子安全芯片是可行的技术,基于量子对称密钥的安全认证是可行的技术,量子密钥根据量子随机数发生器生成的量子随机数得到,安全性高。
本申请的方案对现有的系统几乎无改造,适配难度低,改造成本低,可以更快且更好地在不同业务场景中复制推广,或者,直接将本方案对接至现有的系统即可,本申请的方案通用性强,延展性好,易用性好。
其次,本申请的量子认证方式的逻辑与原有的登录认证方式的逻辑相互独立,不会对原有的登录认证方式带来干扰和改变,减少了适配难度。
在本申请一个实施例中,事先在量子认证终端中存储与量子认证终端匹配的用户的用户标识的过程可以参见图3所示,包括:
在步骤S201中,量子认证终端初始化认证时,量子认证终端根据量子认证终端的终端标识生成第一量子认证信息。
量子认证终端初始化认证可以包括量子认证终端在第一次启动并建立与量子认证服务端之间的连接的场景。
在本申请一个实施例中,本步骤可以通过如下流程实现,包括:
2011、量子认证终端在事先由量子密钥充注机充注至量子认证终端中的第二对应关系中,查找与至少由量子认证终端的终端标识和第二序列号组成的组合对应的第三密钥ID。
2012、量子认证终端控制第一量子安全芯片使用第三量子密钥对与量子认证终端匹配的用户的用户标识加密,得到第一加密标识。第三量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第三密钥ID相对应的量子密钥。
进一步地,量子认证终端可以设置第一量子安全芯片中的第三密钥ID对应的第三量子密钥的使用状态设置已使用。例如,量子认证终端可以在量子认证终端中存储的预设已使用列表中存储第三密钥ID。另外,第一量子芯片可以还可以删除已充注的第三量子密钥。
2013、量子认证终端根据第一加密标识、量子认证终端的终端标识以及第二序列号生成第一量子认证信息。
例如,第一量子认证信息中包括第一加密标识、量子认证终端的终端标识以及第二序列号。
在步骤S202中,量子认证终端向量子认证服务端发送第一量子认证信息。
在步骤S203中,量子认证服务端接收量子认证终端发送的第一量子认证信息。
在步骤S204中,量子认证服务端根据第一量子认证信息获取量子认证终端的终端标识。
在本申请一个实施例中,本步骤可以通过如下流程实现,包括:
2041、量子认证服务端在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由量子认证终端的终端标识以及第二序列号组成的组合相对应的第四密钥ID。
2042、量子认证服务端控制第二量子安全芯片使用第四量子密钥对第一加密标识解密,得到第一解密标识。第四量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第四密钥ID相对应的量子密钥。
进一步地,量子认证服务端可以设置第二量子安全芯片中的第四密钥ID对应的第四量子密钥的使用状态为已使用。例如,量子认证服务端可以在量子认证服务端中存储的预设已使用列表中存储第四密钥ID。另外,第二量子芯片可以还可以删除已充注的第四量子密钥。
2043、量子认证服务端判断第一解密标识是否是量子认证服务端之前分配过的量子认证终端的终端标识。
量子认证服务端向广大用户分配各个量子认证终端的终端标识均可以存储在量子认证服务端的数据库中,如此,可以在数据库中查找是否存在第一解密标识,在数据库中查找到第一解密标识的情况下,可以确定第一解密标识是量子认证服务端之前分配过的量子认证终端的终端标识,或者,在数据库中未查找到第一解密标识的情况下,可以确定第一解密标识不是量子认证服务端之前分配过的量子认证终端的终端标识。
2044、在第一解密标识是量子认证服务端之前分配过的量子认证终端标识的情况下,将第一解密标识确定为量子认证终端的终端标识。
在步骤S205中,量子认证服务端根据量子认证终端的终端标识获取与量子认证终端匹配的用户的用户标识。
例如,量子认证服务端在第三对应关系中,查找与量子认证终端的终端标识相应的用户的用户标识。第三对应关系是事先在将量子认证终端分配给用户之后在量子认证服务端中存储的,第三对应关系包括量子认证终端的终端标识与分配了量子认证终端的用户的用户标识之间的对应关系。
在将量子认证终端分配给用户之后,可以人工在量子认证服务端中记录第三对应关系。用户的用户标识可以是人工在业务服务端中查询的,业务服务端中具有登录认证系统,可以在业务服务端中的登录认证系统中查询用户的用户标识。
在步骤S206中,量子认证服务端根据与量子认证终端匹配的用户的用户标识生成第二量子认证信息。
在本申请一个实施例中,本步骤可以通过如下流程实现,包括:
2061、量子认证服务端在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找与至少由量子认证终端的终端标识和第三序列号组成的组合对应的第五密钥ID。
2062、量子认证服务端控制第二量子安全芯片使用第五量子密钥对与量子认证终端匹配的用户的用户标识加密,得到第二加密标识。第五量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第五密钥ID相对应的量子密钥。
进一步地,量子认证服务端可以设置第二量子安全芯片中的第五密钥ID对应的第五量子密钥的使用状态为已使用。例如,量子认证服务端可以在量子认证服务端中存储的预设已使用列表中存储第五密钥ID。另外,第二量子芯片可以还可以删除已充注的第五量子密钥。
2063、量子认证服务端根据加密标识以及第三序列号生成第二量子认证信息。
例如,第二量子认证信息中包括加密标识以及第三序列号。或者,还可以包括量子认证终端的终端标识。
在步骤S207中,量子认证服务端向量子认证终端发送第二量子认证信息。
在步骤S208中,量子认证终端接收量子认证服务端发送的第二量子认证信息。
在步骤S209中,量子认证终端根据第二量子认证信息获取与量子认证终端匹配的用户的用户标识。
2091、量子认证终端在事先由量子密钥充注机充注至量子认证终端中的第二对应关系中,查找至少由量子认证终端的终端标识以及第三序列号组成的组合相对应的第六密钥ID。
2092、量子认证终端控制第一量子安全芯片使用第六量子密钥对第一加密标识解密,得到第二解密标识。第六量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第六密钥ID相对应的量子密钥。
进一步地,量子认证终端可以设置第一量子安全芯片中的第六密钥ID对应的第六量子密钥的使用状态为已使用。例如,量子认证终端可以在量子认证终端中存储的预设已使用列表中存储第六密钥ID。另外,第二量子芯片可以还可以删除已充注的第六量子密钥。
2094、将第二解密标识确定为量子认证终端的终端标识。
在步骤S210中,量子认证终端存储与量子认证终端匹配的用户的用户标识。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作并不一定是本申请所必须的。
参照图4,示出了本申请的一种量子认证装置的结构框图,应用于业务服务端,所述装置包括:
第一发送模块11,用于在用户终端访问业务服务端的场景中,向用户终端发送量子认证指令;以使用户终端根据量子认证指令向量子认证终端发送量子安全凭证的获取请求;以使量子认证终端根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与所述用户标识、所述终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由所述终端标识以及第一序列号组成的组合相对应的密钥ID;第二对应关系包括至少由所述终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;向用户终端发送量子安全凭证;以使用户终端向业务服务端发送量子安全凭证;
第一接收模块12,用于接收用户终端发送的量子安全凭证;
第二发送模块13,用于向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
在一个可选的实现方式中,所述装置还包括:
提取模块,用于在接收到用户终端发送的量子安全凭证之后,提取量子安全凭证中的用户标识;
第一获取模块,用于获取用户终端已发送至业务服务端的用户终端的登录令牌,登录令牌中具有使用用户终端的用户的用户标识;提取登录令牌中的用户的用户标识;
第二发送模块还用于:在量子安全凭证中的用户标识与登录令牌中的用户标识相同的情况下,再向量子认证服务端发送量子安全凭证。
使用量子随机数发生器生成的量子随机数作为量子密钥对身份进行量子认证,量子密钥通过充注至量子安全芯片中进行保护,一次认证一份密钥,可以极大减少因身份伪造而非法访问业务服务端而带来数据泄露,可以提高身份认证的机密性以及真实性,其次,认证过程中传输的数据包括的有使用量子密钥加密过的密文,如此可以提高安全性。
可以防范未来量子计算机和量子算法带来的安全威胁,可以防范基于大因数分解难题的公钥密码算法被破译问题,例如,使用量子对称密钥,无法通过大因数分解来破译,可以防范未来出现的量子计算机带来的安全威胁,例如,使用量子安全密码进行加密传输,理论上是完全安全可信的,可以防范未来可能出现的量子算法对已有密码体系的威胁,例如,使用量子安全密码进行加密传输,量子安全密钥是通过量子随机数发生器生成的真随机数,无法通过算法来破译。
本申请的方案易于实现,量子安全芯片是可行的技术,基于量子对称密钥的安全认证是可行的技术,量子密钥根据量子随机数发生器生成的量子随机数得到,安全性高。
本申请的方案对现有的系统几乎无改造,适配难度低,改造成本低,可以更快且更好地在不同业务场景中复制推广,或者,直接将本方案对接至现有的系统即可,本申请的方案通用性强,延展性好,易用性好。
其次,本申请的量子认证方式的逻辑与原有的登录认证方式的逻辑相互独立,不会对原有的登录认证方式带来干扰和改变,减少了适配难度。
参照图5,示出了本申请的一种量子认证装置的结构框图,应用于用户终端,所述装置包括:
第二接收模块21,用于在用户终端访问业务服务端的场景中,接收业务服务端发送的量子认证指令;
第三发送模块22,用于根据量子认证指令向量子认证终端发送量子安全凭证的获取请求;以使量子认证终端根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与所述用户标识、所述终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由所述终端标识以及第一序列号组成的组合相对应的密钥ID;第二对应关系包括至少由所述终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;向用户终端发送量子安全凭证;
第三接收模块23,用于接收量子认证终端发送的量子安全凭证;
第四发送模块24,用于向业务服务端发送量子安全凭证;以使业务服务端向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
使用量子随机数发生器生成的量子随机数作为量子密钥对身份进行量子认证,量子密钥通过充注至量子安全芯片中进行保护,一次认证一份密钥,可以极大减少因身份伪造而非法访问业务服务端而带来数据泄露,可以提高身份认证的机密性以及真实性,其次,认证过程中传输的数据包括的有使用量子密钥加密过的密文,如此可以提高安全性。
可以防范未来量子计算机和量子算法带来的安全威胁,可以防范基于大因数分解难题的公钥密码算法被破译问题,例如,使用量子对称密钥,无法通过大因数分解来破译,可以防范未来出现的量子计算机带来的安全威胁,例如,使用量子安全密码进行加密传输,理论上是完全安全可信的,可以防范未来可能出现的量子算法对已有密码体系的威胁,例如,使用量子安全密码进行加密传输,量子安全密钥是通过量子随机数发生器生成的真随机数,无法通过算法来破译。
本申请的方案易于实现,量子安全芯片是可行的技术,基于量子对称密钥的安全认证是可行的技术,量子密钥根据量子随机数发生器生成的量子随机数得到,安全性高。
本申请的方案对现有的系统几乎无改造,适配难度低,改造成本低,可以更快且更好地在不同业务场景中复制推广,或者,直接将本方案对接至现有的系统即可,本申请的方案通用性强,延展性好,易用性好。
其次,本申请的量子认证方式的逻辑与原有的登录认证方式的逻辑相互独立,不会对原有的登录认证方式带来干扰和改变,减少了适配难度。
参照图6,示出了本申请的一种量子认证装置的结构框图,应用于量子认证终端,所述装置包括:
第四接收模块31,用于接收用户终端发送的量子安全凭证的获取请求;获取请求是用户终端根据量子认证指令向量子认证终端发送的;量子认证指令是在用户终端访问业务服务端的场景中业务服务端向用户终端发送的;
第二获取模块32,用于根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的密钥ID,量子认证终端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;
第五发送模块33,用于向用户终端发送量子安全凭证;以使用户终端向业务服务端发送量子安全凭证;以使业务服务端向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
在一个可选的实现方式中,所述装置还包括:
第一设置模块,用于在量子认证终端控制第一量子安全芯片对第一组合信息计算得到的第一加密校验码之后,设置第一量子安全芯片中的第一密钥ID对应的第一量子密钥的使用状态为已使用。
在一个可选的实现方式中,所述第一设置模块包括:
第一存储单元,用于在量子认证终端中存储的预设已使用列表中存储第一密钥ID,量子认证终端中的预设已使用列表用于存储第一量子安全芯片已使用过的量子密钥的密钥ID。
使用量子随机数发生器生成的量子随机数作为量子密钥对身份进行量子认证,量子密钥通过充注至量子安全芯片中进行保护,一次认证一份密钥,可以极大减少因身份伪造而非法访问业务服务端而带来数据泄露,可以提高身份认证的机密性以及真实性,其次,认证过程中传输的数据包括的有使用量子密钥加密过的密文,如此可以提高安全性。
可以防范未来量子计算机和量子算法带来的安全威胁,可以防范基于大因数分解难题的公钥密码算法被破译问题,例如,使用量子对称密钥,无法通过大因数分解来破译,可以防范未来出现的量子计算机带来的安全威胁,例如,使用量子安全密码进行加密传输,理论上是完全安全可信的,可以防范未来可能出现的量子算法对已有密码体系的威胁,例如,使用量子安全密码进行加密传输,量子安全密钥是通过量子随机数发生器生成的真随机数,无法通过算法来破译。
本申请的方案易于实现,量子安全芯片是可行的技术,基于量子对称密钥的安全认证是可行的技术,量子密钥根据量子随机数发生器生成的量子随机数得到,安全性高。
本申请的方案对现有的系统几乎无改造,适配难度低,改造成本低,可以更快且更好地在不同业务场景中复制推广,或者,直接将本方案对接至现有的系统即可,本申请的方案通用性强,延展性好,易用性好。
其次,本申请的量子认证方式的逻辑与原有的登录认证方式的逻辑相互独立,不会对原有的登录认证方式带来干扰和改变,减少了适配难度。
参照图7,示出了本申请的一种量子认证装置的结构框图,应用于量子认证服务端,所述装置包括:
第五接收模块41,用于接收业务服务端发送的量子安全凭证;量子安全凭证是量子认证终端发送至用户终端以及用户终端发送至业务服务端的;量子安全凭证是量子认证终端根据量子安全凭证的获取请求获取的;获取请求是用户终端根据量子认证指令向量子认证终端发送的;量子认证指令是在用户终端访问业务服务端的场景中业务服务端向用户终端发送的;量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的密钥ID,量子认证终端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;
解析模块42,用于解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;
查找模块43,用于在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;
计算模块44,用于控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;
第一确定模块45,用于在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
在一个可选的实现方式中,所述装置还包括:
第二确定模块,用于在第二对应关系中查找到至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID之后,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态是否为未使用;
所述计算模块还用于:在第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用的情况下,再控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码。
在一个可选的实现方式中,所述第二确定模块包括:
查找单元,用于在量子认证服务端中存储的预设已使用列表中查找第二密钥ID,量子认证服务端中的预设已使用列表用于存储第二量子安全芯片已使用过的量子密钥的密钥ID;
第一确定单元,用于在量子认证服务端中的预设已使用列表中查找到第二密钥ID的情况下,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用;
或者,第二确定单元,用于在量子认证服务端中的预设已使用列表中未查找到第二密钥ID的情况下,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用。
在一个可选的实现方式中,所述装置还包括:
第二设置模块,用于在控制第二量子安全芯片对第二组合信息计算得到第二加密校验码之后,设置第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用。
在一个可选的实现方式中,所述第二设置模块包括:
第二存储单元,用于在量子认证服务端中存储的预设已使用列表中存储第二密钥ID,量子认证服务端中的预设已使用列表用于存储第二量子安全芯片已使用过的量子密钥的密钥ID。
使用量子随机数发生器生成的量子随机数作为量子密钥对身份进行量子认证,量子密钥通过充注至量子安全芯片中进行保护,一次认证一份密钥,可以极大减少因身份伪造而非法访问业务服务端而带来数据泄露,可以提高身份认证的机密性以及真实性,其次,认证过程中传输的数据包括的有使用量子密钥加密过的密文,如此可以提高安全性。
可以防范未来量子计算机和量子算法带来的安全威胁,可以防范基于大因数分解难题的公钥密码算法被破译问题,例如,使用量子对称密钥,无法通过大因数分解来破译,可以防范未来出现的量子计算机带来的安全威胁,例如,使用量子安全密码进行加密传输,理论上是完全安全可信的,可以防范未来可能出现的量子算法对已有密码体系的威胁,例如,使用量子安全密码进行加密传输,量子安全密钥是通过量子随机数发生器生成的真随机数,无法通过算法来破译。
本申请的方案易于实现,量子安全芯片是可行的技术,基于量子对称密钥的安全认证是可行的技术,量子密钥根据量子随机数发生器生成的量子随机数得到,安全性高。
本申请的方案对现有的系统几乎无改造,适配难度低,改造成本低,可以更快且更好地在不同业务场景中复制推广,或者,直接将本方案对接至现有的系统即可,本申请的方案通用性强,延展性好,易用性好。
其次,本申请的量子认证方式的逻辑与原有的登录认证方式的逻辑相互独立,不会对原有的登录认证方式带来干扰和改变,减少了适配难度。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
可选的,本发明实施例还提供了一种电子设备,包括:处理器,存储器,存储在存储器上并可在处理器上运行的计算机程序,该计算机程序被处理器执行时实现上述方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
图8是本申请示出的一种电子设备800的框图。例如,电子设备800可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图8,电子设备800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)的接口812,传感器组件814,以及通信组件816。
处理组件802通常控制电子设备800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在电子设备800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图像,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为电子设备800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为电子设备800生成、管理和分配电力相关联的组件。
多媒体组件808包括在所述电子设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当电子设备800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收到的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为电子设备800提供各个方面的状态评估。例如,传感器组件814可以检测到设备800的打开/关闭状态,组件的相对定位,例如所述组件为电子设备800的显示器和小键盘,传感器组件814还可以检测电子设备800或电子设备800一个组件的位置改变,用户与电子设备800接触的存在或不存在,电子设备800方位或加速/减速和电子设备800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于电子设备800和其他设备之间有线或无线方式的通信。电子设备800可以接入基于通信标准的无线网络,如WiFi,运营商网络(如2G、3G、4G或5G),或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播操作信息。在一个示例性实施例中,所述通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,电子设备800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器804,上述指令可由电子设备800的处理器820执行以完成上述方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
图9是本申请示出的一种电子设备1900的框图。例如,电子设备1900可以被提供为一服务器。
参照图9,电子设备1900包括处理组件1922,其进一步包括一个或多个处理器,以及由存储器1932所代表的存储器资源,用于存储可由处理组件1922的执行的指令,例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件1922被配置为执行指令,以执行上述方法。
电子设备1900还可以包括一个电源组件1926被配置为执行电子设备1900的电源管理,一个有线或无线网络接口1950被配置为将电子设备1900连接到网络,和一个输入输出(I/O)接口1958。电子设备1900可以操作基于存储在存储器1932的操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
本领域普通技术人员可以意识到,结合本发明实施例中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (24)

1.一种量子认证方法,其特征在于,应用于业务服务端,所述方法包括:
在用户终端访问业务服务端的场景中,向用户终端发送量子认证指令;以使用户终端根据量子认证指令向量子认证终端发送量子安全凭证的获取请求;以使量子认证终端根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与所述用户标识、所述终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由所述终端标识以及第一序列号组成的组合相对应的密钥ID;第二对应关系包括至少由所述终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;向用户终端发送量子安全凭证;以使用户终端向业务服务端发送量子安全凭证;
接收用户终端发送的量子安全凭证;
向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在接收到用户终端发送的量子安全凭证之后,提取量子安全凭证中的用户标识;
获取用户终端已发送至业务服务端的用户终端的登录令牌,登录令牌中具有使用用户终端的用户的用户标识;提取登录令牌中的用户的用户标识;
在量子安全凭证中的用户标识与登录令牌中的用户标识相同的情况下,再执行向量子认证服务端发送量子安全凭证的步骤。
3.一种量子认证方法,其特征在于,应用于用户终端,所述方法包括:
在用户终端访问业务服务端的场景中,接收业务服务端发送的量子认证指令;
根据量子认证指令向量子认证终端发送量子安全凭证的获取请求;以使量子认证终端根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与所述用户标识、所述终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由所述终端标识以及第一序列号组成的组合相对应的密钥ID;第二对应关系包括至少由所述终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;向用户终端发送量子安全凭证;
接收量子认证终端发送的量子安全凭证;
向业务服务端发送量子安全凭证;以使业务服务端向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
4.一种量子认证方法,其特征在于,应用于量子认证终端,所述方法包括:
接收用户终端发送的量子安全凭证的获取请求;获取请求是用户终端根据量子认证指令向量子认证终端发送的;量子认证指令是在用户终端访问业务服务端的场景中业务服务端向用户终端发送的;
根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的密钥ID,量子认证终端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;
向用户终端发送量子安全凭证;以使用户终端向业务服务端发送量子安全凭证;以使业务服务端向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
在量子认证终端控制第一量子安全芯片对第一组合信息计算得到的第一加密校验码之后,设置第一量子安全芯片中的第一密钥ID对应的第一量子密钥的使用状态为已使用。
6.根据权利要求5所述的方法,其特征在于,所述设置第一量子安全芯片中的第一密钥ID对应的第一量子密钥的使用状态为已使用,包括:
在量子认证终端中存储的预设已使用列表中存储第一密钥ID,量子认证终端中的预设已使用列表用于存储第一量子安全芯片已使用过的量子密钥的密钥ID。
7.一种量子认证方法,其特征在于,应用于量子认证服务端,所述方法包括:
接收业务服务端发送的量子安全凭证;量子安全凭证是量子认证终端发送至用户终端以及用户终端发送至业务服务端的;量子安全凭证是量子认证终端根据量子安全凭证的获取请求获取的;获取请求是用户终端根据量子认证指令向量子认证终端发送的;量子认证指令是在用户终端访问业务服务端的场景中业务服务端向用户终端发送的;量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的密钥ID,量子认证终端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;
解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;
在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;
控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;
在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
在第二对应关系中查找到至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID之后,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态是否为未使用;
在第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用的情况下,再执行所述控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码的步骤。
9.根据权利要求8所述的方法,其特征在于,所述确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态是否为未使用,包括:
在量子认证服务端中存储的预设已使用列表中查找第二密钥ID,量子认证服务端中的预设已使用列表用于存储第二量子安全芯片已使用过的量子密钥的密钥ID;
在量子认证服务端中的预设已使用列表中查找到第二密钥ID的情况下,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用;
或者,在量子认证服务端中的预设已使用列表中未查找到第二密钥ID的情况下,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用。
10.根据权利要求7所述的方法,其特征在于,所述方法还包括:
在控制第二量子安全芯片对第二组合信息计算得到第二加密校验码之后,设置第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用。
11.根据权利要求10所述的方法,其特征在于,所述设置第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用,包括:
在量子认证服务端中存储的预设已使用列表中存储第二密钥ID,量子认证服务端中的预设已使用列表用于存储第二量子安全芯片已使用过的量子密钥的密钥ID。
12.一种量子认证装置,其特征在于,应用于业务服务端,所述装置包括:
第一发送模块,用于在用户终端访问业务服务端的场景中,向用户终端发送量子认证指令;以使用户终端根据量子认证指令向量子认证终端发送量子安全凭证的获取请求;以使量子认证终端根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与所述用户标识、所述终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由所述终端标识以及第一序列号组成的组合相对应的密钥ID;第二对应关系包括至少由所述终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;向用户终端发送量子安全凭证;以使用户终端向业务服务端发送量子安全凭证;
第一接收模块,用于接收用户终端发送的量子安全凭证;
第二发送模块,用于向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
提取模块,用于在接收到用户终端发送的量子安全凭证之后,提取量子安全凭证中的用户标识;
第一获取模块,用于获取用户终端已发送至业务服务端的用户终端的登录令牌,登录令牌中具有使用用户终端的用户的用户标识;提取登录令牌中的用户的用户标识;
第二发送模块还用于:在量子安全凭证中的用户标识与登录令牌中的用户标识相同的情况下,再向量子认证服务端发送量子安全凭证。
14.一种量子认证装置,其特征在于,应用于用户终端,所述装置包括:
第二接收模块,用于在用户终端访问业务服务端的场景中,接收业务服务端发送的量子认证指令;
第三发送模块,用于根据量子认证指令向量子认证终端发送量子安全凭证的获取请求;以使量子认证终端根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与所述用户标识、所述终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由所述终端标识以及第一序列号组成的组合相对应的密钥ID;第二对应关系包括至少由所述终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;向用户终端发送量子安全凭证;
第三接收模块,用于接收量子认证终端发送的量子安全凭证;
第四发送模块,用于向业务服务端发送量子安全凭证;以使业务服务端向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
15.一种量子认证装置,其特征在于,应用于量子认证终端,所述装置包括:
第四接收模块,用于接收用户终端发送的量子安全凭证的获取请求;获取请求是用户终端根据量子认证指令向量子认证终端发送的;量子认证指令是在用户终端访问业务服务端的场景中业务服务端向用户终端发送的;
第二获取模块,用于根据获取请求获取量子安全凭证,量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的密钥ID,量子认证终端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;
第五发送模块,用于向用户终端发送量子安全凭证;以使用户终端向业务服务端发送量子安全凭证;以使业务服务端向量子认证服务端发送量子安全凭证;以使量子认证服务端解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
16.根据权利要求15所述的装置,其特征在于,所述装置还包括:
第一设置模块,用于在量子认证终端控制第一量子安全芯片对第一组合信息计算得到的第一加密校验码之后,设置第一量子安全芯片中的第一密钥ID对应的第一量子密钥的使用状态为已使用。
17.根据权利要求16所述的装置,其特征在于,所述第一设置模块包括:
第一存储单元,用于在量子认证终端中存储的预设已使用列表中存储第一密钥ID,量子认证终端中的预设已使用列表用于存储第一量子安全芯片已使用过的量子密钥的密钥ID。
18.一种量子认证装置,其特征在于,应用于量子认证服务端,所述装置包括:
第五接收模块,用于接收业务服务端发送的量子安全凭证;量子安全凭证是量子认证终端发送至用户终端以及用户终端发送至业务服务端的;量子安全凭证是量子认证终端根据量子安全凭证的获取请求获取的;获取请求是用户终端根据量子认证指令向量子认证终端发送的;量子认证指令是在用户终端访问业务服务端的场景中业务服务端向用户终端发送的;量子安全凭证中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一加密校验码;所述用户标识事先已存储在量子认证终端中,第一加密校验码是量子认证终端控制量子认证终端中的第一量子安全芯片对第一组合信息计算得到的,第一组合信息中包括与量子认证终端匹配的用户的用户标识、量子认证终端的终端标识、第一序列号以及第一量子密钥;第一量子密钥之前未被使用过;第一量子密钥包括事先由量子密钥充注机充注至第一量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第一密钥ID相对应的量子密钥,第一对应关系中的量子密钥是使用量子随机数发生器生成的;第一密钥ID包括事先由量子密钥充注机充注至量子认证终端中的第二对应关系中的与至少由量子认证终端的终端标识以及第一序列号组成的组合相对应的密钥ID,量子认证终端中的第二对应关系包括至少由量子认证终端的终端标识和在第一量子安全芯片和量子认证服务端中的第二量子安全芯片中分别充注的相同的量子密钥的序列号组成的组合与在第一量子安全芯片和第二量子安全芯片中分别充注的相同的量子密钥的密钥ID之间的对应关系;
解析模块,用于解析量子安全凭证中的所述用户标识、所述终端标识、第一序列号以及第一加密校验码;
查找模块,用于在事先由量子密钥充注机充注至量子认证服务端中的第二对应关系中,查找至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID;
计算模块,用于控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码;第二组合信息包括所述用户标识、所述终端标识、第一序列号以及第二量子密钥,第二量子密钥包括事先由量子密钥充注机充注至第二量子安全芯片中的量子密钥与量子密钥的密钥ID之间的第一对应关系中的与第二密钥ID相对应的量子密钥;
第一确定模块,用于在第一加密校验码与第二加密校验码相同的情况下,确定用户终端访问业务服务端是合法访问。
19.根据权利要求18所述的装置,其特征在于,所述装置还包括:
第二确定模块,用于在第二对应关系中查找到至少由所述终端标识以及第一序列号组成的组合相对应的第二密钥ID之后,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态是否为未使用;
所述计算模块还用于:在第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用的情况下,再控制第二量子安全芯片对第二组合信息计算,得到第二加密校验码。
20.根据权利要求19所述的装置,其特征在于,所述第二确定模块包括:
查找单元,用于在量子认证服务端中存储的预设已使用列表中查找第二密钥ID,量子认证服务端中的预设已使用列表用于存储第二量子安全芯片已使用过的量子密钥的密钥ID;
第一确定单元,用于在量子认证服务端中的预设已使用列表中查找到第二密钥ID的情况下,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用;
或者,第二确定单元,用于在量子认证服务端中的预设已使用列表中未查找到第二密钥ID的情况下,确定第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为未使用。
21.根据权利要求18所述的装置,其特征在于,所述装置还包括:
第二设置模块,用于在控制第二量子安全芯片对第二组合信息计算得到第二加密校验码之后,设置第二量子安全芯片中的第二密钥ID对应的第二量子密钥的使用状态为已使用。
22.根据权利要求21所述的装置,其特征在于,所述第二设置模块包括:
第二存储单元,用于在量子认证服务端中存储的预设已使用列表中存储第二密钥ID,量子认证服务端中的预设已使用列表用于存储第二量子安全芯片已使用过的量子密钥的密钥ID。
23.一种电子设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至11中任一项所述的方法。
24.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至11中任一项所述的方法。
CN202311109679.3A 2023-08-30 2023-08-30 一种量子认证方法、装置、电子设备及存储介质 Pending CN117318925A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311109679.3A CN117318925A (zh) 2023-08-30 2023-08-30 一种量子认证方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311109679.3A CN117318925A (zh) 2023-08-30 2023-08-30 一种量子认证方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN117318925A true CN117318925A (zh) 2023-12-29

Family

ID=89296183

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311109679.3A Pending CN117318925A (zh) 2023-08-30 2023-08-30 一种量子认证方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN117318925A (zh)

Similar Documents

Publication Publication Date Title
US11019054B2 (en) Method, first device, second device and server for proving user information with authentication data issued by the server and verified on-line
CN109146470B (zh) 生成付款码的方法及装置
CN113259301B (zh) 一种账号数据共享方法及电子设备
CN103634477A (zh) 具有指纹装置的手机的防盗方法及系统
CN104955031A (zh) 信息传输方法及装置
CA2624422A1 (en) Method and arrangement for secure autentication
CN111563251B (zh) 一种终端设备中私密信息的加密方法和相关装置
CN113242224B (zh) 授权方法及装置、电子设备和存储介质
CN104967511A (zh) 加密数据的处理方法及装置
CN112533202B (zh) 身份鉴别方法及装置
CN105281907B (zh) 加密数据的处理方法及装置
CN113343212A (zh) 设备注册方法及装置、电子设备和存储介质
CN111368232A (zh) 口令分享回流方法、装置、电子设备及存储介质
CN104852800B (zh) 数据传输方法及装置
CN111917728A (zh) 一种密码验证方法及装置
CN114221764A (zh) 基于区块链的公钥更新方法、装置和设备
CN114501431A (zh) 报文传输方法、装置、存储介质及电子设备
CN112115464B (zh) 解锁处理方法、装置、电子设备及存储介质
CN112434339A (zh) 一种信息处理方法及装置
CN112784243A (zh) 授权管理方法及装置、电子设备和存储介质
CN108712384B (zh) 终端认证方法、装置、终端及服务器
CN107302519B (zh) 一种终端设备的身份认证方法、装置和终端设备、服务器
CN115277117A (zh) 文件查看方法、装置、电子设备以及存储介质
CN117318925A (zh) 一种量子认证方法、装置、电子设备及存储介质
CN114221788A (zh) 登录方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination