WO2019170026A1

WO2019170026A1 - 基于可穿戴设备的身份认证方法及系统

Info

Publication number: WO2019170026A1
Application number: PCT/CN2019/076403
Authority: WO
Inventors: 赵勇; 刘春华
Original assignee: 山东量子科学技术研究院有限公司
Priority date: 2018-03-09
Filing date: 2019-02-28
Publication date: 2019-09-12
Also published as: US20210014226A1; US11356442B2; CN110493162A

Abstract

本申请公开了一种基于可穿戴设备的身份认证方法，包括：用户终端向目标服务器发起认证请求并提供所述用户终端的设备信息，目标服务器生成临时会话，将临时会话ID和设备信息发送至量子密钥分配网络；量子密钥分配网络生成标识信息，查找与用户终端绑定的可穿戴设备，向该可穿戴设备发送标识信息；所述可穿戴设备接收并向用户终端提供所述标识信息，用户终端获取所述标识信息，向所述可穿戴设备发送验证信息，继而发送至量子密钥分配网络；所述量子密钥分配网络根据验证信息生成验证结果发送至目标服务器；所述目标服务器生成身份认证结果，发送至用户终端。本申请的技术方案提高了身份认证的安全性和可靠性。

Description

基于可穿戴设备的身份认证方法及系统

本申请要求于2018年03月09日提交中国专利局、申请号为201810194979.9、发明名称为“基于可穿戴设备的身份认证方法及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及信息安全认证领域，具体涉及一种基于可穿戴设备的身份认证方法及系统。

背景技术

随着移动互联网的迅速发展，企事业单位内部业务网站也逐步向移动终端方向发展，为了便于工作人员随时了解工作内容，用户希望能够通过便携的移动终端来访问单位内部网站服务器。若身份认证存在漏洞会导致数据的泄露，会为企业带来不可挽回的后果，因此，安全可靠的登录认证方法是非常必要的。现有的对移动终端的认证方式主要有：通过账号和密码登录认证、通过动态口令认证、通过将设备标识信息与认证服务器中预存的用户设备信息比对进行认证等，但账号密码、动态口令和设备ID都存在被截获或泄露的可能。随着可穿戴设备的普及，已有很多将可穿戴设备引入到身份认证技术中的相关技术，有将普通密码技术与可穿戴设备的结合的认证技术，也有生物识别技术与可穿戴设备的结合认证技术。例如《一种可穿戴设备的认证方法》(申请号：201510598684.4)，该方法引入伪随机函数、异或运算和单向认证函数等轻量级算子实现智能手机与可穿戴设备的相互认证，在智能手机与可穿戴设备交互过程中，可穿戴设备的伪身份标识符和预共享密值等敏感数据通过匿名的方式进行传输，保证交互数据的安全性，同时引入动态更新机制，提高了会话周期的新鲜性和随机性，避免恶意攻击者进行重放、假冒等攻击；《通过穿戴式设备进行认证的方法和穿戴式设备》(申请号：201310190418.9)根据生物特征获取用户的身份认证信息，并通过穿戴式设备将身份认证信息发送至终端进行认证；还有《基于可穿戴设备的认证支付方法以及支付认证系统》(申请号：201410295802.X)也是通过增加对可穿戴设备的认证进一步提高支付的安全性。

但是，现有的基于可穿戴设备的认证方式通常应用于与用户终端交互过程中的身份认证；并且现有的可穿戴设备认证方式在信息传输过程中往往使用基于数学算法复杂度的加密方式，而基于数学算法的保密机制容易被越来越快速发展的计算技术所破解，新的算法漏洞被不断发现，在未来的量子计算机面前更是非常脆弱，使得现有的基于可穿戴设备的认证方式存在严重的安全隐患，难以适应较高安全要求的身份认证场合。

因此，如何在借助可穿戴设备的条件下，提高移动终端登录目标服务器的身份认证安全性是目前需要本领域技术人员迫切解决的技术问题。

发明内容

为了解决上述问题，本申请提供了一种基于量子密钥与可穿戴设备的认证方法，用于账户管理及访问身份认证，构建了从使用者到用户终端、再到目标服务器的可靠认证链条，提出了一种高安全性的认证机制。

本申请的技术方案为一种基于可穿戴设备的身份认证方法，包括以下步骤：

S1：用户终端向目标服务器发起认证请求并提供所述用户终端的设备信息，所述目标服务器接收所述认证请求生成临时会话，并将临时会话ID和所述设备信息发送至量子密钥分配网络；

S2：所述量子密钥分配网络接收所述临时会话ID和设备信息，生成标识信息，查找与所述用户终端绑定的可穿戴设备，向所述可穿戴设备发送所述标识信息；

S3：所述可穿戴设备接收并向所述用户终端提供所述标识信息，所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息，然后由所述可穿戴设备发送至所述量子密钥分配网络；

S4：所述量子密钥分配网络接收所述验证信息，根据所述验证信息生成验证结果发送至所述目标服务器；

S5：所述目标服务器接收所述验证结果，生成身份认证结果，发送至所述用户终端。

进一步地，所述设备信息是所述用户终端的设备ID或量子身份号，所述量子身份号是所述量子密钥分配网络为注册入网的所述可穿戴设备分配的全网唯一的身份标识，所述可穿戴设备与所述用户终端建立绑定关系后，所述量子身份号由所述可穿戴设备及与其绑定的所述用户终端所共享。

进一步地，当所述设备信息是所述用户终端的设备ID时，所述步骤S2中查找与所述用户终端绑定的可穿戴设备包括：首先根据所述用户终端的设备ID在所述量子密钥分配网络查找到相应的量子身份号，然后查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到则身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含事先注册到所述量子密钥分配网络上的所述可穿戴设备的量子身份号，以及与这些可穿戴设备绑定的所述用户终端的设备ID。

进一步地，当所述设备信息是量子身份号时，所述步骤S2中查找与所述用户终端绑定的可穿戴设备包括：根据所述用户终端的量子身份号，在所述量子密钥分配网络中预存的设备信息中查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到，则此次身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含注册到所述量子密钥分配网络的所述可穿戴设备的量子身份号。

进一步地，所述步骤S3中所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息包括：所述用户终端识别所述标识信息，获取其中包含的所述临时会话ID和设备信息；判断其中包含的所述设备信息与本机是否相同，以及判断其中包含的所述临时会话ID是否对应本机此前向所述目标服务器发起的所述认证请求，将判断结果作为所述验证信息发送至所述可穿戴设备。

进一步地，所述步骤S4中所述量子密钥分配网络根据所述验证信息生成验证结果包括：若所述验证信息中所述设备信息和临时会话ID均对应一致，则所述验证结果为认证成功，反之，所述验证结果为认证失败。

进一步地，所述步骤S3中所述可穿戴设备还采集用户的生物识别信息，并将其发送至所述量子密钥分配网络；所述量子密钥分配网络接收到所述生物识别信息后，将其与预存的生物识别信息进行匹配；当所述生物识别信息匹配成功，且所述验证信息中所述设备信息和临时会话ID均对应一致时，所述验证结果为认证成功，反之，所述验证结果为认证失败。

进一步地，所述目标服务器生成所述临时会话后与所述用户终端共享所述临时会话ID；

所述步骤S3中所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息包括：所述用户终端获取所述标识信息，将本机当前发起的所有临时会话ID和本机的设备信息作为所述验证信息发送至所述可穿戴设备。

进一步地，所述步骤S4中根据所述验证信息生成验证结果包括：所述量子密钥分配网络在接收到的所有由所述用户终端发起的临时会话ID和设备信息中，查找与所述步骤S2接收到的临时会话ID和设备信息均对应一致的组合，如果找到则所述验证结果为认证成功，反之所述验证结果为认证失败。

进一步地，所述步骤S5中生成身份认证结果，发送至所述用户终端包括：生成所述用户终端登录所述目标服务器认证成功或失败的消息，发送至所述用户终端。

进一步地，所述标识信息的形式为二维码。

进一步地，所述二维码是动态的，所述可穿戴设备上显示所述二维码后，如果用户在一段时间内没有扫描，则所述量子密钥分配网络会每隔一段时间重新生成一次新的二维码，并下发到所述可穿戴设备上进行不断动态更新。

进一步地，所述量子密钥分配网络与所述目标服务器中均预存第一共享密钥，用于二者之间通信数据的加密和解密。

进一步地，所述可穿戴设备与所述量子密钥分配网络中均预存第二共享密钥，用于二者之间通信数据的加密和解密。

进一步地，所述可穿戴设备与所述用户终端的连接方式为无线或有线连接。

进一步地，所述用户终端和所述可穿戴设备都预先注册到所述量子密钥分配网络，彼此之间获取成对的第三共享密钥，用于所述用户终端和所述可穿戴设备之间通信数据的加密和解密。

根据本申请的第二方面，本申请还提供了一种基于可穿戴设备的身份认证系统，包括：

用户终端，用于向目标服务器发起认证请求并提供所述用户终端的设备信息，获取可穿戴设备向所述用户终端提供的标识信息，向所述可穿戴设备发送验证信息，以及接收所述目标服务器发送的身份认证结果；

目标服务器，用于接收所述认证请求并生成临时会话，将临时会话ID和所述设备信息发送至量子密钥分配网络，以及接收所述量子密钥分配网络发送的验证结果，生成所述身份认证结果，发送至所述用户终端；

量子密钥分配网络，用于接收所述临时会话ID和设备信息，生成所述标识信息，查找与所述用户终端绑定的所述可穿戴设备，向所述可穿戴设备发送所述标识信息，以及接收所述可穿戴设备发送的所述验证信息，根据所述验证信息生成所述验证结果发送至所述目标服务器；

可穿戴设备，用于接收并向所述用户终端提供所述标识信息，以及接收所述用户终端发送的所述验证信息，发送至所述量子密钥分配网络。

进一步地，当所述设备信息是所述用户终端的设备ID时，所述查找与所述用户终端绑定的所述可穿戴设备包括：首先根据所述用户终端的设备ID在所述量子密钥分配网络查找到相应的量子身份号，然后查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到则身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含事先注册到所述量子密钥分配网络上的所述可穿戴设备的量子身份号，以及与这些可穿戴设备绑定的所述用户终端的设备ID。

进一步地，当所述设备信息是量子身份号时，所述查找与所述用户终端绑定的所述可穿戴设备包括：根据所述用户终端的量子身份号，在所述量子密钥分配网络中预存的设备信息中查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到，则此次身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含注册到所述量子密钥分配网络的所述可穿戴设备的量子身份号。

进一步地，所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息包括：识别所述标识信息，获取其中包含的所述临时会话ID和设备信息；判断其中包含的所述设备信息与本机是否相同，以及判断其中包含的所述临时会话ID是否对应本机此前向所述目标服务器发起的所述认证请求，将判断结果作为所述验证信息发送至所述可穿戴设备。

进一步地，所述量子密钥分配网络根据所述验证信息生成所述验证结果的方式为：若所述验证信息中所述设备信息和临时会话ID均对应一致，则所述验证结果为认证成功，反之，所述验证结果为认证失败。

进一步地，所述可穿戴设备还采集用户的生物识别信息，并将其发送至所述量子密钥分配网络；所述量子密钥分配网络接收到所述生物识别信息后，将其与预存的生物识别信息进行匹配；当所述生物识别信息匹配成功，且所述验证信息中所述设备信息和临时会话ID均对应一致时，所述验证结果为认证成功，反之，所述验证结果为认证失败。

所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息包括：所述用户终端获取所述标识信息，将本机当前发起的所有临时会话ID和本机的设备信息作为所述验证信息发送至所述可穿戴设备。

进一步地，所述量子密钥分配网络根据所述验证信息生成所述验证结果包括：所述量子密钥分配网络在接收到的所有由所述用户终端发起的临时会话ID和设备信息中，查找与自所述目标服务器接收到的临时会话ID和设备信息均对应一致的组合，如果找到则所述验证结果为认证成功，反之所述验证结果为认证失败。

进一步地，所述目标服务器生成所述身份认证结果，发送至所述用户终端包括：生成所述用户终端登录所述目标服务器认证成功或失败的消息，发送至所述用户终端。

进一步地，所述标识信息的形式为二维码。

根据本申请的第三方面，本申请还提供了一种用于身份认证的量子密钥分配网络：

接收用户终端的设备信息，生成标识信息；

查找与所述用户终端绑定的可穿戴设备，向所述可穿戴设备发送所述标识信息；

以及接收所述可穿戴设备发送的验证信息，根据所述验证信息生成验证结果。

进一步地，所述设备信息是用户终端向目标服务器发起认证请求时提供的。

进一步地，所述标识信息还包括临时会话ID，所述临时会话ID是所述目标服务器接收所述认证请求生成的。

进一步地，所述验证信息是所述用户终端从所述可穿戴设备获取所述标识信息后向所述可穿戴设备发送的。

进一步地，当所述设备信息是所述用户终端的设备ID时，所述查找与所述用户终端绑定的可穿戴设备包括：首先根据所述用户终端的设备ID在所述量子密钥分配网络查找到相应的量子身份号，然后查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到则身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含事先注册到所述量子密钥分配网络上的所述可穿戴设备的量子身份号，以及与这些可穿戴设备绑定的所述用户终端的设备ID。

进一步地，当所述设备信息是量子身份号时，所述查找与所述用户终端绑定的可穿戴设备包括：根据所述用户终端的量子身份号，在所述量子密钥分配网络中预存的设备信息中查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到，则此次身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含注册到所述量子密钥分配网络的所述可穿戴设备的量子身份号。

进一步地，所述目标服务器生成临时会话后与所述用户终端共享所述临时会话ID；所述验证信息包括所述用户终端当前发起的所有临时会话ID和所述用户终端的设备信息；

所述量子密钥分配网络根据所述验证信息生成验证结果包括：所述量子密钥分配网络在接收到的所有由所述用户终端发起的临时会话ID和设备信息中，查找与自所述目标服务器接收到的临时会话ID和设备信息均对应一致的组合，如果找到则所述验证结果为认证成功，反之所述验证结果为认证失败。

根据本申请的第四方面，本申请还提供了一种用于身份认证的可穿戴设备，与用户终端绑定：

向所述用户终端提供量子密钥分配网络发送的标识信息；

接收所述用户终端获取所述标识信息后发送的验证信息，继而发送至所述量子密钥分配网络进行认证。

进一步地，所述用户终端向目标服务器发起认证请求时提供设备信息，所述标识信息是根据所述设备信息生成的。

进一步地，所述量子密钥分配网络接收所述用户终端向目标服务器发起认证请求时提供的设备信息，以及所述目标服务器接收所述认证请求生成的临时会话ID，所述标识信息是根据所述设备信息和临时会话ID生成的。

进一步地，所述可穿戴设备在所述量子密钥分配网络注册并存储有全网独一无二的量子身份号，具有密钥存储及数据加解密和数据收发功能。

进一步地，所述可穿戴设备还采集用户的生物识别信息，并将其发送至所述量子密钥分配网络。

进一步地，所述标识信息的形式为二维码。

根据本申请的第五方面，本申请还提供了一种用户终端，与可穿戴设备绑定：

向目标服务器发起认证请求并提供所述用户终端的设备信息；

从所述可穿戴设备获取标识信息，向所述可穿戴设备发送验证信息继而发送至量子密钥分配网络进行认证得到验证结果；所述标识信息是所述量子密钥分配网络接收所述用户终端向所述目标服务器发起所述认证请求时提供的所述设备信息，根据所述设备信息生成的。

进一步地，所述用户终端还接收身份认证结果；所述身份认证结果是所述目标服务器基于所述量子密钥分配网络发送的所述验证结果生成的。

进一步地，所述目标服务器生成临时会话后与所述用户终端共享所述临时会话ID，所述验证信息包括所述用户终端当前发起的所有临时会话ID和所述用户终端的设备信息。

根据本申请的第六方面，本申请还提供了一种目标服务器：

接收用户终端发送的认证请求，将所述设备信息发送至量子密钥分配网络；

将所述量子密钥分配网络发送的认证结果发送至所述用户终端。

进一步地，所述目标服务器接收用户终端发送的认证请求时，还生成临时会话ID，发送至量子密钥分配网络。

进一步地，所述目标服务器兼具身份认证功能和为所述用户终端提供业务访问的功能；或仅具备身份认证功能，若所述目标服务器身份认证通过，由其他服务器为所述用户终端提供业务访问功能。

本申请的有益效果

本申请提供了一种用户终端访问第三方目标服务器的身份认证方法，该方法基于量子密钥分配网络，它向第三方目标服务器提供认证服务接口，以代替传统的基于数学算法的认证方式，采用量子密钥加密，提升了身份认证过程中的安全性。

本申请在身份认证过程中加入了可穿戴设备，相比于用户终端，可穿戴设备与具体使用者的身份绑定更加紧密，安全性更高；另外，可穿戴设备使用方便，能有效提高用户体验。

本申请中关键认证环节被量子密码所保护，因此具有极强的抗冒充身份、抗破译的功能。

附图说明

构成本申请的一部分的说明书附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。

图1为本申请实施例1中的基于可穿戴设备的身份认证方法流程图；

图2为本申请实施例1中的各设备连接和通信方式示意图；

图3为本申请实施例1中的身份认证过程示意图。

具体实施方式

应该指出，以下详细说明都是例示性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

本申请中所称的移动终端包括但不限于手机、平板，能够进行网络连接的电子设备均适用于本申请的移动终端；本申请中所述的可穿戴设备包括但不限于智能戒指、智能手环、智能手表、智能项链等与人体接触及随身携带的小型设备。

实施例1

图1为本申请实施例1提供的基于可穿戴设备的身份认证方法流程图，如图1所示，包括以下步骤：

S1：用户终端向目标服务器发起认证请求并提供所述用户终端的设备信息，目标服务器接收所述认证请求生成临时会话，并将临时会话ID和设备信息发送至量子密钥分配网络；

S2：量子密钥分配网络接收所述临时会话ID和设备信息，生成标识信息，查找与用户终端绑定的可穿戴设备，向所述可穿戴设备发送所述标识信息；

S3：所述可穿戴设备接收并向用户终端提供所述标识信息，用户终端获取所述标识信息，向所述可穿戴设备发送验证信息，然后由所述可穿戴设备发送至量子密钥分配网络；

S4：所述量子密钥分配网络接收所述验证信息，根据验证信息生成验证结果发送至目标服务器；

S5：所述目标服务器接收所述验证结果，生成身份认证结果，发送至用户终端。

所述目标服务器可以兼具所述身份认证功能和为用户终端提供业务访问功能；也可以仅具备身份认证功能，若所述目标服务器身份认证通过，由其他服务器为用户终端提供业务访问功能。

各设备之间的连接方式如图2所示：

量子密钥分配网络为目标服务器提供接口，与其建立通信，向自身和所述目标服务器分发统一的第一共享密钥，所述第一共享密钥用于量子密钥分配网络与目标服务器之间通信数据的加密和解密；可选地，二者间也可以通过其他形式实现密钥共享，例如量子密钥分配网络先生成量子密钥，再用其他相对可靠的介质(如VPN专网、移动存储介质)传递到目标服务器实现共享。

可穿戴设备注册到量子密钥分配网络，量子密钥分配网络为自身和可穿戴设备分配第二共享密钥，所述第二共享密钥用于量子密钥分配网络与可穿戴设备之间通信数据的加密和解密。

其中，注册方式是：可穿戴设备持有者(可以是个人，或可穿戴设备的生产设备商、销售商)首先去量子密钥分配网络的运营机构办理注册入网的相关手续，量子密钥分配网络的运营机构负责审核用户的入网申请，如审核通过，则为每一台申请入网的可穿戴设备颁发一个由量子密钥分配网络分配的全网内独一无二的量子身份号，该量子身份号被存储在申请入网的可穿戴设备的永久存储介质中。由于每次身份认证过程中所传递的信息很少，因此即使采用一次一密，可穿戴设备上在注册时预存的与量子密钥分配网络间的共享密钥也可以使用很长时间。如果出于提高安全性的考虑，可以定期更换存储在可穿戴设备上的共享密钥。一种方法是量子密钥分配网络生成新密钥，并用旧的共享密钥加密新的共享密钥，下发到可穿戴设备上。

可穿戴设备与用户终端的连接方式为无线或有线连接。

由于执行此过程时用户终端与可穿戴设备的距离很近，二者可以通过蓝牙方式进行绑定和信息传输，在更加严苛的安全环境要求下，也可以通过有线方式进行信息传输。

也可以进一步提高安全级别，例如假设用户周边10米内就有信息泄露危险，可以事先让用户终端和可穿戴设备都注册到量子密钥分配网络上，由量子密钥分配网络向二者分配统一的第三共享密钥，然后使用第三共享密钥加密用户终端和可穿戴设备间的通信数据。

为了防止重放攻击，使用量子密钥进行保密通信的两个设备之间信息传输时(例如量子密钥分配网络和可穿戴设备之间、量子密钥分配网络和目标服务器之间)，都要携带一个随机码，该随机码取自与对端设备共享的量子密钥，而且只用一次。只有当两边的随机码一致时，本段通信才是合法有效的。

可选地，可以将可穿戴设备注册到量子密钥分配网络中，获取所述可穿戴设备的量子身份号，当所述可穿戴设备与一个用户终端实现绑定时，所述量子身份号也被所述用户终端共享，并且绑定关系存储在量子密钥分配网络中。可穿戴设备可以向量子密钥分配网络申请解除与用户终端的绑定关系，也可以申请与另外的用户终端建立新的绑定关系。

优选地，所述设备信息可以是用户终端的设备ID，也可以是量子身份号。

所述步骤S1中目标服务器生成临时会话后还将临时会话ID反馈给所述用户终端，即，与用户终端共享临时会话ID。

所述步骤S1中将该临时会话ID和设备信息发送至量子密钥分配网络前还包括：目标服务器将临时会话ID和设备信息采用第一共享密钥进行加密；所述第一共享密钥为目标服务器与量子密钥分配网络之间的共享密钥。

所述步骤S2中量子密钥分配网络接收所述临时会话ID和设备信息还包括：采用第一共享密钥对其进行解密。

当发起认证时提供的设备信息为设备ID时，所述步骤S2中查找与用户终端绑定的可穿戴设备，具体包括：首先根据用户终端的设备ID在量子密钥分配网络查找到相应的量子身份号，然后查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到则身份认证失败。其中，量子密钥分配网络中预存的设备信息应至少包含事先注册到所述量子密钥分配网络上的可穿戴设备的量子身份号，以及与这些可穿戴设备绑定的用户终端的设备ID。

当发起认证时提供的设备信息为设备量子身份号时，所述步骤S2中查找与用户终端绑定的可穿戴设备，是根据用户终端的量子身份号，在量子密钥分配网络中预存的设备信息中查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到，则此次身份认证失败。其中，量子密钥分配网络中预存的设备信息应至少包含注册到量子密钥分配网络的可穿戴设备的量子身份号。

所述步骤S2中向所述可穿戴设备发送标识信息还包括：将标识信息采用第二共享密钥进行加密；所述第二共享密钥为可穿戴设备与量子密钥分配网络之间的共享密钥。

所述步骤S3中可穿戴设备接收所述标识信息还包括：采用第二共享密钥对其进行解密；

优选地，所述步骤S3中用户终端获取所述标识信息，向可穿戴设备发送验证信息包括：用户终端识别所述标识信息，获取其中包含的临时会话ID和设备信息；判断其中包含的设备信息与本机是否相同，以及判断其中包含的临时会话ID是否对应本机此前向目标服务器发起的认证请求，将判断结果作为验证信息发送至可穿戴设备。

所述步骤S3中由所述可穿戴设备发送至量子密钥分配网络前还包括：可穿戴设备将验证信息采用第二共享密钥进行加密。

所述步骤S4中所述量子密钥分配网络接收所述验证信息还包括：量子密钥分配网络将加密后的验证信息采用第二共享密钥进行解密。

所述步骤S4中根据验证信息生成验证结果包括：若验证信息中设备信息和临时会话ID均对应一致，则验证结果为认证成功，反之，验证结果为认证失败。

所述步骤S4中发送至目标服务器前还包括：量子密钥分配网络将验证结果采用第一共享密钥进行加密。

所述步骤S5中所述目标服务器接收所述验证结果还包括：对加密后的验证结果采用第一共享密钥进行解密。

所述步骤S5生成身份认证结果，发送至用户终端包括：生成用户终端登录目标服务器认证成功或失败的消息，发送至该用户终端。

认证成功的消息还可以包括但不限于令牌token、过期时间、重定向地址中的任意一个或多个。

认证完成后，此次认证消息即时失效。

所述临时会话ID只使用一次，一旦身份认证过程结束，无论是否成功，均不重复使用。每次建立的临时会话ID均不相同。

优选地，所述标识信息为二维码的形式；

优选地，当所述标识信息为二维码的形式时，用户终端通过光学方式获取其中包含的信息；当所述标识信息为其他数字形式的信息时，用户终端也可通过其他方式，如无线、蓝牙、红外线、声波等方式获取其中包含的信息。

所述标识信息可以是动态的，以二维码形式为例，可穿戴设备上生成二维码后，等待用户扫描，如果用户在一段时间内没有扫描，则量子密钥分配网络会每隔一段时间重新生成一次新的二维码，并使用与可穿戴设备间共享的量子密钥加密下发到可穿戴设备上进行不断动态更新。

可选地，步骤S3中所述可穿戴设备还采集用户的生物识别信息，并将其发送至量子密钥分配网络。相应地，步骤S4中量子密钥分配网络接收到所述生物识别信息后，将其与预存的生物识别信息进行匹配；当生物识别信息匹配成功，且验证信息中设备信息和临时会话ID均对应一致时，生成认证成功的验证结果。

可选地，作为一种替代方式，所述步骤S3的一种简化方案是，用户终端直接将验证信息发送至量子密钥分配网络。这种简化方案需要用户终端事先预置与量子密钥分配网络间的共享密钥。

可选地，作为一种替代方式，所述步骤S3中用户终端获取所述标识信息，向可穿戴设备发送验证信息包括：用户终端获取所述标识信息，将本机当前发起的所有临时会话ID和本机的设备信息作为验证信息发送至可穿戴设备。

相应地，所述步骤S4中根据验证信息生成验证结果包括：量子密钥分配网络在接收到的所有由所述用户终端发起的临时会话ID和设备信息中，查找与所述步骤S2中接收到的临时会话ID和设备信息均对应一致的组合，如果找到则验证结果为认证成功，反之验证结果为认证失败。

为了更清楚地阐述本申请，下面通过一实例描述本实施例，如图3所示：

①用户终端访问目标服务器，将自己身份告知服务器。目标服务器为此次登陆生成一个临时会话。

②目标服务器向量子密钥分配网络申请授权认证，并将此次临时会话的相关信息以及用户终端身份用与量子密钥分配网络间的共享量子密钥加密之后，发送到量子密钥分配网络。量子密钥分配网络收到后解密还原信息。

③量子密钥分配网络在内部查找登陆者身份，并向拥有该身份的可穿戴设备发送验证二维码作为标识信息，该二维码中包含了标识此次临时会话的相关信息以及标识用户终端的设备信息。该标识信息使用与可穿戴设备间预置的共享量子密钥加密后下发。可穿戴设备收到后解密还原信息。

④用户终端扫描二维码，以光学方式获取其中信息。

⑤用户终端根据获取到的信息判断二维码中包含的身份认证请求是否为本机提出，据此生成验证信息，发送到可穿戴设备。

⑥可穿戴设备将验证信息用与量子密钥分配网络共享的量子密钥加密后，发送给量子密钥分配网络。量子密钥分配网络解密后得到验证信息，据此生成验证结果。

⑦量子密钥分配网络将验证结果使用与目标服务器间的共享量子密钥加密后，发送给目标服务器。目标服务器解密后得到验证结果。

⑧目标服务器根据验证结果生成最终的身份认证结果，并发送给用户终端。认证完成后，此次身份认证流程中产生的全部中间过程信息即时失效。

本申请的身份认证尤其适合于复杂应用场合。例如同一个用户终端在一个较短的时间段内发出两次或者多次认证请求(比如先申请对目标服务器A的授权，再马上接着申请对目标服务器B的授权)，对于量子密钥分配网络，此时就可能出现前一次认证尚未完成，后一次认证就接着到来的情况，采用临时会话ID来区分两次不同的认证过程保证的身份认证的准确性。

作为本实施例的简化方案，用户终端发起认证请求，在该认证请求得到响应之前(即认证通过或不通过之前)，不能发起另一次认证请求，即，在一个时间段内，一个用户设备仅会有一次认证请求，不需要采用临时会话ID来进行标识。此时，只需要采用用户终端的设备信息来标识在此次临时会话的身份即可。具体地，包括以下步骤：

S1：用户终端向目标服务器发起认证请求并提供所述用户终端的设备信息，目标服务器接收所述认证请求生成临时会话，将设备信息发送至量子密钥分配网络；

S2：量子密钥分配网络接收所述设备信息，生成标识信息，查找与用户终端绑定的可穿戴设备，向所述可穿戴设备发送所述标识信息；

S3：所述可穿戴设备接收并向用户终端提供所述标识信息，用户终端根据所述标识信息获取设备信息；判断所述设备信息与本机是否相同，将判断结果作为验证信息发送至可穿戴设备，然后由所述可穿戴设备发送至量子密钥分配网络；

S4：所述量子密钥分配网络接收所述验证信息，根据验证信息生成验证结果发送至目标服务器；若验证信息中设备信息对应一致，则验证结果为认证成功，反之，验证结果为认证失败。

实施例2

基于实施例1的身份认证方法，本申请还提供了一种基于可穿戴设备的身份认证系统，包括：

用户终端，用于向目标服务器发起认证请求并提供所述用户终端的设备信息，获取可穿戴设备向用户终端提供的标识信息，向所述可穿戴设备发送验证信息，以及接收目标服务器发送的身份认证结果；

目标服务器，用于接收所述认证请求并生成临时会话，将临时会话ID和设备信息发送至量子密钥分配网络，以及接收量子密钥分配网络发送的验证结果，生成身份认证结果，发送至用户终端；

量子密钥分配网络，用于接收所述临时会话ID和设备信息，生成标识信息，查找与所述用户终端绑定的可穿戴设备，向所述可穿戴设备发送所述标识信息，以及接收可穿戴设备发送的验证信息，根据验证信息生成验证结果发送至目标服务器；

可穿戴设备，用于接收并向用户终端提供所述标识信息，以及接收用户终端发送的验证信息，发送至量子密钥分配网络。

可选地，所述设备信息是用户终端的设备ID或量子身份号，所述量子身份号是量子密钥分配网络为注册入网的可穿戴设备分配的全网唯一的身份标识，可穿戴设备与用户终端建立绑定关系后，量子身份号由可穿戴设备及与其绑定的用户终端所共享。

可选地，所述目标服务器生成临时会话后还将临时会话ID反馈给所述用户终端，即，与用户终端共享临时会话ID。

可选地，查找与用户终端绑定的可穿戴设备的一种方式包括：首先根据用户终端的设备ID在量子密钥分配网络查找到相应的量子身份号，然后查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到则身份认证失败。其中，量子密钥分配网络中预存的设备信息应至少包含事先注册到所述量子密钥分配网络上的可穿戴设备的量子身份号，以及与这些可穿戴设备绑定的用户终端的设备ID。

可选地，查找与用户终端绑定的可穿戴设备的另一种方式包括：根据用户终端的量子身份号，在量子密钥分配网络中预存的设备信息中查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到，则此次身份认证失败。其中，量子密钥分配网络中预存的设备信息应至少包含注册到量子密钥分配网络的可穿戴设备的量子身份号。

优选地，所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息包括：识别所述标识信息，获取其中包含的临时会话ID和设备信息；判断其中包含的设备信息与本机是否相同，以及判断其中包含的临时会话ID是否对应本机此前向目标服务器发起的认证请求，将判断结果作为验证信息发送至可穿戴设备。所述量子密钥分配网络根据验证信息生成验证结果的方式为：若验证信息中设备信息和临时会话ID均对应一致，则验证结果为认证成功，反之，验证结果为认证失败。

可选地，所述可穿戴设备还采集用户的生物识别信息，并将其发送至量子密钥分配网络；量子密钥分配网络接收到所述生物识别信息后，将其与预存的生物识别信息进行匹配；当生物识别信息匹配成功，且验证信息中设备信息和临时会话ID均对应一致时，生成认证成功的验证结果。

作为一种替代实施方式，所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息包括：用户终端获取所述标识信息，将本机当前发起的所有临时会话ID和本机的设备信息作为验证信息发送至可穿戴设备。所述量子密钥分配网络根据验证信息生成验证结果包括：量子密钥分配网络在接收到的所有由所述用户终端发起的临时会话ID和设备信息中，查找与自所述目标服务器接收到的临时会话ID和设备信息均对应一致的组合，如果找到则验证结果为认证成功，反之验证结果为认证失败。

优选地，所述目标服务器生成身份认证结果，发送至用户终端包括：生成用户终端登录目标服务器认证成功或失败的消息，发送至该用户终端。

优选地，所述标识信息的形式可以为二维码。所述二维码是动态的，可穿戴设备上显示二维码后，如果用户在一段时间内没有扫描，则量子密钥分配网络会重新生成新的二维码发送至可穿戴设备上。

可选地，各设备间的通信连接方式为：

用户终端访问目标服务器。

量子密钥分配网络与目标服务器中均预存第一共享密钥，用于二者之间通信数据的加密和解密。

可穿戴设备与量子密钥分配网络中均预存第二共享密钥，用于二者之间通信数据的加密和解密。

可穿戴设备与用户终端的连接方式为无线或有线连接。

基于更安全的通信要求考虑，用户终端和可穿戴设备都预先注册到量子密钥分配网络，彼此之间获取成对的第三共享密钥，用于用户终端和可穿戴设备之间通信数据的加密和解密。

作为本实施例的简化方案，用户终端发起认证请求，在该认证请求得到响应之前(即认证通过或不通过之前)，不能发起另一次认证请求，即，在一个时间段内，一个用户设备仅会有一次认证请求，不需要采用临时会话ID来进行标识。此时，只需要采用用户终端的设备信息来标识在此次临时会话的身份即可。具体地，所述系统包括：

用户终端，用于向目标服务器发起认证请求并提供所述用户终端的设备信息，获取可穿戴设备向用户终端提供的标识信息，用户终端根据所述标识信息获取设备信息；判断所述设备信息与本机是否相同，将判断结果作为验证信息发送至可穿戴设备，以及接收目标服务器发送的身份认证结果；

目标服务器，用于接收所述认证请求并生成临时会话，将设备信息发送至量子密钥分配网络，以及接收量子密钥分配网络发送的验证结果，生成身份认证结果，发送至用户终端；

量子密钥分配网络，用于接收所述设备信息，生成标识信息，查找与所述用户终端绑定的可穿戴设备，向所述可穿戴设备发送所述标识信息，以及接收可穿戴设备发送的验证信息，根据验证信息生成验证结果发送至目标服务器；具体地，若验证信息中设备信息对应一致，则验证结果为认证成功，反之，验证结果为认证失败。

实施例3

基于实施例1的身份认证方法，本实施例还提供了一种用于身份认证的量子密钥分配网络，包括：

接收用户终端向目标服务器发起认证请求时提供的设备信息，以及目标服务器接收所述认证请求生成的临时会话ID，根据所述设备信息和临时会话ID生成标识信息；

以及接收可穿戴设备发送的验证信息，根据验证信息生成验证结果发送至目标服务器，所述验证信息是用户终端从可穿戴设备获取所述标识信息后向所述可穿戴设备发送的。

其中，所述查找与用户终端绑定的可穿戴设备的一种方式包括：首先根据用户终端的设备ID在量子密钥分配网络查找到相应的量子身份号，然后查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到则身份认证失败。其中，量子密钥分配网络中预存的设备信息应至少包含事先注册到所述量子密钥分配网络上的可穿戴设备的量子身份号，以及与这些可穿戴设备绑定的用户终端的设备ID。

所述查找与用户终端绑定的可穿戴设备的另一种方式包括：根据用户终端的量子身份号，在量子密钥分配网络中预存的设备信息中查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到，则此次身份认证失败。其中，量子密钥分配网络中预存的设备信息应至少包含注册到量子密钥分配网络的可穿戴设备的量子身份号。

其中，目标服务器生成临时会话后与用户终端共享临时会话ID；所述验证信息包括所述用户终端当前发起的所有临时会话ID和所述用户终端的设备信息；所述量子密钥分配网络根据验证信息生成验证结果包括：量子密钥分配网络在接收到的所有由所述用户终端发起的临时会话ID和设备信息中，查找与自目标服务器接收到的临时会话ID和设备信息均对应一致的组合，如果找到则验证结果为认证成功，反之验证结果为认证失败。

可选地，量子密钥分配网络与目标服务器中均预存第一共享密钥，用于二者之间通信数据的加密和解密。

可选地，可穿戴设备与量子密钥分配网络中均预存第二共享密钥，用于二者之间通信数据的加密和解密。

作为本实施例的简化方案，用户终端发起认证请求，在该认证请求得到响应之前(即认证通过或不通过之前)，不能发起另一次认证请求，即，在一个时间段内，一个用户设备仅会有一次认证请求，不需要采用临时会话ID来进行标识。此时，只需要采用用户终端的设备信息来标识在此次临时会话的身份即可。具体地，所述量子密钥分配网络：

接收用户终端向目标服务器发起认证请求时提供的设备信息，根据所述设备信息生成标识信息；

以及接收可穿戴设备发送的验证信息，根据验证信息生成验证结果发送至目标服务器，所述验证信息是用户终端从可穿戴设备获取所述标识信息后向所述可穿戴设备发送的。其中，若验证信息中设备信息对应一致，则验证结果为认证成功，反之，验证结果为认证失败。

实施例4

基于实施例1的身份认证方法，本实施例还提供了一种用于身份认证的可穿戴设备，与用户终端绑定，包括：

向用户终端提供量子密钥分配网络发送的标识信息，所述标识信息是量子密钥分配网络接收用户终端向目标服务器发起认证请求时提供的设备信息，以及目标服务器接收所述认证请求生成的临时会话ID，根据所述设备信息和临时会话ID生成的；

以及接收用户终端获取所述标识信息后发送的验证信息，继而发送至量子密钥分配网络进行认证。

可选地，所述可穿戴设备在量子密钥分配网络注册并存储有全网独一无二的量子身份号，具有密钥存储及数据加解密和数据收发功能。

可选地，所述标识信息的形式为二维码。

可选地，所述可穿戴设备还采集用户的生物识别信息，并将其发送至量子密钥分配网络。

可选地，用户终端和可穿戴设备都预先注册到量子密钥分配网络，彼此之间获取成对的第三共享密钥，用于用户终端和可穿戴设备之间通信数据的加密和解密。

作为本实施例的简化方案，用户终端发起认证请求，在该认证请求得到响应之前(即认证通过或不通过之前)，不能发起另一次认证请求，即，在一个时间段内，一个用户设备仅会有一次认证请求，不需要采用临时会话ID来进行标识。此时，只需要采用用户终端的设备信息来标识在此次临时会话的身份即可。具体地，所述可穿戴设备，与用户终端绑定，包括：

向用户终端提供量子密钥分配网络发送的标识信息，所述标识信息是根据量子密钥分配网络接收用户终端向目标服务器发起认证请求时提供的设备信息生成的；

实施例5

基于实施例1的身份认证方法，本实施例还提供了一种用户终端，与可穿戴设备绑定，包括：

从所述可穿戴设备获取标识信息，向所述可穿戴设备发送验证信息继而发送至量子密钥分配网络进行认证得到验证结果；其中，所述标识信息是量子密钥分配网络接收用户终端向目标服务器发起认证请求时提供的设备信息，以及目标服务器接收所述认证请求生成的临时会话ID，根据所述设备信息和临时会话ID生成的；

以及接收身份认证结果；所述身份认证结果是所述目标服务器基于量子密钥分配网络发送的验证结果生成的。

其中，目标服务器生成临时会话后与用户终端共享临时会话ID，所述验证信息包括所述用户终端当前发起的所有临时会话ID和所述用户终端的设备信息。

作为本实施例的简化方案，用户终端发起认证请求，在该认证请求得到响应之前(即认证通过或不通过之前)，不能发起另一次认证请求，即，在一个时间段内，一个用户设备仅会有一次认证请求，不需要采用临时会话ID来进行标识。此时，只需要采用用户终端的设备信息来标识在此次临时会话的身份即可。具体地，所述用户终端，与可穿戴设备绑定，包括：

从所述可穿戴设备获取标识信息，向所述可穿戴设备发送验证信息继而发送至量子密钥分配网络进行认证得到验证结果；其中，所述标识信息是量子密钥分配网络根据设备信息生成的；所述设备信息是用户终端向目标服务器发起认证请求时提供的。

实施例6

基于实施例1的身份认证方法，本实施例还提供了一种目标服务器，包括：

接收用户终端发送的认证请求以及所述用户终端提供的设备信息，生成临时会话，并将临时会话ID和设备信息发送至量子密钥分配网络；

将量子密钥分配网络发送的认证结果发送至所述用户终端。

其中，所述目标服务器兼具身份认证功能和为用户终端提供业务访问的功能；或仅具备身份认证功能，若所述目标服务器身份认证通过，由其他服务器为用户终端提供业务访问功能。

作为本实施例的简化方案，用户终端发起认证请求，在该认证请求得到响应之前(即认证通过或不通过之前)，不能发起另一次认证请求，即，在一个时间段内，一个用户设备仅会有一次认证请求，不需要采用临时会话ID来进行标识。此时，只需要采用用户终端的设备信息来标识在此次临时会话的身份即可。具体地，所述目标服务器，包括：

接收用户终端发送的认证请求以及所述用户终端提供的设备信息，将设备信息发送至量子密钥分配网络；

将量子密钥分配网络发送的认证结果发送至所述用户终端。

本申请对用户身份的认证，以一次一密的对称量子密钥取代了基于数学算法复杂度的加密方式，提高了安全性；将可穿戴设备介入目标服务器的登录认证，增强了用户体验；将量子密码技术和可穿戴设备进行有机结合，极大提高了设备与设备之间、人和设备之间的身份认证的可靠性。由此，建立了一条从人(使用者)到远程业务服务器的完整可靠认证链路，铺平了“最后一公里” 的安全。

量子密钥的使用方式均为一次一密。但如果降低安全性要求，使得密钥使用方式不再严格遵循一次一密，或者在本实施例的基础上，以其他密钥替代量子密钥，此种变通也应被视为本申请提案的保护范围。

本领域技术人员应该明白，上述本申请的各模块或各步骤可以用通用的计算机装置来实现，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。本申请不限制于任何特定的硬件和软件的结合。

上述虽然结合附图对本申请的具体实施方式进行了描述，但并非对本申请保护范围的限制，所属领域技术人员应该明白，在本申请的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本申请的保护范围以内。

Claims

一种基于可穿戴设备的身份认证方法，其特征在于，包括以下步骤：

S1：用户终端向目标服务器发起认证请求并提供所述用户终端的设备信息，所述目标服务器接收所述认证请求生成临时会话，并将临时会话ID和所述设备信息发送至量子密钥分配网络；

S2：所述量子密钥分配网络接收所述临时会话ID和设备信息，生成标识信息，查找与所述用户终端绑定的可穿戴设备，向所述可穿戴设备发送所述标识信息；

S3：所述可穿戴设备接收并向所述用户终端提供所述标识信息，所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息，然后由所述可穿戴设备发送至所述量子密钥分配网络；

S4：所述量子密钥分配网络接收所述验证信息，根据所述验证信息生成验证结果发送至所述目标服务器；

S5：所述目标服务器接收所述验证结果，生成身份认证结果，发送至所述用户终端。
如权利要求1所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述设备信息是所述用户终端的设备ID或量子身份号，所述量子身份号是所述量子密钥分配网络为注册入网的所述可穿戴设备分配的全网唯一的身份标识，所述可穿戴设备与所述用户终端建立绑定关系后，所述量子身份号由所述可穿戴设备及与其绑定的所述用户终端所共享。
如权利要求2所述的一种基于可穿戴设备的身份认证方法，其特征在于，当所述设备信息是所述用户终端的设备ID时，所述步骤S2中查找与所述用户终端绑定的可穿戴设备包括：首先根据所述用户终端的设备ID在所述量子密钥分配网络查找到相应的量子身份号，然后查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到则身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含事先注册到所述量子密钥分配网络上的所述可穿戴设备的量子身份号，以及与这些可穿戴设备绑定的所述用户终端的设备ID。
如权利要求2所述的一种基于可穿戴设备的身份认证方法，其特征在于，当所述设备信息是量子身份号时，所述步骤S2中查找与所述用户终端绑定的可穿戴设备包括：根据所述用户终端的量子身份号，在所述量子密钥分配网络中预存的设备信息中查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到，则此次身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含注册到所述量子密钥分配网络的所述可穿戴设备的量子身份号。
如权利要求1所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述步骤S3中所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息包括：所述用户终端识别所述标识信息，获取其中包含的所述临时会话ID和设备信息；判断其中包含的所述设备信息与本机是否相同，以及判断其中包含的所述临时会话ID是否对应本机此前向所述目标服务器发起的所述认证请求，将判断结果作为所述验证信息发送至所述可穿戴设备。
如权利要求5所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述步骤S4中所述量子密钥分配网络根据所述验证信息生成验证结果包括：若所述验证信息中所述设备信息和临时会话ID均对应一致，则所述验证结果为认证成功，反之，所述验证结果为认证失败。
如权利要求5所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述步骤S3中所述可穿戴设备还采集用户的生物识别信息，并将其发送至所述量子密钥分配网络；所述量子密钥分配网络接收到所述生物识别信息后，将其与预存的生物识别信息进行匹配；当所述生物识别信息匹配成功，且所述验证信息中所述设备信息和临时会话ID均对应一致时，所述验证结果为认证成功，反之，所述验证结果为认证失败。
如权利要求1所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述目标服务器生成所述临时会话后与所述用户终端共享所述临时会话ID；

所述步骤S3中所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息包括：所述用户终端获取所述标识信息，将本机当前发起的所有临时会话ID和本机的设备信息作为所述验证信息发送至所述可穿戴设备。
如权利要求8所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述步骤S4中根据所述验证信息生成验证结果包括：所述量子密钥分配网络在接收到的所有由所述用户终端发起的临时会话ID和设备信息中，查找与所述步骤S2中接收到的临时会话ID和设备信息均对应一致的组合，如果找到则所述验证结果为认证成功，反之所述验证结果为认证失败。
如权利要求1所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述步骤S5中生成身份认证结果，发送至所述用户终端包括：生成所述用户终端登录所述目标服务器认证成功或失败的消息，发送至所述用户终端。
如权利要求1所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述标识信息的形式为二维码。
如权利要求11所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述二维码是动态的，所述可穿戴设备上显示所述二维码后，如果用户在一段时间内没有扫描，则所述量子密钥分配网络会每隔一段时间重新生成一次新的二维码，并下发到所述可穿戴设备上进行不断动态更新。
如权利要求1所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述量子密钥分配网络与所述目标服务器中均预存第一共享密钥，用于二者之间通信数据的加密和解密。
如权利要求1-13任一项所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述可穿戴设备与所述量子密钥分配网络中均预存第二共享密钥，用于二者之间通信数据的加密和解密。
如权利要求1所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述可穿戴设备与所述用户终端的连接方式为无线或有线连接。
如权利要求1所述的一种基于可穿戴设备的身份认证方法，其特征在于，所述用户终端和所述可穿戴设备都预先注册到所述量子密钥分配网络，彼此之间获取成对的第三共享密钥，用于所述用户终端和所述可穿戴设备之间通信数据的加密和解密。
一种基于可穿戴设备的身份认证系统，其特征在于，包括：

用户终端，用于向目标服务器发起认证请求并提供所述用户终端的设备信息，获取可穿戴设备向所述用户终端提供的标识信息，向所述可穿戴设备发送验证信息，以及接收所述目标服务器发送的身份认证结果；

目标服务器，用于接收所述认证请求并生成临时会话，将临时会话ID和所述设备信息发送至量子密钥分配网络，以及接收所述量子密钥分配网络发送的验证结果，生成所述身份认证结果，发送至所述用户终端；

量子密钥分配网络，用于接收所述临时会话ID和设备信息，生成所述标识信息，查找与所述用户终端绑定的所述可穿戴设备，向所述可穿戴设备发送所述标识信息，以及接收所述可穿戴设备发送的所述验证信息，根据所述验证信息生成所述验证结果发送至所述目标服务器；

可穿戴设备，用于接收并向所述用户终端提供所述标识信息，以及接收所述用户终端发送的所述验证信息，发送至所述量子密钥分配网络。
如权利要求17所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述设备信息是所述用户终端的设备ID或量子身份号，所述量子身份号是所述量子密钥分配网络为注册入网的所述可穿戴设备分配的全网唯一的身份标识，所述可穿戴设备与所述用户终端建立绑定关系后，所述量子身份号由所述可穿戴设备及与其绑定的所述用户终端所共享。
如权利要求18所述的一种基于可穿戴设备的身份认证系统，其特征在于，当所述设备信息是所述用户终端的设备ID时，所述查找与所述用户终端绑定的所述可穿戴设备包括：首先根据所述用户终端的设备ID在所述量子密钥分配网络查找到相应的量子身份号，然后查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到则身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含事先注册到所述量子密钥分配网络上的所述可穿戴设备的量子身份号，以及与这些可穿戴设备绑定的所述用户终端的设备ID。
如权利要求18所述的一种基于可穿戴设备的身份认证系统，其特征在于，当所述设备信息是量子身份号时，所述查找与所述用户终端绑定的所述可穿戴设备包括：根据所述用户终端的量子身份号，在所述量子密钥分配网络中预存的设备信息中查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到，则此次身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含注册到所述量子密钥分配网络的所述可穿戴设备的量子身份号。
如权利要求17所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息包括：识别所述标识信息，获取其中包含的所述临时会话ID和设备信息；判断其中包含的所述设备信息与本机是否相同，以及判断其中包含的所述临时会话ID是否对应本机此前向所述目标服务器发起的所述认证请求，将判断结果作为所述验证信息发送至所述可穿戴设备。
如权利要求21所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述量子密钥分配网络根据所述验证信息生成所述验证结果的方式为：若所述验证信息中所述设备信息和临时会话ID均对应一致，则所述验证结果为认证成功，反之，所述验证结果为认证失败。
如权利要求21所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述可穿戴设备还采集用户的生物识别信息，并将其发送至所述量子密钥分配网络；所述量子密钥分配网络接收到所述生物识别信息后，将其与预存的生物识别信息进行匹配；当所述生物识别信息匹配成功，且所述验证信息中所述设备信息和临时会话ID均对应一致时，所述验证结果为认证成功，反之，所述验证结果为认证失败。
如权利要求17所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述目标服务器生成所述临时会话后与所述用户终端共享所述临时会话ID；

所述用户终端获取所述标识信息，向所述可穿戴设备发送验证信息包括：所述用户终端获取所述标识信息，将本机当前发起的所有临时会话ID和本机的设备信息作为所述验证信息发送至所述可穿戴设备。
如权利要求24所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述量子密钥分配网络根据所述验证信息生成所述验证结果包括：所述量子密钥分配网络在接收到的所有由所述用户终端发起的临时会话ID和设备信息中，查找与自所述目标服务器接收到的临时会话ID和设备信息均对应一致的组合，如果找到则所述验证结果为认证成功，反之所述验证结果为认证失败。
如权利要求17所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述目标服务器生成所述身份认证结果，发送至所述用户终端包括：生成所述用户终端登录所述目标服务器认证成功或失败的消息，发送至所述用户终端。
如权利要求17所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述标识信息的形式为二维码。
如权利要求27所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述二维码是动态的，所述可穿戴设备上显示所述二维码后，如果用户在一段时间内没有扫描，则所述量子密钥分配网络会每隔一段时间重新生成一次新的二维码，并下发到所述可穿戴设备上进行不断动态更新。
如权利要求17所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述量子密钥分配网络与所述目标服务器中均预存第一共享密钥，用于二者之间通信数据的加密和解密。
如权利要求17-29任一项所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述可穿戴设备与所述量子密钥分配网络中均预存第二共享密钥，用于二者之间通信数据的加密和解密。
如权利要求17所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述可穿戴设备与所述用户终端的连接方式为无线或有线连接。
如权利要求17所述的一种基于可穿戴设备的身份认证系统，其特征在于，所述用户终端和所述可穿戴设备都预先注册到所述量子密钥分配网络，彼此之间获取成对的第三共享密钥，用于所述用户终端和所述可穿戴设备之间通信数据的加密和解密。
一种用于身份认证的量子密钥分配网络，其特征在于：

接收用户终端的设备信息，生成标识信息；

查找与所述用户终端绑定的可穿戴设备，向所述可穿戴设备发送所述标识信息；

以及接收所述可穿戴设备发送的验证信息，根据所述验证信息生成验证结果。
如权利要求33所述的一种用于身份认证的量子密钥分配网络，其特征在于，所述设备信息是用户终端向目标服务器发起认证请求时提供的。
如权利要求33所述的一种用于身份认证的量子密钥分配网络，其特征在于，所述标识信息还包括临时会话ID，所述临时会话ID是所述目标服务器接收所述认证请求生成的。
如权利要求33所述的一种用于身份认证的量子密钥分配网络，其特征在于，所述验证信息是所述用户终端从所述可穿戴设备获取所述标识信息后向所述可穿戴设备发送的。
如权利要求33所述的一种用于身份认证的量子密钥分配网络，其特征在于，所述设备信息是所述用户终端的设备ID或量子身份号，所述量子身份号是所述量子密钥分配网络为注册入网的所述可穿戴设备分配的全网唯一的身份标识，所述可穿戴设备与所述用户终端建立绑定关系后，所述量子身份号由所述可穿戴设备及与其绑定的所述用户终端所共享。
如权利要求37所述的一种用于身份认证的量子密钥分配网络，其特征在于，当所述设备信息是所述用户终端的设备ID时，所述查找与所述用户终端绑定的可穿戴设备包括：首先根据所述用户终端的设备ID在所述量子密钥分配网络查找到相应的量子身份号，然后查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到则身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含事先注册到所述量子密钥分配网络上的所述可穿戴设备的量子身份号，以及与这些可穿戴设备绑定的所述用户终端的设备ID。
如权利要求37所述的一种用于身份认证的量子密钥分配网络，其特征在于，当所述设备信息是量子身份号时，所述查找与所述用户终端绑定的可穿戴设备包括：根据所述用户终端的量子身份号，在所述量子密钥分配网络中预存的设备信息中查找具备该量子身份号的可穿戴设备，即为与所述用户终端绑定的可穿戴设备；若不能查找到，则此次身份认证失败；其中，所述量子密钥分配网络中预存的设备信息应至少包含注册到所述量子密钥分配网络的所述可穿戴设备的量子身份号。
如权利要求33所述的一种用于身份认证的量子密钥分配网络，其特征在于，所述目标服务器生成临时会话后与所述用户终端共享所述临时会话ID；所述验证信息包括所述用户终端当前发起的所有临时会话ID和所述用户终端的设备信息；

所述量子密钥分配网络根据所述验证信息生成验证结果包括：所述量子密钥分配网络在接收到的所有由所述用户终端发起的临时会话ID和设备信息中，查找与自所述目标服务器接收到的临时会话ID和设备信息均对应一致的组合，如果找到则所述验证结果为认证成功，反之所述验证结果为认证失败。
如权利要求33所述的一种用于身份认证的量子密钥分配网络，其特征在于，所述量子密钥分配网络与所述目标服务器中均预存第一共享密钥，用于二者之间通信数据的加密和解密。
如权利要求33-41任一项所述的一种用于身份认证的量子密钥分配网络，其特征在于，所述可穿戴设备与所述量子密钥分配网络中均预存第二共享密钥，用于二者之间通信数据的加密和解密。
一种用于身份认证的可穿戴设备，与用户终端绑定，其特征在于：

向所述用户终端提供量子密钥分配网络发送的标识信息；

接收所述用户终端获取所述标识信息后发送的验证信息，继而发送至所述量子密钥分配网络进行认证。
如权利要求43所述的一种用于身份认证的可穿戴设备，其特征在于，所述用户终端向目标服务器发起认证请求时提供设备信息，所述标识信息是根据所述设备信息生成的。
如权利要求43所述的一种用于身份认证的可穿戴设备，其特征在于，所述量子密钥分配网络接收所述用户终端向目标服务器发起认证请求时提供的设备信息，以及所述目标服务器接收所述认证请求生成的临时会话ID，所述标识信息是根据所述设备信息和临时会话ID生成的。
如权利要求43所述的一种用于身份认证的可穿戴设备，其特征在于，所述可穿戴设备在所述量子密钥分配网络注册并存储有全网独一无二的量子身份号，具有密钥存储及数据加解密和数据收发功能。
如权利要求43所述的一种用于身份认证的可穿戴设备，其特征在于，所述可穿戴设备还采集用户的生物识别信息，并将其发送至所述量子密钥分配网络。
如权利要求43所述的一种用于身份认证的可穿戴设备，其特征在于，所述标识信息的形式为二维码。
如权利要求43所述的一种用于身份认证的可穿戴设备，其特征在于，所述可穿戴设备与所述量子密钥分配网络中均预存第二共享密钥，用于二者之间通信数据的加密和解密。
如权利要求43-49任一项所述的一种用于身份认证的可穿戴设备，其特征在于，所述用户终端和所述可穿戴设备都预先注册到所述量子密钥分配网络，彼此之间获取成对的第三共享密钥，用于所述用户终端和所述可穿戴设备之间通信数据的加密和解密。
一种用户终端，与可穿戴设备绑定，其特征在于：

向目标服务器发起认证请求并提供所述用户终端的设备信息；

从所述可穿戴设备获取标识信息，向所述可穿戴设备发送验证信息继而发送至量子密钥分配网络进行认证得到验证结果；所述标识信息是所述量子密钥分配网络接收所述用户终端向所述目标服务器发起所述认证请求时提供的所述设备信息，根据所述设备信息生成的。
如权利要求51所述的一种用户终端，其特征在于，所述标识信息还包括临时会话ID，所述临时会话ID是所述目标服务器接收所述认证请求生成的。
如权利要求51所述的一种用户终端，其特征在于，所述用户终端还接收身份认证结果；所述身份认证结果是所述目标服务器基于所述量子密钥分配网络发送的所述验证结果生成的。
如权利要求52所述的一种用户终端，其特征在于，所述目标服务器生成临时会话后与所述用户终端共享所述临时会话ID，所述验证信息包括所述用户终端当前发起的所有临时会话ID和所述用户终端的设备信息。
如权利要求51-54任一项所述的一种用户终端，其特征在于，所述用户终端和所述可穿戴设备都预先注册到所述量子密钥分配网络，彼此之间获取成对的第三共享密钥，用于所述用户终端和所述可穿戴设备之间通信数据的加密和解密。
一种目标服务器，其特征在于：

接收用户终端发送的认证请求，将所述设备信息发送至量子密钥分配网络；

将所述量子密钥分配网络发送的认证结果发送至所述用户终端。
如权利要求56所述的一种目标服务器，其特征在于，所述目标服务器接收用户终端发送的认证请求时，还生成临时会话ID，发送至量子密钥分配网络。
如权利要求56所述的一种目标服务器，其特征在于，所述目标服务器兼具身份认证功能和为所述用户终端提供业务访问的功能；或仅具备身份认证功能，若所述目标服务器身份认证通过，由其他服务器为所述用户终端提供业务访问功能。
如权利要求56-58任一项所述的一种目标服务器，其特征在于，所述量子密钥分配网络与所述目标服务器中均预存第一共享密钥，用于二者之间通信数据的加密和解密。