本发明专利技术公开了一种基于量子网络的身份认证系统,包括用户端A,用户端B以及量子网络服务站,其中用户端A向量子网络服务站申请TGT以及相应的Ticket,并利用获得的Ticket访问用户端B;各用户端分别配置有量子密钥卡,量子密钥卡与量子网络服务站之间存储有相应的量子密钥;用户端A与量子网络服务站之间,以及两用户端之间通信时利用所配置的量子密钥卡进行身份认证。本发明专利技术使用量子真随机数代替现有技术的时间戳,解决了出现重放攻击的可能。使用量子密钥卡存储用户端密钥而不是用户端存储器,量子密钥卡是独立的硬件设备,被恶意软件或恶意操作窃取密钥的可能性大大降低。而且密钥可以经常改变,安全性大大提高。
【技术实现步骤摘要】
基于量子网络的身份认证系统
本专利技术涉及量子通信
,尤其涉及基于量子网络的身份认证系统。
技术介绍
身份认证是实现信息安全的基本技术,系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限,同样也可以进行系统与系统间的身份认证。当前通信网络中身份认证系统普遍采用Kerberos认证方案。Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。在Kerberos认证方案中,引入了时间戳timestamp来对重放攻击进行遏止,但是票据有生命周期,在其生命周期的有效时间内仍然可以使用。如果收到消息的时间是在规定允许的范围之内,那么就认为该消息具有新鲜性。但是,在得到许可证后的攻击者可以发送伪造的消息,这样的话,在允许的时间内是很难发现的。攻击者有可能对加密设备进行攻击,或者利用恶意软件进行攻击,所以很多研究者把对Kerberos的改进放在对硬件设备的改进上。目前,适合在Kerberos系统的用户端使用的可信任硬件设备是智能卡。把智能卡集成到Kerberos系统中去,取得了很好的效果。现有技术存在的问题:(1)现有身份认证技术基于Kerberos认证方案对时间戳的使用导致有出现重放攻击的可能。(2)Kerberos协议要求是基于网络中时钟同步,对整个系统时间同步要求高,在大型分布式系统中难以实现。(3)现有技术中,用户端密钥存储于用户端存储器中,可以被恶意软件或恶意操作窃取。(4)现有技术中,用户端的长期密钥是不变的,安全性不够高。
技术实现思路
本专利技术基于Kerberos认证方式,提供一种具有更好安全性的身份认证系统。一种基于量子网络的身份认证系统,包括用户端A,用户端B以及量子网络服务站,其中用户端A向量子网络服务站申请TGT以及相应的Ticket,并利用获得的Ticket访问用户端B;各用户端分别配置有量子密钥卡,量子密钥卡与量子网络服务站之间存储有相应的量子密钥;用户端A与量子网络服务站之间,以及两用户端之间通信时利用所配置的量子密钥卡进行身份认证。本专利技术中量子网络服务站作为可信的第三方,向用户端A提供票据Ticket,在用户端A向量子网络服务站申请的票据过程中,以及用户端B对用户端A的认证过程中,都涉及身份认证数据的使用。用户端A与量子网络服务站通信时,可以利用量子密钥卡存储的量子密钥直接或间接的作用身份认证数据的一部分,而量子网络服务站存储有相同的量子密钥,因此方便进行对比认证。用户端A与用户端B通信时,可以利用双方预先协商的量子密钥直接或间接的作用身份认证数据的一部分,量子密钥可以来自其中一者的量子密钥卡,而另一者经由量子网络服务站可以获得相同的量子密钥,以便于进行对比认证。本专利技术由于是基于量子网络且各用户端分别配置有量子密钥卡,因此所提及的随机数在没有特殊说明的前提下,应理解为量子随机数,即真随机数。提及的密钥在没有特殊说明的前提下,应理解为量子密钥。所述量子网络服务站包括身份认证服务器和票据许可服务器,所述用户端A向身份认证服务器申请TGT,再依据该TGT向票据许可服务器申请Ticket。用户端A利用匹配的量子密钥卡与身份认证服务器和票据许可服务器分别进行身份认证,进行身份认证时,用户端A所发送的身份认证数据中包含有通过量子密钥卡生成的随机数,量子网络服务站生成相应的随机数供身份认证服务器和票据许可服务器分别进行对比认证。用户端A向身份认证服务器申请TGT时,发送的请求中包括用户端A的身份认证数据A1以及票据许可服务器的身份信息,身份认证服务器针对身份认证数据A1进行认证,且在认证通过后回复与票据许可服务器相应的TGT。所述身份认证数据A1中包括用户端A的身份信息Ainfo和随机数N1,该随机数N1的生成方式为:用户端A匹配的量子密钥卡生成随机数R1,利用该根据真随机数R1以及密钥生成算法对量子密钥卡内作为密钥种子的量子密钥进行给运算得到真随机数N1;用户端A还将随机数R1以及密钥生成算法ID和密钥种子ID传递给量子网络服务站,以供身份认证服务器生成相应的真随机数N1’进行认证对比。真随机数N1’可以在身份认证服务器中生成或在量子网络服务站内的其他服务器中生成并通过站内传输,发送至身份认证服务器。用户端A向身份认证服务器发送身份认证数据A1时以密文方式,加密过程也在用户端A匹配的量子密钥卡中进行,加密身份认证数据A1采用的密钥KA与随机数R1的生成方式同理,以便于量子网络服务站内生成或调取相同的密钥KA’进行解密。身份认证服务器通过身份认证数据A1认证后,向用户端A发送包含有所述TGT的回复,所述TGT采用站内密钥KQ加密,以供票据许可服务器解密。包含有所述TGT的回复中,还有包含密钥KQ-A,用于用户端A与票据许可服务器之间的加密通信。量子网络服务站可以通过站内的真随机数发生器生成密钥KQ和与用户端A的登录会话密钥KQ-A。密钥KQ加密的TGT,在用户端A中并不解密,而是在后续的流程中直接发送给票据许可服务器,在票据许可服务器中解密读取相应的数据内容。TGT中包括KQ-A,用户端A的身份信息Ainfo和TGT到期时间endtime1。用户端A依据TGT向票据许可服务器申请Ticket时,发送的请求中包括KQ加密的TGT、密钥KQ-A加密的用户端A的身份认证数据A2以及用户端B的身份信息Binfo,票据许可服务器针对身份认证数据A2进行认证,且在认证通过后向用户端A发送包含有所述Ticket的回复。身份认证数据A2与身份认证数据A1同理,包括用户端A的身份信息Ainfo和真随机数N2,该真随机数N2的生成方式为:用户端A匹配的量子密钥卡生成随机数R2,利用该根据真随机数R2以及密钥生成算法对量子密钥卡内作为密钥种子的量子密钥进行给运算得到真随机数N2;用户端A还将随机数R2以及密钥生成算法ID和密钥种子ID传递给量子网络服务站,以供票据许可服务器生成相应的真随机数N2’进行认证对比。真随机数N2’可以在票据许可服务器中生成或在量子网络服务站内的其他服务器中生成并通过站内传输,发送至票据许可服务器。包含有所述Ticket的回复中,还有包含密钥KA-B,用于用户端A与用户端B之间的加密通信;密钥KA-B采用密文方式,通过密钥KQ-A加密。所述Ticket采用密文方式,通过量子网络服务站内的密钥KB’加密,在用户端B匹配的量子密钥卡中用于与密钥KB’相同的密钥KB。关于密钥KB’与密钥KB,用户端B与量子网络服务站内之间可通过预先协商的方式相应获得,也可视为上一次密钥同步后的结果,即预先指定下一次使用的密钥。密钥KB’加密的Ticket,在用户端A中并不解密,而是在后续的流程中直接发送给用户端B,在用户端B中解密读取相应的数据内容。Ticket中包括密钥KA-B,用户端A的身份信息Ainfo和Ticket到期时间endtime2。用户端A利用Ticket访本文档来自技高网...
【技术保护点】
1.一种基于量子网络的身份认证系统,其特征在于,包括用户端A,用户端B以及量子网络服务站,其中用户端A向量子网络服务站申请TGT以及相应的Ticket,并利用获得的Ticket访问用户端B;各用户端分别配置有量子密钥卡,量子密钥卡与量子网络服务站之间存储有相应的量子密钥;用户端A与量子网络服务站之间,以及两用户端之间通信时利用所配置的量子密钥卡进行身份认证。
【技术特征摘要】
1.一种基于量子网络的身份认证系统,其特征在于,包括用户端A,用户端B以及量子网络服务站,其中用户端A向量子网络服务站申请TGT以及相应的Ticket,并利用获得的Ticket访问用户端B;各用户端分别配置有量子密钥卡,量子密钥卡与量子网络服务站之间存储有相应的量子密钥;用户端A与量子网络服务站之间,以及两用户端之间通信时利用所配置的量子密钥卡进行身份认证。2.如权利要求1所述的基于量子网络的身份认证系统,其特征在于,所述量子网络服务站包括身份认证服务器和票据许可服务器,所述用户端A向身份认证服务器申请TGT,再依据该TGT向票据许可服务器申请Ticket;用户端A利用匹配的量子密钥卡与身份认证服务器和票据许可服务器分别进行身份认证,进行身份认证时,用户端A所发送的身份认证数据中包含有通过量子密钥卡生成的随机数,量子网络服务站生成相应的随机数供身份认证服务器和票据许可服务器分别进行对比认证。3.如权利要求2所述的基于量子网络的身份认证系统,其特征在于,用户端A向身份认证服务器申请TGT时,发送的请求中包括用户端A的身份认证数据A1以及票据许可服务器的身份信息,身份认证服务器针对身份认证数据A1进行认证,且在认证通过后回复与票据许可服务器相应的TGT;所述身份认证数据A1中包括用户端A的身份信息Ainfo和随机数N1,该随机数N1的生成方式为:用户端A匹配的量子密钥卡生成随机数R1,利用该根据真随机数R1以及密钥生成算法对量子密钥卡内作为密钥种子的量子密钥进行给运算得到真随机数N1;用户端A还将随机数R1以及密钥生成算法ID和密钥种子ID传递给量子网络服务站,以供身份认证服务器生成相应的真随机数N1’进行认证对比。4.如权利要求3所述的基于量子网络的身份认证系统,其特征在于,身份认证服务器通过身份认证数据A1认证后,向用户端A发送包含有所述TGT的回复,所述TGT采用站内密钥KQ加密,以供票据许可服务器解密;包含有所述TGT的回复中,还有包含密钥KQ-A,用于用户端A与票据许可服务器之间的加密通信。5.如权利要求4所述的基于量子网络的身份认证系统,其特征在于,用户端A依据TGT向票据许可服务器申请Ticket时,发送的请求中包括KQ加密的TGT、密钥KQ-A加密的用户端A的身份认证数据A2以及用户端B的身份信息Binfo,票据许可服务器针对身份认证数据A2进行认证,且在认证通过后向用户端A...
【专利技术属性】
技术研发人员:富尧,钟一民,
申请(专利权)人:如般量子科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。