本发明专利技术公开了一种基于群组密钥池的Kerberos身份认证系统,包括量子网络服务站,以及分别包括多个用户端的主动方群组和被动方群组,进行身份认证时包括:步骤A、主动方群组中的其中一用户端依据预设的主动方通信范围向量子网络服务站申请TGT;步骤B、所述用户端依据获得的TGT以及预设的被动方通信范围向量子网络服务站申请相应的Ticket以及主动方会话密钥,并在主动方通信范围内共享所述Ticket以及主动方会话密钥;步骤C、主动方通信范围内的一用户端A向被动方通信范围内的一用户端B发送所述Ticket,所述Ticket中也包含有被动方会话密钥,使得用户端A和用户端B共享用于实施加密通信的会话密钥。
【技术实现步骤摘要】
一种基于群组密钥池的Kerberos身份认证系统和方法
本专利技术涉及量子通信
,尤其涉及基于量子网络的身份认证系统。
技术介绍
鉴权,即身份认证是实现信息安全的基本技术,系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限,同样也可以进行系统与系统间的身份认证。当前通信网络中身份认证系统普遍采用Kerberos认证方案。Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。在Kerberos认证方案中,攻击者有可能对加密设备进行攻击,或者利用恶意软件进行攻击,所以很多研究者把对Kerberos的改进放在对硬件设备的改进上。目前,适合在Kerberos系统的用户端使用的可信任硬件设备是智能卡。把智能卡集成到Kerberos系统中去,取得了很好的效果。随着无线通信技术的不断发展,终端直接通信(DevicetoDevice,D2D)已成为3GPPRel-12标准化技术的热点之一。D2D允许两个用户设备(UserEquipment,UE)通过特定的信道(SidelinkChannel)直接进行数据传输,而无需经过演进型基站设备(EvolutionalNodeB,eNB)。当然,D2D并不局限于两个用户设备之间的数据传输,还可以支持单点对多点的群组通信(GroupCommunication)。现有的网络认证体系大都是基于单个对象的一对一的认证方式,但是对于单点对多点的数据传输,会根据一定的原则形成群组。在这些应用场景下,当组内接入新的终端时,若采用现有的一对一的认证方式,不仅会增加网络信令,导致网络拥塞,且会占用大量网络资源,因此现有的一对一的网络认证体系不再适用。在这种情况下,为降低认证资源消耗,减少网络拥塞,需要相应的群组认证机制。现有的群组通信系统使用的密钥为传统密钥,传统密钥是由程序所产生的伪随机数,伪随机数都有特定的规律,相对来讲更容易被破译,量子密钥是根据量子特性所产生的真随机数,量子密钥的下一个比特是无法预知的,有效的克服了伪随机数的弊端。公开号为CN106357649A,专利技术名称为“用户身份认证系统和方法”的专利文献,公开了一种对称密钥体制的身份认证方法。但是该专利技术中身份认证只能完成一对一的身份认证,而且其身份认证是单向的,存在较大的安全隐患。现有技术存在的问题:(1)现有基于量子密钥卡的身份认证技术只能完成一对一的身份认证,无法完成与群组的身份认证或群组间身份认证。(2)现有技术中身份认证所传递的挑战信息一般是暴露的随机数,可能被攻击者对挑战和应答进行研究而破解出密钥。(3)现有基于量子密钥卡的身份认证和加密技术中,执行身份认证和加密前需要量子密钥卡和其颁发方预先约定使用什么密钥,而且在执行身份认证和加密过程中并不更换密钥。(4)现有技术中,用户端密钥存储于用户端存储器中,可以被恶意软件或恶意操作窃取。(5)现有技术中,用户端的长期密钥是不变的,安全性不够高。
技术实现思路
本专利技术提供一种适用于群组间身份认证的基于量子网络的身份认证系统。一种基于群组密钥池的Kerberos身份认证系统,包括量子网络服务站,以及分别包括多个用户端的主动方群组和被动方群组,进行身份认证时包括:步骤A、主动方群组中的其中一用户端依据预设的主动方通信范围向量子网络服务站申请TGT;步骤B、所述用户端依据获得的TGT以及预设的被动方通信范围向量子网络服务站申请相应的Ticket以及主动方会话密钥,并在主动方通信范围内共享所述Ticket以及主动方会话密钥;步骤C、主动方通信范围内的一用户端A向被动方通信范围内的一用户端B发送所述Ticket,所述Ticket中也包含有被动方会话密钥,使得用户端A和用户端B共享用于实施加密通信的会话密钥。本专利技术步骤A中可以是主动方群组中的任一个用户端发起认证请求,主动方通信范围可理解为在主动方群组中某一个用户端拥有Ticket以及主动方会话密钥、并可以与被动方通信范围内的用户端进行身份认证以及后续的加密通信;或主动方群组全体用户端都分别拥有Ticket以及主动方会话密钥、并可以与被动方通信范围内的用户端进行身份认证以及后续的加密通信。同理被动方通信范围可理解为被动方群组中某一个用户端可以从Ticket中获取并使用被动方会话密钥;或被动方群组中全体用户端都分别可以从Ticket中获取并使用被动方会话密钥。作为优选,主动方群组以及被动方群组的所有用户端分别配置有量子密钥卡;各用户端的量子密钥卡各自独立的与量子网络服务站共享私有的对称密钥池;同一群组中所有用户端的量子密钥卡与量子网络服务站共享与所在群组相应的群组密钥池;步骤B中,所述主动方会话密钥为密文形式,主动方通信范围为主动方群组中某一用户端时,主动方会话密钥利用与该用户端相应的对称密钥池进行加密;主动方通信范围为主动方群组中全体用户端时,主动方会话密钥利用与主动方群组相应的群组密钥池进行加密;步骤B中,所述Ticket中的被动方会话密钥为密文形式,被动方通信范围为被动方群组中某一用户端时,被动方会话密钥利用与该用户端相应的对称密钥池进行加密;被动方通信范围为被动方群组中全体用户端时,被动方会话密钥利用与被动方群组相应的群组密钥池进行加密。主动方会话密钥和被动方会话密钥内容相同由量子网络服务站生成用于对称加密,步骤B中直接发送给用户端的称为主动方会话密钥,而封装在Ticket中的则称为被动方会话密钥。主动方会话密钥和被动方会话密钥的传输均采用密文形式,且根据通信范围选择相应的加密方式,因此只有通信范围内的用户端才可以解密并使用。在主动方通信范围内共享所述Ticket以及主动方会话密钥时,由于主动方会话密钥为密文形式,因此也共享解密主动方会话密钥所需的相关信息。用于加密主动方会话密钥的为第一安全密钥,用于加密被动方会话密钥为第二安全密钥;步骤B共享所述主动方会话密钥时,共享的内容为采用第一安全密钥加密的主动方会话密钥,以及生成第一安全密钥的信息;所述Ticket中包含有生成第二安全密钥的信息。步骤B共享所述主动方会话密钥时,为了提高安全性,共享解密相关信息时息并非直接共享第一安全密钥,而是共享生成第一安全密钥的信息,只有在主动方通信范围内的用户端才拥有相应的密钥池,因此外部成员即使获知生成该第一安全密钥的信息,也无法生成第一安全密钥,进一步提高了主动方会话密钥的安全性。同样的道理,Ticket中并不直接包含第二安全密钥,只是包含有生成第二安全密钥的信息,只有在被动方通信范围内的用户端才拥有相应的密钥池,因此外部成员即使获知生成该第二安全密钥的信息,也无法生成第二安全密钥,进一步提高了被动方会话密钥的安全性。当通信范围为某一用户端而并非群组全体用户端时,可以理解为该用户端从量子网络服务站获取Ticket以及主动方会话密钥后,也即完成了共享。步骤B中,主动方会话密钥的加密以及Ticket中被动方会话本文档来自技高网...
【技术保护点】
1.一种基于群组密钥池的Kerberos身份认证系统,其特征在于,包括量子网络服务站,以及分别包括多个用户端的主动方群组和被动方群组,进行身份认证时包括:步骤A、主动方群组中的其中一用户端依据预设的主动方通信范围向量子网络服务站申请TGT;步骤B、所述用户端依据获得的TGT以及预设的被动方通信范围向量子网络服务站申请相应的Ticket以及主动方会话密钥,并在主动方通信范围内共享所述Ticket以及主动方会话密钥;步骤C、主动方通信范围内的一用户端A向被动方通信范围内的一用户端B发送所述Ticket,所述Ticket中也包含有被动方会话密钥,使得用户端A和用户端B共享用于实施加密通信的会话密钥。
【技术特征摘要】
1.一种基于群组密钥池的Kerberos身份认证系统,其特征在于,包括量子网络服务站,以及分别包括多个用户端的主动方群组和被动方群组,进行身份认证时包括:步骤A、主动方群组中的其中一用户端依据预设的主动方通信范围向量子网络服务站申请TGT;步骤B、所述用户端依据获得的TGT以及预设的被动方通信范围向量子网络服务站申请相应的Ticket以及主动方会话密钥,并在主动方通信范围内共享所述Ticket以及主动方会话密钥;步骤C、主动方通信范围内的一用户端A向被动方通信范围内的一用户端B发送所述Ticket,所述Ticket中也包含有被动方会话密钥,使得用户端A和用户端B共享用于实施加密通信的会话密钥。2.如权利要求1所述的基于群组密钥池的Kerberos身份认证系统,其特征在于,主动方群组以及被动方群组的所有用户端分别配置有量子密钥卡;各用户端的量子密钥卡各自独立的与量子网络服务站共享私有的对称密钥池;同一群组中所有用户端的量子密钥卡与量子网络服务站共享与所在群组相应的群组密钥池;步骤B中,所述主动方会话密钥为密文形式,主动方通信范围为主动方群组中某一用户端时,主动方会话密钥利用与该用户端相应的对称密钥池进行加密;主动方通信范围为主动方群组中全体用户端时,主动方会话密钥利用与主动方群组相应的群组密钥池进行加密;步骤B中,所述Ticket中的被动方会话密钥为密文形式,被动方通信范围为被动方群组中某一用户端时,被动方会话密钥利用与该用户端相应的对称密钥池进行加密;被动方通信范围为被动方群组中全体用户端时,被动方会话密钥利用与被动方群组相应的群组密钥池进行加密。3.如权利要求2所述的基于群组密钥池的Kerberos身份认证系统,其特征在于,用于加密主动方会话密钥的为第一安全密钥,用于加密被动方会话密钥为第二安全密钥;步骤B共享所述主动方会话密钥时,共享的内容为采用第一安全密钥加密的主动方会话密钥,以及生成第一安全密钥的信息;所述Ticket中包含有生成第二安全密钥的信息。4.如权利要求3所述的基于群组密钥池的Kerberos身份认证系统,其特征在于,步骤A中、所述用户端向量子网络服务站申请TGT时携带有标示符A,用于通知量子网络服务站利用与该用户端相应的对称密钥池、或利用与主动方群组相应的群组密钥池生成第一安全密钥;步骤B中、所述用户端向量子网络服务站申请相应的Ticket以及主动方会话密钥时携带有标示符B,用于通知量子网络服务站利用与被动方群组中某用户端相应的对...
【专利技术属性】
技术研发人员:富尧,钟一民,
申请(专利权)人:如般量子科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。