基于群组通信的身份认证系统和方法技术方案

本发明专利技术公开了一种基于群组通信的身份认证系统和方法，进行身份认证时包括：步骤S1、主动方群组中的其中一用户端A1通过被动方群组中的其中一用户端B1向量子网络服务站申请Ticket，且用户端A1指定主动方通信范围以及被动方通信范围；步骤S2、所述量子网络服务站生成会话密钥，并依据所述主动方通信范围以及被动方通信范围采用相应的加密方式分别将会话密钥以及包含有会话密钥的Ticket发送给用户端A1，用户端A1在主动方通信范围内共享所述会话密钥以及包含有会话密钥的Ticket；步骤S3、主动方通信范围内的一用户端A2向被动方通信范围内的一用户端B2发送所述Ticket，使得用户端A2和用户端B2共享用于实施加密通信的会话密钥。

【技术实现步骤摘要】
基于群组通信的身份认证系统和方法
本专利技术涉及量子通信
，尤其涉及基于量子网络服务站的身份认证的系统和方法。
技术介绍
鉴权，即身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。当前通信网络中身份认证系统普遍采用Kerberos认证方案。Kerberos是一种网络认证协议，其设计目标是通过密钥系统为用户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下，Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术(如：共享密钥)执行认证服务的。在Kerberos认证方案中，引入了时间戳timestamp来对重放攻击进行遏止，但是票据有生命周期，在其生命周期的有效时间内仍然可以使用。如果收到消息的时间是在规定允许的范围之内，那么就认为该消息具有新鲜性。但是，在得到许可证后的攻击者可以发送伪造的消息，这样的话，在允许的时间内是很难发现的。随着无线通信技术的不断发展，终端直接通信(DevicetoDevice，D2D)已成为3GPPRel-12标准化技术的热点之一。D2D允许两个用户设备(UserEquipment，UE)通过特定的信道(SidelinkChannel)直接进行数据传输，而无需经过演进型基站设备(EvolutionalNodeB，eNB)。当然，D2D并不局限于两个用户设备之间的数据传输，还可以支持单点对多点的群组通信(GroupCommunication)。现有的网络认证体系大都是基于单个对象的一对一的认证方式，但是对于单点对多点的数据传输，会根据一定的原则形成群组。在这些应用场景下，当组内接入新的终端时，若采用现有的一对一的认证方式，不仅会增加网络信令，导致网络拥塞，且会占用大量网络资源，因此现有的一对一的网络认证体系不再适用。在这种情况下，为降低认证资源消耗，减少网络拥塞，需要相应的群组认证机制。现有的群组通信系统使用的密钥为传统密钥，传统密钥是由程序所产生的伪随机数，伪随机数都有特定的规律，相对来讲更容易被破译，量子密钥是根据量子特性所产生的真随机数，量子密钥的下一个比特是无法预知的，有效的克服了伪随机数的弊端。现有技术存在的问题：(1)现有基于量子密钥卡的身份认证技术只能完成一对一的身份认证，无法完成与群组的身份认证或群组间身份认证。(2)现有技术中身份认证所传递的挑战信息一般是暴露的随机数，可能被攻击者对挑战和应答进行研究而破解出密钥。(3)现有基于量子密钥卡的身份认证和加密技术中，执行身份认证和加密前需要量子密钥卡和其颁发方预先约定使用什么密钥，而且在执行身份认证和加密过程中并不更换密钥。(4)现有身份认证技术基于Kerberos认证方案对时间戳的使用导致有出现重放攻击的可能。Kerberos协议要求是基于网络中时钟同步，对整个系统时间同步要求高，在大型分布式系统中难以实现。(5)现有技术中，用户端密钥存储于用户端存储器中，可以被恶意软件或恶意操作窃取。
技术实现思路
本专利技术提供一种适用于群组间身份认证的基于量子网络的身份认证系统。一种基于群组通信的身份认证系统，包括量子网络服务站，以及分别包括多个用户端的主动方群组和被动方群组，进行身份认证时包括：步骤S1、主动方群组中的其中一用户端A1通过被动方群组中的其中一用户端B1向量子网络服务站申请Ticket，且用户端A1指定主动方通信范围以及被动方通信范围；步骤S2、所述量子网络服务站生成会话密钥，并依据所述主动方通信范围以及被动方通信范围采用相应的加密方式分别将会话密钥以及包含有会话密钥的Ticket发送给用户端A1，用户端A1在主动方通信范围内共享所述会话密钥以及包含有会话密钥的Ticket；步骤S3、主动方通信范围内的一用户端A2向被动方通信范围内的一用户端B2发送所述Ticket，使得用户端A2和用户端B2共享用于实施加密通信的会话密钥。本专利技术步骤S1中用户端A1可以是主动方群组中的任一个用户端，向用户端B1发起Ticket申请，用户端B1可以是被动方群组中的任一个用户端，将来自用户端A1的申请Ticket的相关信息转发至量子网络服务站。主动方通信范围可理解为在主动方群组中某一个用户端拥有Ticket以及会话密钥、并可以与被动方通信范围内的用户端进行身份认证以及后续的加密通信；或主动方群组全体用户端都分别拥有Ticket以及会话密钥、并可以与被动方通信范围内的用户端进行身份认证以及后续的加密通信。同理被动方通信范围可理解为被动方群组中某一个用户端可以从Ticket中获取并使用会话密钥；或被动方群组中全体用户端都分别可以从Ticket中获取并使用会话密钥。即用户端A1可能与用户端A2是相同的用户端或同属于主动方群组中的不同用户端，用户端B1、用户端B2同理。作为优选，用户端A1处在主动方通信范围内，且用户端B1处在被动方通信范围内。作为优选，主动方群组以及被动方群组的所有用户端分别配置有量子密钥卡；各用户端的量子密钥卡各自独立的与量子网络服务站共享私有的对称密钥池；同一群组中所有用户端的量子密钥卡与量子网络服务站共享与所在群组相应的群组密钥池；步骤S2中，量子网络服务站以加密方式直接发送给用户端A1的会话密钥为主动方密钥，主动方通信范围为主动方群组中某一用户端时，主动方会话密钥利用与该用户端相应的对称密钥池进行加密；主动方通信范围为主动方群组中全体用户端时，主动方会话密钥利用与主动方群组相应的群组密钥池进行加密；量子网络服务站发送给用户端A1的Ticket中包含有加密方式的会话密钥，该会话密钥为被动方会话密钥，被动方通信范围为被动方群组中某一用户端时，被动方会话密钥利用与该用户端相应的对称密钥池进行加密；被动方通信范围为被动方群组中全体用户端时，被动方会话密钥利用与被动方群组相应的群组密钥池进行加密。直接发送给用户端A1的称为主动方会话密钥，供后续的用户端A2使用，而封装在Ticket中的则称为被动方会话密钥，供后续的用户端B2使用。主动方会话密钥和被动方会话密钥的传输均采用密文形式，且根据通信范围选择相应的加密方式，因此只有通信范围内的用户端才可以解密并使用。当通信范围为某一用户端而并非群组全体用户端时，可以理解为该用户端Ticket以及主动方会话密钥后，也即完成了共享。用于加密主动方会话密钥的为第一安全密钥，用于加密被动方会话密钥为第二安全密钥；步骤S2中，共享所述主动方会话密钥时，共享的内容至少包括采用第一安全密钥加密的主动方会话密钥，以及生成第一安全密钥的信息；所述Ticket中包含有生成第二安全密钥的信息。步骤S2中，共享所述主动方会话密钥时，为了提高安全性，共享解密相关信息时息并非直接共享第一安全密钥，而是共享生成第一安全密钥的信息，只有在主动方通信范围内的用户端才拥有相应的密钥池，因此外部成员即使获知生成该第一安全密钥的信息，也无法生成第一安全密钥，进一步提高了主动方会话密钥的安全性。同样的道理，Ticket中并不直接包含第二安全密钥，只是包含本文档来自技高网...

【技术保护点】
1.一种基于群组通信的身份认证系统，其特征在于，包括量子网络服务站，以及分别包括多个用户端的主动方群组和被动方群组，进行身份认证时包括：步骤S1、主动方群组中的其中一用户端A1通过被动方群组中的其中一用户端B1向量子网络服务站申请Ticket，且用户端A1指定主动方通信范围以及被动方通信范围；步骤S2、所述量子网络服务站生成会话密钥，并依据所述主动方通信范围以及被动方通信范围采用相应的加密方式分别将会话密钥以及包含有会话密钥的Ticket发送给用户端A1，用户端A1在主动方通信范围内共享所述会话密钥以及包含有会话密钥的Ticket；步骤S3、主动方通信范围内的一用户端A2向被动方通信范围内的一用户端B2发送所述Ticket，使得用户端A2和用户端B2共享用于实施加密通信的会话密钥。

【技术特征摘要】
1.一种基于群组通信的身份认证系统，其特征在于，包括量子网络服务站，以及分别包括多个用户端的主动方群组和被动方群组，进行身份认证时包括：步骤S1、主动方群组中的其中一用户端A1通过被动方群组中的其中一用户端B1向量子网络服务站申请Ticket，且用户端A1指定主动方通信范围以及被动方通信范围；步骤S2、所述量子网络服务站生成会话密钥，并依据所述主动方通信范围以及被动方通信范围采用相应的加密方式分别将会话密钥以及包含有会话密钥的Ticket发送给用户端A1，用户端A1在主动方通信范围内共享所述会话密钥以及包含有会话密钥的Ticket；步骤S3、主动方通信范围内的一用户端A2向被动方通信范围内的一用户端B2发送所述Ticket，使得用户端A2和用户端B2共享用于实施加密通信的会话密钥。2.如权利要求1所述的基于群组通信的身份认证系统，其特征在于，用户端A1处在主动方通信范围内，且用户端B1处在被动方通信范围内。3.如权利要求2所述的基于群组通信的身份认证系统，其特征在于，主动方群组以及被动方群组的所有用户端分别配置有量子密钥卡；各用户端的量子密钥卡各自独立的与量子网络服务站共享私有的对称密钥池；同一群组中所有用户端的量子密钥卡与量子网络服务站共享与所在群组相应的群组密钥池；步骤S2中，量子网络服务站以加密方式直接发送给用户端A1的会话密钥为主动方密钥，主动方通信范围为主动方群组中某一用户端时，主动方会话密钥利用与该用户端相应的对称密钥池进行加密；主动方通信范围为主动方群组中全体用户端时，主动方会话密钥利用与主动方群组相应的群组密钥池进行加密；量子网络服务站发送给用户端A1的Ticket中包含有加密方式的会话密钥，该会话密钥为被动方会话密钥，被动方通信范围为被动方群组中某一用户端时，被动方会话密钥利用与该用户端相应的对称密钥池进行加密；被动方通信范围为被动方群组中全体用户端时，被动方会话密钥利用与被动方群组相应的群组密钥池进行加密。4.如权利要求3所述的基于群组通信的身份认证系统，其特征在于，用于加密主动方会话密钥的为第一安全密钥，用于加密被动方会话密钥为第二安全密钥；步骤S2中，共享所述主动方会话密钥时，共享的内容至少包括采用第一安全密钥加密的主动方会话密钥，以及生成第一安全密钥的信息；所述Ticket中包含有生成第二安全密钥的信息。5.如权利要求4所述的基于群组通信的身份认证系统，其特征在于，步骤S1中、所述用户端A1经由用户端B1向量子网络服务站提出Ticket申请时，携带有标示符A和标示符B；其中标示...

【专利技术属性】
技术研发人员：富尧，钟一民，
申请(专利权)人：如般量子科技有限公司，
类型：发明
国别省市：浙江,33