A mobile phone token identity authentication system based on quantum cryptography network, mobile terminal and application server to register through the quantum cryptography quantum authentication center network terminal, ID, IMEI code or domain name registration, and set the PIN code; the mobile terminal and the application server to download the quantum key in quantum cryptography network terminal, quantum key data quantum authentication center database download; provide the ID in the application server to register a user of the mobile terminal; the application server needs authentication when the user of the mobile terminal, the mobile terminal is calculated using dynamic password to download the quantum key, the application server will be transferred to the quantum dynamic password authentication center, quantum authentication center will verify the results through the application server to notify the mobile terminal user. The invention also provides an authentication method. The invention has the advantages of unconditional safety, high synchronization between the mobile terminal and the quantum authentication center key, and the convenience of the user.
【技术实现步骤摘要】
基于量子密码网络的手机令牌身份认证系统及方法
本专利技术属于网络安全通信领域,尤其涉及一种基于量子密码网络的手机令牌身份认证系统及方法。
技术介绍
量子通信是近二十年发展起来的新型交叉学科,是量子论和信息论相结合的新的研究领域。近来这门学科已逐步从理论走向实验,并向实用化发展。高效安全的信息传输日益受到人们的关注。物理上,量子通信可以被理解为在物理极限下,利用量子效应实现的高性能通信。信息学上,我们则认为量子通信是利用量子力学的基本原理(如量子态不可克隆原理和量子态的测量塌缩性质等)或者利用量子态隐形传输等量子系统特有属性,以及量子测量的方法来完成两地之间的信息传递。以量子密钥分配(QKD)协议为基础的量子密码技术是现阶段量子通信最重要的实际应用之一。传统的密码学是以数学为基础的密码体制,而量子密码以量子力学为基础,它的安全性是建立在测不准原理、量子的不可克隆及量子相干性等物理特性之上的,被证明是无条件安全的。量子密码网络(或称量子保密通信网络)便是采用量子密码技术的一种安全通信网络。量子密码网络是由经典通信网络(或称经典网络)和量子密钥分配网络共同构建而成的。量子密钥分配网络主要由QKD终端设备和量子信道组成,用于密钥分发,生成用于加密通信的量子密钥。经典通信网络使用量子密钥实现数据的加解密和加密数据的传输。一个量子密码网络终端一般是由一个连接于经典通信网络的经典通信终端和一个连接于量子密钥分配网络的QKD终端设备组成。动态口令(动态令牌)又称一次性密码(OTP,One-TimePassword),是使用密码技术实现的在客户端和服务器之间通过共享秘密的一 ...
【技术保护点】
一种基于量子密码网络的手机令牌身份认证系统,包括量子认证中心、量子密码网络终端,所述量子认证中心和量子密码网络终端之间采用量子密钥加密通信,其特征在于,还包括应用终端、应用服务器、移动终端,量子认证中心、应用服务器、应用终端之间采用经典网络通信方法通信;所述移动终端和所述应用服务器通过量子密码网络终端向所述量子认证中心注册,注册时,所述移动终端向所述量子认证中心提供ID和移动终端IMEI码,所述应用服务器向所述量子认证中心提供ID和应用服务器域名,并均设置密码或用户的生物特征作为PIN码;然后移动终端和应用服务器通过注册ID和设置的PIN码在所述量子密码网络终端下载量子密钥,所述量子认证中心的数据库保存所述移动终端和所述应用服务器下载的量子密钥数据;所述移动终端的用户在所述应用服务器注册时,向所述应用服务器提供身份认证所使用的所述移动终端在所述量子认证中心的注册ID;所述应用服务器需要所述移动终端用户做身份认证时,所述移动终端利用在所述量子密码网络终端下载的量子密钥计算动态口令,将所计算的动态口令通过应用终端提供给所述应用服务器,所述应用服务器将动态口令转发给所述量子认证中心以验证其正 ...
【技术特征摘要】
1.一种基于量子密码网络的手机令牌身份认证系统,包括量子认证中心、量子密码网络终端,所述量子认证中心和量子密码网络终端之间采用量子密钥加密通信,其特征在于,还包括应用终端、应用服务器、移动终端,量子认证中心、应用服务器、应用终端之间采用经典网络通信方法通信;所述移动终端和所述应用服务器通过量子密码网络终端向所述量子认证中心注册,注册时,所述移动终端向所述量子认证中心提供ID和移动终端IMEI码,所述应用服务器向所述量子认证中心提供ID和应用服务器域名,并均设置密码或用户的生物特征作为PIN码;然后移动终端和应用服务器通过注册ID和设置的PIN码在所述量子密码网络终端下载量子密钥,所述量子认证中心的数据库保存所述移动终端和所述应用服务器下载的量子密钥数据;所述移动终端的用户在所述应用服务器注册时,向所述应用服务器提供身份认证所使用的所述移动终端在所述量子认证中心的注册ID;所述应用服务器需要所述移动终端用户做身份认证时,所述移动终端利用在所述量子密码网络终端下载的量子密钥计算动态口令,将所计算的动态口令通过应用终端提供给所述应用服务器,所述应用服务器将动态口令转发给所述量子认证中心以验证其正确性,在动态口令验证过程中,所述应用服务器和所述量子认证中心通过共同拥有的量子密钥数据保障通信数据的完整性,同时实现对应用服务器的身份认证,所述量子认证中心将验证结果通知应用服务器,应用服务器通知移动终端用户身份认证是否成功。2.根据权利要求1所述的一种基于量子密码网络的手机令牌身份认证系统,其特征在于,所述移动终端和应用服务器在所述量子密码网络终端下载量子密钥的具体方法相同,包括下述步骤:步骤11:移动终端或应用服务器连接量子密码网络终端;步骤12:量子密码网络终端发送密钥下载请求信息,包括注册ID及下载密钥长度;步骤13:量子认证中心发送身份认证请求,请求消息包括一个随机数R;步骤14:用户在量子密码网络终端上输入PIN码,量子密码网络终端获取移动终端的IMEI码或应用服务器的域名,将注册ID、IMEI码或域名、PIN码和随机数R连接运算后,计算其密钥相关的哈希运算消息认证码HMAC(QK,Data),其中QK为量子密码网络终端与量子认证中心之间的共享量子密钥,认证数据Data=ID||IMEI||PIN||R,或认证数据Data=ID||域名||PIN||R,“||”表示连接运算;步骤15:量子密码网络终端向量子认证中心发送认证码;步骤16:量子认证中心根据数据库中移动终端的ID、IMEI码和PIN码或者根据数据库中应用服务器的ID、域名和PIN码验证认证码的正确性;步骤17:如果验证成功,通知量子密码网络终端准备发送密钥数据;步骤18:量子密码网络终端将密钥数据保存到移动终端或者应用服务器,同时量子认证中心将密钥数据保存到数据库中。3.根据权利要求2所述的一种基于量子密码网络的手机令牌身份认证系统,其特征在于,其中步骤18中,量子认证中心利用随机数生成器生成随机数作为密钥数据发送给量子密码网络终端;或者量子密码网络终端将与量子认证中心之间的共享量子密钥作为密钥数据保存到移动终端或者应用服务器,同时量子认证中心将该共享量子密钥作为密钥数据保存到数据库中。4.根据权利要求1所述的一种基于量子密码网络的手机令牌身份认证系统,其特征在于,所述移动终端利用在所述量子密码网络终端下载的量子密钥,计算动态口令的具体方法为:移动终端按照每次生成动态口令所需的数据长度,将所下载的量子密钥在逻辑上划分为多个单位量子密钥,将所划分的单位量子密钥依次编号,移动终端用户登录应用服务器时,移动终端动态口令生成程序使用一个单位量子密钥计算需要认证的关键信息的密钥相关的哈希运算消息认证码HMAC(K,Data),所述关键信息包括:移动终端在量子认证中心的注册ID和/或移动终端IMEI码、用户通过移动终端输入的应用服务器域名SDN,其中K为其中一编号所对应的单位量子密钥,认证数据Data=ID||IMEI||SDN,或认证数据Data=ID||SDN,或认证数据Data=IMEI||SDN,“||”表示连接运算,将所述计算的消息认证码进行数据处理,最后将单位量子密钥编号和消息认证码的处理数据连接合并作为动态口令,同时将本次生成动态口令所使用的单位量子密钥标记为已使用。5.根据权利要求4所述的一种基于量子密码网络的手机令牌身份认证系统,其特征在于,所述移动终端在所述应用服务器做身份认证的具体流程如下:步骤21:所述移动终端利用在所述量子密码网络终端下载的量子密钥计算动态口令,移动终端和量子认证中心所共享的量子密钥数据采用相同的划分和编号方法,即双方具有相同编号的单位量子密钥所对应的密钥数据相同;步骤22:用户在应用终端输入动态口令,应用终端将动态口令发送到应用服务器;步骤23:应用服务器从数据库中获取移动终端的注册ID,利用在量子密码网络终端下载的密钥数据,计算应用服务器域名、移动终端的注册ID、动态口令的密钥相关的哈希运算消息认证码;步骤24:应用服务器向量子认证中心发送验证请求信息,包括应用服务器域名、移动终端的注册ID、动态口令及所述密钥相关的哈希运算消息认证码;步骤25:所述量子认证中心接收到应用服务器发送的验证请求信息,根据动态口令中的单位量子密钥编号,获取在量子认证中心存储的与相应注册ID的移动终端间共享的量子密钥数据中对应的单位量子密钥,首先确定此单位量子密钥是否已经被使用过,如果被使用过,则动态口令验证失败;如果没有被使用过,则采用与所述移动终端相同的计算动态口令的算法,使用此单位量子密钥计算相应关键信息的密钥相关的哈希运算消息认证码,并按照与移动终端相同的数据处理方法对计算所得的消息认证码进行数据处理,将最后得到的处理数据与动态口令中除单位量子密钥编号信息以外的数据进行对比,若对比结果一致,则用户身份认证成功,同时标记单位量子密钥编号所对应的单位量子密钥已被使用,否则用户身份认证失败;步骤26:量子认证中心将验证结果通知应用服务器,采用与应用服务器的共享密钥数据保障通信数据的完整性;步骤27:应用服务器通知用户身份认证是否成功。6.根据权利要求1至5任一项所述的一种基于量子密码网络的手机令牌身份认证系统,其特征在于,所述应用服务器为任意多个,一个移动终端实现在任意多个应用服务器的身份认证。7.一种使...
【专利技术属性】
技术研发人员:赵波,原磊,武宏宇,赵梅生,
申请(专利权)人:上海国盾量子信息技术有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。