本发明专利技术公开了一种基于量子通信网络的NFC认证系统,包括应用服务器、应用终端、以及移动终端,还设有量子通信服务站以及与所述移动终端相匹配的量子密钥卡,所述量子密钥卡与量子通信服务站之间存储有相应的量子密钥;进行NFC认证时,移动终端所匹配的量子密钥卡生成NFC认证应答值,量子通信服务站生成NFC认证预期应答值;应用终端比较NFC认证应答值以及NFC认证预期应答值获得认证结果并执行相关业务。本发明专利技术NFC认证系统,利用移动终端的NFC认证,使用者操作快速便捷,体验优于动态密码。另外用于认证的密钥存储于量子密钥卡中,量子密钥卡是特制的隔离硬件,难以被移动终端内的恶意软件或恶意操作窃取。
【技术实现步骤摘要】
基于量子通信网络的NFC认证系统
本专利技术涉及网络安全通信领域,特别涉及一种基于量子通信网络的NFC认证系统。
技术介绍
身份认证时,静态密码容易被恶意软件所窃取,或者因为固定不变被暴力破解。为了解决静态密码的安全性问题,动态令牌技术已经大行其道。动态令牌采用基于时间、事件和密钥三个变量产生的一次性密码代替传统的静态密码。每个动态令牌卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态令牌卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算待认证的动态令牌,从而双边确保密码的一致性,实现身份认证。因每次认证时的随机参数不同,所以每次产生的动态令牌也不同,而参数的随机性保证了每次密码的不可预测性,从而在最基本也是最重要的密码认证环节保证了系统的安全性。动态令牌从终端来分类包含硬件令牌和手机令牌。手机令牌是安装在手机上的客户端软件,用来生成动态令牌。国际上动态令牌有2大主流算法,一个是RSA的SecurID(使用AES对称算法),一个是OATH组织使用的HMAC算法。国内使用的动态令牌算法使用国密SM1和SM3。近场通信(NearFieldCommunication,NFC)是一种短距高频的无线电技术,其传输范围比射频识别技术(RadioFrequencyIdentification,RFID)小,但由于NFC采取了独特的信号衰减技术,相对于RFID来说NFC具有距离近、带宽高、能耗低等特点,可提供各种设备间安全、迅速而自动的通信。目前NFC已经成为越来越多主要手机厂商支持的正式标准,各个手机厂商也推出了具有NFC支付功能的智能终端。量子通信是量子论和信息论相结合的新兴交叉领域,以其高度安全的信息传输能力日益受到人们的关注。例如中国专利申请201510513004.4公开了基于量子密码网络的手机令牌身份认证系统,其中介绍了量子通信网络的动态令牌认证。但未考虑移动终端的安全性,而且需要在应用终端手动输入动态密码,操作不便。中国专利申请201610843356.0公开了用户身份认证系统和方法,其中介绍了一种量子通信服务站和量子密钥卡及其相互之间认证的实现方法。但仅介绍了量子通信服务站对配备有量子密钥卡的量子通信用户设备的认证,并未介绍量子通信网络中的应用系统的内部认证,即应用服务器对应用终端的认证。现有技术存在的问题1.现有技术中,在使用动态令牌进行身份认证过程中,需要应用终端使用者手动输入动态令牌,操作过于繁琐,并且存在安全隐患。2.现有技术中,手机令牌的密钥存储于手机存储器中,可以被恶意软件或恶意操作窃取。3.现有技术中,手机令牌的种子密钥是不变的,安全性不够高。4.现有技术中,每一个应用服务器的动态口令系统都是独立的,使用者需要维护多个动态令牌或者动态令牌软件,管理不便。
技术实现思路
本专利技术提供一种基于量子通信网络的NFC认证系统,利用移动终端的NFC认证,使用者操作快速便捷,体验优于动态密码。另外用于认证的密钥存储于量子密钥卡中,量子密钥卡是特制的隔离硬件,难以被移动终端内的恶意软件或恶意操作窃取。一种基于量子通信网络的NFC认证系统,包括应用服务器、应用终端、以及移动终端,还设有量子通信服务站以及与所述移动终端相匹配的量子密钥卡,所述量子密钥卡与量子通信服务站之间存储有相应的量子密钥;进行NFC认证时,所述移动终端从应用终端申请并获得NFC认证信息,移动终端所匹配的量子密钥卡根据该NFC认证信息并利用所存储的量子密钥生成NFC认证应答值,再将该NFC认证应答值发送至应用终端;所述应用终端还向应用服务器发送相应认证请求,该认证请求经由应用服务器发送至量子通信服务站并返回相应的NFC认证预期应答值;应用终端比较NFC认证应答值以及NFC认证预期应答值获得认证结果并执行相关业务。本专利技术中所述NFC认证信息中包含NFC挑战值,应用终端向应用服务器发送的认证请求中也包含该NFC挑战值,即NFC认证信息与认证请求中有相应的NFC挑战值。由于移动终端所匹配的量子密钥卡与量子通信服务站之间存储有相应的量子密钥,因此可分别计算生成NFC认证应答值以及NFC认证预期应答值,在应用终端进行比较,两者一致视为认证成功。本专利技术中NFC应答值在移动终端匹配的量子密钥卡内并利用量子密钥生成,由于量子密钥卡中的密钥可变,甚至能做到一次认证一个密钥,安全性高于动态密码。多个应用服务器的动态口令系统都可以用同样的量子通信系统进行认证,使用者管理方便。同一应用服务器下可以配置多个应用终端,参与认证过程的量子通信服务站也不限于一个,涉及多个量子节点相互通信时,可利用QKD方式获得的站间量子密钥加密通信,或采用量子密钥卡的形式与所属的(即该量子密钥卡由所属量子通信服务站颁发,两者之间存储有相应的量子密钥)量子通信服务站加密通信。本专利技术NFC认证系统可以应用于各类需要身份认证的系统,应用服务器和应用终端可根据需要以及场景配置多台,应用服务器运行业务服务程序,应用终端运行业务客户端程序。可选的,所述应用服务器为门禁系统后台服务器;智能楼宇后台控制中心或考勤系统后台服务器;所述应用终端相应的为门禁装置;智能楼宇受控终端或考勤机终端。可选的,使用者通过移动终端向应用终端申请发送访问请求以获取所述NFC认证信息时,访问请求中携带或不携带应用服务器预先分配给该使用者的身份识别号。相对于携带身份识别号,若不携带身份识别号则使用者不需要输入任何信息给应用终端,应用终端向应用服务器发送空的使用者访问请求,可进一步方便使用者操作。可选的,应用终端接收来自移动终端且带有所述NFC认证应答值的认证应答,从该认证应答中提取相应信息并进行合法性判断;判断合法后再向应用服务器发送所述认证请求。移动终端计算NFC认证应答值后向应用终端发送认证应答,其不仅包含有NFC认证应答值,还包含其他识别信息,如NFC挑战ID、使用者的身份识别号、所使用的量子密钥卡的身份识别号等;根据判断需要,还可以通过移动终端采集的使用者生物学信息,如指纹信息、虹膜信息、人脸信息、静脉信息、掌纹信息等,并携带在认证应答中。可选的,所述应用终端进行的合法性判断包括身份信息合法性判断和时间合法性判断。可选的,应用终端向应用服务器发送认证请求后,应用服务器对该认证请求进行合法性判断,判断合法后再发送至量子通信服务站进行认证。即涉及的合法性判断有两次,一次是在应用终端中依据来自移动终端的认证应答进行判断,另一次是在应用服务器中依据来自应用终端的认证请求进行判断。可选的,所述应用服务器也配置有相应的量子密钥卡,该量子密钥卡与量子通信服务站之间存储有相应的量子密钥,用以在应用服务器与量子通信服务站之间加密通信。通信时,若有多个量子通信服务站参与,在量子通信服务站之间采用站间量子密钥进行通信;移动终端与所属的量子通信服务站之间、应用服务器与所属的量子通信服务站之间采用所属量子通信服务站颁发的量子密钥进行通信。可选的,应用服务器的量子密钥卡颁发自第一量子通信服务站,移动终端的量子密钥卡颁发自第二量子通信服务站,第一量子通信服务站接收来自应用终端发送的认证请求后,将该认证请求转发至第二量子通信服务站进行认证,并将来自第二量子通信服务站的NFC认证预期应答值转发至应用终端。由于本文档来自技高网...
【技术保护点】
一种基于量子通信网络的NFC认证系统,包括应用服务器、应用终端、以及移动终端,其特征在于,还设有量子通信服务站以及与所述移动终端相匹配的量子密钥卡,所述量子密钥卡与量子通信服务站之间存储有相应的量子密钥;进行NFC认证时,所述移动终端从应用终端申请并获得NFC认证信息,移动终端所匹配的量子密钥卡根据该NFC认证信息并利用所存储的量子密钥生成NFC认证应答值,再将该NFC认证应答值发送至应用终端;所述应用终端还向应用服务器发送相应认证请求,该认证请求经由应用服务器发送至量子通信服务站并返回相应的NFC认证预期应答值;应用终端比较NFC认证应答值以及NFC认证预期应答值获得认证结果并执行相关业务。
【技术特征摘要】
1.一种基于量子通信网络的NFC认证系统,包括应用服务器、应用终端、以及移动终端,其特征在于,还设有量子通信服务站以及与所述移动终端相匹配的量子密钥卡,所述量子密钥卡与量子通信服务站之间存储有相应的量子密钥;进行NFC认证时,所述移动终端从应用终端申请并获得NFC认证信息,移动终端所匹配的量子密钥卡根据该NFC认证信息并利用所存储的量子密钥生成NFC认证应答值,再将该NFC认证应答值发送至应用终端;所述应用终端还向应用服务器发送相应认证请求,该认证请求经由应用服务器发送至量子通信服务站并返回相应的NFC认证预期应答值;应用终端比较NFC认证应答值以及NFC认证预期应答值获得认证结果并执行相关业务。2.如权利要求1所述的基于量子通信网络的NFC认证系统,其特征在于,所述应用服务器为门禁系统后台服务器;智能楼宇后台控制中心或考勤系统后台服务器;所述应用终端相应的为门禁装置;智能楼宇受控终端或考勤机终端。3.如权利要求1所述的基于量子通信网络的NFC认证系统,其特征在于,使用者通过移动终端向应用终端申请发送访问请求以获取所述NFC认证信息时,访问请求中携带或不携带应用服务器预先分配给该使用者的身份识别号。4.如权利要求1所述的基于量子通信网络的NFC认证系统,其特征在于,应用终端接收来自移动终端且带有所述NFC认证应答值的认证应答,从该认证应答中提取相应信息并进行合法性判断;判断合法后再向应用...
【专利技术属性】
技术研发人员:富尧,钟一民,
申请(专利权)人:浙江神州量子网络科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。