一种身份认证方法及装置制造方法及图纸

本发明专利技术提供一种身份认证方法及装置，涉及网络安全技术领域，用以提高认证效率。该方法包括：生成认证请求，在所述认证请求中包括第一待认证信息、用于当前身份认证的第一量子密钥的标识、利用所述第一量子密钥对第二待认证信息加密后的第一加密密文；向第二设备发送所述认证请求，以使所述第二设备将所述认证请求发送给认证服务器，由所述认证服务器根据所述认证请求进行认证；接收所述第二设备发送的认证响应，在所述认证响应中包括所述认证服务器的认证报文。本发明专利技术主要用于身份认证技术中。

【技术实现步骤摘要】
一种身份认证方法及装置
本专利技术涉及网络安全
，尤其涉及一种身份认证方法及装置。
技术介绍
身份认证是指确认用户身份的过程，是网络安全防护的第一道关口。在设备身份认证领域，目前主要有预共享密钥和公钥证书两种认证方式。其中预共享密钥要求认证双方事前预置一个相同的根密钥，在认证过程中基于根密钥采用一系列的密码运算进行认证。公钥证书方式要求被认证方拥有一张数字证书，同时自身需内置与证书对应的私钥。其中，预共享密钥是目前采用较多的认证方式之一，该方式要求双方预置一个相同的根密钥，为了保护根密钥，在认证过程中需要对根密钥进行多次密码运算，且认证双方需要进行多次交互，需要占用一定的计算资源和网络资源。数字证书认证要求被认证方向证书机构申请一张数字证书，同时自身存储与证书相对应的私钥，认证中需要使用公钥算法。由于公钥算法与对称密码算法相比效率低，需要较多的计算资源，对终端能力要求较高。此外，随着计算机计算能力的提高和量子计算机的发展，RSA等主流的公钥算法已被逐渐攻破，不能满足安全要求。随着量子通信技术的快速发展，量子保密通信技术利用量子力学的基本原理可以保证密钥的绝对安全，即，任何对量子系统的测量都会产生干扰，因此如果有攻击者试图对系统进行测量以获取密钥信息，通信双方便会知晓。量子保密通信技术通过量子网络可以实现密钥的安全分发，这些密钥称为量子密钥。通常量子网络中应包括量子密钥收发装置和量子信道，量子密钥收发装置用于产生和分发密钥，量子信道用于量子密钥的传输，量子密钥可使用现有加密算法在经典通信网络中实现信息的安全传输。由于使用量子网络可以产生大量量子密钥，因此，使用这些密钥实现身份认证和数据加密成为新的研究热点。
技术实现思路
有鉴于此，本专利技术提供一种身份认证方法及装置，用以提高认证效率。为解决上述技术问题，本专利技术提供一种身份认证方法，应用于第一设备，包括：生成认证请求，在所述认证请求中包括第一待认证信息、用于当前身份认证的第一量子密钥的标识、利用所述第一量子密钥对第二待认证信息加密后的第一加密密文；向第二设备发送所述认证请求，以使所述第二设备将所述认证请求发送给认证服务器，由所述认证服务器根据所述认证请求进行认证；接收所述第二设备发送的认证响应，在所述认证响应中包括所述认证服务器的认证报文。其中，所述认证服务器的认证报文包括针对所述第一设备的第一认证报文，所述第一认证报文中包括所述认证服务器用于当前身份认证的第二量子密钥的标识，利用所述第二量子密钥对认证结果和第三待认证信息加密后的第二加密密文；所述认证结果中包括所述认证服务器对所述第一设备的认证结果以及所述认证服务器对所述第二设备的认证结果；所述方法还包括：根据所述认证响应分别对所述第二设备、所述认证服务器进行认证。其中，所述根据所述认证响应分别对所述第二设备、所述认证服务器进行认证，包括：根据所述第二量子密钥的标识查找对应的第三量子密钥；若查找到所述第三量子密钥，则读取所述第三量子密钥的状态标识；若所述第三量子密钥的状态标识表示所述第三量子密钥未被使用，则利用所述第三量子密钥解密所述第二加密密文，获得所述第三待认证信息和所述认证结果；将所述第三待认证信息和所述第二待认证信息进行比较；若所述第三待认证信息和所述第二待认证信息一致，则通过对所述认证服务器的认证；若所述认证结果表示所述认证服务器对所述第二设备的认证通过，则通过对所述第二设备的认证。其中，所述第一待认证信息和所述第二待认证信息为任一随机数；或者所述第一待认证信息为任一随机数，所述第二待认证信息包括所述第一待认证信息和任一随机数；当所述第一待认证信息为任一随机数，所述第二待认证信息包括所述第一待认证信息和任一随机数时，所述将所述第三待认证信息和所述第二待认证信息进行比较，包括：将所述第三待认证信息和所述第二待认证信息中的任一随机数进行比较。其中，所述第一待认证信息为任一随机数；所述第二待认证信息包括所述第一待认证信息、任一随机数和第一验证数；所述认证请求中还包括：第一大整数和第二大整数；所述第一验证数是根据所述第一大整数、所述第二大整数、第三大整数计算得到的；所述将所述第三待认证信息和所述第二待认证信息进行比较，包括：将所述第三待认证信息和所述第二待认证信息中的所述任一随机数进行比较。其中，所述方法还包括：计算共享量子密钥，所述共享量子密钥用于与所述第二设备之间的通信；所述共享量子密钥按如下方式计算：K＝Xy＝Yx＝gxymodn，Y＝gymodn，X＝gxmodn；其中，K表示共享量子密钥，g表示所述第一大整数，n表示所述第二大整数，x表示所述第三大整数，y表示第四大整数，X表示所述第一验证数，Y表示第二验证数。其中，所述方法还包括：从量子密钥分发设备获取与所述认证服务器共享的量子密钥集合；按照预定方式为所述量子密钥集合中的密钥设置密钥标识；存储所述量子密钥集合、所述密钥标识、第一设备的标识和所述认证服务器的标识。其中，所述方法还包括：更新所述量子密钥集合。第二方面，本专利技术提供一种身份认证方法，应用于第二设备，包括：接收第一设备的第一认证请求，在所述第一认证请求中包括第一待认证信息、用于当前身份认证的第一量子密钥的标识、利用所述第一量子密钥对第二待认证信息加密后的第一加密密文；向认证服务器发送身份认证请求，在所述身份认证请求中包括所述第一认证请求，以使所述认证服务器根据所述身份认证请求进行认证；接收所述认证服务器的认证报文，根据所述认证报文对所述第一设备进行认证；根据所述认证报文向所述第一设备发送认证响应。其中，在所述接收第一设备的第一认证请求之后，所述方法还包括：生成第二认证请求，在所述第二认证请求中包括第三待认证信息、所述第二设备用于当前身份认证的第二量子密钥的标识、利用所述第二量子密钥对第四待认证信息加密后的第二加密密文；在所述身份认证请求中还包括所述第二认证请求。其中，所述认证服务器的认证报文包括针对所述第二设备的第二认证报文，所述第二认证报文中包括所述认证服务器用于当前身份认证的第三量子密钥的标识，利用所述第三量子密钥对认证结果和第五待认证信息加密后的第三加密密文；所述认证结果中包括所述认证服务器对所述第一设备的认证结果以及所述认证服务器对所述第二设备的认证结果；所述方法还包括：根据所述认证报文对所述认证服务器进行认证。其中，所述根据所述认证报文对所述认证服务器进行认证，包括：根据所述第三量子密钥的标识查找对应的第四量子密钥；若查找到所述第四量子密钥，则读取所述第四量子密钥的状态标识；若所述第四量子密钥的状态标识表示所述第四量子密钥未被使用，则利用所述第四量子密钥解密所述第三加密密文，获得所述第五待认证信息和所述认证结果；将所述第五待认证信息和所述第四待认证信息进行比较；若所述第五待认证信息和所述第四待认证信息一致，则通过对所述认证服务器的认证；所述根据所述认证报文对所述第一设备进行认证，包括：若所述认证结果表示所述认证服务器对所述第一设备的认证通过，则通过对所述第一设备的认证。其中，所述第一待认证信息和所述第二待认证信息为任一随机数；或者所述第一待认证信息为任一随机数，所述第二待认证信息包括所述第一待认证信息和任一随机数；所述第三待认证信息为任一随机数，所述第四待认证信息本文档来自技高网...

【技术保护点】
1.一种身份认证方法，其特征在于，应用于第一设备，包括：生成认证请求，在所述认证请求中包括第一待认证信息、用于当前身份认证的第一量子密钥的标识、利用所述第一量子密钥对第二待认证信息加密后的第一加密密文；向第二设备发送所述认证请求，以使所述第二设备将所述认证请求发送给认证服务器，由所述认证服务器根据所述认证请求进行认证；接收所述第二设备发送的认证响应，在所述认证响应中包括所述认证服务器的认证报文。

【技术特征摘要】
1.一种身份认证方法，其特征在于，应用于第一设备，包括：生成认证请求，在所述认证请求中包括第一待认证信息、用于当前身份认证的第一量子密钥的标识、利用所述第一量子密钥对第二待认证信息加密后的第一加密密文；向第二设备发送所述认证请求，以使所述第二设备将所述认证请求发送给认证服务器，由所述认证服务器根据所述认证请求进行认证；接收所述第二设备发送的认证响应，在所述认证响应中包括所述认证服务器的认证报文。2.根据权利要求1所述的方法，其特征在于，所述认证服务器的认证报文包括针对所述第一设备的第一认证报文，所述第一认证报文中包括所述认证服务器用于当前身份认证的第二量子密钥的标识，利用所述第二量子密钥对认证结果和第三待认证信息加密后的第二加密密文；所述认证结果中包括所述认证服务器对所述第一设备的认证结果以及所述认证服务器对所述第二设备的认证结果；所述方法还包括：根据所述认证响应分别对所述第二设备、所述认证服务器进行认证。3.根据权利要求2所述的方法，其特征在于，所述根据所述认证响应分别对所述第二设备、所述认证服务器进行认证，包括：根据所述第二量子密钥的标识查找对应的第三量子密钥；若查找到所述第三量子密钥，则读取所述第三量子密钥的状态标识；若所述第三量子密钥的状态标识表示所述第三量子密钥未被使用，则利用所述第三量子密钥解密所述第二加密密文，获得所述第三待认证信息和所述认证结果；将所述第三待认证信息和所述第二待认证信息进行比较；若所述第三待认证信息和所述第二待认证信息一致，则通过对所述认证服务器的认证；若所述认证结果表示所述认证服务器对所述第二设备的认证通过，则通过对所述第二设备的认证。4.根据权利要求3所述的方法，其特征在于，所述第一待认证信息和所述第二待认证信息为任一随机数；或者所述第一待认证信息为任一随机数，所述第二待认证信息包括所述第一待认证信息和任一随机数；当所述第一待认证信息为任一随机数，所述第二待认证信息包括所述第一待认证信息和任一随机数时，所述将所述第三待认证信息和所述第二待认证信息进行比较，包括：将所述第三待认证信息和所述第二待认证信息中的任一随机数进行比较。5.根据权利要求3所述的方法，其特征在于，所述第一待认证信息为任一随机数；所述第二待认证信息包括所述第一待认证信息、任一随机数和第一验证数；所述认证请求中还包括：第一大整数和第二大整数；所述第一验证数是根据所述第一大整数、所述第二大整数、第三大整数计算得到的；所述将所述第三待认证信息和所述第二待认证信息进行比较，包括：将所述第三待认证信息和所述第二待认证信息中的所述任一随机数进行比较。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：计算共享量子密钥，所述共享量子密钥用于与所述第二设备之间的通信；所述共享量子密钥按如下方式计算：K＝Xy＝Yx＝gxymodn，Y＝gymodn，X＝gxmodn；其中，K表示共享量子密钥，g表示所述第一大整数，n表示所述第二大整数，x表示所述第三大整数，y表示第四大整数，X表示所述第一验证数，Y表示第二验证数。7.根据权利要求1-6任一所述的方法，其特征在于，所述方法还包括：从量子密钥分发设备获取与所述认证服务器共享的量子密钥集合；按照预定方式为所述量子密钥集合中的密钥设置密钥标识；存储所述量子密钥集合、所述密钥标识、第一设备的标识和所述认证服务器的标识。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：更新所述量子密钥集合。9.一种身份认证方法，其特征在于，应用于第二设备，包括：接收第一设备的第一认证请求，在所述第一认证请求中包括第一待认证信息、用于当前身份认证的第一量子密钥的标识、利用所述第一量子密钥对第二待认证信息加密后的第一加密密文；向认证服务器发送身份认证请求，在所述身份认证请求中包括所述第一认证请求，以使所述认证服务器根据所述身份认证请求进行认证；接收所述认证服务器的认证报文，根据所述认证报文对所述第一设备进行认证；根据所述认证报文向所述第一设备发送认证响应。10.根据权利要求9所述的方法，其特征在于，在所述接收第一设备的第一认证请求之后，所述方法还包括：生成第二认证请求，在所述第二认证请求中包括第三待认证信息、所述第二设备用于当前身份认证的第二量子密钥的标识、利用所述第二量子密钥对第四待认证信息加密后的第二加密密文；在所述身份认证请求中还包括所述第二认证请求。11.根据权利要求10所述的方法，其特征在于，所述认证服务器的认证报文包括针对所述第二设备的第二认证报文，所述第二认证报文中包括所述认证服务器用于当前身份认证的第三量子密钥的标识，利用所述第三量子密钥对认证结果和第五待认证信息加密后的第三加密密文；所述认证结果中包括所述认证服务器对所述第一设备的认证结果以及所述认证服务器对所述第二设备的认证结果；所述方法还包括：根据所述认证报文对所述认证服务器进行认证。12.根据权利要求11所述的方法，其特征在于，所述根据所述认证报文对所述认证服务器进行认证，包括：根据所述第三量子密钥的标识查找对应的第四量子密钥；若查找到所述第四量子密钥，则读取所述第四量子密钥的状态标识；若所述第四量子密钥的状态标识表示所述第四量子密钥未被使用，则利用所述第四量子密钥解密所述第三加密密文，获得所述第五待认证信息和所述认证结果；将所述第五待认证信息和所述第四待认证信息进行比较；若所述第五待认证信息和所述第四待认证信息一致，则通过对所述认证服务器的认证；所述根据所述认证报文对所述第一设备进行认证，包括：若所述认证结果表示所述认证服务器对所述第一设备的认证通过，则通过对所述第一设备的认证。13.根据权利要求10-12任一项所述的方法，其特征在于，所述第一待认证信息和所述第二待认证信息为任一随机数；或者所述第一待认证信息为任一随机数，所述第二待认证信息包括所述第一待认证信息和任一随机数；所述第三待认证信息为任一随机数，所述第四待认证信息包括所述第三待认证信息和任一随机数；或者所述第一待认证信息为任一随机数；所述第二待认证信息包括所述第一待认证信息、任一随机数和第一验证数；所述认证请求中还包括：第一大整数和第二大整数；所述第一验证数是根据所述第一大整数、所述第二大整数、第三大整数计算得到的；所述第三待认证信息为任一随机数，所述第四待认证信息包括所述第三待认证信息，任一随机数和第二验证数；所述第二验证数是所述第二设备根据所述第一大整数、所述第二大整数和第四大整数生成的。14.根据权利要求13所述的方法，其特征在于，所述方法还包括：计算共享量子密钥，所述共享量子密钥用于与所述第一设备之间的通信；所述共享量子密钥按如下方式计算：K＝Xy＝Yx＝gxymodn，Y＝gymodn，X＝gxmodn；其中，K表示共享量子密钥，g表示所述第一大整数，n表示所述第二大整数，x表示所述第三大整数，y表示所述第四大整数，X表示所述第一验证数，Y表示所述第二验证数。15.根据权利要求9-12任一项所述的方法，其特征在于，所述方法还包括：从量子密钥分发设备获取与所述认证服务器共享的量子密钥集合；按照预定方式为所述量子密钥集合中的密钥设置密钥标识；存储所述量子密钥集合、所述密钥标识、第二设备的标识和所述认证服务器的标识。16.根据权利要求15所述的方法，其特征在于，所述方法还包括：更新所述量子密钥集合。17.一种身份认证方法，其特征在于，应用于认证服务器，包括：接收第二设备的身份认证请求；其中，所述身份认证请求包括第一设备的第一认证请求；在所述第一认证请求中包括第一待认证信息、用于当前身份认证的第一量子密钥的标识、利用所述第一量子密钥对第二待认证信息加密后的第一加密密文；根据所述身份认证请求进行认证；向所述第二设备发送认证报文。18.根据权利要求17所述的方法，其特征在于，所述第一待认证信息和所述第二待认证信息为任一随机数；或者所述第一待认证信息为任一随机数，所述第二待认证信息包括所述第一待认证信息和任一随机数；或者所述第一待认证信息为任一随机数；所述第二待认证信息包括所述第一待认证信息、任一随机数和第一验证数；所述认证请求中还包括：第一大整数和第二大整数；所述第一验证数是根据所述第一大整数、所述第二大整数、第三大整数计算得到的。19.根据权利要求18所述的方法，其特征在于，所述根据所述身份认证请求进行认证，包括：根据所述第一量子密钥的标识查找对应的第三量子密钥；若查找到所述第三量子密钥，则读取所述第三量子密钥的状态标识；若所述第三量子密钥的状态标识表示所述第三量子密钥未被使用，则利用所述第三量子密钥解密所述第一加密密文，获得所述第二待认证信息；将所述第二待认证信息和所述第一认证请求中包括的第一待认证信息进行比较；若所述第二待认证信息和所述第一认证请求中包括的第一待认证信息一致，则通过对所述第一设备的认证。20.根据权利要求19所述的方法，其特征在于，所述将所述第二待认证信息和所述第一认证请求中包括的第一待认证信息进行比较，包括：将所述第二待认证信息中的任一随机数和所述第一待认证信息进行比较。21.根据权利要求18或19或20所述的方法，其特征在于，所述身份认证请求中还包括所述第二设备的第二认证请求，在所述第二认证请求中包括第三待认证信息、所述第二设备用于当前身份认证的第二量子密钥的标识、利用所述第二量子密钥对第四待认证信息加密后的第二加密密文；所述根据所述身份认证请求进行认证，包括：根据所述第二量子密钥的标识查找对应的第四量子密钥；若查找到所述第四量子密钥，则读取所述第四量子密钥的状态标识；若所述第四量子密钥的状态标识表示所述第四量子密钥未被使用，则利用所述第四量子密钥解密所述第二加密密文，获得所述第四待认证信息；将所述第四待认证信息和所述第三待认证信息进行比较；若所述第四待认证信息和所述第三待认证信息一致，则通过对所述第二设备的认证。22.根据权利要求21所述的方法，其特征在于，所述第三待认证信息为任一随机数，所述第四待认证信息包括所述第三待认证信息，任一随机数和第二验证数；所述第二验证数是所述第二设备根据所述第一大整数、所述第二大整数和第四大整数生成的；所述将所述第四待认证信息和所述第三待认证信息进行比较，包括：将所述第四待认证信息中的任一随机数和所述第三待认证信息进行比较。23.根据权利要求17-20任一项所述的方法，其特征在于，所述方法还包括：从量子密钥分发设备分别获取与所述第一设备、第二设备共享的第一量子密钥集合和第二量子密钥集合；按照预定方式为所述第一量子密钥集合和所述第二量子密钥集合中的密钥设置密钥标识；存储所述第一量子密钥集合、所述密钥标识、第一设备的标识和所述认证服务器的标识；存储所述第二量子密钥集合、所述密钥标识、第二设备的标识和所述认证服务器的标识。24.根据权利要求23所述的方法，其特征在于，所述方法还包括：更新所述量子密钥集合。25.一种身份认证装置，其特征在于，包括：生成模块，用于生成认证请求，在所述认证请求中包括第一待认证信息、用于当前身份认证的第一量子密钥的标识、利用所述第一量子密钥对第二待认证信...

【专利技术属性】
技术研发人员：阎军智，
申请(专利权)人：中国移动通信有限公司研究院，中国移动通信集团公司，
类型：发明
国别省市：北京,11