【技术实现步骤摘要】
基于量子通信网络的改进型Kerberos身份认证系统和方法
本专利技术涉及量子通信
,尤其涉及基于量子网络服务站的身份认证的系统和方法。
技术介绍
身份认证是实现信息安全的基本技术,系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限,同样也可以进行系统与系统间的身份认证。当前通信网络中身份认证系统普遍采用Kerberos认证方案。Kerberos是一种网络认证协议,其设计目标是通过密钥系统为用户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。在Kerberos认证方案中,引入了时间戳timestamp来对重放攻击进行遏止,但是票据有生命周期,在其生命周期的有效时间内仍然可以使用。如果收到消息的时间是在规定允许的范围之内,那么就认为该消息具有新鲜性。但是,在得到许可证后的攻击者可以发送伪造的消息,这样的话,在允许的时间内是很难发现的。现有技术存在的问题:(1)现有身份认证技术基于Kerberos认证方案对时间戳的使用导致有出现重放攻击的可能。(2)Kerberos协议要求是基于网络中时钟同步,对整个系统时间同步要求高,在大型分布式系统中难以实现。(3)现有技术中服务器要分别向两个用户端分发会话密钥,存在一定的安全隐患。(4)现有技术中,用户端密钥存储于用户端存储器中,可以被恶意 ...
【技术保护点】
1.一种基于量子通信网络的改进型Kerberos身份认证系统,其特征在于,包括用户端A,用户端B以及量子网络服务站;用户端A向量子网络服务站发送与用户端B之间进行身份认证的第一次认证请求,量子网络服务站响应于该第一次认证请求分别向用户端B以及经由用户端B向用户端A发送凭证,用户端A和用户端B依据所获得的凭证分别生成且交互ticket以实施第一次认证;用户端A还依据从用户端B获得的ticket向用户端B发送第二次认证请求,用户端B响应于该第二次认证请求并与用户端A交互ticket以实施第二次认证。
【技术特征摘要】
1.一种基于量子通信网络的改进型Kerberos身份认证系统,其特征在于,包括用户端A,用户端B以及量子网络服务站;用户端A向量子网络服务站发送与用户端B之间进行身份认证的第一次认证请求,量子网络服务站响应于该第一次认证请求分别向用户端B以及经由用户端B向用户端A发送凭证,用户端A和用户端B依据所获得的凭证分别生成且交互ticket以实施第一次认证;用户端A还依据从用户端B获得的ticket向用户端B发送第二次认证请求,用户端B响应于该第二次认证请求并与用户端A交互ticket以实施第二次认证。2.如权利要求1所述的基于量子通信网络的改进型Kerberos身份认证系统,其特征在于,用户端A和用户端B在交互ticket时均采用双向认证,且以真随机数作为认证标识。3.如权利要求2所述的基于量子通信网络的改进型Kerberos身份认证系统,其特征在于,各用户端分别配置有量子密钥卡,用于生成真随机数作为ticket分发以及ticket使用时的认证标识。4.如权利要求1所述的基于量子通信网络的改进型Kerberos身份认证系统,其特征在于,还包括各用户端与量子网络服务站之间的密钥预同步,具体为:用户端A配置的量子密钥卡产生密钥KA,并将产生方式通知量子网络服务站,量子网络服务站生成相应的密钥KA’;用户端B或用户端B配置的量子密钥卡产生密钥KB以及与用户端A之间的会话密钥KA-B,并将产生方式通知量子网络服务站,量子网络服务站生成相应的密钥KB’以及会话密钥KA-B’。5.如权利要求4所述的基于量子通信网络的改进型Kerberos身份认证系统,其特征在于,用户端A提出第一次认证请求时,向量子网络服务站发送第一消息,该第一消息包括用户端A的身份信息、用户端B的身份信息、以及作为认证标识的真随机数NA,所述真随机数NA由用户端A配置的量子密钥卡产生;量子网络服务站响应于该第一消息生成第一凭证和第二凭证;并通过第二消息发送给用户端B;所述第一凭证采用密钥KA’加密,内容包括用户端A的身份信息,用户端B的身份信息、真随机数NA以及会话密钥KA-B’;所述第二凭证采用密钥KB’加密,内容包括用户端A的身份信息,用户端B的身份信息以及真随机数NA。6.如权利要求5所述的基于量子通信网络的改进型Kerberos身份认证系统,其特征在于,用户端B通过第三消息向用户端A转发第一凭证,所述第三消息包括:第一凭证;用会话密钥KA-B加密的真随机数NA;作为认证标识的真随机数NB,所述真随机数NB由用户端B或用户端B配置的量子密钥卡产生;ticketB,ticketB内容采用密钥KB加密,包括用户端A的身份信息、用户端B的身份信息、会话密钥KA-B和用户端B设定的ticketB的到期时间TB。7.如权利要求6所述的基于量子通信网络的改进型Kerberos身份认证系统,其特征在于,用户端A响应于所述第三消息,并向用户端B发送第四消息,所述第四消息包括:用会话密钥KA-B’加密的真随机数NB;ticketA,ticketA内容采用密钥内容KA加密,包括用户端A的身份信息、用户端B的身份信息、会话密钥KA-B’和用户端A设定的ticketA的到期时间TA。8.如权利要求7所述的基于量子通信网络的改进型Kerberos身份认证系统,其特征在于,在第一次认证中,用户端A和用户端B在交互ticket时的双向认证包括:用户端A收到第三消息时,用会话密钥KA-B’解密并验证真随机数NA;用户端B收到第四消息时,用会话密钥KA-B解密并验证真随机数NB。9.如权利要求8所述的基于量子通信网络的改进型Kerberos身份认证系统,其特征在于,用户端A提出第二次认证请求时,用户端A向用户端B发送认证请求,该认证请求包括:作为认证标识的真随机数NA’,所述真随机数NA’由用户端A配置的量子密钥卡...
【专利技术属性】
技术研发人员:富尧,钟一民,
申请(专利权)人:如般量子科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。