基于量子通信网络的改进型Kerberos身份认证系统和方法技术方案

本发明专利技术提供公开了一种基于量子通信网络的改进型Kerberos身份认证系统和方法，其中改进型Kerberos身份认证系统包括用户端A，用户端B以及量子网络服务站；用户端A向量子网络服务站发送与用户端B之间进行身份认证的第一次认证请求，量子网络服务站响应于该第一次认证请求分别向用户端B以及经由用户端B向用户端A发送凭证，用户端A和用户端B依据所获得的凭证分别生成且交互ticket以实施第一次认证；用户端A还依据从用户端B获得的ticket向用户端B发送第二次认证请求，用户端B响应于该第二次认证请求并与用户端A交互ticket以实施第二次认证。本发明专利技术基于量子通信网络进一步提高了安全性。

【技术实现步骤摘要】
基于量子通信网络的改进型Kerberos身份认证系统和方法
本专利技术涉及量子通信
，尤其涉及基于量子网络服务站的身份认证的系统和方法。
技术介绍
身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。当前通信网络中身份认证系统普遍采用Kerberos认证方案。Kerberos是一种网络认证协议，其设计目标是通过密钥系统为用户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下，Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术(如：共享密钥)执行认证服务的。在Kerberos认证方案中，引入了时间戳timestamp来对重放攻击进行遏止，但是票据有生命周期，在其生命周期的有效时间内仍然可以使用。如果收到消息的时间是在规定允许的范围之内，那么就认为该消息具有新鲜性。但是，在得到许可证后的攻击者可以发送伪造的消息，这样的话，在允许的时间内是很难发现的。现有技术存在的问题：(1)现有身份认证技术基于Kerberos认证方案对时间戳的使用导致有出现重放攻击的可能。(2)Kerberos协议要求是基于网络中时钟同步，对整个系统时间同步要求高，在大型分布式系统中难以实现。(3)现有技术中服务器要分别向两个用户端分发会话密钥，存在一定的安全隐患。(4)现有技术中，用户端密钥存储于用户端存储器中，可以被恶意软件或恶意操作窃取。(5)现有技术中若要进行二次身份认证，仍需服务器的参与，服务器压力较大。(6)现有技术中身份认证所传递的信息数较多，完成一次身份认证需要传递五个信息。
技术实现思路
本专利技术提供一种改进型Kerberos身份认证系统，其基于量子通信网络进一步提高了安全性。一种基于量子通信网络的改进型Kerberos身份认证系统，包括用户端A，用户端B以及量子网络服务站；用户端A向量子网络服务站发送与用户端B之间进行身份认证的第一次认证请求，量子网络服务站响应于该第一次认证请求分别向用户端B以及经由用户端B向用户端A发送凭证，用户端A和用户端B依据所获得的凭证分别生成且交互ticket以实施第一次认证；用户端A还依据从用户端B获得的ticket向用户端B发送第二次认证请求，用户端B响应于该第二次认证请求并与用户端A交互ticket以实施第二次认证。作为优选，用户端A和用户端B在交互ticket时均采用双向认证，且以真随机数作为认证标识。本专利技术所述的用户端A与用户端B仅仅是便于区别和描述，A、B并不对用户端本身作出额外限定。本专利技术中，在用户端A提出第一次认证请求时，用户端A和用户端B各自生成ticket且将己方的ticket分发给对方，同时用户端A和用户端B也实施第一次认证，且为双向认证。在用户端A提出第二次认证请求时，用户端A和用户端B再次将己方的ticket分发给对方，同时用户端A和用户端B也实施第二次认证，且为也双向认证。第二次认证时量子网络服务站也不在参与，仅通过用户端A和用户端B完成，减轻了量子网络服务站的压力。作为优选，各用户端分别配置有量子密钥卡，用于生成真随机数作为ticket分发以及ticket使用时的认证标识。用户端的配置的量子密钥卡分别与量子网络服务站存储有相应的量子密钥，用于在用户端与量子网络服务站之间直接或间接的加密传输以及身份认证。作为网络侧的量子网络服务站可以是一个或多个，多个量子网络服务站参与时，整个网络侧可视为一整体，当不同的量子密钥卡归属于不同的量子网络服务站时，不同的量子网络服务站可以通过QKD等方式在站间加密传输数据。由于本专利技术基于量子网络，在没有特别强调时，所涉及到的随机数均为真随机数，例如量子随机数，所述涉及到的密钥均为量子密钥。还包括各用户端与量子网络服务站之间的密钥预同步，具体为：用户端A配置的量子密钥卡产生密钥KA，并将产生方式通知量子网络服务站，量子网络服务站生成相应的密钥KA’；用户端B或用户端B配置的量子密钥卡产生密钥KB以及与用户端A之间的会话密钥KA-B，并将产生方式通知量子网络服务站，量子网络服务站生成相应的密钥KB’以及会话密钥KA-B’。用户端A提出第一次认证请求时，向量子网络服务站发送第一消息，该第一消息包括用户端A的身份信息、用户端B的身份信息、以及作为认证标识的真随机数NA，所述真随机数NA由用户端A配置的量子密钥卡产生；量子网络服务站响应于该第一消息生成第一凭证和第二凭证；并通过第二消息发送给用户端B；所述第一凭证采用密钥KA’加密，内容包括用户端A的身份信息，用户端B的身份信息、真随机数NA以及会话密钥KA-B’；所述第二凭证采用密钥KB’加密，内容包括用户端A的身份信息，用户端B的身份信息以及真随机数NA。用户端B通过第三消息向用户端A转发第一凭证，所述第三消息包括：第一凭证；用会话密钥KA-B加密的真随机数NA作为认证标识的真随机数NB，所述真随机数NB由用户端B或用户端B配置的量子密钥卡产生；ticketB，ticketB内容采用密钥KB加密，包括用户端A的身份信息、用户端B的身份信息、会话密钥KA-B和用户端B设定的ticketB的到期时间TB。用户端A响应于所述第三消息，并向用户端B发送第四消息，所述第四消息包括：用会话密钥KA-B’加密的真随机数NB；ticketA，ticketA内容采用密钥内容KA加密，包括用户端A的身份信息、用户端B的身份信息、会话密钥KA-B’和用户端A设定的ticketA的到期时间TA。在第一次认证中，用户端A和用户端B在交互ticket时的双向认证包括：用户端A收到第三消息时，用会话密钥KA-B’解密并验证真随机数NA；用户端B收到第四消息时，用会话密钥KA-B解密并验证真随机数NB。用户端A提出第二次认证请求时，用户端A向用户端B发送认证请求，该认证请求包括：作为认证标识的真随机数NA’，所述真随机数NA’由用户端A配置的量子密钥卡产生；以及所述ticketB；用户端B响应于所述认证请求，向用户端A发送认证回复，该认证回复包括：所述ticketA；用会话密钥KA-B加密的真随机数NA’；以及作为认证标识的真随机数NB’，所述真随机数NB’由用户端B或用户端B配置的量子密钥卡产生；用户端AB响应于所述认证回复，向用户端B发送认证结果，该认证结果包括用会话密钥KA-B’加密的真随机数NA’和真随机数NB’。在第二次认证中，用户端A和用户端B在交互ticket时的双向认证包括：用户端A收到认证回复时，用会话密钥KA-B’解密并验证真随机数NA’；用户端B收到认证结果时，用会话密钥KA-B解密并验证真随机数真随机数NA’和真随机数NB’。为了进一步提高安全性，作为优选，用户端A提出第一次认证请求时，向量子网络服务站发送第一消息，该第一消息包括用户端A的身份信息、用户端B的身份信息、以及作为认证标识的真随机数NA，所述真随机数NA由用户端A配置的量子密钥卡产生；量子网络服务站响应于该第一消息生成第一凭证和第二凭证；并通过第二消息发送给用户端本文档来自技高网...

【技术保护点】
1.一种基于量子通信网络的改进型Kerberos身份认证系统，其特征在于，包括用户端A，用户端B以及量子网络服务站；用户端A向量子网络服务站发送与用户端B之间进行身份认证的第一次认证请求，量子网络服务站响应于该第一次认证请求分别向用户端B以及经由用户端B向用户端A发送凭证，用户端A和用户端B依据所获得的凭证分别生成且交互ticket以实施第一次认证；用户端A还依据从用户端B获得的ticket向用户端B发送第二次认证请求，用户端B响应于该第二次认证请求并与用户端A交互ticket以实施第二次认证。

【技术特征摘要】
1.一种基于量子通信网络的改进型Kerberos身份认证系统，其特征在于，包括用户端A，用户端B以及量子网络服务站；用户端A向量子网络服务站发送与用户端B之间进行身份认证的第一次认证请求，量子网络服务站响应于该第一次认证请求分别向用户端B以及经由用户端B向用户端A发送凭证，用户端A和用户端B依据所获得的凭证分别生成且交互ticket以实施第一次认证；用户端A还依据从用户端B获得的ticket向用户端B发送第二次认证请求，用户端B响应于该第二次认证请求并与用户端A交互ticket以实施第二次认证。2.如权利要求1所述的基于量子通信网络的改进型Kerberos身份认证系统，其特征在于，用户端A和用户端B在交互ticket时均采用双向认证，且以真随机数作为认证标识。3.如权利要求2所述的基于量子通信网络的改进型Kerberos身份认证系统，其特征在于，各用户端分别配置有量子密钥卡，用于生成真随机数作为ticket分发以及ticket使用时的认证标识。4.如权利要求1所述的基于量子通信网络的改进型Kerberos身份认证系统，其特征在于，还包括各用户端与量子网络服务站之间的密钥预同步，具体为：用户端A配置的量子密钥卡产生密钥KA，并将产生方式通知量子网络服务站，量子网络服务站生成相应的密钥KA’；用户端B或用户端B配置的量子密钥卡产生密钥KB以及与用户端A之间的会话密钥KA-B，并将产生方式通知量子网络服务站，量子网络服务站生成相应的密钥KB’以及会话密钥KA-B’。5.如权利要求4所述的基于量子通信网络的改进型Kerberos身份认证系统，其特征在于，用户端A提出第一次认证请求时，向量子网络服务站发送第一消息，该第一消息包括用户端A的身份信息、用户端B的身份信息、以及作为认证标识的真随机数NA，所述真随机数NA由用户端A配置的量子密钥卡产生；量子网络服务站响应于该第一消息生成第一凭证和第二凭证；并通过第二消息发送给用户端B；所述第一凭证采用密钥KA’加密，内容包括用户端A的身份信息，用户端B的身份信息、真随机数NA以及会话密钥KA-B’；所述第二凭证采用密钥KB’加密，内容包括用户端A的身份信息，用户端B的身份信息以及真随机数NA。6.如权利要求5所述的基于量子通信网络的改进型Kerberos身份认证系统，其特征在于，用户端B通过第三消息向用户端A转发第一凭证，所述第三消息包括：第一凭证；用会话密钥KA-B加密的真随机数NA；作为认证标识的真随机数NB，所述真随机数NB由用户端B或用户端B配置的量子密钥卡产生；ticketB，ticketB内容采用密钥KB加密，包括用户端A的身份信息、用户端B的身份信息、会话密钥KA-B和用户端B设定的ticketB的到期时间TB。7.如权利要求6所述的基于量子通信网络的改进型Kerberos身份认证系统，其特征在于，用户端A响应于所述第三消息，并向用户端B发送第四消息，所述第四消息包括：用会话密钥KA-B’加密的真随机数NB；ticketA，ticketA内容采用密钥内容KA加密，包括用户端A的身份信息、用户端B的身份信息、会话密钥KA-B’和用户端A设定的ticketA的到期时间TA。8.如权利要求7所述的基于量子通信网络的改进型Kerberos身份认证系统，其特征在于，在第一次认证中，用户端A和用户端B在交互ticket时的双向认证包括：用户端A收到第三消息时，用会话密钥KA-B’解密并验证真随机数NA；用户端B收到第四消息时，用会话密钥KA-B解密并验证真随机数NB。9.如权利要求8所述的基于量子通信网络的改进型Kerberos身份认证系统，其特征在于，用户端A提出第二次认证请求时，用户端A向用户端B发送认证请求，该认证请求包括：作为认证标识的真随机数NA’，所述真随机数NA’由用户端A配置的量子密钥卡...

【专利技术属性】
技术研发人员：富尧，钟一民，
申请(专利权)人：如般量子科技有限公司，
类型：发明
国别省市：浙江,33