一种基于对称密钥池和跨中继的类AKA身份认证系统和方法技术方案

本发明专利技术公开了一种基于对称密钥池和跨中继的类AKA身份认证系统和方法，AKA身份认证系统包括参与AKA身份认证的成员、中继和服务器，其特征在于，所述成员、中继和服务器三者共享有群组密钥池；成员和中继还分别有用于生成鉴权密钥的私有密钥池，成员和中继相互独立的与服务器共享其私有密钥池；成员和中继在AKA身份认证过程中共享相应的指针地址，再结合各自的群组密钥池生成成员与中继之间的第一协商密钥；成员和服务器还在所述AKA身份认证过程中共享相应的指针地址，再结合各自的鉴权密钥生成成员与服务器之间的第二协商密钥。本发明专利技术可进一步提高通信的安全性。

【技术实现步骤摘要】
一种基于对称密钥池和跨中继的类AKA身份认证系统和方法
本专利技术涉及安全通信
，具体涉及基于群组数据网络的私密身份认证和密钥协商。
技术介绍
鉴权，即身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。随着量子计算机的发展，经典非对称加密算法将不再安全，无论是认证还是加解密领域，对称密钥算法将大行其道。比如目前在移动通信领域比较常用的基于对称密钥算法的鉴权方法之一的AKA机制。AKA全称“AuthenticationandKeyAgreement”，即鉴权和密钥协商。顾名思义，AKA机制在身份认证的同时并进行了密钥的协商，为后续通信的加密提供了密钥保障。作为安全性升级的方案，对称密钥池的方式将是一种保证密钥安全的重要方案乃至主流方案。同时可以对对称密钥池中的全部或部分内容进行加密存储，加密密钥可以存储到对称密钥池宿主的安全隔离装置中。后续对对称密钥池进行密钥操作时，需要由安全隔离装置解密后使用。有关对称密钥池可参见公开号为CN105337726A，专利技术名称为“基于量子密码的端对端手持本文档来自技高网...

【技术保护点】
1.一种基于对称密钥池和跨中继的类AKA身份认证系统，包括参与AKA身份认证的成员、中继和服务器，其特征在于，所述成员、中继和服务器三者共享有群组密钥池；成员和中继还分别有用于生成鉴权密钥的私有密钥池，成员和中继相互独立的与服务器共享其私有密钥池；成员和中继在AKA身份认证过程中分别利用来自群组密钥池的密钥种子再结合第一随机数参数计算得到成员和中继之间的第一协商密钥；所述第一随机数参数是利用指针地址A在群组密钥池中相应获得，中继通过服务器获取所述指针地址A，成员经由中继从服务器获取计算指针地址A的参数，再通过该参数生成所述指针地址A；成员和服务器在AKA身份认证过程中分别利用两者之间的鉴权密钥...

【技术特征摘要】
1.一种基于对称密钥池和跨中继的类AKA身份认证系统，包括参与AKA身份认证的成员、中继和服务器，其特征在于，所述成员、中继和服务器三者共享有群组密钥池；成员和中继还分别有用于生成鉴权密钥的私有密钥池，成员和中继相互独立的与服务器共享其私有密钥池；成员和中继在AKA身份认证过程中分别利用来自群组密钥池的密钥种子再结合第一随机数参数计算得到成员和中继之间的第一协商密钥；所述第一随机数参数是利用指针地址A在群组密钥池中相应获得，中继通过服务器获取所述指针地址A，成员经由中继从服务器获取计算指针地址A的参数，再通过该参数生成所述指针地址A；成员和服务器在AKA身份认证过程中分别利用两者之间的鉴权密钥再结合第二随机数参数计算得到成员和服务器之间的第二协商密钥；所述第二随机数参数是利用指针地址B在成员和服务器之间的私有密钥池中相应获得，成员经由中继从服务器获取计算指针地址B的参数，再通过该参数生成所述指针地址B；计算指针地址A的参数以及计算指针地址B的参数均为服务器生成的随机数A，服务器将随机数A连同匿名密钥发送给中继，中继利用所述匿名密钥加密随机数A后发送给成员，所述匿名密钥为服务器利用与成员之间共享的鉴权密钥生成。2.如权利要求1所述的基于对称密钥池和跨中继的类AKA身份认证系统，其特征在于，进行AKA身份认证过程中成员与中继之间利用群组密钥池加密通信，中继与服务器之间利用两者预先共享的协商密钥加密通信，AKA身份认证过程具体包括：成员向中继发送鉴权请求；中继响应于该鉴权请求并从服务器获得相应的认证向量，且该认证向量包含有所述指针地址A、匿名密钥以及随机数A；中继向成员发送提问消息，且该提问消息中包含有采用所述匿名密钥加密后的随机数A；成员响应于所述提问消息向中继发送分别针对中继和服务器的鉴权应答；中继对针对己方的鉴权应答进行验证后，向服务器转发针对服务器的鉴权应答，并从服务器获取相应的验证结果；中继根据己方以及服务器验证结果，向成员发送相应的鉴权结果以供成员进行确认完成AKA身份认证。3.如权利要求2所述的基于对称密钥池和跨中继的类AKA身份认证系统，其特征在于，成员与中继通信时，主动方生成随机数形式的协商码，利用该协商码通过指定的指针地址算法获得指针地址，依据该指针地址从群组密钥池取出指定长度的随机数，再利用指定的密钥生成算法和取出的随机数生成群聊保密性密钥和群聊完整性密钥；群聊完整性密钥用于结合通信内容生成以及校验相应的验证码；群聊保密性密钥用于结合通信内容进行加密以及解密。4.如权利要求3所述的基于对称密钥池和跨中继的类AKA身份认证系统，其特征在于，所述指针地址A是随机数A结合成员与服务器之间的鉴权密钥通过指定算法相应获得；所述指针地址B是利用所述随机数A结合成员与服务器之间的鉴权密钥通过指定算法相应获得。5.如权利要求4所述的基于对称密钥池和跨中继的类AKA身份认证系统，其特征在于，生成第一协商密钥的密钥种子是利用指针地址C从群组密钥池相应获取，指针地...

【专利技术属性】
技术研发人员：富尧，钟一民，余秋炜，
申请(专利权)人：如般量子科技有限公司，
类型：发明
国别省市：浙江,33