一种基于量子密钥分发技术的身份认证系统实现方法技术方案

本发明专利技术公开了一种基于量子密钥分发(QKD)技术的身份认证系统实现方法，包括公钥基础设施系统(PKI)和量子密钥分发(QKD)。通过引入QKD体系，通过加入QKD带来的真随机密钥，修改用户与用户之间、用户与CA之间以及CA与CA之间的通信流程，使得QKD可以与PKI系统相结合；通过量子技术的引入，使得私钥更新次数和破解难度有所提升，从而提高整个PKI架构的安全性，结合量子密钥分发(QKD)与公钥基础设施系统(PKI)，以使基于因特网进行数据通信的用户身份得到确认，提高网络安全性的方法。本发明专利技术所设计的QKD驱动的认证平台具备了提供信用服务的潜力，且所提供的信用服务摆脱了主观因素的影响，形成了依赖客观物理特性的全新信用保障体系。

An Implementation Method of Identity Authentication System Based on Quantum Key Distribution Technology

The invention discloses an authentication system implementation method based on quantum key distribution (QKD) technology, including public key infrastructure system (PKI) and quantum key distribution (QKD). By introducing the QKD system, by adding the true random key brought by QKD, modifying the communication flow between users, users and CA, and CA and CA, QKD can be combined with the PKI system; by introducing quantum technology, the number of private key updates and the difficulty of cracking are improved, thus improving the security of the whole PKI architecture, combining with quantum key distribution (QKD) and CA. Public Key Infrastructure System (PKI) is a method to confirm the identity of users who communicate data on the Internet and improve network security. The QKD-driven authentication platform designed by the invention has the potential to provide credit services, and the credit services provided by the invention get rid of the influence of subjective factors, thus forming a brand-new credit guarantee system relying on objective physical characteristics.

【技术实现步骤摘要】
一种基于量子密钥分发技术的身份认证系统实现方法技术信任域本专利技术涉及量子密码学和因特网用户身份认证信任域，具体涉及一种基于量子密钥分发技术的身份认证系统实现方法。
技术介绍
量子密钥分发(QKD)是利用量子力学特性来保证通信安全性。它使通信的双方能够产生并分享一个随机的、安全的密钥，来加密和解密消息。QKD的一个最重要的，也是最独特的性质是：如果有第三方试图窃听密码，则通信的双方便会察觉。这种性质基于量子力学的基本原理：任何对量子系统的测量都会对系统产生干扰。第三方试图窃听密码，必须用某种方式测量它，而这些测量就会带来可察觉的异常。通过量子叠加态或量子纠缠态来传输信息，通信系统便可以检测是否存在窃听。当窃听低于一定标准，一个有安全保障的密钥就可以产生了。QKD的安全性基于量子力学的基本原理，而传统密码学是基于某些数学算法的计算复杂度。传统密码学无法察觉窃听，因此无法保证密钥的安全性。QKD仅用于产生和分发密钥，并不传输任何实质的消息。密钥可用于加密算法来加密消息，加密后的消息可以在经典信道中传输。在实际的运用中，QKD常用于对称密钥加密的方式，如和AES算法一起使用。公钥基础设施(PKI)是一组由硬件、软件、参与者、管理政策与流程组成的基础架构，负责为网络应用或用户提供加密、数字签名和证书管理等服务。PKI借助认证机构(CA)验证用户的个人身份。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。CA的数字签名使得攻击者不能伪造和篡改证书。网上的公众用户通过验证CA的签字从而信任CA，任何人都可以得到CA签发的含公钥的证书，用以验证它所签发的证书。用户注册证书，首先向CA提出申请，CA判明申请者的身份后，为之分配一个公钥，并将该公钥与其身份信息绑定，为该整体的数字签名，签名后的整体即为证书，发还给申请者。CA常用的数字签名算法有RSA和ECDSA等，以RSA为例，RSA使用私钥对证书进行签名，其他人可以使用公钥查看签名，但不能对签名进行修改。如果一个用户想鉴别一个由CA颁发的证书真伪，可使用CA的公钥对该证书上的数字签名进行验证，一旦验证通过，该证书就被认为是真实的。在当前环境下，有很多种技术措施来对私钥进行安全规范的管理，包括使用最小权限原则，将私钥存储在安全的加密硬件设备中等。QKD能够依赖量子信道实现节点间绝对安全地得到相同的随机数序列。在节点之间保密通信时，该随机数序列能够作为密钥候选集合；针对单个节点，该随机数序列是理想的随机数源，给信息安全机制设计带来了极大便利。本专利技术旨在利用QKD本身固有的特性，把QKD转化为依赖物理特性绝对安全的身份认证与通信平台，在实现密钥安全、高效分发的同时，简化传统互联网中的认证体系结构，减少认证体系结构中的漏洞。
技术实现思路
本专利技术为了解决上述技术问题，提供一种基于量子密钥分发(QKD)技术的身份认证系统实现方法。为了解决上述技术问题，本专利技术提供了如下的技术方案：本专利技术提供了一种基于QKD的身份认证系统实现方法，包括公钥基础设施(PKI)和量子密钥分发(QKD)，其特征在于，所述量子密钥分发(QKD)包括Alice(发起方)、Bob(响应方)、量子认证中心(QCA)和量子密钥管理终端，所述量子密钥分发(QKD)和所述公钥基础设施(PKI)的两种不同的结合方式：所述公钥基础设施(PKI)和所述量子密钥分发(QKD)技术紧耦合的情况，所述公钥基础设施(PKI)和所述量子密钥分发(QKD)技术部分耦合的情况。作为本专利技术的一种优选技术方案，，所述公钥基础设施(PKI)和所述量子密钥分发(QKD)紧耦合的情况，用户使用量子密钥作为会话密钥的通信，其中包括用户Alice(发起方)、用户Bob(响应方)以及其所属的量子密钥管理终端，用户之间可以使用量子信道通信。该方案基于两个假设，假设1：不考虑光子能量在远距离传输情况下的衰减；假设2：不考虑拒绝服务攻击等以破坏性为目的的攻击。该方法包括：步骤1.Alice和Bob进行双向身份认证。步骤2.如果Alice和Bob的双向身份认证通过，双方交换分发量子密钥所需的参数，然后开始量子密钥的分发。步骤3.Alice和Bob获得量子密钥后，调整并保证双方的量子密钥保持一致，并使用量子密钥对后续的通信数据进行加密。作为本专利技术的一种优选技术方案，所述公钥基础设施(PKI)和所述量子密钥分发(QKD)部分耦合的情况包括：不同信任域内用户的通信和相同信任域内用户的通信。作为本专利技术的一种优选技术方案，所述部分耦合结构情况下，不同信任域内用户之间的通信。该方案中包含两个终端用户：Alice(发起方)和Bob(响应方)，使用量子密钥的数字证书认证机构QCA1和QCA2。QCA节点拥有量子密钥管理终端，QCA节点使用量子信道通信，一般用户节点仅可使用经典信道进行通信。本方案提供一种用户双向通信中使用量子密钥作为会话密钥的方法，该方案基于两个假设：假设1：不考虑光子能量在远距离传输情况下的衰减；假设2：不考虑拒绝服务攻击等以破坏性为目的的攻击。该方法包括：步骤1.主动通信方Alice与QCA1进行双向验证，互相证明身份。步骤2.QCA1与QCA2进行认证，确定相互为可信CA。步骤3.QCA2向Bob发送Alice的通信请求，同时与Bob进行双向身份认证。步骤4.若以上步骤全部成功，说明认证成功，QCA通过QKD网络分发量子密钥，分发成功后将量子密钥加密发送给通信双方，作为会话密钥使用。步骤5.Alice和Bob使用会话密钥进行加密通讯。作为本专利技术的一种优选技术方案，所述部分耦合结构情况下，相同信任域内用户的通信。该方案包含两个终端用户：Alice(发起方)和Bob(响应方)，使用量子密钥的数字证书认证机构QCA。QCA节点拥有量子密钥管理终端，一般用户节点使用经典信道进行通信。本方案提供一种在用户双方通信中使用量子密钥作为会话密钥的方法。该方法基于一个假设：不考虑拒绝服务攻击等以破坏性为目的的攻击。该方法包括：步骤1.主动通信方Alice与QCA进行双向验证，互相证明身份。步骤2.QCA向Bob发送Alice的通信请求，同时与Bob进行双向身份认证。步骤3.若以上步骤全部成功，说明认证成功，QCA从量子密钥池中取出会话密钥，加密后分发给通信双方。步骤5.Alice和Bob使用会话密钥进行加密通讯。本专利技术所达到的有益效果是：本专利技术通过引入QKD体系，通过加入QKD带来的真随机密钥，修改用户与用户之间，用户与QCA之间以及QCA与QCA之间的通信流程，使得QKD可以与PKI系统相结合。通过量子设备生成真随机密钥，并且在通信双方都具有量子设备的前提下实现一次一密。通过量子技术的引入，使得密钥更新次数和密钥破解难度有所提升，从而提高用户通信的安全性，结合量子密钥分发(QKD)与公钥基础设施(PKI)，以使基于因特网进行数据通信的用户身份得到确认，提高网络安全性。本专利技术所设计的QKD驱动的认证系统具备了提供信用服务的潜力，且所提供的信用服务摆脱了主观因素的影响，形成了依赖客观物理特性的全新信用保障体系。附图说明附图用来提供对本专利技术的进一步理解，并且构成说明书本文档来自技高网...

【技术保护点】
1.一种基于量子密钥分发(QKD)技术的身份认证系统实现方法，包括公钥基础设施系统(PKI)和量子密钥分发(QKD)，其特征在于，所述量子密钥分发(QKD)包括Alice发起方、Bob响应方、QCA、量子密钥管理终端和量子密钥池，所述量子密钥分发(QKD)和所述公钥基础设施系统(PKI)的两种不同的结合方式：所述公钥基础设施系统(PKI)和所述量子密钥分发(QKD)紧耦合的情况，所述公钥基础设施系统(PKI)和所述量子密钥分发(QKD)部分耦合的情况。

【技术特征摘要】
1.一种基于量子密钥分发(QKD)技术的身份认证系统实现方法，包括公钥基础设施系统(PKI)和量子密钥分发(QKD)，其特征在于，所述量子密钥分发(QKD)包括Alice发起方、Bob响应方、QCA、量子密钥管理终端和量子密钥池，所述量子密钥分发(QKD)和所述公钥基础设施系统(PKI)的两种不同的结合方式：所述公钥基础设施系统(PKI)和所述量子密钥分发(QKD)紧耦合的情况，所述公钥基础设施系统(PKI)和所述量子密钥分发(QKD)部分耦合的情况。2.根据权利要求1所述的一种基于量子密钥分发(QKD)技术的身份认证系统实现方法，其特征在于，所述公钥基础设施系统(PKI)和所述量子密钥分发(QKD)部分耦合的情况包括：不同信任域内用户的通信结构和相同信任域内用户的通信结构。3.根据权利要求1所述的一种基于量子密钥分发(QKD)技术的身份认证系统实现方法，其特征在于，所述公钥基础设施系统(PKI)和所述量子密钥分发(QKD)紧耦合的情况，该结构包含两个终端用户Alice发起方和Bob响应方，以及他们下属的量子密钥管理终端。该实施例将提供一种在用户双方通信中使用量子密钥作为会话密钥的方法，其中包括用户Alice量子密钥管理终端以及Bob量子密钥管理终端，该方法拥有两个假设：假设1：不考虑光子能量在远距离传输情况下的衰减。假设2：不考虑拒绝服务攻击等以破坏性为目的的攻击。该方法包括：步骤1.Alice和Bob进行双向身份认证。步骤2.如果Alice和Bob的双向身份认证通过，双方交换分发量子密钥所需的参数，然后开始量子密钥的分发。步骤3.Alice和Bob获得量子密钥后，调整并保证双方的量子密钥保持一致，并使用量子密钥对后续的通信数据进行加密。4.根据权利要求2所述的一种基于量子密钥分发(QKD)技术的身份认证系统实现方法，其特征在于，所述公钥基础设施系统(PKI)和所述量子密钥分发(QKD)部分耦合结构的情况下，不同信任域内用户的通信结构。该结构包含两个终端用户Al...

【专利技术属性】
技术研发人员：孟坤，马骁，施运梅，宋莹，刘旭红，郑晓博，高劢豪，王宁，
申请(专利权)人：北京信息科技大学，山东管理学院，
类型：发明
国别省市：北京,11