基于多个移动设备的量子保密通信身份认证系统及方法技术方案

本发明专利技术公开了一种基于多个移动设备的量子保密通信身份认证系统及方法，系统包括通信连接且分别设有各自密钥卡的QKD设备、QKD从属设备和移动设备，同组内移动设备秘密共享同一设备ID、设备密钥和QKD设备签名，QKD设备和QKD从属设备秘密共享QKD密钥，移动设备与QKD从属设备之间实施登录身份认证，获得会话密钥；移动设备之间实施通信身份认证，获得会话密钥和协商密钥。本发明专利技术通过多个移动设备秘密共享设备ID和设备密钥，临时密钥分量每次交易后更新，设备ID及设备密钥没有暴露在网络中，被恶意窃取的可能性大大降低，移动设备之间设置会话密钥和协商密钥，协商密钥仅为认证双方所知，提高了移动设备对应账户的安全性。

【技术实现步骤摘要】
基于多个移动设备的量子保密通信身份认证系统及方法
本专利技术涉及秘密共享
，尤其涉及一种基于多个移动设备的量子保密通信身份认证系统及方法。
技术介绍
量子通信技术是基于量子物理学建立起来的新兴安全通信技术。我国的量子通信技术已经进入了实用化的阶段，其应用前景和战略意义也引起了地方政府和重要行业对其产业发展的广泛关注。除建立量子通信干线以外，一些规模化城域量子通信网络也已经建设成功并运行。基于城域量子通信网络，量子通信技术也有了初步的应用，可实现高保密性的视频语音通信等应用。量子通信干线和量子通信城域网等量子通信网络，组成量子通信网络，其本质是量子密钥分发(QKD)。因此以QKD技术为基础建立起来的量子通信网络可称为QKD网络。随着移动互联网的迅速发展，企业事业单位内部业务网站也逐步走向移动终端方向发展，为了便于工作人员随时了解工作内容，用户希望能够通过便携的移动终端来访问单位内部网站服务器。若身份认证存在漏洞会导致数据的泄露，会为企业带来不可挽回的后果。因此，安全可靠的身份认证方法是非常必要的。现有的对移动终端的认证方式主要有：通过账号和密码登录认证、通过动态口令认证、通过将设备标识信息与认证服务器中预存的用户设备信息比对进行认证等，但账户密码、动态口令和设备ID都存在被截获泄露的可能。但是，现有的这些移动设备身份认证方式在信息传输过程中往往使用的都是基于数学算法复杂度的加密方式，如当今主流的非对称加密算法，如RSA加密算法，大多数都是基于大整数的因式分解或者有限域上的离散对数的计算这两个数学难题。他们的破解难度也就依赖于解决这些问题的效率。传统计算机上，要求解这两个数学难题，花费时间为指数时间（即破解时间随着公钥长度的增长以指数级增长），这在实际应用中是无法接受的。而为量子计算机量身定做的秀尔算法可以在多项式时间内（即破解时间随着公钥长度的增长以k次方的速度增长，其中k为与ID长度无关的常数）进行整数因式分解或者离散对数计算，从而为RSA、离散对数加密算法的破解提供可能。公开号为CN109951513A的专利文献公开了一种基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统，包括智能家庭组件、量子通信服务站、安全云分别配有量子密钥卡，该方案采取了将智能家庭成员的公钥存储在量子密钥卡内、为上传至安全云的每一个文件添加数字签名、对基于公私钥的数字签名被随机数密钥进一步加密等措施，提高了智能家庭系统的安全性。但该专利在通信过程中，智能家庭组件和量子通信服务及安全云之间，对用户ID和密钥的安全处理，公开的内容相对较少。公开号为CN108650028B的专利文献公开了一种基于量子通信网络与真随机数的多次身份认证系统和方法，基于量子通信网络与真随机数的实施多次认证，目的在于更好地提高系统安全性，但是该专利在用户端A向用户端B之间实施双向认证的过程中，用户端A以明文的形式向用户端B发送包括随机数的消息，会话密钥由用户端B与量子网络服务站同步生成，对话密钥为服务站所知，认证过程中主要在用户端A、用户端B和上一级量子通信服务站之间进行，加密解密方式较单一，信息传输过程中仍存在一定风险。综上，现有的基于移动设备的认证方式存在下面的问题：1.现有QKD(量子密钥分发)设备之间使用对称密钥池的方法，对QKD生成的密钥进行暂存，以备用户对QKD密钥的申请使用。QKD密钥一般明文存在于QKD设备的内存中，或者加密存在于QKD设备的永久存储设备中，或者明文存在于QKD设备的密钥卡中。但是，一旦QKD设备遭到恶意软件攻击，或一旦其所在的密钥卡遭到暴力破解，该QKD设备中所对应的对称密钥池将可能被盗取，从而悉数丧失密钥安全性。2.用户对QKD密钥申请使用时，如果短时间内用户数量巨大，由于单台QKD设备的最大连接数有限，因此可能因为超过最大连接数而造成单台QKD设备无法提供密钥服务。3.用户对QKD密钥申请使用时，往往结合实际业务需求，例如Kerberos式密钥协商需要密钥服务器即QKD进行TICKET制作等计算，由于QKD设备主要功能是密钥分发，并非为了各类实际业务需求而设计，往往无法满足用户的各类需求。4.现有数字签名的抗量子计算能力不高，可能被计算得到签名私钥。而为使得数字签名具有抗量子计算能力，必须对数字签名进行加密，加大了数字签名的计算量。5.现有网络通信主体的ID暴露于网络中，用户隐私的安全性不高。6.现有多方门限签名的方法，流程较为复杂，通信代价较高。7.现有会话密钥协商，一般协商为对称密钥，而且该对称密钥除了会话双方，还被服务器所知，安全性不够高。
技术实现思路
技术目的：针对上述技术问题，本专利技术提供了一种基于多个移动设备的量子保密通信身份认证系统及方法，包括通信连接且分别设有各自密钥卡的QKD设备、QKD从属设备和移动设备，同组内移动设备秘密共享同一设备ID、设备密钥和QKD设备签名，移动设备向其对应的QKD从属设备申请并获得会话密钥时，移动设备与QKD从属设备之间实施登录身份认证；移动设备向另一移动设备申请并获得协商密钥时，用户端之间实施通信身份认证。本专利技术通过使用永久密钥分量和临时密钥分量对消息进行签名或加密运算，临时密钥在每次认证交易后更新，完整的设备ID和设备密钥在整个认证过程中均没有在网络中传输，提高了安全性，保障了移动设备对应的权益。技术方案：为实现上述技术目的，本专利技术采用了如下技术方案：一种基于多个移动设备的量子保密通信身份认证系统，其特征在于，包括通信连接且分别设有各自密钥卡的QKD设备、QKD从属设备和移动设备，单台QKD设备配置一台以上的QKD从属设备，单台QKD从属设备配置一个以上的用户端，单个用户端包括由一台以上的移动设备构成的一个移动设备群组；同组内的移动设备由QKD设备颁发密钥卡且以（n，n）秘密共享方式共享同一设备ID、设备密钥和QKD设备签名，对应的秘密共享随机数、ID分量、密钥分量和QKD设备签名分量分别存储到移动设备密钥卡和QKD设备密钥卡内；设备密钥包括永久私钥、永久公钥、一次认证一更新的临时私钥和临时公钥；所述QKD设备和QKD从属设备之间通信使用QKD密钥。优选地，所述登录身份认证和通信身份认证过程中，移动设备一侧存储用于身份验证的预共享门限签名参数，预共享门限签名参数包括临时公钥的哈希值。优选地，所述QKD设备和QKD从属设备之间以（2，2）秘密共享方式共享QKD密钥。优选地，所述移动设备与QKD从属设备之间实施登录身份认证，获得与QKD从属设备保密通信的会话密钥，移动设备包括步骤：同一用户端下的所有移动设备发出消息分量，组合后作为登录消息一发送给QKD从属设备，消息分量中包括交易内容、公钥分量密文和设备端签名分量。优选地，登录身份认证时，包括步骤：QKD从属设备判断和处理登录消息一，生成专用于与该移动设备通信的会话密钥，包括会话公钥和会话私钥；将登录消息一和会话公钥的组合作为登录消息二，发送给用户端的QKD设备；QKD设备本文档来自技高网...

【技术保护点】
1.一种基于多个移动设备的量子保密通信身份认证系统，其特征在于，包括通信连接且分别设有各自密钥卡的QKD设备、QKD从属设备和移动设备，单台QKD设备配置一台以上的QKD从属设备，单台QKD从属设备配置一个以上的用户端，单个用户端包括由一台以上的移动设备构成的一个移动设备群组；/n同组内的移动设备由QKD设备颁发密钥卡且以（n，n）秘密共享方式共享同一设备ID、设备密钥和QKD设备签名，对应的秘密共享随机数、ID分量、密钥分量和QKD设备签名分量分别存储到移动设备密钥卡和QKD设备密钥卡内；设备密钥包括永久私钥、永久公钥、一次认证一更新的临时私钥和临时公钥；/n所述QKD设备和QKD从属设备之间通信使用QKD密钥。/n

【技术特征摘要】
1.一种基于多个移动设备的量子保密通信身份认证系统，其特征在于，包括通信连接且分别设有各自密钥卡的QKD设备、QKD从属设备和移动设备，单台QKD设备配置一台以上的QKD从属设备，单台QKD从属设备配置一个以上的用户端，单个用户端包括由一台以上的移动设备构成的一个移动设备群组；
同组内的移动设备由QKD设备颁发密钥卡且以（n，n）秘密共享方式共享同一设备ID、设备密钥和QKD设备签名，对应的秘密共享随机数、ID分量、密钥分量和QKD设备签名分量分别存储到移动设备密钥卡和QKD设备密钥卡内；设备密钥包括永久私钥、永久公钥、一次认证一更新的临时私钥和临时公钥；
所述QKD设备和QKD从属设备之间通信使用QKD密钥。


2.根据权利要求1所述的一种基于多个移动设备的量子保密通信身份认证系统，其特征在于，所述登录身份认证和通信身份认证过程中，移动设备一侧存储用于身份验证的预共享门限签名参数，预共享门限签名参数包括临时公钥的哈希值。


3.根据权利要求1所述的一种基于多个移动设备的量子保密通信身份认证系统，其特征在于，所述QKD设备和QKD从属设备之间以（2，2）秘密共享方式共享QKD密钥。


4.根据权利要求1所述的一种基于多个移动设备的量子保密通信身份认证方法，其特征在于，所述移动设备与QKD从属设备之间实施登录身份认证，获得与QKD从属设备保密通信的会话密钥，移动设备包括步骤：同一用户端下的所有移动设备发出消息分量，组合后作为登录消息一发送给QKD从属设备，消息分量中包括交易内容、公钥分量密文和设备端签名分量。


5.根据权利要求4所述的一种基于多个移动设备的量子保密通信身份认证方法，其特征在于，登录身份认证时，包括步骤：
QKD从属设备判断和处理登录消息一，生成专用于与该移动设备通信的会话密钥，包括会话公钥和会话私钥；将登录消息一和会话公钥的组合作为登录消息二，发送给用户端的QKD设备；
QKD设备解密获得登录消息二后，对所有消息分量验证和处理，验证设备端签名分量，验证成功后同意用户端登录；并生成认证端消息，发送给QKD从属设备，认证端消息中包括交易内容、完整签名和会话密钥密文，完整签名根据设备端签名分量和认证端签名计算获得；
QKD从属设备解密获得认证端消息后，验证和处理，向各移动设备发送登录消息三，将会话公钥作为与移动设备通信的公钥；
各移动设备验证和处理接收到的登录消息三，得到会话公钥并存储到本地内存中，将会话公钥作为与QKD从属设备通信的公钥。


6.根据权利要求5所述的一种基于多个移动设备的量子保密通信身份认证方法，其特征在于：所述设备端签名分量和认证端签名，分别由移动设备或QKD设备根据本地存储的临时私钥分量和永久私钥分量，以及E签名参数计算获得；E签名参数根据R签名参数计算得到，R签名参数根据临时公钥的哈希值和交易内容计算得到。


7.根据权利要求1所述的一种基于多个移动设备的量子保密通信身份认证方法，其特征在于，所述两个移动设备通信身份认证时，对应的设备分别记为移动设备一和移动设备二、QKD从属设备一和QKD...

【专利技术属性】
技术研发人员：富尧，钟一民，杨羽成，
申请(专利权)人：南京如般量子科技有限公司，如般量子科技有限公司，
类型：发明
国别省市：江苏;32