【技术实现步骤摘要】
基于量子密钥分发网络的跨域身份认证方法及系统
[0001]本专利技术涉及安全应用
,具体涉及一种基于量子密钥分发网络的跨域身份认证方法及系统。
技术介绍
[0002]随着互联网技术的快速发展以及网络应用系统的规模扩张,各种服务和资源会分布到不同的域中。根据域的划分和权限管理来区分不同的服务和资源,使得不同域的用户可以按不同的需求使用,这种不在同一域下访问服务和资源的方式就涉及到跨域访问。
[0003]传统的跨域访问方法,通常采用中心式或者集中式的数据库、代理等来维护跨域的认证凭证、身份令牌等数据,实现用户身份的认证和校验。然而现有跨域访问使用的中心式身份认证方法在实际应用过程中存在以下一些问题:(1)集中管理身份认证数据可靠性差,用户访问容易产生瓶颈,一旦失效影响全局,且缺乏扩展的灵活性;(2)同一用户访问跨域下的其他身份认证服务系统时,跨域的身份认证服务系统间需同步身份认证凭证、身份令牌等数据,存在身份认证数据分发过程中被窃取和篡改的风险。
[0004]相关技术中,申请公布号为CN114362947A的中国专利技术专利申请文献公开了一种广域量子密钥服务方法与系统,该方案描述的是在局域和跨域场景下任意节点间生成密钥的方法,通过QKD链路网络虚拟化和统一的服务接口实现密钥中继和QKD网络统一管理,将不同QKD网络间通过统一的平台实现量子密钥服务,且平台使用的是级联架构。
技术实现思路
[0005]本专利技术所要解决的技术问题在于如何提高认证凭证数据分发的机密性、完整性。
[...
【技术保护点】
【技术特征摘要】
1.一种基于量子密钥分发网络的跨域身份认证方法,其特征在于,应用于身份认证服务系统,所述方法包括:向对应的量子密钥管理系统发送密钥协商请求,并由所述量子密钥管理系统转发至量子密钥生成系统,以使所述量子密钥生成系统建立量子密钥终端间中继密钥协商链路并生成对称的认证密钥;接收对应的用户侧终端发送的认证请求,并基于所述认证请求向所述用户侧终端分配所述认证密钥的标识,以使所述用户侧终端访问跨域的身份认证服务系统时,基于所述认证密钥的标识向跨域的身份认证服务系统所对应的量子密钥管理系统申请所述认证密钥;接收对应的用户侧终端发送的登录请求信息,并基于所述登录请求信息向用户侧终端响应构造的令牌密文,以在所述用户侧终端访问跨域的身份认证服务系统时,将所述令牌密文转发到跨域的身份认证服务系统。2.如权利要求1所述的基于量子密钥分发网络的跨域身份认证方法,其特征在于,在所述向对应的量子密钥管理系统发送密钥协商请求之前,所述方法还包括:向对应的所述量子密钥管理系统发送入网认证请求,以使所述量子密钥管理系统生成签名公私钥对并将所述签名公私钥对返回所述身份认证服务系统;使用所述签名公私钥对中的私钥签名认证数据,得到签名数据并发送至所述量子密钥管理系统,以使所述量子密钥管理系统基于公钥验证所述签名数据的认证信息;在所述量子密钥管理系统验证通过后,接收所述量子密钥管理系统返回的认证令牌句柄。3.如权利要求1所述的基于量子密钥分发网络的跨域身份认证方法,其特征在于,所述向对应的量子密钥管理系统发送密钥协商请求,并由所述量子密钥管理系统转发至量子密钥生成系统,以使所述量子密钥生成系统建立量子密钥终端间中继密钥协商链路并生成对称的认证密钥,包括:向对应的所述量子密钥管理系统发送密钥协商请求,所述密钥协商请求携带的信息为QMSID
‑
A||KMID
‑
A||QMSID
‑
B||KMID
‑
B,其中,QMSID
‑
A为量子密钥管理系统A的虚拟唯一标识,KMID
‑
A为量子密钥管理系统A对应的量子密钥终端的虚拟唯一标识,QMSID
‑
B为量子密钥管理系统B的虚拟唯一标识,KMID
‑
B为量子密钥管理系统B对应的量子密钥终端虚的拟唯一标识,||为表示逻辑与字符;由所述量子密钥管理系统将所述密钥协商请求发送至所述量子密钥生成系统,使得所述量子密钥生成系统触发量子密钥虚拟终端间的中继密钥协商,生成对称的所述认证密钥并存储在各中继对应的中继密钥池中。4.如权利要求3所述的基于量子密钥分发网络的跨域身份认证方法,其特征在于,在所述向对应的量子密钥管理系统发送密钥协商请求之后,所述方法还包括:向所述量子密钥管理系统发送批量密钥请求,所述批量密钥请求携带信息包括认证令牌句柄、QMSID
‑
B和KMID
‑
B;接收所述量子密钥管理系统返回的所述认证密钥的标识ReadkeyID,其中,跨域的身份认证服务系统作为被动端采用推送式监听等待本端对应的量子密钥管理系统返回所述认证密钥的标识ReadkeyID。5.如权利要求1所述的基于量子密钥分发网络的跨域身份认证方法,其特征在于,所述
用户侧终端发送的认证请求携带信息包括用户主密钥、用户主密钥标识以及安全芯片ID,所述用户主密钥存储在所述安全芯片中,所述安全芯片设置在所述用户侧终端。6.如权利要求1所述的基于量子密钥分发网络的跨域身份认证方法,其特征在于,所述接收对应的用户侧终端发送的登录请求信息,并基于所述登录请求信息向用户侧终端响应构造的令牌密文,包括:接收对应的所述用户侧终端发送的登录请求信息,所述登录请求信息包括所述认证密钥的标识和采用所述认证密钥加密后的登录信息密文;基于所述认证密钥的标识向所述量子密钥管理系统请求获取所述认证密钥;基于所述认证密钥验证所述登录请求信息,并在验证通过后生成所述令牌密文。7.如权利要求6所述的基于量子密钥分发网络的跨域身份认证方法,其特征在于,在所述基于所述认证密钥验证所述登录请求信息,并在验证通过后生成所述令牌密文,包括:在登录信息验证通过后,生成身份令牌Token;采用所述认证密钥结合加密算法,计算所述身份令牌Token的密文数据;使用哈希运算结合所述认证密钥,计算所述身份令牌Token的密文数据的MAC值;基于所述身份令牌Token的密文数据及其MAC值,生成所述令牌密文。8.如权利要求1所述的基于量子密钥分发网络的跨域身份认证方法,其特征在于,所述方法还包括:接收跨域的身份认证服务系统对应的用户侧终端发送的登录请求信息,所述登录请求信息携带所述令牌密文;向对应的量子密钥管理系统发送所述令牌密文,以使所述量子密钥管理系统查找认证密钥;接收所述认证密钥并利用该认证密钥解密所述令牌密文,得到跨域认证结果。9.如权利要求8所述的基于量子密钥分发网络的跨域身份认证方法,其特征在于,在接收跨域的身份认证服务系统对应的用户侧终端发送的登录请求信息时,若所述登录请求信息未携带所述令牌密文,所述方法还包括:向跨域的身份认证服务系统对应的用户侧终端响应连接失败信息和认证重定向消息,所述认证重定向消息包括跨域身份认证服务系统的参数信息。10.如权利要求1
‑
9任一项所述的基于量子密钥分发网络的跨域身份认证方法,其特征在于,所述跨域的身份认证服务系统包括至少一个跨域外的认证服务系统。11.一种基于量子密钥分发网络的跨域身份认证方法,其特征在于,应用于用户侧终端,所述方法包括:向对应的身份认证服务系统发送认证请求,以获取所述身份认证服务系统分配的认证密钥标识;基于...
【专利技术属性】
技术研发人员:胡缙,杨浩,
申请(专利权)人:中电信量子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。