CN107911211A - 基于量子通信网络的二维码认证*** - Google Patents
基于量子通信网络的二维码认证*** Download PDFInfo
- Publication number
- CN107911211A CN107911211A CN201710993072.4A CN201710993072A CN107911211A CN 107911211 A CN107911211 A CN 107911211A CN 201710993072 A CN201710993072 A CN 201710993072A CN 107911211 A CN107911211 A CN 107911211A
- Authority
- CN
- China
- Prior art keywords
- quick response
- quantum
- response code
- application server
- service station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/70—Photonic quantum communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/06009—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
- G06K19/06037—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking multi-dimensional coding
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C1/00—Registering, indicating or recording the time of events or elapsed time, e.g. time-recorders for work people
- G07C1/10—Registering, indicating or recording the time of events or elapsed time, e.g. time-recorders for work people together with the recording, indicating or registering of other data, e.g. of signs of identity
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/30—Individual registration on entry or exit not involving the use of a pass
- G07C9/32—Individual registration on entry or exit not involving the use of a pass in combination with an identity check
- G07C9/33—Individual registration on entry or exit not involving the use of a pass in combination with an identity check by means of a password
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Electromagnetism (AREA)
- General Engineering & Computer Science (AREA)
- Optics & Photonics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种基于量子通信网络的二维码认证***,包括应用服务器、应用终端、以及移动终端,还设有量子通信服务站以及与所述移动终端相匹配的量子密钥卡,所述量子密钥卡与量子通信服务站之间存储有相应的量子密钥;所述移动终端经由应用终端获得生成自应用服务器的二维码后,在所匹配的量子密钥卡内利用所存储的量子密钥生成二维码应答值,该二维码应答值经由应用服务器发送至量子通信服务站进行认证,认证结果经由应用服务器发送至移动终端和/或应用终端,并执行相关业务。本发明利用移动终端对二维码扫描认证操作快速便捷,用于认证的密钥存储于量子密钥卡中进一步提高安全性。
Description
技术领域
本发明涉及网络安全通信领域,特别涉及一种基于量子通信网络的二维码认证***。
背景技术
身份认证时,静态密码容易被恶意软件所窃取,或者因为固定不变被暴力破解。为了解决静态密码的安全性问题,动态令牌技术已经大行其道。
动态令牌采用基于时间、事件和密钥三个变量产生的一次性密码代替传统的静态密码。每个动态令牌卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态令牌卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算待认证的动态令牌,从而双边确保密码的一致性,实现身份认证。因每次认证时的随机参数不同,所以每次产生的动态令牌也不同,而参数的随机性保证了每次密码的不可预测性,从而在最基本也是最重要的密码认证环节保证了***的安全性。动态令牌从终端来分类包含硬件令牌和手机令牌。手机令牌是安装在手机上的客户端软件,用来生成动态令牌。
国际上动态令牌有2大主流算法,一个是RSA的SecurID(使用AES 对称算法),一个是OATH组织使用的HMAC算法。国内使用的动态令牌算法使用国密SM1和SM3。
二维码又称QuickResponseCode,是一个近几年来非常流行的一种编码方式。比传统的条形码,它能存更多的信息,也能表示更多的数据类型。二维码扫码功能经过微信及支付宝的扫码支付功能进行使用***台应用的二维码是由后台生成的,应用终端使用者使用移动端APP扫描二维码进行安全的身份认证。二维码技术可以与动态令牌技术结合,例如用于承载挑战应答式动态令牌的挑战信息。
量子通信是量子论和信息论相结合的新兴交叉领域,以其高度安全的信息传输能力日益受到人们的关注。
例如中国专利申请201510513004.4公开了基于量子密码网络的手机令牌身份认证***,其中介绍了量子通信网络的动态令牌认证。但未考虑移动终端的安全性,而且需要在应用终端手动输入动态密码,操作不便。
中国专利申请201610843356.0公开了用户身份认证***和方法,其中介绍了一种量子通信服务站和量子密钥卡及其相互之间认证的实现方法。但仅介绍了量子通信服务站对配备有量子密钥卡的量子通信用户设备的认证,并未介绍量子通信网络中的应用***的内部认证,即应用服务器对应用终端的认证。
现有技术存在的问题
1.现有技术中,在使用动态令牌进行身份认证过程中,需要应用终端使用者手动输入动态令牌,操作过于繁琐,并且存在安全隐患。
2.现有技术中,手机令牌的密钥存储于手机存储器中,可以被恶意软件或恶意操作窃取。
3.现有技术中,手机令牌的种子密钥是不变的,安全性不够高。
4.现有技术中,每一个应用服务器的动态口令***都是独立的,使用者需要维护多个动态令牌或者动态令牌软件,管理不便。
发明内容
本发明提供一种基于量子通信网络的二维码认证***,利用移动终端对二维码扫描认证,使用者操作快速便捷,体验优于动态密码,更重要的是用于认证的密钥存储于量子密钥卡中,量子密钥卡是隔离硬件,难以被移动终端内的恶意软件或恶意操作窃取。
一种基于量子通信网络的二维码认证***,包括应用服务器、应用终端、以及移动终端,还设有量子通信服务站以及与所述移动终端相匹配的量子密钥卡,所述量子密钥卡与量子通信服务站之间存储有相应的量子密钥;
进行二维码认证时,所述移动终端经由应用终端获得生成自应用服务器的二维码后,在所匹配的量子密钥卡内利用所存储的量子密钥生成二维码应答值,该二维码应答值经由应用服务器发送至量子通信服务站进行认证,认证结果经由应用服务器发送至移动终端和/或应用终端,并执行相关业务。
本发明中二维码中包含二维码挑战值,二维码挑战值通过预协商的算法生成二维码应答值,应用服务器向量子通信服务站发送二维码应答值时也发送二维码挑战值,由于移动终端所匹配的量子密钥卡与量子通信服务站之间存储有相应的量子密钥,因此量子通信服务站可计算生成二维码预期应答值,并进行比较,两者一致视为认证成功。
本发明中二维码应答值在移动终端匹配的量子密钥卡内并利用量子密钥生成,由于量子密钥卡中的密钥可变,甚至能做到一次认证一个密钥,安全性高于动态密码。多个应用服务器的动态口令***都可以用同样的量子通信***进行认证,使用者管理方便。移动终端与量子通信服务站之间传输数据时采用量子密钥加密通信,可保障其安全性。
同一应用服务器下可以配置多个应用终端,参与认证过程的量子通信服务站也不限于一个,涉及多个量子节点相互通信时,可利用QKD 方式获得的站间量子密钥加密通信,或采用量子密钥卡的形式与所属的 (即该量子密钥卡由所属量子通信服务站颁发,两者之间存储有相应的量子密钥)量子通信服务站加密通信。
本发明二维码认证***可以应用于各类需要身份认证的***,应用服务器和应用终端可根据需要以及场景配置多台,应用服务器运行业务服务程序,应用终端运行业务客户端程序。
可选的,所述应用服务器为门禁***后台服务器;智能楼宇后台控制中心或考勤***后台服务器;所述应用终端相应的为门禁装置;智能楼宇受控终端或考勤机终端。
可选的,移动终端的使用者先经由应用终端向应用服务器申请二维码,且在申请信息中携带或不携带应用服务器预先分配给该使用者的身份识别号。
相对于携带身份识别号,若不携带身份识别号则移动终端的使用者不需要输入任何信息给应用终端,应用终端向应用服务器发送空的使用者访问请求,可进一步方便使用者操作。
可选的,所述应用终端通过显示屏幕输出生成自应用服务器的二维码;或以打印的方式输出生成自应用服务器的二维码。
可选的,应用服务器接收来自移动终端且带有所述二维码应答值的应答,从该应答中提取相应信息并进行合法性判断,判断合法后再将二维码应答值发送至量子通信服务站进行认证。
移动终端计算二维码应答值后向应用服务器发送应答,其不仅包含有二维码应答值,还包含二维码ID、移动终端的量子密钥卡的身份识别号;根据判断方式,还可以通过移动终端采集的使用者生物学信息,如指纹信息、虹膜信息、人脸信息、静脉信息、掌纹信息等,并携带在应答中。
可选的,所述合法性判断包括以下判断的至少一种:
二维码是否由当前应用服务器生成;
使用者与所使用的量子密钥卡之间的身份识别号是否匹配;
使用者的生物学特征与应用服务器中的预留信息是否匹配;
二维码认证时间是否逾期。
可选的,所述应用服务器也配置有相应的量子密钥卡,该量子密钥卡与量子通信服务站之间存储有相应的量子密钥,用以在应用服务器与量子通信服务站之间加密通信。
通信时,若有多个量子通信服务站参与,在量子通信服务站之间采用站间量子密钥进行通信;移动终端与所属的量子通信服务站之间、应用服务器与所属的量子通信服务站之间采用所属量子通信服务站颁发的量子密钥进行通信。
可选的,应用服务器的量子密钥卡颁发自第一量子通信服务站,移动终端的量子密钥卡颁发自第二量子通信服务站,第一量子通信服务站接收来自应用服务器发送的二维码应答值后,将该二维码应答值转发至第二量子通信服务站进行认证,并将来自第二量子通信服务站的认证结果转发至应用服务器。
由于应用服务器的量子密钥卡颁发自第一量子通信服务站,因此两者可以利用量子密钥加密通信,但第一量子通信服务站并不能对二维码应答值进行认证,需要利用站间量子密钥再转发至第二量子通信服务站实施认证。
作为另一方式,应用服务器的量子密钥卡颁发自第一量子通信服务站,移动终端的量子密钥卡颁发自第二量子通信服务站,第一量子通信服务站接收来自应用服务器发送的二维码应答值后,向第二量子通信服务站请求可实施认证的量子密钥,而后由第一量子通信服务站进行认证,并将认证结果转发至应用服务器。
可选的,移动终端和应用服务器两者的量子密钥卡颁发自同一量子通信服务站,该量子通信服务站中存储有与两者的量子密钥卡分别对应的量子密钥。
此时,该量子通信服务站,利用所存储的量子密钥一方面可以与应用服务器直接加密通信接收二维码应答值,也可以进行认证并返回认证结果,在流程上相对简化。
本发明的有益效果:
1.采用二维码验证方便快捷,解决了现有技术中,在使用动态令牌进行身份认证过程中,操作过于繁琐的问题。
2.基于独立硬件形式的量子密钥卡,解决了现有技术中,手机令牌的密钥存储于手机存储器中,可以被恶意软件或恶意操作窃取的问题。
3.量子密钥卡中量子密钥可变,解决了现有技术中,手机令牌的种子密钥不变导致的安全性不够高的问题。
4.多个应用服务器可采用同一量子通信***验证,解决了现有技术中,每一个应用服务器的动态口令***互相独立而导致的管理不便问题。
附图说明
图1为本发明基于量子通信网络的二维码认证***的组网图;
图2为本发明实施例1的流程图;
图3为本发明实施例2的流程图;
图4为本发明实施例3的流程图;
图5为本发明实施例4的流程图。
具体实施方式
见图1,本发明基于量子通信网络的二维码认证***,在量子通信网络中,若干量子通信城域网接入量子通信干线,而每个量子通信城域网可让多个量子通信服务站接入。
量子通信服务站内部配置有多个服务器,例如供认证服务、量子密钥分发服务、量子随机数服务。
认证服务用于对量子通信服务站的用户设备进行身份认证。
量子密钥分发服务用于通过量子通信城域网和量子通信干线,与另一个量子通信服务站进行量子密钥分发并产生成对密钥,密钥分发协议优选为BB84。
量子随机数服务用于为量子密钥卡和量子通信服务站颁发成对的量子随机数密钥集,此颁发过程可以参考中国专利申请201610843210.6中有关量子密钥卡的颁发。
量子随机数服务为量子密钥卡和量子通信服务站颁发成对的量子随机数密钥集后,量子通信服务站将量子密钥卡颁发给量子通信服务站的用户设备,在实际使用时量子密钥卡与量子通信服务站的用户设备存在一一对应的关系。量子通信服务站的用户设备可以以固定用户设备和移动用户设备的形式接入量子通信服务站。固定用户设备可以是普通PC/MAC电脑,嵌入式设备,也可以是各类服务器,如本发明所述的应用服务器。移动用户设备可以是手机/PAD等各类移动终端。不论是哪类量子通信服务站的设备,均留有接口对接量子密钥卡,并能与其进行通信。当用户设备接入量子通信服务站时,与特定的量子密钥卡发生一一对应的绑定关系,否则无法接入量子通信服务站。
关于量子密钥卡的实现方式可以参考中国专利申请201610843210.6,其中公开了一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法,也介绍了有关量子密钥卡的颁发。
应用***可以是各类需要身份认证的***,包括应用服务器和若干应用终端,应用服务器运行业务服务程序,应用终端运行业务客户端程序。本发明的应用***可以但不限于是:门禁***;智能楼宇控制***;考勤***;等等。前述三种应用***的情况下,其应用服务器分别为:门禁***后台服务器;智能楼宇后台控制中心;考勤***后台服务器;其应用终端分别为:门禁装置;智能楼宇受控终端;考勤机终端。
应用服务器是量子通信服务站的用户设备。应用终端使用者必须同时拥有量子通信服务站的移动用户设备,每个移动用户设备对应一或多个量子密钥卡。
应用终端不需要是但也可以是量子通信服务站的用户设备。当应用终端是量子通信服务站的用户设备时,与应用服务器通过量子通信网络进行通信。当应用终端不是量子通信服务站的用户设备时,应用终端和应用服务器之间还有应用服务器通往应用终端的安全的认证授权网络,即应用服务器安全有效地发送认证结果和授权信息至应用终端的网络。安全的认证授权网络的可能性有:由静态密钥、预分配密钥、动态令牌密钥、手机动态令牌密钥、短信密钥等密钥或CA证书来保障安全的通信网络;专用安全通信网络等。
每个应用终端均带有显示二维码图像的能力。
本发明所述需要采集识别二维码的移动终端均带有足够分辨率的摄像头用于采集二维码图像,并具有从二维码图像解析出二维码所含信息的功能模块,该模块使用的是本领域技术人员所周知的技术,因此实现方式不在本发明讨论。
实施例1
二维码认证流程QRA_FLOW
QRA_FLOW的直接涉及方有移动终端MT(当前量子密钥卡为MTK,其身份识别号为MTKID)、应用终端AT、应用服务器AS(当前量子密钥卡为ASK,其身份识别号为ASKID)、MTK当前密钥所对应的量子通信服务站的认证服务模块QMT(其身份识别号为QMTID)、ASK当前密钥所对应的量子通信服务站的认证服务模块QAS(其身份识别号为QASID)。AT 使用者持有MT,MT当前和MTK配对,因此AT使用者持有MTK。
AT使用者持有MTK向AS进行登记注册。AS为AT使用者分配的身份识别号为UID;其绑定的量子密钥卡的身份识别号为MTKID。AS存储 UID及其对应的MTKID至账户数据库。AS还可以存储UID对应的使用者生物学特征至账户数据库,如指纹特征、虹膜特征、人脸特征、静脉特征、掌纹特征等。
见图2,QRA_FLOW如下:
3.1 AT向AS发送使用者访问请求
访问请求类型有:显示AT相关业务界面;执行AT控制的门禁开关操作;执行AT控制的智能楼宇电气开关操作;执行AT所在位置的人员考勤;等等。
AT使用者输入UID给AT。AT向AS发送的使用者访问请求中带有 UID。
3.2 AS处理使用者访问请求
AS判断UID是否存在,如不存在则向AT返回失败消息及错误码,流程结束;否则继续。
AS生成并记录二维码相关信息到AS的二维码数据库。
二维码相关信息包括二维码认证信息和二维码附加信息,参见下表。
二维码认证信息包括二维码ID、二维码挑战值。二维码ID是AS内部代表该二维码唯一身份的数字或字符串。二维码挑战值为真随机数。
二维码附加信息包括二维码生成时间、二维码申请者ID、二维码申请者联系方式。二维码生成时间是生成二维码认证信息的时间。二维码申请者ID即UID。二维码申请者联系方式即AT的IP地址加上端口号。
AS记录的二维码相关信息有其认证有效的时间范围,称为二维码认证最大时间差。超过此认证有效的时间范围后,该二维码相关信息被视为无效信息,将不定期从AS的二维码数据库中删除。优选为,二维码认证最大时间差为60秒。也可以设置二维码认证最大时间差为无穷大。
3.3 AS向AT发送二维码图片
AS根据二维码生成规则,利用二维码认证信息和二维码生成者联系方式生成二维码图片。二维码生成者联系方式即AS的IP地址加上端口号。
AS根据二维码申请者联系方式,向AT发送二维码图片。
3.4 AT显示二维码图片
AT可以显示二维码图片的电子版在电子设备的屏幕上。
AT也可以将二维码图片打印为实体图片张贴出来。
3.5 MT采集二维码图片并获取相关信息
MT获取二维码认证信息和二维码生成者联系方式。二维码认证信息包括二维码ID、二维码挑战值。
3.6 MT生成二维码应答值
MT将二维码认证信息传入MTK,MTK取出当前认证密钥,结合二维码认证信息中的二维码挑战值,根据约定的认证算法计算得到二维码应答值。优选为,认证算法为挑战应答算法,且应答方式为带密钥的哈希算法(如HMAC)。
3.7 MT向AS发送应答,含二维码ID、MTKID、二维码应答值
MT通过二维码生成者联系方式向AS发送上述信息。
除上述信息,还可以带上MT采集的使用者生物学信息,如指纹信息、虹膜信息、人脸信息、静脉信息、掌纹信息等。
3.8 AS对应答合法性进行判断
3.8.1二维码合法性判断
AS根据二维码ID,在AS的二维码数据库中寻找该二维码相关信息,如果找不到则判断为不合法,向MT返回失败消息及错误码,流程结束;否则继续。
3.8.2身份信息合法性判断
AS在二维码相关信息中找出UID,并根据账户数据库判断MTKID 是否属于该UID,如果不是则判断为不合法,向MT返回失败消息及错误码,流程结束;否则继续。
如果MT发送的信息带有使用者生物学信息,则AS根据账户数据库判断该生物学信息是否符合其存储的使用者生物学特征,如果不符合则判断为不合法,向MT返回失败消息及错误码,流程结束;否则继续。
3.8.3时间合法性判断
AS记录当前时间,即二维码认证时间。AS在二维码相关信息中找出二维码生成时间。二维码认证时间差等于二维码认证时间和二维码生成时间之差。如果二维码认证时间差大于二维码认证最大时间差,则判断为不合法,向MT返回失败消息及错误码,流程结束;否则继续。
3.9 AS向QAS发送MTKID、二维码挑战值、二维码应答值
3.10 QAS向QMT发送MTKID、二维码挑战值、二维码应答值
QAS根据MTKID找到其对应的QMT,然后发送上述信息。
3.11 QMT验证二维码应答值
QMT根据MTKID搜索到MTK对应的量子随机数密钥,结合二维码挑战值,进行认证算法计算,得到二维码预期应答值。QMT对比二维码应答值和二维码预期应答值,得到二维码认证结果。如果二维码应答值和二维码预期应答值相等,则认证成功;否则认证失败。
3.12 QMT向QAS发送二维码认证结果
3.13 QAS向AS发送二维码认证结果
在步骤3.9、3.10、3.12和3.13中涉及不同量子通信服务站之间,以及应用服务器与量子通信服务站之间的数据传输,不同量子通信服务站之间可以利用站间量子密钥进行数据的加密传输以及相互认证,而应用服务器则可以通过量子密钥卡与所属的量子通信服务站之间进行数据的加密传输以及相互认证,该过程也可以参考中国专利申请201610845826.7,以及201610842873.6的相关内容,数据传输由量子通信网络的加解密方法和消息认证方法保证其安全性和可靠性。
若应用服务器和移动终端均匹配有量子密钥卡,应用服务器和移动终端之间可以利用各自的量子密钥卡经由分别所属的量子通信服务站之间进行数据加密传输以及相互认证。
3.14 AS根据二维码认证结果执行相关业务
如果二维码认证结果为成功,AS的相关业务可以包括但不限于:显示使用者认证成功及相关业务界面;记录认证成功信息至日志模块;启动该认证成功者的专属服务;等等。
如果二维码认证结果为失败,AS的相关业务可以包括但不限于:显示使用者认证失败及相关业务界面;记录认证失败信息至日志模块;等等。
3.15 AS向AT发送二维码认证结果
该认证结果通过量子通信网络或者安全的认证授权网络发送。
3.16 AT根据二维码认证结果执行相关业务
如果二维码认证结果为成功,AT的相关业务可以包括但不限于:显示使用者认证成功及相关业务界面;执行门禁开关操作;执行智能楼宇电气开关操作;执行考勤成功操作;记录认证成功信息至日志模块;等等。
如果二维码认证结果为失败,AT的相关业务可以包括但不限于:显示使用者认证失败及相关业务界面;记录认证失败信息至日志模块;等等。
至此QRA_FLOW结束。
下一轮QRA_FLOW认证开始时,可以从3.1开始,即申请新的二维码进行认证;也可以从3.5开始,即利用前次申请到的二维码进行认证。
也可以令MT取得认证结果,即将3.15和3.16改为:
3.15’AS向MT发送二维码认证结果,且AS和MT之间的数据传输由量子通信网络保证其安全性
3.16’MT根据二维码认证结果执行相关业务,例如执行显示认证结果等操作
也可以令AT和MT同时取得认证结果。
实施例2
二维码认证简化流程QRA_SFLOW
QRA_FLOW的特殊情况是,当应用服务器和移动终端所使用的量子密钥卡对应的量子通信服务站是同一个时,即只存在QAS且不存在QMT 时,流程发生适当简化。其具体过程类似于实施例1的QRA_FLOW,仅仅是省略了QAS与QMT通信的几个步骤。
见图3,QRA_SFLOW如下:
4.1 AT向AS发送使用者访问请求;
4.2 AS处理使用者访问请求;
4.3 AS向AT发送二维码图片;
4.4 AT显示二维码图片;
4.5 MT采集二维码图片并获取相关信息;
4.6 MT生成二维码应答值;
4.7 MT向AS发送应答,含二维码ID、MTKID、二维码应答值;
4.8 AS对应答合法性进行判断;
4.8.1二维码合法性判断;
4.8.2身份信息合法性判断;
4.8.3时间合法性判断;
4.9 AS向QAS发送MTKID、二维码挑战值、二维码应答值;
4.10 QAS验证二维码应答值;
4.11 QAS向AS发送二维码认证结果;
4.12 AS根据二维码认证结果执行相关业务;
4.13 AS向AT发送二维码认证结果;
4.14 AT根据二维码认证结果执行相关业务;
至此QRA_SFLOW结束。
下一轮QRA_SFLOW认证开始时,可以从4.1开始,即申请新的二维码进行认证;也可以从4.5开始,即利用前次申请到的二维码进行认证。
也可以令MT取得认证结果;也可以令AT和MT同时取得认证结果。
实施例3
简化操作的二维码认证流程SQRA_FLOW
前述QRA_FLOW和QRA_SFLOW,第一步均需要向AT输入UID,如果输入UID较复杂则操作不便。为进一步方便使用者操作,可以使用以下无需AT使用者输入UID的流程SQRA_FLOW。
SQRA_FLOW的直接涉及方与QRA_FLOW相同。
AT使用者持有MTK向AS进行登记注册,AS将MTKID记录到AS 的账户数据库,该情况记为SQRA_FLOW_REG;或者不注册,该情况记为SQRA_FLOW_UNREG。SQRA_FLOW_REG情况下,AS还可以存储 MTKID对应的使用者生物学特征至账户数据库,如指纹特征、虹膜特征、人脸特征、静脉特征、掌纹特征等。
见图4,SQRA_FLOW如下:
5.1 AT向AS发送使用者访问请求
访问请求类型有:显示AT相关业务界面;执行AT控制的门禁开关操作;执行AT控制的智能楼宇电气开关操作;执行AT所在位置的人员考勤;等等。
AT使用者不需要输入任何信息给AT。因此AT向AS发送空的使用者访问请求。
5.2 AS处理使用者访问请求
AS生成并记录二维码相关信息到AS的二维码数据库。
二维码相关信息包括二维码认证信息和二维码附加信息,参见下表。
二维码认证信息包括二维码ID、二维码挑战值。二维码ID是AS内部代表该二维码唯一身份的数字或字符串。二维码挑战值为真随机数。
二维码附加信息包括二维码生成时间、二维码申请者联系方式。二维码生成时间是生成二维码认证信息的时间。二维码申请者联系方式即AT 的IP地址加上端口号。
AS记录的二维码相关信息有其认证有效的时间范围,称为二维码认证最大时间差。超过此认证有效的时间范围后,该二维码相关信息被视为无效信息,将不定期从AS的二维码数据库中删除。优选为,二维码认证最大时间差为60秒。也可以设置二维码认证最大时间差为无穷大。
5.3 AS向AT发送二维码图片
AS根据二维码生成规则,利用二维码认证信息和二维码生成者联系方式生成二维码图片。二维码生成者联系方式即AS的IP地址加上端口号。
AS根据二维码申请者联系方式,向AT发送二维码图片。
5.4 AT显示二维码图片
AT可以显示二维码图片的电子版在电子设备的屏幕上。
AT也可以将二维码图片打印为实体图片张贴出来。
5.5 MT采集二维码图片并获取相关信息
MT获取二维码认证信息和二维码生成者联系方式。二维码认证信息包括二维码ID、二维码挑战值。
5.6 MT生成二维码应答值
MT将二维码认证信息传入MTK,MTK取出当前认证密钥,结合二维码认证信息中的二维码挑战值,根据约定的认证算法计算得到二维码应答值。优选为,认证算法为挑战应答算法,且应答方式为带密钥的哈希算法(如HMAC)。
5.7 MT向AS发送应答,含二维码ID、MTKID、二维码应答值
MT通过二维码生成者联系方式向AS发送上述信息。
除上述信息,还可以带上MT采集的使用者生物学信息,如指纹信息、虹膜信息、人脸信息、静脉信息、掌纹信息等。
5.8 AS对应答合法性进行判断
5.8.1二维码合法性判断
AS根据二维码ID,在AS的二维码数据库中寻找该二维码相关信息,如果找不到则判断为不合法,向MT返回失败消息及错误码,流程结束;否则继续。
5.8.2(仅SQRA_FLOW_REG情况下)身份信息合法性判断
AS在账户数据库中查找,并根据账户数据库判断MTKID是否属于 AS,如果不是则判断为不合法,向MT返回失败消息及错误码,流程结束;否则继续。
如果MT发送的信息带有使用者生物学信息,则AS根据账户数据库判断该生物学信息是否符合其存储的使用者生物学特征,如果不符合则判断为不合法,向MT返回失败消息及错误码,流程结束;否则继续。
5.8.3时间合法性判断
AS记录当前时间,即二维码认证时间。AS在二维码相关信息中找出二维码生成时间。二维码认证时间差等于二维码认证时间和二维码生成时间之差。如果二维码认证时间差大于二维码认证最大时间差,则判断为不合法,向MT返回失败消息及错误码,流程结束;否则继续。
5.9 AS向QAS发送MTKID、二维码挑战值、二维码应答值
5.10 QAS向QMT发送MTKID、二维码挑战值、二维码应答值
QAS根据MTKID找到其对应的QMT,然后发送上述信息。
5.11 QMT验证二维码应答值
QMT根据MTKID搜索到MTK对应的量子随机数密钥,结合二维码挑战值,进行认证算法计算,得到二维码预期应答值。QMT对比二维码应答值和二维码预期应答值,得到二维码认证结果。如果二维码应答值和二维码预期应答值相等,则认证成功;否则认证失败。
5.12 QMT向QAS发送二维码认证结果
5.13 QAS向AS发送二维码认证结果
在步骤5.9、5.10、5.12和5.13中涉及不同量子通信服务站之间,以及应用服务器与量子通信服务站之间的数据传输,不同量子通信服务站之间可以利用站间量子密钥进行数据的加密传输以及相互认证,而应用服务器则可以通过量子密钥卡与所属的量子通信服务站之间进行数据的加密传输以及相互认证,该过程也可以参考中国专利申请201610845826.7,以及201610842873.6的相关内容,数据传输由量子通信网络的加解密方法和消息认证方法保证其安全性和可靠性。
若应用服务器和移动终端均匹配有量子密钥卡,应用服务器和移动终端之间可以利用各自的量子密钥卡经由分别所属的量子通信服务站之间进行数据加密传输以及相互认证。
5.14 AS根据二维码认证结果执行相关业务
如果二维码认证结果为成功,AS的相关业务可以包括但不限于:显示使用者认证成功及相关业务界面;记录认证成功信息至日志模块;启动该认证成功者的专属服务;等等。
如果二维码认证结果为失败,AS的相关业务可以包括但不限于:显示使用者认证失败及相关业务界面;记录认证失败信息至日志模块;等等。
5.15 AS向AT发送二维码认证结果
该认证结果通过量子通信网络或者安全的认证授权网络发送。
5.16 AT根据二维码认证结果执行相关业务
如果二维码认证结果为成功,AT的相关业务可以包括但不限于:显示使用者认证成功及相关业务界面;执行门禁开关操作;执行智能楼宇电气开关操作;执行考勤成功操作;记录认证成功信息至日志模块;等等。
如果二维码认证结果为失败,AT的相关业务可以包括但不限于:显示使用者认证失败及相关业务界面;记录认证失败信息至日志模块;等等。
至此SQRA_FLOW结束。
下一轮SQRA_FLOW认证开始时,可以从5.1开始,即申请新的二维码进行认证;也可以从5.5开始,即利用前次申请到的二维码进行认证。
也可以令MT取得认证结果,即将5.15和5.16改为:
5.15’AS向MT发送二维码认证结果,且AS和MT之间的数据传输由量子通信网络保证其安全性
5.16’MT根据二维码认证结果执行相关业务,例如执行显示认证结果等操作
也可以令AT和MT同时取得认证结果。
实施例4
简化操作的二维码认证简化流程SQRA_SFLOW
SQRA_FLOW的特殊情况是,当应用服务器和移动终端所使用的量子密钥卡对应的量子通信服务站是同一个时,即只存在QAS且不存在QMT 时,流程发生适当简化。其具体过程类似于实施例3的SQRA_FLOW,仅仅是省略了QAS与QMT通信的几个步骤。
见图5,SQRA_SFLOW如下:
6.1 AT向AS发送使用者访问请求;
6.2 AS处理使用者访问请求;
6.3 AS向AT发送二维码图片;
6.4 AT显示二维码图片;
6.5 MT采集二维码图片并获取相关信息;
6.6 MT生成二维码应答值;
6.7 MT向AS发送应答,含二维码ID、MTKID、二维码应答值;
6.8 AS对应答合法性进行判断;
6.8.1二维码合法性判断;
6.8.2(仅SQRA_FLOW_REG情况下)身份信息合法性判断;
6.8.3时间合法性判断;
6.9 AS向QAS发送MTKID、二维码挑战值、二维码应答值;
6.10 QMT验证二维码应答值;
6.11 QAS向AS发送二维码认证结果;
6.12 AS根据二维码认证结果执行相关业务;
6.13 AS向AT发送二维码认证结果;
6.14 AT根据二维码认证结果执行相关业务;
至此SQRA_SFLOW结束。
下一轮SQRA_SFLOW认证开始时,可以从6.1开始,即申请新的二维码进行认证;也可以从6.5开始,即利用前次申请到的二维码进行认证。
也可以令MT取得认证结果;也可以令AT和MT同时取得认证结果。
以上公开的仅为本发明的具体实施例,但是本发明并非局限于此,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。例如二维码扫描传输数据的步骤,也可以替换为任意其他短距离通信技术,如蓝牙、WIFI、红外线、NFC、ZigBee、UWB等。显然这些改动和变型均应属于本发明要求的保护范围保护内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对本发明构成任何特殊限制。
Claims (10)
1.一种基于量子通信网络的二维码认证***,包括应用服务器、应用终端、以及移动终端,其特征在于,还设有量子通信服务站以及与所述移动终端相匹配的量子密钥卡,所述量子密钥卡与量子通信服务站之间存储有相应的量子密钥;
进行二维码认证时,所述移动终端经由应用终端获得生成自应用服务器的二维码后,在所匹配的量子密钥卡内利用所存储的量子密钥生成二维码应答值,该二维码应答值经由应用服务器发送至量子通信服务站进行认证,认证结果经由应用服务器发送至移动终端和/或应用终端,并执行相关业务。
2.如权利要求1所述的基于量子通信网络的二维码认证***,其特征在于,所述应用服务器为门禁***后台服务器;智能楼宇后台控制中心或考勤***后台服务器;所述应用终端相应的为门禁装置;智能楼宇受控终端或考勤机终端。
3.如权利要求1所述的基于量子通信网络的二维码认证***,其特征在于,移动终端的使用者先经由应用终端向应用服务器申请二维码,且在申请信息中携带或不携带应用服务器预先分配给该使用者的身份识别号。
4.如权利要求3所述的基于量子通信网络的二维码认证***,其特征在于,所述应用终端通过显示屏幕输出生成自应用服务器的二维码;或以打印的方式输出生成自应用服务器的二维码。
5.如权利要求3所述的基于量子通信网络的二维码认证***,其特征在于,应用服务器接收来自移动终端且带有所述二维码应答值的应答,从该应答中提取相应信息并进行合法性判断,判断合法后再将二维码应答值发送至量子通信服务站进行认证。
6.如权利要求5所述的基于量子通信网络的二维码认证***,其特征在于,所述合法性判断包括以下判断的至少一种:
二维码是否由当前应用服务器生成;
使用者与所使用的量子密钥卡之间的身份识别号是否匹配;
使用者的生物学特征与应用服务器中的预留信息是否匹配;
二维码认证时间是否逾期。
7.如权利要求1所述的基于量子通信网络的二维码认证***,其特征在于,所述应用服务器也配置有相应的量子密钥卡,该量子密钥卡与量子通信服务站之间存储有相应的量子密钥,用以在应用服务器与量子通信服务站之间加密通信。
8.如权利要求7所述的基于量子通信网络的二维码认证***,其特征在于,应用服务器的量子密钥卡颁发自第一量子通信服务站,移动终端的量子密钥卡颁发自第二量子通信服务站,第一量子通信服务站接收来自应用服务器发送的二维码应答值后,将该二维码应答值转发至第二量子通信服务站进行认证,并将来自第二量子通信服务站的认证结果转发至应用服务器。
9.如权利要求7所述的基于量子通信网络的二维码认证***,其特征在于,应用服务器的量子密钥卡颁发自第一量子通信服务站,移动终端的量子密钥卡颁发自第二量子通信服务站,第一量子通信服务站接收来自应用服务器发送的二维码应答值后,向第二量子通信服务站请求可实施认证的量子密钥,而后由第一量子通信服务站进行认证,并将认证结果转发至应用服务器。
10.如权利要求7所述的基于量子通信网络的二维码认证***,其特征在于,移动终端和应用服务器两者的量子密钥卡颁发自同一量子通信服务站,该量子通信服务站中存储有与两者的量子密钥卡分别对应的量子密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710993072.4A CN107911211B (zh) | 2017-10-23 | 2017-10-23 | 基于量子通信网络的二维码认证*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710993072.4A CN107911211B (zh) | 2017-10-23 | 2017-10-23 | 基于量子通信网络的二维码认证*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107911211A true CN107911211A (zh) | 2018-04-13 |
| CN107911211B CN107911211B (zh) | 2020-11-17 |
Family
ID=61840723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710993072.4A Active CN107911211B (zh) | 2017-10-23 | 2017-10-23 | 基于量子通信网络的二维码认证*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107911211B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108898708A (zh) * | 2018-06-21 | 2018-11-27 | 河南理工大学 | 基于量子隐形传态和无线局域网的智能门禁*** |
| CN108985750A (zh) * | 2018-06-11 | 2018-12-11 | 北京航空航天大学 | 基于时间的二维码交易闭环认证的方法 |
| CN109448203A (zh) * | 2018-12-26 | 2019-03-08 | 江苏亨通问天量子信息研究院有限公司 | 智能锁的控制方法、装置、***和智能锁 |
| CN111242248A (zh) * | 2018-11-09 | 2020-06-05 | 中移(杭州)信息技术有限公司 | 一种人员信息监控的方法、装置及计算机存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104917766A (zh) * | 2015-06-10 | 2015-09-16 | 飞天诚信科技股份有限公司 | 一种二维码安全认证方法 |
| US20160063223A1 (en) * | 2014-08-27 | 2016-03-03 | Contentguard Holdings, Inc. | Distributing protected content |
| US20160241396A1 (en) * | 2015-02-16 | 2016-08-18 | Alibaba Group Holding Limited | Method, apparatus, and system for identity authentication |
| CN106357649A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 用户身份认证***和方法 |
| CN106452739A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 一种量子网络服务站以及量子通信网络 |
| CN106452750A (zh) * | 2016-10-19 | 2017-02-22 | 长春大学 | 一种用于移动设备的量子加密通信方法 |
| CN206042014U (zh) * | 2016-09-23 | 2017-03-22 | 浙江神州量子网络科技有限公司 | 一种量子网络服务站以及量子通信网络 |
| CN206100008U (zh) * | 2016-10-19 | 2017-04-12 | 长春大学 | 一种用于移动设备量子密码承载装置 |
| CN106712931A (zh) * | 2015-08-20 | 2017-05-24 | 上海国盾量子信息技术有限公司 | 基于量子密码网络的手机令牌身份认证***及方法 |
-
2017
- 2017-10-23 CN CN201710993072.4A patent/CN107911211B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160063223A1 (en) * | 2014-08-27 | 2016-03-03 | Contentguard Holdings, Inc. | Distributing protected content |
| US20160241396A1 (en) * | 2015-02-16 | 2016-08-18 | Alibaba Group Holding Limited | Method, apparatus, and system for identity authentication |
| CN104917766A (zh) * | 2015-06-10 | 2015-09-16 | 飞天诚信科技股份有限公司 | 一种二维码安全认证方法 |
| CN106712931A (zh) * | 2015-08-20 | 2017-05-24 | 上海国盾量子信息技术有限公司 | 基于量子密码网络的手机令牌身份认证***及方法 |
| CN106357649A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 用户身份认证***和方法 |
| CN106452739A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 一种量子网络服务站以及量子通信网络 |
| CN206042014U (zh) * | 2016-09-23 | 2017-03-22 | 浙江神州量子网络科技有限公司 | 一种量子网络服务站以及量子通信网络 |
| CN106452750A (zh) * | 2016-10-19 | 2017-02-22 | 长春大学 | 一种用于移动设备的量子加密通信方法 |
| CN206100008U (zh) * | 2016-10-19 | 2017-04-12 | 长春大学 | 一种用于移动设备量子密码承载装置 |
Non-Patent Citations (1)
| Title |
|---|
| 彭桂林: "无中心化离线认证技术的应用与实践", 《技术与应用》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108985750A (zh) * | 2018-06-11 | 2018-12-11 | 北京航空航天大学 | 基于时间的二维码交易闭环认证的方法 |
| CN108985750B (zh) * | 2018-06-11 | 2021-04-09 | 北京航空航天大学 | 基于时间的二维码交易闭环认证的方法 |
| CN108898708A (zh) * | 2018-06-21 | 2018-11-27 | 河南理工大学 | 基于量子隐形传态和无线局域网的智能门禁*** |
| CN108898708B (zh) * | 2018-06-21 | 2020-12-29 | 河南理工大学 | 基于量子隐形传态和无线局域网的智能门禁*** |
| CN111242248A (zh) * | 2018-11-09 | 2020-06-05 | 中移(杭州)信息技术有限公司 | 一种人员信息监控的方法、装置及计算机存储介质 |
| CN109448203A (zh) * | 2018-12-26 | 2019-03-08 | 江苏亨通问天量子信息研究院有限公司 | 智能锁的控制方法、装置、***和智能锁 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107911211B (zh) | 2020-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107172008B (zh) | 一种在移动设备中进行多***认证及同步的***和方法 | |
| CN104994114B (zh) | 一种基于电子身份证的身份认证***和方法 | |
| CN106161032B (zh) | 一种身份认证的方法及装置 | |
| CN108270571A (zh) | 基于区块链的物联网身份认证***及其方法 | |
| CN104321777B (zh) | 生成公共标识以验证携带识别对象的个人的方法 | |
| CN101945114B (zh) | 基于fuzzy vault和数字证书的身份认证方法 | |
| CN107925581A (zh) | 1:n生物体认证、加密、署名*** | |
| CN108768653A (zh) | 基于量子密钥卡的身份认证*** | |
| CN107911211A (zh) | 基于量子通信网络的二维码认证*** | |
| CN108566273A (zh) | 基于量子网络的身份认证*** | |
| JP2009510644A (ja) | 安全な認証のための方法及び構成 | |
| CN110247881A (zh) | 基于可穿戴设备的身份认证方法及*** | |
| CN105868975B (zh) | 电子金融账户的管理方法、管理***和移动终端 | |
| CN107592308A (zh) | 一种面向移动支付场景的双服务器多因子认证方法 | |
| WO2014141263A1 (en) | Asymmetric otp authentication system | |
| CN106850201A (zh) | 智能终端多因子认证方法、智能终端、认证服务器及*** | |
| CN113971274B (zh) | 一种身份识别方法及装置 | |
| CN109889669A (zh) | 一种基于安全加密算法的手机开锁方法及*** | |
| US20130179944A1 (en) | Personal area network (PAN) ID-authenticating systems, apparatus, method | |
| CN110020524A (zh) | 一种基于智能卡的双向认证方法 | |
| CN104935441A (zh) | 一种认证方法及相关装置、*** | |
| CN110505055A (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和*** | |
| CN108964897A (zh) | 基于群组通信的身份认证***和方法 | |
| CN109379176A (zh) | 一种抗口令泄露的认证与密钥协商方法 | |
| CN108964896A (zh) | 一种基于群组密钥池的Kerberos身份认证***和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |