CN108768653A - 基于量子密钥卡的身份认证*** - Google Patents
基于量子密钥卡的身份认证*** Download PDFInfo
- Publication number
- CN108768653A CN108768653A CN201810171934.XA CN201810171934A CN108768653A CN 108768653 A CN108768653 A CN 108768653A CN 201810171934 A CN201810171934 A CN 201810171934A CN 108768653 A CN108768653 A CN 108768653A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- quantum
- key
- random number
- network service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于量子密钥卡的身份认证***,包括用户端A,用户端B以及量子网络服务站,其中用户端A向量子网络服务站申请TGT(A)以及经由用户端B获得TGT(B);用户端A再依据TGT(A)以及TGT(B)向量子网络服务站申请相应的Ticket,并利用获得的Ticket访问用户端B。各用户端分别配置有量子密钥卡,量子密钥卡与量子网络服务站之间存储有相应的量子密钥;用户端A与量子网络服务站之间,以及两用户端之间通信时利用所配置的量子密钥卡进行身份认证。本发明使用量子真随机数代替现有技术的时间戳,解决了出现重放攻击的可能。量子密钥卡是独立的硬件设备,被窃取密钥的可能性大大降低。而且密钥可以经常改变,安全性大大提高。
Description
技术领域
本发明涉及量子通信技术领域,尤其涉及基于量子密钥卡的身份认证***。
背景技术
身份认证是实现信息安全的基本技术,***通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限,同样也可以进行***与***间的身份认证。
当前通信网络中身份认证***普遍采用Kerberos认证方案。Kerberos是一种网络认证协议,其设计目标是通过密钥***为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作***的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改和***数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
在Kerberos认证方案中,引入了时间戳timestamp来对重放攻击进行遏止,但是票据有生命周期,在其生命周期的有效时间内仍然可以使用。如果收到消息的时间是在规定允许的范围之内,那么就认为该消息具有新鲜性。但是,在得到许可证后的攻击者可以发送伪造的消息,这样的话,在允许的时间内是很难发现的。
攻击者有可能对加密设备进行攻击,或者利用恶意软件进行攻击,所以很多研究者把对Kerberos的改进放在对硬件设备的改进上。目前,适合在Kerberos***的用户端使用的可信任硬件设备是智能卡。把智能卡集成到Kerberos***中去,取得了很好的效果。
现有技术存在的问题:
(1)现有身份认证技术基于Kerberos认证方案对时间戳的使用导致有出现重放攻击的可能。
(2)Kerberos协议要求是基于网络中时钟同步,对整个***时间同步要求高,在大型分布式***中难以实现。
(3)现有技术中,用户端密钥存储于用户端存储器中,可以被恶意软件或恶意操作窃取。
(4)现有技术中,用户端的长期密钥是不变的,安全性不够高。
发明内容
本发明基于Kerberos认证方式,提供一种具有更好安全性的身份认证***。
一种基于量子密钥卡的身份认证***,包括用户端A,用户端B以及量子网络服务站,其中用户端A向量子网络服务站申请TGT(A)以及经由用户端B获得TGT(B);用户端A再依据TGT(A)以及TGT(B)向量子网络服务站申请相应的Ticket,并利用获得的Ticket访问用户端B;
各用户端分别配置有量子密钥卡,量子密钥卡与量子网络服务站之间存储有相应的量子密钥;用户端A与量子网络服务站之间,以及两用户端之间通信时利用所配置的量子密钥卡进行身份认证。
本发明中提及的TGT(A)以及TGT(B),其角标仅为了便于叙述并区分获得渠道不同,并不对TGT的本身含义进行限定。
本发明中量子网络服务站作为可信的第三方,向用户端A提供票据Ticket,在用户端A向量子网络服务站申请TGT(A)以及票据的过程中,以及用户端B对用户端A的认证过程中,都涉及身份认证数据的使用。
用户端A与量子网络服务站通信时,可以利用量子密钥卡存储的量子密钥直接或间接的作用身份认证数据的一部分,而量子网络服务站存储有相同的量子密钥,因此方便进行对比认证。
用户端A与用户端B通信时,可以利用双方预先协商的量子密钥直接或间接的作用身份认证数据的一部分,量子密钥可以来自其中一者的量子密钥卡,而另一者经由量子网络服务站可以获得相同的量子密钥,以便于进行对比认证。
本发明由于是基于量子密钥卡且各用户端分别配置有量子密钥卡,因此所提及的随机数在没有特殊说明的前提下,应理解为量子随机数,即真随机数。提及的密钥在没有特殊说明的前提下,应理解为量子密钥。
所述量子网络服务站包括身份认证服务器和票据许可服务器,所述用户端A向身份认证服务器申请TGT(A),再依据该TGT(A)连同经由用户端B获得TGT(B)向票据许可服务器申请Ticket;
用户端A利用匹配的量子密钥卡与身份认证服务器和票据许可服务器分别进行身份认证,进行身份认证时,用户端A所发送的身份认证数据中包含有通过量子密钥卡生成的随机数,量子网络服务站生成相应的随机数供身份认证服务器和票据许可服务器分别进行对比认证。
用户端A向身份认证服务器申请TGT(A)时,发送的请求中包括用户端A的身份认证数据A1以及票据许可服务器的身份信息,身份认证服务器针对身份认证数据A1进行认证,且在认证通过后回复与票据许可服务器相应的TGT(A);
所述身份认证数据A1中包括用户端A的身份信息Ainfo和随机数N1,该随机数N1的生成方式为:
用户端A匹配的量子密钥卡生成随机数R1,利用该根据真随机数R1以及密钥生成算法对量子密钥卡内作为密钥种子的量子密钥进行给运算得到真随机数N1;
用户端A还将随机数R1以及密钥生成算法ID和密钥种子ID传递给量子网络服务站,以供身份认证服务器生成相应的真随机数N1’进行认证对比。
真随机数N1’可以在身份认证服务器中生成或在量子网络服务站内的其他服务器中生成并通过站内传输,发送至身份认证服务器。
用户端A向身份认证服务器发送身份认证数据A1时以密文方式,加密过程也在用户端A匹配的量子密钥卡中进行,加密身份认证数据A1采用的密钥KA与随机数R1的生成方式同理,以便于量子网络服务站内生成或调取相同的密钥KA’进行解密。
身份认证服务器通过身份认证数据A1认证后,向用户端A发送包含有所述TGT(A)的回复,所述TGT(A)采用站内密钥KQ加密,以供票据许可服务器解密;
包含有所述TGT(A)的回复中,还有包含密钥KQ-A,用于用户端A与票据许可服务器之间的加密通信。
量子网络服务站可以通过站内的真随机数发生器生成密钥KQ和与用户端A的登录会话密钥KQ-A。
密钥KQ加密的TGT(A),在用户端A中并不解密,而是在后续的流程中直接发送给票据许可服务器,在票据许可服务器中解密读取相应的数据内容。
TGT(A)中包括KQ-A,用户端A的身份信息Ainfo和TGT到期时间endtimeA。
用户端A经由用户端B获得TGT(B)时,用户端A向用户端B发出获取用户端B的TGT(B)的请求。
如果用户端B有TGT(B),则用户端B直接发送给用户端A;
如果用户端B没有TGT(B),则用户端B从量子网络服务站的身份认证服务器处获取TGT(B),再转发至用户端A。
用户端B从量子网络服务站的身份认证服务器处获取TGT(B)的方式,与用户端A从量子网络服务站的身份认证服务器处获取TGT(A)的方式同理。
所述TGT(B)采用密钥KQ加密,在用户端A中并不解密,而是在后续的流程中直接发送给票据许可服务器,在票据许可服务器中解密读取相应的数据内容。
所述TGT(B)包含密钥KQ-B,用户端B的身份信息Binfo和TGT(B)到期时间endtimeB。
密钥KQ-B为用户端B与量子网络服务站之间用于加密通信的量子密钥。
用户端A依据TGT(A)以及TGT(B)向向票据许可服务器申请Ticket时,发送的请求中包括KQ加密的TGT(A)、KQ加密的TGT(B)、密钥KQ-A加密的用户端A的身份认证数据A2以及用户端B的身份信息Binfo,票据许可服务器针对身份认证数据A2进行认证,且在认证通过后向用户端A发送包含有所述Ticket的回复;
身份认证数据A2与身份认证数据A1同理,包括用户端A的身份信息Ainfo和真随机数N2,该真随机数N2的生成方式为:
用户端A匹配的量子密钥卡生成随机数R2,利用该根据真随机数R2以及密钥生成算法对量子密钥卡内作为密钥种子的量子密钥进行给运算得到真随机数N2;
用户端A还将随机数R2以及密钥生成算法ID和密钥种子ID传递给量子网络服务站,以供票据许可服务器生成相应的真随机数N2’进行认证对比。
真随机数N2’可以在票据许可服务器中生成或在量子网络服务站内的其他服务器中生成并通过站内传输,发送至票据许可服务器。
包含有所述Ticket的回复中,还有包含密钥KA-B,用于用户端A与用户端B之间的加密通信;密钥KA-B采用密文方式,通过密钥KQ-A加密。
所述Ticket采用密文方式,通过量子网络服务站内的密钥KQ-B加密,在用户端B匹配的量子密钥卡中用于与密钥KQ-B相同的密钥KQ-B。
关于密钥KQ-B,用户端B与量子网络服务站内之间可通过预先协商的方式相应获得,也可视为上一次密钥同步后的结果,即预先指定下一次使用的密钥。
密钥KQ-B加密的Ticket,在用户端A中并不解密,而是在后续的流程中直接发送给用户端B,在用户端B中解密读取相应的数据内容。
Ticket中包括密钥KA-B,用户端A的身份信息Ainfo和Ticket到期时间endtime。
用户端A利用Ticket访问用户端B进行身份认证时,用户端A所发送的身份认证数据中包含有真随机数,该真随机数来自于量子网络服务站,且与用户端B的量子密钥卡所生成的随机数相同,用户端B通过该随机数对用户端A进行认证。
用户端A利用Ticket访问用户端B时,发送的请求中包括密钥KQ-B加密的Ticket,密钥KA-B加密的用户端A的身份认证数据A3,用户端B针对身份认证数据A3进行认证,且在认证通过后向用户端A提供请求访问的资源。
身份认证数据A3包括用户端A的身份信息Ainfo和真随机数N3’,该真随机数N3’的生成方式为:
用户端B匹配的量子密钥卡生成真随机数N3,并将生成方式通知量子网络服务站,量子网络服务站生成对应的真随机数N3’,并将真随机数N3’发送给用户端A。
量子网络服务站发送真随机数N3’时采用密文方式,加解密时,可以利用量子网络服务站与用户端A的量子密钥卡之间相应的量子密钥,或利用密钥KA-B等方式。
用户端B利用密钥KQ-B解密Ticket得到KA-B,再通过KA-B解密身份认证数据A3得到真随机数N3’,利用真随机数N3比对真随机数N3’进行验证,验证成功,则让用户端A访问需要访问的资源,否则拒绝。
用户端A利用Ticket访问用户端B时,发送的请求中还包括是否需要双向验证的标识,如需要双向验证,则用户端B提取身份认证数据A3中的真随机数N3’,使用KA-B加密发送给用户端A,用于用户端A验证用户端B的身份。
用户端在进行身份认证时,作为密钥种子的量子密钥长期使用或重复使用会有被破解的可能性,为提高本身份认证***的安全性,密钥种子需要定时更新。
用户端与匹配的量子密钥卡建立通信连接后,用户端通过上层应用程序向量子密钥卡发送更新申请,该更新申请同时也发送至量子网络服务站;
密钥存储卡接收更新申请后,按预先设定的规则更新密钥种子;
量子网络服务站接收更新申请后,按预先与量子密钥卡协商一致的规则更新量子网络服务站内相应存储的密钥种子。
本发明中,可选的情况是,用户端A与用户端B两者匹配的量子密钥卡归属于同一量子网络服务站。即均与该量子网络服务站存储有相应的量子密钥,也可视为在局域网环境下。
若在广域网环境下,用户端A与用户端B两者匹配的量子密钥卡归属于不同的量子网络服务站;
用户端A利用Ticket访问用户端B进行身份认证时,用户端A所发送的身份认证数据中包含有真随机数,该真随机数依次经由用户端B匹配的量子密钥卡所归属的量子网络服务站,以及用户端A匹配的量子密钥卡所归属的量子网络服务站发送给用户端A;且与用户端B的量子密钥卡所生成的随机数相同,用户端B通过该随机数对用户端A进行认证。
具体而言,用户端A与用户端B之间认证时,涉及的真随机数N3’,依次经由用户端B匹配的量子密钥卡所归属的量子网络服务站,以及用户端A匹配的量子密钥卡所归属的量子网络服务站发送给用户端A。
两量子网络服务站之间可直接或间接的利用站间量子密钥以密文方式传输真随机数N3’。
本发明使用量子真随机数代替现有技术的时间戳,解决了出现重放攻击的可能。不再使用时间戳也使***对***时间同步没有要求。本发明使用量子密钥卡存储用户端密钥而不是用户端存储器,量子密钥卡是独立的硬件设备,被恶意软件或恶意操作窃取密钥的可能性大大降低。而且密钥可以经常改变,安全性大大提高。
附图说明
图1为本发明身份认证***结构图。
图2为局域网内身份认证流程图。
图3为广域网内身份认证流程图。
图4为本发明实施身份认证的详细步骤示意图。
具体实施方式
如图1所示,本发明身份认证***可以包括多个量子网络服务站,不同量子网络服务站之间可以通过QKD方式共享站间量子密钥。
量子网络服务站包括:
量子服务中心,主要用于通过经典网络与用户侧的各用户端通信连接以及与其他量子网络服务站通信连接;经典网络包括但不限于电信网、互联网、广播电视网或者其他通信网络等。
量子密钥分发设备,主要用于通过QKD方式实现站间量子密钥的共享。
真随机数发生器,用于接收用户侧密钥管理服务器提出的申请用户侧密钥的请求,生成用户侧密钥,并发送给用户侧密钥管理服务器;此处采用的为真随机数发生器。其优选为量子真随机数发生器,也可以为基于电路的真随机数发生器、基于物理源的真随机数发生器以及其他种类的真随机发生器。
用户侧密钥管理服务器,存放、管理从真随机数发生器生成的用户侧密钥,可以接入可移动式的量子密钥卡,实现发卡、登记、拷贝用户侧密钥,还可以接收量子服务中心提出的申请用户侧密钥请求,发送相应长度的用户侧密钥给量子服务中心。量子密钥卡的详细内容也可参见申请号为“201610846210.6”的专利申请文献。
其中量子服务中心包括:身份认证服务器,票据许可服务器,还可根据需要设置其他服务器,例如数字签名服务器、签名验证服务器、加解密服务器等。
身份认证服务器用于实现用户在接受消息认证、数字签名等服务前与量子网络服务站的相互身份认证。身份认证服务器内部具有采用PCI总线接口的加密卡,用于存储身份认证协议,包括密钥生成算法、认证函数、加密传输协议。
票据许可服务器用于实现用户在获得与量子网络服务站的相互身份认证后,为用户分发其访问某一用户的申请的许可。
各量子网络服务站下配置有用户端,例如图中的用户端1~用户端n,本说明书中不同的服务器或其他装置在硬件上也可以根据需要进行整合。
用户端为接入量子网络服务站的设备,可为移动终端,或为固定终端。当为移动终端时,量子密钥卡优选为量子SD卡;当为固定终端时,量子密钥卡优选为USBkey或主机加密板卡。
当客户前往所在区域的量子网络服务站进行注册登记,获批后得到量子密钥卡(具有唯一的量子密钥卡ID)。量子密钥卡存储了客户注册登记信息,还内置有身份认证协议,至少包括密钥生成算法以及认证函数,或其他与身份认证相关的算法。
网络侧的各个量子网络服务站也相应的存有认证协议,若协议中各算法存在两种以上,量子密钥卡在与量子网络服务站通信时会将算法标号发送给量子网络服务站,供量子网络服务站选取。
量子密钥卡中的用户侧密钥可能下载自不同的量子网络服务站,因此可按不同来源存在不同的密钥种子集中,用户端可按预先设定的规则取用密钥种子以生成密钥。不同的密钥种子集具有唯一的密钥种子ID,其指向的量子网络服务站中存储有相应的密钥种子。
量子密钥卡从智能卡技术上发展而来,是结合了量子物理学技术、密码学技术、硬件安全隔离技术的身份认证产品。量子密钥卡的内嵌芯片和芯片操作***可以提供私钥的安全存储和密码算法等功能。由于其具有独立的数据处理能力和良好的安全性,量子密钥卡成为量子真随机数私钥的安全载体。每一个量子密钥卡都有硬件PIN码保护,PIN码和硬件构成了用户使用量子密钥卡的两个必要因素。即所谓“双因子认证”,用户只有同时取得保存了相关认证信息的量子密钥卡和用户PIN码,才可以登录***。即使用户的PIN码被泄露,只要用户持有的量子密钥卡不被盗取,合法用户的身份就不会被仿冒;如果用户的量子密钥卡遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。
实施例1,局域网内同属于一个量子网络服务站的两个用户端身份认证
以下步骤中,在各用户端侧涉及的加解、密操作,都在所匹配的量子密钥卡中进行。身份认证服务器和票据许可服务器涉及的加、解密操作,是在量子网络服务站的加解密服务器中完成。
如图2所示,当用户端A、用户端B都同属于一个量子网络服务站时,身份认证过程中所涉及的量子密钥卡在该本地量子网络服务站注册颁发。具体步骤参见图4,图中,大括号内表示被加密的部分,后面紧跟的内容表示使用的密钥,如{Ainfo+N1}KA表示使用KA加密Ainfo+N1。
具体步骤文字描述如下:
第一步:用户端A向量子网络服务站申请许可票据TGT(A)。
a.用户侧身份认证密钥生成:用户端A匹配的量子密钥卡根据所存储的密钥种子SA以及卡内随机数发生器所产生的随机数R1结合密钥生成算法AS得到密钥KA(以下简称KA,其它同理省去汉字部分作为简称)和真随机数N1。并将随机数R1以及密钥生成算法ID和密钥种子ID传递给量子网络服务站;并通知量子网络服务站进行密钥同步。
网络侧身份认证密钥生成:量子网络服务站响应于来自用户端A的通知,根据密钥生成算法ID和密钥种子ID,在当前量子网络服务站内找出对应的密钥种子SA’和密钥生成算法AS’,结合随机数R1运算得到与密钥KA相同的密钥KA’,以及和N1相同的真随机数N1’。
b.用户端A发送身份认证服务请求:用户端A向量子网络服务站量子网络服务站的身份认证服务器发送身份认证服务请求,请求内容包括:
①用KA加密的用户端A的身份信息Ainfo和N1作为预身份认证数据;
②量子网络服务站中票据许可服务器的身份信息TGSinfo。
c.量子网络服务站与用户端A进行身份认证:量子网络服务站用与KA相同的KA’对请求消息解密,得到预身份认证数据中的真随机数N1,与N1’进行比对,完成量子网络服务站与用户端A之间的身份认证。
d.量子网络服务站生成密钥:量子网络服务站通过真随机数发生器生成密钥KQ和与用户端A的登录会话密钥KQ-A。
e.量子网络服务站发送身份认证服务回复:量子网络服务站与用户端A之间的身份认证完成后,量子网络服务站向用户端A发送一份身份认证服务回复,回复内容包括:
①用KA’加密的KQ-A;
②用KQ加密的许可票据TGT(A);
TGT(A)包括KQ-A,用户端A的身份信息Ainfo和TGT(A)到期时间endtimeA。到期时间可以是最大时间段,也可以是最大使用次数,或者两者结合并取先达到的一个。
f.用户端A获取回复:用户端A收到身份认证服务回复后,即得到TGT(A),还使用与KA’相同的KA解密第一部分,得到KQ-A。
第二步:用户端A向用户端B申请获得用户端B的TGT(B)。
用户端A向用户端B发出获取用户端B的TGT(B)的请求,如果用户端B有TGT(B),则直接发送给用户端A,若没有,则用户端B通过与第一步相同原理的步骤从量子网络服务站的身份认证服务器处获取。
TGT(B)由KQ加密,包含的内容为KQ-B,用户端B的身份信息Binfo和TGT(B)到期时间endtimeB。
第三步:用户端A通过TGT(A)以及TGT(B)向量子网络服务站申请用于访问用户端B的票据Ticket。
a.身份认证密钥生成:用户端A匹配的量子密钥卡生成真随机数N2。量子网络服务站根据生成对应的真随机数N2’。
真随机数N2,N2’用于双方实施认证,可以是预先生成,例如上一次通信结束后即预先生成下一次通信时用以实施认证的真随机数。也可视为上一次密钥同步后的产生结果。
真随机数N2,N2’的生成方式以及时机也可采用类似于真随机数N1和N1’的方式。
用户侧身份认证密钥生成:用户端B匹配的量子密钥卡根据所存储的密钥种子SB以及卡内随机数发生器所产生的随机数R2结合密钥生成算法BS得到密钥KB。并将随机数R2以及密钥生成算法ID和密钥种子ID传递给量子网络服务站。
网络侧身份认证密钥生成:量子网络服务站根据密钥生成算法ID和密钥种子ID,在当前量子网络服务站内找出对应的密钥种子SB’和密钥生成算法BS’,结合随机数R2运算得到密钥KB’。
b.用户端A发送票据许可服务请求:用户端A向量子网络服务站中的票据许可服务器发送票据许可请求,请求内容包括:
①用KQ加密的TGT(A);
②用KQ加密的TGT(B);
③用KQ-A加密的用户端A的身份信息Ainfo和N2作为身份认证数据;
④用户端A想要访问的用户端B的身份信息Binfo。
c.票据许可服务器对用户端A进行身份认证:量子网络服务站中的票据许可服务器通过KQ解密TGT(A)得到KQ-A,再通过KQ-A解密身份认证数据得到N2,与N2’进行比对,完成身份认证。再用KQ解密的TGT(B)得到KQ-B,用KQ-B加密Ticket。
由于身份认证服务器与票据许可服务器同处在一量子网络服务站,因此两者可共享KQ。
d.量子网络服务站生成密钥:量子网络服务站通过真随机数发生器生成用户端A与用户端B的会话密钥KA-B。
e.量子网络服务站发送票据许可服务回复:验证通过后量子网络服务站向用户端A发送票据许可服务回复,回复内容包括:
①用KQ-A加密的KA-B;
②用KQ-B加密的Ticket;
Ticket包括KA-B,用户端A的身份信息Ainfo和Ticket到期时间endtime。
用户端B匹配的量子密钥卡中存储有密钥KQ-B,因此量子网络服务站根据用户端B匹配的量子密钥卡的ID在站内使用相同的密钥KQ-B来加密KA-B,以供用户端B解密后使用。
f.用户端A获取回复:用户端A收到票据许可服务回复后即得到Ticket,并使用KQ-A解密第一部分,得到KA-B。
第四步:用户端A向用户端B提供Ticket完成身份认证。
a.身份认证密钥生成:用户端B匹配的量子密钥卡生成真随机数N3。并将生成方式通知量子网络服务站,量子网络服务站生成对应的真随机数N3’。使用KA-B加密发送给用户端A。用户端A解密得到N3’。
真随机数N3以及N3’为了在用户端A和用户端B之间实施认证,用户端A获得N3’的方式也可以是基于用户端A和用户端B上一次通信后的预同步。
b.用户端A发起会话请求:用户端A向用户端B发起会话请求,请求内容包括:
①用KQ-B加密的Ticket;
②用KA-B加密的用户端A的身份信息Ainfo和N3’作为身份认证数据;
③Flag(用于表示是否需要双向验证)。
c.用户端B对用户端A进行身份认证:用户端B通过KQ-B解密Ticket得到KA-B,再通过KA-B解密身份认证数据得到N3’,与N3进行比对,完成身份认证。如果验证成功,则让用户端A访问需要访问的资源,否则直接拒绝对方的请求。
d.如果需要双向验证,用户端B提取身份认证数据中的N3’,使用KA-B加密,并将其发送给用户端A用于用户端A验证用户端B的身份。
客户在进行身份认证时,密钥种子长期使用或重复使用会有被破解的可能性,为提高本身份认证***的安全性,密钥种子需要定时更新。
本实施例中的更新方式为:
用户端与匹配的量子密钥卡建立通信连接后,用户端通过上层应用程序向量子密钥卡发送更新申请,该更新申请同时也发送至量子网络服务站。
密钥存储卡接收更新申请后,按预先设定的规则更新密钥种子,例如将一部分使用过的密钥种子做失效标识,不再使用,而启用新的密钥种子。
量子网络服务站接收更新申请后,按预先与量子密钥卡协商一致的规则更新量子网络服务站内相应存储的密钥种子,实现与量子密钥卡的时时对应。本发明中各实施例的密钥种子的更新方法均采用上述方法。
实施例2,广域网内的两个用户端的身份认证
如图3所示,当用户端A、用户端B不属于同一个量子网络服务站时,身份认证过程中所涉及的量子密钥卡分别在该用户端所属的量子网络服务站注册颁发。本实施例中的***架构区别于实施例1之处为应用在广域网中,一级交换中心是一个地级市或相当大小区域的量子网络核心站,二级交换中心是一个县级市或相当大小区域的量子网络核心站,量子网络服务站是一个乡镇或街道办事处相当大小区域的量子通信接入站点。
一级交换中心和下属的多个二级交换中心以星型网络结构相连,二级交换中心可以和多个下属的量子网络服务站以星型网络结构相连。
由于需要站间通信,因此各交换中心以及量子网络服务站分别设有量子密钥分发设备,可通过QKD方式实现站间密钥的共享。本实施例中量子网络服务站的其他设备以及关于量子密钥卡的描述可参见实施例1。
例如一级交换中心和下属的二级交换中心分别利用量子密钥分发设备实现站间量子密钥的共享,二级交换中心和下属的的量子网络服务站分别利用量子密钥分发设备实现站间量子密钥的共享,量子密钥分发设备可以是一套也可以是至少两套集成。
两个一级交换中心之间由于距离较远,可采用量子中继站的方式实现站间量子密钥共享。
本实施例中,用户端A与用户端B要进行身份认证,用户端A归属于量子网络服务站A,即相对于用户端A而言,其当前量子网络服务站为与用户端A通信连接的量子网络服务站A;同理用户端B归属于量子网络服务站B。本实施例区别于实施例1的具体部分为第三步中真随机数N3的获取与传输方式。
具体步骤参见图4,文字描述如下:
第一步:用户端A向量子网络服务站申请许可票据TGT。
a.用户侧身份认证密钥生成:用户端A匹配的量子密钥卡根据所存储的密钥种子SA以及卡内随机数发生器所产生的随机数R1结合密钥生成算法AS得到密钥KA和真随机数N1。并将随机数R1以及密钥生成算法ID和密钥种子ID传递给量子网络服务站;并通知量子网络服务站进行密钥同步。
网络侧身份认证密钥生成:量子网络服务站响应于来自用户端A的通知,根据密钥生成算法ID和密钥种子ID,在当前量子网络服务站内找出对应的密钥种子SA’和密钥生成算法AS’,结合随机数R1运算得到与密钥KA相同的密钥KA’,以及和N1相同的真随机数N1’。
b.用户端A发送身份认证服务请求:用户端A向量子网络服务站量子网络服务站的身份认证服务器发送身份认证服务请求,请求内容包括:
①用KA加密的用户端A的身份信息Ainfo和N1作为预身份认证数据;
②量子网络服务站中票据许可服务器的身份信息TGSinfo。
c.量子网络服务站与用户端A进行身份认证:量子网络服务站用与KA相同的KA’对请求消息解密,得到预身份认证数据中的真随机数N1,与N1’进行比对,完成量子网络服务站与用户端A之间的身份认证。
d.量子网络服务站生成密钥:量子网络服务站通过真随机数发生器生成密钥KQ和与用户端A的登录会话密钥KQ-A。
e.量子网络服务站发送身份认证服务回复:量子网络服务站与用户端A之间的身份认证完成后,量子网络服务站向用户端A发送一份身份认证服务回复,回复内容包括:
①用KA’加密的KQ-A;
②用KQ加密的许可票据TGT(A);
TGT(A)包括KQ-A,用户端A的身份信息Ainfo和TGT(A)到期时间endtimeA。TGT可用于申请获取访问该量子服务站的票据许可服务器能够提供的某一用户端的Ticket。
f.用户端A获取回复:用户端A收到身份认证服务回复后,即得到TGT(A),还使用KA解密第一部分,得到KQ-A。
第二步:用户端A向用户端B申请获得用户端B的TGT(B)。
用户端A向用户端B发出获取用户端B的TGT(B)的请求,如果B有TGT(B),则直接发送给用户端A,若没有,则用户端B通过与第一步相同原理的步骤从量子网络服务站的身份认证服务器处获取。TGT(B)由KQ加密,包含的内容为KQ-B,用户端B的身份信息Binfo和TGT(B)到期时间endtimeB。
第三步:用户端A通过TGT(A)以及TGT(B)向量子网络服务站申请用于访问用户端B的票据Ticket。
a.身份认证密钥生成:用户端A匹配的量子密钥卡生成真随机数N2。量子网络服务站根据生成对应的真随机数N2’。
用户侧身份认证密钥生成:用户端B匹配的量子密钥卡根据所存储的密钥种子SB以及卡内随机数发生器所产生的随机数R2结合密钥生成算法BS得到密钥KB。并将随机数R2以及密钥生成算法ID和密钥种子ID传递给量子网络服务站。
网络侧身份认证密钥生成:量子网络服务站根据密钥生成算法ID和密钥种子ID,在当前量子网络服务站内找出对应的密钥种子SB’和密钥生成算法BS’,结合随机数R2运算得到密钥KB’。
b.用户端A发送票据许可服务请求:用户端A向量子网络服务站中的票据许可服务器发送票据许可请求,请求内容包括:
①用KQ加密的TGT(A);
②用KQ加密的TGT(B);
③用KQ-A加密的用户端A的身份信息Ainfo和N2作为身份认证数据;
④用户端A想要访问的用户端B的身份信息Binfo。
c.票据许可服务器对用户端A进行身份认证:量子网络服务站中的票据许可服务器通过KQ解密TGT(A)得到KQ-A,再通过KQ-A解密身份认证数据得到N2,与N2’进行比对,完成身份认证。再用KQ解密的TGT(B)得到KQ-B,用KQ-B加密Ticket。
d.量子网络服务站生成密钥:量子网络服务站通过真随机数发生器生成用户端A与用户端B的会话密钥KA-B。
e.量子网络服务站发送票据许可服务回复:验证通过后量子网络服务站向用户端A发送票据许可服务回复,回复内容包括:
①用KQ-A加密的KA-B;
②用KQ-B加密的Ticket;
Ticket包括KA-B,用户端A的身份信息Ainfo和Ticket到期时间endtime。
f.用户端A获取回复:用户端A收到票据许可服务回复后即得到Ticket,并使用KQ-A解密第一部分,得到KA-B和Ticket。
第四步:用户端A向用户端B提供Ticket完成身份认证。
a.身份认证密钥生成:用户端B匹配的量子密钥卡生成真随机数N3。量子网络服务站生成对应的真随机数N3’。
用户端A所属的量子网络服务站与用户端B所属的量子网络服务站利用各自的量子密钥分发设备实现站间量子密钥的共享,使得明文形式的真随机数N3’在用户端B所属的量子网络服务站加密后发送至用户端A所属的量子网络服务站,再经解密恢复出明文形式的N3’。
用户端A所属的量子网络服务站与用户端B所属的量子网络服务站之间如果还要通过其他网络节点中转,则直接通信连接的两量子网络服务站(或网络节点)之间通过相应的量子密钥分发设备形成的站间量子密钥,并依次中转传送密文。
站间量子密钥的分发是利用量子力学基本原理实现的异地密钥共享的方式,优选的为BB48协议。
用户端A所属的量子网络服务站A接收并解密得到N3’后使用KA-B加密发送给用户端A。用户端A解密得到N3’。
b.用户端A发起会话请求:用户端A向用户端B发起会话请求,请求内容包括:
①用KQ-B加密的Ticket;
②用KA-B加密的用户端A的身份信息和N3’作为身份认证数据;
③Flag(用于表示是否需要双向验证)。
c.用户端B对用户端A进行身份认证:用户端B通过KQ-B解密Ticket得到KA-B,再通过KA-B解密身份认证数据得到N3’,与N3进行比对,完成身份认证。如果验证成功,则让用户端A访问需要访问的资源,否则直接拒绝对方的请求。
d.如果需要双向验证,用户端B提取身份认证数据中的N3’,使用KA-B加密,并将其发送给用户端A用于用户端A验证用户端B的身份。
现有身份认证技术基于Kerberos认证方案对时间戳的使用导致有出现重放攻击的可能,并且整个Kerberos协议要求是基于网络中时钟同步,对整个***时间同步要求高,在大型分布式***中难以实现。本专利使用量子真随机数代替原方案的时间戳,解决了出现重放攻击的可能。不再使用时间戳也使***对***时间同步没有要求。本专利使用量子密钥卡存储用户端密钥而不是用户端存储器,量子密钥卡是独立的硬件设备,被恶意软件或恶意操作窃取密钥的可能性大大降低。本专利中用户端的长期密钥是经常改变的,与现有技术中用户端长期密钥不变相比安全性大大提高。
以上公开的仅为本发明的实施例,但是本发明并非局限于此,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。显然这些改动和变型均应属于本发明要求的保护范围保护内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对本发明构成任何特殊限制。
Claims (10)
1.一种基于量子密钥卡的身份认证***,其特征在于,包括用户端A,用户端B以及量子网络服务站,其中用户端A向量子网络服务站申请TGT(A)以及经由用户端B获得TGT(B);
用户端A再依据TGT(A)以及TGT(B)向量子网络服务站申请相应的Ticket,并利用获得的Ticket访问用户端B;
各用户端分别配置有量子密钥卡,量子密钥卡与量子网络服务站之间存储有相应的量子密钥;用户端A与量子网络服务站之间,以及两用户端之间通信时利用所配置的量子密钥卡进行身份认证。
2.如权利要求1所述的基于量子密钥卡的身份认证***,其特征在于,所述量子网络服务站包括身份认证服务器和票据许可服务器,所述用户端A向身份认证服务器申请TGT(A),再依据该TGT(A)连同经由用户端B获得TGT(B)向票据许可服务器申请Ticket;
用户端A利用匹配的量子密钥卡与身份认证服务器和票据许可服务器分别进行身份认证,进行身份认证时,用户端A所发送的身份认证数据中包含有通过量子密钥卡生成的随机数,量子网络服务站生成相应的随机数供身份认证服务器和票据许可服务器分别进行对比认证。
3.如权利要求2所述的基于量子密钥卡的身份认证***,其特征在于,用户端A向身份认证服务器申请TGT(A)时,发送的请求中包括用户端A的身份认证数据A1以及票据许可服务器的身份信息,身份认证服务器针对身份认证数据A1进行认证,且在认证通过后回复与票据许可服务器相应的TGT(A);
所述身份认证数据A1中包括用户端A的身份信息Ainfo和随机数N1,该随机数N1的生成方式为:
用户端A匹配的量子密钥卡生成随机数R1,利用该根据真随机数R1以及密钥生成算法对量子密钥卡内作为密钥种子的量子密钥进行给运算得到真随机数N1;
用户端A还将随机数R1以及密钥生成算法ID和密钥种子ID传递给量子网络服务站,以供身份认证服务器生成相应的真随机数N1’进行认证对比。
4.如权利要求3所述的基于量子密钥卡的身份认证***,其特征在于,身份认证服务器通过身份认证数据A1认证后,向用户端A发送包含有所述TGT(A)的回复,所述TGT(A)采用站内密钥KQ加密,以供票据许可服务器解密;
包含有所述TGT(A)的回复中,还有包含密钥KQ-A,用于用户端A与票据许可服务器之间的加密通信。
5.如权利要求4所述的基于量子密钥卡的身份认证***,其特征在于,用户端A依据TGT(A)以及TGT(B)向向票据许可服务器申请Ticket时,发送的请求中包括KQ加密的TGT(A)、KQ加密的TGT(B)、密钥KQ-A加密的用户端A的身份认证数据A2以及用户端B的身份信息Binfo,票据许可服务器针对身份认证数据A2进行认证,且在认证通过后向用户端A发送包含有所述Ticket的回复;
身份认证数据A2与身份认证数据A1同理,包括用户端A的身份信息Ainfo和真随机数N2,该真随机数N2的生成方式为:
用户端A匹配的量子密钥卡生成随机数R2,利用该根据真随机数R2以及密钥生成算法对量子密钥卡内作为密钥种子的量子密钥进行给运算得到真随机数N2;
用户端A还将随机数R2以及密钥生成算法ID和密钥种子ID传递给量子网络服务站,以供票据许可服务器生成相应的真随机数N2’进行认证对比。
6.如权利要求5所述的基于量子密钥卡的身份认证***,其特征在于,包含有所述Ticket的回复中,还有包含密钥KA-B,用于用户端A与用户端B之间的加密通信;密钥KA-B采用密文方式,通过密钥KQ-A加密。
7.如权利要求1所述的基于量子密钥卡的身份认证***,其特征在于,用户端A利用Ticket访问用户端B进行身份认证时,用户端A所发送的身份认证数据中包含有真随机数,该真随机数来自于量子网络服务站,且与用户端B的量子密钥卡所生成的随机数相同,用户端B通过该随机数对用户端A进行认证。
8.如权利要求6所述的基于量子密钥卡的身份认证***,其特征在于,用户端A利用Ticket访问用户端B时,发送的请求中包括密钥KQ-B加密的Ticket,密钥KA-B加密的用户端A的身份认证数据A3,用户端B针对身份认证数据A3进行认证,且在认证通过后向用户端A提供请求访问的资源;
身份认证数据A3包括用户端A的身份信息Ainfo和真随机数N3’,该真随机数N3’的生成方式为:
用户端B匹配的量子密钥卡生成真随机数N3,并将生成方式通知量子网络服务站,量子网络服务站生成对应的真随机数N3’,并将真随机数N3’发送给用户端A。
9.如权利要求8所述的基于量子密钥卡的身份认证***,其特征在于,用户端A利用Ticket访问用户端B时,发送的请求中还包括是否需要双向验证的标识,如需要双向验证,则用户端B提取身份认证数据A3中的真随机数N3’,使用KA-B加密发送给用户端A,用于用户端A验证用户端B的身份。
10.如权利要求1所述的基于量子密钥卡的身份认证***,其特征在于,用户端与匹配的量子密钥卡建立通信连接后,用户端通过上层应用程序向量子密钥卡发送更新申请,该更新申请同时也发送至量子网络服务站;
密钥存储卡接收更新申请后,按预先设定的规则更新密钥种子;
量子网络服务站接收更新申请后,按预先与量子密钥卡协商一致的规则更新量子网络服务站内相应存储的密钥种子。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810171934.XA CN108768653A (zh) | 2018-03-01 | 2018-03-01 | 基于量子密钥卡的身份认证*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810171934.XA CN108768653A (zh) | 2018-03-01 | 2018-03-01 | 基于量子密钥卡的身份认证*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108768653A true CN108768653A (zh) | 2018-11-06 |
Family
ID=63980120
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810171934.XA Pending CN108768653A (zh) | 2018-03-01 | 2018-03-01 | 基于量子密钥卡的身份认证*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108768653A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109495250A (zh) * | 2018-12-03 | 2019-03-19 | 如般量子科技有限公司 | 基于密钥卡的抗量子计算智能家庭通信方法 |
CN109714166A (zh) * | 2019-03-07 | 2019-05-03 | 山东鲁能软件技术有限公司 | 一种基于量子密钥的移动分发方法、***、终端及存储介质 |
CN110086627A (zh) * | 2019-04-22 | 2019-08-02 | 如般量子科技有限公司 | 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和*** |
CN110098925A (zh) * | 2019-04-22 | 2019-08-06 | 如般量子科技有限公司 | 基于非对称密钥池对和随机数的量子通信服务站密钥协商方法和*** |
CN110138547A (zh) * | 2019-04-22 | 2019-08-16 | 如般量子科技有限公司 | 基于非对称密钥池对和序列号的量子通信服务站密钥协商方法和*** |
CN110380859A (zh) * | 2019-05-30 | 2019-10-25 | 如般量子科技有限公司 | 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和*** |
CN110557246A (zh) * | 2019-07-16 | 2019-12-10 | 如般量子科技有限公司 | 基于一次性非对称密钥对和可移动身份识别装置的抗量子计算门禁方法和*** |
CN110932870A (zh) * | 2019-12-12 | 2020-03-27 | 南京如般量子科技有限公司 | 基于秘密共享和时间戳的量子通信服务站密钥协商***和方法 |
CN113950049A (zh) * | 2021-09-28 | 2022-01-18 | 天翼物联科技有限公司 | 基于sim卡的物联网量子安全方法、***、装置及介质 |
CN114666040A (zh) * | 2020-12-23 | 2022-06-24 | 科大国盾量子技术股份有限公司 | 基于量子密码网络的射频识别认证***及方法 |
CN114765542A (zh) * | 2020-12-31 | 2022-07-19 | 科大国盾量子技术股份有限公司 | 基于量子密钥卡的量子密码网络加密通信方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
US8984613B2 (en) * | 2003-10-28 | 2015-03-17 | Intel Corporation | Server pool Kerberos authentication scheme |
CN106411525A (zh) * | 2016-09-23 | 2017-02-15 | 浙江神州量子网络科技有限公司 | 消息认证方法和*** |
CN106452741A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 基于量子网络实现信息加解密传输的通信***和通信方法 |
-
2018
- 2018-03-01 CN CN201810171934.XA patent/CN108768653A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8984613B2 (en) * | 2003-10-28 | 2015-03-17 | Intel Corporation | Server pool Kerberos authentication scheme |
CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
CN106411525A (zh) * | 2016-09-23 | 2017-02-15 | 浙江神州量子网络科技有限公司 | 消息认证方法和*** |
CN106452741A (zh) * | 2016-09-23 | 2017-02-22 | 浙江神州量子网络科技有限公司 | 基于量子网络实现信息加解密传输的通信***和通信方法 |
Non-Patent Citations (2)
Title |
---|
M. SWIFT等: ""User to User Kerberos Authentication using GSS-API"", 《IETF》 * |
付歌等: "基于Kerberos认证***的一个改进的安全认证技术", 《计算机工程》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109495250A (zh) * | 2018-12-03 | 2019-03-19 | 如般量子科技有限公司 | 基于密钥卡的抗量子计算智能家庭通信方法 |
CN109495250B (zh) * | 2018-12-03 | 2021-08-10 | 如般量子科技有限公司 | 基于密钥卡的抗量子计算智能家庭通信方法及*** |
CN109714166A (zh) * | 2019-03-07 | 2019-05-03 | 山东鲁能软件技术有限公司 | 一种基于量子密钥的移动分发方法、***、终端及存储介质 |
CN110138547A (zh) * | 2019-04-22 | 2019-08-16 | 如般量子科技有限公司 | 基于非对称密钥池对和序列号的量子通信服务站密钥协商方法和*** |
CN110086627B (zh) * | 2019-04-22 | 2023-08-04 | 如般量子科技有限公司 | 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和*** |
CN110098925A (zh) * | 2019-04-22 | 2019-08-06 | 如般量子科技有限公司 | 基于非对称密钥池对和随机数的量子通信服务站密钥协商方法和*** |
CN110086627A (zh) * | 2019-04-22 | 2019-08-02 | 如般量子科技有限公司 | 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和*** |
CN110098925B (zh) * | 2019-04-22 | 2023-09-05 | 如般量子科技有限公司 | 基于非对称密钥池对和随机数的量子通信服务站密钥协商方法和*** |
CN110138547B (zh) * | 2019-04-22 | 2023-09-01 | 如般量子科技有限公司 | 基于非对称密钥池对和序列号的量子通信服务站密钥协商方法和*** |
CN110380859A (zh) * | 2019-05-30 | 2019-10-25 | 如般量子科技有限公司 | 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和*** |
CN110557246A (zh) * | 2019-07-16 | 2019-12-10 | 如般量子科技有限公司 | 基于一次性非对称密钥对和可移动身份识别装置的抗量子计算门禁方法和*** |
CN110932870A (zh) * | 2019-12-12 | 2020-03-27 | 南京如般量子科技有限公司 | 基于秘密共享和时间戳的量子通信服务站密钥协商***和方法 |
CN110932870B (zh) * | 2019-12-12 | 2023-03-31 | 南京如般量子科技有限公司 | 一种量子通信服务站密钥协商***和方法 |
CN114666040A (zh) * | 2020-12-23 | 2022-06-24 | 科大国盾量子技术股份有限公司 | 基于量子密码网络的射频识别认证***及方法 |
CN114666040B (zh) * | 2020-12-23 | 2024-01-26 | 科大国盾量子技术股份有限公司 | 基于量子密码网络的射频识别认证***及方法 |
CN114765542A (zh) * | 2020-12-31 | 2022-07-19 | 科大国盾量子技术股份有限公司 | 基于量子密钥卡的量子密码网络加密通信方法 |
CN113950049A (zh) * | 2021-09-28 | 2022-01-18 | 天翼物联科技有限公司 | 基于sim卡的物联网量子安全方法、***、装置及介质 |
CN113950049B (zh) * | 2021-09-28 | 2023-10-03 | 天翼物联科技有限公司 | 基于sim卡的物联网量子安全方法、***、装置及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108768653A (zh) | 基于量子密钥卡的身份认证*** | |
CN108566273A (zh) | 基于量子网络的身份认证*** | |
CN106357396B (zh) | 数字签名方法和***以及量子密钥卡 | |
CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证***和方法 | |
CN101189827B (zh) | 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的***和终端 | |
CN106357649A (zh) | 用户身份认证***和方法 | |
CN110932870B (zh) | 一种量子通信服务站密钥协商***和方法 | |
CN101340436B (zh) | 基于便携式存储设备实现远程访问控制的方法及装置 | |
CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证***和方法 | |
CN106452739A (zh) | 一种量子网络服务站以及量子通信网络 | |
CN106411525A (zh) | 消息认证方法和*** | |
CN108964897B (zh) | 基于群组通信的身份认证***和方法 | |
CN108600152B (zh) | 基于量子通信网络的改进型Kerberos身份认证***和方法 | |
CN108964896B (zh) | 一种基于群组密钥池的Kerberos身份认证***和方法 | |
CN108574569A (zh) | 一种基于量子密钥的认证方法及认证装置 | |
CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证***和方法 | |
WO2014141263A1 (en) | Asymmetric otp authentication system | |
CN108880799A (zh) | 基于群组密钥池的多次身份认证***和方法 | |
CN108809633A (zh) | 一种身份认证的方法、装置及*** | |
CN108809636A (zh) | 基于群组型量子密钥卡实现成员间消息认证的通信***和通信方法 | |
CN108632042A (zh) | 一种基于对称密钥池的类aka身份认证***和方法 | |
CN107911211B (zh) | 基于量子通信网络的二维码认证*** | |
CN206042014U (zh) | 一种量子网络服务站以及量子通信网络 | |
Hou et al. | Lightweight and privacy-preserving charging reservation authentication protocol for 5G-V2G | |
CN110176989A (zh) | 基于非对称密钥池的量子通信服务站身份认证方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181106 |