CN115426106B - 一种身份认证方法、装置、***、电子设备及存储介质 - Google Patents
一种身份认证方法、装置、***、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115426106B CN115426106B CN202211034032.4A CN202211034032A CN115426106B CN 115426106 B CN115426106 B CN 115426106B CN 202211034032 A CN202211034032 A CN 202211034032A CN 115426106 B CN115426106 B CN 115426106B
- Authority
- CN
- China
- Prior art keywords
- quantum key
- identity authentication
- target account
- identifier
- quantum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本申请公开了一种身份认证方法、装置、***、电子设备及存储介质,身份认证***中的量子密钥灌装模块将从第一量子密钥分发设备获取量子密钥信息灌装至目标账户的硬件密码设备中,硬件密码设备中还包括发证中心向目标账户下发的数字证书和签名密钥;所述方法,包括:目标账户的客户端从硬件密码设备中选定第一量子密钥;将利用签名密钥对第一量子密钥进行签名生成签名值、第一量子密钥标识和目标账户标识发送至身份认证中心,以使身份认证中心根据目标账户标识从发证中心获取目标账户的数字证书,根据第一量子密钥标识从第二量子密钥分发设备获取第一量子密钥标识对应的第二量子密钥,根据第二量子密钥和数字证书中的公钥对签名值进行验证。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种身份认证方法、装置、***、电子设备及存储介质。
背景技术
相关技术中,身份认证方式包括用户名密码认证、短信认证、指纹认证、人脸认证和数字证书认证等,基于数字证书的身份认证方式安全性较高,得到广泛应用。基于数字证书的身份认证一般流程为:发证中心为账号发放数字证书和对应的签名密钥,数字证书和签名密钥存储在硬件密码设备中,在身份认证时,身份认证服务端将生成的随机数返回至账户的客户端,客户端使用硬件密码设备中的签名密钥对随机数进行签名得到签名值,将签名值和账户标识发送至身份认证服务端,服务端根据账户标识从发证中心获取账户的数字证书,使用数字证书中的公钥验证签名值,如果验证通过则身份认证成功。
然而,身份认证服务端生成的随机数是由服务端明文传输至客户端,很容易被截获以伪造签名,因而,现有的基于数字证书的身份认证方式存在安全风险。
发明内容
为了解决现有的基于数字证书的身份认证方式存在安全风险的问题,本申请实施例提供了一种身份认证方法、装置、***、电子设备及存储介质,提高了身份认证的安全性。
第一方面,本申请实施例提供了一种客户端侧实施的身份认证方法,应用于身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述方法,包括:
所述目标账户的客户端从所述硬件密码设备中选定第一量子密钥;
利用所述签名密钥对所述第一量子密钥进行签名生成签名值;
将所述签名值、所述第一量子密钥标识和目标账户标识发送至所述身份认证中心,以使所述身份认证中心根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书,根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥,根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
在一种可能的实施方式中,所述目标账户的客户端从所述硬件密码设备中选定第一量子密钥,具体包括:
所述目标账户的客户端从所述第一量子密钥中选定设定长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量;以及
将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,还包括:
将所述偏移量发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
在一种可能的实施方式中,所述目标账户的客户端从所述硬件密码设备中选定第一量子密钥,具体包括:
所述目标账户的客户端从所述第一量子密钥中选定任意长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量和所述第一密钥段的长度;以及
将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,还包括:
将所述偏移量和所述长度发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
第二方面,本申请实施例提供了一种客户端侧实施的身份认证装置,应用于身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述装置,包括:
选定单元,用于从所述硬件密码设备中选定第一量子密钥;
签名单元,用于利用所述签名密钥对所述第一量子密钥进行签名生成签名值;
发送单元,用于将所述签名值、所述第一量子密钥标识和目标账户标识发送至所述身份认证中心,以使所述身份认证中心根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书,根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥,根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
在一种可能的实施方式中,所述选定单元,具体用于所述目标账户的客户端从所述第一量子密钥中选定设定长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量;以及
所述发送单元,还用于将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,将所述偏移量发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
在一种可能的实施方式中,所述选定单元,具体用于从所述第一量子密钥中选定任意长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量和所述第一密钥段的长度;以及
所述发送单元,还用于将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,将所述偏移量和所述长度发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
第三方面,本申请实施例提供了一种身份认证中心侧实施的身份认证方法,应用于身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述方法,包括:
所述身份认证中心接收所述目标账户的客户端发送的利用所述签名密钥对从所述硬件密码设备中选定的第一量子密钥进行签名生成的签名值、所述第一量子密钥标识以及目标账户标识;
根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书;
根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥;
根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
在一种可能的实施方式中,所述方法,还包括:
接收所述目标账户的客户端发送的第一量子密钥段的偏移量,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的设定长度的量子密钥段;以及
根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥,具体包括:
根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
在一种可能的实施方式中,所述方法,还包括:
接收所述目标账户的客户端发送的第一量子密钥段的偏移量和所述第一量子密钥段的长度,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的任意长度的量子密钥段;以及
根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥,具体包括:
根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
在一种可能的实施方式中,在根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥之前,还包括:
确定在本轮身份认证之前所述目标账户的客户端未发送过所述第一量子密钥标识对应的所述偏移量。
第四方面,本申请实施例提供了一种身份认证中心侧实施的身份认证装置,应用于身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述装置,包括:
接收单元,用于接收所述目标账户的客户端发送的利用所述签名密钥对从所述硬件密码设备中选定的第一量子密钥进行签名生成的签名值、所述第一量子密钥标识以及目标账户标识;
第一获取单元,用于根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书;
第二获取单元,用于根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥;
认证单元,用于根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
在一种可能的实施方式中,所述接收单元,还用于接收所述目标账户的客户端发送的第一量子密钥段的偏移量,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的设定长度的量子密钥段;以及
所述第二获取单元,具体用于根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
在一种可能的实施方式中,所述接收单元,还用于接收所述目标账户的客户端发送的第一量子密钥段的偏移量和所述第一量子密钥段的长度,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的任意长度的量子密钥段;以及
所述第二获取单元,具体用于根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
在一种可能的实施方式中,所述装置,还包括:
确定单元,用于在根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥之前,确定在本轮身份认证之前所述目标账户的客户端未发送过所述第一量子密钥标识对应的所述偏移量。
第五方面,本申请实施例提供了一种身份认证***,包括:发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,其中:
所述发证中心,用于向所述目标账户下发数字证书和签名密钥,所述数字证书和签名密钥存储在所述目标账户的硬件密钥设备中;
所述量子密钥灌装模块,用于从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至所述目标账户的硬件密码设备;
所述身份认证中心,用于接收所述目标账户的客户端发送的利用所述签名密钥对从所述硬件密码设备中选定的第一量子密钥进行签名生成的签名值、所述第一量子密钥标识以及目标账户标识;根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书;根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥;根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
第六方面,本申请实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本申请所述的身份认证方法。
第七方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请所述的身份认证方法中的步骤。
本申请的有益效果如下:
本申请实施例提供的身份认证方法、装置、***、电子设备及存储介质,本申请实施例提供的身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在量子密钥灌装模块部署第一量子密钥分发设备,在身份认证中心部署第二量子密钥分发设备,第一量子密钥分发设备和第二量子密钥分发设备用于生成相同的量子密钥,量子密钥灌装模块用于从第一量子密钥分发设备获取量子密钥信息,将量子密钥信息灌装至目标账户的硬件密码设备中,硬件密码设备中还存储有发证中心线目标账户下发的数字证书和签名密钥,在身份认证时,目标账户的客户端从硬件密码设备中选定第一量子密钥,利用签名密钥对第一量子密钥进行签名生成签名值,目标账户的客户端将签名值、第一量子密钥标识和目标账户标识发送至身份认证中心进行认证,身份认证中心根据目标账户标识从发证中心获取目标账户的数字证书,根据第一量子密钥标识从第二量子密钥分发设备获取第一量子密钥标识对应的第二量子密钥,进而,身份认证中心根据第二量子密钥和数字证书中的公钥对签名值进行验证,得到身份认证结果,相比于现有技术中基于数字证书进行身份认证时使用随机数进行签名与验证的方式,本申请实施例中使用量子密钥代替随机数进行签名,由于量子密钥无需身份认证中心发送给目标账户的客户端,而是通过量子密钥灌装模块预先灌装到目标账户的硬件密码设备中,客户端直接从硬件密码设备中即可获取到量子密钥,利用签名密钥对其签名得到签名值,身份认证中心接收到目标账户的客户端发送的签名值后,根据量子密钥标识即可获取到对应的量子密钥,进而,通过获取的数字证书中的公钥对签名值进行验证,验证解密后的量子密钥与其获取到的量子密钥是否一致,即可判定身份认证是否成功,因而,用于签名的量子密钥无法被第三方(如攻击者)获取到,提高了身份认证的安全性。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的应用场景示意图;
图2为本申请实施例提供的身份认证方法的实施流程示意图;
图3为本申请实施例提供的客户端侧实施的身份认证方法的实施流程示意图;
图4为本申请实施例提供的客户端侧实施的身份认证装置的结构示意图;
图5为本申请实施例提供的身份认证中心侧实施的身份认证方法的实施流程示意图;
图6为本申请实施例提供的身份认证中心侧实施的身份认证装置的结构示意图;
图7为本申请实施例提供的电子设备的结构示意图。
具体实施方式
为了解决背景技术中的问题,本申请实施例提供了一种身份认证方法、装置、电子设备及存储介质。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
首先参考图1,其为本申请实施例提供的身份认证方法的一个应用场景示意图,可以包括目标账户的客户端100和身份认证***101,身份认证***101可包括发证中心1011、量子密钥灌装模块1012和身份认证中心1013,目标账户的客户端100与发证中心1011通过网络进行连接,目标账户的客户端100与身份认证中心1013通过网络进行连接,目标账户的客户端100与量子密钥灌装模块1012通过网络进行连接。在量子密钥灌装模块1012部署第一量子密钥分发设备(Quantum Key Distribution,QKD),在身份认证中心1013部署第二量子密钥分发设备,第一量子密钥分发设备和第二量子密钥分发设备用于生成相同的量子密钥,第一量子密钥分发设备和第二量子密钥分发设备下发量子密钥的过程可采用数字信封的方式进行下发。
发证中心1011,用于向目标账户下发数字证书和签名密钥,数字证书和签名密钥存储在目标账户的硬件密钥设备中。
具体实施时,用户将目标账户的硬件密码设备***其客户端100,用户可通过客户端100向发证中心1011发送证书请求,发证中心1011为目标账户下发数字证书和签名密钥,将数字证书和签名密钥发送至客户端100上的硬件密码设备中进行存储。其中,发证中心可以为CA(Certificate Authority,认证机构)发证中心,硬件密码设备可以但不限于使用USBKey设备,本申请实施例对此不作限定。
量子密钥灌装模块1012,用于从第一量子密钥分发设备获取量子密钥信息,将量子密钥信息灌装至目标账户的硬件密码设备。
具体实施时,第一量子密钥分发设备和第二量子密钥分发设备根据预先配置的密钥生成策略生成相同的量子密钥,第一量子密钥分发设备和第二量子密钥分发设备可保证二者能够安全地产生相同的量子密钥,配置的密钥生成策略可以包括产生的量子密钥的数量,以及产生的量子密钥的长度等,例如,一次可生成10个量子密钥,每个量子密钥的长度为800K字节,密钥生成策略可根据实际需求自行进行设置,本申请实施例对此不作限定。第一量子密钥分发设备和第二量子密钥分发设备生成量子密钥后,为各量子密钥设置唯一标识,相同的量子密钥设置相同的标识(即索引值),每一量子密钥标识用以唯一标识一个量子密钥。量子密钥灌装模块1012从第一量子密钥分发设备获取其生成的量子密钥信息,量子密钥信息包括量子密钥标识及量子密钥,将获取的量子密钥信息灌装至客户端100上的目标账户的硬件密码设备中,每次灌装至硬件密码设备的量子密钥的总大小可根据硬件密码设备的容量大小确定,不超过硬件密码设备的容量即可。
身份认证中心1013,用于接收目标账户的客户端100发送的利用签名密钥对从硬件密码设备中选定的第一量子密钥进行签名生成的签名值、第一量子密钥标识以及目标账户标识;根据目标账户标识从发证中心1011获取目标账户的数字证书;根据第一量子密钥标识从第二量子密钥分发设备获取第一量子密钥标识对应的第二量子密钥;根据第二量子密钥和数字证书中的公钥对签名值进行验证,获得身份认证结果。
发证中心1011,还用于向身份认证中心1013返回目标账户标识对应的数字证书。
具体实施时,身份认证中心1013利用从发证中心1011获取的目标账户的数字证书中的公钥对客户端100发送的签名值进行解密,获得第一量子密钥,比对第一量子密钥和第二量子密钥,如果二者一致,则验证通过,身份认证成功,否则,身份认证失败,向客户端100返回身份认证失败消息。
其中,身份认证中心1013可以为服务器,其可以是独立的物理服务器,也可以是提供云服务器、云数据库、云存储等基础云计算服务的云服务器。客户端100可以但不限于为:智能手机、平板电脑、笔记本电脑、台式计算机等,本申请实施例对此不作限定。
基于上述应用场景,下面将参照附图2更详细地描述本申请的示例性实施例,需要注意的是,上述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此不受任何限制。相反,本申请的实施方式可以应用于适用的任何场景。
如图2所示,其为本申请实施例提供的身份认证方法的实施流程示意图,该身份认证方法可以应用于上述的身份认证***101中,具体可以包括以下步骤:
S21、量子密钥灌装模块将从第一量子密钥分发设备获取的量子密钥信息灌装至客户端上的目标账户的硬件密码设备中。
具体实施时,量子密钥灌装模块从其部署的第一量子密钥分发设备获取量子密钥信息,即获取量子密钥标识与量子密钥,将获取的量子密钥信息灌装至客户端上插接的目标账户的硬件密码设备中。
S22、客户端从硬件密码设备中选定第一量子密钥。
具体实施时,目标账户的客户端从目标账户的硬件密码设备中选定量子密钥,可记为第一量子密钥。
在一种实施方式中,客户端可选定一个完整的量子密钥,即第一量子密钥用于签名。
为了节约客户端的计算资源,在另一种实施方式中,客户端还可以从第一量子密钥中选定设定长度的一段字符,也即第一量子密钥段用于签名,并记录第一量子密钥段的偏移量,其中,客户端可与身份认证中心预先约定用于签名的字符的设定长度,本申请实施例对此不作限定。
例如,第一量子密钥的长度为800K,客户端每次可从第一量子密钥选定8K长度的第一量子密钥段,可以按顺序选定,也可以不按顺序选定,本申请实施例对此不作限定。假设第一次选定的第一量子密钥的偏移量为0,则选定的是1~8K的字符作为第一量子密钥段,第二次偏移量为1,则选定的是2~9K的字符作为第一量子密钥段,依次类推,直至该第一量子密钥中的第一量子密钥段选完为止,下一次客户端则按照第一量子密钥段标识从下一第一量子密钥段中选定第一量子密钥段,保证每次选定的用于签名的第一量子密钥段不重复,已达到一次一密的效果。当硬件密码设备中的第一量子密钥用完后,客户端可向量子密钥灌装模块请求新的量子密钥,量子密钥灌装模块部署的第一量子密钥分发设备和身份认证中心部署的第二量子密钥分发设备生成新的相同的量子密钥,量子密钥灌装模块从第一量子密钥分发设备获取新生成的量子密钥信息,灌装至客户端上的目标账户的硬件密码设备中。
作为另一种可能的实施方式,目标账户的客户端还可从第一量子密钥中选定任意长度的第一量子密钥段,并记录第一量子密钥段的偏移量和第一密钥段的长度。
S23、客户端利用签名密钥对第一量子密钥进行签名生成签名值。
具体实施时,客户端利用目标账户的硬件密码设备中存储的签名密钥对第一量子密钥段进行签名,得到签名值。
S24、客户端将签名值、第一量子密钥标识和目标账户标识发送至身份认证中心。
具体实施时,当目标账户的客户端是从第一量子密钥中选定了设定长度的第一量子密钥段时,客户端在将签名值、第一量子密钥标识和目标账户标识发送至身份认证中心进行认证的同时,还需将第一量子密钥段的偏移量发送至身份认证中心。
当目标账户的客户端是从第一量子密钥中选定了任意长度的第一量子密钥段时,客户端在将签名值、第一量子密钥标识和目标账户标识发送至身份认证中心进行认证的同时,还需将第一量子密钥段的偏移量以及第一量子密钥段的长度发送至身份认证中心。
S25、身份认证中心根据目标账户标识向发证中心请求目标账户的数字证书。
S26、发证中心向身份认证中心返回目标账户的数字证书。
S27、身份认证中心根据第一量子密钥标识从第二量子密钥分发设备获取第一量子密钥标识对应的第二量子密钥。
具体实施时,若目标账户的客户端向身份认证中心发送的是签名值、第一量子密钥标识、第一量子密钥段的偏移量和目标账户标识,身份认证中心将本来身份认证的第一量子密钥段的偏移量与本轮身份认证之前的目标账户的客户端发送的该第一量子密钥标识对应的偏移量进行比对,若确定在本来身份认证之前目标账户的客户端未发送过本次发送的该第一量子密钥标识的偏移量,则根据第一量子密钥标识和第一量子密钥段的偏移量从其部署的第二量子密钥分发设备获取第一量子密钥标识对应的量子密钥(即为第二量子密钥)中的设定长度的量子密钥段(可记为第二量子密钥段),也即,第二量子密钥段与第一量子密钥段相同。由于身份认证中心是从其部署的量子密钥分发设备上直接获取第二量子密钥段,无需将第一量子密钥段向客户端传输,客户端即可完成对第一量子密钥段的签名,提高了身份认证过程的安全性。
若目标账户的客户端向身份认证中心发送的是签名值、第一量子密钥标识、第一量子密钥段的偏移量、第一量子密钥段的长度和目标账户标识,且身份认证中心确定在本来身份认证之前目标账户的客户端未发送过本次发送的该第一量子密钥标识的偏移量,则根据第一量子密钥标识、第一量子密钥段的偏移量和第一量子密钥的长度从第二量子密钥分发设备获取第一量子密钥标识对应的第二量子密钥中的该长度的第二量子密钥段。
需要说明的是,本申请实施例对步骤S25和步骤S27的执行顺序不作限定,这两个步骤还可以同时进行。
S28、身份认证中心根据第二量子密钥和数字证书中的公钥对签名值进行验证,获得身份认证结果。
具体实施,身份认证中心根据从第二量子密钥分发设备获取的第二量子密钥段和从发证中心获取的数字证书中的公钥对客户端发送的签名值进行解密,验证得到的第一量子密钥段是否与从第二量子密钥分发设备获取的第二量子密钥段一致,如一致则验证通过,身份认证成功,如不一致则验证不通过,身份认证失败,并向客户端返回身份认证失败消息。
本申请实施例提供的身份认证方法,应用于身份认证***,本申请实施例提供的身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在量子密钥灌装模块部署第一量子密钥分发设备,在身份认证中心部署第二量子密钥分发设备,第一量子密钥分发设备和第二量子密钥分发设备用于生成相同的量子密钥,量子密钥灌装模块用于从第一量子密钥分发设备获取量子密钥信息,将量子密钥信息灌装至目标账户的硬件密码设备中,硬件密码设备中还存储有发证中心线目标账户下发的数字证书和签名密钥,在身份认证时,目标账户的客户端从硬件密码设备中选定第一量子密钥,利用签名密钥对第一量子密钥进行签名生成签名值,目标账户的客户端将签名值、第一量子密钥标识和目标账户标识发送至身份认证中心进行认证,身份认证中心根据目标账户标识从发证中心获取目标账户的数字证书,根据第一量子密钥标识从第二量子密钥分发设备获取第一量子密钥标识对应的第二量子密钥,进而,身份认证中心根据第二量子密钥和数字证书中的公钥对签名值进行验证,得到身份认证结果,相比于现有技术中基于数字证书进行身份认证时使用随机数进行签名与验证的方式,本申请实施例中使用量子密钥代替随机数进行签名,由于量子密钥无需身份认证中心发送给目标账户的客户端,而是通过量子密钥灌装模块预先灌装到目标账户的硬件密码设备中,客户端直接从硬件密码设备中即可获取到量子密钥,利用签名密钥对其签名得到签名值,身份认证中心接收到目标账户的客户端发送的签名值后,根据量子密钥标识即可获取到对应的量子密钥,进而,通过获取的数字证书中的公钥对签名值进行验证,验证解密后的量子密钥与其获取到的量子密钥是否一致,即可判定身份认证是否成功,因而,用于签名的量子密钥无法被第三方(如攻击者)获取到,提高了身份认证的安全性。
基于同一发明构思,本申请实施例还提供了一种客户端侧实施的身份认证方法,由于上述客户端侧实施的身份认证方法解决问题的原理与上述身份认证方法相似,因此上述客户端侧实施的身份认证方法的实施可以参见上述身份认证方法的实施,重复之处不再赘述。
如图3所示,其为本申请实施例提供的客户端侧实施的身份认证方法的实施流程示意图,该客户端侧实施的身份认证方法可应用于本申请实施例提供的上述身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述身份认证方法可以包括以下步骤:
S31、目标账户的客户端从硬件密码设备中选定第一量子密钥。
S32、利用签名密钥对第一量子密钥进行签名生成签名值。
S33、将签名值、第一量子密钥标识和目标账户标识发送至身份认证中心,以使身份认证中心根据目标账户标识从发证中心获取目标账户的数字证书,根据第一量子密钥标识从第二量子密钥分发设备获取第一量子密钥标识对应的第二量子密钥,根据第二量子密钥和数字证书中的公钥对签名值进行验证,获得身份认证结果。
在一种可能的实施方式中,所述目标账户的客户端从所述硬件密码设备中选定第一量子密钥,具体包括:
所述目标账户的客户端从所述第一量子密钥中选定设定长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量;以及
将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,还包括:
将所述偏移量发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
在一种可能的实施方式中,所述目标账户的客户端从所述硬件密码设备中选定第一量子密钥,具体包括:
所述目标账户的客户端从所述第一量子密钥中选定任意长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量和所述第一密钥段的长度;以及
将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,还包括:
将所述偏移量和所述长度发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
基于同一发明构思,本申请实施例还提供了一种客户端侧实施的身份认证装置,由于上述客户端侧实施的身份认证装置解决问题的原理与上述身份认证方法相似,因此上述客户端侧实施的身份认证装置的实施可以参见上述身份认证方法的实施,重复之处不再赘述。
如图4所示,其为本申请实施例提供的身份认证中心侧实施的身份认证装置的结构示意图,该客户端侧实施的身份认证装置可应用于本申请实施例提供的上述身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述装置,可以包括:
选定单元41,用于从所述硬件密码设备中选定第一量子密钥;
签名单元42,用于利用所述签名密钥对所述第一量子密钥进行签名生成签名值;
发送单元43,用于将所述签名值、所述第一量子密钥标识和目标账户标识发送至所述身份认证中心,以使所述身份认证中心根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书,根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥,根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
在一种可能的实施方式中,所述选定单元41,具体用于所述目标账户的客户端从所述第一量子密钥中选定设定长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量;以及
所述发送单元43,还用于将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,将所述偏移量发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
在一种可能的实施方式中,所述选定单元41,具体用于从所述第一量子密钥中选定任意长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量和所述第一密钥段的长度;以及
所述发送单元43,还用于将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,将所述偏移量和所述长度发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
基于同一发明构思,本申请实施例还提供了一种身份认证中心侧实施的身份认证方法,由于上述身份认证中心侧实施的身份认证方法解决问题的原理与上述身份认证方法相似,因此上述身份认证中心侧实施的身份认证方法的实施可以参见上述身份认证方法的实施,重复之处不再赘述。
如图5所示,其为本申请实施例提供的身份认证中心侧实施的身份认证方法的实施流程示意图,该身份认证中心侧实施的身份认证方法可应用于本申请实施例提供的上述身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述方法可以包括以下步骤:
S51、身份认证中心接收目标账户的客户端发送的利用签名密钥对从硬件密码设备中选定的第一量子密钥进行签名生成的签名值、第一量子密钥标识以及目标账户标识。
S52、根据目标账户标识从发证中心获取目标账户的数字证书。
S53、根据第一量子密钥标识从第二量子密钥分发设备获取第一量子密钥标识对应的第二量子密钥。
S54、根据第二量子密钥和数字证书中的公钥对签名值进行验证,获得身份认证结果。
在一种可能的实施方式中,所述方法,还包括:
接收所述目标账户的客户端发送的第一量子密钥段的偏移量,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的设定长度的量子密钥段;以及
根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥,具体包括:
根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
在一种可能的实施方式中,所述方法,还包括:
接收所述目标账户的客户端发送的第一量子密钥段的偏移量和所述第一量子密钥段的长度,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的任意长度的量子密钥段;以及
根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥,具体包括:
根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
在一种可能的实施方式中,在根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥之前,还包括:
确定在本轮身份认证之前所述目标账户的客户端未发送过所述第一量子密钥标识对应的所述偏移量。
基于同一发明构思,本申请实施例还提供了一种身份认证中心侧实施的身份认证装置,由于上述身份认证中心侧实施的身份认证装置解决问题的原理与上述身份认证方法相似,因此上述身份认证中心侧实施的身份认证装置的实施可以参见上述身份认证方法的实施,重复之处不再赘述。
如图6所示,其为本申请实施例提供的身份认证中心侧实施的身份认证装置的结构示意图,该身份认证中心侧实施的身份认证装置可应用于本申请实施例提供的上述身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述装置,包括:
接收单元61,用于接收所述目标账户的客户端发送的利用所述签名密钥对从所述硬件密码设备中选定的第一量子密钥进行签名生成的签名值、所述第一量子密钥标识以及目标账户标识;
第一获取单元62,用于根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书;
第二获取单元63,用于根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥;
认证单元64,用于根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
在一种可能的实施方式中,所述接收单元61,还用于接收所述目标账户的客户端发送的第一量子密钥段的偏移量,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的设定长度的量子密钥段;以及
所述第二获取单元63,具体用于根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
在一种可能的实施方式中,所述接收单元61,还用于接收所述目标账户的客户端发送的第一量子密钥段的偏移量和所述第一量子密钥段的长度,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的任意长度的量子密钥段;以及
所述第二获取单元63,具体用于根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
在一种可能的实施方式中,所述装置,还包括:
确定单元,用于在根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥之前,确定在本轮身份认证之前所述目标账户的客户端未发送过所述第一量子密钥标识对应的所述偏移量。
基于同一技术构思,本申请实施例还提供了一种电子设备700,参照图7所示,电子设备700用于实施上述方法实施例记载的身份认证方法或者身份认证装置,该实施例的电子设备700可以包括:存储器701、处理器702以及存储在所述存储器中并可在所述处理器上运行的计算机程序,例如身份认证程序。所述处理器执行所述计算机程序时实现上述各个身份认证方法实施例中的步骤,例如图2所示的步骤S21。
本申请实施例中不限定上述存储器701、处理器702之间的具体连接介质。本申请实施例在图7中以存储器701、处理器702之间通过总线703连接,总线703在图7中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线703可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器701可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器701也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器701是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器701可以是上述存储器的组合。
处理器702,用于实现本申请各种示例性实施方式的身份认证方法。
本申请实施例还提供了一种计算机可读存储介质,存储为执行上述处理器所需执行的计算机可执行指令,其包含用于执行上述处理器所需执行的程序。
在一些可能的实施方式中,本申请提供的身份认证方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使所述电子设备执行本说明书上述描述的根据本申请各种示例性实施方式的身份认证方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (17)
1.一种身份认证方法,其特征在于,应用于身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述方法,包括:
所述目标账户的客户端从所述硬件密码设备中选定第一量子密钥;
利用所述签名密钥对所述第一量子密钥进行签名生成签名值;
将所述签名值、第一量子密钥标识和目标账户标识发送至所述身份认证中心,以使所述身份认证中心根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书,根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥,根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
2.如权利要求1所述的方法,其特征在于,所述目标账户的客户端从所述硬件密码设备中选定第一量子密钥,具体包括:
所述目标账户的客户端从所述第一量子密钥中选定设定长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量;以及
将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,还包括:
将所述偏移量发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
3.如权利要求1所述的方法,其特征在于,所述目标账户的客户端从所述硬件密码设备中选定第一量子密钥,具体包括:
所述目标账户的客户端从所述第一量子密钥中选定任意长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量和所述第一量子密钥段的长度;以及
将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,还包括:
将所述偏移量和所述长度发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
4.一种身份认证方法,其特征在于,应用于身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述方法,包括:
所述身份认证中心接收所述目标账户的客户端发送的利用所述签名密钥对从所述硬件密码设备中选定的第一量子密钥进行签名生成的签名值、第一量子密钥标识以及目标账户标识;
根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书;
根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥;
根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
5.如权利要求4所述的方法,其特征在于,还包括:
接收所述目标账户的客户端发送的第一量子密钥段的偏移量,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的设定长度的量子密钥段;以及
根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥,具体包括:
根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
6.如权利要求4所述的方法,其特征在于,还包括:
接收所述目标账户的客户端发送的第一量子密钥段的偏移量和所述第一量子密钥段的长度,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的任意长度的量子密钥段;以及
根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥,具体包括:
根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
7.如权利要求5或6所述的方法,其特征在于,在根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥之前,还包括:
确定在本轮身份认证之前所述目标账户的客户端未发送过所述第一量子密钥标识对应的所述偏移量。
8.一种身份认证装置,其特征在于,应用于身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述装置,包括:
选定单元,用于从所述硬件密码设备中选定第一量子密钥;
签名单元,用于利用所述签名密钥对所述第一量子密钥进行签名生成签名值;
发送单元,用于将所述签名值、第一量子密钥标识和目标账户标识发送至所述身份认证中心,以使所述身份认证中心根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书,根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥,根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
9.如权利要求8所述的装置,其特征在于,
所述选定单元,具体用于从所述第一量子密钥中选定设定长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量;以及
所述发送单元,还用于将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,将所述偏移量发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
10.如权利要求8所述的装置,其特征在于,
所述选定单元,具体用于从所述第一量子密钥中选定任意长度的第一量子密钥段,并记录所述第一量子密钥段的偏移量和所述第一量子密钥段的长度;
所述发送单元,还用于将所述签名值、所述第一量子密钥标识和所述目标账户标识发送至所述身份认证中心的同时,将所述偏移量和所述长度发送至所述身份认证中心,以使所述身份认证中心根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
11.一种身份认证装置,其特征在于,应用于身份认证***,所述身份认证***包括发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,所述量子密钥灌装模块从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至目标账户的硬件密码设备中,所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密钥;所述装置,包括:
接收单元,用于接收所述目标账户的客户端发送的利用所述签名密钥对从所述硬件密码设备中选定的第一量子密钥进行签名生成的签名值、第一量子密钥标识以及目标账户标识;
第一获取单元,用于根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书;
第二获取单元,用于根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥;
认证单元,用于根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
12.如权利要求11所述的装置,其特征在于,
所述接收单元,还用于接收所述目标账户的客户端发送的第一量子密钥段的偏移量,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的设定长度的量子密钥段;以及
所述第二获取单元,具体用于根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述设定长度的第二量子密钥段。
13.如权利要求11所述的装置,其特征在于,
所述接收单元,还用于接收所述目标账户的客户端发送的第一量子密钥段的偏移量和所述第一量子密钥段的长度,所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的任意长度的量子密钥段;
所述第二获取单元,具体用于根据所述第一量子密钥标识、所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥中的所述长度的第二量子密钥段。
14.如权利要求12或13所述的装置,其特征在于,还包括:
确定单元,用于在根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥之前,确定在本轮身份认证之前所述目标账户的客户端未发送过所述第一量子密钥标识对应的所述偏移量。
15.一种身份认证***,其特征在于,包括:发证中心、量子密钥灌装模块和身份认证中心,在所述量子密钥灌装模块部署第一量子密钥分发设备,在所述身份认证中心部署第二量子密钥分发设备,所述第一量子密钥分发设备和所述第二量子密钥分发设备生成相同的量子密钥,其中:
所述发证中心,用于向目标账户下发数字证书和签名密钥,所述数字证书和签名密钥存储在所述目标账户的硬件密钥设备中;
所述量子密钥灌装模块,用于从所述第一量子密钥分发设备获取量子密钥信息,将所述量子密钥信息灌装至所述目标账户的硬件密码设备;
所述身份认证中心,用于接收所述目标账户的客户端发送的利用所述签名密钥对从所述硬件密码设备中选定的第一量子密钥进行签名生成的签名值、所述第一量子密钥标识以及目标账户标识;根据所述目标账户标识从所述发证中心获取所述目标账户的所述数字证书;根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标识对应的第二量子密钥;根据所述第二量子密钥和所述数字证书中的公钥对所述签名值进行验证,获得身份认证结果。
16.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~7任一项所述的身份认证方法。
17.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~7任一项所述的身份认证方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211034032.4A CN115426106B (zh) | 2022-08-26 | 2022-08-26 | 一种身份认证方法、装置、***、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211034032.4A CN115426106B (zh) | 2022-08-26 | 2022-08-26 | 一种身份认证方法、装置、***、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115426106A CN115426106A (zh) | 2022-12-02 |
CN115426106B true CN115426106B (zh) | 2023-05-23 |
Family
ID=84200682
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211034032.4A Active CN115426106B (zh) | 2022-08-26 | 2022-08-26 | 一种身份认证方法、装置、***、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115426106B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115955306B (zh) * | 2022-12-30 | 2023-11-14 | 北京海泰方圆科技股份有限公司 | 一种数据加密传输方法、装置、电子设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991285A (zh) * | 2015-02-16 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及*** |
CN106301769A (zh) * | 2015-06-08 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 量子密钥输出方法、存储一致性验证方法、装置及*** |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001265735A (ja) * | 2000-03-22 | 2001-09-28 | Ntt Communications Kk | Id/パスワードを利用した認証方法及び署名方法及び通信方法及びシステム |
WO2014069783A1 (ko) * | 2012-10-31 | 2014-05-08 | 삼성에스디에스 주식회사 | 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치 |
CN107769913B (zh) * | 2016-08-16 | 2020-12-29 | 广东国盾量子科技有限公司 | 一种基于量子UKey的通信方法及*** |
CN108243166A (zh) * | 2016-12-27 | 2018-07-03 | 航天信息股份有限公司 | 一种基于USBKey的身份认证方法和*** |
CN111917543B (zh) * | 2020-08-14 | 2023-08-29 | 国科量子通信网络有限公司 | 用户接入云平台安全接入认证***及其应用方法 |
CN114218548B (zh) * | 2021-12-14 | 2022-08-19 | 北京海泰方圆科技股份有限公司 | 身份验证证书生成方法、认证方法、装置、设备及介质 |
CN114221765B (zh) * | 2022-02-17 | 2022-05-24 | 浙江九州量子信息技术股份有限公司 | 一种qkd网络与经典密码算法融合的量子密钥分发方法 |
-
2022
- 2022-08-26 CN CN202211034032.4A patent/CN115426106B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991285A (zh) * | 2015-02-16 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及*** |
CN106301769A (zh) * | 2015-06-08 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 量子密钥输出方法、存储一致性验证方法、装置及*** |
Also Published As
Publication number | Publication date |
---|---|
CN115426106A (zh) | 2022-12-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10790976B1 (en) | System and method of blockchain wallet recovery | |
US20200382326A1 (en) | Digital certificate verification method and apparatus, computer device, and storage medium | |
US11196745B2 (en) | Blockchain-based account management | |
CN108322451B (zh) | 数据处理方法、装置、计算机设备和存储介质 | |
CN110264200B (zh) | 区块链数据处理方法及装置 | |
US20180293557A1 (en) | Method of charging electronic currency automatically based on blockchain and system thereof | |
CN110677376B (zh) | 认证方法、相关设备和***及计算机可读存储介质 | |
CN109409472B (zh) | 二维码生成方法、数据处理方法、装置及服务器 | |
CN110348853B (zh) | 一种基于标识认证的区块链离线交易方法和*** | |
CA3164765A1 (en) | Secure communication method and device based on identity authentication | |
CN111314172B (zh) | 基于区块链的数据处理方法、装置、设备及存储介质 | |
CN106921496A (zh) | 一种数字签名方法和*** | |
CN110601855B (zh) | 一种根证书管理方法、装置及电子设备、存储介质 | |
US10887110B2 (en) | Method for digital signing with multiple devices operating multiparty computation with a split key | |
CN110286849B (zh) | 数据存储***的数据处理方法和装置 | |
CN110740038B (zh) | 区块链及其通信方法、网关、通信***和存储介质 | |
CN108200014B (zh) | 利用智能密钥装置访问服务器的方法、装置及*** | |
CN114282193A (zh) | 一种应用授权方法、装置、设备及存储介质 | |
CN114691669A (zh) | 一种电子存证方法、装置、电子设备及存储介质 | |
CN111311258A (zh) | 基于区块链的可信交易方法、装置、***、设备及介质 | |
CN114127724A (zh) | 针对多副本存储的完整性审计 | |
CN111062059B (zh) | 用于业务处理的方法和装置 | |
CN115664655A (zh) | 一种tee可信认证方法、装置、设备及介质 | |
CN111314066B (zh) | 基于区块链的数据转移方法、终端及计算机可读存储介质 | |
CN115426106B (zh) | 一种身份认证方法、装置、***、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |