本發(fā)明公開了一種基于量子通信網(wǎng)絡(luò)的以時(shí)間戳為隨機(jī)數(shù)的多次身份認(rèn)證系統(tǒng)和方法，系統(tǒng)包括用戶端A，用戶端B以及量子網(wǎng)絡(luò)服務(wù)站，用戶端A向用戶端B申請(qǐng)ticket時(shí)，用戶端B生成時(shí)間戳發(fā)送至量子網(wǎng)絡(luò)服務(wù)站，量子網(wǎng)絡(luò)服務(wù)站利用該時(shí)間戳以及會(huì)話密鑰生成ticket，再將所述ticket分發(fā)給用戶端A以及經(jīng)由用戶端A分發(fā)給用戶端B；所述會(huì)話密鑰用于在用戶端A與用戶端B之間實(shí)施加密通信且由用戶端A和量子網(wǎng)絡(luò)服務(wù)站之間同步生成；各用戶端分別配置有量子密鑰卡，用于生成真隨機(jī)數(shù)作為ticket分發(fā)以及ticket使用時(shí)的認(rèn)證標(biāo)識(shí)。本發(fā)明其基于量子通信網(wǎng)絡(luò)的以時(shí)間戳為隨機(jī)數(shù)實(shí)施多次認(rèn)證，進(jìn)一步提高了安全性，另外改進(jìn)了會(huì)話密鑰的生成方式，減少身份認(rèn)證傳遞的信息數(shù)量。

技術(shù)領(lǐng)域

本發(fā)明涉及量子通信技術(shù)領(lǐng)域，尤其涉及基于量子網(wǎng)絡(luò)服務(wù)站的身份認(rèn)證的系統(tǒng)和方法。

背景技術(shù)

身份認(rèn)證是實(shí)現(xiàn)信息安全的基本技術(shù)，系統(tǒng)通過(guò)審查用戶的身份來(lái)確認(rèn)該用戶是否具有對(duì)某種資源的訪問(wèn)和使用權(quán)限，同樣也可以進(jìn)行系統(tǒng)與系統(tǒng)間的身份認(rèn)證。

當(dāng)前通信網(wǎng)絡(luò)中身份認(rèn)證系統(tǒng)普遍采用Kerberos認(rèn)證方案。 Kerberos是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計(jì)目標(biāo)是通過(guò)密鑰系統(tǒng)為用戶機(jī)/服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。該認(rèn)證過(guò)程的實(shí)現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，無(wú)需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意的讀取、修改和插入數(shù)據(jù)。在以上情況下，Kerberos作為一種可信任的第三方認(rèn)證服務(wù)，是通過(guò)傳統(tǒng)的密碼技術(shù)(如：共享密鑰)執(zhí)行認(rèn)證服務(wù)的。

在Kerberos認(rèn)證方案中，引入了時(shí)間戳timestamp來(lái)對(duì)重放攻擊進(jìn)行遏止，但是票據(jù)有生命周期，在其生命周期的有效時(shí)間內(nèi)仍然可以使用。如果收到消息的時(shí)間是在規(guī)定允許的范圍之內(nèi)，那么就認(rèn)為該消息具有新鮮性。但是，在得到許可證后的攻擊者可以發(fā)送偽造的消息，這樣的話，在允許的時(shí)間內(nèi)是很難發(fā)現(xiàn)的。

現(xiàn)有技術(shù)存在的問(wèn)題：

(1)現(xiàn)有身份認(rèn)證技術(shù)基于Kerberos認(rèn)證方案對(duì)時(shí)間戳的使用導(dǎo)致有出現(xiàn)重放攻擊的可能。

(2)Kerberos協(xié)議要求是基于網(wǎng)絡(luò)中時(shí)鐘同步，對(duì)整個(gè)系統(tǒng)時(shí)間同步要求高，在大型分布式系統(tǒng)中難以實(shí)現(xiàn)。

(3)現(xiàn)有技術(shù)中服務(wù)器要分別向兩個(gè)用戶端分發(fā)會(huì)話密鑰，存在一定的安全隱患。

(4)現(xiàn)有技術(shù)中，用戶端密鑰存儲(chǔ)于用戶端存儲(chǔ)器中，可以被惡意軟件或惡意操作竊取。

(5)現(xiàn)有技術(shù)中身份認(rèn)證所傳遞的信息數(shù)較多，完成一次身份認(rèn)證需要傳遞五個(gè)信息。

發(fā)明內(nèi)容

本發(fā)明提供一種身份認(rèn)證系統(tǒng)，其基于量子通信網(wǎng)絡(luò)的以時(shí)間戳為隨機(jī)數(shù)實(shí)施多次認(rèn)證，進(jìn)一步提高了安全性，另外改進(jìn)了會(huì)話密鑰的生成方式，減少了身份認(rèn)證所需要傳遞的信息數(shù)量。

一種基于量子通信網(wǎng)絡(luò)的以時(shí)間戳為隨機(jī)數(shù)的多次身份認(rèn)證系統(tǒng)，包括用戶端A，用戶端B以及量子網(wǎng)絡(luò)服務(wù)站，用戶端A向用戶端B申請(qǐng)ticket時(shí)，用戶端B生成時(shí)間戳發(fā)送至量子網(wǎng)絡(luò)服務(wù)站，量子網(wǎng)絡(luò)服務(wù)站利用該時(shí)間戳以及會(huì)話密鑰生成ticket，再將所述ticket分發(fā)給用戶端A 以及經(jīng)由用戶端A分發(fā)給用戶端B；

所述會(huì)話密鑰用于在用戶端A與用戶端B之間實(shí)施加密通信且由用戶端A和量子網(wǎng)絡(luò)服務(wù)站之間同步生成；各用戶端分別配置有量子密鑰卡，用于生成真隨機(jī)數(shù)作為ticket分發(fā)以及ticket使用時(shí)的認(rèn)證標(biāo)識(shí)。

本發(fā)明所述的用戶端A與用戶端B僅僅是便于區(qū)別和描述，A、B 并不對(duì)用戶端本身作出額外限定。

用戶端的配置的量子密鑰卡分別與量子網(wǎng)絡(luò)服務(wù)站存儲(chǔ)有相應(yīng)的量子密鑰，用于在用戶端與量子網(wǎng)絡(luò)服務(wù)站之間直接或間接的加密傳輸以及身份認(rèn)證。