本發明公開了一種基于量子通信網絡實現的身份認證系統和方法，身份認證時配置有量子密鑰卡的請求方和作為鑒權方量子網絡服務站以密文方式交互鑒權請求、提問消息、應答消息和返回消息；鑒權請求和提問消息加密時采用鑒權密鑰，鑒權請求中主動提出協商密鑰的長度和協商密鑰的使用算法標識；而在提問消息中則返回協商密鑰的算法；在之后的應答消息和返回消息加密時，不再使用鑒權密鑰而是采用協商密鑰，請求方和鑒權方還采用了雙向認證的方式，本發明在現有AKA身份認證方法基礎上進一步改進而提高了安全性。

技術領域

本發明涉及安全通信技術領域，具體涉及一種量子密鑰卡到量子網絡服務站的鑒權和密鑰協商的算法，即通信雙方如何進行雙向的身份認證和從對稱密鑰池中取出相同密鑰的機制。

背景技術

鑒權，即身份認證是實現信息安全的基本技術，系統通過審查用戶的身份來確認該用戶是否具有對某種資源的訪問和使用權限，同樣也可以進行系統與系統間的身份認證。

隨著量子計算機的發展，經典非對稱加密算法將不再安全，無論是認證還是加解密領域，對稱密鑰算法將大行其道。比如目前在移動通信領域比較常用的基于對稱密鑰算法的鑒權方法之一的AKA機制。AKA全稱“Authentication and Key Agreement”，即鑒權和密鑰協商。顧名思義，AKA機制在身份認證的同時并進行了密鑰的協商，為后續通信的加密提供了密鑰保障。

作為安全性升級的方案，對稱密鑰池的方式將是一種保證密鑰安全的重要方案乃至主流方案。同時可以對對稱密鑰池中的全部或部分內容進行加密存儲，加密密鑰可以存儲到對稱密鑰池宿主的安全隔離裝置中。后續對對稱密鑰池進行密鑰操作時，需要由安全隔離裝置解密后使用。有關對稱密鑰池可參見公開號為CN105337726A，發明名稱為“基于量子密碼的端對端手持設備加密方法及系統”的發明專利文獻，公開了一種基于量子密碼的端對端手持設備加密方法，其量子通信的兩臺密鑰分發設備之間，通過QKD形成了一對對稱密鑰池，用于QKD雙方的用戶進行量子加密通信。

又例如公開號為CN106452740A，發明名稱為“一種量子通信服務站、量子密鑰管理裝置以及密鑰配置網絡和方法”的發明專利文獻，公開了一種量子通信服務站、量子密鑰管理裝置，兩者之間共享同樣的量子隨機數密鑰數據塊，該數據塊對也可以理解為一對對稱密鑰池，用于雙方的用戶進行量子隨機數密鑰的加密通信。

公開號為CN106357649A，發明名稱為“用戶身份認證系統和方法”的專利文獻，公開了一種對稱密鑰體制的身份認證方法。該發明基于移動量子密鑰存儲設備，采用量子真隨機數發生器產生的真隨機數作為密鑰種子，在身份認證時有限多次使用，兼顧了密鑰生成量和安全性問題。并且包含了關于量子通信的異地身份認證技術。

現有技術存在的問題：

1.公開號為CN106357649A的專利文獻雖然使用了量子密鑰卡作為對稱密鑰池，但是其身份認證是單向的，存在較大的安全隱患。并且該發明在鑒權時沒有密鑰協商的功能，如需實現，得在鑒權后再開啟密鑰協商的功能。過程過于繁瑣，且增加了鑒權雙方的通信負擔。

2.現有的AKA機制使用的根密鑰非常有限，且協商的密鑰都是通過根密鑰計算所得，安全性能不高。

發明內容

本發明提供一種基于量子通信網絡實現的身份認證系統和方法，在現有AKA身份認證方法基礎上進一步改進提高了安全性。

一種基于量子通信網絡的改進型AKA身份認證方法，實施在配置有量子密鑰卡的請求方，包括：

向作為鑒權方的量子網絡服務站發送密文M1形式的鑒權請求，所述密文M1由量子密鑰卡通過鑒權密鑰生成，所述鑒權請求中帶有第一隨機數以及協商密鑰的長度和協商密鑰的使用算法標識；