本發明公開了一種基于群組密鑰池和改進Kerberos的User?to?User身份認證系統和方法，進行身份認證時包括：步驟A、主動方群組中的一用戶端依據預設的主動方通信范圍向量子網絡服務站申請TGT_(A)；所述用戶端還向被動方群組中的一用戶端申請TGT_(B)；步驟B、主動方群組中的所述用戶端再依據TGT_(A)以及TGT_(B)向量子網絡服務站申請主動方會話密鑰以及與預設的被動方通信范圍相應的Ticket，并在主動方通信范圍內共享所述Ticket以及主動方會話密鑰；步驟C、主動方通信范圍內的一用戶端A向被動方通信范圍內的一用戶端B發送所述Ticket，所述Ticket中也包含有被動方會話密鑰，使得用戶端A和用戶端B共享用于實施加密通信的會話密鑰。

技術領域

本發明涉及量子通信技術領域，尤其涉及基于量子網絡的身份認證系統。

背景技術

鑒權，即身份認證是實現信息安全的基本技術，系統通過審查用戶的身份來確認該用戶是否具有對某種資源的訪問和使用權限，同樣也可以進行系統與系統間的身份認證。

當前通信網絡中身份認證系統普遍采用Kerberos認證方案。 Kerberos是一種網絡認證協議，其設計目標是通過密鑰系統為客戶機/ 服務器應用程序提供強大的認證服務。該認證過程的實現不依賴于主機操作系統的認證，無需基于主機地址的信任，不要求網絡上所有主機的物理安全，并假定網絡上傳送的數據包可以被任意的讀取、修改和插入數據。在以上情況下，Kerberos作為一種可信任的第三方認證服務，是通過傳統的密碼技術(如：共享密鑰)執行認證服務的。

在Kerberos認證方案中，引入了時間戳timestamp來對重放攻擊進行遏止，但是票據有生命周期，在其生命周期的有效時間內仍然可以使用。如果收到消息的時間是在規定允許的范圍之內，那么就認為該消息具有新鮮性。但是，在得到許可證后的攻擊者可以發送偽造的消息，這樣的話，在允許的時間內是很難發現的。

攻擊者有可能對加密設備進行攻擊，或者利用惡意軟件進行攻擊，所以很多研究者把對Kerberos的改進放在對硬件設備的改進上。目前，適合在Kerberos系統的用戶端使用的可信任硬件設備是智能卡。把智能卡集成到Kerberos系統中去，取得了很好的效果。

隨著無線通信技術的不斷發展，終端直接通信(Device to Device， D2D)已成為3GPP Rel-12標準化技術的熱點之一。D2D允許兩個用戶設備(User Equipment，UE)通過特定的信道(Sidelink Channel)直接進行數據傳輸，而無需經過演進型基站設備(Evolutional Node B，eNB)。當然， D2D并不局限于兩個用戶設備之間的數據傳輸，還可以支持單點對多點的群組通信(Group Communication)。現有的網絡認證體系大都是基于單個對象的一對一的認證方式，但是對于單點對多點的數據傳輸，會根據一定的原則形成群組。在這些應用場景下，當組內接入新的終端時，若采用現有的一對一的認證方式，不僅會增加網絡信令，導致網絡擁塞，且會占用大量網絡資源，因此現有的一對一的網絡認證體系不再適用。在這種情況下，為降低認證資源消耗，減少網絡擁塞，需要相應的群組認證機制。現有的群組通信系統使用的密鑰為傳統密鑰，傳統密鑰是由程序所產生的偽隨機數，偽隨機數都有特定的規律，相對來講更容易被破譯，量子密鑰是根據量子特性所產生的真隨機數，量子密鑰的下一個比特是無法預知的，有效的克服了偽隨機數的弊端。

公開號為CN106357649A，發明名稱為“用戶身份認證系統和方法”的專利文獻，公開了一種對稱密鑰體制的身份認證方法。但是該發明中身份認證只能完成一對一的身份認證，而且其身份認證是單向的，存在較大的安全隱患。

現有技術存在的問題：

(1)現有基于量子密鑰卡的身份認證技術只能完成一對一的身份認證，無法完成與群組的身份認證或群組間身份認證。