本申請涉及一種基于非對稱密鑰池對和密鑰卡的外網(wǎng)接入身份認(rèn)證方法和系統(tǒng)，本發(fā)明中，使用的密鑰卡是獨立的硬件隔離設(shè)備。公鑰、私鑰和其他相關(guān)參數(shù)均存儲在密鑰卡中的數(shù)據(jù)安全區(qū)，被惡意軟件或惡意操作竊取密鑰的可能性大大降低，也不會被量子計算機獲取并破解。由于在經(jīng)典網(wǎng)絡(luò)中均無涉及公私鑰及算法參數(shù)的傳遞，因此非對稱密鑰被破解的風(fēng)險很低，所以消息的安全性得到極大的保障。密鑰卡保障了通信雙方在群組中的通信安全，也極大的提高了身份認(rèn)證的安全性，從而實現(xiàn)了抗量子計算的外網(wǎng)接入系統(tǒng)。

技術(shù)領(lǐng)域

本申請涉及安全通信技術(shù)領(lǐng)域，特別是涉及基于非對稱密鑰池對和密鑰卡的外網(wǎng)接入身份認(rèn)證方法和系統(tǒng)。

背景技術(shù)

當(dāng)前互聯(lián)網(wǎng)通信技術(shù)快速發(fā)展，我們的電腦、手機等設(shè)備都無時無刻在互聯(lián)網(wǎng)傳遞、共享各種網(wǎng)絡(luò)消息，同時網(wǎng)絡(luò)消息以及各種應(yīng)用消息都在外網(wǎng)與內(nèi)網(wǎng)之間實現(xiàn)連接或共享(外網(wǎng)：互聯(lián)網(wǎng)；內(nèi)網(wǎng)：又稱局域網(wǎng)，通常用防火墻或其他身份認(rèn)證設(shè)備阻隔于互聯(lián)網(wǎng)之外的局部網(wǎng)絡(luò))。

內(nèi)網(wǎng)相對而言是安全的，能阻擋大部分來自外網(wǎng)的黑客襲擊，但仍會發(fā)生泄密事件。由于外網(wǎng)環(huán)境復(fù)雜存在許多不安全的因素，比如：黑客惡意漏洞攻擊、病毒感染等等，時刻威脅著內(nèi)網(wǎng)的安全。用戶在使用外網(wǎng)的同時，需要訪問內(nèi)網(wǎng)，則可能會導(dǎo)致互聯(lián)網(wǎng)上的不安全的因素通過客戶端作為中繼點進(jìn)入內(nèi)網(wǎng)，直接威脅內(nèi)網(wǎng)的消息安全。因此為了確保網(wǎng)絡(luò)的安全，可通過外網(wǎng)接入認(rèn)證服務(wù)器對用戶身份認(rèn)證后，才允許連接到內(nèi)網(wǎng)，并給予一定權(quán)限的對內(nèi)網(wǎng)的訪問服務(wù)。身份認(rèn)證是消息安全的基本技術(shù)，系統(tǒng)通過審查用戶的身份來確認(rèn)該用戶是否具有對某種資源的訪問和使用權(quán)限，所以外網(wǎng)接入認(rèn)證服務(wù)器可以被看作是外網(wǎng)成員接入內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)的門戶。

但是，外網(wǎng)接入認(rèn)證服務(wù)器也是最容易遭受到攻擊的環(huán)節(jié)。目前，一般采用防火墻來阻擋攻擊，但是防火墻以及應(yīng)用程序、VPN或以太網(wǎng)協(xié)議棧等軟件的設(shè)計和配置都有可能出現(xiàn)漏洞。不僅如此，CPU本身也可能存在漏洞，那么內(nèi)網(wǎng)還是有可能被蠕蟲感染或者被直接攻擊，這就存在外網(wǎng)接入認(rèn)證服務(wù)器被入侵的風(fēng)險。因此，尋找一種更安全的外網(wǎng)接入認(rèn)證系統(tǒng)及認(rèn)證方法，是當(dāng)前保證網(wǎng)絡(luò)安全亟需解決的技術(shù)問題。

隨著量子計算機的發(fā)展，經(jīng)典非對稱加密算法將不再安全，無論是認(rèn)證還是加解密領(lǐng)域。由于量子計算機的潛在威脅。因此現(xiàn)有基于量子通信服務(wù)站與量子密鑰卡的外網(wǎng)接入認(rèn)證系統(tǒng)及認(rèn)證的方案，利用量子通信服務(wù)站與量子密鑰卡之間的對稱密鑰池進(jìn)行外網(wǎng)接入身份認(rèn)證，以避免使用經(jīng)典非對稱加密算法的身份認(rèn)證流程被量子計算機破解。

現(xiàn)有技術(shù)存在的問題：

1、現(xiàn)有基于對稱密鑰池進(jìn)行身份認(rèn)證的方案，量子通信服務(wù)站與量子密鑰卡之間使用對稱密鑰池，其容量巨大，對量子通信服務(wù)站的密鑰存儲帶來壓力；

2、現(xiàn)有基于對稱密鑰池進(jìn)行身份認(rèn)證的方案，由于對稱密鑰池密鑰容量巨大，量子通信服務(wù)站不得不將密鑰加密存儲于普通存儲介質(zhì)例如硬盤內(nèi)，而無法存儲于量子通信服務(wù)站的密鑰卡內(nèi)；

3、現(xiàn)有基于對稱密鑰池進(jìn)行身份認(rèn)證的方案，由于對稱密鑰池密鑰容量巨大，給密鑰備份造成麻煩。

發(fā)明內(nèi)容

基于此，有必要針對上述技術(shù)問題，提供一種能夠減少服務(wù)站存儲數(shù)據(jù)量的基于非對稱密鑰池對和密鑰卡的外網(wǎng)接入身份認(rèn)證方法。

本申請公開了基于非對稱密鑰池對和密鑰卡的外網(wǎng)接入身份認(rèn)證方法，所述外網(wǎng)接入身份認(rèn)證方法包括：

客戶端生成第一隨機參數(shù)，并利用所述第一隨機參數(shù)取出第一服務(wù)站公鑰，利用自身存儲的客戶端私鑰與所述第一服務(wù)站公鑰根據(jù)DH協(xié)議生成第一密鑰；生成第二隨機參數(shù)并利用所述第二隨機參數(shù)生成客戶端臨時公鑰；利用客戶端私鑰對所述臨時公鑰簽名得到第一簽名；生成第一消息，所述第一消息包括客戶端設(shè)備參數(shù)，第一隨機參數(shù)，以及利用所述第一密鑰加密的客戶端臨時公鑰和第一簽名；向服務(wù)站發(fā)送所述第一消息；