[发明专利]基于量子通信网络的改进型Kerberos身份认证系统和方法

说明书

本发明提供公开了一种基于量子通信网络的改进型Kerberos身份认证系统和方法，其中改进型Kerberos身份认证系统包括用户端A，用户端B以及量子网络服务站；用户端A向量子网络服务站发送与用户端B之间进行身份认证的第一次认证请求，量子网络服务站响应于该第一次认证请求分别向用户端B以及经由用户端B向用户端A发送凭证，用户端A和用户端B依据所获得的凭证分别生成且交互ticket以实施第一次认证；用户端A还依据从用户端B获得的ticket向用户端B发送第二次认证请求，用户端B响应于该第二次认证请求并与用户端A交互ticket以实施第二次认证。本发明基于量子通信网络进一步提高了安全性。

技术领域

本发明涉及量子通信技术领域，尤其涉及基于量子网络服务站的身份认证的系统和方法。

背景技术

身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。

当前通信网络中身份认证系统普遍采用Kerberos认证方案。Kerberos是一种网络认证协议，其设计目标是通过密钥系统为用户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下，Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术(如：共享密钥)执行认证服务的。

在Kerberos认证方案中，引入了时间戳timestamp来对重放攻击进行遏止，但是票据有生命周期，在其生命周期的有效时间内仍然可以使用。如果收到消息的时间是在规定允许的范围之内，那么就认为该消息具有新鲜性。但是，在得到许可证后的攻击者可以发送伪造的消息，这样的话，在允许的时间内是很难发现的。

现有技术存在的问题：

(1)现有身份认证技术基于Kerberos认证方案对时间戳的使用导致有出现重放攻击的可能。

(2)Kerberos协议要求是基于网络中时钟同步，对整个系统时间同步要求高，在大型分布式系统中难以实现。

(3)现有技术中服务器要分别向两个用户端分发会话密钥，存在一定的安全隐患。

(4)现有技术中，用户端密钥存储于用户端存储器中，可以被恶意软件或恶意操作窃取。

(5)现有技术中若要进行二次身份认证，仍需服务器的参与，服务器压力较大。

(6)现有技术中身份认证所传递的信息数较多，完成一次身份认证需要传递五个信息。

发明内容

本发明提供一种改进型Kerberos身份认证系统，其基于量子通信网络进一步提高了安全性。

一种基于量子通信网络的改进型Kerberos身份认证系统，包括用户端A，用户端B以及量子网络服务站；

用户端A向量子网络服务站发送与用户端B之间进行身份认证的第一次认证请求，量子网络服务站响应于该第一次认证请求分别向用户端B以及经由用户端B向用户端A发送凭证，用户端A和用户端B依据所获得的凭证分别生成且交互ticket以实施第一次认证；

用户端A还依据从用户端B获得的ticket向用户端B发送第二次认证请求，用户端B响应于该第二次认证请求并与用户端A交互ticket以实施第二次认证。

作为优选，用户端A和用户端B在交互ticket时均采用双向认证，且以真随机数作为认证标识。

本发明所述的用户端A与用户端B仅仅是便于区别和描述，A、B并不对用户端本身作出额外限定。