[发明专利]基于量子通信网络与真随机数的多次身份认证系统和方法

权利要求书

1.一种基于量子通信网络与真随机数的多次身份认证系统，其特征在于，包括用户端A，用户端B以及量子网络服务站，其中用户端A向用户端B申请并获得ticket时，用户端A与用户端B之间实施第一次双向认证；用户端A利用所述ticket访问用户端B时，用户端A与用户端B之间实施第二次双向认证；

各用户端分别配置有量子密钥卡，用于生成真随机数作为双向认证标识，实施双向认证时通过用户端A与用户端B之间的会话密钥加密传输所述双向认证标识；所述会话密钥由用户端B与量子网络服务站同步生成，量子网络服务站还以密文方式经由用户端B将会话密钥分发给用户端A；

用户端A向用户端B申请并获得ticket时，包括：

用户端A生成密钥KA并将生成方式通知量子网络服务站，用户端B生成会话密钥KA-B并将生成方式通知量子网络服务站；

用户端A向用户端B发送第一消息以申请ticket，该第一消息中携带有用户端A身份信息以及第一双向认证标识；

用户端B响应于第一消息向量子网络服务站发送第二消息，该第二消息中携带有用户端A以及用户端B的身份信息；

量子网络服务站依据第二消息中用户端A以及用户端B的身份信息，生成与密钥KA相应的密钥KA’，以及与会话密钥KA-B相应的会话密钥KA-B’，利用密钥KA’加密会话密钥KA-B’，并通过第三消息发送给用户端B；

用户端B响应于第三消息，并生成第四消息发送给用户端A，第四消息中包括：

利用密钥KA’加密的会话密钥KA-B’；

第二双向认证标识；

利用会话密钥KA-B加密的第一双向认证标识；

以及ticket；

用户端A接收第四消息并对第一双向认证标识进行认证，认证成功后向用户端B发送第五消息，该第五消息包括利用会话密钥KA-B’加密的第二双向认证标识；

用户端B接收第五消息并对第二双向认证标识进行认证；

用户端A利用所述ticket访问用户端B时，包括：

用户端A向用户端B发送访问请求，该访问请求中包括第三双向认证标识以及所述ticket；

用户端B接收访问请求，验证ticket，验证通过后向用户端A发送验证请求，该验证请求中包括第四双向认证标识，以及利用用户端B与用户端A之间加密通信的会话密钥KA-B加密的第三双向认证标识；

用户端A接收验证请求并对第三双向认证标识进行验证，验证通过后向用户端B发送验证回复，该验证回复中包括利用用户端A与用户端B之间加密通信的会话密钥KA-B’加密的第四双向认证标识；

用户端B接收验证回复并对第四双向认证标识进行验证。

2.如权利要求1所述的基于量子通信网络与真随机数的多次身份认证系统，其特征在于，所述ticket由用户端B生成且以密文形式发送给用户端A，且密文形式的ticket仅用户端B可解密。

3.如权利要求2所述的基于量子通信网络与真随机数的多次身份认证系统，其特征在于，所述ticket包括：

用户端A的身份信息；

在用户端B生成，用于在用户端B与用户端A之间加密通信的会话密钥K_A-B；以及

ticket生成的时间戳T_B。

4.如权利要求1所述的基于量子通信网络与真随机数的多次身份认证系统，其特征在于，所述ticket按照预定条件更新，更新时用户端A与用户端B之间实施第三次双向认证以确认更新。