[发明专利]基于量子密钥卡的身份认证系统

说明书

本发明公开了一种基于量子密钥卡的身份认证系统，包括用户端A，用户端B以及量子网络服务站，其中用户端A向量子网络服务站申请TGT_(A)以及经由用户端B获得TGT_(B)；用户端A再依据TGT_(A)以及TGT_(B)向量子网络服务站申请相应的Ticket，并利用获得的Ticket访问用户端B。各用户端分别配置有量子密钥卡，量子密钥卡与量子网络服务站之间存储有相应的量子密钥；用户端A与量子网络服务站之间，以及两用户端之间通信时利用所配置的量子密钥卡进行身份认证。本发明使用量子真随机数代替现有技术的时间戳，解决了出现重放攻击的可能。量子密钥卡是独立的硬件设备，被窃取密钥的可能性大大降低。而且密钥可以经常改变，安全性大大提高。

技术领域

本发明涉及量子通信技术领域，尤其涉及基于量子密钥卡的身份认证系统。

背景技术

身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。

当前通信网络中身份认证系统普遍采用Kerberos认证方案。Kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下，Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术(如：共享密钥)执行认证服务的。

在Kerberos认证方案中，引入了时间戳timestamp来对重放攻击进行遏止，但是票据有生命周期，在其生命周期的有效时间内仍然可以使用。如果收到消息的时间是在规定允许的范围之内，那么就认为该消息具有新鲜性。但是，在得到许可证后的攻击者可以发送伪造的消息，这样的话，在允许的时间内是很难发现的。

攻击者有可能对加密设备进行攻击，或者利用恶意软件进行攻击，所以很多研究者把对Kerberos的改进放在对硬件设备的改进上。目前，适合在Kerberos系统的用户端使用的可信任硬件设备是智能卡。把智能卡集成到Kerberos系统中去，取得了很好的效果。

现有技术存在的问题：

(1)现有身份认证技术基于Kerberos认证方案对时间戳的使用导致有出现重放攻击的可能。

(2)Kerberos协议要求是基于网络中时钟同步，对整个系统时间同步要求高，在大型分布式系统中难以实现。

(3)现有技术中，用户端密钥存储于用户端存储器中，可以被恶意软件或恶意操作窃取。

(4)现有技术中，用户端的长期密钥是不变的，安全性不够高。

发明内容

本发明基于Kerberos认证方式，提供一种具有更好安全性的身份认证系统。

一种基于量子密钥卡的身份认证系统，包括用户端A，用户端B以及量子网络服务站，其中用户端A向量子网络服务站申请TGT_(A)以及经由用户端B获得TGT_(B)；用户端A再依据TGT_(A)以及TGT_(B)向量子网络服务站申请相应的Ticket，并利用获得的Ticket访问用户端B；

各用户端分别配置有量子密钥卡，量子密钥卡与量子网络服务站之间存储有相应的量子密钥；用户端A与量子网络服务站之间，以及两用户端之间通信时利用所配置的量子密钥卡进行身份认证。

本发明中提及的TGT_(A)以及TGT_(B)，其角标仅为了便于叙述并区分获得渠道不同，并不对TGT的本身含义进行限定。