[发明专利]一种基于群组密钥池的改进型Kerberos身份认证系统和方法

权利要求书

1.一种基于群组密钥池的改进型Kerberos身份认证系统，其特征在于，包括量子网络服务站，以及分别包括多个用户端的主动方群组和被动方群组，主动方群组以及被动方群组的所有用户端分别配置有量子密钥卡；

各用户端的量子密钥卡各自独立的与量子网络服务站共享私有的对称密钥池；

同一群组中所有用户端的量子密钥卡与量子网络服务站共享与所在群组相应的群组密钥池；

进行身份认证时包括：

步骤A、主动方群组中的其中一用户端依据预设的主动方通信范围向量子网络服务站申请许可票据TGT；

用户端申请许可票据TGT时，采用加密的真随机数N1作为与量子网络服务站之间的身份认证数据，真随机数N1采用传输密钥进行加密，该传输密钥由所述用户端利用匹配的量子密钥卡生成，且将生成传输密钥的信息通知量子网络服务站；

量子网络服务站利用相应的方式生成真随机数N1’并与真随机数N1进行对比认证；

所述身份认证数据还包括用于生成真随机数N1的真随机数R_N1；所述真随机数N1的生成方式为用户端利用匹配的量子密钥卡生成产生真随机数R_N1，真随机数R_N1结合预定算法得到指针并指向由标示符A指定的密钥池中的某一部分，在该密钥池中提取出的相应部分即作为真随机数N1；

步骤B、所述用户端依据获得的许可票据TGT以及预设的被动方通信范围向量子网络服务站申请相应的Ticket以及主动方会话密钥，并在主动方通信范围内共享所述Ticket以及主动方会话密钥；

所述主动方会话密钥为密文形式，主动方通信范围为主动方群组中某一用户端时，利用与该用户端相应的对称密钥池中的密钥来加密主动方会话密钥；主动方通信范围为主动方群组中全体用户端时，利用与主动方群组相应的群组密钥池中的密钥来加密主动方会话密钥；

所述Ticket中的被动方会话密钥为密文形式，被动方通信范围为被动方群组中某一用户端时，利用与该用户端相应的对称密钥池中的密钥来加密被动方会话密钥；被动方通信范围为被动方群组中全体用户端时，利用与被动方群组相应的群组密钥池中的密钥来加密被动方会话密钥；

步骤C、主动方通信范围内的一用户端A向被动方通信范围内的一用户端B发送所述Ticket，所述Ticket中也包含有被动方会话密钥，使得用户端A和用户端B共享用于实施加密通信的会话密钥；

步骤A、B中主动方群组中的用户端与量子网络服务站通信时，以及步骤C中用户端A与用户端B通信时，分别采用真随机数的方式作为身份验证数据。

2.如权利要求1所述的基于群组密钥池的改进型Kerberos身份认证系统，其特征在于，步骤A、B、C中作为身份验证数据的真随机数各不相同，步骤A、B中的真随机数由主动方群组中的用户端匹配的量子密钥卡生成，连同生成真随机数的信息以加密形式发送至量子网络服务站，供量子网络服务站进行验证；

步骤C中的真随机数由量子网络服务站生成，连同生成真随机数的信息以加密形式在步骤B中发送给主动方群组中的用户端，步骤C中，用户端A与用户端B通信时，用户端A将步骤C中的真随机数连同生成真随机数的信息以加密形式发送至用户端B，供用户端B进行验证。

3.如权利要求1所述的基于群组密钥池的改进型Kerberos身份认证系统，其特征在于，用于加密主动方会话密钥的为第一安全密钥，用于加密被动方会话密钥为第二安全密钥；

步骤B共享所述主动方会话密钥时，共享的内容为采用第一安全密钥加密的主动方会话密钥，以及生成第一安全密钥的信息；所述Ticket中包含有生成第二安全密钥的信息。

4.如权利要求3所述的基于群组密钥池的改进型Kerberos身份认证系统，其特征在于，步骤A中、所述用户端向量子网络服务站申请TGT时携带有标示符A，用于通知量子网络服务站利用与该用户端相应的对称密钥池、或利用与主动方群组相应的群组密钥池生成第一安全密钥；

步骤B中、所述用户端向量子网络服务站申请相应的Ticket以及主动方会话密钥时携带有标示符B，用于通知量子网络服务站利用与被动方群组中某用户端相应的对称密钥池、或利用与被动方群组相应的群组密钥池生成第二安全密钥。