[发明专利]一种基于量子密钥的身份认证方法、装置及系统

说明书

本发明公开了一种基于量子密钥的身份认证方法，包括：客户端与服务端完成量子密钥的分发，服务端建立用户标识、量子密钥标识、量子密钥三者的对应关系；客户端选取预分发的第一量子密钥，生成客户端认证消息，并将第一量子密钥标识、客户端认证消息发送至服务端；服务端利用第一量子密钥标识验证客户端认证消息；服务端选取第二量子密钥、第三量子密钥，生成服务端量子随机数，生成服务端认证消息，并将第二量子密钥标识、服务端认证消息答复客户端；客户端根据第二量子密钥验证服务端的服务端认证消息，客户端与服务端根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组，双方利用准会话密钥组加密通信。

技术领域

本发明涉及量子通信技术领域，尤其是一种基于量子密钥的身份认证方法、装置及系统。

背景技术

随着电子商务、电子政务的迅速发展，人们从现实世界进入电子世界，网络成为人们从事各种业务活动的重要渠道，安全、便捷的认证方式是电子商务、电子政务有序开展的关键必要条件，因此构建一个安全、可信的网络环境至关重要。经过多年的研究和发展，目前形成了公开密钥基础体系(PKI)信息安全解决方案，但PKI身份认证体系从是基于数学算法的非对称加密体系，从理论上讲存在被破解的风险，尤其是近年来具有强大量子计算能力的量子计算的出现，对现有的PKI身份认证体系提出了挑战；另外PKI公钥认证体系认证过程存在需要庞大的证书数据库在线认证，存在认证效率低、速度慢的问题。

量子密钥分发技(Quantum Key Distribution，QKD)基于量子力学的海森堡测不准原理和量子不可克隆定理，通信收发双方通过量子信道共享密钥，是量子力学与密码学相结合的产物。QKD技术在通信中并不传输密文，只是利用量子信道传输密钥，将密钥分发到通信双方。通过单光子量子态的制备、传输、测量和经典通信协议后处理，实现通信双方之间的量子密钥共享，再结合“一次一密”的对称加密机制(即通信双方均使用与信息等长的密码进行逐比特的加解密操作)，理论上可实现绝对安全的量子通信，但目前的量子加密应用采用成功解密即完成双发是身份认证的方式，在特定条件下存在无法判断是否解密的明文是否成功的情况，也缺少必要的身份认证和密钥协商过程。

发明内容

针对现有PKI公钥认证体系的不足，结合量子密钥分发技术真随机性和绝对安全性的特点，本发明的目的是提供一种基于量子密钥的身份认证方法、装置及系统，以解决上述技术问题。

为实现上述目的，本发明采用下述技术方案：

本发明第一方面提供了一种基于量子密钥的身份认证方法，包括以下步骤：

客户端与量子密钥认证服务中心预先完成量子密钥的分发，量子密钥认证服务中心建立用户标识、量子密钥标识、量子密钥三者的对应关系；

客户端随机选取预分发的第一量子密钥，利用预置的加密算法加密用户标识、客户端量子随机数生成客户端认证消息，并将第一量子密钥标识、客户端认证消息发送至量子密钥认证服务中心；

量子密钥认证服务中心利用第一量子密钥标识验证客户端认证消息，若验证不通过，则中断会话；若验证通过，执行下一步骤；

量子密钥认证服务中心随机选取第二量子密钥、第三量子密钥，并生成服务端量子随机数，利用第二量子密钥加密第三量子密钥标识、服务端量子随机数、用户标识生成服务端认证消息，并将第二量子密钥标识、服务端认证消息答复客户端；

客户端根据第二量子密钥验证量子密钥认证服务中心的服务端认证消息，若验证不通过，结束对话；若验证通过，执行下一步骤；

客户端与量子密钥认证服务中心根据客户端量子随机数、服务端量子随机数、第三量子密钥联合生产准会话密钥组，双方利用准会话密钥组加密通信。

结合第一方面，在第一方面第一种可能的实现方式中，所述客户端与量子密钥认证服务中心预先完成量子密钥的分发，具体包括：