[发明专利]基于量子密钥分发网络的跨域身份认证方法及系统

权利要求书

1.一种基于量子密钥分发网络的跨域身份认证方法，其特征在于，应用于身份认证服务系统，所述方法包括：

向对应的量子密钥管理系统发送密钥协商请求，并由所述量子密钥管理系统转发至量子密钥生成系统，以使所述量子密钥生成系统建立量子密钥终端间中继密钥协商链路并生成对称的认证密钥；

接收对应的用户侧终端发送的认证请求，并基于所述认证请求向所述用户侧终端分配所述认证密钥的标识，以使所述用户侧终端访问跨域的身份认证服务系统时，基于所述认证密钥的标识向跨域的身份认证服务系统所对应的量子密钥管理系统申请所述认证密钥；

接收对应的用户侧终端发送的登录请求信息，并基于所述登录请求信息向用户侧终端响应构造的令牌密文，以在所述用户侧终端访问跨域的身份认证服务系统时，将所述令牌密文转发到跨域的身份认证服务系统。

2.如权利要求1所述的基于量子密钥分发网络的跨域身份认证方法，其特征在于，在所述向对应的量子密钥管理系统发送密钥协商请求之前，所述方法还包括：

向对应的所述量子密钥管理系统发送入网认证请求，以使所述量子密钥管理系统生成签名公私钥对并将所述签名公私钥对返回所述身份认证服务系统；

使用所述签名公私钥对中的私钥签名认证数据，得到签名数据并发送至所述量子密钥管理系统，以使所述量子密钥管理系统基于公钥验证所述签名数据的认证信息；

在所述量子密钥管理系统验证通过后，接收所述量子密钥管理系统返回的认证令牌句柄。

3.如权利要求1所述的基于量子密钥分发网络的跨域身份认证方法，其特征在于，所述向对应的量子密钥管理系统发送密钥协商请求，并由所述量子密钥管理系统转发至量子密钥生成系统，以使所述量子密钥生成系统建立量子密钥终端间中继密钥协商链路并生成对称的认证密钥，包括：

向对应的所述量子密钥管理系统发送密钥协商请求，所述密钥协商请求携带的信息为QMSID-A||KMID-A||QMSID-B||KMID-B，其中，QMSID-A为量子密钥管理系统A的虚拟唯一标识，KMID-A为量子密钥管理系统A对应的量子密钥终端的虚拟唯一标识，QMSID-B为量子密钥管理系统B的虚拟唯一标识，KMID-B为量子密钥管理系统B对应的量子密钥终端虚的拟唯一标识，||为表示逻辑与字符；

由所述量子密钥管理系统将所述密钥协商请求发送至所述量子密钥生成系统，使得所述量子密钥生成系统触发量子密钥虚拟终端间的中继密钥协商，生成对称的所述认证密钥并存储在各中继对应的中继密钥池中。

4.如权利要求3所述的基于量子密钥分发网络的跨域身份认证方法，其特征在于，在所述向对应的量子密钥管理系统发送密钥协商请求之后，所述方法还包括：

向所述量子密钥管理系统发送批量密钥请求，所述批量密钥请求携带信息包括认证令牌句柄、QMSID-B和KMID-B；

接收所述量子密钥管理系统返回的所述认证密钥的标识ReadkeyID，其中，跨域的身份认证服务系统作为被动端采用推送式监听等待本端对应的量子密钥管理系统返回所述认证密钥的标识ReadkeyID。

5.如权利要求1所述的基于量子密钥分发网络的跨域身份认证方法，其特征在于，所述用户侧终端发送的认证请求携带信息包括用户主密钥、用户主密钥标识以及安全芯片ID，所述用户主密钥存储在所述安全芯片中，所述安全芯片设置在所述用户侧终端。

6.如权利要求1所述的基于量子密钥分发网络的跨域身份认证方法，其特征在于，所述接收对应的用户侧终端发送的登录请求信息，并基于所述登录请求信息向用户侧终端响应构造的令牌密文，包括：

接收对应的所述用户侧终端发送的登录请求信息，所述登录请求信息包括所述认证密钥的标识和采用所述认证密钥加密后的登录信息密文；

基于所述认证密钥的标识向所述量子密钥管理系统请求获取所述认证密钥；

基于所述认证密钥验证所述登录请求信息，并在验证通过后生成所述令牌密文。