[发明专利]基于量子密钥分发网络的跨域身份认证方法及系统

说明书

本发明公开一种基于量子密钥分发网络的跨域身份认证方法及系统，包括：向对应的量子密钥管理系统发送密钥协商请求，并由所述量子密钥管理系统转发至量子密钥生成系统，以使所述量子密钥生成系统建立量子密钥终端间中继密钥协商链路并生成对称的认证密钥；接收对应的用户侧终端发送的认证请求，并基于所述认证请求向所述用户侧终端分配所述认证密钥的标识；接收对应的用户侧终端发送的登录请求信息，并基于所述登录请求信息向用户侧终端响应构造的令牌密文，以在所述用户侧终端访问跨域的身份认证服务系统时，将所述令牌密文转发到跨域的身份认证服务系统；本发明解决跨域身份认证存在的中心化问题，提高认证凭证数据分发的机密性、完整性。

技术领域

本发明涉及安全应用技术领域，具体涉及一种基于量子密钥分发网络的跨域身份认证方法及系统。

背景技术

随着互联网技术的快速发展以及网络应用系统的规模扩张，各种服务和资源会分布到不同的域中。根据域的划分和权限管理来区分不同的服务和资源，使得不同域的用户可以按不同的需求使用，这种不在同一域下访问服务和资源的方式就涉及到跨域访问。

传统的跨域访问方法，通常采用中心式或者集中式的数据库、代理等来维护跨域的认证凭证、身份令牌等数据，实现用户身份的认证和校验。然而现有跨域访问使用的中心式身份认证方法在实际应用过程中存在以下一些问题：（1）集中管理身份认证数据可靠性差，用户访问容易产生瓶颈，一旦失效影响全局，且缺乏扩展的灵活性；（2）同一用户访问跨域下的其他身份认证服务系统时，跨域的身份认证服务系统间需同步身份认证凭证、身份令牌等数据，存在身份认证数据分发过程中被窃取和篡改的风险。

相关技术中，申请公布号为CN114362947A的中国发明专利申请文献公开了一种广域量子密钥服务方法与系统，该方案描述的是在局域和跨域场景下任意节点间生成密钥的方法，通过QKD链路网络虚拟化和统一的服务接口实现密钥中继和QKD网络统一管理，将不同QKD网络间通过统一的平台实现量子密钥服务，且平台使用的是级联架构。

发明内容

本发明所要解决的技术问题在于如何提高认证凭证数据分发的机密性、完整性。

本发明通过以下技术手段实现解决上述技术问题的：

第一方面，本发明提出了一种基于量子密钥分发网络的跨域身份认证方法，应用于身份认证服务系统，所述方法包括以下步骤：

向对应的量子密钥管理系统发送密钥协商请求，并由所述量子密钥管理系统转发至量子密钥生成系统，以使所述量子密钥生成系统建立量子密钥终端KM间中继密钥协商链路并生成对称的认证密钥；

接收对应的用户侧终端发送的认证请求，并基于所述认证请求向所述用户侧终端分配所述认证密钥的标识，以使所述用户侧终端访问跨域的身份认证服务系统时，基于所述认证密钥的标识向跨域的身份认证服务系统所对应的量子密钥管理系统申请所述认证密钥；

接收对应的用户侧终端发送的登录请求信息，并基于所述登录请求信息向用户侧终端响应构造的令牌密文，以在所述用户侧终端访问跨域的身份认证服务系统时，将所述令牌密文转发到跨域的身份认证服务系统。

进一步地，在所述向对应的量子密钥管理系统发送密钥协商请求之前，所述方法还包括：

向对应的所述量子密钥管理系统发送入网认证请求，以使所述量子密钥管理系统生成签名公私钥对并将所述签名公私钥对返回所述身份认证服务系统；

使用所述签名公私钥对中的私钥签名认证数据，得到签名数据并发送至所述量子密钥管理系统，以使所述量子密钥管理系统基于公钥验证所述签名数据的认证信息；

在所述量子密钥管理系统验证通过后，接收所述量子密钥管理系统返回的认证令牌句柄。