一种适用于量子密钥分发网络的身份认证授权方法与流程

1.本发明涉及量子密钥分发技术领域，具体涉及一种适用于量子密钥分发网络的身份认证授权方法。


背景技术：

2.近年来，量子科技发展突飞猛进，成为新一轮科技革命和产业变革的前沿领域，加快发展量子科技，对促进高质量发展、保障国家安全具有非常重要的作用。
3.量子密钥分发网是基于点对点qkd技术，通过量子中继构建的网状量子密钥分发网络，实现远距离端到端的用户应用密钥安全分发，为通信双方产生和分配安全的量子密钥。
4.量子密钥服务(quantum key service，缩写：“qks”)是量子密钥分发网向典型密码应用系统提供量子密钥分发的新一代密码基础设施，即典型密码应用系统接入量子密钥分发网的服务节点。
5.虽然量子密钥分发网建设已经初见成效，但是用户经典密码应用如何与量子密钥分发网络有效融合一直以来都是量子密钥分发技术实用化的关键问题。
6.为了保障量子密钥分发网向典型密码应用系统分发密钥的安全，典型密码应用系统必须通过量子密钥分发网的认证授权才能使用量子密钥服务节点的量子密钥分发功能。
7.当前，还没有一种简单高效的身份认证授权机制来满足量子密钥分发网的认证授权需求。主流的身份认证系统基于pki体系构建，主要使用的是sm2算法，但是sm2密码体系庞大、结构臃肿、部署实施复杂，且不能达到抗量子攻击的安全性要求，不能作为配套量子密钥分发网认证授权系统使用。因此，基于对称密码体系构建抗量子攻击的身份认证授权方法是十分必要的。


技术实现要素：

8.本发明需要解决的技术问题是提供一种适用于量子密钥分发网络的身份认证授权方法，具有抗量子攻击、离线安全传输和简单高效认证的优点。
9.为解决上述技术问题，本发明所采取的技术方案如下。
10.一种适用于量子密钥分发网络的身份认证授权方法，包括以下步骤：
11.s1：身份认证授权系统为量子密钥服务设备生成认证密钥并保存，通过智能密码钥匙离线充注到量子密钥服务设备中；
12.s2：身份认证授权系统为典型密码应用系统计算生成认证票据并保存，通过智能密码钥匙离线导入到典型密码应用系统中；
13.s3：典型密码应用系统通过在线接口调用量子密钥服务设备的服务接口，同时将认证票据作为接口参数向量子密钥服务设备出示；
14.s4：量子密钥服务设备接收到接口请求后，对典型密码应用系统出示的票据，利用认证密钥进行鉴权；
15.s5：量子密钥服务设备向典型密码应用系统返回响应结果。
16.优选的，所述步骤s1中认证密钥生成处理流程，包括以下步骤：
17.s100：身份认证授权系统从身份认证授权系统所属密码卡读取16字节随机数作为认证密钥，记为authkey；
18.s101：身份认证授权系统调用密码卡的加密接口加密authkey；
19.s102：密码卡利用密钥加密密钥kek对authkey做加密运算，加密算法采用sm4的ecb模式，计算失败则重新进行步骤s100，计算成功则记密钥密文为cipherkey；
20.s103：身份认证授权系统将量子密钥服务设备的标识qksname与cipherkey绑定；
21.s104：身份认证授权系统将qksname和cipherkey写入数据库；
22.s105：数据库保存qksname和cipherkey；
23.s106：认证密钥生成结束。
24.优选的，所述步骤s1中认证密钥离线充注处理流程，包括以下步骤：
25.s107：身份认证授权系统从数据库读取认证密钥密文cipherkey；
26.s108：将cipherkey解密还原为认证密钥authkey，解密算法采用sm4的ecb模式；
27.s109：身份认证授权系统将认证密钥导出到智能密码钥匙；
28.s110：智能密码钥匙将认证密钥保存在内部安全存储区；
29.s111：量子密钥服务设备从智能密码钥匙导入认证密钥；
30.s112：量子密钥服务设备自行保存认证密钥。
31.优选的，所述步骤s2中认证票据生成处理流程，包括以下步骤：
32.s200：身份认证授权系统录入票据参数和量子密钥服务设备的标识qksname；
33.s201：身份认证授权系统从数据库中根据qksname读取认证密钥密文cipherkey；
34.s202：身份认证授权系统调用密码卡的解密接口解密cipherkey；
35.s203：密码卡将cipherkey解密还原为认证密钥authkey，解密算法采用sm4的ecb模式，计算失败则重新进行步骤s200，计算成功则记密钥明文为authkey；
36.s204：身份认证授权系统利用authkey对票据参数做hmac运算，将运算结果作为认证票据ticket；
37.s205：身份认证授权系统将认证票据ticket与典型密码应用系统的标识appname绑定，写入数据库；
38.s206：数据库保存认证票据ticket；
39.s207：认证票据生成结束。
40.优选的，所述步骤s2中认证票据离线颁发处理流程，包括以下步骤：
41.s208：身份认证授权系统从数据库读取认证票据ticket；
42.s209：身份认证授权系统将ticket导出到智能密码钥匙；
43.s210：智能密码钥匙将ticket以文件形式保存在内部文件存储区；
44.s211：典型密码应用系统从智能密码钥匙导入ticket并解析；
45.s212：典型密码应用系统自行保存ticket。
46.优选的，所述步骤s4中认证票据鉴权处理流程，包括以下步骤：
47.s400：典型密码应用系统从数据库读取认证票据ticket；
48.s401：典型密码应用系统根据不同场景调用量子密钥服务设备的在线接口，将票
据参数和ticket发送给量子密钥服务设备；
49.s402：量子密钥服务设备读取认证密钥authkey；
50.s403：量子密钥服务设备利用authkey对票据参数做hmac运算，运算结果记为ticket1；
51.s404：量子密钥服务设备将ticket和ticket1进行比对；
52.s405：比对一致则提供所需数据，否则拒绝服务返回错误。
53.优选的，所述步骤s5包括以下步骤：
54.s501：量子密钥服务设备向典型密码应用系统返回步骤s405的响应结果；
55.s502：典型密码应用系统获得响应结果进行业务处理。
56.优选的，所述认证票据为根据典型密码应用系统使用量子密钥服务设备的不同场景而设计的四种，包括应用票据、访问票据、发布票据和订阅票据；所述应用票据是指身份认证授权系统授予典型密码应用系统接入量子密钥服务设备的身份凭证信息；所述访问票据是指身份认证授权系统授予典型密码应用系统向量子密钥服务设备申请端端密钥的权限凭证信息；所述发布票据是指身份认证授权系统授予典型密码应用系统通过量子密钥服务设备发布群组密钥主题的权限凭证信息；所述订阅票据是指身份认证授权系统授予典型密码应用系统通过量子密钥服务设备订阅群组密钥主题的权限凭证信息。
57.优选的，所述认证密钥是身份认证授权系统和量子密钥服务设备之间的认证密钥authkey，认证算法是基于sm3的hmac算法，票据参数包括典型密码应用系统的标识appname、量子密钥服务设备的标识qksname、发端量子密钥服务设备标识sqksname、收端量子密钥服务设备标识dqksname、密钥主题topic、发端典型密码应用系统标识sappname、收端典型密码应用系统标识dappname中的一项或多项组合。
58.优选的，不同所述认证票据的计算如下所示：
59.应用票据:apptkt＝hmac(authkey，appname|qksname)；
60.访问票据:acctkt＝
61.hmac(authkey，topic|sappname|sqksname|dappname|dqksname)；
62.发布票据：pubtkt＝hmac(authkey，topic|sappname|sqksname)；
63.订阅票据：subtkt＝
64.hmac(authkey，topic|sappname|sqksname|dappname|dqksname)。
65.由于采用了以上技术方案，本发明所取得技术进步如下。
66.本发明基于抗量子对称密码算法实现的身份认证票据颁发和鉴权的方法，具有抗量子攻击、离线安全传输、简单高效认证等优点。
附图说明
67.图1为本发明的身份认证授权系统硬件框架；
68.图2为本发明的身份认证授权系统软件框架；
69.图3为本发明的总体认证流程图；
70.图4为本发明的认证密钥生成处理流程图；
71.图5为本发明的认证密钥离线充注处理流程图；
72.图6为本发明的认证票据生成处理流程图；
73.图7为本发明的认证票据离线颁发处理流程图；
74.图8为本发明的认证票据鉴权处理及响应结果返回流程图；
75.图9为本发明的认证票据的计算流程图。
具体实施方式
76.下面将结合附图和具体实施方式对本发明进行进一步详细说明。
77.一种适用于量子密钥分发网络的身份认证授权方法，包括身份认证授权系统，身份认证授权系统的硬件主要由电源模块、cpu、内存、硬盘、密码卡、桥接芯片、usb控制器和以太网控制器组成，其中，密码卡为pci-e密码卡，桥接芯片为pci-e桥接芯片。身份认证授权系统的硬件框架，如图1所示，cpu的输出端分别与pci-e桥接芯片和内存的输入端连接，pci-e桥接芯片的输出端分别与pci-e密码卡、硬盘、usb控制器和以太网控制器的输入端连接；cpu的输出端还连接有vga接口；电源模块用于为身份认证授权系统提供电源，电源模块连接有电源接口。
78.身份认证授权系统的软件主要由身份认证授权程序、数据库、密码卡驱动程序等组成。身份认证授权程序由系统管理模块、密钥管理模块、票据管理模块组成，系统管理模块用于通过管理页面管理系统，密钥管理模块主要管理认证密钥，票据管理模块主要管理认证票据；数据库保存系统数据；密码卡驱动程序提供对pci-e密码卡的调用服务。身份认证授权系统的软件框架，如图2所示。
79.身份认证授权系统总体认证流程，如图3所示，包括以下步骤：
80.s1：身份认证授权系统为量子密钥服务设备生成认证密钥并保存，通过智能密码钥匙离线充注到量子密钥服务设备中。
81.如图4所示，认证密钥生成处理流程，包括以下步骤：
82.s100：身份认证授权系统从身份认证授权系统所属密码卡读取16字节随机数作为认证密钥，记为authkey；
83.s101：身份认证授权系统调用密码卡的加密接口加密authkey。
84.s102：密码卡利用密钥加密密钥kek对authkey做加密运算，加密算法采用sm4的ecb模式，计算失败则重新进行步骤s100，计算成功则记密钥密文为cipherkey。
85.s103：身份认证授权系统将量子密钥服务设备的标识qksname与cipherkey绑定。
86.s104：身份认证授权系统将qksname和cipherkey写入数据库。
87.s105：数据库保存qksname和cipherkey。
88.s106：认证密钥生成结束。
89.如图5所示，认证密钥离线充注处理流程，包括以下步骤：
90.s107：身份认证授权系统从数据库读取认证密钥密文cipherkey。
91.s108：将cipherkey解密还原为认证密钥authkey，解密算法采用sm4的ecb模式。
92.s109：身份认证授权系统将认证密钥导出到智能密码钥匙。
93.s110：智能密码钥匙将认证密钥保存在内部安全存储区。
94.s111：量子密钥服务设备从智能密码钥匙导入认证密钥。
95.s112：量子密钥服务设备自行保存认证密钥。
96.s2：身份认证授权系统为典型密码应用系统计算生成认证票据并保存，通过智能
密码钥匙离线导入到典型密码应用系统中。
97.如图6所示，认证票据生成处理流程，包括以下步骤：
98.s200：身份认证授权系统录入票据参数和量子密钥服务设备的标识qksname。
99.s201：身份认证授权系统从数据库中根据qksname读取认证密钥密文cipherkey。
100.s202：身份认证授权系统调用密码卡的解密接口解密cipherkey。
101.s203：密码卡将cipherkey解密还原为认证密钥authkey，解密算法采用sm4的ecb模式，计算失败则重新进行步骤s200，计算成功则记密钥明文为authkey。
102.s204：身份认证授权系统利用authkey对票据参数做hmac运算，将运算结果作为认证票据ticket。
103.s205：身份认证授权系统将认证票据ticket与典型密码应用系统的标识appname绑定，写入数据库。
104.s206：数据库保存认证票据ticket。
105.s207：认证票据生成结束。
106.如图7所示，认证票据离线颁发处理流程，包括以下步骤：
107.s208：身份认证授权系统从数据库读取认证票据ticket。
108.s209：身份认证授权系统将ticket导出到智能密码钥匙。
109.s210：智能密码钥匙将ticket以文件形式保存在内部文件存储区。
110.s211：典型密码应用系统从智能密码钥匙导入ticket并解析。
111.s212：典型密码应用系统自行保存ticket。
112.s3：典型密码应用系统通过在线接口调用量子密钥服务设备的服务接口，同时将认证票据作为接口参数向量子密钥服务设备出示。
113.s4：量子密钥服务设备接收到接口请求后，对典型密码应用系统出示的票据，利用认证密钥进行鉴权。
114.如图8所示，认证票据鉴权处理流程，包括以下步骤：
115.s400：典型密码应用系统从数据库读取认证票据ticket。
116.s401：典型密码应用系统根据不同场景调用量子密钥服务设备的在线接口，将票据参数和ticket发送给量子密钥服务设备。
117.s402：量子密钥服务设备读取认证密钥authkey。
118.s403：量子密钥服务设备利用authkey对票据参数做hmac运算，运算结果记为ticket1。
119.s404：量子密钥服务设备将ticket和ticket1进行比对。
120.s405：比对一致则提供所需数据，否则拒绝服务返回错误。
121.本发明根据典型密码应用系统使用量子密钥服务设备的不同场景，设计了四种认证票据，包括应用票据、访问票据、发布票据、订阅票据。
122.应用票据是指身份认证授权系统授予典型密码应用系统接入量子密钥服务设备的身份凭证信息。
123.访问票据是指身份认证授权系统授予典型密码应用系统向量子密钥服务设备申请端端密钥的权限凭证信息。
124.发布票据是指身份认证授权系统授予典型密码应用系统通过量子密钥服务设备
发布群组密钥主题的权限凭证信息。
125.订阅票据是指身份认证授权系统授予典型密码应用系统通过量子密钥服务设备订阅群组密钥主题的权限凭证信息。
126.认证密钥是身份认证授权系统和量子密钥服务设备之间的认证密钥authkey，认证算法是基于sm3的hmac算法，票据参数包括典型密码应用系统的标识appname、量子密钥服务设备的标识qksname、发端量子密钥服务设备标识sqksname、收端量子密钥服务设备标识dqksname、密钥主题topic、发端密码应用系统标识sappname、收端密码应用系统标识dappname中的一项或多项组合。
127.认证票据的计算流程图，如图9所示。不同认证票据的计算如下所示：
128.应用票据:apptkt＝hmac(authkey，appname|qksname)。
129.访问票据:acctkt＝
130.hmac(authkey，topic|sappname|sqksname|dappname|dqksname)。
131.发布票据：pubtkt＝hmac(authkey，topic|sappname|sqksname)。
132.订阅票据：subtkt＝
133.hmac(authkey，topic|sappname|sqksname|dappname|dqksname)。
134.认证票据以文件形式保存在智能密码钥匙的根目录即root目录下，文件结构为json形式，不同票据拥有相对固定的文件名，文件大小为256字节。
135.应用票据的文件名为appt，数据格式如表1所示：
136.表1应用票据的数据格式
[0137][0138][0139]
访问票据的文件名为acct，数据格式如表2所示：
[0140]
表2访问票据的数据格式
[0141][0142]
发布票据的文件名为pubt，数据格式如表3所示：
[0143]
表3发布票据的数据格式
[0144]
[0145][0146]
订阅票据的文件名为subt，数据格式如表4所示：
[0147]
表4发布票据的数据格式
[0148][0149]
s5：量子密钥服务设备向典型密码应用系统返回结果。
[0150]
s5包括以下步骤：
[0151]
s501：量子密钥服务设备向典型密码应用系统返回步骤s405的响应结果。
[0152]
s502：典型密码应用系统获得响应结果进行业务处理。
[0153]
本发明在使用时，具有抗量子攻击、离线安全传输、简单高效认证等优点。