一种身份认证的方法、装置及系统与流程

本发明涉及通信技术领域，特别是涉及一种身份认证的方法、装置及系统。

背景技术

随着互联网技术和通信技术的发展，能够通过互联网实现业务数据的网络传输，提高业务响应的时效性。为了避免数据在互联网中传输时，被非法的设备截获或篡改，服务器需要对请求通信的设备进行身份认证，而设备也需要对服务器进行身份认证。

目前，采用sslvpn(securesocketslayer，virtualprivatenetwork，安全套接层虚拟专用网络)技术构建数据的安全传输网络。但是，sslvpn技术，基于非对称加密算法实现服务器与设备之间的身份认证，随着计算机计算能力的提高，该非对称加密算法可被破解，导致服务器和设备之间的身份认证安全性低。

技术实现要素：

本发明解决的技术问题在于提供一种身份认证的方法、装置及系统，从而能够采用对称的量子密钥实现服务器和设备之间的身份认证，提高身份认证的安全性。

为此，本发明解决技术问题的技术方案是：

一种身份认证的方法，所述方法包括：

量子认证服务器接收虚拟专用网络vpn网络设备发送的第一认证请求，所述第一认证请求包括量子设备的设备标识和所述vpn网络设备支持的算法套件集合，所述量子设备与所述vpn网络设备相连；

所述量子认证服务器从所述算法套件集合中选取所述量子认证服务器支持的算法套件作为指定算法套件，并根据所述设备标识，从量子密钥集合中获取第一标识，所述第一标识所标识的第一量子密钥，以及第二标识，所述量子密钥集合与所述量子设备中同一标识对应的量子密钥是对称的量子密钥；

所述量子认证服务器生成第一校验码，采用所述第一量子密钥对第一信息进行加密生成第一密文，所述第一信息包括所述设备标识，所述第二标识和所述第一校验码；

所述量子认证服务器向所述vpn网络设备发送认证响应，所述认证响应包括所述第一密文，所述指定算法套件，以及所述第一标识；

当接收到所述vpn网络设备发送的第二认证请求时，所述量子认证服务器根据所述第二认证请求中的所述设备标识，获取所述第二标识所标识的第二量子密钥，采用所述第二量子密钥对所述第二认证请求中的第二密文进行解密，获得第二信息，所述第二信息包括所述设备标识和第二校验码；

所述量子认证服务器生成第三校验码，当所述第三校验码与所述第二校验码相同时，所述量子认证服务器对所述vpn网络设备认证通过。

在一个例子中，所述量子认证服务器根据所述设备标识，从量子密钥集合中获取第一标识，所述第一标识所标识的第一量子密钥，以及第二标识包括：

所述量子认证服务器向量子密钥管理设备发送所述设备标识，所述量子密钥管理设备包括所述量子密钥集合；

所述量子认证服务器接收所述量子密钥管理设备发送的第一标识，所述第一标识所标识的第一量子密钥，以及第二标识。

在一个例子中，

所述第一量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对所述交互数据进行解密的量子密钥使用一次；

所述第二量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对所述交互数据进行解密的量子密钥使用一次；

所述交互数据是所述量子认证服务器和所述vpn网络设备之间的交互数据。

在一个例子中，采用所述第一量子密钥对所述设备标识，所述第二标识和所述第一校验码进行加密生成第一密文包括：

采用所述第一量子密钥对所述设备标识，所述标识密文和所述第一校验码进行加密生成第一密文，所述标识密文是采用预设的标识密钥对所述第二标识进行加密后所得的密文。

在一个例子中，

所述第一信息还包括第一随机数，所述第二信息还包括第二第一随机数，当所述第三校验码与所述第二校验码相同，并且所述第一随机数与所述第二第一随机数相同时，所述量子认证服务器对所述vpn网络设备认证通过。

一种身份认证的方法，所述方法包括：

虚拟专用网络vpn网络设备向量子认证服务器发送第一认证请求，所述第一认证请求包括量子设备的设备标识和所述vpn网络设备支持的算法套件集合，所述量子设备与所述vpn网络设备相连；

所述vpn网络设备接收认证响应，将所述认证响应发送至量子设备，所述认证响应包括第一密文，指定算法套件，以及第一标识；

所述量子设备根据所述第一标识获取第一量子密钥，利用所述第一量子密钥对所述认证响应中的所述第一密文进行解密，获得第一信息，所述第一信息包括设备标识，第二标识和第一校验码，将解密后的认证响应发送至所述vpn网络设备；

所述vpn网络设备生成第二校验码，当所述第一校验码和所述第二校验码相同时，所述vpn网络设备对所述量子认证服务器认证通过，生成第三校验码，将包括所述第三校验码的未加密的第二认证请求发送至所述量子设备；

所述量子设备根据所述第二标识获取第二量子密钥，利用所述第二量子密钥对第二信息进行加密获得第二密文，所述第二信息包括所述设备标识和所述第三校验码，向所述vpn网络设备发送第二认证请求，所述第二认证请求包括所述设备标识和所述第二密文；

所述vpn网络设备将接收到的所述第二认证请求发送至所述量子认证服务器。

在一个例子中，

所述第一量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对所述交互数据进行解密的量子密钥使用一次；

所述第二量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对所述交互数据进行解密的量子密钥使用一次；

所述交互数据是所述量子认证服务器和所述vpn网络设备之间的交互数据。

在一个例子中，所述量子设备利用所述第一量子密钥对所述第一密文进行解密，获得第二标识包括：

所述量子设备利用所述第一量子密钥对所述第一密文进行解密，获得标识密文；

所述量子设备采用预设的标识密钥对所述标识密文进行解密，获得所述第二标识。

在一个例子中，

所述第一信息还包括第一随机数，所述第二信息还包括所述第一随机数。

一种身份认证的量子认证服务器，所述量子认证服务器包括：

接收单元，用于接收虚拟专用网络vpn网络设备发送的第一认证请求，所述第一认证请求包括量子设备的设备标识和所述vpn网络设备支持的算法套件集合，所述量子设备与所述vpn网络设备相连；

获取单元，用于从所述算法套件集合中选取所述量子认证服务器支持的算法套件作为指定算法套件，并根据所述设备标识，从量子密钥集合中获取第一标识，所述第一标识所标识的第一量子密钥，以及第二标识，所述量子密钥集合与所述量子设备中同一标识对应的量子密钥是对称的量子密钥；

加密单元，用于生成第一校验码，采用所述第一量子密钥对第一信息进行加密生成第一密文，所述第一信息包括所述设备标识，所述第二标识和所述第一校验码；

发送单元，用于向所述vpn网络设备发送认证响应，所述认证响应包括所述第一密文，所述指定算法套件，以及所述第一标识；

解密单元，用于当接收到所述vpn网络设备发送的第二认证请求时，根据所述第二认证请求中的所述设备标识，获取所述第二标识所标识的第二量子密钥，采用所述第二量子密钥对所述第二认证请求中的第二密文进行解密，获得第二信息，所述第二信息包括所述设备标识和第二校验码；

认证单元，用于生成第三校验码，当所述第三校验码与所述第二校验码相同时，所述量子认证服务器对所述vpn网络设备认证通过。

在一个例子中，所述获取单元包括：

发送子单元，用于向量子密钥管理设备发送所述设备标识，所述量子密钥管理设备包括所述量子密钥集合；

接收子单元，用于接收所述量子密钥管理设备发送的第一标识，所述第一标识所标识的第一量子密钥，以及第二标识。

在一个例子中，

所述第一量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对所述交互数据进行解密的量子密钥使用一次；

所述第二量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对所述交互数据进行解密的量子密钥使用一次；

所述交互数据是所述量子认证服务器和所述vpn网络设备之间的交互数据。

在一个例子中，其特征在于，

所述加密单元，还用于采用所述第一量子密钥对所述设备标识，标识密文和所述第一校验码进行加密生成第一密文，所述标识密文是采用预设的标识密钥对所述第二标识进行加密后所得的密文。

在一个例子中，其特征在于，

所述第一信息还包括第一随机数，所述第二信息还包括第二第一随机数，当所述第三校验码与所述第二校验码相同，并且所述第一随机数与所述第二第一随机数相同时，所述量子认证服务器对所述vpn网络设备认证通过。

一种身份认证的客户端设备，所述客户端设备包括：

虚拟专用网络vpn网络设备以及量子设备，所述量子设备与所述vpn网络设备相连；

所述vpn网络设备包括：

第一发送单元，用于向量子认证服务器发送第一认证请求，所述第一认证请求包括所述量子设备的设备标识和所述vpn网络设备支持的算法套件集合；

接收单元，用于接收认证响应，将所述认证响应发送至所述量子设备，所述认证响应包括第一密文，指定算法套件，以及第一标识；

认证单元，用于生成第二校验码，当第一校验码和所述第二校验码相同时，所述vpn网络设备对所述量子认证服务器认证通过，生成第三校验码，将包括所述第三校验码的未加密的第二认证请求发送至所述量子设备；

第二发送单元，用于将接收到的所述第二认证请求发送至所述量子认证服务器。

所述量子设备包括：

解密单元，用于根据所述第一标识获取第一量子密钥，利用所述第一量子密钥对所述认证响应中的所述第一密文进行解密，获得第一信息，所述第一信息包括所述设备标识，第二标识和所述第一校验码，将解密后的认证响应发送至所述vpn网络设备；

加密单元，用于根据所述第二标识获取第二量子密钥，利用所述第二量子密钥对第二信息进行加密获得第二密文，所述第二信息包括所述设备标识和所述第三校验码，向所述vpn网络设备发送所述第二认证请求，所述第二认证请求包括所述设备标识和所述第二密文。

在一个例子中，

所述第一量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对所述交互数据进行解密的量子密钥使用一次；

所述第二量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对所述交互数据进行解密的量子密钥使用一次；

所述交互数据是所述量子认证服务器和所述vpn网络设备之间的交互数据。

在一个例子中，所述解密单元包括：

第一解密子单元，用于利用所述第一量子密钥对所述第一密文进行解密，获得标识密文；

第二解密子单元，用于采用预设的标识密钥对所述标识密文进行解密，获得所述第二标识。

在一个例子中，

所述第一信息还包括第一随机数，所述第二信息还包括所述第一随机数。

一种身份认证系统，所述系统包括：

上述内容所述的量子认证服务器，以及上述内容所述的客户端设备。

通过上述技术方案可知，本发明有如下有益效果：

本发明实施例提供的身份认证方法，量子认证服务器接收到vpn网络设备发送的第一认证请求后，采用第一量子密钥加密获得第一密文，向vpn网络设备返回认证响应。vpn网络设备采用第一量子密钥对认证响应中的第一密文进行解密后，获得第一校验码，vpn网络设备生成第二校验码，当第一校验码和第二校验码相同时，vpn网络设备对量子认证服务器的身份认证通过。vpn网络设备采用第二量子密钥加密获得第二密文，向量子认证服务器发送第二认证请求。量子认证服务器对第二认证请求中的第二密文进行解密，获得第三校验码，量子认证服务器生成第四校验码，当第三校验码和第四校验码相同时，量子认证服务器对vpn网络设备的身份认证通过。量子认证服务器与vpn网络设备身份认证过程中，采用量子密钥进行加密，提高了身份认证的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的身份认证的技术方案应用场景组网示意图；

图2为本发明实施例提供的身份认证方法时序图；

图3为本发明实施例提供的量子认证服务器结构示意图；

图4为本发明实施例提供的身份认证的客户端设备结构示意图；

图5为本发明实施例提供的身份认证系统结构示意图。

具体实施方式

为了给出提高身份认证的安全性的实现方案，本发明实施例提供了一种身份认证的方法、装置及系统，以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。并且在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

先对本发明实施例中所采用的技术属于进行解释。

虚拟专用网络(virtualprivatenetwork，vpn)网络设备在互联网的组网中，可以是vpn客户端，也可以是vpn企业服务器。

量子设备包括两种设备：

一种是量子密钥存储设备，该量子密钥存储设备存储有量子密钥集合，仅作为存储量子密钥的媒介。一般情况下，量子密钥存储设备是移动终端设备，可以采用ukey等物理实体的形式存在，该量子密钥存储设备并不实时与量子密钥管理设备相连，只有在该量子密钥存储设备中的量子密钥集合需要更新时，才会通过量子密钥更新终端与量子密钥管理设备进行通信，对量子密钥集合进行更新。一般情况下，vpn客户端采用量子密钥存储设备提供量子密钥加密和解密的功能。当然，实际应用中，vpn企业服务器也可以采用量子密钥存储设备提供量子密钥加密和解密的功能。

另一种是量子密钥管理设备，该量子密钥管理设备中也存储有量子密钥集合。一种量子密钥管理设备直接与vpn企业服务器实时相连，给vpn企业服务器提供量子密钥加密和解密的功能。另一种量子密钥管理设备，在量子密钥存储设备需要更新时，给该量子密钥存储设备提供可更新的量子密钥集合。

图1为本发明实施例提供的身份认证的技术方案应用场景组网示意图，用户通过vpn客户端101访问vpn企业服务器102，为了保证vpn客户端101与vpn企业服务器102之间数据交互的安全性，需要对vpn客户端101和vpn企业服务器102进行身份认证。

vpn客户端101与量子密钥存储设备103相连，量子密钥存储设备103给vpn客户端101提供采用量子密钥加密和解密的功能。vpn企业服务器102与第一量子密钥管理设备104相连，第一量子密钥管理设备104给vpn企业服务器102提供采用量子密钥加密和解密的功能。vpn客户端101与vpn企业服务器102分别与量子认证服务器105进行通信，量子认证服务器105与第二量子密钥管理设备106相连，第二量子密钥管理设备106给量子认证服务器105提供采用量子密钥的加密和解密功能。其中，第二量子密钥管理设备106与量子密钥存储设备103存储有相互对称的量子密钥，第二量子密钥管理设备106与第一量子密钥管理设备104也存储有相互对称的量子密钥。

采用本发明实施例提供的技术方案，vpn客户端101与量子认证服务器105之间相互进行身份认证，vpn企业服务器102与量子认证服务器105之间相互进行身份认证。当vpn客户端101与vpn企业服务器102的身份认证都通过时，vpn客户端101与vpn企业服务器102之间可以采用会话密钥进行安全的数据传输。

其中，上述组网场景中，vpn客户端101还可以是不同于vpn企业服务器102的另一个vpn企业服务器，vpn企业服务器102还可以是不同于vpn客户端101的另一个vpn客户端。量子密钥存储设备103也可以是与第一量子密钥管理设备104和第二量子密钥管理设备106都不同的量子密钥管理设备。第一量子密钥管理设备104和第二量子密钥管理设备106，也可以是与量子密钥存储设备103不同的另一个量子密钥存储设备。

下面对本发明实施例提供的量子认证服务器与vpn网络设备之间的身份认证方法进行详细说明，其中，vpn网络设备可以是上述组网结构中的vpn企业服务器，也可以是上述组网结构中的vpn客户端。

图2为本发明实施例提供的身份认证方法时序图，包括：

201：vpn网络设备向量子认证服务器发送第一认证请求，第一认证请求包括量子设备的设备标识和vpn网络设备支持的算法套件集合，量子设备与vpn网络设备相连。

vpn网络设备与一个量子设备相连，该量子设备中存储有第一量子密钥集合，给该vpn网络设备提供采用量子密钥的加密和解密功能。该量子设备可以是一个量子密钥存储设备，还可以是一个量子密钥管理设备。

若量子设备是一个量子密钥存储设备时，vpn网络设备检测到量子密钥存储设备接入，获取用户输入的该量子密钥存储设备的使用密码，例如pin(personalidentificationnumber)码等。vpn网络设备将该使用密码发送至量子密钥存储设备，该量子密钥存储设备验证用户输入的使用密码，与该量子密钥存储设备预留的使用密码是否一致，如果是，则表示当前使用该量子密钥存储设备的用户是合法用户。

若量子设备是一个量子密钥管理设备时，也可以采用上述类似的方法对用户的合法性进行验证。

用户的合法性验证通过后，vpn网络设备可以使用该量子设备中的量子密钥，对vpn网络设备进行身份认证。

vpn网络设备向量子认证服务器发送第一认证请求，该第一认证请求是vpn网络设备向量子认证服务器发送的一个明文请求。

该第一认证请求包括该vpn网络设备支持的算法套件集合，一般情况下，该算法套件集合中包括所有支持的算法套件。当然，还可以根据实际应用场景，该算法套件集合中仅包括该vpn网络设备所支持的算法套件中的一部分。vpn网络设备通过第一认证请求，与量子认证服务器协商一个指定算法套件，该指定算法套件是vpn网络设备和量子认证服务器都支持的一个算法套件。该算法套件中包括多种算法，例如加密算法，解密算法，以及校验码算法，等。

该第一认证请求还包括量子设备的设备标识，量子认证服务器根据该设备标识，能够获得与量子设备中第一量子密钥集合对称的第二量子密钥集合。第一量子密钥集合和第二量子密钥集合中，同一标识对应的量子密钥是对称的量子密钥。

202：量子认证服务器接收vpn网络设备发送的第一认证请求，从算法套件集合中选取量子认证服务器支持的算法套件作为指定算法套件，并根据设备标识，从第二量子密钥集合中获取第一标识，第一标识所标识的第一量子密钥，以及第二标识。

量子认证服务器接收到第一认证请求后，从第一认证请求中的算法套件集合中选取指定算法套件。该算法套件集合中的算法套件都是vpn网络设备所支持的算法套件，量子认证服务器可以从该算法套件集合中，任选一种量子认证服务器也支持的算法套件作为指定算法套件。还可以预先对算法套件中的算法套件设置优先级，选择量子认证服务器支持的，并且优先级高的算法套件作为指定算法套件。当然，还可以采用其他方式从算法套件集合中选取指定算法套件，这里不再赘述。

量子认证服务器根据设备标识，能够查找到第二量子密钥集合，该第二量子密钥集合与第一量子密钥集合存储的量子密钥是对称的量子密钥，即第一量子密钥集合中，以及第二量子密钥集合中，同一标识对应的量子密钥是对称的量子密钥。从而，能够保证采用第一量子密钥集合中的一个量子密钥加密得到的密文，能够从第二量子密钥集合中找到该量子密钥的对称的量子密钥对该密文进行解密；采用第二量子密钥集合中的一个量子密钥加密得到的密文，能够从第一量子密钥集合中找到该量子密钥的对称的量子密钥对该密文进行解密。

具体实现时，该量子认证服务器中没有存储量子密钥，该量子认证服务器与一个量子密钥管理设备相连，该量子密钥管理设备存储有该第二量子密钥集合。量子认证服务器将设备标识发送至该量子密钥管理设备，该量子密钥管理设备根据该设备标识，查找与第一量子密钥集合存储有对称的量子密钥的第二量子密钥集合。量子密钥管理设备从第二量子密钥集合中获取第一标识，第一标识所标识的第一量子密钥，以及第二标识。第一标识用来标识第一量子密钥，第一量子密钥用于对量子认证服务器给vpn网络设备发送的数据进行加密。第二标识用于标识第二量子密钥，第二量子密钥用于对vpn网络设备给量子认证服务器发送的数据进行加密。量子密钥管理设备将第一标识，第一标识所标识的第一量子密钥，以及第二标识返回给量子认证服务器。

在一个例子中，第一量子密钥，作为对交互数据进行加密的量子密钥，以及作为对所述交互数据进行解密的量子密钥使用一次。例如，量子认证服务器利用第一量子密钥作为对交互数据进行加密的量子密钥使用一次，和/或vpn网络设备利用该第一量子密钥作为对交互数据进行解密的量子密钥使用一次，则该第一量子密钥不会被再次使用。同理，第二量子密钥，作为对交互数据进行解密的量子密钥使用一次，和/或vpn网络设备利用该第二量子密钥作为对交互数据进行加密的量子密钥使用一次，则该第二量子密钥不会被再次使用。这样可以避免重放攻击，进一步提高身份认证的安全性。

这里需要说明的是，量子密钥管理设备与至少一个量子密钥分发终端相连，与vpn网络设备相连的量子设备在进行量子密钥更新时，该量子密钥管理设备也进行量子密钥更新。保证该量子密钥管理设备与量子设备存储的量子密钥是对称的量子密钥即可。

203：量子认证服务器生成第一校验码，采用第一量子密钥对第一信息进行加密生成第一密文，第一信息包括设备标识，第二标识和第一校验码。

量子认证服务器生成认证响应的明文，该认证响应的明文包括除了第一校验码以外的其他所有需要发送给vpn网络设备的数据信息。量子认证服务器利用指定算法套件中的校验码算法，根据认证响应的明文获得第一校验码。举例说明，具体实现时，可以采用摘要码算法。

然后，对第一校验码以及认证响应的明文中需要加密的数据，采用第一量子密钥，根据指定算法套件中的加密算法，进行加密生成第一密文。举例说明，具体实现时，可以采用des(dataencryptionstandard，数据加密标准)、3des、aes(advancedencryptionstandard，高级加密标准)、国密算法sm1、以及国密算法sm4中的任意一种对称算法进行加密。

加密获得第一密文后，获得量子认证服务器给vpn网络设备发送的认证响应，该认证响应包括加密后所获得的第一密文，还包括指定算法套件，第一密文所采用的第一量子密钥的第一标识。其中，指定算法套件和第一标识在认证响应中，以明文的方式发送至vpn网络设备。

在一个例子中，步骤203中，生成第一密文时所采用的第二标识，具体实现时可以采用标识密文，该标识密文是采用预设的标识密钥对所述第二标识进行加密后所得的密文。其中，预设的标识密钥是量子认证服务器与vpn网络设备预先协商的密钥。因此，具体实现时为采用第一量子密钥对设备标识，标识密文和第一校验码进行加密生成第一密文。这样，可以进一步保证第二标识的安全性，避免恶意设备窃取或篡改。

在一个例子中，步骤203中，生成第一密文时，生成第一密文的第一信息中，还包括第一随机数。因此，具体实现时为采用第一量子密钥对第一随机数，设备标识，标识密文和第一校验码进行加密生成第一密文。添加第一随机数后，vpn网络设备若能将该第一随机数返回给量子认证服务器，则进一步提高量子认证服务器对vpn网络设备身份认证的安全性。

204：量子认证服务器向vpn网络设备发送认证响应，认证响应包括第一密文，指定算法套件，以及第一标识。

205：vpn网络设备接收认证响应，将认证响应发送至量子设备，认证响应包括第一密文，指定算法套件，以及第一标识。

206：量子设备根据第一标识获取第一量子密钥，利用第一量子密钥对认证响应中的第一密文进行解密，获得第一信息，第一信息包括设备标识，第二标识和第一校验码。

207：解密后的认证响应发送至vpn网络设备。

208：vpn网络设备生成第二校验码，当第一校验码和第二校验码相同时，vpn网络设备对量子认证服务器认证通过.

209：生成第三校验码，将包括第三校验码的未加密的第二认证请求发送至量子设备。

vpn网络设备接收到量子认证服务器发送的认证响应后，vpn网络设备中没有量子密钥，无法对认证响应中的第一密文进行解密，该vpn网络设备将认证响应发送给量子设备。该量子设备是与vpn网络设备相连的设备，能够给vpn网络设备提供量子密钥的加密和解密功能。该量子设备可以是步骤201所述的量子密钥存储设备，也可以是步骤201所述的量子密钥管理设备，这里不再赘述。

量子设备接收到认证响应后，利用认证响应中的第一标识获取第一量子密钥，利用指定算法套件中的解密算法，采用第一量子密钥对认证响应中的第一密文进行解密，获得第一信息，该第一信息包括量子设备的设备标识，第二标识，以及第一校验码。即对第一密文进行解密后，能够获得认证响应的明文和第一校验码。该认证响应的明文是认证响应中除了第一校验码以外所有的明文数据。其中，量子设备根据第一标识获取的第一量子密钥是量子认证服务器所采用的第一量子密钥的对称密钥。

在一个例子中，具体实现时，第二标识还可以是标识密文，该量子设备对认证响应中的第一密文解密后，获得标识密文，采用预设的标识密钥对该标识密文进行解密获得第二标识。采用标识密文代替第二标识，可以进一步提高第二标识的安全性。

量子设备对认证响应中的第一密文进行解密后，将解密后的认证响应获得的明文和第一校验信息发送给vpn网络设备。vpn网络设备获得认证响应的明文，采用指定算法套件中的校验码算法，对认证响应的明文进行校验码计算，生成第二校验码。vpn网络设备比较第一校验码和第二校验码是否相同，若第一校验码和第二校验码相同，则vpn网络设备对量子认证服务器的认证通过，该量子认证服务器合法。

量子认证服务器合法后，vpn网络设备再生成一个第二认证请求的明文，该第二认证请求的明文中包括设备标识等明文数据，vpn网络设备采用指定算法套件中的校验码算法，根据该第二认证请求的明文生成第三校验码。第二认证请求的明文和第三校验码即为vpn网络设备生成的未加密的第二认证请求，vpn网络设备将未加密的第二认证请求发送至量子设备。

210：量子设备根据第二标识获取第二量子密钥，利用第二量子密钥对第二信息进行加密获得第二密文，第二信息包括设备标识和第三校验码，向vpn网络设备发送第二认证请求，第二认证请求包括设备标识和第二密文。

211：vpn网络设备将接收到的第二认证请求发送至量子认证服务器。

量子设备根据步骤206解密获得的第二标识，获取第二标识所标识的第二量子密钥，采用第二量子密钥对未加密的第二认证请求中的第二信息进行加密，第二信息包括量子设备的设备标识和第三校验码，对未加密的第二认证请求加密后，量子设备将第二认证请求发送至vpn网络设备，第二认证请求包括量子设备的设备标识和第二密文。vpn网络设备接收到第二认证请求后，将该第二认证请求发送至量子认证服务器。其中，量子设备根据第二标识所获取的第二量子密钥，是量子认证服务器所获取的第二量子密钥的对称密钥。

在一个例子中，若量子设备对认证响应中的第一密文进行解密，所获得的第一信息包括第一随机数时，量子设备对未加密第二认证请求的第二信息进行加密时，第二信息也包括该第一随机数。该第一随机数是量子认证服务器生成的第一随机数，第二认证请求的第二密文包括该第一随机数，可以提高量子认证服务器对vpn网络设备进行身份认证的安全性。

在一个例子中，第一量子密钥，作为对交互数据进行加密的量子密钥，以及作为对所述交互数据进行解密的量子密钥使用一次。例如，量子认证服务器利用第一量子密钥作为对交互数据进行加密的量子密钥使用一次，和/或vpn网络设备利用该第一量子密钥作为对交互数据进行解密的量子密钥使用一次，则该第一量子密钥不会被再次使用。同理，第二量子密钥，作为对交互数据进行解密的量子密钥使用一次，和/或vpn网络设备利用该第二量子密钥作为对交互数据进行加密的量子密钥使用一次，则该第二量子密钥不会被再次使用。这样可以避免重放攻击，进一步提高身份认证的安全性。其中，交互数据是量子认证服务器和vpn网络设备之间的交互数据。

212：当接收到vpn网络设备发送的第二认证请求时，量子认证服务器根据第二认证请求中的设备标识，获取第二标识所标识的第二量子密钥，采用第二量子密钥对第二认证请求中的第二密文进行解密，获得第二信息，第二信息包括设备标识和第三校验码，量子认证服务器生成第四校验码，当第三校验码与第四校验码相同时，量子认证服务器对vpn网络设备认证通过。

量子认证服务器接收vpn网络设备发送的第二认证请求，量子认证服务器根据发送该第二认证请求的vpn网络设备，获取第二标识所标识的第二量子密钥，利用指定算法套件中的解密算法，采用第二量子密钥对第二认证请求中的第二密文进行解密，获得第二信息，该第二信息包括设备标识，以及第三验证码。即对第二认证请求进行解密后，能够获得第二认证请求的明文和第三校验码。该第二认证请求的明文是第二认证请求中除了第三校验码以外的所有的明文数据。

在一个例子中，具体实现时，第二标识还可以是标识密文，该量子设备对认证响应中的第一密文解密后，获得标识密文，采用预设的标识密钥对该标识密文进行解密获得第二标识。采用标识密文代替第二标识，可以进一步提高第二标识的安全性。

量子认证服务器根据所获得的第二认证请求的明文，采用指定算法套件中的校验码算法，生成第四校验码。比较第三校验码和第四校验码是否相同，若第三校验码和第四校验码相同，则量子认证服务器对vpn网络设备的认证通过，该vpn网络设备是合法的网络设备。

在一个例子中，量子认证服务器对第二认证请求中的第二密文进行解密后，还获得第二随机数，量子认证服务器获取生成认证响应时，所加入的第一随机数，若第一随机数与第二随机数相同，并且第三校验码和第四校验码相同时，量子认证服务器对vpn网络设备的认证通过。若第一随机数与第二随机数不相同，或者第三校验码和第四校验码不相同时，量子认证服务器对vpn网络设备的认证不通过。

可以理解的是，当vpn网络设备是合法的网络设备时，量子认证服务器发送至该vpn网络设备的认证响应信息中包括该第一随机数。vpn网络设备对认证响应信息解密后，获得该第一随机数，并将该第一随机数添加至第二认证请求中，返回给该量子认证服务器。该量子认证服务器对第二认证请求解密后，获得第二随机数，当第一随机数与第二随机数相同时，表示该vpn网络设备对认证响应正确解密。在认证过程中加入随机数，可以进一步提高身份认证的安全性。

由上述内容可知，本发明实施例提供的身份认证方法，量子认证服务器与vpn网络设备身份认证过程中，采用量子密钥进行加密，提高了身份认证的安全性。

图3为本发明实施例提供的量子认证服务器结构示意图，包括：

接收单元301，用于接收虚拟专用网络vpn网络设备发送的第一认证请求，第一认证请求包括量子设备的设备标识和vpn网络设备支持的算法套件集合，量子设备与vpn网络设备相连。

获取单元302，用于从算法套件集合中选取量子认证服务器支持的算法套件作为指定算法套件，并根据设备标识，从量子密钥集合中获取第一标识，第一标识所标识的第一量子密钥，以及第二标识，量子密钥集合与量子设备中同一标识对应的量子密钥是对称的量子密钥。

加密单元303，用于生成第一校验码，采用第一量子密钥对第一信息进行加密生成第一密文，第一信息包括设备标识，第二标识和第一校验码。

发送单元304，用于向vpn网络设备发送认证响应，认证响应包括第一密文，指定算法套件，以及第一标识。

解密单元305，用于当接收到vpn网络设备发送的第二认证请求时，根据第二认证请求中的设备标识，获取第二标识所标识的第二量子密钥，采用第二量子密钥对第二认证请求中的第二密文进行解密，获得第二信息，第二信息包括设备标识和第二校验码。

认证单元306，用于生成第三校验码，当第三校验码与第二校验码相同时，量子认证服务器对vpn网络设备认证通过。

在一个例子中，获取单元302包括：

发送子单元，用于向量子密钥管理设备发送设备标识，量子密钥管理设备包括量子密钥集合；

接收子单元，用于接收量子密钥管理设备发送的第一标识，第一标识所标识的第一量子密钥，以及第二标识。

在一个例子中，

第一量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对交互数据进行解密的量子密钥使用一次；

第二量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对交互数据进行解密的量子密钥使用一次；

交互数据是量子认证服务器和vpn网络设备之间的交互数据。

在一个例子中，

加密单元303，还用于采用第一量子密钥对设备标识，标识密文和第一校验码进行加密生成第一密文，标识密文是采用预设的标识密钥对第二标识进行加密后所得的密文。

在一个例子中，

第一信息还包括第一随机数，第二信息还包括第二第一随机数，当第三校验码与第二校验码相同，并且第一随机数与第二第一随机数相同时，量子认证服务器对vpn网络设备认证通过。

图3所示的量子认证服务器是与图2所示的身份认证方法所对应的量子认证服务器，具体实现方式与图2所示的方法类似，参考图2所示的方法中的描述，这里不再赘述。

图4为本发明实施例提供的身份认证的客户端设备结构示意图，包括：

vpn网络设备401以及量子设备402，量子设备402与vpn网络设备401相连。

vpn网络设备401包括：

第一发送单元403，用于向量子认证服务器发送第一认证请求，第一认证请求包括量子设备402的设备标识和vpn网络设备支持的算法套件集合。

接收单元404，用于接收认证响应，将认证响应发送至量子设备402，认证响应包括第一密文，指定算法套件，以及第一标识。

认证单元405，用于生成第二校验码，当第一校验码和第二校验码相同时，vpn网络设备对量子认证服务器认证通过，生成第三校验码，将包括第三校验码的未加密的第二认证请求发送至量子设备402。

第二发送单元406，用于将接收到的第二认证请求发送至量子认证服务器。

量子设备402包括：

解密单元407，用于根据第一标识获取第一量子密钥，利用第一量子密钥对认证响应中的第一密文进行解密，获得第一信息，第一信息包括设备标识，第二标识和第一校验码，将解密后的认证响应发送至vpn网络设备401。

加密单元408，用于根据第二标识获取第二量子密钥，利用第二量子密钥对第二信息进行加密获得第二密文，第二信息包括设备标识和第三校验码，向vpn网络设备401发送第二认证请求，第二认证请求包括设备标识和第二密文。

在一个例子中，

第一量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对交互数据进行解密的量子密钥使用一次；

第二量子密钥，只能分别作为对交互数据进行加密的量子密钥，以及作为对交互数据进行解密的量子密钥使用一次；

交互数据是量子认证服务器和vpn网络设备之间的交互数据。

在一个例子中，解密单元407包括：

第一解密子单元，用于利用第一量子密钥对第一密文进行解密，获得标识密文；

第二解密子单元，用于采用预设的标识密钥对标识密文进行解密，获得第二标识。

在一个例子中，

第一信息还包括第一随机数，第二信息还包括第一随机数。

图4所示的客户端设备中的vpn网络设备和量子设备是与图2所示的身份认证方法所对应的vpn网络设备和量子设备，具体实现方式与图2所示的方法类似，参考图2所示的方法中的描述，这里不再赘述。

图5为本发明实施例提供的身份认证系统结构示意图，包括：

图3所示的量子认证服务器501，以及图4所示的的客户端设备502。

图5所示的身份认证系统是与图2所示的身份认证方法所对应的系统，具体实现方式与图2所示的方法类似，参考图2所示的方法中的描述，这里不再赘述。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。