一种基于量子加解密通信的实体鉴别的方法与流程

本发明涉及身份认证领域，具体涉及一种基于量子加解密通信的实体鉴别的方法。

背景技术：

1、ssl是一种加密协议，用于保护互联网通信的机密性和数据完整性。它建立在tcp/ip协议之上，通过使用非对称加密和对称加密来实现安全通信。但是目前ssl依赖于数字证书和公钥基础设施(pki)来进行身份认证鉴别。数字证书包含公钥和关联的身份信息，由权威的证书颁发机构(ca)签发。pki用于验证数字证书的真实性和完整性。身份认证鉴别是确保通信双方的身份的过程。在ssl中，服务器和客户端需要相互验证彼此的身份，以确保通信的安全性。这通常通过数字证书的交换和验证来实现。

2、现有技术方案中身份认证的主要流程为：浏览器发送一个连接请求给安全服务器；采用ssl协议的服务器申请一套数字ca证书；服务器将自己的证书，以及同证书相关的信息发送给客户浏览器；客户浏览器检查服务器送过来的证书是否是由自己信赖的ca中心所签发的，如果是，就继续执行协议；如果不是，客户浏览器就给客户一个警告消息：警告客户这个证书不是可以信赖的，询问客户是否需要继续。如果证书没有问题，客户端就会从服务器证书中取出服务器的公钥a。然后客户端还会生成一个随机码key，并使用公钥a将其加密。客户端把加密后的随机码key发送给服务器，作为后面对称加密的密钥。服务器在收到随机码key之后会使用私钥b将其解密。经过以上这些步骤，客户端和服务器终于建立了安全连接，接下来使用对称加密进行通信。

3、尽管数字证书在加密通信和身份验证方面提供了许多优势，但它们也存在一些潜在的弊端和挑战。例如：管理和维护数字证书可以变得相当复杂。这包括证书的生成、更新、吊销和存储。对于普通用户来说，数字证书的管理可能具有一定的学习曲线。数字证书的可信赖性依赖于颁发它们的ca。如果ca受到攻击或不可信，数字证书的完整性就会受到威胁。此外，ca的信任模型有时可能引发争议。获得和维护数字证书可能需要一定的费用，对于个人用户和小型网站来说，这可能是一个不小的负担。pki是支持数字证书的基础设施。它的复杂性和规模使得其部署和维护需要相当的资源和专业知识。

4、基于这些弊端特提出本方案解决通信双方的身份实体鉴别问题。

技术实现思路

1、为了解决上述技术问题，提出了一种基于量子加解密通信的实体鉴别的方法。

2、为实现上述目的，本发明采取的技术方案如下：一种基于量子加解密通信的实体鉴别的方法，该方法包括以下步骤：

3、步骤s1：业务系统在量子密钥安全服务平台上注册并保存业务系统身份信息；

4、步骤s2：用户在量子密钥安全服务平台上注册并保存用户信息；

5、步骤s3：在用户端ukey和业务端ukey同时预置抗量子计算的量子密钥k1和k2；

6、步骤s4：用户终端读取用户端ukey的id及用户信息，并采用用户端ukey提供的量子密钥k1和sm4对称加密算法同时对用户信息进行加密得到第一加密数据，记为tokenus＝uid||ek1(u||pass))，并将第一加密数据tokenus发送到业务系统；

7、其中，uid为用户端ukey id，u为用户信息，pass为验证码信息，ek1表示通过量子密钥k1对数据进行加密；

8、步骤s5：所述业务系统接收到第一加密数据tokenus后，接着获取所述业务端ukeyid和业务系统身份信息，并通过业务端ukey id提供的量子密钥k2和sm4对称加密算法同时对第一加密数据tokenus进行加密得到第二加密数据ek2(s)，并将第二加密数据ek2(s)添加到第一加密数据tokenus的末尾，得到组合加密数据tokensq＝uid||ek1(u||pass)||sid||ek2(s)，然后将组合加密数据tokensq务发送到量子安全密钥服务平台；

9、其中，sid为业务端ukey id，s为业务系统身份信息；

10、步骤s6：所述量子安全密钥服务平台接收到组合加密数据tokensq后，依次利用量子密钥k2对组合加密数据tokensq进行解密得到业务系统身份信息及第一加密数据tokenus，接着再用k1对第一加密数据tokenus解密得到用户信息；

11、并将解密后的业务系统身份信息和用户数据信息在所述量子安全密钥服务平台的数据库查询匹配，

12、若在数据库中查询到解密后的业务系统身份信息和用户信息，则判定为用户及业务系统已绑定，身份认证成功；

13、若在数据库中未查询解密后的业务系统身份信息和用户信息，则判定为用户及业务系统未绑定，身份认证失败，跳转至步骤s4。

14、优选地，所述步骤s1包括以下步骤：

15、步骤s1-1：所述业务系统模块在量子密钥安全服务平台注册录入业务系统身份信息；

16、步骤s1-2：所述量子密钥安全服务平台接收注册业务系统身份信息后，进行格式内容审核完成注册，同时将业务系统与进行业务端ukey绑定，更新业务端ukey为绑定状态，并将业务系统身份信息、业务系统身份信息与业务端ukey绑定信息，业务端ukey的绑定状态存储到量子密钥安全服务平台数据库中。

17、优选地，所述业务系统身份信息至少包括手机号、公司名称、业务系统名称以及验证码信息。

18、优选地，所述步骤s2包括以下步骤：

19、将用户的用户信息在本地用户终端进行注册生成用户信息，将用户信息与所述用户端ukeyid进行绑定，更新用户端ukeyid为已绑定状态；

20、用户端ukeyid与用户信息通过业务系统发送到量子安全密钥服务平台并在量子安全密钥服务平台中进行注册登录，登记成功后将用户信息和与业务系统进行绑定；

21、用户信息、用户信息与用户端ukeyid的绑定关系、用于信息与业务系统绑定关系以及用户端ukeyid的绑定状态均存储到量子安全密钥服务平台数据库。

22、优选地，所述用户信息至少包括用户个人信息和验证码。

23、优选地，还包括获取会话密钥步骤，所述获取会话密钥步骤如下：

24、所述业务系统接收到组合加密数据tokenqs后，首先读取业务端ukey，通过业务端ukey id获取密钥k2对组合加密数据tokenqs进行解密获取业务系统身份信息、会话密钥kab及第一加密数据tokensu并将解密后第一加密数据tokensu转发到用户终端；

25、所述用户端终端接收到tokensu后，首先读取用户端ukey，通过用户端ukey id获取密钥k1对第一加密数据tokensu获取用户信息及会话密钥kab。

26、优选地，所述会话密钥kab通过量子密钥分发设备产生存储在量子安全密钥服务平台中。

27、本发明有益的技术效果：在客户端ukey和业务端ukey中预制量子密钥，提高了认证的安全性；实体认证时所使用的加密密钥不通过网络传输，保证密钥的安全性。

28、本发明通过离线预制量子密钥在用户端ukey和业务端ukey，将加密认证数据信息联合发送至量子安全密钥服务平台，使用对应的对称密钥解密用户端和业务端身份数据验证完成认证，解决了传统证书颁发、管理、购买以及维护成本问题。

29、会话密钥在认证通过后通过sm4加密算法加密量子安全密钥服务平台分发的量子密钥，会话密钥的解密密钥只有到对应的用户端ukey、业务端ukey才能被解密，中间即使被捕获也无法破译，增强了密钥的安全性；ukey中离线预制的量子密钥根据密钥更新策略定期更新进一步增强密钥的安全性。