基于双重量子随机数保护的认证方法、客户端及系统与流程

本发明涉及量子通信，具体涉及一种基于双重量子随机数保护的认证方法、客户端及系统。

背景技术：

1、随着用户对数据高机密性、数据高传输率的要求更高，以及量子技术的不断发展，传统的认证方案无法满足用户高保密性的要求，主要存在以下问题：

2、(1)认证过程中用户信息透明或者加密方式简单，用户信息易被破解，存在安全隐患；

3、(2)在物理上，传统的认证流程无法自我识别是否被监听。

4、在相关技术中，公布号为cn108173649a的专利申请文献中提出两客户端进行消息认证时，通过网络侧的量子网络服务站获得共有密钥种子，消息认证码的生成以及对比认证均在用户侧进行，保障了数据传输的安全性。公布号为cn113852460a的专利申请文献中提出安全接入客户端与安全接入服务端基于ssl vpn通道进行会话并同步工作密钥参数信息，根据工作密钥参数信息并采用预设的密钥生成算法生成工作密钥；安全接入客户端与安全接入服务端基于会话标识从量子密钥服务器中获取量子密钥；安全接入客户端与安全接入服务端分别将工作密钥与量子密钥基于预设的融合算法运算得到新的工作密钥；采用新的工作密钥进行业务数据加密传输，通过对工作密钥融合量子密钥，增强现有工作密钥的安全性。公布号为cn114268441a的专利申请文献中提出，两个客户端采用预设的密钥生成算法生成第一共享密钥因子，基于服务器提供的关联异或值产生第二共享密钥因子；对两个密钥因子进行保密增强并得到一个加密密钥；采用加密密钥进行数据加密通信，实现量子密钥与互联网加密的紧密融合。公布号为cn114584298a的专利申请文献中提出采用握手协议生成第一密钥因子；基于预置随机数生成第二密钥因子；对两个密钥因子进行保密增强并得到一个加密密钥；采用加密密钥建立量子安全ssl连接并进行安全的数据传输。

技术实现思路

1、本发明所要解决的技术问题在于如何提升认证过程机密性。

2、本发明通过以下技术手段解决上述技术问题的：

3、第一方面，本发明提出了一种基于双重量子随机数保护的认证方法，所述方法应用于客户端，包括：

4、向认证端请求量子随机数并接收所述认证端返回的第一量子随机数，所述第一量子随机数为所述认证端向量子随机数分发装置申请获取量子随机数并利用预置的量子随机数保护因子解密得到；

5、向所述量子随机数分发装置申请获取量子随机数并利用预置的量子随机数保护因子解密得到第二量子随机数；

6、将所述第一量子随机数和所述第二量子随机数进行融合，得到第三量子随机数；

7、利用所述第三量子随机数，采用国密算法对读取的证书私钥信息进行加密，得到认证请求；

8、将所述认证请求发送至所述认证端进行认证。

9、进一步地，所述向认证端请求量子随机数并接收所述认证端返回的第一量子随机数，包括：

10、与所述认证端进行国密ssl协商建立连接；

11、向所述认证端发送随机数获取请求，以使所述认证端向所述量子随机数分发装置申请获取量子随机数并利用所述认证端预置的量子随机数保护因子解密得到第一量子随机数；

12、接收所述认证端返回的所述第一量子随机数以及时间戳。

13、进一步地，向所述量子随机数分发装置申请获取量子随机数并利用预置的量子随机数保护因子解密得到第二量子随机数，包括：

14、向所述量子随机数分发装置发送随机数获取请求；

15、接收所述量子随机数分发装置返回的量子随机数，并利用预置的量子随机数保护因子解密得到所述第二量子随机数，其中，所述量子随机数保护因子为所述量子随机数分发装置预置在所述客户端中的充注密钥。

16、进一步地，在所述向所述量子随机数分发装置申请获取量子随机数并利用预置的量子随机数保护因子解密得到第二量子随机数之前，所述方法还包括：

17、接收所述量子随机数分发装置下发的充注密钥密文，所述充注密钥密文采用基础密钥加密充注密钥得到；

18、利用客户端预置的基础密钥解密所述充注密钥密文，得到充注密钥，并将所述充注密钥存储在量子sim卡中作为所述量子随机数保护因子。

19、进一步地，所述将所述第一量子随机数和所述第二量子随机数进行融合，得到第三量子随机数，包括：

20、将所述第一量子随机数和所述第二量子随机数进行拼接，得到所述第三量子随机数。

21、进一步地，所述方法还包括：

22、在客户端侧的加密装置出现异常时，将客户端预置的所述量子随机数保护因子和基础密钥清零。

23、进一步地，所述利用所述第三量子随机数，采用国密算法对读取的证书私钥信息进行加密，得到认证请求，包括：

24、读取证书私钥信息，所述证书私钥信息包括口令和私钥；

25、采用sm3算法结合所述第三量子随机数对所述口令进行加密处理，得到第一口令认证码；

26、采用sm2算法结合所述第三量子随机数对所述私钥进行加密处理，得到签名值；

27、基于所述第一口令认证码、所述签名值、所述第三量子随机数、接收所述认证端返回的第一量子随机数时的时间戳以及用户名，生成所述认证请求。

28、进一步地，在所述将所述认证请求发送至所述认证端进行认证之后，所述方法还包括：

29、在所述认证端进行口令认证和证书认证均通过时，接收所述认证端发送的热证通过消息，其中所述认证端进行口令认证时，根据用户名向数据库读取口令的sm3值及公钥，并采用sm3算法根据所述第三量子随机数和所述口令的sm3值计算第二口令认证码，比较所述第一口令认证码和所述第二口令认证码一致时生成口令认证通过消息；所述认证端进行证书认证时，采用sm2算法结合公钥、所述第三量子随机数及所述签名值进行验签，并在验签成功时生成证书认证通过消息。

30、第二方面，本发明提出了一种客户端，所述客户端包括：

31、第一量子随机数请求模块，用于向认证端请求量子随机数并接收所述认证端返回的第一量子随机数，所述第一量子随机数为所述认证端向量子随机数分发装置申请获取量子随机数并利用预置的量子随机数保护因子解密得到；

32、第二量子随机数请求模块，用于向所述量子随机数分发装置申请获取量子随机数并利用预置的量子随机数保护因子解密得到第二量子随机数；

33、随机数融合模块，用于将所述第一量子随机数和所述第二量子随机数进行融合，得到第三量子随机数；

34、认证请求生成模块，用于利用所述第三量子随机数，采用国密算法对读取的证书私钥信息进行加密，得到认证请求；

35、认证模块，用于将所述认证请求发送至所述认证端进行认证。

36、进一步地，所述客户端中还设置有量子sim卡和国密密码部件，所述量子sim卡中预置有充注密钥作为所述量子随机数保护因子，所述国密密码部件中预置有基础密钥。

37、进一步地，所述客户端还连接有毁钥模块，所述毁钥模块用于在加密装置异常时，将所述量子sim卡中的充注密钥置零以及将所述国密密码部件中的基础密钥置零。

38、第三方面，本发明提出了一种基于双重量子随机数保护的认证系统，所述系统包括客户端、认证端和量子随机数分发装置，所述客户端与所述认证端进行国密ssl协商建立连接，所述客户端和所述认证端均与所述量子随机数分发装置连接；所述客户端用于执行如上所述的基于双重量子随机数保护的认证方法。

39、本发明的优点在于：

40、(1)本发明中认证端和客户端都接入两个不同的量子分发体系，认证端与客户端分别获取量子随机数，彼此之间不相关，增强了随机性，增加了攻击者的难度，提高了系统的安全性在物理面增加攻击难度；并且在国密算法中对分别获取的双重量子随机数进行融合，利用融合得到的第三量子随机数进行加密认证，基于多个国密算法生成了认证码，在认证端进行验证，提升认证过程的机密性；此外，在量子随机数的获取过程中利用量子随机数保护因子进行加密保护，进一步提升了安全性。

41、(2)每次随机数的生成都是唯一的，因此无法被攻击者恶意重复使用，有效避免了重放攻击的风险。

42、(3)利用量子随机数“即取即用，用完即毁“的特性，攻击者无法追踪。

43、本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。