[发明专利]基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统

说明书

本申请涉及一种基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统，本发明中，使用的密钥卡是独立的硬件隔离设备。公钥、私钥和其他相关参数均存储在密钥卡中的数据安全区，被恶意软件或恶意操作窃取密钥的可能性大大降低，也不会被量子计算机获取并破解。由于在经典网络中均无涉及公私钥及算法参数的传递，因此非对称密钥被破解的风险很低，所以消息的安全性得到极大的保障。密钥卡保障了通信双方在群组中的通信安全，也极大的提高了身份认证的安全性，从而实现了抗量子计算的外网接入系统。

技术领域

本申请涉及安全通信技术领域，特别是涉及基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统。

背景技术

当前互联网通信技术快速发展，我们的电脑、手机等设备都无时无刻在互联网传递、共享各种网络消息，同时网络消息以及各种应用消息都在外网与内网之间实现连接或共享(外网：互联网；内网：又称局域网，通常用防火墙或其他身份认证设备阻隔于互联网之外的局部网络)。

内网相对而言是安全的，能阻挡大部分来自外网的黑客袭击，但仍会发生泄密事件。由于外网环境复杂存在许多不安全的因素，比如：黑客恶意漏洞攻击、病毒感染等等，时刻威胁着内网的安全。用户在使用外网的同时，需要访问内网，则可能会导致互联网上的不安全的因素通过客户端作为中继点进入内网，直接威胁内网的消息安全。因此为了确保网络的安全，可通过外网接入认证服务器对用户身份认证后，才允许连接到内网，并给予一定权限的对内网的访问服务。身份认证是消息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，所以外网接入认证服务器可以被看作是外网成员接入内网网络系统的门户。

但是，外网接入认证服务器也是最容易遭受到攻击的环节。目前，一般采用防火墙来阻挡攻击，但是防火墙以及应用程序、VPN或以太网协议栈等软件的设计和配置都有可能出现漏洞。不仅如此，CPU本身也可能存在漏洞，那么内网还是有可能被蠕虫感染或者被直接攻击，这就存在外网接入认证服务器被入侵的风险。因此，寻找一种更安全的外网接入认证系统及认证方法，是当前保证网络安全亟需解决的技术问题。

随着量子计算机的发展，经典非对称加密算法将不再安全，无论是认证还是加解密领域。由于量子计算机的潜在威胁。因此现有基于量子通信服务站与量子密钥卡的外网接入认证系统及认证的方案，利用量子通信服务站与量子密钥卡之间的对称密钥池进行外网接入身份认证，以避免使用经典非对称加密算法的身份认证流程被量子计算机破解。

现有技术存在的问题：

1、现有基于对称密钥池进行身份认证的方案，量子通信服务站与量子密钥卡之间使用对称密钥池，其容量巨大，对量子通信服务站的密钥存储带来压力；

2、现有基于对称密钥池进行身份认证的方案，由于对称密钥池密钥容量巨大，量子通信服务站不得不将密钥加密存储于普通存储介质例如硬盘内，而无法存储于量子通信服务站的密钥卡内；

3、现有基于对称密钥池进行身份认证的方案，由于对称密钥池密钥容量巨大，给密钥备份造成麻烦。

发明内容

基于此，有必要针对上述技术问题，提供一种能够减少服务站存储数据量的基于一次性非对称密钥对和密钥卡的外网接入身份认证方法。

本申请公开了基于一次性非对称密钥对和密钥卡的外网接入身份认证方法，所述外网接入身份认证方法包括：

客户端利用自身存储的一次性公钥PKQA和客户端私钥根据DH算法生成第一密钥KA，生成第一随机参数x并根据第一随机参数x生成客户端临时公钥X，利用客户端私钥和客户端临时公钥X生成第一签名，生成第一消息并发送给服务站，所述第一消息包括客户端设备参数以及利用第一密钥KA加密的第一签名和客户端临时公钥X；