本發(fā)明涉及量子通信技術(shù)領(lǐng)域，尤其涉及基于量子網(wǎng)絡(luò)服務(wù)站的身份認(rèn)證的系統(tǒng)和方法。

背景技術(shù)：

身份認(rèn)證是實(shí)現(xiàn)信息安全的基本技術(shù)，系統(tǒng)通過審查用戶的身份來確認(rèn)該用戶是否具有對(duì)某種資源的訪問和使用權(quán)限，同樣也可以進(jìn)行系統(tǒng)與系統(tǒng)間的身份認(rèn)證。

當(dāng)前通信網(wǎng)絡(luò)中身份認(rèn)證系統(tǒng)普遍采用非對(duì)稱密碼體制。在非對(duì)稱密碼體制中加密密鑰和解密密鑰不同，從加密密鑰無法推算出解密密鑰，這保障了解密密鑰的安全性，使采用非對(duì)稱密碼體制的認(rèn)證系統(tǒng)可實(shí)現(xiàn)可靠的用戶身份認(rèn)證，且加密密鑰可以公開，因此在認(rèn)證過程中所需密鑰數(shù)量較少。但由于非對(duì)稱密碼算法加解密速度慢，且認(rèn)證系統(tǒng)需建立大量的CA(Certificate Authority)中心，系統(tǒng)龐大復(fù)雜、維護(hù)成本較高，因此非對(duì)稱密碼體制不適用于大規(guī)模終端用戶環(huán)境的認(rèn)證系統(tǒng)。

對(duì)稱密碼體制密鑰較短、加解密處理簡單、加解密速度快，因此采用對(duì)稱密碼體制的認(rèn)證系統(tǒng)具有認(rèn)證速度快的優(yōu)點(diǎn)，滿足大規(guī)模網(wǎng)絡(luò)應(yīng)用的基本需求。但在對(duì)稱密碼體制中加解密使用相同的密鑰，密鑰不能公開，使在多用戶環(huán)境中采用對(duì)稱密碼體制的認(rèn)證過程所需秘鑰量巨大，且認(rèn)證系統(tǒng)密鑰的產(chǎn)生、分發(fā)和更新相對(duì)困難。2013年《計(jì)算機(jī)工程與設(shè)計(jì)》中文獻(xiàn)“基于組合對(duì)稱密鑰技術(shù)認(rèn)證系統(tǒng)的設(shè)計(jì)”，提出一種在對(duì)稱密碼體制的基礎(chǔ)上采用組合密鑰技術(shù)的認(rèn)證系統(tǒng)設(shè)計(jì)方案，利用“密鑰種子”、隨機(jī)參數(shù)和密鑰生成算法實(shí)現(xiàn)每次認(rèn)證中密鑰的一次一變，有效解決了密鑰生成、數(shù)量、分發(fā)、更新的問題，但其來源于軟件系統(tǒng)產(chǎn)生的偽隨機(jī)數(shù)的“密鑰種子”安全性低，容易泄露。因?yàn)閭坞S機(jī)數(shù)產(chǎn)生不能獨(dú)立于其生成函數(shù)，而偽隨機(jī)數(shù)生產(chǎn)函數(shù)為確定函數(shù)，這致使偽隨機(jī)數(shù)不具備絕對(duì)的隨機(jī)性并有一定規(guī)律可循，當(dāng)竊聽者掌握偽隨機(jī)數(shù)生成函數(shù)和偽隨機(jī)數(shù)序列的初始值時(shí)，就有可能掌握整個(gè)偽隨機(jī)數(shù)序列，最終造成“密鑰種子”的泄露。且此系統(tǒng)的設(shè)計(jì)未對(duì)“密鑰種子”的更新做詳細(xì)說明，“密鑰種子”的過度重復(fù)使用同樣會(huì)降低身份認(rèn)證的安全可靠性。

公開號(hào)為CN200780013827的專利文獻(xiàn)公開了用于量子密碼網(wǎng)絡(luò)的密鑰管理和用戶認(rèn)證，通過安全量子鏈路將集中式量子密鑰認(rèn)證機(jī)構(gòu)(QKCA)安全地鏈接到每個(gè)網(wǎng)絡(luò)用戶，在身份認(rèn)證過程中QKCA內(nèi)的真隨機(jī)數(shù)發(fā)生器向兩用戶提供真隨機(jī)比特集合作為認(rèn)證所需密鑰，提高了密鑰的安全性，但密鑰生成采用流傳輸模式或每請(qǐng)求一密鑰的模式，仍解決不了對(duì)稱密碼體制密鑰需求量大的問題。

公開號(hào)為CN201510881727的專利文獻(xiàn)公開了一種基于量子密鑰加密的身份認(rèn)證方法，身份認(rèn)證所使用密鑰為量子密鑰生成設(shè)備產(chǎn)生的量子密鑰，基于測不準(zhǔn)原理保證了密鑰的絕對(duì)安全，但是身份認(rèn)證過程中量子密鑰實(shí)時(shí)申請(qǐng)實(shí)時(shí)產(chǎn)生，當(dāng)量子密鑰管控服務(wù)器沒有存儲(chǔ)足夠的量子密鑰時(shí)，身份認(rèn)證的加密操作處于等待狀態(tài)，直到具有足夠的密鑰量為止，在對(duì)多個(gè)用戶同時(shí)進(jìn)行身份認(rèn)證的情景中，認(rèn)證速度將受到量子密鑰產(chǎn)生速度的限制。

現(xiàn)有技術(shù)基于對(duì)稱密碼體制的身份認(rèn)證方法對(duì)密鑰需求量大，現(xiàn)有解決方案比較片面，沒有在密鑰量和密鑰安全性兩方面做好平衡。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供一種對(duì)稱密碼體制的身份認(rèn)證方法，基于移動(dòng)密鑰裝置，采用量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生的真隨機(jī)數(shù)作為密鑰種子，在身份認(rèn)證時(shí)有限多次使用，兼顧了密鑰生成量和安全性問題。

一種身份認(rèn)證系統(tǒng)，包括配置于網(wǎng)絡(luò)側(cè)的量子網(wǎng)絡(luò)服務(wù)站以及配置于用戶側(cè)的用戶端，還設(shè)有量子密鑰卡，網(wǎng)絡(luò)側(cè)生成真隨機(jī)數(shù)在量子密鑰卡與網(wǎng)絡(luò)側(cè)分別存儲(chǔ)以形成相應(yīng)的用戶側(cè)密鑰；量子密鑰卡與網(wǎng)絡(luò)側(cè)的用戶側(cè)密鑰分別用于生成認(rèn)證口令以進(jìn)行對(duì)比認(rèn)證。

所述真隨機(jī)數(shù)由網(wǎng)絡(luò)側(cè)的量子網(wǎng)絡(luò)服務(wù)站生成，且在所述量子密鑰卡和該量子網(wǎng)絡(luò)服務(wù)站分別存儲(chǔ)以形成相應(yīng)的用戶側(cè)密鑰。

可選的，實(shí)施身份認(rèn)證時(shí)，用戶端匹配的量子密鑰卡利用存儲(chǔ)的用戶側(cè)密鑰生成第一認(rèn)證口令并經(jīng)用戶端發(fā)送至網(wǎng)絡(luò)側(cè)，在網(wǎng)絡(luò)側(cè)存儲(chǔ)有相應(yīng)用戶側(cè)密鑰的量子網(wǎng)絡(luò)服務(wù)站根據(jù)相應(yīng)的用戶側(cè)密鑰生成第二認(rèn)證口令，通過對(duì)比第一認(rèn)證口令和第二認(rèn)證口令得到認(rèn)證結(jié)果并發(fā)送至用戶端。

可選的，實(shí)施身份認(rèn)證時(shí)，用戶端匹配的量子密鑰卡利用存儲(chǔ)的用戶側(cè)密鑰生成第一認(rèn)證口令并經(jīng)用戶端發(fā)送當(dāng)前量子網(wǎng)絡(luò)服務(wù)站，當(dāng)前量子網(wǎng)絡(luò)服務(wù)站在網(wǎng)絡(luò)側(cè)獲取相應(yīng)的用戶側(cè)密鑰生成第二認(rèn)證口令，對(duì)比第一認(rèn)證口令和第二認(rèn)證口令得到認(rèn)證結(jié)果并發(fā)送至用戶端。

本發(fā)明中可實(shí)現(xiàn)雙向認(rèn)證，即用戶端發(fā)起認(rèn)證請(qǐng)求，由網(wǎng)絡(luò)側(cè)的量子網(wǎng)絡(luò)服務(wù)站進(jìn)行認(rèn)證，也可以是網(wǎng)絡(luò)側(cè)的量子網(wǎng)絡(luò)服務(wù)站發(fā)起認(rèn)證請(qǐng)求，由用戶端進(jìn)行認(rèn)證，采用的方式原理相同，實(shí)施身份認(rèn)證時(shí)，網(wǎng)絡(luò)側(cè)利用與用戶端的量子密鑰卡中相應(yīng)的用戶側(cè)密鑰生成第一認(rèn)證口令并經(jīng)用戶端發(fā)送至量子密鑰卡，量子密鑰卡利用存儲(chǔ)在卡內(nèi)的用戶側(cè)密鑰生成第二認(rèn)證口令，通過對(duì)比第一認(rèn)證口令和第二認(rèn)證口令得到認(rèn)證結(jié)果并經(jīng)用戶端發(fā)送至網(wǎng)絡(luò)側(cè)。

網(wǎng)絡(luò)側(cè)發(fā)起認(rèn)證請(qǐng)求的量子網(wǎng)絡(luò)服務(wù)站中若沒有存儲(chǔ)相應(yīng)的用戶側(cè)密鑰，則需向存儲(chǔ)相應(yīng)用戶側(cè)密鑰的量子網(wǎng)絡(luò)服務(wù)站請(qǐng)求用戶側(cè)密鑰，或請(qǐng)求協(xié)助生成第一認(rèn)證口令。

作為優(yōu)選，所述量子密鑰卡為USBkey或可插拔板卡/芯片，其具有數(shù)據(jù)存儲(chǔ)和處理功能，就其自身而言可以基于現(xiàn)有硬件技術(shù)實(shí)現(xiàn)。

所述量子密鑰卡在相應(yīng)的量子網(wǎng)絡(luò)服務(wù)站經(jīng)登記審核獲批后頒發(fā)，具有唯一的量子密鑰卡ID，指向頒發(fā)該量子密鑰卡的量子網(wǎng)絡(luò)服務(wù)站。所述量子密鑰卡存儲(chǔ)有相應(yīng)用戶的身份信息，以及頒發(fā)該量子密鑰卡的量子網(wǎng)絡(luò)服務(wù)站的信息。由于量子密鑰卡與所屬用戶相互綁定，因此量子密鑰卡內(nèi)存儲(chǔ)的相關(guān)信息也可以用來做用戶身份認(rèn)證。可選的，量子密鑰卡與專屬的用戶端ID相互綁定，此時(shí)量子密鑰卡內(nèi)存儲(chǔ)的相關(guān)信息也可以用作專屬用戶端的身份認(rèn)證。

所述用戶側(cè)密鑰也可以直接用作生成認(rèn)證口令過程中所需的密鑰，但作為優(yōu)選，所述用戶側(cè)密鑰作為密鑰種子，所述量子密鑰卡以及量子網(wǎng)絡(luò)服務(wù)站存儲(chǔ)有相應(yīng)的密鑰生成算法，分別用于生成身份認(rèn)證過程中所需的密鑰。

所述量子密鑰卡以及量子網(wǎng)絡(luò)服務(wù)站存儲(chǔ)有相應(yīng)的身份認(rèn)證協(xié)議，包括密鑰生成算法、認(rèn)證函數(shù)，用于生成認(rèn)證口令。量子密鑰卡中的密鑰種子可以來自不同的量子網(wǎng)絡(luò)服務(wù)站，但密鑰生成算法、認(rèn)證函數(shù)以及有可能采用的加密算法存儲(chǔ)于量子密鑰卡以及各量子網(wǎng)絡(luò)服務(wù)站中。

當(dāng)密鑰生成算法和認(rèn)證函數(shù)有多種時(shí)，用戶端與量子網(wǎng)絡(luò)服務(wù)站通信時(shí)，可通過算法標(biāo)號(hào)或索引等形式，指定相同的算法。

量子密鑰卡中的密鑰種子既可以在頒發(fā)量子密鑰卡的量子網(wǎng)絡(luò)服務(wù)站下載，也可以在其它量子網(wǎng)絡(luò)服務(wù)站下載，為了識(shí)別不同來源，所述量子密鑰卡中存有標(biāo)識(shí)密鑰種子來源的密鑰種子ID，用以指向存儲(chǔ)該密鑰種子的量子網(wǎng)絡(luò)服務(wù)站。

密鑰種子ID指向存儲(chǔ)該密鑰種子的量子網(wǎng)絡(luò)服務(wù)站，也包含了密鑰種子在該量子網(wǎng)絡(luò)服務(wù)站內(nèi)的存儲(chǔ)地址，便于查找調(diào)用密鑰種子存儲(chǔ)地址。

量子網(wǎng)絡(luò)服務(wù)站將用戶側(cè)密鑰存入量子密鑰卡的同時(shí)，也存儲(chǔ)在本服務(wù)站中供調(diào)用。

為了提高安全性，下載密鑰種子時(shí)并不需要通過某用戶端進(jìn)行，而是量子密鑰卡與生成真隨機(jī)數(shù)的量子網(wǎng)絡(luò)服務(wù)站直接建立通信連接。僅在身份認(rèn)證、加解密或其他具體業(yè)務(wù)時(shí)，量子密鑰卡需通過用戶端與量子網(wǎng)絡(luò)服務(wù)站通信連接。

所述量子密鑰卡中的密鑰種子按照來源不同分為若干密鑰種子集，同一密鑰種子集的密鑰種子來自同一量子網(wǎng)絡(luò)服務(wù)站，不同的密鑰種子集帶有不同的密鑰種子ID。

由于量子密鑰卡與網(wǎng)絡(luò)側(cè)的用戶側(cè)密鑰相應(yīng)的，因此用戶側(cè)密鑰在使用時(shí)，量子密鑰卡與密鑰種子ID指向量子網(wǎng)絡(luò)服務(wù)站之間的密鑰種子需時(shí)時(shí)同步，密鑰種子同步時(shí)：

可選的，量子密鑰卡和量子網(wǎng)絡(luò)服務(wù)站以相同的算法選取密鑰種子進(jìn)行身份認(rèn)證。

可選的，量子密鑰卡將用于身份認(rèn)證的密鑰種子ID發(fā)送至量子網(wǎng)絡(luò)服務(wù)站，以在身份認(rèn)證時(shí)選取相應(yīng)的密鑰種子。

為了提高安全性，本發(fā)明密鑰種子是可更新的，密鑰種子更新時(shí)：

可選的，用戶端發(fā)送更新申請(qǐng)給量子密鑰卡并通知量子網(wǎng)絡(luò)服務(wù)站，量子密鑰卡接收更新申請(qǐng)并按預(yù)定規(guī)則更新密鑰種子，量子網(wǎng)絡(luò)服務(wù)站同步更新相應(yīng)的密鑰種子。

可選的，統(tǒng)計(jì)密鑰種子的使用次數(shù)，當(dāng)使用次數(shù)到達(dá)閾值時(shí)量子密鑰卡與對(duì)應(yīng)的量子網(wǎng)絡(luò)服務(wù)站同步更新相應(yīng)的密鑰種子。

使用次數(shù)閾值預(yù)先設(shè)定好，同時(shí)存儲(chǔ)在量子網(wǎng)絡(luò)服務(wù)站與量子密鑰卡中，使兩者得以統(tǒng)計(jì)并同步。

可選的，量子密鑰卡統(tǒng)計(jì)未被使用的密鑰種子數(shù)量，達(dá)到臨界值時(shí)進(jìn)行提示，客戶依需求在量子網(wǎng)絡(luò)服務(wù)站下載新的用戶側(cè)密鑰。

密鑰種子更新時(shí)，是在量子密鑰卡與密鑰種子ID所指向的量子網(wǎng)絡(luò)服務(wù)站之間進(jìn)行。當(dāng)然，若是下載新的密鑰種子，則對(duì)量子網(wǎng)絡(luò)服務(wù)站沒有嚴(yán)格限制。

當(dāng)用戶端攜量子密鑰卡和身份證件在注冊(cè)地量子網(wǎng)絡(luò)服務(wù)站(量子密鑰卡ID指向站)申請(qǐng)下載新的密鑰種子時(shí)，注冊(cè)地量子網(wǎng)絡(luò)服務(wù)站通過核對(duì)系統(tǒng)內(nèi)量子密鑰卡ID對(duì)應(yīng)的用戶注冊(cè)信息和用戶身份證件信息來驗(yàn)證用戶的身份合法性，驗(yàn)證通過即允許下載新的種子密鑰，并以密鑰種子集的形式存儲(chǔ)在量子密鑰卡中，相應(yīng)的密鑰種子ID不變，仍為注冊(cè)地量子網(wǎng)絡(luò)服務(wù)站為其初次分配的ID，注冊(cè)地量子網(wǎng)絡(luò)服務(wù)站同步更新本站保存的對(duì)應(yīng)密鑰種子。

當(dāng)用戶端攜量子密鑰卡和身份證件在非注冊(cè)地量子網(wǎng)絡(luò)服務(wù)站初次申請(qǐng)下載密鑰種子時(shí)，當(dāng)前量子網(wǎng)絡(luò)服務(wù)站根據(jù)用戶提供的量子密鑰卡與注冊(cè)地量子網(wǎng)絡(luò)服務(wù)站交互，并通過核對(duì)用戶身份證件，來驗(yàn)證用戶的身份合法性，驗(yàn)證通過即允許在本站下載密鑰種子，并為其分配唯一的密鑰種子ID，當(dāng)前量子網(wǎng)絡(luò)服務(wù)站在本站同步添加對(duì)應(yīng)密鑰種子集，且保存用戶量子密鑰卡ID、用戶相關(guān)信息。

本發(fā)明身份認(rèn)證系統(tǒng)可在局域網(wǎng)內(nèi)實(shí)施，網(wǎng)絡(luò)側(cè)的量子網(wǎng)絡(luò)服務(wù)站包括：

量子服務(wù)中心，用于通過經(jīng)典網(wǎng)絡(luò)與各用戶端通信連接；

真隨機(jī)數(shù)發(fā)生器，生成所述真隨機(jī)數(shù)；

用戶側(cè)密鑰管理服務(wù)器，與量子服務(wù)中心通信連接，用于根據(jù)用戶請(qǐng)求將來自真隨機(jī)數(shù)發(fā)生器的真隨機(jī)數(shù)分別存儲(chǔ)至相應(yīng)的量子密鑰卡以及本量子網(wǎng)絡(luò)服務(wù)站內(nèi)，作為相應(yīng)的用戶側(cè)密鑰。

所述真隨機(jī)數(shù)發(fā)生器為量子隨機(jī)數(shù)發(fā)生器，也可為基于電路的真隨機(jī)數(shù)發(fā)生器、基于物理源的真隨機(jī)數(shù)發(fā)生器以及其他種類的真隨機(jī)發(fā)生器。

多個(gè)量子網(wǎng)絡(luò)服務(wù)站構(gòu)成廣域網(wǎng)時(shí)，本發(fā)明身份認(rèn)證系統(tǒng)可在廣域網(wǎng)內(nèi)實(shí)施，在網(wǎng)絡(luò)側(cè)，相連接的兩量子網(wǎng)絡(luò)服務(wù)站均設(shè)有對(duì)應(yīng)的量子密鑰控制中心，量子密鑰控制中心與所在量子網(wǎng)絡(luò)服務(wù)站的量子服務(wù)中心通信連接，對(duì)應(yīng)的兩個(gè)量子密鑰控制中心通過量子網(wǎng)絡(luò)進(jìn)行密鑰分發(fā)，用以在相連接的兩量子網(wǎng)絡(luò)服務(wù)站之間形成站間量子密鑰。

本發(fā)明量子服務(wù)中心以及量子密鑰分發(fā)設(shè)備可以利用現(xiàn)有構(gòu)架，量子密鑰分發(fā)設(shè)備可在不同量子網(wǎng)絡(luò)服務(wù)站間生成和分發(fā)量子密鑰，不同量子網(wǎng)絡(luò)服務(wù)站之間通過量子密鑰分發(fā)設(shè)備實(shí)現(xiàn)廣域多節(jié)點(diǎn)間基于量子密鑰的加解密通信。

所述量子服務(wù)中心包括：身份認(rèn)證服務(wù)器，另外可根據(jù)需要設(shè)置其他服務(wù)器，例如消息認(rèn)證服務(wù)器、加解密服務(wù)器或數(shù)字簽名驗(yàn)證服務(wù)器等。

所述用戶側(cè)密鑰管理服務(wù)器將來自真隨機(jī)數(shù)發(fā)生器的真隨機(jī)數(shù)分別存儲(chǔ)至相應(yīng)的量子密鑰卡以及本量子網(wǎng)絡(luò)服務(wù)站內(nèi)作為用戶側(cè)密鑰，而在量子網(wǎng)絡(luò)服務(wù)站內(nèi)，該用戶側(cè)密鑰可存儲(chǔ)在用戶側(cè)密鑰管理服務(wù)器和/或量子服務(wù)中心中，所述用戶側(cè)密鑰管理服務(wù)器與量子服務(wù)中心通信連接，以響應(yīng)對(duì)用戶側(cè)密鑰的調(diào)用?，F(xiàn)有的量子密鑰一次一密的加密通信方式雖然安全性很高，但量子密鑰產(chǎn)生和分發(fā)裝置價(jià)格昂貴，不適用與在通信網(wǎng)絡(luò)中廣泛使用，使用真隨機(jī)數(shù)發(fā)生器產(chǎn)生真隨機(jī)數(shù)作為密鑰種子的信息安全保障服務(wù)更加經(jīng)濟(jì)實(shí)用，且在身份認(rèn)證過程中，源于真隨機(jī)數(shù)的密鑰種子安全性高于軟件隨機(jī)數(shù)發(fā)生器產(chǎn)生的偽隨機(jī)數(shù)。

可選的，與用戶端通信的當(dāng)前量子網(wǎng)絡(luò)服務(wù)站與用戶端匹配的量子密鑰卡存儲(chǔ)有相應(yīng)的用戶側(cè)密鑰，在生成第二認(rèn)證口令時(shí)，在站內(nèi)直接調(diào)用該用戶側(cè)密鑰。

即用戶端匹配的量子密鑰卡中，所用密鑰種子的密鑰種子ID指向與用戶端通信的當(dāng)前量子網(wǎng)絡(luò)服務(wù)站。

可選的，與用戶端通信的當(dāng)前量子網(wǎng)絡(luò)服務(wù)站與用戶端匹配的量子密鑰卡沒有相應(yīng)的用戶側(cè)密鑰，在生成第二認(rèn)證口令時(shí)，當(dāng)前量子網(wǎng)絡(luò)服務(wù)站向存儲(chǔ)有相應(yīng)用戶側(cè)密鑰的其他量子網(wǎng)絡(luò)服務(wù)站請(qǐng)求進(jìn)行異地身份認(rèn)證以及返回認(rèn)證結(jié)果。即用戶端匹配的量子密鑰卡中，所用密鑰種子的密鑰種子ID并沒有指向與用戶端通信的當(dāng)前量子網(wǎng)絡(luò)服務(wù)站，而是指向其他量子網(wǎng)絡(luò)服務(wù)站。

請(qǐng)求進(jìn)行異地身份認(rèn)證時(shí)，當(dāng)前量子網(wǎng)絡(luò)服務(wù)站利用站間量子密鑰將來自用戶端的第一認(rèn)證口令(也可能包含身份認(rèn)證所需的其他信息，例如包括下文提及的第二隨機(jī)數(shù))以密文形式發(fā)送至密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站。

同理返回認(rèn)證結(jié)果時(shí)，也可以利用站間量子密鑰，采用密文形式發(fā)送至當(dāng)前量子網(wǎng)絡(luò)服務(wù)站。

可選的，與用戶端通信的當(dāng)前量子網(wǎng)絡(luò)服務(wù)站與用戶端匹配的量子密鑰卡沒有相應(yīng)的用戶側(cè)密鑰，在生成第二認(rèn)證口令時(shí)，當(dāng)前量子網(wǎng)絡(luò)服務(wù)站向存儲(chǔ)有相應(yīng)用戶側(cè)密鑰的其他量子網(wǎng)絡(luò)服務(wù)站請(qǐng)求該用戶側(cè)密鑰。

存儲(chǔ)有相應(yīng)用戶側(cè)密鑰的其他量子網(wǎng)絡(luò)服務(wù)站響應(yīng)當(dāng)前量子網(wǎng)絡(luò)服務(wù)站的請(qǐng)求后：

提取相應(yīng)的用戶側(cè)密鑰以密文形式發(fā)送給當(dāng)前量子網(wǎng)絡(luò)服務(wù)站；或

利用與用戶端相同的密鑰生成算法生成密鑰，將該密鑰以密文形式發(fā)送至當(dāng)前量子網(wǎng)絡(luò)服務(wù)站。

用戶側(cè)密鑰(通過密鑰生成算法生成密鑰)在密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站與當(dāng)前量子網(wǎng)絡(luò)服務(wù)站之間傳送時(shí)，由于是密文形式，因此可以利用站間量子密鑰對(duì)用戶側(cè)密鑰本身進(jìn)行加、解密傳送。

密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站與當(dāng)前量子網(wǎng)絡(luò)服務(wù)站之間如果還要通過其他網(wǎng)絡(luò)節(jié)點(diǎn)中轉(zhuǎn)，則所述的站間量子密鑰應(yīng)理解為在直接通信連接的兩量子網(wǎng)絡(luò)服務(wù)站(或網(wǎng)絡(luò)節(jié)點(diǎn))之間通過相應(yīng)的量子密鑰分發(fā)設(shè)備形成的站間量子密鑰，而并非特指密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站與當(dāng)前量子網(wǎng)絡(luò)服務(wù)站之間的站間量子密鑰。用戶端向當(dāng)前量子網(wǎng)絡(luò)服務(wù)站提交的身份認(rèn)證申請(qǐng)信息里包含所用密鑰種子的密鑰種子ID，或當(dāng)前量子網(wǎng)絡(luò)服務(wù)站從用戶端接收的第一認(rèn)證口令時(shí)，也接收所用的密鑰種子ID。

生成第一認(rèn)證口令時(shí)，包括：

a、所述用戶端向當(dāng)前量子網(wǎng)絡(luò)服務(wù)站提出認(rèn)證申請(qǐng)后，接收由網(wǎng)絡(luò)側(cè)生成的第一隨機(jī)數(shù)；

該第一隨機(jī)數(shù)由當(dāng)前量子網(wǎng)絡(luò)服務(wù)站生成或由所用密鑰種子的密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站生成。

b、用戶端匹配的量子密鑰卡生成第二隨機(jī)數(shù)，利用第二隨機(jī)數(shù)和卡內(nèi)的密鑰種子通過密鑰生成算法生成第一認(rèn)證密鑰；

用戶端的量子密鑰卡可以利用卡內(nèi)的軟件隨機(jī)數(shù)發(fā)生器生成第二隨機(jī)數(shù)，作為生成第一認(rèn)證密鑰的輸入?yún)?shù)。第二隨機(jī)數(shù)為可在網(wǎng)絡(luò)上對(duì)外公布的信息，因此其可以為偽隨機(jī)數(shù)，也可以設(shè)計(jì)成真隨機(jī)數(shù)或者網(wǎng)絡(luò)側(cè)向用戶端提供的其他隨機(jī)數(shù)。

c、利用所述第一隨機(jī)數(shù)和第一認(rèn)證密鑰進(jìn)行認(rèn)證函數(shù)運(yùn)算生成第一認(rèn)證口令，將第一認(rèn)證口令和第二隨機(jī)數(shù)發(fā)送至網(wǎng)絡(luò)側(cè)以進(jìn)行認(rèn)證。

作為優(yōu)選，生成第一認(rèn)證密鑰以及第一認(rèn)證口令均在量子密鑰卡中進(jìn)行。再經(jīng)由匹配的用戶端上傳給當(dāng)前量子網(wǎng)絡(luò)服務(wù)站，此處的匹配應(yīng)理解為量子密鑰卡與當(dāng)前的用戶端已經(jīng)建立通信連接，量子密鑰卡與用戶是綁定的，但并不要求與指定的用戶端在硬件地址上進(jìn)行綁定，當(dāng)然，考慮到某些特殊場合或需求，也可以將量子密鑰卡與指定的用戶端在硬件地址上進(jìn)行綁定。

作為優(yōu)選，第一認(rèn)證口令和第二隨機(jī)數(shù)根據(jù)加密傳輸協(xié)議加密后發(fā)送給當(dāng)前量子網(wǎng)絡(luò)服務(wù)站。

生成第二認(rèn)證口令時(shí)，包括：

a、當(dāng)前量子網(wǎng)絡(luò)服務(wù)站接收第一認(rèn)證口令和第二隨機(jī)數(shù)，

根據(jù)生成第一認(rèn)證口令時(shí)所用的密鑰種子的密鑰種子ID判斷其指向的量子網(wǎng)絡(luò)服務(wù)站：

方式一，若指向當(dāng)前量子網(wǎng)絡(luò)服務(wù)站，則在站內(nèi)調(diào)取相應(yīng)的密鑰種子，結(jié)合所述第二隨機(jī)數(shù)生成第二認(rèn)證密鑰，利用所述第一隨機(jī)數(shù)和該第二認(rèn)證密鑰進(jìn)行認(rèn)證函數(shù)運(yùn)算生成第二認(rèn)證口令；

方式二，若指向其他量子網(wǎng)絡(luò)服務(wù)站，當(dāng)前量子網(wǎng)絡(luò)服務(wù)站向密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站請(qǐng)求該密鑰種子，當(dāng)前量子網(wǎng)絡(luò)服務(wù)站利用獲取的密鑰種子，結(jié)合所述第二隨機(jī)數(shù)生成第二認(rèn)證密鑰，利用所述第一隨機(jī)數(shù)和該第二認(rèn)證密鑰進(jìn)行認(rèn)證函數(shù)運(yùn)算生成第二認(rèn)證口令；

方式三，若指向其他量子網(wǎng)絡(luò)服務(wù)站，當(dāng)前量子網(wǎng)絡(luò)服務(wù)站將所述第一認(rèn)證口令和第二隨機(jī)數(shù)發(fā)送至密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站，該量子網(wǎng)絡(luò)服務(wù)站在站內(nèi)調(diào)用相應(yīng)的密鑰種子，結(jié)合所述第二隨機(jī)數(shù)生成第二認(rèn)證密鑰，利用所述第一隨機(jī)數(shù)和該第二認(rèn)證密鑰進(jìn)行認(rèn)證函數(shù)運(yùn)算生成第二認(rèn)證口令。

作為優(yōu)選，生成第二認(rèn)證口令以及生成第一隨機(jī)數(shù)在同一量子網(wǎng)絡(luò)服務(wù)站進(jìn)行。

若在不同的量子網(wǎng)絡(luò)服務(wù)站進(jìn)行，生成第二認(rèn)證口令的量子網(wǎng)絡(luò)服務(wù)站需向生成第一隨機(jī)數(shù)的量子網(wǎng)絡(luò)服務(wù)站請(qǐng)求調(diào)用。

生成的第二認(rèn)證口令的量子網(wǎng)絡(luò)服務(wù)站通過比較第一認(rèn)證口令和第二認(rèn)證口令得到認(rèn)證結(jié)果，再將認(rèn)證結(jié)果發(fā)送至用戶端。

本發(fā)明還提供一種身份認(rèn)證方法，應(yīng)用于本發(fā)明所述的身份認(rèn)證系統(tǒng)中。身份認(rèn)證方法的各步驟細(xì)節(jié)可參照身份認(rèn)證系統(tǒng)的有關(guān)描述。

本發(fā)明中將量子真隨機(jī)數(shù)發(fā)生器產(chǎn)生的真隨機(jī)數(shù)作為密鑰種子，在身份認(rèn)證時(shí)多次使用，使生成的認(rèn)證密鑰一次一變，平衡了身份認(rèn)證所需密鑰的密鑰量和安全性問題。

附圖說明

圖1為本發(fā)明身份認(rèn)證系統(tǒng)結(jié)構(gòu)圖。

圖2為身份認(rèn)證流程圖。

具體實(shí)施方式

如圖1所示，本發(fā)明身份認(rèn)證系統(tǒng)可以包括多個(gè)量子網(wǎng)絡(luò)服務(wù)站，不同量子網(wǎng)絡(luò)服務(wù)站之間可以通過QKD方式共享站間量子密鑰。

量子網(wǎng)絡(luò)服務(wù)站包括：

量子服務(wù)中心，主要用于通過經(jīng)典網(wǎng)絡(luò)與用戶側(cè)的各用戶端通信連接以及與其他量子網(wǎng)絡(luò)服務(wù)站通信連接；經(jīng)典網(wǎng)絡(luò)包括但不限于電信網(wǎng)、互聯(lián)網(wǎng)、廣播電視網(wǎng)或者其他通信網(wǎng)絡(luò)等。

量子密鑰分發(fā)設(shè)備，主要用于通過QKD方式實(shí)現(xiàn)站間量子密鑰的共享。

真隨機(jī)數(shù)發(fā)生器，用于接收用戶側(cè)密鑰管理服務(wù)器提出的申請(qǐng)用戶側(cè)密鑰的請(qǐng)求，生成用戶側(cè)密鑰，并發(fā)送給用戶側(cè)密鑰管理服務(wù)器；此處采用的為真隨機(jī)數(shù)發(fā)生器。其可以為基于電路的真隨機(jī)數(shù)發(fā)生器、基于物理源的真隨機(jī)數(shù)發(fā)生器以及其他種類的真隨機(jī)發(fā)生器。

用戶側(cè)密鑰管理服務(wù)器，存放、管理從真隨機(jī)數(shù)發(fā)生器生成的用戶側(cè)密鑰，可以接入可移動(dòng)式的量子密鑰卡，實(shí)現(xiàn)的發(fā)卡、登記、拷貝用戶側(cè)密鑰，還可以接收量子服務(wù)中心提出的申請(qǐng)用戶側(cè)密鑰請(qǐng)求，發(fā)送相應(yīng)長度的用戶側(cè)密鑰給量子服務(wù)中心。

其中量子服務(wù)中心包括：身份認(rèn)證服務(wù)器，還可根據(jù)需要設(shè)置其他服務(wù)器，例如數(shù)字簽名服務(wù)器、簽名驗(yàn)證服務(wù)器、加解密服務(wù)器等。

身份認(rèn)證服務(wù)器用于實(shí)現(xiàn)用戶在接受消息認(rèn)證、數(shù)字簽名等服務(wù)前與量子網(wǎng)絡(luò)服務(wù)站的相互身份認(rèn)證。身份認(rèn)證服務(wù)器內(nèi)部具有采用PCI總線接口的加密卡，用于存儲(chǔ)身份認(rèn)證協(xié)議，包括密鑰生成算法、認(rèn)證函數(shù)、加密傳輸協(xié)議。

各量子網(wǎng)絡(luò)服務(wù)站下配置有用戶端，例如圖中的用戶端1～用戶端n，本實(shí)施例中不同的服務(wù)器或其他裝置在硬件上也可以根據(jù)需要進(jìn)行整合。

用戶端為接入量子網(wǎng)絡(luò)服務(wù)站的設(shè)備，可為移動(dòng)終端，或?yàn)楣潭ńK端。當(dāng)為移動(dòng)終端時(shí)，量子密鑰卡優(yōu)選為量子SD卡；當(dāng)為固定終端時(shí)，量子密鑰卡優(yōu)選為USBkey。

當(dāng)客戶前往所在區(qū)域的量子網(wǎng)絡(luò)服務(wù)站進(jìn)行注冊(cè)登記，獲批后得到量子密鑰卡(具有唯一的量子密鑰卡ID)。量子密鑰卡存儲(chǔ)了客戶注冊(cè)登記信息，還內(nèi)置有身份認(rèn)證協(xié)議，至少包括密鑰生成算法以及認(rèn)證函數(shù)，或其他與身份認(rèn)證相關(guān)的算法。

網(wǎng)絡(luò)側(cè)的各個(gè)量子網(wǎng)絡(luò)服務(wù)站也相應(yīng)的存有認(rèn)證協(xié)議，若協(xié)議中各算法存在兩種以上，量子密鑰卡在與量子網(wǎng)絡(luò)服務(wù)站通信時(shí)會(huì)將算法標(biāo)號(hào)發(fā)送給量子網(wǎng)絡(luò)服務(wù)站，供量子網(wǎng)絡(luò)服務(wù)站選取。

量子密鑰卡中的用戶側(cè)密鑰可能下載自不同的量子網(wǎng)絡(luò)服務(wù)站，因此可按不同來源存在不同的密鑰種子集中，用戶端可按預(yù)先設(shè)定的規(guī)則取用密鑰種子以生成密鑰。不同的密鑰種子集具有唯一的密鑰種子ID，其指向的量子網(wǎng)絡(luò)服務(wù)站中存儲(chǔ)有相應(yīng)的密鑰種子。

實(shí)施例1

如圖2所示，局域網(wǎng)內(nèi)用戶端與量子網(wǎng)絡(luò)服務(wù)站間的身份認(rèn)證方法，其中所涉及的量子密鑰卡在該本地量子網(wǎng)絡(luò)服務(wù)站注冊(cè)頒發(fā)，身份認(rèn)證方法包括：

a.認(rèn)證發(fā)起：用戶端向當(dāng)前量子網(wǎng)絡(luò)服務(wù)站的身份認(rèn)證服務(wù)器提交認(rèn)證申請(qǐng)，認(rèn)證申請(qǐng)中至少包含量子密鑰卡ID以及本次身份認(rèn)證將用到的密鑰種子的密鑰種子ID等信息，提出認(rèn)證申請(qǐng)后，身份認(rèn)證服務(wù)器發(fā)送一個(gè)隨機(jī)數(shù)RANDS(相當(dāng)于第一隨機(jī)數(shù))給用戶端。

b.用戶認(rèn)證密鑰生成：用戶端匹配的量子密鑰卡獲得隨機(jī)數(shù)RANDS后，量子密鑰卡利用卡內(nèi)的軟件隨機(jī)數(shù)發(fā)生器生成隨機(jī)數(shù)RANDU(相當(dāng)于第二隨機(jī)數(shù))。

利用密鑰生成算法FK和隨機(jī)數(shù)RANDU，對(duì)卡內(nèi)的密鑰種子KK作用生成密鑰K。

密鑰生成算法FK的思路是輸入RANDU，利用RANDU的特點(diǎn)，從密鑰種子KK中選取元素并進(jìn)行適當(dāng)排列和算法運(yùn)算，輸出密鑰K。

c.用戶認(rèn)證口令生成與發(fā)送：量子密鑰卡利用隨機(jī)數(shù)RANDS和密鑰K進(jìn)行認(rèn)證函數(shù)FR的運(yùn)算生成認(rèn)證口令C，將認(rèn)證口令C和隨機(jī)數(shù)RANDU根據(jù)加密傳輸協(xié)議發(fā)送給量子網(wǎng)絡(luò)服務(wù)站的身份認(rèn)證服務(wù)器。

d.身份認(rèn)證服務(wù)器認(rèn)證密鑰生成：身份認(rèn)證服務(wù)器解析出用戶發(fā)送的認(rèn)證口令C和隨機(jī)數(shù)RANDU，根據(jù)密鑰種子ID在站內(nèi)調(diào)用相應(yīng)的密鑰種子KK＇，調(diào)用加密卡接口，在加密卡內(nèi)利用密鑰生成算法FK＇和隨機(jī)數(shù)RANDU，對(duì)密鑰種子KK＇作用生成密鑰K＇。

e.身份認(rèn)證服務(wù)器口令生成：在加密卡內(nèi)，隨機(jī)數(shù)RANDS和密鑰K＇進(jìn)行認(rèn)證函數(shù)FR＇的運(yùn)算生成認(rèn)證口令C＇。

f.對(duì)比口令與認(rèn)證反饋：身份認(rèn)證服務(wù)器將認(rèn)證口令C和認(rèn)證口令C＇進(jìn)行比較，如果相同則認(rèn)證該用戶身份合法，授權(quán)其進(jìn)入相應(yīng)工作區(qū)，如果不同則認(rèn)證失敗，拒絕該用戶的訪問。

上述為量子服務(wù)中心對(duì)用戶的單向身份認(rèn)證過程，當(dāng)用戶對(duì)量子服務(wù)中心進(jìn)行身份認(rèn)證時(shí)，由身份認(rèn)證服務(wù)器提出認(rèn)證申請(qǐng)，用戶向身份認(rèn)證服務(wù)器提出挑戰(zhàn)(即發(fā)送本次身份認(rèn)證將用到的量子密鑰卡中密鑰種子的密鑰種子ID和隨機(jī)參數(shù)RAND_U，身份認(rèn)證服務(wù)器的應(yīng)答過程及用戶檢驗(yàn)認(rèn)證口令的過程與上述步驟b-f相似，此處不再復(fù)述，最后用戶端將認(rèn)證結(jié)果反饋給身份認(rèn)證服務(wù)器。

客戶在進(jìn)行身份認(rèn)證時(shí)，密鑰種子長期重復(fù)使用會(huì)有被破解的可能性，為提高本消息認(rèn)證系統(tǒng)的安全性，密鑰種子需要定時(shí)更新。

本實(shí)施例中的更新方式為：

用戶端與匹配的量子密鑰卡建立通信連接后，用戶端通過上層應(yīng)用程序向量子密鑰卡發(fā)送更新申請(qǐng)，該更新申請(qǐng)同時(shí)也發(fā)送至量子服務(wù)中心。

密鑰存儲(chǔ)卡接收更新申請(qǐng)后，按預(yù)先設(shè)定的規(guī)則更新密鑰種子，例如將一部分使用過的密鑰種子做失效標(biāo)識(shí)，不再使用，而啟用新的密鑰種子。

量子服務(wù)中心接收更新申請(qǐng)后，按預(yù)先與量子密鑰卡協(xié)商一致的規(guī)則更新量子網(wǎng)絡(luò)服務(wù)站內(nèi)相應(yīng)存儲(chǔ)的密鑰種子，實(shí)現(xiàn)與量子密鑰卡的時(shí)時(shí)對(duì)應(yīng)。

實(shí)施例2

廣域網(wǎng)內(nèi)用戶端與量子網(wǎng)絡(luò)服務(wù)站間的身份認(rèn)證方法，包括：

a.認(rèn)證發(fā)起：用戶端向當(dāng)前量子網(wǎng)絡(luò)服務(wù)站的身份認(rèn)證服務(wù)器提交認(rèn)證申請(qǐng)，認(rèn)證申請(qǐng)中至少包含量子密鑰卡ID以及本次身份認(rèn)證將用到的密鑰種子的密鑰種子ID等信息，提出認(rèn)證申請(qǐng)后，身份認(rèn)證服務(wù)器發(fā)送一個(gè)隨機(jī)數(shù)RANDS(相當(dāng)于第一隨機(jī)數(shù))給用戶端。

b.用戶認(rèn)證密鑰生成：用戶端匹配的量子密鑰卡獲得隨機(jī)數(shù)RANDS后，量子密鑰卡利用卡內(nèi)的軟件隨機(jī)數(shù)發(fā)生器生成隨機(jī)數(shù)RANDU(相當(dāng)于第二隨機(jī)數(shù))。

利用密鑰生成算法FK和隨機(jī)數(shù)RANDU，對(duì)卡內(nèi)的密鑰種子KK作用生成密鑰K。

密鑰生成算法FK的思路是輸入RANDU，利用RANDU的特點(diǎn)，從密鑰種子KK中選取元素并進(jìn)行適當(dāng)排列和算法運(yùn)算，輸出密鑰K。

c.用戶認(rèn)證口令生成與發(fā)送：量子密鑰卡利用隨機(jī)數(shù)RANDS和密鑰K進(jìn)行認(rèn)證函數(shù)FR的運(yùn)算生成認(rèn)證口令C，將認(rèn)證口令C和隨機(jī)數(shù)RANDU根據(jù)加密傳輸協(xié)議發(fā)送給身份認(rèn)證服務(wù)器。

d.身份認(rèn)證服務(wù)器認(rèn)證密鑰生成：身份認(rèn)證服務(wù)器解析出用戶發(fā)送的認(rèn)證口令C和隨機(jī)數(shù)RANDU；

根據(jù)用戶端匹配的量子密鑰卡的密鑰種子ID與密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站建立通信，并將密鑰種子ID以及量子密鑰卡ID發(fā)送至密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站，請(qǐng)求獲取相應(yīng)的密鑰種子。

密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站響應(yīng)該請(qǐng)求，根據(jù)量子密鑰卡ID搜索用戶信息，并根據(jù)密鑰種子ID獲取相應(yīng)的密鑰種子KK＇，并以密文方式發(fā)送給當(dāng)前量子網(wǎng)絡(luò)服務(wù)站；

當(dāng)前量子網(wǎng)絡(luò)服務(wù)站獲取密鑰種子KK＇后，調(diào)用身份認(rèn)證服務(wù)器的加密卡接口，在加密卡內(nèi)利用密鑰生成算法FK＇和隨機(jī)數(shù)RANDU，對(duì)密鑰種子KK＇作用生成密鑰K＇。

e.身份認(rèn)證服務(wù)器口令生成：在加密卡內(nèi)，隨機(jī)數(shù)RANDS和密鑰K＇進(jìn)行認(rèn)證函數(shù)FR＇的運(yùn)算生成認(rèn)證口令C＇。

f.對(duì)比口令與認(rèn)證反饋：當(dāng)前量子網(wǎng)絡(luò)服務(wù)站的身份認(rèn)證服務(wù)器將認(rèn)證口令C和認(rèn)證口令C＇進(jìn)行比較，如果相同則認(rèn)證該用戶身份合法，授權(quán)其進(jìn)入相應(yīng)工作區(qū)，如果不同則認(rèn)證失敗，拒絕該用戶的訪問。

實(shí)施例3

廣域網(wǎng)內(nèi)用戶端與量子網(wǎng)絡(luò)服務(wù)站間的另一種身份認(rèn)證方法，包括：

a.認(rèn)證發(fā)起：用戶端向當(dāng)前量子網(wǎng)絡(luò)服務(wù)站的身份認(rèn)證服務(wù)器提交認(rèn)證申請(qǐng)，認(rèn)證申請(qǐng)中至少包含量子密鑰卡ID以及本次身份認(rèn)證將用到的密鑰種子的密鑰種子ID等信息，提出認(rèn)證申請(qǐng)后，身份認(rèn)證服務(wù)器根據(jù)密鑰種子ID，向其指向的量子網(wǎng)絡(luò)服務(wù)站請(qǐng)求生成并發(fā)送隨機(jī)數(shù)RANDS(相當(dāng)于第一隨機(jī)數(shù))給用戶端。

b.用戶認(rèn)證密鑰生成：用戶端匹配的量子密鑰卡獲得隨機(jī)數(shù)RANDS后，量子密鑰卡利用卡內(nèi)的軟件隨機(jī)數(shù)發(fā)生器生成隨機(jī)數(shù)RANDU(相當(dāng)于第二隨機(jī)數(shù))。

利用密鑰生成算法FK和隨機(jī)數(shù)RANDU，對(duì)卡內(nèi)的密鑰種子KK作用生成密鑰K。

密鑰生成算法FK的思路是輸入RANDU，利用RANDU的特點(diǎn)，從密鑰種子KK中選取元素并進(jìn)行適當(dāng)排列和算法運(yùn)算，輸出密鑰K。

c.用戶認(rèn)證口令生成與發(fā)送：量子密鑰卡利用隨機(jī)數(shù)RANDS和密鑰K進(jìn)行認(rèn)證函數(shù)FR的運(yùn)算生成認(rèn)證口令C，將認(rèn)證口令C和隨機(jī)數(shù)RANDU發(fā)送給當(dāng)前量子網(wǎng)絡(luò)服務(wù)站的身份認(rèn)證服務(wù)器。

d.身份認(rèn)證服務(wù)器認(rèn)證密鑰生成：當(dāng)前量子網(wǎng)絡(luò)服務(wù)站的身份認(rèn)證服務(wù)器再將接收到的認(rèn)證口令C和隨機(jī)數(shù)RANDU發(fā)送至密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站；

密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站根據(jù)密鑰種子ID在站內(nèi)調(diào)用相應(yīng)的密鑰種子KK＇，利用密鑰生成算法FK＇和隨機(jī)數(shù)RANDU，對(duì)密鑰種子KK＇作用生成密鑰K＇。

e.身份認(rèn)證服務(wù)器口令生成：密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站內(nèi)，對(duì)隨機(jī)數(shù)RANDS和密鑰K＇進(jìn)行認(rèn)證函數(shù)FR＇的運(yùn)算生成認(rèn)證口令C＇。

f.對(duì)比口令與認(rèn)證反饋：密鑰種子ID指向的量子網(wǎng)絡(luò)服務(wù)站內(nèi)，將認(rèn)證口令C和認(rèn)證口令C＇進(jìn)行比較，獲得認(rèn)證結(jié)果并發(fā)送至與用戶端通信的當(dāng)前量子網(wǎng)絡(luò)服務(wù)站，如果認(rèn)證該用戶身份合法，量子網(wǎng)絡(luò)服務(wù)站授權(quán)其進(jìn)入相應(yīng)工作區(qū)，如否則，拒絕該用戶的訪問。