本發(fā)明涉及網(wǎng)絡安全通信領域,特別涉及一種基于量子通信網(wǎng)絡的nfc認證系統(tǒng)。
背景技術:
身份認證時,靜態(tài)密碼容易被惡意軟件所竊取,或者因為固定不變被暴力破解。為了解決靜態(tài)密碼的安全性問題,動態(tài)令牌技術已經(jīng)大行其道。
動態(tài)令牌采用基于時間、事件和密鑰三個變量產(chǎn)生的一次性密碼代替?zhèn)鹘y(tǒng)的靜態(tài)密碼。每個動態(tài)令牌卡都有一個唯一的密鑰,該密鑰同時存放在服務器端,每次認證時動態(tài)令牌卡與服務器分別根據(jù)同樣的密鑰,同樣的隨機參數(shù)(時間、事件)和同樣的算法計算待認證的動態(tài)令牌,從而雙邊確保密碼的一致性,實現(xiàn)身份認證。因每次認證時的隨機參數(shù)不同,所以每次產(chǎn)生的動態(tài)令牌也不同,而參數(shù)的隨機性保證了每次密碼的不可預測性,從而在最基本也是最重要的密碼認證環(huán)節(jié)保證了系統(tǒng)的安全性。動態(tài)令牌從終端來分類包含硬件令牌和手機令牌。手機令牌是安裝在手機上的客戶端軟件,用來生成動態(tài)令牌。
國際上動態(tài)令牌有2大主流算法,一個是rsa的securid(使用aes對稱算法),一個是oath組織使用的hmac算法。國內(nèi)使用的動態(tài)令牌算法使用國密sm1和sm3。
近場通信(nearfieldcommunication,nfc)是一種短距高頻的無線電技術,其傳輸范圍比射頻識別技術(radiofrequencyidentification,rfid)小,但由于nfc采取了獨特的信號衰減技術,相對于rfid來說nfc具有距離近、帶寬高、能耗低等特點,可提供各種設備間安全、迅速而自動的通信。
目前nfc已經(jīng)成為越來越多主要手機廠商支持的正式標準,各個手機廠商也推出了具有nfc支付功能的智能終端。
量子通信是量子論和信息論相結合的新興交叉領域,以其高度安全的信息傳輸能力日益受到人們的關注。
例如中國專利申請201510513004.4公開了基于量子密碼網(wǎng)絡的手機令牌身份認證系統(tǒng),其中介紹了量子通信網(wǎng)絡的動態(tài)令牌認證。但未考慮移動終端的安全性,而且需要在應用終端手動輸入動態(tài)密碼,操作不便。
中國專利申請201610843356.0公開了用戶身份認證系統(tǒng)和方法,其中介紹了一種量子通信服務站和量子密鑰卡及其相互之間認證的實現(xiàn)方法。但僅介紹了量子通信服務站對配備有量子密鑰卡的量子通信用戶設備的認證,并未介紹量子通信網(wǎng)絡中的應用系統(tǒng)的內(nèi)部認證,即應用服務器對應用終端的認證。而且僅對量子通信網(wǎng)絡中的設備進行認證,沒有對量子通信網(wǎng)絡中的設備使用者進行認證。
現(xiàn)有技術存在的問題
1.現(xiàn)有技術中,在使用動態(tài)令牌進行身份認證過程中,需要應用終端使用者手動輸入動態(tài)令牌,操作過于繁瑣,并且存在安全隱患。
2.現(xiàn)有技術中,僅對量子通信網(wǎng)絡的用戶設備進行認證,沒有對量子通信網(wǎng)絡的用戶設備的使用者進行認證。
3.現(xiàn)有技術中,每一個應用服務器的賬戶認證中心各自獨立,應用終端需要維護多套賬戶及其對應密碼,管理不便。
技術實現(xiàn)要素:
本發(fā)明提供一種操作便捷,安全性高的nfc認證系統(tǒng)。
一種基于量子加密的nfc認證系統(tǒng),包括應用服務器、應用終端、以及移動終端,還設有量子通信服務站,所述應用服務器、應用終端分別配置有量子密鑰卡,各量子密鑰卡與量子通信服務站之間存儲有相應的量子密鑰;
進行nfc認證時,移動終端通過nfc傳輸從應用終端申請并獲得nfc認證信息,并向應用服務器發(fā)送帶有所述nfc認證信息的認證應答;
應用服務器在所配置的量子密鑰卡內(nèi),依據(jù)所述nfc認證信息并利用所存儲的量子密鑰計算得到第一nfc認證應答值,并將該第一nfc認證應答值發(fā)送至應用終端,應用終端經(jīng)由量子通信服務站對所述第一nfc認證應答值進行認證,并依據(jù)認證結果執(zhí)行相關業(yè)務。
本發(fā)明中應用服務器配置有量子密鑰卡并生成第一nfc認證應答值,而在相應的量子通信服務站中也存儲相應的量子密鑰,可以根據(jù)來自應用終端的且?guī)в衝fc認證信息的認證請求生成第一nfc認證預期應答值,通過比較第一nfc認證應答值和第一nfc認證預期應答值的一致性即可得到認證結果。移動終端也配置有量子密鑰卡,可以與相應的量子通信服務站進行量子加密通信。
本發(fā)明中利用移動終端的nfc認證,使用者操作快速便捷,體驗優(yōu)于動態(tài)密碼。當移動終端使用量子密鑰卡后,安全性亦高于動態(tài)密碼。利用移動終端對量子通信網(wǎng)絡的用戶設備的使用者進行認證,使得量子通信網(wǎng)絡中,對用戶設備及其使用者均認證通過,系統(tǒng)安全性大大提升。利用量子通信網(wǎng)絡中的量子通信服務站作為多個應用服務器的賬戶認證中心,使得其應用終端不需要維護多套賬戶及其對應密碼,管理方便。
同一應用服務器可以對應多個應用終端以及移動終端,參與認證過程的量子通信服務站也不限于一個,涉及多個量子節(jié)點相互通信時,可利用qkd方式獲得的站間量子密鑰加密通信,或采用量子密鑰卡的形式與所屬的(即該量子密鑰卡由所屬量子通信服務站頒發(fā),兩者之間存儲有相應的量子密鑰)量子通信服務站加密通信。
本發(fā)明nfc認證系統(tǒng)可以應用于各類需要身份認證的系統(tǒng),應用服務器和應用終端可根據(jù)需要以及場景配置多臺,應用服務器運行業(yè)務服務程序,應用終端運行業(yè)務客戶端程序。
可選的,所述應用服務器為門禁系統(tǒng)后臺服務器;智能樓宇后臺控制中心或考勤系統(tǒng)后臺服務器;所述應用終端相應的為門禁裝置;智能樓宇受控終端或考勤機終端。
可選的,使用者通過移動終端向應用終端申請發(fā)送訪問請求以獲取所述nfc認證信息時,訪問請求中攜帶或不攜帶應用服務器預先分配給該使用者的身份識別號。
相對于攜帶身份識別號,若不攜帶身份識別號則使用者不需要輸入任何信息給應用終端,應用終端向應用服務器發(fā)送空的使用者訪問請求,可進一步方便使用者操作。
可選的,移動終端向應用服務器發(fā)送的認證應答中還包括有第二nfc認證應答值,該第二nfc認證應答值為移動終端根據(jù)所述nfc認證信息計算得到;
所述第二nfc認證應答值通過應用服務器或量子通信服務站進行認證,所述應用終端在第二nfc認證應答值認證成功后,再對所述第一nfc認證應答值進行認證。
可選的,所述應用服務器先對來自移動終端的認證應答進行合法性判斷,判斷合法后再計算生成所述第一nfc認證應答值。
可選的,所述應用服務器向應用終端發(fā)送下帶有所述第一nfc認證應答值的認證應答,應用終端先對來自應用服務器的認證應答進行合法性判斷,判斷合法后再向量子通信服務站發(fā)送至少攜帶有所述第一nfc認證應答值的認證請求。
可選的,所述移動終端也配置有相應的量子密鑰卡,該量子密鑰卡與量子通信服務站之間存儲有相應的量子密鑰,所述第二nfc認證應答值在移動終端的量子密鑰卡中利用所存儲的量子密鑰生成。
若移動終端并匹配量子密鑰卡,此時可選的,應用服務器的量子密鑰卡頒發(fā)自第一量子通信服務站,移動終端的量子密鑰卡頒發(fā)自第二量子通信服務站,應用終端的量子密鑰卡頒發(fā)自第三量子通信服務站;
應用終端向第三量子通信服務站發(fā)送包含有的第一nfc認證應答值和第二nfc認證應答值的認證請求;
第三量子通信服務站將第二nfc認證應答值發(fā)送至第二量子通信服務站進行認證并獲得認證結果;
第二nfc認證應答值認證成功后,第三量子通信服務站將第一nfc認證應答值發(fā)送至第一量子通信服務站進行認證并獲得認證結果。
作為優(yōu)選,應用服務器、應用終端以及移動終端的量子密鑰卡頒發(fā)自同一量子通信服務站。
這樣流程相對簡化,即接收應用終端的nfc驗證請求,以及對第一nfc認證應答值和第二nfc認證應答值的認證在同一站內(nèi)完成。
可選的,應用終端得到認證結果后,還將該認證結果發(fā)送至移動終端和/或應用服務器。
應用終端得到認證結果后一方面可以根據(jù)認證通過與否執(zhí)行相關業(yè)務,另外還可以將認證結果通過nfc傳輸發(fā)送至移動終端,或通過量子網(wǎng)絡發(fā)給應用服務器,或通過量子網(wǎng)絡經(jīng)由應用服務器發(fā)送至移動終端。
本發(fā)明的有益效果:
1.采用nfc驗證方便快捷,解決了現(xiàn)有技術中,在使用動態(tài)令牌進行身份認證過程中,需要應用終端使用者手動輸入動態(tài)令牌,操作過于繁瑣,并且存在安全隱患的問題。
2.解決了現(xiàn)有技術中,僅對量子通信網(wǎng)絡的用戶設備進行認證,沒有對量子通信網(wǎng)絡的用戶設備的使用者進行認證的問題。
3.多個應用服務器可采用同一量子通信系統(tǒng)驗證,解決了現(xiàn)有技術中,每一個應用服務器的賬戶認證中心各自獨立,應用終端需要維護多套賬戶及其對應密碼,從而導致的管理不便的問題。
附圖說明
圖1為本發(fā)明nfc認證系統(tǒng)的組網(wǎng)圖;
圖2為本發(fā)明實施例1的流程圖;
圖3為本發(fā)明實施例2的流程圖;
圖4為本發(fā)明實施例3的流程圖;
圖5為本發(fā)明實施例4的流程圖。
具體實施方式
見圖1,本發(fā)明nfc認證系統(tǒng),在量子通信網(wǎng)絡中,若干量子通信城域網(wǎng)接入量子通信干線,而每個量子通信城域網(wǎng)可讓多個量子通信服務站接入。
量子通信服務站內(nèi)部配置有多個服務器,例如供認證服務、量子密鑰分發(fā)服務、量子隨機數(shù)服務。
認證服務用于對量子通信服務站的用戶設備進行身份認證。
量子密鑰分發(fā)服務用于通過量子通信城域網(wǎng)和量子通信干線,與另一個量子通信服務站進行量子密鑰分發(fā)并產(chǎn)生成對密鑰,密鑰分發(fā)協(xié)議優(yōu)選為bb84。
量子隨機數(shù)服務用于為量子密鑰卡和量子通信服務站頒發(fā)成對的量子隨機數(shù)密鑰集,此頒發(fā)過程可以參考中國專利申請201610843210.6中有關量子密鑰卡的頒發(fā)。
量子隨機數(shù)服務為量子密鑰卡和量子通信服務站頒發(fā)成對的量子隨機數(shù)密鑰集后,量子通信服務站將量子密鑰卡頒發(fā)給量子通信服務站的用戶設備,在實際使用時量子密鑰卡與量子通信服務站的用戶設備存在一一對應的關系。量子通信服務站的用戶設備可以以固定用戶設備和移動用戶設備的形式接入量子通信服務站。固定用戶設備可以是普通pc/mac電腦,嵌入式設備,也可以是各類服務器,如本發(fā)明所述的應用服務器和固定應用終端。移動用戶設備可以是手機/pad等各類移動終端,如本發(fā)明的移動應用終端。不論是哪類量子通信服務站的設備,均留有接口對接量子密鑰卡,并能與其進行通信。當用戶設備接入量子通信服務站時,與特定的量子密鑰卡發(fā)生一一對應的綁定關系,否則無法接入量子通信服務站。
關于量子密鑰卡的實現(xiàn)方式可以參考中國專利申請201610843210.6,其中公開了一種量子通信服務站、量子密鑰管理裝置以及密鑰配置網(wǎng)絡和方法,也介紹了有關量子密鑰卡的頒發(fā)。
應用系統(tǒng)可以是各類需要身份認證的系統(tǒng),包括應用服務器和若干應用終端,應用服務器運行業(yè)務服務程序,應用終端運行業(yè)務客戶端程序。本發(fā)明的應用系統(tǒng)可以但不限于是:門禁系統(tǒng);智能樓宇控制系統(tǒng);考勤系統(tǒng);等等。前述三種應用系統(tǒng)的情況下,其應用服務器分別為:門禁系統(tǒng)后臺服務器;智能樓宇后臺控制中心;考勤系統(tǒng)后臺服務器;其應用終端分別為:門禁裝置;智能樓宇受控終端;考勤機終端。
應用服務器和應用終端均為量子通信服務站的用戶設備。均對應有量子密鑰卡。
應用終端使用者的身份由其攜帶的使用者移動終端來認證。使用者移動終端不需要是但也可以是量子通信服務站的移動用戶設備。當使用者移動終端是量子通信服務站的用戶設備時,該情況記為mt_is_qt,與應用服務器通過量子通信網(wǎng)絡進行通信。當使用者移動終端不是量子通信服務站的用戶設備時,該情況記為mt_is_not_qt,使用者移動終端和應用服務器之間還有安全的認證通信網(wǎng)絡。安全的認證通信網(wǎng)絡的可能性有:由靜態(tài)密鑰、預分配密鑰、動態(tài)令牌密鑰、手機動態(tài)令牌密鑰、短信密鑰或ca證書來保障安全的通信網(wǎng)絡等。
每個應用終端均帶有nfc通信的能力。
本發(fā)明所述需要nfc通信的移動終端均帶有nfc通信模塊,該模塊使用的是本領域技術人員所周知的技術,因此實現(xiàn)方式不在本發(fā)明討論。
實施例1
nfc認證流程qra_flow
qra_flow的直接涉及方有移動終端mt、應用終端at(其身份識別號為atid;當前量子密鑰卡為atk,其身份識別號為atkid)、應用服務器as(當前量子密鑰卡為ask,其身份識別號為askid)、atk當前密鑰所對應的量子通信服務站的認證服務模塊qat(其身份識別號為qatid)、ask當前密鑰所對應的量子通信服務站的認證服務模塊qas(其身份識別號為qasid)。
at使用者持有mt。mt擁有其特有的身份識別信息mtinfo,mtinfo包括但不限于mt的imei碼、移動通信號碼和網(wǎng)卡mac地址等;當mt_is_qt情況下,mt帶有量子密鑰卡(設量子密鑰卡為mtk,其身份識別號為mtkid),mtk當前密鑰所對應的量子通信服務站的認證服務模塊qmt(其身份識別號為qmtid),并且mtinfo包含了mtkid。
mt帶有nfc認證模塊,當mt_is_qt情況下,該模塊可以是量子密鑰卡;當mt_is_not_qt情況下,該模塊可以是移動終端主板芯片、ukey、sdkey等硬件形式,也可以是app等軟件形式。
at使用者持有mt向as進行登記注冊。as為at使用者分配的身份識別號為uid;其綁定的身份識別信息為mtinfo。as存儲uid及其對應的mtinfo至賬戶數(shù)據(jù)庫。as還可以存儲uid對應的使用者生物學特征至賬戶數(shù)據(jù)庫,如指紋特征、虹膜特征、人臉特征、靜脈特征、掌紋特征等。
見圖2,qra_flow如下:
3.1mt向at發(fā)送使用者訪問請求
mt與at建立nfc連接。使用者在mt的app界面輸入uid,并發(fā)送使用者訪問請求。
訪問請求類型有:顯示at相關業(yè)務界面;執(zhí)行at控制的門禁開關操作;執(zhí)行at控制的智能樓宇電氣開關操作;執(zhí)行at所在位置的人員考勤;等等。
訪問請求中帶有uid、mtinfo。
該數(shù)據(jù)傳輸由nfc實現(xiàn)。
3.2at形成nfc認證相關信息
at生成并記錄nfc認證相關信息到at的認證存儲單元。認證存儲單元是量子密鑰卡的內(nèi)部存儲單元。
nfc認證相關信息包括nfc認證信息和nfc認證附加信息,見下表。
nfc認證信息包括nfc挑戰(zhàn)id、nfc挑戰(zhàn)值。nfc挑戰(zhàn)id是代表該nfc認證信息唯一身份的數(shù)字或字符串。nfc挑戰(zhàn)值為真隨機數(shù)。
nfc認證附加信息包括nfc認證信息生成時間、nfc認證信息申請者id、nfc認證信息申請者的身份識別信息。nfc認證信息生成時間是生成nfc認證信息的時間。nfc認證信息申請者id即uid。nfc認證信息申請者的身份識別信息即mtinfo。
at記錄的nfc認證相關信息有其認證有效的時間范圍,稱為nfc認證最大時間差。超過此認證有效的時間范圍后,該nfc認證相關信息被視為無效信息,將不定期從at的認證存儲單元中刪除。優(yōu)選為,nfc認證最大時間差為60秒。也可以設置nfc認證最大時間差為無窮大。當nfc認證最大時間差尚未到達,但nfc連接斷開時,則該nfc認證相關信息也將被視為無效信息。
3.3at向mt發(fā)送atid、nfc認證信息
該數(shù)據(jù)傳輸由nfc實現(xiàn)。
3.4mt生成nfc認證應答值
mt將nfc認證信息傳入其nfc認證模塊,nfc認證模塊取出mt的當前認證密鑰,結合nfc認證信息中的nfc挑戰(zhàn)值,根據(jù)約定的認證算法計算得到nfc認證應答值。優(yōu)選為,認證算法為挑戰(zhàn)應答算法,且應答方式為帶密鑰的哈希算法(如hmac)。
3.5mt向as發(fā)送認證應答
mt向as發(fā)送的認證應答包括atid、nfc認證信息、uid、mtinfo、mt的nfc認證應答值。
除上述信息,還可以帶上mt采集的使用者生物學信息,如指紋信息、虹膜信息、人臉信息、靜脈信息、掌紋信息等。
mt_is_qt情況下,認證應答使用量子通信網(wǎng)絡進行加密和消息認證。具體可以參考中國專利申請201610845826.7,以及201610842873.6,的相關內(nèi)容,數(shù)據(jù)傳輸由量子通信網(wǎng)絡的加解密方法和消息認證方法保證其安全性和可靠性。
mt_is_not_qt情況下,認證應答使用mt與as之間安全的認證通信網(wǎng)絡進行加密和消息認證。
3.6as對mt的認證應答進行判斷,并生成nfc認證應答值
3.6.1身份信息合法性判斷
as查找atid是否在線,并根據(jù)atid取得at的聯(lián)系方式,如果失敗則判斷為mt不合法,進入3.7;否則繼續(xù)。at的聯(lián)系方式即at的ip地址加上端口號。
as在賬戶數(shù)據(jù)庫中找出uid,并根據(jù)賬戶數(shù)據(jù)庫判斷mtinfo是否屬于該uid,如果不是則判斷為mt不合法,進入3.7;否則繼續(xù)。
如果mt發(fā)送的信息帶有使用者生物學信息,則as根據(jù)賬戶數(shù)據(jù)庫判斷該生物學信息是否符合其存儲的使用者生物學特征,如果不符合則判斷為mt不合法,進入3.7;否則繼續(xù)。
3.6.2(僅mt_is_not_qt情況下)對mt的nfc認證應答值的認證
as利用其與mt之間的安全的認證通信網(wǎng)絡的認證機制,對mt的nfc認證應答值進行認證。
如果as與mt之間共享了對稱密鑰,則as取出該密鑰,結合nfc挑戰(zhàn)值,進行認證算法計算,得到mt的nfc認證預期應答值。as對比mt的nfc認證應答值和mt的nfc認證預期應答值,得到nfc認證結果。如果mt的nfc認證應答值和mt的nfc認證預期應答值不相等,則判斷為mt不合法,進入3.7;否則繼續(xù)。
如果as與mt之間使用ca證書認證,則使用ca證書的認證機制來判斷mt的身份。如果判斷為mt不合法,進入3.7;否則繼續(xù)。
3.6.3產(chǎn)生as的nfc認證應答值
as將nfc認證信息傳入ask,ask取出當前認證密鑰,結合nfc認證信息中的nfc挑戰(zhàn)值,根據(jù)約定的認證算法計算得到nfc認證應答值。優(yōu)選為,認證算法為挑戰(zhàn)應答算法,且應答方式為帶密鑰的哈希算法(如hmac)。
3.7as向at發(fā)送認證應答
3.7.1as判斷mt是否合法
如判斷為不合法,as通過at的聯(lián)系方式向at返回失敗的認證應答,認證應答包括失敗消息及錯誤碼。
3.7.2(僅mt_is_qt情況下)成功的認證應答含as、mt的nfc認證應答值
as向at發(fā)送的認證應答包括nfc挑戰(zhàn)id、mtkid、mt的nfc認證應答值、askid、as的nfc認證應答值。
as通過at的聯(lián)系方式向at發(fā)送認證應答。
3.7.3(僅mt_is_not_qt情況下)成功的認證應答含as的nfc認證應答值
as向at發(fā)送的認證應答包括nfc挑戰(zhàn)id、askid、as的nfc認證應答值。
as通過at的聯(lián)系方式向at發(fā)送認證應答。
3.8at對as的認證應答進行判斷
3.8.1as的認證結果判斷
at判斷as的認證結果是否成功,如果as的認證結果為失敗,則向mt返回失敗消息及錯誤碼,流程結束;否則繼續(xù)。
3.8.2nfc挑戰(zhàn)id合法性判斷
at根據(jù)nfc挑戰(zhàn)id,在at的認證存儲單元中與已存儲的nfc認證相關信息進行比對,如果找不到則判斷為不合法,向mt返回失敗消息及錯誤碼,流程結束;否則繼續(xù)。
3.8.3時間合法性判斷
at記錄當前時間,即nfc認證時間。at在nfc認證相關信息中找出nfc認證信息生成時間。nfc認證時間差等于nfc認證時間和nfc認證信息生成時間之差。如果nfc認證時間差大于nfc認證最大時間差,則判斷為不合法,向mt返回失敗消息及錯誤碼,流程結束;否則繼續(xù)。
3.9at向qat發(fā)送nfc驗證請求
3.9.1(僅mt_is_qt情況下)nfc驗證請求含as、mt的nfc認證應答值
該驗證請求包括nfc挑戰(zhàn)值、mtkid、mt的nfc認證應答值、askid、as的nfc認證應答值。
3.9.2(僅mt_is_not_qt情況下)nfc驗證請求含as的nfc認證應答值
該驗證請求包括nfc挑戰(zhàn)值、askid、as的nfc認證應答值。
3.10(僅mt_is_qt情況下)qat向qmt發(fā)送nfc驗證請求
該驗證請求包括nfc挑戰(zhàn)值、mtkid、mt的nfc認證應答值。
qat根據(jù)mtkid找到其對應的qmt,然后發(fā)送上述信息。
3.11(僅mt_is_qt情況下)qmt驗證mt的nfc認證應答值
qmt根據(jù)mtkid搜索到mtk對應的量子隨機數(shù)密鑰,結合nfc挑戰(zhàn)值,進行認證算法計算,得到mt的nfc認證預期應答值。qmt對比mt的nfc認證應答值和mt的nfc認證預期應答值,得到nfc認證結果。如果mt的nfc認證應答值和mt的nfc認證預期應答值相等,則認證成功;否則認證失敗。
3.12(僅mt_is_qt情況下)qmt向qat發(fā)送mt的nfc認證應答值驗證結果
3.13qat向qas發(fā)送nfc驗證請求
該驗證請求包括nfc挑戰(zhàn)值、askid、as的nfc認證應答值。
qat根據(jù)askid找到其對應的qas,然后發(fā)送上述信息。
3.14qas驗證as的nfc認證應答值
qas根據(jù)askid搜索到ask對應的量子隨機數(shù)密鑰,結合nfc挑戰(zhàn)值,進行認證算法計算,得到as的nfc認證預期應答值。qas對比as的nfc認證應答值和as的nfc認證預期應答值,得到nfc認證結果。如果as的nfc認證應答值和as的nfc認證預期應答值相等,則認證成功;否則認證失敗。
3.15qas向qat發(fā)送as的nfc認證應答值驗證結果
3.16qat向at發(fā)送nfc認證結果
3.16.1(僅mt_is_qt情況下)nfc認證結果含對as、mt的nfc認證結果
3.16.2(僅mt_is_not_qt情況下)nfc認證結果含對as的nfc認證結果
在步驟3.7、3.9、3.10、3.12、3.13、3.15和3.16中涉及不同量子通信服務站之間,應用終端與應用服務器之間,以及應用終端與量子通信服務站之間的數(shù)據(jù)傳輸。
不同量子通信服務站之間可利用站間量子密鑰進行數(shù)據(jù)加密傳輸以及相互認證;
應用終端與應用服務器之間利用各自的量子密鑰卡經(jīng)由分別所屬的量子通信服務站之間進行數(shù)據(jù)加密傳輸以及相互認證。
應用終端利用量子密鑰卡與所屬的量子通信服務站之間進行數(shù)據(jù)加密傳輸以及相互認證。
具體可以參考中國專利申請201610845826.7,以及201610842873.6,的相關內(nèi)容,數(shù)據(jù)傳輸由量子通信網(wǎng)絡的加解密方法和消息認證方法保證其安全性和可靠性。
3.17at判斷nfc認證結果并執(zhí)行相關業(yè)務
(僅mt_is_qt情況下)對as、mt的nfc認證結果均為成功,則at判斷nfc認證結果為成功,其余情況為失敗。
(僅mt_is_not_qt情況下)對as的nfc認證結果均為成功,則at判斷nfc認證結果為成功,其余情況為失敗。
如果nfc認證結果為成功,at的相關業(yè)務可以包括但不限于:顯示使用者認證成功及相關業(yè)務界面;執(zhí)行門禁開關操作;執(zhí)行智能樓宇電氣開關操作;執(zhí)行考勤成功操作;記錄認證成功信息至日志模塊;等等。
如果nfc認證結果為失敗,at的相關業(yè)務可以包括但不限于:顯示使用者認證失敗及相關業(yè)務界面;記錄認證失敗信息至日志模塊;等等。
3.18at發(fā)送nfc認證結果
可有以下幾種情況。
情況1:at向mt發(fā)送nfc認證結果。該數(shù)據(jù)傳輸由nfc實現(xiàn)。
情況2:at向as發(fā)送認證結果。
情況3:at向as發(fā)送認證結果,然后由as向mt發(fā)送認證結果。
at與as可以利用各自匹配的量子密鑰卡通過對應的量子通信服務站通信,該過程也可以參考中國專利申請201610845826.7,以及201610842873.6的相關內(nèi)容,數(shù)據(jù)傳輸由量子通信網(wǎng)絡的加解密方法和消息認證方法保證其安全性和可靠性。
as與mt既可以采用at與as之間的經(jīng)由量子通信網(wǎng)絡的方式,還可以采用安全的認證通信網(wǎng)絡的加解密方法和消息認證方法保證其安全性和可靠性。
至此qra_flow結束。
實施例2
nfc認證簡化流程qra_sflow
qra_flow的特殊情況是,當應用服務器和應用終端所使用的量子密鑰卡對應的量子通信服務站是同一個時,即只存在qat且不存在qas和qmt時,流程發(fā)生適當簡化。其具體過程類似于實施例1的qra_flow,僅僅是省略了qas、qmt、qat之間通信的幾個步驟。
見圖3,qra_sflow如下:
4.1mt向at發(fā)送使用者訪問請求
4.2at形成nfc認證相關信息
4.3at向mt發(fā)送atid、nfc認證信息
4.4mt生成nfc認證應答值
4.5mt向as發(fā)送認證應答
4.6as對mt的認證應答進行判斷,并生成nfc認證應答值
4.6.1身份信息合法性判斷
4.6.2(僅mt_is_not_qt情況下)對mt的nfc認證應答值的認證
4.6.3產(chǎn)生as的nfc認證應答值
4.7as向at發(fā)送認證應答
4.7.1as判斷mt是否合法
4.7.2(僅mt_is_qt情況下)成功的認證應答含as、mt的nfc認證應答值
4.7.3(僅mt_is_not_qt情況下)成功的認證應答含as的nfc認證應答值
4.8at對as的認證應答進行判斷
4.8.1as的認證結果判斷
4.8.2nfc挑戰(zhàn)id合法性判斷
4.8.3時間合法性判斷
4.9at向qat發(fā)送nfc驗證請求
4.9.1(僅mt_is_qt情況下)nfc驗證請求含as、mt的nfc認證應答值
4.9.2(僅mt_is_not_qt情況下)nfc驗證請求含as的nfc認證應答值
4.10qat驗證nfc認證應答值
4.10.1(僅mt_is_qt情況下)驗證as、mt的nfc認證應答值
4.10.2(僅mt_is_not_qt情況下)驗證as的nfc認證應答值
4.11qat向at發(fā)送nfc認證結果
4.11.1(僅mt_is_qt情況下)nfc認證結果含對as、mt的nfc認證結果
4.11.2(僅mt_is_not_qt情況下)nfc認證結果含對as的nfc認證結果
4.12at判斷nfc認證結果并執(zhí)行相關業(yè)務
4.13at發(fā)送nfc認證結果
至此qra_sflow結束。
實施例3
簡化操作的nfc認證流程sqra_flow
前述qra_flow和qra_sflow,第一步均需要向mt輸入uid,如果輸入uid較復雜則操作不便。為進一步方便使用者操作,可以使用以下無需輸入uid的流程sqra_flow。
sqra_flow的直接涉及方與qra_flow相同。
at使用者持有mt向as進行登記注冊。as將mtinfo記錄到as的賬戶數(shù)據(jù)庫。as還可以存儲mtinfo對應的使用者生物學特征至賬戶數(shù)據(jù)庫,如指紋特征、虹膜特征、人臉特征、靜脈特征、掌紋特征等。
見圖4,sqra_flow如下:
5.1mt向at發(fā)送使用者訪問請求
mt與at建立nfc連接。使用者在mt的app界面直接發(fā)送使用者訪問請求。
訪問請求類型有:顯示at相關業(yè)務界面;執(zhí)行at控制的門禁開關操作;執(zhí)行at控制的智能樓宇電氣開關操作;執(zhí)行at所在位置的人員考勤;等等。
訪問請求中帶有mtinfo。
該數(shù)據(jù)傳輸由nfc實現(xiàn)。
5.2at形成nfc認證相關信息
at生成并記錄nfc認證相關信息到at的認證存儲單元。認證存儲單元是量子密鑰卡的內(nèi)部存儲單元。
nfc認證相關信息包括nfc認證信息和nfc認證附加信息。
nfc認證信息包括nfc挑戰(zhàn)id、nfc挑戰(zhàn)值。nfc挑戰(zhàn)id是代表該nfc認證信息唯一身份的數(shù)字或字符串。nfc挑戰(zhàn)值為真隨機數(shù)。
nfc認證附加信息包括nfc認證信息生成時間、nfc認證信息申請者的身份識別信息。nfc認證信息生成時間是生成nfc認證信息的時間。nfc認證信息申請者的身份識別信息即mtinfo。
at記錄的nfc認證相關信息有其認證有效的時間范圍,稱為nfc認證最大時間差。超過此認證有效的時間范圍后,該nfc認證相關信息被視為無效信息,將不定期從at的認證存儲單元中刪除。優(yōu)選為,nfc認證最大時間差為60秒。也可以設置nfc認證最大時間差為無窮大。當nfc認證最大時間差尚未到達,但nfc連接斷開時,則該nfc認證相關信息也將被視為無效信息。
5.3at向mt發(fā)送atid、nfc認證信息
該數(shù)據(jù)傳輸由nfc實現(xiàn)。
5.4mt生成nfc認證應答值
mt將nfc認證信息傳入其nfc認證模塊,nfc認證模塊取出mt的當前認證密鑰,結合nfc認證信息中的nfc挑戰(zhàn)值,根據(jù)約定的認證算法計算得到nfc認證應答值。優(yōu)選為,認證算法為挑戰(zhàn)應答算法,且應答方式為帶密鑰的哈希算法(如hmac)。
5.5mt向as發(fā)送認證應答
mt向as發(fā)送的認證應答包括atid、nfc認證信息、mtinfo、mt的nfc認證應答值。
除上述信息,還可以帶上mt采集的使用者生物學信息,如指紋信息、虹膜信息、人臉信息、靜脈信息、掌紋信息等。
mt_is_qt情況下,認證應答使用量子通信網(wǎng)絡進行加密和消息認證。具體可以參考中國專利申請201610845826.7,以及201610842873.6,的相關內(nèi)容,數(shù)據(jù)傳輸由量子通信網(wǎng)絡的加解密方法和消息認證方法保證其安全性和可靠性。
mt_is_not_qt情況下,認證應答使用mt與as之間安全的認證通信網(wǎng)絡進行加密和消息認證。
5.6as對mt的認證應答進行判斷,并生成nfc認證應答值
5.6.1身份信息合法性判斷
as查找atid是否在線,并根據(jù)atid取得at的聯(lián)系方式,如果失敗則判斷為mt不合法,進入5.7;否則繼續(xù)。at的聯(lián)系方式即at的ip地址加上端口號。
as根據(jù)賬戶數(shù)據(jù)庫判斷mtinfo是否存在,如果不存在則判斷為mt不合法,進入5.7;否則繼續(xù)。
如果mt發(fā)送的信息帶有使用者生物學信息,則as根據(jù)賬戶數(shù)據(jù)庫判斷該生物學信息是否符合其存儲的使用者生物學特征,如果不符合則判斷為mt不合法,進入5.7;否則繼續(xù)。
5.6.2(僅mt_is_not_qt情況下)對mt的nfc認證應答值的認證
as利用其與mt之間的安全的認證通信網(wǎng)絡的認證機制,對mt的nfc認證應答值進行認證。
如果as與mt之間共享了對稱密鑰,則as取出該密鑰,結合nfc挑戰(zhàn)值,進行認證算法計算,得到mt的nfc認證預期應答值。as對比mt的nfc認證應答值和mt的nfc認證預期應答值,得到nfc認證結果。如果mt的nfc認證應答值和mt的nfc認證預期應答值不相等,則判斷為mt不合法,進入5.7;否則繼續(xù)。
如果as與mt之間使用ca證書認證,則使用ca證書的認證機制來判斷mt的身份。如果判斷為mt不合法,進入5.7;否則繼續(xù)。
5.6.3產(chǎn)生as的nfc認證應答值
as將nfc認證信息傳入ask,ask取出當前認證密鑰,結合nfc認證信息中的nfc挑戰(zhàn)值,根據(jù)約定的認證算法計算得到nfc認證應答值。優(yōu)選為,認證算法為挑戰(zhàn)應答算法,且應答方式為帶密鑰的哈希算法(如hmac)。
5.7as向at發(fā)送認證應答
5.7.1as判斷mt是否合法
如判斷為不合法,as通過at的聯(lián)系方式向at返回失敗的認證應答,認證應答包括失敗消息及錯誤碼。
5.7.2(僅mt_is_qt情況下)成功的認證應答含as、mt的nfc認證應答值
as向at發(fā)送的認證應答包括nfc挑戰(zhàn)id、mtkid、mt的nfc認證應答值、askid、as的nfc認證應答值。
as通過at的聯(lián)系方式向at發(fā)送認證應答。
5.7.3(僅mt_is_not_qt情況下)成功的認證應答含as的nfc認證應答值
as向at發(fā)送的認證應答包括nfc挑戰(zhàn)id、askid、as的nfc認證應答值。
as通過at的聯(lián)系方式向at發(fā)送認證應答。
5.8at對as的認證應答進行判斷
5.8.1as的認證結果判斷
at判斷as的認證結果是否成功,如果as的認證結果為失敗,則向mt返回失敗消息及錯誤碼,流程結束;否則繼續(xù)。
5.8.2nfc挑戰(zhàn)id合法性判斷
at根據(jù)nfc挑戰(zhàn)id,在at的認證存儲單元中與已存儲的nfc認證相關信息進行比對,如果找不到則判斷為不合法,向mt返回失敗消息及錯誤碼,流程結束;否則繼續(xù)。
5.8.3時間合法性判斷
at記錄當前時間,即nfc認證時間。at在nfc認證相關信息中找出nfc認證信息生成時間。nfc認證時間差等于nfc認證時間和nfc認證信息生成時間之差。如果nfc認證時間差大于nfc認證最大時間差,則判斷為不合法,向mt返回失敗消息及錯誤碼,流程結束;否則繼續(xù)。
5.9at向qat發(fā)送nfc驗證請求
5.9.1(僅mt_is_qt情況下)nfc驗證請求含as、mt的nfc認證應答值
該驗證請求包括nfc挑戰(zhàn)值、mtkid、mt的nfc認證應答值、askid、as的nfc認證應答值。
5.9.2(僅mt_is_not_qt情況下)nfc驗證請求含as的nfc認證應答值
該驗證請求包括nfc挑戰(zhàn)值、askid、as的nfc認證應答值。
5.10(僅mt_is_qt情況下)qat向qmt發(fā)送nfc驗證請求
該驗證請求包括nfc挑戰(zhàn)值、mtkid、mt的nfc認證應答值。
qat根據(jù)mtkid找到其對應的qmt,然后發(fā)送上述信息。
5.11(僅mt_is_qt情況下)qmt驗證mt的nfc認證應答值
qmt根據(jù)mtkid搜索到mtk對應的量子隨機數(shù)密鑰,結合nfc挑戰(zhàn)值,進行認證算法計算,得到mt的nfc認證預期應答值。qmt對比mt的nfc認證應答值和mt的nfc認證預期應答值,得到nfc認證結果。如果mt的nfc認證應答值和mt的nfc認證預期應答值相等,則認證成功;否則認證失敗。
5.12(僅mt_is_qt情況下)qmt向qat發(fā)送mt的nfc認證應答值驗證結果
5.13qat向qas發(fā)送nfc驗證請求
該驗證請求包括nfc挑戰(zhàn)值、askid、as的nfc認證應答值。
qat根據(jù)askid找到其對應的qas,然后發(fā)送上述信息。
5.14qas驗證as的nfc認證應答值
qas根據(jù)askid搜索到ask對應的量子隨機數(shù)密鑰,結合nfc挑戰(zhàn)值,進行認證算法計算,得到as的nfc認證預期應答值。qas對比as的nfc認證應答值和as的nfc認證預期應答值,得到nfc認證結果。如果as的nfc認證應答值和as的nfc認證預期應答值相等,則認證成功;否則認證失敗。
5.15qas向qat發(fā)送as的nfc認證應答值驗證結果
5.16qat向at發(fā)送nfc認證結果
5.16.1(僅mt_is_qt情況下)nfc認證結果含對as、mt的nfc認證結果
5.16.2(僅mt_is_not_qt情況下)nfc認證結果含對as的nfc認證結果
在步驟5.7、5.9、5.10、5.12、5.13、5.15和5.16中涉及不同量子通信服務站之間,應用終端與應用服務器之間,以及應用終端與量子通信服務站之間的數(shù)據(jù)傳輸。
不同量子通信服務站之間可利用站間量子密鑰進行數(shù)據(jù)加密傳輸以及相互認證;
應用終端與應用服務器之間利用各自的量子密鑰卡經(jīng)由分別所屬的量子通信服務站之間進行數(shù)據(jù)加密傳輸以及相互認證。
應用終端利用量子密鑰卡與所屬的量子通信服務站之間進行數(shù)據(jù)加密傳輸以及相互認證。
具體可以參考中國專利申請201610845826.7,以及201610842873.6,的相關內(nèi)容,數(shù)據(jù)傳輸由量子通信網(wǎng)絡的加解密方法和消息認證方法保證其安全性和可靠性。
5.17at判斷nfc認證結果并執(zhí)行相關業(yè)務
(僅mt_is_qt情況下)對as、mt的nfc認證結果均為成功,則at判斷nfc認證結果為成功,其余情況為失敗。
(僅mt_is_not_qt情況下)對as的nfc認證結果均為成功,則at判斷nfc認證結果為成功,其余情況為失敗。
如果nfc認證結果為成功,at的相關業(yè)務可以包括但不限于:顯示使用者認證成功及相關業(yè)務界面;執(zhí)行門禁開關操作;執(zhí)行智能樓宇電氣開關操作;執(zhí)行考勤成功操作;記錄認證成功信息至日志模塊;等等。
如果nfc認證結果為失敗,at的相關業(yè)務可以包括但不限于:顯示使用者認證失敗及相關業(yè)務界面;記錄認證失敗信息至日志模塊;等等。
5.18at發(fā)送nfc認證結果
可有以下幾種情況。
情況1:at向mt發(fā)送nfc認證結果。該數(shù)據(jù)傳輸由nfc實現(xiàn)。
情況2:at向as發(fā)送認證結果。
情況3:at向as發(fā)送認證結果,然后由as向mt發(fā)送認證結果。
at與as可以利用各自匹配的量子密鑰卡通過對應的量子通信服務站通信,該過程也可以參考中國專利申請201610845826.7,以及201610842873.6的相關內(nèi)容,數(shù)據(jù)傳輸由量子通信網(wǎng)絡的加解密方法和消息認證方法保證其安全性和可靠性。
as與mt既可以采用at與as之間的經(jīng)由量子通信網(wǎng)絡的方式,還可以采用安全的認證通信網(wǎng)絡的加解密方法和消息認證方法保證其安全性和可靠性。
至此sqra_flow結束。
實施例4
簡化操作的二維碼認證簡化流程sqra_sflow
sqra_flow的特殊情況是,當應用服務器和應用終端所使用的量子密鑰卡對應的量子通信服務站是同一個時,即只存在qat且不存在qas和qmt時,流程發(fā)生適當簡化。其具體過程類似于實施例3的sqra_flow,僅僅是省略了qas、qmt以及qat相互通信的幾個步驟。
見圖5,sqra_sflow如下:
6.1mt向at發(fā)送使用者訪問請求
6.2at形成nfc認證相關信息
6.3at向mt發(fā)送atid、nfc認證信息
6.4mt生成nfc認證應答值
6.5mt向as發(fā)送認證應答
6.6as對mt的認證應答進行判斷,并生成nfc認證應答值
6.6.1身份信息合法性判斷
6.6.2(僅mt_is_not_qt情況下)對mt的nfc認證應答值的認證
6.6.3產(chǎn)生as的nfc認證應答值
6.7as向at發(fā)送認證應答
6.7.1as判斷mt是否合法
6.7.2(僅mt_is_qt情況下)成功的認證應答含as、mt的nfc認證應答值
6.7.3(僅mt_is_not_qt情況下)成功的認證應答含as的nfc認證應答值
6.8at對as的認證應答進行判斷
6.8.1as的認證結果判斷
6.8.2nfc挑戰(zhàn)id合法性判斷
6.8.3時間合法性判斷
6.9at向qat發(fā)送nfc驗證請求
6.9.1(僅mt_is_qt情況下)nfc驗證請求含as、mt的nfc認證應答值
6.9.2(僅mt_is_not_qt情況下)nfc驗證請求含as的nfc認證應答值
6.10qat驗證nfc認證應答值
6.10.1(僅mt_is_qt情況下)驗證as、mt的nfc認證應答值
6.10.2(僅mt_is_not_qt情況下)驗證as的nfc認證應答值
6.11qat向at發(fā)送nfc認證結果
6.11.1(僅mt_is_qt情況下)nfc認證結果含對as、mt的nfc認證結果
6.11.2(僅mt_is_not_qt情況下)nfc認證結果含對as的nfc認證結果
6.12at判斷nfc認證結果并執(zhí)行相關業(yè)務
6.13at發(fā)送nfc認證結果
至此sqra_sflow結束。
以上公開的僅為本發(fā)明的具體實施例,但是本發(fā)明并非局限于此,本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。例如nfc傳輸數(shù)據(jù)的步驟,也可以替換為任意其他短距離通信技術,例如:藍牙、wifi、紅外線、zigbee、uwb等。顯然這些改動和變型均應屬于本發(fā)明要求的保護范圍保護內(nèi)。此外,盡管本說明書中使用了一些特定的術語,但這些術語只是為了方便說明,并不對本發(fā)明構成任何特殊限制。