[发明专利]基于群组密钥池的多次身份认证系统和方法

权利要求书

1.一种基于群组密钥池的多次身份认证系统，其特征在于，包括量子网络服务站，以及分别包括多个用户端的主动方群组和被动方群组，所述主动方群组以及被动方群组的所有用户端分别配置有量子密钥卡，各用户端的量子密钥卡各自独立的与量子网络服务站共享私有的对称密钥池，同一群组中所有用户端的量子密钥卡与量子网络服务站共享与所在群组相应的群组密钥池，进行身份认证时包括：

步骤S1、主动方群组中的其中一用户端A1依据预设的主动方通信范围以及被动方通信范围，向被动方群组中的其中一用户端B1提出Ticket申请；

步骤S2、所述用户端B1响应于所述Ticket申请，从量子网络服务站获得会话密钥并转发给用户端A1；

其中，所述会话密钥为主动方会话密钥，且该主动方会话密钥为密文形式，主动方通信范围为主动方群组中某一用户端时，利用与该用户端相应的对称密钥池对所述主动方会话密钥进行加密；主动方通信范围为主动方群组中全体用户端时，利用与主动方群组相应的群组密钥池对所述主动方会话密钥进行加密；

所述用户端B1还从量子网络服务站获得会话密钥或生成会话密钥的信息并据此生成Ticket，再将所述Ticket转发给用户端A1；

其中，所述Ticket中会话密钥或生成会话密钥的信息为被动方会话密钥，且该被动方会话密钥为密文形式，被动方通信范围为被动方群组中某一用户端时，利用与该用户端相应的对称密钥池对所述被动方会话密钥加密；被动方通信范围为被动方群组中全体用户端时，利用与被动方群组相应的群组密钥池对所述被动方会话密钥进行加密；

用户端A1在主动方通信范围内共享所述Ticket以及会话密钥；

步骤S3、主动方通信范围内的一用户端A2向被动方通信范围内的一用户端B2发送所述Ticket，使得用户端A2和用户端B2共享用于实施加密通信的会话密钥。

2.如权利要求1所述的基于群组密钥池的多次身份认证系统，其特征在于，用于加密主动方会话密钥的为第一安全密钥，用于加密被动方会话密钥为第二安全密钥；

步骤S2共享所述主动方会话密钥时，共享的内容至少包括采用第一安全密钥加密的主动方会话密钥，以及生成第一安全密钥的信息；所述Ticket中包含有生成第二安全密钥的信息。

3.如权利要求2所述的基于群组密钥池的多次身份认证系统，其特征在于，步骤S1中、所述用户端A1向用户端B1提出Ticket申请时，携带有标示符A和标示符B；

其中标示符A用于通知量子网络服务站利用与主动方群组中某用户端相应的对称密钥池、或利用与主动方群组相应的群组密钥池生成第一安全密钥；

其中标示符B用于通知用户端B1利用与被动方群组中某用户端相应的对称密钥池、或利用与被动方群组相应的群组密钥池生成第二安全密钥。

4.如权利要求3所述的基于群组密钥池的多次身份认证系统，其特征在于，所述第一安全密钥生成方式为量子网络服务站产生真随机数R_A，该真随机数R_A结合密钥生成算法得到指针，该指针指向由标示符A指定的密钥池中的一部分，在该密钥池中提取出相应的密钥即作为第一安全密钥。

5.如权利要求4所述的基于群组密钥池的多次身份认证系统，其特征在于，所述第二安全密钥生成方式为用户端B1产生真随机数R_BB，该真随机数R_BB结合密钥生成算法得到指针，该指针指向由标示符B指定的密钥池中的一部分，在该密钥池中提取出相应的密钥即作为第二安全密钥。

6.如权利要求5所述的基于群组密钥池的多次身份认证系统，其特征在于，步骤S2中，所述用户端B与用户端A之间进行第一次双向认证；

步骤S3中，所述用户端A1与用户端B1之间进行第二次双向认证；

所述Ticket按照预定条件更新，更新时用户端A1与用户端B1之间实施第三次双向认证以确认更新。

7.如权利要求6所述的基于群组密钥池的多次身份认证系统，其特征在于，进行各双向认证时，采用的认证标识都是相应的用户端在匹配的量子密钥卡中生成，且为真随机数的形式。