[发明专利]身份认证方法和系统、存储介质及处理器

说明书

本申请公开了一种身份认证方法和系统、存储介质及处理器。其中，该方法包括：客户端获取第一量子密钥；客户端基于第一量子密钥，生成认证请求；客户端发送认证请求至应用程序接口网关，并接收应用程序接口网关返回的客户端的认证结果，其中，认证结果由应用程序接口网关对认证请求进行验证得到。本申请解决了相关技术中身份认证方法的安全性依赖于安全传输层协议，无法抵御量子计算机的攻击的技术问题。

技术领域

本申请涉及网络安全领域，具体而言，涉及一种身份认证方法和系统、存储介质及处理器。

背景技术

OpenAPI(开放应用编程接口，Open Application Programming Interface)作为互联网服务提供商对第三方开发者提供的开放平台，已经被国内外很多中大型互联网公司所采用。OpenAPI作为云服务与用户之间的主要桥梁，承担了云服务提供商与用户之间的很大一部分流量，其中包含很多重要和敏感的配置数据、用户数据等，因此OpenAPI的安全性至关重要，作为云服务提供商，不仅需要为用户在调用OpenAPI传输敏感数据时提供安全防护的能力，为用户在调用OpenAPI前提供安全可靠的身份认证和授权的能力，还需要能够避免用户将API密钥，密码，token等信息编码到客户端代码中，上传至互联网平台(如github等代码托管平台)后导致数据泄露事件的发生。

目前主流云服务提供商所采用的身份认证方式大致包括如下几种：第一种是基于HTTP(Hyper Text Transfer Protocol，超文本传输协议)的基本认证方式，将用户名和密码进行base64编码后，添加到Authorization头部消息中进行发送，安全性依赖于TLS协议(安全传输层协议，Transport Layer Security)。第二种是基于token的认证方式，将token信息添加到Authorization头部消息中进行发送，安全性依赖于TLS协议。第三种是基于APIKeys的认证方式，将API密钥通过URL的query字符串，或者放到HTTP的请求头中进行传输，安全性依赖于TLS协议。第四种是基于HMAC(Hash-based Message Authorization Code，哈希运算消息认证码)的签名认证方式，用户在云服务提供商的网站上创建一个访问密钥，服务端为其生成密钥以及对应密钥ID，进行身份认证时，用户先将密钥作为HMAC的输入进行计算后得到签名，再将签名添加到认证消息中进行发送。访问密钥在创建和认证的过程中都能够进行安全的保护，并且不涉及在公网中的传输。只是当用户在网站上获取访问密钥的密钥内容时，其安全性依然依赖于TLS协议。

但是，上述几种认证方式的安全性依赖于TLS协议，用于对传输中的认证信息(如用户名密码，或Token，签名等)进行加解密，而TLS协议目前普遍使用的认证算法和密钥交换算法如RSA，Diffie-Hellman算法，均无法抵御未来量子计算机的攻击。采用上述几种认证方式，可能会使用到熵值较低，或安全强度、复杂度较低的机密信息(如密钥，密码或Token)，增加了被猜测或暴力破解的风险。上述几种认证方式均需要将认证信息(如密钥，用户名密码或Token)硬编码到客户端程序中，存在因代码泄露而造成的API密钥，用户名密码，Toke等信息泄露的危险。采用上述几种认证方式，认证信息通常更新频率较低，且需要用户进行手工操作来进行密钥，密码或Token的更新替换工作，增加了人力成本以及安全风险。

针对相关技术中身份认证方法的安全性依赖于安全传输层协议，无法抵御量子计算机的攻击的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种身份认证方法和系统、存储介质及处理器，以至少解决相关技术中身份认证方法的安全性依赖于安全传输层协议，无法抵御量子计算机的攻击的技术问题。

根据本申请实施例的一个方面，提供了一种身份认证方法，包括：客户端获取第一量子密钥；客户端基于第一量子密钥，生成认证请求；客户端发送认证请求至应用程序接口网关，并接收应用程序接口网关返回的客户端的认证结果，其中，认证结果由应用程序接口网关对认证请求进行验证得到。