(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210902659.0 (22)申请日 2022.07.29 (71)申请人 河北素数信息安全 有限公司 地址 071025 河北省保定市惠阳街3 69号保 定·中关村创新基地研发中心701室 (72)发明人 不公告发明人 　 (74)专利代理 机构 石家庄中和昇知识产权代理 事务所 (特殊普通合伙) 13145 专利代理师 付会平 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/06(2006.01) (54)发明名称 一种适用 于量子密钥分发网络的身份认证 授权方法 (57)摘要 本发明公开了一种适用于量子密钥分发网 络的身份认证授权方法， 包括以下步骤： S1： 身份 认证授权系统为量子密钥服务设备生成认证密 钥并保存， 通过智能密码钥匙离线充注到量子密 钥服务设备中； S2： 身份认证授权系统为典型密 码应用系统计算生成认证票据并保存， 通过智能 密码钥匙离线导入到典型密码应用系统中； S3： 典型密码应用系统通过在线接口调用量子密钥 服务设备的服务接口， 同时将认证票据作为接口 参数向量子密钥服务设备出示； S4： 量子密钥服 务设备接收到接口请求后， 对典型密码应用系统 出示的票据， 利用认 证密钥进行鉴权； S5： 量子密 钥服务设备向典型密码应用系统返回响应结果。 本发明具有抗量子攻击、 离线安全传输、 简单高 效认证等优点。 权利要求书3页 说明书9页 附图7页 CN 115276980 A 2022.11.01 CN 115276980 A 1.一种适用于量子密钥分发网络的身份认证授权方法， 其特 征在于： 包括以下步骤： S1： 身份认证授权系统为量子密钥服务设备生成认证密钥并保存， 通过智能密码钥匙 离线充注到量子密钥服 务设备中； S2： 身份认证授权系统为典型密码应用系统计算生成认证票据并保存， 通过智能密码 钥匙离线导入到典型密码应用系统中； S3： 典型密码应用系统通过在线接口调用量子密钥服务设备的服务接口， 同时将认证 票据作为接口参数向量子密钥服 务设备出示； S4： 量子密钥服务设备接收到接口请求后， 对典型密码应用系统出示的票据， 利用认证 密钥进行鉴权； S5： 量子密钥服 务设备向典型密码应用系统返回响应结果。 2.根据权利要求1所述的一种适用于量子密钥分发网络的身份认证授权方法， 其特征 在于： 所述 步骤S1中认证密钥生成处 理流程， 包括以下步骤： S100： 身份认证授权系统从身份认证授权系统所属密码卡读取16字节随机数作 为认证 密钥， 记为authK ey； S101： 身份认证授权系统调用密码卡的加密接口加密authK ey； S102： 密码卡利用密钥加密密钥KEK对authKey做加密运算， 加密算法采用SM4 的ECB模 式， 计算失败则重新进行步骤S10 0， 计算成功则记密钥密文为cipherK ey； S103： 身份认证授权系统将量子密钥服 务设备的标识qksName与cipherK ey绑定； S104： 身份认证授权系统将qksName和cipherK ey写入数据库； S105： 数据库保存qksName和cipherK ey； S106： 认证密钥生成结束。 3.根据权利要求2所述的一种适用于量子密钥分发网络的身份认证授权方法， 其特征 在于： 所述 步骤S1中认证密钥离线 充注处理流程， 包括以下步骤： S107： 身份认证授权系统从数据库读取认证密钥密文cipherK ey； S108： 将cipherK ey解密还原为认证密钥authK ey， 解密算法采用SM4的E CB模式； S109： 身份认证授权系统将认证密钥导出到智能密码钥匙； S110： 智能密码钥匙将认证密钥保存在内部安全 存储区； S111： 量子密钥服 务设备从智能密码钥匙导入认证密钥； S112： 量子密钥服 务设备自行保存认证密钥。 4.根据权利要求3所述的一种适用于量子密钥分发网络的身份认证授权方法， 其特征 在于： 所述 步骤S2中认证票据生成处 理流程， 包括以下步骤： S200： 身份认证授权系统录入票据参数和量子密钥服 务设备的标识qksName； S201： 身份认证授权系统从数据库中根据qksName读取认证密钥密文cipherK ey； S202： 身份认证授权系统调用密码卡的解密接口解密cipherK ey； S203： 密码卡将cipherKey解密还原为认证密钥authKey， 解密算法采用SM4的ECB模式， 计算失败则重新进行步骤S20 0， 计算成功则记密钥明文为authK ey； S204： 身份认证授权系统利用authKey对票据参数做HMAC运算， 将运算结果作为认证票 据ticket； S205： 身份认证授权系统将认证票据ticket与典型密码应用系统的标识appName绑定，权　利　要　求　书 1/3 页 2 CN 115276980 A 2写入数据库； S206： 数据库保存认证票据ticket； S207： 认证票据生成结束。 5.根据权利要求4所述的一种适用于量子密钥分发网络的身份认证授权方法， 其特征 在于： 所述 步骤S2中认证票据离线颁发处 理流程， 包括以下步骤： S208： 身份认证授权系统从数据库读取认证票据ticket； S209： 身份认证授权系统将ticket导出到智能密码钥匙； S210： 智能密码钥匙将ticket以文件形式保存在内部文件 存储区； S211： 典型密码应用系统从智能密码钥匙导入ticket并解析； S212： 典型密码应用系统自行保存ticket。 6.根据权利要求5所述的一种适用于量子密钥分发网络的身份认证授权方法， 其特征 在于： 所述 步骤S4中认证票据鉴权处 理流程， 包括以下步骤： S400： 典型密码应用系统从数据库读取认证票据ticket； S401： 典型密码应用系统根据不同场景调用量子密钥服务设备的在线接口， 将票据参 数和ticket发送给量子密钥服 务设备； S402： 量子密钥服 务设备读取认证密钥authK ey； S403： 量子密钥服 务设备利用authK ey对票据参数做H MAC运算， 运算结果记为ticket1； S404： 量子密钥服 务设备将ticket和ticket1进行比对； S405： 比对一 致则提供 所需数据， 否则拒绝 服务返回错 误。 7.根据权利要求6所述的一种适用于量子密钥分发网络的身份认证授权方法， 其特征 在于： 所述 步骤S5包括以下步骤： S501： 量子密钥服 务设备向典型密码应用系统返回步骤S40 5的响应结果； S502： 典型密码应用系统获得响应结果进行业 务处理。 8.根据权利要求6所述的一种适用于量子密钥分发网络的身份认证授权方法， 其特征 在于： 所述认证票据为根据典型密码 应用系统使用量子密钥服务设备的不同场景而设计的 四种， 包括应用票据、 访问票据、 发布票据和订阅票据； 所述应用票据是指身份认证授权系 统授予典型密码 应用系统接入量子密钥服务设备的身份凭证信息； 所述访问票据是指身份 认证授权系统授予典型密码 应用系统向量子密钥服务设备申请端端密钥的权限凭证信息； 所述发布票据是指身份认证授权系统授予典型密码应用 系统通过量子密钥服务设备发布 群组密钥主题的权限凭证信息； 所述订阅票据是指身份认证授权系统授予典型密码 应用系 统通过量子密钥服 务设备订阅群组密钥主题的权限凭证信息 。 9.根据权利要求8所述的一种适用于量子密钥分发网络的身份认证授权方法， 其特征 在于： 所述认证密钥是身份认证授权系统和量子密钥服务设备之间的认证密钥authKey， 认 证算法是基于SM3的HMAC算法， 票据参数包括典型密码应用系统的标识appName、 量子密钥 服务设备的标识qksName、 发端量子密钥服务设备标识sQksName、 收端量子密钥服务设备标 识dQksName、 密钥主题topic、 发端典型密码应用系统标识sAppName、 收端典型密码应用系 统标识dAp pName中的一项或多 项组合。 10.根据权利要求9所述的一种适用于量子密钥分发网络的身份认证授权方法， 其特征 在于： 不同所述认证票据的计算如下 所示：权　利　要　求　书 2/3 页 3 CN 115276980 A 3