(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211034032.4 (22)申请日 2022.08.26 (71)申请人 北京海泰方圆科技股份有限公司 地址 100094 北京市海淀区东北旺西路8号 中关村软件园9 号楼国际软件大厦E座 一层、 二层 (72)发明人 安晓江　胡伯良　蒋红宇　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 专利代理师 李海波 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种身份认证方法、 装置、 系统、 电子设备及 存储介质 (57)摘要 本申请公开了一种身份认证方法、 装置、 系 统、 电子设备及存储介质， 身份认证系统中的量 子密钥灌装模块将从第一量子密钥分发设备获 取量子密钥信息灌装至目标账户的硬件密码设 备中， 硬件密码设备中还包括发证中心向目标账 户下发的数字证书和签名密钥； 所述方法， 包括： 目标账户的客户端从硬件密码设备中选定第一 量子密钥； 将利用签名密钥对第一量子密钥进行 签名生成签名值、 第一量子密钥标识和目标账户 标识发送至身份认证中心， 以使身份认证中心根 据目标账户标识从发证中心获取目标账户的数 字证书， 根据第一量子密钥标识从第二量子密钥 分发设备获取第一量子密钥标识对应的第二量 子密钥， 根据第二量子密钥和数字证书中的公钥 对签名值进行验证 。 权利要求书3页 说明书14页 附图5页 CN 115426106 A 2022.12.02 CN 115426106 A 1.一种身份认证方法， 其特征在于， 应用于身份认证系统， 所述身份认证系统包括发证 中心、 量子密钥灌装模块和身份认证中心， 在所述量子密钥灌装模块部署第一量子密钥 分 发设备， 在所述身份认证中心部署第二量子密钥分发设备， 所述第一量子密钥分发设备和 所述第二量子密钥分发设备生成相同的量子密钥， 所述量子密钥灌装模块从所述第一量子 密钥分发设备获取量子密钥信息， 将所述量子密钥信息灌装至目标账户的硬件密码设备 中， 所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密 钥； 所述方法， 包括： 所述目标 账户的客户端从所述硬件密码设备中选 定第一量子密钥； 利用所述签名密钥对所述第一 量子密钥进行签名生成签名值； 将所述签名值、 所述第一量子密钥标识和目标账户标识发送至所述身份认证中心， 以 使所述身份认证中心根据所述目标账户标识从所述发证中心获取所述目标账户的所述数 字证书， 根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥 标识对应的第二量子密钥， 根据所述第二量子密钥和所述数字证书中的公钥对所述签名值 进行验证， 获得身份认证结果。 2.如权利要求1所述的方法， 其特征在于， 所述目标账户的客户端从所述硬件密码设备 中选定第一量子密钥， 具体包括： 所述目标账户的客户端从所述第 一量子密钥中选定设定长度的第 一量子密钥段， 并记 录所述第一 量子密钥段的偏移量； 以及 将所述签名值、 所述第 一量子密钥标识和所述目标账户标识发送至所述身份认证 中心 的同时， 还 包括： 将所述偏移量发送至所述身份认证中心， 以使所述身份认证中心根据 所述第一量子密 钥标识和所述偏移量从所述第二量子密钥 分发设备获取所述第一量子密钥标识对应的第 二量子密钥中的所述设定 长度的第二 量子密钥段。 3.如权利要求1所述的方法， 其特征在于， 所述目标账户的客户端从所述硬件密码设备 中选定第一量子密钥， 具体包括： 所述目标账户的客户端从所述第 一量子密钥中选定任意长度的第 一量子密钥段， 并记 录所述第一 量子密钥段的偏移量和所述第一密钥段的长度； 以及 将所述签名值、 所述第 一量子密钥标识和所述目标账户标识发送至所述身份认证 中心 的同时， 还 包括： 将所述偏移量和所述长度发送至所述身份认证中心， 以使所述身份认证中心根据 所述 第一量子密钥标识、 所述偏移量和所述长度从所述第二量子密钥分发设备获取所述第一量 子密钥标识对应的第二 量子密钥中的所述长度的第二 量子密钥段。 4.一种身份认证方法， 其特征在于， 应用于身份认证系统， 所述身份认证系统包括发证 中心、 量子密钥灌装模块和身份认证中心， 在所述量子密钥灌装模块部署第一量子密钥 分 发设备， 在所述身份认证中心部署第二量子密钥分发设备， 所述第一量子密钥分发设备和 所述第二量子密钥分发设备生成相同的量子密钥， 所述量子密钥灌装模块从所述第一量子 密钥分发设备获取量子密钥信息， 将所述量子密钥信息灌装至目标账户的硬件密码设备 中， 所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密 钥； 所述方法， 包括：权　利　要　求　书 1/3 页 2 CN 115426106 A 2所述身份认证中心接收所述目标账户的客户端发送的利用所述签名密钥对从所述硬 件密码设备中选定的第一量子密钥进 行签名生成的签名值、 所述第一量子密钥标识以及目 标账户标识； 根据所述目标 账户标识从所述发证中心获取 所述目标 账户的所述数字证书； 根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标 识对应的第二 量子密钥； 根据所述第 二量子密钥和所述数字证书中的公钥对所述签名值进行验证， 获得身份认 证结果。 5.如权利要求 4所述的方法， 其特 征在于， 还 包括： 接收所述目标账户的客户端发送的第 一量子密钥段的偏移量， 所述第 一量子密钥段是 所述目标 账户的客户端从所述第一 量子密钥中选 定的设定 长度的量子密钥段； 以及 根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标 识对应的第二 量子密钥， 具体包括： 根据所述第一量子密钥标识和所述偏移量从所述第二量子密钥分发设备获取所述第 一量子密钥标识对应的第二 量子密钥中的所述设定 长度的第二 量子密钥段。 6.如权利要求 4所述的方法， 其特 征在于， 还 包括： 接收所述目标账户的客户端发送的第一量子密钥段的偏移量和所述第一量子密钥段 的长度， 所述第一量子密钥段是所述目标账户的客户端从所述第一量子密钥中选定的任意 长度的量子密钥段； 以及 根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述第一量子密钥标 识对应的第二 量子密钥， 具体包括： 根据所述第 一量子密钥标识、 所述偏移量和所述长度从所述第 二量子密钥分发设备获 取所述第一 量子密钥标识对应的第二 量子密钥中的所述长度的第二 量子密钥段。 7.一种身份认证装置， 其特征在于， 应用于身份认证系统， 所述身份认证系统包括发证 中心、 量子密钥灌装模块和身份认证中心， 在所述量子密钥灌装模块部署第一量子密钥 分 发设备， 在所述身份认证中心部署第二量子密钥分发设备， 所述第一量子密钥分发设备和 所述第二量子密钥分发设备生成相同的量子密钥， 所述量子密钥灌装模块从所述第一量子 密钥分发设备获取量子密钥信息， 将所述量子密钥信息灌装至目标账户的硬件密码设备 中， 所述硬件密码设备中还包括所述发证中心向所述目标账户下发的数字证书和签名密 钥； 所述装置， 包括： 选定单元， 用于从所述硬件密码设备中选 定第一量子密钥； 签名单元， 用于利用所述签名密钥对所述第一 量子密钥进行签名生成签名值； 发送单元， 用于将所述签名值、 所述第一量子密钥标识和目标账户标识发送至所述身 份认证中心， 以使所述身份认证中心根据所述目标账户标识从所述 发证中心获取所述目标 账户的所述数字证书， 根据所述第一量子密钥标识从所述第二量子密钥分发设备获取所述 第一量子密钥标识对应的第二量子密钥， 根据所述第二量子密钥和所述数字证书中的公钥 对所述签名值进行验证， 获得身份认证结果。 8.一种身份认证系统， 其特征在于， 包括： 发证中心、 量子密钥灌装模块和身份认证中 心， 在所述量子密钥灌装模块部署第一量子密钥分发设备， 在所述身份认证中心部署第二权　利　要　求　书 2/3 页 3 CN 115426106 A 3