CN110519214B

CN110519214B - 基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法、系统、设备

Info

Publication number: CN110519214B
Application number: CN201910591311.2A
Authority: CN
Inventors: 富尧; 钟一民; 余秋炜
Original assignee: Ruban Quantum Technology Co Ltd
Current assignee: Ruban Quantum Technology Co Ltd
Priority date: 2019-07-02
Filing date: 2019-07-02
Publication date: 2021-10-22
Anticipated expiration: 2039-07-02
Also published as: CN110519214A

Abstract

本发明公开了一种基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法、系统、设备。参与方的应用服务器配置有应用服务器密钥卡，应用服务器密钥卡内存储有公钥池组、RSA公钥池组和私钥池；参与方的第一终端配置有第一终端密钥卡，第一终端密钥卡内存储有服务器公钥池、私钥池和RSA私钥池；参与方的第二终端配置有第二终端密钥卡，第二终端密钥卡内存储有临时公钥池、临时私钥池、公钥池、私钥池和对称密钥池，对称密钥池中存储有密钥表。本发明不仅采用在线离线签名技术提高签名速度，而且使用辅助验证签名技术提高签名验证速度、降低签名验证计算量，大大提升了系统的实用性。

Description

基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法、系统、设备

技术领域

本申请属于智能应用终端技术领域，具体涉及一种基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法、系统、设备。

背景技术

随着信息化技术和社会经济的不断发展，人们的生活水平得到了不断的提高，生活节奏也逐渐加快，人们在日常生活中逐渐出现了各种需要近距离身份认证的场景，如门禁刷卡、交通刷卡、上班考勤等。随着智能化设备的逐渐增加，人们对智能化的操作以及数据传输的安全提出了更高的要求。一般使用非对称密钥加密来保证数据的安全性，非对称密钥加密需要使用不同的密钥来分别完成加密和解密操作，一个公开发布，即公钥，另一个由用户自己秘密保存，即私钥。信息发送者用公钥去加密，而信息接收者用私钥去解密；或者信息发送者用私钥去签名，而信息接收者用公钥去验证签名。一般身份认证方法中需要使用数字签名技术，由于应用客户端常为低性能设备，计算能力和存储空间是有限的，而且电池的容量也不能使设备持续使用，另外对设备的反应速度也有要求，因此不能进行复杂的运算，必须选择合适的数字签名算法。

在线离线签名方案是一种不错的选择。在线离线签名把签名过程分为两个阶段，第一阶段为离线阶段，第二阶段为在线阶段。把复杂的、大量的运算放在离线阶段也即设备空闲时进行，在线阶段只需少量的计算即可，提高了系统签名的反应速度。在所签名的消息到达之前，我们把这个签名阶段的计算称为离线签名计算，在消息到来后的签名计算称为在线签名计算。

正如大多数人所了解的，量子计算机在密码破解上有着巨大潜力。当今主流的非对称(公钥)加密算法，如RSA加密算法，大多数都是基于大整数的因式分解或者有限域上的离散对数的计算这两个数学难题。他们的破解难度也就依赖于解决这些问题的效率。传统计算机上，要求解这两个数学难题，花费时间为指数时间(即破解时间随着公钥长度的增长以指数级增长)，这在实际应用中是无法接受的。而为量子计算机量身定做的秀尔算法可以在多项式时间内(即破解时间随着公钥长度的增长以k次方的速度增长，其中k为与公钥长度无关的常数)进行整数因式分解或者离散对数计算，从而为RSA、离散对数加密算法的破解提供可能。

现有技术存在的问题：

(1)现有技术中，应用服务器没有可靠的防护措施。应用服务器是应用系统的中心网元，而且有Internet上网能力，很有可能被感染病毒木马，从而被窃取信息；或者被攻击导致瘫痪，从而导致整个应用系统方案的瘫痪。

(2)现有技术中，应用客户端密钥存储于应用客户端存储器中，暴露于应用客户端的病毒木马的威胁之下，可以被恶意软件或恶意操作窃取。

(3)由于量子计算机能快速通过公钥得到对应的私钥，因此现有的建立在公私钥基础之上的应用系统通信方法容易被量子计算机破解。

(4)如果对低功耗的应用客户端进行未优化的公钥、私钥算法计算，则低功耗的应用客户端难以承受其计算量，不仅计算缓慢，而且如果其为电池供电则容易导致电量迅速消耗完毕。

(5)如果密钥卡内存储对称密钥池，则作为通信中心的应用服务器需要存储多个大容量对称密钥池，将极大消耗应用服务器的存储空间。

发明内容

基于此，有必要针对上述问题，提供一种基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法、系统、设备。

本申请提供基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，实施在第一终端，所述应用系统近距离节能通信方法包括：

向第二终端发送己方生成的第一终端随机数；所述第一终端随机数用于供第二终端结合己方生成的第二终端随机数对密钥卡内的密钥表查表获得第一密钥；

接收来自第二终端的第二终端随机数、第一密钥加密的第一签名；所述第一签名由第二终端根据第二终端随机数生成；

根据第一终端随机数和接收的第二终端随机数生成第二密钥和第二签名，并组合第一终端随机数和第二终端随机数得到会话ID；

向应用服务器发送所述会话ID、第一密钥加密的第一签名和第二密钥加密的第二签名；

接收来自应用服务器的应用服务器随机数、第一票据和第二票据；所述第一票据为包含第一会话密钥和第二终端随机数的密文；所述第二票据为包含第一会话密钥和第一终端随机数的密文，所述第一会话密钥由应用服务器对第一签名和第二签名验证通过后生成，所述第一票据和第二票据由应用服务器制作；

解密第二票据后得到第一会话密钥和第一终端随机数，对解密得到的第一终端随机数验证通过后确认第一会话密钥为与第二终端之间的会话密钥；

向第二终端发送应用服务器随机数和第一票据；所述应用服务器随机数用于供第二终端结合己方的第二终端随机数对密钥卡内的密钥表查表获得密钥后解密第一票据得到第一会话密钥和第二终端随机数，解密得到的所述第二终端随机数用于供第二终端验证通过后确认第一会话密钥为与第一终端之间的会话密钥。

本申请提供基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，实施在第二终端，所述应用系统近距离节能通信方法包括：

接收来自第一终端的第一终端随机数；

根据接收的第一终端随机数和己方生成的第二终端随机数对密钥卡内的密钥表查表获得第一密钥，根据第二终端随机数生成第一签名；所述第一终端随机数由第一终端生成；

向第一终端发送第二终端随机数、第一密钥加密的第一签名；所述第二终端随机数用于供第一终端生成第二签名，所述第二终端随机数用于供第一终端结合己方的第一终端随机数得到会话ID，所述会话ID用于供应用服务器对第一签名和第二签名验证通过后制作第一票据和第二票据，所述第一票据为包含第一会话密钥和第二终端随机数的密文，所述第二票据为包含第一会话密钥和第一终端随机数的密文，所述第二票据用于供第一终端验证通过后确认第一会话密钥为与第二终端之间的会话密钥，所述第一会话密钥由应用服务器生成；

接收来自第一终端的应用服务器随机数和第一票据；

根据接收的应用服务器随机数和己方的第二终端随机数对密钥卡内的密钥表查表获得密钥后解密第一票据得到第一会话密钥和第二终端随机数，对解密得到的第二终端随机数验证通过后确认第一会话密钥为与第一终端之间的会话密钥；所述应用服务器随机数由应用服务器生成。

本申请提供基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，实施在应用服务器，所述应用系统近距离节能通信方法包括：

接收来自第一终端的会话ID、第一密钥加密的第一签名和第二密钥加密的第二签名；所述会话ID由第一终端组合第一终端随机数和第二终端随机数得到，所述第一终端随机数由第一终端生成，所述第二终端随机数由第二终端生成，所述第一密钥由第二终端根据第一终端随机数和第二终端随机数对密钥卡内的密钥表查表获得，所述第一签名由第二终端根据第二终端随机数生成，所述第二密钥和第二签名由第一终端根据第一终端随机数和第二终端随机数生成；

对第一签名和第二签名进行验证，在验证通过后生成第一会话密钥并制作第一票据和第二票据；所述第一票据为包含第一会话密钥和第二终端随机数的密文；所述第二票据为包含第一会话密钥和第一终端随机数的密文；

向第一终端发送应用服务器随机数、第一票据和第二票据；所述第二票据用于供第一终端验证通过后确认第一会话密钥为与第二终端之间的会话密钥，所述应用服务器随机数用于供第二终端结合己方的第二终端随机数对密钥卡内的密钥表查表获得密钥后解密第一票据得到第一会话密钥和第二终端随机数，解密得到的所述第二终端随机数用于供第二终端验证通过后确认第一会话密钥为与第一终端之间的会话密钥。

本申请提供基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，所述应用系统近距离节能通信方法包括：

第一终端向第二终端发送己方生成的第一终端随机数；

所述第二终端接收来自第一终端的第一终端随机数，根据接收的第一终端随机数和己方生成的第二终端随机数对密钥卡内的密钥表查表获得第一密钥，并根据第二终端随机数生成第一签名，向第一终端发送第二终端随机数和第一密钥加密的第一签名；

所述第一终端接收来自第二终端的第二终端随机数、第一密钥加密的第一签名，根据第一终端随机数和接收的第二终端随机数生成第二密钥和第二签名，并组合第一终端随机数和第二终端随机数得到会话ID，向应用服务器发送所述会话ID、第一密钥加密的第一签名和第二密钥加密的第二签名；

所述应用服务器接收来自第一终端的会话ID、第一密钥加密的第一签名和第二密钥加密的第二签名，对第一签名和第二签名进行验证，在验证通过后生成第一会话密钥并制作第一票据和第二票据，向第一终端发送应用服务器随机数、第一票据和第二票据；

所述第一终端接收来自应用服务器的应用服务器随机数、第一票据和第二票据，解密第二票据后得到第一会话密钥和第一终端随机数，对解密得到的第一终端随机数验证通过后确认第一会话密钥为与第二终端之间的会话密钥，向第二终端发送应用服务器随机数和第一票据；

所述第二终端接收来自第一终端的应用服务器随机数和第一票据，根据接收的应用服务器随机数和己方的第二终端随机数对密钥卡内的密钥表查表获得密钥后解密第一票据得到第一会话密钥和第二终端随机数，对解密得到的第二终端随机数验证通过后确认第一会话密钥为与第一终端之间的会话密钥。

进一步的，所述应用服务器配置有应用服务器密钥卡，所述应用服务器密钥卡内存储有公钥池组、RSA公钥池组和私钥池；所述第一终端配置有第一终端密钥卡，所述第一终端密钥卡内存储有服务器公钥池、私钥池和RSA私钥池；所述第二终端配置有第二终端密钥卡，所述第二终端密钥卡内存储有临时公钥池、临时私钥池、公钥池、私钥池和对称密钥池，所述对称密钥池中存储有密钥表。

进一步的，所述第二终端根据接收的第一终端随机数和第二终端随机数对密钥卡内的密钥表查表获得第一密钥，包括：

将第一终端随机数和第二终端随机数分别与指针函数结合获得第一终端私钥指针及第二终端私钥指针，所述第一终端私钥指针及第二终端私钥指针对应所述密钥表的行和列，进而获得第一密钥；

所述第二终端根据接收的应用服务器随机数和己方的第二终端随机数对密钥卡内的密钥表查表获得密钥后解密第一票据得到第一会话密钥和第二终端随机数，包括：

将应用服务器随机数和第二终端随机数分别与指针函数结合获得应用服务器私钥指针及第二终端私钥指针，所述应用服务器私钥指针及第二终端私钥指针对应所述密钥表的行和列，进而获得密钥并解密第一票据得到第一会话密钥和第二终端随机数。

进一步的，所述第二终端根据第二终端随机数生成第一签名，包括：

根据第二终端随机数从己方私钥池取出私钥SKCc，根据第二终端随机数从己方临时公钥池中取出临时公钥PKCt，根据第二终端随机数从己方临时私钥池中取出临时私钥SKCt；

并计算参数Cc＝h(Nc||Nm||IDC,PKCt)和参数Yc＝SKCt+Cc×SKCc，利用参数Yc对参数Cc签名得到第一签名SIGNc＝(Cc,Yc)，其中Nc为第二终端随机数，Nm为第一终端随机数，IDC为第二终端的设备参数。

进一步的，所述第一终端根据第一终端随机数和第二终端随机数生成第二密钥和第二签名，包括：

根据第一终端随机数从己方RSA私钥池得到RSA私钥SKMRm，对第一终端随机数和第二终端随机数的组合进行哈希运算得到HASH(Nm||Nc)，并利用RSA私钥SKMRm对HASH(Nm||Nc)进行签名得到第二签名SIGNm＝SIGN(HASH(Nm||Nc),SKMRm)，其中Nc为第二终端随机数，Nm为第一终端随机数。

本申请还提供一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现所述的基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法的步骤。

本申请还提供一种基于在线离线签名和辅助验证签名的应用系统近距离节能通信系统，所述抗量子计算节能通信系统包括第一终端、第二终端、应用服务器和通信网络；所述应用服务器配置有应用服务器密钥卡，所述应用服务器密钥卡内存储有公钥池组、RSA公钥池组和私钥池；所述第一终端配置有第一终端密钥卡，所述第一终端密钥卡内存储有服务器公钥池、私钥池和RSA私钥池；所述第二终端配置有第二终端密钥卡，所述第二终端密钥卡内存储有临时公钥池、临时私钥池、公钥池、私钥池和对称密钥池，所述对称密钥池中存储有密钥表；

所述第一终端、第二终端和应用服务器通过所述通信网络实现所述的基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法。

本申请提供的基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法、系统、设备，低性能设备(第二终端)不使用公钥、私钥进行未优化的公私钥算法计算，不仅采用在线离线签名技术提高签名速度，而且使用辅助验证签名技术提高签名验证速度、降低签名验证计算量，大大提升了系统的实用性。各类签名均由对称密钥加密保护，使得数字签名不会暴露于量子计算机的威胁之下。另外，低性能设备仅需查表即可获得与应用服务器加密通信的共享密钥，避免了使用非对称密钥来计算会话密钥。且应用服务器无需存储多个大容量对称密钥池，仅需存储多组公钥池，极大节省应用服务器的存储空间。

附图说明

图1为本发明实施例提供的应用系统组网图；

图2为应用服务器密钥卡密钥区的结构示意图；

图3为应用服务器密钥卡密钥区中公钥池组的结构示意图；

图4为应用服务器密钥卡密钥区中RSA公钥池组的结构示意图；

图5为应用移动终端M密钥卡密钥区的结构示意图；

图6为应用终端C密钥卡密钥区的结构示意图；

图7为应用客户端密钥卡密钥区中对称密钥池的结构示意图；

图8为密钥协商过程的通信时序图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的，不是在于限制本申请。

其中一实施例中，提供了一种基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，所述应用系统近距离节能通信方法包括：

第一终端向第二终端发送己方生成的第一终端随机数；

本实施例中，第二终端不使用公钥、私钥进行未优化的公私钥算法计算，仅需查表即可获得与应用服务器加密通信的共享密钥，避免了使用非对称密钥来计算会话密钥，通信过程不仅采用在线离线签名技术提高签名速度，而且使用辅助验证签名技术提高签名验证速度、降低签名验证计算量，大大提升了系统的实用性。

在一实施例中，所述应用服务器配置有应用服务器密钥卡，所述应用服务器密钥卡内存储有公钥池组、RSA公钥池组和私钥池；所述第一终端配置有第一终端密钥卡，所述第一终端密钥卡内存储有服务器公钥池、私钥池和RSA私钥池；所述第二终端配置有第二终端密钥卡，所述第二终端密钥卡内存储有临时公钥池、临时私钥池、公钥池、私钥池和对称密钥池，所述对称密钥池中存储有密钥表。

本实施例中，本实施例中的应用服务器无需存储多个大容量对称密钥池，仅需存储多组公钥池，极大节省应用服务器的存储空间。

在一实施例中，所述第二终端根据接收的第一终端随机数和第二终端随机数对密钥卡内的密钥表查表获得第一密钥，包括：

本实施例中，第二终端利用随机数进行查表，降低密钥泄露风险，且查表过程简单，查表速度快。

在一实施例中，所述第二终端根据第二终端随机数生成第一签名，包括：

在一实施例中，所述第一终端根据第一终端随机数和第二终端随机数生成第二密钥和第二签名，包括：

本实施例在交互过程中计算签名，使得本申请不仅采用在线离线签名技术提高签名速度，而且使用辅助验证签名技术提高签名验证速度、降低签名验证计算量，大大提升了系统的实用性。

为了进一步说明在应用系统近距离节能通信方法中各参与方的工作流程，以下通过实施在单侧方的方式对基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法予以描述。

其中一实施例中，提供一种基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，实施在第一终端，所述应用系统近距离节能通信方法包括：

接收来自应用服务器的应用服务器随机数、第一票据和第二票据；所述第一票据为包含第一会话密钥和第二终端随机数的密文，所述第二票据为包含第一会话密钥和第一终端随机数的密文，所述第一会话密钥由应用服务器对第一签名和第二签名验证通过后生成，所述第一票据和第二票据由应用服务器制作；

其中一实施例中，提供一种基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，实施在第二终端，所述应用系统近距离节能通信方法包括：

接收来自第一终端的第一终端随机数；

接收来自第一终端的应用服务器随机数和第一票据；

其中一实施例中，提供一种基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，实施在应用服务器，所述应用系统近距离节能通信方法包括：

在应用系统近距离节能通信方案中，应用系统可以是各类需要近距离身份认证的系统，包括应用服务器和若干应用客户端，包括移动终端、应用终端，其中应用终端为低性能设备。应用服务器运行业务服务程序，应用客户端运行业务客户端程序。本专利的应用系统可以但不限于是：门禁系统；交通刷卡系统；考勤系统；等等。前述三种应用系统的情况下，其应用服务器分别为：门禁系统服务器、交通刷卡系统服务器、考勤系统服务器；其应用终端分别为：门禁刷卡机、交通刷卡机、考勤刷卡机；其移动终端为手机、平板电脑等支持蜂窝网络的移动设备。

应用系统结构如图1所示，应用服务器(S)用于颁发密钥卡(给移动终端和应用终端)，还用于颁发会话密钥。应用服务器和移动终端使用移动数据或无线网络连接。应用终端和移动终端使用近距离通信方式(BLE/NFC/红外等)连接。

本文假设应用服务器ID为IDS，使用S密钥卡。应用服务器S密钥卡密钥区具体结构如图2所示，包括公钥池组、私钥池和RSA公钥池。

公钥池组具体结构如图3所示，包括服务器公钥池和N个客户端的N个客户端公钥池。服务器公钥池起始位置为Kp0，大小为Ks0。服务器私钥池的大小也为Ks0。N个客户端公钥池的起始位置分别为Kp1，Kp2，……，KpN，N个客户端私钥池的大小分别为Ks1，Ks2，……，KsN。密钥池的大小从1G～4096G不等。设服务器密钥编号分别为1～m，服务器私钥池为{s1，s2，……，sm}，服务器公钥池为{S1，S2，……，Sm}。根据Diffie-Hellman协议，定义一个大素数p和一个生成元为g的乘法群G，g为模p的原根，g和p均为Diffie-Hellman协议的参数。服务器根据匹配的密钥卡产生真随机大整数si(i∈{1，2，……，m})作为自己的私钥，通过计算得到公钥Si＝g^si mod p(i∈{1，2，……，m})。

服务器随机选择A、B、Z三个整数(Z＝p)以及使用生成元为g的乘法群G用于作为本发明中使用的在线离线签名的算法参数(本实施例所用在线离线签名方法来源于参考资料《On the Fly Authentication and Signature Schemes Based on Groups of UnknownOrder》)。服务器还将根据在线离线算法选择一个输出范围在[0，B-1]内的哈希函数h。所述在线离线算法参数{A，B，Z，G，g，h}会存储在各类密钥卡或IC卡内。

RSA公钥池组结构类似公钥池组，如图4所示，具体包括所在场景下所有应用终端C对应的RSA公钥池。各应用终端C对应的RSA公钥池由相应数量的RSA公钥按序组成。

应用客户端包括移动终端和应用终端，移动终端为中等性能设备，可以进行少量未优化的非对称密码算法的计算；应用终端为低性能设备或需要保持长时间电量续航的设备，仅进行少量优化后的非对称密码算法的计算。本文假设移动终端ID为IDM，使用M密钥卡，应用终端ID为IDC，使用C密钥卡。M密钥卡结构如图5所示，包括服务器公钥池、私钥池和RSA私钥池。C密钥卡密钥区具体结构如图6所示，包括应用终端的临时公钥池/临时私钥池、应用终端的公钥池/私钥池和对称密钥池。设应用终端临时私钥编号为1～tn，临时私钥池为{m1，m2，……，mtn}，临时公钥池为{M1，M2，……，Mtn}。应用终端的临时私钥mo(o∈{1，2，……，tn})均为在范围[0，A-1]内的随机大整数，通过计算得到公钥Mo＝g^mo mod p(o∈{1，2，……，tn})。其中，对称密钥池的具体结构如图7所示。设某应用终端的客户端密钥编号分别为1～n，应用终端的客户端私钥池为{c1，c2，……，cn}，应用终端的客户端公钥池为{C1，C2，……，Cn}，其中，Cj＝g^cj mod p，j∈{1，2，……，n}。密钥卡颁发者即应用服务器为应用终端计算出所有的Kij，计算方式为Kij＝(Si)^cj mod p，将密钥区(即图7中灰色区域)复制入密钥卡内，形成密钥表。如果应用终端是充电的设备，则当应用终端在充电时，自行计算公私钥对替换临时公私钥池中已经使用过的临时公私钥；如果应用终端是连接电源的低性能设备，则当应用终端在cpu占有率比较低时，自行计算公私钥对替换临时公私钥池中已经使用过的临时公私钥。

实施例1

本实施例为移动终端M和应用终端C通过应用服务器S进行密钥协商，并在通信过程中进行消息认证的过程。

各终端设备根据随机数查找密钥的过程文字描述如下：

应用服务器S使用随机数rs结合特定的非对称密钥指针函数F得到非对称密钥指针Ps，通过Ps从应用服务器私钥池中提取应用服务器私钥SKs，或通过Ps加上相应公钥池起始位置KsN得到公钥指针Kss，通过Kss从公钥池组中提取公钥PK，或通过Ps加上相应RSA公钥池起始位置KRsN得到RSA公钥指针KRss，通过KRss从RSA公钥池组中提取应用终端RSA公钥PKr。

移动终端M使用随机数rc结合特定的非对称密钥指针函数F得到非对称密钥指针Pc，通过Pc从服务器公钥池中提取应用服务器公钥PKs，或通过Pc从私钥池中提取应用终端私钥SKc，或通过Pc从RSA私钥池中提取RSA私钥SKr。

应用终端C使用随机数rm结合特定的非对称密钥指针函数F得到非对称密钥指针Pm，通过Pm从公钥池或私钥池中提取公钥PKm或私钥SKm，或通过Pm加上由rs计算得到的Ps从对称密钥池中提取对称密钥Kms(第二密钥)。在临时公钥池或临时私钥池维护一个有效密钥指针，该有效密钥指针起始时位于临时公钥池或临时私钥池的起始位置；每次需要密钥时，在有效密钥指针位置，可从临时公钥池或临时私钥池中提取临时公钥PKt或临时私钥SKt，提取后有效密钥指针往后移动一个密钥存储单位，即表明提取后的临时公钥或临时私钥已成为无效密钥。

在未做特殊说明的情况下本申请中的各名称以字母和数字组合为准，例如M，移动终端M在本申请中表示同一含义，即移动终端M；又如对称密钥Kcs、Kcs、密钥Kcs在本申请中表示同一含义，即密钥Kcs；其余名称同理。且本申请中的应用终端C、应用服务器S等表述中的C、S仅仅是为了便于区分和叙述，并不对参数本身有额外限定，例如随机数Nm、私钥SKCc中的Nm、SKCc；其他同理。

移动终端M(即第一终端)与应用终端C(即第二终端)通过应用服务器S协商密钥的过程如图8所示，文字描述如下：

1、应用终端C和移动终端M向应用服务器发送密钥协商基本信息。

1.1、移动终端M根据匹配的M密钥卡中的随机数发生器生成随机数Nm(第一终端随机数)，与IDM一起发送至应用终端C。

1.2、应用终端C收到后，根据匹配的C密钥卡中的随机数发生器生成随机数Nc(第二终端随机数)，根据Nc和Nm进行查找对称密钥池得到对称密钥Kcs(第一密钥)。应用终端C根据Nc从私钥池取出私钥SKCc。并按序分别从临时公钥池和临时私钥池取出对应的临时公私钥对PKCt和SKCt。C密钥卡计算Cc＝h(Nc||Nm||IDC,PKCt)，Yc＝SKCt+Cc×SKCc得到第一签名SIGNc＝(Cc,Yc)。应用终端C利用对称密钥Kcs对签名SIGNc加密得到{SIGNc}Kcs。

将{IDC||Nc||IDM||Nm}组合得到该次密钥协商的会话ID，可表示为SESSID＝IDC||Nc||IDM||Nm。应用终端C保留SESSID。

将IDC||Nc||{SIGNc}Kcs发送至移动终端M。

1.3、移动终端M收到后，根据Nc和Nm进行分别查找服务器公钥池和私钥池得到服务器公钥PKSc和客户端自身私钥SKMm。计算密钥Kms＝(PKSc)^SKMm mod p。根据Nm进行查找RSA私钥池得到RSA私钥SKMRm。利用SKMRm对Nm||Nc签名得到第二签名SIGNm＝SIGN(HASH(Nm||Nc),SKMRm)。其中SIGN(m,k)表示以m为消息、以k为密钥的RSA签名。HASH(m)表示为对m进行计算哈希。利用密钥Kms对SIGNm加密得到{SIGNm}Kms。

将{IDC||Nc||IDM||Nm}组合得到该次密钥协商的会话ID，可表示为SESSID＝IDC||Nc||IDM||Nm。移动终端M保留SESSID。

移动终端M将SESSID||{SIGNc}Kcs||{SIGNm}Kms发送至应用服务器S。

2、应用服务器分发票据。

2.1、应用服务器S收到移动终端M的消息后，根据匹配的S密钥卡中的随机数发生器生成随机数Ns(应用服务器随机数)，根据Nc和Ns分别从公钥池组和服务器私钥池中查找到的应用终端C对应的公钥PKCc和服务器私钥SKSs,根据Nm分别从公钥池组中查找到的移动终端M对应的公钥PKMm，根据Nm从RSA公钥池组中查找得到移动终端M的RSA公钥PKMRm，根据Nm和Nc从服务器私钥池分别查找到服务器私钥SKSm和SKSc。应用服务器S利用公钥服务器私钥SKSm、SKSc和客户端公钥PKMm、PKCc计算得到对称密钥Kms和Kcs。计算过程为Kms＝(PKMm)^SKSc mod p，Kcs＝(PKCc)^SKSm mod p。利用Kms对{SIGNm}Kms解密得到签名SIGNm，并利用公钥PKMm对签名SIGNm进行验证，若验证不通过则流程结束，否则继续；利用Kcs对{SIGNc}Kcs解密得到签名SIGNc，并利用公钥PKCRc对签名SIGNc进行验证，若验证不通过则流程结束，否则继续。

应用服务器S生成应用终端C与移动终端M之间的会话密钥Kmc(第一会话密钥)并制作票据Tc(第一票据)和Tm(第二票据)。Tc由Kc加密，Kc由PKCc和SKSs计算确定，计算过程为Kc＝(PKCc)^SKSs mod p，Tc可表示为{Kmc||IDM||Nc}Kc；Tm由Km加密，Km由PKMm和SKSs计算确定，计算过程为Km＝(PKMm)^SKSs mod p，Tm可表示为{Kmc||IDC||Nm}Km。取RSA公钥PKMRm，具体表示为(PKMRe,Rn)，其中Rn表示为RSA算法中的参数，存在于每个密钥卡内。计算得到SIGNmt＝SIGNm^{((PKMRe-1)/2)}mod Rn。利用Kc加密SIGNmt得到{SIGNmt}Kc。

应用服务器S将SESSID||Ns||Tm||Tc||{SIGNmt}Kc发送至移动终端M。

2.2、移动终端M收到消息后，根据SESSID找到Nm以及收到的Ns计算得到Km，使用Km解密Tm得到Kmc||IDC||Nm。移动终端M将解密得到的IDC和Nm与保留在本地的SESSID中的IDC和Nm进行对比验证，验证相等后信任该消息，并确认Kmc为与应用终端C的会话密钥。

移动终端M利用Kmc对SIGNm进行加密得到{SIGNm}Kmc。将SESSID||Ns||Tc||{SIGNmt}Kc||{SIGNm}Kmc发送至应用终端C。

3、进行消息认证。

3.1、应用终端C收到后，根据SESSID找到Nc以及收到的Ns查表得到Kc，解密Tc得到Kmc||IDM||Nc，对Tc中的Nc与本地存储的Nc进行验证，对Tc中的IDM与本地存储的IDM进行验证，验证相等后信任该消息，并确认Kmc为与移动终端M的会话密钥。然后使用Kmc对{SIGNm}Kmc解密得到SIGNm。使用Kc对{SIGNmt}Kc解密得到SIGNmt。

应用终端C计算得到MH＝HASH(Nm||Nc)。计算得到MH’＝SIGNmt²×SIGNm mod Rn。对比MH’和MH是否相等，验证通过后，完成应用终端C与移动终端M之间的密钥协商，并在日志中记录该事件以备事后审计。

本实施例就每个步骤而言可视为针对前述相应的实施例，就所有步骤而言也可视为前述相应实施例的结合。

本实施例中密钥卡是结合了密码学技术、硬件安全隔离技术、量子物理学技术(搭载量子随机数发生器的情况下)的身份认证和加解密产品。密钥卡的内嵌芯片和操作系统可以提供密钥的安全存储和密码算法等功能。由于其具有独立的数据处理能力和良好的安全性，密钥卡成为私钥和密钥池的安全载体。每一个密钥卡可以有硬件PIN码保护，PIN码和硬件构成了用户使用密钥卡的两个必要因素，即所谓“双因子认证”，用户只有同时取得保存了相关认证信息的密钥卡和用户PIN码，才可以登录系统。即使用户的PIN码被泄露，只要用户持有的密钥卡不被盗取，合法用户的身份就不会被仿冒；如果用户的密钥卡遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。总之，密钥卡使得密钥等绝密信息不以明文形式出现在主机的磁盘及内存中，从而能有效保证绝密信息的安全。

应用系统成员均配备有密钥卡，使用密钥卡存储密钥，密钥卡是独立的硬件设备，被恶意软件或恶意操作窃取密钥的可能性大大降低。同时，各所述成员利用随机数结合所述非对称密钥池提取所需应用系统成员的公钥，且应用系统成员的公钥存储在密钥卡内，保证量子计算机无法得到用户公钥，进而无法得到对应的私钥，因此降低被量子计算机破解风险。

低性能设备(即应用终端/第二终端)不使用公钥、私钥进行未优化的公私钥算法计算，不仅采用在线离线签名技术提高签名速度，而且使用辅助验证签名技术提高签名验证速度、降低签名验证计算量，大大提升了系统的实用性。各类签名均由对称密钥加密保护，使得数字签名不会暴露于量子计算机的威胁之下。另外，低性能设备仅需查表即可获得与应用服务器加密通信的共享密钥，避免了使用非对称密钥来计算会话密钥。通过上述方法使得低性能设备的身份认证及密钥协商计算量小，速度快；并能为其节能，延长使用电池的应用终端的电池使用时间。

作为通信中心的应用服务器无需存储多个大容量对称密钥池，仅需存储多组公钥池，极大节省应用服务器的存储空间。根据上述实施例，应用服务器新增第N个应用终端时，根据对称密钥池方法，原先需要新增存储与第N个应用终端相同的密钥量，即m*n；现在仅需新增存储第N个应用终端对应的公钥池的密钥量，即n，新增密钥量大大降低。因此上述实施例极大节省应用服务器的存储空间。

在一实施例中，本申请还提供一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现所述的基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法的步骤。

关于计算机设备的具体限定可以参见上文中对量子通信服务站数字签名方法的限定，在此不再赘述。上述计算机设备中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

计算机设备可以是终端，其内部结构可以包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中，计算机设备的处理器用于提供计算和控制能力。计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述基于非对称密钥池对的量子通信服务站数字签名方法。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，各设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

在另一实施例中，提供了一种基于在线离线签名和辅助验证签名的应用系统近距离节能通信系统，所述抗量子计算节能通信系统包括第一终端、第二终端、应用服务器和通信网络；所述应用服务器配置有应用服务器密钥卡，所述应用服务器密钥卡内存储有公钥池组、RSA公钥池组和私钥池；所述第一终端配置有第一终端密钥卡，所述第一终端密钥卡内存储有服务器公钥池、私钥池和RSA私钥池；所述第二终端配置有第二终端密钥卡，所述第二终端密钥卡内存储有临时公钥池、临时私钥池、公钥池、私钥池和对称密钥池，所述对称密钥池中存储有密钥表；

关于基于在线离线签名和辅助验证签名的应用系统近距离节能通信系统的具体限定可以参见上文中对于基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法的限定，在此不再赘述。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

1.基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，实施在第一终端，其特征在于，所述应用系统近距离节能通信方法包括：

应用服务器配置有应用服务器密钥卡，所述应用服务器密钥卡内存储有公钥池组、RSA公钥池组和私钥池；第一终端配置有第一终端密钥卡，所述第一终端密钥卡内存储有服务器公钥池、私钥池和RSA私钥池；第二终端配置有第二终端密钥卡，所述第二终端密钥卡内存储有临时公钥池、临时私钥池、公钥池、私钥池和对称密钥池，所述对称密钥池中存储有密钥表；

2.基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，实施在第二终端，其特征在于，所述应用系统近距离节能通信方法包括：

接收来自第一终端的第一终端随机数；

接收来自第一终端的应用服务器随机数和第一票据；

3.基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，实施在应用服务器，其特征在于，所述应用系统近距离节能通信方法包括：

4.基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，其特征在于，所述应用系统近距离节能通信方法包括：

第一终端向第二终端发送己方生成的第一终端随机数；

5.如权利要求1至4任一项所述的基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，其特征在于，所述第二终端根据接收的第一终端随机数和第二终端随机数对密钥卡内的密钥表查表获得第一密钥，包括：

6.如权利要求1至4任一项所述的基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，其特征在于，所述第二终端根据第二终端随机数生成第一签名，包括：

7.如权利要求1至4任一项所述的基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法，其特征在于，所述第一终端根据第一终端随机数和第二终端随机数生成第二密钥和第二签名，包括：

8.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1～3中任一项所述的基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法的步骤。

9.基于在线离线签名和辅助验证签名的应用系统近距离节能通信系统，其特征在于，所述应用系统近距离节能通信系统包括第一终端、第二终端、应用服务器和通信网络；所述应用服务器配置有应用服务器密钥卡，所述应用服务器密钥卡内存储有公钥池组、RSA公钥池组和私钥池；所述第一终端配置有第一终端密钥卡，所述第一终端密钥卡内存储有服务器公钥池、私钥池和RSA私钥池；所述第二终端配置有第二终端密钥卡，所述第二终端密钥卡内存储有临时公钥池、临时私钥池、公钥池、私钥池和对称密钥池，所述对称密钥池中存储有密钥表；

所述第一终端、第二终端和应用服务器通过所述通信网络实现权利要求4所述的基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法。