CN110932870B - 一种量子通信服务站密钥协商系统和方法 - Google Patents

Abstract

本发明公开了一种基于秘密共享和时间戳的量子通信服务站密钥协商系统和方法，系统包括通过用户端A、用户端B和量子通信服务站，用户端及量子通信服务站使用密钥卡存储公钥和私钥，各个量子通信服务站与量子密钥卡对用户端

进行秘密共享，密钥卡中仅存有

的当前分量，采用假

的方式将

进行隐藏，大大提高了

的安全性。本发明同时用到了偏移量，使得传输过程更加安全，具有抗量子计算的特性，并且该加密方式比普通加密方式的计算量更小，因此避免了使用普通加密方式来抵抗量子计算机的攻击，降低了各方的设备负担。

Description

一种量子通信服务站密钥协商系统和方法

技术领域

本发明涉及秘密共享技术领域，尤其涉及一种基于秘密共享和时间戳的量子通信服务站密钥协商系统和方法。

背景技术

鉴权，即身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。

当前通信网络中身份认证系统普遍采用Kerberos认证方案。Kerberos是一种网络认证协议，其设计目标是通过密钥系统为用户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下，Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术(如：共享密钥)执行认证服务的。

在Kerberos认证方案中，引入了时间戳来对重放攻击进行遏止，但是票据有生命周期，在其生命周期的有效时间内仍然可以使用。如果收到消息的时间是在规定允许的范围之内，那么就认为该消息具有新鲜性。但是，在得到许可证后的攻击者可以发送伪造的消息，这样的话，在允许的时间内是很难发现的。

正如大多数人所了解的，量子计算机在密码破解上有着巨大潜力。当今主流的非对称(公钥)加密算法，如RSA加密算法，大多数都是基于大整数的因式分解或者有限域上的离散对数的计算这两个数学难题。他们的破解难度也就依赖于解决这些问题的效率。传统计算机上，要求解这两个数学难题，花费时间为指数时间(即破解时间随着公钥长度的增长以指数级增长)，这在实际应用中是无法接受的。而为量子计算机量身定做的秀尔算法可以在多项式时间内(即破解时间随着公钥长度的增长以k次方的速度增长，其中k为与公钥长度无关的常数)进行整数因式分解或者离散对数计算，从而为RSA、离散对数加密算法的破解提供可能。

现有技术存在的问题：

1.随着量子计算机的发展，主流的非对称加密算法将不再安全，无论加解密还是密钥交换方法，量子计算机都可以通过公钥计算得到私钥，因此目前常用的非对称密钥将在量子时代变得不堪一击。

2.现有量子通信服务站与量子密钥卡之间使用非对称密钥池的方法，大大减轻了服务站的密钥存储压力。但是服务站中的非对称密钥池拥有与众多客户端进行保密通信的非对称密钥，因此非对称密钥池所在的密钥卡一旦遭到暴力破解，该服务站所对应的众多客户端将悉数丧失保密通信能力，且客户端的历史信息可根据客户端的身份进行搜索并破解；

3.当前主流的密钥协商系统，客户端ID或其他身份信息必须公开，造成用户信息泄露。

发明内容

发明目的：本发明的目的在于提供一种隐藏能够客户端ID实现抗量子运算防止破解的秘密共享和时间戳的量子通信服务站密钥的协商系统及其通信方法。

技术方案：为了实现上述目的，本发明的基于秘密共享和时间戳的量子通信服务站密钥协商系统，用于用户端之间通过量子通信服务站的协商通信，包括密钥卡、多个用户端和量子通信服务站，不同量子通信服务站之间可以通过QKD 方式共享站间量子密钥，用户端ID不公开、量子通信服务站对用户端ID进行秘密共享生成不同的秘密分量，分别存储在用户端密钥卡内和量子通信服务站中；

用户端为接入量子通信服务站的设备，配备密钥卡，密钥卡内置有身份认证协议，各密钥卡均设有唯一的密钥卡身份信息；所述密钥卡内存储有用户端的公钥、私钥、假身份，由量子通信服务站生成用户端ID的秘密分量以及匹配量子通信服务站的身份信息ID_Q；

量子通信服务站内存储多组用户端信息的列表，每组用户端信息包括假身份 PID以及ID的部分秘密分量；

量子通信服务站选取一个随机数作为系统管理私钥，对系统管理私钥进行计算生成系统管理公钥。

为了实现量子通信服务站密钥的颁发和协商通信，量子通信服务站下配置有用户端，各个量子通信服务站间存有认证协议，所述量子通信服务站包括：

量子服务中心，主要用于通过经典网络与用户侧的各用户端通信连接以及与其他量子通信服务站通信连接；

量子密钥分发设备，主要用于通过QKD方式实现站间量子密钥的共享；

密钥颁发服务器，用于密钥卡颁发，是一台离线装置，由服务器管理员进行统一管理，密钥颁发服务器的密钥卡中存储有系统管理公钥；

真随机数发生器，用于接收用户侧密钥管理服务器提出的申请用户侧密钥的请求，生成用户侧密钥，并发送给用户侧密钥管理服务器；

用户侧密钥管理服务器，存放、管理从真随机数发生器生成的用户侧密钥，接收量子服务中心提出的申请用户侧密钥请求，发送相应长度的用户侧密钥给量子服务中心，接入量子密钥卡，实现发卡、登记、拷贝用户侧密钥。

所述量子服务中心包括：身份认证服务器，票据许可服务器；

身份认证服务器用于实现用户在接受消息认证、数字签名服务前与量子通信服务站的相互身份认证；内部具有加密卡，用于存储身份认证协议，包括密钥生成算法、认证函数、加密传输协议；

票据许可服务器用于实现用户在获得与量子通信服务站的相互身份认证后，为用户分发其访问其他用户申请的许可。

为了实现抗量子运算，本发明的基于秘密共享和时间戳的量子通信服务站密钥的协商方法：

(1)当用户端配置在同一个量子通信服务站下时，包括如下步骤：

步骤1：用户端A向用户端B发起密钥协商请求，用户端A将信息M₁发送给用户端B；M₁中包含当前时间戳N_A、用户端A的假身份、ID分量以及用户端 A的私钥对N_A、用户端A的两个新的秘密分量随机数进行的签名；

步骤2：用户端B接收到信息M₁，将信息M₂发送给量子通信服务站Q，M₂中包含M₁、当前时间戳N_B、用户端B的假身份、ID分量以及用户端B的私钥对 M₁、N_B、用户端B的两个新的秘密分量随机数进行的签名；

步骤3：量子通信服务站Q接收信息M₂，分别利用用户端的两组秘密分量恢复用户端的真实身份，从而获得两个用户端的公钥。再采用哈希运算得到两组新的秘密分量随机数，并对M₁和M₂进行签名验证，验证通过后，进一步计算得到两个用户端的新ID分量以及两个新的假身份并分别更新；

量子通信服务站Q生成会话密钥和随机数密钥K_3A；

通过随机数密钥K_3A对两个用户端的假身份、N_A和会话密钥进行加密运算，再根据用户端A的公钥对K_3A进行加密得到ENC_A，组合得到TICKET_A，使用新的秘密分量随机数对用户端A的假身份和新的部分ID分量以及TICKET_A计算得到消息认证码MAC_A；

量子通信服务站Q生成会话密钥和随机数密钥K_3B；

通过随机数密钥K_3B对两个用户端的假身份、N_B和会话密钥进行加密运算，再根据用户端B的公钥对K_3B进行加密得到ENC_B，组合得到TICKET_B，使用新的秘密分量随机数对用户端B的假身份和新的部分ID分量以及TICKET_B计算得到消息认证码MAC_B；

量子通信服务器把M_3A和M_3B组合成M₃发送到用户端B；

M_3A包括MAC_A，用户端A的假身份、新的部分ID分量、TICKET_A；M_3B包括MAC_B，用户端B的假身份、新的部分ID分量、TICKET_B；

步骤4：用户端B接收信息M₃并解密还原用户端B的身份，并验证MAC_B，验证通过后更新假身份及秘密分量，通过用户端B的私钥解密ENC_B得到随机数密钥K_3B，通过K_3B对TICKET_B解密得到会话密钥，并生成随机数N_C，并对N_A通过会话密钥计算消息验证码MAC_AB，将M_3A、使用会话密钥加密的N_C和MAC_AB一起作为M₄发送至客户端A；

步骤5：用户端A对信息M₄并解密并还原用户端A的身份，并验证MAC_A，验证通过后更新假身份及秘密分量，通过用户端A的私钥解密ENC_A得到随机数密钥K_3A，K_3A对TICKET_A解密得到会话密钥，使用会话密钥验证消息验证码 MAC_AB，确认一致后，用户端A对N_C通过会话密钥计算消息验证码MAC_AC，并将该消息验证码MAC_AC作为信息发送M₅至用户端B；

步骤6：用户端B接收到M₅后，使用会话密钥验证MAC_AC，确认一致后，用户端B对用户端A认证通过，且确认会话密钥，用户端A和用户端B进行安全通信。

(2)当用户端属于不同的量子通信服务站时，包括如下步骤：

步骤1：用户端A向用户端B发起密钥协商请求，用户端A将信息M₁发送给用户端B；M₁中包含当前时间戳N_A、用户端A的假身份、ID分量，以及用户端A的私钥对N_A、用户端A的两个新的秘密分量随机数进行的签名；

步骤2：用户端B接收到信息M₁，并将信息M₂发送给量子通信服务站Q_B， M₂中包含M₁、当前时间戳N_B、用户端B的假身份和ID分量，以及用户端B的私钥对M₁、N_B、用户端B的两个秘密分量随机数进行的签名；

步骤3：量子通信服务站Q_B接收信息M₂，利用用户端B的秘密分量恢复用户端B的真实身份，从而获得用户端B的公钥。再采用哈希运算得到两组新的秘密分量随机数，并对M₂进行签名验证，验证通过后，进一步计算得到新的ID 分量，同时量子通信服务站Q_B生成会话密钥，将会话密钥与M₁、用户端B的假身份一起作为M′₃发送至量子通信服务站Q_A，通过QKD密钥进行M′₃的加密、解密和消息认证；

步骤4：量子通信服务站Q_A通过QKD密钥解密M′₃，利用用户端A的秘密分量恢复用户端A的真实身份，从而获得用户端A的公钥。再采用哈希运算得到两组新的秘密分量随机数，并对M₁中的签名进行验证；验证通过后，进一步计算得到新的ID分量及新的假身份并更新，同时量子通信服务站Q_A生成会话密钥和随机数K_3A；

通过随机数密钥K_3A对两个用户端的假身份、N_A和会话密钥进行加密运算，再根据用户端A的公钥对K_3A进行加密得到ENC_A，组合得到TICKET_A，使用新的秘密分量随机数对用户端A的假身份和新的部分ID分量以及TICKET_A计算得到消息认证码MAC_A，将MAC_A、TICKET_A、用户端A的假身份及新的部分ID分量组成M_3A其发送到量子通信服务站Q_B；

步骤5：量子通信服务站Q_B接收到信息M_3A后，生成随机数密钥K_3B；通过随机数密钥K_3B，对两个用户端的假身份、N_B和会话密钥进行加密运算，再根据用户端B的公钥对K_3B进行加密得到ENC_B，组合得到TICKET_B，使用新的秘密分量随机数对用户端B的假身份和新的ID分量以及TICKET_B计算得到消息认证码 MAC_B，将MAC_B、TICKET_B、用户端B的假身份及新的部分ID分量组成M_3B；

将M_3A和M_3B作为M₃发送到用户端B。

步骤6：用户端B接收信息M₃并解密还原用户端B的身份，并验证MAC_B，验证通过后更新假身份及秘密分量，通过用户端B的私钥解密ENC_B得到随机数密钥K_3B，通过K_3B对TICKET_B解密得到会话密钥，并生成随机数N_C，并对N_A通过会话密钥计算消息验证码MAC_AB，将M_3A、使用会话密钥加密的N_C和MAC_AB一起作为M₄发送至客户端A；

步骤7：用户端A收到信息M₄后解密并还原用户端A的身份，并验证MAC_A，验证通过后更新假身份及秘密分量，通过用户端A的私钥对ENC_A解密得到随机数密钥K_3A，K_3A对TICKET_A解密得到会话密钥，使用会话密钥验证消息验证码 MAC_AB，确认一致后，用户端A对N_C通过会话密钥计算消息验证码MAC_AC，并将该消息验证码MAC_AC作为信息发送M₅至用户端B；

步骤8：用户端B接收到M₅后，使用会话密钥验证MAC_AC，确认一致后，用户端B对用户端A认证通过，且确认会话密钥，用户端A和用户端B进行安全通信。

上述通信方法中，信息M₃的处理还可以采用下述方法：通过随机数密钥K_3B，对两个用户端的假身份、N_B和会话密钥进行加密运算，再根据用户端B的公钥对K_3B进行加密得到ENC_B，组合得到TICKET_B，使用新的秘密分量随机数对M_3A、用户端B的假身份和新的部分ID分量以及TICKET_B计算得到消息认证码MAC′_B；将M_3A、MAC′_B、TICKET_B、用户端B的假身份及新的部分ID分量组成M₃发送到用户端B。

为了认证客户端的身份，量子通信服务站收到消息后，根据假身份搜索本地客户端信息列表中的假身份，如找不到对应假身份，则认证失败，流程结束；找到对应假身份后，根据当前时间戳判断与当前时间是否位于可允许误差范围内，如在允许误差范围内，则认证通过。

优选的，步骤1中，用户端的初始ID分量通过随机数、两个不相等的秘密分量随机数、用户端ID计算得到。

用户端的假身份是通过用户端ID和ID分量通过哈希运算得到的。

凑齐两组秘密分量通过计算恢复用户端ID，对用户端ID进行哈希运算得到公钥，公钥和系统管理私钥计算得到用户端私钥。

公钥对随机数密钥的加密结果中，还包括用于抗量子计算加密的偏移量，该偏移量通过用户端ID、量子通信服务站ID和秘密分量随机数进行哈希运算得到的。

有益效果：

1、本发明采用独立的密钥卡存储公钥和私钥，密钥卡为硬件隔离设备，被恶意软件或恶意操作窃取密钥的可能性大大降低；由于量子计算机无法得到用户公钥，因此也无法得到对应的私钥；同时，基于公私钥的抗量子计算签名和加密，即使在量子计算机存在的情况下，也难以被推导出私钥；因此该方案不容易被量子计算机破解。

2、本发明将ID进行隐藏，采用假ID的方式，实现不公开ID却可以完成用户端和服务器之间身份认证的目的，敌方无法通过通信与存储数据得到用户的真实ID，则敌方无法实现ID追踪，大大提高了通信的安全性。

3、本发明中，在流程中的不同场合使用偏移量，偏移量的使用对数据进行了加密，使得传输过程更加安全，具有抗量子计算的特性；偏移量都需要不公开的ID的参与，其他方将无法破解这些被偏移量保护的数据，采用本发明中的加密方式比普通加密方式的计算量更小，因此避免了使用普通加密方式来抵抗量子计算机的攻击，同时降低了各方的设备负担。

4、本发明对量子通信服务站与量子密钥卡之间的密钥管理机制进行改进，通过各个量子通信服务站与量子密钥卡对各个ID进行秘密共享，使得敌方盗取 ID信息更加困难。

附图说明

图1为本发明实施例提供的系统结构图；

图2为本发明中实施例1流程图；

图3为本发明中实施例2流程图。

具体实施方式

下面结合附图1对本方案做进一步的说明。

如附图1所示为本发明的一个实施例的结构示意图，一种基于秘密共享和时间戳的量子通信服务站密钥协商系统，用于用户端之间通过量子通信服务站的协商通信，包括密钥卡、多个用户端和量子通信服务站，不同量子通信服务站之间可以通过QKD方式共享站间量子密钥，用户端ID不公开、量子通信服务站对用户端ID通过秘密共享分成不同的秘密分量，分别存储在用户端密钥卡内和量子通信服务站中。

量子通信服务站包括：

量子服务中心，主要用于通过经典网络与用户侧的各用户端通信连接以及与其他量子通信服务站通信连接；经典网络包括但不限于电信网、互联网、广播电视网或者其他通信网络等。

量子密钥分发设备，主要用于通过QKD方式实现站间量子密钥的共享。

密钥颁发服务器，用于密钥卡颁发，是一台离线装置，由服务器管理员进行统一管理。

真随机数发生器，用于接收用户侧密钥管理服务器提出的申请用户侧密钥的请求，生成用户侧密钥，并发送给用户侧密钥管理服务器；此处采用的为真随机数发生器。其优选为量子真随机数发生器，也可以为基于电路的真随机数发生器、基于物理源的真随机数发生器以及其他种类的真随机发生器。

用户侧密钥管理服务器，存放、管理从真随机数发生器生成的用户侧密钥，可以接入可移动式的量子密钥卡，实现发卡、登记、拷贝用户侧密钥，还可以接收量子服务中心提出的申请用户侧密钥请求，发送相应长度的用户侧密钥给量子服务中心。

其中量子服务中心包括：身份认证服务器，票据许可服务器，还可根据需要设置其他服务器，例如数字签名服务器、签名验证服务器、加解密服务器等。

身份认证服务器用于实现用户在接受消息认证、数字签名等服务前与量子通信服务站的相互身份认证。身份认证服务器内部具有加密卡，用于存储身份认证协议，包括密钥生成算法、认证函数、加密传输协议。

票据许可服务器用于实现用户在获得与量子通信服务站的相互身份认证后，为用户分发其访问某一用户的申请的许可。

各量子通信服务站下配置有用户端，如用户端1-用户端n，本说明书中不同的服务器或其他装置在硬件上也可以根据需要进行整合。

用户端为接入量子通信服务站的设备，可为移动终端，或为固定终端。当为移动终端时，量子密钥卡优选为量子SD卡；当为固定终端时，量子密钥卡优选为USBkey或主机加密板卡。

当用户前往所在区域的量子通信服务站进行注册登记，获批后得到量子密钥卡(具有唯一的量子密钥卡ID)。量子密钥卡存储了用户注册登记信息，还内置有身份认证协议，至少包括密钥生成算法以及认证函数，或其他与身份认证相关的算法。

网络侧的各个量子通信服务站也相应的存有认证协议，若协议中各算法存在两种以上，量子密钥卡在与量子通信服务站通信时会将算法标号发送给量子通信服务站，供量子通信服务站选取。

量子密钥卡从智能卡技术上发展而来，是结合了量子物理学技术、密码学技术、智能卡技术的身份认证产品。量子密钥卡的内嵌芯片和芯片操作系统可以提供秘密信息的安全存储和密码算法等功能。由于其具有独立的数据处理能力和良好的安全性，量子密钥卡成为秘密信息的安全载体。每一个量子密钥卡都有硬件 PIN码保护，PIN码和硬件构成了用户使用量子密钥卡的两个必要因素。即所谓“双因子认证”，用户只有同时取得保存了相关认证信息的量子密钥卡和用户 PIN码，才可以登录系统。即使用户的PIN码被泄露，只要用户持有的量子密钥卡不被盗取，合法用户的身份就不会被仿冒；如果用户的量子密钥卡遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。

量子通信服务站(以下简称服务站)在密钥卡注册时，先由服务站选择椭圆曲线的域参数包含q，a，b，G和n。q代表有限域F_q的大小；变量a和b是椭圆曲线y²＝x³+ax+b的系数，这里4a³+27b²≠0；G是基点生成元。服务站生成椭圆曲线后，选择基点生成元G，满足它的阶是整数n。算法的相关参数 {q，a，b，G，n}写入到密钥卡指定区域。

本专利所用非对称算法为ID密码学。基于ID密码学的相关知识，服务站选取一个随机数作为系统管理私钥s，进一步生成系统管理公钥P_pub＝s*G。系统管理公钥P_pub存储在服务站的密钥颁发服务器的密钥卡中，密钥颁发服务器是服务器的一部分，由服务器管理员进行统一管理，而且为保证安全，是一台离线装置。系统管理公钥P_pub还通过QKD密钥加密发送给其他服务站成员，那些成员将得到的P_pub存储在己端的密钥卡高安全级别密码芯片内。

用户端的身份为ID，公钥为PK，私钥为SK。其中，公钥PK＝H(ID)，私钥 SK＝s*PK，其中s为系统管理私钥，H是HASH函数。

量子通信服务站对用户ID进行(2，2)的秘密共享。在对信息m进行(t，n)的秘密共享时，n为m拆分共享秘密的碎片数，t为恢复m的最小碎片数，2≤t≤n。

构造函数fID(x)＝ID+RAND*x。RAND为随机数，不同的ID，RAND也不同。

服务站根据匹配的密钥卡生成随机数x₁和x₂。其中，x₁与x₂不能相等，如相等则进行更换。

计算得到ID₁＝fID(x₁)＝ID+RAND*x₁，ID₂＝fID(x₂)＝ID+RAND*x₂

计算得到两个秘密即秘密分量为(x₁，ID₁)，(x₂，ID₂)。凑齐2组秘密即可恢复ID，具体步骤如下：

2组秘密求得拉格朗日参数

其中/>

求得

计算用户端PK＝H(ID)。由于本专利的用户ID不公开，敌方无法得到PK。计算假身份ID即PID＝HASH(ID||ID₁||ID₂)，将PID、秘密分量(x₁，ID₁)以及用户的公私钥PK和SK存入用户密钥卡中，同时存入的还有匹配的服务站的身份。

服务站存储有包括多组客户端信息的列表，每组客户端信息包括 PID||x₁||(x₂，ID₂)。

实施例1，局域网内的两个用户端的密钥协商：

本实施例中，用户端A、用户端B属于同一个量子通信服务站Q。流程图如图2所示。

步骤1：A→B。

用户端A获取当前时间戳timestampA，令x_0A＝timestampA

用户端A由匹配的密钥卡中读取x_1A，计算x′_1A＝HASH(x_1A||x_0A)， x′_2A＝HASH(x_0A||x_1A)。

将x_1A、x′_1A以及x′_2A进行比较，如果任意二者相等，则当前timestampA不满足更换PID的条件，此时需要重新获得timestampA并进行更换，查看是否满足更换PID的条件。

令N_A＝timestampA。使用用户端A的私钥对N_A、x′_1A以及x′_2A进行签名得到 SIGN(N_A||x′_1A||x′_2A，SK_A)。SIGN(m，k)表示以m为消息、以k为密钥的基于 ID密码学的签名，签名过程如下：

以计算SIGN(m，k)为例。取随机数r，计算参数u＝r*PK。计算哈希值 h＝H1(m，U)，H1是一个HASH函数。计算参数V＝(r+h)*SK。即 SIGN(m，SK)＝(U，V)＝(r*PK，(r+h)*SK)。由于本专利ID不公开且敌方无法得到PK，因此敌方无法通过U和PK得到随机数r。由于签名的对象m无法被敌方所知，因此敌方无法通过m得到h；由于敌方无法得到r和h，因此敌方无法通过V＝(r+h)*SK得到SK。综上所述，公开的数字签名能抵抗敌方量子计算机对基于身份的公钥密码学的攻击。

用户端A从密钥卡中读取PID_A和ID_1A，与N_A以及签名一起作为M₁发送至客户端B，M₁可表示为PID_A||ID_1A||N_A||SIGN(N_A||x′_1A||x′_2A，SK_A)。

步骤2：B→Q。

用户端B收到M₁后，获取当前时间戳timestampB，令x_0B＝timestampB。

用户端B由匹配的密钥卡中读取x_1B，计算x′_1B＝HASH(x_1B||x_0B)， x′_2B＝HASH(x_0B||x_1B)。

将x_1B、x′_1B以及x′_2B进行比较，如果任意二者相等，则当前timestampB 不满足更换PID的条件，此时需要重新获得timestampB并进行更换，查看是否满足更换PID的条件。

令N_B＝timestampB。使用用户端B的私钥对M₁、N_B、x′_1B以及x′_2B进行签名得到SIGN(M₁||N_B||x′_1B|x′_2B，SK_B)。

用户端B从密钥卡中读取PID_B和ID_1B，与M₁、N_B以及签名一起作为M₂发送至服务站Q，M₂可表示为M₁||PID_B||ID_1B||N_B||SIGN(M₁||N_B||x′_1B|x′_2B，SK_B)。

步骤3：Q→B。

服务站Q收到M₂后，根据PID_A和PID_B搜索本地客户端信息列表中的PID_A和 PID_B项，如找不到PID_A和PID_B，则认证失败，流程结束。

找到PID_A和PID_B后，根据N_A和N_B判断与当前时间是否位于可允许误差范围内。

判断通过后，根据(x_1A，ID_1A)和(x_2A，ID_2A)，按照上文所述方式恢复ID_A和 RAND_A；根据(x_1B，ID_1B)和(x_2B，ID_2B)，按照上文所述方式恢复ID_B和RAND_B。

计算x′_1A＝HASH(x_1A||x_0A)，x′_2A＝HASH(x_0A||x_1A)，进一步计算 ID′_1A＝ID_A+RAND_A*x′_1A，ID′_2A＝ID_A+RAND_A*x′_2A。

计算x′_1B＝HASH(x_1B||x_0B)，x′_2B＝HASH(x_0B||x_1B)，进一步计算 ID′_1B＝ID_B+RAND_B*x′_1B，ID′_2B＝ID_B+RAND_B*x′_2B。

计算PK_A＝H(ID_A)对M₁中签名进行验证。具体原理可见参考文献：《An Identity-Based Signature from Gap Diffie-Hellman Groups》。

签名验证成功则表明找到ID_A，认证成功。

对M₂中签名进行验证。签名验证方式与上文相同。签名验证成功则表明找到ID_B，认证成功。

服务站Q生成会话密钥K_AB。

接下来服务站Q计算用户端A的新的假身份 PID′_A＝HASH(ID_A||ID′_1A||ID′_2A)，将PID_A更新为PID′_A，x_1A更新为x′_1A，(x_2A，ID_2A) 更新为(x′_2A，ID′_2A)。计算用户端B的新的假身份为 PID′_B＝HASH(ID_B||ID′_1B||ID′_2B)，将PID_B更新为PID′_B，x_1B更新为x′_1B，(x_2B，ID_2B)) 更新为(x′_2B，ID′_2B)。因为ID没有存储于服务站存储器，仅在执行身份认证流程时短暂存在于服务站内存中，因此单独对其进行断电拆解无法获取ID。

令M_{3_0A}＝PID_A||ID′_2A，M₃__1A＝x′_1A||x′_2A

令M_{3_0B}＝PID_B||ID′_2B，M_{3_1B}＝x′_1B||x′_2B

服务站Q生成随机数密钥K_3A对PID_A、N_A、PID_B以及K_AB进行加密，再根据 PK_A对K_3A进行加密，组合成TICKET_A可表示为 {PID_A||N_A||PID_B||K_AB}K_3A||ENC(K_3A，PK_A)}。其中，ENC(m，pk)表示以m为消息、以pk为公钥的基于ID密码学的加密，具体原理可见参考文献《Identity-Based Encryption from the Weil Pairing》。ENC(K_3A，PK_A)＝(QAU-H(ID_A||ID_Q||x_1A)，QAV)，此处H(ID_A||ID_Q||x_1A)为偏移量，效果相当于加密，用于抗量子计算。K_3A用公钥PK_A进行加密，只能用对应的私钥SK_A进行解密，其他人无法读取。

服务站Q生成随机数密钥K_3B对PID_B、N_B、PID_A以及K_AB进行加密，再根据 PK_B＝H(ID_B)得PK_B，加密K_3B组合成 TICKET_B＝{PID_B||N_B||PID_A||K_AB}K_3B||ENC(K_3B，PK_B)}

ENC(K_3B，PK_B)＝(QBU-H(ID_B||ID_Q||x_1B)，QBV)，此处H(ID_B||ID_Q||x_1B)为偏移量，效果相当于加密，用于抗量子计算。K_3B用公钥PK_B进行加密，只能用对应的私钥SK_B进行解密，其他人无法读取。

使用M_{3_1A}对M_{3_0A}以及TICKET_A计算消息认证码得到MAC(M_{3_0A}||TICKET_A， M_{3_1A})，MAC(m，k)表示以m为消息，以k为密钥的消息认证码。连同M_{3_0A}和 TICKET_A一起组成M_3A，可表示为 M_3A＝{M_{3_0A}||TICKET_A||MAC(M_{3_0A}||TICKET_A，M_{3_1A})}。

使用M_{3_1B}对M_{3_0B}以及TICKET_B计算消息认证码得到 MAC(M_{3_0B}||TICKET_B，M_{3_1B}，连同M_{3_0B}和TICKET_B一起组成M_3B，M_3B＝{M_{3_0B}||TICKET_B||MAC(M_{3_1B}||TICKET_B，M_{3_1B})}。

将M_3A和M_3B作为M₃发送到用户端B，可表示为M₃＝M_3A||M_3B。

步骤4：B→A。

用户端B收到M₃后，根据(x_1B，ID_1B)和(x′_2B，ID′_2B)，按照上文所述方式恢复ID_B和RAND_B。根据x′_1B计算得到ID′_1B＝ID_B+RAND_B*x′_1B

使用x′_1B||x′_2B′对M_3B中消息认证码进行验证。验证成功则表明ID_B已被服务站认可，认证成功。如验证失败，或没有收到确认消息，则认证失败。

用户端B计算新的假身份PID′_B＝HASH(ID_B||ID′_1B||ID′_2B)，将PID_B更新为PID′_B，(x_1B，ID_1B)更新为(x′_1B，ID′_1B)。因为ID没有存储于用户端密钥卡存储器，仅在执行身份认证流程时短暂存在于用户端密钥卡内存中，因此单独对其进行断电拆解无法获取ID。

用户端B使用私钥SK_B对TICKET_B中ENC(K_3B，PK_B)进行解密，计算 H(ID_B||ID_Q||x_1B)，对QBU-H(ID_B||ID_Q||x_1B)加上H(ID_B||ID_Q||x_1B)恢复出 (QBU，QBV)，进一步解密得到K_3B。使用K_3B对TICKET_B进行解密得到会话密钥 K_AB。

用户端B生成随机数N_C，使用K_AB加密N_C，并对N_A计算消息认证码得到MAC (N_A，K_AB)。将M_3A、加密的N_C以及该消息认证码一起作为M₄发送至用户端A。 M₄可表示为M_3A||{N_C}K_AB||MAC(N_A，K_AB)。

步骤5：A→B。

用户端A收到M₄后，根据(x_1A，ID_1A)和(x′_2A，ID′_2A)，按照上文所述方式恢复ID_A和RAND_A。根据x′_1A计算得到ID′_1A＝ID_A+RAND_A*x′_1A。

使用x′_1A||x′_2A′对M_3A中消息认证码进行验证。验证成功则表明ID_A已被服务站认可，认证成功。如验证失败，或没有收到确认消息，则认证失败。

用户端A计算新的假身份PID′_A＝HASH(ID_A||ID′_1A||ID′_2A)，将PID_A更新为PID′_A，(x_1A，ID_1A)更新为(x′_1A，ID′_1A)。因为ID没有存储于用户端密钥卡存储器，仅在执行身份认证流程时短暂存在于用户端密钥卡内存中，因此单独对其进行断电拆解无法获取ID。

用户端A使用私钥SK_A对TICKET_A中ENC(K_3A，PK_A)进行解密，计算 H(ID_A||ID_Q||x_1A)，对QAU-H(ID_A||ID_Q||x_1A)加上H(ID_A||ID_Q||x_1A)恢复出(QAU，QAV)，进一步解密得到K_3A。使用K_3A对TICKET_A进行解密得到会话密钥 K_AB。

用户端A使用K_AB验证MAC(N_A，K_AB)，确认N_A、K_AB的一致性。至此，用户端A对用户端B认证通过，且确认协商密钥为K_AB。

用户端A对N_C计算消息认证码得到MAC(N_C，K_AB)。将该消息认证码作为 M₅发送至用户端B。

用户端B收到M₅后，使用K_AB验证MAC(N_C，K_AB)，确认N_C、K_AB的一致性。至此，用户端B对用户端A认证通过，且确认协商密钥为K_AB。

后续用户端A和用户端B进行安全通信，利用K_AB进行消息加解密和消息认证。可将K_AB拆分为K_ABE和K_ABA，分别作为消息加解密和消息认证密钥。

实施例2，广域网内的两个用户端的密钥协商：

如图3所示，本实施例中，用户端A、用户端B不属于同一个量子通信服务站。其中，用户端A归属于量子通信服务站Q_A，同理用户端B归属于量子通信服务站Q_B。

步骤1：A→B。

用户端A获取当前时间戳timestampA，令x_0A＝timestampA

用户端A由匹配的密钥卡中读取x_1A，计算x′_1A＝HASH(x_1A||x_0A)， x′_2A＝HASH(x_0A||x_1A)。

将x_1A、x′_1A以及x′_2A进行比较，如果任意二者相等，则当前timestampA不满足更换PID的条件，此时需要重新获得timestampA并进行更换，查看是否满足更换PID的条件。

令N_A＝timestampA。使用用户端A的私钥对N_A、x′_1A以及x′_2A进行签名得到 SIGN(N_A||x′_1A||x′_2A，SK_A)。

用户端A从密钥卡中读取PID_A和ID_1A，与N_A以及签名一起作为M₁发送至客户端B，M₁可表示为PID_A||ID_1A||N_A||SIGN(N_A||x′_1A||x′_2A，SK_A)。

步骤2：B→Q_B。

用户端B收到M₁后，获取当前时间戳timestampB，令x_0B＝timestampB。

用户端B由匹配的密钥卡中读取x_1B，计算x′_1B＝HASH(x_0B||x_1B)， x′_2B＝HASH(x_0B||x_1B)。

将x_1B、x′_1B以及x′_2B进行比较，如果任意二者相等，则当前timestampB 不满足更换PID的条件，此时需要重新获得timestampB并进行更换，查看是否满足更换PID的条件。

令N_B＝timestampB。使用用户端B的私钥对M₁、N_B、x′_1B以及x′_2B进行签名得到SIGN(M₁||N_B||x′_1B|x′_2B，SK_B)。

用户端B从密钥卡中读取PID_B和ID_1B，与M₁、N_B以及签名一起作为M₂发送至服务站Q_B，M₂可表示为M₁||PID_B||ID_1B||N_B||SIGN(M₁||N_B||x′_1B|x′_2B，SK_B)。

步骤3：Q_B→Q_A。

服务站Q_B收到M₂后，根据PID_B搜索本地客户端信息列表中的PID_B项，如找不到PID_B，则认证失败，流程结束。

找到PID_B后，根据N_B判断与当前时间是否位于可允许误差范围内。

判断通过后，根据(x_1B，ID_1B)和(x_2B，ID_2B)，按照上文所述方式恢复ID_B和 RAND_B。

计算x′_1B＝HASH(x_1B||x_0B)，x′_2B＝HASH(x_0B||x_1B)，进一步计算 ID′_1B＝ID_B+RAND_B*x′_1B，ID′_2B＝ID_B+RAND_B*x′_2B。

对M₂中签名进行验证。签名验证方式与上文相同。签名验证成功则表明找到ID_B，认证成功。

量子通信服务站Q_B生成会话密钥K_AB，与M₁、PID_B一起作为M′₃发送至量子通信服务站Q_A，M′₃＝{M₁||PID_B||K_AB}通过QKD密钥K_Q对M′₃进行保护，即利用 K_Q进行消息加解密和消息认证。

步骤4：Q_A→Q_B。

服务站Q_A通过QKD密钥K_Q解密得到M′₃。

服务站Q_A根据PID_A搜索本地客户端信息列表中的PID_A项，如找不到PID_A，则认证失败，流程结束。

找到PID_A后，根据N_A判断与当前时间是否位于可允许误差范围内。

判断通过后，根据(x_1A，ID_1A)和(x_2A，ID_2A)，按照上文所述方式恢复ID_A和 RAND_A。

计算x′_1A＝HASH(x_1A||x_0A)，x′_2A＝HASH(x_0A||x_1A)，进一步计算 ID′_1A＝ID_A+RAND_A*x′_1A，ID′_2A＝ID_A+RAND_A*x′_2A。

对M₁中签名进行验证。签名验证方式与上文相同。签名验证成功则表明找到ID_A，认证成功。

接下来服务站Q_A计算用户端A的新的假身份 PID′_A＝HASH(ID_A||ID′_1A||ID′_2A)，将PID_A更新为PID′_A，x_1A更新为x′_1A，(x_2A，ID_2A) 更新为(x′_2A，ID′_2A)。因为ID没有存储于服务站存储器，仅在执行身份认证流程时短暂存在于服务站内存中，因此单独对其进行断电拆解无法获取ID。

令M_{3A_0}＝PID_A||ID′_2A，M_{3A_1}＝x′_1A||x′_2A。服务站Q_A生成随机数密钥K_3A对 PID_A、N_A、PID_B以及K_AB进行加密，再根据PK_A＝H(ID_A)得到PK_A并对K_3A进行加密，组合成TICKET_A可表示为{PID_A||N_A||PID_B||K_AB}K_3A||ENC(K_3A，PK_A)}。其中， ENC(m，pk)表示以m为消息、以pk为公钥的基于ID密码学的加密， ENC(K_3A，PK_A)＝(QAU-H(ID_A||ID_QA||x_1A)，QAV)，此处H(ID_A||ID_QA||x_1A) 为偏移量，效果相当于加密，用于抗量子计算。K_3A用公钥PK_A进行加密，只能用对应的私钥SK_A进行解密，其他人无法读取。

使用M_{3A_0}对M_{3A_1}以及TICKET_A计算消息认证码得到 MAC(M_{3A_0}||TICKET_A，M_{3A_1})。连同M_{3A_0}和TICKET_A一起组成M_3A并发送到量子通信服务站Q_B，可表示为M_3A＝{M_{3A_0}||TICKET_A||MAC(M_{3A_0}||TICKET_A， M_{3A_1})}。通过QKD密钥K_Q对M_3A进行保护，即利用K_Q进行消息加解密和消息认证。

步骤5：Q_B→B。

服务站Q_B收到M_3A后，计算新的假身份PID′_B＝HASH(ID_B||ID′_1B||ID′_2B)，将PID_B更新为PID′_B，x_1B更新为x′_1B，(x_2B，ID_2B)更新为(x′_2B，ID′_2B)。因为ID 没有存储于服务站存储器，仅在执行身份认证流程时短暂存在于服务站内存中，因此单独对其进行断电拆解无法获取ID。

令M_{3B_0}＝PID_B||ID′_2B，M_3B_₁＝x′_1B||x′_2B。服务站Q_B生成随机数密钥K_3B对 PID_B、N_B、PID_A以及K_AB进行加密，再根据PK_B＝H(ID_B)得到PK_B并对K_3B进行加密，组合成TICKET_B可表示为{PID_B||N_B||PID_A||K_AB}K_3B||ENC(K_3B，PK_B)}。 ENC(K_3B，PK_B)＝(QBU-H(ID_B||ID_QB||x_1B)，QBV)，此处H(ID_B||ID_QB||x_1B) 为偏移量，效果相当于加密，用于抗量子计算。K_3B用公钥PK_B进行加密，只能用对应的私钥SK_B进行解密，其他人无法读取。

服务站Q_B使用M_{3B_1}对M_3A、M_{3B_0}以及TICKET_B计算消息认证码得到 MAC(M_3A|||M_{3B_0}||TICKET_B，M_{3B_1})，同M_3A、M_{3B_0}和TICKET_B组成M_3B发送到量子通信服务站Q_B， M₃＝{M_3A|M_{3B_0}||TICKET_B||MAC(M_3A|||M_{3B_0}||TICKET_B，M_{3B_1})}。

步骤6：B→A。

用户端B收到M₃后，根据(x_1B，ID_1B)和(x′_2B，ID′_2B)，按照上文所述方式恢复 ID_B和RAND_B。根据x′_1B计算得到ID′_1B＝ID_B+RAND_B*x′_1B

使用x′_1B|x′_2B’对M₃中消息认证码进行验证。验证成功则表明ID_B已被服务站认可，认证成功。如验证失败，或没有收到确认消息，则认证失败。

用户端B计算新的假身份PID′_B＝HASH(ID_B||ID′_1B|ID′_2B)，将PID_B更新为PID′_B，(x_1B，ID_1B)更新为(x′_1B，ID′_1B)。因为ID没有存储于用户端密钥卡存储器，仅在执行身份认证流程时短暂存在于用户端密钥卡内存中，因此单独对其进行断电拆解无法获取ID。

用户端B使用私钥SK_B对TICKET_B中ENC(K_3B，PK_B)进行解密，计算 H(ID_B||ID_QB||x_1B)，对QBU-H(ID_B||ID_QB||x_1B)加上 H(ID_B||ID_QB||x_1B)恢复出(QBU，QBV)，进一步解密得到K_3B。使用K_3B对 TICKET_B进行解密得到会话密钥K_AB。

用户端B生成随机数N_C，使用K_AB加密N_C，并对N_A计算消息认证码得到MAC (N_A，K_AB)。将M_3A、加密的N_C以及该消息认证码一起作为M₄发送至用户端A。 M₄可表示为M_3A||{N_C}K_AB|MAC(N_A，K_AB)。

步骤7：A→B。

用户端A收到M₄后，根据(x_1A，ID_1A)和(x′_2A，ID′_2A)，按照上文所述方式恢复 ID_A和RAND_A。根据x′_1A计算得到ID′_1A＝ID_A+RAND_A*x′_1A

使用x′_1A|x′_2A对M_3A中消息认证码进行验证。验证成功则表明ID_A已被服务站认可，认证成功。如验证失败，或没有收到确认消息，则认证失败。

用户端A计算新的假身份PID′_A＝HASH(ID_A||ID′_1A|ID′_2A)，将PID_A更新为PID′_A，(x_1A，ID_1A)更新为(x′_1A，ID′_1A)。因为ID没有存储于用户端密钥卡存储器，仅在执行身份认证流程时短暂存在于用户端密钥卡内存中，因此单独对其进行断电拆解无法获取ID。

用户端A使用私钥SK_A对TICKET_A中ENC(K_3A，PK_A)进行解密，计算 H(ID_A||ID_QA||x_1A)，对QAU-H(ID_A||ID_QA||x_1A)加上 H(ID_A||ID_QA||x_1A)恢复出(QAU，QAV)，进一步解密得到K_3A。使用K_3A对 TICKET_A进行解密得到会话密钥K_AB。

用户端A使用K_AB验证MAC(N_A，K_AB)，确认N_A、K_AB的一致性。至此，用户端A对用户端B认证通过，且确认协商密钥为K_AB。

用户端A对N_C计算消息认证码得到MAC(N_C，K_AB)。将该消息认证码作为M₅发送至用户端B。

用户端B收到M₅后，使用K_AB验证MAC(N_C，K_AB)，确认N_C，、K_AB的一致性。至此，用户端B对用户端A认证通过，且确认协商密钥为K_AB。

后续用户端A和用户端B进行安全通信，利用K_AB进行消息加解密和消息认证。可将K_AB拆分为K_ABE和K_ABA，分别作为消息加解密和消息认证密钥。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种基于秘密共享和时间戳的量子通信服务站密钥协商系统，用于用户端之间通过量子通信服务站的协商通信，其特征在于：包括密钥卡、多个用户端和量子通信服务站，不同量子通信服务站之间通过QKD方式共享站间量子密钥，用户端ID不公开、量子通信服务站对用户端ID通过秘密共享生成不同的秘密分量，分别存储在用户端密钥卡内和量子通信服务站中；

所述量子通信服务站包括量子服务中心、量子密钥分发设备、密钥颁发服务器、用户侧密钥管理服务器、真随机数发生器，量子通信服务站之间通过量子密钥分发设备以QKD的方式实现站间量子密钥共享；

用户端为接入量子通信服务站的设备，配备密钥卡，密钥卡内置有身份认证协议，各密钥卡均设有唯一的密钥卡身份信息；所述密钥卡内存储有用户端的公钥、私钥、假身份、由量子通信服务站生成用户端ID的秘密分量以及匹配的量子通信服务站的身份信息IDQ；

用户端的身份为ID，公钥为PK，私钥为SK，其中，公钥PK＝H(ID)，私钥SK＝s*PK，其中s为系统管理私钥，H是HASH函数；用户端的假身份是通过用户端ID和ID分量通过哈希运算得到的；用户端的ID分量通过随机数、两个不相等的秘密分量随机数、用户端ID计算得到；

量子通信服务站内存储多组用户端信息的列表，每组用户端信息包括假身份PID以及ID的部分秘密分量；

量子通信服务站选取一个随机数作为系统管理私钥，对系统管理私钥进行计算生成系统管理公钥。

2.根据权利要求1所述的基于秘密共享和时间戳的量子通信服务站密钥协商系统，其特征在于：量子通信服务站下配置有用户端，各个量子通信服务站间存有认证协议，所述量子通信服务站包括：

量子服务中心，用于通过经典网络与用户侧的各用户端通信连接以及与其他量子通信服务站通信连接；

量子密钥分发设备,用于通过QKD方式实现站间量子密钥的共享；

密钥颁发服务器,用于密钥卡颁发，是一台离线装置,由服务器管理员进行统一管理，密钥颁发服务器的密钥卡中存储有系统管理公钥；

真随机数发生器，用于接收用户侧密钥管理服务器提出的申请用户侧密钥的请求，生成用户侧密钥，并发送给用户侧密钥管理服务器；

用户侧密钥管理服务器，存放、管理从真随机数发生器生成的用户侧密钥，接收量子服务中心提出的申请用户侧密钥请求，发送相应长度的用户侧密钥给量子服务中心，接入量子密钥卡，实现发卡、登记、拷贝用户侧密钥。

3.根据权利要求2所述的基于秘密共享和时间戳的量子通信服务站密钥协商系统，其特征在于：所述量子服务中心包括：身份认证服务器，票据许可服务器；

身份认证服务器用于实现用户在接受消息认证、数字签名服务前与量子通信服务站的相互身份认证；内部具有加密卡，用于存储身份认证协议，包括密钥生成算法、认证函数、加密传输协议；

票据许可服务器用于实现用户在获得与量子通信服务站的相互身份认证后，为用户分发其访问其他用户申请的许可。

4.基于权利要求1所述系统的一种基于秘密共享和时间戳的量子通信服务站密钥的协商方法，其特征在于：当用户端配置在同一个量子通信服务站下时，包括如下步骤：

步骤1：用户端A向用户端B发起密钥协商请求，用户端A将信息M₁发送给用户端B；M₁中包含当前时间戳N_A、用户端A的假身份、ID分量以及用户端A的私钥对N_A、用户端A的两个新的秘密分量随机数进行的签名；

步骤2：用户端B接收到信息M₁，将信息M₂发送给量子通信服务站Q，M₂中包含M₁、当前时间戳N_B、用户端B的假身份、ID分量以及用户端B的私钥对M₁、N_B、用户端B的两个新的秘密分量随机数进行的签名；

步骤3：量子通信服务站Q接收信息M₂，分别利用用户端的两组秘密分量恢复用户端的真实身份，从而获得两个用户端的公钥；再采用哈希运算得到两组新的秘密分量随机数，并对M₁和M₂进行签名验证，验证通过后，进一步计算得到两个用户端的新ID分量以及两个新的假身份并分别更新；

量子通信服务站Q生成会话密钥和随机数密钥K_3A；

通过随机数密钥K_3A对两个用户端的假身份、N_A和会话密钥进行加密运算，再根据用户端A的公钥对K_3A进行加密得到ENC_A，组合得到TICKET_A，使用新的秘密分量随机数对用户端A的假身份和新的部分ID分量以及TICKET_A计算得到消息认证码MAC_A；

量子通信服务站Q生成会话密钥和随机数密钥K_3B；

通过随机数密钥K_3B对两个用户端的假身份、N_B和会话密钥进行加密运算，再根据用户端B的公钥对K_3B进行加密得到ENC_B，组合得到TICKET_B，使用新的秘密分量随机数对用户端B的假身份和新的部分ID分量以及TICKET_B计算得到消息认证码MAC_B；

量子通信服务器把M_3A和M_3B组合成M₃发送到用户端B；

M_3A包括MAC_A、用户端A的假身份、新的部分ID分量、TICKET_A；M 3B包括MAC B、用户端B的假身份、新的部分ID分量、TICKET_B；

步骤4：用户端B接收信息M₃并解密还原用户端B的身份，并验证MAC_B，验证通过后更新假身份及秘密分量，通过用户端B的私钥解密ENC_B得到随机数密钥K_3B，通过K_3B对TICKET_B解密得到会话密钥，并生成随机数N_C，并对N_A通过会话密钥计算消息验证码MAC_AB，将M_3A、使用会话密钥加密的N_C和MAC_AB一起作为M₄发送至客户端A；

步骤5：用户端A对信息M₄并解密并还原用户端A的身份，并验证MAC_A，验证通过后更新假身份及秘密分量，通过用户端A的私钥解密ENC_A得到随机数密钥K_3A，K_3A对TICKET_A解密得到会话密钥，使用会话密钥验证消息验证码MAC_AB，确认一致后，用户端A对N_C通过会话密钥计算消息验证码MAC_AC，并将该消息验证码MAC_AC作为信息发送M₅至用户端B；

步骤6：用户端B接收到M₅后，使用会话密钥验证MAC_AC，确认一致后，用户端B对用户端A认证通过，且确认会话密钥，用户端A和用户端B进行安全通信。

5.基于权利要求1所述系统的一种基于秘密共享和时间戳的量子通信服务站密钥的协商方法，其特征在于：当用户端属于不同的量子通信服务站时，包括如下步骤：

步骤1：用户端A向用户端B发起密钥协商请求，用户端A将信息M₁发送给用户端B；M₁中包含当前时间戳N_A、用户端A的假身份、ID分量，以及用户端A的私钥对N_A、用户端A的两个新的秘密分量随机数进行的签名；

步骤2：用户端B接收到信息M₁，并将信息M₂发送给量子通信服务站Q_B，M₂中包含M₁、当前时间戳N_B、用户端B的假身份和ID分量，以及用户端B的私钥对M₁、N_B、用户端B的两个新的秘密分量随机数进行的签名；

步骤3：量子通信服务站Q_B接收信息M₂，利用用户端B的秘密分量恢复用户端B的真实身份，从而获得用户端B的公钥；再采用哈希运算得到两组新的秘密分量随机数，并对M₂进行签名验证，验证通过后，进一步计算得到新的ID分量，同时量子通信服务站Q_B生成会话密钥，将会话密钥与M₁、用户端B的假身份一起作为M′₃发送至量子通信服务站Q_A，通过QKD密钥进行M′₃的加密、解密和消息认证；

步骤4：量子通信服务站Q_A通过QKD密钥解密M′₃，利用用户端A的秘密分量恢复用户端A的真实身份，从而获得用户端A的公钥；再采用哈希运算得到两组新的秘密分量随机数，并对M₁中的签名进行验证；验证通过后，进一步计算得到新的ID分量及新的假身份并更新，同时量子通信服务站Q_A生成会话密钥和随机数K_3A；

通过随机数密钥K_3A对两个用户端的假身份、N_A和会话密钥进行加密运算，再根据用户端A的公钥对K_3A进行加密得到ENC_A，组合得到TICKET_A，使用新的秘密分量随机数对用户端A的假身份和新的部分ID分量以及TICKET_A计算得到消息认证码MAC_A，将MAC_A、TICKET_A、用户端A的假身份及新的部分ID分量组成M_3A其发送到量子通信服务站Q_B；

步骤5：量子通信服务站Q_B接收到信息M_3A后，生成随机数密钥K_3B；通过随机数密钥K_3B，对两个用户端的假身份、N_B和会话密钥进行加密运算，再根据用户端B的公钥对K_3B进行加密得到ENC_B，组合得到TICKET_B，使用新的秘密分量随机数对M_3A、用户端B的假身份和新的部分ID分量以及TICKET_B计算得到消息认证码MAC_B；将MAC_B、TICKET_B、用户端B的假身份及新的ID分量组成M_3B；

将M_3A和M_3B作为M₃发送到用户端B；

步骤6：用户端B接收信息M₃并解密还原用户端B的身份，并验证MAC_B，验证通过后更新假身份及秘密分量，通过用户端B的私钥解密ENC_B得到随机数密钥K_3B，通过K_3B对TICKET_B解密得到会话密钥，并生成随机数N_C，并对N_A通过会话密钥计算消息验证码MAC_AB，将M_3A、使用会话密钥加密的N_C和MAC_AB一起作为M₄发送至客户端A；

步骤7：用户端A收到信息M₄后解密并还原用户端A的身份，并验证MAC_A，验证通过后更新假身份及秘密分量，通过用户端A的私钥对ENC_A解密得到随机数密钥K_3A，K_3A对TICKET_A解密得到会话密钥，使用会话密钥验证消息验证码MAC_AB，确认一致后，用户端A对N_C通过会话密钥计算消息验证码MAC_AC，并将该消息验证码MAC_AC作为信息发送M₅至用户端B；

步骤8：用户端B接收到M₅后，使用会话密钥验证MAC_AC，确认一致后，用户端B对用户端A认证通过，且确认会话密钥，用户端A和用户端B进行安全通信。

6.根据权利要求4或5所述的基于秘密共享和时间戳的量子通信服务站密钥协商方法，其特征在于：信息M₃的处理还采用下述方法：通过随机数密钥K_3B，对两个用户端的假身份、N_B和会话密钥进行加密运算，再根据用户端B的公钥对K_3B进行加密得到ENC_B，组合得到TICKET_B，使用新的秘密分量随机数对M_3A、用户端B的假身份和新的部分ID分量以及TICKET_B计算得到消息认证码MAC′_B；将M_3A、MAC′_B、TICKET_B、用户端B的假身份及新的部分ID分量组成M₃发送到用户端B。

7.根据权利要求4或5所述的基于秘密共享和时间戳的量子通信服务站密钥的协商方法，其特征在于：步骤3中，量子通信服务站收到消息后，根据假身份搜索本地客户端信息列表中的假身份，如找不到对应假身份，则验证失败，流程结束；找到对应假身份后，根据当前时间戳判断与当前时间是否位于允许误差范围内，如在允许误差范围内，则验证通过。

8.根据权利要求4或5所述的基于秘密共享和时间戳的量子通信服务站密钥协商方法，其特征在于：步骤1中，用户端的初始ID分量通过随机数、两个不相等的秘密分量随机数、用户端ID计算得到；

用户端的假身份是通过用户端ID和ID分量通过哈希运算得到的。

9.根据权利要求4或5所述的基于秘密共享和时间戳的量子通信服务站密钥协商方法，其特征在于：凑齐两组秘密分量通过计算恢复用户端ID，对用户端ID进行哈希运算得到公钥，公钥和系统管理私钥计算得到用户端私钥。

10.根据权利要求4或5所述的基于秘密共享和时间戳的量子通信服务站密钥协商方法，其特征在于：公钥对随机数密钥的加密结果中，还包括用于抗量子计算加密的偏移量，该偏移量通过用户端ID、量子通信服务站ID和秘密分量随机数进行哈希运算得到的。

Images