CN111245611A - 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统 - Google Patents

Abstract

本发明公开了一种基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统，方法中包括可穿戴设备通过路由装置向S服务器发送身份认证的请求，路由装置作为中间单元为可穿戴设备和S服务器传递消息，S服务器接收和验证请求，并通过路由装置向可穿戴设备发送认证通知，在传送消息中采用RSA加密、消息认证码加密和ECIES三种加密方式，系统成员包括可穿戴设备、路由装置和S服务器，所有成员均设有唯一的密钥卡。本发明通过对用户密钥进行秘密共享，在密钥卡内只存储密钥分量，同时增加可穿戴设备向S服务器身份认证的过程，保护用户及密钥卡的权益，提高整个系统的安全性。

Description

基于秘密共享和可穿戴设备的抗量子计算身份认证方法及 系统

技术领域

本发明涉及身份认证系统领域，尤其涉及一种基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统。

背景技术

身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。

随着移动互联网的迅速发展，企业事业单位内部业务网站也逐步走向移动终端方向发展，为了便于工作人员随时了解工作内容，用户希望能够通过便携的移动终端来访问单位内部网站服务器。若身份认证存在漏洞会导致数据的泄露，会为企业带来不可挽回的后果。因此，安全可靠的身份认证方法是非常必要的。现有的对移动终端的认证方式主要有：通过账号和密码登录认证、通过动态口令认证、通过将设备标识信息与认证服务器中预存的用户设备信息比对进行认证等，但账户密码、动态口令和设备ID都存在被截获泄露的可能。随着可穿戴设备的普及，已有很多将可穿戴设备引入到身份认证技术中的相关技术，有将普通密码技术与可穿戴设备引入到身份认证技术中的相关技术，有将生物识别技术与可穿戴设备的结合认证技术等。

但是，现有的这些可穿戴设备身份认证方式在信息传输过程中往往使用的都是基于数学算法复杂度的加密方式，如当今主流的非对称加密算法，如RSA加密算法，大多数都是基于大整数的因式分解或者有限域上的离散对数的计算这两个数学难题。他们的破解难度也就依赖于解决这些问题的效率。传统计算机上，要求解这两个数学难题，花费时间为指数时间(即破解时间随着公钥长度的增长以指数级增长)，这在实际应用中是无法接受的。而为量子计算机量身定做的秀尔算法可以在多项式时间内(即破解时间随着公钥长度的增长以k次方的速度增长，其中k为与ID长度无关的常数)进行整数因式分解或者离散对数计算，从而为RSA、离散对数加密算法的破解提供可能。

在公布号为CN110247881A的基于可穿戴设备的身份认证方法及系统在专利中，采用一种基于量子密钥分配网络的一种用户终端访问第三方目标服务器的身份认证方法，向第三方目标服务器提供认证服务接口，以代替传统的基于数学算法的认证方式，采用量子密钥加密，提升了身份认证过程中的安全性；在身份认证过程中加入了可穿戴设备，相比于用户终端，可穿戴设备与具体使用者的身份绑定更加紧密，安全性更高；另外，可穿戴设备使用方便，能有效提高用户体验；发明中关键认证环节被量子密码所保护，因此具有极强的抗冒充身份、抗破译的功能。但是该认证方式存在下面的问题：

1.密钥卡丢失或者被窃取后，可能被暴力破解等方式获取到内部的密钥，如果非对称密钥系统的私钥被敌方获取，则将丧失该私钥所对应的所有权益，如果非对称密钥系统的公钥被敌方获取，假如敌方拥有量子计算机，则将能够通过公钥破解出私钥，同样将丧失该私钥所对应的所有权益；

2.密钥卡丢失或者被窃取后，可能被直接拿来使用，并对用户账号所对应的权益造成损害，例如对用户账号转出所有权益，造成权益被盗。

发明内容

发明目的：针对现有技术中密钥卡存在丢失或被暴力破解获取内部密钥及身份权益的问题，本发明公开了了一种基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统，通过对用户密钥进行秘密共享，在密钥卡内只存储密钥分量，同时增加可穿戴设备向S服务器身份认证的过程，保护用户及密钥卡的权益，提高整个系统的安全性。

技术方案：本发明公开了一种基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统，所述方法中，实施方为可穿戴设备，所述可穿戴设备包括：

步骤A1、可穿戴设备作为交易发起方，向其对应的路由装置发送第一已签名交易：

可穿戴设备取出自身密钥卡内第一永久公钥分量、第一永久私钥分量、第一临时公钥分量、第一临时私钥分量、第二永久公钥分量、第二临时公钥分量、临时公钥哈希、第二随机数哈希和第一RSA秘密值，可穿戴设备生成新第一临时公钥分量和新第一临时私钥分量，计算获得第一偏移量和第一ECIES偏移加密值；

将当前时间戳、可穿戴设备自身身份、可穿戴设备对应的路由设备身份、请求认证信息和新第一临时公钥分量哈希作为第一消息，利用所述第一消息和临时公钥哈希生成第一过程量，利用所述第一永久公钥分量、第一永久私钥分量和第一过程量生成第一签名值，利用所述第一消息、第一ECIES偏移加密值和第一RSA秘密值生成第一未签名交易，将所述第一签名值填入第一未签名交易得到第一已签名交易，将所述第一已签名交易发送给交易发起方对应的路由装置；

步骤A2、可穿戴设备接收并验证路由装置发送的第二认证通知：

利用所述临时公钥哈希和获取的第二认证内容计算第二过程量，利用所述第二临时公钥分量、第二永久公钥分量和第二过程量计算第三中间值，与所述从第二认证通知中取出的第四签名值与基点运算得到的第四中间值进行比较验证，相等则所述第二认证通知验证成功；

利用所述第二随机数和第一消息哈希计算第二偏移量，利用所述第二偏移量和第二ECIES偏移加密值计算第二ECIES加密值，利用所述第一永久私钥分量解密第二ECIES加密值，获取第二ECIES密文；

步骤A3、可穿戴设备更新自身密钥卡：可穿戴设备将第一临时公钥分量、第一临时私钥分量、第二临时公钥分量和临时公钥哈希更新为新第一临时公钥分量、新第一临时私钥分量、新第二临时公钥分量和新临时公钥哈希。

优选地，所述步骤A1中第一偏移量和第一ECIES偏移加密值的计算方法为：利用第一永久公钥分量、第一临时公钥分量和新第一临时公钥分量作为第一ECIES密文，利用第二临时公钥分量对第一ECIES密文进行ECIES进行加密获得第一ECIES加密值，第一ECIES加密值包括第一ECIES加密值分量一，利用第二随机数哈希和当前时间戳计算第一偏移量，利用第一ECIES加密值分量一和第一偏移量计算第一ECIES偏移加密值分量一，利用所述第一ECIES偏移加密值分量一获取第一ECIES偏移加密值。

优选地，实施方为路由装置，所述路由装置包括：

步骤B1、路由装置接收并验证可穿戴设备发送的第一已签名交易：

路由装置接收可穿戴设备发送的第一已签名交易，从所述第一已签名交易取出第一消息，路由装置从自身密钥卡中取出自身身份、若干隶属可穿戴设备的身份列表、第二永久公钥分量、第二永久私钥分量、第二临时公钥分量、第二临时私钥分量、第一随机数和第二随机数；路由装置验证可穿戴设备发送的第一已签名交易；

利用所述第一随机数、第一永久公钥分量、第二随机数和第二永久公钥分量计算恢复永久公钥，利用所述第一随机数、第一临时公钥分量、第二随机数和第二临时公钥分量计算恢复临时公钥，利用所述临时公钥计算得到临时公钥哈希，利用所述临时公钥哈希和获取的第一消息计算第一过程量，利用所述第一临时公钥分量、第一永久公钥分量和第一过程量计算获得第一中间值，与所述从第一已签名交易中取出的第一签名值与基点运算获得的第二中间值进行比较验证，相等则所述第一已签名交易验证成功；

步骤B2、路由装置向S服务器发送第二已签名交易：

路由装置利用所述第二永久私钥分量、第二临时私钥分量和第一过程量计算获得第二签名值，利用所述第一签名值和第二签名值计算获得第三签名值，利用自身密钥卡内S服务器的公钥对所述永久公钥和第一过程量进行RSA加密获得第二RSA秘密值，利用所述第一消息、第三签名值和第一RSA秘密值生成第二未签名交易，将所述第二RSA秘密值填入第二未签名交易得到第二已签名交易，将所述第二已签名交易clientTx发送给S服务器；

步骤B3、路由装置接收S服务器发送的第一认证通知，并向可穿戴设备发出第二认证通知：

路由装置利用自身私钥解密验证第三RSA秘密值，利用第一过程量验证消息认证码，验证通过后生成新第二临时公钥分量和新第二临时私钥分量，根据所述新第二临时公钥分量和新第一临时公钥分量恢复新临时公钥，计算获得第二偏移量和第二ECIES偏移加密值；利用所述第二ECIES偏移加密值和第一消息哈希生成第二认证内容，利用所述第二临时私钥分量、临时公钥、第二永久私钥分量和第二认证内容计算获得第四签名值，利用所述第二认证内容和第四签名值计算获得第二认证通知，将所述第二认证通知发送给可穿戴设备；

步骤B4、路由装置更新自身密钥卡：

路由装置将第二临时公钥分量和第二临时私钥分量更新为新第二临时公钥分量和新第二临时私钥分量。

优选地，所述步骤B1中验证第一已签名交易还包括：

路由装置从所述第一已签名交易取出第一消息，路由装置从自身密钥卡中取出自身身份、若干隶属可穿戴设备的身份列表；利用自身密钥卡中取出信息验证所述第一消息中的可穿戴设备自身身份和可穿戴设备对应的路由设备身份，验证通过后取出可穿戴设备自身身份对应的第二永久公钥分量、第二永久私钥分量、第二临时公钥分量、第二临时私钥分量、第一随机数和第二随机数，利用所述第二随机数和获取的时间戳计算第一偏移量，利用所述第一偏移量和第一ECIES偏移加密值计算第一ECIES加密值，利用所述第二临时私钥分量解密第一ECIES加密值，利用所述第一ECIES密文中的新第一临时公钥分量进行哈希计算，将所述哈希值与第一消息中新第一临时公钥分量哈希进行比较验证，相等后则验证通过。

优选地，所述步骤B3中第二偏移量和第二ECIES偏移加密值的计算方法为：利用第一认证内容、新临时公钥哈希和新第二临时公钥分量作为第二ECIES密文，利用第一永久公钥分量对第二ECIES密文进行加密获得第二ECIES加密值，第二ECIES加密值包括第二ECIES加密值分量一，利用第二随机数哈希和第一消息哈希计算第二偏移量，利用第二ECIES加密值分量一和第二偏移量计算第二ECIES偏移加密值分量一，利用所述第二ECIES偏移加密值分量一获取第二ECIES偏移加密值。

优选地，实施方为S服务器，所述S服务器包括：

步骤C1、S服务器接收并验证路由装置发送的第二已签名交易：

S服务器接收第二已签名交易，从所述第二已签名交易中取出第一RSA秘密值和第二RSA秘密值，利用自身私钥解密验证第二RSA签名获得永久公钥和第一过程量，利用自身公钥解密验证第一RSA签名，利用所述第三签名值、永久公钥和第一过程量计算获取新临时公钥，利用所述新临时公钥P哈希与第一消息计算获取新第一过程量，利用所述新第一过程量与获取的第一过程量比较验证，相等则验证通过；

步骤C2、S服务器向路由装置发送第一认证通知；

S服务器将所述验证结果填入第一认证内容中，利用路由装置公钥对所述第一认证内容进行RSA加密获得第三RSA秘密值，利用所述第一过程量对第一认证内容计算消息认证码，利用所述第一消息哈希计算并与第三RSA秘密值、消息认证码生成第一认证通知，S服务器将所述第一认证通知发送给路由装置。

一种基于秘密共享和可穿戴设备的抗量子计算身份认证方法的系统，包括可穿戴设备、若干路由装置和S服务器，所述可穿戴设备、各路由装置和S服务器均设有唯一的密钥卡；

所述可穿戴设备的密钥包括永久公钥、永久私钥、临时公钥和临时私钥，所述可穿戴设备的永久私钥进行(2，2)秘密共享得到秘密分量一和秘密分量二，秘密分量一包括第一随机数和第一永久私钥分量，秘密分量二包括第二随机数和第二永久私钥分量，第一永久公钥分量为第一永久私钥分量与基点的运算值，第二永久公钥分量为第二永久私钥分量与基点的运算值；第一临时公钥分量为第一临时私钥分量与基点的运算值，第二临时公钥分量为第二临时私钥分量与基点的运算值；

所述可穿戴设备密钥卡包括随机数哈希区、公钥区、私钥区和证书区；所述随机数哈希区存储第二随机数哈希，公钥区存储第一永久公钥分量、第一临时公钥分量、第二永久公钥分量和第二临时公钥分量，私钥区存储第一永久私钥分量和第一临时私钥分量，证书区存储临时公钥哈希和第一RSA秘密值；

所述路由装置密钥卡包括随机数池、公钥池和私钥池，所述随机数池存储第一随机数和第二随机数，公钥池存储第二永久公钥分量和第二临时公钥分量，私钥池存储第二永久私钥分量、第二临时私钥分量和自身私钥；路由装置密钥卡还存有自身身份和若干隶属的可穿戴设备身份信息列表；

所述S服务器密钥卡包括路由装置公钥池、S公钥区和S私钥区，所述路由装置公钥池存储若干路由装置公钥，S公钥区存储存储自身公钥，S私钥区存储自身私钥。

有益效果：

1、本发明中的密钥卡丢失或者被窃取后，不可能被暴力破解等方式获取到内部的密钥，如果敌方获取到用户密钥卡，用户密钥卡内只存有秘密共享公钥分量、秘密共享私钥分量，没有秘密共享随机数，无法利用秘密共享恢复公钥、私钥，即没有任何有效的与身份相关的密钥信息；如果敌方获取到路由装置密钥卡，路由装置密钥卡内存有秘密共享随机数和每组公私钥秘密分量中部分的秘密共享公钥分量、部分的秘密共享私钥分量，无法利用秘密共享恢复公钥、私钥，即没有任何有效的与身份相关的密钥信息，由于私钥不会被敌方所知，则不会被恶意获取私钥，因此极大保护了私钥所对应的所有权益；

2、密钥卡丢失或者被窃取后，不容易被使用并转出所有权益，本发明中可穿戴设备必须在对应路由装置的小范围内进行认证，即可穿戴设备签名后还需要路由装置进行签名才可以完成完整的认证签名；敌方在该小范围外无法进行认证，即敌方在小范围外签名后，获取不到路由装置的签名，因此无法获取完整的认证签名，极大保护了密钥卡所对应的所有权益。

3、在本发明的认证方法中，对传送消息中采用RSA加密、消息认证码加密和ECIES三种加密方式，提高整个认证方法的安全性。

附图说明

图1为本发明的系统成员图；

图2为可穿戴设备密钥卡内部结构图；

图3为S密钥卡内部结构图；

图4为路由装置密钥卡内部结构图。

具体实施方式

本发明中用到了秘密共享算法，秘密共享算法的原理如下所示：

从素数阶q的有限域GF(q)中随机选取n个不同的非零元素x1，x2，...，xn，分成n组秘密分量，表示为Pi(i＝1，2，...，n。下文同理)。设共享的秘密信息为M，从GF(q)中选取t-1个元素a1，a2，...，a(t-1)，构造多项式

则有Mi＝f(xi)(1≤i≤n)。(xi，Mi)作为秘密分量Pi。

从n个秘密分量中获取任意t个秘密分量可以得到共享秘密信息M，具体步骤如下。根据公式

可以求得t个拉格朗日参数λi，因而可以根据公式M＝f(0)＝∑λi*Mi求得M。

本发明中，对每个用户端的私钥SK(即永久私钥SKMain)进行(2，2)的秘密共享。得到两组秘密分量分别为(xa，SKaMain)，(xb，SKbMain)。用户凑齐两组秘密即可恢复SKMain，具体的恢复步骤为：2组秘密求得拉格朗日参数：λa＝(-xb)/(xa-xb)；λb＝(-xa)/(xb-xa)，根据λa和λb求得

SKMain＝λa*SKaMain+λb*SKbMain＝(xa*SKbMain-xb*SKaMain)/(xa-xbMain)；

在ECC系统的情况下：设Fq是元素个数为q的有限域，其特征值为p，p、q为大素数。E是定义在Fq上的安全椭圆曲线，并保证其离散对数问题是难解的。选取基点P，使P∈E(Fq)，其阶数μ为大素数。SKMain为签名者T的私钥。T的公钥PK(即永久公钥PKMain)的计算方式如下：PKMain＝SKMain*P；T的公钥分量为：PKaMain＝SKaMain*P；PKbMain＝SKbMain*P；求得

PKMain＝SKMain*P＝(xa*SKbMain-xb*SKaMain)*P/(xa-xb)＝(xa*PKbMain-xb*PKaMain)/(xa-xb)。

本发明中，共有三种安装在不同设备上的密钥卡，分别为：安装在可穿戴设备上的可穿戴设备密钥卡、安装在S服务器上的S密钥卡和安装在路由装置上的路由装置密钥卡。

可穿戴设备作为用户端与路由装置通信的密码系统使用ECC系统，可穿戴密钥卡从密钥区中获取密钥。本发明中的公钥和私钥都分为两种，分别为永久公钥PKMain和临时公钥PKTemp，永久私钥SKMain和临时私钥SKTemp。其中，临时公私钥获取方式如下：

取随机数SKiTemp作为秘密共享临时私钥分量，根据前文所述方法可以计算出临时公钥分量PKiTemp＝SKiTemp*P，临时私钥SKTemp＝∑λi*PKiTemp，临时公钥PKTemp＝(x，y)＝SKTemp*P＝∑λi*PKiTemp。根据前文所述是对永久私钥进行(2，2)的秘密共享，所以求得每个临时公私钥也应是分别对应两个临时公私钥秘密分量即求得有临时公钥秘密分量：(xa，PKaTemp)、(xb，PKbTemp)，临时私钥秘密分量：(xa，SKaTemp)、(xb，SKbTemp)。

密钥区中存有随机数哈希、公钥、私钥和证书四个区域。随机数哈希区域存有随机数哈希Hxb，Hxb是对秘密共享随机数xb进行哈希计算得到的值，表示为Hxb＝H(xb)；公钥区域中分为PKa区和PKb区，PKa区存有秘密共享公钥分量PKaMain和PKaTemp，PKb区中存有秘密共享公钥分量PKbMain和PKbTemp；私钥区域存有SKa区，SKa区存有秘密共享私钥分量SKaMain和SKaTemp；证书区域中存有HPKTemp单元和S(S服务器)签名。其中HPKTemp表示的是对PKTemp进行哈希计算得到的值，其中PKTemp的坐标为(PKTempx，PKTempy)，即HPKTemp＝H(PKTempx||PKTempy)，A||B表示A与B的拼接。S签名单元SIGS的值为SIGNRSA(IDW||PKMain，SKS)。其中IDW为可穿戴设备的ID，SKS为S的私钥，SIGNRSA(M，SK)表示对M用私钥SK进行RSA签名。由于签名对象IDW||PKMain中的PKMain不会被敌方所知，因此敌方无法通过SIGS求得SKS。

可穿戴设备密钥卡通过安全方式获得(例如在内网路由装置进行注册登记，将对应密钥安全导入密钥卡)密钥区中的密钥，获取的密钥包括：PKMain/SKMain/PKTemp/SKTemp。可穿戴设备密钥卡从密钥区中实际获取即可穿戴设备中实际存储的是：随机数哈希区域存有Hxb；公钥区域PKa区存有PKaMain和PKaTemp，公钥区域PKb区存有PKbMain和PKbTemp；私钥区域SKa区存有SKaMain和SKaTemp；证书区域存有HPKTemp和SIGS。

本发明中路由装置与S服务器之间通信的密码系统使用RSA系统，路由装置可以是移动终端，也可以是无线路由器。

S密钥卡内分为：路由装置公钥池、S公钥和S私钥三个区域。路由装置公钥池中存有各种路由装置的公钥；S公钥即S服务器的公钥PKS，S私钥即S服务器的私钥SKS。

路由装置密钥卡中分为随机数池、公钥池、私钥池三个区域。本发明中，路由装置管理多个设备的密钥卡颁发，这里假设为M个设备。其中每个设备都对应一组：PKbMain/PKbTemp/SKbMain/SKbTemp。路由装置密钥卡中的随机数池中存有M个设备的公私钥对应的秘密共享随机数xa，xb；公钥池存有M个设备对应的PKbMain和PKbTemp；私钥池中除了存有M个设备对应的SKbMain和SKbTemp之外，还存在一处私有区。私有区中存有本路由装置的私钥SK。路由装置密钥卡中的私有区是本密钥卡内的具有更高安全性的区域。更高安全性的区域例如：在安全芯片内部；或者是一个私有区密钥卡，该私有区密钥卡可以与路由装置进行受控且可以保证不存在敌方的有线通信连接如USB连接，或与路由装置密钥卡进行受控且可以保证不存在敌方的无线通信连接如NFC连接。路由装置密钥卡还存有自身身份和若干隶属可穿戴设备身份信息列表。

认证流程：

1.可穿戴设备生成userSiga

可穿戴设备从自身密钥卡的PKa区、PKb区、SKa区和证书区分别取出：PKaMain/SKaMain/PKaTemp/SKaTemp/PKbMain/PKbTemp/HPKTemp/SIGS。生成下一轮签名可使用的密钥PKaTempNew/SKaTempNew，其中SKaTempNew为随机数，PKaTempNew＝SKaTempNew*P。使用ECIES(集成加密方案，elliptic curve integrate encrypt scheme)对PKaMain||PKaTemp||PKaTempNew用PKbTemp进行加密。得到EPKa＝ENC(PKaMain||PKaTemp||PKaTempNew，PKbTemp)＝{EPKaR，EPKac，EPKat}。之后将Hxb和Time(时间戳)进行拼接得到Hxb||Time，将Hxb||Time进行HG函数计算(HG函数是将整数映射到椭圆曲线点的哈希函数)，得到HG(Hxb||Time)。将EPKa中的EPKaR偏移HG(Hxb||Time)，得到EPKa′＝{EPKaR-HG(Hxb||Time)，EPKac，EPKat}。消息内容Tx由Time(时间戳)、IDW、HPKNew、IDR(路由装置ID)和MSG(MSG为请求认证消息)组成，即Tx＝Time||IDW||IDR||MSG||HPKNew，其中HPKNew＝H(PKaTempNew)。将HPKTemp和Tx拼接得到HPKTemp||Tx，对HPKTemp||Tx进行哈希运算得到TxsigEa＝H(HPKTemp||Tx)。计算SKaTemp+TxsigEa*SKaMain mod q的值作为签名userSiga。用户交易userTx为{Tx，EPKa′，userSiga，SIGS}，可穿戴设备将userTx发送给路由装置。

2.路由装置验证userSiga

路由装置收到userTx后，首先验证Tx中IDW和IDR的合理性，即判断IDR是否是本路由ID，再判断IDW是否隶属于本路由装置。验证通过之后，判断Time与本地时间的差异是否位于合理范围内。Time验证通过后，先根据IDW从路由装置密钥卡的公钥池、私钥池分别取对应的PKbMain/PKbTemp/SKbMain/SKbTemp，再从随机数池中找到对应的xa，xb。先用xb根据前文所述EPKa′生成的方法将EPKa′恢复为EPKa，即对EPKaR-HG(Hxb||Time)加上HG(H(xb)||Time)得到EPKaR，再用SKbTemp对EPKa进行ECIES解密得到PKaMain||PKaTemp||PKaTempNew。从Tx中取出HPKNew，并将其与H(PKaTempNew)进行比较，相同则说明PKaTempNew未被修改，流程继续；否则流程结束。之后利用(xa，PKaMain)，(xb，PKbMain)根据前文所述方法恢复恢复PKMain。利用(xa，PKaTemp)，(xb，PKbTemp)根据前文所述方法恢复PKTemp＝(PKTempx，PKTempy)。对PKTemp进行哈希运算得到HPKTemp，表达式为HPKTemp＝H(PKTempx||PKTempy)。将HPKTemp与Tx拼接成HPKTemp||Tx后进行哈希运算，得到TxsigEb，表达式为TxsigEb＝H(HPKTemp||Tx)。之后验证签名userSiga是否正确，先计算userSiga*P的值，该值等于(SKaTemp+TxsigEa*SKaMain mod q)*P，根据前文所述公式可以得知该值应该等于PKaTemp+TxsigEa*PKaMain。由于路由装置已经解密并计算得到了PKaTemp、PKaMain和TxsigEb，路由装置将得到的PKaTemp、PKaMain和TxsigEb进行计算得到PKaTemp+TxsigEb*PKaMain。所以只要验证userSiga*P和路由装置计算出的PKaTemp+TxsigEb*PKaMain是否相等，即证明签名userSiga是否正确。不等则认证失败，结束本次签名。相等则签名userSiga验证成功，继续下面的流程。

3.路由装置生成Txsig

路由装置根据上文userSiga的计算方法，计算出userSigb的值为：SKbTemp+TxsigEb*SKbMain mod q。之后计算λa*userSiga+λb*userSigb的值作为签名Txsig，原理：Txsig＝SKtemp+TxsigE*SKMain

＝(λa*SKaTemp+λb*SKbTemp)+TxsigE*(λa*SKaMain+λb*SKbMain)

＝λa*(SKaTemp+TxsigE*SKaMain)+λb*(SKbTemp+TxsigE*SKbMain)

＝λa*userSiga+λb*userSigb，其中TxsigE＝TxsigEa＝TxsigEb＝H(HPKTemp||Tx)。

4.路由装置发出交易

路由装置IDR对应的公私钥分别为公钥PKR和私钥SKR。路由装置对PKMain||TxsigE进行加密，得到秘密值ENCRSA(PKMain||TxsigE，PKS)。ENCRSA(M，PK)表示对M使用公钥PK进行RSA加密。路由装置产生交易clientTx＝{Tx，Txsig，ENCRSA(PKMain||TxsigE，PKS)，SIGS}，路由装置将交易clientTx发送给服务器S。

5.S验证交易

S接收到交易后，需要对签名Txsig进行验证。首先S利用SKS对ENCRSA(PKMain||TxsigE，PKS)进行RSA解密得到PKMain||TxsigE。再利用PKS验证SIGS，验证的方法为：用已经得到的PKMain和Tx中的IDW组合为签名对象IDW||PKMain，用PKS进行RSA签名验证。验证通过之后，证明PKMain为合法公钥。之后S计算Txsig*P-TxsigE*PKMain得到的值表示为PKTemp′＝(PKTempx′，PKTempy′)。然后对PKTemp′进行哈希运算得到H(PKTempx′||PKTempy′)即HPKTemp′。将HPKTemp′和Tx拼接得到HPKTemp′||Tx，对HPKTemp′||Tx进行哈希运算得到TxsigE′。最后判断TxsigE′和TxsigE的值是否相同，不同则验证失败，判断交易为假；相同则验证通过，判断交易为真，且路由装置和可穿戴设备身份为真。

6.S发出认证结果通知

S将认证结果放入通知内容Notify中，认证结果通知NtfS由tid||ENCRSA(Notify，PKR)||MAC(Notify，TxsigE)组成，其中tid为对Tx做哈希运算得到的值，MAC为消息认证码(带密钥的哈希函数)。S将认证结果通知NtfS发送给路由装置。

7.路由装置对于可穿戴设备发出通知

路由装置用SKR对ENCRSA(Notify，PKR)进行RSA解密得到Notify。之后验证MAC是否正确，MAC验证通过后，生成下一轮签名可使用的密钥PKbTempNew/SKbTempNew，其中SKbTempNew为随机数，PKbTempNew＝SKbTempNew*P。根据(xa，PKaTempNew)和(xb，PKbTempNew)，利用前文所述方法计算得到PKTempNew。对Notify、H(PKTempNew)和PKbTempNew用可穿戴设备对应的PKaMain进行ECIES加密得到ENtf＝ENC(Notify||H(PKTempNew)||PKbTempNew，PKaMain)＝{ENtfR，ENtfc，ENtft}。路由装置找到认证流程2中计算出的对应的可穿戴设备的H(xb)和H(PKTemp)。之后将H(xb)和tid进行拼接得到H(xb)||tid，对H(xb)||tid进行HG函数计算得到HG(H(xb)||tid)。将ENtfR偏移HG(H(xb)||tid)，得到ENtf＝{ENtfR-HG(H(xb)||tid)，ENtfc，ENtft}。之后将ENtf和tid拼接，得到Ntf＝tid||ENtf。之后将Ntf和H(PKTemp)进行拼接得到H(PKTemp)||Ntf，对H(PKTemp)||Ntf进行哈希运算得到NtfsigEb＝H(H(PKTemp)||Ntf)。之后计算SKbTemp+NtfsigEb*SKbMain mod q的值作为签名NotifySig。路由装置对可穿戴设备发出的通知clientNtf的内容为{Ntf，NotifySig}。路由装置更新本地密钥池，即将PKbTemp/SKbTemp分别更新为PKbTempNew/SKbTempNew。

8.可穿戴设备验证NotifySig

可穿戴设备收到通知clientNtf后，需要验证NotifySig是否正确。首先计算H(HPKTemp||Ntf)的值表示为NtfsigEa。之后根据前文所述可以得知：验证NotifySig是否正确即验证NotifySig*P的值与PKbTemp+NtfsigEa*PKbMain的值是否相等，不等则验证失败，流程结束。相等则认证成功，判定clientNtf的内容为真。验证成功之后，可穿戴设备根据前文所述方法用Hxb恢复ENtf′为ENtf，即先计算出HG(H(xb)||tid)，然后对ENtfR-HG(H(xb)||tid)加上HG(H(xb)||tid)。然后再用SKaMain对ENtf进行ECIES解密得到Notify||H(PKTempNew)||PKbTempNew的值。随后可穿戴设备更新本地密钥池，即将PKaTemp/SKaTemp/HPKTemp/PKbTemp分别更新为PKaTempNew/SKaTempNew/H(PKTempNew)/PKbTempNew，流程结束。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (7)

1.一种基于秘密共享和可穿戴设备的抗量子计算身份认证方法，其特征在于：实施方为可穿戴设备，所述可穿戴设备包括：

步骤A1、可穿戴设备作为交易发起方，向其对应的路由装置发送第一已签名交易：

可穿戴设备取出自身密钥卡内第一永久公钥分量、第一永久私钥分量、第一临时公钥分量、第一临时私钥分量、第二永久公钥分量、第二临时公钥分量、临时公钥哈希、第二随机数哈希和第一RSA秘密值，可穿戴设备生成新第一临时公钥分量和新第一临时私钥分量，计算获得第一偏移量和第一ECIES偏移加密值；

将当前时间戳、可穿戴设备自身身份、可穿戴设备对应的路由设备身份、请求认证信息和新第一临时公钥分量哈希作为第一消息，利用所述第一消息和临时公钥哈希生成第一过程量，利用所述第一永久公钥分量、第一永久私钥分量和第一过程量生成第一签名值，利用所述第一消息、第一ECIES偏移加密值和第一RSA秘密值生成第一未签名交易，将所述第一签名值填入第一未签名交易得到第一已签名交易，将所述第一已签名交易发送给交易发起方对应的路由装置；

步骤A2、可穿戴设备接收并验证路由装置发送的第二认证通知：

利用所述临时公钥哈希和获取的第二认证内容计算第二过程量，利用所述第二临时公钥分量、第二永久公钥分量和第二过程量计算第三中间值，与所述从第二认证通知中取出的第四签名值与基点运算得到的第四中间值进行比较验证，相等则所述第二认证通知验证成功；

利用所述第二随机数和第一消息哈希计算第二偏移量，利用所述第二偏移量和第二ECIES偏移加密值计算第二ECIES加密值，利用所述第一永久私钥分量解密第二ECIES加密值，获取第二ECIES密文；

步骤A3、可穿戴设备更新自身密钥卡：可穿戴设备将第一临时公钥分量、第一临时私钥分量、第二临时公钥分量和临时公钥哈希更新为新第一临时公钥分量、新第一临时私钥分量、新第二临时公钥分量和新临时公钥哈希。

2.根据权利要求1所述的一种基于秘密共享和可穿戴设备的抗量子计算身份认证方法，其特征在于，所述步骤A1中第一偏移量和第一ECIES偏移加密值的计算方法为：利用第一永久公钥分量、第一临时公钥分量和新第一临时公钥分量作为第一ECIES密文，利用第二临时公钥分量对第一ECIES密文进行ECIES进行加密获得第一ECIES加密值，第一ECIES加密值包括第一ECIES加密值分量一，利用第二随机数哈希和当前时间戳计算第一偏移量，利用第一ECIES加密值分量一和第一偏移量计算第一ECIES偏移加密值分量一，利用所述第一ECIES偏移加密值分量一获取第一ECIES偏移加密值。

3.根据权利要求1所述的一种基于秘密共享和可穿戴设备的抗量子计算身份认证方法，其特征在于：实施方为路由装置，所述路由装置包括：

步骤B1、路由装置接收并验证可穿戴设备发送的第一已签名交易：

路由装置接收可穿戴设备发送的第一已签名交易，从所述第一已签名交易取出第一消息，路由装置从自身密钥卡中取出自身身份、若干隶属可穿戴设备的身份列表、第二永久公钥分量、第二永久私钥分量、第二临时公钥分量、第二临时私钥分量、第一随机数和第二随机数；路由装置验证可穿戴设备发送的第一已签名交易；

利用所述第一随机数、第一永久公钥分量、第二随机数和第二永久公钥分量计算恢复永久公钥，利用所述第一随机数、第一临时公钥分量、第二随机数和第二临时公钥分量计算恢复临时公钥，利用所述临时公钥计算得到临时公钥哈希，利用所述临时公钥哈希和获取的第一消息计算第一过程量，利用所述第一临时公钥分量、第一永久公钥分量和第一过程量计算获得第一中间值，与所述从第一已签名交易中取出的第一签名值与基点运算获得的第二中间值进行比较验证，相等则所述第一已签名交易验证成功；

步骤B2、路由装置向S服务器发送第二已签名交易：

路由装置利用所述第二永久私钥分量、第二临时私钥分量和第一过程量计算获得第二签名值，利用所述第一签名值和第二签名值计算获得第三签名值，利用自身密钥卡内S服务器的公钥对所述永久公钥和第一过程量进行RSA加密获得第二RSA秘密值，利用所述第一消息、第三签名值和第一RSA秘密值生成第二未签名交易，将所述第二RSA秘密值填入第二未签名交易得到第二已签名交易，将所述第二已签名交易clientTx发送给S服务器；

步骤B3、路由装置接收S服务器发送的第一认证通知，并向可穿戴设备发出第二认证通知：

路由装置利用自身私钥解密验证第三RSA秘密值，利用第一过程量验证消息认证码，验证通过后生成新第二临时公钥分量和新第二临时私钥分量，根据所述新第二临时公钥分量和新第一临时公钥分量恢复新临时公钥，计算获得第二偏移量和第二ECIES偏移加密值；利用所述第二ECIES偏移加密值和第一消息哈希生成第二认证内容，利用所述第二临时私钥分量、临时公钥、第二永久私钥分量和第二认证内容计算获得第四签名值，利用所述第二认证内容和第四签名值计算获得第二认证通知，将所述第二认证通知发送给可穿戴设备；

步骤B4、路由装置更新自身密钥卡：

路由装置将第二临时公钥分量和第二临时私钥分量更新为新第二临时公钥分量和新第二临时私钥分量。

4.根据权利要求3所述的一种基于秘密共享和可穿戴设备的抗量子计算身份认证方法，其特征在于：所述步骤B1中验证第一已签名交易还包括：

路由装置从所述第一已签名交易取出第一消息，路由装置从自身密钥卡中取出自身身份、若干隶属可穿戴设备的身份列表；利用自身密钥卡中取出信息验证所述第一消息中的可穿戴设备自身身份和可穿戴设备对应的路由设备身份，验证通过后取出可穿戴设备自身身份对应的第二永久公钥分量、第二永久私钥分量、第二临时公钥分量、第二临时私钥分量、第一随机数和第二随机数，利用所述第二随机数和获取的时间戳计算第一偏移量，利用所述第一偏移量和第一ECIES偏移加密值计算第一ECIES加密值，利用所述第二临时私钥分量解密第一ECIES加密值，利用所述第一ECIES密文中的新第一临时公钥分量进行哈希计算，将所述哈希值与第一消息中新第一临时公钥分量哈希进行比较验证，相等后则验证通过。

5.根据权利要求3所述的一种基于秘密共享和可穿戴设备的抗量子计算身份认证系统的方法，其特征在于，所述步骤B3中第二偏移量和第二ECIES偏移加密值的计算方法为：利用第一认证内容、新临时公钥哈希和新第二临时公钥分量作为第二ECIES密文，利用第一永久公钥分量对第二ECIES密文进行加密获得第二ECIES加密值，第二ECIES加密值包括第二ECIES加密值分量一，利用第二随机数哈希和第一消息哈希计算第二偏移量，利用第二ECIES加密值分量一和第二偏移量计算第二ECIES偏移加密值分量一，利用所述第二ECIES偏移加密值分量一获取第二ECIES偏移加密值。

6.根据权利要求1所述的一种基于秘密共享和可穿戴设备的抗量子计算身份认证方法，其特征在于：实施方为S服务器，所述S服务器包括：

步骤C1、S服务器接收并验证路由装置发送的第二已签名交易：

S服务器接收第二已签名交易，从所述第二已签名交易中取出第一RSA秘密值和第二RSA秘密值，利用自身私钥解密验证第二RSA签名获得永久公钥和第一过程量，利用自身公钥解密验证第一RSA签名，利用所述第三签名值、永久公钥和第一过程量计算获取新临时公钥，利用所述新临时公钥P哈希与第一消息计算获取新第一过程量，利用所述新第一过程量与获取的第一过程量比较验证，相等则验证通过；

步骤C2、S服务器向路由装置发送第一认证通知；

S服务器将所述验证结果填入第一认证内容中，利用路由装置公钥对所述第一认证内容进行RSA加密获得第三RSA秘密值，利用所述第一过程量对第一认证内容计算消息认证码，利用所述第一消息哈希计算并与第三RSA秘密值、消息认证码生成第一认证通知，S服务器将所述第一认证通知发送给路由装置。

7.根据权利要求1-6任一所述的一种基于秘密共享和可穿戴设备的抗量子计算身份认证方法的系统，其特征在于：包括可穿戴设备、若干路由装置和S服务器，所述可穿戴设备、各路由装置和S服务器均设有唯一的密钥卡；

所述可穿戴设备的密钥包括永久公钥、永久私钥、临时公钥和临时私钥，所述可穿戴设备的永久私钥进行(2，2)秘密共享得到秘密分量一和秘密分量二，秘密分量一包括第一随机数和第一永久私钥分量，秘密分量二包括第二随机数和第二永久私钥分量，第一永久公钥分量为第一永久私钥分量与基点的运算值，第二永久公钥分量为第二永久私钥分量与基点的运算值；第一临时公钥分量为第一临时私钥分量与基点的运算值，第二临时公钥分量为第二临时私钥分量与基点的运算值；

所述可穿戴设备密钥卡包括随机数哈希区、公钥区、私钥区和证书区；所述随机数哈希区存储第二随机数哈希，公钥区存储第一永久公钥分量、第一临时公钥分量、第二永久公钥分量和第二临时公钥分量，私钥区存储第一永久私钥分量和第一临时私钥分量，证书区存储临时公钥哈希和第一RSA秘密值；

所述路由装置密钥卡包括随机数池、公钥池和私钥池，所述随机数池存储第一随机数和第二随机数，公钥池存储第二永久公钥分量和第二临时公钥分量，私钥池存储第二永久私钥分量、第二临时私钥分量和自身私钥；路由装置密钥卡还存有自身身份和若干隶属的可穿戴设备身份信息列表；

所述S服务器密钥卡包括路由装置公钥池、S公钥区和S私钥区，所述路由装置公钥池存储若干路由装置公钥，S公钥区存储存储自身公钥，S私钥区存储自身私钥。

Images