CN111277411A - 基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统及其方法 - Google Patents

Abstract

本发明公开了一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统及其方法，系统包括若干移动设备、路由装置和服务器，其中，单台服务器配置若干路由装置，单台路由装置配置若干移动设备，同一用户对应一台路由装置及其属下的若干移动设备。本发明方法通过将用户的ID和密钥进行秘密共享并分配到路由装置及若干移动设备的密钥卡中，既不会因暴力破解密钥卡而被恶意获取信息，也不会因丢失密钥卡而丧失信息；每个移动设备和对应的路由装置必须进行签名认证才可以完成整个签名，极大保护了对应账号的所有权益；将未公开的用户公钥加入到服务器的签名过程中，使得该签名无需额外的加密保护即可以抵抗量子计算的攻击。

Description

基于秘密共享和多个移动设备的抗量子计算车载网身份认证 系统及其方法

技术领域

本发明涉及身份认证领域，尤其涉及一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统及其方法。

背景技术

身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。

车载网由用户持有的移动设备通过近距离连接方式连接车载路由装置，车载路由装置通过网络连接服务器而形成。移动设备的实际具体形态可以是车钥匙、移动通信终端(如手机等)、可穿戴设备(如蓝牙耳机、智能眼镜、智能手表等)、IC卡等。设W代表移动设备，R代表车载路由装置，S代表服务器。W近距离连接车载路由装置，存在中度危险，车载路由装置通过网络连接服务器，存在高度危险。在本发明中的有多种可能的移动设备存在，例如UKEY，通过USB接口连接路由装置；IC密钥卡，通过IC卡读卡器连接路由装置；NFC密钥卡，通过NFC连接路由装置；蓝牙KEY，通过蓝牙连接路由装置；红外KEY，通过红外连接路由装置；等等。

当前通信网络中身份认证系统普遍采用非对称密码体制。非对称密码体制关键是加密和解密密钥不同，形成公私钥密钥对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。非对称密码体制中加密和解密是相对独立的，加密和解密会使用两把不同的密钥，加密密钥(公开密钥)向公众公开，谁都可以使用，解密密钥(秘密密钥)只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，这样就大大加强了信息保护的力度。公钥密码体制不仅解决了密钥分配的问题，它还为签名和认证提供了手段。但是如果非对称密钥系统的私钥被敌方所知，则将丧失该私钥所对应的所有权益。如果非对称密钥系统的公钥被敌方所知，假如敌方拥有量子计算机，则将通过公钥破解出私钥，同样将丧失该私钥所对应的所有权益。

公布号为CN109660344A的专利文献中公开了一种基于非对称密钥池路由装置的抗量子计算区块链交易方法和系统，各用户以及路由装置分别配有密钥卡，其中路由装置密钥卡中存有己方的路由装置私钥、非对称密钥池、路由装置公钥指针随机数以及内网公钥集合；用户密钥卡中有存储有己方的用户私钥和路由装置公钥；所有路由装置密钥卡中的非对称密钥池相同，所述内网公钥集合中存储有该内网中所有用户的用户公钥。虽然密钥卡被恶意软件或恶意操作的可能性大大降低，但一旦密钥卡丢失或者被窃取后，若被暴力破解等方式获取到内部的密钥，将丧失该账户对应的所有权益。

由此可见，现有的车载网身份认证系统虽然具有一定的安全性，但是还存有安全问题。

存在的问题如下：

1.密钥卡丢失或者被窃取后，可能被暴力破解等方式获取到内部的密钥。如果非对称密钥系统的私钥被敌方所知，则将丧失该私钥所对应的所有权益；如果非对称密钥系统的公钥被敌方所知，假如敌方拥有量子计算机，则将通过公钥破解出私钥，同样将丧失该私钥所对应的所有权益；

2.密钥卡丢失或者被窃取后，可能被直接拿来使用，并对用户账号所对应的权益造成损害。例如对用户账号转出所有权益，造成权益被盗；

3.现有数字签名的抗量子计算能力不高，可能被计算得到签名私钥，而为使得数字签名具有抗量子计算能力，必须对数字签名进行加密，加大了数字签名的计算量；

4.现有网络通信主体的ID暴露于网络中，用户隐私的安全性不高。

发明内容

发明目的：针对现有技术中存在的问题，本发明公开了一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统及其方法，在保护对应账号的所有权益的同时，减小了数字签名和验证签名的计算量，可抵抗量子计算。

技术方案：本发明采用如下技术方案：一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统，其特征在于：包括若干移动设备、路由装置和服务器，其中，单台服务器配置若干路由装置，单台路由装置配置若干移动设备，同一用户对应一台路由装置及其属下的若干移动设备；所述各移动设备、路由装置和服务器均设有密钥卡，移动设备的密钥卡由其所属的路由装置颁发，路由装置的密钥卡由其所属的服务器颁发；

所述用户的ID通过(t，n)秘密共享得到影子秘密，每组影子秘密包括随机数和ID分量；所述用户的永久私钥通过(t，n)秘密共享得到影子秘密，每组影子秘密包括随机数和永久私钥分量；所述用户的临时私钥通过(t，n)秘密共享得到影子秘密，每组影子秘密包括随机数和临时私钥分量；所述用户的临时公钥通过(t，n)秘密共享得到影子秘密，每组影子秘密包括随机数和临时公钥分量；同一用户的ID、永久私钥、临时公钥和临时私钥秘密共享得到的随机数相同；

所述移动设备密钥卡内存储包括移动设备ID、随机数哈希值、永久公钥分量、永久私钥分量、路由装置的永久公钥分量、含有服务器签名单元的证书、若干临时公钥分量和临时私钥分量，移动设备ID为对应用户ID秘密共享得到的一个ID秘密分量，临时公钥分量和临时私钥分量用于分别计算获得该移动设备的临时总公钥分量和临时总私钥分量；

所述路由装置密钥卡内存储包括路由装置ID、路由装置私钥、随机数池、永久公钥分量、永久私钥分量、若干临时公钥分量和临时私钥分量，路由装置ID为对应用户ID秘密共享得到的一个ID秘密分量，随机数池内存放对应用户秘密共享得到的所有随机数，临时公钥分量和临时私钥分量用于分别计算获得路由装置的临时总公钥分量和临时总私钥分量；

所述服务器密钥卡内存储包括服务器公钥、服务器私钥、路由装置公钥池和若干随机数池，路由装置公钥池内存放该服务器属下的各路由装置的公钥，每个随机数池内存放对应路由装置所需的随机数。

优选的，在有限域上定义安全椭圆曲线，在该安全椭圆曲线上选取基点，所述用户的永久公钥通过永久私钥和基点计算获得，永久公钥分量通过永久私钥分量和基点计算获得。

一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统的方法，其特征在于，车载网身份认证方法包括以下步骤：

步骤A1、用户操作路由装置发起认证，移动设备向路由装置发送包括自身信息的消息，路由装置验证消息的正确性后，将收到的路由装置信息与自身信息结合后向移动设备发送包括认证请求的消息，移动设备验证消息正确后生成签名分量，向路由装置发送包括签名分量的消息；

步骤A2、路由装置对各移动设备的签名分量进行验证，判断持有移动设备的用户身份的真实性；

步骤A3、路由装置对移动设备的签名分量验证通过后，生成自身的签名分量，结合各移动设备的签名分量得到签名者对消息的签名；

步骤A4、路由装置向服务器发送包括签名的消息；

步骤A5、服务器收到消息后验证签名是否有效；

步骤A6、服务器验证签名有效后，向发出认证请求的用户对应的路由装置发送包括认证结果通知的消息；

步骤A7、路由装置对收到的消息验证通过后，向各移动设备发送包括认证结果通知和签名的消息；

步骤A8、移动设备对消息中的签名验证有效后得到认证结果通知，完成本次认证。

优选的，所述步骤A1包括：

路由装置向所有建立连接的移动设备发送当前的时间戳；

若移动设备判断时间戳合理，计算获得该移动设备临时总公钥分量和临时总私钥分量；

移动设备向路由装置发送消息一，消息一包括移动设备ID、时间戳、包括存储在移动设备的永久公钥分量和临时总公钥分量的加密文、服务器签名单元和消息认证码；

路由装置收到消息一后，判断消息一中的移动设备ID是否属于本路由装置，若属于，根据时间戳判断该移动设备ID属于哪次认证会话；

计算获得存储在路由装置密钥卡中的用户临时总公钥分量和临时总私钥分量；

解密加密文得到存储在移动设备密钥卡中的用户的永久公钥分量和临时总公钥分量；

路由装置对若干移动设备发来的消息中的消息认证码验证通过后，计算获得永久公钥和临时总公钥；

路由装置向若干移动设备发送消息二，消息二中包括组合消息、包括临时总公钥的加密文以及消息认证码，组合消息中包括时间戳、路由装置ID和若干移动设备ID的组合以及认证请求消息；

移动设备收到消息二后，解密加密文得到临时总公钥；

验证消息二中的消息认证码，若验证不通过，结束本次签名；若验证通过，将临时总公钥表示为横坐标和纵坐标的组合，对横坐标进行运算后得到参数一，再结合组合消息进行哈希运算得到参数二；

移动设备向路由装置发送消息三，消息三中包括移动设备ID、时间戳和包括移动设备的临时总私钥分量、永久私钥分量和参数二的签名分量。

优选的，所述步骤A1中，计算获得临时总公钥分量、临时总私钥分量和临时总公钥的方法为：

根据时间戳的哈希值，结合密钥指针函数和密钥系数计算函数计算获得密钥位置和密钥系数；

根据密钥位置取出对应的临时公钥分量、临时私钥分量和临时公钥，结合密钥系数计算获得临时总公钥分量、临时总私钥分量和临时总公钥。

优选的，所述步骤A2包括：

路由装置收到消息三后，判断消息三中移动设备ID是否属于本路由装置，若不属于，结束本次验证，若属于，根据时间戳判断该移动设备ID属于哪次认证会话；

重新对临时总公钥的横坐标进行运算后得到参数三，再结合组合消息进行哈希运算得到参数四，结合移动设备的临时总公钥分量、永久公钥分量验证消息三中的签名分量是否正确；

若不正确，拒绝该签名者签名，结束本次签名过程；若正确，路由装置暂存移动设备ID及其永久公钥分量；

所述步骤A3包括：

路由装置生成包括路由装置的临时总私钥分量、永久私钥分量和参数二的签名分量；

得到包括路由装置的签名分量和若干移动设备的签名分量的签名者对消息的签名；

所述步骤A4包括：

路由装置向服务器发送消息四，消息四中包括组合消息、签名者对消息的签名、包括永久公钥和参数四的加密文以及若干移动设备中服务器签名单元的集合。

优选的，所述步骤A5包括：

服务器收到消息四后，解密加密文得到永久公钥和参数四；

验证服务器签名单元，若验证成功，根据参数四、永久公钥以及签名者对消息的签名重新计算得到新的临时总公钥，将新的临时总公钥表示为横坐标和纵坐标的组合；

对新的临时总公钥的横坐标进行运算后得到参数五，再结合组合消息进行哈希运算得到参数六，判断参数六是否与参数四相等，若相等，签名有效，接受该签名，若不相等，拒绝该签名；

所述步骤A6包括：

服务器根据移动设备和路由装置的ID以及路由装置对应的随机数密钥池，恢复用户ID，得知发送认证请求的对应用户；

生成认证结果通知，向路由装置发送消息五，消息五中包括时间戳、包括认证结果通知的加密文和消息认证码。

优选的，所述步骤A7包括：

路由装置收到消息五后，解密加密文得到认证结果通知；

验证消息五中的消息认证码，若验证不通过，结束本次认证；若验证通过，生成包括认证结果通知的加密文，结合参数三和时间戳进行哈希运算得到参数七；

路由装置向移动设备发送消息六，消息六中包括时间戳、加密文和包括参数七、路由装置的临时私钥分量和永久私钥分量的签名。

优选的，所述步骤A8包括：

移动设备收到消息六后，对参数一、时间戳和加密文进行哈希运算得到参数八，再结合路由装置的临时总私钥分量和永久私钥分量验证消息六中的签名，若验证不通过，拒绝该签名，结束本次签名过程；若验证通过，解密加密文得到认证结果通知，从而移动设备获得认证结果，完成本次认证。

有益效果：本发明具有如下有益效果：

1.在本发明中，采用秘密共享将密钥拆分成若干个私钥，并存储在若干个移动设备的密钥卡中，密钥卡丢失或者被窃取后，不可能被暴力破解等方式获取到内部的密钥。如果敌方获取到用户密钥卡，用户密钥卡存有秘密共享随机数哈希值HXi、秘密共享公钥分量PKi、秘密共享私钥分量Ski，因此无法利用秘密共享恢复SK、PK，即没有任何有效的与身份相关的密钥信息；如果敌方获取到路由装置密钥卡，路由装置密钥卡内存有秘密共享所有随机数、公钥分量PK0、私钥分量SK0，无法利用秘密共享恢复SK、PK，即没有任何有效的与身份相关的密钥信息；由于用户的私钥不会被敌方所知，且每次颁发用户密钥卡时同时颁发若干同样的用户密钥卡作为备份，因此既不会被恶意获取私钥，也不会因丢失密钥卡而丧失私钥，因此极大保护了私钥所对应的账号的所有权益；

2.在本发明中，每个移动设备和对应的路由装置必须进行签名认证才可以完成整个的交易的签名，因此密钥卡丢失或者被窃取后，不容易被使用并对账号转出所有权益；用户端必须在对应路由装置所控制的内网进行交易，即用户签名后还需要路由装置进行签名才可以完成整个交易的签名；敌方在外网无法进行交易，因为若敌方在外网签名后，将获取不到路由装置的签名，也就无法获取完整的交易签名；因此极大保护了密钥卡所对应的账号的所有权益；

3.在本发明中，不仅不公开用户公钥，使得量子计算机无法获得公钥，从而也无法获得公钥对应的私钥；而且将该不公开的用户公钥加入到服务器对用户证书签名的过程中，使得证书签名无需额外的加密保护即可以抵抗量子计算的攻击，减小了数字签名和验证签名的计算量；对于门限签名，不公开签名分量，使得敌方缺少破解门限签名的必备参数，因此门限签名可以无需加密即可抵抗量子计算机的攻击；

4.本发明中，通过多个设备秘密共享车辆主人的ID，服务器在收到多个设备的ID秘密分量后再进行ID的秘密恢复，使得车辆主人的ID没有暴露于网络中，提高了安全性。

附图说明

图1为移动设备密钥卡密钥区结构图；

图2为路由装置密钥卡密钥区结构图；

图3为服务器密钥卡密钥区结构图。

具体实施方式

首先简单介绍秘密共享的原理和流程。

从素数阶q的有限域GF(q)中随机选取n个不同的非零元素X0，X1，X2，...，Xn-1，分配给参与者Pi(i＝0，1，2，...，n-1)。秘密信息为SK，从GF(q)中选取t个元素a0，a1，a2，...，a(t-1)，构造多项式

则有SKi＝f(Xi)(0≤i≤n-1)。

从n个参与者中获取任意t个影子秘密可以恢复SK，具体步骤如下：根据公式

可以求得t个拉格朗日参数λi，因而可以根据公式SK＝f(0)＝∑λi*SKi求得SK。

在本发明中，一个用户持有多个移动设备，用户通过多个移动设备和路由装置才能得到服务器的认证。用户ID被进行(t，n)秘密共享，每个影子秘密为(Xi，IDi)。只要凑齐t组秘密即可恢复用户ID。恢复步骤如下：t组(Xi，IDi)求得拉格朗日参数

从而求得

在本发明中，对车主的SK进行(t，n)的秘密共享，每个秘密为(Xi，SKi)。只要凑齐任意t组秘密即可恢复SK。恢复步骤如下：t组(Xi，SKi)求得拉格朗日参数

从而求得

在椭圆曲线密码学(ECC)情况下令PKi＝SKi*P，从而求得

设车主永久私钥为SKMain，永久私钥分量SKiMain，秘密共享永久私钥

设Fq是元素个数为q的有限域，其特征值为p、q为大素数。E是定义在Fq上的安全椭圆曲线，并保证其离散对数问题是难解的。选取基点P，使P∈E(Fq)，其阶数μ为大素数。车主永久公钥为

永久公钥分量PKiMain＝SKiMain*P，其中0≤i≤n-1。因此，移动设备群体公开系统参数为(E，P，p，q)。

密钥卡是通过安全方式获得的，例如在内网路由装置进行注册登记，将对应密钥安全信息导入密钥卡。用户ID秘密分量IDi作为第i个移动设备密钥卡的ID存储在对应的第i个密钥卡中，其中秘密分量ID0作为路由装置的ID，存储在路由装置密钥卡中。

本发明中移动设备与路由装置通信的密码系统使用ECC系统。如附图1所示，移动设备密钥卡的密钥区存有秘密共享随机数的哈希{HXi，1<＝i<＝n-1}，秘密共享公钥{PKi，1<＝i＜＝n-1}、秘密共享私钥{Ski，1<＝i＜＝n-1}和含有服务器S签名的证书，其中随机数哈希HXi＝H(Xi)。S签名单元的签名是用SKS对组合IDi||PKMain进行RSA的签名，设S签名单元的值为SIGSi，则SIGSi可表示为SIGNRSA(IDi||PKMain，SKS)。由于PKMain不会被敌方所知，因此敌方无法通过SIGSi求得SKS。

PKMain和SKMain是固定的，PKTemp和SKTemp由搜索密钥区中的密钥并计算得到。路由装置向n-1个移动设备颁发密钥卡，每个密钥卡的临时秘密区包含KM个临时公钥、临时私钥的秘密共享分量，通过t个或更多个同一标号的秘密分量即可恢复对应标号的临时公钥、临时私钥。所以密钥卡中实际存储的安全信息为：移动设备IDi、一组HXi/PKiMain/SKiMain/PK0Main/SIGSi和多组PKiTempj/SKiTempj，1＜＝i＜＝n-1，1＜＝j＜＝KM，其中多组PKiTempj/SKiTempj用于计算PKiTemp和SKiTemp。

本发明中路由装置与服务器S之间通信使用的密码系统是RSA系统。如附图3所示，服务器密钥卡内含有路由装置公钥池，该公钥池用来存放各路由装置的公钥；含有自身的公钥PKS和自身私钥SKS；还含有多个各不相同的随机数池，存放对应路由装置所需的秘密共享随机数，每个随机数池对应一个路由装置。服务器S可以向多个路由装置提供认证服务。

每个路由装置可连接n-1个设备，可以向n-1个设备颁发密钥卡。如附图2所示，路由装置里存有随机数池，随机数池里含有X0...Xn-1的随机数，该随机数是秘密共享秘密分量的随机数。ID0作为路由装置的ID存入路由装置密钥卡中。路由装置对应的密钥区中含有一组X0/PK0Main/SK0Main和多组PK0Tempj/SK0Tempj，1＜＝j＜＝KM，其中多组PK0Tempj/SK0Tempj用于计算PK0Temp/SK0Temp。路由装置密钥卡的私有区可以是本密钥卡内的具有更高安全性的区域。例如安全芯片内部，也可以是私有区密钥卡，与路由装置密钥卡进行受控且可以保证不存在敌方的类似如USB有线通信连接或敌方的类似如NFC的无线通信连接。

身份认证流程如下：

步骤1：移动设备生成签名分量userSigi

第一步，路由装置可以由用户操作发起认证。路由装置向所有建立连接的移动设备发送当前的时间戳Time。

第二步，移动设备收到时间戳Time后，先判断Time合理性，然后对Time进行哈希运算得到RK，即RK＝H(Time)。根据KN个密钥指针函数{FPj，j∈[1，KN]}、密钥系数计算函数{FUj，j∈[1，KN]}，获取位置{Pj＝FPj(RK)，j∈[1，KN]}、密钥系数{μj＝FUj(RK)，j∈[1，KN]}，其中KN＜KM。

根据位置从PKi区、SKi区分别取出KN个密钥，分别是{PKiTempj，j∈[1，KN]}，{SKiTempj，j∈[1，KN]}。然后计算

使用ECIES加密方案进行加密：EPKi＝ENC(PKiMain||PKiTemp，PK0Main)＝{EPKiR，EPKic，EPKit}，EPKi′＝{EPKiR-HG(HXi||Time)，EPKic，EPKit}，其中HG是将整数映射到椭圆曲线点的哈希函数。

MAC是消息认证码，也就是一种带密钥的Hash函数，密码学中，通信实体双方使用的一种验证机制，保证消息数据完整性的一种工具。用HXi作为密钥对组合Time||PKiMain||PKiTemp||SIGSi进行MAC运算，再将组合IDi||Time||EPKi′||SIGSi||MAC(Time||PKiMain||PKiTemp||SIGSi，HXi)发送给路由装置。

第三步，路由装置收到移动设备发来的信息。先取出IDi，判断IDi是否隶属于本路由装置，如果属于，说明IDi是合理的。取出Time，根据Time判断IDi属于哪次认证会话。根据RK＝H(Time)计算RK。用前文所述方法从路由装置密钥卡中取出多组PK0Tempj和SK0Tempj，其中j∈[1，KN]。然后根据计算公式

计算得到PK0Temp和SK0Temp。用Xi恢复EPKi′为EPKi。恢复过程如下，将H(Xi)与Time组合起来进行HG哈希运算，对EPKiR-HG(HXi||Time)加上HG(H(Xi)||Time)从而得到EPKiR，由于EPKi＝{EPKiR，EPKic，EPKit}得到EPKi。用SK0Main解密EPKi得到PKiMain和PKiTemp。用Time||PKiMain||PKiTemp||SIGSi和HXi验证MAC。

路由装置搜集到t-1个移动设备发来的消息，根据t-1组(Xi，PKiMain)以及(X0，PK0Main)求得拉格朗日参数

在ECC情况下，令PKiMain＝SKiMain*P，则PKMain＝SKMain*P＝(∑λi*SKiMain)*P＝∑λi*(SKiMain*P)＝∑λi*PKiMain，因此PKMain可通过公式

求得。

根据t-1组(Xi，PKiTemp)以及(X0，PK0Temp)，恢复PKTemp。恢复原理如下：

由于第j个公钥单元的公钥

KN个公钥的和为PK，原理公式演变如下：

因此

采用ECIES加密方案得EPKT＝ENC(PKTemp，PKiMain)＝{EPKTR，EPKTc，EPKTt}，EPKT′＝{EPKTR-PKiTemp，EPKTc，EPKTt}，共t-1个。令IDW为t个IDi的集合，其中包括ID0。将Time、IDW和认证请求消息Msg的组合定义为Tx。用H(Xi)对Tx||PKTemp组合进行MAC运算，得到MAC(Tx||PKTemp，H(Xi))。将Tx、EPKT′和MAC(Tx||PKTemp，H(Xi))的组合发送给移动设备，共t-1个。

第四步，移动设备收到路由装置发送来的消息。第i个移动设备用PKiTemp恢复EPKT′为EPKT，即对EPKTR-PKiTemp加上PKiTemp得到EPKTR。用SKiMain对EPKT解密得到PKTemp。根据Tx、PKTemp和H(Xi)验证MAC，如果不通过结束本次签名。

设点PKTemp的横坐标为PKTempx，纵坐标为PKTempy，则PKTemp可表示为(PKTempx，PKTempy)。设PKTempxmod q值为TxsigR，H(TxsigR||Tx)的值为TxsigE。定义userSigi可表示为SKiTemp+TxsigE*SKiMain mod q。最后将{IDi，Time，userSigi}命名为userTx。移动设备将userTx发送给路由装置。

步骤2：路由装置验证签名分量userSigi

路由装置收到移动设备发来的信息后，先判断IDi是否合理即是否隶属于本路由装置，如果不是则结束本次验证。根据Time确认IDi属于哪次认证会话。计算TxsigR＝PKTempx mod q，TxsigE＝H(TxsigR||Tx)。

验证签名分量userSigi，可以通过对userSigi*P＝PKiTemp+TxsigE*PKiMain等式进行判断，以判决签名userSigi是否正确，这是因为：PKiTemp+TxsigE*PKiMain＝SKiTemp*P+TxsigE*SKiMain*P＝(SKiTemp+TxsigE*SKiMain)*P＝userSigi*P。因此利用该等式可对各持有移动设备的用户身份的真实性进行判断，如果不等则拒绝该签名者签名并结束本次签名过程。验证通过后，路由装置暂存IDi及相关密钥用于后续签名。

步骤3：路由装置生成Txsig

路由装置生成的签名分量userSig0可表示为SK0Temp+TxsigE*SK0Main mod q。设作为签名者对消息的签名为Txsig，则Txsig可表示为

原理：

步骤4：路由装置发出交易

设路由装置的公钥和私钥分别为PKR和SKR，ID0是路由装置的ID。将t个S签名单元值SIGSi的集合定义为SIGS。用服务器公钥PKS对PKMain||TxsigE组合进行RSA加密得到ENCRSA(PKMain||TxsigE，PKS)，将集合{Tx，Txsig，ENCRSA(PKMain||TxsigE，PKS)，SIGS}定义为clientTx，并发送给服务器S。

步骤5：服务器S验证交易

服务器收到消息后，用自己的私钥SKS解密ENCRSA(PKMain||TxsigE，PKS)得到PKMain和TxsigE。根据t个IDi和PKMain，用自己的公钥验证t个SIGSi，验证成功后证明t个IDi和PKMain均合法。用PKMain验证签名Txsig。验证过程如下：

第一步，接收者计算点PKTemp′

PKTemp′＝(PKTempx′，PKTempy′)＝Txsig*P-TxsigE*PKMain

原理：由于Txsig＝SKTemp+TxsigE*SKMain，因此

PKTemp＝SKTemp*P＝(Txsig-TxsigE*SKMain)*P＝Txsig*P-TxsigE*PKMain。

第二步，计算TxsigR′＝PKTempx′mod q，TxsigE′＝H(TxsigR′||Tx)。

第三步，判断TxsigE′是否等于TxsigE，若是说明签名有效则接受该签名，否则拒绝。

步骤6：服务器S发出认证结果通知

服务器S取出t个IDi，以及路由装置对应的随机数密钥池，根据前文所述秘密共享原理恢复用户ID。从而服务器S得知是哪个用户发送的认证请求。

服务器生成通知，设通知内容为Notify，用路由装置公钥PKR对Notify进行RSA加密得到ENCRSA(Notify，PKR)，对Notify和组合PKMain||TxsigE进行MAC运算得到消息认证码MAC(Notify，PKMain||TxsigE)。将组合Time||ENCRSA(Notify，PKR)||MAC(Notify，PKMain||TxsigE)定义为NtfS，并发送给路由装置。

步骤7：路由装置对移动设备发出通知

路由装置接收到服务器S发送来的认证结果消息后，用自身私钥SKR对ENCRSA(Notify，PKR)进行解密得到Notify。根据Notify和组合PKMain||TxsigE验证MAC，不通过则结束本次认证。使用ECIES加密方案进行加密：ENtf＝ENC(Notify，PKiMain)＝{ENtfR，ENtfc，ENtft}，ENtf′＝{ENtfR-HG(H(Xi)||Time)，ENtfc，ENtft}。设Time与ENtf′的组合为Ntf，设NtfsigE是对组合TxsigR||Ntf进行哈希运算得到的值。设NotifySig表示为SK0Temp+NtfsigE*SK0Main mod q，最后将Ntf和NotifySig组成的集合定义为clientNtf，并将clientNtf发送给移动设备，共t-1个。

步骤8：移动设备验证NotifySig

对组合TxsigR||Ntf进行哈希运算得到值定义为NtfsigE，验证签名NotifySig*P是否等于PK0Temp+NtfsigE*PK0Main，如果不是则拒绝该签名并结束本次签名过程。用HXi恢复ENtf′为ENtf，即对ENtfR-HG(H(Xi)||Time)加上HG(HXi||Time)得到ENtfR，用SKiMain对ENtf进行解密得到Notify。

Claims (9)

1.一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统，其特征在于：包括若干移动设备、路由装置和服务器，其中，单台服务器配置若干路由装置，单台路由装置配置若干移动设备，同一用户对应一台路由装置及其属下的若干移动设备；所述各移动设备、路由装置和服务器均设有密钥卡，移动设备的密钥卡由其所属的路由装置颁发，路由装置的密钥卡由其所属的服务器颁发；

所述用户的ID通过(t，n)秘密共享得到影子秘密，每组影子秘密包括随机数和ID分量；所述用户的永久私钥通过(t，n)秘密共享得到影子秘密，每组影子秘密包括随机数和永久私钥分量；所述用户的临时私钥通过(t，n)秘密共享得到影子秘密，每组影子秘密包括随机数和临时私钥分量；所述用户的临时公钥通过(t，n)秘密共享得到影子秘密，每组影子秘密包括随机数和临时公钥分量；同一用户的ID、永久私钥、临时公钥和临时私钥秘密共享得到的随机数相同；

所述移动设备密钥卡内存储包括移动设备ID、随机数哈希值、永久公钥分量、永久私钥分量、路由装置的永久公钥分量、含有服务器签名单元的证书、若干临时公钥分量和临时私钥分量，移动设备ID为对应用户ID秘密共享得到的一个ID秘密分量，临时公钥分量和临时私钥分量用于分别计算获得该移动设备的临时总公钥分量和临时总私钥分量；

所述路由装置密钥卡内存储包括路由装置ID、路由装置私钥、随机数池、永久公钥分量、永久私钥分量、若干临时公钥分量和临时私钥分量，路由装置ID为对应用户ID秘密共享得到的一个ID秘密分量，随机数池内存放对应用户秘密共享得到的所有随机数，临时公钥分量和临时私钥分量用于分别计算获得路由装置的临时总公钥分量和临时总私钥分量；

所述服务器密钥卡内存储包括服务器公钥、服务器私钥、路由装置公钥池和若干随机数池，路由装置公钥池内存放该服务器属下的各路由装置的公钥，每个随机数池内存放对应路由装置所需的随机数。

2.根据权利要求1所述的一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统，其特征在于，在有限域上定义安全椭圆曲线，在该安全椭圆曲线上选取基点，所述用户的永久公钥通过永久私钥和基点计算获得，永久公钥分量通过永久私钥分量和基点计算获得。

3.根据权利要求2所述的一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统的方法，其特征在于，车载网身份认证方法包括以下步骤：

步骤A1、用户操作路由装置发起认证，移动设备向路由装置发送包括自身信息的消息，路由装置验证消息的正确性后，将收到的路由装置信息与自身信息结合后向移动设备发送包括认证请求的消息，移动设备验证消息正确后生成签名分量，向路由装置发送包括签名分量的消息；

步骤A2、路由装置对各移动设备的签名分量进行验证，判断持有移动设备的用户身份的真实性；

步骤A3、路由装置对移动设备的签名分量验证通过后，生成自身的签名分量，结合各移动设备的签名分量得到签名者对消息的签名；

步骤A4、路由装置向服务器发送包括签名的消息；

步骤A5、服务器收到消息后验证签名是否有效；

步骤A6、服务器验证签名有效后，向发出认证请求的用户对应的路由装置发送包括认证结果通知的消息；

步骤A7、路由装置对收到的消息验证通过后，向各移动设备发送包括认证结果通知和签名的消息；

步骤A8、移动设备对消息中的签名验证有效后得到认证结果通知，完成本次认证。

4.根据权利要求3所述的一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统的方法，其特征在于，所述步骤A1包括：

路由装置向所有建立连接的移动设备发送当前的时间戳；

若移动设备判断时间戳合理，计算获得该移动设备临时总公钥分量和临时总私钥分量；

移动设备向路由装置发送消息一，消息一包括移动设备ID、时间戳、包括存储在移动设备的永久公钥分量和临时总公钥分量的加密文、服务器签名单元和消息认证码；

路由装置收到消息一后，判断消息一中的移动设备ID是否属于本路由装置，若属于，根据时间戳判断该移动设备ID属于哪次认证会话；

计算获得分配给路由装置的用户临时总公钥分量和临时总私钥分量；

解密加密文得到分配给移动设备的用户永久公钥分量和临时总公钥分量；

路由装置对若干移动设备发来的消息中的消息认证码验证通过后，计算获得永久公钥和临时总公钥；

路由装置向若干移动设备发送消息二，消息二中包括组合消息、包括临时总公钥的加密文以及消息认证码，组合消息中包括时间戳、路由装置ID和若干移动设备ID的组合以及认证请求消息；

移动设备收到消息二后，解密加密文得到临时总公钥；

验证消息二中的消息认证码，若验证不通过，结束本次签名；若验证通过，将临时总公钥表示为横坐标和纵坐标的组合，对横坐标进行运算后得到参数一，再结合组合消息进行哈希运算得到参数二；

移动设备向路由装置发送消息三，消息三中包括移动设备ID、时间戳和包括移动设备的临时总私钥分量、永久私钥分量和参数二的签名分量。

5.根据权利要求4所述的一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统的方法，其特征在于，所述步骤A1中，计算获得临时总公钥分量、临时总私钥分量和临时总公钥的方法为：

根据时间戳的哈希值，结合密钥指针函数和密钥系数计算函数计算获得密钥位置和密钥系数；

根据密钥位置取出对应的临时公钥分量、临时私钥分量和临时公钥，结合密钥系数计算获得临时总公钥分量、临时总私钥分量和临时总公钥。

6.根据权利要求4所述的一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统的方法，其特征在于，所述步骤A2包括：

路由装置收到消息三后，判断消息三中移动设备ID是否属于本路由装置，若不属于，结束本次验证，若属于，根据时间戳判断该移动设备ID属于哪次认证会话；

重新对临时总公钥的横坐标进行运算后得到参数三，再结合组合消息进行哈希运算得到参数四，结合移动设备的临时总公钥分量、永久公钥分量验证消息三中的签名分量是否正确；

若不正确，拒绝该签名者签名，结束本次签名过程；若正确，路由装置暂存移动设备ID及其永久公钥分量；

所述步骤A3包括：

路由装置生成包括路由装置的临时总私钥分量、永久私钥分量和参数二的签名分量；

得到包括路由装置的签名分量和若干移动设备的签名分量的签名者对消息的签名；

所述步骤A4包括：

路由装置向服务器发送消息四，消息四中包括组合消息、签名者对消息的签名、包括永久公钥和参数四的加密文以及若干移动设备中服务器签名单元的集合。

7.根据权利要求6所述的一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统的方法，其特征在于，所述步骤A5包括：

服务器收到消息四后，解密加密文得到永久公钥和参数四；

验证服务器签名单元，若验证成功，根据参数四、永久公钥以及签名者对消息的签名重新计算得到新的临时总公钥，将新的临时总公钥表示为横坐标和纵坐标的组合；

对新的临时总公钥的横坐标进行运算后得到参数五，再结合组合消息进行哈希运算得到参数六，判断参数六是否与参数四相等，若相等，签名有效，接受该签名，若不相等，拒绝该签名；

所述步骤A6包括：

服务器根据移动设备和路由装置的ID以及路由装置对应的随机数密钥池，恢复用户ID，得知发送认证请求的对应用户；

生成认证结果通知，向路由装置发送消息五，消息五中包括时间戳、包括认证结果通知的加密文和消息认证码。

8.根据权利要求7所述的一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统的方法，其特征在于，所述步骤A7包括：

路由装置收到消息五后，解密加密文得到认证结果通知；

验证消息五中的消息认证码，若验证不通过，结束本次认证；若验证通过，生成包括认证结果通知的加密文，结合参数三和时间戳进行哈希运算得到参数七；

路由装置向移动设备发送消息六，消息六中包括时间戳、加密文和包括参数七、路由装置的临时私钥分量和永久私钥分量的签名。

9.根据权利要求8所述的一种基于秘密共享和多个移动设备的抗量子计算车载网身份认证系统的方法，其特征在于，所述步骤A8包括：

移动设备收到消息六后，对参数一、时间戳和加密文进行哈希运算得到参数八，再结合路由装置的临时总私钥分量和永久私钥分量验证消息六中的签名，若验证不通过，拒绝该签名，结束本次签名过程；若验证通过，解密加密文得到认证结果通知，从而移动设备获得认证结果，完成本次认证。

Images