CN111404664B - 基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法 - Google Patents

Abstract

本发明公开了一种基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法，系统包括通信连接的若干服务站和若干组移动设备，服务站包括颁发者和接入服务站，同组内的移动设备由同一个颁发者颁发密钥卡且以(n，n)秘密共享方式共享同一设备ID和设备密钥，对应的ID分量和密钥分量分别存储到移动设备密钥卡和颁发者密钥卡内。本发明通过多个移动设备秘密共享设备ID和设备密钥，使用永久密钥分量和临时密钥分量对消息进行签名或加密运算，临时密钥在每次认证交易后更新，完整的设备ID和设备密钥在整个认证过程中均没有在网络中传输，提高了安全性，保障了移动设备对应的权益。

Description

基于秘密共享和多个移动设备的量子保密通信身份认证系统 和方法

技术领域

本发明涉及量子通信身份认证技术领域，尤其涉及一种基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法。

背景技术

身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。

随着移动互联网的迅速发展，企业事业单位内部业务网站也逐步走向移动终端方向发展，为了便于工作人员随时了解工作内容，用户希望能够通过便携的移动终端来访问单位内部网站服务器。若身份认证存在漏洞会导致数据的泄露，会为企业带来不可挽回的后果。因此，安全可靠的身份认证方法是非常必要的。现有的对移动终端的认证方式主要有：通过账号和密码登录认证、通过动态口令认证、通过将设备标识信息与认证服务器中预存的用户设备信息比对进行认证等，但账户密码、动态口令和设备ID都存在被截获泄露的可能。

但是，现有的这些移动设备身份认证方式在信息传输过程中往往使用的都是基于数学算法复杂度的加密方式，如当今主流的非对称加密算法，如RSA加密算法，大多数都是基于大整数的因式分解或者有限域上的离散对数的计算这两个数学难题。他们的破解难度也就依赖于解决这些问题的效率。传统计算机上，要求解这两个数学难题，花费时间为指数时间(即破解时间随着公钥长度的增长以指数级增长)，这在实际应用中是无法接受的。而为量子计算机量身定做的秀尔算法可以在多项式时间内(即破解时间随着公钥长度的增长以k次方的速度增长，其中k为与ID长度无关的常数)进行整数因式分解或者离散对数计算，从而为RSA、离散对数加密算法的破解提供可能。

公开号为CN109951513A的专利文献公开了一种基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统，包括智能家庭组件、量子通信服务站、安全云分别配有量子密钥卡，该方案采取了将智能家庭成员的公钥存储在量子密钥卡内、为上传至安全云的每一个文件添加数字签名、对基于公私钥的数字签名被随机数密钥进一步加密等措施，提高了智能家庭系统的安全性。但该专利在通信过程中，智能家庭组件和量子通信服务及安全云之间，对用户ID和密钥的安全处理，公开的内容相对较少。

综上，现有的基于移动设备的认证方式存在下面的问题：

1.密钥卡丢失或者被窃取后，可能被暴力破解等方式获取到内部的密钥。如果非对称密钥系统的私钥被敌方所知，则将丧失该私钥所对应的所有权益。如果非对称密钥系统的公钥被敌方所知，假如敌方拥有量子计算机，则将通过公钥破解出私钥，同样将丧失该私钥所对应的所有权益。

2.密钥卡丢失或者被窃取后，可能被直接拿来使用，并对用户账号所对应的权益造成损害。例如对用户账号转出所有权益，造成权益被盗。

3.现有数字签名的抗量子计算能力不高，可能被计算得到签名私钥。而为使得数字签名具有抗量子计算能力，必须对数字签名进行加密，加大了数字签名的计算量。

4.现有网络通信主体的ID暴露于网络中，用户隐私的安全性不高。

发明内容

技术目的：针对上述技术问题，本发明提出了一种基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法，通过多个移动设备秘密共享设备ID和设备密钥，服务站在收到多个设备的ID秘密分量或密钥分量后，再进行ID或密钥分量的秘密恢复，使用永久密钥分量和临时密钥分量进行签名或加密运算，临时密钥在每次认证交易后更新，完整的设备ID和设备密钥在整个认证过程中均没有在网络中传输，提高了安全性，保障了移动设备对应的所有权益。

技术方案：

一种基于秘密共享和多个移动设备的量子保密通信身份认证系统，其特征在于：包括通信连接的若干服务站和若干组移动设备，服务站包括颁发者和接入服务站；同组内的移动设备由同一个颁发者颁发密钥卡且以(n，n)秘密共享方式共享同一设备ID和设备密钥，设备密钥包括永久私钥、永久公钥、临时私钥和临时公钥，对应的秘密共享随机数、ID分量和密钥分量分别存储到移动设备密钥卡和颁发者密钥卡内；

所述移动设备密钥卡中存储秘密共享随机数、临时公钥哈希值、永久公钥分量、临时公钥分量、永久私钥分量、临时私钥分量、颁发者临时公钥分量和颁发者签名分量；

所述颁发者密钥卡内存储所有的秘密共享随机数、对应每组移动设备的颁发者永久公钥分量、颁发者永久私钥分量、颁发者临时公钥分量和颁发者临时私钥分量，密钥卡的私有区内还存有颁发者公钥和私钥；

根据分配给颁发者的ID分量查找颁发者密钥卡内的密钥分量和随机数。

本发明还公开了一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，包括认证步骤：

同组的移动设备作为交易发起方，发出加密的设备端消息，设备端消息包括由各个移动设备生成的消息分量；

所述交易发起方的颁发者作为交易处理方，直接或通过接入服务站间接收到设备端消息，验证和处理后生成认证端消息；所述颁发者采用对应的方式将认证端消息直接或通过接入服务站间接反馈给交易发起方；所述认证端消息中包括加密的会话密钥；

所述接入服务站对设备端消息进行验证和转发，对认证端消息进行验证和转发、并获得会话密钥用于与移动设备进行通信；

所述交易发起方收到认证端消息后进行验证和解密，得到会话密钥并存储。

优选地，所述消息分量中包括设备端签名分量，移动设备包括步骤：

生成认证请求消息，并与同组内所有移动设备取统一的时间戳；

将认证请求信息和时间戳组合作为交易内容，使用临时公钥的哈希值作为第一签名参数，计算第一签名参数和交易内容的组合的哈希值并作为第二签名参数；

根据临时私钥分量、永久私钥分量和第二签名参数，计算获得设备端签名分量。

优选地，所述消息分量中包括公钥分量密文，移动设备执行步骤：

生成一个随机数作为新临时私钥分量，计算对应的新临时公钥分量；

使用本地存储的颁发者临时公钥分量对永久公钥分量、临时公钥分量和新临时公钥分量的组合进行加密，得到公钥分量密文。

优选地，所述消息分量中包括颁发者签名分量，颁发者包括步骤：

采用颁发者私钥对设备ID和永久公钥的组合进行签名，获得颁发者签名；

对颁发者签名进行(n，n)秘密共享，得到的颁发者签名分量分别存储到自身密钥卡和同一组的移动设备密钥卡内。

优选地，所述消息分量中包括设备端消息认证码，移动设备包括步骤：

取出临时公钥的哈希值对消息分量进行计算，获得消息认证码；

根据同组内所有移动设备生成的消息分量和消息认证码组，生成设备端消息。

优选地，所述消息分量中包括用于交易验证的设备端签名分量和公钥分量密文，设备端签名分量中包括永久私钥分量和临时私钥分量信息，公钥分量密文中包括永久公钥分量、临时公钥分量和新临时公钥分量信息；

所述颁发者包括步骤：

所述颁发者对所有消息分量验证和处理，获得交易内容及所有对应的移动设备密钥分量，结合本地存储颁发者密钥分量，恢复设备ID、永久公钥和临时公钥；

所述颁发者使用临时公钥的哈希值作为第一签名参数，计算第一签名参数和交易内容的组合的哈希值并作为第二签名参数；

所述颁发者计算认证端签名分量，结合所有的设备端签名分量，制作完整签名；

所述颁发者生成的认证端消息中包括完整签名、会话密钥和通知签名；

若颁发者直接向交易发起方反馈消息，由颁发者在发出认证消息前对完整签名进行验证；若颁发者通过接入服务站向交易方反馈消息，由接入服务站在转发认证端消息前对完整签名进行验证；

完整签名验证通过，则移动设备身份认证通过。

优选地，所述颁发者根据颁发者临时私钥分量和颁发者永久私钥分量、及第二签名参数计算认证端签名分量，结合所有的设备端签名分量，制作完整签名。

优选地，所述接入服务站包括步骤：

从接收到的设备端消息中，得到移动设备ID分量和交易内容，交易内容主要由时间戳和认证请求消息组成，判断交易内容是否合理；

接入服务站从本地ID列表中查找到对应的颁发者ID分量，根据颁发者ID分量找到对应的颁发者，将设备端消息使用QKD密钥加密后发送给颁发者；

使用QKD密钥对接收到的认证端消息进行解密；

对认证端消息中要求接入服务站验证的消息进行验证，验证通过则表明身份认证通过，转发认证端消息中的要求发送给各移动设备的反馈消息，并将会话密钥作为与移动设备通信的密钥。

有益效果：

1、在本发明中，密钥卡丢失或者被窃取后，不可能被暴力破解等方式获取到内部的密钥。如果敌方获取到用户密钥卡，用户密钥卡存有秘密共享随机数哈希值Hx_i、秘密共享公钥分量PK_i、秘密共享私钥分量SK_i，因此无法利用秘密共享恢复SK、PK，即没有任何有效的与身份相关的密钥信息。如果敌方获取到量子通信服务站密钥卡，量子通信服务站密钥卡内存有秘密共享所有随机数、公钥分量PK₀、私钥分量SK₀，无法利用秘密共享恢复SK、PK，即没有任何有效的与身份相关的密钥信息。由于用户的私钥不会被敌方所知，且少量密钥卡无法成功地进行身份认证，因此既不会被恶意获取私钥，也不会因丢失少量密钥卡而丧失私钥，因此极大保护了私钥所对应的账号的所有权益。

2、在本发明中，不仅不公开用户公钥，使得量子计算机无法获得公钥，从而也无法获得公钥对应的私钥；而且将该不公开的用户公钥加入到服务站对用户证书签名的过程中，使得证书签名无需额外的加密保护即可以抵抗量子计算的攻击，减小了数字签名和验证签名的计算量；对于门限签名，不公开签名分量(即TxsigE)，使得敌方缺少破解门限签名的必备参数，因此门限签名可以无需加密即可抵抗量子计算机的攻击。

3、本发明中，通过多个设备秘密共享设备主人的ID，服务站在收到多个设备的ID秘密分量后再进行ID的秘密恢复，使得设备主人的ID没有暴露于网络中，提高了安全性。

4、本发明中，秘密共享的密钥在每次身份认证后得到更新，提高了安全性。

附图说明

图1为本发明中移动设备密钥卡的密钥区结构图；

图2为本发明中量子通信服务站密钥卡的密钥区结构图。

具体实施方式

系统说明

本发明中，系统组网由以下几部分组成：移动设备W(含多个移动设备)、移动设备W的颁发者R、以及移动设备W的接入服务站S。其中，R和S均为量子通信服务站。

移动设备可能是：

(1)UKEY，通过USB接口连接用户主机；

(2)IC密钥卡，通过IC卡读卡器连接用户主机；

(3)NFC密钥卡，通过NFC连接用户主机；

(4)蓝牙KEY，通过蓝牙连接用户主机；

(5)红外KEY，通过红外连接用户主机；

(6)WIFI密钥卡，通过WIFI连接用户主机。

移动设备的实际具体形态可以是：车钥匙、移动通信终端(如手机等)、可穿戴设备(如蓝牙耳机、智能眼镜、智能手表等)、IC卡等。

用户主机可以是PC、手机等具有联网能力的计算设备。

本发明中，移动设备W与R通信的密码系统使用ECC系统。

移动设备W的ID表示为IDW_i(i∈[1,n-1])。

秘密分量共n个。

R使用下标为0的秘密分量。

在量子通信服务站R为移动设备W进行密钥卡颁发时，先选择椭圆曲线的域参数包含q，a，b，P和n。q代表有限域Fq的大小；变量a和b是椭圆曲线y²＝x³+ax+b的系数，满足4a³+27b²≠0；P是基点生成元。生成椭圆曲线后，选择基点生成元P，满足它的阶是整数n。生成的私钥sk和公钥pk满足pk＝sk*P。算法的相关参数{q,a,b,P,n}写入到密钥卡指定区域。

对每个用户端的私钥SK进行(n,n)的秘密共享。在对信息m进行(t,n)的秘密共享时，n为m拆分共享秘密的碎片数，t为恢复m所需要的最小碎片数，2≤t≤n。

从素数阶q的有限域GF(q)中随机选取n个不同的非零元素，生成秘密共享随机数x₀,x₁,x₂,...,x_n-1，分配给参与者P_i(i∈[0,n-1])。

针对私钥SK，从GF(q)中选取t-1个元素a₁,a₂,...,a_t-1，构造多项式

则有SK_i＝f(x_i)(0≤i≤n-1)。计算得到的秘密分量为(x_i,SK_i)。在ECC系统的情况下：PK_i＝SK_i*P。

从n个参与者中获取任意t个影子秘密可以恢复SK，具体步骤如下：

根据公式

求得拉格朗日参数λ_i，再根据公式SK＝f(0)＝∑λ_i*SK_i求得SK。在ECC系统的情况下：

针对用户ID，计算得到的秘密分量为(x_i,ID_i)。从n个参与者中获取任意t个影子秘密可以恢复SK，具体步骤如下：根据公式

求得拉格朗日参数λ_i，再根据公式

求得ID。

本发明进行(n,n)的秘密共享。

设移动设备永久私钥为SK_Main，永久私钥分量为SK_iMain，

移动设备永久公钥为PK_Main＝SK_Main*P，永久公钥分量为PK_iMain＝SK_iMain*P。

取随机数SK_iTemp作为秘密共享临时私钥分量，临时公钥分量PK_iTemp＝SK_iTemp*P，临时私钥

临时公钥

临时公钥哈希值HPK_Temp＝H(PK_Temp)＝H(PK_Tempx||PK_Tempy)，H(*)是一种哈希运算。

移动设备密钥卡是通过安全方式获得的，例如在R进行注册登记，将对应密钥安全信息导入密钥卡。移动设备密钥卡密钥区结构图如图1所示。具体结构说明如下：

随机数部分存储有秘密分量x_i。

公钥哈希部分存储有临时公钥哈希值HPK_Temp。

公钥部分存储有秘密共享公钥PK_i，(i∈[1,n-1])以及R的秘密共享公钥PK₀。

私钥部分存储有秘密共享私钥SK_i，(i∈[1,n-1])。

证书部分存储有秘密共享证书分量SIG_i。获取方式如下：

R对W的ID和永久公钥PK_Main进行RSA签名得到

SIG＝SIGN_RSA(IDW||PK_Main，SK_R)。其中，SIGN_RSA(m，sk)表示使用私钥sk对消息m进行RSA签名。对签名SIG进行(n,n)秘密共享后得到SIG的分量(x_i,SIG_i)。由于x_i不会被敌方所知，因此敌方无法通过SIG_i求得SIG。由于IDW||PK_Main不会被敌方所知，因此敌方无法通过SIG求得SK_R。

密钥卡中实际存储的是一组HPK_Temp/PK_iMain/PK_iTemp/SK_iMain/SK_iTemp/PK_0Temp/SIG_i。

本发明中，R与S之间通信使用QKD密钥。任意2个量子通信服务站之间搭建有QKD通道，可通过QKD形成对称密钥池，并通过QKD密钥将自身公钥传输到各量子通信服务站。因此每个量子通信服务站内存中存有其他所有量子通信服务站的公钥。

量子通信服务站密钥卡密钥区结构图如图2所示。

设IDW对应的R密钥区中的ID条目为IDW₀。

R密钥区中对应IDW的密钥有：

随机数池/PK_0Main/PK_0Temp/SK_0Main/SK_0Temp/SIG₀。即对IDW的所有成员来说，R的对接ID为IDW₀。每个服务站包括一个对接ID的列表，用QKD密钥发送至各服务站。

量子通信服务站密钥卡的私有区，可以是本密钥卡内的具有更高安全性的区域。

例如安全芯片内部；也可以是私有区密钥卡，与量子通信服务站密钥卡进行受控且可以保证不存在敌方的有线通信连接如USB连接，或与量子通信服务站密钥卡进行受控且可以保证不存在敌方的无线通信连接如NFC连接。量子通信服务站密钥卡的私有区存储有本服务站的公私钥，以及RSA算法参数ModN。ModN如果被敌方获取，敌方可以利用量子计算机将其分解为两个大素数的乘积，继而破解RSA公钥、私钥；将其存储于私有部分，使之不被敌方获取，即可使得RSA算法具有更强的抵抗量子计算攻击的能力。

每个量子通信服务站管理多个移动设备的密钥卡颁发，将多个移动设备的真实ID存储为合法用户列表。

实施例1：

本实施例中，R为W的颁发服务站。

由于网络连接的地域性限制(例如无线连接只能接入当地的服务站，或者由运营商人为规定只能接入当地的服务站)，S为W的接入服务站。

步骤1：W→S。

n-1个移动设备取统一的时间timeR及认证请求消息Request。

每个移动设备生成下一轮签名可使用的密钥PK_iTempNew/SK_iTempNew，(i∈1,n-1，其中，SKiTempNew为随机数，PKiTempNew＝SKiTempNew*P。

每个移动设备使用ECIES算法计算得到

EPK_i＝ENC(PK_iMain||PK_iTemp||PK_iTempNew,PK_0Temp)＝{EPK_iR,EPK_ic,EPK_it}。对EPK_iR计算偏移量得到EPK′_i＝{EPK_iR-HG(timeR||x_i||IDW_i),EPK_ic,EPK_it}。其中，HG是将整数映射到椭圆曲线点的哈希函数。

每个移动设备将timeR和Request组合成Tx，令TxsigR＝HPK_Temp，计算TxsigE＝H(TxsigR||Tx)。其中，H(*)是一种哈希运算。

每个移动设备计算签名分量ReqSig_i＝SK_iTemp+SK_iMain*TxsigE(mod q)。

每个移动设备制作MsgW_i＝IDW_i||IDW₀||Tx||EPK′_i||SIG_i||ReqSig_i。

每个移动设备使用HPK_Temp对MsgW_i制作消息认证码MAC(MsgW_i,HPK_Temp)，所有MsgW_i组合成MsgW，发送给量子通信服务站S。MsgW可表示为MsgW＝{MsgW_i||MAC(MsgW_i,HPK_Temp),(i∈[1,n-1])}。

步骤2：S→R。

量子通信服务站S收到MsgW后，判断Tx中timeR和Request的合理性，从对接ID列表中找到IDW₀，进一步找到真实ID即IDR。然后S将MsgW发送给R。

步骤3：R→S。

量子通信服务站R搜集到n-1个IDW_i发来的信息后，判断IDW_i的合理性(即使用n个IDW_i恢复IDW，在合法用户列表中查看IDW是否为合法用户)。

R根据IDW₀，取出随机数池/PK_0Main/PK_0Temp/SK_0Main/SK_0Temp/SIG₀。

计算HG(timeR||x_i||IDW_i)，对EPK_iR-HG(timeR||x_i||IDW_i)加上HG(timeR||x_i||IDW_i)后，将EPK′_i恢复为EPK_i。使用SK_0Temp对EPK_i进行解密得到PK_iMain||PK_iTemp||PK_iTempNew。

根据n-1组(x_i,PK_iMain)以及(x₀,PK_0Main)，恢复PK_Main，原理如下：

同理根据n-1组(x_i,PK_iTemp)以及(x₀,PK_0Temp)，恢复

计算H(PK_Temp)并对多个MAC(MsgW_i,HPK_Temp)进行验证。

验证通过后，计算TxsigR＝HPK_Temp，TxsigE＝H(TxsigR||Tx)。

由于ReqSig_i＝SK_iTemp+SK_iMain*TxsigE(mod q)，PK_iTemp＝SK_iTemp*P，PK_iMain＝SK_iMain*P，因此，若ReqSig_i*P与PK_iTemp+PK_iMain*TxsigE相等，则完成对签名分量ReqSig_i的验证。

完成验证后，R计算ReqSig₀＝SK_0Temp+SK_0Main*TxsigE(mod q)，制作完整签名

R生成下一轮签名可使用的密钥PK_0TempNew/SK_0TempNew。其中，SK_0TempNew为随机数，PK_0TempNew＝SK_0TempNew*P。

根据(x_i,PK_iTempNew)，i∈[1,n-1]，得到

计算得到HPK_TempNew＝H(PK_TempNew)。更新PK_0Temp/SK_0Temp为PK_0TempNew/SK0TempNew。

R生成会话密钥KS和通知Notify。

使用PK_iMain对通知内容Notify和会话密钥KS进行ECIES加密，计算得到ENtf_i＝ENC(Notify||HPK_TempNew||PK_0TempNew||KS,PK_iMain)＝{ENtf_iR,ENtf_ic,ENtf_it}。对ENtf_iR计算偏移量得到ENtf′_i＝{ENtf_iR-PK_iTemp,ENtf_ic,ENtf_it}。

计算通知签名参数NtfsigE_i＝H(TxsigR||ENtf′_i)，计算通知签名NotifySig_i＝SK_0Temp+SK_0Main*NtfsigE_i(mod q)。

使用n个SIG_i恢复SIG。

制作MsgR＝Tx||Txsig||TxsigE||SIG||IDW||PK_Main||KS||{ENtf′_i||NotifySig_i,(i∈1,n-1。

R使用与S之间的QKD密钥K_Q，对MsgR进行对称加密并计算消息认证码，发送给S的消息可表示为ENCQKD(MsgR,K_Q)||MAC(MsgR,K_Q)。其中ENCQKD(m,k)表示对消息m使用QKD密钥k进行对称加密。

步骤4：S→W。

4.1：S验证交易

S收到后，使用QKD密钥K_Q进行解密以及消息认证。

使用PK_R验证SIG，证明IDW和PK_Main的有效性。

使用PK_Main验证签名Txsig，具体步骤如下：

(1)计算PK′_Temp＝Txsig*P-PK_Main*TxsigE；原理：Txsig*P-PK_Main*TxsigE＝(SK_Temp+SK_Main*TxsigE(mod q))*P-PK_Main*TxsigE＝PK_Temp+PK_Main*TxsigE-PK_Main*TxsigE＝PK_Temp。

得到PK′_Temp＝(PK′_Tempx,PK′_Tempy)。

(2)计算TxsigR′＝H(PK′_Tempx)，进一步计算TxsigE′＝H(TxsigR′||Tx)。将TxsigE′与解密得到的TxsigE进行对比。

验证通过后，则表明身份认证通过。

S将MsgR中的{ENtf′_i||NotifySig_i,(i∈[1,n-1])}发送给多个移动设备，并将KS作为与移动设备W通信的密钥。

4.2：W获取会话密钥

移动设备W计算NtfsigE_i＝H(TxsigR||ENtf′_i)，由于NotifySig_i＝SK_0Temp+SK_0Main*NtfsigE_i(mod q)，PK_0Temp＝SK_0Temp*P，PK_0Main＝SK_0Main*P，因此，若NotifySig_i*P与PK_0Temp+PK_0Main*NtfsigE_i相等，则完成对签名分量ReqSig_i的验证。

对ENtf_iR-PK_iTemp加上PK_iTemp，将ENtf′_i恢复为ENtf_i，使用SK_iMain解密ENtf_i得到Notify||HPK_TempNew||PK_0TempNew||KS。W将KS作为与S通信的密钥，也可以作为移动设备之间通信的群组密钥。并将PK_iTemp/SK_iTemp/HPK_Temp/PK_0Temp更新为PK_iTempNew/SK_iTempNew/HPK_TempNew/PK_0TempNew。

实施例2：

本实施例中，R为W的颁发服务站且为W的接入服务站。

步骤1：W→R。

n-1个移动设备取统一的时间timeR及认证请求消息Request。

每个移动设备生成下一轮签名可使用的密钥PK_iTempNew/SK_iTempNew(i∈[1,n-1])。其中，SK_iTempNew为随机数，PK_iTempNew＝SK_iTempNew*P。

每个移动设备使用ECIES算法计算得到

EPK_i＝ENC(PK_iMain||PK_iTemp||PK_iTempNew,PK_0Temp)＝{EPK_iR,EPK_ic,EPK_it}。对EPK_iR计算偏移量得到EPK′_i＝{EPK_iR-HG(timeR||x_i||IDW_i),EPK_ic,EPK_it}。其中，HPK_Temp＝H(PK_Temp)。

每个移动设备将timeR和Request组合成Tx，令TxsigR＝HPK_Temp，计算TxsigE＝H(TxsigR||Tx)。

每个移动设备计算签名分量ReqSig_i＝SK_iTemp+SK_iMain*TxsigE(mod q)。

每个移动设备组合制作MsgW_i＝IDW_i||IDW₀||Tx||EPK′_i||SIG_i||ReqSig_i。

每个移动设备使用HPK_Temp对MsgW_i制作消息认证码MAC(MsgW_i,HPK_Temp)，所有MsgW_i组合成MsgW，发送给量子通信服务站R。MsgW可表示为MsgW＝{MsgW_i||MAC(MsgW_i,HPK_Temp),(i∈[1,n-1])}。

步骤2：R→W。

量子通信服务站R收到MsgW后，判断Tx中timeR和Request的合理性。

量子通信服务站R搜集到n-1个IDW_i发来的信息后，判断IDW_i的合理性(即使用n个IDW_i恢复IDW，在合法用户列表中查看IDW是否为合法用户)。

R根据IDW₀，取出随机数池/PK_0Main/PK_0Temp/SK_0Main/SK_0Temp/SIG₀。

计算HG(timeR||x_i||IDW_i)，对EPK_iR-HG(timeR||x_i||IDW_i)加上HG(timeR||x_i||IDW_i)后，将EPK′_i恢复为EPK_i。使用SK_0Temp对EPK_i进行解密得到PK_iMain||PK_iTemp||PK_iTempNew。

根据n-1组(x_i,PK_iMain)以及(x₀,PK_0Main)，恢复PK_Main，原理如下：

同理根据n-1组(x_i,PK_iTemp)以及(x₀,PK_0Temp)，恢复

计算H(PK_Temp)并对多个MAC(MsgW_i,HPK_Temp)进行验证。

验证通过后，计算TxsigR＝HPK_Temp，TxsigE＝H(TxsigR||Tx)。

由于ReqSig_i＝SK_iTemp+SK_iMain*TxsigE(mod q)，PK_iTemp＝SK_iTemp*P，PK_iMain＝SK_iMain*P，因此，若ReqSig_i*P与PK_iTemp+PK_iMain*TxsigE相等，则完成对签名分量ReqSig_i的验证。

完成验证后，R计算ReqSig₀＝SK_0Temp+SK_0Main*TxsigE(mod q)，制作完整签名

使用n个SIG_i恢复SIG。

R使用PK_R验证SIG，证明IDW和PK_Main的有效性。

使用PK_Main验证签名Txsig，具体步骤如下：

(1)计算PK′_Temp＝Txsig*P-PK_Main*TxsigE；原理：Txsig*P-PK_Main*TxsigE＝(SK_Temp+SK_Main*TxsigE(mod q))*P-PK_Main*TxsigE＝PK_Temp+PK_Main*TxsigE-PK_Main*TxsigE＝PK_Temp。

得到PK′_Temp＝(PK′_Tempx,PK′_Tempy)。

(2)计算TxsigR′＝H(PK′_Tempx)，进一步计算TxsigE′＝H(TxsigR′||Tx)。将TxsigE′与解密得到的TxsigE进行对比。

验证通过后，则表明身份认证通过。

R生成下一轮签名可使用的密钥PK_0TempNew/SK_0TempNew。其中，SK_0TempNew为随机数，PK_0TempNew＝SK_0TempNew*P。

根据(x_i,PK_iTempNew)，i∈[1,n-1]，得到

计算得到HPK_TempNew＝H(PK_TempNew)。更新PK_0Temp/SK_0Temp为PK_0TempNew/SK_0TempNew。

R生成会话密钥KS和通知Notify。

使用PK_iMain对通知内容Notify和会话密钥KS进行ECIES加密，计算得到ENtf_i＝ENC(Notify||HPK_TempNew||PK_0TempNew||KS,PK_iMain)＝{ENtf_iR,ENtf_ic,ENtf_it}。对ENtf_iR计算偏移量得到ENtf′_i＝{ENtf_iR-PK_iTemp,ENtf_ic,ENtf_it}。

计算通知签名参数NtfsigE_i＝H(TxsigR||ENtf′_i)，计算通知签名NotifySig_i＝SK_0Temp+SK_0Main*NtfsigE_i(mod q)。

将{ENtf′_i||NotifySig_i,(i∈[1,n-1])}发送至W。

步骤3：W获得会话密钥。

移动设备W计算NtfsigE_i＝H(TxsigR||ENtf′_i)，由于NotifySig_i＝SK_0Temp+SK_0Main*NtfsigE_i(mod q)，PK_0Temp＝SK_0Temp*P，PK_0Main＝SK_0Main*P，因此，若NotifySig_i*P与PK_0Temp+PK_0Main*NtfsigE_i相等，则完成对签名分量ReqSig_i的验证。

对ENtf_iR-PK_iTemp加上PK_iTemp，将ENtf′_i恢复为ENtf_i，使用SK_iMain解密ENtf_i得到Notify||HPK_TempNew||PK_0TempNew||KS。W将KS作为与R通信的密钥，也可以作为移动设备之间通信的群组密钥。并将PK_iTemp/SK_iTemp/HPK_Temp/PK_0Temp更新为PK_iTempNew/SK_iTempNew/HPK_TempNew/PK_0TempNew。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims (9)

1.一种基于秘密共享和多个移动设备的量子保密通信身份认证系统，其特征在于：包括通信连接的若干服务站和若干组移动设备，服务站包括颁发者和接入服务站；同组内的移动设备由同一个颁发者颁发密钥卡且以(n，n)秘密共享方式共享同一设备ID和设备密钥，设备密钥包括永久私钥、永久公钥、临时私钥和临时公钥，对应每组移动设备的秘密共享随机数、ID分量和密钥分量分别存储到移动设备密钥卡和颁发者密钥卡内；

所述移动设备密钥卡中存储秘密共享随机数、临时公钥哈希值、永久公钥分量、临时公钥分量、永久私钥分量、临时私钥分量、颁发者临时公钥分量和颁发者签名分量；

所述颁发者密钥卡内存储分配给颁发者的ID分量、所有的秘密共享随机数、对应每组移动设备的颁发者永久公钥分量、颁发者永久私钥分量、颁发者临时公钥分量和颁发者临时私钥分量，密钥卡的私有区内还存有颁发者公钥和私钥，其中，分配给颁发者的永久公钥分量、永久私钥分量、临时公钥分量和临时私钥分量即为颁发者永久公钥分量、颁发者永久私钥分量、颁发者临时公钥分量和颁发者临时私钥分量；

根据分配给颁发者的ID分量查找颁发者密钥卡内的密钥分量和秘密共享随机数。

2.一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，应用于权利要求1所述的量子保密通信身份认证系统，其特征在于，包括认证步骤：

同组的移动设备作为交易发起方，发出加密的设备端消息，设备端消息包括由各个移动设备生成的消息分量；

所述交易发起方的颁发者作为交易处理方，直接或通过接入服务站间接收到设备端消息，验证和处理后生成认证端消息；所述颁发者采用对应的方式将认证端消息直接或通过接入服务站间接反馈给交易发起方；所述认证端消息中包括加密的会话密钥；

所述接入服务站对设备端消息进行验证和转发，对认证端消息进行验证和转发、并获得会话密钥用于与移动设备进行通信；

所述交易发起方收到认证端消息后进行验证和解密，得到会话密钥并存储。

3.根据权利要求2所述的一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，所述消息分量中包括设备端签名分量，移动设备执行步骤：

生成认证请求消息，并与同组内所有移动设备取统一的时间戳；

将认证请求信息和时间戳组合作为交易内容，使用临时公钥的哈希值作为第一签名参数，计算第一签名参数和交易内容的组合的哈希值并作为第二签名参数；

根据临时私钥分量、永久私钥分量和第二签名参数，计算获得设备端签名分量。

4.根据权利要求2所述的一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，所述消息分量中包括公钥分量密文，移动设备执行步骤：

生成一个随机数作为新临时私钥分量，计算对应的新临时公钥分量；

使用本地存储的颁发者临时公钥分量对永久公钥分量、临时公钥分量和新临时公钥分量的组合进行加密，得到公钥分量密文。

5.根据权利要求2所述的一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，所述消息分量中包括颁发者签名分量，颁发者执行步骤：

采用颁发者私钥对设备ID和永久公钥的组合进行签名，获得颁发者签名；

对颁发者签名进行(n，n)秘密共享，得到的颁发者签名分量分别存储到自身密钥卡和同一组的移动设备密钥卡内。

6.根据权利要求2所述的一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，所述消息分量中包括设备端消息认证码，移动设备执行步骤：

取出临时公钥的哈希值对消息分量进行计算，获得消息认证码；

根据同组内所有移动设备生成的消息分量和消息认证码组，生成设备端消息。

7.根据权利要求4所述的一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，所述消息分量中包括用于交易验证的设备端签名分量和公钥分量密文，设备端签名分量中包括永久私钥分量和临时私钥分量信息，公钥分量密文中包括永久公钥分量、临时公钥分量和新临时公钥分量信息；

所述颁发者执行步骤：

所述颁发者对所有消息分量验证和处理，获得交易内容及所有对应的移动设备密钥分量，结合本地存储颁发者密钥分量，恢复设备ID、永久公钥和临时公钥；

所述颁发者使用临时公钥的哈希值作为第一签名参数，计算第一签名参数和交易内容的组合的哈希值并作为第二签名参数；

所述颁发者计算认证端签名分量，结合所有的设备端签名分量，制作完整签名；

所述颁发者生成的认证端消息中包括完整签名、会话密钥和通知签名；

若颁发者直接向交易发起方反馈消息，由颁发者在发出认证消息前对完整签名进行验证；若颁发者通过接入服务站向交易方反馈消息，由接入服务站在转发认证端消息前对完整签名进行验证；

完整签名验证通过，则移动设备身份认证通过。

8.根据权利要求7所述的一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，所述颁发者根据颁发者临时私钥分量和颁发者永久私钥分量、及第二签名参数计算认证端签名分量，结合所有的设备端签名分量，制作完整签名。

9.根据权利要求2-8任一所述的一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，所述接入服务站执行步骤：

从接收到的设备端消息中，得到移动设备ID分量和交易内容，交易内容主要由时间戳和认证请求消息组成，判断交易内容是否合理；

接入服务站从本地ID列表中查找到对应的颁发者ID分量，根据颁发者ID分量找到对应的颁发者，将设备端消息使用QKD密钥加密后发送给颁发者；

使用QKD密钥对接收到的认证端消息进行解密；

对认证端消息中要求接入服务站验证的消息进行验证，验证通过则表明身份认证通过，转发认证端消息中的要求发送给各移动设备的反馈消息，并将会话密钥作为与移动设备通信的密钥。

Images