CN111416706A - 基于秘密共享的量子保密通信系统及其通信方法 - Google Patents

Abstract

本发明公开了一种基于秘密共享的量子保密通信系统及其通信方法，系统包括多个用户端和量子通信服务站，服务站作为用户端的颁发服务站或接入服务站，服务站密钥卡内存储该服务站私钥和所有服务站的公钥，用户端密钥卡内存储该用户端私钥和颁发服务站公钥，用户端的ID中带有颁发服务站的信息，用户端向其颁发服务站发送登录申请，登录申请过程中生成对话密钥等。本发明方法通过设置用户端接入若干接入服务站，避免因最大连接数有限导致的无法身份认证的问题，提高了网络提供密钥服务的能力，同时采用随机数、偏移量等加密方式进行身份认证，其身份认证的有效性和抗抵赖性高。

Description

基于秘密共享的量子保密通信系统及其通信方法

技术领域

本发明涉及秘密共享领域，尤其涉及一种基于秘密共享的量子保密通信系统及其通信方法。

背景技术

保密通信是一种通信方式，是对要传送的信息内容采取特殊措施，从而隐蔽信息的真实内容，使非法截获者不能理解通信内容的含义。为了隐蔽通信内容，通常在传输前，先将信息进行各种形式的变换，形成加密信息，在接收端进行相应的逆变换以恢复原信息。保密通信以其对通信信息的加密方式可分为模拟保密通信和数字保密通信。数字保密技术在电话、电报、数据通信、传真和图像通信中得到了广泛应用。

自1984年Bennett和Brassard提出量子密钥分发(Quantum key distribution，QKD)的概念以来，BB84等大量QKD协议被提出，量子密钥分发方法保证了一次一密的密钥，不需要第三方进行密钥的传送，其安全性得到充分的证明。基于量子密钥分发的量子保密通信技术作为未来进一步提升网络信息安全保障能力的重要方法之一，引发学术界、产业界和社会舆论的广泛关注与讨论。目前，量子保密通信的最快时钟频率已达到2GHz以上，无中继时最远传输距离也已经达到400公里以上。同时，以我国的墨子量子卫星、京沪量子干线、日本东京量子通信网、欧盟量子网等为代表的量子保密通信网络的建成和运行，标志着量子保密通信已经开始工程实际应用。

授权公告号为CN105357001B的专利文献中公开了一种量子密钥动态分发的管理方法及系统，量子密钥由QKD设备分发完成，在两端生成对称的密钥，密钥通过密钥池进行缓存；根据密钥用户对数和用户业务需求设定大小，分成多个密钥池，根据密钥池中密钥剩余量实时补充密钥，根据每个密钥池的状态调整调整密钥池中已有密钥的分配，根据密钥池中密钥的消耗速度和密钥使用频数，动态调整各个密钥池容量大小，对密钥的管理效率高，实用性好。但本方法中，存储密钥池的QKD设备或密钥卡一旦遭到恶意攻击，其中的对称密钥池将可能被盗取，从而丧失密钥安全性。

申请公布号为CN106850218A的专利文献中公开了一种量子保密通信系统及移动终端，包括多个服务终端，多个服务终端通过量子保密通信网络连接，每个服务终端与多个移动终端连接，当至少两个移动终端均与一个服务终端连接时，若该服务终端短时间内用户数量巨大，将难以为有需求的移动终端提供密钥服务，QKD网络提供密钥服务的能力较低。

综上所述，目前保密通信具有一定的安全性，但是存在一些技术问题，存在的问题如下：

1.现有QKD(量子密钥分发)设备之间使用对称密钥池的方法，对QKD生成的密钥进行暂存，以备用户对QKD密钥的申请使用。QKD密钥一般明文存在于QKD设备的内存中，或者加密存在于QKD设备的永久存储设备中，或者明文存在于QKD设备的密钥卡中。但是，一旦QKD设备遭到恶意软件攻击，或一旦其所在的密钥卡遭到暴力破解，该QKD设备中所对应的对称密钥池将可能被盗取，从而悉数丧失密钥安全性；

2.用户对QKD密钥申请使用时，如果短时间内用户数量巨大，由于单台QKD设备的最大连接数有限，因此可能因为超过最大连接数而造成单台QKD设备无法提供密钥服务；

3.用户对QKD进行登录时，往往采用对称密钥的方式进行身份认证，与非对称密码学相比，其身份认证的有效性和抗抵赖性不高。

发明内容

发明目的：针对现有技术中存在的问题，本发明公开了一种基于秘密共享的量子保密通信系统及其通信方法，在提高密钥安全性的同时，提高了QKD网络提供密钥服务的能力和身份认证的有效性。

技术方案：本发明采用如下技术方案：

一种基于秘密共享的量子保密通信系统，其特征在于，包括通信连接且分别设有各自密钥卡的多个用户端和量子通信服务站，其中，为用户端颁发密钥卡的服务站作为所述用户端的颁发服务站，为用户端提供保密通信服务的服务站作为所述用户端的接入服务站；

所述服务站密钥卡内存储该服务站私钥和所有服务站的公钥，用户端密钥卡内存储该用户端私钥和颁发服务站公钥，用户端的ID中带有颁发服务站的信息；

所述用户端通过待接入的服务站向颁发服务站发送登录申请，登录申请获得批准后，待接入的服务站作为所述用户端的接入服务站，登录申请过程中生成经颁发服务站验证的用于用户端和接入服务站之间保密通信的对话密钥。

优选地，所述服务站的公钥根据其私钥和生成元计算获得。

优选地，所述用户端的公钥根据其身份ID和颁发服务站公钥计算获得，所述用户端的私钥根据其公钥和颁发服务站私钥计算获得。

所述服务站中配有QKD，生成的QKD密钥均以(2，2)秘密共享方式分成两组秘密分量分布式存储到服务站中。

本发明还公开了一种基于秘密共享的量子保密通信系统的通信方法，其特征在于，包括如下登录申请步骤：

用户端向所述接入服务站发送登录消息一，登录消息一中包括用户端的身份ID、时间戳以及对组合消息进行非对称密钥加密的加密文，组合消息中包括用户端的身份ID和请求登录信息；

接入服务站收到登录消息一后，验证时间戳的有效性，若时间戳有效，获取用户端的颁发服务站公钥，生成用于与该用户端通信的会话公钥和会话私钥；向用户端的颁发服务站发送登录消息二，登录消息二中包括该接入服务站的身份ID、时间戳以及对登录消息一、会话公钥进行非对称密钥加密的加密文；

颁发服务站收到登录消息二后，验证时间戳的有效性，若时间戳有效，对登录消息二中的加密文进行解密和验证，验证成功后对登录消息一中的加密文进行解密和验证，验证成功后同意用户端登录；

向登录的接入服务站发送登录消息三，登录消息三中包括颁发服务站的身份ID、时间戳以及对登录结果消息进行非对称密钥加密的加密文，登录结果消息包括用户端的身份ID、登录的接入服务站和登录结果，若登录成功，登录结果消息中还包括会话公钥；向其他未登录的接入服务站发送包括对用户端的身份ID、登录的接入服务站、登录结果进行非对称密钥加密的加密文；

登录的接入服务站收到登录消息三后，对加密文进行解密和验证，若登录结果为成功且验证成功，将用户端的身份ID、登录的接入服务站存入网络成员登录信息列表中，将生成的会话公钥和会话私钥作为其与用户端通信的会话密钥；向用户端发送登录消息四，登录消息四中包括对登录结果消息进行非对称密钥加密的加密文；

用户端收到登录消息四后，对加密文进行解密，验证签名成功后认可登录结果消息，若登录成功，用户端通过会话公钥与其登录的接入服务站进行保密通信。

优选地，所述服务站中配有QKD密钥，服务站两两之间进行QKD密钥分发，包括以下步骤：

其中一个服务站作为密钥分发服务站，生成QKD密钥，存储在密钥卡中的对应位置；

密钥分发服务站通过计算选择对应的服务站作为密钥接收服务站；

密钥分发服务站对QKD密钥进行(2，2)的秘密共享，得到两组秘密分量记为秘密分量一和秘密分量二，由随机数一和密钥分量一组成秘密分量一，由随机数二和密钥分量二组成秘密分量二；

密钥分发服务站将本地中密钥对应位置的值修改为密钥分量一，生成包括本次密钥分发的密钥对应的双方服务站信息、密钥位置和密钥分量一的密钥条目；

向对应的密钥接收服务站发送消息，消息中包括密钥分发服务站的身份ID、时间戳、包括组合消息和签名的加密文以及在对随机数一、随机数二的加密文中加入偏移量后的加密文，组合消息中包括密钥对应的双方服务站信息、密钥位置、密钥的哈希值和密钥分量二；

密钥接收服务站收到消息后，验证时间戳的有效性，若时间戳有效，计算偏移量并解密加密文得到随机数一、随机数二、组合消息和签名，验证签名成功后存储对应的密钥条目，密钥条目中包括密钥对应的双方服务站信息、密钥位置、密钥的哈希值、随机数一和秘密分量二。

优选地，两个分别属于不同接入服务站的用户端，即发起通信的用户端记为用户端一，接受通信的用户端记为用户端二，登录的双方接入服务站分别记为接入服务站一和接入服务站二，双方颁发服务站分别记为颁发服务站一和颁发服务站二，其通信步骤包括：

用户端一向接入服务站一发送通信消息一，通信消息一中包括用户端一的身份ID、时间戳以及对组合消息进行非对称密钥加密的加密文，组合消息中包括用户端一的身份ID、用户端二的身份ID和用户端一发送给用户端二的消息；

接入服务站一收到通信消息一后，验证时间戳的有效性，若时间戳有效，对加密文进行解密和验证，验证成功后证明组合消息和时间戳的有效性，根据组合消息中用户端二的身份ID从网络成员登录信息列表中获得用户端二当前登录的服务站为接入服务站二，根据颁发服务站一、颁发服务站二和接入服务站二从本地存储中提取对应的密钥条目，向颁发服务站一发送申请密钥分量的通信消息二，通信消息二中包括对密钥位置进行非对称密钥加密的加密文；

颁发服务站一收到通信消息二后，对加密文进行解密和验证，验证成功后在本地提取对应位置的密钥分量，向接入服务站一发送通信消息三，通信消息三中包括对密钥分量进行非对称密钥加密的加密文；

接入服务站一收到通信消息三后，对加密文进行解密和验证，验证成功后根据两组秘密分量求得QKD密钥，向接入服务站二发送通信消息四，通信消息四中包括时间戳、颁发服务站一、颁发服务站二、密钥位置、包括组合消息的加密文以及消息认证码；

接入服务站二收到通信消息四后，验证时间戳的有效性，若时间戳有效，根据颁发服务站一、颁发服务站二以及密钥位置从本地存储器中提取对应的密钥条目，向颁发服务站二发送申请密钥分量的通信消息五，通信消息五中包括对密钥位置进行非对称密钥加密的加密文；

颁发服务站二收到通信消息五后对加密文进行解密和验证，验证成功后在本地提取对应位置的密钥分量，向接入服务站二发送通信消息六，通信消息六中包括对密钥分量进行非对称密钥加密的加密文；

接入服务站二收到通信消息六后，对加密文进行解密和验证，验证成功后根据两组秘密分量求得QKD密钥，解密通信消息四中的加密文得到组合消息，通过QKD密钥验证消息认证码后证明组合消息和时间戳的有效性，向用户端二发送通信消息七，通信消息七中包括时间戳以及对组合消息进行非对称密钥加密的加密文；

用户端二收到通信消息七后，验证时间戳的有效性，对加密文进行解密和验证，验证成功后确认组合消息有效且来自于用户端一，组合消息中包括用户端一发送给用户端二的消息。

优选地，所述对消息的非对称密钥加密过程如下：对消息和签名进行随机数加密，并对随机数进行非对称加密，同时对非对称加密结果使用偏移量。

优选地，所述对非对称密钥加密后的加密文的解密和验证过程如下：对非对称加密结果使用偏移量进行恢复，并对随机数进行非对称解密，用随机数对消息和签名进行解密，对签名进行验证。

有益效果：本发明具有如下有益效果：

1.本发明中，对QKD密钥进行秘密共享，使得QKD密钥的安全性得到提升。例如，一旦某台QKD设备发生密钥泄露，只要与其秘密共享的QKD设备没有发生密钥泄露，则QKD密钥仍然是安全的；

2.本发明中，用户对QKD密钥申请使用时，如果某台QKD设备短时间内用户数量巨大，可以令用户到其他任意QKD设备进行身份认证，从而避免了因最大连接数有限导致的无法身份认证的问题，因此提高了QKD网络提供密钥服务的能力；

3.本发明中，用户对QKD进行登录时，采用非对称密钥的方式进行身份认证，其身份认证的有效性和抗抵赖性很高。

附图说明

图1为本发明实施例提供的通信组网图。

具体实施方式

本实施例设计的组网有Num个节点，每个节点是一个量子通信服务站，每个量子通信服务站均有QKD设备，定义QKD设备为Qn(n∈[0，Num-1])，任意两个Qn之间搭建有QKD通道，例如节点A的QKD设备为QA，节点B的QKD设备为QB。QA和QB之间搭建有QKD通道，从而通过QKD通道可形成对称密钥池。并且每个Qn在部署时通过QKD密钥将自身公钥传输到其他所有Qn。因此每个Qn的内存中存有其他所有Qn的公钥。

本实施例所用的非对称算法有基于身份的密码学和基于椭圆曲线的密码学。量子通信服务站中的密钥管理服务器为用户端(即节点)分别颁发私钥。用户端的身份为ID，公钥为PK，私钥为SK。

假设G是一个群，从G中取生成元P，再选一个随机数作为私钥生成服务器的私钥s，有私钥生成服务器的系统管理公钥Ppub＝sP。

下面简单介绍秘密共享的原理和流程：

从素数阶q的有限域GF(q)中随机选取N个不同的非零元素x1，x2，...，xN，分配给参与者Pi(i＝1，2，...，N)。把用户端身份ID作为共享的秘密信息，从GF(q)中选取t-1个元素a1，a2，...，a(t-1)，构造多项式

则有IDi＝f(xi)(1≤i≤N)。

从N个参与者中获取任意t个影子秘密可以恢复ID，具体步骤如下：

根据公式

可以求得t个拉格朗日参数λi，因而可以根据公式ID＝f(o)＝∑λi*IDi求得ID。

在本发明中，参与者Pi就是QA和Qn。对产生的密钥K进行(2，2)的秘密共享，从而得到两组秘密分量，分别是(x1，K1)，(x2，K2)。构造多项式f(x)＝K+RAND*x，从而得到K1＝f(x1)＝K+RAND*x1，K2＝f(x2)＝K+RAND*x2；只要凑齐这两组秘密即可恢复K。

恢复K的具体步骤如下：

通过(x1，K1)，(x2，K2)两组秘密求得拉格朗日参数，其中入1＝(-x2)/(x1-x2)，λ2＝(-x1)/(x2-x1)，从而求得K＝λ1*K1+λ2*K2＝(x1*K2-x2*K1)/(x1-x2)。

QA的公钥定义为PKQA，私钥定义为SKQB，PKQA＝SKQA*P。QB的公钥定义为PKQB，私钥定义为SKQB，PKQB＝SKQB*P。QA为用户端A颁发密钥卡。用户端A的公钥定义为PKA，PKA＝H1(IDA||PKQA)。A的私钥定义为SKA，SKA＝SKQA*PKA，SKA和PKQA存储在A的密钥卡中。QB为客户端B颁发密钥卡。客户端B的公钥定义为PKB，PKB＝H1(IDB||PKQB)。B的私钥定义为SKB，SKB＝SKQB*PKB。B的密钥卡存储有SKB和PKQB。

IDA中带有QA的信息，IDB中带有QB的信息。

阶段1：密钥分发

步骤1：QA与QB生成QKD密钥K，K对应于密钥池的位置为KP。

步骤2：QA计算n＝H(IDQA||H(K))％Num，选择Qn作为密钥分发对象。H是一种哈希运算，％为取模运算。同理，QB计算m＝H(IDQB||H(K))％Num，选择Qm作为密钥分发对象。

步骤3：QA对K进行(2，2)的秘密共享，从而得到两组秘密分量为(x1，K1)，(x2，K2)，凑齐这两组秘密就可以恢复密钥K。同理，QB也对K进行(2，2)的秘密共享，从而得到两组秘密分量为(x1’，K1’)，(x2’，K2’)。

步骤4：QA将秘密加密后发送给Qn

将x1和x2组合起来定义为x，使用PKQn对x进行ECIES加密得到密文Cn＝(Rn，cn，tn)。定义消息MSG＝QA||QB||KP||H(K)||K2，其中H(K)是对K进行哈希运算得到的值。定义时间戳为Nn；使用SKQA对Nn||MSG进行椭圆曲线数字签名得到SIGN(Nn||MSG，SKQA)，使用x对MSG与SIGN(Nn||MSG，SKQA)组合进行对称密码学的加密，得到{MSG||SIGN(Nn||MSG，SKQQA)}x；计算偏移量H4(PKQn||Nn)，其中H4为将数值映射为椭圆曲线点的哈希函数，对密文Cn中的Rn进行偏移量计算，得到新的密文可表示为(Rn-H4(PKQn||Nn)，cn，tn)。将以上三组消息组合起来得到消息Mn，即Mn＝IDQA||Nn||{MSG||SIGN(Nn||MSG，SKQA)}x|I(Rn-H4(PKQn||Nn)，cn，tn)。QA将Mn发送给Qn。

与此同时，QA将本地KP位置的值改为密钥分量K1，即而形成密钥条目QA||QB||KP||K1。

同理，QB将秘密加密后发送给Qm。

步骤5：Qn收到来自QA的密文

Qn收到消息Mn，首先鉴别时间戳Nn有效性。

计算偏移量H4(PKQn||Nn)，将密文(Rn-H4(PKQn||Nn)，cn，tn)加上偏移量H4(PKQn||Nn)得到原始密文Cn，再用自身私钥SKQn对密文Cn解密得到x，用x对{MSG ||SIGN(Nn||MSG，SKQA)}x进行解密得到MSG和签名SIGN(Nn||MSG，SKQA)，根据IDQA获取PKQQA，用PKQA验证签名，验证成功则将多组密钥条目QA||QB||KP||H(K)||x1||(x2，K2)分别存放于安全存储器中。

同理，Qm收到来自QB的密文也如上文所述处理。即QB存储密钥条目QA||QB||KP||K1'，Qm存储密钥条目QA||QB||KP||H(K)||x1’||(x2'K2')。

阶段2：登录

本实施例中，QA为A的颁发服务站。由于网络连接的地域性限制(例如无线连接只能接入当地的服务站，或者由运营商人为规定只能接入当地的服务站)，或者为了降低QA的接入压力，令Qn为A的接入服务站。

步骤1：A向Qn发送请求登录信息

设A请求登录的信息为MLogin，定义MSG＝IDA||MLogin。

定义NA为时间戳，用A的私钥SKA对消息组合MSG||NA进行基于ID密码学的签名得到SIGN(MSG||NA，SKA)。取随机数RAND1，用RAND1对MSG和签名进行对称加密得到{MSG||SIGN(MSG||NA，SKA)}RAND1。

使用PKQA对RAND1进行ECIES加密得到密文CQA＝(RQA，cQA，tQA)。计算偏移量为H4(PKQA||NA)，密文CQA添加偏移量得到(RQA-H4(PKQA||NA)，cQA，tQA)。将组合IDA||NA||{MSG||SIGN(MSG||NA，SKA)}RAND1||(RQA-H4(PKQA||NA)，cQA，tQA)定义为M1发送给Qn。

步骤2：Qn收到请求并向QA发送消息

Qn收到请求消息M1，取出时间戳NA并鉴别其有效性。Qn根据IDA获取IDQA，根据IDQA获取QA的公钥PKQA。Qn生成用于与A通信的公私钥对SKn/PKn，其中PKn＝SKn*P。M2＝IDQn||NA||{M1||PKn||SIGN(M1||PKn||NA，SKQn)}RAND2||(RQn-H4(PKQA||NA)，cQn，tQn)，其中CQn＝(RQn，cQn，tQn)是对RAND2用PKQA进行ECIES加密后的结果，SIGN是椭圆曲线密码学签名。Qn将M2发送给QA。

步骤3：QA接收消息并向Qn发送确认消息

QA收到请求消息M2，取出时间戳NA并鉴别其有效性。QA计算偏移量H4(PKQA||NA)恢复密文CQn＝(RQn，cQn，tQn)。用QA私钥SKQA对密文CQn解密得到RAND2，使用RAND2对{M1||PKn||SIGN(M1||PKn||NA，SKQn)}RAND2进行解密得到登录请求消息M1||PKn和签名SIGN(M1||PKn||NA，SKQn)，根据IDQn获取PKQn，用PKQn验证签名。同理，QA解密M1得到MSG和签名SIGN(MSG ||NA，SKA)。从MSG中取出IDA和MLogin。根据IDA求得PKA＝H1(IDA||PKQA)，用PKA验证签名SIGN(MSG||NA，SKA)。验证成功，则QA同意用户A登录。

QA得到登录信息IDA||Qn，此组信息表示用户端IDA登录接入服务站Qn。

将登录结果消息定义为result，如果成功，result＝IDA||Qn||success||PKn，如果失败，result＝IDA||Qn||fail。将消息组合通过类似上述非对称密钥保护加密得到密文M3，M3可表示为IDQA||NA||{result||SIGN(result，SKQA)}RAND3||(RA-H4(PKQn||NA)，cA，tA)，其中CA＝(RA，cA，tA)是对RAND3用PKQn进行ECIES加密后的结果。QA将M3发送给Qn，并用同样的机制将{result||SIGN(result，SKQA)}发送到其他量子通信服务站，但result中不包含PKn。

步骤4：Qn接收响应消息并向用户端A发送确认消息

Qn收到密文M3，通过上述类似步骤获取result，如果登录成功且验证签名成功，将登录信息IDA||Qn存入网络成员登录信息列表中，将公私钥对SKn/PKn作为与A通信的会话密钥。对于其他量子通信服务站，如果登录成功且验证签名成功，也将登录信息存入网络成员登录信息列表中。

Qn通过非对称密钥保护加密result得到密文M4并发送给A。这里采用基于ID密码学的加密方法，如《Identity-Based Encryption from the Weil Pairing》所述方法，密文

其中g＝e(PK，PKS)，M为明文消息，PK为接收者公钥，PKS为颁发者公钥。M4＝NA||{result||SIGN(result||NA，SKQA)}RAND4||(UQnA-H4(PKA||NA)，VQnA)，其中CQnA＝(UQnA，VQnA)是对RAND4用PKA＝H1(IDA||PKQA)进行基于ID密码学加密后的结果，H4(PKA||NA)是用于防止量子计算机破解UQnA的偏移量。

步骤5：用户端A接收登录确认消息

用户端收到消息M4，先用H4(PKA||NA)加上UQnA-H4(PKA||NA)得到UQnA，从而恢复CQnA；然后对CQnA解密得到RAND4；然后用RAND4解密{result||SIGN(result||NA，SKQA)}RAND4得到result||SIGN(result||NA，SKQA)；用PKQA验证签名SIGN(resuIt||NA，SKQA)，验证成功则认可result。用户端A得到登录响应消息result包含success即表明登录成功，可通过PKn与量子通信服务站Qn进行保密通信。

同理，设IDB登录的量子通信服务站为Qm，则Qm将公私钥对SKm/PKm作为与B通信的会话密钥，B通过PKm与量子通信服务站Qm进行保密通信。

阶段3：保密通信

本实施例中，QA、QB分别为A、B的颁发服务站。Qn、Qm分别为A、B的接入服务站。

步骤1：用户端A向Qn发送消息

设A发送给B的消息定义为MAB，定义MSG＝IDA||IDB||MAB。取时间戳并定义为NA，用SKA对MSG||NA进行基于ID密码学的签名得到SIGN(MSG||NA，SKA)。

取随机数并定义为RANDA；用随机数RANDA对组合MSG||SIGN(MSG||NA，SKA)进行对称加密得到密文{MSG||SIGN(MSG||NA，SKA)}RANDA；使用PKn对RANDA进行ECIES加密得到密文CA＝(RA，cA，tA)，计算偏移量H4(PKn||NA)，对密文CA进行偏移量运算得到新密文(RA-H4(PKn||NA)，cA，tA)；将以上三组消息组合起来得到消息M1，即M1＝IDA||NA||{MSG||SIGN(MSG||NA，SKA)}RANDA||(RA-H4(PKn||NA)，cA，tA)。A将M1发送给Qn。

步骤2：Qn向QA发送消息

Qn收到消息M1，取出时间戳NA，并鉴别时间戳NA有效性。Qn根据IDA取出SKn/PKn，计算偏移量H4(PKn||NA)，从而恢复CA得到CA＝(RA，cA，tA)。Qn通过SKn对CA进行解密求得RANDA。Qn再通过RANDA对密文{MSG||SIGN(MSG||NA，SKA)}RANDA进行解密得MSG||SIGN(MSG||NA，SKA)。计算PKA＝H1(IDA||PKQA)。用PKA对签名SIGN(MSG||NA，SKA)进行验证，验证成功则证明MSG||NA的有效性。

验证成功后，根据IDB得知QB，根据IDB从网络成员登录信息列表中得知B当前登录的服务站为Qm。根据QA、QB，从开头为QA||QB的密钥条目中随机选择一个满足H(IDQB||H(K))％Num＝m的密钥条目，即QA||QB||KP||H(K)||x1||(x2，K2)。

通过非对称密钥的保护，Qn向QA申请位置为KP的密钥分量。非对称密钥保护过程如前文所述，包括对消息和签名进行随机数加密，并对随机数进行非对称加密，同时对非对称加密结果使用偏移量。

步骤3：QA收到请求再向Qn发送密文

QA收到请求，对密文进行解密和验证，具体过程如前文所述，包括对非对称加密结果使用偏移量进行恢复，并对随机数进行非对称解密，用随机数对消息和签名进行解密，对签名进行验证。QA通过非对称密钥的保护，将K1加密发送给Qn。QA将KP位置的K1标记为已使用，过一段时间将更换为新的密钥分量。

步骤4：Qn收到密文向Qm发送消息

Qn获取到密文，对密文进行解密和验证得到K1。根据两组密钥分量(x1，K1)和(x2，K2)求得K。Qn将KP位置的密钥分量标记为已使用。

用密钥K对MSG进行对称加密得到{MSG}K；以MSG||NA为消息，K为密钥得到消息认证码MAC(MSG||NA，K)，将消息组合NA||QA||QB||KP||{MSG}K||MAC(MSG||NA，K)发送到Qm。

步骤5：Qm收到消息后向QB发送消息

Qm收到消息NA||QA||QB||KP||{MSG}K||MAC(MSG||NA，K)，取出时间戳NA并鉴别其有效性。

根据QA、QB，从开头为QA||QB的密钥条目中找到KP的密钥条目。

通过非对称密钥的保护，Qm向QB申请位置为KP的密钥分量。

步骤6：QB收到消息后向Qm发送消息

QB收到请求，对密文进行解密和验证。QB通过非对称密钥的保护，将K1'加密发送给Qm。QB将KP位置的K1'标记为已使用，过一段时间将更换为新的密钥分量。

步骤7：Qm收到消息后向B发送消息

Qm获取到密文，对密文进行解密和验证得到K1'。根据两组密钥分量(x1'K1')和(x2'K2')求得K。Qm将KP位置的密钥分量标记为已使用。

Qm用K解密{MSG}K得到MSG。Qm用K验证MAC(MSG||NA，K)，从而证明MSG||NA的有效性。

M7＝NA||{MSG||SIGN(MSG||NA，SKm)}RAND7||(UQmB-H4(PKB||NA)，VQmB)，其中CQmB＝(UQmB，VQmB)是对RAND7用PKB＝H1(IDB||PKQB)进行基于ID密码学加密后的结果，H4(PKB||NA)是用于防止量子计算机破解UQmB的偏移量。Qm将M7发送给用户端B。

步骤8：B接收消息

B收到消息M7，首先鉴别时间戳NA有效性。B计算偏移量H4(PKB||NA)，UQmB-H4(PKB||NA)加上偏移量H4(PKB||NA)从而恢复CQmB＝(UQmB，VQmB)。B通过SKB对CQmB进行基于ID密码学的解密求得RAND7。B根据RAND7求得MSG||SIGN(MSG||NA，SKm)。再根据PKm，验证签名SIGN(MSG||NA，SKm)，验证成功则B确认收到消息MSG＝IDA||IDB||MAB有效且来自A。

Claims (9)

1.一种基于秘密共享的量子保密通信系统，其特征在于，包括通信连接且分别设有各自密钥卡的多个用户端和量子通信服务站，其中，为用户端颁发密钥卡的服务站作为所述用户端的颁发服务站，为用户端提供保密通信服务的服务站作为所述用户端的接入服务站；

所述服务站密钥卡内存储该服务站私钥和所有服务站的公钥，用户端密钥卡内存储该用户端私钥和颁发服务站公钥，用户端的ID中带有颁发服务站的信息；

所述用户端通过待接入的服务站向颁发服务站发送登录申请，登录申请获得批准后，待接入的服务站作为所述用户端的接入服务站，登录申请过程中生成经颁发服务站验证的用于用户端和接入服务站之间保密通信的对话密钥。

2.根据权利要求1所述的一种基于秘密共享的量子保密通信系统，其特征在于，所述服务站的公钥根据其私钥和生成元计算获得。

3.根据权利要求1所述的一种基于秘密共享的量子保密通信系统，其特征在于，所述用户端的公钥根据其身份ID和颁发服务站公钥计算获得，所述用户端的私钥根据其公钥和颁发服务站私钥计算获得。

4.根据权利要求1所述的一种基于秘密共享的量子保密通信系统，其特征在于：所述服务站中配有QKD，生成的QKD密钥均以(2，2)秘密共享方式分成两组秘密分量分布式存储到服务站中。

5.根据权利要求1所述的一种基于秘密共享的量子保密通信系统的通信方法，其特征在于，包括如下登录申请步骤：

用户端向所述接入服务站发送登录消息一，登录消息一中包括用户端的身份ID、时间戳以及对组合消息进行非对称密钥加密的加密文，组合消息中包括用户端的身份ID和请求登录信息；

接入服务站收到登录消息一后，验证时间戳的有效性，若时间戳有效，获取用户端的颁发服务站公钥，生成用于与该用户端通信的会话公钥和会话私钥；向用户端的颁发服务站发送登录消息二，登录消息二中包括该接入服务站的身份ID、时间戳以及对登录消息一、会话公钥进行非对称密钥加密的加密文；

颁发服务站收到登录消息二后，验证时间戳的有效性，若时间戳有效，对登录消息二中的加密文进行解密和验证，验证成功后对登录消息一中的加密文进行解密和验证，验证成功后同意用户端登录；

向登录的接入服务站发送登录消息三，登录消息三中包括颁发服务站的身份ID、时间戳以及对登录结果消息进行非对称密钥加密的加密文，登录结果消息包括用户端的身份ID、登录的接入服务站和登录结果，若登录成功，登录结果消息中还包括会话公钥；向其他未登录的接入服务站发送包括对用户端的身份ID、登录的接入服务站、登录结果进行非对称密钥加密的加密文；

登录的接入服务站收到登录消息三后，对加密文进行解密和验证，若登录结果为成功且验证成功，将用户端的身份ID、登录的接入服务站存入网络成员登录信息列表中，将生成的会话公钥和会话私钥作为其与用户端通信的会话密钥；向用户端发送登录消息四，登录消息四中包括对登录结果消息进行非对称密钥加密的加密文；

用户端收到登录消息四后，对加密文进行解密，验证签名成功后认可登录结果消息，若登录成功，用户端通过会话公钥与其登录的接入服务站进行保密通信。

6.根据权利要求1所述的一种基于秘密共享的量子保密通信系统的通信方法，其特征在于，所述服务站中配有QKD，服务站两两之间进行QKD密钥分发，包括以下步骤：

其中一个服务站作为密钥分发服务站，生成QKD密钥，存储在密钥卡中的对应位置；

密钥分发服务站通过计算选择对应的服务站作为密钥接收服务站；

密钥分发服务站对QKD密钥进行(2，2)的秘密共享，得到两组秘密分量记为秘密分量一和秘密分量二，由随机数一和密钥分量一组成秘密分量一，由随机数二和密钥分量二组成秘密分量二；

密钥分发服务站将本地中密钥对应位置的值修改为密钥分量一，生成包括本次密钥分发的密钥对应的双方服务站信息、密钥位置和密钥分量一的密钥条目；

向对应的密钥接收服务站发送消息，消息中包括密钥分发服务站的身份ID、时间戳、包括组合消息和签名的加密文以及在对随机数一、随机数二的加密文中加入偏移量后的加密文，组合消息中包括密钥对应的双方服务站信息、密钥位置、密钥的哈希值和密钥分量二；

密钥接收服务站收到消息后，验证时间戳的有效性，若时间戳有效，计算偏移量并解密加密文得到随机数一、随机数二、组合消息和签名，验证签名成功后存储对应的密钥条目，密钥条目中包括密钥对应的双方服务站信息、密钥位置、密钥的哈希值、随机数一和秘密分量二。

7.根据权利要求6所述的一种基于秘密共享的量子保密通信系统的通信方法，其特征在于，两个分别属于不同接入服务站的用户端，即发起通信的用户端记为用户端一，接受通信的用户端记为用户端二，登录的双方接入服务站分别记为接入服务站一和接入服务站二，双方颁发服务站分别记为颁发服务站一和颁发服务站二，其通信步骤包括：

用户端一向接入服务站一发送通信消息一，通信消息一中包括用户端一的身份ID、时间戳以及对组合消息进行非对称密钥加密的加密文，组合消息中包括用户端一的身份ID、用户端二的身份ID和用户端一发送给用户端二的消息；

接入服务站一收到通信消息一后，验证时间戳的有效性，若时间戳有效，对加密文进行解密和验证，验证成功后证明组合消息和时间戳的有效性，根据组合消息中用户端二的身份ID从网络成员登录信息列表中获得用户端二当前登录的服务站为接入服务站二，根据颁发服务站一、颁发服务站二和接入服务站二从本地存储中提取对应的密钥条目，向颁发服务站一发送申请密钥分量的通信消息二，通信消息二中包括对密钥位置进行非对称密钥加密的加密文；

颁发服务站一收到通信消息二后，对加密文进行解密和验证，验证成功后在本地提取对应位置的密钥分量，向接入服务站一发送通信消息三，通信消息三中包括对密钥分量进行非对称密钥加密的加密文；

接入服务站一收到通信消息三后，对加密文进行解密和验证，验证成功后根据两组秘密分量求得QKD密钥，向接入服务站二发送通信消息四，通信消息四中包括时间戳、颁发服务站一、颁发服务站二、密钥位置、包括组合消息的加密文以及消息认证码；

接入服务站二收到通信消息四后，验证时间戳的有效性，若时间戳有效，根据颁发服务站一、颁发服务站二以及密钥位置从本地存储器中提取对应的密钥条目，向颁发服务站二发送申请密钥分量的通信消息五，通信消息五中包括对密钥位置进行非对称密钥加密的加密文；

颁发服务站二收到通信消息五后对加密文进行解密和验证，验证成功后在本地提取对应位置的密钥分量，向接入服务站二发送通信消息六，通信消息六中包括对密钥分量进行非对称密钥加密的加密文；

接入服务站二收到通信消息六后，对加密文进行解密和验证，验证成功后根据两组秘密分量求得QKD密钥，解密通信消息四中的加密文得到组合消息，通过QKD密钥验证消息认证码后证明组合消息和时间戳的有效性，向用户端二发送通信消息七，通信消息七中包括时间戳以及对组合消息进行非对称密钥加密的加密文；

用户端二收到通信消息七后，验证时间戳的有效性，对加密文进行解密和验证，验证成功后确认组合消息有效且来自于用户端一，组合消息中包括用户端一发送给用户端二的消息。

8.根据权利要求5或7所述的一种基于秘密共享的量子保密通信系统的通信方法，其特征在于，所述对消息的非对称密钥加密过程如下：对消息和签名进行随机数加密，并对随机数进行非对称加密，同时对非对称加密结果使用偏移量。

9.根据权利要求8所述的一种基于秘密共享的量子保密通信系统的通信方法，其特征在于，所述对非对称密钥加密后的加密文的解密和验证过程如下：对非对称加密结果使用偏移量进行恢复，并对随机数进行非对称解密，用随机数对消息和签名进行解密，对签名进行验证。

Images