CN112087428A

CN112087428A - 一种基于数字证书的抗量子计算身份认证系统及方法

Info

Publication number: CN112087428A
Application number: CN202010781239.2A
Authority: CN
Inventors: 富尧; 钟一民; 杨羽成
Original assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Current assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Priority date: 2020-08-06
Filing date: 2020-08-06
Publication date: 2020-12-15
Anticipated expiration: 2040-08-06
Also published as: CN112087428B

Abstract

本发明提出一种基于数字证书的抗量子计算身份认证系统及方法，所述系统包括客户端和配置有密钥管理服务器的CA机构；密钥管理服务器基于ID密码学为CA机构和客户端分配密钥，以使整个身份认证过程中，客户端和CA机构都能根据分配到的密钥基于ID密码学与所通信的对象之间进行密钥协商，以实现身份认证过程中所传输的数据的抗量子计算保密通信。本发明能够在不改变现有基于数字证书的身份认证流程、不需要存储密钥池的前提下，实现身份认证流程中CA机构与客户端之间、客户端与客户端之间的抗量子计算保密通信，节约系统的硬件改造成本。

Description

一种基于数字证书的抗量子计算身份认证系统及方法

技术领域

本发明涉及身份认证领域，尤其涉及一种基于数字证书的抗量子计算身份认证系统及方法。

背景技术

现有的基于数字证书的身份认证系统主要原理为：用户从权威机构申请数字证书，用于证明用户与其公钥之间具有绑定关系；服务器安装同一权威机构的根证书，用于验证该权威机构颁发的其他业务证书。服务器对用户身份进行身份认证的过程为：

用户采用哈希函数对要发送的明文进行运算，生成摘要，然后用自己的私钥对摘要进行加密，得到数字签名；用户将明文、数字签名和自己从权威机构申请来的数字证书一起发送给服务器。

服务器接收到用户发送的信息后，用根证书验证用户的数字证书，验证通过后，用数字证书中用户的公钥去解密用户的数字签名，得到摘要；然后，用同样的哈希函数对用户发送的明文进行运算，若运算得到的摘要与解密得到的摘要内容一致，则身份认证成功，否则认证不成功。

但是，现有的基于数字证书的身份认证系统中，用户终端、服务器和权威机构之间的数据交互都不能实现抗量子计算保密通信。

为了使基于数字证书的身份认证系统具备抗量子计算功能，专利CN109861813A提出一种基于非对称密钥池的抗量子计算HTTPS通信方法和系统，并具体公开了一种通信方法，该方法的参与方包括服务器、证书授权中心及客户端，客户端配置密钥卡，密钥卡内存储有非对称密钥池；所述抗量子计算HTTPS通信方法，包括以下步骤：服务器端获取证书授权中心颁发的数字证书，并向客户端发送该数字证书，所述数字证书中记载有服务器的公钥指针随机数；客户端获取证书授权中心颁发的与所述数字证书相匹配的根数字证书，依据所述根数字证书对服务器发送的数字证书进行验证，根据验证通过的数字证书中记载的服务器的公钥指针随机数，在所述非对称密钥池中获取服务器公钥；利用服务器公钥对随机生成的共享密钥进行加密，向服务器发送加密结果以进行密钥协商；与服务器利用所述共享密钥进行HTTPS通信。

专利CN109861813A提出的方案虽然能够实现身份认证之后的抗量子计算通信，但是，专利CN109861813A所提出的技术方案中，客户端需要配置存储了所有成员的公钥的量子密钥卡，这对客户端的存储能力要求较高。且整个身份认证流程相较于现有技术存在修改，这就需要对传统的CA机构的内部结构进行改造，成本过高。

发明内容

发明目的：为克服现有技术的缺陷，本发明提出一种基于数字证书的抗量子计算身份认证系统及方法，能够在不改变现有基于数字证书的身份认证流程、不需要存储密钥池的前提下，实现身份认证流程中CA机构与客户端之间、客户端与客户端之间的抗量子计算保密通信。

发明内容：为实现上述目的，本发明一方面提供了一种基于数字证书的抗量子计算身份认证系统，包括CA机构和客户端；

所述CA机构配置有密钥管理服务器，密钥管理服务器基于ID密码学为CA机构和客户端分配密钥，具体步骤为：

密钥管理服务器随机生成一对系统公私钥；

密钥管理服务器为CA机构和客户端生成唯一的ID，然后为每个客户端生成一对用户系统公私钥，其中，客户端的用户系统私钥是通过联合计算ID和系统私钥得到，用户系统公钥是通过用户系统私钥计算得到；

密钥管理服务器为CA机构和客户端分配用户公私钥：通过哈希函数将用户的ID映射为用户公钥，然后用客户端的用户系统私钥与客户端的用户公钥进行计算，得到客户端的用户私钥；用CA机构的用户公钥与系统私钥进行计算，得到CA机构的用户私钥；

所述客户端和CA机构存储密钥管理服务器分发的ID和用户公私钥；

在客户端向CA机构申请根证书/数字证书以及客户端之间基于数字证书进行身份认证的过程中，通信双方根据自己分配到的ID和公私钥进行基于所述ID密码学的对称密钥计算，以实现抗量子计算的保密通信。

以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。

可选的，在客户端向CA机构申请根证书或数字证书时，数据发送方根据数据接收方的ID采用哈希函数计算数据接收方的用户公钥，然后将自己的用户私钥与数据接收方的用户公钥进行计算，得到对称密钥；数据发送方和数据接收方基于对称密钥对根证书/数字证书进行加解密，实现根证书/数字证书的保密传输。

可选的，任意两个客户端之间进行身份认证时，被认证方首先与CA机构进行对称密钥协商；基于协商好的对称密钥，被认证方将认证方ID加密后发送给CA机构，然后解密CA机构反馈的中间密钥，用中间密钥与自己的私钥计算出与认证方之间的对称密钥，所述中间密钥由认证方的系统私钥与被认证方的公钥联合计算得到；

认证方基于被认证方ID计算被认证方的用户公钥，再用自己的用户私钥与被认证方的用户公钥进行计算，得到对称密钥；

认证方和被认证方基于协商出的对称密钥进行身份认证数据的保密传输。

可选的，所述CA机构和客户端分别配置抗量子计算装置，CA机构的抗量子计算装置用于存储：系统公私钥、CA机构的ID、CA机构的用户公私钥以及各客户端的用户系统公私钥；客户端的抗量子计算装置用于存储：客户端ID、客户端的用户公私钥。

另一方面，本发明还提供一种基于数字证书的抗量子计算身份认证方法，该方法中，被认证方基于CA机构颁发的数字证书向认证方认证自己的身份，所述认证方法在整个身份认证过程中，通过所述基于数字证书的抗量子计算身份认证系统实现客户端与CA机构之间、客户端与客户端之间的保密通信。

可选的，所述基于数字证书的抗量子计算身份认证方法还包括以下步骤：

在所述身份认证各阶段的密钥协商过程中，数据发送方将协商好的对称密钥作为根密钥，然后随机生成一个明文消息，用对称密钥加密所述明文消息，得到消息认证码，用消息认证码作为最终密钥对待发送的内容进行加密，然后将加密数据和明文消息发送给数据接收方；

数据接收方接收到来自数据发送方的数据后，根据协商好的对称密钥和接收到的明文消息计算消息认证码，用计算出的消息认证码解密加密数据，得到加密内容。

可选的，所述基于数字证书的抗量子计算身份认证方法中，所述明文消息为数据发送方实时生成的时间戳，所述时间戳用于记录数据发送方发送数据的时间。

有益效果：相较于现有技术，本发明具有以下技术效果：

1.本专利可以实现抗量子计算的基于数字证书的身份认证系统；

2.本专利不需要将所有成员的公钥生成非对称密钥池后存储到各密钥卡中，客户端密钥卡的存储成本和操作工作量小；

3.本专利没有改变传统CA及基于数字证书的身份认证系统的整体流程和数据结构，因此CA及用户应用系统切换到抗量子计算方案的成本不高；

4.基于ID密码学的密钥颁发服务器对每个不同用户的系统公私钥均不同，即使某个用户的系统公钥丢失导致系统私钥被量子计算机破解，也不会危及到CA和其他用户的系统公私钥。

附图说明

图1为本发明实施例中涉及的身份认证步骤的流程图。

具体实施方式

下面将结合附图和具体实施例对本发明作更进一步的说明。但应当理解的是，本发明可以以各种形式实施，以下在附图中出示并且在下文中描述的一些示例性和非限制性实施例，并不意图将本发明限制于所说明的具体实施例。

应当理解的是，在技术上可行的情况下，以上针对不同实施例所列举的技术特征可以相互组合，从而形成本发明范围内的另外的实施例。此外，本发明所述的特定示例和实施例是非限制性的，并且可以对以上所阐述的结构、步骤、顺序做出相应修改而不脱离本发明的保护范围。

本发明旨在提供一种能够在不改变现有基于数字证书的身份认证流程、不需要存储密钥池的前提下，实现身份认证流程中CA机构与客户端之间、客户端与客户端之间的抗量子计算保密通信的技术方案。

有鉴于此，本发明提出了一种基于数字证书的抗量子计算身份认证系统及方法。

图1示出了基于数字证书的抗量子计算身份认证系统的一种实施方式。

图1示出的系统中，包括用户端A、用户端B以及证书权威机构CA。

CA具有抗量子计算装置T_CA，T_CA中部署有基于ID密码学的密钥管理服务器KMS。

KMS为用户端A用户端B颁发抗量子计算装置T_A、T_B。抗量子计算装置可以是密钥卡、移动终端、密码机、网关等，可与CA机构或各个用户端分别进行主板接口通信、近距离无线通信、可控的内网通信等，可保证通信范围内不会被量子计算机窃取信息，例如抗量子计算装置可以是密钥卡插接在CA机构的主机主板上，或者抗量子计算装置可以是移动终端与同样是移动终端的双方进行NFC通信，或者抗量子计算装置是密码机或网关与同一内网的PC主机双方进行安全的内网通信。

KMS为某个成员颁发公私钥时，首先需要建立一套基于ID密钥学的系统参数，步骤如下：

(1)G₁，G₂是阶为q的GDH(Diffie-Hellman群)群，q是一个大素数，G₁是由椭圆曲线上的点构成的加法循环群，P是群G₁的生成元；G₂是一个乘法循环群；双线性映射e：G₁×G₁→G₂。

(2)随机地取SK_MS∈Z_p ^*作为CA的系统私钥，SK_MS仅保存在KMS的抗量子计算装置中，计算CA的系统公钥PK_MS＝SK_MS*P，PK_MS保存在CA的抗量子计算装置T_CA。KMS对每个不同用户的系统公私钥均不同，对于用户端A，KMS会生成唯一编码作为ID_A，A的系统私钥为SK_MSA＝MAC(ID_A，SK_MS)(MAC(m，k)为使用密钥k对消息m计算消息认证码)，A的系统公钥为PK_MSA＝SK_MSA*P；对于用户端B，KMS会生成唯一编码作为ID_B，B的系统私钥为SK_MSB＝MAC(ID_B，SK_MS)，B的系统公钥为PK_MSB＝SK_MSB*P；系统私钥保存在KMS的抗量子计算装置中，系统公钥保存在对应用户端的抗量子计算装置中，即PK_MSA保存在T_A中，PK_MSB保存在T_B中。

(3)选择哈希函数H₁：{0，1}^*→G₁，H₂：G₂→{0，1}^*。

(4)系统参数为{q，G₁，G₂，e，n，P，H₁，H₂}。

KMS为CA颁发公私钥时，生成唯一编码作为ID_CA，调用哈希函数H₁计算公钥PK_CA＝H₁(ID_CA)，再根据公钥PK_CA计算私钥SK_CA＝SK_MS*PK_CA，将CA的ID和公私钥即ID_CA、PK_CA、SK_CA存储于CA的抗量子计算装置T_CA。T_CA中还存储有CA根证书CERT_CA，CERT_CA中包括证书的版本号、序列号、有效期以及CA的证书公钥PK_CERTCA和证书签名，其中证书公钥和证书签名可以基于RSA、ECC、离散对数、ID密码学等多种非对称密码算法。

KMS为用户端A颁发公私钥时，调用哈希函数H₁计算公钥PK_A＝H₁(ID_A)，再根据公钥PK_A计算私钥SK_A＝SK_MSA*PK_A，将A的ID和公私钥即ID_A、PK_A、SK_A存储于A的抗量子计算装置T_A。

KMS为用户端B颁发公私钥时，调用哈希函数H₁计算公钥PK_B＝H₁(ID_B)，再根据公钥PK_B计算私钥SK_B＝SK_MSB*PK_B，将B的ID和公私钥即ID_B、PK_B、SK_B存储于B的抗量子计算装置T_B。

基于上述基于ID密码学的密钥分发，图1示出基于数字证书的抗量子计算身份认证系统的认证方法流程如下：

步骤1：颁发根证书

(1)A→CA

用户端A根据ID_CA计算得到PK_CA＝H₁(ID_CA)，进一步计算与CA之间的对称密钥K_A-CA＝e(SK_A，PK_CA)。获取时间戳T₁，使用K_A-CA对T₁计算消息认证码得到K₁＝MAC(T₁，K_A-CA)。

使用K₁对A的身份信息AINFO加密得到{AINFO}K₁，使用K₁对T₁和AINFO计算消息认证码得到MAC(T₁||AINFO，K₁)，连同ID_A、ID_CA以及T₁一起发送至CA，发送的消息可表示为ID_A||ID_CA||T₁||{AINFO}K₁||MAC(T₁||AINFO，K₁)。

(2)CA→A

CA中的KMS计算A的系统私钥为SK_MSA＝MAC(ID_A，SK_MS)，根据PK_CA＝H₁(ID_CA)得到SK_CAA＝SK_MSA*PK_CA。进一步得到CA与A之间的对称密钥K_CA-A＝e(SK_CAA，PK_A)。根据ID密码学可得：K_A-CA＝e(SK_A，PK_CA)＝e(SK_MSA*PK_A，PK_CA)＝e(PK_A，SK_MSA*PK_CA)＝e(PK_A，SK_CAA)＝e(SK_CAA，PK_A)＝K_CA-A。使用K_CA-A对T₁计算消息认证码得到K′₁＝MAC(T₁，K_CA-A)。使用K′₁解密并验证消息认证码，得到A的身份信息AINFO。

CA取出CA根证书CERT_CA，获取时间戳T₂，使用K_CA-A对T₂计算消息认证码得到K₂＝MAC(T₂，K_CA-A)。使用K₂对CERT_CA加密得到{CERT_CA}K₂，使用K₂对T₂和CERT_CA计算消息认证码得到MAC(T₂||CERT_CA，K₂)，连同ID_CA、ID_A以及T₂一起发送至A，发送的消息可表示为ID_CA||ID_A||T₂||{CERT_CA}K₂||MAC(T₂||CERT_CA，K₂)。

A收到消息后，使用K_A-CA对T₂计算消息认证码得到K′₂＝MAC(T₂，K_A-CA)。使用K′₂解密并验证消息认证码，得到CA根证书CERT_CA，A对其进行验证后，存入本地抗量子计算装置内。

步骤2：颁发证书

(1)A→CA

用户端A计算与CA之间的对称密钥K_A-CA＝e(SK_A，PK_CA)。获取时间戳T₁，使用K_A-CA对T₁计算消息认证码得到K₁＝MAC(T₁，K_A-CA)。

A生成证书公私钥对PK_CERTA、SK_CERTA，可以基于RSA、ECC、离散对数、ID密码学等多种非对称密码算法。使用K₁对A的身份信息AINFO和A的证书公钥PK_CERTA加密得到{AINFO||PK_CERTA}K₁，使用K₁对T₁、AINFO以及PK_CERTA计算消息认证码得到MAC(T₁||AINFO||PK_A，K₁)，连同ID_A、ID_CA以及T₁一起发送至CA，发送的消息可表示为ID_A||ID_CA||T₁||{AINFO||PK_CERTA}K₁||MAC(T₁||AINFO||PK_CERTA，K₁)。

(2)CA→A

CA中的KMS计算A的系统私钥为SK_MSA＝MAC(ID_A，SK_MS)，根据PK_CA＝H₁(ID_CA)得到SK_CAA＝SK_MSA*PK_CA。进一步得到CA与A之间的对称密钥K_CA-A＝e(SK_CAA，PK_A)。根据ID密码学可得：K_A-CA＝e(SK_A，PK_CA)＝e(SK_MSA*PK_A，PK_CA)＝e(PK_A，SK_MSA*PK_CA)＝e(PK_A，SK_CAA)＝e(SK_CAA，PK_A)＝K_CA-A。使用K_CA-A对T₁计算消息认证码得到K′₁＝MAC(T₁，K_CA-A)。使用K′₁解密并验证消息认证码，得到A的身份信息AINFO和用于计算CERT_A的PK_CERTA。

CA制作A的证书CERT_A。然后CA获取时间戳T₂，使用K_CA-A对T₂计算消息认证码得到K₂＝MAC(T₂，K_CA-A)。使用K₂对CERT_A加密得到{CERT_A}K₂，使用K₂对T₂和CERT_A计算消息认证码得到MAC(T₂||CERT_A，K₂)，连同ID_CA、ID_A以及T₂一起发送至A，发送的消息可表示为ID_CA||ID_A||T₂||{CERT_A}K₂||MAC(T₂||CERT_A，K₂)。

A收到消息后，使用K_A-CA对T₂计算消息认证码得到K′₂＝MAC(T₂，K_A-CA)。使用K′₂解密并验证消息认证码，得到自己的证书CERT_A，A对其进行验证后，存入本地抗量子计算装置T_A内。

用户端B生成证书公私钥对PK_CERTB、SK_CERTB，也与CA进行如上相同步骤，获得自己的证书CERT_B。B对CERT_B进行验证后，存入本地抗量子计算装置T_B内。

步骤3：身份认证

(1)A→CA

用户端A计算与CA之间的对称密钥K_A-CA＝e(SK_A，PK_CA)。获取时间戳T₁，使用K_A-CA对T₁计算消息认证码得到K₁＝MAC(T₁，K_A-CA)。使用K₁对ID_B加密得到{ID_B}K₁，使用K₁对T₁和ID_B计算消息认证码得到MAC(T₁||ID_B，K₁)。连同ID_A、ID_CA以及T₁一起发送至CA，发送的消息可表示为M₁＝ID_A||ID_CA||T₁||{ID_B}K₁||MAC(T₁||ID_B，K₁)。

(2)CA→A

CA中的KMS计算A的系统私钥为SK_MSA＝MAC(ID_A，SK_MS)，计算得到SK_CAA＝SK_MSA*PK_CA。进一步根据PK_A＝H₁(ID_A)得到CA与A之间的对称密钥K_CA-A＝e(SK_CAA，PK_A)。根据ID密码学可得：K_A-CA＝e(SK_A，PK_CA)＝e(SK_MSA*PK_A，PK_CA)＝e(PK_A，SK_MSA*PK_CA)＝e(PK_A，SK_CAA)＝e(SK_CAA，PK_A)＝K_CA-A。使用K_CA-A对T₁计算消息认证码得到K′₁＝MAC(T₁，K_CA-A)。使用K′₁解密M₁并验证消息认证码，得到ID_B。

CA获取时间戳T₂，使用K_CA-A对T₂计算消息认证码得到K₂＝MAC(T₂，K_CA-A)。

CA中的KMS计算B的系统私钥为SK_MSB＝MAC(ID_B，SK_MS)，计算得到SK′_A＝SK_MSB*PK_A。使用K₂对SK′_A加密得到{SK′_A}K₂，使用K₂对T₂和SK′_A计算消息认证码得到MAC(T₂||SK′_A，K₂)。连同ID_CA、ID_A以及T₂一起发送至A，发送的消息可表示为M₂＝ID_CA||ID_A||T₂||{SK′_A}K₂||MAC(T₂||SK′_A，K₂)。

(3)A→B

A收到消息后，使用K_A-CA对T₂计算消息认证码得到K′₂＝MAC(T₂，K_A-CA)。使用K′₂解密M₂并验证消息认证码，得到SK′_A。

A根据PK_B＝H₁(ID_B)得到A与B之间的对称密钥K_A-B＝e(SK′_A，PK_B)。A获取时间戳T₃，使用K_A-B对T₃计算消息认证码得到K₃＝MAC(T₃，K_A-B)。

取出A的证书CERT_A并使用A的证书私钥SK_CERTA对T₃和CERT_A计算签名得到SIG_A＝SIGN(T₃||CERT_A，SK_CERTA)。使用K₃加密CERT_A和SIG_A得到{CERT_A||SIG_A}K₃，使用K₃对T₃、CERT_A和SIG_A计算消息认证码得到MAC(T₃||CERT_A||SIG_A，K₃)。连同ID_A、ID_B以及T₃一起发送至B，发送的消息可表示为M₃＝ID_A||ID_B||T₃||{CERT_A||SIG_A}K₃||MAC(T₃||CERT_A||SIG_A，K₃)。

(4)B→A

B收到消息后，B根据PK_A＝H₁(ID_A)得到B与A之间的对称密钥K_B-A＝e(SK_B，PK_A)。根据ID密码学可得：K_A-B＝e(SK′_A，PK_B)＝e(SK_MSB*PK_A，PK_B)＝e(PK_A，SK_MSB*PK_B)＝e(PK_A，SK_B)＝e(SK_B，PK_A)＝K_B-A。获取时间戳T₃，使用K_B-A对T₃计算消息认证码得到K′₃＝MAC(T₃，K_B-A)。使用K′₃解密M₃并验证消息认证码，验证通过后，获得CERT_A和SIG_A。使用CERT_CA中的PK_CERTCA验证证书，使用PK_CERTA验证SIG_A，并对T₃进行对比验证，验证通过后，信任A的消息。

B生成随机数N_B，使用PK_CERTA加密N_B和ID_B得到{N_B||ID_B}PK_CERTA。B获取时间戳T₄，使用K_B-A对T₄计算消息认证码得到K₄＝MAC(T₄，K_B-A)。取出B的证书CERT_B并使用B的证书私钥SK_CERTB对T₄、CERT_B和{N_B||ID_B}PK_CERTA计算签名得到SIG_B＝SIGN(T₄||CERT_B||{N_B||ID_B}PK_CERTA，SK_CERTB)。令M_4-0＝{N_B||ID_B}PK_CERTA||CERT_B||SIG_B，使用K₄加密M_4-0得到{M_4-0}K₄，使用K₄对T₄和M_4-0计算消息认证码得到MAC(T₄||M_4-0，K₄)。连同ID_A、ID_B以及T₄一起发送至A，发送的消息可表示为M₄＝ID_A||ID_B||T₄||{M_4-0}K₄||MAC(T₄||M_4-0，K₄)。

(5)A→B

A收到消息后，获取时间戳T₄，使用K_A-B对T₄计算消息认证码得到K′₄＝MAC(T₄，K_A-B)。使用K′₄解密M₄并验证消息认证码，验证通过后，获得{N_B||ID_B}PK_CERTA、CERT_B和SIG_B。使用CERT_CA中的PK_CERTCA验证证书，使用PK_CERTB验证SIG_B，并对T₄进行对比验证，验证通过后，信任B的消息。然后使用SK_CERTA解密{N_B||ID_B}PK_CERTA得到N_B。

A生成随机数N_A，使用PK_CERTB加密N_A、N_B和ID_A得到{N_A||N_B||ID_A}PK_CERTB。A获取时间戳T₅，使用K_A-B对T₅计算消息认证码得到K₅＝MAC(T₅，K_A-B)。使用A的证书私钥SK_CERTA对T₅和{N_A||N_B||ID_A}PK_CERTB计算签名得到SIG_A2＝SIGN(T₅||{N_A||N_B||ID_A}PK_CERTB，SK_CERTA)。

令M_5-0＝{N_A||N_B||ID_A}PK_CERTB||SIG_A2，使用K₅加密M_5-0得到{M_5-0}K₅，使用K₅对T₅和M_5-0计算消息认证码得到MAC(T₅||M_5-0，K₅)。连同ID_A、ID_B以及T₅一起发送至B，发送的消息可表示为M₅＝ID_A||ID_B||T₅||{M_5-0}K₅||MAC(T₅||M_5-0，K₅)。

(6)B→A

B收到消息后，获取时间戳T₅，使用K_B-A对T₅计算消息认证码得到K′₅＝MAC(T₅，K_B-A)。使用K′₅解密M₅并验证消息认证码，验证通过后，获得{N_A||N_B||ID_A}PK_CERTB、和SIG_A2。使用PK_CERTA验证SIG_A2，并对T₃进行对比验证，验证通过后，使用SK_CERTB解密{N_A||N_B||ID_A}PK_CERTB得到N_A和N_B。验证收到的N_B和本地的N_B是否一致。验证通过后，信任用户端A，同时B得到通过N_A和N_B计算得到的会话密钥。

验证通过后，B使用PK_CERTA加密N_A得到{N_A}PK_CERTA。B获取时间戳T₆，使用K_B-A对T₆计算消息认证码得到K₆＝MAC(T₆，K_B-A)。使用私钥SK_CERTB对T₆和{N_A}PK_CERTA计算签名得到SIG_B2＝SIGN(T₆||{N_A}PK_CERTA，SK_CERTB)。

使用K₆加密{N_A}PK_CERTA和SIG_B2得到{{N_A}PK_CERTA||SIG_B2}K₆，使用K₆对T₆、{N_A}PK_CERTA和SIG_B2计算消息认证码得到MAC(T₆||{N_A}PK_CERTA||SIG_B2，K₆)。连同ID_A、ID_B以及T₆一起发送至A，发送的消息可表示为M₆＝ID_A||ID_B||T₆||{{N_A}PK_CERTA||SIG_B2}K₆||MAC(T₆||{N_A}PK_CERTA||SIG_B2，K₆)。

A收到消息后，获取时间戳T₆，使用K_A-B对T₆计算消息认证码得到K′₆＝MAC(T₆，K_A-B)。使用K′₆解密M₆并验证消息认证码，验证通过后，获得{N_A}PK_CERTA和SIG_B2。用PK_CERTB验证SIG_B2，并对T₆进行对比验证，验证通过后，使用SK_CERTA解密{N_A}PK_CERTA得到N_A。验证收到的N_A和本地的N_A是否一致。验证通过后，信任用户端B，同时A得到通过N_A和N_B计算得到的会话密钥。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims

1.一种基于数字证书的抗量子计算身份认证系统，包括CA机构和客户端，其特征在于：

密钥管理服务器随机生成一对系统公私钥；

2.根据权利要求1所述的一种基于数字证书的抗量子计算身份认证系统，其特征在于：

在客户端向CA机构申请根证书或数字证书时，数据发送方根据数据接收方的ID采用哈希函数计算数据接收方的用户公钥，然后将自己的用户私钥与数据接收方的用户公钥进行计算，得到对称密钥；数据发送方和数据接收方基于对称密钥对根证书/数字证书进行加解密，实现根证书/数字证书的保密传输。

3.根据权利要求2所述的一种基于数字证书的抗量子计算身份认证系统，其特征在于：

任意两个客户端之间进行身份认证时，被认证方首先与CA机构进行对称密钥协商；基于协商好的对称密钥，被认证方将认证方ID加密后发送给CA机构，然后解密CA机构反馈的中间密钥，用中间密钥与自己的私钥计算出与认证方之间的对称密钥，所述中间密钥由认证方的系统私钥与被认证方的公钥联合计算得到；

4.根据权利要求1所述的一种基于数字证书的抗量子计算身份认证系统，其特征在于：

所述CA机构和客户端分别配置抗量子计算装置，CA机构的抗量子计算装置用于存储：系统公私钥、CA机构的ID、CA机构的用户公私钥以及各客户端的用户系统公私钥；客户端的抗量子计算装置用于存储：客户端ID、客户端的用户公私钥。

5.一种基于数字证书的抗量子计算身份认证方法，该方法中，被认证方基于CA机构颁发的数字证书向认证方认证自己的身份，其特征在于，所述认证方法在整个身份认证过程中，通过权利要求1至4任意一项所述的系统实现客户端与CA机构之间、客户端与客户端之间的保密通信。

6.根据权利要求5所述的一种基于数字证书的抗量子计算身份认证方法，其特征在于，还包括以下步骤：

7.根据权利要求6所述的一种基于数字证书的抗量子计算身份认证方法，其特征在于，所述明文消息为数据发送方实时生成的时间戳，所述时间戳用于记录数据发送方发送数据的时间。