基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法和系统、计算机设备技术方案

本申请公开了一种基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法和系统、计算机设备，其中系统包括主动方设备、被动方设备和服务站设备，所述主动方设备配置有主动方密钥卡，所述主动方密钥卡内存储有服务站公钥池、主动方公钥和主动方私钥；所述被动方设备配置有被动方密钥卡，所述被动方密钥卡内存储有服务站公钥池、被动方公钥和被动方私钥；所述服务站设备配置有服务站密钥卡，所述服务站密钥卡内存储有客户端公钥池、服务站私钥池和服务站公钥池。其中服务站无需存储多个大容量对称密钥池，仅需存储客户端公钥池，极大节省量子通信服务站的存储空间，也为密钥备份提供了方便。

Quantum Communication Service Station AKA Key Agreement Method Based on Asymmetric Key Pool Pair and Digital Signature

【技术实现步骤摘要】
基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法和系统、计算机设备
本申请属于安全通信
，具体涉及一种基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法和系统、计算机设备。
技术介绍
迅速发展的Internet给人们的生活、工作带来了巨大的方便，人们可以坐在家里通过Internet收发电子邮件、打电话、进行网上购物、银行转账等活动。同时网络信息安全也逐渐成为一个潜在的巨大问题。一般来说网络信息面临着以下几种安全隐患：网络信息被窃取、信息被篡改、攻击者假冒信息、恶意破坏等。其中身份认证是其中一种保护人们网络信息的一种手段。身份认证也称为“身份验证”或“身份鉴别”，是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。而当前确保身份认证成功的主要是依靠密码技术，而在如今的密码学领域中，主要有两种密码系统，一是对称密钥密码系统，即加密密钥和解密密钥使用同一个。另一个是公开密钥密码系统，即加密密钥和解密密钥不同，其中一个可以公开。目前大部分的身份认证使用算法的主要依靠公钥密码体系。公开密钥加密系统采用的加密钥匙(公钥)和解密钥匙(私钥)是不同的。由于加密钥匙是公开的，密钥的分配和管理就很简单，公开密钥加密系统还能够很容易地实现数字签名。自公钥加密问世以来，学者们提出了许多种公钥加密方法，它们的安全性都是基于复杂的数学难题。根据所基于的数学难题来分类，有以下三类系统目前被认为是安全和有效的：大整数因子分解系统(代表性的有RSA)、离散对数系统(代表性的有DSA)和椭圆离散对数系统(ECC)。但是随着量子计算机的发展，经典非对称密钥加密算法将不再安全，无论加解密还是密钥交换方法，量子计算机都可以通过公钥计算得到私钥，因此目前常用的非对称密钥将在量子时代变得不堪一击。目前量子密钥分发设备QKD可确保协商的密钥无法被获取。但是QKD主要用于量子干线，用户端设备到量子通信服务站依旧为经典网络，因此依靠非对称算法很难保证身份认证过程的安全。目前在移动通信领域比较常用的鉴权方法之一的AKA机制(全称“AuthenticationandKeyAgreement”，即鉴权和密钥协商。)虽然是基于对称密钥算法，但大量的对称密钥池对于QKD服务器具有较大的存储负担。现有技术存在的问题：1.量子通信服务站与量子密钥卡之间使用对称密钥池，其容量巨大，对量子通信服务站的密钥存储带来压力；2.由于对称密钥池密钥容量巨大，量子通信服务站不得不将密钥加密存储于普通存储介质例如硬盘内，而无法存储于量子通信服务站的密钥卡内；3.由于对称密钥池密钥容量巨大，给密钥备份造成麻烦。
技术实现思路
基于此，有必要针对上述问题，提供一种基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法和系统、计算机设备。本申请提供一种基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法，实施在主动方，所述量子通信服务站AKA密钥协商方法包括：生成真随机数Rb并发送至被动方；所述真随机数Rb用于供被动方结合己方私钥生成第一消息；获取来自被动方的利用服务站公钥PKQ1加密的第一消息，根据加密的第一消息和真随机数Rb得到第二消息；向服务站发送利用服务站公钥PKQ2加密的第二消息；所述第二消息用于供服务站利用主动方公钥验证通过后得到加密的第一消息，所述加密的第一消息用于供服务站利用与服务站公钥PKQ1对应的服务站私钥SKQ1解密得到第一消息，所述第一消息用于供服务站利用被动方公钥进行验证并在验证通过后结合服务站私钥SKQa生成第三消息，所述第三消息用于供服务站结合服务站私钥SKQb得到第四消息；获取来自服务站的第四消息，利用与所述服务站私钥SKQb对应的服务站公钥PKQb对第四消息验证通过后得到所述第三消息；向所述被动方发送所述第三消息；所述第三消息用于供被动方利用与所述服务站私钥SKQa对应的服务站公钥PKQa验证通过后解析并计算得到认证应答，所述认证应答用于供被动方生成消息认证码；获取来自被动方的消息认证码，根据所述消息认证码生成鉴权结果；将所述鉴权结果发送至被动方。本申请提供一种基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法，实施在被动方，所述量子通信服务站AKA密钥协商方法包括：获取来自主动方的真随机数Rb，根据所述真随机数Rb和己方私钥得到第一消息；所述真随机数Rb由主动方生成；在己方生成服务站公钥PKQ1，向主动方发送利用服务站公钥PKQ1加密的第一消息；所述加密的第一消息用于供服务站利用与服务站公钥PKQ1对应的服务站私钥SKQ1解密得到第一消息，所述第一消息用于供服务站利用被动方公钥进行验证并在验证通过后结合服务站私钥SKQa生成第三消息，所述第三消息用于供服务站结合服务站私钥SKQb得到第四消息；获取来自主动方的第三消息，在己方生成与所述服务站私钥SKQa对应的服务站公钥PKQa，利用所述服务站公钥PKQa对第三消息验证通过后计算得到认证应答，根据所述认证应答生成消息认证码；所述第三消息由主动方利用与所述服务站私钥SKQb对应的服务站公钥PKQb对第四消息验证通过后得到；向主动方发送所述消息认证码；所述消息认证码用于主动方生成鉴权结果；获取来自主动方的鉴权结果。本申请提供一种基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法，实施在服务站，所述量子通信服务站AKA密钥协商方法包括：获取来自主动方的利用服务站公钥PKQ2加密后的第二消息，利用己方生成的与服务站公钥PKQ2对应的服务站私钥SKQ2解密得到第二消息，利用主动方公钥对第二消息验证通过后得到第一消息，利用被动方公钥对第一消息进行验证，并在验证通过后结合己方生成的服务站私钥SKQa生成第三消息，利用第三消息和己方生成的服务站私钥SKQb得到第四消息；所述第二消息由主动方根据所述第一消息得到，所述第一消息由被动方根据真随机数Rb得到，所述真随机数Rb由主动方生成；向主动方发送所述第四消息；所述第四消息用于供主动方利用与所述服务站私钥SKQb对应的服务站公钥PKQb验证通过后得到所述第三消息，所述第三消息用于供被动方利用与所述服务站私钥SKQa对应的服务站公钥PKQa验证通过后计算得到认证应答，所述认证应答用于供主动方得到鉴权结果并发送至被动方。本申请提供一种基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法，所述量子通信服务站AKA密钥协商方法包括：主动方生成真随机数Rb并发送至被动方；所述被动方获取并根据所述真随机数Rb和己方私钥得到第一消息，在己方生成服务站公钥PKQ1，向主动方发送利用服务站公钥PKQ1加密的第一消息；所述主动方获取并根据加密的第一消息和真随机数Rb得到第二消息，在己方生成服务站公钥PKQ2，向服务站发送利用服务站公钥PKQ2加密的第二消息；所述服务站获取并利用己方生成的与服务站公钥PKQ2对应的服务站私钥SKQ2解密得到第二消息，利用主动方公钥对第二消息验证通过后得到加密的第一消息，利用与服务站本文档来自技高网...

【技术保护点】
1.基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法，实施在主动方，其特征在于，所述量子通信服务站AKA密钥协商方法包括：生成真随机数Rb并发送至被动方；所述真随机数Rb用于供被动方结合己方私钥生成第一消息；获取来自被动方的利用服务站公钥PKQ1加密的第一消息，根据加密的第一消息和真随机数Rb得到第二消息；向服务站发送利用服务站公钥PKQ2加密的第二消息；所述第二消息用于供服务站利用主动方公钥验证通过后得到加密的第一消息，所述加密的第一消息用于供服务站利用与服务站公钥PKQ1对应的服务站私钥SKQ1解密得到第一消息，所述第一消息用于供服务站利用被动方公钥进行验证并在验证通过后结合服务站私钥SKQa生成第三消息，所述第三消息用于供服务站结合服务站私钥SKQb得到第四消息；获取来自服务站的第四消息，利用与所述服务站私钥SKQb对应的服务站公钥PKQb对第四消息验证通过后得到所述第三消息；向所述被动方发送所述第三消息；所述第三消息用于供被动方利用与所述服务站私钥SKQa对应的服务站公钥PKQa验证通过后解析并计算得到认证应答，所述认证应答用于供被动方生成消息认证码；获取来自被动方的消息认证码，根据所述消息认证码生成鉴权结果；将所述鉴权结果发送至被动方。...

【技术特征摘要】
1.基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法，实施在主动方，其特征在于，所述量子通信服务站AKA密钥协商方法包括：生成真随机数Rb并发送至被动方；所述真随机数Rb用于供被动方结合己方私钥生成第一消息；获取来自被动方的利用服务站公钥PKQ1加密的第一消息，根据加密的第一消息和真随机数Rb得到第二消息；向服务站发送利用服务站公钥PKQ2加密的第二消息；所述第二消息用于供服务站利用主动方公钥验证通过后得到加密的第一消息，所述加密的第一消息用于供服务站利用与服务站公钥PKQ1对应的服务站私钥SKQ1解密得到第一消息，所述第一消息用于供服务站利用被动方公钥进行验证并在验证通过后结合服务站私钥SKQa生成第三消息，所述第三消息用于供服务站结合服务站私钥SKQb得到第四消息；获取来自服务站的第四消息，利用与所述服务站私钥SKQb对应的服务站公钥PKQb对第四消息验证通过后得到所述第三消息；向所述被动方发送所述第三消息；所述第三消息用于供被动方利用与所述服务站私钥SKQa对应的服务站公钥PKQa验证通过后解析并计算得到认证应答，所述认证应答用于供被动方生成消息认证码；获取来自被动方的消息认证码，根据所述消息认证码生成鉴权结果；将所述鉴权结果发送至被动方。2.基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法，实施在被动方，其特征在于，所述量子通信服务站AKA密钥协商方法包括：获取来自主动方的真随机数Rb，根据所述真随机数Rb和己方私钥得到第一消息；所述真随机数Rb由主动方生成；在己方生成服务站公钥PKQ1，向主动方发送利用服务站公钥PKQ1加密的第一消息；所述加密的第一消息用于供服务站利用与服务站公钥PKQ1对应的服务站私钥SKQ1解密得到第一消息，所述第一消息用于供服务站利用被动方公钥进行验证并在验证通过后结合服务站私钥SKQa生成第三消息，所述第三消息用于供服务站结合服务站私钥SKQb得到第四消息；获取来自主动方的第三消息，在己方生成与所述服务站私钥SKQa对应的服务站公钥PKQa，利用所述服务站公钥PKQa对第三消息验证通过后计算得到认证应答，根据所述认证应答生成消息认证码；所述第三消息由主动方利用与所述服务站私钥SKQb对应的服务站公钥PKQb对第四消息验证通过后得到；向主动方发送所述消息认证码；所述消息认证码用于主动方生成鉴权结果；获取来自主动方的鉴权结果。3.基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法，实施在服务站，其特征在于，所述量子通信服务站AKA密钥协商方法包括：获取来自主动方的利用服务站公钥PKQ2加密后的第二消息，利用己方生成的与服务站公钥PKQ2对应的服务站私钥SKQ2解密得到第二消息，利用主动方公钥对第二消息验证通过后得到第一消息，利用被动方公钥对第一消息进行验证，并在验证通过后结合己方生成的服务站私钥SKQa生成第三消息，利用第三消息和己方生成的服务站私钥SKQb得到第四消息；所述第二消息由主动方根据所述第一消息得到，所述第一消息由被动方根据真随机数Rb得到，所述真随机数Rb由主动方生成；向主动方发送所述第四消息；所述第四消息用于供主动方利用与所述服务站私钥SKQb对应的服务站公钥PKQb验证通过后得到所述第三消息，所述第三消息用于供被动方利用与所述服务站私钥SKQa对应的服务站公钥PKQa验证通过后计算得到认证应答，所述认证应答用于供主动方得到鉴权结果并发送至被动方。4.基于非对称密钥池对和数字签名的量子通信服务站AKA密钥协商方法，其特征在于，所述量子通信服务站AKA密钥协商方法包括：主动方生成真随机数Rb并发送至被动方；所述被动方获取并根据所述真随机数Rb和己方私钥得到第一消息，在己方生成服务站公钥PKQ1，向主动方发送利用服务站公钥PKQ1加密的第一消息；所述主动方获取并根据...

【专利技术属性】
技术研发人员：富尧，钟一民，余秋炜，
申请(专利权)人：如般量子科技有限公司，
类型：发明
国别省市：浙江,33