基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法和系统技术方案

本申请涉及一种基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法和系统，本申请对基于隐式证书的密钥管理方法进行改进，使用非对称密钥池保证非对称密钥的获取和更新只能由拥有非对称密钥池的客户端获得，其他任何人均无法获得。由于非对称密钥均未公开，而公开的用户信息中无法获取密钥，因此本申请的非对称密钥使用方式具有抗量子计算的特性。

Anti quantum computing asymmetric key management method and system based on asymmetric key pool and implicit certificate

【技术实现步骤摘要】
基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法和系统
本申请涉及安全通信
，特别是涉及基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法和系统。
技术介绍
迅速发展的Internet给人们的生活、工作带来了巨大的方便，人们可以坐在家里通过Internet收发电子邮件、打电话、进行网上购物、银行转账等活动。同时网络信息安全也逐渐成为一个潜在的巨大问题。一般来说网络信息面临着以下几种安全隐患：网络信息被窃取、信息被篡改、攻击者假冒信息、恶意破坏等。其中身份认证是其中一种保护人们网络信息的一种手段。身份认证也称为“身份验证”或“身份鉴别”，是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。而当前确保身份认证成功的主要是依靠密码技术，而在如今的密码学领域中，主要有两种密码系统，一是对称密钥密码系统，即加密密钥和解密密钥使用同一个。另一个是公开密钥密码系统，即加密密钥和解密密钥不同，其中一个可以公开。目前大部分的身份认证使用算法的主要依靠公钥密码体系。公开密钥加密系统采用的加密钥匙(公钥)和解密钥匙(私钥)是不同的。由于加密钥匙是公开的，密钥的分配和管理就很简单，公开密钥加密系统还能够很容易地实现数字签名。自公钥加密问世以来，学者们提出了许多种公钥加密方法，它们的安全性都是基于复杂的数学难题。根据所基于的数学难题来分类，有以下三类系统目前被认为是安全和有效的：大整数因子分解系统(代表性的有RSA)、离散对数系统(代表性的有DSA)和椭圆离散对数系统(ECC)。基于ECQV(EllipticCurveQu-Vanstone)自签名隐式证书机制设计了一种双向认证密钥协商协议，该ECQV隐式证书的生成基于ECC算法,它的证书更小，计算速度更快，可以显著提高认证效率。传统证书中，公钥和数字签名是分开的，而在ECQV自签名隐式证书中，数字签名是嵌入到公钥中的，这也是“自签名”的含义，接收方可以从中提取公钥来验证其身份。但是随着量子计算机的发展，经典非对称密钥加密算法将不再安全，无论加解密还是密钥交换方法，量子计算机都可以通过公钥计算得到私钥，因此目前常用的非对称密钥将在量子时代变得不堪一击。由于量子计算机的潜在威胁，现有基于对称密钥池进行身份认证的方案，利用服务端与客户端之间的对称密钥进行身份认证，放弃使用公钥密码学，以避免身份认证系统被量子计算机破解。现有技术存在的问题：1.现有基于对称密钥池进行密钥管理的方案，服务端与客户端之间使用对称密钥池，其容量巨大，对服务端的密钥存储带来压力；2.现有基于对称密钥池进行密钥管理的方案，由于对称密钥池密钥容量巨大，服务端不得不将密钥加密存储于普通存储介质例如硬盘内，而无法存储于服务端的密钥卡内；3.现有基于对称密钥池进行密钥管理的方案，由于对称密钥池密钥容量巨大，给密钥的在线更新造成麻烦。
技术实现思路
基于此，有必要针对上述技术问题，提供一种能够减少服务端存储数据量的基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法。本申请公开了基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法，实施在服务端向客户端A密钥卡颁发密钥，所述抗量子计算非对称密钥管理方法包括：生成第一随机数、第二随机数、客户端A公钥和客户端A私钥，其中客户端A公钥是利用基点生成元和所述客户端A私钥生成，利用所述第一随机数从自身存储中取出第一服务端公钥和第一服务端私钥，利用所述第一服务端公钥和所述客户端A公钥生成隐式证书参数，利用所述隐式证书参数和客户端A设备信息生成隐式证书；利用所述隐式证书进行哈希计算得到第一哈希值；利用所述第二随机数从自身存储中取出第二服务端公钥和第二服务端私钥，利用所述第一哈希值，第一服务端私钥以及第二服务端私钥生成私钥参数；将服务端公钥池、所述第一随机数、所述第二随机数、所述客户端A私钥以及私钥参数写入客户端A密钥卡内；所述客户端A密钥卡供所述客户端A获得非对称密钥池。本申请公开了基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法，实施在客户端A，所述抗量子计算非对称密钥管理方法包括：从客户端A密钥卡中读取服务端公钥池、第一随机数、第二随机数、客户端A私钥以及私钥参数，所述第一随机数和所述第二随机数有服务端生成并用来取出对应的服务端密钥，所述私钥参数利用第一哈希值，第一服务端私钥以及第二服务端私钥生成，所述第一哈希值利用隐式证书进行哈希计算得到，所述隐式证书利用隐式证书参数和客户端A设备信息生成，所述隐式证书参数利用第一服务端公钥和客户端A公钥生成；利用所述客户端A私钥和基点生成元得到客户端A公钥，利用所述第一随机数、第二随机数分别从所述服务端公钥池得到第一服务端公钥和第二服务端公钥，利用所述隐式证书参数，第一服务端公钥，客户端A设备信息得到所述第一哈希值；利用所述第一哈希值、客户端A私钥以及私钥参数生成工作私钥，利用所述第一哈希值、隐式证书参数以及第二服务端公钥生成工作公钥，生成密钥信息，所述密钥信息包括客户端A设备信息，隐式证书参数以及所述第二随机数；所述密钥信息用于供存储有同样服所述服务端公钥池的客户端B计算得到所述客户端A公钥。本申请公开了基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法，实施在客户端B，所述抗量子计算非对称密钥管理方法包括：获取客户端A发送的密钥信息，所述密钥信息包括客户端A设备信息，隐式证书参数以及第二随机数；利用所述客户端A设备信息，隐式证书参数生成隐式证书，对所述隐式证书进行哈希计算得到第一哈希值，利用所述第二随机数从客户端B密钥卡中的服务端公钥池中取得第二服务端公钥，利用所述第一哈希值、隐式证书参数以及第二服务端公钥生成客户端A公钥；所述客户端A公钥用于客户端A和客户端B之间的通信加密。本申请公开了基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法，所述抗量子计算非对称密钥管理方法包括颁发过程和更新过程，所述颁发过程如下：服务端生成第一随机数、第二随机数、客户端A公钥和客户端A私钥，其中客户端A公钥是利用基点生成元和所述客户端A私钥生成，利用所述第一随机数从自身存储中取出第一服务端公钥和第一服务端私钥，利用所述第一服务端公钥和所述客户端A公钥生成隐式证书参数，利用所述隐式证书参数和客户端A设备信息生成隐式证书；利用所述隐式证书进行哈希计算得到第一哈希值；利用所述第二随机数从自身存储中取出第二服务端公钥和第二服务端私钥，利用所述第一哈希值，第一服务端私钥以及第二服务端私钥生成私钥参数；将服务端公钥池、所述第一随机数、所述第二随机数、所述客户端A私钥以及私钥参数写入客户端A密钥卡内；所述客户端A从客户端A密钥卡中读取服务端公钥池、第一随机数本文档来自技高网...

【技术保护点】
1.基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法，实施在服务端向客户端A密钥卡颁发密钥，其特征在于，所述抗量子计算非对称密钥管理方法包括：/n生成第一随机数、第二随机数、客户端A公钥和客户端A私钥，其中客户端A公钥是利用基点生成元和所述客户端A私钥生成，利用所述第一随机数从自身存储中取出第一服务端公钥和第一服务端私钥，利用所述第一服务端公钥和所述客户端A公钥生成隐式证书参数，利用所述隐式证书参数和客户端A设备信息生成隐式证书；利用所述隐式证书进行哈希计算得到第一哈希值；利用所述第二随机数从自身存储中取出第二服务端公钥和第二服务端私钥，利用所述第一哈希值，第一服务端私钥以及第二服务端私钥生成私钥参数；将服务端公钥池、所述第一随机数、所述第二随机数、所述客户端A私钥以及私钥参数写入客户端A密钥卡内；/n所述客户端A密钥卡供所述客户端A获得非对称密钥池。/n

【技术特征摘要】
1.基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法，实施在服务端向客户端A密钥卡颁发密钥，其特征在于，所述抗量子计算非对称密钥管理方法包括：
生成第一随机数、第二随机数、客户端A公钥和客户端A私钥，其中客户端A公钥是利用基点生成元和所述客户端A私钥生成，利用所述第一随机数从自身存储中取出第一服务端公钥和第一服务端私钥，利用所述第一服务端公钥和所述客户端A公钥生成隐式证书参数，利用所述隐式证书参数和客户端A设备信息生成隐式证书；利用所述隐式证书进行哈希计算得到第一哈希值；利用所述第二随机数从自身存储中取出第二服务端公钥和第二服务端私钥，利用所述第一哈希值，第一服务端私钥以及第二服务端私钥生成私钥参数；将服务端公钥池、所述第一随机数、所述第二随机数、所述客户端A私钥以及私钥参数写入客户端A密钥卡内；
所述客户端A密钥卡供所述客户端A获得非对称密钥池。


2.基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法，实施在客户端A，其特征在于，所述抗量子计算非对称密钥管理方法包括：
从客户端A密钥卡中读取服务端公钥池、第一随机数、第二随机数、客户端A私钥以及私钥参数，所述第一随机数和所述第二随机数有服务端生成并用来取出对应的服务端密钥，所述私钥参数利用第一哈希值，第一服务端私钥以及第二服务端私钥生成，所述第一哈希值利用隐式证书进行哈希计算得到，所述隐式证书利用隐式证书参数和客户端A设备信息生成，所述隐式证书参数利用第一服务端公钥和客户端A公钥生成；
利用所述客户端A私钥和基点生成元得到客户端A公钥，利用所述第一随机数、第二随机数分别从所述服务端公钥池得到第一服务端公钥和第二服务端公钥，利用所述隐式证书参数，第一服务端公钥，客户端A设备信息得到所述第一哈希值；利用所述第一哈希值、客户端A私钥以及私钥参数生成工作私钥，利用所述第一哈希值、隐式证书参数以及第二服务端公钥生成工作公钥，生成密钥信息，所述密钥信息包括客户端A设备信息，隐式证书参数以及所述第二随机数；
所述密钥信息用于供存储有同样服所述服务端公钥池的客户端B计算得到所述客户端A公钥。


3.基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法，实施在客户端B，其特征在于，所述抗量子计算非对称密钥管理方法包括：
获取客户端A发送的密钥信息，所述密钥信息包括客户端A设备信息，隐式证书参数以及第二随机数；利用所述客户端A设备信息，隐式证书参数生成隐式证书，对所述隐式证书进行哈希计算得到第一哈希值，利用所述第二随机数从客户端B密钥卡中的服务端公钥池中取得第二服务端公钥，利用所述第一哈希值、隐式证书参数以及第二服务端公钥生成客户端A公钥；
所述客户端A公钥用于客户端A和客户端B之间的通信加密。


4.基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法，其特征在于，所述抗量子计算非对称密钥管理方法包括颁发过程和更新过程，所述颁发过程如下：
服务端生成第一随机数、第二随机数、客户端A公钥和客户端A私钥，其中客户端A公钥是利用基点生成元和所述客户端A私钥生成，利用所述第一随机数从自身存储中取出第一服务端公钥和第一服务端私钥，利用所述第一服务端公钥和所述客户端A公钥生成隐式证书参数，利用所述隐式证书参数和客户端A设备信息生成隐式证书；利用所述隐式证书进行哈希计算得到第一哈希值；利用所述第二随机数从自身存储中取出第二服务端公钥和第二服务端私钥，利用所述第一哈希值，第一服务端私钥以及第二服务端私钥生成私钥参数；将服务端公钥池、所述第一随机数、所述第二随机数、所述客户端A私钥以及私钥参数写入客户端A密钥卡内；
所述客户端A从客户端A密钥卡中读取服务端公钥池、第一随机数、第二随机数、客户端A私钥以及私钥参数；利用所述客户端A私钥和基点生成元得到客户端A公钥，利用所述第一随机数、第二随机数分别从所述服务端公钥池得到第一服务端公钥和第二服务端公钥，利用所述隐式证书参数，第一服务端公钥，客户端A设备信息得到所述第一哈希值；利用所述第一哈希值、客户端A私钥以及私钥参数生成工作私钥，利用所述第一哈希值、隐式证书参数以及第二服务端公钥生成工作公钥，生成密钥信息，所述密钥信息包括客户端A设备信息，隐式证书参数以及所述第二随机数；
所述更新过程如下：
所述客户端A生成第三随机数，...

【专利技术属性】
技术研发人员：富尧，钟一民，杨羽成，
申请(专利权)人：如般量子科技有限公司，南京如般量子科技有限公司，
类型：发明
国别省市：浙江;33