基于公钥池和签名偏移量的抗量子证书颁发方法及系统技术方案

本申请涉及一种基于公钥池和签名偏移量的抗量子证书颁发方法及系统，参与方包括证书授权中心和用户，各参与方均配置又密钥卡，各密钥卡内均存储有公钥池、私钥、证书授权中心的公钥指针随机数，用户的密钥卡内还存储有用户公钥指针随机数，当证书授权中心在对抗量子证书进行签名时根据持有者公钥指针随机数在公钥池中获取持有者公钥；根据持有者公钥以及持有者公钥指针随机数计算得到签名偏移量；根据所述抗量子证书原文计算得到原文摘要；利用证书授权中心的私钥以及所述签名偏移量对所述原文摘要进行签名，得到颁发者签名。采用本方法抗量子证书不会被量子计算机破解。

Anti quantum certificate issuing method and system based on public key pool and signature offset

【技术实现步骤摘要】
基于公钥池和签名偏移量的抗量子证书颁发方法及系统
本申请涉及安全通信领域，特别是涉及一种基于公钥池和签名偏移量的抗量子证书颁发方法及系统。
技术介绍
数字签名(又称公钥数字签名、电子签名等)在理念上是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。数字签名的文件的完整性是很容易验证的(不需要骑缝章，骑缝签名，也不需要笔迹专家)，而且数字签名具有不可抵赖性(不可否认性)。简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS)。在如今的密码学领域中，主要有两种密码系统，一是对称密钥密码系统，即加密密钥和解密密钥使用同一个。另一个是公开密钥密码系统，即加密密钥和解密密钥不同，其中一个可以公开。而数字证书正好是基于非对称密码体系实现的。但是随着量子计算机的发展，经典非对称密钥加密算法将不再安全，无论加解密、数字签名还是密钥交换方法，量子计算机都可以通过公钥计算得到私钥，因此目前经典的数字证书将在量子时代变得不堪一击。
技术实现思路
基于此，有必要针对上述技术问题，提供一种基于公钥池和签名偏移量的抗量子证书颁发方法及系统。基于公钥池和签名偏移量的抗量子证书颁发方法，参与方包括证书授权中心和用户，各参与方均配置又密钥卡，各密钥卡内均存储有公钥池、私钥、证书授权中心的公钥指针随机数，用户的密钥卡内还存储有用户公钥指针随机数，其特征在于，所述抗量子证书颁发方法包括在所述证书授权中心进行如下步骤：生成抗量子证书，将抗量子证书安全发送至对应用户；所述抗量子证书包括颁发者签名以及抗量子证书原文；所述抗量子证书原文包括：颁发者信息、证书信息以及持有者信息；所述颁发者信息包括颁发者名称，所述证书信息包括：版本号、序列号和有效期，所述持有者信息包括：持有者名称、公钥算法和持有者公钥指针随机数；根据持有者公钥指针随机数在公钥池中获取持有者公钥；根据持有者公钥以及持有者公钥指针随机数计算得到签名偏移量；根据所述抗量子证书原文计算得到原文摘要；利用证书授权中心的私钥以及所述签名偏移量对所述原文摘要进行签名，得到颁发者签名。在其中一个实施例中，所述抗量子证书颁发方法还包括在用户端进行所述抗量子证书的验证，抗量子证书验证包括如下步骤：接收到所述抗量子证书；对所述抗量子证书持有者以及颁发者进行验证，若验证成功则进行下一步；根据证书授权中心的公钥指针随机数从所述公钥池中获取证书授权中心的公钥；根据抗量子证书中的持有者公钥指针随机数在公钥池中获取持有者的公钥；根据持有者公钥以及持有者公钥指针随机数计算得到所述签名偏移量；根据所述签名偏移量以及证书授权中心的公钥对颁发者签名进行计算，得到所述抗量子证书的第一原文摘要；根据所述抗抗量子证书原文进行计算，得到第二原文摘要；验证第一原文摘要与第二原文摘要是否相同，若相同则进行下一步；验证所述抗量子证书是否在有效期内。在其中一个实施例中，所述公钥池中存储有若干个公钥单元，每个参与方对应其中一个公钥单元，每个公钥单元包括：公钥指针随机数、公钥指针函数、公钥和公钥算法；所述对所述抗量子证书持有者以及颁发者进行验证，包括如下步骤：根据接收的抗量子证书中的持有者公钥指针随机数在公钥池中寻找对应的公钥单元，若找到对应的公钥单元，则进行下一步；根据所述公钥单元中的公钥指针函数对持有者公钥指针随机数计算，得到公钥指针，若所述公钥指针与所述公钥单元中的公钥指针相同，则进行下一步；在公钥池和受信任的根证书列表中寻找所述抗量子证书中记载的证书授权中心的公钥指针随机数，若找到，则验证成功。在其中一个实施例中，所述对所述抗量子证书持有者以及颁发者进行验证之前还包括对抗量子证书进行种类鉴别，所述种类鉴别包括如下步骤：判断接收的抗量子证书中的持有者公钥指针随机数是否与证书授权中心的公钥指针随机数相同；若不相同，则进行抗量子证书的验证过程，若验证通过，将该抗量子根证书加入受信任的根证书列表；若相同，则在进行抗量子证书的验证过程中，用证书授权中心的公钥指针随机数代替持有者公钥指针随机数对所述抗量子证书进行验证。本专利技术还提供了一种基于公钥池和签名偏移量的抗量子证书颁发系统，参与方包括证书授权中心和用户，各参与方均配置又密钥卡，各密钥卡内均存储有公钥池、私钥、证书授权中心的公钥指针随机数，用户的密钥卡内还存储有用户公钥指针随机数，抗量子证书颁发系统包括证书授权中心，所述证书授权中心包括：第一模块，用于生成抗量子证书，所述抗量子证书包括颁发者签名以及抗量子证书原文；所述抗量子证书原文包括：颁发者信息、证书信息以及持有者信息；所述颁发者信息包括颁发者名称，所述证书信息包括：版本号、序列号和有效期，所述持有者信息包括：持有者名称、公钥算法和持有者公钥指针随机数；第二模块，用于根据持有者公钥指针随机数在公钥池中获取持有者公钥；第三模块，用于根据持有者公钥以及持有者公钥指针随机数计算得到签名偏移量；第四模块，用于根据所述抗量子证书原文计算得到原文摘要；第五模块，用于利用证书授权中心的私钥以及所述签名偏移量对所述原文摘要进行签名，得到颁发者签名；第六模块，用于将抗量子证书安全发送至对应用户。在其中一个实施例中，所述抗量子证书颁发系统还包括设置在用户端的抗量子证书验证模块，所述抗量子证书验证模块包括：第一子模块，用于接收到所述抗量子证书；第二子模块，用于对所述抗量子证书持有者以及颁发者进行验证，若验证成功则进行下一步；第三子模块，用于根据证书授权中心的公钥指针随机数从所述公钥池中获取证书授权中心的公钥；第四子模块，本文档来自技高网...

【技术保护点】
1.基于公钥池和签名偏移量的抗量子证书颁发方法，参与方包括证书授权中心和用户，各参与方均配置有密钥卡，各密钥卡内均存储有公钥池、私钥、证书授权中心的公钥指针随机数，用户的密钥卡内还存储有用户公钥指针随机数，其特征在于，所述抗量子证书颁发方法包括在所述证书授权中心进行如下步骤：/n生成抗量子证书，将抗量子证书安全发送至对应用户；/n所述抗量子证书包括颁发者签名以及抗量子证书原文；所述抗量子证书原文包括：颁发者信息、证书信息以及持有者信息；/n所述颁发者信息包括颁发者名称，所述证书信息包括：版本号、序列号和有效期，所述持有者信息包括：持有者名称、公钥算法和持有者公钥指针随机数；/n根据持有者公钥指针随机数在公钥池中获取持有者公钥；/n根据持有者公钥以及持有者公钥指针随机数计算得到签名偏移量；/n根据所述抗量子证书原文计算得到原文摘要；/n利用证书授权中心的私钥以及所述签名偏移量对所述原文摘要进行签名，得到颁发者签名。/n

【技术特征摘要】
20190809 CN 20191073502591.基于公钥池和签名偏移量的抗量子证书颁发方法，参与方包括证书授权中心和用户，各参与方均配置有密钥卡，各密钥卡内均存储有公钥池、私钥、证书授权中心的公钥指针随机数，用户的密钥卡内还存储有用户公钥指针随机数，其特征在于，所述抗量子证书颁发方法包括在所述证书授权中心进行如下步骤：
生成抗量子证书，将抗量子证书安全发送至对应用户；
所述抗量子证书包括颁发者签名以及抗量子证书原文；所述抗量子证书原文包括：颁发者信息、证书信息以及持有者信息；
所述颁发者信息包括颁发者名称，所述证书信息包括：版本号、序列号和有效期，所述持有者信息包括：持有者名称、公钥算法和持有者公钥指针随机数；
根据持有者公钥指针随机数在公钥池中获取持有者公钥；
根据持有者公钥以及持有者公钥指针随机数计算得到签名偏移量；
根据所述抗量子证书原文计算得到原文摘要；
利用证书授权中心的私钥以及所述签名偏移量对所述原文摘要进行签名，得到颁发者签名。


2.根据权利要求1所述的抗量子证书颁发方法，其特征在于，所述抗量子证书颁发方法还包括在用户端进行所述抗量子证书的验证，抗量子证书验证包括如下步骤：
接收到所述抗量子证书；
对所述抗量子证书持有者以及颁发者进行验证，若验证成功则进行下一步；
根据证书授权中心的公钥指针随机数从所述公钥池中获取证书授权中心的公钥；
根据抗量子证书中的持有者公钥指针随机数在公钥池中获取持有者的公钥；
根据持有者公钥以及持有者公钥指针随机数计算得到所述签名偏移量；
根据所述签名偏移量以及证书授权中心的公钥对颁发者签名进行计算，得到所述抗量子证书的第一原文摘要；
根据所述抗抗量子证书原文进行计算，得到第二原文摘要；
验证第一原文摘要与第二原文摘要是否相同，若相同则进行下一步；
验证所述抗量子证书是否在有效期内。


3.根据权利要求2所述的抗量子证书颁发方法，其特征在于，所述公钥池中存储有若干个公钥单元，每个参与方对应其中一个公钥单元，每个公钥单元包括：公钥指针随机数、公钥指针函数、公钥和公钥算法；
所述对所述抗量子证书持有者以及颁发者进行验证，包括如下步骤：
根据接收的抗量子证书中的持有者公钥指针随机数在公钥池中寻找对应的公钥单元，若找到对应的公钥单元，则进行下一步；
根据所述公钥单元中的公钥指针函数对持有者公钥指针随机数计算，得到公钥指针，若所述公钥指针与所述公钥单元中的公钥指针相同，则进行下一步；
在公钥池和受信任的根证书列表中寻找所述抗量子证书中记载的证书授权中心的公钥指针随机数，若找到，则验证成功。


4.根据权利要求2所述的抗量子证书颁发方法，其特征在于，所述对所述抗量子证书持有者以及颁发者进行验证之前还包括对抗量子证书进行种类鉴别，所述种类鉴别包括如下步骤：
判断接收的抗量子证书中的持有者公钥指针随机数是否与证书授权中心的公钥指针随机数相同；
若不相同，则进行抗量子证书的验证过程，若验证通过，将该抗量子根证书加入受信任的根证书列表；
若相同，则在进行抗量子证书的验证过程中，用证书授权中心的公钥指针随机数代替持有者公钥指针随机数对所述抗量子证书进行验证。


5.基于公钥池和签名偏移量的抗量子证书颁发系统，参与方包括证书授权中心和用户，各参与方均配置又密钥卡，各密钥卡内均存储有公钥池、私钥、证书授权中心的公钥指针随机数，用户的密钥卡内还存储有用户公钥指针随机数，其特征在于，抗量子证书颁发系统...

【专利技术属性】
技术研发人员：富尧，钟一民，余秋炜，
申请(专利权)人：如般量子科技有限公司，南京如般量子科技有限公司，
类型：发明
国别省市：浙江;33