基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法技术方案

本发明专利技术公开了一种基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法，系统包括通信连接的若干服务站和若干组移动设备，服务站包括颁发者和接入服务站，同组内的移动设备由同一个颁发者颁发密钥卡且以(n，n)秘密共享方式共享同一设备ID和设备密钥，对应的ID分量和密钥分量分别存储到移动设备密钥卡和颁发者密钥卡内。本发明专利技术通过多个移动设备秘密共享设备ID和设备密钥，使用永久密钥分量和临时密钥分量对消息进行签名或加密运算，临时密钥在每次认证交易后更新，完整的设备ID和设备密钥在整个认证过程中均没有在网络中传输，提高了安全性，保障了移动设备对应的权益。

【技术实现步骤摘要】
基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法
本专利技术涉及量子通信身份认证
，尤其涉及一种基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法。
技术介绍
身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。随着移动互联网的迅速发展，企业事业单位内部业务网站也逐步走向移动终端方向发展，为了便于工作人员随时了解工作内容，用户希望能够通过便携的移动终端来访问单位内部网站服务器。若身份认证存在漏洞会导致数据的泄露，会为企业带来不可挽回的后果。因此，安全可靠的身份认证方法是非常必要的。现有的对移动终端的认证方式主要有：通过账号和密码登录认证、通过动态口令认证、通过将设备标识信息与认证服务器中预存的用户设备信息比对进行认证等，但账户密码、动态口令和设备ID都存在被截获泄露的可能。但是，现有的这些移动设备身份认证方式在信息传输过程中往往使用的都是基于数学算法复杂度的加密方式，如当今主流的非对称加密算法，如RSA加密算法，大多数都是基于大整数的因式分解或者有限域上的离散对数的计算这两个数学难题。他们的破解难度也就依赖于解决这些问题的效率。传统计算机上，要求解这两个数学难题，花费时间为指数时间(即破解时间随着公钥长度的增长以指数级增长)，这在实际应用中是无法接受的。而为量子计算机量身定做的秀尔算法可以在多项式时间内(即破解时间随着公钥长度的增长以k次方的速度增长，其中k为与ID长度无关的常数)进行整数因式分解或者离散对数计算，从而为RSA、离散对数加密算法的破解提供可能。公开号为CN109951513A的专利文献公开了一种基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统，包括智能家庭组件、量子通信服务站、安全云分别配有量子密钥卡，该方案采取了将智能家庭成员的公钥存储在量子密钥卡内、为上传至安全云的每一个文件添加数字签名、对基于公私钥的数字签名被随机数密钥进一步加密等措施，提高了智能家庭系统的安全性。但该专利在通信过程中，智能家庭组件和量子通信服务及安全云之间，对用户ID和密钥的安全处理，公开的内容相对较少。综上，现有的基于移动设备的认证方式存在下面的问题：1.密钥卡丢失或者被窃取后，可能被暴力破解等方式获取到内部的密钥。如果非对称密钥系统的私钥被敌方所知，则将丧失该私钥所对应的所有权益。如果非对称密钥系统的公钥被敌方所知，假如敌方拥有量子计算机，则将通过公钥破解出私钥，同样将丧失该私钥所对应的所有权益。2.密钥卡丢失或者被窃取后，可能被直接拿来使用，并对用户账号所对应的权益造成损害。例如对用户账号转出所有权益，造成权益被盗。3.现有数字签名的抗量子计算能力不高，可能被计算得到签名私钥。而为使得数字签名具有抗量子计算能力，必须对数字签名进行加密，加大了数字签名的计算量。4.现有网络通信主体的ID暴露于网络中，用户隐私的安全性不高。
技术实现思路
技术目的：针对上述技术问题，本专利技术提出了一种基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法，通过多个移动设备秘密共享设备ID和设备密钥，服务站在收到多个设备的ID秘密分量或密钥分量后，再进行ID或密钥分量的秘密恢复，使用永久密钥分量和临时密钥分量进行签名或加密运算，临时密钥在每次认证交易后更新，完整的设备ID和设备密钥在整个认证过程中均没有在网络中传输，提高了安全性，保障了移动设备对应的所有权益。技术方案：一种基于秘密共享和多个移动设备的量子保密通信身份认证系统，其特征在于：包括通信连接的若干服务站和若干组移动设备，服务站包括颁发者和接入服务站；同组内的移动设备由同一个颁发者颁发密钥卡且以(n，n)秘密共享方式共享同一设备ID和设备密钥，设备密钥包括永久私钥、永久公钥、临时私钥和临时公钥，对应的秘密共享随机数、ID分量和密钥分量分别存储到移动设备密钥卡和颁发者密钥卡内；所述移动设备密钥卡中存储秘密共享随机数、临时公钥哈希值、永久公钥分量、临时公钥分量、永久私钥分量、临时私钥分量、颁发者临时公钥分量和颁发者签名分量；所述颁发者密钥卡内存储所有的秘密共享随机数、对应每组移动设备的颁发者永久公钥分量、颁发者永久私钥分量、颁发者临时公钥分量和颁发者临时私钥分量，密钥卡的私有区内还存有颁发者公钥和私钥；根据分配给颁发者的ID分量查找颁发者密钥卡内的密钥分量和随机数。本专利技术还公开了一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，包括认证步骤：同组的移动设备作为交易发起方，发出加密的设备端消息，设备端消息包括由各个移动设备生成的消息分量；所述交易发起方的颁发者作为交易处理方，直接或通过接入服务站间接收到设备端消息，验证和处理后生成认证端消息；所述颁发者采用对应的方式将认证端消息直接或通过接入服务站间接反馈给交易发起方；所述认证端消息中包括加密的会话密钥；所述接入服务站对设备端消息进行验证和转发，对认证端消息进行验证和转发、并获得会话密钥用于与移动设备进行通信；所述交易发起方收到认证端消息后进行验证和解密，得到会话密钥并存储。优选地，所述消息分量中包括设备端签名分量，移动设备包括步骤：生成认证请求消息，并与同组内所有移动设备取统一的时间戳；将认证请求信息和时间戳组合作为交易内容，使用临时公钥的哈希值作为第一签名参数，计算第一签名参数和交易内容的组合的哈希值并作为第二签名参数；根据临时私钥分量、永久私钥分量和第二签名参数，计算获得设备端签名分量。优选地，所述消息分量中包括公钥分量密文，移动设备执行步骤：生成一个随机数作为新临时私钥分量，计算对应的新临时公钥分量；使用本地存储的颁发者临时公钥分量对永久公钥分量、临时公钥分量和新临时公钥分量的组合进行加密，得到公钥分量密文。优选地，所述消息分量中包括颁发者签名分量，颁发者包括步骤：采用颁发者私钥对设备ID和永久公钥的组合进行签名，获得颁发者签名；对颁发者签名进行(n，n)秘密共享，得到的颁发者签名分量分别存储到自身密钥卡和同一组的移动设备密钥卡内。优选地，所述消息分量中包括设备端消息认证码，移动设备包括步骤：取出临时公钥的哈希值对消息分量进行计算，获得消息认证码；根据同组内所有移动设备生成的消息分量和消息认证码组，生成设备端消息。优选地，所述消息分量中包括用于交易验证的设备端签名分量和公钥分量密文，设备端签名分量中包括永久私钥分量和临时私钥分量信息，公钥分量密文中包括永久公钥分量、临时公钥分量和新临时公钥分量信息；所述颁发者包括步骤：所述颁发者对所有消息分量验证和处理，获得交易内容及所有对应的移动设备密钥分量，结合本地存储颁发者密钥分量，恢复设备ID、永久公钥和临时公钥；所述颁发者使用临时公钥的哈希值作为第一签名参数，计算第一签名参数和交易内容本文档来自技高网...

【技术保护点】
1.一种基于秘密共享和多个移动设备的量子保密通信身份认证系统，其特征在于：包括通信连接的若干服务站和若干组移动设备，服务站包括颁发者和接入服务站；同组内的移动设备由同一个颁发者颁发密钥卡且以(n，n)秘密共享方式共享同一设备ID和设备密钥，设备密钥包括永久私钥、永久公钥、临时私钥和临时公钥，对应的秘密共享随机数、ID分量和密钥分量分别存储到移动设备密钥卡和颁发者密钥卡内；/n所述移动设备密钥卡中存储秘密共享随机数、临时公钥哈希值、永久公钥分量、临时公钥分量、永久私钥分量、临时私钥分量、颁发者临时公钥分量和颁发者签名分量；/n所述颁发者密钥卡内存储所有的秘密共享随机数、对应每组移动设备的颁发者永久公钥分量、颁发者永久私钥分量、颁发者临时公钥分量和颁发者临时私钥分量，密钥卡的私有区内还存有颁发者公钥和私钥；/n根据分配给颁发者的ID分量查找颁发者密钥卡内的密钥分量和随机数。/n

【技术特征摘要】
1.一种基于秘密共享和多个移动设备的量子保密通信身份认证系统，其特征在于：包括通信连接的若干服务站和若干组移动设备，服务站包括颁发者和接入服务站；同组内的移动设备由同一个颁发者颁发密钥卡且以(n，n)秘密共享方式共享同一设备ID和设备密钥，设备密钥包括永久私钥、永久公钥、临时私钥和临时公钥，对应的秘密共享随机数、ID分量和密钥分量分别存储到移动设备密钥卡和颁发者密钥卡内；
所述移动设备密钥卡中存储秘密共享随机数、临时公钥哈希值、永久公钥分量、临时公钥分量、永久私钥分量、临时私钥分量、颁发者临时公钥分量和颁发者签名分量；
所述颁发者密钥卡内存储所有的秘密共享随机数、对应每组移动设备的颁发者永久公钥分量、颁发者永久私钥分量、颁发者临时公钥分量和颁发者临时私钥分量，密钥卡的私有区内还存有颁发者公钥和私钥；
根据分配给颁发者的ID分量查找颁发者密钥卡内的密钥分量和随机数。


2.根据权利要求1所述的一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，包括认证步骤：
同组的移动设备作为交易发起方，发出加密的设备端消息，设备端消息包括由各个移动设备生成的消息分量；
所述交易发起方的颁发者作为交易处理方，直接或通过接入服务站间接收到设备端消息，验证和处理后生成认证端消息；所述颁发者采用对应的方式将认证端消息直接或通过接入服务站间接反馈给交易发起方；所述认证端消息中包括加密的会话密钥；
所述接入服务站对设备端消息进行验证和转发，对认证端消息进行验证和转发、并获得会话密钥用于与移动设备进行通信；
所述交易发起方收到认证端消息后进行验证和解密，得到会话密钥并存储。


3.根据权利要求2所述的一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，所述消息分量中包括设备端签名分量，移动设备包括步骤：
生成认证请求消息，并与同组内所有移动设备取统一的时间戳；
将认证请求信息和时间戳组合作为交易内容，使用临时公钥的哈希值作为第一签名参数，计算第一签名参数和交易内容的组合的哈希值并作为第二签名参数；
根据临时私钥分量、永久私钥分量和第二签名参数，计算获得设备端签名分量。


4.根据权利要求2所述的一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，所述消息分量中包括公钥分量密文，移动设备执行步骤：
生成一个随机数作为新临时私钥分量，计算对应的新临时公钥分量；
使用本地存储的颁发者临时公钥分量对永久公钥分量、临时公钥分量和新临时公钥分量的组合进行加密，得到公钥分量密文。


5.根据权利要求2所述的一种基于秘密共享和多个移动设备的量子保密通信身份认证方法，其特征在于，所述消息分量...

【专利技术属性】
技术研发人员：富尧，钟一民，杨羽成，
申请(专利权)人：南京如般量子科技有限公司，如般量子科技有限公司，
类型：发明
国别省市：江苏;32