基于秘密共享的量子保密通信身份认证系统及方法技术方案

本发明专利技术公开了一种基于秘密共享的量子保密通信身份认证系统及方法，包括通信连接的服务站和用户端，各服务站配置一个以上的用户端，用户端为一台以上的移动设备构成的移动设备群组，同组内的移动设备秘密共享同一设备ID、设备假身份和设备密钥，用户端与所属的服务站之间实施登录身份认证，并生成群会话密钥；两个移动设备之间实施身份认证过程中生成移动设备间的会话密钥。本发明专利技术的认证方法中，用户完整的密钥和ID不暴露在网络中，秘密共享的密钥在每次身份认证后得到更新，门限签名流程得到简化并且无需加密即可抵抗量子计算机的攻击，极大地提高了身份认证的安全性。

【技术实现步骤摘要】
基于秘密共享的量子保密通信身份认证系统及方法
本专利技术涉及秘密共享
，尤其涉及一种基于秘密共享的量子保密通信身份认证系统及方法。
技术介绍
量子通信技术是基于量子物理学建立起来的新兴安全通信技术。我国的量子通信技术已经进入了实用化的阶段，其应用前景和战略意义也引起了地方政府和重要行业对其产业发展的广泛关注。除建立量子通信干线以外，一些规模化城域量子通信网络也已经建设成功并运行。基于城域量子通信网络，量子通信技术也有了初步的应用，可实现高保密性的视频语音通信等应用。量子通信干线和量子通信城域网等量子通信网络，组成量子通信网络，其本质是量子密钥分发(QKD)。因此以QKD技术为基础建立起来的量子通信网络可称为QKD网络。随着移动互联网的迅速发展，企业事业单位内部业务网站也逐步走向移动终端方向发展，为了便于工作人员随时了解工作内容，用户希望能够通过便携的移动终端来访问单位内部网站服务器。若身份认证存在漏洞会导致数据的泄露，会为企业带来不可挽回的后果。因此，安全可靠的身份认证方法是非常必要的。现有的对移动终端的认证方式主要有：通过账号和密码登录认证、通过动态口令认证、通过将设备标识信息与认证服务器中预存的用户设备信息比对进行认证等，但账户密码、动态口令和设备ID都存在被截获泄露的可能。但是，现有的这些移动设备身份认证方式在信息传输过程中往往使用的都是基于数学算法复杂度的加密方式，如当今主流的非对称加密算法，如RSA加密算法，大多数都是基于大整数的因式分解或者有限域上的离散对数的计算这两个数学难题。他们的破解难度也就依赖于解决这些问题的效率。传统计算机上，要求解这两个数学难题，花费时间为指数时间(即破解时间随着公钥长度的增长以指数级增长)，这在实际应用中是无法接受的。而为量子计算机量身定做的秀尔算法可以在多项式时间内(即破解时间随着公钥长度的增长以k次方的速度增长，其中k为与ID长度无关的常数)进行整数因式分解或者离散对数计算，从而为RSA、离散对数加密算法的破解提供可能。公开号为CN108650028B的专利文献公开了一种基于量子通信网络与真随机数的多次身份认证系统和方法，基于量子通信网络与真随机数的实施多次认证，目的在于更好地提高系统安全性，但是该专利在用户端A向用户端B之间实施双向认证的过程中，用户端A以明文的形式向用户端B发送包括随机数的消息，会话密钥由用户端B与量子网络服务站同步生成，对话密钥为服务站所知，认证过程中主要在用户端A、用户端B和上一级量子通信服务站之间进行，加密解密方式较单一。公开号为CN110808834A的专利文献公开了一种量子密钥分发方法和量子密钥分发系统，其公开的量子密钥分发信息包括：终端的公钥和所述公钥对应的加密算法；接收量子密钥节点发送的量子密钥，并根据所述公钥和所述加密算法对所述量子密钥进行加密，且还公开了检测所述量子密钥的时效性的步骤，当检测出存储时间超过预设时长时，则销毁所述量子密钥，密钥在信息传输过程中仍存在被窃取的风险。综上，现有的基于移动设备的认证方式存在下面的问题：1.密钥卡丢失或者被窃取后，可能被暴力破解等方式获取到内部的密钥。如果非对称密钥系统的私钥被敌方所知，则将丧失该私钥所对应的所有权益。如果非对称密钥系统的公钥被敌方所知，假如敌方拥有量子计算机，则将通过公钥破解出私钥，同样将丧失该私钥所对应的所有权益。2.密钥卡丢失或者被窃取后，可能被直接拿来使用，并对用户账号所对应的权益造成损害。例如对用户账号转出所有权益，造成权益被盗。3.现有数字签名的抗量子计算能力不高，可能被计算得到签名私钥。而为使得数字签名具有抗量子计算能力，必须对数字签名进行加密，加大了数字签名的计算量。4.现有网络通信主体的ID暴露于网络中，用户隐私的安全性不高。5.现有多方门限签名的方法，流程较为复杂，通信代价较高。6.现有基于ID密码学的算法中，椭圆曲线生成元作为固定参数，永久不会改变，基于ID密码学系统的安全性不够高。
技术实现思路
技术目的：针对上述技术问题，本专利技术提供了一种基于秘密共享的量子保密通信身份认证系统及方法，本专利技术的认证方法中，用户完整的密钥和ID不暴露在网络中，秘密共享的密钥在每次身份认证后得到更新，门限签名流程得到简化并且无需加密即可抵抗量子计算机的攻击，极大地提高了身份认证的安全性。技术方案：为实现上述技术目的，本专利技术采用了如下技术方案：一种基于秘密共享的量子保密通信身份认证系统，其特征在于：包括通信连接的服务站和用户端，服务站为量子通信服务站，各服务站配置一个以上的用户端，用户端为一台以上的移动设备构成的移动设备群组；同组内的移动设备由服务站颁发密钥卡且以(n，n)秘密共享同一设备ID、设备假身份PID、设备密钥，对应的秘密共享随机数、ID分量、设备假身份PID分量、密钥分量分布式存储到各移动设备密钥卡；设备密钥包括一次认证一更新的主私钥、主公钥、临时私钥和临时公钥；所述服务站设有一次认证一更新的服务站公钥和服务站私钥；用户端与所属的服务站之间实施登录身份认证，登录身份认证过程中生成群会话密钥；两个移动设备之间实施通信身份认证，通信身份认证过程中生成移动设备间的会话密钥。本专利技术还公开了一种基于秘密共享的量子保密通信身份认证系统的密钥分发方法，其特征在于，顺序执行以下步骤：A1、服务站向同一用户端下的各个移动设备发送一组秘密共享随机数、基点生成元和自身的服务站ID；不同移动设备对应不同的秘密共享随机数；A2、各移动设备生成两个真随机数，分别作为主私钥分量和临时私钥分量，结合收到的基点生成元计算对应的主公钥分量和临时公钥分量；计算基点生成元和服务站ID的组合的哈希值并作为服务站公钥，根据主私钥分量和服务站公钥计算服务站私钥分量；各移动设备将主公钥分量、临时公钥分量和服务站私钥分量发送给服务站；A3、服务站根据秘密共享随机数、同一用户端下所有移动设备发送的主公钥分量、临时公钥分量和服务站私钥分量，计算完整的主公钥、临时公钥和服务站私钥，并计算临时公钥的哈希值；根据设备ID和对应的基点生成元，计算设备假身份PID，并使用对应的秘密共享随机数对设备假身份PID进行秘密共享；将得到的多组设备假身份PID分量、主公钥和临时公钥的哈希值发送给用户端，并存储对应该用户端的密钥条目，包括设备ID、主公钥、服务站私钥、基点生成元、所有秘密共享随机数和设备假身份PID分量；A4、用户端的各移动设备，存储对应的设备假身份PID分量、秘密共享随机数、主私钥分量、主公钥分量、主公钥、临时私钥分量、临时公钥分量、临时公钥的哈希值、基点生成元和服务站ID。本专利技术还公开了一种基于秘密共享的量子保密通信身份认证系统的登录身份认证方法，其特征在于，所述用户端与其所属的服务站之间实施登录身份认证，登录身份认证过程中生成群会话密钥；包括步骤：B1、同组的移动设备作为认证请求发起方，向服务站发出加密的第一设备端消息，第一设备本文档来自技高网...

【技术保护点】
1.一种基于秘密共享的量子保密通信身份认证系统，其特征在于：包括通信连接的服务站和用户端，服务站为量子通信服务站，各服务站配置一个以上的用户端，用户端为一台以上的移动设备构成的移动设备群组；/n同组内的移动设备由服务站颁发密钥卡且以(n，n)秘密共享同一设备ID、设备假身份PID、设备密钥，对应的秘密共享随机数、ID分量、设备假身份PID分量、密钥分量分布式存储到各移动设备密钥卡；设备密钥包括一次认证一更新的主私钥、主公钥、临时私钥和临时公钥；/n所述服务站设有一次认证一更新的服务站公钥和服务站私钥；用户端与所属的服务站之间实施登录身份认证，登录身份认证过程中生成群会话密钥；两个移动设备之间实施通信身份认证，通信身份认证过程中生成移动设备间的会话密钥。/n

【技术特征摘要】
1.一种基于秘密共享的量子保密通信身份认证系统，其特征在于：包括通信连接的服务站和用户端，服务站为量子通信服务站，各服务站配置一个以上的用户端，用户端为一台以上的移动设备构成的移动设备群组；
同组内的移动设备由服务站颁发密钥卡且以(n，n)秘密共享同一设备ID、设备假身份PID、设备密钥，对应的秘密共享随机数、ID分量、设备假身份PID分量、密钥分量分布式存储到各移动设备密钥卡；设备密钥包括一次认证一更新的主私钥、主公钥、临时私钥和临时公钥；
所述服务站设有一次认证一更新的服务站公钥和服务站私钥；用户端与所属的服务站之间实施登录身份认证，登录身份认证过程中生成群会话密钥；两个移动设备之间实施通信身份认证，通信身份认证过程中生成移动设备间的会话密钥。


2.根据权利要求1所述的一种基于秘密共享的量子保密通信身份认证系统的密钥分发方法，其特征在于，顺序执行以下步骤：
A1、服务站向同一用户端下的各个移动设备发送一组秘密共享随机数、基点生成元和自身的服务站ID；不同移动设备对应不同的秘密共享随机数；
A2、各移动设备生成两个真随机数，分别作为主私钥分量和临时私钥分量，结合收到的基点生成元计算对应的主公钥分量和临时公钥分量；
计算基点生成元和服务站ID的组合的哈希值并作为服务站公钥，根据主私钥分量和服务站公钥计算服务站私钥分量；
各移动设备将主公钥分量、临时公钥分量和服务站私钥分量发送给服务站；
A3、服务站根据秘密共享随机数、同一用户端下所有移动设备发送的主公钥分量、临时公钥分量和服务站私钥分量，计算完整的主公钥、临时公钥和服务站私钥，并计算临时公钥的哈希值；
根据设备ID和对应的基点生成元，计算设备假身份PID，并使用对应的秘密共享随机数对设备假身份PID进行秘密共享；
将得到的多组设备假身份PID分量、主公钥和临时公钥的哈希值发送给用户端，并存储对应该用户端的密钥条目，包括设备ID、主公钥、服务站私钥、基点生成元、所有秘密共享随机数和设备假身份PID分量；
A4、用户端的各移动设备，存储对应的设备假身份PID分量、秘密共享随机数、主私钥分量、主公钥分量、主公钥、临时私钥分量、临时公钥分量、临时公钥的哈希值、基点生成元和服务站ID。


3.根据权利要求1所述的一种基于秘密共享的量子保密通信身份认证系统的登录身份认证方法，其特征在于，所述用户端与其所属的服务站之间实施登录身份认证，登录身份认证过程中生成群会话密钥；包括步骤：
B1、同组的移动设备作为认证请求发起方，向服务站发出加密的第一设备端消息，第一设备端消息包括由各个移动设备生成的第一消息分量和第一消息认证码；
B2、所述服务站作为认证请求处理方，对第一设备端消息进行验证和处理，并向用户端的各移动设备返回第一认证端消息，第一认证端消息中包括通知内容和通知签名，通知内容中包括群会话密钥；
B3、各移动设备对第一认证端消息进行验证和处理后，向服务站发出加密的第二设备端消息，第二设备端消息包括由各个移动设备生成的第二消息分量和第二消息认证码；
B4、所述服务站验证和处理第二设备端消息，向用户端的各移动设备返回第二认证端消息；
B5、所述移动设备对...

【专利技术属性】
技术研发人员：富尧，钟一民，杨羽成，
申请(专利权)人：南京如般量子科技有限公司，如般量子科技有限公司，
类型：发明
国别省市：江苏;32