本申請(qǐng)涉及基于非對(duì)稱(chēng)密鑰池對(duì)和時(shí)間戳的量子通信服務(wù)站密鑰協(xié)商方法和系統(tǒng)。本申請(qǐng)中，使用的密鑰卡是獨(dú)立的硬件隔離設(shè)備。公鑰、私鑰和其他相關(guān)參數(shù)均存儲(chǔ)在密鑰卡中的數(shù)據(jù)安全區(qū)，被惡意軟件或惡意操作竊取密鑰的可能性大大降低，也不會(huì)被量子計(jì)算機(jī)獲取并破解；同時(shí)本申請(qǐng)對(duì)基于對(duì)稱(chēng)密鑰算法的認(rèn)證流程進(jìn)行改進(jìn)，使得認(rèn)證流程中的數(shù)據(jù)被非對(duì)稱(chēng)密鑰加密保護(hù)，被公鑰加密的數(shù)據(jù)只能被私鑰擁有者解密，其他任何人均無(wú)法解密，因此提升了基于對(duì)稱(chēng)密鑰算法的認(rèn)證流程的安全性。

技術(shù)領(lǐng)域

本申請(qǐng)涉及安全通信技術(shù)領(lǐng)域，特別是涉及基于非對(duì)稱(chēng)密鑰池對(duì)和時(shí)間戳的量子通信服務(wù)站密鑰協(xié)商方法和系統(tǒng)。

背景技術(shù)

迅速發(fā)展的Internet給人們的生活、工作帶來(lái)了巨大的方便，人們可以坐在家里通過(guò)Internet收發(fā)電子郵件、打電話(huà)、進(jìn)行網(wǎng)上購(gòu)物、銀行轉(zhuǎn)賬等活動(dòng)。同時(shí)網(wǎng)絡(luò)信息安全也逐漸成為一個(gè)潛在的巨大問(wèn)題。一般來(lái)說(shuō)網(wǎng)絡(luò)信息面臨著以下幾種安全隱患：網(wǎng)絡(luò)信息被竊取、信息被篡改、攻擊者假冒信息、惡意破壞等。

其中身份認(rèn)證是其中一種保護(hù)人們網(wǎng)絡(luò)信息的一種手段。身份認(rèn)證也稱(chēng)為“身份驗(yàn)證”或“身份鑒別，”是指在計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中確認(rèn)操作者身份的過(guò)程，從而確定該用戶(hù)是否具有對(duì)某種資源的訪(fǎng)問(wèn)和使用權(quán)限，進(jìn)而使計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的訪(fǎng)問(wèn)策略能夠可靠、有效地執(zhí)行，防止攻擊者假冒合法用戶(hù)獲得資源的訪(fǎng)問(wèn)權(quán)限，保證系統(tǒng)和數(shù)據(jù)的安全，以及授權(quán)訪(fǎng)問(wèn)者的合法利益。

而當(dāng)前確保身份認(rèn)證成功的主要是依靠密碼技術(shù)，而在如今的密碼學(xué)領(lǐng)域中，主要有兩種密碼系統(tǒng)，一是對(duì)稱(chēng)密鑰密碼系統(tǒng)，即加密密鑰和解密密鑰使用同一個(gè)。另一個(gè)是公開(kāi)密鑰密碼系統(tǒng)，即加密密鑰和解密密鑰不同，其中一個(gè)可以公開(kāi)。目前大部分的身份認(rèn)證使用算法的主要依靠公鑰密碼體系。

公開(kāi)密鑰加密系統(tǒng)采用的加密鑰匙(公鑰)和解密鑰匙(私鑰)是不同的。由于加密鑰匙是公開(kāi)的，密鑰的分配和管理就很簡(jiǎn)單，公開(kāi)密鑰加密系統(tǒng)還能夠很容易地實(shí)現(xiàn)數(shù)字簽名。

自公鑰加密問(wèn)世以來(lái)，學(xué)者們提出了許多種公鑰加密方法，它們的安全性都是基于復(fù)雜的數(shù)學(xué)難題。根據(jù)所基于的數(shù)學(xué)難題來(lái)分類(lèi)，有以下三類(lèi)系統(tǒng)目前被認(rèn)為是安全和有效的：大整數(shù)因子分解系統(tǒng)(代表性的有RSA)、離散對(duì)數(shù)系統(tǒng)(代表性的有DSA)和橢圓離散對(duì)數(shù)系統(tǒng)(ECC)。

但是隨著量子計(jì)算機(jī)的發(fā)展，經(jīng)典非對(duì)稱(chēng)密鑰加密算法將不再安全，無(wú)論加解密還是密鑰交換方法，量子計(jì)算機(jī)都可以通過(guò)公鑰計(jì)算得到私鑰，因此目前常用的非對(duì)稱(chēng)密鑰將在量子時(shí)代變得不堪一擊。目前量子密鑰分發(fā)設(shè)備QKD可確保協(xié)商的密鑰無(wú)法被獲取。但是QKD主要用于量子干線(xiàn)，用戶(hù)端設(shè)備到量子通信服務(wù)站依舊為經(jīng)典網(wǎng)絡(luò)，因此依靠非對(duì)稱(chēng)算法很難保證身份認(rèn)證過(guò)程的安全。

現(xiàn)有技術(shù)存在的問(wèn)題：

1.量子通信服務(wù)站與量子密鑰卡之間使用對(duì)稱(chēng)密鑰池，其容量巨大，對(duì)量子通信服務(wù)站的密鑰存儲(chǔ)帶來(lái)壓力；

2.由于對(duì)稱(chēng)密鑰池密鑰容量巨大，量子通信服務(wù)站不得不將密鑰加密存儲(chǔ)于普通存儲(chǔ)介質(zhì)例如硬盤(pán)內(nèi)，而無(wú)法存儲(chǔ)于量子通信服務(wù)站的密鑰卡內(nèi)；

3.由于對(duì)稱(chēng)密鑰池密鑰容量巨大，給密鑰備份造成麻煩。

發(fā)明內(nèi)容

基于此，有必要針對(duì)上述技術(shù)問(wèn)題，提供基于非對(duì)稱(chēng)密鑰池對(duì)和時(shí)間戳的量子通信服務(wù)站密鑰協(xié)商方法和系統(tǒng)。

本申請(qǐng)公開(kāi)了基于非對(duì)稱(chēng)密鑰池對(duì)和時(shí)間戳的量子通信服務(wù)站密鑰協(xié)商方法，實(shí)施在主動(dòng)方，所述量子通信服務(wù)站密鑰協(xié)商方法包括：

生成認(rèn)證參數(shù)NA，加密參數(shù)KR，向服務(wù)站發(fā)送利用加密參數(shù)KR加密的認(rèn)證參數(shù)NA，利用服務(wù)站公鑰加密的加密參數(shù)KR；所述認(rèn)證參數(shù)NA用于供服務(wù)站生成票據(jù)TICKET，所述票據(jù)TICKET用于供被動(dòng)方驗(yàn)證；