CN114448638B

CN114448638B - 基于见证者的量子保密通信网络密钥管理通信方法及系统

Info

Publication number: CN114448638B
Application number: CN202011204459.5A
Authority: CN
Inventors: 富尧; 钟一民; 杨羽成
Original assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Current assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Priority date: 2020-11-02
Filing date: 2020-11-02
Publication date: 2024-02-13
Anticipated expiration: 2040-11-02
Also published as: CN114448638A

Abstract

本发明公开了基于见证者的量子保密通信网络密钥管理通信方法及系统，该方法包括以下步骤：S1、利用密钥颁发方法实现见证者设备端为普通设备端颁发基于ID密码学的相关密钥；S2、使用通信方法实现普通设备端与密钥管理服务器之间的通信；S3、通过密钥更新方法对普通设备端基于ID密码学的密钥进行更新。有益效果：实现了量子保密通信网络的抗量子计算的密钥管理通信系统，该系统不耗费量子保密通信网络的量子密钥，使用预颁发密钥池且经常更新；此外，基于ID密码学的密钥颁发服务对每个不同用户的系统公私钥均不同，即使某个用户所对应的系统公钥被破解，也不会危及到其他用户的系统公私钥；通过见证者用户端记录密钥管理通信系统对应的用户端及其管理员信息，使得量子保密通信系统更加安全。

Description

基于见证者的量子保密通信网络密钥管理通信方法及系统

技术领域

本发明涉及量子保密通信领域，尤其涉及基于见证者的量子保密通信网络密钥管理通信方法及系统。

背景技术

经济全球化的趋势已经势不可挡，数以百亿计的信息在互联网上流出，就像人类在存储设备中构建了一个虚拟化的世界，集中了隐私和知识。而这些信息就和现实世界中的资源一样，具有无形的价值。

目前，除了黑客等可能会窃取你的信息，现有的消息通讯厂商也可以随时查看你的通讯信息。因此，对于个人或组织来说，要确保自己的信息不被窃取，必须将密钥掌握在己方手里才能确保自身信息的安全，对于密钥的管理变得至关重要。传统上的加密方式主要依靠非对称密码体系。非对称密码体系的优势在于不需要双方约定密钥的过程，减少了很多成本。但是量子计算机的出现，让现今大部分的非对称密码算法变得不堪一击。

伴随着量子计算机出现的还有量子通信。量子密钥分发(QKD)技术以量子物理基本原理作保障，可以在公开信道上无条件安全地分发密钥，从原理上保证了一旦存在窃听就必然被发现。一旦在通信双方成功建立了密钥，这组密钥就是安全的，而且这种具有绝对随机性的密钥从原理上是无法被破解的。

量子密钥分发是利用可信中继技术、经典网络通信技术和网络管理技术等实现大规模、跨地域的安全、高效的密钥分发与管理，实现在不同区域的2台量子保密通信终端间的安全、高效的密钥共享。量子通信网络利用量子密钥分发技术，实现2台量子保密通信终端间的安全、高效的密钥共享的网络；经典网络即传统的数据通信网络，实现设备间的数据传输。

但是现有技术存在以下缺陷：

1、已有的量子保密通信组网方式中，普遍使用了集中式密钥管理服务器，对各个密钥分发节点进行统一管理，包括进行各密钥池状态的统计、对密钥路由的计算、对密钥分发节点下发指令等业务。但是该密钥管理通信系统的各类通信也需要安全保障机制。一种方式是用QKD得到的量子密钥对密钥管理通信系统进行安全保护，但缺点是消耗大量的量子密钥；另一种方式是用CA证书表明密钥管理通信系统各成员的身份，并实现基于公钥密码学的保密通信，但缺点是无法抗量子计算；另一种方式是对密钥管理通信系统的各成员颁发对称密钥池或者非对称密钥池，并实现基于预颁发密钥池的保密通信，但缺点是密钥池颁发、更新流程麻烦，密钥池容易被敌方盗取；

2、现有基于对称密钥池的取密钥方法为：首先选择一个密钥位置，然后从该位置取出整段密钥。在对称密钥池被群组成员共享的情况下，该种取密钥方式容易被群组成员所知，私密性不高；

3、现有密钥池更新的方法为一方生成密钥后给另一方发送过去，由于密钥池中的密钥量巨大，会导致密钥池更新需要大量时间；对于群组通信来说，需要将同一份密钥传递到群组的各个成员，密钥量更加巨大，往往难以实现；

4、当前信息系统一般只实现对于管理员帐号相关行为的审计，对于管理员本人的审计能力比较弱。

发明内容

针对相关技术中的问题，本发明提出基于见证者的量子保密通信网络密钥管理通信方法及系统，以克服现有相关技术所存在的上述技术问题。

为此，本发明采用的具体技术方案如下：

根据本发明的一个方面，提供了基于见证者的量子保密通信网络密钥管理通信方法及，该方法包括以下步骤：

S1、利用密钥颁发方法实现见证者设备端为普通设备端颁发基于ID密码学的相关密钥；

S2、使用通信方法实现所述普通设备端与密钥管理服务器之间的通信；

S3、通过密钥更新方法对所述普通设备端基于ID密码学的密钥进行更新；

其中，所述密钥管理服务器为所述见证者设备端颁发系统公私钥时，计算消息认证码得到对应的系统私钥，再根据该系统私钥计算得到系统公钥，并将该系统公钥保存在所述见证者设备端对应的见证者密钥卡中；

所述密钥管理服务器为所述见证者设备端颁发公私钥时，调用哈希函数计算得到公钥，再根据该公钥计算得到对应的私钥，并将所述见证者设备端的ID和公私钥存入所述见证者设备端对应的见证者密钥卡中。

进一步的，所述S1利用密钥颁发方法实现见证者设备端为普通设备端颁发基于ID密码学的相关密钥包括以下步骤：

S11、使用认证方式实现所述见证者设备端与所述密钥管理服务器之间的认证；

S12、所述见证者设备端获取所述普通设备端的信息；

S13、所述见证者设备端从所述密钥管理服务器中为所述普通设备端获取基于ID密码学的相关密钥。

进一步的，所述S2使用通信方法实现所述普通设备端与密钥管理服务器之间的通信包括以下步骤：

S21、所述密钥管理服务器向所述普通设备端发起通信；

S22、所述普通设备端向所述密钥管理服务器发起通信。

进一步的，所述S21中所述密钥管理服务器向所述普通设备端发起通信具体包括以下步骤：

S211、所述密钥管理服务器计算替换密钥，并根据密钥替换公式和本地密钥池计算组合得到所述普通设备端的密钥池；

S212、通过所述密钥管理服务器从所述普通设备端的对称密钥池中取出密钥，并计算所述密钥管理服务器与所述普通设备端之间的对称密钥及第一组合密钥，分别对所述密钥管理服务器发出的消息及时刻进行设定；

S213、所述密钥管理服务器使用用于对接普通设备端的私钥对第一待签名消息进行基于ID密码学的签名，得到第一签名；

S214、所述密钥管理服务器使用所述第一组合密钥对所述密钥管理服务器发出的消息及所述第一签名进行加密得到第一加密信息，使用所述第一组合密钥对所述第一待签名消息和所述第一签名进行第一消息认证码的计算，并将带有所述第一加密信息、所述第一消息认证码、所述密钥管理服务器的ID、所述普通设备端的ID及所述密钥管理服务器发出时刻的信息发送给所述普通设备端；

S215、所述普通设备端收到消息后，从自身的密钥池中取出对应的密钥，并计算所述密钥管理服务器的公钥，同时计算所述普通设备端与所述密钥管理服务器之间的对称密钥及新的第一组合密钥，并使用新的第一组合密钥对所述第一加密信息进行解密，得到所述密钥管理服务器发出的消息和所述第一签名；

S216、使用所述密钥管理服务器用于对接用户端的公钥对所述第一签名及所述第一消息认证码进行验证。

进一步的，所述S22中所述普通设备端向所述密钥管理服务器发起通信具体包括以下步骤：

S221、分别对所述普通设备端发出的消息及时刻进行设定，同时，所述普通设备端使用自身的私钥对第二待签名消息进行基于ID密码学的签名，得到第二签名；

S222、所述普通设备端从自身的密钥池中取出新的密钥，并根据所述普通设备端与所述密钥管理服务器之间的对称密钥计算得到第二组合密钥，使用第二组合密钥对所述普通设备端发出的消息和所述第二签名进行加密得到第二加密信息，同时，使用所述第二组合密钥对所述第二待签名消息和所述第二签名进行第二消息认证码的计算，并将带有所述第二加密信息、所述第二消息认证码、所述普通设备端的ID、所述密钥管理服务器的ID及所述普通设备端发出时刻的信息发送给所述密钥管理服务器；

S223、所述密钥管理服务器收到消息后，并计算替换密钥，根据密钥替换公式和本地密钥池计算组合得到所述普通设备端的密钥池，同时从所述普通设备端的密钥池中取出新的密钥并计算得到新的第二组合密钥，使用所述第二组合密钥对所述第二加密信息进行解密，得到所述普通设备端发出的消息和所述第二签名；

S224、使用所述普通设备端的公钥对所述第二签名及所述第二消息认证码进行验证。

进一步的，所述S3通过密钥更新方法对所述普通设备端基于ID密码学的密钥进行更新包括以下步骤：

S31、使用密钥更新方法对所述见证者用户端的密钥池进行更新；

S32、分别使用ID更换方法和密钥更新方式对所述普通户端的ID及密钥池进行更新；

S33、所述普通设备端利用密钥恢复方法实现基于ID密码学密钥的恢复。

进一步的，所述S31中所述见证者设备端更新密钥池包括以下步骤：

S311、计算所述见证者设备端与所述密钥管理服务器之间的对称密钥及替换密钥；

S312、计算所述见证者设备端与所述密钥管理服务器之间的新的对称密钥及新的替换密钥；

S313、对于所述见证者设备端密钥池中的每一段，使用所述替换密钥根据密钥卡中的算法恢复得到所述密钥管理服务器密钥池中的每一段，然后使用所述新的替换密钥根据密钥卡中算法计算得到新的所述见证者设备端密钥池中的每一段。

进一步的，所述S32分别使用ID更换方法和密钥更新方式对所述普通户端的ID及密钥池进行更新包括以下步骤：

S321、管理员向所述见证者设备端提出将所述普通设备端的ID_B更换为ID_C的请求，并向所述见证者设备端发送ID_B、ID_C以及其他用户信息，同时利用所述见证者设备端对所述普通设备端的ID_B进行加密并发送给所述密钥管理服务器，所述密钥管理服务器进行解密并计算得到对所述普通设备端的系统公私钥、所述普通设备端的ID、所述普通设备端的公私钥、更换后的对普通设备端的系统公私钥、更新后的普通设备端的ID及更换后的普通设备端的公私钥；

S322、所述密钥管理服务器对所述普通设备端的私钥、更换后的私钥、对所述普通设备端的系统公钥及更换后的系统公钥进行加密并发送给所述见证者设备端，所述见证者设备端进行解密并发送给所述普通设备端；

S323、所述普通设备端在所述普通密钥卡内更新自己的密钥池。

进一步的，所述S33中所述普通设备端利用密钥恢复方法实现基于ID密码学密钥的恢复包括以下步骤：

S331、所述普通设备端断电后重新登录所述密钥管理服务器时，所述管理员向所述见证者设备端发送所述普通设备端的ID_B以及其他用户信息，所述见证者设备端对所述普通设备端的ID_B进行加密并发送给所述密钥管理服务器，所述密钥管理服务器解密计算得到对所述普通设备端的系统公私钥、所述普通设备端的ID及所述普通设备端的公私钥；

S332、所述密钥管理服务器对所述普通设备端的私钥及对所述普通设备端的系统公钥进行加密并发送给所述见证者设备端，所述见证者设备端进行解密并发送给所述普通设备端；

S333、所述普通设备端恢复ID密码学密钥后与所述密钥管理服务器进行正常通信。

根据本发明的另一个方面，提供了基于见证者的量子保密通信网络密钥管理通信系统，该系统包括密钥管理用户端和密钥管理服务器，其中，所述密钥管理用户端和所述密钥管理服务器均为量子密钥分发设备中的一个模块或者与量子密钥分发设备配对使用的管理设备，且所述密钥管理用户端设置于各地的量子密钥分发机房中，同一个所述密钥管理服务器可以管理多个机房的密钥管理用户端；

其中，所述密钥管理用户端包括见证者设备端和普通设备端，所述见证者设备端配备有见证者密钥卡，所述普通设备端配备有普通密钥卡，且所述见证者密钥卡和所述普通密钥卡均存储有与量子通信服务站共享的对称密钥池，所述见证者密钥卡还用于存储私钥和系统公钥，所述普通设备端的私钥和系统公钥存储在内存中。

所述见证者设端与所述普通设备端之间进行近距离通信，且所述近距离通信包含但不限于有线连接、二维码通信、近场通信、红外通信和蓝牙通信多种近距离通信方式，其中，所述近距离通信的通信内容包括所述见证者设备端采集的所述普通设备端及其管理员的信息和所述见证者设备端给所述普通设备端发送的认证参数。

本发明的有益效果为：

1)、本发明实现了量子保密通信网络的抗量子计算的密钥管理通信系统，该系统不耗费量子保密通信网络的量子密钥，使用预颁发密钥池且经常更新；密钥管理通信系统的密钥池加密密钥均存储于内存中，无法被窃取；基于ID密码学的密钥颁发服务对每个不同用户的系统公私钥均不同，即使某个用户所对应的系统公钥被破解，也不会危及到其他用户的系统公私钥。

2)、本发明基于对称密钥池的取密钥方法为：先用替换密钥生成替换后的密钥池，然后从密钥池中采用不同的步长逐个取出多个密钥比特，每次步长均不同。在对称密钥池被群组成员共享的情况下，该种取密钥方式也不会被群组成员所知，私密性高。

3)、本发明密钥池更新的方法只需传递少量密钥即可对密钥池进行更新，密钥更新方案的密钥传输量很小，容易实现。

4)、本发明中针对密钥管理通信系统使用的审计需求，通过见证者用户端记录密钥管理通信系统对应的用户端及其管理员信息，使得量子保密通信系统更加安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的基于见证者的量子保密通信网络密钥管理通信方法的流程图；

图2是根据本发明实施例的基于见证者的量子保密通信网络密钥管理通信系统的结构示意图。

具体实施方式

为进一步说明各实施例，本发明提供有附图，这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理，配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点，图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。

根据本发明的实施例，提供了基于见证者的量子保密通信网络密钥管理通信方法及系统。

现结合附图和具体实施方式对本发明进一步说明，如图1所示，根据本发明的一个实施例，提供了基于见证者的量子保密通信网络密钥管理通信方法，该方法包括以下步骤：

S1、为普通用户颁发基于ID密码学的相关密钥(利用密钥颁发方法实现见证者设备端为普通设备端颁发基于ID密码学的相关密钥)；

其中所述S1包括以下步骤：

S11、见证者设备端与密钥管理服务器实现认证(使用认证方式实现所述见证者设备端与所述密钥管理服务器之间的认证)；

具体的，见证者设备端(A)与密钥管理服务器(KMS)双方按照下文步骤S2中的普通通信流程，生成见证者端设备端与其所属的密钥管理服务器之间的会话密钥KS_A。例如，密钥管理服务器根据步骤S21中的方法发送KS_A给见证者设备端，后者根据步骤S22中的方法发送确认回复给前者，从而使得双方形成会话密钥KS_A；或者，密钥管理服务器根据步骤S21中的方法发送KS_A1给见证者设备端，后者根据步骤S22中的方法发送KS_A2给前者，从而使得双方形成会话密钥KS_A＝FKS(KS_A1，KS_A2)，FKS为会话密钥生成函数。

S12、见证者设备获取普通设备信息(所述见证者设备端获取所述普通设备端的信息)；

具体的，见证者设备端(A)通过近距离通信或生物采集模块等方式采集普通设备端(B)及其管理员信息，并且对普通设备端实现初步身份认证。普通设备端提供的信息记为ID_B，确保普通设备端提供了必要的信息且各信息格式符合规范、数值处于合理范围值域内。审计的时候，如KMS发现某个普通设备端发生异常行为，则提示普通设备端的密钥卡可能被盗用，或者对普通设备端进行了不当操作，专业人员找到发生异常行为的普通设备端所在机房的见证者，从见证者设备端处取得普通设备端对应的管理员的信息，从而解决普通设备端存在的异常行为。

S13、见证者设备从密钥管理服务器处为普通设备获取ID密码学相关密钥(所述见证者设备端从所述密钥管理服务器中为所述普通设备端获取基于ID密码学的相关密钥)。

具体的，见证者设备端通过与密钥管理服务器之间的会话密钥KS_A加密ID_B得到{ID_B}KS_A，发送至密钥管理服务器KMS。KMS使用KS_A解密后得到ID_B。KMS计算对B(普通设备端)的系统私钥为SK_MSB＝MAC(ID_B，SK_MS)，系统公钥为PK_MSB＝SK_MSB*P；调用哈希函数H₁计算B的公钥PK_B＝H₁(ID_B)，再根据公钥PK_B计算私钥SK_B＝SK_MSB*PK_B。

KMS将私钥SK_B和系统公钥PK_MSB通过会话密钥KS_A加密得到{SK_B||PK_MSB}KS_A发送至见证者设备端。见证者设备端解密后将SK_B||PK_MSB通过近距离通信的方式发送至普通设备端。由于是近距离通信，且可设置信息传输的保护措施，例如设置类似ATM机的带锁隔间、设置无线通信的一次性密码等，因此可以确保该近距离通信的通信安全。普通设备端将SK_B||PK_MSB存储于内存中，掉电即丢失，这样降低了ID密码学相关密钥被盗取的可能性。

其中，所述S2包括以下步骤：

S21、KMS向用户端B发起通信(所述密钥管理服务器向所述普通设备端发起通信)；

具体的，KMS计算替换密钥KR_S-B＝MAC(PK_MSB，K_S-B)。根据密钥替换公式和本地密钥池计算得到KB_i＝F_KR(K_i，KR_S-B)组合得到B的密钥池。

KMS从B的密钥池中按照与B之间预订的密钥选择逻辑，从对称密钥池中取出密钥KTB₁。计算KMS与B之间的对称密钥K_S-B＝e(SK_SB，PK_B)，进一步计算密钥K₁＝MAC(KTB₁，K_S-B)。设KMS发出的消息为NTF，时刻为TNTF。令MSG₁＝ID_S||ID_B||TNTF||NTF，KMS使用SK_SB对MSG₁进行基于ID密码学的签名，签名过程如下：

生成随机数r，计算UMSG₁＝r*PK_S，h＝H₃(MSG₁，UMSG₁)，VMSG₁＝(r+h)*SK_SB。其中，H₃(*)是一种哈希运算。得到签名SIG_S＝SIGN(MSG₁，SK_SB)＝(uMSG₁，VMSG₁)。

KMS使用K₁加密NTF和SIG_S得到{NTF||SIG_S}K₁。使用K₁对MSG₁和SIG_S计算消息认证码得到MAC(MSG₁||SIG_S，K₁)。将加密的信息、消息认证码连同ID_S、ID_B、TNTF一起发送至B，发送的信息可以表示为ID_S||ID_B||TNTF||{NTF||SIG_S}K₁||MAC(MSG₁||SIG_S，K₁)。

用户端B收到后，使用与KMS之间预订的密钥选择逻辑，从自己的密钥池中取出KTB₁。计算KMS的公钥PK_S＝H₁(ID_S)，根据从见证者设备处获取的私钥SK_B计算与KMS之间的对称密钥K_B-S＝e(SK_B，PK_S)，根据ID密码学可得：K_B-S＝e(SK_B，PK_S)＝e(SK_MSB*PK_B，PK_S)＝e(PK_B，SK_MSB*PK_S)＝e(PK_B，SK_SB)＝e(SK_SB，PK_B)＝K_S-B。进一步计算密钥K′₁＝MAC(KTB₁，K_B-S)。

使用K′₁解密{NTF||SIG_S}K₁得到NTF和SIG_S，使用PK_S验证SIG_S，即验证(P，PK_MSB，UMSG₁+h*PK_S，VMSG₁)是一个Diffie-Hellman元组。签名验证通过后进一步验证消息认证码。验证通过后获得KMS发出的消息NTF。

S22、用户端B向KMS发起通信(所述普通设备端向所述密钥管理服务器发起通信)；

具体的，设B发出的消息为NTF，时刻为TNTF。令MSG₂＝ID_B||ID_S||TNTF||NTF，B使用SK_B对MSG₂进行基于ID密码学的签名得到SIG_B＝SIGN(MSG₂，SK_B)＝(UMSG₂，VMSG₂)，签名过程与上文相同。

B根据与KMS之间预订的密钥选择逻辑从自己的密钥池中取出KTB₂并根据K_B-S计算得到密钥K₂＝MAC(KTB₂，K_B-S)。使用K₂加密NTF和SIG_B得到{NTF||SIG_B}K₂。使用K₂对MSG₂和SIG_B计算消息认证码得到MAC(MSG₂||SIG_B，K₂)。将加密的信息、消息认证码连同ID_B、ID_S、TNTF一起发送至KMS，发送的信息可以表示为ID_B||ID_S||TNTF||{NTF||SIG_B}K₂||MAC(MSG₂||SIG_B，K₂)。

KMS收到消息后，计算替换密钥KR_S-B＝MAC(PK_MSB，K_S-B)。根据密钥替换公式和本地密钥池计算得到KB_i＝F_KR(K_i，KR_S-B)组合得到B的密钥池。然后根据与B之间预订的密钥选择逻辑从B的密钥池中提取出KTB₂。根据与B之间的对称密钥K_S-B，进一步计算密钥K′₂＝MAC(KTB₂，K_S-B)。使用K′₂解密{NTF||SIG_B}K₂得到NTF和SIG_B，使用PK_B验证SIG_B。签名验证通过后进一步验证消息认证码。验证通过后获得B发出的消息NTF。

S3、密钥更新流程(通过密钥更新方法对所述普通设备端基于ID密码学的密钥进行更新)；

其中，所述S3包括以下步骤：

S31、见证者用户端A更新密钥池(使用密钥更新方法对所述见证者用户端的密钥池进行更新)；

具体的，密钥管理通信系统运行一段时间后，为保持系统安全性，KMS更新系统私钥SK_MSnew，系统公钥PK_MSnew＝SK_MSnew*P，对其他用户端的系统公私钥也相应进行更换。

以对见证者用户端A进行更新为例，KMS计算对A的系统私钥SK_MSAnew＝MAC(ID_A，SK_MSnew)，对A的系统公钥PK_MSAnew＝SK_MSAnew*P。A的ID、公钥、私钥分别为ID_A、PK_A＝H₁(ID_A)、SK_Anew＝SK_MSAnew*PK_A。

令NTF＝SK_Anew||PK_MSAnew。在会话密钥KS_A的保护下将NTF发送至见证者用户端A。

A获取NTF后，在密钥卡内更新自己的密钥池，步骤如下：

(1)计算K_A-S＝e(SK_A，PK_S)，由ID密码学可得K_A-S＝e(SK_A，PK_S)＝e(SK_MSA*PK_A，PK_S)＝e(PK_A，SK_MSA*PK_S)＝e(PK_A，SK_SA)＝e(SK_SA，PK_A)＝K_S-A。进一步计算替换密钥KR_S-A＝MAC(PK_MSA，K_A-S)。

(2)计算新的对称密钥K′_A-S＝e(SK_Anew，PK_S)，进一步计算新的替换密钥KR′_S-A＝MAC(PK_MSAnew，K′_A-S)。

(3)对于密钥池中的每一段KA_i，使用原替换密钥根据密钥卡中算法恢复得到然后使用新替换密钥根据密钥卡中算法F_KR计算得到KA_inew＝F_KR(K_i，KR′_S-A)。

A将KA_inew组合得到新的密钥池。

A更新完成后，将更新密钥的确认信息作为NTF，在会话密钥KS_A的保护下将NTF发送至KMS。

S32、普通设备端B更换ID并更新密钥池(分别使用ID更换方法和密钥更新方式对所述普通户端的ID及密钥池进行更新)；

具体的，普通设备端B的管理员发生更换，或者断电后需要重新登录，则管理员携带密钥卡或其他存储设备或普通设备本身前往见证者设备端A处，向见证者提出将B更换为C即将ID_B更换为ID_C的请求。管理员所携带的设备通过近距离通信向见证者设备端发送ID_B、ID_C以及其他用户信息，见证者设备端通过与密钥管理服务器之间的会话密钥KS_A加密ID_B得到{ID_B||ID_C}KS_A，发送至密钥管理服务器KMS。KMS使用KS_A解密后得到ID_B和ID_C。KMS根据ID_B计算对B的系统私钥为SK_MSB＝MAC(ID_B，SK_MS)，对B的系统公钥为PK_MSB＝SK_MSB*P；B的ID、公钥、私钥分别为ID_B、PK_B＝H₁(ID_B)、SK_B＝SK_MSB*PK_B。KMS根据ID_C计算对C的系统私钥为SK_MSC＝MAC(ID_C，SK_MS)，对C的系统公钥为PK_MSC＝SK_MSC*P；C的ID、公钥、私钥分别为ID_C、PK_C＝H₁(ID_C)、SK_C＝SK_MSC*PK_C。

KMS将私钥SK_B、SK_C和系统公钥PK_MSB、PK_MSC通过会话密钥KS_A加密得到{SK_B||SK_C||PK_MSB||PK_MSC}KS_A发送至见证者设备端。见证者设备端解密后将SK_B||SK_C||PK_MSB||PK_MSC通过近距离通信的方式发送至普通设备端B。如管理员携带密钥卡或其他存储设备，则ID密码学密钥被发送到密钥卡或其他存储设备，管理员携带密钥卡或其他存储设备将ID密码学密钥拷贝到普通设备端B的内存中，同时删除密钥卡或其他存储设备端中的ID密码学密钥；如管理员携带普通设备端B本身，则ID密码学密钥被发送到普通设备端B的内存中。确定普通设备端B收到后，将确认消息发送至KMS。

普通设备端B使用SK_B||SK_C||PK_MSB||PK_MSC，在密钥卡内更新自己的密钥池，步骤如下：

(1)计算K_B-S＝e(SK_B，PK_S)，由ID密码学可得K_B-S＝e(SK_B，PK_S)＝e(SK_MSB*PK_B，PK_S)＝e(PK_B，SK_MSB*PK_S)＝e(PK_B，SK_SB)＝e(SK_SB，PK_B)＝K_S-B。进一步计算原替换密钥KR_S-B＝MAC(PK_MSB，K_B-S)。

(2)计算新的对称密钥K_C-S＝e(SK_C，PK_S)，进一步计算新的替换密钥KR_S-C＝MAC(PK_MSC，K_C-S)。

(3)对于密钥池中的每一段KB_i，使用原替换密钥KR_S-B根据密钥卡中算法恢复得到/>然后使用新替换密钥KR_S-C根据密钥卡中算法F_KR计算得到KC_i＝F_KR(K_i，KR_S-C)。

B将KC_i组合得到新的密钥池。

B更换ID并更新密钥池后，可以正常与KMS通信，通信方法见步骤S2。

S33、普通设备端B恢复ID密码学密钥(所述普通设备端利用密钥恢复方法实现基于ID密码学密钥的恢复)。

具体的，普通设备端B断电后需要重新登录KMS，则管理员携带密钥卡或其他存储设备或普通设备本身前往见证者设备端A处，通过近距离通信向见证者设备端发送ID_B以及其他用户信息，见证者设备端通过与密钥管理服务器之间的会话密钥KS_A加密ID_B得到{ID_B}KS_A，发送至密钥管理服务器KMS。KMS使用KS_A解密后得到ID_B。KMS计算对B的系统私钥为SK_MSB＝MAC(ID_B，SK_MS)，对B的系统公钥为PK_MSB＝SK_MSB*P；B的ID、公钥、私钥分别为ID_B、PK_B＝H₁(ID_B)、SK_B＝SK_MSB*PK_B。

KMS将私钥SK_B和系统公钥PK_MSB通过会话密钥KS_A加密得到{SK_B||PK_MSB}KS_A发送至见证者设备端。见证者设备端解密后将ID密码学密钥SK_B||PK_MSB通过近距离通信的方式发送至普通设备端B。如管理员携带密钥卡或其他存储设备，则ID密码学密钥被发送到密钥卡或其他存储设备端，管理员携带密钥卡或其他存储设备将ID密码学密钥拷贝到普通设备端B的内存中，同时删除密钥卡或其他存储设备中的ID密码学密钥；如管理员携带普通设备端B本身，则ID密码学密钥被发送到普通设备端B的内存中。确定普通设备端B收到后，将确认消息发送至KMS。

B恢复ID密码学密钥后，可以正常与KMS通信，通信方法见步骤S2。

根据本发明的另一个方面，如图2所示，提供了基于见证者的量子保密通信网络密钥管理通信系统，该系统由密钥管理用户端KMT、密钥管理服务器KMS组成。KMT和KMS均为QKD(量子密钥分发)设备中的一个模块，或者与QKD设备配对使用的管理设备，其功能为对QKD功能的运行进行监控、管理及全网资源协调。KMT位于各地的QKD机房，同一个KMS可以管理多个机房的KMT。

密钥管理用户端KMT简称为用户端，分为见证者设备端(A)和普通设备端(B)。其中，见证者设备端作为一种特殊的密钥管理用户端，配备有见证者密钥卡，普通设备端配备有普通密钥卡。见证者密钥卡和普通密钥卡均存储有与量子通信服务站共享的对称密钥池。一个机房可以有一个或多个普通设备端，见证者设备优选为每个QKD机房配备一个见证者设备端。见证者密钥卡还用于存储私钥和系统公钥，普通设备端的私钥和系统公钥则存储在内存中。

本系统中，普通设备端配备的普通密钥卡存在被盗用的可能性，与密钥管理服务器进行认证时，需要见证者设备端的配合。见证者设备端相对重要，一般为机房中的网关、服务器等，由于其安全防护等级较高，因此其配备的见证者密钥卡不太可能被盗，可以独立与密钥管理服务器认证；也可以与普通设备端进行近距离通信，如有线连接、二维码通信、NFC通信、红外通信、蓝牙通信等，通信内容为见证者设备端采集普通设备端及其管理员信息(普通设备的机型、设备码，管理员的照片、生物学信息、身份证信息，等等)，并且见证者设备端给普通设备端发送认证参数。

密钥管理服务器KMS建有ID密码学密钥颁发服务。本系统不耗费量子保密通信网络的量子密钥，使用预颁发密钥池且经常更新。

KMS为见证者设备端颁发公私钥时，首先需要建立一套基于ID密钥学的系统参数，步骤如下：

(1)G₁，G₂是阶为q的GDH(Diffie-Hellman群)群，q是一个大素数，G₁是由椭圆曲线上的点构成的加法循环群，P是群G₁的生成元；G₂是一个乘法循环群；双线性映射e：G₁×G₁→G₂。

(2)随机地取SK_MS∈Z_p ^*作为KMS的系统私钥，计算KMS的系统公钥PK_MS＝SK_MS*P，SK_MS、PK_MS仅保存在KMS的密钥卡中。KMS对每个不同用户的系统公私钥均不同，因此即使某个用户所对应的系统公钥被破解，也不会危及到其他用户的系统公私钥。对于见证者设备A，KMS会生成唯一编码作为ID_A，A的系统私钥为SK_MSA＝MAC(ID_A，SK_MS)(MAC(m，k)为使用密钥k对消息m计算消息认证码)，A的系统公钥为PK_MSA＝SK_MSA*P。

(3)选择哈希函数H₁：{0，1}^*→G₁，H₂：G₂→{0，1}^*。

(4)系统参数为{q，G₁，G₂，e，n，P，H₁，H₂}。

KMS为见证者设备A颁发公私钥时，调用哈希函数H₁计算公钥PK_A＝H₁(ID_A)，再根据公钥PK_A计算私钥SK_A＝SK_MSA*PK_A，将A的ID和公私钥即ID_A、PK_A、SK_A存储于A的密钥卡中。KMS的ID为ID_S，用于对接用户端的公钥为PK_S＝H₁(ID_S)，用于对接A的私钥为SK_SA＝SK_MSA*PK_S。计算SK_SA后存储于KMS的内存中，断电丢失。

KMS存储有本地密钥池，可根据用于对接见证者设备端A的私钥SK_SA对本地密钥池进行替换得到A的密钥池。密钥替换公式为K_new＝F_KR(K，KR)，表示使用替换密钥KR对密钥K进行替换运算得到密钥K_new。其中，F_KR为密钥替换函数，是一种可逆函数，优选为对称加密函数，Knew的长度等于K的长度。F_KR的逆函数记为使用KR解密K_new得到K的过程记为替换密钥存储于见证者密钥卡中或普通用户的内存中，使得敌方无法获取。F_KR和/>均位于密钥卡内，前者具有输出接口，后者没有输出接口(即只能在密钥卡内部使用)，因此各节点无法使用/>对密钥池进行解密并得到上级的密钥池。替换的具体步骤如下：

KMS将本地密钥池平均分割为多段密钥，设KMS密钥池的第i段为K_i，A的密钥池的第i段为KA_i。

KMS与A之间的对称密钥为K_S-A＝e(SK_SA，PK_A)，使用该对称密钥K_S-A对A的系统公钥PK_MSA计算得到替换密钥KR_S-A＝MAC(PK_MSA，K_S-A)。根据密钥替换公式得到KA_i＝F_KR(K_i，KR_S-A)。将KA_i组合得到A的密钥池。

综上所述，借助于本发明的上述技术方案，实现了量子保密通信网络的抗量子计算的密钥管理通信系统，该系统不耗费量子保密通信网络的量子密钥，使用预颁发密钥池且经常更新；密钥管理通信系统的密钥池加密密钥均存储于内存中，无法被窃取；基于ID密码学的密钥颁发服务对每个不同用户的系统公私钥均不同，即使某个用户所对应的系统公钥被破解，也不会危及到其他用户的系统公私钥。此外，本发明基于对称密钥池的取密钥方法为：先用替换密钥生成替换后的密钥池，然后从密钥池中采用不同的步长逐个取出多个密钥比特，每次步长均不同。在对称密钥池被群组成员共享的情况下，该种取密钥方式也不会被群组成员所知，私密性高。此外，本发明密钥池更新的方法只需传递少量密钥即可对密钥池进行更新，密钥更新方案的密钥传输量很小，容易实现。此外，本发明中针对密钥管理通信系统使用的审计需求，通过见证者用户端记录密钥管理通信系统对应的用户端及其管理员信息，使得量子保密通信系统更加安全。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims

1.基于见证者的量子保密通信网络密钥管理通信方法，其特征在于，该方法包括以下步骤：

所述密钥管理服务器为所述见证者设备端颁发公私钥时，调用哈希函数计算得到公钥，再根据该公钥计算得到对应的私钥，并将所述见证者设备端的ID和公私钥存入所述见证者设备端对应的见证者密钥卡中；

所述S2使用通信方法实现所述普通设备端与密钥管理服务器之间的通信包括以下步骤：

S21、所述密钥管理服务器向所述普通设备端发起通信；

所述S21中所述密钥管理服务器向所述普通设备端发起通信具体包括以下步骤：

S216、使用所述密钥管理服务器用于对接用户端的公钥对所述第一签名及所述第一消息认证码进行验证；

S22、所述普通设备端向所述密钥管理服务器发起通信；

所述S22中所述普通设备端向所述密钥管理服务器发起通信具体包括以下步骤：

2.根据权利要求1所述的基于见证者的量子保密通信网络密钥管理通信方法，其特征在于，所述S1利用密钥颁发方法实现见证者设备端为普通设备端颁发基于ID密码学的相关密钥包括以下步骤：

S12、所述见证者设备端获取所述普通设备端的信息；

3.根据权利要求1所述的基于见证者的量子保密通信网络密钥管理通信方法，其特征在于，所述S3通过密钥更新方法对所述普通设备端基于ID密码学的密钥进行更新包括以下步骤：

4.根据权利要求3所述的基于见证者的量子保密通信网络密钥管理通信方法，其特征在于，所述S31中所述见证者设备端更新密钥池包括以下步骤：

5.根据权利要求3所述的基于见证者的量子保密通信网络密钥管理通信方法，其特征在于，所述S32分别使用ID更换方法和密钥更新方式对所述普通户端的ID及密钥池进行更新包括以下步骤：

S321、管理员向所述见证者设备端提出将所述普通设备端的ID_B更换为ID_C的请求，并向所述见证者设备端发送ID_B、ID_C以及其他用户信息，同时利用所述见证者设备端对所述普通设备端的ID_B进行加密并发送给所述密钥管理服务器，所述密钥管理服务器进行解密并计算得到所述普通设备端的系统公私钥、所述普通设备端的ID、所述普通设备端的公私钥、更换后的普通设备端的系统公私钥、更新后的普通设备端的ID及更换后的普通设备端的公私钥；

6.根据权利要求3所述的基于见证者的量子保密通信网络密钥管理通信方法，其特征在于，所述S33中所述普通设备端利用密钥恢复方法实现基于ID密码学密钥的恢复包括以下步骤：

S331、所述普通设备端断电后重新登录所述密钥管理服务器时，所述管理员向所述见证者设备端发送所述普通设备端的ID_B以及其他用户信息，所述见证者设备端对所述普通设备端的ID_B进行加密并发送给所述密钥管理服务器，所述密钥管理服务器解密计算得到所述普通设备端的系统公私钥、所述普通设备端的ID及所述普通设备端的公私钥；

7.基于见证者的量子保密通信网络密钥管理通信系统，以实现权利要求1-6中任一项所述的基于见证者的量子保密通信网络密钥管理通信方法的步骤，其特征在于，该系统包括密钥管理用户端和密钥管理服务器，其中，所述密钥管理用户端和所述密钥管理服务器均为量子密钥分发设备中的一个模块或者与量子密钥分发设备配对使用的管理设备，且所述密钥管理用户端设置于各地的量子密钥分发机房中，同一个所述密钥管理服务器可以管理多个机房的密钥管理用户端；

其中，所述密钥管理用户端包括见证者设备端和普通设备端，所述见证者设备端配备有见证者密钥卡，所述普通设备端配备有普通密钥卡，且所述见证者密钥卡和所述普通密钥卡均存储有与量子通信服务站共享的对称密钥池，所述见证者密钥卡还用于存储私钥和系统公钥，所述普通设备端的私钥和系统公钥存储在内存中；

所述见证者设备端与所述普通设备端之间进行近距离通信，且所述近距离通信包含但不限于有线连接、二维码通信、近场通信、红外通信和蓝牙通信多种近距离通信方式，其中，所述近距离通信的通信内容包括所述见证者设备端采集的所述普通设备端及其管理员的信息和所述见证者设备端给所述普通设备端发送的认证参数。