[发明专利]基于联盟链的QKD网络认证密钥生成方法及系统

权利要求书

1.基于联盟链的QKD网络认证密钥生成方法，实施在相互通信的联盟链成员之间，所述联盟链成员包括User以及多个提供相应服务的Endorser，Orderer和Committer，其特征在于，各方均配置有密钥卡，所有密钥卡均存储有各自的私钥、公钥池以及系统管理公钥；所述公钥池中存储有与各所述联盟链成员一一对应的公钥单元，所述公钥单元中存储有公钥随机数；

所述User为QKD网络设备，任意两个User，分别为User1及User2，两者之间的QKD网络认证密钥生成方法具体包括：

所述User1向多个Endorser提出交易，所述交易信息中包含有User2的身份标识；

多个所述Endorser接收到交易后，均生成一组认证密钥分量以及分量参数，并将所述认证密钥分量以及分量参数进行加密，得到第一密文以及第二密文，并将所述第一密文以及第二密文写入交易应答发送至User1，其中得到第一密文的方法包括：

根据所述User1身份标识在所述公钥池中获取相应的公钥随机数，并利用所述User1身份标识以及相对应的公钥随机数，计算得到User1的公钥；

根据所述User1的公钥和系统管理公钥对所述认证密钥分量以及分量参数进行加密，得到第一消息；

根据交易内容进行哈希计算，得到交易哈希值；

根据所述User1的身份标识、交易哈希值以及相应的公钥随机数进行哈希计算得到第一偏移量；

根据所述第一消息以及第一偏移量进行偏移加密，得到第一密文；

得到第二密文的方法包括：

根据所述User2身份标识分别在所述公钥池中获取相应的公钥随机数，利用所述User2身份标识以及相对应的公钥随机数，计算得到User2的公钥；

根据所述User2的公钥对所述认证密钥分量以及分量参数进行加密，得到第二消息；

根据所述User2的身份标识、交易哈希值以及相应的公钥随机数进行哈希计算得到第二偏移量；

根据所述第二消息以及第二偏移量进行偏移加密，得到第二密文；

User1接收多个交易应答后，对各交易应答进行验证，从验证为有效的交易应答中获取第一密文，还利用有效的交易应答制作背书并经由Orderer发送给Committer；

Committer收到背书后，相应生成交易通知发送给User1，还根据所述第一密文以及第二密文对世界状态进行更新；

User1接收交易通知后将多个所述第一密文进行解密后，得到多组认证密钥分量以及分量参数，并根据多组认证密钥分量以及分量参数基于秘密共享的理论生成与User2之间的QKD网络认证密钥。

2.根据权利要求1所述的QKD网络认证密钥生成方法，其特征在于，所述User1接收交易通知后将多个所述第一密文进行解密后，得到多组认证密钥分量以及分量参数，并根据多组认证密钥分量以及分量参数基于秘密共享的理论生成与User2之间的QKD网络认证密钥之后，所述User2获取所述QKD网络认证密钥，获取方法包括：

所述User2向多个Endorser提出交易，所述交易信息中包含有User1的身份标识；

多个所述Endorser接收到交易后，根据所述User1以及User2的身份标识读取世界状态，获取所述第二密文，并将所述第二密文写入交易应答发送至User2；

User2接收多个交易应答后，对各交易应答进行验证，从验证为有效的交易应答中获取第二密文，将多个所述第二密文进行解密后，得到多组认证密钥分量以及分量参数，并根据多组认证密钥分量以及分量参数基于秘密共享的理论获取与User1之间的QKD网络认证密钥。

3.根据权利要求1所述的QKD网络认证密钥生成方法，其特征在于，User向Endorser提出交易，Endorser响应于该交易并进行相应操作，再将与交易结果相应的交易通知发送给User的过程中，交互的消息中携带有供验证时使用的签名，所述签名基于ID密码学的方式生成。