[发明专利]一种量子通信服务站密钥协商系统和方法

权利要求书

1.一种基于秘密共享和时间戳的量子通信服务站密钥协商系统，用于用户端之间通过量子通信服务站的协商通信，其特征在于：包括密钥卡、多个用户端和量子通信服务站，不同量子通信服务站之间通过QKD方式共享站间量子密钥，用户端ID不公开、量子通信服务站对用户端ID通过秘密共享生成不同的秘密分量，分别存储在用户端密钥卡内和量子通信服务站中；

所述量子通信服务站包括量子服务中心、量子密钥分发设备、密钥颁发服务器、用户侧密钥管理服务器、真随机数发生器，量子通信服务站之间通过量子密钥分发设备以QKD的方式实现站间量子密钥共享；

用户端为接入量子通信服务站的设备，配备密钥卡，密钥卡内置有身份认证协议，各密钥卡均设有唯一的密钥卡身份信息；所述密钥卡内存储有用户端的公钥、私钥、假身份、由量子通信服务站生成用户端ID的秘密分量以及匹配的量子通信服务站的身份信息IDQ；

用户端的身份为ID，公钥为PK，私钥为SK，其中，公钥PK＝H(ID)，私钥SK＝s*PK，其中s为系统管理私钥，H是HASH函数；用户端的假身份是通过用户端ID和ID分量通过哈希运算得到的；用户端的ID分量通过随机数、两个不相等的秘密分量随机数、用户端ID计算得到；

量子通信服务站内存储多组用户端信息的列表，每组用户端信息包括假身份PID以及ID的部分秘密分量；

量子通信服务站选取一个随机数作为系统管理私钥，对系统管理私钥进行计算生成系统管理公钥。

2.根据权利要求1所述的基于秘密共享和时间戳的量子通信服务站密钥协商系统，其特征在于：量子通信服务站下配置有用户端，各个量子通信服务站间存有认证协议，所述量子通信服务站包括：

量子服务中心，用于通过经典网络与用户侧的各用户端通信连接以及与其他量子通信服务站通信连接；

量子密钥分发设备,用于通过QKD方式实现站间量子密钥的共享；

密钥颁发服务器,用于密钥卡颁发，是一台离线装置,由服务器管理员进行统一管理，密钥颁发服务器的密钥卡中存储有系统管理公钥；

真随机数发生器，用于接收用户侧密钥管理服务器提出的申请用户侧密钥的请求，生成用户侧密钥，并发送给用户侧密钥管理服务器；

用户侧密钥管理服务器，存放、管理从真随机数发生器生成的用户侧密钥，接收量子服务中心提出的申请用户侧密钥请求，发送相应长度的用户侧密钥给量子服务中心，接入量子密钥卡，实现发卡、登记、拷贝用户侧密钥。

3.根据权利要求2所述的基于秘密共享和时间戳的量子通信服务站密钥协商系统，其特征在于：所述量子服务中心包括：身份认证服务器，票据许可服务器；

身份认证服务器用于实现用户在接受消息认证、数字签名服务前与量子通信服务站的相互身份认证；内部具有加密卡，用于存储身份认证协议，包括密钥生成算法、认证函数、加密传输协议；

票据许可服务器用于实现用户在获得与量子通信服务站的相互身份认证后，为用户分发其访问其他用户申请的许可。