一种抗量子攻击的电子签章方法和系统

本发明属于量子密码网络的加密通信技术领域，具体涉及一种抗量子攻击的电子签章方法和系统。

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

随着信息技术的快速发展，为了提升网上信息的可靠性、便利性，电子签章应运而生。电子签章并非是书面签字盖章的数字图像化，它以一种电子代码的形式存在。利用电子签章，收件人能够通过网络传输文件并可以轻松验证发件人的身份和签章，它还能验证出文件的原文在传输过程中有无变动。电子签章有利于辨识电子文件签署者的身份，保证文档的完整性，确保文件的真实性、可靠性和不可抵赖性。

目前电子签章使用的多是PKI技术，但PKI技术所采用的非对称密钥加密算法是计算安全。面对可预见的量子计算机的研究和构建，基于计算复杂度的密码体系都是不安全的，存在较高的安全隐患。

据发明人了解，也有部分研究人员想要改善上述问题，但是，目前改善方法多是采用较为复杂的签名或加密方法，如CN109560935A的专利文献提供了一种基于公共非对称密钥池的抗量子计算的签章方法和签章系统，利用印章公钥结合密钥卡内的非对称密钥池生成的抗量子计算公钥，通过公开抗量子计算公钥隐藏印章公钥，实现电子签章的抗量子计算特性，但在其提供的签名加密方式里，用到了RSA签名1次、对称加密1次和RSA加密1次，计算量约为普通RSA签名方式的2倍。同样的，解密并验证签名的时候的计算量也约为普通验证方式的2倍，签名及验证涉及的计算量较大，影响通信数据量和效率。

本发明为了解决上述问题，提出了一种抗量子攻击的电子签章方法和系统，本发明在降低计算复杂度的同时，还能够保证具有抗量子攻击性。

根据一些实施例，本发明采用如下技术方案：

一种抗量子攻击的电子签章方法，包括以下步骤：

获取签章申请，对申请签章者进行身份验证；

接收通过身份验证的申请者电子印章ID信息和加密后的待签章文档，审核申请签章者的权限，生成与所述权限匹配的电子签章文档信息，利用共享密钥计算电子签章文档信息的密文和消息认证码，并向申请者反馈对应的密文和消息认证码，以供其解密得到文档；

计算电子签章文档信息的消息摘要，使用另一共享密钥计算所述消息摘要的认证码，将消息摘要和认证码交由第三方进行验证，等待第三方的验证结果，以及第三方对文档和消息摘要的对比结果，当验证结果和对比结果都通过时，申请签章者能够得到第三方进行对称密钥数字签名后的电子签章信息。

作为可选择的实施方式，在获取签章申请，对申请签章者进行身份验证前，申请签章者需要进行注册验证，验证通过后，向其分发共享密钥，用于后续的加密通信。

作为可选择的实施方式，获取签章申请，对申请签章者进行身份验证的具体过程包括：

向申请签章者发送随机数r1；

接收申请签章者使用序号为n的未使用共享密钥K计算的有关于申请签章者ID、随机数r1、序号n以及共享密钥K的消息认证码，并接收序号n，随机数r2；

读取与申请签章者共享的序号为n的共享密钥K，验证消息认证码的正确性，如果正确则计算有关于r1、r2、序号n和密钥K的消息认证码，将其发送给申请签章者，等待其验证结果，如果验证通过，将序号为n的共享密钥标注为已使用。

作为可选择的实施方式，生成与所述权限匹配的电子签章文档信息的过程包括：将电子印章信息、申请签章者信息打包成电子签章数据，加盖到文档，生成电子签章文档信息。

作为可选择的实施方式，第三方进行对称密钥数字签名的具体过程包括：使用未使用的密钥计算签章信息的消息认证码作为电子签章文档信息的对称密钥数字签名，所述对称密钥数字签名有关于电子签章文档信息、当时的时间、所使用的签名密钥的序号和用于数字签名的密钥。

作为可选择的实施方式，按照每次使用的共享密钥的长度一次分发多个密钥，对共享密钥进行划分和同步顺序编号；

当共享密钥快要使用完毕时，共享密钥双方使用未使用的共享密钥进行身份认证，利用量子密码网络重新分发共享密钥，将新分发的共享密钥使用上次分发的未使用的相同的共享密钥进行逐一加密，重新同步顺序编号存储，同时删除上次分发的全部共享密钥。

一种抗量子攻击的电子签章系统，包括：

客户端设备，被配置为提出申请签章者的签章申请，获取验证身份结果，对电子签章服务器进行身份验证，发送电子印章ID和加密发送待签章的文档，使用消息认证码验证电子签章服务器的身份，如果正确，解密其发送的电子签章信息，并验证正确性，如果正确，使用与可信中心的共享密钥，计算电子签章文档信息的密文和认证码，并发送给可信中心，接收最终的签名文档；

电子签章服务器，被配置为验证申请签章者的身份，审核申请签章者权限，将接收的申请签章者信息和电子印章信息打包生成电子签章数据，加盖于文档上，生成电子签章文档信息，将电子签章文档信息的密文和认证码发送给客户端设备，同时计算电子签章文档信息的消息摘要及其认证码，发送给可信中心；

可信中心，被配置为使用电子签章文档信息的认证码验证电子签章服务器的身份，如果验证正确，保存消息摘要，并接收正确申请签章者的电子签章文档信息，计算所述电子签章文档信息的消息摘要，与存储的消息摘要进行对比，如果相同，对电子签章文档信息进行对称密钥数字签名，生成电子签章信息，并加密发送给相应的客户端设备。

作为可选择的实施方式，所述可信中心为第三方机构，位于量子密码网络终端，设置有真随机数数字签名密钥库，所述真随机数数字签名密钥库内密钥按照每次数字签名所使用的长度划分，且具有不同的编号。

作为可选择的实施方式，所述电子签章服务器存储有电子印章文件信息、电子印章和电子印章的使用者权限信息。

作为可选择的实施方式，所述可信中心对文档和消息摘要的对比过程包括：计算客户端设备发送的电子签章文档信息的消息摘要，与收到的电子签章服务器发送的电子签章文档信息的消息摘要进行对比，如果一致，对电子签章文档信息进行对称数字签名。

与现有技术相比，本发明的有益效果为：

本发明整体加密次数较少，能够降低整个签章过程中的计算复杂度。

本发明设立电子签章服务器，电子签章服务器管理电子签章用户的电子印章信息，电子签章者首先通过电子签章服务器生成电子签章文件信息，电子签章文件信息返回电子签章者，便于电子签章者审查电子签章文件是否存在错误或问题。

本发明设置可信中心，且配置可信中心在收到电子签章服务器发送的电子签章文件的消息摘要，同时收到电子签章者发送的由电子签章服务器生成的电子签章文件，通过后者哈希运算结果与前者的对比，保证了要进行签名的电子签章文件是真实的经过电子签章服务器处理过的电子签章文件，确保了文件的真实性、可靠性。

本发明的可信中心在签名时基于对称密钥算法，具有抗量子攻击特性，从根本上消除了基于PKI的传统电子签章算法的安全性基于计算安全的缺陷，且具有较低的计算复杂度；能够实现具有无条件安全性。

本发明的密钥相关消息认证码的运算实现了签章文档、电子印章和签章者ID的消息绑定，保证了电子签章消息的不可抵赖性。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1为实施例一的系统结构图；

图2为实施例二的流程示意图。

下面结合附图与实施例对本发明作进一步说明。

应该指出，以下详细说明都是例示性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

实施例一：

本实施例提供一种抗量子攻击的电子签章系统，依赖量子密码网络丰富的对称密钥资源，具体如图1所示。

整个系统包括可信中心、电子签章服务器、申请签章者(终端设备)，系统各组成部分的功能详述如下：

可信中心为可信第三方机构，位于量子密码网络终端，可信中心建有真随机数签名密钥库(以下简称签名密钥库)，用于电子签章数据的数字签名。将密钥库的密钥按照每次数字签名所使用的长度进行划分，并对划分的密钥进行顺序编号。可信中心保存每一个用于签名的密钥及其编号，一直到该密钥的签名有效期到期为止。可信中心可根据签名需求增加密钥库的签名密钥数量。

电子签章服务器设立于量子密码网络终端，用于存储电子印章、审核申请签章者权限、生成签章信息发送给可信中心进行数字签名，并保存申请签章者的签章记录。电子签章服务器到可信中心进行注册，可信中心验证其身份后，通过量子密码网络对其分发一定数量的共享密钥。可信中心和电子签章服务器分别按照每次使用密钥的长度对共享密钥进行密钥划分并同步顺序编号，可信中心和电子签章服务器安全保存共享密钥，共享密钥用于电子签章服务器与可信中心进行通信时的身份认证和与可信中心进行加密通信。

电子签章服务器存储有电子印章信息包括电子印章文件信息、电子印章的使用者及其权限信息，可以保存于电子签章服务器数据库中。

申请签章者为具有电子签章权限、可以通过电子签章服务器对电子文档实现电子签章的人员。在具体实施过程中，是通过终端设备来实现的，为了能够使本领域技术人员更加清楚，在本实施例中，使用申请签章者来进行描述。

申请签章者到电子签章服务器进行注册，电子签章服务器验证其身份后，准许其注册，保存其注册信息，通过量子密码网络对其分发一定数量的共享密钥。申请签章者和电子签章服务器分别按照每次使用的密钥的长度对共享密钥进行密钥划分并同步顺序编号，申请签章者和电子签章服务器分别安全保存共享密钥，共享密钥用于申请签章者和电子签章服务器进行通信时的身份认证和与可信中心进行加密通信。

申请签章者按照与到电子签章服务器注册的相同的注册信息(包括注册ID)到可信中心进行注册并申请相同的注册ID，可信中心验证其身份后，准许其注册，保存其注册信息，通过量子密码网络对其分发一定数量的共享密钥。申请签章者和可信中心分别按照每次使用的密钥的长度对共享密钥进行密钥划分并同步顺序编号，申请签章者和可信中心分别安全保存共享密钥，共享密钥用于申请签章者和可信中心进行通信时的身份认证和与可信中心进行加密通信。

电子签章过程分为制章、签章和验章三个部分。

本实施例的制章过程是由电子签章服务器协助完成。电子签章服务器可以配置管理员，提前将电子签章所要使用的电子印章信息、申请签章者信息及权限信息放入电子签章服务器的数据库。

电子印章信息主要包括电子印章ID和电子印章的电子文件信息。签章人员信息主要包括每个电子印章具有签章权限的申请签章者的ID及每个ID的签章时效。当申请签章者的身份信息被确认且具有签章权限时，电子签章服务器将电子印章信息、申请签章者信息打包成电子签章数据，加盖到需要电子签章的文档，生成电子签章文档信息。

实施例二：

基于实施例一的系统，提供如图2所示的签章流程，详述如下：

申请签章者使用注册ID向电子签章服务器发起签章申请，电子签章服务器和申请签章者使用共享密钥进行身份验证。

身份验证过程如下所述：

电子签章服务器收到签章申请请求后，向申请签章者发送随机数r1；

申请签章者收到r1，使用序号为n的未使用共享密钥K计算HMAC(r1||SID||n；K)，其中SID为申请签章者ID，||表示数据连接运算；

申请签章者选择随机数r2，将r2、n和HMAC(r1||SID||n；K)发送给电子签章服务器；

电子签章服务器读取与申请签章者共享的序号为n的共享密钥K，验证HMAC(r1||SID||n；K)的正确性，如果正确则计算HMAC(r1||r2||n；K)，将其发送给申请签章者；

申请签章者验证HMAC(r1||r2||n；K)的正确性，如正确则双方的身份验证成功，双方将序号为n的共享密钥标注为已使用。

验证成功后，申请签章者将签章所要使用的电子印章ID发送给电子签章服务器，同时将需要电子签章的电子文档使用共享密钥加密发送给电子签章服务器。电子签章服务器审核申请签章者的签章权限，如果权限成立，则电子签章服务器解密需要电子签章的电子文档，将电子印章信息、申请签章者信息打包成电子签章数据，加盖到文档，生成电子签章文档信息。

电子签章服务器使用电子签章服务器与申请签章者的未使用的共享密钥将电子签章文档信息加密，同时使用共享密钥生成电子签章文档信息密文的密钥相关的哈希运算消息认证码，将密文及其消息认证码发送给申请签章者。消息认证码的具体计算方式如下：

HMAC(E(I，Kn1)||n1||n2；Kn2)，

其中I为电子签章文档信息，I＝If||Is||SID(If为需要电子签章的电子文档信息，Is为电子印章信息，SID为电子签章者ID)，Kn1和Kn2分别为序号为n1和n2的电子签章服务器与申请签章者共享的密钥，E(I，Kn1)表示使用密钥Kn1加密I生成的密文，HMAC(E(I，Kn1)||n1||n2；Kn2)表示使用密钥Kn2生成的E(I，Kn1)||n1||n2的密钥相关的哈希运算消息认证码。电子签章服务器将E(I，Kn1)、n1、n2和HMAC(E(I，Kn1)||n1||n2；Kn2)发送给申请签章者。

电子签章服务器计算电子签章文档信息的消息摘要，使用电子签章服务器与可信中心的未使用的共享密钥计算电子签章文档信息消息摘要的密钥相关的哈希运算消息认证码，将消息摘要及其消息认证码发送给可信中心。所述消息摘要及其消息认证码计算方法如下：

消息摘要MD＝Hash(I)，I为电子签章文档信息；

消息认证码MAC＝HMAC(MD||SID；Kn)，Kn为电子签章服务器与可信中心的未使用的序号为n的共享密钥，SID为申请签章者ID。电子签章服务器将SID、MD和MAC发送给可信中心。

申请签章者收到电子签章服务器发送的数据E(I，Kn1)、n1、n2和HMAC(E(I，Kn1)||n1||n2；Kn2)后，首先读取序号为n2的申请签章者与电子签章服务器共享的密钥Kn2，如果Kn2已使用，则身份验证失败，拒绝接受电子签章服务器发送的数据，否则使用Kn2验证HMAC(E(I，Kn1)||n1||n2；Kn2)的正确性。如果验证正确，则将密钥Kn2标注为已使用，读取序号为n1的密钥Kn1，如果Kn1已使用，则拒绝接受密文E(I，Kn1)，否则使用Kn1解密密文E(I，Kn1)，获得电子签章文档信息I，将Kn1标注为已使用。

申请签章者验证I的正确性，如果I有错误，则向电子签章服务器重新申请电子签章，否则申请签章者使用与可信中心共享的密钥加密电子签章文档信息，并使用共享密钥计算电子签章文档信息密文的密钥相关的哈希运算消息认证码，申请签章者将密文及其消息认证码发送给可信中心。所述消息认证码的计算方式如下：

HMAC(E(I，Km1)||SID||m1||m2；Km2)，

其中I为电子签章文档信息，I＝If||Is||SID(If为需要电子签章的电子文档信息，Is为电子印章信息，SID为电子签章者ID)，Kn1和Kn2分别为序号为m1和m2的申请签章者与可信中心共享的未使用的密钥，E(I，Km1)表示使用密钥Km1加密I生成的密文，HMAC(E(I，Km1)||SID||m1||m2；Km2)表示使用密钥Km2生成的E(I，Km1)||SID||m1||m2的密钥相关的哈希运算消息认证码。申请签章者将E(I，Km1)、SID、m1、m2和HMAC(E(I，Km1)||SID||m1||m2；Km2)发送给可信中心。

可信中心收到电子签章服务器发送的电子签章文档信息的消息摘要及其消息认证码MD和MAC(HMAC(MD||SID；Kn))后，读取与ID为SID的申请签章者与可信中心共享的序号为n的密钥Kn，如果Kn已使用，则拒绝接受电子签章服务器发送的数据，否则使用Kn验证MAC(HMAC(MD||SID；Kn))的正确性，如果正确则可信中心暂时保存电子签章文档信息的消息摘要MD，否则拒绝接收保存MD。

可信中心收到申请签章者发送的数据E(I，Km1)、SID、m1、m2和HMAC(E(I，Km1)||SID||m1||m2；Km2)后，首先读取序号为m2的可信中心和ID为SID的申请签章者共享的密钥Km2，如果Km2已使用，则身份验证失败，拒绝接受申请签章者发送的数据，否则使用Km2验证HMAC(E(I，Km1)||SID||m1||m2；Km2)的正确性。如果验证正确，则将密钥Km2标注为已使用，读取序号为m1的密钥Km1，如果Km1已使用，则拒绝接受密文E(I，Km1)，否则使用Km1解密密文E(I，Km1)，获得电子签章文档信息I，将Km1标注为已使用。可信中心计算电子签章文档信息I的消息摘要，电子签章服务器发送的MD进行数据对比，如果不一致，则拒绝对电子签章文档信息I进行数字签名，否则可信中心读取签名密钥库中未使用的序号为SN的密钥KSN，使用密钥KSN计算电子签章文档信息I的HMAC码作为电子签章文档信息的对称密钥数字签名，计算公式如下：

Ds＝HMAC(I||T||SN，KSN)，

其中I为电子签章文档信息，T为当时的时间，SN为所使用的签名密钥的序号，KSN为用于数字签名的密钥，||表示数据连接运算。

可信中心将I||T||Ds||SN作为文档的电子签章信息加密发送给申请签章者，将加密密钥标注为已使用。申请签章者解密获得文档的电子签章信息，将解密密钥标注为已使用。

上述共享密钥的分发可按照每次使用的共享密钥的长度一次分发多个密钥，对共享密钥进行划分和同步顺序编号。当共享密钥快要使用完毕时，共享密钥双方使用未使用的共享密钥进行身份认证，利用量子密码网络重新分发共享密钥，将新分发的共享密钥使用上次分发的未使用的相同的共享密钥进行逐一加密，重新同步顺序编号存储，同时删除上次分发的全部共享密钥。使用旧密钥加密新密钥便于将旧密钥携带的身份消息转移到新的加密密钥上。

任何一个拥有文档的电子签章信息的接受方，均可以将其加密发送给可信中心，验证电子签章的合法性。可信中心在密钥库中提取序号为SN的密钥KSN，计算HMAC(I||T||SN，KSN)，比较其值是否等于Ds，如果等于则电子签章正确，否则不正确。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。