(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211012703.7 (22)申请日 2022.08.23 (71)申请人 矩阵时光数字科技有限公司 地址 210000 江苏省南京市中国(江苏)自 由贸易试验区南京片区江淼路88号腾 飞大厦b座1 1层 (72)发明人 赵呈洋　张能伟　 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/06(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种量子安全的数字 签名验签方法及系统 (57)摘要 本申请涉及网络信息安全技术领域， 具体涉 及一种量子安全的数字签名验签方法及系统。 具 体的， 该数字签名验签方法通过引入与用户单元 的隐私身份标识关联的一次性身份标识， 从而在 每次签名时增加新的变量， 再通过基于线性移位 寄存器的哈希 函数进行一次一密的签名， 进一步 通过依赖于第一量子随机数的不可约多项式和 第二量子随机数来共同确保签名的安全性， 从而 使数字签名过程的安全性达到量子安全级别， 能 够抵御日益强大的经典计算攻击和未来颠覆性 的量子计算攻击。 而在验签环节， 一方面， 基于线 性移位寄存器的哈希函数对业务信息进行完整 性验证； 另 一方面， 基于一次性身份标识进行关 联性和合法性验证， 确保用户对 数字签名的不可 抵赖性。 权利要求书4页 说明书14页 附图4页 CN 115378611 A 2022.11.22 CN 115378611 A 1.一种量子安全的数字签名验签方法， 其特 征在于， 包括： S11： 用户单 元和量子 CA共享一次性身份标识OTCA； S12： 用户单 元生成包 含一次性身份标识OTCA的业 务信息Mess； S13： 用户单元生成哈希函数， 并基于该哈希函数生成关于业务信息Mess的签名Sign， 然后将业 务信息Mess和签名Sign发送至 接收单元； S14： 接收单元获取用户单元发送的业务信息和签名， 分别记为业务信息Mess ′和签名 Sign′， 并基于获取的业务信息Mess ′和签名Sign ′进行文件验证： 若文件验证通过， 则接收 单元将业务信息Mess ′中的一次性身份标识OTCA ′发送至量子CA； 否则， 接收单元拒绝数字 签名； S15： 量子CA 获取接收单元发送的一次性身份标识， 并记为一次性身份标识OTCA ″， 然后 基于该一次性身份标识OTCA ″进行身份验证： 如果身份验证的结果为验证通过， 则接收单元 接受数字签名并存 储业务信息Mess′； 否则， 接收单 元拒绝数字签名。 2.根据权利要求1所述的量子安全的数字签名验签方法， 其特 征在于， 所述用户单 元和量子 CA生成共享的一次性身份标识OTCA的过程包括： S21： 用户单 元向量子 CA提交获取身份标识的申请； S22： 量子CA基于该申请生成公开身份标识Pub和隐私身份标识Pri， 然后提供至用户单 元； S23： 用户单 元和量子 CA分别本地存 储公开身份标识Pub和隐私身份标识Pri； S24： 用户单元和量子CA基于本地存储 的隐私身份标识Pri， 以相同的预设规则生成一 次性身份标识OTCA。 3.根据权利要求2所述的量子安全的数字签名验签方法， 其特 征在于， 所述用户单元和量子CA基于本地存储的隐私身份标识Pri， 以相同的预设规则生成一 次性身份标识OTCA的过程包括： S31： 用户单元和量子CA共享m位的二进制的随机数一S1和2m位的二进制随机数二T1， 随 机数二T1表示为T1＝[u， v]， 其中u和v都是m位的二进制随机数， 并且， m为大于 0的正整数； S32： 用户单元本地生成m位的随机数三P1， 并基于该随机数三P1生成不可约多项式P1 (x)， 然后将随机数一S1作为输入随机数与不可约多项式P1(x)共同生成基于线性移位寄存 器的哈希函数一Hash1； S33： 用户单元将从量子CA处获取的隐私 身份Pri代入哈希函数一Hash1生成关于该隐私 身份Pri的哈希值 一H1(Pri)； S34： 用户单元基于哈希值一H1(Pri)生成隐私 身份验证码Mac， 所述隐私身份验证码Mac 表示为Mac＝[H1(Pri),P1]⊕T1， 并将隐私身份验证码Mac发送至量子 CA； S35： 量子CA接收隐私身份验证码， 记为隐私身份验证码Mac ′， 并进行隐私验证： 如果验 证通过， 则用户单元和量子CA获得相同的一次性身份标识OTCA＝H1(Pri)⊕u； 否则， 用户单 元与量子 CA重新执 行以相同的预设规则生成一次性身份标识OTCA的过程。 4.根据权利要求3所述的量子安全的数字签名验签方法， 其特 征在于， 所述量子CA接收隐私身份验证码， 记为隐私身份验证码Mac ′， 并进行隐私验证的过程 包括： S41： 量子CA 接收隐私 身份验证码， 记为隐私身份验证码Mac ′， 并通过随机 数二T1对隐私权　利　要　求　书 1/4 页 2 CN 115378611 A 2身份验证码Mac ′进行异或运 算， 获得哈希值 一H1(Pri)′和随机数三P ′1； S42： 量子CA根据随机数三P ′1生成不可约多项式P ′1(x)， 然后基于不可约多项式P ′1(x) 和随机数一S1生成新的基于线性移位寄存器的哈希函数一Hash ′1； S43： 量子CA将本地存储的隐私身份Pri代入哈希函数一Hash ′1获取关于 该隐私身份Pri 的新的哈希 值一H′1(Pri)； 如果新的哈希值一H ′1(Pri)与哈希值一H1(Pri)′相等， 则隐私验 证通过； 否则， 隐私验证失败。 5.根据权利要求2所述的量子安全的数字签名验签方法， 其特 征在于， 所述一次性身份标识OTCA被设置为当其生成后开始计时， 若计时超过预设时间阈值， 则一次性身份标识OTCA失效。 6.根据权利要求2所述的量子安全的数字签名验签方法， 其特 征在于， 所述业务信息Mess包括业务数据Data以及用户单 元的公开身份标识Pub。 7.根据权利要求1所述的量子安全的数字签名验签方法， 其特 征在于， 所述业务信息Mess包括时间戳Time和/或业 务号O。 8.根据权利要求1所述的量子安全的数字签名验签方法， 其特 征在于， 所述用户单元生成哈希函数， 并基于该哈希函数生成关于业务信息Mess的签名Sign， 然后将业 务信息Mess和签名Sign发送至 接收单元的过程 为： S81： 用户单元本地生成n比特的第一量子随机数P2， 并与所述接收单元共享n位比特的 第二量子随机数S2和2n位比特的第三 量子随机数T2； S82： 用户单元基于第一量子随机数P2生成不可约多项式P2(x)， 由不可约多项式P2(x) 和第二量子随机数S2生成基于线性移位寄存器的哈希函数二Hash2； S83： 用户单元基于该哈希函数二Hash2生成关于业务信息Mess的信息摘要Dig， 所述信 息摘要Dig表示为： Dig＝[Hash2(Mess),P2]， 式中Hash2(Mess)表示通过哈希函数二Hash2对 业务信息Mess进行哈希运 算获得的哈希值 二； S84： 用户单元使用第三量子随机 数T2对信息摘要Dig进行异或运算生成签名Sign， 然后 将业务信息Mess和签名Sign发送至 接收单元。 9.根据权利要求8所述的量子安全的数字签名验签方法， 其特 征在于， 所述接收单元获取用户单元发送的业务信息和签名， 分别记为业务信息Mess ′和签名 Sign′， 并基于获取的业 务信息Mess′和签名Sign ′进行文件 验证的过程包括： S91： 接收单元获取用户单元发送的业务信息和签名， 分别记为业务信息Mess ′和签名 Sign′； S92： 接收单元通过第三量子随机数T2对签名Sign ′进行异或运算获取信息摘要Dig ′， 进 而获取哈希值 二Hash2(Mess)′以及第一 量子随机数P ′2； S93： 基于第一量子随机数P ′2和第二量子随机数S2生成新的基于线性移位寄存器的哈 希函数二Hash ′2， 然后对业 务信息Mess′进行哈希运 算获取新的哈希值 二Hash′2(Mess′)； S94： 比较新的哈希值二Hash ′2(Mess′)与哈希值二Hash2(Mess)′： 如果二者相等， 则文 件验证通过， 接收单元将业务信息Mess ′中的一次性身份标识OTCA ′以及公开身份标识Pub ′ 通过经典认证信道发送至量子 CA； 否则， 文件 验证失败， 接收单 元拒绝数字签名。 10.根据权利要求9所述的量子安全的数字签名验签方法， 其特 征在于， 所述量子CA进行身份验证的过程包括：权　利　要　求　书 2/4 页 3 CN 115378611 A 3