CN114448636B

CN114448636B - 基于数字证书的抗量子计算数字货币***及匿名通信方法

Info

Publication number: CN114448636B
Application number: CN202011106947.2A
Authority: CN
Inventors: 富尧; 钟一民; 汪仲祥
Original assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Current assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Priority date: 2020-10-16
Filing date: 2020-10-16
Publication date: 2024-06-14
Anticipated expiration: 2040-10-16
Also published as: CN114448636A

Abstract

本发明提出基于数字证书的抗量子计算数字货币***及匿名通信方法，该方法在数字货币***中增设第三方权威机构，第三方权威机构为商业银行数字货币***及其用户端分别颁发ID、公私钥、数字证书、根证书，其中为用户端颁发的ID为其匿名身份；本发明中设计了独特的对称密钥计算方法，以使第三方权威机构、用户端、商业银行数字货币***之间能够根据ID和公私钥计算出彼此通信时的对称密钥，从而实现在数字货币***身份认证过程中，所传输的信息、数字证书和签名的抗量子计算。另一方面，本发明设计了用户端匿名ID变更的机制，可以隐匿用户端真实身份，解决了因真实身份泄露导致的安全性问题。

Description

基于数字证书的抗量子计算数字货币***及匿名通信方法

技术领域

本发明涉及身份认证领域，尤其涉及一种基于数字证书的抗量子计算数字货币***及匿名通信方法。

背景技术

中国人民银行的数字货币D-RMB体系的核心要素为一种币、两类库和三个中心。一种币，即“D-RMB”(DC/EP)，简称D币，特指一串由央行签名的代表具体金额的加密数字串。两类库：分别是D-RMB的发行库和银行库(中央银行数字货币数据库、商业银行数字货币数据库)。数字货币在发行库中即表现为央行的数字货币基金；数字货币在银行库中即表现为商业银行的库存数字现金。三个中心：一是登记中心(记录货币产生、流通、清点核对及消亡全过程)；另外两个是认证中心，即CA认证中心(基于PKI体系，对机构和用户证书进行集中管理，如CFCA)和IBC认证中心(即基于标识的密码技术建立的认证中心(Identity-BasedCryptograph))。在登记中心可设计两张表，一为数字货币权属登记表，记录数字货币的归属，另一张为交易流水表。

D-RMB体系是一种分级式的体系，即由中央银行与各商业银行共建，中央银行数字货币***是由中央银行或中央银行指定机构运行维护的用来处理关于数字货币的信息的计算机***，其主要功能包括负责数字货币的发行与验证监测；商业银行数字货币***是由商业银行或商业银行指定机构运行维护的用来处理关于数字货币的信息的计算机***，其执行现有银行的有关货币的各种功能，即银行功能，主要包括从中央银行申请到数字货币后，负责直接面向社会，满足提供数字货币流通服务的各项需求。

现有的D-RMB体系采用的是基于数字证书的身份认证技术，主要原理为：用户从权威机构申请数字证书，用于证明用户与其公钥之间具有绑定关系；服务器安装同一权威机构的根证书，用于验证该权威机构颁发的其他业务证书。服务器对用户身份进行身份认证的过程为：用户采用哈希函数对要发送的明文进行运算，生成摘要，然后用自己的私钥对摘要进行加密，得到数字签名；用户将明文、数字签名和自己从权威机构申请来的数字证书一起发送给服务器。服务器接收到用户发送的信息后，用根证书验证用户的数字证书，验证通过后，用数字证书中用户的公钥去验证用户的数字签名，验证通过则身份认证成功，否则认证不成功。

但是，现有的基于数字证书的身份认证***中，用户终端、服务器和权威机构之间的数据交互都不能实现抗量子计算保密通信。

为了使基于数字证书的身份认证***具备抗量子计算功能，专利CN109861813A提出一种基于非对称密钥池的抗量子计算HTTPS通信方法和***，并具体公开了一种通信方法，该方法的参与方包括服务器、证书授权中心及客户端，客户端配置密钥卡，密钥卡内存储有非对称密钥池；所述抗量子计算HTTPS通信方法，包括以下步骤：服务器端获取证书授权中心颁发的数字证书，并向客户端发送该数字证书，所述数字证书中记载有服务器的公钥指针随机数；客户端获取证书授权中心颁发的与所述数字证书相匹配的根数字证书，依据所述根数字证书对服务器发送的数字证书进行验证，根据验证通过的数字证书中记载的服务器的公钥指针随机数，在所述非对称密钥池中获取服务器公钥；利用服务器公钥对随机生成的共享密钥进行加密，向服务器发送加密结果以进行密钥协商；与服务器利用所述共享密钥进行HTTPS通信。

专利CN109861813A提出的方案虽然能够实现身份认证之后的抗量子计算通信，但是，专利CN109861813A所提出的技术方案中，客户端需要配置存储了所有成员的公钥的量子密钥卡，这对客户端的存储能力要求较高。且整个身份认证流程相较于现有技术存在修改，这就需要对传统的CA机构的内部结构进行改造，成本过高。

基于上述分析，数字货币通信***的现有技术存在以下缺陷：

1.现有CA及基于数字证书的身份认证***无法抗量子计算；

2.现有基于量子保密通信的抗量子计算身份认证***中，对用户来说成本过高、对称密钥管理复杂；

3.现有基于非对称密钥池的抗量子计算身份认证***中，需要将所有成员的公钥生成非对称密钥池后存储到各密钥卡中，增加了客户端密钥卡的存储成本和操作工作量；

4.现有基于非对称密钥池的抗量子计算身份认证***中，改变了传统CA及基于数字证书的身份认证***的整体流程和数据结构，导致CA及用户应用***切换到抗量子计算方案的成本过高。

发明内容

发明目的：为克服上述缺陷，本发明提出一种基于数字证书的抗量子计算数字货币***及匿名通信方法，能够实现数字货币***中，商业银行数字货币***及其用户端之间身份认证过程的抗量子计算及保密通信。

发明内容：为实现上述目的，本发明提出一种基于数字证书的抗量子计算数字货币***匿名通信方法，包括以下步骤：

(1)在数字货币***中增设第三方权威机构，第三方权威机构为商业银行数字货币***及其用户端分别颁发数字证书、根证书，以及为自己、商业银行数字货币***及其用户端分别颁发ID和公私钥，其中为用户端颁发的ID为其匿名身份；其中，第三方权威机构生成某一对象X的公私钥的方法为：第三方权威机构先为X生成***公私钥，然后用哈希函数计算X的ID得到X的公钥，接着用X的公钥和X的***私钥计算得到X的私钥；

(2)用户端预先在相应的商业银行数字货币***登记真实身份信息和实时的ID的对应关系；

(3)用户端在进行身份认证前，先生成申请新的ID的请求消息，然后用己方数字证书私钥对请求消息进行签名，再用自己的私钥与第三方权威机构的公钥计算出与第三方权威机构之间的对称密钥，用对称密钥加密己方数字证书和签名后，连同请求消息一并发送给第三方权威机构；

(4)第三方权威机构先计算得到用户端的***私钥，再用用户端的***私钥与自己的公钥进行计算，然后用计算结果与用户端的公钥计算出第三方权威机构与用户端之间对称密钥；用对称密钥解密接收到的信息后，验证用户端的数字证书和签名，通过后再根据用户端请求生成新的ID、新的***公私钥和新的公私钥，并用商业银行数字货币***的***私钥与用户端新的公钥计算一个中间密钥，再用根证书私钥对中间密钥、新的ID、新的私钥进行签名，最后将中间密钥、新的ID、新的私钥和签名用对称密钥加密后发送给用户端；

(5)用户端解密来自第三方权威机构的反馈信息，并用根证书验证签名，验证后保存中间密钥、新的ID、新的私钥，并使用新的ID作为其匿名身份；

(6)用户端用中间密钥与商业银行数字货币***的公钥计算出与商业银行数字货币***之间的对称密钥，而商业银行数字货币***用自己的私钥和客户端的公钥计算出与客户端之间的对称密钥，然后双方基于计算出的对称密钥进行身份认证。

以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。

可选的，所述身份认证过程如下：

用户端生成身份认证请求消息，然后用数字证书私钥对身份认证请求消息与新的ID进行签名，用与商业银行数字货币***的对称密钥加密数字证书和签名，最后将加密数据、身份认证请求消息、新的ID一起发送给商业银行数字货币***；

商业银行数字货币***用对称密钥解密接收到的消息后，用根证书验证用户端的数字证书的有效性，若有效，则通过用户端数字证书的公钥验证签名；验证通过后，商业银行数字货币***生成第一随机数；先用用户端数字证书的公钥加密第一随机数，再用自己的数字证书私钥进行签名，最后用对称密钥对加密后的第一随机数、签名、自己的数字证书进行联合加密后发送至用户端；

用户端解密接收到的数据，用根证书验证商业银行数字货币***的数字证书的有效性，若有效，则用商业银行数字货币***的数字证书的公钥验证其签名，验证通过后，用自己的数字证书私钥解密出第一随机数并保存；

用户端生成第二随机数，然后用商业银行数字货币***的数字证书公钥加密第一随机数、第二随机数和旧的ID，用自己的数字证书私钥对加密数据、旧的ID进行签名，再用对称密钥对加密数据和签名再次加密后，连同旧的ID一并发送给商业银行数字货币***；

商业银行数字货币***解密接收到的信息后，比对接收到的第二随机数与自己发出去的第二随机数是否一致，若一致，则更新用户端登记信息中的ID为用户端新的ID。

可选的，在用户端与第三方权威机构和商业银行数字货币***进行通信的过程中，采用对称密钥加密数据时采用的加密方法如下：

发送方先计算出双方通信的对称密钥，再为本次通信生成一个时间戳，用对称密钥和时间戳计算出本次通信的通信密钥，用通信密钥加密数字证书和签名，并将加密数据和时间戳一并发送给接收方；

接收方接收到发送方发来的信息后，先计算出对称密钥，再根据接收到的信息中携带的时间戳计算出本次通信的通信密钥，通过通信密钥解密得到发送方的数字证书和签名。

可选的，所述用对称密钥和时间戳计算出本次通信的通信密钥方法为：用对称密钥对时间戳计算消息认证码，计算出的消息认证码即为本次通信密钥。

可选的，在用户端与第三方权威机构和商业银行数字货币***进行通信的过程中，通信双方每次发送信息时，还计算消息认证码以保证通信消息的完整性。

可选的，用户端与商业银行数字货币***完成身份认证后，双方建立会话，并采用相同的方式用第一、第二随机数计算出本轮会话的会话密钥并基于此会话密钥进行通信。

可选的，所述根证书中包括证书的版本号、序列号、有效期以及CA的证书公钥和根证书签名；所述用户端的数字证书包含证书公钥和用户端的真实身份；所述商业银行数字货币***的数字证书包括证书公钥。

本发明还提出一种基于数字证书的抗量子计算数字货币***，包括用户端、商业银行数字货币***、央行数字货币***和第三方权威机构；商业银行数字货币***与央行数字货币***之间通过预先建立的量子通信链路进行通信，而用户端、商业银行数字货币***和第三方权威机构之间，根据权所述的基于数字证书的数字货币***身份认证方法完成身份认证。

进一步的，所述用户端、商业银行数字货币***和第三方权威机构均配置有抗量子计算装置，第三方权威机构的抗量子计算装置用于存储所有***私钥、自己的公私钥和根证书，用户端的抗量子计算装置用于存储用户端自己的公私钥、***公钥、数字证书和根证书，商业银行数字货币***的抗量子计算装置用于存储商业银行数字货币***的公私钥、***公钥、数字证书和根证书。

进一步的，所述抗量子计算装置包括密钥卡、移动终端、密码机、网关。

有益效果：与现有技术相比，本发明具有以下有益效果：

1.本发明可以实现抗量子计算的基于数字证书的数字货币通信***；

2.本发明不需要将所有成员的公钥生成非对称密钥池后存储到各密钥卡中，客户端密钥卡的存储成本和操作工作量小；

3.本发明没有改变传统CA及基于数字证书的身份认证***的整体流程和数据结构，因此CA及数字货币通信***切换到抗量子计算方案的成本不高；

4.基于ID密码学的密钥颁发服务器对每个不同用户的***公私钥均不同，即使某个用户的***公钥丢失导致***私钥被量子计算机破解，也不会危及到CA和其他用户的***公私钥。

5.本发明中KMS为用户颁发匿名身份，用户使用经常更新的匿名身份与商业银行数字货币***进行通信可以使得通信更加安全。

6.本发明的通信模式满足了两种不同情况下对于安全性和成本的要求，即：对于机密性要求极度高、方案改动影响范围相对较小的中央银行与商业银行之间的通信，采用更高成本且更安全的量子保密通信，从而实现具有更高安全度的通信；对于机密性要求并非极度高、方案改动影响范围相对较大的商业银行与用户之间的通信，采用基于数字证书的抗量子计算通信，从而实现具有较高安全度且兼顾成本的通信。因此本发明将现有数字货币通信***改进为抗量子计算数字货币通信***，且兼顾了***改进的成本。

附图说明

图1为本发明实施例中中央银行数字货币运行实例的基本结构图。

图2为本发明实施例中涉及的商业银行数字货币***和用户之间的身份认证步骤的流程图。

具体实施方式

下面将结合附图和具体实施例对本发明作更进一步的说明。但应当理解的是，本发明可以以各种形式实施，以下在附图中出示并且在下文中描述的一些示例性和非限制性实施例，并不意图将本发明限制于所说明的具体实施例。

应当理解的是，在技术上可行的情况下，以上针对不同实施例所列举的技术特征可以相互组合，从而形成本发明范围内的另外的实施例。此外，本发明所述的特定示例和实施例是非限制性的，并且可以对以上所阐述的结构、步骤、顺序做出相应修改而不脱离本发明的保护范围。

以中央银行数字货币的运行实例来说，如图1所示，数字货币***基本结构主要包括中央银行数字货币***、商业银行数字货币***(在实际中可以是多个商业银行数字货币***)和用户，以及对三者之间进行认证的***，中央银行与各商业银行进行身份认证并进行保密通信，各商业银行与各自用户身份认证并进行保密通信。其中，中央银行数字货币***发行数字货币，并对数字货币进行权属登记；商业银行数字货币***针对数字货币执行银行功能；用户则是数字货币使用的主体；认证***对商业银行数字货币***与数字货币的用户所使用的终端设备之间的交互提供认证，以及对中央银行数字货币***与商业银行数字货币***之间的交互提供认证。

商业银行数字货币***和用户之间采用基于数字证书的抗量子计算身份认证***，如图2，该认证***包括用户A、用户A所对应的商业银行数字货币***B和证书颁发机构CA。

CA具有抗量子计算装置T_CA，T_CA中部署有基于ID密码学的密钥管理服务器KMS。KMS为用户A和商业银行数字货币***B颁发抗量子计算装置T_A、T_B。抗量子计算装置可以是密钥卡、移动终端、密码机、网关等，可与CA或各个用户端分别进行主板接口通信、近距离无线通信、可控的内网通信等，可保证通信范围内不会被量子计算机窃取信息。例如，抗量子计算装置可以是密钥卡，密钥卡插接在CA机构的主机主板上。或者，抗量子计算装置可以是移动终端，与另一个也是移动终端的抗量子计算装置进行NFC通信。再如，抗量子计算装置是密码机或网关，与同一局域网内的用户主机进行安全的内网通信。

KMS为某个成员颁发公私钥时，首先需要建立一套基于ID密钥学的***参数，步骤如下：

(1)G₁，G₂是阶为q的GDH(Diffie–Hellman群)群，q是一个大素数，G₁是由椭圆曲线上的点构成的加法循环群，P是群G₁的生成元；G₂是一个乘法循环群；双线性映射e：G₁×G₁→G₂。

(2)随机地取SK_MS∈Z_p ^*作为CA的***私钥，SK_MS仅保存在CA的抗量子计算装置中，计算CA的***公钥PK_MS＝SK_MS*P，PK_MS保存在CA的抗量子计算装置T_CA。KMS对不同用户的***公私钥均不同，对于用户A，KMS会生成唯一编码作为A的匿名身份ID_A，针对当前匿名身份，A的***私钥为SK_MSA＝MAC(ID_A,SK_MS)(MAC(m,k)为使用密钥k对消息m计算消息认证码)，A的***公钥为PK_MSA＝SK_MSA*P；对于商业银行数字货币***B，KMS会生成唯一编码作为ID_B，B的***私钥为SK_MSB＝MAC(ID_B,SK_MS)，B的***公钥为PK_MSB＝SK_MSB*P；所有的***私钥都保存在对应的抗量子计算装置中，PK_MSA保存在T_A中，PK_MSB保存在T_B中。

(3)选择哈希函数H₁：{0，1}→G₁，H₂：G₂→{0，1}。

(4)***参数为{q,G₁,G₂,e,n,P,H₁,H₂}。

KMS为CA颁发公私钥时，生成唯一编码作为ID_CA，调用哈希函数H₁计算公钥PK_CA＝H₁(ID_CA)，再根据公钥PK_CA计算私钥SK_CA＝SK_MS*PK_CA，将ID_CA、PK_CA、SK_CA存储于CA的抗量子计算装置T_CA。T_CA中还存储有CA根证书CERT_CA，CERT_CA中包括证书的版本号、序列号、有效期以及CA的证书公钥PK_CERTCA和证书签名，而证书私钥SK_CERTCA则由CA另外秘密保存(即不与ID_CA、PK_CA、SK_CA存储于同一存储设备)，例如保存于抗量子计算装置T_CA的安全芯片中，或者存储在连接抗量子计算装置的密钥卡里。证书公钥和证书签名可以基于RSA、ECC、离散对数、ID密码学等多种非对称密码算法。

KMS为用户A颁发公私钥时，调用哈希函数H₁计算公钥PK_A＝H₁(ID_A)，再根据公钥PK_A计算私钥SK_A＝SK_MSA*PK_A，将A的ID和公私钥即ID_A、PK_A、SK_A存储于A的抗量子计算装置T_A。T_A中还存储有KMS颁发的CA根证书CERT_CA和A的证书CERT_A，其中CERT_CA包括证书公钥PK_CERTCA，CERT_A包括证书公钥PK_CERTA和A的真实身份，而证书私钥SK_CERTA则由A另外秘密保存，例如保存于抗量子计算装置T_A的安全芯片中或者保存在连接于抗量子计算装置T_A的密钥卡中。

KMS为商业银行数字货币***B颁发公私钥时，调用哈希函数H₁计算公钥PK_B＝H₁(ID_B)，再根据公钥PK_B计算私钥SK_B＝SK_MSB*PK_B，将B的ID和公私钥即ID_B、PK_B、SK_B存储于B的抗量子计算装置T_B。T_B中还存储有KMS颁发的CA根证书CERT_CA和B的证书CERT_B，其中CERT_CA包括证书公钥PK_CERTCA，CERT_B中包括证书公钥PK_CERTB，而证书私钥SK_CERTB则由B另外秘密保存，例如保存于抗量子计算装置T_B的安全芯片中或者存储在连接于抗量子计算装置T_B的密钥卡中，并且B还保存有对应用户A的真实身份与当前匿名身份的对应表。

基于上述基于ID密码学的密钥分发，图2展示了基于数字证书的抗量子计算身份认证***在商业银行数字货币***和用户之间的认证方法流程。下面的实施例详细描述了其过程。

实施例

(1)每当A需要进行身份认证时，A向CA申请更新生成新的匿名ID

A用REQ₁表示申请生成A的新的匿名ID的请求，获取时间戳T₁，然后将ID_A、ID_CA、T₁、ID_B和REQ₁组合起来称为MSG_{1_0}，即MSG_{1_0}＝ID_A||ID_CA||T₁||ID_B||REQ₁，其中ID_CA表示该消息是由A发送给证书颁发机构CA的，ID_B是A所属的商业银行数字货币***的ID。

A计算与CA之间的对称密钥K_A-CA＝e(SK_A，PK_CA)，用K_A-CA对T₁计算消息认证码得到K₁＝MAC(T₁,K_A-CA)。再用证书CERT_A中的公钥PK_CERTA对MSG_{1_0}进行签名得到SIG₁，用K₁加密CERT_A与SIG₁得到{CERT_A||SIG₁}K₁，将{CERT_A||SIG₁}K₁与MSG_{1_0}组合起来称为MSG_{1_1}，即MSG_{1_1}＝MSG_{1_0}||{CERT_A||SIG₁}K₁。使用K₁对MSG_{1_1}计算消息认证码得到MAC(MSG_{1_1},K₁)，再将MSG_{1_1}与MAC(MSG_{1_1},K₁)组合起来称为MSG₁，并将消息MSG₁发送给CA。发出的消息中，数字证书和签名都被密钥加密，因此数字证书和签名可以抗量子计算，同时用户的真实身份被隐藏。

(2)CA为A生成新的匿名ID，并计算A的基于B的私钥然后发送给A

CA收到来自A的消息MSG₁即MSG_{1_1}||MAC(MSG_{1_1},K₁)，又有MSG_{1_1}＝

MSG_{1_0}||{CERT_A||SIG₁}K₁，MSG_{1_0}＝ID_A||ID_CA||T₁||ID_B||REQ₁。

CA中的KMS计算A的***私钥SK_MSA＝MAC(ID_A,SK_MS)，计算得到SK_CAA＝

SK_MSA*PK_CA。然后根据PK_A＝H₁(ID_A)得到CA与A之间的对称密钥K_CA-A＝

e(SK_CAA，PK_A)。根据ID密码学可得：K_A-CA＝e(SK_A，PK_CA)＝e(SK_MSA*PK_A，

PK_CA)＝e(PK_A，SK_MSA*PK_CA)＝e(PK_A，SK_CAA)＝e(SK_CAA，PK_A)＝K_CA-A。

CA使用K_CA-A对T₁计算消息认证码得到K′₁＝MAC(T₁,K_CA-A)。先使用K′₁对MSG_{1_1}计算消息认证码得到MAC(MSG_{1_1},K′₁)，与MAC(MSG_{1_1},K₁)比较进行验证。验证通过后，再使用K′₁解密{CERT_A||SIG₁}K₁得到CERT_A和SIG₁，使用CA根证书CERT_CA判断CERT_A是否有效，若有效则用证书CERT_A的公钥PK_CERTA验证签名SIG₁。

验证通过后，CA为用户A生成新的匿名ID即ID_Anew。计算KMS对ID_Anew的***私钥SK_MSAnew＝MAC(ID_Anew,SK_MS)，***公钥PK_MSAnew＝SK_MSAnew*P；计算ID_Anew的公钥PK_Anew＝H₁(ID_Anew)，私钥SK_Anew＝SK_MSAnew*PK_Anew。再计算KMS对B的***私钥SK_MSB＝MAC(ID_B,SK_MS)，计算ID_Anew的相对于B的私钥SK′_Anew＝SK_MSB*PK_Anew。CA获取时间戳T₂，将ID_CA、ID_A、T₂、ID_Anew、SK_Anew和SK′_Anew组合起来称为MSG_{2_0}，即MSG_{2_0}＝ID_CA||ID_A||T₂||ID_Anew||SK_Anew||SK′_Anew。用CA根证书中的私钥SK_CERTCA对MSG_{2_0}进行签名得到SIG₂，用K_CA-A对T₂计算消息认证码得到K₂＝

MAC(T₂,K_CA-A)，然后用K₂对ID_Anew||SK_Anew||SK′_Anew||SIG₂进行加密得到

{ID_Anew||SK_Anew||SK′_Anew||SIG₂}K₂，将其与ID_CA、ID_A和T₂组合起来称为MSG_{2_1}，即MSG_{2_1}＝ID_CA||ID_A||T₂||{ID_Anew||SK_Anew||SK′_Anew||SIG₂}K₂。再使用K₂对MSG_{2_1}计算消息认证码得到MAC(MSG_{2_1},K₂)，再将MSG_{2_1}与MAC(MSG_{2_1},K₂)组合起来称为MSG₂即MSG₂＝MSG_{2_1}||MAC(MSG_{2_1},K₂)，并将消息MSG₂发送给A。

(3)A向B请求进行身份认证

A收到消息MSG₂，即MSG_{2_1}||MAC(MSG_{2_1},K₂)，又有MSG_{2_1}＝ID_CA||ID_A||T₂||{ID_Anew||SK_Anew||SK′_Anew||SIG₂}K₂。使用K_A-CA对T₂计算消息认证码得到K′₂＝MAC(T₂,K_A-CA)。先使用K′₂对MSG_{2_1}计算消息认证码得到MAC(MSG_{2_1},K′₂)，与MAC(MSG_{2_1},K₂)比较进行验证。验证通过后，再使用K′₂解密{ID_Anew||SK_Anew||SK′_Anew||SIG₂}K₂得到ID_Anew||SK_Anew||SK′_Anew||SIG₂。A使用CA根证书中的公钥PK_CERTCA对签名SIG₂进行验证，验证成功后，将ID_Anew||SK_Anew存储在本地，并使用ID_Anew作为新的匿名ID。

A计算与B之间的对称密钥K_A-B＝e(SK′_Anew，PK_B)，取时间戳T₃，用K_A-B对T₃计算消息认证码得到K₃＝MAC(T₃,K_A-B)。用REQ₃表示A对B的身份认证请求，将ID_Anew、ID_B、T₃和REQ₃组合起来称为MSG_{3_0}，即MSG_{3_0}＝ID_Anew||ID_B||T₃||REQ₃。用证书CERT_A中的私钥SK_CERTA对MSG_{3_0}进行签名得到SIG₃，然后用K₃对CERT_A和SIG₃进行加密得到{CERT_A||SIG₃}K₃，并与MSG_{3_0}组合起来称为MSG_{3_1}即MSG_{3_1}＝MSG_{3_0}||{CERT_A||SIG₃}K₃。使用K₃对MSG_{3_1}计算消息认证码得到MAC(MSG_{3_1},K₃)，再将MSG_{3_1}与MAC(MSG_{3_1},K₃)组合起来称为MSG₃，并将消息MSG₃发送给B。

(4)B对A进行身份认证并返回生成的随机数

B收到消息MSG₃，MSG₃＝MSG_{3_1}||MAC(MSG_{3_1},K₃)，又有MSG_{3_1}＝

MSG_{3_0}||{CERT_A||SIG₃}K₃和MSG_{3_0}＝ID_Anew||ID_B||T₃||REQ₃。首先B根据PK_Anew＝

H₁(ID_Anew)得到B与A之间的对称密钥K_B-A＝e(SK_B，PK_Anew)。根据ID密码学可得：

K_A-B＝e(SK′_Anew，PK_B)＝e(SK_MSB*PK_Anew，PK_B)＝e(PK_Anew，SK_MSB*PK_B)＝

e(PK_Anew，SK_B)＝e(SK_B，PK_Anew)＝K_B-A。B使用K_B-A对T₃计算消息认证码得到K′₃＝MAC(T₃,K_B-A)。用K′₃对MSG_{3_1}计算消息验证码得到MAC(MSG_{3_1},K′₃)，与MAC(MSG_{3_1},K₃)比较进行验证。验证通过后，用K′₃解密{CERT_A||SIG₃}K₃得到CERT_A||SIG₃。使用CA根证书CERT_CA判断CERT_A是否有效，若有效则用证书CERT_A的公钥PK_CERTA验证签名SIG₃。

验证通过后，B获取时间戳T₄，使用K_B-A对T₄计算消息认证码得到K₄＝

MAC(T₄,K_B-A)。B生成随机数N_B，使用PK_CERTA加密N_B和ID_B得到{N_B||ID_B}PK_CERTA，并与ID_B、ID_A和T₄组合起来称为MSG_{4_0}即MSG_{4_0}＝ID_B||ID_A||T₄||{N_B||ID_B}PK_CERTA。用证书CERT_B中的私钥SK_CERTB对MSG_{4_0}进行签名得到SIG₄，用K₄对

{N_B||ID_B}PK_CERTA||CERT_B||SIG₄进行加密得到{{N_B||ID_B}PK_CERTA||CERT_B||SIG₄}K₄，再与ID_B、ID_A和T₄组合起来称为MSG_{4_1}即MSG_{4_1}＝

ID_B||ID_A||T₄||{{N_B||ID_B}PK_CERTA||CERT_B||SIG₄}K₄。使用K₄对MSG_{4_1}计算消息认证码得到MAC(MSG_{4_1},K₄)，再将MSG_{4_1}与MAC(MSG_{4_1},K₄)组合起来称为MSG₄，并将消息MSG₄发送给A。

(5)A对B进行身份认证并返回生成的随机数

A收到消息MSG₄，即MSG_{4_1}||MAC(MSG_{4_1},K₄)，又有MSG_{4_1}＝

ID_B||ID_A||T₄||{{N_B||ID_B}PK_CERTA||CERT_B||SIG₄}K₄。使用K_A-B对T₄计算消息认证码得到K′₄＝MAC(T₄,K_A-B)。用K′₄对MSG_{4_1}计算消息认证码得到MAC(MSG_{4_1},K′₄)，与MAC(MSG_{4_1},K₄)比较进行验证。验证通过后，用K′₄解密

{{N_B||ID_B}PK_CERTA||CERT_B||SIG₄}K₄得到{N_B||ID_B}PK_CERTA||CERT_B||SIG₄。A使用CA根证书CERT_CA判断CERT_B是否有效，若有效则用证书CERT_B的公钥PK_CERTB验证签名SIG₄。验证通过后，用证书CERT_A的私钥SK_CERTA解密{N_B||ID_B}PK_CERTA得到N_B||ID_B，将N_B保存在本地。

A获取时间戳T₅，使用K_A-B对T₅计算消息认证码得到K₅＝MAC(T₅,K_A-B)。A生成随机数N_A，使用PK_CERTB加密N_A、N_B和ID_A得到{N_A||N_B||ID_A}PK_CERTB，并与ID_A、ID_B和T₅组合起来称为MSG_{5_0}即MSG_{5_0}＝ID_A||ID_B||T₅||{N_A||N_B||ID_A}PK_CERTB。用证书CERT_A中的私钥SK_CERTA对MSG_{5_0}进行签名得到SIG₅，用K₅对{N_A||N_B||ID_A}PK_CERTB||SIG₅进行加密得到{{N_A||N_B||ID_A}PK_CERTB||SIG₅}K₅，再与ID_A、ID_B和T₅组合起来称为MSG_{5_1}即MSG_{5_1}＝ID_A||ID_B||T₅||{{N_A||N_B||ID_A}PK_CERTB||SIG₅}K₅。使用K₅对MSG_{5_1}计算消息认证码得到MAC(MSG_{5_1},K₅)，再将MSG_{5_1}与MAC(MSG_{5_1},K₅)组合起来称为MSG₅，并将消息MSG₅发送给B。

(6)B计算得到会话密钥并更新A的真实身份与当前匿名身份的对应表

B收到消息MSG₅，即MSG_{5_1}||MAC(MSG_{5_1},K₅)，又有MSG_{5_1}＝

ID_A||ID_B||T₅||{{N_A||N_B||ID_A}PK_CERTB||SIG₅}K₅。使用K_B-A对T₅计算消息认证码得到K′₅＝MAC(T₅,K_B-A)。用K′₅对MSG_{5_1}计算消息认证码得到MAC(MSG_{5_1},K′₅)，与MAC(MSG_{5_1},K₅)比较进行验证。验证通过后，用K′₅解密{{N_A||N_B||ID_A}PK_CERTB||SIG₅}K₅得到{N_A||N_B||ID_A}PK_CERTB||SIG₅。B用PK_CERTA验证签名SIG₅，验证通过后用证书私钥SK_CERTB解密{N_A||N_B||ID_A}PK_CERTB得到N_A||N_B||ID_A。

B验证收到的N_B和本地的N_B是否一致，在判定一致后，B用N_A和N_B进行计算得到会话密钥。并且更新本地保存的A的真实身份与当前匿名身份的对应表，即将A对应的匿名身份由ID_A更新为ID_Anew。获取时间戳T₆，使用K_B-A对T₆计算消息认证码得到K₆＝MAC(T₆,K_B-A)。使用PK_CERTA加密N_A得到{N_A}PK_CERTA，并与ID_B、ID_A和T₆组合起来称为MSG_{6_0}即MSG_{6_0}＝ID_B||ID_A||T₆||{N_A}PK_CERTA。用SK_CERTB对MSG_{6_0}进行签名得到SIG₆，用K₆对{N_A}PK_CERTA||SIG₆进行加密得到{{N_A}PK_CERTA||SIG₆}K₆，再与ID_B、ID_A和T₆组合起来称为MSG_{6_1}即MSG_{6_1}＝ID_B||ID_A||T₆||{{N_A}PK_CERTA||SIG₆}K₆。使用K₆对MSG_{6_1}计算消息认证码得到MAC(MSG_{6_1},K₆)，再将MSG_{6_1}与MAC(MSG_{6_1},K₆)组合起来称为MSG₆，并将MSG₆发送给A。

(7)A计算得到会话密钥

A收到消息MSG₆，即MSG_{6_1}||MAC(MSG_{6_1},K₆)，又有MSG_{6_1}＝

ID_B||ID_A||T₆||{{N_A}PK_CERTA||SIG₆}K₆。使用K_A-B对T₆计算消息认证码得到K′₆＝

MAC(T₆,K_A-B)。用K′₆对MSG_{6_1}计算消息认证码得到MAC(MSG_{6_1},K′₆)，与MAC(MSG_{6_1},K₆)比较进行验证。验证通过后，用K′₆解密{{N_A}PK_CERTA||SIG₆}K₆得到{N_A}PK_CERTA||SIG₆。A用PK_CERTB验证签名SIG₆，验证通过后用证书私钥SK_CERTA解密{N_A}PK_CERTA得到N_A。

A验证收到的N_A和本地的N_A是否一致。验证通过后，用N_A和N_B进行计算得到会话密钥。

中央银行数字货币***和商业银行数字货币***之间则是通过QKD通信来进行身份认证：中央银行数字货币***和商业银行数字货币***双方各有一QKD设备，双方设备通过QKD线路进行量子保密通信并协商得到会话密钥。

当商业银行数字货币***和用户协商好会话密钥并且中央银行数字货币***和商业银行数字货币***也协商好会话密钥后，整个数字货币***就可以开展各项业务，比如进行数字货币的支付、转账等。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims

1.基于数字证书的抗量子计算数字货币***匿名通信方法，其特征在于，包括以下步骤：

(6)用户端用中间密钥与商业银行数字货币***的公钥计算出与商业银行数字货币***之间的对称密钥，而商业银行数字货币***用自己的私钥和客户端的公钥计算出与客户端之间的对称密钥，然后双方基于计算出的对称密钥进行身份认证；

所述身份认证过程如下：

2.根据权利要求1所述的基于数字证书的抗量子计算数字货币***匿名通信方法，其特征在于，在用户端与第三方权威机构和商业银行数字货币***进行通信的过程中，采用对称密钥加密数据时采用的加密方法如下：

3.根据权利要求2所述的基于数字证书的抗量子计算数字货币***匿名通信方法，其特征在于，所述用对称密钥和时间戳计算出本次通信的通信密钥方法为：用对称密钥对时间戳计算消息认证码，计算出的消息认证码即为本次通信密钥。

4.根据权利要求1所述的基于数字证书的抗量子计算数字货币***匿名通信方法，其特征在于，在用户端与第三方权威机构和商业银行数字货币***进行通信的过程中，通信双方每次发送信息时，还计算消息认证码以保证通信消息的完整性。

5.根据权利要求1所述的基于数字证书的抗量子计算数字货币***匿名通信方法，其特征在于，用户端与商业银行数字货币***完成身份认证后，双方建立会话，并采用相同的方式用第一、第二随机数计算出本轮会话的会话密钥并基于此会话密钥进行通信。

6.根据权利要求1所述的基于数字证书的抗量子计算数字货币***匿名通信方法，其特征在于，所述根证书中包括证书的版本号、序列号、有效期以及CA的证书公钥和证书签名；所述用户端的数字证书包含证书公钥和用户端的真实身份；所述商业银行数字货币***的数字证书包括证书公钥。

7.基于数字证书的抗量子计算数字货币***，其特征在于，包括用户端、商业银行数字货币***、央行数字货币***和第三方权威机构；商业银行数字货币***与央行数字货币***之间通过预先建立的量子通信链路进行通信，而用户端、商业银行数字货币***和第三方权威机构之间，根据权利要求1至6任意一项所述的方法完成身份认证。

8.根据权利要求7所述的基于数字证书的抗量子计算数字货币***，其特征在于，所述用户端、商业银行数字货币***和第三方权威机构均配置有抗量子计算装置，第三方权威机构的抗量子计算装置用于存储所有***私钥、自己的公私钥和根证书，用户端的抗量子计算装置用于存储用户端自己的公私钥、***公钥、数字证书和根证书，商业银行数字货币***的抗量子计算装置用于存储商业银行数字货币***的公私钥、***公钥、数字证书和根证书。

9.根据权利要求8所述的基于数字证书的抗量子计算数字货币***，其特征在于，所述抗量子计算装置包括密钥卡、移动终端、密码机、网关。