基于秘密共享和抗量子计算的门禁身份识别方法及系统技术方案

本申请涉及一种基于秘密共享和抗量子计算的门禁身份识别方法及系统，实施在通过门禁识别装置进行通信的服务端以及客户端之间，所述服务端以及客户端均配置有密钥卡，所述客户端的密钥卡中存储有己方的第一用户信息单元，所述服务端的密钥卡中存储有本地用户信息池，所述本地用户信息池中存储有与各客户端对应的第二用户信息单元，与同一个客户端相关的所述第一用户信息单元以及第二用户信息单元分别存储有基于秘密共享方式生成的所述客户端的身份标识碎片以及假身份标识。进一步提高了在门禁身份识别过程中，客户端身份标识的安全性。

Method and system of access control identification based on secret sharing and anti quantum computing

【技术实现步骤摘要】
基于秘密共享和抗量子计算的门禁身份识别方法及系统
本申请涉及秘密共享领域，特别是涉及一种基于秘密共享和抗量子计算的门禁身份识别方法及系统。
技术介绍
随着信息技术发展，互联网身份授权的使用越来越频繁，主流互联网应用都提供第三方登录入口。对于门禁的身份识别技术主流的有人脸、指纹识别和智能卡(iCLASS、MIFARE、EMX)等多种技术。身份识别技术是信息系统安全的第一道屏障，身份识别单元部分也是门禁系统的重要组成部分，起到对通行人员的身份进行识别和确认的作用，实现身份识别的方式和种类很多，主要有卡证类身份识别方式、密码类识别方式、生物识别类身份识别方式以及复合类身份识别方式。生物特征识别又包括指纹、面部、语音等识别方式，现有用于门禁的身份识别装置在使用过程中存在一定的安全隐患，现在普遍采用的基于证件的身份认证方法正遭受着各种威胁，各类造假技术层出不穷，伪造及篡改证件变得越来越容易，这给国家和社会造成了巨大的经济损失，证件的安全性成为亟待解决的问题。身份识别是在信息安全时代备受关注的一个研究领域。近年来，随着电子信息技术、计算机及网络技术的不断深入和发展，人们的生活已经逐渐实现了网络化、信息化，身份认证已成为开展各项服务的基础。现有技术存在的问题：1、可移动身份识别装置的ID可读。若丢失可能造成ID信息泄露。如果ID在多个门禁识别装置处被记录，则可以实现ID追踪，某些应用场景下属于严重的信息泄露2、给可移动身份识别装置颁发对称密钥，由于对称密钥无法进行可靠的数字签名，因此对身份识别不利3、给可移动身份识别装置颁发非对称密钥对，并用私钥进行数字签名，该方式由于验证数字签名时公钥需要公开，不能抵抗量子计算4、给可移动身份识别装置颁发非对称密钥的私钥，并将公钥存于服务器，则可以抵抗量子计算，但由于服务器处的公钥由ID或类似ID的公钥指针随机数所识别，因此ID或公钥指针随机数必须公开，造成用户信息泄露。
技术实现思路
基于此，有必要针对上述技术问题，提供一种基于秘密共享和抗量子计算的门禁身份识别方法及系统。一种基于秘密共享和抗量子计算的门禁身份识别方法，实施在通过门禁识别装置进行通信的服务端以及客户端之间，所述服务端以及客户端均配置有密钥卡，所述客户端的密钥卡中存储有己方的第一用户信息单元，所述服务端的密钥卡中存储有本地用户信息池，所述本地用户信息池中存储有与各客户端对应的第二用户信息单元，与同一个客户端相关的所述第一用户信息单元以及第二用户信息单元分别存储有基于秘密共享方式生成的所述客户端的身份标识碎片以及假身份标识；所述门禁身份识别方法包括：所述服务端生成真随机数作为挑战消息送法至所述客户端；所述客户端根据所述挑战消息以及所述第一用户信息进行计算，得到应答消息，并发送至所述服务端；所述服务端根据所述第二用户信息对所述应答消息进行验证后，生成确认消息发送至所述身客户端，并对所述第二用户信息进行更新；所述客户端根据所述确认消息将所述第一用户信息进行更新。可选的，所述第一用户信息以及所述第二用户信息均由所述服务端的密钥卡生成，具体包括：根据RSA算法计算得到服务端密钥卡的私钥和公钥；对所述客户端的身份标识进行秘密共享，得到与所述身份标识相关的第一秘密碎片以及第二秘密碎片，所述第一秘密碎片以及第二秘密碎片均包括秘密系数以及身份标识分量；根据所述客户端的身份标识、第一秘密碎片的身份标识分量以及第二秘密碎片的身份标识分量进行哈希计算，得到所述客户端的假身份标识；将所述假身份标识、第一秘密碎片以及服务端密钥卡的公钥作为所述第一用户信息发送至所述客户端的密钥卡；将所述假身份标识、第二秘密碎片、第一秘密碎片的秘密系数以及服务端密钥卡的私钥作为第二用户信息存储至本地用户信息池。可选的，所述第一用户信息以及所述第二用户信息均由所述服务端的密钥卡生成，具体包括：根据ID密码学算法计算得到服务端密钥卡的公私钥对，以及客户端密钥卡的公私钥对；对所述客户端的身份标识进行秘密共享，得到与所述身份标识相关的第一秘密碎片以及第二秘密碎片，所述第一秘密碎片以及第二秘密碎片均包括秘密系数以及身份标识分量；根据所述客户端的身份标识、第一秘密碎片的身份标识分量以及第二秘密碎片的身份标识分量进行哈希计算，得到所述客户端的假身份标识；将所述假身份标识、第一秘密碎片以及客户端密钥卡的公私钥对作为所述第一用户信息以及所述服务端的身份发送至所述客户端的密钥卡；将所述假身份标识、第二秘密碎片、第一秘密碎片的秘密系数以及服务端密钥卡的公私钥对作为第二用户信息存储至本地用户信息池。可选的，所述客户端根据所述挑战消息以及所述第一用户信息进行计算，得到应答消息，并发送至所述服务端，具体包括：根据所述挑战消息以及第一秘密碎片的秘密系数进行计算，得到第一系数以及第二系数；对所述第一秘密碎片的秘密系数、第一系数以及第二系数进行验证，验证后，将所述假身份标识以及第一秘密碎片的身份标识分量组成第一消息，将所述第一系数和第二系数组成第二消息；根据所述公钥或私钥对所述第一消息以及第二消息进行RSA数字签名或ID密码学签名得到第一签名消息；根据所述第一消息以及第一签名消息组成所述应答消息。可选的，所述服务端根据所述第二用户信息对所述应答消息进行验证后，生成确认消息具体包括：根据所述应答消息中的第一消息，获取所述客户端的假身份标识、第一秘密碎片的身份标识分量；根据所述假身份标识从本地用户信息池中获取与所述客户端相关的第二用户信息，并从中提取第一秘密碎片的秘密系数以及服务端密钥卡的私钥；根据所述第一秘密碎片的秘密系数以及挑战信息，重新计算得到验证第一系数以及验证第二系数，并根据所述验证第一系数以及验证第二系数组成第一验证消息；根据所述第一验证消息以及服务端密钥卡的私钥对所述第一签名进行验证后，获取所述第一系数以及第二系数；根据第一秘密碎片以及第二秘密碎片进行计算，得到第一秘密碎片的新身份标识分量以及新第二秘密碎片的新身份标识分量；根据所述客户端的假身份标识以及第二秘密碎片的新身份标识分量作为第三消息；根据所述第一系数以及第二系数作为第四消息；根据所述私钥对所述三消息以及第四消息进行签名，得到第二签名消息；将所述第三消息以及第二签名消息作为确认消息。可选的，所述服务端生成所述确认消息后，并对所述第二用户信息进行更新具体包括：根据所述客户端的身份标识、第一秘密碎片的新身份标识分量以及第二秘密碎片的新身份标识分量进行计算，得到新假身份标识；将所述第一系数作为第一秘密碎片的新秘密系数，将所述第二系数作为第二秘密碎片的新秘密系数；根据所述新假身份标识、第一秘密碎片的新秘密系数、第二秘密碎片的新秘密系数以及第二秘密碎片的新身份标识分量对相应的第二用户信息进行更新。可选本文档来自技高网...

【技术保护点】
1.基于秘密共享和抗量子计算的门禁身份识别方法，实施在通过门禁识别装置进行通信的服务端以及客户端之间，其特征在于，所述服务端以及客户端均配置有密钥卡，所述客户端的密钥卡中存储有己方的第一用户信息单元，所述服务端的密钥卡中存储有本地用户信息池，所述本地用户信息池中存储有与各客户端对应的第二用户信息单元，与同一个客户端相关的所述第一用户信息单元以及第二用户信息单元分别存储有基于秘密共享方式生成的所述客户端的身份标识碎片以及假身份标识；/n所述门禁身份识别方法包括：/n所述服务端生成真随机数作为挑战消息发送至所述客户端；/n所述客户端根据所述挑战消息以及所述第一用户信息进行计算，得到应答消息，并发送至所述服务端；/n所述服务端根据所述第二用户信息对所述应答消息进行验证后，生成确认消息发送至所述身客户端，并对所述第二用户信息进行更新；/n所述客户端根据所述确认消息将所述第一用户信息进行更新。/n

【技术特征摘要】
1.基于秘密共享和抗量子计算的门禁身份识别方法，实施在通过门禁识别装置进行通信的服务端以及客户端之间，其特征在于，所述服务端以及客户端均配置有密钥卡，所述客户端的密钥卡中存储有己方的第一用户信息单元，所述服务端的密钥卡中存储有本地用户信息池，所述本地用户信息池中存储有与各客户端对应的第二用户信息单元，与同一个客户端相关的所述第一用户信息单元以及第二用户信息单元分别存储有基于秘密共享方式生成的所述客户端的身份标识碎片以及假身份标识；
所述门禁身份识别方法包括：
所述服务端生成真随机数作为挑战消息发送至所述客户端；
所述客户端根据所述挑战消息以及所述第一用户信息进行计算，得到应答消息，并发送至所述服务端；
所述服务端根据所述第二用户信息对所述应答消息进行验证后，生成确认消息发送至所述身客户端，并对所述第二用户信息进行更新；
所述客户端根据所述确认消息将所述第一用户信息进行更新。


2.根据权利要求1所述的门禁身份识别方法，其特征在于，所述第一用户信息以及所述第二用户信息均由所述服务端的密钥卡生成，具体包括：
根据RSA算法计算得到服务端密钥卡的私钥和公钥；
对所述客户端的身份标识进行秘密共享，得到与所述身份标识相关的第一秘密碎片以及第二秘密碎片，所述第一秘密碎片以及第二秘密碎片均包括秘密系数以及身份标识分量；
根据所述客户端的身份标识、第一秘密碎片的身份标识分量以及第二秘密碎片的身份标识分量进行哈希计算，得到所述客户端的假身份标识；
将所述假身份标识、第一秘密碎片以及服务端密钥卡的公钥作为所述第一用户信息发送至所述客户端的密钥卡；
将所述假身份标识、第二秘密碎片、第一秘密碎片的秘密系数以及服务端密钥卡的私钥作为第二用户信息存储至本地用户信息池。


3.根据权利要求1所述的门禁身份识别方法，其特征在于，所述第一用户信息以及所述第二用户信息均由所述服务端的密钥卡生成，具体包括：
根据ID密码学算法计算得到服务端密钥卡的公私钥对，以及客户端密钥卡的公私钥对；
对所述客户端的身份标识进行秘密共享，得到与所述身份标识相关的第一秘密碎片以及第二秘密碎片，所述第一秘密碎片以及第二秘密碎片均包括秘密系数以及身份标识分量；
根据所述客户端的身份标识、第一秘密碎片的身份标识分量以及第二秘密碎片的身份标识分量进行哈希计算，得到所述客户端的假身份标识；
将所述假身份标识、第一秘密碎片以及客户端密钥卡的公私钥对作为所述第一用户信息以及所述服务端的身份发送至所述客户端的密钥卡；
将所述假身份标识、第二秘密碎片、第一秘密碎片的秘密系数以及服务端密钥卡的公私钥对作为第二用户信息存储至本地用户信息池。


4.根据权利要求2或3所述的门禁身份识别方法，其特征在于，所述客户端根据所述挑战消息以及所述第一用户信息进行计算，得到应答消息，并发送至所述服务端，具体包括：
根据所述挑战消息以及第一秘密碎片的秘密系数进行计算，得到第一系数以及第二系数；
对所述第一秘密碎片的秘密系数、第一系数以及第二系数进行验证，验证后，将所述假身份标...

【专利技术属性】
技术研发人员：富尧，钟一民，邱雅剑，
申请(专利权)人：如般量子科技有限公司，南京如般量子科技有限公司，
类型：发明
国别省市：浙江;33