数字签名方法和系统以及量子密钥卡与流程

本发明属于量子通信技术领域，具体涉及一种基于量子随机数和量子密钥分发的数字签名方法和系统。

背景技术：

签名和对签名的识别是日常社会生活和经济交易来往中必不可缺的一部分，传统的签名是在纸质文档上进行书写签名或盖章等操作来表明该文档得到了当事人的确认，其具有一定的法律效力。在信息技术和网络飞速发展的当今社会，人类已经开始进入无纸化时代，越来越多的交易都是在网络中完成，再继续沿用传统的签名方式已经不能满足社会的需求。

数字签名技术作为一种有效可行的方法，被广泛用于解决网络上信息传输的安全性问题。数字签名技术即采用某种密码运算，生成一系列符号和代码来代替书写签名或印章，其保证了网络中信息传输的保密性、完整性和发送方签名的不可否认性。

现今主流的数字签名方法是基于公钥密钥体制即利用非对称算法实现对信息的数字签名，但是公钥密码体制是基于数学计算的复杂性来确保信息的安全性，随着量子计算技术的发展，其所采用的非对称算法的安全性将受到极大威胁，并且非对称密钥加解密速度慢，认证效率低，不适合大规模推广使用。对称密钥算法也可以用来实现数字签名，其与非对称密钥算法相比具有占用资源少，运算速度快等优点，但是对称密钥算法很难解决密钥分发问题，最常见的做法是在双方预存储对称密钥，但是长时间使用同一组对称密钥会有泄露和被破解的风险，为此公开号为CN101282222A的专利文献提出一种利用组合对称密钥技术来实现数字签名的方法，其利用预存的种子密钥结合密钥生成算法达到签名密钥一次一变的效果，该方法虽然相较之前直接使用预存密钥实现加解密的方法安全性略有提升，但是其种子密钥并不会进行更新，当多次使用后，还是会有被破解的风险。

技术实现要素：

本发明提供一种基于量子随机数和量子密钥分发的数字签名系统，利用可移动式量子密钥卡解决量子网络终端的接入使用与安全问题。

一种数字签名系统，包括配置于网络侧的量子网络服务站以及配置于用户侧的签名客户端和认证客户端，还设有量子密钥卡，网络侧生成真随机数在量子密钥卡与网络侧分别存储以形成相应的用户侧密钥；签名客户端匹配的量子密钥卡利用存储的用户侧密钥生成签名文件并经签名客户端发送至认证客户端，认证客户端将接收到的签名文件发送至当前量子网络服务站，在网络侧获取相应的用户侧密钥对所述签名文件进行签名认证，再将签名认证结果发送至认证客户端。

所述真随机数由网络侧的量子网络服务站生成，且在所述量子密钥卡和该量子网络服务站分别存储以形成相应的用户侧密钥。

所述签名客户端和认证客户端两者是相对而言，仅仅是根据发生的业务类型而定，一个签名客户端至少对应有一个认证客户端。作为优选，所述签名客户端以及认证客户端均具有与量子密钥卡相配合的数据传输接口。

签名客户端和认证客户端与各自的量子密钥卡相匹配时，可以理解为建立通信连接。对于签名客户端，在其进行数字签名前，必须先与一个量子密钥卡建立通信连接。

作为优选，所述当前量子网络服务站以密文方式将签名认证结果发送至认证客户端，当前量子网络服务站与认证客户端匹配的量子密钥卡通过相应的用户侧密钥对进行密文的加、解密。

为实现签名认证结果以密文方式传输，认证客户端在其进行签名认证前，必须与一个量子密钥卡建立通信连接，且认证客户端和签名客户端所匹配的量子密钥卡不能为同一个。

作为优选，所述量子密钥卡为USBkey或可插拔板卡/芯片，其具有数据存储和处理功能，就其自身而言可以基于现有硬件技术实现。

所述量子密钥卡在相应的量子网络服务站经登记审核获批后颁发，具有唯一的量子密钥卡ID，指向颁发该量子密钥卡的量子网络服务站。所述量子密钥卡存储有相应用户的身份信息，以及颁发该量子密钥卡的量子网络服务站的信息。

由于量子密钥卡与所属用户相互绑定，因此量子密钥卡内存储的相关信息也可以用来做用户身份认证。可选的，量子密钥卡与专属的客户端ID相互绑定，此时量子密钥卡内存储的相关信息也可以用作专属客户端的身份认证。

所述用户侧密钥也可以直接用作数字签名以及签名认证过程中所需的密钥，但作为优选，所述用户侧密钥作为密钥种子，所述量子密钥卡以及量子网络服务站存储有相应的密钥生成算法，分别用于生成数字签名以及签名认证过程中所需的密钥。

所述量子密钥卡以及量子网络服务站存储有相应的数字签名算法，分别用于数字签名以及签名认证。量子密钥卡中的密钥种子可以来自不同的量子网络服务站，但密钥生成算法、数字签名算法以及有可能采用的加密算法存储于量子密钥卡以及各量子网络服务站中。

当密钥生成算法和数字签名算法有多种时，客户端与量子网络服务站通信时，可通过算法标号或索引等形式，指定相同的算法。

量子密钥卡中的密钥种子既可以在颁发量子密钥卡的量子网络服务站下载，也可以在其它量子网络服务站下载，为了识别不同来源，所述量子密钥卡中存有标识密钥种子来源的密钥种子ID，用以指向存储该密钥种子的量子网络服务站，亦可以在该量子网络服务站内定位密钥种子存储地址。量子网络服务站将用户侧密钥写入量子密钥卡的同时，也存储在本服务站中供调用。

为了提高安全性，下载密钥种子时并不需要通过某客户端进行，而是量子密钥卡与生成真随机数在量子网络服务站直接建立通信连接。仅在数字签名、签名认证、加解密或其他具体业务时，量子密钥卡需通过客户端与量子网络服务站通信连接。

所述量子密钥卡中的密钥种子按照来源不同分为若干密钥种子集，同一密钥种子集的密钥种子来自同一量子网络服务站，不同的密钥种子集带有不同的密钥种子ID。

由于量子密钥卡与网络侧的用户侧密钥相应的，因此用户侧密钥在使用时，量子密钥卡与密钥种子ID指向量子网络服务站之间的密钥种子需时时同步，密钥种子同步时：

可选的，量子密钥卡和量子网络服务站以相同的算法选取密钥种子进行数字签名以及签名认证。

可选的，量子密钥卡将用于数字签名的密钥种子的标号信息发送至量子网络服务站，以签名认证时选取相应的密钥种子。

为了提高安全性，本发明密钥种子是可更新的，密钥种子更新时：

可选的，客户端发送更新申请给量子密钥卡并通知量子网络服务站，量子密钥卡接收更新申请并按预定规则更新密钥种子，量子网络服务站同步更新相应的密钥种子。

可选的，统计密钥种子的使用次数，当使用次数到达阈值时量子密钥卡与对应的量子网络服务站同步更新相应的密钥种子。

使用次数阈值预先设定好，同时存储在量子网络服务站与量子密钥卡中，使两者得以统计并同步。

可选的，量子密钥卡统计未被使用的密钥种子数量，达到临界值时进行提示，客户依需求在量子网络服务站下载新的用户侧密钥。

密钥种子更新时，是在量子密钥卡与密钥种子ID所指向的量子网络服务站之间进行。当然，若是下载新的密钥种子，则对量子网络服务站没有严格限制。

本发明数字签名系统可在局域网内实施，网络侧的量子网络服务站包括：

量子服务中心，用于通过经典网络与用户侧的各客户端通信连接；

量子随机数发生器，生成所述真随机数；

用户侧密钥管理服务器，与量子服务中心通信连接，用于根据用户请求将来自量子随机数发生器的真随机数分别存储至相应的量子密钥卡以及本量子网络服务站内，作为相应的用户侧密钥。

多个量子网络服务站构成广域网时，本发明数字签名系统可在广域网内实施，在网络侧，相连接的两量子网络服务站均设有对应的量子密钥控制中心，量子密钥控制中心与所在量子网络服务站的量子服务中心通信连接，对应的两个量子密钥控制中心通过量子网络进行密钥分发，用以在相连接的两量子网络服务站之间形成站间量子密钥。

本发明中，量子服务中心以及量子密钥控制中心可以利用现有构架以及与量子技术相结合，例如量子密钥控制中心设有实施QKD的量子密钥分发设备；量子服务中心包括数字签名服务器、签名认证服务器以及加解密服务器分别用于完成相应的业务。

所述用户侧密钥管理服务器将来自量子随机数发生器的真随机数分别存储至相应的量子密钥卡以及本量子网络服务站内作为用户侧密钥，而在量子网络服务站内，该用户侧密钥可存储在用户侧密钥管理服务器和/或量子服务中心中，所述用户侧密钥管理服务器与量子服务中心通信连接，以响应对用户侧密钥的调用。

可选的，与认证客户端通信的当前量子网络服务站和签名客户端匹配的量子密钥卡之间存储有相应的用户侧密钥，在进行签名认证时，在站内直接调用该用户侧密钥，利用该用户侧密钥完成签名认证。

可选的，与认证客户端通信的当前量子网络服务站和认证客户端匹配的量子密钥卡之间存储有相应的用户侧密钥，在发送签名认证结果时，在站内直接调用该用户侧密钥对签名认证结果加密，以生成密文形式的签名认证结果。

可选的，与认证客户端通信的当前量子网络服务站和认证客户端匹配的量子密钥卡之间没有相应的用户侧密钥，在发送签名认证结果时，在网络侧的其他量子网络服务站请求该用户侧密钥，对签名认证结果加密，以生成密文形式的签名认证结果。当前量子网络服务站从认证客户端接收到的签名文件中，带有签名算法所用密钥种子的密钥种子ID，当前量子网络服务站根据该密钥种子ID，向指向的量子网络服务站请求相应的用户侧密钥。

可选的，与认证客户端通信的当前量子网络服务站和签名客户端匹配的量子密钥卡之间没有相应的用户侧密钥，在进行签名认证时，将签名文件发送至存储有相应用户侧密钥的其他量子网络服务站，请求进行签名认证以及返回认证结果。

当前量子网络服务站从认证客户端接收到的签名文件中，带有签名算法所用密钥种子的密钥种子ID，当前量子网络服务站根据该密钥种子ID，向指向的量子网络服务站请求签名认证以及返回认证结果。

可选的，与认证客户端通信的当前量子网络服务站和签名客户端匹配的量子密钥卡之间没有相应的用户侧密钥，在进行签名认证时，在网络侧的其他量子网络服务站请求该用户侧密钥以完成签名认证

当前量子网络服务站从认证客户端接收到的签名文件中，带有签名算法所用密钥种子的密钥种子ID，当前量子网络服务站根据该密钥种子ID，向指向的量子网络服务站请求相应的用户侧密钥。

用户侧密钥在密钥种子ID指向的量子网络服务站与当前量子网络服务站之间传送时，可以利用站间量子密钥对用户侧密钥本身进行加、解密传送。

密钥种子ID指向的量子网络服务站与当前量子网络服务站之间如果还要通过其他网络节点中转，则所述的站间量子密钥应理解为在直接通信连接的两量子网络服务站(或网络节点)之间通过相应的量子密钥分发设备形成的站间量子密钥，而并非特指密钥种子ID指向的量子网络服务站与当前量子网络服务站之间的站间量子密钥。

同理，当前量子网络服务站向密钥种子ID指向的量子网络服务站请求签名认证以及返回认证结果时，也是利用站间量子密钥进行站间的数据传输。

本发明还提供一种数字签名方法，应用于本发明所述的数字签名系统。消息认证方法中的具体方案可参照消息认证系统中的有关叙述。

本发明数字签名方法：

数字签名时，签名客户端向所属量子网络服务站提出签名申请，从所属量子网络服务站获取随机数和签名时间，并连同待签名文件发送至对应的量子密钥卡；量子密钥卡根据密钥种子和随机数生成签名用的密钥对待签名文件进行签名处理得到签名文件，再将签名文件发送至认证客户端。

签名认证时，认证客户端将签名文件发送给所属量子网络服务站进行解析和签名认证；签名认证成功后以密文形式通知认证客户端。

本发明还提供一种基于量子密钥卡实施的数字签名方法，包括：

步骤1，响应签名客户端的签名请求，利用随机数和用户侧密钥生成密钥；

步骤2，利用所述密钥对来自签名客户端的待签名文件进行签名得到签名文件；

所述随机数来自与签名客户端通信的当前量子网络服务站，所述用户侧密钥作为密钥种子存储于量子密钥卡，且下载自网络侧，用以实施数字签名以及相应签名认证。

本发明还提供一种用于数字签名的量子密钥卡，包括：

模块1，用于响应签名客户端的签名请求，利用随机数和密钥种子生成密钥；

模块2，用于利用所述密钥对来自签名客户端的待签名文件进行签名得到签名文件；；

所述随机数来自与签名客户端通信的当前量子网络服务站，所述用户侧密钥作为密钥种子存储于量子密钥卡，且下载自网络侧，用以实施数字签名以及相应签名认证。

完成签名后，将签名文件返回给签名客户端，再经由经典网络发送至指定认证客户端。

本发明量子密钥卡的颁发方式，使用方法以及密钥种子的同步或更新均可以依本发明的方案实施。

本发明将用户侧密钥分别储存在量子密钥卡与量子网络服务站中，解决量子网络终端的接入使用与安全问题，另外所述密钥种子可以根据需要主动更新，或由系统提示被动更新，进一步降低被破解的风险。

附图说明

图1为数字签名流程图；

图2为签名认证的流程图；

图3为实施例2应用场景的量子网络示意图。

具体实施方式

实施例1

本实施例的数字签名系统包括依次配置的一级交换中心、二级交换中心和量子网络服务站。

其中，一级交换中心可指一个地级市或者相当大小区域的量子网络核心站，通过优选为星型拓扑网络和所述二级交换中心相连接。其中，一级交换中心可以和多个二级交换中心分别利用量子密钥分发设备实现站间量子密钥的分发和共享，其中密钥分发设备可以使用一套或者多套集成。

其中，二级交换中心可指一个县级市或者乡镇大小区域的量子网络核心站，通过优选为星型拓扑网络和量子网络服务站相连接。其中，二级交换中心可以和多个量子网络服务站分别利用量子密钥分发设备实现站间量子密钥的分发和共享，其中量子密钥分发设备可以使用一套或者多套集成。

其中，量子网络服务站是指一个居民社区或者相当大小区域的量子网络站。

量子网络服务站包括：

量子服务中心，主要用于通过经典网络与用户侧的各客户端通信连接以及与其他量子网络服务站通信连接；经典网络包括但不限于电信网、互联网、广播电视网或者其他通信网络等。

量子密钥分发设备，主要用于通过QKD方式实现站间量子密钥的共享。

量子随机数发生器，用于接收用户侧密钥管理服务器提出的申请密钥请求，生成用户侧密钥，并发送给用户侧密钥管理服务器；此处采用的为真随机数。其可以为基于电路的真随机数发生器、基于物理源的真随机数发生器以及其他种类的真随机发生器。

用户侧密钥管理服务器，存放、管理从量子随机数发生器生成的真随机数，可以接入可移动式的量子密钥卡，实现的发卡、登记、拷贝用户侧密钥，还可以接收量子服务中心提出的申请密钥请求，发送相应长度的用户侧密钥给量子服务中心。

其中量子服务中心包括：数字签名服务器、签名验证服务器和加解密服务器，可根据需要设置其他服务器。

加解密服务器根据需求从量子密钥管理服务器或用户侧密钥管理服务器获取密钥，将从客户端传输过来的加密信息解密，或把需要传输给客户端的数据加密。

客户端与量子网络服务站通信时匹配有的量子密钥卡，可以实现与量子网络服务站的身份认证，还可以利用由量子网络服务站提供的用户侧密钥作为密钥种子不断生成新的密钥。

各量子网络服务站下配置有客户端，例如图中的客户端A1～客户端An，以及客户端B1～客户端Bn。本实施例中不同的服务器或其他装置在硬件上也可以根据需要进行整合。

签名客户端，将待签名的文件发送给相匹配(通过匹配的接口建立通信连接)的量子密钥卡并经由该量子密钥卡利用用户侧密钥进行数字签名后获取相应的签名文件，再将获取的签名文件发送给相应的认证客户端。

认证客户端，将接收到的签名文件转发至当前量子网络服务站，并经由当前量子网络服务站利用相应于签名客户端的用户侧密钥进行签名认证以获取认证结果。

当前量子网络服务站将利用相对于认证客户端的用户侧密钥加密的认证结果后返回给认证客户端，即认证客户端接收到的认证结果为相应的密文，认证客户端需要相匹配的量子密钥卡采用相应的用户侧密钥解密后才得到明文的认证结果。

本实施例中认证客户端和签名客户端之间、以及认证客户端和当前量子网络服务站之间、签名客户端与当前量子网络服务站的数据交互均通过经典网络进行。

认证客户端和签名客户端为接入量子网络的设备，可为移动终端，或为固定终端。当为移动终端时，量子密钥卡优选为量子SD卡；当为固定终端时，量子密钥卡优选为USBkey。

当客户前往所在区域的量子网络服务站进行注册登记，获批后得到量子密钥卡(具有唯一的量子密钥卡ID)。量子密钥卡存储了客户注册登记信息，还内置有密钥生成算法以及数字签名算法，数字签名算法包括对称密钥算法、数字摘要算法、或其他与进行数字签名的相关算法。

网络侧的各个量子网络服务站也相应的存有密钥生成算法以及数字签名算法，若各算法存在两种以上，量子密钥卡在与量子网络服务站通行时会将算法标号发送给量子网络服务站，供量子网络服务站选取。

量子密钥卡中的用户侧密钥可能下载自不同的量子网络服务站，因此可按不同来源存在不同的密钥种子集中，客户端可按预先设定的规则取用密钥种子以生成密钥。不同的密钥种子集具有唯一的密钥种子ID，其指向的量子网络服务站中存储有相应的密钥种子。

本实施例提供的数字签名方法包括两个部分，一部分为对文件进行数字签名，另一部分为签名认证。结合图3，客户端A1作为签名客户端，归属于量子网络服务站A，在进行数字签名业务前需经过身份认证；客户端B1作为认证客户端，归属于量子网络服务站B，同理在进行签名认证业务前也需经过身份认证。

数字签名包括：

步骤1.签名申请：签名方客户将所属的量子密钥卡插入签名客户端中，签名客户端发送数字签名申请至量子网络服务站A中。

步骤2.签名密钥生成：量子网络服务站A的数字签名服务器发送随机数R和签名时间ST给签名客户端，签名客户端将随机数和签名时间ST转入签名客户端相匹配的量子密钥卡中，量子密钥卡选取密钥种子和密钥生成算法AS，量子密钥卡根据选取的密钥种子和接收到的随机数R利用选取的密钥生成算法AS生成密钥K。

步骤3.签名生成：量子密钥卡将文件原文F0进行数字摘要算法AH形成原文的数字指纹FP，并使用密钥K对数字指纹FP和文件原文FO分别进行对称加密算法AC加密形成数字签名SG和密文FC。其中数字摘要算法AH和对称加密算法AC均可使用现有算法。

步骤4.签名文件生成：量子密钥卡将数字签名SG、随机数R、密钥种子ID、签名时间ST和密文FC组合在一起形成签名文件FS。

步骤5.签名文件发送：量子密钥卡将签名文件FS发送给签名客户端，再通过经典网络发送至认证客户端。

签名认证包括(以下步骤若无特殊说明，“量子密钥卡”均指认证方客户所属的量子密钥卡)：

步骤1.解析签名文件：认证客户端将签名文件FS和与认证客户端相匹配的量子密钥卡内将要使用的密钥种子ID以及签名算法标号(以下步骤若无特殊说明，“量子密钥卡”均指认证方客户所属的量子密钥卡)发送给与当前认证客户端通信连接的量子网络服务站的签名认证服务器，签名认证服务器从签名文件FS中解析出数字签名SG、随机数R、签名时间ST、密钥种子ID和密文FC。

步骤2.服务器搜寻解密信息以及密钥生成：

若密钥种子ID指向量子网络服务站B，则站内调取相应的密钥种子，根据签名时间ST确定相应的密钥生成算法AS’、数字摘要算法AH’和对称密钥算法AC’，本实施例中可将签名时间ST视为算法标号，用以在多种算法中确定数字签名时采用的那一种。量子网络服务站B根据密钥种子、随机数R以及密钥生成算法AS’通过运算得到密钥K’。

若密钥种子ID没有指向量子网络服务站B，而指向其他量子网络服务站，量子网络服务站B则向密钥种子ID指向的量子网络服务站发送请求，请求中至少包含密钥种子ID。

密钥种子ID指向的量子网络服务站根据接收到的密钥种子ID在站内找到相应的密钥种子，利用站间量子密钥以密文方式将密钥种子发送至量子网络服务站B。

步骤3.服务器认证签名信息：量子网络服务站B的签名认证服务器获得密钥种子，提取密钥生成算法AS’结合随机数R通过运算得到密钥K’，使用密钥K’对解密到的数字签名SG和密文FC运用对称加密算法AC’进行解密，得到数字指纹FP和文件原文FO。然后对文件原文FO利用数字摘要算法AH’进行数字摘要运算形成数字指纹FP’。将数字指纹FP和数字指纹FP’进行比较，如果相等，则签名认证成功。

否则签名认证失败，该签名认证服务器向提出签名认证申请的认证客户端发送签名认证失败信息。

签名认证成功的含义是：该文件未被篡改；该文件确实来自该签名客户端。由于合法客户端的对称加密算法及数字摘要算法与合法签名认证服务器的相同，即对称加密算法AC’与对称加密算法AC一致，数字摘要算法AH’与数字摘要算法AH一致。

步骤4.服务器加密签名信息：如果签名认证成功，签名认证服务器生成随机数Q和签名认证时间QT。

量子网络服务站B与认证方客户端匹配的量子密钥卡中存有相应的用户侧密钥，签名认证服务器根据量子密钥卡的密钥种子ID在站内获取相应的用户侧密钥作为密钥种子，利用密钥生成算法QS结合随机数Q运算得到密钥M。

量子网络服务站B与认证方客户端匹配的量子密钥卡中没有存储相应的用户侧密钥，量子网络服务站B根据量子密钥卡中的密钥种子ID，向密钥种子ID指向的量子网络服务站发送请求，请求中至少包含密钥种子ID。

密钥种子ID指向的量子网络服务站根据接收到的密钥种子ID在站内找到相应的密钥种子，利用站间量子密钥以密文方式将密钥种子发送至量子网络服务站B。

量子网络服务站B接收密钥种子，提取密钥生成算法QS结合随机数Q通过运算得到密钥M。

量子网络服务站B的签名认证服务器使用密钥M对步骤1解析得到的数字签名SG、随机数R、签名时间ST、量子密钥卡ID和步骤3解密得到的文件原文FO进行对称加密算法QC加密后形成密文FW。

步骤5.服务器发送签名信息：签名认证服务器发送签名认证成功消息、随机数Q、签名认证时间QT和密文FW给认证客户端。

步骤6.解码密文：认证客户端接收来自签名认证服务器发送的签名认证成功消息、签名认证时间QT、随机数Q和密文FW。

将随机数Q、签名认证时间QT和密文FW导入量子密钥卡，量子密钥卡根据签名认证时间QT选取到密钥生成算法QS’和对称加密算法QC’。

将卡内的密钥种子和接收的随机数Q用密钥生成算法QS’运算生成密钥M’，并用密钥M’及选取的对称加密算法QC’解密密文FW得到相应的数字签名信息。

密钥种子长期使用或重复使用会有被破解的可能性，为提高本消息认证系统的安全性，密钥种子需要定时更新。

本实施例中的更新方式为：

客户端与匹配的量子密钥卡建立通信连接后，客户端通过上层应用程序向量子密钥卡发送更新申请，该更新申请同时也发送至量子服务中心。

密钥存储卡接收更新申请后，按预先设定的规则更新密钥种子，例如将一部分使用过的密钥种子做失效标识，不再使用，而启用新的密钥种子。

量子服务中心接收更新申请后，按预先与量子密钥卡协商一致的规则更新量子网络服务站内相应存储的密钥种子，实现与量子密钥卡的时时对应。

实施例2

与实施例1相同，所不同的是，若密钥种子ID没有指向量子网络服务站B，而指向其他量子网络服务站，认证客户端B1经由量子网络服务站B将接收到的签名文件发送给密钥种子ID指向的量子网络服务站，并由该指向的量子网络服务站进行签名认证，得到认证结果经由量子网络服务站B发送给认证客户端B1。

认证客户端B1经由量子网络服务站B将接收到的签名文件发送给密钥种子ID指向的量子网络服务站的传输路径中可能还会包括除了量子网络服务站B以外的其他量子网络服务站，该传输路径具体根据网络侧各个量子网络服务站的连接关系确定。

进一步，密钥种子ID指向的量子网络服务站将得到认证结果发送给认证客户端B1时的传输路径中，在签名时使用的密钥种子ID指向的量子网络服务站和量子网络服务站B之间还必须经过与认证客户端B1相匹配的量子秘钥卡具有相同密钥种子集的量子网络服务站，具体根据网络侧各个量子网络服务站的连接关系确定。且认证结果以密文形式传输，传输过程中，利用该传输路径中任意相临两个量子网络服务站的站间量子密钥以密文方式将认证结果发送至与认证客户端B1相匹配的量子秘钥卡具有相同密钥种子集的量子网络服务站，然后该量子网络服务站将解密得到的认证结果采用该相同密钥种子集中的密钥种子加密后发送给认证客户端B1。