1.一种数字签名系统,包括配置于网络侧的量子网络服务站以及配置于用户侧的签名客户端和认证客户端,其特征在于,还设有量子密钥卡,网络侧生成真随机数在量子密钥卡与网络侧分别存储以形成相应的用户侧密钥;签名客户端匹配的量子密钥卡利用存储的用户侧密钥生成签名文件并经签名客户端发送至认证客户端,认证客户端将接收到的签名文件发送至当前量子网络服务站,在网络侧获取相应的用户侧密钥对所述签名文件进行签名认证,再将签名认证结果发送至认证客户端。
2.如权利要求1所述的数字签名系统,其特征在于,所述真随机数由网络侧的量子网络服务站生成,且在所述量子密钥卡和该量子网络服务站分别存储以形成相应的用户侧密钥。
3.如权利要求2所述的数字签名系统,其特征在于,所述签名客户端以及认证客户端均具有与量子密钥卡相配合的数据传输接口。
4.如权利要求2所述的数字签名系统,其特征在于,所述当前量子网络服务站以密文方式将签名认证结果发送至认证客户端,当前量子网络服务站与认证客户端匹配的量子密钥卡通过相应的用户侧密钥对进行密文的加、解密。
5.如权利要求2所述的数字签名系统,其特征在于,所述量子密钥卡在相应的量子网络服务站经登记审核获批后颁发,具有唯一的量子密钥卡ID,指向颁发该量子密钥卡的量子网络服务站。
6.如权利要求2所述的数字签名系统,其特征在于,所述用户侧密钥作为密钥种子,所述量子密钥卡以及量子网络服务站存储有相应的密钥生成算法,分别用于生成数字签名以及签名认证过程中所需的密钥。
7.如权利要求6所述的数字签名系统,其特征在于,所述量子密钥卡中存有标识密钥种子来源的密钥种子ID,用以指向存储该密钥种子的量子网络服务站,量子网络服务站将用户侧密钥写入量子密钥卡的同时,也存储在本服务站中供调用。
8.如权利要求7所述的数字签名系统,其特征在于,密钥种子是可更新的,密钥种子更新时:
客户端发送更新申请给量子密钥卡并通知量子网络服务站,量子密钥卡接收更新申请并按预定规则更新密钥种子,量子网络服务站同步更新相应的密钥种子;
或统计密钥种子的使用次数,当使用次数到达阈值时量子密钥卡与对应的量子网络服务站同步更新相应的密钥种子;
或量子密钥卡统计未被使用的密钥种子数量,达到临界值时进行提示,客户依需求在量子网络服务站下载新的用户侧密钥。
9.如权利要求2所述的数字签名系统,其特征在于,网络侧的量子网络服务站包括:
量子服务中心,用于通过经典网络与用户侧的客户端通信连接;
量子随机数发生器,生成所述真随机数;
用户侧密钥管理服务器,与量子服务中心通信连接,用于根据用户请求将来自量子随机数发生器的真随机数分别存储至相应的量子密钥卡以及本量子网络服务站内,作为相应的用户侧密钥。
10.如权利要求9所述的数字签名系统,其特征在于,在网络侧,相连接的两量子网络服务站均设有对应的量子密钥控制中心,量子密钥控制中心与所在量子网络服务站的量子服务中心通信连接,对应的两个量子密钥控制中心通过量子网络进行密钥分发,用以在相连接的两量子网络服务站之间形成站间量子密钥。
11.如权利要求9或10所述的数字签名系统,其特征在于,与认证客户端通信的当前量子网络服务站和签名客户端匹配的量子密钥卡之间存储有相应的用户侧密钥,在进行签名认证时,在站内直接调用该用户侧密钥,利用该用户侧密钥完成签名认证。
12.如权利要求9或10所述的数字签名系统,其特征在于,与认证客户端通信的当前量子网络服务站和认证客户端匹配的量子密钥卡之间存储有相应的用户侧密钥,在发送签名认证结果时,在站内直接调用该用户侧密钥对签名认证结果加密,以生成密文形式的签名认证结果。
13.如权利要求10所述的数字签名系统,其特征在于,与认证客户端通信的当前量子网络服务站和认证客户端匹配的量子密钥卡之间没有相应的用户侧密钥,在发送签名认证结果时,在网络侧的其他量子网络服务站请求该用户侧密钥,对签名认证结果加密,以生成密文形式的签名认证结果。
14.如权利要求10所述的数字签名系统,其特征在于,与认证客户端通信的当前量子网络服务站和签名客户端匹配的量子密钥卡之间没有相应的用户侧密钥,在进行签名认证时,将签名文件发送至存储有相应用户侧密钥的其他量子网络服务站,请求进行签名认证以及返回认证结果。
15.如权利要求10所述的数字签名系统,其特征在于,与认证客户端通信的当前量子网络服务站和签名客户端匹配的量子密钥卡之间没有相应的用户侧密钥,在进行签名认证时,在网络侧的其他量子网络服务站请求该用户侧密钥以完成签名认证。
16.一种数字签名方法,其特征在于,应用于如权利要求1~15任一项所述的数字签名系统。
17.如权利要求16所述的数字签名方法,其特征在于,数字签名时,签名客户端向所属量子网络服务站提出签名申请,从所属量子网络服务站获取随机数和签名时间,并连同待签名文件发送至对应的量子密钥卡;量子密钥卡根据密钥种子和随机数生成签名用的密钥对待签名文件进行签名处理得到签名文件,再将签名文件发送至认证客户端;
签名认证时,认证客户端将签名文件发送给所属量子网络服务站进行解析和签名认证;签名认证成功后以密文形式通知认证客户端。
18.一种基于量子密钥卡实施的数字签名方法,包括:
步骤1,响应签名客户端的签名请求,利用随机数和用户侧密钥生成密钥;
步骤2,利用所述密钥对来自签名客户端的待签名文件进行签名得到签名文件;
所述随机数来自与签名客户端通信的当前量子网络服务站,所述用户侧密钥作为密钥种子存储于量子密钥卡,且下载自网络侧,用以实施数字签名以及相应签名认证。
19.一种用于数字签名的量子密钥卡,包括:
模块1,用于响应签名客户端的签名请求,利用随机数和密钥种子生成密钥;
模块2,用于利用所述密钥对来自签名客户端的待签名文件进行签名得到签名文件;
所述随机数来自与签名客户端通信的当前量子网络服务站,所述用户侧密钥作为密钥种子存储于量子密钥卡,且下载自网络侧,用以实施数字签名以及相应签名认证。