陳杰

密碼是保障信息安全的重要手段，各方目前都在努力尋找和建立絕對(duì)安全的密碼體系。其中，量子密碼以安全性和管理方面的獨(dú)特優(yōu)勢(shì)，獲得各方青睞

當(dāng)前，隨著新一代信息技術(shù)的高速發(fā)展，互聯(lián)網(wǎng)為我們帶來(lái)便捷和海量的服務(wù)。但與此同時(shí)，信息安全問(wèn)題也逐漸受到國(guó)家和社會(huì)的廣泛關(guān)注。密碼是保障信息安全的重要手段，各方目前都在努力尋找和建立絕對(duì)安全的密碼體系。其中，量子密碼以安全性和管理方面的獨(dú)特優(yōu)勢(shì)，獲得各方青睞。

量子加密是應(yīng)對(duì)信息安全問(wèn)題的必然需求

密碼技術(shù)作為網(wǎng)絡(luò)與信息安全保障的核心技術(shù)和基礎(chǔ)支撐，在身份認(rèn)證、信息加密、安全隔離、完整性保護(hù)和操作抗抵賴等方面發(fā)揮著不可替代的作用。但現(xiàn)有密碼的生成基礎(chǔ)是基于產(chǎn)生的偽隨機(jī)數(shù)，容易導(dǎo)致所生成的密碼在一定程度上有安全隱患。

隨著各類信息技術(shù)的快速發(fā)展，近年來(lái)信息安全問(wèn)題頻發(fā)并呈現(xiàn)出愈加復(fù)雜的趨勢(shì)。為貫徹落實(shí)《中華人民共和國(guó)密碼法》中關(guān)于信息系統(tǒng)密碼應(yīng)用的要求，結(jié)合《國(guó)家電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)》，利用量子加密技術(shù)，設(shè)計(jì)量子密碼應(yīng)用平臺(tái)成為保障信息安全的必然需求。

量子加密技術(shù)原理及應(yīng)用平臺(tái)

量子加密是一種基于量子力學(xué)的加密方法，其基本原理是利用量子特性，將信息加密并發(fā)送給接收者，并保障信息在傳輸過(guò)程中不被竊取或篡改。

量子密鑰分發(fā)也稱量子密碼，是量子加密技術(shù)的基礎(chǔ)。量子密鑰分發(fā)借助量子疊加態(tài)的傳輸測(cè)量實(shí)現(xiàn)通信雙方安全的量子密鑰共享，利用量子力學(xué)特性來(lái)保證通信安全性，再通過(guò)一次一密的對(duì)稱加密體制，實(shí)現(xiàn)無(wú)條件絕對(duì)安全的保密通信。

量子密碼的應(yīng)用平臺(tái)安全設(shè)備由密碼管理系統(tǒng)、密碼機(jī)、量子隨機(jī)數(shù)發(fā)生器三部分組成。

當(dāng)利用量子技術(shù)進(jìn)行加密工作時(shí)，外部所述的應(yīng)用平臺(tái)通過(guò)網(wǎng)絡(luò)連通密碼管理系統(tǒng)，并向密碼機(jī)發(fā)送請(qǐng)求。當(dāng)發(fā)送內(nèi)容為發(fā)生隨機(jī)數(shù)、密鑰生成、數(shù)字信封編碼中的任一一種后，接收該請(qǐng)求內(nèi)容的密碼機(jī)會(huì)向量子隨機(jī)數(shù)發(fā)生器發(fā)送產(chǎn)生量子隨機(jī)數(shù)的請(qǐng)求；接收到請(qǐng)求后，量子隨機(jī)數(shù)發(fā)生器會(huì)產(chǎn)生量子隨機(jī)數(shù)發(fā)送給密碼機(jī)，隨后，密碼機(jī)基于所接收的請(qǐng)求內(nèi)容，向密碼管理系統(tǒng)發(fā)送相應(yīng)的內(nèi)容。

安全密鑰管理平臺(tái)相關(guān)部署

密碼管理系統(tǒng)部署

密碼管理系統(tǒng)作為集群設(shè)置，至少包括兩個(gè)集群節(jié)點(diǎn)，工作時(shí)所有集群節(jié)點(diǎn)間網(wǎng)絡(luò)連通。每個(gè)集群節(jié)點(diǎn)都設(shè)置有數(shù)據(jù)庫(kù)、密碼管理工具、系統(tǒng)密碼服務(wù)工具。多個(gè)集群節(jié)點(diǎn)的設(shè)置，提高了該密碼管理系統(tǒng)的效率，在并發(fā)數(shù)、支持在線用戶數(shù)、密鑰存儲(chǔ)數(shù)量、接口響應(yīng)速度和網(wǎng)絡(luò)延時(shí)上都有不同層次的提高。密碼管理系統(tǒng)可實(shí)現(xiàn)多機(jī)熱備，以提高本設(shè)備的安全性、穩(wěn)定性。

數(shù)據(jù)加密安全部署

應(yīng)用系統(tǒng)將收到的原始數(shù)據(jù)上傳到云服務(wù)器密碼機(jī)，云服務(wù)器密碼機(jī)根據(jù)應(yīng)用標(biāo)識(shí)和分配的加密密鑰將原始數(shù)據(jù)使用對(duì)稱加密算法加密后返回給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)再將加密后的數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)返回存儲(chǔ)結(jié)果給應(yīng)用系統(tǒng)。

數(shù)據(jù)完整保護(hù)安全部署

如圖4所示，應(yīng)用服務(wù)器1向應(yīng)用服務(wù)器2公布摘要算法；雙方按照約定構(gòu)造密鑰，擁有相同的密鑰；服務(wù)器1使用密鑰對(duì)消息做摘要處理，然后將消息和生成的摘要消息一同發(fā)送給服務(wù)器2；服務(wù)器2收到消息后，使用服務(wù)器1已經(jīng)公布的摘要算法以及約定好的密鑰對(duì)收到的消息進(jìn)行摘要處理，然后比對(duì)自己的摘要消息和服務(wù)器1發(fā)過(guò)來(lái)的摘要消息，甄別消息是否是服務(wù)器1發(fā)送過(guò)來(lái)的。

認(rèn)證服務(wù)系統(tǒng)安全部署

調(diào)用認(rèn)證服務(wù)平臺(tái)接口，將待簽名數(shù)據(jù)和DN發(fā)給認(rèn)證服務(wù)平臺(tái)；認(rèn)證平臺(tái)驗(yàn)證應(yīng)用系統(tǒng)身份，確認(rèn)應(yīng)用系統(tǒng)身份是否具備訪問(wèn)簽名驗(yàn)簽服務(wù)器的權(quán)限；驗(yàn)證通過(guò)后，認(rèn)證服務(wù)平臺(tái)根據(jù)應(yīng)用系統(tǒng)的要求，把數(shù)據(jù)發(fā)給簽名驗(yàn)簽服務(wù)器，對(duì)待簽名數(shù)據(jù)做數(shù)字簽名，并將簽名后的結(jié)果透?jìng)鞣祷亟o應(yīng)用系統(tǒng)并存入數(shù)據(jù)庫(kù)。

時(shí)間戳請(qǐng)求業(yè)務(wù)安全部署

應(yīng)用系統(tǒng)服務(wù)端集成認(rèn)證平臺(tái)SDK。根據(jù)接口形式，調(diào)用對(duì)應(yīng)的時(shí)間戳接口；認(rèn)證平臺(tái)驗(yàn)證應(yīng)用系統(tǒng)身份，確認(rèn)應(yīng)用系統(tǒng)身份是否具備訪問(wèn)時(shí)間戳服務(wù)器的權(quán)限；驗(yàn)證通過(guò)后，認(rèn)證服務(wù)平臺(tái)根據(jù)應(yīng)用系統(tǒng)的要求，根據(jù)上傳數(shù)據(jù)，把生成時(shí)間戳的參數(shù)發(fā)給時(shí)間戳機(jī)器；時(shí)間戳服務(wù)器同步校對(duì)標(biāo)準(zhǔn)時(shí)間，利用CA機(jī)構(gòu)簽發(fā)的時(shí)間戳服務(wù)器證書(shū)對(duì)應(yīng)的私鑰對(duì)數(shù)字摘要和準(zhǔn)確時(shí)間進(jìn)行簽名，產(chǎn)生時(shí)間戳。時(shí)間戳數(shù)據(jù)回傳給應(yīng)用系統(tǒng)，時(shí)間戳和原文綁定在一起成為證明某個(gè)時(shí)間的有效證據(jù)。

未來(lái)，基于量子加密技術(shù)，并結(jié)合密鑰管理方案，建設(shè)一套量子加密安全應(yīng)用平臺(tái)，保證量子密鑰在通訊系統(tǒng)中的安全使用與有效監(jiān)管，將成為保障信息系統(tǒng)的安全和可靠性的重要手段，值得進(jìn)一步復(fù)制、升級(jí)并廣為推廣。

（作者單位：浙江神州量子通信技術(shù)有限公司）