陳杰

密碼是保障信息安全的重要手段，各方目前都在努力尋找和建立絕對安全的密碼體系。其中，量子密碼以安全性和管理方面的獨特優(yōu)勢，獲得各方青睞

當(dāng)前，隨著新一代信息技術(shù)的高速發(fā)展，互聯(lián)網(wǎng)為我們帶來便捷和海量的服務(wù)。但與此同時，信息安全問題也逐漸受到國家和社會的廣泛關(guān)注。密碼是保障信息安全的重要手段，各方目前都在努力尋找和建立絕對安全的密碼體系。其中，量子密碼以安全性和管理方面的獨特優(yōu)勢，獲得各方青睞。

量子加密是應(yīng)對信息安全問題的必然需求

密碼技術(shù)作為網(wǎng)絡(luò)與信息安全保障的核心技術(shù)和基礎(chǔ)支撐，在身份認(rèn)證、信息加密、安全隔離、完整性保護(hù)和操作抗抵賴等方面發(fā)揮著不可替代的作用。但現(xiàn)有密碼的生成基礎(chǔ)是基于產(chǎn)生的偽隨機(jī)數(shù)，容易導(dǎo)致所生成的密碼在一定程度上有安全隱患。

隨著各類信息技術(shù)的快速發(fā)展，近年來信息安全問題頻發(fā)并呈現(xiàn)出愈加復(fù)雜的趨勢。為貫徹落實《中華人民共和國密碼法》中關(guān)于信息系統(tǒng)密碼應(yīng)用的要求，結(jié)合《國家電子政務(wù)建設(shè)指導(dǎo)意見》，利用量子加密技術(shù)，設(shè)計量子密碼應(yīng)用平臺成為保障信息安全的必然需求。

量子加密技術(shù)原理及應(yīng)用平臺

量子加密是一種基于量子力學(xué)的加密方法，其基本原理是利用量子特性，將信息加密并發(fā)送給接收者，并保障信息在傳輸過程中不被竊取或篡改。

量子密鑰分發(fā)也稱量子密碼，是量子加密技術(shù)的基礎(chǔ)。量子密鑰分發(fā)借助量子疊加態(tài)的傳輸測量實現(xiàn)通信雙方安全的量子密鑰共享，利用量子力學(xué)特性來保證通信安全性，再通過一次一密的對稱加密體制，實現(xiàn)無條件絕對安全的保密通信。

量子密碼的應(yīng)用平臺安全設(shè)備由密碼管理系統(tǒng)、密碼機(jī)、量子隨機(jī)數(shù)發(fā)生器三部分組成。

當(dāng)利用量子技術(shù)進(jìn)行加密工作時，外部所述的應(yīng)用平臺通過網(wǎng)絡(luò)連通密碼管理系統(tǒng)，并向密碼機(jī)發(fā)送請求。當(dāng)發(fā)送內(nèi)容為發(fā)生隨機(jī)數(shù)、密鑰生成、數(shù)字信封編碼中的任一一種后，接收該請求內(nèi)容的密碼機(jī)會向量子隨機(jī)數(shù)發(fā)生器發(fā)送產(chǎn)生量子隨機(jī)數(shù)的請求；接收到請求后，量子隨機(jī)數(shù)發(fā)生器會產(chǎn)生量子隨機(jī)數(shù)發(fā)送給密碼機(jī)，隨后，密碼機(jī)基于所接收的請求內(nèi)容，向密碼管理系統(tǒng)發(fā)送相應(yīng)的內(nèi)容。

安全密鑰管理平臺相關(guān)部署

密碼管理系統(tǒng)部署

密碼管理系統(tǒng)作為集群設(shè)置，至少包括兩個集群節(jié)點，工作時所有集群節(jié)點間網(wǎng)絡(luò)連通。每個集群節(jié)點都設(shè)置有數(shù)據(jù)庫、密碼管理工具、系統(tǒng)密碼服務(wù)工具。多個集群節(jié)點的設(shè)置，提高了該密碼管理系統(tǒng)的效率，在并發(fā)數(shù)、支持在線用戶數(shù)、密鑰存儲數(shù)量、接口響應(yīng)速度和網(wǎng)絡(luò)延時上都有不同層次的提高。密碼管理系統(tǒng)可實現(xiàn)多機(jī)熱備，以提高本設(shè)備的安全性、穩(wěn)定性。

數(shù)據(jù)加密安全部署

應(yīng)用系統(tǒng)將收到的原始數(shù)據(jù)上傳到云服務(wù)器密碼機(jī)，云服務(wù)器密碼機(jī)根據(jù)應(yīng)用標(biāo)識和分配的加密密鑰將原始數(shù)據(jù)使用對稱加密算法加密后返回給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)再將加密后的數(shù)據(jù)存儲到數(shù)據(jù)庫，數(shù)據(jù)庫返回存儲結(jié)果給應(yīng)用系統(tǒng)。

數(shù)據(jù)完整保護(hù)安全部署

如圖4所示，應(yīng)用服務(wù)器1向應(yīng)用服務(wù)器2公布摘要算法；雙方按照約定構(gòu)造密鑰，擁有相同的密鑰；服務(wù)器1使用密鑰對消息做摘要處理，然后將消息和生成的摘要消息一同發(fā)送給服務(wù)器2；服務(wù)器2收到消息后，使用服務(wù)器1已經(jīng)公布的摘要算法以及約定好的密鑰對收到的消息進(jìn)行摘要處理，然后比對自己的摘要消息和服務(wù)器1發(fā)過來的摘要消息，甄別消息是否是服務(wù)器1發(fā)送過來的。

認(rèn)證服務(wù)系統(tǒng)安全部署

調(diào)用認(rèn)證服務(wù)平臺接口，將待簽名數(shù)據(jù)和DN發(fā)給認(rèn)證服務(wù)平臺；認(rèn)證平臺驗證應(yīng)用系統(tǒng)身份，確認(rèn)應(yīng)用系統(tǒng)身份是否具備訪問簽名驗簽服務(wù)器的權(quán)限；驗證通過后，認(rèn)證服務(wù)平臺根據(jù)應(yīng)用系統(tǒng)的要求，把數(shù)據(jù)發(fā)給簽名驗簽服務(wù)器，對待簽名數(shù)據(jù)做數(shù)字簽名，并將簽名后的結(jié)果透傳返回給應(yīng)用系統(tǒng)并存入數(shù)據(jù)庫。

時間戳請求業(yè)務(wù)安全部署

應(yīng)用系統(tǒng)服務(wù)端集成認(rèn)證平臺SDK。根據(jù)接口形式，調(diào)用對應(yīng)的時間戳接口；認(rèn)證平臺驗證應(yīng)用系統(tǒng)身份，確認(rèn)應(yīng)用系統(tǒng)身份是否具備訪問時間戳服務(wù)器的權(quán)限；驗證通過后，認(rèn)證服務(wù)平臺根據(jù)應(yīng)用系統(tǒng)的要求，根據(jù)上傳數(shù)據(jù)，把生成時間戳的參數(shù)發(fā)給時間戳機(jī)器；時間戳服務(wù)器同步校對標(biāo)準(zhǔn)時間，利用CA機(jī)構(gòu)簽發(fā)的時間戳服務(wù)器證書對應(yīng)的私鑰對數(shù)字摘要和準(zhǔn)確時間進(jìn)行簽名，產(chǎn)生時間戳。時間戳數(shù)據(jù)回傳給應(yīng)用系統(tǒng)，時間戳和原文綁定在一起成為證明某個時間的有效證據(jù)。

未來，基于量子加密技術(shù)，并結(jié)合密鑰管理方案，建設(shè)一套量子加密安全應(yīng)用平臺，保證量子密鑰在通訊系統(tǒng)中的安全使用與有效監(jiān)管，將成為保障信息系統(tǒng)的安全和可靠性的重要手段，值得進(jìn)一步復(fù)制、升級并廣為推廣。

（作者單位：浙江神州量子通信技術(shù)有限公司）