本發(fā)明涉及移動(dòng)辦公系統(tǒng)網(wǎng)絡(luò)安全,具體涉及一種融合量子密鑰的移動(dòng)辦公系統(tǒng)密鑰分發(fā)方法。
背景技術(shù):
1、移動(dòng)辦公也可稱為3a辦公,即辦公人員可在任何時(shí)間(anytime)、任何地點(diǎn)(anywhere)處理與業(yè)務(wù)相關(guān)的任何事情(anything)。移動(dòng)辦公主要是通過在手機(jī)、pad等移動(dòng)設(shè)備上安裝應(yīng)用軟件,通過接入組織內(nèi)部辦公網(wǎng)絡(luò)從而確保及時(shí)處理工作;移動(dòng)辦公借助手機(jī)、pad、移動(dòng)筆記本等移動(dòng)設(shè)備通信的便利性,使得使用者無論身處何種緊急情況下,都能高效迅捷地開展工作,對于突發(fā)性事件的處理、應(yīng)急性事件的部署有極為重要的意義。
2、量子密鑰分發(fā)(quantum?key?distribution,簡稱:qkd)是利用量子力學(xué)特性保證點(diǎn)對點(diǎn)通信安全的量子信息技術(shù),是一種無條件安全的通信方式;國內(nèi)基于qkd技術(shù)構(gòu)建的量子密鑰分發(fā)網(wǎng)絡(luò)已經(jīng)通過實(shí)驗(yàn)驗(yàn)證,量子密鑰分發(fā)服務(wù)走向?qū)嵱没呀?jīng)成為現(xiàn)實(shí)。
3、密碼技術(shù)是指采用特定變換的方法對信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù);密碼技術(shù)包括密碼編碼、實(shí)現(xiàn)、協(xié)議、安全防護(hù)、分析破譯,以及密鑰產(chǎn)生、分發(fā)、傳遞、使用、銷毀等技術(shù),典型的密碼技術(shù)包括密碼算法、密鑰管理和密碼協(xié)議。隨著信息化快速發(fā)展,密碼技術(shù)在保護(hù)國家安全、促進(jìn)經(jīng)濟(jì)社會發(fā)展、保護(hù)公民合法權(quán)益和個(gè)人隱私等方面具有戰(zhàn)略性重要意義。
4、隨著量子計(jì)算技術(shù)的快速發(fā)展,我國基于橢圓曲線密碼體制(elliptic?curvecryptography,簡稱:ecc)的sm2密碼算法已經(jīng)面臨被攻擊的風(fēng)險(xiǎn),研究人員已經(jīng)通過數(shù)學(xué)證明,量子計(jì)算機(jī)可輕松破解ecc密鑰,那么現(xiàn)有基于sm2密碼算法的身份認(rèn)證和密鑰協(xié)商協(xié)議將面臨安全風(fēng)險(xiǎn)。
5、為保障移動(dòng)辦公系統(tǒng)的網(wǎng)絡(luò)安全,現(xiàn)有解決辦法通常是在智能手機(jī)、智能pad及移動(dòng)筆記本等移動(dòng)端安裝ssl?vpn客戶端,在組織機(jī)構(gòu)網(wǎng)絡(luò)邊緣部署sslvpn安全接入網(wǎng)關(guān),通過數(shù)字證書身份認(rèn)證及用戶名口令等認(rèn)證方式保障移動(dòng)設(shè)備接入安全,基于ecc及rsa密碼技術(shù)的身份認(rèn)證和密鑰協(xié)商功能面臨量子計(jì)算共計(jì)的安全風(fēng)險(xiǎn);其次,該類解決方法未對應(yīng)用產(chǎn)生的數(shù)據(jù)進(jìn)行信源加密保護(hù),不能做到端到端(移動(dòng)端->移動(dòng)端、移動(dòng)端->服務(wù)端)的數(shù)據(jù)安全;最后,基于sslvpn技術(shù)的安全接入機(jī)制,只能支持http類及tcp類協(xié)議的傳輸,不支持udp類協(xié)議的傳輸,因此無法支持視頻會議類功能的數(shù)據(jù)傳輸加密。
技術(shù)實(shí)現(xiàn)思路
1、本發(fā)明需要解決的技術(shù)問題是提供一種融合量子密鑰的移動(dòng)辦公系統(tǒng)密鑰分發(fā)方法,可將移動(dòng)辦公系統(tǒng)與量子保密通信網(wǎng)絡(luò)融合,實(shí)現(xiàn)量子密鑰的離線注入、在線分發(fā)和安全使用。
2、為解決上述技術(shù)問題,本發(fā)明所采取的技術(shù)方案如下。
3、一種融合量子密鑰的移動(dòng)辦公系統(tǒng)密鑰分發(fā)方法,基于包括qkd光纖鏈路通信設(shè)備、量子密鑰路由設(shè)備、量子密鑰管理系統(tǒng)、量子密鑰安全服務(wù)系統(tǒng)、量子密鑰載體注入系統(tǒng)、量子隨機(jī)數(shù)發(fā)生器、移動(dòng)辦公業(yè)務(wù)服務(wù)系統(tǒng)、移動(dòng)安全接入網(wǎng)關(guān)、移動(dòng)終端a和移動(dòng)終端b的密鑰分發(fā)系統(tǒng)實(shí)現(xiàn);所述密鑰分發(fā)方法包括密鑰分發(fā)系統(tǒng)中部署一個(gè)量子密鑰安全服務(wù)系統(tǒng)完成量子密鑰分發(fā)的量子密鑰安全服務(wù)系統(tǒng)單節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法和密鑰分發(fā)系統(tǒng)中部署多個(gè)量子密鑰安全服務(wù)系統(tǒng)完成量子密鑰分發(fā)的量子密鑰安全服務(wù)系統(tǒng)多節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法,量子密鑰安全服務(wù)系統(tǒng)單節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法和量子密鑰安全服務(wù)系統(tǒng)多節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法均基于量子密鑰離線注入流程;所述量子密鑰離線注入流程包括以下步驟:
4、s1.量子密鑰管理系統(tǒng)與量子密鑰安全服務(wù)系統(tǒng)分別接入量子密鑰路由設(shè)備,完成注冊接入步驟;
5、s2.量子密鑰管理系統(tǒng)向量子密鑰路由設(shè)備申請長度為cl的量子密鑰,量子密鑰路由設(shè)備向量子密鑰管理系統(tǒng)返回量子密鑰:pqk及量子密鑰描述信息;量子密鑰描述信息包括但不限于:密鑰池標(biāo)識poolid、密鑰池偏移量keyoffset、密鑰長度keylen、令牌數(shù)據(jù)token、量子密鑰路由標(biāo)識qkr-qkms-id及密鑰管理系統(tǒng)應(yīng)用標(biāo)識app-qkms-id;
6、s3.量子密鑰管理系統(tǒng)生成量子密鑰pqk-id,生成方式如下:pqk-id=hash(poolid+keyoffset+keylen+token),hash為單向雜湊函數(shù);
7、s4.量子密鑰管理系統(tǒng)將pqk-id、poolid、keyoffset、keylen、token、qkr-kms-id及app-qkms-id發(fā)送給量子密鑰安全服務(wù)系統(tǒng);
8、s5.量子密鑰安全服務(wù)系統(tǒng)向量子密鑰路由設(shè)備發(fā)送poolid、keyoffset、keylen、token、qkr-kms-id及app-qkms-id申請獲取量子密鑰,量子密鑰路由設(shè)備將pqk返回給量子密鑰安全服務(wù)系統(tǒng),與量子密鑰管理系統(tǒng)共享相同的pqk-id以及pqk;
9、s6.量子密鑰管理系統(tǒng)重復(fù)步驟s1至s5,生產(chǎn)更多的量子密鑰pqk-idi及pqki;
10、s7.量子密鑰管理系統(tǒng)將量子密鑰標(biāo)識pqk-idi及量子密鑰數(shù)據(jù)pqki進(jìn)行前后連接形成量子密鑰文件數(shù)據(jù):pqkfi;量子密鑰管理系統(tǒng)將量子密鑰文件下載至離線轉(zhuǎn)移載體中;
11、s8.量子密鑰載體注入系統(tǒng)從離線轉(zhuǎn)移載體中導(dǎo)入密鑰文件pqkfi并將量子密鑰文件pqkfi通過專用注入裝置將量子密鑰注入量子密鑰載體中,注入量子密鑰之前量子密鑰載體與量子密鑰標(biāo)識無預(yù)先綁定要求,注入量子密鑰載體內(nèi)的量子密鑰稱為預(yù)注量子密鑰;
12、s9.量子密鑰載體按需被安裝到移動(dòng)終端a和移動(dòng)終端b中,移動(dòng)終端a和移動(dòng)終端b中的移動(dòng)辦公專用客戶端軟件通過量子密鑰載體的sdk讀取預(yù)注量子密鑰。
13、優(yōu)選的,所述量子密鑰安全服務(wù)系統(tǒng)單節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法包括以下步驟:
14、a1.移動(dòng)終端a中的安全接入網(wǎng)關(guān)客戶端軟件通過數(shù)字證書方式與移動(dòng)安全接入網(wǎng)關(guān)進(jìn)行基于ipsec協(xié)議的身份認(rèn)證和密鑰協(xié)商,協(xié)商完成后實(shí)現(xiàn)移動(dòng)終端a與移動(dòng)安全接入網(wǎng)關(guān)之間ip網(wǎng)絡(luò)數(shù)據(jù)的加密保護(hù);移動(dòng)終端b采用同樣的方式實(shí)現(xiàn)與移動(dòng)安全接入網(wǎng)關(guān)之間ip網(wǎng)絡(luò)數(shù)據(jù)的加密保護(hù);
15、a2.移動(dòng)終端a中的移動(dòng)辦公專用客戶端軟件存儲有記錄pqk已讀取密鑰位置的變量pqk-offset,該變量是下一次讀取預(yù)注量子密鑰的起始位置;移動(dòng)辦公專用客戶端軟件從pqk-offset位置讀取長度為la字節(jié)的量子密鑰,其中前m字節(jié)用于數(shù)據(jù)加密:keka,第m+1至n字節(jié)用于身份認(rèn)證:kaka;m與移動(dòng)辦公終端配用的對稱密碼算法有關(guān),n與移動(dòng)辦公終端配用的雜湊算法有關(guān),la≥n;
16、a3.移動(dòng)終端a向量子密鑰安全服務(wù)系統(tǒng)申請本次量子會話密鑰qsk,申請密鑰采用挑戰(zhàn)-應(yīng)答模型,移動(dòng)終端a為挑戰(zhàn)方,量子密鑰安全服務(wù)系統(tǒng)為應(yīng)答方;
17、a4.移動(dòng)終端b接收到量子會話密鑰id后,即刻向量子密鑰安全服務(wù)系統(tǒng)申請本次會話量子密鑰qsk,申請密鑰采用挑戰(zhàn)-應(yīng)答模型,移動(dòng)終端b為挑戰(zhàn)方,量子密鑰安全服務(wù)系統(tǒng)為應(yīng)答方。
18、優(yōu)選的,所述步驟a3的流程具體包括以下步驟:
19、a31.移動(dòng)終端a獲取時(shí)間戳:ta并讀取預(yù)注量子密鑰標(biāo)識:pqk-ida;
20、a32.移動(dòng)終端a計(jì)算令牌:tokenas=f(kaka,ta+pqk-ida+pqk-offseta),其中,f代表任意密碼校驗(yàn)函數(shù),kak為密碼校驗(yàn)函數(shù)的輸入密鑰,其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值,“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
21、a33.移動(dòng)終端a將pqk-ida、tokenas、ta、pqk-offseta一同發(fā)送給量子密鑰安全服務(wù)系統(tǒng);量子密鑰安全服務(wù)系統(tǒng)采用與移動(dòng)終端a相同的方式計(jì)算令牌tokenas’并與接收到的令牌數(shù)據(jù)對比,若數(shù)據(jù)一致則證明移動(dòng)終端a是pqk-ida的合法身份持有者;
22、a34.量子密鑰安全服務(wù)系統(tǒng)通過量子隨機(jī)數(shù)發(fā)生器產(chǎn)生量子會話密鑰qski并使用預(yù)注量子密鑰kek加密:qskica=e(keka,hash(qski)+qski),量子會話密鑰id計(jì)算如下:qsk-idi=hash(pqk-ida+qski+pqk-idb);量子密鑰安全服務(wù)系統(tǒng)建立:pqk-ida、pqk-idb、qsk-idi、及qski對應(yīng)關(guān)系;e代表對稱加密函數(shù),keka為加密密鑰,qski為明文量子會話密鑰數(shù)據(jù),hash為單向雜湊函數(shù),“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
23、a35.量子密鑰安全服務(wù)系統(tǒng)計(jì)算令牌:tokensa=f(kaka,ta+pqk-ida+qsk-idi+qskica),其中,f代表任意密碼校驗(yàn)函數(shù),kak為密碼校驗(yàn)函數(shù)的輸入密鑰,其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值,“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
24、a36.量子密鑰安全服務(wù)系統(tǒng)將qsk-idi、qskica及tokensa發(fā)送給移動(dòng)終端a;
25、a37.移動(dòng)終端a使用相同的計(jì)算方式對接收到的tokensa進(jìn)行驗(yàn)證,驗(yàn)證通過后再對qskica進(jìn)行解密,解密后再對qski進(jìn)行hash計(jì)算,并將摘要運(yùn)算結(jié)果與報(bào)文中的結(jié)果進(jìn)行比對,若數(shù)據(jù)一致則證明明文量子會話密鑰正確;
26、a38.此時(shí),移動(dòng)終端a已經(jīng)擁有明文量子會話密鑰:qski及會話密鑰id:qsk-idi;
27、a39.移動(dòng)終端a通過移動(dòng)辦公系統(tǒng)的業(yè)務(wù)通道將pqk-ida及qsk-idi發(fā)送給接收端移動(dòng)終端b;
28、優(yōu)選的,所述步驟a4的流程具體包括以下步驟:
29、a41.移動(dòng)終端b獲取時(shí)間戳:tb并讀取預(yù)注量子密鑰標(biāo)識:pqk-idb;
30、a42.移動(dòng)終端b計(jì)算令牌:tokenbs=f(kakb,tb+pqk-idb+qsk-idi+pqk-offsetb),其中,f代表任意密碼校驗(yàn)函數(shù),kak為密碼校驗(yàn)函數(shù)的輸入密鑰,其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值,“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
31、a43.移動(dòng)終端b將pqk-idb、tokenbs、tb、qsk-idi、pqk-offsetb一同發(fā)送給量子密鑰安全服務(wù)系統(tǒng);量子密鑰安全服務(wù)系統(tǒng)采用與移動(dòng)終端b相同的方式計(jì)算令牌tokenbs,并與接收到的令牌數(shù)據(jù)對比,若數(shù)據(jù)一致則證明移動(dòng)終端b是pqk-idb的合法身份持有者;
32、a44.量子密鑰安全服務(wù)系統(tǒng)使用量子會話密鑰id查找對應(yīng)關(guān)系并使用預(yù)注量子密鑰kek加密:qskicb=e(kekb,hash(qski)+qski),其中,e代表對稱加密函數(shù),kekb為加密密鑰,qski為明文量子會話密鑰數(shù)據(jù),hash為單向雜湊函數(shù),“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
33、a45.量子密鑰安全服務(wù)系統(tǒng)計(jì)算令牌:tokensb=f(kakb,tb+pqk-idb+qskicb),其中,f代表任意密碼校驗(yàn)函數(shù),kak為密碼校驗(yàn)函數(shù)的輸入密鑰,其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值,“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
34、a46.量子密鑰安全服務(wù)系統(tǒng)將qskicb及tokensb發(fā)送給移動(dòng)終端b;
35、a47.移動(dòng)終端b使用相同的計(jì)算方式對接收到的tokensb進(jìn)行驗(yàn)證,驗(yàn)證通過后再對qskicb進(jìn)行解密,解密后再對qski進(jìn)行hash計(jì)算,并將摘要運(yùn)算結(jié)果與報(bào)文中的結(jié)果進(jìn)行比對,若數(shù)據(jù)一致則證明明文量子會話密鑰正確;
36、a48.移動(dòng)終端b繼續(xù)運(yùn)算qsk-idi’=hash(pqk-ida+qski+pqk-idb);若qsk-idi’與接收到的qsk-idi數(shù)值相同,則證明兩端獲取的量子密鑰相同;
37、a49.移動(dòng)終端a與移動(dòng)終端b擁有相同的會話密鑰,兩者進(jìn)行包括但不限于業(yè)務(wù)數(shù)據(jù)加密、業(yè)務(wù)數(shù)據(jù)解密及業(yè)務(wù)數(shù)據(jù)完整性校驗(yàn)的密碼運(yùn)算。
38、優(yōu)選的,多個(gè)所述量子密鑰安全服務(wù)系統(tǒng)為本端量子密鑰安全服務(wù)系統(tǒng)x和對端量子密鑰安全服務(wù)系統(tǒng)y,量子密鑰路由設(shè)備包括本端量子密鑰路由設(shè)備、對端量子密鑰路由設(shè)備和主量子密鑰路由設(shè)備;所述量子密鑰安全服務(wù)系統(tǒng)多節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法包括以下步驟:
39、b1.移動(dòng)終端a中的安全接入網(wǎng)關(guān)客戶端軟件通過數(shù)字證書方式與移動(dòng)安全接入網(wǎng)關(guān)進(jìn)行基于ipsec協(xié)議的身份認(rèn)證和密鑰協(xié)商,協(xié)商完成后實(shí)現(xiàn)移動(dòng)終端a與移動(dòng)安全接入網(wǎng)關(guān)之間ip網(wǎng)絡(luò)數(shù)據(jù)的加密保護(hù);移動(dòng)終端b采用同樣的方式實(shí)現(xiàn)與移動(dòng)安全接入網(wǎng)關(guān)之間ip網(wǎng)絡(luò)數(shù)據(jù)的加密保護(hù);
40、b2.移動(dòng)終端a中的移動(dòng)辦公專用客戶端軟件存儲有記錄pqk已讀取密鑰位置的變量pqk-offset,該變量是下一次讀取預(yù)注量子密鑰的起始位置;移動(dòng)辦公專用客戶端軟件從pqk-offset位置讀取長度為la字節(jié)的量子密鑰,其中,前m字節(jié)用于數(shù)據(jù)加密:keka,第m+1至n字節(jié)用于身份認(rèn)證:kaka;m與移動(dòng)辦公終端配用的對稱密碼算法有關(guān),n與移動(dòng)辦公終端配用的雜湊算法有關(guān),la≥n;
41、b3.移動(dòng)終端a向本端量子密鑰安全服務(wù)系統(tǒng)x申請本次量子會話密鑰qsk,申請密鑰采用挑戰(zhàn)-應(yīng)答模型,移動(dòng)終端a為挑戰(zhàn)方,本端量子密鑰安全服務(wù)系統(tǒng)x為應(yīng)答方;
42、b4.移動(dòng)終端b接收到量子密鑰描述信息后,即刻向?qū)Χ肆孔用荑€安全服務(wù)系統(tǒng)y申請本次會話量子密鑰qsk,申請密鑰采用挑戰(zhàn)-應(yīng)答模型,移動(dòng)終端b為挑戰(zhàn)方,對端量子密鑰安全服務(wù)系統(tǒng)y為應(yīng)答方。
43、優(yōu)選的,所述步驟b3的流程具體包括以下步驟:
44、b31.移動(dòng)終端a獲取時(shí)間戳:ta、本端量子密鑰安全服務(wù)系統(tǒng)x標(biāo)識:qkss-idx、對端量子密鑰安全服務(wù)系統(tǒng)y標(biāo)識:qkss-idy并讀取預(yù)注量子密鑰標(biāo)識:pqk-ida;
45、b32.移動(dòng)終端a計(jì)算令牌:tokenax=f(kaka,ta+qkss-idx+qkss-idy+pqk-ida+pqk-offseta),其中,f代表任意密碼校驗(yàn)函數(shù),kak為密碼校驗(yàn)函數(shù)的輸入密鑰,其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值,“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
46、b33.移動(dòng)終端a將pqk-ida、tokenas、ta、qkss-idy、pqk-offseta一同發(fā)送給本端量子密鑰安全服務(wù)系統(tǒng)x;本端量子密鑰安全服務(wù)系統(tǒng)x采用與移動(dòng)終端a相同的方式計(jì)算令牌tokenas’并與接收到的令牌數(shù)據(jù)對比,若數(shù)據(jù)一致則證明移動(dòng)終端a是pqk-ida的合法身份持有者;
47、b34.本端量子密鑰安全服務(wù)系統(tǒng)x通過本端量子密鑰路由設(shè)備申請量子會話密鑰,主量子密鑰路由設(shè)備從與對端量子密鑰路由設(shè)備的配對密鑰池中讀取量子密鑰qski并將qski描述信息:qskdi一并返回給本端量子密鑰安全服務(wù)系統(tǒng)x;
48、b35.本端量子密鑰安全服務(wù)系統(tǒng)x使用預(yù)注量子密鑰kek加密:qskica=e(keka,hash(qski)+qski),量子會話密鑰id計(jì)算如下:qsk-idi=hash(pqk-ida+qski+qskdi+pqk-idb);本端量子密鑰安全服務(wù)系統(tǒng)x建立:pqk-ida、pqk-idb、qsk-idi、qskdi及qski對應(yīng)關(guān)系;e代表對稱加密函數(shù),keka為加密密鑰,qski為明文量子會話密鑰數(shù)據(jù),hash為單向雜湊函數(shù),“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
49、b36.本端量子密鑰安全服務(wù)系統(tǒng)x計(jì)算令牌:tokenxa=f(kaka,ta+pqk-ida+qsk-idi+qskica),f代表任意密碼校驗(yàn)函數(shù),kak為密碼校驗(yàn)函數(shù)的輸入密鑰,其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值,“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
50、b37.本端量子密鑰安全服務(wù)系統(tǒng)x將qsk-idi、qskdi、qskica及tokenxa發(fā)送給移動(dòng)終端a;
51、b38.移動(dòng)終端a使用相同的計(jì)算方式對接收到的tokenxa進(jìn)行驗(yàn)證,驗(yàn)證通過后再對qskica進(jìn)行解密,解密后再對qski進(jìn)行hash計(jì)算,并將摘要運(yùn)算結(jié)果與報(bào)文中的結(jié)果進(jìn)行比對,若數(shù)據(jù)一致則證明明文量子會話密鑰正確;
52、b39.此時(shí),移動(dòng)終端a已經(jīng)擁有明文量子會話密鑰:qski、qskdi、qsk-idi;
53、b310.移動(dòng)終端a通過移動(dòng)辦公系統(tǒng)的業(yè)務(wù)通道將qkss-idx、pqk-ida、qskdi、qsk-idi發(fā)送給接收端移動(dòng)終端b。
54、優(yōu)選的,所述步驟b4的流程具體包括以下步驟:
55、b41.移動(dòng)終端b獲取時(shí)間戳:tb并讀取預(yù)注量子密鑰標(biāo)識:pqk-idb;
56、b42.移動(dòng)終端b計(jì)算令牌:tokenby=f(kakb,tb+qkss-idx+qkss-idy+pqk-idb+pqk-offsetb),其中,f代表任意密碼校驗(yàn)函數(shù),kak為密碼校驗(yàn)函數(shù)的輸入密鑰,其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值,“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
57、b43.移動(dòng)終端b將pqk-idb、tokenby、tb、qskdi、pqk-offsetb一同發(fā)送給對端量子密鑰安全服務(wù)系統(tǒng)y;對端量子密鑰安全服務(wù)系統(tǒng)y采用與移動(dòng)終端b相同的方式計(jì)算令牌tokenby,并與接收到的令牌數(shù)據(jù)對比,若數(shù)據(jù)一致則證明移動(dòng)終端b是pqk-idb的合法身份持有者;
58、b44.對端量子密鑰安全服務(wù)系統(tǒng)y使用接收到的qskdi向本端量子密鑰路由設(shè)備獲取量子密鑰:qskr;
59、b45.對端量子密鑰安全服務(wù)系統(tǒng)y使用預(yù)注量子密鑰kek加密:qskrcb=e(kekb,hash(qskr)+qskr),其中,e代表對稱加密函數(shù),kekb為加密密鑰,qskr為明文量子會話密鑰數(shù)據(jù),hash為單向雜湊函數(shù),“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
60、b46.對端量子密鑰安全服務(wù)系統(tǒng)y計(jì)算令牌:tokenyb=f(kakb,tb+pqk-idb+qskicb),其中,f代表任意密碼校驗(yàn)函數(shù),kak為密碼校驗(yàn)函數(shù)的輸入密鑰,其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值,“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系;
61、b47.對端量子密鑰安全服務(wù)系統(tǒng)y將qskrcb及tokenyb發(fā)送給移動(dòng)終端b;
62、b48.移動(dòng)終端b使用相同的計(jì)算方式對接收到的tokenyb進(jìn)行驗(yàn)證,驗(yàn)證通過后再對qskrcb進(jìn)行解密,解密后再對qskr進(jìn)行hash計(jì)算,并將摘要運(yùn)算結(jié)果與報(bào)文中的結(jié)果進(jìn)行比對,若數(shù)據(jù)一致則證明接收到的明文量子會話密鑰準(zhǔn)確完整;
63、b49.移動(dòng)終端b計(jì)算量子會話密鑰id:qsk-idr=hash(pqk-ida+qskr+qskdi+pqk-idb),若qsk-idr與qsk-idi數(shù)值相同,則證明移動(dòng)終端b與移動(dòng)終端a擁有一致的量子密鑰;
64、b410.移動(dòng)終端a與移動(dòng)終端b擁有相同的會話密鑰,兩者進(jìn)行包括但不限于業(yè)務(wù)數(shù)據(jù)加密、業(yè)務(wù)數(shù)據(jù)解密及業(yè)務(wù)數(shù)據(jù)完整性校驗(yàn)的密碼運(yùn)算。
65、由于采用了以上技術(shù)方案,本發(fā)明所取得技術(shù)進(jìn)步如下。
66、本發(fā)明不但可實(shí)現(xiàn)移動(dòng)辦公系統(tǒng)與量子保密通信網(wǎng)絡(luò)的融合,還實(shí)現(xiàn)了量子密鑰的離線注入、在線分發(fā)和安全使用;同時(shí)還可支持脫離量子保密通信網(wǎng)絡(luò)運(yùn)行。