《T_CQJR 005-2023 移动金融业务量子安全应用规范.docx》由会员分享,可在线阅读,更多相关《T_CQJR 005-2023 移动金融业务量子安全应用规范.docx(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、学兔兔标准下载ICS35.240.40A11团体标准T/CQJR0052023移动金融业务量子安全应用规范QuantumSecurityApplicationSpecificationforMobileFinancialServices2023-11-11发布2023-11-11实施重庆市金融学会发布准学兔兔标下载T/CQJR0052023目次前言.II引言.III1范围.42规范性引用文件.43术语和定义.44量子安全防护架构组成.54.1移动金融业务量子安全防护总体架构.54.2移动金融业务量子安全防护组件组成.64.2.1量子密钥生成系统.74.2.2量子密钥调度系统.74.2.3量子密
2、钥应用端.74.3量子接入设备要求.74.4量子安全网关要求.74.5移动金融业务接入量子防护总则.85量子安全通道加密.85.1基于SSL协议建立量子安全加密通道.85.1.1量子安全加密通道建立要求.85.1.2量子安全加密通道会话密钥要求.85.1.3量子安全加密通道功能要求.85.2基于IPsec协议建立量子安全加密通道.95.2.1量子安全加密通道建立要求.95.2.2量子安全加密通道会话密钥要求.95.2.3量子安全加密通道功能要求.96量子安全数据加密.96.1基于安全介质的数据加密.9A.1移动金融业务量子安全服务平台密钥生成系统.11A.1.1量子密钥生成与管理终端.11A.
3、2移动金融业务量子安全服务平台密钥调度系统.11A.2.1密钥系统模块.11A.2.2量子安全服务组件.11A.2.3量子密钥充注模块.11A.2.4量子随机数发生器.12A.3移动金融业务量子安全服务平台密钥应用端.12A.4移动金融业务量子安全服务平台日志管理.12A.5移动金融业务量子安全服务平台远程管理.12学兔兔标准下载T/CQJR0052023前言本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。若文件内容涉及相关专利,本文件发布机构不承担识别专利责任。本文件由重庆银行股份有限公司、重庆国家金融科技认证中心提出。本文件由重庆市金融学会归口
4、。本文件起草单位:重庆银行股份有限公司、重庆国家金融科技认证中心、科大国盾量子技术股份有限公司、西太深海量子科技(重庆)有限公司。本文件主要起草人:张进、李悦、杨又村、宋浩、邓何、顾方方、毕小文、秦逞、杜俊辰、蒋勇、谭晓天、张慈湑、官仓琎、钟棣、郭芸希、刘红梅、宋卓霖、罗茜、田帅、吴娟、陈黎、鲁宁、葛刚、杜宇正、王川。学兔兔标准下载T/CQJR0052023引言随着量子计算技术的持续发展,传统加密方式面临与日俱增的安全风险。与此同时,金融领域数字化转型的持续推进和后疫情时代背景下移动展业服务的兴起,对于金融业务数据的安全传输提出了刚性需求,有必要在现有加密技术的基础上,按照以量子安全技术防范量
5、子计算攻击的思路,探索形成一套成本可控、实施便捷的移动金融业务量子安全应用模式。目前关于移动金融业务数据传输的量子安全防护实施尚无明确的各级标准,不利于成熟应用的落地和推广,亟需通过标准化的形式,统一和规范关键技术参数、建立过程规约,促进量子安全技术在金融领域的应用推广。通过实施本文件,可以明确移动金融业务采用量子安全防护的总体架构与组成规范以及移动金融业务中使用量子安全通道加密和数据加密时的技术要求。学兔兔标准下载T/CQJR0052023移动金融业务量子安全应用规范1范围本文件规定了移动金融业务采用的量子安全防护总体架构与组成规范,以及分别使用量子安全通道加密和量子安全数据加密时的技术要求
6、。本文件适用于移动金融服务场景应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T39786-2021信息安全技术信息系统密码应用基本要求GB/T36322-2018信息安全技术密码设备应用接口规范GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T40645-2021信息安全技术互联网信息服务安全通用要求GB/T32922-2016信息安全技术IPSecVPN安全接入基本要求与实施指南JR/T0071.1-202
7、0金融行业网络安全等级保护实施指引第1部分:基础和术语JR/T0071.2-2020金融行业网络安全等级保护实施指引第2部分:基本要求GM/T0024-2014SSLVPN技术规范GM/T0022-2014IPSecVPN技术规范GM/Z0001-2013密码术语GM/T0002-2012SM4分组密码算法GM/T0005-2012随机性测试规范YD/T3907.3-2021基于BB84协议的量子密钥分发(QKD)用关键器件和模块第3部分:量子随机数发生器(QRNG)3术语和定义下列术语和定义适用于本文件。3.1量子密钥分发quantumkeydistribution(QKD)通信双方通过传送
8、量子态的方法实现对称密钥生成的方法,在理论协议层面具备信息论安全性,简称为QKD。3.2量子密钥quantumkey通信双方基于量子密钥分发协议直接生成的对称密钥,在理论协议层面可被证明具备信息论安全性。3.3量子安全传输quantumsecuretransmission基于量子通信,利用量子不可分割、量子态不可克隆和量子纠缠等特性保护秘密消息,进而保证信息传输安全的通信方法。3.4安全介质securitymedia一种将量子密钥资源配送或应用到设备终端的高性能专用安全处理芯片,可为U盾、SIM卡、TF卡等形态。学兔兔标准下载T/CQJR00520233.5充注密钥chargekey在量子安全
9、传输网络中,由量子随机数发生器产生的真随机数密钥,可充注至安全介质。3.6会话密钥sessionkey用于业务数据传输加密的对称密钥。3.7软件开发工具包SoftwareDevelopmentKit(SDK)辅助开发某一类软件的相关文档、范例和工具的集合。3.8互联网安全协议Internetprotocolsecurity(IPSec)由IETF制定的端到端的确保基于IP通信数据安全性的一种网络层协议,可以提供数据完整性保护、数据源鉴别、载荷机密性和抗重放攻击等安全服务。3.9虚拟专用网络VirtualPrivateNetwork(VPN)使用密码技术在通信网络中构建安全通道的技术。3.10安
10、全套接层协议SecureSocketsLayer(SSL)一种传输层安全协议,用于构建客户端和服务端之间的安全通道。4量子安全防护架构组成5移动金融业务量子安全防护总体架构移动金融业务采用量子安全传输技术实现安全接入时,其应用架构如下图1所示:学兔兔标准下载T/CQJR0052023图1移动金融业务量子安全应用总体架构6移动金融业务量子安全防护组件组成移动金融业务量子安全防护组件包括移动金融业务量子安全服务平台、量子接入设备和量子安全网关,移动金融业务量子安全服务平台包括量子密钥生成系统、量子密钥调度系统,量子接入设备和量子安全网关构成量子密钥应用端。如图2所示,系统组成说明按照附录A执行。学
11、兔兔标准下载T/CQJR0052023图2移动金融业务量子安全防护组件构成6.1.1量子密钥生成系统量子密钥生成系统包括:量子密钥生成与管理终端(单发型)、量子密钥生成与管理终端(单收型)、密钥分发网络管理服务器。6.1.2量子密钥调度系统量子密钥调度系统包括:量子随机数发生器、密钥系统模块、量子安全服务组件、量子密钥充注模块。6.1.3量子密钥应用端量子密钥应用端包括:量子接入设备、量子安全网关。7量子接入设备要求当采用量子安全技术时,业务终端通过融合量子安全模块,构成量子接入设备,实现业务侧基于量子安全技术的数据无线加密传输。8量子安全网关要求a)可提供量子密钥加密与传统加密功能;b)应支
12、持采用量子密钥对传输的数据进行加密保护;c)应支持对称加密算法,如国密SM4;学兔兔标准下载T/CQJR0052023d)宜支持一次一密的会话密钥获取方式;e)可提供安全、方便的维护管理方式,如图形化的管理界面;f)装置应具备状态指示,开机自检功能。9移动金融业务接入量子防护总则移动金融业务接入量子防护总则如下:a)量子接入设备量子安全网关应与移动金融业务量子安全服务平台建立连接,且遵循量子密钥建立规约原则;b)量子接入设备量子安全网关在协商完成后,应向移动金融业务量子安全服务平台申请获取加密保护的量子密钥;c)量子接入设备量子安全网关应使用解密的对称量子密钥通过IPSec/SSLVPN模式建
13、立量子安全加密通道。10量子安全通道加密11基于SSL协议建立量子安全加密通道11.1.1量子安全加密通道建立要求基于SSL的量子安全加密通道建立,VPN客户端会在登录SSLVPN网关的SSL握手阶段,使用量子密钥协商生成对称加密密钥,从而建立更加安全的SSL连接,整体建立协商流程遵照SSLVPN技术规范(GM/T0024-2014)执行。11.1.2量子安全加密通道会话密钥要求a)量子接入设备作为发起端宜向移动金融业务量子安全服务平台申请量子密钥加密;b)量子SSLVPN网关作为接收端宜向移动金融业务量子安全服务平台申请量子密钥进行解密;c)发起端与接收端应获取完全相同的量子密钥进行加密通信
14、,如下图3所示。图3移动金融业务量子安全加密通道图11.1.3量子安全加密通道功能要求学兔兔标准下载T/CQJR0052023量子密钥的使用过程如下:a)SSLVPN网关宜先于客户端向密钥系统组件获取量子密钥标识及其标识的唯一一段量子密钥;b)需支持量子密钥标识的协商,即在SSL/TLS握手阶段,SSLVPN网关将本端使用的量子密钥标识协商给客户端;c)客户端使用协商出的与SSLVPN网关一致的量子密钥标识,向移动金融业务量子安全服务平台获取量子密钥块,该密钥块与SSLVPN网关使用的量子密钥块相同;d)两端在计算对称加密的主密钥阶段,将原SSL/TLS协商计算出的相同主密钥与量子密钥做相同的
15、数学运算,最终两端得出依然一致的主密钥进行后续的对称加解密。12基于IPsec协议建立量子安全加密通道12.1.1量子安全加密通道建立要求基于IPsec的量子安全加密通道建立宜包括两个阶段:第一阶段选择主模式,整体建立协商流程遵照SSLVPN技术规范(GM/T0024-2014)执行;第二阶段衍生的会话密钥在本标准中替换为量子会话密钥。12.1.2量子安全加密通道会话密钥要求a)会话密钥协商核心流程参照附录B执行;b)量子接入设备作为发起端应向移动金融业务量子安全服务平台申请量子密钥进行通道业务数据加密;c)量子安全网关作为接收端应向移动金融业务量子安全服务平台申请量子密钥进行通道业务数据解密
16、;d)发起端与接收端应获取完全相同的量子密钥进行业务数据加密通信。12.1.3量子安全加密通道功能要求a)宜支持隧道模式和传输模式,其中隧道模式是必备功能,用于量子接入设备和量子安全网关之间实现公网数据的安全传输;b)业务数据加密传输应使用量子会话密钥,在量子会话密钥不可使用时切换到第一阶段主模式协商的共享密钥衍生得到的会话密钥KEYMAT(GM/T0022-2014);c)基于IPSec模式的安全报文封装协议分为AH协议和ESP协议,AH协议与ESP协议嵌套使用,此时不启用ESP协议中的验证操作;若ESP协议单独使用,启用ESP协议中的验证操作;d)在安全报文传输阶段具有对抗重放攻击的功能。
17、13量子安全数据加密当金融业务终端至业务服务端采用数据加密方式实现量子安全传输时,可通过使用安全介质方式,进行数据加密。14基于安全介质的数据加密当采用安全介质+SDK方式对业务数据进行加密时,其安全介质的安全要求如下:a)可选取TF卡、SIM卡、Ukey等方式作为密钥的硬件载体;b)安全介质宜支持多种密码算法,如:DES、3DES、AES128、AES192、AES256、SM1、SM3、SM4等;c)内置随机数发生器应符合国家商密标准;d)宜提供完整和丰富的上层接口,方便进行二次开发应用;e)应通过离线方式进行充注密钥,充注的密钥应密文存储;f)安全介质内的数据存储年限可支持5年及以上;g
18、)擦写次数宜支持至少10万次;学兔兔标准下载T/CQJR0052023h)密钥充注需求可由各业务使用单位发起,平台负责人承接,充注过程应由充注管理员负责。学兔兔标准下载T/CQJR0052023附录A(资料性附录)移动金融业务量子安全服务平台系统组成说明移动金融业务量子安全服务平台整体可以划分为:量子密钥生成系统:包括量子密钥生成与管理终端(单发型)、量子密钥生成与管理终端(单收型)、密钥分发网络管理服务器。该子系统的主要功能为:基于诱骗态BB84协议利用量子特性生成量子密钥,为前端系统提供量子密钥支持。量子密钥调度系统:包括量子随机数发生器、密钥系统模块、量子安全服务组件、量子密钥充注模块。
19、该子系统的主要功能为:量子随机数发生器生成真随机的量子随机数;密钥系统模块负责量子随机数、量子密钥的存储及输出;量子安全服务组件负责实现量子密钥(会话密钥)的调度和协商,确保量子密钥可以安全有序的分发至密钥应用端;量子密钥充注模块负责将量子随机数通过安全介质的方式进行充注,并在密钥应用终端使用。量子密钥应用端:包括量子安全网关和量子接入设备,该子系统的主要功能为:利用量子密钥构建安全加密传输通道,提升无线传输通道的安全等级,确保业务系统数据可以安全的传输至安全接入区,并由安全接入区转发至金融业务系统。A.1移动金融业务量子安全服务平台密钥生成系统A.2量子密钥生成与管理终端量子密钥生成与管理终
20、端基于诱骗态BB84量子密钥分发协议生成量子密钥,从原理上保证量子密钥生成的随机性和安全性,其随机性满足国密规范要求。A.3移动金融业务量子安全服务平台密钥调度系统A.4密钥系统模块密钥系统模块是移动金融业务量子安全服务平台核心设备之一,负责从量子密钥生成与管理终端和量子随机数发生器获取量子密钥和充注密钥并进行存储管理,通过量子密钥充注模块实现充注密钥充注到终端。终端应用向移动金融业务量子安全服务平台申请,从密钥系统模块获取会话密钥,从而实现终端设备数据传输过程中的安全性,实现传输中的加密通信。密钥系统模块主要功能包含如下:a)充注密钥生成与存储功能;b)会话密钥生成与存储功能;c)高可用双机
21、热备功能。A.5量子安全服务组件量子安全服务组件可以根据需要进行本地化部署或云上部署,负责整个网络系统的运行管理,包含:终端应用、密钥系统模块、量子密钥充注模块等组件的注册和接入认证管理;安全模块的发卡密钥充注、激活、离网销卡等全周期管理以及相关密钥信息管理;终端应用间的会话密钥获取等业务管理;密钥系统模块存储密钥的调配与管理以及全网统一配置管理和状态监控等。此外,针对目前得到越来越广泛应用的各类场景,移动金融业务量子安全服务平台可满足上万终端接入性能要求,实现金融场景下的大容量、高并发、低时延、易部署等特点。量子安全服务组件主要功能包含如下:a)终端应用、密钥系统模块、量子密钥充注模块等设备
22、接入管理;b)充注密钥生命周期管理;c)业务会话密钥获取和分发;d)统一配置策略管理;e)平台管理与网络监控。A.6量子密钥充注模块学兔兔标准下载T/CQJR0052023量子密钥充注模块负责对安全TF卡、安全U盾、金融量子加密模块等密钥安全存储介质充注密钥。量子密钥充注模块通过密钥系统模块向量子安全服务组件进行身份认证,认证通过后将从密钥系统模块获取的充注密钥充注到安全介质中,其主要功能描述如下:a)提供人机界面交互界面,支持通过管理员的UKey完成与密钥系统模块、量子安全服务组件的接入认证;b)支持接入密钥系统模块,获得充注密钥权限,并建立和密钥系统模块之间的安全通道;c)支持从量子安全服
23、务组件申请充注密钥,并将申请到的充注密钥导入到安全介质中保存;d)支持对各类终端安全介质进行读写卡,包含安全TF卡、安全U盾、金融量子加密模块等;e)支持针对终端安全介质的批量写卡能力。A.7量子随机数发生器在本系统中,量子随机数发生器的主要作用是生成量子随机数,充注模块将从密钥系统模块获取到的量子随机数作为充注密钥,充注到终端设备的安全介质内,用于对申请的会话密钥进行解密。量子随机数发生器是一种随机数生成设备,随机性来源于激光自发辐射光子的相位涨落,具有良好的量子随机性,输出的随机数可通过国密、NIST等随机性测试。量子密钥生成与管理终端基于诱骗态BB84协议生成成对的量子密钥并存储于密钥系
24、统模块中,作为会话密钥。当终端应用发起会话请求时,密钥系统模块使用充注密钥对量子密钥进行一次一密加密后,下发至终端应用解密后将量子密钥作为会话密钥使用。A.8移动金融业务量子安全服务平台密钥应用端通过定制化的量子接入设备与业务终端结合构成的量子融合产品与无线接入的量子安全网关设备通信,来构建量子安全传输通道,实现金融业务的量子安全应用。AAA.9移动金融业务量子安全服务平台日志管理移动金融业务量子安全服务平台各子模块应具备日志管理功能,能将用户操作行为日志、安全事件日志、异常事件日志实时记录在日志文件中。a)用户操作行为日志包含用户登录行为、系统参数配置等操作行为;b)安全事件日志包含密钥产生
25、、密钥更新、密钥销毁、外部建链等事件日志;c)异常事件日志包含用户认证失败、数据库访问失败等事件。日志应具备定时归档能力,日志以压缩包形式进行归档。日志归档时,应由管理员针对待归档日志压缩包计算日志记录杂凑值,并在日志压缩包文件名中携带该杂凑值,杂凑算法为国密SM3算法,充分保证归档日志完整性。A.10移动金融业务量子安全服务平台远程管理移动金融业务量子安全服务平台宜基于Ukey+PIN码双因子实现登录用户身份鉴别,用户身份鉴别成功后可远程管理设备,较为方便的实现对设备状态监控、配置设备参数等远管理行为。远程管理功能可基于标准http协议实现。学兔兔标准下载T/CQJR0052023附录B(资
26、料性附录)会话密钥协商核心流程会话密钥协商核心流程如下:a)发起端和接收端分别向移动金融业务量子安全服务平台进行入网认证,获得各自的身份授权令牌及该令牌的有效期;b)发起端携带身份授权令牌和安全介质ID向移动金融业务量子安全服务平台申请与接收端之间的会话密钥;c)移动金融业务量子安全服务平台验证发起端的身份授权令牌并通过后,根据安全介质ID查找其对应的充注密钥,采用该充注密钥加密会话密钥的方式将会话密钥密文下发给发起端;d)发起端使用安全介质中预充注的充注密钥对会话密钥密文进行解密,得到会话密钥;e)发起端使用IPSec第一阶段协商出的ISAKMP消息加密密钥加密会话密钥相关信息,并将结果发送给接收端,接收端解密后,根据该会话密钥信息、身份授权令牌、设备ID等信息向移动金融业务量子安全服务平台申请会话密钥;f)移动金融业务量子安全服务平台验证接收端的身份授权令牌并通过后,返回给接收端密钥获取授权令牌,接收端根据该密钥获取授权令牌向移动金融业务量子安全服务平台(密钥系统模块)申请获取对应的会话密钥;g)接收端将获取到的会话密钥密文用充注密钥进行解密后,使用IPsec第一阶段协商出的ISAKMP消息加密密钥加密会话密钥相关信息,并将结果发送给发起端,两端会话密钥相关信息校验一致,则会话密钥协商一致,采用此次协商的会话密钥进行量子加密通信。