構(gòu)建基于融合量子技術(shù)的數(shù)據(jù)安全體系

1、    構(gòu)建基于融合量子技術(shù)的數(shù)據(jù)安全體系    【摘要】為更好的制定出符合公司要求的數(shù)據(jù)安全體系，本文通過(guò)研究數(shù)據(jù)技術(shù)具備的前瞻性，在遵循網(wǎng)絡(luò)安全法的前提下，以等級(jí)保護(hù)和公司的戰(zhàn)略規(guī)劃為基礎(chǔ)，提煉出符合公司要求的數(shù)據(jù)安全體系，意在提高公司業(yè)務(wù)發(fā)展的安全保障。【關(guān)鍵詞】密碼應(yīng)用;量子密鑰;密鑰分發(fā);信息安全中圖分類(lèi)號(hào)：tn929                    文獻(xiàn)標(biāo)識(shí)碼：a         

2、60;         doi：10.12246/j.issn.1673-0348.2021.16.0041. 建設(shè)背景隨著我國(guó)信息技術(shù)的不斷發(fā)展，信息化已經(jīng)普及到各個(gè)領(lǐng)域，在服務(wù)方面運(yùn)營(yíng)商也在不打斷的提高互聯(lián)網(wǎng)+的服務(wù)能力，信息化業(yè)務(wù)系統(tǒng)基本都已全面的建立起來(lái)了。比如在固網(wǎng)業(yè)務(wù)中的綜合業(yè)務(wù)系統(tǒng)，是集計(jì)算、結(jié)算和營(yíng)業(yè)、客服、決策等支撐的統(tǒng)一業(yè)務(wù)系統(tǒng)。還有在移動(dòng)服務(wù)中的業(yè)務(wù)系統(tǒng)，從移動(dòng)服務(wù)到增值服務(wù)等，這些業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)信息都是非常龐大的，數(shù)據(jù)安全就顯得尤為重要，如果數(shù)據(jù)存儲(chǔ)在個(gè)人終端，在內(nèi)部系統(tǒng)中進(jìn)行流轉(zhuǎn)，離網(wǎng)發(fā)送等，都存在著數(shù)據(jù)泄露的危險(xiǎn)，在業(yè)務(wù)系統(tǒng)

3、使用過(guò)程中也面臨被違規(guī)越權(quán)使用或被用于非法用途等數(shù)據(jù)信息泄漏的安全風(fēng)險(xiǎn)。目前安徽移動(dòng)在網(wǎng)絡(luò)安全法網(wǎng)絡(luò)安全等級(jí)保護(hù)要求等法律法規(guī)，以及移動(dòng)集團(tuán)敏感數(shù)據(jù)保護(hù)要求的指導(dǎo)下，重要系統(tǒng)必須堅(jiān)決貫徹敏感數(shù)據(jù)不明文落地的安全管理要求。實(shí)現(xiàn)這一要求基本上都是采用加密的方式，但在某些場(chǎng)景下，如云環(huán)境、大數(shù)據(jù)環(huán)境等，單純地采用傳統(tǒng)的加密方式也不能夠保證絕對(duì)地安全，如電纜通信線(xiàn)路，監(jiān)聽(tīng)很容易，而對(duì)于起初被認(rèn)為安全的光纜線(xiàn)路，現(xiàn)在也已經(jīng)實(shí)現(xiàn)了無(wú)感監(jiān)聽(tīng);特別是光柵法、光纖彎曲法、v型槽切口法等光纖竊聽(tīng)技術(shù)能夠?qū)崿F(xiàn)隱蔽竊聽(tīng)，都會(huì)對(duì)在加解密過(guò)程中密鑰的安全造成威脅，一旦密鑰的安全得不到保障，加密方案也就形同虛設(shè)。為了避免因

4、加密技術(shù)使用不充分而帶來(lái)的安全風(fēng)險(xiǎn)，使敏感數(shù)據(jù)在存儲(chǔ)及使用過(guò)程中能夠得到有效保護(hù)，2020年安徽移動(dòng)設(shè)計(jì)出將現(xiàn)有傳統(tǒng)的加密技術(shù)與量子技術(shù)進(jìn)行結(jié)合的加密體系，其中，量子密匙具備獨(dú)一的特性，也具有密匙分發(fā)的技術(shù)，對(duì)加密的方法有著顯著的提高，在傳統(tǒng)加密法中采用量子技術(shù)進(jìn)行加密，可以完成安全升級(jí)，此種加密方法對(duì)要求安全性高的公司、金融、運(yùn)營(yíng)商等有著重要應(yīng)用價(jià)值。2. 技術(shù)方案及關(guān)鍵點(diǎn)通過(guò)將傳統(tǒng)加密技術(shù)與量子技術(shù)相結(jié)合，可以發(fā)揮出兩者的優(yōu)勢(shì)，不僅能夠滿(mǎn)足安全傳輸數(shù)據(jù)的要求，還提高了網(wǎng)絡(luò)傳輸時(shí)的安全性，在結(jié)合量子技術(shù)應(yīng)用量子密匙后，有效的降低了安全傳輸?shù)谋锥耍ＷC了傳統(tǒng)網(wǎng)絡(luò)信息傳輸?shù)陌踩?，而且根?jù)量子密

5、匙的特點(diǎn)，保證了信息的唯一性，使信息具有不可竊聽(tīng)性和防篡改性等，此種方法有效的解決了信息傳輸?shù)陌踩珕?wèn)題。2.1 系統(tǒng)框架該方案的核心邏輯可劃分為密鑰分發(fā)服務(wù)層（kdc服務(wù)層）、密鑰管理服務(wù)層、量子隨機(jī)數(shù)發(fā)生器層（硬件），各層的功能各司其職又能相互協(xié)調(diào)構(gòu)成整個(gè)基于融合量子技術(shù)的數(shù)據(jù)安全體系，統(tǒng)一對(duì)外服務(wù)接口，并兼容量子密鑰分發(fā)和傳統(tǒng)密鑰分發(fā)，可在任意密碼需求的場(chǎng)景下，kdc服務(wù)層主動(dòng)實(shí)現(xiàn)平滑切換，上層業(yè)務(wù)無(wú)感知。系統(tǒng)邏輯框架如圖1所示。2.2 方案特點(diǎn)本方案通過(guò)與量子設(shè)備結(jié)合，利用量子真隨機(jī)數(shù)的特性，大大提高用戶(hù)信息的安全性，保障數(shù)據(jù)通信安全。在網(wǎng)絡(luò)通信中采用量子密鑰不僅可以降低傳統(tǒng)網(wǎng)絡(luò)信息傳輸

6、的安全弊端，也可以有效解決信息傳輸?shù)陌踩珕?wèn)題。主要特點(diǎn)如下：高安全級(jí)別采用量子真隨機(jī)數(shù)作為密鑰進(jìn)行數(shù)據(jù)加密，密鑰安全性源于量子物理學(xué)基本原理，且密鑰更新頻率高，理論上具有無(wú)條件安全性。低使用成本在不改變?cè)袀鹘y(tǒng)加密設(shè)計(jì)的基礎(chǔ)上，無(wú)感知安全升級(jí)，不影響用戶(hù)原有的使用習(xí)慣。高可靠性為確保系統(tǒng)的高可用性，所有設(shè)備在硬件設(shè)計(jì)、軟件設(shè)計(jì)等諸多方面進(jìn)行大量?jī)?yōu)化和高可用性設(shè)計(jì)，提高系統(tǒng)運(yùn)行的穩(wěn)定性。2.3 關(guān)鍵點(diǎn)2.3.1 防破解保護(hù)密鑰安全安徽移動(dòng)目前對(duì)敏感數(shù)據(jù)加密基本上還是采用傳統(tǒng)的加密方法，此種方法具備的優(yōu)勢(shì)是有成熟的加密算法，可以適用于網(wǎng)絡(luò)中的各種傳輸需求，和支持各種數(shù)據(jù)格式。但是，最重要的還是如何

7、確保密匙的安全問(wèn)題，尤其是云計(jì)算和大數(shù)據(jù)等信息技術(shù)的興起，這對(duì)依賴(lài)于復(fù)雜數(shù)學(xué)保障安全的經(jīng)典加密法是一種新的挑戰(zhàn)，對(duì)于之前需要花費(fèi)長(zhǎng)久時(shí)間來(lái)破解的任務(wù)，現(xiàn)在只需要花費(fèi)幾個(gè)小時(shí)，所以，必須要提高密匙的加密方法，要結(jié)合量子密匙分發(fā)技術(shù)，讓經(jīng)典加密方法進(jìn)行融合，發(fā)揮出兩者各自的優(yōu)勢(shì)，從而讓數(shù)據(jù)加密更安全，量子技術(shù)能夠保證密鑰的安全，主要有以下兩個(gè)特點(diǎn)：安全的量子通信，是建立在量子不可克隆和不能分割實(shí)現(xiàn)的基礎(chǔ)上，在量子通信中，最關(guān)鍵的技術(shù)是量子密匙，具備的量子態(tài)是被作為密碼的，如果出現(xiàn)信息截獲的問(wèn)題，量子態(tài)就會(huì)發(fā)生變化，竊聽(tīng)者截獲到的密匙的人得到的信息是無(wú)效的，而合法的接收這是可以通過(guò)量子態(tài)是否被改變，

8、確定信息是否被截獲。（2）基于一次一密，完全隨機(jī)實(shí)現(xiàn)加密內(nèi)容不可破譯。用光量子通信網(wǎng)，雖然跟平常通信一樣，卻不用擔(dān)心被竊聽(tīng)，相互之間通信絕對(duì)安全。因?yàn)榱孔油ㄐ挪捎玫氖恰耙淮我幻堋钡募用芊绞?，雙方通話(huà)期間，密碼機(jī)每分每秒都在產(chǎn)生密碼，牢牢“鎖”住語(yǔ)音信息;一旦通話(huà)結(jié)束，這串密碼就會(huì)立即失效，下一次通話(huà)絕對(duì)不會(huì)重復(fù)使用，而且量子通信所提供的密鑰無(wú)法被破解。2.3.2 防竊聽(tīng)保護(hù)密鑰交換安全在量子密匙能夠保證在實(shí)際的網(wǎng)絡(luò)信息傳輸中信息的安全性，可以防止信息被黑客竊聽(tīng)的風(fēng)險(xiǎn)，量子密匙的技術(shù)應(yīng)用中，還可以把電磁產(chǎn)生的量子當(dāng)密碼解鎖使用，可以充當(dāng)一次性鑰匙的功能，每個(gè)量子都是代表著1個(gè)比特的信息含量。而數(shù)

9、字化信息碼是由量子極化后的方式，以及波的運(yùn)動(dòng)方向來(lái)表示的，對(duì)于被竊聽(tīng)有著顯著的預(yù)防效果。量子具備的特性是不可克隆的，如果出現(xiàn)竊聽(tīng)者對(duì)量子通信進(jìn)行攔截時(shí)，量子會(huì)被破壞掉，收件方和發(fā)件方通過(guò)密匙的對(duì)比后，就可以指導(dǎo)信息是否被截獲，在如何確定有沒(méi)有截獲者這個(gè)問(wèn)題上，可以讓發(fā)件方和收件方進(jìn)行小部分的密匙對(duì)照就可以確定，不同率只要有25%具說(shuō)明信息已經(jīng)被截獲了，如果是密碼相同率是百分百，就說(shuō)明信息沒(méi)有被截獲。2.3.3 重管理實(shí)現(xiàn)量子安全服務(wù)體系基于融合量子技術(shù)的密鑰服務(wù)業(yè)務(wù)主要依托于量子安全服務(wù)平臺(tái)。量子安全服務(wù)平臺(tái)一方面提高量子密鑰管理能力，另一方面也為現(xiàn)有業(yè)務(wù)系統(tǒng)提高基于量子密鑰的身份認(rèn)證、數(shù)據(jù)加

10、密服務(wù)，同時(shí)還可以為現(xiàn)有的密鑰管理系統(tǒng)提供密鑰托管接口。量子安全服務(wù)平臺(tái)主要由密鑰源、密鑰管理服務(wù)平臺(tái)及安全服務(wù)客戶(hù)端工具包（sdk）組成：密鑰源：量子安全服務(wù)平臺(tái)能夠接入并使用來(lái)自光纖量子網(wǎng)絡(luò)、量子隨機(jī)數(shù)發(fā)生器產(chǎn)生的量子密鑰，保障了整個(gè)安全體系核心密碼層的安全。同時(shí)兼容傳統(tǒng)加密系統(tǒng)的密鑰源，能夠保障業(yè)務(wù)連續(xù)性和平滑升級(jí)。密鑰管理服務(wù)平臺(tái)：主要負(fù)責(zé)密鑰生成控制、密鑰中繼路由等密鑰等管理功能，為業(yè)務(wù)系統(tǒng)提供安全服務(wù)。密鑰管理服務(wù)平臺(tái)時(shí)整個(gè)系統(tǒng)的管理操作平臺(tái)，主要包括用戶(hù)與權(quán)限管理和設(shè)備與密鑰管理等模塊，并根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)要求，提供api接口給業(yè)務(wù)應(yīng)用系統(tǒng)調(diào)用。安全服務(wù)客戶(hù)端工具包（sdk）：安全

11、服務(wù)工具包負(fù)責(zé)連接用戶(hù)應(yīng)用，并通過(guò)量子密鑰進(jìn)行認(rèn)證、對(duì)數(shù)據(jù)進(jìn)行加密，完成應(yīng)用數(shù)據(jù)的安全加密傳輸。業(yè)務(wù)應(yīng)用系統(tǒng)通過(guò)調(diào)用安全服務(wù)客戶(hù)端工具包，無(wú)需關(guān)心與密鑰管理服務(wù)平臺(tái)的交互細(xì)節(jié)，即可完成密碼能力的繼承，大大降低技術(shù)學(xué)習(xí)成本。2.3.4 易使用降低用戶(hù)技術(shù)門(mén)檻基于結(jié)合量子技術(shù)的密碼應(yīng)用系統(tǒng)，不能因技術(shù)門(mén)檻的提高而導(dǎo)致使用門(mén)檻的提高，關(guān)鍵技術(shù)細(xì)節(jié)的抽象和封裝，形成統(tǒng)一的、易用的對(duì)外服務(wù)api，也是該方案的重要設(shè)計(jì)之一，兼顧實(shí)用性的同時(shí)，在易用性方面如界面操作、參數(shù)傳遞、接口調(diào)用等都經(jīng)過(guò)專(zhuān)業(yè)化的設(shè)計(jì)，目的是降低用戶(hù)的使用負(fù)擔(dān)。3. 應(yīng)用情況3.1 應(yīng)用范圍首先，基于融合量子技術(shù)的密碼應(yīng)用場(chǎng)景和現(xiàn)有傳統(tǒng)

12、的密碼需求場(chǎng)景完全吻合，可覆蓋現(xiàn)有大型企業(yè)如運(yùn)營(yíng)商、銀行、交通等企業(yè)級(jí)安全市場(chǎng)當(dāng)中的密碼應(yīng)用需求，利用量子真隨機(jī)數(shù)作為密鑰，依托量子技術(shù)完成安全升級(jí);其次，在數(shù)字“新基建”的關(guān)鍵領(lǐng)域：5g、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、人工智能、云計(jì)算、區(qū)塊鏈等，量子技術(shù)的量子密鑰分發(fā)作為信息安全保障的有力手段，具有廣泛的應(yīng)用潛力。3.2 安全及性能說(shuō)明使用量子密鑰結(jié)合傳統(tǒng)加密算法共同加密時(shí)，與現(xiàn)有的定時(shí)更新密鑰和定量更新密鑰在更新周期內(nèi)使用完全相同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密相比有著更高的安全性。通過(guò)量子密鑰分發(fā)與傳統(tǒng)加密方法有效融合，能夠根據(jù)密鑰狀態(tài)，動(dòng)態(tài)調(diào)整量子密鑰的消耗速率，完成密鑰交換在70ms以?xún)?nèi)，實(shí)現(xiàn)量子混合加密

13、的”一次一密”，充分利用了量子密鑰加密的安全性，與傳統(tǒng)加密方案相比可以更充分地利用量子網(wǎng)絡(luò)和量子密鑰地特點(diǎn)，具有較好地性能和安全性。4. 效益分析4.1 提高了密鑰自身的安全能力目前保護(hù)信息安全傳輸廣泛使用的手段是采用傳統(tǒng)密碼技術(shù)傳輸數(shù)據(jù)進(jìn)行加解密，一般來(lái)說(shuō)密碼技術(shù)由三要素構(gòu)成：算法、協(xié)議、密鑰。傳統(tǒng)密碼技術(shù)的理念是，一切密碼包含于密鑰之中，這就是說(shuō)，密碼里面除了密鑰以外，算法和協(xié)議都應(yīng)該是可以公開(kāi)的。因此，密鑰的安全是保障通信安全的關(guān)鍵。通過(guò)與量子設(shè)備相結(jié)合，利用量子力學(xué)基本原理保證密鑰生成時(shí)的真隨機(jī)性，而無(wú)需依賴(lài)傳統(tǒng)加密算法所使用的數(shù)學(xué)難題，有效增強(qiáng)了密鑰自身的安全能力。4.2 提升了密碼應(yīng)用的技術(shù)水平有效提高了安徽移動(dòng)在密碼應(yīng)用方面的技術(shù)水平，打破對(duì)于高安全應(yīng)用需求的支撐力度仍顯薄弱的局限。因此，研發(fā)滿(mǎn)足不同融合應(yīng)用場(chǎng)景技術(shù)要求的安全高效的新型密碼技術(shù)，仍然是現(xiàn)在乃至未來(lái)在信息安全方面亟待解決的重要課題。4.3 維護(hù)了公司商譽(yù)有效避免了因加密技術(shù)使用不充分而導(dǎo)致安徽移動(dòng)公司商譽(yù)受到影響。保護(hù)公司知識(shí)產(chǎn)權(quán)不