T_CQJR 005-2023 移动金融业务量子安全应用规范.docx

ICS 35.240.40 A11团 体 标 准T/CQJR 005—2023移动金融业务量子安全应用规范Quantum Security Application Specification for Mobile Financial Services2023-11-11 发布 2023-11-11 实施重庆市金融学会 发布T/CQJR 005—2023目 次前 言 II引 言 III1 范围 42 规范性引用文件 43 术语和定义 44 量子安全防护架构组成 54.1 移动金融业务量子安全防护总体架构 54.2 移动金融业务量子安全防护组件组成 64.2.1 量子密钥生成系统 74.2.2 量子密钥调度系统 74.2.3 量子密钥应用端 74.3 量子接入设备要求 74.4 量子安全网关要求 74.5 移动金融业务接入量子防护总则 85 量子安全通道加密 85.1 基于 SSL 协议建立量子安全加密通道 85.1.1 量子安全加密通道建立要求 85.1.2 量子安全加密通道会话密钥要求 85.1.3 量子安全加密通道功能要求 85.2 基于 IPsec 协议建立量子安全加密通道 95.2.1 量子安全加密通道建立要求 95.2.2 量子安全加密通道会话密钥要求 95.2.3 量子安全加密通道功能要求 96 量子安全数据加密 96.1 基于安全介质的数据加密 9A.1 移动金融业务量子安全服务平台密钥生成系统 11A.1.1 量子密钥生成与管理终端 11A.2 移动金融业务量子安全服务平台密钥调度系统 11A.2.1 密钥系统模块 11A.2.2 量子安全服务组件 11A.2.3 量子密钥充注模块 11A.2.4 量子随机数发生器 12A.3 移动金融业务量子安全服务平台密钥应用端 12A.4 移动金融业务量子安全服务平台日志管理 12A.5 移动金融业务量子安全服务平台远程管理 12前 言本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

若文件内容涉及相关专利，本文件发布机构不承担识别专利责任 本文件由重庆银行股份有限公司、重庆国家金融科技认证中心提出 本文件由重庆市金融学会归口本文件起草单位：重庆银行股份有限公司、重庆国家金融科技认证中心、科大国盾量子技术股份有 限公司、西太深海量子科技（重庆）有限公司本文件主要起草人：张进、李悦、杨又村、宋浩、邓何、顾方方、毕小文、秦逞、杜俊辰、蒋勇、 谭晓天、张慈湑、官仓琎、钟棣、郭芸希、刘红梅、宋卓霖、罗茜、田帅、吴娟、陈黎、鲁宁、葛刚、 杜宇正、王川引 言随着量子计算技术的持续发展，传统加密方式面临与日俱增的安全风险与此同时，金融领域数字 化转型的持续推进和后疫情时代背景下移动展业服务的兴起，对于金融业务数据的安全传输提出了刚性 需求，有必要在现有加密技术的基础上，按照以量子安全技术防范量子计算攻击的思路，探索形成一套 成本可控、实施便捷的移动金融业务量子安全应用模式目前关于移动金融业务数据传输的量子安全防 护实施尚无明确的各级标准，不利于成熟应用的落地和推广，亟需通过标准化的形式，统一和规范关键 技术参数、建立过程规约，促进量子安全技术在金融领域的应用推广。

通过实施本文件，可以明确移动金融业务采用量子安全防护的总体架构与组成规范以及移动金融业 务中使用量子安全通道加密和数据加密时的技术要求移动金融业务量子安全应用规范1 范围本文件规定了移动金融业务采用的量子安全防护总体架构与组成规范，以及分别使用量子安全通道 加密和量子安全数据加密时的技术要求本文件适用于移动金融服务场景应用2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求GB/T 36322-2018 信息安全技术 密码设备应用接口规范GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求GB/T 40645-2021 信息安全技术 互联网信息服务安全通用要求GB/T 32922-2016 信息安全技术 IPSec VPN安全接入基本要求与实施指南JR/T 0071.1-2020 金融行业网络安全等级保护实施指引 第1部分：基础和术语JR/T 0071.2-2020 金融行业网络安全等级保护实施指引 第2部分：基本要求GM/T 0024-2014 SSL VPN技术规范GM/T 0022-2014 IPSec VPN技术规范GM/Z 0001-2013 密码术语GM/T 0002-2012 SM4分组密码算法GM/T 0005-2012 随机性测试规范YD/T 3907.3-2021 基于BB84协议的量子密钥分发 (QKD) 用关键器件和模块第3部分:量子随机数发生器 (QRNG)3 术语和定义下列术语和定义适用于本文件。

3.1量子密钥分发 quantum key distribution (QKD)通信双方通过传送量子态的方法实现对称密钥生成的方法，在理论协议层面具备信息论安全性，简称为QKD3.2性3.3量子密钥 quantum key通信双方基于量子密钥分发协议直接生成的对称密钥，在理论协议层面可被证明具备信息论安全量子安全传输 quantum secure transmission基于量子通信，利用量子不可分割、量子态不可克隆和量子纠缠等特性保护秘密消息，进而保证信息传输安全的通信方法3.4安全介质 security media一种将量子密钥资源配送或应用到设备终端的高性能专用安全处理芯片，可为U盾、SIM卡、TF卡 等形态3.5充注密钥 charge key在量子安全传输网络中，由量子随机数发生器产生的真随机数密钥，可充注至安全介质3.6会话密钥 session key用于业务数据传输加密的对称密钥3.7软件开发工具包 Software Development Kit (SDK)辅助开发某一类软件的相关文档、范例和工具的集合3.8互联网安全协议 Internet protocol security (IPSec)由 IETF 制定的端到端的确保基于 IP 通信数据安全性的一种网络层协议，可以提供数据完整性保护、数据源鉴别、载荷机密性和抗重放攻击等安全服务。

3.9虚拟专用网络 Virtual Private Network (VPN)使用密码技术在通信网络中构建安全通道的技术3.10安全套接层协议 Secure Sockets Layer (SSL)一种传输层安全协议，用于构建客户端和服务端之间的安全通道4 量子安全防护架构组成5 移动金融业务量子安全防护总体架构移动金融业务采用量子安全传输技术实现安全接入时，其应用架构如下图1所示：图 1 移动金融业务量子安全应用总体架构6 移动金融业务量子安全防护组件组成移动金融业务量子安全防护组件包括移动金融业务量子安全服务平台、量子接入设备和量子安全网 关，移动金融业务量子安全服务平台包括量子密钥生成系统、量子密钥调度系统，量子接入设备和量子 安全网关构成量子密钥应用端如图2所示，系统组成说明按照附录A执行6.1.1 量子密钥生成系统图 2 移动金融业务量子安全防护组件构成量子密钥生成系统包括：量子密钥生成与管理终端（单发型）、量子密钥生成与管理终端（单收型）、 密钥分发网络管理服务器6.1.2 量子密钥调度系统量子密钥调度系统包括：量子随机数发生器、密钥系统模块、量子安全服务组件、量子密钥充注模块。

6.1.3 量子密钥应用端量子密钥应用端包括：量子接入设备、量子安全网关7 量子接入设备要求当采用量子安全技术时，业务终端通过融合量子安全模块，构成量子接入设备，实现业务侧基于量 子安全技术的数据无线加密传输8 量子安全网关要求a) 可提供量子密钥加密与传统加密功能；b) 应支持采用量子密钥对传输的数据进行加密保护；c) 应支持对称加密算法，如国密SM4；d) 宜支持一次一密的会话密钥获取方式；e) 可提供安全、方便的维护管理方式，如图形化的管理界面；f) 装置应具备状态指示，开机自检功能9 移动金融业务接入量子防护总则移动金融业务接入量子防护总则如下：a) 量子接入设备\量子安全网关应与移动金融业务量子安全服务平台建立连接，且遵循量子密钥建立规约原则；b) 量子接入设备\量子安全网关在协商完成后，应向移动金融业务量子安全服务平台申请获取加密保护的量子密钥；c) 量子接入设备\量子安全网关应使用解密的对称量子密钥通过 IPSec/SSL VPN 模式建立量子安全加密通道10 量子安全通道加密11 基于 SSL 协议建立量子安全加密通道11.1.1 量子安全加密通道建立要求基于SSL的量子安全加密通道建立，VPN 客户端会在登录 SSL VPN 网关的 SSL 握手阶段，使用量子密钥协商生成对称加密密钥，从而建立更加安全的SSL连接，整体建立协商流程遵照《SSL VPN技术规范》（GM/T 0024-2014）执行。

11.1.2 量子安全加密通道会话密钥要求a) 量子接入设备作为发起端宜向移动金融业务量子安全服务平台申请量子密钥加密；b) 量子 SSL VPN 网关作为接收端宜向移动金融业务量子安全服务平台申请量子密钥进行解密；c) 发起端与接收端应获取完全相同的量子密钥进行加密通信，如下图 3 所示图 3 移动金融业务量子安全加密通道图11.1.3 量子安全加密通道功能要求量子密钥的使用过程如下：a) SSL VPN 网关宜先于客户端向密钥系统组件获取量子密钥标识及其标识的唯一一段量子密钥；b) 需支持量子密钥标识的协商，即在 SSL/TLS 握手阶段，SSL VPN 网关将本端使用的量子密钥标识协商给客户端；c) 客户端使用协商出的与 SSL VPN 网关一致的量子密钥标识，向移动金融业务量子安全服务平台获取量子密钥块，该密钥块与 SSL VPN 网关使用的量子密钥块相同；d) 两端在计算对称加密的主密钥阶段，将原 SSL/TLS 协商计算出的相同主密钥与量子密钥做相同的数学运算，最终两端得出依然一致的主密钥进行后续的对称加解密12 基于 IPsec 协议建立量子安全加密通道12.1.1 量子安全加密通道建立要求基于IPsec的量子安全加密通道建立宜包括两个阶段：第一阶段选择主模式，整体建立协商流程遵照《SSL VPN技术规范》（GM/T 0024-2014）执行； 第二阶段衍生的会话密钥在本标准中替换为量子会话密钥。

12.1.2 量子安全加密通道会话密钥要求a) 会话密钥协商核心流程参照附录 B 执行；b) 量子接入设备作为发起端应向移动金融业。