T/CQJR 005-2023 移动金融业务量子安全应用规范

范围:本文件规定了移动金融业务采用的量子安全防护总体架构与组成规范，以及分别使用量子安全通道加密和量子安全数据加密时的技术要求。 本文件适用于移动金融服务场景应用; 主要技术内容:1.移动金融业务量子安全防护组件组成。移动金融业务量子安全防护组件包括移动金融业务量子安全服务平台、量子接入设备和量子安全网关，移动金融业务量子安全服务平台包括量子密钥生成系统、量子密钥调度系统，量子接入设备和量子安全网关构成量子密钥应用端。2.量子接入设备要求采用量子安全技术时，业务终端通过融合量子安全模块，构成量子接入设备，实现业务侧基于量子安全技术的数据无线加密传输。3.量子安全网关要求a)可提供量子密钥加密与传统加密功能；b)应支持采用量子密钥对传输的数据进行加密保护；c)应支持对称加密算法，如国密SM4；d)宜支持一次一密的会话密钥获取方式；e)可提供安全、方便的维护管理方式，如图形化的管理界面；f)装置应具备状态指示，开机自检功能。4.基于SSL协议建立量子安全加密通道。5.基于IPsec协议建立量子安全加密通道 。6.基于安全介质的数据加密。当采用安全介质+SDK方式对业务数据进行加密时，其安全介质的安全要求如下：a)可选取TF卡、SIM卡、Ukey等方式作为密钥的硬件载体；b)安全介质宜支持多种密码算法，如：DES、3DES、AES128、AES192、AES256、SM1、SM3、SM4等；c)内置随机数发生器应符合国家商密标准；d)宜提供完整和丰富的上层接口，方便进行二次开发应用；e)应通过离线方式进行充注密钥，充注的密钥应密文存储；f)安全介质内的数据存储年限可支持5年及以上；g)擦写次数宜支持至少10万次；h)密钥充注需求可由各业务使用单位发起，平台负责人承接，充注过程应由充注管理员负责