本發(fā)明涉及移動(dòng)辦公系統(tǒng)網(wǎng)絡(luò)安全，具體涉及一種融合量子密鑰的移動(dòng)辦公系統(tǒng)密鑰分發(fā)方法。

背景技術(shù)：

1、移動(dòng)辦公也可稱為3a辦公，即辦公人員可在任何時(shí)間(anytime)、任何地點(diǎn)(anywhere)處理與業(yè)務(wù)相關(guān)的任何事情(anything)。移動(dòng)辦公主要是通過在手機(jī)、pad等移動(dòng)設(shè)備上安裝應(yīng)用軟件，通過接入組織內(nèi)部辦公網(wǎng)絡(luò)從而確保及時(shí)處理工作；移動(dòng)辦公借助手機(jī)、pad、移動(dòng)筆記本等移動(dòng)設(shè)備通信的便利性，使得使用者無論身處何種緊急情況下，都能高效迅捷地開展工作，對于突發(fā)性事件的處理、應(yīng)急性事件的部署有極為重要的意義。

2、量子密鑰分發(fā)(quantum?key?distribution，簡稱：qkd)是利用量子力學(xué)特性保證點(diǎn)對點(diǎn)通信安全的量子信息技術(shù)，是一種無條件安全的通信方式；國內(nèi)基于qkd技術(shù)構(gòu)建的量子密鑰分發(fā)網(wǎng)絡(luò)已經(jīng)通過實(shí)驗(yàn)驗(yàn)證，量子密鑰分發(fā)服務(wù)走向?qū)嵱没呀?jīng)成為現(xiàn)實(shí)。

3、密碼技術(shù)是指采用特定變換的方法對信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)；密碼技術(shù)包括密碼編碼、實(shí)現(xiàn)、協(xié)議、安全防護(hù)、分析破譯，以及密鑰產(chǎn)生、分發(fā)、傳遞、使用、銷毀等技術(shù)，典型的密碼技術(shù)包括密碼算法、密鑰管理和密碼協(xié)議。隨著信息化快速發(fā)展，密碼技術(shù)在保護(hù)國家安全、促進(jìn)經(jīng)濟(jì)社會發(fā)展、保護(hù)公民合法權(quán)益和個(gè)人隱私等方面具有戰(zhàn)略性重要意義。

4、隨著量子計(jì)算技術(shù)的快速發(fā)展，我國基于橢圓曲線密碼體制(elliptic?curvecryptography，簡稱：ecc)的sm2密碼算法已經(jīng)面臨被攻擊的風(fēng)險(xiǎn)，研究人員已經(jīng)通過數(shù)學(xué)證明，量子計(jì)算機(jī)可輕松破解ecc密鑰，那么現(xiàn)有基于sm2密碼算法的身份認(rèn)證和密鑰協(xié)商協(xié)議將面臨安全風(fēng)險(xiǎn)。

5、為保障移動(dòng)辦公系統(tǒng)的網(wǎng)絡(luò)安全，現(xiàn)有解決辦法通常是在智能手機(jī)、智能pad及移動(dòng)筆記本等移動(dòng)端安裝ssl?vpn客戶端，在組織機(jī)構(gòu)網(wǎng)絡(luò)邊緣部署sslvpn安全接入網(wǎng)關(guān)，通過數(shù)字證書身份認(rèn)證及用戶名口令等認(rèn)證方式保障移動(dòng)設(shè)備接入安全，基于ecc及rsa密碼技術(shù)的身份認(rèn)證和密鑰協(xié)商功能面臨量子計(jì)算共計(jì)的安全風(fēng)險(xiǎn)；其次，該類解決方法未對應(yīng)用產(chǎn)生的數(shù)據(jù)進(jìn)行信源加密保護(hù)，不能做到端到端(移動(dòng)端->移動(dòng)端、移動(dòng)端->服務(wù)端)的數(shù)據(jù)安全；最后，基于sslvpn技術(shù)的安全接入機(jī)制，只能支持http類及tcp類協(xié)議的傳輸，不支持udp類協(xié)議的傳輸，因此無法支持視頻會議類功能的數(shù)據(jù)傳輸加密。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明需要解決的技術(shù)問題是提供一種融合量子密鑰的移動(dòng)辦公系統(tǒng)密鑰分發(fā)方法，可將移動(dòng)辦公系統(tǒng)與量子保密通信網(wǎng)絡(luò)融合，實(shí)現(xiàn)量子密鑰的離線注入、在線分發(fā)和安全使用。

2、為解決上述技術(shù)問題，本發(fā)明所采取的技術(shù)方案如下。

3、一種融合量子密鑰的移動(dòng)辦公系統(tǒng)密鑰分發(fā)方法，基于包括qkd光纖鏈路通信設(shè)備、量子密鑰路由設(shè)備、量子密鑰管理系統(tǒng)、量子密鑰安全服務(wù)系統(tǒng)、量子密鑰載體注入系統(tǒng)、量子隨機(jī)數(shù)發(fā)生器、移動(dòng)辦公業(yè)務(wù)服務(wù)系統(tǒng)、移動(dòng)安全接入網(wǎng)關(guān)、移動(dòng)終端a和移動(dòng)終端b的密鑰分發(fā)系統(tǒng)實(shí)現(xiàn)；所述密鑰分發(fā)方法包括密鑰分發(fā)系統(tǒng)中部署一個(gè)量子密鑰安全服務(wù)系統(tǒng)完成量子密鑰分發(fā)的量子密鑰安全服務(wù)系統(tǒng)單節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法和密鑰分發(fā)系統(tǒng)中部署多個(gè)量子密鑰安全服務(wù)系統(tǒng)完成量子密鑰分發(fā)的量子密鑰安全服務(wù)系統(tǒng)多節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法，量子密鑰安全服務(wù)系統(tǒng)單節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法和量子密鑰安全服務(wù)系統(tǒng)多節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法均基于量子密鑰離線注入流程；所述量子密鑰離線注入流程包括以下步驟：

4、s1.量子密鑰管理系統(tǒng)與量子密鑰安全服務(wù)系統(tǒng)分別接入量子密鑰路由設(shè)備，完成注冊接入步驟；

5、s2.量子密鑰管理系統(tǒng)向量子密鑰路由設(shè)備申請長度為cl的量子密鑰，量子密鑰路由設(shè)備向量子密鑰管理系統(tǒng)返回量子密鑰：pqk及量子密鑰描述信息；量子密鑰描述信息包括但不限于：密鑰池標(biāo)識poolid、密鑰池偏移量keyoffset、密鑰長度keylen、令牌數(shù)據(jù)token、量子密鑰路由標(biāo)識qkr-qkms-id及密鑰管理系統(tǒng)應(yīng)用標(biāo)識app-qkms-id；

6、s3.量子密鑰管理系統(tǒng)生成量子密鑰pqk-id，生成方式如下：pqk-id＝hash(poolid+keyoffset+keylen+token)，hash為單向雜湊函數(shù)；

7、s4.量子密鑰管理系統(tǒng)將pqk-id、poolid、keyoffset、keylen、token、qkr-kms-id及app-qkms-id發(fā)送給量子密鑰安全服務(wù)系統(tǒng)；

8、s5.量子密鑰安全服務(wù)系統(tǒng)向量子密鑰路由設(shè)備發(fā)送poolid、keyoffset、keylen、token、qkr-kms-id及app-qkms-id申請獲取量子密鑰，量子密鑰路由設(shè)備將pqk返回給量子密鑰安全服務(wù)系統(tǒng)，與量子密鑰管理系統(tǒng)共享相同的pqk-id以及pqk；

9、s6.量子密鑰管理系統(tǒng)重復(fù)步驟s1至s5，生產(chǎn)更多的量子密鑰pqk-idi及pqki；

10、s7.量子密鑰管理系統(tǒng)將量子密鑰標(biāo)識pqk-idi及量子密鑰數(shù)據(jù)pqki進(jìn)行前后連接形成量子密鑰文件數(shù)據(jù)：pqkfi；量子密鑰管理系統(tǒng)將量子密鑰文件下載至離線轉(zhuǎn)移載體中；

11、s8.量子密鑰載體注入系統(tǒng)從離線轉(zhuǎn)移載體中導(dǎo)入密鑰文件pqkfi并將量子密鑰文件pqkfi通過專用注入裝置將量子密鑰注入量子密鑰載體中，注入量子密鑰之前量子密鑰載體與量子密鑰標(biāo)識無預(yù)先綁定要求，注入量子密鑰載體內(nèi)的量子密鑰稱為預(yù)注量子密鑰；

12、s9.量子密鑰載體按需被安裝到移動(dòng)終端a和移動(dòng)終端b中，移動(dòng)終端a和移動(dòng)終端b中的移動(dòng)辦公專用客戶端軟件通過量子密鑰載體的sdk讀取預(yù)注量子密鑰。

13、優(yōu)選的，所述量子密鑰安全服務(wù)系統(tǒng)單節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法包括以下步驟：

14、a1.移動(dòng)終端a中的安全接入網(wǎng)關(guān)客戶端軟件通過數(shù)字證書方式與移動(dòng)安全接入網(wǎng)關(guān)進(jìn)行基于ipsec協(xié)議的身份認(rèn)證和密鑰協(xié)商，協(xié)商完成后實(shí)現(xiàn)移動(dòng)終端a與移動(dòng)安全接入網(wǎng)關(guān)之間ip網(wǎng)絡(luò)數(shù)據(jù)的加密保護(hù)；移動(dòng)終端b采用同樣的方式實(shí)現(xiàn)與移動(dòng)安全接入網(wǎng)關(guān)之間ip網(wǎng)絡(luò)數(shù)據(jù)的加密保護(hù)；

15、a2.移動(dòng)終端a中的移動(dòng)辦公專用客戶端軟件存儲有記錄pqk已讀取密鑰位置的變量pqk-offset，該變量是下一次讀取預(yù)注量子密鑰的起始位置；移動(dòng)辦公專用客戶端軟件從pqk-offset位置讀取長度為la字節(jié)的量子密鑰，其中前m字節(jié)用于數(shù)據(jù)加密：keka，第m+1至n字節(jié)用于身份認(rèn)證：kaka；m與移動(dòng)辦公終端配用的對稱密碼算法有關(guān)，n與移動(dòng)辦公終端配用的雜湊算法有關(guān)，la≥n；

16、a3.移動(dòng)終端a向量子密鑰安全服務(wù)系統(tǒng)申請本次量子會話密鑰qsk，申請密鑰采用挑戰(zhàn)-應(yīng)答模型，移動(dòng)終端a為挑戰(zhàn)方，量子密鑰安全服務(wù)系統(tǒng)為應(yīng)答方；

17、a4.移動(dòng)終端b接收到量子會話密鑰id后，即刻向量子密鑰安全服務(wù)系統(tǒng)申請本次會話量子密鑰qsk，申請密鑰采用挑戰(zhàn)-應(yīng)答模型，移動(dòng)終端b為挑戰(zhàn)方，量子密鑰安全服務(wù)系統(tǒng)為應(yīng)答方。

18、優(yōu)選的，所述步驟a3的流程具體包括以下步驟：

19、a31.移動(dòng)終端a獲取時(shí)間戳：ta并讀取預(yù)注量子密鑰標(biāo)識：pqk-ida；

20、a32.移動(dòng)終端a計(jì)算令牌：tokenas＝f(kaka,ta+pqk-ida+pqk-offseta)，其中，f代表任意密碼校驗(yàn)函數(shù)，kak為密碼校驗(yàn)函數(shù)的輸入密鑰，其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

21、a33.移動(dòng)終端a將pqk-ida、tokenas、ta、pqk-offseta一同發(fā)送給量子密鑰安全服務(wù)系統(tǒng)；量子密鑰安全服務(wù)系統(tǒng)采用與移動(dòng)終端a相同的方式計(jì)算令牌tokenas’并與接收到的令牌數(shù)據(jù)對比，若數(shù)據(jù)一致則證明移動(dòng)終端a是pqk-ida的合法身份持有者；

22、a34.量子密鑰安全服務(wù)系統(tǒng)通過量子隨機(jī)數(shù)發(fā)生器產(chǎn)生量子會話密鑰qski并使用預(yù)注量子密鑰kek加密：qskica＝e(keka,hash(qski)+qski)，量子會話密鑰id計(jì)算如下：qsk-idi＝hash(pqk-ida+qski+pqk-idb)；量子密鑰安全服務(wù)系統(tǒng)建立：pqk-ida、pqk-idb、qsk-idi、及qski對應(yīng)關(guān)系；e代表對稱加密函數(shù)，keka為加密密鑰，qski為明文量子會話密鑰數(shù)據(jù)，hash為單向雜湊函數(shù)，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

23、a35.量子密鑰安全服務(wù)系統(tǒng)計(jì)算令牌：tokensa＝f(kaka,ta+pqk-ida+qsk-idi+qskica)，其中，f代表任意密碼校驗(yàn)函數(shù)，kak為密碼校驗(yàn)函數(shù)的輸入密鑰，其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

24、a36.量子密鑰安全服務(wù)系統(tǒng)將qsk-idi、qskica及tokensa發(fā)送給移動(dòng)終端a；

25、a37.移動(dòng)終端a使用相同的計(jì)算方式對接收到的tokensa進(jìn)行驗(yàn)證，驗(yàn)證通過后再對qskica進(jìn)行解密，解密后再對qski進(jìn)行hash計(jì)算，并將摘要運(yùn)算結(jié)果與報(bào)文中的結(jié)果進(jìn)行比對，若數(shù)據(jù)一致則證明明文量子會話密鑰正確；

26、a38.此時(shí)，移動(dòng)終端a已經(jīng)擁有明文量子會話密鑰：qski及會話密鑰id：qsk-idi；

27、a39.移動(dòng)終端a通過移動(dòng)辦公系統(tǒng)的業(yè)務(wù)通道將pqk-ida及qsk-idi發(fā)送給接收端移動(dòng)終端b；

28、優(yōu)選的，所述步驟a4的流程具體包括以下步驟：

29、a41.移動(dòng)終端b獲取時(shí)間戳：tb并讀取預(yù)注量子密鑰標(biāo)識：pqk-idb；

30、a42.移動(dòng)終端b計(jì)算令牌：tokenbs＝f(kakb,tb+pqk-idb+qsk-idi+pqk-offsetb)，其中，f代表任意密碼校驗(yàn)函數(shù)，kak為密碼校驗(yàn)函數(shù)的輸入密鑰，其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

31、a43.移動(dòng)終端b將pqk-idb、tokenbs、tb、qsk-idi、pqk-offsetb一同發(fā)送給量子密鑰安全服務(wù)系統(tǒng)；量子密鑰安全服務(wù)系統(tǒng)采用與移動(dòng)終端b相同的方式計(jì)算令牌tokenbs，并與接收到的令牌數(shù)據(jù)對比，若數(shù)據(jù)一致則證明移動(dòng)終端b是pqk-idb的合法身份持有者；

32、a44.量子密鑰安全服務(wù)系統(tǒng)使用量子會話密鑰id查找對應(yīng)關(guān)系并使用預(yù)注量子密鑰kek加密：qskicb＝e(kekb,hash(qski)+qski)，其中，e代表對稱加密函數(shù)，kekb為加密密鑰，qski為明文量子會話密鑰數(shù)據(jù)，hash為單向雜湊函數(shù)，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

33、a45.量子密鑰安全服務(wù)系統(tǒng)計(jì)算令牌：tokensb＝f(kakb,tb+pqk-idb+qskicb)，其中，f代表任意密碼校驗(yàn)函數(shù)，kak為密碼校驗(yàn)函數(shù)的輸入密鑰，其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

34、a46.量子密鑰安全服務(wù)系統(tǒng)將qskicb及tokensb發(fā)送給移動(dòng)終端b；

35、a47.移動(dòng)終端b使用相同的計(jì)算方式對接收到的tokensb進(jìn)行驗(yàn)證，驗(yàn)證通過后再對qskicb進(jìn)行解密，解密后再對qski進(jìn)行hash計(jì)算，并將摘要運(yùn)算結(jié)果與報(bào)文中的結(jié)果進(jìn)行比對，若數(shù)據(jù)一致則證明明文量子會話密鑰正確；

36、a48.移動(dòng)終端b繼續(xù)運(yùn)算qsk-idi’＝hash(pqk-ida+qski+pqk-idb)；若qsk-idi’與接收到的qsk-idi數(shù)值相同，則證明兩端獲取的量子密鑰相同；

37、a49.移動(dòng)終端a與移動(dòng)終端b擁有相同的會話密鑰，兩者進(jìn)行包括但不限于業(yè)務(wù)數(shù)據(jù)加密、業(yè)務(wù)數(shù)據(jù)解密及業(yè)務(wù)數(shù)據(jù)完整性校驗(yàn)的密碼運(yùn)算。

38、優(yōu)選的，多個(gè)所述量子密鑰安全服務(wù)系統(tǒng)為本端量子密鑰安全服務(wù)系統(tǒng)x和對端量子密鑰安全服務(wù)系統(tǒng)y，量子密鑰路由設(shè)備包括本端量子密鑰路由設(shè)備、對端量子密鑰路由設(shè)備和主量子密鑰路由設(shè)備；所述量子密鑰安全服務(wù)系統(tǒng)多節(jié)點(diǎn)部署模式下量子密鑰在線分發(fā)方法包括以下步驟：

39、b1.移動(dòng)終端a中的安全接入網(wǎng)關(guān)客戶端軟件通過數(shù)字證書方式與移動(dòng)安全接入網(wǎng)關(guān)進(jìn)行基于ipsec協(xié)議的身份認(rèn)證和密鑰協(xié)商，協(xié)商完成后實(shí)現(xiàn)移動(dòng)終端a與移動(dòng)安全接入網(wǎng)關(guān)之間ip網(wǎng)絡(luò)數(shù)據(jù)的加密保護(hù)；移動(dòng)終端b采用同樣的方式實(shí)現(xiàn)與移動(dòng)安全接入網(wǎng)關(guān)之間ip網(wǎng)絡(luò)數(shù)據(jù)的加密保護(hù)；

40、b2.移動(dòng)終端a中的移動(dòng)辦公專用客戶端軟件存儲有記錄pqk已讀取密鑰位置的變量pqk-offset，該變量是下一次讀取預(yù)注量子密鑰的起始位置；移動(dòng)辦公專用客戶端軟件從pqk-offset位置讀取長度為la字節(jié)的量子密鑰，其中，前m字節(jié)用于數(shù)據(jù)加密：keka，第m+1至n字節(jié)用于身份認(rèn)證：kaka；m與移動(dòng)辦公終端配用的對稱密碼算法有關(guān)，n與移動(dòng)辦公終端配用的雜湊算法有關(guān)，la≥n；

41、b3.移動(dòng)終端a向本端量子密鑰安全服務(wù)系統(tǒng)x申請本次量子會話密鑰qsk，申請密鑰采用挑戰(zhàn)-應(yīng)答模型，移動(dòng)終端a為挑戰(zhàn)方，本端量子密鑰安全服務(wù)系統(tǒng)x為應(yīng)答方；

42、b4.移動(dòng)終端b接收到量子密鑰描述信息后，即刻向?qū)Χ肆孔用荑€安全服務(wù)系統(tǒng)y申請本次會話量子密鑰qsk，申請密鑰采用挑戰(zhàn)-應(yīng)答模型，移動(dòng)終端b為挑戰(zhàn)方，對端量子密鑰安全服務(wù)系統(tǒng)y為應(yīng)答方。

43、優(yōu)選的，所述步驟b3的流程具體包括以下步驟：

44、b31.移動(dòng)終端a獲取時(shí)間戳：ta、本端量子密鑰安全服務(wù)系統(tǒng)x標(biāo)識：qkss-idx、對端量子密鑰安全服務(wù)系統(tǒng)y標(biāo)識：qkss-idy并讀取預(yù)注量子密鑰標(biāo)識：pqk-ida；

45、b32.移動(dòng)終端a計(jì)算令牌：tokenax＝f(kaka,ta+qkss-idx+qkss-idy+pqk-ida+pqk-offseta)，其中，f代表任意密碼校驗(yàn)函數(shù)，kak為密碼校驗(yàn)函數(shù)的輸入密鑰，其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

46、b33.移動(dòng)終端a將pqk-ida、tokenas、ta、qkss-idy、pqk-offseta一同發(fā)送給本端量子密鑰安全服務(wù)系統(tǒng)x；本端量子密鑰安全服務(wù)系統(tǒng)x采用與移動(dòng)終端a相同的方式計(jì)算令牌tokenas’并與接收到的令牌數(shù)據(jù)對比，若數(shù)據(jù)一致則證明移動(dòng)終端a是pqk-ida的合法身份持有者；

47、b34.本端量子密鑰安全服務(wù)系統(tǒng)x通過本端量子密鑰路由設(shè)備申請量子會話密鑰，主量子密鑰路由設(shè)備從與對端量子密鑰路由設(shè)備的配對密鑰池中讀取量子密鑰qski并將qski描述信息：qskdi一并返回給本端量子密鑰安全服務(wù)系統(tǒng)x；

48、b35.本端量子密鑰安全服務(wù)系統(tǒng)x使用預(yù)注量子密鑰kek加密：qskica＝e(keka,hash(qski)+qski)，量子會話密鑰id計(jì)算如下：qsk-idi＝hash(pqk-ida+qski+qskdi+pqk-idb)；本端量子密鑰安全服務(wù)系統(tǒng)x建立：pqk-ida、pqk-idb、qsk-idi、qskdi及qski對應(yīng)關(guān)系；e代表對稱加密函數(shù)，keka為加密密鑰，qski為明文量子會話密鑰數(shù)據(jù)，hash為單向雜湊函數(shù)，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

49、b36.本端量子密鑰安全服務(wù)系統(tǒng)x計(jì)算令牌：tokenxa＝f(kaka,ta+pqk-ida+qsk-idi+qskica)，f代表任意密碼校驗(yàn)函數(shù)，kak為密碼校驗(yàn)函數(shù)的輸入密鑰，其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

50、b37.本端量子密鑰安全服務(wù)系統(tǒng)x將qsk-idi、qskdi、qskica及tokenxa發(fā)送給移動(dòng)終端a；

51、b38.移動(dòng)終端a使用相同的計(jì)算方式對接收到的tokenxa進(jìn)行驗(yàn)證，驗(yàn)證通過后再對qskica進(jìn)行解密，解密后再對qski進(jìn)行hash計(jì)算，并將摘要運(yùn)算結(jié)果與報(bào)文中的結(jié)果進(jìn)行比對，若數(shù)據(jù)一致則證明明文量子會話密鑰正確；

52、b39.此時(shí)，移動(dòng)終端a已經(jīng)擁有明文量子會話密鑰：qski、qskdi、qsk-idi；

53、b310.移動(dòng)終端a通過移動(dòng)辦公系統(tǒng)的業(yè)務(wù)通道將qkss-idx、pqk-ida、qskdi、qsk-idi發(fā)送給接收端移動(dòng)終端b。

54、優(yōu)選的，所述步驟b4的流程具體包括以下步驟：

55、b41.移動(dòng)終端b獲取時(shí)間戳：tb并讀取預(yù)注量子密鑰標(biāo)識：pqk-idb；

56、b42.移動(dòng)終端b計(jì)算令牌：tokenby＝f(kakb,tb+qkss-idx+qkss-idy+pqk-idb+pqk-offsetb)，其中，f代表任意密碼校驗(yàn)函數(shù)，kak為密碼校驗(yàn)函數(shù)的輸入密鑰，其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

57、b43.移動(dòng)終端b將pqk-idb、tokenby、tb、qskdi、pqk-offsetb一同發(fā)送給對端量子密鑰安全服務(wù)系統(tǒng)y；對端量子密鑰安全服務(wù)系統(tǒng)y采用與移動(dòng)終端b相同的方式計(jì)算令牌tokenby，并與接收到的令牌數(shù)據(jù)對比，若數(shù)據(jù)一致則證明移動(dòng)終端b是pqk-idb的合法身份持有者；

58、b44.對端量子密鑰安全服務(wù)系統(tǒng)y使用接收到的qskdi向本端量子密鑰路由設(shè)備獲取量子密鑰：qskr；

59、b45.對端量子密鑰安全服務(wù)系統(tǒng)y使用預(yù)注量子密鑰kek加密：qskrcb＝e(kekb,hash(qskr)+qskr)，其中，e代表對稱加密函數(shù)，kekb為加密密鑰，qskr為明文量子會話密鑰數(shù)據(jù)，hash為單向雜湊函數(shù)，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

60、b46.對端量子密鑰安全服務(wù)系統(tǒng)y計(jì)算令牌：tokenyb＝f(kakb,tb+pqk-idb+qskicb)，其中，f代表任意密碼校驗(yàn)函數(shù)，kak為密碼校驗(yàn)函數(shù)的輸入密鑰，其它部分為密碼校驗(yàn)函數(shù)的待校驗(yàn)數(shù)值，“+”表示二進(jìn)制數(shù)據(jù)的前后連接關(guān)系；

61、b47.對端量子密鑰安全服務(wù)系統(tǒng)y將qskrcb及tokenyb發(fā)送給移動(dòng)終端b；

62、b48.移動(dòng)終端b使用相同的計(jì)算方式對接收到的tokenyb進(jìn)行驗(yàn)證，驗(yàn)證通過后再對qskrcb進(jìn)行解密，解密后再對qskr進(jìn)行hash計(jì)算，并將摘要運(yùn)算結(jié)果與報(bào)文中的結(jié)果進(jìn)行比對，若數(shù)據(jù)一致則證明接收到的明文量子會話密鑰準(zhǔn)確完整；

63、b49.移動(dòng)終端b計(jì)算量子會話密鑰id：qsk-idr＝hash(pqk-ida+qskr+qskdi+pqk-idb)，若qsk-idr與qsk-idi數(shù)值相同，則證明移動(dòng)終端b與移動(dòng)終端a擁有一致的量子密鑰；

64、b410.移動(dòng)終端a與移動(dòng)終端b擁有相同的會話密鑰，兩者進(jìn)行包括但不限于業(yè)務(wù)數(shù)據(jù)加密、業(yè)務(wù)數(shù)據(jù)解密及業(yè)務(wù)數(shù)據(jù)完整性校驗(yàn)的密碼運(yùn)算。

65、由于采用了以上技術(shù)方案，本發(fā)明所取得技術(shù)進(jìn)步如下。

66、本發(fā)明不但可實(shí)現(xiàn)移動(dòng)辦公系統(tǒng)與量子保密通信網(wǎng)絡(luò)的融合，還實(shí)現(xiàn)了量子密鑰的離線注入、在線分發(fā)和安全使用；同時(shí)還可支持脫離量子保密通信網(wǎng)絡(luò)運(yùn)行。