来源:《信息安全研究》
导读 | 随着量子技术不断取得突破,特别是以美国、欧洲为代表的西方强国量子技术的不断发展,使得我国电子政务外网原有经典密码保障措施受到严重威胁,必须在实际威胁发生前防患于未然;利用量子保密通信技术解决经典密码技术中密钥分发的安全问题,已经成为政务、金融等领域密码应用的重要安全措施。
本文基于量子技术探索电子政务外网的专线加密、应用加密、数据加密、识别基于量子计算的网络攻击行为、验证密码安全的健壮性等场景的应用,在一定程度上提高了电子政务外网承载的系统业务数据传输的机密性、完整性、可用性。
我国布局的量子重大项目贯穿3个五年计划,发展基础研究、示范应用、试点工程以及基础设施建设等。
2011年部署“量子科学实验卫星”项目;2013年部署国家量子保密通信“京沪干线”技术验证及应用示范项目;2018年部署国家广域量子保密通信骨干网络建设一期工程项目,具有清晰的层进关系;2021年6月,量子保密通信“济青干线”顺利建成,于7月正式开通;2022年7月,我国成功发射了全球首颗微纳量子卫星——“济南一号”,这也是继2016年我国研制的世界首颗量子科学实验卫星“墨子号”升空后发射的第2颗量子通信卫星。
2021年8月,合肥量子城域网建设正式启动。依托电子政务外网,合肥量子城域网包含8个核心网站点、159个接入网站点,量子密钥分发网络光纤全长1147km。该网为合肥市、区两级数百家党政机关提供量子安全接入服务,也是目前规模最大、用户最多、应用最全的量子保密通信城域网。2022年8月底,已上线运行统一政务信息处理平台、大数据平台等全市综合性平台,业务系统运行平稳。
量子密码学是量子力学和密码学交叉产生的学科。安全标准基于经典信息论原理和海森堡不确定性原理。相关实验表明,密钥可以以低比特率短距离传输:与传统的密钥加密方法相结合,可以显着提高数据传输的保密性。量子密码学与经典密码学相比,在密钥生成与分发、密码应用、合规性以及应用场景等方面具有明显的优势。
量子密码与经典密码的区别
通过分析可知在证书和量子密钥管理过程中,对证书用户真实身份、量子密钥、证书三者进行有效关联和安全管理,确保量子密钥的适用安全和唯一性,传统PKI体系主要基于非对称密码体制完成身份认证、数字签名等功能,两者的结合应用将带来新的安全特性,可用于解决更多应用安全问题。
量子通信作为量子信息科学的重要分支,是以量子态为信息载体进行信息交互的通信技术, 受到通信研究领域的广泛关注。
1)密钥中继技术
通过量子信道为通信双方生成共享密钥的方式可以称为一种直接量子密钥分发,光学节点及量子节点QKD网络即属于直接量子密钥分发网络,受量子密钥生成的距离和配对数量限制,实际应用过程中,一般需采用密钥中继技术,利用多个量子信道上已经生成的量子密钥,经过逐跳接力传递的方式为通信双方生成用户密钥。
2)光交换技术
光交换(photonic switching)是指不经过任何光电转换,将输入端光信号直接交换到指定的光输出端.由于光交换不涉及电信号,所以不会受到电子器件处理速度的制约,与高速的光纤传输速率匹配,可以实现网络的高速率切换.光交换采用M×N矩阵型光开关,接收来自密钥管理系统的指令,在指定端口对之间建立量子光纤链路。
量子密钥分发网络通过光交换的连接,使得整个网络的组网更加灵活,网络拓扑层次更加清晰,同时在一定程度上也能降低系统组网成本。
3)经典-量子波分复用技术
经典量子波分复用是一种将量子信号与经典信号通过波分复用器耦合到同一根光纤中实现共纤传输的技术,无需单独为量子信号铺设专用光纤,可以极大地节约投入成本、缩短量子加密业务上线周期.经典量子波分复用本质上也是一种波分复用技术,但相较于常规的波分复用具有特殊设计。
量子计算时代终将到来,它将与计算机网络通信和人工智能等既有学科一起对世界产生深远影响。当前,以非对称算法和对称算法为代表的传统密码学在量子计算面前暴露出了安全的脆弱性。量子计算具有高效破解传统加密算法的技术条件,量子计算机能够通过计算或尝试所有密钥方式,快速破解密码密钥。
此外,黑客亦会利用持续优化的量子算法破解当前通信的安全加密算法。例如:Peter Shor 的算法帮助量子机器找到整数的质因数;Lov Grover的算法帮助量子计算机迭代可能的排列。
量子测量是利用量子特性获得更高性能的测量技术,包括量子态的制备与初始化、量子体系在待测物理场中的演化、演化后量子态读取、结果处理输出。量子测量给出描述系统测量后量子态的规则.量子计算凭借其快速的计算机能力,结合相应的算法并和人工智能、大数据技术结合提升后数据处理能力,可以提升实用化水平。
例如,针对量子保密通信特性,搭建量子安全监测平台,通过基于量子计算的攻击流以及敏感业务数据流等信息进行深入测量分析,识别基于量子计算的网络攻击行为,搭建攻击平台,依托有针对性的工具对来破解密码,用于验证密码安全的健壮性等,通过将量子计算与测量技术与垂直行业需求充分融合,技术应用场景和领域将更加广泛。
本文从政务外网应用出发,探索量子技术在电子政务外网的密码、通信、计算和测量等场景的应用。
一、量子密码技术在电子政务外网的应用
量子密码技术在政务外网的应用场景构架
1)基于政务云的量子密码服务平台
省级政务外网建设了云密码统一服务平台,基于虚拟化技术,向上层的各领域用户的业务应用提供密码服务。在满足业务系统对密码服务能力的基本要求之上,进一步探索云密码统一服务平台与量子密码技术的结合,通过将云密码统一服务平台与量子网络进行连接,探索基于量子网络的互联型密码系统实现思路,以适应新型网络环境下密码服务的新形势与新需求。
量子密码技术与省政务云密码统一服务平台的结合架构
整体架构主要分为基础资源层和平台层,通过构建量子服务器密码机、量子网络等基础资源,结合量子安全服务平台,实现量子密码的灵活调用,为政务外网应用提供量子密码服务。
云密码的量子应用最主要的就是量子安全服务平台的建设,其对接量子服务器密码机,使用量子随机数发生器和量子网络提供的密钥资源,提供具有“量子安全特色”的服务,主要提供量子随机数服务、量子安全认证服务、OTP密钥分发服务、对称密钥输出服务、跨域密钥中继服务、跨域身份协同服务等。
量子密码在实际的业务使用中包括如下场景:
1. 业务系统至用户安全传输
① 在数据采集型业务中,基于用户智能密码钥匙内充注的密钥,可向量子安全服务平台内申请传输至业务系统的安全传输密钥,并通过“OTP密钥分发服务”将密钥安全分发至用户侧,该场景下密钥可提供给用户应用的客户端直接使用,并将需要传输的信息进行加密,传递至业务系统,业务系统调取量子安全服务平台进行数据加密,获得业务数据。
② 在用户交互型业务中(如聊天、文件传输),用户间在业务系统间形成一个点对点会话,并由发起方发起该会话的会话密钥申请,量子安全服务平台接收到申请后提供1个量子密钥作为会话密钥,并通过“OTP密钥分发服务”将会话密钥安全分发至用户侧。待接收方接收到会话请求后,也向量子安全服务平台申请同一个会话密钥,量子安全服务平台接收到申请后,也通过“OTP密钥分发服务”将同一个会话密钥安全分发至用户侧。
双方获取到会话密钥后,使用该密钥进行基于业务系统通道的密文直接通信。
2. 系统间安全传输
① 在业务系统间安全传输场景中,需要通信的业务系统间向密码统一服务平台申请用户互通的对称密钥,密码统一服务平台将该请求转发至量子安全服务平台,并由量子安全服务平台向量子网络申请进行量子密钥分发,量子网络产生对称密钥后,可将密钥通过安全的下发方式提供给业务系统,业务系统接收到密钥后,使用该密钥进行数据安全传输。
② 在密码系统间密钥同步场景中,需要进行密钥同步的密码系统分别向量子安全服务平台申请密钥中继服务,量子安全服务平台收到服务请求后按需向量子网络申请等长的量子密钥,之后密码统一服务平台可将需要中继的密钥发给量子安全服务平台,由量子安全服务平台使用密码统一服务平台间的数据通道进行身份校验及密钥中继操作。
3. 用户跨业务、密码系统安全登录
当用户在不同业务系统间进行登录时,如果发生所属密码系统不一致的情况,无法使用之前的认证结果进行直接登录,而要重新完成认证及授权流程。本场景通过量子网络为不同密码系统间的身份认证能力互联,实现了密码系统间身份凭证的互认。
用户在正常登录密码系统时请求“跨域身份协同服务”,密码统一服务平台在认证用户成功后,“跨域身份协同服务”构造量子密码系统间互认的身份凭证,并通过密码统一服务平台下发给用户,用户收到该凭证后既可以用该身份凭证登录原密码系统关联的业务系统,也可以来登录另外一个密码系统关联的业务系统。
2)量子密码技术在RA的应用
政务外网信任服务体系平台是电子政务外网数字证书认证业务的相关管理、运行和服务工作的信息基础网络,具备网络覆盖范围广、传输线路长、网络设备体量大的特点,因此是电子政务外网信息安全传输防护的重点。
随着量子计算机的发展,计算能力将有飞跃性提升,加上求解方法的优化,公钥算法所依赖的数学问题的破解计算复杂度将会大幅下降,破解时间将大幅减少,公钥算法安全性也将大幅下降.同时伴随着数据截取、光纤窃听、网络攻击等非法技术手段,引发失、泄密的隐患日益严重,政务外网信任服务体系平台信息传输的机密性、完整性和真实性等将会受到严重威胁。
保障信息专属的安全、防止数据泄露是长期存在的社会需求和安全使命,而基于量子技术的信息安全传输防御技术,特别是量子密钥分发技术越来越显著地成为新一代政务外网信任服务体系平台的安全基石。
以省政务办公系统身份认证为典型场景,基于量子密钥增强型RA系统和量子密钥技术,将数字证书、量子密钥与业务系统访问控制权限进行关联,实现政务外网PC终端登录业务系统的认证和强身份鉴别,并采用安全传输隧道完成终端与服务端之间的数据安全传输,如图所示:
在政务外网区部署RA量子密钥专业安全认证网关,客户端软件安装在用户终端计算机上,同时插入安全U盾,可为政务办公系统用户提供终端安全接入和数据加密传输的量子安全增强服务。并兼容现有的CA体系签名验签、电子签章应用。
量子专用安全认证网关与RA对接,实现政务用户身份信任体系校验、证书有效性验证和量子密钥库验证;与统一身份认证平台对接,实现用户PC终端安全接入和数据传输加密,保障网络和通信层面通信实体身份鉴别和通信过程中数据传输的保密性和完整性。
该场景下,安全U盾内置数字证书和量子密钥,通过与量子专用安全认证网关建立量子增强的数据传输加密通道,保障用户终端访问业务系统数据的保密性和完整性。
1)量子加密认证的应用流程如下:
2)用户申请安全U盾;
3)通过量子密钥增强RA完成安全U盾数字证书及量子密钥充注;
4)安全U盾安装及下发;
5)用户使用安全U盾同量子专用安全认证网关进行身份认证;
6)用户认证通过后,用户终端同量子专用安全认证网关建立量子加密隧道;
7)用户使用建设的量子加密隧道进行业务访问和电子签名等业务。
传统密码学是利用数学困难模型保证密钥分发安全,而量子密码是基于量子力学原理产生的密钥,无法被预测破解,安全性最高,因此量子密码技术在云密码统一服务平台中的应用,可为政务外网用户提供安全增强级的量子密码服务(成效),通过在传统密码系统内融入量子网络提供跨域量子密钥服务,能够为系统在密钥安全协同、数据安全协同等方面提供更高的安全保障,从而提升政务外网密码应用整体安全性。
1)量子通信网技术在政务外网广域网的应用
政务外网电子认证系统作为国家级的电子政务网络信任基础设施,其安全与否直接关系到电子政务外网体系的安全.随着量子计算为代表的新型计算技术发展,以及数据截取、光纤窃听、网络攻击等技术手段增强,政务外网电子认证体系“国家—省—市—县”的4级结构,在信息传输的机密性、完整性和真实性等方面受到一定威胁。
量子保密通信是基于信息理论安全性证明的量子密钥分发技术,结合密钥管理、安全的密码算法和协议,提供不再依赖数学计算复杂度的密钥分发方法。基于量子密钥分发技术,IPSec VPN 安全网关可支持量子密钥的获取及安全应用,一定程度上提高政务外网电子认证体系的网络信息传输安全性。
系统依托政务外网、北京城域网、国家子保密通信骨干网 “京沪干线”及地方城域网,实现省级政务外网RA同国家政务CA之间的量子保密通信。实现政务外网CA与政务RA之间的证书系统业务数据往来的量子增强网络安全通信与数据传输加密服务。
在国家政务CA机房、省电子政务RA机房部署量子增强型IPsec VPN网关,基于量子城域网提供的量子密钥,采用IP安全协议实现网络层信道加密和数据流向控制,为CARA业务数据提供量子增强的安全传输加密防护。该场景是在现有CARA架构的基础上依托量子保密通信网络实现政务外网CA与地方RA之间的量子保密通信,实现证书系统业务数据往来的量子增强网络安全通信与数据传输加密服务。
2)量子通信网技术在政务外网城域网的应用
场景借鉴量子城域网的QKD星形架构,通过量子安全服务平台为量子安全加密网关提供密钥下发和管理,建成量子增强的加密专线,构建安全的政务外网量子专线网络。
政务外网量子安全城域网主要由部署在政务云的量子安全服务平台、量子安全加密网关及政务外网量子城域网专线组成.量子安全服务平台部署在政务云机房,基于量子密钥分发网络为政务外网和应用提供量子密钥服务,结合加密介质的量子安全加密网关设备,使用预充注的量子密钥与量子安全服务平台进行身份认证和密钥协商,获得量子会话密钥,使用会话密钥进行端到端的数据加密。
省政务云机房和各省直厅局出口部署量子安全加密网关,政务云机房与各省直厅局间基于政务外网量子城域网实现端到端加密传输。
具体组网拓扑如图所示:
量子安全加密网关是组网架构中的关键节点,可从量子安全服务平台获取量子密钥,利用量子密钥对传输数据进行加解密,从而形成省政务云到各省厅局单位的量子加密专线网络。
采用量子加密通信技术与传统专线业务结合的方式实现网络的接入和组网,能够杜绝信息被窃取、被篡改的问题,确保信息传输的机密性、真实性、完整性和行为不可抵赖性,提供高等级的量子安全防护能力。
量子安全是指即使面对量子计算的挑战也能得到保证的信息安全,本场景在政务外网云平台建设抗量子安全监测平台用于识别基于量子计算的网络攻击行为;以及建设基于量子计算的安全能力评估平台用于验证密码安全的健壮性。
1)抗量子攻击安全监测平台
对量子网络的网络结构和敏感业务数据流进行深入分析,针对量子网络的特性通过搭建量子安全监测平台采集量子安全服务平台数据、密码应用运行状态、基于量子计算的攻击流以及安全防护状态等态势信息.依托大数据存储与计算、大数据分析引擎工具构建检测与纵深防御体系,通过沙箱、拟态等技术对潜在的漏洞威胁进行有效预警,并实现对攻击的主动防御,同时通过网络回溯发现和定位威胁来源,在必要时刻能够阻断异常的量子计算的攻击流。
为了实现针对量子网络可持续的安全风险监测管理目标,需要建立能够随着时间不断演进的安全架构和技术支撑体系,以在面对基于量子计算的威胁和挑战时不断完善自身防御体系以及强化防御“姿态”,目前信息安全工作都聚焦于“架构安全”和“被动防御”,对“积极防御”和“情报”则涉及较少,因此量子网络在设计监测方案时应该聚焦于回顾“架构安全”补强“被动防御”,重点发展“主动防御”,以有效提高整体信息安全防护能力。
在进行“被动防御”改进与“主动防御”进阶时,可以参照目前主流的自适应安全架构。
自适应安全架构将持续地监控和分析过程分为:预防预测、阻止与防护、检测与监控、响应与调查4个主要环节,每个环节中包含多个监控和分析方法。而支撑这些监控和分析方法的基于量子网络的各层数据和来自互联网的威胁情报,也因此要求量子网络本身具备安全大数据的采集、存储和分析的技术能力。
抗量子攻击安全监测平台可以覆盖量子网络安全管理的各个环节。通过平台的搭建将建设一个以多种安全问题管理为目标、以数据为核心、威胁情报为特色、打通安全管理中的检测、响应、预警、防御多个领域环节的完整安全体系。
2)基于量子计算的安全能力评估平台
针对量子网络的特性,搭建攻击平台,组建网络攻击团队,并以风险评估和实际的攻击测试为基础,依托有针对性的工具通过模拟各类攻击手法、攻击工具和安全策略绕过方式,采用专用的量子工具箱和量子专业设备,用于验证安全设备、安全策略和配置,以及安全响应和处置的有效性、密码安全的健壮性和密码技术与行业测评标准的一致性,评估涵盖物理和环境中的密码应用安全、网络和通信中的密码应用安全、设备和计算中的密码应用安全、应用和数据中密码应用安全、密钥管理、安全管理6大方面。
帮助安全团队进行安全架构的策略调优,改善系统整体安全防御水平,同时对网络中应用系统或设备的量子密码保障效能、业务运行状态、安全防护状态、未来发展趋势等进行全面、多维、立体的态势感知与预测评估。
量子技术作为未来信息通信行业的一个新兴战略性制高点,已经成为国家科技实力竞争的主战场之一。
本文基于量子技术探索其在电子政务外网的专线加密、应用加密、数据加密、身份认证、监测与评估、安全能力等场景的应用,能够为政务应用系统提供在密钥和数据安全协同、监测和抵抗基于量子计算的网络攻击、验证政务密码安全的健壮性等方面的安全保障,进而在一定程度上保障了电子政务外网上承载的系统业务数据安全有序流动,提升了政务外网信息安全保障能力以及政务外网密码的安全性。
从实用的角度来看,量子密码体制开始走向实用化,并已经逐渐进入到商用化阶段,特别是当量子计算机成为现实时,量子加密体制可能成为一种最佳的选择之一,因此量子密码具有极好的市场前景和科学价值,但在商用化、规模化应用过程中还有一系列的工作要做,量子信号的传输速率、误码率、传输距离以及良好的性价比仍是需要解决的主要技术问题,目前国内外正致力于这些问题的研究和探索,随着这些问题和相关技术的逐步解决与深入研究,在技术、产业和标准等方面取得进展和突破,量子技术将得到广泛应用,量子技术的优势也将得到充分的发挥。
参考文献:
[1]郭光灿. 量子密码——新一代密码技术[J]. 物理与工程, 2005,15(4): 14,8
[2]王阿川, 宋辞, 曹军. 一种更加安全的密码技术——量子密码[J]. 中国安全科学学报, 2007,17(1): 107110
[3]徐启建, 金鑫, 徐晓帆. 量子通信技术发展现状及应用前景分析[J]. 中国电子科学研究院学报, 2009, 4(5): 491497
[4]孙刚. 关于网络安全技术中的量子密码通信分析[J]. 数字通信世界, 2020(9): 9798
[5]李宏伟, 陈巍, 黄靖正, 等. 量子密码安全性研究[J]. 中国科学: 物理学 力学 天文学, 2012, 42(11): 12371255
[6]侯嘉, 朱江. 量子密钥分发网络方案研究[J]. 通信技术, 2021, 54(6): 12911300
[7]吴华, 王向斌, 潘建伟. 量子通信现状与展望[J]. 中国科学: 信息科学, 2014, 44(3): 296311
[8]朱焕东, 黄春晖. 量子密码技术及其应用[J]. 国外电子测量技术, 2006, 25(12): 15
[9]王东, 李春平, 张淑荣. 量子计算时代的安全加密算法研究[J]. 电脑与电信, 2022(4): 8588
[10]原磊. 量子密钥数字证书系统及其应用[J]. 信息安全研究, 2017, 3(6): 494500
[11]许方星, 陈巍, 王双, 等. 多层级量子密码城域网[J]. 科学通报, 2009, 54(16): 22772283
