科技

量子技术在中国电子政务外网的应用报告推荐阅读

简介 随着量子技术的不断突破,特别是以美欧为代表的西方强国量子技术的不断发展,我国电子政务外网原有的经典密码保护措施受到严重威胁,必须在实际应用之前加以防范。威胁发生。 利用量子保密通信技术解决经典密码学中密钥分发的安全问题,已成为政务、金融等领域密码应用的重要安全措施。

本文基于量子技术,探索基于量子计算的专线加密、应用加密、数据加密、基于量子计算的网络攻击行为识别、密码安全鲁棒性验证等场景的应用。量子技术,一定程度上提高了电子政务外网负载。 系统业务数据传输的保密性、完整性和可用性。

我国部署的重大量子工程贯穿三个五年计划,开展基础研究、示范应用、试点、基础设施建设。

2011年,“量子科学实验卫星”项目部署; 2013年,国家量子保密通信“京沪干线”技术验证及应用示范工程部署; 2018年,国家广域量子安全通信骨干网建设工程一期部署,明确了层次关系; 2021年6月,量子保密通信“济青干线”顺利建成,7月正式开通; 2022年7月,我国成功发射世界首颗微纳量子卫星——“济南一号”,这也是继我国研制的世界首颗量子科学实验卫星“墨子号”发射后发射的第二颗量子通信卫星2016年。

2021年8月,合肥量子城域网建设正式启动。 依托电子政务外网,合肥量子城域网包括8个核心网站点、159个接入网站点,量子密钥分配网络光纤总长度1147km。 该网络为合肥市、区数百家党政机构提供量子安全接入服务。 是目前规模最大、用户最多、应用最全面的量子保密通信城域网。 截至2022年8月底,全市统一政务信息处理平台、大数据平台等综合平台已投入运行,业务系统运行平稳。

量子密码学是量子力学和密码学的交叉点。 该安全标准基于经典信息论原理和海森堡不确定性原理。 相关实验表明,密钥可以在低比特率下短距离传输:与传统密钥加密方法相结合,可以显着提高数据传输的保密性。 与经典密码相比,量子密码在密钥生成与分发、密码应用、合规性、应用场景等方面具有明显优势。

量子卫星中国悟空_中国量子卫星_量子卫星中国多少个/

量子密码学与经典密码学的区别

通过分析可以看出,在证书和量子密钥管理过程中,将证书使用者的真实身份、量子密钥和证书进行有效关联和安全管理,保证了量子密钥适用的安全性和唯一性。 传统的PKI系统主要基于非标准对称密码技术完成身份认证、数字签名等功能。 两者的结合应用将带来新的安全特性,可以用来解决更多的应用安全问题。

量子通信是量子信息科学的重要分支,是一种利用量子态作为信息载体进行交互的通信技术。 它受到了传播学研究领域的广泛关注。

1)中继关键技术

通过量子信道为通信双方生成共享密钥的方法可以称为直接量子密钥分发。 光节点和量子节点QKD网络属于直接量子密钥分发网络,受到量子密钥生成的距离和对数量的限制。 ,在实际应用过程中,一般需要采用密钥中继技术,利用多个量子信道上已经生成的量子密钥,通过逐跳中继传输的方式为通信双方生成用户密钥。

2)光交换技术

光交换(光子交换)是​​指不经过任何光电转换,将输入光信号直接交换到指定的光输出端。 由于光交换不涉及电信号,因此不会受到电子设备处理速度的限制,不像高速光纤传输速率匹配可以实现网络的高速交换。 光交换采用M×N矩阵光开关,接收密钥管理系统的指令,在指定端口对之间建立量子光纤链路。

量子密钥分配网络通过光交换连接,使得整个网络更加灵活,网络拓扑层次更加清晰。 也可以在一定程度上降低系统组网成本。

3)经典-量子波分复用技术

经典量子波分复用是一种通过波分复用器将量子信号和经典信号耦合到同一根光纤中,实现共纤传输的技术。 无需为量子信号单独铺设专用光纤,可大大节省投资成本,缩短量子加密服务上线周期。 经典量子波分复用本质上是一种波分复用技术,但与传统波分复用相比,它有特殊的设计。

量子计算时代终于到来,它将与计算机网络通信、人工智能等成熟学科一起对世界产生深远影响。 目前,以非对称算法和对称算法为代表的传统密码学在量子计算面前暴露出安全漏洞。 量子计算具备高效破解传统加密算法的技术条件。 量子计算机可以通过计算或尝试所有密钥方法来快速破解加密密钥。

此外,黑客还将利用不断优化的量子算法来破解当前通信的安全加密算法。 例如:Peter Shor 的算法帮助量子机器找到整数的素因数; 洛夫·格罗弗的算法帮助量子计算机迭代可能的排列。

量子测量是利用量子特性获得更高性能的测量技术,包括量子态的准备和初始化、待测物理场中量子系统的演化、演化量子态的读取以及结果处理输出。 量子测量给出了描述测量后系统的量子态的规则。 量子计算可以凭借其快速的计算能力,结合相应的算法,并与人工智能和大数据技术相结合,提高数据处理能力,从而提高实用性水平。

例如,根据量子保密通信的特点,建设量子安全监控平台,基于基于量子计算的攻击流和敏感业务数据流等信息进行深度测量和分析,识别基于量子的网络攻击行为。计算,搭建攻击平台,依靠有针对性的工具对来破解密码,验证密码安全的鲁棒性。 通过将量子计算和测量技术与垂直行业需求充分结合,技术应用场景和领域将更加广泛。

本文从政务外网应用出发,探讨量子技术在电子政务外网密码、通信、计算、测量场景中的应用。

1、量子密码技术在电子政务外网中的应用

量子卫星中国悟空_量子卫星中国多少个_中国量子卫星/

量子密码技术在政务外网的应用场景结构

1)基于政务云的量子密码服务平台

省政务外网建设了基于虚拟化技术的云密码统一服务平台,为各领域上层用户提供密码服务,供业务应用。 除满足业务系统对密码服务能力的基本要求外,进一步探索云密码统一服务平台与量子密码技术的结合,通过将云密码统一服务平台与量子密码技术相连接,探索基于量子网络的互联密码系统。量子网络 落实思路,适应新网络环境下密码服务的新形势、新需求。

量子卫星中国悟空_中国量子卫星_量子卫星中国多少个/

量子密码技术与省政府云密码统一服务平台的组合架构

整体架构主要分为基础资源层和平台层。 通过量子服务器密码机、量子网络等基础资源建设,结合量子安全服务平台,实现量子密码的灵活调用,为政府外网应用提供量子密码服务。

云密码量子应用最重要的部分是量子安全服务平台的建设,该平台连接量子服务器密码机,利用量子随机数发生器和量子网络提供的密钥资源,提供“量子安全特性”,主要提供量子随机数服务、量子安全认证服务、OTP密钥分发服务、对称密钥输出服务、跨域密钥中继服务、跨域身份协作服务等。

量子密码的实际商业应用包括以下场景:

1、业务系统到用户的安全传输

① 在数据采集业务中,根据用户填写的智能密码密钥,可以将安全传输密钥应用到量子安全服务平台传输到业务系统,并通过“OTP密钥”进行密钥分发配送服务”。 安全分发到用户侧。 在这种场景下,可以将密钥提供给用户应用的客户端直接使用,将要传输的信息加密后传输到业务系统。 业务系统调用量子安全服务平台进行数据加密并获取业务数据。

② 在用户交互业务中(如聊天、文件传输等),用户在业务系统之间形成点对点的会话,发起方为该会话发起会话密钥申请。 量子安全服务平台收到申请后,提供一个量子密钥作为会话密钥,通过“OTP密钥分发服务”将会话密钥安全分发到用户侧。 接收方收到会话请求后,也向量子安全服务平台申请相同的会话密钥。 量子安全服务平台收到申请后,还通过“OTP密钥分发服务”侧将相同的会话密钥安全地分发给用户。

双方获得会话密钥后,利用该密钥基于业务系统通道直接进行密文通信。

2. 系统间安全传输

① 业务系统间安全传输场景下,需要通信的业务系统向统一密码服务平台申请用户互通的对称密钥,统一密码服务平台将请求转发给量子安全服务平台,量子安全服务平台向量子网络发送量子密钥分发申请。 量子网络生成对称密钥后,可以通过安全传递方式将密钥提供给业务系统。 业务系统收到密钥后,使用该密钥进行数据的安全传输。

② 密码系统间密钥同步场景,需要同步密钥的密码系统向量子安全服务平台申请密钥中继服务,量子安全服务平台收到服务后按需向量子网络申请密钥中继服务要求。 量子密钥,之后密码统一服务平台可以将需要中继的密钥发送给量子安全服务平台,量子安全服务平台利用密码统一服务平台之间的数据通道进行身份验证和密钥中继操作。

3、用户可以跨商家、跨密码系统安全登录

用户在不同业务系统之间登录时,如果所属的密码系统不一致,则无法使用之前的认证结果直接登录,必须重新完成认证授权过程。 该场景通过量子网络互连不同密码系统之间的身份认证能力,实现密码系统之间身份凭证的互认。

用户在正常登录密码系统时请求“跨域身份协作服务”。 密码统一服务平台成功验证用户身份后,“跨域身份协作服务”构建量子密码系统之间互认的身份凭证,并通过密码统一服务平台传递。 下发给用户,用户收到该凭证后,可以使用该身份凭证登录原密码系统关联的业务系统,也可以登录其他密码系统关联的业务系统。

2)量子密码技术在RA中的应用

电子政务外网信任服务系统平台是电子政务外网数字证书认证业务管理、运营和服务的基础信息网络。 具有网络覆盖范围广、传输线路长、网络设备庞大的特点。 因此,它是电子政务外网信息安全传输保护的重点。

随着量子计算机的发展,计算能力将大幅提升,加上求解方法的优化,破解公钥算法所依赖的数学问题的计算复杂度将大大降低,破解时间将大大缩短减少了,并且公钥算法是安全的。 与此同时,伴随着数据拦截、光纤窃听、网络攻击等非法技术手段,丢失、泄密的隐患越来越严重。 将受到严重威胁。

保证信息的专属安全、防止数据泄露是长期以来的社会需求和安全使命,而基于量子技术特别是量子密钥分发技术的信息安全传输防御技术,日益成为新一代政务外网信任服务的安全系统平台的基石。

以省政务办公系统身份认证为典型场景,基于量子密钥增强RA系统和量子密钥技术,将数字证书、量子密钥和业务系统访问控制权限关联起来,实现政务外网PC端登录业务系统认证和强身份认证,并采用安全传输隧道来完成终端与服务器之间数据的安全传输,如图:

中国量子卫星_量子卫星中国悟空_量子卫星中国多少个/

在政府外网区域部署RA量子密钥专业安全认证网关。 在用户终端电脑上安装客户端软件,同时插入安全U盾,可为政务办公系统用户的终端安全访问和数据加密传输提供量子安全增强。 服务。 它还兼容现有的CA系统签名验证和电子签名应用。

量子专用安全认证网关与RA对接,实现政府用户身份信任系统验证、证书有效性验证、量子密钥库验证; 与统一身份认证平台对接,实现用户PC终端的安全接入和数据传输加密,保证网络安全和通信层通信实体身份认证以及通信过程中数据传输的机密性和完整性。

该场景中,安全U盾内置数字证书和量子密钥,与量子专用安全认证网关建立量子增强数据传输加密通道,保证用户终端访问数据的机密性和完整性。业务系统。

1)量子加密认证的应用流程如下:

2) 用户申请安全U盾;

3)利用量子密钥增强RA,完成安全U盾数字证书和量子密钥计费;

4)安全USB盾安装与分发;

5)用户使用安全U盾和量子专用安全认证网关进行身份认证;

6) 用户认证通过后,用户终端与量子专用安全认证网关建立量子加密隧道;

7)用户使用构建的量子加密隧道进行业务接入和电子签名。

传统密码学采用数学上困难的模型来保证密钥分发的安全性,而量子密码学是基于量子力学原理生成的密钥,无法预测和破解,具有最高的安全性。 因此,量子密码技术在云密码统一服务平台的应用,可以为政府外网用户提供安全性增强的量子密码服务(效果)。 通过将量子网络融入传统密码系统提供跨域量子密钥服务,可以为系统提供密钥安全协作和数据安全协作。 更高的安全保障,从而提高政务外网密码应用的整体安全性。

1)量子通信网络技术在政务外广域网中的应用

电子政务外网电子认证系统作为国家电子政务网络信任基础设施,其安全直接关系到电子政务外网系统的安全。 、网络攻击等技术手段增强,政务外网“国-省-市-县”电子认证系统四级结构在信息传输的保密性、完整性、真实性等方面受到威胁。

量子安全通信是一种基于信息论安全证明的量子密钥分发技术,结合密钥管理、安全密码算法和协议,提供一种不依赖数学计算复杂性的密钥分发方法。 基于量子密钥分发技术的IPSec VPN安全网关可以支持量子密钥的获取和安全应用,在一定程度上提高政务外网电子认证系统的网络信息传输安全。

系统依托政府外网、北京城域网、国家子安全通信骨干网“京沪干线”和地方城域网,实现省级政府外网RA与国家政府CA之间的量子安全通信。 为政府外网CA与政府RA之间的证书体系业务数据交换实现量子增强网络安全通信和数据传输加密服务。

量子卫星中国多少个_中国量子卫星_量子卫星中国悟空/

量子增强型IPsec VPN网关部署在国家政府CA机房和省级电子政务RA机房。 基于量子城域网提供的量子密钥,采用IP安全协议实现网络层通道加密和数据流控制,提供CARA业务数据。 提供量子增强的安全传输加密保护。 该场景基于现有CARA架构,依托量子保密通信网络,实现政府外网CA与本地RA之间的量子保密通信,为业务实现量子增强网络安全通信和数据传输加密服务证书系统的数据交换。 。

2)量子通信网络技术在政务外网城域网中的应用

该场景借鉴量子​​城域网QKD星型架构,通过量子安全服务平台为量子安全加密网关提供密钥发放和管理,建设量子增强加密专线,构建安全政府对外量子专线线网络。

政务外网量子安全城域网主要由部署在政务云的量子安全服务平台、量子安全加密网关和政务外网量子城域网专线组成。 量子安全服务平台部署在政府云机房,基于量子密钥分发网络,为政府外网和应用提供量子密钥服务。 它将量子安全加密网关设备与加密介质相结合,利用预充的量子密钥与量子安全服务平台进行身份认证和密钥协商,获取量子会话密钥。 使用会话密钥进行端到端数据加密。

省政府云机房、省局出口处部署量子安全加密网关。 基于政府外网量子城域网,实现政府云机房与省局之间的端到端加密传输。

具体组网拓扑如图所示:

中国量子卫星_量子卫星中国悟空_量子卫星中国多少个/

量子安全加密网关是网络架构中的关键节点。 可以从量子安全服务平台获取量子密钥,并利用量子密钥对传输的数据进行加解密,从而形成从省政务云到各省厅局的量子加密专线网络。 。

采用量子加密通信技术与传统专线业务相结合,实现网络接入和组网,可以消除信息被窃取和篡改的问题,保证信息传输的机密性、真实性、完整性和不可否认性。 提供高水平的量子安全防护能力。

量子安全是指即使面对量子计算的挑战也能保证信息安全。 该场景在政府外网云平台上搭建抗量子安全监控平台,基于量子计算识别网络攻击; 并构建基于量子计算的安全能力评估平台,用于验证密码安全的鲁棒性。

1)抗量子攻击安全监控平台

对量子网络的网络结构和敏感业务数据流进行深入分析,构建量子安全监控平台,采集量子安全服务平台数据、密码应用运行状态、基于量子计算的攻击流向、安全防护等基于量子网络特性的状态。 信息。 依托大数据存储计算和大数据分析引擎工具构建检测和深度防御体系,利用沙箱、拟态等技术,有效预警潜在漏洞威胁,实现主动防御攻击。 同时可以通过网络回溯来发现。 并定位威胁源头,并能够在必要时阻断异常的量子计算攻击流。

为了实现量子网络可持续的安全风险监测和管理目标,需要建立能够随时间不断演进的安全架构和技术支撑体系,不断完善自身的防御体系,加强面对威胁和挑战的防御基于量子计算。 “态势”,当前信息安全工作重在“架构安全”和“被动防御”,较少关注“主动防御”和“情报”。 因此,在设计量子网络监控方案时,应重点审视“架构安全”,强化“被动防御”,重点发展“主动防御”,切实提升整体信息安全防护能力。

在完善“被动防御”和“主动防御”时,可以参考当前主流的自适应安全架构。

自适应安全架构将持续监控和分析过程分为四个主要环节:预防预测、预防和防护、检测和监控、响应和调查。 每个环节都包含多种监控分析方法。 支持这些监测和分析方法的基于量子网络和来自互联网的威胁情报的各层数据也要求量子网络本身具备收集、存储和分析安全大数据的技术能力。

抗量子攻击安全监控平台可以覆盖量子网络安全管理的各个方面。 通过平台的建设,将构建以多重安全问题管理为目标,以数据为核心,以威胁情报为特征,串联安全管理检测、响应、预警、防御等环节的完整安全体系。

2)基于量子计算的安全能力评估平台

根据量子网络的特点,搭建攻击平台,组建网络攻击团队。 基于风险评估和实际攻击测试,依靠针对性工具模拟各种攻击技术、攻击工具和安全策略绕过方法,使用专用量子工具箱和量子专业设备验证安全设备、安全策略和配置的有效性,以及安全响应和行动、密码安全的稳健性以及密码技术与行业评估标准的一致性。 评估涵盖物理和环境中的密码应用安全、网络和通信中的密码应用安全、设备和计算中的密码应用安全、应用和数据中的密码应用安全、密钥管理和安全管理六大方面。

帮助安全团队优化安全架构策略,提升系统整体安全防御水平。 同时可以对网络中应用系统或设备的量子密码保障性能、业务运行状况、安全防护状况以及未来发展趋势等进行全面、多维、立体的分析。 态势感知和预测评估。

量子技术作为未来信息通信产业新兴的战略制高点,已成为国家科技实力竞争的主战场之一。

本文基于量子技术,探讨其在专线加密、应用加密、数据加密、身份认证、监控评估、电子政务外网安全能力等场景的应用。 可以为政府应用系统提供密钥和数据安全协作和监控。 And security guarantees in terms of resisting network attacks based on quantum computing and verifying the robustness of government password security, etc., thus ensuring the safe and orderly flow of system business data carried on the e-government extranet to a certain extent, and improving the information security of the government extranet Guarantee capabilities and the security of government extranet passwords.

From a practical point of view, the quantum cryptography system has begun to become practical and has gradually entered the commercialization stage. Especially when quantum computers become a reality, the quantum encryption system may become one of the best choices. Therefore, quantum cryptography It has excellent market prospects and scientific value, but there is still a series of work to be done in the process of commercialization and large-scale application. The transmission rate, bit error rate, transmission distance and good cost performance of quantum signals are still the main issues that need to be solved. Technical issues, domestic and foreign countries are currently committed to the research and exploration of these issues. As these issues and related technologies are gradually solved and in-depth research is carried out, progress and breakthroughs will be made in technology, industry and standards. Quantum technology will be widely used. The advantages of quantum technology will also be fully utilized.

参考:

[1]Guo Guangcan. Quantum cryptography—a new generation of cryptography[J]. Physics and Engineering, 2005, 15(4): 14, 8

[2]Wang Achuan, Song Ci, Cao Jun. A more secure cryptographic technology—quantum cryptography[J]. Chinese Journal of Security Science, 2007,17(1): 107110

[3]Xu Qijian, Jin Xin, Xu Xiaofan. Analysis of the development status and application prospects of quantum communication technology[J]. Journal of China Academy of Electronic Sciences, 2009, 4(5): 491497

[4] Sun Gang. Analysis of quantum cryptography communication in network security technology [J]. Digital Communication World, 2020(9): 9798

[7] Wu Hua, Wang Xiangbin, Pan Jianwei. Status and Prospect of Quantum Communication[J]. Chinese Science: Information Science, 2014, 44(3): 296311

[8]Zhu Huandong, Huang Chunhui. Quantum cryptography technology and its application[J]. Foreign Electronic Measurement Technology, 2006, 25(12): 15

[9] Wang Dong, Li Chunping, Zhang Shurong. Research on Secure Encryption Algorithms in the Quantum Computing Era [J]. Computer and Telecommunications, 2022(4): 8588

[10] Yuan Lei. Quantum Key Digital Certificate System and Its Application[J]. Information Security Research, 2017, 3(6): 494500