其他
【好文推荐】电子政务外网量子技术应用研究
导读:随着量子技术不断取得突破,特别是以美国、欧洲为代表的西方强国量子技术的不断发展,使得我国电子政务外网原有经典密码保障措施受到严重威胁,必须在实际威胁发生前防患于未然;利用量子保密通信技术解决经典密码技术中密钥分发的安全问题,已经成为政务、金融等领域密码应用的重要安全措施.本文基于量子技术探索电子政务外网的专线加密、应用加密、数据加密、识别基于量子计算的网络攻击行为、验证密码安全的健壮性等场景的应用,在一定程度上提高了电子政务外网承载的系统业务数据传输的机密性、完整性、可用性.
朱典、杨阳、陶峰(安徽省大数据中心)
1 量子技术发展现状
1.1国内量子技术发展现状
量子技术是我国重点布局的关键技术,中共中央政治局2020年10月就量子科技研究和应用前景举行集体学习,习总书记强调“要充分认识推动量子科技发展的重要性和紧迫性,加强量子科技发展战略谋划和系统布局,把握大趋势,下好先手棋.”我国布局的重大项目贯穿3个五年计划,发展基础研究、示范应用、试点工程以及基础设施建设等.2011年部署“量子科学实验卫星”项目;2013年部署国家量子保密通信“京沪干线”技术验证及应用示范项目;2018年部署国家广域量子保密通信骨干网络建设一期工程项目,具有清晰的层进关系;2021年6月,量子保密通信“济青干线”顺利建成,于7月正式开通;2022年7月,我国成功发射了全球首颗微纳量子卫星——“济南一号”,这也是继2016年我国研制的世界首颗量子科学实验卫星“墨子号”升空后发射的第2颗量子通信卫星.2021年8月,合肥量子城域网建设正式启动.依托电子政务外网,合肥量子城域网包含8个核心网站点、159个接入网站点,量子密钥分发网络光纤全长1147km.该网为合肥市、区两级数百家党政机关提供量子安全接入服务,也是目前规模最大、用户最多、应用最全的量子保密通信城域网.2022年8月底,已上线运行统一政务信息处理平台、大数据平台等全市综合性平台,业务系统运行平稳.1.2国外量子技术发展现状
在量子科技重要性日益凸显的背景下,以美国、欧洲等为代表的世界主要大国和地区相继启动了量子科技发展计划,加大量子科技发展的经济投入.各国立足于本国实际,出台了一系列多样的量子科技创新发展政策.早在2002年,美国便率先制定了《量子信息科学和技术发展规划》,给出了美国量子科技发展的主要步骤与时间表.2007年,美国防部高级研究计划局将量子科技作为主要核心技术列入了其战略规划.2016年,美国防部开始支持军用量子科技技术发展,量子科技正式进入军队发展计划之中.美国前总统特朗普在2018年签署的《国家量子倡议法案》,正式开启了美国量子领域的“登月计划”.该法案是美国政府统筹推进国内量子科技发展的法律基础,也是美国谋求量子科技技术全球领先地位的战略规划.欧盟于2008年发布了《量子信息处理与通信战略报告》,开始联合欧洲各国发展量子通信技术.2016年3月,欧盟发布《量子宣言》,呼吁欧洲各国参与量子技术旗舰计划,共同建立欧洲的量子科技产业.2014年,英国启动了量子科技发展的第1个“五年计划”,并建成了通信、传感、成像和计算4大研发中心.德国在2018年发布《量子技术:从基础研究到市场》报告,为国家量子科技的发展制定了总体框架.同样在2018年,俄罗斯颁布了“数字经济国家项目”,将量子科技列为9大重点发展对象之一,规划了俄5年内的量子科技研究工作.2 量子技术
2.1量子密码技术
量子密码学是量子力学和密码学交叉产生的学科.安全标准基于经典信息论原理和海森堡不确定性原理.相关实验表明,密钥可以以低比特率短距离传输.它与传统的密钥加密方法相结合,可以显着提高数据传输的保密性[1-2].量子密码学与经典密码学相比,在密钥生成与分发、密码应用、合规性以及应用场景等方面具有明显的优势.量子密码与经典密码区别如表1和表2所示.2.2量子通信技术
量子通信作为量子信息科学的重要分支,是以量子态为信息载体进行信息交互的通信技术, 受到通信研究领域的广泛关注[3-4].2.2.1密钥中继技术
通过量子信道为通信双方生成共享密钥的方式可以称为一种直接量子密钥分发,光学节点及量子节点QKD网络即属于直接量子密钥分发网络[5],受量子密钥生成的距离和配对数量限制,实际应用过程中,一般需采用密钥中继技术[6],利用多个量子信道上已经生成的量子密钥,经过逐跳接力传递的方式为通信双方生成用户密钥.2.2.2光交换技术
光交换(photonic switching)是指不经过任何光电转换,将输入端光信号直接交换到指定的光输出端.由于光交换不涉及电信号,所以不会受到电子器件处理速度的制约,与高速的光纤传输速率匹配,可以实现网络的高速率切换.光交换采用M×N矩阵型光开关[7],接收来自密钥管理系统的指令,在指定端口对之间建立量子光纤链路.量子密钥分发网络通过光交换的连接,使得整个网络的组网更加灵活,网络拓扑层次更加清晰,同时在一定程度上也能降低系统组网成本.2.2.3经典-量子波分复用技术
经典量子波分复用是一种将量子信号与经典信号通过波分复用器耦合到同一根光纤中实现共纤传输的技术,无需单独为量子信号铺设专用光纤,可以极大地节约投入成本、缩短量子加密业务上线周期.经典量子波分复用本质上也是一种波分复用技术,但相较于常规的波分复用具有特殊设计.2.3量子计算与测量技术
量子计算时代终将到来,它将与计算机网络通信和人工智能等既有学科一起对世界产生深远影响.当前,以非对称算法和对称算法为代表的传统密码学在量子计算面前暴露出了安全的脆弱性.量子计算具有高效破解传统加密算法的技术条件,量子计算机能够通过计算或尝试所有密钥方式,快速破解密码密钥.此外,黑客亦会利用持续优化的量子算法破解当前通信的安全加密算法.例如:Peter Shor 的算法帮助量子机器找到整数的质因数;Lov Grover的算法帮助量子计算机迭代可能的排列.量子测量是利用量子特性获得更高性能的测量技术,包括量子态的制备与初始化、量子体系在待测物理场中的演化、演化后量子态读取、结果处理输出.量子测量给出描述系统测量后量子态的规则.量子计算凭借其快速的计算机能力,结合相应的算法并和人工智能、大数据技术结合提升后数据处理能力,可以提升实用化水平.例如针对量子保密通信特性,搭建量子安全监测平台,通过基于量子计算的攻击流以及敏感业务数据流等信息进行深入测量分析,识别基于量子计算的网络攻击行为,搭建攻击平台,依托有针对性的工具对来破解密码,用于验证密码安全的健壮性等,通过将量子计算与测量技术与垂直行业需求充分融合,技术应用场景和领域将更加广泛.3 量子技术应用
本文从政务外网应用出发,探索量子技术在电子政务外网的密码、通信、计算和测量等场景的应用.3.1量子密码技术在电子政务外网的应用
量子密码技术在政务外网的应用场景构架如图1所示:3.1.1基于政务云的量子密码服务平台
省级政务外网建设了云密码统一服务平台,基于虚拟化技术,向上层的各领域用户的业务应用提供密码服务.在满足业务系统对密码服务能力的基本要求之上,进一步探索云密码统一服务平台与量子密码技术的结合,通过将云密码统一服务平台与量子网络进行连接,探索基于量子网络的互联型密码系统实现思路,以适应新型网络环境下密码服务的新形势与新需求.量子密码技术与省政务云密码统一服务平台的结合架构如图2所示.3.1.2量子密码技术在RA的应用
政务外网信任服务体系平台是电子政务外网数字证书认证业务的相关管理、运行和服务工作的信息基础网络,具备网络覆盖范围广、传输线路长、网络设备体量大的特点,因此是电子政务外网信息安全传输防护的重点.随着量子计算机的发展,计算能力将有飞跃性提升,加上求解方法的优化,公钥算法所依赖的数学问题的破解计算复杂度将会大幅下降,破解时间将大幅减少,公钥算法安全性也将大幅下降.同时伴随着数据截取、光纤窃听、网络攻击等非法技术手段,引发失、泄密的隐患日益严重,政务外网信任服务体系平台信息传输的机密性、完整性和真实性等将会受到严重威胁.保障信息专属的安全、防止数据泄露是长期存在的社会需求和安全使命,而基于量子技术的信息安全传输防御技术,特别是量子密钥分发技术越来越显著地成为新一代政务外网信任服务体系平台的安全基石.以省政务办公系统身份认证为典型场景,基于量子密钥增强型RA系统和量子密钥技术,将数字证书、量子密钥与业务系统访问控制权限进行关联,实现政务外网PC终端登录业务系统的认证和强身份鉴别,并采用安全传输隧道完成终端与服务端之间的数据安全传输[10],如图3所示:3.2量子通信技术在电子政务外网的应用
3.2.1量子通信网技术在政务外网广域网的应用
政务外网电子认证系统作为国家级的电子政务网络信任基础设施,其安全与否直接关系到电子政务外网体系的安全.随着量子计算为代表的新型计算技术发展,以及数据截取、光纤窃听、网络攻击等技术手段增强,政务外网电子认证体系“国家—省—市—县”的4级结构,在信息传输的机密性、完整性和真实性等方面受到一定威胁.量子保密通信是基于信息理论安全性证明的量子密钥分发技术,结合密钥管理、安全的密码算法和协议,提供不再依赖数学计算复杂度的密钥分发方法.基于量子密钥分发技术,IPSec VPN 安全网关可支持量子密钥的获取及安全应用,一定程度上提高政务外网电子认证体系的网络信息传输安全性.系统依托政务外网、北京城域网、国家子保密通信骨干网 “京沪干线”及地方城域网,实现省级政务外网RA同国家政务CA之间的量子保密通信.实现政务外网CA与政务RA之间的证书系统业务数据往来的量子增强网络安全通信与数据传输加密服务,如图4所示.3.3量子计算与测量技术应用
量子安全是指即使面对量子计算的挑战也能得到保证的信息安全,本场景在政务外网云平台建设抗量子安全监测平台用于识别基于量子计算的网络攻击行为;以及建设基于量子计算的安全能力评估平台用于验证密码安全的健壮性.3.3.1抗量子攻击安全监测平台
对量子网络的网络结构和敏感业务数据流进行深入分析,针对量子网络的特性通过搭建量子安全监测平台采集量子安全服务平台数据、密码应用运行状态、基于量子计算的攻击流以及安全防护状态等态势信息.依托大数据存储与计算、大数据分析引擎工具构建检测与纵深防御体系,通过沙箱、拟态等技术对潜在的漏洞威胁进行有效预警,并实现对攻击的主动防御,同时通过网络回溯发现和定位威胁来源,在必要时刻能够阻断异常的量子计算的攻击流.为了实现针对量子网络可持续的安全风险监测管理目标,需要建立能够随着时间不断演进的安全架构和技术支撑体系,以在面对基于量子计算的威胁和挑战时不断完善自身防御体系以及强化防御“姿态”,目前信息安全工作都聚焦于“架构安全”和“被动防御”,对“积极防御”和“情报”则涉及较少,因此量子网络在设计监测方案时应该聚焦于回顾“架构安全”补强“被动防御”,重点发展“主动防御”,以有效提高整体信息安全防护能力.在进行“被动防御”改进与“主动防御”进阶时,可以参照目前主流的自适应安全架构.自适应安全架构将持续地监控和分析过程分为:预防预测、阻止与防护、检测与监控、响应与调查4个主要环节,每个环节中包含多个监控和分析方法.而支撑这些监控和分析方法的基于量子网络的各层数据和来自互联网的威胁情报,也因此要求量子网络本身具备安全大数据的采集、存储和分析的技术能力.抗量子攻击安全监测平台可以覆盖量子网络安全管理的各个环节.通过平台的搭建将建设一个以多种安全问题管理为目标、以数据为核心、威胁情报为特色、打通安全管理中的检测、响应、预警、防御多个领域环节的完整安全体系.3.3.2基于量子计算的安全能力评估平台
针对量子网络的特性,搭建攻击平台,组建网络攻击团队,并以风险评估和实际的攻击测试为基础,依托有针对性的工具通过模拟各类攻击手法、攻击工具和安全策略绕过方式,采用专用的量子工具箱和量子专业设备,用于验证安全设备、安全策略和配置,以及安全响应和处置的有效性、密码安全的健壮性和密码技术与行业测评标准的一致性,评估涵盖物理和环境中的密码应用安全、网络和通信中的密码应用安全、设备和计算中的密码应用安全、应用和数据中密码应用安全、密钥管理、安全管理6大方面.帮助安全团队进行安全架构的策略调优,改善系统整体安全防御水平,同时对网络中应用系统或设备的量子密码保障效能、业务运行状态、安全防护状态、未来发展趋势等进行全面、多维、立体的态势感知与预测评估.4 展望
量子技术作为未来信息通信行业的一个新兴战略性制高点,已经成为国家科技实力竞争的主战场之一.本文基于量子技术探索其在电子政务外网的专线加密、应用加密、数据加密、身份认证、监测与评估、安全能力等场景的应用,能够为政务应用系统提供在密钥和数据安全协同、监测和抵抗基于量子计算的网络攻击、验证政务密码安全的健壮性等方面的安全保障,进而在一定程度上保障了电子政务外网上承载的系统业务数据安全有序流动,提升了政务外网信息安全保障能力以及政务外网密码的安全性.从实用的角度来看,量子密码体制开始走向实用化,并已经逐渐进入到商用化阶段,特别是当量子计算机成为现实时,量子加密体制可能成为一种最佳的选择之一,因此量子密码具有极好的市场前景和科学价值,但在商用化、规模化应用过程中还有一系列的工作要做,量子信号的传输速率、误码率、传输距离以及良好的性价比仍是需要解决的主要技术问题,目前国内外正致力于这些问题的研究和探索,随着这些问题和相关技术的逐步解决与深入研究,在技术、产业和标准等方面取得进展和突破,量子技术将得到广泛应用,量子技术的优势也将得到充分的发挥.【参考文献】[1]郭光灿. 量子密码——新一代密码技术[J]. 物理与工程, 2005,15(4): 14,8[2]王阿川, 宋辞, 曹军. 一种更加安全的密码技术——量子密码[J]. 中国安全科学学报, 2007,17(1): 107110[3]徐启建, 金鑫, 徐晓帆. 量子通信技术发展现状及应用前景分析[J]. 中国电子科学研究院学报, 2009, 4(5): 491497[4]孙刚. 关于网络安全技术中的量子密码通信分析[J]. 数字通信世界, 2020(9): 9798[5]李宏伟, 陈巍, 黄靖正, 等. 量子密码安全性研究[J]. 中国科学: 物理学 力学 天文学, 2012, 42(11): 12371255[6]侯嘉, 朱江. 量子密钥分发网络方案研究[J]. 通信技术, 2021, 54(6): 12911300[7]吴华, 王向斌, 潘建伟. 量子通信现状与展望[J]. 中国科学: 信息科学, 2014, 44(3): 296311[8]朱焕东, 黄春晖. 量子密码技术及其应用[J]. 国外电子测量技术, 2006, 25(12): 15[9]王东, 李春平, 张淑荣. 量子计算时代的安全加密算法研究[J]. 电脑与电信, 2022(4): 8588[10]原磊. 量子密钥数字证书系统及其应用[J]. 信息安全研究, 2017, 3(6): 494500[11]许方星, 陈巍, 王双, 等. 多层级量子密码城域网[J]. 科学通报, 2009, 54(16): 22772283
朱典,硕士,高级工程师.主要研究方向为网络与信息安全.
杨阳,硕士,高级工程师.主要研究方向为网络与信息安全.
陶峰,硕士,助理工程师.主要研究方向为密码学、网络与信息安全.
(本文刊载在《信息安全研究》2023年 第9卷 第2期)