【編者按】隨著量子計算技術的指數級發展,基于整數分解、離散對數等數學難題的傳統公鑰密碼體系(如RSA、ECDSA、ECDH)面臨根本性威脅。Shor 算法等量...
隨著量子計算技術的指數級發展,基于整數分解、離散對數等數學難題的傳統公鑰密碼體系(如RSA、ECDSA、ECDH)面臨根本性威脅。Shor 算法等量子攻擊手段可在多項式時間內破解現有加密體系,導致“存儲即風險”的被動局面。根據《后量子密碼遷移白皮書》(西電廣研院聯合發布)指出,金融、政務、能源等關鍵領域需在 2035 年前完成抗量子密碼遷移,以規避“先存儲后解密”(SNDL)攻擊風險。格爾軟件基于二十余年密碼技術積累,推出抗量子密碼服務平臺,以全棧技術能力支撐從傳統密碼到抗量子體系的平滑過渡,為黨政、金融等高安全要求行業提供全場景抗量子解決方案。
1、產品介紹
格爾抗量子密碼服務平臺(PQC-KCSP)是面向云原生與信創環境的國密與抗量子融合密碼基礎設施,整合硬件納管、算法集成、服務編排三大核心能力:
異構設備統一管理:兼容傳統國密設備(如 KOAL-HSM 系列)與抗量子密碼設備,通過標準接口實現算力池化,支持動態負載均衡與主輔設備降級機制。
抗量子算法全集成:集成Dilithium、Kyber、SPHINCS 等 NIST 標準化后量子算法與國內候選標準,支持 SM2 與后量子算法混合簽名、傳統 TLS 與抗量子 TLCP 協議共存。
全生命周期服務能力:提供從抗量子密鑰生成、證書簽發到數據加密的全流程服務,支持多租戶隔離、API 級權限控制及密評合規檢查。
2、技術架構
平臺采用“三層兩域”架構設計,實現傳統密碼與抗量子能力的模塊化融合:
(1)底層設備層:算力融合與抗量子硬件擴展
異構設備納管:支持國密密碼機、抗量子密碼機、海光 CCP CPU 密碼模塊等密碼設備,通過虛擬化技術將物理設備抽象為“虛擬密碼資源池”。
抗量子硬件擴展:預留抗量子密碼機專用接口,具備持續算法演進迭代能力,確保長期安全,抵御未來量子計算威脅。
(2)中間服務層:協議升級與服務編排
抗量子安全協議棧:實現抗量子 TLS 1.4 協議,支持 X25519 Kyber-512 混合密鑰交換。
支持雙證書體系:簽發包含 SM2 公鑰與 Dilithium 公鑰的混合 X.509 證書,兼容現有 PKI 體系。
密碼服務工廠模式:通過國密應用中間件提供統一 SDK,封裝 12 類 48 種密碼接口,全面支持抗量子算法國際標準和國內候選標準。
(3) 應用管理層:遷移策略與合規保障
分階段遷移引擎:采用“設備升級→協議混合→全量切換”三階段策略和設計,支持按業務風險等級動態切換算法組合,如對核心交易優先啟用 Dilithium 簽名。
密評自動化工具:對接格爾抗量子密碼態勢感知平臺,提供合規檢查集成模塊,可自動生成密評報告。
3、產品特色
格爾抗量子密碼服務平臺具備以下特色:
自建抗量子安全生態,提供一站式遷移方案 :與自研抗量子安全密碼機,PKI/CA和網關對接,幫助企業在密碼設備、身份基礎設施和網絡通訊多層面,一站式遷移至抗量子安全狀態;
開放接入能力,為應用提供集約化抗量子安全服務 :支持抗量子安全密鑰管理,簽名驗簽,時間戳、協同簽名等密碼應用深度對接,為業務提供針對密鑰證書資源,加密數據和簽名數據等關鍵業務數據的統一遷移平臺;整合已有密碼服務能力,針對政務、金融、保險等領域和移動端終端,IoT設備上的特殊密碼使用場景,提供全鏈路抗量子安全遷移方案。
統一抗量子安全密碼模塊,滿足高效遷移需求 :提供便于業務應用集成的統一抗量子安全密碼模塊,統一安全模塊屏蔽底層異構的密碼設備和密碼服務,使用統一更換的后量子算法訪問憑證,提升遷移改造效率。
平臺自身管理抵抗量子攻擊 :平臺和密碼服務使用的密鑰支持升級后量子算法密鑰,平臺管理和訪問支持通過后量子算法鏈路,保證自身安全性。
4、行業案例
某金融客戶為應對面臨量子計算對傳統密碼體系的威脅,著手構建抗量子安全架構,同時探索量子計算在金融場景的應用價值。項目涵蓋抗量子計算平臺、抗量子通訊驗證、后量子密碼遷移等。格爾為該行部署抗量子密碼服務平臺,基于“密鑰管理層 - 服務層”架構,以密鑰管理系統(PQC-KMS)為核心,集成密碼服務節點(PQC-KCSP)與認證服務節點(PQC-IAM)。平臺支持 NIST 首批抗量子算法標準和國密候選標準,實現簽名驗簽、加解密、密鑰管理等功能的抗量子升級。通過混合部署模式,兼容現有 SM2 密碼設備,設計“存量系統混合驗證→核心系統全量切換”遷移路線圖,避免重復建設,提升資源利用率。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
