随着量子计算技术的指数级发展,基于整数分解、离散对数等数学难题的传统公钥密码体系(如RSA、ECDSA、ECDH)面临根本性威胁。Shor 算法等量子攻击手段可在多项式时间内破解现有加密体系,导致“存储即风险”的被动局面。根据《后量子密码迁移白皮书》(西电广研院联合发布)指出,金融、政务、能源等关键领域需在 2035 年前完成抗量子密码迁移,以规避“先存储后解密”(SNDL)攻击风险。格尔软件基于二十余年密码技术积累,推出抗量子密码服务平台,以全栈技术能力支撑从传统密码到抗量子体系的平滑过渡,为党政、金融等高安全要求行业提供全场景抗量子解决方案。
1、产品介绍
格尔抗量子密码服务平台(PQC-KCSP)是面向云原生与信创环境的国密与抗量子融合密码基础设施,整合硬件纳管、算法集成、服务编排三大核心能力:
异构设备统一管理:兼容传统国密设备(如 KOAL-HSM 系列)与抗量子密码设备,通过标准接口实现算力池化,支持动态负载均衡与主辅设备降级机制。
抗量子算法全集成:集成Dilithium、Kyber、SPHINCS + 等 NIST 标准化后量子算法与国内候选标准,支持 SM2 与后量子算法混合签名、传统 TLS 与抗量子 TLCP 协议共存。
全生命周期服务能力:提供从抗量子密钥生成、证书签发到数据加密的全流程服务,支持多租户隔离、API 级权限控制及密评合规检查。
2、技术架构
平台采用“三层两域”架构设计,实现传统密码与抗量子能力的模块化融合:
(1)底层设备层:算力融合与抗量子硬件扩展
异构设备纳管:支持国密密码机、抗量子密码机、海光 CCP CPU 密码模块等密码设备,通过虚拟化技术将物理设备抽象为“虚拟密码资源池”。
抗量子硬件扩展:预留抗量子密码机专用接口,具备持续算法演进迭代能力,确保长期安全,抵御未来量子计算威胁。
(2)中间服务层:协议升级与服务编排
抗量子安全协议栈:实现抗量子 TLS 1.4 协议,支持 X25519+Kyber-512 混合密钥交换。
支持双证书体系:签发包含 SM2 公钥与 Dilithium 公钥的混合 X.509 证书,兼容现有 PKI 体系。
密码服务工厂模式:通过国密应用中间件提供统一 SDK,封装 12 类 48 种密码接口,全面支持抗量子算法国际标准和国内候选标准。
(3)应用管理层:迁移策略与合规保障
分阶段迁移引擎:采用“设备升级→协议混合→全量切换”三阶段策略和设计,支持按业务风险等级动态切换算法组合,如对核心交易优先启用 Dilithium 签名。
密评自动化工具:对接格尔抗量子密码态势感知平台,提供合规检查集成模块,可自动生成密评报告。
3、产品特色
格尔抗量子密码服务平台具备以下特色:
自建抗量子安全生态,提供一站式迁移方案:与自研抗量子安全密码机,PKI/CA和网关对接,帮助企业在密码设备、身份基础设施和网络通讯多层面,一站式迁移至抗量子安全状态;
开放接入能力,为应用提供集约化抗量子安全服务:支持抗量子安全密钥管理,签名验签,时间戳、协同签名等密码应用深度对接,为业务提供针对密钥证书资源,加密数据和签名数据等关键业务数据的统一迁移平台;整合已有密码服务能力,针对政务、金融、保险等领域和移动端终端,IoT设备上的特殊密码使用场景,提供全链路抗量子安全迁移方案。
统一抗量子安全密码模块,满足高效迁移需求:提供便于业务应用集成的统一抗量子安全密码模块,统一安全模块屏蔽底层异构的密码设备和密码服务,使用统一更换的后量子算法访问凭证,提升迁移改造效率。
平台自身管理抵抗量子攻击:平台和密码服务使用的密钥支持升级后量子算法密钥,平台管理和访问支持通过后量子算法链路,保证自身安全性。
4、行业案例
某金融客户为应对面临量子计算对传统密码体系的威胁,着手构建抗量子安全架构,同时探索量子计算在金融场景的应用价值。项目涵盖抗量子计算平台、抗量子通讯验证、后量子密码迁移等。格尔为该行部署抗量子密码服务平台,基于“密钥管理层 - 服务层”架构,以密钥管理系统(PQC-KMS)为核心,集成密码服务节点(PQC-KCSP)与认证服务节点(PQC-IAM)。平台支持 NIST 首批抗量子算法标准和国密候选标准,实现签名验签、加解密、密钥管理等功能的抗量子升级。通过混合部署模式,兼容现有 SM2 密码设备,设计“存量系统混合验证→核心系统全量切换”迁移路线图,避免重复建设,提升资源利用率。
本文来源:财经报道网
非特殊说明,本博所有文章均为博主原创。
如若转载,请注明出处:http://www.mvteam.cn/20574/
共有 0 条评论