電子政務(wù)外網(wǎng)量子技術(shù)應(yīng)用研究

朱 典 楊 陽(yáng) 陶 峰

(安徽省大數(shù)據(jù)中心 合肥 230001)

1 量子技術(shù)發(fā)展現(xiàn)狀

1.1 國(guó)內(nèi)量子技術(shù)發(fā)展現(xiàn)狀

量子技術(shù)是我國(guó)重點(diǎn)布局的關(guān)鍵技術(shù)，中共中央政治局2020年10月就量子科技研究和應(yīng)用前景舉行集體學(xué)習(xí)，習(xí)總書(shū)記強(qiáng)調(diào)“要充分認(rèn)識(shí)推動(dòng)量子科技發(fā)展的重要性和緊迫性，加強(qiáng)量子科技發(fā)展戰(zhàn)略謀劃和系統(tǒng)布局，把握大趨勢(shì)，下好先手棋.”

我國(guó)布局的重大項(xiàng)目貫穿3個(gè)五年計(jì)劃，發(fā)展基礎(chǔ)研究、示范應(yīng)用、試點(diǎn)工程以及基礎(chǔ)設(shè)施建設(shè)等.2011年部署“量子科學(xué)實(shí)驗(yàn)衛(wèi)星”項(xiàng)目；2013年部署國(guó)家量子保密通信“京滬干線”技術(shù)驗(yàn)證及應(yīng)用示范項(xiàng)目；2018年部署國(guó)家廣域量子保密通信骨干網(wǎng)絡(luò)建設(shè)一期工程項(xiàng)目，具有清晰的層進(jìn)關(guān)系；2021年6月，量子保密通信“濟(jì)青干線”順利建成，于7月正式開(kāi)通；2022年7月，我國(guó)成功發(fā)射了全球首顆微納量子衛(wèi)星——“濟(jì)南一號(hào)”，這也是繼2016年我國(guó)研制的世界首顆量子科學(xué)實(shí)驗(yàn)衛(wèi)星“墨子號(hào)”升空后發(fā)射的第2顆量子通信衛(wèi)星.

2021年8月，合肥量子城域網(wǎng)建設(shè)正式啟動(dòng).依托電子政務(wù)外網(wǎng)，合肥量子城域網(wǎng)包含8個(gè)核心網(wǎng)站點(diǎn)、159個(gè)接入網(wǎng)站點(diǎn)，量子密鑰分發(fā)網(wǎng)絡(luò)光纖全長(zhǎng)1 147 km.該網(wǎng)為合肥市、區(qū)兩級(jí)數(shù)百家黨政機(jī)關(guān)提供量子安全接入服務(wù)，也是目前規(guī)模最大、用戶最多、應(yīng)用最全的量子保密通信城域網(wǎng).2022年8月底，已上線運(yùn)行統(tǒng)一政務(wù)信息處理平臺(tái)、大數(shù)據(jù)平臺(tái)等全市綜合性平臺(tái)，業(yè)務(wù)系統(tǒng)運(yùn)行平穩(wěn).

1.2 國(guó)外量子技術(shù)發(fā)展現(xiàn)狀

在量子科技重要性日益凸顯的背景下，以美國(guó)、歐洲等為代表的世界主要大國(guó)和地區(qū)相繼啟動(dòng)了量子科技發(fā)展計(jì)劃，加大量子科技發(fā)展的經(jīng)濟(jì)投入.各國(guó)立足于本國(guó)實(shí)際，出臺(tái)了一系列多樣的量子科技創(chuàng)新發(fā)展政策.

早在2002年，美國(guó)便率先制定了《量子信息科學(xué)和技術(shù)發(fā)展規(guī)劃》，給出了美國(guó)量子科技發(fā)展的主要步驟與時(shí)間表.2007年，美國(guó)防部高級(jí)研究計(jì)劃局將量子科技作為主要核心技術(shù)列入了其戰(zhàn)略規(guī)劃.2016年，美國(guó)防部開(kāi)始支持軍用量子科技技術(shù)發(fā)展，量子科技正式進(jìn)入軍隊(duì)發(fā)展計(jì)劃之中.美國(guó)前總統(tǒng)特朗普在2018年簽署的《國(guó)家量子倡議法案》，正式開(kāi)啟了美國(guó)量子領(lǐng)域的“登月計(jì)劃”.該法案是美國(guó)政府統(tǒng)籌推進(jìn)國(guó)內(nèi)量子科技發(fā)展的法律基礎(chǔ)，也是美國(guó)謀求量子科技技術(shù)全球領(lǐng)先地位的戰(zhàn)略規(guī)劃.

歐盟于2008年發(fā)布了《量子信息處理與通信戰(zhàn)略報(bào)告》，開(kāi)始聯(lián)合歐洲各國(guó)發(fā)展量子通信技術(shù).2016年3月，歐盟發(fā)布《量子宣言》，呼吁歐洲各國(guó)參與量子技術(shù)旗艦計(jì)劃，共同建立歐洲的量子科技產(chǎn)業(yè).2014年，英國(guó)啟動(dòng)了量子科技發(fā)展的第1個(gè)“五年計(jì)劃”，并建成了通信、傳感、成像和計(jì)算4大研發(fā)中心.德國(guó)在2018年發(fā)布《量子技術(shù)：從基礎(chǔ)研究到市場(chǎng)》報(bào)告，為國(guó)家量子科技的發(fā)展制定了總體框架.同樣在2018年，俄羅斯頒布了“數(shù)字經(jīng)濟(jì)國(guó)家項(xiàng)目”，將量子科技列為9大重點(diǎn)發(fā)展對(duì)象之一，規(guī)劃了俄5年內(nèi)的量子科技研究工作.

2 量子技術(shù)

2.1 量子密碼技術(shù)

量子密碼學(xué)是量子力學(xué)和密碼學(xué)交叉產(chǎn)生的學(xué)科.安全標(biāo)準(zhǔn)基于經(jīng)典信息論原理和海森堡不確定性原理.相關(guān)實(shí)驗(yàn)表明，密鑰可以以低比特率短距離傳輸.它與傳統(tǒng)的密鑰加密方法相結(jié)合，可以顯著提高數(shù)據(jù)傳輸?shù)谋Ｃ苄訹1-2].量子密碼學(xué)與經(jīng)典密碼學(xué)相比，在密鑰生成與分發(fā)、密碼應(yīng)用、合規(guī)性以及應(yīng)用場(chǎng)景等方面具有明顯的優(yōu)勢(shì).

量子密碼與經(jīng)典密碼區(qū)別如表1和表2所示.

表1 量子密碼與經(jīng)典密碼的應(yīng)用對(duì)比

表2 量子密碼與經(jīng)典密碼的應(yīng)用場(chǎng)景對(duì)比

通過(guò)分析可知在證書(shū)和量子密鑰管理過(guò)程中，對(duì)證書(shū)用戶真實(shí)身份、量子密鑰、證書(shū)三者進(jìn)行有效關(guān)聯(lián)和安全管理，確保量子密鑰的適用安全和唯一性，傳統(tǒng)PKI體系主要基于非對(duì)稱密碼體制完成身份認(rèn)證、數(shù)字簽名等功能，兩者的結(jié)合應(yīng)用將帶來(lái)新的安全特性，可用于解決更多應(yīng)用安全問(wèn)題.

2.2 量子通信技術(shù)

量子通信作為量子信息科學(xué)的重要分支，是以量子態(tài)為信息載體進(jìn)行信息交互的通信技術(shù), 受到通信研究領(lǐng)域的廣泛關(guān)注[3-4].

2.2.1 密鑰中繼技術(shù)

通過(guò)量子信道為通信雙方生成共享密鑰的方式可以稱為一種直接量子密鑰分發(fā)，光學(xué)節(jié)點(diǎn)及量子節(jié)點(diǎn)QKD網(wǎng)絡(luò)即屬于直接量子密鑰分發(fā)網(wǎng)絡(luò)[5]，受量子密鑰生成的距離和配對(duì)數(shù)量限制，實(shí)際應(yīng)用過(guò)程中，一般需采用密鑰中繼技術(shù)[6]，利用多個(gè)量子信道上已經(jīng)生成的量子密鑰，經(jīng)過(guò)逐跳接力傳遞的方式為通信雙方生成用戶密鑰.

2.2.2 光交換技術(shù)

光交換(photonic switching)是指不經(jīng)過(guò)任何光電轉(zhuǎn)換，將輸入端光信號(hào)直接交換到指定的光輸出端.由于光交換不涉及電信號(hào)，所以不會(huì)受到電子器件處理速度的制約，與高速的光纖傳輸速率匹配，可以實(shí)現(xiàn)網(wǎng)絡(luò)的高速率切換.光交換采用M×N矩陣型光開(kāi)關(guān)[7]，接收來(lái)自密鑰管理系統(tǒng)的指令，在指定端口對(duì)之間建立量子光纖鏈路.

量子密鑰分發(fā)網(wǎng)絡(luò)通過(guò)光交換的連接，使得整個(gè)網(wǎng)絡(luò)的組網(wǎng)更加靈活，網(wǎng)絡(luò)拓?fù)鋵哟胃忧逦瑫r(shí)在一定程度上也能降低系統(tǒng)組網(wǎng)成本.

2.2.3 經(jīng)典-量子波分復(fù)用技術(shù)

經(jīng)典-量子波分復(fù)用是一種將量子信號(hào)與經(jīng)典信號(hào)通過(guò)波分復(fù)用器耦合到同一根光纖中實(shí)現(xiàn)共纖傳輸?shù)募夹g(shù)，無(wú)需單獨(dú)為量子信號(hào)鋪設(shè)專用光纖，可以極大地節(jié)約投入成本、縮短量子加密業(yè)務(wù)上線周期.經(jīng)典-量子波分復(fù)用本質(zhì)上也是一種波分復(fù)用技術(shù)，但相較于常規(guī)的波分復(fù)用具有特殊設(shè)計(jì).

2.3 量子計(jì)算與測(cè)量技術(shù)

量子計(jì)算時(shí)代終將到來(lái)，它將與計(jì)算機(jī)網(wǎng)絡(luò)通信和人工智能等既有學(xué)科一起對(duì)世界產(chǎn)生深遠(yuǎn)影響.當(dāng)前，以非對(duì)稱算法和對(duì)稱算法為代表的傳統(tǒng)密碼學(xué)在量子計(jì)算面前暴露出了安全的脆弱性.量子計(jì)算具有高效破解傳統(tǒng)加密算法的技術(shù)條件，量子計(jì)算機(jī)能夠通過(guò)計(jì)算或嘗試所有密鑰方式，快速破解密碼密鑰.此外，黑客亦會(huì)利用持續(xù)優(yōu)化的量子算法破解當(dāng)前通信的安全加密算法.例如：Peter Shor 的算法幫助量子機(jī)器找到整數(shù)的質(zhì)因數(shù)；Lov Grover的算法幫助量子計(jì)算機(jī)迭代可能的排列.

量子測(cè)量是利用量子特性獲得更高性能的測(cè)量技術(shù)，包括量子態(tài)的制備與初始化、量子體系在待測(cè)物理場(chǎng)中的演化、演化后量子態(tài)讀取、結(jié)果處理輸出.量子測(cè)量給出描述系統(tǒng)測(cè)量后量子態(tài)的規(guī)則.量子計(jì)算憑借其快速的計(jì)算機(jī)能力，結(jié)合相應(yīng)的算法并和人工智能、大數(shù)據(jù)技術(shù)結(jié)合提升后數(shù)據(jù)處理能力，可以提升實(shí)用化水平.例如針對(duì)量子保密通信特性，搭建量子安全監(jiān)測(cè)平臺(tái)，通過(guò)基于量子計(jì)算的攻擊流以及敏感業(yè)務(wù)數(shù)據(jù)流等信息進(jìn)行深入測(cè)量分析，識(shí)別基于量子計(jì)算的網(wǎng)絡(luò)攻擊行為，搭建攻擊平臺(tái)，依托有針對(duì)性的工具對(duì)來(lái)破解密碼，用于驗(yàn)證密碼安全的健壯性等，通過(guò)將量子計(jì)算與測(cè)量技術(shù)與垂直行業(yè)需求充分融合，技術(shù)應(yīng)用場(chǎng)景和領(lǐng)域?qū)⒏訌V泛.

3 量子技術(shù)應(yīng)用

本文從政務(wù)外網(wǎng)應(yīng)用出發(fā)，探索量子技術(shù)在電子政務(wù)外網(wǎng)的密碼、通信、計(jì)算和測(cè)量等場(chǎng)景的應(yīng)用.

3.1 量子密碼技術(shù)在電子政務(wù)外網(wǎng)的應(yīng)用

量子密碼技術(shù)在政務(wù)外網(wǎng)的應(yīng)用場(chǎng)景構(gòu)架如圖1所示：

3.1.1 基于政務(wù)云的量子密碼服務(wù)平臺(tái)

省級(jí)政務(wù)外網(wǎng)建設(shè)了云密碼統(tǒng)一服務(wù)平臺(tái)，基于虛擬化技術(shù)，向上層的各領(lǐng)域用戶的業(yè)務(wù)應(yīng)用提供密碼服務(wù).在滿足業(yè)務(wù)系統(tǒng)對(duì)密碼服務(wù)能力的基本要求之上，進(jìn)一步探索云密碼統(tǒng)一服務(wù)平臺(tái)與量子密碼技術(shù)的結(jié)合，通過(guò)將云密碼統(tǒng)一服務(wù)平臺(tái)與量子網(wǎng)絡(luò)進(jìn)行連接，探索基于量子網(wǎng)絡(luò)的互聯(lián)型密碼系統(tǒng)實(shí)現(xiàn)思路，以適應(yīng)新型網(wǎng)絡(luò)環(huán)境下密碼服務(wù)的新形勢(shì)與新需求.量子密碼技術(shù)與省政務(wù)云密碼統(tǒng)一服務(wù)平臺(tái)的結(jié)合架構(gòu)如圖2所示.

圖2 量子密碼技術(shù)與省政務(wù)云密碼統(tǒng)一服務(wù)平臺(tái)結(jié)合架構(gòu)

整體架構(gòu)主要分為基礎(chǔ)資源層和平臺(tái)層，通過(guò)構(gòu)建量子服務(wù)器密碼機(jī)、量子網(wǎng)絡(luò)等基礎(chǔ)資源，結(jié)合量子安全服務(wù)平臺(tái)，實(shí)現(xiàn)量子密碼的靈活調(diào)用，為政務(wù)外網(wǎng)應(yīng)用提供量子密碼服務(wù).

云密碼的量子應(yīng)用最主要的就是量子安全服務(wù)平臺(tái)的建設(shè)，其對(duì)接量子服務(wù)器密碼機(jī)，使用量子隨機(jī)數(shù)發(fā)生器和量子網(wǎng)絡(luò)提供的密鑰資源，提供具有“量子安全特色”的服務(wù)，主要提供量子隨機(jī)數(shù)服務(wù)、量子安全認(rèn)證服務(wù)、OTP密鑰分發(fā)服務(wù)、對(duì)稱密鑰輸出服務(wù)、跨域密鑰中繼服務(wù)、跨域身份協(xié)同服務(wù)等[8].量子密碼在實(shí)際的業(yè)務(wù)使用中包括如下場(chǎng)景：

1) 業(yè)務(wù)系統(tǒng)至用戶安全傳輸.

① 在數(shù)據(jù)采集型業(yè)務(wù)中，基于用戶智能密碼鑰匙內(nèi)充注的密鑰，可向量子安全服務(wù)平臺(tái)內(nèi)申請(qǐng)傳輸至業(yè)務(wù)系統(tǒng)的安全傳輸密鑰，并通過(guò)“OTP密鑰分發(fā)服務(wù)”將密鑰安全分發(fā)至用戶側(cè)，該場(chǎng)景下密鑰可提供給用戶應(yīng)用的客戶端直接使用，并將需要傳輸?shù)男畔⑦M(jìn)行加密[9]，傳遞至業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)調(diào)取量子安全服務(wù)平臺(tái)進(jìn)行數(shù)據(jù)加密，獲得業(yè)務(wù)數(shù)據(jù).

② 在用戶交互型業(yè)務(wù)中(如聊天、文件傳輸)，用戶間在業(yè)務(wù)系統(tǒng)間形成一個(gè)點(diǎn)對(duì)點(diǎn)會(huì)話，并由發(fā)起方發(fā)起該會(huì)話的會(huì)話密鑰申請(qǐng)，量子安全服務(wù)平臺(tái)接收到申請(qǐng)后提供1個(gè)量子密鑰作為會(huì)話密鑰，并通過(guò)“OTP密鑰分發(fā)服務(wù)”將會(huì)話密鑰安全分發(fā)至用戶側(cè).待接收方接收到會(huì)話請(qǐng)求后，也向量子安全服務(wù)平臺(tái)申請(qǐng)同一個(gè)會(huì)話密鑰，量子安全服務(wù)平臺(tái)接收到申請(qǐng)后，也通過(guò)“OTP密鑰分發(fā)服務(wù)”將同一個(gè)會(huì)話密鑰安全分發(fā)至用戶側(cè).

雙方獲取到會(huì)話密鑰后，使用該密鑰進(jìn)行基于業(yè)務(wù)系統(tǒng)通道的密文直接通信.

2) 系統(tǒng)間安全傳輸.

① 在業(yè)務(wù)系統(tǒng)間安全傳輸場(chǎng)景中，需要通信的業(yè)務(wù)系統(tǒng)間向密碼統(tǒng)一服務(wù)平臺(tái)申請(qǐng)用戶互通的對(duì)稱密鑰，密碼統(tǒng)一服務(wù)平臺(tái)將該請(qǐng)求轉(zhuǎn)發(fā)至量子安全服務(wù)平臺(tái)，并由量子安全服務(wù)平臺(tái)向量子網(wǎng)絡(luò)申請(qǐng)進(jìn)行量子密鑰分發(fā)，量子網(wǎng)絡(luò)產(chǎn)生對(duì)稱密鑰后，可將密鑰通過(guò)安全的下發(fā)方式提供給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)接收到密鑰后，使用該密鑰進(jìn)行數(shù)據(jù)安全傳輸.

② 在密碼系統(tǒng)間密鑰同步場(chǎng)景中，需要進(jìn)行密鑰同步的密碼系統(tǒng)分別向量子安全服務(wù)平臺(tái)申請(qǐng)密鑰中繼服務(wù)，量子安全服務(wù)平臺(tái)收到服務(wù)請(qǐng)求后按需向量子網(wǎng)絡(luò)申請(qǐng)等長(zhǎng)的量子密鑰，之后密碼統(tǒng)一服務(wù)平臺(tái)可將需要中繼的密鑰發(fā)給量子安全服務(wù)平臺(tái)，由量子安全服務(wù)平臺(tái)使用密碼統(tǒng)一服務(wù)平臺(tái)間的數(shù)據(jù)通道進(jìn)行身份校驗(yàn)及密鑰中繼操作.

3) 用戶跨業(yè)務(wù)、密碼系統(tǒng)安全登錄.

當(dāng)用戶在不同業(yè)務(wù)系統(tǒng)間進(jìn)行登錄時(shí)，如果發(fā)生所屬密碼系統(tǒng)不一致的情況，無(wú)法使用之前的認(rèn)證結(jié)果進(jìn)行直接登錄，而要重新完成認(rèn)證及授權(quán)流程.本場(chǎng)景通過(guò)量子網(wǎng)絡(luò)為不同密碼系統(tǒng)間的身份認(rèn)證能力互聯(lián)，實(shí)現(xiàn)了密碼系統(tǒng)間身份憑證的互認(rèn).

用戶在正常登錄密碼系統(tǒng)時(shí)請(qǐng)求“跨域身份協(xié)同服務(wù)”，密碼統(tǒng)一服務(wù)平臺(tái)在認(rèn)證用戶成功后，“跨域身份協(xié)同服務(wù)”構(gòu)造量子密碼系統(tǒng)間互認(rèn)的身份憑證，并通過(guò)密碼統(tǒng)一服務(wù)平臺(tái)下發(fā)給用戶，用戶收到該憑證后既可以用該身份憑證登錄原密碼系統(tǒng)關(guān)聯(lián)的業(yè)務(wù)系統(tǒng)，也可以來(lái)登錄另外一個(gè)密碼系統(tǒng)關(guān)聯(lián)的業(yè)務(wù)系統(tǒng).

3.1.2 量子密碼技術(shù)在RA的應(yīng)用

政務(wù)外網(wǎng)信任服務(wù)體系平臺(tái)是電子政務(wù)外網(wǎng)數(shù)字證書(shū)認(rèn)證業(yè)務(wù)的相關(guān)管理、運(yùn)行和服務(wù)工作的信息基礎(chǔ)網(wǎng)絡(luò)，具備網(wǎng)絡(luò)覆蓋范圍廣、傳輸線路長(zhǎng)、網(wǎng)絡(luò)設(shè)備體量大的特點(diǎn)，因此是電子政務(wù)外網(wǎng)信息安全傳輸防護(hù)的重點(diǎn).隨著量子計(jì)算機(jī)的發(fā)展，計(jì)算能力將有飛躍性提升，加上求解方法的優(yōu)化，公鑰算法所依賴的數(shù)學(xué)問(wèn)題的破解計(jì)算復(fù)雜度將會(huì)大幅下降，破解時(shí)間將大幅減少，公鑰算法安全性也將大幅下降.同時(shí)伴隨著數(shù)據(jù)截取、光纖竊聽(tīng)、網(wǎng)絡(luò)攻擊等非法技術(shù)手段，引發(fā)失、泄密的隱患日益嚴(yán)重，政務(wù)外網(wǎng)信任服務(wù)體系平臺(tái)信息傳輸?shù)臋C(jī)密性、完整性和真實(shí)性等將會(huì)受到嚴(yán)重威脅.

保障信息專屬的安全、防止數(shù)據(jù)泄露是長(zhǎng)期存在的社會(huì)需求和安全使命，而基于量子技術(shù)的信息安全傳輸防御技術(shù)，特別是量子密鑰分發(fā)技術(shù)越來(lái)越顯著地成為新一代政務(wù)外網(wǎng)信任服務(wù)體系平臺(tái)的安全基石.

以省政務(wù)辦公系統(tǒng)身份認(rèn)證為典型場(chǎng)景，基于量子密鑰增強(qiáng)型RA系統(tǒng)和量子密鑰技術(shù)，將數(shù)字證書(shū)、量子密鑰與業(yè)務(wù)系統(tǒng)訪問(wèn)控制權(quán)限進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)政務(wù)外網(wǎng)PC終端登錄業(yè)務(wù)系統(tǒng)的認(rèn)證和強(qiáng)身份鑒別，并采用安全傳輸隧道完成終端與服務(wù)端之間的數(shù)據(jù)安全傳輸[10]，如圖3所示：

圖3 量子增強(qiáng)身份認(rèn)證與加密傳輸示意圖

在政務(wù)外網(wǎng)區(qū)部署RA量子密鑰專業(yè)安全認(rèn)證網(wǎng)關(guān)，客戶端軟件安裝在用戶終端計(jì)算機(jī)上，同時(shí)插入安全U盾，可為政務(wù)辦公系統(tǒng)用戶提供終端安全接入和數(shù)據(jù)加密傳輸?shù)牧孔影踩鰪?qiáng)服務(wù).并兼容現(xiàn)有的CA體系簽名驗(yàn)簽、電子簽章應(yīng)用.

量子專用安全認(rèn)證網(wǎng)關(guān)與RA對(duì)接，實(shí)現(xiàn)政務(wù)用戶身份信任體系校驗(yàn)、證書(shū)有效性驗(yàn)證和量子密鑰庫(kù)驗(yàn)證；與統(tǒng)一身份認(rèn)證平臺(tái)對(duì)接，實(shí)現(xiàn)用戶PC終端安全接入和數(shù)據(jù)傳輸加密，保障網(wǎng)絡(luò)和通信層面通信實(shí)體身份鑒別和通信過(guò)程中數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾?

該場(chǎng)景下，安全U盾內(nèi)置數(shù)字證書(shū)和量子密鑰，通過(guò)與量子專用安全認(rèn)證網(wǎng)關(guān)建立量子增強(qiáng)的數(shù)據(jù)傳輸加密通道，保障用戶終端訪問(wèn)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的保密性和完整性.量子加密認(rèn)證的應(yīng)用流程如下：

1) 用戶申請(qǐng)安全U盾；

2) 通過(guò)量子密鑰增強(qiáng)RA完成安全U盾數(shù)字證書(shū)及量子密鑰充注；

3) 安全U盾安裝及下發(fā)；

4) 用戶使用安全U盾同量子專用安全認(rèn)證網(wǎng)關(guān)進(jìn)行身份認(rèn)證；

5) 用戶認(rèn)證通過(guò)后，用戶終端同量子專用安全認(rèn)證網(wǎng)關(guān)建立量子加密隧道；

6) 用戶使用建設(shè)的量子加密隧道進(jìn)行業(yè)務(wù)訪問(wèn)和電子簽名等業(yè)務(wù).

傳統(tǒng)密碼學(xué)是利用數(shù)學(xué)困難模型保證密鑰分發(fā)安全，而量子密碼是基于量子力學(xué)原理產(chǎn)生的密鑰，無(wú)法被預(yù)測(cè)破解，安全性最高，因此量子密碼技術(shù)在云密碼統(tǒng)一服務(wù)平臺(tái)中的應(yīng)用，可為政務(wù)外網(wǎng)用戶提供安全增強(qiáng)級(jí)的量子密碼服務(wù)(成效)，通過(guò)在傳統(tǒng)密碼系統(tǒng)內(nèi)融入量子網(wǎng)絡(luò)提供跨域量子密鑰服務(wù)，能夠?yàn)橄到y(tǒng)在密鑰安全協(xié)同、數(shù)據(jù)安全協(xié)同等方面提供更高的安全保障，從而提升政務(wù)外網(wǎng)密碼應(yīng)用整體安全性.

3.2 量子通信技術(shù)在電子政務(wù)外網(wǎng)的應(yīng)用

3.2.1 量子通信網(wǎng)技術(shù)在政務(wù)外網(wǎng)廣域網(wǎng)的應(yīng)用

政務(wù)外網(wǎng)電子認(rèn)證系統(tǒng)作為國(guó)家級(jí)的電子政務(wù)網(wǎng)絡(luò)信任基礎(chǔ)設(shè)施，其安全與否直接關(guān)系到電子政務(wù)外網(wǎng)體系的安全.隨著量子計(jì)算為代表的新型計(jì)算技術(shù)發(fā)展，以及數(shù)據(jù)截取、光纖竊聽(tīng)、網(wǎng)絡(luò)攻擊等技術(shù)手段增強(qiáng)，政務(wù)外網(wǎng)電子認(rèn)證體系“國(guó)家—省—市—縣”的4級(jí)結(jié)構(gòu)，在信息傳輸?shù)臋C(jī)密性、完整性和真實(shí)性等方面受到一定威脅.

量子保密通信是基于信息理論安全性證明的量子密鑰分發(fā)技術(shù),結(jié)合密鑰管理、安全的密碼算法和協(xié)議，提供不再依賴數(shù)學(xué)計(jì)算復(fù)雜度的密鑰分發(fā)方法.基于量子密鑰分發(fā)技術(shù)，IPSec VPN 安全網(wǎng)關(guān)可支持量子密鑰的獲取及安全應(yīng)用，一定程度上提高政務(wù)外網(wǎng)電子認(rèn)證體系的網(wǎng)絡(luò)信息傳輸安全性.

系統(tǒng)依托政務(wù)外網(wǎng)、北京城域網(wǎng)、國(guó)家子保密通信骨干網(wǎng) “京滬干線”及地方城域網(wǎng)，實(shí)現(xiàn)省級(jí)政務(wù)外網(wǎng)RA同國(guó)家政務(wù)CA之間的量子保密通信.實(shí)現(xiàn)政務(wù)外網(wǎng)CA與政務(wù)RA之間的證書(shū)系統(tǒng)業(yè)務(wù)數(shù)據(jù)往來(lái)的量子增強(qiáng)網(wǎng)絡(luò)安全通信與數(shù)據(jù)傳輸加密服務(wù)，如圖4所示.

在國(guó)家政務(wù)CA機(jī)房、省電子政務(wù)RA機(jī)房部署量子增強(qiáng)型IPsec VPN網(wǎng)關(guān)，基于量子城域網(wǎng)提供的量子密鑰，采用IP安全協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)層信道加密和數(shù)據(jù)流向控制，為CA-RA業(yè)務(wù)數(shù)據(jù)提供量子增強(qiáng)的安全傳輸加密防護(hù).該場(chǎng)景是在現(xiàn)有CA-RA架構(gòu)的基礎(chǔ)上依托量子保密通信網(wǎng)絡(luò)實(shí)現(xiàn)政務(wù)外網(wǎng)CA與地方RA之間的量子保密通信，實(shí)現(xiàn)證書(shū)系統(tǒng)業(yè)務(wù)數(shù)據(jù)往來(lái)的量子增強(qiáng)網(wǎng)絡(luò)安全通信與數(shù)據(jù)傳輸加密服務(wù).

3.2.2 量子通信網(wǎng)技術(shù)在政務(wù)外網(wǎng)城域網(wǎng)的應(yīng)用

本場(chǎng)景借鑒量子城域網(wǎng)的QKD星形架構(gòu)，通過(guò)量子安全服務(wù)平臺(tái)為量子安全加密網(wǎng)關(guān)提供密鑰下發(fā)和管理，建成量子增強(qiáng)的加密專線，構(gòu)建安全的政務(wù)外網(wǎng)量子專線網(wǎng)絡(luò)[11].

政務(wù)外網(wǎng)量子安全城域網(wǎng)主要由部署在政務(wù)云的量子安全服務(wù)平臺(tái)、量子安全加密網(wǎng)關(guān)及政務(wù)外網(wǎng)量子城域網(wǎng)專線組成.量子安全服務(wù)平臺(tái)部署在政務(wù)云機(jī)房，基于量子密鑰分發(fā)網(wǎng)絡(luò)為政務(wù)外網(wǎng)和應(yīng)用提供量子密鑰服務(wù)，結(jié)合加密介質(zhì)的量子安全加密網(wǎng)關(guān)設(shè)備，使用預(yù)充注的量子密鑰與量子安全服務(wù)平臺(tái)進(jìn)行身份認(rèn)證和密鑰協(xié)商，獲得量子會(huì)話密鑰，使用會(huì)話密鑰進(jìn)行端到端的數(shù)據(jù)加密.

省政務(wù)云機(jī)房和各省直廳局出口部署量子安全加密網(wǎng)關(guān)，政務(wù)云機(jī)房與各省直廳局間基于政務(wù)外網(wǎng)量子城域網(wǎng)實(shí)現(xiàn)端到端加密傳輸.具體組網(wǎng)拓?fù)淙鐖D5所示.

量子安全加密網(wǎng)關(guān)是組網(wǎng)架構(gòu)中的關(guān)鍵節(jié)點(diǎn)，可從量子安全服務(wù)平臺(tái)獲取量子密鑰，利用量子密鑰對(duì)傳輸數(shù)據(jù)進(jìn)行加解密，從而形成省政務(wù)云到各省廳局單位的量子加密專線網(wǎng)絡(luò).

采用量子加密通信技術(shù)與傳統(tǒng)專線業(yè)務(wù)結(jié)合的方式實(shí)現(xiàn)網(wǎng)絡(luò)的接入和組網(wǎng)，能夠杜絕信息被竊取、被篡改的問(wèn)題，確保信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和行為不可抵賴性，提供高等級(jí)的量子安全防護(hù)能力.

3.3 量子計(jì)算與測(cè)量技術(shù)應(yīng)用

量子安全是指即使面對(duì)量子計(jì)算的挑戰(zhàn)也能得到保證的信息安全，本場(chǎng)景在政務(wù)外網(wǎng)云平臺(tái)建設(shè)抗量子安全監(jiān)測(cè)平臺(tái)用于識(shí)別基于量子計(jì)算的網(wǎng)絡(luò)攻擊行為；以及建設(shè)基于量子計(jì)算的安全能力評(píng)估平臺(tái)用于驗(yàn)證密碼安全的健壯性.

3.3.1 抗量子攻擊安全監(jiān)測(cè)平臺(tái)

對(duì)量子網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)和敏感業(yè)務(wù)數(shù)據(jù)流進(jìn)行深入分析，針對(duì)量子網(wǎng)絡(luò)的特性通過(guò)搭建量子安全監(jiān)測(cè)平臺(tái)采集量子安全服務(wù)平臺(tái)數(shù)據(jù)、密碼應(yīng)用運(yùn)行狀態(tài)、基于量子計(jì)算的攻擊流以及安全防護(hù)狀態(tài)等態(tài)勢(shì)信息.依托大數(shù)據(jù)存儲(chǔ)與計(jì)算、大數(shù)據(jù)分析引擎工具構(gòu)建檢測(cè)與縱深防御體系，通過(guò)沙箱、擬態(tài)等技術(shù)對(duì)潛在的漏洞威脅進(jìn)行有效預(yù)警，并實(shí)現(xiàn)對(duì)攻擊的主動(dòng)防御，同時(shí)通過(guò)網(wǎng)絡(luò)回溯發(fā)現(xiàn)和定位威脅來(lái)源，在必要時(shí)刻能夠阻斷異常的量子計(jì)算的攻擊流.

為了實(shí)現(xiàn)針對(duì)量子網(wǎng)絡(luò)可持續(xù)的安全風(fēng)險(xiǎn)監(jiān)測(cè)管理目標(biāo)，需要建立能夠隨著時(shí)間不斷演進(jìn)的安全架構(gòu)和技術(shù)支撐體系，以在面對(duì)基于量子計(jì)算的威脅和挑戰(zhàn)時(shí)不斷完善自身防御體系以及強(qiáng)化防御“姿態(tài)”，目前信息安全工作都聚焦于“架構(gòu)安全”和“被動(dòng)防御”，對(duì)“積極防御”和“情報(bào)”則涉及較少，因此量子網(wǎng)絡(luò)在設(shè)計(jì)監(jiān)測(cè)方案時(shí)應(yīng)該聚焦于回顧“架構(gòu)安全”補(bǔ)強(qiáng)“被動(dòng)防御”，重點(diǎn)發(fā)展“主動(dòng)防御”，以有效提高整體信息安全防護(hù)能力.

在進(jìn)行“被動(dòng)防御”改進(jìn)與“主動(dòng)防御”進(jìn)階時(shí)，可以參照目前主流的自適應(yīng)安全架構(gòu).

自適應(yīng)安全架構(gòu)將持續(xù)地監(jiān)控和分析過(guò)程分為：預(yù)防預(yù)測(cè)、阻止與防護(hù)、檢測(cè)與監(jiān)控、響應(yīng)與調(diào)查4個(gè)主要環(huán)節(jié)，每個(gè)環(huán)節(jié)中包含多個(gè)監(jiān)控和分析方法.而支撐這些監(jiān)控和分析方法的基于量子網(wǎng)絡(luò)的各層數(shù)據(jù)和來(lái)自互聯(lián)網(wǎng)的威脅情報(bào)，也因此要求量子網(wǎng)絡(luò)本身具備安全大數(shù)據(jù)的采集、存儲(chǔ)和分析的技術(shù)能力.

抗量子攻擊安全監(jiān)測(cè)平臺(tái)可以覆蓋量子網(wǎng)絡(luò)安全管理的各個(gè)環(huán)節(jié).通過(guò)平臺(tái)的搭建將建設(shè)一個(gè)以多種安全問(wèn)題管理為目標(biāo)、以數(shù)據(jù)為核心、威脅情報(bào)為特色、打通安全管理中的檢測(cè)、響應(yīng)、預(yù)警、防御多個(gè)領(lǐng)域環(huán)節(jié)的完整安全體系.

3.3.2 基于量子計(jì)算的安全能力評(píng)估平臺(tái)

針對(duì)量子網(wǎng)絡(luò)的特性，搭建攻擊平臺(tái)，組建網(wǎng)絡(luò)攻擊團(tuán)隊(duì)，并以風(fēng)險(xiǎn)評(píng)估和實(shí)際的攻擊測(cè)試為基礎(chǔ)，依托有針對(duì)性的工具通過(guò)模擬各類攻擊手法、攻擊工具和安全策略繞過(guò)方式，采用專用的量子工具箱和量子專業(yè)設(shè)備，用于驗(yàn)證安全設(shè)備、安全策略和配置，以及安全響應(yīng)和處置的有效性、密碼安全的健壯性和密碼技術(shù)與行業(yè)測(cè)評(píng)標(biāo)準(zhǔn)的一致性，評(píng)估涵蓋物理和環(huán)境中的密碼應(yīng)用安全、網(wǎng)絡(luò)和通信中的密碼應(yīng)用安全、設(shè)備和計(jì)算中的密碼應(yīng)用安全、應(yīng)用和數(shù)據(jù)中密碼應(yīng)用安全、密鑰管理、安全管理6大方面.幫助安全團(tuán)隊(duì)進(jìn)行安全架構(gòu)的策略調(diào)優(yōu)，改善系統(tǒng)整體安全防御水平，同時(shí)對(duì)網(wǎng)絡(luò)中應(yīng)用系統(tǒng)或設(shè)備的量子密碼保障效能、業(yè)務(wù)運(yùn)行狀態(tài)、安全防護(hù)狀態(tài)、未來(lái)發(fā)展趨勢(shì)等進(jìn)行全面、多維、立體的態(tài)勢(shì)感知與預(yù)測(cè)評(píng)估.

4 展 望

量子技術(shù)作為未來(lái)信息通信行業(yè)的一個(gè)新興戰(zhàn)略性制高點(diǎn)，已經(jīng)成為國(guó)家科技實(shí)力競(jìng)爭(zhēng)的主戰(zhàn)場(chǎng)之一.本文基于量子技術(shù)探索其在電子政務(wù)外網(wǎng)的專線加密、應(yīng)用加密、數(shù)據(jù)加密、身份認(rèn)證、監(jiān)測(cè)與評(píng)估、安全能力等場(chǎng)景的應(yīng)用，能夠?yàn)檎?wù)應(yīng)用系統(tǒng)提供在密鑰和數(shù)據(jù)安全協(xié)同、監(jiān)測(cè)和抵抗基于量子計(jì)算的網(wǎng)絡(luò)攻擊、驗(yàn)證政務(wù)密碼安全的健壯性等方面的安全保障，進(jìn)而在一定程度上保障了電子政務(wù)外網(wǎng)上承載的系統(tǒng)業(yè)務(wù)數(shù)據(jù)安全有序流動(dòng)，提升了政務(wù)外網(wǎng)信息安全保障能力以及政務(wù)外網(wǎng)密碼的安全性.從實(shí)用的角度來(lái)看，量子密碼體制開(kāi)始走向?qū)嵱没⒁呀?jīng)逐漸進(jìn)入到商用化階段，特別是當(dāng)量子計(jì)算機(jī)成為現(xiàn)實(shí)時(shí)，量子加密體制可能成為一種最佳的選擇之一，因此量子密碼具有極好的市場(chǎng)前景和科學(xué)價(jià)值，但在商用化、規(guī)?；瘧?yīng)用過(guò)程中還有一系列的工作要做，量子信號(hào)的傳輸速率、誤碼率、傳輸距離以及良好的性價(jià)比仍是需要解決的主要技術(shù)問(wèn)題，目前國(guó)內(nèi)外正致力于這些問(wèn)題的研究和探索，隨著這些問(wèn)題和相關(guān)技術(shù)的逐步解決與深入研究，在技術(shù)、產(chǎn)業(yè)和標(biāo)準(zhǔn)等方面取得進(jìn)展和突破，量子技術(shù)將得到廣泛應(yīng)用，量子技術(shù)的優(yōu)勢(shì)也將得到充分的發(fā)揮.