三未信安：抗量子密碼技術(shù)與應(yīng)用白皮書2024

2卷首語(yǔ) 1.1從經(jīng)典計(jì)算到量子計(jì)算 1.1.1經(jīng)典計(jì)算與公鑰密碼算法 1.1.2量子計(jì)算 1.2量子計(jì)算對(duì)傳統(tǒng)密碼的威脅 1.3量子計(jì)算下密碼技術(shù)的變革 1.4抗量子密碼標(biāo)準(zhǔn)化進(jìn)程 1.5抗量子密碼算法介紹 1.5.1抗量子密碼算法的種類 1.5.2典型抗量子密碼算法介紹 2技術(shù)篇 2.1抗量子密碼安全協(xié)議設(shè)計(jì) 202.1.1抗量子CA 212.1.2抗量子TLCP協(xié)議 232.1.3抗量子IPSec協(xié)議 262.1.4抗量子SSH協(xié)議 272.2抗量子密碼標(biāo)準(zhǔn)化建議 282.2.1現(xiàn)有密碼標(biāo)準(zhǔn)體系框架 282.2.2抗量子密碼標(biāo)準(zhǔn)規(guī)劃 302.3抗量子密碼產(chǎn)品研發(fā) 342.3.1抗量子密碼算法實(shí)現(xiàn) 342.3.2抗量子密碼產(chǎn)品體系 393行動(dòng)篇 423.1抗量子密碼遷移面臨的挑戰(zhàn) 433.1.1抗量子密碼遷移時(shí)不我待 433.1.2密碼體制變革導(dǎo)致工程復(fù)雜 4433.1.3組織對(duì)密碼依賴性了解不深 453.1.4密碼應(yīng)用設(shè)計(jì)缺乏敏捷性 463.1.5互操作性與依存性影響遷移進(jìn)程 473.2抗量子密碼遷移策略與路徑 483.2.1制定量子安全戰(zhàn)略與行動(dòng)綱要 483.2.2抗量子密碼遷移目標(biāo)與策略 523.2.3現(xiàn)在著手行動(dòng) 553.2.4規(guī)劃抗量子密碼路線圖 563.2.5構(gòu)建抗量子密碼技術(shù)支撐體系 573.2.6加強(qiáng)密碼人才培養(yǎng)和國(guó)際合作 603.2.7抗量子密碼遷移供應(yīng)鏈協(xié)同 623.3抗量子密碼遷移工程指南 653.3.1國(guó)外抗量子密碼遷移研究進(jìn)展 653.3.2遷移工作思路 663.3.3遷移工作組職能 683.3.4量子風(fēng)險(xiǎn)評(píng)估方法 693.3.5信息資產(chǎn)識(shí)別與分析 713.3.6系統(tǒng)量子脆弱性分析 733.3.7遷移計(jì)劃與實(shí)施方案 773.3.8密碼功能與服務(wù)敏捷性設(shè)計(jì) 813.3.9抗量子密碼混合過(guò)渡方案 844應(yīng)用篇 964.1手機(jī)銀行系統(tǒng)抗量子密碼應(yīng)用方案 974.1.1現(xiàn)狀分析 984.1.2遷移方案 994.2證券網(wǎng)上交易系統(tǒng)抗量子密碼應(yīng)用方案 4.2.1現(xiàn)狀分析 4.2.2遷移方案 4.3證券集中交易系統(tǒng)抗量子密碼應(yīng)用方案 4.3.1現(xiàn)狀分析 44.3.2遷移方案 4.4移動(dòng)通信4A系統(tǒng)抗量子密碼應(yīng)用方案 4.4.1現(xiàn)狀分析 4.4.2遷移方案 4.5移動(dòng)通信OMC系統(tǒng)抗量子密碼應(yīng)用方案 4.5.1現(xiàn)狀分析 4.5.2遷移方案 4.6電力監(jiān)控系統(tǒng)抗量子密碼應(yīng)用方案 4.6.1現(xiàn)狀分析 4.6.2遷移方案 5展望篇 5.1標(biāo)準(zhǔn)規(guī)范逐步出臺(tái) 5.2技術(shù)研究持續(xù)創(chuàng)新 5.3產(chǎn)業(yè)生態(tài)日趨成熟 5.4應(yīng)用示范有序推進(jìn) 5.5國(guó)際合作更加深化 6.1術(shù)語(yǔ)解釋 6.2縮略語(yǔ) 6.3參考文獻(xiàn) 6.4致謝 5卷首語(yǔ)鑰分發(fā)（QKD），提升信息系統(tǒng)安全性。量子科技發(fā)展具有重大科學(xué)意義和戰(zhàn)略在各領(lǐng)域的應(yīng)用實(shí)踐，對(duì)于構(gòu)建安全可信的數(shù)字6和SSH等協(xié)議中融入抗量子密碼技術(shù)的實(shí)踐。同時(shí)，我們還將探討抗量子密碼標(biāo)78密性，都彰顯了密碼與計(jì)算機(jī)、信息科學(xué)密不和計(jì)算機(jī)性能的歷史性突破，必然引起密碼算法的更新?lián)Q代。例如，DES密碼算擊手段的推陳出新，另一方面是因?yàn)橛?jì)算機(jī)運(yùn)量子計(jì)算機(jī)是一種基于量子力學(xué)的新型計(jì)算機(jī)體系，尤其是Shor量子算法能夠有效求解整數(shù)分解和離散對(duì)數(shù)問(wèn)題，對(duì)現(xiàn)有的RSA密碼、橢圓曲線密碼等公鑰1.1從經(jīng)典計(jì)算到量子計(jì)算Entscheidungsproblem），首次提出了現(xiàn)代計(jì)算機(jī)的理論模型——圖靈機(jī)（TuringMachine）的概念，奠定了現(xiàn)代計(jì)算機(jī)的理論基礎(chǔ)。在隨后幾十機(jī)作為20世紀(jì)最先進(jìn)的科學(xué)技術(shù)發(fā)明之一，經(jīng)歷了從電者是能夠用計(jì)算機(jī)解決的問(wèn)題，后者是不能用計(jì)算機(jī)解決的問(wèn)題。斯蒂芬·A·庫(kù)克（StephenA.Cook）于1971年發(fā)表的論文《定理證明過(guò)程的復(fù)雜性》（TheComplexityofTheoremProvingProcedures），提出了NP完全理論，開啟了其中P類問(wèn)題是指在多項(xiàng)式時(shí)間內(nèi)可以求解的判定問(wèn)題；NP類問(wèn)題是在多項(xiàng)式時(shí)提出了微觀量子力學(xué)哈密頓量作為圖靈機(jī)的模型。1981年5月，麻省理工學(xué)院和RichardFeynman、Landauer、Benioff等物理學(xué)家和計(jì)算機(jī)科學(xué)家，這些大會(huì)報(bào)告于次年發(fā)表在《國(guó)際理論物理雜志》上，構(gòu)成了量子計(jì)算量子計(jì)算是遵循量子力學(xué)規(guī)律、以量子比特（Qubit）為基本運(yùn)算和存儲(chǔ)單元量子比特（Qubit）是量子計(jì)算的基本單元。經(jīng)典計(jì)算機(jī)的比特只有“0”和“1”言，量子信息可以處于2n種可能狀態(tài)的疊加，量子計(jì)算的每一步會(huì)對(duì)21.2量子計(jì)算對(duì)傳統(tǒng)密碼的威脅1994年，PeterShor提出了著名的Shor量子算法，在量子計(jì)算機(jī)上可以在多“指數(shù)級(jí)”加速的量子算法。Shor量子算法的出現(xiàn)表明，如果研發(fā)出一定規(guī)模的量子計(jì)算機(jī)，則可以破解當(dāng)前廣泛應(yīng)用的基于整數(shù)分解困難問(wèn)題的RSA密碼算法、離散對(duì)數(shù)的ECC公鑰密碼算法。結(jié)構(gòu)問(wèn)題的量子搜索算法（Quantumsearchalgor），開平方的0(N1/2)量級(jí)。將Grover量子算法用于分組密碼算法和密碼雜湊函數(shù)的密險(xiǎn)，并對(duì)使用公鑰密碼算法的數(shù)字認(rèn)證系統(tǒng)、區(qū)塊鏈系統(tǒng)以及SSL/TLS、SSH等1.3量子計(jì)算下密碼技術(shù)的變革量子隨機(jī)數(shù)發(fā)生器（QuantumRandomNumbe抗量子密碼算法（Quantum-resistantCryptographicAlgorithms），又稱為后量），量子算法等現(xiàn)有量子攻擊算法，并不能保證今后不會(huì)出1.4抗量子密碼標(biāo)準(zhǔn)化進(jìn)程N(yùn)TRU(NumberTheoryResearchUnit)公鑰密碼算法，包括公鑰加密(NTRUencrypt)和數(shù)字簽名(NTRUSign)方案。NTRU加密、解密的速度比較快，安全性是基于格算法作為金融交易過(guò)程的公鑰加密算法標(biāo)準(zhǔn)。數(shù)字簽名標(biāo)準(zhǔn)（DSS）、SP800-56A和SP800-56B等傳統(tǒng)公鑰密碼算法面臨的量子攻擊風(fēng)險(xiǎn)。NIST就候選算法的最低可接受性要求、提交要求和評(píng)估標(biāo)準(zhǔn)征求公2017年12月，NIST公布抗量子公鑰密碼算法標(biāo)準(zhǔn)的2020年7月，NIST宣布了進(jìn)入抗量子公鑰密用于非對(duì)稱加密和密鑰封裝的Kyber算法，以及用于數(shù)字簽名的Dilithium、FALCON和SPHINCS+算法（Dilithium作為主要推薦的數(shù)字簽名算法）。此外，商算法的篩選進(jìn)程。密碼（PQC）算法標(biāo)準(zhǔn)草案，包括（1）FIPS203：基于格密碼的密鑰封裝機(jī)制標(biāo)準(zhǔn)，即Kyber算法2）FIPS204：基于格密碼的數(shù)字簽名標(biāo)準(zhǔn)，即Dilithiu法3）FIPS205：基于哈希算法的無(wú)狀態(tài)數(shù)字簽名標(biāo)準(zhǔn)，即SPHINCS+數(shù)字簽名算法。以上三個(gè)草案于2024年8月13日正式成為首批抗量子密碼算法標(biāo)準(zhǔn)ML-KEM（FIPS203）、ML-DSA（FIPS2國(guó)際互聯(lián)網(wǎng)工程任務(wù)組（IETF）、歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)（ETSI）等均在抗量子標(biāo)準(zhǔn)化方面做了大量工作，包括IETFRFC8391《XMSS:eXtendedMerkle我國(guó)抗量子密碼算法設(shè)計(jì)通過(guò)密碼算法競(jìng)賽等形式開展了一系列工作。2018鑰密碼算法設(shè)計(jì)兩部分，全國(guó)高校、科研院所、產(chǎn)業(yè)單位的42個(gè)團(tuán)隊(duì)提交了792019年9月，經(jīng)公開評(píng)議、檢測(cè)評(píng)估和專家評(píng)選，全國(guó)密碼算法設(shè)計(jì)競(jìng)賽第），碼算法和分組密碼算法一、二、三等獎(jiǎng)，其中Aigis-enc抗量子公鑰加密算法、Aigis-sig抗量子數(shù)字簽名算法和LAC.PK1.5抗量子密碼算法介紹格的密碼算法（lattice-based）、基于編碼的還有基于同源的密碼算法（isogeny-子算法對(duì)格困難問(wèn)題進(jìn)行有效破解。格（lattice）是一種代數(shù)結(jié)構(gòu)，是一組線性無(wú)），），的ClassicMcEliece公鑰密碼算法，是進(jìn)入NIST抗量子密碼算法標(biāo)準(zhǔn)第三輪和第NIST抗量子密碼標(biāo)準(zhǔn)算法Kyber是一種滿足適應(yīng)性選擇密文攻擊下不可區(qū)分題。Kyber密碼算法包括兩個(gè)階段：首先，建立一個(gè)加密固定長(zhǎng)度為32字節(jié)消息然后，使用Fujisaki-Okamoto），NIST抗量子密碼標(biāo)準(zhǔn)算法Dilithium是一種基于模格上困難問(wèn)題的數(shù)字簽名方參見(jiàn)/dilDilithium數(shù)字簽名算法的設(shè)計(jì)思想是基于Lyubashevsky的“Fiat-Shamirwith同樣使用這種方法的具有最短簽名值的方案是Ducas、Durmus、Lepoint和簽名方案中，Dilithium具有最小的公鑰NIST抗量子密碼標(biāo)準(zhǔn)算法Falcon是一種基于格的數(shù)字簽名算法，全名為Fast-FourierLattice-BasedCompactSignatureoverNTRU，該算法的詳細(xì)介紹參見(jiàn)NIST抗量子密碼標(biāo)準(zhǔn)算法SPHINCS+是一種無(wú)狀態(tài)的基于哈希的數(shù)字簽名方案，是EUROCRYPT2015提出的SPHINCS數(shù)字簽名方案的升級(jí)方案，該升級(jí)方件和軟件開發(fā)，以及相應(yīng)的測(cè)試和驗(yàn)證，確保產(chǎn)2.1抗量子密碼安全協(xié)議設(shè)計(jì)于以下兩個(gè)方面考慮1）抗量子密碼算法作為一種新興的算法，其安全性有待保障，增加整體系統(tǒng)的抵抗攻擊能力2）現(xiàn)有的協(xié)議與體系主要是采用傳統(tǒng)公文獻(xiàn)的設(shè)計(jì)步驟進(jìn)行實(shí)現(xiàn)。借鑒雙體系并行的思想，設(shè)計(jì)了與現(xiàn)有TLCP(GB/T38636-2020)兼容的抗量子TLCP協(xié)議、與現(xiàn)有IPSec(GM/T0022-2023)兼容的抗量議的設(shè)計(jì)提出了參考性的設(shè)計(jì)方案，里面用到圖2-1抗量子簽名證書圖2-2抗量子混合簽名證書其中抗量子簽名證書采用標(biāo)準(zhǔn)的X.509格式，簽名算法可以采用Dilithium、PQC-Publickey與自己的抗量子簽名公鑰CAPQC-Publickey生成待簽名數(shù)據(jù)tbs；l對(duì)tbs進(jìn)行sha256哈希，然后用自己的抗量子簽名私鑰對(duì)哈希后的tbs進(jìn)新的待簽名數(shù)據(jù)進(jìn)行簽名，生成傳統(tǒng)簽名，將傳統(tǒng)簽名放在證書的Signature傳統(tǒng)簽名與抗量子簽名外的部分，生成tbs，先對(duì)tbs進(jìn)行sha256哈希，然后利用而且適用于TLCP(GB/T38636M-SMS4-SM3套件。新增的兩個(gè)密碼套件并不會(huì)影響之前密碼套件的運(yùn)行，關(guān)鍵ER-DILITHIUM-SMS4-SM3套件握手過(guò)程協(xié)議設(shè)計(jì)如ER-DILITHIUM-SMS4-SM3套件握手過(guò)程協(xié)議設(shè)計(jì)如圖2-4所示?？蛻舳伺c服務(wù)與混合加密證書，混合簽名Kyber密鑰證書圖2-3SM2-PQCTLCP協(xié)議l客戶端將相應(yīng)的密碼套件隨clienthello發(fā)送給服務(wù)端，服務(wù)端檢測(cè)到抗量用pubkey進(jìn)行KYBER密鑰封裝，生成KYBER密文與KYBER共享密鑰，將KYBER密文與客戶端加密的預(yù)主密鑰一prikey對(duì)KYBER密文執(zhí)行密鑰解封裝得到K圖2-4SM2DHE-PQCTLCP協(xié)議l客戶端將相應(yīng)的密碼套件隨clienthello發(fā)送給服務(wù)端，服務(wù)端檢測(cè)到抗量送給客戶端，其中pubkey也會(huì)作為會(huì)話信息簽名用pubkey進(jìn)行KYBER密鑰封裝，生成KYBER密文與KYBER共享密鑰，將prikey對(duì)KYBER密文執(zhí)行密鑰解封裝得到K基于GM/T0022-2023規(guī)范進(jìn)行設(shè)計(jì)，過(guò)程涉及主模式中的密鑰交換步驟。新哪種密鑰交換方式。選擇傳統(tǒng)的密鑰交換方式，按照之前的IPSec協(xié)議進(jìn)行交互，圖2-5PQC-IPSec協(xié)議l發(fā)起方進(jìn)行抗量子通信的消息隨載荷SA發(fā)送行KYBER密鑰封裝操作，生成KYBER密文ct_KYBER與共享密鑰ss，計(jì)算經(jīng)過(guò)上述的步驟，發(fā)起方與響應(yīng)方同時(shí)生成了基本密鑰參數(shù)SEEDKEY與新增的抗量子算法并不會(huì)影響之前SSH協(xié)議的運(yùn)行，關(guān)鍵在于發(fā)起方與響應(yīng)方選選擇抗量子的密鑰交換方式，按照抗量子SSH協(xié)議進(jìn)行交互，具體設(shè)計(jì)如圖2-6圖2-6PQC-SSH協(xié)議l雙方利用SSH_MSG_KEXINIT消息確定抗量子密鑰協(xié)商算法后，收到客SIGS=SIG_SM2(mS)||PSSH_MSG_KEX_HYBRID_RGM/T0129-2023規(guī)范中的步驟外，還需要執(zhí)行Kyber密鑰封裝操作，生成KyberSSH_MAG_KEX_HYBRID|中的步驟外，還需要對(duì)ct_Kyber執(zhí)行Kyber密鑰解封裝操作，生成Kyber共享密2.2抗量子密碼標(biāo)準(zhǔn)化建議應(yīng)用、交通行業(yè)密碼應(yīng)用、云計(jì)算密碼應(yīng)用圖2-7密碼體系標(biāo)準(zhǔn)框架表2-1密碼基礎(chǔ)類標(biāo)準(zhǔn)規(guī)劃標(biāo)準(zhǔn)類型現(xiàn)有密碼標(biāo)準(zhǔn)修改類型備注密碼標(biāo)識(shí)《GM/Z4001密碼術(shù)語(yǔ)》《GB/T33560信息安全技術(shù)密碼應(yīng)用標(biāo)識(shí)規(guī)范》修訂增加抗量子密碼相關(guān)術(shù)語(yǔ)及應(yīng)用標(biāo)識(shí)規(guī)范密碼算法《GB/T32918信息安全技術(shù)SM2橢圓曲線公鑰密碼算法》新增如：《信息安全技術(shù)×××抗量子密碼算法》密碼設(shè)計(jì)《GB/T35276信息安全技術(shù)SM2密碼算法使用規(guī)范》《GB/T35275信息安全技術(shù)SM2密碼算法加密簽名消息語(yǔ)法規(guī)范》新增如：《信息安全技術(shù)×××抗量子密碼算法使用規(guī)范》、《信息安全技術(shù)×××抗量子密碼算法加密簽名消息語(yǔ)法規(guī)范》密碼管理《GB/T17901信息技術(shù)安全技術(shù)密鑰管理》修訂兼容抗量子密碼算法密碼協(xié)議《GB/T38636信息安全技術(shù)傳輸層密碼協(xié)議（TLCP）》修訂兼容抗量子密碼算法表2-2基礎(chǔ)設(shè)施類標(biāo)準(zhǔn)規(guī)劃標(biāo)準(zhǔn)類型現(xiàn)有密碼標(biāo)準(zhǔn)修改類型備注證書認(rèn)證系統(tǒng)密碼協(xié)議《GM/T0014數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范》修訂增加支持抗量子密碼的協(xié)議規(guī)范數(shù)字證書格式GB/T20518信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式規(guī)范》修訂增加支持抗量子密碼的數(shù)字證書格式表2-3產(chǎn)品類標(biāo)準(zhǔn)規(guī)劃標(biāo)準(zhǔn)類型現(xiàn)有密碼標(biāo)準(zhǔn)修改類型備注產(chǎn)品的配置和技術(shù)管理GM/T0050《密碼設(shè)備管理設(shè)備管理技術(shù)規(guī)范》修訂增加支持抗量子密碼產(chǎn)品技術(shù)管理規(guī)范技術(shù)要求《GM/T0028密碼模塊安全技術(shù)要求》修訂增加支持抗量子密碼模塊的安全技術(shù)應(yīng)用接口《GB/T36322信息安全技術(shù)密碼設(shè)備應(yīng)用接口規(guī)范》修訂增加支持抗量子密碼的設(shè)備接口規(guī)范《GM/T0023IPSecVPN網(wǎng)關(guān)產(chǎn)品規(guī)范》《GM/T0025SSLVPN網(wǎng)關(guān)產(chǎn)品規(guī)范》修訂增加支持抗量子密碼的網(wǎng)關(guān)接口規(guī)范VPN《GM/T0022IPSecVPN技術(shù)規(guī)修訂增加支持抗量子密碼的VPN技術(shù)規(guī)范《GM/T0024SSLVPN技術(shù)規(guī)密碼應(yīng)用類標(biāo)準(zhǔn)對(duì)使用密碼技術(shù)實(shí)現(xiàn)某種安全功能的應(yīng)用系統(tǒng)提出要求以及制定出更符合實(shí)際場(chǎng)景需求的抗量子密碼應(yīng)表2-4應(yīng)用類標(biāo)準(zhǔn)規(guī)劃標(biāo)準(zhǔn)類型現(xiàn)有密碼標(biāo)準(zhǔn)修改類型備注應(yīng)用要求《GM/T0073手機(jī)銀行信息系統(tǒng)密碼應(yīng)用技術(shù)要求》修訂增加支持抗量子密碼的應(yīng)用技術(shù)要求應(yīng)用指南《GB/T32922信息安全技術(shù)IPSecVPN安全接入基本要求與實(shí)施指南》修訂增加支持抗量子密碼模塊的應(yīng)用指南應(yīng)用規(guī)范《GM/T0055電子文件密碼應(yīng)用技術(shù)規(guī)范》修訂增加支持抗量子密碼的應(yīng)用技術(shù)規(guī)范密碼服務(wù)《GM/T0109基于云計(jì)算的電子簽名服務(wù)技術(shù)要求》修訂增加支持抗量子密碼的服務(wù)技術(shù)要求表2-5檢測(cè)類標(biāo)準(zhǔn)規(guī)劃標(biāo)準(zhǔn)類型現(xiàn)有密碼標(biāo)準(zhǔn)修改類型備注密碼產(chǎn)品檢測(cè)《GM/T0008《GM/T0039《GM/T0059安全芯片密碼檢測(cè)準(zhǔn)則》密碼模塊安全檢測(cè)要求》服務(wù)器密碼機(jī)檢測(cè)規(guī)范》修訂新增支持抗量子密碼的產(chǎn)品檢測(cè)要求2.3抗量子密碼產(chǎn)品研發(fā)Dilithium都是基于格的密碼算法格密碼體制的核心計(jì)算是多項(xiàng)式乘法運(yùn)算，快速數(shù)論變換（NumberTheoretic實(shí)現(xiàn)算法通常用蝶形結(jié)構(gòu)的迭代算法代替NTT的遞歸版形算法作為正向變換，使用Gentleman-Sande蝶形算法作為逆向變換，避免位反轉(zhuǎn)的密鑰生成和封裝解封裝過(guò)程、Dilithium的密鑰生成和簽名驗(yàn)簽過(guò)程均有大量以低功耗處理器ARM-M，通過(guò)改進(jìn)Barrett約減過(guò)程需要的時(shí)鐘周期、減少M(fèi)ontgomery約減算法的周期、在采用低次多項(xiàng)式乘法時(shí)應(yīng)用更高效的模約減、更優(yōu)化的低次多項(xiàng)式乘法和更積極的層合并，實(shí)現(xiàn)了Kyber和Dilithium算法的優(yōu)化。密鑰生成、簽名生成和簽名驗(yàn)證?；诙嗪似脚_(tái)設(shè)計(jì)SPHINCS及其內(nèi)部結(jié)構(gòu)WOTS+和HORST的并行化版本，通過(guò)應(yīng)用循環(huán)展開、內(nèi)聯(lián)函數(shù)或宏、統(tǒng)一數(shù)據(jù)表示、內(nèi)聯(lián)PTX匯編（僅GPU適用）、合并訪問(wèn)（僅GPU適用）及常量和共享FACLON算法具有公鑰長(zhǎng)度和簽名長(zhǎng)度短、但算法設(shè)計(jì)復(fù)雜的特點(diǎn)，為實(shí)現(xiàn)FALCON在內(nèi)存資源受限的設(shè)備上運(yùn)行，可通過(guò)快速傅里葉采樣算法和生成FALCON樹的算法流程優(yōu)化算法，一方面，將快速傅里葉采樣算法改為非遞歸實(shí)現(xiàn)，另一方面，在調(diào)用FALCON樹的葉子節(jié)點(diǎn)時(shí)實(shí)時(shí)生成值，并將中間值保存，中國(guó)密碼學(xué)會(huì)舉辦的全國(guó)密碼算法設(shè)計(jì)競(jìng)賽公鑰密碼算法有三個(gè)抗量子密碼密文長(zhǎng)度，且密鑰生成、密鑰封裝和解封裝算法高效。LAC.PKE的項(xiàng)式乘法，并通過(guò)字節(jié)級(jí)模數(shù)減小密文和密鑰的為了促進(jìn)抗量子密碼算法在實(shí)際場(chǎng)景中的廣泛應(yīng)用，本白皮書基于測(cè)試平臺(tái)RSA1024-2048與SM2進(jìn)行性表2-6加密算法公私鑰及報(bào)文長(zhǎng)度對(duì)比（Bytes）Kyber-512800私鑰報(bào)文(密文+分享的密鑰)768+32=800Kyber768私鑰2400報(bào)文(密文+分享的密鑰)1088+32=1120Kyber-1024私鑰3168報(bào)文(密文+分享的密鑰)1568+32=1600Aigis-enc-param1672私鑰928報(bào)文（密文+分享的密鑰）672+32=704Aigis-enc-param2896私鑰報(bào)文（密文+分享的密鑰）992+32=1024Aigis-enc-param3私鑰報(bào)文（密文+分享的密鑰）1536+64=1600LAC-128544私鑰512+544=1056報(bào)文（密文+分享的密鑰）704+16=720LAC-192私鑰1024+1056=2080報(bào)文（密文+分享的密鑰）1352+32=1384LAC-256私鑰1024+1056=2080報(bào)文（密文+分享的密鑰）1448+32=1480SM264私鑰32報(bào)文(密文)消息字節(jié)長(zhǎng)度+96表2-7簽名算法公私鑰及報(bào)文長(zhǎng)度對(duì)比（Bytes）Dilithium-2私鑰2528報(bào)文(簽名)2420Dilithium-3私鑰4000報(bào)文(簽名)3293Dilithium-52592私鑰4864報(bào)文(簽名)4595Aigis-sig-param1私鑰2448報(bào)文(簽名)Aigis-sig-param2私鑰3376報(bào)文(簽名)2445Aigis-sig-param3私鑰3888報(bào)文(簽名)3046SM264私鑰32報(bào)文(簽名)64RSA-1024公鑰(n)私鑰(d)報(bào)文(簽名)RSA-2048公鑰(n)256私鑰(d)256報(bào)文(簽名)256表2-8密鑰封裝算法性能（TPS）Kyber-512Kyber-768Kyber-1024SM2密鑰生成11878409203397472071288476加密1138045799078616176124299解密17325001132379835822表2-9國(guó)內(nèi)抗量子密鑰封裝算法性能Aigis-enc-param1Aigis-enc-param2Aigis-enc-param3LAC-128LAC-192LAC-256密鑰生成7629936140155087931077443816492596690加密669076518569414510693127476297323806解密731350571427421283492040329210194968注：算法性能在Intel(R)Core(TM)i9-10920XCPU@3.50GHz12核24線程環(huán)境中測(cè)試獲得。表2-10簽名算法性能（TPS）Dilithium-2Dilithium-3Dilithium-5SM2RSA-1024RSA-2048密鑰生成484753293028187587109068459498288611730041097769274481622810751驗(yàn)簽490627305365194843313769670469201618表2-11國(guó)內(nèi)抗量子簽名算法性能（TPS）Aigis-sig-param1Aigis-sig-param2Aigis-sig-param3密鑰生成39947625732816291915479714624871575驗(yàn)簽440154285122188085圖2-8抗量子密碼產(chǎn)品密碼卡作為基礎(chǔ)密碼設(shè)備，適用于各類密碼安全應(yīng)用系統(tǒng)，可提供高速的、持抗量子密碼的安全協(xié)議，保證系統(tǒng)中數(shù)據(jù)的知密碼分析相關(guān)的量子計(jì)算機(jī)何時(shí)可用，但可以肯定的是，現(xiàn)有依存于如RSA、ECC等經(jīng)典密碼的產(chǎn)品、協(xié)議和服務(wù)均可能處于風(fēng)險(xiǎn)之下。目前需要思考的課題是：當(dāng)那一天來(lái)臨時(shí)，我們?nèi)绾巫龅脚R危不3.1抗量子密碼遷移面臨的挑戰(zhàn)準(zhǔn)化進(jìn)展？組織內(nèi)哪些系統(tǒng)需要遷移？如何平穩(wěn)有序遷移？遷移效果如何評(píng)價(jià)？時(shí)間和精力。若在攻擊者可獲取密碼分析相關(guān)量子計(jì)算機(jī)（Cryptanalytically在“足夠規(guī)模且容錯(cuò)性高”（LargeandFault-toleran年8月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）正式發(fā)布三項(xiàng)抗量子密碼算法標(biāo)準(zhǔn)），等，于2024年8月被NIST正式標(biāo)準(zhǔn)化，后續(xù)可能出臺(tái)新的算法標(biāo)準(zhǔn)；我抗量子密碼遷移要求升級(jí)現(xiàn)有的公鑰基礎(chǔ)設(shè)施，包括證書頒發(fā)機(jī)構(gòu)（CA）、以確定在何處及出于何種目的使用了量子脆弱性（Quantum-vulnerable）的密碼功組織難以全面識(shí)別需要替換的密碼算法和組件，也無(wú)方案、密碼基礎(chǔ)設(shè)施等更新為量子安全的密碼實(shí)現(xiàn)。密碼功能與服務(wù)敏捷性（CryptographicAgility,Crypto-Agility）是一種設(shè)計(jì)特征，使得未來(lái)在密碼算法和設(shè)計(jì)方法，導(dǎo)致在需要替換密碼算法時(shí)，需要對(duì)整個(gè)如一些系統(tǒng)可能使用特定的硬件安全模塊（HSM）來(lái)執(zhí)行密碼算法，在遷移過(guò)程互操作性（Interoperability）指的是不同系統(tǒng)或組件之間能夠相互通信和協(xié)作l開發(fā)遷移劇本（Playbook）。制定一個(gè)詳細(xì)的遷移劇本，需考慮所有相關(guān)3.2抗量子密碼遷移策略與路徑2022年8月國(guó)家安全備忘錄（《促進(jìn)美國(guó)在量子計(jì)算方面的領(lǐng)導(dǎo)地位，同時(shí)“減輕與量子相關(guān)的風(fēng)險(xiǎn)”中指出：量子計(jì)算將威脅到現(xiàn)有公鑰密碼學(xué)安應(yīng)將量子安全過(guò)渡納入其長(zhǎng)期計(jì)劃，并確定過(guò)渡高優(yōu)先級(jí)系統(tǒng)。2023年4月，德國(guó)聯(lián)邦政府通過(guò)《量子技術(shù)行動(dòng)計(jì)劃》，該行動(dòng)計(jì)劃作為聯(lián)2021年1月，法國(guó)發(fā)布《量子技術(shù)國(guó)家戰(zhàn)略》，以掌握如量子加速器、量子2023年1月，加拿大宣布啟動(dòng)國(guó)家量子戰(zhàn)略，擴(kuò)大其在量子研究方面的現(xiàn)有2023年5月，澳大利亞工業(yè)、科學(xué)和資源部發(fā)布《國(guó)家量子戰(zhàn)略》，旨在使澳大利亞在2030年成為全球量子產(chǎn)業(yè)的領(lǐng)導(dǎo)者2023年6月，韓國(guó)發(fā)布《韓國(guó)量子科學(xué)技術(shù)戰(zhàn)略》，作為國(guó)家量子科技中長(zhǎng)期發(fā)展愿景與綜合發(fā)展戰(zhàn)略，提出了到20352024年4月，歐盟委員會(huì)發(fā)布《抗量子密碼遷移的協(xié)同實(shí)施路線圖建議》（RecommendationonaCoordinatedImPost-quantumCryptography），鼓勵(lì)成員國(guó)制定統(tǒng)一戰(zhàn)略，確保向抗量子密碼的協(xié)量子密碼分組應(yīng)考慮采取適當(dāng)、有效和適度的措施制定“抗量子密碼遷移的協(xié)同實(shí)目標(biāo)綱要》，在“第四章強(qiáng)化國(guó)家戰(zhàn)略科技力量”、“第九章發(fā)展壯大戰(zhàn)略性新興在“第十五章打造數(shù)字經(jīng)濟(jì)新優(yōu)勢(shì)”中提出，要加快布局量子計(jì)算、量子通信等前進(jìn)行重構(gòu)的重大顛覆性技術(shù)創(chuàng)新，量子計(jì)算必將引發(fā)新一輪技術(shù)變革和激烈競(jìng)爭(zhēng)。l細(xì)化實(shí)施路徑。國(guó)家量子安全戰(zhàn)略或行動(dòng)綱要明確發(fā)展方向和重點(diǎn)為量子保密通信與抗量子密碼的發(fā)展，提供全密碼標(biāo)準(zhǔn)體系，以保障關(guān)鍵信息基礎(chǔ)設(shè)施與重要領(lǐng)2021年5月，歐盟網(wǎng)絡(luò)安全局（ENISA）發(fā)布《抗量子密碼：當(dāng)前狀態(tài)和量Mitigation）。該報(bào)告提出了通過(guò)“歐盟量子旗艦計(jì)劃”和《歐盟網(wǎng)絡(luò)安全戰(zhàn)略》進(jìn)結(jié)合我國(guó)抗量子密碼研究及產(chǎn)業(yè)需求現(xiàn)狀，我們提出如下抗量子密（Self-adaptiveSecurity）”的概念，密碼功能與服務(wù)敏捷性設(shè)計(jì)的理想境界應(yīng)達(dá)到安全體系的重要支撐。量子脆弱性密碼技術(shù)發(fā)現(xiàn)（Quantum-vulnerableCryptographyDiscovery）與評(píng)產(chǎn)業(yè)界研究表明，抗量子密碼遷移的緊迫性要求“現(xiàn)在著手行動(dòng)”。2022年5密碼系統(tǒng)及時(shí)過(guò)渡到抗量子密碼系統(tǒng)的時(shí)間路線圖。2022年8月，美國(guó)網(wǎng)絡(luò)安全對(duì)美國(guó)55類關(guān)鍵信息基礎(chǔ)設(shè)施向抗量子密碼遷移的緊迫性進(jìn)行了分析。2022年9據(jù)或通信。若加密數(shù)據(jù)保密周期過(guò)長(zhǎng)，應(yīng)立即執(zhí)行“來(lái)而不可失者，時(shí)也；蹈而不可失者，機(jī)也?！眳⒖歼^(guò)往類似遷移歷程，抗量公共技術(shù)支撐平臺(tái)建設(shè)可為政府或產(chǎn)業(yè)向抗量子密碼遷移提供有力的技術(shù)支SP1800-38B《量子準(zhǔn)備：密碼發(fā)現(xiàn)》（公鑰應(yīng)用程序發(fā)現(xiàn)工具的方法和安全特征）草案描述了量子脆弱性算法發(fā)現(xiàn)(Quantum-vulnerableAlgorithm量子脆弱性算法發(fā)現(xiàn)工具需持續(xù)更新以適應(yīng)新以幫助組織識(shí)別其密碼系統(tǒng)中的潛在量子脆l(xiāng)CryptoNextQuantumSafeLibrary(C-QSL)：提供抗量子密碼算法的優(yōu)化實(shí)lSSH：測(cè)試抗量子密碼密鑰交換方法的lTLS：測(cè)試抗量子密碼密鑰交換和身份驗(yàn)證在TLS1.3中的兼容性。TLSUbuntu22.04.1LTS（GNU/Linux5.15.0-72-generi標(biāo)準(zhǔn)化的密碼軟件或系統(tǒng)測(cè)試工具也可參考SUPERCOP設(shè)計(jì)實(shí)現(xiàn)。SUPERCOP根據(jù)以下標(biāo)準(zhǔn)測(cè)量加密原語(yǔ)（Crypto大小的Internet數(shù)據(jù)包進(jìn)行哈希處理的時(shí)間、對(duì)長(zhǎng)報(bào)文進(jìn)行哈加密的時(shí)間、對(duì)典型大小的Internet數(shù)據(jù)包進(jìn)行加密的時(shí)間、證加密的時(shí)間、對(duì)典型大小的Internet數(shù)據(jù)包進(jìn)行驗(yàn)證加密的時(shí)間、消息進(jìn)行驗(yàn)證加密的時(shí)間；生成密鑰對(duì)（私鑰等開源資源。其中較全面的資源庫(kù)如開放量子安全項(xiàng)目的Liboqs。其他資源包括科技相關(guān)學(xué)科，通過(guò)量子研究生院等培育大學(xué)量子教育與研究基地，構(gòu)建培養(yǎng)“核加強(qiáng)量子相關(guān)密碼人才培養(yǎng)與國(guó)際合作，可從或升級(jí)產(chǎn)品與服務(wù)，滿足技術(shù)、產(chǎn)品與服務(wù)層面的（3）基礎(chǔ)支撐側(cè)：為保證抗量子密碼遷移的供應(yīng)鏈的“產(chǎn)學(xué)研用測(cè)管”有序推IBM公司針對(duì)抗量子密碼學(xué)領(lǐng)域已經(jīng)制定并發(fā)布了詳細(xì)的計(jì)劃和路線圖，包括IBM量子安全路線圖（IBMQuantumSafeRoadmap）和IBM量子發(fā)展路線圖塊4770-001CryptographicCoprocessorSCCA”，CEX8C），支持Kyber、Dilithium兩種抗量子密碼算法，月通過(guò)PCIPTSHSMV4.0認(rèn)證。統(tǒng)、密鑰管理系統(tǒng)等產(chǎn)品，其產(chǎn)品線支持的l我國(guó)密碼行業(yè)標(biāo)準(zhǔn)化進(jìn)程中的算法：基于NTRU的密鑰封裝機(jī)制、基于3.3抗量子密碼遷移工程指南目前，各國(guó)都積極開展抗量子密碼遷移的研究與實(shí)踐。以美國(guó)為例，2021年10月，美國(guó)國(guó)土安全部（DHS）與國(guó)家標(biāo)（1）參與標(biāo)準(zhǔn)化組織（Engagementwithstandardsorganizations）。組織應(yīng)與（2）明確關(guān)鍵數(shù)據(jù)清單（Inventoryofcriticaldata）。識(shí)別本組織需要采用密（3）明確密碼技術(shù)清單（Inventoryofcryptogr（4）識(shí)別內(nèi)部標(biāo)準(zhǔn)（Identificationofinternalstandards）。組織應(yīng)評(píng)審及改進(jìn)組織內(nèi)部關(guān)于信息安全及采購(gòu)相關(guān)的標(biāo)準(zhǔn)，以支織應(yīng)確定其信息系統(tǒng)哪些環(huán)節(jié)使用到及出于何種防護(hù)目的使用到存在量子脆弱性（6）確定系統(tǒng)遷移的優(yōu)先級(jí)（Prioritizationofsystemsfo件,描述了遷移到新的量子安全密碼標(biāo)準(zhǔn)時(shí)可能出現(xiàn)的問(wèn)題及潛在序發(fā)現(xiàn)工具的方法、架構(gòu)和安全特征）草案（QuantumReadiness:Cryptographic技術(shù)互操作性和性能報(bào)告）草案（QuantumReadiness:TestingDraftStandards,抗量子密碼遷移的目的是使組織信息系統(tǒng)免除或減輕因量子計(jì)算威脅帶來(lái)的成立一個(gè)專門的項(xiàng)目管理團(tuán)隊(duì)來(lái)負(fù)責(zé)規(guī)劃和執(zhí)行遷移到量子安全密碼的整個(gè)正確使用；基于反饋和監(jiān)控結(jié)果，持續(xù)改進(jìn)全、系統(tǒng)架構(gòu)等相關(guān)領(lǐng)域的知識(shí)。人員構(gòu)成上，應(yīng)包括組織內(nèi)部的IT運(yùn)維人員、分析、評(píng)估、控制的過(guò)程。標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估主要從資產(chǎn)（Asset）的關(guān)鍵程度、脆建量化或半量化模型，輸出風(fēng)險(xiǎn)的優(yōu)先級(jí)，并制定風(fēng)險(xiǎn)控制策略。量子風(fēng)險(xiǎn)評(píng)估（Quantum-riskAssessment）是在量子計(jì)算對(duì)傳統(tǒng)公鑰密碼產(chǎn)生威脅的產(chǎn)，尤其是那些具有中長(zhǎng)期保密價(jià)值的信息資產(chǎn)，將容易受MethodologyforQuantumRiskAsses），表（timeline），推進(jìn)量子安全密碼的開發(fā)和驗(yàn)證；與學(xué)術(shù)界和研究界專家合作，確保供應(yīng)鏈角色了解正在采取的步驟，及對(duì)其自身流程AgilityRiskAssessmentFramework”，提出了“密碼功能與服務(wù)敏捷性風(fēng)險(xiǎn)評(píng)估框架”密碼算法、協(xié)議等密碼功能。類似于Mosca方法，該框架用于分析和評(píng)估由于缺乏密碼功能與服務(wù)敏捷性而導(dǎo)致的風(fēng)險(xiǎn)，并指導(dǎo)組織制定適當(dāng)?shù)娘L(fēng)險(xiǎn)緩解不同于Mosca定理，該框架是針對(duì)抗量子密碼的特定描述，但其思想可以借2021年8月美國(guó)國(guó)家網(wǎng)絡(luò)安全卓越中構(gòu)和安全特征）草案中，NIST提出了基于發(fā)現(xiàn)工具的量子脆弱性公鑰算法與發(fā)現(xiàn)方法。在《遷移到抗量子密碼》（MigrationtoPost-quantumC在量子計(jì)算威脅下的風(fēng)險(xiǎn)清單，作為后續(xù)制定基于優(yōu)先表3-1易受攻擊的經(jīng)典密碼算法算法功能規(guī)范DiffieHellman（DH）密鑰交換用于密鑰交換的非對(duì)稱密碼協(xié)議IETFRFC3526EllipticCurveDiffieHellman（ECDH）密鑰交換用于密鑰交換的非對(duì)稱密碼協(xié)議NISTSP80056A/B/CMenezesQuVanstone（MQV）密鑰交換用于密鑰交換的非對(duì)稱密碼協(xié)議NISTSP80056A/B/CRSA密碼算法用于數(shù)字簽名、加密的非對(duì)稱密碼算法SP800-56B修訂版2、FIPSPUB186-5橢圓曲線數(shù)字簽名算法（ECDSA）用于數(shù)字簽名的非對(duì)稱密碼算法FIPSPUB186-5密攻擊如SNDL攻擊，可導(dǎo)致敵手現(xiàn)在搜集加密數(shù)據(jù)，在以后使用量子計(jì)算機(jī)執(zhí)術(shù)發(fā)現(xiàn)的目標(biāo)是幫助組織和機(jī)構(gòu)了解其當(dāng)前使用的密碼措施在量子計(jì)算環(huán)境下的現(xiàn)的目標(biāo)是幫助組織識(shí)別和評(píng)估組織在其系統(tǒng)中存在的量子脆弱性公鑰算法如RSA、ECDSA和ECDH等及其使用，并為遷移到量量子脆弱性密碼技術(shù)發(fā)現(xiàn)可用于以下用例場(chǎng)景中發(fā)現(xiàn)易受量子計(jì)算攻擊的密），通信協(xié)議、關(guān)鍵信息基礎(chǔ)設(shè)施和訪問(wèn)控制機(jī)制中。公及用戶和管理程序。因此，抗量子密碼遷移需要明確公鑰密碼的使用位置和方式。的密碼算法、持續(xù)集成/持續(xù)交付開發(fā)管道中的密碼相關(guān)代碼或依賴項(xiàng)、終端用戶遷移的邏輯次序與實(shí)施方案，包括混合過(guò)渡方案升級(jí)產(chǎn)品與服務(wù)，滿足技術(shù)、產(chǎn)品與服務(wù)層面的度看，涉及到HSM設(shè)備、密碼庫(kù)、實(shí)現(xiàn)驗(yàn)及SLH-DSA（FIPS205），后續(xù)可能還會(huì)發(fā)布其他新的抗量子密碼算法標(biāo)準(zhǔn)。我2022年10月，歐盟網(wǎng)絡(luò)安全局（ENISA）發(fā)布《抗量子密碼–整合研究》（Post-quantumCryptography-IntegrationStudy）報(bào)告，作為2021年IPsec等安全協(xié)議中、及圍繞抗量子密碼設(shè)計(jì)新協(xié)議的可能性，并對(duì)抗量子系統(tǒng)的經(jīng)典密碼算法（如RSA、ECC）相結(jié)合，以形成一種既能抵御量子計(jì)算攻擊又能ML-DSA（FIPS204）及SLH-DSA（FIPS205）方案依然具有存在的合理性與必要性，主要基（3）“知者行之始，行者知之成?！被旌线^(guò)渡方案不是等待抗量子密碼算法、/archive/id/draft-connolly-tls-mlkem-key-agreement-01.htlRFC9370MultipleKeyExchangesintheInternetKeyExchangeProtoclRFC9242IntermediateExchangeinlRFC8784MixingPresharedVersion2(IKEv2)forPost-quantumSecurity，2020年6月。參見(jiàn)：httplInternetX.509PublicKeyInfrastructure:AlgorithmIdentifiersforML-DlInternetX.509PublicKeyInfrastructure-AlgorithmIdentifiersf參見(jiàn)：/doc/draflMixingPresharedKeysintheIKE_INTERMEDIATE_CHILD_SAExchangesofIKEv2for月。參見(jiàn)：/archive/id/draft-ietf-ipsecme-ikev2-qr-alt-03./archive/id/draft-ounsworth-lam/archive/id/draft-conlPost-quantumHybridKeyExchangewithML-KEMintheInternetKey/archive/id/draft-kampanakis-ml-kem-參見(jiàn)：/doc/html/draft-tls-westerb在TLS中引入抗量子密碼與經(jīng)典密碼的混合過(guò)渡方案，主要目的是在保有TLS協(xié)議兼容性的同時(shí)，增強(qiáng)對(duì)未來(lái)量子計(jì)算攻擊的抵抗能力。這種方案通常l協(xié)議擴(kuò)展：首先需要對(duì)TLS協(xié)議進(jìn)行擴(kuò)展，以支持PQC算法。這包括定義新的密碼套件及其對(duì)象標(biāo)識(shí)（OID），這些套件結(jié)合了PQC密鑰交換l增強(qiáng)安全性：通過(guò)引入PQC算法，增強(qiáng)了TLS協(xié)議對(duì)未來(lái)量子計(jì)算攻擊SSH的增強(qiáng)與TLS類似，通過(guò)在SSH握手過(guò)程中密鑰，從而增強(qiáng)對(duì)未來(lái)量子計(jì)算攻擊的抵抗能力。SSH協(xié)議本身支持多種認(rèn)證和）），n客戶端和服務(wù)器在SSH握手過(guò)程中協(xié)商使用支持PQC的密鑰交換方n雙方確認(rèn)會(huì)話密鑰后，使用經(jīng)典的對(duì)稱密碼算法加密和解密后續(xù)傳輸中引入PQC與經(jīng)典密碼的混合過(guò)渡方案，可以增強(qiáng)的PKI體系通過(guò)引入抗量子密碼學(xué)算法來(lái)升級(jí)現(xiàn)有的公鑰基礎(chǔ)設(shè)施，以應(yīng)對(duì)量子計(jì)算的威脅。這包括在證書生成、分發(fā)、驗(yàn)證和撤銷等各個(gè)環(huán)節(jié)中集成態(tài)協(xié)議（OCSP），以確保數(shù)字證書在泄露或私鑰混合數(shù)字證書結(jié)合了經(jīng)典密碼學(xué)（如RSA、ECC）和抗量子密碼學(xué)（PQC）在抗量子密碼遷移實(shí)踐中，可以考慮實(shí)現(xiàn)與量子密鑰分發(fā)（QKD）系統(tǒng)及量信雙方之間實(shí)現(xiàn)密鑰的安全分發(fā)。由于量子態(tài)的不可克隆性和測(cè)量擾動(dòng)性，QKD數(shù)據(jù)時(shí)，可以同時(shí)結(jié)合二者的密鑰。同時(shí)，QRNG為整個(gè)系統(tǒng)提供高質(zhì)量的隨機(jī)名過(guò)程提供高質(zhì)量的隨機(jī)數(shù)；對(duì)QRNG進(jìn)行定期驗(yàn)證，確保其生成的隨勢(shì)，對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密保護(hù)；在數(shù)據(jù)傳輸過(guò)程中，利用QKD實(shí)時(shí)分發(fā)用，識(shí)別并解決實(shí)際應(yīng)用中的問(wèn)題，提升金融系4.1手機(jī)銀行系統(tǒng)抗量子密碼應(yīng)用方案.圖4-1手機(jī)銀行密碼應(yīng)用現(xiàn)狀表4-1手機(jī)銀行密碼產(chǎn)品與密碼算法使用現(xiàn)狀使用對(duì)象密碼產(chǎn)品密碼算法手機(jī)銀行系統(tǒng)SSL安全網(wǎng)關(guān)SM2、SM3、SM4密碼服務(wù)平臺(tái)SM2、SM3、SM4金融數(shù)據(jù)密碼機(jī)SM2、SM3、SM4手機(jī)銀行APP智能終端密碼模塊SM2、SM3、SM4表4-2手機(jī)銀行密碼技術(shù)應(yīng)用現(xiàn)狀密碼技術(shù)流程描述用戶身份鑒別手機(jī)銀行身份鑒別是采用雙因素認(rèn)證機(jī)制，一般模式是靜態(tài)口令+動(dòng)態(tài)認(rèn)證碼或生物特征識(shí)別。手機(jī)銀行APP調(diào)用智能終端密碼模塊，以數(shù)字信封方式對(duì)手機(jī)銀行APP中的靜態(tài)密碼、短信認(rèn)證碼進(jìn)行加密保護(hù)，手機(jī)銀行系統(tǒng)調(diào)用密碼服務(wù)平臺(tái)/密碼機(jī)進(jìn)行驗(yàn)證。傳輸通道加密手機(jī)銀行APP與銀行系統(tǒng)側(cè)SSL安全網(wǎng)關(guān)建立鏈路通道，對(duì)手機(jī)銀行交易的傳輸通道進(jìn)行機(jī)密性和完整性保護(hù)。交易抗抵賴性對(duì)于大額轉(zhuǎn)賬的需求，非同名轉(zhuǎn)賬單日累計(jì)金額超過(guò)5萬(wàn)元，采用了數(shù)字簽名等安全可靠的支付指令驗(yàn)證方式，即手機(jī)銀行APP調(diào)用智能終端密碼模塊進(jìn)行簽名，銀行系統(tǒng)側(cè)進(jìn)行驗(yàn)簽，從而保障交易過(guò)程不可抵賴性。報(bào)文傳輸加密手機(jī)銀行APP調(diào)用智能終端密碼模塊，通過(guò)數(shù)字信封密碼技術(shù)對(duì)交易數(shù)據(jù)進(jìn)行機(jī)密性、完整性保護(hù)，銀行系統(tǒng)側(cè)調(diào)用密碼服務(wù)平臺(tái)/密碼機(jī)進(jìn)行完整性校驗(yàn)、數(shù)據(jù)解密?，F(xiàn)向抗量子密碼算法的平滑過(guò)渡，不影響手表4-3手機(jī)銀行抗量子密碼遷移范圍使用對(duì)象原密碼產(chǎn)品升級(jí)產(chǎn)品支持的抗量子密碼算法手機(jī)銀行系統(tǒng)SSL安全網(wǎng)關(guān)升級(jí)同時(shí)支持抗量子SSL安全網(wǎng)關(guān)Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、LAC.PKE密碼服務(wù)平臺(tái)升級(jí)同時(shí)支持抗量子密碼服務(wù)平臺(tái)Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、LAC.PKE金融數(shù)據(jù)密碼機(jī)增加支持抗量子金融數(shù)據(jù)密碼機(jī)Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、LAC.PKE手機(jī)銀行APP智能終端密碼模塊升級(jí)同時(shí)支持抗量子智能終端密碼模塊Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、LAC.PKE圖4-2手機(jī)銀行抗量子密碼遷移總體架構(gòu)手機(jī)銀行APP新版本集成抗量子智能終端密碼模塊，通過(guò)抗量子密碼算法對(duì)手機(jī)銀行APP中的靜態(tài)密碼、短信認(rèn)證碼進(jìn)行加密保護(hù)，手機(jī)銀行涉及大于5萬(wàn)元的大額支付，手機(jī)銀行APP新版本調(diào)用抗量子智能終端密碼），手機(jī)銀行APP新版本調(diào)用抗量子智能終端密碼模塊，通過(guò)抗量子密碼算法對(duì)結(jié)合手機(jī)銀行業(yè)務(wù)特點(diǎn)，秉持平滑過(guò)渡原則，對(duì)于還未升級(jí)改造的手機(jī)銀行APP舊版本，在身份鑒別、傳輸通道、交易抗抵賴、報(bào)文傳輸加密方面繼續(xù)采用4.2證券網(wǎng)上交易系統(tǒng)抗量子密碼應(yīng)用方案業(yè)務(wù)主要包括證券AB股業(yè)務(wù)、債券業(yè)務(wù)、開放式基金業(yè)等，也是目前證券公司圖4-3證券網(wǎng)上交易系統(tǒng)PKI密碼應(yīng)用面對(duì)量子計(jì)算的威脅，需要解決網(wǎng)上交易系統(tǒng)的SSL協(xié)議中數(shù)字簽名、公私支持抗量子密碼運(yùn)算的能力，包括抗量子協(xié)同簽名系統(tǒng)、抗量子SSL網(wǎng)關(guān)、抗量子密鑰管理系統(tǒng)和抗量子數(shù)字證書系統(tǒng)(CA)。實(shí)現(xiàn)抗量子算法的網(wǎng)上交易系統(tǒng)改圖4-4網(wǎng)上交易系統(tǒng)抗量子密碼應(yīng)用4.3證券集中交易系統(tǒng)抗量子密碼應(yīng)用方案圖4-5集中交易系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D4-6集中交易密碼實(shí)施架構(gòu)對(duì)應(yīng)到密碼應(yīng)用需求，密碼支撐層部署實(shí)施的l抗量子密鑰管理系統(tǒng)對(duì)系統(tǒng)內(nèi)各類密鑰、用戶PIN等信息統(tǒng)一管理；l抗量子SSLVPN采用抗量子密碼算法實(shí)現(xiàn)安全網(wǎng)絡(luò)協(xié)議，提供身份鑒別和傳l抗量子視頻監(jiān)控一體機(jī)提供基于抗量子密碼算法實(shí)現(xiàn)對(duì)監(jiān)控音視頻進(jìn)行透明4.4移動(dòng)通信4A系統(tǒng)抗量子密碼應(yīng)用方案4A統(tǒng)一安全管理平臺(tái)是一個(gè)以身份為中心，實(shí)現(xiàn)帳號(hào)、認(rèn)證、授權(quán)和審計(jì)統(tǒng)高系統(tǒng)的安全性、管理效率和用戶訪問(wèn)的便捷性。其核心包括賬號(hào)（Account）管圖4-74A系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D圖4-84A系統(tǒng)密碼應(yīng)用保障框架4A系統(tǒng)現(xiàn)有密碼體系的技術(shù)上，引入抗量子密碼算法，采用抗量子產(chǎn)品體系，逐圖4-94A系統(tǒng)抗量子密碼遷移架構(gòu)的能力，包括抗量子密碼服務(wù)平臺(tái)、抗量子IPSec/SSLVPN網(wǎng)關(guān)、抗量子智能密4.5移動(dòng)通信OMC系統(tǒng)抗量子密碼應(yīng)用方案戶通過(guò)4A系統(tǒng)身份鑒別后，在堡壘機(jī)上采用BS模式訪問(wèn)OMC網(wǎng)管，對(duì)網(wǎng)元進(jìn)機(jī)上部署國(guó)密瀏覽器結(jié)合OMC系統(tǒng)前部署的SSLVPN安全網(wǎng)關(guān)實(shí)現(xiàn)，重云服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器、密鑰管理系統(tǒng)、數(shù)字證書認(rèn)證系統(tǒng)、VPN安圖4-10移動(dòng)通信OMC系統(tǒng)抗量子密碼遷移過(guò)程2、OMC系統(tǒng)調(diào)用抗量子密碼服務(wù)平臺(tái)的密碼能力（調(diào)用抗量子云服務(wù)器密），4.6電力監(jiān)控系統(tǒng)抗量子密碼應(yīng)用方案點(diǎn)共同確保了電力監(jiān)控系統(tǒng)能夠在復(fù)雜多變的電力環(huán)目前