文 | 田晶 張劍雄 陰皓
近年來,随着《中華人民共和國網絡安全法》、《中華人民共和國資料安全法》、網絡安全等級保護制度2.0國家标準等一系列法律及标準的出台,網絡安全的監管要求日益嚴格,金融行業在推進數字化轉型的同時,也要進一步強化網絡安全防護能力。量子技術作為關乎國家安全戰略的前沿技術領域之一,受到金融行業的高度關注,2022年8月,北京金融科技産業聯盟專門設立了量子技術專業委員會,積極落實國家“十四五”規劃關于加快布局量子計算、量子通信等前沿技術的要求。
中國銀行積極對量子加密創新進行實踐探索,與華為公司合作成立聯合創新實驗室,對接業内重要金融機構相關數字創新業務,将量子加密通信技術成功融入新業務網絡之中,加強了機構間支付交易通信的安全能力,在打破量子保密通信技術應用瓶頸的同時,降低了應用成本。
銀行數字化轉型加速,傳統網絡加密方案面臨諸多挑戰
随着業務組網規模的高速增長、網絡可靠性要求的日趨嚴格以及密碼攻擊方法的不斷發展,傳統IPsec加密方案的短闆愈發明顯。在金融資料傳輸中應用量子保密通信技術,能成功應對金融網絡傳統IPsec加密方案的三大挑戰。
挑戰一:傳統加密解決方案不适用于大型組網場景
傳統IPsec加密方案是基于點到點的加密技術,随着網絡節點數的增加,大型金融機構在部署全網際網路絡時,加密隧道和加密協定session數量以及會話狀态數會呈指數級增長,進而加大了人工部署和維護的難度,是以這一方案并不适用于大規模網絡互聯加密應用。
挑戰二:無法滿足金融網絡高可用要求
傳統方案IPsec Tunnel僅支援實體路徑保護。當發生IPsec tunnel故障時,一方面需要将IPsec tunnel可用狀态通告給業務,業務重新選擇其他可用的IPsec tunnel;另一方面,基于IPsec tunnel流觸發的建立機制,業務恢複周期需要秒級以上。此外,業務承載隧道(如MPLS TE tunnel,SRv6 tunnel等)疊加IPsec加密隧道的承載方式造成了資料傳輸網絡狀态O(m×n)級别的高複雜度,提高了網絡故障發生機率,無法滿足金融網絡高可用要求。
挑戰三:目前加密方式無法應對量子計算破解問題
基于量子疊加态原理,量子計算極大提升了密碼破解速度。現有基于基礎數學難題設計的公鑰密碼體系在面對量子解密算法時,其破解複雜度由指數級降低為多項式級。以破解RSA-3072密碼算法為例,經典計算需10 000億年,整數分解shor量子算法僅需100秒,由此可見,目前加密方式很難有效抵抗基于量子計算的解密攻擊。如何建構能夠有效抵抗量子計算破解的公鑰密碼算法(後量子密碼算法)成為一大挑戰。
新一代自适應量子加密網際網路絡,建構金融資料安全新基座
為解決傳統網絡加密方案面臨的諸多難題,通過對業界技術全面細緻調研,後量子網絡加密測試取得圓滿成功。本次測試在後量子加密、點到多點自适應加密技術(xSEC)等方面進行了全面驗證,成功建構新一代自适應量子加密網際網路絡(以下簡稱“量子加密網際網路絡”),實作了加密安全能力更新,為未來量子保密通信技術的普及奠定了堅實基礎。新一代自适應量子加密網際網路絡架構如圖1所示。
圖1 新一代自适應量子加密網際網路絡架構
1.一點即密,簡化部署
量子加密網際網路絡實作點到多點無狀态密鑰協商機制,加密屬性通過BGP協定随業務一起釋出,路由接收者在接收到加密屬性後,結合本地加密屬性即可自動生成加密密鑰,改變了傳統request-response加密協商方式。同時,BGP協定點到多點的釋出方式,避免了傳統加密方式需點到點逐個部署加密隧道的繁雜工作,僅需一點控制、配置成員清單即可實作對加密節點的增減,将傳統IPsec IKE機制的狀态從O(n2)降低到0,并将配置複雜度從O(n2)降低到O(n),有力支撐了大規模加密網絡的部署。點到多點無狀态秘鑰協商機制主要名額如圖2所示。
圖2 點到多點無狀态秘鑰協商機制主要名額
2.業務随路加密,保證網絡高可靠
量子加密網際網路絡能實作業務随路加密,保證網絡高可靠。業務随路加密技術使用業務隧道直接進行業務加密處理,加密和隧道完全解耦,解決了業務承載隧道疊加IPsec加密隧道的O(m×n)高複雜度問題,簡化了網絡可靠性設計,同時避免了故障處理時需額外配置政策引流動作;随路加密繼承業務原有的可靠性保障能力,可以實作節點、單闆、鍊路多級别的50ms高可靠保護容災能力。随路加密高可靠保障原理如圖3所示。
圖 3 随路加密高可靠保障原理
3.彈性抗量子融合安全
量子加密網際網路絡實作了經典加密算法和後量子加密算法融合的“雙保險”加密模式,既得到經典算法的保護,也具備後量子算法的高安全能力,避免出現單個算法被破解即解密的情況,能有效防止“現在存儲,以後解密”的資料攻擊;同時具備xSEC和傳統IPsec混合部署能力,實作從傳統IPsec向xSEC技術的平滑演進;實際網絡部署時,提供靈活的多種“雙保險”方式。本次測試驗證了“PQC後量子算法+經典加密算法”混合秘鑰資料保護方式,未來可進一步演進,提供“QKD量子密鑰+經典加密算法”混合密鑰高安資料保護方式。經典加密算法和後量子加密算法融合機制如圖4所示。
圖4 經典加密算法和後量子加密算法融合機制
量子加密提升網絡安全次元,為金融數字化轉型保駕護航
新技術的發展給傳統網絡安全帶來新的挑戰,也催生出新的機遇,量子計算在加密解密方面具備更高次元的安全性,推動了行業技術的變革。随着量子技術的不斷創新發展,銀行等金融機構可依托新一代自适應量子加密網際網路絡,深化“一點即密、簡化部署”“随路加密高可靠”“抗量子融合安全”三大技術創新,通過後量子算法融合SRv6等其他技術,構築網絡資料流轉安全新底座,擴充裝置與網絡管理的抗量子能力,建構全面安全可靠、智能高速的網際網路絡,加快推進金融數字化轉型。