本發(fā)明涉及一種量子計(jì)算，尤其涉及一種增加電力信息系統(tǒng)ca服務(wù)抗量子計(jì)算能力的電力信息系統(tǒng)的抗量子計(jì)算方法、系統(tǒng)。

背景技術(shù)：

1、電網(wǎng)是很多關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，其信息安全尤為重要。為此，電力行業(yè)在信息安全防護(hù)上投入了大量資源，構(gòu)建了以“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”為總體原則的安全防護(hù)體系，有效保障了電網(wǎng)的安全穩(wěn)定運(yùn)行。特別是在密碼基礎(chǔ)設(shè)施建設(shè)方面，自2009年起便開始開展用電信息密碼管理系統(tǒng)的建設(shè)，充分發(fā)揮了密碼在保障關(guān)鍵信息基礎(chǔ)設(shè)施安全中的支撐作用。

2、此外，國(guó)家電網(wǎng)公司還建立了商用密碼管理中心，為各業(yè)務(wù)系統(tǒng)提供包括ca服務(wù)在內(nèi)的全面的密碼應(yīng)用服務(wù)，下級(jí)電力業(yè)務(wù)系統(tǒng)跨域使用ca服務(wù)，基于證書實(shí)現(xiàn)身份鑒別、以及會(huì)話密鑰協(xié)商。

3、然而，隨著量子計(jì)算技術(shù)的快速發(fā)展，傳統(tǒng)密碼體系面臨嚴(yán)峻挑戰(zhàn)。量子計(jì)算機(jī)能夠以特定的計(jì)算方式，如shor量子算法和grover量子算法，有效地解決一些經(jīng)典計(jì)算機(jī)難以勝任的數(shù)學(xué)問(wèn)題。對(duì)現(xiàn)有的非對(duì)稱密碼算法和對(duì)稱密碼算法構(gòu)成潛在安全隱患。特別是shor算法，理論上可以破解當(dāng)前廣泛應(yīng)用的rsa和ecc算法，這兩種算法的安全基礎(chǔ)分別為大整數(shù)分解和橢圓曲線離散對(duì)數(shù)問(wèn)題。這意味著，一旦量子計(jì)算機(jī)得到廣泛應(yīng)用，現(xiàn)有的電力信息系統(tǒng)，尤其是基于傳統(tǒng)密碼算法的ca服務(wù)，將面臨被破解的風(fēng)險(xiǎn)。

4、所以，現(xiàn)有電力信息系統(tǒng)的ca服務(wù)在面對(duì)量子計(jì)算威脅時(shí)存在安全問(wèn)題。首先，跨區(qū)域證書簽發(fā)過(guò)程需要在廣域網(wǎng)上傳輸大量信息，極易造成私鑰泄露或被攻擊，從而可能導(dǎo)致整個(gè)信任鏈崩潰，同時(shí)證書數(shù)據(jù)的同步過(guò)程也為量子計(jì)算攻擊提供了機(jī)會(huì)。其次，證書過(guò)期和撤銷機(jī)制的不完善也加劇了安全風(fēng)險(xiǎn)，尤其是現(xiàn)有證書的更新過(guò)長(zhǎng)，為量子計(jì)算機(jī)破解預(yù)留了充足的窗口期。再次，在當(dāng)前機(jī)制下，無(wú)論是證書的簽發(fā)還是更新過(guò)程，往往都需要人工參與，不僅操作繁瑣而且流程過(guò)于復(fù)雜，手工輸入以及各類導(dǎo)入、導(dǎo)出操作更是存在泄露敏感歇息的風(fēng)險(xiǎn)。此外，會(huì)話密鑰協(xié)商過(guò)程同樣面臨量子計(jì)算攻擊的威脅，傳統(tǒng)的密鑰協(xié)商協(xié)議可能變得脆弱，無(wú)法有效保護(hù)會(huì)話密鑰的安全性。最后，在現(xiàn)有ca系統(tǒng)的服務(wù)過(guò)程中，公鑰往往都是以明文的形式傳遞，非常容易被量子計(jì)算破解利用。

技術(shù)實(shí)現(xiàn)思路

1、為了克服現(xiàn)有技術(shù)的不足，本發(fā)明的目的之一在于提供一種電力信息系統(tǒng)的抗量子計(jì)算方法，其通過(guò)使用量子密鑰進(jìn)行量子證書的簽發(fā)，并通過(guò)量子安全ca服務(wù)中心完成量子證書的簽發(fā)認(rèn)證。

2、本發(fā)明的目的之一采用以下技術(shù)方案實(shí)現(xiàn)：

3、一種電力信息系統(tǒng)的抗量子計(jì)算方法，包括以下步驟：

4、量子安全業(yè)務(wù)系統(tǒng)調(diào)用客戶業(yè)務(wù)服務(wù)獲取一個(gè)量子密鑰，稱為第一量子密鑰，所述量子密鑰為對(duì)稱的、存儲(chǔ)在量子安全業(yè)務(wù)系統(tǒng)及量子安全ca服務(wù)中心的密鑰；

5、所述量子安全業(yè)務(wù)系統(tǒng)生成所述第一量子密鑰的第一量子證書，并向量子安全ca服務(wù)中心發(fā)起所述第一量子證書的簽發(fā)請(qǐng)求；

6、接收量子安全ca服務(wù)中心的驗(yàn)證結(jié)果：

7、當(dāng)驗(yàn)證結(jié)果為驗(yàn)證失敗，量子安全業(yè)務(wù)系統(tǒng)重新調(diào)用客戶業(yè)務(wù)服務(wù)獲取一個(gè)量子密鑰；

8、當(dāng)驗(yàn)證結(jié)果為驗(yàn)證通過(guò)，量子安全ca服務(wù)中心存儲(chǔ)并解密所述第一量子證書，并向所述量子安全業(yè)務(wù)系統(tǒng)發(fā)送確認(rèn)消息；

9、量子安全業(yè)務(wù)系統(tǒng)將所述第一量子證書及所述第一量子證書的身份信息存儲(chǔ)。

10、進(jìn)一步地，所述量子證書的簽發(fā)請(qǐng)求包括以所述量子證書為主體的簽名、所述第一量子密鑰的密鑰標(biāo)識(shí)及加密的身份信息。

11、進(jìn)一步地，所述量子安全ca服務(wù)中心進(jìn)行所述第一量子證書的簽發(fā)，包括：

12、通過(guò)所述量子證書對(duì)應(yīng)的密鑰標(biāo)識(shí)查找量子安全ca服務(wù)中心存儲(chǔ)的量子密鑰，查找得到第二量子密鑰；

13、通過(guò)所述第二量子密鑰生成第二量子證書；

14、若所述第二量子證書與所述第一量子證書相同，驗(yàn)證通過(guò)；否則，驗(yàn)證失敗。

15、進(jìn)一步地，所述量子安全業(yè)務(wù)系統(tǒng)定期向量子安全ca服務(wù)中心發(fā)起證書更新，包括以下步驟：

16、量子安全業(yè)務(wù)系統(tǒng)調(diào)用客戶業(yè)務(wù)服務(wù)獲取第三量子密鑰；

17、通過(guò)所述第三量子密鑰生成第三量子證書；

18、將前一個(gè)量子證書索引及所述第三量子證書發(fā)發(fā)送給所述量子安全ca服務(wù)中心，并發(fā)起更新請(qǐng)求；

19、量子安全ca服務(wù)中心對(duì)所述量子安全ca服務(wù)中心進(jìn)行身份驗(yàn)證，驗(yàn)證通過(guò)后，通過(guò)前一個(gè)量子證書索引搜索存儲(chǔ)位置，使用所述第三量子證書更新前一個(gè)量子證書，并向所述量子安全業(yè)務(wù)系統(tǒng)發(fā)送確認(rèn)結(jié)果。

20、進(jìn)一步地，所述量子安全業(yè)務(wù)系統(tǒng)還可以進(jìn)行量子證書查詢，包括：

21、量子安全業(yè)務(wù)系統(tǒng)調(diào)用客戶業(yè)務(wù)服務(wù)獲取臨時(shí)密鑰并讀取存儲(chǔ)的第一量子證書；

22、將所述臨時(shí)密鑰的密鑰標(biāo)識(shí)、第一量子證書的索引及查詢請(qǐng)求發(fā)送給量子安全ca服務(wù)中心；

23、量子安全ca服務(wù)中心通過(guò)接收的密鑰標(biāo)識(shí)及索引進(jìn)行身份驗(yàn)證；

24、驗(yàn)證通過(guò)后，查詢存儲(chǔ)的所述第一量子證書的公鑰，并將公鑰及驗(yàn)證通過(guò)的結(jié)果返回給所述量子安全業(yè)務(wù)系統(tǒng)。

25、進(jìn)一步地，所述第一量子證書包括公私鑰信息，所述第一量子證書的身份信息包括證書的索引信息，所述第一量子密鑰包括密鑰標(biāo)識(shí)及密鑰值。

26、本發(fā)明的目的之二在于提供一種電力信息系統(tǒng)的抗量子計(jì)算系統(tǒng)，其通過(guò)量子密鑰分發(fā)網(wǎng)絡(luò)連接量子安全ca服務(wù)中心與量子安全業(yè)務(wù)系統(tǒng)，進(jìn)而完成量子密鑰的生成與證書的驗(yàn)證存儲(chǔ)。

27、本發(fā)明的目的之二采用以下技術(shù)方案實(shí)現(xiàn)：

28、一種電力信息系統(tǒng)的抗量子計(jì)算系統(tǒng)，包括量子安全ca服務(wù)中心、量子密鑰分發(fā)網(wǎng)絡(luò)及若干量子安全業(yè)務(wù)系統(tǒng)；

29、所述量子密鑰分發(fā)網(wǎng)絡(luò)用于產(chǎn)生二元比特隨機(jī)序列，所述量子安全ca服務(wù)中心及所述量子安全業(yè)務(wù)系統(tǒng)獲取二元比特隨機(jī)序列以生成量子密鑰；

30、所述量子安全ca服務(wù)中心及所述量子安全業(yè)務(wù)系統(tǒng)執(zhí)行上述的電力信息系統(tǒng)的抗量子計(jì)算方法。

31、進(jìn)一步地，所述量子密鑰分發(fā)網(wǎng)絡(luò)包括qkd節(jié)點(diǎn)及節(jié)點(diǎn)間的光纖網(wǎng)絡(luò)，用于在qkd節(jié)點(diǎn)之間同步量子密鑰，所述量子密鑰分發(fā)網(wǎng)絡(luò)使用量子密鑰協(xié)商算法在qkd節(jié)點(diǎn)之間持續(xù)協(xié)商產(chǎn)生二元比特隨機(jī)序列，所述量子密鑰協(xié)商算法包括誘騙態(tài)bb84協(xié)議、設(shè)備無(wú)關(guān)量子密鑰分發(fā)協(xié)議、雙場(chǎng)量子密鑰分發(fā)協(xié)議。

32、進(jìn)一步地，所述量子安全業(yè)務(wù)系統(tǒng)包括量子密鑰管理系統(tǒng)、密碼模塊及客戶業(yè)務(wù)服務(wù)；

33、所述量子密鑰管理系統(tǒng)用于從量子密鑰分發(fā)網(wǎng)絡(luò)獲取二元比特隨機(jī)序列并產(chǎn)生量子密鑰，還向客戶業(yè)務(wù)服務(wù)提供獲取密鑰的接口；

34、所述密碼模塊用于安全存儲(chǔ)由量子密鑰管理系統(tǒng)產(chǎn)生的量子密鑰及量子證書數(shù)據(jù)；

35、所述客戶業(yè)務(wù)服務(wù)用于使用量子證書對(duì)量子安全業(yè)務(wù)系統(tǒng)進(jìn)行安全保護(hù)。

36、進(jìn)一步地，所述密碼模塊包括密碼計(jì)算區(qū)及安全存儲(chǔ)區(qū)，所述密碼計(jì)算區(qū)通過(guò)sm2、sm3、sm4進(jìn)行計(jì)算，所述安全存儲(chǔ)區(qū)用于存儲(chǔ)敏感數(shù)據(jù)；

37、所述量子證書的私鑰為量子密鑰的密鑰值，所述量子證書的公鑰通過(guò)將私鑰輸入ecc算法計(jì)算得到，所述量子證書的格式包括pem、pfx、cer。

38、相比現(xiàn)有技術(shù)，本發(fā)明的有益效果在于：

39、本發(fā)明基于量子密鑰來(lái)產(chǎn)生量子證書，解決了證書簽發(fā)過(guò)程涉及多個(gè)服務(wù)之間的信任鏈傳遞、密鑰信息泄露的問(wèn)題，證書簽發(fā)的過(guò)程不需要在網(wǎng)絡(luò)中傳遞任何形式的公鑰；

40、本發(fā)明引入了量子密鑰分發(fā)網(wǎng)絡(luò)，使得證書的簽發(fā)過(guò)程安全性由量子密鑰分發(fā)網(wǎng)絡(luò)產(chǎn)生量子密鑰的機(jī)制負(fù)責(zé)，提升了證書簽發(fā)過(guò)程抗量子計(jì)算的能力；通過(guò)基于量子密鑰分發(fā)網(wǎng)絡(luò)的密鑰協(xié)商，解決了密鑰在基于證書的會(huì)話密鑰協(xié)商過(guò)程中可能被破解的風(fēng)險(xiǎn)，會(huì)話密鑰采用由量子密鑰分發(fā)網(wǎng)絡(luò)產(chǎn)生的量子密鑰，提升了數(shù)據(jù)傳輸過(guò)程抗量子計(jì)算的能力；

41、進(jìn)一步，通過(guò)在證書查詢過(guò)程中臨時(shí)量子密鑰的使用，解決了證書公鑰在證書查詢過(guò)程當(dāng)中敏感信息明文傳輸?shù)膯?wèn)題，并且加密使用的密鑰來(lái)源于量子密鑰分發(fā)網(wǎng)絡(luò)，具有較強(qiáng)的抗量子計(jì)算的能力。