陸永輝 蘆振輝/金華市檔案館

王軍偉/金華國(guó)科量子通信網(wǎng)絡(luò)有限公司

近年來(lái)，國(guó)內(nèi)外網(wǎng)絡(luò)攻擊導(dǎo)致的數(shù)據(jù)泄露事件頻發(fā)。其中通過(guò)破解各種系統(tǒng)平臺(tái)登錄賬號(hào)和密碼，非法進(jìn)入并竊取敏感數(shù)據(jù)，是最為常用手段。2015年7月Ashley Madison數(shù)據(jù)泄露事件中，大量用戶(hù)的用戶(hù)名和密碼被泄露，導(dǎo)致大量個(gè)人隱私數(shù)據(jù)被公開(kāi)，用戶(hù)面臨勒索威脅，甚至有的用戶(hù)因數(shù)據(jù)被公開(kāi)而自殺。2022年6月西北工業(yè)大學(xué)發(fā)布該校遭受境外網(wǎng)絡(luò)攻擊的《公開(kāi)聲明》，攻擊者其中一個(gè)重要手段就是境外機(jī)構(gòu)使用嗅探進(jìn)程間通信的方式，獲取西北工業(yè)大學(xué)業(yè)務(wù)人員實(shí)施運(yùn)維工作時(shí)暴露的ssh、telnet、rlogin等多種遠(yuǎn)程登錄方式的賬號(hào)口令和密碼，以“合法”身份進(jìn)入我國(guó)基礎(chǔ)設(shè)施運(yùn)營(yíng)商服務(wù)網(wǎng)絡(luò)，竊取用戶(hù)隱私數(shù)據(jù)。如何保證電腦屏幕后面的登錄者是合法用戶(hù)，成為當(dāng)前急需解決的一大難題。

在數(shù)字化改革驅(qū)動(dòng)下，檔案信息系統(tǒng)部署于政務(wù)網(wǎng)，服務(wù)和融入政府?dāng)?shù)字化轉(zhuǎn)型已是大勢(shì)所趨。以網(wǎng)絡(luò)技術(shù)為基礎(chǔ)建立檔案信息系統(tǒng)，同樣會(huì)遭受網(wǎng)絡(luò)攻擊，檔案數(shù)據(jù)具有敏感性，甚至?xí)媾R更大的威脅。身份認(rèn)證作為一種有效的解決方案，能在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份，用于保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者。作為保障網(wǎng)絡(luò)資產(chǎn)安全的第一道關(guān)口，身份認(rèn)證技術(shù)有著舉足輕重的作用。

1 檔案管理信息系統(tǒng)身份認(rèn)證面臨安全隱患

部署檔案信息系統(tǒng)的政務(wù)外網(wǎng)采用的專(zhuān)網(wǎng)安全機(jī)制，可以在一定程度上保證檔案管理信息系統(tǒng)安全。但檔案信息系統(tǒng)在身份認(rèn)證過(guò)程中，還是存在較大風(fēng)險(xiǎn)，主要表現(xiàn)在以下幾個(gè)方面。

一是認(rèn)證類(lèi)型單一。受限于技術(shù)、成本等因素，現(xiàn)有檔案管理系統(tǒng)大多采用了“賬號(hào)+口令”這種單一的認(rèn)證方式，對(duì)USB key、虹膜等多因素認(rèn)證技術(shù)應(yīng)用較少，僅依靠單一因素認(rèn)證極不可靠。

二是口令簡(jiǎn)單。一方面，口令一般采用英文字母和數(shù)字一起組成口令，比如八位，那么一共有628種組合，也就大約218萬(wàn)億種，這個(gè)數(shù)字雖然不小，但實(shí)際上只不過(guò)相當(dāng)于一個(gè)長(zhǎng)度為48比特的密鑰而已，較容易破解；另一方面，少量用戶(hù)為了操作方便，習(xí)慣使用自己和親人的生日、紀(jì)念日、電話(huà)號(hào)碼等作為口令。這種弱口令雖然容易記憶，但受這樣口令保護(hù)的系統(tǒng)是非常脆弱的。

三是易遭受重放攻擊。重放攻擊是一種常見(jiàn)的黑客攻擊手段。web應(yīng)用常見(jiàn)的場(chǎng)景是利用重放攻擊手段登錄他人賬號(hào)并獲取token，然后為所欲為。重放攻擊不需要知道密碼，只要攔截報(bào)文，就可以攻擊。目前大多數(shù)檔案信息系統(tǒng)都面臨這種攻擊的威脅。

2 量子安全創(chuàng)新身份認(rèn)證技術(shù)

近年來(lái)，量子計(jì)算機(jī)飛速發(fā)展，小型量子計(jì)算機(jī)系統(tǒng)已經(jīng)從科研院所走向產(chǎn)業(yè)界。量子計(jì)算機(jī)不僅能夠破解密碼，還在生物制藥、問(wèn)題優(yōu)化、數(shù)據(jù)檢索等眾多場(chǎng)景都有廣泛的應(yīng)用。因此，以谷歌、IBM、微軟等巨頭為代表的企業(yè)紛紛投入巨資參與量子計(jì)算機(jī)的研發(fā)。隨著產(chǎn)業(yè)投入力度的持續(xù)加大，業(yè)界預(yù)期能夠破解當(dāng)前公鑰密碼體制的大型量子計(jì)算機(jī)有望在10年左右的時(shí)間研制成功。

在這樣的背景下，“量子安全”的概念應(yīng)運(yùn)而生。尤其是網(wǎng)絡(luò)中多個(gè)用戶(hù)的通信，每個(gè)通信對(duì)象的身份認(rèn)證將非常重要。量子身份認(rèn)證技術(shù)是實(shí)現(xiàn)信息保護(hù)的一種重要手段，主要原理是實(shí)施過(guò)程中采用一種動(dòng)態(tài)方式，即合法通信者之間每次可動(dòng)態(tài)獲得一個(gè)新的量子認(rèn)證密鑰。該種方式易于實(shí)現(xiàn)，具有可證明信息理論的安全性，安全性由量子不可克隆性和國(guó)產(chǎn)算法本身的動(dòng)態(tài)特性保證。在這種安全強(qiáng)度下，無(wú)論竊聽(tīng)者的計(jì)算能力有多么強(qiáng)大（即使掌握量子計(jì)算機(jī)），也無(wú)法破解通過(guò)QKD生成的安全密鑰，所以量子身份認(rèn)證技術(shù)是目前少數(shù)能夠抵御量子計(jì)算攻擊，也能滿(mǎn)足下一代通信系統(tǒng)安全要求的先進(jìn)技術(shù)。

量子密碼技術(shù)相對(duì)于經(jīng)典加密技術(shù)，區(qū)別在于能否抵抗量子計(jì)算機(jī)的暴力破解。量子密鑰的分發(fā)采用，會(huì)對(duì)檔案信息進(jìn)行多層保護(hù)，當(dāng)前所采用的加密技術(shù)類(lèi)型是利用不同密鑰加密以及解密，作為第三方很難直接截取密文，就算截取也難以破解其中的檔案信息，最終達(dá)到有效保護(hù)的目的。所以說(shuō)，各種現(xiàn)代化技術(shù)的采用能確保檔案信息和檔案信息環(huán)境更加安全，在科學(xué)技術(shù)快速發(fā)展以及不斷完善的背景下，也會(huì)有更多高新技術(shù)應(yīng)用于檔案信息以及檔案信息環(huán)境安全保護(hù)工作中。

3 量子身份認(rèn)證技術(shù)在檔案信息管理系統(tǒng)中的應(yīng)用

為解決檔案信息系統(tǒng)身份認(rèn)證中存在的風(fēng)險(xiǎn)，金華市檔案館采用“賬號(hào)+口令”，再加上量子U盾的登錄方式，融合量子密碼技術(shù)和傳統(tǒng)密碼技術(shù)，實(shí)現(xiàn)基于量子身份認(rèn)證技術(shù)的多重身份認(rèn)證，達(dá)到身份認(rèn)證安全增強(qiáng)、對(duì)信息系統(tǒng)進(jìn)行安全加固的目的。

其核心是在金華“檔案館室一體化系統(tǒng)”中增加密鑰管理系統(tǒng)、量子隨機(jī)數(shù)發(fā)生器、服務(wù)器密碼機(jī)等符合國(guó)家標(biāo)準(zhǔn)的密碼設(shè)備，為系統(tǒng)提供安全可靠、高隨機(jī)性的密鑰資源，以及高速并行的密碼運(yùn)算資源，切實(shí)保障身份認(rèn)證。終端用戶(hù)的PC上插入安全介質(zhì)、密碼安全套件等，即可為終端用戶(hù)提供身份認(rèn)證過(guò)程中必要的密碼資源存儲(chǔ)和運(yùn)算能力。整個(gè)過(guò)程能夠自動(dòng)實(shí)現(xiàn)用戶(hù)身份認(rèn)證。

一是終端用戶(hù)發(fā)送身份認(rèn)證請(qǐng)求。終端用戶(hù)在查詢(xún)檔案時(shí)，首先在PC終端中插入安全介質(zhì)并輸入密碼，安全介質(zhì)校驗(yàn)密碼成功后向服務(wù)端系統(tǒng)主動(dòng)發(fā)送身份認(rèn)證請(qǐng)求；服務(wù)端系統(tǒng)調(diào)用密碼設(shè)備、產(chǎn)生挑戰(zhàn)隨機(jī)數(shù)，并發(fā)送給終端用戶(hù)。二是終端用戶(hù)組裝認(rèn)證請(qǐng)求。終端用戶(hù)收到挑戰(zhàn)隨機(jī)數(shù)后，對(duì)挑戰(zhàn)隨機(jī)數(shù)和證書(shū)進(jìn)行哈希運(yùn)算，同時(shí)使用安全介質(zhì)中的量子密鑰對(duì)哈希值進(jìn)行MAC運(yùn)算；再使用終端用戶(hù)私鑰對(duì)MAC值進(jìn)行簽名，獲得簽名值；最后把簽名結(jié)果值和終端用戶(hù)SM2證書(shū)發(fā)送至服務(wù)端。三是服務(wù)端系統(tǒng)進(jìn)行身份鑒別。服務(wù)端系統(tǒng)接收到客戶(hù)端發(fā)送的SM2證書(shū)和簽名值后，根據(jù)發(fā)送給終端用戶(hù)的挑戰(zhàn)隨機(jī)數(shù)以及SM2證書(shū)，進(jìn)行哈希運(yùn)算并獲得新的哈希值；服務(wù)端調(diào)用密碼部件，獲取終端用戶(hù)的量子密鑰，對(duì)新的哈希值進(jìn)行MAC運(yùn)算，獲得新的MAC值；然后從SM2證書(shū)中獲取終端用戶(hù)公鑰，配合MAC值等信息，調(diào)用密碼部件進(jìn)行驗(yàn)簽，驗(yàn)證簽名合法性，得到簽名合法性驗(yàn)證結(jié)果。四是生成用戶(hù)唯一標(biāo)識(shí)。服務(wù)端在驗(yàn)證簽名合法性通過(guò)后，生成用戶(hù)唯一標(biāo)識(shí)，發(fā)送至用戶(hù)終端。五是終端用戶(hù)登錄。終端用戶(hù)收到用戶(hù)唯一標(biāo)識(shí)后即可登錄系統(tǒng)，并能通過(guò)用戶(hù)唯一標(biāo)識(shí)進(jìn)行其他業(yè)務(wù)操作，如數(shù)據(jù)加密、解密等。

該過(guò)程核心點(diǎn)是在現(xiàn)有“賬號(hào)+口令”的認(rèn)證機(jī)制基礎(chǔ)上，與傳統(tǒng)密碼技術(shù)融合，在此基礎(chǔ)上疊加一次基于量子密鑰的身份認(rèn)證，確保用戶(hù)身份不可偽造，進(jìn)一步增強(qiáng)對(duì)檔案信息讀取權(quán)限的管理，從而實(shí)現(xiàn)基于量子密鑰的共享數(shù)據(jù)用戶(hù)身份認(rèn)證功能。

主要技術(shù)優(yōu)勢(shì)有以下三點(diǎn)。第一，密鑰分發(fā)安全性高（QKD）。量子力學(xué)基本原理包括量子測(cè)不準(zhǔn)原理、不可分割原理、量子態(tài)不可復(fù)制原理等，這從原理上保證了一旦存在竊聽(tīng)就必然被發(fā)現(xiàn)，換言之，一旦通信雙方成功建立了密鑰，這組密鑰就是安全的，從原理上是無(wú)法被破解的。量子通信通過(guò)量子密鑰傳輸通道完成量子密鑰分發(fā)，避免了通過(guò)傳統(tǒng)公鑰體系進(jìn)行密鑰分發(fā)或人工攜帶配送密鑰分發(fā)等帶來(lái)的安全隱患。

對(duì)于加密算法來(lái)說(shuō)，存在以“一次一密”（OTP）為代表的信息理論安全的加密算法，其與QKD技術(shù)相結(jié)合，可以實(shí)現(xiàn)整個(gè)加密系統(tǒng)的信息理論安全性，消息的私密性可以得到極大保障。除了用于對(duì)稱(chēng)加密，通過(guò)QKD建立的對(duì)稱(chēng)密鑰也可以輸入MAC算法用于消息認(rèn)證。QKD與信息理論安全MAC算法（可以通過(guò)使用通用哈希函數(shù)來(lái)實(shí)現(xiàn)）結(jié)合的認(rèn)證系統(tǒng)，能夠?qū)崿F(xiàn)整個(gè)認(rèn)證服務(wù)的信息理論安全性。

第二，量子密鑰隨機(jī)性高。隨機(jī)數(shù)在社會(huì)生活不同方面都有著重要的應(yīng)用，尤其是在信息安全、密碼應(yīng)用領(lǐng)域。目前常見(jiàn)的隨機(jī)數(shù)發(fā)生裝置，主要依靠計(jì)算機(jī)軟件模擬產(chǎn)生偽隨機(jī)數(shù)，或從某些經(jīng)典物理噪聲（如熱噪聲、電噪聲等）中提取隨機(jī)數(shù)。然而經(jīng)典物理過(guò)程在掌握所有變量的情況下是可以被模擬的，只有某些量子物理過(guò)程所產(chǎn)生的隨機(jī)性是完全真隨機(jī)的，如量子態(tài)的坍縮過(guò)程。QKD技術(shù)和量子隨機(jī)數(shù)發(fā)生器是基于量子物理過(guò)程產(chǎn)生隨機(jī)數(shù)的技術(shù)，所獲得的隨機(jī)數(shù)隨機(jī)性、不可預(yù)測(cè)性、不可復(fù)制性更強(qiáng)，作為密碼產(chǎn)品密鑰源使用，具有更大的密鑰空間，其抗暴力破解能力更強(qiáng)。

第三，抗量子計(jì)算攻擊安全技術(shù)。身份認(rèn)證和密鑰分發(fā)是網(wǎng)絡(luò)安全技術(shù)的重要內(nèi)容。用戶(hù)在訪問(wèn)安全系統(tǒng)之前，要經(jīng)過(guò)身份認(rèn)證系統(tǒng)識(shí)別身份，而數(shù)據(jù)加密也必須利用安全的方式進(jìn)行密鑰分發(fā)。現(xiàn)有身份認(rèn)證技術(shù)和密鑰分發(fā)技術(shù)大部分都是基于非對(duì)稱(chēng)密碼技術(shù)，但這種技術(shù)的安全原理依賴(lài)于某些數(shù)學(xué)困難性問(wèn)題，如大數(shù)分解、離散對(duì)數(shù)求解等。隨著量子計(jì)算相關(guān)算法（如Shor算法）的提出，一旦具有并行計(jì)算能力的量子計(jì)算機(jī)成熟，這些數(shù)學(xué)困難性問(wèn)題將被轉(zhuǎn)化為多項(xiàng)式問(wèn)題易于求解。因此，量子計(jì)算對(duì)非對(duì)稱(chēng)密碼體系的身份認(rèn)證和密鑰分發(fā)具有威脅。目前量子計(jì)算機(jī)研發(fā)技術(shù)突飛猛進(jìn)，有望在10年內(nèi)取得重大實(shí)效，而大量秘密信息的保密期遠(yuǎn)超10年，因此現(xiàn)階段就需要抗量子計(jì)算攻擊安全技術(shù)的應(yīng)用。

4 量子身份認(rèn)證技術(shù)在檔案領(lǐng)域的應(yīng)用意義

第一，對(duì)量子身份認(rèn)證技術(shù)現(xiàn)狀進(jìn)行梳理和研究，并對(duì)該技術(shù)在檔案共享業(yè)務(wù)中的融合進(jìn)行驗(yàn)證和測(cè)試，明確量子身份認(rèn)證技術(shù)在檔案共享業(yè)務(wù)中的可行性和可用性，為后期將量子保密通信在檔案領(lǐng)域的推廣提供了理論依據(jù)，也為浙江省數(shù)字化改革升級(jí)提供一種新的安全技術(shù)手段。金華市檔案館進(jìn)行的實(shí)踐，不僅增強(qiáng)了金華市檔案信息系統(tǒng)身份認(rèn)證能力，也提高了檔案管理人員信息安全意識(shí)，有助于推動(dòng)檔案數(shù)據(jù)共享中的安全管理。

第二，館室一體化系統(tǒng)在檔案數(shù)據(jù)共享過(guò)程中，基于量子身份認(rèn)證技術(shù)，可實(shí)現(xiàn)檔案數(shù)據(jù)共享過(guò)程中對(duì)用戶(hù)身份的可信鑒別，為實(shí)現(xiàn)檔案數(shù)據(jù)共享中各個(gè)環(huán)節(jié)的流程化、自動(dòng)化、制度化提供基礎(chǔ)保障，防止違規(guī)訪問(wèn)數(shù)據(jù)。同時(shí)，實(shí)現(xiàn)敏感檔案數(shù)據(jù)共享全過(guò)程中增效、降本且安全可控；實(shí)現(xiàn)檔案政務(wù)服務(wù)轉(zhuǎn)型升級(jí)，樹(shù)立檔案館對(duì)外服務(wù)新形象，成為檔案館數(shù)字化改革成果落到實(shí)處的重要抓手，為民眾提供高效、便捷、安全的政務(wù)服務(wù)。

第三，館室一體化系統(tǒng)涉及的核心密碼產(chǎn)品、軟件等均實(shí)現(xiàn)國(guó)產(chǎn)化，在檔案館全面構(gòu)建安全高效的國(guó)產(chǎn)化信息技術(shù)體系、綜合保障支撐體系、制度規(guī)范體系，能夠有針對(duì)性地解決當(dāng)前電子政務(wù)國(guó)產(chǎn)化應(yīng)用中存在的問(wèn)題，推動(dòng)電子政務(wù)信創(chuàng)產(chǎn)業(yè)的發(fā)展。

對(duì)上述問(wèn)題進(jìn)行分析，我們充分認(rèn)識(shí)到在當(dāng)前網(wǎng)絡(luò)時(shí)代應(yīng)以正確的眼光看待計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)對(duì)檔案信息產(chǎn)生的促進(jìn)作用以及帶來(lái)的威脅。在面對(duì)安全問(wèn)題時(shí)，要進(jìn)行系統(tǒng)研究，確保檔案的完整性、規(guī)范性，應(yīng)構(gòu)建完善的法律法規(guī)體系，采用多樣化安全保護(hù)手段，用好量子技術(shù)，實(shí)現(xiàn)檔案信息和環(huán)境的安全保護(hù)，進(jìn)一步提升安全治理水平，實(shí)現(xiàn)對(duì)檔案信息的全方位保護(hù)。