當前,以Shor算法為代表的量子攻擊模型已對RSA、ECC及國密SM2等經典公鑰密碼構成理論威脅。在此背景下,如何在保障現有系統連續性的前提下,構建可抵御未來量子攻擊的數字信任基礎設施,成為PKI演進的核心命題。格爾軟件基于對密碼學前沿與工程落地的深度理解,提出下一代公鑰基礎設施(NGPKI)技術架構,其核心不在于“替換”,而在于“融合演進”。本文從技術視角,解密NGPKI四大核心實現機制。

一、全棧整合:國內外抗量子密碼算法兼容并蓄

NGPKI深度整合了國內外的抗量子密碼算法(以下簡稱“PQC”)。國產PQC算法包括AIGIS-SIG/ENC、CTRU/CNTR、LMS-SM3和HSS-SM3,國際PQC算法則包括ML-KEM、ML-DSA、SLH-DSA等FIPS系列。它同時滿足了國密合規與國際化的需求。

二、經典與后量子:構建無縫協同的混合安全密碼模型

NGPKI推出了融合證書解決方案——經典密碼SM2與PQC的無縫協同。該方案在同一證書中嵌入了兩組公鑰(例如SM2與ML-DSA),允許客戶端根據自身能力進行協商選擇。這種混合結構構建了一個獨特的安全模型,即便其中一種算法遭受攻擊,整體安全性依舊能夠得到保障。該方案不僅解決了直接替代現有PKI體系所面臨的高昂成本和巨大風險問題,還有效應對了單一PQC算法尚未達成全球共識等技術挑戰。

三、智能引擎驅動:破解物聯網與云環境證書管理難題

NGPKI構建了基于策略驅動的證書生命周期自動化管理引擎,通過智能化的證書發現功能,實現對證書的統一納管;借助智能監控機制,有效且及時地識別證書異常情況,例如過期、弱加密算法等,并能夠自動執行更新與吊銷操作。此外,NGPKI還兼容ACME、SCEP、CMP等國際通用協議,實現證書的零接觸部署。不僅解決了物聯網與云環境中大量證書管理的難題,還有效地應對了SSL/TLS證書有效期被縮短至僅47天所帶來的緊迫問題。

四、創新引擎賦能:實現非人主體多樣化證書管理與精準權限控制

NGPKI創新性地推出了機器身份管理引擎,實現了對設備、虛擬機/容器、應用、服務、自動化腳本等非人類主體的證書簽發。通過提供多樣化的證書模板,滿足了不同主體對證書格式的需求;與證書自動化管理引擎協同工作,實現了機器身份證書的自動化簽發與管理,顯著提升了管理運維的效率;通過屬性證書,將主體的屬性信息(例如設備類型、所屬部門、地理位置、使用時段等)與證書關聯,通過定義細粒度的訪問控制策略,實現了對不同主體在不同場景下的權限精確控制。

“抗量子”不是一場顛覆性革命,而是一次漸進式架構升級。NGPKI的核心價值,在于提供一套兼顧安全性、合規性與工程可行性的技術路徑——既不依賴未來量子計算機何時到來的猜測,也不犧牲當前業務的穩定性。格爾軟件秉承開發包容的理念,與產業界共建可驗證、可互操作、可持續演進的抗量子信任基礎設施。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：