当前,以Shor算法为代表的量子攻击模型已对RSA、ECC及国密SM2等经典公钥密码构成理论威胁。在此背景下,如何在保障现有系统连续性的前提下,构建可抵御未来量子攻击的数字信任基础设施,成为PKI演进的核心命题。格尔软件基于对密码学前沿与工程落地的深度理解,提出下一代公钥基础设施(NGPKI)技术架构,其核心不在于“替换”,而在于“融合演进”。本文从技术视角,解密NGPKI四大核心实现机制。

一、全栈整合:国内外抗量子密码算法兼容并蓄

NGPKI深度整合了国内外的抗量子密码算法(以下简称“PQC”)。国产PQC算法包括AIGIS-SIG/ENC、CTRU/CNTR、LMS-SM3和HSS-SM3,国际PQC算法则包括ML-KEM、ML-DSA、SLH-DSA等FIPS系列。它同时满足了国密合规与国际化的需求。

二、经典与后量子:构建无缝协同的混合安全密码模型

NGPKI推出了融合证书解决方案——经典密码SM2与PQC的无缝协同。该方案在同一证书中嵌入了两组公钥(例如SM2与ML-DSA),允许客户端根据自身能力进行协商选择。这种混合结构构建了一个独特的安全模型,即便其中一种算法遭受攻击,整体安全性依旧能够得到保障。该方案不仅解决了直接替代现有PKI体系所面临的高昂成本和巨大风险问题,还有效应对了单一PQC算法尚未达成全球共识等技术挑战。

三、智能引擎驱动:破解物联网与云环境证书管理难题

NGPKI构建了基于策略驱动的证书生命周期自动化管理引擎,通过智能化的证书发现功能,实现对证书的统一纳管;借助智能监控机制,有效且及时地识别证书异常情况,例如过期、弱加密算法等,并能够自动执行更新与吊销操作。此外,NGPKI还兼容ACME、SCEP、CMP等国际通用协议,实现证书的零接触部署。不仅解决了物联网与云环境中大量证书管理的难题,还有效地应对了SSL/TLS证书有效期被缩短至仅47天所带来的紧迫问题。

四、创新引擎赋能:实现非人主体多样化证书管理与精准权限控制

NGPKI创新性地推出了机器身份管理引擎,实现了对设备、虚拟机/容器、应用、服务、自动化脚本等非人类主体的证书签发。通过提供多样化的证书模板,满足了不同主体对证书格式的需求;与证书自动化管理引擎协同工作,实现了机器身份证书的自动化签发与管理,显著提升了管理运维的效率;通过属性证书,将主体的属性信息(例如设备类型、所属部门、地理位置、使用时段等)与证书关联,通过定义细粒度的访问控制策略,实现了对不同主体在不同场景下的权限精确控制。

“抗量子”不是一场颠覆性革命,而是一次渐进式架构升级。NGPKI的核心价值,在于提供一套兼顾安全性、合规性与工程可行性的技术路径——既不依赖未来量子计算机何时到来的猜测,也不牺牲当前业务的稳定性。格尔软件秉承开发包容的理念,与产业界共建可验证、可互操作、可持续演进的抗量子信任基础设施。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。