quantumworld-dpdns-io/pqc-migration-digital-twin
GitHub: quantumworld-dpdns-io/pqc-migration-digital-twin
面向企业后量子密码学迁移的全流程规划平台,提供密码资产盘点、HNDL风险量化评分与零知识迁移证明能力。
Stars: 0 | Forks: 0
# PQC 迁移数字孪生
面向企业资产的后量子密码学迁移规划器。
该平台能够盘点证书、TLS/SSH/VPN 密钥以及“先收集后解密” (HNDL) 风险暴露情况,随后通过风险评分和零知识迁移证明来确定修复的优先级。
## 愿景
使安全和平台团队能够基于证据而非猜测,将密码基础设施迁移至 PQC:
跨异构系统的全面密码资产可见性。
量化的迁移风险和业务影响。
在保护敏感运营数据的同时提供可验证的迁移认证。
## 核心能力
- 发现并盘点 `x509`、TLS、SSH、VPN 及相关密钥材料。
- 跨数据流、数据保留窗口和威胁时间范围进行 HNDL 风险映射。
- 风险评分引擎,结合密码强度、暴露持续时间、爆炸半径和运营关键性。
- 迁移规划助手,提供分阶段的建议和依赖感知的执行顺序。
- 用于迁移证据的零知识证明流水线(在不泄露私钥材料或敏感拓扑的情况下证明合规性)。
- Dashboard UX 设计方向受 IBM Quantum Composer 美学启发:结构化、技术性、高信噪比的视觉语言。
## 架构概览
- `Ingest layer` (Go):高吞吐量的收集器、扫描器、协议适配器和编排 API。
- `Risk and proof core` (Rust):确定性风险模型、策略评估、证明生成/验证。
- `Analysis and simulation` (Python + QASM):迁移场景模拟、密码转换实验和量子风险建模。
- `Control plane UI` (Next.js):规划工作流、资产/风险可视化和证据展示。
- `Shared data contracts`:跨服务的规范化资产、暴露和证明 Schema。
## 技术栈选型理由
- `Go`:高效的网络/服务发现和运维工具,具备快速启动和简单部署的特点。
- `Rust`:用于对安全性要求极高的评分和证明逻辑,实现内存安全且高保证。
- `Python`:用于风险实验和报告的快速建模与仿真工作流。
- `QASM`:用于可重现的威胁和算法转换实验的显式量子工作流表示。
- `Next.js`:用于面向运维人员的规划接口的生产级前端和 API 路由。
## 仓库结构(计划中)
本仓库目前处于脚手架阶段;预期结构如下:
```
.
├── src/ # Core services and shared modules
│ ├── go/ # Discovery/ingest services
│ ├── rust/ # Risk/proof engines
│ ├── python/ # Simulation and analytics
│ ├── qasm/ # Quantum experiment assets
│ └── web/ # Next.js planner UI
├── docs/ # ADRs, architecture, runbooks, contributor docs
├── dev-docs/ # Implementation plans, sprint specs, execution notes
├── tests/ # Unit/integration/e2e/security tests
└── .github/workflows/ # CI/CD and quality gates
```
## 设置
```
git clone https://github.com/quantumworld-dpdns-io/pqc-migration-digital-twin.git
cd pqc-migration-digital-twin
```
计划中的本地前置条件:
- `Go`(用于 Ingest 服务)
- `Rust`(用于风险/证明引擎)
- `Python 3.11+`(用于建模/仿真)
- `Node.js 20+`(用于 Next.js 前端)
## 运行目标
当前状态:基础脚手架。计划中的标准目标(通过 `Makefile`/任务运行器):
- `make bootstrap`:安装工具链和本地依赖。
- `make dev`:在本地开发模式下运行 API/服务/前端。
- `make test`:跨语言运行单元测试和集成测试套件。
- `make lint`:运行格式化、Lint 和静态分析检查。
- `make risk-sim`:执行迁移风险模拟场景。
- `make proof-demo`:生成并验证示例迁移证明。
- `make docker-build`:构建所有微服务镜像。
- `make docker-up`:运行基于 Docker 的微服务(`go`、`python`、`rust`、`qasm`)。
- `make docker-down`:停止 Docker 微服务。
## Docker 微服务
以下组件是基于 Docker 的微服务:
- `src/go/gateway`,端口 `8080`
- `src/go/discovery`,端口 `8081`
- `src/python`,端口 `8082`
- `src/rust` (`risk-service`),端口 `8083`
- `src/qasm/examples`,端口 `8084`
使用方法:
```
make docker-build
make docker-up
```
然后运行示例健康检查:
```
curl -s http://localhost:8080/health
curl -s http://localhost:8081/health
curl -s http://localhost:8082/health
curl -s http://localhost:8083/health
curl -s http://localhost:8084/health
```
## 实际分阶段构建概览
- `阶段 0 - 基础`:仓库约定、Schema、CI 基线和贡献者工作流。
- `阶段 1 - 发现 MVP`:证书/密钥盘点、协议连接器、基线资产图。
- `阶段 2 - 风险智能`:HNDL 映射、评分模型、优先级排序引擎。
- `阶段 3 - 证明与认证`:零知识迁移证明的生成和验证器 API。
- `阶段 4 - 规划器 UX`:运维仪表盘、迁移手册、审批和审计工作流。
- `阶段 5 - 生产加固`:规模化、策略包、可观测性和合规性集成。
规划产物:
- `docs/` 用于架构决策和长期参考文档。
- `dev-docs/` 用于实现计划、里程碑和执行检查清单。
## 路线图总结
- 短期:盘点保真度、Schema 稳定性和确定性评分基线。
- 中期:具备证明支持合规证据的稳健迁移编排。
- 长期:持续的密码态势管理和自动化的 PQC 策略执行。
## 安全与隐私原则
- 最小权限收集和限定范围的凭证。
- 默认进行数据最小化;仅收集迁移决策所需的数据。
- 尽可能通过密码认证代替敏感的原始数据披露。
- 为规划和迁移操作提供防篡改的审计追踪。
- 可重现的风险/证明计算,模型可测试且带版本控制。
## 贡献说明
- 使用小型、聚焦的 Pull Request,并附上清晰的安全和迁移影响说明。
- 保持跨语言的合约明确且带版本控制。
- 对于任何影响发现准确性、风险评分或证明有效性的更改,请务必包含相应的测试。
- 在开启 PR 之前,请阅读[贡献指南](docs/CONTRIBUTING.md)。
## 许可证
[MIT](LICENSE)
## 愿景
使安全和平台团队能够基于证据而非猜测,将密码基础设施迁移至 PQC:
跨异构系统的全面密码资产可见性。
量化的迁移风险和业务影响。
在保护敏感运营数据的同时提供可验证的迁移认证。
## 核心能力
- 发现并盘点 `x509`、TLS、SSH、VPN 及相关密钥材料。
- 跨数据流、数据保留窗口和威胁时间范围进行 HNDL 风险映射。
- 风险评分引擎,结合密码强度、暴露持续时间、爆炸半径和运营关键性。
- 迁移规划助手,提供分阶段的建议和依赖感知的执行顺序。
- 用于迁移证据的零知识证明流水线(在不泄露私钥材料或敏感拓扑的情况下证明合规性)。
- Dashboard UX 设计方向受 IBM Quantum Composer 美学启发:结构化、技术性、高信噪比的视觉语言。
## 架构概览
- `Ingest layer` (Go):高吞吐量的收集器、扫描器、协议适配器和编排 API。
- `Risk and proof core` (Rust):确定性风险模型、策略评估、证明生成/验证。
- `Analysis and simulation` (Python + QASM):迁移场景模拟、密码转换实验和量子风险建模。
- `Control plane UI` (Next.js):规划工作流、资产/风险可视化和证据展示。
- `Shared data contracts`:跨服务的规范化资产、暴露和证明 Schema。
## 技术栈选型理由
- `Go`:高效的网络/服务发现和运维工具,具备快速启动和简单部署的特点。
- `Rust`:用于对安全性要求极高的评分和证明逻辑,实现内存安全且高保证。
- `Python`:用于风险实验和报告的快速建模与仿真工作流。
- `QASM`:用于可重现的威胁和算法转换实验的显式量子工作流表示。
- `Next.js`:用于面向运维人员的规划接口的生产级前端和 API 路由。
## 仓库结构(计划中)
本仓库目前处于脚手架阶段;预期结构如下:
```
.
├── src/ # Core services and shared modules
│ ├── go/ # Discovery/ingest services
│ ├── rust/ # Risk/proof engines
│ ├── python/ # Simulation and analytics
│ ├── qasm/ # Quantum experiment assets
│ └── web/ # Next.js planner UI
├── docs/ # ADRs, architecture, runbooks, contributor docs
├── dev-docs/ # Implementation plans, sprint specs, execution notes
├── tests/ # Unit/integration/e2e/security tests
└── .github/workflows/ # CI/CD and quality gates
```
## 设置
```
git clone https://github.com/quantumworld-dpdns-io/pqc-migration-digital-twin.git
cd pqc-migration-digital-twin
```
计划中的本地前置条件:
- `Go`(用于 Ingest 服务)
- `Rust`(用于风险/证明引擎)
- `Python 3.11+`(用于建模/仿真)
- `Node.js 20+`(用于 Next.js 前端)
## 运行目标
当前状态:基础脚手架。计划中的标准目标(通过 `Makefile`/任务运行器):
- `make bootstrap`:安装工具链和本地依赖。
- `make dev`:在本地开发模式下运行 API/服务/前端。
- `make test`:跨语言运行单元测试和集成测试套件。
- `make lint`:运行格式化、Lint 和静态分析检查。
- `make risk-sim`:执行迁移风险模拟场景。
- `make proof-demo`:生成并验证示例迁移证明。
- `make docker-build`:构建所有微服务镜像。
- `make docker-up`:运行基于 Docker 的微服务(`go`、`python`、`rust`、`qasm`)。
- `make docker-down`:停止 Docker 微服务。
## Docker 微服务
以下组件是基于 Docker 的微服务:
- `src/go/gateway`,端口 `8080`
- `src/go/discovery`,端口 `8081`
- `src/python`,端口 `8082`
- `src/rust` (`risk-service`),端口 `8083`
- `src/qasm/examples`,端口 `8084`
使用方法:
```
make docker-build
make docker-up
```
然后运行示例健康检查:
```
curl -s http://localhost:8080/health
curl -s http://localhost:8081/health
curl -s http://localhost:8082/health
curl -s http://localhost:8083/health
curl -s http://localhost:8084/health
```
## 实际分阶段构建概览
- `阶段 0 - 基础`:仓库约定、Schema、CI 基线和贡献者工作流。
- `阶段 1 - 发现 MVP`:证书/密钥盘点、协议连接器、基线资产图。
- `阶段 2 - 风险智能`:HNDL 映射、评分模型、优先级排序引擎。
- `阶段 3 - 证明与认证`:零知识迁移证明的生成和验证器 API。
- `阶段 4 - 规划器 UX`:运维仪表盘、迁移手册、审批和审计工作流。
- `阶段 5 - 生产加固`:规模化、策略包、可观测性和合规性集成。
规划产物:
- `docs/` 用于架构决策和长期参考文档。
- `dev-docs/` 用于实现计划、里程碑和执行检查清单。
## 路线图总结
- 短期:盘点保真度、Schema 稳定性和确定性评分基线。
- 中期:具备证明支持合规证据的稳健迁移编排。
- 长期:持续的密码态势管理和自动化的 PQC 策略执行。
## 安全与隐私原则
- 最小权限收集和限定范围的凭证。
- 默认进行数据最小化;仅收集迁移决策所需的数据。
- 尽可能通过密码认证代替敏感的原始数据披露。
- 为规划和迁移操作提供防篡改的审计追踪。
- 可重现的风险/证明计算,模型可测试且带版本控制。
## 贡献说明
- 使用小型、聚焦的 Pull Request,并附上清晰的安全和迁移影响说明。
- 保持跨语言的合约明确且带版本控制。
- 对于任何影响发现准确性、风险评分或证明有效性的更改,请务必包含相应的测试。
- 在开启 PR 之前,请阅读[贡献指南](docs/CONTRIBUTING.md)。
## 许可证
[MIT](LICENSE)标签:EVTX分析, Go语言, HNDL暴露面, IBM量子启发, IT资产管理, PQC迁移, Python, QASM, Rust语言, SSH密钥, TLS密钥, VPN密钥, X.509, ZK迁移证明, 企业安全架构, 修复优先级排序, 先存储后解密, 可视化界面, 可视化管理后台, 合规证明, 后量子密码学, 安全合规, 密码基础设施, 密码学, 密码学资产清点, 密码学过渡, 微服务架构, 手动系统调用, 抗量子计算, 数字孪生, 无后门, 无线安全, 日志审计, 程序破解, 网络代理, 网络安全, 证书管理, 请求拦截, 逆向工具, 量子威胁, 隐私保护, 零知识证明, 风险评分引擎