文/吴永飞 华夏银行首席信息官
随着量子计算技术的快速发展,传统上依赖于数学复杂性的公钥密码体系正面临被攻破的潜在威胁,商业银行用以确保数据传输安全的传统加密体系正经历前所未有的严峻挑战,对于兼具高安全性和高效率的量子保密通信安全方案的需求愈发迫切。
当前,国家层面对量子科技的发展给予了高度重视,习近平总书记明确指出,需加强量子科技发展的战略谋划和系统布局。中国人民银行高度重视量子计算金融应用与风险防控,指出要加强金融领域量子技术研究应用,提前布局量子风险防控。
信息安全已成为商业银行数字化转型进程中面临的重大挑战,量子保密通信作为保障金融科技信息安全的重要手段,引发广泛关注。积极探索并应用量子保密通信技术以加强金融数据信息安全,不仅是大势所趋,更具有重要的现实意义。
量子保密通信是一种基于量子力学原理的信息传输技术,它利用量子态的特殊性质来实现信息的安全传输。量子保密通信的安全性源于量子力学的基本原理,如量子不确定性原理、量子相干叠加和量子非定域性,这些原理确保了量子态在不被破坏的情况下,信息在传输过程中不会被窃听或复制,达到信息论意义上的无条件安全性。
从技术路线看,量子保密通信的技术路线主要包括量子密钥分发(Quantum Key Distribution,QKD)、量子安全直接通信(Quantum Secure Direct Communication,QSDC)、量子秘密共享(Quantum Secret Sharing,QSS)、量子隐形传态(Quantum Teleportation,QT)、量子认证(Quantum Authentication,QA)等。其中,量子密钥分发(QKD)和量子安全直接通信(QSDC)是目前量子保密通信研究与应用发展的重点方向。
量子密钥分发技术主要分为两大类:离散变量量子密钥分发(Discrete Variable QKD,DV-QKD)和连续变量量子密钥分发(Continuous Variable QKD,CV-QKD)。离散变量量子密钥分发技术使用离散的量子态,如单个光子的极化状态,进行信息编码。该技术在远距离传输和实际应用中取得了显著进展,发展出诱骗态方法、测量设备独立性(MDI)方法等多种协议。连续变量量子密钥分发技术则是基于量子态的连续变量,如光场的振幅和相位,来编码信息从而实现密钥的分发。
量子密钥分发技术自1984年BB84协议提出以来,已经成为量子保密通信领域的重要研究方向。对于量子密钥分发技术的两大技术路线,离散变量量子密钥分发技术由于背景光干扰降低单光子探测器的信噪比等因素,密钥生成速率相对较低;连续变量量子密钥分发技术以其信号光制备简单、密钥分配速率高等优点成为新的研究热点。
区别于离散变量量子密钥分发技术对单个或离散量子态的利用方式,连续变量量子密钥分发技术不需要复杂的单光子源制备技术,仅需借助于成熟的经典光通信中的弱相干光相关技术即可实现。连续变量量子密钥分发技术的密钥生成机制主要包括如下部分:一是初始量子态制备,发送方(Alice)制备初始的相干态,将两个相互独立的高斯分布的随机数编码在正交的位置和动量上。二是传输过程,发送方将调制后的相干态通过量子信道(光纤或自由空间)发送给接收方(Bob)。三是测量与选择,接收方收到这些量子态后,对每个脉冲随机选择测量基,测量正则位置或动量,并记录测量结果。四是协商与保密增强,通过公开信道,接收方告知发送方测量基选择结果,双方保留匹配的正交分量并丢弃不匹配的数据。之后,发送方和接收方通过协商、纠错和保密增强,生成共享密钥。
连续变量量子密钥分发技术在成本、性能和可集成性方面具有显著的优势,使其在量子保密通信领域中具有广泛的应用潜力。连续变量量子密钥分发技术与现有电信基础设施具有高度兼容性,能够利用标准的电信组件实现远程密钥共享。不仅如此,连续变量量子密钥分发技术通常以相干激光作为光源,并采用平衡零差探测器进行探测,在城域范围内具有高效密钥生成能力。此外,连续变量量子密钥分发系统的器件与经典的相干光通信相兼容,适合与经典信号共存,易于部署。
目前,量子密钥分发技术在理论和实验层面均取得了显著进展,正逐步向实用化和产业化方向发展。其中,连续变量量子密钥分发技术日趋成熟,在成本、集成度和系统性价比方面具有明显优势。随着研究深入和应用拓展,连续变量量子密钥分发技术有望在未来的量子保密通信领域发挥更加重要的作用。
基于量子力学原理的连续变量量子密钥分发技术,提供了一种理论上无法被窃听的安全通信方式,对于应对传统加密手段面临的量子计算威胁具有重要的现实意义。连续变量量子密钥分发技术在中短距离的城域网范围内传输高效稳定,且兼容传统相干光通信器件,表现出性能、成本、安全等方面的优势,在金融行业数据安全传输等场景也具有巨大的应用前景。
当前,在标准化研究方面,全球主要国际标准化组织(如ISO/IEC JTC 1、ITU-T、ETSI等)持续推进针对量子密钥分发系统和量子密钥分发网络的安全测评标准化研究。2024年,ITU-T批准通过5项量子密钥分发网络协议相关标准,内容涉及量子密钥分发网络的协议框架、功能要求、功能架构、密钥管理等方面。我国也在积极推动在ISO、ITU等国际标准化组织开展量子标准化研究,并组织国内标准化协会开展标准研制工作,取得一些成果。2021年,工信部发布了《量子密钥分发(QKD)系统技术要求》及《量子密钥分发(QKD)系统测试方法》等国内首批量子保密通信相关标准。2023年,中国通信标准化协会发布了《量子密钥分发与经典光通信共纤传输技术要求》行业标准。
在应用和产业化方面,全球范围内包括欧盟、美国等国家和地区均在布局开展量子密钥分发相关网络试验验证和商用化方案探索。欧盟“量子旗舰计划”支持西班牙和法国等地运营商开展量子密钥分发实验网络建设,并与科研项目结合进行商业化应用探索。2024年,美国摩根大通在两个数据中心之间基于量子密钥分发技术构建了一个高速量子安全加密敏捷网络(Q-CAN),用以测试适用于商业银行的下一代量子技术。我国的量子保密通信网络建设和示范应用也发展迅速,如,中国科学技术大学潘建伟院士团队开展了“京沪干线”和国家广域量子保密通信骨干网络建设工程等;郭光灿院士团队建设了“合巢芜城际量子密码通信网络”以及“宁苏量子干线”;上海交通大学研制了连续变量量子密钥分发系统一体化样机,并研发基于连续变量量子密钥分发技术的保密电话系统,实现了实时保密通话。
面对量子计算对传统密码体系带来的潜在威胁,为提升金融信息设施安全水平,国内已有商业银行提前谋划,积极探索布局,开展了基于连续变量量子密钥分发技术的商业银行应用探索。
银行机构的业务数据通过量子保密系统实现加密传输的大致流程如下:首先,需要加密的业务数据被传输到量子加密安全网关,网关利用量子密钥对数据进行加密,将明文转换为密文;随后,业务数据通过业务网络传输,当密文到达接收端后,通过量子加密安全网关使用对称量子密钥对密文进行解密,恢复为明文;最后,业务数据传输至应用终端。
以华夏银行为例,在不改变银行原有机房间业务网络结构的基础上,基于2芯单模裸光纤在用户1站(A机房)和用户2站(B机房)之间,部署了基于连续变量量子密钥分发技术的量子保密通信系统。搭建点对点量子密钥分发网络,实现两点间量子密钥分发,业务数据通过量子安全加密网关进行数据加密传输。
基于连续变量量子密钥分发技术的量子保密通信系统由三个核心部分组成:量子密钥分发系统、密钥分发网络管理系统和量子网元管理系统。其中,量子密钥分发系统部署在A机房和B机房两端,通过光纤互联,实现量子密钥的分发;密钥分发网络管理系统采用客户端/服务端(C/S)架构,服务端软件(Controller)部署在A机房的量子密钥管理服务器上,客户端软件部署在PC机上,用户可以通过客户端软件的可视化操作界面,对量子密钥分发设备、量子密钥管理软件以及量子链路进行配置,控制量子密钥的生成与存储;量子网元管理系统负责量子网络配置、运行监测、日志记录等可视化管理功能,包括Agent和EMS两层。
量子网元管理系统的Agent层部署在量子密钥分发设备上,负责量子密钥分发设备的运行监控、数据采集与上传,主要包括设备配置、设备告警、性能监测、日志同步与远程更新等功能;EMS层由客户端和后台服务(snmpNMS)两部分组成,其中,客户端部署在PC机上,为用户提供量子密钥分发监控的可视化操作界面,后台服务部署在集控站的服务器上,其通过SNMPV3协议与运行在量子密钥分发设备上的Agent进行交互,实现对量子密钥分发设备的监控。
量子加密安全网关从量子密钥分发网络中获取密钥,并以旁路方式接入业务网络,保证在不改变现有网络结构的情况下,降低对原有业务应用场景的影响,详见图2所示。
以异地软件包分发场景为例,在商业银行运维工作中,软件包分发关乎大量关键系统和应用的升级维护,需要及时、准确、完整地传递至各地数据中心和分支机构,防止恶意篡改,以保证相关信息系统安装升级安全。连续变量量子密钥分发技术利用量子力学的原理,确保在分发软件包的过程中若尝试任何窃听或篡改都将被实时检测。一旦有攻击者试图在传输路径上拦截或篡改数据,量子态会立即发生改变,从而使得运维团队能够在第一时间发现潜在的安全威胁,降低信息安全风险,确保系统升级的顺利进行。
再以即时通信文件传输场景为例,在商业银行日常办公环境下,即时通信文件传输可能涉及包含客户数据、业务机密、战略决策信息等敏感内容的文档和文件,保障传输安全性至关重要。连续变量量子密钥分发技术提供量子级别的加密保护,阻止数据在传输过程中被拦截或窃取。量子密钥加密的文件数据传输具有不可分割性,任何窃听行为都会导致量子态改变,触发安全警报,确保文件传输安全,杜绝非法读取的可能性。
在上述应用场景探索中,基于连续变量量子密钥分发技术的量子保密通信技术如果在A机房和B机房之间传输22.4G文件数据,经测试,其误帧率为0.418%,安全密钥成码率为8153.2bps,传输速率为668.8Mbps,传输时间为274s,相关性能指标能够满足应用需求。
未来,随着量子科技的进一步发展成熟,包括连续变量量子密钥分发技术在内的量子信息技术有望在金融行业实现更加广泛的应用,为商业银行数字化转型、智能化发展提供强大的量子科技支撑。
