中国农业银行安徽省分行副行长 徐伟
在数字化浪潮下,金融领域对数据安全与业务连续性要求不断提高。银行作为金融体系核心组成部分,每日处理海量客户信息,其安全性直接关乎客户信任与金融平稳。在量子算法中,Shor算法可破解RSA加密,Grover算法则加速对称密码攻击,使现有安全防护形同虚设,对传统密码体系带来严峻挑战。在此背景下,量子通信凭借量子密钥分发(QKD)的无条件安全性,以及抗量子计算密码(PQC)基于复杂数学难题的抗量子特性,变成银行等金融机构抵御量子计算威胁、保障数据安全的重要技术,是推动金融安全架构向量子时代转型的关键。
量子通信与抗量子计算密码的技术基础
1. 量子通信技术原理
量子密钥分发(QKD)是量子通信的典型应用,根据量子不可克隆定理与海森堡不确定性原理,确保密钥在传输过程中无法被窃听或复制。量子纠缠技术为量子通信提供更高级的安全保障,经过纠缠光子对的非局域关联特性,可实行远距离的即时安全通信,即使面对量子计算的强大算力,也能确保信息传输的绝对安全性,为金融等敏感领域数据保护提供坚实的技术支撑。
2. 抗量子计算密码技术原理
抗量子计算密码技术是为抵御量子计算机攻击而设计密码算法,重点在于选择量子计算机无法高效能求解的数学难题作为安全基石。抗量子计算密码采用根据格、编码、多变量方程或哈希函数等数学难题,使量子计算机无法在可行时间内完成破解,保障数据在量子时代的安全性,为金融等领域提供长期可靠的密码防护。
金融领域量子威胁分析
1. 远期安全威胁
金融领域面对的远期安全威胁首要源于量子计算对现有密码体系的潜在破解能力,银行的密码算法广泛应用于身份认证、敏感信息及交易信息的机密性以及完整性保护。一旦具备足够算力的量子计算机出现,银行交易中的敏感数据泄露、客户账户安全将受到严重威胁。另外,利用量子计算的“先存储、后破解”策略也加剧这一威胁,黑客可能提前截获并存储加密通信,等待量子计算机成熟后再实行破解,以此来威胁客户信息安全。
2. 信任根基瓦解
在金融领域,信任是银行同客户、银行间协作,以及全部金融体系平稳运行的基石,量子计算的发展正逐渐动摇这一信任根基。一旦黑客利用量子计算机破解银行的加密系统,就能轻易获取客户账户信息、交易记录等敏感数据,伪造客户身份实行非法交易,或者篡改交易数据,导致客户资金损失,进而影响客户信任。在跨行交易、清算等业务中,若密码体系被破解,交易的真实性、完整性无法得到保障,银行间不敢再轻易开展协作,金融市场的流动性受阻,金融体系的平稳运行受到严重威胁。
3. 技术整合困境
在银行系统中,量子计算带来的安全变革正引发技术整合困境。银行作为技术密集型行业,其现有信息系统架构高度依赖传统密码算法,涵盖重点业务系统、网上银行、移动支付及跨境清算等核心环节。量子计算崛起迫使银行须在一定时期内实现技术跃迁。然而将抗量子计算密码或QKD技术融入现有体系时面临多重挑战,如传统系统跟量子安全技术的兼容性极差、技术整合成本高昂、跨机构协作困难等。
4. 生态与人才缺失
在银行应对量子计算带来的安全挑战过程中,生态同人才双重缺失变成重点制约因素。从生态层面看,当前金融领域尚未形成完整的量子安全技术生态,银行在推进量子通信及抗量子计算密码技术应用时,缺乏上下游产业链的有力支撑。人才方面,银行内部既懂金融业务又精通量子技术的复合型人才极度匮乏。
量子技术在银行业落地思路研究与实践
1. 加强顶层设计与协同
量子计算对密码技术的潜在破坏性,是银行业需要解决的关键问题。但是,我国抗量子计算密码标准尚未发布,量子通信也仅处于商业化的初级阶段,如何用好量子技术形成应对未来风险的基本思路,并尽早启动落地实践工作,是银行业统筹好未来高质量发展与高水平安全的必由之路。技术发展方面,农行安徽分行高度重视量子技术金融应用与风险防控的能力建设,针对“十五五”时期金融领域重点发展方向进行分析,将量子技术在银行应用的路径重点放在融合抗量子计算密码与量子通信的技术能力上,分阶段深化量子相关技术在银行业的应用。
场景试点阶段:通过拓展量子通信金融场景先行先试,并强化抗量子计算密码能力建设,在银行内部形成应用量子相关技术氛围。
能力深化阶段:融合量子通信与抗量子计算密码技术,形成行内体系化量子安全服务能力。
生态建设阶段:整合行内科技、业务、风控等团队资源,打造农行安徽分行的量子生态产业技术平台,为分行客户做好量子安全赋能。
协同层面,银行进一步加大与监管机构、行业联盟及技术供应商的协作。一是积极配合监管部门做好量子安全技术标准和规范的制定,为技术应用提供政策支撑。二是经过行业联盟共享技术经验、联合研发,降低单家银行技术探索成本。三是与量子通信设备商、抗量子计算密码提供商奠定深度协作,确保技术供应的稳定性、先进性。四是安徽作为量子科技创新发展重要策源地,量子企业居全国首位。量子科技发展是“十五五”前瞻布局的未来产业,排在首位,也是安徽省未来产业发展“七大”领域之一。农行安徽分行将充分发挥安徽合肥地缘优势,响应政策需求,参与“千家场景”落地,支持产业发展,提高行业影响力。
经过顶层设计与协同,银行可构建“战略-技术-生态”三位一体的量子安全防护体系,有效抵御量子计算带来的长远威胁,维护金融系统的平稳运行与客户信任。
2. 启动量子密钥分发(QKD)商用落地
面对量子计算带来的潜在安全威胁,成熟的QKD技术已成为保障银行业务安全运行的可选项,关键在于如何将QKD技术融入银行的安全架构中。农行安徽分行将OTN(光传输网络)与QKD技术融合,依托量子加密专线,在不改变现有系统框架的情况下,兼容当前网络业务实现快速部署(如图1所示)。其中,OTN量子加密专线采用量子加密技术+商密加密算法,结合OTN网管系统、量子安全OTN专线运营平台、量子密码服务平台、量子OTN CPE实现对专线业务数据加密处理。加密业务可以穿通核心汇聚层网络而不被感知,从而实现在OTN网络中长距离加密传输。量子安全OTN设备主要部署在城域网/本地网综合业务接入点与客户设备之间,实现端到端加解密,确保重点数据传输的保密性和完整性。不依赖传统的量子通信设备,“智能敏捷、安全可靠”地实现了简单高效规模化量子通信。目前农行安徽分行已在支行网点实现商用落地,为后续规模化推广奠定了基础,同时安徽分行积极探索使用场景,落地了具体的项目合作。
图1 ONT+QKD量子专网架构
3. 推动抗量子计算密码体系敏捷升级
升级到抗量子计算密码体系是银行业应对量子计算威胁的重要举措。但传统的密码算法通常耦合在业务中,密码算法替换虽然简单,但如何减少对业务的影响成为迁移改造的难题。农行安徽分行面向未来向抗量子计算密码的趋势,积极与农总行共同研究抗量子计算敏捷迁移思路,支持未来全国分行的迁移,并依托分行迁移经验,形成快速服务关联机构敏捷升级的解决方案。同时,为了体系化推进敏捷迁移工作,在试用行内已封装的抗量子计算密码算法和敏捷接口服务的基础上,从提升软硬件能力方面进一步强化一体化敏捷迁移设计。在软件上,引入支持抗量子计算密码的开源组件,在加强算法使用安全性的基础上,进一步测试不同加密算法切换的敏捷性。在硬件上,安徽分行不仅测试了抗量子计算密码的硬件加密卡,也探索内生的基于CPU芯片和可信执行环境提供的抗量子计算密码,针对上云的应用测试灵活的密码服务供给能力,为抗量子密码敏捷迁移奠定基础。此外,内生的密码供给模式提供了软硬一体的抗量子计算密码服务能力,有助于分行为关联企业提供“即插即用”的抗量子计算密码迁移能力。选取农行安徽分行不同类型特色应用,针对与第三方间、行内系统间、互联网等场景,全面测试了分行抗量子密码的性能(如图2所示),通过不同系统验证对比,采用纯抗量子算法加解密方式在时间效率方面比传统商密算法高出54.9%,混合抗量子算法与传统商密加密算法时间效率方面基本持平。
图2 抗量子计算密码场景测试
4. 探索QKD+PQC融合部署
采用分阶段混合部署策略是推进抗量子计算密码应用的可行路径,从三个方面分阶段部署推进,一是将QKD技术融入网络通信,提高通信安全性。二是采用抗量子计算密码加密核心数据,确保重点业务免受量子攻击威胁。三是将QKD技术与抗量子密码技术结合,增强安全威胁抵抗能力。初期,银行可优先在重点敏感业务中试点量子安全技术,如跨境支付、大额资金转账等高风险场景。同时保留传统密码体系支撑日常低风险业务,维持系统平稳运行。中期,伴随技术成熟度增加,银行可逐步扩大量子安全技术应用范围,将混合加密模式推广至网上银行、移动支付等客户高频运用场景,经过“量子+经典”的混合部署提高整体安全防护水平。最后,待抗量子密码技术标准统一、量子通信网络完善后,银行可全面升级密码体系,实现量子安全技术的全覆盖,分阶段混合部署既降低技术转型的短期成本,又为银行赢得应对量子威胁的宝贵时间,是金融领域达成安全平滑过渡的有效策略。
结语
综上所述,在金融领域,尤其是银行体系面对量子计算带来的颠覆性安全挑战时,强化顶层设计与协同、主动防御探索迁移、密码体系升级融合以及分阶段混合部署等策略,构成从技术到管理、从局部到全局的完整应对框架。这些举措不仅能帮助银行抵御量子攻击的潜在威胁,保障客户资金和数据平安,促进量子产业发展,更能推动金融行业向更安全、更智能方向演进,唯有前瞻布局、协同共进,银行才能在量子时代筑牢安全基石,维护金融市场的平稳运行与公众信任,为数字经济的可持续发展提供坚实支撑。
(此文刊发于《金融电子化》2026年3月上半月刊)
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
