创新量子自适应加密互联，筑牢网络安全壁垒

　　文田晶张剑雄阴皓
　　近年来，随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、网络安全等级保护制度2。0国家标准等一系列法律及标准的出台，网络安全的监管要求日益严格，金融行业在推进数字化转型的同时，也要进一步强化网络安全防护能力。量子技术作为关乎国家安全战略的前沿技术领域之一，受到金融行业的高度关注，2022年8月，北京金融科技产业联盟专门设立了量子技术专业委员会，积极落实国家十四五规划关于加快布局量子计算、量子通信等前沿技术的要求。
　　中国银行积极对量子加密创新进行实践探索，与华为公司合作成立联合创新实验室，对接业内重要金融机构相关数字创新业务，将量子加密通信技术成功融入新业务网络之中，加强了机构间支付交易通信的安全能力，在打破量子保密通信技术应用瓶颈的同时，降低了应用成本。银行数字化转型加速，传统网络加密方案面临诸多挑战
　　随着业务组网规模的高速增长、网络可靠性要求的日趋严格以及密码攻击方法的不断发展，传统IPsec加密方案的短板愈发明显。在金融数据传输中应用量子保密通信技术，能成功应对金融网络传统IPsec加密方案的三大挑战。
　　挑战一：传统加密解决方案不适用于大型组网场景
　　传统IPsec加密方案是基于点到点的加密技术，随着网络节点数的增加，大型金融机构在部署全互联网络时，加密隧道和加密协议session数量以及会话状态数会呈指数级增长，从而加大了人工部署和维护的难度，因此这一方案并不适用于大规模网络互联加密应用。
　　挑战二：无法满足金融网络高可用要求
　　传统方案IPsecTunnel仅支持物理路径保护。当发生IPsectunnel故障时，一方面需要将IPsectunnel可用状态通告给业务，业务重新选择其他可用的IPsectunnel；另一方面，基于IPsectunnel流触发的建立机制，业务恢复周期需要秒级以上。此外，业务承载隧道（如MPLSTEtunnel，SRv6tunnel等）叠加IPsec加密隧道的承载方式造成了数据传输网络状态O（mn）级别的高复杂度，提高了网络故障发生概率，无法满足金融网络高可用要求。
　　挑战三：当前加密方式无法应对量子计算破解问题
　　基于量子叠加态原理，量子计算极大提升了密码破解速度。现有基于基础数学难题设计的公钥密码体系在面对量子解密算法时，其破解复杂度由指数级降低为多项式级。以破解RSA3072密码算法为例，经典计算需10000亿年，整数分解shor量子算法仅需100秒，由此可见，当前加密方式很难有效抵抗基于量子计算的解密攻击。如何构建能够有效抵抗量子计算破解的公钥密码算法（后量子密码算法）成为一大挑战。新一代自适应量子加密互联网络，构建金融数据安全新基座
　　为解决传统网络加密方案面临的诸多难题，通过对业界技术全面细致调研，后量子网络加密测试取得圆满成功。本次测试在后量子加密、点到多点自适应加密技术（xSEC）等方面进行了全面验证，成功构建新一代自适应量子加密互联网络（以下简称量子加密互联网络），实现了加密安全能力升级，为未来量子保密通信技术的普及奠定了坚实基础。新一代自适应量子加密互联网络架构如图1所示。
　　图1新一代自适应量子加密互联网络架构
　　1。一点即密，简化部署
　　量子加密互联网络实现点到多点无状态密钥协商机制，加密属性通过BGP协议随业务一起发布，路由接收者在接收到加密属性后，结合本地加密属性即可自动生成加密密钥，改变了传统requestresponse加密协商方式。同时，BGP协议点到多点的发布方式，避免了传统加密方式需点到点逐个部署加密隧道的繁杂工作，仅需一点控制、配置成员列表即可实现对加密节点的增减，将传统IPsecIKE机制的状态从O（n2）降低到0，并将配置复杂度从O（n2）降低到O（n），有力支撑了大规模加密网络的部署。点到多点无状态秘钥协商机制主要指标如图2所示。
　　图2点到多点无状态秘钥协商机制主要指标
　　2。业务随路加密，保证网络高可靠
　　量子加密互联网络能实现业务随路加密，保证网络高可靠。业务随路加密技术使用业务隧道直接进行业务加密处理，加密和隧道完全解耦，解决了业务承载隧道叠加IPsec加密隧道的O（mn）高复杂度问题，简化了网络可靠性设计，同时避免了故障处理时需额外配置策略引流动作；随路加密继承业务原有的可靠性保障能力，可以实现节点、单板、链路多级别的50ms高可靠保护容灾能力。随路加密高可靠保障原理如图3所示。
　　图3随路加密高可靠保障原理
　　3。弹性抗量子融合安全
　　量子加密互联网络实现了经典加密算法和后量子加密算法融合的双保险加密模式，既得到经典算法的保护，也具备后量子算法的高安全能力，避免出现单个算法被破解即解密的情况，能有效防止现在存储，以后解密的数据攻击；同时具备xSEC和传统IPsec混合部署能力，实现从传统IPsec向xSEC技术的平滑演进；实际网络部署时，提供灵活的多种双保险方式。本次测试验证了PQC后量子算法经典加密算法混合秘钥数据保护方式，未来可进一步演进，提供QKD量子密钥经典加密算法混合密钥高安数据保护方式。经典加密算法和后量子加密算法融合机制如图4所示。
　　图4经典加密算法和后量子加密算法融合机制量子加密提升网络安全维度，为金融数字化转型保驾护航
　　新技术的发展给传统网络安全带来新的挑战，也催生出新的机遇，量子计算在加密解密方面具备更高维度的安全性，推动了行业技术的变革。随着量子技术的不断创新发展，银行等金融机构可依托新一代自适应量子加密互联网络，深化一点即密、简化部署随路加密高可靠抗量子融合安全三大技术创新，通过后量子算法融合SRv6等其他技术，构筑网络数据流转安全新底座，扩展设备与网络管理的抗量子能力，构建全面安全可靠、智能高速的互联网络，加快推进金融数字化转型。