专题导读
量子计算的进展,正在把“未来威胁”变成“当下议题”。随着抗量子密码标准逐步落地、全球机构加快布局,叠加监管对密码合规与安全能力的持续强化,密码体系升级已从技术预研走向必须落实的现实任务。对于以公钥密码为基础的金融体系而言,真正的挑战不只是“是否迁移”,而是如何在满足合规要求的前提下,实现业务不中断的平滑迁移——在安全性、成本与系统复杂性之间找到可行路径。
本期“封面专题”聚焦抗量子密码迁移,围绕算法落地、密码敏捷架构、迁移路径与试点实践等关键议题,梳理阶段性进展与核心难点,提供更具操作性的思路参考,助力行业在合规框架下稳步迈向量子安全时代。
随着量子计算技术的发展,美国国家标准与技术研究院(NIST)预测在2030年前后,量子计算机将对RSA、ECC等传统非对称密码算法构成实质威胁,Gartner将抗量子密码迁移技术列为2025年十大战略技术趋势之一。密码迁移要全面考虑算法安全性、算法性能、实施的便利性、合规性等多种因素,是一项极为复杂的长期系统性工程,需要耗费相当长的时间。以往密码安全体系的迁移工作历时往往达到10年以上,相比之下,抗量子密码的过渡更为复杂,周期可能更长。密码体系的安全是保障银行信息安全的基础,尽快开展银行抗量子密码迁移技术研究势在必行。
迁移过程中要求银行IT系统能快速敏捷地适应新的加密标准,在调整加密措施后仍保持对其他系统的稳定性,尽量避免对基础设施进行大规模更改。本文基于银行典型场景下业务信息系统抗量子密码的迁移需求,聚焦抗量子密码敏捷/热迁移技术,支持所选银行场景业务系统实现一键无感知或低感知的切换,减少系统停机时间,满足业务信息系统由传统密码算法平稳、可控迁移至抗量子密码算法。
抗量子密码敏捷迁移思路
根据NIST的抗量子密码迁移白皮书,抗量子密码迁移包括两个阶段:前期准备和迁移实施。前期准备通常包括密码相关资产的盘点与迁移计划的制定。迁移实施则是结合迁移清单和迁移方案具体执行。按照分层设计思路,敏捷迁移可分为三步开展。
首先,构建敏捷密码服务层,通过抽象化密码算法接口、统一调用标准以及插件化设计,实现对传统密码算法与抗量子密码算法接口的并行支持。通过算法策略管理,控制密码算法配置,可无缝切换并兼容经典算法和抗量子密码算法。这样系统能够在现有服务不变的前提下,引入抗量子密码算法进行沙箱验证,为后续敏捷切换打下基础。
其次是关键协议的敏捷切换支持,通过改造TLS/HTTPS等通信协议,使其兼容商密系列与抗量子密码算法,尤其是引入支持双签名机制的中间件架构。同时,数字证书格式的扩展与兼容性处理也尤为关键,在不中断服务的情况下实现新旧算法的交替运行。
最后实现业务无感热迁移,在此阶段,通过引入代理层或中间件组件,配合灰度发布与服务热更新能力,系统可实现业务“一键无感”切换,达到不中断服务的热迁移能力。
关键技术实现
1.密码算法敏捷设计
(1)密码服务接口抽象化
统一经典密码与抗量子密码调用接口(如加密、验签类),敏捷密码服务提供多种算法动态注册、选择与热加载能力,并通过策略引擎在运行时实现算法决策,支持动态算法切换。
以银行无卡支付应用场景中的签名接口为例,改造前,原接口仅支持单一密码算法,且业务系统需要集成密码厂商提供的专门SDK。一方面,对接口进行抽象化与标准化改造。改造后接口为采用HTTP协议调用方式的网络应用程序接口(API),使用体验与原SDK保持一致,无需集成SDK。另一方面,在密码服务层增加密码策略中心,通过策略引擎在运行时实现算法决策,支持切换多种策略,可针对每个应用独立配置,支持动态算法切换,包括仅使用经典非对称算法(如SM2、RSA),仅使用抗量子密码算法(Kyber、Dilithium、Falcon、SPHINCS+等),以及经典和抗量子密码算法的混合使用。
(2)密钥生命周期管理的敏捷设计
密钥是密码算法安全的核心,密钥的生成、存储、更新、轮换、销毁等全生命周期管理也需要符合密码算法的敏捷性应用。
考虑到抗量子密码未经过长期使用验证,可能存在未知安全风险,目前多数机构倾向于采用“两把锁、双保险”的混合模式进行过渡,而不是直接替换。密钥存储结构增加抗量子密钥索引,同时支撑经典密钥和抗量子密钥(见图)。在密钥生产、更新和销毁过程中同时产生经典算法和抗量子算法两种密钥,并存储关联关系,支持根据策略的无缝切换与现有业务系统的密钥导入,保障现有系统的业务数据安全迁移到平台,满足前向兼容性。
图?抗量子密钥与传统密钥混合模式的敏捷能力设计
此外,采用密钥轮换策略,在加解密系统中,通过删除旧密钥、生成新密钥,在不中断系统运行的情况下,实现密钥的定期更换与算法的渐进式过渡,其安全性取决于密钥集中安全性最低的密钥。以Google推进的Tink开源库为例,密钥轮换基于密钥集构造,分三步实施,是实现加密敏捷性和向抗量子迁移的必要机制,能够有效解决密码敏捷化遇到的技术复杂性、同步协商以及敏捷设计带来的安全性等问题。
(3)密码算法运行的敏捷设计
为支持密码算法根据策略中心动态切换,密码算法的运行逻辑也需做相应敏捷化设计调整,以数字签名功能为例,数字签名服务在收到签名请求后,根据策略中心下发策略(如仅经典密码算法,仅抗量子密码算法,或经典算法和抗量子密码算法的混合模式),自动完成相应密码服务接口的调用。在混合模式下先进行经典签名,后进行抗量子签名,然后拼接返回结果。密码算法根据下发的策略自动选择,对调用者透明。在密码算法实现中采用密码互操作适配引擎,可对接不同厂商的密码模块,翻译各类调用协议,统一交付路径,应对密码算法标准不统一、硬件设备厂商协议差异。
2.协议敏捷迁移技术
涉及密码迁移的通信协议可分为:核心网络与安全传输协议(如TLS/SSL、IPsec、SSH)、身份认证与密钥管理协议(如PKI体系相关协议、OAuth 2.0)、区块链与物联网专用协议(如区块链共识与交易协议)等众多协议,下面列举部分核心协议敏捷迁移要点。
(1)直接迁移的TLS协议改造
直接迁移指将传统密码算法及证书替换成抗量子密码算法以及相应数字证书(链)。例如:密钥封装算法采用Kyber算法,签名算法采用Dilithium、Falcon、SPHINCS+等,对称算法采用当前的分组密码算法。
(2)混合模式的TLS协议改造
TLS标准默认使用椭圆曲线Diffie-Hellman(ECDHE)进行密钥交换。抗量子密码(如Kyber KEM算法)采用完全不同的接口(客户端封装、服务器解封装),为与TLS兼容,可将抗量子算法“伪装”成椭圆曲线Diffie-Hellman形式,使其适配TLS现有密钥交换流程。具体通过扩展NamedGroup枚举值映射算法,在密钥交换类中新增标记区分客户端/服务器的差异操作,并采用继承/组合模式让经典算法和抗量子算法对外统一调用接口,实现上层对底层差异无感知。
尽管TLS标准规定Certificate消息可以传输实体对应不同算法的多个非复合证书,但这种处理方式需要大量时间检查证书列表,以匹配混合模式签名算法。更简单的方法是让X.509证书包含多个算法的公钥和多个算法的签名,形成复合证书。首先,扩展证书结构。在现有X.509证书中新增字段,用来存储抗量子公钥和抗量子签名,同时保留原有传统公钥和签名,实现新旧共存。其次,采用级联方式签名。先用传统算法(如RSA)签名证书内容,再用抗量子算法对“证书内容+传统签名”二次签名,对应方式开展验证过程。最后,标准化对象标识符OID。为每种算法组合(如RSA+Dilithium)分配唯一OID编码,通信双方需预先支持该OID,才能正确解析证书中的混合算法。
(3)协议应用层敏捷迁移
在对TLS协议进行上述直接迁移或混合模式的改造后,TLS协议客户端和服务端也需要进行适配改造,从而具备同时支持国际经典算法套件、商密经典算法套件、纯抗量子密码算法套件以及混合应用的敏捷能力。在敏捷迁移过程,可以为TLS服务端同时配置上述算法套件对应的数字证书,并激活相应的算法套件服务。当客户端发送连接请求时,TLS客户端根据应用需求,加载相应的数字证书,自动请求灵活匹配算法套件,实现经典算法、抗量子算法、混合算法的敏捷切换。
3.应用无感热迁移技术
(1)分层解耦的多栈并行架构设计
银行应用系统采用分层解耦的架构设计,构建经典密码算法栈与抗量子密码算法栈并行的运行环境。
对应用系统进行分层解耦设计,将密码算法实现与业务逻辑分离,通过抽象化的密码服务接口,实现算法切换的透明代理,支持算法模块的热插拔。基于功能模板、算法类型和密钥级别等策略的接收和翻译,安全加载密码服务组件,实现服务层面的编排与部署,将算法能力转化为标准模板,实现在各业务模块之间的灵活编排。
各算法栈运行在独立的资源隔离单元中,实现CPU、内存、密码模块等资源的精细化分配,核心的算法路由引擎支持基于策略的动态选择,可根据请求特征、系统负载等参数实时决策算法调用路径。
(2)状态同步与一致性保障
银行应用系统采用多种状态同步机制,保障敏捷迁移过程中密钥和会话的连续性。密钥同步方面,通过采用Shamir门限秘密共享方案,实现主密钥的安全分片与跨栈同步。数据同步方面,通过双写一致性保障机制与校验机制,确保数据在敏捷迁移过程中不丢失、不异常。为保证用户操作和后台任务在环境切换时不中断、不出错、无需重来,需支持上下文快速切换,如密钥状态同步(版本、生命周期)、会话状态同步(TLS握手过程、证书链)和操作事务同步(签名结果、验签标识)。
(3)智能流量切分
从旧密码系统(如经典密码算法)切换到新系统(如抗量子密码算法)过程中,可采用智能流量切分技术,用智能化、自动化的流量调度,取代传统“停机升级”,保证金融业务不停、风险可控、切换灵活。智能流量切分技术可按用户群体、业务优先级或风险等级进行迁移流量动态调节,银行应用系统综合采用多维度的智能流量切分技术,首先对密码服务流量请求染色,通过HTTP头或在入口网关处标记算法版本,其次基于强化学习算法优化流量分配比例,动态调整权重,当切换过程出现风险(如抗量子密码算法栈错误率达到一定比例),启用熔断回滚机制,自动切回经典算法栈,实现迁移过程“无感知”。
邮储银行敏捷迁移方案设计
为构建抗量子计算威胁的安全体系,邮储银行开展量子密钥分发和抗量子密码算法技术融合研究。为验证密钥敏捷迁移技术的可行性,邮储银行尝试构建浏览器-TLS协议-业务系统全链路试点方案,其中浏览器为自主研发,采用密钥封装机制混合抗量子密钥协议的方式,通过公钥加密实现量子安全的密钥协商。TLS协议层将抗量子密码算法伪装为“新椭圆曲线”,复用TLS原有框架,并通过组合设计模式实现混合密钥交换。其中,CA体系设计复合证书或非复合证书两种模式,通过扩展字段或连接存储算法信息,平衡兼容性与存储开销。业务系统通过对密码服务中心接口抽象化、密码运算单元引擎化、密码服务配置模板化改造,支持多密码算法栈并行运行与智能切换。
该方案以算法扩展和混合加密为核心,既确保协议兼容性,又通过双重密钥机制抵御量子威胁,可为敏捷迁移提供可复用的示范案例。
挑战与建议
1.抗量子密码算法复杂度与系统开销高
一是存储压力增大,以数字证书为例,抗量子算法存储空间由现有的不超过2kb(SM2算法)增长到最高50kb(SPHINCS+算法),若是混合算法,数据量更大。二是性能瓶颈,因数据量变大,运算过程中解析操作(如证书的序列化)需做优化以提升数据运算性能。三是传输负载加大,网络开销随数据膨胀,需优化以提升数据传输性能。
2.银行客户端生态改造复杂
银行业务涉及大量客户端终端,数量庞大、生态复杂,算法与协议的更新需兼容老版本算法与协议,要对大量终端进行改造,难度较大,无法短时间内完成全面更新,迁移复杂度较高。
3.基础设施敏捷性支持不足
银行现有密码设备普遍不支持新算法,硬件密码模块需升级。专用中间件扩展性差,难以快速适配敏捷密码需求,进一步限制了整体方案的落地。建议一是分阶段推进抗量子密码迁移,优先在外联系统、低频交易系统部署抗量子密码进行试点,并逐步迁移至核心系统。二是提升密码服务中台敏捷能力,构建以策略控制、算法热插拔、密钥统一管理为核心的“密码即服务”平台,为未来算法演化提供基础支撑。三是联合生态伙伴共同推进,与软硬件厂商合作,推动密码安全厂商、TLS协议栈、CA机构支持抗量子算法,实现上下游协同敏捷创新。
结论
本文从银行信息系统对抗量子密码迁移的迫切需求出发,提出了面向银行应用的敏捷迁移策略,以及多种密码敏捷迁移关键支撑技术,确保系统具备一键无感知切换能力,有效控制迁移风险与业务影响。尽管当前抗量子密码算法在性能与生态方面仍有挑战,但通过合理的架构设计和迁移策略,银行可以实现平滑、可控、渐进的迁移过程,为未来构建量子安全金融基础设施打下坚实基础。