中国抗量子密码发展现状简述

---

摘要: 本文旨在简述后量子密码（Post-Quantum Cryptography, PQC）的定义、全球发展趋势，并重点梳理中国在PQC领域的政策导向、标准化进展、技术研发现状、产业生态与应用探索，最后分析面临的挑战与未来展望。

1. 引言

1.1 后量子密码的定义与重要性

后量子密码（Post-Quantum Cryptography, PQC），亦称抗量子密码（Quantum-Resistant Cryptography, QRC），是指能够抵抗已知量子计算机算法（如Shor算法、Grover算法）攻击的经典密码算法。当前广泛应用的公钥密码体系（如RSA、ECC）依赖于大数分解、离散对数等数学难题的计算复杂性，这些难题在经典计算机模型下难以有效解决，但在理论上可被大规模、容错的量子计算机高效攻破。

PQC的重要性体现在：

• 保障未来数字基础设施安全: 随着量子计算机研发的推进，现有密码体系面临失效风险，PQC是保障未来信息系统安全的关键。
• 应对“先存储，后破解”风险 (Harvest Now, Decrypt Later, HNDL): 攻击者可能当前截获并存储加密数据，待量子计算机可用时再行破解。对于需要长期保密的敏感数据（如国家机密、商业核心数据、个人隐私），HNDL风险尤为突出。
• 符合新兴法规与标准要求: 多国政府和标准化组织已启动PQC迁移计划，未来PQC将成为合规性要求。
• 维护国家安全与经济稳定: 关键基础设施、金融系统、国防通信等依赖密码保护，PQC是维护国家安全和经济稳定的基石。
• 驱动密码学创新: PQC的研究催生了新的数学难题和密码设计思路，推动密码学理论与技术发展。

1.2 PQC与量子密码的区别

• 后量子密码 (PQC): 是一种运行在经典计算机上的数学密码算法，其安全性依赖于被认为对量子计算机也足够困难的数学问题。PQC的目标是设计出即使在量子计算机时代也能保障数据机密性、完整性、真实性和不可否认性的密码体制。
• 量子密码 (Quantum Cryptography): 主要指量子密钥分发（Quantum Key Distribution, QKD）。QKD利用量子力学原理（如海森堡测不准原理、量子不可克隆定理）在通信双方之间安全地分发密钥。其安全性基于物理定律而非数学难题的计算复杂性。QKD能提供理论上无条件安全的密钥协商，但通常需要专用的量子信道，且自身不解决身份认证和数据加密问题，需与经典密码结合使用。

PQC和QKD是应对量子威胁的两种不同技术路径，可以互为补充。PQC侧重于替换现有密码算法，而QKD则提供一种新的密钥分发机制。

1.3 全球PQC发展概览

全球范围内，PQC的发展呈现以下动态：

• NIST PQC标准化项目: 美国国家标准与技术研究院（NIST）自2016年起主导PQC标准化进程，通过多轮公开竞赛征集和评估候选算法。
  • 2022年7月宣布首批选定算法:
    • 公钥加密/密钥封装机制 (KEM): CRYSTALS-Kyber (基于格密码)
    • 数字签名: CRYSTALS-Dilithium (基于格密码), Falcon (基于格密码), SPHINCS+ (基于哈希密码，无状态)
  • 2024年8月发布最终标准草案: FIPS 203 (ML-KEM, 基于Kyber), FIPS 204 (ML-DSA, 基于Dilithium), FIPS 205 (SLH-DSA, 基于SPHINCS+)。
  • 第四轮额外KEM评估: 为确保算法多样性，NIST在第四轮中选定了HQC (基于编码密码) 作为另一个待标准化的KEM算法，相关报告NIST IR 8545于2025年3月发布。
• 主要技术路径:
  • 格密码 (Lattice-based Cryptography): 目前最有前景的路径之一，NIST选定的KEM和主要签名算法均基于此。特点是安全性高、效率较好。
  • 基于编码的密码 (Code-based Cryptography): 历史悠久，如McEliece密码。公钥尺寸较大是其主要挑战。
  • 基于哈希的密码 (Hash-based Cryptography): 主要用于数字签名，安全性基础稳固（依赖哈希函数的抗碰撞性）。
  • 多变量密码 (Multivariate Cryptography): 基于求解有限域上多元多项式方程组的困难性。签名尺寸较小，但部分方案曾被攻破。
  • 超奇异同源密码 (Isogeny-based Cryptography): 基于超奇异椭圆曲线之间的同源问题。密钥尺寸小，但计算相对复杂，且部分方案（如SIKE）受到攻击。
• 市场增长与投入: 全球PQC市场规模预计快速增长。Grand View Research报告指出，2024年全球PQC市场规模估计为11.5亿美元，预计从2025年到2030年将以37.6%的复合年增长率（CAGR）持续增长。各国政府、科技巨头（如Google, IBM, Microsoft）和初创企业均在PQC领域投入研发。
• 国际标准化组织动态: ISO/IEC JTC 1/SC 27等国际标准化组织也在积极跟踪和研究PQC标准。
• 开源社区与联盟: 如Linux基金会的Post-Quantum Cryptography Alliance (PQCA)，旨在推动PQC在开源项目中的应用和迁移。

2. 中国PQC政策与战略规划

面对量子计算的潜在颠覆性影响，中国政府高度重视PQC的发展，将其视为国家网络安全战略和科技竞争力的重要组成部分。

2.1 国家层面政策导向

• 国家密码管理局 (OSCCA): 作为中国密码工作的核心管理机构，OSCCA在PQC研究、标准制定和应用推广方面发挥主导作用。
• 法律法规保障: 《中华人民共和国密码法》（2020年1月1日施行）为包括PQC在内的密码技术发展和应用提供了法律框架。后续修订的《商用密码管理条例》也进一步规范了商用密码的应用与管理。
• 战略规划与投入: 中国将量子科技列为国家重点战略发展方向。“十四五”规划等国家级规划中均强调了发展量子科技的重要性。PQC作为应对量子计算威胁的关键防御手段，也获得了国家层面的关注和资源投入。

2.2 PQC标准化进展

中国PQC标准化工作遵循“自主创新与开放合作相结合”的原则，积极推进国内标准研制，并密切跟踪国际标准进展。

• 中国密码学会 (CACR) PQC竞赛: 为推动国内PQC算法研究和储备，CACR已组织多届“全国密码算法设计竞赛”，其中PQC是重要赛道。
  • 获奖算法如Aigis-sig (签名算法)、LAC-PKE (公钥加密算法)、Aigis-enc (密钥封装机制) 等，均为基于格理论的PQC算法，代表了国内在该领域的研究水平。
• 国家密码管理局算法征集:
  • OSCCA定期组织商用密码算法的征集和审定工作。近期，OSCCA下属的商用密码标准研究院于2025年2月5日发布公告，面向全球公开征集新一代商用密码算法，明确要求算法需具备抗量子攻击能力，并满足相关性能和安全要求。这标志着中国PQC国家标准研制进入实质性阶段。
• 全国信息安全标准化技术委员会 (TC260): TC260是中国信息安全国家标准的归口单位。该委员会已多次组织PQC算法与标准研讨会，邀请国内外专家共同探讨PQC技术发展趋势、标准制定思路以及与国际标准的协调。例如，2024年11月，TC260在北京举办了“后量子密码算法标准研讨会”，对NIST等国际组织的PQC标准化进展进行了分析，并讨论了中国PQC标准的制定策略。
• 其他标准化组织: 中国通信标准化协会（CCSA）、密码行业标准化技术委员会（CSTC）等也在各自领域关注和推进PQC相关标准的研制。

2.3 PQC迁移规划与白皮书

PQC的迁移是一个复杂且长期的系统工程，涉及现有密码基础设施的全面升级。中国产业界和学术界已开始着手研究PQC迁移策略。

• 《后量子密码迁移白皮书（2024）》: 2024年6月，由西安电子科技大学广州研究院裴庆祺教授团队牵头，联合中国人民银行数字货币研究所、中国科学院信息工程研究所、复旦大学、上海交通大学、中国电信、蚂蚁集团、华为云、格尔软件、三未信安、云上密码等多家产学研用单位共同编制的《后量子密码迁移白皮书（2024）》正式发布。
  • 该白皮书分析了量子计算威胁，梳理了PQC技术路线，解读了NIST PQC标准化进展，并提出了中国PQC迁移的路线图、风险评估方法和部署策略建议。
  • 白皮书强调，PQC迁移不仅是技术层面的算法替换，更是涉及战略规划、风险管理、系统集成、标准符合性和生态系统构建的“社会化系统工程”。
• 迁移策略:
  • 混合模式 (Hybrid Cryptography): 在PQC算法和标准尚未完全成熟，以及大规模部署经验不足的过渡阶段，普遍认为采用混合密码模式是稳妥策略。即同时使用一种传统密码算法（如ECC）和一种PQC算法，两者结合提供密钥建立或数字签名。这样即使PQC算法未来被发现漏洞，系统安全仍能由传统密码保障；反之，若传统密码被量子计算机攻破，PQC算法也能提供保护。
  • 密码敏捷性 (Crypto-agility): 系统设计应具备密码敏捷性，即能够方便、快速地替换或升级密码算法，以适应未来密码技术的发展和潜在的新威胁。
  • 分阶段、分领域推进: 优先在数据保密周期长、安全需求高的关键信息基础设施领域（如金融、政务、能源、通信）开展PQC试点和迁移。

3. 中国PQC技术研发现状

中国在PQC技术研发方面投入了大量资源，高校、科研院所和企业均积极参与，在PQC算法设计、软硬件实现优化、安全性分析以及与QKD等技术的融合方面取得显著进展。

3.1 主要研究机构及其方向

• 中国科学院 (CAS):
  • 信息工程研究所 (IIE): 是中国PQC研究的重要力量。其团队设计的LAC系列PQC算法（基于格密码的LWE问题和NTRU问题的变种Ring-LWE）是中国唯一进入NIST PQC项目第二轮的算法系列。IIE在PQC理论、算法设计、安全性证明和标准化方面均有深入研究。
  • 软件研究所、数学与系统科学研究院等也在PQC相关基础理论方面有所贡献。
  • 中国科学院大学密码学院: 依托中科院资源，培养PQC等密码学高级人才。
• 高等院校:
  • 复旦大学: 赵运磊教授团队在格密码理论与实践方面有突出贡献，设计了Aigis-enc/sig等算法，并在CACR竞赛中获奖。其设计的KCL算法也曾提交至NIST。
  • 上海交通大学: 在PQC算法设计、侧信道攻击与防护、PQC与QKD融合等方面有深入研究。
  • 清华大学: 在PQC硬件实现与加速、可证明安全理论等方面有研究。
  • 西安电子科技大学: 在PQC算法、密码协议、迁移策略研究方面实力雄厚，牵头了《后量子密码迁移白皮书》。
  • 北京大学、浙江大学、武汉大学等众多高校也设有密码学研究团队，积极参与PQC研究。
  • 中国科学技术大学 (USTC): 在量子信息领域具有世界领先水平，其在PQC与QKD融合应用、量子安全通信网络构建方面进行了前瞻性研究和实验验证。

3.2 代表性PQC算法与研究重点

• 格密码 (Lattice-based Cryptography): 是中国PQC研究的主流方向，与国际趋势一致。国内研究者在LWE、Ring-LWE、NTRU等格问题的困难性假设基础上，设计了多种PQC方案，并在效率、安全性、密钥尺寸等方面进行优化。CACR竞赛的获奖算法如Aigis系列、LAC系列等均是基于格的。
• 其他技术路径: 虽然格密码是重点，国内对基于编码、哈希、多变量、同源等其他技术路径的PQC算法也有研究和跟踪。
• 安全性分析: 对PQC算法的经典和量子安全性分析是中国研究的重要内容，包括对各类攻击（如格约减攻击、侧信道攻击、故障注入攻击）的抵抗能力评估。
• 标准化贡献: 中国学者积极参与国际PQC标准化进程，向NIST等国际组织提交候选算法，并在国际密码学会议和期刊上发表高水平研究成果。

3.3 PQC软硬件实现与优化

将PQC算法高效、安全地应用于实际系统是PQC研发的关键环节。

• 软件实现与优化: 针对不同PQC算法的特点，研究者们致力于优化其在各种计算平台（如CPU、嵌入式设备）上的软件实现。技术手段包括：
  • 利用SIMD指令集（如AVX2, NEON）进行并行计算加速。
  • 优化关键运算模块（如数论变换NTT、多项式乘法、采样算法）。
  • 减少内存占用，适配资源受限环境。
  • 开发针对特定PQC算法的开源库。
• 硬件实现与加速: 对于性能要求高的应用场景，PQC算法的硬件实现至关重要。
  • 设计专用的PQC硬件加速器（ASIC/FPGA），实现对多项式乘法、大数运算等核心操作的硬件级优化。
  • 研究PQC算法在SoC芯片上的集成。
  • 清华大学等机构已在PQC硬件架构设计方面取得进展。
• 侧信道攻击 (SCA) 与防护: PQC算法的物理实现（尤其是在智能卡、FPGA等设备上）面临侧信道攻击的威胁。中国研究者在PQC的SCA（如能量分析、电磁分析）建模、攻击方法以及相应的防护对策（如掩码、隐藏技术）方面进行了深入研究。

3.4 PQC与QKD的融合研究

PQC与QKD的融合被认为是构建未来量子安全网络的有效途径，可以结合PQC的灵活性和QKD的物理层安全性。

• “QKD+PQC”混合方案: 中国科学技术大学、国盾量子等单位在国际上率先开展了“QKD+PQC”融合方案的实际网络验证。例如，利用PQC算法进行初始的身份认证和密钥协商，建立安全通道后再通过QKD分发会话密钥，或者使用QKD密钥加密PQC的公钥分发过程。
• 优势互补: QKD提供点对点的安全密钥，而PQC可以解决QKD中继信任、认证等问题，并为无法部署QKD的场景提供补充。这种融合可以提升整体网络的安全韧性。

4. 中国PQC产业生态与应用

随着PQC技术研究的深入和标准化进程的推进，中国的PQC产业生态正在逐步形成，并在金融、通信、政务等关键行业开始应用探索。

4.1 PQC产业链构成

中国的PQC产业链主要包括：

• 上游: 基础理论研究（高校、科研院所）、PQC算法设计与分析。
• 中游:
  • PQC芯片/模组开发商（如部分集成电路设计公司开始关注PQC硬件加速）。
  • PQC软件库/SDK提供商。
  • 密码设备制造商（如密码卡、密码机、VPN网关、签名服务器等，开始集成PQC算法）。
  • 安全解决方案提供商（将PQC融入整体安全架构）。
• 下游: 各行业应用（金融、电信、政务、能源、物联网、云计算等）。
• 支撑环节: 标准化组织、测评认证机构、产业联盟、人才培养机构。

4.2 代表性企业及其PQC产品/解决方案

多家中国科技企业和密码厂商已开始布局PQC领域：

• 华为技术有限公司:
  • 积极跟踪NIST等国际PQC标准进展，并在自身产品和解决方案中规划PQC的应用。
  • 在其信任中心公开表示，倾向于采用混合密码方案（经典算法 + PQC算法）来应对“先存储，后破解”的威胁，并逐步将PQC算法集成到操作系统、数据库、网络设备和云服务中。
• 三未信安科技股份有限公司:
  • 作为国内商用密码领军企业之一，三未信安已发布其PQC技术与应用白皮书，并推出了支持PQC算法的密码芯片、密码板卡、密码整机（如PQC签名验签服务器、PQC VPN网关、PQC加密机）等一系列产品。
  • 其解决方案覆盖CA系统、TLS/SSL、IPSec、SSH等多种应用场景，并已在金融、电力等行业进行试点。
• 深圳东进技术股份有限公司:
  • 提供支持国密算法和PQC算法的密码卡、密码服务器等硬件产品，以及相关的PQC安全解决方案。
• 格尔软件股份有限公司:
  • 参与了《后量子密码迁移白皮书》的编制，在PKI/CA体系中研究和引入PQC技术。
• 科大国盾量子技术股份有限公司:
  • 虽然主营业务为QKD产品和量子安全解决方案，但也积极参与PQC与QKD的融合技术研究和应用示范，推动构建端到端的量子安全网络。
• 合肥本源量子计算科技有限责任公司:
  • 作为量子计算机制造商，本源量子关注自身量子计算平台的安全防护。其第三代国产超导量子计算机“本源悟空”在操作系统层面集成了PQC算法，形成“抗量子攻击护盾”，以保护量子计算机自身的数据和控制系统安全。
• 其他企业: 包括安天科技、数字认证、信安世纪、启明星辰等网络安全和密码厂商也在关注PQC技术，并逐步在其产品和服务中引入PQC能力。

4.3 行业应用探索

PQC的应用探索已在中国的多个关键行业展开：

• 金融行业: 银行、证券、保险等金融机构对数据安全和交易安全要求极高。部分机构已开始研究和试点PQC算法，用于保护网上银行、移动支付、数字货币、核心交易系统等。例如，在TLS协议中引入PQC算法，升级数字证书体系。
• 通信行业: 5G/6G、物联网等新兴通信场景需要更强的安全保障。中国电信、中国移动等运营商已将PQC纳入其未来网络安全的技术储备。CCSA等标准化组织也在研讨PQC在通信协议中的应用标准。
• 政务领域: 电子政务系统承载大量敏感信息，是PQC应用的重点领域。研究方向包括在数字身份认证、电子签章、政务数据加密传输与存储等方面应用PQC。
• 能源行业: 电力、石油等能源基础设施的控制系统（ICS）安全至关重要。PQC可用于增强智能电网、能源物联网等场景下的通信安全和身份认证。
• 云计算与大数据: 云平台和大数据中心存储和处理海量数据，其安全防护体系中，PQC可用于增强数据加密、虚拟机安全、API接口安全等。
• 车联网 (V2X): 车辆与车辆、车辆与基础设施之间的通信安全，以及车载系统的固件更新安全，也是PQC的潜在应用场景。

4.4 产业联盟与合作

为推动PQC技术的成熟和应用落地，中国产学研用各方加强了合作：

• 产业联盟: 中国网络安全产业联盟（CCIA）等行业组织为PQC技术交流、标准协同、供需对接提供了平台。
• 联合实验室与项目: 高校、科研院所与企业之间通过共建联合实验室、承担国家重点研发计划项目等形式，协同攻关PQC关键技术。
• 行业研讨与白皮书: 如前述《后量子密码迁移白皮书》的发布，以及安全牛等行业媒体和研究机构组织的PQC技术研讨会，促进了知识共享和产业共识的形成。

5. 面临的挑战与未来展望

尽管中国在PQC领域取得了显著进展，但在技术成熟度、大规模迁移、标准化、生态构建及人才培养等方面仍面临诸多挑战。同时，PQC技术也展现出广阔的应用前景和发展潜力。

5.1 主要挑战

• 技术挑战:
  • 算法的长期安全性: 新的PQC算法的安全性仍需经过长时间的密码分析检验。存在某些PQC方案被攻破的风险（如SIKE的例子）。
  • 性能开销: 部分PQC算法的密钥尺寸、签名尺寸较大，或计算复杂度较高，可能对现有系统的性能（如带宽、延迟、计算资源）带来挑战，尤其是在资源受限的设备（如IoT设备、智能卡）上。
  • 实现安全性: PQC算法的软件和硬件实现需要有效抵抗侧信道攻击、故障注入攻击等物理攻击。这方面的研究和防护措施尚需完善。
  • 标准化与互操作性: 虽然NIST已发布首批标准，但PQC标准体系仍在发展中。不同国家和地区的标准可能存在差异，实现全球互操作性面临挑战。
• 迁移挑战:
  • 成本与复杂性: PQC迁移涉及对现有IT基础设施的大规模升级改造，包括硬件、软件、协议、应用系统等，成本高昂，过程复杂，周期漫长。
  • 存量系统兼容: 大量老旧系统难以直接支持PQC算法，其改造或替换面临巨大困难。
  • 密码敏捷性不足: 许多现有系统缺乏密码敏捷性设计，难以灵活替换密码算法。
  • 风险管理: 迁移过程中可能引入新的安全漏洞或系统不稳定性，需要审慎的风险评估和管理。
• 生态构建挑战:
  • 成熟产品与解决方案缺乏: 尽管已有企业推出PQC产品，但整体而言，成熟、多样化、经过充分验证的PQC产品和解决方案尚不丰富。
  • 产业链协同: PQC的成功应用需要芯片、设备、软件、应用、测评认证等产业链各环节的紧密协同。
  • 知识产权问题: PQC算法和实现可能涉及复杂的知识产权问题，需要关注和妥善处理。
• 人才与意识挑战:
  • 专业人才匮乏: PQC领域涉及深奥的数学和密码学理论，高水平的研发、工程和测评人才短缺。
  • 认知与紧迫感不足: 社会各界对量子计算威胁和PQC迁移的紧迫性认知仍有待提高，部分组织可能存在观望心态。

5.2 未来发展趋势与展望

• 算法与标准持续演进: PQC算法研究将不断深入，可能会出现安全性更高、性能更优的新算法。中国将持续完善国家PQC标准体系，并积极参与国际标准的制定与协调。
• 混合密码方案成为过渡期主流: 在PQC算法和标准完全成熟，以及大规模部署经验充分积累之前，混合使用经典密码和PQC算法的方案将是未来几年内的主流选择，以实现平稳过渡和风险对冲。
• PQC与新兴技术深度融合: PQC将与人工智能、物联网、区块链、云计算、大数据、6G等新兴信息技术深度融合，为这些领域提供内生的量子安全能力，催生新的安全应用和服务。
• 软硬件协同优化: 通过算法优化、专用指令集、硬件加速器（FPGA/ASIC）等软硬件协同设计，进一步提升PQC算法的性能，降低应用门槛。
• “PQC+QKD”协同发展: PQC与QKD技术将进一步融合互补，共同构建多层次、高强度的量子安全防护体系，满足不同场景的安全需求。
• 行业应用逐步深化和普及: 随着技术成熟、成本降低和标准完善，PQC的应用将从关键信息基础设施逐步扩展到更广泛的行业和消费级应用。
• 国际合作与竞争并存: PQC是全球性的挑战，国际合作在标准制定、技术交流等方面仍是重要趋势。同时，PQC技术也事关国家核心竞争力，在该领域的国际竞争也将持续。
• 自动化迁移工具与服务发展: 为降低PQC迁移的复杂性和成本，可能会出现更多自动化的密码库扫描、代码替换、兼容性测试等工具和服务。

6. 总结

量子计算的快速发展对基于经典计算困难问题的现代公钥密码体系构成了前所未有的颠覆性威胁。发展和部署后量子密码（PQC）以应对“量子突袭”已成为全球密码学界、产业界和各国政府的共识与战略重点。

中国对此高度重视，并已在PQC的政策引导、标准化推进、技术研发、产业生态构建及行业应用探索等多个层面取得了显著进展。国家密码管理机构积极布局，相关法律法规为PQC发展提供了基本遵循。通过密码算法设计竞赛、国家标准征集等方式，中国正在加速国产PQC算法的研制和遴选。学术界和产业界联合发布的PQC迁移白皮书，为各行业应对量子威胁、规划PQC升级提供了重要指导。

在技术研发层面，中国的高等院校、科研院所及科技企业在格密码等主流PQC技术路径上取得了重要成果，部分算法在国际上具有一定影响力。PQC算法的软硬件实现优化、侧信道安全性分析以及PQC与QKD的融合研究也在积极推进。本土PQC产业链初步形成，一些代表性企业已开始推出PQC产品和解决方案，并在金融、通信等关键领域进行了初步的应用探索。

然而，中国PQC的发展仍面临诸多挑战，包括PQC算法的长期安全性与实际性能、大规模系统迁移的成本与复杂性、国家标准体系与成熟产业生态的完善、专业人才的培养与社会整体安全意识的提升等。

展望未来，中国PQC领域将在克服挑战中持续向前发展。混合密码方案将在过渡期扮演关键角色。PQC技术将与5G/6G、物联网、人工智能、区块链等新兴技术深度融合，催生新的安全应用模式。通过持续的科研投入、开放的国际合作、以及产学研用的协同创新，中国的PQC技术和产业必将在保障国家网络与信息安全、赋能数字经济高质量发展、以及参与全球网络空间治理中发挥越来越重要的战略性作用。

7. 参考资源与地址 (部分示例)

• NIST Post-Quantum Cryptography Project: https://csrc.nist.gov/projects/post-quantum-cryptography
• 《后量子密码迁移白皮书（2024）》相关报道: https://www.cipheroncloud.com/contents/22/565.html
• 三未信安《抗量子密码技术与应用白皮书（2024）》: https://www.sansec.com.cn/news_detail/1.html
• 国家密码管理局: http://www.oscca.gov.cn/
• 中国密码学会: http://www.cacrnet.org.cn/