量子科技时代已经开启,习近平总书记在党的二十大报告中对量子信息取得的重大成果给予了肯定。2022年诺贝尔物理学奖不负众望地颁发给量子信息领域,在全球范围内再次引发社会公众对量子科技的高度关注。本文立足于金融行业视角,探索量子保密通信技术在金融实际场景中的应用落地,为数字经济时代背景下金融行业发展受物理学定律保护的高度信息安全方案提供借鉴思路。
量子保密通信
为金融行业数据安全传输提供新思路
数据安全是金融机构的“生命线”,金融业涉及的隐私数据量级远超其他行业,如何提升数据安全保障能力,是作为支撑我国国民经济重要行业的金融业时刻需要关注的问题。然而,量子科技的飞速发展对金融机构广泛应用的公钥加密算法体系带来了挑战,从而导致金融业数据安全面临潜在风险(吴永飞等,2022)。
在此背景下,后量子密码(Post-Quantum Cryptography,PQC)和量子保密通信(Quantum Encrypted Communication,QEC)两类解决方案应运而生。后量子密码聚焦研究量子计算的优劣势所在,对经典密码算法进行有针对性的改造,使其能够有效抵抗量子计算的攻击;量子保密通信则关注运用量子的特性来实现保密通信技术应用。两种路线齐头并进,在技术发展和业界应用方面均取得了一系列成果。
在PQC方面,基于哈希(Hash-based)、基于编码(Code-based)、基于多变量(Multivariate-based)和基于格(Lattice-based)等密码学发展是当前主要的技术流派。与此同时,各类后量子密码方案如雨后春笋般涌现。金融行业在后量子密码研究方面先试先行,工商银行分别在2021年及2022年针对NIST发布的最新后量子密码算法开展了技术验证,并完成了在业务场景应用的分析评估及核心加密服务平台应用的建设方案设计,且已与网络设备供应商开展了安全网关升级替代方案的联合创新——在合作方通信场景实现对应用透明的抗量子计算攻击的安全传输通道(吕仲涛,2022)。
在QEC方面,包括量子(安全)直接通信(Quantum Secure Direct Communication,QSDC)和量子密钥分发(Quantum Key Distribution,QKD)两大主流技术方案。其中,QSDC方案将信息加载于量子态,可直接在量子信道进行传输。我国在QSDC技术与应用方面一直处于国际前沿水平,华夏银行、北京量子信息科学研究院、清华大学和龙盈智达(北京)科技有限公司已在全球范围内首次实现量子直接通信在金融领域的应用落地,取得了良好示范效果。另外,QKD技术凭借其一次一密、无条件安全的密钥分发机制与特性,已在国防、政务、金融等多个领域开展了技术验证和应用示范工作,近年来在金融行业陆续得到尝试性应用并取得良好成效,本文则进一步聚焦于QKD技术在金融行业的应用探索。
量子密钥分发在
金融领域的应用发展
QKD是一种利用量子态进行密钥协商的技术,它以量子物理原理为基础,能够提供无条件安全的密钥分发。QKD技术至今已有近40年的研究历史,以1984年由Bernnett和Brassard提出的“BB84协议”为例,该协议得名取自于其两位缔造者的姓氏首字母和提出年份。从初代的BB84协议发展至今,各国学者们根据不同物理原理、传输介质和编码方式提出了多种量子密钥分发协议。
在实践方面,量子密钥分发系统的商业化应用上线标志着该项技术在实用化道路上的日益成熟。目前,国内多家金融机构基于QKD量子密钥分发技术在QEC量子保密通信方面积极开展应用探索。典型应用包括:工商银行于2015年应用相关技术实现了北京分行、上海分行电子档案信息在同城间的加密传输;中国银行于2018年实现了京沪异地千公里级数据量子加密传输应用;兴业银行于2020年建立了济南分行中心机房与同城灾备机房之间的量子保密通信网络,为中心机房与同城灾备机房之间灾备数据及视频会议的传输提供量子安全加密保障。
在QKD相应的量子保密通信基础设施领域,我国也取得了一系列重要进展。除了以“墨子号”量子科学实验卫星和“京沪干线”为代表的量子保密通信网络基础设施外,我国还建成及规划了包括武合、沪合、济青、成渝、粤港澳、汉渝、杭厦、京哈、京汉及京广等在内的多条骨干网,并部署了贵州、山东省干网,以及在北京、济南、重庆、合肥、枣庄、宿州、贵阳、成都、金华、南宁等地建设了城域网,同时广州、珠海、东莞、西安、杭州、海口、南京、上海的城域网也在持续建设中。
我国QKD相关量子保密通信基础设施虽已日趋完善,然而我国幅员辽阔,很多情况下金融机构、金融监管机构需要进行超远距离传输,仅依靠骨干网传输尚难以完全满足需求。因此,星地一体化的QKD量子保密通信方案应运而生。据神州信息官方网站披露,中国人民银行已成功落地了星地一体量子加密应用,率先利用“墨子号”空间量子科学实验卫星,实现了中国人民银行总行与乌鲁木齐中心支行间的“人民币跨境收付信息管理系统”量子加密应用,为金融监管机构的远距离信息安全传输提供了新方案。
“6‘2’+6D”视角下
量子保密通信在金融领域的应用
本文基于《量子直接通信天然融入金融领域 应用前景广阔》文章中提出的量子直接通信在金融领域的应用框架(吴永飞等,2022),并结合人民银行星地一体QKD量子加密应用场景,进一步完善提出“6‘2’+6D”量子保密通信金融场景应用框架方法论。从应用及参与的主体方面来看,量子保密通信可有效解决银行与客户、银行与银行、客户与客户、历史与未来、银行与监管机构以及监管机构与监管机构之间的高度信息安全传输问题。从具体业务应用来看,典型场景涵盖数字信贷业务场景、远程办公与运维场景、客户数据服务场景、同城数据备份场景、监管信息报送场景以及属地监管场景(见图1)。
图1 “6‘2’+6D”量子保密通信金融场景应用框架方法论
以监管机构与监管机构间的属地监管场景为例,中国人民银行“人民币跨境收付信息管理系统”(RMB CrossBorder Payment&Receipt Management Information System,RCPMIS)数据传输就是该应用的经典案例。凡开展跨境人民币业务的银行均应接入RCPMIS,该系统主要负责收集人民币跨境收付业务相关信息。RCPMIS的数据报送遵照集中接入原则和属地监管原则,全国性商业银行通过总行将数据上报至RCPMIS服务器,地方商业银行通过人民银行省会中心支行金融业网间互联综合前置系统将数据上报至人民银行总行RCPMIS服务器。
在该场景中,中国人民银行乌鲁木齐中心支行星地一体QKD量子保密通信应用项目通过多个中继节点和卫星密钥分发,建立了跨越2400公里从人民银行金融信息中心(北京)至乌鲁木齐中心支行间的量子密钥分发传输通道。星地一体QKD量子保密通信项目的核心传输方式是通过“墨子号”空间量子科学实验卫星在广域网络中进行星地一体的量子密钥分发和接收,其中位于新疆乌鲁木齐市区的中国人民银行乌鲁木齐中心支行通过城域网接入A站点,A站点包含多个中继节点,采用量子光纤干线传输至A塔;位于北京的中国人民银行金融信息中心通过北京市区的量子城域网接入B站点,B站点也包含多个中继节点,同样采用量子光纤干线传输至B塔(见图2)。中国人民银行乌鲁木齐中心支行本端部署量子加密模块、量子密钥分发模块、交换设备、量子网络管理模块等专用设备,搭建乌鲁木齐本端“星地一体”的地面量子信道。
图2 星地一体QKD量子保密通信应用示意图
随着量子金融科技的不断发展,量子保密通信在金融机构、金融监管机构的高度安全数据传输中发挥着日益重要的作用。近年来,各类量子保密通信方案在多种金融及监管场景先后应用落地,不仅验证了量子保密通信在金融行业的安全可行性,也有效提升了金融行业信息传输的可靠性,在保障业务交易安全的同时也进一步拓宽了业务创新空间,并为后续编制量子保密通信行业标准提供了支持。
(龙盈智达〔北京〕科技有限公司王彦博、杨璇、高新凯、周博韬对本文亦有贡献)
作者:许健,单位:中国人民银行乌鲁木齐中心支行