实战 量子通信构建银行安全通信新格局
日期:2024-01-15 03:23:27   来源:数据传输类

  习同志在中央政治局第24次集体学习时强调,深刻认识推进量子科技发展重大意义,加强量子科技发展的策略谋划和系统布局。当今世界正在发生百年未有的巨大变化,科学技术创新是关键变量之一,要充分认识推进量子科技发展的重要性和紧迫性,“把握大势,开好局”。

  金融监管强化金融系统性风险预防,鼓励金融供给侧结构性改革,不断探索监管科技的应用,这些趋势都要求银行业不断的提高自身的数字化能力。银行业在国家发展的策略中占有主体地位,其信息架构的核心是信息传输,信息安全首当其冲。量子通信基于量子的“不可分割”和“不可克隆”的特点,结合传统的通信加密技术给银行业的安全通信带来了新的格局。但是,任何技术的发展都将面临挑战,在量子通信中的QKD(量子密钥分发)技术和推广应用目前也是困难重重。因此,我们应制定和完善相应的技术规范和标准,打好关键核心技术攻坚战,整合不同的技术路线,使量子加密通信实现更安全、便利、成本可接受。随着产学研一体化发展,量子技术已成为国家创新发展和伟大复兴的重要工具之一。

  量子通信主要分量子隐形传态(Quantum Teleportation,简称QT)和量子密钥分发(Quantum Key Distribution,简称QKD)两类。QT基于通信双方的光子纠缠对分发(信道建立)、贝尔态测量(信息调制)和玄正变换(信息解调)实现量子态信息直接传输,其中量子态信息解调需要借助传统通信辅助才能完成。QKD主要是采用BB84协议(由Bennett和Brassard于1984年提出)传送密钥,其安全性基于量子力学的基础原理。QKD通过对单光子或光场正则分量的量子态制备、传输和测量,首先在收发双方间实现无法被窃听的安全密钥共享,再与传统加密技术相结合完成经典信息加密和安全传输,基于QKD的保密通信称为量子保密通信。

  中国电信和中国联通在基于1310nm的O波段DV-QKD系统与1550nm的C波段光通信系统实现了共纤混传和现网测试。中国电信于2017年9月实现110公里的城域范围内共纤传输和融合部署,并且密钥成码率与独占光纤传输条件仍基本保持相同量级。

  2017年“京沪干线段光纤量子通信线用户同时接入。“京沪干线”是连接北京与上海,贯穿济南、合肥等地的量子保密通信骨干线路,同时连接各地城域网。“京沪干线”和量子科学卫星的互联,形成星地一体的广域量子通信网络,实现洲际广域量子通信,拓展了京沪干线的应用能力。

  北京、合肥、武汉、山东等地建设的本地量子通信城域网,为党政机关、企业和事业单位量子通信的应用打下基础。其中济南党政机关量子通信专网辐射整个济南地区的中大规模量子通信政务实用化网络,实现53个用户节点的语音、数据传输安全。

  银行业通过与中国人民银行和中国银监会合作,开展了银行业量子保密通信应用,包括同城数据备份和加密传输、网上银行加密、异地灾备、监管信息系统采集报送、人民币跨境收付系统应用等。银行业已形成了一批典型示范用户,包括工商银行、中国银行、建设银行、交通银行等国有大型商业银行,以及民生银行、浦发银行等全国性股份制商业银行和北京农商行等其他商业银行。

  目前银行业的普通应用是采用QKD(量子密钥分发)系统,实现点对点量子密钥的安全传输。通信两端通过量子通信设施利用BB84协议进行密钥协商,传输量子密钥至对端量子安全加密路由器,传统路由器利用加密后的量子密钥与对端创建IPsec隧道,进行数据加密传输,如图1所示。

  量子保密通信技术为现有的数据安全传输提供保障的同时,也面临来自全球各科研机构的技术挑战。中国信息协会量子信息分会于2021年1月发布了《量子密钥分发的技术挑战及应对分析》,重点对美国国家安全局(NSA)提出的技术挑战,进行了充分分析与反驳,该文提出可在系统模块设计的规范化、标准化,硬件设备的小型化安全性,以及可信中继、加强设备安全,与量子计算破解加密算法(Post Quantum Cryptography,PQC,也称量子安全密码或后量子密码)相结合等方面做了阐述与论证。

  山东省人民政府办公厅关于山东省数字基础设施建设的指导意见(鲁政办字〔2020〕34号)中指出:“为贯彻落实《数字山东发展规划(2018-2022年)》,快速推进全省数字基础设施建设,到2022年年底,初步建成智能、敏捷、安全的下一代网络,信息通信服务实现按需供给,信息网络应用实现个性定制、即开即用。加快量子保密通信网络建设,依托济南、淄博、潍坊和青岛等市,构建横贯东西的量子保密通信‘齐鲁干线’,满足与京津冀、长三角及海外重要城市间广域量子保密通信需求。开展量子保密通信应用试点,探索量子通信在政务、电力等行业的前沿应用,培育量子通信技术创新和应用生态,打造国内领先的量子保密通信产基地。”兴业银行济南分行在此政策指引下,加强与山东省量子科学研究院的战略合作,经过充分调研并结合自己业务情况,决定在一级分行机房与同城灾备机房之间搭建量子保密通信网,以实现视频会议等相关业务数据的安全加密传输。

  2020年,兴业银行济南分行中心机房与同城灾备机房间建立了量子保密通信网络,实现了两个节点间量子密钥分发。使用量子密钥并通过原业务网络建立量子安全加密IPsecVPN隧道,为中心机房与同城灾备机房间之间灾备数据及视频会议的传输提供量子安全加密保障,如图2。

  兴业银行济南分行中心机房与同城灾备机房之间,使用波分复用技术实现了单光纤量子网络与业务网络的共用。

  部署1台单收型量子密钥生成与管理终端,实现本节点与同城灾备机房间的量子密钥生成和管理功能;部署1台多通道经典量子波分复用终端,使用波分复用技术实现量子信号光(1550nm)、量子同步光(1570nm)、量子网络经典信道出口光(1270nm、290nm)与本站点客户业务系统的传输设备下行线台量子安全加密路由器,使用量子密钥并通过客户原业务网络与同城灾备机房部署的量子安全加密路由器之间建立量子安全加密IPsecVPN隧道,承载用户灾备相关业务应用;部署1套量子密钥管理服务系统,实现对本系统量子密钥生成控制功能;并在本站点的单收型量子密钥生成与管理终端部署1套量子密钥管理服务系统客户端,用于该设备与量子密钥管理服务系统协同工作;部署1套量子网元管理服务软件,实现对本系统量子设备的网络管理功能。在本站点的单收型量子密钥生成与管理终端、量子安全加密路由器、量子密钥管理服务器部署共计3套量子网络管理系统Agent软件,用于这3台设备网管运行数据的采集和上报。

  部署1台单发型量子密钥生成与管理终端,实现本节点与济南分行节点间的量子密钥生成和管理功能;部署1台多通道经典量子波分复用终端,使用波分复用技术实现量子信号光(1550nm)、量子同步光(1570nm)、量子网络经典信道出口光(1270nm、1290nm)与本站点客户业务系统的传输设备上行线台量子安全加密路由器,使用量子密钥并通过客户原业务网络与济南分行部署的量子安全加密路由器之间建立量子安全加密IPsecVPN隧道,承载用户灾备相关业务应用。在本站点的单发型量子密钥生成与管理终端部署1套量子密钥管理服务系统客户端,用于该设备与量子密钥管理服务系统协同工作;在本站点的单收型量子密钥生成与管理终端、量子安全加密路由器部署共计2套量子网络管理系统agent软件,用于这3台设备网管运行数据的采集和上报。

  量子安全加密路由器使用量子密钥,通过客户原业务网络建立量子安全加密IPsec VPN隧道,为中心机房与灾备机房间灾备数据传输业务提供量子安全保障,如图3所示。

  兴业银行济南分行波分单纤量子通信模式的成功实施,构建了银行业一级分行与同城灾备机房之间安全通信新格局,响应了国家“十四五”规划和2035年远大目标纲要(快布局量子计算、量子通信、神经芯片、DNA存储等前沿技术,加强信息科学与生命科学、材料等基础学科的交叉创新,支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务),为同业量子通信建设提供借鉴。

  目前,量子通信的发展已进入了关键时期,未来将根据当前存在的技术挑战和应用实践逐步开展涵盖元器件、操作系统、光纤传输网、量子加解密算法等方面的技术标准体系建设。面对信息安全带来的巨大挑战,银行业将在量子保密通信技术的研究和实践基础上,推动量子保密通信多场景、多应用的规模化部署和建设,利用天地一体量子通信网的密钥分发为数据中心间、总部与分支机构间、智慧厅堂、移动运维等场景下进行的数据加密传输、终端安全接入、安全即时通信、保密视频会议、安全数据加密等应用提供量子保密通信安全服务。

  同时,为落实政府政策和有关标准,未来银行业应与科研机构、专业公司增进合作,加强人才储备与技术培养和训练、积极地推进多场景多应用的实践实现“创新新技术、拥抱新科技”。随着网络金融的发展,银行业已不再是封闭的自我环境,终将发展成为开放的、系统化的、网络化的、货币数字化的金融环境,因此银行业在通信过程中的机密性、可靠性、完整性的需求亟需提升,而量子通信得天独厚的技术特点,为银行业未来的开放发展提供了高质量的安全保障,相信以点带面引领金融安全通信实践下,量子通信将构建金融安全通信新格局。

  (兴业银行网络专家团队-量子通信工作组成员:孟凡武、陈颖、袁娟、谢彬钦、付先行)