相位编码实现光路图 2）基于量子密钥的 IPSec 加密技术 基于量子密钥的 IPSec 加密技术是在传统的 IPSec 架构基础上， 采用量子密钥对以太网网络数据包进行加密，量子密钥定期自动更 新，可为以太专网提供传统加密系统无法比拟的高安全保密通信。 (二) 技术优势/成熟度分析 1）技术优势 F-M 相位编码方案是复杂光纤环境中实现稳定高效量子密钥分 发的核心技术，能实现全线路扰动完全免疫，适用于地埋光纤、架 分 发 层 量 子 密 钥 管 理 层 量 子 密 钥 应 用 层 隧道 隧道 隧道 密钥池 密钥池 密钥池 密钥池 密钥管理中心 设备管理中心 图 28 宁苏量子加密干线通信网络三层架构 量子密钥分发层由量子密钥分发终端（QKD）构成，负责协商 生成和分发量子密钥。项目采用问天量子研发的基于 F-M 相位编码 方案的诱骗态 BB84 QKD 设备，工作频率为 50MHz。在宁苏量子加 保持在 0.89%~2.06%左右的较低水平，安全密钥成码率处于 2kbps~13kbps 之间，确保量子密钥生成与分发过程稳定、高效、安全。 量子密钥管理层由设备管理中心和密钥管理中心构成，通过部 署量子密钥服务器（QKS）和量子密钥管控系统（QKM）进行量子 设备和密钥管理，实现端到端用户之间的量子密钥传输与中继。 量子密钥应用层由量子安全网关（QVPN）、应用客户端构成，

Symantec）安全产品线，专注安全领域；2011 年，成立安全能力中心，专攻研发安全 能力；2012 年，华为网络安全产品国内市场占有率第一；2015 年，云安全解决方案及 服务全面上线；2016 年，云安全全球化布局，密钥管理服务（KMS）和防 DDoS 攻 击服务（Anti-DDoS）在德国、西班牙上线；2017 年，推出 DDoS 高流量防护（高 防）、数据库防火墙等系列高增值安全服务；2018 年，推出专属加密服务（DHSM）。 SaaS 类各项云服务内部的安全以 及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚 拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据， 以及身份账号和密钥管理等方面的安全配置。 ⚫ 租户的安全责任细节由最终所使用的云服务来决定，具体到租户负责执行什么默 认和定制的安全配置。对于华为云的各项云服务，华为云只提供租户执行特定安 全任务所需的资源、功 项具体的数据安全配置，对其保密性、完整性、可用性以及数据访问的身份验证 和鉴权进行有效保障。在使用统一身份认证服务（IAM）和数据加密服务 （DEW）时，租户负责妥善保管其自行配置的服务登录账户、密码和密钥，并负 责执行密码密钥设定、更新和重设规则的业界优秀实践。租户负责设置个人账户 和多因子验证 (MFA)，规范使用安全传输协议与华为云资源通信，并且设置用户 活动日志记录用于监测和审计。 租户负责对其自行部

10 AMD SEV(-ES)/ CSV 1+2 / Intel SGX 2.0 / Intel TDX 1.0 OS 提供 TEE 有关的 Kubernetes 基础服务 (如集群规模的密钥分发和同步服务、集群远程证明服务等），使得 用户可以方便地将集群中多台 TEE 机器当作一个更强大的 TEE 来使用。 • 代码库：https://github.com/SOFAEnclave/KubeTEE 权限后攻击虚拟机，给虚拟机最终用户造成重大损失。 解决方案 CSV是海光自主研发的安全虚拟化技术，采用国密算法实现，CSV虚拟机在写内存数据时CPU硬件自动加密 ，读内存数据时硬件自动解密，每个CSV虚拟机使用不同的密钥。海光CPU内部使用ASID（Address Space ID） 区分不同的CSV虚拟机和主机，每个CSV虚拟机使用独立的Cache、TLB等CPU资源，实现CSV虚拟机、主机之间 的资源隔离。CS 与VM相比，TD额外增加了以下能力： • 提供了VM内存的机密性和完整性保护 • 地址转换完整性保护 • CPU状态机密性和完整性保护 • 对安全中断和异常的分发机制 • 远程证明 TDX技术综合了MKTME（多密钥全加密内存）与VMX虚拟化技术，再添加新的指令集、处理器模式和强制 实施的访问控制等设计。 16 17 Unmodified Applications Unmodified Drivers TDX-

算仍需长期攻关，行业领域应用探索持续深化，“杀手级”应用尚未 实现落地，产业生态培育稳步推进。 量子通信基于量子叠加态或纠缠效应，在经典通信辅助下实现 密钥分发以及信息传输，在理论协议层面具有可证明安全性。基于 量子密钥分发和量子随机数发生器等技术方案的量子保密通信系统 正初步进入实用化阶段，在新型协议研究和实验系统研制等方面持 续取得阶段性成果，样机产品研发和应用探索持续推进，推广大规 随着量子计算技术的不断进步和云平台功能的日益成熟，量子 计算云平台已成为用户访问量子计算资源、开展实验验证和应用探 索的重要辅助工具之一。 (二)量子通信 1.量子保密通信科研和前沿探索取得新成果 基于量子密钥分发（QKD）、量子随机数发生器（QRNG）等技 术方案的量子保密通信初步实现实用化。近年来在科研领域持续探 索新型协议，稳步提升样机技术水平，系统实验验证持续开展，前 沿探索取得诸多新成果。 5 公里光纤传输 中实现 1.09 Gbit/s 密钥成码率，为接入网提供可能的高速 QKD 解 决方案84。 QKD 前沿实践探索方面，研制并应用新型光纤、信道和器件是 重要的发展方向。2024 年，丹麦技术大学基于 52 公里现网 4 芯光 纤完成了四维混合时间路径编码 QKD 系统传输实验，可达到 51.5kbit/s 的密钥成码率，这类多芯光纤有望提升高维 QKD 系统传

Administration, and Maintenance 带内 OAM JCT job completion time 任务完成时间 KDF Key Derivation Function 密钥派生函数 MOD Mirror On Drop 丢包镜像 中兴通讯版权所有未经许可不得扩散 3 MTU Maximum Transmission Unit 最大传输单元 NCPC Network-coordinated 1）性能增强：通过优化加解密钥算法的应用，有效降低内存消耗、优化资源使用，并 减少对专用硬件的需求，从而降低整体实现成本。 2）安全功能增强：提供增强的加密和身份验证功能，确保加/解密密钥的安全性和不重 复使用，增加数据机密性及完整性保护，提供网络安全可用性。 3）支持规模扩展：提供安全密钥生成及维护可扩展性支持，降低安全处理对硬件资源 的需求，解决安全源依赖性，支持大规模安全密钥状态及维护。 在满足以上需求过程中可能面临如下挑战： 公共对称密钥来保护通信。安 全域内的源被分配唯一源标识符或源IP地址，每个安全域应分配一个在可达网络内唯一的安 全域标识。当一个安全源加入一个安全域时，安全域管理会向安全源分配一个安全标识和提 供安全参数。 2）安全域密钥库 安全域由数据包中携带的标识信息进行安全标识，而安全域标识可用于从安全域密钥库 查找安全域的上下文。安全域密钥库基于报文输入参数，进行密钥解析处理，获取密钥信息，

System，SecureDSC），如图 2-4-1 所示，该系统包括语义编码器/解码器、信道编码器/解码器，以及加密/解密模块与密钥处理 器。 图 2-4-1. SecureDSC 系统模型 其工作流程为：发送端 Alice 的消息 m，先经语义编码器提取出关键语义特征，接着借 助加密模块与密钥处理器进行加密，再经信道编码器转化为适应信道传输的信号格式后发送。 合法接收者 Bob 收到带有干扰和噪声的信 收到带有干扰和噪声的信号y�，依次通过信道解码器、解密模块、语义解码 器的顺序，精准重构消息。而窃听攻击者 Eve 虽然能截获信号y�，但由于缺少合法用户所共 享的密钥，只能用随机数 r 尝试重构，难以获得准确信息。通过对各模块的协同设计和引入 对抗训练机制，SecureDSC 最小化合法用户间语义差异的同时，降低攻击者重构准确性。 为评估 SecureDSC 的性能，实验测试合法用户 Bob 和窃听攻击者 Eve 为了确保语义通信系统更新的安全高效，我们设计了一种基于区块链的可信方案，其工 作流程如图 2-4-3 所示。该方案由三个实体参与：设备，它们相互进行语义通信，并相互交 互以持续训练和同步分布式语义通信系统。密钥生成中心，作为一个受信任的第三方，在网 络中起着至关重要的作用，负责网络初始化以及公私钥对的生成和分发，值得注意的是，由 于复杂物理环境导致的可用性问题，或者该中心有限的计算和通信能力，它无法直接组织交

协商完成后，将策略下 发至 CIM、CUM 及其他业务模块执行。CIM 类比 5G 网络中的 AUSF 和 UDM，负责主 体网络间的身份管理及鉴权认证，扩展了身份和鉴权功能，支持对称密钥机制及 非对称密钥机制，包括数字身份、数字证书等。CIM 可以仿照 UDM 的设计将数据 的存储部分分离出来作为一个单独的模块，剩余部分只进行身份认证。 TWU 包括可信管理模块（Trustworthiness

6G网络进行高效智能的验证、模拟、部署与管理。 数字孪生网络（DTN） 6G网络正在采用先进的量子安全机制来应对传统加密系统所面 临的不断增长的威胁，尤其是那些来自量子计算机的威胁。其关 键技术包括量子密钥分发（QKD）、后量子密码（PQC）、量子 增强身份验证（如数字签名）和量子随机数生成（QRNG）。 量子通信安全 使用超材料的可重构智能表面（RIS） 演进 变革 VS 来自全球广大电信市场的各种往往彼此冲突的利益

安全评测 构建行业特有问答 对输出合规性进行评测 安全 渗透测试 针对训推环境和开发平台软件 内容 对抗测试 多种攻击模式 “攻击不瘫” “数据不丢” “及时响应” 数据流转实时监控 数据加密与密钥管理 端到端加密 安全态势感知 日志综合分析 主机和容器的安全防护 AntiDDoS WAF NDR CFW 30 AI CITY 发展研究报告 环境安全： 满足等保三级，通过构 护避免暴力破解、容器逃逸等 攻击，阻断横向攻击，保障系统稳健运行。二是“数据不丢”，数据端到端加密、流转可追溯。通过对数据流转实时 监控，并完善审计机制，实现数据在流转中全过程可追溯。数据加密与密钥管理体系保证数据在传输过程中的加密保 护，对数据存储时进行密文存盘，防止数据泄露后被恶意使用。端到端（E2E）加密技术确保数据和模型的端到端加 密传输，实现加密策略一键下发，有效保障数据的隐私性

可信数据基础设施之上， 面向数据要素流通链路（数据要素生成阶段、数据要素传输阶段、数据要素存 储阶段、数据要素处理阶段、数据要素应用阶段），针对链路中的数据要素流 通环节，通过数据托管、加密/密钥能力、可信计算空间、全流程的数据态势监 测分析，解决数据流通过程中的安全可信问题。 综上所述，数字可信应运而生，成为保障数字经济稳健发展的关键要素。 数字可信涵盖了技术层面的保障，以及法律、伦理和社会层面的信任机制。作