相位编码实现光路图 2）基于量子密钥的 IPSec 加密技术 基于量子密钥的 IPSec 加密技术是在传统的 IPSec 架构基础上， 采用量子密钥对以太网网络数据包进行加密，量子密钥定期自动更 新，可为以太专网提供传统加密系统无法比拟的高安全保密通信。 (二) 技术优势/成熟度分析 1）技术优势 F-M 相位编码方案是复杂光纤环境中实现稳定高效量子密钥分 发的核心技术，能实现全线路扰动完全免疫，适用于地埋光纤、架 分 发 层 量 子 密 钥 管 理 层 量 子 密 钥 应 用 层 隧道 隧道 隧道 密钥池 密钥池 密钥池 密钥池 密钥管理中心 设备管理中心 图 28 宁苏量子加密干线通信网络三层架构 量子密钥分发层由量子密钥分发终端（QKD）构成，负责协商 生成和分发量子密钥。项目采用问天量子研发的基于 F-M 相位编码 方案的诱骗态 BB84 QKD 设备，工作频率为 50MHz。在宁苏量子加 保持在 0.89%~2.06%左右的较低水平，安全密钥成码率处于 2kbps~13kbps 之间，确保量子密钥生成与分发过程稳定、高效、安全。 量子密钥管理层由设备管理中心和密钥管理中心构成，通过部 署量子密钥服务器（QKS）和量子密钥管控系统（QKM）进行量子 设备和密钥管理，实现端到端用户之间的量子密钥传输与中继。 量子密钥应用层由量子安全网关（QVPN）、应用客户端构成，

Symantec）安全产品线，专注安全领域；2011 年，成立安全能力中心，专攻研发安全 能力；2012 年，华为网络安全产品国内市场占有率第一；2015 年，云安全解决方案及 服务全面上线；2016 年，云安全全球化布局，密钥管理服务（KMS）和防 DDoS 攻 击服务（Anti-DDoS）在德国、西班牙上线；2017 年，推出 DDoS 高流量防护（高 防）、数据库防火墙等系列高增值安全服务；2018 年，推出专属加密服务（DHSM）。 SaaS 类各项云服务内部的安全以 及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚 拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据， 以及身份账号和密钥管理等方面的安全配置。 ⚫ 租户的安全责任细节由最终所使用的云服务来决定，具体到租户负责执行什么默 认和定制的安全配置。对于华为云的各项云服务，华为云只提供租户执行特定安 全任务所需的资源、功 项具体的数据安全配置，对其保密性、完整性、可用性以及数据访问的身份验证 和鉴权进行有效保障。在使用统一身份认证服务（IAM）和数据加密服务 （DEW）时，租户负责妥善保管其自行配置的服务登录账户、密码和密钥，并负 责执行密码密钥设定、更新和重设规则的业界优秀实践。租户负责设置个人账户 和多因子验证 (MFA)，规范使用安全传输协议与华为云资源通信，并且设置用户 活动日志记录用于监测和审计。 租户负责对其自行部

多 维度的技术差异化突破。双方不仅在技术层面展开激烈竞争，更在产业生 态与地缘战略中相互博弈，试图将量子优势转化为未来军事、安全与经济 领域的战略筹码。与此同时，量子安全领域正面临从单一的量子密钥分发 （QKD）、抗量子密码学（PQC）到二者融合的技术升级。同时，全球主 要经济体根据各自的战略定位与产业基础，也在探索多元并进的安全防护 模式；而在量子传感领域，针对于各物理量的测量均已实现了跨越式进化， 中国科学院大学对双场量子密钥分发的相位误码率采用了更精确的估计方法，有效降低了 误码率，从而提高了系统的安全性。 • 美国西北大学展示了在承载传统电信流量的光纤上实现量子隐形传态，实验在30.2公里的 光纤上进行，该光纤同时承载400-Gbps的C波段经典流量。 • 华东理工大学使模式匹配量子密钥分发方案适用于至长度、衰减不对称信道，显著降低非 对称信道对性能的影响。 量子密钥分发 • 美国 美国Apple公司宣布对其iMessage通讯平台进行升级，此次升级采用PQ3加密技术。 • 中电信量子搭建融合量子密钥分发的分布式密码系统架构，同时，构建起量子密钥分发、 抗量子密码与经典密码深度融合的新型密码体系。 抗量子加密 • 韩国SK电讯与KCS公司共同开发的量子密码芯片QKEV7，此芯片集量子随机数发生器与加 密通信功能于一体，有物理不可克隆等技术，且轻量、低功耗。 • 硅臻研

10 AMD SEV(-ES)/ CSV 1+2 / Intel SGX 2.0 / Intel TDX 1.0 OS 提供 TEE 有关的 Kubernetes 基础服务 (如集群规模的密钥分发和同步服务、集群远程证明服务等），使得 用户可以方便地将集群中多台 TEE 机器当作一个更强大的 TEE 来使用。 • 代码库：https://github.com/SOFAEnclave/KubeTEE 权限后攻击虚拟机，给虚拟机最终用户造成重大损失。 解决方案 CSV是海光自主研发的安全虚拟化技术，采用国密算法实现，CSV虚拟机在写内存数据时CPU硬件自动加密 ，读内存数据时硬件自动解密，每个CSV虚拟机使用不同的密钥。海光CPU内部使用ASID（Address Space ID） 区分不同的CSV虚拟机和主机，每个CSV虚拟机使用独立的Cache、TLB等CPU资源，实现CSV虚拟机、主机之间 的资源隔离。CS 与VM相比，TD额外增加了以下能力： • 提供了VM内存的机密性和完整性保护 • 地址转换完整性保护 • CPU状态机密性和完整性保护 • 对安全中断和异常的分发机制 • 远程证明 TDX技术综合了MKTME（多密钥全加密内存）与VMX虚拟化技术，再添加新的指令集、处理器模式和强制 实施的访问控制等设计。 16 17 Unmodified Applications Unmodified Drivers TDX-

品能力、防御策略等的有效性 运营挑战：安全运营事件层出不穷，如何持续提升运营效率？ 安全运营现状 误报事件 授权事件 情报事 件 主机安全事 件 SOC （威胁情报、漏洞情报） （密钥泄露、代码泄露等） （HIDS） （控制台操作） 良性 事件 泄露事件 恶意事件 （漏洞误报等） 误配置 （产品/系统/应用不当配置） 暴力破解 （暴力破解成功） 木马事件 （木马/病毒/webshell等） 识别能力 700+漏洞情报渠道 供应链挖掘渠道 移动应用发现平台 自动化渗透平台 多种DNS查询数据 代码仓库泄漏分析 HW PoC库 动静态数据 小程序风险库 0day漏洞库 密钥数据特征库 数万个 精准指纹库 数百个计算节点 4600+黑产渠道 话术剧本库 攻防情报联动 云鼎实验室 弱口令库 玄武实验室 行业研究团队 平台与资源支撑 战术经验与人员储备 暴露面发现（技术） 告警分析 情报源挖掘 策略调优 分析研判 情报加工 情报联动 运营流程 运营平台 运营团队 持续检测与防御 影响面分析平台 可编排发现引擎 PoC检测 供应链挖掘 云配置风险库 密钥数据特征库 话术剧本库 精准指纹库匹配 JS 特征库 DNS查询数据 外部影响面 内部影响面 PoC转化 巡检数据返回 分级处置 P0 SLA：<2h P1 SLA：<6h P2 SLA：<72h

算仍需长期攻关，行业领域应用探索持续深化，“杀手级”应用尚未 实现落地，产业生态培育稳步推进。 量子通信基于量子叠加态或纠缠效应，在经典通信辅助下实现 密钥分发以及信息传输，在理论协议层面具有可证明安全性。基于 量子密钥分发和量子随机数发生器等技术方案的量子保密通信系统 正初步进入实用化阶段，在新型协议研究和实验系统研制等方面持 续取得阶段性成果，样机产品研发和应用探索持续推进，推广大规 随着量子计算技术的不断进步和云平台功能的日益成熟，量子 计算云平台已成为用户访问量子计算资源、开展实验验证和应用探 索的重要辅助工具之一。 (二)量子通信 1.量子保密通信科研和前沿探索取得新成果 基于量子密钥分发（QKD）、量子随机数发生器（QRNG）等技 术方案的量子保密通信初步实现实用化。近年来在科研领域持续探 索新型协议，稳步提升样机技术水平，系统实验验证持续开展，前 沿探索取得诸多新成果。 5 公里光纤传输 中实现 1.09 Gbit/s 密钥成码率，为接入网提供可能的高速 QKD 解 决方案84。 QKD 前沿实践探索方面，研制并应用新型光纤、信道和器件是 重要的发展方向。2024 年，丹麦技术大学基于 52 公里现网 4 芯光 纤完成了四维混合时间路径编码 QKD 系统传输实验，可达到 51.5kbit/s 的密钥成码率，这类多芯光纤有望提升高维 QKD 系统传

Administration, and Maintenance 带内 OAM JCT job completion time 任务完成时间 KDF Key Derivation Function 密钥派生函数 MOD Mirror On Drop 丢包镜像 中兴通讯版权所有未经许可不得扩散 3 MTU Maximum Transmission Unit 最大传输单元 NCPC Network-coordinated 1）性能增强：通过优化加解密钥算法的应用，有效降低内存消耗、优化资源使用，并 减少对专用硬件的需求，从而降低整体实现成本。 2）安全功能增强：提供增强的加密和身份验证功能，确保加/解密密钥的安全性和不重 复使用，增加数据机密性及完整性保护，提供网络安全可用性。 3）支持规模扩展：提供安全密钥生成及维护可扩展性支持，降低安全处理对硬件资源 的需求，解决安全源依赖性，支持大规模安全密钥状态及维护。 在满足以上需求过程中可能面临如下挑战： 公共对称密钥来保护通信。安 全域内的源被分配唯一源标识符或源IP地址，每个安全域应分配一个在可达网络内唯一的安 全域标识。当一个安全源加入一个安全域时，安全域管理会向安全源分配一个安全标识和提 供安全参数。 2）安全域密钥库 安全域由数据包中携带的标识信息进行安全标识，而安全域标识可用于从安全域密钥库 查找安全域的上下文。安全域密钥库基于报文输入参数，进行密钥解析处理，获取密钥信息，

System，SecureDSC），如图 2-4-1 所示，该系统包括语义编码器/解码器、信道编码器/解码器，以及加密/解密模块与密钥处理 器。 图 2-4-1. SecureDSC 系统模型 其工作流程为：发送端 Alice 的消息 m，先经语义编码器提取出关键语义特征，接着借 助加密模块与密钥处理器进行加密，再经信道编码器转化为适应信道传输的信号格式后发送。 合法接收者 Bob 收到带有干扰和噪声的信 收到带有干扰和噪声的信号y�，依次通过信道解码器、解密模块、语义解码 器的顺序，精准重构消息。而窃听攻击者 Eve 虽然能截获信号y�，但由于缺少合法用户所共 享的密钥，只能用随机数 r 尝试重构，难以获得准确信息。通过对各模块的协同设计和引入 对抗训练机制，SecureDSC 最小化合法用户间语义差异的同时，降低攻击者重构准确性。 为评估 SecureDSC 的性能，实验测试合法用户 Bob 和窃听攻击者 Eve 为了确保语义通信系统更新的安全高效，我们设计了一种基于区块链的可信方案，其工 作流程如图 2-4-3 所示。该方案由三个实体参与：设备，它们相互进行语义通信，并相互交 互以持续训练和同步分布式语义通信系统。密钥生成中心，作为一个受信任的第三方，在网 络中起着至关重要的作用，负责网络初始化以及公私钥对的生成和分发，值得注意的是，由 于复杂物理环境导致的可用性问题，或者该中心有限的计算和通信能力，它无法直接组织交

效率和人工智能应用体验，促进数据价值高效释放。 内生安全：一是集成防APT攻击、防分光/镜像等技术，对非法流量秒级检出 并阻断，确保关键数据“不出域、不出境”。二是提供动态加密能力，支持端到端 IPsecv6升级、量子密钥等加密强化，匹配高速带宽资源，保障数据传输机密性。 三是强化设备可信认证，部署国产化安全设备，结合身份指纹识别与异常检测技 术，筑牢网络防线。 可控可视：一是基于数据水印、元标签、数网协同等技术，在网络边界建立敏 据分配低时 延路径，通过SRv6和网络切片技术提供确定性时延保障。大带宽路径为模型训练 数据集分配大带宽路径，通过SRv6多路径技术实现带宽资源动态扩展。针对核心 数据分配高可信路径，通过量子密钥分发技术保障传输过程不可窃听，结合设备内 生安全防护确保路径可信。 数据围栏防出域/出境策略可应用于边界智能阻断，将数据分类分级要求转化 为网络边界策略，实现“标识即管控”的闭环防护。首先基于APN-ID标识与数据分 障，触发 自愈程序快速恢复服务。 可信高速数据网研究报告 27 高安加密：多维度协同防护安全加密体系构建 高安加密的多维体系构建通过强化IPsecv6协议加密技术升级，推进量子密钥 加密应用及量子密钥分发技术攻关，创新Xsec组网加密技术应用，构建T级抗量子 防护能力，完善多层级差异化安全管控体系与跨域数据共享安全信任机制，全面支 撑数据节点间万兆级高吞吐、毫秒级低时延安全传输需求。

的多应用需求主要集中在身份认证与安全 eSIM 产业热点问题研究报告（2025 年） 24 登录、多应用集成、消息推送等方面。 基于 UICC 的身份认证与安全登录属于一种安全登录技术，它利 用 UICC 安全芯片及密钥存储能力，结合加密技术来进行用户身份验 证。通过运营商网络实现双向认证，支持无密码登录、二次验证以及 与生物识别相结合等多种方式，以应用于钱包等金融交易、办公登录、 电子签名等场景，满足数字化时代对安全性和便捷性的需求。 DP+或 SM-DS 平台下载，均可支持多应用的 Profile。每个 Profile（配 置文件）被安装在独立的安全域中，支持多种应用的加载和执行。 UICC 内置的安全芯片支持多种加密算法和密钥管理，可提供身 份认证的硬件安全保障，确保用户身份的真实性和可靠性。SM-DP+ 采用基于 PKI 的安全通道协议，保障双向认证过程的安全性。GSMA 的 SGP.21 等规范也明确了 eUICC 过程中对芯片进行定制化 编程或配置的过程。这种技术通常用于在生产阶段就需要写入唯一标 识信息（如序列号、密钥、配置参数等）的芯片。该个人化过程可在 晶圆测试阶段或封装前完成，避免了单颗芯片逐一处理的方式。其常 见应用包括安全芯片、物联网设备、加密芯片等，这些芯片需要在出 厂前写入唯一的身份信息或密钥。 eSIM 产业热点问题研究报告（2025 年） 28 （2）全球发展情况 随着电