银行业中的量子安全IPsec
具有密码学应用价值的量子计算机(CRQC)的出现对传统密码体系构成重大威胁,尤其是广泛采用的RSA、迪菲-赫尔曼(DH)和椭圆曲线密码(ECC)等协议。鉴于这些技术在金融领域的深度应用,量子计算攻击者的出现迫使银行机构必须前瞻性地开发并采用抗量子通信机制。本文提出一种通过软件定义网络(SDN)密钥分发协调的混合抗量子架构,该框架支持在动态多点虚拟专用网(DMVPN)环境中早期集成经典密码学(CC)、量子密钥分发(QKD)和后量子密码(PQC),为企业网络提供高度可扩展的全网状站点间加密通信——这一创新尤其适用于当前PQC算法尚未正式纳入IPsec标准的过渡期。该架构已在五节点测试平台上完成验证,包含马德里校园网内的三个物理节点,以及位于西班牙北部和墨西哥的两个私有云节点。部署过程中综合运用了物理与虚拟设备异构组网、多技术供应商方案、离散变量QKD(DV-QKD)与连续变量QKD(CV-QKD)实现,以及互不兼容的密钥交付接口(ETSI004、ETSI014和思科SKIP),证明了跨环境部署的灵活性、可扩展性和互操作性。通过本框架,该研究团队证实金融网络的抗量子通信不仅具备技术可行性,还具有可扩展、可互操作和弹性恢复等特性。所提出的架构为量子计算时代的安全金融通信奠定了强健、灵活且面向未来的基础。
