量子密码技术深度分析报告
量子密钥分发(QKD)与后量子密码(PQC)系统对比
─────────────────────────
作者:量子密码领域资深专家 | 版本:V1.0 | 2026年6月
机密· 仅供内部参考
目录
执行摘要
本报告从安全模型、技术实现、应用场景、标准化进展及互补策略七个维度,系统比较量子密钥分发(QKD)与后量子密码(PQC)两大技术路线,为政府、金融、电信及国防等关键基础设施领域的密码学升级提供决策参考。
随着量子计算机研发进入工程化阶段,现役公钥基础设施(PKI)面临前所未有的安全威胁。攻击者已开始实施「先存储后解密」(HNDL,Harvest Now, Decrypt Later)策略,将今日截获的密文存档,待量子计算机成熟后破解。应对此威胁,业界形成了两条平行演进路线:
●量子密钥分发(QKD):基于量子物理原理,实现信息论意义上的无条件安全密钥协商。
●后量子密码(PQC):基于经典计算困难问题,构建抵抗量子计算攻击的公钥算法,可在现有网络基础设施上直接部署。
二者并非替代关系,而是互补共生的安全层次。本报告建议采用「QKD + PQC」混合架构作为过渡期及长期战略。
一、定义与核心思想
1.1 量子密钥分发(QKD)
量子密钥分发是一种利用量子力学基本原理(叠加态、纠缠态、量子不可克隆定理、海森堡测不准原理)在合法通信双方之间安全协商随机密钥的技术。其安全性根植于物理定律,而非数学难题的计算复杂度。
核心原理
●量子不可克隆定理:任何试图复制未知量子态的操作都将不可避免地引入可检测的扰动,使窃听行为暴露。
●测量即扰动:量子比特一旦被测量,其状态即发生坍缩,合法方可通过QBER(量子误码率)统计检测窃听。
●信息论安全:结合一次性密码本(OTP),可实现香农定义下的完美保密(Perfect Secrecy),安全性与攻击者算力无关。
代表协议
●BB84协议(Bennett & Brassard,1984):最经典的准备-测量型QKD协议
●E91协议(Ekert,1991):基于量子纠缠的贝尔不等式检验
●MDI-QKD(测量设备无关QKD):消除探测器侧信道攻击
●CV-QKD(连续变量QKD):与经典光通信系统兼容性更好
●TF-QKD(孾场QKD):突破标准QKD传输距离限制
1.2 后量子密码(PQC)
后量子密码(也称抗量子密码)是指在经典计算机上运行、但能够抵御已知量子算法(Shor算法、Grover算法)攻击的密码算法体系。其安全性基于特定数学难题在量子计算机上仍被认为难以求解。
安全性基础
●格密码(Lattice-based):基于最短向量问题(SVP)、学习误差问题(LWE/RLWE),NIST标准算法主流方向。
●哈希函数密码(Hash-based):安全性仅依赖哈希函数单向性(SPHINCS+),保守估计最安全。
●编码密码(Code-based):基于随机线性码译码困难问题(McEliece,1978年提出,迨今未被量子算法显著加速)。
●多变量密码(Multivariate):基于多变量多项式方程组求解困难性。
关键区别:QKD的安全性是物理保证的(unconditional security),而PQC的安全性是计算假设下的条件安全(computational security)。前者永久成立,后者依赖「目前没有已知高效量子算法破解该数学问题」这一假设。
二、安全性模型
2.1 QKD安全性模型
理论基础
QKD的安全性证明属于可组合安全(Composable Security)框架,最严格的形式化理论为通用可组合框架(UC-Framework)或抽象密码学框架(Abstract Cryptography)。
●安全证明不依赖任何计算复杂度假设
●安全性以量子信息论为基础,窃听者Eve的信息量可被严格上界
●通过隐私放大(Privacy Amplification)与错误修正(Error Reconciliation)处理后,生成的密钥与Eve的量子系统统计独立
安全假设
●量子力学定律成立(标准量子力学框架下)
●合法双方持有完美的经典认证信道(对称密钥或PQC认证)
●设备实现满足协议规范(现实系统存在侧信道,需MDI/DI-QKD等手段缓解)
关于「先存储后解密」攻击的绝对优势
HNDL攻击(Harvest Now, Decrypt Later):攻击者今日截获密文,存储至量子计算机成熟时解密。QKD因密钥协商过程可被实时检测并废弃,天然免疫此类攻击——即便Eve存储了所有量子态的副本,也无法在事后推导出密钥,因为量子态坍缩且密钥已过期。
量子误码率(QBER)
BB84协议中,若QBER > 11%(理论阈值),则认为存在窃听风险,双方终止密钥协商。实际系统阈值视协议和信道噪声而定,通常设定更保守阈值(如3%-5%)。
2.2 PQC安全性模型
安全性基础
PQC算法的安全性基于特定数学难题的计算困难性,其严格程度按以下层次递进:
●可证明安全(Provable Security):安全性归约至标准困难假设(如LWE)
●启发式安全(Heuristic Security):基于密码分析实践,未见有效攻击
●标准化安全(Standardized Security):经NIST等机构多年公开征集与分析
局限性
●计算安全本质:一旦出现新的量子算法突破,历史加密数据将面临批量解密风险(对「先存储后解密」攻击无效)。
●参数迁移风险:安全级别依赖密钥长度和参数设置,需定期重新评估。
●算法实现安全:侧信道攻击(时序、功耗)是实现层面的重要威胁,需专用防护。
●数学后门风险:算法设计存在隐蔽后门的可能性,需广泛多轮密码分析(如SIKE/SIDH已被经典算法攻破)。
NIST安全级别
安全级别 | 对应经典等效安全强度 | 典型应用 |
Level 1 | AES-128 | 一般政务、商业通信 |
Level 3 | AES-192 | 金融、关键基础设施 |
Level 5 | AES-256 | 国防、量子威胁高风险场景 |
三、技术实现
3.1 QKD技术实现
硬件需求
●单光子源或弱相干脉冲光源(WCP)、真随机数发生器(TRNG)
●单光子探测器(SPAD/SNSPD),后者需液氦制冷(~4K),探测效率>90%
●高精度时钟同步系统(皮秒级)
●量子信道:标准SMF-28单模光纤或自由空间光链路(FSO/卫星)
●经典辅助信道:用于密钥蒸馏(纠错、隐私放大、认证)
密钥率与传输距离
实现方案 | 传输距离 | 密钥率 | 备注 |
标准BB84(光纤) | ≤100 km | ~100 kbps | 商用产品典型值 |
MDI-QKD | 200~300 km | ~1 kbps | 消除探测侧信道 |
TF-QKD | 500~1000 km | ~10 bps~1kbps | 打破PLOB界限 |
卫星QKD | >7000 km(星地) | ~kbps(过境窗口) | 覆盖洲际距离 |
量子中继(实验) | 理论无限 | 待突破 | 量子纠错+存储器 |
认证方式
●QKD协议本身需要经典认证信道,以防中间人攻击
●认证方式:预共享密钥(PSK)、PQC签名算法或两者组合
●认证消耗部分已生成的QKD密钥,构成闭环安全自举
组网与现有网络改造
●点对点链路:最成熟,可基于现有光纤基础设施(暗光纤或WDM波段内部署,需滤波隔离)。
●可信中继网络:在每个中继节点解密后重新加密,安全性依赖中继节点的物理安全。中国「京沪干线」采用此架构,总长2000公里,含32个可信中继节点。
●量子中继网络(未来):基于量子纠缠交换和量子存储器,实现端到端信息论安全,无需可信中继,技术尚未成熟。
●卫星组网:低轨卫星(LEO)作为可信中继,实现洲际QKD覆盖,中国已完成「墨子号」验证实验。
●与传统网络融合:QKD生成的密钥通过密钥管理系统(KMS)注入传统加密设备(IPSec、MACsec),无需改造整个骨干网。
3.2 PQC技术实现
NIST标准化算法(2024年正式发布)
算法 | 类型 | 数学基础 | 特性 |
CRYSTALS-Kyber (ML-KEM) | 密钥封装(KEM) | MLWE(模格) | 快速、密钥短、主要标准 |
CRYSTALS-Dilithium (ML-DSA) | 数字签名 | MLWE/MSIS | 高效,推荐首选签名 |
FALCON (FN-DSA) | 数字签名 | NTRU格 | 签名短,但实现复杂 |
SPHINCS+ (SLH-DSA) | 数字签名 | 哈希函数 | 保守安全,签名大,慢 |
硬件与部署需求
●纯软件实现:可运行于现有CPU/GPU,OpenSSL/BoringSSL已集成PQC算法
●嵌入式优化:ARM Cortex-M系列已有高度优化的Kyber/Dilithium实现,内存占用<10 KB
●硬件加速:专用NTT(数论变换)协处理器可将Kyber性能提升10倍以上
●TLS 1.3兼容:X25519Kyber768混合密钥交换已在Chrome/Firefox/Cloudflare部署
现有网络改造成本
●TLS/SSH/S/MIME等协议栈更新:仅需软件升级,无需硬件改造
●PKI证书体系:需引入PQC根CA并更新证书链(证书尺寸增加3-10倍)
●性能影响:Kyber握手延迟增加约2-5ms,Dilithium签名增加约1-3ms(实测)
●向后兼容:混合模式(Classic + PQC)可平滑过渡,不影响旧客户端
四、应用场景与局限性
4.1 QKD应用场景
最优场景
●高价值骨干链路:金融交易核心节点、政府/军事专网骨干段、数据中心互联(DCI)。
●数据中心互连:城域网范围(<80 km)内两点间高密钥率QKD,可达Mbps级别。
●长保密周期场景:外交电报、核武控制信令、情报通信,数据需保密50年以上。
●量子安全存储:对抗HNDL攻击的最优方案,密钥协商即时使用即时丢弃,无法被预存破解。
局限性
●距离限制:光纤衰减约0.2 dB/km,无中继单跨段一般不超过100~150 km,超远距离需可信中继或卫星。
●无法广域组网:不支持动态路由、多播、按需拨号等互联网基础能力,无法直接替代TLS/SSH等互联网安全协议。
●不支持身份认证:QKD仅解决密钥协商问题,不提供数字签名(身份认证、不可抵赖性),需与PKI/PQC结合。
●高成本:单套QKD设备成本数十万至数百万元人民币,专用光纤资源要求高。
●嵌入式设备不适用:单光子检测及量子光学系统无法集成至IoT传感器、智能卡、移动终端等受限设备。
●设备侧信道威胁:实际QKD设备存在探测器致盲攻击、时序侧信道等,MDI-QKD和DI-QKD可部分缓解。
4.2 PQC应用场景
最优场景
●互联网大规模部署:TLS 1.3、SSH、DNSSEC、VPN等协议的量子安全升级,覆盖全球数十亿终端。
●数字签名与PKI:代码签名、证书颁发、电子政务印章、区块链交易签名等场景不可或缺。
●嵌入式与IoT:工控系统、智能电表、车联网(V2X)、5G SIM卡等资源受限设备的量子安全保护。
●存量系统改造:软件更新即可完成迁移,成本极低,适合快速大规模推广。
局限性
●计算安全上限:理论上不排除未来发现高效量子算法。例如,SIKE/SIDH已被经典算法在数小时内破解,提醒我们密码算法评估需持续进行。
●对HNDL攻击脆弱:若今日使用PQC加密的数据被存储,而明日发现针对该算法的有效量子攻击,历史数据仍可被解密。
●证书体系迁移复杂度:PQC公钥/签名尺寸比RSA/ECC大5-50倍,对带宽受限场景造成显著开销。
五、标准化与商业化进展
5.1 PQC标准化进展
NIST后量子密码标准化(2016-2024)
●2016年,NIST启动后量子密码标准化项目,征集到69个候选算法
●2022年,遗选出4个进入标准化:Kyber、Dilithium、Falcon、SPHINCS+
●2024年8月,正式发布三项FIPS标准:FIPS 203(ML-KEM)、FIPS 204(ML-DSA)、FIPS 205(SLH-DSA)
●FIPS 206(FN-DSA/Falcon)预计2025年发布
●第二轮征集聚焦KEM备用方案(非格密码),含BIKE、HQC、Classic McEliece
国际及国内标准
●ISO/IEC 18033、ETSI QSC、IETF相关RFC已纳入PQC算法
●中国密码局:已将格密码算法纳入商用密码标准体系,SM系列算法评估量子安全性中
●欧盟:ENISA发布后量子迁移指南,BSI发布TR-02102量子安全建议
●美国NSA:2022年宣布CNSA 2.0,要求2030年前完成关键系统PQC迁移
5.2 QKD标准化进展
●ETSI ISG QKD:已发布多项QKD标准(GS QKD 005/006/007等)
●ITU-T SG13/SG17:发布Y.3800系列量子密钥分发网络标准框架
●IEEE P1913:量子通信术语与接口标准
●ISO/IEC JTC 1/SC 27:正在研究QKD安全评估标准
●中国:信通院、华为、国盾量子等主导多项国标和行标,京沪干线已运行7年以上
5.3 商业化进展
QKD商业化
●国内领军企业:国盾量子(科创板上市)、问天量子、中电信量子等
●国际:ID Quantique(瑞士,被韩国SK电信收购)、Toshiba欧洲实验室
●典型部署:中国量子通信京沪干线、合肥量子通信网络、雄安示范网、银行业专网
●价格:单套商用QKD设备约30-200万元人民币,向Mbps级密钥率演进
PQC商业化
●Google、Cloudflare已在部分TLS流量中默认启用X25519Kyber768混合握手
●苹果iMessage E2E加密已升级至PQC(PQ3协议,基于Kyber)
●AWS、Azure、GCP均已提供PQC密钥协商选项
●OpenSSL 3.x、BoringSSL、wolfSSL已集成NIST标准算法
●HSM厂商(Thales、Utimaco、nCipher)已推出支持PQC的硬件安全模块
六、互补关系及混合部署策略
6.1 互补关系分析
QKD与PQC并非竞争替代关系,而是在安全性层次、技术成熟度、部署条件上形成天然互补:
维度 | QKD优势 | PQC优势 |
安全性上限 | 信息论无条件安全,永久有效 | 计算安全,依赖数学假设成立 |
HNDL攻击防御 | 完全免疫,密钥不可追溯 | 弱防御(若算法被破则失效) |
部署范围 | 高价值点对点专用链路 | 任意网络环境,全球互联网 |
数字签名 | 不支持(需配合PQC) | 完整支持,PKI体系兼容 |
嵌入式设备 | 不适用 | 高度优化实现,适用IoT |
建设成本 | 高(专用设备+光纤) | 极低(软件更新) |
技术成熟度 | 骨干网可商用,设备端仍有挑战 | 标准已定,生态工具丰富 |
6.2 混合部署架构建议
核心原则:以PQC作为全网基础安全底座(覆盖认证、签名、广域加密),以QKD作为高安全级别场景的增强层(为最敏感的密钥材料和骨干链路提供物理级保护)。
层次一:PQC基础层(全面部署)
●立即推进TLS 1.3 + ML-KEM(Kyber)混合密钥交换,兼容过渡期
●证书体系迁移至ML-DSA(Dilithium)根CA及中间CA
●代码签名、固件更新、操作系统内核模块签名迁移至SLH-DSA
●VPN、IPSec、SSH协议全面升级PQC密钥交换套件
●嵌入式设备(IoT/V2X/工控)优先使用Kyber-512/768 + Dilithium2/3
层次二:QKD增强层(高价值场景选择性部署)
●金融核心节点:跨省数据中心互联部署QKD专线,实现OTP级加密保护极高价值交易信令。
●政务/国防骨干:依托现有光纤专网部署点对点QKD,密钥通过KMS下发至加密网关。
●卫星QKD:大使馆、海外驻外机构、跨洋通信节点采用低轨卫星QKD为可信中继提供密钥材料。
层次三:KMS统一管理层
●建立量子密钥管理系统(QKMS),统一管理QKD输出密钥与PQC衍生密钥
●实现密钥来源追踪、轮换策略、审计日志,满足合规要求
●接口标准:基于ETSI GS QKD 014(REST API)或IEC 62351(电力行业)
6.3 混合过渡期策略(2024-2030)
阶段 | 时间节点 | PQC动作 | QKD动作 |
准备期 | 2024-2025 | 盘点资产、算法能力评估、混合TLS测试 | 高价值场景需求调研与规划 |
部署期 | 2025-2027 | FIPS 203/204/205全面落地,PKI迁移 | 数据中心互联、骨干节点试点 |
完善期 | 2027-2030 | 淘汰RSA/ECC,纯PQC体系运行 | 扩展至城域QKD网络,KMS统一 |
成熟期 | 2030+ | 持续算法更新,监控量子计算威胁 | 量子中继网络(量子互联网雏形) |
七、总结对比表
以下表格从12个核心维度对QKD与PQC进行全面、权威的对比,供决策者快速参考。
对比维度 | 量子密钥分发(QKD) | 后量子密码(PQC) |
安全性类型 | 信息论安全(无条件安全)安全性=物理定律 | 计算安全(条件安全)安全性=数学困难假设 |
HNDL攻击防御 | 完全免疫:密钥协商后即消散,不可追溯 | 弱防御:若算法被破,历史密文可被解密 |
理论安全年限 | 永久(无需更换算法) | 有限期(依赖算法未被突破) |
硬件依赖 | 高:量子光学设备、单光子探测器 | 低:标准CPU/MCU,纯软件实现 |
传输距离 | 受限(光纤<150km/单跨,卫星可洲际) | 不受限(任意IP网络) |
组网能力 | 弱:专用点对点/星型/环型 | 强:兼容TCP/IP全栈,支持任意拓扑 |
数字签名支持 | 不支持(需外部认证机制) | 完整支持(ML-DSA/Falcon/SPHINCS+) |
嵌入式/IoT适用性 | 不适用 | 适用(优化实现<10KB内存) |
部署成本 | 极高(专用设备+暗光纤+运维) | 极低(软件更新,边际成本趋零) |
标准化成熟度 | 中(ETSI/ITU-T标准存在,商业部署有限) | 高(NIST FIPS 203/204/205 2024年正式发布) |
典型应用场景 | 政务专网骨干、金融DCI、长保密周期数据 | TLS/VPN/PKI/IoT/代码签名/全球互联网 |
互补角色 | 密钥协商物理层:为最敏感密钥提供物理保护 | 基础安全底座:覆盖认证、签名、广域加密全场景 |
八、结论与行动建议
8.1 核心结论
QKD与PQC不是「选哪个」的问题,而是「如何组合」的工程问题。二者的安全性来源根本不同:QKD依赖物理定律,PQC依赖数学困难性。在量子威胁真正成熟之前,以PQC快速建立广覆盖基线防御;在高价值、高敏感场景叠加QKD,是当前最优策略。
1. QKD在对抗「先存储后解密」攻击上具有结构性优势——今日协商的密钥即便被存储,也无法在未来被任何算力复现,这是任何计算安全系统无法提供的保证。
2. PQC凭借极低部署门槛、与现有互联网协议栈的完美兼容,以及对数字签名的原生支持,必须成为量子安全迁移的基础底座。
3. 任何单独依赖QKD或单独依赖PQC的战略均存在显著缺口,混合部署才能实现深度防御。
8.2 分级行动建议
即刻行动(0-12个月)
●完成全机构密码资产盘点,识别高风险RSA/ECC应用场景
●部署混合TLS 1.3(X25519 + ML-KEM768)保护互联网服务
●关键内部系统(VPN、零信任网关)启动PQC算法集成测试
●对高价值数据资产评估HNDL攻击风险,规划QKD保护优先级
近期目标(1-3年)
●完成内部PKI向PQC根CA的迁移,颁发PQC证书链
●核心数据中心互联(骨干链路)完成QKD部署并接入QKMS
●完成SSH、代码签名、固件更新通道的PQC升级
●建立量子安全合规检查框架,满足监管要求
中长期战略(3-7年)
●构建城域QKD骨干网,扩展至关键分支节点
●跟踪量子中继技术突破,评估QKD向量子互联网演进路径
●持续监控格密码分析进展,储备备用PQC算法(非格密码方向)
●参与国内外PQC与QKD标准制定,建立技术话语权
最终建议:以PQC为盾,以QKD为矛,构建「双轨量子安全」体系。在全面迁移完成之前,维持经典+后量子的混合运行,以零信任架构为粘合剂,实现安全、有序、可审计的量子安全升级。
结合部署、原理、场景、运维、安全等维度,分维度讲清PQC和QKD实际使用差异,同时附落地场景、选型建议,方便实操区分。
一、核心本质区别
1.QKD 量子密钥分发 属于物理层安全方案,依靠量子力学规则工作,必须专用量子硬件 + 量子信道,只负责点对点对称密钥协商,不做加密、签名、身份认证。
2.PQC 后量子密码 属于软件算法方案,仍是经典密码体系,只是数学难题抗量子计算,通用硬件即可运行,可完整替代 RSA/ECC,实现密钥交换、加密、数字签名、证书认证全能力。
二、实际使用全维度对比
1. 硬件与部署改造(最大实操差异)
QKD
·硬件:两端必须部署单光子发射机、探测器、量子专用光模块,设备昂贵。
·线路:需要独立量子光纤链路,不能和普通通信业务混传;长距离必须部署量子中继。
·组网:只能点对点 / 专线组网,无法直接适配互联网、广域路由、无线、移动端。
·改造:工程施工量大,要重新铺线、机房扩容、光路调试,部署周期长。
PQC
·硬件:复用现有服务器、终端、网关、手机、IoT 芯片,无需新增专用硬件。
·线路:完全兼容现有光纤、以太网、5G、公网、VPN 等所有网络。
·组网:适配现有 TCP/IP、TLS/SSL、IPSec、PKI 证书体系,全网通用。
·改造:纯软件升级(固件、系统、密码库、证书替换),几分钟 / 几小时完成单设备升级,可批量规模化部署。
2. 工作流程与使用方式
QKD
1.量子信道持续协商、更新对称随机密钥;
2.密钥通过经典信道同步给加密模块;
3.业务数据用该密钥做 ** 对称加密(如一次一密、AES)** 传输;
4.全程分两条信道:量子信道(传光子 / 密钥原料)+ 经典信道(传业务 + 基矢比对)。
·特点:只出密钥,不处理业务加密、签名、证书。
PQC
1.直接替换原有 RSA/ECC 算法,嵌入 TLS、VPN、加密机、证书系统;
2.可完成公钥密钥交换、数据加密、数字签名、身份验签、证书认证全套功能;
3.仅用一条普通业务信道,流程和传统密码完全一致。
·特点:一站式完成加密与认证,使用习惯和传统密码无区别。
3. 安全机制与运行表现
QKD
·安全依据:量子物理定律,信息论无条件安全,数学算力(包括量子计算机)无法破解。
·窃听检测:具备实时窃听告警,一旦有人窃取光子,量子态改变、误码飙升,系统自动丢弃当前密钥并报警。
·限制:光纤有固有损耗,单段传输距离有限(商用常规 100~200km),远距离依赖中继。
·密钥:持续动态生成新密钥,密钥新鲜度极高。
PQC
·安全依据:新型数学困难问题,属于计算安全;目前量子计算机无法破解,但未来若出现数学算法突破,存在理论风险。
·窃听检测:无主动窃听感知能力,和传统密码一样,只能靠算法本身抗破解,无法发现线路窃听。
·距离:无传输距离限制,和普通网络一样全球可达。
·密钥:密钥生命周期由策略配置,可长期使用、定期轮换。
4. 运维、成本与扩展性
QKD
·成本:设备 + 专线 + 运维成本极高,仅适合高预算单位。
·运维:光路、单光子器件对环境(温度、振动、损耗)敏感,运维难度大,需要专业量子通信运维人员。
·扩展:新增节点需要重新拉量子链路,组网灵活度差,不适合海量终端接入。
PQC
·成本:几乎零额外硬件成本,仅算法升级、证书更替成本,适合全民、全网普及。
·运维:沿用原有网络、密码、证书运维体系,运维人员无需学习量子技术。
·扩展:支持百万级、亿级终端(手机、电脑、物联网设备),弹性扩展能力强。
5. 功能边界
QKD
·擅长:点对点高密级专线的对称密钥供应。
·不擅长:身份认证、数字签名、公钥加密、移动终端、公网业务、复杂组网。
PQC
·擅长:全场景通用加密、签名、证书、密钥交换,覆盖互联网、移动端、云、IoT、金融公网业务。
·短板:不能主动发现线路窃听,安全依赖数学假设。
三、典型使用场景(落地怎么选)
场景 1:党政 / 军工 / 金融核心专线(高密级、固定点对点)
优先用 QKD 例:跨城政务机密专线、银行总行 - 分行核心交易链路、电力调度专网。 搭配:QKD 生成密钥 + AES / 一次一密 加密业务,物理级防窃听。
场景 2:互联网、移动端、云服务、普通企业、物联网(广域、海量终端)
优先用 PQC 例:网站 HTTPS、手机 APP、企业 VPN、云服务器、智能设备、电子证书。 做法:直接把系统里的 RSA/ECC 替换为 ML-KEM、ML-DSA 等 PQC 算法。
场景 3:大型混合网络(主流商用架构)
QKD + PQC 组合使用
·骨干高密专线:QKD 提供无条件安全密钥;
·公网接入、终端认证、签名:PQC 承接;
·全局随机熵源:搭配 QRNG 作为两者的密钥种子。
四、一句话快速区分(实操记忆)
1.要绝对安全、防窃听、固定专线、预算充足→ 选 QKD
2.要兼容老网络、海量终端、全网通用、低成本→ 选 PQC
3.QKD 是 **“密钥生产线”,PQC 是“全能加密工具”**。