应对量子威胁：SIM体系抗量子密码迁移白皮书

应对量子威胁：SIM体系 抗量子密码迁移白皮书 （2025年） 发布单位：中移智库 牵头编制单位：中国移动通信研究院 前言 当今世界正加速步入量子计算时代。量子计算机的超强算力在破解传统公钥密码体系时展现出的颠覆性潜力，引发全球信息安全领域的深度关切。作为移动通信与数字身份认证的核心载体，SIM卡承载着数十亿用户的网络接入安全与物联网设备的可信连接，构建起覆盖基础通信、安全支付、智能设备交互的多场景安全生态。然而，量子计算对传统密码体系的颠覆性冲击，使得SIM体系的安全机制同样面临失效风险。一旦量子计算机突破技术临界点，现有SIM卡依赖的加密算法将形同虚设，登网鉴权、身份认证、乃至金融交易等核心场景的安全根基将被动摇。 向抗量子密码迁移绝非简单的算法替换，而是一场涉及协议重构、硬件升级、生态协同的系统性革命。基于格、哈希、编码等技术的新兴抗量子算法，虽已在理论层面展现抵御量子攻击的能力，但其与SIM体系的融合却面临多重挑战：算法性能需适配SIM卡有限的计算资源，密钥管理机制需满足海量设备高效协同需求，业务迁移更需平衡成本、安全与业务连续性。值得警惕的是，国际量子计算竞赛已催生“先收集，后破译”的安全隐患，部分国家提前收集加密数据包，进一步加剧了迁移的紧迫性。 本白皮书以“SIM体系向抗量子密码迁移”为核心议题，系统分析SIM体系向抗量子密码迁移涉及的业务系统与路径选择。与通用性的抗量子密码迁移指南不同，本文聚焦SIM体系的独特架构与多场景应用特征，深入探讨SIM在通信领域与信息领域的核心作用，揭示量子威胁对SIM体系安全边界的潜在冲击。本白皮书提出基于SIM体系的总体迁移路线，旨在为行业提供兼具前瞻性与实操性的可参考解决方案。 期待通过这份白皮书能为运营商、SIM芯片制造商、卡商、业务合作方、研究机构及行业监管部门搭建共识平台，共同应对量子时代的安全挑战，守护数字世界的信任基石。在技术变革与风险博弈的交汇点上，唯有未雨绸缪的洞察与协同创新的实践，方能铸就面向未来的安全防线。 编制说明 本白皮书的编制过程中，得到了产业链众多企业的大力支持，为白皮书的编写提供了有力支撑。本白皮书由中国移动通信研究院牵头，联合兴唐通信科技有限公司，东信和平科技股份有限公司，中移互联网有限公司，北京华弘集成电路设计有限责任公司，北京中电华大电子设计有限责任公司等单位共同编写完成。 本白皮书的版权归中国移动所有，未经授权，任何单位或个人不得复制或拷贝本文档之部分或全部内容。 目录 1概述1 1.1量子计算发展现状及威胁1 1.1.1对传统公钥密码的威胁1 1.1.2对传统对称密码的威胁2 1.2抗量子算法发展现状2 1.2.1国际抗量子密码标准化情况2 1.2.2国内抗量子密码征集情况3 2量子计算下的SIM体系风险分析4 2.1SIM体系介绍4 2.2SIM体系重要性分析4 2.3量子计算对SIM体系影响5 2.3.1电信领域的威胁6 2.3.2非电信领域的威胁6 3SIM体系抗量子密码迁移原则和路径7 3.1迁移目标及原则7 3.1.1迁移目标7 3.1.2迁移遵循的原则8 3.2迁移路径9 3.2.1现有业务系统量子脆弱性评估9 3.2.2SIM抗量子算法选择要求15 3.2.3SIM体系向抗量子迁移策略16 3.2.4性能测试与优化19 4SIM体系抗量子密码迁移的实施挑战19 4.1硬件技术成熟度19 4.2标准化成熟度19 4.3性能与效率20 4.4兼容性与互操作性21 5展望21 缩略语列表23 参考文献25 1概述 1.1量子计算发展现状及威胁 量子计算基于量子叠加与纠缠特性，已在理论层面展现出对个别经典计算问题求解的指数级加速潜力。当前处于“嘈杂中等规模量子（NISQ）时代”，主流量子计算机已实现千位级物理量子比特规模，但容错能力有限，需依赖量子纠错技术提升综合计算能力。全球技术路线呈现多元化竞争格局，包括超导（谷歌Willow、IBM-Heron、中科大“祖冲之”系列）、离子阱（IonQ）、光量子（中国科大“九章”系列、加拿大Xanadu）及拓扑（微软Majorana1）等，各类技术路线各有优劣，技术路线尚未收敛。国内加速研发，近期推出超导“祖冲之三号”与光量子计算机“九章三号”，并推动金融、制药等领域的应用探索。尽管工业级通用量子计算机仍需10-20年，但量子计算即服务（QCaaS）的普及已推动技术验证与行业场景落地。 1.1.1对传统公钥密码的威胁 量子计算对公钥密码体系的颠覆性威胁源于量子算法设计的独特性。其中Shor算法通过量子并行性与量子傅里叶变换的协同作用，将经典计算中难以解决的大整数分解（RSA基础）和离散对数求解（ECC基础）转化为多项式时间内可解问题。2022年1月，公开研究指出使用配备量子存储器的量子计算系统，破译RSA2048所需物理比特数可以从2000万级别降低为1.3万个[8]。若以量子比特规模年均翻倍的增速推算，2030年前后可能具备实际攻击能力。更值得警惕的是，椭圆曲线密码（ECC）的脆弱性同样显著——研究表明，破译ECC384所需量子比特数低于RSA2048，破译ECC512所需量子比特数略高于RSA2048，因此ECC密码也有同样的破译风险。这意味着当前广泛用于移动设备、区块链和数字证书的ECC体系将首当其冲面临冲击。 更严峻的是，攻击者可实施“先收集，后破译”的长期数据威胁：当前截获的重要加密通信数据即使暂时无法破解，也可存储至量子计算机成熟后回溯解密。 1.1.2对传统对称密码的威胁 量子计算对对称密码体系的威胁主要体现为Grover算法对暴力搜索的加速效应。该算法通过量子叠加态并行遍历所有可能密钥，实现了对经典算法的平方加速，将经典计算中使用n比特密钥的对称密码算法的安全性从经典计算的O2n降为量子计算的O(2n/2)。尽管Grover算法对密钥搜索的加速效应目前实现难度较高，但通过加倍密钥长度提升安全性是对称算法应对量子威胁最为稳妥的选择[30]。更值得关注的是，量子加速可能催生混合攻击模式——如结合Grover算法与中间人攻击（MITM），可高效破解TLS协议中的会话密钥，或针对哈希函数（如SHA-256）实施原像搜索，威胁数字签名与数据完整性。 虽然对称密码的量子风险弱于公钥体系，但对称密码在通信网络鉴权、数据云存储等高安全需求场景的广泛使用，仍要求行业提前布局密钥扩展与算法升级。 1.2抗量子算法发展现状 抗量子算法是一类能够抵御量子计算机攻击的密码技术，其目标是在量子计算环境下仍能确保信息传输的机密性与完整性。全球推动抗量子算法应用源于两大挑战：一方面，量子计算机结合Shor和Grover等量子算法将快速破解传统密码体系，当前加密数据面临“先收集，后破译”的长期风险；另一方面，通信、金融、政务等领域对数据安全的持续高需求，迫使密码体系必须提前升级。为尽快降低量子计算机对敏感加密数据的威胁，各国加速推进抗量子密码迁移计划，以美国[12]、英国[14]为代表的多个国家要求2035年前完成政府部门及重点行业的密码系统升级。NIST、ISO、IETF等全球标准化组织以及国内相关部门正加速推动抗量子算法落地。这种跨代际的安全博弈，正在重构数字信任的底层逻辑。 1.2.1国际抗量子密码标准化情况 NIST于2016年率先启动抗量子密码算法征集，经三轮筛选，2024年8月发布三项核心标准：基于模格的密钥封装方案FIPS203[9]（ML-KEM）、数字签 名方案FIPS204[10（]ML-DSA）及基于无状态哈希的数字签名方案FIPS205[11] （SLH-DSA），另预留基于格的Falcon数字签名方案待后续进行正式标准化。2025年3月，NIST将基于编码的HQC算法作为第二种正式标准化的密钥封装方案[13]，预计将在两年内发布标准文稿。这五种算法基于三类不同算法机制，覆盖密钥封装与数字签名场景，构建基础抗量子算法体系。 ISO/IEC专注于加密、密钥协商、数字签名算法方面标准规范的制定。目前正在进行14888-4“有状态的基于杂凑的签名机制”规范[15]的开发；启动PWI19541项目[16]，将向18033-2AMD2中增加FrodoKEM、ClassicMcEliece和Crystals-Kyber算法。 IETF多个工作组正推动密码协议纳入PQC算法：TLS工作组发布RFC8773[17]，使用预共享密钥和TLS1.3结合的方式抵抗“先收集，后破译”的潜在量子计算威胁；LAMPS工作组建议在加密消息语法（CMS）规范及证书标准规范（X.509）中支持Kyber、Dilithium、SPHINCS+算法；IPSECME工作组发布RFC8784[18]及RFC9242[19]实现IKEv2量子安全扩展。 其他方面，IEEE2022年发布P3172[21]研究经典与PQC算法融合机制；ITU-T推出X.1811[20]定义5G抗量子安全框架；ETSI通过TCCyberWG-QSC工作组持续发布量子安全技术报告。 1.2.2国内抗量子密码征集情况 2018年6月，中国密码协会发起全国密码算法设计竞赛，重点征集抗量子密码领域的数字签名、公钥加密及密钥协商方案。赛事最终遴选出14项优胜成果，其中Aigis-sig、LAC.PKE和Aigis-enc分获一等奖，LAC.KEX等算法获二、三等奖。获奖方案涵盖公钥加密、数字签名、密钥交换三大类，并包含基于编码问题的加密算法Piglet1和基于同源的密钥协商协议SIAKE等特色方案。此次竞赛为我国密码技术体系储备了前沿的抗量子密码能力，推动国产密码算法在数字安全领域的创新突破。 2025年2月，商用密码标准研究院发布《关于开展新一代商用密码征集活动的公告》[22]，宣布将面向全球陆续开展新一代公钥密码、杂凑算法及分组密 码算法的征集活动。首批发布了抗量子公钥密码算法及杂凑算法的提交要求和评估准则正在面向公众征集意见。 2量子计算下的SIM体系风险分析 2.1SIM体系介绍 SIM体系(SubscriberIdentityModuleSystem)架构如图2-1所示，是由终端侧的用户身份模块（SIM卡）、电信领域、及非电信领域协同构成的端到端安全架构，主要为移动蜂窝网络提供可信身份认证和数据加密、认证等服务。SIM体系中包括的SIM卡、电信域、非电信域的含义及范围如下： ●SIM卡：用户的身份载体，包括传统可插拔SIM卡和嵌入式eSIM等形态，内嵌安全芯片存储国际移动用户识别码（IMSI）、鉴权密钥及卡应用。 ●电信域：以卡为核心的传统通信服务，包括通信鉴权（包含接入网+核心网）、运营支撑管理、GAA认证框架，负责网络接入鉴权和SIM通信业务的运营支撑等功能。 ●非电信域：以卡为核心的业务生态体系，涵盖卡基础能力业务和基于卡能力的衍生业务（包含自有和第三方SIM业务）。前者负责SIM卡空间、卡应用及操作系统的管理，后者负责实现卡能力开放与认证服务。 图2-1SIM体系整体架构 2.2SIM体系重要性分析 在数字化浪潮席卷全球的今天，SIM卡已超越传统通信载体范畴，演进为支 撑现代社会的双重基石——既是万物互联时代人与物的基础身份标识，也是数字空间可信交互的重要凭证。这种对数字社会基础标识与安全服务的双重赋能，使得SIM卡深度参与基础通信、公共服务、金融交易等体系的构建，并逐渐成为维系现代通信网络与民生保障体系稳定运行的关键基础设施。 首先，SIM卡作为码号的物理载体，承载的IMSI、MSISDN等标识已成为数字社会的核心公共资源。在通信网络中，码号不仅是用户身份的唯一凭证，更通过与电信域各系统（如核心网、基站）的协同，实现了全球数十亿移动设备的精准寻址与接入管理。随着物联网发展，码号进一步延伸为智能设备的“数字身份证”，例如车联网中的车载终端、工业物联网中的传感器，均需通过SIM卡的码号体系实现设备身份注册与网络连接，确保人与物、物与物之间的可