2026量子计算网络安全

作者：绿盟科技傅戈日期：2026-06-05 10:08

前言

量子计算是21世纪最具颠覆性的技术变革之一。在量子计算迅速演进的当下，网络安全领域的范式正在发生革命性重构。一方面，量子计算的发展对网络安全领域带来了新的威胁；但一方面，量子计算技术在网络安全上的研究应用也为构建下一代安全防线提供了坚实的盾牌。本文针对量子计算给当前密码体系以及真实世界带来的威胁进行了阐述，对4个关键量子计算网络安全技术的发展进行了介绍和分析，并为企业机构提供了多个针对量子计算威胁的安全建议。本文中所引用的内容全部来源于互联网公开途径，在此仅作为资料的引入。本文内容仅代表作者个人的思考、见解与立场，所有观点均为作者基于自身认知、研究及经验形成的主观表达。文章的创作系作者个人行为，与任何机构、组织或官方主体无直接关联，其内容也不构成对任何机构、组织或官方立场的代言、背书或反映。

一、量子计算网络安全的一些背景知识

1.1 量子计算网络安全的部分术语

l PQC

PQC是后量子密码学（Post-Quantum Cryptography），它旨在用基于数学难题且能抵抗量子计算攻击的新算法取代当今脆弱的公钥算法，是当前保障量子时代信息安全的核心研究发展方向之一。

l QKD

QKD是量子密钥分发（Quantum Key Distribution），它是量子密码学最著名的应用。它允许双方生成共享的密钥，用于加密和解密消息，同时具备窃听者的攻击行为能被立即检测和发现的安全能力。

l QRNG

QRNG是量子随机数生成器（Quantum Random Number Generation），它利用量子现象固有的不可预测性，是量子密码学的另一种应用。该生成器对于创建真正随机的加密密钥非常重要。

l QDS

QDS是量子数字签名（Quantum Digital Signature）‌ ，它是量子密码学中基于量子力学原理实现的新型数字签名技术。它可抵御包括量子计算机在内的任何算力攻击并实现签名信息的不可伪造、不可篡改和不可否认三大核心安全特性。

l Q日

Q日指的是未来量子计算机变得足够强大，能够破解目前广泛使用的公钥密码算法（如RSA和ECC）的时刻。网络安全界对这个时间点的到来估计不一。它随量子计算算法和硬件发展的变化而变化，当下对RSA-2048的破解预估为未来10至15年。

l 物理量子比特

真实存在的物理硬件单元（超导电路、离子阱、中性原子等），是量子计算机硬件的最小组成部分。它直接在硬件层面执行基础量子门操作，承载原始量子信息，类似于经典计算机中CPU里的单个晶体管（真实硬件）。

l 逻辑量子比特

由多个物理量子比特通过量子纠错编码组合而成的抽象量子信息单元，为量子计算提供稳定可靠的信息处理单元，让实际复杂算法运行成为可能。它不是单个实体，类似于经典计算机中程序运行时用的布尔变量（抽象可靠的计算单元）。

（注：一台量子计算机中的物理量子比特数与逻辑量子比特数的比例并不固定，依赖于这台量子计算机所采取的技术路线，公开资料显示目前各国量子计算机中二者的比例最低为2：1，其余的大多数在几十比1或者更高的比例）

1.2量子计算的优缺点

l 量子计算的优点

1.速度：量子计算机在某些计算方面明显快于传统计算机，尤其是在因式分解、量子过程建模、密码破解时。

2.并行性：经典比特一次只能存0或1，由于量子比特的叠加态特性使得n个量子比特能同时存储2ⁿ种状态，使得量子计算机可同时并行处理大量计算，能更快地解决诸如新材料研发、药物分子模拟、AI训练等类型的问题。

3.大规模优化：与传统算法相比，量子算法因量子比特的叠加特性、量子隧穿效应等特性在解决复杂优化问题以及非线性问题时更快更准确。

l 量子计算的缺点

1.硬件：量子比特极其敏感，振动、温度波动、电磁干扰都会使其出错。开发一台大规模且稳定性可靠的量子计算机是一个重大工程难题。此外量子计算机工程造价巨高，对于商业的研究、推广和利用是一个不利因素。

2.软件：量子算法和软件的开发领域仍在发展中，不仅目前能用的成熟量子算法很少而且还缺少众多合格的专业人员。

3.噪声与错误：与传统计算机相比，量子计算机更容易出现噪声和故障，就目前而言需要成百上千个物理量子比特才能支撑数个有效量子比特运行，修复这些错误是一项艰巨的任务。

4.可扩展性和可替代性：现有的量子计算机仅具备部分可扩展性。此外，量子计算在诸如日常办公，上网、游戏娱乐这些通用场景没有优势，未来预测会和经典计算机长期共存。

二、量子计算带来的网络安全威胁

2.1 对密码体系带来的威胁

密码学是网络安全的核心，其历史可以追溯到人类的古文明时代。我们熟知的RSA，Diffie–Hellman（DH），椭圆曲线密码学（ECC），AES等各类对称和非对称算法共同构成了现代网络安全的基础。然而随着量子计算领域的研究和工程实践，强大的量子计算机将能够比传统经典计算机更快地解决某些数学问题。这将对密码学安全的根基造成了破坏，并对几乎所有依赖上述算法的数字系统造成严重的影响。

2.1.1 针对非对称算法的威胁

RSA算法是应用最广泛的非对称算法，其安全性基于‌大数质因数分解的数学难题。1994年美国数学家彼得·肖尔提出了肖尔算法（Shor算法），该算法用于解决传统计算机难以处理的‌大整数质因数分解‌和‌离散对数问题‌，为通过量子计算机破解RSA算法、ECC算法以及DH算法提供了理论依据。

图1：Shor算法和经典计算机对RSA及ECC进行破解的效率比对 [1]

针对RSA算法的攻击，在2012年时，科学家们估计破解RSA-2048需要十亿个物理量子比特。到2019年，该数量降至了2000万。而根据2025年3月谷歌公司研究员Craig Gidney在一篇论文（未经过同行评审）中提出分解2048位RSA整数的量子比特将低于一百万物理量子比特[2]。到2030年估计只需要7万个物理量子比特[3]。

图2：2025年3月谷歌公司研究员Craig Gidney刊发的论文

图3：随时间发展破解RSA-2048所需的物理量子比特数量[3]

2.1.2 针对对称算法的威胁

虽然非对称算法是量子算法主要的针对对象，但以AES为代表的对称算法也不是高枕无忧。目前学术界认为‌Grover算法是公认可对AES这类对称算法造成理论威胁的量子算法。该算法针对对称密码的密钥穷举过程，能将经典计算的时间复杂度从（K为密钥长度）降低到，其效果相当于将AES-256加密算法256位密钥的安全强度等效降低至AES-128加密算法128位密钥的安全强度。不过该算法攻击存在极高的工程门槛。尽管有研究表明通过优化量子电路的方式，利用Grover算法攻击AES-128/-192/-256所需的逻辑量子比特资源已降至264/328/392个逻辑量子比特[4]，但转换为所需的物理量子比特后，即便是目前全球最先进的商用量子计算机离所需资源的差距依旧巨大（第四章节对2026年中美先进的量子计算机有介绍）。

2024年10月我国上海大学的研究团队在《基于D-Wave优势的量子退火公钥密码攻击算法研究》论文中揭示了利用加拿大D-Wave 公司的量子计算机通过将对称加密破解问题转化为二进制优化问题，‌实现了对全轮Present、Gift-64和Rectangle三种SPN结构算法的完整密钥破解和恢复，而这些算法正是商用AES加密标准的基础架构。该研究表明“这是真正的量子计算机首次对当今使用的多个全规模SPN结构化算法构成实质性威胁。”虽然完整的AES-256算法还没被破解且本次研究受限于量子计算机硬件规模，但经此验证安全人士评估认为AES算法的安全性已进一步降低。

图4：我国上海大学的研究团队刊发的研究论文[5]

2.1.3 针对PQC算法的威胁

除了前面提到量子算法对与非对称和对称密码算法的威胁外，就算是最新的PQC标准算法也面临着新型量子算法的挑战。2024年4月，清华大学的陈一镭助理教授在密码学预印本平台eprint正式发表了题为《Quantum Algorithms for Lattice Problems》的预印论文[6]，在论文中他首次提出了能在多项式时间内求解LWE（容错学习问题）和等价格问题的量子算法‌，如果该算法通过验证，则该算法的意义将和Shor算法一样，成为一个新的量子算法突破，并将对美国NIST选定基于格密码学的PQC密码安全性产生质疑（NIST选中的5种密码算法里面Kyber、Dilithium和FALCON均是基于格密码（Lattice-based）的算法。）。遗憾的是，该算法被发现论文中算法的第九步存在一个无法修复的错误，使得该算法不成立。尽管本次研究表明基于格密码算法的抗量子加密算法仍具备安全性，但数学家们对新量子算法探索研究仍将继续。

2.2 对真实世界带来的威胁

2.2.1 解密存储数据（先收集，后解密）

当前互联网上超过90%的数据都是加密数据，通常情况下，攻击者即便拿到了加密数据也无法进行阅读。但攻击者可以将加密数据进行截留保存，等待量子计算机更为强大后将这些存档数据进行快速解密（国外将这种攻击称为HNDL攻击，Harvest now, decrypt later）。尽管不是所有留存的数据在未来仍具有价值，但那些依旧在保密期甚至是存在历史追溯需求的金融数据、医疗机构数据、企业商密数据、科研机构数据、政府和军方数据显然是存档数据中的金矿。这里需要注意，此攻击仅针对采用经典非对称算法（如RSA, ECC）的场景。即攻击者可以存储RSA加密后的密钥，未来用Shor算法破解RSA拿到密钥，解密历史密文。但如果采用量子密钥分发（QKD）后，该攻击方式则无效（3.2章节将对此进行解释）。

2.2.2 传统的安全通信方式将不再可靠

TLS，HTTPS，VPN等依赖传统公钥算法交换建立信任的安全通信方式将不再可靠。攻击者可利用量子计算机对流量进行解密后，拦截传输中的凭证并加以利用（冒充或者伪造），对安全通信的机密性和真实性造成破坏。

2.2.3 商业应用将遭受新的攻击

当量子计算机能破解并推导出私钥的时候，攻击者就可以伪造数字签名，这样就难以确认商业活动中供应商以及客户身份的真实性。例如很多区块链系统依赖ECC算法进行交易验证。攻击者可通过量子攻击伪造交易或复制加密货币，破坏区块链赖以生存的不可篡改性，这将威胁使用加密货币和任何基于分布式账本的企业和其商业系统。

2.2.4 部分关基系统将岌岌可危

在一些关基系统中，例如ICS系统，它们通常采用生命周期较长的软硬件系统。这意味着和它们相关的密码算法相对滞后，难以快速升级。如果PQC迁移滞后，量子攻击将严重威胁此类系统以及系统所处的相关行业领域。

2.2.5 一定程度上造成地缘政治失衡

最早开发并处于领先地位的国家将在情报获取、国家安全防御两个方面取得显著的优势，并对全球网络空间的权力格局和话语权进行加强或重塑。

三、量子计算网络安全技术的发展

量子技术已经不再是理论上的进步——这些技术早已在网络安全领域具有实际应用。随着网络威胁的发展，后量子密码学（PQC）、量子密钥分发器（QKD）、量子随机数生成器（QRNGs）和量子电子签名（QDS）可以保护网络和数据免受经典网络攻击及量子计算攻击。

3.1 后量子密码学（PQC）

针对量子计算对密码学的攻击，中美均开始了后量子算法的选择和标准化工作，旨在通过新的密码算法以抗衡日益强大的量子计算带来的威胁。在这方面，美国政府走得相对靠前。美国NIST（美国国家技术标准局）在2016年正式启动了后量子算法（PQC）的标准化项目，通过向全球机构和个人进行算法征求，测试和采纳颁布。下表展示了截至目前该项目的整体执行情况。

表1 ：NIST后量子密码算法的时间线情况

正如前面所说，由于NIST是向全球进行征集，因此在此过程中，很多国家的研究机构、高校以及公司均参与其中，以小组的国际合作方式为标准的形成做出了卓有成效的贡献，在这其中[7]，

CRYSTALS 协议是来自ARM有限公司、NXP半导体公司、IBM苏黎世研究公司、CWI阿姆斯特丹、MPI-SP、SRI国际、德国罗尔大学波鸿、加拿大滑铁卢大学、荷兰奈梅根大学以及里昂国家理工学院的十名研究人员开展的国际合作成果。

Falcon（猎鹰）由来自雷恩大学、布朗大学(美国)、苏黎世IBM研究公司、NCC集团、泰雷兹公司和OnBoard Security公司的十名科学家共同创立。

SPHINCS+由来自荷兰埃因霍温理工大学、美国芝加哥大学、德国鲁尔大学波鸿分校、中国科学院、比利时、奥地利格拉茨技术大学、哲纳姆公司、思科系统公司、谷歌、InfoSec Global、英飞凌技术、荷兰纳德邦大学奈伊梅根分校、荷兰国立理工学院、新加坡工业大学和Cloudflare公司的19名研究人员共同设计。

欧洲在抗量子密码领域没有独立推出自己的算法标准，但欧洲在NIST标准制定的整个过程中均深度参与，例如，欧洲在格密码（Lattice-based）领域长期开展研究并具备优势。荷兰CWI（数学与信息中心）的‌Léo Ducas‌就是NIST选定的主推算法 ‌CRYSTALS-Kyber‌（FIPS 203）和 ‌CRYSTALS-Dilithium‌（FIPS 204）的核心贡献者之一[8]。此外，法国INRIA、德国达姆施塔特工业大学（TU Darmstadt）等机构则主导了对Kyber、Dilithium等算法的侧信道攻击防护与参数优化研究，为标准落地提供关键支撑。

（注：NIST选定的PQC算法未来也将面临量子算法的威胁，2.1.3章节已有介绍）

我国PQC算法标准化方面的工作也在有序开展。2025年2月5日，国内商用密码标准研究院发布了《关于开展新一代商用密码算法征集活动的公告》向全球征集新一代公钥密码算法、密码杂凑算法、分组密码算法以应对量子计算威胁[9]。国家密码局在2025年6月6日发布了《国家密码管理局关于征集国家密码科学基金第二批项目指南建议的通知》，指南征集范围包括但不限于:面向量子计算的密码算法设计与分析、人工智能与密码融合技术、密态计算技术、分组密码算法分析技术与工具研制、密码杂凑算法分析技术与工具研制[10]。在2026年1月30日的第55号公告中发布了《国家密码科学基金第二批面上项目申报指南》和《国家密码科学基金第二批重点项目申报指南》，以国家基金的方式支持包括抗量子计算密码关键理论与技术，新型对称密码的设计与分析，基于量子物理原理的密码理论与技术在内的多类密码学前沿技术研究[11]。从申报指南看项目期为3年，由此推测3年后我国也将推出国家后量子密码学(PQC)标准。

3.2 量子密钥分发（QKD）

量子纠缠是一种现象，指两个或多个粒子相互连接，瞬间影响彼此的状态，无论它们之间的距离多远。这一特性被用于量子密钥分发（QKD）以确保密钥交换的安全。QKD是量子密码学最著名的应用。它允许双方生成共享的密钥，用于加密和解密消息。QKD允许发送方和接收方通过传统技术传输加密消息，并与使用量子比特形式光粒子的加密密钥配对。如果有人试图拦截加密密钥，量子态就会改变，量子比特会坍缩，误码率上升，通过检测可同时提醒发送方和接收方都意识到有入侵干扰。需要注意的是，QKD不能替代PQC，但它可以增强密码学防御纵深框架中的韧性，并支持需要长期保密的用例需求。

QKD从理论来看是目前人类已知唯一能实现“无条件安全“的密钥交换技术。根本原因在于QKD的安全性是由量子力学基本原理（不可克隆定理、测量坍缩效应）来保证，它不依赖于“数学难题无法快速破解”的假设，哪怕攻击者使用算力无限的量子计算机，也无法破解QKD分发的密钥。由于攻击者没法在不被发现的情况下拿到完整密钥，也没法存储密钥，因此前面提到的"先收集，后解密"的攻击方式对于QKD无效。

QKD目前还存在一些缺点并影响了其部署使用。

l 存在侧信道攻击漏洞

商用QKD的实际器件存在侧信道漏洞，因此需要对QKD进行额外防护才能达到理论安全等级。2024年德国的BSI公司通过研究数百篇论文梳理出了针对QKD系统的49种攻击路径[12]。下表是作者根据该报告统计出来的针对QKD的侧信道攻击方式（未含变体攻击）。需要说明的是，针对QKD侧信道攻击仍处于活跃研究阶段，未来一定还有新的攻击方式不断出现。

表2：针对QKD的侧信道攻击种类和形式

l 组网成本高

QKD需要独立的量子信道，不能直接复用现有的光纤网络。在实际应用中只能是建设独立的量子通信网络或对现有网络进行融合改造。独立的通信网络其建设成本远高于通信网。

l 传输距离受限

地面传统QKD光纤传输距离最多不超过500公里；即使是最新的双场QKD，传输距离也仅突破到1000公里量级，跨洋、洲际远距离传输还无法脱离可信中继，且可信中继本身也可能存在安全隐患。此外在中继领域还存在一些重大技术问题。例如解决光纤传输损耗提升纠缠光子接收，解决量子纠缠寿命短于产生量子纠缠所需时间等。

值得国人高兴的是，上述这些问题均已得到解决和重大突破。我国在2016年发射了人类第一颗量子卫星“墨子号”，“第一次在空间尺度上验证量子纠缠和密钥分发。它解决了地面光纤传输距离受限的难题，通过卫星作为中继，实现了洲际级别的量子通信。”[13] 到了2025年3月，我国量子微纳卫星实现12900公里洲际量子密钥分发，成本仅为“墨子号”的二十分之一。2026年我国中科大的科研团队解决了量子中继中的2个重大难题，实现了量子网络研究的重大突破。

图5：中科大可扩展量子中继的基本模块原理图。

（1）实验由长寿命囚禁离子量子储存器、高效率量子频率转换模块与高对比度单光子干涉模块组成。（2）纠缠建立速率为2.226赫兹，即等待时间约450毫秒。（3）纠缠寿命约550毫秒。该试验成功构建了可扩展量子中继的基本模块，使得远距离量子网络成为现实可能。[14]

图6：中科大百公里DI-QKD（器件无关量子密钥分发）实验示意图。

中科大团队在在11公里光纤链路中完成了基于有限数据量的安全性分析与严格证明，传输距离较以往最好结果提升约3000倍；在100公里光纤链路中演示了密钥生成的可行性。该试验的成功表明“即使量子器件完全不可信，只要通信双方能够建立起足够高品质的纠缠并验证无漏洞的贝尔不等式违背，就能严格保证密钥分发的安全而无需对器件参数进行精确标定。”[15]

3.3 量子随机数生成器（QRNGs）

在密码学中需要利用随机的盐值来生成随机且不可预测密钥。然而经典随机数生成器（比如计算机的伪随机数）是基于确定的算法或初始种子生成的，本质是可预测的伪随机数，只要拿到种子就能复现全部序列。因此需要利用量子力学的量子态测量、放射性衰变、光子分束等内禀随机性生成真随机数。目前可以通过光学探测噪声‌、纠缠光子、量子态测量以及量子真空涨落实现商用的QRNG。QRNG为密码学作提供了真正的熵，消除了密钥创建中的偏见和可预测性，实现了安全的多因素认证（MFA）和可信密码学密钥。QRNG是目前人类可获得的安全性最高的真随机数，即便是量子计算机也无法进行预测。

我国目前已实现了QRNG从器件到终端产品的全链路国产，商用的QRNG已在量子通信网络得到应用并稳定运行。以2026年4月发布的国产WT-QRNG300量子真随机数芯片为例，该WT-QRNG300是“由问天量子自主研发、拥有完整自主知识产权的量子随机数芯片，裸片尺寸仅1.3×1.7毫米，约为一粒小米大小。它采用基于量子隧穿效应的量子熵源，输出速率达每秒20兆比特，经LGA8工艺封装后整体尺寸约5.8×5毫米，兼具体积小、功耗低、性能强三大优势”。[16]

3.4 量子数字签名（QDS）

量子数字签名（Quantum Digital Signature, QDS）是依托量子力学基本原理构建的新型密码学技术。它不像经典数字签名依赖于大数分解、离散对数的数学理论，而是将安全性建立在‌量子不可克隆定理、量子测不准原理以及量子态坍缩‌之上，因此具备信息论安全，即使攻击者拥有无限计算资源（包括未来成熟的量子计算机）也无法伪造或篡改签名信息。理论上，QDS可替代现有的经典数字签名，但目前QDS的发展面临着以下几个严重瓶颈：

l 签名速率极低，当前实验室仅能提供每秒几次至几十次的签名服务，与诸如传统数字签名ECDSA专用加速卡数万次/秒的性能相比相差3-4个数量级，难以满足互联网应用需求。

l 不能复用现有通信网络，需要专门的量子信道/设备，组网复杂且成本高。

l 通信距离受限，与QKD一样，QDS也受到信道损耗影响，超过一定距离后后光子损耗呈指数级上升，有效签名速率趋近于零，需要中继。

由于以上瓶颈问题，短期内的解决方式是用PQC（可提供数字签名）替换经典数字签名。从QDS的发展现状来看，QDS与PQC将长期共存。估计在5-10年的时间窗口中QDS可能仅存在小规模应用，大规模替换和应用可能将在10+年以后。

3.5 PQC和QKD的比较

表3：量子计算网络安全技术的对比

从上表可以看到PQC和QKD是两种不同的量子计算网络安全技术，且二者是一种互补关系而非替代关系。前面已介绍PQC本质上还是基于复杂数学问题构建算法，通过提升算法的破解难度来抗衡量子算法和量子算力发展的威胁。它的优点在于可以在现有经典计算机硬件上直接运行，无需替换现有网络基础设施，具备极强的可扩展性和兼容性，是成本更低、落地难度更小的选择，能快速实现对现有系统的量子安全升级。缺点也十分明显，理论上仍然存在对PQC算法的破解，如果未来破解的可能性和概率提升到难以接受的情况，势必需要开展新一轮的算法替代和系统升级。

而QKD基于量子物理原理，完全不依赖于数学算法，能实现信息论层面的无条件安全，优势显而易见。但缺点也十分明显，无认证机制，不能提供数字签名等认证功能，需要结合QDS（量子数字签名）或PQC来实现数字签名功能。此外成本高昂也是一个当下显著的缺点。

中美两国政府在对待量子安全走了不同的优先发展路线。美国政府主要走PQC的路线。美国国家安全局（NSA）认为技术和硬件限制会降低QKD系统的实际安全性，因此美国政府将重点放在后量子密码学（PQC）算法中用于通信和数据保护，而非QKD [18]。我国则选择优先QKD的发展。截至2026年5月，我国已经建成总长超过12000公里的量子保密通信骨干网，覆盖京津冀、长三角、粤港澳大湾区等17个省市的80多座城市。这是目前全球规模最大、覆盖最广的运营级量子通信网络。到2030年，我国将建成由20颗量子卫星组成的“量子星座”，实现全球范围内的全天候量子密钥分发[19]。整体而言，在PQC领域，美国走在我国前面，而在QKD领域，我国目前在组网规模与商用落地、卫星自由空间QKD，长距离光纤传输、商用器件国产化方面均领先于欧美。

四、企业机构应对量子计算威胁的网络安全建议

尽管前面提到了量子计算对于各类密码算法的攻击，但显而易见可以看到的情况是攻击实现的可能性除了量子算法外还与量子计算机的性能高度关联。在2026年已实现并部署使用的量子计算机中，IBM的Condor处理器为433物理量子比特，谷歌的Willow系统为1000物理量子比特，而Atom Computing的1225物理量子比特中性原子机则是市面上拥有最多物理量子比特数量的量子计算机[20]。2026年5月我国‌本源悟空-180上线并对全球开放，该机拥有单芯片集成‌180个计算用物理量子比特‌，搭配251个耦合量子比特[21]。在实验室原型机中，美国加州理工学院2025年的最新成果实现了‌6100个物理量子比特‌的中性原子阵列[22]。我国的九章四号光量子计算原型机（2026年5月15日发布）首次实现‌3050个光子（物理量子比特）‌的操纵和探测。

图7：九章四号原型机示意图 -“九章四号”被应用于高效求解高斯玻色采样任务，其计算速度相比当前全球最快的超级计算机El Capitan快倍（即量子优势比为）[23]

以上这些量子计算机与理论上破解RSA-2048算法的量子计算机要求还有较大的差距。但历史表明，算法和硬件的进步速度往往比最初预期更快，因此作为企业机构的管理者应该注意以下几点：

l 不要轻视量子威胁的变化

量子计算的发展与以前个人PC和手机的发展一样，随着AI的加入，无论是理论研究又或是硬件的进步都将越来越快。需要走出现有的舒适区，接受未来一定会发生的变化，这种“还需要更多的量子比特”的等待时间不会持续太久。

l 关注量子计算的进展（包括硬件和软件）

量子算法和硬件的发展将从两端压缩整个PQC过渡以及Q日来临的时间。建议企业管理者定期咨询了解二者的研究发展进度以及商业落地应用状况，并将这些变化纳入到现行的安全风险评估中。

l 探索和加快QKD应用

在我国的PQC标准出来之前，鉴于我国已建立QKD量子保密通信骨干网且已经有金融、电力、政务领域的大量用户接入使用。因此有条件的国内企业可以根据自身企业的定位以及商业活动的安全必要性来综合评判是否探索和加快QKD的应用，将其作为提升对抗量子计算威胁的手段。

l 及早规划PQC的过渡

国内企业需要提前规划向PQC的迁移过渡。应关注我国的PQC算法标准，在算法标准颁布后即可根据规划逐步将现有密码体系迁移到PQC算法体系。

l 优化数据安全策略

企业需要准确识别内部需要以5年，10年或更长时间存储的数据，这类数据包括但不限于金融交易数据、知识产权、医疗数据、机密档案等。对于这类数据需要优先考虑迁移至PQC标准或QKD体系亦或二者融合的多层防御体系。其它数据则审查归档制度要求缩短存储时间或直接进行删除。

五、结束语

经过众多科学家和工程师的努力，人类已叩开量子科学的大门并迈入了量子计算的时代。量子计算的出现和应用将极大的提升人类社会现有的网络安全防御体系并保持相当长的一段时间（或许超越百年）。不过正如英国作家查尔斯·狄更斯所说那样，“It was the best of times, it was the worst of times”，（这是最好的时代，这是最坏的时代），量子计算带来的安全威胁对现有的网络安全维护机制和维护者而言却是一个不愉快甚至痛苦的事情，经典的网络安全体系从密码学到基础设施都需要重新构筑。虽然量子计算安全的路途漫长，但是好消息是我们已经取得了一些成果，相信不久的将来，在网络安全领域的通信传输、数据保护、安全认证方面我们将会迎来一个真正意义上的信息论安全时代。