應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）前言編制說明中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）1概述 11.1量子計(jì)算發(fā)展現(xiàn)狀及威脅 11.1.1對(duì)傳統(tǒng)公鑰密碼的威脅 11.1.2對(duì)傳統(tǒng)對(duì)稱密碼的威脅 21.2抗量子算法發(fā)展現(xiàn)狀 21.2.1國際抗量子密碼標(biāo)準(zhǔn)化情況 21.2.2國內(nèi)抗量子密碼征集情況 32量子計(jì)算下的SIM體系風(fēng)險(xiǎn)分析 42.1SIM體系介紹 42.2SIM體系重要性分析 42.3量子計(jì)算對(duì)SIM體系影響 52.3.1電信領(lǐng)域的威脅 62.3.2非電信領(lǐng)域的威脅 63SIM體系抗量子密碼遷移原則和路徑 73.1遷移目標(biāo)及原則 73.1.1遷移目標(biāo) 73.1.2遷移遵循的原則 83.2遷移路徑 93.2.1現(xiàn)有業(yè)務(wù)系統(tǒng)量子脆弱性評(píng)估 93.2.2SIM抗量子算法選擇要求 153.2.3SIM體系向抗量子遷移策略 163.2.4性能測(cè)試與優(yōu)化 194SIM體系抗量子密碼遷移的實(shí)施挑戰(zhàn) 194.1硬件技術(shù)成熟度 194.2標(biāo)準(zhǔn)化成熟度 194.3性能與效率 204.4兼容性與互操作性 215展望 21縮略語列表 23參考文獻(xiàn) 25中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）11概述1.1量子計(jì)算發(fā)展現(xiàn)狀及威脅技術(shù)提升綜合計(jì)算能力。全球技術(shù)路線呈現(xiàn)多元化競(jìng)爭格局，包括超導(dǎo)（谷歌Willow、IBM-Heron、中科大“祖沖之”系列）、離子阱（IonQ）、光量子（中國科大“九章”系列、加拿大Xanadu）及拓?fù)洌ㄎ④汳ajorana1）等，各類技號(hào)”與光量子計(jì)算機(jī)“九章三號(hào)”，并推動(dòng)金融、制藥等領(lǐng)域的應(yīng)用探索。盡管工業(yè)級(jí)通用量子計(jì)算機(jī)仍需10-20年，但量子計(jì)算即服務(wù)（QCaaS）的普及已推1.1.1對(duì)傳統(tǒng)公鑰密碼的威脅量子計(jì)算對(duì)公鑰密碼體系的顛覆性威脅源于量子算法設(shè)計(jì)的獨(dú)特性。其中Shor算法通過量子并行性與量子傅里葉變換的協(xié)同作用，將經(jīng)典計(jì)算中難以解可解問題。2022年1月，公開研究指出使用配備量子存儲(chǔ)器的量子計(jì)算系統(tǒng)，破譯RSA2048所需物理比特?cái)?shù)可以從2000萬級(jí)別降低為1.3萬個(gè)[8]。若以量子比特規(guī)模年均翻倍的增速推算，2030年前后可能具備實(shí)際攻擊能力。更值得警RSA2048，因此ECC密碼也有同樣的破譯風(fēng)險(xiǎn)。這意味著當(dāng)前廣泛用于移動(dòng)設(shè)21.1.2對(duì)傳統(tǒng)對(duì)稱密碼的威脅量子計(jì)算對(duì)對(duì)稱密碼體系的威脅主要體現(xiàn)為Grover算法對(duì)暴力搜索的加速加速，將經(jīng)典計(jì)算中使用n比特密鑰的對(duì)稱密碼算法的安全性從經(jīng)典計(jì)算的O(2n)降為量子計(jì)算的O(2n/2)。盡管Grover算法對(duì)密鑰搜索的加速效應(yīng)目前妥的選擇[30]。更值得關(guān)注的是，量子加速可能催生混合攻擊模式——如結(jié)合對(duì)哈希函數(shù)（如SHA-256）實(shí)施原像搜索，威脅數(shù)字簽名與數(shù)據(jù)完整性。1.2抗量子算法發(fā)展現(xiàn)狀大挑戰(zhàn)：一方面，量子計(jì)算機(jī)結(jié)合Shor和Grover等量子算法將快速破解傳統(tǒng)密快降低量子計(jì)算機(jī)對(duì)敏感加密數(shù)據(jù)的威脅，各以美國[12]、英國[14]為代表的多個(gè)國家要求2035年前完成政府部門及重點(diǎn)行業(yè)的密碼系統(tǒng)升級(jí)。NIST、ISO、IETF等全球標(biāo)準(zhǔn)化組織以及國內(nèi)相關(guān)部門正加1.2.1國際抗量子密碼標(biāo)準(zhǔn)化情況NIST于2016年率先啟動(dòng)抗量子密碼算法征集，經(jīng)三輪篩選，2024年8月發(fā)布三項(xiàng)核心標(biāo)準(zhǔn)：基于模格的密鑰封裝方案FIPS203[9]（ML-KEM）、數(shù)字簽名方案FIPS204[10]（ML-DSA）及基于無狀態(tài)哈希的數(shù)字簽名方案FIPS205[11]中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）3（SLH-DSA另預(yù)留基于格的Falcon數(shù)字簽名方案待后續(xù)進(jìn)行正式標(biāo)準(zhǔn)化。2025年3月，NIST將基于編碼的HQC算法作為第二種正式標(biāo)準(zhǔn)化的密鑰封裝方案[13]，預(yù)計(jì)將在兩年內(nèi)發(fā)布標(biāo)準(zhǔn)文稿。這五種算法基于三類不同算法機(jī)制，覆正在進(jìn)行14888-4“有狀態(tài)的基于雜湊的簽名機(jī)制”規(guī)范[15]的開發(fā)；啟動(dòng)PWI19541項(xiàng)目[16]，將向18033-2AMD2中增加FrodoKEM、ClassicMcEliece和Crystals-Kyber算法。IETF多個(gè)工作組正推動(dòng)密碼協(xié)議納入PQC算法：TLS工作組發(fā)布RFC8773[17]，使用預(yù)共享密鑰和TLS1.3結(jié)合的方式抵抗“先收集，后破譯”的潛在范（X.509）中支持Kyber、Dilithium、SPHINCS+算法；IPSECME工作組發(fā)布RFC8784[18]及RFC9242[19]實(shí)現(xiàn)IKEv2量子安全擴(kuò)展。其他方面，IEEE2022年發(fā)布P3172[21]研究經(jīng)典與PQC算法融合機(jī)制；ITU-T推出X.1811[20]定義5G抗量子安全框架；ETSI通過TCCyberWG-QSC1.2.2國內(nèi)抗量子密碼征集情況2018年6月，中國密碼協(xié)會(huì)發(fā)起全國密碼算法設(shè)計(jì)競(jìng)賽，重點(diǎn)征集抗量子密碼領(lǐng)域的數(shù)字簽名、公鑰加密及密鑰協(xié)商方案。賽事最終遴選出14項(xiàng)優(yōu)勝成果，其中Aigis-sig、LAC.PKE和Aigis-enc分獲一等獎(jiǎng)，LAC.KEX等算法獲二、問題的加密算法Piglet1和基于同源的密鑰協(xié)商協(xié)議SIAKE等特色方案。此次競(jìng)2025年2月，商用密碼標(biāo)準(zhǔn)研究院發(fā)布《關(guān)于開展新一代商用密碼征集活動(dòng)的公告》[22]，宣布將面向全球陸續(xù)開展新一代公鑰密碼、雜湊算法及分組密42量子計(jì)算下的SIM體系風(fēng)險(xiǎn)分析2.1SIM體系介紹SIM體系(SubscriberIdentityModuleSystem)架構(gòu)如圖2-1所示，是由安全架構(gòu)，主要為移動(dòng)蜂窩網(wǎng)絡(luò)提供可信身份認(rèn)證和數(shù)據(jù)加密、認(rèn)證等服務(wù)。SIM體系中包括的SIM卡、電信域、非電信域的含義及范圍如下：●SIM卡：用戶的身份載體，包括傳統(tǒng)可插拔SIM卡和嵌入式eSIM等形態(tài)，內(nèi)●非電信域：以卡為核心的業(yè)務(wù)生態(tài)體系，涵蓋卡基礎(chǔ)能力業(yè)務(wù)和基于卡能力的衍生業(yè)務(wù)（包含自有和第三方SIM業(yè)務(wù)）。前者負(fù)責(zé)SIM卡空間、卡應(yīng)用及操作系統(tǒng)的管理，后者負(fù)責(zé)實(shí)現(xiàn)卡能力開放與認(rèn)圖2-1SIM體系整體架構(gòu)2.2SIM體系重要性分析5系現(xiàn)代通信網(wǎng)絡(luò)與民生保障體系穩(wěn)定運(yùn)行的關(guān)精準(zhǔn)尋址與接入管理。隨著物聯(lián)網(wǎng)發(fā)展，碼號(hào)進(jìn)一步延伸為智能設(shè)備的“數(shù)字關(guān)鍵領(lǐng)域的身份認(rèn)證需求，成為數(shù)字經(jīng)濟(jì)運(yùn)行的底2.3量子計(jì)算對(duì)SIM體系影響中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）62.3.1電信領(lǐng)域的威脅通信是SIM體系中最為基礎(chǔ)、核心的業(yè)務(wù)，量子計(jì)算對(duì)SIM體系電信領(lǐng)域的主要威脅涉及通信鑒權(quán)、運(yùn)營支撐管理、以及GAA認(rèn)證框架三大關(guān)鍵在通信鑒權(quán)中，SIM通過與核心網(wǎng)之間共享的128位對(duì)稱密鑰K派生鑒權(quán)五預(yù)置在卡中的公鑰加密SUPI進(jìn)一步保護(hù)用戶身份隱私。量子計(jì)算可以“折半式”可通過逆向推導(dǎo)破解核心網(wǎng)側(cè)私鑰，偽造合法終端的SUPI接入網(wǎng)絡(luò)，威脅全球系同樣受到?jīng)_擊，攻擊者可利用量子計(jì)算機(jī)加速破解技術(shù)竊聽通話內(nèi)容、偽造5G消息甚至劫持用戶業(yè)務(wù)通道。2.3.2非電信領(lǐng)域的威脅卡基礎(chǔ)能力業(yè)務(wù)：卡基礎(chǔ)能力平臺(tái)與端側(cè)配套的應(yīng)用中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）7基于卡能力的衍生業(yè)務(wù)：基于SIM卡安全認(rèn)證等能力已建立起豐富的業(yè)務(wù)生3SIM體系抗量子密碼遷移原則和路徑3.1遷移目標(biāo)及原則遷移工作應(yīng)當(dāng)制定正確的目標(biāo)，并在合理原則的指導(dǎo)下3.1.1遷移目標(biāo)為應(yīng)對(duì)量子計(jì)算對(duì)原有SIM密碼體制帶來的威脅，應(yīng)進(jìn)行SIM體(1)功能特性●互操作性：新一代SIM安全系統(tǒng)的構(gòu)建可能涉及到不同平臺(tái)、應(yīng)用、設(shè)備，●兼容性：考慮到遷移過程的長期性，在較長時(shí)間內(nèi)可能都存在傳統(tǒng)密碼體系和抗量子密碼體系混用的情況，因此為保障整個(gè)SI新一代的安全體系的功耗以及資源消耗的增加處于合理可控范8(2)安全特性●經(jīng)典計(jì)算安全性：新構(gòu)建的SIM安全體系應(yīng)具備在經(jīng)典計(jì)算機(jī)環(huán)境下的理論●實(shí)現(xiàn)安全性：安全體系的構(gòu)建在理論的基礎(chǔ)上應(yīng)充分考慮實(shí)現(xiàn)安全性，如側(cè)3.1.2遷移遵循的原則(1)優(yōu)先級(jí)原則●威脅度：從SIM安全業(yè)務(wù)的重要程度以及面臨的量子威脅的大小兩個(gè)方面，●影響度：從SIM業(yè)務(wù)的影響范圍、使用頻次考慮，不同類型的SIM業(yè)務(wù)用戶●難易程度：由于SIM系統(tǒng)中不同部分復(fù)雜程度各有不同，遷移的難易程度也(2)業(yè)務(wù)連續(xù)性原則中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）9由于SIM體系涵蓋電信域及非電信域的眾多業(yè)務(wù)，在(3)敏捷性原則密碼體系的實(shí)現(xiàn)能力。量子技術(shù)和對(duì)應(yīng)的PQC技術(shù)均處于發(fā)展的初期階段，更(4)標(biāo)準(zhǔn)符合性原則由于PQC標(biāo)準(zhǔn)制定相對(duì)滯后，遷移前期可能需制定系統(tǒng)內(nèi)部規(guī)范，并考慮已制3.2遷移路徑3.2.1現(xiàn)有業(yè)務(wù)系統(tǒng)量子脆弱性評(píng)估鑒于全球運(yùn)營商正加速2G、3G網(wǎng)絡(luò)退網(wǎng)，本節(jié)聚焦4G、5G網(wǎng)絡(luò)中以SIM為核心的安全體系架構(gòu)及SIM相關(guān)業(yè)務(wù)系中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）電信領(lǐng)域(1)通信鑒權(quán)網(wǎng)絡(luò)采用的差異化的密碼算法和協(xié)議體系。表3-1為4G、5G通信網(wǎng)絡(luò)主要的對(duì)加密算法SNOW3GAESZUC密鑰長度128bit128bit128bit模式XOR128-EEA1128-EEA2128-EEA3NR（5G）標(biāo)準(zhǔn)名128-NEA1128-NEA2128-NEA3表3-14G、5G通信網(wǎng)絡(luò)的對(duì)稱密碼算法4G空口網(wǎng)絡(luò)[3]中采用3種標(biāo)準(zhǔn)加密算法，統(tǒng)稱“演進(jìn)分組系統(tǒng)加密算法于SIM和AuC中存儲(chǔ)的長期密鑰K，依次派生CK/IK會(huì)話密鑰，安全管理實(shí)體用戶面保護(hù)密鑰，有效的防御數(shù)據(jù)泄密與信令篡改。圖3-14GLTE密鑰層次圖5G網(wǎng)絡(luò)在增強(qiáng)型移動(dòng)網(wǎng)絡(luò)（eMBB）的基礎(chǔ)方案上，新增高連接蜂窩物聯(lián)中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）11eMBB場(chǎng)景，終端主要形態(tài)仍以手機(jī)、MiFi等智能硬件為主，因此沿用4G時(shí)代的SNOW3G、AES、ZUC算法。Phase2針對(duì)mIoT和uRLLC場(chǎng)景。面向計(jì)算29192標(biāo)準(zhǔn)給出了多種類型密碼機(jī)制的輕量算法，但3GPP并未指明具體候選算法。需要注意的是，輕量分組算法（如64比特密鑰）在提升圖3-25G密鑰層次圖12制支持3GPPTS33.501[4]中規(guī)定的橢圓曲線算法集（ECIES同時(shí)允許運(yùn)營商選用SM2等其它算法，有效防范用戶標(biāo)識(shí)明文傳輸導(dǎo)致的信息泄露風(fēng)險(xiǎn)。景下面臨新的安全挑戰(zhàn)，基于Grover算法量子計(jì)算機(jī)可將對(duì)稱密鑰破解復(fù)雜度護(hù)機(jī)制，在量子計(jì)算環(huán)境下因Shor算法對(duì)非對(duì)稱密鑰算法的攻擊面比特，以防御Grover算法的攻擊；另一方面增加新的PQC認(rèn)證算法及其OID標(biāo)(2)運(yùn)營支撐管理ICCID等用戶發(fā)卡數(shù)據(jù)，并將數(shù)據(jù)安全寫入SIM卡中。因此卡數(shù)據(jù)管理、端到端數(shù)據(jù)流程和寫卡操作的安全性直接決定了整個(gè)SIM卡體系的安全性和可運(yùn)營支撐管理涉及發(fā)卡數(shù)據(jù)準(zhǔn)備、SIM卡商制卡及運(yùn)營商線上線下發(fā)卡等關(guān)(3)GAA認(rèn)證框架GAA（GenericAuthenticationArchitecture）是一種通用的鑒權(quán)框架[1]），13圖3-3GAA鑒權(quán)架構(gòu)基于對(duì)稱密鑰的GBA機(jī)制，采用3GPPAKA協(xié)議在通信實(shí)體間建立共享會(huì)話密于證書的SSC[2]（用戶證書支持）機(jī)制，通過移動(dòng)運(yùn)營商CA頒發(fā)傳統(tǒng)公鑰數(shù)字證書。為應(yīng)對(duì)量子計(jì)算威脅，需采用支持PQC算法的公鑰證書增強(qiáng)現(xiàn)有機(jī)制。非電信領(lǐng)域(1)卡基礎(chǔ)能力業(yè)務(wù)基礎(chǔ)能力業(yè)務(wù)主要包括對(duì)多應(yīng)用卡實(shí)行管理的實(shí)體，比如多應(yīng)用管理平臺(tái)其中SCP02/03/04/10/11為機(jī)卡通道可采用的協(xié)議，SCP80和SCP81分別為數(shù)據(jù)短信通道、BIP通道使用的協(xié)議?？梢钥闯鰧?duì)于采取對(duì)稱密碼算法的安全通道協(xié)議，在量子時(shí)代密鑰長期必須升級(jí)到256比特密鑰長度，才能達(dá)到現(xiàn)在128比中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）14將PQC算法納入新的通道協(xié)議標(biāo)準(zhǔn)。同時(shí)，為適配更高安全強(qiáng)度的對(duì)稱密碼算通道協(xié)議加密算法/協(xié)議密鑰管理密鑰長度(bit)認(rèn)證機(jī)制SCP02TDES-2KEY共享主密鑰，靜態(tài)或動(dòng)態(tài)會(huì)話密鑰128對(duì)稱密鑰MAC認(rèn)證SCP03[23]AES共享主密鑰，靜態(tài)或動(dòng)態(tài)會(huì)話密鑰128對(duì)稱密鑰MAC認(rèn)證SCP04[24]AES,SM4共享主密鑰，靜態(tài)或動(dòng)態(tài)會(huì)話密鑰128對(duì)稱密鑰CMAC認(rèn)證SCP10[25]預(yù)置證書、根CA公鑰2048基于證書的認(rèn)證SCP11[26]預(yù)置證書、根CA公鑰256基于證書的認(rèn)證SCP80[27][28]TDES-3KEY,AES預(yù)共享對(duì)稱密鑰192/128對(duì)稱密鑰MAC認(rèn)證SCP81[29]TLS1.2/1.3預(yù)共享對(duì)稱密鑰128對(duì)稱密鑰MAC認(rèn)證表3-2GP安全通道協(xié)議對(duì)比(2)基于卡能力衍生的業(yè)務(wù)技術(shù)架構(gòu)如圖3-4所示。業(yè)務(wù)應(yīng)用與業(yè)務(wù)平全體系設(shè)計(jì)方面，各類卡業(yè)務(wù)均配備獨(dú)立業(yè)務(wù)密鑰，遵循“一卡一端安全通信鏈路，對(duì)傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)、指令進(jìn)行安全保護(hù)，有效抵御數(shù)據(jù)泄露、●對(duì)稱算法層面：應(yīng)采用不低于AES-256強(qiáng)度的加密算法或同等安全等級(jí)的替●非對(duì)稱算法層面：業(yè)務(wù)運(yùn)營方需結(jié)合實(shí)際業(yè)務(wù)場(chǎng)景，綜合評(píng)估系統(tǒng)兼容性、此外，部分SIM卡承載的非接觸式業(yè)務(wù)（如SIM交通卡、校園一卡通等）涉中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）15圖3-4SIM業(yè)務(wù)技術(shù)架構(gòu)3.2.2SIM抗量子算法選擇要求泛支持各類型PQC算法。因此，適用于SIM卡的PQC算法應(yīng)基于算法情況以及●標(biāo)準(zhǔn)算法優(yōu)先：優(yōu)先選擇已發(fā)布標(biāo)準(zhǔn)全級(jí)別[12]的PQC算法?！裥酒芰σ螅含F(xiàn)有SIM芯片暫不支持浮點(diǎn)運(yùn)算，應(yīng)優(yōu)先考慮兼容適配不涉●通信代價(jià)要求：現(xiàn)有SIM卡大長度僅為255字節(jié)。兼顧安全性與運(yùn)行效率的同時(shí)，建議選擇密鑰、輸中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）16算法類型計(jì)算速度通信代價(jià)特點(diǎn)格基PQC快小功能齊全，可用于加密、簽名、密鑰交換。計(jì)算速度和通信代價(jià)均較優(yōu)。編碼PQC較快大密文較小，但生成的公鑰大，算法性能不足。功能單一，主要用于加密。多變量PQC較快大簽名驗(yàn)簽速度快，消耗資源較少。公鑰大且安全性研究不足，功能單一主要用于簽名。哈希PQC安全性較為穩(wěn)定。簽名體積大，性能不足。功能單一用于簽名。曲線同源慢很小通信代價(jià)低，用于簽名，密鑰交換。安全性研究不足，計(jì)算速度慢。表3-3PQC算法特征對(duì)比度與輸出結(jié)果大多為64~256字節(jié)；二是算法復(fù)雜性較高，PQC算法的運(yùn)行時(shí)間是現(xiàn)用傳統(tǒng)算法數(shù)十倍。通過綜合對(duì)比各類PQC算法的特點(diǎn)，目前而言格基PQC在計(jì)算速度和通信代價(jià)方面具有一個(gè)較好的平衡，是上述多類算法中較為多種不同技術(shù)路線的PQC算法，因此還需進(jìn)一步分析、評(píng)估其他類型PQC算法在SIM體系中的適配性?？紤]到國內(nèi)的PQC標(biāo)準(zhǔn)尚未確定，目前可以參考國內(nèi)密碼競(jìng)賽的結(jié)果或者選用NIST標(biāo)準(zhǔn)化的PQC算法進(jìn)行前期的遷移工作，并采用可重構(gòu)的底層硬件架構(gòu)及具有敏捷性的頂層軟件架構(gòu)，以便后期可以快速遷移到國內(nèi)標(biāo)準(zhǔn)規(guī)定的3.2.3SIM體系向抗量子遷移策略SIM卡體系向抗量子可劃分為以下四個(gè)階中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）17圖3-5SIM體系遷移路線●階段一：策略制定。梳理SIM體系各業(yè)務(wù)系統(tǒng)特點(diǎn)，設(shè)立遷移時(shí)間規(guī)劃，對(duì)抗量子SIM進(jìn)行技術(shù)預(yù)研并提出相關(guān)技術(shù)指標(biāo)。●階段二：能力儲(chǔ)備。儲(chǔ)備遷移過程中需要的軟硬件產(chǎn)●階段三：業(yè)務(wù)試點(diǎn)。優(yōu)先啟動(dòng)對(duì)安全階段一：策略制定●業(yè)務(wù)梳理與遷移規(guī)劃：對(duì)SIM體系中的各業(yè)務(wù)系統(tǒng)進(jìn)行全面梳理，詳細(xì)評(píng)估階段二：能力儲(chǔ)備18●抗量子SIM卡研發(fā)：作為SIM體系的核心，研發(fā)支持PQC算法運(yùn)行的抗量子行效率，滿足SIM相關(guān)業(yè)務(wù)的量子安全需●構(gòu)建抗量子SIM檢測(cè)體系：構(gòu)建對(duì)新一代可抵抗量子計(jì)算機(jī)攻擊SIM卡的安階段三：業(yè)務(wù)試點(diǎn)●高優(yōu)先級(jí)業(yè)務(wù)遷移：按照根據(jù)受威脅程度、影響范圍、難易程度、依賴關(guān)系階段四：全面普及●第三方SIM業(yè)務(wù)升級(jí)：要求所有第三方SIM業(yè)務(wù)完成向PQC算法的遷移，并●SIM體系全面安全升級(jí)：根據(jù)已發(fā)布的通信協(xié)議標(biāo)準(zhǔn)、網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)、支持中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）193.2.4性能測(cè)試與優(yōu)化行全面的測(cè)試，并根據(jù)實(shí)際應(yīng)用中的反饋持續(xù)優(yōu)化PQC算法以及整體安全的實(shí)●性能：PQC算法的復(fù)雜性可能會(huì)帶●資源消耗：PQC算法相對(duì)于傳統(tǒng)密●敏捷性：加強(qiáng)對(duì)于敏捷性的優(yōu)化，應(yīng)數(shù)據(jù)丟失或損壞、資源耗盡等問題，應(yīng)持續(xù)優(yōu)化增強(qiáng)系4SIM體系抗量子密碼遷移的實(shí)施挑戰(zhàn)4.1硬件技術(shù)成熟度統(tǒng)層面進(jìn)行軟實(shí)現(xiàn)抗量子算法的方式，因PQC算法通常具有較高的計(jì)算復(fù)雜度（例如基于格的PQC算法，其運(yùn)算過程涉及大量的矩陣運(yùn)算與數(shù)論操作運(yùn)行效率極低，嚴(yán)重影響業(yè)務(wù)響應(yīng)速度，無法滿足實(shí)際應(yīng)用中對(duì)實(shí)時(shí)性的要求。4.2標(biāo)準(zhǔn)化成熟度性風(fēng)險(xiǎn)。在SIM體系中，由跨行業(yè)國際標(biāo)準(zhǔn)組織GP制定的《智能卡技術(shù)要求》20具有最為廣泛的應(yīng)用。由其定義的安全通道協(xié)議安全性與跨運(yùn)營商業(yè)務(wù)互通性，SIM卡登網(wǎng)鑒權(quán)必須嚴(yán)格遵循由3GPP定義Milenage[5][6]、TUAK[7]、GBA及4G、5G安全架構(gòu)等標(biāo)準(zhǔn)規(guī)范。這些規(guī)范通性基準(zhǔn)。目前運(yùn)營商在Milenage、TUAK、GBA等協(xié)議中普遍使用128位密鑰，和芯片廠商，升級(jí)HSS/UDM網(wǎng)元以支持256位密鑰生成算法，確保終端基帶芯4.3性能與效率在SIM體系向抗量子密碼遷移過程中，性能與效率方面的問題也不容忽視。通信帶來了巨大壓力。目前，SIM卡與終端設(shè)備之間的機(jī)卡通道（如ISO/IEC7816接口）速率較低，并且最長APDU指令包長度僅為255字節(jié)。這意味著在為業(yè)務(wù)時(shí)延的瓶頸。例如，在進(jìn)行一次基于PQC中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）214.4兼容性與互操作性在所有已發(fā)SIM卡中，卡內(nèi)預(yù)置密鑰長度通常為128比特。即便是在超級(jí)計(jì)算機(jī)可以提供海量算力的今天，128比特的密鑰仍然可以為SIM卡提供高等級(jí)的安全保證。但隨著量子計(jì)算機(jī)的不斷突破，量子時(shí)代對(duì)稱密鑰長度應(yīng)當(dāng)升級(jí)為脅。因此，在新一代的SIM卡中支持256比特長度密鑰以及可抵抗量子計(jì)算機(jī)攻級(jí)別的SIM卡便成為一種挑戰(zhàn)。對(duì)于SIM鑒權(quán)系統(tǒng)與業(yè)務(wù)系統(tǒng)而言，需要在已發(fā)因兼容性問題、卡類型判斷、算法選擇等多種因素對(duì)用戶的使用體驗(yàn)5展望隨著量子計(jì)算技術(shù)的快速發(fā)展，傳統(tǒng)密碼體系的脆弱性日益凸顯，向PQC新一代鑒權(quán)與業(yè)務(wù)系統(tǒng)的過程中，兼容性與用戶中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）22中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）23縮略語列表縮略語英文全名中文解釋AESAdvancedEncryptionStandard高級(jí)加密標(biāo)準(zhǔn)AKAAuthenticationandKeyAgreement認(rèn)證與密鑰協(xié)商協(xié)議APDUApplicationProtocolDataUnit應(yīng)用協(xié)議數(shù)據(jù)單元ASMEAccessSecurityManagementEntity接入安全管理實(shí)體AuCAuthenticationCenter鑒權(quán)中心BearerIndependentProtocol承載獨(dú)立協(xié)議CipherKey加密密鑰EAP-AKA’EnhancedAuthenticationandKeyAgreementPrime增強(qiáng)型認(rèn)證與密鑰協(xié)商協(xié)議EllipticCurveCryptography橢圓曲線加密算法EPSEncryptionAlgorithm演進(jìn)分組系統(tǒng)加密算法eMBBenhancedMobileBroadBand增強(qiáng)型移動(dòng)網(wǎng)絡(luò)eSIMEmbeddedSIM嵌入式SIMEuropeanTelecommunicationsStandardsInstitute歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)GAAGenericAuthenticationArchitecture通用認(rèn)證架構(gòu)GBAGenericBootstrappingArchitecture通用認(rèn)證機(jī)制GlobalPlatform全球平臺(tái)組織InternationalOrganizationforStandardization國際標(biāo)準(zhǔn)化組織TheInternetEngineeringTaskForce國際互聯(lián)網(wǎng)工程任務(wù)組IntegrityKey完整性密鑰IMSIInternationalMobileSubscriberIdentity國際移動(dòng)用戶識(shí)別碼mIoTmassiveIoT高連接蜂窩物聯(lián)網(wǎng)MSISDNMobileStationInternationalSubscriberDirectoryNumber國際ISDN號(hào)碼/手機(jī)號(hào)碼TheNationalCyberSecurityCentre英國國家網(wǎng)絡(luò)安全中心NISTNationalInstituteofStandardsandTechnology美國國家標(biāo)準(zhǔn)與技術(shù)研究院OIDObjectIdentifier對(duì)象標(biāo)識(shí)符24PostQuantumCryptography后量子密碼/抗量子密碼Pre-SharedKey預(yù)共享密鑰RSAEncryptionAlgorithmRSA加密算法SecureChannelProtocol安全通道協(xié)議SIMSubscriberIdentityModule用戶識(shí)別模塊SUCISubscriptionConcealedIdentifier用戶隱藏標(biāo)識(shí)符SubscriptionPermanentIdentifier用戶永久標(biāo)識(shí)符SNOW3GSNOW3GEncryptionalgorithmSNOW3G加密算法SupportforSubscriberCertificates支持用戶證書uRLLCultraReliableandLowLatencyControl高可靠超低時(shí)延通信ZUCZUCEncryptionAlgorithm祖沖之加密算法3GPP3rdGenerationPartnershipProject第三代合作伙伴計(jì)劃5G-AKA5GAuthenticationandKeyAgreement5G認(rèn)證與密鑰協(xié)商協(xié)議中國移動(dòng)應(yīng)對(duì)量子威脅：SIM體系抗量子密碼遷移白皮書（2025年）25參考文獻(xiàn)[1]3GPPTS33.220:"GenericAuthenticationArchitecture(GAA);GenericBootstrappingArchitecture".[2]3GPPTS33.221:"GenericAuthenticationArchitecture(GAA);SupportforSubscriberCertificates".[3]3GPPTS33.401:“3GPPSystemArchitectureEvolution(SAE);Securityarchitecture”[4]3GPPTS33.501:“Securityarchitectureandproceduresfor5Gsystem”[5]3GPPTS35.205:“SpecificationoftheMILENAGEalgorithmset:Anexamplealgorithmsetforthe3GPPauthenticationandkeygenerationfunctionsf1,f1*,f2,f3,f4,f5andf5*”[6]3GPPTS35.234:“SpecificationoftheMILENAGE-256algorithmset;Anexamplesetof256-bit3GPPauthenticationandkeygenerationfunctionsf1,f1*,f2,f3,f4,f5,f5*andf5**;Document1:General”[7]3GPPTS35.231:“SpecificationoftheTuakalgorithmset:Asecondexamplealgorithmsetforthe3GPPauthenticationandkeygenerationfunctionsf1,f1*,f2,f3,f4,f5andf5*;Document1:Algorithmspecification”[8]Gouzien,E.,&Sangouard,N.(2021).Factoring2048-bitRSAIntegersin177Dayswith13436QubitsandaMultimodeMemory.Phys.Rev.Lett.,127,140503.[9]NISTFIPS-203Module-Lattice-BasedKey-EncapsulationMechanismStandard[10]NISTFIPS-204Module-Lattice-BasedDigitalSignatureStandard[11]NISTFIPS-205StatelessHash-BasedDigitalSignatureStandard[12]NISTIR-8547TransitiontoPost-QuantumCryptographyStandards[13]NISTIR8545StatusReportontheFourthRoundoftheNISTPost-QuantumCryptographyStandardizationProcess[14]NCSCTimelinesformigrationtopost-quantumcryptography.uk/guidance/pqc-migration-timelines#section_1[15]ISO/IEC14888-4:2024Informationsecurity—DigitalsignatureswithappendixPart4:Statefulhash-basedmechanisms[16]ISO/IECPWI19541InclusionofkeyencapsulationmechanismsforPost-QuantumCryptographyinISO/IECstandards[17]RFC877