迈向量子安全时代：抗量子密码发展现状与未来方向

导读

量子计算技术的快速发展对基于大整数分解和离散对数难题的经典密码体系构成了颠覆性安全威胁。“先存储、后解密”的攻击方式让长期敏感数据面临现实安全风险，部署抗量子密码成为守护数字安全的必然选择。本文系统梳理了格、编码、哈希函数、多变量、同源五大抗量子密码技术路线；介绍了以NIST为主导、多国协同推进的全球抗量子密码标准化进程，以及我国国产抗量子密码标准的制定动态；呈现了抗量子密码从国际科技巨头先行试点，到国内金融、通信、能源等关键行业逐步落地的产业现状。同时，展望未来5年抗量子密码在技术轻量化、标准体系化、产业生态化、应用普及化的发展趋势。最后结合四川省的科研基础与产业需求，提出针对性发展建议，为省内密码行业把握量子安全时代机遇、推进技术落地提供参考。

一、量子计算对经典密码的安全冲击

1994年问世的Shor算法可以在多项式时间内高效求解大整数分解与离散对数问题，从理论上对基于这两类难题的公钥密码算法构成直接破解威胁。2025年5月，谷歌团队通过算法优化与纠错技术升级证实，在特定硬件条件下，搭载不足100万个含噪量子比特的量子计算机，可在一周内完成2048位RSA加密密钥的破解^{[1, 2]}。1996年提出的Grover算法，将会大幅削弱对称密码的安全强度，直接导致对称密码算法的有效密钥长度减半，例如256位AES算法的安全防护能力将降至128位水平。更值得警惕的是“先存储、后解密”的现实安全风险。攻击者无需等到实用化量子计算机落地，现在就可以大规模截获并存储加密通信数据、交易记录、政务文件等敏感信息，待量子计算技术成熟后再批量解密还原。按照国家保密管理规定，重要信息的保密期限普遍在10年以上，核心涉密信息更需永久保密。这意味着，若在未来十年内能够破解现有密码体系的量子计算机问世，当前传输与存储的各类敏感数据都将面临不可逆的泄密风险。

为抵御这一颠覆性安全威胁，抗量子密码（Post-Quantum Cryptography, PQC）应运而生。这类密码算法基于量子计算机难以高效求解的新型数学难题设计，其安全根基经过严格验证，可抵御现有已知量子攻击，是目前全球公认的应对量子计算威胁、保障信息安全的主流可行技术路线。

二、抗量子密码的技术路线

目前全球已形成基于格、基于编码、基于哈希函数、基于多变量、基于同源五大主流抗量子密码技术路线，各类路线在安全性、运行效率、适用场景上各有侧重，其中基于格的密码综合表现最优，是当前标准化落地和产业应用的重要方向。

基于格的密码是目前最成熟、应用最广泛的抗量子密码方案，安全性经过严格验证，也是国际标准优先选用的技术路线。美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）首批发布的3项抗量子密码标准，均来自这一路线——ML-KEM用于密钥封装算法^[3]、ML-DSA算法用于通用签名^[4]、FN-DSA算法用于轻量签名^[5]，覆盖了绝大多数的安全应用场景。这类方案的优势突出，运行效率高，兼容性好，能适配从服务器到终端的多种类型的设备，是目前产业部署的首选，适用于网络通信、云服务、金融交易、数字证书、物联网等绝大多数常规安全场景。

基于编码的密码是一种历史最久的抗量子密码技术，安全性经过数十年验证，稳定性高。该路线的代表算法包括NIST最新入选的HQC算法^[6]以及经典的Classic McEliece算法^[7]，其优势是安全可靠、加解密速度快。这类方案存在明显的短板，公钥体积过大，对存储和带宽有一定要求，难以在小型设备上使用。适用于卫星通信以及远距离传感网络等带宽充足且对安全性要求高的特定场景，可作为格密码的重要补充。

基于哈希函数的密码是所有路线中安全假设最少的方案，仅依赖哈希函数的基础特性实现安全防护，理论安全性高。代表算法为NIST标准化的SLH-DSA算法^[8]和XMSS算法^[9]，公钥体积极小，适合长期安全需求。其缺点是签名结果较大、运算速度较慢，不适合高频次签名的场景。可用于满足根证书签名、固件更新、区块链等高安全、低频次的签名需求。

基于多变量的密码以轻量高效为主要特点，其签名体积小、验签速度快，特别适合资源有限的小型硬件设备。目前以NIST竞赛中的UOV算法^[10]、MAYO算法^[11]等新一代算法为主，安全性相比早期方案有大幅提升。其短板是公钥尺寸较大，安全性分析复杂度较高，整体成熟度还有待提升。适用于智能卡、电子标签等存储和计算资源受限的嵌入式终端设备。

基于同源的密码是一种前沿的技术路线，最突出的特点是密钥和签名尺寸极致紧凑，是所有方案中体积最小的。代表算法为SQISign算法^[12]，非常适合带宽敏感的场景，但目前运算速度较慢且成熟度较低，仍处于研究验证阶段。早期的SIKE算法虽已被弃用^[13]，但同源技术的价值依然存在，是未来轻量化密码的重要探索方向。适用于卫星通信、移动终端等对带宽要求极高的场景，目前以研究和试点为主。

整体来看，五大技术各有特点，基于格的密码是当前最成熟、产业认可度最高的方案，是当前的主流首选，综合性能最优，将成为未来5—10年抗量子密码部署的主力。基于编码的密码安全性久经考验，为备选方案；基于哈希函数的密码安全假设极简，专用于签名；基于多变量的密码适合轻量签名，适配小型设备；基于同源的密码尺寸极致小巧，属于前沿探索方向，它们都可在特定场景中发挥作用。企业在实际应用中，可结合自身需求采用主流+备选的组合方案，兼顾安全与实用性。

三、全球抗量子密码标准化进程与国内动态

抗量子密码要实现规模化落地，统一标准是必不可少的引领和支撑。当前全球已形成以NIST为主导、多区域协同推进的标准化格局，各国均在加快布局，抢占量子安全时代的技术话语权。我国也正式启动了国产抗量子密码标准制定工作，全力推动技术与产业的自主可控发展。

NIST于2016年正式启动后量子密码标准化项目，以期筛选出能够抵抗量子计算攻击的安全、高效、可部署的密码算法^[14]，这是全球首个大规模、系统性的抗量子密码标准化工作。经过近8年的多轮评估与筛选，2024年8月，NIST正式发布首批3项抗量子密码联邦标准，分别是FIPS 203基于模格的密钥封装机制标准，对应Crystals-Kyber方案、FIPS 204基于模格的数字签名标准，对应Crystals-Dilithium方案和FIPS 205基于哈希的无状态数字签名标准对应Sphincs+方案，标志着抗量子密码技术正式进入标准化实用阶段。2025年3月，NIST公布第四轮标准化评估结果，基于编码的密码算法HQC最终胜出，将被制定为新的联邦标准，用于补充Kyber在特定场景下的应用。同时，为了丰富数字签名算法的技术路线多样性，NIST于2022年9月启动了额外的签名方案征集流程，2024年10月，14种方案进入第二轮评估，涵盖基于编码、格、模拟多方计算、多变量等多种技术路线^[15]。

除NIST外，多个国际标准化组织也在积极推进抗量子密码相关标准的制定工作，形成了多区域协同推进的格局。欧洲电信标准化协会（European Telecommunications Standards Institute，ETSI）成立了专门的量子安全密码工作组^[16]，于2025年3月正式推出首个后量子网络安全标准ETSI TS 104 015《具有隐藏访问策略的高效量子安全混合密钥交换》，定义了名为Covercrypt的带访问控制的密钥封装机制方案，通过混合加密技术确保量子时代前后的安全性。ETSI还与NIST保持密切合作，推动NIST标准在欧洲的落地应用，并为企业提供向后量子密码迁移的路线图和指导。国际标准化组织（International Organization for Standardization，ISO）和国际电工委员会（International Electrotechnical Commission，IEC）联合成立的ISO/IEC JTC 1/SC 27信息技术安全技术委员会也在加速推进抗量子密码国际标准的制定工作，重点关注算法规范、安全评估方法和应用指南等内容。互联网工程任务组（The Internet Engineering Task Force，IETF）则致力于将抗量子密码算法集成到传输层安全协议（Transport Layer Security, TLS）、互联网安全协议（Internet Protocol Security, IPsec）等现有互联网协议中，目前已发布多项相关草案，推动抗量子密码在互联网基础设施中的广泛应用。

我国高度重视抗量子密码技术的发展，将其作为保障国家信息安全和数字经济健康发展的战略资源。2025年2月，国家密码管理局商用密码标准研究院正式启动抗量子计算的新一代商用密码算法标准征集活动^[17]，面向全球公开征集安全、高效、实用的抗量子公钥加密、密钥交换和数字签名算法，标志着我国抗量子密码标准化工作进入实质性阶段。本次征集对算法的安全性、性能、兼容性和可实现性提出了明确要求，旨在形成具有自主知识产权的国产抗量子密码标准体系。在国产抗量子算法研究方面，我国科研机构和企业已取得一系列重要成果。例如，基于格密码的LAC算法和Aigis-sig签名算法在国际上具有较高的知名度，中国移动等企业已完成Aigis-enc、Aigis-sig、LAC.PKE等国产抗量子算法的原型实现验证，并规划了超级SIM卡等产品的抗量子迁移路径^[18]。此外，我国还积极参与国际抗量子密码标准化工作，在NIST标准化进程中贡献了中国智慧和力量。

抗量子密码标准化进程的加速推进，对全球密码产业格局产生了深远影响。标准化明确了产品研发的技术方向，使企业能够集中资源围绕标准算法进行产品开发和优化，避免了技术路线选择带来的不确定性。全球主流密码厂商已陆续推出基于NIST标准的抗量子密码产品，涵盖密码芯片、密码机、安全网关、数字证书系统等多个品类。标准化将推动合规要求的升级，未来关键信息基础设施领域将逐步要求部署抗量子密码技术，这将催生巨大的市场需求。同时，标准化也将促进产业链的完善和成熟，带动芯片制造、算法实现、系统集成、安全评估等上下游产业的协同发展。对于我国而言，加快国产抗量子密码标准的制定和推广，不仅能够保障国家信息安全，还将提升我国在全球密码产业中的话语权和竞争力，推动我国密码产业实现从跟随到引领的跨越。

四、抗量子密码的产业应用现状与迁移实践

抗量子密码已从学术研究加速迈向产业落地阶段。全球科技巨头率先启动技术验证与部署，国内关键基础设施行业逐步开展试点应用，形成了标准引领、试点先行、分阶段迁移的发展格局。

国际科技巨头凭借技术优势率先布局抗量子密码应用，在云服务、网络通信、操作系统等领域推出了一系列产品和服务。谷歌于2023年8月在Chrome浏览器中部署了混合椭圆曲线X25519和抗量子Kyber算法的TLS协议，并于2024年4月将其设为默认选项，成为全球首个大规模部署抗量子密码的主流浏览器^{[19, 20]}。亚马逊云服务（Amazon Web Services, AWS）在其密钥管理服务（Key Management Service, KMS）中集成了混合后量子TLS协议，支持用户连接到KMS API终端节点时使用混合后量子密钥交换功能^[21]。微软通过开放量子安全项目提供了liboqs开源C语言库，并在Azure云服务中集成了抗量子密码支持^{[22, 23]}。在企业级应用方面，IBM公司推出了支持抗量子密码的z16大型机，可在硬件层面加速抗量子算法运算^[24]。国际标准化组织和行业联盟也在积极推动抗量子密码的标准化应用，IETF已发布多项关于TLS、安全外壳协议（Secure Shell, SSH）、公钥基础设施（Public Key Infrastructure, PKI）等协议集成抗量子算法的草案^[25]，全球移动通信系统协会（Global System for Mobile Communications Association, GSMA）发布了《后量子电信网络影响评估白皮书》等系列文件，指导电信行业的抗量子迁移^[26]。

我国抗量子密码产业正处于快速发展阶段，政府部门高度重视，金融、通信、能源等关键基础设施行业已陆续开展试点应用。在金融领域，中国人民银行将探索量子技术金融应用作为重要工作任务，多家银行机构已启动抗量子密码迁移试点，在迁移过渡阶段采用两把锁的混合模式，同时使用传统密码和抗量子密码保护数据安全。在通信领域，中国电信安全公司与北京大学、中国科学院大学等机构合作开展抗量子密码产品研发，在电信密码服务管理平台上对基于Kyber算法的多个密码运算接口进行了适配。2024年5月，电信安全公司推出的安全网关设备搭载了抗量子密码卡，融合了国产LMS/HSS-SM3签名算法，集成了Kyber和Dilithium等国际后量子密码算法，实现了基于后量子密码的安全密钥协商和端到端身份认证^[27]。中国移动正在开展SIM卡融合PQC算法的研究，完成了Aigis-enc、Aigis-sig、LAC.PKE等国产抗量子算法的原型实现验证，并规划了超级SIM卡密码安全产品的PQC迁移路径^[18]。在能源领域，国家电网有限公司正在开展抗量子迁移的研究，探索对调度、输变电、高压监测等业务系统进行抗量子改造。国内密码企业也陆续推出了支持抗量子密码的产品和解决方案，涵盖量子安全PKI/证书颁发机构（Certificate Authority, CA）、密钥管理、网关、密码机、签名验证等多个领域。

抗量子密码迁移是一项复杂的系统工程，不是简单地进行算法替换。目前行业内普遍采用以下几种主流迁移策略。混合加密模式是当前最受推荐的过渡方案，即同时使用传统密码算法和抗量子密码算法对数据进行保护。在密钥交换过程中，同时生成传统密钥和抗量子密钥，并将两者结合生成最终的会话密钥。这种方式既能保留传统算法的安全性和监管约束力，又具备后量子安全的潜力，且兼容性较好，能够与现有系统平滑过渡。NIST、ETSI、GSMA等国际组织均推荐在迁移前期采用混合模式。双轨系统是在同一系统中同时运行传统密码体系和抗量子密码体系，两套系统相互独立，分别处理不同安全级别的业务。对于需要长期保密的高敏感数据，使用抗量子密码进行保护；对于一般业务数据，仍使用传统密码。这种方式可以降低迁移风险，逐步验证抗量子密码的安全性和性能。在系统设计阶段提前考虑未来密码算法的可替换性，采用模块化、可插拔的架构，将密码操作与业务逻辑分离。当新的抗量子算法出现或现有算法被攻破时，能够快速、低成本地替换密码算法，而无需对整个系统进行大规模改造。密码敏捷性是应对未来密码安全挑战的重要能力，已成为抗量子迁移的主要要求之一。根据业务系统的重要性、数据保密期限和风险等级，制定分阶段的迁移计划。首先迁移那些面临先存储后解密威胁最大、数据保密期限最长的系统，如金融交易系统、医疗信息系统、政务机密系统等；然后逐步扩展到其他一般业务系统。

尽管抗量子密码迁移已成为行业共识，但在实际实施过程中仍面临诸多挑战。其一是性能瓶颈，与传统密码算法相比，大多数抗量子密码算法在密钥尺寸、计算复杂度和内存消耗方面都有显著增加。例如，基于格的密码算法虽然效率较高，但与传统的ECC算法相比，其密钥、密文和签名尺寸是ECC的10倍以上，导致存储与传输成本大幅增加。同源密码虽然参数尺寸较小，但运算效率为几百毫秒至秒级，难以满足物联网等场景的实时性要求。其次是兼容性问题，现有信息系统大多基于传统密码构建，抗量子密码的引入需要与硬件、软件、协议进行适配改造。传统密码协处理器不支持抗量子算法的特殊运算，需要重新设计硬件架构。现有的网络协议如TLS、SSH等未预留抗量子算法的扩展字段，需要修改协议规范，这可能导致与旧版本客户端的兼容性冲突。此外，密钥管理也更加复杂。抗量子密码算法的密钥尺寸更大，生成和存储成本更高。同时，在混合加密模式和双轨系统下，需要同时管理传统密钥和抗量子密钥，密钥管理的复杂度显著增加。如何安全地生成、存储、分发和销毁抗量子密钥，是迁移过程中需要解决的重要问题。安全评估难度大也是一大挑战。抗量子密码算法的安全性基于一些新型的数学难题，目前对这些数学难题的研究还不够深入。随着量子计算技术的不断发展，新的攻击方法可能不断涌现，进一步增加了抗量子算法安全性评估的难度。此外，缺乏统一的安全评估标准和工具，不同机构对同一算法的安全评估结果可能存在差异。

五、抗量子密码未来发展趋势与方向

未来5年，抗量子密码将迎来从标准确立向规模化落地的关键转折期。技术、标准、产业和应用将协同演进，逐步构建起覆盖全场景的量子安全防护体系。

（一）技术趋势：持续优化与创新并行。抗量子密码技术将沿着算法轻量化、硬件加速化、基础理论多元化的方向发展。在算法优化方面，针对现有标准算法的轻量化改进将成为研究热点，重点解决密钥尺寸大、计算开销高的问题，以适配物联网终端、智能卡等资源受限设备。在硬件加速方面，CPU指令集扩展、GPU并行计算、FPGA可重构加速以及ASIC专用芯片将快速发展，显著提升抗量子密码算法的运行效率，降低部署成本。同时，学术界将持续探索基于新型数学难题的抗量子密码方案，丰富技术路线，降低对单一数学假设的依赖风险。

（二）标准趋势：国产标准引领与国际协同并进。标准体系的完善将是未来几年抗量子密码发展的首要任务。在国内，我国自主可控的抗量子密码算法标准有望在未来2-3年内正式发布，形成涵盖算法规范、性能指标、接口标准和安全评估的完整标准体系，为国内产业发展提供统一指导。在国际上，NIST将继续推进HQC算法的标准化进程，并完成额外数字签名方案的评选；ISO/IEC、ETSI等国际组织也将加速制定行业应用标准，推动全球抗量子密码标准的协同与互操作。同时，行业应用标准将逐步细化，针对金融、能源、通信等不同领域的特点，制定专门的抗量子密码应用规范和迁移指南。

（三）产业趋势：生态完善与融合发展。抗量子密码产业将进入快速成长期，产业链逐步成熟完善。上游芯片制造环节将推出支持抗量子算法的专用芯片和安全模块；中游算法厂商将提供成熟的抗量子密码产品和解决方案；下游系统集成商将推动抗量子密码在各类信息系统中的部署应用。同时，抗量子密码将与量子通信技术深度融合，形成量子密钥分发+抗量子密码的混合安全架构，兼顾长期安全性和实用性。

（四）应用趋势：从试点示范到全面普及。未来3-5年，金融、能源、电力、通信等行业将率先开展规模化部署，重点保护关键业务系统和长期敏感数据。随着技术成熟和成本下降，抗量子密码将逐步渗透到物联网、车联网、区块链、电子政务等更广泛的领域，最终实现全场景的量子安全防护。

六、对四川密码行业的建议

四川省应抓住这一战略窗口期，结合本地产业基础和科研优势，提前布局，抢占量子安全时代的发展先机。作为西部数字经济高地，我省在抗量子密码领域具备坚实的科研基础、广阔的市场需求和巨大的发展潜力。抓住量子安全技术从标准确立向规模化落地过渡的战略窗口期，推动抗量子密码技术在川落地应用，对于筑牢我省数字经济安全屏障、培育信息安全产业新增长点具有重要意义。我省拥有电子科技大学、四川大学等国内顶尖高校，在密码学基础理论、算法设计、安全分析等领域积淀深厚，形成了一支高水平的科研人才队伍，为抗量子密码技术创新提供了重要支撑。同时，我省是金融、能源、电力、交通、政务等关键信息基础设施的重要聚集地，数字经济规模持续增长，对长期数据安全和系统韧性的需求日益迫切。银行关键系统、电力调度网络、轨道交通信号系统、电子政务平台等重点领域，均为抗量子密码技术提供了广阔的应用场景。当前，我省抗量子密码产业仍处于起步阶段，在产品研发、系统迁移服务、安全评估认证等领域存在较大发展空间。本土企业可依托本地市场优势，聚焦细分赛道深耕细作，同时加强与国内龙头企业的协同合作，积极融入全国抗量子密码产业链，实现差异化发展。

结合我省实际提出以下几点建议。一是加强基础研究与技术攻关，支持高校、科研院所围绕抗量子密码算法、硬件加速、侧信道防御等关键技术开展研究，提升自主创新能力，形成一批具有自主知识产权的技术成果。二是深化产学研用协同创新，建立科研院所+企业+用户的协同创新机制，推动抗量子密码技术成果转化，并鼓励高校与企业联合培养专业人才，打通从实验室到产业化的最后一公里。三是培育壮大本地产业生态，支持本土密码企业布局抗量子密码产品研发和服务供给，重点发展抗量子密码机、安全网关、密钥管理系统等产品，以及系统迁移、安全评估等专业服务，同时吸引产业链上下游企业在川集聚，打造特色鲜明的抗量子密码产业集群。四是提前布局系统迁移准备，组织开展抗量子密码技术培训和宣贯活动，提升行业认知水平，支持重点行业和企业开展抗量子密码试点示范，探索适合不同场景的迁移路径和解决方案，为未来全面系统迁移积累经验。

四川省密码行业协会将充分发挥桥梁纽带作用，搭建技术交流、产业对接和资源共享平台，推动会员单位之间的合作共赢，助力我省在量子安全时代抢占发展先机，构建安全可靠的数字安全新生态。

参考文献

[1]Craig Gidney. How to factor 2048 bit RSA integers with less than a million noisy qubits[EB/OL]. (2025-05-21)[2026-05-23]. 
https://arxiv.org/abs/2505.15917

[2]光子盒. 量子危机提前！近百万比特量子计算机一周内可破解 RSA 加密算法 [EB/OL]. (2025-05-26)[2026-05-23]. 安全内参. 
https://www.secrss.com/articles/79137

[3]US National Institute of Standards and Technology. FIPS 203: Module-Lattice-Based Key-Encapsulation Mechanism Standard[S]. Gaithersburg: NIST, 2024.

[4]US National Institute of Standards and Technology. FIPS 204: Module-Lattice-Based Digital Signature Standard[S]. Gaithersburg: NIST, 2024.

[5]US National Institute of Standards and Technology. FIPS 206 (Draft): FFN-DSA (Falcon)[EB/OL]. (2025)[2026-05-23]. 
https://csrc.nist.gov/presentations/2025/fips-206-fn-dsa-falcon

[6]Aragon N, Barreto P, Bettaieb S, et al. Hamming Quasi-Cyclic (HQC)[EB/OL]. (2022-07-01)[2026-05-21]. 
https://pqc-hqc.org

[7]McEliece R J. A public key cryptosystem based on algebraic coding theory[R]. Pasadena: Jet Propulsion Laboratory, 1978.

[8]US National Institute of Standards and Technology. FIPS 205: Stateless Hash-Based Digital Signature Standard[S]. Gaithersburg: NIST, 2024.

[9]US National Institute of Standards and Technology. NIST SP 800-208: Recommendation for Stateful Hash-Based Signature Schemes[S]. Gaithersburg: NIST, 2020.

[10]Beullens W, Chen M S, Ding J, et al. UOV: Unbalanced Oil and Vinegar[EB/OL]. [2026-05-21]. 
https://csrc.nist.gov/csrc/media/Projects/pqc-dig-sig/documents/round-2/spec-files/uov-spec-round2-web.pdf

[11]Beullens W, Campos F, Celi S, et al. MAYO Specification Document[EB/OL]. [2026-05-21]. 
https://csrc.nist.gov/csrc/media/Projects/pqc-dig-sig/documents/round-1/spec-files/mayo-spec-web.pdf

[12]Aardal M A, Adj G, Aranha D F, et al. SQIsign: Algorithm specifications and supporting documentation (Version 2.0)[S/OL]. Gaithersburg: National Institute of Standards and Technology (NIST), 2025-02-05[2026-05-21]. 
https://csrc.nist.gov/csrc/media/Projects/pqc-dig-sig/documents/round-2/spec-files/sqisign-spec-round2-web.pdf

[13]Jao D, Azarderakhsh R, Campagna M, et al. Supersingular Isogeny Key Encapsulation (SIKE)[EB/OL]. (2022-07-01)[2026-05-21]. 
https://csrc.nist.gov/projects/post-quantum-cryptography

[14]MOODY D, NIST. Post-Quantum Cryptography Standardization: Announcement and outline of NIST's Call for Submissions[EB/OL]. [2026-05-23]. 
https://csrc.nist.gov/Presentations/2016/Announcement-and-outline-of-NIST-s-Call-for-Submissions

[15]ALAGIC G, BROS M, CIADOUX P, et al. Status report on the first round of the additional digital signature schemes for the NIST post-quantum cryptography standardization process[R]. NIST IR 8528, 2024: 3-6. 
https://doi.org/10.6028/NIST.IR.8528

[16]ETSI. Quantum-Safe Cryptography (QSC)[EB/OL]. [2026-05-23]. 
https://www.etsi.org/technologies/quantum-safe-cryptography?highlight=WyJxdWFudHVtLXNhZmVjcnlwdG9ncmFwaHkiXQ==

[17]商用密码标准研究院. 关于开展新一代商用密码算法征集活动的公告 [EB/OL]. [2026-05-23]. 
https://www.niccs.org.cn/symmbzyjy/tzgg/pc/content/1937422988373135360/content_1937422988373135360.html

[18]张峰, 庄严,于乐,等. 抗量子密码研究现状及展望[J]. 信息通信技术与政策，2025, 51 (7): 92-96.

[19]Google. Hybrid post-quantum key agreement in Chrome 116[EB/OL]. (2023-08-14)[2026-05-23]. 
https://security.googleblog.com/2023/08/hybrid-post-quantum-key-agreement-in-chrome-116.html

[20]Google. Chrome 125 makes X25519Kyber768 default[EB/OL]. (2024-04-16)[2026-05-23]. 
https://chromestatus.com/feature/5212404738412544

[21]Amazon Web Services. AWS KMS supports hybrid post-quantum TLS[EB/OL]. (2025-04-07)[2026-05-23]. 
https://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/pqtls.html

[22]Microsoft. Microsoft quantum-resistant cryptography[EB/OL]. (2024-09-09)[2026-05-23]. 
https://techcommunity.microsoft.com/blog/microsoft-security-blog/microsofts-quantum-resistant-cryptography-is-here/4238780

[23]Open Quantum Safe. liboqs open-source C library[EB/OL]. (2026-01-10)[2026-05-23]. 
https://openquantumsafe.org/liboqs/

[24]IBM. IBM z16 quantum-safe cryptography[EB/OL]. (2026-04-17)[2026-05-23]. 
https://www.ibm.com/products/z16

[25]IETF. Post-quantum cryptography drafts for TLS, SSH and PKI[EB/OL]. (2025-09-18)[2026-05-23]. 
https://www.ietf.org/archive/id/draft-ietf-uta-pqc-app-00.html

[26]GSMA. PQ.01 Post Quantum Telco Network Impact Assessment Whitepaper[R]. London: GSMA, 2023. 
https://www.gsma.com/newsroom/wp-content/uploads/PQ.1-Post-Quantum-Telco-Network-Impact-Assessment-Whitepaper-Version1.0.pdf

[27]西安电子科技大学广州研究院. 后量子密码迁移白皮书 (2024)[R]. 广州: 西安电子科技大学广州研究院, 2024.