量子安全可信云，构筑“东数西算”新基石

        近年来，中国数字经济总体规模在GDP中占比不断攀升，数字中国春潮涌动，推进“东数西算”正当其时。而新的机遇也带来新的挑战，如何保障数据的生产、传输、存储、使用及灾备的安全，算力底座的自主安全可控等问题都亟待解决，可信安全是实现“东数西算”的必备条件。

        中兴通讯提出利用量子通信技术解决当前面临的各类数据安全挑战。通过量子科技和传统ICT的有机结合，中兴通讯自主创新打造安全可信云方案，并于2021年在重庆璧山完成全国首个安全可信云项目落地。

东数西算的安全痛点

        东数西算的三大典型场景是东数西存、东数西训、东数西渲。从场景上分析，东数西算工程必然需要底层海量的算力、存储和网络相关资源的支撑，如何保障底层算力、存储及网络资源的可信安全便成为重中之重。

        “东数西算”的各个场景都需要底层安全可信的算力、存储资源做支撑，且必然涉及海量数据的大规模传输，如何保障数据生产、传输、存储、使用及灾备的安全，杜绝数据泄露的可能，让政府企业放心；在大国竞争科技的时代，“东数西算”项目如何保障自主可控的供应链安全；“东数西算”工程布局全国八大枢纽，物理上分布九大节点，如何统筹有效地管理异地多云，确保整体系统的安全有效；这些都是“东数西算”工程应用场景面临的主要安全痛点。

基于量子通信技术的安全可信云解决方案

        中兴通讯可信云创新地将云计算与量子密钥协商技术结合，构建自主创新的可信云网底座，依托数字星云，与5G行业应用、数字化场景深度融合，为算力网络安全保驾护航。方案包括量子安全服务中间件vQSC、量子虚机、量子存储等系列方案产品，同时为数据监管提供技术手段，方案总体技术架构如图1所示。

图1   中兴通讯可信云方案总体技术架构

        其中，量子虚拟机通过对传统云架构中的密钥模块进行优化改造，将密钥源更改为量子密钥，支持对虚拟机云盘、镜像进行量子加解密；量子容器通过在容器云镜像仓库后挂载使用量子密钥和国密算法加密的对象存储，保证容器镜像仓库的数据存储安全，是确保“东数西算”场景中数据存储及使用环境安全可信的优秀解决方案。

        量子VPN基于量子网络的密钥协商能力，以在线产生的量子密钥作为密钥源，通过安全引擎实现IPSec VPN、SSL VPN、载荷加密等功能，完成两个网络或点到点之间链路的安全传输，从而确保数据中心间的跨域传输安全，适配原有应用接口，最大限度降低对原有系统的影响，有效应对“东数西算”场景中海量的安全数据传输需求。

        量子安全中间件将量子密钥协商能力及密钥执行策略封装为ICT架构可调用的安全引擎，对数据处理流程所涉及的云计算及云存储环境、相关应用数据的存储、传输等提供统一的安全管理。

        量子网盘是结合功能齐备的经典对象存储网盘和量子密钥协商技术的高安全防泄密数据集中存储产品。所有落在网盘的文件都采用国密算法和量子密钥进行加密，解决了用户存放数据的安全需求和跨数据中心访问网盘资源的安全风险。

        量子云电脑是云端提供计算和存储能力的远程桌面服务平台，与量子密钥协商技术相结合而打造的安全办公解决方案。云桌面平台的服务底层使用量子安全加固和虚拟化技术，数据传输、使用、存储闭环量子加固，解决安全办公后顾之忧。

        相比于传统云，安全可信云具备以下亮点：

• 自主研发，让云更安全：采用全栈国产自主研发软硬件设备，100%国产化自主创新，避免了技术及供应链方面的安全问题。中兴通讯一直坚持自主创新，提供全栈自主创新产品和方案，业内领先。在工信部2021年度信息技术应用创新解决方案奖评选中，中兴通讯“典型案例奖”和“创新奖”获奖项数量均位居行业第一。

• ICT和量子技术融合，让数据更安全：量子密钥无惧窃听，具备高等级安全。可信云依托量子密钥协商技术，为云内资源及云上应用提供统一的密钥源和密钥管控服务，构筑一体化量子密钥管控体系，实现对数据全生命周期的安全感知和管理，端到端保障数据安全。

• 统一安全管控体系，让系统更安全：量子密钥分发技术基于两点的可信云以量子密钥策略为基础，构建贯穿网络、云平台、数据、应用的一体化协同安全保障体系，为多云体系赋能统一密钥管理能力，组成具有数据监管能力的多云体系。安全管控中心对云内组件及云上应用的调用密钥服务使用情况进行实时追踪与分析，快速识别风险事件。量子安全引擎提供密钥全生命周期的管理，基于密钥的激活、停用、销毁等状态迁移，实现对安全风险的精准管控，确保风险不扩散。

安全可信云实践案例：璧山可信云

        2021年底，在重庆市委市政府和璧山区委区政府的大力支持下，中兴通讯联合国科量子依托前期建设的量子通信基础设施，在重庆璧山建设了全球首个量子安全可信云。安全可信云具备通用云计算平台的所有能力，同时为用户提供量子VPN、量子虚拟机、量子网盘等高安全等级的云服务。目前，璧山可信云政务、工业等领域的试点用户超过40家。

        2021年12月，重庆市委网信办组织来自中国科学院、国家密码管理局、国家信息技术安全研究中心、国家信息中心、中国信息通信研究院等相关单位的量子信息、密码、云领域专家，对重庆安全可信云试点项目进行了专题评审。专家组一致对安全可信云的先进性、可用性、安全性给予肯定和好评，并认为量子可信云项目方案符合国家“十四五”规划，从工程角度实现了量子通信系统与经典信息化体系和经典密码应用体系的结合。

        中兴通讯量子可信云其核心组件融合密钥管理系统达到99.999%的电信级高可用性、超1000并发会话和百万级密钥的高容量，满足链路安全、应用安全、云原生安全、数据安全等多种应用场景。通过在重庆璧山的建设运营，验证了政务数据的风险可感知、数据可监管，以及企业核心资产安全和数据安全出厂，全流程保障数据安全，为数据披上铠甲，为数字化转型和工业互联网应用落地保驾护航。

        项目建设以来得到了当地政府以及行业合作伙伴的大力支持，为数据安全治理提供技术手段，项目荣获2021年由国家信息中心、山东大数据局主办的第一届“中国新型智慧城市创新应用大赛奖项”，项目还获得2022年高交会“中国领军智慧政务解决方案提供商”等多项行业大奖。

        未来中兴通讯将持续为行业客户提供融合量子通信技术的安全应用产品和服务，赋能“东数西算”，助力数字经济建设和社会高质量发展。