2024年度上市公司数字化转型最佳实践丨中国银河：抗量子密码技术在证券业的创新研究与应用

为进一步落实党中央、国务院关于发展新质生产力、打造数字经济新优势等决策部署，坚定实施数字化转型任务，推动数字经济发展，中国上市公司协会开展了上市公司数字化转型最佳实践案例征集活动，并从技术领先、场景创新、社会价值贡献、产业链建设四个维度遴选出了40个优秀、69个典型案例入选《上市公司数字化转型典型案例》，这些案例集中反映了上市公司在数字化转型过程中的实践、挑战与成功经验，为上市公司开展数字化转型提供参考和借鉴。

中国银河证券股份有限公司（601881.SH）

抗量子密码技术在证券业的创新研究与应用（优秀案例）

中国银河证券股份有限公司（以下简称“公司”），是中国证券行业领先的综合性金融服务提供商。公司借助独特的历史、品牌和股东优势，行业内覆盖较广的营业网络和规模领先的客户群，以及综合全面的业务实力，为政府、企业、机构和个人提供智库咨询、财富管理、投资银行、投资管理、国际业务等综合金融服务。自成立以来，公司持续保持较强的综合竞争力，资本规模、盈利水平、业务实力和风险管理能力一直位居行业前列。

银河证券始终将保护投资者交易安全作为首要任务。面对量子计算机快速发展和对现役国产密码的颠覆性影响，银河证券积极开展抗量子计算攻击的技术研究，有序推进业务系统纵深、全面的抗量子攻击能力建设。

项目基于复旦大学抗量子技术专利成果（NTRU抗量子密码），开拓性实现了抗量子密码从算法理论层面到平稳落地证券业应用系统，实现了行业首家系统改造与上线运行，为算法在证券业全面应用提供了参考。基于“PQC+SSLVPN”抗量子方案，支持双协议混合部署，实现SM商用密码和抗量子密码的动态应用，保证系统连续性；算法具有自主知识产权，解决国际“卡脖子”技术威胁，性能全面超过国际同类算法。同时，项目组本着“开放共享、互利共赢”的理念，积极推进抗量子密码行业标准制定，助力构建证券期货业安全命运共同体。

一、转型工作情况

（一）战略规划

中国银河证券以客户为中心，以金融科技为支撑，以场景化为依托，积极探索互联网商业新模式和新业态，打造线上智能业务生态，从战略层面、业务层面及保障层面，重构金融科技体系，以技术引擎全面推动业务转型。2023年中国银河证券制定了《中国银河证券金融科技发展规划（2023-2025）》，秉承以客户为中心的理念，从发展目标、实施举措和保障措施规划公司转型愿景、战略目标和实施路径等内容，努力绘就“五位一体、三化一同”的宏伟蓝图。

同时，随着金融信息系统业务线上化、覆盖率以及架构复杂程度的持续提升，金融风险防控面临更大挑战，金融网络安全技术防护能力亟待提升。在新技术风险的监管中，尤以证券交易安全保护方面的监管政策最具代表性。一方面，国家持续加强证券交易安全顶层设计，要求落实异常交易监控责任、加强交易系统安全防护。另一方面，证券交易安全保护也成为国家协同监管重点方向。

（二）业务模式

中国银河证券作为证券期货业首家也是唯一一家密码试点单位，积极开展抗量子计算攻击的研究，通过融合SM系列商用密码与抗量子密码技术，牵头构建了抗量子密码技术创新应用的网上交易接入平台，开拓性的实现了行业首家系统改造与上线运行的抗量子系统，为抗量子密码在证券期货业全面应用提供了参考。该平台通过科技与管理思路创新，构建形成以“证券公司、开发商、高校、研究院所”四维一体的新型结合体，促进产、学、研、用一体化，实现学术界前瞻性研究在行业内落地，保护金融信息系统等重要基础设施的数据前向安全，满足证券期货业监管要求和投资者需求，提升系统安全防护水平，对于保护金融交易安全、保障广大投资者经济利益、促进金融市场健康稳定发展起到重要的作用。

（三）技术架构

中国银河证券以证券网上交易系统为对象，联合复旦-格尔抗量子密码联合实验室、格尔软件和深圳财富趋势公司成立联合项目组。以系统安全运行为首要任务，基于SM系列商用密码系统，开展抗量子密码技术的创新应用建设。

1、“国密SSL+PQC”解决方案应用

本项目融合抗量子算法在现有国产商用密码解决方案，采用基于格基的抗量子算法构建“PQC+SSLVPN”的密钥协商机制，互联网传输场景下保证其长久安全，实现向抗量子系统平滑迁移。

本项目引入抗量子算法用于保护双方SSLVPN密钥协商阶段预主密钥的安全，继而保护双方会话密钥的安全。双方使用抗量子算法生成SSLVPN中共享密钥作为预主密钥，通过互联网将抗量子公钥和密文数据传输给对方，双方使用封装和解封装算法得到共享密钥后共同完成会话密钥生成。 

2、系统技术架构

本平台总体架构如图2所示，分为客户端、应用服务和数据服务三层，沿用国密算法框架技术架构，实现国密算法与抗量子算法的技术融合。本系统通过抗量子算法提升SSLVPN密钥在互联网传输的安全性，改造后的系统架构与原SSLVPN差异较小，整体安全可控。

同时，系统采用双保险混合部署方式，兼容“PQC+SSLVPN”和“SSLVPN”两种协议，保障业务的稳定性和兼容性，实现证券业应用向抗量子平滑迁移。

3、核心算法先进性

本系统采用的抗量子算法获国密局批准立项，方案通过专家评审（见图3），算法成熟度高，在金融和军工领域拥有成功实践经验。该抗量子算法已完成功能和性能的验证，与原SSLVPN协议相比，新型的“PQC+SSLVPN”协议有更高的安全性、兼容性和稳定性，算法性能较国外同类算法有较大提升。

二、转型成效

（一）企业价值：项目组成员在抗量子密码研究过程中，以求真务实的态度完成各项指标，以“试点先行、稳步推进”的原则全面实施，为行业探索出一整套切实可行的解决方案，行业其他机构可参考该方案，直接进入项目实施阶段，为行业在抗量子密码改造过程中节约大量的时间和人力成本。经过对网上交易系统抗量子密码的改造和调优，项目采用的新型NTRU密码技术打破国际专利“卡脖子”技术威胁，为我国商业领域应用抗量子密码技术奠定基础。

（二）社会价值：项目依托行业级技术、人员优势，全面协同增强行业风险防范能力，切实保护国家关键基础设施，巩固社会稳定，维护资本市场稳定运行，积极响应国家“密码强国”重要战略。通过对证券期货业信息系统的安全风险分析和行业特性评估，提出并实践基于抗量子密码的网上交易系统，构建网上交易安全防护体系，实现网上交易的自主、可控，为证券和期货公司的网上交易系统提供安全保障。本项目研究成果在行业内的推广应用，有利于增强全行业信息系统的安全性和可靠性，使整个信息系统的安全水平提升到一个新的高度。

三、面临的痛点难点及建议

中国银河证券作为首家SM商用密码试点单位，经过深入研究，为行业探索出一整套SM商用密码在证券期货业的应用解决方案。为应对量子计算带来的危机，本项目联合多家合作方进行应用的适配，包括各类厂商软件产品的升级，挑战巨大。一方面，现有公钥加密体系算法已经过长期的验证，目前依旧可安全使用，而选用的抗量子密码算法的安全性无法得到有效证明；另一方面，国际组织NIST已颁布抗量子密码算法草案，国内尚未形成相关抗量子密码算法的标准，算法无法广泛的推广与应用。本项目选用的新型格基密码技术打破抗量子密码技术国际专利威胁，为证券期货业应用抗量子密码技术奠定基础，并同步推动国家、行业和地方标准，将率先在证券期货业等关键基础设施领域形成应用示范。

供稿单位：中国银河证券股份有限公司