量子计算的威胁核心在于其强大的并行计算能力，加之近年来国际上量子计算领域的竞争愈演愈烈，加快了量子计算威胁传统密码体系的进程。虽然量子计算机的实用化尚需时日，但密码迁移的周期长、复杂度高，留给我们的时间窗口并不宽裕。

经典计算机使用比特（Bit）作为信息的基本单位，每个比特在任何时候都只能处于0或1两种状态之一。而量子计算机则使用量子比特（Qubit），由于量子叠加的特性，量子比特可以同时处于0和1的叠加态。这种叠加态使得量子计算机在处理某些特定类型的计算问题时，能够实现指数级别的加速。量子计算的这种强大能力对现有的密码体系构成了重大威胁，特别是对依赖于数学难题的公钥密码算法。

此外，量子计算的威胁不仅在于未来可能破解现有的密码系统，更在于攻击者可以现阶段收集和存储加密通信数据，等待量子计算机成熟后再进行解密。这种“今天存储，未来破解”的策略对敏感信息的长期保密性构成了严重威胁。

量子计算技术和后量子密码技术是一对“矛与盾”，二者相互影响、相互推动。后量子密码技术作为应对量子计算攻击威胁的核心手段，正逐步成为全球信息安全领域的研究热点和实践重点，虽然整体产业化发展尚处于早期阶段，但总体技术方向主要集中在两个方面：量子密钥分发（QKD）和后量子密码（PQC）。

美国以PQC为主，重点在于开发和标准化抗量子攻击的加密算法，美国NIST的PQC算法标准征集工作是其核心举措之一，目前其在PQC的研究和标准化方面处于领先地位。

我国已在量子密码学（PQC）和量子密钥分发（QKD）领域进行了战略部署。QKD技术在量子通信加密领域处于领先地位，并取得了显著的应用成果；而PQC方面，我国正通过标准化和国际合作来加速其发展进程。目前，我国的PQC与国际先进水平相比，主要差距体现在密码学的基础研究领域，包括数学、应用数学以及密码理论的研究。在这一领域，主要贡献者数量较少且分布较为分散。

从全球来看，按照截至2023年10月公开的专利数据来看，全球后量子密码技术（包括QKD和PQC两种技术路线）相关的专利总数约为1500件。多个技术方向中，基于格的密码和量子密钥分发相关的专利数量最多，表明这两个技术方向的安全性、效率，以及算法和技术的成熟度较高。 

从国内来看，截至2025年3月初，根据国家知识产权局公开的专利数据，我国在后量子密码技术领域的专利总数量已突破1500件（包括QKD和PQC两个技术方向）。其中，2022-2024年间呈现爆发式增长，反映了后量子密码和量子加密领域近年来的研究热潮。专利权人参与者众多，但同时专利数量分布呈现明显的长尾效应，少数机构拥有大量专利，而大部分机构的专利数量较少。QKD技术是当前国内主流技术研究方向，PQC相关专利约为QKD的25%，格密码为主要算法类专利，超过了PQC专利的30%。安全牛建议：无论QKD技术还是PQC技术，都需要进一步加强对技术优化和基础研究的投入，以提升技术性能和理论基础。

后量子密码技术的关键能力与特性主要包括四个方面，首先是需要具备抗量子攻击能力，其中包括基础数学难题算法设计的难度和算法自身安全性的验证；其次是在应用中的性能表现、存储空间以及资源占用等效率水平；再次是与相关协议、系统应用，以及国内外算法和加密标准等的兼容性和迁移能力；最后还有密码方案实现与管理方面的能力要求，主要包括物理层面实现、密钥管理，以及随机数质量等。随着量子计算技术的发展，积极研究和部署后量子密码技术，将为信息安全的未来奠定坚实的基础。

当前，公钥密码广泛应用于各行业领域的多个业务环节和信息系统，量子计算一旦实用化，传统公钥密码算法将会被破解，引发巨大风险。且部分业务场景对数据保护和隐私保护的时间要求较长，面临的“先存储、后解密”风险进一步凸显。其中，公钥基础设施（PKI）是公钥密码的主战场，也是量子计算实用化后的最大风险集中地，依托PKI的数字证书管理、数字签名、身份鉴别、密钥协商等无法安全进行，业务系统中各实体的真实性、机密性、完整性、行为不可否认性均不能得到保证。此外，未来有可能会出现新的破解算法，甚至有可能以更快的速度破解公钥密码算法。而仅靠增加密钥长度难以有效应对量子计算对传统公钥密码体制造成的威胁。

因此，后量子密码技术在PKI相关领域的应用将是风险等级更高的重点需求场景，包括身份认证与访问控制、数据安全保护、政务应用安全、金融交易安全、物联网与工业控制系统安全，以及量子通信网络集成等方面。

为应对量子计算带来的潜在攻击风险和安全威胁，确保未来信息安全水平的稳步提升，全球政企和产业界正遵循“标准先行、试点跟进”的策略，并优先在关键行业及其核心业务系统中推动迁移和替换工作。尽管如此，后量子密码安全能力的构建并非一蹴而就，其实施路径注定充满挑战和复杂性。

QKD和PQC技术选择：业内普遍认为，QKD由于其技术实现和应用落地的特殊性，未来更多适用于特定高安全性要求的领域，如专用通信链路。相比之下，PQC因其与现有密码体系的高度兼容性和易融合性，成为当前后量子密码技术产业化的首选方案。然而，考虑到量子计算技术的发展动态，当量子计算达到某一高精尖水平时，QKD的技术也可能获得显著推进。因此，未来两种后量子密码技术的应用前景均值得期待。

平衡“风险”和“成本”：在不影响原有业务顺畅运行的前提下，结合业务分析暴露面和风险等级，从中心侧、业务侧到终端侧依次逐步实现后量子密码安全构建与实施落地方案。

规划平稳迁移方案：包括将现有密码安全体系分阶段平稳过渡到后量子密码安全标准体系所需的一系列过程、程序和技术。

5个原则：最小化变更、算法灵活性、性能优化、互操作性、自主可靠。

4个核心要素：密码基础设施升级、应用系统密码组件改造、安全策略与流程调整、安全监控与审计增强。

围绕业务系统的量子风险敞口，量化评估量子计算对不同业务场景带来的潜在安全威胁，为后续的算法选择和迁移策略提供决策依据。

根据不同的应用场景（如密钥协商、数字签名、加密传输、数据存储等）考虑算法的性能、密钥长度、签名长度等不同要求；

根据不同的安全需求（如保密性、完整性、认证性）考虑算法的安全性强度和功能特性；

结合NIST标准选择不同类型的算法；

考虑算法的不同性能指标，包括密钥长度、签名/密文长度、加解密/签名验签速度、资源消耗（CPU/内存）；

考虑算法的成熟度和标准化程度；

考虑知识产权与许可。

常见的迁移路径主要包括平滑迁移、分阶段迁移和混合密码方案。

标准相关：当前国内在后量子密码标准推进中，一方面是算法还在征集和筛选中，标准出台最快2年、最慢可能5年；另一方面是后量子密码算法的基础性研究和产出存在很大不足，并且资源投入比较分散，为使我国取得未来信息技术及安全保障的领先优势，亟需主管部门给予相应重视和投入。

应用系统评估对接：需要从系统生命周期、数据保质期、升级复杂度等方面综合考虑这些领域的系统如何进行抗量子密码迁移，在系统升级到后量子密码算法的同时，需要保障业务的兼容性和平滑过渡，还需要考虑历史数据的处理。

PQC技术持续攻坚：需要在常规的产学研协同和生态协作中，适当增加行业用户的试点迁移项目，评估和判定业务场景对于密码尺寸和性能的需求，鼓励密码厂商及时有针对性地进行产品原型研发，共同开展试点迁移，并将经验成果反馈给科研院所和标准化组织形成闭环，并适当增加丰富的针对具体场景的试点测试和技术验证活动。

后量子密码技术作为应对量子计算威胁的关键战略性技术，其未来发展趋势将呈现出多元化、融合化的特点。从算法和硬件技术的演进，到产业生态的构建，再到与新兴技术的深度融合，后量子密码将在不断创新中走向成熟和普及。

报告调研所覆盖的厂商主要分为两类：一类是传统密码类企业，另一类是新兴后量子密码企业。其中第一类企业居多，表明后量子密码技术已经成为传统密码类企业的目标增量市场，同时更多专注于后量子密码技术的新兴厂商也在积极涌现。 

首先，两类企业对于后量子密码技术的市场判断基本一致，都认可国际普遍共识的2030年左右量子计算即将对非对称密码体系带来第一次强烈冲击，因此未来5年将是第一波后量子密码技术的快速发展期。同时大家也普遍担心，这个时间点对于国内后量子密码技术标准的出台是个非常大的挑战。目前产业界已经自发地开始将现有密码产品与NIST标准进行对接、融合，少量动作快的密码企业已经完成了支持NIST后量子密码技术标准的全套产品，大部分密码企业将在2025年上半年完成对NIST标准的支持和新产品发布。

其次，两类企业的差别在于各自的市场推广和竞争策略、技术投入及成果、产品方案及落地实践方面稍有不同。传统密码类企业的市场策略主要是围绕密评、密改的项目及业务作为切入点，在完成现有项目和业务的同时，引导用户对后量子密码安全的重视和关注，从而与用户在密码算法先进性的“创新”点上达成一致，实现后量子密码产品的试点应用。新兴后量子密码企业则主推后量子密码安全的先进性，为很多重点行业用户展示新技术的特色和创新，引导用户对未来的安全风险做到前置部署。两者路径不同，但殊途同归。因为调研显示，虽然密评密改已经进行了3年左右的时间，但依然有大量行业以及大量重要的应用系统还没有完成密评和密改，因此对于后量子密码技术的市场拓展是个绝佳的机会。

总体上来看，当前从事后量子密码技术领域的企业，自身都具有强劲的密码技术能力，在与后量子密码技术的融合方面基本没有太大技术难度，主要在于市场策略和产出节奏。稍有欠缺的主要体现在硬件协同方面，主要是一些以软件开发为主的密码类企业，在后量子密码技术的产品化中可能要面临来自硬件协同、硬件性能调优等方面的技术挑战。