云南广电网络量子通信干线网建设的探索

苏爱平，缪真伟，杜文培

（云南广电网络网络集团，昆明 650000）

量子通信是指利用量子纠缠效应进行信息传递的一种新型的通信方式。量子通信是近二十年发展起来的新型交叉学科，是量子论和信息论相结合的新的研究领域。量子通信主要涉及：量子密码通信、量子远程传态和量子密集编码等，近来这门学科已逐步从理论走向实验，并向实用化发展。高效安全的信息传输日益受到人们的关注。基于量子力学的基本原理，并因此成为国际上量子物理和信息科学的研究热点。

随着媒体融合的快速发展，广播影视业务形态、用户需求、监管对象日趋复杂多样，给安播运维和依法监管等方面带来诸多新挑战。在传统媒体和新兴媒体融合过程中，不断强化信息安全风险防控意识和信息安全水平，对于广播电视安全播出维护、行政监管等方面具有重要的意义。为保障广电网络数字电视内容安全，在量子保密通信的安全模式下，实现视频直播、VOD 点播和交互视频（视频通信和视频会议），并以此为基础，开展技术推广应用工作。

量子通信作为不可破译的无条件安全技术，是对传统密码技术的突破性跨越，可有效保证党、政、军及涉及国计民生的社会重要领域显示出无与伦比的魅力。我国高度重视量子通信建设，并作为体现国家重大战略意图的重点工程列入了国家“十三五”发展规划。各省、市、自治区也纷纷出台措施推动量子通信产业发展。

1 项目建设目标和范围

“昆—玉”量子干线网作为云南省干线网一期实施的量子信息安全保密网，与昆明市即将建设的市级行政中心量子通信政务网同步推进，对于云南省量子通信的引进、应用和全面建设提供试验、试点、示范具有十分重要的战略意义和市场效应。“昆—玉”量子干线网具体网络拓扑参考图1。

图1 广电网络量子保密干线试点项目拓扑

1.1 实现目标

（1）将已建成的广电网络“昆明—呈贡”量子保密通信干线拓展至玉溪，建成“昆明—玉溪”量子保密通信干线网落。

（2）基于“昆明—玉溪”量子保密通信干线网落，拓展广电网络、电力及金融领域的量子保密通信应用落地。

（3）研究并开发适配向已有加密设备提供量子密钥服务，进行量子密钥服务的运营探索。

1.2 建设原则

依托现有云南广电网络集团公司光纤网络资源，增加相应的量子保密通信设备，充分融合现有网络，具备利用量子密钥对用户各类重要业务数据进行加密保护，确保用户数据在存储、传输过程中的无条件安全能力。

1.3 项目任务

完成一期昆明至呈贡量子密钥分发骨干网络的搭建及相关演示；并为后续二期由呈贡延伸到玉溪，并实现省、市级党委宣传部门和省、市级金融系统（农信社）的业务在量子保密通信网络上安全保密应用。

2 项目技术方案

2.1 量子通信的基本原理

光量子通信主要基于量子纠缠态的理论，使用量子隐形传态（传输）的方式实现信息传递。根据实验验证，具有纠缠态的两个粒子无论相距多远，只要一个发生变化，另外一个也会瞬间发生变化，利用这个特性实现光量子通信的过程如下：事先构建一对具有纠缠态的粒子，将两个粒子分别放在通信双方，将具有未知量子态的粒子与发送方的粒子进行联合测量（一种操作），则接收方的粒子瞬间发生坍塌（变化），坍塌（变化）为某种状态，这个状态与发送方的粒子坍塌（变化）后的状态是对称的，然后将联合测量的信息通过经典信道传送给接收方，接收方根据接收到的信息对坍塌的粒子进行幺正变换（相当于逆转变换），即可得到与发送方完全相同的未知量子态。

经典通信较光量子通信相比，其安全性和高效性都无法与之相提并论。安全性-量子通信绝不会“泄密”，其一体现在量子加密的密钥是随机的，即使被窃取者截获，也无法得到正确的密钥，因此无法破解信息；其二，分别在通信双方手中具有纠缠态的2个粒子，其中一个粒子的量子态发生变化，另外一方的量子态就会随之立刻变化，并且根据量子理论，宏观的任何观察和干扰，都会立刻改变量子态，引起其坍塌，因此窃取者由于干扰而得到的信息已经破坏，并非原有信息。高效，被传输的未知量子态在被测量之前会处于纠缠态，即同时代表多个状态，例如一个量子态可以同时表示0和1两个数字，7个这样的量子态就可以同时表示128个状态或128个数字：0～127。光量子通信的这样一次传输，就相当于经典通信方式的128次。可以想象如果传输带宽是64位或者更高，那么效率之差将是惊人的。

2.2 广电网络量子通信技术组网方案

利用昆明至呈贡现有光纤资源，以及传输节点机房资源，放置40MHzQKD（量子密钥分发）设备构筑量子保密通信干线网络，具体组网方案如图2。该组网方案有以下：特点密钥采用量子真随机数源：确保一次一密，从源头保障密钥的安全可信；利旧资源，不改变现有网络，有效保护原有投资：利用昆明至呈贡现有光纤资源，以及传输节点机房资源；同时，不改变现有网络结构，与现有网络无缝融合；网络结构可扩展，稳定，应用部署方式灵活：可作为骨干扩展网络结构或按需灵活部署应用，且稳定性可达电信级。量子通信网须能提供保证任意多点共享密钥的量子密钥服务，同时可基于一期网络扩展骨干及接入部分。具体组网方案参考图2：

2.3 关键技术

图2 广电网络量子通信技术组网方案

2.3.1 量子真随机数源，成码率高

量子密钥分发设备QKD 设备须采用量子真随机数发生器产生的随机数源作为加密密钥。

2.3.2 波分混传，透明串接有效保护现有投资

该技术将量子信道、同步信道、双向经典数据四合一混传，不占用额外的光纤资源。支持透明串接技术，能够方便的接入用户网络，无需用户设备修改配置，具有简单易用的组网优势。

2.3.3 支持多业务接入

（1）支持广电网络组播业务接入；

（2）支持金融、政务等各类应用：满足政府企办公或个人用户量子安全电子邮件、量子安全文件存储、量子安全通话/即时消息、网络打印机、视频会议系统等量子密钥加密应用。

2.4 设备稳定可靠，组网灵活

（1） QKD 设备达到电信级要求。

（1）量子通信网须能提供保证任意多点共享密钥的量子密钥服务，同时可基于一期网络扩展骨干及接入部分。

3 量子加密测试科目

量子保密干线一期集成测试内容主要包括以下几个方面：

（1）硬件设备的测试：按硬件安装质量标准建议。

（2）设备软件的测试：按软件调测质量建议。

（3）量子保密通信特性验收测试。

3.1 QKD 量子密钥成码速率

（1）配置QKD 设备正常运行，记录实际量子光纤通道的损耗值。

（2）通过QKD 设备网管系统查询并记录量子信道误码率的实时值，测试一小时，记录平均值和变化范围。

3.2 QKD 设备成码时间

（1）配置QKD 设备正常运行，保持量子密钥持续生成。

（2）对QKD 设备进行下电，随后上电，记录设备冷启动后到生成量子密钥的时间。

3.3 QKM（量子密钥管理）量子密钥获取

（1）配置QKD 设备正常运行，保持量子密钥持续生成。

（2）配置QKM，以正确的认证信息进行接入。

（3）在QKM 上查看量子密钥的获取情况，观察数据库中量子密钥的补充情况。

4 量子加密通信演示方案

4.1 视频流（IP）加密

视频内容采用组播协议进行传输，从编码器发出的组播流通常未被加密。具体组网方案参考图3。

4.1.1 视频加密网络组网

4.1.2 演示步骤

（1）由广电网络提供一路视频直播频道组播环境，将一台量子安全加密机串接在直播源下行端口，另一个加密终端放置在组播能够到达的网络另一侧；

图3 直播频道组播流加密

（2）使用测试电脑或机顶盒，在能够接入组播流的网络位置，通过VLC 播放组播视频或由广电网络提供相应机顶盒进行播放；

（3）配置量子安全加密机和加密终端，对测试直播频道组播流进行加密，观察VLC 视频播放情况。4.1.3 结果验证

未开启加密功能时，VLC 或机顶盒可以从网络上播放视频流；当使用量子安全加密设备对视频组播流加密后，VLC 或机顶盒无法播放视频。

4.2 量子密钥分发窃听感知

量子密钥分发采用QKD 设备，基于量子力学的单光子不可分割、不可复制、不可观测特性，保护密钥分发的绝对安全性。具体组网方案参考图4。

4.2.1 密钥分发网络模拟窃听组网

图4 量子密钥窃听感知演示

4.2.2 演示步骤

（1）搭建QKD、QNMS（量子通信网络管理系统）量子密钥分发网络，在密钥传输光纤位置放置窃听分光器；

（2）调试两端QKD，确保量子密钥正常分发，按下窃听分光器，观察QNMS 网管平台。

4.2.3 结果验证

当量子密钥分发链路存在窃听时，QNMS 网管出现告警，停止窃听后，系统恢复正常。

5 结束语

云南广电网络量子保密干线试点项目为云南省量子通信的引进、应用和全面建设提供试验、试点示范。可以有效为政务、企业、金融及军民融合等领域提供数据保密通信服务，提升整体网络信息安全有着非常重要的战略意义。