一种基于光网络的多节点量子密钥分发系统设计*

王宏斌，杨闻达，白世坤

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引言

经典密码体制的安全性是由密码算法的安全性、密钥的安全性和计算的时效性来保证。密码算法的安全性以现阶段难以求解的数据难题为基础，保证密码算法的安全。密钥的安全性即是使用的密钥若满足以下三个条件，即可得到理论上的“绝对安全”：密钥为真随机数，密钥长度不小于明文长度，且一次一密。计算的时效性则是指想要得到破解密文则需要耗费大量时间，即使得到明文也失去了信息的时效性。然而数学理论和计算机技术的发展，特别是得到全球各国高度重视的量子计算机的快速发展，使人类所拥有的算力很快会出现一个质的突破，现有的密码体制则会显得力不从心。而量子密钥分发技术于2005 年由Renner 等人从信息论方向提出窃听者得到信息量的上限，从而证明了其具有“无条件安全性”。

量子力学的原理和有效可行的信息安全传输协议是QKD 技术安全性的基础[1]。量子所具有的不可分流、无法克隆的特性，使得窃听者无法复制量子信息[2]。根据海森堡的测不准定理，窃听者在未获知量子状态的前提下无法对单个量子进行正确测量，试图的测量会造成量子状态发生变化通信数据误码增加，导致由光量子加密的数据的完整性和正确性被破坏，通信双方通过数据传输后的正确性检测是否有人在窃听，从而保证了信息传输的安全性。

1 国外量子技术发展现状

QKD 技术是根据光量子在偏振态或相位态上所具有的叠加态，通过制备、传输和测量，实现通信双方共享绝对安全的量子密钥，然后使用经典密码技术对要投递的明文数据进行加密保护。目前，QKD 技术在实用化方面已经有所成就，并成为信息传输安全的一种有效解决方案。

1969 年，根据量子力学的特性，美国哥伦比亚大学的Wiesner 提出了一种保密通信的构想。1981年，美国加州理工学院物理学教授Richard Phillips Feynman 系统地阐述了量子力学，确立了量子信息理论的开端。1984 年，世界上第一个具有实用性的QKD 协议，BB84 协议由Bennett 和Brassard 提出，成为目前在实验和工程化领域应用最多的一个协议，标志着量子通信理论的诞生[3],该协议首先为通信双方实现安全的密钥共享，再使用经典的密码算法加密保护传输数据。1992 年，Bennet 在BB84协议的基础上，利用量子力学的特性简化原有协议，提出了B92 协议[4]。2000 年，Shor 和Preskill 提出在理想的条件下，并将原BB84 协议转化为基于CSS 量子纠错码的协议，首次从理论上证明了BB84协议的无条件安全性[5]。2004 年，世界上第一个量子保密通信网络和量子密钥分发系统在美国建成。2007 年，欧盟进行了距离达100 公里的星地间量子通信测试。2008 年，意大利和奥地利科学家利用人造卫星进行距离超过1000 公里的量子反弹通信。2009 年，日本、奥地利和瑞士的科学家合作建成一个量子通信网络，并计划在2020 年至2030 年建设基于量子保密技术的高安全量子通信网络。

2 国内量子技术发展现状

2.1 量子保密技术发展现状

虽然我国在量子通信技术上起步较晚，但是近十多年在量子保密通信、星地量子通信、量子随机数发生器等领域的研究和应用的突破性研究，目前已与国际先进水平保持同步。2008 年，中国科技大学建成国内首个3 节点的量子通信网络，成码率不小于15kbps，通信距离达到20km 左右，推进我国迈入量子通信技术研究国际先进行列。2009年，中国科技大学继续成功搭建了一个5 节点的量子电话网络，通信距离在20km 左右，成码率提高到120kbps。2016 年8 月，“墨子号”量子实验卫星成功发射，国内首次开展了星地量子通信试验。2016 年11 月，由中国科学技术大学、清华大学、中科院等多家单位合作，持续改进量子通信网络，完成距离超过100 公里的安全语音，信息传输距离提高到了400 公里。2017 年9 月，我国建成世界上首条通信距离超过1000 公里的量子保密通信干线——“京沪干线”，使用32 个中继节点将沿线的局域量子网络连接起来，并实现了与“墨子号”量子实验卫星的天地通信。

2.2 量子随机数发生器发展现状

密钥作为密码中最重要的因素，既要保证密钥数据传输的安全性，也要保证密钥数据具有极高质量的随机性；同时随着密码泛在化的发展趋势，密码在更多领域得到了广泛应用，不仅对于密码算法的高效性提出需求，也对密钥数据能够快速、实时地产生也提出了更高的要求。基于量子的内禀随机性，可以将量子噪声转换为真正的随机数。2015年，中国科学技术大学基于量子相位造成测试的随机数发生器原理，推出的随机数发生器产生速率达到68Gbps。2017 年，中国电子科技网络信息安全有限公司发布了极限速率突破117Gbps 的超高速的量子随机数发生器。2018 年，中国科学技术大学发布了具有抗未知器件的可信量子随机数发生器。这些研究成果使得量子密钥分发系统的构建迈入了工程化阶段。

3 基于光网络多节点QKD 系统设计

3.1 量子密钥分发设计

根据目前国内外对于量子技术的研究经验，基于BB84 协议构建量子密钥分发系统是最具有可行性和实用性的方案。使用QKD 技术与经典的密码技术结合，首先由QKD 设备制作量子密钥并完成在通信两方密钥的安全共享，然后采用经典的密码体制实现传输数据的加解密处理。

QKD 设备需完成量子密钥产生、光量子制作、传输、测量、窃听检测、纠错和增强处理等步骤，然后通信两端获得共享的量子密钥。量子密钥分发过程如图 1 所示。用户端A 和用户端B 分别向QKD 设备1 和QKD 设备4 完成接入鉴权认证；由保密通信业务发起方用户端A 向所接入的QKD 设备1 申请与用户端B 互通的量子密钥，并携带通信双方的身份ID；根据量子通信策略在对比通信双方合法后，QKD 设备1 产生量子密钥，并通过量子虚路径分发到达QKD 设备4；QKD 设备4 将量子密钥分发至用户端B，并通知QKD 设备1；QKD 设备1 将量子密钥分发至用户端A，完成通信双方的量子密钥分发过程；之后用户端A 和用户端B 使用经典信道和经典密码体制进行数据传输和安全保护。

图1 量子密钥分发过程

3.2 多节点的量子密钥分发系统

使用光纤作为传输介质是目前大多数量子通信系统采用的方案，点到点的量子光纤链路则具有造价高昂、传输距离近、可扩展性低、可用性差等缺点，因此综合量子传输衰减率、传输质量、成码率、网络可扩展性、网络可用性等因素，采用光纤网络和通用IP 网络结合的方式构建量子密钥分发系统，如图 2 所示。从传输层面上看，量子密钥分发系统由量子分发接入网络和量子分发骨干网络组成。量子分发接入网络由量子接入节点组成，可以根据实际需求构建1～2 级的接入网，并最终汇集接入量子骨干节点，主要为用户终端接入量子密钥分发系统提供接入鉴权认证、用户终端汇集接入、量子密钥制作等；量子分发骨干网路由量子中继节点和量子骨干节点构成，量子中继节点配置有两个量子通信接口，量子数据为一进一出的单线方式连接，负责量子信息远距离传输时的信息增强、纠错，确保量子信息传输的正确性；而量子骨干节点作为量子密钥分发系统的核心节点，配置有多个量子通信接口，主要负责量子路由转发、量子网络拓扑动态变化探测、量子链路通信质量和状态上报、量子密钥传输Qos 控制、量子管理策略执行等。

从管理层面上看，量子密钥分发系统分为管理层、传输层和用户层。管理层由量子管理节点构成，根据用量需求，可以按地域作1～2 级分布部署，对量子骨干节点、量子中继节点、量子接入节点以及接入量子密钥分发系统的用户终端做统一认证，防止非法节点和黑名单节点接入，并对量子密钥分发网络做网络规划、分发统计、态势感知和信息分析、策略规划和下发等。传输层由量子分发骨干网络和量子分发接入网络构成，完成量子密钥制作、量子密钥分发路由、用户终端接入等。用户终端则是由普通用户端设备组成，接入量子密钥分发系统获取通信所需密钥，并使用经典信道和经典密码体制做用户业务数据传输保护，如图3 所示。

图2 传输层面的量子密钥分发系统

图3 管理层的量子密钥分发系统

3.3 增强型量子密钥分发系统设计

量子信号在光纤中随着传输距离增加而衰减，因此需要在量子密钥分发系统中配置中继节点以增加量子信号传输距离；多节点的量子密钥分发系统中用户终端通过经典信道接入量子密钥分发系统的接入节点，而量子密钥的分发路径由骨干节点选择。因此，虽然量子密钥数据在光纤信道中传输具有绝对的安全性，但是量子密钥数据会在中继节点、骨干节点和接入节点以明文形式落地出现，若是被恶意用户植入木马或病毒，则会造成量子密钥在网络传输信道上的失控；而管控节点若是被非法用户入侵，则可能出现伪造接入认证、非法策略下发、诱骗密钥传输目的等失控情况。因此量子密钥分发系统中量子节点的安全性成为整个网络系统最薄弱的环节。

本文采用可信计算技术对量子密钥分发系统中的接入节点、中继节点、骨干节点和管控节点等进行安全性加固。在量子节点设备中植入基于TCM安全模块的可信根，对节点设备的BIOS 引导程序、操作系统、应用软件等启动时进行完整性和正确性验证，确保节点设备启动时基于硬件的可信启动链，以判断系统是否被篡改。此外，在量子节点设备启动运行后对操作系统进行动态度量/验证，阻断非法应用的运行；同时构建白名单应用行为特征库，并对白名单应用行为进行监控，一旦检测到应用的异常系统调用行为则进行告警和阻断。阻止非法用户盗取或破坏节点设备、密钥数据，确保量子密钥分发系统中节点设备安全可信运行。

4 结语

现代计算机算力的飞速发展，对经典的密码体制带来极大的挑战。目前，世界各国对信息安全的愈加重视和旺盛需求，具有高度安全可靠的QKD技术已经成为未来信息安全防护的一个重要选择。QKD 技术经过多年的发展，已进入初步的实用阶段，并且该密钥分发系统可以扩展应用到IP 网络终端、移动通信终端等应用环境。但该方案中所设计的量子密钥分发系统在用户终端身份认证、量子随机数筛选、量子密钥高速路由等方面仍有待提升，本团队会继续就量子密钥分发技术在可用性、易用性和泛在化等方向做进一步研究。