量子密钥分发网络方案研究*

侯 嘉，朱 江

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引言

随着互联网技术的不断发展和普及，网络信息安全的重要性与日俱增。2013 年“棱镜门”信息安全事件的发生，使得保障信息安全、防止窃听受到了各国的高度重视。经典密码安全建立在计算安全性之上，其中破解年限成为评估计算安全性的主要指标。然而，以大数质因子分解的量子计算方法[1]的提出为例，对于用超级计算机需要几十年才能破解的2 048 位密钥的RSA 加密算法，如果量子计算机具有2 000 个量子比特，则破解该算法只需要几个小时。可见，计算安全性受到了严重威胁。

量子密钥分发基于量子力学的基本原理，包括测量塌缩理论、海森堡不确定原理和量子不可克隆定律[2-3]，可以实现理论上无条件安全的密钥分发。1984 年，Bennett 和Brassard 提出第一个量子密钥分发协议——BB84 协议[4]。2000 年，BB84 协议被证明是无条件安全的[5]。然而，BB84 协议是针对点对点应用的，且由于传输损耗等原因，实现BB84协议的设备通信距离有限。因此，在实际应用中，需要设计和建设量子密钥分发网络，以解决多用户、远距离等应用需求。

本文重点针对量子密钥分发组网方案进行研究。第1 节介绍国内外量子密钥分发网络现状，引出基于经典光学器件的网络方案和基于可信中继的网络方案两类主要方案。第2 节和第3 节分别对两类方案进行分析论述，并在第4 节对一种安全性更优但尚不实用的基于量子中继的网络方案进行分析论述，最后在第5 节对比几种组网方案的优缺点，总结并提出量子密钥分发网络的一般性设计思想。

1 量子密钥分发网络现状

1.1 国外量子密钥分发网络

2002—2007 年，在美国国防高级研究规划局（Defense Advanced Research Projects Agency，DARPA）资助下，BBN 公司、哈佛大学和波士顿大学联合开发了第一个实地建设的量子密钥分发（Quantum Key Distribution，QKD）网络[6]，如图1所示。该QKD 网络最终包含10 个节点，其中4 个节点使用光纤相位QKD 系统，使用2×2 光开关切换；4 个节点采用自由空间QKD 系统，通过可信中继的方式接入；2 个节点采用偏振纠缠的光纤QKD系统，通过可信中继的方式接入。

图1 美国DARPA-QKD 网络

2004—2008 年，欧盟成立了由41 个研究单位和公司组成的研发团队开发SECOQC-QKD 网络[7]，如图2 所示。该网络包含6 个节点，网络结构中没有使用光学路由，完全以可信中继的方式连接。它共包含8 条链路，包括3 套plug ＆ play QKD 系统、1 套单向传输相位编码QKD 系统、1 套COW 时间编码QKD 系统、1 套纠缠QKD 系统和1 套自由空间QKD 系统。

图2 欧洲SECOQC-QKD 网络

2010 年，日本建设完成了东京QKD 网络[8]，如图3 所示。该网络包含6 个节点，网络结构中没有使用光学路由，完全以可信中继的方式连接。QKD 系统执行的协议包括BB84 协议、BBM92 协议、SARG 协议和差分相位协议，最远传输距离达到 90 km，并在网络上演示了安全视频会议。

图3 日本东京QKD 网络

1.2 国内量子密钥分发网络

2009 年，中国科技技术大学郭光灿研究团队在芜湖建设完成7 节点的QKD 网络[9]，如图4 所示。该网络中采用诱骗态BB84 相位编码QKD 设备，其中4 个节点使用基于波分复用技术构造的量子路由器实现4 个节点的全时全通，1 个节点通过可信中继的方式接入，其余2 个节点通过光开关连接。

图4 7 节点QKD 网络

2017 年，中国科学技术大学潘建伟研究团队完成星地量子密钥分发网络通信[10]，如图5 所示。该网络以墨子号卫星作为可信中继节点，在相距 7 600 km 的中国和欧洲产生安全量子密钥，首次实现了星地量子通信，初步构建了我国的广域量子保密通信体系[11]。

图5 星地QKD 网络

1.3 国内外量子密钥分发网络现状分析

国内外的量子密钥分发网络已经陆续建设。针对组网方案，美国DARPA-QKD 网络采用光开关和可信中继的组网方案，欧洲SECOQC-QKD 网络和日本东京QKD 网络采用可信中继的组网方案，中国芜湖七节点QKD 网络采用波分复用器构造的量子路由器、光开关和可信中继的组网方案，中国星地QKD 网络采用可信中继的组网方案。量子密钥分发网络实际组网方案应结合实际需求，灵活选取合适的网络方案。目前，采用的实用化方案主要分为两大类：一类是基于经典光学器件的网络方案；另一类是基于可信中继的网络方案。

2 基于经典光学器件的网络方案

2.1 基于光分束器的网络方案

基于分束器的组网方案最早由Townsend 等人在1994 年提出，如图6 所示[12]。发送终端Alice 通过1×N光分束器与N个接收终端进行量子密钥分发。

图6 基于光分束器的星型网络

除星型网络外，还可以采用多个光分束器级联组成分支型网络，如图7 所示[13]。

图7 基于光分束器的分支网络

虽然光分束器组网很容易实现，成本也较低，无需主动切换，但是随着用户规模的增加，光分束器造成的损耗接近用户数的1/N，导致收发双方安全密钥分发速率低。随着网络规模的扩大，安全密钥分发速率将成比例下降。以1×32 用户为例，光分束器的插入损耗大概在16 dB，则光分束器相当于80 km 的标准光纤传输信道。

2.2 基于光开关的网络方案

图8 为基于光开关的星型QKD 网络，发送终端Alice 通过一个1×2 的光开关分别与接收终端Bob1 和Bob2 进行量子密钥分发[14]。

除星型网络外，还可以采用多个光开关级联组成分支QKD 网络、环形控制QKD 网络和多对多的QKD 网络，如图9、图10 和图11 所示[15]。

图9 基于光开关的分支QKD 网络

图10 基于光开关的环形QKD 网络

图11 基于光开关的多对多QKD 网络

光开关型网络需要主动切换，实现用户节点间的选择连通。光开关的插入损耗相对分束器较低，可以很方便地进行扩展。链路损耗不会由于网络规模的增大而增大。以1×32 用户为例，光开关的插入损耗大概在1 dB，对于量子密钥分发效率的影响很小。光开关相当于5 km 的标准光纤传输 信道。

2.3 基于波分复用器的网络方案

图12 是基于AWG 的星型QKD 网络[12]。发送终端Alice 使用可调谐激光器，当与Bob 进行量子密钥分发时，使用λ1；当与Chris 进行量子密钥分发时，使用λ2；以此类推，至第N个接收方。

图12 基于AWG 的星型QKD 网络

除星型网络外，还可以采用多个光纤光栅级联组成总线型QKD 网络。当有新用户加入时，在总线上插入对应波长的光纤光栅即可，如图13所示[12]。

图13 基于光纤光栅总线型QKD 网络

在上述基础上，使用4 个波分复用器组合构成4 端口量子路由器来实现特定的功能。如图14 所示[9]，以A 点为例，A 发送波长1 与D 进行量子通信，A 发送波长2 与B 进行量子通信，A 发送波长3 与C 进行量子通信；其他节点类似。当A 和C 发送波长1、接收波长2，B 和D 发送波长2、接收波长1 时，则可以实现4 节点全时全通网络。

图14 基于波分复用4 端口量子路由器全时全通QKD 网络

4 端口量子路由器虽然可以扩展，但是其使用波长数较多。例如：对于一个N节点网络，需要N或者N-1 个波长方能实现所有用户的连通。

图15 和图16 是波长节约型量子路由器的两种基本结构[16]，由波分复用器和环形器组合而成。它构成的5 节点QKD 网络如图17 所示，即使用两个波长实现了5 个节点间的全时全通。

图15 波长节约型量子路由器基本结构1

图16 波长节约型量子路由器基本结构2

如图17 所示，1、2、3、4、5、A、B、C、D、E 均为如图15 所示的基本结构。以A 节点为例，QKD 发送波长λ1的光和B 点接收端进行量子密钥分发，QKD 发送波长λ2的光和C 点接收端进行量子密钥分发，QKD 接收λ1的光与D 点进行量子密钥分发，QKD 接收λ2的光与E 点进行量子密钥分发。所有节点QKD 均同时发送λ1或者同时发送λ2，可以实现5 节点全时全通。

图17 两波长全时全通5 节点QKD 网络

波分复用组网方案需要QKD 按照组网方案做适当改动。波分复用器的插入损耗相对分束器较低、相对光开关稍高，但可以很方便地进行扩展。链路损耗不会由于网络规模的增大而增大。以C 波段40 通道波分复用为例，波分复用器的插入损耗大概在4.5 dB，对于量子密钥分发效率的影响较小，相当于22.5 km 的标准光纤传输信道。通过控制节点QKD 的发送波长，使用波分复用器组合成的量子路由器组网可以实现节点间的任意互通和全时全通。

2.4 对比分析

使用经典光学器件如光分束器、光开关、波分复用器等实现QKD 的组网。光学器件具有插入损耗会降低QKD 的安全传输距离，但是成本较低，可以更有效地利用资源，实现网络寻址和路由。

在安全性方面，基于光学器件的组网方案中，光学器件不对量子信号进行测量，可以等效为一定衰减的光纤线路。所以，基于光学器件的组网方案均不影响系统的安全性。在损耗方面，基于光开关的组网方案＜基于波分复用器的组网方案＜基于光分束器的组网方案。随着用户规模的增加，只有基于光分束器的组网方案损耗急剧增加，故基于光分束器的组网方案扩展性较差。在互通性方面，只有基于波分复用器构造的量子路由器的组网方案可实现全时全通。在控制方式方面，只有光开关是有源器件，其他器件均为无源器件，可以实现自动/被动寻址。基于光开关的组网方案根据需要主动切换。

使用基于经典光学器件的组网方案能够实现多用户的量子密钥分发共享，但并不能有效解决QKD的安全传输距离受限问题，故此类组网方案主要针对传输距离不是很远的场景。当需要使用量子密钥的通信双方相距较远且无法满足点到点的QKD 传输距离时，则需要使用中继的方式。

3 基于可信中继的网络方案

3.1 方案原理

基于可信中继的QKD 网络方案最早由Elloitt提出[17]。如图18 所示，可信中继的基本思想是将Alice 和Bob 之间的QKD 链路分成n个小段，每一段之间采用可信中继连接，利用相邻节点之间量子密钥分发产生量子密钥，再使用量子密钥结合一次一密技术逐段加密解密，最终Alice 和Bob 共享一对量子密钥。

图18 可信中继模型

可信中继步骤如下。

步骤1：相邻节点之间各自进行QKD 过程，两两之间生成量子密钥ki（其中i=1,2,…,n）；即Alice 和第1 个可信中继节点生成量子密钥k1，Bob与第n-1 个可信中继节点生成量子密钥kn；

步骤2：第1 个可信中继节点采用“一次一密”加密方案，使用k2加密k1，将密文信息（k1⊕k2）通过经典信道发送给第2 个可信中继节点；

步骤3：第2 个可信中继节点利用k2解密接收到的密文信息（k1⊕k2），执行（k1⊕k2）⊕k2操作，得到需要中继的k1；继续执行步骤2，将k1加密传输给下一个可信中继节点；

步骤4：逐段的执行步骤2 和步骤3，最终Bob利用与可信中继节点n-1 生成的量子密钥kn解密密文信息（k1⊕kn）⊕kn，实现Alice 和Bob 共享量子密钥k1。

3.2 方案分析

可信中继网络是基于点到点QKD 的扩展，当相距较远的节点之间需要分发共享量子密钥时，则可以使用中继技术进行量子密钥的中继，从而延长量子密钥分发距离。

在安全性方面，Alice 和Bob 共享的量子密钥k1以明文的形式存在于可信中继节点，故可以认为可信中继节点是能够使用k1解密并掌握保密通信内容的。这种方案的安全性前提是所有的中继节点必须可信。要实现中继节点的可信，通常需要人、物、管理、技术等多重手段予以综合保证。在损耗方面，中继节点需要逐段加密，但加密过程消耗中继节点的密钥。在互通性方面，只有相邻的节点可以直接进行量子密钥分发，经过中继后可以在任意节点共享密钥。在控制方式方面，采用的是逐段生成量子密钥，逐段加密进行量子密钥中继。

此外，可信中继方案还可以用于实现多用户之间量子密钥分发共享，如图19 所示。

图19 中，A-B、C-D、A-C、B-D、A-D、B-C均可以通过中继方式完成密钥共享，从而实现网络中A、B、C、D 多用户的量子密钥分发共享。此时，中继节点1 成为网络的中心节点，可以为其设置特定的中继交换规则来实现用户所希望的A、B、C、D 之间特定的密钥共享关系（如允许A-B、A-C 共享密钥，但不允许A-D 共享密钥）。

图19 多用户可信中继QKD 网络

4 基于量子中继的网络方案

4.1 方案原理

量子中继最早由Briegel 提出[18]。如图20 所示，量子中继的基本思想是量子中继基于纠缠原理实现，不再使用单光子方案，将Alice 和Bob 之间的链路分成n个小段，相邻节点之间利用纠缠分发、存储、纯化和交换技术，最终使Alice 和Bob 共享量子纠缠产生的一对量子密钥。

图20 量子中继模型（QM：量子存储器）

量子中继步骤如下。

步骤1：相邻节点之间进行纠缠分发，并由QM 存储；当纠缠度未达到使用要求时，需要使用纠缠纯化技术提高量子态的纠缠度。

步骤2：使用纠缠交换技术，对C1节点两端的QM 进行贝尔态投影测量，使Alice 和C2节点的QM 处于纠缠态。当纠缠度未达到使用要求时，需要使用纠缠纯化技术提高量子态的纠缠度。

步骤3：不断重复上述过程，直至Alice 和Bob的QM 处于纠缠态，在此基础上，使用基于纠缠的QKD 协议，最终实现Alice 和Bob 共享量子密钥。

4.2 方案分析

与可信中继方案相似，量子中继方案也可用于延长量子密钥分发距离。在损耗方面，中继节点需要纠缠交换，消耗中继节点存储的量子纠缠态。在互通性方面，只有相邻的节点进行纠缠分发，经过中继后可以任意节点共享密钥。在控制方式上，采用的是分段方式实现纠缠分发、存储、纯化和交换。

相对于可信中继方案依赖中继节点须可信的前提条件，量子中继方案的通信双方在最终测量前，量子纠缠一直处于量子叠加态，量子密钥不会存在于中继节点，故并不要求中继节点必须可信，因此量子中继可以认为是一种无条件安全的中继方案。但是，目前量子中继在实现上存在技术难点，暂时未达到实用的程度。

5 结语

量子密钥分发可以在异地生成安全的量子密钥，结合“一次一密”加密技术可以实现无条件安全的量子通信。本文针对目前存在的主要QKD 网络方案进行研究，分析每种组网方案的优缺点，具体如表1 所示。

表1 量子密钥分发网络组网方案对比

量子密钥分发组网方案应与实际应用需求相结合，将其一般性设计思想总结如下。

（1）对于主干网络，量子密钥分发网络以可信中继方案为主，重点解决地区与地区间远距离通信的需求。同时，主干网络作为重要基础设施，相应的人力、物力、管理、技术等资源保障一般是较为充足的，可为中继节点的安全可信提供较好的保证。

（2）对于城域网络，结合城市间通信距离需求，可采用混合式组网方案，包括可信中继、光开关、波分复用型量子路由器等。其中，对于需要做到任意两点连通和全时全通的节点，采用波分复用型量子路由器；对于连通要求不高的节点，采用光开关型组网方案；对于中间节点，若通信距离需要，也可采用可信中继的方案。

（3）对于接入网络，通常通信距离要求不高，可使用光分束器、光开关、波分复用器等组网方案。

（4）成本也是一项需要考虑的要素。不同用户对量子密钥分发性能、通信距离、网络规模的需求不同，组网方案应当结合成本因素进行综合设计。

综上，本文对量子密钥分发组网方案进行了研究，以促进量子密钥分发技术走出实验室、形成“生产力”为指导思想，预期对量子密钥分发网络实际的设计和建设工作提供有益的指导或参考价值。