量子保密通信在广域网中的应用

梁洪源 黄晓宁 韦峥

江苏亨通问天量子信息研究院有限公司 江苏 苏州 215000

引言

广域网从概念的定义是将地理位置上相距较远的多个计算机系统，通过通信线路按照网络协议连接起来，实现计算机之间相互通信的计算机系统的集合[1]。

传统而言，租用专线线路是最流行的广域接入技术实现方式，专线线路通常泛指运营商级的DDN专线。21世纪初，随着光传输技术的进步和10G以太网的普及，基于以太网的广域网技术逐渐进入市场，MPLS（Multi-Protocol Label Switching）逐渐成为时代的主流。在2010年后，随着云计算和NFV技术的兴起，软件定义的概念被提出，广域网络进入Network Overlay时代，其代表就是SD-WAN技术。

安全一直是网络的首要命题，无论是公众业务的隐私安全还是工业互联网的控制安全，都需要加密进行安全防护。直至今日，通信的加密经历了3次重大变化，其中包括机器代替手工加密增加密码复杂性、密码学中引入数学计算形成密码学、非对称密码学的产生[2-3]。在通信领域的发展过程中，经典通信的安全性取决于计算难度，而打破安全性的关键就在于计算速度。时至今日，通信安全一直在与计算速度进行着博弈，为了从源头上杜绝窃听等安全威胁，量子通信应运而生。量子通信作为被普遍认为的安全性最高的通信方式，受到了国内外科研人员的广泛关注和重视。量子通信领域中部分协议已经由理论化趋向于实用化。量子通信网络更是未来通信领域的必然之选[4-5]。

本文包括3个部分，第1部分对广域网技术现状加以分析，第2部分对量子保密通信技术在广域网上应用的加密技术进行分析，最后对本文进行了总结。

1 广域网技术现状分析

从分类的角度而言，广域网通常分为以下3种类型。

1.1 公共传输网络

一般由政府组建，典型的技术包括公共交换电话网（PSTN）和综合业务数字网（ISDN），以及分组交换的X.25分组交换网、帧中继和交换式多兆位数据服务（SMDS）。

1.2 专用传输网络

由一个组织或团体自己建立、使用、控制和维护的私有通信网络，最主要的代表就是数字数据网（DDN）。

1.3 WWAN（Wireless Wide Area Network）无线广域网

典型的有GSM和GPRS技术，更有近年来逐渐普及的LPWAN（Low-Power Wide-Area Network）的NB-IoT、LoRa、WI-SUN等技术。

技术服务于业务，业务取源于需求。随着云计算的发展，高安全、低成本、扁平化的超融合网络接入技术最终将成为WAN接入的主要方式。但通常来说，从可信网络的角度而言，若想融合网络的安全性和单一网络安全性达成一样的水平，其代价是十分昂贵的。故而如何保证超融合广域网的安全性，是亟待解决的问题，也是行业内研究的热点。

无论是传统的MPLS技术还是新兴起的SD-WAN技术，目前常见的安全手段都是IPSec（Internet Protocol Security）技术或者其变种。IPSec是IETF（因特网工程任务组）于1998年11月公布的IP安全标准，其核心的加密策略为PKI （Public Key Infrastructure）公钥基础设施，利用非对称加密保证对称密钥的同步安全问题，利用对称密钥加密业务，保证低时延。

IPSec有两种工作模式：第一种传输模式，第二种隧道模式。其中隧道模式是最常用的模式。

标准的IPSec隧道加密方式可表述为：

式中，N为IPSec兴趣流，A(N)为AES密文。

IPSec作为点对点的通信协议，其核心思想是如何构建一个可信的隧道，依赖于数学的高难度计算来保证安全，无法提供应用到应用的安全，缺少密钥的访问控制能力。

通过防火墙的安全隔离使分支CPE内部得到了一定的安全保证，SSL/IPSEC保证了在互联网上传输企业私密数据的安全。经典的广域网络接入从努力构建一个可信的网络出发，保证广域网的安全性。

2 量子保密技术在广域网中的应用

信息论创始人克劳德·香农在20世纪50年代提出理论上无条件安全的信息通信结论：密钥真随机并且一次一密，与明文等长并且按位进行二进制的异或与操作[6]。但如何保证密钥的更新与分发存在漏洞，存在被窃听的可能性，在行业内一直无法解决该问题，导致该理论无法商业落地。在2001年，理想的量子保密通信技术协议——BB84协议被证明无条件安全[7]。但实际上，因实际系统的不完美性，量子保密通信虽然可以提供真随机的安全密钥，但在实际实现过程可能会存在实际安全漏洞，需要针对实际安全性漏洞制订对应的防御措施和标准。

基于ZTNA（Zero Trust Network Access）零信任网络访问架构，借鉴SASE身份认证驱动思想及统一的可视可管的控制平台思路，平台侧构建量子密钥使能平台。使用基于BB84协议的量子态系统作为系统真随机密钥来源；结合内生安全的体系结构，构建可信的密钥分发体系，并实现与IPSec的安全融合。在终端侧构建等量随机密钥池，从保护密钥的角度，实现纵向分布式安全加密体系，主要包括：①量子使能平台的密钥动态管控；②IPSec量子密钥重封装。

2.1 量子使能平台的密钥动态管控

量子使能平台的核心功能之一是根据客户流量中的不同QOS（Quality of Service）需求，选择动态密钥链。

2.1.1 保证接入认证。通过在uCPE出厂时内置安全证书，形成终端带有自认证特性设备指纹特征证书，在设备入网时，主动平台侧进行认证申请，平台根据自身的指纹数据库进行校验，判断是否合法接入，并在接入后，持续进行零信任认证。

2.1.2 实现动态密钥分发。当一个应用流量进入CPE设备时，CPE设备会通过包头的端口信息（或使用深度包监测 / DPI）识别出这个流量的应用类型，然后向平台请求密钥流表。平台定义密钥流Application-Aware Routing 的策略(Policy)，通过不同的加密算法加密后下发至各终端。

2.2 IPSec量子密钥重封装

IPSec作为IP网最常用的安全协议之一。在SDN架构中，转发层面用IPSec隧道技术协议，在MPLS等协议技术中，也常常使用IPSec建立MPLS VPN。IPSec在密钥管理中采用DH（Diffie-Hellman）算法进行会话密钥的同步。DH是一个非对称算法，使用公钥体系。

2.2.1 在时延要求比安全级别要求更优先的场景中。在网络初始化阶段，通过量子使能平台与终端证书的交互，将该隧道使用的会话密钥，通过平台层进行加密分发，并构建终端基础自验证密钥池，建立隧道时，无须进行DH交换，而是利用密钥池中的可变密钥实现IPSec隧道的协商建立。可表述为：

式中，加密函数为E，则 C = E(K, P)，其中P为IPSec兴趣流明文，K为可变量子密钥，C为使用量子可变密钥的AES密文。

2.2.2 在安全级别要求比时延要求更优先的场景中。IPSec在隧道模式加密时，考虑到时效性，将原报文的IP头和数据一同进行加密，未对数据区进行单独加密[8]。在高安全要求的场景中，利用SA上移与量子密钥集中分发的机制，可以有效减少相应的时延，在确保相同等级的安全条件下，达到更优的效果。

利用量子使能平台建立QTSA，依靠密钥流策略流表进行密钥信息交换，然后在QT SA的基础上协商建立IPsec SA。依靠集中分化的集中化管理和软件定义，可以实现海量分布式的IPSec隧道的快速协商。可表述为：

式中，可定义加密算法为D，AES加密算法为E，P为IPSec兴趣流数据区，Q为IPSec兴趣流报头，K1，K2为量子可变密钥。

3 结束语

本文通过建立集中化的密钥使能管理平台，构建一种纵向一体的安全策略。并提出两种量子密钥与IPSec协议的融合方式。

软件定义的思维在云化的广域网上如火如荼，SD-WAN、SASE蓬勃发展，数据安全与网络安全与个人乃至国家安全息息相关，也是各项新技术的首要命题，本文提供了一种量子保密通信在广域网的实现思路与方向，希望能够为后续研究者提供建议和参考。