, ,

(解放軍信息工程大學(xué)，鄭州 450004)

當(dāng)前，量子密碼學(xué)發(fā)展迅速，量子密鑰作為一種新型的密鑰形式，以其獨(dú)有的安全特性得到了廣泛的重視，逐步走向商用[1]。

量子密鑰服務(wù)模式與協(xié)議是制約量子密鑰大規(guī)模服務(wù)應(yīng)用的關(guān)鍵技術(shù)。從目前的研究來(lái)看，因?qū)嶋H功能需求不同，一般將量子密鑰服務(wù)模式劃分為單端隨機(jī)數(shù)密鑰服務(wù)模式、端端密鑰服務(wù)模式和組密鑰服務(wù)模式。其中，組密鑰服務(wù)模式用于量子密鑰分配(QKD，Quantum Key Distribution)網(wǎng)絡(luò)環(huán)境下多方參與的通信[2-4]，如視頻會(huì)議、網(wǎng)絡(luò)游戲、視頻點(diǎn)播、股市交易、計(jì)費(fèi)電視網(wǎng)絡(luò)等。組播具有節(jié)省發(fā)送者資源、節(jié)省網(wǎng)絡(luò)帶寬及流量的特點(diǎn)。在當(dāng)前量子密鑰產(chǎn)生速率不高的實(shí)際背景下，量子密鑰特別適合以組播的形式服務(wù)用戶，如果能設(shè)計(jì)出高效、低代價(jià)的量子密鑰組播服務(wù)協(xié)議，必將為量子密鑰的大規(guī)模應(yīng)用打下堅(jiān)實(shí)的基礎(chǔ)。因此，對(duì)量子組播密鑰服務(wù)模式的研究與協(xié)議的設(shè)計(jì)具有十分廣泛的應(yīng)用價(jià)值。

1 量子密鑰服務(wù)協(xié)議

進(jìn)入21世紀(jì)以來(lái)，量子密碼通信越來(lái)越得到重視，許多國(guó)家都致力于量子密碼通信網(wǎng)絡(luò)的建設(shè)，推動(dòng)了量子密鑰的實(shí)用化進(jìn)程。對(duì)量子密鑰進(jìn)行怎樣的管理？如何將量子密鑰安全有效地供給需要的用戶？這都是量子密鑰服務(wù)協(xié)議所需解決的問(wèn)題，但目前的研究甚少。

本文在對(duì)量子密鑰服務(wù)理論研究的基礎(chǔ)上，結(jié)合國(guó)家級(jí)重大項(xiàng)目研究的經(jīng)驗(yàn)，為了更好地描述量子密鑰服務(wù)用戶的全過(guò)程，擬提出一種量子密鑰服務(wù)協(xié)議。

這種量子密鑰服務(wù)協(xié)議應(yīng)用于多個(gè)QKD終端組成的網(wǎng)絡(luò)環(huán)境，每個(gè)QKD終端下方都帶有多個(gè)用戶。根據(jù)量子密碼學(xué)相關(guān)知識(shí)，直接相連的QKD終端以BB84協(xié)議為理論依據(jù)，完成量子密鑰分配過(guò)程，產(chǎn)生一致的量子密鑰。量子密鑰服務(wù)協(xié)議用來(lái)接收這些量子密鑰，經(jīng)過(guò)一系列處理，將這些密鑰送達(dá)需要使用密鑰的用戶。服務(wù)協(xié)議的具體過(guò)程如圖1所示。

圖1 量子密鑰服務(wù)協(xié)議過(guò)程圖

(1)密鑰服務(wù)發(fā)現(xiàn)過(guò)程：服務(wù)模塊對(duì)用戶密鑰申請(qǐng)響應(yīng)，判斷用戶申請(qǐng)是否合法，給出相應(yīng)的回應(yīng)。

(2)密鑰協(xié)同過(guò)程：服務(wù)模塊根據(jù)所需密鑰的數(shù)量，通過(guò)協(xié)同計(jì)算從緩存池中找到一致的密鑰。

(3)密鑰格式裝配過(guò)程：按用戶要求的格式進(jìn)行裝配密鑰。

(4)密鑰傳輸過(guò)程：通過(guò)信道傳輸，將裝配好的密鑰傳輸給對(duì)應(yīng)的用戶。

(5)密鑰緩存池管理過(guò)程：密鑰緩存池管理伴隨密鑰服務(wù)的整個(gè)過(guò)程；從QKD終端產(chǎn)生的量子密鑰源源不斷地進(jìn)入緩存池，密鑰協(xié)同過(guò)程又不斷地從緩存池中取走密鑰，對(duì)緩存池中的密鑰進(jìn)行實(shí)時(shí)管理；綜合考慮緩存池中密鑰的進(jìn)入和取出，設(shè)計(jì)合理的管理方案，以保證緩存池中密鑰在取出的同時(shí)，能由進(jìn)入的密鑰迅速填補(bǔ)，使得整個(gè)緩存池中密鑰次序順暢，存儲(chǔ)合理，位置正確，為下一次的密鑰協(xié)同過(guò)程打下良好基礎(chǔ)。

2 量子組播密鑰服務(wù)協(xié)議

組播情況下，參與通信的用戶數(shù)量眾多，群組成員的狀態(tài)變化頻繁，在量子密鑰服務(wù)協(xié)議的基礎(chǔ)上，增加適合于組播密鑰服務(wù)的相關(guān)過(guò)程[5-10]，可得到量子組播密鑰服務(wù)協(xié)議。

根據(jù)實(shí)際應(yīng)用的需要，本文將組播關(guān)系劃分為一對(duì)多和多對(duì)多兩種，以便于研究組播模式下的量子密鑰服務(wù)協(xié)議設(shè)計(jì)。

為了方便描述量子組播密鑰服務(wù)協(xié)議的具體過(guò)程，本文將復(fù)雜的QKD組網(wǎng)環(huán)境簡(jiǎn)化成3個(gè)QKD節(jié)點(diǎn)，每個(gè)QKD節(jié)點(diǎn)帶有多個(gè)用戶而組成的一個(gè)簡(jiǎn)單模型，這個(gè)模型基本涵蓋了多種不同形式的組播組。在一個(gè)由3個(gè)QKD節(jié)點(diǎn)組成的簡(jiǎn)單網(wǎng)絡(luò)中(見(jiàn)圖2)，QKD節(jié)點(diǎn)A與B、B與C之間都有光纖鏈路相連，而A與C之間沒(méi)有信道，形成了4種不同的組播組。圖2中上側(cè)框內(nèi)的用戶B1～B5構(gòu)成了組播組1，組播組1代表同一QKD節(jié)點(diǎn)下用戶構(gòu)建的組播組。圖2中左上側(cè)框內(nèi)的用戶A1、A2、B1～B5構(gòu)成了組播組2，組播組2代表兩兩之間有信道直接相連的QKD節(jié)點(diǎn)下用戶組成的組播組。圖2中最大面積框內(nèi)的用戶A1、A2、B1～B5、C1、C4構(gòu)成了組播組3，組播組3代表存在兩兩之間沒(méi)有信道直接相連但包括中繼的QKD節(jié)點(diǎn)下用戶組成的組播組。圖2中最下方框內(nèi)的用戶A3、C2、C3構(gòu)成了組播組4，組播組4代表兩兩之間沒(méi)有信道直接相連也不包括中繼的QKD節(jié)點(diǎn)下密鑰設(shè)備組成的組播組。

圖2 3個(gè)QKD節(jié)點(diǎn)組成的簡(jiǎn)單網(wǎng)絡(luò)中組播組劃分情況

從實(shí)際應(yīng)用來(lái)看，組播組3和組播組4涉及較少，所以應(yīng)重點(diǎn)研究組播組1和組播組2中量子密鑰服務(wù)協(xié)議的過(guò)程。在一對(duì)多和多對(duì)多兩種通信模式下，本文將分別研究組播組1和組播組2中的用戶是如何獲得量子密鑰服務(wù)的。

2.1 一對(duì)多通信模式

一對(duì)多通信模式存在一個(gè)發(fā)送者和多個(gè)接收者，發(fā)送者發(fā)送消息給目標(biāo)群組內(nèi)的成員，發(fā)送者一般被當(dāng)作群組通信的發(fā)起者。量子組播密鑰服務(wù)中的情況有所不同，用戶向量子密鑰服務(wù)模塊申請(qǐng)，由量子密鑰服務(wù)模塊從緩存池中取出密鑰，分給用戶，可以將集成了量子密鑰服務(wù)模塊的QKD節(jié)點(diǎn)看成發(fā)送者，而將用戶看成接收者。

在組播組1中，發(fā)送者為QKD節(jié)點(diǎn)B，接收者為用戶B1～B5。由于B1～B5都屬于QKD節(jié)點(diǎn)B，因此QKD節(jié)點(diǎn)B只需從所屬密鑰緩存池中選取足夠量的密鑰，復(fù)制5份，發(fā)送給用戶B1～B5即可。

在組播組2中，由于構(gòu)成組播的用戶來(lái)源于兩個(gè)有信道直接相連的QKD節(jié)點(diǎn)，QKD節(jié)點(diǎn)A和QKD節(jié)點(diǎn)B都是發(fā)送者，因此其服務(wù)協(xié)議的具體過(guò)程與組播組1存在差別。其具體過(guò)程對(duì)照見(jiàn)表1。

2.2 多對(duì)多通信模式

在多對(duì)多的通信模式中，每個(gè)參與者都是平等的，每個(gè)成員既是發(fā)送者又是接收者。這類應(yīng)用的群組被稱為動(dòng)態(tài)對(duì)等群組(DPG，Dynamic Peer Group)。動(dòng)態(tài)對(duì)等群組不存在特殊的控制節(jié)點(diǎn)，成員的關(guān)系體現(xiàn)為分布式協(xié)同關(guān)系。DPG通信主要應(yīng)用于多個(gè)參與者交換消息和文檔的分布式會(huì)議、分布式協(xié)同設(shè)計(jì)等環(huán)境。

表1 組播組1和組播組2中量子密鑰服務(wù)過(guò)程對(duì)照表

仍然以組播組1和組播組2為例。對(duì)于組播組1,QKD節(jié)點(diǎn)B下的用戶B1～B5組成一個(gè)動(dòng)態(tài)對(duì)等群組，B1～B5既是發(fā)送者又是接收者。若整個(gè)組播組中同時(shí)存在多個(gè)對(duì)等通信對(duì)，則這些通信對(duì)中的用戶要想相互通信，必須由量子密鑰服務(wù)模塊同時(shí)提供密鑰服務(wù)。例如，圖3中狀態(tài)1有B1-B2和B3-B4兩個(gè)通信對(duì)，它們同時(shí)向QKD節(jié)點(diǎn)B下的量子密鑰服務(wù)模塊提出密鑰服務(wù)申請(qǐng)，密鑰服務(wù)只在密鑰協(xié)同過(guò)程有較大變化時(shí)進(jìn)行。當(dāng)狀態(tài)1執(zhí)行完后，整個(gè)組播組1的內(nèi)部通信關(guān)系變化為狀態(tài)2(B1-B5和B2-B4兩個(gè)通信對(duì))，服務(wù)模塊重新提供密鑰服務(wù)。圖3詳細(xì)給出了組播組1在通信關(guān)系變化時(shí)密鑰協(xié)同的過(guò)程。

圖3 多對(duì)多情況下組播組1中的密鑰協(xié)同過(guò)程

對(duì)于組播組2，QKD節(jié)點(diǎn)A下的用戶A1、A2和QKD節(jié)點(diǎn)B下的用戶B1～B5組成一個(gè)動(dòng)態(tài)對(duì)等群組，A下的用戶與B下的用戶組成通信對(duì)時(shí)需要兩個(gè)量子密鑰服務(wù)模塊相互協(xié)商，通過(guò)協(xié)同算法選取密鑰。其具體過(guò)程如圖4所示。

圖4 多對(duì)多情況下組播組2中的密鑰協(xié)同過(guò)程

3 關(guān)鍵技術(shù)

通過(guò)對(duì)量子組播密鑰服務(wù)協(xié)議過(guò)程的具體描述，不難發(fā)現(xiàn)，在整個(gè)服務(wù)過(guò)程中，密鑰協(xié)同過(guò)程是難點(diǎn)，是決定密鑰服務(wù)成敗的關(guān)鍵。

上文中簡(jiǎn)化了密鑰協(xié)同過(guò)程，并且理想地認(rèn)為密鑰協(xié)同的環(huán)境安全可靠。但是，如果密鑰緩存池已經(jīng)被敵方掌握，取密鑰時(shí)，顯然就不能只設(shè)定一個(gè)起點(diǎn)而成塊地選取密鑰。

3.1 成塊取密鑰+置亂算法

本文仍然采取設(shè)定起點(diǎn)，成塊取密鑰的方法，但是，在取完密鑰后，服務(wù)模塊要對(duì)取出的成塊密鑰的次序進(jìn)行一次重排序。例如，從緩存池中取出了次序?yàn)?到100的密鑰，傳輸給用戶前，對(duì)它們進(jìn)行置亂重排，完全將1到100的次序打亂，即使敵方知道了是哪100比特的密鑰，也不知道這100比特中的0、1是如何排列的，以此起到密鑰保護(hù)的作用。

3.2 隨機(jī)選取密鑰

這里需要引入一個(gè)隨機(jī)數(shù)生成算法：

將該算法應(yīng)用到密鑰協(xié)同過(guò)程，設(shè)M為緩存池中密鑰的總?cè)萘恐担艟彺娉刂忻荑€總量為2k(k為任意整數(shù))，取M=2k；根據(jù)約束條件，b要求與M互素，取b為3，由于M只有素因子2，并且a還要模4余1，所以，取a為5。這樣，設(shè)定一個(gè)初始值y0，就能根據(jù)上述的遞推公式，產(chǎn)生一系列的隨機(jī)數(shù)。假如需要100比特的密鑰，執(zhí)行這個(gè)公式99次，得到y(tǒng)0～y99，相應(yīng)得到x0～x99，根據(jù)產(chǎn)生的隨機(jī)數(shù)，無(wú)序地從對(duì)應(yīng)的緩存池中取出這些隨機(jī)數(shù)位置上的密鑰。這樣竊聽(tīng)者即使知道了緩存池中的整個(gè)密鑰信息，也無(wú)法判斷按照什么順序取了哪些位置上的密鑰，從而無(wú)法獲得密鑰信息。

由上述算法提供的100個(gè)隨機(jī)數(shù)，因?yàn)槠渲写嬖谀５倪\(yùn)算，在產(chǎn)生隨機(jī)數(shù)時(shí)，必然存在周期的問(wèn)題。假如，周期小于需要的隨機(jī)數(shù)個(gè)數(shù)，這樣，取得的100個(gè)數(shù)中將會(huì)產(chǎn)生重復(fù)，給取密鑰帶來(lái)麻煩。要解決這個(gè)問(wèn)題，前面公式中a、b、y0的取值十分關(guān)鍵?？梢酝ㄟ^(guò)計(jì)算，對(duì)參數(shù)適當(dāng)取值，從而使得隨機(jī)數(shù)的周期盡可能大。由于每次需要取的密鑰量必然遠(yuǎn)小于緩存池的總?cè)萘?，進(jìn)而可以保證需要取的隨機(jī)數(shù)的個(gè)數(shù)也遠(yuǎn)小于隨機(jī)數(shù)的周期，因此產(chǎn)生的隨機(jī)數(shù)就不會(huì)重復(fù)，選取密鑰時(shí)也不會(huì)有重復(fù)的情況。

在組播情況下，同時(shí)隨機(jī)選取多組不重疊的密鑰，需要用到一種新的并行偽隨機(jī)數(shù)生成方法——兩層乘法同余算法。乘法同余算法其實(shí)是上文中提出的加法同余算法在常數(shù)b為零時(shí)的情況，當(dāng)b為零時(shí)，得到乘法同余算法：

xn+j=(ajxn)modM

簡(jiǎn)化得到：

xn+j=(ajmodM)xnmodM

根據(jù)乘法同余算法所具有的屬性，可在動(dòng)態(tài)可擴(kuò)展機(jī)群系統(tǒng)設(shè)計(jì)一種兩級(jí)線性同余并行偽隨機(jī)數(shù)生成算法。

假設(shè)有P組通信用戶提出密鑰服務(wù)申請(qǐng)，管理單元在發(fā)現(xiàn)申請(qǐng)后，首先由一個(gè)主乘法同余算法xn=axn-1modM生成P個(gè)隨機(jī)數(shù){x1,x2,x3，…，xp}，將這P個(gè)隨機(jī)數(shù)作為二級(jí)的P個(gè)乘法同余生成器的種子。

接著，根據(jù)本次計(jì)算的規(guī)模，計(jì)算二級(jí)乘法同余算法的乘法系數(shù)A(j)：

A(j)=aj,j=1,2,…，P

根據(jù)前面的簡(jiǎn)化算法，乘法系數(shù)A(j)在實(shí)際計(jì)算時(shí)，可以采用如下公式完成：

A(j)=(…((a*amodM)*amodM)…*a)modM

在得到二級(jí)P個(gè)乘法同余生成算法的乘法系統(tǒng)和種子后，分別計(jì)算這P個(gè)二級(jí)乘法同余算法，得到P組隨機(jī)數(shù)。其具體算法如下：

由于此兩級(jí)線性同余并行偽隨機(jī)數(shù)生成算法既是單隨機(jī)序列的并行劃分，同時(shí)又表現(xiàn)為相同的生成算法(乘法同余算法)、不同參數(shù)(乘法系數(shù)和種子)多生成器獨(dú)立并行運(yùn)行，因此可保證隨機(jī)數(shù)的生成效率。更為重要的是，該并行隨機(jī)數(shù)生成器生成的隨機(jī)數(shù)事實(shí)上來(lái)源于一個(gè)乘法同余算法，在保證這個(gè)乘法同余算法的有效性后，也能保證并行序列的獨(dú)立、不重疊性。這一點(diǎn)對(duì)密鑰協(xié)同過(guò)程的意義重大，可以保證從密鑰緩存池中同時(shí)為多通信組取得的密鑰不會(huì)產(chǎn)生重疊，從而保證密鑰的使用達(dá)到“一次一密”的要求，這就從理論上確保了整個(gè)通信過(guò)程的絕對(duì)安全。

4 安全性分析

(1)前向安全性：當(dāng)有成員離開(kāi)組播組時(shí)，整個(gè)組播組中的通信關(guān)系發(fā)生變化，會(huì)立即停止使用這次分發(fā)來(lái)的密鑰，然后將新的通信關(guān)系和密鑰的需求量重新上報(bào)量子密鑰服務(wù)模塊，服務(wù)模塊協(xié)商后，從緩存池中取出新的密鑰,發(fā)給新的通信用戶。這就保證了離去的用戶無(wú)法獲知離開(kāi)后的密鑰。

(2)后向安全性：當(dāng)有新的成員加入組播后，整個(gè)組播的通信關(guān)系和成員發(fā)生改變，組播會(huì)停止正在使用的密鑰，然后向量子密鑰服務(wù)模塊提出新的密鑰服務(wù)申請(qǐng)。這就保證了新加入的成員不能獲知加入前的組密鑰信息。

(3)抗同謀共解：組播中成員獲取的密鑰都是由量子密鑰服務(wù)模塊從緩存池取得的，成員在接收到密鑰之前對(duì)密鑰的信息絲毫不知。因此，即使組播中多個(gè)成員相互聯(lián)合，也無(wú)法得知密鑰的任何信息。

(4)中間人攻擊：在實(shí)際應(yīng)用中，如果遇到中間人攻擊，可以在密鑰格式裝配過(guò)程中，在密鑰信息的頭部加入認(rèn)證信息，接收者收到密鑰后，首先通過(guò)約定的方式對(duì)狀況認(rèn)證密鑰進(jìn)行檢驗(yàn)，檢驗(yàn)合格方可，以此確保后面的密鑰安全可靠。

5 結(jié) 語(yǔ)

如今，量子密碼無(wú)論是在理論研究還是在實(shí)際應(yīng)用中都取得了長(zhǎng)足的進(jìn)展，量子密鑰的協(xié)商產(chǎn)生技術(shù)已經(jīng)十分成熟，制約量子密鑰大規(guī)模應(yīng)用的關(guān)鍵技術(shù)就在于量子密鑰服務(wù)與管理的相關(guān)技術(shù)。本文正是著眼于這一現(xiàn)狀，根據(jù)實(shí)踐經(jīng)驗(yàn)，將研究重點(diǎn)放在當(dāng)前較少涉及的量子密鑰服務(wù)領(lǐng)域，對(duì)其中諸多問(wèn)題提出了看法與解決思路。

當(dāng)然，本文僅僅是對(duì)量子密鑰服務(wù)，尤其是組密鑰服務(wù)進(jìn)行的一些初步探討，還遠(yuǎn)未達(dá)到可以應(yīng)用的層次。在后續(xù)的研究中，將會(huì)理論聯(lián)系實(shí)際，完善量子密鑰服務(wù)協(xié)議，最終以量子密鑰服務(wù)模塊成品的形式展示密鑰服務(wù)的全過(guò)程。

參考文獻(xiàn)：

[1] Gisin N，Ribordy G.Quantum Cryptography[J].Reviews of Modern Physics,2004,74(1):145-195.

[2] 曹博.量子保密通信網(wǎng)絡(luò)及其協(xié)議研究[D].長(zhǎng)沙：國(guó)防科學(xué)技術(shù)大學(xué)，2010.

[3] 許方星.安全量子密鑰分配的實(shí)用化研究[D].合肥：中國(guó)科學(xué)技術(shù)大學(xué)，2010.

[4] 吳張斌，陳光，楊伯君.量子密鑰分配網(wǎng)絡(luò)分析[J].光通信研究，2009，152(2)：22-24.

[5] 張江，張萌，陳春曉，等.高效的分布式組密鑰協(xié)商機(jī)制[J].清華大學(xué)學(xué)報(bào)，2008，48(1)：101-105.

[6] 張玉臣，王亞弟，韓繼紅.自組網(wǎng)環(huán)境下基于組合公鑰的分布式密鑰管理[J].計(jì)算機(jī)科學(xué)，2011，38(10)：75-77.

[7] 趙秀鳳，徐秋亮，韋大偉.群組密鑰協(xié)商協(xié)議的安全性分析方法研究[J].計(jì)算機(jī)科學(xué)，2011，38(6)：145-148.

[8] 陳衛(wèi)東，劉廣偉，劉澤超.分布式組播密鑰管理協(xié)議中的組密鑰生成算法研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2010，31(7)：1307-1310.

[9] 趙龍泉.基于密鑰樹(shù)的組密鑰更新技術(shù)研究[D].鄭州：解放軍信息工程大學(xué)，2010.

[10] 劉廣偉.安全組播中的組密鑰管理協(xié)議研究[D].沈陽(yáng)：東北大學(xué)，2009.