陳立佳 劉菲 史銘 趙波

摘要：現(xiàn)代社會人們和各類機(jī)構(gòu)越來越多的傾向于借助互聯(lián)網(wǎng)來進(jìn)行信息交流，這個過程中信息數(shù)據(jù)的產(chǎn)生、傳輸和存儲都是借助于計(jì)算機(jī)硬件技術(shù)、存儲技術(shù)以及網(wǎng)絡(luò)相關(guān)技術(shù)來實(shí)現(xiàn)的。但信息在網(wǎng)絡(luò)傳輸過程中卻存在著眾多的安全問題。本文提出了一種基于量子密鑰分配技術(shù)的數(shù)據(jù)安全通信網(wǎng)絡(luò)，以保證在信息傳輸中的安全問題，提升信息傳輸過程中的安全性。由密鑰生成控制服務(wù)器、經(jīng)典交換機(jī)、QKD系統(tǒng)等設(shè)備組成，將量子通信技術(shù)應(yīng)用于專用數(shù)據(jù)保護(hù)的通信網(wǎng)絡(luò)，大幅提高了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩浴?/p>

關(guān)鍵詞：數(shù)據(jù)通信 量子密鑰分發(fā) 量子密碼終端 密鑰中繼

ABSTRACT：Modern society， people and various organizations tend to use the Internet to exchange information， the process of the production， transmission and storage of information data is the use of computer hardware technology， storage technology and network related technology to achieve. But there are many security problems in the process of information transmission. In this paper， a data security communication network based on quantum key distribution is proposed in order to guarantee the complete problem in information transmission， and to improve the security of information transmission. Safety communications network based on quantum key distribution technology is proposing in this paper， composing by secondary system， key generation control server， the classic switch， QKD system and other equipment. The application of quantum communication technology in the communication network of private data protection has greatly improved the security of network data transmission.

Keywords：Data communication； Electric Power Secondary System； quantum key distribution； quantum cryptography equipment； Quantum Key Relay

量子保密通信是基于量子密鑰分發(fā)的密碼通信解決方案，量子密鑰分發(fā)不依賴于計(jì)算的復(fù)雜性來保證通信安全，而是基于量子力學(xué)基本原理。只要能夠在通信雙方成功的建立密鑰，這組建立的密鑰就是絕對安全的，并且這種密鑰是具有絕對隨機(jī)性的，從原理上無法破解。由于量子密碼系統(tǒng)基于的這種隨機(jī)性，其安全性不因數(shù)學(xué)水平和計(jì)算能力的提高受到威脅，所以不僅是現(xiàn)在，而且在未來利用量子密碼系統(tǒng)加密的信息都是安全的。由此，人類目前已知的唯一具有長期安全性保障的通信解決方案是量子保密通信。并且在世界范圍內(nèi)已有量子通信網(wǎng)絡(luò)初步建成并運(yùn)行。

在傳統(tǒng)數(shù)據(jù)傳輸系統(tǒng)基礎(chǔ)上，使用量子通信保證數(shù)據(jù)傳輸?shù)陌踩裕岣邤?shù)據(jù)通信網(wǎng)絡(luò)的可靠性、安全性和穩(wěn)定性，是一個值得研究和發(fā)展的方向，兩者結(jié)合能夠有效保證數(shù)據(jù)在通信過程中的安全可靠。

一、QKD系統(tǒng)基本結(jié)構(gòu)

如圖表1.1所示，QKD系統(tǒng)主要由主控模塊、數(shù)據(jù)處理模塊、系統(tǒng)管理模塊、光電系統(tǒng)（光學(xué)模塊和單光子探測器）組成。

該QKD系統(tǒng)的運(yùn)行受控于密鑰生成控制系統(tǒng)，由密鑰生成控制系統(tǒng)下發(fā)QKD控制指令給終端設(shè)備的系統(tǒng)管理模塊，系統(tǒng)管理模塊將接收到的指令進(jìn)行必要的協(xié)議轉(zhuǎn)換（某些關(guān)鍵指令還需要加解密處理），完成對QKD系統(tǒng)進(jìn)行工作流程控制。

系統(tǒng)管理模塊的外圍主要硬件結(jié)構(gòu)如圖表1.2所示：

二、QKD系統(tǒng)與數(shù)據(jù)通信

在當(dāng)前的要求數(shù)據(jù)安全性比較高的網(wǎng)絡(luò)中，會采用專線進(jìn)行保密的數(shù)據(jù)通信，會添加防護(hù)設(shè)備，增加一道安全措施。設(shè)備首先需要通過證書機(jī)制，完成身份認(rèn)證過程，然后將一端產(chǎn)生的隨機(jī)數(shù)通過非對稱密碼學(xué)算法加密處理后傳輸給另一端，而另一端的防護(hù)設(shè)備將接收到數(shù)據(jù)，并把數(shù)據(jù)進(jìn)行解密，由此獲得隨機(jī)數(shù)，這樣就完成了對稱密鑰的分發(fā)過程。

由于目前的對稱密鑰分發(fā)機(jī)制，必須由經(jīng)典密鑰學(xué)的加解密算法處理，這樣就有可能被攻破。因此，通過制定一整套完善的量子對稱密鑰傳輸、同步、中繼等協(xié)議，使得防護(hù)設(shè)備可以使用QKD系統(tǒng)提供的對稱量子密鑰，對目前系統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行實(shí)時量子加解密處理。如圖表2.1所示：

三、多用戶應(yīng)用場景下的量子密鑰分配、存儲和管理機(jī)制

如圖表3.1所示，在要求較高的專線數(shù)據(jù)傳輸系統(tǒng)多用戶應(yīng)用場景下，可將該專線網(wǎng)絡(luò)分為“客戶大區(qū)”和“管理大區(qū)”兩大部分。該場景下的兩個用戶之前數(shù)據(jù)通信的安全通信可由QKD系統(tǒng)直接向認(rèn)證設(shè)備提供的量子密鑰保證。

在該網(wǎng)絡(luò)中，可使用一個全通型光量子交換機(jī)，掛接6臺量子網(wǎng)關(guān)，在密鑰生成控制服務(wù)器的調(diào)度下，實(shí)現(xiàn)任意兩個設(shè)備間的量子密鑰分發(fā)，并直接把生成的量子密鑰存儲在各自設(shè)備內(nèi)。

管理大區(qū)用戶與客戶大區(qū)用戶之間進(jìn)行通信，其防護(hù)設(shè)備可以使用QKD系統(tǒng)提供的量子密鑰，完成數(shù)據(jù)加解密功能，達(dá)到安全的保密通信要求。

多用戶應(yīng)用場景量子加密數(shù)據(jù)傳輸?shù)闹饕襟E如下：

（1）場景內(nèi)，每個用戶終端部署一臺QKD系統(tǒng)，由密鑰生成控制服務(wù)器定時監(jiān)控每個用戶的當(dāng)前量子密鑰量，根據(jù)制定的排隊(duì)策略，把各個QKD系統(tǒng)按照規(guī)則進(jìn)行配對，啟動量子密鑰分發(fā)；

（2）各個QKD系統(tǒng)必須由唯一的ID號標(biāo)識身份，該QKD與其他的QKD系統(tǒng)進(jìn)行量子密鑰分發(fā)，并且會使用對方ID號對生成的量子密鑰進(jìn)行標(biāo)識和保存。

（3）通過具體的用戶通信進(jìn)行演示：客戶大區(qū)的用戶2需要與用戶4進(jìn)行通信，密鑰生成控制服務(wù)器會統(tǒng)一管理，安排用戶2與用4進(jìn)行通信，用戶2的QKD系統(tǒng)會根據(jù)ID號與用戶4的QKD系統(tǒng)分發(fā)的量子密鑰進(jìn)行設(shè)備認(rèn)證，而用戶4的QKD系統(tǒng)也會根據(jù)ID號與用戶2的QKD系統(tǒng)分發(fā)的量子密鑰提供給認(rèn)證設(shè)備；

（4）認(rèn)證設(shè)備采用量子密鑰，對傳輸?shù)臄?shù)據(jù)進(jìn)行加解密處理，使保密通信過程完成。

四、通信網(wǎng)絡(luò)與量子網(wǎng)絡(luò)融合

（一）通信網(wǎng)絡(luò)中的加密認(rèn)證設(shè)備部署

專線網(wǎng)絡(luò)要實(shí)現(xiàn)“分級管理”的要求，各級數(shù)據(jù)調(diào)度中心以及下屬的各個數(shù)據(jù)站點(diǎn)部署了加密認(rèn)證設(shè)備，根據(jù)總部調(diào)度通信關(guān)系建立加密隧道（理論上只能在上級和下級之間建立加密隧道），加密隧道拓?fù)涞慕Y(jié)構(gòu)是網(wǎng)狀結(jié)構(gòu)。如圖表4.1、圖表4.2所示：

（二）量子通信網(wǎng)絡(luò)融入實(shí)例

在一級分部調(diào)度中心管理中，加密認(rèn)證設(shè)備需要對相鄰的二級分部使用 QKD系統(tǒng)提供的量子密鑰進(jìn)行加解密處理。網(wǎng)絡(luò)拓?fù)淙鐖D表4.3所示：

一級分部調(diào)度中心控制二級分部1和二級分部2的通信網(wǎng)絡(luò)，一級分部與兩個二級分部都可以通過量子集控站，完成兩兩間的量子信道建立，在集控站的統(tǒng)一協(xié)調(diào)下，使其具備兩兩之間能夠分發(fā)量子密鑰的能力。由此，一級分部調(diào)度中心與兩個分部之間就可以實(shí)現(xiàn)兩兩加密認(rèn)證設(shè)備通過使用量子密鑰進(jìn)行加解密處理的保密通信。該場景下的通信數(shù)據(jù)加解密與傳輸流程如下所示：

（1）（這里一級分部調(diào)度中心簡稱為一級中心；二級分部1簡稱為二分1；二級分部2簡稱為二分2）。

（2）一級中心的集控站與二分1的集控站、一級中心的集控站與二分2的集控站，在密鑰生成控制服務(wù)器（處于集控站中）的統(tǒng)一協(xié)調(diào)管理下，實(shí)現(xiàn)量子密鑰分發(fā)；

（3）二分1需要完成與一級中心的通信數(shù)據(jù)傳輸，二分1的認(rèn)證設(shè)備先用與一級中心分發(fā)的量子密鑰，對數(shù)據(jù)進(jìn)行加密處理，然后由經(jīng)典網(wǎng)絡(luò)傳給一級中心；

（4）一級中心接收到二分1傳輸?shù)募用軘?shù)據(jù)，一級中心認(rèn)證設(shè)備使用與二分1分發(fā)的量子密鑰進(jìn)行解密，這樣就實(shí)現(xiàn)了二分1傳輸通信數(shù)據(jù)給一級中心的功能；

（5）與此同時，一級中心下發(fā)調(diào)度指令給二分1，一級中心的認(rèn)證設(shè)備使用與二分1分發(fā)的量子密鑰，對調(diào)度指令進(jìn)行加密處理，然后通過經(jīng)典網(wǎng)絡(luò)傳輸給二分1；

（6）二分1接收到一級中心傳輸?shù)募用苷{(diào)度指令，二分1認(rèn)證設(shè)備使用與一級中心分發(fā)的量子密鑰進(jìn)行解密，這樣就完成了一級中心傳輸數(shù)據(jù)給二分1的功能；

（7）二分2與一級中心之間的通信數(shù)據(jù)傳輸與二分1相似。

在二級分部1下，用戶1和用戶2的量子信道通過全通光量子交換機(jī)與該分部集控站連接，實(shí)現(xiàn)用戶1、用戶2和二級分部1兩兩之間的量子密鑰分發(fā)。該場景下的通信數(shù)據(jù)加解密與傳輸流程如下所示：

（1）用戶1與二級分部1、用戶2與二級分部1，在密鑰生成控制服務(wù)器（處于集控站中）的統(tǒng)一協(xié)調(diào)，實(shí)現(xiàn)量子密鑰分發(fā)；

（2）用戶1需要與一級分部調(diào)度中心進(jìn)行通信數(shù)據(jù)傳輸，用戶1的認(rèn)證設(shè)備首先使用其與一級分部1交互分發(fā)的量子密鑰，加密通信數(shù)據(jù)，然后由經(jīng)典網(wǎng)絡(luò)傳輸給一級分部1；

（3）一級分部1收到用戶1傳輸?shù)慕?jīng)過加密通信數(shù)據(jù)，一級分部1的認(rèn)證設(shè)備使用與用戶1分發(fā)的量子密鑰對加密數(shù)據(jù)進(jìn)行解密，這樣就實(shí)現(xiàn)了用戶1傳輸數(shù)據(jù)給一級分部1的功能；

（4）同時，一級分部1可以下發(fā)調(diào)度指令給用戶1，一級分部1的認(rèn)證設(shè)備使用與用戶1分發(fā)的量子密鑰，加密調(diào)度指令，然后經(jīng)由經(jīng)典網(wǎng)絡(luò)傳輸給用戶1；

（5）用戶1接收到二級分部1傳輸?shù)募用苷{(diào)度指令，其認(rèn)證設(shè)備使用與二級分部1分發(fā)的量子密鑰進(jìn)行解密，這樣就完成了二級分部1傳輸通信數(shù)據(jù)給用戶1的功能；

（6）用戶2與二級分部1之間的通信數(shù)據(jù)傳輸與用戶1類似。

如果用戶1或用戶2需要與一級分部調(diào)度中心直接傳輸通信數(shù)據(jù)，則要用到密鑰中繼功能，以用戶2上傳數(shù)據(jù)給一級分部調(diào)度中心為例，主要步驟如下所示：

（1）一級分部調(diào)度中心的集控站與二級分部1下的用戶2，通過它們之間的二級分部1集控站，利用經(jīng)典密鑰中繼的方式，使一級分部調(diào)度中心與用戶2之間擁有共享的量子密鑰；

（2）用戶2的認(rèn)證設(shè)備，需要給傳輸給一級分部調(diào)度中心的數(shù)據(jù)進(jìn)行加密，加密密鑰為上述共享的量子密鑰，然后由經(jīng)典網(wǎng)絡(luò)傳輸給一級分部調(diào)度中心；

（3）一級分部調(diào)度中心的認(rèn)證設(shè)備，利用對應(yīng)的量子密鑰作為業(yè)務(wù)密鑰，將用戶2傳輸過來的加密數(shù)據(jù)進(jìn)行解密，這樣就實(shí)現(xiàn)了用戶2與一級分部調(diào)度中心之間數(shù)據(jù)加解密傳輸功能。

五、結(jié)束語

本文對QKD設(shè)備應(yīng)用于專線通信網(wǎng)絡(luò)進(jìn)行分析和闡述，從目前通信網(wǎng)絡(luò)的現(xiàn)狀以及現(xiàn)有網(wǎng)絡(luò)的安全性特點(diǎn)出發(fā)，給出了系統(tǒng)多用戶應(yīng)用場景下的量子密鑰分配、存儲和管理機(jī)制實(shí)現(xiàn)方案；同時，提出一種融合量子密鑰分配技術(shù)與通信網(wǎng)關(guān)的安全通信網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù)。

本文還介紹了量子保密通信網(wǎng)絡(luò)與光纖通信網(wǎng)絡(luò)之間的互聯(lián)互通技術(shù)，提出量子網(wǎng)絡(luò)與專用通信網(wǎng)的融合實(shí)現(xiàn)方案，并研究任意節(jié)點(diǎn)之間的互聯(lián)互通機(jī)理以及針對量子保密通信網(wǎng)絡(luò)的密鑰中繼技術(shù)，為實(shí)現(xiàn)系統(tǒng)量子安全通信網(wǎng)絡(luò)奠定基礎(chǔ)。

參考文獻(xiàn)：

[1]Techateerawat， P.Dept. of Electr. & Comput. Eng.， Thammasat Univ.， Khlong Luang， Thailand.，2011. Network management system for Quantum Key Distribution. Electrical Engineering/Electronics， Computer， Telecommunications and Information Technology （ECTI-CON）， 2011-International Conference， P292-P295， Khon Kaen

[2]Sasaki， M.Nat. Inst. of Inf. & Commun. Technol.， Tokyo， JapanFujiwra， M. ； Ishizuka， H. ； Klaus， W. ； Wakui， K. ； Takeoka， M. ；Tanaka， A. ； Yoshino， K. ； Nambu， Y. ； Takahashi， S. ； Tajima， A. ；Tomita， A. ； Domeki， T. ； Hasegawa， T. ； Sakai， Y. ； Kobayashi， H. ；Asai， T. ； Shimizu， K. ； Tokura， T. ； Tsurumaru， T. ； Matsui， M. ；Honjo， T. ； Tamaki， K. ； Takesue， H. ； Tokura， Y. ； Dynes， J.F. ； Dixon，A. ； Sharpe， A.W. ； Yuan， Z.L. ； Shields， A.J. ； Uchikoga， S. ； Legre，M. ； Robyr， S. ； Trinkler， P. ； Monat， L. ； Page， J.-B. ； Ribordy， G. ；Poppe， A. ； Allacher， A. ； Maurhart， O. ； Langer， T. ； Peev， M. ；Zeilinger， A.，2011. Tokyo QKD Network and the evolution to Secure Photonic Network. Lasers and Electro-Optics （CLEO）， 2011， P1-P3， Baltimore， MD

[3]張睿汭，周靜，陳希.光纖量子密鑰分配技術(shù)在電網(wǎng)中的應(yīng)用前景[J].系統(tǒng)通信. 2012（10）

[4]張睿汭.光纖通信網(wǎng)絡(luò)竊聽方法及防御措施[J].電信科學(xué). 2012（11）