嵇 夏 申 毅

中通服咨詢?cè)O(shè)計(jì)研究院有限公司

0 引言

2016年8月，我國自主研制的世界首顆量子科學(xué)實(shí)驗(yàn)衛(wèi)星“墨子號(hào)”成功發(fā)射，這標(biāo)志著我國量子科學(xué)研究又邁出重要一步。量子保密通信技術(shù)已被國際上認(rèn)為事關(guān)國家信息安全的戰(zhàn)略性必爭領(lǐng)域，隨著量子保密通信技術(shù)逐步走向?qū)嵱没?，國際競爭日益激烈。美國DARPA（國防部高級(jí)研究計(jì)劃局）于2003年起歷時(shí)兩年建立了世界上第一個(gè)量子密鑰分發(fā)保密通信網(wǎng)絡(luò)，包括3個(gè)連接節(jié)點(diǎn)延伸長度達(dá)10公里。歐洲SECOQC網(wǎng)絡(luò)（Secure Communication based on Quantum Cryptography）也于2004年開始建設(shè)，歷時(shí)四年半建立了包含6個(gè)節(jié)點(diǎn)的量子通信系統(tǒng)。西方發(fā)達(dá)國家的政府、科研機(jī)構(gòu)和產(chǎn)業(yè)資本正在加速進(jìn)行戰(zhàn)略部署，大幅度增加研發(fā)投入，對(duì)我國的領(lǐng)先優(yōu)勢(shì)構(gòu)成強(qiáng)烈沖擊。

1 量子保密通信原理

量子保密通信是基于量子力學(xué)理論中的不確定性、測(cè)量坍縮和不可克隆三大原理，利用量子疊加態(tài)和糾纏效應(yīng)進(jìn)行信息傳送的新型通信方式，理論上提供了無法被竊聽和計(jì)算破解的絕對(duì)安全性保證。但限于現(xiàn)階段技術(shù)原因，目前所說量子通信通常指量子密鑰分發(fā)（QKD）技術(shù)，是一種基于量子力學(xué)原理實(shí)現(xiàn)的密鑰生成技術(shù)，通過量子態(tài)的制備、傳輸和測(cè)量，在通信雙方之間提供無法被竊聽的共享隨機(jī)密鑰，基于上述共享隨機(jī)密鑰對(duì)傳統(tǒng)通信進(jìn)行加密，從而形成加密通信安全解決方案。

量子密鑰分發(fā)（QKD）根據(jù)物理機(jī)制和協(xié)議類型不同，可以分為基于單光子調(diào)制的離散變量（DV）協(xié)議，如BB84、B92、DPS、COW；基于多光子調(diào)制的連續(xù)變量（CV）協(xié)議，如GG02；以及基于糾纏光子對(duì)的糾纏協(xié)議，如E91。其中，BB84是1984年第一次提出并獲得廣泛應(yīng)用的QKD協(xié)議，在理論安全性證明方面也更加完備。由于現(xiàn)階段真正單光子源技術(shù)還不成熟（技術(shù)不成熟、造價(jià)昂貴），弱相干脈沖光源結(jié)合誘騙態(tài)強(qiáng)度調(diào)制是目前BB84協(xié)議的實(shí)用化解決方案。

單個(gè)光子在光纖中傳輸極易被信道吸收，導(dǎo)致最大傳播距離有限，目前依靠光纖的“量子保密通信”的主要障礙是密鑰單次分發(fā)的有效距離，目前國內(nèi)公開報(bào)道的量子密鑰分發(fā)的最遠(yuǎn)光纖距離為404公里，此距離很難滿足大規(guī)模的量子加密通信需求，為此業(yè)界提出了基于可信中繼的量子保密通信系統(tǒng)，即在量子密鑰分發(fā)最遠(yuǎn)光纖距離之內(nèi)增加量子中繼站，通過接力傳輸?shù)姆绞綄?shí)現(xiàn)量子密鑰的遠(yuǎn)距離傳輸。

2 安全性分析

量子保密通信網(wǎng)絡(luò)中的中繼站與傳統(tǒng)光通訊網(wǎng)絡(luò)中繼有著本質(zhì)的區(qū)別，傳統(tǒng)光通信中繼器僅將光信號(hào)進(jìn)行過濾、重整、放大，不涉及光電信號(hào)轉(zhuǎn)換，但根據(jù)量子不可克隆原理，單光子的偏振態(tài)無法直接復(fù)制，所以量子中繼站無法進(jìn)行直接的放大傳輸，需要在每個(gè)中繼站進(jìn)行量子密鑰解密、量子密鑰加密，通過接力的方式傳遞量子密鑰。

如圖1所示，量子保密通信中繼站包括量子信號(hào)發(fā)送器與接收器，再結(jié)合計(jì)算機(jī)系統(tǒng)對(duì)密鑰進(jìn)行加密和解密操作，這就需要兩個(gè)通信連接通道：量子通道和傳統(tǒng)的通信通道（即經(jīng)典通道），其中量子通道進(jìn)行量子密鑰的傳遞，經(jīng)典通道進(jìn)行密文的傳遞。

圖1 量子密鑰分發(fā)流程

假設(shè)一次通信中經(jīng)過N個(gè)量子通信中繼站，依次標(biāo)記為1號(hào)、2號(hào)，一直到N號(hào)站。密鑰接力傳遞的具體流程：

（1）先在1號(hào)和2號(hào)之間通過量子通道進(jìn)行量子密鑰協(xié)商，產(chǎn)生一個(gè)量子密鑰K1。同樣在2號(hào)和3號(hào)之間產(chǎn)生一個(gè)量子密鑰K2，以此類推得到N-1個(gè)密鑰。

（2）2號(hào)把上述K1作為待傳輸?shù)拿魑?，以K2為密鑰使用對(duì)稱加密算法對(duì)K1加密得到密文Y1，Y1通過經(jīng)典通道送達(dá)3號(hào)，3號(hào)用K2解密得到密鑰K1的明文。3號(hào)用相同方法把K1傳輸給4號(hào)。

（3）依次向后傳遞，就這樣將K1傳遞給N號(hào)，這樣在1號(hào)與N號(hào)之間就取得了一個(gè)共享量子密鑰K1。在此過程中，中繼站點(diǎn)可獲得量子密鑰明文，這種情況下中繼是否安全將直接影響量子密鑰的安全。

由于中繼站點(diǎn)分布廣泛，規(guī)模通常都較小，安保措施及條件較差，通常僅采用基于視頻監(jiān)控的保護(hù)，中繼站點(diǎn)的失陷將導(dǎo)致整個(gè)量子密鑰的泄漏，亟需一種方法提升量子密鑰傳遞的安全性。

3 基于信任的量子密鑰分發(fā)方法

如圖2所示，基于信任中心的量子密鑰分發(fā)方法，通過設(shè)立信任中心，用于非對(duì)稱加密公鑰的發(fā)布與存儲(chǔ)，并參與起始站點(diǎn)和目的站點(diǎn)密鑰協(xié)商指令的發(fā)送與執(zhí)行。由于信任中心集中設(shè)置于網(wǎng)絡(luò)中的核心機(jī)房，安全可控，通過在現(xiàn)有量子密鑰分發(fā)網(wǎng)絡(luò)中疊加加密算法，在不影響現(xiàn)有流程方法的前提下，提升網(wǎng)絡(luò)整體安全性。

圖2 基于信任中心的組網(wǎng)示意

具體流程如下：假設(shè)通信起始站點(diǎn)記為1號(hào)站點(diǎn)，目的站點(diǎn)記為N號(hào)站點(diǎn)，中間經(jīng)過N-2個(gè)中繼站點(diǎn)，信任中心通過經(jīng)典網(wǎng)絡(luò)與起始站點(diǎn)、目的站點(diǎn)和中繼站點(diǎn)實(shí)現(xiàn)通信，經(jīng)典網(wǎng)絡(luò)可采用物理專線或VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）。

密鑰協(xié)商分發(fā)流程如圖3所示。

圖3 密鑰協(xié)商分發(fā)流程

第一步：進(jìn)行端到端加密密鑰協(xié)商，起始站點(diǎn)生成對(duì)稱加密密鑰M1，通過信任中心獲取目的站點(diǎn)的公鑰Tn，將對(duì)稱加密密鑰M1通過非對(duì)稱加密公鑰Tn加密并傳送到目的站點(diǎn)，目的站點(diǎn)通過非對(duì)稱加密私鑰Sn解密獲得對(duì)稱加密密鑰M1；具體步驟：

（1）起始站點(diǎn)通過量子隨機(jī)數(shù)發(fā)生器生成隨機(jī)數(shù)X；

（2）起始站點(diǎn)基于所述隨機(jī)數(shù)X通過量子隨機(jī)數(shù)發(fā)生器產(chǎn)生真隨機(jī)比特，長度與量子密鑰等長，作為加密密鑰M1；

（3）起始站點(diǎn)向信任中心請(qǐng)求目的站點(diǎn)的非對(duì)稱加密公鑰Tn，信任中心收到請(qǐng)求，查找目的站地址，并向目的站發(fā)送非對(duì)稱加密公鑰Tn生成指令；

（4）目的站點(diǎn)生成非對(duì)稱加密公鑰Tn、私鑰Sn對(duì)，并將公鑰Tn發(fā)送到信任中心；

（5）信任中心向起始站點(diǎn)發(fā)送公鑰Tn，起始站點(diǎn)接收公鑰Tn，并用此公鑰Tn加密所述對(duì)稱加密密鑰M1獲得新密鑰M2；

（6）起始站點(diǎn)向信任中心發(fā)送新密鑰M2，信任中心向目的站點(diǎn)發(fā)送新密鑰M2，目的站點(diǎn)接收新密鑰M2，通過私鑰Sn解密新密鑰M2，獲得對(duì)稱加密密鑰M1。

第二步：用對(duì)稱加密密鑰M1加密量子密鑰，并通過量子網(wǎng)絡(luò)傳遞，目的站點(diǎn)解密后獲得量子密鑰。具體步驟：

（1）起始站點(diǎn)1號(hào)站點(diǎn)與下一跳中繼站點(diǎn)2號(hào)站點(diǎn)通過量子通道協(xié)商獲得量子密鑰K1，將M1與K1按位進(jìn)行XOR（異或）生成加密后的量子密鑰K1’；

（2）下一跳中繼站點(diǎn)2號(hào)站點(diǎn)向下下一跳中繼站點(diǎn)3號(hào)站點(diǎn)傳遞量子密鑰K2；2號(hào)站點(diǎn)通過量子密鑰K2對(duì)量子密鑰K1’進(jìn)行XOR（異或）加密生成密鑰Y2；2號(hào)站點(diǎn)通過經(jīng)典網(wǎng)絡(luò)將密鑰Y2傳輸至3號(hào)站點(diǎn)；

（3）3號(hào)站點(diǎn)通過量子密鑰K2與密鑰Y2再次XOR（異或）解密獲得量子密鑰K1’；

（4）3號(hào)站點(diǎn)向4號(hào)站點(diǎn)傳遞量子密鑰K3；3號(hào)站點(diǎn)通過量子密鑰K3對(duì)量子密鑰K1’進(jìn)行XOR（異或）加密生成密鑰Y3；3號(hào)站點(diǎn)通過經(jīng)典網(wǎng)絡(luò)將密鑰Y3傳輸至4號(hào)站點(diǎn)；

（5）4號(hào)站點(diǎn)通過量子密鑰K3與密鑰Y3再次XOR（異或）解密，獲得量子密鑰K1’；

（6）以此類推，直至N-1號(hào)站點(diǎn)向本次通信的目的站點(diǎn)N號(hào)站點(diǎn)傳遞量子密鑰Kn-1；N-1號(hào)站點(diǎn)通過量子密鑰Kn-1對(duì)量子密鑰K1’進(jìn)行XOR（異或）加密生成密鑰Yn-1；N-1號(hào)站點(diǎn)通過經(jīng)典網(wǎng)絡(luò)將密鑰Yn-1傳輸至目的站點(diǎn)N號(hào)站點(diǎn)；

（7）目的站點(diǎn)N號(hào)站點(diǎn)通過量子密鑰Kn-1與密鑰Yn-1再次XOR（異或）獲得加密后的量子密鑰K1’，然后通過所述對(duì)稱加密量子密鑰M1解密K1’，獲得未加密的量子密鑰K1。

其中第一步中公鑰私鑰對(duì)生成方法，具體實(shí)現(xiàn)步驟可采用：

（1）隨機(jī)選擇兩個(gè)不相等的大素?cái)?shù)p和q；

（2）計(jì)算p和q的乘積n；

（3）計(jì)算n的歐拉函數(shù)φ（n），φ（n） = （p-1）（q-1）；

（4）隨機(jī)選擇一個(gè)整數(shù)e，判斷e是否滿足1＜ e ＜φ（n），且e與φ（n）互質(zhì)，如不符合重新執(zhí)行本步驟；

（5）計(jì)算e對(duì)于φ（n）的模反元素d，d ≡ 1（mod φ（n））；

（6）生成公鑰、私鑰對(duì)，其中公鑰由乘積n和整數(shù)e生成，私鑰由乘積n和模反元素d生成。

上述大素?cái)?shù)p和q的生成方法，具體實(shí)現(xiàn)步驟如下：

（1）定義一個(gè)最大值MAX，生成數(shù)組P[MAX]，其中定義P[0]為2，P[1]為3；

（2）執(zhí)行嵌套循環(huán)，其中外循環(huán)條件為初始y=5，s=2，并定義開始標(biāo)記m為真，判斷y值，如y小于等于前述MAX，執(zhí)行一次循環(huán)，且y增加2，并進(jìn)行下一次判斷。每次循環(huán)執(zhí)行判斷m值，如果m值為真，則將本次y值存入數(shù)組P[s]且s增加1，m值的狀態(tài)由下述內(nèi)循環(huán)控制；

（3）內(nèi)循環(huán)設(shè)定i的初始值為1，計(jì)算y的平方根sq-rt（y），如果m為真且P[i]＜=sqrt（y），執(zhí)行內(nèi)循環(huán)，且每執(zhí)行一次循環(huán)i值增加1，每次循環(huán)計(jì)算y % P[i]，當(dāng)y % P[i]的結(jié)果為0，則終止內(nèi)循環(huán)且定義m為假；

（4）最終P[MAX]即為素?cái)?shù)組成的數(shù)組，從中隨機(jī)選取兩個(gè)大于指定數(shù)值的素?cái)?shù)使用，建議指定數(shù)值優(yōu)選10000。

4 方案效果分析

目前量子密鑰分發(fā)網(wǎng)絡(luò)在運(yùn)行中較大數(shù)量的量子密鑰需存儲(chǔ)在中繼節(jié)點(diǎn)中，若攻破一個(gè)可信中繼并訪問到其存儲(chǔ)區(qū)，即可以解出會(huì)話密鑰，并且隨著存儲(chǔ)時(shí)間的延長，密鑰失竊的風(fēng)險(xiǎn)也相應(yīng)增長。目前基于可信中繼的量子密鑰分發(fā)網(wǎng)絡(luò)安全增強(qiáng)方案主要有：異或中繼、多路徑中繼、密鑰迭代和物理防御等，本文提出了另一種安全增強(qiáng)方案，通過在網(wǎng)絡(luò)中心設(shè)置信任中心，實(shí)現(xiàn)密鑰的加密，即便中繼節(jié)點(diǎn)泄密也是泄露加密后的密鑰，無法得到明文密鑰，主要存在如下方面優(yōu)勢(shì)：（1）信任中心處于網(wǎng)絡(luò)核心位置，與全網(wǎng)核心路由、網(wǎng)管中心等同局址設(shè)置，失竊風(fēng)險(xiǎn)極低；（2）密鑰協(xié)商基于現(xiàn)有經(jīng)典網(wǎng)絡(luò)通信，網(wǎng)絡(luò)改造極小，成本較低；（3）僅當(dāng)次密鑰分發(fā)首尾站點(diǎn)執(zhí)行加解密，不影響中間節(jié)點(diǎn)復(fù)雜度，通信效率影響較小。

5 結(jié)束語

目前量子保密通信還處于前期探索階段，雖然國內(nèi)近年來新建了幾條干線網(wǎng)絡(luò)，也有部分諸如金融、政府等保密通信應(yīng)用，但距真正意義上的商用網(wǎng)絡(luò)還有較大差距，一方面網(wǎng)絡(luò)規(guī)模小，還未形成全國性的網(wǎng)絡(luò)，另一方面現(xiàn)有的量子密鑰分發(fā)網(wǎng)絡(luò)還存在較多安全薄弱點(diǎn)，量子密鑰加密對(duì)比現(xiàn)代通訊加密網(wǎng)絡(luò)缺乏絕對(duì)優(yōu)勢(shì)，這也正是后續(xù)要深入研究的方向，希望在不久的將來，能實(shí)現(xiàn)真正意義上的量子通信。