郭 皓，張寶燕

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

我們評估一種密碼體制是否安全，主要是看其是否具備：（1）無條件的安全性；（2）可證明的安全性；（3）計算安全性。無條件安全性即是我們通常所說的“一次一密”，每次使用的密鑰長度等于明文長度，并且密鑰不再重復使用?？勺C明的安全性通常與某個數(shù)學難題相關，這個數(shù)學難題在現(xiàn)階段是難以求解的，因而相應的密碼算法在現(xiàn)階段是安全的。計算安全性則是現(xiàn)有計算條件下破解密文需要進行大量的計算，消耗大量的時間，得到的明文已失去其時效性，這種情況下，我們也認為該密碼體制具有暫時的安全性。經(jīng)典密碼體制都是基于后面兩種安全性進行設計的。無法實現(xiàn)無條件安全性的原因主要是以下兩點：（1）難以產(chǎn)生出真正隨機的密鑰；（2）無法保證密鑰在不能證明安全的信道上實現(xiàn)安全的傳輸。但是，隨著量子密碼學技術的發(fā)展，以及量子隨機數(shù)發(fā)生器（Quantum Random Number Generator，QRNG）和量子密鑰分發(fā)技術（Quantum Key Distribution，QKD）的出現(xiàn)，使得解決無條件安全性的這兩個問題成為了可能。

1 量子隨機數(shù)發(fā)生器發(fā)展現(xiàn)狀

基于量子的內(nèi)稟隨機性，利用宇宙中的輻射粒子轟擊中電子傳感器能夠產(chǎn)生出不能預測頻率和時序的量子噪聲，并可將其轉換為真正的隨機數(shù)。2015年中科大團隊提出基于測量相位噪聲的量子隨機數(shù)產(chǎn)生方法，能夠達到68 Gbit/s的隨機數(shù)產(chǎn)生速率；同年澳大利亞國立大學提出的基于零差探測的方法，最終實現(xiàn)了速率可達3.55 Gbit/s的隨機數(shù)產(chǎn)生器；2017年中國電科發(fā)布了基于測量的分布式反饋（Distributed Feedback，DBF）激光器相位噪聲的高速量子隨機數(shù)發(fā)生器，實時產(chǎn)生速率能夠超過5.4 Gbit/s，極限值突破117 Gbit/s。2018年，潘建偉教授及其團隊已經(jīng)實現(xiàn)了器件無關的量子隨機數(shù)，使用不可信的第三方器件，也無法獲知其產(chǎn)生的隨機數(shù)。這些研究成果使得我們可以產(chǎn)生出足夠長度的，不可預測的真隨機數(shù)作為密鑰，能夠滿足現(xiàn)有大部分保密通信網(wǎng)絡的數(shù)據(jù)加密要求。

2 QKD技術發(fā)展現(xiàn)狀

QKD技術的無條件安全性是基于量子測不準原理和量子不可克隆定理完成理論證明的。發(fā)送方對密鑰進行量子態(tài)編碼、傳遞，接收方通過測量、糾錯、校驗等處理獲取密鑰數(shù)據(jù)。在未知量子態(tài)具體狀態(tài)的情況下，竊聽者進行測量時會造成量子態(tài)坍塌，從而使得通信雙方能夠通過誤碼率等參數(shù)判斷出當前是否存在竊聽行為，最終篩選出安全、一致的密鑰。

QKD技術一直是量子密碼領域的研究熱點。S.H.Bennett和G.Brassard在1984年提出了第一個量子密鑰分配協(xié)議（即BB84協(xié)議）[1]，該協(xié)議基于共軛編碼思想能夠為通信雙方提供隨機的密鑰，用于信息的加解密。1991年Ekert基于EPR（Einstein-Podolsky-Rosen）關聯(lián)對和Bell不等式提出了EPR協(xié)議[2]。1992年Bennett又提出了基于兩個非正交量子態(tài)的B92協(xié)議，建議使用光纖實現(xiàn)單光子的遠距離傳輸[3]。2000年Shor和Preskill提出了基于CSS量子糾錯碼的協(xié)議，并證明了在理想條件下，BB84協(xié)議的無條件安全性[4]。但實際情況中由于光源不是理想的單光子源，竊聽者可以通過光子數(shù)分束攻擊（Photon number Splitting，PNS）破壞QKD的無條件安全。2004年Scarani，Acin等人提出了采用四態(tài)非正交編碼方式的SARG04協(xié)議[5]，能夠使得竊聽者無法不被發(fā)現(xiàn)地區(qū)分出真正的信號態(tài)，QKD系統(tǒng)的安全性能夠基本保證。2000年后非單光子的QKD協(xié)議研究也取得了很大進展，連續(xù)變量協(xié)議（Continuous Variable，CV QKD，如GG02協(xié)議）、設備無關協(xié)議（Measurement Device Independent，MDI）以及分布相位參考協(xié)議（Distribution Phase Reference，DPR）相繼提出。

與此同時，QKD試驗網(wǎng)絡的建設也如火如荼。2004年世界首個6節(jié)點QKD網(wǎng)絡在美國建成，同時美國軍方也提出了“十年實現(xiàn)全球量子因特網(wǎng)”的研究計劃。2010年日本在東京建成了六節(jié)點的城域量子密鑰協(xié)商應用網(wǎng)絡，并計劃在2020年至2030年間建成基于量子加密技術的、絕對安全的高速量子信息通信網(wǎng)。2011年法國使用GG02協(xié)議的CV QKD設備在20公里的光纖信道上穩(wěn)定運行。2016年我國建成了2000公里的“京滬干線”，同年發(fā)射了墨子號量子通信衛(wèi)星，實現(xiàn)了星地量子通信，也標志著我國已初步具備廣域QKD組網(wǎng)能力。

目前美國在基于自由空間和光纖信道的離散變量QKD技術上處于世界領先水平，擁有大量的QKD技術專利。歐盟在基于光纖信道的連續(xù)變量QKD技術、基于自由空間信道的糾纏光子對QKD技術以及基于離散變量的QKD技術上處于世界領先水平。2009 年歐盟率先發(fā)布了量子通信技術商業(yè)白皮書，啟動了QKD技術標準化工作。歐盟的ID Quantique公司是首個推出商用QKD產(chǎn)品的公司，也是目前最成熟的量子通信相關產(chǎn)品供應商。日本在基于光纖信道的離散變量協(xié)議和差分相移（Differential Phase Shift，DPS）協(xié)議的QKD技術上處于世界領先水平。加拿大、英國、澳大利亞等國也制定了本國的量子技術發(fā)展計劃，大力支持相關領域的研究。

我國在量子保密通信領域也成果顯著，在相關技術實用化方面處于世界前列?！笆濉币?guī)劃已經(jīng)明確量子通信和量子計算領域研究為國家戰(zhàn)略重大科技項目。國內(nèi)相關產(chǎn)業(yè)以國盾量子和問天量子為代表，已經(jīng)推出了商用QKD產(chǎn)品，同時國內(nèi)各大通信企業(yè)也在聯(lián)手推進QKD技術的標準化和應用推廣。

3 QKD應用協(xié)議設計

基于經(jīng)典密碼體制的通信保密網(wǎng)絡通常由通信雙方進行密鑰協(xié)商，得到共享密鑰，然后對業(yè)務信道傳輸?shù)臄?shù)據(jù)進行加密保護，如圖1所示。

圖1 經(jīng)典密碼體制模型

但是隨著數(shù)學理論的發(fā)展、計算機計算能力的增強，特別是量子計算領域的研究深入，經(jīng)典密碼學的安全性受到了巨大挑戰(zhàn)。最為經(jīng)濟且最容易實用化的方法就是在經(jīng)典密碼體制中引入QKD技術，增加QKD分發(fā)設備，替代原有經(jīng)典密碼體制中的密鑰協(xié)商過程，如圖2所示。QKD分發(fā)設備完成真隨機數(shù)產(chǎn)生、量子編碼、量子傳輸、量子測量、量子篩選、竊聽檢測、糾錯和增強等處理，獲得安全的共享量子密鑰，用于業(yè)務信道傳輸數(shù)據(jù)的加密保護。

圖2 基于QKD技術的現(xiàn)有體制改造模型

3.1 QKD與現(xiàn)有光網(wǎng)絡融合架構設計

由于量子態(tài)信號易被干擾，需要建設專門的低信道損耗的量子信道用于QKD量子密鑰分發(fā)。但是部署點到點專用光纖鏈路造價高昂，因此構建QKD網(wǎng)絡是大勢所趨。

為了滿足光網(wǎng)絡部署的可擴展、兼容性高、成本低等需求，并考慮到今后QKD量子分發(fā)信道與傳統(tǒng)光網(wǎng)絡業(yè)務信道融合的可能性，我們將QKD網(wǎng)絡主要劃分為接入網(wǎng)和骨干網(wǎng)兩層。QKD骨干網(wǎng)主要由接入節(jié)點和中繼節(jié)點組成。QKD接入網(wǎng)主要由接入節(jié)點和用戶節(jié)點組成。接入節(jié)點負責匯聚用戶節(jié)點，使之能夠接入骨干網(wǎng)。中繼節(jié)點主要負責量子態(tài)信號糾錯、增強，主要實現(xiàn)量子信息的遠距離、高速傳輸。用戶節(jié)點主要負責用戶的接入，并對通信的用戶雙方進行可靠的共享密鑰分發(fā)。一個用戶節(jié)點可以接入多個用戶，用戶和用戶節(jié)點之間通過經(jīng)典信道連接，采用經(jīng)典保密體制進行保護。

為了滿足光網(wǎng)絡用戶和QKD網(wǎng)絡設備的安全管理要求，在此進一步引入了管理節(jié)點。管理節(jié)點管理同一管理域內(nèi)的所有用戶和QKD設備，用于實現(xiàn)用戶及各個節(jié)點的身份鑒權認證、設備狀態(tài)管理和資源管理、業(yè)務策略控制等功能。管理節(jié)點兩兩互連組成可軟件定義的管理網(wǎng)絡。QKD與現(xiàn)有光網(wǎng)絡融合架構如圖3所示。

圖3 QKD與現(xiàn)有光網(wǎng)絡融合架構圖

3.2 QKD密鑰分發(fā)應用協(xié)議

雖然QKD技術能夠保證共享密鑰的安全傳輸，但防止非法用戶接入網(wǎng)絡也是系統(tǒng)安全性必須考慮的問題。因此，我們提出了一種QKD密鑰分發(fā)應用協(xié)議，在分發(fā)密鑰前需要對通信雙方進行身份鑒別，只有通過身份鑒別的用戶才能獲取到QKD設備分發(fā)的密鑰。

為了適應用戶的靈活擴展需求，所有設備的身份鑒別和管控工作都由管理節(jié)點完成。QKD設備在接入QKD網(wǎng)絡時即進行身份認證，此后管理節(jié)點對其定時進行身份鑒別。用戶在建立通信連接、申請密鑰時需要先完成身份鑒別，具體流程如圖4所示。

用戶A向用戶B發(fā)起通信申請時，向QKD_A發(fā)出密鑰分發(fā)申請，其中攜帶了用戶A、B雙方的鑒權申請信息；OKD_A收到密鑰分發(fā)申請請求后，進行記錄并向管理節(jié)點發(fā)送用戶A、B的身份鑒權申請；管理節(jié)點完成用戶A的身份鑒別，同時向用戶B發(fā)出鑒權邀請；用戶B收到鑒權邀請后向管理節(jié)點發(fā)送鑒權申請信息；管理節(jié)點完成用戶B鑒權后，將用戶A、B的鑒權結果發(fā)送給QKD_A；如果用戶A、B都是合法用戶，則QKD_A生成共享密鑰，并觸發(fā)QKD分發(fā)流程，將共享密鑰發(fā)送到QKD_B；最后QKD_A和QKD_B分別將得到的共享密鑰分發(fā)給用戶A、B。

圖4 QKD密鑰分發(fā)流程

4 結 語

QKD密鑰分發(fā)應用協(xié)議在現(xiàn)有光網(wǎng)絡中的初步應用，增強了密鑰分發(fā)的安全性和密鑰的質(zhì)量，能夠滿足當前光通信系統(tǒng)安全性的需求，同時該協(xié)議可擴展到IP網(wǎng)絡用戶、移動應用終端等應用場景。但是協(xié)議所采用的身份認證方式仍存在管理復雜，前向安全性較差的不足，因此筆者團隊后期將在量子簽名系統(tǒng)實用化、量子秘密共享實用化方面方向進一步開展研究。