量子保密通信關(guān)鍵技術(shù)及組網(wǎng)應(yīng)用探討

摘要：基于量子密鑰分發(fā)（QKD——Quantum Key Distribution）的量子保密通信為信息通信和安全領(lǐng)域提供了新的發(fā)展方向，獲得了廣泛的關(guān)注和顯著的成效。以量子保密通信的關(guān)鍵技術(shù)為基礎(chǔ)，結(jié)合量子保密通信組網(wǎng)架構(gòu)的設(shè)計及應(yīng)用實例，對量子保密通信組網(wǎng)應(yīng)用進行探討，為進一步拓展量子保密通信的組網(wǎng)應(yīng)用提供重要的參考價值。

0

引言

量子保密通信在保障通信安全方面具有巨大的優(yōu)勢，在國防、政務(wù)、金融等部門中具有極其重要的應(yīng)用價值。量子保密通信技術(shù)主要是基于量子密鑰分發(fā)技術(shù)（QKD），為傳統(tǒng)信息安全技術(shù)的發(fā)展提供新的發(fā)展方向。不同于經(jīng)典信息，量子通信的基本信息單元是量子比特，對量子比特的處理過程遵從量子力學(xué)的規(guī)律。將量子密鑰分發(fā)與當(dāng)代信息通信技術(shù)相結(jié)合的量子保密通信是一種實現(xiàn)數(shù)據(jù)高安全傳輸?shù)男屡d信息安全技術(shù)。

量子密鑰分發(fā)技術(shù)以量子物理基本原理做保障，可以在公開信道上無條件安全地分發(fā)密鑰，從原理上保證了一旦存在竊聽就必然被發(fā)現(xiàn)。一旦在通信雙方成功建立了密鑰，這組密鑰就是安全的，而且這種具有絕對隨機性的密鑰從原理上是無法被破解的。因此，量子保密通信被認(rèn)為是保障未來通信安全最重要的技術(shù)手段之一，具有十分重要的經(jīng)濟價值和戰(zhàn)略意義［1］。

量子保密通信網(wǎng)絡(luò)組網(wǎng)是量子通信技術(shù)中的重要支撐，隨著該項技術(shù)的成熟發(fā)展和在我國網(wǎng)絡(luò)應(yīng)用規(guī)模上的不斷擴大，也為我國搶占國際信息安全技術(shù)的制高點打下堅實的基礎(chǔ)；量子保密通信網(wǎng)絡(luò)對保障我國通信安全具有十分重要的意義。這里將對量子保密通信的原理技術(shù)及實際應(yīng)用進行詳細討論，通過將量子密鑰分發(fā)應(yīng)用于量子保密通信組網(wǎng)中，進一步分析量子保密通信的組網(wǎng)應(yīng)用，并為其提供更多參考價值，從而使之適用于更廣泛的應(yīng)用場景。

1

量子保密通信的技術(shù)原理

1.1 基本原理

量子保密通信是基于量子密鑰分發(fā)的密碼通信解決方案。量子密鑰分發(fā)就是用量子信息給經(jīng)典信息加密后，用經(jīng)典信道傳遞加密后的信息，再用量子信道傳遞密鑰。只要因果律成立（無法超光速通信），量子密鑰分發(fā)的安全性就可以得到嚴(yán)格證明，其安全性原理如下。

a） 單光子不可再分原理：量子密鑰分發(fā)采用單個量子（通常為單光子）作為信息載體。由于單光子是構(gòu)成物質(zhì)的基本單元，是能量和動量的最小單元，不可再分，因此竊聽者無法通過竊取半個光子并測量其狀態(tài)的方法來獲得密鑰信息。竊聽者可以在截取單光子后，測量其狀態(tài)，然后根據(jù)測量結(jié)果發(fā)送一個新光子給接收方。但根據(jù)量子力學(xué)中的海森堡測不準(zhǔn)原理，這個過程一定會引起光子狀態(tài)的擾動，發(fā)送方和接收方可以通過一定的方法檢測到竊聽者對光子的測量，從而檢驗他們之間所建立的密鑰的安全性。

b） 量子不可克隆原理：竊聽者也試圖在截取單光子后，通過復(fù)制單光子量子態(tài)來竊取信息。但量子力學(xué)中的不可克隆原理保證了未知的量子態(tài)不可能被精確復(fù)制，量子一經(jīng)測量便會改變它原有的形態(tài)。采用光子偏振或者相位進行編解碼，均可以實現(xiàn)BB84協(xié)議。

c） “一次一密”安全傳輸：按照BB84協(xié)議，每一個光子隨機選擇調(diào)制的基矢，接收端也采用隨機的基矢進行監(jiān)測。當(dāng)發(fā)送與接收端選擇的基矢一致時，接受到的信號被認(rèn)為是有效的而被紀(jì)錄，如果選擇的基矢不一致，則數(shù)據(jù)被丟棄。這樣就可以保證發(fā)送與接收方獲得了一致的隨機數(shù)序列，從而可以實現(xiàn)“一次一密”的絕對安全通信。

1984年，Benett 與Brassard 提出的首個量子密鑰分發(fā)協(xié)議（BB84協(xié)議）是目前最重要的量子保密通信協(xié)議［2］。BB84協(xié)議中使用光子的水平偏振態(tài)、垂直偏振態(tài)和±45°偏振態(tài)來實現(xiàn)編碼。如圖1 所示，發(fā)送端Alice 主要由量子信號源、調(diào)制器、隨機數(shù)發(fā)生器等部件構(gòu)成，根據(jù)隨機生成的二進制數(shù)串，生成不同的偏振態(tài)單光子作為發(fā)送的量子比特。接收端Bob通過量子信道接收單光子信號，隨機選擇基矢對光子進行測量，并將測量基矢通過經(jīng)典信道告知Alice，雙方保留基矢相同的部分；最后，雙方再通過公開一段量子密鑰，來估計誤碼率和可能的竊聽者Eve的存在，最終Alice和Bob共同產(chǎn)生量子密鑰［3］。

圖1 BB84協(xié)議示意圖［4］

原始BB84協(xié)議要求使用單光子源進行量子保密通信才能實現(xiàn)無條件安全性［5］。然而目前單光子源技術(shù)還不夠成熟，無法大規(guī)模應(yīng)用。在實際應(yīng)用中，一般采用常見的激光光源等含有多光子的光源進行密鑰分發(fā)，存在嚴(yán)重的安全性隱患。竊聽者可以采用光子數(shù)分離攻擊（PNS——Photo-Number-Splitting Attack）得到具體的密碼。

PNS過程的原理如圖2所示，竊聽者Eve對于Alice所發(fā)射的脈沖進行光子數(shù)測量。如果是1個光子，那么Eve則吸收該光子；如果光子數(shù)大于1，那么Eve從中分離一個光子給自己，其余的光子通過一個低損耗或者無損耗通道發(fā)射給Bob。那么Eve和Bob手中所具有的光子將完全一致。并且對于目前技術(shù)，Alice傳遞一個弱相干態(tài)，通道往往是大損耗的。Eve完全可以將他的光子數(shù)分離攻擊偽裝成通道的損耗，而使得Bob完全無法發(fā)現(xiàn)有Eve的存在，此時雙方通信則完全不安全［6］。

圖2 PNS攻擊原理示意圖

為了避免這種攻擊，在正常通信的光信號中隨機摻入部分強度不同的光信號（即誘騙態(tài)信號），通過分別測量不同強度光信號的錯誤率實現(xiàn)對于竊聽者（Eve）的檢測，從而保證量子保密通信的安全性。目前，誘騙態(tài)BB84協(xié)議是各量子密鑰分發(fā)協(xié)議中實用化程度最高、性能最好、安全性分析最深入全面的協(xié)議［7-9］。

1.2 關(guān)鍵技術(shù)

為了在實際應(yīng)用中可以達到量子密鑰分發(fā)系統(tǒng)功能與性能的指標(biāo)，一般通過以下關(guān)鍵技術(shù)來實現(xiàn)。

a） 高性能誘騙態(tài)光源產(chǎn)生技術(shù)。高速誘騙態(tài)光源是目前實用化的無條件安全量子保密通信系統(tǒng)實現(xiàn)的關(guān)鍵組件。和經(jīng)典通信相比，量子密鑰分發(fā)光源要求實現(xiàn)高速光脈沖輸出。為了實現(xiàn)誘騙態(tài)方法，光源隨機地改變輸出脈沖強度［10-12］，同時需要具備強度衰減功能，衰減至每脈沖單光子能量級別時，仍需要保持非常好的光強穩(wěn)定性。

b） 高性能近紅外單光子探測技術(shù)。單光子探測系統(tǒng)是處于核心地位的器件，其參數(shù)指標(biāo)直接制約著量子保密通信系統(tǒng)的性能，其性能提升可以提高通信網(wǎng)絡(luò)的容量，擴展通信網(wǎng)絡(luò)的通信速率。當(dāng)前，國際上通用的通信波段單光子探測器有3類：超導(dǎo)探測器、銦鎵砷雪崩二極管單光子探測器和上轉(zhuǎn)換探測器。

c） 高性能偏振反饋補償技術(shù)。在光纖傳輸過程中，光的偏振狀態(tài)會產(chǎn)生變化，而且隨著環(huán)境變化還會改變。高速偏振反饋補償技術(shù)可以補償光纖信道對于偏振態(tài)的擾動，將通過光纖信道傳輸之后的偏振態(tài)回復(fù)到初始狀態(tài)。目前已研發(fā)的高性能偏振反饋補償系統(tǒng)通過主動對光纖產(chǎn)生形變，利用光纖形變引起的偏振狀態(tài)改變可以補償光傳輸過程中的偏振變化。

d） 高性能時間相位編碼技術(shù)。相比偏振編碼而言，相位編碼量子保密通信系統(tǒng)能夠容忍更大的信道擾動，但不足的是，相位編碼系統(tǒng)較低的成碼率嚴(yán)重限制了量子保密通信網(wǎng)絡(luò)的性能。時間相位編碼量子保密通信系統(tǒng)，可以有效結(jié)合傳輸效率高和信道擾動容忍高的優(yōu)勢，提升量子保密通信系統(tǒng)的綜合性能。

e） 量子信道的波分復(fù)用技術(shù)。波分復(fù)用是提升系統(tǒng)傳輸速率的有效手段，并在經(jīng)典光通信中廣泛應(yīng)用。波分復(fù)用過程中，額外的插入損耗是限制系統(tǒng)最終性能的重要指標(biāo)。使用波長通道數(shù)越多，插入損耗越大，量子保密通信具有明顯差異。為了保證通信安全，量子保密通信要求出射光脈沖強度為單光子量級，不能通過提高發(fā)射功率抵消波分復(fù)用器件的插入損耗，系統(tǒng)的密鑰成碼率將受此影響有所下降。

f） 城域網(wǎng)共纖技術(shù)。城域網(wǎng)的量子密鑰分發(fā)系統(tǒng)采用共纖傳輸方式，用于量子保密通信和經(jīng)典通信的復(fù)用，信號傳輸方向為二者同向。量子通信網(wǎng)絡(luò)對信道的要求包括量子信道要求、協(xié)商信道要求、共纖傳輸時的信道要求。量子信道的基本原則要求是退相干效應(yīng)很小，能保持量子態(tài)的遠距離相干傳輸；協(xié)商信道主要要求滿足QKD設(shè)備的帶寬和延時的需求；共纖傳輸時的信道一般利用波分復(fù)用技術(shù)實現(xiàn)共纖傳輸。

2

量子保密通信的組網(wǎng)架構(gòu)

目前尚無標(biāo)準(zhǔn)化、統(tǒng)一化的QKD網(wǎng)絡(luò)架構(gòu)，業(yè)內(nèi)通常采用的架構(gòu)一般包括物理層、傳輸層、網(wǎng)絡(luò)層、密鑰管理層和應(yīng)用層，其組網(wǎng)架構(gòu)如圖3所示。

圖3 量子保密通信網(wǎng)絡(luò)參考架構(gòu)

其中，網(wǎng)絡(luò)層主要包括QKD網(wǎng)絡(luò)和經(jīng)典數(shù)據(jù)通信網(wǎng)絡(luò)。QKD網(wǎng)絡(luò)是利用量子密鑰分發(fā)技術(shù)，實現(xiàn)2臺量子保密通信終端間的安全、高效的密鑰共享的網(wǎng)絡(luò)；經(jīng)典網(wǎng)絡(luò)即傳統(tǒng)的數(shù)據(jù)通信網(wǎng)絡(luò)，實現(xiàn)設(shè)備間的數(shù)據(jù)傳輸。密鑰管理層是利用可信中繼技術(shù)、經(jīng)典網(wǎng)絡(luò)通信技術(shù)和網(wǎng)絡(luò)管理技術(shù)等實現(xiàn)大規(guī)模、跨地域的安全、高效的密鑰分發(fā)與管理，實現(xiàn)在不同區(qū)域的2臺量子保密通信終端間的安全、高效的密鑰共享。應(yīng)用層是使用支持采用量子密鑰對數(shù)據(jù)傳輸進行安全保護操作的量子加密終端或模塊實現(xiàn)數(shù)據(jù)的安全傳輸。業(yè)務(wù)運營支撐體系是圍繞量子保密通信網(wǎng)絡(luò)運營特征及需求，建設(shè)由業(yè)務(wù)支撐系統(tǒng)（BSS）及運營支撐系統(tǒng)（OSS）組成的一體化業(yè)務(wù)運營支撐系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)設(shè)備的配置和運維、業(yè)務(wù)的開通和運營。安全體系主要包括與量子保密通信相關(guān)制度體系和安全體系建設(shè)。

2.1 組網(wǎng)的功能模型

綜合目前量子保密通信網(wǎng)絡(luò)的現(xiàn)狀，并考慮網(wǎng)絡(luò)架構(gòu)的設(shè)計需求以及未來的發(fā)展，可以建立如圖4所示的網(wǎng)絡(luò)功能模型。

圖4 量子保密通信網(wǎng)絡(luò)功能模型

密鑰生成層處于量子保密通信網(wǎng)絡(luò)三層結(jié)構(gòu)的最底層，是量子保密通信網(wǎng)絡(luò)的技術(shù)基礎(chǔ)。密鑰生成層既進行量子信息的處理也進行經(jīng)典信息的處理。

量子信息的處理包括：量子態(tài)制備、量子態(tài)探測、量子信道交換、量子中繼等功能。

a） 量子態(tài)“制備”模塊依據(jù)量子密鑰分發(fā)協(xié)議（如BB84協(xié)議）完成光量子制備及發(fā)送。

b） 量子態(tài)“探測”模塊接收對端發(fā)送的光量子，依據(jù)量子密鑰分發(fā)協(xié)議完成量子態(tài)解碼及光子的探測。

c） 量子“信道交換”模塊，接收網(wǎng)絡(luò)管控的控制，實現(xiàn)量子信道的切換。

d） “量子中繼”模塊，負(fù)責(zé)量子態(tài)的中繼傳輸，基于糾纏交換的量子中繼技術(shù)，通過多次糾纏交換實現(xiàn)遠距離的糾纏分發(fā)，從而為量子密鑰分發(fā)建立量子信道。量子中繼技術(shù)在未來可以廣泛應(yīng)用，從而協(xié)助或者部分替代量子密鑰分發(fā)層中的密鑰中繼功能。

密鑰分發(fā)層處于量子保密通信網(wǎng)絡(luò)三層結(jié)構(gòu)的中間層，密鑰生成層和密鑰分發(fā)層的交互主要作用是將密鑰生成層產(chǎn)生的量子密鑰安全保密地傳輸給密鑰分發(fā)層。其主要功能包括密鑰中繼、密鑰轉(zhuǎn)發(fā)（交換、路由）功能以及密鑰存儲和密鑰輸出等量子密鑰服務(wù)等。密鑰中繼是指在網(wǎng)絡(luò)中，通過直接中繼站為2個遠距離節(jié)點之間進行量子密鑰的中繼，將一端節(jié)點的量子密鑰分發(fā)到對端節(jié)點的過程；密鑰轉(zhuǎn)發(fā)是指在量子保密通信網(wǎng)絡(luò)的復(fù)雜拓?fù)渲校瑢⒘孔用荑€數(shù)據(jù)有路由選擇的分發(fā)到遠端，形成點對點量子密鑰。密鑰存儲是對接收到的密鑰生成層上傳的量子密鑰，以及密鑰中繼和密鑰轉(zhuǎn)發(fā)的量子密鑰，進行兩端量子密鑰管理設(shè)備的信息同步，并安全地存儲到設(shè)備內(nèi)部的存儲器。密鑰輸出主要是面向密鑰應(yīng)用層輸出安全一致的量子密鑰，供應(yīng)用業(yè)務(wù)使用量子密鑰為用戶提供安全服務(wù)。

密鑰應(yīng)用層處于量子保密通信網(wǎng)絡(luò)三層結(jié)構(gòu)的最上層，是量子密鑰最終應(yīng)用的位置。密鑰應(yīng)用層包含用戶的密鑰管理系統(tǒng)、各種量子密鑰應(yīng)用設(shè)備以及相關(guān)的數(shù)據(jù)傳輸網(wǎng)絡(luò)。

網(wǎng)絡(luò)管控平臺主要包括運營管理、網(wǎng)絡(luò)管理、密鑰路由、密鑰生成控制等功能。其中運營管理、網(wǎng)絡(luò)管理等功能和經(jīng)典網(wǎng)絡(luò)的相關(guān)功能類似。安全服務(wù)平臺包括密碼服務(wù)和安全管理兩大系統(tǒng)。密碼服務(wù)為量子保密通信網(wǎng)絡(luò)需要使用密碼的功能如認(rèn)證、加密、簽名等提供密碼服務(wù)；安全管理主要負(fù)責(zé)入侵檢測、訪問控制、病毒防護、安全態(tài)勢等安全管理功能。

2.2 組網(wǎng)應(yīng)用的相關(guān)技術(shù)

量子保密通信網(wǎng)絡(luò)的組網(wǎng)技術(shù)的主要目標(biāo)將量子密鑰分發(fā)設(shè)備的鏈路密鑰分發(fā)能力擴展為可以覆蓋廣域地區(qū)的密鑰分發(fā)能力，實現(xiàn)整個量子保密通信網(wǎng)絡(luò)中任意兩設(shè)備之間都可以獲取量子密鑰，并用于業(yè)務(wù)數(shù)據(jù)加密或者數(shù)據(jù)鑒權(quán)、身份認(rèn)證等應(yīng)用。在實際的量子保密通信組網(wǎng)中應(yīng)用的關(guān)鍵技術(shù)主要包括：

a） 動態(tài)密鑰中繼路由技術(shù)。該技術(shù)通過中心路由服務(wù)器實時收集網(wǎng)絡(luò)中設(shè)備的運行狀態(tài)、密鑰量狀態(tài)以及設(shè)備間鏈路的狀態(tài)，對全網(wǎng)的密鑰中繼過程的傳輸路徑進行規(guī)劃，按照路由計算策略找到最優(yōu)的可用路徑，并下發(fā)到各節(jié)點的密鑰管理機，由密鑰管理機按密鑰中繼路由指引進行密鑰中繼業(yè)務(wù)。

b） 分層次和分區(qū)域管理的組網(wǎng)技術(shù)。集中規(guī)劃式動態(tài)路由可以實現(xiàn)同一網(wǎng)絡(luò)中的路徑保護功能。大規(guī)模網(wǎng)絡(luò)將采用分區(qū)域建網(wǎng)、獨立控制的方案，將量子保密通信網(wǎng)絡(luò)的組網(wǎng)層次劃分為國家級干線、省級干線、市級接入3級。量子保密通信網(wǎng)絡(luò)中密鑰中繼業(yè)務(wù)依照設(shè)備的ID進行路由尋址，在環(huán)網(wǎng)組網(wǎng)方案中依照區(qū)域劃分來規(guī)劃設(shè)備ID。

c） 高性能路由規(guī)劃。量子密鑰中繼路由變化頻率快，密鑰中繼路由要求隨著密鑰量的變化實時更新，更新頻率相對較高，導(dǎo)致對路由計算的實時性要求比較高。量子保密通信網(wǎng)絡(luò)建設(shè)成為環(huán)網(wǎng)鏈路拓?fù)浜?，隨著網(wǎng)絡(luò)規(guī)模擴大以及干線沿線更多接入網(wǎng)的建設(shè)，全網(wǎng)密鑰路由的計算壓力成倍增加，需要在支持大數(shù)據(jù)量密鑰路由計算的同時，也能給出快速的路由變更響應(yīng)速度。

d） 跨域組網(wǎng)認(rèn)證技術(shù)。為實現(xiàn)在廣域網(wǎng)絡(luò)中節(jié)點間的密鑰中繼分發(fā)，在應(yīng)用層設(shè)備和密鑰生成設(shè)備之間需要添加密鑰管理系統(tǒng)。密鑰管理系統(tǒng)位于量子保密通信體系中的中間層，主要實現(xiàn)密鑰中繼分發(fā)流程、控制密鑰生成設(shè)備的密鑰生成流程、接收量子密鑰進行存儲，以及向應(yīng)用層設(shè)備輸出量子密鑰。密鑰管理系統(tǒng)由密鑰管理機和密鑰管理服務(wù)系統(tǒng)組成。實現(xiàn)與密鑰管理服務(wù)系統(tǒng)的靈活組網(wǎng)，可以形成大中規(guī)模的城域網(wǎng)也可以滿足小微型網(wǎng)絡(luò)的部署要求。應(yīng)用層設(shè)備與量子層設(shè)備通過密鑰管理機接入，密鑰管理機受輔助系統(tǒng)的管理和控制。

3

量子保密通信的組網(wǎng)應(yīng)用實例

近年來，國內(nèi)外已經(jīng)建設(shè)了一系列的量子保密通信技術(shù)驗證及商用網(wǎng)絡(luò)，也先后開展多項重大技術(shù)研究［13-14］，下面分別從干線與城域的角度列舉一些典型應(yīng)用實例。

3.1 量子干線組網(wǎng)

3.1.1 京滬干線

“京滬干線”是連接北京、上海，貫穿濟南和合肥全長2 000余千米的量子通信骨干網(wǎng)絡(luò)，并通過北京接入點實現(xiàn)與“墨子號”的連接，是實現(xiàn)覆蓋全球的量子保密通信網(wǎng)絡(luò)的重要基礎(chǔ)。

量子骨干網(wǎng)絡(luò)由量子系統(tǒng)、平臺系統(tǒng)、傳輸系統(tǒng)以及基礎(chǔ)設(shè)施四大部分構(gòu)成，其中量子系統(tǒng)主要由量子密鑰分發(fā)子系統(tǒng)與量子密鑰管理子系統(tǒng)構(gòu)成；平臺系統(tǒng)由數(shù)據(jù)通信系統(tǒng)、備份容災(zāi)系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、安全體系、IP承載網(wǎng)以及業(yè)務(wù)運營支撐系統(tǒng)構(gòu)成；傳輸系統(tǒng)采用100G光傳輸進行建設(shè)；基礎(chǔ)設(shè)施主要由光纖信道、機房等構(gòu)成。其中，承載經(jīng)典網(wǎng)絡(luò)信息流量光纖通道為全線貫通模式；承載量子信道的光纖只承載相鄰兩站點的量子信號，不會全線貫通。骨干系統(tǒng)物理架構(gòu)及相互關(guān)系如圖5所示。

圖5 骨干系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖

其中，量子密鑰分發(fā)子系統(tǒng)由量子密鑰分發(fā)設(shè)備發(fā)射端、量子密鑰分發(fā)設(shè)備接收端、量子波分復(fù)用終端等設(shè)備及配套光纖資源構(gòu)成。量子密鑰分發(fā)設(shè)備按照包含誘騙態(tài)的BB84量子密鑰分發(fā)協(xié)議，實現(xiàn)相鄰兩點間的量子密鑰分發(fā)；量子密鑰分發(fā)設(shè)備的發(fā)射端和接收端通過量子波分復(fù)用終端進行光路復(fù)用和解復(fù)用處理，實現(xiàn)量子信道同步光和信號光復(fù)用在同一根光纖中；量子密鑰分發(fā)過程所需經(jīng)典交互數(shù)據(jù)傳輸信道，由站點間的數(shù)據(jù)通信子系統(tǒng)提供；量子密鑰分發(fā)設(shè)備由量子密鑰管理子系統(tǒng)管理和控制。

量子密鑰管理子系統(tǒng)由密鑰管理機、密鑰生成控制/中繼路由系統(tǒng)構(gòu)成。采取分區(qū)控制的方式，量子密鑰分發(fā)設(shè)備通過局域網(wǎng)與所屬密鑰管理機互聯(lián)，進行密鑰和信息的交互；量子密鑰分發(fā)設(shè)備根據(jù)密鑰管理子系統(tǒng)的密鑰生成策略指令進行相應(yīng)的量子密鑰分發(fā)流程，并將生成的量子密鑰輸出到密鑰管理子系統(tǒng)相應(yīng)的密鑰管理機設(shè)備進行管理和使用。

3.1.2 滬杭干線

全球首條量子商用干線——“滬杭干線”如圖6所示，北起上海南至杭州，全長260 km，連接了長三角經(jīng)濟最為活躍的兩大地區(qū)，它的開通標(biāo)志著量子通信技術(shù)真正走向了產(chǎn)業(yè)化。這條綿亙于上海與杭州之間的城市保密通信動脈，其商業(yè)化應(yīng)用主要體現(xiàn)在量子加密通話、異地災(zāi)備、政務(wù)公文傳輸?shù)确矫?，通過量子技術(shù)給信息傳輸加上保密鑰匙，為行業(yè)、企業(yè)等用戶的信息安全保駕護航。

圖6 “滬杭干線”路線示意圖

隨著“滬杭干線”應(yīng)用的不斷增多，應(yīng)用過程中的反饋也將進一步促進“滬杭干線”服務(wù)的提升，在量子政務(wù)、量子金融、量子商務(wù)等領(lǐng)域更多的應(yīng)用服務(wù)，為沿線地區(qū)的政府部門、金融機構(gòu)或大中型企業(yè)提供基于量子安全的專網(wǎng)通信服務(wù)。

在我國，量子通信產(chǎn)業(yè)發(fā)展已逐步構(gòu)建起長距離衛(wèi)星傳輸、城市間干線傳輸、城市內(nèi)部的城域網(wǎng)的“三位一體”量子通信網(wǎng)絡(luò)大格局，在“滬杭干線”已全線貫通的背景下，量子通信干線和量子通信城域網(wǎng)以點線結(jié)合的方式，實現(xiàn)信息長距離和短距離傳輸?shù)某踩Ｕ希瑢⒊蔀槿珖孔有畔⒐歉删W(wǎng)絡(luò)的重要組成部分。以“滬杭干線”為開端，在各行各業(yè)有志之士的努力下，量子通信產(chǎn)業(yè)化之花將開滿神州大地。

3.2 城域網(wǎng)組網(wǎng)

2013年，東芝歐洲實驗室完成了利用分光器件實現(xiàn)時分復(fù)用的1點對多點的量子密鑰分發(fā)試驗。實驗原理如圖7所示，多路發(fā)射端通過一個1×N的無源分光器件連接到探測接收端。每一路發(fā)射端發(fā)射量子信號周期為1/N GHz，通過調(diào)節(jié)不同發(fā)射端發(fā)射信號的時間延遲，使得N路發(fā)射端的信號耦合后正好形成1 GHz的脈沖信號，可以由門控頻率為1 GHz的單光子探測器探測。不同發(fā)射端發(fā)射的量子信號由時間位置可以區(qū)分，因此可以分別按時間位置探測，完成相應(yīng)的密鑰協(xié)商后處理過程，從而實現(xiàn)1對N的量子密鑰分發(fā)。該實驗展示了量子密鑰分發(fā)和PON融合的潛力。

圖7 東芝量子接入網(wǎng)實驗原理圖

此外，由于當(dāng)前量子設(shè)備的組網(wǎng)技術(shù)限制，國內(nèi)目前一般采用如圖8所示的城域網(wǎng)接入方案。當(dāng)骨干站點與城域網(wǎng)相應(yīng)集控站/匯聚站點位于不同物理機房，城域網(wǎng)接入需要在相應(yīng)骨干站點增配量子密鑰分發(fā)設(shè)備接收端，與城域網(wǎng)相應(yīng)集控站/匯聚站新增的量子密鑰分發(fā)設(shè)備發(fā)射端構(gòu)建量子密鑰分發(fā)雙鏈路，實現(xiàn)城域網(wǎng)和干線的量子信道互聯(lián)互通。經(jīng)典信息的交互通過經(jīng)典信道完成，經(jīng)典信道通過部署安全網(wǎng)關(guān)進行網(wǎng)絡(luò)邊界安全管控。同步配置光纖資源。此種接入方案需要增配量子密鑰分發(fā)設(shè)備，但城域網(wǎng)和干線網(wǎng)絡(luò)的邊界清晰，便于實行安全管控。

圖8 城域網(wǎng)擴展接入

4

結(jié)束語

在未來的信息通信行業(yè)，量子保密通信將作為一個有望與國際高新技術(shù)領(lǐng)域發(fā)展同步的富有戰(zhàn)略意義的制高點，成為未來的國家綜合科技實力的主戰(zhàn)場之一。基于量子保密通信技術(shù)的研究和應(yīng)用將會受到越來越多的重視和關(guān)注。近年來我國量子保密通信技術(shù)的研究和發(fā)展較為迅速，進一步為量子保密通信組網(wǎng)奠定基礎(chǔ)。量子保密通信作為從理論上保證信息傳輸絕對安全性的通信技術(shù)，是未來保障網(wǎng)絡(luò)信息安全的有效解決方案之一。

本文詳細探討了量子保密通信的原理與組網(wǎng)技術(shù)，而后對量子保密通信組網(wǎng)應(yīng)用進行了詳細的分析，為量子保密通信網(wǎng)絡(luò)的部署和應(yīng)用提供重要的參考。量子保密通信技術(shù)有著廣闊的應(yīng)用前景，為未來信息通信行業(yè)提供更加安全的保障，將成為通信發(fā)展進程中一顆備受矚目的新星。

▎參考文獻：

［1］LAI JS，WU BB，LI SH，et al. Progress and security analysis of quantum cryptography communication［J］. Telecommunications Science，2015，31（6）：39-45.

［2］艾祎，杜壯.量子通信應(yīng)用產(chǎn)業(yè)范圍廣泛［J］.中國戰(zhàn)略新興產(chǎn)業(yè)，2016（19）：66-68.

［3］GISIN N，RIBORDY G，TITTEL W，et al . Quantum cryptography［J］. Reviews of Modern Physics，2002（74）：145-195.

［4］王磊，趙廣懷，范曉楠，等. 量子保密通信在電網(wǎng)業(yè)務(wù)應(yīng)用的方案研究與設(shè)計［J］. 電力信息與通信技術(shù)，2018，16（3）：34-38.

［5］吳華，王向斌，潘建偉.量子通信現(xiàn)狀與展望［J］.中國科學(xué)：信息科學(xué)，2014，44（3）：296-311.

［6］HU J. Quantum key distribution with the decoy-state method［J］. Scientia Sinica，2011，41（4）：459.

［7］HWANG WY. Quantum key distribution with high loss：toward global secure communication［J］. Physical Review Letters，2003，91（5）：057901.

［8］WANG XB. Beating the photon-number-splitting attack in pratical quantum cryptography［J］. Phys Rev Lett，2005（94）：230503.

［9］HOI-KWONG LO. Decoy state quantum key distribution［J］. International Journal of Quantum Information，2008，3（supp01）：143-143.

［10］WANG XB，PENG CZ，ZHANG J，et al. General theory of decoy-state quantum cryptography with source errors［J］. Physical Review A，2008，77（4）：1912-1917.

［11］ZHAO Y，QI B，LO HK . Quantum key distribution with an unknown and untrusted source［J］. Physical Review A，2008，77（5）：052327.

［12］WANG XB. Decoy-state quantum key distribution with large errors of light intensity［J］. Phys Rev A，2007（75）：052301.

［13］ALLEAUME R，DEGIOVANNI I，MINK A，et al. Worldwide standardization activity for quantum key distribution［C］// Globecom Workshops. IEEE，2015.

［14］JUNSEN L，BINGBING W U，RUI T，et al. Analysis on the application and development of quantum communication［J］. Telecommunications Science，2016.