摘要：无源光网络技术是打破“最后一公里”瓶颈的核心技术。但是由于在PON网络中ONU（Optical Network Unit）用户端共享一段光纤的问题，给PON（Passive Optical Network）中通信带来了很大的安全隐患。该文将量子密码通信技术引入到PON网络中，为PON网络安全通信提供了一种有效的解决方案，提出了一种新型OVPN（Optical Virtual Private Network， OVPN）系统。

关键词：无源光网络（PON）；量子虚拟专网（OVPN）；量子密钥（Quantum Key）

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）02-0242-03

随着中国社会的高速发展，互联网技术不断升级，人们的生活越来越离不开互联网络。随着2012年 “宽带中国”战略开始实施，以光纤网络为主体的宽带网络提速成为了未来5年中，政府和电信运营商的主要工作任务。

从当前整体网络的结构上来看，由于光纤的大量铺设，DWDM等新技术的应用使得主干网络在近几年已经有了突破性的发展。目前大家最关注的，就在于连接网络主干和局域网以及家庭用户之间的那一段，这也就是我们常说的“最后一公里”。其中，无源光网络（PON）技术由于消除了局端与用户端之间的有源设备，使得网络的维护变得简单，而且物理环境适应性高、成本低，成为打破“最后一公里”瓶颈的核心技术。

但是由于一个PON网络中只能有一个光线路终端（Optical Line Terminal，OLT），但是可以有若干个光网络单元（Optical Network Unit，ONU），如图1所示，即ONU用户端共享一段光纤，这给PON网络通信带来了很大的安全隐患，也随之成为了“宽带中国”战略发展落实的巨大安全隐患。

1 OVPN系统的发展历程简介

经典虚拟专用网络（Virtual Private Network ，简称VPN）指的是依靠Internet服务提供商（ISP）和数字证书服务提供商等其他网络服务提供商（NSP），在公网中建立的虚拟专用网络。在此虚拟专网中，通信双方间的链接，并不是端到端的私有实际物理链路，而是通过安全隧道技术在公共网络中仿真动态生成的一条虚拟链路，以保障通信安全高效。它涵盖了跨共享网络或公共网络的封装、加密和身份验证等功能，主要应用技术包括：隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

其中基于PON的VPN技术，即OVPN（Optical VPN）是一个较新的概念。为了在现有PON上实现VPN，研究者提出了多种不同的解决方案。

1）1999年，Chang-Joon Chae等人将光纤布拉格光栅（Fiber Bragg Grating，即FBG）应用到传统PON系统中，并通过在ONU端配置两个不同波段的收发终端，分别实现公共通信和用户间秘密通信。该方式解决了ONU内部通信问题，但此方案需要在每个ONU端都设置接收和发送器，且不能同时进行OLT和ONU内部的通信。

2）2005年，Yikai Su等人利用数据包交换和带宽选择等技术，实现了同一VPN内部ONU之间的相互通信，但是此方案不能实现同时对VPN内部和外部用户的安全通信。

3）2006-2007年，基于时分和频分复用（TDM-FDM）思想，提出了一个新的OVPN结构，将上行数据流编码成TDM-FDM格式，并利用窄带反射器实现了同时进行VPN内部和对外部的通信。通过此OVPN结构实现了可在大范围内提供高效接入的VPN服务。此种方式的OVPN都是基于特定波长而建立的，对内部用户的通信都是以广播形式，因此还是存在安全隐患。

本文OVPN是由授权用户构成的，将通过量子加密算法和身份认证机制的结合，来判断来访用户是否有权访问VPN内部用户，将灵活解决VPN中多个用户安全互通的问题。

2 量子加密算法引入VPN的必要性分析

虚拟专用网络VPN系统，因为其任意两个节点之间的逻辑虚拟端到端连接，和其虚拟隧道通信、加解密、密钥管理等技术，及支持使用者与设备间的身份认证等优势，成为了目前主流的安全通信方式。但VPN的安全性还是依托于密码算法的支撑。

现代的密码专家所遇到的挑战是，如何让发送者与接收者共同拥有一把钥匙，并保证不会外泄。目前通常使用一种称为“公开金钥加密算法”（public-key cryptography）的方法发送“秘密钥匙”（简称密钥或私钥），对传送的信息加密或解密。此技术应用了因数分解或其他困难的数学方法来保障其安全性。虽然要将乘积分解回质数极为困难，但是随着“云计算”时代的来临，如RSA等以前相对安全的密码算法技术终将失效。

3 新型OVPN系统设计与实现

该OVPN系统，在原有VPN基本功能的基础上，实现了对量子密钥和量子加密算法的支持，用户在使用量子密钥前可以指定量子密钥服务设备（QKS）的IP地址和端口，以及本地与QKS连接的网口IP和端口，并设置连接QKS设备所需要的用户名和密码。使用量子密钥时，网关将与QKS交互获取必要的信息（如密钥管理域、读取密钥的令牌等），并保持网关间的同步，最终将获取的量子密钥下发给内核，从而实现OVPN系统的互通，如图1所示。

图1 系统模块流程图

其主要工作流程，如图2所示。当两个VPN网关分别从自身连接的QKS设备获取量子密钥并实现同步时，双方QKS设备的交互，由专门的守护进程qksdaemon完成，此进程收到IKE的获取密钥请求后，将顺序获取密钥管理域名、密钥会话令牌，并把需要同步的信息反馈给IKE进程，两个网关间的同步信息通过IKE通道以载荷的形式发送给对方。

图2 QKS密钥同步流程图

通过IPSec方式，实现OVPN的高效互联互通，如图3所示。

图3 IPSec方式OVPN的实现界面图

4 总结

本文将量子加密算法引入安全网关传统虚拟专用网（VPN）系统中，通过具有认证功能的量子密钥分配协议（Quantum Key Distribution，QKD），不仅解决了VPN中的认证的关键问题，并且实现了虚拟专用网内部ONU用户间的量子密钥分配。因为OLT不会参与ONU用户间的密钥分配，即ONU用户间的通信对于OLT是保密的，从而能有效地降低OLT的工作负担，提高ONU用户间通信的安全性。

参考文献：

[1] Chae C J，Lee S J，and Kim G Y，et al. A PON system suitable for internetworking optical networking optical network units using a fiber bragg grating on feeder fiber[J].IEEE Photonics Technology Letters，1999，11（12）：1686-1688.

[2] Sun X F，Chan C K，and Chen L K.A survivable WDM-PON architecture with centralized alternate-path protection switching for traffic restoration[J]. IEEE Photonics Technology Letters，2006，18（4）：631-633.

[3] 曾贵华.量子密码学[M].北京：科学出版社，2006：99-100.Zeng G H.Guantum Cryptography[M].Beijing：Science Press，2006：99-100.

[4] 段钢.加密与解密.北京：电子工业出版社，2003：79-98.

[5] 吕锋，樊冰，吴丹霞.四种新型加密技术的比较研究.计算机应用研究，2002：79-123.

[6] 赵生妹，郑宝玉.量子加密算法及其安全性[M].通信技术，2001：56-71.