单纤复用型量子密钥分配终端组网信道切换方案

2019-09-03尹凯

数字通信世界 2019年8期

尹凯

（安徽问天量子科技股份有限公司，芜湖 241000）

随着量子计算机技术逐步走向实用化，传统的基于算法复杂度的网络加密方案都将失去安全意义，而量子密钥分配技术是目前唯一可以保证无条件网络安全的解决方案。由于作为该技术核心设备的量子密钥分配终端（QKD）仅能完成点对点的对称密钥协商任务，所以在复杂的网络环境中为了保证任意两个子网节点之间均能得到对称的安全密钥数据，必须研究稳定高效的量子密钥分配信道实时切换技术。

1 单纤复用型量子密钥分配网络

在现有成熟的双纤量子密钥分配实现方案中，收发端设备之间需要建立两条物理信道：一条为量子密钥信道，发送端设备通过该信道将加载了调制信息的单光子脉冲发送给接收端，同时发送用于探测计数的同步光脉冲信号。量子脉冲信号和同步光脉冲信号的强度都很微弱且极易受到干扰，因此它们不与高强度的经典光信号在同一根光纤中传输；另一条为经典光信道，收发端设备通过该信道进行经典信息数据包和FPGA 同步信号的交换，完成密钥后处理特征量传递、状态机同步等功能[1]。

由于在实际组网应用中，双纤QKD 系统需要独占两条光纤信道，不仅增加了组网成本，也增加了设备的维护难度。所以，开发基于波分和时分复用技术的单纤型QKD 设备成为了未来量子密钥分配技术的主流发展方向。在单纤QKD 系统中，收发端设备仅通过唯一的一根光纤进行连接，量子脉冲信号、同步光信号以及经典光信号均通过该光纤信道进行传输。考虑到属于强光的经典光信号会对量子脉冲信号产生干扰，所以需要对其实施隔离技术。波分单纤系统采用将量子脉冲信号和经典光信号隔离在不同光波段的方式在同一时刻共享信道。时分单纤系统采用将量子脉冲信号和经典光信号分时隙占用光纤信道的方式达到共纤传输的目的。

2 单纤QKD 设备组网切换技术

图1 五节点QKD网络示意图

如图1所示，一个由五套收发一体型QKD（每台设备各包含一个量子密钥发射端和一个量子密钥接收端）和量子光交换机（QOS）组成的五节点量子密钥分配网络，网络中所有设备通过网络交换机连接至量子网络管控服务器（QNMS），受QNMS 集中管控。由于在同一时刻，每台QKD 仅能与网络中其它的任意两台QKD 连接，所以为了保证每个节点与另外四个节点之间均能进行量子密钥分配并得到对称的密钥数据，整个网络必须进行定时的物理信道切换操作。对于当前网络，仅需要进行一次物理信道的切换操作就可以达到目的（图中实线和虚线所示的两组连接）。图中，每台QKD 的收发端接口分别连接至对应的本地2x4量子光交换机上，QOS 接受来自QNMS 的控制指令进行物理光纤信道的切换。

由于在单纤量子密钥分配系统中，QKD 设备间的经典信息交互也依赖于唯一的一根光纤，所以当进行量子信道切换时，原始收发端设备间的经典通信也会同时被切断，如果处理不当，会带来收发端状态机同步紊乱、网络连接异常等一系列不可预知的问题。本文给出如下切换操作流程：

（1）事先将要切换的信道链路进行编组，以图1为例，假设实线和虚线表示的编组分别为组1和组2，当前需要从组1的信道连接方式切换为组2。

（2）QNMS 分别向组1内每条链路两端的QKD 发送断开链路指令。

（3）QKD 接收到断开链路指令时，先将当前链路设置为非激活状态（非激活状态下链路不会尝试主动连接经典信道和设置底层硬件参数），如果当前链路正处于运行状态，则立即停止运行，然后断开经典信息连接，将链路连接状态置为“DISCONNCTED”；

（4）QNMS 轮询组1中所有QKD，直至所有的链路连接状态都变成“DISCONNCTED”。

（5）QNMS 向所有的QOS 发送指令切换物理光纤信道至组2直至收到QOS 的正确应答响应。

（6）QNMS 向组2中所有的QKD 发送对应的链路启动指令，QKD 收到链路启动指令后，首先判断当前链路连接状态是否为“CONNCTED”，如果是，则直接启动运行，否则应先设置当前链路为激活状态，然后标记当前链路的启动运行标志，最后读取当前链路的配置文件，设置链路对应的经典光信道衰减值和其它硬件配置参数，等待经典信道协商连接。

（7）各条链路的经典信道连接成功后查询链路的启动运行标志，如果该标志被标记，则启动运行。

3 实际效果

我们在给某科研单位搭建的五节点单纤量子密钥分配实验网络中测试了本方案。设定QNMS 每隔5分钟向网络中所有的设备发送一次物理信道切换指令以保证该网络中每个节点在10分钟之内就能得到与其它所有节点协商一致的密钥。最终，基于该方案的系统始终维持在稳定的切换状态，搭建在该实验网络之上的量子视频会议系统通过了7*24小时测试。