郭 皓，张宝燕

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引 言

我们评估一种密码体制是否安全，主要是看其是否具备：（1）无条件的安全性；（2）可证明的安全性；（3）计算安全性。无条件安全性即是我们通常所说的“一次一密”，每次使用的密钥长度等于明文长度，并且密钥不再重复使用。可证明的安全性通常与某个数学难题相关，这个数学难题在现阶段是难以求解的，因而相应的密码算法在现阶段是安全的。计算安全性则是现有计算条件下破解密文需要进行大量的计算，消耗大量的时间，得到的明文已失去其时效性，这种情况下，我们也认为该密码体制具有暂时的安全性。经典密码体制都是基于后面两种安全性进行设计的。无法实现无条件安全性的原因主要是以下两点：（1）难以产生出真正随机的密钥；（2）无法保证密钥在不能证明安全的信道上实现安全的传输。但是，随着量子密码学技术的发展，以及量子随机数发生器（Quantum Random Number Generator，QRNG）和量子密钥分发技术（Quantum Key Distribution，QKD）的出现，使得解决无条件安全性的这两个问题成为了可能。

1 量子随机数发生器发展现状

基于量子的内禀随机性，利用宇宙中的辐射粒子轰击中电子传感器能够产生出不能预测频率和时序的量子噪声，并可将其转换为真正的随机数。2015年中科大团队提出基于测量相位噪声的量子随机数产生方法，能够达到68 Gbit/s的随机数产生速率；同年澳大利亚国立大学提出的基于零差探测的方法，最终实现了速率可达3.55 Gbit/s的随机数产生器；2017年中国电科发布了基于测量的分布式反馈（Distributed Feedback，DBF）激光器相位噪声的高速量子随机数发生器，实时产生速率能够超过5.4 Gbit/s，极限值突破117 Gbit/s。2018年，潘建伟教授及其团队已经实现了器件无关的量子随机数，使用不可信的第三方器件，也无法获知其产生的随机数。这些研究成果使得我们可以产生出足够长度的，不可预测的真随机数作为密钥，能够满足现有大部分保密通信网络的数据加密要求。

2 QKD技术发展现状

QKD技术的无条件安全性是基于量子测不准原理和量子不可克隆定理完成理论证明的。发送方对密钥进行量子态编码、传递，接收方通过测量、纠错、校验等处理获取密钥数据。在未知量子态具体状态的情况下，窃听者进行测量时会造成量子态坍塌，从而使得通信双方能够通过误码率等参数判断出当前是否存在窃听行为，最终筛选出安全、一致的密钥。

QKD技术一直是量子密码领域的研究热点。S.H.Bennett和G.Brassard在1984年提出了第一个量子密钥分配协议（即BB84协议）[1]，该协议基于共轭编码思想能够为通信双方提供随机的密钥，用于信息的加解密。1991年Ekert基于EPR（Einstein-Podolsky-Rosen）关联对和Bell不等式提出了EPR协议[2]。1992年Bennett又提出了基于两个非正交量子态的B92协议，建议使用光纤实现单光子的远距离传输[3]。2000年Shor和Preskill提出了基于CSS量子纠错码的协议，并证明了在理想条件下，BB84协议的无条件安全性[4]。但实际情况中由于光源不是理想的单光子源，窃听者可以通过光子数分束攻击（Photon number Splitting，PNS）破坏QKD的无条件安全。2004年Scarani，Acin等人提出了采用四态非正交编码方式的SARG04协议[5]，能够使得窃听者无法不被发现地区分出真正的信号态，QKD系统的安全性能够基本保证。2000年后非单光子的QKD协议研究也取得了很大进展，连续变量协议（Continuous Variable，CV QKD，如GG02协议）、设备无关协议（Measurement Device Independent，MDI）以及分布相位参考协议（Distribution Phase Reference，DPR）相继提出。

与此同时，QKD试验网络的建设也如火如荼。2004年世界首个6节点QKD网络在美国建成，同时美国军方也提出了“十年实现全球量子因特网”的研究计划。2010年日本在东京建成了六节点的城域量子密钥协商应用网络，并计划在2020年至2030年间建成基于量子加密技术的、绝对安全的高速量子信息通信网。2011年法国使用GG02协议的CV QKD设备在20公里的光纤信道上稳定运行。2016年我国建成了2000公里的“京沪干线”，同年发射了墨子号量子通信卫星，实现了星地量子通信，也标志着我国已初步具备广域QKD组网能力。

目前美国在基于自由空间和光纤信道的离散变量QKD技术上处于世界领先水平，拥有大量的QKD技术专利。欧盟在基于光纤信道的连续变量QKD技术、基于自由空间信道的纠缠光子对QKD技术以及基于离散变量的QKD技术上处于世界领先水平。2009 年欧盟率先发布了量子通信技术商业白皮书，启动了QKD技术标准化工作。欧盟的ID Quantique公司是首个推出商用QKD产品的公司，也是目前最成熟的量子通信相关产品供应商。日本在基于光纤信道的离散变量协议和差分相移（Differential Phase Shift，DPS）协议的QKD技术上处于世界领先水平。加拿大、英国、澳大利亚等国也制定了本国的量子技术发展计划，大力支持相关领域的研究。

我国在量子保密通信领域也成果显著，在相关技术实用化方面处于世界前列。“十三五”规划已经明确量子通信和量子计算领域研究为国家战略重大科技项目。国内相关产业以国盾量子和问天量子为代表，已经推出了商用QKD产品，同时国内各大通信企业也在联手推进QKD技术的标准化和应用推广。

3 QKD应用协议设计

基于经典密码体制的通信保密网络通常由通信双方进行密钥协商，得到共享密钥，然后对业务信道传输的数据进行加密保护，如图1所示。

图1 经典密码体制模型

但是随着数学理论的发展、计算机计算能力的增强，特别是量子计算领域的研究深入，经典密码学的安全性受到了巨大挑战。最为经济且最容易实用化的方法就是在经典密码体制中引入QKD技术，增加QKD分发设备，替代原有经典密码体制中的密钥协商过程，如图2所示。QKD分发设备完成真随机数产生、量子编码、量子传输、量子测量、量子筛选、窃听检测、纠错和增强等处理，获得安全的共享量子密钥，用于业务信道传输数据的加密保护。

图2 基于QKD技术的现有体制改造模型

3.1 QKD与现有光网络融合架构设计

由于量子态信号易被干扰，需要建设专门的低信道损耗的量子信道用于QKD量子密钥分发。但是部署点到点专用光纤链路造价高昂，因此构建QKD网络是大势所趋。

为了满足光网络部署的可扩展、兼容性高、成本低等需求，并考虑到今后QKD量子分发信道与传统光网络业务信道融合的可能性，我们将QKD网络主要划分为接入网和骨干网两层。QKD骨干网主要由接入节点和中继节点组成。QKD接入网主要由接入节点和用户节点组成。接入节点负责汇聚用户节点，使之能够接入骨干网。中继节点主要负责量子态信号纠错、增强，主要实现量子信息的远距离、高速传输。用户节点主要负责用户的接入，并对通信的用户双方进行可靠的共享密钥分发。一个用户节点可以接入多个用户，用户和用户节点之间通过经典信道连接，采用经典保密体制进行保护。

为了满足光网络用户和QKD网络设备的安全管理要求，在此进一步引入了管理节点。管理节点管理同一管理域内的所有用户和QKD设备，用于实现用户及各个节点的身份鉴权认证、设备状态管理和资源管理、业务策略控制等功能。管理节点两两互连组成可软件定义的管理网络。QKD与现有光网络融合架构如图3所示。

图3 QKD与现有光网络融合架构图

3.2 QKD密钥分发应用协议

虽然QKD技术能够保证共享密钥的安全传输，但防止非法用户接入网络也是系统安全性必须考虑的问题。因此，我们提出了一种QKD密钥分发应用协议，在分发密钥前需要对通信双方进行身份鉴别，只有通过身份鉴别的用户才能获取到QKD设备分发的密钥。

为了适应用户的灵活扩展需求，所有设备的身份鉴别和管控工作都由管理节点完成。QKD设备在接入QKD网络时即进行身份认证，此后管理节点对其定时进行身份鉴别。用户在建立通信连接、申请密钥时需要先完成身份鉴别，具体流程如图4所示。

用户A向用户B发起通信申请时，向QKD_A发出密钥分发申请，其中携带了用户A、B双方的鉴权申请信息；OKD_A收到密钥分发申请请求后，进行记录并向管理节点发送用户A、B的身份鉴权申请；管理节点完成用户A的身份鉴别，同时向用户B发出鉴权邀请；用户B收到鉴权邀请后向管理节点发送鉴权申请信息；管理节点完成用户B鉴权后，将用户A、B的鉴权结果发送给QKD_A；如果用户A、B都是合法用户，则QKD_A生成共享密钥，并触发QKD分发流程，将共享密钥发送到QKD_B；最后QKD_A和QKD_B分别将得到的共享密钥分发给用户A、B。

图4 QKD密钥分发流程

4 结 语

QKD密钥分发应用协议在现有光网络中的初步应用，增强了密钥分发的安全性和密钥的质量，能够满足当前光通信系统安全性的需求，同时该协议可扩展到IP网络用户、移动应用终端等应用场景。但是协议所采用的身份认证方式仍存在管理复杂，前向安全性较差的不足，因此笔者团队后期将在量子签名系统实用化、量子秘密共享实用化方面方向进一步开展研究。