赵永利，王 艳，何芯逸，郁小松，张 杰

(北京邮电大学 信息光子学与光通信国家重点实验室，北京100876)

0 引言

网络安全作为热点主题，吸引了广大的研究者。传统的安全技术主要集中在加密算法上，而加密算法的安全性取决于数学复杂度。然而，随着窃听者计算能力的增强[1]，这种复杂的加密方法变得越来越不可靠。但是基于量子本身的性质，量子密码在理论上被证明是绝对安全的。量子密钥分发(Quantun Key Distribution,QKD)[2]是量子密码学的一个分支，它描述了在通信双方之间建立一个高度安全的对称密钥的方法。QKD遵循量子力学的基本定律，通过海森堡不确定性原理和不可克隆定理，在理论上提供了无条件的安全性，从而可以检测到任何第三方的窃听。

量子密钥分发主要有两种实现技术：离散变量量子密钥分发(DV-QKD)和连续变量量子密钥分发(CV-QKD)。DV-QKD是Bennett和Brassed提出的第一个QKD协议，被广泛称为BB84协议[3]。在DV-QKD中，利用量子态的离散变量对信息进行编码，在接收端用单光子探测器进行检测。CV-QKD编码光场的正则分量信息，用平衡零拍检测器检测。由于DV-QKD协议比CV-QKD协议更成熟，传输距离也更长，使得BB84协议得到了广泛的应用。

近年来，QKD得到了越来越多的关注，国际标准化组织如欧洲电信标准协会(ETSI)、国际标准化组织(ISO)和国际电信联盟(ITU)，也都在努力解决QKD标准化问题。国际上，许多国家建设了基于量子的光示范网络；在国内，量子通信也被列入“十三五”规划中，是体现国家战略意图的重要科学领域之一。量子卫星网络的技术和产业发展，已成为全球关注的重点领域和我国建设网络强国的核心。本文将从量子光网络现状、量子卫星光网络现状、量子卫星光网络架构和关键技术以及量子卫星光网络的发展前景与挑战四个方面，对量子卫星光网络进行全面的分析和阐述。

1 量子光网络现状

目前，许多国家已经成功建立了基于光纤的量子保密通信小型QKD实验网络。这些小型QKD实验网络可以通过可信的中继器(例如基于点对点BB84协议)来分发端到端密钥，近年来在城域网和城际网中得到了应用，具体如下所述。

1.1 城域网

欧盟从2006年开始组织英国、法国、德国、意大利、奥地利和西班牙等国家的40个相关领域的研究组，启动了“基于密码的安全通信(SECOQC)”工程[4]。这是隶属于欧盟第6框架研究计划中的一个课题。2008年10月，SECOQC在维也纳现场演示了一个基于商业网络的包含6个节点的量子通信系统，集成了单光子、纠缠光子、连续变量等多种量子密钥收发系统，建立了西门子公司位于不同地点的子公司之间的量子通信连接。

南非Durban市在其“智慧城市”建设规划中设计了一个4节点网络方案，其中在eThekwini自治区，于2010年5月，建成了一条量子密钥分发线路，连接Durban市内的2个地点——Moses Mabhida体育场和Joint Operations Centre[5]。该线路用于分发加密密钥，两点间的通信使用分发的密钥通过AES-256算法进行加密，加密后的经典通信速率可达1 Gbit/s。该线路在南非世界杯期间成功运行，完成了前方和后方的新闻传输。

2010年10月，日本国家情报通信研究机构(NICT)联合日本电信电话株式会社(NTT)、NEC和三菱电机，邀请到东芝欧洲有限公司、瑞士ID Quantique公司和奥地利的All Vienna公司共同协作，在东京建成了6节点的城域量子通信网络[6]。该网络集中了当时欧洲和日本在量子通信技术上开发水平最高的公司和研究机构的最新技术，其最远通信距离为90 km，45 km点对点通信速率可达60 kbit/s。

1.2 城际网

2012年，中国科学技术大学在承担的“863”计划“新一代高可信网络”项目“城际量子密钥分配网络”课题中完成了舒城-六安-合肥的城际量子密钥分配网络试验床。通过采用超导探测器，在最远104 km(25 dB 衰减)条件下，实现了安全成码，并完成了加密语音通信演示。

2017年9月29日，世界首条量子保密通信干线——“京沪干线”正式开通。该线路开通后，实现了连接北京、上海，贯穿济南和合肥全长2 000多千米的光纤量子通信骨干网络，沿线一共设置了北京、济南、合肥、上海等32个可信中继站点[7]。“京沪干线”全线路密钥率大于20 kbit/s，目前在银行、证券和保险领域的实际应用正在试验中，推动了量子通信在金融、政务、国防及电子信息等领域的大规模应用。

此外，也有研究讨论了QKD和经典网络的集成，如WDM网络上的QKD[8-9]和基于软件定义网络(SDN)的QKD[10]。随着QKD在陆地光网络中的应用，也有研究提出了在全球范围内为2个长距离的节点分发密钥的要求。由于单光子信号在长距离光纤上有传输损耗大、去偏振性差的缺陷，因此，光纤不能用于洲际通信，这给构建全球量子网络带来了巨大的挑战。

2 量子卫星光网络现状

自由空间QKD由于其低衰减和广覆盖等特点，在全球网络安全通信中引起了广泛的关注。基于卫星网络的QKD可以克服地面光网络在长距离光纤信道上衰减大和洲际域通信的限制。通过构建量子卫星光网络，世界各地不同的QKD网络可以通过量子卫星相互通信，使得在不久的将来实现全球量子卫星光网络成为可能。

我国在自由空间QKD方面开展了大量的研究工作，目前已取得领先地位。中国科学技术大学潘建伟研究组从2005年开始研究自由空间量子密钥分发技术，在合肥实现了距离13 km自由空间量子纠缠分发实验[11]，证明了纠缠光子信号在穿透等效于整个大气层厚度的地面大气后，仍然能够处于纠缠态；同时在2013年，该研究组还在青海湖开展了星地量子密钥分发实验[12]，利用移动平台和热气球来模拟低轨道卫星的运动状态，通过地面自由空间信道模拟星地链路，成功验证了低轨卫星与地面量子通信的可行性。

2016年，我国成功发射了世界上首颗量子卫星“墨子号”，建立了空间量子科学实验平台，并开展了一系列量子通信实验。2017年6月，“墨子号”成功进行了星地间双向量子纠缠分发实验[13]，用卫星作为纠缠源向2个地面站发送纠缠光子对，同时还检验了量子力学的非定域性，成功验证了利用卫星作为量子中继为地面站进行量子密钥分发的可行性。2017年8月，“墨子号”成功进行了基于诱骗态BB84协议的星地量子密钥分发实验[14]，使用弱相干源发射单光子信号，在距离上千千米的地面站间分发密钥。在此基础上，还实现了广域量子通信网络的初步构建，在墨子号卫星和京沪干线之间建立了星地间链路，用卫星连接兴隆站，实现了城域网间的互联。同时，研究团队还在“天宫二号”上装载了小型量子密钥分发载荷，并成功完成星地量子密钥分发实验。

2017年9月，中科院和奥地利科学院合作，利用量子卫星作为可信中继，在中国和欧洲之间实现距离7 600 km的洲际量子密钥分发，并使用密钥对数据传输和视频通话进行加密，验证了洲际量子通信的可行性[15]。2017年11月，中科院利用墨子号卫星进行基于量子纠缠的星地量子密钥分发实验[16]，该实验采用BBM92协议，成功在卫星和地面站之间共享量子密钥。

在星间量子密钥分发的研究方面，2017年7月中国科学技术大学研究组进行了在白天下的自由空间量子密钥分发实验[17]，成功证明了在日光下星间量子密钥分发的可行性。不同于前述星地量子通信，该实验选择1 550 nm作为量子工作波长，并通过窄带滤波技术以及单模光纤耦合滤波技术，成功降低了太阳光背景噪声和信道损耗，大大提高了量子信号的信噪比，为全天时的卫星量子通信奠定了技术基础。

针对量子卫星未来的组网形式，有许多研究单位也提出相关设想并开展了初步理论研究。在已进行的墨子号量子卫星实验中，密钥中继是通过存储转发将经过异或操作的密钥存储在卫星上，当卫星经过另一地面站时再将数据传输并解密的方式。由于单颗卫星无法提供实时的广域量子密钥分发，构建由多个轨道卫星组成的量子卫星网络成为了未来的可行方案。

3 量子卫星光网络架构与关键技术

3.1 量子卫星光网络架构

低轨道(LEO)卫星具有信道损耗小、传输时延低的优点，利用LEO卫星的组网构建量子卫星星座是较为可行的途径。然而，由于LEO卫星对地的高速相对运动，其覆盖单个地面站的时间有限，可以与地面站进行量子密钥分发过程的时间较短。在基于可信中继的网络中，量子密钥池的密钥量取决于密钥注入的速率和时间，因此低轨卫星较短的覆盖时间可能会导致星地间量子密钥池的存储量不足，无法为密钥中继提供足够多的密钥。与之相反的是，高轨道(GEO)卫星可以与地面保持相对静止(当处于地球同步轨道时)，因而可以持续与地面站进行量子密钥分发；同时其覆盖范围很大，只需3颗卫星就可覆盖全球。但是GEO卫星缺点是卫星链路的传输损耗较大，导致其密钥生成速率较低。尽管如此，高轨卫星仍然可以用较低的密钥速率持续生成密钥，并注入到星地的量子密钥池内；同时，系列实验也证明了中高轨道卫星进行量子通信的可行性。“墨子号”研究团队正在研究提升卫星链路效率的技术，包括研制更大的光学接收镜和更精准的瞄准系统，其目的是提高中高轨道卫星的密钥生成速率。

为了解决单轨道层卫星网络带来的问题，针对基于可信中继的量子卫星网络，本文首次提出了一种双层量子卫星网络(DL-QSN)架构，如图1所示。该架构可综合利用2种轨道的优势，同时弥补其各自的缺点。在该架构中，所有激光链路均包括量子光链路和经典光链路，GEO和LEO都可与地面站建立激光链路，而LEO是作为地面站接入卫星的首选。星间和星地链路在其建立连接时，都持续进行量子密钥分发，并将密钥存储到量子密钥池中，各节点的密钥池根据卫星载荷资源设置合适的存储阈值，使其密钥存储量不超过一定的限制。通过在卫星上配备多套收发机终端设备，量子卫星可以与地面站或相邻卫星同时建立多条激光链路。然而星上载荷重量限制了收发机设备数量，因此高低轨道层间链路的建立，以及星地接入链路的数量必须得到充分权衡，以最大化网络性能。

图1 双层量子卫星网络架构图Fig.1 Architecture of double-layer quantum satellite networks

3.2 基于量子密钥池的卫星QKD系统构建

由于自由空间链路的通信距离较长，卫星量子密钥分发的密钥生成速率较低，同时信号传输的往返时延高。在目前的量子卫星实验中，星地QKD的密钥速率最高只能达到400 kbit/s左右。因此，为了克服卫星QKD密钥速率较低的缺点，可在星地和星间量子通信中使用量子密钥池(QKP)技术[18]，如图2所示。

图2 结合量子密钥池的卫星QKD系统结构图Fig.2 Basic structure of QKP enabled satellite QKD system

其核心思想是在每对连接的节点之间持续地产生并共享量子密钥，然后将密钥存储在量子密钥池中。在每个量子节点处，均具备量子密钥存储模块，其作用是存储生成的密钥比特串；而在卫星网络的管控中心，将会把每个节点处的密钥抽象到网络资源数据库(记录密钥ID)，当需要加密数据时分配密钥资源。假设其在QKD过程中会提前分配量子信道和经典信道的波长，而多个密钥中继业务将通过时分复用的方式共享经典信道波长，其时隙将会被动态分配。

在基于量子密钥池的卫星QKD系统构建过程中，每一个卫星节点都需要配备量子收发机、激光收发机和量子密钥池模块；在地面站中，由于使用下行协议，量子通信部分可仅配备量子接收机。同时，卫星QKD系统还使用地面控制中心，完成了对星地协同网络进行集中管控[19]。地面控制中心通过激光链路或微波链路与各卫星节点相连(图2省略了微波通信模块)，其主要功能包括卫星轨道预测、卫星链路连接控制及链路资源分配等。在密钥中继的过程中，地面控制中心负责计算密钥分发的路径和资源分配策略，在每条链路上为密钥中继业务分配量子密钥。

3.3 基于可信中继的高低轨联合路由和资源分配技术

在基于可信中继的量子卫星网络中，当2个地面站需要共享密钥K时，密钥中继的过程是利用中间链路的密钥对K进行连续加解密操作；这需要为密钥中继业务计算传输路径，并分配沿途链路上的密钥和带宽。针对密钥中继业务的路由和密钥分配问题(Routing and Key Assignment，RKA)，基于前述双层量子卫星网络，本文提出了高低轨联合的路由和资源分配算法(Joint GEO-LEO Routing and Key Allocation，JGL-RKA)，以实现可信中继网络中的端到端密钥分发。该算法的核心在于综合利用GEO和LEO作为地面站的接入卫星，优先尝试使用LEO接入地面站；当低轨星地链路的密钥资源不足时，再切换至选择GEO接入地面站，作为接入路由的备选。

JGL-RKA算法可根据是否存在高低轨间链路执行不同的接入卫星选择子算法：联合使用高低轨(Joint GEO and LEO Access，JGLA)算法和单独使用高低轨(Separated GEO and LEO Access，SGLA)算法。图3展示了2种不同网络拓扑下的路由选择示意图，红色线代表只用LEO单层卫星进行接入路由，绿色线表示可综合利用GEO和LEO层进行路由。在图3(a)中，由于层间链路的存在，JGLA算法可以同时使用2种卫星接入地面站；在图3(b)中，由于没有层间链路，SGLA算法只能使用GEO或LEO进行接入。在接入卫星选择子算法中，JGLA算法首先为地面站寻找拥有足够带宽和密钥资源的LEO接入卫星，当寻找失败时，转而选择GEO卫星接入，源、宿地面站的选择过程一致；而在SGLA算法中，当地面站寻找不到可用LEO卫星时，源、宿地面站便同时转向选择GEO卫星接入，仅使用高轨道层进行密钥中继。

图3 2种不同网络拓扑下的路由选择示意图Fig.3 Route selection for key-relay services in two scenarios over double-layer quantum satellite network

JGL-RKA算法主要分为星地路由和星间路由两大步骤。在星地路由过程中，首先为源、宿地面节点选择接入卫星，当业务请求到达时，根据当前时间点获取拓扑矩阵，更新网络资源图，然后根据是否存在层间链路，分别执行JGLA或SGLA子算法；在星间路由过程中，根据选择的源宿接入卫星，使用最短径算法计算星间的传输路径，然后相应地分配每条链路上的资源，按照首次命中的策略选取时隙和密钥。

4 发展前景与挑战

墨子号的成功已经证实了空间量子密钥分发的可行性，但是目前密钥生成速率还比较低，量子卫星的成本也比较高，量子卫星光网络目前发展还不成熟。构建全球量子光网络，实现全球范围内的安全通信，将会面临许多困难和挑战。

4.1 高密钥生成速率与低成本

在追求高密钥生成速率和低成本的自由空间QKD系统，有几个主要的挑战：

① 如何增加密钥生成速率。目前各种空间QKD的研究结果表明，在陆地和卫星之间链路上密钥生成速率相对较低。较高的密钥生成速率允许频繁更新对称密钥，具有更高的安全性，同时可以满足更多的安全需求。利用波长或空间模式多路复用技术，改善公共信道[20]上的协调过程，以及先进的高速自动跟踪系统[21]，可使密钥生成速率增加成为可能。

② 如何增加密钥分发距离。这是未来自由空间QKD网络特别感兴趣的方向，研制低噪声的高效单光子探测器/相干探测器是关键的工程问题。随着距离的增加，这一问题变得越来越困难。

③ 如何降低实现成本。这是QKD在未来网络中广泛部署的一个重要因素，这个挑战可通过硬件开发、光子检测、集成设备和/或基于现有通信设备的新型QKD协议来实现。

4.2 新型自由空间QKD协议

除了传统QKD设备的硬件开发外，新型自由空间QKD协议的发明也引起了研究人员的兴趣。新型协议的开发有助于降低硬件复杂性，同时实现高密钥生成速率。

最近，有研究学者基于传统光电二极管的强度调制和直接检测(IM-DD)，提出新的自由空间CV-QKD协议[22]。在该协议中，源端发送2个非正交强度信号，由接收器对其使用双阈值检测器进行直接检测。由于量子噪声和大气湍流引起的衰落，到达接收端的2个强度信号强重叠，随机超过2个阈值。当没有超过阈值时，强度状态是不可区分的，Eve不可避免地通过随机猜测状态引入错误，从而最终被检测到。从理论上推导出，在1 km自由空间信道的弱湍流条件下，所提出的IM-DD-QKD协议最终达到10 Mbit/s的量子密钥生成速率[23]。

此外，也有研究学者使用传统光电探测器，针对光纤系统提出了差分相移(DPS)CV-QKD[24]。该DPS-QKD协议基于相干光随机相位调制，使2个信号状态部分重叠。在接收端，Bob使用相位差为π/2的延迟干涉仪，干涉仪的输出耦合到具有2个阈值的平衡检测器中，以解码信息位。该方案的安全性依赖于2个非正交的相位调制信号状态，而这2个状态不能用Eve完全区分。因此，DPS-QKD协议在自由空间上的适用性值得进一步研究。

4.3 自由空间QKD网络

大多数QKD网络默认中继是可信的，这会引起对中继安全性的担忧。为了消除这个隐患，默认QKD网络基于不可信中继是非常重要的。事实上，MDI-QKD自然适合于带有不可信中继的星形QKD网络。但是目前基于MDI-QKD的量子卫星密钥生成速率比较低，如何提高基于MDI-QKD的星地量子密钥分发，以及构建不可信中继的量子卫星QKD网络值得进一步研究。

低轨量子卫星的缺点是覆盖范围有限，且与每个地面站进行量子密钥分发的时间较短。为了扩大量子卫星的覆盖范围，需要发射轨道更高的量子卫星，以及建造量子卫星星座。这需要研发更大的光学接收镜、更精准的APT系统以及自适应光学的波前校正等新技术以提高更高轨道链路的密钥生成效率。

5 结论

在过去的30年，量子密钥分发经历了从理论到实践的广泛发展。近年来，无论是地面光纤网络还是自由空间量子卫星网络，都受到世界各国政府、学术界和产业界的重视，成为信息安全领域新的研究焦点。空间量子卫星光网络对实现全球安全通信具有重要意义，虽然目前量子卫星的系统性能和试点实验还存在一定局限性，但随着未来应用需求、系统器件和组网技术的发展与演进，其推广应用具有非常广阔的前景。