马彰超，王健全，缪亚军，秦 灏，李明翰

(1.北京科技大学 自动化学院，北京 100083;2.国科量子通信网络有限公司，北京 100193)

0 引言

量子密钥分发(Quantum Key Distribution，QKD)技术可实现理论上无条件安全的密钥分发协议。QKD作为量子通信技术的典型应用和量子信息领域率先实用化的关键技术，被人们寄予厚望[1-2]。

QKD网络是QKD技术走向实用化、规模化发展的关键，受到研究机构和产业界的广泛关注。2003年美国建立世界首个QKD网络——DARPA试验网[3]，率先实践了基于可信中继和光路交换的QKD组网技术。2008年，欧盟多国合作建成具备分层协议结构的可扩展QKD网络——SECOQC试验网[4]，试图构建面向商业用户的量子保密通信网络。2011年，日本建成东京QKD网络[5]，集成基于多种QKD协议的多厂商QKD设备，还设计了新颖的密钥提供平台，希望拓展更广泛的业务应用。2017年，我国基于世界首颗量子科学试验卫星“墨子号”、世界最长量子保密通信骨干线路“京沪干线”以及沿线多地城域网的星地一体QKD网络正式开通，希望构建由洲际卫星网络、地面光纤骨干网和城域接入网组成的广域量子保密通信网络。

欧盟研究报告“QKD现网实现”[6]指出，亚洲的中、日、韩，欧洲的奥地利、瑞士、意大利、西班牙、英国、俄罗斯、波兰，北美洲的美国、加拿大，非洲的南非等，均已部署基于可信中继的QKD试验或商用网络。另外，QKD网络技术与应用仍在不断演进，例如将QKD与SDN、5G以及区块链等新技术融合组网，提供更灵活高效的组网方式和安全服务[7-10]。欧盟量子旗舰计划[11]将基于可信中继的QKD网络和面向未来的量子互联网演进作为重要的研究方向，美国量子互联网蓝图报告[12]将软件定义的可扩展QKD网络作为其发展量子互联网的第一阶段。

QKD网络的发展离不开标准化的支撑，近年来国际电信联盟(ITU-T)针对QKD网络启动了一系列标准化工作，为QKD网络的互联互通及安全测评提供支撑。

本文将首先介绍QKD组网面临的挑战和组网技术原理，进一步介绍QKD网络的标准化现状、网络功能架构和多种QKD网络配置方案，最后给出了QKD网络技术发展及未来标准化工作的展望，为未来QKD网络技术研究与实践提供参考。

1 QKD网络概述

1.1 QKD组网面临的挑战

点到点QKD系统的一种典型系统参考模型如图1所示[13]。QKD发送端通过量子信号源产生量子信号后，经过调制器将随机比特信息调制在量子态(偏振或相位等物理量)上，然后通过光纤或自由空间信道将量子信号传递至接收端，接收端经过解调器和单光子探测器检测后转化为经典数字信息，最后结合收发两端通过经典通信方式交互的信息进行数据处理后，在收发两端得到对称的安全密钥。

QKD点对点传输的最远距离在实验室已经可以超过500 km，在实际工程应用可达100 km左右。利用现有广泛铺设的光纤基础设施来构建量子网络，成为极具吸引力的方案。但是，通过光纤量子组网也面临一些挑战。

首先，光纤信号放大器是传统光通信最重要的部件之一。但对于QKD而言，由于量子态不能被克隆，且任何试图放大量子信号的行为，都将破坏量子态编码的信息。用于长途通信链路中的信号中继设备(通常涉及光信号检测)也将破坏编码的量子信息。为此，QKD无法完全复用经典光通信网络中的传输设备。

其次，由于光量子信号在光纤远距离传输带来的损耗，在误码率接近安全性门限时，QKD成码率将开始急剧下降。由于量子信号不能通过光放大器增强，其最大传播距离受到限制。为了突破QKD最远传输距离，目前通常采用可信中继方案来实现远距离骨干网的连接。

另外，如果量子信号与经典光通信信号使用同一根光纤传输时，由于QKD使用的量子信号比经典光信号要弱很多个数量级。微弱的量子信号极易被经典信号的拉曼效应或其他非线性光学效应淹没在噪声中难以区分,导致误码率大幅提升而无法进行密钥生成。目前，基于波分复用(WDM)的量子-经典光通信共纤传输技术已取得长足进步，在实际QKD城域网中开始应用，可有效节省铺设QKD为网络所需的光纤资源。

图1 点到点QKD系统参考模型Fig.1 Point-to-point QKD system reference model

1.2 QKD组网技术原理

为实现点对点QKD向多用户QKD网络的扩展，通常可分为三类方案：光路交换/分束器、可信中继器和量子中继器,分别介绍如下。

光交换/分束器方案利用光路交换机或光分束器，可以在多对QKD设备之间通过时分或波分的方式，实现多用户QKD链路切换，从而实现为不同用户按需生成QKD密钥。但由于量子信号衰减带来的传输距离限制，该方案只能用于小型网络，无法扩展QKD距离。

可信中继方案将点对点QKD链路生成的密钥存储在可信节点中，并利用逐跳QKD链路生成的密钥建立基于一次性密码本(One-Time Pad,OTP)的信息理论安全加密传输通道。将用户所需的端到端密钥，通过OTP通道加密传输至通信两端用户侧，以实现端到端的量子保密通信。当前，该方案是全球QKD网络中广泛采用的实用解决方案。但其须假定QKD可信中继节点是受信任的安全节点，可防止任何未经授权方的入侵和攻击。

量子中继方案需要实现可将信息以量子态形式存储并转发的网络中间节点，即量子中继器。QKD协议所需传递的量子态将可在网络中直接进行端到端的传输，以确保安全性。量子中继通常需要在通信链路沿线部署多个可进行纠缠分发的中继站。理论上，该方案无需信任中间节点，是实现远距离QKD的理想解决方案。但是，该技术通常所需的量子存储器或量子纠错技术目前仍不成熟。

1.3 QKD网络标准化现状

QKD网络的发展迫切需要标准化的支撑，以实现异厂商设备的互联互通组网以及安全性的测评认证。QKD技术自身的标准化早在2008年由欧洲电信标准化协会(ETSI)率先开展。2017年，信息安全领域权威标准组织ISO/IEC JTC1 SC27开始针对QKD技术安全测评方面进行标准化。2018年，在韩国运营商KT和SKT、美国Hudson研究所发起的国际量子联盟、日本NICT/NEC/Toshiba、中国的国科量子、科大国盾等量子产业界力量联合推动下，国际电信联盟标准化部门(ITU-T)率先启动了QKD网络(QKD Network,QKDN)的标准化工作。

如图2所示，ITU-T未来网络研究组(SG13)针对QKDN规划编制一系列国际标准。Y.3800“支持QKD的网络概述”标准(已发布)[14]介绍了QKD网络的分层概念模型、网络设计需求和基本功能描述。Y.3801“QKD网络功能需求”标准(已批准发布)[15]规定了QKD网络主要功能的技术需求。Y.3802“QKD网络功能架构标准”(已通过研究组审查)规定了QKDN的参考架构模型、网元、参考点以及基本业务流程。Y.3803和Y.3804进一步基于该架构规定了QKD网络的密钥管理层、网络控制和网络管理层技术。同时，Q16/13工作组还在编制QKD网络商业模型(Y.QKDN_BM)、基于SDN的QKD网络控制(Y.QKDN_SDNC)、QKD与其他网络安全基础设施融合框架(Y.QKDN_frint)等标准。另外，Q6/13工作组正在编制QKD网络的服务质量保障(QoS)相关标准。

另外，ITU-T网络安全研究组(SG17)同步在编制QKD网络安全要求相关国际标准，包括X.QKDN_ov“QKDN总体安全要求”、X.QKDN_KM“QKDN密钥管理安全要求”、X.QKDN_TN“QKDN可信中继安全要求”等。

图2 QKDN网络方面国际标准项目Fig.2 Network aspects of QKDN standardization items

2 QKD网络功能架构

2.1 QKDN功能架构模型

本节主要介绍ITU-T规定的QKDN功能架构模型。如图3所示，该模型主要包括：

QKDN分层结构，包括量子层、密钥管理层、QKDN控制层、QKDN应用层、QKDN网管层和用户网络网管层；

QKDN基本功能，包括QKD网络中的QKD模块、QKD链路、密钥管理器(Key Manager，KM)、QKDN 控制器和QKDN网管系统；用户网络中的密码应用和用户网络网管系统；

进一步定义了各基本功能的子功能模块，并明确定义了各功能模块间交互信息的接口参考点。

图3 QKDN功能架构模型Fig.3 QKDN functional architecture model

2.2 量子层功能模块

量子层主要包括QKD模块和QKD链路功能，通常由一对QKD模块通过QKD链接连接，执行QKD协议来生成QKD密钥(QKD-key)。注意根据QKD协议的不同，QKD模块的角色有所区别。例如，对于基于“制备-测量”方案的QKD协议，QKD模块包括发送端和接收端；对于基于测量辅助方案的QKD协议(例如MDI-QKD和TF-QKD)，QKD模块则仅扮演发送器角色，接收器由QKD链路中的中间节点负责；在基于纠缠的QKD协议中，QKD模块则仅用作接收器，而产生纠缠量子信号的发送器由量子链路中的中间节点负责。QKD模块通常由以下子功能模块组成：

① 量子通信功能：负责制备、发送、传输和探测量子信号。

② 量子通道同步功能：负责为量子信道提供高精度(皮秒级)的时间同步功能，以支持量子信号的发送和检测。

③ 密钥蒸馏功能：a.进行基矢比对以匹配QKD模块调制和/或检测量子信号时所使用的基矢；b.进行参数估计以确保QKD信道未被监听，并为纠错和隐私放大设置参数；c.进行纠错和隐私放大，以在QKD模块之间建立对称且安全的密钥。以上是其通常的经典处理过程。

④ QKD-key输出功能：根据KM请求生成QKD-key并安全地提供给KM。

⑤ 随机数生成(RNG)功能：负责生成随机数并提供给量子通信功能和密钥蒸馏功能模块使用。

⑥ QKD模块管控单元功能：负责QKD模块与QKDN中的KM、QKDN控制器和QKDN管理器的I/O通信。

⑦ 多路信道复用功能：用于实现QKD模块之间的多路量子信道、经典通道的波分复用。

另外，QKD链路功能则除了提供用于量子信号和经典信号传输的信道之外，还可包括如下可选的子功能模块：

① 光交换机/分束器功能：负责针对多对QKD模块间的通信信道进行光路切换或分路操作，以便根据需要为QKDN中的不同用户间建立QKD链路。

② 量子中继点功能：通过在QKD链路中部署用于特定QKD协议处理的中间节点或量子中继节点，以扩展QKD传输距离。

2.3 密钥管理层功能模块

在密钥管理层中，由KM负责接收和管理由QKD模块生成的密钥，对密钥进行中继并将密钥提供给密码应用。 KM由密钥管理代理(Key Management Agent，KMA)、密钥供应代理(Key Supply Agent，KSA)和KM管控单元等功能模块组成，具体介绍如下。

(1) KMA

密钥存储功能：从QKD模块接收密钥、同步、鉴权、调整长度(组合或拆分)以及格式化等，并存储经过处理的密钥和元数据(例如密钥ID、密钥大小、密钥类型和生成时间)；

密钥中继功能：通过KMA链路进行密钥的中继，以实现QKDN中端到端的密钥分发。对密钥进行中继时应采用具有信息理论安全性的加密方式，建议使用一次性密码本(OTP)方案；

密钥生命周期管理功能：负责密钥的全生命周期管理，即从KM接收密钥到交付给应用程序使用的全过程。另外，还可根据特定策略管理密钥使用后执行删除或保留操作。

(2) KSA

密钥提供功能：通过KSA链接对端到端KSA之间共享的密钥进行同步和认证，并按需将密钥提供给加密应用程序；

密钥组合功能：用于将QKD生成的密钥和其他密钥交换方法(例如后量子密码学PQC)生成的密钥进行组合，以获得双重安全保障。

(3) KM管控单元功能

负责实现KM与QKD模块、QKDN控制器以及QKDN管理器等功能模块的连接。

2.4 QKDN控制层功能模块

在QKDN控制层，QKDN 控制器负责控制QKD网络的各种资源，以确保QKD网络安全、稳定、高效、鲁棒的运行。它进一步包含以下子功能模块：

① 会话控制功能：支持KMA控制密钥中继流的会话过程，同时还支持KSA 为多种加密应用提供密钥的方式；

② 路由控制功能：为收发两端的KM之间提供合适的密钥中继路由，并根据量子层和/或密钥管理层的故障、性能和/或可用性状态，对密钥中继进行重路由选择，以确保密钥中继和密钥供应的连续性；

③ 配置控制功能：负责控制相关QKD模块、QKD链路、KM和KM链路的配置信息以及状态信息的获取和配置，如果获得关于故障诊断结果的警报，它将对QKD链接和KM链接进行重配置；

④ 策略控制功能：负责基于一定的服务质量(QoS)管理和计费策略来控制QKDN网络资源；

⑤ 接入控制功能：负责实现针对QKD网络用户的身份认证、鉴权和访问控制。

2.5 QKDN管理层功能模块

在QKDN管理层中，QKDN管理器负责整个QKDN的故障管理、配置管理、计费管理、性能管理和安全性管理(FCAPS)，并支持与用户网络网管系统的对接。它包含以下子功能模块：

① 故障管理功能：执行监视、检测、诊断及修复QKDN发生的故障。在发生故障时，还可向QKDN控制器提供支持，根据需要对密钥中继路径进行路由选择和重路由控制。

② 配置管理功能：负责管理QKDN资源的提供、配置和发现，以及QKDN拓扑结构的获取和管理。如果QKDN支持密钥中继，它也可协助QKDN控制器来提供密钥中继路由。

③ 计费管理功能：统计密钥提供服务的使用情况以及对计费系统提供支持。

④ 性能管理功能：监视和分析QKDN管理资源的性能状态。它还支持QoS保证、QoS策略管理和可视化QKDN性能信息。

⑤ 安全管理功能：从QKDN采集或接收与安全相关的管理信息，支持密钥生命周期管理，并管理QKDN中的身份验证和鉴权。

QKDN管理器将针对量子层、密钥管理层和QKDN控制层的需求分别执行基于FCAPS的管理功能。

2.6 QKDN应用层功能模块

主要包括密码应用功能，利用QKDN提供的共享密钥对，在通信两端进行基于QKD的各类安全通信应用。

2.7 用户网络管理层功能模块

主要包括用户网络网管系统功能，负责执行针对用户网络的FCAPS相关管理功能。

3 QKD网络配置方案

基于本文的QKDN功能架构模型，本节将进一步介绍QKDN在不同场景下可能采用的4种网络配置方案：分布式控制、集中式控制、多级节点集中式控制以及集中式的控制和密钥中继。各种配置方案下的QKDN将由多种类型的网络节点构成。此处QKDN节点是指由多种QKDN网络功能组合而成的逻辑实体，并不一定可映射于特定的物理设备。

3.1 分布式控制

基于分布式控制的QKDN配置方案1如图4所示。配置1中，QKDN由Type I QKD节点组成。该类QKD节点包含完整的QKD模块、KM和控制器功能，可以进行分布式路由控制等功能，实现自组织式的分布式组网。

图4 QKDN配置1：分布式控制Fig.4 QKDN configuration 1:distributed control

3.2 集中式控制

为了支持大规模QKDN的高效管理，通常采用集中式控制器的方式，以提高整网资源管理调度的效率。

集中式控制的QKDN配置方案2如图5所示。配置2中，QKDN由Type II QKD节点以及一个或多个集中式QKDN控制器组成。Type II QKD节点仅包含QKD模块和KM功能。网络中各QKD节点及链路的路由控制、资源调度等功能由集中部署的QKDN控制器进行统一优化控制。

图5 QKDN配置2：集中式控制Fig.5 QKDN configuration 2:centralized control

3.3 多级节点集中式控制

为了支持广域QKD网络的部署和运营，给出一种由多级QKD节点组成的集中式控制QKDN配置方案3，如图6所示。将Type II QKD节点根据角色的不同分为3种类型：QKDN用户节点、QKDN接入节点和QKDN中继节点，具体介绍如下。

(1) QKDN用户节点

QKDN用户节点是位于QKD用户侧的可信节点。它负责从QKDN获取密钥，并为特定的密码应用提供相应的密钥以进行保密通信。用户节点由QKD模块和KM组成。通常用户节点仅包含一个QKD发送机模块(QKD-Tx)，以降低用户设备成本。用户节点的KM需实现密钥存储、密钥提供和密钥中继功能。

(2) QKDN接入节点

QKDN接入节点是负责汇聚其连接的多个用户节点的密钥业务流，并基于可信中继方案将密钥流通过OTP通道转发到远端的QKD节点。用户节点可以直接与接入节点连接，或通过光交换机(Optical Switch)来接入。通常接入节点包含功能强大的QKD接收机模块(QKD-Rx)，可以同时处理来自多个用户的QKD信号，还可集成多用户调度功能，将信道资源在多个关联用户间进行动态分配。接入节点的KM需具备密钥存储和密钥中继功能。

(3) QKDN中继节点

QKDN中继节点负责建立密钥中继路由，以实现远距离的密钥分发，突破点对点量子信道的距离限制。中继节点通常包含至少一对QKD-Tx和QKD-Rx，以连接前后两跳QKD链路。中继节点的KM需具备密钥的存储和中继功能。

通过QKD用户节点、接入节点和中继节点的组合，该配置方案可以支持多种灵活的QKDN拓扑结构。例如，多个用户节点和接入节点可组成QKD接入网络(QAN)，适用于城域网络覆盖。多个中继节点可以形成QKD骨干网(QBN)，通过连接多个QAN实现广域网络覆盖。

图6 QKDN配置3：多级节点的集中式控制Fig.6 QKDN configuration 3:hierarchical centralized control

3.4 集中式的控制和密钥中继

为进一步简化QKDN节点功能并提高密钥中继效率，提出了一种新型的集中式控制QKDN配置方案4，如图7所示。在配置4中，除了网络路由控制等控制器功能，还将KM中的密钥中继功能进行集中化。KM模块分为本地和集中式KM两部分，集中式KM可与QKDN控制器合设。中继节点之间无需进行密钥加密传输，而是将前后两跳QKD链路生成的密钥做异或处理后，发送至集中式KM进行集中运算，再交给目的用户端处理生成端到端密钥。该方案可以避免QKDN中大量中继节点两两交互带来的复杂连接管理及鉴权等过程，还可进一步降低QKD节点的复杂度，并减少网络开销。

图7 QKDN配置4：集中式的控制和密钥中继Fig.7 QKDN configuration 4:centralized control and key relaying

4 网络研究与标准化展望

目前，QKD网络研究和标准化方兴未艾，后续仍需开展深入的研究及标准化工作。在此简要列举一些需解决的问题及潜在方向以供参考。

(1) 如何实现QKD网络的互操作性

QKD网络的异厂商QKD设备互操作性是亟需解决的重要问题之一。这需要基于标准化的QKDN架构，进一步研究并标准化网元间的通信接口协议。基于本文的架构模型，存在2种可能方案：

① 密钥管理层互操作：通过标准化KM和QKD收发模块间的Kq接口，使得相邻的两跳QKD链路可以分别采用不同的供应商设备；

② QKD链路级互操作：需规范QKD模块间的接口，包括Qqc，Qdist，Qsych，以实现来自不同供应商的QKD设备间的互联互通。

密钥管理层的互操作性虽然实现互操作能力有限，但易于实现且仅需少量的标准化工作。QKD链接级互操作虽然可实现QKD设备间完全互通，但需要标准化QKD物理层协议，这在目前QKD协议仍在不断发展更新的情况下难度较大。

(2) 如何提升QKD网络效率、降低网络部署成本

当前QKD网络部署通常需要利用昂贵的光纤、机架、机房资源和单独的硬件设备。如何尽可能提升QKD网络效率和降低QKD网络部署成本是其商业应用的关键。这需要研究QKD系统自身的资源分配优化，以及QKD与经典通信系统的集成融合技术及其标准化。例如：如何通过QKD网络空时频资源的优化调度提升网络效率；如何将QKD量子信道与现有光通信网络进行混合共纤传输；如何实现QKD信号收发处理模块与电信网络通讯设备的融合集成等。

(3) 如何扩展QKD的应用范围

当前的QKD应用在很大程度上受限于硬件设备开销、量子信道的特殊要求以及QKD协议的功能限制等，未来QKD行业发展需进一步研究QKD新型应用场景。例如，基于卫星网络的QKD、小型化和移动化QKD、QKD与经典密码学及信息安全技术(例如后量子密码、区块链等)的集成应用。

(4) 如何确保可信中继QKD网络安全性

QKD网络目前主要基于可信中继方案实现组网。点对点QKD系统的安全性已具备完善的理论安全性证明，实际系统的安全性测评标准也已在制定中。但针对可信中继QKD网络的安全防护要求仍亟需研究并实现标准化，包括密钥中继、密钥输出、网络控制和网络管理等交互过程中的安全性保障手段。

(5) 如何通过量子中继实现可扩展的QKD网络

基于量子中继的全量子网络，可有效消除可信中继带来的安全隐患问题，这将是未来QKD网络演进发展的方向，有必要提前研究引入量子中继的QKD网络组网技术。

5 结束语

本文概述了QKD网络的发展现状、组网原理、功能架构、组网配置方案及其未来工作展望。可以看到，QKD网络技术从理论研究、实践应用到标准化已取得了明显的进步，但其进一步的广泛部署与推广应用仍然面临挑战，需要在互操作与安全性增强、高性能组网与资源管理以及网络协同融合等方面开展深入研究。另外，随着量子信息技术的不断发展，QKD网络还将面向未来量子互联网的宏伟蓝图不断发展演进。作为多学科、跨领域的新兴技术，QKD网络发展及其未来演进迫切需要量子物理、密码学、通信网络及信息安全等多专业的协同配合与融合创新。