基于量子的數(shù)據(jù)通信安全應(yīng)用研究

陳立佳 劉菲 史銘 趙波

摘要：現(xiàn)代社會(huì)人們和各類機(jī)構(gòu)越來越多的傾向于借助互聯(lián)網(wǎng)來進(jìn)行信息交流，這個(gè)過程中信息數(shù)據(jù)的產(chǎn)生、傳輸和存儲(chǔ)都是借助于計(jì)算機(jī)硬件技術(shù)、存儲(chǔ)技術(shù)以及網(wǎng)絡(luò)相關(guān)技術(shù)來實(shí)現(xiàn)的。但信息在網(wǎng)絡(luò)傳輸過程中卻存在著眾多的安全問題。本文提出了一種基于量子密鑰分配技術(shù)的數(shù)據(jù)安全通信網(wǎng)絡(luò)，以保證在信息傳輸中的安全問題，提升信息傳輸過程中的安全性。由密鑰生成控制服務(wù)器、經(jīng)典交換機(jī)、QKD系統(tǒng)等設(shè)備組成，將量子通信技術(shù)應(yīng)用于專用數(shù)據(jù)保護(hù)的通信網(wǎng)絡(luò)，大幅提高了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩浴?/p>

關(guān)鍵詞：數(shù)據(jù)通信 量子密鑰分發(fā) 量子密碼終端 密鑰中繼

ABSTRACT：Modern society， people and various organizations tend to use the Internet to exchange information， the process of the production， transmission and storage of information data is the use of computer hardware technology， storage technology and network related technology to achieve. But there are many security problems in the process of information transmission. In this paper， a data security communication network based on quantum key distribution is proposed in order to guarantee the complete problem in information transmission， and to improve the security of information transmission. Safety communications network based on quantum key distribution technology is proposing in this paper， composing by secondary system， key generation control server， the classic switch， QKD system and other equipment. The application of quantum communication technology in the communication network of private data protection has greatly improved the security of network data transmission.

Keywords：Data communication； Electric Power Secondary System； quantum key distribution； quantum cryptography equipment； Quantum Key Relay

量子保密通信是基于量子密鑰分發(fā)的密碼通信解決方案，量子密鑰分發(fā)不依賴于計(jì)算的復(fù)雜性來保證通信安全，而是基于量子力學(xué)基本原理。只要能夠在通信雙方成功的建立密鑰，這組建立的密鑰就是絕對(duì)安全的，并且這種密鑰是具有絕對(duì)隨機(jī)性的，從原理上無法破解。由于量子密碼系統(tǒng)基于的這種隨機(jī)性，其安全性不因數(shù)學(xué)水平和計(jì)算能力的提高受到威脅，所以不僅是現(xiàn)在，而且在未來利用量子密碼系統(tǒng)加密的信息都是安全的。由此，人類目前已知的唯一具有長(zhǎng)期安全性保障的通信解決方案是量子保密通信。并且在世界范圍內(nèi)已有量子通信網(wǎng)絡(luò)初步建成并運(yùn)行。

在傳統(tǒng)數(shù)據(jù)傳輸系統(tǒng)基礎(chǔ)上，使用量子通信保證數(shù)據(jù)傳輸?shù)陌踩?，提高?shù)據(jù)通信網(wǎng)絡(luò)的可靠性、安全性和穩(wěn)定性，是一個(gè)值得研究和發(fā)展的方向，兩者結(jié)合能夠有效保證數(shù)據(jù)在通信過程中的安全可靠。

一、QKD系統(tǒng)基本結(jié)構(gòu)

如圖表1.1所示，QKD系統(tǒng)主要由主控模塊、數(shù)據(jù)處理模塊、系統(tǒng)管理模塊、光電系統(tǒng)（光學(xué)模塊和單光子探測(cè)器）組成。

該QKD系統(tǒng)的運(yùn)行受控于密鑰生成控制系統(tǒng)，由密鑰生成控制系統(tǒng)下發(fā)QKD控制指令給終端設(shè)備的系統(tǒng)管理模塊，系統(tǒng)管理模塊將接收到的指令進(jìn)行必要的協(xié)議轉(zhuǎn)換（某些關(guān)鍵指令還需要加解密處理），完成對(duì)QKD系統(tǒng)進(jìn)行工作流程控制。

系統(tǒng)管理模塊的外圍主要硬件結(jié)構(gòu)如圖表1.2所示：

二、QKD系統(tǒng)與數(shù)據(jù)通信

在當(dāng)前的要求數(shù)據(jù)安全性比較高的網(wǎng)絡(luò)中，會(huì)采用專線進(jìn)行保密的數(shù)據(jù)通信，會(huì)添加防護(hù)設(shè)備，增加一道安全措施。設(shè)備首先需要通過證書機(jī)制，完成身份認(rèn)證過程，然后將一端產(chǎn)生的隨機(jī)數(shù)通過非對(duì)稱密碼學(xué)算法加密處理后傳輸給另一端，而另一端的防護(hù)設(shè)備將接收到數(shù)據(jù)，并把數(shù)據(jù)進(jìn)行解密，由此獲得隨機(jī)數(shù)，這樣就完成了對(duì)稱密鑰的分發(fā)過程。

由于目前的對(duì)稱密鑰分發(fā)機(jī)制，必須由經(jīng)典密鑰學(xué)的加解密算法處理，這樣就有可能被攻破。因此，通過制定一整套完善的量子對(duì)稱密鑰傳輸、同步、中繼等協(xié)議，使得防護(hù)設(shè)備可以使用QKD系統(tǒng)提供的對(duì)稱量子密鑰，對(duì)目前系統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行實(shí)時(shí)量子加解密處理。如圖表2.1所示：

三、多用戶應(yīng)用場(chǎng)景下的量子密鑰分配、存儲(chǔ)和管理機(jī)制

如圖表3.1所示，在要求較高的專線數(shù)據(jù)傳輸系統(tǒng)多用戶應(yīng)用場(chǎng)景下，可將該專線網(wǎng)絡(luò)分為“客戶大區(qū)”和“管理大區(qū)”兩大部分。該場(chǎng)景下的兩個(gè)用戶之前數(shù)據(jù)通信的安全通信可由QKD系統(tǒng)直接向認(rèn)證設(shè)備提供的量子密鑰保證。

在該網(wǎng)絡(luò)中，可使用一個(gè)全通型光量子交換機(jī)，掛接6臺(tái)量子網(wǎng)關(guān)，在密鑰生成控制服務(wù)器的調(diào)度下，實(shí)現(xiàn)任意兩個(gè)設(shè)備間的量子密鑰分發(fā)，并直接把生成的量子密鑰存儲(chǔ)在各自設(shè)備內(nèi)。

管理大區(qū)用戶與客戶大區(qū)用戶之間進(jìn)行通信，其防護(hù)設(shè)備可以使用QKD系統(tǒng)提供的量子密鑰，完成數(shù)據(jù)加解密功能，達(dá)到安全的保密通信要求。

多用戶應(yīng)用場(chǎng)景量子加密數(shù)據(jù)傳輸?shù)闹饕襟E如下：

（1）場(chǎng)景內(nèi)，每個(gè)用戶終端部署一臺(tái)QKD系統(tǒng)，由密鑰生成控制服務(wù)器定時(shí)監(jiān)控每個(gè)用戶的當(dāng)前量子密鑰量，根據(jù)制定的排隊(duì)策略，把各個(gè)QKD系統(tǒng)按照規(guī)則進(jìn)行配對(duì)，啟動(dòng)量子密鑰分發(fā)；

（2）各個(gè)QKD系統(tǒng)必須由唯一的ID號(hào)標(biāo)識(shí)身份，該QKD與其他的QKD系統(tǒng)進(jìn)行量子密鑰分發(fā)，并且會(huì)使用對(duì)方ID號(hào)對(duì)生成的量子密鑰進(jìn)行標(biāo)識(shí)和保存。

（3）通過具體的用戶通信進(jìn)行演示：客戶大區(qū)的用戶2需要與用戶4進(jìn)行通信，密鑰生成控制服務(wù)器會(huì)統(tǒng)一管理，安排用戶2與用4進(jìn)行通信，用戶2的QKD系統(tǒng)會(huì)根據(jù)ID號(hào)與用戶4的QKD系統(tǒng)分發(fā)的量子密鑰進(jìn)行設(shè)備認(rèn)證，而用戶4的QKD系統(tǒng)也會(huì)根據(jù)ID號(hào)與用戶2的QKD系統(tǒng)分發(fā)的量子密鑰提供給認(rèn)證設(shè)備；

（4）認(rèn)證設(shè)備采用量子密鑰，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加解密處理，使保密通信過程完成。

四、通信網(wǎng)絡(luò)與量子網(wǎng)絡(luò)融合

（一）通信網(wǎng)絡(luò)中的加密認(rèn)證設(shè)備部署

專線網(wǎng)絡(luò)要實(shí)現(xiàn)“分級(jí)管理”的要求，各級(jí)數(shù)據(jù)調(diào)度中心以及下屬的各個(gè)數(shù)據(jù)站點(diǎn)部署了加密認(rèn)證設(shè)備，根據(jù)總部調(diào)度通信關(guān)系建立加密隧道（理論上只能在上級(jí)和下級(jí)之間建立加密隧道），加密隧道拓?fù)涞慕Y(jié)構(gòu)是網(wǎng)狀結(jié)構(gòu)。如圖表4.1、圖表4.2所示：

（二）量子通信網(wǎng)絡(luò)融入實(shí)例

在一級(jí)分部調(diào)度中心管理中，加密認(rèn)證設(shè)備需要對(duì)相鄰的二級(jí)分部使用 QKD系統(tǒng)提供的量子密鑰進(jìn)行加解密處理。網(wǎng)絡(luò)拓?fù)淙鐖D表4.3所示：

一級(jí)分部調(diào)度中心控制二級(jí)分部1和二級(jí)分部2的通信網(wǎng)絡(luò)，一級(jí)分部與兩個(gè)二級(jí)分部都可以通過量子集控站，完成兩兩間的量子信道建立，在集控站的統(tǒng)一協(xié)調(diào)下，使其具備兩兩之間能夠分發(fā)量子密鑰的能力。由此，一級(jí)分部調(diào)度中心與兩個(gè)分部之間就可以實(shí)現(xiàn)兩兩加密認(rèn)證設(shè)備通過使用量子密鑰進(jìn)行加解密處理的保密通信。該場(chǎng)景下的通信數(shù)據(jù)加解密與傳輸流程如下所示：

（1）（這里一級(jí)分部調(diào)度中心簡(jiǎn)稱為一級(jí)中心；二級(jí)分部1簡(jiǎn)稱為二分1；二級(jí)分部2簡(jiǎn)稱為二分2）。

（2）一級(jí)中心的集控站與二分1的集控站、一級(jí)中心的集控站與二分2的集控站，在密鑰生成控制服務(wù)器（處于集控站中）的統(tǒng)一協(xié)調(diào)管理下，實(shí)現(xiàn)量子密鑰分發(fā)；

（3）二分1需要完成與一級(jí)中心的通信數(shù)據(jù)傳輸，二分1的認(rèn)證設(shè)備先用與一級(jí)中心分發(fā)的量子密鑰，對(duì)數(shù)據(jù)進(jìn)行加密處理，然后由經(jīng)典網(wǎng)絡(luò)傳給一級(jí)中心；

（4）一級(jí)中心接收到二分1傳輸?shù)募用軘?shù)據(jù)，一級(jí)中心認(rèn)證設(shè)備使用與二分1分發(fā)的量子密鑰進(jìn)行解密，這樣就實(shí)現(xiàn)了二分1傳輸通信數(shù)據(jù)給一級(jí)中心的功能；

（5）與此同時(shí)，一級(jí)中心下發(fā)調(diào)度指令給二分1，一級(jí)中心的認(rèn)證設(shè)備使用與二分1分發(fā)的量子密鑰，對(duì)調(diào)度指令進(jìn)行加密處理，然后通過經(jīng)典網(wǎng)絡(luò)傳輸給二分1；

（6）二分1接收到一級(jí)中心傳輸?shù)募用苷{(diào)度指令，二分1認(rèn)證設(shè)備使用與一級(jí)中心分發(fā)的量子密鑰進(jìn)行解密，這樣就完成了一級(jí)中心傳輸數(shù)據(jù)給二分1的功能；

（7）二分2與一級(jí)中心之間的通信數(shù)據(jù)傳輸與二分1相似。

在二級(jí)分部1下，用戶1和用戶2的量子信道通過全通光量子交換機(jī)與該分部集控站連接，實(shí)現(xiàn)用戶1、用戶2和二級(jí)分部1兩兩之間的量子密鑰分發(fā)。該場(chǎng)景下的通信數(shù)據(jù)加解密與傳輸流程如下所示：

（1）用戶1與二級(jí)分部1、用戶2與二級(jí)分部1，在密鑰生成控制服務(wù)器（處于集控站中）的統(tǒng)一協(xié)調(diào)，實(shí)現(xiàn)量子密鑰分發(fā)；

（2）用戶1需要與一級(jí)分部調(diào)度中心進(jìn)行通信數(shù)據(jù)傳輸，用戶1的認(rèn)證設(shè)備首先使用其與一級(jí)分部1交互分發(fā)的量子密鑰，加密通信數(shù)據(jù)，然后由經(jīng)典網(wǎng)絡(luò)傳輸給一級(jí)分部1；

（3）一級(jí)分部1收到用戶1傳輸?shù)慕?jīng)過加密通信數(shù)據(jù)，一級(jí)分部1的認(rèn)證設(shè)備使用與用戶1分發(fā)的量子密鑰對(duì)加密數(shù)據(jù)進(jìn)行解密，這樣就實(shí)現(xiàn)了用戶1傳輸數(shù)據(jù)給一級(jí)分部1的功能；

（4）同時(shí)，一級(jí)分部1可以下發(fā)調(diào)度指令給用戶1，一級(jí)分部1的認(rèn)證設(shè)備使用與用戶1分發(fā)的量子密鑰，加密調(diào)度指令，然后經(jīng)由經(jīng)典網(wǎng)絡(luò)傳輸給用戶1；

（5）用戶1接收到二級(jí)分部1傳輸?shù)募用苷{(diào)度指令，其認(rèn)證設(shè)備使用與二級(jí)分部1分發(fā)的量子密鑰進(jìn)行解密，這樣就完成了二級(jí)分部1傳輸通信數(shù)據(jù)給用戶1的功能；

（6）用戶2與二級(jí)分部1之間的通信數(shù)據(jù)傳輸與用戶1類似。

如果用戶1或用戶2需要與一級(jí)分部調(diào)度中心直接傳輸通信數(shù)據(jù)，則要用到密鑰中繼功能，以用戶2上傳數(shù)據(jù)給一級(jí)分部調(diào)度中心為例，主要步驟如下所示：

（1）一級(jí)分部調(diào)度中心的集控站與二級(jí)分部1下的用戶2，通過它們之間的二級(jí)分部1集控站，利用經(jīng)典密鑰中繼的方式，使一級(jí)分部調(diào)度中心與用戶2之間擁有共享的量子密鑰；

（2）用戶2的認(rèn)證設(shè)備，需要給傳輸給一級(jí)分部調(diào)度中心的數(shù)據(jù)進(jìn)行加密，加密密鑰為上述共享的量子密鑰，然后由經(jīng)典網(wǎng)絡(luò)傳輸給一級(jí)分部調(diào)度中心；

（3）一級(jí)分部調(diào)度中心的認(rèn)證設(shè)備，利用對(duì)應(yīng)的量子密鑰作為業(yè)務(wù)密鑰，將用戶2傳輸過來的加密數(shù)據(jù)進(jìn)行解密，這樣就實(shí)現(xiàn)了用戶2與一級(jí)分部調(diào)度中心之間數(shù)據(jù)加解密傳輸功能。

五、結(jié)束語

本文對(duì)QKD設(shè)備應(yīng)用于專線通信網(wǎng)絡(luò)進(jìn)行分析和闡述，從目前通信網(wǎng)絡(luò)的現(xiàn)狀以及現(xiàn)有網(wǎng)絡(luò)的安全性特點(diǎn)出發(fā)，給出了系統(tǒng)多用戶應(yīng)用場(chǎng)景下的量子密鑰分配、存儲(chǔ)和管理機(jī)制實(shí)現(xiàn)方案；同時(shí)，提出一種融合量子密鑰分配技術(shù)與通信網(wǎng)關(guān)的安全通信網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù)。

本文還介紹了量子保密通信網(wǎng)絡(luò)與光纖通信網(wǎng)絡(luò)之間的互聯(lián)互通技術(shù)，提出量子網(wǎng)絡(luò)與專用通信網(wǎng)的融合實(shí)現(xiàn)方案，并研究任意節(jié)點(diǎn)之間的互聯(lián)互通機(jī)理以及針對(duì)量子保密通信網(wǎng)絡(luò)的密鑰中繼技術(shù)，為實(shí)現(xiàn)系統(tǒng)量子安全通信網(wǎng)絡(luò)奠定基礎(chǔ)。

參考文獻(xiàn)：

[1]Techateerawat， P.Dept. of Electr. & Comput. Eng.， Thammasat Univ.， Khlong Luang， Thailand.，2011. Network management system for Quantum Key Distribution. Electrical Engineering/Electronics， Computer， Telecommunications and Information Technology （ECTI-CON）， 2011-International Conference， P292-P295， Khon Kaen

[2]Sasaki， M.Nat. Inst. of Inf. & Commun. Technol.， Tokyo， JapanFujiwra， M. ； Ishizuka， H. ； Klaus， W. ； Wakui， K. ； Takeoka， M. ；Tanaka， A. ； Yoshino， K. ； Nambu， Y. ； Takahashi， S. ； Tajima， A. ；Tomita， A. ； Domeki， T. ； Hasegawa， T. ； Sakai， Y. ； Kobayashi， H. ；Asai， T. ； Shimizu， K. ； Tokura， T. ； Tsurumaru， T. ； Matsui， M. ；Honjo， T. ； Tamaki， K. ； Takesue， H. ； Tokura， Y. ； Dynes， J.F. ； Dixon，A. ； Sharpe， A.W. ； Yuan， Z.L. ； Shields， A.J. ； Uchikoga， S. ； Legre，M. ； Robyr， S. ； Trinkler， P. ； Monat， L. ； Page， J.-B. ； Ribordy， G. ；Poppe， A. ； Allacher， A. ； Maurhart， O. ； Langer， T. ； Peev， M. ；Zeilinger， A.，2011. Tokyo QKD Network and the evolution to Secure Photonic Network. Lasers and Electro-Optics （CLEO）， 2011， P1-P3， Baltimore， MD

[3]張睿汭，周靜，陳希.光纖量子密鑰分配技術(shù)在電網(wǎng)中的應(yīng)用前景[J].系統(tǒng)通信. 2012（10）

[4]張睿汭.光纖通信網(wǎng)絡(luò)竊聽方法及防御措施[J].電信科學(xué). 2012（11）