量子衛星光網絡前瞻

趙永利，王 艷，何芯逸，郁小松，張 杰

(北京郵電大學 信息光子學與光通信國家重點實驗室，北京100876)

0 引言

網絡安全作為熱點主題，吸引了廣大的研究者。傳統的安全技術主要集中在加密算法上，而加密算法的安全性取決于數學復雜度。然而，隨著竊聽者計算能力的增強[1]，這種復雜的加密方法變得越來越不可靠。但是基于量子本身的性質，量子密碼在理論上被證明是絕對安全的。量子密鑰分發(Quantun Key Distribution,QKD)[2]是量子密碼學的一個分支，它描述了在通信雙方之間建立一個高度安全的對稱密鑰的方法。QKD遵循量子力學的基本定律，通過海森堡不確定性原理和不可克隆定理，在理論上提供了無條件的安全性，從而可以檢測到任何第三方的竊聽。

量子密鑰分發主要有兩種實現技術：離散變量量子密鑰分發(DV-QKD)和連續變量量子密鑰分發(CV-QKD)。DV-QKD是Bennett和Brassed提出的第一個QKD協議，被廣泛稱為BB84協議[3]。在DV-QKD中，利用量子態的離散變量對信息進行編碼，在接收端用單光子探測器進行檢測。CV-QKD編碼光場的正則分量信息，用平衡零拍檢測器檢測。由于DV-QKD協議比CV-QKD協議更成熟，傳輸距離也更長，使得BB84協議得到了廣泛的應用。

近年來，QKD得到了越來越多的關注，國際標準化組織如歐洲電信標準協會(ETSI)、國際標準化組織(ISO)和國際電信聯盟(ITU)，也都在努力解決QKD標準化問題。國際上，許多國家建設了基于量子的光示范網絡；在國內，量子通信也被列入“十三五”規劃中，是體現國家戰略意圖的重要科學領域之一。量子衛星網絡的技術和產業發展，已成為全球關注的重點領域和我國建設網絡強國的核心。本文將從量子光網絡現狀、量子衛星光網絡現狀、量子衛星光網絡架構和關鍵技術以及量子衛星光網絡的發展前景與挑戰四個方面，對量子衛星光網絡進行全面的分析和闡述。

1 量子光網絡現狀

目前，許多國家已經成功建立了基于光纖的量子保密通信小型QKD實驗網絡。這些小型QKD實驗網絡可以通過可信的中繼器(例如基于點對點BB84協議)來分發端到端密鑰，近年來在城域網和城際網中得到了應用，具體如下所述。

1.1 城域網

歐盟從2006年開始組織英國、法國、德國、意大利、奧地利和西班牙等國家的40個相關領域的研究組，啟動了“基于密碼的安全通信(SECOQC)”工程[4]。這是隸屬于歐盟第6框架研究計劃中的一個課題。2008年10月，SECOQC在維也納現場演示了一個基于商業網絡的包含6個節點的量子通信系統，集成了單光子、糾纏光子、連續變量等多種量子密鑰收發系統，建立了西門子公司位于不同地點的子公司之間的量子通信連接。

南非Durban市在其“智慧城市”建設規劃中設計了一個4節點網絡方案，其中在eThekwini自治區，于2010年5月，建成了一條量子密鑰分發線路，連接Durban市內的2個地點——Moses Mabhida體育場和Joint Operations Centre[5]。該線路用于分發加密密鑰，兩點間的通信使用分發的密鑰通過AES-256算法進行加密，加密后的經典通信速率可達1 Gbit/s。該線路在南非世界杯期間成功運行，完成了前方和后方的新聞傳輸。

2010年10月，日本國家情報通信研究機構(NICT)聯合日本電信電話株式會社(NTT)、NEC和三菱電機，邀請到東芝歐洲有限公司、瑞士ID Quantique公司和奧地利的All Vienna公司共同協作，在東京建成了6節點的城域量子通信網絡[6]。該網絡集中了當時歐洲和日本在量子通信技術上開發水平最高的公司和研究機構的最新技術，其最遠通信距離為90 km，45 km點對點通信速率可達60 kbit/s。

1.2 城際網

2012年，中國科學技術大學在承擔的“863”計劃“新一代高可信網絡”項目“城際量子密鑰分配網絡”課題中完成了舒城-六安-合肥的城際量子密鑰分配網絡試驗床。通過采用超導探測器，在最遠104 km(25 dB 衰減)條件下，實現了安全成碼，并完成了加密語音通信演示。

2017年9月29日，世界首條量子保密通信干線——“京滬干線”正式開通。該線路開通后，實現了連接北京、上海，貫穿濟南和合肥全長2 000多千米的光纖量子通信骨干網絡，沿線一共設置了北京、濟南、合肥、上海等32個可信中繼站點[7]。“京滬干線”全線路密鑰率大于20 kbit/s，目前在銀行、證券和保險領域的實際應用正在試驗中，推動了量子通信在金融、政務、國防及電子信息等領域的大規模應用。

此外，也有研究討論了QKD和經典網絡的集成，如WDM網絡上的QKD[8-9]和基于軟件定義網絡(SDN)的QKD[10]。隨著QKD在陸地光網絡中的應用，也有研究提出了在全球范圍內為2個長距離的節點分發密鑰的要求。由于單光子信號在長距離光纖上有傳輸損耗大、去偏振性差的缺陷，因此，光纖不能用于洲際通信，這給構建全球量子網絡帶來了巨大的挑戰。

2 量子衛星光網絡現狀

自由空間QKD由于其低衰減和廣覆蓋等特點，在全球網絡安全通信中引起了廣泛的關注。基于衛星網絡的QKD可以克服地面光網絡在長距離光纖信道上衰減大和洲際域通信的限制。通過構建量子衛星光網絡，世界各地不同的QKD網絡可以通過量子衛星相互通信，使得在不久的將來實現全球量子衛星光網絡成為可能。

我國在自由空間QKD方面開展了大量的研究工作，目前已取得領先地位。中國科學技術大學潘建偉研究組從2005年開始研究自由空間量子密鑰分發技術，在合肥實現了距離13 km自由空間量子糾纏分發實驗[11]，證明了糾纏光子信號在穿透等效于整個大氣層厚度的地面大氣后，仍然能夠處于糾纏態；同時在2013年，該研究組還在青海湖開展了星地量子密鑰分發實驗[12]，利用移動平臺和熱氣球來模擬低軌道衛星的運動狀態，通過地面自由空間信道模擬星地鏈路，成功驗證了低軌衛星與地面量子通信的可行性。

2016年，我國成功發射了世界上首顆量子衛星“墨子號”，建立了空間量子科學實驗平臺，并開展了一系列量子通信實驗。2017年6月，“墨子號”成功進行了星地間雙向量子糾纏分發實驗[13]，用衛星作為糾纏源向2個地面站發送糾纏光子對，同時還檢驗了量子力學的非定域性，成功驗證了利用衛星作為量子中繼為地面站進行量子密鑰分發的可行性。2017年8月，“墨子號”成功進行了基于誘騙態BB84協議的星地量子密鑰分發實驗[14]，使用弱相干源發射單光子信號，在距離上千千米的地面站間分發密鑰。在此基礎上，還實現了廣域量子通信網絡的初步構建，在墨子號衛星和京滬干線之間建立了星地間鏈路，用衛星連接興隆站，實現了城域網間的互聯。同時，研究團隊還在“天宮二號”上裝載了小型量子密鑰分發載荷，并成功完成星地量子密鑰分發實驗。

2017年9月，中科院和奧地利科學院合作，利用量子衛星作為可信中繼，在中國和歐洲之間實現距離7 600 km的洲際量子密鑰分發，并使用密鑰對數據傳輸和視頻通話進行加密，驗證了洲際量子通信的可行性[15]。2017年11月，中科院利用墨子號衛星進行基于量子糾纏的星地量子密鑰分發實驗[16]，該實驗采用BBM92協議，成功在衛星和地面站之間共享量子密鑰。

在星間量子密鑰分發的研究方面，2017年7月中國科學技術大學研究組進行了在白天下的自由空間量子密鑰分發實驗[17]，成功證明了在日光下星間量子密鑰分發的可行性。不同于前述星地量子通信，該實驗選擇1 550 nm作為量子工作波長，并通過窄帶濾波技術以及單模光纖耦合濾波技術，成功降低了太陽光背景噪聲和信道損耗，大大提高了量子信號的信噪比，為全天時的衛星量子通信奠定了技術基礎。

針對量子衛星未來的組網形式，有許多研究單位也提出相關設想并開展了初步理論研究。在已進行的墨子號量子衛星實驗中，密鑰中繼是通過存儲轉發將經過異或操作的密鑰存儲在衛星上，當衛星經過另一地面站時再將數據傳輸并解密的方式。由于單顆衛星無法提供實時的廣域量子密鑰分發，構建由多個軌道衛星組成的量子衛星網絡成為了未來的可行方案。

3 量子衛星光網絡架構與關鍵技術

3.1 量子衛星光網絡架構

低軌道(LEO)衛星具有信道損耗小、傳輸時延低的優點，利用LEO衛星的組網構建量子衛星星座是較為可行的途徑。然而，由于LEO衛星對地的高速相對運動，其覆蓋單個地面站的時間有限，可以與地面站進行量子密鑰分發過程的時間較短。在基于可信中繼的網絡中，量子密鑰池的密鑰量取決于密鑰注入的速率和時間，因此低軌衛星較短的覆蓋時間可能會導致星地間量子密鑰池的存儲量不足，無法為密鑰中繼提供足夠多的密鑰。與之相反的是，高軌道(GEO)衛星可以與地面保持相對靜止(當處于地球同步軌道時)，因而可以持續與地面站進行量子密鑰分發；同時其覆蓋范圍很大，只需3顆衛星就可覆蓋全球。但是GEO衛星缺點是衛星鏈路的傳輸損耗較大，導致其密鑰生成速率較低。盡管如此，高軌衛星仍然可以用較低的密鑰速率持續生成密鑰，并注入到星地的量子密鑰池內；同時，系列實驗也證明了中高軌道衛星進行量子通信的可行性。“墨子號”研究團隊正在研究提升衛星鏈路效率的技術，包括研制更大的光學接收鏡和更精準的瞄準系統，其目的是提高中高軌道衛星的密鑰生成速率。

為了解決單軌道層衛星網絡帶來的問題，針對基于可信中繼的量子衛星網絡，本文首次提出了一種雙層量子衛星網絡(DL-QSN)架構，如圖1所示。該架構可綜合利用2種軌道的優勢，同時彌補其各自的缺點。在該架構中，所有激光鏈路均包括量子光鏈路和經典光鏈路，GEO和LEO都可與地面站建立激光鏈路，而LEO是作為地面站接入衛星的首選。星間和星地鏈路在其建立連接時，都持續進行量子密鑰分發，并將密鑰存儲到量子密鑰池中，各節點的密鑰池根據衛星載荷資源設置合適的存儲閾值，使其密鑰存儲量不超過一定的限制。通過在衛星上配備多套收發機終端設備，量子衛星可以與地面站或相鄰衛星同時建立多條激光鏈路。然而星上載荷重量限制了收發機設備數量，因此高低軌道層間鏈路的建立，以及星地接入鏈路的數量必須得到充分權衡，以最大化網絡性能。

圖1 雙層量子衛星網絡架構圖Fig.1 Architecture of double-layer quantum satellite networks

3.2 基于量子密鑰池的衛星QKD系統構建

由于自由空間鏈路的通信距離較長，衛星量子密鑰分發的密鑰生成速率較低，同時信號傳輸的往返時延高。在目前的量子衛星實驗中，星地QKD的密鑰速率最高只能達到400 kbit/s左右。因此，為了克服衛星QKD密鑰速率較低的缺點，可在星地和星間量子通信中使用量子密鑰池(QKP)技術[18]，如圖2所示。

圖2 結合量子密鑰池的衛星QKD系統結構圖Fig.2 Basic structure of QKP enabled satellite QKD system

其核心思想是在每對連接的節點之間持續地產生并共享量子密鑰，然后將密鑰存儲在量子密鑰池中。在每個量子節點處，均具備量子密鑰存儲模塊，其作用是存儲生成的密鑰比特串；而在衛星網絡的管控中心，將會把每個節點處的密鑰抽象到網絡資源數據庫(記錄密鑰ID)，當需要加密數據時分配密鑰資源。假設其在QKD過程中會提前分配量子信道和經典信道的波長，而多個密鑰中繼業務將通過時分復用的方式共享經典信道波長，其時隙將會被動態分配。

在基于量子密鑰池的衛星QKD系統構建過程中，每一個衛星節點都需要配備量子收發機、激光收發機和量子密鑰池模塊；在地面站中，由于使用下行協議，量子通信部分可僅配備量子接收機。同時，衛星QKD系統還使用地面控制中心，完成了對星地協同網絡進行集中管控[19]。地面控制中心通過激光鏈路或微波鏈路與各衛星節點相連(圖2省略了微波通信模塊)，其主要功能包括衛星軌道預測、衛星鏈路連接控制及鏈路資源分配等。在密鑰中繼的過程中，地面控制中心負責計算密鑰分發的路徑和資源分配策略，在每條鏈路上為密鑰中繼業務分配量子密鑰。

3.3 基于可信中繼的高低軌聯合路由和資源分配技術

在基于可信中繼的量子衛星網絡中，當2個地面站需要共享密鑰K時，密鑰中繼的過程是利用中間鏈路的密鑰對K進行連續加解密操作；這需要為密鑰中繼業務計算傳輸路徑，并分配沿途鏈路上的密鑰和帶寬。針對密鑰中繼業務的路由和密鑰分配問題(Routing and Key Assignment，RKA)，基于前述雙層量子衛星網絡，本文提出了高低軌聯合的路由和資源分配算法(Joint GEO-LEO Routing and Key Allocation，JGL-RKA)，以實現可信中繼網絡中的端到端密鑰分發。該算法的核心在于綜合利用GEO和LEO作為地面站的接入衛星，優先嘗試使用LEO接入地面站；當低軌星地鏈路的密鑰資源不足時，再切換至選擇GEO接入地面站，作為接入路由的備選。

JGL-RKA算法可根據是否存在高低軌間鏈路執行不同的接入衛星選擇子算法：聯合使用高低軌(Joint GEO and LEO Access，JGLA)算法和單獨使用高低軌(Separated GEO and LEO Access，SGLA)算法。圖3展示了2種不同網絡拓撲下的路由選擇示意圖，紅色線代表只用LEO單層衛星進行接入路由，綠色線表示可綜合利用GEO和LEO層進行路由。在圖3(a)中，由于層間鏈路的存在，JGLA算法可以同時使用2種衛星接入地面站；在圖3(b)中，由于沒有層間鏈路，SGLA算法只能使用GEO或LEO進行接入。在接入衛星選擇子算法中，JGLA算法首先為地面站尋找擁有足夠帶寬和密鑰資源的LEO接入衛星，當尋找失敗時，轉而選擇GEO衛星接入，源、宿地面站的選擇過程一致；而在SGLA算法中，當地面站尋找不到可用LEO衛星時，源、宿地面站便同時轉向選擇GEO衛星接入，僅使用高軌道層進行密鑰中繼。

圖3 2種不同網絡拓撲下的路由選擇示意圖Fig.3 Route selection for key-relay services in two scenarios over double-layer quantum satellite network

JGL-RKA算法主要分為星地路由和星間路由兩大步驟。在星地路由過程中，首先為源、宿地面節點選擇接入衛星，當業務請求到達時，根據當前時間點獲取拓撲矩陣，更新網絡資源圖，然后根據是否存在層間鏈路，分別執行JGLA或SGLA子算法；在星間路由過程中，根據選擇的源宿接入衛星，使用最短徑算法計算星間的傳輸路徑，然后相應地分配每條鏈路上的資源，按照首次命中的策略選取時隙和密鑰。

4 發展前景與挑戰

墨子號的成功已經證實了空間量子密鑰分發的可行性，但是目前密鑰生成速率還比較低，量子衛星的成本也比較高，量子衛星光網絡目前發展還不成熟。構建全球量子光網絡，實現全球范圍內的安全通信，將會面臨許多困難和挑戰。

4.1 高密鑰生成速率與低成本

在追求高密鑰生成速率和低成本的自由空間QKD系統，有幾個主要的挑戰：

① 如何增加密鑰生成速率。目前各種空間QKD的研究結果表明，在陸地和衛星之間鏈路上密鑰生成速率相對較低。較高的密鑰生成速率允許頻繁更新對稱密鑰，具有更高的安全性，同時可以滿足更多的安全需求。利用波長或空間模式多路復用技術，改善公共信道[20]上的協調過程，以及先進的高速自動跟蹤系統[21]，可使密鑰生成速率增加成為可能。

② 如何增加密鑰分發距離。這是未來自由空間QKD網絡特別感興趣的方向，研制低噪聲的高效單光子探測器/相干探測器是關鍵的工程問題。隨著距離的增加，這一問題變得越來越困難。

③ 如何降低實現成本。這是QKD在未來網絡中廣泛部署的一個重要因素，這個挑戰可通過硬件開發、光子檢測、集成設備和/或基于現有通信設備的新型QKD協議來實現。

4.2 新型自由空間QKD協議

除了傳統QKD設備的硬件開發外，新型自由空間QKD協議的發明也引起了研究人員的興趣。新型協議的開發有助于降低硬件復雜性，同時實現高密鑰生成速率。

最近，有研究學者基于傳統光電二極管的強度調制和直接檢測(IM-DD)，提出新的自由空間CV-QKD協議[22]。在該協議中，源端發送2個非正交強度信號，由接收器對其使用雙閾值檢測器進行直接檢測。由于量子噪聲和大氣湍流引起的衰落，到達接收端的2個強度信號強重疊，隨機超過2個閾值。當沒有超過閾值時，強度狀態是不可區分的，Eve不可避免地通過隨機猜測狀態引入錯誤，從而最終被檢測到。從理論上推導出，在1 km自由空間信道的弱湍流條件下，所提出的IM-DD-QKD協議最終達到10 Mbit/s的量子密鑰生成速率[23]。

此外，也有研究學者使用傳統光電探測器，針對光纖系統提出了差分相移(DPS)CV-QKD[24]。該DPS-QKD協議基于相干光隨機相位調制，使2個信號狀態部分重疊。在接收端，Bob使用相位差為π/2的延遲干涉儀，干涉儀的輸出耦合到具有2個閾值的平衡檢測器中，以解碼信息位。該方案的安全性依賴于2個非正交的相位調制信號狀態，而這2個狀態不能用Eve完全區分。因此，DPS-QKD協議在自由空間上的適用性值得進一步研究。

4.3 自由空間QKD網絡

大多數QKD網絡默認中繼是可信的，這會引起對中繼安全性的擔憂。為了消除這個隱患，默認QKD網絡基于不可信中繼是非常重要的。事實上，MDI-QKD自然適合于帶有不可信中繼的星形QKD網絡。但是目前基于MDI-QKD的量子衛星密鑰生成速率比較低，如何提高基于MDI-QKD的星地量子密鑰分發，以及構建不可信中繼的量子衛星QKD網絡值得進一步研究。

低軌量子衛星的缺點是覆蓋范圍有限，且與每個地面站進行量子密鑰分發的時間較短。為了擴大量子衛星的覆蓋范圍，需要發射軌道更高的量子衛星，以及建造量子衛星星座。這需要研發更大的光學接收鏡、更精準的APT系統以及自適應光學的波前校正等新技術以提高更高軌道鏈路的密鑰生成效率。

5 結論

在過去的30年，量子密鑰分發經歷了從理論到實踐的廣泛發展。近年來，無論是地面光纖網絡還是自由空間量子衛星網絡，都受到世界各國政府、學術界和產業界的重視，成為信息安全領域新的研究焦點。空間量子衛星光網絡對實現全球安全通信具有重要意義，雖然目前量子衛星的系統性能和試點實驗還存在一定局限性，但隨著未來應用需求、系統器件和組網技術的發展與演進，其推廣應用具有非常廣闊的前景。