量子保密通信在鐵路調度通信中的應用

王儷宏，孫 強

（北京交通大學電子信息工程學院，北京 100044）

1 概述

鐵路通信網在保證鐵路運輸及生產安全性方面起著至關重要的作用。在國內鐵路建設和更新改造過程中，鐵路通信網也逐步發展成為由承載網、移動通信網、業務網、支撐網構成的通信網絡架構。鐵路傳輸網已全面覆蓋中國國家鐵路集團有限公司（簡稱國鐵集團）、鐵路局以及車站等各類節點，分為骨干層、匯聚層和接入層[1]。鐵路調度通信系統作為鐵路通信網的重要組成，是實現列車、貨運、動車等業務順利進行的基礎。近年來，通信技術不斷發展，鐵路通信網規模日趨擴大，調度通信系統也面臨著前所未有的信息安全風險，調度通信系統的安全保障愈發重要，因此，采用先進的信息加密技術具有更加重要的現實意義。量子通信是基于量子的物理學特性進行信息傳輸的一種新興的通信方式，本文將目前較為成熟的量子密鑰分發（Quantum Key Distribution，QKD）[2-3]技術、異或中繼技術以及共纖傳輸技術引入鐵路干線調度通信系統中，借助量子保密通信技術提升鐵路干線調度系統的安全性能。

2 鐵路調度通信系統

作為鐵路通信網絡中最重要的系統之一，鐵路調度通信網采用星型環型結構，由干線調度通信網和區段調度通信網組成。干線調度通信網由國鐵集團和18個鐵路局的匯接調度交換機互聯，完成包括列車調度、貨運調度、動車調度等干線調度任務，因此保證調度系統的高可靠性具有重要意義。

鐵路調度通信系統的干線調度網結構如圖1所示。目前的鐵路干線調度通信網在國鐵集團的調度中心異地設置主和備兩套調度交換機，并通過中繼電路互聯，當主交換機出現節點或者鏈路故障時，交由備用調度交換機接替完成。國鐵集團調度中心的主備調度交換機與路局的匯接調度交換機采用星形結構互聯，完成國鐵集團-各鐵路局的調度通信業務以及各個路局之間調度通信業務的轉接。

3 量子通信關鍵技術

當前量子通信的應用主要分為以下兩方面：一是以傳遞量子信息為手段的量子隱形傳態（Quantum Teleportation，QT）；二是保證經典信息安全傳輸的量子密鑰分發。當前各國都在大力推廣量子通信技術，其無條件的安全性得到國際上的廣泛認可。2020年2月，美國白宮發布《美國量子網絡戰略構想》，指出量子互聯網將會促進和加速當前新技術以及互聯網的發展；2020年3月，歐盟委員會發布的《量子旗艦項目戰略研究計劃》提出實現量子互聯網是長期目標[4]。近十年，我國量子保密通信技術不斷進行實驗和突破，城域網技術不斷成熟，建成了多個城域網。此外，在骨干網的建設上逐漸走在了世界前列。2017年，全長2000多km的“京滬干線”正式宣布開通，是世界首條量子保密通信干線，連接北京、濟南、合肥、上海等地[5]。同在2017年，完成了“墨子號”衛星科學實驗，并且通過北京接入點實現了天地互聯[6]。“京滬干線”沿線共設置32個中繼站點，相鄰站點之間的距離平均為62.5 km，在進行量子密鑰傳輸時有效保障其可靠性和穩定性。2018年11月，作為“京滬干線”第一條商業延伸線的“武漢-合肥量子通信干線”建成貫通。在量子通信領域，我國已經是技術領先的國家之一，并積極推動與世界各國的合作。在現有的量子保密通信關鍵技術中，比較成熟且常用的主要有QKD技術和中繼技術等。

3.1 量子密鑰分發

作為量子通信中最先實用化的技術，量子密鑰分發可以實現用戶之間以信息論安全（也可稱為“無條件安全”）的方式共享隨機密鑰。現有量子密鑰分發系統采用的主要是1984年由Bennett和Brassard提出的BB84協議。遵循BB84協議的量子密鑰分發系統原理如圖2所示[7]，其中的量子信道用于Alice和Bob之間傳輸單光子，每一個單光子都是一個量子比特（Qubit），它使用兩組共軛基下的4個非正交的偏振態（0°，90°，+45°和-45°）來進行編碼，Alice和Bob之間傳輸量子密鑰協商信息的通道是經典通道，而傳輸業務系統數據的通道為業務通道，它通過量子VPN（Virtual Private Network）網關建立IPsec隧道，從而保證各類業務數據的安全。量子保密通信就是QKD技術結合密碼學應用形成的加密安全通信解決方案[8]。

3.2 異或中繼技術

在經典通信中，通常引入光放大器放大光信號從而克服遠距離通信帶來的損耗和影響。但在量子通信中，傳輸的信號為單光子，引入放大器同時帶來的噪聲對于單光子通信來說是致命的，而且根據量子的不可克隆性原理，中繼站無法直接復制接收的光信號。為了在遠距離情況下實現量子密鑰分發，除了目前尚未完全成熟的基于糾纏交換的量子中繼外，應用更廣泛的是可信中繼技術，其原理如圖3所示。對于節點A與B之間的密鑰分發，中間經過可信中繼節點R。需要共享的密鑰為KAB，節點A與可中繼R之間協商的密鑰為KAR，同理中繼R與B之間的密鑰為KRB。節點A與B之間密鑰分發過程如下：節點A將KAB用協商好的KAR加密后傳輸至中繼節點R，中繼節點進行解密，獲得KAB；節點R再將KAB用與B節點協商好的KRB加密后傳輸至B節點；B節點收到后通過密鑰KRB解密，獲得與節點A進行加密通信的密鑰KAB。

在可信中繼策略中，密鑰在中繼節點處失去了“絕對安全”的量子保護，因此異或中繼（也稱為并發中繼）技術隨之產生[9-10]。異或中繼的原理如圖4所示，KAB為節點A和B之間需要共享的密鑰，KA1、K12、K2B分別為節點A、中繼節點1、中繼節點2與節點B相鄰節點間的協商密鑰，K＇、K＂分別是KA1與K12、K12與K2B的異或值。在異或中繼技術的解決方案中，中繼節點處只會暫存與其相鄰兩中繼節點間共享密鑰的異或值，除了量子密鑰生成時刻，系統中不會出現量子密鑰的明文，此方案很大程度上解決了可信中繼策略面臨的中繼節點防護問題。

4 量子保密通信在鐵路調度通信網應用方案

4.1 骨干網應用量子保密通信

量子保密通信應用于骨干網的方案如圖5所示，“京滬干線”、“武合干線”等骨干網均應用了此方案。其中，經典備份鏈路在主鏈路的加密業務中斷時依舊能夠進行傳輸。量子通信中，單量子在不設中繼站時極限的傳輸距離為100 km，因此長距離傳輸需要利用可信中繼保證兩個站點之間的距離小于100 km。

4.2 鐵路干線調度網應用量子保密通信

對于鐵路調度通信系統的復合星型結構，如圖6所示列舉出了將量子保密通信應用于鐵路干線調度通信網的組網架構，包含5個節點（如虛線圈所示），每一個節點都含有1套業務加密設備和QKD設備，虛線上面兩個節點分別代表國鐵集團兩個主備節點，下方列舉的3個節點代表3個路局節點，與國鐵集團備份節點連接的是路局2的備份節點。量子密鑰管理機以及量子交換機是QKD設備，而業務加密設備主要是量子網關。如圖6所示，紅色線代表用來構成量子網絡的光纖；對于調度通信網中的業務，黃色線表示利用量子網關加密后進入2 M數據網業務環境，藍色線表示經典信道。

骨干網中光纖的波道除了已經被使用的業務波道和保護波道之外還有比較豐富的波道數，因此，在骨干網的各節點之間還可以采用波分復用（Wavelength Division Multiplexing，WDM）技術，將QKD技術所需要的量子信道、協商信道以及業務數據的加密傳輸復用到同一光纖上，實現高效的共纖傳輸。QKD系統融合OTN系統的共纖傳輸原理如圖7所示。

圖7中紅線表示量子信號與同步信號，利用合波器實現與OTN系統中信號的共纖傳輸；藍色線表示量子密鑰分發時的協商信道，協商信息可以直接利用OSC信道進行傳輸；黃色虛線表示傳輸業務數據的信道；同時量子密鑰分發設備向OTN設備提供量子密鑰，實現對業務信息的加密，從而完成經典通信和量子密鑰分發的共纖傳輸。

5 結語

量子保密通信以其獨特的安全性保障，受到國際社會的廣泛關注，成為各國發展和應用研究的高新技術之一。本文面向鐵路通信網，提出將調度通信網與量子保密通信的相關技術結合，實現調度信息的量子加密，保障調度信息的安全傳輸。量子保密通信技術擁有著廣闊的前景，未來將會為各行業的信息傳輸提供更多的安全保障。未來，量子保密通信技術將在各行各業的信息傳輸中發揮更大的作用，提供更加可靠的安全保障。