基于信任中心的量子密鑰分發(fā)增強方法

嵇 夏 申 毅

中通服咨詢設(shè)計研究院有限公司

0 引言

2016年8月，我國自主研制的世界首顆量子科學(xué)實驗衛(wèi)星“墨子號”成功發(fā)射，這標志著我國量子科學(xué)研究又邁出重要一步。量子保密通信技術(shù)已被國際上認為事關(guān)國家信息安全的戰(zhàn)略性必爭領(lǐng)域，隨著量子保密通信技術(shù)逐步走向?qū)嵱没瑖H競爭日益激烈。美國DARPA（國防部高級研究計劃局）于2003年起歷時兩年建立了世界上第一個量子密鑰分發(fā)保密通信網(wǎng)絡(luò)，包括3個連接節(jié)點延伸長度達10公里。歐洲SECOQC網(wǎng)絡(luò)（Secure Communication based on Quantum Cryptography）也于2004年開始建設(shè)，歷時四年半建立了包含6個節(jié)點的量子通信系統(tǒng)。西方發(fā)達國家的政府、科研機構(gòu)和產(chǎn)業(yè)資本正在加速進行戰(zhàn)略部署，大幅度增加研發(fā)投入，對我國的領(lǐng)先優(yōu)勢構(gòu)成強烈沖擊。

1 量子保密通信原理

量子保密通信是基于量子力學(xué)理論中的不確定性、測量坍縮和不可克隆三大原理，利用量子疊加態(tài)和糾纏效應(yīng)進行信息傳送的新型通信方式，理論上提供了無法被竊聽和計算破解的絕對安全性保證。但限于現(xiàn)階段技術(shù)原因，目前所說量子通信通常指量子密鑰分發(fā)（QKD）技術(shù)，是一種基于量子力學(xué)原理實現(xiàn)的密鑰生成技術(shù)，通過量子態(tài)的制備、傳輸和測量，在通信雙方之間提供無法被竊聽的共享隨機密鑰，基于上述共享隨機密鑰對傳統(tǒng)通信進行加密，從而形成加密通信安全解決方案。

量子密鑰分發(fā)（QKD）根據(jù)物理機制和協(xié)議類型不同，可以分為基于單光子調(diào)制的離散變量（DV）協(xié)議，如BB84、B92、DPS、COW；基于多光子調(diào)制的連續(xù)變量（CV）協(xié)議，如GG02；以及基于糾纏光子對的糾纏協(xié)議，如E91。其中，BB84是1984年第一次提出并獲得廣泛應(yīng)用的QKD協(xié)議，在理論安全性證明方面也更加完備。由于現(xiàn)階段真正單光子源技術(shù)還不成熟（技術(shù)不成熟、造價昂貴），弱相干脈沖光源結(jié)合誘騙態(tài)強度調(diào)制是目前BB84協(xié)議的實用化解決方案。

單個光子在光纖中傳輸極易被信道吸收，導(dǎo)致最大傳播距離有限，目前依靠光纖的“量子保密通信”的主要障礙是密鑰單次分發(fā)的有效距離，目前國內(nèi)公開報道的量子密鑰分發(fā)的最遠光纖距離為404公里，此距離很難滿足大規(guī)模的量子加密通信需求，為此業(yè)界提出了基于可信中繼的量子保密通信系統(tǒng)，即在量子密鑰分發(fā)最遠光纖距離之內(nèi)增加量子中繼站，通過接力傳輸?shù)姆绞綄崿F(xiàn)量子密鑰的遠距離傳輸。

2 安全性分析

量子保密通信網(wǎng)絡(luò)中的中繼站與傳統(tǒng)光通訊網(wǎng)絡(luò)中繼有著本質(zhì)的區(qū)別，傳統(tǒng)光通信中繼器僅將光信號進行過濾、重整、放大，不涉及光電信號轉(zhuǎn)換，但根據(jù)量子不可克隆原理，單光子的偏振態(tài)無法直接復(fù)制，所以量子中繼站無法進行直接的放大傳輸，需要在每個中繼站進行量子密鑰解密、量子密鑰加密，通過接力的方式傳遞量子密鑰。

如圖1所示，量子保密通信中繼站包括量子信號發(fā)送器與接收器，再結(jié)合計算機系統(tǒng)對密鑰進行加密和解密操作，這就需要兩個通信連接通道：量子通道和傳統(tǒng)的通信通道（即經(jīng)典通道），其中量子通道進行量子密鑰的傳遞，經(jīng)典通道進行密文的傳遞。

圖1 量子密鑰分發(fā)流程

假設(shè)一次通信中經(jīng)過N個量子通信中繼站，依次標記為1號、2號，一直到N號站。密鑰接力傳遞的具體流程：

（1）先在1號和2號之間通過量子通道進行量子密鑰協(xié)商，產(chǎn)生一個量子密鑰K1。同樣在2號和3號之間產(chǎn)生一個量子密鑰K2，以此類推得到N-1個密鑰。

（2）2號把上述K1作為待傳輸?shù)拿魑模訩2為密鑰使用對稱加密算法對K1加密得到密文Y1，Y1通過經(jīng)典通道送達3號，3號用K2解密得到密鑰K1的明文。3號用相同方法把K1傳輸給4號。

（3）依次向后傳遞，就這樣將K1傳遞給N號，這樣在1號與N號之間就取得了一個共享量子密鑰K1。在此過程中，中繼站點可獲得量子密鑰明文，這種情況下中繼是否安全將直接影響量子密鑰的安全。

由于中繼站點分布廣泛，規(guī)模通常都較小，安保措施及條件較差，通常僅采用基于視頻監(jiān)控的保護，中繼站點的失陷將導(dǎo)致整個量子密鑰的泄漏，亟需一種方法提升量子密鑰傳遞的安全性。

3 基于信任的量子密鑰分發(fā)方法

如圖2所示，基于信任中心的量子密鑰分發(fā)方法，通過設(shè)立信任中心，用于非對稱加密公鑰的發(fā)布與存儲，并參與起始站點和目的站點密鑰協(xié)商指令的發(fā)送與執(zhí)行。由于信任中心集中設(shè)置于網(wǎng)絡(luò)中的核心機房，安全可控，通過在現(xiàn)有量子密鑰分發(fā)網(wǎng)絡(luò)中疊加加密算法，在不影響現(xiàn)有流程方法的前提下，提升網(wǎng)絡(luò)整體安全性。

圖2 基于信任中心的組網(wǎng)示意

具體流程如下：假設(shè)通信起始站點記為1號站點，目的站點記為N號站點，中間經(jīng)過N-2個中繼站點，信任中心通過經(jīng)典網(wǎng)絡(luò)與起始站點、目的站點和中繼站點實現(xiàn)通信，經(jīng)典網(wǎng)絡(luò)可采用物理專線或VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）。

密鑰協(xié)商分發(fā)流程如圖3所示。

圖3 密鑰協(xié)商分發(fā)流程

第一步：進行端到端加密密鑰協(xié)商，起始站點生成對稱加密密鑰M1，通過信任中心獲取目的站點的公鑰Tn，將對稱加密密鑰M1通過非對稱加密公鑰Tn加密并傳送到目的站點，目的站點通過非對稱加密私鑰Sn解密獲得對稱加密密鑰M1；具體步驟：

（1）起始站點通過量子隨機數(shù)發(fā)生器生成隨機數(shù)X；

（2）起始站點基于所述隨機數(shù)X通過量子隨機數(shù)發(fā)生器產(chǎn)生真隨機比特，長度與量子密鑰等長，作為加密密鑰M1；

（3）起始站點向信任中心請求目的站點的非對稱加密公鑰Tn，信任中心收到請求，查找目的站地址，并向目的站發(fā)送非對稱加密公鑰Tn生成指令；

（4）目的站點生成非對稱加密公鑰Tn、私鑰Sn對，并將公鑰Tn發(fā)送到信任中心；

（5）信任中心向起始站點發(fā)送公鑰Tn，起始站點接收公鑰Tn，并用此公鑰Tn加密所述對稱加密密鑰M1獲得新密鑰M2；

（6）起始站點向信任中心發(fā)送新密鑰M2，信任中心向目的站點發(fā)送新密鑰M2，目的站點接收新密鑰M2，通過私鑰Sn解密新密鑰M2，獲得對稱加密密鑰M1。

第二步：用對稱加密密鑰M1加密量子密鑰，并通過量子網(wǎng)絡(luò)傳遞，目的站點解密后獲得量子密鑰。具體步驟：

（1）起始站點1號站點與下一跳中繼站點2號站點通過量子通道協(xié)商獲得量子密鑰K1，將M1與K1按位進行XOR（異或）生成加密后的量子密鑰K1’；

（2）下一跳中繼站點2號站點向下下一跳中繼站點3號站點傳遞量子密鑰K2；2號站點通過量子密鑰K2對量子密鑰K1’進行XOR（異或）加密生成密鑰Y2；2號站點通過經(jīng)典網(wǎng)絡(luò)將密鑰Y2傳輸至3號站點；

（3）3號站點通過量子密鑰K2與密鑰Y2再次XOR（異或）解密獲得量子密鑰K1’；

（4）3號站點向4號站點傳遞量子密鑰K3；3號站點通過量子密鑰K3對量子密鑰K1’進行XOR（異或）加密生成密鑰Y3；3號站點通過經(jīng)典網(wǎng)絡(luò)將密鑰Y3傳輸至4號站點；

（5）4號站點通過量子密鑰K3與密鑰Y3再次XOR（異或）解密，獲得量子密鑰K1’；

（6）以此類推，直至N-1號站點向本次通信的目的站點N號站點傳遞量子密鑰Kn-1；N-1號站點通過量子密鑰Kn-1對量子密鑰K1’進行XOR（異或）加密生成密鑰Yn-1；N-1號站點通過經(jīng)典網(wǎng)絡(luò)將密鑰Yn-1傳輸至目的站點N號站點；

（7）目的站點N號站點通過量子密鑰Kn-1與密鑰Yn-1再次XOR（異或）獲得加密后的量子密鑰K1’，然后通過所述對稱加密量子密鑰M1解密K1’，獲得未加密的量子密鑰K1。

其中第一步中公鑰私鑰對生成方法，具體實現(xiàn)步驟可采用：

（1）隨機選擇兩個不相等的大素數(shù)p和q；

（2）計算p和q的乘積n；

（3）計算n的歐拉函數(shù)φ（n），φ（n） = （p-1）（q-1）；

（4）隨機選擇一個整數(shù)e，判斷e是否滿足1＜ e ＜φ（n），且e與φ（n）互質(zhì)，如不符合重新執(zhí)行本步驟；

（5）計算e對于φ（n）的模反元素d，d ≡ 1（mod φ（n））；

（6）生成公鑰、私鑰對，其中公鑰由乘積n和整數(shù)e生成，私鑰由乘積n和模反元素d生成。

上述大素數(shù)p和q的生成方法，具體實現(xiàn)步驟如下：

（1）定義一個最大值MAX，生成數(shù)組P[MAX]，其中定義P[0]為2，P[1]為3；

（2）執(zhí)行嵌套循環(huán)，其中外循環(huán)條件為初始y=5，s=2，并定義開始標記m為真，判斷y值，如y小于等于前述MAX，執(zhí)行一次循環(huán)，且y增加2，并進行下一次判斷。每次循環(huán)執(zhí)行判斷m值，如果m值為真，則將本次y值存入數(shù)組P[s]且s增加1，m值的狀態(tài)由下述內(nèi)循環(huán)控制；

（3）內(nèi)循環(huán)設(shè)定i的初始值為1，計算y的平方根sq-rt（y），如果m為真且P[i]＜=sqrt（y），執(zhí)行內(nèi)循環(huán)，且每執(zhí)行一次循環(huán)i值增加1，每次循環(huán)計算y % P[i]，當(dāng)y % P[i]的結(jié)果為0，則終止內(nèi)循環(huán)且定義m為假；

（4）最終P[MAX]即為素數(shù)組成的數(shù)組，從中隨機選取兩個大于指定數(shù)值的素數(shù)使用，建議指定數(shù)值優(yōu)選10000。

4 方案效果分析

目前量子密鑰分發(fā)網(wǎng)絡(luò)在運行中較大數(shù)量的量子密鑰需存儲在中繼節(jié)點中，若攻破一個可信中繼并訪問到其存儲區(qū)，即可以解出會話密鑰，并且隨著存儲時間的延長，密鑰失竊的風(fēng)險也相應(yīng)增長。目前基于可信中繼的量子密鑰分發(fā)網(wǎng)絡(luò)安全增強方案主要有：異或中繼、多路徑中繼、密鑰迭代和物理防御等，本文提出了另一種安全增強方案，通過在網(wǎng)絡(luò)中心設(shè)置信任中心，實現(xiàn)密鑰的加密，即便中繼節(jié)點泄密也是泄露加密后的密鑰，無法得到明文密鑰，主要存在如下方面優(yōu)勢：（1）信任中心處于網(wǎng)絡(luò)核心位置，與全網(wǎng)核心路由、網(wǎng)管中心等同局址設(shè)置，失竊風(fēng)險極低；（2）密鑰協(xié)商基于現(xiàn)有經(jīng)典網(wǎng)絡(luò)通信，網(wǎng)絡(luò)改造極小，成本較低；（3）僅當(dāng)次密鑰分發(fā)首尾站點執(zhí)行加解密，不影響中間節(jié)點復(fù)雜度，通信效率影響較小。

5 結(jié)束語

目前量子保密通信還處于前期探索階段，雖然國內(nèi)近年來新建了幾條干線網(wǎng)絡(luò)，也有部分諸如金融、政府等保密通信應(yīng)用，但距真正意義上的商用網(wǎng)絡(luò)還有較大差距，一方面網(wǎng)絡(luò)規(guī)模小，還未形成全國性的網(wǎng)絡(luò)，另一方面現(xiàn)有的量子密鑰分發(fā)網(wǎng)絡(luò)還存在較多安全薄弱點，量子密鑰加密對比現(xiàn)代通訊加密網(wǎng)絡(luò)缺乏絕對優(yōu)勢，這也正是后續(xù)要深入研究的方向，希望在不久的將來，能實現(xiàn)真正意義上的量子通信。