摘要：無源光網(wǎng)絡(luò)技術(shù)是打破“最后一公里”瓶頸的核心技術(shù)。但是由于在PON網(wǎng)絡(luò)中ONU（Optical Network Unit）用戶端共享一段光纖的問題，給PON（Passive Optical Network）中通信帶來了很大的安全隱患。該文將量子密碼通信技術(shù)引入到PON網(wǎng)絡(luò)中，為PON網(wǎng)絡(luò)安全通信提供了一種有效的解決方案，提出了一種新型OVPN（Optical Virtual Private Network， OVPN）系統(tǒng)。

關(guān)鍵詞：無源光網(wǎng)絡(luò)（PON）；量子虛擬專網(wǎng)（OVPN）；量子密鑰（Quantum Key）

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）02-0242-03

隨著中國社會的高速發(fā)展，互聯(lián)網(wǎng)技術(shù)不斷升級，人們的生活越來越離不開互聯(lián)網(wǎng)絡(luò)。隨著2012年 “寬帶中國”戰(zhàn)略開始實(shí)施，以光纖網(wǎng)絡(luò)為主體的寬帶網(wǎng)絡(luò)提速成為了未來5年中，政府和電信運(yùn)營商的主要工作任務(wù)。

從當(dāng)前整體網(wǎng)絡(luò)的結(jié)構(gòu)上來看，由于光纖的大量鋪設(shè)，DWDM等新技術(shù)的應(yīng)用使得主干網(wǎng)絡(luò)在近幾年已經(jīng)有了突破性的發(fā)展。目前大家最關(guān)注的，就在于連接網(wǎng)絡(luò)主干和局域網(wǎng)以及家庭用戶之間的那一段，這也就是我們常說的“最后一公里”。其中，無源光網(wǎng)絡(luò)（PON）技術(shù)由于消除了局端與用戶端之間的有源設(shè)備，使得網(wǎng)絡(luò)的維護(hù)變得簡單，而且物理環(huán)境適應(yīng)性高、成本低，成為打破“最后一公里”瓶頸的核心技術(shù)。

但是由于一個(gè)PON網(wǎng)絡(luò)中只能有一個(gè)光線路終端（Optical Line Terminal，OLT），但是可以有若干個(gè)光網(wǎng)絡(luò)單元（Optical Network Unit，ONU），如圖1所示，即ONU用戶端共享一段光纖，這給PON網(wǎng)絡(luò)通信帶來了很大的安全隱患，也隨之成為了“寬帶中國”戰(zhàn)略發(fā)展落實(shí)的巨大安全隱患。

1 OVPN系統(tǒng)的發(fā)展歷程簡介

經(jīng)典虛擬專用網(wǎng)絡(luò)（Virtual Private Network ，簡稱VPN）指的是依靠Internet服務(wù)提供商（ISP）和數(shù)字證書服務(wù)提供商等其他網(wǎng)絡(luò)服務(wù)提供商（NSP），在公網(wǎng)中建立的虛擬專用網(wǎng)絡(luò)。在此虛擬專網(wǎng)中，通信雙方間的鏈接，并不是端到端的私有實(shí)際物理鏈路，而是通過安全隧道技術(shù)在公共網(wǎng)絡(luò)中仿真動態(tài)生成的一條虛擬鏈路，以保障通信安全高效。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證等功能，主要應(yīng)用技術(shù)包括：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

其中基于PON的VPN技術(shù)，即OVPN（Optical VPN）是一個(gè)較新的概念。為了在現(xiàn)有PON上實(shí)現(xiàn)VPN，研究者提出了多種不同的解決方案。

1）1999年，Chang-Joon Chae等人將光纖布拉格光柵（Fiber Bragg Grating，即FBG）應(yīng)用到傳統(tǒng)PON系統(tǒng)中，并通過在ONU端配置兩個(gè)不同波段的收發(fā)終端，分別實(shí)現(xiàn)公共通信和用戶間秘密通信。該方式解決了ONU內(nèi)部通信問題，但此方案需要在每個(gè)ONU端都設(shè)置接收和發(fā)送器，且不能同時(shí)進(jìn)行OLT和ONU內(nèi)部的通信。

2）2005年，Yikai Su等人利用數(shù)據(jù)包交換和帶寬選擇等技術(shù)，實(shí)現(xiàn)了同一VPN內(nèi)部ONU之間的相互通信，但是此方案不能實(shí)現(xiàn)同時(shí)對VPN內(nèi)部和外部用戶的安全通信。

3）2006-2007年，基于時(shí)分和頻分復(fù)用（TDM-FDM）思想，提出了一個(gè)新的OVPN結(jié)構(gòu)，將上行數(shù)據(jù)流編碼成TDM-FDM格式，并利用窄帶反射器實(shí)現(xiàn)了同時(shí)進(jìn)行VPN內(nèi)部和對外部的通信。通過此OVPN結(jié)構(gòu)實(shí)現(xiàn)了可在大范圍內(nèi)提供高效接入的VPN服務(wù)。此種方式的OVPN都是基于特定波長而建立的，對內(nèi)部用戶的通信都是以廣播形式，因此還是存在安全隱患。

本文OVPN是由授權(quán)用戶構(gòu)成的，將通過量子加密算法和身份認(rèn)證機(jī)制的結(jié)合，來判斷來訪用戶是否有權(quán)訪問VPN內(nèi)部用戶，將靈活解決VPN中多個(gè)用戶安全互通的問題。

2 量子加密算法引入VPN的必要性分析

虛擬專用網(wǎng)絡(luò)VPN系統(tǒng)，因?yàn)槠淙我鈨蓚€(gè)節(jié)點(diǎn)之間的邏輯虛擬端到端連接，和其虛擬隧道通信、加解密、密鑰管理等技術(shù)，及支持使用者與設(shè)備間的身份認(rèn)證等優(yōu)勢，成為了目前主流的安全通信方式。但VPN的安全性還是依托于密碼算法的支撐。

現(xiàn)代的密碼專家所遇到的挑戰(zhàn)是，如何讓發(fā)送者與接收者共同擁有一把鑰匙，并保證不會外泄。目前通常使用一種稱為“公開金鑰加密算法”（public-key cryptography）的方法發(fā)送“秘密鑰匙”（簡稱密鑰或私鑰），對傳送的信息加密或解密。此技術(shù)應(yīng)用了因數(shù)分解或其他困難的數(shù)學(xué)方法來保障其安全性。雖然要將乘積分解回質(zhì)數(shù)極為困難，但是隨著“云計(jì)算”時(shí)代的來臨，如RSA等以前相對安全的密碼算法技術(shù)終將失效。

3 新型OVPN系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

該OVPN系統(tǒng)，在原有VPN基本功能的基礎(chǔ)上，實(shí)現(xiàn)了對量子密鑰和量子加密算法的支持，用戶在使用量子密鑰前可以指定量子密鑰服務(wù)設(shè)備（QKS）的IP地址和端口，以及本地與QKS連接的網(wǎng)口IP和端口，并設(shè)置連接QKS設(shè)備所需要的用戶名和密碼。使用量子密鑰時(shí)，網(wǎng)關(guān)將與QKS交互獲取必要的信息（如密鑰管理域、讀取密鑰的令牌等），并保持網(wǎng)關(guān)間的同步，最終將獲取的量子密鑰下發(fā)給內(nèi)核，從而實(shí)現(xiàn)OVPN系統(tǒng)的互通，如圖1所示。

圖1 系統(tǒng)模塊流程圖

其主要工作流程，如圖2所示。當(dāng)兩個(gè)VPN網(wǎng)關(guān)分別從自身連接的QKS設(shè)備獲取量子密鑰并實(shí)現(xiàn)同步時(shí)，雙方QKS設(shè)備的交互，由專門的守護(hù)進(jìn)程qksdaemon完成，此進(jìn)程收到IKE的獲取密鑰請求后，將順序獲取密鑰管理域名、密鑰會話令牌，并把需要同步的信息反饋給IKE進(jìn)程，兩個(gè)網(wǎng)關(guān)間的同步信息通過IKE通道以載荷的形式發(fā)送給對方。

圖2 QKS密鑰同步流程圖

通過IPSec方式，實(shí)現(xiàn)OVPN的高效互聯(lián)互通，如圖3所示。

圖3 IPSec方式OVPN的實(shí)現(xiàn)界面圖

4 總結(jié)

本文將量子加密算法引入安全網(wǎng)關(guān)傳統(tǒng)虛擬專用網(wǎng)（VPN）系統(tǒng)中，通過具有認(rèn)證功能的量子密鑰分配協(xié)議（Quantum Key Distribution，QKD），不僅解決了VPN中的認(rèn)證的關(guān)鍵問題，并且實(shí)現(xiàn)了虛擬專用網(wǎng)內(nèi)部ONU用戶間的量子密鑰分配。因?yàn)镺LT不會參與ONU用戶間的密鑰分配，即ONU用戶間的通信對于OLT是保密的，從而能有效地降低OLT的工作負(fù)擔(dān)，提高ONU用戶間通信的安全性。

參考文獻(xiàn)：

[1] Chae C J，Lee S J，and Kim G Y，et al. A PON system suitable for internetworking optical networking optical network units using a fiber bragg grating on feeder fiber[J].IEEE Photonics Technology Letters，1999，11（12）：1686-1688.

[2] Sun X F，Chan C K，and Chen L K.A survivable WDM-PON architecture with centralized alternate-path protection switching for traffic restoration[J]. IEEE Photonics Technology Letters，2006，18（4）：631-633.

[3] 曾貴華.量子密碼學(xué)[M].北京：科學(xué)出版社，2006：99-100.Zeng G H.Guantum Cryptography[M].Beijing：Science Press，2006：99-100.

[4] 段鋼.加密與解密.北京：電子工業(yè)出版社，2003：79-98.

[5] 呂鋒，樊冰，吳丹霞.四種新型加密技術(shù)的比較研究.計(jì)算機(jī)應(yīng)用研究，2002：79-123.

[6] 趙生妹，鄭寶玉.量子加密算法及其安全性[M].通信技術(shù)，2001：56-71.