郭 皓，張寶燕

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

我們評估一種密碼體制是否安全，主要是看其是否具備：（1）無條件的安全性；（2）可證明的安全性；（3）計算安全性。無條件安全性即是我們通常所說的“一次一密”，每次使用的密鑰長度等于明文長度，并且密鑰不再重復(fù)使用?？勺C明的安全性通常與某個數(shù)學(xué)難題相關(guān)，這個數(shù)學(xué)難題在現(xiàn)階段是難以求解的，因而相應(yīng)的密碼算法在現(xiàn)階段是安全的。計算安全性則是現(xiàn)有計算條件下破解密文需要進(jìn)行大量的計算，消耗大量的時間，得到的明文已失去其時效性，這種情況下，我們也認(rèn)為該密碼體制具有暫時的安全性。經(jīng)典密碼體制都是基于后面兩種安全性進(jìn)行設(shè)計的。無法實現(xiàn)無條件安全性的原因主要是以下兩點：（1）難以產(chǎn)生出真正隨機的密鑰；（2）無法保證密鑰在不能證明安全的信道上實現(xiàn)安全的傳輸。但是，隨著量子密碼學(xué)技術(shù)的發(fā)展，以及量子隨機數(shù)發(fā)生器（Quantum Random Number Generator，QRNG）和量子密鑰分發(fā)技術(shù)（Quantum Key Distribution，QKD）的出現(xiàn)，使得解決無條件安全性的這兩個問題成為了可能。

1 量子隨機數(shù)發(fā)生器發(fā)展現(xiàn)狀

基于量子的內(nèi)稟隨機性，利用宇宙中的輻射粒子轟擊中電子傳感器能夠產(chǎn)生出不能預(yù)測頻率和時序的量子噪聲，并可將其轉(zhuǎn)換為真正的隨機數(shù)。2015年中科大團(tuán)隊提出基于測量相位噪聲的量子隨機數(shù)產(chǎn)生方法，能夠達(dá)到68 Gbit/s的隨機數(shù)產(chǎn)生速率；同年澳大利亞國立大學(xué)提出的基于零差探測的方法，最終實現(xiàn)了速率可達(dá)3.55 Gbit/s的隨機數(shù)產(chǎn)生器；2017年中國電科發(fā)布了基于測量的分布式反饋（Distributed Feedback，DBF）激光器相位噪聲的高速量子隨機數(shù)發(fā)生器，實時產(chǎn)生速率能夠超過5.4 Gbit/s，極限值突破117 Gbit/s。2018年，潘建偉教授及其團(tuán)隊已經(jīng)實現(xiàn)了器件無關(guān)的量子隨機數(shù)，使用不可信的第三方器件，也無法獲知其產(chǎn)生的隨機數(shù)。這些研究成果使得我們可以產(chǎn)生出足夠長度的，不可預(yù)測的真隨機數(shù)作為密鑰，能夠滿足現(xiàn)有大部分保密通信網(wǎng)絡(luò)的數(shù)據(jù)加密要求。

2 QKD技術(shù)發(fā)展現(xiàn)狀

QKD技術(shù)的無條件安全性是基于量子測不準(zhǔn)原理和量子不可克隆定理完成理論證明的。發(fā)送方對密鑰進(jìn)行量子態(tài)編碼、傳遞，接收方通過測量、糾錯、校驗等處理獲取密鑰數(shù)據(jù)。在未知量子態(tài)具體狀態(tài)的情況下，竊聽者進(jìn)行測量時會造成量子態(tài)坍塌，從而使得通信雙方能夠通過誤碼率等參數(shù)判斷出當(dāng)前是否存在竊聽行為，最終篩選出安全、一致的密鑰。

QKD技術(shù)一直是量子密碼領(lǐng)域的研究熱點。S.H.Bennett和G.Brassard在1984年提出了第一個量子密鑰分配協(xié)議（即BB84協(xié)議）[1]，該協(xié)議基于共軛編碼思想能夠為通信雙方提供隨機的密鑰，用于信息的加解密。1991年Ekert基于EPR（Einstein-Podolsky-Rosen）關(guān)聯(lián)對和Bell不等式提出了EPR協(xié)議[2]。1992年Bennett又提出了基于兩個非正交量子態(tài)的B92協(xié)議，建議使用光纖實現(xiàn)單光子的遠(yuǎn)距離傳輸[3]。2000年Shor和Preskill提出了基于CSS量子糾錯碼的協(xié)議，并證明了在理想條件下，BB84協(xié)議的無條件安全性[4]。但實際情況中由于光源不是理想的單光子源，竊聽者可以通過光子數(shù)分束攻擊（Photon number Splitting，PNS）破壞QKD的無條件安全。2004年Scarani，Acin等人提出了采用四態(tài)非正交編碼方式的SARG04協(xié)議[5]，能夠使得竊聽者無法不被發(fā)現(xiàn)地區(qū)分出真正的信號態(tài)，QKD系統(tǒng)的安全性能夠基本保證。2000年后非單光子的QKD協(xié)議研究也取得了很大進(jìn)展，連續(xù)變量協(xié)議（Continuous Variable，CV QKD，如GG02協(xié)議）、設(shè)備無關(guān)協(xié)議（Measurement Device Independent，MDI）以及分布相位參考協(xié)議（Distribution Phase Reference，DPR）相繼提出。

與此同時，QKD試驗網(wǎng)絡(luò)的建設(shè)也如火如荼。2004年世界首個6節(jié)點QKD網(wǎng)絡(luò)在美國建成，同時美國軍方也提出了“十年實現(xiàn)全球量子因特網(wǎng)”的研究計劃。2010年日本在東京建成了六節(jié)點的城域量子密鑰協(xié)商應(yīng)用網(wǎng)絡(luò)，并計劃在2020年至2030年間建成基于量子加密技術(shù)的、絕對安全的高速量子信息通信網(wǎng)。2011年法國使用GG02協(xié)議的CV QKD設(shè)備在20公里的光纖信道上穩(wěn)定運行。2016年我國建成了2000公里的“京滬干線”，同年發(fā)射了墨子號量子通信衛(wèi)星，實現(xiàn)了星地量子通信，也標(biāo)志著我國已初步具備廣域QKD組網(wǎng)能力。

目前美國在基于自由空間和光纖信道的離散變量QKD技術(shù)上處于世界領(lǐng)先水平，擁有大量的QKD技術(shù)專利。歐盟在基于光纖信道的連續(xù)變量QKD技術(shù)、基于自由空間信道的糾纏光子對QKD技術(shù)以及基于離散變量的QKD技術(shù)上處于世界領(lǐng)先水平。2009 年歐盟率先發(fā)布了量子通信技術(shù)商業(yè)白皮書，啟動了QKD技術(shù)標(biāo)準(zhǔn)化工作。歐盟的ID Quantique公司是首個推出商用QKD產(chǎn)品的公司，也是目前最成熟的量子通信相關(guān)產(chǎn)品供應(yīng)商。日本在基于光纖信道的離散變量協(xié)議和差分相移（Differential Phase Shift，DPS）協(xié)議的QKD技術(shù)上處于世界領(lǐng)先水平。加拿大、英國、澳大利亞等國也制定了本國的量子技術(shù)發(fā)展計劃，大力支持相關(guān)領(lǐng)域的研究。

我國在量子保密通信領(lǐng)域也成果顯著，在相關(guān)技術(shù)實用化方面處于世界前列?！笆濉币?guī)劃已經(jīng)明確量子通信和量子計算領(lǐng)域研究為國家戰(zhàn)略重大科技項目。國內(nèi)相關(guān)產(chǎn)業(yè)以國盾量子和問天量子為代表，已經(jīng)推出了商用QKD產(chǎn)品，同時國內(nèi)各大通信企業(yè)也在聯(lián)手推進(jìn)QKD技術(shù)的標(biāo)準(zhǔn)化和應(yīng)用推廣。

3 QKD應(yīng)用協(xié)議設(shè)計

基于經(jīng)典密碼體制的通信保密網(wǎng)絡(luò)通常由通信雙方進(jìn)行密鑰協(xié)商，得到共享密鑰，然后對業(yè)務(wù)信道傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)，如圖1所示。

圖1 經(jīng)典密碼體制模型

但是隨著數(shù)學(xué)理論的發(fā)展、計算機計算能力的增強，特別是量子計算領(lǐng)域的研究深入，經(jīng)典密碼學(xué)的安全性受到了巨大挑戰(zhàn)。最為經(jīng)濟(jì)且最容易實用化的方法就是在經(jīng)典密碼體制中引入QKD技術(shù)，增加QKD分發(fā)設(shè)備，替代原有經(jīng)典密碼體制中的密鑰協(xié)商過程，如圖2所示。QKD分發(fā)設(shè)備完成真隨機數(shù)產(chǎn)生、量子編碼、量子傳輸、量子測量、量子篩選、竊聽檢測、糾錯和增強等處理，獲得安全的共享量子密鑰，用于業(yè)務(wù)信道傳輸數(shù)據(jù)的加密保護(hù)。

圖2 基于QKD技術(shù)的現(xiàn)有體制改造模型

3.1 QKD與現(xiàn)有光網(wǎng)絡(luò)融合架構(gòu)設(shè)計

由于量子態(tài)信號易被干擾，需要建設(shè)專門的低信道損耗的量子信道用于QKD量子密鑰分發(fā)。但是部署點到點專用光纖鏈路造價高昂，因此構(gòu)建QKD網(wǎng)絡(luò)是大勢所趨。

為了滿足光網(wǎng)絡(luò)部署的可擴(kuò)展、兼容性高、成本低等需求，并考慮到今后QKD量子分發(fā)信道與傳統(tǒng)光網(wǎng)絡(luò)業(yè)務(wù)信道融合的可能性，我們將QKD網(wǎng)絡(luò)主要劃分為接入網(wǎng)和骨干網(wǎng)兩層。QKD骨干網(wǎng)主要由接入節(jié)點和中繼節(jié)點組成。QKD接入網(wǎng)主要由接入節(jié)點和用戶節(jié)點組成。接入節(jié)點負(fù)責(zé)匯聚用戶節(jié)點，使之能夠接入骨干網(wǎng)。中繼節(jié)點主要負(fù)責(zé)量子態(tài)信號糾錯、增強，主要實現(xiàn)量子信息的遠(yuǎn)距離、高速傳輸。用戶節(jié)點主要負(fù)責(zé)用戶的接入，并對通信的用戶雙方進(jìn)行可靠的共享密鑰分發(fā)。一個用戶節(jié)點可以接入多個用戶，用戶和用戶節(jié)點之間通過經(jīng)典信道連接，采用經(jīng)典保密體制進(jìn)行保護(hù)。

為了滿足光網(wǎng)絡(luò)用戶和QKD網(wǎng)絡(luò)設(shè)備的安全管理要求，在此進(jìn)一步引入了管理節(jié)點。管理節(jié)點管理同一管理域內(nèi)的所有用戶和QKD設(shè)備，用于實現(xiàn)用戶及各個節(jié)點的身份鑒權(quán)認(rèn)證、設(shè)備狀態(tài)管理和資源管理、業(yè)務(wù)策略控制等功能。管理節(jié)點兩兩互連組成可軟件定義的管理網(wǎng)絡(luò)。QKD與現(xiàn)有光網(wǎng)絡(luò)融合架構(gòu)如圖3所示。

圖3 QKD與現(xiàn)有光網(wǎng)絡(luò)融合架構(gòu)圖

3.2 QKD密鑰分發(fā)應(yīng)用協(xié)議

雖然QKD技術(shù)能夠保證共享密鑰的安全傳輸，但防止非法用戶接入網(wǎng)絡(luò)也是系統(tǒng)安全性必須考慮的問題。因此，我們提出了一種QKD密鑰分發(fā)應(yīng)用協(xié)議，在分發(fā)密鑰前需要對通信雙方進(jìn)行身份鑒別，只有通過身份鑒別的用戶才能獲取到QKD設(shè)備分發(fā)的密鑰。

為了適應(yīng)用戶的靈活擴(kuò)展需求，所有設(shè)備的身份鑒別和管控工作都由管理節(jié)點完成。QKD設(shè)備在接入QKD網(wǎng)絡(luò)時即進(jìn)行身份認(rèn)證，此后管理節(jié)點對其定時進(jìn)行身份鑒別。用戶在建立通信連接、申請密鑰時需要先完成身份鑒別，具體流程如圖4所示。

用戶A向用戶B發(fā)起通信申請時，向QKD_A發(fā)出密鑰分發(fā)申請，其中攜帶了用戶A、B雙方的鑒權(quán)申請信息；OKD_A收到密鑰分發(fā)申請請求后，進(jìn)行記錄并向管理節(jié)點發(fā)送用戶A、B的身份鑒權(quán)申請；管理節(jié)點完成用戶A的身份鑒別，同時向用戶B發(fā)出鑒權(quán)邀請；用戶B收到鑒權(quán)邀請后向管理節(jié)點發(fā)送鑒權(quán)申請信息；管理節(jié)點完成用戶B鑒權(quán)后，將用戶A、B的鑒權(quán)結(jié)果發(fā)送給QKD_A；如果用戶A、B都是合法用戶，則QKD_A生成共享密鑰，并觸發(fā)QKD分發(fā)流程，將共享密鑰發(fā)送到QKD_B；最后QKD_A和QKD_B分別將得到的共享密鑰分發(fā)給用戶A、B。

圖4 QKD密鑰分發(fā)流程

4 結(jié) 語

QKD密鑰分發(fā)應(yīng)用協(xié)議在現(xiàn)有光網(wǎng)絡(luò)中的初步應(yīng)用，增強了密鑰分發(fā)的安全性和密鑰的質(zhì)量，能夠滿足當(dāng)前光通信系統(tǒng)安全性的需求，同時該協(xié)議可擴(kuò)展到IP網(wǎng)絡(luò)用戶、移動應(yīng)用終端等應(yīng)用場景。但是協(xié)議所采用的身份認(rèn)證方式仍存在管理復(fù)雜，前向安全性較差的不足，因此筆者團(tuán)隊后期將在量子簽名系統(tǒng)實用化、量子秘密共享實用化方面方向進(jìn)一步開展研究。